教育信息 化 2.0 满足安全的合规标准 等级保护 制度 2.0 · 加强 主动防范能力 提高 网络预警能力 提升 应急处置与恢复能力 完善 管理机制和工作能力 业务稳定与数据安全 校园等保 2.0 方案设计目标 经济 符合校园特性 达到最佳性价比 可视 “ 主动防御” +“ 持续响应” 合规 产品 + 服务 符合网络安全法和等保 2.0 的要求 校园等保 校园等保 2.0 方案设计原则 教育城域网 数据中心交换机 数据中心区 运维管理区 路由器 安全防御管理区 多业务 无线控制器 智慧防火墙 & 入侵防御系统 上网行为管理 WEB 应用防火墙 无线认证 网络核心区 汇聚交换机 无线管理区 网络接入区 互联网 核心业务系统 前端摄像头 接入交换机 有线和无线融合 有线和无线融合 有线和无线融合 用户终端 终端安全系统 智慧防火墙 •复杂环境组网、深度应用识别、精细化访问控制以及高性能应用层威胁防御能力 •集成了互联网威胁情报、异常行为分析、安全可视化等新一代安全技术 •与终端安全管理系统、云端威胁情报中心、沙箱检测系统实现智能化的协同联动 终端安全管理 •以大数据技术为支撑、以可靠服务为保障， •精确检测已知病毒木马、未知恶意代码，有效防御 APT 攻击， •提供终端资产管理、漏洞补丁管理、安全运维管控、网络安全准入、移动存储管理、终端安全审

” “ ” 门联合出动制定了一系列的安全防范措施， 平安校园 、 数字校园 等建设相继展 开。 本次项目设计利用信息技术、网络技术、视频技术、智能识别技术，在人力 防范的基础上，采用现代化技术防御手段建设校园视频监控系统，针对学校安防 建设难点，加大校园公共区域及一般区域视频监控、出入管控等系统建设的覆盖， 加强校园自身安全监管需求；另一方面通过将重要点位视频接入公安天网，实现 阿 坝 职 业 学 院 智 慧 校 园 项 目 建 设 方 案 应用功能或者移除平台的旧有功能； 3)支持主动设备发现； 4)设备接入：支持鱼眼摄像机、鹰眼摄像机、布控球机、可视域球机、智能 网络摄像机、门禁、可口、报警主机、访客一体机、人证比对设备、动环主机、 云存储服务器及视频云结构化服务器等设备的接入管理；支持 温度、空气流动、雾气、雨雪等等环境因素都很容易引发误报，另外校园围墙树 木较多，即使我们在安装时对树木进行修剪，但是枝叶生长速度较快，学校后勤 压力较大、施工难度大、成本高，并存在一定的安全隐患，而且红外对射防范为 线性防御，防御区域不足。 智能视频识别功能是基于嵌入式智能视觉分析技术的监控系统，具有穿越警 戒线、入侵检测等功能模块，可以很好地解决复杂环境下遇到的各种难题。 本次阿坝职业学院周界入侵检测以普通网络视频监控为基础，利用智能视频

......338 北京理工大学：人工智能驱动的数字化转型探索与实践 ....................................... 347 华中科技大学：闭环管理、纵深防御，构建高校主动式网络安全防护体系 ..........355 三、 校企合作创新篇............................................................. 90%高校应用了防火墙、日志审计系统等主流网 络安全技术措施，66.2%的高校建设了网络安全态势感知平台；87.2%高校建立 了数据安全管理相关的规范，84.9%的高校具有了系统灾备能力。网络安全工作 实现了由点向面，从被动防御向主动防护，从逐个应对向体系化发展的转变。 3. 信创应用部署初具规模 信创应用正加速部署，近 80%的高校部署了信创应用，部署各类信创应用的 高校比例均呈现快速增长，在应用软件、IT 基础设施、信息安全设施、基础软 的基础与保障。高校普遍重视网络安全管理工作，都实施了制定网络安全应急预 案、网络安全责任制落实到基层、实行网络安全等级保护测评等多项网络安全管 理措施。高校的网络安全防御体系广泛使用边界防火墙、WEB 应用防火墙、日 志审计系统等传统的被动防御技术；网络安全态势感知、安全威胁分析平台等主 动感知技术也在高校中得到较大范围的应用。和网络安全相比，高校对数据安全 的重视程度明显不足，制定了数据安全管理制度或安全规范的高校比例总体上不

