校园智能化管理系统
校园智能化建设规划方案
第一章概述一、**学校概况
**学校规划占地面积225亩,预计总投资5000万元的开放型、园林式、数字化的校园,设在新校区,占地面积为225亩,于2006年5月开始兴建。校园建筑包括教学楼、实验楼、图书楼(办公楼)、体艺馆、学生宿舍楼、食堂、田径运动场等,总体设计体现了“以人为本”、“人与环境协调”和“可持续发展”的理念。
为将**学校建设成数字化、智能化校区,力求一次规划分步实施,一次设计分步投资,一次布线逐步扩展。新校区建设将和实际应用为出发点,采用先进合理的集成系统设计,全面规划完善系统功能,并可进行模块化分步实施,系统投资合理。
二、校园智能化系统的设计概述
本工程为**学校智能化系统工程,它是集教学、科研、文体、生活于一体,拟建成现代化、信息化、智能化的校园,为全校师生提供一个安全、高效、节能、舒适、便利的学习、工作和生活环境。
三、设计范围
根据**学校的具体情况及特点,智能化系统共包括以下几个功能各异而相互之间又有联系统的子系统:
1.计算机网络系统(校园网、无线网、班班通、一卡通专网、智能化系统专网)
2.通讯网络系统;
3.综合布线系统;
4.安全防范系统(视频监控、入侵报警及周界防范、电子巡更);
5.校园广播系统(公共广播、铃声);
6.有线电视系统;
7.校园一卡通系统(食堂消费、图书馆管理、计算机机房管理、**学校考勤系统、安检等);
8.多媒体教学系统(电子白板交互系统);
9.会议系统;
10.信息发布系统;
11.LED大屏显示系统
第二章计算机网络系统
1、系统概述
计算机网络系统是**学校的重要基础设施,智能图书楼(办公楼)、教学楼、实验楼、宿舍楼等各个子系统都需构筑在计算机网络及通信的平台上。在此基础上进行计算机网络系统的组成、拓朴结构、协议体系结构及网络结构化布线等方面的设计。
学校整个校园网连接中包括图书楼(办公楼)及图书馆、教学楼、实验楼、宿舍楼、后勤服务及食堂等大量的信息点,学校管理、教育、多媒体教学等大量的业务,要求校园网必须是一个实用的、高可靠、高效率、高扩展性、高安全性系统。
建设总体目标:
建成一个全校范围的、高速的、开放的、分布的、多媒体的信息基础设施,使校园计算机网络进一步实用化,并在教学、管理中发挥重要作用。
校园网络建设具体目标:
1、实现学校主要的教学、管理计算机联网;
2、为教职工对外联系交流、查询、网络教学创造条件;
3、提供更新更全的Internet服务功能,达到高水平服务;
4、校园内资源的高效存取服务(平台)
5、建设校行政管理信息系统,实现管理现代化,增强教育管理的科学性。通过实现办公自动化,提高学校各级管理的效率和水平;
6、网络主干采用万兆,100M到桌面。
2、建网思想
根据学校的现有网络状况,结合新建校区的实际应用需求,经过分析和整理,对**学校的整体网络进行了重新设计和规划。现将整体建网思想做如下描述。
首先,根据实际的应用需求,考虑到网络内互访的需求,结合网络管理的需要,我们将整体网络按功能分为五个功能区:教师宿舍区、学生宿舍区、教学和图书楼(办公楼)区、其它区域和无线区,各区域网络实现逻辑隔离。此外,通过在部署高性能的防火墙来灵活实现安全隔离和各部门互访的策略控制,从而有效提升整体内部网络的可控程度,保证**学校内部网络的可靠性。在各功能区内部,可根据每个区域的功能属性和业务流量模型选用了不同的网络架构和网络设备,以保证各部分网络能够针对性的满足实际应用需要。
其次,对学校网络的无线部分进行重点规划和设计。考虑到无线网络是对有线网络覆盖的有效延伸,同时无线网络需要实现与有线网络的统一管理维护,在设计方案时最终选择了“有线无线一体化”的设计方案,主要有如下考虑:1、无线控制器采用盒式设备,步署灵活,提升设备利用率;2、在网络管理方面,通过采用“网管平台+无线组件”的方式,实现有线无线的一体化管理,降低管理难度,提升网络管理效率。3、后续网络如有用户接入认证的需求,可以实现有线无线一体化认证,避免“两套网络、两套认证系统”的难题。
