XX大学新校区智能化一期工程建设方案
目录
第一章
项目概述
6
第二章
设计依据
7
第一节
基础设施方面
7
第二节
软件工程方面
9
第三节
数据标准方面
10
第四节
功能规范方面
10
第五节
信息安全方面
11
第六节
教育行业方面
12
第三章
设计内容
13
第四章
总体架构
15
第一节
整体架构
15
第二节
逻辑架构
15
第三节
网络拓扑结构
18
第一条
校园网网络
18
第二条
安防网网络
18
第五章
单项设计内容
19
第一节
基础环境
19
第一条
校园综合布线系统
19
第二条
校园计算机网络系统
30
第三条
校园电话通信系统
74
第四条
校园机房工程
74
第五条
建筑单体防雷接地系统
108
第六条
建筑单体UPS电源系统
108
第七条
校园平台服务器资源设计
109
第二节
智慧教学
114
第一条
系统概述
114
第二条
设计内容
114
第三节
智慧生活
133
第一条
校园智能卡应用系统
133
第二条
水控电控管理系统
140
第三条
排队叫号系统
145
第四条
软件平台建设
146
第四节
智慧环境
163
第一条
能耗监测系统
163
第二条
建筑设备管理系统
173
第三条
水环境监测系统
179
第四条
智能照明系统
184
第五节
智慧文化
193
第一条
校园广播系统
193
第二条
信息发布系统
202
第三条
多媒体会议系统
207
第四条
智慧体育馆
234
第五条
智慧图书馆
244
第六节
智慧安防
251
第一条
视频安防监控
251
第二条
入侵报警系统
270
第三条
求助报警系统
273
第四条
电梯五方通话设计内容
274
第五条
周界防范设计内容
274
第六条
无线对讲与电子巡更设计内容
276
第七条
安消一体化设计内容
277
第八条
校园停车场管理系统
281
第九条
综合安防管理平台
284
第七节
智慧管理
292
第一条
AI校园大脑
292
第二条
校园业务管理平台
419
第六章
其他要求
938
第一节
应用集成标准
938
第二节
物联设备联网&设备模型协议标准
938
第一条
系统接入规范制定
938
第二条
标准规范要求
939
第三条
系统对接要求
948
第三节
感知数据资源技术标准
949
第一条
标准内容
949
第二条
感知数据资源标准
950
第四节
数据治理标准
951
第一条
数据标准
952
第二条
数据治理
954
第五节
空间资源技术协议标准
961
第六节
运维要求
963
第一条
人员构成
963
第二条
工作时间及排班要求
970
第三条
安全运维服务
971
第四条
技术要求和培训计划
971
第五条
运维考核机制
972
第六条
质保要求
973
第七条
备品备件
974
第七节
验收要求
974
第一条
系统试运行
974
第二条
验收标准
974
第三条
验收指标
976
第四条
第三方检测要求
980
第八节
安全保障要求
981
第一条
安全施工管理体系
981
第二条
安全管理制度
982
第三条
安全管理人员
984
第七章
主要技术指标
985
第八章
兼容性要求
995
第九章
推荐品牌
997
第十章
物料表
1009
第一节
基础环境
1009
第二节
智慧教学
1318
第三节
智慧生活
1480
第四节
智慧环境
1605
第五节
智慧文化
1645
第六节
智慧安防
2072
第七节
智慧管理
2201
项目概述
项目名称:XX大学新校区智能化一期工程
项目性质:新建项目
XX大学新校区项目位于XX市XX镇治中路与塔山路交口东北角,用地面积约890亩,总建筑面积约55.7万平方米。
由图书馆、人文学科综合楼、理工学科综合楼、各学院楼、重点学科研究中心、行政楼、文化艺术中心、体育馆、校学校、东西区食堂、东西区活动中心、本科生公寓、研究生、留学生公寓、教师公寓、产学研楼、校门等单体组成。
