1、校園信息化建設總體規劃校園信息化建設的理想目標網上辦公網上管理網上教學網上服務 網絡基礎網絡基本服務管理信息系統辦 公自動化網絡教學系統數 字圖書館信息服務系統決策支持系統社區服務系統電子商務系統數字化校園校園信息化建設概念模型信息化建設的目的實現校園內教學、科研、服務的數字化、信息化、網絡化、電子化實現信息資源和信息服務的合理規劃，合理分配，合理利用保證資源和服務的可靠性，安全性，科學性提高大學管理過程和管理系統上的質量，效率和效益信息化建設規劃 (一)身份認證系統及用戶信息數據庫通用信息集中平臺與信息發布平臺南京大學辦公自動化工具網上遠程教學平臺計算機網絡輔助教學教務管理系統信息化建設規劃

2、(二）校園一卡通網絡校園服務信息查詢終端數字化圖書館智能教學大廈，辦公大廈，實驗室大廈無線網絡接入設備發展計劃:身份認證系統及用戶數據庫通用信息集中平臺 及發布平臺各部門辦公自動化系統網上教育平臺教務教學管理系統校園一卡通系統校園社區服務查詢終端數字化圖書館智能大廈(教學，管理，實驗)無線網絡接入設備項目主要工作建立訪問用戶數據信息中心的個性界面和自定義接口建立數字校園中通用數據交換格式規范項目應用范圍為學校、政府等企事業單位搭建網上“信息門戶”實現各部門信息的采集、管理、發布和服務用于學校、政府或企業Web站點及其它Web信息系統的快速開發和升級，同時支持靜態和動態網頁的開發和管理具體實施并

3、行主干,雙網絡中心.多數據鏈路,多路由的廣域網互聯采用具有模塊化結構,熱插拔功能的網絡設備網絡服務器采用新技術.提供中文方式的圖形用戶界面，簡單易學，方便實用。優良的性能價格比。系統應著重考慮和滿足以上的設計要求所采用技術的標準化，可以保證網絡發展的一致性，增強網絡的兼容性，以達到網絡的互連與開放。為確保將來不同廠家設備、不同應用、不同協議連接，整個網絡從設計、技術和設備的選擇，必須支持國際標準的網絡接口和協議，以提供高度的開放性。布線工作區子系統水平區子系統垂直子系統建筑群子系統管理子系統設備間子系統系統總體設計為了滿足學校將來靈活組網的需要，在學校辦公區、教學區等建筑物內各設有配線間將科技

4、創業樓1樓106室建設成信息中心為充分滿足學校對高容量信息通信的需要，系統采用高速高容量的多模光纖作為園區的網絡主干中心接入500M光纖為校園網提供Internet出口，ISP提供/27網段，供學校使用。在施工中注意事項仔細查閱其它專業的施工圖紙建議在施工中應滿足設計裕量采用質量可靠的管路和線纜，以避免日后的麻煩嚴格遵守綜合布線系統規范選材標準必須一致網絡設備選型選型原則我們在網絡系統設計時考慮如下特點： 穩定可靠的網絡 只有運行穩定的網絡才是可靠的網絡，而網絡的可靠運行取決于諸多因素，如網絡的設計，產品的可靠，而選擇一個具有運營此類網絡規模經驗的網絡合作廠商則更為重要。要求有物理層、數據鏈路

5、層和網絡層的備份技術。 高帶寬 為了支持數據、話音、視像多媒體的傳輸能力，在技術上要到達當前的國際先進水平。要采用最先進的網絡技術，以適應大量數據和多媒體信息的傳輸，既要滿足目前的業務需求，又要充分考慮未來的發展。為此應選用高帶寬的先進技術。 核心層設備由于園區網網絡發展規模較大，未來需提供多媒體辦公、辦公自動化、圖書資料檢索、遠程互聯、視頻會議等復雜的網絡應用，為便于管理，我們建議選用的交換機作為網絡組建交換設備。選用1臺Cisco6509交換機作為主干交換機實現1000M做主干100M到桌面的需求。Cisco6509系列交換機支持堆疊技術，將來擴充端口極為靈活方便，不必改變原有網絡的任何配

