关于校园网网络安全设计方案

关键词： 病毒破坏 设计方案 校园网 网络

关于校园网网络安全设计方案（共8篇）

篇1：关于校园网网络安全设计方案

校园网网络安全设计方案

以Internet为代表的信息化浪潮席卷全球,信息网络技术的应用日益普及和深入,伴随着网络技术的高速发展,各种各样的安全问题也相继出现,校园网被“黑”或被病毒破坏的事件屡有发生,造成了极坏的社会影响和巨大的经济损失。维护校园网网络安全需要从网络的搭建及网络安全设计方面着手。

一、基本网络的搭建。

由于校园网网络特性(数据流量大,稳定性强,经济性和扩充性)和各个部门的要求(制作部门和办公部门间的访问控制),我们采用下列方案:

1. 网络拓扑结构选择:网络采用星型拓扑结构(如图1)。它是目前使用最多,最为普遍的局域网拓扑结构。节点具有高度的独立性,并且适合在中央位置放置网络诊断设备。

2.组网技术选择:目前,常用的主干网的组网技术有快速以太网(100Mbps)、FDDI、千兆以太网(1000Mbps)和ATM(155Mbps/622Mbps)。快速以太网是一种非常成熟的组网技术,它的造价很低,性能价格比很高;FDDI也是一种成熟的组网技术,但技术复杂、造价高,难以升级;ATM技术成熟,是多媒体应用系统的理想网络平台,但它的网络带宽的实际利用率很低;目前千兆以太网已成为一种成熟的组网技术,造价低于ATM网,它的有效带宽比622Mbps的ATM还高。因此,个人推荐采用千兆以太网为骨干,快速以太网交换到桌面组建计算机播控网络。

二、网络安全设计。

1.物理安全设计 为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的__带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网 、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。

2.网络共享资源和数据信息安全设计 针对这个问题,我们决定使用VLAN技术和计算机网络物理隔离来实现。VLAN(Virtual LocalArea Network)即虚拟局域网,是一种通过将局域网内的设备逻辑地而不是物理地划分成一个个网段从而实现虚拟工作组的新兴技术。

IEEE于颁布了用以标准化VLAN实现方案的802.1Q协议标准草案。VLAN技术允许网络管理者将一个物理的LAN逻辑地划分成不同的广播域(或称虚拟LAN,即VLAN),每一个VLAN都包含一组有着相同需求的计算机工作站,与物理上形成的LAN有着相同的属性。

但由于它是逻辑地而不是物理地划分,所以同一个VLAN内的各个工作站无须放置在同一个物理空间里,即这些工作站不一定属于同一个物理LAN网段。一个VLAN内部的广播和单播流量都不会转发到其它VLAN中,即使是两台计算机有着同样的网段,但是它们却没有相同的VLAN号,它们各自的广播流也不会相互转发,从而有助于控制流量、减少设备投资、简化网络管理、提高网络的安全性。VLAN是为解决以太网的广播问题和安全性而提出的,它在以太网帧的基础上增加了VLAN头,用VLANID把用户划分为更小的工作组,限制不同工作组间的用户二层互访,每个工作组就是一个虚拟局域网。虚拟局域网的好处是可以限制广播范围,并能够形成虚拟工作组,动态管理网络。从目前来看,根据端口来划分VLAN的方式是最常用的一种方式。许多VLAN厂商都利用交换机的端口来划分VLAN成员,被设定的端口都在同一个广播域中。例如,一个交换机的1,2,3,4,5端口被定义为虚拟网AAA,同一交换机的6,7,8端口组成虚拟网BBB。这样做允许各端口之间的通讯,并允许共享型网络的升级。

但是,这种划分模式将虚拟网络限制在了一台交换机上。第二代端口VLAN技术允许跨越多个交换机的多个不同端口划分VLAN,不同交换机上的若干个端口可以组成同一个虚拟网。以交换机端口来划分网络成员,其配置过程简单明了。

3.计算机病毒、黑客以及电子邮件应用风险防控设计 我们采用防病毒技术,防火墙技术和入侵检测技术来解决相关的问题。防火墙和入侵检测还对信息的安全性、访问控制方面起到很大的作用。

第一,防病毒技术。病毒伴随着计算机系统一起发展了十几年,目前其形态和入侵途径已经发生了巨大的变化,几乎每天都有新的病毒出现在INTERNET上,并且借助INTERNET上的信息往来,尤其是EMAIL进行传播,传播速度极其快。计算机黑客常用病毒夹带恶意的程序进行攻击。

为保护服务器和网络中的工作站免受到计算机病毒的侵害,同时为了建立一个集中有效地病毒控制机制,天下论文网需要应用基于网络的防病毒技术。这些技术包括:基于网关的防病毒系统、基于服务器的防病毒系统和基于桌面的防病毒系统。例如,我们准备在主机上统一安装网络防病毒产品套间,并在计算机信息网络中设置防病毒中央控制台,从控制台给所有的网络用户进行防病毒软件的分发,从而达到统一升级和统一管理的目的。安装了基于网络的防病毒软件后,不但可以做到主机防范病毒,同时通过主机传递的文件也可以避免被病毒侵害,这样就可以建立集中有效地防病毒控制系统,从而保证计算机网络信息安全。形成的整体拓扑图。

第二,防火墙技术。企业防火墙一般是软硬件一体的网络安全专用设备,专门用于TCP/IP体系的网络层提供鉴别,访问控制,安全审计,网络地址转换(NAT),IDS,,应用代理等功能,保护内部局域网安全接入INTERNET或者公共网络,解决内部计算机信息网络出入口的安全问题。

校园网的一些信息不能公布于众,因此必须对这些信息进行严格的保护和保密,所以要加强外部人员对校园网网络的访问管理,杜绝敏感信息的泄漏。通过防火墙,严格控制外来用户对校园网网络的访问,对非法访问进行严格拒绝。防火墙可以对校园网信息网络提供各种保护,包括:过滤掉不安全的服务和非法访问,控制对特殊站点的访问,提供监视INTERNET安全和预警,系统认证,利用日志功能进行访问情况分析等。通过防火墙,基本可以保证到达内部的访问都是安全的可以有效防止非法访问,保护重要主机上的数据,提高网络完全性。校园网网络结构分为各部门局域网(内部安全子网)和同时连接内部网络并向外提供各种网络服务的安全子网。防火墙的拓扑结构图。

内部安全子网连接整个内部使用的计算机,包括各个VLAN及内部服务器,该网段对外部分开,禁止外部非法入侵和攻击,并控制合法的对外访问,实现内部子网的安全。共享安全子网连接对外提供的WEB,EMAIL,FTP等服务的计算机和服务器,通过映射达到端口级安全。外部用户只能访问安全规则允许的对外开放的服务器,隐藏服务器的其它服务,减少系统漏洞。

篇2：关于校园网网络安全设计方案

[关键词] 网络安全方案设计实现

一、计算机网络安全方案设计与实现概述

影响网络安全的因素很多，全的主要技术有防火墙技术、入侵检测技术、安全评估技术、防病毒技术、加密技术、身份认证技术，等等。为了保护网络系统的安全，行整合，建立一个完整的、立体的、解决方案，可以防止安全风险的各个方面的问题。

二、计算机网络安全方案设计并实现

1.桌面安全系统

用户的重要信息都是以文件的形式存储在磁盘上，这样可以提高办公的效率，动办公的情况更是如此。件泄密等安全隐患。

本设计方案采用清华紫光公司出品的紫光信息安全保护系统”的商品名称。紫光算协处理器（CAU）、只读存储器（储器（E2PROM）等，以及固化在tem）、硬件ID号、各种密钥和加密算法等。紫光artCOS，其安全模块可防止非法数据的侵入和数据的篡改，2.病毒防护系统

基于单位目前网络的现状，在网络中添加一台服务器，用于安装必须结合网络的具体需求，将多种安全措施进多层次的网络安全防御体系，SS锁的内部集成了包括中央处理器（ROM），随机存储器（ROM内部的芯片操作系统这样一个全面的网络安全使用户可以方便地存取、修改、分发。造成泄密。特别是对于移防止文“紫光S锁”是清华紫光“桌面计算机CPU）、加密运RAM）、电可擦除可编程只读存COS（Chip Operating SysS锁采用了通过中国人民银行认证的Sm防止非法软件对S锁进行操作。IMSS。

保护网络安全的技术、手段也很多。一般来说，保护网络安但同时也造成用户的信息易受到攻击，因此，需要对移动用户的文件及文件夹进行本地安全管理，锁产品，（1)邮件防毒。采用趋势科技的ScanMail for Notes。该产品可以和Domino的群件服务器无缝相结合并内嵌到Notes的数据库中，可防止病毒入侵到LotueNotes的数据库及电子邮件，实时扫描并清除隐藏于数据库及信件附件中的病毒。可通过任何Notes工作站或Web界面远程控管防毒管理工作，并提供实时监控病毒流量的活动记录报告。ScanMail是Notes Domino Server使用率最高的防病毒软件。

（2)服务器防毒。采用趋势科技的ServerProtect。该产品的最大特点是内含集中管理的概念，防毒模块和管理模块可分开安装。一方面使所有服务器的防毒系统可以从单点进行部署，管理和更新。（3)客户端防毒。采用趋势科技的使管理者通过单点控制所有客户机上的防毒模块，更新。其最大特点是拥有灵活的产品集中部署方式，不受支持SMS，登录域脚本，共享安装以外，还支持纯（4)集中控管TVCS。管理员可以通过此工具在整个趋势科技的防病毒软件，支持跨域和跨网段的管理，无论运行于何种平台和位置，装和分发代理部署，网络的分析和病毒统计功能以及自动下载病毒代码文件和病毒爆发警报，给管理带来极大的便利。3.动态口令身份认证系统动态口令系统在国际公开的密码算法基础上，通过十次以上的非线性迭代运算，先进的身份认证及加解密流程、先进的密钥管理方式，从整体上保证了系统的安全性。4.访问控制“防火墙”

单位安全网由多个具有不同安全信任度的网络部分构成，访问、辨别身份伪装等方面存在着很大的缺陷，方案选用四台网御防火墙，这些重要部门的访问控制。通过在核心交换机和高性能服务器群之间及核心交换机和重要部门之间部署防火墙，过防火墙将网络内部不同部门的网络或关键服务器划分为不同的网段，保护了单位网络服务器，使其不受来自内部的攻击，来自单位网内部其他部门的网络的攻击。一方面减少了整个防毒系统对原系统的影响，另

OfficeScan。该产品作为网络版的客户端防毒系统，并可以自动对所有客户端的防毒模块进行Windows域管理模式的约束，除Web的部署方式。

企业范围内进行配置、监视和维护并能显示基于服务器的防病毒产品状态。TVCS在整个网络中总起一个单一管理控制台作用。简便的安

结合生成动态口令的特点，加以精心修改，完成时间参数与密钥充分的混合扩散。在此基础上，采用在控制不可信连接、分辨非法从而构成了对网络安全的重要隐患。本设计实现通彼此隔离。这样不仅也保护了各部门网络和数据服务器不受如果有人闯进您的一个部门，或者如果病毒开始蔓

分别配置在高性能服务器和三个重要部门的局域网出入口，延，网段能够限制造成的损坏进一步扩大。5.信息加密、信息完整性校验

为有效解决办公区之间信息的传输安全，可以在多个子网之间建立起独立的安全通道，通过严格的加密和认证措施来保证通道中传送的数据的完整性、真实性和私有性。SJW-22网络密码机系统组成网络密码机（硬件）:是一个基于专用内核，具有自主版权的高级通信保护控制系统。本地管理器（软件）络密码机本地管理系统软件。中心管理器（软件）机设备进行统一管理的系统软件。6.安全审计系统根据以上多层次安全防范的策略，安全网的安全建设可采取的方法，“内审息是否泄密，以解决内层安全。安全审计系统能帮助用户对安全网的安全进行实时监控，及时发现整个网络上的动态，发现网络入侵和违规行为，重要的一种手段，安全审计系统包括识别、记录、存储、分析与安全相关行为有关的信息。

在安全网中使用的安全审计系统应实现如下功能：成、安全审计分析、安全审计浏览、安全审计事件存储、安全审计事件选择等。本设计方案选用汉邦安全审计系统是针对目前网络发展现状及存在的安全问题，人员而设计的一套网络安全产品，制系统。

（1）安全审计系统由安全监控中心和主机传感器两个部分构成。主机传感器安装在要监视的目标主机上，其监视目标主机的人机界面操作、监控及共享资源的使用情况。心为主机传感器设定监控规则，文件保护审计和主机信息审计。①文件保护审计：:是一个安装于密码机本地管理平台上的基于网络或串口方式的网

:是一个安装于中心管理平台（忠实记录网络上发生的一切，”的安全审计系统作为安全审计工具。是一个分布在整个安全网范围内的网络安全监视监测、同时获得监控结果、Windows系统）上的对全网的密码“加密”、“外防”、“内审”相结合提供取证手段。作为网络安全十分安全审计数据生

面向企事业的网络管理控RAS连接、监控网络连接情况网络管理员通过安全监控中主要功能有

”是对系统内部进行监视、审查，识别系统是否正在受到攻击以及内部机密信安全审计自动响应、“汉邦软科安全监控中心是管理平台和监控平台，报警信息以及日志的审计。文件保护安装在审计中心，可有效的对被审计主机端的文件进行管理

