【正文】 項(xiàng)目編號(hào)： 四川大學(xué)錦城學(xué)院信息工程項(xiàng)目 可行性研究報(bào)告 編制單位： 2020 年 10 月 審定： 審核： 校核： 編制人員： 參編人員： 編制單位資質(zhì)證明： 目錄 1 綜述 項(xiàng)目概況 信息技術(shù)的發(fā)展已成為現(xiàn)代社會(huì)發(fā)展?fàn)顩r的重要標(biāo)志；為了積極發(fā)展信息科技，迎接信息社會(huì)的到來，進(jìn)入八十年代以來，世界上幾乎所有的發(fā)達(dá)國家都已相繼建成了國家級(jí)的教育和科研計(jì)算機(jī)網(wǎng)絡(luò)，并相互連接成為覆蓋全球的國際性學(xué)術(shù)計(jì)算機(jī)網(wǎng)絡(luò) Inter。這種全球性 的計(jì)算機(jī)網(wǎng)加快了信息傳遞的速度，使全球信息資源共享走向快捷和成熟。從而為廣大教師、學(xué)生和科研人員提供了一個(gè)全新的網(wǎng)絡(luò)計(jì)算環(huán)境，在根本上改變了他們之間的信息交流、資源共享、科學(xué)計(jì)算和科研合作的方式，極大地促進(jìn)了教育和科研事業(yè)的迅速發(fā)展。 在我國，也相繼建成中國教育和科研計(jì)算機(jī)網(wǎng)絡(luò) (CERNET)、黨政信息網(wǎng)等國家級(jí)網(wǎng)絡(luò)服務(wù)體系，國內(nèi)大中專院校紛紛著手建設(shè)校園 信息工程 ?？梢哉f，校園 信息工程 必將成為新世紀(jì)的教育模式。 網(wǎng)絡(luò)技術(shù)的出現(xiàn)和發(fā)展在學(xué)校教育模式上發(fā)生變革的基本原因。首先，時(shí)代的發(fā)展對(duì)學(xué)生提出了新的要求，面 臨眾多的競爭和擇業(yè)的壓力，要求能在校園中學(xué)到更多的技能。其次，對(duì)于教師而言，他們既是教學(xué)者，也是學(xué)習(xí)者。為了提高教學(xué)質(zhì)量，必須掌握各種先進(jìn)信息技術(shù)的應(yīng)用方法。 另一方面，信息技術(shù)的飛速發(fā)展是促進(jìn)教育模式變化的最直接的外因，因?yàn)檎沁@些技術(shù)使得人們對(duì)于教育的種種設(shè)想成為現(xiàn)實(shí)。這些技術(shù)包括： ? Inter 高速主干網(wǎng)技術(shù) —— 建立在 SDH、 ATM 等基礎(chǔ)上的高速主 干網(wǎng)技術(shù)，將極大地緩解 Inter 的擁擠狀況，并形成一個(gè)高速信息應(yīng)用平臺(tái)。 ? 各種接入技術(shù) —— 如 DDN、 ADSL、 HFC、衛(wèi)星接入等，使得視頻 會(huì)議、可視電話、視頻廣播、在線討論成為可能。 ? Web、多媒體技術(shù) —— 包括動(dòng)態(tài)超文本語言、 PUSH 技術(shù)、 VIEDO Stream技術(shù)等。多媒體和 Web 技術(shù)的結(jié)合，使得教學(xué)的方式和內(nèi)容發(fā)生了很大的變化。 ? 與 Inter 相關(guān)的其它應(yīng)用 —— 從傳統(tǒng)的電子郵件、 FTP、網(wǎng)絡(luò)新聞、 BBS 到新的視頻會(huì)議、虛擬現(xiàn)實(shí)等。 編制依據(jù) [1]標(biāo)準(zhǔn)化工作導(dǎo)則 標(biāo)準(zhǔn)編寫的基本規(guī)定 ； [2]信息處理 程序構(gòu)造及其表示的約定 GB/T 135021992； [3]信息處理系統(tǒng) 計(jì)算機(jī)系統(tǒng)配置圖符號(hào)及約定 GB/T 140851993； [4]計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則 GB/T 