图例:XX大学新校区平面图
设计依据
基础设施方面
>《通信管道与通道工程建设规范》GB50373-2019
>《综合布线系统工程建设规范》GB/T50311-2016
>《数据中心建设规范》GB50174-2017
《数据中心综合监控系统工程技术标准》GB/T51409-2020
>《智能建筑建设标准》GB50314-2015
>《智能建筑工程施工规范》GB50606-2010
>《建筑工程施工质量验收统一标准》GB50300-2013
>《智能建筑工程质量验收规范》GB50339-2013
>《智能建筑工程质量检测标准》JGJ/T454-2019
>《宽带光纤接入工程建设规范》YD5206—2014
>《无线局域网工程建设标准》GB/T51419-2020
>《供配电设计内容规范》GB50052-2009
>《建筑物电子信息系统防雷技术规范》GB50343-2012
《建筑设备监控系统工程技术规范》JDJ/T334-2014
《商用建筑通讯布线标准》EIA/TIA-568B
《商用建筑通信信道和空间标准》EIA/TIA-569
>《公用计算机互联网工程建设规范》YD/T5037-2005
《民用闭路监视电视系统工程技术规范》GB50198-2011《出入口控制系统工程建设规范》GB50396-2007
>《发光二极管(LED)显示屏通用规范》SJ/T11141-2017
>《会议电视系统工程建设规范》YD/T5032-2018
>《视频显示系统工程技术规范》GB50464-2008
>《电子会议系统工程建设规范》GB50799-2012
>《会议电视会场系统工程施工及验收规范》GB50793-2012
>《公共广播系统工程技术标准》GB/T50526-2021
>《扩声、会议系统安装工程施工及验收规范》GY5055-2008
>《信息技术传感器网络信号接口》GB/T30269.701-2014
>《信息技术传感器网络数据接口》GB/T30269.702-2016
《综合布线系统工程验收规范》GB50312-2016
>《建筑电气工程施工质量验收规范》GB50303-2015
>《建筑防火封堵应用技术标准》GB51410-2020
>《通信管道工程施工及验收标准》GB/T50374-2018
>《电气装置安装工程接地施工及验收规范》GB50169-2016
>《钢结构工程施工质量验收规范》GB50205-2020
>《建筑给水排水建设规范》GB50015-2019
《公共建筑节能建设标准》GB50189-2015
软件工程方面
>《信息技术软件工程术语》GB/T11457-2006
>《信息技术CASE工具的评价与选择指南》GB/T18234-2000
>《信息技术软件工程CASE工具的采用指南》GB/T18914-2014
>《信息技术系统及软件完整性级别》GB/T18492-2001
>《信息技术软件生存周期过程》GB/T8566-2007
《计算机软件文档编制规范》GB/T8567-2016
>《信息技术软件生存周期过程指南》GB/Z18493-2001
《软件工程软件生存周期过程用于项目管理的指南》GB/Z20156-2006
>《信息技术软件维护》GB/T20157-2006
《信息技术软件生存周期过程配置管理》GB/T20158-2006
《信息技术软件测量功能规模测量第1部分》GB/T18491.1—2001
>《软件工程产品评价第1-6部分》GB/T18905—2002
>《系统与软件工程系统与软件质量要求和评价》GB/T25000.51-2016
>《计算机软件可靠性和可维护性管理》GB/T14394-2008
数据标准方面
《城市地理空间框架数据标准》CJJ/T103-2013
>《信息技术信息交换用七位编码字符集》GB/T1988-1998
>《地理空间框架基本规定》GB/T30317-2013
