某项目工程结算管理办法及某学校弱电智能化系统设计方案

****公司****项目经理部工程结算管理办法（试行）****项目经理部二〇一七年六月目录TOC\h\z\t"标题2,1,标题3,2,副标题,2"一、总则 1二、结算原则 1三、结算依据 1四、现场收方时间 2五、结算时间和流程 2六、结算规则 3七、结算台帐 5八、合同终止协议书 6九、其他 6十、附表 7****项目经理部工程结算管理办法（试行）一、总则1.1为提高结算工作效率，加大结算工作的力度，完善结算工作程序，明确结算工作流程，避免在结算中出现无合同结算、超合同结算、重复结算、虚假结算等，根据集团下发的《工程项目管理办法》及公司下发的《标准化项目管理手册（修订本）》的相关规定，特制定本办法。1.2为强化工程结算的管理，成立工程结算管理小组。结算管理小组根据分工，负责项目现场已完工细目的验收、收方数量的计算、单价及金额的审核等工作。组长：项目经理副组长：项目总工组员：各部门负责人、现场收方人员（各工点主管技术人员）、结算人员二、结算原则2.1准确、及时结算；2.2按合同结算、按实结算；2.3无合同不结算、严禁超合同结算、严禁重复结算、严禁虚假结算。三、结算依据3.1合同文件；3.2经审批的施工方案；3.3派工单、小包工使用单及会议纪要；3.4工程收方单或工程数量计算表；3.5临时工程、隐蔽工程照片；3.6各部门的扣款资料；3.7其他过程证明资料。四、现场收方时间为了准确、及时的做好结算工作，充分的考虑各项工作时间，拟定每月的1日、10日、19日作为项目部现场收方的时间，由结算人员、现场收方人员及分项工程负责人（或授权代理人），对已完工程进行现场收方，完成签字手续作为结算依据。五、结算时间和流程5.1每月20日为结算期，对上月20日～本月19日期间各协作单完成的合格工程量进行结算，若逾期递交结算资料，将不予结算或视情况对该部份结算金额予以扣减；5.2每月20日前，各部门提供各协作队伍的扣款罚款单；5.3每月21日前，由协作队伍提供各部门已完成签字的结算申报表及相应附件（工程量计算表、相应图纸、派工单、小包工使用单、扣款罚款单等）；5.4每月24日前，结算人员按合同及公司相关规定对结算申报表及相应附件进行审核、办理结算。告知协作单位负责人需开具增值税发票的具体金额；5.5每月27日前，协作单位提交当期的增值税发票，并签字确认结算审核结果；结算人员把结算资料录入工程项目管理平台，通知相关人员网上审批；5.6每月30日前，完成项目会签，根据会签结果登记结算台帐；完成相关工作后，将结算资料提交财务处。六、结算规则6.1临建工程结算（1）临建工程（驻地、拌和站、钢筋场、便道等）以实际完成的收方数量为准，同时不得超过经公司审批施工方案的数量，若因特殊原因出现超过公司审批施工方案中数量情况，需提前进行情况说明；（2）必须附有现场施工前后的对比照片；（3）由工程技术员、工程处长、质检人员、合同管理人员现场共同收方，工程技术员绘制计算草图，计算实际完成工程数量，上述人员签字确认；（4）临建工程由工程处出具设计图纸，合同处形成临建工程台帐。6.2临时工程结算（1）严格控制临时用工（含小包工、计日工）结算，临时用工结算总额必须控制在桥梁、临建工程结算总额的2%范围内，路基、隧道原则上在其合同范围内不予结算临时用工；（2）具有派工权力的人员必须熟悉协作合同，能明确区分合同范围内外的工作内容，严格执行协作合同，充分掌握用工尺度。对于已在合同单价包括的内容，严禁以小包工、计日工等名义重复结算；（3）协作单位施作范围内的场地清理、材料堆码、覆盖、配合试验、测量、业主及公司内部检查包含在单价内，不单独结算临时用工；迎接大型检查（如省检、国检），可以结算临时用工；（4）计日工结算具体要求：当单项临时用工数量在8个工日以内，可采用计日工形式结算。按《标工单》格式填写零星用工内容，要求内容包含工程部位、施工内容，必要时写明原因及工人姓名。计日工单价按公司规定的单价执行（普工不高于120元/工日，技工不高于160元/工日，技工以工作内容判定，如焊工、电工、起重工等），金额应填大写金额；派工人派工前均应征得部门负责人同意，计日工单项工作完成3日内形成正式资料由各工点报相应人员签批后，报合同处结算和备查备案，合同处建立台帐；计日工派工权限如下：①见习生及实习生：不具备现场用工资格；②一般管理人员：可以开具2个以内（含2个）用工；③分项工程负责人：可以开具4个以内（含4个）用工；④工长（部门副职）：可以开具6个以内（含6个）用工；⑤部门负责人（总工长）：可以开具8个以内（含8个）用工。项目可根据自身情况明确派工权限所对应的具体人员。（5）小包工结算具体要求：单项临时用工金额大于1000元，可采用小包工形式结算；金额大于1000元小于等于2000元的小包工须报项目总工或项目副经理审批；金额大于2000元小于等于5000元的小包工须报项目经理审批；金额大于5000元的小包工须集体开会研究确定并附会议商定纪要。所有小包工需提供相关现场影像资料，于小包工单项工作完成5日内形成正式资料由各工点报相应领导签批后，报合同处结算和备查备案；（6）若单项目金额大于20000元，应采用合同形式处理；（7）项目合同处对临时用工派工单进行审核，属于单价包括的内容不予结算。6.3结构工程结算（1）所有工程以经监理验收合格的工程量进行结算；（2）土石方以现场测量且不超过计量数量为原则进行结算；对挡防工程、排水圬工体以开孔或钻孔方式进行验收后，在设计、实际数量中按就低原则进行结算；（3）每月核算砼超耗情况，在当月结算予以体现，完工后统一清算；钢材超耗在完工后统一核算。6.4未签认的变更结算未签认的变更结算原则如下：（1）劳务工程据实结算；（2）专业分包按以下要求结算：业主实施暂计量且实际发生的实体工程，结算比例低于业主暂计量比例，金额超过200万元的提交公司决策。（3）若计量数量大于实际施工数量，按实际施工数量结算。七、结算台帐当月的结算会签完毕后，合同科必须按样表建立结算台帐，对结算台帐具体要求如下：7.1根据合同工程量清单罗列细目，同一细目号，各协作单位单价不一致的，需单列一行，保持编号一致；7.2属于第100章工作内容的，列入100章对应细目下，便于成本分析、核算；7.3各协作单位累计结算数量与提供财务的一致；7.4以工程量清单细目为基础，各协作单位累计结算数量须小于或等于计量数量。八、合同终止协议书当协作单位履约完成，应对该协作单位进行完工清算，按公司标准样本签订《合同终止协议书》。九、其他9.1结算附件应按顺序编号，标工单在汇总表中分类汇总；9.2协作单位结算签名与合同签名必须一致，不一致时，应有该协作单位相应的授权委托书（最好到公司指定的单位进行公正）；9.3原则上杜绝预结算，若施工过程中出现特殊情况，需对协作单位进行补偿时，在双方意见未达成一致的情况下，在成本分析时可预估费用；9.4按合同清单细目结算，拟结算细目名称应以分包合同清单项目为准，并包含该项所涉及的全部合同约定的工作内容。结算人员不得将拟结算的一个清单项拆分成若干个子项进行结算；9.5分包变更批准后结算，超过分包合同数量的施工内容，应按程序及时履行变更手续。分包合同的变更手续未完成前，该部分工程量暂不结算；9.6隐蔽工程，在施工时工程技术人员应认真做好原始记录，在隐蔽之前及时通知结算人员和分包单位签字确认隐蔽工程原始记录表。记录表的内容应附能反映拟结算工程项目的尺寸大小的图片资料；9.7结算附件资料应一式两份，同时保存在工程部门和财务部门，附件资料应做好连续编码；9.8按月结算，项目部应至少每月进行一次结算；9.9本办法自项目开工之日起执行；9.10本《办法》的解释权属合同处。十、附表10.0附表10-0封面10.1附表10-1结算申报表10.2附表10-2工程量计算表（设计图纸）10.3附表10-3工程量计算表（现场收方）10.4附表10-4派工单10.5附表10-5小包工使用单10.6附表10-6施工照片记录表附表10-0：****项目经理部结算附件资料第01期协作单位：（章）截止时间：2017年08月20日注：附件资料一式两份（一份原件、一份复印件）目录结算申报表…………………1工程量计算表………………2派工单………3小包工使用单………………4施工照片记录表……………5施工图纸复印件……………6附表10-1：结算申报表协作单位：*****劳务有限公司协议号：EH1-1-GCHT（桥）-001截止日期：2017年08月20日期号：第01期本期申报结算内容（工程部位）峨眉高架桥185#墩～201#台桩基机械成孔成桩细目号名称单位单价（元）工程数量金额（元）备注2.4.1桩基机械成孔（桩径≤1.5m）m3357.251000357250.002.4.1桩基机械成孔（桩径≤1.5m）m3337.861000337860.002.6.1水下砼浇筑m316.50200033000.003.2.1钢筋笼安装t145.63200029160.00合计402910申报人签章：（劳务公司法人代或授权代理人）日期：2017.08.20工区负责人意见是否合格、达到量计标准？扣款事项及扣款金额：工程处审核意见是否合格、达到量计标准？扣款事项及扣款金额：试验室审核意见是否合格、达到量计标准？扣款事项及扣款金额：办公室审核意见扣款事项及扣款金额：安保处审核意见以上部位是否发生安全事故？扣款事项及扣款金额：机料处审核意见扣款事项及扣款金额：附表10-2：****项目经理部工程量计算表（设计图纸）协作单位：*****劳务有限公司协议号：EH1-1-GCHT（桥）-001截止日期：2017年08月20日期号：第01期工程名称桩号部位图号计算过程或计算表：桥名桩基编号桩径（m）设计桩长（m）设计方量（m3）实际浇筑方量（m3）备注（超5%）***中桥1-11.52035.3438.251.141-21.52035.3438.251.141-31.52035.3438.251.14***高架桥199-11.52035.3438.251.14199-21.52035.3438.251.14199-31.52035.3438.251.14199-41.52035.3438.251.14198-11.82050.8954.390.96198-21.82050.8954.390.96198-31.82050.8954.390.96198-41.82050.8954.390.96合计1.5140247.38267.757.981.880203.56217.563.84计算：复核：协作单位负责人：注：1.其他工程根据实际情况对计算过程或计算表自行进行调整；2.黄色部分在使用过程中可删除。附表10-3：****项目经理部工程量计算表（现场收方）协作单位：*****劳务有限公司协议号：EH1-1-GCHT（桥）-001截止日期：2017年08月20日收方日期：2017年08月10日工程部位及工作内容：计算式及简图：计算：复核：现场技术员：收方人：工长：测量：协作单位负责人：附表10-4：第一联****项目经理部第一联派工单协作单位：时间：年月日序号工作内容用工人数工日数单价（元）金额（元）备注1234金额合计（大写）￥元；大写：协作单位负责人：经办人：部门负责人：说明：1、本标工单一式两联，第一联为派工人（工长）存根，第二联用作结算。2、本标工单必须在用工当日签认，否则不予认可；三日内交内业人员汇总。3、工日数填写精确到半个工日。第二联****项目经理部第二联派工单协作单位：时间：年月日序号工作内容用工人数工日数单价（元）金额（元）备注1234金额合计（大写）￥元；大写：协作单位负责人：经办人：部门负责人：说明：1、本标工单一式两联，第一联为派工人（工长）存根，第二联用作结算。2、本标工单必须在用工当日签认，否则不予认可；三日内交内业人员汇总。3、工日数填写精确到半个工日。PAGE1PAGE16附表10-5：****项目经理部小包工使用单编号：1时间段年月日～年月日2工点部位峨眉高架桥*****3原因因****，造成****4参加商定人员5处理措施6包工价款计算（附草图及照片）7项目领导负责人意见8核准金额本包工金额：元（大写：整）协作单位负责人：日期：年月日附表10-6：****项目经理部

