【文章內(nèi)容簡介】 務器、資源庫管理服務器、素材制作服務器等），1臺可擴展容量的存儲系統(tǒng)。10臺服務器根據(jù)不同的應用可選擇不同級別的設備，而存儲器也需要根據(jù)具體業(yè)務類型和數(shù)據(jù)存儲方式應用不同的存儲量。一般來說，向視頻監(jiān)控或會議系統(tǒng)、VOD點播系統(tǒng)需要大量的存儲空間，而web應用、自動化辦公等應用占用的存儲空間相對較小，在相應的服務器系統(tǒng)中部署存儲硬盤即可實現(xiàn)。 網(wǎng)絡出口與網(wǎng)絡安全網(wǎng)絡出口擔負著本地的出局，同時也保護著外網(wǎng)對內(nèi)網(wǎng)可能的攻擊，因此在硬件設備上需要部署雙鏈路出口、防火墻、路由設備主控電源等冗余?？紤]的實際應用中多用戶出局的問題，出口路由推薦部署中高檔高NAT能力的路由器。在一般的應用過程中，需要在出口處內(nèi)部部署相關的DMZ區(qū)來提供對外的服務。據(jù)統(tǒng)計網(wǎng)絡安全是網(wǎng)絡建設和應用中對網(wǎng)絡危害最大的因素。怎樣保證網(wǎng)絡安全成為了網(wǎng)絡建設必須考慮的問題。接入設備的管理策略：可設置對沒有按照*教育局統(tǒng)一要求安裝殺毒軟件或缺乏安全補丁漏洞的計算機在接入網(wǎng)絡時，進行自動安全檢查。系統(tǒng)首先把要接入的計算機動態(tài)的指定到一個安全區(qū)域，對要接入的計算機進行安全注冊，檢測有無防毒系統(tǒng)、病毒庫的升級日期和系統(tǒng)補丁，如果沒有防毒系統(tǒng)，系統(tǒng)會自動提示用戶安裝設定的防毒軟件，并更新病毒庫，檢測系統(tǒng)補丁并更新。確保接入計算機安全的情況下，將允許接入網(wǎng)絡，進行正常訪問。通過內(nèi)網(wǎng)管理系統(tǒng)可以把IP地址和MAC地址進行綁定，也可以在核心交換機對IP地址和MAC地址進行綁定，客戶端用戶不能隨便改動IP地址，如果改動就不能上網(wǎng)。對接入網(wǎng)絡的計算機系統(tǒng)，內(nèi)網(wǎng)管理系統(tǒng)可以對每個計算機終端的防毒系統(tǒng)、補丁保證是最新的。同時可以對網(wǎng)絡游戲、網(wǎng)絡電視的數(shù)據(jù)流、網(wǎng)絡帶寬進行管理。內(nèi)網(wǎng)管理系統(tǒng)除了接入認證外，還可以對網(wǎng)內(nèi)的計算機硬件資產(chǎn)、軟件資產(chǎn)進行統(tǒng)計；對計算機的外設進行管理和控制；對終端的行為進行審計；對應用程序進行控制。入侵檢測系統(tǒng)建設：在核心交換機上部署入侵檢測系統(tǒng)對來自互聯(lián)網(wǎng)和內(nèi)部網(wǎng)的攻擊進行報警，入侵檢測系統(tǒng)主要功能如下：216。 入侵檢測：對黑客攻擊（緩沖區(qū)溢出、SQL注入、暴力猜測、拒絕服務、掃描探測、非授權(quán)訪問等）、蠕蟲病毒、木馬后門、間諜軟件、僵尸網(wǎng)絡等進行實時檢測及報警，并通過與防火墻聯(lián)動、TCP Killer、發(fā)送郵件、控制臺顯示、日志數(shù)據(jù)庫記錄、打印機輸出、運行用戶自定義命令等方式進行動態(tài)防護。216。 行為監(jiān)控：會對網(wǎng)絡流量進行監(jiān)控，對P2P下載、IM即時通訊、網(wǎng)絡游戲、網(wǎng)絡流媒體等嚴重濫用網(wǎng)絡資源的事件提供告警和記錄。216。 流量分析：對網(wǎng)絡進行流量分析，實時統(tǒng)計出當前網(wǎng)絡中的各種報文流量。