中职学校网络信息中心机房整改与升级——以吕梁市卫生学校为例

105
I
nternet Application
互联网+
应用
一、学校网络基本情况
吕梁市卫生学校是一所全日制三年制中等卫生职业学校，学校现有网络为十多年前新建教学楼时部署，经过多年发展，网络缝缝补补、几经维护，网线私搭乱建，维护人员也换了几波，导致现在运维人员几乎找不到之前部署的线缆，而增加业务需要部署网络时再新增网线，这样恶性循环导致运维人员苦不堪言，网络负载很重，排查故障难度很大。

同时，职工私接路由器导致环路和无法自动获取地址上网的情形时常发生。

该校计算机教室经常承担社会各种等级上机考试，为了保证足够的网络带宽出口，学校网络结构设计为行政办公网络和教学实训网络两条线，计算机教室附属于教学实训的子网络。

随着信息技术的发展，学生上课对网络的依赖程度也越来越强，之前只在行政办公网络中部署了安全设备，而教学实训网络没有部署任何安全设中职学校网络信息中心机房整改与升级
——以吕梁市卫生学校为例
员在运维管理过程中顾此失彼，无法同时兼顾管理等等。

本次新增安全设备主要针对教学实训网络。

二、机房基础设施整改与升级
在机房基础设施建设改造过程中，吕梁市卫生学校大刀阔斧地采用了新风集成机柜、供配电、制冷、监控和综合布线的整体解决方案系统。

首先，利用模块化设计，使得供配电系统处于合理的带载率区间内，以提高电源效率。

供配电系统采用2N 设计，将之前较新的不间断供电系统UPS 接入新的双电源自动切换开关ATS 中，当做备用电源。

在主UPS 电源供电不足的情况下，备用电源还可持续供电4小时左右，实现冗余设计，以满足机房设计要求，提高安全等级。

其次，采用行级制冷单元，配置两个列间恒温恒湿精密空调，结合封闭冷/热通道，以提高制冷效率；密闭冷通道顶部采用活动顶板，与消防联动，不影响气体灭火系统；消防系统通
摘要：当前许多学校正面临数字化转型，对信息中心机房的安全防御系统的可靠性、稳定性和安全性有着严格的要求。

同时，网络的快速响应能力、用户上网的安全性以及网络状况的实时可视化、可管可控性也对安全防御系统提出了一定的要求。

本文先从信息中心机房基础设施改造开始，介绍了吕梁市卫生学校（以下简称该校）教学实训网络中安全防御设备的部署，并使用态势感知平台实现了网络设备汇聚、可视、可管、可控的功能。

关键词：安全防御；态势感知；机房建设
图1　模块化机房设计与改造图
备，属于“裸跑”状态，随时都有可能带来网络安全风险和影响。

近几年，国家对网络安全重视程度逐年加强，因此配置安全可靠的网络也迫在眉睫。

另一方面，安全性也不仅是指防火墙、入侵检测、防病毒等安全防范措施，更包括数据中心对于火灾、地震和其他灾害的应对。

网络信息中心机房基础设施的各种问题日益凸显，比如线路陈旧老化对网速影响很大；停电后空调无法自行启动，机房温度过高对网络设备寿命造成影响；服务器由于温度过高自行停止导致业务中断；网络病毒威胁无法实现实时监控，局域网中用户涉密数据容易泄露；两条网络线平行运行，IP 地址混乱，VLAN 划分重叠；网络管理
I nternet Application
互联网+应用
过烟感和温感模块，当机房有异常情况发生触发消防主机时，主机会自动激活七氟丙烷气体罐阀门进行灭火。

最后，采用嵌入式网络型监控设备，轻松实现手机等移动终端远程监控、功能模块管理；可通过温度和湿度传感器、采集器，实现对机房内各功能模块的不间断实时监控；动力环境智能监控系统能够适应机房管理人员通过手机、大屏幕、电脑等多种途径的管理需求，并实时发出告警信息。

在综合布线方面，将原来凌乱繁杂的线缆通过机柜顶端的走线梯和走线槽进入机柜内部后，光纤入光纤列头柜，网线入网络配线架，各机柜间通过跳线进行互通，线路整洁，寻线方便，且不容易造成线路断路。

如图1所示。

三、无线网络实现安全可控
（一）无线基础设施升级改造
该校教学实训无线网络在几年前就已经实现全校覆盖，但由于当时联网用户数少，网络还算通畅。

随着无线用户数增多，网络管理控制器就越显吃力，由于竖井部署交换机使用时间较长，出现设备老化，对AP终端POE供电不足，AP终端掉线，会出现新用户无法获取IP地址的情况。