《地理信息公共平台基本规定》GB/T30318-2013
《基础地理信息数据库基本规定》GB/T30319-2013
>《三维地理信息模型数据产品规范》CH/T9015-2012
>《三维地理信息模型生产规范》CH/T9016-2012
>《三维地理信息模型数据库规范》CH/T9017-2012
>《城市地理空间框架数据标准》CJJ/T103-2013
《地球空间数据交换格式》GB/T17798-2007
>《地理信息元数据》GB/T19710-2005
功能规范方面
>《信息分类和编码的基本原则与方法》GB/T7027-2002《人脸识别设备通用规范》SJ/T11608-2016
《安全防范视频监控人脸识别系统技术要求》GB/T31488-2015>《公共安全人脸识别应用图像技术要求》GB/T35678-2017
>《公安视频图像信息应用系统》GA/T1400-2017
>《安全防范人脸识别应用视频图像采集规范》GA/T1325-2017
《安全防范视频监控联网系统信息传输、交换、控制及要求》GB/T28181-2022
《安全防范工程技术标准》GB50348-2018
《安全防范系统验收规则》GA308-2001
>《公共安全重点区域视频图像信息采集规范》GB37300-2018
>《公共安全视频监控联网信息安全技术要求》GB35114-2017
《安全防范系统供电技术要求》GB/T15408-2011
《入侵报警系统工程建设规范》GB50394-2007
《入侵和紧急报警系统技术要求》GB/T32581-2016
>《视频安防监控系统工程建设规范》GB50395-2015
《城市基础地理信息系统技术规范》CJJ/T100-2017
>《智慧城市公共信息平台建设指南(试行)》建科研函〔2013〕52号
>《智慧园区与综合体智能化系统工程建设要点与技术导则》
信息安全方面
>《中华人民共和国计算机信息系统安全保护条例》国务院第147号令
>《信息安全等级保护管理办法》公通字〔2007〕43号
>《关于加强信息安全保障工作的意见》中办发〔2003〕27号
>《公安机关信息安全等级保护检查工作规范(试行)》公信安〔2008〕736号
>《关于信息安全等级保护工作的实施意见》公通字〔2004〕66号
>《网络安全等级保护基本要求》GB/T22239-2019
>《网络安全等级保护安全建设技术要求》GB/T25070-2019《网络安全等级保护测评要求》GB/T28448-2019
>《信息安全技术网络安全等级保护定级指南》GB/T22240-2020
教育行业方面
>《中国教育现代化2035》
>《教育信息化2.0行动计划》
>《智慧校园总体框架》GB/T36342
>《高等学校数字校园建设规范(试行)》
>《关于推进教育新型基础设施建设构建高质量教育支撑体系构建高质量教育支撑体系的指导意见》
《安徽省“十四五”教育事业发展规划》
《安徽省高校教育信息化评价指标体系2.0》
除上述规范、标准外,其他适用于本项目的中华人民共和国、安徽省、合肥
市等有关智能化系统现行建设标准、规范要求。
设计内容
序号
类别名称
系统名称
1
1、基础环境
综合布线
2
计算机网络系统
3
电话通信系统
4
机房工程
5
防雷接地系统
6
UPS电源系统
7
综合管路系统
8
2、智慧教学
多媒体教学系统
9
智慧教室
10
精品录播教室
11
标准化考场系统
12
考务广播系统
13
智慧实验室系统
14
3、智慧生活
智能卡应用系统
15
热水水控管理系统
16
停车场管理系统
17
排队叫号系统
18
自助取餐柜及自助快递柜
19
4、智慧环境
智能照明系统
20
能耗监测系统
21
建筑设备管理系统
22
智慧路灯系统
23
水环境监测系统
24
5、智慧文化
公共广播系统
25
信息引导及发布系统
26
多媒体会议系统
