沈阳大学：智慧校园进行时

　　沈阳大学在“十二五”伊始，成立了以学校主要领导为组长的学校信息化领导小组，制定了《沈阳大学信息化建设管理办法》。学校党委审时度势，科学谋划，明确了“整体规划、统一管理、校企合作、分步实施”的信息化建设工作思路，全面推进学校的信息化工作，把信息化工作放到学校转型发展的全局工作中来把握和推进，让信息化成为支撑、保障和促进学校转型发展的有力因素。按照规划，学校在2012年、2014年分步投入合计超千万元资金，在基础设施建设、信息资源整合、数据共享和应用系统的开发与运用等方面取得了长足进步，初步建成了校园信息化基础设施和数字化校园应用体系。

　　校园网扁平化改造

　　学校原有校园网采用三层组网结构，IPv4/IPv6双栈访问互联网，拓扑结构比较完整，但运行环境复杂，网络故障较多，排查困难，日常运维的工作量大，IP地址不够用与浪费现象并存，网络接入安全管理较弱，出口带宽缺乏有效管理，有线网、无线网账号不统一等。

　　为解决上述问题，学校对基础网络进行重新规划设计和改造，将现在三层结构的校园网改造为基于BRAS的扁平化大二层网络架构。扁平化大二层网络改造是从网络中设备所承担的功能上分区，从逻辑结构上将校园网划分为业务控制层和宽带接入层。

　　在网络架构方面，采用大二层扁平化网络架构，核心层选用功能丰富、性能强大、支持多种认证方式的BRAS设备；在认证方面，采用实名制认证上网，可实施多种认证方式和灵活的计费策略，实现有线、无线融合一体化认证，且能够与学校的一卡通系统、校园信息门户和统一身份认证系统对接；在校园网出口方面，保障校园网业务安全、可靠，较强的抗攻击能力，实现校园网流量疏堵结合控制，并对用户上网行为进行管控和审计，追踪溯源；在校园网原有设备方面，各楼宇汇聚层和接入层设备充分利旧，保护、节省原有投资。

　　在校园网扁平化建设基础上，对校园网出口进行升级改造，包括出口防火墙、流控设备、应用缓存设备。实现对原出口防火墙负载分担，同时起到互为备份的作用，消除出口防火墙单点故障。扩容流控容量，实现对所有出口的流量进行控制和应用识别，有效地控制P2P下载和视频的流量大小，保障关键网络应用和服务的带宽，满足大多数用户群体的需求。同时，与行为审计配合工作，对校园网用户上网行为进行监控管理和可溯源，为校园网络行为管理提供安全保障。部署流量控制设备可以有效解决Internet出口带宽滥用问题。

　　通过扁平化改造，实现了校园有线网、无线网一体化，提供多种认证方式和多样灵活的计费策略，提高校园网管理和服务的水平，实现对校园网络、用户、出口流量的精细化管理，且与校园信息化进行深度融合，提升了学校信息化建设水平。

　　打造学校私有云数据中心

　　2013年云计算技术开始大规模在各高校部署，沈阳大学在衡量行业内技术参考其他高校的建设成果后，规划建设私有云数据中心以支撑沈阳大学的系统应用，从而满足未来发展需求，重点建设了高性能的云计算资源池、统一的云存储应用与备份及云安全杀毒防护。在此基础上建立信息与应用规范，消除信息孤岛，为师生提供集成的个性化的服务。

　　通过全方位部署VMware虚拟化方案，有效打造了校园私有云数据中心，彻底解决了教学存储设备的整合及容灾备份、数据安全及稳定性保障等问题，同时将物理硬件资源集中在一起形成一个共享虚拟资源池，实施了服务器虚拟化，大幅降低了IT成本，优化了IT资源，加快了各教学单位教学信息化的进程，对教学、学生、人事、校园一卡通等系统的建设以及资源共享平台的建设起到了积极的推动作用。

　　针对私有云数据中心，目前，这些运行核心业务系统的虚拟机我校采用“无代理防毒“这一虚拟化防护新模式，即虚拟机无需安装任何插件即可收到物理机的防病毒保护。云安全杀毒软件通过同VMware ESXi虚拟主机及VMware vShield Endpoint安全组件深度集成，以“无代理防毒”方式部署在虚拟机上，在全盘扫描时可以解决可能出现的服务器瘫痪问题，无需占用任何客户虚拟机资源即可保护VMware虚拟机，防止其受到病毒、间谍软件、木马和其他恶意软件的侵害。

　　加强网络安全建设

　　通过在互联网出口处部署上网行为管理，网络出口处部署下一代防火墙，达到了节约带宽投入，保证重要业务系统带宽，保障内网安全，给师生提供绿色网络环境的目标。通过部署VPN使师生随时随地访问图书馆资源。

　　上网行为管理系统支持流量控制技术，可以对P2P流量进行限制，多线路复用、带宽叠加技术，沈阳大学通过AC同时连接多条公网线路，提升整体带宽水平。同时结合多线路智能选路技术，做到流量的智能选路和负载均衡。对招生网站以及重要业务系统的应用进行带宽保障，给浏览学招生网站的学生和家长留下良好的形象。对于选课系统教务系统以及图书馆资源进行带宽保障，这样更有利于学生老师在良好的网络环境下教学和创新。

　　教师和学生在访问Internet时，常常会无意中下载到一些包含恶意病毒的文件，这些病毒程序通常是极具破坏力的，严重时会造成计算机系统崩溃，使员工无法正常工作。而如果在上网过程中使用上网安全桌面，则可以有效地防止这些病毒程序对本机造成破坏。

　　当教师和学生使用安全桌面上网，文件、注册表重定向技术使本机内真实文件与注册表得到了保护，而访问目录权限功能使病毒无法访问继而感染本机内部文件，有效防止了病毒对本机系统的破坏，弥补杀毒软件对安全事件事前防护的不足。

　　上网安全桌面采用国际领先的沙盒技术保证了它能给用户带来一个干净、安全的网络应用环境，让用户使用起来再也不受病毒、木马泛滥的困扰。同时，下一代防火墙具有网关杀毒功能，对教师和学生接收的邮件、访问的网页、下载的文件进行病毒过滤，降低内网用户感染病毒的风险。

　　针对已经感染了木马的终端，传统安全设备难以检测，NGAF提供恶意流量检测功能，可以有效发现已经被黑客远程控制的终端PC，防止内部资料的泄密和非法利用，同时能够拦截不良网页，终端漏洞和APT防护，对文件传输进行有效控制等等。上网行为管理系统，能够实现对于所有用户网络行为的管理和审计，并且具有强大的审计报表功能，便于客户查询审计记录。通过在区域边界处的AF、AC的部署，完全满足等级保护对于网络安全中访问控制、入侵检测、恶意代码防范、安全审计、边界完整性的要求。

　　完善网络和信息安全管理。构建网络与信息安全监控预警体系，全力保障校园网络安全稳定、保障信息安全；制定校园网络和信息安全策略，部署分区域、多层次的校园网络安全架构，重要数据做到本地保护和异地容灾备份、关键应用服务做到负载均衡，从而提高学校数据中心设备的稳定性和安全性。

　　学校已全面使用统一身份认证系统和信息门户，实现“一站式”服务。重点建设网络教学平台及教学资源平台，建设教师和学生专属网络空间。并初步建设校园云计算应用环境，推进智慧型校园建设进程。

　　本报记者 冯霄霞