智慧校园解决方案及预算分析

包头职教园区服务管控学校智慧校园解决方案汇报包头鑫辉科技有限公司 2智慧校园设计概述 4 53智慧校园集中管控system设计 4云平台教学system 5校园一卡通system 6可视化安保管控system设计 7校园车辆管控system设计 7.2校园出入口控制收费system 7.3校园道路卡口测速system 7.4校园道路违章停车管控system 8.1三层架构 8.2扁平化组网 8.3虚拟化设计 9安全system设计 9.1安全设计与网络设计同步 9.2防火墙隔离安全分区 9.3行为审计与流量控制 9.6应用交付及加速 18 9.8安全业务扩展方案 10.1无线AP部署设计 10.3频率规划与负载均衡设计 10.6无线用户流量控制设计 1相关项目背景包头市职业教育园区位于城郊结合部，九原区丹拉高速公路以南、210国道以西、202铁路专用线以北、西至三道沙河。一期建设基地内有1所高等职业技术学院、5所规模较大的中等职业教育学校进驻。随着教育信息化工作的不断深入，智慧校园的建设也得到了各级教育主管机构越来越多的重视，从以优化教学流程、强化教学相关质量为目标方向的智慧校园，智慧校园正在延伸到教学管控、教务管控、安全防范、管控等各个层面。智慧校园应用必然与其他行业存在众多通性，但也有一些自身的特点和要求。但智慧校园的业务需求并不能靠简单的system建设或扩容来解决，所以本网络管控system、应用安全system、校园安防system等有机整合。2智慧校园设计概述2.1相关项目需求本次智慧校园建设根据校园实际管控需求，采用现代化的技术手段，建具体需求如下：1)智慧校园集中管控system,该system将校园内所有数字化system并入到集中管控平台之下，实现统一管控、统一部署、统一规划、统一运维为2)云平台教学system,该system将校园内所有教学应用通过刀片服务器system虚拟化集成在高性能主机system下，提供灵活、高效、易用的教3)一卡通system,该system将校园内所有非教学应用也通过刀片服务器system虚拟化集成在高性能主机system下，提供灵活、高效、易用的教4)可视化视频监控system,该system建设一整套的校园安防管控system,涉及到校园办公区、公共区域、教学区、宿舍区出入口控制、校园道路车辆管控等system,同时能够实现可视化报警功能，统一界面表现在智慧校园集中管控system中，最大程度加强校园工作人员对车的管控力度；5)校园指挥网络system,该system保障校园业务数据平台之间通信的稳定性，为学校信息化业务的连续性提供网络保障，在该system内通过统一部署一套无线网络解决方案，实现对学校应用system、专业学术数据库、电子图书馆等的的高效使用无线网络支撑；6)校园指挥中心，该中心能够将教学、一卡通、安保、网络、应用等system进行可视化的管控。为了达到国内领先的目标，该system设计应该充分考虑system的合理性、先进性、实用性、可靠性、稳定性和可扩展性的原则。合理性原则为了保证整个system从设备配置到system构成的合理性，system设计根据实际状况和建设治安防控system的具体要求，充分满足用户在使用中的各项功能要求。为了保证system的顺利使用以及与已建成system集成的顺利进行，本system的建设需要提供开放的软件接口，提供底层的API,从而为将来开发出实用而简易的集成软件，完成system集成打好基础。先进性原则当前，计算机及通信技术高速发展，使得system的设计不但要考虑充分利用当前的最新技术，而且还必须考虑随着技术的进一步发展，能在system中不断溶入新技术，使system始终充满活力，始终保持一定的先进性。实用性原则system的建设应以实用性为基本原则。system功能必须满足监、控、存、查、管、用的基本要求，硬件和软件平台界面友好、易学易用、使用方便、图像清晰；采用统一的system标准和通信协议，使整个system中各个子system间能互联互控，充分发挥整个system的功能。可靠性原则保证智慧校园system安全、正确地完成相对应功能，保证system的完整性、正确性和可恢复性，system的不稳定因素要从硬件、软件system协同运行中给予充分的防止。如有发生也应做到可即时地恢复，所有产品均具有正式的出厂合格证明和权威机构的相关质量认证。本system的规模无论在网络、system平台，还是在system应用方面都具有相当的规模，system的运行可靠性是主要性能之一。