在登录无线控制器进行管理时，界面的切换也特别迟缓。

本次升级了无线控制器AC，划分了管理VLAN，在AC中划分地址池，为终端AP动态分配IP地址，并进行负载均衡，实现二三层无缝无感知漫游。

通过Portal认证方式，设置用户名和密码，对连接无线网用户进行精细化的行为管理、灵活的QoS控制、无线协议优化、中毒终端筛查、定位和封堵等。

同时，也对所有楼层连接AP终端的POE交换机进行了更换和配置，设置管理地址，管理员可通过AC控制器将楼层交换机和所有AP点进行可视化汇聚，在AC 控制器中，可以实现在WEB页面对交换机端口的开启、关闭和VLAN的划分。

而终端AP在经过多年发展，已经由原来的WiFi4发展到支持Wi-Fi6，甚至Wi-Fi7，考虑到大部分用户终端并不支持Wi-Fi7技术，AP终端升级为支持802.11AX的第六代Wi-Fi标准。

用户上网传输速度不仅提升5倍以上而且可以轻松满足各种高带宽业务的承载使用，如语音、4K/8K高清视频、VR/ AR、高清视频会议等。

（二）新增网络安全设备
在安全性方面，网络出口利用下一代防火墙实现出口路由转化以及二层以上网络安全的防护，自动识别系统中开放的端口和存在的漏洞以及设置的弱密码等风险。

通过防火墙中的虚拟端口转换技术，将内网中的部分端口进行地址转换，以实现访问外网；通过制定安全防御策略，封堵容易遭受勒索病毒攻击的3389、135、137、139等端口；通过应用丰富的安全创新防御技术和简单易用的操作，自定义规则库、内容识别库、URL分类库、IP地址库等，对要求保证网络联通性高的用户建立网络白名单，以保证其带宽；对于经常发起攻击和被攻击的对象，将其拉入黑名单，要求其排除故障后再重新联网，以增强网络边界的安全检测和防控能力，实现网络安全风险可视化展示与快速处置，让网络边界安全建设更有效、更简单。

通过安装终端安全管理系统EDR，实现对网络攻击全链条进行防护，从漏洞免疫到微隔离提前防护，以实现对终端和服务器的资产管理，并清晰地显示资产分组、终端设备的软硬件信息。

同时，对分组的终端进行远程运维、策略下发和一键升级，以实现对终端U口管控。

由于系统中存在不同风险的漏洞，如果没有及时发现和识别，非法攻击者可利用这些漏洞进入客户主机，并对业务和用户资料造成一定的影响和损失。

而EDR终端安全管理系统可以集成AI人工智能检测引擎，识别并修复内网终端系统漏洞风险，对中毒终端实现远程查杀病毒和隔离管控，对顽固病毒提供“云端－专家分析－下发处置－定位查杀”的专杀通道。

此外，还可以在管理端设置安全策略，只有安装EDR终端安全管理系统的电脑才可以上网，避免教室用户不安装杀毒软件进行“裸奔”上网，给全网带来安全隐患，以此加强系统的安全性。

为实现从入网、内部操作到出网整个流程可视、闭环管控和智能感知，在核心交换机上，设置镜像端口部署全网行为管理AC设备。

首先，AC数据中心能够帮助系统管理者透彻地了解教职工的网络行为内容和行为分布情况。

借助AC的管理功能，管理员能实现分时间段、基于用户、基于应用、基于行为内容的网络行为控制，限制员工上班时间的无关网络行为，减少教职工因效率低下带来的加班、离职、薪金浪费、额外薪金支出等问题。

其次，由于网络资源丰富多彩，但又良莠不齐，通过AC应用管理功能，可以过滤掉违法违规网站和应用以及含有不良关键字的信息，最大限度地减少舆论风险对学校声誉带来影响。

再次，通过AC制定优化的带宽管理策略，在工作时间保障核心用户和核心业务所需带宽，限制无关业务对带宽的占用。

例如，在上课时间限制用户对短视频和P2P下载流量的使用，以保证计算机机房学生的上网需求等。

此外，在面对涉密文件的泄露等事件时，遇到无法溯源和追责的情况，通过AC可以绑定用户的IP地址和MAC地址，记录IP对应的使用者，只有被绑定的IP才能连接网络，并实现基于内容发送过滤，发生管控文件、邮件、异常流量、用户异常行为等情况时，及时发起告警，通过查看日志报表发现泄密用户，实现“事前预防、事中拦截、事后追责”。

最后，
106
I nternet Application
互联网+应用
利用其终端检查功能，对用户接入终端后进行安全性检查和终端控制。

安全性检查主要包括操作系统检查、文件检查、补丁检查等检查规则、注册表检查、进程检查、计划任务规则，检查完之后支持按照检查结果控制访问。

控制场景包括外联控制、外设管控等，检查终端是否存在未授权的连接外网行为，包括拨号检查、无线网卡检查、连接外网检查等，如果检测到存在违规，则禁止终端网卡实现访问控制。

