科教产业实训基地建设工程智能化工程设备采购技术规范书

科教产业实训基地建设工程智能化工程设备采购技术规范书科教产业实训基地（一期）建设工程建设工程智慧校园工程 目录I目录TOC\u\t"标题1,1,标题2,2,标题3,3"1概述 82总体规划 82.1方案总体构思 82.1.1总体功能 82.1.2设计原则 102.1.3总体建设步骤规划 103建筑智能化主要建设内容及界面划分 123.1主要设计依据及业主文件 123.1.1设计任务书 123.1.2《重庆市智慧校园建设基本指南（试行）》 123.1.3《国家教育考试网上巡查系统视频标准技术规范（2017版）》 123.1.4《重庆市国家教育考试标准化考点建设技术规范（2017版）》 123.1.5智能建筑设计规范 123.1.6综合布线设计依据 123.1.7通信类设计依据 133.1.8建筑电气与消防设计依据 133.1.9网络安全设计依据 133.1.10会议室及背景音乐设计依据 133.1.11机房及电源设计依据 143.1.12安防系统设计依据 143.2主要设计内容 143.3主要工程界面划分 193.3.1与建筑专业界面划分 193.3.2与结构专业界面划分 193.3.3与给排水专业界面划分 203.3.4与暖通专业界面划分 203.3.5与电气专业界面划分 203.3.6与室外景观专业界面划分 204信息设施部分 204.1通信接入系统 204.2网络系统 204.2.1系统概述 204.2.2校园网 224.2.3公共无线网 264.2.4智能化设备网 284.2.5财务专网 284.2.6SDN网络管理系统 294.3信息安全系统 334.3.1系统概述 334.3.2信息安全建设需求 334.3.3信息安全建设方案 344.4布线系统 404.4.1系统概述 404.4.2系统架构 404.4.3建设方案 424.5公共广播系统 424.5.1系统概述 424.5.2系统功能 424.5.3设计思路 434.5.4建设方案 444.6信息发布系统 474.6.1系统概述 474.6.2系统功能 484.6.3建设方案 494.7有线电视及校园电视台 494.7.1系统概述 494.7.2设计思路及原则 494.7.3建设方案 514.8时钟系统 524.8.1系统概述 524.8.2时钟系统设计方案 524.8.3时钟系统功能 535安全技术防范部分 545.1校园安全防范区域分析 545.1.1防范区域设计 545.1.2防护要求设计 555.2视频监控系统 595.2.1系统概述 595.2.2系统智能应用场景分析 605.2.3系统功能 625.2.4建设方案 695.3入侵报警系统 715.3.1系统概述 715.3.2系统主要应用场景及功能 715.3.3建设方案 725.4周界报警系统 735.4.1系统概述 735.4.2系统功能 735.4.3建设方案 745.5电子巡查系统 765.5.1系统概述 765.5.2系统功能 765.5.3建设方案 775.6停车管理系统 785.6.1系统概述 785.6.2系统智能应用场景分析 785.6.3系统功能 795.6.4建设方案 806智慧教学部分 806.1云桌面 806.1.1系统概述 806.1.2系统智能应用场景分析 806.1.3系统功能介绍 826.1.4系统建设方案 836.2智慧教室 836.2.1系统概述 836.2.2系统智能应用场景分析 846.2.3系统功能介绍 846.2.4系统建设方案 856.3录播教室 896.3.1系统概述 896.3.2系统功能 896.3.3建设方案 916.4创客教室 926.4.1系统概述 926.4.2系统建设方案 927建筑设备管理部分 947.1建筑设备监控系统 947.1.1系统概述 947.1.2系统建设方案 947.2智能照明系统 957.2.1系统概述 957.2.2系统功能 957.2.3建设方案 958一卡通系统 978.1一卡通平台 978.1.1系统概述 978.1.2系统功能 978.1.3建设方案 1018.2门禁控制系统 1028.2.1系统概述 1028.2.2系统智能应用场景分析 1038.2.3系统功能 1038.2.4建设方案 1038.3考勤系统 1048.3.1系统概述 1048.3.2系统功能 1048.3.3建设方案 1048.4宿舍联网水电管理系统 1048.4.1系统概述 1048.4.2系统功能 1058.4.3建设方案 1078.5消费管理系统 1078.5.1系统概述 1078.5.2系统功能 1088.5.3建设方案 1099数据中心机房 1099.1机房工程概述 1099.2数据中心改造工程 1109.2.1隔墙处理 1109.2.2顶面工程 1109.2.3地面工程 1109.2.4墙面柱面 1119.2.5门窗工程 1119.2.6防鼠、防虫 1119.2.7其他 1119.3数据中心配电系统 1119.3.1设备用电负荷计算 1129.3.2UPS及蓄电池估算 1129.4数据中心照明系统 1139.5防雷接地系统 1139.5.1防雷工程设计 1139.5.2接地工程设计 1139.6数据中心综合布线系统 1149.6.1综合布线设计 1149.6.2桥架系统设计 1159.6.3机柜系统设计 1159.7数据中心空调通风系统 1159.7.1空调制冷设计 1159.7.2精密空调加湿设计 1159.7.3空调室外机摆放设计 1169.7.4新风系统设计 1169.7.5事后排风系统设计 1169.8数据中心消防报警系统 1169.8.1消防灭火系统设计 1169.8.2火灾报警系统设计 1169.9数据中心动力环境监控系统 1179.9.1环境监测主要指标 1179.9.2环境监测设计 1189.9.3设备监测系统设计 1189.9.4安防监控系统设计 11910安防监控中心 12010.1监控中心概况 12010.2解码拼控系统 12010.3系统架构 12010.3.1系统功能 12110.4大屏显示系统 12210.4.1视频信号显示 12210.4.2轮切显示 12310.4.3多画面业务 12311基础设施 12412智能化集成系统 12412.1系统概述 12412.2系统功能 12512.2.1集成能耗管理系统 12512.2.2集成公共广播系统 12512.2.3集成消防报警系统 12512.2.4集成安防系统集成 12612.2.5设备综合管理 12812.2.6全局事件分析 12812.2.7统计分析 12812.2.8联动功能 12812.3建设方案 129涪陵科教产业实训基地（一期）建设工程建设工程智慧校园工程概述涪陵科教产业实训基地创建于1991年，1996年四川省教委批准为省重点中学，1999年重庆市教委复查后确认为重庆市重点中学。老校区位于涪陵城区最繁华的兴华西路与实验路交汇处，交通便利。校内布局合理，环境优美。占地113亩，建筑面积7万余平方米。学校有教学楼、实验楼、图书楼、学生食堂、学生公寓、大礼堂、综合大楼等19幢建筑。有标准的理化生实验室、标准的塑胶足球场篮球场，每间教室配备有多媒体装备，配有专用音乐室、美术教室等功能室。新校区总建筑面积约198191.19㎡，分为一、二期两部分建设，其中一期建筑面积139660.25㎡，包括A栋行政图书楼、C栋教学综合楼（含C1~C6栋）、D栋中心食堂、E栋学员宿舍、S1栋男学员宿舍、S3栋女学员宿舍；二期建筑面积58530.94㎡，包括B栋体艺中心、F栋教室值班宿舍、S2栋男学员宿舍、S4栋女学员宿舍。根据业主规划建设要求，本次设计仅考虑一期建设内容，并预留二期接口；总体规划方案总体构思总体功能涪陵科教产业实训基地项目在依托校园建筑基础上，建设一套先进、高效和使用的信息化基础设施，提升校园信息化基础能力；完善校园智能化系统建设，打牢校园信息化建设根基，支撑校园信息化发展；搭建校园应用支撑平台，建设基础数据资源，实现校园基础教育管理类应用系统的建设；积累丰富数字教学资源和业务类数据资源，建立涪陵科教产业实训基地教育数据资源中心，为后期大数据分析应用，提供基础资源条件。总体建设内容主要包括了标准规范、数据资源规划、基础设施、校园网络及信息安全、智能化系统、数据处理与存储、应用系统、应用支撑平台等多个方面。面向校园管理的功能校园管理面向设备设施、日常办公、信息传送和校园安全的管理。结合涪陵科教产业实训基地校园情况，主要规划以下管理功能。1）、校园通信网络的管理功能设计：以技术先进，经济合理的原则，建设高带宽、高性能、高可靠、高稳定的校园基础网络，并与行政区规划的电信系统建设相衔接、相统一，满足校园语音、视频及今后数据通信业务需求，主要功能有语音通信网、校园业务网、移动通信网、综合布线系统、计算机网络组成。2)、校园安全监控的功能设计：维护校园的教学次序，保障校园的安全，以便“事前监控、事中控制、事后查证”。3）、校园广播功能设计：体现校园信息的发布和信息传达，达到“广而告之”信息传送目的。4）、智能楼宇功能设计：主要是建设楼宇自控功能，实现楼宇设备管理信息化、效率的高效化。5）、视频会议功能设计：主要是针对不同地方人员进行远程会议沟通和联系。