施工照片记录表拍摄时间：拍摄地点：拍摄人：施工前：拍摄时间：拍摄地点：拍摄人：施工后：备注：注：1.该表主要用于临建工程、临时工程、隐蔽工程，作为结算依据附件资料；2.拍摄人请手写签名确认。无尽之怒学校弱电系统设计方案目录TOC\o"1-4"\h\z\u1.1前言 61.2公司简介 6第二章开放型综合布线系统方案 62.1开放式布线系统简介 62.1.1开放式布线系统原理 62.1.2开放式布线系统的优势 62.1.3开放式布线系统特点 72.1.4开放式布线系统的经济效益 72.2开放式布线系统设计思路 72.3设计依据与技术规范 82.3.1国际安装与设计规范 82.3.2国内安装与设计规范 82.4本系统设计指导思想： 92.5综合布线系统 92.5.1设计目标的确定 92.5.2十年的使用期保证体系 102.6楼宇内的综合结构化布线系统设计说明 112.6.1布线系统的组成及产品选择原则 11工作区子系统 11.水平子系统 11.垂直干线子系统 12.管理区子系统 12.设备间子系统 12.与其它系统的配合 132.7开放式管线设计方案 132.7.1校园主干管线设计图（详见图纸） 132.7.2水平子系统的管线设计 13.墙面型信息出口 13.地面型信息出口 132.8机房设备电源管线设计 142.8.1设备电源管线方式 14.动力配线要求 14.配线间电力配置 14.中心机房配电要求： 152.8.2设备间弱电接地方式 152.9施工和工程质量管理 152.9.1施工组织准备 152.9.2开工条件准备 152.9.3施工力量准备 152.9.4施工方法 15施工原则 15施工顺序 16布线要点 16配线间工作环境要求 17第三章校园网络设计方案 183.1校园网需求分析 183.1.1网络基本需求 183.1.2对网络平台的需求 18网络应用特点 183.1.3可靠稳定性的需求 193.1.4用户接入控制需求 193.1.5网络安全应用需求 193.1.6关键业务服务质量保证的需求 193.2校园网设计思路 203.2.2采用标准化、开放的网络技术 203.2.3网络高可靠性原则 213.2.4网络可扩充性 213.2.5安全性和保密性 213.2.6网络实现的高性价格比原则 223.2.7网络的可管理性 223.3校园网设计方案 223.3.1校园网交换网络方案说明 223.3.2校园网设计方案说明 233.3.3校园网络信息点统计表 243.3.4校园网络拓扑图 253.3.5校园网系统图 253.4学校网络安全设计方案 253.4.1项目分析 253.4.2现行网络环境 263.4.3期望解决效果 263.4.4解决效果 283.4.5、互联网安全控制设备部署网络拓扑图 313.4.6SINFORM5400-AC上网行为管理安全网关主要功能 313．4．7SINFORM5400-AC上网行为管理安全网关技术优势 341）、内网安全管理 342）、访问跟踪、审计 373）、防间谍软件功能 384）、反垃圾邮件技术 405）、IPS（入侵防御系统）系统 436）、网关杀毒 447）、防止DOS攻击 448）、强大的VPN功能 459）、多线路优势 4510）、丰富的数据中心日志系统 453.6设备技术参数 493.6.1核心网络交换设备技术参数 49DCRS-5950系列硬件IPv6万兆汇聚路由交换机 49产品概述 49主要特性 50高性能 50硬件实现IPV6 50万兆以太网就绪 50丰富的网络协议支持 50智能灵活的性能资源调度机制FlexResource 50强大的ACL功能 50丰富的QoS策略 513D-SMP就绪 51完善的网络管理 51技术指标 513.6.2接入层网络交换机技术参数 53第四章校园广播系统方案 564.1概述 574.2、总体设计 574.3、高保真可寻址广播部分的实现原理 574.4、广播分站的工作原理： 584.5、系统的主要功能与特点 584.6、主要设备介绍： 594.7、可寻址广播箱配置与定压分区参考设计： 624.8、系统参考配置清单： 624.9、系统示意图: 63第五章校园有线电视系统方案 645.1校园有线电视设计思路 645.2系统规划 645.2.1节目源 645.2.2系统前端 645.2.3网络传输系统 655.3双向传输与分配网络设计 665.3.1布线与网络结构 665.3.2系统接地 675.3.3管线材料的选择 67第六章校园监控系统规划方案 686.1校园监控系统设计思路 686.2校园监控系统功能 686.3校园监控系统组成 696.4校园监控摄像机布点 706.5监控系统设备选型 707.1、盖诺逸影全自动智能录播系统设计思想 757.2、系统连接拓扑图 767.3、设备配置清单 777.4、盖诺逸影全自动微格教学系统特点及优势 787.5、盖诺逸影全自动微格教学系统方案介绍 807.5.1、视频信号采集子系统 807.5.2、音频信号采集子系统 807.5.3、全自动录播子系统 817.5.4、课件存储、智能编辑子系统 817.5.5、录播控制子系统 817.5.6、本地、远程主控子系统 825.7、编码、压缩、直播子系统 827.5.8、全自动微格教学软件系统 828.1、系统设计原则 878.2、系统技术描述 888.3、系统结构示意图： 898．4一卡通管理系统 898．4．1一卡通考勤管理系统 898．4．2、一卡通消费管理系统 92

