中職學校網絡信息中心機房整改與升級

摘要：當前許多學校正面臨數字化轉型，對信息中心機房的安全防御系統的可靠性、穩定性和安全性有著嚴格的要求。同時，網絡的快速響應能力、用戶上網的安全性以及網絡狀況的實時可視化、可管可控性也對安全防御系統提出了一定的要求。本文先從信息中心機房基礎設施改造開始，介紹了呂梁市衛生學校（以下簡稱該校）教學實訓網絡中安全防御設備的部署，并使用態勢感知平臺實現了網絡設備匯聚、可視、可管、可控的功能。

關鍵詞：安全防御；態勢感知；機房建設

一、學校網絡基本情況

呂梁市衛生學校是一所全日制三年制中等衛生職業學校，學校現有網絡為十多年前新建教學樓時部署，經過多年發展，網絡縫縫補補、幾經維護，網線私搭亂建，維護人員也換了幾波，導致現在運維人員幾乎找不到之前部署的線纜，而增加業務需要部署網絡時再新增網線，這樣惡性循環導致運維人員苦不堪言，網絡負載很重，排查故障難度很大。同時，職工私接路由器導致環路和無法自動獲取地址上網的情形時常發生。

該校計算機教室經常承擔社會各種等級上機考試，為了保證足夠的網絡帶寬出口，學校網絡結構設計為行政辦公網絡和教學實訓網絡兩條線，計算機教室附屬于教學實訓的子網絡。隨著信息技術的發展，學生上課對網絡的依賴程度也越來越強，之前只在行政辦公網絡中部署了安全設備，而教學實訓網絡沒有部署任何安全設備，屬于“裸跑”狀態，隨時都有可能帶來網絡安全風險和影響。近幾年，國家對網絡安全重視程度逐年加強，因此配置安全可靠的網絡也迫在眉睫。另一方面，安全性也不僅是指防火墻、入侵檢測、防病毒等安全防范措施，更包括數據中心對于火災、地震和其他災害的應對。網絡信息中心機房基礎設施的各種問題日益凸顯，比如線路陳舊老化對網速影響很大；停電后空調無法自行啟動，機房溫度過高對網絡設備壽命造成影響；服務器由于溫度過高自行停止導致業務中斷；網絡病毒威脅無法實現實時監控，局域網中用戶涉密數據容易泄露；兩條網絡線平行運行，IP地址混亂，VLAN劃分重疊；網絡管理員在運維管理過程中顧此失彼，無法同時兼顧管理等等。本次新增安全設備主要針對教學實訓網絡。

二、機房基礎設施整改與升級

在機房基礎設施建設改造過程中，呂梁市衛生學校大刀闊斧地采用了新風集成機柜、供配電、制冷、監控和綜合布線的整體解決方案系統。首先，利用模塊化設計，使得供配電系統處于合理的帶載率區間內，以提高電源效率。供配電系統采用2N設計，將之前較新的不間斷供電系統UPS接入新的雙電源自動切換開關ATS中，當做備用電源。在主UPS電源供電不足的情況下，備用電源還可持續供電4小時左右，實現冗余設計，以滿足機房設計要求，提高安全等級。其次，采用行級制冷單元，配置兩個列間恒溫恒濕精密空調，結合封閉冷/熱通道，以提高制冷效率；密閉冷通道頂部采用活動頂板，與消防聯動，不影響氣體滅火系統；消防系統通過煙感和溫感模塊，當機房有異常情況發生觸發消防主機時，主機會自動激活七氟丙烷氣體罐閥門進行滅火。最后，采用嵌入式網絡型監控設備，輕松實現手機等移動終端遠程監控、功能模塊管理；可通過溫度和濕度傳感器、采集器，實現對機房內各功能模塊的不間斷實時監控；動力環境智能監控系統能夠適應機房管理人員通過手機、大屏幕、電腦等多種途徑的管理需求，并實時發出告警信息。在綜合布線方面，將原來凌亂繁雜的線纜通過機柜頂端的走線梯和走線槽進入機柜內部后，光纖入光纖列頭柜，網線入網絡配線架，各機柜間通過跳線進行互通，線路整潔，尋線方便，且不容易造成線路斷路。如圖1所示。

三、無線網絡實現安全可控

（一）無線基礎設施升級改造

該校教學實訓無線網絡在幾年前就已經實現全校覆蓋，但由于當時聯網用戶數少，網絡還算通暢。隨著無線用戶數增多，網絡管理控制器就越顯吃力，由于豎井部署交換機使用時間較長，出現設備老化，對AP終端POE供電不足，AP終端掉線，會出現新用戶無法獲取IP地址的情況。在登錄無線控制器進行管理時，界面的切換也特別遲緩。本次升級了無線控制器AC，劃分了管理VLAN，在AC中劃分地址池，為終端AP動態分配IP地址，并進行負載均衡，實現二三層無縫無感知漫游。通過Portal認證方式，設置用戶名和密碼，對連接無線網用戶進行精細化的行為管理、靈活的QoS控制、無線協議優化、中毒終端篩查、定位和封堵等。

