网络设计方案简介(共8篇)
1.网络设计方案简介 篇一
一、学校概况:
学院有两栋教学楼(A楼32间教室,B楼51间教室),行政办公楼一栋,共3层,食堂两层,学生宿舍楼两栋(男生宿舍、女生宿舍)。风雨操场、足球运动场一个。
二、校方需求:
1、每个教室需独立分区,可点对点寻址单个或多个班级或年级广播讲话和播放音乐,广播系统需具有定时播放功能(上下课音乐打铃、课间眼保键操播放、广播体操播放、升旗歌曲播放),并能根据一年四季的季节变化,需要据有多套定时节目预先编辑功能,学校根据季节调用不同的作息时间打铃方案。
2、满足高考时的英语听力播放(要求具有考试备份功能);多个年级,要求可实现多套音源节目同时播放功能,学校老师把各自年级的英语听力内容上传至服务器节目库,各年级进行英语听力时,可选择本年级的听力内容播放,各年级之间听力内容播放互不影响。
3、学校行政办公楼和学生宿舍楼需要播放背景音乐和广播通知;操场和足球运动场需要实现集会扩声,学生课间操音乐播放(要求具有遥控指挥课间操音乐播放功能),体育课时定时打上下课铃。
4、整个广播系统需要具有高稳定性,当校园网络出现故障时,可启用备份系统,由备份系统接替学校日常广播功能。考试时网络主广播系统和备份广播系统同时工作,当网络主系统出现故障时备份广播系统可以自动切换继续播放听力内容,切换时间不能大于50豪秒,确保听力播放万无一失。
5、校园IP网络广播放系统需具有分控功能,管理人员在校园网内任一电脑上安装上分控软件,均可对系统进行管理。另外学校需建设一个“校园之声“学生广播站,课余时间学生在广播站可通过校园IP网络广播系统主持节目,丰富校园生活。
6、校园IP网络广播系统需要具备紧急事件通知功能,当管理人员外出或不在校内时,如果发生地震、洪水等自然灾害,可以通过手机短信或电话方式把通知在校园IP网络广播系统中播送出去。组织人员有序撤离和避险。
7、系统需具有扩展功能,当学校新教学楼启用时,只用增加前端设备,即可接入原有校园IP网络广播系统,进行统一管理。
三、公共广播设计思想
严格按照中华人民共和国公安部发布的设计规范(摘录)(GB50116-98)作为设计依据,结合学校的实际需求,使系统的功能和指标达到国内同行业的先进水平的同时,以高性价比,高稳定性的设备选型,来满足学校对智慧校园IP网络公共广播系统的功能需求,是我们的总体设计思想。具体如下:
先进性和可扩展性:
利用现代最新的IP网络广播技术,使系统在长时间内与社会发展相适应。现代科学技术飞速发展,故必须充分考虑今后的发展需要,设计方案具备前瞻性和可扩展性。这种可扩展性不仅充分保护了学校的投资,而且具有较高的综合性价比。
科学性和规范性:
IP网络公共广播系统是一个先进复杂的综合性系统工程,从系统设计开始,包括施工、安装、调试直到最后验收的全过程,都严格按照国家有关的标准和规范,确保整个工程经得起各方面较长时间的严格考验。
安全性和可靠性:
本方案充分考虑采用成熟的技术和产品,在设备选型和系统的设计中尽量减少故障的发生,本方案选用的所有设备,均取得生产厂家的授权证书,并承诺在工程设备的提供、技术支援及售后服务等方面给予全力支持。
四、公共广播设计原则
从投资合理、外观美观、设计规范的思想出发,日常广播和紧急广播二个系统的设计,在功能上互相独立,在设备及器材上有机结合。根据规范要求,紧急广播的控制具有最高优先权,并采用联动和自动火灾报警广播方案。设有音量调节器的扬声器,平时在接收日常广播时可以调节音量或关闭,紧急广播时扬声器不受音量调节器控制,都将处于紧急广播状态。日常广播主要包括定时广播、寻呼讲话广播、频道广播和英语听力考试等内容。
五、设计功能
服务器 脱机 运行功能
系统可实现脱离服务器自己独立运行的功能,服务器关机后消防广播(消防矩阵)、寻呼对讲广播(寻呼主控台)、定时广播(IP网络调音台)和频道广播(音频矩阵、网络调谐器、网络CD播放器、前置话筒)等即使在服务器断开的情况下,也能正常工作。
终端离线打铃功能
教室设计的前端网络解码终端自带有存储SD卡,
可以把定时程序和歌曲下载到本地解码终端的SD卡内,即使在 网络 断开 的情况也能正常 执行 定时 打铃 程序 ,不会景响学校正常的作息时间。
定压备份 功能 (教室终端断电也不影响听力播放):
教室内的前端网络解码终端具有定压备份输入接
口,考试时网络主系统和定压备份系统同时输出考试听力音频到教室终端,当主系统出现故障时,教室内的解码终端自动把音箱切换到定压备份回路上(切换时间小于20ms), 保障听力内容的正常播放。
寻呼喊话零延时:
寻呼对讲设备采用PCM无压缩音频传输格式,学校
领导播放通知或寻呼讲话时,音频传输零延时。
定点广播/多点广播/全体广播/分组广播 寻呼
系统内每个教室的解码终端具有唯一的IP网络地址,控制室、校长室和学生广播站可以对单点/多点/全体/分组寻呼广播,也可以对不同的年级或班级进行编组广播。
定时 播音
根据学校的作息时间表,可在软件上编辑定时播音程序,以满足学校上下课定时打铃、课间眼保键操、广播体操、集会升旗的功能需求。
不同区域同时播放不同音乐内容
操作软件具有曲库频道构建功能(最多可构建32个频道),每个频道可编辑任意的频道歌曲,每个频道为一路音源,32路音源同时播放,以满足不同年级同时英语听见练习需求。
教室听力练习点播
教师或学生 通 过 解码器自带的 遥 控器可点播自已年级的英语听力练习频道进行英语听力练习或收听歌曲。
外部音源 实时采播
将外接音频(卡座、CD、收音机、话筒等)接入IP网络调音台,实时压缩成高音质数据流,并通过IP网络调音台的选址操作,通过网络传送给前端的任一或多个前端解码器。
教室多媒体音源接入
教室内的网络解码终端具有一路辅助线路输入接口和一路话筒输入接口,可接入教室内的多媒体电脑音频信号,取代原有多媒体音箱完成扩声;老师讲课时可接入话筒进行本地扩声,让老师讲课更轻松。
远程遥控控制
根据学校的实际情况,学生做操时经常会出现学生还未排好队,但系统已经在播放广播体操等定时节目的情况,所以系统配置了手持式远程遥控器,老师可遥控控制广播体操歌曲的播放停止,还可通过遥控器选曲,控制音量的大小。
远程无线话筒播音
系统满足老师在操场上使用无线话筒讲话时,可自动打开相应的功放进行播音,当播音结束时可自动关闭功放的电源,实现无人值守的远程无线播音。
视频播放功能
在学校接待中心设计有视屏播放解码器,并可通过高清输出接口连接至外部的LCD或大屏播放学校的宣传视屏。播放内容通过IP网络广播管理软件管理统一管理,本地也可点播视屏内容来播放。
文字信息发布功能
在学校的大门门头设计有网络LED屏,平时用来显示学校的校规校训;有上级领导来参观指导时可用于显示欢迎标语;节假日可用于显示通知信息等内容。由IP网络广播软件通一管理显示内容,并可设定定时程序,自动开关机,自动定时更换显示内容。
分控功能
系统局域网内任一电脑,只要安装了IP网络公共广播系统软件,均可作为分控室。管理人员足不出门也可以对整个系统进行管理和维护。管理权限可设定。
手机APP控制
系统如建设有无线局域网,可通过手机WIFI接入IP网络广播系统网络,安装IP网络广播系统APP客户端软件,可通过手机实时控制系统播放音乐节目。
紧急事件远程通知
学校领导或负责人,不管身在何处,通过随身手机,可远程编辑短信或打电话至校园IP网络广播系统内的紧急电话设备上,设备自动接通电话,便可通过语音进行通知和疏散人员,并具有短信转语音功能。
消防系统接入
系统具有消防接入功能,当发生火灾等险情时,IP网络消防矩阵可自动检测消防中心送过来的触发信号并向该区域或全区播放报警铃声和消防通知。
系统扩展性
系统基于IP网络构架,局域网通的地方便可接入设备,扩展方便,无需重复布线,大大减少了投入成本。
软件功能设计:
友好的操作界面
系统所有设置和操作任务均可在客户端软件完成。具有友好、简捷、直观的操作界面。
设备状态实时监测
在操作软件上可实时监控每个设备的工作状态(是否在线、播放内容、实时音量大小等)一目了然。
文本文字转语音
软件具有语音包对接接口,接入语音包后,可以实现文字或调入文本至广播软件,并转换为语音数据流,通过网络转送给指定的前端播放设备。
音频文件制作
软件设有录音功能,可录制音频文件播放,设有文件格式转换模块,可把音频文件转换成统一的文件格式。
权限分配
多客户端操作时,可按要求分配每个分控管理员的操作权限和密码管理。如:管理员具有最高权限,操作员只可操作,不允许对系统进行更改,学生广播站可设定只能对室外区域进行播音。
多系统对接
应校方要求,系统设计有SKD对接开发协议,方便多系统对接,做到真正的统一管理。
六、系统特点
高稳定性
服务器脱机运行功能 、终端离线打铃功能、定压备份功能,三重突发事件保障,最大限度提高整个系统的稳定性。
数据传输零延时
广州艾普音响研发的IP网络广播系统,可采用PCM无压缩格式传送音频数据流,在保证高音质的同时让数据在传输过程中最大限度的减少了数据的处理时间,让音频数据以最快的方式送达至终端播放设备。
音频、视屏、文字信息统一管理
系统设计有音频解码终端、视屏解码终端、LED文字发布终端,多方位全方面满足学校的实际功能需求,一套系统,全面管理,为学校最大限度减少了硬件投入成本,人员管理成本。
自然灾害预警
系统设计的远程手机短信、电话紧急广播功能,让学校管理人员、负责人员即使远在千里之外,也可轻松的发一条短信,打一通电话把预警通知信息播送给学校的广播系统,及时的安排应对措施,按排人员撤离避险。
2.网络设计方案简介 篇二
2014年8月份由南京工业大学、中国矿业大学建筑学院的部分研一新生和德国莱比锡大学建筑学院的部分本科生组成的6个小组进行了为期2个星期的联合教学活动。这次联合教学选定的题目是“南京明城墙前湖段缺口连接体设计”,每个组都由三校的学生共同完成一套概念方案设计,我们以选择其中的一组以“轻”作为设计概念的优秀奖方案,来介绍此次设计的过程。南京是中国著名的六朝古都和历史文化名城,南京的明城墙更是1988年1月由国务院公布的第三批全国重点文物保护单位,2012年11月,作为“中国明清城墙”项目列入中国申报世界文化遗产预备名单。南京的明城墙距今已经有600多年的历史始建于明初,是中国古代城墙中保存长度最长,也是规模最大的城墙。南京城共四重城廓,外城城墙全长35.267公里,现存城墙长25.091公里,城门13座,水关2座,墙高度一般在14~21米,最高处达25米;外郭城长60公里,门18座,几不存。
经过漫长的历史更迭,明城墙已经从原来的军事防护功能、作为城市边界的功能和围合界面的功能,转化为现如今供市民的游览休憩并展示历史文物的功能。保护、修复南京明城墙能更加完善明城墙进一步的开发利用。南京明城墙前湖段的缺口位于明陵路前湖段城墙转角向北约200米处,该段城墙于1991年因连降暴雨导致墙体坍塌,20世纪90年代末南京市文物局组织人员对坍塌段墙体进行了清理。此次坍塌,露出了该段城墙内明代(1368-1644年)早期修筑的矮城墙(长约51米,高10米,宽约2.5米),该墙在明早期修建时,使用了部分六朝和宋代的城砖,为研究明城墙的建筑史提供了重要依据,具有重要历史价值。
2.矛盾
由于该段城墙的缺口位于宫城附近,成了南京明城墙风光带的重要组成部分,而城墙缺口又在前湖公园内构成了东郊风景区里的主要景观。城墙缺口的存在,严重影响了整个市明城墙风光带观光游览流线的完整性。因此,如何采取有效措施保护文物本体,进行环境整治,展示历史信息,完善景观形象,是这一次设计中需要思考并解决的问题。
这个缺口连接体设计的意义:一是可以连接南北向的交通,使城墙风光带的线路更加完整,向人们展示明城墙的整体风采;二是可以向市民展示历史的遗存和古代防御工程的全貌,包括天然坍塌的缺口、散落在底部的落砖和裸露出来的明代矮城墙。三是此次项目作为前湖风景的主要对景,是公园内很重要的景观节点。
3.“轻”的意义
“轻”在现代语境中有很多延伸的意义,轻作为一种品质、追求、价值和美学存在于现代社会的各个文化领域:例如轻音乐指的是可以营造浪漫的情调,带有休闲性质的音乐,它格调高雅而气度不凡;轻生活指的是简单、返璞归真、从容快乐的生活,“轻”就是一种淡然、轻松、自由的生活态度;从建筑学的角度来讲,轻可以意味着空间秩序的开放自由、结构的轻巧灵活、材料的精致和形体的简洁轻盈。“轻”在建筑设计方面除了有结构之轻和材料之轻的含义外,有着更为广义的建筑学指向,它可能是一种介入场地和环境的态度:尊重、顺应、修补,而不是抹去留存。
4.解题
基于以上分析,对这次缺口连接体设计有了最初的思考立意,想着重表现建筑之轻,设计一个“轻”的建筑,并且从保护、标志性、连接、展示,这四个方面去考虑这个设计。保护——概念方案,必须要尽量减少对基地环境的破坏,保护现场文物。标志性——缺口位于前湖湖畔的对岸,是到湖边驻足游客的视线焦点,所以它又是公园的一道亮丽显著的风景线,必须考虑它的远观效果,使之成为标志建筑。连接——做为城墙的连接体,其最基本的功能就是连接缺损的城墙两端,又因为基地的背面是军事基地,所以缺口的连接体设计只考虑南北向连接的不考虑东西向的通达。展示——古城古砖如今承载了太多辉煌的过去,烙下了太多历史的痕迹,每一片砖都是古代劳动人民智慧与汗水的结晶。所以向市民展示古代遗址,古代工艺文化,是这次方案所要表现的功能内容。
明城墙的缺口是因为种种历史和自然的原因而存在的,我们的这次设计并不想去填补或是掩盖这个缺口,例如像很多学者的“修旧如旧”的理念,造个假古董试图抹灭城墙这段被破坏的历史,破坏环境。我们只想去积极地暴露这个具有一定意义的缺口,尊重顺应人文历史环境,考虑其周边明城墙的发展的脉络,充分挖掘其中的文化价值和历史内涵。缺口的存在证明它有它的故事和它的历史,希望前来欣赏的人会有兴趣地去探寻它的秘密和它的过去。所以我们在设计方案中把缺口连接主体建筑和原址脱开,既暴露了缺口提醒着人们它的存在,也尽最大可能地保护了原址。随着现代技术工艺的发展,预制、装配等工业化手段完全可以满足上述的条件,并且可以实现安全耐久、施工快捷、低碳环保等建设的目标。
4.1轻的形态
我们的理念是想建造一个轻盈之物悬浮于城墙缺口之上,打造一个“浮石”的意向。或是一个轻盈的悬浮的石头像是不经意间散落在这缺口之间,或是像次意外的事件,从外太空陨落的“飞来石”。我们选择“浮石”的意向是因为石头和城墙的砖一样有着冰冷的外表斑驳的肌理,坚硬的内心和沉重的色彩。如果说明城墙像是一条链子随着绵延的地势成自由之形态绕着古城南京,而这颗“石头”就像嵌在其中的宝石,为古城墙增添一些光芒。“浮石”有着一般石头的特性,更有着它与众不同的特点,它很轻盈,就像悬浮在半空中、悬浮于明城墙上的一样。整个建筑的形体契合缺口的形状,横剖面是由基座向上有收分,顺应周边城墙断面的走势。建筑的立面设计也延续整个明城墙实面的肌理,无论在色彩上还是斑驳的纹理上与周边的环境既有联系,又能展示自身新材料的特质。如何利用并整合明城墙的线性的景观特征、南京山水的天然格局及新建的明城墙缺口连接体,使其三者在前湖段形成富有地域特色的城市公共的空间,从而吸引更多的游人前往。
4.2轻的建造
轻型钢结构不仅是因为它的结构构件的尺寸小,作为围护结构的非承重结构的构件更加轻薄透明,从感官上变轻。而是因为钢结构大大改变了建筑空间特性,使其更适应于新的需求。它的这些特性可以实现我们想突破传统展览空间的一些想法。首先,整体上我们将建筑从地面上抬升了两米,从而更好的保护和展示地表文物,又潜意识的提醒游客这里有特别的东西需要他们去探索,让人们产生窥探究竟的欲望。出入口则设在了建筑短边两侧,使得建筑的主立面保持完整。然后从整个建筑的纵剖面上看建筑的结构空间分为三部分:第一部分是朝向前湖开放的外挑在建筑表面的观景平台;第二部分是进深4.5米共四层的主要承担水平和垂直交通的结构体系;第三部分是一个四层通高的大空间,并有许多进深不一错落的挑台从第二部分的结构中悬挑出来,因为其悬挑出来的尺寸很大,场景很震撼给人留下深刻的印象。轻型钢结构建筑的预制化程度高,施工速度快,可以把对环境的破坏降到最低。
4.3轻的形式
这次设计中的形式之轻主要体现在建筑的空间秩序上的自由。游客一般会从明城墙上进入建筑的第二部分的空间,它承载的主要功能就是联系上下和左右的交通,并过渡室内外的空间。这部分的空间较为狭长,一边出去是秀丽开阔的自然山林的美景,一边出去则是气势颇为壮阔的文物展览。我们更可以把其内侧的墙壁作为灵活的展墙,或是挂上展板宣传悠久的历史文化或是投射电子影像资料,向游客宣传南京古城墙的形成历史、现状和古代劳动人民的制砖工艺等。游人可以在室内任意节点停歇下来,或是走出室外,站在挑台上欣赏前湖美景和远处的自然丛林荡涤心胸,或是走进室内挑台上,欣赏历史遗存感叹古代劳动人民的智慧。展示厅内错落的挑台可以让游人从不同的角度观察遗迹,更为不同标高挑台上的人们提供了更多互动的机会。整个室内的挑台分为三个层次的:最底层的挑台游客可以欣赏触摸到地表的落砖;中间层次的挑台游客可以近距离的观察被暴露的低矮的城墙;最高的挑台游客可以欣赏整个缺口的形态。室内空间的流动性和游客流线的不确定性,使整个建筑充满神秘感。建筑的室内有着丰富的空间对比,无论是明与暗、长与短、开阔与幽闭、活泼与庄严都给游客带来了别开生面的体验。
4.4轻与光其实是共生
光使得建筑空间流动起来,栩栩如生起来。光是地球上万物的能量,教堂之光让人产生圣神崇高之情,黑暗中的一丝光亮甚至使人豁然开朗对光明产生希望。光线的强弱不但可以产生不同的光影效果,更能引导参观者的流线。上面谈到因为建筑的轻型的结构使得建筑的外围护结构变得轻薄,通常展览型的建筑都是比较封闭的,但这个缺口连接体却坐落在风景绝佳的前湖湖畔,我们希望它紧邻空间的界面能虚化一点温和一点,能和周边的美景游客有些互动。所以我们在缺口连接体主立面的玻璃表皮外加了一层镂空的锈钢的金属表皮,而在连接体与城墙相接的两端则没有围合全部打开,将外面的景观细节完全融入进来。外部挑台的明朗开阔与交通走廊及平台大空间的昏暗庄严,产生了强烈的对比。室内外的转换伴随着光线的转换,以及空间感受的变换。室内光线产生的神秘感,恰好与古城墙所在的基地关系相呼应,与基地的场所历史感相协调。我们在建筑表皮的肌理上做了一些细节化的处理,在均质化的表皮上隐隐约约藏着南京城墙总图整体走势的图案,而散落在表皮上的挑台看似随意却是嵌在城墙图案上的城门的位置上。人们在阳光大好的季节走在建筑内部看外面的风景,而等到夜晚华灯初上从建筑内部透露出星星点点的光亮,此刻的建筑又成为对岸游客眼中的风景,它盈盈地漂浮于城墙之上。
5.不足
因为时间有限,方案在这几个方面有所欠缺:第一从建筑空间层面上强调了点和线的层次,点的驻足欣赏的空间,线的交通行走的空间,塑造不足的是空间面的层次,面更加强调的是游客休憩的空间,这种空间只能结合城墙缺口连接体周边的绿色景观场地进行进一步的规划设计;第二是功能的设置上比较单一,基本是以展览为主,没有更多的人性化的设置。例如一些卫生间一些休闲餐饮茶座的设置,这主要是出于不想过多的功能的置入破坏这里环境的考虑。
6.总结
概念性的设计方案回应了南京古城墙历史和场地的精神,其中还有很多不足之处。但是如何去对待和发展历史遗存的问题却久久的萦绕在建筑师的心里。保护和发展都是离不开建筑所在的场所,我们必须因地制宜地去考虑问题,只有使历史的特色的城市公共空间在今天的城市发展中得到延续和再生,才能促进古城墙的保护和城市发展的双赢。
参考文献
[1].华黎.建筑之轻[J].建筑学报,2015(6):28-31.