第一章概述前言本次方案是根据学校所提供的详细的平面布置图及听取各个部门的意见，同时结合以往施工的经验的基础上完成本方案的设计的。同时，此次为学校提供的开放型综合布线系统、网络系统、广播系统、有线电视系统、监控系统项目的详细方案。第二章开放型综合布线系统方案2.1开放式布线系统简介2.1.1开放式布线系统原理开放式布线系统是通过使用符合布线系统标准的物理传输介质，使用相同的低压接插件，连接所有相同的终端和设施，并通过使用不同的跳线和适配器来实现不同供应商提供的设备之间的通信和数据处理。2.1.2开放式布线系统的优势以一套单一的标准布线系统，把程控交换器、电脑、各种周边设备综合集成为一个功能齐全的通讯网络系统，并提供一个开放性结构平台，能使于任何不同工业标准的设备在这个系统中运行，以满足众多的日常需要。如：1.模拟和数字语音系统。2.高速及低速的数字传输。3.传真机和图形终端机以及绘图的资料传送或图像传输。4.办公室电视电话会议与安全系统的监控信号。5.建筑物中的各种楼宇自控的信号等等。2.1.3开放式布线系统特点开放式布线系统具有以下特点：先进性：开放式布线系统的模块化设计与传统配线之间有本质的区别，开放式布线系统能够通过有效的管理，方便地组合、转换成不同结构的网络系统，传统的布线系统只能依据网络拓扑结构，更改网络系统必须重新布线，重复投资。可靠性：开放式布线系统使用的材料均需符合国际和国内认可的有关标准，经过严格的检验而出品，因而均有质量保证的许诺，一般使用期为10年。扩展性：根据开放式布线系统的设计思想，该布线系统充分考虑对未来设备的变更和移动，最大限度地满足不断变动的需要。灵活性：根据开放式布线系统的设计思想，可以随时任意地构造网络，以满足不断发展的网络需要。兼容性：根据开放式布线系统的设计规范，该系统可以支持任何符合国际标准的网络厂商设备，为使用者提供最充分的选择余地。2.1.4开放式布线系统的经济效益综上所述，由于开放式布线系统设计思想的科学化和先进性，本身决定了该系统能带给使用者最佳的性能价格比，最大限度地保证投资者的前期投资，最大限度地减少因变动更新和采用新技术所花费的费用，从而将维护费用降低到最低程度。2.2开放式布线系统设计思路布线系统设计在考虑整个校园内现在主干管线及将来的具体建筑物的实际需要的业务性质及所提供的达标服务水平的前提下，使系统满足校园现代使用及发展的要求，做到当前技术先进并为学校留有相应的余量。整体校园开方式布线系统建成后将变成国内功能强、兼容性广，提供最佳性比的开放式综合布线系统。本次设计所有的信息点采用超五类模块式插座，所有插座都要配备防尘盖或防尘措施。安装在地面的超五类模块式插座均经过防水处理，满足防水的功能。所有的双绞线均采用超五类UTP双绞线,保证系统的高可靠性和高的性能。楼宇的主配线架设在校园每幢楼宇的专用通讯机房内，产品及元件的选择施工要最大限度地方便以后的维护，为此机柜配线的方式，同时配置模块式配线架,可以实现今后的相互替换，保证系统的灵活性。楼宇内部的水平系统均考虑开放式的综合桥架敷设，强弱电要做到安全的隔离措施。其中校园主干的开放式管线系统采用新旧交替结合原则，最大限度的发挥校园内老主干管线的。对有新增布线需求的地方要敷设新主干管线，整体校园主干管线在新旧对接后，其整体使用和维护效果也可以完美的体现出开放式布线系统的科学性和先进性。在设计本次工程方案的同时，考虑到校园内财务等敏感部门基于安全的考虑下，将特殊部门的局域网布线系统设计成为内网和外网的两套独立的布线系统。内外网完全物理隔离，内网的配线架安装在单独的机柜内不与其它配线架混淆安装。外网的配线架与语音的配线架安装在共有的机柜内。如果要实现内外网功能的互换,只需在配线间简单地进行跳线。2.3设计依据与技术规范2.3.1国际安装与设计规范ANSI/EIA/TIA-568A商用建筑通讯布线标准ANSI/EIA/TIA－569商用建筑通讯布线线槽及空间标准ANSIEIA/TIA－606商用建筑通讯布线管理标准ANSIEIA/TIA－607商用建筑通讯布线接地标准ISO/IEC11801用户楼宇通用布线标准CCITTISDN综合业务数字网标准TIA/EIATSB-67商用建筑通讯布线测试标准TIA/EIA-568B商用建筑通讯布线标准2.3.2国内安装与设计规范建筑与建筑群综合布线系统工程设计规范CECS－72-97城市住宅区和办公楼电话通信设施设计标准YD/T2008-93总配线架技术要求和试验方法YD/T694－93电信网光纤数字传输系统工程施工及验收暂行技术规定YDJ44－892.4本系统设计指导思想：由于本系统用于***学校的弱电综合布线环境。因此，其布线系统的主要功能要满足：为用户提供快捷、开放、易于管理的语音与数据信息基础平台。为用户提供统一的内、外局域网和广域网（WAN）接口。为用户及时传递可靠、准确的信息。为用户提供安全的、绿色的上网环境。为用户提供语音电话。为用户提供双向闭路有线电视以及校园智能录播等。2.5综合布线系统2.5.1设计目标的确定开放式的结构化布线系统是当今最先进最流行的建筑物布线系统，已成为国际上办公大楼的弱电布线标准。它能够满足任何特定建筑物及建筑网络的布线要求，完全开放化，既支持集中式网络系统，又支持分布式网络；支持不同厂家、不同类型的网络产品；符合目前要求和未来发展需要。基于***学校的特点，其布线系统选用在此领域世界先进的超五类线结构化开放性综合布线系统作为其语音、数据系统的布线平台。实施后的布线系统可以满足：保护投资结构化布线系统支持各种系统和设备的集成，如可将语音、数据、图像等设备设计在一起工作，从而在硬件，软件、培训方面具有投资保护性。节省费用结构化布线系统有助于将分散的线缆系统合并到一组统一的标准的网络中去。强化的控制管理结构化布线系统的设计使用户自己容易地，标准地排除网络的故障。保证了在管理和支配整个系统中的最高效率。完整的产品结构化布线系统包括非屏蔽/屏蔽双绞线及光纤传输媒介，交叉连接，适配器连接器插座和插头，传输电器保护设备及工具等。模块化基于物理星型拓扑结构的布线系统提供一种模块化系统管理方法，于是需求即体现在每组结构化的科学管理点上。灵活性用多种高性能的线缆来满足你的联网需求。在速度、距离、信息能力方面都是高性能的。并能与众多厂家产品兼容，于是来自各个厂家的设备都能插到这组通用的楼宇综合布线系统中去。发展性结构化布线系统为了适应未来的发展，采用了积木块式结构。这种结构能将当前的和未来的语音及数据设备，互联设备，网络管理设备方便地扩展进去。2.5.2十年的使用期保证体系由于超五类线具有非常强的生命力，它有一组综合的保证系统的支持。一次性布线，保证在十年内，其系统性能不会下降，功能不会落后，不会因为网络配置的变化而如旧式布线方法那样重复大量土木工程，破坏建筑物原有结构，增加不必要的投资，而能够真正达到一次性投资，长年受益。总之,结构化布线系统为你提供：●最低的全寿命使用成本。●超凡的非屏蔽双绞线技术●高速及宽带的传输能力●灵活的，基于开放结构的子系统●具有发展性，以适应未来的需求●众多厂家产品的兼容性2.6楼宇内的综合结构化布线系统设计说明2.6.1布线系统的组成及产品选择原则工作区子系统工作区子系统由终端设备连接到信息插座的连线和信息插座组成，通过插座既以引出电话也可以连接数据终端或其它传感器及弱电设备。本项目工作区数据插座和语音插座全部采用超五类产品，提供150MHZ的带宽。