同時，也對所有樓層連接AP終端的POE交換機進行了更換和配置，設置管理地址，管理員可通過AC控制器將樓層交換機和所有AP點進行可視化匯聚，在AC控制器中，可以實現在WEB頁面對交換機端口的開啟、關閉和VLAN的劃分。而終端AP在經過多年發展，已經由原來的WiFi4發展到支持Wi-Fi6，甚至Wi-Fi7，考慮到大部分用戶終端并不支持Wi-Fi7技術，AP終端升級為支持802.11AX的第六代Wi-Fi標準。用戶上網傳輸速度不僅提升5倍以上而且可以輕松滿足各種高帶寬業務的承載使用，如語音、4K/8K高清視頻、VR/AR、高清視頻會議等。

（二）新增網絡安全設備

在安全性方面，網絡出口利用下一代防火墻實現出口路由轉化以及二層以上網絡安全的防護，自動識別系統中開放的端口和存在的漏洞以及設置的弱密碼等風險。通過防火墻中的虛擬端口轉換技術，將內網中的部分端口進行地址轉換，以實現訪問外網；通過制定安全防御策略，封堵容易遭受勒索病毒攻擊的3389、135、137、139等端口；通過應用豐富的安全創新防御技術和簡單易用的操作，自定義規則庫、內容識別庫、URL分類庫、IP地址庫等，對要求保證網絡聯通性高的用戶建立網絡白名單，以保證其帶寬；對于經常發起攻擊和被攻擊的對象，將其拉入黑名單，要求其排除故障后再重新聯網，以增強網絡邊界的安全檢測和防控能力，實現網絡安全風險可視化展示與快速處置，讓網絡邊界安全建設更有效、更簡單。

通過安裝終端安全管理系統EDR，實現對網絡攻擊全鏈條進行防護，從漏洞免疫到微隔離提前防護，以實現對終端和服務器的資產管理，并清晰地顯示資產分組、終端設備的軟硬件信息。同時，對分組的終端進行遠程運維、策略下發和一鍵升級，以實現對終端U口管控。由于系統中存在不同風險的漏洞，如果沒有及時發現和識別，非法攻擊者可利用這些漏洞進入客戶主機，并對業務和用戶資料造成一定的影響和損失。而EDR終端安全管理系統可以集成AI人工智能檢測引擎，識別并修復內網終端系統漏洞風險，對中毒終端實現遠程查殺病毒和隔離管控，對頑固病毒提供“云端－專家分析－下發處置－定位查殺”的專殺通道。此外，還可以在管理端設置安全策略，只有安裝EDR終端安全管理系統的電腦才可以上網，避免教室用戶不安裝殺毒軟件進行“裸奔”上網，給全網帶來安全隱患，以此加強系統的安全性。

為實現從入網、內部操作到出網整個流程可視、閉環管控和智能感知，在核心交換機上，設置鏡像端口部署全網行為管理AC設備。首先，AC數據中心能夠幫助系統管理者透徹地了解教職工的網絡行為內容和行為分布情況。借助AC的管理功能，管理員能實現分時間段、基于用戶、基于應用、基于行為內容的網絡行為控制，限制員工上班時間的無關網絡行為，減少教職工因效率低下帶來的加班、離職、薪金浪費、額外薪金支出等問題。其次，由于網絡資源豐富多彩，但又良莠不齊，通過AC應用管理功能，可以過濾掉違法違規網站和應用以及含有不良關鍵字的信息，最大限度地減少輿論風險對學校聲譽帶來影響。再次，通過AC制定優化的帶寬管理策略，在工作時間保障核心用戶和核心業務所需帶寬，限制無關業務對帶寬的占用。例如，在上課時間限制用戶對短視頻和P2P下載流量的使用，以保證計算機機房學生的上網需求等。此外，在面對涉密文件的泄露等事件時，遇到無法溯源和追責的情況，通過AC可以綁定用戶的IP地址和MAC地址，記錄IP對應的使用者，只有被綁定的IP才能連接網絡，并實現基于內容發送過濾，發生管控文件、郵件、異常流量、用戶異常行為等情況時，及時發起告警，通過查看日志報表發現泄密用戶，實現“事前預防、事中攔截、事后追責”。最后，利用其終端檢查功能，對用戶接入終端后進行安全性檢查和終端控制。安全性檢查主要包括操作系統檢查、文件檢查、補丁檢查等檢查規則、注冊表檢查、進程檢查、計劃任務規則，檢查完之后支持按照檢查結果控制訪問。控制場景包括外聯控制、外設管控等，檢查終端是否存在未授權的連接外網行為，包括撥號檢查、無線網卡檢查、連接外網檢查等，如果檢測到存在違規，則禁止終端網卡實現訪問控制。