6、置。通過增加堆疊交換機數量或做Port Trunking(端口干路)兩種辦法均可擴充網絡規模；并且實現了本地化交換，改善了整個網絡，使整個網絡的性能發生了質的變化。選用千兆光纖模塊，與主干上聯，實現主干的千兆傳輸。Cisco6509系列交換機支持網管和堆疊，可以很容易地根據需要，通過堆疊擴充端口數量。匯聚層設備匯聚層設備選擇CISCO公司的Catalyst3550系列的交換機，每個子公司的主交換機選擇WS-C3550-48-EMI交換機。Catalyst3550交換機智能以太網交換機是一個新型的可堆疊的，多層次級交換機系列，可以提高水平的可用性，可擴展性，服務質量（QoS）,安全性和可改進網絡

7、運營的管理能力，從而提高網絡的運行效率。接入層交換機帶有100BASE上行鏈路的Catalyst2950交換機，可為中等規模的公司和企業分支機構 辦公室提供理想的解決方案，以使他們能夠擁有更高性能的千兆以太網主干。主干網絡技術選型根據招用戶要求，我們主干網絡可選用千兆以太網技術目前流行的局域網、城域網技術主要包括以太網、快速以太網、ATM（異步傳輸模式）、FDDI、CDDI、千兆以太網等。在這些技術中，千兆以太網以其在局域網領域中支持高帶寬、多傳輸介質、多種服務、保證QoS等特點正逐漸占據主流位置。 現有網絡技術介紹以太網（Ethernet）提供專用的頻帶（即帶寬獨享）快速以太網(FastEt

8、hernet)千兆位以太網技術（Gigabit Ethernet）千兆以太網現在支持距離標準1000Base-SX波長850nm 62.5微米多模光纖50微米多模光纖 275米550米 1000Base-LX波長1300nm 62.5微米多模光纖50微米多模光纖9微米或10微米多模光纖 275米550米5公里 1000Base-CX 同軸電纜對 25米1000Base-T 4對5類雙絞線 100米網絡技術選型結論長遠來看如何保護現有投資性能價格比高售后服務好校園網安全方案校園網安全問題分析經過長期的使用和觀察，校園網存在以下問題：IP盜用的問題，校園網內部連接有幾千臺電腦，一部分電腦通過正常的

9、申請途徑得到合法的IP地址，另一部分則不然。當某些沒有IP地址的用戶，冒用他人的合法IP地址時，就會造成網絡內部地址的沖突，嚴重阻礙了合法用戶的正常使用。防火墻攻擊，防火墻系統相關技術的發展已經比較成熟，防火墻系統很堅固，但這只是對外的防護而已，他對于內部的防護則幾乎不起什么作用。然而不幸的是，一般情況下大部分的攻擊是來自局域網的內部人員。所以怎么防止來自內部的攻擊是當前校園網建設中的一個非常重要的方面。Email問題，由于用戶安全觀念的淡薄以及網上某些人的別有用心，會給校園網的Email用戶發一些不良內容的信件，有時還會攜帶各種各樣的病毒。因此，怎樣防止有問題的信件進入校園網的Email系統

10、也是一個待解決的問題。各種服務器和網絡設備的掃描和攻擊，有時會有一些用戶對校園網的服務器和網絡設備進行掃描和攻擊，造成網絡負載過重，致使服務器拒絕提供服務，或造成校園網不能提供正常的服務。非法URL的訪問的問題，對于一些反動的或不健康的站點，應當禁止校園網用戶通過校園網去訪問。病毒防護的問題，互聯網迅猛發展使得網絡運營成為社會時尚，但同時也為病毒感染和快速傳播提供了途徑。病毒從網絡之間傳遞，并在計算機沒有任何防護措施的情況下運行，從而導致系統崩潰，網絡癱瘓，對網絡服務構成嚴重威脅，造成巨大損失。安全解決方案設計需求分析針對校園網長期以來校園網絡出現的各種問題，對校園網的需求提出了一下幾點：1、

