校园网网络安全设计方案(精选8篇)
校园网网络安全设计方案 篇1
[摘要] 计算机网络安全建设是涉及我国经济发展、社会发展和国家安全的重大问题。本文结合网络安全建设的全面信息,在对网络系统详细的需求分析基础上,依照计算机网络安全设计目标和计算机网络安全系统的总体规划,设计了一个完整的、立体的、多层次的网络安全防御体系。
[关键词] 网络安全方案设计实现
一、计算机网络安全方案设计与实现概述
影响网络安全的因素很多,全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术,等等。为了保护网络系统的安全,行整合,建立一个完整的、立体的、解决方案,可以防止安全风险的各个方面的问题。
二、计算机网络安全方案设计并实现
1.桌面安全系统
用户的重要信息都是以文件的形式存储在磁盘上,这样可以提高办公的效率,动办公的情况更是如此。件泄密等安全隐患。
本设计方案采用清华紫光公司出品的紫光信息安全保护系统”的商品名称。紫光算协处理器(CAU)、只读存储器(储器(E2PROM)等,以及固化在tem)、硬件ID号、各种密钥和加密算法等。紫光artCOS,其安全模块可防止非法数据的侵入和数据的篡改,2.病毒防护系统
基于单位目前网络的现状,在网络中添加一台服务器,用于安装必须结合网络的具体需求,将多种安全措施进多层次的网络安全防御体系,SS锁的内部集成了包括中央处理器(ROM),随机存储器(ROM内部的芯片操作系统这样一个全面的网络安全使用户可以方便地存取、修改、分发。造成泄密。特别是对于移防止文“紫光S锁”是清华紫光“桌面计算机CPU)、加密运RAM)、电可擦除可编程只读存COS(Chip Operating SysS锁采用了通过中国人民银行认证的Sm防止非法软件对S锁进行操作。IMSS。
保护网络安全的技术、手段也很多。一般来说,保护网络安但同时也造成用户的信息易受到攻击,因此,需要对移动用户的文件及文件夹进行本地安全管理,锁产品,(1)邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中,可防止病毒入侵到LotueNotes的数据库及电子邮件,实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作,并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。
(2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念,防毒模块和管理模块可分开安装。一方面使所有服务器的防毒系统可以从单点进行部署,管理和更新。(3)客户端防毒。采用趋势科技的使管理者通过单点控制所有客户机上的防毒模块,更新。其最大特点是拥有灵活的产品集中部署方式,不受支持SMS,登录域脚本,共享安装以外,还支持纯(4)集中控管TVCS。管理员可以通过此工具在整个趋势科技的防病毒软件,支持跨域和跨网段的管理,无论运行于何种平台和位置,装和分发代理部署,网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报,给管理带来极大的便利。3.动态口令身份认证系统动态口令系统在国际公开的密码算法基础上,通过十次以上的非线性迭代运算,先进的身份认证及加解密流程、先进的密钥管理方式,从整体上保证了系统的安全性。4.访问控制“防火墙”
单位安全网由多个具有不同安全信任度的网络部分构成,访问、辨别身份伪装等方面存在着很大的缺陷,方案选用四台网御防火墙,这些重要部门的访问控制。通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙,过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段,保护了单位网络服务器,使其不受来自内部的攻击,来自单位网内部其他部门的网络的攻击。一方面减少了整个防毒系统对原系统的影响,另
OfficeScan。该产品作为网络版的客户端防毒系统,并可以自动对所有客户端的防毒模块进行Windows域管理模式的约束,除Web的部署方式。
企业范围内进行配置、监视和维护并能显示基于服务器的防病毒产品状态。TVCS在整个网络中总起一个单一管理控制台作用。简便的安
结合生成动态口令的特点,加以精心修改,完成时间参数与密钥充分的混合扩散。在此基础上,采用在控制不可信连接、分辨非法从而构成了对网络安全的重要隐患。本设计实现通彼此隔离。这样不仅也保护了各部门网络和数据服务器不受如果有人闯进您的一个部门,或者如果病毒开始蔓
分别配置在高性能服务器和三个重要部门的局域网出入口,延,网段能够限制造成的损坏进一步扩大。5.信息加密、信息完整性校验
为有效解决办公区之间信息的传输安全,可以在多个子网之间建立起独立的安全通道,通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。SJW-22网络密码机系统组成网络密码机(硬件):是一个基于专用内核,具有自主版权的高级通信保护控制系统。本地管理器(软件)络密码机本地管理系统软件。中心管理器(软件)机设备进行统一管理的系统软件。6.安全审计系统根据以上多层次安全防范的策略,安全网的安全建设可采取的方法,“内审息是否泄密,以解决内层安全。安全审计系统能帮助用户对安全网的安全进行实时监控,及时发现整个网络上的动态,发现网络入侵和违规行为,重要的一种手段,安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。
在安全网中使用的安全审计系统应实现如下功能:成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。本设计方案选用汉邦安全审计系统是针对目前网络发展现状及存在的安全问题,人员而设计的一套网络安全产品,制系统。
(1)安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上,其监视目标主机的人机界面操作、监控及共享资源的使用情况。心为主机传感器设定监控规则,文件保护审计和主机信息审计。①文件保护审计::是一个安装于密码机本地管理平台上的基于网络或串口方式的网
:是一个安装于中心管理平台(忠实记录网络上发生的一切,”的安全审计系统作为安全审计工具。是一个分布在整个安全网范围内的网络安全监视监测、同时获得监控结果、Windows系统)上的对全网的密码“加密”、“外防”、“内审”相结合提供取证手段。作为网络安全十分安全审计数据生
面向企事业的网络管理控RAS连接、监控网络连接情况网络管理员通过安全监控中主要功能有
”是对系统内部进行监视、审查,识别系统是否正在受到攻击以及内部机密信安全审计自动响应、“汉邦软科安全监控中心是管理平台和监控平台,报警信息以及日志的审计。文件保护安装在审计中心,可有效的对被审计主机端的文件进行管理
规则设置,包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。
②主机信息审计:对网络内公共资源中,所有主机进行审计,可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。
(2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内,系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。
②监视键盘:在用户指定的时间段内,截获户实时控制键盘截获的开始和结束。③监测监控RAS连接:在用户指定的时间段内,记录所有的时控制ass连接信息截获的开始和结束。当连接的操作。
④监测监控网络连接:在用户指定的时间段内,记录所有的网络连接信息UDP,NetBios)。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表,当出现非法连接时,系统将自动进行报警或挂断连接的操作。单位内网中安全审计系统采集的数据来源于安全传感器,保证探头能够采集进出网络的所有数据。上,负责为主机传感器设定监控规则,同时获得监控结果、报警信息以及日志的审计。内网中的安全计算机为600台,需要安装7.入侵检测系统IDS
入侵检测作为一种积极主动的安全防护技术,实时保护,在网络系统受到危害之前拦截和响应入侵。的角度出发,入侵检测理应受到人们的高度重视,可以看出。
根据网络流量和保护数据的重要程度,选择的交换机处放置,核心交换机放置控制台,和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。在单位安全内网中,入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间,通过实时截取网络上的是数据流,他网络违规活动。8.漏洞扫描系统
本内网网络的安全性决定了整个系统的安全性。患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户,持式扫描仪和机架型扫描服务器结合一体,网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品,程较高的扫描速度的扫描,可以实现和策略。同时移动式扫描仪可以跨越网段、支持定时和多IP地址的自动扫描,网管人员可以很轻松的就可以进行整个网络的扫描,根据系统提供的扫描报告,配合我们提供的三级服务体系,高了工作效率。
联动扫描系统支持多线程扫描,网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Host Sensor Programgas连接非法时,系统将自动进行报警或挂断计算机,所以应在安全计算机安装主机安全监控中心安装在信息中心的一台主机600个传感器。提供了对内部攻击、从网络安全的立体纵深、这从国际入侵检测产品市场的蓬勃IDS探测器(百兆)配置在内部关键子网监控和管理所有的探测器因此提供了对内部攻击分析网络通讯会话轨迹,在内网高性能服务器处配置一台网络隐200信息点以上的多个网络进行多线IDS、防火墙联动,尤其适合于制定全网统一的安全穿透防火墙,实现分布式扫描,服务器和扫描仪都大大的减轻了工作负担,支持定时和多RAS连接信息。用户实(外部攻击和误操作的 寻找网络攻击模式和其I型联动型产品由手IP地址的自动扫描,Web,单位发展就用户的所有键盘输入,用
包括:TCP多层次防御 就可以很方便的对极大的提有较高的扫描速度,方式的远程
管理,网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活,可以跨越网段、穿透防火墙,对重点的服务器和网络设备直接扫描防护,这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能地消除安全隐患。
在防火墙处部署联动扫描系统,在部门交换机处部署移动式扫描仪,实现放火墙、联动扫描系统和移动式扫描仪之间的联动,保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性,最大可能的消除安全隐患,尽可能早地发现安全漏洞并进行修补,优化资源,提高网络的运行效率和安全性。
三、结束语
随着网络应用的深入普及,网络安全越来越重要,有了更高的要求。一个特定系统的网络安全方案,系统的实际应用而做。由于各个系统的应用不同,化为一个模式,用这个模子去套所有的信息系统。本文根据网络安全系统设计的总体规划控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案,目的是建立一个完整的、防御体系。
论文参考
国家和企业都对建立一个安全的网络应建立在对网络风险分析的基础上,结合不能简单地把信息系统的网络安全方案固,从桌面系统安全、病毒防护、身份鉴别、访问立体的、多层次的网络安全
校园网网络安全设计方案 篇2
校园网的规模十分庞大, 上网用户人数基本上都能达到几千上万人, 随着网络应用的进一步深入, 各种安全问题也会逐渐凸显, 对教学、科研和生活都会造成极大的影响。因此, 全面了解校园网的安全问题, 合理构建网络安全体系是十分必要的。当前校园网的网络安全问题可以从以下方面进行分析:
(1) 操作系统的漏洞。在校园网当中, 绝大多数都是使用windows操作系统, 因此不管是服务器还是个人PC中都会存在大量的安全漏洞, 而且随着时间的推移, 这些安全漏洞会被人发现并且利用, 给系统安全带来严重的破坏。
(2) 网络病毒的破坏。网络病毒是影响校园网网络安全的重要因素, 它会使得网络性能低下、上网速度变慢, 并破坏计算机软件及重要数据, 严重的还会造成计算机以及网络系统的瘫痪。
(3) 来自外部网络的入侵和攻击等恶意破坏行为。校园网是必须连接到互联网上的, 这样才能跟外界联系, 真正实现校园的信息化。但是, 校园网在享受互联网带来的方便快捷的同时, 也面临着遭到外部黑客入侵和攻击的危险。黑客经常会通过外部网络对校园网的服务器、数据库等进行攻击, 窃取或者破坏一些重要数据, 而且随着很多黑客软件的普及, 越来越多的电脑网络爱好者使用这些软件进行攻击实验, 给电脑网络系统造成巨大的危害。
(4) 来自校园网内部的攻击和破坏。很多高校都开设有计算机和网络技术专业, 这些专业的学生出于对网络知识的爱好, 不经意间会使用一些网络攻击工具进行测试, 而且很多会在校园网这一网络体系中应用, 以体现自己的网络实践操作能力, 因此, 给校园网的网络安全系统带来极大的威胁。
2校园网网络安全设计
针对上述的校园网存在的安全问题, 为了能系统、全面地防御与处理, 我们将网络安全体系设计由主干网安全、安全技术应用、用户准入机制、防火墙应用四方面构成, 以保证尽可能的降低校园网的安全隐患。
2.1主干网设计
根据分层理念, 主干网可采用三层网络架构, 通过层次化模型设计, 将复杂的网络设计分成3个层次:接入层、汇聚层和核心层。每个层次着重于某些特定的功能, 这样就能够使一个复杂的大问题变成许多简单的小问题, 如图1所示。
主干网采用三层网络架构, 可以从以下几个方面保证了校园网络的灵活性、可扩充性、可靠性和高效性:①利用分层结构将网络的功能区块化, 使得网络的局部修改和扩充被隔离, 使校园网络更具灵活性;②利用区块的不对称特性优化网络的流量配置, 提高校园网络的性能价格比;③利用网络整体的对称性提供负载均衡, 最大限度地提高网络的性能;④利用网络整体的对称性提供校园网络的冗余, 提高网络的可靠性。
2.2安全技术的应用
(1) VLAN技术的应用。
为了有效地管理网络, 我们在校园网络中进行虚拟网的划分。虚拟网 (VLAN) 技术是目前局域网技术中发展迅速的一种技术, 它通过在现有物理网基础上, 根据实际网络应用的需要灵活配置, 将网络各节点重新划分组网, 形成一个逻辑网络。虚拟网技术的引入给现有网络的设计、管理和维护带来了某些根本性的改变。
(2) ACL技术的应用。
合理配置和使用交换机支持的访问控制列表 (ACL) 功能, 能够合理地限制网络非法流量, 其主要原理为:ACL使用包过滤技术, 在路由器或者核心交换机上对ISO模型的第三层、第四层的包头信息读取, 包括源地址与目的地址、源端口与目的端口, 根据设定的规则对数据包进行过滤, 从而实现访问控制。
校园网节点主要由资源节点与用户节点构成, 资源节点提供大量的应用服务与数据共享供用户节点访问。在这个过程中, ACL技术一方面对资源节点提供保护, 阻止非法用户对资源节点的访问, 另一方面限制特定的用户节点所能具备的访问权限。
2.3用户准入机制设计
对于校园网的用户, 最重要的是对用户准入准出进行控制, 并满足计费管理功能。因此主要解决下面的问题:将网络安全接入控制、防代理、上网用户的多种IP控制和管理功能、非法DHCP server控制、认证时的绑定安全控制功能、合法用户的授权功能、Mac地址防盗功能、主机与IP的绑定功能、多种计费控制功能、对特定用户的强制下线功能、黑名单用户禁止上网功能、支持用户上网的时段控制, 还可以对学生的上网时间加以控制。这些是校园网通常认证计费软件需要实现的功能, 这是一个较为复杂的应用系统, 需要由多方来实现。
校园网另外一个问题是互联网带宽的滥用, 不少学生在网络中使用BT等P2P软件, 大量占用互联网出口带宽, 使得全网访问互联网非常缓慢, 有时也可能因为病毒的原因, 向外大量广播数据包, 导致交换机端口堵塞, 接入交换机可以通过限制接入速度来实现对这些问题的抑制。
上述功能, 可以在接入层或者汇聚层交换机上实现, 这样可以将网络初始流量抑制在每台交换机上, 不至于将异常流量引入核心层交换机, 占用核心层交换机的处理能力, 影响网络性能。
2.4防火墙的使用
防火墙是架构于两个不同网络之间, 根据设定的安全规则, 决定网络中传输的数据包是否允许通过, 并监视网络运行状态, 内部的结构以及运行状况均对外屏蔽, 从而实现内部网络的安全防护。防火墙的主要作用为:①防火墙能够把内、外网络、对外服务器网络实行分区域隔离, 从而杜绝它们与外网直接通信;②防火墙能够将对外服务器、网络上的主机隔离在一个区域内, 通过安全保护措施, 确保安全;③防火墙能够对用户的访问权限进行限制, 在增加合法用户安全性的同时, 也实现对非法用户的拒绝;④防火墙能够实现对访问服务器的请求控制, 发现非法行为以及阻止非法操作;⑤利用防火墙及各服务器上的审计记录, 形成一个完善的审计体系, 在策略之后建立第二条防线。
出口防火墙主要是互联网出口安全规则的检查, 由于是专用的安全设备, 可以定义许多安全规则, 可以根据需要定义较为复杂的规则, 对互联网访问外网服务器和内部网络的行为进行控制, 检测和切断黑客的攻击行为, 从而保证网络的安全运行。
3结束语
校园网的网络安全问题是一个较为复杂的系统工程, 从严格意义上来讲没有绝对安全的网络系统, 我们只有从网络建设初期便应该考虑到网络安全的重要性, 从网络的构建到网络的管理维护都必须对校园网络的安全体系进行充分设计, 并在校园网投入运行的过程中不断地研究和探索, 将网络的安全隐患和存在的风险降到最低。
参考文献
[1]丁扬.校园网络安全现状分析及对策研究[J].中国科技信息, 2010 (6) .
[2]梁广洪.校园计算机网络的安全状况分析[J].信息与电脑, 2009 (9) .
[3]孙卫佳.网络系统集成技术与实训[M].北京:电子工业出版社, 2005.
校园网网络安全设计方案 篇3
关键词:高校;校园网络;安全防护方案;设计;实施
校园网络安全指的就是校园网络中硬件、软件和网络中一切数据资源都需保护,不受偶然或者有意攻击而受到破坏、更改、泄露,保证系统连续、可靠、正常地运行,网络服务不中断,而校园网络安全的核心就是校园信息安全,通过校园网络安全防护方案保证校园信息安全,提升校园网络防护水平。
一、高校校校园网络防护方案需求性研究、校园网络使用结构变化
首先,校园网络使用人广泛,原有的有线网络已经不能适应网络需求,作为一个小社会的大学校园,校园网使用人,包括有:教师、学生、办公人员以及校园工作人员,其中有很大一部分属于科研网络,其保密性在一定程度上应该得到保证。在现在情况下出现了有线网络与无线网络并行的状况,导致原有基于有线网络的网络使用结构变成了有线与无线网络混用的使用结构,在进行网络运作时,校园网出口众多,包括教育网出口、联通出口、电信出口,原有的旧式简单的防火墙设置与准入设置已经很难进行有效网络保护,而现在校园网络中学生使用的大多是无线网络,其性能不很稳定,安全问题更是由于技术发展的前进性而变得不稳定。
其次,现在网络使用人群以及主要使用方向在校园内已经发生的重大变化,简单来说,就是网络使用主体由有线向无线转换,网络使用人员主体有学生向教师转换,网络使用目的由原来较为单纯的科研向多样化转变。在2012年3月30日,中国教育与科研计算机网发布调查结果显示,校园网络支撑平台方面,已经基本实现了高带宽、可信任、可控可管,但是在进行网络校园安全防护设计时很多学校仍旧采用原有的防火墙技术,其安全隐患不容小视。
第三,校园网络使用出现峰值状态的情况已经成为常态,且峰值情况对于网络的压力耿佳佳加大。在原有以科研为主的网络使用状况中,总提升网络使用是可控的,一定程度上说也是有计划的使用网络的一部分,但是现在校园生活网络与科研网络混用的情况已经成为一种新常态,在加上网络用户增多以及大学生课时运作等原因,很容易在晚上九点到十二点之间形成网络峰值,由此导致网络状态不稳定,为网络安全留下很大的漏洞。
二、学生半社会人状态
在进行网络安全设计时,尤其应该注意的是在高校中尤其是在现在所谓的“大学城”中,学生已经成为最主要的网络用户,而网络实际上已经成为他们的重要社会工具,完成学生们大量的社会活动,所以必须进行学生社会状体的探讨。对于现而今大学生的社会状态进行讨论,由于其在大学中存在又复杂的社会分层,所以只能进行类似于整体性的研究。大学生由于大部分经济处于不独立或者半独立状态,所以虽然他们在法律上早已是民事行为能力人,但是在不论实在社会实践中,还是在他们自我潜意识中,在很大程度上仍旧视其为“半社会人”,尤其是在关于其切身利益经济与社会活动中,典型就是银行拒绝对他们进行信用卡办理,而且这种“半社会人”设定也有其合理性,如果过分强调自身社会能力就会出现类似于“易租宝”之类的事件。虽然如此,在校园网络安全设计中我们要考虑的确是大学生社会人的属性。所谓“社会人”属性,就是人在社会上旅行的义务以及享受权利的属性,在一定程度上就是人在社会中的独立性,典型就是社会隐私保护以及相应的信息保护,而社会人要求的就是自身具有自身安全状态。
在校园中大学生处于血气方刚的状态,他们学习生活基本处于慢状态,在加上大学是思考的天堂,学生与教师是思考的主体,所以大学生们也有大量的时间来进行自己学习与生活的思考,任何针对于他们的强制措施,都要做好面临巨大压力的准备,尤其是类似于网络安全设计的工作,很容易被认为是侵犯自由且是一种不尊重他们获取信息的权力的行为。在乎烧学校因为过分强调所谓的安全,而又不与学生沟通,教育官僚缺乏协商精神,只是利用所谓“学生会”一纸通告了事,不但影响学生学习状态,而且造成学生们中间议论纷纷,甚至于引发学生与学校的冲突,得不偿失。其实,这在一定程度上是对学生社会权力的漠视以及领导者们权力思维惯性在作怪,而现在大学生的社会性更胜以往,这也是在进行高校网络安全翻书设计实施时尤应注意的问题。
三、校园网络安全形势复杂
现在网络安全形式较之以往更加复杂。首先,应该注意的就是电脑病毒,现在的电脑病毒具有传播速度快、查杀难度大、传播方式隐蔽的特点,由于学校处于电脑网络密集区,所以一旦發生电脑病毒感染,很容易引发连锁反应,引发电脑与网络大面积瘫痪,以蠕虫病毒为例,现在蠕虫病毒的传播更加隐蔽,而触发几率以及造成危害却更大,有些蠕虫病毒甚至于在重新更换系统之后仍旧停留在电脑内,窥一斑可见全豹,由此可见技术手段对校园网络安全形势的影响。
其次,就是所谓的意识形态渗透。其中的典型就是敏感事件与敏感词汇在校园网络的中的屏蔽问题,这也是校园网络安全中最复杂和最困难的方面,如何区分学术自由与意识形态渗透,如何让向学生解释敏感词汇,如何通过技术手段进行传播阻断而又不被道德谴责,都是在进行网络安全设计中必须要考虑的问题,更重要的是,在此过程中可能会出现全体型事件的诱因,引发学生与一部分教师对校园网络安全设计目的初衷的思考,对于未来校园网络安全防护实施有重大的影响。
nlc202309082138
四、现有高校校园网络方案整体性研究
1、現有校园网络安全方案建立基础。在现在的校园网络安全方案中,其建立的基础可以分为技术基础与伦理基础。所谓技术基础指的就是以网络分层结构设计思想为主要设计理念,通过密码学以及加密技术、防火墙技术、身份认证、入侵检测、扫描漏洞等进行,通过技术防范以病毒为代表技术性破坏,同时也以此为技术手段进行敏感词语与敏感事件的屏蔽,这些技术在现在基本都趋于成熟,但是在应用层面也存在因为程序漏洞而造成的安全危机的状况。
伦理基础,就是进行该行为的正当性,大学生处于人生观与价值观形成的重要阶段,在这一阶段中由于大学身价值观的不确定,同时也造成了大学生行为的不可预测性大大增强,这就要求高校在进行网络安全防护建设与实施时,充分与学生进行对话,了解他们对于此种防护方案的接受能力,并且积极做好相应的透明化措施,做到防护“防外不防内”,通过中国文化中固有的内外相制的文化结构,完成校园内部和谐。
2、现有网络安全方案典型状态。在现在的国内高校管理设置中,基本结构采用的都是三层交换网络,并且在标准化的大旗下,完成对病毒以及其他形式系统性攻击,保证系统安全,同时在此基础上以标准化为蓝本完成安全联动系统,进行源头组织,完成学校网络安全的保障,通过校园骨干网设计,提升网络安全性建立起坚强的校园网络传输体系,并且在此处上建立相配套的源头设计完成安全性整体性构建,核心交换机通过设备冗余进行故障避免,加强准入终端控制,完成源头控制,进行安全化的 NAT 配置,进行安全性稳定化。
3、现有网络安全方案带来的经验教训。现有网络安全方案使用讨论多集中于技术层面,从上文中可得现有网络安全方案使用的都是较为成熟的技术,但是其整体化设计颇显不足,存在“头痛医头脚痛医脚”的情况,但是在具体技术上可以说完全能够适应现在网络安全防护方案设计情况以及具体工程实施;但是现在对技术的关注明显多于对防护方案伦理合法性的关注,在设计方案时很多情况下,存在主观目的决定论,即我认为是在对你好,你必须无条件服从我。这使高校网络安全方案在实施过程中可能面临巨大的舆论压力,加上某些学校在实施过程中不透明,导致学生更加不信任所谓的“网络安全防护”由此造成方案实施困难。同时,我们也要看到在高校网络安全设计过程中形成了一套行之有效的制度,即通过安全策略的风险分析——扫描技术漏洞检测——启动防火墙预警——检测入侵设置——系统响应然后进行反击,对于现在网络安全方案中应该进行有机继承。在对高校校园网络防护方案未来发展以校园整体社会共识为基础,充分实现技术与尊严统一,实现技术与制度整体化操作。
三、结语
在本文以高校校园网络安全防护方案设计与实施过程中人文性为切入点,通过一部分技术性讨论,认为在现实高校环境下网络安全技术已经成熟,但是重要的就是进行校园社会共识的凝聚,实现技术与尊严的统一。
参考文献
[1] 李影.分析计算机网络的安全漏洞及对策[J].信息与电脑,2010,(9):56~58.
