2014年4月18日，西南民族大学联合华为技术有限公司召开高校信息化网络创新应用研讨会。图为华为公司安全产品总经理刘立柱。

　　刘立柱：非常感谢这一次有这个机会能够跟大家分享高校信息化的网络安全。在分享之前请允许我自我介绍，我是刘立柱，是华为公司负责网络安全的。

　　我们知道现在的师生利用网络完成科研、教学和学习工作交流的各种各样的任务，网络要求非常的开放，但是开放的后面可能有很多安全的隐患和需要，所以今天我们就想借这个机会一起分享一下高校信息化的网络安全是如何解决这个问题的。

　　首先，我们先从校园网的趋势和需求分析这一块来看一看究竟校园网在互联网大趋势下有哪一些看得到和看不到的安全隐患以及需求。回过头再看高校校园网其实如果从业务承载的类型，开放性以及用户的内涵来讲，远远是一个最复杂的校园网，比政府网，一般的企业都要复杂。为什么?一般的企业来讲他业务的要求可能就是办公的网络，或者是一个具体的业务网络，他的管控一般来讲是比较有规则的。但是校园的特点要承载很多开放式的教学，要科研，学习以及业务的交流，所以他的业务类型也是非常复杂的。也是因为它承载大用户，用户的要求更加灵活和开放，不要接受更多的严格管控，所以有最复杂的管理。所以校园网除了承载科学管理，科研，以及各种各样基于科研性质，实验性的业务应用和拓展。我们知道当年谷歌创业的时候就是利用校园网做的引擎，最后业务量大增之后差点儿把校园网给弄瘫痪了。

　　其实我们知道校园网用户除了学生，老师以外，更重要是使用习惯上不能像企业一样有很严格管控的。也就是说学生上网要求更加灵活，就涉及到互联网的安全风险。

　　再有就是一些复杂的网络结构。在上午的会议上我们看到了像西南民族大学在介绍自己业务部署的时候，我们知道每一个业务系统都是由各业务部门管理的，都是部署在网络的各层级上的。那么，网络的结构也因此造成了访问流量的复杂度，还有网络层级的复杂度，以及在网络当中也存在着ipv6、ipv4形态的网络结构也是不一样的，所以他的复杂度也是最高的。

　　同时还有最重要的一点是校园网是相对复杂的运营网络，出口类型有非常多，有教育网，也有电信、联通，移动各种各样的接入，它的形态是很复杂的。结合这些问题我们想我们的解决方案应该从这四个方面最本质的角度出发解决这些问题。校园网的开放性是连接着危机四伏的互联网，是一个大家工作和学生都离不开网络了，互联网深刻改变着我们的工作、学生生活各方面，像不断蓬勃发展的电子商务，到我们使用的微信、微博情感交流都依赖于它，正因为这样，我们看到了互联网其实存在着非常多的威胁和隐患。

　　我们举几个数字，75%的威胁是发生在应用层，也就是说网络的攻击在应用层会越来越多，这个会逐步的影响整个校园，无论是终端，还是网络设备都会成为感染的对象。比如说访问了恶意网站之后终端就会被感染，反过来造成使用的威胁和影响。在2012年我们看到150万种移动应用，32%有可能被植入恶意软件。

　　在校园网因为它的开放性，所以正在使用各种各样的互联网的存储来实现文件的共享，这些都会实际上造成很多恶意软件的传播，尽管有时候是无意，有时候甚至是以游戏的心态。所以这时候对校园互联网网络的效率和使用的效果造成很大的问题，这也是我们如何解决好校园网的开放性和稳定性，可靠性，同时又能够保证更加的灵活，更加稳定有效。

　　从这上面两个趋势可以看到其实从未来校园网络的演进趋势来看，第一个会逐步的云化。刚才上午的时候各位专家和老师，讲到了教学资源的共享，教学资源的有效利用方面都谈得很好。其实综合起来说也就是慢慢这些应用会逐渐收敛到统一的云中心里面去，云中心再统一分配提供更集中的服务，最后汇集到每个学生和老师的校园服务，所以这一块也是一个非常大的趋势。