[2].曲志华.南京明城墙的保护与利用[D].南京:东南大学,2007.
[3].王燕燕、王浩、唐晓岚.南京明城墙历史意义变更及现代价值更新研究[J].南京林业大学学报,2013(6):89-91.
3.三层网络架构要点及设计方案 篇三
柳工现有信息系统全面覆盖了企业的产品开发、供应链管理、生产制造和销售服务四大方面主体活动,成为柳工生产活动中重要的支撑。
目前柳工信息网是一个大型的二层网络架构:
1、核心区域:两台Cisco4506作为整个网络的核心,分别负责厂区网络、研究院网络、数据中心、互联网和异地事业部广域网的接入;
2、园区区域:所有部门及下属公司的计算机都划分在几个业务VLAN内,使用Cisco2960和2950交换机作为接入层设备;
3、异地事业部:租用不同运营商线路接入至数据中心机房的Cisco3550交换机上;
4、服务器区域:使用6台Cisco2960G作为接入,使用双链路上联核心交换机;
5、互联网区域:3条不同运营商的线路汇聚到一台Cisco2960上。外部SSL-VPN用户通过互联网链路接入深信服VPN设备直接拨入到内网。内部访问互联网则通过ISA防火墙后从三个互联网出口出去。
二、层网二络向三层网络转变的必要性
2.1网络拓扑
柳工目前网络是一个以二层局域网交换为主的网络,缺少必要的三层路由规划和网络安全规划。现有网络架构不能满足应用系统未来的需求,不足以支撑未来业务的发展。
同时,缺乏汇聚交换机和光纤链路资源,使得大量的接入交换机采用级联的方式实现上联。这样容易导致链路不稳定和链路带宽得不到保障。因此需要优化网络拓扑,合理选择汇聚节点,变二层网络为更加稳定的三层网络。
2.2明确网络各功能区域
网络系统需要按功能进行区分:如广域网、生产网、研发网络和数据中心等。柳工现有的网络结构不具备真正的广域网、数据中心、研发网络和生产网络等功能划分。因此需要明确网络各功能区域,实现分级分域安全防护。
2.3 IP地址/VLAN规划
柳工目前使用一个B类地址和若干个C类地址,网络中进行了有限的VLAN划分。但由于VLAN规划不细致,造成广播域过大,给网络的稳定运行带来了隐患。
柳工未来的IP地址分配建议采用DHCP动态分配辅助静态部署。服务器设置静态地址,客户机动态获取IP。动态分配由于地址是由DHCP服务器分配,便于集中化统一管理。每一个接入主机都能通过非常简单的操作就可以获得正确IP地址、子网掩码、缺省网关、DNS等参数,在管理的工作量上比静态地址要减少很多。非常适合大型网络的需求。
综上所述,二层网络架构转变为三层网络架构,势在必行,否则将不足以支撑日益扩大的网络规模和业务发展需求。
三、整体设计方案
3.1 模块划分
通过参考和借鉴目前先进的网络设计理念和其他企业网络设计经验,依据全面性原则和模块化设计原则,将整个网络总体框架划分为六大网络区域:即核心交换区、园区网、数据中心、广域网、研发网和互联网。同时IP地址和VLAN规划贯穿在各网络区域的设计中。
3.2差异化分析
采用差异化分析的方式来确定网络中的不足之处,提出网络优化的方法和所能够达到的目标。
对网络各组成部分具体分析,具体如下:
3.2.1 园区网
现状:园区网核心设备超负荷运行,核心交换机4506CPU负荷超70%;园区网是一个大型二层网络,终端用户基本分布在VLAN1中,过大的广播域给网络的稳定带来潜在风险。接入层设备大量采用级联方式上连核心,部分接入交换机带宽利用率仅有30%。
规划目标:提升园区网核心设备处理能力,从而提高网络整体的处理能力。调整网络层次,变两层网络为三层网络架构,新增合理的汇聚节点。用动态路由协议规划核心层和汇聚层的路由,提供快速收敛和高可扩展性。
3.2.2 数据中心
现状:数据中心网络与园区网之间界线不清,存在很大的可用性,扩展性问题;同时缺乏数据中心安全防护措施。
规划目标:搭建独立的数据中心网络架构,建设数据中心的整体安全防护架构。
3.2.3 广域网
现状:广域网缺乏冗余链路。广域网是一个二层交换网,没有三层路由,不能对重要业务做QOS保障,并且网络设备比较陈旧。
规划目标:增加冗余链路保证广域网的稳定可靠性。规划广域网路由,用专用路由器代替现有设备,通过有关技术手段保证重要应用数据的传输。
3.2.4 研发网络
现状:缺乏独立的研发网网络架构,缺乏对研发网的安全防护措施。
规划目标:搭建独立研发网网络架构,在组网方式上采用物理隔离,在传输过程中采用逻辑隔离。建立研发网的安全防护架构,增强网络的高安全性,同时保证业务数据的安全管理。
3.2.5 互联网
现状:缺乏细化的互联网管理规范,互联网安全防护设备陈旧且防护手段单一。
规划目标:完善全网的互联网出口,加强安全防护措施。完善统一安全控制策略和互联网访问规范。
3.2.6 IP地址和VLAN
现状:IP地址分配VLAN划分精细度不够,用户主要集中在VLAN1中,广播域太大。IP地址主要采用静态分配方式,管理缺乏灵活性。
规划目标:统一IP地址管理,优化IP分配和VLAN划分规范。
四.实施规划
4.1园区网
按照三层架构进行规划设计,合理设置汇聚节点。优化接入层设备的接入,最终形成完善的三层架构园区网。网络设备的更新换代,用高性能的核心设备替换原有的核心交换机,提升园区网的整体处理能力。加强对接入层设备的集中管理,逐步替换不可网管的接入设备。以园区网为主要承载平台的统一无线系统部署。
4.2数据中心
增设数据中心核心交换机,建设数据中心整体安全防护系统;增设数据中心接入交换机,承担服务器的接入。
4.3广域网
增设广域网核心路由器和广域网防火墙,增加广域网冗余链路,完成异地事业部接入路由器的改造。
4.4研发网
增设研发网核心交换机和研发网边界防火墙,更换研发网的接入交换机,实现基于身份的网络准入控制。
4.5互联网
完成互联网边界防火墙的改造、互联网代理系统改造和ISP链路的动态负载,同时优化互联网的出口管理(上网行为管理,流量监控)。
4.6 IP地址规划
已使用网段的地址,在新的规划中不再使用;启用新的IP地址段:172.17.0.0/16共65535个IP地址划分为255个C类的IP子网,分配给广域网,局域网和数据中心使用;启用IP地址段:10.0.0.0/24,分配给特殊需求的IP,如:双机热备系统的心跳IP。该段地址不参与路由,并且需要使用VLAN隔离。启用IP地址段:10.1.0.0/16,分配10.1.1.0/24给VPN地址池,其余保留给未来的外联网络。
5.总结
4.网络安全设计方案 篇四
1.充分满足现在以及未来3-5年内的网络需求,既要保证校园网能很好的为学校服务,又要保护学校的投资。
2.强大的安全管理措施,四分建设、六分管理,管理维护的好坏是校园网正常运行的关键
3.在满足学校的需求的前提下,建出自己的特色 1.2网络建设需求 网络的稳定性要求
整个网络需要具有高度的稳定性,能够满足不同用户对网络访问的不同要求
网络高性能需求
整个网络系统需要具有很高的性能,能够满足各种流媒体的无障碍传输,保证校园网各种应用的畅通无阻
认证计费效率高,对用户的认证和计费不会对网络性能造成瓶颈 网络安全需求 防止IP地址冲突 非法站点访问过滤 非法言论的准确追踪 恶意攻击的实时处理 记录访问日志提供完整审计 网络管理需求
需要方便的进行用户管理,包括开户、销户、资料修改和查询 需要能够对网络设备进行集中的统一管理 需要对网络故障进行快速高效的处理 第二章、某校园网方案设计 2.1校园网现网拓扑图 整个网络采用二级的网络架构:核心、接入。
核心采用一台RG-S4909,负责整个校园网的数据转发,同时为接入交换机S1926F+、内部服务器提供百兆接口。网络出口采用RG-WALL1200防火墙。原有网络设备功能较少,无法进行安全防护,已经不能满足应用的需求。
2.2校园网设备更新方案
方案一:不更换核心设备
核心仍然采用锐捷网络S4909交换机,在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+,其中汇聚交换机各采用一台新增的S2126G,剩余的两台S2126G用于加强对关键机器的保护,中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
方案二:更换核心设备
核心采用一台锐捷网络面向10万兆平台设计的多业务IPV6路由交换机RG-S8606,负责整个校园网的数据转发。在中校区增加一台SAM服务器,部署SAM系统,同时东校区和西校区各用3台S2126G替换原有S1926F+。将原有的S4909放到东校区做为汇聚设备,下接三台S2126G实现安全控制,其它二层交换机分别接入相应的S2126G。西校区汇聚采用一台S2126G,剩余两台S2126G用于保护重点机器,其它交换机接入对应的S2126G。中校区的网络结构也做相应的调整,采用现有的两台S2126G做为汇聚设备,其它交换机分别接入这两台交换机,从而实现所有汇聚层交换机都能进行安全控制,重点区域在接入层进行安全控制的网络布局。
2.3骨干网络设计
骨干网络由RG-S8606构成,核心交换机RG-S8606主要具有5特性:
1、骨干网带宽设计:千兆骨干,可平滑升级到万兆
整个骨干网采用千兆双规线路的设计,二条线路通过VRRP冗余路由协议和OSPF动态路由协议实现负载分担和冗余备份,以后,随着网络流量的增加,可以将链路升级到万兆。
2、骨干设备的安全设计:CSS安全体系架构
3、CSS之硬件CPP CPP即CPU Protect Policy,RG-S8606采用硬件来实现,CPP提供管理模块和线卡CPU的保护功能,对发往CPU的数据流进行带宽限制(总带宽、QOS队列带宽、类型报文带宽),这样,对于ARP攻击的数据流、针对CPU的网络攻击和病毒数据流,RG-S8606分配给其的带宽非常的有限,不会影响其正常工作。
由于锐捷10万兆产品RG-S8606采用硬件的方式实现,不影响整机的运行效率
4、CSS之SPOH技术
现在的网络需要更安全、需要为不同的业务提供不同的处理优先级,这样,大量的ACL和QOS需要部署,需要核心交换机来处理,而这些应用属于对交换机硬件资源消耗非常大的,核心交换机RG-S8606通过在交换机的每一个用户端口上增加一个FFP(快速过滤处理器),专门用来处理ACL和QOS,相当于把交换机的每一个端口都变成了一台独立的交换机,可以保证在非常复杂的网络环境中核心交换机的高性
能。
2.4网络安全设计
2.4.1某校园网网络安全需求分析
1、网络病毒的防范
病毒产生的原因:某校园网很重要的一个特征就是用户数比较多,会有很多的PC机缺乏有效的病毒防范手段,这样,当用户在频繁的访问INTERNET的时候,通过局域网共享文件的时候,通过U盘,光盘拷贝文件的时候,系统都会感染上病毒,当某个学生感染上病毒后,他会向校园网的每一个角落发送,发送给其他用户,发送给服务器。
病毒对校园网的影响:校园网万兆、千兆、百兆的网络带宽都被大量的病毒数据包所消耗,用户正常的网络访问得不到响应,办公平台不能使用;资源库、VOD不能点播;INTERNET上不了,学生、老师面临着看着丰富的校园网资源却不能使用的 尴尬境地。
2、防止IP、MAC地址的盗用
IP、MAC地址的盗用的原因:某校园网采用静态IP地址方案,如果缺乏有效的IP、MAC地址管理手段,用户可以随意的更改IP地址,在网卡属性的高级选项中可以随意的更改MAC地址。如果用户有意无意的更改自己的IP、MAC地址,会引起多方冲突,如果与网关地址冲突,同一网段内的所有用户都不能使用网络;如果恶意用户发送虚假的IP、MAC的对应关系,用户的大量上网数据包都落入恶意用户的手中,造成ARP欺骗攻击。
IP、MAC地址的盗用对校园网的影响:在用户看来,校园网络是一个很不可靠是会给我带来很多麻烦的网络,因为大量的IP、MAC冲突的现象导致了用户经常不能使用网络上的资源,而且,用户在正常工作和学习时候,自己的电脑上会经常弹出MAC地址冲突的对话框。由于担心一些机密信息比如银行卡账户、密码、邮箱密码泄漏,用户会尽量减少网络的使用,这样,学生、老师对校园网以及网络中心的信心会逐渐减弱,投入几百万的校园网也就不能充分发挥其服务于教学的作用,造成很大程度上的资源浪费。
3、安全事故发生时候,需要准确定位到用户 安全事故发生时候,需要准确定位到用户原因:
国家的要求:2002年,朱镕基签署了282号令,要求各大INTERNET运营机构(包括高校)必须要保存60天的用户上网记录,以待相关部门审计。
校园网正常运行的需求:如果说不能准确的定位到用户,学生会在网络中肆无忌弹进行各种非法的活动,会使得校园网变成“黑客”娱乐的天堂,更严重的是,如
果当某个学生在校外的某个站点发布了大量涉及政治的言论,这时候公安部门的网络信息安全监察科找到我们的时候,我们无法处理,学校或者说网络中心只有替学生背这个黑锅。
4、安全事故发生时候,不能准确定位到用户的影响:
一旦发生这种涉及到政治的安全事情发生后,很容易在社会上广泛传播,上级主管部门会对学校做出处理;同时也会大大降低学校在社会上的影响力,降低家长、学生对学校的满意度,对以后学生的招生也是大有影响的。
5、用户上网时间的控制
无法控制学生上网时间的影响:如果缺乏有效的机制来限制用户的上网时间,学生可能会利用一切机会上网,会旷课。学生家长会对学校产生强烈的不满,会认为学校及其的不负责任,不是在教书育人。这对学校的声誉以及学校的长期发展是及其不利的。
6、用户网络权限的控制
在校园网中,不同用户的访问权限应该是不一样的,比如学生应该只能够访问资源服务器,上网,不能访问办公网络、财务网络。办公网络的用户因该不能访问财务网络。因此,需要对用户网络权限进行严格的控制。
7、各种网络攻击的有效屏蔽
校园网中常见的网络攻击比如MAC FLOOD、SYN FLOOD、DOS攻击、扫描攻击、ARP欺骗攻击、流量攻击、非法组播源、非法DHCP服务器及DHCP攻击、窃取交换机的管理员密码、发送大量的广播报文,这些攻击的存在,会扰乱网络的正常运行,降低了校园网的效率。
2.4.2某校园网网络安全方案设计思想 2.4.2.1安全到边缘的设计思想
用户在访问网络的过程中,首先要经过的就是交换机,如果我们能在用户试图进入网络的时候,也就是在接入层交换机上部署网络安全无疑是达到更好的效果。2.4.2.2全局安全的设计思想
锐捷网络提倡的是从全局的角度来把控网络安全,安全不是某一个设备的事情,应该让网络中的所有设备都发挥其安全功能,互相协作,形成一个全民皆兵的网络,最终从全局的角度把控网络安全。2.4.2.3全程安全的设计思想
用户的网络访问行为可以分为三个阶段,包括访问网络前、访问网络的时候、访问网络后。对着每一个阶段,都应该有严格的安全控制措施。2.4.3某校园网网络安全方案
锐捷网络结合SAM系统和交换机嵌入式安全防护机制设计的特点,从三个方面实现网络安全:事前的准确身份认证、事中的实时处理、事后的完整审计。2.4.3.1事前的身份认证
对于每一个需要访问网络的用户,我们需要对其身份进行验证,身份验证信息包括用户的用户名/密码、用户PC的IP地址、用户PC的MAC地址、用户PC所在交换机的IP地址、用户PC所在交换机的端口号、用户被系统定义的允许访问网络的时间,通过以上信息的绑定,可以达到如下的效果:
每一个用户的身份在整个校园网中是唯一,避免了个人信息被盗用. 当安全事故发生的时候,只要能够发现肇事者的一项信息比如IP地址,就可以准确定位到该用户,便于事情的处理。
只有经过网络中心授权的用户才能够访问校园网,防止非法用户的非法接入,这也切断了恶意用户企图向校园网中传播网络病毒、黑客程序的通道。2.4.3.2网络攻击的防范
1、常见网络病毒的防范
对于常见的比如冲击波、振荡波等对网络危害特别严重的网络病毒,通过部署扩展的ACL,能够对这些病毒所使用的TCP、UDP的端口进行防范,一旦某个用户不小心感染上了这种类型的病毒,不会影响到网络中的其他用户,保证了校园网网络带宽的合理使用。
2、未知网络病毒的防范
对于未知的网络病毒,通过在网络中部署基于数据流类型的带宽控制功能,为不同的网络应用分配不同的网络带宽,保证了关键应用比如WEB、课件资源库、邮件数据流有足够可用的带宽,当新的病毒产生时,不会影响到主要网络应用的运行,从而保证了网络的高可用性。
3、防止IP地址盗用和ARP攻击
通过对每一个ARP报文进行深度的检测,即检测ARP报文中的源IP和源MAC是否和端口安全规则一致,如果不一致,视为更改了IP地址,所有的数据包都不能进入网络,这样可有效防止安全端口上的ARP欺骗,防止非法信息点冒充网络关键设备的IP(如服务器),造成网络通讯混乱。
4、防止假冒IP、MAC发起的MAC FloodSYN Flood攻击 通过部署IP、MAC、端口绑定和IP+MAC绑定(只需简单的一个命令就可以实现)。并实现端口反查功能,追查源IP、MAC访问,追查恶意用户。有效的防止通过假冒源IP/MAC地址进行网络的攻击,进一步增强网络的安全性。
5、非法组播源的屏蔽
锐捷产品均支持IMGP源端口检查,实现全网杜绝非法组播源,指严格限定IGMP组播流的进入端口。当IGMP源端口检查关闭时,从任何端口进入的视频流均是合法的,交换机会把它们转发到已注册的端口。当IGMP源端口检查打开时,只有从路由连接口进入的视频流才是合法的,交换机把它们转发向已注册的端口;而从非路由连接口进入的视频流被视为是非法的,将被丢弃。锐捷产品支持IGMP源端口检查,有效控制非法组播,实现全网杜绝非法组播源,更好地提高了网络的安全性和全网的性能,同时可以有效杜绝以组播方式的传播病毒.在校园网流媒体应用多元化和潮流下具有明显的优势,而且也是网络带宽合理的分配所必须的。同时IGMP源端口检查,具有效率更高、配置更简单、更加实用的特点,更加适用于校园运营网络大规模的应用环境。
6、对DOS攻击,扫描攻击的屏蔽
通过在校园网中部署防止DOS攻击,扫描攻击,能够有效的避免这二种攻击行为,节省了网络带宽,避免了网络设备、服务器遭受到此类攻击时导致的网络中断。
2.4.3.3事后的完整审计
当用户访问完网络后,会保存有完备的用户上网日志纪录,包括某个用户名,使用那个IP地址,MAC地址是多少,通过那一台交换机的哪一个端口,什么时候开始访问网络,什么时候结束,产生了多少流量。如果安全事故发生,可以通过查询该日志,来唯一的确定该用户的身份,便于了事情的处理。2.5网络管理设计
网络管理包括设备管理、用户管理、网络故障管理 2.5.1网络用户管理
网络用户管理见网络运营设计开户部分 2.5.2网络设备管理
网络设备的管理通过STARVIEW实现,主要提供以下功能,这些功能也是我们常见的解决问题的思路:
1、网络现状及故障的自动发现和了解
STARVIEW能自动发现网络拓扑结构,让网络管理员对整个校园网了如指掌,对于用户私自挂接的HUB、交换机等设备能及时地发现,提前消除各种安全隐患。对于网络中的异常故障,比如某台交换机的CPU利用率过高,某条链路上的流量负载过大,STARVIEW都可以以不同的颜色进行显示,方便管理员及时地发现网络中的异常情况。
2、网络流量的查看
STARVIEW在网络初步异常的情况下,能进一步的察看网络中的详细流量,从而为网络故障的定位提供了丰富的数据支持。
3、网络故障的信息自动报告