審計日志系統(tǒng)建設：安全管理平臺對全網(wǎng)的安全設備和安全系統(tǒng)的日志進行統(tǒng)一采集分析、整合，從而讓用戶了解網(wǎng)絡安全風險和處理方案；系統(tǒng)支持基于PKI應用系統(tǒng)的審計，支持和業(yè)務系統(tǒng)對接進行審計，審計每個計算機系統(tǒng)對應用系統(tǒng)的訪問。系統(tǒng)支持審計規(guī)則的自定義，統(tǒng)一記錄和存儲所有的安全日志。防病毒系統(tǒng)建設：采用安博士網(wǎng)絡版防毒系統(tǒng)對所有的終端計算機和服務器進行安全的防護，進行集中管理。設備冗余和數(shù)據(jù)備份系統(tǒng)建設：采用ISP的雙鏈路，保證接入網(wǎng)路的可用性；采用核心交換機、服務器區(qū)交換機的雙機熱備系統(tǒng)；建立單獨的數(shù)據(jù)存儲和備份系統(tǒng)，為了因各種災難事故快速恢復提供了保證。同一安全網(wǎng)關統(tǒng)一安全設備必須提供防火墻、防毒、VPN、IPSEC、WEB過濾、反垃圾郵件等功能，一次解包系列防護，擺脫了傳統(tǒng)安全設備遇到的網(wǎng)絡瓶頸問題，也克服了多種安全設備堆積數(shù)據(jù)中心引起的安全不聯(lián)動、設備不統(tǒng)一的問題。 網(wǎng)絡管理有效的網(wǎng)絡管理可以節(jié)約維護成本，提高網(wǎng)絡利用效率。承載產(chǎn)品為可網(wǎng)管產(chǎn)品，在網(wǎng)管產(chǎn)品的管理下，實現(xiàn)高效的控制管理功能。完整統(tǒng)一網(wǎng)管平臺軟、硬件均放置于教育局網(wǎng)絡中心，根據(jù)實際需求可開放不同級別的權(quán)限，完成性能管理、配置管理、記賬功能、故障管理、安全管理等功能。同時，教育局網(wǎng)絡中心側(cè)可以增加高級別權(quán)限的用戶端，通過穿越城域網(wǎng)訪問教育局局域網(wǎng)內(nèi)的管理平臺，完成高級別的權(quán)限：配置管理、記賬功能、故障管理等功能。實現(xiàn)方法：根據(jù)不同用戶設置不同級別屬性，并分配相應賬號進行加密控制；遠程調(diào)用可以通過訪問網(wǎng)管平臺的WEB界面的方式進行用戶賬號的登陸，從而完成配置和管理。集中統(tǒng)一網(wǎng)管必須符合ISO的網(wǎng)絡管理模型定義的網(wǎng)絡管理系統(tǒng)的主要功能，它包括以下五個方面：216。 性能管理（Performance management）：主要任務是評估網(wǎng)絡的性能以使它維持在一個可接受的水平。網(wǎng)絡性能變量主要包括網(wǎng)絡的吞吐量、用戶響應時間等。網(wǎng)絡管理系統(tǒng)通過對這些變量的評估來確定網(wǎng)絡的性能是否在可接受的水平。性能管理還應該提供一些別的與性能有關的功能，如可以仿真網(wǎng)絡規(guī)模的增大是如何影響網(wǎng)絡性能的等。216。 配置管理（Configuration management）：配置管理的任務是監(jiān)控網(wǎng)絡和系統(tǒng)的配置信息，以便不同版本的軟件和硬件對網(wǎng)絡操作的影響可以被跟蹤和管理。任何一臺網(wǎng)絡設備都有一些和它相關的版本信息，如一臺工作站可能包括OS版本、網(wǎng)卡驅(qū)動版本、TCP/IP版本、串口控制器版本等，配置管理子系統(tǒng)用一個數(shù)據(jù)庫存儲信息，以便發(fā)生問題是可以提供有用的線索。