规则设置，包括禁止读、禁止写、禁止删除、禁止修改属性、禁止重命名、记录日志、提供报警等功能。以及对文件保护进行用户管理。

②主机信息审计:对网络内公共资源中，所有主机进行审计，可以审计到主机的机器名、当前用户、操作系统类型、IP地址信息。

（2)资源监控系统主要有四类功能。①监视屏幕:在用户指定的时间段内，系统自动每隔数秒或数分截获一次屏幕;用户实时控制屏幕截获的开始和结束。

②监视键盘:在用户指定的时间段内，截获户实时控制键盘截获的开始和结束。③监测监控RAS连接：在用户指定的时间段内，记录所有的时控制ass连接信息截获的开始和结束。当连接的操作。

④监测监控网络连接：在用户指定的时间段内，记录所有的网络连接信息UDP，NetBios）。用户实时控制网络连接信息截获的开始和结束。由用户指定非法的网络连接列表，当出现非法连接时，系统将自动进行报警或挂断连接的操作。单位内网中安全审计系统采集的数据来源于安全传感器，保证探头能够采集进出网络的所有数据。上，负责为主机传感器设定监控规则，同时获得监控结果、报警信息以及日志的审计。内网中的安全计算机为600台，需要安装7.入侵检测系统IDS

入侵检测作为一种积极主动的安全防护技术，实时保护，在网络系统受到危害之前拦截和响应入侵。的角度出发，入侵检测理应受到人们的高度重视，可以看出。

根据网络流量和保护数据的重要程度，选择的交换机处放置，核心交换机放置控制台，和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。在单位安全内网中，入侵检测系统运行于有敏感数据的几个要害部门子网和其他部门子网之间，通过实时截取网络上的是数据流，他网络违规活动。8.漏洞扫描系统

本内网网络的安全性决定了整个系统的安全性。患扫描I型联动型产品。I型联动型产品适用于该内网这样的高端用户，持式扫描仪和机架型扫描服务器结合一体，网管人员就可以很方便的实现了集中管理的功能。网络人员使用I型联动型产品，程较高的扫描速度的扫描，可以实现和策略。同时移动式扫描仪可以跨越网段、支持定时和多IP地址的自动扫描，网管人员可以很轻松的就可以进行整个网络的扫描，根据系统提供的扫描报告，配合我们提供的三级服务体系，高了工作效率。

联动扫描系统支持多线程扫描，网管人员可以很轻松的对自己的网络进行扫描和漏洞的弥补。同时提供了Host Sensor Programgas连接非法时，系统将自动进行报警或挂断计算机，所以应在安全计算机安装主机安全监控中心安装在信息中心的一台主机600个传感器。提供了对内部攻击、从网络安全的立体纵深、这从国际入侵检测产品市场的蓬勃IDS探测器（百兆）配置在内部关键子网监控和管理所有的探测器因此提供了对内部攻击分析网络通讯会话轨迹，在内网高性能服务器处配置一台网络隐200信息点以上的多个网络进行多线IDS、防火墙联动，尤其适合于制定全网统一的安全穿透防火墙，实现分布式扫描，服务器和扫描仪都大大的减轻了工作负担，支持定时和多RAS连接信息。用户实(外部攻击和误操作的 寻找网络攻击模式和其I型联动型产品由手IP地址的自动扫描，Web，单位发展就用户的所有键盘输入，用

包括:TCP多层次防御 就可以很方便的对极大的提有较高的扫描速度，方式的远程

管理，网管不需要改变如何的网络拓扑结构和添加其他的应用程序就可以轻轻松松的保证了网络的安全性。另外对于信息点少、网络环境变化大的内网配置网络隐患扫描II型移动式扫描仪。移动式扫描仪使用灵活，可以跨越网段、穿透防火墙，对重点的服务器和网络设备直接扫描防护，这样保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性，最大可能地消除安全隐患。

在防火墙处部署联动扫描系统，在部门交换机处部署移动式扫描仪，实现放火墙、联动扫描系统和移动式扫描仪之间的联动，保证了网络安全隐患扫描仪和其他网络安全产品的合作和协调性，最大可能的消除安全隐患，尽可能早地发现安全漏洞并进行修补，优化资源，提高网络的运行效率和安全性。

三、结束语

随着网络应用的深入普及，网络安全越来越重要，有了更高的要求。一个特定系统的网络安全方案，系统的实际应用而做。由于各个系统的应用不同，化为一个模式，用这个模子去套所有的信息系统。本文根据网络安全系统设计的总体规划控制、信息加密、信息完整性校验、抗抵赖、安全审计、入侵检测、漏洞扫描等方面安全技术和管理措施设计出一整套解决方案，目的是建立一个完整的、防御体系。

论文参考

篇3：校园网络安全设计方案

1 校园网面临的安全威胁

校园网作为网络的一部分, 所面临的威胁主要有两大类:一是非人为因素造成的威胁;另一类是人为因素造成的威胁[1]。人为因素又有恶意和非恶意之分, 如图1所示。非人为因素造成的威胁主要是自然灾害如地震、水灾、火灾等。非恶意的人为因素主要是不熟练操作失误造成的, 这些威胁不常发生;但黑客对网络的攻击却从未停止。

校园网还有其使用对象的特殊性, 校园网上有教师与学生两类使用主体, 其都是利用校园网进行教与学相关的活动。特别是学生这类主体人数众多, 使用网络的水平参差不齐, 利用网络的目的也各不相同, 就这一特点也决定了校园网所面临的威胁会较多。下面列举几个来自学生的安全威胁: (1) 出于好奇, 或出于其他目的, 在网络上修改IP地址, 造成IP地址冲突, 影响了其他用户正常使用网络; (2) 为逃避计费, 可能在交换机的某个端口上大量接入用户, 非法占用校园网资源; (3) 为验证所学的网络知识, 或出于其他目的, 不讲社会公德, 对校园网进行攻击如Ddos、端口扫描、木马攻击等。

2 构建安全的网络架构

要保证校园网络的安全首先必须要有一个好的拓扑结构, 图2 是某学院校园网拓扑结构图, 在这个网络规划当中设计人员已充分考虑到校园网的各种安全因素, 同时也考虑了网络的实用性。

2.1 备份链路提高网络的容错能力

为提高网络可靠性和容错性, 在此网络的主要核心设备间使用了备份链路, 每台路由器与两台核心交换机之间使用了双链路连接, 使得用户访问外网的可靠性得到较好的提升。两台核心交换机之间也使用双链路连接, 并使用端口聚合技术, 既保证了链路的相互备份, 又提高了交换带宽。

2.2 防火墙与入侵检测联动

防火墙是布署在用户内联网络和外联网络之间的一道屏障, 在防火墙上可以预设一些安全规则ACL, 并对通过的数据流进行检测, 符合安全规则的数据流将准予放行, 而不符合安全规则的数据流将被阻隔, 从而起到保护内联网络资源的作用。总之, 防火墙拥有内联网和外联网之间的唯一进出口, 因此能够使内联网与外联网, 尤其是与Internet互相隔离[2]。但在该拓扑结构中, 针对校园网的一些特点对传统的拓扑结构作了改进, 把防火墙放在核心交换机和服务器群之间, 原因主要有两个:一是除外部的黑客可能攻击服务器资源外, 校园网内部用户也可能去攻击网络。二是虽然在外网与内网主机之间少了防火墙的保护, 但黑客去攻击网络中一般的主机并无意义。这样把防火墙放在离网络资源最近的地方可以防止外部和内部攻击, 同时又降低了流经防火墙的的流量, 减轻了防火墙的压力。随着网络探测与攻击技术的日新月异, 这也使得以单纯性阻挡为目的的防火墙捉襟见肘[2]。入侵检测技术可以主动探测入侵行为, 为系统提供更强大、更可靠的主动安全策略和解决方案, 弥补了防火墙的不足。该拓扑中引入了防火墙与入侵检测联动机制, 当入侵检测系统在捕捉到某一攻击事件后, 按策略进行检查, 如果策略中对该攻击事件设置了防火墙阻断, 那么入侵检测系统就会发给防火墙一个相应的动态阻断策略。防火墙根据该动态策略中的设置进行相应的阻断, 阻断的时间、阻断时间间隔、源端口、目的端口、源IP和目的IP等信息, 完全依照入侵检测系统发出的动态策略来执行[4]。

2.3 VPN

工作人员在外出差, 要安全使用学校内部资源, 就可利用VPN提供的功能, 在外部公共网络Internet上动态架设通往校园网的虚拟专用通道。如果学校有多个校区, 同样也可使用VPN技术, 把多个校区的网络实现安全的连接。

3 校园网的安全管理

校园网络的安全除了要有完善的架构外, 安全管理也十分重要。下面主要从应用VLAN技术、交换机端口安全和网络存储等方面, 阐述如何进行校园网的安全管理[5,6]。

3.1 应用VLAN技术提升网络安全性能

校园网络中实施VLAN技术可以提高网络管理效率、性能、带宽及灵活性, 使不同部门之间的信息得到有效保护, 同时还能控制广播风暴, 提高校园网的安全性[3]。在校园中针对不同部门创建不同的VLAN, 学生也可使用独立的VLAN, 同时要增加一个管理VLAN, 便于对整个网络资源进行管理。不同的VLAN可以配置不同的访问权限, 从而有效地保证了网络资源的安全。

3.2 配置交换机端口安全限制非法网络接入

交换机的端口安全能从限制接入端口的最大连接数、接入的MAC地址和IP地址来达到安全配置。这样可有效解决学生非法接入或更改IP地址等问题。如有非法行为发生, 将会触发与此设备相连的交换机端口产生一个违例, 关闭这个端口, 未经学校网络管理员的处理, 是不可以再继续使用网络的。交换机的端口安全功能主要是在接入层交换机上配置, 将非法接入的设备挡在最低层。

3.3 使用网络存储技术保护网络重要数据

校园网络上有些数据资源十分重要, 这些数据如果出现异常, 会引起校园混乱, 因此除了要利用防火墙、入侵检测等网络安全设备对服务器进行保护防止数据被非法篡改外, 还要防止硬件故障引起的数据丢失或损坏等情况的发生, 此时最有效的就是使用网络存储技术来对这些数据进行备份和校验。通常可以选用DAS、NAS、RAID等技术来解决重要数据的存储问题。

4 结束语

尽管人们的防范意识在不断增强, 网络技术也在不断成熟, 但黑客的攻击从未停止过, 并且攻击手段也越来越高明, 所以保障校园网络系统安全任重道远。文中讨论的方案在南通航运职业技术学院校园网上已经实施较长时间, 证明这套安全方案是有效可行的。

摘要：分析了校园网面临的各种安全威胁, 并以南通航运职业技术学院校园网为背景, 针对各种威胁提出了链路备份、防火墙与入侵检测联动、虚拟专用网、虚拟局域网、交换机端口安全以及网络存储等一系列切实可行的解决方案或建议。

关键词：防火墙,入侵检测,虚拟专用网,端口安全,网络存储

参考文献

[1]高峡, 陈智罡, 袁宗福.网络设备互联[M].北京:科学出版社, 2009.

[2]马春光, 郭方方.防火墙、入侵检测与VPN[M].北京:邮电大学出版社, 2008.

[3]魏麟.VLAN技术在校园网中的应用[J].电脑知识与技术, 2008 (30) :191.

[4]于占虎.网络安全中的防火墙与联动工作策略[J].辽宁师专学报:自然科学版, 2004 (3) :40-43.

[5]陈显亭, 贾晓飞.网络出口转换技术研究[J].电子科技, 2010, 23 (12) :77-79.

