因此,本次自治区投入专项资金,我们将从校园主干网改造、数据中心、数字化终端应用、数字化应用平台进行建设。
二、需求分析
网络平台作为学校重要的基础设施,校园网担负着教学、科研、管理和对外交流的重任,它的安全状况直接影响到这些活动的顺利进行。目前,随着网络应用的深入,网络面临的攻击呈等比增加,各种各样的安全问题使校园网时不时呈“亚健康状态”。同时,随着网络规模和应用的不断扩大,用户对网络性能要求的不断提高,校园网安全问题越来越被广泛关注。而校园网的安全管理是一个庞大的系统工程,需要全方位的主动防范。因此,在校园网建设是,必须部署相应防范措施。
(1)网络安全管理、隔离和防范:部署可网管交换机,隔离内部不同网段,建立VLAN;内外网络采用两套IP地址,网络地址实行转换;通过IP地址与MAC地址绑定,防止IP欺骗;部署流量过滤和防火墙设备,基于用户和IP地址的网络计费和流量统计与控制;提供应用代理服务,隔离内外网络;提供准入控制;支持透明接入和VPN及其管理。
(2)网络监控措施:在不影响网络正常运行的情况下,增加内部网络监控机制,可以最大限度地保护网络资源。如:配备入侵检测系统,Web、E-mail、BBS的安全监测系统,网络监听系统等。安全监控是指实时对网络和网络上的服务进行安全扫描、纪录和检测,分析网络的工作情况和运行趋势,以此判断网络是否处于健康状态。及时发现不安全因素,对网络的攻击报警及时反馈。通过监控手段,增强网络安全的自我适应性和反应能力,从而保证网络服务的正常提供。通过使用网管软件、日志分析软件、MRTG和Sniffer等工具,形成一个从实时监控到离线审计在内,功能较完整、覆盖面较广的监控管理系统。
(3)网络安全扫描:信息化社会的全面发展为我们构建了自由、开放、共享的网络环境,使人们的生活、工作、学习得到了切实的便利与优化,同时也使网络安全漏洞的现实问题日益凸显。网络安全漏洞是影响计算机网络安全的其中之一,漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。对于学校的管理人员,他们无法确切了解和解决服务器系统和整个网络的安全缺陷及安全漏洞问题,这时,需要借助第三方产品(如:漏洞扫描系统)的帮助,及时发现安全隐患,提出相应的安全解决方案。在教育局数据中心配置网络漏洞扫面设备,及时、主动对教
6
育城域网(包括学校局域网)进行安全扫描,是增强系统安全性的重要措施之一。 在教育信息化过程中,从校园网、城域网、到云计算、下一代互联网,层出不穷的技术促进着教育信息化不断向前发展。云计算、云服务、IPV6、移动学习等新技术不断进入中小学应用,中小学校园网建设的规划和设计必需考虑这些新技术的应用。
(4) “云、管、端”是目前实现教育信息化的基础网络架构:建设教育局数据中心的教育云为学校提供丰富的公共教育资源,搭建教育局“教育信息公共服务平台”,利用教育城域网作为传输管道实现学校与教育局云平台的接通,为学校、学生、家长、社区、社会提供一站式教育信息服务;配置多媒体教学终端、教室办公计算机、学生学习终端(PAD),最终使教育信息化的成果通过教师、学生的教学、学习活动展现出来。
(5)无纸化教材、电子书包、基于移动终端学习等新型教学、学习方式再进入信息时代后迅速进入中小学校园。可能较短时间内不会在教育领域普及,但是它的进入应该是一种可能的而且是一种趋势。因此,我们需要为学校配置无线学习环境,在教室增加无线AP,PAD学习终端,并能实现集中管理。
三、系统设计
3.1指导思想
1、 数字化校园的建设遵循“依据需求、统筹规划、分步实施、成熟可靠”的原则。考虑学校首先要满足教学的需要,把服务教学作为数字化校园的出发点;
2、 数字化校园建设方案符合学校长远发展,将基础设施建设、软件建设和人员培训统筹规划;
3、 分阶段实施及完善项目建设;
4、 合理分配有限的资源,发挥现有硬件设施与应用软件环境的作用;
5、 数据集中:建立统一的数据库/数据仓库,集中管理数据,达到存储安全、信息集中、高效利用的目的,保证数据的一致性;
6、 应用集成:统一身份认证、统一应用界面风格、统一数据交换标准。
7
3.2建设目标
1、万兆核心,千兆主干,百兆接入,添加防火墙,核心交换机,汇聚交换机,网关类产品,
2、完善健全网络系统管理、监控及网络系统安全。 3、配置移动教学数字终端。
4、建立一整套校园信息管理系统,为实现“网上办公、网上管理、网上教学、网上服务”提供全面的系统支持,配套建设一个本地化的数据中心。
5、建立统一的个性化门户,形成一个统一的网络应用平台,为不同用户提供个性化的信息服务。
6、建立基于各类数据仓库的决策支持系统,为学校重大问题的决策提供科学依据。
3.3技术方案
3.3.1采用“多网合一”网络组网方案,网络按照扁平化二层架构设计。
随着网络技术、语音,图像、数据系统数字化处理技术的成熟,未来的网络技术将向着使用简单、高速快捷、多网合一、安全保密方向发展。目前已经可以在同一个网络实现语音、图像、数据三种数据在网络应用层采用统一的TCP/IP协议进行传输,从而实现学校数据网、广播网、安防网、无线网等 “多网合一”的架构,构建新型数字化校园。
