【文章內(nèi)容簡介】 務(wù)器、資源庫管理服務(wù)器、素材制作服務(wù)器等），1臺可擴展容量的存儲系統(tǒng)。10臺服務(wù)器根據(jù)不同的應(yīng)用可選擇不同級別的設(shè)備，而存儲器也需要根據(jù)具體業(yè)務(wù)類型和數(shù)據(jù)存儲方式應(yīng)用不同的存儲量。一般來說，向視頻監(jiān)控或會議系統(tǒng)、VOD點播系統(tǒng)需要大量的存儲空間，而web應(yīng)用、自動化辦公等應(yīng)用占用的存儲空間相對較小，在相應(yīng)的服務(wù)器系統(tǒng)中部署存儲硬盤即可實現(xiàn)。 網(wǎng)絡(luò)出口與網(wǎng)絡(luò)安全網(wǎng)絡(luò)出口擔(dān)負(fù)著本地的出局，同時也保護(hù)著外網(wǎng)對內(nèi)網(wǎng)可能的攻擊，因此在硬件設(shè)備上需要部署雙鏈路出口、防火墻、路由設(shè)備主控電源等冗余。考慮的實際應(yīng)用中多用戶出局的問題，出口路由推薦部署中高檔高NAT能力的路由器。在一般的應(yīng)用過程中，需要在出口處內(nèi)部部署相關(guān)的DMZ區(qū)來提供對外的服務(wù)。據(jù)統(tǒng)計網(wǎng)絡(luò)安全是網(wǎng)絡(luò)建設(shè)和應(yīng)用中對網(wǎng)絡(luò)危害最大的因素。怎樣保證網(wǎng)絡(luò)安全成為了網(wǎng)絡(luò)建設(shè)必須考慮的問題。接入設(shè)備的管理策略：可設(shè)置對沒有按照*教育局統(tǒng)一要求安裝殺毒軟件或缺乏安全補丁漏洞的計算機在接入網(wǎng)絡(luò)時，進(jìn)行自動安全檢查。系統(tǒng)首先把要接入的計算機動態(tài)的指定到一個安全區(qū)域，對要接入的計算機進(jìn)行安全注冊，檢測有無防毒系統(tǒng)、病毒庫的升級日期和系統(tǒng)補丁，如果沒有防毒系統(tǒng)，系統(tǒng)會自動提示用戶安裝設(shè)定的防毒軟件，并更新病毒庫，檢測系統(tǒng)補丁并更新。確保接入計算機安全的情況下，將允許接入網(wǎng)絡(luò)，進(jìn)行正常訪問。通過內(nèi)網(wǎng)管理系統(tǒng)可以把IP地址和MAC地址進(jìn)行綁定，也可以在核心交換機對IP地址和MAC地址進(jìn)行綁定，客戶端用戶不能隨便改動IP地址，如果改動就不能上網(wǎng)。對接入網(wǎng)絡(luò)的計算機系統(tǒng)，內(nèi)網(wǎng)管理系統(tǒng)可以對每個計算機終端的防毒系統(tǒng)、補丁保證是最新的。同時可以對網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)電視的數(shù)據(jù)流、網(wǎng)絡(luò)帶寬進(jìn)行管理。內(nèi)網(wǎng)管理系統(tǒng)除了接入認(rèn)證外，還可以對網(wǎng)內(nèi)的計算機硬件資產(chǎn)、軟件資產(chǎn)進(jìn)行統(tǒng)計；對計算機的外設(shè)進(jìn)行管理和控制；對終端的行為進(jìn)行審計；對應(yīng)用程序進(jìn)行控制。入侵檢測系統(tǒng)建設(shè)：在核心交換機上部署入侵檢測系統(tǒng)對來自互聯(lián)網(wǎng)和內(nèi)部網(wǎng)的攻擊進(jìn)行報警，入侵檢測系統(tǒng)主要功能如下：216。 入侵檢測：對黑客攻擊（緩沖區(qū)溢出、SQL注入、暴力猜測、拒絕服務(wù)、掃描探測、非授權(quán)訪問等）、蠕蟲病毒、木馬后門、間諜軟件、僵尸網(wǎng)絡(luò)等進(jìn)行實時檢測及報警，并通過與防火墻聯(lián)動、TCP Killer、發(fā)送郵件、控制臺顯示、日志數(shù)據(jù)庫記錄、打印機輸出、運行用戶自定義命令等方式進(jìn)行動態(tài)防護(hù)。216。 行為監(jiān)控：會對網(wǎng)絡(luò)流量進(jìn)行監(jiān)控，對P2P下載、IM即時通訊、網(wǎng)絡(luò)游戲、網(wǎng)絡(luò)流媒體等嚴(yán)重濫用網(wǎng)絡(luò)資源的事件提供告警和記錄。