1、包头职教园区服务管理学校智慧校园解决方案汇报包头鑫辉科技有限公司目录1项目背景42智慧校园设计概述42.1项目需求42.2系统设计原则53智慧校园集中管理系统设计64云平台教学系统75校园一卡通系统86可视化安保管理系统设计96.1系统架构设计106.1.1一般场环境下摄像机的选型原则106.1.2传输交换系统106.1.3管理控制系统116.1.4视频音频存储系统116.2系统组网拓扑117校园车辆管理系统设计127.1校园车辆管理概述127.2校园出入口控制收费系统137.3校园道路卡口测速系统147.4校园道路违章停车管理系统148承载网络设计158.1三层架构158.2扁平化组网1582、.3虚拟化设计159安全系统设计179.1安全设计与网络设计同步179.2防火墙隔离安全分区179.3行为审计与流量控制179.4Web应用防护189.5漏洞扫描189.6应用交付及加速189.7高速缓存加速系统199.8安全业务扩展方案1910无线网络设计1910.1无线AP部署设计2010.2认证方式设计2010.3频率规划与负载均衡设计2010.4SSID规划设计2010.5角色登录及日志记录方式2210.6无线用户流量控制设计2310.7无线网络安全设计2311校园指挥中心设计2412智慧校园建设投资汇总251 项目背景包头市职业教育园区位于城郊结合部，九原区丹拉高速公路以南、210国3、道以西、202铁路专用线以北、西至三道沙河。一期建设基地内有1所高等职业技术学院、5所规模较大的中等职业教育学校进驻。随着教育信息化工作的不断深入，智慧校园的建设也得到了各级教育主管机构越来越多的重视，从以优化教学流程、强化教学质量为目的的智慧校园，智慧校园正在延伸到教学管理、教务管理、安全防范、管理等各个层面。智慧校园应用必然与其他行业存在众多通性，但也有一些自身的特点和要求。但智慧校园的业务需求并不能靠简单的系统建设或扩容来解决，所以本次的建设一套整体管理平台，将校园的教学系统、后勤业务系统、宿管系统、网络管理系统、应用安全系统、校园安防系统等有机整合。2 智慧校园设计概述2.1 项目需求4、本次智慧校园建设根据校园实际管理需求，采用现代化的技术手段，建设一套数字化、网络化、高清化、集成化、智能化的智慧校园管理系统。具体需求如下：1）智慧校园集中管理系统，该系统将校园内所有数字化系统并入到集中管理平台之下，实现统一管理、统一部署、统一规划、统一运维为一体；2）云平台教学系统，该系统将校园内所有教学应用通过刀片服务器系统虚拟化集成在高性能主机系统下，提供灵活、高效、易用的教学平台；3）一卡通系统，该系统将校园内所有非教学应用也通过刀片服务器系统虚拟化集成在高性能主机系统下，提供灵活、高效、易用的教学平台；4）可视化视频监控系统，该系统建设一整套的校园安防管理系统，涉及到校园办公区、公5、共区域、教学区、宿舍区出入口控制、校园道路车辆管控等系统，同时能够实现可视化报警功能，统一界面呈现在智慧校园集中管理系统中，最大程度加强校园工作人员对车的管控力度；5）校园指挥网络系统，该系统保障校园业务数据平台之间通信的稳定性，为学校信息化业务的连续性提供网络保障，在该系统内通过统一部署一套无线网络解决方案，实现对学校应用系统、专业学术数据库、电子图书馆等的的高效使用无线网络支撑；6）校园指挥中心，该中心可以将教学、一卡通、安保、网络、应用等系统进行可视化的管理。2.2 系统设计原则为了达到国内领先的目标，该系统设计应该充分考虑系统的合理性、先进性、实用性、可靠性、稳定性和可扩展性的原则。合6、理性原则 为了保证整个系统从设备配置到系统构成的合理性，系统设计根据实际状况和建设治安防控系统的具体要求，充分满足用户在使用中的各项功能要求。