178591999； [5]信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估準(zhǔn)則 GB/T 183362020； [6]信息技術(shù) 開放系統(tǒng)互聯(lián) 高層安全模型 GB/T 179652020； [7]信息技術(shù) 開放系統(tǒng)互聯(lián) 基本參考模型 GB/T 9387； [8]信息技術(shù) 開放系統(tǒng)互聯(lián) 應(yīng)用層結(jié)構(gòu) GB/T 171761997； [9]信息技術(shù) 開放系統(tǒng)互聯(lián) 開放系統(tǒng)安全框架 GB/T 18794； [10] 信息技術(shù) 開放系統(tǒng)互聯(lián) 通用高層安全 GB/T 18237； [11] 建筑與建筑群綜合布 線系統(tǒng)工程設(shè)計(jì)規(guī)范 GB/T503112020； [12] 建筑與建筑群綜合布線系統(tǒng)工程驗(yàn)收規(guī)范 GB/T503122020； [13] 計(jì)算機(jī)軟件工程術(shù)語 GB/T 114571995； [14] 計(jì)算機(jī)軟件產(chǎn)品開發(fā)文件編制指南 GB/T 85671988； [15] 計(jì)算機(jī)軟件需求說明編制指南 GB/T 93851988； [16] 計(jì)算機(jī)軟件配置管理計(jì)劃規(guī)范 GB/T 125051990； [17] 軟件維護(hù)指南 GB/T 140791993； [18] 軟件文檔管理指南 GB/T 166801996； [19] 計(jì)算機(jī)軟件質(zhì)量保證計(jì)劃規(guī)范 GB/T 125041990； [20] 數(shù)據(jù)流 程圖、程序流程圖、系統(tǒng)流程圖、程序網(wǎng)絡(luò)圖和系統(tǒng)資源圖的文件編制符號(hào)及約定 GB/T 15261989； [21] 計(jì)算機(jī)場地通用規(guī)范 GB/T28872020； [22] 計(jì)算機(jī)場地安全要求 GB93611988； [23] 電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 GB 5017493； [24] 電子計(jì)算機(jī)機(jī)房施工及驗(yàn)收規(guī)范 SJ/T3000393； [25] 計(jì)算機(jī)信息系統(tǒng)防雷保安器 GA 17398； [26] 建筑設(shè)計(jì)防火規(guī)范 GBJ1687； [27] 建筑室內(nèi)裝修防火規(guī)范 GB5022295； [28] 建筑物防雷設(shè)計(jì)規(guī)范 GB5005794； [29] 商業(yè)建筑電信接地和接線要求 JSTD607A； [30] 計(jì)算機(jī)信息系統(tǒng)設(shè)備電磁泄漏發(fā)射限值 GGBB11999； [31] 計(jì)算機(jī)信息系統(tǒng)設(shè)備電磁泄漏發(fā)射測試方法 GGBB21999； [32] 涉及國家秘密的信息系統(tǒng)分級(jí)保護(hù)技術(shù)要求 BMB172020。 關(guān)鍵術(shù)語定義與說明 [1]信息系統(tǒng) (Information System): 基于計(jì)算機(jī)或計(jì)算機(jī)網(wǎng)絡(luò)，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索和服務(wù) 的人機(jī)系統(tǒng) 。 [2]廣域網(wǎng)（ wide area work，簡稱 WAN），是一種跨越大的地域的網(wǎng)絡(luò)，通常覆蓋一個(gè)省或全國。 [3]互聯(lián)網(wǎng)（ Inter）也稱因特網(wǎng)，是將不同地區(qū)、不同規(guī)模的網(wǎng)絡(luò)互相聯(lián)接，以廣泛的發(fā)布和獲取信息?