篇4：关于校园网网络安全设计方案

关键词：高校；校园网络；安全防护方案；设计；实施

校园网络安全指的就是校园网络中硬件、软件和网络中一切数据资源都需保护，不受偶然或者有意攻击而受到破坏、更改、泄露，保证系统连续、可靠、正常地运行，网络服务不中断，而校园网络安全的核心就是校园信息安全，通过校园网络安全防护方案保证校园信息安全，提升校园网络防护水平。

一、高校校校园网络防护方案需求性研究、校园网络使用结构变化

首先，校园网络使用人广泛，原有的有线网络已经不能适应网络需求，作为一个小社会的大学校园，校园网使用人，包括有：教师、学生、办公人员以及校园工作人员，其中有很大一部分属于科研网络，其保密性在一定程度上应该得到保证。在现在情况下出现了有线网络与无线网络并行的状况，导致原有基于有线网络的网络使用结构变成了有线与无线网络混用的使用结构，在进行网络运作时，校园网出口众多，包括教育网出口、联通出口、电信出口，原有的旧式简单的防火墙设置与准入设置已经很难进行有效网络保护，而现在校园网络中学生使用的大多是无线网络，其性能不很稳定，安全问题更是由于技术发展的前进性而变得不稳定。

其次，现在网络使用人群以及主要使用方向在校园内已经发生的重大变化，简单来说，就是网络使用主体由有线向无线转换，网络使用人员主体有学生向教师转换，网络使用目的由原来较为单纯的科研向多样化转变。在2012年3月30日，中国教育与科研计算机网发布调查结果显示，校园网络支撑平台方面，已经基本实现了高带宽、可信任、可控可管，但是在进行网络校园安全防护设计时很多学校仍旧采用原有的防火墙技术，其安全隐患不容小视。

第三，校园网络使用出现峰值状态的情况已经成为常态，且峰值情况对于网络的压力耿佳佳加大。在原有以科研为主的网络使用状况中，总提升网络使用是可控的，一定程度上说也是有计划的使用网络的一部分，但是现在校园生活网络与科研网络混用的情况已经成为一种新常态，在加上网络用户增多以及大学生课时运作等原因，很容易在晚上九点到十二点之间形成网络峰值，由此导致网络状态不稳定，为网络安全留下很大的漏洞。

二、学生半社会人状态

在进行网络安全设计时，尤其应该注意的是在高校中尤其是在现在所谓的“大学城”中，学生已经成为最主要的网络用户，而网络实际上已经成为他们的重要社会工具，完成学生们大量的社会活动，所以必须进行学生社会状体的探讨。对于现而今大学生的社会状态进行讨论，由于其在大学中存在又复杂的社会分层，所以只能进行类似于整体性的研究。大学生由于大部分经济处于不独立或者半独立状态，所以虽然他们在法律上早已是民事行为能力人，但是在不论实在社会实践中，还是在他们自我潜意识中，在很大程度上仍旧视其为“半社会人”，尤其是在关于其切身利益经济与社会活动中，典型就是银行拒绝对他们进行信用卡办理，而且这种“半社会人”设定也有其合理性，如果过分强调自身社会能力就会出现类似于“易租宝”之类的事件。虽然如此，在校园网络安全设计中我们要考虑的确是大学生社会人的属性。所谓“社会人”属性，就是人在社会上旅行的义务以及享受权利的属性，在一定程度上就是人在社会中的独立性，典型就是社会隐私保护以及相应的信息保护，而社会人要求的就是自身具有自身安全状态。

在校园中大学生处于血气方刚的状态，他们学习生活基本处于慢状态，在加上大学是思考的天堂，学生与教师是思考的主体，所以大学生们也有大量的时间来进行自己学习与生活的思考，任何针对于他们的强制措施，都要做好面临巨大压力的准备，尤其是类似于网络安全设计的工作，很容易被认为是侵犯自由且是一种不尊重他们获取信息的权力的行为。在乎烧学校因为过分强调所谓的安全，而又不与学生沟通，教育官僚缺乏协商精神，只是利用所谓“学生会”一纸通告了事，不但影响学生学习状态，而且造成学生们中间议论纷纷，甚至于引发学生与学校的冲突，得不偿失。其实，这在一定程度上是对学生社会权力的漠视以及领导者们权力思维惯性在作怪，而现在大学生的社会性更胜以往，这也是在进行高校网络安全翻书设计实施时尤应注意的问题。

三、校园网络安全形势复杂

现在网络安全形式较之以往更加复杂。首先，应该注意的就是电脑病毒，现在的电脑病毒具有传播速度快、查杀难度大、传播方式隐蔽的特点，由于学校处于电脑网络密集区，所以一旦發生电脑病毒感染，很容易引发连锁反应，引发电脑与网络大面积瘫痪，以蠕虫病毒为例，现在蠕虫病毒的传播更加隐蔽，而触发几率以及造成危害却更大，有些蠕虫病毒甚至于在重新更换系统之后仍旧停留在电脑内，窥一斑可见全豹，由此可见技术手段对校园网络安全形势的影响。

其次，就是所谓的意识形态渗透。其中的典型就是敏感事件与敏感词汇在校园网络的中的屏蔽问题，这也是校园网络安全中最复杂和最困难的方面，如何区分学术自由与意识形态渗透，如何让向学生解释敏感词汇，如何通过技术手段进行传播阻断而又不被道德谴责，都是在进行网络安全设计中必须要考虑的问题，更重要的是，在此过程中可能会出现全体型事件的诱因，引发学生与一部分教师对校园网络安全设计目的初衷的思考，对于未来校园网络安全防护实施有重大的影响。

nlc202309082138

四、现有高校校园网络方案整体性研究

1、現有校园网络安全方案建立基础。在现在的校园网络安全方案中，其建立的基础可以分为技术基础与伦理基础。所谓技术基础指的就是以网络分层结构设计思想为主要设计理念，通过密码学以及加密技术、防火墙技术、身份认证、入侵检测、扫描漏洞等进行，通过技术防范以病毒为代表技术性破坏，同时也以此为技术手段进行敏感词语与敏感事件的屏蔽，这些技术在现在基本都趋于成熟，但是在应用层面也存在因为程序漏洞而造成的安全危机的状况。

伦理基础，就是进行该行为的正当性，大学生处于人生观与价值观形成的重要阶段，在这一阶段中由于大学身价值观的不确定，同时也造成了大学生行为的不可预测性大大增强，这就要求高校在进行网络安全防护建设与实施时，充分与学生进行对话，了解他们对于此种防护方案的接受能力，并且积极做好相应的透明化措施，做到防护“防外不防内”，通过中国文化中固有的内外相制的文化结构，完成校园内部和谐。

2、现有网络安全方案典型状态。在现在的国内高校管理设置中，基本结构采用的都是三层交换网络，并且在标准化的大旗下，完成对病毒以及其他形式系统性攻击，保证系统安全，同时在此基础上以标准化为蓝本完成安全联动系统，进行源头组织，完成学校网络安全的保障，通过校园骨干网设计，提升网络安全性建立起坚强的校园网络传输体系，并且在此处上建立相配套的源头设计完成安全性整体性构建，核心交换机通过设备冗余进行故障避免，加强准入终端控制，完成源头控制，进行安全化的 NAT 配置，进行安全性稳定化。

3、现有网络安全方案带来的经验教训。现有网络安全方案使用讨论多集中于技术层面，从上文中可得现有网络安全方案使用的都是较为成熟的技术，但是其整体化设计颇显不足，存在“头痛医头脚痛医脚”的情况，但是在具体技术上可以说完全能够适应现在网络安全防护方案设计情况以及具体工程实施；但是现在对技术的关注明显多于对防护方案伦理合法性的关注，在设计方案时很多情况下，存在主观目的决定论，即我认为是在对你好，你必须无条件服从我。这使高校网络安全方案在实施过程中可能面临巨大的舆论压力，加上某些学校在实施过程中不透明，导致学生更加不信任所谓的“网络安全防护”由此造成方案实施困难。同时，我们也要看到在高校网络安全设计过程中形成了一套行之有效的制度，即通过安全策略的风险分析——扫描技术漏洞检测——启动防火墙预警——检测入侵设置——系统响应然后进行反击，对于现在网络安全方案中应该进行有机继承。在对高校校园网络防护方案未来发展以校园整体社会共识为基础，充分实现技术与尊严统一，实现技术与制度整体化操作。

三、结语

在本文以高校校园网络安全防护方案设计与实施过程中人文性为切入点，通过一部分技术性讨论，认为在现实高校环境下网络安全技术已经成熟，但是重要的就是进行校园社会共识的凝聚，实现技术与尊严的统一。

参考文献

[1] 李影.分析计算机网络的安全漏洞及对策[J].信息与电脑，2010，（9）：56～58.

[2] 贺卫红.“数字湖工”校园网中安全策略的设计与实现[D].成都：电子科技大学，2010：25～30.

篇5：校园安全设计方案策划

开展安全教育工作是作好教育工作的本职要求，是维护和实践人民根本利益的必然需要，也是构建社会主义和谐社会的基本要求。应对当前的严峻形势，培养学生的安全意识，提高学生的安全防范能力，营造健康、文明、和谐的校园氛围。

二、活动主题：

安全教育，从学生自己做起。

三、活动内容

开展安全自我教育系列活动，体现校园安全建设的特色。具体活动安排如下：

(一)举行以安全为主题的“国旗下讲话”

每星期一课间操由共青团组织“国旗下讲话”，选派学生代表向全校师生作“安全从我做起”讲演，大力宣传安全知识，营造良好的氛围。

(二)举行以安全为主题的漫画展览

由美术兴趣小组负责组稿，定期定位展览，并通过校园网对外展示学生的安全自我教育的成果

(三)学生自唱安全歌曲

在校音乐兴趣小组的指导下，学生能流利哼唱安全歌曲，择机开展OK赛。

(四)学生安全知识汇报课

根据学生平时积累的安全知识，利用班会课，让学生向自己的同伴汇报自己所掌握的安全知识或者安全案例评析。

(五)学生轮流出一期专题黑板报

利用教室后黑板，让学生轮流刊出一期安全专题的黑板报。

(六)学生书写安全每日一语

在班级开辟“安全每日一语”专栏，及时宣传安全心得，让每个学生都能体会到安全就在我身边(每天可以用图片邮发汇报)。

(七)开展“安全从我做起，从身边的小事做起”实践活动

要求学生能为家庭、学校、班级做力所能及的安全宣传。

(八)举行课前三分钟安全主题演讲

每个班级每天不少于1次的课前三分钟安全主题演讲

四、家长与学生的反馈

家长对于学校班级的活动非常满意，学生对于活动十分积极，学生对于安全的意识加强了。

五、教师的个人体会

篇6：校园网络设计方案

一、需求分析

根据校园的基本情况，校园网络设计要满足以下要求：

1、提供各种灵活多变的校园连网方式，校园网络系统要有一定的可扩充性和可扩展性。

2、提供高速平台与足够的带宽，为将来的OA系统、图象系统、Internet/Intranet、远程教学、多媒体教学应用等系统提供一条可靠、健全的“信息高速公路”。

3、必须对整个校园网络进行有效的集中资源管理和网络管理。

4、可以为校园内各个系之间提供邮件服务、文件服务、WEB服务等多种Internet服务。

二、设计分析

根据校园网络需求和学校的实际情况，校园网络方案设计应注重设备选型的性能价格比，采用成熟可靠的技术，为学校设计成一个技术先进、灵活可用、性能优秀、可升级扩展的校园网络。

考虑到学校的中长期发展规划，在校园网络结构、校园网络应用、校园网络管理、校园网络系统性能以及远程教育等各个方面能够适应未来的发展，最大程度地保护学校的投资。学校借助校园网络的建设，可充分利用丰富的网上应用系统及教学资源，发挥网络资源共享、信息快捷、无地理限制等优势，真正把现代化管理、教育技术融入学校的日常教育与办公管理当中。校园网络具体功能特点如下：

技术先进

•采用千兆以太网技术，具有高带宽1000Mbps速率的主干，100Mbps到桌面，运行目前的各种应用系统绰绰有余，还可轻松应付将来一段时间内的应用要求，且易于升级和扩展，最大限度的保护用户投资;•网络设备选型为国际知名产品，性能稳定可靠、技术先进、产品系列全及完善的服务保证;• 采用支持网络管理的交换设备，足不出户即可管理配置整个网络。网络互联：

•有综合网络办公系统及各个应用管理系统，实现办公自动化，管理信息化;•有以WEB数据库为中心的综合信息平台，可进行消息发布，招生广告、形象宣传、课业辅导、教案参考展示、资料查询、邮件服务及远程教学等。

三、设计原则

校园网络系统设计中采用以下原则：

1、实用性

整个校园网络的功能应完全立足于学校管理和教学的需求，保证系统信息处理和传递的安全、可靠、及时、准确。

2、开放性

构造一个开放的校园网络系统，是当前世界计算机技术发展的潮流，因此我们在整个校园网络系统的设计中采用的规范、设备与厂商无关，具有较强的兼容性，便于与外界异种机平滑互联。

3、先进性

当今的计算机网络技术发展日新月异，把握不准的方向则可能导致在很短的时间内技术落伍，从而面临被淘汰的危险。因此在坚持实用性的前提下，校园网络方案设计中应尽量采用国际先进成熟的网络技术和设备，适合未来的发展，做到一次规划长期受益。

4、可扩充性

校园网络方案及设备要能适应网络规划的不断扩大的要求，以便于将来设备的扩充;要能适应信息技术不断发展的要求，平稳地向未来新技术过渡。

5、可靠性

校园网络方案设计除采用信誉好，质量高的设备外，还采用一系列容错、冗余技术、提高整个系统的可靠性。

6、安全性

安全性包括两个方面，一、网络用户级的安全性;

二、数据传输级的安全性。网络用户级的安全性应在校园网络的操作系统中予考虑，而数据传输的安全性则必须在网络传输时解决。

四、校园网络方案设计

校园网络方案设计具体分为：校园网络中心设计、教学子网设计、办公子网设计、图书馆子网设计、宿舍子网设计及后勤子网设计等。

1、校园网络中心的设计 校园网络中心设计主要是校园主干网络的设计。

主干网在整个校园网络系统中占有举足轻重的地位，它是整个校园网络的中枢。主干网负责学校各个局域网之间的数据传输，信息发布，资源共享，学校以后的办公自动化系统，VOD系统，远程教学系统，internet接口，与其他兄弟学校的数据交换都将运行在这个网络上，主干网的好坏直接影响到以后网络系统的运行效率，速度快慢,网络性能等参数。因此，应建立一条高速的、多能的、可靠的、易扩展的主干网络，解决目前存在的带宽问题，和适应未来发展的需要。

2、教学子网的设计

校园网络建网的目的之一，是利用网络实现多媒体教学，如：交互式多媒体课堂、电子阅览室、教师培训等。多媒体教学的难点在于实现视频信号的传送(如VOD视频点播)。大量用户(指超过60个流)的视频传输的瓶颈在于存储介质的外部传输速率，因此可选用多通道的磁盘阵列接多台主机的方式提高访问的总线带宽。

