【正文】 。實施數(shù)字化校園工程的核心目標(biāo)是充分利用信息技術(shù)，建立多層次、創(chuàng)新型、開放式的高等學(xué)校，提高辦學(xué)的質(zhì)量和效益。要以新的人才觀、教學(xué)觀和管理理論為指導(dǎo)，超越傳統(tǒng)的高等教育模式，培養(yǎng)適應(yīng)信息社會要求的創(chuàng)新型人才。具體來說：? 在教學(xué)方面：要利用多媒體、網(wǎng)絡(luò)技術(shù)實現(xiàn)高質(zhì)量教學(xué)資源、信息資源和智力資源的共享與傳播，并同時促進(jìn)高水平的師生互動，促進(jìn)主動式、協(xié)作式、研究型的學(xué)習(xí)，從而形成開放、高效的教學(xué)模式，更好地培養(yǎng)學(xué)生的信息素養(yǎng)以及問題解決能力和創(chuàng)新能力。? 在科研方面：要利用互聯(lián)網(wǎng)促進(jìn)科研資源和設(shè)備的共享，加快科研信息傳播，促進(jìn)國際性學(xué)術(shù)交流，開展網(wǎng)上合作研究，并且利用網(wǎng)絡(luò)促進(jìn)最新科研成果向教學(xué)領(lǐng)域的轉(zhuǎn)化，以及科研成果的產(chǎn)業(yè)化和市場化，從而大大提高科研的創(chuàng)新水平和輻射力。? 在管理方面：要利用信息技術(shù)實現(xiàn)職能信息管理的自動化，實現(xiàn)上下級部門之間更迅速便捷的溝通，實現(xiàn)不同職能部門之間的數(shù)據(jù)共享與協(xié)調(diào)，提高決策的科學(xué)性和民主性，減員增效，形成充滿活力的新型管理機(jī)制。? 在公共服務(wù)體系方面：要建立覆蓋學(xué)校教學(xué)、科研、管理、生活等各個區(qū)域的寬帶高速網(wǎng)絡(luò)環(huán)境，提供面向全體師生的基本網(wǎng)絡(luò)服務(wù)和正版軟件服務(wù)；要建設(shè)高質(zhì)量的數(shù)字化的圖書館、教學(xué)樓、實訓(xùn)中心等；要在校園內(nèi)建立電子身份及其認(rèn)證系統(tǒng)，從而為學(xué)校高水平的教學(xué)、科研和管理等提供強(qiáng)有力的支撐。? 在學(xué)校社區(qū)服務(wù)方面：要適應(yīng)后勤社會化改革的需要開展各種網(wǎng)絡(luò)化服務(wù)高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案 ~ 5 ~項目，包括電子商務(wù)、電子醫(yī)療等，為師生員工提供便捷、高效、集成、健康的生活和休閑娛樂服務(wù)，形成智能型的社區(qū)服務(wù)體系。某高等?？茖W(xué)校在目前形勢下開展校園網(wǎng)改造與升級建設(shè)應(yīng)該是非常有利的。某學(xué)校校園網(wǎng)改造與升級工程建設(shè)完成后，新的校園網(wǎng)將為現(xiàn)代化教育和教學(xué)，方便教工、學(xué)生科研和學(xué)習(xí)發(fā)揮重要的作用，也為將來學(xué)校數(shù)字化校園的建設(shè)奠定良好的網(wǎng)絡(luò)基礎(chǔ)。以下是信息安全建設(shè)規(guī)劃的正式計劃書：1 項目名稱項目名稱：某高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目2 項目概述高校教育信息化是指高等學(xué)校為適應(yīng)信息化社會的要求，營造信息應(yīng)用環(huán)境，整合教育資源，促進(jìn)和深化教育教學(xué)改革，在教學(xué)、科研、學(xué)習(xí)、管理、后勤服務(wù)等各方面全面運(yùn)用以計算機(jī)、多媒體和網(wǎng)絡(luò)通訊為基礎(chǔ)的現(xiàn)代信息技術(shù)，實現(xiàn)教育教學(xué)全過程的信息化。從概念上來看，教育信息化是從信息技術(shù)與教育的關(guān)系出發(fā)，側(cè)重以有關(guān)信息技術(shù)的觀念、思想、設(shè)施、設(shè)備、知識和技能等來影響教育的過程和結(jié)果。理解這一概念，不能片面地認(rèn)為高校的教育信息化只是為教學(xué)服務(wù)的，而是要從宏觀廣義的角度來理解，方能準(zhǔn)確把握其概念，全面掌握教育信息化的豐富內(nèi)涵。