超五类RJ-45数据模块超五类RJ-45数据模块双口面板双口面板.水平子系统水平子系统的作用是将干线子系统的线路延伸到工作区子系统。数据水平线采用超五类非屏蔽双绞线，其信道带宽可达到达150MHZ，并提供大大优于五类系统的性能余量。语音水平线采用超五类非屏蔽双绞线，在将来使用过程中，如用户需将语音出口改用于数据出口，只需在水平配线间里做一次简单的跳线即可完成。另外，超五类四对非屏蔽双绞线(UTP)还可以传输各种72V以下直流电压和相应频率以内的弱电信号，包括电话、计算机、楼宇自控设备的控制广播信号、视频监视信号和各种弱电传感信号等等。.垂直干线子系统本设计中，数据主干采用6类双绞线。语音主干使用五类大对数双绞线再转接到新的楼宇语音机架上。设计中考虑了适量冗余，目的是为了为将来系统向更高级的系统升级作了适当的预留。.管理区子系统考虑到日后语音和数据信息点转换方便，管理区内的语音配线架和数据配线架全部采用24口超五类模块化配线架，能够支持150MHZ的信道带宽。100对配线架100对配线架超五类模块式24口配线架超五类模块式24口配线架.设备间子系统设备间子系统是由各种设备(如计算机主机，网络设备，PBX)及设备连线组成，主要功能是将计算机主机，PBX，分机直拨中继线等公用弱电设备连接到主配线架上。本项目主设备间及计算机网络中心放置在二层，语音主配线架、数据主配线架、主光纤配线架均放在这二层内。.与其它系统的配合在综合布线系统、电话系统、计算机系统等几大系统中，综合布线系统是基础。它向其它系统提供传输媒介，并通过综合布线系统的管理子系统，对其它系统的构成、连接进行任意的调整和分配。2.7开放式管线设计方案2.7.1校园主干管线设计图（详见图纸）2.7.2水平子系统的管线设计.墙面型信息出口采用走吊顶的轻型装配式槽形电缆桥架的方案，这种方式适用于大型建筑物，为水平系统提供机械保护和支持。装配式槽型电缆桥架是一种闭合式的金属托架，安装在吊顶内，从弱电竖井引向设有信息点的各房间，再由预埋在墙内不同的金属管，引至墙内的暗装铁盒内。结构化布线是辐射型的，线缆量较多，所以线槽容量的计算十分重要。为确保线路的安全，应使槽体有良好的接地端,金属软管、电缆桥架及各种配线箱均需要整体连接后良好接地。接地的方式视建筑物结构，以采用网状或星状接地形式。.地面型信息出口在本系统的部分信息出口采用地面线槽走线方式，这种方式适用于大开间的计算机房及电算教室，有大量信息出口的情况。（埋地式线槽已经安装）线槽从弱电井引出，沿走廊引至各向，到达设有信息点各室时，再由支线槽引入房内的各信息点出口。强电线路可同弱电线路平行铺设，但需分隔于不同的线槽中，两线槽间距应大于等于30mm。这样可向每一个用户提供一个包括数据、话音、UPS及照明电源出口的集成面板，真正做到一个舒适、便利的办公环境。特别强调的是：在铺设埋地式线槽的同时，应作好防水处理，安装具有防水性能的86底盒。安装模块式信息插座时，我们会采用经防水处理后的安装面板进行安装。地面出口地面预埋线槽2.8机房设备电源管线设计2.8.1设备电源管线方式.动力配线要求电力铺设线同弱电布线在横向部份可平行走线，但需分隔于不同的金属管槽中，进行良好屏蔽和接地。电力铺设的AC插座应同信息插座的使用环境适配，以满足网络设备的供电需求。.配线间电力配置配线间的AC电源需求与其内部安装的设备数量有关。配线间内至少应有两个供本系统专用的，符合一般办公室照明要求的220V/10A的电源插座。根据接线间内入置设备的供电需求，还需配置另外的带四个AC双排插座的20A专用线路，此设备不应和其它大型设备并联，并且最好连接至UPS电源上，以确保对设备的供电及电源环境要求。值得一提的是对于照明和UPS电源线应采用薄金属管进行屏蔽。由于可能会产生偶然断路事故，因此要有邻近的轻便开关来控制这些插座。.中心机房配电要求：中心机房的强电负荷容量为10KV，机房内部负荷容量包括所有的网络及广播设备以及机房空调。若校园发生市电中断情况下，需发电机可直接发电到中心机房保证核心设备的正常使用。2.8.2设备间弱电接地方式应在设备间墙壁的相应位置设置接地铜排，经接地铜线与弱电设备做焊接或紧固的硬性连接。2.9施工和工程质量管理2.9.1施工组织准备组织全体施工人员熟悉了解工程的施工图、施工工期及各自承担的任务、各系统的技术要求、标准规范、施工方法、编制施工作业计划、下达施工任务书。2.9.2开工条件准备开工前作好主要器材的配套工作，并进行100%的通电检测，作好主要辅料的准备工作，做到实际施工用料与图纸设计相符。根据施工方案做好桥架及管线的敷设工作。2.9.3施工力量准备按施工期进度计划，合理调整好各类人员，并在进场前进行施工人员在技术、质量、安全材料等方面的培训教育，同时组织好施工班子，各负其职，以提高素质，为创优质工程准备。2.9.4施工方法施工原则桥架暗管敷设及穿线工作，按楼层顺序进行器材安装，按各个系统各自进行，避免施工中忙乱丢失或损坏器材。预先做好各种主机设备，连接电缆插头压制、焊接工作按施工图做好线缆校对、编号包扎工作，保证按质按量完成施工任务施工操作人员，严格按照工艺要求，严守纪录，严格贯彻工艺规范，搞好文明施工施工顺序根据大楼工程总进度实际情况，编排好施工顺序，在施工中发现技术质量问题，公司及时在现场开分析会，帮助解决疑难，使问题不过夜。对建设单位提出的建议要求，在施工中采用和改进。布线要点管道(或桥架)内穿放电缆时，直线管路的管径利用率一般为50%－60%；弯管路的管径利用率一般为40%－50%。金属电线管、金属软管、金属桥架及配线架均需整体连接后接地。弯管路的中心夹角不应小于90度；电缆穿放中，避免过紧地缠绕电缆，不要损坏线缆的外皮，不要切断缆内导线；在牵引和捆绑电缆时应消除线缆中的应力(垂直布放的干缆，必须每隔1.5米将电缆固定在梯级电缆桥架上)。根据配线间内需要放置网络设备的供电要求，在配备IDF的配线间内必须配置2个以上220V电源插座，在条件允许时，可配备UPS不间断电源。施工人员必须遵照电缆色码接续，穿线时每根电缆都必须在两头做出相同的标记，并与施工图吻合。电源线与PDS管线尽量减少交叉，两管交叉时应相距5CM以上，两管并行时应相距15CM以上。配线架的安装位置和所占墙面空间需按设计图纸要求而定。建议在配线架的安装墙面上先固定一块2CM厚涂有防火漆的木板，以便利安装。光纤布线的传输质量和光纤ST连接头的制作质量有直接的关系。因此，在光纤布放需弯曲时不能超过最小弯曲半径：安装时为光纤直径的20倍；安装后为光纤直径的10倍。敷设光纤牵引力不能超过最大敷设张力。配线间工作环境要求按照标准的设计要求，设备间尤其是要集中放设备的设备间，建议尽量满足下面的要求：1.将服务电梯安排在设备间附近，以便装运笨重的设备；2.室温应保持在18摄氏度至27摄氏度之间，相对湿度保持在30%~55%；3.保持室内无尘或少尘，通风良好，亮度至少达30英尺*烛光；4.安装合适的消防系统(如采用湿型消防系统，不要把喷头直接对准电气设备)；5.使用防火门，至少能耐火1小时的防火墙和阻燃漆；6.提供合适的门锁，至少要有一扇窗留作安全出口；7.尽量远离存放危险物品的场所和电磁干扰源(如发射机和电动机)；8.设备间的地板负重能力应为500kg/平方米。9.根据结构化布线系统的要求，在配线间安装布线硬件的墙壁上须覆盖涂有阻燃漆的3/4英寸(合1.9cm)厚的木板。