3、办公子网的设计

办公子网主要面向校园的各级领导及各职能部门，能够实现对网络数据的查询、修改、添加、删除等操作，同时，应该能够满足支持视频传送的要求。采用以太网打印机可以完成共享打印功能。

4、图书馆子网的设计

图书馆是一个相对独立的系统，设计应满足如下需求： 管理的需求

如何利用有限的人力物力对图书馆网络进行高效管理，一体化管理众多的设备和用户，在出现网络故障时快速定位，这些都成为图书馆网络建设时要考虑的重点。

高智能的考虑

随着大量网络业务在图书馆中的应用，如何对网络应用差异化，使图书馆的网络更加智能化，成为了图书馆网络建设中必然的要求。

存储的需求

在高速发展的互联网时代，数字化图书馆作为以内容管理为核心，以海量信息处理、数据加工和交流为主要技术手段的基础服务平台，是网络数字信息服务门户。因此，数字图书馆的建设，对存储提出了需求。

馆外访问的需求 图书馆的丰富的藏书和报刊，以及大量的网络数据库是图书馆网上最为丰富的信息库。但目前大部分的图书馆资源只能在馆内访问，而众多读者的迫切需求是不受图书馆地点的限制，轻松自由获取图书馆信息资源。因此，通过合理的授权使得不在图书馆也能够访问馆内资源成为图书馆网络建设的追求目标。

5、生活区子网及后勤子网等的设计

生活区子网即在学生宿舍内部连网，用以直接浏览校园发布的信息及查阅一些电子文档资料;后勤子网覆盖范围较大，主要用途有食堂IC卡计费系统等。

五、校园络拓扑图

篇7：校园网络顶层设计方案

信息化顶层设计方案

**学院 2015年1月

目录

一、学校业务战略目标与信息化发展需求...............................4

（一）学校发展总体目标..........................................4

（二）学校信息化需求.........................................4

二、学校发展现状...................................................6

（一）学校业务及系统应用现状....................................6

（二）学校信息资源现状.........................................10

（三）学校信息基础设施现状.....................................12

（四）相关保障机制建设情况.....................................14

三、总体架构......................................................15

四、业务架构......................................错误！未定义书签。

五、数据资源架构..................................................16

（一）媒体资源库...............................................16

（二）文献资源库...............................................17

（三）公共数据库...............................................18

六、应用系统架构..................................................18

（一）教学系统.................................................18

（二）创作系统.................................................21

（三）管理系统.................................................22

（四）内容管理系统.............................................33

（五）网站群建设...............................................33

（六）信息填报系统.............................................34

七、基础设施技术架构..............................................35

（一）应用支撑平台.............................................35

（二）网络基础设施.............................................41

（三）核心机房及综合布线.......................................42

（四）云平台...................................................43

八、标准政策体系..................................................46

（一）网络与信息安全规范.......................................46

（二）数据标准规范.............................................46

（三）管理制度及管理规范.......................................47

九、顶层设计实施方案..............................................47

（一）目标架构实现路径.........................................47

（二）项目设计.................................................49

（三）配套实施策略.............................................49

**学院信息化顶层设计方案

为贯彻落实《智慧行动纲要》，推动我校信息化工作科学发展，根据市经信委《市经济和信息化委员会关于开展“智慧”顶层设计的通知》（京经信委发[2012]21号）文件精神和市教委做好教育系统教育信息化顶层设计的工作要求，根据教育部《教育信息化十年发展规划（2011-2020年）》和《市“十二五”时期教育改革和发展规划》，按照“智慧”顶层设计总体要求，围绕学校发展目标制定本顶层设计方案。

一、学校业务战略目标与信息化发展需求

（一）学校发展总体目标

（二）学校信息化需求

根据学校的整体发展目标与思路，结合信息化工作特点，提炼出如下信息化需求：

 业务流程梳理与业务需求整理

从我校特色教育环境出发，以教育部教育服务与监管业务顶层设计为指导，对各部门进行调研，梳理出部门内部流程及跨部门流程，并进行规范化的描述，特别是要对全域信息流以及主要业务的信息流进行全面分析，形成全域业务模型，为业务流程优化提供参考依据。具体调研与归纳结果见附表。

 信息系统模型建立

根据业务模型，建立能够支撑业务运转的信息系统模型，包括数据资源模型、应用系统模型，为建立较完备的基础信息数据库以及覆盖教育质量、学生流动、资源配置和毕业生就业状况等等各类监测分析系统的统一信息化支撑平台提供指导。

根据所梳理的各部门业务流程与需求，以及学校的整体定位，将信息系统分为教学、创作和管理三大类。

 促进业务流程优化与服务整合

以教育服务的最终用户需求为中心进行服务整合，对相关业务流程进行优化，形成全局畅通的信息流，促进教育服务与监管体系的管理水平、管理效率与服务质量的提高。

 设计统一的技术架构，规划统一的基础保障环境

智慧校园信息化建设需要有统一的技术架构为指导，需要有统一的基础保障环境为支撑，这是建成数据集中、应用集成、基础设施整合、标准规范、安全高效的教育服务与监管体系信息化支撑平台的技术基础，顶层设计要为项目设计统一的数据架构、应用架构、软件架构、安全架构和基础保障环境；

 设计支持可持续发展的管理模式与建设运行机制

信息化建设一直是“三分技术、七分管理”，设计一套良好的教育信息化工作机构、管理模式和建设运行机制，才能确保总体规划与顶层设计的落实与实施，才能保障教育信息化平台的良好运转与可持续发展。

二、学校发展现状

（一）学校业务及系统应用现状 1.教务管理系统

**学院建立由湖南青果提供的本科教学管理信息化系统，已基本建成覆盖本科教学的信息化管理平台。2.研究生教务管理系统

**学院自2007年就开始了建立研究生教务管理系统,实现了研究生学籍管理和成绩管理。3.继续教育学院教务管理系统

**学院继续教育学院现有自主开发的教务管理系统，完成了继续教育学院学生的学籍管理、选课管理、成绩管理等教学管理任务。但由于缺乏校园统一支撑平台的支持，系统中的师资信息、课程信息无法实现和学校人事系统、教务系统、研究生教务系统中的信息共享，存在诸多管理不便。后期建设需要进行统一规划，与学校教务系统实现统一管理或数据共享。4.学生工作管理系统

**学院建设了清元优软的学生工作管理系统，由学生处负责系统运行维护。目前实现了全校学生的奖、助、贷学金管理，贫困生管理，勤工助学，减免学费，综合测评管理生社区管理，学生保险，思想教育管理，心理咨询管理等。为学校学生工作管理提供了可靠的信息化手段。

5.招生管理系统

现有招生报名管理信息系统主要包括“招生报名系统”和“招生管理信息系统”两部分建设内容。考生通过**学院官网上的统一入口，进入招生报名系统工作界面。考生网上提交的填报信息作为基础数据，适时进入“招生管理信息系统”。招生管理信息系统提供网上报名管理、考试管理、成绩管理、各省招办信息管理、考生历史库管理、学院管理、领导决策管理和系统维护等多项内容。6.人事招聘管理系统

**学院初步实现了人事网上招聘管理。目前该系统由人事处负责运行维护。在数字校园后期规划中将实现完整的人事管理系统，包含机构编制、人事档案、岗位竞聘、职称评定、工作业绩、岗绩考评、工作考勤、劳资福利、系统管理等功能。7.邮件系统

**学院的邮件系统购买使用亿邮公司的亿邮电子邮件系统，目前该系统由学院的网络中心负责运行维护，该系统的硬件 是IBM服务器，软件为亿邮公司的亿邮软件。现用邮件系统使用中存在问题，如邮件中附件空间不够，邮件自身空间太小，无法过滤垃圾邮件等问题，影响日常办公收发邮件的最基本需求，需要对邮件系统进行改造。8.校园一卡通系统

在2008年，学院开始了学院一卡通系统建设，相关业务系统包括：一卡通专网、一卡通平台、综合业务管理系统、自助服务系统、校内消费系统、自助注册系统、自助打印/复印、图书馆系统接入、门禁管理系统、停车管理等。一卡通建设实现了“身份识别”、“校内

消费”、“校务管理”的建设目标。在一卡通建设过程中，我们搜集整理各类教职员工和学生的档案资料，进行归纳整理，建成了完备的一卡通人员档案库。9.网络教学平台

学院的网络教学平台购买使用赛尔毕博公司的BlackBoard教育软件，目前该系统由学院的网络中心负责运行维护，硬件是HP服务器，软件使用的是BlackBoard教育软件。该系统的主要是为院内部分课程提供网络辅助教学功能，包括网络点播课程等。10.图书管理系统

学校图书馆现有金盘图书管理系统，实现了对图书资源的编目，但是由于图书资源众多，对于馆藏人员图书借阅、图书的维护工作量巨大；由于各院系中也有图书资源，这些资源现通过人工记录方式进行管理借阅，无法实现各院系之间的图书共享，管理维护人员也无法对院系中的图书进行及时的清点，维护工作量较大。需要对图书管理系统进行升级，满足学校中各院系间与图书馆的图书经过统一平台进行借阅，实现共享；对于现有图书管理方式进行升级，方便维护。11.移动图书馆

**学院现有超星移动图书馆，作为图书馆的专业移动阅读平台，学校师生用户可在手机、pad等移动设备上自助完成个人借阅查询、馆藏查阅、图书馆最新咨询浏览，同时拥有大量的电子图书，海量报纸文章以及中外文献元数据供用户自由选择，为师生用户提供方便快捷的移动阅读服务。

12.资产管理系统

**学院目前采用市教委统一下下发的资产管理系统。系统实现了全校固定资产的在线登记和管理，主要包含资产信息管理、资产验收登记、资产库存管理、资产调剂管理、资产盘点、资产动态查询等功能。13.监控系统

**学院目前监控系统已经建设两期，对于学校保卫处原有模拟监控与数字监控已经整合；但是各院系自建监控系统中，各品牌不统一，无法进行统一的监控管理，需要对其进行整合。此外，由于目前学校在建图书馆明年竣工，需要对新建图书馆进行视频监控系统的建设；学校在安防系统建设中，只建设了视频监控系统，安防系统存在较大漏洞，需要完善，建设周边报警及电子巡更系统进而加强学校安防建设。14.门禁系统

**学院现各教学楼已建设门禁系统，对于部分区域还没有建设，需要进一步完善门禁系统；各院系建设的门禁系统不统一，门禁系统无法进行统一的管理，对于师生造成不便，需要对其进行改造；

另由于新建图书馆明年完工，随着学校对于新建图书馆的安全性、先进性和稳定性的要求，需要对新建图书馆进行门禁系统建设，并与原有门禁系统进行整合，实现统一维护管理。15.视频点播系统

学院的视频点播系统购买使用鼎点公司的鼎点天源影视点播系

统，目前该系统由学院的网络中心负责运行维护，硬件是HP服务器，软件使用鼎点天源影视点播软件。16.Web内容管理系统

学院Web内容管理系统目前由学院党委宣传部负责运行维护，此系统硬件设备使用的是Dell服务器，软件使用的是北大方正公司网站内容管理软件。17.学校英文网站

**学院英文网站，面向留学生及国外访问用户提供招生信息发布、校园新闻公告发布、校园活动信息、校园文化建设展示及其它对外宣传内容，是学院对外交流的重要门户。

（二）学校信息资源现状 1）学校信息资源体系

学校的信息资源目前大致可以分为9类：

 人事信息资源。包括：学校在职职工、离退休职工及多种用人机制聘用人员的个人信息等。该类资源目前没有在系统中用统一的数据库进行管理。

 财务信息资源。包括：学校历年财务运营状况等。该数据资源目前由学院使用的市财政专网在线进行数据管理。

 校产信息资源。包括：学校房屋、设备、办公家具、图书等资源。该类数据资源也是使用市教委专管的网站进行在线管理。 教学信息资源。包括：学校的招生、学籍管理、教学计划、选

课、排课、考勤考绩、教材、课件素材、知识素材管理、教学课件等。该类资源目前在学院的教学管理系统进行管理。

 科研信息资源。包括：科研机构及队伍建设、科研项目、成果、经费及管理等所产生的数据。该类资源目前没有在系统中用统一的数据库进行管理。

 记载学校历年管理活动的公文及批文资源等。该类资源目前没有在系统中用统一的数据库进行管理。

 建立基于校园网环境的法规、校规资源库。该类资源目前没有在系统中用统一的数据库进行管理。

 建立基于校园网环境的数字图书馆及各种文献、论文库等。目前由学院的图书馆资源库进行管理。

 建立基于校园网环境的声像资源库等。目前由学院的数据库存放管理。

以上各类资源都需要分门别类进行梳理，还没有实现完全共享。2）学校与外部信息资源的关系

目前，学校与外部的信息资源交互主要是通过网站在线填报的方式进行。学院的财务方面的数据由学院的财务处通过市教委的专网进行数据交互，国有资产办公室的资产管理数据通过市教委的资产管理的专网进行数据交互。科研管理中，有很多涉及到项目申报的基础数据是由各个科研项目申报管理的归口部门进行管理的，也是由那个归口管理部门进行网站在线填报的，其它的数据都是在院内的对应业务部门的系统中存放管理。