；诨ヂ?lián)網(wǎng)的應(yīng)用有信息查詢、電子郵件、網(wǎng)上交易、網(wǎng)絡(luò)電話、遠(yuǎn)程主機(jī)登錄、遠(yuǎn)程文件傳輸?shù)取? [4]虛擬專網(wǎng)（ Virtual Private Network，簡稱 VPN），是利用公共網(wǎng)絡(luò)資源構(gòu)建專用網(wǎng)絡(luò)，即通過對(duì)網(wǎng)絡(luò)數(shù)據(jù)的封包和加密傳輸，在公網(wǎng)上傳輸專有數(shù)據(jù)，達(dá)到專用網(wǎng)絡(luò)的級(jí)別。 [5]網(wǎng)絡(luò)視頻會(huì)議系統(tǒng)是利用 Inter 技術(shù)傳播聲音和圖像，具有視頻、音頻傳送；文件傳輸；程序共享；文字聊天；電子白板教學(xué)；用戶和會(huì)議資源管理等主要功能。 [6]IP地址稱作網(wǎng)絡(luò)協(xié)議地址，是分配給主機(jī)的一個(gè) 32 位地址，由 4 個(gè)字節(jié)組成，包括動(dòng)態(tài) IP 地址和靜態(tài) IP地址兩種方式。 [7]DNS（ Domain Name Service），稱為域名管理系統(tǒng)，是 Inter 上解決網(wǎng)上機(jī)器命名的一種系統(tǒng)，采用分層管理模式。 [8]域名是以文字表達(dá)的入網(wǎng)計(jì)算機(jī)或設(shè)備的名字，域名結(jié)構(gòu)包含計(jì)算機(jī)主機(jī)名、機(jī)構(gòu)名、網(wǎng)絡(luò)名、最高層域名等項(xiàng)目。各級(jí)網(wǎng)絡(luò)依照 DNS 命名規(guī)則對(duì)本網(wǎng)內(nèi)的計(jì)算機(jī)命名，并負(fù)責(zé)完成通訊時(shí)域名到 IP地址的轉(zhuǎn)換。 2 項(xiàng)目建設(shè)的必要性 現(xiàn)狀 四川大學(xué)錦城學(xué)院信息工程現(xiàn)狀是全新修 建的教學(xué)分院， 需要建立 網(wǎng)絡(luò)系統(tǒng)、 數(shù)據(jù) 中心 、應(yīng)用管理系統(tǒng)、 信息化安全體系 、 校園安防系統(tǒng) 、 公共 廣播系統(tǒng) 、衛(wèi)星和有線電視系統(tǒng)。 需求描述 業(yè)務(wù)流程， 四川 大學(xué)錦城學(xué)院 高校管理平臺(tái)，采用 B/S 技術(shù)開發(fā)成功的新一代校園網(wǎng)軟件平臺(tái)。應(yīng)用現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)、通訊、多媒體、數(shù)據(jù)庫等軟件技術(shù)，由數(shù)據(jù)中心（數(shù)據(jù)庫）、系統(tǒng)軟件、信息支持系統(tǒng)組成。在此平臺(tái)上，集成了各種事務(wù)處理系統(tǒng)、基礎(chǔ)辦公軟件等多種應(yīng)用系統(tǒng)。 管理平臺(tái)系統(tǒng)功能全面、操作方便、在設(shè)計(jì)上 必須 充分考慮到職技校、大中專及本科院校的教育特點(diǎn)和現(xiàn)狀。擁有一整套完善的 權(quán)限管理體系，確保系統(tǒng)數(shù)據(jù)的安全，可靠。 數(shù)據(jù)流程 按照 四川 大學(xué)錦城學(xué)院 項(xiàng)目的總體設(shè)計(jì)， 計(jì)算機(jī)網(wǎng)絡(luò)中心建立 數(shù)據(jù)中心，數(shù)據(jù)中心根據(jù)功能需要設(shè)立生產(chǎn)區(qū)、交換區(qū)、決策區(qū)。 生產(chǎn)區(qū)數(shù)據(jù)庫：包括 學(xué)院 基本信息庫、 學(xué)生 基本信息庫、在職 教師基本信息庫、校產(chǎn)信息庫、教學(xué)資源信息庫、校園安全信息庫等 各種參數(shù)信息庫。 