10.系统中典型的配线间，其可以走进人的最小安全尺寸是120X150cm，标准的天花板高度为240cm，门的大小至少为高2.1M，宽1M，向外开。主、分配线间，最好有供放置设备设备柜，其大小可按设备的尺寸而定。在设备间尽量将备柜放在靠近竖井的位置，在柜子上方应装有通风口用于设备通风。11.在配线间内应至少留有二个为本系统专用的，符合一般办公室照明要求220V电压,10A单相三极电源插座。第三章校园网络设计方案3.1校园网需求分析3.1.1网络基本需求***学校网络建设的总体目标是利用各种先进成熟的网络技术和通信技术，采用统一的网络协议（TCP/IP），建设一个可实现各种综合网络应用的高速计算机网络系统，需要很好的保证学校各个校区方面的互通，同时要求未来能轻松与教育城育网互连互通，通过园区网骨干节点与CERNET、Internet相连。现今校园网络建设承担着学校行政管理、教育科研、电子教学、远程教育、信息交流和互联网的接入，以及对外技术交流与合作服务等大量的业务。因此构建一个高效、实用、稳定可靠、安全的网络平台，是高校网络建设考虑的重点。***学校网络既有一般网络设计的特点，又有着其特殊性，除了一般网络所必需的，如：E—mail、FTP、文件共享服务器、网络论坛、网上聊天、管理数据的传输、处理与查询外，还应考虑到以后包括校内教学视频点播、实时远程教学、在线作业等功能。以及可靠性、稳定性和安全性等条件外，在进行校园网建设规划时，还应该考虑所有信息点的可控性、高性能以及关键业务的QoS保证等。另外在网络设计中，如何预留扩展空间和进行投资保护，在满足现有应用的需求的同时，适当考虑信息量增长和变化需要是此次网络改造规划的核心主旨。3.1.2对网络平台的需求网络应用特点用户数较少，发展速度稳定：***学校本期建设大约800多个信息点,网络应用相对简单，并发流量不大：教师和学生上电脑科主要使用网络进行FTP文件传输、在线音乐、在线影视、网络多媒体教学等流量不大单需要链路质量稳定的的网络应用。安全隐患大：学生是一个易接受新事物、喜欢尝试探索、成就好攻击的“危险群体”。不易管理：学生用户中经常发生IP地址盗用、IP地址冲突、帐号盗用、攻击校园服务器等令网络管理及维护人员非常头疼的问题。外界因素：由于现在网络骇客攻击频繁，入侵者和“肉鸡”病毒的不断增加，使得内网安全的防护重之又重。3.1.3可靠稳定性的需求可靠稳定的网络平台，是应用业务系统得以实施和推广的基石。网络平台的设计必须从设备、网络拓扑结构、网络技术等几个方面保证网络的可靠稳定性。在核心层之间设备互为备份或自身备份，包括链路、路由、核心引擎等备份；如配置单核心设备应考虑管理引擎模块冗余和电源模块冗余，来保障网络的可靠性和稳定性。3.1.4用户接入控制需求校园网的信息点分布很广，与一般企业网比较，校园网用户的变动性大，比较难管理，为了保证网络资料的有效利用，对信息点的可控性要求是必须的。做到有效的对用户进行接入控制，保证只有申请开通的合法用户才可以使用网络，为了不影响网路性能，应该在接入层设备分布式实现信息点的控制。3.1.5网络安全应用需求校园网网络平台的安全，除了要保障网络平台的安全性，还需要在一定程度上保障应用业务系统和其它网络资源的安全。网络平台应该从几个方面保证网络安全：1）设备本身的访问安全；2）内部网之间资源访问安全；3）路由系统的安全；4）互联网访问安全；5）非法站点访问过滤；恶意攻击的实时处理；非法言论的准确追踪；3.1.6关键业务服务质量保证的需求面向应用（QoS）——核心层负担着校园网系统所有类型的通信。而由于教育系统的特殊性，其通信的类型几乎涵盖了Internet所有的应用通信类型，包括Email、FTP、网页浏览、数据库查询、协同计算机辅助教育（CAI）、基于计算机的教育（CBT）、协同研究、远程教育、视频广播、视频点播等等应用类型。当网络流量处于高峰期时，必定会影响影响关键业务数据流的响应时间，对于多媒体业务来说就会有说话结巴、图像马赛克的情况。因此高性能的网络，也还是需要QOS服务质量保证的。3.2校园网设计思路校园网网络系统建设遵循统一规划、分步实施的指导思想，工程的设计必须在考虑到满足当前需求的同时，充分考虑到将来整个网络系统的投资保护和长期需要。设计及实施应充分遵循以下原则：3.2.1网络技术实用性为主，兼顾先进性的原则***学校校园网建设采用的交换和传输技术，具有一定的前瞻性，符合一定时期内网络通信技术发展的趋势，并在今后一定的时期内处于领先地位。网络系统设计必须遵循先进性和成熟性。由于IT行业的技术更新换代很快，为了保证网络能够满足今后一段时间内应用的发展，在选择网络技术和设备时不仅要考虑先进性，也要考虑技术的成熟性，同时更要考虑接入业务的特点等多方面的因素。一种新技术在刚出现时往往有很大不稳定和不确定因素，需要有一个发展、逐步完善和实践检验的过程，经常有一些技术在刚出现时被宣传和评价很高，但在一段时间后发现存在很多问题，甚至很快退出市场。用户采用了这种技术，往往会因为设备厂商转产停产等问题，无法对网络扩展升级，最终造成前期投资的浪费。一种新的技术产品在刚出现时一般价格都非常高，所以选择使用一种新的技术的最佳时机应该是在这种技术在市场上已经得到较为广泛的应用，并且在使用中得到肯定之后。虽然这时的技术可能已经不是最新的技术，但技术已经成熟，设备的性能价格比更高。所以选择网络技术和设备时不要去追求最新最好，应该遵循先进性和实用性相结合，并找出其中的平衡点。3.2.2采用标准化、开放的网络技术整个网络系统在结构上实现真正开放，全部采用或符合有关国际标准，使网络具有良好的开放性和兼容性。开放的系统可以使用户自由地选择不同厂家的计算机、网络设备及操作系统，构成真正的跨软硬件平台的系统。网络的设计基于国际标准，网络设备采用标准的接口和规范的协议，满足用户的不同需求并充分利用软硬件资源，保证系统运行的安全可靠，并具有较长的使用生命周期，以适应其业务不断发展的需要，有效地保护用户投资的长期效益。3.2.3网络高可靠性原则由于***国际学校是作为一所先进性的学校，基于网络的各种教学应用必将越来越广泛，对网络的稳定可靠运行要求也会越来越高，对数据传输的实时性的要求，对网络的传输环节要求也很高。因此，一方面选用的网络设备具有相当高的可靠性，要达到电信级标准，具备99.999%的可靠性；另一方面，在网络设计中要采用切实有效的系统备份、系统安全、数据安全和网络安全措施，以保障网络的高可靠性和安全性。建设一个运行稳定可靠的现代化网络系统，网络中任何一台设备或任何一条线路发生故障都不会导致大面积网络失效，并且能够保证在不影响网络正常运行的情况下完成对网络故障的检测和排除。端到端QoS保证,合理规划QoS配置，提供端到端的QoS保证，使网络中的各种业务有可管理的带宽和时延保证，在出现故障的情况下，能够重点保证关键业务的正常运转。3.2.4网络可扩充性因为目前的网络方案是基于满足当前需求的，随着用户应用规模的不断扩大，网络应可以方便地进行扩充容量以支持更多的用户和应用；随着网络技术的不断发展，网络必须能够平稳地过渡到新的技术和设备。为了保护用户的投资，本方案中的网络设备在将来网络升级或再投资的情况下，能够随时通过增加网络设备或模块来对现有设备进行升级和扩充，并能把替换下来的设备应用到分支或边缘网络上。本方案充分考虑到未来网络升级的平稳衔接，保证网络通讯介质、网络设计核心的向后兼容性。