216。 記帳管理（Accounting management）：記賬管理的任務是管理網(wǎng)絡利用情況的變量，使人或團體對網(wǎng)絡的應用可以被適當?shù)乜刂?，以便更加合理、有效地分配網(wǎng)絡資源。216。 故障管理（Fault management）：該子系統(tǒng)的責任是發(fā)現(xiàn)、記錄、隔離網(wǎng)絡故障，并通知用戶，在可能的情況下還會自動地修復故障以保證網(wǎng)絡系統(tǒng)的有效運行。216。 安全管理（Security management）：安全管理子系統(tǒng)的任務是根據(jù)本地策略控制對網(wǎng)絡資源的訪問，以防止網(wǎng)絡系統(tǒng)被有意或無意地破壞、敏感信息被沒有授權(quán)的用戶訪問。該系統(tǒng)通過將網(wǎng)絡資源劃分為經(jīng)授權(quán)和未經(jīng)授權(quán)的兩部分（對用戶而言）來控制用戶的訪問。 網(wǎng)絡計費計費系統(tǒng)必須滿足國內(nèi)外計費標準，提供多種標準計費模式，滿足各種計費需求。數(shù)據(jù)業(yè)務接入管理系統(tǒng)（IP Services Access Management System）主要用于和路由器、以太網(wǎng)交換機、寬帶接入服務器等產(chǎn)品配套，提供企業(yè)網(wǎng)市場中對終端接入用戶的認證、授權(quán)、計費、業(yè)務控制以及安全性審查等功能，為用戶提供低成本的業(yè)務接入控制和運營解決方案。 計費系統(tǒng)要求 v 支持跨平臺，系統(tǒng)可以支持Windows、Linux以及其它Unix主流平臺。v 高性價比，多種平臺和服務器硬件的支持，可為用戶提供不同等級的配置解決方案，尤其適用于企業(yè)網(wǎng)內(nèi)低成本、高可用性的需求。v 易用性好，系統(tǒng)安裝維護方便，全部采用基于Web的配置管理方式，并提供了豐富的報表和客戶自助管理系統(tǒng)。v 擴展能力強，采用模塊化設計，各組成模塊可單獨部署使用，也可配合完成更強大的功能。新業(yè)務模式的擴展支持易于實現(xiàn)。v 特色功能豐富，能夠解決企業(yè)網(wǎng)內(nèi)防代理控制、防用戶攻擊、地址盜用、內(nèi)外網(wǎng)控制、收費方式靈活、客戶自助管理等特殊功能需求。計費系統(tǒng)組成 計費系統(tǒng)功能特色v 支持多種防代理檢測策略，包括：216。 檢測并限制用戶計算機雙網(wǎng)卡216。 檢測并限制用戶計算機雙IP地址216。 檢測并限制用戶計算機上TCP/UDP會話端口數(shù)量216。 檢測并限制常用代理軟件和服務216。 檢測并限制NAT服務功能216。 動態(tài)分析異常網(wǎng)絡流量和可疑的代理行為v 支持其它一些安全檢測機制，包括：216。 檢測用戶地址屬性，防止用戶私自更改IP地址信息216。 檢測并限制本地非法DHCP Server的使用216。 提供IP地址、MAC地址上報，支持基于MAC地址的用戶認證。216。 支持動態(tài)用戶認證后DHCP方式216。 檢測并限制BT等軟件的客戶端使用v 接入認證，指用戶在能夠接入到網(wǎng)絡之前必須提供相應的證明,才能夠使用網(wǎng)絡資源，支持的認證方式包括：216。 PAP認證216。 CHAP認證216。 EAPMD5認證216。 EAPTLS 認證v 授權(quán)是指用戶在通過認證后,用戶可以享受的 服務的權(quán)限,對于不同的業(yè)務來講,可能會有不同的權(quán)限內(nèi)容。