保证对system提供24小时可扩展性原则可扩展性原则主要体现在system横向和纵向的扩展能力上。在system横向扩展方面，智慧校园system在满足当前业务需求的基础上，应该非常方便的扩展容量，可方便实现更多业务接入的模块化system。在纵向扩展方面，system具有良好的兼容性和通用的软硬件接口，用户可在其基础上进行二次功能开发安全保密性原则整个信息system安全的问题，是system建设中一个优先考虑的关键，所以整个system数据要充分安全，要严格实行操作按级管控，对关键数据实施特殊保护，各种操作要做好记录，便于查找。软件system的安全性操作system级的安全规范必须满足国际C2级标准，能够保证不被身份不明的黑客所攻击。数据库的超级用户帐号即密码由服务器的system管控员设定，数据库的一般用户帐号和权限由数据库超级用户(数据库管控员)设定。system维护人员可随时方便地对数据进行备份和恢复。应用程序级的安全性所有的操作人员进入system前均应登录自己的帐号和密码，并通过权限管控服务器认证，核对准确后方可进入system。所有的操作人员均应规定相对应的级别及权限，任何越权的操作必须被拒绝。所有的操作、错误均应有日志记录，并能够根据工号或操作查询。除了用户管控的基本资料外，工作人员不得对用户的其它资料和数据进行更改和操作，除非有用户指定授权人3智慧校园集中管控system设计智慧校园发展背景随着高校信息化建设的不断推进，信息服务在学校教学，科研与管控中的作用越来越大。因为IT治理的重要性和迫切性各个学校已经或正在开始建设基于部门的应用system,基本解决了面向业务主题的管控。但在高校信息化建设中，仍然存在着一些共性的不足，如网络基础设施的的接入手段单一，安全保障体系尚不完善；数字资源建设的投入较少，整体应用水平还有待提升；特别是不同部门之间的信息共享与交流自动化化程度低，缺乏统一的信息编码标准；信息化保障机制还不够健全。学校的教学资源信息主要来源于三类：基于人的数据，基于流程管控的数据，面向设施环境的数据。现有的信息管控system在一定程度上解决了这些数据的采集，但仍然无法满足全方位实施教育信息化及提供智能智慧的综合信息服务的要求。这就要求了基于先进技术的system的智慧校园管控system的出现。该system将校园内所有数字化system并入到集中管控平台之下，实现统一管控、统一部署、统一规划、统一运维为一体，system采用模块化设计，并且支持无缝扩容和平滑对接等灵活业务功能，现设计管控模块主要包括以下相关内容：●云平台教学system●一卡通system●可视化安保管控system●校园车辆管控system●承载网络管控system●无线网络管控system下面我们就来详尽介绍以下system模块的功能。4云平台教学system通过学生的学籍、成绩等信息建立学生的基础库，通过收集整理教师的基本信息，综合教师日常教学、科研等各种方式方法，建立起教师的基础信息库。依托基础库数据，应用科学的分析统计方法和理念，准确分析出学生学习的进步状况，帮助学生及时发现学习的薄弱环节。同时能掌握教师的教学、科研等情况，促进教师提升专业水平。此外，平台还提供了满足学校排课、选课、考务、新高考3+3等教务管控、办公事务管控、诊断与辅助、备课管控、资源管控、电子文档、科研管控、教师研修、考勤管控、收费管控、校产管控、宿舍管控、实验室管控、体卫管控、招生管控、流程管控、德育管控、图书管控等需要的功能强大的应用模块，为学校建立一个覆盖范围广、实用性强的教育管控平台；为教育精细化管控提供有效的评测依据；是数字化校园和智慧校园的基础应用，也是三通两平台的重要组成部分。试羹属试羹属新高考3+3电子文档-教研类--评价类聊天室是难间题探讨心理咨调-交消类云计算服务平台使量化、科学的决策成为可能。作为一种信息服务模式，5校园一卡通system本途径，所以，校园一卡通的建设势在必行。校园一卡通是数字化校园的基础相关工程，它为数字化校园提供全面的数据采集网络，结合学校的管控信息system和校园网络在教学，科研，生活方面的各种应用system,全校范围的数字空间和共享环境。在校园网上建成“校园一卡通system”的数据平台，卡片平台，财务结算平台，校园卡应用的商务管控、银行转账、身份识别管控的各子system都建立在该平台下，以后随学校规模的扩大和卡片功能的增加只需随时增加子system,不需再对平台进行扩充。数字化校园建设中的其他MISsystem、OAsystem,能够通过平台预留的扩展接口实现与“校园卡system”的数据共享。持卡人的基本信息资料和电子钱包都作为统一的公用数据在全网上实时共享，做到一人一卡，一人一户，所有数据的变更都有做到全网立即生效。