为了保证系统的顺利使用以及与已建成系统集成的顺利进行，本系统的建设需要提供开放的软件接口，提供底层的API，从而为将来开发出实用而简易的集成软件，完成系统集成打好基础。先进性原则 当前，计算机及通信技术高速发展，使得系统的设计不但要考虑充分利用当前的最新技术，而且还必须考虑随着技术的进一步发展，能在系统中不断溶入新技术，使系统始终充满活力，始终保持一定的先进性。实用性原则 系统的建设应以实用性为基本原则。系统功能必须满足监、控、存、查、管、用的基本要求，7、硬件和软件平台界面友好、易学易用、使用方便、图像清晰；采用统一的系统标准和通信协议，使整个系统中各个子系统间能互联互控，充分发挥整个系统的功能。可靠性原则 保证智慧校园系统安全、正确地完成相应功能，保证系统的完整性、正确性和可恢复性，系统的不稳定因素要从硬件、软件系统协同运行中给予充分的防止。如有发生也应做到可即时地恢复，所有产品均具有正式的出厂合格证明和权威机构的质量认证。本系统的规模无论在网络、系统平台，还是在系统应用方面都具有相当的规模，系统的运行可靠性是主要性能之一。保证对系统提供24小时不间断服务。可扩展性原则 可扩展性原则主要体现在系统横向和纵向的扩展能力上。在系统横向扩展方面，智8、慧校园系统在满足当前业务需求的基础上，应该非常方便的扩展容量，可方便实现更多业务接入的模块化系统。在纵向扩展方面，系统具有良好的兼容性和通用的软硬件接口，用户可在其基础上进行二次功能开发安全保密性原则 整个信息系统安全的问题，是系统建设中一个优先考虑的关键，所以整个系统数据要充分安全，要严格实行操作按级管理，对关键数据实施特殊保护，各种操作要做好记录，便于查找。软件系统的安全性 操作系统级的安全规范必须满足国际C2级标准，可以保证不被身份不明的黑客所攻击。数据库的超级用户帐号即密码由服务器的系统管理员设定，数据库的一般用户帐号和权限由数据库超级用户（数据库管理员）设定。系统维护人员可随时方便地9、对数据进行备份和恢复。应用程序级的安全性 所有的操作人员进入系统前均应登录自己的帐号和密码，并通过权限管理服务器认证，核对准确后方可进入系统。所有的操作人员均应规定相应的级别及权限，任何越权的操作必须被拒绝。所有的操作、错误均应有日志记录，并可以根据工号或操作查询。除了用户管理的基本资料外，工作人员不得对用户的其它资料和数据进行更改和操作，除非有用户指定授权人的授权。3 智慧校园集中管理系统设计智慧校园发展背景随着高校信息化建设的不断推进，信息服务在学校教学，科研与管理中的作用越来越大。由于IT治理的重要性和迫切性各个学校已经或正在开始建设基于部门的应用系统，基本解决了面向业务主题的管理。但在10、高校信息化建设中，仍然存在着一些共性的不足，如网络基础设施的的接入手段单一，安全保障体系尚不完善；数字资源建设的投入较少，整体应用水平还有待提高；特别是不同部门之间的信息共享与交流自动化程度低，缺乏统一的信息编码标准；信息化保障机制还不够健全。学校的教学资源信息主要来源于三类：基于人的数据，基于流程管理的数据，面向设施环境的数据。现有的信息管理系统在一定程度上解决了这些数据的采集，但仍然无法满足全方位实施教育信息化及提供智能的综合信息服务的要求。这就要求了基于先进技术的系统的智慧校园管理系统的出现。该系统将校园内所有数字化系统并入到集中管理平台之下，实现统一管理、统一部署、统一规划、统一运维为11、一体，系统采用模块化设计，并且支持无缝扩容和平滑对接等灵活业务功能，现设计管理模块主要包括以下内容：l 云平台教学系统l 一卡通系统l 可视化安保管理系统l 校园车辆管理系统l 承载网络管理系统l 无线网络管理系统下面我们就来详细介绍以下系统模块的功能。4 云平台教学系统通过学生的学籍、成绩等信息建立学生的基础库，通过收集整理教师的基本信息，综合教师日常教学、科研等各种方式，建立起教师的基础信息库。