要求核心设备支持万兆及IPv6技术，保护客户未来平滑升级。3.2.5安全性和保密性在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等，充分考虑安全性，针对贵校的各种应用，有多种的保护机制，如划分VLAN、MAC地址绑定、802.1x、802.1d、802.1w等，可通过安全认证实现多元素的安全绑定。另外，未来保护系统内部的网络安全性，整网设备支持ACL功能，将病毒包及非法包都尽量限制在二层设备上，避免向上层网络扩散，保护网络整体的安全性设计。3.2.6网络实现的高性价格比原则建设一个高效的网络，充分优化网络结构，尽量减少网络数据流通环节，减少网络中非业务的网络消耗，充分利用网络中的每一台设备和线路，包括备份设备和链路，在确保各级业务部门实时网上业务正常运行的条件下，尽量节省网络的建设和运行成本。新建的数据通信网络，要在满足网络各项性能指标的前提下，尽可能节约网络建设的投资，保护原有设备的投资，使整个网络的具有较高的性能价格比。在满足基本需求的条件下，如网络的可靠性、安全性、性能和一定的可扩展性等，尽可能降低网络改造的费用。网络技术和设备的选择以满足需要为原则，不追求超过需求的“档次”。3.2.7网络的可管理性良好的组织和管理对网络的正常运转和高效使用有很大帮助，网络应该能够提供方便、灵活、有力的工具对网络进行集中式的有效管理和控制。方便的监控、良好的管理界面、完备的系统记录都能使管理员在不改变系统运行的情况下对网络系统进行检测、修改及故障恢复等管理维护工作。网络系统中的所有设备均应是可管理的，支持远程监控和故障的过程诊断和恢复，并可通过网管软件方便地监控网络运行的实时情况，对出现的问题及时处理和解决。3.3校园网设计方案3.3.1校园网交换网络方案说明本网络规划基于星型结构,核心交换机采用DCRS-5950,汇聚交换机采用DCS-3950系列。基本网络用户都与接入层交换机连接，在所有桌面用户的端口上均预设专属VLAN信息。在每个交换机上接入端口应用ACL访问安全控制列表，用于控制接入用户和降低整个校园网络内在危险系数。接入交换机除了基本的802.1Q设置之外，还需要设置全面的安全保护特性，其中包括：基于STP协议的安全保护，例如rootguard,portfast等，防止用户非法成为网络的STPROOT；基于MACCAM的安全保护，实现portfast功能；基于ARP攻击的保护，实现PVLAN的功能；基于DHCP与802.1x的保护，利用交换机关于DHCP82option的保护特性，将DHCP地址池与特定交换机对应，动态分配IP地址，网关以及DNS等信息；基于ACL的安全防护和过滤；关于服务器的接入问题，我们建议根据服务器工作性质选择接接入核心交换机组成若干服务器专用VLAN或者直接接入防火墙DMZ区域，每一个VLAN内部根据业务特性实现PVLAN功能。例如外部服务区以及一级内部服务区、二级内部服务区等，分别放置不同功能的服务器，区域之间通过ACL进行策略控制，区域内部通过PVLAN技术进行有效防护，确保一台服务器的失陷不会影响其他的服务器的防护。3.3.2校园网设计方案说明网络主干选择千兆以太网。选择合适的光纤接口模块，还可以将个别远距离的接入点联入骨干网。表：千兆以太网传输距离协议标准传输介质最大传输距离1000BaseLX9单模光纤10000米50、62.5多模光纤550米1000BaseSX50多模光纤（模式带宽500MHz-km）550米50多模光纤（模式带宽400MHz-km）500米62.5多模光纤（模式带宽200MHz-km）275米62.5多模光纤（模式带宽160MHz-km）220米1000BaseT4对5类非屏蔽双绞线100米1000BaseCX同轴电缆25米核心交换机与汇聚层交换机之间的连接 核心交换机与分布在各个楼的汇聚交换机通过千兆以太网连接，条件许可的时候也可以采用主干聚集技术连接或者生成树协议（SpanningTree）的冗余链路连接。也可以选择开放最短路径的动态路由协议（OSPF）根于不同的优先级别来实现冗余链路的连接3.3.3校园网络信息点统计表楼宇楼所需信息点楼总信息点楼所需电话点楼总电话点1号楼一楼37+50355（含机房200点）一楼2380二楼41+50二楼20三楼41+50三楼21四36+50163号楼一楼7166（含三楼网络世界90点）一楼138二楼19二楼3三楼27+90三楼19四楼23四楼154号楼一楼58196一楼6162二楼28二楼32三楼28三楼32四楼28四楼32五楼28五楼32六楼13六楼15七楼13七楼13总计7172803.3.4校园网络拓扑图3.3.5校园网系统图3.4学校网络安全设计方案3.4.1项目分析目前，校园网络出口进行了非常严格的安全控制，但是针对现在如邮件、OA、视频会议等各种日益繁多及重要、复杂的网络应用，如何来保证保障重点业务应用的安全，提高重点业务应用的速度和效率，网络的安全问题就愈加显得更加重要。而且随着学校不同业务的发展及信息化建设步伐的加快，校园网的网络安全问题也日益徒显。无孔不入的病毒（尤其是木马病毒）仍然会大肆泛滥，甚至严重影响学校应用系统的运行和校园网络关键业务的正常运作。另外由于缺少专门的客户端安全检查设备，无法有效的保护整个局域网的安全性，上班时间员工浏览一些与工作无关的网站，有些员工甚至登陆一些受限制网站，同时使用P2P软件进行下载，耗费了大量时间和网络资源，除了有可能给内网带来不安全因素外，还导致工作效率不高，而且现在业务系统对网络带宽和上网速度及上网的安全性提出了更高的要求。信息化的飞快发展代来方便的同时也带来了威胁，现在的信息技术可以使员工非常方便的在网络上交换数据和信息，在工作便利的同时也不得不面对机密信息泄露的威胁。3.4.2现行网络环境目前学校的互联网上网环境简述如下：上网方式：连接到电信专线上网；网络设备：专线下直连一个深信服网络防火墙，下接神码三层核心可网管网络交换机；网络结构：总线拓扑，不同部分划分多个网段规划；内网规模：约5台服务器，近800台左右PC。3.4.3期望解决效果本方案的基本目标：为***学校的互联网上网建设一个先进的、高可用、安全的互联网安全控制系统，保证内网核心如OA办公系统、电子邮件等关键业务系统，及对员工的上网行为进行有效监控和日志有效记录，做到网络出口问题有据可查，并且对网络内当前使用的各种应用与应用占用的有限带宽进行查看，最后利用互联网安全控制设备，保障校园网内的员工健康上网、数据安全，及上网带宽快速、网络稳定的有序管理设计目的。最终在新的架构上我们需要考虑产品的可靠性，可管理性，设备的安全性等，来保证下面的网络架构和功能要求来达到安全可控目的。通过采用SINFORM5X00-AC上网行为管理解决方案，可以保障组织管理者实现完善的网络访问行为管控和行为审计，并达到如下效果，可以帮助学校：1.规范员工上网行为（如禁止上班时间QQ聊天、炒股、网络游戏等），提升工作效率上班时间从事私人活动，是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为，员工工作效率的下降将直接影响组织的竞争力。而通过SINFORAC可以把与工作无关的上网行为降低到最低，去除员工的分心，让他们专注于工作中。2.流量控制、带宽管理，提升带宽利用率