面向校园教学的功能校园教学管理主要是面向“学”管理，设计时考虑实现“学”的高效、便捷、科学、生动，体现教学工作的智能化、现代化、科学化。主要有多媒体智能教室、远程教育系统、虚拟实验室、电子考场等功能。面向校园生活服务的功能校园生活服务面向学生和教职工生活服务管理。功能设计时体现校园生活的便捷、健康服务。主要有校园一卡通、电视广播、信息发布、校园医疗系统功能。设计原则1．统筹规划，统一建设。依据国家相关法律法规、涪陵科教产业实训基地规划，做好系统顶层设计，统筹推进新校区信息化建设工作，强化通过信息技术引导全校师生及员工工作效率的提升，从而提高教学与管理的整体服务能力，提高运营管理效率，实现新校区各个领域服务的全程信息化。2．统一认证，推送服务。在数据集中的基础上，实行服务对象身份信息统一认证。通过信息网络将服务延伸到学校各个区域与业务流程中，为广大服务对象推送更加便捷、丰富、有效的服务。3．标准统一，资源共享。严格遵循新校区信息系统建设的业务和技术标准，推动信息系统集约化建设，实现软硬件设备、网络等资源共享，系统与现有信息资源有效整合与交换共享，最大限度发挥信息化建设的效益。4．深化应用，务求实效。以涪陵科教产业实训基地智能化、信息服务智慧化需求为导向，把信息化建设工作与学校效能目标紧密结合，抓系统建设的同时，关注系统应用，提升应用创新能力，对教学管理服务协助起到协助性作用。5．一卡通行，功能扩展。发行校园一卡通，方便学校师生员工享受到学校更多快捷服务。通过与搭载金融功能的关联，实现校园一卡通金融支付服务。6．安全可靠，高效便捷。把安全放在智慧化校园建设至关重要的位置，做到信息化与安全同步规划、同步建设、同步发展。建立健全信息安全保障体系，提高数据安全性。总体建设步骤规划涪陵科教产业实训基地的智慧校园建设，应按照“总体规划、分步实施”的原则进行项目实施。本项目划分为3个阶段进行：（1）“打牢基础、快速实施”，重点完成智慧校园网络基础设施、数据中心和基础平台建设；（2）在上述第一步的基础上“完善学生生命周期管理，提升管理和服务”，建设相关智慧教学应用和系统，完善教学信息化环境，实现师生智能化的学习管理和服务；（3）“完善信息化服务和管理”，建设完成智慧生活应用，同时建立相应的管理和服务系统，最终形成人、财、物等多方面的跨部门服务和管理。第一阶段：网络基础设施、数据中心和基础平台建设网络基础设施、信息标准的统一、数据中心和基础平台的搭建为建设核心，通过打牢智慧字校园的根基，稳固支撑学校未来发展。并且，通过平台的工具支撑能，快速完成学校智慧校园的框架搭建，整合完成学校现有信息资源，使学校在最短时间内就能够初步看到效果。1）建设完成学校的两张主要网络：校园网和智能化设备网，并实现双网互联互通，并通过VPN、防火墙、入侵检测系统等安全设施，保障网络信息资源访问安全；2）完成智慧校园相关硬件设施建设，包括一卡通、门禁闸机、学科多媒体教室、录播教室、班班通和电子班牌等设备设施建设；3）制定统一的信息标准，建设统一的数据中心、统一数据清洗与整合平台，解决信息孤岛问题。实现业务系统到共享数据中心的集成；实现系统间的数据同步交换，保证不同系统关联数据的自动同步，准确一致；实现跨部门、跨业务、跨应用的管理流程集成和全校数据信息共享；解决管理漏洞，减少重复工作等问题；4）完成统一的身份认证平台、统一的信息门户平台和统一接入平台等智慧校园基础平台建设，提升数字校园使用效果。为校领导、教职工、学生提供集中化的信息服务。提供应用集成与单点登录，提供各种应用服务入口实现一站式访问；为用户提供“一站式”、“个性化”信息访问服务，以前分布在各个系统的信息与数据可以在门户上集中的、个性化的提供给用户;5）完成智慧校园管理信息系统建设，包括学校OA、学生管理、教职工人事管理、教务管理、财务及后勤管理、基于大数据的多维数据分析及综合查询等管理（考虑学校经费情况，档案管理系统建设、数据挖掘服务可滞后建设）。第二阶段：智慧教学应用建设及整合在基础平台基础上，围绕学校教学生命周期，完成智慧教学系统的建设和整合，实现以人为本的教学服务环境，提升教学质量，对师生实现智能化的学习管理和服务：1）完成学校档案管理系统的建设，以及与数据中心的整合和集成；2）完成智慧教学系统建设，包括校本资源库建设及与公共资源访问的对接、教师教学应用（导学、备课、课件和微课制作、教师教研等），以及支持教师教和学生学的互动课堂及平台，支持学生网上学习空间个性化学习，包括在线测试、课程作业、辅导答疑等；并与门户、教务管理系统中的评价等进行有机整合，实现学生、老师在信息门户上的教学互动，课程学习等教学环节信息化；3）建设数据挖掘系统，提供若干教育教学和管理方面的挖掘工具，实现对学生数据的数据分析和挖掘，建立可以提供为整个学校综合查询和决策支持所需的基本校情分析系统，为学校的管理与决策支持系统提供分析数据。第三阶段：建设智慧生活应用，完善管理和服务完成智慧生活应用的建设，进一步完善信息化服务和管理，建立相应的管理和服务体系（制度、流程等），最终形成学校人、财、物等多方面的跨部门服务和管理：1）完成智慧生活应用的建设，包括教室/实验室/创客等资源的申请、移动智慧校园APP/小程序/公众号等的建设，极大地方便师生学习和生活，提高管理效率和服务质量；2）在协同办公系统的基础上，以管理、业务工作流为核心，以协同工作和知识管理为重点，强调通过执行力提升平台系统的实施改进学校管理流程和业务流程，并出台相应的管理制度和办法；3）面向学校人财物，新增对人事、办公、科研、设备、资产等跨部门的综合决策服务，，为学校的管理/服务决策提供全面、科学的数据支撑和依据。建筑智能化主要建设内容及界面划分主要设计依据及业主文件设计任务书《重庆市智慧校园建设基本指南（试行）》《国家教育考试网上巡查系统视频标准技术规范（2017版）》《重庆市国家教育考试标准化考点建设技术规范（2017版）》智能建筑设计规范《智能建筑设计标准》（GB50314-2015）《公共建筑节能设计标准》（GB50189-2015）综合布线设计依据《综合布线系统工程设计规范》（GB50311-2016）《电缆桥架安装》（04D701-3）通信类设计依据《通信电源设备安装工程设计规范》（YD/T5040-2005）《通信设备安装抗震设计规范》（YD5059-2005）《通信局（站）电源系统总技术要求》（YD/T1051—2010）《通信局（站）防雷与接地工程设计规范》（GB50689-2011）《通信电源用阻燃耐火软电缆》（YD/T1173-2016）《通信用阀控式密封铅酸蓄电池》（YD/T799-2010）《通信用不间断电源UPS》（YD/T1095-2008）建筑电气与消防设计依据《工业建筑供暖通风与空气调节设计规范》（GB50019-2015）《民用建筑电气设计规范》（JGJ16-2008）《建筑设计防火规范》（GB50016-2014）《建筑内部装修设计防火规范》（GB50222-1995）（2001年修订版）《建筑物电子信息系统防雷技术规范》（GB50343-2012）网络安全设计依据《公用计算机互联网工程设计规范》（YD/T5037-2005）《信息安全技术信息系统等级保护安全设计技术要求》（GB/T25070-2010）《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）《信息安全技术信息系统安全等级保护定级指南》（GB/T22240-2008）会议室及背景音乐设计依据《厅堂扩声系统设计规范》（GB50371-2006）《厅堂扩声特性测量方法》（GB/T4959-2011）《声系统设备互连用连接器的应用》（GB/T12060.11-2012）《视听系统设备互连用连接器的应用》（GB/T15644-1995）《视听、视频和电视系统中设备互连的优选配接值》（GB/T15859-1995）《声系统设备第2部分：一般术语解释和计算方法》（GB/T12060.2-2011）《音频、视频和视听系统互连的优选配接值》（GB/T14197-2012）机房及电源设计依据《数据中心设计规范》（GB50174-2017）《计算机场地通用规范》（GB/T2887-2011）《计算机场地安全要求》（GB/T9361-2011）《低压配电设计规范》（GB50054-2011）《气体灭火系统设计规范》（GB50370-2005）《通信机房用恒温恒湿空调系统》（YD/T2061-2009）安防系统设计依据《安全防范工程技术规范》（GB50348-2018）《民用闭路监视电视系统工程技术规范》（GB50198-2011）《视频安防监控系统工程设计规范》（GB50395-2007）《入侵报警系统工程设计规范》（GB50394-2007）《防盗报警控制器通用技术条件》（GB12663-2001）《公共安全视频监控联网系统信息传输、交换、控制技术要求》（GB28181-2016）《城市监控报警联网系统技术标准》（GA/T669.1-2008）《出入口控制系统工程设计规范》（GB50396-2007）《非按触式IC卡读写标准》ISO14443TYPEA/B公安部关于监控设备安装规范的要求主要设计内容序号分类系统名称设计原则1信息设施系统通信接入系统1.运营商机房设置在C栋教学综合大楼吊一层网络监控中心；2校园网1.采用三层架构，核心层至汇聚层采用万兆网络，汇聚层至接入层至桌面均采用千兆网络；