STARVIEW支持故障信息的自动告警,当网络设备出现故障时,会通过TRAP的方式进行告警,网络管理员的界面上能看到各种故障信息,这些信息同样为管理员的故
障排除提供了丰富的信息。
4、设备面板管理
STARVIEW的设备面板管理能够很清楚的看到校园中设备的面板,包括端口数量、状态等等,同时可以很方便的登陆到设备上,进行配置的修改,完善以及各种信息
的察看。
5、RGNOS操作系统的批量升级
校园网很大的一个特点就是规模大,需要使用大量的接入层交换机,如果需要对这些交换机进行升级,一台一台的操作,会给管理员的工作带来很大的压力,STARVIEW提供的操作系统的批量升级功能,能够很方便的一次对所有的相同型号的交换机进行升级,加大的较少了网络管理员的工作量。
2.5.3网络故障管理
随着校园网用户数的增多,尤其是宿舍网运营的开始,用户网络故障的排除会成为校园网管理工作的重点和难点,传统的网络故障解决方式主要是这样一个流程:
2.6流量管理系统设计
网络中的流量情况是网络是否正常的关键,网络中大量的P2P软件的使用,已经对各种网络业务的正常开展产生了非常严重的影响,有的学校甚至因为P2P软件的泛滥,直接导致了网络出口的瘫痪。2.6.1方案一:传统的流量管理方案
传统的流量管理方案的做法很多就是简单的封堵这些P2P软件,从而达到控制流量的目的,这有三大弊端, 第一:这些软件之所以有如此强大的生命力,是因为用户通过使用这些软件的确能快速的获取各种有用的资源,如果简单的通过禁止的方式,用户的意见会非常的大,同时,各种有用的资源我们很难获取。
第二:各种新型的,对网络带宽消耗更大的应用软件也在不断的出现。所谓道高一尺,魔高一丈,一味的封堵这些软件,我们永远处于被动的局面,显然不能从根本上解决这个问题。
第三:我们无法获取网络中的流量信息,无法为校园网的优化,网络管理,网络故障预防和排除提供数据支撑。
2.6.2方案二:锐捷的流量管理与控制方案
锐捷网络的流量管理主要通过RG-NTD+日志处理软件+RG-SAM系统来实现。
NTD是锐捷流量管理解决方案的重要组成部分,我们希望能为用户提供一种流量控制和管理的方法而不单纯是流量计费,锐捷的流量管理方案有三大功能:
第一:为SAM系统对用户进行流量计费提供原始数据,这是我们已经实现了的功能。该功能能满足不同消费层次的用户对带宽的需求,经济条件好一点,可以多用点流量,提高了用户的满意度。而且,对于以后新出现的功能更加强大的下载软件,都不必担心用户任意使用造成带宽拥塞。
第二:提供日志审计和带宽管理功能,通过NTD、SAM、日志系统的结合,能够做到基于用户身份对用户进行管理,做到将用户名、源IP、目的IP直接关联,通过目的IP,可以直接定位到用户名,安全事件处理起来非常的方便,同时还能提供P2P的限速,带宽管理等功能,这一部分的功能我们会在明年4月份提供。 第三:能够对网络中的各种流量了如指掌,可以对用户经常访问的资源进行分析对比,为应用系统的建设、服务器的升级改造提供数据支持;能够及时的发现网络中的病毒、恶意流量,从而进行有效的防范,结合认证计费系统SAM,能够捕捉到事件源头,并于做出处理。
总体来说,流量控制和管理和日志系统的整体解决方案对于校园网的长期健康可持续发展是很有帮助的。
网络防火墙设计中的问题
1.方案:硬件?还是软件?
现在防火墙的功能越来越多越花哨,如此多的功能必然要求系统有一个高效的处理能力。
防火墙从实现上可以分为软件防火墙和硬件防火墙。软件防火墙以checkpoint 公司的Firewall-I为代表,其实现是通过 dev_add_pack的办法加载过滤函数(Linux,其他操作系统没有作分析,估计类似),通过在操作系统底层做工作来实现防火墙的各种功能和优 化。国内也有一些所谓的软件防火墙,但据了解大多是所谓“个人”防火墙,而且功能及其有限,故不在此讨论范围。
在国内目前已通过公安部检验的防火墙中,硬件防火墙占绝大多数。硬件防火墙一种是从硬件到软件都单独设计,典型如Netscreen防火墙不但软件部分单独设计,硬件部分也采用专门的ASIC集成电路。
另外一种就是基于PC架构的使用经过定制的通用操作系统的所谓硬件防火墙。目前国内绝大
多数防火墙都属于这种类型。
虽然都号称硬件防火墙,国内厂家和国外厂家还是存在着巨大区别。硬件防火墙需要在硬 件和软件两方面同时下功夫,国外厂家的通常做法是软件运算硬件化,其所设计或选用的运行平台本身的性能可能并不高,但它将主要的运算程序(查表运算是防火 墙的主要工作)做成芯片,以减少主机CPU的运算压力。国内厂家的防火墙硬件平台基本上采用通用PC系统或工业PC架构(直接原因是可以节省硬件开发成 本),在提高硬件性能方面所能做的工作仅仅是提升系统CPU的处理能力,增大内存容量而已。现在国内防火墙的一个典型结构就是:工业主板+x86+128(256)M内存+DOC/DOM+硬盘(或不要硬盘而另增加一个日志服务器)+百兆网卡 这 样一个工业PC结构。
在软件性能方面,国内外厂家的差别就更大了,国外(一些著名)厂家均是采用专用的操 作系统,自行设计防火墙。而国内所有厂家操作系统系统都是基于通用的 Linux,无一例外。各厂家的区别仅仅在于对Linux系统本身和防火墙部分(2.2内核为ipchains,2.4以后内核为netfilter)所 作的改动量有多大。
事实上,Linux只是一个通用操作系统,它并没有针对防火墙功能做什么优化,而且 其处理大数据量通信方面的能力一直并不突出,甚至比较低下(这也是 Linux一直只是低端服务器的宠儿的重要原因,我自己认为,在这一点上它还不如BSD系列,据说国外有用BSD做防火墙的,国内尚未见到)。现在绝大部 分厂家,甚至包括号称国内最大的天融信,在软件方面所作的工作无非也就是系统有针对性的裁减、防火墙部分代码的少量改动(绝大部分还是没有什么改动)和少 量的系统补丁。而且我们在分析各厂家产品时可以注意这一点,如果哪个厂家对系统本身做了什么大的改动,它肯定会把这个视为一个重要的卖点,大吹特吹,遗憾 的是似乎还没有什么厂家有能力去做宣传(天融信似乎有一个类似于checkpoint的功能:开放式的安全应用接口 TOPSEC,但它究竟做了多少工作,还需要去仔细了解)。
目前国内厂家也已经认识到这个问题,有些在做一些底层的工作,但有明显成效的,似乎还没有。
在此我们仅针对以Linux(或其他通用操作系统)为基础的、以PC架构为硬件载体的防火墙做讨论,以下如不特别提出,均同。2.内核和防火墙设计
现在有一种商业卖点,即所谓“建立在安全操作系统之上的第四代防火墙”(关于防火墙 分代的问题,目前有很多讨论,比较一致的是把包过滤防火墙称为第一代防火墙,把应用型防火墙(一般结合了包过滤功能,因此也成为混合型防火墙)称为第二代 防火墙,有些厂家把增加了检测通信信息、状态检测和应用监测的防火墙称为第三代防火墙,更有甚者在此基础上提出了采用安全操作系统的防火墙,并把这个称为 第四代防火墙)。所谓安全操作系统,其实大多用的还是Linux,所不同的是需要做一些内核加固和简单改造的工作,主要有以下: 取消危险的系统调用,或者截获系统调用,稍加改动(如加载一些llkm); 限制命令执行权限; 取消IP转发功能; 检查每个分组的接口; 采用随机连接序号; 驻留分组过滤模块; 取消动态路由功能;
采用多个安全内核(这个只见有人提出,但未见到实例,对此不是很清楚)。以上诸多工作,其实基本上都没有对内核源码做太大改动,因此从个人角度来看算不上可以太夸大的地方。
对于防火墙部分,国内大部分已经升级到2.4内核所支持的netfilter。netfilter已经是一个功能比较完善的防火墙框架,它已经支持基于状态的监测(通过connection track模块实现)。而且netfilter是一个设计很合理的框架,可以在适当的位置上登记一些需要的处理函数,正式代码中已经登记了许多处理函数,如在NF_IP_FORWARD点上登记了装发的包过滤功能(包过滤等功能便是由这些正式登记的函数实现的)。我们也可以登记自己的处理函数,在功能上作 扩展(如加入简单的IDS功能等等)。这一点是国内厂家可以做文章的地方,至于netfilter源码的修改,对国内厂家来说似乎不太现实。
至于采用其它防火墙模型的,目前还没有看到(可能是netfilter已经设计的很成功,不需要我们再去做太多工作)。3.自我保护能力(安全性)
由于防火墙的特殊功能和特殊位置,它自然是众多攻击者的目标,因此它的自我包括能力在设计过程中应该放在首要的位置。A.管理上的安全性
防火墙需要一个管理界面,而管理过程如何设计的更安全,是一个很重要的问题。目前有两种方案。
a.设置专门的服务端口
为了减少管理上的风险和降低设计上的难度,有一些防火墙(如东方龙马)在防火墙上专 门添加了一个服务端口,这个端口只是用来和管理主机连接。除了专用的服务口外,防火墙不接受来自任何其它端口的直接访问。这样做的显著特点就是降低了设计 上的难度,由于管理通信是单独的通道,无论是内网主机、外网主机还是DMZ内主机都无法窃听到该通信,安全性显然很高,而且设计时也无需考虑通信过程加密 的问题。
然而这样做,我们需要单独设置一台管理主机,显然太过浪费,而且这样管理起来的灵活性也不好。b.通信过程加密
这样无需一个专门的端口,内网任意一台主机都可以在适当的情况下成为管理主机,管理主
机和防火墙之间采用加密的方式通信。
目前国内有采用的是使用自定义协议、一次性口令认证。对加密这个领域了解不多,不做详 细讨论。
B.对来自外部(和内部)攻击的反应能力 目前常见的来自外部的攻击方式主要有: a.DOS(DDOS)攻击
(分布式)拒绝服务攻击是目前一种很普遍的攻击方式,在预防上也是非常困难的。目前 防火墙对于这种攻击似乎没有太多的解决办法,主要是提高防火墙本身的健壮性(如增加缓冲区大小)。在Linux内核中有一个防止Syn flooding攻击的选项:CONFIG_SYN_COOKIES,它是通过为每一个Syn建立一个缓冲(cookie)来分辨可信请求和不可信请求。另外对于ICMP攻击,可以通过关闭ICMP 回应来实现。
b.IP假冒(IP spoofing)
IP假冒是指一个非法的主机假冒内部的主机地址,骗取服务器的“信任”,从而达到对网络的攻击目的。
第一,防火墙设计上应该知道网络内外的IP地址分配,从而丢弃所有来自网络外部但却有内部地址的数据包。实际实现起来非常简单,只要在内核中打开rp_filter功能即可。
第二,防火墙将内网的实际地址隐蔽起来,外网很难知道内部的IP地址,攻击难度加大。IP假冒主要来自外部,对内网无需考虑此问题(其实同时内网的IP假冒情况也可以得到遏制)。c.特洛伊木马
防火墙本身预防木马比较简单,只要不让系统不能执行下载的程序即可。
一个需要说明的地方是必须指出的是,防火墙能抗特洛伊木马的攻击并不意味着内网主机 也能防止木马攻击。事实上,内网主机可能会透过防火墙下载执行携带木马的程序而感染。内网主机的在预防木马方面的安全性仍然需要主机自己解决(防火墙只能 在内网主机感染木马以后起一定的防范作用)。d.口令字攻击
口令字攻击既可能来自外部,也可能来自内部,主要是来自内部。(在管理主机与防火墙通过单独接口通信的情况下,口令字攻击是不存在的)
来自外部的攻击即用穷举的办法猜测防火墙管理的口令字,这个很容易解决,只要不把管理部分提供给外部接口即可。
内部的口令字攻击主要是穷举和嗅探,其中以嗅探危害最大。嗅探指监测网络截获管理主机给防火墙的口令字,如果口令字已加密,则解密得到口令字。目前一般采用一次性口令和禁止直接登录防火墙的措施来防止对口令字的攻击。e.邮件诈骗
邮件诈骗是目前越来越突出的攻击方式。防火墙本身防止邮件诈骗非常简单,不接收任何邮件就可以了。然而象木马攻击一样,内网主机仍可收发邮件,邮件诈骗的危险仍然存在,其解决办法一个是内网主机本身采取措施防止邮件诈骗,另一个是在防火墙上做过滤。
f.对抗防火墙(anti-firewall)
目前一个网络安全中一个研究的热点就是对抗网络安全产品如防火墙。一种是分析防火墙 功能和探测防火墙内部网络结构,典型的如Firewalk。另外有一些其他的网络安全性分析工具本身具有双刃性,这类工具用于攻击网络,也可能会很有效的 探测到防火墙和内部网络的安全缺陷,典型的如SATAN和ISS公司的 Internet Security Scanner。目前对于这种探测(攻击)手段,尚无有效的预防措施,因为防火墙本身是一个被动的东西,它只能靠隐藏内部网络结构和提高自身的安全性来对 抗这些攻击。
C.透明代理的采用 应用代理防火墙一般是通过设置不同用户的访问权限来实现,这样就需要有用户认证体 系。以前的防火墙在访问方式上主要是要求用户登录进系统(如果采用 sock代理的方式则需要修改客户应用)。透明代理的采用,可以降低系统登录固有的安全风险和出错概率,从而提高了防火墙的安全性。4.透明性
防火墙的透明性指防火墙对于用户是透明的,在防火墙接入网络时,网络和用户无需做任何设置和改动,也根本意识不到防火墙的存在。
防火墙作为一个实际存在的物理设备,要想放入已存在地网络中又不对网络有任何影响,就必须以网桥的方式置入网络。传统方式下,防火墙安装时,更象是一台路由器或者网关,原有网络拓扑结构往往需要改变,网络设备(包括主机和路由器)的设置(IP和网关、DNS、路由表等等)也需要改变。但如果防火墙采用了透明模式,即采用类似网桥的方式运行,用户将不必重新设定和修改路由,也不需要知道防 火墙的位置,防火墙就可以直接安装和放置到网络中使用。
透明模式最大的好处在于现有网络无需做任何改动,这就方便了很多客户,再者,从透明 模式转换到非透明模式又很容易,适用性显然较广。当然,此时的防火墙仅仅起到一个防火墙的作用,其他网关位置的功能如NAT、VPN功能不再适用,当然,其他功能如透明代理还可以 继续使用。
目前透明模式的实现上可采用ARP代理和路由技术实现。此时防火墙相当于一个ARP代理的功能。内网(可以仍含有路由器或子网,依次类推)、防火墙、路由器的位置大致如下:
内网―――――防火墙―――――路由器
(需要说明的是,这种方式是绝大多数校园网级网络的实现方式)
内网主机要想实现透明访问,必须能够透明的传送内网和路由器之间的ARP包,而此时 由于事实上内网和路由器之间无法连通,防火墙就必须配置成一个ARP代理(ARP Proxy)在内网主机和路由器之间传递ARP包。防火墙所要做的就是当路由器发送ARP广播包询问内网内的某一主机的硬件地址时,防火墙用和路由器相连 接口的MAC地址回送ARP包;内网内某一主机发送ARP广播包询问路由器的硬件地址时,防火墙用和内网相连接口的MAC地址回送ARP包,因此路由器和 内网主机都认为将数据包发给了对方,而实际上是发给了防火墙转发。
显然,此时防火墙还必须实现路由转发,使内外网之间的数据包能够透明的转发。另外,防火墙要起到防火墙的作用,显然还需要把数据包上传给本身应用层处理(此时实现应用层代理、过滤等功能),此时需要端口转发来实现(?这个地方不是十分清 楚,也没找到相关资料)。透明模式和非透明模式在网络拓扑结构上的最大区别就是:透明模式的两块网卡(与路由器相连的和与内网相连的)在一个网段(也和子 网在同一个网段);而非透明模式的两块网卡分别属于两个网段(内网可能是内部不可路由地址,外网则是合法地址)。这个过程如下:
1.用ARP代理实现路由器和子网的透明连接(网络层)2.用路由转发在IP层实现数据包传递(IP层)3.用端口重定向实现IP包上传到应用层(IP层)
前边我们讨论过透明代理,和这里所说的防火墙的透明模式是两个概念。透明代理主要是 为实现内网主机可以透明的访问外网,而无需考虑自己是不可路由地址还是可路由地址。内网主机在使用内部网络地址的情况下仍然可以使用透明代理,此时防火墙 既起到网关的作用又起到代理服务器的作用(显然此时不是透明模式)。
需要澄清的一点是,内外网地址的转换(即NAT,透明代理也是一种特殊的地址转换)和透明模式之间并没有必然的联系。透明模式下的防火墙能实现透明代理,非透明模式下的防火墙(此时它必然又是一个网关)也能实现透明代理。它们的共同点在于可以简化内网客户的设置而已。
目前国内大多防火墙都实现了透明代理,但实现了透明模式的并不多。这些防火墙可以很明显的从其广告中看出来:如果哪个防火墙实现了透明模式,它的广告中肯定会和透明代理区分开而大书特书的。5.可靠性
防火墙系统处于网络的关键部位,其可靠性显然非常重要。一个故障频频、可靠性很差的 产品显然不可能让人放心,而且防火墙居于内外网交界的关键位置,一旦防火墙出现问题,整个内网的主机都将根本无法访问外网,这甚至比路由器故障(路由器的 拓扑结构一般都是冗余设计)更让人无法承受。防火墙的可靠性也表现在两个方面:硬件和软件。
国外成熟厂商的防火墙产品硬件方面的可靠性一般较高,采用专门硬件架构且不必多说,采用PC架构的其硬件也多是专门设计,系统各个部分从网络接口到存储设备(一般为电子硬盘)集成在一起(一块板子),这样自然提高了产品的可靠性。国内则明显参差不齐,大相径庭,大多直接使用PC架构,且多为工业PC,采用现成的网卡,DOC/DOM作为存储设备。工业PC虽然可靠性比普通PC要高不少,但是毕竟其仍然是拼凑式的,设备各部分分立,从可靠性的角度看显然不如集成的(著名的水桶原理)。
国内已经有部分厂家意识到了这个问题,开始自行设计硬件。但大多数厂家还是从成本的角度考虑使用通用PC架构。
另外一方面,软件可靠性的提高也是防火墙优劣的主要差别所在。而国内整个软件行业的 可靠性体系还没有成熟,软件可靠性测试大多处于极其初级的水平(可靠性测试和bug测试完全是两个概念)。一方面是可靠性体系建立不起来,一方面是为了迎 合用户的需求和跟随网络应用的不断发展,多数防火墙厂商一直处于不断的扩充和修改中,其可靠性更不能让人恭维。
总的来说,如同国内大多数行业(除了少数如航天、航空)一样,网络安全产品特别是防火墙的可靠性似乎还没有引起人们的重视。6.市场定位
市场上防火墙的售价极为悬殊,从数万元到数十万元,甚至到百万元不等。由于用户数量不同,用户安全要求不同,功能要求不同,因此防火墙的价格也不尽相同。厂商因而也有所区分,多数厂家还推出模块化产品,以符合各种不同用户的要求。总的说来,防火墙是以用户数量作为大的分界线。如checkpoint的一个报价: CheckPoint Firewall-1 4.1 25user 19000.00 CheckPoint Firewall-1 4.1 50user 31000.00 CheckPoint Firewall-1 4.1 100user 51000.00 CheckPoint Firewall-1 4.1 250user 64000.00 CheckPoint Firewall-1 4.1 无限用户 131000.00 从用户量上防火墙可以分为: a. 10-25用户:
这个区间主要用户为单一用户、家庭、小型办公室等小型网络环境。防火墙一般为10M(针对
硬件防火墙而言),两网络接口,涵盖防火墙基本功能:包过滤、透明模式、网络地址转换、状态检测、管理、实时报警、日志。一般另有可选功能:VPN、带宽管理等等。
这个区间的防火墙报价一般在万元以上2万元以下(没有VPN和带宽管理的价格更低)。
据调查,这个区间的防火墙反而种类不多,也许是国内厂商不屑于这个市场的缘故?