　　第二个我们知道随时随地的接入的网络需求已经非常普遍的，刚才前面反复强调都是这样说的。我们的学生、老师乃至于每个人都离不开互联网，希望随时随地接入互联网，因此导致业务量会激增。

　　怎么样解决这些问题，一个校园网是丰富庞大的结构性，结构很复杂，他运营层面的要求很高，而且要求很灵活，能够去支配以后的业务发展和数据的建设。综合来看我们提出了一个校园网络安全方案的全景：

　　第一个就是整个校园网全网的安全应该能够按照敏捷校园网的构架实现全网的校园安全。它的核心就是能够实现更有效的感知的基础之上，原来我们只知道用户的IP，不知道他访问了什么，也不知道应用了什么。现在我们能够感知它，怎么样感知?就是通过专有的安全设备，通过跟BAS设备，BAS可能是我们部署的设备，也可能是引擎的交换机来实现信息的交付，让安全设备能够感知是哪一个用户接入到网络中来，实现了对他的感知。

　　第二个在感知用户的基础之上对业务访问的流量和类型做相应的感知，来实现全网的协防，无论是具体校内的访问，还是相互之间的访问都可以进行有效的管理。第二个是数据中心的安全，这一块是非常重要的命题，我们也要涉及到。再有一个要考虑到对于信息安全的把控，我们知道中国对于信息安全是有严格法规要求的，像公安部的82号文，对于信息访问的行为是有管理的，这块的话也是需要去符合合规要求的，在违法溯源方面要实现合规的要求。其次我们知道校园网很大的层面上是一个多出口的网络，他的运营模式也是多样性的，有可能是电信合建的，有可能是联通合建的，也可能是多出口的，那么怎么样实现最有效的经营，让链路实现最大化的利用，实现流量访问控制上的良好用户体验，既防止网络的滥用，又可以保证每个人更高用户体验这也是一个非常重要的方向。其次就是远程访问的安全，我们知道以后不仅仅是在校园内，有可能我们很多师生都会用远程的网络完成信息和资源的获取，这一块对于远程接入也有需要了。

　　综合来看从三个方面来重点讲一下。第一个我们在大数据下的全网安全的协防，刚才已经讲到了核心的本质是我们怎么样感知用户的网络流量的行为，我们在实践这个方案的时候是通过对于专业的安全设备，比如说出口防火墙，我们在这个地方是可以高端的设备，也可以是下一代的防火墙，能够通过跟认证系统实现一个联动，也可能是当前敏捷网络下我们跟敏捷交换机实现的联动，把用户和IT地址的关联关系通报给防火墙设备，这样的话一步就能全面掌控用户在网络中所有的流量行为特征，包括他访问的业务类型，访问的时间和位置等等内容，也包括内容本身。

　　第二个根据联动基础之上，我们实现一个增值化的服务，就是全面的管理和实现优化全面的升级。我们通过防火墙完成哪些是可以访问的，哪些是不能访问的，哪些应用给予的带宽是可以得到保证的，哪些应用带宽是要控制的，既保证权限的管理，又实现整个用户上网行为最优化的业务体验。

