• 8.14 MB
  • 2022-04-22 13:46:09 发布

宁波某学校弱电智能化系统设计方案_secret.doc

  • 87页
  • 当前文档由用户上传发布,收益归属用户
  1. 1、本文档共5页,可阅读全部内容。
  2. 2、本文档内容版权归属内容提供方,所产生的收益全部归内容提供方所有。如果您对本文有版权争议,可选择认领,认领后既往收益都归您。
  3. 3、本文档由用户上传,本站不保证质量和数量令人满意,可能有诸多瑕疵,付费之前,请仔细先通过免费阅读内容等途径辨别内容交易风险。如存在严重挂羊头卖狗肉之情形,可联系本站下载客服投诉处理。
  4. 文档侵权举报电话:19940600175。
'弱电系统设计方案第一章概述前言本次方案是根据学校所提供的详细的平面布置图及听取各个部门的意见,同时结合以往施工的经验的基础上完成本方案的设计的。同时,此次为学校提供的开放型综合布线系统、网络系统、广播系统、有线电视系统、监控系统项目的详细方案。第二章开放型综合布线系统方案2.1开放式布线系统简介2.1.1开放式布线系统原理开放式布线系统是通过使用符合布线系统标准的物理传输介质,使用相同的低压接插件,连接所有相同的终端和设施,并通过使用不同的跳线和适配器来实现不同供应商提供的设备之间的通信和数据处理。2.1.2开放式布线系统的优势以一套单一的标准布线系统,把程控交换器、电脑、各种周边设备综合集成为一个功能齐全的通讯网络系统,并提供一个开放性结构平台,能使于任何不同工业标准的设备在这个系统中运行,以满足众多的日常需要。如:1.模拟和数字语音系统。2.高速及低速的数字传输。3.传真机和图形终端机以及绘图的资料传送或图像传输。4.办公室电视电话会议与安全系统的监控信号。68 5.建筑物中的各种楼宇自控的信号等等。2.1.3开放式布线系统特点开放式布线系统具有以下特点:先进性:开放式布线系统的模块化设计与传统配线之间有本质的区别,开放式布线系统能够通过有效的管理,方便地组合、转换成不同结构的网络系统,传统的布线系统只能依据网络拓扑结构,更改网络系统必须重新布线,重复投资。可靠性:开放式布线系统使用的材料均需符合国际和国内认可的有关标准,经过严格的检验而出品,因而均有质量保证的许诺,一般使用期为10年。扩展性:根据开放式布线系统的设计思想,该布线系统充分考虑对未来设备的变更和移动,最大限度地满足不断变动的需要。灵活性:根据开放式布线系统的设计思想,可以随时任意地构造网络,以满足不断发展的网络需要。兼容性:根据开放式布线系统的设计规范,该系统可以支持任何符合国际标准的网络厂商设备,为使用者提供最充分的选择余地。2.1.4开放式布线系统的经济效益综上所述,由于开放式布线系统设计思想的科学化和先进性,本身决定了该系统能带给使用者最佳的性能价格比,最大限度地保证投资者的前期投资,最大限度地减少因变动更新和采用新技术所花费的费用,从而将维护费用降低到最低程度。2.2开放式布线系统设计思路布线系统设计在考虑整个校园内现在主干管线及将来的具体建筑物的实际需要的业务性质及所提供的达标服务水平的前提下,使系统满足校园现代使用及发展的要求,做到当前技术先进并为学校留有相应的余量。整体校园开方式布线系统建成后将变成国内功能强、兼容性广,提供最佳性比的开放式综合布线系统。本次设计所有的信息点采用超五类模块式插座,所有插座都要配备防尘盖或防尘措施。安装在地面的超五类模块式插座均经过防水处理,满足防水的功能。所有的双绞线均采用超五类UTP双绞线,保证系统的高可靠性和高的性能。楼宇的主配线架设在校园每幢楼宇的专用通讯机房内,产品及元件的选择施工要最68 大限度地方便以后的维护,为此机柜配线的方式,同时配置模块式配线架,可以实现今后的相互替换,保证系统的灵活性。楼宇内部的水平系统均考虑开放式的综合桥架敷设,强弱电要做到安全的隔离措施。其中校园主干的开放式管线系统采用新旧交替结合原则,最大限度的发挥校园内老主干管线的。对有新增布线需求的地方要敷设新主干管线,整体校园主干管线在新旧对接后,其整体使用和维护效果也可以完美的体现出开放式布线系统的科学性和先进性。在设计本次工程方案的同时,考虑到校园内财务等敏感部门基于安全的考虑下,将特殊部门的局域网布线系统设计成为内网和外网的两套独立的布线系统。内外网完全物理隔离,内网的配线架安装在单独的机柜内不与其它配线架混淆安装。外网的配线架与语音的配线架安装在共有的机柜内。如果要实现内外网功能的互换,只需在配线间简单地进行跳线。2.3设计依据与技术规范2.3.1国际安装与设计规范ANSI/EIA/TIA-568A商用建筑通讯布线标准ANSI/EIA/TIA-569商用建筑通讯布线线槽及空间标准ANSIEIA/TIA-606商用建筑通讯布线管理标准ANSIEIA/TIA-607商用建筑通讯布线接地标准ISO/IEC11801用户楼宇通用布线标准CCITTISDN综合业务数字网标准TIA/EIATSB-67商用建筑通讯布线测试标准TIA/EIA-568B商用建筑通讯布线标准2.3.2国内安装与设计规范建筑与建筑群综合布线系统工程设计规范CECS-72-97城市住宅区和办公楼电话通信设施设计标准YD/T2008-93总配线架技术要求和试验方法YD/T694-9368 电信网光纤数字传输系统工程施工及验收暂行技术规定YDJ44-892.4本系统设计指导思想:由于本系统用于***学校的弱电综合布线环境。因此,其布线系统的主要功能要满足:为用户提供快捷、开放、易于管理的语音与数据信息基础平台。为用户提供统一的内、外局域网和广域网(WAN)接口。为用户及时传递可靠、准确的信息。为用户提供安全的、绿色的上网环境。为用户提供语音电话。为用户提供双向闭路有线电视以及校园智能录播等。2.5综合布线系统2.5.1设计目标的确定开放式的结构化布线系统是当今最先进最流行的建筑物布线系统,已成为国际上办公大楼的弱电布线标准。它能够满足任何特定建筑物及建筑网络的布线要求,完全开放化,既支持集中式网络系统,又支持分布式网络;支持不同厂家、不同类型的网络产品;符合目前要求和未来发展需要。基于***学校的特点,其布线系统选用在此领域世界先进的超五类线结构化开放性综合布线系统作为其语音、数据系统的布线平台。实施后的布线系统可以满足:保护投资结构化布线系统支持各种系统和设备的集成,如可将语音、数据、图像等设备设计在一起工作,从而在硬件,软件、培训方面具有投资保护性。节省费用68 结构化布线系统有助于将分散的线缆系统合并到一组统一的标准的网络中去。强化的控制管理结构化布线系统的设计使用户自己容易地,标准地排除网络的故障。保证了在管理和支配整个系统中的最高效率。完整的产品结构化布线系统包括非屏蔽/屏蔽双绞线及光纤传输媒介,交叉连接,适配器连接器插座和插头,传输电器保护设备及工具等。模块化基于物理星型拓扑结构的布线系统提供一种模块化系统管理方法,于是需求即体现在每组结构化的科学管理点上。灵活性用多种高性能的线缆来满足你的联网需求。在速度、距离、信息能力方面都是高性能的。并能与众多厂家产品兼容,于是来自各个厂家的设备都能插到这组通用的楼宇综合布线系统中去。发展性结构化布线系统为了适应未来的发展,采用了积木块式结构。这种结构能将当前的和未来的语音及数据设备,互联设备,网络管理设备方便地扩展进去。2.5.2十年的使用期保证体系由于超五类线具有非常强的生命力,它有一组综合的保证系统的支持。一次性布线,保证在十年内,其系统性能不会下降,功能不会落后,不会因为网络配置的变化而如旧式布线方法那样重复大量土木工程,破坏建筑物原有结构,增加不必要的投资,而能够真正达到一次性投资,长年受益。总之,结构化布线系统为你提供:●最低的全寿命使用成本。●超凡的非屏蔽双绞线技术●高速及宽带的传输能力●灵活的,基于开放结构的子系统●具有发展性,以适应未来的需求●众多厂家产品的兼容性68 2.6楼宇内的综合结构化布线系统设计说明2.6.1布线系统的组成及产品选择原则2.6.1.1工作区子系统工作区子系统由终端设备连接到信息插座的连线和信息插座组成,通过插座既以引出电话也可以连接数据终端或其它传感器及弱电设备。本项目工作区数据插座和语音插座全部采用超五类产品,提供150MHZ的带宽。超五类RJ-45数据模块双口面板2.6.1.2.水平子系统水平子系统的作用是将干线子系统的线路延伸到工作区子系统。数据水平线采用超五类非屏蔽双绞线,其信道带宽可达到达150MHZ,并提供大大优于五类系统的性能余量。语音水平线采用超五类非屏蔽双绞线,在将来使用过程中,如用户需将语音出口改用于数据出口,只需在水平配线间里做一次简单的跳线即可完成。另外,超五类四对非屏蔽双绞线(UTP)还可以传输各种72V以下直流电压和相应频率以内的弱电信号,包括电话、计算机、楼宇自控设备的控制广播信号、视频监视信号和各种弱电传感信号等等。2.6.1.3.垂直干线子系统本设计中,数据主干采用6类双绞线。语音主干使用五类大对数双绞线再转接到新的楼宇语音机架上。设计中考虑了适量冗余,目的是为了为将来68 系统向更高级的系统升级作了适当的预留。2.6.1.4.管理区子系统考虑到日后语音和数据信息点转换方便,管理区内的语音配线架和数据配线架全部采用24口超五类模块化配线架,能够支持150MHZ的信道带宽。100对配线架超五类模块式24口配线架2.6.1.5.设备间子系统设备间子系统是由各种设备(如计算机主机,网络设备,PBX)及设备连线组成,主要功能是将计算机主机,PBX,分机直拨中继线等公用弱电设备连接到主配线架上。本项目主设备间及计算机网络中心放置在二层,语音主配线架、数据主配线架、主光纤配线架均放在这二层内。2.6.1.6.与其它系统的配合在综合布线系统、电话系统、计算机系统等几大系统中,综合布线系统是基础。它向其它系统提供传输媒介,并通过综合布线系统的管理子系统,对其它系统的构成、连接进行任意的调整和分配。68 2.7开放式管线设计方案2.7.1校园主干管线设计图(详见图纸)2.7.2水平子系统的管线设计2.7.2.1.墙面型信息出口采用走吊顶的轻型装配式槽形电缆桥架的方案,这种方式适用于大型建筑物,为水平系统提供机械保护和支持。装配式槽型电缆桥架是一种闭合式的金属托架,安装在吊顶内,从弱电竖井引向设有信息点的各房间,再由预埋在墙内不同的金属管,引至墙内的暗装铁盒内。结构化布线是辐射型的,线缆量较多,所以线槽容量的计算十分重要。为确保线路的安全,应使槽体有良好的接地端,金属软管、电缆桥架及各种配线箱均需要整体连接后良好接地。接地的方式视建筑物结构,以采用网状或星状接地形式。2.7.2.2.地面型信息出口在本系统的部分信息出口采用地面线槽走线方式,这种方式适用于大开间的计算机房及电算教室,有大量信息出口的情况。(埋地式线槽已经安装)线槽从弱电井引出,沿走廊引至各向,到达设有信息点各室时,再由支线槽引入房内的各信息点出口。强电线路可同弱电线路平行铺设,但需分隔于不同的线槽中,两线槽间距应大于等于30mm。这样可向每一个用户提供一个包括数据、话音、UPS及照明电源出口的集成面板,真正做到一个舒适、便利的办公环境。特别强调的是:在铺设埋地式线槽的同时,应作好防水处理,安装具有防水性能的86底盒。安装模块式信息插座时,我们会采用经防水处理后的安装面板进行安装。地面出口68 地面预埋线槽2.8机房设备电源管线设计2.8.1设备电源管线方式2.8.1.1.动力配线要求电力铺设线同弱电布线在横向部份可平行走线,但需分隔于不同的金属管槽中,进行良好屏蔽和接地。电力铺设的AC插座应同信息插座的使用环境适配,以满足网络设备的供电需求。2.8.1.2.配线间电力配置配线间的AC电源需求与其内部安装的设备数量有关。配线间内至少应有两个供本系统专用的,符合一般办公室照明要求的220V/10A的电源插座。根据接线间内入置设备的供电需求,还需配置另外的带四个AC双排插座的20A专用线路,此设备不应和其它大型设备并联,并且最好连接至UPS电源上,以确保对设备的供电及电源环境要求。值得一提的是对于照明和UPS电源线应采用薄金属管进行屏蔽。由于可能会产生偶然断路事故,因此要有邻近的轻便开关来控制这些插座。2.8.1.3.中心机房配电要求:中心机房的强电负荷容量为10KV,机房内部负荷容量包括所有的网络及广播设备以及机房空调。若校园发生市电中断情况下,需发电机可直接发电到中心机房保证核心设备的正常使用。68 2.8.2设备间弱电接地方式应在设备间墙壁的相应位置设置接地铜排,经接地铜线与弱电设备做焊接或紧固的硬性连接。2.9施工和工程质量管理2.9.1施工组织准备组织全体施工人员熟悉了解工程的施工图、施工工期及各自承担的任务、各系统的技术要求、标准规范、施工方法、编制施工作业计划、下达施工任务书。2.9.2开工条件准备开工前作好主要器材的配套工作,并进行100%的通电检测,作好主要辅料的准备工作,做到实际施工用料与图纸设计相符。根据施工方案做好桥架及管线的敷设工作。2.9.3施工力量准备按施工期进度计划,合理调整好各类人员,并在进场前进行施工人员在技术、质量、安全材料等方面的培训教育,同时组织好施工班子,各负其职,以提高素质,为创优质工程准备。2.9.4施工方法2.9.4.1施工原则桥架暗管敷设及穿线工作,按楼层顺序进行器材安装,按各个系统各自进行,避免施工中忙乱丢失或损坏器材。预先做好各种主机设备,连接电缆插头压制、焊接工作按施工图做好线缆校对、编号包扎工作,保证按质按量完成施工任务施工操作人员,严格按照工艺要求,严守纪录,严格贯彻工艺规范,搞好文明施工68 2.9.4.2施工顺序根据大楼工程总进度实际情况,编排好施工顺序,在施工中发现技术质量问题,公司及时在现场开分析会,帮助解决疑难,使问题不过夜。对建设单位提出的建议要求,在施工中采用和改进。2.9.4.3布线要点管道(或桥架)内穿放电缆时,直线管路的管径利用率一般为50%-60%;弯管路的管径利用率一般为40%-50%。金属电线管、金属软管、金属桥架及配线架均需整体连接后接地。弯管路的中心夹角不应小于90度;电缆穿放中,避免过紧地缠绕电缆,不要损坏线缆的外皮,不要切断缆内导线;在牵引和捆绑电缆时应消除线缆中的应力(垂直布放的干缆,必须每隔1.5米将电缆固定在梯级电缆桥架上)。根据配线间内需要放置网络设备的供电要求,在配备IDF的配线间内必须配置2个以上220V电源插座,在条件允许时,可配备UPS不间断电源。施工人员必须遵照电缆色码接续,穿线时每根电缆都必须在两头做出相同的标记,并与施工图吻合。电源线与PDS管线尽量减少交叉,两管交叉时应相距5CM以上,两管并行时应相距15CM以上。配线架的安装位置和所占墙面空间需按设计图纸要求而定。建议在配线架的安装墙面上先固定一块2CM厚涂有防火漆的木板,以便利安装。