[2] 贺卫红.“数字湖工”校园网中安全策略的设计与实现[D].成都:电子科技大学,2010:25~30.
校园网络顶层设计方案 篇4
信息化顶层设计方案
**学院 2015年1月
目录
一、学校业务战略目标与信息化发展需求...............................4
(一)学校发展总体目标..........................................4
(二)学校信息化需求.........................................4
二、学校发展现状...................................................6
(一)学校业务及系统应用现状....................................6
(二)学校信息资源现状.........................................10
(三)学校信息基础设施现状.....................................12
(四)相关保障机制建设情况.....................................14
三、总体架构......................................................15
四、业务架构......................................错误!未定义书签。
五、数据资源架构..................................................16
(一)媒体资源库...............................................16
(二)文献资源库...............................................17
(三)公共数据库...............................................18
六、应用系统架构..................................................18
(一)教学系统.................................................18
(二)创作系统.................................................21
(三)管理系统.................................................22
(四)内容管理系统.............................................33
(五)网站群建设...............................................33
(六)信息填报系统.............................................34
七、基础设施技术架构..............................................35
(一)应用支撑平台.............................................35
(二)网络基础设施.............................................41
(三)核心机房及综合布线.......................................42
(四)云平台...................................................43
八、标准政策体系..................................................46
(一)网络与信息安全规范.......................................46
(二)数据标准规范.............................................46
(三)管理制度及管理规范.......................................47
九、顶层设计实施方案..............................................47
(一)目标架构实现路径.........................................47
(二)项目设计.................................................49
(三)配套实施策略.............................................49
**学院信息化顶层设计方案
为贯彻落实《智慧行动纲要》,推动我校信息化工作科学发展,根据市经信委《市经济和信息化委员会关于开展“智慧”顶层设计的通知》(京经信委发[2012]21号)文件精神和市教委做好教育系统教育信息化顶层设计的工作要求,根据教育部《教育信息化十年发展规划(2011-2020年)》和《市“十二五”时期教育改革和发展规划》,按照“智慧”顶层设计总体要求,围绕学校发展目标制定本顶层设计方案。
一、学校业务战略目标与信息化发展需求
(一)学校发展总体目标
(二)学校信息化需求
根据学校的整体发展目标与思路,结合信息化工作特点,提炼出如下信息化需求:
业务流程梳理与业务需求整理
从我校特色教育环境出发,以教育部教育服务与监管业务顶层设计为指导,对各部门进行调研,梳理出部门内部流程及跨部门流程,并进行规范化的描述,特别是要对全域信息流以及主要业务的信息流进行全面分析,形成全域业务模型,为业务流程优化提供参考依据。具体调研与归纳结果见附表。
信息系统模型建立
根据业务模型,建立能够支撑业务运转的信息系统模型,包括数据资源模型、应用系统模型,为建立较完备的基础信息数据库以及覆盖教育质量、学生流动、资源配置和毕业生就业状况等等各类监测分析系统的统一信息化支撑平台提供指导。
根据所梳理的各部门业务流程与需求,以及学校的整体定位,将信息系统分为教学、创作和管理三大类。
促进业务流程优化与服务整合
以教育服务的最终用户需求为中心进行服务整合,对相关业务流程进行优化,形成全局畅通的信息流,促进教育服务与监管体系的管理水平、管理效率与服务质量的提高。
设计统一的技术架构,规划统一的基础保障环境
智慧校园信息化建设需要有统一的技术架构为指导,需要有统一的基础保障环境为支撑,这是建成数据集中、应用集成、基础设施整合、标准规范、安全高效的教育服务与监管体系信息化支撑平台的技术基础,顶层设计要为项目设计统一的数据架构、应用架构、软件架构、安全架构和基础保障环境;
设计支持可持续发展的管理模式与建设运行机制
信息化建设一直是“三分技术、七分管理”,设计一套良好的教育信息化工作机构、管理模式和建设运行机制,才能确保总体规划与顶层设计的落实与实施,才能保障教育信息化平台的良好运转与可持续发展。
二、学校发展现状
(一)学校业务及系统应用现状 1.教务管理系统
**学院建立由湖南青果提供的本科教学管理信息化系统,已基本建成覆盖本科教学的信息化管理平台。2.研究生教务管理系统
**学院自2007年就开始了建立研究生教务管理系统,实现了研究生学籍管理和成绩管理。3.继续教育学院教务管理系统
**学院继续教育学院现有自主开发的教务管理系统,完成了继续教育学院学生的学籍管理、选课管理、成绩管理等教学管理任务。但由于缺乏校园统一支撑平台的支持,系统中的师资信息、课程信息无法实现和学校人事系统、教务系统、研究生教务系统中的信息共享,存在诸多管理不便。后期建设需要进行统一规划,与学校教务系统实现统一管理或数据共享。4.学生工作管理系统
**学院建设了清元优软的学生工作管理系统,由学生处负责系统运行维护。目前实现了全校学生的奖、助、贷学金管理,贫困生管理,勤工助学,减免学费,综合测评管理生社区管理,学生保险,思想教育管理,心理咨询管理等。为学校学生工作管理提供了可靠的信息化手段。
5.招生管理系统
现有招生报名管理信息系统主要包括“招生报名系统”和“招生管理信息系统”两部分建设内容。考生通过**学院官网上的统一入口,进入招生报名系统工作界面。考生网上提交的填报信息作为基础数据,适时进入“招生管理信息系统”。招生管理信息系统提供网上报名管理、考试管理、成绩管理、各省招办信息管理、考生历史库管理、学院管理、领导决策管理和系统维护等多项内容。6.人事招聘管理系统
**学院初步实现了人事网上招聘管理。目前该系统由人事处负责运行维护。在数字校园后期规划中将实现完整的人事管理系统,包含机构编制、人事档案、岗位竞聘、职称评定、工作业绩、岗绩考评、工作考勤、劳资福利、系统管理等功能。7.邮件系统
**学院的邮件系统购买使用亿邮公司的亿邮电子邮件系统,目前该系统由学院的网络中心负责运行维护,该系统的硬件 是IBM服务器,软件为亿邮公司的亿邮软件。现用邮件系统使用中存在问题,如邮件中附件空间不够,邮件自身空间太小,无法过滤垃圾邮件等问题,影响日常办公收发邮件的最基本需求,需要对邮件系统进行改造。8.校园一卡通系统
在2008年,学院开始了学院一卡通系统建设,相关业务系统包括:一卡通专网、一卡通平台、综合业务管理系统、自助服务系统、校内消费系统、自助注册系统、自助打印/复印、图书馆系统接入、门禁管理系统、停车管理等。一卡通建设实现了“身份识别”、“校内
消费”、“校务管理”的建设目标。在一卡通建设过程中,我们搜集整理各类教职员工和学生的档案资料,进行归纳整理,建成了完备的一卡通人员档案库。9.网络教学平台
学院的网络教学平台购买使用赛尔毕博公司的BlackBoard教育软件,目前该系统由学院的网络中心负责运行维护,硬件是HP服务器,软件使用的是BlackBoard教育软件。该系统的主要是为院内部分课程提供网络辅助教学功能,包括网络点播课程等。10.图书管理系统
学校图书馆现有金盘图书管理系统,实现了对图书资源的编目,但是由于图书资源众多,对于馆藏人员图书借阅、图书的维护工作量巨大;由于各院系中也有图书资源,这些资源现通过人工记录方式进行管理借阅,无法实现各院系之间的图书共享,管理维护人员也无法对院系中的图书进行及时的清点,维护工作量较大。需要对图书管理系统进行升级,满足学校中各院系间与图书馆的图书经过统一平台进行借阅,实现共享;对于现有图书管理方式进行升级,方便维护。11.移动图书馆
**学院现有超星移动图书馆,作为图书馆的专业移动阅读平台,学校师生用户可在手机、pad等移动设备上自助完成个人借阅查询、馆藏查阅、图书馆最新咨询浏览,同时拥有大量的电子图书,海量报纸文章以及中外文献元数据供用户自由选择,为师生用户提供方便快捷的移动阅读服务。
12.资产管理系统
**学院目前采用市教委统一下下发的资产管理系统。系统实现了全校固定资产的在线登记和管理,主要包含资产信息管理、资产验收登记、资产库存管理、资产调剂管理、资产盘点、资产动态查询等功能。13.监控系统
**学院目前监控系统已经建设两期,对于学校保卫处原有模拟监控与数字监控已经整合;但是各院系自建监控系统中,各品牌不统一,无法进行统一的监控管理,需要对其进行整合。此外,由于目前学校在建图书馆明年竣工,需要对新建图书馆进行视频监控系统的建设;学校在安防系统建设中,只建设了视频监控系统,安防系统存在较大漏洞,需要完善,建设周边报警及电子巡更系统进而加强学校安防建设。14.门禁系统
**学院现各教学楼已建设门禁系统,对于部分区域还没有建设,需要进一步完善门禁系统;各院系建设的门禁系统不统一,门禁系统无法进行统一的管理,对于师生造成不便,需要对其进行改造;
另由于新建图书馆明年完工,随着学校对于新建图书馆的安全性、先进性和稳定性的要求,需要对新建图书馆进行门禁系统建设,并与原有门禁系统进行整合,实现统一维护管理。15.视频点播系统
学院的视频点播系统购买使用鼎点公司的鼎点天源影视点播系
统,目前该系统由学院的网络中心负责运行维护,硬件是HP服务器,软件使用鼎点天源影视点播软件。16.Web内容管理系统
学院Web内容管理系统目前由学院党委宣传部负责运行维护,此系统硬件设备使用的是Dell服务器,软件使用的是北大方正公司网站内容管理软件。17.学校英文网站
**学院英文网站,面向留学生及国外访问用户提供招生信息发布、校园新闻公告发布、校园活动信息、校园文化建设展示及其它对外宣传内容,是学院对外交流的重要门户。
(二)学校信息资源现状 1)学校信息资源体系
学校的信息资源目前大致可以分为9类:
人事信息资源。包括:学校在职职工、离退休职工及多种用人机制聘用人员的个人信息等。该类资源目前没有在系统中用统一的数据库进行管理。
财务信息资源。包括:学校历年财务运营状况等。该数据资源目前由学院使用的市财政专网在线进行数据管理。
校产信息资源。包括:学校房屋、设备、办公家具、图书等资源。该类数据资源也是使用市教委专管的网站进行在线管理。 教学信息资源。包括:学校的招生、学籍管理、教学计划、选
课、排课、考勤考绩、教材、课件素材、知识素材管理、教学课件等。该类资源目前在学院的教学管理系统进行管理。
科研信息资源。包括:科研机构及队伍建设、科研项目、成果、经费及管理等所产生的数据。该类资源目前没有在系统中用统一的数据库进行管理。
记载学校历年管理活动的公文及批文资源等。该类资源目前没有在系统中用统一的数据库进行管理。
建立基于校园网环境的法规、校规资源库。该类资源目前没有在系统中用统一的数据库进行管理。
建立基于校园网环境的数字图书馆及各种文献、论文库等。目前由学院的图书馆资源库进行管理。
建立基于校园网环境的声像资源库等。目前由学院的数据库存放管理。
以上各类资源都需要分门别类进行梳理,还没有实现完全共享。2)学校与外部信息资源的关系
目前,学校与外部的信息资源交互主要是通过网站在线填报的方式进行。学院的财务方面的数据由学院的财务处通过市教委的专网进行数据交互,国有资产办公室的资产管理数据通过市教委的资产管理的专网进行数据交互。科研管理中,有很多涉及到项目申报的基础数据是由各个科研项目申报管理的归口部门进行管理的,也是由那个归口管理部门进行网站在线填报的,其它的数据都是在院内的对应业务部门的系统中存放管理。
(三)学校信息基础设施现状 1)应用支撑平台应用现状。1.基础软件
操作系统层:Windows Server 系列;Linux 系统;中间件:WebLogic、Tomcat、SPSS 系统、SASS 系统;数据库:Oracle、SQL Server、Mysql;安全软件:卡巴斯基、赛门铁克数据备份软件;办公软件:Windows、Office 系列、WPS 系列、方正排版;以上系统已经基本实现正版化。
2.统一用户认证授权中心 对第三方应用进行授权和管理
建立办公平台对第三方应用进行认证与授权的机制。处室管理员能够在认证授权中心提交增加第三方应用的申请,申请内容包括:系统名称、系统 用途、使用类别(长期、短期)等,平台管理员在接收到申请后进行是否接入办公平台的处理,一旦同意接入,申请人或其他指定人员将作为该业务系统的管理员。
按模块分用户进行用户授权的功能
通过建立分模块、分目标用户的管理机制,实现对第三方应用系统内角 色和功能的授权,主要包括两方面:一是对某接入的第三方系统进行特定管理员的授权管理功能,即某受限管理员只能查看和(或)操作某模块的授权管理功能;二是实现针对某目标管理员的用户授权管理功能,即某受限管理 员只能管理指定用户的权限和基本信息。
2)学校网络基础设施使用现状。中央机房建设工程
网络中心开始建设中央机房工程,项目涉及装修工程、电气系统、防雷及接地系统、通风系统(包括:空调、新风、排烟等)、安防系统(包括:图像监控系统、门禁系统等)、环境监控系统(包括温湿度、配电、UPS、空调、新风机及漏水报警检测等)、设备(包括:多联机空调、UPS不间断电源、机房精密空调等)、消防系统等。新建成的中央机房满足计算机等各种电子设备对温度、湿度、洁净度、安全环保、防水、防火、电源冗余和接地等要求,为校园网的稳定运行提供了一个科学的运行操作条件环境。
校园网骨干网改造
网络中心正在进行校园网骨干网改造项目,通过本项目构建双核心星型网路,并且按照核心-汇聚-接入三层架构优化网络;实现多路由出口,合理分摊出口流量;通过内外网隔离、入侵检测、VPN等技术增强校园网的安全防范能力
随着**学院校园网的逐步建立,学校的数字化发展,各种信息化的系统的使用,和各院系的数字资源的存档需求,我校逐步建立起数据中心,但是由于我校信息化发展过程中没有数据中心的统一规划和基础设施的建设落后,数据中心在各院系的发展中逐步建立,造成目前我校的数据中心位于各个院系,并且我校的网络基础设施发展滞后,各院系互联互通存在故障,带宽不够,链路不稳定可靠,导致院系之间资源互访存在问题。数据中心的不统一,直接导致我校各院系
的各种设备琳琅满目,并且无法进行统一的集中管理,资源共享也无法实现,维护成本较大,维护人员不够,水平层次不齐,故障处理不够及时,导致业务系统的无法及时恢复,对于教学发展也造成重大影响。
(四)相关保障机制建设情况 1.组织领导保障体系
成立**学院信息化建设领导小组,领导小组由校书记担任组长,主管副校长担任副组长。领导小组下设信息化建设领导小组办公室(以下简称信息办,设在校科研及信息化处),负责信息化建设领导小组的日常工作。领导小组下设信息化建设专家组(以下简称专家组),由领导小组组织校内外有关方面专家组成。为信息化建设的各项工作及决策提供咨询和建议。
2.建立健全项目制度保障
加强教育信息化管理制度与标准的建设与实施。根据国家及行业有关信息化法规和标准,进一步规范与落实信息化建设项目管理、设备管理、运维服务、信息安全管理等管理制度。不断完善与推进实施《**学院教育信息化管理信息标准》。编制教育信息化计划和重点项目设计方案。
3.资金投入保障
信息化项目主要通过国家财政拨款、企业赞助等渠道,筹集学院信息化建设与运营资金。建立可持续的教育信息化建设与运维经费来源机制,合理配比硬件、软件、运维服务、人力资源提升四个方面投
入,提高投入产出效益。
4.技术保障体系建设
**学院信息化建设是一个需要不断升级、维护、对使用人员培训的技术含量很高的复杂系统,因此要建立健全信息技术保障体系。要建立一支懂业务、熟悉信息技术的队伍。加大对信息技术管理服务部门建设力度,增加技术岗和管理岗位职数,建立一支专职、兼职、多种编制类型的信息化技术支持服务队伍。在各学院及行政部门设置1至2名兼职技术人员。完善现有专职信息化运维队伍的专业结构,优化计算机技术、网络通信技术、软件应用开发技术、数字媒体应用与管理等不同专业背景人员配置。
5.贯彻法律法规,确保信息安全
严格贯彻国家有关信息化建设的法律、法规与条例,并制定信息化建设相关的流程和必要的规章制度。信息安全责任落实到人。建立健全网络信息服务运行管理服务体系,保证网络信息安全运行。
三、总体架构
**学院校园信息化发展的总体逻辑架构。分为五个层次,两个体系。五个层次分别是指基础设施层、资源层、支撑平台层、业务应用层及综合服务展现层。其中,基础设施建设包括学院的基础网络建设、用以保障整体架构的上层业务平台的正常运行。资源层包括全校媒体资源管理共享及教务、学工、财务、科研、资产等应用系统相关数据,通过共享数据中心实现数据统一存储、访问及使用。支撑平台层主要用于能够使用与全院的基础数据库平台的构建和相关服务,在这个层
次,要根据全院的整体需求做数据的整合和业务的协同,具体包括信息门户支撑平台、统一身份认证平台、数据交换平台、决策支持平台、统一支付平台、统一消息平台。在业务应用系统层,主要是根据各学院教学及行政业务部门的不同需要,建设既能够适应各部门业务需求又能够完成数据共享和协同工作的软件应用系统,具体分为教学应用系统、科学创作系统、常规管理系统三类应用。综合服务展现层通过统一信息门户及移动校园门户,使学生、教师、职能人员、校领导及社会公众人员可以通过移动终端、PC等多种方式访问信息化中心平台,实现管理、学习、科研、公共服务统一访问,达到实时展示和交互沟通效果。
两个支撑体系是指学院将建立统一的政策法规与信息标准体系信息安全与运行维护体系,为建设智慧校园提供相关保障,实现规范化管理,保障信息化建设顺利进行。