在教育城域网的建设过程中信息安全越来越受到重视，部署各种安 全硬件设备只能构建静态、被动的安全防御，安全风险依然存在。 由于缺乏好的工具对安全日志进行充分挖掘与利用，很难从海量的 日志里获得有用的信息，导致难以掌握全网的安全状态。 安全及监管 ( 立体防护、可视监管 ) 网络安全总体规划 • 防火墙划分安全域及边界安 全 • 关键路径入侵防御 • 网站 /web 全方位安全设计 • 网络与数据库安全审计 智慧课堂是围绕教师和学生为主题 ， 贯穿教 师备课、 导学 、 授课、 课堂训练 、 课后作 业、 有效提分、 师生互动等各个教授环节； • 为学生提供多方位 、 开放性获取知识的途径， 利于学生对学习的主动参与 、 自主控制 ， 使 学生根据自身学习情况制定学习进程； • 为教师提供更为快捷方便 、 高效的移动式备 课、 授课 、 作业 、 提升等教学工具 ， 切实 提

工作者提供快捷、全面、权威的信息资 源，实现教学、科研和实训一体化，提 供开放、协同、高效的数字化产学研环 境，促进知识的产生、传播和管理。 构建先进实用的网络教学平台，整合、 丰富数字化教学资源，创造主动式、协 同式、研究式的数字化学习环境，建立 师生互动的新型教学模式。 构建便捷、高效、高雅、健康的数字化生 活环境和电子商务服务平台，利用一卡通 系统，实现校内外主要消费流通、学生入 学缴费、身份认证及门禁管理等。 校园室外覆盖 多 出 口 负 载 均 衡 规 划 组播与 QoS 规 划 网络出口安全 远程访问互联安全 上网行为安全审计 综 合 网 管 统 一 规 划 应用入侵防御方案 校园网络建设规划 - 网络系统 对于湖北科技学院如此体量的网络架构，整体校园网络建议采用十万兆核心、万兆到楼宇，千兆到桌面的 三 级架构。网络核心为双核心 + 区域汇聚环网全冗余骨干，整 批 量 重 启 AP ， 恢复 AP 配置。通过网管快速完成 AP 替换， 替换后业务不变。 校园网络建设规划 - 网络安全规划 网络出口安全 上网行为安全审计 远程访问互联安全 应用入侵防御方案 校园网络建设规划 - 综合网管统一规划 v 网络管理 综合网管软件系统，可提供可视化图形界面，对网络中交换设备、服务器甚至终端进行性能指标、流量、链 路状态等信息的全面的监视和管理。方便管理人员操作。

ARP 欺骗及 DDOS 攻击问题。 汇聚各楼层接入交换机，根据“千兆骨干、千兆桌面”设计理念，汇聚交换机需要高背板、高包 转发率性能。同时支持万兆端口，具备全面的三层交换功能，完善的 ARP 防御功能、端口安全功 能，及组播功能。  接入区域设计 根据我校信息点分布情况，除学校办公电脑的接入外，还需满足校园广播、校园监控及多媒体 教学等信息化建设要求，为实现各接入终端的高速、安全接入，我校将采用“千兆骨干、千兆接入” 在防火墙上实施以下功能： 1. 安全控制策略防：设置指定的内网用户只能访问指定的外网服务器的服务；设置外网用户只能 访问我内网固定某 ip 或某个端口，实现网络单向访问。 2. 外网安全防护：防御来自外网的 DDoS、冲击波、蠕虫病毒攻击。 2.1.2.2 核心区域设计 随着学校在 IP 网络上部署的各种应用系统增多，学校的学习生活、教学等对于网络依赖程度 越来越高，网络成为学校正常运 击的同时不影响转发速度。 4. ARP 欺骗防御：作为整网核心也是所有网段的网关设备，所有数据交换都会通过核心交换机， 如果网络存在如 arp 网关欺骗，则可能出现所有网络资源访问不可达，即造成网页打不开、应 用断线，直接影响上网应用访问。所有我们必须在核心交换机上实现 arp 防御功能。开启网关 防欺骗、IP+MAC+端口绑定等 arp 防御功能。前者能够实现汇聚交换机定时发送正确的信息告

