基于等级保护2.0的校园网络体系设计与优化——以甘肃工业职业技术学院为例

◆卢宏才

基于等级保护2.0的校园网络体系设计与优化——以甘肃工业职业技术学院为例

◆卢宏才

（甘肃工业职业技术学院 甘肃 741025）

校园网络是支撑学校教育信息化的基础，同时网络安全保障体系作为高等学校信息化建设体系的重要组成部分，信息安全管理和信息安全技术是高校信息化的基础保证，因此规划部署一个安全的校园网络显得非常重要。本设计方案基于等级保护2.0要求，对传统的网络体系结构进行分析，充分利用现有的设备资源，增加购置必需的网络安全产品，设计出一种安全、稳定和可靠的网络拓扑图并且进行部署和测试。经过验证，本方案完全满足等级保护2.0基本要求二级标准，提高了网络的安全性和可靠性[1-2]。

等级保护2.0；信息安全；安全性；可靠性

1 引言

校园网络是支撑学校教育信息化的基础，随之而来的是对网络带宽、软硬件资源以及网络安全的依赖，也对校园网络的流畅、稳定和安全性带来一定程度的考验，传统的校园网络体系结构已不能满足当前师生的需求，且在一定程度上存在网络安全风险。网络安全法明确要求，国家实行网络安全等级保护制度，因此根据等级保护2.0的标准，设计出符合等级保护2.0二级要求的校园网络体系[3-4]，本设计充分考虑物理和环境、网络和通信、设备和计算以及应用和数据安全的基础上，对现有校园网络安全体系进行设计和优化，从而有效地保障校园网络安全[5]。

1.1 现有网络拓扑

根据对甘肃工业职业技术学院校园网调研分析可知，学校网络主体分为服务、有线接入、无线网络接入和网络安全区域，如图1所示。服务器区域从有线网络核心层设备华为S9303下连迪普DXP8000-A12 WAF到服务器交换机，接入交换机加入了负载均衡；有线网络区域迪普DXP8000-A12出口网关下连华为NE40E-X3作为认证路由器，认证路由器下连核心S9303后直接到楼宇接入交换机；无线网络部署采用三层结构，两台华为敏捷式交换机S12708堆叠作为核心层，核心层到楼宇汇聚层、汇聚到无线接入均采用双链路，核心和出口网关之间使用华为ME60-X8作为无线认证网关BRAS；出口网关侧的安全区域具有漏洞扫描、IPS、IDS、VPN和加速缓冲设备，对校园网络进行安全防护[6]。

图1 现有网络拓扑图

1.2 存在问题

（1）网络结构层次不清晰。有线网部分区域网络逻辑仍然存在层次结构不清晰、不合理之处。

（2）网络链路单一。有线网络区域的核心交换机到接入交换之间的连接链路均为单设备、单线路连接，存在网络链路单一的隐患。

（3）网络安全域划分不明。IP规划较为混乱，VLAN划分不太合理，没有进一步的VLAN划分及其他防护措施的隔离，未进行分类隔离，缺乏统一安全策略。

（4）有线网部分采用核心到接入的方式接入网络，出口网关、核心、接入交换机都是单一链路，缺少必要的网络安全管理和运维设备。

2 改造内容

在以等级保护2.0标准下的二级等级保护为参考标准，充分利用现有的网络基础设备和网络安全设备的前提下，采购等保二级必需的安全设备，如新购数据库审计、日志审计和堡垒机等，建立符合等级保护2.0标准下的二级测评所需的网络安全体系，具体设计内容如下：

对现有网络进行调研，排查隐患点，对数据中心所有应用系统进行扫描检测，对服务器进行全面漏扫和升级；比对等级保护2.0要求，对现有有线网络和无线网络进行整合和优化，达到等级保护2.0二级测评要求。

2.1 设计网络层次结构清晰、线路稳定可靠的网络结构

通过分析现有软硬件资源，采用结构清晰的三层网络结构[7]，核心交换机使用无线侧现使用的2台交换机，做堆叠，保证关键设备有冗余，核心交换机、汇聚交换机和接入设备之间都使用链路聚合，消除网络联络单一的隐患。

2.2 IP地址统一规划、VLAN统一划分

现有校园网络有线区域、无线区域和服务等区域IP地址规划较乱，VLAN划分不太合理，网络管理混乱，网络故障定位不准。根据现有网络统一规划符合学校情况的IP地址和VLAN统一规划和划分，对网络资源进行统一调度和管理。