光纤布线的传输质量和光纤ST连接头的制作质量有直接的关系。因此,在光纤布放需弯曲时不能超过最小弯曲半径:安装时为光纤直径的20倍;安装后为光纤直径的10倍。敷设光纤牵引力不能超过最大敷设张力。2.9.4.4配线间工作环境要求按照标准的设计要求,设备间尤其是要集中放设备的设备间,建议尽量满足下面的要求:1.将服务电梯安排在设备间附近,以便装运笨重的设备;2.室温应保持在18摄氏度至27摄氏度之间,相对湿度保持在30%~68 55%;3.保持室内无尘或少尘,通风良好,亮度至少达30英尺*烛光;4.安装合适的消防系统(如采用湿型消防系统,不要把喷头直接对准电气设备);5.使用防火门,至少能耐火1小时的防火墙和阻燃漆;6.提供合适的门锁,至少要有一扇窗留作安全出口;7.尽量远离存放危险物品的场所和电磁干扰源(如发射机和电动机);8.设备间的地板负重能力应为500kg/平方米。9.根据结构化布线系统的要求,在配线间安装布线硬件的墙壁上须覆盖涂有阻燃漆的3/4英寸(合1.9cm)厚的木板。10.系统中典型的配线间,其可以走进人的最小安全尺寸是120X150cm,标准的天花板高度为240cm,门的大小至少为高2.1M,宽1M,向外开。主、分配线间,最好有供放置设备设备柜,其大小可按设备的尺寸而定。在设备间尽量将备柜放在靠近竖井的位置,在柜子上方应装有通风口用于设备通风。11.在配线间内应至少留有二个为本系统专用的,符合一般办公室照明要求220V电压,10A单相三极电源插座。第三章校园网络设计方案3.1校园网需求分析3.1.1网络基本需求***学校网络建设的总体目标是利用各种先进成熟的网络技术和通信技术,采用统一的网络协议(TCP/IP),建设一个可实现各种综合网络应用的高速计算机网络系统,需要很好的保证学校各个校区方面的互通,同时要求未来能轻松与教育城育网互连互通,通过园区网骨干节点与CERNET、Internet相连。68 现今校园网络建设承担着学校行政管理、教育科研、电子教学、远程教育、信息交流和互联网的接入,以及对外技术交流与合作服务等大量的业务。因此构建一个高效、实用、稳定可靠、安全的网络平台,是高校网络建设考虑的重点。***学校网络既有一般网络设计的特点,又有着其特殊性,除了一般网络所必需的,如:E—mail、FTP、文件共享服务器、网络论坛、网上聊天、管理数据的传输、处理与查询外,还应考虑到以后包括校内教学视频点播、实时远程教学、在线作业等功能。以及可靠性、稳定性和安全性等条件外,在进行校园网建设规划时,还应该考虑所有信息点的可控性、高性能以及关键业务的QoS保证等。另外在网络设计中,如何预留扩展空间和进行投资保护,在满足现有应用的需求的同时,适当考虑信息量增长和变化需要是此次网络改造规划的核心主旨。3.1.2对网络平台的需求3.1.2.1网络应用特点用户数较少,发展速度稳定:***学校本期建设大约800多个信息点,网络应用相对简单,并发流量不大:教师和学生上电脑科主要使用网络进行FTP文件传输、在线音乐、在线影视、网络多媒体教学等流量不大单需要链路质量稳定的的网络应用。安全隐患大:学生是一个易接受新事物、喜欢尝试探索、成就好攻击的“危险群体”。不易管理:学生用户中经常发生IP地址盗用、IP地址冲突、帐号盗用、攻击校园服务器等令网络管理及维护人员非常头疼的问题。外界因素:由于现在网络骇客攻击频繁,入侵者和“肉鸡”病毒的不断增加,使得内网安全的防护重之又重。3.1.3可靠稳定性的需求可靠稳定的网络平台,是应用业务系统得以实施和推广的基石。网络平台的设计必须从设备、网络拓扑结构、网络技术等几个方面保证网络的可靠稳定性。在核心层之间设备互为备份或自身备份,包括链路、路由、核心引擎等备份;如配置单核心设备应考虑管理引擎模块冗余和电源模块冗余,来保障网络的可靠性和稳定性。68 3.1.4用户接入控制需求校园网的信息点分布很广,与一般企业网比较,校园网用户的变动性大,比较难管理,为了保证网络资料的有效利用,对信息点的可控性要求是必须的。做到有效的对用户进行接入控制,保证只有申请开通的合法用户才可以使用网络,为了不影响网路性能,应该在接入层设备分布式实现信息点的控制。3.1.5网络安全应用需求校园网网络平台的安全,除了要保障网络平台的安全性,还需要在一定程度上保障应用业务系统和其它网络资源的安全。网络平台应该从几个方面保证网络安全:1)设备本身的访问安全;2)内部网之间资源访问安全;3)路由系统的安全;4)互联网访问安全;5)非法站点访问过滤;恶意攻击的实时处理;非法言论的准确追踪;3.1.6关键业务服务质量保证的需求面向应用(QoS)——核心层负担着校园网系统所有类型的通信。而由于教育系统的特殊性,其通信的类型几乎涵盖了Internet所有的应用通信类型,包括Email、FTP、网页浏览、数据库查询、协同计算机辅助教育(CAI)、基于计算机的教育(CBT)、协同研究、远程教育、视频广播、视频点播等等应用类型。当网络流量处于高峰期时,必定会影响影响关键业务数据流的响应时间,对于多媒体业务来说就会有说话结巴、图像马赛克的情况。因此高性能的网络,也还是需要QOS服务质量保证的。3.2校园网设计思路校园网网络系统建设遵循统一规划、分步实施的指导思想,工程的设计必须在考虑到满足当前需求的同时,充分考虑到将来整个网络系统的投资保护和长期需要。设计及实施应充分遵循以下原则:3.2.1网络技术实用性为主,兼顾先进性的原则***学校校园网建设采用的交换和传输技术,具有一定的前瞻性,符合一定时期内网络通信技术发展的趋势,并在今后一定的时期内处于领先地位。网络系统设计必须遵循先进性和成熟性。由于IT行业的技术更新换代很快,为了保证网络能够满足今后一段时间内应用的发展,在选择网络技术和设备时不仅要考虑68 先进性,也要考虑技术的成熟性,同时更要考虑接入业务的特点等多方面的因素。一种新技术在刚出现时往往有很大不稳定和不确定因素,需要有一个发展、逐步完善和实践检验的过程,经常有一些技术在刚出现时被宣传和评价很高,但在一段时间后发现存在很多问题,甚至很快退出市场。用户采用了这种技术,往往会因为设备厂商转产停产等问题,无法对网络扩展升级,最终造成前期投资的浪费。一种新的技术产品在刚出现时一般价格都非常高,所以选择使用一种新的技术的最佳时机应该是在这种技术在市场上已经得到较为广泛的应用,并且在使用中得到肯定之后。虽然这时的技术可能已经不是最新的技术,但技术已经成熟,设备的性能价格比更高。所以选择网络技术和设备时不要去追求最新最好,应该遵循先进性和实用性相结合,并找出其中的平衡点。3.2.2采用标准化、开放的网络技术整个网络系统在结构上实现真正开放,全部采用或符合有关国际标准,使网络具有良好的开放性和兼容性。开放的系统可以使用户自由地选择不同厂家的计算机、网络设备及操作系统,构成真正的跨软硬件平台的系统。网络的设计基于国际标准,网络设备采用标准的接口和规范的协议,满足用户的不同需求并充分利用软硬件资源,保证系统运行的安全可靠,并具有较长的使用生命周期,以适应其业务不断发展的需要,有效地保护用户投资的长期效益。3.2.3网络高可靠性原则由于***国际学校是作为一所先进性的学校,基于网络的各种教学应用必将越来越广泛,对网络的稳定可靠运行要求也会越来越高,对数据传输的实时性的要求,对网络的传输环节要求也很高。因此,一方面选用的网络设备具有相当高的可靠性,要达到电信级标准,具备99.999%的可靠性;另一方面,在网络设计中要采用切实有效的系统备份、系统安全、数据安全和网络安全措施,以保障网络的高可靠性和安全性。建设一个运行稳定可靠的现代化网络系统,网络中任何一台设备或任何一条线路发生故障都不会导致大面积网络失效,并且能够保证在不影响网络正常运行的情况下完成对网络故障的检测和排除。端到端QoS保证,合理规划QoS配置,提供端到端的QoS保证,使网络中的各种业务有可管理的带宽和时延保证,在出现故障的情况下,能够重点保证关68 键业务的正常运转。3.2.4网络可扩充性因为目前的网络方案是基于满足当前需求的,随着用户应用规模的不断扩大,网络应可以方便地进行扩充容量以支持更多的用户和应用;随着网络技术的不断发展,网络必须能够平稳地过渡到新的技术和设备。为了保护用户的投资,本方案中的网络设备在将来网络升级或再投资的情况下,能够随时通过增加网络设备或模块来对现有设备进行升级和扩充,并能把替换下来的设备应用到分支或边缘网络上。本方案充分考虑到未来网络升级的平稳衔接,保证网络通讯介质、网络设计核心的向后兼容性。要求核心设备支持万兆及IPv6技术,保护客户未来平滑升级。3.2.5安全性和保密性在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等,充分考虑安全性,针对贵校的各种应用,有多种的保护机制,如划分VLAN、MAC地址绑定、802.1x、802.1d、802.1w等,可通过安全认证实现多元素的安全绑定。另外,未来保护系统内部的网络安全性,整网设备支持ACL功能,将病毒包及非法包都尽量限制在二层设备上,避免向上层网络扩散,保护网络整体的安全性设计。3.2.6网络实现的高性价格比原则建设一个高效的网络,充分优化网络结构,尽量减少网络数据流通环节,减少网络中非业务的网络消耗,充分利用网络中的每一台设备和线路,包括备份设备和链路,在确保各级业务部门实时网上业务正常运行的条件下,尽量节省网络的建设和运行成本。新建的数据通信网络,要在满足网络各项性能指标的前提下,尽可能节约网络建设的投资,保护原有设备的投资,使整个网络的具有较高的性能价格比。在满足基本需求的条件下,如网络的可靠性、安全性、性能和一定的可扩展性等,尽可能降低网络改造的费用。网络技术和设备的选择以满足需要为原则,不追求超过需求的“档次”。68 3.2.7网络的可管理性良好的组织和管理对网络的正常运转和高效使用有很大帮助,网络应该能够提供方便、灵活、有力的工具对网络进行集中式的有效管理和控制。方便的监控、良好的管理界面、完备的系统记录都能使管理员在不改变系统运行的情况下对网络系统进行检测、修改及故障恢复等管理维护工作。网络系统中的所有设备均应是可管理的,支持远程监控和故障的过程诊断和恢复,并可通过网管软件方便地监控网络运行的实时情况,对出现的问题及时处理和解决。3.3校园网设计方案3.3.1校园网交换网络方案说明本网络规划基于星型结构,核心交换机采用DCRS-5950,汇聚交换机采用DCS-3950系列。基本网络用户都与接入层交换机连接,在所有桌面用户的端口上均预设专属VLAN信息。在每个交换机上接入端口应用ACL访问安全控制列表,用于控制接入用户和降低整个校园网络内在危险系数。接入交换机除了基本的802.1Q设置之外,还需要设置全面的安全保护特性,其中包括:基于STP协议的安全保护,例如rootguard,portfast等,防止用户非法成为网络的STPROOT;基于MACCAM的安全保护,实现portfast功能;基于ARP攻击的保护,实现PVLAN的功能;基于DHCP与802.1x的保护,利用交换机关于DHCP82option的保护特性,将DHCP地址池与特定交换机对应,动态分配IP地址,网关以及DNS等信息;基于ACL的安全防护和过滤;关于服务器的接入问题,我们建议根据服务器工作性质选择接接入核心交换机组成若干服务器专用VLAN或者直接接入防火墙DMZ区域,每一个VLAN内部根据业务特性实现PVLAN功能。例如外部服务区以及一级内部服务区、二级内部服务区等,分别放置不同功能的服务器,区域之间通过ACL进行策略控制,区域内部通过PVLAN技术进行有效防护,确保一台服务器的失陷不会影响其他的服务器的防护。68 3.3.2校园网设计方案说明网络主干选择千兆以太网。选择合适的光纤接口模块,还可以将个别远距离的接入点联入骨干网。表:千兆以太网传输距离协议标准传输介质最大传输距离1000BaseLX9m单模光纤10000米50m、62.5m多模光纤550米1000BaseSX50m多模光纤(模式带宽500MHz-km)550米50m多模光纤(模式带宽400MHz-km)500米62.5m多模光纤(模式带宽200MHz-km)275米62.5m多模光纤(模式带宽160MHz-km)220米1000BaseT4对5类非屏蔽双绞线100米1000BaseCX同轴电缆25米核心交换机与汇聚层交换机之间的连接核心交换机与分布在各个楼的汇聚交换机通过千兆以太网连接,条件许可的时候也可以采用主干聚集技术连接或者生成树协议(SpanningTree)的冗余链路连接。也可以选择开放最短路径的动态路由协议(OSPF)根于不同的优先级别来实现冗余链路的连接68 3.3.3校园网络信息点统计表楼宇楼所需信息点楼总信息点楼所需电话点楼总电话点1号楼一楼37+50355(含机房200点)一楼2380二楼41+50二楼20三楼41+50三楼21四36+50163号楼一楼7166(含三楼网络世界90点)一楼138二楼19二楼3三楼27+90三楼19四楼23四楼154号楼一楼58196一楼6162二楼28二楼32三楼28三楼32四楼28四楼32五楼28五楼32六楼13六楼15七楼13七楼13总计7172803.3.4校园网络拓扑图3.3.5校园网系统图3.4学校网络安全设计方案3.4.1项目分析目前,校园网络出口进行了非常严格的安全控制,但是针对现在如邮件、OA、视频会议等各种日益繁多及重要、复杂的网络应用,如何来保证保障重点业务应用的安全,提高重点业务应用的速度和效率,网络的安全问题就愈加显得68 更加重要。而且随着学校不同业务的发展及信息化建设步伐的加快,校园网的网络安全问题也日益徒显。无孔不入的病毒(尤其是木马病毒)仍然会大肆泛滥,甚至严重影响学校应用系统的运行和校园网络关键业务的正常运作。另外由于缺少专门的客户端安全检查设备,无法有效的保护整个局域网的安全性,上班时间员工浏览一些与工作无关的网站,有些员工甚至登陆一些受限制网站,同时使用P2P软件进行下载,耗费了大量时间和网络资源,除了有可能给内网带来不安全因素外,还导致工作效率不高,而且现在业务系统对网络带宽和上网速度及上网的安全性提出了更高的要求。信息化的飞快发展代来方便的同时也带来了威胁,现在的信息技术可以使员工非常方便的在网络上交换数据和信息,在工作便利的同时也不得不面对机密信息泄露的威胁。3.4.2现行网络环境目前学校的互联网上网环境简述如下:上网方式:连接到电信专线上网;网络设备:专线下直连一个深信服网络防火墙,下接神码三层核心可网管网络交换机;网络结构:总线拓扑,不同部分划分多个网段规划;内网规模:约5台服务器,近800台左右PC。