b. 25-100用户
这个区间用户主要为小型企业网。防火墙开始升级到100M,三或更多网络接口。VPN、带宽管
理往往成为标准模块。
这个区间的防火墙报价从3万到15万不等,根据功能价格有较大区别。相对来说,这个区间上
硬件防火墙价格明显高于软件防火墙。
目前国内防火墙绝大部分集中在这个区间中。c. 100-数百用户
这个区间主要为中型企业网,重要网站、ISP、ASP、数据中心等使用。这个区间的 防火墙较多考虑高容量、高速度、低延迟、高可靠性以及防火墙本身的健壮性。并且开始支持双机热备份。这个区间的防火墙报价一般在20万以上。这样的中高端 防火墙国内较少,有也是25-100用户的升级版,其可用性令人怀疑。d. 数百用户以上
这个区间是高端防火墙,主要用于校园网、大型IDC等等。我们接触较少,不多做讨论。当然其价格也很高端,从数十万到数百万不等。
总的来说,防火墙的价格和用户数量、功能模块密切相关,在用户数量相同的情况下,功 能越多,价格就越贵。如Netscreen的百兆防火墙: NetScreen-100f(AC Power)-带防火墙+流量控制等功能,交流电源,没有VPN功能报价在¥260,000而在此基础上增加了128位VPN功能的报价则高出5万元: ¥317,500 7. 研发费用
如同其他网络安全产品一样,防火墙的研发费用也是很高的。防火墙由于技术含量较高,人员技术储备要求较高,防火墙核心部分的研发必须要对操作系统有相当的熟悉,所需为UNIX系统下开发人员,而目前国内真正能拿的出手的UNIX程序员数 量还是太少(远远少于Windows平台下开发人员),人员成本很高。
总的来说,防火墙的研发是一个大项目,而且其前期定位一定要准确,该做什么、不该做什么,哪些功能得实现,哪些功能不必实现、哪些功能可以在后期实现,一定要清楚,否则费用会远远超出预计。
下边对一个中小型企业级防火墙的研发费用作个简单的估计。研发时,防火墙可以细分为(当然在具体操作时往往需要再具体划分): 内核模块
防火墙模块(含状态检测模块)NAT模块 带宽管理模块 通信协议模块 管理模块
图形用户界面模块(或者Web界面模块)透明代理模块(实质属于NAT模块)
透明模式模块(包括ARP代理子模块、路由转发子模块等)各应用代理模块(包括URL过滤模块)VPN模块
流量统计与计费模块 审计模块
其他模块(如MAC、IP地址绑定模块、简单的IDS、自我保护等等)
上边把防火墙划分为12个模块,其中每一个模块都有相当的工作量要做,除了弹性较大 的内核模块和防火墙模块(它们的工作量可能异常的大,视设计目标不同),其他模块暂定10人周的话就需要120周(VPN的工作量也相当大),两个主模块 各按20人周计算,防火墙实现总共需要150人周。加上前期10- 15人周论证、定方案,后期20人周(保守数字)集成、测试,前后总共需要约210人周。按每人周1200元开发费用(折合工资5000月,但由于有运行 费用、保险等费用摊分,个人工资应远低于这个数字),开发费用约需25万。
显然,这个数字只是一个局外人估计的下限,实际的研发应该超出这个数字很多。8. 可升级能力(适用性)和灵活性
对用户来说,防火墙作为大成本投入的商品,势必要考虑到可升级性的问题,如果防火墙 不能升级,那它的可用性和可选择余地势必要大打折扣。目前国内防火墙一般都是软件可升级的,这是因为大多数防火墙采用电子硬盘(少数采用磁盘),实现升级 功能只要很小的工作量要做。但究竟升级些什么内容?升级周期多长一次?这就涉及到一个灵活性的问题。防火墙的灵活性主要体现在以下几点: a. 易于升级
b. 支持大量协议
c. 易于管理(如纳入通用设备管理体系(支持SNMP)而不是单列出来)d. 功能可扩展
这里对功能可扩展做一简单讨论。一般情况下,防火墙在设计完成以后,其过滤规则都是 定死的,用户可定制的余地很小。特别如URL过滤规则(对支持URL过滤的防火墙而言),当前网络中的漏洞是不断发现的,如最近很猖獗的codered攻 击的就是Windows机器IIS服务器的ida漏洞,而我们如果能够及时定义过滤规则,对于“GET /default.ida”的请求及时过滤,那么内网主机(此时一般为DMZ内主机)的安全性就会高很多,内网管理人员也不必时时密切关注网络漏洞(这是 个工作量很大,既耗费体力又容易出现遗漏的工作)。这样大部分工作留给防火墙厂家来做(相应需要有一个漏洞监测体系),用户肯定会满意很多。另外,灵活性 一开始也往往不是前期设计所能设计的很完美的,它需要和用户具体实践相配合。另外灵活性也是和具体环境密切结合的,往往需要在不同的用户环境里考虑。
如何构建网络整体安全方案
整体的安全方案分成技术方案、服务方案以及支持方案三部分。
一、技术解决方案
安全产品是网络安全的基石,通过在网络中安装一定的安全设备,能够使得网络的结构更加清晰,安全性得到显著增强;同时能够有效降低安全管理的难度,提高安全管理的有效性。
下面介绍在局域网中增加的安全设备的安装位置以及他们的作用。
1、防火墙
安装位置:局域网与路由器之间;%3Fid%3D1974 上下载Stick,其编译起来并不麻烦,只需查看帮助即可。需要指出的是,绝大多数的IDS都是从Snort得到众多借鉴的,建议用户试用一下 Stick。
2.IDS漏报
和IDS误报相比,漏报其实更危险。采用IDS技术就是为了在发现入侵时给出告警信息。如果入侵者入侵成功而IDS尚未告警,IDS便失去存在的意义。笔者从国外网站上看到一篇文章,它对利用TCP连接特点让 IDS做漏报进行了详细的描述,同时还给出一些实现漏报的办法,给笔者提供了一种新思路: IDS想要防止欺骗,就要尽可能地模仿TCP/IP栈的实现。但是从效率和实现的复杂性考虑,IDS并不能很容易地做到这一点。
这种方法比较适合智能化的IDS,好的IDS一般为了减少误报,会像现在一些高端的防火墙一样基于状态进行判断,而不是根据单个的报文进行判断。这样上面谈到的Stick对这种IDS一般不起作用。但是用户应该注意到,这种简单的IDS只是字符串匹配,一旦匹配成功,即可报警。
5.校园网络顶层设计方案 篇五
信息化顶层设计方案
**学院 2015年1月
目录
一、学校业务战略目标与信息化发展需求...............................4
(一)学校发展总体目标..........................................4
(二)学校信息化需求.........................................4
二、学校发展现状...................................................6
(一)学校业务及系统应用现状....................................6
(二)学校信息资源现状.........................................10
(三)学校信息基础设施现状.....................................12
(四)相关保障机制建设情况.....................................14
三、总体架构......................................................15
四、业务架构......................................错误!未定义书签。
五、数据资源架构..................................................16
(一)媒体资源库...............................................16
(二)文献资源库...............................................17
(三)公共数据库...............................................18
六、应用系统架构..................................................18
(一)教学系统.................................................18
(二)创作系统.................................................21
(三)管理系统.................................................22
(四)内容管理系统.............................................33
(五)网站群建设...............................................33
(六)信息填报系统.............................................34
七、基础设施技术架构..............................................35
(一)应用支撑平台.............................................35
(二)网络基础设施.............................................41
(三)核心机房及综合布线.......................................42
(四)云平台...................................................43
八、标准政策体系..................................................46
(一)网络与信息安全规范.......................................46
(二)数据标准规范.............................................46
(三)管理制度及管理规范.......................................47
九、顶层设计实施方案..............................................47
(一)目标架构实现路径.........................................47
(二)项目设计.................................................49
(三)配套实施策略.............................................49
**学院信息化顶层设计方案
为贯彻落实《智慧行动纲要》,推动我校信息化工作科学发展,根据市经信委《市经济和信息化委员会关于开展“智慧”顶层设计的通知》(京经信委发[2012]21号)文件精神和市教委做好教育系统教育信息化顶层设计的工作要求,根据教育部《教育信息化十年发展规划(2011-2020年)》和《市“十二五”时期教育改革和发展规划》,按照“智慧”顶层设计总体要求,围绕学校发展目标制定本顶层设计方案。
一、学校业务战略目标与信息化发展需求
(一)学校发展总体目标
(二)学校信息化需求
根据学校的整体发展目标与思路,结合信息化工作特点,提炼出如下信息化需求:
业务流程梳理与业务需求整理
从我校特色教育环境出发,以教育部教育服务与监管业务顶层设计为指导,对各部门进行调研,梳理出部门内部流程及跨部门流程,并进行规范化的描述,特别是要对全域信息流以及主要业务的信息流进行全面分析,形成全域业务模型,为业务流程优化提供参考依据。具体调研与归纳结果见附表。
信息系统模型建立
根据业务模型,建立能够支撑业务运转的信息系统模型,包括数据资源模型、应用系统模型,为建立较完备的基础信息数据库以及覆盖教育质量、学生流动、资源配置和毕业生就业状况等等各类监测分析系统的统一信息化支撑平台提供指导。
根据所梳理的各部门业务流程与需求,以及学校的整体定位,将信息系统分为教学、创作和管理三大类。
促进业务流程优化与服务整合
以教育服务的最终用户需求为中心进行服务整合,对相关业务流程进行优化,形成全局畅通的信息流,促进教育服务与监管体系的管理水平、管理效率与服务质量的提高。
设计统一的技术架构,规划统一的基础保障环境
智慧校园信息化建设需要有统一的技术架构为指导,需要有统一的基础保障环境为支撑,这是建成数据集中、应用集成、基础设施整合、标准规范、安全高效的教育服务与监管体系信息化支撑平台的技术基础,顶层设计要为项目设计统一的数据架构、应用架构、软件架构、安全架构和基础保障环境;
设计支持可持续发展的管理模式与建设运行机制
信息化建设一直是“三分技术、七分管理”,设计一套良好的教育信息化工作机构、管理模式和建设运行机制,才能确保总体规划与顶层设计的落实与实施,才能保障教育信息化平台的良好运转与可持续发展。
二、学校发展现状
(一)学校业务及系统应用现状 1.教务管理系统
**学院建立由湖南青果提供的本科教学管理信息化系统,已基本建成覆盖本科教学的信息化管理平台。2.研究生教务管理系统
**学院自2007年就开始了建立研究生教务管理系统,实现了研究生学籍管理和成绩管理。3.继续教育学院教务管理系统
**学院继续教育学院现有自主开发的教务管理系统,完成了继续教育学院学生的学籍管理、选课管理、成绩管理等教学管理任务。但由于缺乏校园统一支撑平台的支持,系统中的师资信息、课程信息无法实现和学校人事系统、教务系统、研究生教务系统中的信息共享,存在诸多管理不便。后期建设需要进行统一规划,与学校教务系统实现统一管理或数据共享。4.学生工作管理系统
**学院建设了清元优软的学生工作管理系统,由学生处负责系统运行维护。目前实现了全校学生的奖、助、贷学金管理,贫困生管理,勤工助学,减免学费,综合测评管理生社区管理,学生保险,思想教育管理,心理咨询管理等。为学校学生工作管理提供了可靠的信息化手段。
5.招生管理系统
现有招生报名管理信息系统主要包括“招生报名系统”和“招生管理信息系统”两部分建设内容。考生通过**学院官网上的统一入口,进入招生报名系统工作界面。考生网上提交的填报信息作为基础数据,适时进入“招生管理信息系统”。招生管理信息系统提供网上报名管理、考试管理、成绩管理、各省招办信息管理、考生历史库管理、学院管理、领导决策管理和系统维护等多项内容。6.人事招聘管理系统
**学院初步实现了人事网上招聘管理。目前该系统由人事处负责运行维护。在数字校园后期规划中将实现完整的人事管理系统,包含机构编制、人事档案、岗位竞聘、职称评定、工作业绩、岗绩考评、工作考勤、劳资福利、系统管理等功能。7.邮件系统
**学院的邮件系统购买使用亿邮公司的亿邮电子邮件系统,目前该系统由学院的网络中心负责运行维护,该系统的硬件 是IBM服务器,软件为亿邮公司的亿邮软件。现用邮件系统使用中存在问题,如邮件中附件空间不够,邮件自身空间太小,无法过滤垃圾邮件等问题,影响日常办公收发邮件的最基本需求,需要对邮件系统进行改造。8.校园一卡通系统
在2008年,学院开始了学院一卡通系统建设,相关业务系统包括:一卡通专网、一卡通平台、综合业务管理系统、自助服务系统、校内消费系统、自助注册系统、自助打印/复印、图书馆系统接入、门禁管理系统、停车管理等。一卡通建设实现了“身份识别”、“校内
消费”、“校务管理”的建设目标。在一卡通建设过程中,我们搜集整理各类教职员工和学生的档案资料,进行归纳整理,建成了完备的一卡通人员档案库。9.网络教学平台
学院的网络教学平台购买使用赛尔毕博公司的BlackBoard教育软件,目前该系统由学院的网络中心负责运行维护,硬件是HP服务器,软件使用的是BlackBoard教育软件。该系统的主要是为院内部分课程提供网络辅助教学功能,包括网络点播课程等。10.图书管理系统
学校图书馆现有金盘图书管理系统,实现了对图书资源的编目,但是由于图书资源众多,对于馆藏人员图书借阅、图书的维护工作量巨大;由于各院系中也有图书资源,这些资源现通过人工记录方式进行管理借阅,无法实现各院系之间的图书共享,管理维护人员也无法对院系中的图书进行及时的清点,维护工作量较大。需要对图书管理系统进行升级,满足学校中各院系间与图书馆的图书经过统一平台进行借阅,实现共享;对于现有图书管理方式进行升级,方便维护。11.移动图书馆
**学院现有超星移动图书馆,作为图书馆的专业移动阅读平台,学校师生用户可在手机、pad等移动设备上自助完成个人借阅查询、馆藏查阅、图书馆最新咨询浏览,同时拥有大量的电子图书,海量报纸文章以及中外文献元数据供用户自由选择,为师生用户提供方便快捷的移动阅读服务。
12.资产管理系统
**学院目前采用市教委统一下下发的资产管理系统。系统实现了全校固定资产的在线登记和管理,主要包含资产信息管理、资产验收登记、资产库存管理、资产调剂管理、资产盘点、资产动态查询等功能。13.监控系统
**学院目前监控系统已经建设两期,对于学校保卫处原有模拟监控与数字监控已经整合;但是各院系自建监控系统中,各品牌不统一,无法进行统一的监控管理,需要对其进行整合。此外,由于目前学校在建图书馆明年竣工,需要对新建图书馆进行视频监控系统的建设;学校在安防系统建设中,只建设了视频监控系统,安防系统存在较大漏洞,需要完善,建设周边报警及电子巡更系统进而加强学校安防建设。14.门禁系统
**学院现各教学楼已建设门禁系统,对于部分区域还没有建设,需要进一步完善门禁系统;各院系建设的门禁系统不统一,门禁系统无法进行统一的管理,对于师生造成不便,需要对其进行改造;
另由于新建图书馆明年完工,随着学校对于新建图书馆的安全性、先进性和稳定性的要求,需要对新建图书馆进行门禁系统建设,并与原有门禁系统进行整合,实现统一维护管理。15.视频点播系统
学院的视频点播系统购买使用鼎点公司的鼎点天源影视点播系
统,目前该系统由学院的网络中心负责运行维护,硬件是HP服务器,软件使用鼎点天源影视点播软件。16.Web内容管理系统
学院Web内容管理系统目前由学院党委宣传部负责运行维护,此系统硬件设备使用的是Dell服务器,软件使用的是北大方正公司网站内容管理软件。17.学校英文网站
**学院英文网站,面向留学生及国外访问用户提供招生信息发布、校园新闻公告发布、校园活动信息、校园文化建设展示及其它对外宣传内容,是学院对外交流的重要门户。
(二)学校信息资源现状 1)学校信息资源体系
学校的信息资源目前大致可以分为9类:
人事信息资源。包括:学校在职职工、离退休职工及多种用人机制聘用人员的个人信息等。该类资源目前没有在系统中用统一的数据库进行管理。
财务信息资源。包括:学校历年财务运营状况等。该数据资源目前由学院使用的市财政专网在线进行数据管理。
校产信息资源。包括:学校房屋、设备、办公家具、图书等资源。该类数据资源也是使用市教委专管的网站进行在线管理。 教学信息资源。包括:学校的招生、学籍管理、教学计划、选
课、排课、考勤考绩、教材、课件素材、知识素材管理、教学课件等。该类资源目前在学院的教学管理系统进行管理。
科研信息资源。包括:科研机构及队伍建设、科研项目、成果、经费及管理等所产生的数据。该类资源目前没有在系统中用统一的数据库进行管理。
记载学校历年管理活动的公文及批文资源等。该类资源目前没有在系统中用统一的数据库进行管理。
建立基于校园网环境的法规、校规资源库。该类资源目前没有在系统中用统一的数据库进行管理。
建立基于校园网环境的数字图书馆及各种文献、论文库等。目前由学院的图书馆资源库进行管理。
建立基于校园网环境的声像资源库等。目前由学院的数据库存放管理。
以上各类资源都需要分门别类进行梳理,还没有实现完全共享。2)学校与外部信息资源的关系
目前,学校与外部的信息资源交互主要是通过网站在线填报的方式进行。学院的财务方面的数据由学院的财务处通过市教委的专网进行数据交互,国有资产办公室的资产管理数据通过市教委的资产管理的专网进行数据交互。科研管理中,有很多涉及到项目申报的基础数据是由各个科研项目申报管理的归口部门进行管理的,也是由那个归口管理部门进行网站在线填报的,其它的数据都是在院内的对应业务部门的系统中存放管理。
(三)学校信息基础设施现状 1)应用支撑平台应用现状。1.基础软件
操作系统层:Windows Server 系列;Linux 系统;中间件:WebLogic、Tomcat、SPSS 系统、SASS 系统;数据库:Oracle、SQL Server、Mysql;安全软件:卡巴斯基、赛门铁克数据备份软件;办公软件:Windows、Office 系列、WPS 系列、方正排版;以上系统已经基本实现正版化。
2.统一用户认证授权中心 对第三方应用进行授权和管理