高校的教育信息化既是以教學(xué)信息化為核心，以為教學(xué)服務(wù)為重點，同時還為科研、管理、后勤、產(chǎn)業(yè)等(包括學(xué)生的學(xué)習(xí)活動)凡是為實現(xiàn)育人目標(biāo)為開展的各類活動提供服務(wù)，并成為各類活動的具體表現(xiàn)形式和服務(wù)手段。教育信息化的手段是運(yùn)用現(xiàn)代信息技術(shù)，本質(zhì)是改善高校辦學(xué)條件和增強(qiáng)高校的辦學(xué)水平，目的是為了提高人才的培養(yǎng)質(zhì)量，表現(xiàn)形式和發(fā)展結(jié)果必然是數(shù)字化校園。某高等?？茖W(xué)院現(xiàn)有網(wǎng)絡(luò)因為各種原因，設(shè)計較為混亂，還須進(jìn)一步優(yōu)化；網(wǎng)絡(luò)安全設(shè)備較少，網(wǎng)絡(luò)安全有待進(jìn)一步強(qiáng)化，鞏固安全措施；管理不嚴(yán)格，學(xué)生私用無線路由器海量下載，占用帶寬，嚴(yán)重影響了教學(xué)辦公工作的正常使高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案 ~ 6 ~用，需要從技術(shù)手段上加強(qiáng)管理；校內(nèi)應(yīng)用系統(tǒng)較少，課件管理混亂，急需一套 VOD 點播系統(tǒng)，推進(jìn)課件管理的規(guī)范化。3 設(shè)計目標(biāo)某高等?？茖W(xué)校校園網(wǎng)將改造升級成為一個以辦公自動化、計算機(jī)輔助教學(xué)、現(xiàn)代計算機(jī)校園文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋全校主要樓宇（教學(xué)樓、辦公樓、學(xué)生宿舍、教工宿舍、體育中心等）的校園主干網(wǎng)絡(luò)。將學(xué)校的各種微機(jī)、工作站、終端設(shè)備和局域網(wǎng)連接起來并與國家科研教育網(wǎng)相連，在網(wǎng)上對外宣傳學(xué)校的形象，獲取 Inter 網(wǎng)上的教育資源，形成結(jié)構(gòu)合理、內(nèi)外溝通的校園計算機(jī)網(wǎng)絡(luò)系統(tǒng)。在此基礎(chǔ)上以信息化教育和管理模式為目的建立滿足教學(xué)、科研和管理工作需要的軟硬件環(huán)境，開發(fā)各類信息庫和應(yīng)用系統(tǒng)，建成數(shù)字校園，為學(xué)校各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)。? 網(wǎng)絡(luò)進(jìn)行優(yōu)化后，實現(xiàn)教育網(wǎng)和網(wǎng)通網(wǎng)的雙鏈路冗余結(jié)構(gòu)，其中的一個網(wǎng)絡(luò)不通的情況下，可切換到另外一個網(wǎng)絡(luò)，保證 7*24 小時網(wǎng)絡(luò)可用。? 增加網(wǎng)絡(luò)設(shè)備，防止外來不法人員的入侵，內(nèi)部安全可靠，病毒得到有效控制，涉密信息得到安全穩(wěn)妥的保護(hù)。? 為校園網(wǎng)用戶根據(jù)職責(zé)，工作需要不同，設(shè)置不同的帶寬，使校園網(wǎng)應(yīng)用真正落到實處，真正發(fā)揮實際的效用。? 建設(shè)數(shù)字化點播系統(tǒng)，為教師授課高效快捷的提供課件等網(wǎng)絡(luò)資源。4 設(shè)計原則某高等?？茖W(xué)校校園網(wǎng)改造升級項目設(shè)計將遵守下面的基本原則，以實用為主，選用先進(jìn)的、成熟的技術(shù)，設(shè)計中充分考慮系統(tǒng)的開放性，考慮到未來的發(fā)展，便于各子系統(tǒng)的互聯(lián)和擴(kuò)展。? 實用性：系統(tǒng)的設(shè)計應(yīng)以實用為第一原則。在符合需要的前提下，合理平衡系統(tǒng)的經(jīng)濟(jì)性與超前性，以避免片面追求超前性而偏離實際，或片面追求經(jīng)濟(jì)性而損害某高等?？