经过不断发展和完善的信息化进程，东北财经大学完成了校园网络的广泛覆盖和带宽升级。同时，学校数据服务区运行门户网站、电子邮件、数字校园、移动办公等重要业务系统。随着各种应用系统的不断推出，逐渐形成了为师生服务的重要综合性校园网络平台。但另一方面，承载学校业务流程的信息系统安全防护和检测技术手段仍相对落后。在当前复杂多变的信息安全形势下，无论是外部黑客入侵、内部恶意使用，还是大多数情况下内部用户无意中造成的安全风险，都给学校的网络安全管理带来了很大的压力。与此同时，勒索病毒的爆发、信息泄露、上级部门的要求、法律法规的监督，实际上给学校的信息安全管理带来了越来越大的压力。根据《网络安全法》和《网络安全等级保护2.0标准》的要求，笔者在现有架构下对东北财经大学校园网进行了安全加固设计，提高了校园网的主动防御、动态防御、整体防控和精准防护能力。

在互联网攻击逐渐从网络层转移到应用层的背景下，学校各种业务系统在开发过程中不可避免地会留下一些安全漏洞。目前，学校安全防护只部署了校园网出口的网络安全网关设备，传统的网络尽的应用层安全威胁。黑客利用各种漏洞发动缓冲区溢出，SQL注入，XSS，CSRF等待应用层攻击，获得系统管理员权限，从而窃取和破坏数据，对学校核心业务数据的安全构成严重威胁。数据的重要性是不言而喻的，特别是对学校的各种学生信息、一卡通等财务数据信息是安全保护的首要任务。如有遗漏，不仅损害了学校师生的利益，而且造成了巨大的不利影响和法律责任问题。东北财经大学出口7Gbps带宽由电信、联通、移动、教育网等运营商组成。随着学校网络规模的扩大和提速降费的背景，互联网出口将达到15Gbps以上带宽，原带宽出口网关缺点显示：包括网关性能不足，不能支持大带宽，旧设备不能胜任大流量转发工作；IPv6.网络不兼容，不能平稳升级，后续不能符合国家政策IPv6.改造规划；互联网审计和流量控制功能不完善，原网关未整合互联网行为审计功能，未完全满足网络安全法，确保合规互联网；不支持应用流量控制，带宽出口流量控制效果差；缺乏有效的管理和分析方法，没有良好的管理和分析方法。同时，等级保护2.0还要求云安全和虚拟化环境下的网络安全。东北财经大学信息化建设起步较早。目前，大部分校内数据中心都实现了虚拟化，主要业务系统都在虚拟机上运行。虚拟化技术大大提高了硬件资源的利用率和业务的高可用性。然而，120多台虚拟机的安全隔离和虚拟化环境已成为安全建设的新问题。为响应《网络安全法》和国家新颁布的网络安全等级保护2.0的相关要求，提高东北财经大学数据中心的整体安全保护和检测能力，需要在以下方面进行安全建设：（1）构建安全有效的网络边界。主要通过增加学校数据中心的边界隔离保护、入侵保护、Web应用防护、恶意代码检测、网页防篡改等安全防护能力，减少威胁攻击面和漏洞暴露时间。（2）加强网络风险识别和威胁检测。针对突破或绕过边界防御的威胁，需要提高内部网络的连续检测和外部安全风险监测能力。主要技术手段包括：网络流量威胁检测、僵尸主机检测、安全事件感知、横向攻击检测、终端检测响应、异常行为感知等。(3)形成全网流量和行为可视化的能力。优化带宽分布，提高师生在线体验；过滤不良网站和非法言论，确保学生健康安全上网；全面审计所有网络行为，满足《网络安全法》等法律法规的要求；在网络行为可视化的基础上，需要进一步形成校园网络可视化的能力。