2.采用双核心，做虚拟化处理；

3.配置防火墙、行为管理器、安全审计、网络防病毒等信息安全设备；

4.与智能化设备网通过防火墙在核心层联通；

5.信息安全等级：三级等保；

6.接入城域网；3公共无线网1.采用瘦AP+AC方式；

2.实现室内外公共区域无线全覆盖，具有一次认证，无缝漫游切换功能；

3.教学区教室内采用高密度无线AP，能够同时接入班级所有人员及设备，本次仅考虑预留点位；

4.室外公共区域采用室外AP，覆盖范围广，具有较高的防护等级；

5.搭载在校园网内；4智能化设备网1.采用三层架构，核心层至汇聚层采用万兆网络，汇聚层至接入层至前端设备均采用千兆网络；

2.采用单核心；

3.与互联网通过防火墙在核心层联通；

4.接入公安网和高考监控专网；平时通过公安网出口，高考时高考监控设备信号通过高考监控专网出口；5财务专网/6政务专网1.专线，仅考虑在党政办设置点位；7布线系统1.核心层至汇聚层采用单模光缆进行传输，汇聚层至接入层根据实际距离采用单模光缆，接入层至前端/桌面，采用六类非屏蔽网线；

2.办公室每个工位2个网络信息点，每个办公室1个语音信息点；

3.教室内讲台位置4个网络信息点（用于一体机、电子时钟、广播、备用），门口1个网络信息点（用于电子班牌）；

4.会议室2个网络信息点，2个语音信息点；

5.学术报告厅预留4芯光缆，二次装修考虑点位设置；

6.在宿舍区考虑公用电话室，点位数量根据实际数量考虑；8校园数字电视系统1.能够支持校园自办节目；

2.前端采用网络直播方式实现电视收看；

3.在食堂、公共休息区设置；

4.在每个宿舍内预留电视信息点；9公共广播系统1.根据学校特点，分别在学校操场区、教室区、宿舍区、办公区、楼道区等区域安装音响设备，保证学校的音量与音质效果，其中操场区需满足本地讲话扩声及运动会功能，教室区需满足单点控制要求，自由编组；

2.实现上、下课音乐铃、广播操、午休时间背景音乐等常用音乐的自动播放；

3.根据学校广播需要，对整个学校进行分区管理，即可以实现对学校的整体播放，也可以实现对单个或多个区域组合进行播放；校广播室优先级最高，实现全校广播的集中控制；在各年级组长出设置广播分控端，实现各年级的分区控制；

5公共广播系统预留消防广播系统强切接口；

6.室外广播系统音响由景观考虑造型及大小；

7.高考涉及到的区域，考虑线路及设备备份；10信息发布系统1.在校门口、操场、宿舍区通过LED屏发布学校介绍，形象展示，欢迎词，公告等；

2.