27
智慧体育馆
28
智慧图书馆
29
6、智慧安防
视频安防监控系统
30
入侵报警系统
31
求助报警系统
32
电梯五方通话系统
33
无线对讲及电子巡更系统
34
周界防范系统
35
安消一体
36
7、智慧管理
校园业务管理平台
37
AI校园大脑
38
I0C校园运营中心
总体架构
整体架构
见下图P9
逻辑架构
见下图P11
图例:逻辑架构
各个业务系统通过自己的业务平台实现各自基于单个应用的闭环管理,相关的数据及资源通过系统接口或数据库方式统一接入AI校园大脑,实现数据的统一接入、汇聚、清晰、治理,并通过融合治理引擎进行多维数据的融合集成,形成各种主题库、专题库,上层应用可通过数据推送订阅及数据资源目录接口方式,实现数据共享与应用。
紧密围绕校园管理、师生服务和教学科研为核心需求,针对统一业务操作标准和管理规范,基于数字孪生三维模型,结合数据融合数据模型,统筹数字驾驶舱、统一运控、指挥调度和多跨场景等融合创新应用,辐射校园各业务部门,统一管理、统一标准、统一维护。
系统采用1+2+8+N的建设理念,即1个校园大脑、2套网络、8大场景、N
个应用。
1个校园大脑,包括业务中台、感知中台、数据中台和视觉中台,通过这4个中台构建AI校园大脑,实现打通存在的数据孤岛、并实现数据融合,实现系统及业务的整体提升。
2套网络包括安防网及校园网,基础应用部署于校园网。由于视频资源流量大,可靠性要求高,单独为视频监控建设安防网。
8个大场景主要是指智慧教学、智慧安防、智慧管理、智慧生活、智慧环境、智慧文化、基础环境、跨场景融合等8大类型的校园业务场景。
N个应用主要是系统通过移动端、大屏端面向管理人员、教职工、学生、学校部门领导、访客及物业、企业等不同的用户,提供N种应用。
网络拓扑结构
校园网网络
图例:校园网络拓扑图
XX大学新校区宿舍区校园网络采用全光POL网络架构,办公、教学等其他区域校园网络采用以太网网络架构。
安防网网络
图例:安防网拓扑图
XX大学新校区安防网网络采用核心一汇聚—接入三层架构。
单项设计内容
基础环境
校园综合布线系统
5.1.1.1系统概述
综合布线系统是校园智能化建设的基础,通过统一规划的布线体系,支撑校园智能化数据传输。本项目综合布线系统以安全性、完整性、先进性、实用性、经济性、可靠性为建设原则,选用灵活的星型拓扑结构,每个信息通道通过简单跳线,可以灵活组网,充分体现综合布线的灵活性、扩展性。
5.1.1.2设计内容
5.1.1.2.1校园网布线建设
1、本次宿舍区域综合布线系统由POL(PassiveOpticalLAN)全光校园网、语音通信网布线系统组成。其中由POL全光校园网和语音通信网系统主要包括:
工作区子系统:信息点由工作区6类铜缆跳线,工作区信息插座、6类非屏蔽双绞线、ONU、光纤面板、光纤跳线等组成,无线AP采用超六类布线。
水平布线子系统/垂直干线子系统:主要由室内单模光缆组成。
管理间子系统:主要由机柜、光纤配线架、无源分光器组成。
设备间子系统:主要由机柜、光纤配线架、光纤跳线等设备组成。
建筑群子系统:主要室外综合光缆组成。宿舍布点原则:
1)本科生宿舍:每个床位1个有线网络点,同时每间宿舍/公寓设置1个AP设备。
图例:本科生宿舍
2)研究生宿舍:每个床位1个有线网络点,同时每间宿舍设置2个AP设备。
图例:教师公寓套间B
2、办公、教学等其他区域综合布线设计内容有工作区子系统、水平区子系统、垂直子系统、管理子系统、设备间子系统、建筑群子系统等。系统水平区采用六类非屏蔽布线方案,满足千兆桌面网络传输需求;系统垂直子系统及建筑群子系统采用万兆单模光纤,满足万兆主干网络传输需求。
工作区子系统:信息点由工作区6类铜缆跳线,工作区信息插座、光纤面板、光纤跳线等组成;无线AP采用超六类布线。
水平布线子系统/垂直干线子系统:主要由6类非屏蔽双绞线、室内单模光缆组成,无线AP采用超六类布线。