建立办公平台对第三方应用进行认证与授权的机制。处室管理员能够在认证授权中心提交增加第三方应用的申请,申请内容包括:系统名称、系统 用途、使用类别(长期、短期)等,平台管理员在接收到申请后进行是否接入办公平台的处理,一旦同意接入,申请人或其他指定人员将作为该业务系统的管理员。
按模块分用户进行用户授权的功能
通过建立分模块、分目标用户的管理机制,实现对第三方应用系统内角 色和功能的授权,主要包括两方面:一是对某接入的第三方系统进行特定管理员的授权管理功能,即某受限管理员只能查看和(或)操作某模块的授权管理功能;二是实现针对某目标管理员的用户授权管理功能,即某受限管理 员只能管理指定用户的权限和基本信息。
2)学校网络基础设施使用现状。中央机房建设工程
网络中心开始建设中央机房工程,项目涉及装修工程、电气系统、防雷及接地系统、通风系统(包括:空调、新风、排烟等)、安防系统(包括:图像监控系统、门禁系统等)、环境监控系统(包括温湿度、配电、UPS、空调、新风机及漏水报警检测等)、设备(包括:多联机空调、UPS不间断电源、机房精密空调等)、消防系统等。新建成的中央机房满足计算机等各种电子设备对温度、湿度、洁净度、安全环保、防水、防火、电源冗余和接地等要求,为校园网的稳定运行提供了一个科学的运行操作条件环境。
校园网骨干网改造
网络中心正在进行校园网骨干网改造项目,通过本项目构建双核心星型网路,并且按照核心-汇聚-接入三层架构优化网络;实现多路由出口,合理分摊出口流量;通过内外网隔离、入侵检测、VPN等技术增强校园网的安全防范能力
随着**学院校园网的逐步建立,学校的数字化发展,各种信息化的系统的使用,和各院系的数字资源的存档需求,我校逐步建立起数据中心,但是由于我校信息化发展过程中没有数据中心的统一规划和基础设施的建设落后,数据中心在各院系的发展中逐步建立,造成目前我校的数据中心位于各个院系,并且我校的网络基础设施发展滞后,各院系互联互通存在故障,带宽不够,链路不稳定可靠,导致院系之间资源互访存在问题。数据中心的不统一,直接导致我校各院系
的各种设备琳琅满目,并且无法进行统一的集中管理,资源共享也无法实现,维护成本较大,维护人员不够,水平层次不齐,故障处理不够及时,导致业务系统的无法及时恢复,对于教学发展也造成重大影响。
(四)相关保障机制建设情况 1.组织领导保障体系
成立**学院信息化建设领导小组,领导小组由校书记担任组长,主管副校长担任副组长。领导小组下设信息化建设领导小组办公室(以下简称信息办,设在校科研及信息化处),负责信息化建设领导小组的日常工作。领导小组下设信息化建设专家组(以下简称专家组),由领导小组组织校内外有关方面专家组成。为信息化建设的各项工作及决策提供咨询和建议。
2.建立健全项目制度保障
加强教育信息化管理制度与标准的建设与实施。根据国家及行业有关信息化法规和标准,进一步规范与落实信息化建设项目管理、设备管理、运维服务、信息安全管理等管理制度。不断完善与推进实施《**学院教育信息化管理信息标准》。编制教育信息化计划和重点项目设计方案。
3.资金投入保障
信息化项目主要通过国家财政拨款、企业赞助等渠道,筹集学院信息化建设与运营资金。建立可持续的教育信息化建设与运维经费来源机制,合理配比硬件、软件、运维服务、人力资源提升四个方面投
入,提高投入产出效益。
4.技术保障体系建设
**学院信息化建设是一个需要不断升级、维护、对使用人员培训的技术含量很高的复杂系统,因此要建立健全信息技术保障体系。要建立一支懂业务、熟悉信息技术的队伍。加大对信息技术管理服务部门建设力度,增加技术岗和管理岗位职数,建立一支专职、兼职、多种编制类型的信息化技术支持服务队伍。在各学院及行政部门设置1至2名兼职技术人员。完善现有专职信息化运维队伍的专业结构,优化计算机技术、网络通信技术、软件应用开发技术、数字媒体应用与管理等不同专业背景人员配置。
5.贯彻法律法规,确保信息安全
严格贯彻国家有关信息化建设的法律、法规与条例,并制定信息化建设相关的流程和必要的规章制度。信息安全责任落实到人。建立健全网络信息服务运行管理服务体系,保证网络信息安全运行。
三、总体架构
**学院校园信息化发展的总体逻辑架构。分为五个层次,两个体系。五个层次分别是指基础设施层、资源层、支撑平台层、业务应用层及综合服务展现层。其中,基础设施建设包括学院的基础网络建设、用以保障整体架构的上层业务平台的正常运行。资源层包括全校媒体资源管理共享及教务、学工、财务、科研、资产等应用系统相关数据,通过共享数据中心实现数据统一存储、访问及使用。支撑平台层主要用于能够使用与全院的基础数据库平台的构建和相关服务,在这个层
次,要根据全院的整体需求做数据的整合和业务的协同,具体包括信息门户支撑平台、统一身份认证平台、数据交换平台、决策支持平台、统一支付平台、统一消息平台。在业务应用系统层,主要是根据各学院教学及行政业务部门的不同需要,建设既能够适应各部门业务需求又能够完成数据共享和协同工作的软件应用系统,具体分为教学应用系统、科学创作系统、常规管理系统三类应用。综合服务展现层通过统一信息门户及移动校园门户,使学生、教师、职能人员、校领导及社会公众人员可以通过移动终端、PC等多种方式访问信息化中心平台,实现管理、学习、科研、公共服务统一访问,达到实时展示和交互沟通效果。
两个支撑体系是指学院将建立统一的政策法规与信息标准体系信息安全与运行维护体系,为建设智慧校园提供相关保障,实现规范化管理,保障信息化建设顺利进行。
四、数据资源架构
(一)媒体资源库
本次建设媒体资源库系统架构如下:
(二)文献资源库
图书馆的电子文献资源是高等学校教学、科研的重要组成部分,同时也是目前高校图书馆服务工作中的重要内容之一。电子文献资源的简单表述就是图书馆利用计算机和网络技术能够为读者提供的信息资源。其中包括了电子期刊、电子图书、光盘数据库、联机数据库、网络数据库以及Internet信息资源等多种形式。我校图书馆已建设较为齐全的电子文献资源库,为教学、科研提供良好的文献资源环境,开阔了师生的视野。
文献资源概括地讲有3种类型:国际互联网资源、电子出版物、各馆自建的数据库。国际互联网资源因其开放性,资源非常丰富;电子出版物常见的有全文数据库、电子期刊、电子图书、电子报纸、软件等;各馆自建的数据库是图书馆根据读者需求,利用馆藏文献而建立的数据库,如馆藏书目数据库、学位论文数据库、地方文献数据库等。
(三)公共数据库
公共数据库采用Oracle 11g Enterprise,并采用Oracle Real Application Clusters(RAC)保障系统的高可用性及可按需扩展。
根据对应用系统及相关数据分析,建立以下数据库:学院基本情况数据库、学生信息数据库、研究生信息数据库、留学生信息数据库、教职工信息数据库、教务信息数据库、科研信息数据库、体育卫生信息数据库、办公管理信息数据库、房产与设施信息数据库、仪器设备与实验室管理信息数据库、图书管理数据库、一卡通数据库、教学资源数据库、代码数据库。
五、应用系统架构
(一)教学系统 4)教学编辑机房
采用新一代“CPU+GPU”加速技术,满足影视创作中剪辑,三维,合成,特效,调色,立体应用的需要,全功能的后期制作系统使您能够从容处理从DV到HDV,从标清到高清,甚至2K,3D。
5)高清录播教室
录播教室由多个子系统组成,包括常规多媒体教室子系统(如讲台、中控、展台、笔记本、投影机等);外部环境(灯光系统、吸音处理)子系统;录播子系统等;
其中录播系统通常由教室场景图像采集、声音采集、VGA采集、图像自动跟踪、图像控制切换、信号数字化处理、记录、直播、扩声等单元组成一套完整的录播系统。其过程是通过图像、声音、电脑VGA信号的采集,把捕捉到的信号进行数字化处理,然后进行记录、网络实时直播、B/S架构点播和现场扩声。
6)大讲堂精品录播
系统配置本方案系统由三台高清摄像机,1台高清切换台,1台视频监视器,1台高清录制机及2块64G存储卡,1套主持人提词器,调音台和导播通话,主持人无线手持机桌面话筒,监听音箱,一体化虚拟演播室设备,1套高清非线编辑系统及灯光、蓝箱装修等部分组成。方案的实施涉及设备选型、安装调试、布线等复杂工艺,是一项技术含量较高的集成项目。
7)考试录制系统
根据学校招生的需求,招生面试画面需要进行拍摄并存储,以方便师生查阅。系统配置高清摄像机和存储卡进行考试视频的拍摄及存储。
8)多媒体教学系统
多媒体教室内配置高清投影机加幕布,5.1声道扩声系统,及可视化网络综合信息管理平台,可视化网络综合信息管理软件可远程控制教室中控系统开关、投影机开关,幕布的升降,窗帘的升降,并且可以对其他设备进行操作,包括线路音量,话筒音量,以及讲台的电
控锁等。可远程集中监视各教室设备运行状态,以图形画面实时直观地显示教室内各个设备的状态;课表联动控制功能:总控软件内置课表排课管理软件,每学期只需要根据教务处课表进行排课,就可以自动在指定时间开启指定教室,完成无人值守的全自动管理;总控室可以通过网络远程接管各教室的教学PC,协助老师解决教学过程中遇到的问题。
9)云录播及考试监控系统
云录播及考试监控系统是利用学校现有的校园网络,用较小的投资成本,以现代计算机网络技术为依托,着眼于教研、教学、管理、校园信息通讯的实际需要的一套教学系统。整个系统是精品课程录播系统、电子巡考系统、校园网络监控系统的完美结合,通过网络传输、影像存储等技术手段,突破时间和空间的限制,使得任何人通过网络权限设定都能实时或者事后通过网络观看教学过程。基于数字视音频、网络流媒体、信息识别、人工智能、自动化控制等多项先进技术,具有开放的设计体系、领先的技术架构及较强的灵活性与伸缩性,在国内外同类产品中处于领先地位。该系统具有自动化、智能化、常态化的特点,部署简单、使用便捷,适用于各类学校现代化信息系统建设,为基于网络的应用提供完整的产品系列和整体的解决方案。
10)MOOC平台
根据**学院 “全国领先,世界一流”的战略部署,对于加强与外界的沟通交流,与国际院校的合作显得尤为重要。MOOC平台的搭
建,能够很好的宣传学校的特色及办学理念和能力,实现对知识的高度共享,与外界的充分交流。
11)在线教学平台
传统的教学方式,时间、地点比较固定,可复制性和可移植性比较差,难以适应当下高速发展的互联网需求。同时,**学院很多课程存在大存储的作业提交任务,传统的采用DVD或移动硬盘等媒介提交作业的方式,麻烦且容易造成数据的丢失,给教学带来极大地不便。建设在线教学平台,通过在线网络学习,可以使学生有更多的时间理解课堂的知识。同时,系统包含作业提交模块,方便学生在线提交作业,老师在线批复作业。极大地提高学校的教学办公效率。
12)论文提交检索系统
学校目前的论文提交,只是做到了在线提交和收集论文,没有针对论文的在线修改及反馈。随着时间推移,论文的数量越来越多,论文的检索与查询越来越困难,使得学校的很多宝贵的资源不能有效的共享。建设论文提交检索系统,方便学生在线提价论文,教师在线反馈意见,并且会保存整个论文在线修改的全过程文档,方便以后查询和检索。
13)远程视频教学系统
随着**学院院区和各单位之间沟通频率的增加,沟通的效率已
经严重影响内部办公效率,同时北影也对教育系统快速及时响应提出了更高的要求。高清晰、高交互性的新型视频会议系统有助于提高沟通与互动效率,节省沟通成本,降低管理费用。为了解决日益突出的沟通问题,需新建一套内部视频会议系统,需要支持1080P的极致高清视频、纯音同步、高保真音频等特色功能。
14)移动教务系统
学校的教务系统是学校重要的应用系统,传统的PC端登录及操作,很难满足老师的使用要求。同时,建设支持手机及平板等移动手持终端(包括Android和IOS系统)也符合当下移动互联网的发展需求。学校移动教务系统不但实现了管理的信息化,充分结合教务系统的工作流程,使信息的传递更加有实效性,使学院在激烈的竞争中快速实现知识共享和移动办公。同时又为在校师生以及家长提供了随时随地沟通的通道。为教师提供了在线考试评分等常见的快捷操作,提升办公效率。
15)继教管理系统
继教管理系统主要是采用现代网络教育的方法,以计算机和通信技术为基础,基于Internet,使继续教育学院以及各教学中心都拥有一套专人专用的教学教务管理信息系统。这样可方便、经济、高效的通过在线学习的手段综合管理招生、财务、教学和教务等日程工作事务,实现继续教育的规模化和管理工作的规范化。
(三)管理系统
1)人事管理系统
人事管理系统结合学校实际人事管理现状,以学校师资资源的优化配置为核心,建立人才动态管理为基础的人力资源管理体系。为用户提供全流程化的人事管理、全面的人力资本分析管理,为学校降低管理成本、优化人力资源配置、提高自身竞争力、促进发展提供决策与支持。
人事管理系统主要包人事基本档案管理、人事合同管理、人事变动管理、考勤管理、考核奖惩管理、职称评审、业务管理、消息管理、综合查询、统计分析报表、系统管理等功能模块。
2)科研管理系统
随着科技的日益发展,高校的科研活动和科研能力成为反映高校综合实力指标的比重不断加大,而通过信息化的手段对日常科研工作进行管理,整合科研工作流程,为决策层提供真实有效的依据,是提升科研管理水平的有效途径,也是当今高校科研管理的大势所趋。通过科研管理信息化平台,可以实现科研工作的网络化管理,形成一个及时更新的科研数据中心和科研管理沟通平台,全面、实时、准确提供学校的有关科研信息,为学校领导有关科研决策提供辅助支持,为学校教师开展科研活动提供方便快捷的服务,为科研管理人员开展工作提供极大的便利。
3)后勤管理系统
后勤服务管理系统针对学校后勤工作中的各项管理工作提供信
息化支持,包括车辆管理系统、公寓管理、报修管理。后勤管理系统为教职工提供在线约车服务,为学生提供宿舍分配服务,为全校师生提供报修服务。
4)项目管理系统
项目管理系统建设实现项目管理的数字化,规范项目管理业务流程,从而避免了以往一些工作因手工操作所带来的随机性大,流程不易规范化的缺点。简化了申报部门提交材料和审核的操作,对申报过程材料有很好的存档,方便审批过程中查阅,同时系统自动以短信、邮件方式通知项目负责人,很大程度上提高了工作效率。
5)档案管理系统
档案管理系统是遵循国家档案标准,集档案的收集、整理、保管、鉴定、统计和提供利用的活动为一体的系统。档案管理系统提供了强大的检索功能,丰富的多媒体档案管理,完善的统计功能以及标准的数据交换接口,全面适应学校的档案管理建设。
档案管理系统主要包含全文管理与全文检索、多媒体档案管理、档案信息统计、档案借阅管理、系统管理等功能模块。
6)学生档案管理系统
学生档案管理系统通过信息化手段实现学生在校期间的档案材料管理,为学生档案建立索引,提高档案检索效率,并提供纸质档案和电子档案的对应管理。包含建档、入档、调入调出、借阅、交寄等
功能。学生档案管理系统为学工处档案管理人员提供档案的管理、查询、统计服务。为学生提供档案调入调出、借阅、交寄等服务。
7)户籍管理系统
高校户籍信息的登记、查询、统计、填写报表等是一系列繁琐的工作,每年学校入学和毕业学生人数的增多以及在集体户口的教职工人数的增加,其户籍信息的管理都需要耗费许多人力和物力,而且人工管理由于诸多因素的影响,易产生歧义或无法辨别,给户籍管理带来困难。户籍管理系统实现户籍信息电子化管理,并根据权限实现户籍信息的录入、编辑、多条件统计与查询、报表打印、系统维护、网络安全设置等功能。
8)电子期刊系统
目前**学系的期刊都是纸质发行的期刊,期刊内容的收集、审核、发行都很不方便,且不利于期刊的阅读和宣传,无法很好展现**学系的科研创作成果。本次系统建设不仅要把原有期刊进行电子化重新制作,而且要实现整个期刊发行过程的电子化工作。期刊电子化系统以校园网及互联网为基础,实现电子期刊制作发行流程的全部电子化管理,包括网上稿件提交、专家在线稿件审核、稿件编辑及校对、电子期刊制作、电子期刊发行等工作。
9)提案管理系统
提案管理系统用于在教职工代表大会召开之前,向教代会正式代
表征集提案。代表在提案时做到一事一案。提案管理委员会及工会领导等相关职能人员可对提案进行审批。实现提案的网上提交、审核立案、查询、统计等功能,更好发挥工会在党的群众路线建设中的作用,及时解决全校教职工的工作生活诉求。
10)门禁系统
门禁管理是现代安全防范系统的重要组成部分,随着我校对门禁系统的安全性、先进性和稳定性要求的提高,迫切需要完善我校的门禁系统,我校目前的门禁系统部署不完善,需进一步完善我校的门禁系统,对于我校各个房间进行门禁控制。最终实现一张感应卡可以代替所有的大门钥匙,且具有不同的通过权限,授权持卡进入其职责范围内可以进入的门。所有的进出情况在电脑里都有记录,便于针对具体事情的发生时间进行查询,落实责任。门禁系统建设包含新建图书馆门禁及全校门禁系统。
11)图书馆RFID借阅系统
通过RFID中间件为媒介实现RFID技术和图书管理方法的有机结合,为图书馆的管理提供了十分有效的技术手段,可识别、追踪、和保护图书馆的所有资料,通过RFID系统实现图书借还、顺架、查找、馆藏盘点等功能,有效地提高了图书管理的效率、简化了图书管理的流程、降低了图书管理人员的劳动强度并在为读者提供更加便利快捷的图书借还书、查询等服务的同时做到对读者信息和借阅图书的双重记录,RFID智能技术的使用可以有效的防止和杜绝各种人为失误所
造成的图书漏借、遗失等情况。
12)图书管理系统
现在是信息高速发展的年代,每时每刻都会有新的产品、新的事物孕育而生。为了适应现代信息高速发展,方便图书馆传统繁琐管理及方便读者。拥有一套先进的管理系统设备不雅于如虎添翼,使图书馆的自动化管理跨上了新的台阶。
13)校园安防监控平台
学校安全技术防范以保障学生和教职员工的人身安全为重点。为了进一步加强对学校图书馆的安全防护,本次建设监控系统分为前端采集、图像传输、图像存储、图像显示、图像控制六个部分设计。
14)学生考勤系统
该项目针对活动考勤情况的运行状态进行分析和总结利用网络技术代替人工记录学生出勤情况,减少了考勤人员在人力物力方面的开资,并方便使用者和学生随时查看,体现了学生考勤的公平性与公开性。使用者为学校学生考勤管理中心工作人员,如各班班主任,各任课教师、各学院辅导员、各学院领导、各位学生本人及部分学校领导。
该考勤系统联入本校内部局域网,与其他与学生管理系统相关的系统联系,统一管理学生的考勤状况,使学校整体协调性更高;此外,各学院和各部门也可以通过共享系统信息,以更好地提高管理效果,为学校的教学活动带来更多的方便。
15)邮件系统
邮件系统设计为包含:MTA、Webmail、POP、Admin、MD、UD及MS等系统功能模块,共同完成邮件的分捡、存储、发送等工作。MTA、Webmail、POP、Admin四个模块主要与用户交互,实现邮件系统的各种功能,是邮件系统的前端模块;而MD、UD、MS三个模块主要实现前端功能模块与数据库之间的通信,作为邮件系统的后端模块。
16)物联网管理系统
学校目前由于人员、设备的增多,出现了管理维护工作繁重、能源浪费的现象,虽然在管理制度上做了一定的要求,但收效并不显著。因此希望能通过信息化手段实现学校设备(灯光、空调、多媒体等用电设备)的集中控制和自动化控制;并通过能耗统计分析,实现能源的最优化利用。不仅为学校后期改造提供决策依据,同时通过节能减排,实现长期的环境效益、社会效益和经济效益。利用信息化手段实现绿色校园、平安校园、数字校园的整体目标。
17)OA系统
学院目前的公文基本是纸质的文档流转,办公效率比较低,办公场所局限性比较大,公文的线上流转及电子签章管理的实现迫在眉睫。OA系统旨在为学院建立起一种开放的、网络化的、高效的办公与教学新环境,以一套完善的支持群体协作、流程控制、信息查询及
管理功能的应用软件,为学院内部管理和外部交流提供基本信息的传递、处理渠道。办公自动化系统面向日常办公和管理,帮助学院理顺内部流程,实现校内各单位内部信息共享、沟通和协同办公,提高工作效率。
18)舆情监控系统
整合互联网信息采集技术及信息智能处理技术通过对互联网海量信息自动抓取、自动分类聚类、主题检测、专题聚焦,实现学校的网络舆情监测和新闻专题追踪等信息需求,形成简报、报告、图表等分析结果,为学校领导全面掌握群众思想动态,做出正确舆论引导,提供分析依据。
19)留学生管理系统(含留学生校友)
目前的留学生及留学生校友管理缺乏有效快捷的管理手段,通过完善优化信息系统和业务流程,对留学生活动通过系统进行有效的控制与监督,为管理决策起到辅助作用。通过该系统将学生进校之前的招生计划的制定、招生录入、入学、教育培养、毕业、校友等融合成一体。并针对留学生学历申请学位招生培养方式,根据教育部和本校相关管理规定,进行不同体制的培养管理。
20)离校管理系统
学校目前的离校业务办理,采用转单的形式。效率不高,且各部门的信息不能有效的共享,使得离校各业务办理环节不能连续,容易造成未修满学分等学生毕业。建立离校管理系统可以让学生的很多离校流程在网上办理,尽量减少学生等待几排队的时间,让大多数学生不需要经过业务人员手工确认就可以办理其他手续。让领导可以方便快捷的查看和跟踪离校过程、实现数字化离校。