依托基础库数据，应用科学的分析统计方法和理念，准确分析出学生学习的进步状况，帮助学生及时发现学习的薄弱环节。同时能掌握教师的教学、科研等情况，促进教师提高专业水平。此外，平台还提供了满足学校排课、选12、课、考务、新高考3+3等教务管理、办公事务管理、诊断与辅助、备课管理、资源管理、电子文档、科研管理、教师研修、考勤管理、收费管理、校产管理、宿舍管理、实验室管理、体卫管理、招生管理、流程管理、德育管理、图书管理等需要的功能强大的应用模块，为学校建立一个覆盖范围广、实用性强的教育管理平台；为教育精细化管理提供有效的评测依据；是数字化校园和智慧校园的基础应用，也是三通两平台的重要组成部分。新一代信息技术的发展为智慧校园的实现创造了可能，它能够更透彻的感知和度量，更全面的互联互通，更深入的智能化。通过智慧校园，我们可以转变个人与组织机构，自然系统和人造系统的交互方式，使其更加智慧，即更加清晰、效率更13、高、响应更灵活更及时，这将为校园的发展带来新的机会。云计算服务平台使量化、科学的决策成为可能。作为一种信息服 务模式，云计算可以把大量的高度虚拟化的计算和存储资源管理起来，组成一个大的资源池，用来统一提供服务。5 校园一卡通系统随着计算机技术和网络技术的迅速发展，科学正进入信息时代，信息技术本身正对教育的改革产生深远的影响。现代化的学校少不了现代化的教学设施、设备的武装。建设校园一卡通，为学校的教师、学生和教学管理人员提供具有开放性、灵活性、面向学校应用服务的管理平台，是教学管理科学化的必要前提和基本途径，所以，校园一卡通的建设势在必行。 校园一卡通是数字化校园的基础工程，它为数字化校园提供全14、面的数据采集网络，结合学校的管理信息系统和校园网络在教学，科研，生活方面的各种应用系统，全校范围的数字空间和共享环境。在校园网上建成“校园一卡通系统”的数据平台，卡片平台，财务结算平台，校园卡应用的商务管理、银行转账、身份识别管理的各子系统都建立在该平台下，以后随学校规模的扩大和卡片功能的增加只需随时增加子系统，不需再对平台进行扩充。数字化校园建设中的其他MIS系统、0A系统，可以通过平台预留的扩展接口实现与“校园卡系统”的数据共享。持卡人的基本信息资料和电子钱包都作为统一的公用数据在全网上实时共享，做到一人一卡，一人一户，所有数据的变更都有做到全网立即生效。在学校各校区内，凡涉及到现金使用的15、任何一个消费网点，校园卡的电子钱包都能通用，所有商户单位不论其性质与规模都可以授权代理收款、结算、商户资金可以实时到账。如：食堂、超市、餐饮、小卖部、浴室、洗衣、校内大巴等。6 可视化安保管理系统设计目前，整个安防监控行业已经进入了网络监控的时代，各行业联网监控需求的快速增长，对监控系统建设提出了全新的要求。普通监控厂商由于能力限制，很难涉足开发校园监控系统的各个方面，在实现网络监控需求时其重点还是在各个子系统之上去考虑上层软件的设计。当校园监控范围不断扩大，海量的视频存储需求不断增加，业务需求越来越复杂和灵活时，由于普通监控厂商无法从网络监控的整体架构角度对所有网络监控的组件进行优化，只能依16、靠上层软件被动的去整合异构非标的硬件、不同厂商存储、网络等，系统设计已经存在一些不可逾越的瓶颈。因此，才会出现依靠流媒体服务器、网络转存服务器、设备代理服务器等组件来实现不同异构设备之间的媒体处理和信令处理，当面对海量多媒体信息管理存储的需求，这些设备的集群、负载均衡、故障倒换等可靠性设计以及其整体架构的性能瓶颈已经成为阻碍校园安防监控发展的重要因素。因此，本次校园安防监控系统设计采用基于联网监控整个校园安防，监控系统的所有组件进行融合优化，满足校园安防监控系统的全局看、控、存、管、用业务需求，它的出现能够解决当前校园安防监控系统不可逾越的瓶颈，满足多媒体融合应用的需求，同时更好的支持合作伙伴17、面对客户提供个性化增值应用解决方案。