216。 流量分析：對網(wǎng)絡(luò)進(jìn)行流量分析，實時統(tǒng)計出當(dāng)前網(wǎng)絡(luò)中的各種報文流量。審計日志系統(tǒng)建設(shè)：安全管理平臺對全網(wǎng)的安全設(shè)備和安全系統(tǒng)的日志進(jìn)行統(tǒng)一采集分析、整合，從而讓用戶了解網(wǎng)絡(luò)安全風(fēng)險和處理方案；系統(tǒng)支持基于PKI應(yīng)用系統(tǒng)的審計，支持和業(yè)務(wù)系統(tǒng)對接進(jìn)行審計，審計每個計算機系統(tǒng)對應(yīng)用系統(tǒng)的訪問。系統(tǒng)支持審計規(guī)則的自定義，統(tǒng)一記錄和存儲所有的安全日志。防病毒系統(tǒng)建設(shè)：采用安博士網(wǎng)絡(luò)版防毒系統(tǒng)對所有的終端計算機和服務(wù)器進(jìn)行安全的防護(hù)，進(jìn)行集中管理。設(shè)備冗余和數(shù)據(jù)備份系統(tǒng)建設(shè)：采用ISP的雙鏈路，保證接入網(wǎng)路的可用性；采用核心交換機、服務(wù)器區(qū)交換機的雙機熱備系統(tǒng)；建立單獨的數(shù)據(jù)存儲和備份系統(tǒng)，為了因各種災(zāi)難事故快速恢復(fù)提供了保證。同一安全網(wǎng)關(guān)統(tǒng)一安全設(shè)備必須提供防火墻、防毒、VPN、IPSEC、WEB過濾、反垃圾郵件等功能，一次解包系列防護(hù)，擺脫了傳統(tǒng)安全設(shè)備遇到的網(wǎng)絡(luò)瓶頸問題，也克服了多種安全設(shè)備堆積數(shù)據(jù)中心引起的安全不聯(lián)動、設(shè)備不統(tǒng)一的問題。 網(wǎng)絡(luò)管理有效的網(wǎng)絡(luò)管理可以節(jié)約維護(hù)成本，提高網(wǎng)絡(luò)利用效率。承載產(chǎn)品為可網(wǎng)管產(chǎn)品，在網(wǎng)管產(chǎn)品的管理下，實現(xiàn)高效的控制管理功能。完整統(tǒng)一網(wǎng)管平臺軟、硬件均放置于教育局網(wǎng)絡(luò)中心，根據(jù)實際需求可開放不同級別的權(quán)限，完成性能管理、配置管理、記賬功能、故障管理、安全管理等功能。同時，教育局網(wǎng)絡(luò)中心側(cè)可以增加高級別權(quán)限的用戶端，通過穿越城域網(wǎng)訪問教育局局域網(wǎng)內(nèi)的管理平臺，完成高級別的權(quán)限：配置管理、記賬功能、故障管理等功能。實現(xiàn)方法：根據(jù)不同用戶設(shè)置不同級別屬性，并分配相應(yīng)賬號進(jìn)行加密控制；遠(yuǎn)程調(diào)用可以通過訪問網(wǎng)管平臺的WEB界面的方式進(jìn)行用戶賬號的登陸，從而完成配置和管理。集中統(tǒng)一網(wǎng)管必須符合ISO的網(wǎng)絡(luò)管理模型定義的網(wǎng)絡(luò)管理系統(tǒng)的主要功能，它包括以下五個方面：216。 性能管理（Performance management）：主要任務(wù)是評估網(wǎng)絡(luò)的性能以使它維持在一個可接受的水平。網(wǎng)絡(luò)性能變量主要包括網(wǎng)絡(luò)的吞吐量、用戶響應(yīng)時間等。網(wǎng)絡(luò)管理系統(tǒng)通過對這些變量的評估來確定網(wǎng)絡(luò)的性能是否在可接受的水平。性能管理還應(yīng)該提供一些別的與性能有關(guān)的功能，如可以仿真網(wǎng)絡(luò)規(guī)模的增大是如何影響網(wǎng)絡(luò)性能的等。216。 配置管理（Configuration management）：配置管理的任務(wù)是監(jiān)控網(wǎng)絡(luò)和系統(tǒng)的配置信息，以便不同版本的軟件和硬件對網(wǎng)絡(luò)操作的影響可以被跟蹤和管理。