管理间子系统:主要由机柜、光纤配线架、六类非屏蔽配线架等设备组成。设备间子系统:主要由机柜、光纤配线架、光纤跳线等设备组成。
建筑群子系统:主要室外综合光缆组成。工作区布点原则:
1)办公室:按照每个8平方米或每个办公位设置2个有线网络点,同时每
间办公室设置面板式AP设备。
图例:行政楼办公室
2)会议室:设置3至5个有线网络点,每间会议室设置AP设备,按照1个普通放装式AP可接入30个终端设备,1个高密AP可接入80个终端设备计算AP设置数量。
图例:会议室
3)教室:每间教室设置4至5个有线网络点,包括讲台2个,小教室教学一体机处1个,教室IP有源音箱(打铃广播用)处1个,教室门口电子班牌处1个,同时设置1个无线AP点。计算机教室额外给每个学生位置设置1个有线网络点。
图例:典型教室
4)实验室、实训室:每间实验室设置弱电箱,一根6芯单模光缆引入。
5)校医院诊室:每间诊室1个有线网络点。
6)文化艺术中心化妆室、排练室以及各单体的活动室等:每个房间2至4个有线网络点,同时设置1个面板AP设备。
7)接待室、值班室:每个房间1至2个有线网络点,同时设置1个面板AP设备。
8)变电所、水泵房等设备机房:每个房间1个有线网络点。
9)各单体的公共走廊、门厅、大厅、餐厅、室外主干道、室外广场等处设置无线AP设备,满足师生对公共区域的无线网络需求。
10)其他区域需设置,满足校园内互联网、智能化设备、校园安全等功能需求。
5.1.1.2.2校园电话布线建设
校园电话通信综合布线设计内容有工作区子系统、水平区子系统、垂直子系统、管理子系统、设备间子系统、建筑群子系统等。系统水平区采用六类非屏蔽布线方案,可以满足模拟信号或数字信号传输需求;系统垂直子系统及建筑群子系统采用室内单模光纤,满足主干电话网络的传输需求。
工作区子系统:信息点由工作区6类非屏蔽双绞线跳线,电话信息插座等组成。
水平布线子系统:主要由6类非屏蔽双绞线组成。垂直干线子系统:主要由室内单模光缆组成。
管理间子系统:主要由机柜、光纤配线架、六类非屏蔽配线架等设备组成。设备间子系统:主要由机柜、光纤配线架、光纤跳线等设备组成。
建筑群子系统:主要室外综合光缆组成。电话通信布点原则:
1)2人以下办公室每个工位设置1个电话信息点。
图例:2人以下办公室电话布线2)2人以上办公室每间办公室设置1个电话信息点。
图例:2人以上办公室电话布线
3)值班室每间设置1个电话点,其他房间暂不考虑电话点。
校园计算机网络系统
5.1.2.1系统概述
本次校园网建设主要解决教学及办公信息接入,包括有线网络接入、无线网络接入、多媒体教学、公共广播、视频监控、智能卡应用等业务接入场景。
5.1.2.2设计内容
5.1.2.2.1校园网络设计
XX大学新校区宿舍区校园网络采用全光POL网络架构,办公、教学等其他区域校园网络采用以太网网络架构。
本次链路规划,千兆接入到桌面,接入到汇聚设备采用万兆链路,汇聚到核心以及出口网络部署不低于40G链路。
5.1.2.2.1.1核心骨干网设计
核心骨干网建设主要有出口层和核心层,出口部署负载均衡对接运营商,实现校园网统一出口。综合安全网关通过SDN技术部署于负载均衡之下;综合安全网关系统可以阻止病毒从互联网侵入内网,实现对师生上网行为的监管;出口区SDN打造出口安全资源池可对出口流量及业务进行灵活编排;BRAS设备及认证计费系统实现认证漫游,也可对接行为管理提供实名数据,保障校园网可管可控可溯源。
本次核心层通过部署BRAS设备及认证计费系统实现认证漫游,也可对接行为管理提供实名数据,保障校园网可管可控可溯源;核心网络部署2台核心交换机,下行通过万兆光链接汇聚交换机或OLT,承载校园教学办公、宿舍以及科研
等所有业务流量,核心交换机业务板卡与交换网板可以采用完全正交设计(槽位互相垂直),业务板槽位采用竖插槽设计;可以扩展千兆电口,千兆光口,万兆光口、万兆电口、25G端口、40G端口、100G端口。