“多网合一”校园网架构的优势:
(1)只要建立一个物理网络避免了基础设施的重复建设对于校园网来讲其投资量并不会增加有利于极大地减少信息化建设投入。
(2)规范的综合布线和统一的光纤宽带网络,简化了数字化校园的管理和维护降低了管理和维护成本,同时对其管理和维护也变得更简单。
(3)将各个独立的专业性网络转变成一个综台性网络.可以充分利用网络资源网络性能也得到提升。
3.3.2考虑到未来数据应用的不断丰富,结合目前主流网络技术发展,数据网升级为全千兆,增设教学、办公无线AP点,采用可网管全千兆安全智能交换机和无线控制器(AC),实现对学校网络的有效管理,排除无线网络的信号干扰,实现有效应用。
8
3、考虑到语音网络系统不仅仅是用来打铃和放广播,更重要的是满足不同学科可能同时进行的语音教学需求,充分利用学校网络设备,将学校原有广播系统升级为IP广播,教学区实现可定点(按每个教室)广播,公共活动区实现分区广播。
4、为满足日益增加的校园安防需求,利用学校 “多网合一”平台,在教学区楼道、门厅、重要设备间布设网络高清摄像机,利用学校现有的网络传输高质量的视频资料,建立分布式、低成本、数字化的视频监控系统。
3.4校园主干网设备选型
1、防火墙:对于外网互联安全边界,防火墙不但要进行边界隔离、访问控制,还要进行入侵防御,对设备性能要求较高,所以采用千兆或更高级别的设备。
2、网关:网关实现流量可视化管理,对学校整网的数据流量进行检测分析和控制,通过分析网络中的各种协议和各种协议所占的带宽比例情况,从而制定相应的带宽策略对一些非法的应用(如校园网用户常用的BT、电驴、迅雷以及网络电视等P2P应用,即时通信软件QQ、MSN、雅虎通、淘宝旺旺等,以及炒股软件等)进行限制(控制其所占带宽)或控制(禁止此协议的应用);从而保障学校关键应用的带宽资源。
3、上网行为管理系统:在满足了校园网安全出口基础功能之后,我们还需要增加日志审计手段,达到公安部82号令要求,丰富校园网舆情监控手段。上网行为管理系统就是针对这种需求应运而生。它可详细记录校园网内上网者访问过哪些网站、访问的URL、源/目的IP、源/目的端口、上网时间及流量等数据,从而提供了上网行为的安全审记数据源,并实现各种统计功能。传统意义的日志审计系统只能记录源IP地址的访问行为,而上网行为管理系统可以与安全认证系统联动,将上网行为记录直接映射到上网者的用户帐号,这样,就可以根据用户上网帐号更加准确迅速地定位到上网行为的责任人。
4、安全漏洞扫描系统: 通过部署漏洞扫描管理产品,可以集中、及时找出漏洞并详细了解网络中各系统漏洞相关信息,根据评估结果定性、定量分析网络资产风险,反映网络安全问题,并把问题的重要性和优先级进行分类,方便有效地落实漏洞修补和风险规避的工作流程,形成完整的漏洞管理机制,实现事先修补和积极防御。
5、入侵检测系统:网络安全防护手段多种多样,这些技术有的偏重于静态防护、有的偏重于动态防护。入侵检测系统是动态防护技术的核心,是必选的网络安全设备之一。
6、负载均衡:负载均衡广泛适用于IT系统、移动应用、数据中心和云计算,能够显著
9
增强应用系统的稳定性、性能、最终用户体验、安全性、可管理性和可扩展性。
7、核心交换机:是整个网络的交换核心,其关键特征包括:完成高速数据交换;线速交换、万兆、丰富扩展能力;
8、三层接入交换机:接入层交换机是最终用户的最直接上联的设备,它应该具备即插即用特性以及易于维护、易于管理网络、智能等特点。
9、POE交换机:POE交换机不但具备接入交换机的所有功能要求,还有实现端口POE供电。
10、无线控制器:用来集中化控制无线AP,是一个无线网络的核心,负责管理无线网络中的所有无线AP,对AP管理包括:下发配置、修改相关配置参数、射频智能管理、接入安全控制等。
11、高密度无线AP:无线AP主要包括室外AP和室内AP。
室外AP:采用工业标准元器件,外壳坚固、防水、防尘,应用于恶劣室外环境,配合高增益室外天线,可提供高性能、高覆盖效果的无线网络。采用室外双频无线AP,吞吐带宽不低于900Mbps。校园广场部署4台、操场部署2台,实现整个校园室外无线覆盖。
室内AP:适用于办公室,教室等开放式空间。
考虑未来数字化校园移动办公,电子书包使用,每个班级部署1台墙面式无线AP,吞吐带宽不低于1100Mbps。实现无线教学及办公,每个AP建议要求不少于少于2个以太口端口,方便有线设备灵活接入,共40个班级。
12、无线认证方式设计
1、为避免非法用户滥用无线资源,需要对接入的用户进行Web Portal认证/二维码/微信/QQ等认证方式。
2、校园网用户初次接入到无线网络中的时候需要手动输入相关认证信息,后续再次接入到无线系统时候不必再输入用户名和密码,直接可以访问校园资源及访问互联网。
3、本学校的老师在其它学校办公的时候,不必改动任何网络配置,按照原来的方式即可通过无线网络访问教育城域网中的资源
4、上网日志保存。统一保存60天的用户上网日志信息,日志信息包括用户名、IPv4和IPv6地址、上下线时间、上网地点等。
另外要求:实现SSID智能管理,用户之间隔离,实现区域划分。
10