6.1 系统架构设计系统采用模块化设计思路，分为前端采集系统、传输交换系统、管理控制系统、视频音频存储系统4大部件。6.1.1 一般场环境下摄像机的选型原则前端采集系统通常包含数字视频编解码器和IP网络摄像机。前端采集系统支持H.264、MPEG4等多种标准编码格式，并可提供各种不同分辨率规格及接入能力，可支持实时流和存储流双流设计，码流可以根据用户需求任意调整。前端采集设备应采用电信级制造工艺，可以基于各种网络环境高质量、可靠的满足各类网络监控前端编码、存储和解码的需求。l 在人员较多的出入口和楼梯口需要安装高清的半球摄像机或者枪机。l 在电梯安装广角半球18、型摄像机，并通过视频编码器进行编码接入。l 在停车场的出入口，车辆进出时，车灯光线很强，一般摄像机是无法正常获取视频图像的。需要在强光下也可获取到高清晰图像的摄像机，安装强光抑制枪机。l 学校周边外围停车场空间较大，光线充足，监视范围广，要求摄像机有较大的视野，安装高清网络摄像机，和快球型网络摄像机。高清网络摄像机采用 180拼接的方式进行大画面监控，比进行球机联动，球机自动跟踪进入监控区域的人员或者车辆。紧急情况下，可切换为手动模式进行PTZ操作。6.1.2 传输交换系统采用网络资源对前端视频传输的数据进行接入、汇聚、交换，通过设备自身安全特性和防火墙等实现对边界安全接入的控制，同时可通过网19、络本身的设备、协议冗余实现整个监控网络的稳定性。6.1.3 管理控制系统包括专用的视频管理服务器、数据管理服务器、客户端和流媒体服务器，视频管理服务器是用于集中认证、注册、配置、控制、报警转发控制的专用信令服务器，可以实现完善的视频编解码设备网络管理功能，支持多台信令管理服务器相互协同工作组建多级多域的管理平台。数据管理服务器主要功能为管理存储设备、存储资源和视频数据，支持对系统所有存储资源进行全方位的监控和管理，支持不间断的视频检索、回放等业务。客户端可以提供友好方便的人机界面功能，包括监控对象的实时监视监听、查询、云台控制、接警处理。6.1.4 视频音频存储系统专业的IP存储技术和强大的数20、据管理服务器构建完善的网络存储系统，存储资源可以根据需求分布式部署并加以统一资源管理和调度，支持动态存储资源管理、在线部署，可以基于统一平台满足不同存储质量、容量和服务质量的需求，可以提供完善的备份和存储生命周期管理功能，同时视频图像的NAS备份功能。6.2 系统组网拓扑本方案设计拓扑如下：方案说明：如上图所示，校园可视化报警管理平台是整系统的视频图像系统的核心控制管理中心，通过该平台完成整个系统内所有图像资源的联网图像的调度、管理、分发和互通功能；通过视频管理服务器完成视频图像的接入、认证、权限分配；通过组播技术完成实时图像分发、实时图像的调阅和分发功能。校园可视化报警管理系统解决方案更贴近21、高校用户的特殊需求，对于大楼出入口的宽动态场景、狭长的走廊、低照度场所均能提供相应功能的产品。尤其针对大楼中常见的个别监控点位超长（超过100米）情况，优化后的半球和枪机均支持不增加任何附加设备即可传输至150米200米；H.264 HP 编码格式能够在保证高清图像质量的前提下将IPC的传输码流降至2M(720P)、4M(1080P)，极大的降低存储空间，解决了平安校园项目中采用全高清系统导致存储成本过高的问题；方案全部采用低功耗半球及枪机、低功耗存储设备，节能减排；对于校园周界和园区的长距离传输，提供多种解决方案光口摄像机、EPON组网，使得施工布线更加方便灵活；全IP的监控系统架构使系统具22、有良好的扩展性，有效保护业主的投资;在学校大门出入口和主干道建有卡口系统，能够实现在校门空进行控制收费，在校园道路上进行测速提醒。