1、BRAS核心规划设计
本次项目通过在核心构建BRAS实现核心设备的冗余热备份。BRAS作为全校有线无线用户的网关以及认证网关,实现准入准出一体化认证,具备大容量认证表项满足校园网所有用户上网认证需求,数据性能可以支撑全校网络的数据转发。本次核心设备均配置双主控引擎,为保证业务快速转发端口冗余度适中,通过不少于40G链路捆绑与核心交换机实现40G以上互联,用于校园网数据接入和转发,满足学校终端并发量大,数据需求高的网络需求,满足未来5-10年的出口带宽支撑、数据转发的需求。
BRAS将教学办公区有线端口划分至特定VLAN中,用户访问外网时BRAS将流量重定向至Portal服务器,用户输入账号密码后BRAS向AAA设备发起Radius认证,认证成功后BRAS基于默认域名将流量向校园网出口发送,从校园网出口访问外网。
学生宿舍区有线采用Portal认证,用户访问外网时BRAS将流量重定向至Portal服务器,Portal页面中存在下拉菜单,分为“校园网”、“中国XX(运营商)”,选择对应的域名之后Portal携带域名发送至BRAS,BRAS携带域名向AAA设备发起Radius认证,认证通过后BRAS基于用户所选择的域名选择下一跳地址,实现从用户选择的运营商出口或校园网出口访问外网。
宿舍区无线可采用多SSIDPortal认证,全校所有区域选择不同SSID后分配不同的源地址,匀为Portal认证,三个SSID对应三个Portal页面,每个Portal页面中帐号会默认添加域信息,例如,CMCC的Portal页面中默认添加@cmcc的域名,BRAS收到认证请求发给认证计费系统,然后基于域名向不同运营商发起Radius中继或在本地认证。BRAS基于不同ISP用户认证成功后下发不同的
filter-id,实现ISP用户指向对应ISP链路出口。
2、计费认证设计
在核心网络部署一套计费认证网关和Portal服务器,实现有线、无线准入准出一体化认证。认证方式采用Portal+MAC无感知认证,学生直接输入校园网
上网帐号,认证后通过校园网互联网出口访问外网。
宿舍区运营商可独立部署认证网关,学校会提供基础网络带宽,满足学生基本上网需求,若学生要提速,可以通过运营商提供宽带进行,基于现有校园网网络架构,学生输入校园网帐号+对应运营商后缀,通过运营商自己提供互联网出口访问外网。
配置计费认证网关,计费认证系统与BRAS联动完成认证。计费认证在和BRAS对接的同时,对接运营商AAA,将学生学号转换为通过计费认证系统自助服务系
统绑定的宽带账号到运营商AAA认证,认证成功后将运营商下发的带宽策略等转换为校内BRAS可以识别的策略,此时BRAS放行用户上网,并选择对应运营商出口。
计费认证系统与校园数据中心对接,实现用户数据的自动同步,提供信息自动化水平。办公区域的用户经过认证计费系统一次认证后,即可以访问Internet和cernet。
宿舍区域的运营商用户认证上网流程如下(以移动为例):
学生输入校园账号,并选择移动出口;校园BRAS设备Radius请求发送给认证计费系统,认证报文中账号为“校园账号+运营商后缀”;认证计费系统校验校园账号密码正确后,再根据移动后缀转换成改校园账号绑定的移动账号密码,通过RadiusProxy向移动AAA平台发送认证请求;移动AAA平台校验移动账号密码合法后,回应成功,并下发认证策略模板给计费认证系统,并开始计费;计费认证系统将认证策略模板转换成校园核心交换机可以识别的策略后转发给核心交换机,里面包含用户带宽,出口信息等。此时核心交换机放行用户上网流量,并选择对应出口。计费认证记录用户的上线时间、上线时长、上网流量、认证信息、访问记录等,同时日志系统对接,实名留存用户的上网行为。
3、SDN网络设计