21)党建管理系统
目前学校没有针对党群服务的系统,党组织组织党员活动、开会等活动的记事都是靠用人工记录的方式,通知公告等的传达采用口头传述或在相关区域张贴告示等方式,效率比较低且管理、查找资料比较麻烦。建设专门针对党组织管理的党建管理系统,可以有效的提高工作效率,能完整的记录并保存党群建设的所有过程,同时可以形成个人从积极分子到党员的全过程文档记录及考察记录。方便对党员队伍的管理。
22)招生面试系统
目前学院缺乏统一的招生面试管理系统,没有针对学院表演等特殊的招生面试管理。特别的针对艺术类招生面试需要高清的数据采集,现场单独采集照片影响了整个招生流程的效率。建立统一的招生面试管理系统,有助于学院协调各类资源,现场的高清相片自动采集及考场的随机分配,确保了招生的效率及透明性。
23)校园仿真系统
随着信息化管理水平的提高,各行各业运用可视化管理手段能
够实现更加直观高效的信息管理。校园仿真系统旨在为学校建设一套逼真的校园三维模型,便于学校师生对校园信息进行浏览查询,辅助学校招生、形象展示和建设规划;学校可利用校园三维模型制定应急预案,进行应急预案演练,在突发事件发生时进行应急指挥;校园三维模型直观地展现校园地下管线的情况,辅助学校进行地下管线管理和动土施工作业。
24)校友管理系统
在信息飞速发展的今天,校友与学校之间以及校友与校友之间仍然主要通过普通信件、邮件或电话进行联系的方式已经落后,消息不能及时共享,资源不能有效利用。通过校友管理系统的建设,进一步加强校友与学校以及校友自身之间的联系。为校友对母校的献计献策、捐赠等提供平台,同时加强校友之间的相互交流。
25)理事会管理系统
通过该平台对外发布审议通过的理事会章程、章程修订案;理事的增补或者退出信息;就**学院的发展目标、战略规划、学科建设、专业设置、预决算报告、重大改革举措、学校章程拟定或修订等重大问题的决策审议方案;传阅审议学校开展社会合作、校企合作、协同创新的整体方案及重要协议等;研究、审议学校面向社会筹措资金、整合资源的目标、方式、途径等,监督筹措资金的使用;评议学校办学质量,就学校办学特色与质量进行评估,提出建议。
26)基金会管理系统
目前学院对于校友捐赠的物品及基金没有一套较为完整及公开的管理方式,人工统计及管理的成本比较大。通过基金会的建立,可以很好的管理相关的物品及基金,并记录基金的使用情况,方便查询。
27)大屏幕信息发布系统
近年来随着学校教育信息化的发展,以及校人才与社会快速接轨的现实需求,大量的校园资讯与社会信息需要健康、规范、严谨、高效地从信息平台传递到学校学生,需要采用现代化的网络信息发布平台来进行分类、编辑、管理、发布;单纯依靠传统的网站宣传以及校园张贴画的方式已经远远不能满足信息及时传递和分区域分内容管理的需求,大屏信息发布系统在学校校园教学楼、图书馆、体育馆等场所的应用、课室门口班牌应用展示应用,为学校的信息显示、信息交流、触摸互动提供了一个完整的展示平台,符合现代化的校园建设需求和氛围,创造了校园有效的与社会体系相结合的环境,同时也是学校数字化、信息化发展的必然趋势。
28)IT运维系统
随着学校网络及数据中心规模的不断扩大,随着数字信息化建设的深入推进,信息系统的规模不断扩大,业务对网络系统的依赖性越来越大,同时网络系统日趋复杂、系统维护要求越来越高。传统的故障“来电响应式”的IT运维模式因维护成本高、响应模式被
动,局限性已显露无余。而单项的网络管理软件往往因为只能做到“头痛治头、脚痛治脚”而导致管理上的分割。现有的运维管理体系已经不能满足日益发展、日见复杂的信息平台,信息平台的运维管理已经成为数字信息化可持续发展的瓶颈。IT内部业务流程优化的空间还很大,但缺乏有效的工具支持。
为从整体上提高网络中各资产间的运行合协性、安全性和资源共享性,从而发挥信息化建设的最大效益,同时考虑到适应未来更加复杂多变的信息网络,有必要构建一个一套全面的、科学的IT运维管理体系,通过IT运维管理平台的自动化的监测和运维管理体系辅助信息化管理人员对全网网络资源进行高效的运维。
(四)内容管理系统
内容管理系统基于J2EE平台的高校级门户网站建设和运营系统,提供全周期的网站内容管理。网站内容管理系统利用先进的门户(Portal)服务、全文检索、Web服务等技术,基于内容和表示分离的设计理念,使用户能够快速、高效地建立、部署并维护高度动态化的Internet、校园内部及校园外部网站。
(五)网站群建设
门户网站群平台不仅仅可以实现多个门户网站的建设,也能够成为学校外网的资源整合平台。随着应用需求的不断增加,能够基于平台并针对高校特征,扩展一系列的应用,如校友、招生、就业等,也能够与学校已有或将要建设的各类应用系统集成。要能够与学校数字
化校园的规划相一致。如统一身份认证集成、界面集成及数据信息的交换。网站群架构如下:
(六)信息填报系统
目前学校主要职能部门面向全校师生发布的各类申请和填表表格,超过100张。这些表格目前分散在在各个部门的网站上,提供word或者excel格式的下载。师生对于各类申请表格的下载位置、填写要求很难全面了解,带来很多不便。同时各类申请表格中很多基本信息,如教职工号/学号、姓名、性别、出生日期等每次都需要重复填写,填写不方便且容易出错。
在公共数据库平台的基础上,通过在门户建立相应的信息填报系统,实现教职工的教学、科研等相关信息在权限管理下的表格在线填报,自动填充,一次填报,储存共享。
六、基础设施技术架构
(一)应用支撑平台 1)公共数据库平台
公共数据库平台保证全校信息的统一和一致;保证任何两个异构业务系统之间的数据共享;保证任何两个业务系统之间没有冗余业务数据;保证遵循“谁产生、谁维护”的原则,所有的数据都有特定的产生者和维护者;保证系统中数据的准确性和可跟踪性;系统提供安全审计功能,保证对业务操作的严格监督;保证任何业务系统的添加和修改不影响其它业务系统的正常运行;保证可以提供为整个学校综合查询和决策支持所需的数据信息,为学校的将来决策支持系统积累分析数据。系统架构如下:
信息化校园数据架构代码标准查询教师数字档案教师填表服务信息标准管理更多应用学生数字档案学生个人简历更多应用更多应用资产查询基础数据查询和统计分析系统基础数据查询基础数据管理校友主题分析餐饮消费分析师资现状分析资产利用分析学生成绩分析更多分析主题校友管理系统综合业务数据库校园门户代码标准数据库个人信息综合服务全局数据库历史数据库(仅作为历史数据的备份,上层不建应用)数据仓库数据集1数据集2数据集3数据交换平台(只做数据交换,不基于此库建上层应用)更多系统...教师人事管理科研管理组织管理研究生招生选课研究生管理本科生招生选课教务管理资产资产管理学工学工系统就业离校财务财务核算财务报账财务查询实验室管理 2)统一身份认证平台
建设以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系,将组织信息、用户信息统一存储,进行分级授权和集中身份认证,规范应用系统的用户认证方式。提高应用系统的安全性和用户使用的方便性,实现全部应用的单点登录。即用户经统一应用门户登录后,从一个功能进入到另一个功能时,系统平台依据用户的角色与权限,完成对用户的一次性身份认证,提供该用户相应的活动“场所”、信息资源和基于其权限的功能模块和工具。在学校工作人员进行了调动、调级、调职等变更后,或者学校体制改革、组织机构变动后,使用户的身份和权限在各系统之间协调同步,减少应用系统的开发和维护成本。系统架构如下:
3)信息门户平台
信息门户平台功能包括:门户支撑框架、门户安全管理、配置管理、应用集成管理等。总体架构如下:
4)统一支付平台
统一支付平台是采用数字化电子化形式进行电子货币数据交换和结算的网络金融业务系统,是校园实现网上支付的基础,系统基于第三方支付网关兼容多家支付网银。统一支付平台是将传统的银行结算支付指令的传递完全依靠面对面的手工处理转变为基于互联网的37
电子资金转账系统,既缩短了学校与银行之间、用户与学校之间支付指令的传递时间与在途资金的占压,同时为学校财务管理部分提供实时可靠的财务数据监控统计。系统架构如下:
5)统一消息平台
统一消息平台是集数据整合、Portal、WAP、手机SIM、WebService、IM、信息安全、计算机通信集成、计算机网络等多项技术于一体,通过全方位信息推送手段,为高校学生和老师提供全方位的信息服务。系统架构如下:
6)决策支持平台
决策支持平台采用成熟可靠的J2EE架构,B/S 结构,兼容 IE、Firefox、Chrome、Safari等主流浏览器。
系统自下而上分为数据层、服务层、展示层三部分。
数据层:是决策支持平台的基础,将手动录入、文本、数据库等多种形式的数据源进行整合,为校情展示提供数据基础。包括各种类型的数据库系统及数据库文件,如关系型数据库(Oracle、DB2、SQL Server等)、Access数据库、Excel文件、txt文件等。
服务层:采集数据层的数据,对数据进行抽取、转换、集成,按照主题进行重组,并装载到数据仓库中。同时针对分析需求对数据仓库中的数据建立有效存储和高效索引机制,从而提高系统分析、统计的效率。服务层支持缓存机制,能比较迅速通过默认提供的展现主题完成数据展现。
展现层:运用各种数据分析工具、报表工具、查询工具、数据挖掘工具实现决策分析,提供各类综合信息的分析展现,并通过统一信
息门户平台、校园网站、手机终端等多种方式为各级用户提供信息服务。系统展示采用Portlet技术,用户可以定义页面的导航菜单及每个导航下面显示的内容,支持控制Portlet中显示的指标以及排列顺序。展示层通过管理员的权限配置,支持不同的角色看到不同的数据展示内容。系统架构如下:
7)移动校园平台
系统总体框架自下而上分为数字校园接口层、移动应用平台支撑层、移动校园门户展示层:
数字校园接口层:实现和数字校园现有数据中心平台、身份认证平台的接口集成,获取用户数据及公共数据库中的数据。实现和具体应用系统的标准接口,获取具体业务数据。
移动应用平台支撑层:管理子系统实现移动校园平台组织机构、40
用户角色管理,实现门户功能权限配置,实现系统管理,实现内容发布管理。运行支撑子系统实现移动应用的用户认证、会话管理,并为上层提供各种服务接口。
移动校园门户展示层:实现教职工、学生、公众等不同类型用户相关的具体功能。
教职工学生公众移动校园门户教职工/学生应用应用访问服务数据交换服务工具类应用消息推送服务文件传输服务公众应用地图导航服务短信推送移动校园平台运行支撑管理子系统用户认证权限管理会话管理……组织机构管理系统设置用户管理日志查看角色管理版本升级管理门户权限内容管理数据交换应用系统接口标准数字化校园公共数据库平台统一身份认证平台OA系统教务系统人事系统邮件系统研究生系统…………
(二)网络基础设施
整体网络的解决方案遵循网络的层次化架构、模块化的设计思想、采用网络三层架构,核心层、汇聚层、接入层。核心层和汇聚层支持万兆,接入层使用性能可靠的1000M交换机进行互联,为终端用户提供高速数据交换能力。
根据**学院的办学校规模,业务流量、人员上网情况,内网核心交换机支持万兆骨干,千兆接入相连接,并且在各个地方布置汇聚层
交换机,汇聚交换机支持上联万兆、下联千兆的接入模式,并且各个区域的汇聚交换机都是通过双万兆光钎连接到校区的两台核心交换机上。各个楼宇的接入层交换机都是通过RG45接口或者有特殊需求的话,可以通过光纤的方式连接到相应的汇聚层交换机上。并且各个楼宇的交换机都布置千兆智能接入交换机。
外网经有教育网、市教育网、中国联通、中国电信、CerNET2的专线电缆,来接入到整个互联网中,通过配置网关、网络安全设备、防火墙来保证在路由转发的同时来防御外部的攻击。
整网部署安全认证系统保证人员接入的安全。
(三)核心机房及综合布线
新机房建设项目包括机房系统工程和相关土建共八个部分,包括但不限于以下各系统和工程的深化设计和施工: 基础建设子系统
机房建筑装饰装修系统和工程 电气子系统
基础供配电设施和工程;UPS和电池系统安装工程;防雷、接地系统和工程;照明系统和工程 空气调节子系统
机房区精密空调系统安装工程;支持区基站空调和工程;机房给排水系统和工程;新风、通风、排气系统和工程 综合布线子系统
机房铜缆和光纤综合布线系统和工程;机柜系统和工程 安全和监控子系统
机房设备及环境监控系统和工程;机房视频安防监控系统和工程 操控作中心系统 综合显示控制系统和工程 消防子系统
火灾自动报警系统和工程;极早期烟雾报警系统和工程;气体灭火系统和工程;走道及公共区域水喷淋系统的施工配合 其它
标识系统;测试
(四)云平台 1)服务器虚拟化
在本次虚拟化技术中,会采用到比较成熟的虚拟化技术,如动态资源池、虚拟机的在线迁移、动态资源调配、容错技术等等。
动态资源池:利用现有的服务器,能达到要求的性能指标,建设群集组。
虚拟机的在线迁移:可以根据服务器的资源情况在线地将虚拟机在不同服务器之间进行迁移,以达到系统维护或者应用系统迁移的目的。
动态资源调配:通过手工或云计算技术,合理分配各个虚拟主机可使用的硬件资源,并可根据信息系统虚拟主机实际的负载情况,手
工或自动的进行资源的调整,使之达到运行最优化。
容错技术:故障虚拟主机或故障物理服务器上的所有虚拟主机可自动切换至正常运行的物理主机上,在硬件异常宕机的情况之下,不影响业务系统的正常运行。
虚拟化逻辑拓扑:
2)桌面虚拟化
桌面虚拟化解决方案适合不同的用户群体,包括知识工作者,设计人员,此方案主要以普通知识工作者和设计人员为目标对象。桌面虚拟化方案提供一种端到端的桌面管理解决方案。
可动态按需产生虚拟桌面,该桌面所有的运行都发生在远程数据中心的机房里,不用再担心数据驻留在客户端导致的安全漏洞。用户每次登录时都能获得一个干净的、个性化的全新桌面——从而确保性能不会下降。
解决方案包含很多组件,从而能够为每个企业的独特需求提供最佳的解决方案。桌面虚拟化完整的解决方案整体架构如下图所示。
3)云存储
充分考虑我校的需求,利用国际领先的科技和丰富的设计、项目经验,提供最佳的专业服务,以及高性价比的系统设计方案,为我校信息系统提供一套优质的数据存储方案。
采用承载高IO的SAN方式的存储,为服务器虚拟化和桌面虚拟化提供低延时、高速度的访问;而通过横向扩展的产品实现对大容量的媒体数据和文件的高效存储,通过横向扩展,保证了我校大量影视资源的存储空间需求。两种产品的结合可以确保不同的实际需求的充分满足。
4)网盘
基于对象的分布式存储系统具有高扩展性,高性能,高安全性以及管理方便等众多优点,同时基于对象的云存储系统提供给用户和开发者标准的REST API接口,可以使开发者更灵活的开发出适合自己的应用类型。
从网盘的底层架构上看,越来越多的用户转向了分布式特点明显的架构建设上。这些网盘服务的提供商不再采用集中存储,而是在多个站点之间构建多个存储空间,通过云存储的统一命名空间对所有资源进行整合,应用不需要关心数据存储到哪一个地方,存了多少份,怎么存的过程等等,只需要关心需要多大的空间,对文件需要什么样的保护级别即可。
七、标准政策体系
(一)网络与信息安全规范
学校将按照“谁主管谁负责,谁运营谁负责,谁使用谁负责,谁提供安全服务谁负责”的原则,进一步加强和完善各项安全管理制度,完善和落实组织责任管理、系统及信息资源的管理、校园网用户实名制管理、保密信息管理、安全事件管理等多种机制;进一步加强和完善网络与信息事件应急预案、防火墙管理与运行维护规范、补丁安装规范、操作系统重新安装与升级工作流程、运行日志安全管理制度、信息保密安全制度、操作安全管理制度、技术文档安全管理制度、备份安全管理制度、审计管理制度、运行维护安全规定、第三方服务商的安全管理制度,对系统安全状况的定期评估策略等。
(二)数据标准规范
学校数据标准规范将按两条主线对学校整体业务进行梳理。按学校教职工、学生、资产等主题对象梳理;按教学、科研、管理、社会服务等业务流程梳理。根据《教育管理信息标准》、《CELTS-34高等
学校管理信息标准》以及学校信息化建设实际需求,建设涵盖数据代码集、数据集及数据交换标准等的多个数据标准规范,包括**学院自定义编码规范、**学院管理数据集、**学院通用/标准数据子集以及代码集等。其中,**学院管理数据集涵盖学校管理数据集、学生管理数据集、教学管理数据集、教职工管理数据集、科研管理数据集、财务管理数据集、资产与设备管理数据集、办公管理数据集等。
(三)管理制度及管理规范
根据国家信息安全等级保护的要求,进一步加强管理制度及管理规范建设。主要包括:机房安全制度、网络安全管理制度、系统安全管理制度、系统建设管理制度、系统运维管理制度、人员管理制度、文件管理制度、管理对象的编码分析规范、业务应用管理规范、信息资源采集共享规范等。
八、顶层设计实施方案
(一)目标架构实现路径
**学院“十二五”期间信息化建设将在总体规划、分步实施、关注重点、解决问题的原则下进行。学校将统筹考虑学校信息化建设现状及学校未来信息化发展需求,按照集约建设、充分利旧的思路实现建设与世界一流**学院相适应的信息化建设水平的总体目标。
为达到学校信息化顶层设计的目标,拟通过以下方案来实现:
1、基础设施层中应用支撑平台建设需要充分整合学校现有服务器,集中存放,集中管理和维护,共享使用;建设学校云计算平台、47
学校统一存储平台、学校数据中心、学校灾备中心、学校运行监控与调度中心等。网络基础设施建设要改造学校有线网络、无线网络、有线电视网络、校园一卡通网络等,探索应用三网融合技术。
2、应用基础支撑平台层建设需要改造数据交换平台、统一身份认证平台等;通过建设中间件,更新工作流引擎、监控管理平台、消息平台等。
3、信息资源层主要是整合学校现在所有信息资源,按照统一标准和规范构建学校统一数据资源平台。
4、应用平台层主要是升级和改造校园管理与决策支撑平台、科研与学科发展支撑平台、校园服务支持平台、校园生活支撑平台、平安校园支撑平台等;建设学校教学一体化支撑平台、校园文化支撑平台等。
5、门户服务层主要通过**学院数字校园信息平台充分整合学校各业务系统,实现数据的高度共享,用户的统一身份认证等;通过学校网站群建设改造学校主站、各二级学院及职能处室网站、校内信息门户、学生服务平台等;建设教师服务平台、移动信息门户等。
6、保障体系建设主要是完善现有的管理制度和技术体系;加强人才队伍建设,重视与外界的交流与合作;建设稳定的信息化经费投入机制,保障信息化建设顺利进行。
7、统一标准规范建设主要是补充和完善现有的信息化标准规范;统一安全机制建设主要是补充和完善现有的安全策略、安全技术等,进一步加强信息安全等级保护建设等。
(二)项目设计
为实现学校建设与世界一流**学院相适应的信息化水平的总体目标,“十三五”期间,学校拟通过项目建设的方式来实现。
(三)配套实施策略
为保障学校信息化顶层设计方案顺利落实,学校将在业务创新机制、工作保障机制、项目管理和安全可控保障机制等方面加强建设。
1. 综合考虑,加强信息化项目管理
“十二五”期间,**学院将进一步加强信息化建设项目管理工作,从学校角度整体考虑,总体规划,分步实施,关注重点,解决问题,推动学校信息化建设工作快速发展。
网络与信息中心是学校信息化建设项目管理的具体执行部门,在学校信息化建设领导小组指导下统筹协调全校信息化项目管理工作。
2.统一建设,确保信息化工作有序进行
为确保学校信息化建设工作有序进行,学校将统筹考虑学校信息化发展现状以及信息化建设发展需求,并结合信息化发展趋势,按照集约建设、充分利旧的思路全面推动学校信息化建设工作。
学校将以网络与信息中心作为学校网络基础设施以及应用支撑平台建设工作的牵头单位,根据各单位信息化建设需求,结合学校信息发展现状以及信息化发展趋势,统一考虑并集约建设学校网络基础设施以及应用支撑平台;学校将以教务处作为学校教学资源库建设工作的牵头单位,根据学校各学院教学、科研的需求,在充分调研并整合现有教学资源的情况下,统一建设学校教学资源库,各学院将作为使用单位,共享学校教学资源库等;学校将以宣传部作为学校视频资源建设以及学校校园网站、学校新闻网和各部门网站建设的牵头单
位,根据各单位需求,在充分整合现有视频资源的情况下,将统一建设学校视频资源库,全校师生充分共享学校视频资源库;同时,根据学校对外宣传工作的总体要求,统一建设学校网站群系统,并将学校各部门网站纳入到网站群系统中;学校将以学校办公室作为学校办公自动化系统建设工作的牵头单位,统一建设并推动学校办公自动化系统的建设应用工作。
学校各重要系统及资源由学校相关职能部门统一建设,将最大限度的节约资金,在充分整合原有资源的情况下,确保学校信息化建设工作有序进行,并避免学校各单位的重复建设和信息孤岛的产生。统一建设完成后,全校师生都能够充分分享信息化建设的成果,也提高了信息系统及资源的利用率。
3.协调配合,促进信息化建设科学发展