在学校各校区内，凡涉及到现金使用的任何一个消费网点，校园卡的电子钱包都能通用，所有商户单位不论其性质与规模都能够授权代理收款、结算、商户6可视化安保管控system设计当前，整个安防监控行业已经进入了网络监控的时代，各行业联网监控需求的快速增长，对监控system建设提出了全新的要求。普通监控厂商因为能力限制，很难涉足开发校园监控system的各个方面，在实现网络监控需求时其重点还是在各个子system之上去考虑上层软件的设计。当校园监控范围不断扩大，海量的视频存储需求不断增加，业务需求越来越复杂和灵活时，因为普通监控厂商无法从网络监控的整体架构角度对所有网络监控的组件进行优化，只能依靠上层软件被动的去整合异构非标的硬件、不同厂商存储、网络等，system设计已经设备代理服务器等组件来实现不同异构设备之间的媒体处理和信令处理，当面对海量多媒体信息管控存储的需求，这些设备的集群、负载均衡、故障倒换等可靠性设计以及其整体架构的性能瓶颈已经成为阻碍校园安防监控发展的重要因素。所以，本次校园安防监控system设计采用基于联网监控整个校园安防，监控system的所有组件进行融合优化，满足校园安防监控system的全局看、控、存、管、用业务需求，它的出现能够解决当前校园安防监控system不可逾越的瓶颈，满足多媒体融合应用的需求，同时更好的支持合作伙伴面对客户提供个性化增值应用解决方案。system采用模块化设计思路，分为前端采集system、传输交换system、管控前端采集system通常包含数字视频编解码器和IP网络摄像机。前端采集system支持H.264、MPEG4等多种标准编码格式，并可提供各种不同分辨率规格及接入能力，可支持实时流和存储流双流设计，码流能够根据用户需求任意调整。前端采集设备应采用电信级制造工艺，能够基于各种网络环境高相关质量、可靠的满足各类网络监控前端编码、存储和解码的需求。●在人员较多的出入口和楼梯口需要安装高清的半球摄像机或者枪机。●在电梯安装广角半球型摄像机，并通过视频编码器进行编码接入。●在停车场的出入口，车辆进出时，车灯光线很强，一般摄像机是无法正常获取视频图像的。需要在强光下也可获取到高清晰图像的摄像机，安装强光抑制枪机。●学校周边外围停车场空间较大，光线充足，监视范围广，要求摄像机有较大的视野，安装高清网络摄像机，和快球型网络摄像机。高清网络摄像机采用180°拼接的方式方法进行大画面监控，比进行球机联动，球机自动化跟踪进入监控区域的人员或者车辆。紧急情况下，可切换为手动模式进行PTZ操作。采用网络资源对前端视频传输的数据进行接入、汇聚、交换，通过设备自身安全特性和防火墙等实现对边界安全接入的控制，同时可通过网络本身的设备、协议冗余实现整个监控网络的稳定性。中心机房/中心机房/数据中心T园停车场及学生运动场所分校区校园道路盗控应急指挥中心校园大门监控校园周界监控值班点啊如上图所示，校园可视化报警管控平台是整system的视频图像system的核校园可视化报警管控system解决方案更贴近高校用户的其针对大楼中常见的个别监控点位超长(超过100米)情况，优化后的半球和枪机均支持不增加任何附加设备即可传输至150米~200米；对于校园周界和园区的长距离传输，提供多种解决方案——光口摄像机、全IP的监控system架构使system具有良好的扩展性，有效保护业主的投资；在学校大门出入口和主干道建有卡口system,能够实现在停车场、学生运动场所等广阔区域，部署3枪1球，实现全景拼接和枪球集成报警system和消防报警等安防子system,实现联动显示，解码上墙。7校园车辆管控system设计产安全，减少各类事故发生，营建良好的校园环境和停车秩序，本方案结合业界最先进的车辆管控技术，提供校园车辆管控整体解决方案。利用车牌识别技术、自动化道闸system、门岗客户端、LED屏等设备做联动整合，除能够做出入口控制system外，还能够支持灵活的校园停车收费方式方法。对于多个大门的校园来说，能够准确的统计出校园内停放车辆，停放时间，为校园车辆管控提供了有效的车辆相关的数据。校园车辆管控包括校园出入口控制收费、校园道路卡口测速和校园道路违章停车管控3个部分组成，解决方案拓扑图如下：VXVX磁盘阵列园区面像应用服务器校园车辆管理系统自动道用闹机担制板校园车辆管控整体解决方案解决了在校园大量机动车进出带来管控上的问题，做到车过留痕，从车辆进入校园园区到驶出园区，车辆在校园园区内的所有行车轨迹都在车辆管控system的监控之中，做到了真正意义上的校园车辆管国内各个大学园区普遍存在多个出入口的情况，而且存在收费管控的需求，从用户的实际调研情况看来，当前大多数用户使用的出入口控制收费system,主1)卡丢失、被盗现象经常发生，发卡成本高；2)进入园区要先停车、取卡，停车位置也要准确，否则距离太远，还要下车取卡；驶出园区需要停车、缴费、找零等一系列动作；整个过程费时低效；3)出入园区的车辆没有留下记录，如果要登记，则更加费时费力；5)传统出入口控制收费system管控成本较高。