為了完整地保存安全設備日志，對安全事件實現可發現、可處理、可審計、可度量，該校部署了日志審計分析管理系統，將防火墻、終端安全管理EDR、全網行為管理AC設備中產生的成千上萬條原始日志匯聚到日志審計分析管理系統，并進行合規的運維分析，以便及時發現異常和違規事件。根據等級保護2.0的要求，從安全審計、入侵防范及管理等維度，對網絡安全設備、主機安全、應用安全和系統運維管理等多方面進行細化，學校管理員可以根據需求，通過簡單的拖拽操作調整儀表盤或審計報表，以提升日常安全運維的水平，實現信息系統IT計算環境日志信息的集中管理，全面掌握IT計算環境運行過程中出現的隱患。

在行政辦公網絡中，為了便于管理員對新增安全設備、服務器、交換機進行管理，記錄廠家工程師對設備的操作，呂梁市衛生學校部署了運維管理安全系統，其集用戶管理、身份認證、資源授權、訪問控制、操作審計于一體，通過在教學實訓防火墻設備中進行虛擬端口映射，辦公網絡管理員可以根據職責劃分權限訪問，有效防止因越權行為而導致的敏感數據泄漏。在用戶執行高危命令時，運維安全管理設備可以實時阻斷，將所有的操作轉換為圖形化界面并予以展現，同時還能對字符進行分析，包括操作命令、回顯信息和非字符型操作時鍵盤、鼠標的敲擊信息，以此保障運維過程業務系統的安全可靠。由于運維失誤導致業務中斷時，可以通過系統中錄播回放，真實還原行為場景，并追溯事件過程。

四、全網流量探測，安全態勢感知

由于該校網絡實行辦公和教學實訓兩條平行運行，網絡管理員在辦公網端無法實時查看教學實訓網端運行情況。而且在前期的運行過程中，管理員沒有進行有效規劃，導致兩個網絡中有重復的VLAN網段，在網絡管理過程中常常將兩個網絡中的IP地址記混，甚至在配置終端網絡信息時由于地址信息錯亂而導致網絡中斷。為了實現安全可視和協調防御的核心目的，該校通過部署潛伏威脅探針設備，匯聚行政辦公和教學實訓網絡流量，并以全流量分析為基礎，將安全態勢感知平臺作為安全大腦的核心，結合威脅情報、行為分析、UEBA、機器學習、大數據關聯分析、可視化等先進技術，對全網流量實現全網業務可視和威脅感知，從而全面發現各種潛伏威脅。

（一）網絡二層VLAN重新規劃

為了匯聚行政辦公和教學實訓兩個網段的流量，必須將兩個網絡二層VLAN進行重新規劃。由于呂梁市衛生學校行政辦公和教學實訓都位于一棟教學樓內，行政辦公位于六層、七層，教學實訓位于一到五層，結合之前網絡劃分，該校將行政辦公網絡劃分到VLAN100以下，而教學實訓網絡劃分到VLAN100以上。通過探針匯聚到態勢感知平臺的數據就有明顯的區分，管理員可以清晰地區分哪個網絡中的哪些數據有異常，并進行管控。

（二）安全設備聯動

態勢感知平臺將我校已有的防火墻、全網行為管理、終端安全管理設備作為基礎組件進行聯動，不僅作為安全數據采集，當發生重要安全事件或風險在內部傳播時，還可以通過聯動進行阻斷和控制，避免影響擴大。聯動方式涉及網絡阻斷、上網管理、終端安全查殺，可以有效輔助管理員進行問題閉環管理。

（三）網絡安全可視管理

通過全流量分析、智能分析能力和多維度的有效數據采集，實時監控全網的安全態勢、內部橫向威脅態勢、內網用戶對國際和國內業務外連風險、資產態勢、重點業務、全球網絡攻擊態勢和服務器風險漏洞等，讓管理員可以清楚地感知全網是否安全、哪里不安全、具體薄弱點、攻擊入口點等，并圍繞攻擊鏈來形成一套基于“事前檢查、事中分析、事后檢測”的安全方案，認清全網威脅，并輔助決策。

五、結束語

呂梁市衛生學校在數字化轉型過程中，大刀闊斧地對IT基礎設施進行了整改升級，在全市中職學校中配置屬于先進。盡管花費了一些費用，但是從長遠來看，利用集成機柜、制冷、供配電、監控以及綜合布線整體解決方案系統將是IT發展的趨勢，在高效、節能、靈活、安全、智能等方面都較之前的系統有著顯著地提升。在安全性方面，該校部署防火墻、終端安全管理、全網行為管理、日志審計等安全設備，并通過探針打通原來辦公行政網，利用人工智能技術進行分析解碼，實現在態勢感知平臺的可視化展示，使管理員可以對目前網絡資產心中有數，并快速定位故障和網絡攻擊。接下來，該校將會利用超融合技術對服務器進行虛擬化，使目前服務器使用率得到更大地提升，并結合本次改造，讓學校盡快完成數字化轉型。

作者單位：任宇寧 呂梁市衛生學校