茖W(xué)校校園網(wǎng)的智能性。高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案 ~ 7 ~? 先進(jìn)性：某高等專科學(xué)校校園網(wǎng)改造升級項目采用的網(wǎng)絡(luò)結(jié)構(gòu)和設(shè)備在使用期間，具有一定的先進(jìn)性，避免因技術(shù)陳舊造成整個校園網(wǎng)系統(tǒng)性能不高和過早淘汰。? 成熟性：在充分考慮先進(jìn)性的同時，優(yōu)先選擇成熟技術(shù)，最大限度地發(fā)揮投資效益。? 可靠性：系統(tǒng)無論在硬件上還是在軟件上都應(yīng)采取多種保護(hù)措施，保證系統(tǒng) 24 小時不間斷正常運(yùn)行。子系統(tǒng)故障不影響其他子系統(tǒng)運(yùn)行，也不影響集成系統(tǒng)除該子系統(tǒng)以外的其他功能的運(yùn)行。同時還應(yīng)充分考慮系統(tǒng)權(quán)限安全措施，進(jìn)一步保證系統(tǒng)的可靠性。? 經(jīng)濟(jì)性：升級工程所選用的設(shè)備與系統(tǒng)，以現(xiàn)有成熟的設(shè)備與系統(tǒng)為基礎(chǔ)，以總體目標(biāo)為方向，局部服從全局，力求系統(tǒng)在初次投入和整個運(yùn)行生命周期獲得最佳的性能/價格比。? 開放可擴(kuò)展性：系統(tǒng)設(shè)計盡量采用國家和國際標(biāo)準(zhǔn)及規(guī)范，兼容不同廠商、不同協(xié)議的設(shè)備和系統(tǒng)的信號傳輸，各子系統(tǒng)可方便進(jìn)出系統(tǒng)。并對近期可望使用的技術(shù)予以考慮。無論是系統(tǒng)設(shè)備還是網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，都應(yīng)具有良好的開放性，用戶可以根據(jù)需要變化，對系統(tǒng)進(jìn)行擴(kuò)展或升級。? 易維護(hù)性：系統(tǒng)必須具有高度的可維護(hù)性和易維護(hù)性，盡量做到所需維護(hù)人員少，維護(hù)工作量小，維護(hù)強(qiáng)度低，維護(hù)費用低。? 服務(wù)性：從設(shè)計、施工到運(yùn)行，始終圍繞為用戶服務(wù)這個宗旨，讓用戶用得放心、用得安心、用得省心、用得舒心。5 相關(guān)政策法規(guī)和文件 國家信息安全標(biāo)準(zhǔn)、指南? GB/T 20274—2022 信息系統(tǒng)安全保障評估框架? GB/T —2022 信息技術(shù)信息技術(shù)安全管理指南第 1 部分信息技術(shù)安全概念和模型? GB/—2022 信息技術(shù)—信息技術(shù)安全管理指南第 2 部分管理和規(guī)劃高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案 ~ 8 ~信息技術(shù)安全? GB/T 19716—2022 信息技術(shù)—信息安全管理實用規(guī)則? GB/T 18336—2022 信息技術(shù)—安全技術(shù)— 信息技術(shù)安全性評估準(zhǔn)則? GB/T 20984—2022 信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范? GB/T 20988—2022 信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范? GB/Z 20986—2022 信息安全事件分類分級指南? GB 17859—1999 計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則? 信息系統(tǒng)安全保護(hù)等級定級指南（報批稿）? 信息系統(tǒng)安全等級保護(hù)實施指南（報批稿）? 信息系統(tǒng)安全等級保護(hù)基本要求（報批稿）? 信息系統(tǒng)安全等級保護(hù)測評準(zhǔn)則（送審稿） ? 