四、数据资源架构
(一)媒体资源库
本次建设媒体资源库系统架构如下:
(二)文献资源库
图书馆的电子文献资源是高等学校教学、科研的重要组成部分,同时也是目前高校图书馆服务工作中的重要内容之一。电子文献资源的简单表述就是图书馆利用计算机和网络技术能够为读者提供的信息资源。其中包括了电子期刊、电子图书、光盘数据库、联机数据库、网络数据库以及Internet信息资源等多种形式。我校图书馆已建设较为齐全的电子文献资源库,为教学、科研提供良好的文献资源环境,开阔了师生的视野。
文献资源概括地讲有3种类型:国际互联网资源、电子出版物、各馆自建的数据库。国际互联网资源因其开放性,资源非常丰富;电子出版物常见的有全文数据库、电子期刊、电子图书、电子报纸、软件等;各馆自建的数据库是图书馆根据读者需求,利用馆藏文献而建立的数据库,如馆藏书目数据库、学位论文数据库、地方文献数据库等。
(三)公共数据库
公共数据库采用Oracle 11g Enterprise,并采用Oracle Real Application Clusters(RAC)保障系统的高可用性及可按需扩展。
根据对应用系统及相关数据分析,建立以下数据库:学院基本情况数据库、学生信息数据库、研究生信息数据库、留学生信息数据库、教职工信息数据库、教务信息数据库、科研信息数据库、体育卫生信息数据库、办公管理信息数据库、房产与设施信息数据库、仪器设备与实验室管理信息数据库、图书管理数据库、一卡通数据库、教学资源数据库、代码数据库。
五、应用系统架构
(一)教学系统 4)教学编辑机房
采用新一代“CPU+GPU”加速技术,满足影视创作中剪辑,三维,合成,特效,调色,立体应用的需要,全功能的后期制作系统使您能够从容处理从DV到HDV,从标清到高清,甚至2K,3D。
5)高清录播教室
录播教室由多个子系统组成,包括常规多媒体教室子系统(如讲台、中控、展台、笔记本、投影机等);外部环境(灯光系统、吸音处理)子系统;录播子系统等;
其中录播系统通常由教室场景图像采集、声音采集、VGA采集、图像自动跟踪、图像控制切换、信号数字化处理、记录、直播、扩声等单元组成一套完整的录播系统。其过程是通过图像、声音、电脑VGA信号的采集,把捕捉到的信号进行数字化处理,然后进行记录、网络实时直播、B/S架构点播和现场扩声。
6)大讲堂精品录播
系统配置本方案系统由三台高清摄像机,1台高清切换台,1台视频监视器,1台高清录制机及2块64G存储卡,1套主持人提词器,调音台和导播通话,主持人无线手持机桌面话筒,监听音箱,一体化虚拟演播室设备,1套高清非线编辑系统及灯光、蓝箱装修等部分组成。方案的实施涉及设备选型、安装调试、布线等复杂工艺,是一项技术含量较高的集成项目。
7)考试录制系统
根据学校招生的需求,招生面试画面需要进行拍摄并存储,以方便师生查阅。系统配置高清摄像机和存储卡进行考试视频的拍摄及存储。
8)多媒体教学系统
多媒体教室内配置高清投影机加幕布,5.1声道扩声系统,及可视化网络综合信息管理平台,可视化网络综合信息管理软件可远程控制教室中控系统开关、投影机开关,幕布的升降,窗帘的升降,并且可以对其他设备进行操作,包括线路音量,话筒音量,以及讲台的电
控锁等。可远程集中监视各教室设备运行状态,以图形画面实时直观地显示教室内各个设备的状态;课表联动控制功能:总控软件内置课表排课管理软件,每学期只需要根据教务处课表进行排课,就可以自动在指定时间开启指定教室,完成无人值守的全自动管理;总控室可以通过网络远程接管各教室的教学PC,协助老师解决教学过程中遇到的问题。
9)云录播及考试监控系统
云录播及考试监控系统是利用学校现有的校园网络,用较小的投资成本,以现代计算机网络技术为依托,着眼于教研、教学、管理、校园信息通讯的实际需要的一套教学系统。整个系统是精品课程录播系统、电子巡考系统、校园网络监控系统的完美结合,通过网络传输、影像存储等技术手段,突破时间和空间的限制,使得任何人通过网络权限设定都能实时或者事后通过网络观看教学过程。基于数字视音频、网络流媒体、信息识别、人工智能、自动化控制等多项先进技术,具有开放的设计体系、领先的技术架构及较强的灵活性与伸缩性,在国内外同类产品中处于领先地位。该系统具有自动化、智能化、常态化的特点,部署简单、使用便捷,适用于各类学校现代化信息系统建设,为基于网络的应用提供完整的产品系列和整体的解决方案。
10)MOOC平台
根据**学院 “全国领先,世界一流”的战略部署,对于加强与外界的沟通交流,与国际院校的合作显得尤为重要。MOOC平台的搭
建,能够很好的宣传学校的特色及办学理念和能力,实现对知识的高度共享,与外界的充分交流。
11)在线教学平台
传统的教学方式,时间、地点比较固定,可复制性和可移植性比较差,难以适应当下高速发展的互联网需求。同时,**学院很多课程存在大存储的作业提交任务,传统的采用DVD或移动硬盘等媒介提交作业的方式,麻烦且容易造成数据的丢失,给教学带来极大地不便。建设在线教学平台,通过在线网络学习,可以使学生有更多的时间理解课堂的知识。同时,系统包含作业提交模块,方便学生在线提交作业,老师在线批复作业。极大地提高学校的教学办公效率。
12)论文提交检索系统
学校目前的论文提交,只是做到了在线提交和收集论文,没有针对论文的在线修改及反馈。随着时间推移,论文的数量越来越多,论文的检索与查询越来越困难,使得学校的很多宝贵的资源不能有效的共享。建设论文提交检索系统,方便学生在线提价论文,教师在线反馈意见,并且会保存整个论文在线修改的全过程文档,方便以后查询和检索。
13)远程视频教学系统
随着**学院院区和各单位之间沟通频率的增加,沟通的效率已
经严重影响内部办公效率,同时北影也对教育系统快速及时响应提出了更高的要求。高清晰、高交互性的新型视频会议系统有助于提高沟通与互动效率,节省沟通成本,降低管理费用。为了解决日益突出的沟通问题,需新建一套内部视频会议系统,需要支持1080P的极致高清视频、纯音同步、高保真音频等特色功能。
14)移动教务系统
学校的教务系统是学校重要的应用系统,传统的PC端登录及操作,很难满足老师的使用要求。同时,建设支持手机及平板等移动手持终端(包括Android和IOS系统)也符合当下移动互联网的发展需求。学校移动教务系统不但实现了管理的信息化,充分结合教务系统的工作流程,使信息的传递更加有实效性,使学院在激烈的竞争中快速实现知识共享和移动办公。同时又为在校师生以及家长提供了随时随地沟通的通道。为教师提供了在线考试评分等常见的快捷操作,提升办公效率。
15)继教管理系统
继教管理系统主要是采用现代网络教育的方法,以计算机和通信技术为基础,基于Internet,使继续教育学院以及各教学中心都拥有一套专人专用的教学教务管理信息系统。这样可方便、经济、高效的通过在线学习的手段综合管理招生、财务、教学和教务等日程工作事务,实现继续教育的规模化和管理工作的规范化。
(三)管理系统
1)人事管理系统
人事管理系统结合学校实际人事管理现状,以学校师资资源的优化配置为核心,建立人才动态管理为基础的人力资源管理体系。为用户提供全流程化的人事管理、全面的人力资本分析管理,为学校降低管理成本、优化人力资源配置、提高自身竞争力、促进发展提供决策与支持。
人事管理系统主要包人事基本档案管理、人事合同管理、人事变动管理、考勤管理、考核奖惩管理、职称评审、业务管理、消息管理、综合查询、统计分析报表、系统管理等功能模块。
2)科研管理系统
随着科技的日益发展,高校的科研活动和科研能力成为反映高校综合实力指标的比重不断加大,而通过信息化的手段对日常科研工作进行管理,整合科研工作流程,为决策层提供真实有效的依据,是提升科研管理水平的有效途径,也是当今高校科研管理的大势所趋。通过科研管理信息化平台,可以实现科研工作的网络化管理,形成一个及时更新的科研数据中心和科研管理沟通平台,全面、实时、准确提供学校的有关科研信息,为学校领导有关科研决策提供辅助支持,为学校教师开展科研活动提供方便快捷的服务,为科研管理人员开展工作提供极大的便利。
3)后勤管理系统
后勤服务管理系统针对学校后勤工作中的各项管理工作提供信
息化支持,包括车辆管理系统、公寓管理、报修管理。后勤管理系统为教职工提供在线约车服务,为学生提供宿舍分配服务,为全校师生提供报修服务。
4)项目管理系统
项目管理系统建设实现项目管理的数字化,规范项目管理业务流程,从而避免了以往一些工作因手工操作所带来的随机性大,流程不易规范化的缺点。简化了申报部门提交材料和审核的操作,对申报过程材料有很好的存档,方便审批过程中查阅,同时系统自动以短信、邮件方式通知项目负责人,很大程度上提高了工作效率。
5)档案管理系统
档案管理系统是遵循国家档案标准,集档案的收集、整理、保管、鉴定、统计和提供利用的活动为一体的系统。档案管理系统提供了强大的检索功能,丰富的多媒体档案管理,完善的统计功能以及标准的数据交换接口,全面适应学校的档案管理建设。
档案管理系统主要包含全文管理与全文检索、多媒体档案管理、档案信息统计、档案借阅管理、系统管理等功能模块。
6)学生档案管理系统
学生档案管理系统通过信息化手段实现学生在校期间的档案材料管理,为学生档案建立索引,提高档案检索效率,并提供纸质档案和电子档案的对应管理。包含建档、入档、调入调出、借阅、交寄等
功能。学生档案管理系统为学工处档案管理人员提供档案的管理、查询、统计服务。为学生提供档案调入调出、借阅、交寄等服务。
7)户籍管理系统
高校户籍信息的登记、查询、统计、填写报表等是一系列繁琐的工作,每年学校入学和毕业学生人数的增多以及在集体户口的教职工人数的增加,其户籍信息的管理都需要耗费许多人力和物力,而且人工管理由于诸多因素的影响,易产生歧义或无法辨别,给户籍管理带来困难。户籍管理系统实现户籍信息电子化管理,并根据权限实现户籍信息的录入、编辑、多条件统计与查询、报表打印、系统维护、网络安全设置等功能。
8)电子期刊系统
目前**学系的期刊都是纸质发行的期刊,期刊内容的收集、审核、发行都很不方便,且不利于期刊的阅读和宣传,无法很好展现**学系的科研创作成果。本次系统建设不仅要把原有期刊进行电子化重新制作,而且要实现整个期刊发行过程的电子化工作。期刊电子化系统以校园网及互联网为基础,实现电子期刊制作发行流程的全部电子化管理,包括网上稿件提交、专家在线稿件审核、稿件编辑及校对、电子期刊制作、电子期刊发行等工作。
9)提案管理系统
提案管理系统用于在教职工代表大会召开之前,向教代会正式代
表征集提案。代表在提案时做到一事一案。提案管理委员会及工会领导等相关职能人员可对提案进行审批。实现提案的网上提交、审核立案、查询、统计等功能,更好发挥工会在党的群众路线建设中的作用,及时解决全校教职工的工作生活诉求。
10)门禁系统
门禁管理是现代安全防范系统的重要组成部分,随着我校对门禁系统的安全性、先进性和稳定性要求的提高,迫切需要完善我校的门禁系统,我校目前的门禁系统部署不完善,需进一步完善我校的门禁系统,对于我校各个房间进行门禁控制。最终实现一张感应卡可以代替所有的大门钥匙,且具有不同的通过权限,授权持卡进入其职责范围内可以进入的门。所有的进出情况在电脑里都有记录,便于针对具体事情的发生时间进行查询,落实责任。门禁系统建设包含新建图书馆门禁及全校门禁系统。
11)图书馆RFID借阅系统
通过RFID中间件为媒介实现RFID技术和图书管理方法的有机结合,为图书馆的管理提供了十分有效的技术手段,可识别、追踪、和保护图书馆的所有资料,通过RFID系统实现图书借还、顺架、查找、馆藏盘点等功能,有效地提高了图书管理的效率、简化了图书管理的流程、降低了图书管理人员的劳动强度并在为读者提供更加便利快捷的图书借还书、查询等服务的同时做到对读者信息和借阅图书的双重记录,RFID智能技术的使用可以有效的防止和杜绝各种人为失误所
造成的图书漏借、遗失等情况。
12)图书管理系统
现在是信息高速发展的年代,每时每刻都会有新的产品、新的事物孕育而生。为了适应现代信息高速发展,方便图书馆传统繁琐管理及方便读者。拥有一套先进的管理系统设备不雅于如虎添翼,使图书馆的自动化管理跨上了新的台阶。
13)校园安防监控平台
学校安全技术防范以保障学生和教职员工的人身安全为重点。为了进一步加强对学校图书馆的安全防护,本次建设监控系统分为前端采集、图像传输、图像存储、图像显示、图像控制六个部分设计。
14)学生考勤系统
该项目针对活动考勤情况的运行状态进行分析和总结利用网络技术代替人工记录学生出勤情况,减少了考勤人员在人力物力方面的开资,并方便使用者和学生随时查看,体现了学生考勤的公平性与公开性。使用者为学校学生考勤管理中心工作人员,如各班班主任,各任课教师、各学院辅导员、各学院领导、各位学生本人及部分学校领导。
该考勤系统联入本校内部局域网,与其他与学生管理系统相关的系统联系,统一管理学生的考勤状况,使学校整体协调性更高;此外,各学院和各部门也可以通过共享系统信息,以更好地提高管理效果,为学校的教学活动带来更多的方便。
15)邮件系统
邮件系统设计为包含:MTA、Webmail、POP、Admin、MD、UD及MS等系统功能模块,共同完成邮件的分捡、存储、发送等工作。MTA、Webmail、POP、Admin四个模块主要与用户交互,实现邮件系统的各种功能,是邮件系统的前端模块;而MD、UD、MS三个模块主要实现前端功能模块与数据库之间的通信,作为邮件系统的后端模块。
16)物联网管理系统
学校目前由于人员、设备的增多,出现了管理维护工作繁重、能源浪费的现象,虽然在管理制度上做了一定的要求,但收效并不显著。因此希望能通过信息化手段实现学校设备(灯光、空调、多媒体等用电设备)的集中控制和自动化控制;并通过能耗统计分析,实现能源的最优化利用。不仅为学校后期改造提供决策依据,同时通过节能减排,实现长期的环境效益、社会效益和经济效益。利用信息化手段实现绿色校园、平安校园、数字校园的整体目标。
17)OA系统
学院目前的公文基本是纸质的文档流转,办公效率比较低,办公场所局限性比较大,公文的线上流转及电子签章管理的实现迫在眉睫。OA系统旨在为学院建立起一种开放的、网络化的、高效的办公与教学新环境,以一套完善的支持群体协作、流程控制、信息查询及
管理功能的应用软件,为学院内部管理和外部交流提供基本信息的传递、处理渠道。办公自动化系统面向日常办公和管理,帮助学院理顺内部流程,实现校内各单位内部信息共享、沟通和协同办公,提高工作效率。
18)舆情监控系统
整合互联网信息采集技术及信息智能处理技术通过对互联网海量信息自动抓取、自动分类聚类、主题检测、专题聚焦,实现学校的网络舆情监测和新闻专题追踪等信息需求,形成简报、报告、图表等分析结果,为学校领导全面掌握群众思想动态,做出正确舆论引导,提供分析依据。
19)留学生管理系统(含留学生校友)
目前的留学生及留学生校友管理缺乏有效快捷的管理手段,通过完善优化信息系统和业务流程,对留学生活动通过系统进行有效的控制与监督,为管理决策起到辅助作用。通过该系统将学生进校之前的招生计划的制定、招生录入、入学、教育培养、毕业、校友等融合成一体。并针对留学生学历申请学位招生培养方式,根据教育部和本校相关管理规定,进行不同体制的培养管理。
20)离校管理系统
学校目前的离校业务办理,采用转单的形式。效率不高,且各部门的信息不能有效的共享,使得离校各业务办理环节不能连续,容易造成未修满学分等学生毕业。建立离校管理系统可以让学生的很多离校流程在网上办理,尽量减少学生等待几排队的时间,让大多数学生不需要经过业务人员手工确认就可以办理其他手续。让领导可以方便快捷的查看和跟踪离校过程、实现数字化离校。
21)党建管理系统
目前学校没有针对党群服务的系统,党组织组织党员活动、开会等活动的记事都是靠用人工记录的方式,通知公告等的传达采用口头传述或在相关区域张贴告示等方式,效率比较低且管理、查找资料比较麻烦。建设专门针对党组织管理的党建管理系统,可以有效的提高工作效率,能完整的记录并保存党群建设的所有过程,同时可以形成个人从积极分子到党员的全过程文档记录及考察记录。方便对党员队伍的管理。
22)招生面试系统
目前学院缺乏统一的招生面试管理系统,没有针对学院表演等特殊的招生面试管理。特别的针对艺术类招生面试需要高清的数据采集,现场单独采集照片影响了整个招生流程的效率。建立统一的招生面试管理系统,有助于学院协调各类资源,现场的高清相片自动采集及考场的随机分配,确保了招生的效率及透明性。
23)校园仿真系统
随着信息化管理水平的提高,各行各业运用可视化管理手段能
够实现更加直观高效的信息管理。校园仿真系统旨在为学校建设一套逼真的校园三维模型,便于学校师生对校园信息进行浏览查询,辅助学校招生、形象展示和建设规划;学校可利用校园三维模型制定应急预案,进行应急预案演练,在突发事件发生时进行应急指挥;校园三维模型直观地展现校园地下管线的情况,辅助学校进行地下管线管理和动土施工作业。
24)校友管理系统
在信息飞速发展的今天,校友与学校之间以及校友与校友之间仍然主要通过普通信件、邮件或电话进行联系的方式已经落后,消息不能及时共享,资源不能有效利用。通过校友管理系统的建设,进一步加强校友与学校以及校友自身之间的联系。为校友对母校的献计献策、捐赠等提供平台,同时加强校友之间的相互交流。
25)理事会管理系统
通过该平台对外发布审议通过的理事会章程、章程修订案;理事的增补或者退出信息;就**学院的发展目标、战略规划、学科建设、专业设置、预决算报告、重大改革举措、学校章程拟定或修订等重大问题的决策审议方案;传阅审议学校开展社会合作、校企合作、协同创新的整体方案及重要协议等;研究、审议学校面向社会筹措资金、整合资源的目标、方式、途径等,监督筹措资金的使用;评议学校办学质量,就学校办学特色与质量进行评估,提出建议。
26)基金会管理系统
目前学院对于校友捐赠的物品及基金没有一套较为完整及公开的管理方式,人工统计及管理的成本比较大。通过基金会的建立,可以很好的管理相关的物品及基金,并记录基金的使用情况,方便查询。
27)大屏幕信息发布系统
近年来随着学校教育信息化的发展,以及校人才与社会快速接轨的现实需求,大量的校园资讯与社会信息需要健康、规范、严谨、高效地从信息平台传递到学校学生,需要采用现代化的网络信息发布平台来进行分类、编辑、管理、发布;单纯依靠传统的网站宣传以及校园张贴画的方式已经远远不能满足信息及时传递和分区域分内容管理的需求,大屏信息发布系统在学校校园教学楼、图书馆、体育馆等场所的应用、课室门口班牌应用展示应用,为学校的信息显示、信息交流、触摸互动提供了一个完整的展示平台,符合现代化的校园建设需求和氛围,创造了校园有效的与社会体系相结合的环境,同时也是学校数字化、信息化发展的必然趋势。
28)IT运维系统
随着学校网络及数据中心规模的不断扩大,随着数字信息化建设的深入推进,信息系统的规模不断扩大,业务对网络系统的依赖性越来越大,同时网络系统日趋复杂、系统维护要求越来越高。传统的故障“来电响应式”的IT运维模式因维护成本高、响应模式被
动,局限性已显露无余。而单项的网络管理软件往往因为只能做到“头痛治头、脚痛治脚”而导致管理上的分割。现有的运维管理体系已经不能满足日益发展、日见复杂的信息平台,信息平台的运维管理已经成为数字信息化可持续发展的瓶颈。IT内部业务流程优化的空间还很大,但缺乏有效的工具支持。
为从整体上提高网络中各资产间的运行合协性、安全性和资源共享性,从而发挥信息化建设的最大效益,同时考虑到适应未来更加复杂多变的信息网络,有必要构建一个一套全面的、科学的IT运维管理体系,通过IT运维管理平台的自动化的监测和运维管理体系辅助信息化管理人员对全网网络资源进行高效的运维。
(四)内容管理系统
内容管理系统基于J2EE平台的高校级门户网站建设和运营系统,提供全周期的网站内容管理。网站内容管理系统利用先进的门户(Portal)服务、全文检索、Web服务等技术,基于内容和表示分离的设计理念,使用户能够快速、高效地建立、部署并维护高度动态化的Internet、校园内部及校园外部网站。
(五)网站群建设
门户网站群平台不仅仅可以实现多个门户网站的建设,也能够成为学校外网的资源整合平台。随着应用需求的不断增加,能够基于平台并针对高校特征,扩展一系列的应用,如校友、招生、就业等,也能够与学校已有或将要建设的各类应用系统集成。要能够与学校数字