为了完整地保存安全设备日志，对安全事件实现可发现、可处理、可审计、可度量，该校部署了日志审计分析管理系统，将防火墙、终端安全管理EDR、全网行为管理AC设备中产生的成千上万条原始日志汇聚到日志审计分析管理系统，并进行合规的运维分析，以便及时发现异常和违规事件。

根据等级保护2.0的要求，从安全审计、入侵防范及管理等维度，对网络安全设备、主机安全、应用安全和系统运维管理等多方面进行细化，学校管理员可以根据需求，通过简单的拖拽操作调整仪表盘或审计报表，以提升日常安全运维的水平，实现信息系统IT计算环境日志信息的集中管理，全面掌握IT 计算环境运行过程中出现的隐患。

在行政办公网络中，为了便于管理员对新增安全设备、服务器、交换机进行管理，记录厂家工程师对设备的操作，吕梁市卫生学校部署了运维管理安全系统，其集用户管理、身份认证、资源授权、访问控制、操作审计于一体，通过在教学实训防火墙设备中进行虚拟端口映射，办公网络管理员可以根据职责划分权限访问，有效防止因越权行为而导致的敏感数据泄漏。

在用户执行高危命令时，运维安全管理设备可以实时阻断，将所有的操作转换为图形化界面并予以展现，同时还能对字符进行分析，包括操作命令、回显信息和非字符型操作时键盘、鼠标的敲击信息，以此保障运维过程业务系统的安全可靠。

由于运维失误导致业务中断时，可以通过系统中录播回放，真实还原行为场景，并追溯事件过程。

四、全网流量探测，安全态势感知
由于该校网络实行办公和教学实训两条平行运行，网络管理员在办公网端无法实时查看教学实训网端运行情况。

而且在前期的运行过程中，管理员没有进行有效规划，导致两个网络中有重复的VLAN网段，在网络管理过程中常常将两个网络中的IP地址记混，甚至在配置终端网络信息时由于地址信息错乱而导致网络中断。

为了实现安全可视和协调防御的核心目的，该校通过部署潜伏威胁探针设备，汇聚行政办公和教学实训网络流量，并以全流量分析为基础，将安全态势感知平台作为安全大脑的核心，结合威胁情报、行为分析、UEBA、机器学习、大数据关联分析、可视化等先进技术，对全网流量实现全网业务可视和威胁感知，从而全面发现各种潜伏威胁。

（一）网络二层VLAN重新规划
为了汇聚行政办公和教学实训两个网段的流量，必须将两个网络二层VLAN进行重新规划。

由于吕梁市卫生学校行政办公和教学实训都位于一栋教学楼内，行政办公位于六层、七层，教学实训位于一到五层，结合之前网络划分，该校将行政办公网络划分到VLAN100以下，而教学实训网络划分到VLAN100以上。

通过探针汇聚到态势感知平台的数据就有明显的区分，管理员可以清晰地区分哪个网络中的哪些数据有异常，并进行管控。

（二）安全设备联动
态势感知平台将我校已有的防火墙、全网行为管理、终端安全管理设备作为基础组件进行联动，不仅作为安全数据采集，当发生重要安全事件或风险在内部传播时，还可以通过联动进行阻断和控制，避免影响扩大。

联动方式涉及网络阻断、上网管理、终端安全查杀，可以有效辅助管理员进行问题闭环管理。

（三）网络安全可视管理
通过全流量分析、智能分析能力和多维度的有效数据采集，实时监控全网的安全态势、内部横向威胁态势、内网用户对国际和国内业务外连风险、资产态势、重点业务、全球网络攻击态势和服务器风险漏洞等，让管理员可以清楚地感知全网是否安全、哪里不安全、具体薄弱点、攻击入口点等，并围绕攻击链来形成一套基于“事前检查、事中分析、事后检测”的安全方案，认清全网威胁，并辅助决策。

五、结束语
吕梁市卫生学校在数字化转型过程中，大刀阔斧地对IT基础设施进行了整改升级，在全市中职学校中配置属于先进。

尽管花费了一些费用，但是从长远来看，利用集成机柜、制冷、供配电、监控以及综合布线整体解决方案系统将是IT发展的趋势，在高效、节能、灵活、安全、智能等方面都较之前的系统有着显著地提升。

在安全性方面，该校部署防火墙、终端安全管理、全网行为管理、日志审计等安全设备，并通过探针打通原来办公行政网，利用人工智能技术进行分析解码，实现在态势感知平台的可视化展示，使管理员可以对目前网络资产心中有数，并快速定位故障和网络攻击。

接下来，该校将会利用超融合技术对服务器进行虚拟化，使目前服务器使用率得到更大地提升，并结合本次改造，让学校尽快完成数字化转型。

作者单位：任宇宁 吕梁市卫生学校
107。