任何一臺網(wǎng)絡(luò)設(shè)備都有一些和它相關(guān)的版本信息，如一臺工作站可能包括OS版本、網(wǎng)卡驅(qū)動版本、TCP/IP版本、串口控制器版本等，配置管理子系統(tǒng)用一個數(shù)據(jù)庫存儲信息，以便發(fā)生問題是可以提供有用的線索。216。 記帳管理（Accounting management）：記賬管理的任務(wù)是管理網(wǎng)絡(luò)利用情況的變量，使人或團(tuán)體對網(wǎng)絡(luò)的應(yīng)用可以被適當(dāng)?shù)乜刂?，以便更加合理、有效地分配網(wǎng)絡(luò)資源。216。 故障管理（Fault management）：該子系統(tǒng)的責(zé)任是發(fā)現(xiàn)、記錄、隔離網(wǎng)絡(luò)故障，并通知用戶，在可能的情況下還會自動地修復(fù)故障以保證網(wǎng)絡(luò)系統(tǒng)的有效運行。216。 安全管理（Security management）：安全管理子系統(tǒng)的任務(wù)是根據(jù)本地策略控制對網(wǎng)絡(luò)資源的訪問，以防止網(wǎng)絡(luò)系統(tǒng)被有意或無意地破壞、敏感信息被沒有授權(quán)的用戶訪問。該系統(tǒng)通過將網(wǎng)絡(luò)資源劃分為經(jīng)授權(quán)和未經(jīng)授權(quán)的兩部分（對用戶而言）來控制用戶的訪問。 網(wǎng)絡(luò)計費計費系統(tǒng)必須滿足國內(nèi)外計費標(biāo)準(zhǔn)，提供多種標(biāo)準(zhǔn)計費模式，滿足各種計費需求。數(shù)據(jù)業(yè)務(wù)接入管理系統(tǒng)（IP Services Access Management System）主要用于和路由器、以太網(wǎng)交換機、寬帶接入服務(wù)器等產(chǎn)品配套，提供企業(yè)網(wǎng)市場中對終端接入用戶的認(rèn)證、授權(quán)、計費、業(yè)務(wù)控制以及安全性審查等功能，為用戶提供低成本的業(yè)務(wù)接入控制和運營解決方案。 計費系統(tǒng)要求 v 支持跨平臺，系統(tǒng)可以支持Windows、Linux以及其它Unix主流平臺。v 高性價比，多種平臺和服務(wù)器硬件的支持，可為用戶提供不同等級的配置解決方案，尤其適用于企業(yè)網(wǎng)內(nèi)低成本、高可用性的需求。v 易用性好，系統(tǒng)安裝維護(hù)方便，全部采用基于Web的配置管理方式，并提供了豐富的報表和客戶自助管理系統(tǒng)。v 擴展能力強，采用模塊化設(shè)計，各組成模塊可單獨部署使用，也可配合完成更強大的功能。新業(yè)務(wù)模式的擴展支持易于實現(xiàn)。v 特色功能豐富，能夠解決企業(yè)網(wǎng)內(nèi)防代理控制、防用戶攻擊、地址盜用、內(nèi)外網(wǎng)控制、收費方式靈活、客戶自助管理等特殊功能需求。計費系統(tǒng)組成 計費系統(tǒng)功能特色v 支持多種防代理檢測策略，包括：216。 檢測并限制用戶計算機雙網(wǎng)卡216。 檢測并限制用戶計算機雙IP地址216。 檢測并限制用戶計算機上TCP/UDP會話端口數(shù)量216。 檢測并限制常用代理軟件和服務(wù)216。 檢測并限制NAT服務(wù)功能216。 動態(tài)分析異常網(wǎng)絡(luò)流量和可疑的代理行為v 支持其它一些安全檢測機制，包括：216。 檢測用戶地址屬性，防止用戶私自更改IP地址信息216。 檢測并限制本地非法DHCP Server的使用216。 提供IP地址、MAC地址上報，支持基于MAC地址的用戶認(rèn)證。216。 支持動態(tài)用戶認(rèn)證后DHCP方式216。 檢測并限制BT等軟件的客戶端使用v 接入認(rèn)證，指用戶在能夠接入到網(wǎng)絡(luò)之前必須提供相應(yīng)的證明,才能夠使用網(wǎng)絡(luò)資源，支持的認(rèn)證方式包括：216。 PAP認(rèn)證216。 CHAP認(rèn)證216。 EAPMD5認(rèn)證216。 