2.3 接入层交换机升级改造

目前学校校园网络有线接入区域为接入交换机直接到核心交换机，部分接入层交换机最大支持百兆带宽到桌面，不能满足教学需求。对百兆接入交换机全部进行更换，使得用户桌面接入网速到千兆。

2.4 构建“技术+管理+服务”的安全防护体系

在现有设备的基础上，购买必要的网络安全产品和相关软硬件资源，构建技术、管理和服务的网络安全防护体系，实现技术领先、管理和服务到位的网络安全防护体系[8]。

3 网络体系改造设计

根据对现有网络存在的问题进行分析，设计了改造后网络安全体系结构拓扑图，如图2所示。

图2 改造后网络安全体系结构拓扑图

3.1 优化设计方案

（1）核心层设计规划

去掉原有线网络设备NE40-X3和核心设备S9303，在无线区域汇聚交换机上接入有线网络交换机，实现有线网络、无线网络整合，核心层设备使用两台华为S12708堆叠，吞吐量高，形成冗余，万兆骨干，极大方便了运维和管理。

（2）汇聚层设计规划

汇聚层以建筑楼宇为汇聚点，每一栋楼部署一个汇聚交换机，汇聚层到核心层采用万兆链路，对各楼宇数据进行数据转发，汇聚至核心链路使用链路聚合冗余部署，提高了网络可靠性。

（3）接入层设计规划

对百兆有线接入交换机全部进行更换，划分VLAN，保证重要网络区域与其他网络区域之间实现隔离，接入交换机到汇聚层的通信线路进行聚合冗余。

（4）运维管理区域设计

运维管理区域管理整个通信网络，提供集中管理功能，运维管理区使用深澜无线认证软件管理无线账户认证，使用华为esight管理网络设备，实现对整个网络的运维与管理。

（5）安全资源区域设计

安全资源区域主要部署网络安全的软硬件资源，主要包括数据库审计、脆弱性扫描、日志设计和堡垒机等设备。将安全资源区域的相关网络安全的软硬件资源旁挂在核心交换机上，逻辑上划成安全资源区域，做到可跟踪、可溯源，对校园网络安全起到了有效保护作用[9-10]。出口安全网关使用DPX8000-A12进行整体安全防护，内置IPS、IDS防火墙和上网行为管理、漏洞扫描、VPN等模块，对网络安全进行防御和保护。

（6）数据中心区域设计

数据中心区域用两台数据中心网关（WAF）对数据中心进行防御和保护，两台设备实现冗余备份，保障链路的稳定性[11]。

4 结束语

本设计方案基于等级保护2.0要求，充分利用现有的设备资源，增加购置必需的网络安全产品，设计了一种安全、稳定和可靠的网络安全体系，并且进行了实际的部署，经过验证，本方案完全满足等级保护2.0基本要求二级标准，同时也提高了网络的安全性和可靠性。

[1]马力，陈广勇，祝国邦.网络安全等级保护2.0国家标准解读[J].保密科学技术，2019（07）：14-19.

[2]沈昌祥.按照《关键信息基础设施安全保护条例》筑牢网络空间安全底线[J].信息安全研究，2021，7（10）：890-893.

[3]胡鹏，王晖.基于等级保护2.0的政务信息系统安全保障体系设计思路[J].办公自动化，2021，26（04）：15-17.

[4]林春艳，陈建云.基于网络安全等级保护2.0的气象信息网络安全体系研究[J].信息记录材料，2020，21（04）：101-102.

[5]马玉州.等保2.0时代普通高校等级保护工作实践[J].网络安全技术与应用，2021（07）：97-98.

[6]卢宏才，程建峰.高可靠高安全的校园网络优化与设计——以甘肃工业职业技术学院为例[J].网络安全技术与应用，2021（05）：97-98.

[7]姚少奕.计算机网络可靠性优化设计方法探索[J].电子技术与软件工程，2019（05）．

[8]鄢翔.基于安全等级保护2.0的高校一卡通应用系统安全方案设计[J].电子技术与软件工程，2019（01）：192-195.

[9] 孙家翔，徐美玲.校园无线网络智能优化[J].福建电脑，2019（04）．

[10]邹峰，陈兴蜀，罗永刚.网络安全交互式分析系统构建方法[J].计算机工程与设计，2021，42（09）：2433-2438.

[11]金涛.数据安全分级划分[J].信息安全研究，2021，7（10）：969-972.