交換區(qū)數(shù)據(jù)庫：主要包括公共服務(wù)數(shù)據(jù)庫、宏觀決策用數(shù)據(jù)庫等。 宏觀決策區(qū)數(shù)據(jù)庫：包括宏觀決策數(shù)據(jù)庫等。 分析：由于 四川 大學(xué)錦城學(xué)院 現(xiàn)目前有學(xué)生及教師共 5000 人，而且每年將有近 3000 新生前來注冊(cè)報(bào)到， 因此在 四川 大學(xué)錦城學(xué)院 信息 工程的建設(shè)中必須充分考慮未來由于 新生報(bào)到 的增加對(duì)整個(gè)系統(tǒng)帶來的數(shù)據(jù)存儲(chǔ)，交換和安全帶來的壓力。 功能需求 四川 大學(xué)錦城學(xué)院 信息工程包括 網(wǎng)絡(luò)系統(tǒng)、 數(shù)據(jù)系統(tǒng)、應(yīng)用管理系統(tǒng)、 、信息化安全 系統(tǒng)、 校園安防系統(tǒng) 、 公共 廣播系統(tǒng) 、衛(wèi)星和有線電視系統(tǒng)。 性能需求 性能需求包括響應(yīng)時(shí)間、吞吐量和精度三方面。性能需求的滿足程度要受到網(wǎng)絡(luò)、硬件、軟件、人員等多種因素的影響。 安全需求 四川 大學(xué)錦城學(xué)院 信息工程 按照國家的要求和實(shí)際的應(yīng)用需求，參照國家信息系統(tǒng)安全等級(jí)保護(hù) 第三級(jí)，也就是監(jiān)督保護(hù)級(jí) 進(jìn) 行設(shè)計(jì) 。涉及社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益的信息系統(tǒng)，其受到破壞后，會(huì)對(duì)社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公共利益造成較大損害。因此 四川 大學(xué)錦城學(xué)院 信息工程 應(yīng)具有能夠?qū)?各種 威脅源發(fā)起的惡意攻擊、較為嚴(yán)重的自然災(zāi)難（災(zāi)難發(fā)生的強(qiáng)度較大、持續(xù)時(shí)間較長、覆蓋范圍較廣（地區(qū)性）等）以及其他相當(dāng)危害程度（內(nèi)部人員的惡意威脅、設(shè)備的較嚴(yán)重故障等）威脅的能力，并在威脅發(fā)生后，能夠較快恢復(fù)。 對(duì)整個(gè)信息系統(tǒng)的安全分析如下。 安全風(fēng)險(xiǎn)分析 四川 大學(xué)錦城學(xué)院 信息工程 的安全 可以 從以下幾個(gè)方面進(jìn)行風(fēng)險(xiǎn)分析： ? 網(wǎng)絡(luò)層 ? 系統(tǒng)層 ? 應(yīng)用層 ? 數(shù)據(jù)庫層 ? 策略和管理層 ? 防病毒 一、網(wǎng)絡(luò)層的安全分析 由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的 TCP/IP 協(xié)議并非專為安全通訊而設(shè)計(jì)，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。整個(gè)網(wǎng)絡(luò)就會(huì)受到來自網(wǎng)絡(luò)外部和內(nèi)部的雙重威脅。尤其在 Inter 中存在著大量的黑客和黑客病毒的攻擊，他們常常針對(duì) web 服務(wù)器和郵件服務(wù)器作為突破口，進(jìn)行網(wǎng)絡(luò)攻擊的滲透。常見得一些手法如下： IP 欺騙、重放或重演、拒絕服務(wù)攻擊（ SYN FLOOD， PING FLOOD 等）、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等。