信息化建设是全校性的工作。在信息化建设过程中,学校各业务工作牵头部门要积极协调,促进信息化工作快速发展;学校其它部门要积极配合,保障信息化工作顺利进行。另外,学校各部门要根据各自发展需求,及时、准确地向各业务牵头部门提出信息化发展需求,各业务部门将综合分析学校信息化建设情况,统筹考虑,集约建设,共同促进学校信息化建设工作的科学发展。
6.网络设计方案简介 篇六
网络工程设计课程设计报告
课程: 网络工程设计
班级: 网络工程081
姓名: 彭晓晓
学号: 080510122
日期:
2011-11-28
企业网络规划和设计方案
一、工程概况.....................................................................................................................3
1、工程详述................................................................................................................3
2、项目工期................................................................................................................3
二、需求分析.....................................................................................................................4
1、网络要求................................................................................................................4
2、系统要求................................................................................................................5
3、用户要求................................................................................................................5
4、设备要求................................................................................................................6
三、网络系统设计规划.....................................................................................................7
1、网络设计指导原则................................................................................................7
2、网络设计总体目标................................................................................................7
3、网络通信联网协议................................................................................................8
4、网络 IP 地址规划.................................................................................................8
5、网络技术方案设计................................................................................................9
6、网络应用系统选择..............................................................................................13
7、网络安全系统设计..............................................................................................14
8、网络管理维护设计..............................................................................................14
四、网络布线系统设计...................................................................................................15
1、布线系统总体结构设计......................................................................................15
2、工作区子系统设计..............................................................................................15
3、水平子系统设计..................................................................................................16
4、管理子系统设计..................................................................................................16
5、干线子系统设计..................................................................................................16
6、设备间子系统设计..............................................................................................16
7、建筑群子系统设计..............................................................................................17
目 录
一、工程概况
1、工程详述
集团总部公司有 1000 台 PC;公司共有多个部门,不同部门的相互访问要有限制,公司有自己的内部网页与外部网站;公司有自己的 OA 系统;公司中的台机能上互联网;核心技术采用VPN;集团包括六家子公司,包括集团总部在内共有2000多名员工;集团网内部覆盖7栋建筑物,分别是集团总部和子公司的办公和生产经营场所,每栋建筑高7层,都具有一样的内部物理结构。一层设有本建筑的机房,少量的信息点,供未来可能的需求使用,目前并不使用(不包括集团总部所在的楼)。二层和三层,每层楼布有96个信息点。四层到七层,每层楼布有48个信息点,共3024个信息点。每层楼有一个设备间。楼内综合布线的垂直子系统采用多模光纤,每层楼到一层机房有两条12芯室内多模光纤。每栋建筑和集团总部之间通过两条12芯的室外单模光纤连接。要求将除一层以外的全部信息点接入网络,但目前不用的信息点关闭。
2、项目工期
2009年5月28日-------2009年6月28日
二、需求分析
1、网络要求
满足集团信息化的要求,为各类应用系统提供方便、快捷的信息通路;具有良好的性能,能够支持大容量和实时性的各类应用;能够可靠运行,具有较低的故障率和维护要求。提供网络安全机制,满足集团信息安全的要求,具有较高的性价比,未来升级扩展容易,保护用户投资;用户使用简单、维护容易,为用户提供良好的售后服务。
主干网负责各个子网和应用服务的连接,为信息交换提供有效的高速通道。系统主干采用万兆以太网10000M交换,下属子网采用千兆以太网,网络协议采用TCP/IP协议,整个网络应考虑语音、视频、数据等的综合应用。交换机要求采用主流、成熟、信誉和售后服务均佳的产品,核心交换机采用三层交换机,支持VLAN等功能,能较好解决突发数据量和密集服务请求的实时响应问题,在内部用户终端进行视频信号、数据交换时交换引擎不会出现过载现象和数据包碰撞、丢失的现象,还要考虑预防瓶颈出现和补救的相应措施。下属单位接入交换机可采用相对低一档的产品;本系统处理的信息包括数据、语音和图像等,因此要考虑实时性问题,特别要考虑包括视频会议在内的信息共享等方面的实时性要求。;UPS电源的配备,配置要保证网络中所有的服务器、交换机、路由器、集线器等设备的连续、正常地运转;网络带宽的分配:应根据所属单位网络的信息流量情况合理分配网段,以充分利用网络带宽,提高网络的运行效率。网络需 要需要具有多主机跨平台主机连接能力,数据集中存放、集中管理、数据有效共享、存储空间共享、统一安全备份,可实现无人值守、自动实施备份策略,备份LANFREE、SERVERLESS等功能,为全面集中管理和数据仓库的建设奠定坚实的基础
2、系统要求
配置简单方便:所有的客户端和服务器系统应该是易于配置和管理的,并保障客户端的方便使用;广泛的设备支持:所有操作系统及选择的服务应尽量广泛的支持各种硬件设备;稳定性及可靠性:系统的运行应具有高稳定性,保障7*24的高性能无故障运行。可管理性:系统中应提供尽量多的管理方式和管理工具,便于系统管理员在任何位置方便的对整个系统进行管理;更低的成本:系统设计应尽量降低整个系统的成本;安全性:在系统的设计、实现及应用上应采用多种安全手段保障网络安全;提供良好的售后服务。网络还应具有开放性、可扩展性及兼容性,全部系统的设计要求采用开放的技术和标准选择主流的操作系统及应用软件,保障系统能够适应未来几年公司的业务发展需求,便于网络的扩展和集团的结构变更。
3、用户要求
要求计算机应用系统能处理大信息量的传输和计算;要求易于用户管理、界面简单、逻辑清晰;满足用户使用网络系统的运行质量,提高网络运行速度;要求采用千兆以太网作为主干的网络技术,提供 5 标准化的高速度主干网连接,并在未来可以升级到IP,可以在同一个网络中支持多种服务质量,以支持目前和未来的应用和服务为标准。允许网络集成,使用三层交换来代替路由,能实现与广域网的集成功能;网络中使用的设备、技术和协议完全符合国际通用的标准,兼容现有的网络环境,提供良好的互联性;要求网络提供足够的带宽,丰富的接口形式,满足用户对应用带宽的基本要求,并保留一定的余量供扩展使用,最大可能地降低网络传输延迟;要求网络有很高的可靠性、稳定性及冗余,网络能够提供良好的安全性策略,能避免内部操作失误造成的损害和来自外部的恶意攻击。
4、设备要求
根据集团的网络功能需求和实际的布线系统情况,楼层接入设备需要选择同一型号的设备;子公司主交换机可以根据需要通过堆叠方式进行灵活的升级扩容;核心交换机需要具有升级到720Gbps可用背板带宽的能力。网络设备必须在技术上具有先进性、通用性,必须便于管理、维护,应该满足集团现有计算机设备的高速接入,应该具备良好的可扩展性、可升级性,保护用户的投资。网络设备在满足功能与性能的基础上必须具有良好的性价比。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品,同时设备厂商必须要有良好的市场形象与售后技术支持。
三、网络系统设计规划
1、网络设计指导原则
网络设计应该遵循开放性和标准化原则、实用性与先进性兼顾原则、可用性原则、高性能原则、经济性原则、可靠性原则、安全第一原则、适度的可扩展性原则、充分利用现有资源原则、易管理性原则、易维护性原则、最佳的性能价格比原则、QoS保证
2、网络设计总体目标
先进性:系统具有高速传输的能力。工作站子系统传输速率达到100Mb/S,水平系统传输速率达到1000Mb/s,满足现在和未来数据的信息传输的需求;主干系统传输速率达到1000Mb/s,同时具有较高的带宽,满足现在和未来的图像、影像传输的需求。
灵活性:系统具有较高的适应变化的能力。当用户的物理位置发生变化时可以在非常简便的调整下重新连接;布线系统适应各种计算机网络结构,如以太网、高速以太网、令牌环网、ATM网等。布线系统且具有一定的扩展能力。
实用性:系统具有低成本、使用方便、简单、易扩展的特点。布线系统应在满足各种需求的情况下尽可能降低材料成本;布线系统具有操作简单、使用方便、易于扩展的特点。
3、网络通信联网协议
TCP/IP :每种网络协议都有自己的优点,但是只有TCP/IP允许与Internet完全的连接。
Telnet:远程登录访问协议,使其他跨省区域的子公司通过远程访问总部的内外,在远程访问时,会设置相应的ACL认证和相对的权限设置。
SNMP网络管理协议:SNMP 用于在 IP 网络管理网络节点(服务器、工作站、路由器、交换机及 HUBS 等)的一种标准协议,它是一种应用层协议。SNMP 使网络管理员能够管理网络效能,发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息(及事件报告)网络管理系统获知网络出现问题。
路由协议:RIP、IGRP、EIGRP、IS-IS和OSPF。
4、网络 IP 地址规划
集团园区网计划使用私有的A类IP地址。集团园区网的IP地址分配原则如下:集团使用IPv4地址方案。集团使用私有IP地址空间:10.0.0.0/8。集团使用VLSM(变长子网掩码)技术分配IP地址空间。集团IP地址分配满足集团的利用。集团IP地址分配满足便于路由汇聚。集团IP地址分配满足分类控制等。集团IP地址分配满足未来公司网络扩容的需要。
5、网络技术方案设计
总体网络采用基于树型的双星型结构,使之具有链路冗余特性;整体网络规划为核心及服务器群区域,内部骨干区域(汇聚链路),接入层上联区域,客户端接入区域;核心交换机位于集团总部机房,并为双核心,使用双主干网络设计,保证主交换机网络的容错。在一台交换机出现故障的时候保障网络的正常运行,也不用手工切换和维护,保证网络的可靠性。采用全交换硬件体系结构,可实现全线速的IP交换;网络主干采用先进的千兆位以太交换技术,可最大限度地提高主干的数据传输速率。使用千兆网络保证网络交易速度与实时性,使用了FEC/GEC 技术实现网络带宽的扩展,适应网络不断扩展的要求。
根据需求概括,我们选择的是D-Link企业级的DES-8503万兆核心交换机为本次网路建设总部机房的核心交换;DES-8503万兆核心路由交换机作为新一代大容量、高密度、高性能、模块化核心路由交换机产品,其背板带宽高达3.2Tbps,包转发速率最大为952Mpps,具备二到四层线速交换能力。DES-8503万兆路由交换机基于先进的模块化理念进行设计,并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构,关键模块均采用1:1冗余备份。可提供10GE、GE、FE等各种丰富的接口模块,并全面支持IPv4、IPv6、MPLS、NAT、组播、QoS、带宽控制等业务功能。整个系统所具备的高可靠性、高扩展性、强大的业务能力等特点可以满足各种网络核心层的建设需求。DES-8503(3个插槽)作为D-Link行业产品线核心交换机之一,可广泛的应用在各行业的IP网核心、企业数据中心、IP城域网核心和汇聚、校园网核心等场所,为用户提供多种业务接入、路由交换一体化的安全融合网络解决方案。
ES-8503万兆核心路由交换机具有一下的优点:
先进的系统架构:采用了分布式、模块化设计理念,并采用了基于多处理器分布式处理机制和Crossbar空分交换结构的体系结构。这保证了系统优异的转发性能、强大的业务能力和高度的可扩展性。高端口密度和线速路由及交换:具有丰富的接口类型,提供10GE、GE、FE等接口。可以真正实现高端口密度和线速路由及交换。大容量、高性能:支持高达952Mpps的路由包转发能力,并支持512K条第三层路由信息、512K第二层的MAC地址以及 4096组VLAN、8K条安全和访问控制策略,保证了数据线速转发的要求。增强的业务功能:具有L2/L3/L4线速交换能力、具备QoS、MPLS、NAT、带宽控制、组播等高级性能,是定位于网络核心层、实现整体网络增值的优选设备。同时,提供基于硬件的流量分类和组播以及速率限制和先进的服务质量保证(QoS)机制,可为用户开展增值业务提供强大的支持。
强大的安全功能:支持ACL安全过滤机制,可提供基于用户、地址、应用以及端口级的安全控制功能,并支持IPSec、MPLS VPN特性。同时,支持基于端口不同优先级对列的和基于流的入口和出口带宽限制、uRPF、防DDOS攻击、SSH2.0安全管理、802.1x接入认证及透传,VLAN ID与MAC地址、端口号、IP地址捆绑等安全功能。此外,系统 还具备完善的抗病毒机制,可以为网络运营提供全面的安全保证。支持IPv6:全面实现了各种IPv6协议技术,包括IPv4和IPv6双协议栈和基于手工配置隧道、自动配置隧道、6to4隧道等IPv4向IPv6的基本过渡技术。同时,实现了IPv6静态路由,支持BGP4/BGP4+、RIPng、OSPFv3等动态路由协议。
全面支持二、三层MPLS VPN:二层MPLS VPN支持Martini协议(VPWS)和VPLS、三层MPLS VPN采用RFC2547bis,具有良好的兼容性,可以与其他主流厂家的设备实现MPLS VPN业务的全面互通。电信级可靠性:系统的主控单元、电源等等关键模块均可以进行1:1方式的备份,无中断保护系统(Hitless Protection System-HPS)为DES-8500的高可靠性提供了最重要的保证,在配置冗余控制模块的情况下,它能满足最苛刻的可靠性要求。同时,DES-8500的VRRP、STP、LACP等功能为用户提供了进一步的可靠性保证。统一的网管功能:支持RFC 1213 SNMP(简单网络管理协议),带内网管的形式可采用基于Telnet的配置管理(CLI命令行的形式)或基于SNMP的配置管理(图形界面的形式),实现基于Broad Director网管平台的统一网管。
接入层为楼层的工作组及交换机。核心层与接入层以千兆以太网技术相连,传输速率达1Gbps,采用全双工通信可达2Gbps。其物理连接采用多模光缆相互连接,以提供物理层、链路层及IP层的冗余连接能力。
核心交换:三层千兆交换机为整个网络的核心,它对整个网络的 性能,可靠性起决定性作用,它连接各个物理子网,治理网络内信息交换(包括多媒体信息),控制VLAN间访问,保证信息安全。因此,我们选用的中心交换机除了提供高速的网络连接之外,还具有多种信息的治理和控制能力。全部的网络设备均支持高效的Intranet多媒体和多点广播技术、治理协议(CGMP)等,为多媒体和多点广播应用如IPTV等提供端到端的带宽保证。网络采用分层结构,不仅逻辑结构清楚,治理方便;更重要的是大多数的数据流量(主要是同一部门或工作组内)的交换在次级节点分布交换机上直接处理,不经中心设备,节省主干带宽,提高利用率。有一定的前瞻性,不仅满足当前网上应用,也为将来更高性能的升级作好了预备:网络具有良好的伸缩性,升级和扩展主要只集中在网络中心,添加新的接口模块,即可实现用户和信息点的扩充;增加光纤连接即可大量提高主干带宽;中心增配另一台多层交换机,网络结构就能连接成可靠性的、真正的中心交换机互备份和上联线路冗余。配合热备份路由协议和热备份双服务器主机系统,在整个系统内消除单点故障,提供高可用性的应用服务系统。
汇聚交换及接入交换:二级交换机可以每个独立构成一个VLAN,也可以多个二层交换机构成一个VLAN。VLAN之间的路由由中心交换机负责。不同的部门/单位可以通过配置不同的VLAN等方式来隔离广播和信息流,不但可以提高网络效率,而且可以增强网络安全。而每台交换机上的10/100自适应端口又可以与下层100M到10M交换式集线器相连接。心交换机与二层交换机以1000M全双工的方式相连接。这样的连接结构可保证网络带宽的最大限度的合理应用。集团由总部 机房采取一处连接Internet中,设置防火墙等安全软件,并对外网的远程登录设置权限及相应的安全认证!