EAPTLS 認(rèn)證v 授權(quán)是指用戶在通過認(rèn)證后,用戶可以享受的 服務(wù)的權(quán)限,對于不同的業(yè)務(wù)來講,可能會有不同的權(quán)限內(nèi)容。v 計費功能是指對用戶使用網(wǎng)絡(luò)情況進(jìn)行記錄,并且以此作為依據(jù),:216。 出CDR,記錄用戶的使用時間,業(yè)務(wù),資源的使用量等內(nèi)容216。 批價,根據(jù)費率和用戶使用的資源情況,計算用戶的費用216。 資源反算,用于對預(yù)付費用戶進(jìn)行控制,根據(jù)費率和用戶余額計算用戶可用資源,由接入設(shè)備進(jìn)行控制v 多設(shè)備多業(yè)務(wù)支持216。 支持RFC2865,RFC2866的標(biāo)準(zhǔn)RADIUS協(xié)議，能夠支持不同設(shè)備廠商的接入服務(wù)器、IP電話網(wǎng)關(guān)設(shè)備，對廠商擴展屬性也能通過簡單的二次開發(fā)進(jìn)行很好的支持。v 特色管理能力216。 分時段接入216。 在線用戶查詢216。 強制下線216。 管理員通知v 用戶自助服務(wù)216。 上網(wǎng)記錄查詢216。 自助開通服務(wù)216。 上網(wǎng)充值216。 客戶端軟件升級v 完整的監(jiān)控機制,全程實時監(jiān)控216。 系統(tǒng)資源的利用（CPU、內(nèi)存、磁盤）216。 應(yīng)用進(jìn)程的資源開銷（如CPU、I/0、內(nèi)存）216。 數(shù)據(jù)庫的資源開銷（如表空間、回滾段、表鎖、共享內(nèi)存）216。 各種操作系統(tǒng)告警216。 數(shù)據(jù)庫系統(tǒng)告警216。 RADIUS包的收發(fā),跟蹤,分析216。 應(yīng)用程序運行情況216。 應(yīng)用程序告警一個中等規(guī)模的局域網(wǎng)要想充分發(fā)揮它的功效，實現(xiàn)整網(wǎng)的可管可控，必須對網(wǎng)絡(luò)進(jìn)行科學(xué)的規(guī)劃。針對*市教育局實際應(yīng)用情況，網(wǎng)絡(luò)規(guī)劃主要側(cè)重在以下幾點：路由規(guī)劃即路由策略。包括網(wǎng)絡(luò)的路由協(xié)議選擇、業(yè)務(wù)的路由規(guī)劃等。小型網(wǎng)絡(luò)使用RIP即可，中大型網(wǎng)絡(luò)推薦使用OSPF等。出口路由根據(jù)實際ISP可設(shè)置成靜態(tài)路由。VLAN劃分Vlan的劃分可有效的減少網(wǎng)絡(luò)安全危害，提高網(wǎng)絡(luò)管理效率。*市教育局可根據(jù)實際情況為重要部門或各獨立學(xué)校建立自己的vlan。IP劃分*市教育局部門多，應(yīng)用復(fù)雜，用戶地域較廣，因此必須對局域網(wǎng)內(nèi)的IP地址進(jìn)行有效的劃分，才能保證新建網(wǎng)絡(luò)的安全穩(wěn)定運行，又能對后期的應(yīng)用進(jìn)行擴展。一般像*市這樣的用戶規(guī)模。5 城域信息平臺 城域綜合信息平臺城域綜合信息平臺是一套提供教育局和集中式管理學(xué)校共同使用的應(yīng)用軟件服務(wù)模式（Application Service Provider）的分布式三層架構(gòu)B/S軟件系統(tǒng)，客戶端免安裝，免維護(hù)。 第77頁Web Server系統(tǒng)管理平臺城域基礎(chǔ)平臺控制臺公文流轉(zhuǎn)系統(tǒng)辦公信息系統(tǒng)教務(wù)管理系統(tǒng)學(xué)籍管理系統(tǒng)人事管理系統(tǒng)成績管理系統(tǒng)集中式管理學(xué)校應(yīng)用多格式數(shù)據(jù)導(dǎo)入、導(dǎo)出一帳戶單點登錄系統(tǒng)數(shù)據(jù)報送（XML）教育局用戶集中式管理學(xué)校用戶上級教育局下級教育局分布式學(xué)校教育局業(yè)務(wù)系統(tǒng)查詢統(tǒng)計系統(tǒng)教育局應(yīng)用XLSXMLTXTDBF實時數(shù)據(jù)管理教育局管理教師信息學(xué)生信息教職工信息……校產(chǎn)管理系統(tǒng)u 