同时在强顺光和强逆光的坏境下，同样可以保证图像的清晰度;在学校主干道部署违停抓拍球，确保违章停车，第一时间发现，保障校园道路畅通；在周界等重要区域部署自动跟踪球，夜晚光线不足的重要区域部署红外激光球，确保在微光情况下图像清晰;在停车场、学生运动场所等广阔区域，部署3枪1球，实现全景拼接和枪球联动;集成报警系统和消防报警等安防子系统，实现联动显示，解码上墙。7 校园车辆管理系统设计7.1 校园车辆管理概述为维护校园良好的教学、工作和生活秩序，保障师生员工人身安全和校园23、财产安全，减少各类事故发生，营建良好的校园环境和停车秩序，本方案结合业界最先进的车辆管理技术，提供校园车辆管理整体解决方案。利用车牌识别技术、自动道闸系统、门岗客户端、LED屏等设备做联动整合，除可以做出入口控制系统外，还可以支持灵活的校园停车收费方式。对于多个大门的校园来说，可以准确的统计出校园内停放车辆，停放时间，为校园车辆管理提供了有效的车辆相关的数据。校园车辆管理包括校园出入口控制收费、校园道路卡口测速和校园道路违章停车管理3个部分组成，解决方案拓扑图如下：校园车辆管理整体解决方案解决了在校园大量机动车进出带来管理上的问题，做到车过留痕，从车辆进入校园园区到驶出园区， 车辆在校园园区内24、的所有行车轨迹都在车辆管理系统的监控之中，做到了真正意义上的校园车辆管理。7.2 校园出入口控制收费系统国内各个大学园区普遍存在多个出入口的情况，而且存在收费管理的需求，从用户的实际调研情况看来，目前大多数用户使用的出入口控制收费系统，主要存在以下几个问题：1）卡丢失、被盗现象经常发生，发卡成本高；2）进入园区要先停车、取卡，停车位置也要准确，否则距离太远，还要下车取卡；驶出园区需要停车、缴费、找零等一系列动作；整个过程费时低效；3）出入园区的车辆没有留下记录，如果要登记，则更加费时费力；4）出入口控制收费系统相对独立，车辆进出数据难于被系统综合应用。5）传统出入口控制收费系统管理成本较高。针25、对现有出入口控制收费系统，无卡式出入口收费系统，针对学校用户的特殊需求，主要有如下优势：1）成本低，不需要IC卡，只需在系统中添加一条校内教职工用户车辆信息；2）收费方式灵活，支持预付费、包月及人工等收费方式，实现园区车辆的无卡收费；3）车辆按照10km/h的速度可自由进出，通过卡口对进出车辆进行抓拍，实现车辆无卡快速出入，针对上下学高峰期间，效率高；4）无缝整合到校园车辆管理系统，支持对园区内的车辆进行统计和管理；5）抓拍准确率98.6%，通过模糊匹配能将准确率提升到99%以上。7.3 校园道路卡口测速系统校园道路卡口测速系统在高校园区内逐步得到推广，卡口主要架设在校园主干道，主路口，对过往26、车辆进行记录、车速测量、流量统计等。因为在校园内部对车辆行驶速度做了明确的限制，一般限制在20km/h，也有的地方会更低，针对高校用户特殊的需求，低速卡口解决方案以先进的视频检测为检测手段，同时采用业界最成熟，准确性最高的线圈测速，主要特点有昼夜模式适应性强，画面流畅性高。7.4 校园道路违章停车管理系统校园内违章停车现象一直是校园车辆管理中的顽疾，对校园道路的畅通以及校内人员安全均存在严重影响，如何规范驾驶员的停车行为，对违反校内车辆管理规定的行为进行及时准确的取证，及时联系到驾驶员把车停放在正确区域，维持校园道路正常运行状态，是校园交通管理的关键。校园道路违章停车管理系统，采用自主研发硬件27、设备及图像分析技术，将违章停车抓拍过程实现自动化，系统实现违章停车检测、自动球机控制、车辆全景抓拍、车牌特写抓拍、车牌号码识别、违章信息输出等整体功能。系统支持大范围、多视角、不间断的自动违停抓拍。完全替代人工控制违章停车抓拍所需要的全过程。系统采用国际前沿的视频动态跟踪检测技术为核心，同时集合机器视觉技术，通信技木及自动控制技术和数据库技术。利用高清晰感光芯片器件作为检测传感器，通过对动态的交通视频图像实时处理,能克服天气、环境变化等干扰，从而实现校园道路车辆行为检侧、路况图像监控等多功能的智能违停抓拍系统。