（三）学校信息基础设施现状 1）应用支撑平台应用现状。1.基础软件

操作系统层：Windows Server 系列；Linux 系统；中间件：WebLogic、Tomcat、SPSS 系统、SASS 系统；数据库：Oracle、SQL Server、Mysql；安全软件：卡巴斯基、赛门铁克数据备份软件；办公软件：Windows、Office 系列、WPS 系列、方正排版；以上系统已经基本实现正版化。

2.统一用户认证授权中心  对第三方应用进行授权和管理

建立办公平台对第三方应用进行认证与授权的机制。处室管理员能够在认证授权中心提交增加第三方应用的申请，申请内容包括：系统名称、系统 用途、使用类别（长期、短期）等，平台管理员在接收到申请后进行是否接入办公平台的处理，一旦同意接入，申请人或其他指定人员将作为该业务系统的管理员。

 按模块分用户进行用户授权的功能

通过建立分模块、分目标用户的管理机制，实现对第三方应用系统内角 色和功能的授权，主要包括两方面：一是对某接入的第三方系统进行特定管理员的授权管理功能，即某受限管理员只能查看和（或）操作某模块的授权管理功能；二是实现针对某目标管理员的用户授权管理功能，即某受限管理 员只能管理指定用户的权限和基本信息。

2）学校网络基础设施使用现状。中央机房建设工程

网络中心开始建设中央机房工程，项目涉及装修工程、电气系统、防雷及接地系统、通风系统（包括：空调、新风、排烟等）、安防系统（包括：图像监控系统、门禁系统等）、环境监控系统（包括温湿度、配电、UPS、空调、新风机及漏水报警检测等）、设备（包括：多联机空调、UPS不间断电源、机房精密空调等）、消防系统等。新建成的中央机房满足计算机等各种电子设备对温度、湿度、洁净度、安全环保、防水、防火、电源冗余和接地等要求，为校园网的稳定运行提供了一个科学的运行操作条件环境。

校园网骨干网改造

网络中心正在进行校园网骨干网改造项目，通过本项目构建双核心星型网路，并且按照核心-汇聚-接入三层架构优化网络；实现多路由出口，合理分摊出口流量；通过内外网隔离、入侵检测、VPN等技术增强校园网的安全防范能力

随着**学院校园网的逐步建立，学校的数字化发展，各种信息化的系统的使用，和各院系的数字资源的存档需求，我校逐步建立起数据中心，但是由于我校信息化发展过程中没有数据中心的统一规划和基础设施的建设落后，数据中心在各院系的发展中逐步建立，造成目前我校的数据中心位于各个院系，并且我校的网络基础设施发展滞后，各院系互联互通存在故障，带宽不够，链路不稳定可靠，导致院系之间资源互访存在问题。数据中心的不统一，直接导致我校各院系

的各种设备琳琅满目，并且无法进行统一的集中管理，资源共享也无法实现，维护成本较大，维护人员不够，水平层次不齐，故障处理不够及时，导致业务系统的无法及时恢复，对于教学发展也造成重大影响。

（四）相关保障机制建设情况 1.组织领导保障体系

成立**学院信息化建设领导小组，领导小组由校书记担任组长，主管副校长担任副组长。领导小组下设信息化建设领导小组办公室（以下简称信息办，设在校科研及信息化处），负责信息化建设领导小组的日常工作。领导小组下设信息化建设专家组（以下简称专家组），由领导小组组织校内外有关方面专家组成。为信息化建设的各项工作及决策提供咨询和建议。

2.建立健全项目制度保障

加强教育信息化管理制度与标准的建设与实施。根据国家及行业有关信息化法规和标准，进一步规范与落实信息化建设项目管理、设备管理、运维服务、信息安全管理等管理制度。不断完善与推进实施《**学院教育信息化管理信息标准》。编制教育信息化计划和重点项目设计方案。

3.资金投入保障

信息化项目主要通过国家财政拨款、企业赞助等渠道，筹集学院信息化建设与运营资金。建立可持续的教育信息化建设与运维经费来源机制，合理配比硬件、软件、运维服务、人力资源提升四个方面投

入，提高投入产出效益。

4.技术保障体系建设

**学院信息化建设是一个需要不断升级、维护、对使用人员培训的技术含量很高的复杂系统，因此要建立健全信息技术保障体系。要建立一支懂业务、熟悉信息技术的队伍。加大对信息技术管理服务部门建设力度，增加技术岗和管理岗位职数，建立一支专职、兼职、多种编制类型的信息化技术支持服务队伍。在各学院及行政部门设置1至2名兼职技术人员。完善现有专职信息化运维队伍的专业结构，优化计算机技术、网络通信技术、软件应用开发技术、数字媒体应用与管理等不同专业背景人员配置。

5.贯彻法律法规，确保信息安全

严格贯彻国家有关信息化建设的法律、法规与条例，并制定信息化建设相关的流程和必要的规章制度。信息安全责任落实到人。建立健全网络信息服务运行管理服务体系，保证网络信息安全运行。

三、总体架构

**学院校园信息化发展的总体逻辑架构。分为五个层次，两个体系。五个层次分别是指基础设施层、资源层、支撑平台层、业务应用层及综合服务展现层。其中，基础设施建设包括学院的基础网络建设、用以保障整体架构的上层业务平台的正常运行。资源层包括全校媒体资源管理共享及教务、学工、财务、科研、资产等应用系统相关数据，通过共享数据中心实现数据统一存储、访问及使用。支撑平台层主要用于能够使用与全院的基础数据库平台的构建和相关服务，在这个层

次，要根据全院的整体需求做数据的整合和业务的协同，具体包括信息门户支撑平台、统一身份认证平台、数据交换平台、决策支持平台、统一支付平台、统一消息平台。在业务应用系统层，主要是根据各学院教学及行政业务部门的不同需要，建设既能够适应各部门业务需求又能够完成数据共享和协同工作的软件应用系统，具体分为教学应用系统、科学创作系统、常规管理系统三类应用。综合服务展现层通过统一信息门户及移动校园门户，使学生、教师、职能人员、校领导及社会公众人员可以通过移动终端、PC等多种方式访问信息化中心平台，实现管理、学习、科研、公共服务统一访问，达到实时展示和交互沟通效果。

两个支撑体系是指学院将建立统一的政策法规与信息标准体系信息安全与运行维护体系，为建设智慧校园提供相关保障，实现规范化管理，保障信息化建设顺利进行。

四、数据资源架构

（一）媒体资源库

本次建设媒体资源库系统架构如下：

（二）文献资源库

图书馆的电子文献资源是高等学校教学、科研的重要组成部分，同时也是目前高校图书馆服务工作中的重要内容之一。电子文献资源的简单表述就是图书馆利用计算机和网络技术能够为读者提供的信息资源。其中包括了电子期刊、电子图书、光盘数据库、联机数据库、网络数据库以及Internet信息资源等多种形式。我校图书馆已建设较为齐全的电子文献资源库，为教学、科研提供良好的文献资源环境，开阔了师生的视野。

文献资源概括地讲有３种类型：国际互联网资源、电子出版物、各馆自建的数据库。国际互联网资源因其开放性，资源非常丰富；电子出版物常见的有全文数据库、电子期刊、电子图书、电子报纸、软件等；各馆自建的数据库是图书馆根据读者需求，利用馆藏文献而建立的数据库，如馆藏书目数据库、学位论文数据库、地方文献数据库等。

（三）公共数据库

公共数据库采用Oracle 11g Enterprise，并采用Oracle Real Application Clusters(RAC)保障系统的高可用性及可按需扩展。

根据对应用系统及相关数据分析，建立以下数据库：学院基本情况数据库、学生信息数据库、研究生信息数据库、留学生信息数据库、教职工信息数据库、教务信息数据库、科研信息数据库、体育卫生信息数据库、办公管理信息数据库、房产与设施信息数据库、仪器设备与实验室管理信息数据库、图书管理数据库、一卡通数据库、教学资源数据库、代码数据库。

五、应用系统架构

（一）教学系统 4）教学编辑机房

采用新一代“CPU+GPU”加速技术，满足影视创作中剪辑，三维，合成，特效，调色，立体应用的需要，全功能的后期制作系统使您能够从容处理从DV到HDV，从标清到高清，甚至2K，3D。

5）高清录播教室

录播教室由多个子系统组成，包括常规多媒体教室子系统（如讲台、中控、展台、笔记本、投影机等）；外部环境（灯光系统、吸音处理）子系统；录播子系统等；

其中录播系统通常由教室场景图像采集、声音采集、VGA采集、图像自动跟踪、图像控制切换、信号数字化处理、记录、直播、扩声等单元组成一套完整的录播系统。其过程是通过图像、声音、电脑VGA信号的采集，把捕捉到的信号进行数字化处理，然后进行记录、网络实时直播、B/S架构点播和现场扩声。

6）大讲堂精品录播

系统配置本方案系统由三台高清摄像机，1台高清切换台，1台视频监视器，1台高清录制机及2块64G存储卡，1套主持人提词器，调音台和导播通话，主持人无线手持机桌面话筒，监听音箱，一体化虚拟演播室设备，1套高清非线编辑系统及灯光、蓝箱装修等部分组成。方案的实施涉及设备选型、安装调试、布线等复杂工艺，是一项技术含量较高的集成项目。

7）考试录制系统

根据学校招生的需求，招生面试画面需要进行拍摄并存储，以方便师生查阅。系统配置高清摄像机和存储卡进行考试视频的拍摄及存储。

8）多媒体教学系统

多媒体教室内配置高清投影机加幕布，5.1声道扩声系统，及可视化网络综合信息管理平台，可视化网络综合信息管理软件可远程控制教室中控系统开关、投影机开关，幕布的升降，窗帘的升降，并且可以对其他设备进行操作，包括线路音量，话筒音量，以及讲台的电

控锁等。可远程集中监视各教室设备运行状态，以图形画面实时直观地显示教室内各个设备的状态；课表联动控制功能：总控软件内置课表排课管理软件，每学期只需要根据教务处课表进行排课，就可以自动在指定时间开启指定教室，完成无人值守的全自动管理；总控室可以通过网络远程接管各教室的教学PC，协助老师解决教学过程中遇到的问题。

9）云录播及考试监控系统

云录播及考试监控系统是利用学校现有的校园网络，用较小的投资成本，以现代计算机网络技术为依托，着眼于教研、教学、管理、校园信息通讯的实际需要的一套教学系统。整个系统是精品课程录播系统、电子巡考系统、校园网络监控系统的完美结合，通过网络传输、影像存储等技术手段，突破时间和空间的限制，使得任何人通过网络权限设定都能实时或者事后通过网络观看教学过程。基于数字视音频、网络流媒体、信息识别、人工智能、自动化控制等多项先进技术，具有开放的设计体系、领先的技术架构及较强的灵活性与伸缩性，在国内外同类产品中处于领先地位。该系统具有自动化、智能化、常态化的特点，部署简单、使用便捷，适用于各类学校现代化信息系统建设，为基于网络的应用提供完整的产品系列和整体的解决方案。

10）MOOC平台

根据**学院 “全国领先，世界一流”的战略部署，对于加强与外界的沟通交流，与国际院校的合作显得尤为重要。MOOC平台的搭

建，能够很好的宣传学校的特色及办学理念和能力，实现对知识的高度共享，与外界的充分交流。

11）在线教学平台

传统的教学方式，时间、地点比较固定，可复制性和可移植性比较差，难以适应当下高速发展的互联网需求。同时，**学院很多课程存在大存储的作业提交任务，传统的采用DVD或移动硬盘等媒介提交作业的方式，麻烦且容易造成数据的丢失，给教学带来极大地不便。建设在线教学平台，通过在线网络学习，可以使学生有更多的时间理解课堂的知识。同时，系统包含作业提交模块，方便学生在线提交作业，老师在线批复作业。极大地提高学校的教学办公效率。

12）论文提交检索系统

学校目前的论文提交，只是做到了在线提交和收集论文，没有针对论文的在线修改及反馈。随着时间推移，论文的数量越来越多，论文的检索与查询越来越困难，使得学校的很多宝贵的资源不能有效的共享。建设论文提交检索系统，方便学生在线提价论文，教师在线反馈意见，并且会保存整个论文在线修改的全过程文档，方便以后查询和检索。

13）远程视频教学系统

随着**学院院区和各单位之间沟通频率的增加，沟通的效率已

经严重影响内部办公效率，同时北影也对教育系统快速及时响应提出了更高的要求。高清晰、高交互性的新型视频会议系统有助于提高沟通与互动效率，节省沟通成本，降低管理费用。为了解决日益突出的沟通问题，需新建一套内部视频会议系统，需要支持1080P的极致高清视频、纯音同步、高保真音频等特色功能。

14）移动教务系统

学校的教务系统是学校重要的应用系统，传统的PC端登录及操作，很难满足老师的使用要求。同时，建设支持手机及平板等移动手持终端（包括Android和IOS系统）也符合当下移动互联网的发展需求。学校移动教务系统不但实现了管理的信息化，充分结合教务系统的工作流程，使信息的传递更加有实效性，使学院在激烈的竞争中快速实现知识共享和移动办公。同时又为在校师生以及家长提供了随时随地沟通的通道。为教师提供了在线考试评分等常见的快捷操作，提升办公效率。

15）继教管理系统

继教管理系统主要是采用现代网络教育的方法，以计算机和通信技术为基础，基于Internet，使继续教育学院以及各教学中心都拥有一套专人专用的教学教务管理信息系统。这样可方便、经济、高效的通过在线学习的手段综合管理招生、财务、教学和教务等日程工作事务，实现继续教育的规模化和管理工作的规范化。