3.4.3期望解决效果本方案的基本目标:为***学校的互联网上网建设一个先进的、高可用、安全的互联网安全控制系统,保证内网核心如OA办公系统、电子邮件等关键业务系统,及对员工的上网行为进行有效监控和日志有效记录,做到网络出口问题有据可查,并且对网络内当前使用的各种应用与应用占用的有限带宽进行查看,最后利用互联网安全控制设备,保障校园网内的员工健康上网、数据安全,及上网带宽快速、网络稳定的有序管理设计目的。最终在新的架构上我们需要考虑产品的可靠性,可管理性,设备的安全性等,来保证下面的网络架构和功能要求来达到安全可控目的。68 通过采用SINFORM5X00-AC上网行为管理解决方案,可以保障组织管理者实现完善的网络访问行为管控和行为审计,并达到如下效果,可以帮助学校:1.规范员工上网行为(如禁止上班时间QQ聊天、炒股、网络游戏等),提升工作效率上班时间从事私人活动,是办公室皆知的秘密。管理者却难以阻止员工在上班时间浏览无关网站、QQ聊天、在线炒股等工作无关的网络行为,员工工作效率的下降将直接影响组织的竞争力。而通过SINFORAC可以把与工作无关的上网行为降低到最低,去除员工的分心,让他们专注于工作中。2.流量控制、带宽管理,提升带宽利用率  对严重吞噬带宽的P2P行为,SINFORAC不仅能彻底封堵,还能对其占用的带宽进行流量管控。基于用户(组)、时间段、应用类型的带宽管理和带宽通道划分,结合智能QoS,既保证了业务应用对带宽的需求,又避免了对带宽的滥用,提升带宽使用效率。3.修补安全漏洞、提升内网安全级别  色情、反动网站的浏览和未知文件的下载安装,导致病毒、木马等被员工主动“邀请”进入内网,SINFORAC将过滤该行为,并提供网关杀毒功能从源头消除威胁;源自内网的DOS攻击、ARP欺骗等也将被SINFORAC彻底防御;而组织内网使用低版本操作系统、不及时打补丁、不安装指定的杀毒/防火墙软件、安装使用违规软件的终端用户,SINFORAC亦能侦测发现,从而修复内网安全短板。4.防范信息机密外泄、保护组织信息资产安全  员工使用Email邮件可能将组织的信息机密发送到公网、甚至竞争对手,SINFORAC特有的“邮件延迟审计”专利技术,将彻底防范该泄密行为;员工的网络发帖、webmail行为,SINFORAC同样可以过滤和记录;而SINFORAC对QQ、MSN等聊天内容的记录和审计,将警示通过IM聊天工具泄密的行为。5.规范员工网络行为、避免法律风险  员工利用组织的Internet连接,访问反动、邪教等不良网站,发表非法言论,收集和发布色情图片等非法网络活动,将导致组织违反法律法规、承受法律诉讼等。SINFORAC上网行为管理设备可以管控和过滤员工的此类行为,并详细记录和审计员工的各种网络行为日志,做到有据可查,使组织避免法律风险。68   SINFORAC提供的数据中心,海量存储内网用户的各种网络行为日志,图形化的查询、审计、统计、自动报表、内容检索等功能,方便组织管理者了解和掌控您的网络。3.4.4解决效果3.4..4.1网络建设分析如何为***学校的互联网安全访问工作解决上述问题,并更加有效的推进?从整个网络来看,影响学校信息化安全建设,以及将局域网可靠地向外扩展的因素主要体现在两个方面:一是网络本身是否具备充分抵御内外网安全威胁的能力;二是网络对外延伸扩展部分是否保证远程办公的安全、稳定、快速接入,下面分别加以说明。3.4..4.2SinforAC上网行为管理安全设备可以实现的功能如何有效地解决这些问题,以便提高员工的工作效率,降低学校的安全风险,减少学校的损失,成为学校迫在眉睫的紧要任务。深信服科技推出的SINFORAC从以下几个方面来解决上述问题。1)、丰富的认证功能SINFORAC提供了丰富的认证功能,对拥有众多内网用户的学校而言,对内网用户实行严格的安全认证管理以避免安全隐患是及其重要的。SINFORAC基于Web的用户认证功能,使得管理员对上网用户的管理变得十分灵活方便。用户启用了Web认证功能以后,除了对客户端的本地身份(如:用户名密码认证,LDAP,RADIUS等认证)进行常规性认证以外,还将启用Web认证。当客户端在浏览器中输入任意网址时,SINFORAC会要求用户输入用户名和密码进行认证。只有当用户输入了正确的帐号,该用户才能够访问Internet。SINFORAC灵活的MAC地址绑定,使得管理员除了对用户进行帐号认证以外,还可以对用户的帐号启用MAC地址绑定。这样将用户帐号、IP以及网卡的MAC地址三者有效结合,更加完善地对内网用户进行管理。2)、深度的内容检测、强大的P2P拦截功能在上班时间做与工作无关的调查统计中,有60%的被调查员工承认其主要是在玩游戏、和使用QQ、MSN等P2P即时通讯软件。这些不仅影响了学校员工的正常工作,还造成了学校人力资源的严重浪费,间接造成了学校的巨大损失。SINFORAC采用了在线网关监控技术实现对包括QQ,MSN,SKYPE,BT等任何P2P软件的流68 量阻隔,及时封堵了IM实时通讯软件。目前的P2P软件,如QQ、MSN等IM即时通讯软件以及BT、电驴等下载软件,在用TCP或者UDP数据包的传送过程中,其报文段都会有一段特征码,该特征码是用来标识其数据包类型。SINFORAC的深度内容检测技术,可以检测出数据包的报文中相对应的特征码,并根据预置策略进行及时封堵。SINFORAC内置了多种深度内容检测技术所依赖的特征码规则,并且可以自动更新,管理员也可以从网站上更新下载。依靠这种技术,SINFORAC可以封堵目前所有的P2P软件。避免了最终用户在IM或者P2P软件上浪费时间,提高了员工的工作效率和学校的生产效率。3)、严格的访问控制策略SINFORAC提供了基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略。管理员可以对学校的内网用户分组管理,并且对于每个组的策略,可以基于时间、服务、网址策略、内容策略等多种策略进行严格的访问控制管理。4)、危险网站阻隔为了防止员工在上班时间访问与工作无关的网站,避免员工浏览不适当的网站产生相应的违法行为或者遭受间谍软件/网络钓鱼程序攻击导致学校的机密数据被窃取,学校的名誉受损。SINFORAC可以对各种危险网站进行阻隔。由于互联网上各种危险网站层出不穷,用户根本无法手动更新相应的网站,SINFORAC通过在线自动更新的不良网站列表,减少了学校的维护成本,降低了学校信息安全、法律责任等相关风险。5)、代理识别功能SINFORAC能识别采用Http,Https,Socks等代理服务器绕过防火墙检查的行为,从而进行阻断。有效地阻止了某些最终用户企图通过代理服务器访问一些危险网站(许多反动网站、色情网站都是通过此技术来逃避相关部门的管理)的目的,避免了学校遭受相应的法律责任的风险。6)、敏感数据拦截由于采用了深度检测技术,对于HTTP,FTP,SMTP,IMAP等应用协议数据包中含有的敏感数据,SINFORAC能够进行有效的拦截,以防泄密或由于员工泄密引起的重大损失。7)、流量分析SINFORAC能按用户、用户组、协议和时间对Internet流量进行统计分析,以优化员工对Internet的资源使用情况。使得学校有限的带宽能得到最充分的68 利用,提高学校的网络利用率。8)、强大的QOS、丰富的日志报表功能SINFORAC强大的访问控制和QOS功能可以使得学校合理利用Internet资源。为不同的用户分配不同的带宽和上网权限,使得Internet资源得到有效利用,并大大提高员工的工作效率。丰富的报表功能还可以分析出学校的Internet的详细使用情况,为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。3.4.5、互联网安全控制设备部署网络拓扑图3.4.6SINFORM5400-AC上网行为管理安全网关主要功能SINFORM5400-AC上网行为管理安全网关是集VPN、防火墙、IPS、病毒网关、访问控制、上网监控、垃圾邮件过滤为一体的All-In-One上网行为管理安全网关。作为深信服科技领先的一体化网络安全解决方案,SINFORM5400-AC上网行为管理安全网关主要功能如下:SINFORM5400-AC有如下功能特性:1)、上网行为控制,规范员工上网行为,提高工作效率多种认证机制,细致的用户分组和权限划分,基于时间段为用户分配合适的权限;  独特的WEB认证、基于浏览器实现方便的用户识别与认证;  网页过滤、关键字过滤、深度内容检测等多种控制功能,管控员工在上班时间访问与工作无关的网站、网络聊天、网络游戏、炒股、看电影、P2P行为、文件上传下载等;管控Email、FTP等行为。  独有的网络访问准入系统(专利技术),只允许符合指定条件的用户才可以连  接Internet,避免内网用户遭受病毒、木马、间谍软件等安全威胁; 2)、强大的监控和审计,保护内部数据安全、防止机密信息泄漏  记录所有访问过的网址、网页标题和网页内容、HTTP/FTP上传下载、通过68 BBS、BLOG发表的内容;各种搜索记录,QQ、MSN等聊天内容等,所有上网记录,均可完整再现;  特有的邮件延迟审计专利技术,保证所有Email邮件先审计、后发送;Webmail网页邮件内容全面记录,包括正文和附件。  防止公司机密信息通过邮件、即时通讯软件、BBS等途径泄漏;  独特的“免审计Key”功能,彻底免除对组织高层领导的网络行为记录;3)、流量控制和带宽管理,优化带宽资源的使用  多线路复用和智能选路专利技术,提升出口带宽,流量负载分担,智能选择最优上网线路。  对P2P等非业务应用和非业务部门进行带宽限制,细化到应用级别和针对每用户的带宽划分;基于用户(组)、应用类别、时间段等进行带宽分配;  智能QoS优先级技术,重要数据优先传送,提升带宽使用效率。  智能QOS,重要数据优先传送;4)、海量日志存储、丰富的报表功能,为组织决策提供最有效的数据支持  网络行为日志支持海量存储,满足公安部82号令存储60天要求,且日志的查询、统计、审计等不影响网关性能;  全面记录所有上网行为日志,图形化的日志查询、审计、统计功能;  自动报表,让管理者自动获知组织的网络状况  提供类似百度的搜索界面,实现海量日志的内容检索和搜索。5)、更多安全功能,全面提升内网安全级别  防范来自公网和源自内网的DOS攻击,提升网络可用性;  防ARP欺骗;网关杀毒,从源头上查杀病毒;  网络准入规则,修复内网安全短板,提升内网安全级别。6)、功能一栏表分类功能详细指标访问控制危险网站阻隔用户可自定义对色情、病毒、钓鱼网站的阻隔访问访问控制策略提供基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略P2P拦截使用深度内容检测技术实现对包括QQ、MSN、SKYPE、BT等任何P2P软件的流量阻隔用户认证提供Web登录认证功能,提供本地用户数据库和LDAP,Radius用户数据集成功能68 文件上传下载控制对Http、Ftp文件上传、下载类型和大小进行控制,也能对QQ,MSN等P2P软件的文件传送进行拦截IPMAC绑定提供灵活的IPMAC绑定策略代理识别功能能识别采用Http,Https,Socks等代理服务器绕过防火墙检查的行为,从而进行阻断敏感数据拦截对Http、Ftp、Smtp、Imap等应用协议做敏感数据拦截,以防泄密或引起法律纠纷访问审计邮件延迟审计对外发邮件进行延迟缓存,审计后才能发出,确保信息资产不外泄实时监控实时监控用户的上网行为。访问监控监控用户所有的上网记录,包括Web访问、Ftp、Telnet、邮件(含Webmail)及附件、QQ、MSN、ICQ、YahooMessage等流行IM的数据。以防止信息泄密。流量分析能按用户、协议和时间对Internet流量进行统计分析,以优化员工对Internet的资源使用情况。管理功能管理员权限权限粒度细致,分级管理本地管理GUI方式远程管理GUI方式配置备份使用加密的配置文件进行配置备份和分发Firmware升级通过远程升级Firmware获得更新的软件版本和更多功能模块高可靠设计自动恢复看门狗提供自动恢复功能,配置恢复功能双机备份支持双机备份功能多线路备份支持2~4条线路的备份日志日志容量可以使用独立的日志服务器,容量无限制。日志备份支持自动定时备份日志导入支持转换日志为标准的TXT文件,便于导入到MSSQL或ORACLE数据库进行二次开发和分析数据中心可用SINFOR独立的数据中心进行详细的分析网络特性支持的Internet接口PSTN/ISDNADSL/xDSLCableModemDDN/ATMWLAN支持的协议IPv4、IPv6网络分区WAN、DMZ、LAN多线路支持支持2-4条Internet线路的负载均衡和备份,提供智能选择最优线路等多种负载均衡策略工作方式路由模式、透明模式、旁路模式3.4.7SINFORM5400-AC上网行为管理安全网关技术优势68 1)、内网安全管理随着互联网的发展,越来越多的办公场所为员工提供了上网条件。据调查统计,2005年全美国共有超过6800万员工在工作时使用互联网。然而,随着互联网的吸引力和互动性与日俱增,员工正花费越来越多的办公时间上网处理私人事务。一项新的调查统计表明,由于员工在工作时间滥用互联网,导致美国学校的损失每年高达1780亿美元。那么中国的情况如何呢?据公布的最新统计显示,中国员工每周上班花在网上处理私人事务的时间高达5.6小时,平均每天超过1小时。有60%的中国员工在工作时间上网浏览个人信件,有83%中层管理人员由于在办公时间内浏览与工作无关的网站,使得学校有更多机会遭受到仿冒诈骗、间谍软件和其它网上攻击的威胁。在中国,约有多于其它地区8%的员工在上班时间上网进入聊天室,约有多于拉美16%的员工上网下载音乐,而在上班时间玩游戏的员工这个比例会比其他地区多12%。值得注意的是,中国员工比其它地区的员工每周多花7.6小时的时间来使用IM、玩游戏、P2P软件或流动媒体。互联网滥用,给中国学校带来了巨大的损失。如何有效地解决这些问题,以便提高员工的工作效率,降低学校的安全风险,减少学校的损失,成为中国学校迫在眉睫的紧要任务。深信服科技推出的AC上网行为管理安全网关从以下几个方面来解决上述问题。(1)丰富的认证功能SINFORAC上网行为管理安全网关提供了丰富的认证功能,对拥有众多内网用户的学校而言,对内网用户实行严格的安全认证管理以避免安全隐患是及其重要的。AC上网行为管理安全网关基于Web的用户认证功能,使得管理员对上网用户的管理变得十分灵活方便。用户启用了Web认证功能以后,除了对客户端的本地身份(如:用户名密码认证、LDAP、RADIUS等认证)进行常规性认证以外,还将启用Web认证。当客户端在浏览器中输入任意网址时,AC上网行为管理安全网关会要求用户输入用户名和密码进行认证。