　　第三个就是能够对所有的访问的行为进行分析，实现一些违法的溯源，就是我们所说的大数据的分析。同时而言的话，就安全本身来讲，通过流量的感知我们识别出哪些流量可能是不安全的，这一块的话能够实现一个协同和联动，这一块是基于整个网络行为的一个统计分析来实现对于违法行为的审计和回述，同时实现安全。从这一点上延展看的话，不光光是安全本身，或者是上网本身的行为溯源，对于以后大数据下精准的运营，比如说我们搞运城的教学，我们想知道用户哪些内容访问的频次最高，就可以通过这个的解决方案来实现对它的大数据的分析，因为我们可以感知到每个用户他访问的业务内容的次数，频次，时间，位置等等的一些信息。要实现这样一个效果的话，首先是我们的安全系统跟相应认证计费系统的联动，这个联动不光是已有的像计费系统，包括我们华为BAS，还有敏捷交换机等等都可以通过把用户上网信息，上网过程当中的认证的信息通报给安全设备，安全设备感觉就可以感知到类型，无论是有线、无线的用户，认证后的用户和用户组信息，以及对应的策略都可以统一在安全设备的系统当中进行管理，就实现了认证也好，计费管理认证体验有一个完美的识别，可以感知每一个业务具体访问的网址，甚至于访问的内容能够做这个类型的分类，有很强的灵活的控制能力，实现联动关系。

　　最后产生的效果是多维度的一个经济化的访问控制。就是能够基于用户的，我们通过一个集中用户的策略管理，首先我们可以基于用户组的，比如说学生我可能给你分配的带宽是有控制的，对老师可能这个用户组的话我给予带宽管理是高于学生的，可能基于某一个时段的，我们知道可能在某一个上网的时段流量是有高峰的，我们根据流量的时间段下发策略，每一个时间段的控制策略是给到所有的用户，这样的话所有的用户得到一个基于时间段的控制。由于整个安全是识别应用的，就可以知道哪些是访问教学的网站，实现非常细致的管控和整理，这个就是在我们多维度的一个细化控制上去实现。还有就是基于流量路由的管理。

　　基于多维度的精细化访问控制来看，我们知道校园网是一个很大的要运营的网络，有这么多的用户，包括学生和老师进入到网络当中来，有的既需要收费的，有的可能跟运营商合作进行运营的。基于这样业务运营的要求就可以去实现，无论基于时间的运营也好，还是基于用户的也好我们都可以帮助来实现非常精细化的运营管理。

　　在精细化的运营当中其中非常重要的一块就是校园网络出口服务体验的优化，包括移动、联通、还是教育网，他可以非常好的基于类型，基于账号，基于时间段实现智能化的流量优化，可以实现流量在不同的链路上的分配，流量优先级的分配，他可以根据你的IP出口优化选路，也可以根据账号出口优化选录。同时还可以抑制P2P下载的流量，总之就是说在多链路的方面通过感知用户，感知用户的业务类型，感知你访问业务形态，通过你的策略控制实现非常好的一个优化管理的方式。

　　它实践最后的效果是什么?就是整个高校流量的最佳适配，无论是以教育访问的资源，还是普通互联网的资源，比如说在电信网络访问的效果会最好，还有一些是二级运营商的资源等等;还有就是像教育网内十毫秒的一些资源，以及去使用互联网访问的海外的网站，比如说MIT这些非免费的教育网站，这些流量的话其实不需要再做非常多的程序，通过追加出口的方式就可以实现追加的支配，就你想到的模式都可以在链路上进行最佳适配的调整。

　　其次，我们刚才已经提到了大数据分析，统一安全管理防护这一块，通过认证权限的统一来实现安全设备跟BAS设备实现对用户的账号同步。管理体系和安全体系的账号信息是完整同步的，我们可以根据用户的账号管理和运营权限实现精细化的管控。通过对用户的感知以后可以做一个回溯，比如说有可能在公路安全方面，对信息安全是有要求的，比如说我们在什么方面发了一个不该发的帖子，这时候就可以回溯到具体的人在什么时间和什么地点发表了什么东西，去满足监管的要求。

　　还有整个安全我们通过这样的模式可以实现大数据的关联分析，精准定位，我们可以知道某个人在某个时段内，他的流量是什么状况，而这个流量是有异常，这个异常我们就精准的定位出他会影响哪一些网络的使用，他的位置在哪里，这时候对他进行控制。

　　还可以实现更多的增值化的运营，比如说网络行为一些精准趋势化的分析。比如说我们建立了一个远程教学的服务，我们很想知道最近哪些课件是对学生最有吸引力的，我们通过这样的一个解决方案一样可以得出这方面的精准分析，实现对于网络数据也可以支撑教学的管理，这是我们在安全的基础之上进一步的发展。