化校园的规划相一致。如统一身份认证集成、界面集成及数据信息的交换。网站群架构如下:
(六)信息填报系统
目前学校主要职能部门面向全校师生发布的各类申请和填表表格,超过100张。这些表格目前分散在在各个部门的网站上,提供word或者excel格式的下载。师生对于各类申请表格的下载位置、填写要求很难全面了解,带来很多不便。同时各类申请表格中很多基本信息,如教职工号/学号、姓名、性别、出生日期等每次都需要重复填写,填写不方便且容易出错。
在公共数据库平台的基础上,通过在门户建立相应的信息填报系统,实现教职工的教学、科研等相关信息在权限管理下的表格在线填报,自动填充,一次填报,储存共享。
六、基础设施技术架构
(一)应用支撑平台 1)公共数据库平台
公共数据库平台保证全校信息的统一和一致;保证任何两个异构业务系统之间的数据共享;保证任何两个业务系统之间没有冗余业务数据;保证遵循“谁产生、谁维护”的原则,所有的数据都有特定的产生者和维护者;保证系统中数据的准确性和可跟踪性;系统提供安全审计功能,保证对业务操作的严格监督;保证任何业务系统的添加和修改不影响其它业务系统的正常运行;保证可以提供为整个学校综合查询和决策支持所需的数据信息,为学校的将来决策支持系统积累分析数据。系统架构如下:
信息化校园数据架构代码标准查询教师数字档案教师填表服务信息标准管理更多应用学生数字档案学生个人简历更多应用更多应用资产查询基础数据查询和统计分析系统基础数据查询基础数据管理校友主题分析餐饮消费分析师资现状分析资产利用分析学生成绩分析更多分析主题校友管理系统综合业务数据库校园门户代码标准数据库个人信息综合服务全局数据库历史数据库(仅作为历史数据的备份,上层不建应用)数据仓库数据集1数据集2数据集3数据交换平台(只做数据交换,不基于此库建上层应用)更多系统...教师人事管理科研管理组织管理研究生招生选课研究生管理本科生招生选课教务管理资产资产管理学工学工系统就业离校财务财务核算财务报账财务查询实验室管理 2)统一身份认证平台
建设以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系,将组织信息、用户信息统一存储,进行分级授权和集中身份认证,规范应用系统的用户认证方式。提高应用系统的安全性和用户使用的方便性,实现全部应用的单点登录。即用户经统一应用门户登录后,从一个功能进入到另一个功能时,系统平台依据用户的角色与权限,完成对用户的一次性身份认证,提供该用户相应的活动“场所”、信息资源和基于其权限的功能模块和工具。在学校工作人员进行了调动、调级、调职等变更后,或者学校体制改革、组织机构变动后,使用户的身份和权限在各系统之间协调同步,减少应用系统的开发和维护成本。系统架构如下:
3)信息门户平台
信息门户平台功能包括:门户支撑框架、门户安全管理、配置管理、应用集成管理等。总体架构如下:
4)统一支付平台
统一支付平台是采用数字化电子化形式进行电子货币数据交换和结算的网络金融业务系统,是校园实现网上支付的基础,系统基于第三方支付网关兼容多家支付网银。统一支付平台是将传统的银行结算支付指令的传递完全依靠面对面的手工处理转变为基于互联网的37
电子资金转账系统,既缩短了学校与银行之间、用户与学校之间支付指令的传递时间与在途资金的占压,同时为学校财务管理部分提供实时可靠的财务数据监控统计。系统架构如下:
5)统一消息平台
统一消息平台是集数据整合、Portal、WAP、手机SIM、WebService、IM、信息安全、计算机通信集成、计算机网络等多项技术于一体,通过全方位信息推送手段,为高校学生和老师提供全方位的信息服务。系统架构如下:
6)决策支持平台
决策支持平台采用成熟可靠的J2EE架构,B/S 结构,兼容 IE、Firefox、Chrome、Safari等主流浏览器。
系统自下而上分为数据层、服务层、展示层三部分。
数据层:是决策支持平台的基础,将手动录入、文本、数据库等多种形式的数据源进行整合,为校情展示提供数据基础。包括各种类型的数据库系统及数据库文件,如关系型数据库(Oracle、DB2、SQL Server等)、Access数据库、Excel文件、txt文件等。
服务层:采集数据层的数据,对数据进行抽取、转换、集成,按照主题进行重组,并装载到数据仓库中。同时针对分析需求对数据仓库中的数据建立有效存储和高效索引机制,从而提高系统分析、统计的效率。服务层支持缓存机制,能比较迅速通过默认提供的展现主题完成数据展现。
展现层:运用各种数据分析工具、报表工具、查询工具、数据挖掘工具实现决策分析,提供各类综合信息的分析展现,并通过统一信
息门户平台、校园网站、手机终端等多种方式为各级用户提供信息服务。系统展示采用Portlet技术,用户可以定义页面的导航菜单及每个导航下面显示的内容,支持控制Portlet中显示的指标以及排列顺序。展示层通过管理员的权限配置,支持不同的角色看到不同的数据展示内容。系统架构如下:
7)移动校园平台
系统总体框架自下而上分为数字校园接口层、移动应用平台支撑层、移动校园门户展示层:
数字校园接口层:实现和数字校园现有数据中心平台、身份认证平台的接口集成,获取用户数据及公共数据库中的数据。实现和具体应用系统的标准接口,获取具体业务数据。
移动应用平台支撑层:管理子系统实现移动校园平台组织机构、40
用户角色管理,实现门户功能权限配置,实现系统管理,实现内容发布管理。运行支撑子系统实现移动应用的用户认证、会话管理,并为上层提供各种服务接口。
移动校园门户展示层:实现教职工、学生、公众等不同类型用户相关的具体功能。
教职工学生公众移动校园门户教职工/学生应用应用访问服务数据交换服务工具类应用消息推送服务文件传输服务公众应用地图导航服务短信推送移动校园平台运行支撑管理子系统用户认证权限管理会话管理……组织机构管理系统设置用户管理日志查看角色管理版本升级管理门户权限内容管理数据交换应用系统接口标准数字化校园公共数据库平台统一身份认证平台OA系统教务系统人事系统邮件系统研究生系统…………
(二)网络基础设施
整体网络的解决方案遵循网络的层次化架构、模块化的设计思想、采用网络三层架构,核心层、汇聚层、接入层。核心层和汇聚层支持万兆,接入层使用性能可靠的1000M交换机进行互联,为终端用户提供高速数据交换能力。
根据**学院的办学校规模,业务流量、人员上网情况,内网核心交换机支持万兆骨干,千兆接入相连接,并且在各个地方布置汇聚层
交换机,汇聚交换机支持上联万兆、下联千兆的接入模式,并且各个区域的汇聚交换机都是通过双万兆光钎连接到校区的两台核心交换机上。各个楼宇的接入层交换机都是通过RG45接口或者有特殊需求的话,可以通过光纤的方式连接到相应的汇聚层交换机上。并且各个楼宇的交换机都布置千兆智能接入交换机。
外网经有教育网、市教育网、中国联通、中国电信、CerNET2的专线电缆,来接入到整个互联网中,通过配置网关、网络安全设备、防火墙来保证在路由转发的同时来防御外部的攻击。
整网部署安全认证系统保证人员接入的安全。
(三)核心机房及综合布线
新机房建设项目包括机房系统工程和相关土建共八个部分,包括但不限于以下各系统和工程的深化设计和施工: 基础建设子系统
机房建筑装饰装修系统和工程 电气子系统
基础供配电设施和工程;UPS和电池系统安装工程;防雷、接地系统和工程;照明系统和工程 空气调节子系统
机房区精密空调系统安装工程;支持区基站空调和工程;机房给排水系统和工程;新风、通风、排气系统和工程 综合布线子系统
机房铜缆和光纤综合布线系统和工程;机柜系统和工程 安全和监控子系统
机房设备及环境监控系统和工程;机房视频安防监控系统和工程 操控作中心系统 综合显示控制系统和工程 消防子系统
火灾自动报警系统和工程;极早期烟雾报警系统和工程;气体灭火系统和工程;走道及公共区域水喷淋系统的施工配合 其它
标识系统;测试
(四)云平台 1)服务器虚拟化
在本次虚拟化技术中,会采用到比较成熟的虚拟化技术,如动态资源池、虚拟机的在线迁移、动态资源调配、容错技术等等。
动态资源池:利用现有的服务器,能达到要求的性能指标,建设群集组。
虚拟机的在线迁移:可以根据服务器的资源情况在线地将虚拟机在不同服务器之间进行迁移,以达到系统维护或者应用系统迁移的目的。
动态资源调配:通过手工或云计算技术,合理分配各个虚拟主机可使用的硬件资源,并可根据信息系统虚拟主机实际的负载情况,手
工或自动的进行资源的调整,使之达到运行最优化。
容错技术:故障虚拟主机或故障物理服务器上的所有虚拟主机可自动切换至正常运行的物理主机上,在硬件异常宕机的情况之下,不影响业务系统的正常运行。
虚拟化逻辑拓扑:
2)桌面虚拟化
桌面虚拟化解决方案适合不同的用户群体,包括知识工作者,设计人员,此方案主要以普通知识工作者和设计人员为目标对象。桌面虚拟化方案提供一种端到端的桌面管理解决方案。
可动态按需产生虚拟桌面,该桌面所有的运行都发生在远程数据中心的机房里,不用再担心数据驻留在客户端导致的安全漏洞。用户每次登录时都能获得一个干净的、个性化的全新桌面——从而确保性能不会下降。
解决方案包含很多组件,从而能够为每个企业的独特需求提供最佳的解决方案。桌面虚拟化完整的解决方案整体架构如下图所示。
3)云存储
充分考虑我校的需求,利用国际领先的科技和丰富的设计、项目经验,提供最佳的专业服务,以及高性价比的系统设计方案,为我校信息系统提供一套优质的数据存储方案。
采用承载高IO的SAN方式的存储,为服务器虚拟化和桌面虚拟化提供低延时、高速度的访问;而通过横向扩展的产品实现对大容量的媒体数据和文件的高效存储,通过横向扩展,保证了我校大量影视资源的存储空间需求。两种产品的结合可以确保不同的实际需求的充分满足。
4)网盘
基于对象的分布式存储系统具有高扩展性,高性能,高安全性以及管理方便等众多优点,同时基于对象的云存储系统提供给用户和开发者标准的REST API接口,可以使开发者更灵活的开发出适合自己的应用类型。
从网盘的底层架构上看,越来越多的用户转向了分布式特点明显的架构建设上。这些网盘服务的提供商不再采用集中存储,而是在多个站点之间构建多个存储空间,通过云存储的统一命名空间对所有资源进行整合,应用不需要关心数据存储到哪一个地方,存了多少份,怎么存的过程等等,只需要关心需要多大的空间,对文件需要什么样的保护级别即可。
七、标准政策体系
(一)网络与信息安全规范
学校将按照“谁主管谁负责,谁运营谁负责,谁使用谁负责,谁提供安全服务谁负责”的原则,进一步加强和完善各项安全管理制度,完善和落实组织责任管理、系统及信息资源的管理、校园网用户实名制管理、保密信息管理、安全事件管理等多种机制;进一步加强和完善网络与信息事件应急预案、防火墙管理与运行维护规范、补丁安装规范、操作系统重新安装与升级工作流程、运行日志安全管理制度、信息保密安全制度、操作安全管理制度、技术文档安全管理制度、备份安全管理制度、审计管理制度、运行维护安全规定、第三方服务商的安全管理制度,对系统安全状况的定期评估策略等。
(二)数据标准规范
学校数据标准规范将按两条主线对学校整体业务进行梳理。按学校教职工、学生、资产等主题对象梳理;按教学、科研、管理、社会服务等业务流程梳理。根据《教育管理信息标准》、《CELTS-34高等
学校管理信息标准》以及学校信息化建设实际需求,建设涵盖数据代码集、数据集及数据交换标准等的多个数据标准规范,包括**学院自定义编码规范、**学院管理数据集、**学院通用/标准数据子集以及代码集等。其中,**学院管理数据集涵盖学校管理数据集、学生管理数据集、教学管理数据集、教职工管理数据集、科研管理数据集、财务管理数据集、资产与设备管理数据集、办公管理数据集等。
(三)管理制度及管理规范
根据国家信息安全等级保护的要求,进一步加强管理制度及管理规范建设。主要包括:机房安全制度、网络安全管理制度、系统安全管理制度、系统建设管理制度、系统运维管理制度、人员管理制度、文件管理制度、管理对象的编码分析规范、业务应用管理规范、信息资源采集共享规范等。
八、顶层设计实施方案
(一)目标架构实现路径
**学院“十二五”期间信息化建设将在总体规划、分步实施、关注重点、解决问题的原则下进行。学校将统筹考虑学校信息化建设现状及学校未来信息化发展需求,按照集约建设、充分利旧的思路实现建设与世界一流**学院相适应的信息化建设水平的总体目标。
为达到学校信息化顶层设计的目标,拟通过以下方案来实现:
1、基础设施层中应用支撑平台建设需要充分整合学校现有服务器,集中存放,集中管理和维护,共享使用;建设学校云计算平台、47
学校统一存储平台、学校数据中心、学校灾备中心、学校运行监控与调度中心等。网络基础设施建设要改造学校有线网络、无线网络、有线电视网络、校园一卡通网络等,探索应用三网融合技术。
2、应用基础支撑平台层建设需要改造数据交换平台、统一身份认证平台等;通过建设中间件,更新工作流引擎、监控管理平台、消息平台等。
3、信息资源层主要是整合学校现在所有信息资源,按照统一标准和规范构建学校统一数据资源平台。
4、应用平台层主要是升级和改造校园管理与决策支撑平台、科研与学科发展支撑平台、校园服务支持平台、校园生活支撑平台、平安校园支撑平台等;建设学校教学一体化支撑平台、校园文化支撑平台等。
5、门户服务层主要通过**学院数字校园信息平台充分整合学校各业务系统,实现数据的高度共享,用户的统一身份认证等;通过学校网站群建设改造学校主站、各二级学院及职能处室网站、校内信息门户、学生服务平台等;建设教师服务平台、移动信息门户等。
6、保障体系建设主要是完善现有的管理制度和技术体系;加强人才队伍建设,重视与外界的交流与合作;建设稳定的信息化经费投入机制,保障信息化建设顺利进行。
7、统一标准规范建设主要是补充和完善现有的信息化标准规范;统一安全机制建设主要是补充和完善现有的安全策略、安全技术等,进一步加强信息安全等级保护建设等。
(二)项目设计
为实现学校建设与世界一流**学院相适应的信息化水平的总体目标,“十三五”期间,学校拟通过项目建设的方式来实现。
(三)配套实施策略
为保障学校信息化顶层设计方案顺利落实,学校将在业务创新机制、工作保障机制、项目管理和安全可控保障机制等方面加强建设。
1. 综合考虑,加强信息化项目管理
“十二五”期间,**学院将进一步加强信息化建设项目管理工作,从学校角度整体考虑,总体规划,分步实施,关注重点,解决问题,推动学校信息化建设工作快速发展。
网络与信息中心是学校信息化建设项目管理的具体执行部门,在学校信息化建设领导小组指导下统筹协调全校信息化项目管理工作。
2.统一建设,确保信息化工作有序进行
为确保学校信息化建设工作有序进行,学校将统筹考虑学校信息化发展现状以及信息化建设发展需求,并结合信息化发展趋势,按照集约建设、充分利旧的思路全面推动学校信息化建设工作。
学校将以网络与信息中心作为学校网络基础设施以及应用支撑平台建设工作的牵头单位,根据各单位信息化建设需求,结合学校信息发展现状以及信息化发展趋势,统一考虑并集约建设学校网络基础设施以及应用支撑平台;学校将以教务处作为学校教学资源库建设工作的牵头单位,根据学校各学院教学、科研的需求,在充分调研并整合现有教学资源的情况下,统一建设学校教学资源库,各学院将作为使用单位,共享学校教学资源库等;学校将以宣传部作为学校视频资源建设以及学校校园网站、学校新闻网和各部门网站建设的牵头单
位,根据各单位需求,在充分整合现有视频资源的情况下,将统一建设学校视频资源库,全校师生充分共享学校视频资源库;同时,根据学校对外宣传工作的总体要求,统一建设学校网站群系统,并将学校各部门网站纳入到网站群系统中;学校将以学校办公室作为学校办公自动化系统建设工作的牵头单位,统一建设并推动学校办公自动化系统的建设应用工作。
学校各重要系统及资源由学校相关职能部门统一建设,将最大限度的节约资金,在充分整合原有资源的情况下,确保学校信息化建设工作有序进行,并避免学校各单位的重复建设和信息孤岛的产生。统一建设完成后,全校师生都能够充分分享信息化建设的成果,也提高了信息系统及资源的利用率。
3.协调配合,促进信息化建设科学发展
信息化建设是全校性的工作。在信息化建设过程中,学校各业务工作牵头部门要积极协调,促进信息化工作快速发展;学校其它部门要积极配合,保障信息化工作顺利进行。另外,学校各部门要根据各自发展需求,及时、准确地向各业务牵头部门提出信息化发展需求,各业务部门将综合分析学校信息化建设情况,统筹考虑,集约建设,共同促进学校信息化建设工作的科学发展。
校园网络监控技术方案设计 篇5
1.1 概述
随着计算机网络技术、数字化视频监控技术的飞速发展和普及应用,学校网络化信息管理建设步伐也在加快。如何有效监管校园的安全教学及活动,成为管理层的考虑关注重点之一。
目前,高校的安防系统正处于一个更新换代的阶段,不仅要满足安防的基本需求,还要结合先进的网络技术、压缩技术,满足高校特有的业务需求,包括随时掌握学校动态,及时发现安全隐患应急指挥,考场监控,远程视频教学,教学质量监控等应用系统,以紧跟高校数字化的建设。这些需求的明确,以传统的模拟及DVR监控系统为基础,已经无法实现,这就对监控产品以及管理平台提出了新的挑战,网络化、数字化成为关键的前提,网络监控系统也必将是高校安防和专业应用的首选。
1.2 建设设计原则
本方案根据学院建设监控系统使用功能,对系统及设备的技术性能要求,遵循以下原则进行系统配置设计。
(1)实用性和易用性
系统建设贯彻面向应用,注重实效的方针,坚持以治安视频监控需求为核心,设计清晰简洁,使用方便、直观。
(2)先进性和成熟性
系统设计采用先进的概念、技术和方法,同时注意结构、设备、工具的相对成熟,使系统具有较大的发展潜力。
(3)开放性和标准性
系统采用标准化设备,并且允许不同厂商标准化设备的兼容,从而使系统具有开放性。
(4)可靠性和稳定性
在考虑技术先进性和开放性的同时,本设计从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。
(5)可扩展性和易维护性
为适应招投标中心的不断系统变化需求,同时要满足系统投资的长期效应以及系统功能不断扩展的需求,方便日后迅速扩展和集中管理。
(6)经济性
从招投标中心的角度出发,在保证性能优异的前提下,充分考虑系统的投资成本,通过优化设计,选择性能价格比最佳的系统设备,提供极具有竞争力的价格和服务。
1.3 技术标准
有关的国家标准和安防行业标准、规范、规程。具体包括: 1.-《电视系统工程设计规范》(JGT1)2.-《安全防范工程程序和要求》(GA/T75-94)3.-《安全防范系统通用图形符号》(GA/74-94)4.-《视频安全监控系统技术要求》(GA/T367-2001)5.-《城市报警与监控系统建设指导性技术文件》 6.-《城市报警监控系统建设方案设计要素》
7.-《民用闭路监视电视系统工程技术规范》(GB50198-94)8.-《工业电视系统工程设计规范》GBJ115-87 9.-《无屏蔽双绞线系统现场测试传输性能规范》(EIA/TIATSB67)10.-《安全防范工程技术规范》(GB50348-2004)11.-《计算机信息网络国际互联网管理规定》 12.-《计算机网络规范》(100BASE-T)其他与本项目有关的国家标准、法规、文件等
1.4 需求分析
校园面积大、治安环境错综复杂、为了加强学校安全防范整体力量,有效保护学校财产
安全,监控公共场合秩序,维护公共安全,必须建立一个既有利于大家生活、学习,又能够对校园安全进行实时监控的校园安全防范监控系统。所以校园安防系统对视频监控提出了以下需求。
对整个学校的主要出入口、公共区域、外墙重要保护区域进行多层次的入侵防范,特别对行政楼的财务室门口、东区饭堂和西区发卡中心共5个监控防区采取一级防护安防,并对各类报警事件进行记录存储30天。
建设4个视频分控中心管理,分控中心室分别设立在行政楼值班室、西区宿舍后勤中心、东区宿舍值班室、学院东门保安值班室,根据目前实际监控连接点数各配置一台多路实时监控管理服务器和监视器,通过数字视频解码转换成VGA信号连接监视器监,以1/4/8/9/16画面显示或轮循监控视频图像画面的区域环境,加强对整个周边环境和校园内的主要出入口的重要保护区域进行实时的视频监控,并对各个监控点进行全程的录像,为日后的事件取证提供一个有力的依据。