在四川大學(xué)錦城學(xué)院信息工程 網(wǎng)絡(luò)中，通常有著大量業(yè)務(wù)數(shù)據(jù)的 交換，如果一旦有從內(nèi)部的 FLOOD 或者 DOS攻擊的話，那么整個(gè)網(wǎng)絡(luò)出口就會(huì)被阻住，造成網(wǎng)絡(luò)斷路的現(xiàn)象。 雖然在網(wǎng)絡(luò)中已經(jīng)配置了防火墻，但是現(xiàn)在的大量黑客掃描工具和感染、攻擊程序都能夠透過防火墻進(jìn)行工作，由于防火墻自身一些系統(tǒng)的漏洞和一些函數(shù)的非完善性都可能讓某些有針對(duì)性的黑客程序的欺騙通過。 二、系統(tǒng)層的安全分析 首先在任何的網(wǎng)絡(luò)結(jié)構(gòu)中都存在著大量的系統(tǒng)，如： NT, Solaris, IBM AIX, HPUnix, win2k Server 等等，而這些系統(tǒng)都或多或少的存在的各種漏洞。如果網(wǎng)絡(luò)管理員沒有非 常詳細(xì)的進(jìn)行系統(tǒng)的加固和非常完善的正確的安全配置，而只是原來系統(tǒng)的默認(rèn)安裝的話，這樣的主機(jī)系統(tǒng)是極其不安全的。一名黑客可以用一些很小的緩存溢出攻擊程序就取得主機(jī)管理員的權(quán)限。 三、應(yīng)用層的安全分析 應(yīng)用層安全是指用戶在網(wǎng)絡(luò)上的應(yīng)用系統(tǒng)的安全，包括 WEB、 FTP、郵件系統(tǒng)、 DNS、以及互聯(lián)網(wǎng)應(yīng)用等網(wǎng)絡(luò)基本服務(wù)，業(yè)務(wù)系統(tǒng)，辦公自動(dòng)化系統(tǒng)，電子商務(wù)系統(tǒng)等。應(yīng)用層安全的解決目前往往依賴于網(wǎng)絡(luò)層、操作系統(tǒng)、數(shù)據(jù)庫的安全。由于應(yīng)用系統(tǒng)復(fù)雜多樣，沒有特定的安全技術(shù)能夠完全解決一些特殊應(yīng)用系統(tǒng)的安全問題，但對(duì)一些通用的應(yīng)用 程序，如 Web Server 程序， FTP 服務(wù)程序， Email 服務(wù)程序，瀏覽器， MS Office 辦公軟件等，安全評(píng)估軟件可以幫助檢查這些應(yīng)用程序自身的安全漏洞和由于配置不當(dāng)造成的安全漏洞。 由于在 INTERNET網(wǎng)絡(luò)訪問中存在的多個(gè)用戶使用同一鏈路訪問多個(gè)應(yīng)用，因此可能會(huì)出現(xiàn)黑客截獲他人傳輸信息，冒用合法用戶身份進(jìn)行非法訪問的情況。 四、數(shù)據(jù)層的安全分析 四川大學(xué)錦城學(xué)院信息工程 中存在大量實(shí)時(shí)數(shù)據(jù)處理量，數(shù)據(jù)的安全問題主要體現(xiàn)在以下幾個(gè)方面： 系統(tǒng)認(rèn)證：口令強(qiáng)度不夠，過期帳號(hào)，登錄攻擊等。 系統(tǒng)授權(quán)：帳號(hào) 權(quán)限，登錄時(shí)間超時(shí)等。 系統(tǒng)完整性： Y2K 兼容，特洛伊木馬，審核配置，補(bǔ)丁和修正程序等。 系統(tǒng)數(shù)據(jù)的備份：數(shù)據(jù)庫中數(shù)據(jù)的整理，異地備份等。 對(duì)于系統(tǒng)認(rèn)證、授權(quán)就要數(shù)據(jù)庫管理員對(duì)數(shù)據(jù)庫進(jìn)行全面的認(rèn)真的安全配置和管理，同時(shí)加強(qiáng)數(shù)據(jù)庫本身系統(tǒng)的不斷升級(jí)和修補(bǔ)加固。 五、網(wǎng)絡(luò)策略和管理層的安全分析 在網(wǎng)絡(luò)安全中安全策略和管理扮演著重要的角色，在 四川大學(xué)錦城學(xué)院信息工程 網(wǎng)絡(luò)中如果沒有制定非常有效的安全策略，沒有進(jìn)行嚴(yán)格的安全管理來進(jìn)行整個(gè)網(wǎng)絡(luò)安全控制，那么