8 承载网络设计8.1 三层架构网络根据逻辑层次的不同，可分为核心-汇聚-接入的三层28、架构组网。三层架构是网络设计中常见的网络架构。其中核心层设备是校园流量的中心干道，主要承担高速数据交换的任务，同时要为各汇聚节点提供最佳传输通道。核心层使用L3协议进行设计，应该被设计为能够快速收敛，可靠性高并且稳定。汇聚层的主要任务是把大量来自接入层的访问路径进行汇聚和集中，承担路由聚合和访问控制的任务。这就要求汇聚层设备必须具备良好的可扩展性，必须使用模块化的体系结构，以便汇接更多的接入层设备。接入层的主要任务是完成用户的接入，它直接和用户连接，可能遭受ARP风暴、MAC扫描、ICMP风暴、带宽攻击等等攻击方式，对安全性的要求很高，另一方面必须提供灵活的用户管理手段。8.2 扁平化组网扁平29、化组网即将网络可分为核心层和接入层。通过减少物理和逻辑级联级数，压缩掉汇聚节点，减少中间延迟环节，以提供更加快速的数据通道。使接入层设备直接面向核心，从而形成扁平化的网络结构。采用扁平化的前提是核心设备需要高性能和大容量，并配置高密度以太网口(光、电)用以直接下挂大量的接入层设备。8.3 虚拟化设计采用双星形组网时，网络的可靠性有所提高。VSM虚拟化技术虚拟交换矩阵，是将多台物理设备虚拟化成一台逻辑设备的技术。设备间的协同工作不再需要用户关注，从而使组网和管理得到简化、性能和效率得到提升。同时，通过VSM的在线扩容和在线升级技术，部署了VSM技术的网络环境可以在不改变原有网络拓扑的情况下向现有30、网络增加VSM成员设备，使整个逻辑设备拥有更多硬件和软件资源、更强大的处理能力。9 安全系统设计9.1 安全设计与网络设计同步对于网络来说，光稳定、可靠是不够的，还要保障安全，网络才可用。有的校园在信息化建设中将网络建设和网络安全建设割裂，先建设网络再建设网络安全，这会带来很多问题，比如应用层对权限进行限制后，网络层可能是连通的。此外，网络建设的重要内容是进行网络策略规划，这其中的核心就是安全分区的划分，而安全分区的划分属于网络安全建设范畴。因此，网络安全的设计应与网络设计同步，从一开始就进行网络策略、安全策略的规划。网络安全体系并不是安全功能的简单叠加，而是一个功能联动、相互配合、覆盖L2731、从终端到核心的完整的安全体系。本项目的安全体系包括：访问控制、安全隔离、入侵防御、病毒防范、流量控制、安全审计及接入控制等。9.2 防火墙隔离安全分区在安全设计时，首先要将网络划分为不同的功能区域，用于部署不同的应用，使得整个集团网络的架构具备可伸缩性、灵活性、和高可用性。服务器将会根据服务器上的应用的用户访问特性和应用的核心功能分成不同组部署在不同的区域中，但是由于整个数据中心的很多服务是统一提供的，例如数据备份和系统管理，所以为保持架构的统一性，避免资源不必要的重复浪费，一些功能相似的服务将统一部署在特定的功能区域内，例如与管理相关的服务器将被部署在管理区。实际部署中，建议通过防火墙实现32、安全区域的边界隔离与访问控制，防火墙定义为高级的安全访问控制设备，通过位于不同网络或网络安全域之间信息的唯一连接处，根据组织的业务特点、行业背景、管理制度所制定的安全策略，运用包过滤、代理网关、NAT转换、IP/MAC地址绑定等技术，实现对出入网络的信息流进行全面的安区控制（允许通过、拒绝通过、过程监测）。9.3 行为审计与流量控制在应用需求的不断推动下，网络技术得到了飞速发展；而网络技术的进步则又反过来推动应用的发展，应用与网络之间是相辅相成、相互促进的。而应用自身的多样化、个性化特性，却与网络的IP化、标准化形成了天然难以逾越的矛盾。特别是随着万兆到核心/千兆到桌面、Web2.0、虚拟化、33、云计算、物联网、P2P等新技术新应用的不断增多，如何在标准化的网络基础设施上，使模型越来越复杂、流量越来越大的千变万化应用更安全、更快速、更可用，最终使IT战略与企业战略保持一致，是所有IT厂商和用户面临的共同课题。