信息安全等級保護(hù)管理辦法（公通字 2022 43 號） 國際信息安全標(biāo)準(zhǔn)? ISO/IEC 27001:2022 信息安全技術(shù) 信息系統(tǒng)安全管理要求? ISO/IEC 13335 信息技術(shù) 信息技術(shù)安全管理指南 第 1 部分：信息技術(shù)安全概念和模型? ISO/IEC TR 15443—1: 2022 信息技術(shù)安全保障框架 第一部分 概述和框架? ISO/IEC TR 15443—2: 2022 信息技術(shù)安全保障框架 第二部分 保障方法? ISO/IEC WD 15443—3 信息技術(shù)安全保障框架 第三部分 保障方法分析? ISO/IEC PDTR 19791: 2022 信息技術(shù) 安全技術(shù) 運(yùn)行系統(tǒng)安全評估6 項目需求分析 現(xiàn)狀描述某高等?？茖W(xué)校校園網(wǎng)現(xiàn)已建成為一個以辦公自動化、計算機(jī)輔助教學(xué)、現(xiàn)代計算機(jī)校園文化為核心，以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托，技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋全校主要樓宇（教學(xué)樓、辦公樓、學(xué)生宿舍、教工宿舍、體育中心等）高等?？茖W(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案 ~ 9 ~的校園主干網(wǎng)絡(luò)。已將學(xué)校的各種微機(jī)、工作站、終端設(shè)備和局域網(wǎng)連接起來并與國家科研教育網(wǎng)相連，在網(wǎng)上對外宣傳學(xué)校的形象，獲取 Inter 網(wǎng)上的教育資源，形成結(jié)構(gòu)合理、內(nèi)外溝通的校園計算機(jī)網(wǎng)絡(luò)系統(tǒng)?，F(xiàn)已完成學(xué)校教育信息化的基礎(chǔ)設(shè)施建設(shè)，包括學(xué)校校區(qū)的綜合布線系統(tǒng)，計算機(jī)網(wǎng)絡(luò)系統(tǒng)和服務(wù)器系統(tǒng)的建設(shè)。 需求分析 上網(wǎng)行為管理需求近年來,國內(nèi)高等院校的信息化水平快速發(fā)展, 互聯(lián)網(wǎng)也發(fā)揮著越來越重要的作用。 與此同時，網(wǎng)絡(luò)的安全問題日益突出，利用互聯(lián)網(wǎng)進(jìn)行違法犯罪的案件呈日益增長的趨勢, 散布各種損害學(xué)校名譽(yù)的情況也時有發(fā)生。而高教行業(yè)動輒成千上萬的內(nèi)網(wǎng)用戶規(guī)模，一方面為網(wǎng)絡(luò)帶寬帶來很大壓力，另一方面用戶眾多難于管理，很容易出現(xiàn)網(wǎng)絡(luò)安全問題。國家教育部、公安部等相關(guān)部門也三令五申地要求各高校切實做好網(wǎng)絡(luò)安全建設(shè)和管理工作。但是在校園網(wǎng)絡(luò)建設(shè)的過程中，隨著網(wǎng)絡(luò)規(guī)模的急劇膨脹、網(wǎng)絡(luò)用戶的快高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案 ~ 10 ~速增長、關(guān)鍵性應(yīng)用的普及和深入，校園網(wǎng)從早先教育、科研的試驗網(wǎng)已經(jīng)轉(zhuǎn)變成教育、科研和服務(wù)并重的帶有運(yùn)營性質(zhì)的網(wǎng)絡(luò)，校園網(wǎng)在學(xué)校的信息化建設(shè)中已經(jīng)在扮演了至關(guān)重要的角色。作為數(shù)字化信息的最重要傳輸載體，如何保證校園網(wǎng)絡(luò)能正常的運(yùn)行不受各種網(wǎng)絡(luò)黑客的侵害，并對學(xué)生的上網(wǎng)行為進(jìn)行有效的管理，已經(jīng)成為了各個高校不可回避的緊迫問題。 數(shù)據(jù)備份需求某高等?？茖W(xué)院現(xiàn)有應(yīng)用系統(tǒng)及數(shù)據(jù)庫備份機(jī)制為手工備份，備份間隔時間長，而且極不方便。 網(wǎng)絡(luò)運(yùn)維監(jiān)控需求某高等?？