在教学综合大楼通过液晶电视发布教务数据（课程信息，考试信息，教职工信息等），学校的重大事件，各种通知（包括紧急事件通知），校园新闻，网络电视，天气预报，日期时间等；

3.在会议室门口通过液晶电视发布会议安排，会议简介，会议直播，专家讲座等；

4.在图书馆大厅通过液晶电视发布新到图书信息，图书馆开、闭馆时间，通知等；

5.宿舍和食堂通过液晶电视发布通知，电视直播，生活常识，食堂菜价等。

6.各楼栋一层大厅设置触摸查询一体机；

7.信息发布需与外网隔离，避免非法侵入操作；11时钟系统1.在每栋教学楼的管理处内配置一台壁挂式日历子钟，用于校准管理主机的时间，以及在考试时作为开始、结束时铃声的指导时间，在教室设置LED数字子钟；

2.在每栋宿舍楼的管理处内配置一台壁挂式日历子钟，用于访客记录等时间的时间依据；

3.在图书馆管理处配置一台壁挂式日历子钟，并预留给图书馆管理系统接口，用于校准管理主机的时间，为人员出入记录、书籍借阅记录提供时间依据；

4.在学校出入口设置日历子钟；

5.系统可与考试系统管理主机同步，支持手动校准功能；12考勤系统1.在教室门口设置上课签到（与电子班牌结合），支持人脸识别、刷卡等；教室内设置无感考勤摄像机；寝室设置归寝签到，支持人脸识别、刷卡等；

2.学校入口处，设置人行翼闸和人脸识别考勤摄像头，能够快速采集学生离校时间；

3.在会议室考虑设置考勤机，用于会议考勤；若需做会议系统，可考虑在会议系统上实现；13IBMS智能化集成系统14信息化应用系统智能一卡通系统1.集合门禁、消费、考勤等子系统数据，并充分考虑集成图书馆、医疗、身份认证等功能；15校园综合管理包含教育云模块、物联智能管理模块、校园安全管理模块、智慧教务管理模块、智慧教学模块、校园OA系统等16桌面云1.配置650个桌面云终端后台软件及授权，设置于电子阅览室及计算机教室；

2.云桌面服务器就地布置在教室内，便于管理和使用；17教学专业系统图书管理系统1.A栋图书行政楼设置图书管理系统，采用RFID形式；18报告厅1.本次不考虑，二次装修深化设计；19创客教室20录播教室1.设置常态化录播、精品录播教室、微课堂21智慧教室1.教室门口设置电子班牌；采用触摸显示一体机；

2.预留网络点位，按照教室内讲台位置4个网络信息点，门口1个网络信息点预留；22建筑设备管理系统建筑设备监控对建筑内机电设备进行远程监控、主要包含：空调系统、新排风系统、污水处理系统、电梯、冷热源系统等；23能源计量1.对校内学生宿舍、教室、办公楼、综合楼等区域水、电、空调等进行能源使用情况数据采集；

2.水、电表需具备远程通信接口；24智能照明系统1.对校内道路区域按照时间（白天、夜晚、冬令时、夏令时）进行回路控制；

2.对宿舍、教室进行分楼层统一控制，支持手动和时间控制；25安全技术防范系统视频监控系统1.采用IP数字监控系统，前端采用1080P高清网络摄像机，电梯轿厢采用电梯专用摄像机；

2.图像存储采用IPSAN存储，存储时间为90天；

3.在周界围墙区域设置枪型摄像机，带智能入侵检测功能；

4.在学校入口处，采用球型摄像机进行监控；

5.在各楼栋出入口，采用球型摄像机进行监控，支持宽动态、低照度等功能；室内采用半球型摄像机进行监控；

6.车库采用枪型摄像机进行监控；

7.校内主干道采用球型摄像机进行监控；

8.财务室内外、档案室、重要设备用房、库房采用半球摄像机进行监控，并配合拾音器进行配合安防；

9.支持行为识别、人群聚集报警、打架斗殴报警、边界识别报警等职能工鞥

9.在高考考室、专用通道、试卷分发、保管室、考务办公室设置考场监控，单独存储，存储时间按7天考虑；

10.采用成都佳发产品；26入侵报警系统1.采用总线制报警系统；

2.联动视频监控系统；

3.在财务室、档案室、库房、重要设备用房设置双鉴探测器；

4.在一卡通前台，财务室设置紧急报警按钮；

5.安稳办须对接公安，能够实现快速报警及语音对讲；27门禁控制系统1.采用刷卡、密码、指纹等多种授权方式结合；

2.会议室、学校财务、档案室、中心机房等功能用房采用刷卡+密码授权。会议室支持远程开锁；

3.领导办公室采用刷卡+密码授权；

4.寝室入口处设置门禁，采用刷卡和人脸识别；

5.办公楼、教学楼楼栋出入口设置门禁，上班时间常开，下班时间门禁出入；

6.学校人行入口处设置访客机及人脸识别摄像功能，与公安网对接，避免危险人员进入；

7.人行出入口采用人行翼闸+伸缩门方式，能够兼容学生离校考勤功能；28电子巡查系统1.能够及时准确到位，提供的历史记录其可靠性，效率性，真实性要比签到与抽查高得多；