整个视频监控系统采用集中视频监控中心平台管理和集中录像存储方式。
要求本着高水准、高质量,高产品的性能价格比,拟采用先进的网络IP监控系统设备,充分利用现代光纤通信技术、计算机网络和多媒体及通信技术、全数字视频技术,构造新型的网络数字IP监控和信息管理系统。利用现代手段为快速处置紧急事件等提高可靠依据,安防监控成为实时安防信息采集信息获取的重要手段。
1.5 系统质量要求
系统所涉及到的相关设备,应符合现行国家标准和行业标准的有关技术要求。系统设计应基于对现场的实际勘察,根据环境条件、监视对象、以及监控方式等因素统筹考虑,符合有关风险等级和防护等级的要求,符合有关设计规范和建设单位的管理使用要求。
系统设计应具有适度的超前性和设备互换性,为系统增容或xxxx留有余地。视音频信号采集质量好:前端设备能提供高清晰度的监控视频和音频信号,采用的摄像机应具有高清晰度、低照度,在夜间低照度条件下能获取较高清晰度的图像。
图像分辨率达到:
标清为D1: 704×576;录像回放D1: 704×576。
高清为720P:1280(H)X720(V);录像回放D1: 1280(H)X720(V)系统应保持图像信息原始完整性和实时性,存储时间不少于15天。视频监控系统应保证每路每秒不小于25帧的图像纪录。
满足学校的长远发展,系统升级和扩容方便,系统控制灵活,使管理中心不拘于区域限制,方便监控中心的搬迁和移动
1.6 系统总体结构
监控系统要求采用最新的基于IP网络的全数字视频监控系统,以TCP/IP网络作为传输平台将信号传送至监控中心,进行统一管理和控制。同时以TCP/IP网络作为远端工作站视频信号共享的传输媒质。
前端设备根据具体使用地点采用不同类型网络摄像机,主要包括固定网络摄像机、网络智能球,原旧监控点升级xxxx采用网络视频服务器,每个前端点根据实际需要立杆、配置支架和相应环境的防护罩。
本次项目建设的为全数字的视频监控系统,在传输上要求建设以数据传输为主体的传输结构,即采用光纤与双绞线为主要传输介质,以核心、汇聚、接入网络交换机组成三层网络架构,组建视频监控系统的专用传输系统。
警务室二楼为网络视频监控中心,经网络核心层-汇聚层-接入层分布各个管理层接入网络视频监控,在原有的网络基础上采用学校现有的局域网光纤主干备用部分,通过增设交换机设备组建成网络监控专网,监控点统一由专用的监控网络将视频信号传输到网络视频监控中心。
根据传输介质的特性,新建设的视频监控传输系统主要由三部组成:
前端监控摄像机线路:网络摄像机/球主要采用超五类网线或者光缆作为视频信号传输介质,在布置监控点区域中以临近的交换机设备为接入点,前端网络摄像机超五类信号线不超过距离即在90米的视频传输距离,若超出超五类双绞线技术指标参数100米,可采用多模室外铠装光缆代替信号线作为传输介质;
监控分支线路: 接入层交换机到汇聚层交换机之间的网络光纤支干传输链路采用室外单模或多模铠装室外光缆作为传输介质,主要以校园局域网传输架构为基础,使得视频监控专用网与校园网的光纤网络得到充分的利用。
监控主干线路:主干线缆指汇聚层交换机到核心层交换机之间的网络主干传输链路,通
过新建网络监控专网主干上联接口传输带宽为1000兆,确保高质量图像传输的畅通,达到视频图像资源共享的要求。
网络监控中心位于警卫室二楼监控中心室。本次招标不包含监控中心的机房装修工程。视频监控中心要求包括:液晶监视器、多路实时监控管理服务器、存储管理服务器、流媒体转发服务系统服务器、网络监控管理服务器、设备运行状态监控系统服务器等。
电视墙采用监控中心原电视墙配置的42寸液晶监视器大屏8台,按原有电视墙设计图布局,液晶监视器通过8台多路实时监控管理服务器连接,每个监视器以16画面轮循显示。
网络监控管理服务器要求最大可支持1024路视频的接入,通过网络监控中心管理系统进行统一操作、配置、管理,负责实现对视频监控系统前后端设备的集中管理控制,对视频进行记录、存储、监看、录像、回放、检索和管理等,并随时调用任意的监控点的实时视频。
设备运行状态监控系统服务器要求可对录像存储服务器实现全面的监控,监控录像存储服务器网络连接情况;监控录像存储服务器与监控系统的通信程况;监控录像存储服务器CPU、内存、网络使用率、录像剩余空间的使用情况;最大可支持1000路视频前端设备的接入,监控是否存在断网、断线或异常的情况;监控设备视频信号是否正常;监控设备码流的变化状态。
1.7 系统拓扑
第2章 系统详细设计
2.1 监控系统组成
本系统采用网络集成化架构,以各类视频监控设备的输入输出量逻辑对应关系为架构体系,通过网络将其有机的结合,使其成为一套具有高度集成化的视频系统管理平台。系统集数字视频存储、处理、视频实时监控、网络管理、用户管理、相关业务流程控制、远程维护、安全机制等功能于一体,借鉴和采用当今业界各种先进的技术及理念,在数字视频压缩算法、数据流多进程管理、模块化架构、数据存储管理以及多介质远程网络传输处理等技术方面,都体现出了当今安防集成系统的先进水平。
本设计方案中,视频监控系统分为如下几个部分,每部分的基本功能和组成如下: 1)前端视频数据采集部分:通过红外一体化网络摄像机实现对外围环境及主要出入口的图像采集,预防攀爬等入侵事件发生;前端视频数据采集设备包括红外网络智能球、红外一体化网络摄像机、红外网络半球、立杆、墙挂支架等设备。
2)视频数据传输部分:通过超五类双绞线、室外单模铠装光缆、光电转换设备和网络交换机等设备组成转发视频图像数据的传输网络,并通过传输网络将图像数据从前端监控设备传送到后端监控中心进行视频显示和存储,主要设备和线材包括:网络交换机、光电转换设备、超五类双绞线、室外铠装光缆等。
3)视频监控中心部分:视频监控中心是将前端采集的视频图像信息通过软件解码,转化为图像信号传送到监视器上,形成直观图像信息并且显示出来,同时对视频信息按照存储策略进行存储。通过网络监控中心管理平台对整个系统进行统一操作、配置、管理,其中主要设备网络监控中心管理平台、大尺寸液晶电视等设备。
2.2 视频监控系统架构示意图
2.3 原有视频监控系统的xxxx 由于监控中心设备使用经过近3年的连续运行,原有监控管理中心存储一直存在诸多问题,如:存储资料丢失、间中部分监控无录像内容等。现需xxxx升级,既保证系统的继续正常使用,又能兼容新监控平台进行监看并存储。原系统状况:
前端原47个视频监控点(区域分布:行政教学区11个点,图书馆10个点,学生生活区9个点,东门地下通道2个点,南郊住宅区7个点,其他区域8个;主要设备:三星电子47个模拟摄像机,H3C四路视频编码器23台,H3C视频管理主机1台,视频解码器6台)的视频信号分为两路信号输出,一路视频信号接入原有的H3C视频编码器,另外一路视频信号接入xxxx后网络视频服务器将模拟信号转换数字信号。
体育馆未接入监控系统的67个监控点(三星电子模拟摄像机)也在xxxx范围,采用网络视频服务器将模拟信号转换为数字信号,接入通过原有的校园网络传输将视频信号传送到警务室监控中心机房。
同时,现有青年旅馆27个监控点的视频信息通过本次新建项目的网络监控管理平台,实现信息资源的互联互通。原有的主要设备配置如下表:
2.4 新增监控点规划
在宿舍楼,校道路口,饭堂及行政办公楼及教学楼周围再增加147个监控点。监控点分布
本次项目建设中,摄像机主要采用立杆和墙挂的安装方式分布于旅馆内主出入口,安装在监视目标附近并且不易受到损伤的地方,摄像机镜头避免强光直射,以保护摄像管靶面不受损害。镜头视场内没有遮挡重要监视目标的物体。摄像机镜头从光源方向对准监视目标,避免逆光安装。
网络视频服务器使用单路BNC接口转RJ45网口,中标人根据实际情况配置足够的网络视频服务器和网络交换机并留有一定的冗余。
本系统的前端摄像机供电要求采用区域性市电集中供电的方式,由总控制室或分控室集中提供220V电源输出至前端监控设备,经由前端摄像机电源适配器转直流电源。
2.5 监控点分布图
2.6 防区划分图
2.7 视频数据采集部分 2.7.1 视频数据采集组成
1、视频数据采集设备:网络智能球、红外网络智能球、高清网络摄像机A、网络摄像机B、红外网络摄像机C。
2、辅助设备包括:安装支架、电源设备等。
2.7.2 视频数据采集设备选型
视频监控采集设备选型按校园监控防区配置,根据重要等级的不同情况进行选型,为保证建成后的视频监控系统能真正满足实际的管理和治安防范需要,系统坚持设备的高质量与先进性,坚持按不同的应用需要选择不同类型前端设备原则,并且在重点监控点选择不同类型的监控产品。本次项目建设中,将采用网络智能球、红外网络智能球、高清网络摄像机A、网络摄像机B、红外网络摄像机C实现对不同监控区域的全天候的图像采集。
2.8 视频数据传输部分
数据传输部分建设是承担着视频数据的传输任务,将前端视频数据采集到的信号经传输线路传送至监控中心,监控点完全采用全数字化传输通道,保证视频数据的无阻塞、无延迟传输,传输线路采用自建视频传输网络,传输网络采用主干千兆网络,百兆到监控点的建设模式。
2.8.1 视频数据传输组成
1、网络传输设备包括:交换机、室外铠装光缆、超五类双绞线。
2、辅助设备包括:超五类网络跳线、光纤跳线等。
2.8.2 视频数据传输结构
整个视频监控传输网络由核心传输层组成架构,保卫处二楼为网络视频监控中心经网络核心层-汇聚层-接入层分布各个管理层接入网络视频监控,在原有的网络基础上尽量采用学校现有的局域网光纤主干备用部分,通过加设交换机设备组建成网络监控专网,监控点统一由专用的监控网络将视频信号传输到网络视频监控中心。
根据实地调研,前端监控摄像机全部接入到接入机交换机,而后汇集到汇聚层,汇聚交换机再通过学校现有的光纤接入到监控中心的核心交换机上,通过超五类双绞线传输连接100米内的监控摄像机;100米外的摄像机通过室外铠装单模光纤连接,并使用光纤收发器进行光电转换,确保视频及报警信号的无延时,实时传输。
2.9 存储部分
按照广东省相关规定,视频监控录像最少需保存15天,本项目将根据实际需求对部分点位采用15天保存,其他采用30天保存时长,图像的分辨率必须达到D1(720*576)以上,重要场所监控的分辨率在1280*720P百万像素的分辨率;保证录像回放细节的清晰度。本系统存储采用IP SAN架构,共配置6台存储服务器共计88T存储空间进行分布式存储。
2.10 显示部分
可立即切换即时图像与回放画面.,由视频监控管理平台进行中央管理,支援摄像机画面配置与轮巡显示.灵活的扩展延伸图像显示到任何需要的地方,显示系统服务器主机具备高清解码能力;同时还能解码前端视频编码器的视频数据,在系统建设时要考虑显示冗余和扩展能力,以便能够满足扩容需求。
本次采用专用视频解码器,配合6台32英寸的液晶监视器作为分控系统的显示部分。结构图示如下:
2.11 监控管理平台功能简介
本次部署的新的管理平台采用嵌入式架构,多画面和全屏监视:支持1、4、9、16画面轮巡,轮巡可全屏显示,轮巡时间间隔可设置;图像格式,主码流:CIF,QCIF,D1,HD720p(1280*720),UXGA(1600*1200);子码流:CIF、QCIF。
云台及镜头控制:通过控制端软件,进行对前端云台、镜头、照明、雨刮设备控制,支持预置位、巡航;监控软件支持常用的云台解码协议,并可根据需要添加。
实行用户分级别管理,不同级别用户有不同的操作权限,提高系统安全性。
告警功能:移动侦测/探头报警,联动报警;探头报警触发摄像机云台转动、控制照明等设备;同时显示文字、警报声提示,支持自动对报警摄像机连续抓拍图片,支持布防工作根据时间策略自动执行。
语音对讲:每路摄像机都可以实现全双工语音传输,实现监控点到管理中心对话,可同时进行多路监听及多路广播。
多路实时监控管理服务器的控制及配置:配置管理多路实时监控管理服务器,包括解码器设备参数配置、IP修改、视频解码控制、轮巡控制、解码器切换控制等操作。
软件锁屏功能:锁定软件屏幕,在锁屏状态下,限制软件的所有功能操作(全屏功能除外),防止他人非法操作软件。
远程数据传输及远程主机配置:可以控制管理多台存储管理服务器。
视频码流转发:视频转发是把前端设备的音视频码流转发到转发服务器上,让转发服务器承担访问负载,减小直接访问前端设备的用户数,可让更多用户同时接收摄像机的音视频。
通过8台原有的42寸液晶监视器组成大型电视墙显示。故障显示检测功能
中心软件能监测并显示系统网络连接状况,可对前端摄像机、报警点以电子地图的方式进行实时监控,当某个前端设备出现故障时,监控中心电子地图上将会显示出该前端设备地图故障指示。故障显示将会以非常醒目的状态显示在屏幕上。以方便值班人员及时采取措施通知维修人员进行维护工作,保证系统的正常运行。
联动功能
本系统通过报警接口单元可与报警系统联动;当系统接到报警信号时显示器将自动弹出报警区域的画面信息,值班人员和根据画面信息及时第一时间了解现场情况,做出相应的处理工作。
第3章 产品简介
3.1.1 迅通XTE-MC900网络监控管理服务器、迅通XTE-MC900网络监控管理服务器
3.1.1.1 产品特点
可根据规模配置不同型号的网络监控管理服务器。
网络监控管理服务器可以配置成多级树结构的上下级管理关系;
可管理配置本级监控中心的所有前、后端设备(NVR除了多路解码器不能管理其它后端设备);
可实现高清录像,图像分辨率可达1080P;
监控中心扩展简单,若要增加后端设备,将设备接入网络监控管理服务器即可; 可实现图像本地浏览、录像、回放、转发与报警联动和远程回放; 嵌入式设备,专用的系统,性能稳定,无病毒的困扰,安装使用简便。
3.1.1.2 主要功能
多画面和全屏监视:可连接所有前端设备,并将其IP地址列入管理清单。单屏可同时对16路音视频进行监控,同时可以设置1、4、8、9、16画面切换,任一画面都可全屏显示;
支持轮巡显示,支持1、4、9、16画面轮巡,轮巡可全屏显示,轮巡时间间隔可设置;可实现双码流传输。
云台及镜头控制:通过控制端软件,进行对前端云台、镜头、照明、雨刮设备控制,支持预置位、巡航;监控软件支持常用的云台解码协议,并可根据需要添加。
摄像机管理:支持大规模监控点管理,自动搜索摄像机,配置各类参数,可以调节带宽、图像质量、云台协议、IP地址等参数,并按浏览、轮巡、录像与报警、电子地图等不同功能分别进行分组管理。
多级用户密码管理:实行用户分级别管理,不同级别用户有不同的操作权限,提高系统安全性。三级用户管理,用户级别越低,权限越高,1级用户为管理员用户,可以使用软件所有功能,2、3级为受限用户,可使用部分软件功能。
告警功能:支持移动侦测/探头报警/联动报警;探头报警触发摄像机云台转动、控制照明等设备,并显示文字、警报声提示,自动对报警摄像机连续抓拍图片,抓拍图片格式支持CIF、QCIF、D1、HD720P(1280×720)、UXGA(1600×1200);支持布防工作根据时间策略自动执行。
语音对讲:每路摄像机都可以实现全双工语音传输,实现监控点到管理中心对话,可同时进行多路监听及多路广播。
电子抓拍:在实时监控同时,可以随时抓拍图像,抓拍的图像格式支持BMP及JPEG,用户可根据实际需要进行设置。
录像功能:支持手动/定时/位移侦测/报警录像,支持定时/位移侦测/报警录像根据录像时间策略自动运行,支持多盘符录像,录像文件大小可设。
存储管理:支持录像硬盘容量管理、文件备份管理,支持自动循环覆盖、硬盘数据饱和时产生告警提示。
录像查询回放:支持音视频同步回放,指定时间回放,可以根据如日期、监控地点、监控主机等检索条件进行录像检索、本地回放,支持远程回放。
日志管理功能:记录系统的操作及异常错误日志,以备查询,日志记录具备查询功能。软件锁屏功能:锁定软件屏幕,在锁屏状态下,限制软件的所有功能操作(全屏功能除外),防止他人非法操作软件。
状态显示:通过指示灯显示网络摄像机工作状态、录像、报警等情况;当鼠标移动到状态指示灯,自动弹出状态指示灯的注释。
远程数据传输及远程主机配置:可将指定的设备数据传输到指定的存储服务器,并可以
远程配置存储服务器的报警与录像配置及控制定时录像、定时布防开关;可控制多台存储管理服务器,存储管理服务器还可与网络监控管理服务器进行绑定,以增加其安全性。
视频码流转发:将前端设备的音视频码流转发到转发服务器上,让转发服务器承担访问负载,减小直接访问前端设备的用户数,让更多用户同时接收音视频,而不会因网络带宽原因造成传输线路堵塞、图像无法正常调用、浏览视频的现象;转发服务可设置用户权限;网络监控管理服务器自带最多64路转发并发流,当用户连接数较多,需配置专门的流媒体转发服务器协同工作。
视频码流合并:将1台网络监控管理服务器连接设备前端的相同码流合并,减小访问前端设备用户数的占用(后端视频并发流数没有合并分别计算)。
管理配置功能:可远程配置所有前后端设备,包含监控中心前端、后端的全部设备资料、配置参数和用户权限资料等,实现系统的统一管理;可与其它管理系统进行通信与同步,以保持数据的一致性。
3.1.2 迅通XTE-MS500存储管理服务器
迅通XTE-MS500存储管理服务器
3.1.2.1 产品特点
可管理最多128路视频(视服务器规格而定); 可选支持IPSAN存储;
可由网络监控管理服务器配置参数及客户回放/备份权限;
设备运行状态监控服务器监视存储管理系统服务器的工作状态,包括存储硬盘的工作状态;
客户(包括广域网用户)使用查询播放处理系统登陆中心管理服务器,可访问任何一台授权的存储管理服务器,进行远程播放、备份;
嵌入式设备,专用的系统,性能稳定,无病毒的困扰,安装使用简便;
存储管理服务器扩展只需以单台为单位计算台数,通过网络监控管理服务器配置即可。
3.1.2.2 主要功能
1、录像存储:专用的视频资料存储服务器,每台可同时管理多达128路的音视频存储,可实现按计划录像/抓图、跨盘符循环录像,录像文件持续时间长短可根据需要设置;录像断线自动重连。
2、录像查看与备份:支持远程查看录像文件;支持本地、远程备份录像文件;支持录像截段备份。
3、用户权限管理机制:用户登入系统查询、回放、下载录像文件需要权限验证,防止没有权限的用户登入系统,保证录像文件的安全性及保密性。
4、状态查看及告警功能:系统实时显示存其工作状态及录像的前端设备的工作状态;存储管理服务器工作状态异常,自动产生告警提示。
5、系统安全与稳定性:设备为嵌入式系统,具有较高的安全性;同时系统还增加保护性服务程序,保证系统的稳定性。
6、日志记录功能:具有完善的日志管理机制,记录系统运行、用户操作、异常错误的日志,录像文件数据访问记录;日志具备查询功能,包括按时间、关键字搜索等查询方式;支持远程查询系统的日志。
3.1.3 迅通XTE-MT2000 流媒体转发服务器
迅通XTE-MT2000流媒体转发服务系统服务器
3.1.3.1 产品特点
专用的流媒体转发服务器,负责用户对前端视频的实时浏览要求,隔离前端与用户的直接联系,保障监控中心的正常运行;
前端设备连接不受限,单个设备连接最大并发流128路,当用户连接并发流大于128
时需要增加设备,通过网络监控管理服务器配置即可增加,扩展简单;
控制管理浏览用户,负责外网用户对监控中心授权历史视频的查询播放; 嵌入式设备,专用的系统,性能稳定,无病毒的困扰,安装使用简便。
3.1.3.2 主要功能
把前端设备的音视频码流连接到转发服务系统上,让转发服务系统承担访问负载,减小直接访问前端设备的用户数,可让更多用户同时接收摄像机的音视频;
一路音视频通过转发服务系统可以被复制成多路发送给不同的访问用户,系统可保障几个、十几个、甚至更多用户同时观看同一路视频画面;
其控制台可以随时禁止某一路视频或某些用户的连接;
对于访问量大的视频,可以配置多路视频,系统具备负载平衡的功能; 当用户有需求时才连接前端,随机连接,最大节省网络及设备资源。
3.1.4 迅通XTE-FM2000 设备运行状态监控系统服务器
迅通XTE-FM2000设备运行状态监控系统服务器
3.1.4.1 产品特点
对网络视频监控系统的所有嵌入式设备进行工作状态检测监控
多种类型检测,不但监测设备的断电、断网、死机,还能检测视频异常:视频丢失/黑屏/白屏/、存储保存时间长度不符、硬盘的工作状态、设备满负载程度、网络带宽使用情况等