茖W(xué)院經(jīng)過多年的發(fā)展，信息化水平有了很大提高，信息化覆蓋范圍已經(jīng)涵蓋了整個校園的各個角落，是一個龐大且復(fù)雜的網(wǎng)絡(luò)，但是信息化管理辦公室運(yùn)維中遇到的了很多的問題：? 設(shè)備種類以及型號多，對設(shè)備的維護(hù)不具備統(tǒng)一性；? 由于設(shè)備多，所以對設(shè)備進(jìn)行的操作和改動往往無法記錄和查詢；? 由于是網(wǎng)絡(luò)規(guī)模較大，所以網(wǎng)絡(luò)中的數(shù)據(jù)活動比較豐富，難以掌控；? 對網(wǎng)絡(luò)流量的分析存在瓶頸，無法得知網(wǎng)絡(luò)堵塞從何而來；? 網(wǎng)絡(luò)時快時慢，時通時斷，但不知道問題出自哪里；? 缺少統(tǒng)一且集中的管理平臺，分散的管理造成資源浪費和成本增加；因此為了改變這一不利局面，我們建議部署網(wǎng)絡(luò)管理軟件，對整網(wǎng)運(yùn)行情況和在線設(shè)備進(jìn)行管理和監(jiān)控。 入侵防御需求首先我們來探討一個問題：入侵攻擊行為包括哪些？什么樣的行為可以稱為入侵攻擊行為？我們來看對入侵行為的標(biāo)準(zhǔn)定義：入侵是指在非授權(quán)的情況下，試圖存取信息、處理信息或破壞系統(tǒng)以使系統(tǒng)不可靠，不可用的故意行為。高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案 ~ 11 ~通常提到對入侵行為的防御，大家都會想到防火墻。防火墻作為企業(yè)級安全保障體系的第一道防線，已經(jīng)得到了非常廣泛的應(yīng)用，但是各式各樣的攻擊行為還是被不斷的發(fā)現(xiàn)和報道，這就意味著有一類攻擊行為是防火墻所不能防御的，比如說應(yīng)用層的攻擊行為。想要實現(xiàn)完全的入侵防御，首先需要對各種攻擊能準(zhǔn)確發(fā)現(xiàn)，其次是需要實時的阻斷防御與響應(yīng)。防火墻等訪問控制設(shè)備沒有能做到完全的協(xié)議分析，僅能實現(xiàn)較為低層的入侵防御，對應(yīng)用層攻擊等行為無法進(jìn)行判斷，而入侵檢測等旁路設(shè)備由于部署方式的局限，在發(fā)現(xiàn)攻擊后無法及時切斷可疑連接，都達(dá)不到完全防御的要求。想要實現(xiàn)完全的入侵防御，就需要將完全協(xié)議分析和在線防御相融合，這就是入侵防御系統(tǒng)（IPS）：online 式在線部署，深層分析網(wǎng)絡(luò)實時數(shù)據(jù)，精確判斷隱含其中的攻擊行為，實施及時的阻斷。有數(shù)據(jù)顯示，70%以上的攻擊行為發(fā)生在傳輸層和應(yīng)用層之間，我們稱這類47 層上的攻擊為深層攻擊行為。深層攻擊行為有如下特點：第一：新攻擊種類出現(xiàn)頻率高，新攻擊手段出現(xiàn)速度快。據(jù)美國 CERT/CC 的統(tǒng)計數(shù)據(jù)，2022 年共收到信息系統(tǒng)漏洞報告 8064 個，比 2022 年增長了 %，漏洞數(shù)量的迅速增長標(biāo)志著新攻擊類型的迅速增長，而在同一份報告中，采用分布式蜜罐技術(shù)捕獲的新攻擊樣本數(shù)量平均每天有近100 個，最多的一天幾近 700，這意味著平均每天發(fā)現(xiàn) 100 種新的攻擊手段，最多的一天發(fā)現(xiàn)的新攻擊手段可多達(dá) 700 種，這是一個非常驚人的數(shù)據(jù)。第二：攻擊過程隱蔽。文件捆綁：打開一份文檔，結(jié)果執(zhí)行了一個與文檔捆綁的木馬程序；文件偽裝：可愛的熊貓圖片，竟然是蠕蟲病毒；跨站腳本攻擊：僅僅是訪問了一個網(wǎng)站的頁面，就被安上了間諜軟件。攻擊行為正以越來越可以亂真的面貌出現(xiàn)。除了深層攻擊行為這些自身的特點外，越來越多的業(yè)務(wù)應(yīng)用，也增加了判斷攻擊行為的難度：到底是正常的應(yīng)用還是是違規(guī)的應(yīng)用呢？如何更好的實現(xiàn)對這些深層攻擊的防御，是入侵防御系統(tǒng)需要解決的問題。高等專科學(xué)院網(wǎng)絡(luò)改造與升級項目規(guī)劃方案 ~ 12 ~深層需要高效和準(zhǔn)確，防御則意味著及時的阻斷，深層防御需要兼顧兩者。由于