v 計費功能是指對用戶使用網(wǎng)絡情況進行記錄,并且以此作為依據(jù),:216。 出CDR,記錄用戶的使用時間,業(yè)務,資源的使用量等內(nèi)容216。 批價,根據(jù)費率和用戶使用的資源情況,計算用戶的費用216。 資源反算,用于對預付費用戶進行控制,根據(jù)費率和用戶余額計算用戶可用資源,由接入設備進行控制v 多設備多業(yè)務支持216。 支持RFC2865,RFC2866的標準RADIUS協(xié)議，能夠支持不同設備廠商的接入服務器、IP電話網(wǎng)關設備，對廠商擴展屬性也能通過簡單的二次開發(fā)進行很好的支持。v 特色管理能力216。 分時段接入216。 在線用戶查詢216。 強制下線216。 管理員通知v 用戶自助服務216。 上網(wǎng)記錄查詢216。 自助開通服務216。 上網(wǎng)充值216。 客戶端軟件升級v 完整的監(jiān)控機制,全程實時監(jiān)控216。 系統(tǒng)資源的利用（CPU、內(nèi)存、磁盤）216。 應用進程的資源開銷（如CPU、I/0、內(nèi)存）216。 數(shù)據(jù)庫的資源開銷（如表空間、回滾段、表鎖、共享內(nèi)存）216。 各種操作系統(tǒng)告警216。 數(shù)據(jù)庫系統(tǒng)告警216。 RADIUS包的收發(fā),跟蹤,分析216。 應用程序運行情況216。 應用程序告警一個中等規(guī)模的局域網(wǎng)要想充分發(fā)揮它的功效，實現(xiàn)整網(wǎng)的可管可控，必須對網(wǎng)絡進行科學的規(guī)劃。針對*市教育局實際應用情況，網(wǎng)絡規(guī)劃主要側(cè)重在以下幾點：路由規(guī)劃即路由策略。包括網(wǎng)絡的路由協(xié)議選擇、業(yè)務的路由規(guī)劃等。小型網(wǎng)絡使用RIP即可，中大型網(wǎng)絡推薦使用OSPF等。出口路由根據(jù)實際ISP可設置成靜態(tài)路由。VLAN劃分Vlan的劃分可有效的減少網(wǎng)絡安全危害，提高網(wǎng)絡管理效率。*市教育局可根據(jù)實際情況為重要部門或各獨立學校建立自己的vlan。IP劃分*市教育局部門多，應用復雜，用戶地域較廣，因此必須對局域網(wǎng)內(nèi)的IP地址進行有效的劃分，才能保證新建網(wǎng)絡的安全穩(wěn)定運行，又能對后期的應用進行擴展。一般像*市這樣的用戶規(guī)模。5 城域信息平臺 城域綜合信息平臺城域綜合信息平臺是一套提供教育局和集中式管理學校共同使用的應用軟件服務模式（Application Service Provider）的分布式三層架構(gòu)B/S軟件系統(tǒng)，客戶端免安裝，免維護。 第77頁Web Server系統(tǒng)管理平臺城域基礎平臺控制臺公文流轉(zhuǎn)系統(tǒng)辦公信息系統(tǒng)教務管理系統(tǒng)學籍管理系統(tǒng)人事管理系統(tǒng)成績管理系統(tǒng)集中式管理學校應用多格式數(shù)據(jù)導入、導出一帳戶單點登錄系統(tǒng)數(shù)據(jù)報送（XML）教育局用戶集中式管理學校用戶上級教育局下級教育局分布式學校教育局業(yè)務系統(tǒng)查詢統(tǒng)計系統(tǒng)教育局應用XLSXMLTXTDBF實時數(shù)據(jù)管理教育局管理教師信息學生信息教職工信息……校產(chǎn)管理系統(tǒng)u 