具有当时异常情况表,一年的监控日志信息供查询和分析,日志查询简单、快捷。客户可自行设置检测内容和重要弹出报警内容,当设定的严重异常发生时,发出报警信
号,弹出画面要求人工干预。
是嵌入式设备,专用的系统,性能稳定,无病毒的困扰,安装使用简便。
3.1.4.2 主要功能
监控功能:设备状态进行监控,采用图形化界面实时向管理者展示监控系统的运行情况及各设备(包括前端设备及监控中心的所有设备等)的状态信息;能够及时发现监控系统中出现的异常情况,准确定位异常设备。全新的故障检测方式能快速地检测到故障信息并可以通过网络及时地掌握前端设备及录像设备的工作状态,确保所有设备都在线工作,解决了以往监控系统维护困难,出现问题难以排查的难题。主要体现在:
可以对存储管理服务器实现全面的监控,监控存储管理服务器网络连接情况、与监控系统的通信情况;监控存储管理服务器CPU、内存、网络使用率、录像剩余空间的使用情况;监控存储管理服务器定时录像、定时布防的开启情况;监测存储管理服务器硬盘数据写入情况、循环删除条件及磁盘空间设置情况。任一情况出现异常,都会产生告警提示。
存储管理服务器的录像空间预警监控,当录像空间小于设置的临界值,XTE-FM2000就会产生预警提示。
对前端设备实施监控,监控前端的设备是否存在断网或异常情况、信号是否正常;监控设备码流的变化状态。
监控存储管理服务器的录像文件数据、用户访问记录。
日志记录功能:完善的日志管理功能,监控日志包括:监控系统何时开始运行、何时关闭、监控系统的配置何时发生改变、设备何时发过异常情况;可查询录像主机的日志。
系统安全与系统稳定性:嵌入式系统,具有较高的安全性;监控系统增加保护性服务程序,保证系统可以持续正常运行。
辅助功能:可创建异常设备列表显示异常设备,方便快速查询设备异常的情况;还可以随时刷新所有设备的状态;支持对数据库进行备份。
3.1.5 迅通XTE-RM1000实时监控管理服务器
迅通XTE-RM1000多路实时监控管理服务器
3.1.5.1 产品特点
多路实时监控管理服务器系列简称多路解码器,是监控中心的显示墙组成设备; 单个多路实时监控管理服务器输入前端设备数不受限,每台可显示1/4/8/9/16画面,并可设置为1/4/8/9画面轮循显示,;
增加多路实时监控管理服务器的数量,即可扩展电视墙;
所有多路实时监控管理服务器均受网络监控管理服务器或分控中心控制台的控制,控制台控制多路实时监控管理服务器的数量没有限制;
控制台记忆多组数据,快速切换;
多路实时监控管理服务器是嵌入式设备,专用的系统,性能稳定,无病毒的困扰,安装使用简便。
3.1.5.2 主要功能
1、视频监控:直接在大屏幕显示1/4/8/9/16画面的实时视频图像,支持轮巡,显示切换全部受控于远程平台或者分控中心,视频输入路数不受限,可以分组存储,切换显示灵活,具有远程控制重启,断电自动重连的功能。
2、云台控制:支持云台上下左右的控制、设置和调用球机预置位;支持镜头焦距、光圈大小的调节;支持灯光、雨刮等远程辅助设备控制;支持自转、线扫、巡航等转动方式。
3、系统操作简单:本系统操作简单、切换、控制均有较好的实时性,任意屏幕都可随时随意切换,无缝拼接,任何一台前端设备均可以快速度调上大屏幕上显示。
4、视频解码实时性:系统直接连接前端设备进行视频解码,具有较好的实时性。
5、跨网段实时监控:系统可以添加多个不同网段的IP,可以实时监看多个不同网段的摄像机。
6、数据通信准确性:控制端与被控端数据通信可靠、及时、准确。
7、时钟同步:支持随时与前端的摄像机进行时钟同步。
8、系统安全性及自我保护性:系统支持设置密码保护功能,并且系统是嵌入式系统,支持写保护功能,具有较高的安全性及自我保护性;系统还增加了保护性服务程序,保证系统可以持续正常运行。
3.1.6 蓝宝AS-8108 KVM
蓝宝AS-8108正面图
蓝宝AS-8108背面图
产品特性:
1、PC端双接口-支持使用PS/2键盘与鼠标
2、可通过面板上的按钮、热键,或OSD屏幕选单功能以选择切换电脑主机。
3、完全兼容各种USB&PS/2主机。
4、可支持操作系统:Windows2000、Windows XP、Windows Vista、LINUX、Mac、Sun及FreeBSD。
5、提供PS/2接口自动侦测功能。
6、计算机启动后,支持键盘和鼠标仿镇。
7、机架式安装。
连接示意图:
3.1.7 迅通XT-DG540C 网络智能球
XT-DG540C日夜型高速网络智能球
主要特性:
采用1/4“ Sony EXview HAD CCD,超低照度,高灵敏度,实现高画质; 缩放倍数达到30倍;
最低照度0.1 Lux,自动彩转黑,自动感红外,实现昼夜监控; 支持自动聚焦、自动白平衡、背光补偿,实现更有效监控;
采用H.264视频压缩格式,压缩比高,性能可靠稳定; 内嵌WebServer服务器,支持IE浏览,实现远程监看;
可实现双码流传输,支持多种网络协议TCP/IP、UDP、RTSP、RTP、DDNS、HTTP、NTP;
支持移动侦测、探头、遮挡等报警功能,内置1路报警输入/输出,支持报警联动; 音频采用全双工方式,线性输入,可实现语音对讲、监听、广播;
云台可实现水平360°连续旋转,垂直90°,无监视盲区,支持128个预置位; 水平手动转速200°/秒,最高巡航速度可达300°/秒; IP65级防护设计,可靠性高。卖点: 30倍光学变焦
世界领先的30倍光学变焦,使摄像机更容易辨别、抓拍远距离物体。适用场合:
可广泛应用于需要大范围高速监控的场所,如广场、街道、大型场馆、小区外围、银行大门、公园、景区、公路、铁路、机场、港口、油田、车站等场所。
3.1.8 迅通XT-D540H 红外网络智能球
迅通XT-D540H 22×红外网络智能球
主要特性:
采用1/4” SONY High Sensitivity CCD II,高灵敏度,高性能,图像还原准确; 超低照度1Lux(30IRE)彩色,0.25Lux(30IRE)黑白,DSS0.001Lux(128FLD,30IRE),夜间监控灵敏清晰,自动彩转黑,自动感红外,真正实现24小时日夜监控;
22倍光学变焦;
支持自动聚焦、自动白平衡、背光补偿,实现更有效监控; 采用H.264视频压缩格式,压缩比高,性能可靠稳定; 内嵌WebServer服务器,支持IE浏览,实现远程监看; 可实现双码流传输,灵活适用于不同的网络环境;
支持多种网络协议TCP/IP、UDP、RTSP、RTP、DDNS、HTTP、NTP;
支持移动侦测、探头、遮挡等报警功能,内置1路报警输入/输出,支持报警联动; 音频采用全双工方式,线性输入,可实现语音对讲、监听、广播; 云台可实现水平360°连续旋转,垂直90°,无监视盲区; IP65级防潮防护设计,可靠性高。卖点: 540线高清晰
采用索尼高灵敏度二代CCD和DSP图像处理技术,使摄像机彩色水平分辨率可达540线,图像清晰、细腻。
适用场合:
可广泛应用于大范围内需要红外监控的场所,如仓库、地下停车场、酒吧、管道、加油站等光线较暗或无光照的环境。
3.1.9 迅通XT-C1MC 网络摄像机
迅通XT-C1MC 高清增强型网络摄像机
主要特性:
采用1/2.5″高分辨率逐行扫描CMOS,集成度高,处理速度快;
最高分辨率达1280(H)×720(V),1-25fps可调,可输出HD1080P实时高清图像; 红外距离15米,0.1Lux/F1.4超低照度,自动彩转黑,自动感红外,全天候日夜监控; 支持自动白平衡、背光补偿,实现更有效监控; 采用H.264视频压缩格式,压缩比高,性能可靠稳定; 内嵌WebServer服务器,支持IE浏览,实现远程监看;
可实现双码流传输,网络带宽在128K-4M可调,灵活适用于不同的网络环境; 支持移动侦测、探头、遮挡等报警功能,内置1路报警输入/输出,支持报警联动; 音频采用全双工方式,线性输入,可实现语音对讲、监听、广播。卖点: 百万高清
采用百万像素逐行扫描CMOS,可以提供1280(H)× 720(V)高清影像,使监控场所更清晰流畅,就像置身现场。
适用场合:
可广泛应用于需要高清红外监控的场所,如金银行金库、自助银行、展览中心、博物馆、交通、学校、政府、仓库、地下停车场等重要岗位中光线较暗或无光照的环境。
3.1.10 迅通XT-C540 网络摄像机
迅通XT-C540 日夜型网络摄像机
主要特性:
采用1/3" Sony CCD,图像画质优越,色彩还原度好,图像清晰细腻; 0.01Lux超低照度,自动彩转黑,自动感红外,实现昼夜监控; 支持自动白平衡、背光补偿,实现更有效监控; 采用H.264视频压缩格式,压缩比高,性能可靠稳定;
内嵌WebServer服务器,支持IE浏览,实现远程监看,支持远程网络升级、配置,远程设备复位功能;
可实现双码流传输,网络带宽在128K-2M可调,灵活适用于不同的网络环境; 支持多种网络协议TCP/IP、UDP、RTSP、RTP、DDNS、HTTP、NTP;
支持移动侦测、探头、遮挡等报警功能,内置1路报警输入/输出,支持报警联动; 音频采用全双工方式,线性输入,可实现语音对讲、监听、广播。卖点:
日夜彩色黑白转换
0.01Lux超低照度,自动彩转黑,白天以彩色模式监控,夜间根据照度自动转换为黑白模式,从而提高图像的解析度。
适用场合:
可广泛应用于学校、金融、超市、政府、工厂、酒店、机场、医院等场所。
3.1.11 迅通XT-C540H/50 网络摄像机
迅通XT-C540H/50 50米红外网络摄像机
主要特性:
采用1/3″SONY CCD,捕捉运动图像无锯齿;
红外距离50米,0.01Lux超低照度,自动彩转黑,自动感红外,全天候日夜监控; 支持自动白平衡、背光补偿,实现更有效监控; 采用H.264视频压缩格式,压缩比高,性能可靠稳定;
支持多种通信协议:TCP/IP、UDP、RTSP、RTP、DDNS、HTTP、NTP; 内嵌WebServer服务器,支持IE浏览,实现远程监看;
可实现双码流传输,网络带宽在128K-2M可调,灵活适用于不同的网络环境; 支持移动侦测、探头、遮挡等报警功能,内置1路报警输入/输出,支持报警联动; 音频采用全双工方式,线性输入,可实现语音对讲、监听、广播; 可防尘、防水,防护等级高达IP65。卖点: 50米超长红外
红外距离达50米,在夜间无光线的环境能看得更清、更远;0.01Lux超低照度,自动彩转黑,白天以彩色模式监控,夜间根据照度自动转换为黑白模式,从而提高图像的解析度。
适用场合:
可广泛应用于需要红外监控的场所,如道路、仓库、地下停车场、酒吧、管道、博物馆、走廊等场所。
3.1.12 迅通XTE200G-Y网络视频服务器
产品概述:
双码流视频服务器可以同时传输两种不同格式的码流用于不同使用场合,功耗低、使用方便,连接网线即可使用。XTE200G-Y型号采用双码流技术最大限度地降低了对电脑配置及网络传输的要求。安装简单、工程性价比高,尤其适宜于原有模拟监控系统的客户进行系统升级。
主要特点: H.264的压缩格式
视频格式可选择(主码流)D1、CIF、QCIF;(子码流)CIF、QCIF 体积小、功耗低(平均功率≤2.4瓦)、性能稳定
内嵌WebServer服务器、支持IE方式浏览
RS485接口,支持PTZ控制
可扩展多种解码协议,适应不同云台
可以同时传输两种不同视频格式的码流(双码流功能)
带双向音频对讲功能
带报警输入/输出接口
带宽上限1024K 内置密码保护
3.1.13 锐捷RG-S5750-24GT/12SFP核心交换机
3.1.13.1 产品概述
RG-S5750系列是锐捷网络推出的硬件支持IPv6的万兆多层交换机。该系列交换机提供的接口形式和组合非常灵活,即可以提供24个或48个10/100/1000M自适应的千兆电口(不包含扩展模块端口),又可以提供有24个SFP千兆光口((不包含扩展模块端口)),又能提供PoE远程供电的接口,满足网络建设中不同传输介质的连接需要。
全千兆的端口形态,加上可扩展的万兆端口,特别适合高带宽、高性能和灵活扩展的大型网络汇聚层、中型网络核心、以及数据中心服务器群的接入使用。
硬件支持IPv4/IPv6双协议栈多层线速交换和功能特性,为IPv6网络之间的通信提供了丰富的Tunnel技术,可灵活应用于纯IPv4网络、纯IPv6网络、IPv4到IPv6共存的网络,能充分满足当前园区网从IPv4向IPv6过渡的需要。
提供二到七层的智能的业务流分类、完善的服务质量(QoS)保证和组播应用管理特性。在提供高性能、多智能的同时,其内在的安全防御机制和用户接入管理能力,更可有效防止和控制病毒传播和网络攻击,控制非法用户接入网络,保证合法用户合理地使用网络资源,并可以根据网络实际使用环境,实施灵活多样的安全控制策略,充分保障了网络安全、网络合理化使用和运营。
该系列交换机提供的接口形式和组合非常灵活,即可以提供24个或48个10/100/1000M自适应的千兆电口,又可以提供有24个SFP千兆光口,又能提供PoE远程供电的接口,满足网络建设中不同传输介质的连接需要。
RG-S5750系列交换机以极高的性价比为大型网络汇聚、中型网络核心、数据中心服务器接入提供了高性能、完善的端到端的服务质量、灵活丰富的安全设置和基于策略的网管,最大化满足高速、安全、智能的企业网需求。
3.1.13.2 产品特征
高性能
万兆端口为“千兆汇聚,万兆核心”提供可能,适应了网络应用高速发展,网络带宽不断增加的需要。而万兆端口的可扩展性既方便用户现在使用万兆网路,也方便用户后续升级网络到万兆。
IPv4/IPv6双栈协议多层交换
硬件支持IPv4/IPv6双协议栈多层线速交换,硬件区分和处理IPv4、IPv6协议报文,支持多种Tunnel隧道技术(如手工配置隧道、6to4隧道和 ISATAP隧道等等),可根据IPv6网络的需求规划和网络现状,提供灵活的IPv6网络间通信方案;
支持丰富的IPv4路由协议,包括静态路由、RIP、OSPF、BGP4等,满足不同网络环境中用户选择合适的路由协议灵活组建网络;
支持丰富的IPv6路由协议,包括静态路由、RIPng、OSPFv3、BGP4+等,不论是在升级现有网络至IPv6网络,还是新建IPv6网络,都可灵活选择合适的路由协议组建网络;
S5750 V2.0硬件版本支持MCE功能,可以在BGP/MPLS VPN组网应用中承担多个VPN实例的CE功能,减少用户设备的投入。
灵活完备的安全策略
具有的多种内在机制可以有效防范和控制病毒传播和黑客攻击,如预防Dos攻击、防黑客IP扫描机制、端口ARP报文的合法性检查、多种硬件ACL策略等,还网络一片绿色;
支持基于硬件的IPv6 ACL,即使在IPv4网络内有IPv6用户,也可轻松在网络边缘实现对IPv6用户的访问控制,既可允许网络内IPv4/IPv6用户并存,也可以对IPv6用户的访问权限进行控制,比如限制对网络敏感资源的访问等。
业界领先的硬件CPU保护机制:特有的CPU保护策略(CPP技术),对发往CPU的数据流,进行流区分和优先级队列分级处理,并根据需要实施带宽限速,充分保护CPU不被非法流量占用、恶意攻击和资源消耗,保障了CPU安全,充分保护了交换机的安全;
硬件实现端口或交换机整机与用户IP地址和MAC地址的灵活绑定,严格限定端口上的用户接入或交换机整机上的用户接入问题;
支持DHCP snooping,可只允许信任端口的DHCP响应,防止私设DHCP Server的欺骗;并在DHCP监听xxxx,通过动态监测ARP和检查用户的IP,直接丢弃不符合绑定表项的非法报文,有效防范ARP欺骗和用户源IP地址的欺骗问题;
基于源IP地址控制的Telnet访问控制,避免非法人员和黑客恶意攻击和控制设备,增强了设备网管的安全性;
SSH(Secure Shell)和SNMPv3可以通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备
控制非法用户使用网络,保证合法用户合理化使用网络,如多元素绑定、端口安全、时间ACL、基于数据流的带宽限速等,满足企业网、校园网加强对访问者进行控制、限制非授权用户通信的需求。
强大的多业务支撑能力
支持IPv4、IPv6组播功能,包含丰富的组播协议。比如IGMP Snooping、IGMP、MLD、PIM、PIM for IPv6等协议族,为IPv4网络、IPv6网络、IPv4和IPv6共存的网络提供了组播服务支持。
支持IGMP源端口和源IP检查功能,有效地杜绝非法的组播源,提高网络的安全性; 支持等价路由(ECMP)、权重路由(WCMP)等丰富的三层特性和业务特性,满足不同网络链路规划下的通信需要。
完善的QoS策略
具备MAC流、IP流、应用流等多层流分类和流控制能力,实现精细的流带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量特性,提供服务。
以DiffServ标准为核心的QoS保障系统,支持802.1P、IP TOS、二到七层流过滤、SP、WRR等完整的QoS策略,实现基于全网系统多业务的QoS逻辑;
高可靠性
支持生成树协议802.1d、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率;
支持VRRP虚拟路由器冗余协议,有效保障网络稳定;
支持RLDP,可快速检测链路的通断和光纤链路的单向性,并支持端口下的环路检测功能,防止端口下因私接Hub等设备形成的环路而导致网络故障的现象;
支持BFD,为各上层协议如路由协议,MPLS等提供一种快速检测两台路由设备之间
转发路径连通状态的方法,大大减少了上层协议在链路状态变化时的收敛时间。
方便易用易管理
灵活复用的多种千兆接口形式,可灵活满足需要多个千兆铜缆和多个千兆光纤链路的连接,方便用户灵活选择线缆;
为方便安装地点或建筑物不适宜部署外部电源的环境,RG-S5750系列交换机特别提供支持PoE功能的产品型号,即通过双绞线就可以向远端下挂的PD设备供电,如无线AP、IP Phone、视频监控等设备,方便了任何符合IEEE 802.3af标准的终端设备的接入,实现以太网集中供电,以满足金融、企业、学校、医院、工厂等用户实现VoIP、远程监控、无线AP等网络应用的需要;
网络时间协议保证交换机时间的准确性,并与网络中时间服务器时间统一化,方便日志信息和流量信息的分析、故障诊断等管理;
Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员网络维护和管理;
多端口同步监控,通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率;
CLI界面,方便高级用户配置和使用。
3.1.13.3 典型应用
大型网络的汇聚层、中小型网络的核心、服务器群的接入、大型企业或园区办公楼栋的全千兆三层接入。
通过简单地增加万兆模块即可以平滑地升级为万兆上链骨干网,保护用户投资。需要能灵活多样的千兆端口形式和千兆端口数的场合,提供高性能数据处理。 需要高性能的多层交换解决方案。
丰富的安全管理机制,提供网络安全防御、高安全接入控制和有效网络访问控制。 完善的管理策略应用,帮助管理带宽、保证语音、组播音视频服务及视频点播等关键任务的应用。
典型应用
一、万兆骨干校园网
RG-S5750系列交换机用于学校各教学科研、图书馆、学生宿舍各楼栋,千兆下连楼层接入交换机,万兆上链各区域的区核心交换机,为接入用户提供高性能的万兆骨干链路,满足接入信息点不断扩充和信息量日益增加的需要。
典型应用二:安全金融局域网
采用功能模块区的层次划分,通过锐捷RG-S8600,RG¬S6800E,RG-S5750提供的业界最强大安全防护功能,可以为金融一级分行提供满足新形势下的一级分行信息系统对网络安全的要求,并配合数据中心建立全行一体化的网络安全体系,实施完善的一级分行辖内网络安全项目。
中小型网络核心
核心交换机使用锐捷网络安全智能万兆多层交换机RG-S5750S-24GT/12SFP,高背板带
宽和线速的包转发速率,可以满足中小学校和中小企业的各种应用需求,灵活多样的千兆接口(24个千兆电口和灵活复用的12个SFP光纤接口),用于连接各分点接入交换机和服务器的接入需要。
大型企业或园区网的接入