（三）管理系统

1）人事管理系统

人事管理系统结合学校实际人事管理现状，以学校师资资源的优化配置为核心，建立人才动态管理为基础的人力资源管理体系。为用户提供全流程化的人事管理、全面的人力资本分析管理，为学校降低管理成本、优化人力资源配置、提高自身竞争力、促进发展提供决策与支持。

人事管理系统主要包人事基本档案管理、人事合同管理、人事变动管理、考勤管理、考核奖惩管理、职称评审、业务管理、消息管理、综合查询、统计分析报表、系统管理等功能模块。

2）科研管理系统

随着科技的日益发展，高校的科研活动和科研能力成为反映高校综合实力指标的比重不断加大，而通过信息化的手段对日常科研工作进行管理，整合科研工作流程，为决策层提供真实有效的依据，是提升科研管理水平的有效途径，也是当今高校科研管理的大势所趋。通过科研管理信息化平台，可以实现科研工作的网络化管理，形成一个及时更新的科研数据中心和科研管理沟通平台，全面、实时、准确提供学校的有关科研信息，为学校领导有关科研决策提供辅助支持，为学校教师开展科研活动提供方便快捷的服务，为科研管理人员开展工作提供极大的便利。

3）后勤管理系统

后勤服务管理系统针对学校后勤工作中的各项管理工作提供信

息化支持，包括车辆管理系统、公寓管理、报修管理。后勤管理系统为教职工提供在线约车服务，为学生提供宿舍分配服务，为全校师生提供报修服务。

4）项目管理系统

项目管理系统建设实现项目管理的数字化，规范项目管理业务流程，从而避免了以往一些工作因手工操作所带来的随机性大，流程不易规范化的缺点。简化了申报部门提交材料和审核的操作，对申报过程材料有很好的存档，方便审批过程中查阅，同时系统自动以短信、邮件方式通知项目负责人，很大程度上提高了工作效率。

5）档案管理系统

档案管理系统是遵循国家档案标准，集档案的收集、整理、保管、鉴定、统计和提供利用的活动为一体的系统。档案管理系统提供了强大的检索功能，丰富的多媒体档案管理，完善的统计功能以及标准的数据交换接口，全面适应学校的档案管理建设。

档案管理系统主要包含全文管理与全文检索、多媒体档案管理、档案信息统计、档案借阅管理、系统管理等功能模块。

6）学生档案管理系统

学生档案管理系统通过信息化手段实现学生在校期间的档案材料管理，为学生档案建立索引，提高档案检索效率，并提供纸质档案和电子档案的对应管理。包含建档、入档、调入调出、借阅、交寄等

功能。学生档案管理系统为学工处档案管理人员提供档案的管理、查询、统计服务。为学生提供档案调入调出、借阅、交寄等服务。

7）户籍管理系统

高校户籍信息的登记、查询、统计、填写报表等是一系列繁琐的工作,每年学校入学和毕业学生人数的增多以及在集体户口的教职工人数的增加,其户籍信息的管理都需要耗费许多人力和物力,而且人工管理由于诸多因素的影响,易产生歧义或无法辨别,给户籍管理带来困难。户籍管理系统实现户籍信息电子化管理，并根据权限实现户籍信息的录入、编辑、多条件统计与查询、报表打印、系统维护、网络安全设置等功能。

8）电子期刊系统

目前**学系的期刊都是纸质发行的期刊，期刊内容的收集、审核、发行都很不方便，且不利于期刊的阅读和宣传，无法很好展现**学系的科研创作成果。本次系统建设不仅要把原有期刊进行电子化重新制作，而且要实现整个期刊发行过程的电子化工作。期刊电子化系统以校园网及互联网为基础，实现电子期刊制作发行流程的全部电子化管理，包括网上稿件提交、专家在线稿件审核、稿件编辑及校对、电子期刊制作、电子期刊发行等工作。

9）提案管理系统

提案管理系统用于在教职工代表大会召开之前，向教代会正式代

表征集提案。代表在提案时做到一事一案。提案管理委员会及工会领导等相关职能人员可对提案进行审批。实现提案的网上提交、审核立案、查询、统计等功能，更好发挥工会在党的群众路线建设中的作用，及时解决全校教职工的工作生活诉求。

10）门禁系统

门禁管理是现代安全防范系统的重要组成部分，随着我校对门禁系统的安全性、先进性和稳定性要求的提高，迫切需要完善我校的门禁系统，我校目前的门禁系统部署不完善，需进一步完善我校的门禁系统，对于我校各个房间进行门禁控制。最终实现一张感应卡可以代替所有的大门钥匙，且具有不同的通过权限，授权持卡进入其职责范围内可以进入的门。所有的进出情况在电脑里都有记录，便于针对具体事情的发生时间进行查询，落实责任。门禁系统建设包含新建图书馆门禁及全校门禁系统。

11）图书馆RFID借阅系统

通过RFID中间件为媒介实现RFID技术和图书管理方法的有机结合，为图书馆的管理提供了十分有效的技术手段，可识别、追踪、和保护图书馆的所有资料，通过RFID系统实现图书借还、顺架、查找、馆藏盘点等功能，有效地提高了图书管理的效率、简化了图书管理的流程、降低了图书管理人员的劳动强度并在为读者提供更加便利快捷的图书借还书、查询等服务的同时做到对读者信息和借阅图书的双重记录，RFID智能技术的使用可以有效的防止和杜绝各种人为失误所

造成的图书漏借、遗失等情况。

12）图书管理系统

现在是信息高速发展的年代，每时每刻都会有新的产品、新的事物孕育而生。为了适应现代信息高速发展，方便图书馆传统繁琐管理及方便读者。拥有一套先进的管理系统设备不雅于如虎添翼，使图书馆的自动化管理跨上了新的台阶。

13）校园安防监控平台

学校安全技术防范以保障学生和教职员工的人身安全为重点。为了进一步加强对学校图书馆的安全防护，本次建设监控系统分为前端采集、图像传输、图像存储、图像显示、图像控制六个部分设计。

14）学生考勤系统

该项目针对活动考勤情况的运行状态进行分析和总结利用网络技术代替人工记录学生出勤情况，减少了考勤人员在人力物力方面的开资，并方便使用者和学生随时查看，体现了学生考勤的公平性与公开性。使用者为学校学生考勤管理中心工作人员，如各班班主任，各任课教师、各学院辅导员、各学院领导、各位学生本人及部分学校领导。

该考勤系统联入本校内部局域网，与其他与学生管理系统相关的系统联系，统一管理学生的考勤状况，使学校整体协调性更高；此外，各学院和各部门也可以通过共享系统信息，以更好地提高管理效果，为学校的教学活动带来更多的方便。

15）邮件系统

邮件系统设计为包含：MTA、Webmail、POP、Admin、MD、UD及MS等系统功能模块，共同完成邮件的分捡、存储、发送等工作。MTA、Webmail、POP、Admin四个模块主要与用户交互，实现邮件系统的各种功能，是邮件系统的前端模块；而MD、UD、MS三个模块主要实现前端功能模块与数据库之间的通信，作为邮件系统的后端模块。

16）物联网管理系统

学校目前由于人员、设备的增多，出现了管理维护工作繁重、能源浪费的现象，虽然在管理制度上做了一定的要求，但收效并不显著。因此希望能通过信息化手段实现学校设备（灯光、空调、多媒体等用电设备）的集中控制和自动化控制；并通过能耗统计分析，实现能源的最优化利用。不仅为学校后期改造提供决策依据，同时通过节能减排，实现长期的环境效益、社会效益和经济效益。利用信息化手段实现绿色校园、平安校园、数字校园的整体目标。

17）OA系统

学院目前的公文基本是纸质的文档流转，办公效率比较低，办公场所局限性比较大，公文的线上流转及电子签章管理的实现迫在眉睫。OA系统旨在为学院建立起一种开放的、网络化的、高效的办公与教学新环境，以一套完善的支持群体协作、流程控制、信息查询及

管理功能的应用软件，为学院内部管理和外部交流提供基本信息的传递、处理渠道。办公自动化系统面向日常办公和管理，帮助学院理顺内部流程，实现校内各单位内部信息共享、沟通和协同办公，提高工作效率。

18）舆情监控系统

整合互联网信息采集技术及信息智能处理技术通过对互联网海量信息自动抓取、自动分类聚类、主题检测、专题聚焦，实现学校的网络舆情监测和新闻专题追踪等信息需求，形成简报、报告、图表等分析结果，为学校领导全面掌握群众思想动态，做出正确舆论引导，提供分析依据。

19）留学生管理系统（含留学生校友）

目前的留学生及留学生校友管理缺乏有效快捷的管理手段，通过完善优化信息系统和业务流程，对留学生活动通过系统进行有效的控制与监督，为管理决策起到辅助作用。通过该系统将学生进校之前的招生计划的制定、招生录入、入学、教育培养、毕业、校友等融合成一体。并针对留学生学历申请学位招生培养方式，根据教育部和本校相关管理规定，进行不同体制的培养管理。

20）离校管理系统

学校目前的离校业务办理，采用转单的形式。效率不高，且各部门的信息不能有效的共享，使得离校各业务办理环节不能连续，容易造成未修满学分等学生毕业。建立离校管理系统可以让学生的很多离校流程在网上办理，尽量减少学生等待几排队的时间，让大多数学生不需要经过业务人员手工确认就可以办理其他手续。让领导可以方便快捷的查看和跟踪离校过程、实现数字化离校。

21）党建管理系统

目前学校没有针对党群服务的系统，党组织组织党员活动、开会等活动的记事都是靠用人工记录的方式，通知公告等的传达采用口头传述或在相关区域张贴告示等方式，效率比较低且管理、查找资料比较麻烦。建设专门针对党组织管理的党建管理系统，可以有效的提高工作效率，能完整的记录并保存党群建设的所有过程，同时可以形成个人从积极分子到党员的全过程文档记录及考察记录。方便对党员队伍的管理。

22）招生面试系统

目前学院缺乏统一的招生面试管理系统，没有针对学院表演等特殊的招生面试管理。特别的针对艺术类招生面试需要高清的数据采集，现场单独采集照片影响了整个招生流程的效率。建立统一的招生面试管理系统，有助于学院协调各类资源，现场的高清相片自动采集及考场的随机分配，确保了招生的效率及透明性。

23）校园仿真系统

随着信息化管理水平的提高，各行各业运用可视化管理手段能

够实现更加直观高效的信息管理。校园仿真系统旨在为学校建设一套逼真的校园三维模型，便于学校师生对校园信息进行浏览查询，辅助学校招生、形象展示和建设规划；学校可利用校园三维模型制定应急预案，进行应急预案演练，在突发事件发生时进行应急指挥；校园三维模型直观地展现校园地下管线的情况，辅助学校进行地下管线管理和动土施工作业。

24）校友管理系统

在信息飞速发展的今天，校友与学校之间以及校友与校友之间仍然主要通过普通信件、邮件或电话进行联系的方式已经落后，消息不能及时共享，资源不能有效利用。通过校友管理系统的建设，进一步加强校友与学校以及校友自身之间的联系。为校友对母校的献计献策、捐赠等提供平台，同时加强校友之间的相互交流。

25）理事会管理系统

通过该平台对外发布审议通过的理事会章程、章程修订案；理事的增补或者退出信息；就**学院的发展目标、战略规划、学科建设、专业设置、预决算报告、重大改革举措、学校章程拟定或修订等重大问题的决策审议方案；传阅审议学校开展社会合作、校企合作、协同创新的整体方案及重要协议等；研究、审议学校面向社会筹措资金、整合资源的目标、方式、途径等，监督筹措资金的使用；评议学校办学质量，就学校办学特色与质量进行评估，提出建议。

26）基金会管理系统

目前学院对于校友捐赠的物品及基金没有一套较为完整及公开的管理方式，人工统计及管理的成本比较大。通过基金会的建立，可以很好的管理相关的物品及基金，并记录基金的使用情况，方便查询。

27）大屏幕信息发布系统

近年来随着学校教育信息化的发展，以及校人才与社会快速接轨的现实需求，大量的校园资讯与社会信息需要健康、规范、严谨、高效地从信息平台传递到学校学生，需要采用现代化的网络信息发布平台来进行分类、编辑、管理、发布；单纯依靠传统的网站宣传以及校园张贴画的方式已经远远不能满足信息及时传递和分区域分内容管理的需求，大屏信息发布系统在学校校园教学楼、图书馆、体育馆等场所的应用、课室门口班牌应用展示应用，为学校的信息显示、信息交流、触摸互动提供了一个完整的展示平台，符合现代化的校园建设需求和氛围，创造了校园有效的与社会体系相结合的环境，同时也是学校数字化、信息化发展的必然趋势。

28）IT运维系统

随着学校网络及数据中心规模的不断扩大，随着数字信息化建设的深入推进，信息系统的规模不断扩大，业务对网络系统的依赖性越来越大，同时网络系统日趋复杂、系统维护要求越来越高。传统的故障“来电响应式”的IT运维模式因维护成本高、响应模式被

动，局限性已显露无余。而单项的网络管理软件往往因为只能做到“头痛治头、脚痛治脚”而导致管理上的分割。现有的运维管理体系已经不能满足日益发展、日见复杂的信息平台，信息平台的运维管理已经成为数字信息化可持续发展的瓶颈。IT内部业务流程优化的空间还很大,但缺乏有效的工具支持。