11、防止校園網外部用戶對校園網內的用戶進行攻擊2、校園網外部用戶只能訪問WWW 服務、MAIL 服務，其他服務只對校園網內部用戶開放。3、考慮到易用性，所有服務器的操作系統采用Windows Server，WWW 服務使用IIS。 4、需要防病毒系統安全設計原則身份識別外圍安全/接入控制數據專用性安全監控策略管理防火墻設置部署防火墻在需要隔離的網絡區域之間部署防火墻。典型地，在 Internet 與校園網之間部署一臺防火墻，成為內外網之間一道牢固的安全屏障。將WWW 、 MAIL 、 FTP 、 DNS 等服務器連接在防火墻的 DMZ 區，與內、外網間進行隔離，內網口連接校園網內網交換機，外網口通

12、過路由器與 Internet 連接。那么，通過 Internet 進來的公眾用戶只能訪問到對外公開的一些服務（如 WWW 、 MAIL 、 FTP 、 DNS 等），既保護內網資源不被外部非授權用戶非法訪問或破壞，也可以阻止內部用戶對外部不良資源的濫用，并能夠對發生在網絡中的安全事件進行跟蹤和審計。建立入侵檢測系統防火墻作為安全保障體系的第一道防線，防御黑客攻擊。但是，隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復雜多樣，單純的防火墻已經無法滿足企業的安全需要，部署了防火墻的安全保障體系仍需要進一步完善傳統防火墻的不足主要體現在以下幾個方面防火墻作為訪問控制設備，無法檢測或攔截嵌入到普通流量

13、中的惡意攻擊代碼，比如針對 WEB 服務的 Code Red 蠕蟲等；有些主動或被動的攻擊行為是來自防火墻內部的，防火墻無法發現內部網絡中的攻擊行為；作為網絡訪問控制設備，受限于功能設計，防火墻難以識別復雜的網絡攻擊并保存相關信息，以協助后續調查和取證工作的開展。入侵檢測系統 IDS（ Intrusion Detection System）是繼防火墻之后迅猛發展起來的一類安全產品，它通過檢測、分析網絡中的數據流量，從中發現網絡系統中是否有違反安全策略的行為和被攻擊的跡象，及時識別入侵行為和未授權網絡流量并實時報警。 DS 彌補了防火墻的某些設計和功能缺陷，側重網絡監控，注重安全審計，適合對網絡

14、安全狀態的了解，但隨著網絡攻擊技術的發展，IDS 也面臨著新的挑戰：IDS 旁路在網絡上，當它檢測出黑客入侵攻擊時，攻擊已到達目標造成損失。IDS 無法有效阻斷攻擊，比如蠕蟲爆發造成企業網絡癱瘓，IDS 無能為力；蠕蟲、病毒、DDoS 攻擊、垃圾郵件等混合威脅越來越多，傳播速度加快，留給人們響應的時間越來越短，使用戶來不及對入侵做出響應，往往造成企業網絡癱瘓，IDS 無法把攻擊防御在企業網絡之外。辦公室樓層IP地址網關辦公區一號樓1層 /2454/24辦公區一號樓2層/2454/24辦公區一號樓3層/2454/24辦公區一號樓4層/2454/24辦公區一號樓5層/2454/24辦公區一號樓6層

15、/2454/24實訓樓樓層IP地址網關實訓區一號樓1層/2454/24實訓區一號樓2層/2454/24實訓區一號樓3層/2454/24實訓區一號樓4層/2454/24實訓區一號樓5層/2454/24宿舍樓層IP地址網關宿舍區一號樓1層/2454/24宿舍區一號樓2層/2454/24宿舍區一號樓3層/2454/24宿舍區一號樓4層/2454/24宿舍區一號樓5層/2454/24教學區樓層IP地址網關教學區一號樓1層/2454/24教學區一號樓2層/2454/24教學區一號樓3層/2454/24教學區一號樓4層/2454/24教學區一號樓5層/2454/24科技創新區樓層IP地址網關科技創新區一號