S5750系列交换机上行通过万兆或千兆连接锐捷的多业务IPv6核心路由交换机S8600系列,核心设备通过万兆或多千兆链路聚合相连;
S5750系列向下通过千兆连接桌面工作组,实现全千兆三层到桌面,并且可以通过万兆弹性堆叠提供端口的无缝扩容,满足网络的灵活扩展。
3.1.14 锐捷RG-S2328G汇聚交换机
3.1.14.1 产品概述
RG-S2300系列是锐捷网络为满足构建多业务支持,易管理,高安全网络量身定制的以
太网交换机。灵活的端口形态为网络架构提供方便,也为未来网络扩展提供投资保护。支持混合堆叠,方便用户增加端口密度。
通过实施多种多样的安全策略,有效防止和控制网络病毒的扩散。更可提供基于硬件的IPv6 ACL,方便未来网络的升级扩展。高级QoS机制适应网络中多业务的顺利开展,为服务质量提供保证。
支持802.1x认证,控制非法用户使用网络,保障网络的合法使用。支持RADIUS协议,实现网络运营和计费,实现网络的运维。
RG-S2300系列包括RG-S2328G和RG-S2352G两款,为各类型网络提供无阻塞线速转发和网络安全策略。
3.1.14.2 产品特征
高带宽和高扩展性
RG-S2300系列提供高达19.2G的背板带宽,实现所有端口线速转发。并提供固化2个千兆Combo口(2个千兆SFP光口和2个10/100/1000M电口复用),灵活实现千兆上联。更可提供2个扩展Combo口为未来网络扩展提供投资保护。
通过堆叠可在不改变网络拓扑的情况下扩展端口密度,通过混合堆叠,在现有网络端口密度情况下,灵便根据实际情况扩展多个24口或者48口设备。
安全控制策略
通过锐捷安全计费管理平台SAM,不仅可实现用户账号、密码、MAC地址、IP地址、交换机IP、交换机端口等六大元素之间的灵活任意绑定,有效确认用户身份的合法性和唯一性,更能通过交换机特色硬件动态绑定,保障用户身份始终一致性,避免了用户恶意篡改身份信息进行非法攻击等行为;
ARP检测功能有效遏制了网络中日益泛滥的ARP网关欺骗和ARP主机欺骗的现象,保障了用户的正常上网。无论在动态分配IP环境下,还是静态分配IP环境下,均可实现自动绑定工作,大大的节省了人力成本,降低了管理开销。而配合ARP速率监控控制端口ARP报文发送的速率,防止恶意利用扫描工具进行ARP泛洪占据网络带宽,导致网络拥塞的攻击行为;
支持DHCP snooping,只允许信任端口的DHCP响应,防止未经管理员许可私自架设DHCP Server,扰乱IP地址的分配和管理,影响用户的正常上网的行为;并在DHCP监听
xxxx,通过动态监测ARP和检查源IP,有效防范DHCP动态分配IP环境下的ARP主机欺骗和源IP地址的欺骗;
面对日趋热烈的IPv6应用,S2300系列交换机支持基于硬件的IPv6 ACL,即使在IPv4网络内有IPv6用户,也可轻松在网络边缘实现对IPv6用户的访问控制,既可允许网络内IPv4/IPv6用户并存,也可以对IPv6用户的访问权限进行控制,比如限制对网络敏感资源的访问等;
SSH(Secure Shell)和SNMPv3技术通过在Telnet和SNMP进程中加密管理信息,保证管理设备信息的安全性,防止黑客攻击和控制设备。基于源IP地址控制的Telnet访问控制,更加精细的提供了设备管理控制,保证只有管理员配置的IP地址才能登陆交换机,增强了设备网管的安全性。
高可用性
支持生成树协议802.1D、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率;PortFast大大缩减了标准的30-50秒的生成树协议收敛时间,而BPDU Guard功能则避免了生成树协议环路的出现;
支持RLDP,可快速检测链路的通断和光纤链路的单向性,并支持端口下的环路检测功能,防止端口下因私接Hub等设备形成的环路而导致网络故障的现象。
多业务支持
支持802.1P、DSCP、IP TOS、二到七层流过滤等QoS策略,具备MAC流、IP流、应用流等多层流分类和流控制能力,实现带宽控制、转发优先级等多种流策略,支持网络根据不同的应用、以及不同应用所需要的服务质量,提供服务;
能够探测IGMPv1/v2和IGMPv3全部版本的组播报文,适应不同组播环境,避免非法的组播数据流占用网络带宽,满足组播安全应用的需要。
支持多种调度算法,可根据优先级将报文分别放入不同队列,不同业务分占不同大小带宽,既保证了多业务的正常开展,也保证了带宽的利用率。
极灵活的带宽控制能力,可基于交换机端口、MAC地址、IP地址、VLAN ID、协议、应用组合进行灵活的带宽限速,最小粒度可达64Kbps。可根据网络安全需求,设定不同业务应用的带宽流量,满足不同业务网络带宽按需所用。
方便易用易管理
在802.1x环境下,可自动分发802.1x客户端给最终用户,网管人员可轻松在网内实现
认证且不再有最终用户的抱怨;
支持线缆检测特性,可在网线有断路时自动检测出,并给出断路点离端口的距离,网管人员可根据此信息轻松排除网络故障;
端口的VLAN自动跳转功能,方便移动用户随意换动网络接入点但是无需改变网络号,轻松实现用户全网漫游上网,减轻设备配置和维护量。
多端口同步监控,通过一个端口即可同时监控多个端口的数据流,可只监控输入帧或只监控输出帧或双向帧,大大提高维护效率。
网络时间管理协议/简单网络时间管理协议(NTP/SNTP)保证交换机时间的准确性,并与网络中时间服务器的时间统一化,方便日志信息和流量信息的分析、故障诊断。
Syslog方便各种日志信息的统一收集、维护、分析、故障定位、备份,便于管理员进行网络维护和管理。
支持使用WEB浏览器配置交换机,无需了解复杂的命令行和终端模拟程序,允许简单、快速的配置交换机,从而降低部署成本。
3.1.14.3 典型应用
由于RG-S2328G和RG-S2352G具有的高安全特性以及堆叠特点,使得组网形式非常灵活,适用各种类型网络的接入层。
大、中型网络接入层
支持802.1x,灵活实现用户接入控制; 支持多种安全特性,解决网络攻击的烦扰;
支持完备的生成树协议和RLDP,保障网络的可靠性,维持网络持续运行; 支持多种网管特性,简化网络管理;
支持硬件IPv6 ACL,为未来网络扩展提供投资保护
小型网络接入层
支持802.1x,灵活实现用户接入控制; 支持多种安全特性,解决网络攻击的烦扰;
支持完备的生成树协议和RLDP,保障网络的可靠性,从而维持网络持续运行; 支持多种网管特性,简化网络管理;
3.1.15 锐捷RG-S2026G接入交换机
3.1.15.1 产品概述
RG-S20系列是全线速智能型增强网管交换机,具有特别丰富而强大的网管功能,在实现流量线速交换的同时,可以通过多重设置方式进行网管操作,实现802.1Q VLAN、保护端口、链路聚合、Spanning Tree、端口监控设置、静态地址管理、广播风暴控制、端口动态MAC地址锁、端口MAC地址绑定、端口IGMP属性设置、802.1p优先级等各种管理。
RG-S20系列交换机在设置丰富的管理策略时,可针对用户的不同使用情况进行灵活的端口带宽分配,并采用业界最先进的802.1x安全接入控制策略,提供用户接入安全保障。
RG-S20系列交换机灵活的上链端口扩展能力、端口带宽分配、安全的用户接入控制使该系列交换机特别适合于高校、中小学、金融网点、、中小企业、政府、宽带社区等多种应用场合。
3.1.15.2 产品特征
高性能,端口全线速
高背板带宽为所有的端口提供非阻塞全线速交换。灵活精细的端口带宽限速
可对端口的输入和输出带宽进行灵活精细的速率控制,粒度精细可达64Kbps,网管人员可根据每个用户的实际情况分配相应的带宽,满足不同用户的接入带宽需求。在控制用户的接入速率同时,又可以有效防止用户恶意占用网络带宽,从而大大提高对网络带宽的利用率,如在学校、智能大厦、宽带小区、网吧等。
灵活的安全控制策略
支持802.1x,802.1Q VLAN,端口MAC地址绑定,端口MAC动态地址锁等,特别是通过锐捷SAM平台,可实现用户账号、MAC地址、IP地址、交换机IP、交换机端口等多元素之间的灵活任意绑定,可有效控制用户的接入,确定用户的唯一性,如高校、政府机构、宽带小区等;
通过将端口设为保护端口即可简单方便地隔离用户之间信息互通,避免用户之间病毒、及网络攻击的肆意传播;
基于端口速率的广播风暴抑制功能,不仅设置简单,方便管理员的管理,而且充分保障了网络的稳定和安全。
高可靠性
支持生成树协议802.1D、802.1w、802.1s,完全保证快速收敛,提高容错能力,保证网络的稳定运行和链路的负载均衡,合理使用网络通道,提供冗余链路利用率。
方便易用的网络管理和网络维护
灵活的网络扩展,RG-S2026G的两个扩展槽均可自适应百兆、千兆光纤或电模块,方便用户选择各种介质(光纤或铜缆)和速率(百兆或千兆)来构建网络;
RG-S2052G特别提供固化的千兆电口和SFP光纤接口,非常便于用户根据需要选择介质来构建网络,同时又提供扩展槽来进一步方便网络的灵活弹性扩展;
通过堆叠,可提供灵活的端口密度,保证网络的高度灵活和可扩展,网络管理更加简单; 可监听IGMP v1/v2/v3全部版本组播报文,适应不同组播环境,满足组播安全应用的需要;
多端口同步监控,通过一个端口可同时监控多个端口的数据流,可以只监控输入帧,或
只监控输出帧,或监控双向帧;
SNMPv3确保在Telnet和SNMP进程中加密管理信息,保证交换机管理信息的安全性,防止黑客攻击和控制设备;
24口交换机的端口采用了一字排开的设计,以利于网络故障的查找及排除,同时也非常有利于楼道配线架的配线工作;
CLI界面,方便高级用户配置和使用。
3.1.15.3 典型应用
适用场合
各种类型网络接入层,可满足的应用需求有: 可对用户接入带宽进行灵活分配 需要高密度的端口接入
可对用户提供高安全的接入控制 需要千兆上链的网络环境
需要灵活多样和方便易用的管理方式 典型应用
高校校园网接入应用
中小学教育网接入应用
宽带小区接入应用
中小企业、政府单位接入应用
3.1.16 锐捷RG-S1916+接入交换机
3.1.16.1 产品概述
RG-S1916+是锐捷网络推出的一款16口高性能增强网管型交换机,具有丰富而强大的网管功能,在实现数据线速交换的同时,可以通过多重设置方式对网络进行网管操作,实现802.1Q VLAN、保护端口、链路聚合、Spanning Tree、端口监控设置、静态地址管理、广播风暴控制、端口动态MAC地址锁、端口MAC地址绑定、端口IGMP属性设置、802.1p优先级、802.1x安全控制等各种管理。
RG-S1916+可针对用户的不同情况进行灵活端口带宽分配,并采用业界最先进的802.1x安全接入控制策略,实现高效的用户控制能力。
S1916+灵活的带宽分配功能、安全的用户接入控制功能、丰富多样的管理方式、和易
于安装的外观设计,使此款交换机特别合于金融网点、城域网IP接入、中小学教育网、政府、中小企业等多种应用场合。
3.1.16.2 产品特征
端口全线速交换
高背板带宽为所有的端口提供无阻塞全线速交换。灵活的端口带宽分配
S1916+的16个10/100M端口均可达64K精细粒度尺度的带宽分配,这样网管人员可轻松地根据每个用户的实际业务需要分配相应的带宽,满足不同用户的接入带宽需求,在控制用户的接入速率同时,又可以有效防止用户恶意占用网络带宽,大大提高对网络带宽的利用率,为用户更好的利用带宽资源提供最佳保证,如在智能大厦、宽带小区、网吧、学校、金融网点等。
高的安全接入控制
支持802.1x,802.1Q VLAN,端口MAC地址绑定,端口动态地址锁等,控制用户的合法性;特别是可在用户账号、MAC地址、IP地址、交换机端口、交换机IP之间等需要任意绑定的场合,可有效控制用户的接入,确定用户的唯一性,如军队、军事院校、高校、政府机构等;
保护端口不必占用VLAN资源,即可非常方便地隔离用户之间信息互通,确保用户不能监控或访问同一台交换机上其他用户的信息,保障了用户信息的安全性。
静音节能绿色环保设计
S1916+采用了低功耗设计,不仅功耗小(不超过15W),极大程度上节约了耗电量,同时无需风扇,彻底免除噪音影响,特别适合于静音场所,如居民小区、医院、办公场所、学校宿舍楼等。
丰富而方便的网络管理和维护
IP访问列表限制,有效控制交换机管理安全
用户可以通过灵活设置IP地址列表,即可允许哪些IP可以通过Telnet和Web的方式访问交换机,有效地保障和控制了交换机管理安全。
多端口同步监控
通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双
向帧,大大提高维护效率。
端口环回测试
方便了网管人员在远程测试交换机的端口是否工作正常。这样,当最终客户报告网络无法使用时,网管人员可使用这项特色功能判断是否为最终客户本身问题,或交换机本身问题,还是线缆问题。此项功能将大大降低网管工作量,更可有效的节省网络维护成本。
小尺寸壁挂设计
13〞壁挂设计,方便楼道狭窄环境安装;灵活小巧机型即可桌面型摆放,亦可方便安装于机架,特别适用于金融网点、城域网IP接入、学校、政府、企业工作组用户接入。
支持多样的管理方式
CLI界面,方便高级用户配置和使用。
Java-based Web管理方式,实现对交换机的远程可视化图形管理,易学易用,方便用户快速和高效地配置、修改、查看设备信息。
3.1.16.3 典型应用
RG-S1916+宽带网管交换机的适用场合如下: 宽带小区 金融网点接入 中小型网络的接入层
要求对用户接入带宽进行灵活分配 需对用户提供高安全接入控制
需要灵活小巧的机身,方便部署于空间有限的场所 需要完善的网络管理功能和灵活多样易用的管理方式 宽带小区接入
金融网点接入
中小学接入校园网
中小企业工作组接入
3.1.17 锐捷RG-S1908+接入交换机
3.1.17.1 产品概述
RG-S1908+是锐捷网络推出的一款8口高性能增强网管型交换机,具有丰富而强大的网管功能,在实现数据线速交换的同时,可以通过多重设置方式对网络进行网管操作,实现802.1Q VLAN、保护端口、链路聚合、Spanning Tree、监控设置、静态地址管理、广播风暴控制、端口动态MAC地址锁、端口MAC地址绑定、端口IGMP属性设置、802.1p优先级、802.1x安全控制等各种管理。RG-S1908+可针对用户的不同情况进行端口带宽分配,并采用业界最先进的802.1x安全接入控制策略,简化认证的同时实现高效的用户控制能力。
S1908+灵活的带宽分配功能、安全的用户接入控制功能,以及丰富多样的管理方式和易于安装的外观设计使此款交换机特别适合于金融网点、城域网IP接入、中小学教育网、政府、企业等多种应用场合。
3.1.17.2 产品特征
端口全线速交换
高背板带宽为所有的端口提供无阻塞全线速交换。灵活的端口带宽分配
S1908+的8个10/100M端口均可达64K精细粒度尺度的带宽分配,这样网管人员可轻松地根据每个用户的实际业务需要分配相应的带宽,满足不同用户的接入带宽需求,在控制用户的接入速率同时,又可以有效防止用户恶意占用网络带宽,大大提高对网络带宽的利用率,为用户更好的利用带宽资源提供最佳保证,如在智能大厦、宽带小区、网吧、学校、金融网点等。
高的安全接入控制
支持802.1x,802.1Q VLAN,端口MAC地址绑定,端口动态地址锁等,特别是可在用户账号、MAC地址、IP地址、交换机端口、交换机IP之间等需要任意绑定的场合,可有效控制用户的接入,确定用户的唯一性,如军队、军事院校、高校、政府机构等。
保护端口不必占用VLAN资源,即可非常方便地隔离用户之间信息互通,确保用户不能监控或访问同一台交换机上其他用户的信息,保障了用户信息的安全性。
静音节能绿色环保设计
S1908+采用了低功耗设计,不仅功耗极小(不超过10W),极大程度上节约了耗电量,同时无需风扇,彻底免除噪音影响,特别适合于静音场所,如医院、办公场所、居民小区、学校宿舍楼等。
丰富而方便的网络管理和维护
IP访问列表限制,有效控制交换机管理安全。
用户可通过灵活设置IP地址列表,即可限制哪些IP可以通过Telnet和Web的方式访问交换机,有效地保障和控制了交换机管理安全。
多端口同步监控
通过一个端口即可同时监控多个端口的数据流,可以只监控输入帧或只监控输出帧或双向帧,大大提高维护效率。
端口环回测试
方便了网管人员远程测试交换机的端口是否工作正常。这样,当最终客户报告网络无法使用时,网管人员可使用这项特色功能判断是否为最终客户本身问题,或交换机本身问题,还是线缆问题。此项功能将大大降低网管工作量,更可有效的节省网络维护成本。
小尺寸壁挂设计
13〞壁挂设计,方便楼道狭窄环境安装;灵活小巧机型即可桌面型摆放,亦可方便安装于机架,特别适用于金融网点、城域网IP接入、学校、政府、企业工作组用户接入。
支持多样的管理方式
CLI界面,方便高级用户配置和使用。
Java-based Web管理方式,实现对交换机的远程可视化图形管理,易学易用,方便用户快速和高效地配置、修改、查看设备信息。
3.1.17.3 典型应用
RG-S1908+宽带网管交换机的适用场合如下: 宽带小区 金融网点接入 中小型网络的接入层
要求对用户接入带宽进行灵活分配 需对用户提供高安全接入控制
需要灵活小巧的机型,方便部署于空间有限的场所 需要完善的网络管理功能和灵活多样易用的管理方式 宽带小区接入
图5-1 宽带小区接入
金融网点接入
图5-2 金融网点接入
中小学接入校园网
图5-3 中小学接入校园网
中小企业工作组接入
图5-4 中小企业工作组接入
3.1.18 台达GES-RT11K UPS不间断电源
台达GES-RT11K UPS不间断电源
台达RT系列 不间断电源系统台达GES-RT11K 产品特色 可用性
XX校园网网络安全解决方案 篇6
目录
一、校园网概况
二、校园网安全需求分析
三、产品选型和网络拓扑图介绍
四、操作系统安全配置与测试
五、应用服务器(WWW)安全配置
六、防病毒体系设计
七、防火墙设计、配置与测试
一、校园网概况 该校园网始建于2000年8月,至今已经历了四个主要发展阶段,网络覆盖已遍及现有的教学办公区和学生宿舍区。截止目前,校园网光缆铺设约一万二千米,信息点铺设接近一万,开设上网帐号8000多个,办理学校免费邮箱2000左右。
校园网主干现为双千兆环网结构。校园网接入均为千兆光纤到大楼,百兆交换到桌面,具有良好的网络性能。
校园网现有三条宽带出口并行接入Internet,500兆中国电信、100兆中国网通和100兆中国教育科研网,通过合理的路由策略,为校园网用户提供了良好的出口带宽。
校园网资源建设成效显著,现有资源服务包括大学门户网站、新闻网站、各学院和职能部门网站、安农科技网站、邮件服务、电子校务、毕博辅助教学平台、在线电视、VOD点播、音乐欣赏、公用FTP、文档下载、软件下载、知识园地、站点导航、在线帮助、系统补丁、网络安全、个人主页、计费服务、VPN、DHCP、域名服务等。还有外语学习的平台,图书馆丰富的电子图书资源,教务处的学分制教学信息服务网、科技处的科研管理平台等。众多的资源服务构成了校园网的资源子网,为广大师生提供了良好的资源服务。
二、校园网安全需求分析
将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险。
定期进行漏洞扫描,审计跟踪,及时发现问题,解决问题。
通过入侵检测等方式实现实时安全监控,提供快速响应故障的手段,同时具备很好的安全取证措施。
使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态,最大限度地减少损失。
在工作站、服务器上安装相应的防病毒软件,由中央控制台统一控制和管理,实现全网统一防病毒。
通过对校园网网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
公开服务器的安全保护
防止黑客从外部攻击
入侵检测与监控
信息审计与记录
病毒防护
数据安全保护
数据备份与恢复
网络的安全管理
针对这个企业局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
1.大幅度地提高系统的安全性(重点是可用性和可控性);