智慧校园网络安全保证体系建设方案........................................................................216 9.1 网络安全防御系统建设........................................................................................217 9.1 ，坚持建设、开发与 应用并行，坚持“教育技术为优化课堂教学目标服务”的理念，积极开展信息 技术与课程整合的研究与实践；重点上坚持以信息化促进学生培养和教师 发展，使师生在信息化环境支持下，实现主动教育与自主学习、自我完善 的终身学习和可持续发展，使信息化成为教师、学生群体参与的学习方式 和工作方式；步骤上坚持优先抓好信息技术普及教育，突出抓好师生基本 信息素养的提高，提高师生信息技术应用技能；保障上坚持推进信息化建 系统，提供统一的、标准的数据服务，形成真正意义上的数据共享。 5. 智慧校园信息服务应用系统 面向学生、教师、领导、家长等，完成对不同角色服务内容的重新梳 理和归类，提供一站式、覆盖全生命周期的主动式、智能化综合信息服务 环境。通过一站式服务中心建设，为学生、教师、领导和家长等四类用户 分别提供一站式服务。服务内容围绕全校师生的全生命周期的全部管理应 用，如个人信息服务、招生服务、迎新服务、学工服务、教学服务、科研

储中 ，将无法在操作系统层面对其进行读取、 修 改或删除。不可变存储功能对于所有勒索病毒防御策略都至关重要； • 强制数据保留： 良好的备份是数据成功恢复的前提和关键。强制数据保留可防止攻击者覆盖 或 删除备份数据 ，即使攻击者更改系统时间也无法得逞； • Air-Gap ：单向连接主动拉取数据， 日常情况下无端口开放 ，基于策略可定时断开物理网卡， 构建隔离恢复环境； • 云资源质量评估：追溯云资源从创建到使用再到销毁的整个生命周期 ，分析其性能、稳定性等方面的表现 ，从而评估其服务质量 ，为后期的运营与运维提供数据支撑； • “ 僵尸”应用发现：基于预设的指标以及规则 ，主动发现云平台中的“僵尸”应用 ，助力清理与业务脱节、资源长期闲置、运维停止更新的“僵尸”应用 ，推动运维工作降本增效。 关键日志、指标数据可视化分析， 提升高校运维效率 增强智慧校园数字化韧性，提升服务水平（ 全链路追踪：通过关联日志、指标和调用链数据 ，实现端到端、跨平台、立体化的调用链路 ，展示用户请求的的成功率、耗时、 崩溃率等 ，快速发现不合理的微服务请求链路。帮助研发和运维人员理解服务间的依赖关系和应用程序交互的网络拓扑 ，主动 发现性能瓶颈和错误 ，包括 Web 服务器、应用和消息服务器等 ，显示代码执行的清晰路径 。 • 全息观测：无论从 AnyShare 的前端 ，从用户侧到应用侧 ，再到中间件、服务、底层的

AP ， 恢复 AP 配置。通过网管快速完成 AP 替 换，替换后业务不变。 4. 校园网络 建设规划 4.5 网络安全规划 网络出口安全 上网行为安全审计 远程访问互联安全 应用入侵防御方案 4. 校园网络 建设规划 4.6 综合网管统一规划 v 网络管理 综合网管软件系统，可提供可视化图形界面，对网络中交换设备、服务器甚至终端进行性能指标、 流量、链路状态等信息的全面的监视和管理。方便管理人员操作。 图形、文字、动画、声音等于一体，创设情境形象逼真、生动鲜明，能吸引学生注意力。在职业教学 中，利用多媒体辅助教学可以使静态的教学内容变为动态的画面，可使枯燥而抽象的知识和技术变得 生动又具体，使学生在轻松愉悦的状态下主动获取知识，从而优化教学效果。 遵循经济性、效益性原则，建设成为先进、可靠、稳定、智能、易扩展的多媒体教学环境系统，通 过建设多媒体教学环境系统，实现各系统有机融合、统一平台管理。 为教师提供便

理。信息发布系统满足学校各类信息的及时发布和循环展示等应用需求。 n 提供先进的安全保障系统 ，如 ：视频监控系统、 紧急呼救系统、 门禁系统等。 确保建筑内人身、 财产的高度安全 ， 并具 备 对灾害和突发事件的防御能力。 n 为确保整个智能化系统的良好、 稳定运行 ，要为中心机房设备提供一个符合《电子计算机机房设计规范》要求的环境 ，应 进行机房工程建设 ，包括 ：机房装修、 防雷接地、 机房布线、 抗静电地板、 停车场 重要室外设施设备 第一道防线 大楼主要出入口 大厅、各层电梯厅 楼层公共走廊 楼梯间 电梯轿厢 第二道防线 2.4.2 设计思路 基于 ‘一个中心 ， 三道防线 ，纵深防御’的设计思路 ， 即： 楼层重点房间 楼层重点区域； 安防监控中 心 第三道防线 本次设计于学校的中学和小学正大门口设置 液压一体升降柱， 用于界定区域 、 通道管 制 和反恐阻截等功能，