只有当用户输入了正确的帐号,该用户才能够访问Internet。AC上网行为管理安全网关灵活的MAC地址绑定,使得管理员除了对用户进行帐号认证以外,还可以对用户的帐号启用MAC地址绑定。这样将用户帐号、IP以及网卡的MAC地址三者有效结合,更加完善地对内网用户进行管理。只有经过了WEB认证才可以上网68 WEB认证(1)深度的内容检测、强大的P2P拦截功能在上班时间做与工作无关的调查统计中,有60%的被调查员工承认其主要是在玩游戏、和使用QQ、MSN等P2P即时通讯软件。这些不仅影响了学校员工的正常工作,还造成了学校人力资源的严重浪费,间接造成了学校的巨大损失。SINFORAC上网行为管理安全网关采用了在线网关监控技术实现对包括QQ,MSN,SKYPE,BT等任何P2P软件的流量阻隔,及时封堵了IM实时通讯软件。目前的P2P软件,如QQ、MSN等IM即时通讯软件以及BT、电驴等下载软件,在用TCP或者UDP数据包的传送过程中,其报文段都会有一段特征码,该特征码是用来标识其数据包类型。SINFORAC上网行为管理安全网关的深度内容检测技术,可以检测出数据包的报文中相对应的特征码,并根据预置策略进行及时封堵。AC上网行为管理安全网关内置了多种深度内容检测技术所依赖的特征码规则,并且可以自动更新,管理员也可以从网站上手动下载规则。依靠这种技术,UTM安全网关可以封堵目前所有的P2P软件,避免了最终用户在IM或者P2P软件上浪费时间,提高了员工的工作效率和学校的生产力。QQ、MSN、BT等P2P软件拦截P2P软件(2)严格的访问控制策略SINFORAC上网行为管理安全网关提供了基于组、时间、服务、网址策略、内容策略等多种对象组合的安全访问控制策略。管理员可以对学校的内网用户分组管理,并且对于每个组的策略,还可以基于时间、服务、网址、关键字等多种策略进行更为严格的访问控制管理。(3)危险网站阻隔为了防止员工在上班时间访问与工作无关的网站,避免员工浏览不适当的网站产生相应的违法行为,或遭受间谍软件、网络钓鱼程序攻击导致学校的机密数据被窃取,学校的名誉受损等事件,SINFORAC上网行为管理安全网关可以对各种危险网站进行阻隔。由于互联网上各种危险网站层出不穷,用户根本无法手动更新相应的网站,AC上网行为管理安全网关通过在线自动更新不良网站列表,减少了学校的维护成本,降低了学校信息安全、法律68 责任等相关风险。(1)代理识别功能SINFORUTM安全网关能识别采用Http、Https、Socks等代理服务器绕过防火墙检查的行为,从而进行阻断。有效地阻止了某些最终用户企图通过代理服务器访问一些危险网站(许多反动网站、色情网站都是通过此技术来逃避相关部门的管理)的目的,避免了学校遭受相应的法律责任的风险。(2)敏感数据拦截由于采用了深度检测技术,对于HTTP、FTP、SMTP、IMAP等应用协议数据包中含有的敏感数据,SINFORAC上网行为管理安全网关能够进行有效的拦截,以防泄密或由于员工泄密引起的重大损失。敏感数据敏感数据拦截(3)强大的QOS、丰富的日志报表功能AC上网行为管理安全网关强大的访问控制和QOS功能可以使得学校合理利用Internet资源。为不同的用户分配不同的带宽和上网权限,使得Internet资源得到有效利用,并大大提高员工的工作效率。丰富的报表功能还可以分析出学校的Internet的详细使用情况,为网络管理员和决策者掌握网络资源情况提供有效数据支持。2)、访问跟踪、审计(1)在线网关监控技术区别于旁路监听的访问监控产品,SINFORAC上网行为管理安全网关使用了在线网关监控技术。对于旁路监听产品,对UDP发送的数据难以拦截,而且拦截往往有一定时延,拦截敏感数据的效果不佳,并且容易遗漏监控数据。AC上网行为管理安全网关的在线拦截监控技术保证拦截所有敏感数据,外出数据无一纰漏。SINFORAC上网行为管理安全网关不仅可以记录和统计常用Http、Smtp、Ftp、Pop3、Telnet等多种应用协议,还可以对QQ、MSN、ICQ等多种主流IM软件进行监控和控制,以防止通过IM软件造成机密泄漏。在SINFORUTM安全网关的日志系统中,可以对所有内网用户的上网行为进行实时监控。可以实时查看内网用户所有的上网记录,包括Web访问、FTP、TELNET、邮件(含Webmail)、QQ、MSN、ICQ、YAHOOMessage等流行IM软件的数据。丰富的报表功能可以形成完整的日志,记录整个网络的上网记录,为网络管理员和决策者分配和了解员工网络资源提供有效数据凭据。(2)邮件的延迟审计SINFORAC上网行为管理安全网关独有的邮件延迟审计功能保证了学校的重要信息不68 外泄。目前电子邮件已经成为人们最重要的沟通方式。电子邮件快捷、方便的特点已经成为学校与外部沟通的最有效的方式之一。学校内部大量的信息都通过电子邮件方式发送到外部,因而电子邮件也成为泄漏学校机密的重要途径之一。SINFORAC上网行为管理安全网关独创的邮件延迟审计功能,可以对经由AC上网行为管理安全网关的所有邮件进行延迟审计。对于内网用户向外发送的邮件,AC上网行为管理安全网关会对其进行延迟缓存,只有等待管理员审计后才能发出,确保了学校信息资产不外泄,保证了学校内网信息的安全。邮件邮件延迟审计(1)流量分析SINFORAC上网行为管理安全网关能按用户、用户组、协议和时间对Internet流量进行统计分析,以优化员工对Internet的资源使用情况,使得学校有限的带宽能得到最充分的利用,提高学校的网络利用率。3)、防间谍软件功能间谍软件是一种可以秘密收集有关计算机信息的软件。通常可以分为广告型间谍软件和窥探型间谍软件。广告型间谍软件一般都是良性的,其主要目的是搜集用户的性别、年龄、电话、电子邮件、Web浏览习惯等等,发送给后台数据库进行数据分析和数据挖掘,进而有针对性地在用户的电脑上弹出相关的广告窗口。而窥探型间谍软件相比之下具有更大的危害性,它可能会记录用户所有的键盘操作、网上聊天的内容、访问的网站甚至银行密码等机密信息,然后秘密地以电子邮件的方式发送给远程的窥探者,而用户却全然不知。最新的调查统计表明,72%的公司网络曾受到间谍软件威胁,有50%的IT主管表示他们的PC已经被间谍软件感染。可想而知,间谍软件对学校的危害是巨大的。为了防止间谍软件,SINFORAC上网行为管理安全网关采用了以下三种方式来保护学校的内网络,避免间谍软件对学校造成的危害。(1)独有的网络访问准入规则学校的安全隐患,往往是由于内网用户客户端缺乏安全防范造成的。为了从根本上杜绝学校内部网络安全隐患,减少内网用户遭受间谍软件、病毒的风险。深信服科技创新性地采用了网络访问准入规则这一技术。网络访问准入规则,是管理员在SINFORAC上网行为管理安全网关的准入规则中预先定制好内网计算机的安全策略。所谓安全策略,是指特定的安全标准。如:用户计算机的操68 作系统是否安装有管理员指定的系统补丁,以及用户的计算机是否安装有相应的杀毒程序或者防火墙,或是用户的计算机是否启动相应的杀毒程序、防火墙程序等等,这一系列的安全标准都可以定制成相应的安全策略。当用户计算机访问网络请求的数据包通过SINFORAC上网行为管理安全网关时,若启用了WEB认证功能,则用户通过WEB认证后,用户的计算机会自动从AC上网行为管理安全网关下载相应的安全策略扫描程序。此进程会根据指定的安全策略启动扫描程序,并检查用户的计算机是否具备了相应的安全策略。只有符合相应安全策略的计算机才允许访问外部网络,不具备相应安全条件的用户计算机,不允许上网。这样从根本上提高了学校用户计算机的安全性,减少了学校内网用户遭受蠕虫、病毒、木马以及间谍软件的风险。只有具备了安全级别的计算机才允许访问网络独有的网络访问准入规则(1)深度内容检测技术恶意间谍软件程序最常见的传播途径就是在一些恶意站点中嵌入ActiveX控件作为浏览器控件,当用户无意间浏览到该网址时,该控件会自动安装到用户的电脑上。SINFORAC上网行为管理安全网关通过上层应用的内容检测技术来阻止类似的恶意间谍软件程序的传播。通过特定规则(如禁止以dll、cab、exe等扩展名的文件下载)的限制,从而阻断了间谍软件的传播途径,防止了内网用户感染间谍软件的危险。(2)URL过滤、关键字过滤通常间谍软件是用户在浏览网页时,下载安装免费软件或无意间浏览到某些恶意站点而感染到的。当用户在网上冲浪时,无意中浏览到某些恶意设计的站点时,一些ActiveX控件会作为浏览器插件,自动下载并安装到你的电脑当中,而这个插件就是一个间谍软件。这有些和木马、病毒的传播途径类似。SINFORAC上网行为管理安全网关中将已知的非法URL(含有恶意代码的网址连接)做成一个链接库,用户可以下载更新链接库来防止间谍软件、木马、病毒等对学校的威胁。AC上网行为管理安全网关的关键字过滤功能,将一些含有一些明显特征码的关键字作为过滤条件。当内网用户在访问互联网时,减少了内网用户遭受间谍程序或木马、病毒的危险,保证了内网的安全。68 URL过滤色情法轮功关键字过滤(1)网络监控由于间谍软件名目繁多,且难以预防。间谍软件一旦成功潜入内网用户电脑,就会记录用户信息并通过一定的途径向特定的黑客和服务器进行后台通信。假设当内网用户的电脑已经埋伏了间谍软件以后,我们还有什么办法挽救损失呢?SINFORAC上网行为管理安全网关通过日志系统中的网络活动日志,实时监控并记录用户内网所有的网络连接,使得管理人员能够及时发现网络传输中的间谍软件威胁,阻止网络中已经存在的间谍软件与互联网上的黑客和服务器进行后台通信,防止了学校机密信息的泄漏,并在检测和阻止新的间谍软件时,及时采取相应的安全措施,最大限度减少了学校的损失。(2)邮件延迟审计对于间谍软件的主要传输途径:WEB方式和邮件方式,SINFORAC上网行为管理安全网关分别有相应的解决方案。前面介绍过的AC上网行为管理安全网关URL过滤功能已经阻断了间谍软件WEB方式的泄漏途径。而对于间谍软件电子邮件方式的泄漏机密途径,SINFORAC上网行为管理安全网关独有的邮件延迟审计功能彻底阻断了这一途径。SINFORAC上网行为管理安全网关可以根据相应规则,对所有内网用户通过SMTP、IMAP发往外部的电子邮件进行审计。客户端发送的邮件虽然在其邮件程序的发送状态中显示已经正常发送,但实际上并未真正发送到收件人,而是被截留在SINFORAC上网行为管理安全网关的邮件延迟审计系统中。只有通过管理员审核,认为是安全的邮件,才能被AC上网行为管理安全网关放行并发送到收件人邮箱,有效地防止间谍软件通过电子邮件方式盗取学校的重要机密,保护了学校内网的安全。68 邮件邮件延迟审计4)、反垃圾邮件技术CNNIC最新发布的第16次互联网报告显示,目前我国上网用户总数已经达到1.03亿,平均每个网民拥有2.3个邮箱。我国互联网用户平均每周收发的邮件数分别为5.2封和3.7封,而收到的垃圾邮件数则高达9.3封。由于垃圾邮件的泛滥,使得原本畅通的互联网速度变的逐渐缓慢,并且浪费了用户大量的时间。一般处理1封垃圾邮件至少需要10秒钟的时间,如果按每天收到9.3封的垃圾邮件来计算,那么员工每天就得花2分钟左右的时间来处理。若学校拥有众多员工,则将造成学校的生产力下降,效率低下,学校员工每天正常处理业务的时间被接受、打开、删除垃圾邮件等动作白白浪费了。对于学校来说,垃圾邮件不仅浪费了学校员工的宝贵时间,而垃圾邮件中可能附带的病毒、间谍软件等对学校造成的损失更是巨大的。若用户无意中不小心打开一些含有不安全因素的垃圾邮件,木马、病毒、间谍软件等就很可能不知不觉地潜入学校内部盗取机密文件,造成学校重大的安全隐患。目前反垃圾邮件的技术主要有以下几种:(1)关键字过滤关键字过滤是最早的反垃圾邮件技术之一。它是将一些会在垃圾邮件中经常出现的字符(如广告、化妆品、发票等)收集起来形成一个庞大的数据库,当一封邮件来的时候对其信头、信标题、主题和信体几部分进行检查,看里面是否有数据库中的关键字,如果有就被判定为垃圾邮件,如果没有就判断为不是垃圾邮件。该技术主要采用的是关键字匹配。此技术的优点就是:技术上比较容易实现,判断处理速度比较快,缺点是误判率比较高。为了减少误判率,深信服科技的AC上网行为管理安全网关采用关键字权重的方法来对垃圾邮件进行判断。关键字权重过滤,是根据关键字数据库中比较经常出现的关键字分别赋予相应的权重,权重的大小是根据关键字在垃圾邮件中出现的可能性和严重性来决定。当收到一封垃圾邮件时,AC上网行为管理安全网关就对其进行扫描,若发现有其中一个关键字就加相应的权重值(此权重值用户可自定义),最后将所有的权重累加并与预先设置好的阀值进行比较。阀值设为两个,分为三种情况:一定是垃圾邮件;可能是垃圾邮件;一定不是垃圾邮件。对这三种情况,SINFORUTM安全网关可分别进行相应的处理。(2)智能应答确认技术对于疑似垃圾邮件,SINFORAC上网行为管理安全网关创新性地采用了智能应答确认的方式来减少误判率。一般的垃圾邮件都是由垃圾邮件程序自动产生的,无法回复。对于疑68 似垃圾邮件,AC上网行为管理安全网关会发一封确认邮件给发件人,若发件人是垃圾邮件制造程序则无法回复,AC上网行为管理安全网关则判定此邮件为垃圾邮件,并将其列入黑名单。若对方是真正的发邮件者,而不是垃圾邮件程序,则只需回复AC上网行为管理安全网关所发出的确认邮件,AC上网行为管理安全网关则自动会将此发件人添加到白名单,下一次该地址发送过来的邮件就无需过滤,直接转发给收件人。为了防止自动应答程序回复确认邮件来绕过AC上网行为管理安全网关的检测,AC上网行为管理安全网关在其确认邮件中采用了随机码的方式要求发邮件者输入相应特征码(一串随机序列号),以此来避免对某些垃圾邮件程序的自动回复程序造成的误判。(1)黑白名单过滤黑白名单过滤同样是较早的一种反垃圾邮件的技术。SINFORAC上网行为管理安全网关将经常发垃圾邮件的IP地址添加到IP黑名单中,以后再从同样的IP地址发来的信件都被判定为垃圾邮件。如果邮件地址被加入到白名单中,则认为从那里发来的任何邮件都不是垃圾邮件。邮件服务器垃圾邮件黑名单正常邮件白名单UTM安全网关黑白名单(2)垃圾邮件指纹识别指纹识别技术模仿了生物识别中指纹的概念。所谓邮件的指纹,就是邮件内容中的一些字符串的组合,就是从类似、但不相同的信息中,识别出已经被确认为垃圾邮件的信息。通常垃圾邮件都有一些特征,比如含有很多广告的链接等。有些垃圾邮件程序为了躲避反垃圾邮件程序,在制造垃圾邮件时通过html等技术把一些含有垃圾邮件明显特征的内容、关键字等做转换,以试图欺骗反垃圾邮件程序。这好比警察与小偷,通常小偷都是穿着风衣、带着墨镜等以避免警察和大众对他的怀疑。这些垃圾邮件独有的特征,也就是垃圾邮件的指纹。这些和反病毒技术的特征码识别的思想是相同的。