2.保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全产品具有合法性,及经过国家有关管理部门的认可或认证; 7.分布实施。
三、产品选型和网络拓扑图介绍
该校园网现行核心区选用锐捷核心交换机RG-S5750S系列,24端口10/100/1000M自适应端口(支持PoE远程供电),12个复用的SFP接口,2个扩展槽。支持4K个802.1Q VLAN 支持Super VLAN、支持Protocol VLAN、支持Private VLAN、支持Voice VLAN(*)、支持基于MAC地址的VLAN(*)、支持QinQ、支持STP、RSTP、MSTP。
防火墙采用深信服M5400VPN防火墙。2个LAN口,4个WAN口,2个串口。IPSec VPN隧道数:5200 条/并发SSL用户数:800 /每秒新建用户数:80 /每秒新建会话数:500/最大并发会话数目:600,000。接入层采用H3C S1048交换机,提供48个符合IEEE802.3u标准的10/100M自适应以太网接口,所有端口均支持全线速无阻塞交换以及端口自动翻转功能,外形采用19英寸标准机架设计。符合IEEE802.3、IEEE802.3u和IEEE802.3x标准; 提供48个10/100M自适应以太网端口; 每个端口都支持Auto-MDI/MDIX功能; 每个端口都提供Speed和Link/Act指示灯,显示端口的工作状态。
校园网拓扑图:
(四、五、)操作系统安全配置与测试,WWW配置与测试。
操作系统采用server 03,并在其上配置IIS、WWW、DHCP、DNS等。配置图例如下:
然后建立网站文件夹目录:
性能与目录安全性配置:
可以通过IP地址和域名限制,创建虚拟文件目录,更改端口号灯多种方法来提高WWW服务器的安全性。通过局域网网内不同主机对服务器的访问来测试配置情况。
六、防病毒体系设计
防病毒体系总体规划:
防病毒系统不仅是检测和清除病毒,还应加强对病毒的防护工作,在网络中不仅要部署被动防御体系(防病毒系统)还要采用主动防御机制(防火墙、安全策略、漏洞修复等),将病毒隔离在网络大门之外。通过管理控制台统一部署防病毒系统,保证不出现防病毒漏洞。因此,远程安装、集中管理、统一防病毒策略成为企业级防病毒产品的重要需求。
在跨区域的广域网内,要保证整个广域网安全无毒,首先要保证每一个局域网的安全无毒。也就是说,一个企业网的防病毒系统是建立在每个局域网的防病毒系统上的。应该根据每个局域网的防病毒要求,建立局域网防病毒控制系统,分别设置有针对性的防病毒策略。从总部到分支机构,由上到下,各个局域网的防病毒系统相结合,最终形成一个立体的、完整的病毒防护体系。
1.构建控管中心集中管理架构
保证网络中的所有客户端计算机、服务器可以从管理系统中及时得到更新,同时系统管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理,使整个系统中任何一个节点都可以被系统管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。2.构建全方位、多层次的防毒体系
结合企业实际网络防毒需求,构建了多层次病毒防线,分别是网络层防毒、邮件网关防毒、Web网关防毒、群件防毒、应用服务器防毒、客户端防毒,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面布控。3.构建高效的网关防毒子系统
网关防毒是最重要的一道防线,一方面消除外来邮件SMTP、POP3病毒的威胁,另一方面消除通过HTTP、FTP等应用的病毒风险,同时对邮件中的关键字、垃圾邮件进行阻挡,有效阻断病毒最主要传播途径。
4.构建高效的网络层防毒子系统
企业中网络病毒的防范是最重要的防范工作,通过在网络接口和重要安全区域部署网络病毒系统,在网络层全面消除外来病毒的威胁,使得网络病毒不再肆意传播,同时结合病毒所利用的传播途径,结合安全策略进行主动防御。
5.构建覆盖病毒发作生命周期的控制体系 当一个恶性病毒入侵时,防毒系统不仅仅使用病毒代码来防范病毒,而是具备完善的预警机制、清除机制、修复机制来实现病毒的高效处理,特别是对利用系统漏洞、端口攻击为手段瘫痪整个网络的新型病毒具有很好的防护手段。防毒系统在病毒代码到来之前,可以通过网关可疑信息过滤、端口屏蔽、共享控制、重要文件/文件夹写保护等多种手段来对病毒进行有效控制,使得新病毒未进来的进不来、进来后又没有扩散的途径。在清除与修复阶段又可以对发现的病毒高效清除,快速恢复系统至正常状态。6.病毒防护能力
防病毒能力要强、产品稳定、操作系统兼容性好、占用系统资源少、不影响应用程序的正常运行,减少误报的几率。7.系统服务
系统服务是整体防毒系统中极为重要的一环。防病毒体系建立起来之后,能否对病毒进行有效的防范,与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求软件提供商要有全球化的防毒体系为基础,另一方面也要求厂商能有精良的本地化技术人员作依托,不管是对系统使用中出现的问题,还是用户发现的可疑文件,都能进行快速的分析和方案提供。如果有新病毒爆发及其它网络安全事件,需要防病毒厂商具有较强的应急处理能力及售后服务保障,并且做出具体、详细的应急处理机制计划表和完善的售后服务保障体系。防病毒体系的管理功能:
防病毒系统能够实现分级、分组管理,不同组及客户端执行不同病毒查杀策略,全网定时/定级查杀病毒、全网远程查杀策略设置、远程报警、移动式管理、集中式授权管理、全面监控主流邮件服务器、全面监控邮件客户端、统一的管理界面,直接监视和操纵服务器端/客户端,根据实际需要,添加自定义任务(例如更新和扫描任务等),支持大型网络统一管理的多级中心系统等多种复杂的管理功能。8.资源占用率 防病毒系统进行实时监控或多或少地要占用部分系统资源,这就不可避免地要带来系统性能的降低。尤其是对邮件、网页和FTP文件的监控扫描,由于工作量相当大,因此对系统资源的占用较大。因此,防病毒系统占用系统资源要较低,不影响系统的正常运行。8.系统兼容性
防病毒系统要具备良好的兼容性,将支持以下操作系统:Windows NT、Windows2000、Windows 9X/Me、Windows XP/Vista、Windows 2000/2003 /2008 Server、Unix、Linux等X86和X64架构的操作系统。
9.病毒库组件升级
防病毒系统提供多种升级方式以及自动分发的功能,支持多种网络连接方式,具有升级方便、更新及时等特点,管理员可以十分轻松地按照预先设定的升级方式实现全网内的统一升级,减少病毒库增量升级对网络资源的占用,并且采用均衡流量的策略,尽快将新版本部署到全部计算机上,时刻保证病毒库都是最新的,且版本一致,杜绝因版本不一致而可能造成的安全漏洞和安全隐患。10.软件商的企业实力
软件商的实力一方面指它对现有产品的技术支持和服务能力,另一方面是指它的后续发展能力。因为企业级防毒软件实际是用户企业与防病毒厂商的长期合作,企业实力将会影响这种合作的持续性,从而影响到用户企业在此方面的投入成本。
七、防火墙设计、配置
对于深信服M5400可以做以下方面的配置:
1、用户与策略管理配置:
WEB、HTTP URL过滤:
邮件过滤:
网页内容审计:
校园网网络安全设计方案 篇7
一、传统局域网LAN环境
传统LAN通常由HUB、网桥、交换机等网络设备将同一网段的所有节点连接在一起而形成,各节点通常按照它们的物理连接被自然地划分到各个广播域。处于同一LAN内的网络节点间可以直接通信,而处于不同局域网之间的通信则必须通过路由器才能通信。当LAN中出现机器网卡损坏、网络环路或由于病毒等现象引起广播风暴时,由于LAN的连接设备大多采用集线器、网桥或交换机,而它们都不具备隔离广播风暴的功能,因此整个网络的通信就会陷入瘫痪。为了隔离广播风暴,往往采用将一个大的网络划分为若干个小的广播域,用能隔离广播风暴的设备路由器将各个小广播域连接起来。随着网络应用的不断加强,网络结构越来越复杂,各LAN之间、各小广播域之间的通信需要更多的路由器。通信信息经过路由器后,路由器根据数据包中的信息确定数据包的目标地址,然后通过路由表选择最佳的路径将信息传递到目的地,随着路由器数目的增多,网络时延逐渐加长,最终导致网络数据传输速度下降。而且在LAN环境中,每次人员的变动都必须从物理上对其进行变更,须耗费很多的时间和精力。
二、校园网络特点分析
校园网对于提高教学和科研质量、加快学校信息化建设、开展多媒体教学与研究、改善教学和科研条件有着十分重要的意义。校园网用户群密集,网络安全问题蔓延快、对网络影响严重。某台计算机由于各种原因出现故障,反过来又会影响整个网络。校园网业务多,开放性强。校园网是教学、科研的特定场所,也是新技术、新知识最先应用的场所,业务项目多,网络环境相对比较宽松。不能像企业中一样,采取哪一部分影响网络的运行安全就停止该服务或关闭该端口的措施,因此安全隐患比较大。校园网管理难度大。计算机购置和配置情况复杂,部分是统一购置,部分是个人购买,其配置程度不一,不可能统一进行管理;没有相应的安全管理措施,一旦出现安全问题,责任难于到位。为了获得更高的带宽,越来越多的学校和组织倾向于给每个用户分配一个单独的交换端口。校园网的使用引起了教学方法、教学手段、教学工具的重大革新,为学校管理者和老师提供了获取资源、协同工作的有效途径,是教育信息化发展不可或缺的工具。校园网安全、高效运行是每个校园网信息获取和教学的保障,在校园网中采用新兴技术迫在眉睫。
三、VLAN技术
VLAN(Virtual Local Area Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。IEEE于1999年颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须被放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其他VLAN中,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。
VLAN在交换机上的实现方法,可以大致划分为4类:
1、基于端口划分的VLAN
2、基于MAC地址划分VLAN
3、基于网络层划分VLAN
4、根据IP组播划分VLAN
VLAN与VLAN间逻辑上是分开的,VLAN成员的数据包只能在同一VLAN内部传送,即使处于同一网络中,不同VLAN间也不能进行直接通信,有效的避免了广播风暴的传播;校园网中如财务管理、人事档案管理及一些不对外公开的科研数据资料库等应用系统,网络管理员可采用VLAN技术对广播域进行逻辑划分,达到限制用户非法访问的目的,从而确保重要部门的数据安全。
四、VLAN技术在我校校园网中的应用
1、我校校园网概况
校园网以设在图书馆的校园网网络中心为核心,覆盖校园办公楼、教学楼、实训楼、多媒体中心、图书馆、后勤等主要大楼。采用H3C S7506R交换机作为中心交换机,在其他楼配置二级交换机,楼与楼之间采用H3C E352产品作为三级交换机,办公室采用LS-E126-SI连接各工作站。H3C S7506R中心交换机与带防火墙功能的H3C MSR 50-40路由器相连,各服务器都连到H3C S7506R中心交换上,通过路由器连接Internet。
具体用到的路由交换设备如下:
2、校园网具体情况介绍
(1)出口:学校与电信的网络接口带宽为100MB;
(2)域名:www.einsun.net;
(3)IP地址范围:116.52.9.195--116.52.9.198;
(4)中心交换机:H3C S7506R目前校园网覆盖的楼包括:图书馆、办公楼、教学楼、实验楼、多媒体中心、学生宿舍楼。
3、学校系统情况
目前学校运行的系统主要为:WEB服务器三台;流媒体服务器三台;FTP服务器一台;财务系统一台;OA协同办公系统。就网络整体结构而言,我校校园网是一个百兆以太网链路连接的园区网络。整个网络根据范围的限制可分为两个大的部分:内网和外网。从网络安全级别的角度考虑又可将内网分为两大部分:第一部分为重点信息安全保护区,即校园网的重要应用服务器群和重要部门的网络设备和用户;第二部分为普通信息安全区,即校园网中普通应用的网络设备和用户。外网即为校园外部网络区域,也就是与校园网相连的Internet。校园网重点考虑网络内部安全:包括信息访问安全和物理安全。信息访问安全即为内部网络各部门和用户之间要能相互进行信息交换,又要保护重要部门数据的保密性,同时应禁止外部用户非法访问内部数据。
4、校园网VLAN安全规划
根据校园网的具体情况,为了达到信息流量的控制,并提供良好的安全性,通过对网络逻辑结构进行分析和合理划分,采用基于端口VLAN技术对校园内部网络不同部门之间进行逻辑隔离,同时抑制广播风暴。根据学校具体建筑物分布情况,每栋楼设置为一个VLAN,共设置30个,VLAN2到VLAN31,VLAN1为交换机出厂时设置,不可更改,不可删除。拓扑结构:以太网拓扑结构主要有总线型、星型、环型、网状型、树型。总线型拓扑所有的站点都链接在同一电缆上,很难进行错误诊断和网络隔离,电缆上的一处故障可能会导致整个网络瘫痪;星型拓扑结构有一个中心控制点,连接简单,故障检测和隔离方便,网络访问协议简单,服务方便,成本低、易于管理、容易扩展,我校网络是以网络中心作为中心点,向周围建筑物辐射,所以校园网拓扑结构主体采用星型拓扑,内部网络拓扑为典型的树型拓扑结构。
爱因森校园网拓扑图如下:
参考文献
[1]Victor S.Frost,K.Sam Shamugan.Generic Approach to LAN Modeling.IEEE Transactions on Communications1997.5.
[2]顾晓燕.VLAN技术及在校园网中的实现[J].开发应用.2006(8).
[3]Dr.V.Rajaravivarma.Virtual Local Area Network Technology and Applications.IEEE Transactions on Communications,1997.
浅析校园网的设计与网络安全 篇8
一、校园网设计的原则
1.坚持开放性,采用国际标准和通用标准;2.采用先进而成熟的技术;3.易于技术更新和网络扩展;4.实用、性价比高;5.统一规划,分布实施。
二、局域网的布线与技术
1、技术要求
⑴先进性:采用先进的技术、方法、设备,使系统既成熟可靠又能反映当今应用水平。
⑵开放性:整个系统应具有开放性,提供开放的网络接口和数据接口,使不同的产品能够协同运行,方便数据交换、信息共享。
⑶扩充性:系统应易于升级和功能扩充。在系统容量、能力、处理能力等方面具有可扩充性,可以方便地进行产品的升级换代,具有较高的综合性能价格比。
⑷可靠性:系统必须具有出错处理、容错能力、冗余备份功能。
⑸实用性:整个网络的功能应完全立足于学校管理和教学的需求,保证系统信息处理和传递的安全、可靠、及时、准确。
⑹安全性:网络系统必须具有高度的安全性和保密性,通过设置分级保护、控制数据存取的权限,防止对系统的非法侵入。
⑺可维护性:提供有效的网络管理和系统监控、调试、诊断技术,保证系统维护管理简明、方便、有效。
⑻可操作性:必须提供友好的中文界面,操作简便,容错性强,易于管理和维护。
⑼经济性:在充分满足系统应用功能需求和系统性能、并保证系统安全可靠性的前提下,选用物美价廉、经济实用的技术和产品。
2、主干网的选择
当前主干网技术有FDDI(光纤分布式数据接口)、快速以太网、千兆以太网、ATM(异步传输模式),在这几种主干网技术中FDDI是一种已经得到公认的成熟的网络技术。它基于令牌传送存取方式,使用双环结构,通过一个叫做“令牌”的帧在网络上循环而发挥作用,在任何时候,环上只有一个令牌,工作站没有得到令牌就不能进行传输,但FDDI是一种允许不同帧长的共享级访问机制,所以会产生不固定的网络延时及负载,不适合传送影像和语音。快速以太网是100MbpsIEEE802.3u标准,是传统的IEEE802.310Mbps以太网技术的发展,和传统以太网一样,它可以工作在共享型和交换型环境中。快速型以太网可以组成交换式以提供优异服务质量,可以在全双工模式下操作而无冲突发生。千兆以太网是传统以太网和快速以太网的发展。ATM是一种正在开发中的新型单元交换技术,是与当前市场上流行的所有其它LAN技术大相径庭的一种新技术,它使用53字节固定长度的单元交换,在LAN(局域网)和WAN(广域网)上传送数据、声音和图像,即ATM可以将计算机网、电话网、有线电视网融合到单一的网络中。ATM使用相同的单元格式,并采用新颖的交换技术和通信管理方法,提高了不可比拟的可延展性,拥有无限的虚拟带宽潜力。
3、综合布线
校园网络综合布线系统将支持语音、数据等综合信息的高质量传输,并适应各种不同类型不同厂商的电脑及网络产品;布线系统的信息出口采用了国际标准的接口,使任意信息点都能接插不同类型的终端设备以支持话音、数据、图像等数据信息和多媒体信息的传输;布线系统符合综合业务数据网ISDN的要求,以便与国内国际其他网络互连。而且布线按照符合国际标准的结构化布线技术进行设计和施工。
三、网络管理与网络安全
1、接入Internet的方式
接入Internet的方式,目前有电话线通过调制解调器接入、DDN专线接入、ISDN接入和宽带光纤接入,几种接入方式的选择主要从速率与性价比考虑,每间学校要根据自己的实际情况来考虑,肇庆职业学校选择了用宽带专线接入方式。服务器和各信息点上的计算机采用了国际标准的TCP/IP网络通信协议。
2、域网安全管理
由于网络在OSI环境上是一个资源交流和信息流通的共享坏境,这就导致了信息共享和信息安全之间永远是一对矛盾性问题。
现实中,一个网络面临的威胁各种各样,大体上可分为以下几类:
1.内部泄密和破坏。这包括内部泄密人员有意或无意泄密、更改记录;非授权人员有意偷窃机密、更改记录、破坏系统等。
2.截收。通过在信源到信宿之间的任意位置(特别是网关处)的窃听装置,分析出机密信息。由于它是一种被动攻击方式,不破坏传输信息的内容,故难以发现。
3.非法访问。这包括非法用户(黑客)进入网络系统进行违法操作;合法用户以未授权方式进行操作。
4.破坏信息完整性。这指攻击者对信息进行篡改、删除、插入等非法操作。
5.破坏系统可用性。
6.冒充。冒充领导调阅密件;冒充主机骗取合法主机及合法用户;冒充网络控制程序套取或修改使用权限、口令、密钥等消息;接管合法用户,欺骗系统,占用合法资源等。
7.抵赖。可能出现的抵赖行为有:发送信息后信息发送者否认曾经发送过信息或否认信息的内容;接收信息后信息接收者否认曾经收到过该信息或该信息的内容。
8.计算机病毒、蠕虫、木马、逻辑炸弹等其它威胁。
3、网络安全
网络安全机制就是对付上述威胁、保护信息资源的一系列措施。目前有效的安全技术包括:
1.加密。一般利用某种规则将可懂信息变成不可懂信息,以防止信息的非授权泄露。目前比较成功且实用的加密算法有DES(数据加密标准)、IDEA(国际数据加密算法)、RSA。
2.数字签名。通信结束后,为了防止事后抵赖现象,可以采用数字签名技术。数字签名与传统的亲笔签名或印章的作用一样,完成对所传信息的确认。现在一般采用公开密钥算法来实现数字签名,可以有效的验证信息的完整性、有效的抵抗冒充、抵赖等威胁。
3.鉴别。鉴别可以验明用户或消息的正身,可以有效的防止冒充、非法访问和重演访问。
4.访问控制。目的是防止非法访问。它利用访问控制表、口令、权限标记、安全标记、试图访问的时间、试图访问的路径、持续访问的时间来实现访问控制。在Internet中防火墙就是访问控制技术的典型应用。
5.其它安全技术。这包括抗通信业务设计、审计、防/查/杀计算机病毒/木马等等。
【校园网网络安全设计方案】推荐阅读:
校园网设计方案研究05-17
校园设计方案09-05
校园网安全设计与研究08-31
中小型校园网设计方案实例08-30
安全校园策划书设计06-10
校园安全主题教案设计08-16
校园网络设计思路08-31
校园安全活动方案参考06-10
暑假校园安全工作方案08-09