2.在室内每层楼梯间设置无线巡更点；

3.在室外各楼栋入口处设置无线巡更点；

4.室外点位布置与监控配合，保证有巡更点位的地方都能进行实时监控；29周界报警系统1.与视频监控系统进行实时联动，直接调出报警位置画面；

2.采用红外对射方式进行周界设防；30停车管理系统1.采用车牌识别智能分析技术；

2.对出入口上的车辆车牌进行抓拍保存；

3.具体通道数根据现场道路宽度及消防情况确定；31机房工程信息中心1.位于C栋教学综合大楼吊一层网络监控中心，面积约248m2，分为主机房、支持区、辅助区：

2.采用模块化机房，包含空调、UPS、动环监控；

3.采用柜式气体灭火，消防联动排风、空调、新风等；

4.运维大屏采用液晶拼接；

5、配置10台虚拟化服务器，且应具备1000T容量32安防中心控制室1.与消防控制室合用，位于C栋教学综合大楼一层，面积约65m2；

2.设置拼接显示器；

3.在教学楼单独设置高考监控室；

4.在各寝室楼设置分控点，能够实时查看本栋宿舍的情况；33基础设施室外管网1.以土建专业为基础，核实管网大小进行适当调整；34弱电设备桥架1.根据强电专业桥架路由，综合考虑弱电桥架走向；主要工程界面划分与建筑专业界面划分信息中心新砌墙体、新增门洞等改造由智能化专业提资给建筑专业，由建筑专业进行整体修改。与结构专业界面划分主机房楼板活荷载10kN/㎡；电池室楼板活荷载16kN/㎡；监控管理区楼板活荷载6kN/㎡；由结构专业对荷载情况进行核实并加固；与给排水专业界面划分信息中心内自动灭火系统由给排水专业统筹考虑；与暖通专业界面划分信息中心内事故后通风系统由暖通专业统筹考虑；与电气专业界面划分（1）门禁控制系统需进行消防联动，由智能化专业对门禁设置位置单独考虑，电气专业在此基础上完善消防联动模块及相关线缆引入等；（2）由电气专业负责引入1市电+1柴发至UPS配电间（含电缆、桥架等）；（3）信息中心电消防由智能化专业设计，强电专业预留接入接口；信息中心照明、插座由智能化专业设计；（4）室内桥架、室外管网由智能化专业复核其是否满足弱电线缆敷设要求，并进行适当调整；（5）远程电表由电气专业根据回路设置情况统筹考虑，其远程电表须带RS485接口，并支持MOSBUS协议或DLT标准协议；与室外景观专业界面划分（1）由智能化专业对室外部分的监控摄像机、室外草坪音箱、信息发布屏进行初步设计，由景观专业根据现场绿化情况进行调整和定位；信息设施部分通信接入系统本系统包括宽带接入与语音电话接入，采用开放性结构，支持语音、数据、图像等多媒体流信号传输；数据、语音采用xPON无源光网络接入方式布线。设置运营商接入机房，机房面积按四家通信运营商【中国电信（固话+移动通信）、中国联通（固话+移动通信）、中国移动（固话+移动通信）、广电（有线电视）】安装设备位置设计，具体设计由运营商负责。网络系统系统概述网络作为智慧校园的建设基础，为学校师生提供教学和综合信息服务等多媒体业务。其覆盖新校区教室、实验室、图书馆、食堂、宿舍等各个地方，并实现新老校区的网络对接，包含有线网络的建设和无线网络的覆盖，保证各类人群多样化的网络需求。根据学校的项目特点，基础网络数据交换包含两套独立的应用：校园网和智能化系统专网。校园网：采用典型的三层网络管理构架（核心交换机--汇聚交换机--接入交换机），组建全网无阻塞的万兆校园网，所有网络点实现千兆到桌面。核心交换机考虑冗余备份设计，支持双主控、电源冗余、风扇冗余、分布式转发等性能，核心交换机必须具备虚拟化管理功能，可支持横向和纵向虚拟管理（可将多台交换机虚拟成一台，亦可将一台交换机虚拟成多台交换机），确保网络正常运行。校园内网的有线网络和无线网络实现一体化管理，做到统一管理、统一认证和统一安全。智能化设备网：采用典型的三层网络管理构架（核心交换机--汇聚交换机--接入交换机），组建全网无阻塞的万兆智能化专网，所有网络点实现千兆到桌面，核心交换机考虑冗余备份设计，支持双主控、电源冗余、风扇冗余、分布式转发等性能，核心交换机必须具备虚拟化管理功能，可支持横向和纵向虚拟管理（可将多台交换机虚拟成一台，亦可将一台交换机虚拟成多台交换机）。本次考虑将校园网与智能化设备网在核心层通过防火墙打通，实现数据交换和共享。根据涪陵科教产业实训基地的建设需求和办学特点，其校园网应用场景主要分为以下几个方面：（1）教学使用场景为使用网络通信、视频点播和视频广播技术，提供符合素质教育要求的新型教育模式；为科学研究的资料检索、收集和分析；成果的交流、研讨；模拟实验等提供环境和手段。为备课、课件制作、授课、学习、练习、辅导、交流、考试和统计评价等各个教学环节提供网络平台和环境；为教育信息的及时、准确、可靠地收集、处理、存储和传输等提供工具和网络环境；（2）管理使用场景为学校行政管理和决策提供基础数据、手段和网络环境，实现办公自动化，提高工作效率、管理和决策水平；（3）无线WIFI使用场景通过在各个楼栋走廊、公共区域及室外公共区域等位置建设无线AP设备，以校园网承载数据，便于校内师生通过无线网络访问校园网和互联网；通过校园网本地网络计费及认证平台，运营商平台需提供与校园网的互联网出口链路，实现校园网与互联网对接。校园网校园网共包含基础网络数据交换（包含有线和无线网络数据交换）、网络安全、IT设备运维管理、应用服务器及存储、核心数据库服务器及存储共五大应用。通过虚拟化、云平台、云网络、云安全、云存储等技术构建动态弹性的交换、安全、计算、存储资源池，为学院各类应用提供先进、安全、弹性、可靠的平台。针对新校区的需求和建筑结构特点，设计为三层结构。核心层：位于信息中心机房，采用万兆路由交换设备，管理全校区的网络。汇聚层：位于各单体建筑的主配线间，负责管理建筑内的数据。接入层：位于楼层配线间，负责楼层内水平信息点的接入。在技术上：1、主干技术基于流量分析采用万兆技术，并考虑冗余和绑定技术，接入层采用千兆技术。2、核心层采用双机热备方式，主干冗余，确保系统的可靠性。3、考虑与涪陵区教育城域网相连，采用高速宽带，通过防火墙实现安全访问控制。4、系统配置一套功能强大的高性能网络管理软件，并引入SDN网络管理系统。网络拓扑根据涪陵科教产业实训基地的功能需求，校园网应具备先进性、实用性、开放性、灵活性、可靠性以及安全性等特点。因此，网络结构应采用三层星形结构，便于后期网络的发展；无线WIFI采用瘦AP+AC的方式进行建设。本次项目校园网网络拓扑如下图所示：（1）核心层核心层作为整个校园网核心部分，负责内部业务数据流量的高速交换与转发。校园网核心层主要承载内部数据的高速交换和转发，需具有冗余能力、可靠性以及高速的传输能力。本次项目核心层部署在信息中心机房。