SINFORAC上网行为管理安全网关通过确认邮件的指纹,完成对垃圾邮件的识别。AC上网行为管理安全网关先给邮件中出现的每一个字符赋予一个数值(这个数值的确定是按照特定垃圾的用词规律特点进行分类),再利用统计方法给这封邮件计算出一个综合的数值。也可以根据是否与其他多次收到的邮件相似来判断(多次收到相似的邮件很可能就是垃圾邮件)。(3)实时黑名单列表为了有效地拒绝来自恶意的垃圾邮件来源站点或被利用的垃圾邮件来源站点所发来的垃圾邮件,最直接和有效的办法就是拒绝该来源的连接。将确认后的垃圾邮件来源站点(无论是否是恶意与否)放入一个黑名单(BlackholeList),然后通过发布该名单来保护邮件服务器不受到黑名单中站点的侵扰,是一个目前对抗日益严重的垃圾邮件行之有效的方法。68 目前在黑名单技术上最流行的是实时黑名单(RealtimeBlackholeList,简称RBL)技术。通常该技术是通过DNS方式(查询和区域传输)实现的。实时黑名单类似于前面所提到黑名单过滤,区别在于实时黑名单列表是借助于第三方机构,他们为用户提供实时的黑名单列表。实时黑名单对垃圾邮件的判断工作是在Internet上进行的,不需要用户进行干涉和手动添加。由于黑名单服务的提供和黑名单的维护是由黑名单服务提供者来承担,所以该名单的权威性和可靠性就依赖于该提供者。SINFORAC上网行为管理安全网关采用了中国反垃圾邮件联盟的RBL进行垃圾邮件识别,减少用户的工作量和设置难度,同时大大提供了垃圾邮件的识别率。(1)自动升级技术SINFORAC上网行为管理安全网关提供了黑白名单、关键字权重库和垃圾邮件指纹库自动更新功能,减少了管理员手动升级的麻烦,降低了学校的维护成本,并降低了垃圾邮件的误判率。5)、IPS(入侵防御系统)系统IPS,即入侵防御系统(IntrusionPreventionSystem),是抵制外部网络威胁最有效的安全防范技术。SINFORUTM网关的IPS系统,能够对所有流经网关的数据流进行实时检测,为学校提供了网络级的安全保护。由于采用了特征匹配、协议分析和异常行为检测等多项技术,IPS系统能够对所有可疑数据包实时阻拦,提高了对攻击行为判断的准确率,有效保证了学校的网络安全。当前,特征匹配是应用最广泛的检测技术,具有准确率高、速度快的特点。目前SINFORUTM网关的IPS系统已有3000多种攻击特征库,并且每天自动更新数据库。由于采用了嵌入式运行模式,IPS系统能够实时分析经过网关的所有流量,一旦检测出网络数据流中含有可疑数据,UTM网关将根据其所匹配到的攻击特征规则,及时进行相应处理。IPS系统对所有攻击特征库中的规则自动进行分类,分为高、中、低三个优先级别。管理员可以根据其自身网络的安全情况,对相应的优先级别规则启用IPS功能进行相应防御,同时还可规定发现入侵以后采取防御行为的时间间隔。一旦检测到可疑数据匹配到相应规则,则UTM安全网关的IPS系统就启动相应的防御措施。比如当启用中、高级别防御规则的防御措施时,一旦检测到可疑数据与相对应的中、高级别的防御规则相符,则立即阻隔网络会话,并发出防御通知。而对于低级别的可疑攻击,IPS系统可记录下此入侵的类型、所匹配规则、以及该数据包的详细信息,并立即发出告警。若在10秒内连续检测到5次相同的告警,则IPS系统判定为攻击行为,将立即阻止网络会话,并记录到日志系统。对于所有可疑数据,IPS日志系统都将记录下入侵类型、所匹配规则、以及该数据包特征码等详细信息,以便管理员对此次攻击行为进一步分析和处理。从而达到整体网络安全防68 护的目的。多种安全策略保证了UTM网关的IPS功能对所有攻击行为辨别能力高度的准确性,降低了由于IPS误报给学校带来的安全风险。深信服的UTM安全网关除了可以定义对所有流经网关的数据进行检测以外,还可以选择对特定方向、特定条件的数据启用UTM网关中的IPS功能。通常,攻击者的行为往往只针对某些提供特定服务的IP(比如WEB服务器)发起攻击。而在校园网络中,需要重点保护的往往也正是这些重要的服务器。因而针对某些特殊IP段,特定协议和端口的保护就显得尤为重要。SINFORUTM网关的IPS系统制定了多种防御策略,更大程度上保护了校园网络的安全。例如,管理员可以针对某些服务器制定更为严格的防护策略,只对符合指定的IP、协议和端口等相应条件的数据流开启IPS功能,降低了UTM网关开启IPS所带来的性能损耗,提高了IPS防御精准度。6)、网关杀毒居于内部网和互联网之间的关卡位置,网关的重要性不言而喻。网关杀毒,是守住病毒的第一道关口,有“一夫当关,万毒莫开”的气势。SINFORAC上网行为管理安全网关集成来自欧洲著名杀毒厂商“F-PROT”的高效杀毒引擎,杀毒速度达到50Mb/s,大大超过大多数杀毒厂商的网络杀毒速度,也大大超过普通学校的Internet带宽。强大的杀毒功能支持HTTP、SMTP、POP3、FTP、NETBIOS等多种协议的数据流,不仅可以查杀普通病毒邮件,还可以检查出各种压缩包(zip,rar,gzip等)隐藏的病毒。此外,SINFORUTM安全网关杀毒功能,还可以针对网站和文件类型进行灵活的设置。比如可以对于一些公认的安全网站,不启用杀毒功能。或者有选择地对某些以exe、dll、dat等为扩展名的容易感染病毒的文件启用杀毒。UTM网关的杀毒引擎可指定时间每天自动更新,保护了内网所有用户免受病毒困扰。该杀毒引擎可以更换,用户可以自由选择各种杀毒引擎,这种独特的功能设计使得AC上网行为管理安全网关更加灵活、安全地保护学校的信息资源。不含有病毒的文件含有病毒的文件内网用户SINFORUTM安全网关互联网7)、防止DOS攻击DoS攻击(拒绝服务攻击),通常是以消耗服务器端资源、迫使服务停止响应为目标,通过伪造超过服务器处理能力的请求数据造成服务器响应阻塞,从而使正常的用户请求得不到应答,以实现其攻击目的。通常DoS攻击往往会导致服务器超负载运作,性能降低,影响正常用户的登陆,甚至造成服务器瘫痪。而DDoS(DistributedDenialofService,分布式拒绝68 服务)是指攻击者从多个计算机系统上向一个目标系统同时发起攻击。因而比起DOS攻击,危险性更大。通常DDOS攻击是由黑客手动寻找可入侵的计算机入侵并植入攻击程序,再下指令攻击目标。SINFORAC上网行为管理安全网关不仅可以防御来自外网的DOS攻击,而且对于内网用户发起的DOS攻击,AC上网行为管理安全网关也可以进行防御。通过AC上网行为管理安全网关丰富的日志系统,管理员可以根据内网DOS攻击日志,查找出学校内网中了木马、或者病毒的用户,从而及时有效地阻断由内网发起的DOS攻击。避免了DOS攻击造成的校园网络带宽耗尽,或者因发起DOS攻击可能产生的法律纠纷。来自外网的DOS攻击内网用户SINFORUTM安全网关互联网对外网的DOS攻击防御互联网SINFORUTM安全网关来自内网的DOS攻击内网用户对内网发起的DOS攻击防御8)、强大的VPN功能SINFORAC上网行为管理安全网关不仅是一款功能强大的安全网关,同时也是一款高性能的VPN网关。UTM网关具备有SINFORVPN/防火墙系列产品的全部技术特性,包括WebAgent动态IP寻址、HARDCA硬件鉴权和身份识别、多线路绑定、即插即用的移动客户端等发明专利技术其他VPN特色功能,同时SINFORAC上网行为管理安全网关也集成了高速数据流压缩算法、细致的QOS和内网权限设定、防火墙等特色功能。9)、多线路优势SINFORAC上网行为管理安全网关支持2~6个WAN口,支持最多六条上网线路的叠加,可以轻易地实现多个WAN口之间的负载均衡和线路备份,并支持在多个WAN口上捆绑VPN技术,大大扩宽了学校的上网带宽,增强了Internet线路的稳定性。互联网SINFORUTM安全网关内网用户68 多线路绑定10)、丰富的数据中心日志系统SINFORUTM网关拥有强大的数据中心,管理者可分组、用户、规则、协议等多种查询对象,按饼图、柱状图、曲线图等方式进行查询,可直观地查看到网络流量、邮件、网络监控、IPS系统、准入规则、防火墙等详细信息,并可直接打印和导出报表。SINFORUTM网关强大的日志系统和丰富的报表功能,可详细分析出学校的Internet的详细使用情况,为网络管理员和决策者分配和了解员工网络资源提供了最有效的数据支持。功能内容详细指标网络流量统计流量统计概要显示某一段时间内指定组的上行流量、下行流量、总流量等,并列出指定组的排名情况。组流量排行可按时间、组等查看指定条件组的上行流量、下行流量、总流量及流量比例等,并可按照柱状图、饼状图等进行流量排行,可支持历史记录查询。流量日志普通查询,可设定对访问控制组、用户、IP、端口、时间等进行查询和排序详细查询,还可以详细定义上行流量、下行流量、总流量的流量大小范围进行查询流量趋势可以指定对访问控制组、用户、端口在相应时间段内的流量用曲线图直观地显示,管理员可非常直观地了解整个网络的使用Internet资源的情况,便于数据统计和管理。邮件日志邮件统计概要可对指定时间的邮件总数、发送邮件数、接受邮件数、源地址总数、目的地址总数、包含附件的邮件数目进行统计,同时可按照邮件类型分布统计出:正常邮件、垃圾邮件、病毒邮件等详细数字,并可对访问控制组、用户邮件数目进行排名;邮件排行可按照访问控制组、邮件类型、邮件地址、用户邮件、邮件类型分布进行排行,并可选择饼状、柱型等多种方式直观表示排行。邮件查询对于所有邮件,可按照查询对象、邮件类型、标题或者正文所含的关键字进行查询,可轻易查询相应的组、用户、IP等所对应的正常邮件、垃圾邮件、病毒邮件的数目,以及邮件的状态。并可对邮件标题、内容、源地址、目的地址、附件信息、邮件状态、发生时间等信息进行详细查询。邮件趋势可对指定用户、组在相应时间段内的邮件发送邮件、接受邮件以及总邮件进行查询,并用曲线图直观地表68 示。网络监控监控统计摘要显示指定时间内的网络监控记录总数、目标网站总数、目标IP地址总数、包含附件的监控记录,同时列出被监控的用户数和组数目。并对网络活动最活跃的访问控制组和用户进行分类显示。监控排行可按照组、用户、服务、URL、动作分布进行排名,管理员可充分了解每个内网用户使用Internet资源的具体情况。监控查询简单查询:可定义对用户、组、IP、指定端口、相应动作进行查询复杂查询:除了简单查询的条件以外,可对目标对象按照目标地址、目标端口等条件进行查询,并可对访问目标包含哪些关键字、访问网站进行查询,并可对发生动作、时间段等组合条件进行详细检索。监控趋势可对指定用户、组在相应时间段内的活动趋势用曲线图表示,并用列表详细表示出具体动作如:访问网站、FTP、MSN、QQ等在某个时间段的总记录。准入规则准入规则摘要显示指定时间内的准入规则记录总数、违反规则的组和用户数,并对所违反的规则数目进行统计,用列表的方式直观地对违反准入规则次数最多的访问控制组、用户以及违反次数最多的准入规则进行排名。方便管理员发现问题,并及时进行处理。准入排行可按照饼图、柱状图等显示类型对组、用户、规则类型进行排名准入查询简单查询:可定义对用户、组、IP、违规动作和日期进行查询。详细查询:除了简单查询的条件以外,可详细对某用户所违反的规则名称、所违反的动作、发生时间、发生结果进行查询。IPS日志IPS日志摘要显示指定时间内IPS记录数的总数、被攻击的地址数、发生攻击的源地址数、防御入侵数、警告入侵数、以及被记录的网络数据包数目;同时,IPS排行针对优先级别,用饼图、柱状图显示IPS检测出攻击规则的优先级分布情况,可以针对攻击较频繁的IP地址、端口等进行查询,非常直观地显示出内、外网发起DOS攻击的次数、比例等,有效地帮助管理员分析公司目前的网络情况。比如:判断内网机器是否成为别人发起DOS攻击的“肉鸡”等情况。IPS查询简单查询:可定义对防御规则、动作、源地址、目标端口等条件进行查询。详细查询:除了简单查询的条件以外,还可以对网络数据包的协议、IPS系统所采取的动作、数据包是否被记录、入侵类型、入侵时间等进行查询。IPS趋势对指定的源地址、目的端口、日期范围等查询条件,用曲线图表示出IPS攻击趋势图,并对指定时段内发生的攻击次数,所占的比例有一个直观的排列,使管理者对自己网络的安全情况一目了然。防火墙防火墙摘要显示指定时间内的防火墙记录数、放行次数、拒绝次数、违反规则数等详细信息。并把各个方向、各个协议的记录用列表显示出来,同时会将被防火墙拒绝最多的IP地址显示出来,便于管理员分析。防火墙排行可对防火墙记录的协议、规则、方向、端口、动作等68 规则用饼图、柱状图显示,并排行统计防火墙查询简单查询:可按照对规则名称、动作、目的端口、日期等多种检索方式进行检索,并对防火墙日志进行查询。详细查询:除了简单查询的条件以外,还可以对规则的方向、动作、协议、端口、ICMP的类型、指定日期和时间段进行查询,并可依据规则名称等进行排序。防火墙趋势曲线图显示指定时间内被记录的防火墙规则数日志库管理日志库信息可对目前的日志库信息按照网络流量、邮件日志、网络监控、准入规则、IPS日志的数量、日志大小、所占比例进行查看日志库查询可对日志库分类进行详细的查看,包括:记录数量、日志表大小、对应文件大小等进行查询。在此,也可以对相应的日志进行清空、删除、导出等操作。日志库切换可以选择相应的网关,实现不同UTM安全网关的数据库切换功能,因而能够实现方便地在一个数据中心实现多台UTM网关的查看功能。用户管理新增用户在此可对登陆数据中心的用户进行增加、设置分组权限等操作。查询用户可对所有数据中心的用户进行查询、修改、删除等操作3.5校园网网络设备清单序号品牌型号单位数量11号楼中心机房2神码DCRS-5950路由交换机 3神码DCRS-5950-28T-L台14神码SFP-LX-L只45神码DCS-3950-52C台16神码DCS-3950-26C台171号楼分机房8神码DCS-3950接入交换机台 9神码DCS-3950-52C台268 10神码SFP-LX-L只1113号楼分机房12神码DCS-3950接入交换机台 13神码DCS-3950-52C台214神码SFP-LX-L只1154号楼分机房116神码DCS-3950接入交换机台 17神码DCS-3950-52C台218神码SFP-LX-L只119 4号楼分机房2  20神码DCS-3950接入交换机台 21神码DCS-3950-52C台122神码SFP-LX-L只123神码计算机机房及电子阅览室  24神码DCS-3950-26C台525  防火墙及行为管理系统  26深信服SINFORM5400-AC套13.6设备技术参数3.6.1核心网络交换设备技术参数DCRS-5950-28T-LDCRS-5950系列硬件IPv6万兆汇聚路由交换机68 产品概述DCRS-5950系列交换机是神州数码网络推出的盒式高性能硬件IPv6万兆路由交换机,该系列交换机采用硬件ASIC芯片实现IPv4与IPv6双协议栈,可全线速转发IPv4/IPv6的2/3层数据包,在IPv6方面处于业界领先的地位。