16、樓1層/2454/24科技創新區一號樓2層/2454/24科技創新區一號樓3層/2454/24106中心機房樓層IP地址網關106中心機房/2454/24管理地址VLAN 1000名稱IP地址辦公區接入層/24辦公區匯聚層/24教學區接入層/24教學區匯聚層/24實訓區接入層/24實訓區匯聚層/24宿舍區接入層/24宿舍區匯聚層/24科技區接入層/24科技區匯聚層0/24106機房接入層7/24106機房匯聚層6/24路由器4/24核心交換機2/24服務器接入層3/24遠程登錄Telnet登錄：用戶名：222密碼：222 描述可靠性與可伸縮性IIS 6.0提供了更智能的、更可靠的Web服務器環

17、境，新的環境包括應用程序健康監測、應用程序自動地循環利用。其可靠的性能提高了網絡服務的可用性并且節省了管理員用于重新啟動網絡服務所花費的時間，IIS 6.0將提供最佳的擴展性和強大的性能從而充分發揮每一臺Web服務器的最大功效。更安全、易于管理IIS 6.0在安全與管理方面做出了重大的改進。安全性能的增強包括技術與需求處理變化兩方面。另外，增強了在安全方面的認證和授權。IIS 6.0的默認安裝是被全面鎖定的，這意味著默認系統的安全系數就被設為最大，它提供的增強的管理性能改善了XML metabase的管理及新的命令行工具。服務器合并IIS 6.0是一個具有高伸縮性的Web服務器，它為Web服務

18、器的合并提供了新的機遇。通過將可靠的體系結構和內核模式驅動程序完美結合在一起，IIS 6.0允許您在單臺服務器上托管更多的應用程序。服務器合并還可以降低企業與人工、硬件以及站點管理相關的成本。增強的開發與國際化支持通過Windows Server 2003 與IIS 6.0支持的先進功能如內核模式緩存，應用程序開發人員將從Windows Server 2003 與IIS 6.0 單一的、完整的應用平臺環境中受益。基于IIS 6.0，Windows Server 2003為開發者提供高標準的附加功能，包括快速應用程序開發以及廣泛的語言選擇，同時也提供了國際化支持和支持最新的Web標準。更高的安全

19、性IIS 6.0顯著改進了Web服務器的安全性。IIS 6.0在默認情況下處于鎖定狀態，從而減少了暴露在攻擊者面前的攻擊表面積。此外，IIS 6.0的身份驗證和授權功能也得到了改進。IIS 6.0還提供了更多更強大的管理功能，改善了對XML元數據庫（metabase）的管理，并且提供了新的命令行工具。IIS 6.0在降低系統管理成本的同時，大大提高了信息系統的安全性。正確配置了操作系統。在 Windows Server 2003 家族產品中，文件服務依賴于操作系統及其服務的適當配置。如果您的 Windows Server 2003 操作系統采用的是全新安裝，則可以使用默認服務設置。沒有必要執行

20、進一步的操作。如果您的 Windows Server 2003 操作系統采用的是升級安裝，或者如果您要確認是否已正確配置了服務以獲得最佳的性能與安全性，請使用服務的默認設置中的表來驗證您的服務設置。 計算機作為成員服務器加入 Active Directory 域中。如果您希望驗證客戶端的身份，或者將共享文件夾發布到 Active Directory，文件服務器就必須加入域中。如果您不需要執行這兩個任務，文件服務器就不需要加入域中。 分配所有可用磁盤空間。可以使用“磁盤管理”或 DiskPart.exe 從未分配的空間中創建新分區。詳細信息，請參閱創建分區或邏輯驅動器。 現有的所有磁盤卷都使用

21、NTFS 文件系統。FAT32 卷安全性不好，而且不支持文件和文件夾壓縮、磁盤配額、文件加密或單個文件權限。 Windows 防火墻已啟用。詳細信息，請參閱在不允許例外的情況下啟用 Windows 防火墻。 如果啟用了 Windows 防火墻，則必須選擇 Windows 防火墻中的“例外”選項卡上的“文件和打印機共享”，以便讓“文件服務器角色”正確地發揮作用。“安全配置向導”已安裝和啟用。有關“安全配置向導”的信息，請參閱安全配置向導概述。 文件服務器磁盤配額在“文件服務器磁盤配額”頁面上，可以設置磁盤配額，來跟蹤和控制各個用戶在 NTFS 卷上以卷為單位的磁盤空間使用情況。“配置您的服務器向

