深圳信息職業技術學院：構建“三體”安全架構，護航“世界名校”創建

“云、大、物、智、移”等新興技術不斷催化產業與業態變革，為順應國家“走出去”發展戰略，提升職業教育發展質量及人才競爭力，國家提出“雙高計劃”（即中國特色高水平高職學校和專業建設計劃），教育部、廣東省人民政府也發文聯合推進深圳職業教育高端發展，爭創世界一流。

深圳信息職業技術學院（以下簡稱“深信院”）作為國家“雙高計劃”院校之一、職業教育創新發展高地“排頭兵”，希望通過信息化升級改造，促進信息技術與課堂教學深度融合，打造現代智慧職教，構建職業教育新生態，從而促進學校“雙高示范立起來”、“高職本科辦起來”、“世界名校建起來”戰略目標的達成。

網絡安全現狀

深信院新校區的基礎網絡始建于2010年，運行時間均超過7年。學校在安全出口及核心網絡上采取了相關安全防護措施，如：在出口部署了下一代防火墻、上網行為審計、VPN等；在核心和服務器區部署了下一代防火墻、虛擬化防火墻、WAF、數據庫審計、堡壘機、漏洞掃描器、基線核查、安全態勢感知平臺、企業級殺毒軟件等。

這些軟硬件在學校校園網安全中發揮了極大的保護作用，但隨著大數據、人工智能、云技術、物聯網等新技術在校園云化數據中心、智能門禁、校情分析決策、學情分析預警以及平安校園等場景廣泛應用，現有的安全基礎設施難以滿足學校智慧校園建設和發展的全面安全防護需求。

網絡安全建設思路與架構設計

為推動校園信息化快速發展，為“世界名校”建設保駕護航，深信院提出“三體架構”，即網絡安全技術體系、網絡安全管理體系、網絡安全運營體系。

1. 構建安全合規、風險可控網絡安全技術體系

深信院以《網絡安全法》、《網絡安全等級保護2.0標準體系》等為依據，特別針對等保2.0的新增和加強要求，規劃了“一個中心、四重防護”（安全管理中心、基礎設施、安全區域邊界、安全通信網絡、安全計算環境）的建設思路，全面提升現有二級等保業務系統的合規能力，健全安全技術和管理能力。此外，在等保合規基線之上，又針對學校關鍵網絡、核心業務、重要數據實施重點保護。

同時，根據《數據安全法》對數據的保護要求，深信院攜手深信服構建了云、網、端結合的主動安全防御體系。首先，對學校重要數據進行分類分級，明確敏感數據；其次，搭建了數據安全監測預警平臺，實現了從數據采集、傳輸、存儲、處理、交換、銷毀的六大階段，對敏感數據進行監測；最后，當需要使用敏感數據時采取脫敏措施，實現全方位安全合規有效、風險可防可控的目標。

2. 打造責任到位、高效有序網絡安全管理體系

管理體系是安全措施有效落地保障，深信院主要從以下幾方面構建網絡安全管理體系。

在制度保障層面：

組織修訂了《深圳信息職業技術學院信息安全規章制度匯編》及具體網絡安全操作規程，構建了安全管理主框架。

在組織架構層面：

對包括領導層、管理層、執行層在內的組織架構進行分層設。強調執行層面的學校業務老師與外部安全專家相互配合，保障學校安全措施落地。

在平戰結合層面：

針對學校日常安全運營和戰時安全運營等不同場景，制定不同觸發條件下的應對措施，并進行針對性訓練提高不同場景下的攻擊應對能力。

在能力保障層面：學校為持續提升網絡安全運營人員的安全能力，與深信服聯合推出從初級到高級的安全認證，通過培訓--認證--實踐的方式有效提升人員專業能力。

3. 建立立體智能、協同創新網絡安全運營體系

建立好安全技術體系和管理體系后，還需要一套運營流程體系保障安全工作持續有效的運行。在運營體系上，深信院全面梳理信息化資產、理清部門權責、優化流程制度、強化安全運營的分類和績效管理。

權責劃分：對安全部門、業務部門、二級學院等部門進行權責劃分，出現安全事件后落實到部門和負責人，保障安全事件高效閉環。

安全運營流程：通過智能化的安全技術平臺結合深信院安全事件處置流程設置不同的工單派發，當出現安全事件、安全通報、威脅預警以及應急響應時將工單及時派發給對應的責任人限時處置。

分類分級：針對校園業務的責任主體、應用場景進行分類，根據安全事件的關聯業務重要性、受損程度以及影響范圍等因素劃分分級處理級別。

可視化運營：借助深信服安全技術平臺對全校業務資產進行可視化安全運營監測，通過智能化手段早一步發現學校的安全隱患。

深信院通過“三體架構”的不斷演進，最終實現構建全校“一盤棋、一體化、常態化”的網絡安全協同工作支撐平臺，夯實了網絡安全運營工作，實現了安全防護關口前移，達到“早發現、早預警、早處置”的防控目標。