该款产品支持丰富的IPv6隧道协议,可灵活实现IPv4网络与IPv6网络的互连互通,且支持IPv6版本的RIPng,OSPFv3等动态路由协议,可用于部署大型IPv6网络。神州数码网络的全线路由交换产品已经通过最为苛刻的国际IPv6Ready第二阶段认证。第二阶段认证被IPv6官方权威机构认定为金牌认证。不仅如此,DCRS-5950系列借助芯片级的转发能力和多样化的业务支持,以及较高的性价比,成为大型企业级网络汇聚和中型网络万兆核心层部署IPv6的最佳解决方案的一部分。该系列交换机支持千兆下联,万兆上联,端口组合非常灵活,万兆核心交换机的技术应用在固定式交换机上,而高度只有1U,充分体现了汇聚产品高性能、小型化、灵活的趋势。在性能和功能方面DCRS-5950系列能够满足大型网络的组网需求,并具备丰富的智能和安全特性,特别适合于作为大型校园网、企业网、IPv4/IPv6城域网的汇聚设备,以及中小型网络的核心设备。主要特性高性能DCRS-5950将万兆核心交换机的先进架构和技术应用在固定式交换机上,从而大幅度提高了固定式交换机的性能和功能。L2/L3均可实现全线速转发。DCRS-5950支持大容量路由表项,能够满足大型网络的组网需求。硬件实现IPV6DCRS-5950系列采用目前业界最先进的硬件ASIC芯片技术来实现IPv4与IPv6的双协议栈,可全线速转发IPv4和IPv6的2/3层数据包,通过先进的芯片技术保障IPv6协议丰富的功能得以实现和稳定运行,同时该款交换机还支持丰富的隧道协议,例如支持6to4Tunnels、configuredTunnels、ISATAP等隧道模式,灵活解决IPv4网络到IPv6网络的过渡问题。万兆以太网就绪万兆以太网是以太网在速度和距离方面的进步,采用全双工技术,不需要应用低速的、半双工的CSMA/CD协议。DCRS-5950系列能够提供当前主流的XFP接口,带宽和处理能力更加强大,为城域和广域的应用提供了针对性的解决措施,可以简化网络结构、降低网络维护成本。丰富的网络协议支持DCRS-5950支持802.1d/w/s生成树协议,支持GVRP/802.1Q,802.1p,LACP/802.3ad,802.3x,DHCPServer/Client/BOOTP/Relay,SNTP等标准。支持IGMP,DVMRP,PIM等完整的组播协议。支持RIPv1/2、RIPng、OSPF、OSPFv3、BGP4、BGP4+、VRRP等路由协议,适合复杂的大型网络组网需求。68 智能灵活的性能资源调度机制FlexResource影响交换机性能的因素有很多:CPU、内存、MAC表、IP地址表、路由表、ACL表等等。这些资源都是有代价的,它们是交换机成本的重要组成部分。所以说,能不能在有限的成本范围内,最大限度地提高交换机资源的利用率,就成为提升性能的有效之道!针对这个用户需求,神州数码网络的FlexResource(柔性资源调度)可利用多项技术,动态调整、回收和再分配交换机资源,从而成倍地提高了核心交换机资源的利用率,支撑起更大规模的网络。Flex-Resource目前支持Flex-LPM,Flex-L3,Flex-ARP等细分技术。强大的ACL功能DCRS-5950提供了完整的ACL策略,并使用不同的策略进行转发。通过ACL策略的实施,用户可以过滤掉“冲击波”、“震荡波”、“红色代码”等病毒包,防止扩散和冲击核心设备。支持IEEE802.1x基于端口的认证,为网络提供端口级的安全保证。配合RADIUS等认证机制,可有效防止非法用户侵入网络。丰富的QoS策略DCRS-5950完全实现DiffServ模型。每个端口提供了8个优先级队列,可分别设定队列带宽,支持WRR/SP/SWRR等调度方式。支持端口信任,可配置信任CoS、DSCP、IP优先级、端口优先级,并修改数据包的DSCP、COS值;可根据端口、VLAN、DSCP、IP优先级、ACL表进行流量分类,修改数据包的DSCP和IP优先级,并指定不同的带宽,为语音/数据/视频在同一网络中传输提供不同服务质量。3D-SMP就绪DCRS-5950符合神州数码自防御式安全域管理策略3D-SMP的组网要求,扩展增加了与防火墙,IDS等安全系统的互动功能,对于来自外网和内网的病毒和攻击都可以有效地进行控制,从而大大提升了全网的安全性和稳定性。。完善的网络管理DCRS-5950支持SNMP,支持带内和带外管理,支持CLI和WEB界面,支持RMON,并可采用SMTP协议自动向管理员信箱发送相关敏感信息。DCRS-5950支持SSH协议,可以最大限度地保证交换机的配置管理的安全性。可采用神州数码集中网管系统LinkManager统一管理,方便简捷。技术指标项目DCRS-5950-24DCRS-5950-26DCRS-5950-28TDCRS-5950-52TDCRS-5950-28T-LDCRS-5950-52T-L68 接口形式24个千兆SFP接口(1000BASE-X),8口10/100/1000Base-T(Combo)24个千兆SFP接口(1000BASE-X),8口10/100/1000Base-T(Combo),2个XFP万兆光口24口10/100/1000Base-T,4口千兆SFP(Combo)接口,2个万兆扩展槽位,2个专用拓扑堆叠接口,最大扩展至10个万兆口48口10/100/1000Base-T,4口千兆SFP(Combo)接口,2个万兆扩展槽位,2个专用拓扑堆叠接口,最大扩展至10个万兆口24口10/100/1000Base-T,4口千兆SFP(Combo)接口,2个万兆扩展槽位,2个专用拓扑堆叠接口,最大扩展至10个万兆口48口10/100/1000Base-T,4口千兆SFP(Combo)接口,2个万兆扩展槽位,2个专用拓扑堆叠接口,最大扩展至10个万兆口背板带宽260Gbps260Gbps520Gbps520Gbps520Gbps520Gbps交换容量208Gbps208Gbps368Gbps416Gbps368Gbps416Gbps包转发速率155Mpps155Mpps274Mpps309Mpps274Mpps309MppsMAC表项32K32K32K32K32K32KVLAN表项4K4K4K4K4K4K物理尺寸(宽深高)436mm×44mm×420mm436mm×44mm×420mm440mm×44mm×415mm440mm×44mm×415mm440mm×44mm×415mm440mm×44mm×415mm相对湿度5%~90%无凝结运行温度0℃~50℃电源交流:90-264VAC,47-63Hz,直流-40--60V交流:100V~240V50-60Hz(+/-3Hz)RPS(直流in12V)功耗80W80W130W180W130W180W项目属性二层协议规范IEEE802.3(10Base-T)、IEEE802.3u(100Base-TX)、IEEE802.3z(1000BASE-X)、IEEE802.3ab(1000Base-T)、IEEE802.3ae(10GBase)、IEEE802.3ak(10GBASE-CX4)、IEEE802.1Q(VLAN)、IEEEE802.1d(STP)、IEEEE802.1W(RSTP)、IEEEE802.1S(MSTP)、IEEE802.1p(COS)、IEEE802.1x(PortControl)、IEEE802.3x(流控)、IEEE802.3ad(LACP)、PortMirror、IGMPSnooping、QinQ、GVRP,VLAN,PVLAN,广播风暴控制,整机最多支持4096个VLAN三层协议规范(IPv4)StaticRouting、RIPv1/V2、OSPFv2、BGP4等多种单播路由协议支持LPMRouting、支持Policy-basedRouting(PBR)VRRP、支持IGMPv1/2/3、DVMRP、PIM-DM、PIM-SM、PIM-SSM等。ARP、ARPProxyStaticRouting、RIPv1/V2Policy-basedRouting(PBR)、VRRP、ARP、ARPProxyIPv6ICMPv6、ND、RIPng、OSPFv3、BGP4+等单播路由协议、PIM-SM/DMforIPv6,MLDforIPv6(v1),MLDv1/v2,MLDSnooping6to4Tunnels、configuredTunnels、ISATAP等ICMPv6、ND、RIPng,MLDSnooping,6to4Tunnels、configuredTunnels、ISATAP等QoS完全硬件实现,不影响性能。每端口8个队列。支持SP、WRR、SWRR等队列调度算法。支持基于802.1p、ToS、端口、DiffServ进行流量分类还可以根据支持采用ACL进行流量分类,根据分类结果设置COS,TOS,DSCP,根据ACL-X的80个字节高层内容进行流量分类,支持SP、WRR、SWRR等,为语音/数据/视频在同一网络中传输提供所要求的不同服务质量支持TrafficShapping(流量整形)、支持优先级Mark/Remark。ACL完全硬件线速实现,不影响转发性能。支持标准和扩展ACLACL-X支持基于时间自动改变安全策略。ACL的深度内容可被用于QoS分类的标准,深度可达80字节。68 高可靠性和冗余均衡特性支持RSTP,MSTP支持VRRP,支持LACP负载均衡。支持管理模块、电源模块安全可控组播技术DCSCM支持组播信源控制,防止非法组播源。支持组播用户可控支持策略组播Free-Resourse支持增强ARP安全功能支持防ARP欺骗、防ARP扫描端口功能支持MAC+端口捆绑、IP+MAC+端口绑定、IP+端口绑定,支持MAC过滤,支持端口限速(带宽管理),支持广播风暴控制,支持端口镜像(CPU端口镜像、进或者出单向/双向,一对一,多对一,跨板)支持流控:HOL防头包阻塞,半双工背压,全双工IEEE802.3x支持端口聚合IEEE802.3ad(LACP),每trunk可到8个端口,支持负载均衡。DHCP支持Client、Relay内置DHCPServer用户接入支持IEEE802.1xAAA认证支持RADIUS网络配置和管理基本功能支持CLI、支持Console(RS-232),支持Telnet,支持SSH,支持SNMPv1/v2c/v3,支持MIB接口,支持Trap支持RMON1,2,3,9四组支持SecurityIP安全网管功能:防止在非制定区域非法登陆配置,支持TACACS+,网管SysLog支持SFlow功能支持网络流量分析,支持RFC3176,可以实现基于协议或地址的流量监控和统计异常监测和故障检查功能任务异常、内存异常、CPU利用率、堆栈异常、交换芯片异常、板卡温度异常等监测,并告警集中网管软件采取神州数码网络LinkManager软件统一管理3.6.2接入层网络交换机技术参数DCS-3950系列智能安全接入交换机DCS-3950系列智能安全接入交换机,包括DCS-3950-26C、DCS-3950-28CT、DCS-3950-52CT等,在安全、运营等方面上极具特色,适用于教育、政府、大中型企业网络的接入设备。DCS-3950系列支持堆叠,并采取固化上联端口的形式,端口类型组合丰富,为用户组网提供了很大的便利性。作为新一代的交换机,DCS-3950系列交换机具有强大的安全特性。强大的ACL、防攻击能力可有效抵抗病毒和DOS、DDOS攻68 击,保护自身和汇聚、核心设备。完全的硬件转发、以及基于ASIC的ACL机制可以在病毒泛滥时使正常数据不受任何影响。主要特性更完美的端口组合:DCS-3950-26C固化了2个Combo千兆上联口,或光或电,用户可随心选择;DCS-3950-28CT和DCS-3950-52CT在固化2个千兆Combo的基础上,更提供2个固化千兆电口,一共提供4个千兆端口,不仅能为工作组内服务器提供千兆铜缆的直接接入,还同时为级联、堆叠、上行提供了丰富的端口选择。强大的ACL功能作为新款的L2交换机,DCS-3950系列交换机提供了完整的ACL策略,可根据源/目的IP地址、源/目的MAC地址、IP协议类型、TCP/UDP端口号、IPPrecendence、时间范围、ToS对数据进行分类,并进行不同的转发策略。通过ACL策略的实施,用户可以在接入层交换机过滤掉“冲击波”、“震荡波”、“红色代码”等病毒包,防止扩散和冲击核心设备。卓越的安全特性全面的受控组播方案DCSCM,可以对源和目的进行安全控制,完整实现了在接入层网络中基于IGMP源端口和目的端口的检查技术,可完全限制合法组播在网络中的稳定传输,有效控制组播建立的整个过程,保障了正常合法的组播应用的稳定运行;监控pingSweep等攻击行为,安全防扫描,并采取防攻击措施,全面保护交换机和服务器等网络设施的安全。丰富的网络协议支持DCS-3950系列交换机支持802.1d/w/s生成树协议,支持802.1Q、802.1p、802.3ad、802.3x、GVRP、DHCP等标准。支持SNTP等时钟协议,实现网络自动同步。丰富的QoS策略DCS-3950系列交换机可根据端口、802.1p、ToS、DSCP、TCP/UDP端口进行流量分类,并分配不同的服务级别,支持WRR/SP等调度方式,为语音/数据/视频在同一网络中传输提供所要求的不同服务质量。安全的管理界面DCS-3950系列交换机支持SNMP,支持带内和带外管理,支持CLI和WEB界面,支持RMON,支持SecurityIP功能,可以防止非法用户登陆和修改交换机的配置。支持SSH协议,可以最大限度地保证交换机的配置管理的安全性。可采用神州数码集中网管系统LinkManager统一管理,方便简捷。完整的认证计费解决方案DCS-3950系列交换机支持完整的神州数码增强型802.1x认证计费解决方案,支持按交换机端口和MAC地址方式的认证。实施该套方案后,用户在不通过认证的情况下将无法使用网络,可以有效避免用户私自更改IP对网络的冲击。配合神州数码的安全接入控制与计费系统DCBI-3000和802.1x客户端,可以实现按时长/流量计费,可以实现用户帐号、密码、IP、MAC、VLAN、端口、交换机的严格绑定,还可以防止代理软件,防止PC克隆,对合法客户发送通知/广告,进行上网时段控制,基于用户动态实现VLAN授权和带宽授权,可基于组策略实现动态IP地址分配而不必使用DHCP服务器等。