对严重吞噬带宽的P2P行为，SINFORAC不仅能彻底封堵，还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分，结合智能QoS，既保证了业务应用对带宽的需求，又避免了对带宽的滥用，提升带宽使用效率。3.修补安全漏洞、提升内网安全级别

色情、反动网站的浏览和未知文件的下载安装，导致病毒、木马等被员工主动“邀请”进入内网，SINFORAC将过滤该行为，并提供网关杀毒功能从源头消除威胁；源自内网的DOS攻击、ARP欺骗等也将被SINFORAC彻底防御；而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户，SINFORAC亦能侦测发现，从而修复内网安全短板。4.防范信息机密外泄、保护组织信息资产安全

员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手，SINFORAC特有的“邮件延迟审计”专利技术，将彻底防范该泄密行为；员工的网络发帖、webmail行为，SINFORAC同样可以过滤和记录；而SINFORAC对QQ、MSN等聊天内容的记录和审计，将警示通过IM聊天工具泄密的行为。5.规范员工网络行为、避免法律风险

员工利用组织的Internet连接，访问反动、邪教等不良网站，发表非法言论，收集和发布色情图片等非法网络活动，将导致组织违反法律法规、承受法律诉讼等。SINFORAC上网行为管理设备可以管控和过滤员工的此类行为，并详细记录和审计员工的各种网络行为日志，做到有据可查，使组织避免法律风险。SINFORAC提供的数据中心，海量存储内网用户的各种网络行为日志，图形化的查询、审计、统计、自动报表、内容检索等功能，方便组织管理者了解和掌控您的网络。3.4.4解决效果3．4..4.1网络建设分析如何为***学校的互联网安全访问工作解决上述问题，并更加有效的推进？从整个网络来看，影响学校信息化安全建设，以及将局域网可靠地向外扩展的因素主要体现在两个方面：一是网络本身是否具备充分抵御内外网安全威胁的能力；二是网络对外延伸扩展部分是否保证远程办公的安全、稳定、快速接入，下面分别加以说明。3．4..4.2SinforAC上网行为管理安全设备可以实现的功能如何有效地解决这些问题，以便提高员工的工作效率，降低学校的安全风险，减少学校的损失，成为学校迫在眉睫的紧要任务。深信服科技推出的SINFORAC从以下几个方面来解决上述问题。1)、丰富的认证功能SINFORAC提供了丰富的认证功能，对拥有众多内网用户的学校而言，对内网用户实行严格的安全认证管理以避免安全隐患是及其重要的。SINFORAC基于Web的用户认证功能，使得管理员对上网用户的管理变得十分灵活方便。用户启用了Web认证功能以后，除了对客户端的本地身份（如：用户名密码认证,LDAP,RADIUS等认证）进行常规性认证以外，还将启用Web认证。当客户端在浏览器中输入任意网址时，SINFORAC会要求用户输入用户名和密码进行认证。只有当用户输入了正确的帐号，该用户才能够访问Internet。SINFORAC灵活的MAC地址绑定，使得管理员除了对用户进行帐号认证以外，还可以对用户的帐号启用MAC地址绑定。这样将用户帐号、IP以及网卡的MAC地址三者有效结合，更加完善地对内网用户进行管理。2)、深度的内容检测、强大的P2P拦截功能在上班时间做与工作无关的调查统计中，有60%的被调查员工承认其主要是在玩游戏、和使用QQ、MSN等P2P即时通讯软件。这些不仅影响了学校员工的正常工作，还造成了学校人力资源的严重浪费，间接造成了学校的巨大损失。SINFORAC采用了在线网关监控技术实现对包括QQ,MSN,SKYPE,BT等任何P2P软件的流量阻隔，及时封堵了IM实时通讯软件。目前的P2P软件，如QQ、MSN等IM即时通讯软件以及BT、电驴等下载软件，在用TCP或者UDP数据包的传送过程中，其报文段都会有一段特征码，该特征码是用来标识其数据包类型。SINFORAC的深度内容检测技术，可以检测出数据包的报文中相对应的特征码，并根据预置策略进行及时封堵。SINFORAC内置了多种深度内容检测技术所依赖的特征码规则，并且可以自动更新，管理员也可以从网站上更新下载。依靠这种技术，SINFORAC可以封堵目前所有的P2P软件。避免了最终用户在IM或者P2P软件上浪费时间，提高了员工的工作效率和学校的生产效率。3)、严格的访问控制策略SINFORAC提供了基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略。管理员可以对学校的内网用户分组管理，并且对于每个组的策略，可以基于时间、服务、网址策略、内容策略等多种策略进行严格的访问控制管理。4)、危险网站阻隔为了防止员工在上班时间访问与工作无关的网站，避免员工浏览不适当的网站产生相应的违法行为或者遭受间谍软件/网络钓鱼程序攻击导致学校的机密数据被窃取，学校的名誉受损。SINFORAC可以对各种危险网站进行阻隔。由于互联网上各种危险网站层出不穷，用户根本无法手动更新相应的网站，SINFORAC通过在线自动更新的不良网站列表，减少了学校的维护成本，降低了学校信息安全、法律责任等相关风险。5)、代理识别功能SINFORAC能识别采用Http,Https,Socks等代理服务器绕过防火墙检查的行为，从而进行阻断。有效地阻止了某些最终用户企图通过代理服务器访问一些危险网站（许多反动网站、色情网站都是通过此技术来逃避相关部门的管理）的目的，避免了学校遭受相应的法律责任的风险。6)、敏感数据拦截由于采用了深度检测技术，对于HTTP,FTP,SMTP,IMAP等应用协议数据包中含有的敏感数据，SINFORAC能够进行有效的拦截，以防泄密或由于员工泄密引起的重大损失。7)、流量分析SINFORAC能按用户、用户组、协议和时间对Internet流量进行统计分析，以优化员工对Internet的资源使用情况。使得学校有限的带宽能得到最充分的利用，提高学校的网络利用率。8)、强大的QOS、丰富的日志报表功能SINFORAC强大的访问控制和QOS功能可以使得学校合理利用Internet资源。为不同的用户分配不同的带宽和上网权限，使得Internet资源得到有效利用，并大大提高员工的工作效率。丰富的报表功能还可以分析出学校的Internet的详细使用情况，为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。3.4.5、互联网安全控制设备部署网络拓扑图3.4.6SINFORM5400-AC上网行为管理安全网关主要功能SINFORM5400-AC上网行为管理安全网关是集VPN、防火墙、IPS、病毒网关、访问控制、上网监控、垃圾邮件过滤为一体的All-In-One上网行为管理安全网关。作为深信服科技领先的一体化网络安全解决方案，SINFORM5400-AC上网行为管理安全网关主要功能如下：SINFORM5400-AC有如下功能特性：1)、上网行为控制，规范员工上网行为，提高工作效率多种认证机制，细致的用户分组和权限划分，基于时间段为用户分配合适的权限；