9.4 Web应用防护B/S架构应用系统相对于C/S架构系统具有访问灵活、维护简便等优势，已成为各类业务系统的主流架构形式。大港职专校园网络中的OA、门户网站等重要业务系统都在不同程度上依赖Web站点对外提供服务。因此，重要业务系统的Web站点安全将关系到WEB业务能否正常开展，甚至是核心数据资产的安全。因此，对于包头职教园区校园网络来说，需要通过WEB防火墙实现对Web应用实时有34、效的安全防护，有效抵御包括SQL注入、跨站脚本攻击、会话劫持、应用层DDoS、网页篡改在内的各种高危害性Web攻击；同时提供Web流量优化和负载均衡等功能，对服务器进行流量整形、Web加速、SSL卸载等功能，实现集Web攻击防御、协议加固、流量优化于一体的全面Web网络安全防护。9.5 漏洞扫描针对网络中大量设备存在的漏洞，方案设计部署漏洞扫描设备，采用“智能关联扫描引擎”技术，通过多种扫描方法关联校验的方式对漏洞进行扫描，且对漏洞特征库进行持续不断的升级，从而确保漏洞判断准确无误。支持对终端、服务器、路由/交换设备、操作系统（Windows/Linux/Unix）、应用服务等进行漏洞管理，具35、有覆盖2-7层漏洞检测和自动修补等技术，尤其针对Web应用系统进行代码级检测，消除XSS跨站脚本、SQL注入、网页挂马等漏洞威胁，且支持对SSL加密应用的漏洞管理。9.6 应用交付及加速随着互联网的飞速发展，业务种类的不断丰富，如何提升用户体验，让网络访问快速安全、服务器资源利用更合理、运维更便捷，成为包头职教园区校园网络系统建设者需迫切解决的问题，主要包括：l 服务器承载应用的稳定性和持续性，系统扩容、升级不会影响业务；l 多服务器的协同工作，且最大发挥每台服务器性能；l 网络适应性强。考虑到业务应用会对网络信息系统进行集中、突发性大流量的访问，对数据/应用服务系统的处理能力要求较高，为了保36、障和提高校园网络信息系统应用服务的高可用性，需要部署集负载平衡、应用优化、安全防护于一体的综合应用交付平台，实现业务应用的服务加速和应用优化，以保证数据中心的响应速度和业务连续性，并大大提升服务器的使用效率和弹性伸缩能力。9.7 高速缓存加速系统高速缓存，将去外网抓取网内用户热点资源，进行内网留存，在节省网络带宽占用的同时，大大提升了用户的体验。l 精细、可靠的缓存管理l 部署简便l 平滑扩展l 智能缓存，充分利用闲置网络资源l 信息安全管理全面，增强系统安全性9.8 安全业务扩展方案模块化交换机是配备了多个空闲的插槽式交换机，用户可任意选择不同数量、不同速率和不同接口类型的模块，以适应千变万37、化的网络需求。但拥有更大的灵活性和可扩充性。像这样模块化交换机的端口数量就取决于模块的数量和插槽的数量。10 无线网络设计本期无线网络主要覆盖教学楼和办公楼，无线控制器部署在包头职教园区校园核心机房内，无线控制器采用插卡式设备部署在核心交换机内，用以实现智能的实现楼内无线AP的虚拟蜂窝构建，对所有AP的统一集中管理，结合审计与流控模块可为楼内无线网络提供Portal认证接入，能够结合域控、无线实现一次认证，提高安全性、稳定性和易用性。10.1 无线AP部署设计无线AP采用痩AP方式部署，支持802.11n，300Mbps以上带宽，POE供电，具备远程管理功能，方案设计采用迪普科技AP1000系38、列无线AP设备，该设备能提供传统802.11a/b/g网络6倍以上无线接入速率，支持300M速率，可通过ACS6000系列无线控制器实现对无线AP进行集中管理，提升网络管理维护效率。10.2 认证方式设计本方案主要采用802.1X认证，AP1000与ACS6000-Blade通过二层隧道协议通信，无线用户的认证点都是放置于ACS6000-Blade设备上，后台的认证服务器作为用户鉴权点。