网络安全方面,部署思想是:边界重点防护,内部主动控制。通过在网络出口互联区部署入侵防御系统、防火墙等网络边界防护设备,来实现对“御敌于门外”的安全防护策略。
网络管理方面,在服务器上安装网管软件,对于设备数量较多、分布地域较广并且又相对较为集中的网络,网管平台提供分级管理的功能,有利于对整个网络进行清晰分权管理和负载分担,实现了“网络管理一体化”,使复杂的网络管理起来更为简单方便。
从网络安全考虑,校园网、一卡通专网系统两个独立的专网。
3、网络建设方案设计
3.1设计原则
为了能适应今后很长一段时间内网络和通信技术的高速发展,计算机网络系统要采用当今流行的网络技术。要求该系统不仅能体现当今先进技术水平,而且具有高度开放性,能为**学校提供一个高效、标准和开放的基础平台。
先进性和实用性
采用先进成熟的技术满足内部应用系统的需求,兼顾其他相关的管理需求,尽可能采用先进的网络技术以适应更高的数据、视频(多媒体)的传输需要,使整个系统在相当一段时期内保持技术的先进性,以适应未来信息化的发展的需要,5年以上不落后。
安全性和可靠性
为保证各项业务应用,网络必须具有高可靠性,尽量避免系统的单点故障。要对网络结构、网络设备等各个方面进行高可靠性的设计和建设。在网络设计上应采用硬件备份、冗余等可靠性技术提高整个网络系统的可靠性。
网络系统承载多种不同安全等级的信息系统,要求网络在设计上具备安全性,除了在网络边界处设置安全网关进行访问控制外,从用户接入内部网络,访问数据中心资源,到访问外部网络资源等,要进行端到端的安全设计。从PC终端要有安全检查和接入控制功能,网络交换机设备必须具备多种安全措施保证网络的安全,数据中心网络设计要有分权限进行安全防护。
灵活性和可扩展性
计算机网络系统是一个不断发展的系统,所以它必须具有良好的灵活性和可扩展性,能够根据不断深入发展的需要,方便的扩展网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能。具备支持多种应用系统的能力,提供技术升级、设备更新的灵活性。
开放性和互连性
具备与多种协议计算机通信网络互连互通的特性,确保本计算机网络系统的基础设施的作用可以充分的发挥。在结构上真正实现开放,基于开放式标准,包括各种局域网、广域网等,坚持统一规范的原则,从而为未来的发展奠定基础。
可管理性
由于内部局域网本身具有一定复杂性,随着业务的不断发展,网络管理的任务必定会日益繁重。所以在网络设计中,必须建立一套全面的网络管理解决方案。网络设备必须采用智能化,可管理的设备,同时采用先进的网络管理软件,实现先进的管理。最终能够实现监控、监测整个网络的运行情况,合理分配网络资源、动态配置网络负载、可以迅速确定网络故障等。通过先进的管理策略、管理工具提高网络的运行性能、可靠性,简化网络的维护工作,从而为办公、管理提供最有力的保障。
3.2网络架构设计说明
考虑到**学校的网络特殊性和业务需求,以及经济性角度。
具体方案拓扑如下图:
上图所示,新校区核心交换机采用单核心架构,整个网络使用三层网络架构。
此方案优点是经济,但由于核心层设备未采用冗余备份,如果核心交换机出现故障则整个校园园瘫痪。
3.3无线网络的设计 整个校园做无线网络覆盖。
3.3.1室内覆盖规划
WLAN室内规划一般只考虑在同一楼层区域内通过WLAN方式接入该区域的数据用户,楼内不同楼层应该分别考虑进行覆盖规划。
在规划WLAN网络时,首先应该考虑的是AP与无线终端之间无线信号的有效交互,其次是接入用户的有效带宽。
本次设计通过在走廊或大开间区域设置室内AP,对教师宿舍区、学生宿舍区、实验楼、教学和图书楼(办公楼)区进行了室内全覆盖。
3.3.2室外覆盖原则
在WLAN室外覆盖规划时,首先考虑到的是AP跟无线终端间信号的交互,保证用户可有效的接入网络。
AP在空旷区域的覆盖半径较大,可达200米;
此类区域无线用户数量较少,带宽要求不高,一般只需考虑AP的覆盖范围;
本次设计考虑对室外区域进行全覆盖。
3.4一卡通系统专网的设计