部署SDN安全平台,通过安全设备串联改为旁挂,通过SDN管理平台进行业务路径编排,可以基于业务进行定义不同业务走不同路径,灵活业务编排,高灵活度;
在安全管理中心部署一套SDN系统。在网络出口部署一套SDN系统。
4、VPN网络设计
在自带设备办公场景下,接入用户的身份认证是至关重要的。SSLVPN技术
可以提供多种认证方式包括Radius、LDAP/AD,第三方CA、自建CA、硬件特征码、动态令牌、短信等多种安全认证方式。同时上述几种认证方式可以进行组合认证,在组合认证方式下,只有组合中所有认证都通过才认为认证通过。
针对学校相关用户的VPN接入需求,本次项目拟在出口部署专用VPN网关设备;本次配置VPN授权2000路,不限VPN接入模式(web接入、隧道接入等),以达到如下功能:
(1)远程应用平台移动办公
采用SSLVPN对应用进行安全发布,避免需要将服务器直接挂在公网上造成的风险。出差老师、留学生、管理员等用户在外需要进行内网接入时,可直接通过浏览器打开网页完成SSLVPN登录及安全隧道的建立,如同登录网银、邮箱一般符合日常的网络使用习惯,容易上手。而SSL协议是目前公认安全等级较高的网络安全协议之一,现今网上银行基本都采用SSL协议进行数据传输保护,对于数据传输采用标准的国密算法等加密算法对传输数据进行加密,安全性有保障。
(2)应用系统安全加固
在系统安全加固方面,采用登录SSLVPN身份验证、权限划分、登录应用身份验证的主线进行保障。SSLVPN接入认证方式可采用用户名密码、USBKEY、短信认证、动态令牌、CA认证、LDAP认证、RADIUS认证等两种或多种认证的组合,多重组合软硬结合确保接入身份的确定性。在用户接入SSLVPN后进行应用访问权限的划分对于享有访问权限的应用系统采用主从账号绑定SSLVPN登录账号和应用系统账号。用户只可采用指定的账号访问应用系统。
由于登录SSLVPN的身份已通过多重认证的确认,而后又进行指定应用账号访问,即可保障登录应用系统的人员的身份。
(3)专网内隧道逻辑隔离,构建统一应用平台
对于已经建立专线组网的分支,将应用系统以SSLVPN资源的方式进行,进行专网内权限划分的同时实现统一应用平台的构建。根据不同部门、不同应用进行对应权限的开放/关闭,但分支用户登录SSLVPN之后,在其资源列表界面将会显示该用户权限下可访问的应用系统,用户可直接点击其上的链接进行快速访问。同时,可针对这些应用系统进行单点登录设置,点击链接即可自动通过应用本身的认证,可直接进行操作。由于所有访问校园服务器区的数据都将经由SSL
VPN进行转发,对于用户权限外的应用,SSLVPN将自动阻断其连接,防止恶意盗链。
5、IPv6网络设计
本次校园网设计采用IPv4/IPv6双栈的模式。认证计费全面支持IPv6,互联网出口安全设备全面支持IPv6。
本次网络建设选取支持双栈的交换机、路由器、安全设备,按照现有的网络建设模式组建网络。核心层和汇聚层选用双栈交换机,接入层使用具备IPv6环境下的安全防护功能、管理功能、组播功能的交换机组网。
校园无线网络中,无线控制器支持无线客户的IPV6接入。
针对校园网层出不穷的IPv6伪造报文攻击,无线控制器支持IPv6SAVI(SourceAddressValidation,源地址有效性验证)技术。
规划网络建设中的所有设备,从接入端、汇聚层、核心层均全面支持IPv6技术,可以满足在学校中实际部署IPv6业务的需要;并且,整网具备IPv6安全防护机制,确保IPv4/IPv6双栈网络下的安全性。
6、对外网络服务
在出口处设计反向代理服务器,分别连接到教育网和互联网,这样互联网用户就可以直接通过互联网线路访问学校服务器,从而避开了互联网和教育网之间拥挤的链路。外部网络用户通过反向代理访向内部服务器,只能看到反向代理服务器的IP地址和端口号,内
xx大学新校区项目智能化一期建设方案(2331页)(2024年修订版).docx