6、网络应用系统选择
根据集团用户对操作系统的要求:操作系统要求选择最新版本,所选操作系统需要提供方便的更新与升级方法,服务器操作系统需要能够提供目录服务功能,服务器及客户机操作系统都需要支持TCP/IP协议,所选操作系统应能够方便的实现用户和权限的管理,秘选操作系统应能够运行大多数应用软件,例如办公软件、图像处理软件、CAD财等,我们选择Linux,它具有极高的稳定性、先天的安全性、软件安装的便利性、多任务、多使用者、免费或少许费用、有强大的网络功能、在相关软件的支持下,可实现WWW、FTP、DNS、DHCP、E-mail等服务。
建立WWW服务器,实现Internet上浏览和查询;建立FTP服务器,结合学校实际和需要逐步建立远程FTP服务;建立Web服务器把图文信息组织成分布式的超文本,并用信息指针指向存有相关信息的服务器,使用户可以方便地访问这些信息。当网上用户增多时,网络访问很频繁,通信量很大,随机性强。作为全校的通讯枢纽,需要配备高性能的服务器设备,主要的需求是高性能的CPU、SMP体系结构、高速I/O通道和网络通道。建立域名服务器DNS,各地名字服务器管理下属主机和子域,并由高一级名字服务器监管,但每个域至少需要配备一台以上的名字服务器。DNS数据量不大,13 但访问频繁。建立数据库服务器能有高效的处理速度、较大的内存和磁盘空间、快速的I/O系统和网络界面,较高的可靠性,完善的系统备份功能和较好的可扩充性能。
7、网络安全系统设计
内网安全设计:访问控制,通过密码、口令(不定期修改、定期保存密码与口令)等禁止非授权用户对服务器的访问,以及对办公自动化平台、的访问和管理、用户身份真实性的验证、内部用户访问权限设置、ARP病毒的防御、数据完整、审计记录、防病毒入侵。外网安全设计:安装软件、硬件、防火墙,网络防病毒软件,客户端防病毒软件;利用代理服务器提供Internet与Intranet之间的防火墙功能;通过网管实时记录网络的运行状态。设置远程访问身份认证,防止垃圾邮件等。
8、网络管理维护设计
根据集团和服务器应用模式及全网范围资源集中管理的原则,在集团总部机房建立中心管理机房,统一网络中的交换设备的管理配置,虚网设计和配置,各种服务建立等。网管工作站对全网所有交换设备和路由设备进行统一管理、配置和维护;进行故障隔离、分析、统计、报警、设置;网管软件采用图形化界面,支持广泛的网管平台。
四、网络布线系统设计
1、布线系统总体结构设计
总体七撞建筑,从总部机房用十二芯单模光纤与其他六撞建筑的设备间|BD|相连,每个设备间也设用十二芯多模光纤与每层的电信间|FD|,并用五类非屏蔽双绞线从电信间与工作站相连接,集团园区网采用10M的光纤以太网接入到因特网服务提供商的网络,然后接入到因特网中,使集团实现与外界的信息交换和网络通信。集团统一由总部机房的一个出口访问Internet,集团能够控制网络的安全。在服务器和核心交换机间:使用UTP电缆来将服务器连接到核心交换机。
2、工作区子系统设计
工作区子系统由各个单元区域构成,是计算机、电话和信息插座的连接部分,包括连接跳线和信息插座。信息插座面板具备:通用、超薄、简易、防尘等特点;信息插座的模块采用类RJ-45模块;线缆采用超五类双绞线;水晶头采用RJ-45标准水晶头。为降低成本和结合客户终端的位置多变的特点,跳线可采用原装跳线与自制跳线相结合的方式,中心机房内设备之间、楼宇机柜内设备之间、服务器、重点客户终端的跳线采用原装成品跳线,其余采用自制跳线。跳线制作统一采用EIA/TIA 568B标准,以使系统具有更好的兼容性
3、水平子系统设计
水平子系统主要是实现信息插座和管理子系统,即中间配线架(IDF)间的连接。水平子系统为星形拓扑。在水平子系统中采用超五类非屏蔽双绞线。双绞线水平布线链路中,水平双绞线的最大长度均不超过90m。为了网络系统的稳定性和扩展性超五类非屏蔽双绞线。
4、管理子系统设计
管理子系统设计由配线间构成。由各种规格的配线架实现水平、垂直主干线缆的端接及分配;由各种规格的跳线实现布线系统与各种网络、通讯设备的连接,并提供灵活方便的线路管理能力。分配线间是各治理子系统的安装场所,可安装配线架和计算机网络通信设备。对于信息点不是很多,使用功能近似的楼层,为便于治理,仅设置一个共用的子配线间;对于信息点较多的楼层则在该层设立配线间。
5、干线子系统设计
干线子系统设计由连接主设备间与各治理子系统的室内干线电缆构成。数据主要从网络配线间向各个子配线间敷设12芯单模室内多模光纤。
6、设备间子系统设计
设备间子系统设计由设备间中的电缆、连接器和相关支撑硬件组 16 成,把公共系统(通讯系统,计算机系统和建筑自动化系统等)设备的各种不同设备互连起来。使用12芯单模室内多模光纤将其连接。
7、建筑群子系统设计
7.企业网络安全方案的设计分析 篇七
然而核心业务几乎都是通过网络操作的, 一旦信息被窃取, 资料被泄露, 将会对企业构成灾害。就此而言, 基于WEB管理功能及ESIGHT网管拉软件的平台成为有效监管方式。
1 企业网络安全方案设计的具体原则
具体而言, 需要遵循以下几大基本原则。
1.1 整体性原则
想要做到这一点, 必须站在全局的高度来分析网络的安全及具体措施。其中包括行政法律方式、管理制度 (比方说工作流程、人员审查等) 以及相关的专业措施 (比方说存取控制、识别技术、容错、防病毒等) 。据大量的实践结果表明, 行之有效的安全措施往往是综合应用的结果。一般地说, 计算机网络, 包括个人、软件、设备等。我们要想在真正意义上体现出这些环节在网络中的影响作用。就必须站在全局的高度综合性的去看待和分析方可找到切实可行的措施, 然后根据规定的安全策略制定出科学合理的网络安全体系结构。
1.2 一致性原则
指的是网络安全问题应与整个网络的生命周期同时存在着, 与此同时所指定的安全体系结构与需求保持一致。换言之, 就是需要相关工作人员在网络建设的起步阶段就应当开始考虑到网络安全的具体对策, 因为这样比起网络建设完成之后再去考虑安全措施不仅简单很多, 而且开支方面也要少很多
1.3 易操作性原则
就目前而言, 所制定出的安全措施通常情况下还是需要考虑人去完成, 如果措施很复杂的话, 前期不仅需要耗费大量的时间进行培训, 相应的工作者也需要耗费很多的时间, 而且随着后期的更新与升级需要不断地进行学习和操作, 这样一来对人的要求就会非常高, 并且这种全部靠人为操作, 本身就具有很大的安全隐患。但是有一点值得大家注意的是, 采用的措施切忌影响系统的正常运转。千万不要为了简便操作而使得相关功能无法实现, 这样就会因小失大了。
2 企业网络安全方案设计理念
众所周知, 企业对网络的安全需求往往都是整体性而且是全方位的, 与之对应的网络安全防御体系就需要根据不同的层次分别予以设定, 其中每一个层次所反映出来的安全问题也是不尽一致的。我们根据网络的应用现实状况, 可以将其分为物理层、网络层、系统层、应用层以及安全管理五大重要组成部分, 具体如图1所示。
2.1 物理层的安全性
其中包括通信线路、机房、物理设备的安全等。一般地说, 物理层的安全主要体现在通信线路的可靠性上 (包含网管软件、线路备份以及传输介质) 。防灾害能力, 软硬件设备的安全性;设备的运行环境 (包含湿度、温度、烟尘) 等。
2.2 系统层
一般的讲, 系统层的安全问题主要来自于网络内部所使用的操作系统XP、WINDOWS等。据调查表明, 系统层的安全性问题主要表现在三个方面。首先是操作系统本身的不足引发的安全问题, 其中包括访问控制, 身份认证等。其次是操作系统的安全配置存在缺陷。最后是遭遇病毒侵袭所造成的安全威胁。
2.3 网络层
这也是当前出现得比较频繁的安全问题了, 那就是企业重要信息资料被窃取或者泄露。需要通过访问控制, 远程安全接入, 路由系统安全, 防病毒等。
2.4 应用层
主要是考虑到企业提供服务所使用到的应用软件安全性是否达标。其中包括DNS、WEB等, 网上会诊与网上医疗等, 当然了, 病毒也不会例外。
2.5 管理层
主要包括安全设备与技术的有效管理, 以及安全管理制度等。通过以往大量的实践结果表明, 管理的制度化程度将会大大影响整个网络的安全是否达标, 鉴于此, 企业单位务必要按照相关标准严格的执行下去, 与此同时要做到责任到人。事实证明, 合理的人员角色定义通常能够大大降低其他层次的安全漏洞。
3 结束语
综上所述, 网络的依赖以及网络安全问题已经成为各大企业非常关注的重要问题。在企业网络安全方案设计的过程中, 设计师应当根据实际需要综合性的考虑到各个影响因素。主要从物理安全、系统安全、网络结构安全、病毒入侵防护以及人工管理等方面都提出针对性的解决方法。企业自身要配备齐全必要的网络监控手段, 通过这种方式提高网络中出现问题的预见性, 以免将来某一台机器突然出了问题就会手忙脚乱, 不知所措的情况发生。当然, 除此之外, 还有很多需要注意的细节方面, 需要我们的工作人员在平时的工作中及时发现并且针对性的予以处理。总之一点, 就是要想方设法防患于未然, 不要留给漏洞可乘之机, 给企业网络创造一个安全的外部环境。
参考文献
[1]周练兵, 张万.浅议企业网络方案的设计[J].中国共同安全, 2012 (3) .
[2]李晶.企业网络安全方案的设计与实现[D].西安电子科技大学, 2010.
[3]孔祥.县级供电企业信息网络安全方案的设计与应用[D].中国海洋大学, 2012.
[4]赵明宇, 孟庆鑫, 徐天明.基于企业计算机网络安全方案的设计与实现[J].华北工学院学报, 2011 (6) .
8.网络设计方案简介 篇八
网络接入控制能够改善安全是没有争议的。网络接入控制能够迅速判断来自不应该获得接入批准的那些系统的用户,并且保证防火墙设置、杀毒软件和补丁水平都保持最新的状态。在使用正确的时候,网络接入控制能够创造一个没有病毒感染的通讯流并且没有与安全突破有关的许多其他风险的网络。
很诱人,是吗?是的。但是,没有天上掉馅饼的好事。许多网络接入控制解决方案都太昂贵以至于不能部署和管理。我们在这篇文章中将告诉你需要了解什么知识来确定适合你的环境类型的最佳的网络接入控制选择。但是,在我们讨论这个问题之前,我们需要简单再了解一下网络接入控制的四种主要类型:基于硬件的网络接入控制;基于代理的软件网络接入控制:无代理的软件网络接入控制;动态网络接入控制。
无论你选择哪一种网络接入控制解决方案,你都需要考虑你部署网络接入控制的目标,如安全与管理水平以及根据你的企业和网络规模的其他因素。
1网络接入控制与地理分散的网络
对于一个大型网络,有许多部署、管理和运营的考虑。例如:位于交换机上游的基于硬件的网络接入控制解决方案产生一个潜在的单个故障点。如果这些解决方案跟不上目前高速的10G网络干线的速度,这些解决方案就是破坏性的。
而且,网络接入控制解决方案对于地理上高度分散的或者高度分段的网络也许都是不理想的。这种解决方案不仅需要在每一个地方都有一台设备,而且这些方法提供的网络通讯的可见性也非常差。
当你看不到或者不能阻止一个大型子网上的入侵者的通讯的时候,相信你使用网络接入控制获得更大的安全性是没有意义的。带外的替代方法,如使用802.1x的选择,经常需要改变网络和服务器的许多设置。这需要额外的隔离网络和每一台交换机的端口的设置以及需要设置路由器和交换机的访问规则。这不仅增加了管理成本,而且还增加了出现错误的风险。基于硬件的网络接入控制显然并不便宜,或者说并不是一种万灵药。
但是,基于硬件的网络接入控制能够提供高水平的安全,因为它们的重点是网络通讯,能够发现在线路上运行的安全漏洞。
在地理分散的网络中采用基于软件的方法,管理性的挑战依然存在,但是,这些挑战转移到了端点,需要在每一个端点安装一个软件代理。虽然无代理的网络接入控制方法能够减轻这种管理负担,但是,无代理的网络接入控制不能提供一种一致的方法以全面地评估这个端点的状态。这就意味着用重要的安全功能交换可管理性。
因为动态网络接入控制只能利用一部分系统作为安全强制执行者,动态网络接入控制实际上能够帮助你利用分布式网络的力量保护自己。
2保证中小企业的安全
中小企业几乎没有专门的弱电工程人员和专家来配置复杂的和带外的方法,如802.1x网络配置,以及在发生问题的时候正确地排除故障。此外,由于资源的局限性,中小企业经常把IT团队的重点放在发展业务的IT计划上。
这正是基于软件的网络接入控制要做的事情:在提高安全性的同时还能减轻安全和网络团队的管理负担。事实上,对于中小企业来说,在防御代理方面有许多可说的事情。例如:在端点能够达到更高水平的审查,从而增强安全性。现实是,代理可以是现有的引起中断最少的解决方案,特别是应用到网络通讯的时候,因为代理是在后台悄悄地运行的,只是定期地向服务器发送更新。因此,如果你是IT资源有限的中小企业,这个窍门就是找到最容易管理的、最节省成本的、基于软件的网络接入控制解决方案或者可用的动态网络接入控制解决方案。
3理想的安全水平
不管你的企业和网络规模有多大,你都需要用理想的安全水平去权衡成本与可管理性。这是普遍的现象,因为内部文化,容忍风险的限度或者这个企业是否处在管理非常严格的行业等因素都决定了企业应该采取更高水平的安全,还是选择管理的方便性。
例如:如果安全是唯一的考虑的话,基于硬件的802.1x(带外的)解决方案也许是最佳的选择。虽然无代理的网络接入控制避开了安装和维护代理的需求,但是,它也付出了代价。无代理的方法不能提供一种一致的方法来全面评估端点的状态。此外,由于通过检查网络通讯可以确定身份,用户可能会欺骗这个系统。
动态网络接入系统也许会提供管理性和安全之间的正确的平衡。
4网络接入控制的成本
无论你是一家地理上分散的零售商、制造商或者金融服务公司,管理每一个地方的网络接入控制设备很快将变得非常昂贵。考虑一下,每一个基于硬件的网络接入控制设备都需要大约2万美元。此外,那个设备还需要为初次安装和配置这个设备的专家支付旅差费和工时费。然后,还有持续不断的维护和更新的费用负担。
在某些情况下,根据你的架构的性质,如果不对你的网络配置进行重大的和有风险的修改,远程管理也许就不能实现。如果你要降低成本,基于软件的网络接入控制解决方案也许是一个可行的选择。
5合作
根据你的需求,把网络接入控制作为一个全面的IT安全解决方案的一部分进行实施也许是最佳的选择。许多大型基础设施厂商已经与安全厂商合作以便用最好的安全技术提供他们的服务。
正如你看到的那样,在你采用网络接入控制之前你有许多事情要考虑。我们希望这篇文章能够帮助你简化这些选择。无论你选择什么类型的解决方案,你最终都将扣动扳机和开始部署。那是你需要一个部署战略的时候。网络接入控制最好是分阶段地实施。这就是说要逐步地部署网络接入控制设备,逐步地解决一个具体的需求或者保证某一个站点的安全或者保证一个网段的安全。随着你更加熟悉这个网络接入控制解决方案,你可以在整个企业部署这个解决方案。在开始的时候,你要计划一个合理的时间数量来监视它的工作情况,向管理员提供一些时间让他们了解网络接入控制对系统和你的网络的影响。
此外,在你启用任何强制功能之前,你要保证你有一个很好的补救措施战略。你会简单地以不符合系统要求封锁人们进入网络吗?你会很好地与补丁管理软件结合在一起吗?你还需要知道你将在什么地方存储你的补救措施文件和不符合要求的任何系统的指令。
【网络设计方案简介】推荐阅读:
网络主题班会设计方案09-26
网络营销设计方案模板06-22
智慧社区网络设计方案09-27
设计公司网络推广方案08-27
网络营销整体方案设计10-21
设计一个公司网络建设方案10-24
公司网络安全方案设计书07-02
网络系统集成与工程设计方案09-12
校园宿舍网络设计规划08-12
网络工程设计实验09-14