为从整体上提高网络中各资产间的运行合协性、安全性和资源共享性，从而发挥信息化建设的最大效益，同时考虑到适应未来更加复杂多变的信息网络，有必要构建一个一套全面的、科学的IT运维管理体系，通过IT运维管理平台的自动化的监测和运维管理体系辅助信息化管理人员对全网网络资源进行高效的运维。

（四）内容管理系统

内容管理系统基于J2EE平台的高校级门户网站建设和运营系统，提供全周期的网站内容管理。网站内容管理系统利用先进的门户（Portal）服务、全文检索、Web服务等技术，基于内容和表示分离的设计理念，使用户能够快速、高效地建立、部署并维护高度动态化的Internet、校园内部及校园外部网站。

（五）网站群建设

门户网站群平台不仅仅可以实现多个门户网站的建设，也能够成为学校外网的资源整合平台。随着应用需求的不断增加，能够基于平台并针对高校特征，扩展一系列的应用，如校友、招生、就业等，也能够与学校已有或将要建设的各类应用系统集成。要能够与学校数字

化校园的规划相一致。如统一身份认证集成、界面集成及数据信息的交换。网站群架构如下：

（六）信息填报系统

目前学校主要职能部门面向全校师生发布的各类申请和填表表格，超过100张。这些表格目前分散在在各个部门的网站上，提供word或者excel格式的下载。师生对于各类申请表格的下载位置、填写要求很难全面了解，带来很多不便。同时各类申请表格中很多基本信息，如教职工号/学号、姓名、性别、出生日期等每次都需要重复填写，填写不方便且容易出错。

在公共数据库平台的基础上，通过在门户建立相应的信息填报系统，实现教职工的教学、科研等相关信息在权限管理下的表格在线填报，自动填充，一次填报，储存共享。

六、基础设施技术架构

（一）应用支撑平台 1）公共数据库平台

公共数据库平台保证全校信息的统一和一致；保证任何两个异构业务系统之间的数据共享；保证任何两个业务系统之间没有冗余业务数据；保证遵循“谁产生、谁维护”的原则，所有的数据都有特定的产生者和维护者；保证系统中数据的准确性和可跟踪性；系统提供安全审计功能，保证对业务操作的严格监督；保证任何业务系统的添加和修改不影响其它业务系统的正常运行；保证可以提供为整个学校综合查询和决策支持所需的数据信息，为学校的将来决策支持系统积累分析数据。系统架构如下：

信息化校园数据架构代码标准查询教师数字档案教师填表服务信息标准管理更多应用学生数字档案学生个人简历更多应用更多应用资产查询基础数据查询和统计分析系统基础数据查询基础数据管理校友主题分析餐饮消费分析师资现状分析资产利用分析学生成绩分析更多分析主题校友管理系统综合业务数据库校园门户代码标准数据库个人信息综合服务全局数据库历史数据库（仅作为历史数据的备份，上层不建应用）数据仓库数据集1数据集2数据集3数据交换平台（只做数据交换，不基于此库建上层应用）更多系统...教师人事管理科研管理组织管理研究生招生选课研究生管理本科生招生选课教务管理资产资产管理学工学工系统就业离校财务财务核算财务报账财务查询实验室管理 2）统一身份认证平台

建设以目录服务和认证服务为基础的统一用户管理、授权管理和身份认证体系，将组织信息、用户信息统一存储，进行分级授权和集中身份认证，规范应用系统的用户认证方式。提高应用系统的安全性和用户使用的方便性，实现全部应用的单点登录。即用户经统一应用门户登录后，从一个功能进入到另一个功能时，系统平台依据用户的角色与权限，完成对用户的一次性身份认证，提供该用户相应的活动“场所”、信息资源和基于其权限的功能模块和工具。在学校工作人员进行了调动、调级、调职等变更后，或者学校体制改革、组织机构变动后，使用户的身份和权限在各系统之间协调同步，减少应用系统的开发和维护成本。系统架构如下：

3）信息门户平台

信息门户平台功能包括：门户支撑框架、门户安全管理、配置管理、应用集成管理等。总体架构如下：

4）统一支付平台

统一支付平台是采用数字化电子化形式进行电子货币数据交换和结算的网络金融业务系统，是校园实现网上支付的基础，系统基于第三方支付网关兼容多家支付网银。统一支付平台是将传统的银行结算支付指令的传递完全依靠面对面的手工处理转变为基于互联网的37

电子资金转账系统，既缩短了学校与银行之间、用户与学校之间支付指令的传递时间与在途资金的占压，同时为学校财务管理部分提供实时可靠的财务数据监控统计。系统架构如下：

5）统一消息平台

统一消息平台是集数据整合、Portal、WAP、手机SIM、WebService、IM、信息安全、计算机通信集成、计算机网络等多项技术于一体，通过全方位信息推送手段，为高校学生和老师提供全方位的信息服务。系统架构如下：

6）决策支持平台

决策支持平台采用成熟可靠的J2EE架构，B/S 结构，兼容 IE、Firefox、Chrome、Safari等主流浏览器。

系统自下而上分为数据层、服务层、展示层三部分。

数据层：是决策支持平台的基础，将手动录入、文本、数据库等多种形式的数据源进行整合，为校情展示提供数据基础。包括各种类型的数据库系统及数据库文件，如关系型数据库（Oracle、DB2、SQL Server等）、Access数据库、Excel文件、txt文件等。

服务层：采集数据层的数据，对数据进行抽取、转换、集成，按照主题进行重组，并装载到数据仓库中。同时针对分析需求对数据仓库中的数据建立有效存储和高效索引机制，从而提高系统分析、统计的效率。服务层支持缓存机制，能比较迅速通过默认提供的展现主题完成数据展现。

展现层：运用各种数据分析工具、报表工具、查询工具、数据挖掘工具实现决策分析，提供各类综合信息的分析展现，并通过统一信

息门户平台、校园网站、手机终端等多种方式为各级用户提供信息服务。系统展示采用Portlet技术，用户可以定义页面的导航菜单及每个导航下面显示的内容，支持控制Portlet中显示的指标以及排列顺序。展示层通过管理员的权限配置，支持不同的角色看到不同的数据展示内容。系统架构如下：

7）移动校园平台

系统总体框架自下而上分为数字校园接口层、移动应用平台支撑层、移动校园门户展示层：

数字校园接口层：实现和数字校园现有数据中心平台、身份认证平台的接口集成，获取用户数据及公共数据库中的数据。实现和具体应用系统的标准接口，获取具体业务数据。

移动应用平台支撑层：管理子系统实现移动校园平台组织机构、40

用户角色管理，实现门户功能权限配置，实现系统管理，实现内容发布管理。运行支撑子系统实现移动应用的用户认证、会话管理，并为上层提供各种服务接口。

移动校园门户展示层：实现教职工、学生、公众等不同类型用户相关的具体功能。

教职工学生公众移动校园门户教职工/学生应用应用访问服务数据交换服务工具类应用消息推送服务文件传输服务公众应用地图导航服务短信推送移动校园平台运行支撑管理子系统用户认证权限管理会话管理……组织机构管理系统设置用户管理日志查看角色管理版本升级管理门户权限内容管理数据交换应用系统接口标准数字化校园公共数据库平台统一身份认证平台OA系统教务系统人事系统邮件系统研究生系统…………

（二）网络基础设施

整体网络的解决方案遵循网络的层次化架构、模块化的设计思想、采用网络三层架构，核心层、汇聚层、接入层。核心层和汇聚层支持万兆，接入层使用性能可靠的1000M交换机进行互联，为终端用户提供高速数据交换能力。

根据**学院的办学校规模，业务流量、人员上网情况，内网核心交换机支持万兆骨干，千兆接入相连接，并且在各个地方布置汇聚层

交换机，汇聚交换机支持上联万兆、下联千兆的接入模式，并且各个区域的汇聚交换机都是通过双万兆光钎连接到校区的两台核心交换机上。各个楼宇的接入层交换机都是通过RG45接口或者有特殊需求的话，可以通过光纤的方式连接到相应的汇聚层交换机上。并且各个楼宇的交换机都布置千兆智能接入交换机。

外网经有教育网、市教育网、中国联通、中国电信、CerNET2的专线电缆，来接入到整个互联网中，通过配置网关、网络安全设备、防火墙来保证在路由转发的同时来防御外部的攻击。

整网部署安全认证系统保证人员接入的安全。

（三）核心机房及综合布线

新机房建设项目包括机房系统工程和相关土建共八个部分，包括但不限于以下各系统和工程的深化设计和施工：  基础建设子系统

机房建筑装饰装修系统和工程  电气子系统

基础供配电设施和工程；UPS和电池系统安装工程；防雷、接地系统和工程；照明系统和工程  空气调节子系统

机房区精密空调系统安装工程；支持区基站空调和工程；机房给排水系统和工程；新风、通风、排气系统和工程  综合布线子系统

机房铜缆和光纤综合布线系统和工程；机柜系统和工程  安全和监控子系统

机房设备及环境监控系统和工程；机房视频安防监控系统和工程  操控作中心系统 综合显示控制系统和工程  消防子系统

火灾自动报警系统和工程；极早期烟雾报警系统和工程；气体灭火系统和工程；走道及公共区域水喷淋系统的施工配合  其它

标识系统；测试

（四）云平台 1）服务器虚拟化

在本次虚拟化技术中，会采用到比较成熟的虚拟化技术，如动态资源池、虚拟机的在线迁移、动态资源调配、容错技术等等。

动态资源池：利用现有的服务器，能达到要求的性能指标，建设群集组。

虚拟机的在线迁移：可以根据服务器的资源情况在线地将虚拟机在不同服务器之间进行迁移，以达到系统维护或者应用系统迁移的目的。

动态资源调配：通过手工或云计算技术，合理分配各个虚拟主机可使用的硬件资源，并可根据信息系统虚拟主机实际的负载情况，手

工或自动的进行资源的调整，使之达到运行最优化。

容错技术：故障虚拟主机或故障物理服务器上的所有虚拟主机可自动切换至正常运行的物理主机上，在硬件异常宕机的情况之下，不影响业务系统的正常运行。

虚拟化逻辑拓扑：

2）桌面虚拟化

桌面虚拟化解决方案适合不同的用户群体，包括知识工作者，设计人员，此方案主要以普通知识工作者和设计人员为目标对象。桌面虚拟化方案提供一种端到端的桌面管理解决方案。

可动态按需产生虚拟桌面，该桌面所有的运行都发生在远程数据中心的机房里,不用再担心数据驻留在客户端导致的安全漏洞。用户每次登录时都能获得一个干净的、个性化的全新桌面——从而确保性能不会下降。

解决方案包含很多组件，从而能够为每个企业的独特需求提供最佳的解决方案。桌面虚拟化完整的解决方案整体架构如下图所示。

3）云存储

充分考虑我校的需求，利用国际领先的科技和丰富的设计、项目经验，提供最佳的专业服务，以及高性价比的系统设计方案，为我校信息系统提供一套优质的数据存储方案。

采用承载高IO的SAN方式的存储，为服务器虚拟化和桌面虚拟化提供低延时、高速度的访问；而通过横向扩展的产品实现对大容量的媒体数据和文件的高效存储，通过横向扩展，保证了我校大量影视资源的存储空间需求。两种产品的结合可以确保不同的实际需求的充分满足。

4）网盘

基于对象的分布式存储系统具有高扩展性，高性能，高安全性以及管理方便等众多优点，同时基于对象的云存储系统提供给用户和开发者标准的REST API接口，可以使开发者更灵活的开发出适合自己的应用类型。

从网盘的底层架构上看，越来越多的用户转向了分布式特点明显的架构建设上。这些网盘服务的提供商不再采用集中存储，而是在多个站点之间构建多个存储空间，通过云存储的统一命名空间对所有资源进行整合，应用不需要关心数据存储到哪一个地方，存了多少份，怎么存的过程等等，只需要关心需要多大的空间，对文件需要什么样的保护级别即可。

七、标准政策体系

（一）网络与信息安全规范

学校将按照“谁主管谁负责，谁运营谁负责，谁使用谁负责，谁提供安全服务谁负责”的原则，进一步加强和完善各项安全管理制度，完善和落实组织责任管理、系统及信息资源的管理、校园网用户实名制管理、保密信息管理、安全事件管理等多种机制；进一步加强和完善网络与信息事件应急预案、防火墙管理与运行维护规范、补丁安装规范、操作系统重新安装与升级工作流程、运行日志安全管理制度、信息保密安全制度、操作安全管理制度、技术文档安全管理制度、备份安全管理制度、审计管理制度、运行维护安全规定、第三方服务商的安全管理制度，对系统安全状况的定期评估策略等。

（二）数据标准规范

学校数据标准规范将按两条主线对学校整体业务进行梳理。按学校教职工、学生、资产等主题对象梳理；按教学、科研、管理、社会服务等业务流程梳理。根据《教育管理信息标准》、《CELTS-34高等

学校管理信息标准》以及学校信息化建设实际需求，建设涵盖数据代码集、数据集及数据交换标准等的多个数据标准规范，包括**学院自定义编码规范、**学院管理数据集、**学院通用/标准数据子集以及代码集等。其中，**学院管理数据集涵盖学校管理数据集、学生管理数据集、教学管理数据集、教职工管理数据集、科研管理数据集、财务管理数据集、资产与设备管理数据集、办公管理数据集等。