城域網(wǎng)中心平臺城域綜合信息平臺是一個教育城域網(wǎng)中心平臺系統(tǒng)，為教育局和集中式管理學(xué)校提供了信息化、自動化的平臺架構(gòu)；u 跨平臺三層B/S結(jié)構(gòu)系統(tǒng)采用先進(jìn)J2EE架構(gòu)的B/S結(jié)構(gòu)，客戶端免安裝，免維護(hù)，通過數(shù)據(jù)層、應(yīng)用服務(wù)層和WEB服務(wù)層實現(xiàn)數(shù)據(jù)、業(yè)務(wù)邏輯和用戶界面的三層結(jié)構(gòu)，平臺可被部署到WINDOWS、LIUNX和UNIX等不同操作系統(tǒng)；u 集中式管理學(xué)校模式（ASP）提供集中托管模式的學(xué)校信息化管理應(yīng)用接入，集中式管理學(xué)校不需要獨立安裝服務(wù)器，只需要通過各種網(wǎng)絡(luò)方式，遠(yuǎn)程登錄托管中心，就可以實現(xiàn)學(xué)校信息化辦公和業(yè)務(wù)管理（包括公文、辦公、學(xué)籍、成績、人事、教務(wù)、校產(chǎn)等），降低學(xué)校實現(xiàn)信息化管理的投入成本。由于集中式管理學(xué)校與教育局中心使用同一套平臺，所以教育局中心可以方便地對集中式管理學(xué)校實施集中管理，對數(shù)據(jù)、信息等方面實行全方位的實時管理；u 全程網(wǎng)絡(luò)管理系統(tǒng)設(shè)計中采用了全程網(wǎng)絡(luò)管理的思想，城域綜合信息平臺與ASP集中式管理學(xué)校和校校通軟件平臺，通過計算機網(wǎng)絡(luò)即可直接實現(xiàn)教育主管部門與學(xué)校、各級教育主管部門之間的數(shù)據(jù)傳遞和資源共享，實現(xiàn)了公文、學(xué)生、成績、學(xué)籍、人事、校產(chǎn)等數(shù)據(jù)的匯總、管理、審核、傳遞、統(tǒng)計與共享功能。對于系統(tǒng)內(nèi)擁有相關(guān)權(quán)限的管理人員，可隨時按管理權(quán)限查詢各種所需的數(shù)據(jù)。u 設(shè)計規(guī)范，兼容性好系統(tǒng)設(shè)計中強調(diào)“統(tǒng)一規(guī)范，統(tǒng)一代碼，統(tǒng)一接口”，系統(tǒng)設(shè)計符合《教育管理信息化標(biāo)準(zhǔn)》、《教育資源元數(shù)據(jù)規(guī)范》及教育部按照國家標(biāo)準(zhǔn)正在制定的《教育管理信息系統(tǒng)互操作框架》等文件，除此之外，公文流轉(zhuǎn)設(shè)計還符合《國家機關(guān)公文處理辦法》。系統(tǒng)依據(jù)WEB SERVICE和XML標(biāo)準(zhǔn)遵循數(shù)據(jù)接口規(guī)范，提供強健的兼容性；u 優(yōu)秀的可伸縮性系統(tǒng)具備優(yōu)良的可伸縮性，完全滿足不同區(qū)域的系統(tǒng)用戶量（從幾百用戶到上萬不等），用戶只需進(jìn)行系統(tǒng)重新部署及硬件擴容，即可以方便進(jìn)行系統(tǒng)負(fù)載量的擴容，滿足教育局范圍的應(yīng)用，同時可以充分利用用戶原有的投資，包括現(xiàn)有的操作系統(tǒng)和硬件。u 結(jié)構(gòu)化產(chǎn)品設(shè)計系統(tǒng)組織形式靈活多樣，為用戶量身定做，所有子系統(tǒng)也是可分可合，可取可舍，為各地不同環(huán)境城域網(wǎng)的建設(shè)提供更靈活、更經(jīng)濟(jì)的多樣化選擇的解決方案；u 簡安裝、易維護(hù)提供簡易、智能的系統(tǒng)安裝、初始化和升級，用戶的日常管理的絕大部分工作能通過程序完成，并且具有自動備份數(shù)據(jù)計劃的功能，將用戶維護(hù)工作降至最低；u 全面的安全保障系統(tǒng)本身充分考慮了安全性，采用嚴(yán)格的身份控制機制、權(quán)限控制機制、審核機制、日志監(jiān)督機制等；通訊安全性：系統(tǒng)使用了Secure socket layer(SSL)協(xié)議、3DES、RSA公鑰加密等在