系统采用二层网络结构,因在各楼的一卡通网络点不多,各楼的一卡通网络点集中放置,在其中一个楼层集中设置接入层交换机,在校核心 机房设置核心交换机。
3.6网络安全方案设计
为将**学校新校区建设成数字化、智能化校区,力求一次规划分步实施,一次设计分步投资,一次布线逐步扩展。采用先进合理的集成系统设计,全面规划完善系统功能,并可进行模块化分步实施,系统投资合理。
3.6.1网络安全建设目标
根据学校的整体网络现状、应用特点,本方案通过网络安全防护、系统安全防护、安全管理三个方面进行建设,从而满足**学校在网络层、系统层、管理层三个层面的安全需求,实现以下的建设目标:
在网络安全方面实现的建设目标为:
保障**学校的安全可靠运行;保证**学校通信的正常进行,包括:
²采用防火墙技术,对**学校进行边界隔离,严格控制进出网络个安全区域的访问,明确访问的来源、访问的对象及访问的类型,确保合法访问的正常进行,杜绝非法及越权访问;同时有效预防、发现、处理异常的网络访问,确保**学校正常访问活动。
²采用VPN技术,利用SSLVPN网关建立与办公终端的VPN通道,实现数据通信的机密性、完整性。利用VPN网关对网关方式建立VPN通道,实现数据通信的机密性、完整性。
1)采用入侵防御技术,提供网络架构防护、网络性能保护、核心应用防护,通过使用入侵防御系统可提供最强大且最完整的保护以防御各种形式的网络攻击行为,如:蠕虫、拒绝服务攻击、病毒以及非法的入侵和访问,为网络提供“虚拟补丁”的保护作用。
2)采用上网行为管理技术,实现了上网行为的管理,保证绿色上网;通过优化带宽,实现精细流量控制;同时可有效审计重要外发信息、识别教师生的上网行为,杜绝网络违法行为,减少网络安全威胁,达到净化互联网环境的目的。
3)采用网站防护技术,对关键WEB服务防护,防止教育网站被恶意篡改,有效地保护教育部门的形象,实现重要信息发布渠道的畅通。
4)采用准入控制技术,有效与交换、路由设备联动,通过对进入内网的访问者进行安全的身份识别、认证和授权以及详细的终端安全策略管理,防止未达到相应条件者或对非授权用户对**学校业务系统的访问在最大程度上控制终端对网络所带来的危害。
5)日志审计技术的应用,可以让管理者很好的了解状况,并且对潜在的威胁者及违规操者给予震慑的警告,并对其违规操作进行记录取证。
在系统安全方面实现的建设目标包括:
针对学校中使用的操作系统,要保障操作系统平台的安全和正常运行,为应用系统提供及时多样的服务,针对数据库,要保证数据库不受到恶意侵害或未经授权的存取与修改。包括:
6)充分利用病毒防护技术定期对各个终服务器、数据库等进行病毒扫描,发现设备存在的安全隐患,及时对**学校中系统中的病毒进行预防与查杀,将系统的隐患消除在弱点被利用之前;
7)针对重要的服务器,在进行补丁加固的基础上,进一步从超级用户帐号管理、系统进程保护、系统注册表保护等多个方面,提升其底层操作系统的安全防护等级,确保上层的应用;
8)终端设备的使用口令有良好的储存方式,能够防范因口令过于复杂而导致忘记,或者因担心忘记口令而记在显眼的位置,被他人窥探到,造成口令外泄。
在管理层面实现的安全建设目标包括:
所谓三分技术七分管理,因此我们要在充分利用多种技术的基础上,严格执行管理条例,形成覆盖**学校的安全防护体系,从而全面保障了**学校的安全性、可靠性、稳定性。
3.6.2安全方案结构
安全区域划分,具体分为管理区、应用服务区、办公区、宿舍区等;
出口防火墙系统,做边界防护;(VPN可以与防火墙为同一台设备,也可以为二台设备。)
出口上网行为监控、控制管理;
准入控制系统,进行身份认证授权、终端管理;
日志审计系统,记录关键设备日志;
防病毒系统,终端病毒防护;
安全管理规章制度。
本方案从网络层、系统层、管理层对**学校的互联网区域进行整体安全规划,特别是在为教育单位提供净化网络资源、对带宽进行的合理的 梳理与控制,并且规范类PC终端的使用,以及采用防火墙、入侵防御、网站防护实现对网络2~7层的安全防护。