（三）管理制度及管理规范

根据国家信息安全等级保护的要求，进一步加强管理制度及管理规范建设。主要包括：机房安全制度、网络安全管理制度、系统安全管理制度、系统建设管理制度、系统运维管理制度、人员管理制度、文件管理制度、管理对象的编码分析规范、业务应用管理规范、信息资源采集共享规范等。

八、顶层设计实施方案

（一）目标架构实现路径

**学院“十二五”期间信息化建设将在总体规划、分步实施、关注重点、解决问题的原则下进行。学校将统筹考虑学校信息化建设现状及学校未来信息化发展需求，按照集约建设、充分利旧的思路实现建设与世界一流**学院相适应的信息化建设水平的总体目标。

为达到学校信息化顶层设计的目标，拟通过以下方案来实现：

1、基础设施层中应用支撑平台建设需要充分整合学校现有服务器，集中存放，集中管理和维护，共享使用；建设学校云计算平台、47

学校统一存储平台、学校数据中心、学校灾备中心、学校运行监控与调度中心等。网络基础设施建设要改造学校有线网络、无线网络、有线电视网络、校园一卡通网络等，探索应用三网融合技术。

2、应用基础支撑平台层建设需要改造数据交换平台、统一身份认证平台等；通过建设中间件，更新工作流引擎、监控管理平台、消息平台等。

3、信息资源层主要是整合学校现在所有信息资源，按照统一标准和规范构建学校统一数据资源平台。

4、应用平台层主要是升级和改造校园管理与决策支撑平台、科研与学科发展支撑平台、校园服务支持平台、校园生活支撑平台、平安校园支撑平台等；建设学校教学一体化支撑平台、校园文化支撑平台等。

5、门户服务层主要通过**学院数字校园信息平台充分整合学校各业务系统，实现数据的高度共享，用户的统一身份认证等；通过学校网站群建设改造学校主站、各二级学院及职能处室网站、校内信息门户、学生服务平台等；建设教师服务平台、移动信息门户等。

6、保障体系建设主要是完善现有的管理制度和技术体系；加强人才队伍建设，重视与外界的交流与合作；建设稳定的信息化经费投入机制，保障信息化建设顺利进行。

7、统一标准规范建设主要是补充和完善现有的信息化标准规范；统一安全机制建设主要是补充和完善现有的安全策略、安全技术等，进一步加强信息安全等级保护建设等。

（二）项目设计

为实现学校建设与世界一流**学院相适应的信息化水平的总体目标，“十三五”期间，学校拟通过项目建设的方式来实现。

（三）配套实施策略

为保障学校信息化顶层设计方案顺利落实，学校将在业务创新机制、工作保障机制、项目管理和安全可控保障机制等方面加强建设。

1． 综合考虑，加强信息化项目管理

“十二五”期间，**学院将进一步加强信息化建设项目管理工作，从学校角度整体考虑，总体规划，分步实施，关注重点，解决问题，推动学校信息化建设工作快速发展。

网络与信息中心是学校信息化建设项目管理的具体执行部门，在学校信息化建设领导小组指导下统筹协调全校信息化项目管理工作。

2．统一建设，确保信息化工作有序进行

为确保学校信息化建设工作有序进行，学校将统筹考虑学校信息化发展现状以及信息化建设发展需求，并结合信息化发展趋势，按照集约建设、充分利旧的思路全面推动学校信息化建设工作。

学校将以网络与信息中心作为学校网络基础设施以及应用支撑平台建设工作的牵头单位，根据各单位信息化建设需求，结合学校信息发展现状以及信息化发展趋势，统一考虑并集约建设学校网络基础设施以及应用支撑平台；学校将以教务处作为学校教学资源库建设工作的牵头单位，根据学校各学院教学、科研的需求，在充分调研并整合现有教学资源的情况下，统一建设学校教学资源库，各学院将作为使用单位，共享学校教学资源库等；学校将以宣传部作为学校视频资源建设以及学校校园网站、学校新闻网和各部门网站建设的牵头单

位，根据各单位需求，在充分整合现有视频资源的情况下，将统一建设学校视频资源库，全校师生充分共享学校视频资源库；同时，根据学校对外宣传工作的总体要求，统一建设学校网站群系统，并将学校各部门网站纳入到网站群系统中；学校将以学校办公室作为学校办公自动化系统建设工作的牵头单位，统一建设并推动学校办公自动化系统的建设应用工作。

学校各重要系统及资源由学校相关职能部门统一建设，将最大限度的节约资金，在充分整合原有资源的情况下，确保学校信息化建设工作有序进行，并避免学校各单位的重复建设和信息孤岛的产生。统一建设完成后，全校师生都能够充分分享信息化建设的成果，也提高了信息系统及资源的利用率。

3．协调配合，促进信息化建设科学发展

信息化建设是全校性的工作。在信息化建设过程中，学校各业务工作牵头部门要积极协调，促进信息化工作快速发展；学校其它部门要积极配合，保障信息化工作顺利进行。另外，学校各部门要根据各自发展需求，及时、准确地向各业务牵头部门提出信息化发展需求，各业务部门将综合分析学校信息化建设情况，统筹考虑，集约建设，共同促进学校信息化建设工作的科学发展。

篇8：关于校园网网络安全设计方案

我校分为南北两个校区，南区为教学区，包括：三栋教学楼、一栋图书馆、一栋教师办公楼、一栋教工宿舍、两栋学生宿舍;北区为实训中心，与南区相隔一条街道，包括：南北两栋实训楼。

二、校园网功能需求

学校是以现代化手段培养人才的地方。为了更好地使计算机及其网络在辅助教学、教学管理等方面发挥作用，我校计划在校内建立校园网，并与国际互联网相连。

校园网的信息点应该普及两个校园区所有教学楼的教室，实训中心的电脑室、实训室，教师办公楼，图书馆，宿舍楼等，同时教室办公楼应该提供无线网络接入。校园内每个信息点的电脑都可以相互访问，实现广泛的软件、硬件资源共享;同时每个信息点的电脑都能接入互联网，提供基本的Interne网络服务功能，如电子邮件、对外个人主页服务、ftp服务、域名服务等。

三、校园网网络规划设计

1. 综合布线结构

根据学校的地理位置，各栋建筑物到网络中心的距离，以及数据的流量，采取光纤+超五类综合布线系统。

(1)主干网。网络中心在图书馆四楼，对于南区教学区，因为每栋楼到网络中心都在400米左右，所以每栋楼的交换机都用12芯的室外多模光缆与网络中心的核心交换机连接;而北区实训中心因为离网络中心太远，南北楼的交换机用12芯的室外单模光缆与网络中心的核心交换机连接。主干网是由光纤构成的1000M网。

(2)楼内网。每栋楼的交换机都放在四楼中间的一间房间里，各个信息点到交换机的距离都在100米内，楼内的布线用超五类线，为每间教室、实训室、办公室等提供两个信息点。楼里面则构成10—100M的网络。

2. 设备选型

网络设备必须在技术上具有先进性、通用性，必须便于管理、维护。网络设备应该满足学校现有计算机设备的高速接入，应该具备未来良好的可扩展性、可升级性，保护学校的投资。网络设备必须在满足功能与性能的基础上价格最优。网络设备应该选择拥有足够实力和市场份额的厂商的主流产品，同时设备厂商必须有良好的市场形象与售后技术支持。

根据多方面的考虑，我们确定选用华为三康的设备，路由器用MSR30-40，防火墙用F-1000A，核心交换机用S-7506，各栋楼的接入交换机用E-126A。这些设备完全满足校园各种功能需要，同时也满足未来扩展的需要。

3. Internet接入

根据对全校总出口流量的估算，为确保内部网站和外部网站的连接畅通，我们用电信20M带宽的光纤专线接入，有一个Internet固定的IP地址，所有计算机都通过NAT(网络地址转换)进入Internet。

4. VLAN规划

VLAN为虚拟局域网，它有如下优势：抑制网络上的广播风暴;增加网络的安全性;集中化的管理控制。基于这些优点，我们按照各栋楼的不同情况对交换机进行VLAN划分，具体是：VLAN1—设备管理、VLAN10—图书馆、VLAN11—教师办公楼、VLAN12—实训中心南、VLAN13—实训中心北、VLAN14—4号教学楼、VLAN15—5号教学楼、VLAN16—1号教学楼、VLAN17—教工宿舍。

5. 路由规划

核心三层交换机S-7506实现VLAN之间的相互访问。对于三层交换机来讲，所有VLAN(网段)都是直连的，因此只需要启动路由，而不需要设置额外的静态或动态路由条目。我们在S-7506中创建VLAN 10至VLAN 17，并把与接入层交换机光纤连接的光纤端口添加到对应的VLAN中，同时给VLAN端口添加对应的网关IP作为虚拟端口的IP地址，实现整个校园网不同网段之间的相互访问。

6. 无线接入

充分利用计算机辅助教学及利用网络软硬件的资源共享，是校园网为教学服务的一大特点，我校教师每人配备了一台手提电脑，手提电脑接入校园网，采取无线接入的方式。

构建“无线漫游”接入区，在办公楼放置三个TP-LINK841无线路由器，SSID都是BanGong，频道则分别为1、6、11三个互不干预的频道，不加密码是开放式，开启DHCP，地址池IP为192.168.1.50/24—192.168.1.200/24，这样教师可以很方便地接入到校园网。

7. 开放计算机机房

学校内有大量的各种各样的开放式机房，是学生学习计算机的场所，通常这些计算机连成一个局域网，除具备一般的互访外，通常还要求这些计算机能够访问到Internet。为满足教学要求，我们作了如下规划：(1) IP地址用私有C类192.168.0.024。(2)实现Internet访问，实际上是一个局域网PC如何共享上网的问题。在每一个机房部署一个信息点，相当于Internet出口，用服务器代理的方式通过信息点接入校园网，从而实现访问Internet。

8. 对外发布站点

对于一些外部站点的问题，通常放置在DMZ区内，DMZ区的安全等级高于外网，低于内网，防火墙的默认规则是允许安全等级高的访问安全等级低的，禁止安全等级低的访问安全等级高的。因此，防火墙不需要设置规则就可以实现内网访问到DMZ区，但外网不能访问到DMZ区。对于学校来讲，WWW站点的主要目的就是对外发布信息，必须让外网能够访问到，为了到达这个目的，可以在防火墙上添加一些规则，开放DMZ区所在服务器的IP，以及相应的端口。在DMZ区放置学校的服务器：邮件服务器、WWW服务器、数据服务器、文件服务器。

四、网络安全及管理需求

校园网是巨大的资源中心，存放着各方面的信息资源，涉及学校的方方面面，同时，校园网又是一个开放的系统，有不同的人员在校内或校外访问它，因此，校园网的建立不仅是网络硬件和应用的建立，还应该特别重视校园网的安全问题。网络安全是一个体系结构，涉及整个办公环境的各个方面，包括人员和设备，信息的驻留点，以及沿途经过的各个中间环节，从物理层到应用层都要小心对待。

1. 设备级安全

包括网络中所有可管理的网络设备、服务器和网管工作站的安全。设备级安全是网络的第一道屏障，严格限制能够远程管理(包括Telnet方式和Web方式)网络设备的IP地址列表，必要时关闭部分或全部远程管理功能;对于核心网络设备，如骨干交换机和路由器，建议不设远程管理IP地址。

2. 传输级安全

指敏感数据在传输线路中防止中途窃取或修改的安全性。解决办法包括室外线路尽可能采用无辐射抗干扰的光纤作为传输介质，室内明线使用屏蔽双绞线，中心机房加装屏蔽网，对远程传输的信息进行加密等。

3. 网络层安全

是网络安全设计中的重要一环。网络层攻击是黑客最常用的攻击方式，如外部入侵。对付这种攻击方式最典型的解决方案是使用软件或硬件防火墙进行内外隔离，同时内网采用保留IP地址，访问外网时进行NAT转换(网络地址转换)。除了防止外部入侵外，也要注意防止内部的越权访问和故意破坏，一般在VLAN之间进行访问控制。

4. 应用级安全

包括防病毒和认证体系。近年来病毒多如牛毛，如：熊猫烧香、ARP地址欺骗等。对于病毒问题，有效的解决方法是安装网络防病毒软件，修补系统漏洞。同时也要防范因内部人员不经意或故意“环路”，形成的“网络震荡”，解决办法是设置交换机STP协议(生成树协议)。

校园网是一个比较大型的网络，为了保证校园网更加有效、可靠地运行，我们配置了一台网络管理工作站，以便更有效地对校园网进行管理。根据网络设备选型，我们选择华为三康管理软件，同时用第三方管理软件一起管理网络，主要是so-larwinds-toolset工具箱V9.2、超级PING、Sniffer Portable 4.8这三个软件。

五、方案规划设计特点

该校园网方案采用成熟的先进的技术，采用国际统一标准有广泛的支持厂商;所有设备都用华为三康一线产品。Internet带宽合理，确保网络不出现“塞车”现象;设置三层核心交换机，将整个网络划分为多个VLAN，从而使网络更加安全;同时本方案充分考虑了网络未来的升级与发展，把网络主干网构成了信息高速网，对未来的发展非常有利。

参考文献