DCS-3950系列交换机是实现网络运营的非常理想的接入交换机。68 技术指标项目属性DCS-3950-26CDCS-3950-28CTDCS-3950-52CT接口形式固定端口24个10/100M端口+2个千兆光/电/堆叠复用口。可灵活用作千兆上联、级联和堆叠24个10/100M端口+2个SFP光/电/堆叠复用口+2个千兆电/堆叠复用口。可灵活用作千兆上联、级联和堆叠48个10/100M端口+2个千兆光/电/堆叠复用口+2个千兆电/堆叠复用口。可灵活用作千兆上联、级联和堆叠性能指标交换能力32Gbps48Gbps48Gbps包转发速率6.6Mpps,全线速9.6Mpps,全线速13.2Mpps,全线速最大千兆端口数量244MAC表项16K16K16KVLAN表项4K4K4K物理规格物理尺寸440mm*171.2mm*43mm440mm*171.2mm*43mm440mm*229mm*44mm相对湿度5%~95%无凝结运行温度0℃~50℃电源交流:100~240VAC,50/60Hz(内置通用电源)功耗最大30WMTBF>80,000小时项目属性DCS-3950-26CDCS-3950-28CTDCS-3950-52CT主要特征堆叠支持生成树802.1d(STP)、802.1w(RSTP)、802.1s(MSTP)组播协议IGMPSnooping&QueryQoS每端口4个队列,支持802.1p,ToS,应用端口号,DifferServ,支持WRR/SP等调度方式ACL支持标准ACL和扩展ACL,支持IPACL、MACACL、IP-MACACL,支持基于源/目的IP地址、源/目的MAC地址、IP协议类型、TCP/UDP端口号、IPPrecendence、时间范围、ToS对数据进行过滤。增强安全特性监控pingSweep等攻击行为,并采取防攻击措施,防非法组播源,受控组播。带宽管理62KbpsMAC操作支持端口/MAC自动捆绑,支持MAC过滤VLAN类型基于端口/802.1Q协议,支持GVRP,支持PVLAN流控支持HOL防头包阻塞,半双工背压,全双工IEEE802.3xDHCP支持Client/Server68 端口聚合支持802.3ad,最大可支持6组trunk,每trunk可到8个端口,支持基于目的MAC的负载均衡IEEE802.1x支持基于端口和MAC地址,支持神州数码802.1x整体解决方案,可以实现按时长/流量计费,可以实现用户帐号、密码、IP、MAC、VLAN、端口、交换机的严格绑定,可以防止代理软件,防止PC克隆,对客户发送通知/广告,上网时段控制,基于用户动态实现VLAN授权和带宽授权,可基于组策略实现动态IP地址分配而不必使用DHCP服务器等。认证支持RADIUS端口镜象支持广播风暴控制支持,可设定允许广播通过速率支持的网络标准IEEE802.1DIEEE802.3IEEE802.3uIEEE802.3adIEEE802.3xIEEE802.3zIEEE802.1QIEEE802.1pIEEE802.1xIEEE802.1wIEEE802.1s等网络管理管理界面CLI、WEBConsoleRJ-45Telnet支持Server/ClientSNMPv1、v2、v3系统日志支持配置管理分级支持SSH支持RMON1,2,3,9四组MIB接口提供集中网管软件神州数码LinkManager网管软件SecurityIP安全网管功能支持其他SNTP支持BOOTP支持FTP/TFTP支持(*)表示未来支持68 第四章校园广播系统方案无人值守全自动带遥控和广播分站功能的Smaps3000B三节目源可寻址智能广播系统4.1概述Smaps3000B三节目源可寻址智能广播系统是为满足学校广播的高保真多功能要求而设计,具有对点寻址广播,任意分组广播,同时传输三套节目源等功能,不仅可以作为学校的作息讯号、保健操和背景音乐的自动播放,还可应用于外语听力考试,分年级播放教学节目等,是一款设计先进、功能强大、音质优美、性能可靠的校园广播系统。4.2、总体设计1、教室和专用教室采用高保真方式传输,同时传输三套广播节目,可实现对点寻址广播和任意分组广播;2、室外及宿舍楼、食堂、办公室等采用定压方式传输,根据不同的功能区或不同的楼层分成若干个区域,可实现分域播放广播节目;3、Smaps3000B软件与主控设备对整个广播系统进行协调管理,实现作息讯号的自动播出、设备电源的自动控制、广播箱的自动寻址打开与关闭等。4、教室媒体(如卡座、MP3播放器,电脑等)的音源可用3000B广播箱来进行放大扩音。5、在政教处等设立一个广播分控中心,可以控制广播中心设备的打开与关闭,并将分中心的讲话和音乐传输到广播中心进行分区播出;6、在宿舍区和田径场各设立一个双模式的广播分站,即(受广播中心控制的)远程联动广播和(宿舍区、田径场的)自主独立广播,平时与广播中心相连,作为全校广播系统的一个或二个区域,受中心的自动控制与播出;同时,该分站又具有独立的广播功能,将68 宿舍区(田径场)分成若干个(1-8个)区域进行手动定区讲话或播放广播节目;7、Smaps3000B广播箱可选装无线话筒扩音系统,给教师授课带来轻松。4.3、高保真可寻址广播部分的实现原理1、电脑串口发送的控制指令经3000B主控机后转变成485控制信号,由一对双绞线向教室广播箱传输;2、播放设备所输出的音频信号通过前置放大器放大成6V左右的音频信号向各教室传输(共三套)3、3000B广播箱内部对信号的处理分成二个部分:⑴对控制信号进行解码后转变成单片机能够识别的指令,实现自动控制广播箱的打开/关闭与频道切换;⑵对音频信号进行放大,推动喇叭播出4.4、广播分站的工作原理:根据风雨操场的功能特点,将风雨操场设计为一个具有双模式的广播站,平时与广播中心相连,作为全校广播系统的一个区域,受中心的自动控制与播出,同时,该分站又是一个独立的广播系统,可以进行定向讲话或播放节目内容。工作原理:当广播中心有控制信号时,会自动打开广播分站控制器上的电源与分区输出,并自动将广播中心音频切到功放的输入端,实现广播中心广播内容的自动播出;当需要本地广播时,手动控制分站控制器上的“本地广播”68 按钮,则本地播放设备与功放接通,此时可选择分区进行广播讲话或播出节目。4.5、系统的主要功能与特点1、软件的主要功能:⑴全自动运行:早上第一个作息项播放前,自动打开电脑主机,晚上最后一个作息项播放完后,自动退出软件并关闭电脑;⑵歌曲、音乐的自动播放,实现由音乐代替铃声,定时播放广播操、眼保操和校园背景音乐等;⑶智能控制:在每一个作息项播放前后,软件根据设置自动管理智能控制器输出电源的开启/关闭、外部设备的播放/停止,自动控制广播箱的打开/关闭与频道的切换;⑷一周可设置七套节目(每天可以不同),循环播放,每天可以播放几十条或上百条作息项,每一作息项的长度任意设定,从一秒到整曲,从一曲到几十曲,满足各种播放控制的需要;⑸支持MP3、MIDI、WAV等多种音乐文件格式,并可以对每一个音乐文件进行音量大小的设置;⑹多种播放模式:按预置的作息表进行自动播放,手动广播,即时选曲播放等;⑺多套作息表的编辑与保存,如春季作息表、秋季作息表等。并调用其中一个作为当前执行作息表;2、系统的主要功能与特点:⑴教室部分由于采用了三节目源可寻址广播箱,在同一时间里可同时传输三套广播节目,使各年级或专业拥有自已独立的频道;⑵软件可对各教室广播箱进行自动寻址广播,实现对任意教室(班级)、任意年级或组的打开或关闭;⑶smaps3000B广播箱操作方便,一箱多用,具有音乐铃声,学校广播,教室媒体扩音和无线扩音等功能,配套的遥控器可进行遥控选择播出频道,调节音量大小等操作;⑷系统可选用远程遥控子系统,对正在播出的内容进行暂停/播放,停止/下一曲及音量增大/减小等操作,非常适合于学校在升旗仪式和广播操集合时使用;⑸系统可设置双模式的广播分站多个,实现广播中心的自动远程控制广播与分站自主单独广播;⑹系统设立两个广播分控中心,可以控制广播中心设备的打开与关闭,并将分中心的讲话和音乐传输到广播中心进行分区播出;⑺教室部分音频采用高保真方式传输,频响达到80HZ~18KHZ。68 4.6、主要设备介绍:1、多媒体电脑:C3.0G/80G/1G/17”/50X以上配置;2、自动播放控制软件:采用Smaps3000B软件,可对广播箱进行独立寻址广播和任意分组广播,具有全自动运行,自动管理设备电源,自动调整音乐文件音量,按预置作息表进行自动播放等功能220V控制电源:5路,每路≤6A总负载:≤16A分区控制:输入4路,输出8路串行输入端口:1个485控制端口:1个具有计算机自动控制和面板按钮控制两用。尺寸:480×270×883、Smaps3000智能广播控制器:遥控距离:空旷地大于800米,有障碍时一般大于150米。功能:播放/暂停、下一曲/停止、音量增大/减小、电源打开/关闭。尺寸:480×280×604、Smaps206遥控子系统:5、Smaps3000B可寻址广播箱:⑴高保真二单元设计,频响80HZ~18KHZ,额定功率:12W;⑵具有三路广播室音频输入接口,一路教室音频输入接口,可用于卡座、电脑、MP3播放器等的扩音;⑶可选装无线扩音单元,给教师授课带来轻松。⑷485通讯端口一个;⑸配置遥控器一个,可遥控切换选台和调节音量大小;尺寸:350×220×180具有远程联动控制和本地手动控制二种模式,远程联动时由电脑自动控制3000B主机给分站一个讯号,打开分站的所有电源与分区,并将广播中心传输过来的音频进行放大播出。本地广播时,操作面板上按钮接通相应的设备电源、分区和本地广播音源(话筒、卡座或CD机等)进行播出,分站控制器由8个区域2路电源。规格:远程控制接口(12-24V)一个,远程音频输入接口(1-3V)一个,本地音频输入接口(1-3V)一个,音频输出接口一个,远程/本地优先选择开关一个,分区输出接口8个,220V控制电源座2。尺寸:480×270×886、Smaps510广播分站控制器:68 通过485通讯接口与Smaps3000B主机相连,可远程分组打开或关闭Samps3000B高保真可寻址广播箱;Smaps3000B呼叫站具有话筒和线路输入接口各一个,线路输出口一个,音量旋钮一个,信号传输距离大于1KM。7、Smaps3000B呼叫站具有智能化、高可靠、全保护等特点:1、全自动线路检测功能(1)自动检测线路是否存在短路或过载(短路或过载时有声音报警和文字显示,并自动进行保护—断开输出);(2)自动检测并显示当前功放负载太小(显示百分比,0—60%时可以增加音箱,70-80%时合适,90%或以上时应减少音箱)。2、当前功放内部温度显示,并随着内部温度的升高,会自动适度的调整输出功率,防止过热损坏。3、60级数字音量显示,10级输入信号大小显示,操作直观明了。4、功率;250W—1500W。8、SmapsPA系列智能型定压功放:采用Smaps540前置放大器,该机具有五路话筒输入其中一路话筒为优先输入(自动抑制其他输入信号),三路普通线路输入,二路紧急信道输入,四路PGM节目输出,输出最大+12dB。9、Smaps540前置放大器:用途:食堂、办公室、走廊等;功率:6W;频响:120HZ~12KHZ;尺寸:220×190×120。10、Smaps103定压广播箱用途:风雨操场;壳体:铝合金壳体;喇叭单元:4寸喇叭3个;功率:30W;频响:120HZ~12KHZ;尺寸:440×175×12011、Smaps302B室外防雨音柱:68 12、Smaps503B室外防雨音柱:用途:外围;壳体:铝合金壳体,不锈钢面网;喇叭单元:5寸喇叭4个;功率:45W;频响:100HZ~13KHZ;尺寸:670×200×15013、Smaps601B室外防雨音柱:用途:田径场;壳体:铝合金壳体,不锈钢面网;喇叭单元:6.5寸喇叭2个,高音号角1个;功率:45W;频响:100HZ~13KHZ;尺寸:670×240×1904.7、可寻址广播箱配置与定压分区参考设计:分类序号场地广播箱配置分区备注可寻址广播部分11号教学楼12W可寻址×37只(1)可独立寻址和任意组合分组;(2)可同时传输三套广播节目,教室可遥控选台与音量调节23号教学楼12W可寻址×9只3电子阅览室12W可寻址×4只定压广播部分41号楼走廊6W广播箱×32只1区500W功放一台53号楼走廊6W广播箱×18只2区6学生食堂6W广播箱×13只3区150W功放一台教师食堂6W广播箱×4只4区7室内风雨操场广播分站30W室内音柱×6只5区250W功放一台84号楼宿舍6W广播箱×53只6区500W功放一台9足球场70W室外音柱×8只7区800W功放一台10外围45W室外音柱×15只8区800W功放一台68 4.8、系统参考配置清单:序号名称规格单位数量可寻址控制系统1自动广播软件+智能广播控制器Smaps3000B套12远距离遥控子系统Smaps206套13电脑C3.0G以上套14可寻址广播箱Smaps3000B只505远程呼叫站Smaps3000B-Ⅱ台1-36远程接受模块Smaps3000B-Ⅱ块1-37监听器八路台18前置放大器Smaps540台3定压传输部分9广播箱(行政楼、食堂)Smaps1036W个12010室外防雨音柱Smaps503B45W个1511室外防雨音柱Smaps601B70W个812定压功放SmapsPA-150Q150W台113智能型定压功放SmapsPA-500H500W台214智能型定压功放SmapsPA-800H800W台2室内风雨操场广播分站15分站控制器Smaps510台116无线话筒AT-607U段100米套117DVD机奇声台118有线话筒SY-370个119前置放大器Smaps540A台120智能型定压功放SmapsPA-250H250W台121室内音柱Smaps302B30W个622机柜0.85m台1广播中心音源23有线话筒SY-370个1-224无线话筒AT-607UHF频段套125卡座奇声398台126DVD机奇声台127调谐器CE-F308R台1其他28机柜、电脑桌1.6m套129材料(八芯带屏蔽网络线等)30工程费4.9、系统示意图:风雨操场广播分站68 第五章校园有线电视系统方案5.1校园有线电视设计思路本系统依据《电缆电视广播系统技术规范》、《民用电视广播系统技术规范》、《30MHZ~1000MHZ声音和电视信号电缆分配系统技术标准》并结合宁波万里国际学校建设的具体情况进行规划设计。在设计学校的有线电视系统(CATV)时,我们注意到基于有线电视的信号回传功能,设计时我们考虑到双向使用。5.2系统规划有线电视系统(CATV)由节目源、前端部分、干线传输及分配网络等组成。5.2.1节目源本系统电视节目源包括市有线电视网接入、自办节目二大类。自办节目本系统自办节目采用DVD播放或摄像机录制节目播放等方式。