近日，教育部印發《高等學校數字校園建設規范（試行）》（以下簡稱《規范》）。《規范》旨在貫徹落實《中國教育現代化2035》和《加快推進教育現代化實施方案（2018-2022）》的要求，在教育信息化2.0發展中，指導我國廣大高校規范化開展數字校園及智慧校園的規劃、設計、建設和實施，規定了基礎設施、信息資源、信息素養、應用服務、網絡安全和保障體系的通用要求。

本文以某高校數字校園建設為例，重點對《規范》要求的數字校園基礎實施、網絡安全和保障體系方面進行解讀。

數字校園網絡總體架構要點分析

數字校園基礎設施主要為各類信息化應用提供技術、設備和物理環境支持，主要包括校園網絡、數據中心、教學環境等。《規范》提出在同等條件下，應優先選用國產化自主可控設備，在安全合規的前提下，使用云服務作為高等學校數字校園基礎設施的補充。

在校園網出口區域，根據《規范》要求，首先應在校園網出口部署防火墻等安全防護設備；其次優先選擇框式x86架構的專用防火墻以適應高校出口高帶寬、高并發特點，從而為后續校園網態勢感知監測提供更多應用層數據。

在校園主干網區域，這一區域包括校園網核心、校園無線網、校園有線網、校園物聯網（可選）、校園5G網（可選）、其他校園專網等，網絡環境復雜，安全要求各不一樣。首先，不同網絡區域應劃分VLAN，不同區域之間至少采用ACL方式進行流量訪問控制，在重要的網絡區域之間建議部署防火墻進行網絡區域間邏輯隔離，對于財務專網等特別重要的業務系統可部署網閘進行網絡區域間物理隔離；其次，全校公用PC應強制統一部署終端威脅防御軟件，師生自有PC建議統一部署終端威脅防御軟件，在無線網區域或有線網訪客區域等不適宜統一部署終端威脅防御軟件的區域，建議在連接校園網的邊界部署病毒過濾網關系統；最后，校園物聯網建設應參照《物聯網感知層接入通信網的安全要求》（GB/T 37093-2018），而天融信作為該標準起草單位，可為廣大高校客戶提供專業建設指導與幫助。

在數據中心區域，云計算已然成為下一代高校數據中心建設的趨勢，但類似下一代互聯網建設存在IPv4和IPv6長期共存的情況，傳統物理服務器集群與高校私有云集群也將長期共存，此種情況下二者可選擇共用安全管理區內的安全系統。首先，數據中心出口可根據帶寬要求靈活選用框式或盒式的x86架構專用防火墻，為數據中心區域和校園主干網區域提供邊界隔離功能，同時開啟入侵防護、病毒防護、數據防泄漏防護等應用層檢測防護功能，為校園態勢感知系統提供數據源；其次，部署數據安全交換云支撐校園網內、校園網內外之間的文件安全傳輸；再次，非必要業務優先部署在基于超融合的校園私有云上，而校園網私有云上的業務系統須采用安全網元的方式進行部署防護，同時滿足合規要求；最后，從全局出發，建設覆蓋全校園網的態勢感知系統，從終端、網絡、數據中心多個層次進行監測、防護和預警。

數字校園建設三大關鍵點

國產化優先，加速自主可控進程

《規范》明確指出，“同等條件下，應優先選用國產自主可控設備”。天融信從自主ASIC芯片研究到國產CPU芯片應用研究、從推出國內首款具有自主知識產權的ASIC架構防火墻到發布基于國產軟硬件的天融信昆侖系列產品，始終走在網絡安全自主創新的最前沿，將國產化基因印刻在每一款產品之中。

網絡安全防御前置，實現防范于未然

《規范》明確指出“構建網絡安全態勢感知平臺，強化網絡安全風險的預測預判預警預防，實現網絡安全防御前置”。在高校數字校園建設中應考慮將態勢感知平臺建設成學校網絡安全運營的重要工具，廣泛對接終端、網絡、應用、安全等多維數字校園基礎設施，只有全面收集所有數據，才能構建實現安全運營中研判網絡安全風險發展趨勢的前瞻能力，對網絡安全風險演化呈現的疊加、聯動、放大、誘導等效應情況的出現進行及時防御。

持續經費保障，立足當下長遠布局

在數字經濟時代，網絡與信息系統承接著數字校園公共服務體系的方方面面，其網絡安全更是重中之重。而安全運營絕非一時之事，持續性的安全運營遠比一次性大量投入的安全設備采購更重要，只有將持續性的安全運營經費保障與科學完善的評價標準結合起來，才可保障高校數字校園建設的可持續發展。

數字校園建設產品選用參考