本次项目在数据中心机房网络核心层部署2台核心交换机，采用虚拟化技术对其进行叠加，在实现冗余的基础上提高设备性能，降低管理成本。在核心交换机旁挂认证计费设备，对校内账户访问校园网和互联网进行上网认证和计费管理；在核心交换机旁挂资源缓存设备，针对师生经常访问的网络资源，实现本地资源缓存，节省带宽资源；在核心交换机旁挂防代理设备，实现对违规用户的管理，进行告警、强制下线等操作，防止代理；同时本次配置网络杀毒软件，用于满足网络防病毒要求。核心层和智能化设备网通过防火墙/网闸进行对接实现内部数据互通。（2）汇聚层汇聚层主要部署在各大楼汇聚点的弱电井或设备间，提供网络承上启下的作用，汇聚层设备为楼栋部分区域所有校园网接入设备提供汇聚点。汇聚层作为核心层在网络内部的延伸，主要负责各接入层设备汇聚，降低接入层设备对核心层的访问量，保证核心层的安全和稳定，使网络结构更加健壮。并通过部署汇聚层降低整体网络成本。（3）接入层接入层主要负责各大楼终端设备的接入层部署在各楼层弱电井或设备间内，各楼层设备通过接入交换机访问校园网内部。链路带宽（1）互联网出口带宽按照学校规划，本次互联网带宽需求按照8000师生的互联网访问量考虑，考虑20%的并发访问，每次访问平均带宽需求为3Mbps，并考虑10%的带宽冗余。故，互联网出口带宽为(8000*20%*3Mbps)*1.1=5280Mbps。前期可根据实际流量逐步租用带宽，建议租用带宽不低于5280Mbps，待带宽不足时再扩容。（2）汇聚交换机到核心交换机链路带宽汇聚层交换机到每台核心交换机采用1条10GE光纤链路，两条链路互为主备。（3）接入交换机到汇聚交换机带宽接入交换机上行采用万兆光缆连接至汇聚交换机。（4）终端设备到接入交换机带宽本次设计考虑千兆到桌面，从接入层交换机采用六类非屏蔽网线到桌面。路由设计本次校园网内部路由采用静态路由协议或OSPF路由协议。VLAN划分本次校园网VLAN划分以汇聚交换机为终结点，每个汇聚交换机及下行接入设备为一个子网，汇聚交换机之间数据通讯通过核心OSPF协议执行。QoS本项目QoS规划遵循下列原则：（1）保持网络轻载；（2）建立DiffServsensitive的流量分析和容量规划系统以尽量获得准确的每个类别的业务带宽需求；（3）合理给予不同的业务类型不同的资源预留倍数；（4）保持核心网络结构简单，实施少量等级的DiffServ，少量等级的业务网分类，核心网主要完成队列调度和拥赛控制；（5）避免Dos/Worm冲击（6）在需要提高资源利用率的情况下实施DiffServTE。IP地址本项目IP地址规划遵循下列原则：（1）IP地址规划主要涉及到网络资源的利用的方便有效的管理网络的问题，合理有效的分配、利用IP地址成为IP地址规划主要问题，合理的IP地址规划是有利于网络管理的；（2）IP地址的规划与划分应该考虑到网络的后续规模和业务上的发展，能够满足未来发展的需要；即要满足本项目对IP地址的需求，同时要充分考虑未来业务发展，预留相应的地址段；（3）IP地址的分配需要有足够的灵活性，能够满足各种设备、用户接入需要；（4）地址分配是由业务驱动，按照业务量的大小分配各地的地址段；（5）IP地址的分配必须采用VLSM（变长掩码）技术，保证IP地址的利用效率；（6）采用CIDR技术，这样可以减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；（7）充分合理利用已申请的地址空间，提高地址的利用效率；（8）IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，应该是自顶向下的一种规划。运行维护系统建设方案本次配置网络管理软件，实现对校园网中所有的网络设备进行统一配置和管理，主要包括以下功能：（1）系统自动呈现网络的真实拓扑图，支持三层网络拓扑、三层物理拓扑、VLAN子网拓扑等不同的呈现方式，通过不同的拓扑多角度管理网络。（2）管理软件前后台采用https协议，数据传输加密；涉及密码等敏感信息采用加密存储方式，防止泄露。（3）支持拓扑的自动发现，通过SNMP、ICMP、ARP等多种方式发现设备。支持自定义的WEB拓扑视图，方便领导查看。（4）VLAN子网拓扑发现要能够发现VLAN中所有终端PC设备，并计算出终端设备IP地址/MAC地址、接入交换机端口等信息，自动在拓扑图上显示终端设备连接和出入流量、丢包等等情况。（5）支持对全网设备告警的实时监控；支持多种提醒方式（拓扑上呈现、告警声音、短信、Email），其中短信和Email的通知内容可定制。（6）实时监测骨干链路的带宽、利用率和通断情况；（7）实时采集设备端口镜像流量、SFlow、netflow流量，可按协议对流量进行统计,可分析TCP、UDP、ICMP、ARP（8）支持报表管理、BGP/MPLSVPN管理、SLA管理、用户认证等功能；（9）具备IP/MAC/接入端口绑定功能，可以通过IP/MAC地址绑定、IP/接入交换机端口绑定、非法占用端口等策略，控制非法设备接入网络和用户任意更改IP地址的行为，实现IP地址与人的准确对应功能。公共无线网无线网系统概述整个校区包含教室、图书馆、实验室、操场等，怎么保证师生人员能够在这些场所内实现无缝漫游是无线网络移动性的最佳体现。但是传统的无线接入点仅仅能够实现基于二层的漫游，一旦无线用户跨越网段，就会由于重新获取IP地址、重认证、重新验证加密等过程，而导致漫游的失败和通信的中断。这对于无线用户众多的学校而言，是无法接受的。本次设计采用智能无线交换架构，所有用户信息并不保存在本地的无线接入点中，而是全部更新在无线交换机上，因此无论是单台无线交换机还是多台无线交换机的集群体，包括连接状态、认证状态、IP地址分配信息、加密验证状态等用户信息总是实时共享的，即便是无线用户跨网段移动，由于还是处于一台或多台无线交换机的控制下，所以还是会延续原有的IP地址、认证与加密方式，因此也不会中断连接。无线网方案设计如图所示，根据涪陵科教产业实训基地无线典型覆盖场景主要包含以下几个场景：教室场景高密场景室外场景（1）办公室、教室场景对于办公室、教室，人员密集度高，但场景较小，其建筑房间多，墙体较厚，主要分布为两侧房间，中间楼道，此类用户使用无线网主要考虑上网业务、视频以及游戏等，但具有漫游极少，人流分布特征稳定等特点。（2）高密场景此类场景单位用户大，同时场景也大，各个覆盖单元之间有一些干扰，但有一定的空间隔离。可考虑放装型无线AP进行实现无线功能，此时主要信号进行此空间内覆盖，无需要考虑到穿越墙壁、地板等障碍物对隔壁空间的覆盖。（3）室外场景本次设计室外场景考虑操场、空地、停车场等地方的无线覆盖。该类区域的用户以手机为主，上网持续时间相对较短，时间的差异性也很大，存在大量的漫游。