校园等保2.0建设方案

        随着高校信息化建设的不断开展，几乎所有的高校都建立了自己的校园网，校园网络安全不仅关系到学校的正常运转，还关系到师生个人 信息安全以及校园和谐稳定。由于网络具有开放性，以及本身存在的技术弱点和人为疏忽，因此在网络发达的今天，保障校园网络安全至关重要！

        网络安全是一场没有硝烟、没有终点的战争。学校开学后，各种学习资料、教学材料、实验数据、办公数据将被重新激活，这些数据在传输过程中就会存在着潜在的风险。那么，为什么要建设校园等保2.0方案呢？

归纳起来，主要有三个方面的要求：

一是国家法律法规的要求。早在2014年10月，教育部办公厅就印发了《教育行业信息系统安全等级保护定级工作指南（试行）》的通知，对教育行业信息系统进行分类，提出安全等级保护的定级思路，给出建议等级，明确工作流程。

2017年6月1日，《中华人民共和国网络安全法》正式实施，进一步明确相关单位对于核心数据和业务高可用的职责，对于落实不到位导致数据丢失、业务停顿，影响正常生产生活的行为，还明确了处罚的条例。

2019年12月1日起，《信息安全技术网络安全等级保护基本要求》（简称：等保2.0）正式实施，作为我国网络安全领域的基本国策、基本制度和基本方法，等保2.0根据信息技术的发展和网络安全的形式发生变化，在等保1.0的基础上，更加注重主动防御、动态防御、整体防控和精准防护。

二是信息系统运营商向外提供业务服务时，需要通过相关的等保测评，能向客户及利益相关方展示信息系统安全性承诺，提高用户与合作伙伴的信心。

三是校方自身安全需求，随着教育信息化2.0行动计划的推进，校园信息系统运营和业务部门，通过开展等保工作，及时发现可能存在的数据安全隐患和业务中断的风险，进而通过建设相关的灾备项目，提升校园系统的安全防护能力，降低被攻击的风险和损失。

那么，如何做好校园信息化“等保”要求的安全建设？

根据多年的教育灾备项目交付经验，学校的IT部署、规模、地域的不一样，造成相同业务、机构对灾备恢复的RPO和RTO要求也不一样，归纳起来，下面的三种建设方案基本能满足大多数学校的信息化建设“等保”要求：

1、双活数据中心灾备方案

随着高校信息化建设在教学、科研、对外交流中的深入应用，校园规模的逐步扩大使得很多高校现有的设备已经无法满足同一学校多个校区的需求，同时存在单数据中心资源利用率低、数据丢失率高、业务中断时间长、数据恢复时间长等痛点。

针对这些痛点，双活数据中心灾备方案应运而生，其特点包括以下几个：

1）业务双活访问，充分利用资源；

2）业务不中断，数据零丢失；

3）易扩展，便于升级；

4）设备统一管理，维护成本低。

2、同城灾备解决方案

当前，大部分学校的业务主要在一个地方开展，若是希望在预算有限的情况下满足数据的一致性，则可以考虑同城灾备的解决方案，即将数据中心与灾备中心安排在同一区域。

如图同城灾备方案所示，左边区域为数据中心站点，右边区域为灾备站点，数据中心站点配备两套数据库服务器保证业务的高性能，快速响应及高可用性。同时，磁盘数据通过同 / 异步复制技术将数据复制到同城灾备中心。此方案可以实现 RTO 与 RPO 值的最小化，有效保障数据的一致性与业务连续性。此外，英方同城灾备方案具备跨平台、远距离窄带宽的优势，用户可以最大化进行设备利旧，实现投资利益最大化。

3、CDP+HA解决方案

教育行业的某些重要应用对于业务连续性以及可用性的要求很高，如一卡通系统、财务系统等。如何在这几类应用出问题时，实现数据和业务的快速恢复，CDP（持续数据保护）技术起到了关键作用。

CDP 的定义主要有以下三点：首先，可以捕获任意的数据变化；其次，至少可以备份到另外一个地方；第三，可以恢复到任意时间点。

HA（高可用）作为保障业务连续性的法宝，能对服务器资源状态进行实时监控，在发现业务系统异常时，可以自动或手工切换至灾备服务器，保证业务的连续性。CDP+HA 的解决方案中，HA 保障业务接管，CDP 则保障RPO接近于0，两者协同工作能确保用户在遭受网络攻击、系统宕机、误操作等事件发生时，能即时解决数据丢失、业务停顿的问题。