针对现有出入口控制收费system,无卡式出入口收费system,针对学校用户1)成本低，不需要IC卡，只需在system中添加一条校内教职工用户车辆信3)车辆按照10km/h的速度可自由进出，通过卡口对进出车辆进行抓拍，实4)无缝整合到校园车辆管控system,支持对园区内的车辆进行统计5)抓拍准确率98.6%,通过模糊匹配能将准确率提升到99%以上。8承载网络设计正常情况下，双机负载分担工作虚拟化组内主控板全局可用虚拟化组内同类业务模块板间冗余虚拟化实观资源的灵活调度，实现多虚1的灵活部署虚拟交换矩阵，是将多台物理设备虚拟化成一台逻辑设备的技术。设备间的协同工作不再需要用户注重，从而使组网和管控得到简化、性能和效率得到提升。同时，通过VSM的在线扩容和在线升级技术，部署了VSM技术的网络环境能够在不改变原有网络拓扑的情况下向现有网络增加VSM成员设备，使整个逻辑设备拥有更多硬件和软件资源、更强大的处理能力。网络安全体系并不是安全功能的简单叠加，而是一个功能联动、相互配合服务器上的应用的用户访问特性和应用的核心功能分成不同组部署在不同的区流进行全面的安区控制(允许通过、拒绝通过、过程监测)。又反过来推动应用的发展，应用与网络之间是相辅相成、相互促进的。而应用自身的多样化、个性化特性，却与网络的IP化、标准化形成了天然难以逾越的矛盾。特别是随着万兆到核心/千兆到桌面、Web2.0、虚拟化、云计算、物联网、P2P等新技术新应用的不断增多，如何在标准化的网络基础设施上，使模型越来越复杂、流量越来越大的千变万化应用更安全、更快速、更可用，最终使IT战略与企业战略保持一致，是所有IT厂商和用户面临的共同课题。B/S架构应用system相对于C/S架构system具有访问灵活、维护简便等优势，已成为各类业务system的主流架构形式。大港职专校园网络中的OA、门户网站等重要业务system都在不同程度上依赖Web站点对外提供服务。所以，重要业务system的Web站点安全将关系到WEB业务能否正常开展，甚至是核心数据资产的安全。所以，对于包头职教园区校园网络来说，需要通过WEB防火墙实现对Web应用实时有效的安全防护，有效抵御包括SQL注入、跨站脚本攻击、会话劫持、应用层DDoS、网页篡改在内的各种高危害性Web攻击；同时提供Web流量优现集Web攻击防御、协议加固、流量优化于一体的全面Web网络安全防护。针对网络中大量设备存在的漏洞，方案设计部署漏洞扫描设备，采用“智能智慧关联扫描引擎”技术，通过多种扫描方法关联校验的方式方法对漏洞进行扫描，且对漏洞特征库进行持续不断的升级，从而确保漏洞判断准确无误。支持对终端、服务器、路由/交换设备、操作system(Windows/Linux/Unix等进行漏洞管控，具有覆盖2-7层漏洞检测和自动化修补等技术，尤其针对Web应用system进行代码级检测，消除XSS跨站脚本、SQL注入、网页挂马等漏洞威胁，且支持对SSL加密应用的漏洞管控。随着互联网的飞速发展，业务种类的不断丰富，如何提升用户体验，让网络访问快速安全、服务器资源利用更合理、运维更便捷，成为包头职教园区校园网络system建设者需迫切解决的问题，主要包括：●服务器承载应用的稳定性和持续性，system扩容、升级不会影响业●多服务器的协同工作，且最大发挥每台服务器性能；●网络适合性强。考虑到业务应用会对网络信息system进行集中、突发性大流量的访问，对数据/应用服务system的处理能力要求较高，为了保障和提升校园网络信息system应用服务的高可用性，需要部署集负载平衡、应用优化、安全防护于一体的综合应用交付平台，实现业务应用的服务加速和应用优化，以保证数据中心的响应速度和业务连续性，并大大提升服务器的使用效率和弹性伸缩能力。高速缓存，将去外网抓取网内用户热点资源，进行内网留存，在节省网络带宽占用的同时，大大提升了用户的体验。●精细、可靠的缓存管控●部署简便●平滑扩展●智能智慧缓存，充分利用闲置网络资源●信息安全管控全面，增强system安全性模块化交换机是配备了多个空闲的插槽式交换机，用户可任意选择不同数量、不同速率和不同接口类型的模块，以适合千变万化的网络需求。但拥有更大的灵活性和可扩充性。像这样模块化交换机的端口数量就取