室外蜂窝覆盖此类场景在室外开阔空间中AP的覆盖能力比室内半开阔空间要远，但为了保证效果通常是采用室外蜂窝覆盖方式。考虑到AP的有线端需要接入到有线网络，这就存在两种方式：在附近具备有线网络建筑物的情况，往往考虑通过将AP安装在具备有线网络的建筑物的楼顶或是侧壁上通过室外定向天线对室外开阔空间进行覆盖。智能化设备网智能化设备网主要用于针对校内各种智能化设备，监控设备等设施的基础架构。此网络是学校内部管理运营，楼宇管理以及安防监控的核心，其稳定性与可靠性是校园正常运行的保障。因此，本次智能化设备网独立于校园网之外，采用单独组网的方式，万兆骨干到核心，同时，通过防火墙与校园骨干网连接，保证业务数据的一体化，防止信息孤岛的出现。财务专网由于涪陵科教产业实训基地财务方面业务具有一定重要性和特殊性，考虑财务专网与校园网等网络物理隔离，通过在信息中心机房配置专用交换机，用于财务室业务终端的接入，满足日常财务业务办公需求。SDN网络管理系统系统概述目前校园网络的部署具有僵化和复杂两个特点。僵化主要体现在信息点位通常与物理位置紧耦合。网管人员往往根据地理位置，楼栋，划分若干个VLAN网段，终端基本不能大范围移动；如果需要移动，策略不能自动跟随，体验难以保持不变。复杂体现在网络运维工作量巨大，网管人员80%-90%的时间都陷在网络运维的泥潭里不能自拔，只有10%-20%的时间才能用于创新。所以建设一套好的运维管理系统能够及早发现网络的问题或者业务问题，无疑会大大提升用户的体验，本次设计考虑校园互联网采SDN网络管理系统。传统网络管理方式分析（1）移动化冲击除了无线漫游，校园中还存在其他方式的移动，例如老师从办公位移动带会议室开会，需要共享胶片和资源，相关的权限需要继续保持；但从目前网络现状看，很难做到或者说网管人员需要花费大量时间进行网络配置调整，教职工作人员的体验也不好。用户一旦移动后，传统的方案会导致IP地址变化，针对IP地址作安全策略的防火墙等主流安全设备，必须调整相应的安全策略，这给不同品牌的网络产品和安全产品联动提出了前所未有的挑战，传统网络状态下，用户移动，IP地址发生变化，当审计的时候，由于用户的IP地址不停变化，需要结合不同时间段内用户的IP地址情况综合去查，查询虽然可以实现，但是较为麻烦，达不到所见即所得的状态，即见IP地址即见用户，单独审计IP的效果。（2）无线化冲击无线技术出现之后，网络中始终存在着有线和无线两张不同的网络，虽然无线接入逐渐占据主流，但是有线无线混跑的局面在未来一段时间还将长期存在，那么客户会面临有线无线两张网络的割裂问题。1管理割裂：有线无线分别由两组不同的人来同时管理网络；2数据转发割裂：有线走交换机转发，无线走Capwap的AC集中式转发；3策略执行点割裂：有线的执行点在交换机上，无线的策略执行点在AC上。这样网络的运维往往需要两套人马，带来了成本的上升和管理复杂问题。（3）运维的冲击IOE带来了终端接入数量的爆炸式增长，IOE接入校园网络的方式主要有两种，一种是直接接入校园网，比如监控摄像头，移动POS终端等；另外一种是通过物联网关接入，比如楼宇自动化系统中，使用物联网关路由器，一侧使用Ethernet端口接园区网络，网关另一侧端口接各种现场控制总线。IOE终端接入园区网络之后，不同的终端之间以及园区网现有业务有不同的属性，需要进行安全隔离和QOS保证；同时对于直接接入园区网的大量物联网终端，配置管理工作量较大，如何实现简单运维，快速部署也是校园网需要考虑的课题。系统功能介绍（1）策略随行策略随行：指用户移动到哪里，用户的体验不变；一般上要实现策略随行，都需要对用户进行分组，传统的分组方式与地理位置紧耦合，同一个用户组位于一个办公区，一个楼层或者一个大楼之内，很难跨越地理的局限。这样用户一旦移动起来，策略实施就非常复杂，想达到策略跟随或者体验一致也非常困难。SDN方案策略随行的核心就是“名址绑定”，名址绑定就是用户和IP地址一一对应；传统网络用户名和IP地址是难以做到绑定的，一方面DHCP的方式并不能保证单用户每次获取相同的IP，静态地址分配的方式又不能保障用户在移动过程中保持相同IP能够在不同的位置进行正常的网络连接；SDN方案中无状态网络本身提供了IP任意位置访问的能力，再配合名址绑定实现用户位置发生了变化，IP地址段也没有变，甚至IP地址没有变，针对IP的策略也没有变，而这种针对IP的策略其实就是针对用户的策略，最终实现了用户的策略随行。除了用户和IP绑定，在某些场合可能不需要做非常强的捆绑，SDN可以提供业务和IP网段的绑定，或者用户组和IP网段的绑定，比如：视频监控终端尽管分布在全网任意位置，但可以将其IP全部分配在某一个网段之内；又比如财务的人员可能也分布在网络不同的位置，我们也可以将其分配在同一个网段内；最终实现通过IP段标识用户组或业务组。（2）业务自动化部署设备上电后自动加载版本，加载配置，网管人员不需干预启动。自动部署的核心是将整网的接入设备配置完全整合变成一份完全相同的配置文件，同时汇聚层设备也进行整合，变成一份相同的配置。这大大简化预配置文件编写的复杂度，使得各层次设备配置模板化，自动部署的成本很难度大大降低，同时也避免了人为误操作的风险，使得自动部署从理论变成现实。系统建设方案网络由核心、汇聚、接入三层（接入设备可以多层）设备组成，外部SDN控制器。汇聚和核心设备之间构建overlay网络，构建一个无状态网络，同时采用分布式L3网关并通过可靠的机制有效地抑制广播风暴，接入层设备采用不同的VLAN进行接入位置的标识，通过TRUNK的方式上行到汇聚层，汇聚层完成VLAN到VXLAN的映射。策略管理上采用了面向用户的分组模式，将属性或者访问权限相近的用户分到一个用户组中，同时也将服务器侧的资源划分到相应的用户组进行统一管理。策略定义时，基于矩阵表格的方式简单直观。具体策略的定义可简单可复杂，以实现各种高级复杂的策略控制功能。基于5W1H的灵活的用户认证接入机制，根据who（谁），whose（谁的设备），what（什么设备），when（什么时间），where（什么地点），how（什么方式）多个维度覆盖各种接入场景。用户可根据自己的需求，灵活定制场景，满足自己个性化的需求。支持用户终端在整个生命周期中用户和IP一对一的需求（如基于安全性需要可与端口进行绑定），终端不管移动到哪里，可以做到终端始终获取唯一固定的IP，简化后期的运维。整网的核心是SDN控制器：所有对网络的自动化上线，接入管理，用户组/策略管理，业务配置管理，网络运维管理全部在SDN控制器上通过直观的图形化界面完成。SDN控制器将管理员的操作在后台转化为网络设备的具体命令进行下发给设备执行。