22、導”會自動將磁盤配額應用到所有 NTFS 文件系統的新用戶，使用的是磁盤空間配置已經應用的。只有在您想防止服務器占用的磁盤空間超過某一特定數量或者您的磁盤空間數量有限的情況下，才需要更改“文件服務器磁盤配額”頁面上的信息。大多數情況下，可以接受默認系統設置。工程實施與項目測試驗收基本說明驗收計劃雙方簽定合同后，簽定一項驗收計劃，作為驗收執行的規范，合同雙方共同遵循，驗收計劃包括以下必備內容：驗收人員組成驗收場所和驗收時間驗收內容組成各項內容的驗收標準驗收方式 下面分別就驗收計劃中的要點進行說明。 驗收人員由業主方指定人員，工程實施方參加項目所有人員配合驗收。驗收人員要求：熟悉整個項目的物理設備

23、組成、技術組成和驗收標準，具有驗收完成之后的簽字權。 驗收場所和驗收時間設備到現場后3天之內進行相應的設備驗收，系統邏輯實現之后在公司提交工程測試資料并提出驗收要求后3天之內由業主方組織驗收，否則視為驗收通過。具體的時間和驗收場所由雙方共同確認的驗收計劃中指定。 驗收組成設備驗收對整個項目涉及的設備進行物理驗收，包括設備型號、設備數量、包裝要求等。 系統驗收對項目實施的目標進行相應的邏輯驗收，包括功能、性能、文檔等。 基本驗收標準物理驗收的標準以最終合同指定的設備廠家品牌、型號、數量為標準，設備的物理構成及包裝以設備廠家提供的標準為驗收標準；邏輯驗收按照最終合同要求進行的各項功能、性能設計相應

24、的可實施的測試方法進行設計驗收、測試驗收和文檔驗收。 驗收方式簽定合同的同時雙方共同確認并簽定驗收計劃；按照驗收計劃，以計劃規定的驗收時間內，由指定的雙方收驗人員按照驗收標準進行驗收，并填寫驗收報告；在所有驗收計劃中指定的驗收完成后，整個項目的驗收結束。 2.設備驗收（物理驗收）驗收標準根據雙方最終生成的合同，形成物理設備總清單是整個設備驗收的基礎，按照各個設備廠家對設備到場的驗收標準進行其它物理驗收。驗收格式設備驗收清單設備編號設備名稱設備型號數量配置明細驗收人驗收時間設備驗收總簽字簽字時間驗收格式邏輯驗收測試表描述測試方法結果驗收人時間綜合布線以及網絡所有網絡主節點的劃分網管軟件的調試遠程

25、訪問路由/連接INTERNET 網絡安全Intranet功能實現防火墻網關的實現網絡安全的實現服務器網管工作站配置服務器發布以及應用網絡監視，管理驗收簽字網絡設計目標要求：記錄雙方共同確認后的整個園區網項目建設的功能、性能列表，在合同簽定之前由雙方共同商定，并作為驗收的標準項目建設要求列表項目名稱類別序號描述及測試指標標準功能要求1234性能要求1234用戶變更記錄用戶變更記錄表變更序號變更要求描述時間用戶簽字集成方簽字備注記錄測試路徑和測試結果，由集成方填寫，業主進行驗證性測試認可。驗收總清單工程驗收總清單項目序號驗收子項列表子項總簽人備注1用戶目標清單2用戶變更記錄3系統最終設計方案4配置參數列表5測試列表6設備總清單7工程總驗收簽字8工程總驗收時間文檔驗收清單序號文檔名稱文檔內容驗收結果驗收人驗收時間技術支持服務售后服務內容 售后服務包括技術培訓、技術咨詢、維修服務和用戶跟蹤等服務項目。 質量保證期為12個月，自雙方代表在驗收單上簽字之日起計算 我們承諾為系統集成項目提供的免費售后服務內容為： 保修：質量保證期內設備正常使用下發生的損壞，免費維修；非正常