独特的WEB认证、基于浏览器实现方便的用户识别与认证；

网页过滤、关键字过滤、深度内容检测等多种控制功能，管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等；管控Email、FTP等行为。

独有的网络访问准入系统（专利技术），只允许符合指定条件的用户才可以连接Internet，避免内网用户遭受病毒、木马、间谍软件等安全威胁；

2)、强大的监控和审计，保护内部数据安全、防止机密信息泄漏

记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过BBS、BLOG发表的内容；各种搜索记录，QQ、MSN等聊天内容等，所有上网记录，均可完整再现；

特有的邮件延迟审计专利技术，保证所有Email邮件先审计、后发送；Webmail网页邮件内容全面记录，包括正文和附件。

防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏；

独特的“免审计Key”功能，彻底免除对组织高层领导的网络行为记录；3)、流量控制和带宽管理，优化带宽资源的使用

多线路复用和智能选路专利技术，提升出口带宽，流量负载分担，智能选择最优上网线路。

对P2P等非业务应用和非业务部门进行带宽限制，细化到应用级别和针对每用户的带宽划分；基于用户(组)、应用类别、时间段等进行带宽分配；

智能QoS优先级技术，重要数据优先传送，提升带宽使用效率。

智能QOS，重要数据优先传送；4）、海量日志存储、丰富的报表功能，为组织决策提供最有效的数据支持

网络行为日志支持海量存储，满足公安部82号令存储60天要求，且日志的查询、统计、审计等不影响网关性能；

全面记录所有上网行为日志，图形化的日志查询、审计、统计功能；

自动报表，让管理者自动获知组织的网络状况

提供类似百度的搜索界面，实现海量日志的内容检索和搜索。5）、更多安全功能，全面提升内网安全级别

防范来自公网和源自内网的DOS攻击，提升网络可用性；

防ARP欺骗；网关杀毒，从源头上查杀病毒；

网络准入规则，修复内网安全短板，提升内网安全级别。6）、功能一栏表分类功能详细指标访问控制危险网站阻隔用户可自定义对色情、病毒、钓鱼网站的阻隔访问访问控制策略提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略P2P拦截使用深度内容检测技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔用户认证提供Web登录认证功能，提供本地用户数据库和LDAP,Radius用户数据集成功能文件上传下载控制对Http、Ftp文件上传、下载类型和大小进行控制，也能对QQ,MSN等P2P软件的文件传送进行拦截IPMAC绑定提供灵活的IPMAC绑定策略代理识别功能能识别采用Http,Https,Socks等代理服务器绕过防火墙检查的行为，从而进行阻断敏感数据拦截对Http、Ftp、Smtp、Imap等应用协议做敏感数据拦截，以防泄密或引起法律纠纷访问审计邮件延迟审计对外发邮件进行延迟缓存，审计后才能发出，确保信息资产不外泄实时监控实时监控用户的上网行为。访问监控监控用户所有的上网记录，包括Web访问、Ftp、Telnet、邮件（含Webmail）及附件、QQ、MSN、ICQ、YahooMessage等流行IM的数据。以防止信息泄密。流量分析能按用户、协议和时间对Internet流量进行统计分析，以优化员工对Internet的资源使用情况。管理功能管理员权限权限粒度细致，分级管理本地管理GUI方式远程管理GUI方式配置备份使用加密的配置文件进行配置备份和分发Firmware升级通过远程升级Firmware获得更新的软件版本和更多功能模块高可靠设计自动恢复看门狗提供自动恢复功能，配置恢复功能双机备份支持双机备份功能多线路备份支持2～4条线路的备份日志日志容量可以使用独立的日志服务器，容量无限制。日志备份支持自动定时备份日志导入支持转换日志为标准的TXT文件，便于导入到MSSQL或ORACLE数据库进行二次开发和分析数据中心可用SINFOR独立的数据中心进行详细的分析网络特性支持的Internet接口PSTN/ISDNADSL/xDSLCableModemDDN/ATMWLAN支持的协议IPv4、IPv6网络分区WAN、DMZ、LAN多线路支持支持2-4条Internet线路的负载均衡和备份，提供智能选择最优线路等多种负载均衡策略工作方式路由模式、透明模式、旁路模式3．4．7SINFORM5400-AC上网行为管理安全网关技术优势1）、内网安全管理随着互联网的发展，越来越多的办公场所为员工提供了上网条件。据调查统计，2005年全美国共有超过6800万员工在工作时使用互联网。然而，随着互联网的吸引力和互动性与日俱增，员工正花费越来越多的办公时间上网处理私人事务。一项新的调查统计表明，由于员工在工作时间滥用互联网，导致美国学校的损失每年高达1780亿美元。那么中国的情况如何呢？据公布的最新统计显示，中国员工每周上班花在网上处理私人事务的时间高达5.6小时，平均每天超过1小时。有60%的中国员工在工作时间上网浏览个人信件，有83%中层管理人员由于在办公时间内浏览与工作无关的网站，使得学校有更多机会遭受到仿冒诈骗、间谍软件和其它网上攻击的威胁。在中国，约有多于其它地