10.3 频率规划与负载均衡设计802.11g使用开放的2.4GHz ISM频段，可工作的信道数为欧洲标准信道数13个。由于其支持直序扩频技术造成相邻频点之间存在重叠。对于真正相互不重叠信道只有相隔5个信道的工39、作中心频点。因此对于802.11g在2.4GHz地工作频段，理论上只能进行三信道的蜂窝规划实现对需要规划的热点的无缝覆盖。此外，由于功率模板是否能做到符合邻道、隔道不干扰也非常影响频率规划的效果。针对如何进行802.11g的频率规划作了大量的实验，实验证明3载频也可以实现蜂窝对需要覆盖的区域进行无缝覆盖，并提供更高的服务带宽提高服务质量，和高带宽业务的开展。10.4 SSID规划设计根据学校对WLAN网络划分为买教师组、学生组、公众用户组三个用户组，不同用户组可以配置不同的网管策略的要求，无线接入至少需要3个SSID来进行相关接入管理：Teacher_SSID（教师接入）、Student_SS40、ID（学生接入）和Guest_SSID（公众接入）。同时，为了保证内外网安全SSID需要与VLAN进行相关映射，确保逻辑上的安全隔离。AP部署区域SSIDVLAN教学区Teacher_SSIDVLAN10Student-SSIDVLAN100Guest_SSIDVLAN1000办公区Teacher_SSIDVLAN10Guest_SSIDVLAN10校园Teacher_SSIDVLAN10Student-SSIDVLAN100Guest_SSIDVLAN1000同时，考虑到对各个用户组进行流量控制，我们需要根据SSID制定相关的流控模型。通过AC上的用户组绑定不同的ACL规则，进行相关流量控制41、。建议分组流量控制模型如下：SSID用户组流量模型Teacher_SSIDTeacher 100 200kStudent_SSIDStudent50 100KGuest_SSIDGuest30 50K10.5 角色登录及日志记录方式用户可直接搜索无线信号，接入后可自动弹出认证页面（可定制），输入用户名及密码之后即可访问网络。用户也可通过手机搜索到wifi信号之后，随意打开浏览器，即可弹出认证页面（如下图）。与PC用户不同的是没有永久认证功能，2小时之后需要重新认证。使用短信猫，输入手机号后，生成一个临时账户，并发送验证码至手机，然后输入验证码进行认证。同时在管理后台内部生成一条以手机号码为用户42、名的上线记录。后台日志记录页面如下图：10.6 无线用户流量控制设计针对包头职教园区校园无线接入用户须进行互联网访问的流控措施，可根据学校需求，通过无线控制器和上网行为管理及流控设备对具体的网络应用进行流量控制。根据实际需求，对http的访问应用进行关键带宽QOS保障，过滤P2P、迅雷、QQ旋风等吸血软件的流量占用，保障包头职教园区校园网络的正常运营与良性发展。10.7 无线网络安全设计包头职教园区校园属于教育单位，无线网络随时面临各种突发事件影响。如何有效保证学校业务的正常运行和用户上网体验的安全，将成为整个无线网络安全设计的重点。本项目中无线网络的安全方案主要有以下四个方面：“业务数据安全”、“终端接入安全 ”、“内外网安全”和“上网行为管理”。11 校园指挥中心设计中心控制室设中心屏显系统：中间由8块（24）单屏尺寸为55寸的高亮度液晶显示屏组成，可滚动显示有关信息。控制台：操作台设置2台双显卡输出PC机，配4台21寸液晶显示器，同时配置2台矢量控制键盘。12 智慧校园建设投资汇总序号建设内容计划投资（元）备注1智慧校园集中管理系统60万2云平台教学系统50万3校园一卡通系统45万4可视化安保管理系统155万5校园车辆管理系统50万6承载网络90万7安全系统60万8无线网络65万9校园指挥中心35万合计610万