城域網(wǎng)中心平臺城域綜合信息平臺是一個教育城域網(wǎng)中心平臺系統(tǒng)，為教育局和集中式管理學校提供了信息化、自動化的平臺架構(gòu)；u 跨平臺三層B/S結(jié)構(gòu)系統(tǒng)采用先進J2EE架構(gòu)的B/S結(jié)構(gòu)，客戶端免安裝，免維護，通過數(shù)據(jù)層、應用服務層和WEB服務層實現(xiàn)數(shù)據(jù)、業(yè)務邏輯和用戶界面的三層結(jié)構(gòu)，平臺可被部署到WINDOWS、LIUNX和UNIX等不同操作系統(tǒng)；u 集中式管理學校模式（ASP）提供集中托管模式的學校信息化管理應用接入，集中式管理學校不需要獨立安裝服務器，只需要通過各種網(wǎng)絡方式，遠程登錄托管中心，就可以實現(xiàn)學校信息化辦公和業(yè)務管理（包括公文、辦公、學籍、成績、人事、教務、校產(chǎn)等），降低學校實現(xiàn)信息化管理的投入成本。由于集中式管理學校與教育局中心使用同一套平臺，所以教育局中心可以方便地對集中式管理學校實施集中管理，對數(shù)據(jù)、信息等方面實行全方位的實時管理；u 全程網(wǎng)絡管理系統(tǒng)設計中采用了全程網(wǎng)絡管理的思想，城域綜合信息平臺與ASP集中式管理學校和校校通軟件平臺，通過計算機網(wǎng)絡即可直接實現(xiàn)教育主管部門與學校、各級教育主管部門之間的數(shù)據(jù)傳遞和資源共享，實現(xiàn)了公文、學生、成績、學籍、人事、校產(chǎn)等數(shù)據(jù)的匯總、管理、審核、傳遞、統(tǒng)計與共享功能。對于系統(tǒng)內(nèi)擁有相關權(quán)限的管理人員，可隨時按管理權(quán)限查詢各種所需的數(shù)據(jù)。u 設計規(guī)范，兼容性好系統(tǒng)設計中強調(diào)“統(tǒng)一規(guī)范，統(tǒng)一代碼，統(tǒng)一接口”，系統(tǒng)設計符合《教育管理信息化標準》、《教育資源元數(shù)據(jù)規(guī)范》及教育部按照國家標準正在制定的《教育管理信息系統(tǒng)互操作框架》等文件，除此之外，公文流轉(zhuǎn)設計還符合《國家機關公文處理辦法》。系統(tǒng)依據(jù)WEB SERVICE和XML標準遵循數(shù)據(jù)接口規(guī)范，提供強健的兼容性；u 優(yōu)秀的可伸縮性系統(tǒng)具備優(yōu)良的可伸縮性，完全滿足不同區(qū)域的系統(tǒng)用戶量（從幾百用戶到上萬不等），用戶只需進行系統(tǒng)重新部署及硬件擴容，即可以方便進行系統(tǒng)負載量的擴容，滿足教育局范圍的應用，同時可以充分利用用戶原有的投資，包括現(xiàn)有的操作系統(tǒng)和硬件。u 結(jié)構(gòu)化產(chǎn)品設計系統(tǒng)組織形式靈活多樣，為用戶量身定做，所有子系統(tǒng)也是可分可合，可取可舍，為各地不同環(huán)境城域網(wǎng)的建設提供更靈活、更經(jīng)濟的多樣化選擇的解決方案；u 簡安裝、易維護提供簡易、智能的系統(tǒng)安裝、初始化和升級，用戶的日常管理的絕大部分工作能通過程序完成，并且具有自動備份數(shù)據(jù)計劃的功能，將用戶維護工作降至最低；u 全面的安全保障系統(tǒng)本身充分考慮了安全性，采用嚴格的身份控制機制、權(quán)限控制機制、審核機制、日志監(jiān)督機制等；通訊安全性：系統(tǒng)使用了Secure socket layer(SSL)協(xié)議、3DES、RSA公鑰加密等在