　　刚才我们介绍了从大数据安全协防和精准流量管理的角度介绍了校园网数据中心的方案。同样我们可以看到未来在整个校园网中，我们知道校园网未来越来越重要IT的基础设施是数据中心，虽然可能不同的学校，信息化程度不一样，可能有的学校很多的应用还是分散的，但是一个重要的趋势就是他们会逐渐的集中起来，而且校园越来越需要基础设施的云化，能够提供更多的资源给师生来承载他们自主开发，或者是应用的业务类型。就像刚才谈到的谷歌，谷歌最早的搜索引擎是采用大学的校园网一样的。当然我们自己的承载也需要管理和服务，这一块数据中心的安全怎么样去解决?因为我们知道正因为有这样的需求，整个校园网数据中心，他业务承载类型和访问的类型，哪些用户来访问非常的复杂，你想在管理方面做的非常精准是很困难的，就要求我们在防护方案上要具备全面性，要预先做很多的保护，比如说在防火墙，在外围运用防火墙，还有防病毒网关上做配置，因为校园网是一个非常开放的模式，在这方面有很高的要求。所以要选择性能和特性，以及全面性是非常强的一个数据中心的防火墙。

　　他应该实现哪一些内容：第一个业务处理能力要非常的开放，能够去支撑D级别的放火中心，因为类型非常多，他要求灵活性很强，所以他要求抗攻击能力很行，小包达到12G能量的清洗能力。再一次对于业务类型非常多的web有本身的防护，还有云存储和云计算的资源给师生。

　　还有要考虑到未来移动互联网化已经，我们很多师生在外面异地出差、办公访问或者是做项目都会使用到校园网内数据中心的资源，要支持以后更多的远程访问，这样在我们的未来，我们自己提供的网关上就会是非常好的解决方案。另外一个是校园防私接方案要实现更高效的用户带宽和流量管理。

　　这个图片第一个是全网的安全协防，实现认证系统，BAS跟安全系统的完全联动，通过联动之后实现对于整个用户的访问流量他用户的业务行为，业务类型，业务本身的感知来实现精准的管控，无论是流量管控方面，还是在安全方面，还是在出口的路由选择方面，还有就是能够做非法溯源方面做精准的管控。

　　这个是创新的下一代防火墙，USG6000是全球第一的，他可以知道用户究竟在访问什么业务，在什么时间，什么地点访问什么样的业务，然后对于恶意的行为能够精准的识别，危险的检出率也是第一的，它知道访问是不是带有木马和恶意的特征，通过网络进行隔离，或者说对流量做相应的溯源和管理，能够去进一步的做相应的防范，实现全网的安全协防的联动。从评测和实际应用来看，基本上做到了性能第一，并发连接第一，吞吐量第一，也是几秒钟新建第一。这个是最快的数据中心防火墙，就是USG3500，是美国NSS评测机构给我们的评测结果，这个结果是他们所测过非常快的防火墙，也就是说它非常适配校园网高流量的部署要求，无论是吞吐能力，还是最大的并发数据连接，还是新建连接数据都是达到最优化的效果。还有就是安全数通全面融合，就是我们下一代的防火墙插卡，可以用在会议层，它可以把很多流量直接在会议层就封堵了，我们有10G，20G、30G的卡，可以实现很多的融合。

　　讲到所有这一切只是给大家呈现的是冰山之一角，其实真正的华为只有在冰山下面长期积累的能力，无论是文件信誉，IP信誉，以及邮件信誉，它承载出来了很多的安全成为，也是具备安全能力展示出来的安全品质。

　　这是华为为校园安全做的案例，感谢这些学校给华为提供的机会，我们希望在未来的日子里给更多的老师和同学，我们的校园网提供更好，更加便捷地，敏捷地的安全解决方案。谢谢大家!