信息安全系统系统概述信息安全系统建设是本次工程建设的重要组成部分，根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）对信息安全等级保护的要求，全面实施信息安全等级保护，以需求分析和风险评估为基础，坚持技术与管理并重、分级与多层保护和动态发展等原则，保证网络与信息安全的有效性。信息系统安全建设的目标是建设一个由策略、防护、检测和响应组成的完整安全体系，从而最大限度地保护信息不受诸多威胁的侵犯，确保业务连续性，将损失和风险降低到最小程度。本次工程的信息安全参照《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）的要求，并结合业主的实际需求进行防护。本次项目建设将涪陵科教产业实训基地信息安全建设等级定位为三级。信息安全建设需求（1）学校门户网站学校网站的安全威胁，包括学校门户网站、学校招生网站等网站，由于高考、招生、学生就业等敏感时期，聚集了大量的学生及家长访问流量，也引起黑客的关注，学校网站面临的主要安全威胁有：网页被挂马、被篡改黑客通过SQL注入、跨站脚本等攻击方式，可以轻松的拿到学校网站的管理权限，进而篡改网页代码；部分攻击者将学校网站替换成黄色网站，影响极其恶劣。黑客侵入校园内网的跳板入侵者成功获取WEB服务器的控制权限后，可以该服务器为跳板，对校园网进行探测扫描，发起攻击，对校园网核心数据造成影响。（2）校园网业务信息系统随着校园网信息化的逐步深入，业务系统众多，“一卡通”、教学信息管理系统、电子图书馆、教育资源库等信息化业务系统均普遍的被各大学校采用，而这些系统由于管理及防护不到位，目前面临着较严重的安全威胁：业务系统缺乏必要的入侵防护手段学校网络规模扩张迅速，网络带宽及处理能力都有很大的提升，但是管理和维护人员方面的投入明显不足，无暇顾及、也没有条件管理和维护数万台计算机的安全。一旦学生进行黑客攻击，无法阻断攻击并发现攻击源，边界缺乏必要的隔离和审计措施，出现问题不方便定位，追查取证。系统漏洞缺乏必要的控制措施校园网数据中心内的系统应用众多、服务器众多，管理及维护方式也不尽相同，无法做到所有的系统实施统一的漏洞管理政策，缺乏自动化的高效检查工具和控制手段。业务系统权限控制不合理，有安全隐患由于学校内应用众多，开发模式多样，因此难免会造成权限设计时考虑不周，造成权限漏洞，或给攻击者以机会；学生在内网中即可访问各种业务资源，缺乏必要的控制措施；校园“一卡通”系统数据有可能被篡改，账号及资金缺乏安全保障；由于重要数据库的访问缺乏审计手段，一旦出现数据篡改现象，无法定位问题。信息安全建设方案技术架构信息系统安全要求是针对安全保护等级信息系统应该具有的安全保护能力提出的安全要求，根据实现方式的不同，系统安全要求分为技术要求和管理要求两大类。技术类安全要求与信息系统提供的技术安全机制有关，主要通过在信息系统中部署软硬件并正确的配置其安全功能来实现；管理类安全要求与信息系统中各种角色参与的活动有关，主要通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面做出规定来实现。技术要求从物理安全、网络安全、主机安全、应用安全和数据安全几个层面提出；管理要求从安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理几个方面提出，技术要求和管理要求是确保信息系统安全不可分割的两个部分。本部分将就技术要求方面对信息系统安全建设进行说明。根据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2008）技术要求规定，形成五级信息系统安全体系架构。包括物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等5个方面，五级信息系统安全体系架构如下图：五个方面概述如下：（1）物理安全物理安全主要从机房位置、出入口控制、防盗、防火等方面对安全提出要求。本部分由机房和配套基础设施建设考虑。（2）网络安全网络安全主要从网络结构、网络访问控制、安全审计与入侵检测等多方面加以保证。首先要保证网络架构的正确，网络设备自身的访问控制，其次采用防火墙、防病毒、入侵检测/防御设备、安全审计设备等安全设备及手段构建网络安全。本次校园网建设与外部网络连接出口主要是互联网接入、以及与涪陵区教育城域网的网络接口。本次在网络出口处部署下一代防火墙，上网行为管理，连接至核心交换机。防火墙设备主要负责与外部网络互联互通，并提供内部地址转换，以及防病毒和IPS功能。为校园网提供访问控制等基础安全防护。为保证学生所访问互联网的安全性以及正规性，在网络出口处部署上网行为管理系统，阻止学生访问色情、反动等敏感网站。方便学校管理员对学生上网行为的管理。在核心交换机处部署网络审计系统、漏洞扫描、日志管理，确保网络安全。（3）主机安全信息安全主要从主机本身、操作系统和数据库的用户登录、用户操作等具备访问控制、认证、记录、审计和防恶意代码攻击的能力。由于主机系统非常复杂，通常采用多种技术来增强应用平台的安全性。主要通过部署漏洞扫描进行建设。（4）应用安全应用安全从软件自身功能上应具备安全能力。（5）数据安全及备份恢复保证数据完整性和保密性，对数据进行本地/异地备份并可恢复。安全域的划分及安全防护体系在安全域划分时应该遵循以下的一些基本原则：（1）根据系统中各设备其所承担的工作角色和对安全方面要求的不同进行划分；在划分的同时有针对性的考虑安全产品的部署。从网络构架层面来讲，系统局域网整体结构安全域的划分是与安全产品的部署密不可分的，一方面安全域的划分为安全产品的部署提供了一个健康规范灵活的网络环境；另一方面，将安全域划分为域内划分和域外划分两种，域和域之间主要采用通过交换设备划分VLAN和防火墙来彼此策略隔离；在域内主要根据不同被保护对象的安全需求采用部署AAA、IPS和防病毒系统等来完成，因此，安全域的划分不能脱离安全产品的部署。（2）安全域的个数不应过多，否则在策略设置上过于复杂，会给今后管理带来很大不便；在划分的保证各个安全域之间路由或者交换跳数不应该过多。（3）安全域划分的目的是发挥安全产品的整体效能，并不是对IT系统原有局域网整体结构的彻底颠覆。因此在对IT系统局域网结构改造的同时需要考虑保护已有投资，避免重复投入与建设。在设计中，将对不同的安全域采取不同的安全等级保护措施，根据重庆教育管理学校业务的现状和特点，本项目按如下方式划分安全域：（1）校园网信息中心局域网（服务器和存储计算环境）（2）校园网各接入节点网络本次结合安全域规划，需要构建和完善基于校园网的计算环境安全、区域边界安全、通信网络安全在内的三