接收市有线电视节目本系统通过接入市有线电视网提供的几十套国内电视节目。5.2.2系统前端本系统前端由有线电视信号前端组成有线电视频道的信号处理本系统规划传送的有线电视频道共48套,电视信号处理方式采用滤波选频/变频方式,将所需电视频道选出后再进行中频处理,使其变为输出稳定的标准电视频道。见下图:68 5.2.3网络传输系统***学校的设计必须考虑到每个有线电视信息点的信号回传功能,我们为今后双向传输的应用做了充分的准备。双向传输的频带划分多业务有线电视网络的频谱分配方案:在频谱最低端5-42MHz,主要用于交互式信息的上行通道,48-550MHz用于传送模拟电视,该频带内可传送标准电视频道22套、增补频道37套、550-650MHz主要用于传送压缩数字电视,其带宽容量为100MHz,可提供120套数字电视频道(采用MPEG)压缩方式。650-750MHz带宽主要用于交互式通信的下行传输,用来开通电话和数字信息的传送。双向传输简介电缆分配网中上行信号的传输A、由双向干线放大器、双向分配放大器和双向滤波器,分别对上、下行信号进行放大,补偿电缆的衰减和无源元件的损耗,平衡电缆的斜率,且互不干扰。B、用户信号至电缆分配网的传输在系统的终端,用户可接收来自系统中心发送的任何信息,同时,用户上行调制器将其回传的音频、视频信号,数据或话音信号再调制到各自的上行频段,然后送入双向电缆分配网。68 5.3双向传输与分配网络设计实现系统上、下行的双向传输、目前面临要解决的问题是:上行信号的噪声积累问题、网络接口技术问题、用户接口设备问题以及系统涉及到的相关材料标准问题等。所有这些都是双向传输的关键技术问题,也是有线电视未能规模发展的主要原因。电视网络系统向多功能综合业务信息网方向定位是未来有线电视发展趋势,为适应发展需要,本系统网络传输部分按双向传输方式设计。随着今后综合业务信息网发展成熟,到时用户只需增加相应的双向终端设备、便可享受综合业务信息网提供的一切服务。系统网络满足双向传输的条件是选择具有双向放大功能的线路放大器和具有宽带特性的双向分支分配器(5-100MHz)。可采用正、反向信号单独放大并混合传送,并接入双向放大器。5.3.1布线与网络结构A、干线干线是指从放大器至分配器之间的同轴电缆线(这里我们不考虑有线电视进入学校的线,这部分由相关部门实施),线放于弱电竖井中。B、支线支线是指从分配器至分支器和分支器至终端插座之间的同轴电缆.支线主要布放于桥架内和预埋管道中。68 有线电视网系统拓扑图5.3.2系统接地楼宇内CATV系统的同轴电缆金属外护套,金属穿管,设备(或器件)的外露可导电部分均应相连并接地。系统所采用的屏蔽电缆应穿金属管敷设,电缆外层或金属管与建筑物的避雷带有良好的电气接地。5.3.3管线材料的选择本设计布线所用管线材料为镀锌铁管.本方案中选用的镀锌铁管规格全部为ф50至于镀锌铁槽的规格,一般按线槽的横截面积线槽所包含的电缆的截面积之和*3确定.由于大楼布线采用走暗线方式,考虑到对线缆保护,我们在方案设计中采用PVC线管。5.4有线电视配置清单序号名称型号品牌单位数量1双向前端放大器4735HHR天星台168 2双向楼层放大器4738HP天星台73二分配器2772S天星只34三分配器2773S天星只65四分配器2774S天星只86八分配器2776S天星只157一分支器2871S天星只58终端面板2123天星只1759有线电视分线箱国产天星个3210附件国产天星批111混合器国产天星台112调制器国产 台1013DVD国产 台114机柜2米三凌 台1第六章校园监控系统规划方案6.1校园监控系统设计思路此次我们在总结国内外最新监控产品和技术的基础上,结合学校的具体情况,本着“面向发展、实用可靠、投资经济、使用方便、扩展容易”原则设计本方案。我们推荐计算机数字化监控系统,它是监控报警业界的新型产品,它采用视频图像数字化压缩记录的形式,采用高档的工业控制微机、PC工作站机或者PC服务器,增加摄像机图像输入路数,提高多画面图像的显示速率、增加对云台和镜头的控制等功能,配之以良好的人机交互界面,便构成了以计算机为核心的数字式监控报警系统。数字监控系统具有画面清晰度高、录相时间长、便于操作等特点,将逐步取代传统模拟式的多画面分割器和长时间录像机为构件的监控系统。6.2校园监控系统功能1、视频动态分布功能每套主机总资源25帧/秒,可通过设定对重要操作图像进行帧数分配,以取得最佳记录效果。可以1-25帧/秒(可调)的速度进行录像。68 2、多画面显示功能系统采用多画面显示,而不是采用切换显示的方法,并提供云台镜头的操作控制功能。3、智能图像检测系统在存储过程中,当检测到连续画面时,如果发现与前一幅相同就丢弃它,或者只存储其中动作部分,进一步提高了压缩比,从而提高了系统存储录影图像能力,延长录影时间。4、可通过局域网进行远程监控基于WINDOWS平台开发的软件提供了强大的网络功能,用户可通过双绞线或光纤等传输媒介以DDN、INTERNET、LAN等多种方式连接正在录影的主机,并可实时监看、录像、控制云台镜头,可以设定远端摄像头的制式,设置远端图像的尺寸等参数。5、可程序控制录像时间表、可自动循环录像用户可自己设定何时自动开启系统录像,何时自动关闭录像,可设多个录影的时间段。当硬盘存满时可从头开始覆盖,循环录制。6、捕获静态画面用户随时可以从正在录影或播放的图像中捕获静态画面,以标准的BMP格式文件存放于硬盘上,或打印出来。7、回放、剪辑处理方便播放已录制的图像,除能模拟传统的录像机功能外,还可按指定时间直接搜索并回放图像,可选择文件回放,并可调节播放速度(1/4—16倍),播放中可对图像剪辑处理。例如可以捕获一幅静态图像,可以用普通打印机将它打印出来,可以通过电子邮件把它发送给远方。6.3校园监控系统组成1、分布于围墙、行政教学楼、宿舍楼、公共场所等区域的摄像机;2、置于监控中心的数字硬盘录像机;6.4校园监控摄像机布点1、摄像机布点详见图纸68 2、监控系统设备配置清单序号设备名称型号品牌单位数量1红外固定摄像机SR-B1760P世林台362彩色转黑白摄像机SR-G1310PF世林台163自动光圈镜头SSV0616GNB精工只164高速球机CVSD18NPS-W6开锐微视台25护罩 国产个46摄象机支架 国产套427电梯专用摄象机SR-D3750P世林台18楼层显示器BF-FM5380国产只19摄像机电源12V/1A国产只1710摄像机电源12V/10A国产只611室外立杆(含预埋件)3米国产根121216路硬盘录像机DS-8116HS-S海康威视台413硬盘500G希捷块814显示器19寸液晶(4:3)PHILIPS台1015电视墙每联上下3台显示器定做联116附件  批16.5监控系统设备选型国际上生产监控报警器材的著名厂商很多,他们的产品各有所长和侧重。有的同类产品质量相当,价格却相差很大,有的价格很低,但质量却不可靠,讲究甚大。对器材的选择直接关系到整个系统的最优化和造价,需要对厂家及其长项产品非常了解,对技术发展和产品升级换代信息非常清楚,同时要有丰富的实践经验。1、设备选型原则   本系统设备选型遵循如下三条:(1)采用实用而又质量可靠的硬件设备;(2)最优的性能价格比;(3)良好的售后服务。2、设备选型室内摄像机选用性能价格比较佳的韩国世林。智能高速球为Camvision公司产品,该产品选用永久型重载磁同步电机,具有电机停止保护功能,可靠性强,全面保护室外带变焦镜头的摄像机。以上产品均质量可靠,具有良好的性能价格比。3、主要设备技术指标68 B1760P-1/3"SONYSuperHADCCD-水平分辨率:550TVLines-内置固定镜头(f=6mm)-内置12个红外灯和1个感应器-最低照度:0.00Lux-红外防雨-DC12VModelB1760P扫描系统PAL扫描方式2:1隔行扫描扫描频率(水平)15.625KHZ扫描频率(垂直)50HZ摄像元件1/3inchSONYSuperHADCCD同步系统内同步所有像素795(H)*596(V)*470K有效像素752(H)*582(V)*440K水平分辨率550TV线视频输出1.0Vp-p(75Ω,复合视频)信噪比(S/N)大于48dB(AGC关)镜头固定镜头(f=6.0mm)视角60ⅹ最低照度0.00Lux(红外灯开启)自动增益自动背光补偿自动电子快门速度1/50~10,000sec红外灯和感应器850nm(30ⅹ)12个红外灯,1个感应器红外灯照射距离15m输入/输出控制电源(红色接口),视频(黄色接口)供应电压DC12V(9V~15V)功率消耗4W(340mA)尺寸62.0(H)*123.0(D)mm重量(净)约600g68 G1310PF-1/3"SONYSuperHADCCD-水平分辨率:550TVLines-功能开关:自动增益,背光补偿,消闪烁-自动白平衡-最低照度:0.3Lux,0.1Lux(黑白)-ModelG1310PF扫描系统PAL扫描方式2:1隔行扫描扫描频率(水平)15.625kHz扫描频率(垂直)50Hz摄像元件1/3inchSONYSuperHADCCD同步系统内同步所有像素795(H)x596(V)470K有效像素752(H)x582(V)440K水平分辨率550TV线视频输出复合视频:1.0Vp-p,75з,不平衡信噪比(S/N)大于48Ъ(AGC关)镜头架C/CSMount可变滤光片控制Video/ELC/DC(SlideSwitch)最低照度0.3Lux(F1.4,30IRE,AGC开),0.1Lux(黑白)彩转黑双滤光片切换电子快门速度1/50~1/100,000sec.DIPSW自动增益,背光补偿,消闪烁(开/关)白平衡自动储存温度-20℃~+60℃操作温度-10℃~+50℃(建议:-5℃~+40℃)供应电压DC12V(9V~15V)功率消耗2.4W(最大)尺寸65.0(W)x59.5(H)x127.5(D)mm重量(净)约315g68 视频压缩标准:H.264实时监视图像分辨率:PAL:704*576       NTSC:704*480回放分辨率:QCIF/CIF视频输入:16路视频输入接口:BNC(电平:1.0Vp-p,阻抗:75Ω),PAL、NTSC制自适应视频输出:1路视频环通输出:16路视频输出接口:BNC(电平:1.0Vp-p,阻抗:75Ω视频帧率:PAL:1/16--25帧/秒,NTSC:1/16--30帧/秒压缩输出码率:32K--2M可调,也可自定义。(单位:bps)通讯接口:1个RJ4510M/100M自适应以太网口,1个RS232口,1个RS485口SATA硬盘接口:8个SATA接口,每个硬盘容量最大支持2TBUSB接口:1个,支持U盘,USB硬盘,USB刻录机VGA接口:1个,分辨率:800×600/60Hz,1024×768/60Hz,1280×1024/60Hz报警输入/输出:16路开关量入/4路开关量出电源:AC220/110V(±10%),47--63HZ功耗(不含硬盘):20-35W工作温度:-10℃--+55℃工作湿度:10%--90%机箱:19英寸标准机箱尺寸(mm):89mm高×442mm宽×470mm深重量(不含硬盘):≤8Kg68 ·OSD中英文菜单,内置国标一二级汉字库(GB2312);·定时自动激活功能,可设定和调用预置点、花样扫描、区域扫描和显示区域等;·一体化集成设计,机芯运动部分采用全金属结构,结构紧凑,可靠性高;·运动角度、镜头倍数等参数可实时显示;·自动聚焦、自动白平衡;·可设256个高精度预置点;·精密的电机驱动,运转平稳,反应灵敏;·水平360°连续旋转,无监视盲区;·垂直90°范围转动,自动翻转180°后连续监视;·旋转速度根据镜头变倍倍数自动调整;·背光补偿功能,有强光源的环境中可以看到所有的物体;·兼容多种控制协议、波特率可调;·具有报警输入、继电器输出和密码保护功能;·外壳是采用冲压的铝合金外壳,同时透明罩采用的光学镀膜防暴加硬透明罩,镀膜具有增加透光率和防尘防静电作用;·内部附加自动跟踪模块的高速球,可实现自动跟踪功能;·具有防雷、防浪涌等保护功能。68 第七章、校园录播系统设计方案7.1、盖诺逸影全自动智能录播系统设计思想i、完整性:形式的便捷不是意味着功能的缺失,不能因为系统的集成性更高,而缺失原有的功能,移动的方便不能牺牲性能的代价,必须考虑兼顾系统功能的完整性和灵活性,盖诺逸影移动录播系统将原有设备高度集成,改进工艺,使功能的完整性和灵活性得以统一。ii、灵活性:由于要在不同的应用场合,系统必须具有轻便、简洁、便于移动的特点,盖诺逸影移动录播系统,采用轻便的航空铝制机箱,配备带定位的优质脚轮,并采用防震设计,避免移动运输过程中对设备的损伤。iii、便捷性:由于要在不同场合的应用,要求系统在极端的时间内架设完成,能在最短的时间内投入使用是盖诺逸影移动录播系统的基本设计要求,为此,盖诺逸影移动录播系统采取“一线式”连接方式,将系统连接所需的视频线、音频线、控制线、电源线等一次亚模成型,使整个系统移动到使用现场后,仅外接两条线缆就能投入使用,大大提高了系统的架设难度和使用难度。iv、可靠性:课堂教学的全过程或训练的片段,在课堂教学过程中,关键教学现象的发生,学生创造性的迸发,教师教学智慧的奔涌,有时是稍纵即逝,难以重复再现的,如果系统的自动化程度不高,信息记录不到位等等故障,就要贻误教学和培训。盖诺逸影移动录播系统采用教师智能信息识别技术跟踪拍摄教师授课场景、音视频联动系统跟踪拍摄学生发言特写场景,高清自适应硬件VGA采集系统采集教师课件,并根据情况适时进行全景的拍摄。v、数据的多样性:盖诺逸影移动录播系统不但能完成单画面、多画面、画中画等模式的录制,还可同时录制便于直播和点播的ASF格式的文件及便于后期非编的AVI格式的文件,这样为我们提供了丰富的数据,使录制的视频课件更加多样和实用。vi、68 开放性:系统在网络范围内可控的开放性和硬件设备的通用性。系统具备10组以上的音视频接口,预留软硬件扩充端口,使系统不仅能使用标配的摄像机、拾音器,还可轻松的接入校方原有的摄像机、话筒等音视频设备,使系统和校方原有的资源优化组合,发挥更大的效应。i、规范性:系统设计要按照国际或国家有关标准,并根据系统总体结构的要求,将各子系统进行结构化和标准化,采用的主要设备应经过有关权威部门的检测,具备相关的认证。7.2、系统连接拓扑图68 7.3、设备配置清单设备名称产地、型号功能描述数量人体力学讲台EF3000-SZ高级烤漆工艺,E1级防火板材、造型美观时尚,人体工程力学设计,液晶升降式设计,一体化防盗设计,设备规划合理,散热良好,含各类外设接口,方便实用1触摸式控制台EF-3000-C5.7英寸彩色触摸屏,可进行自动、手动微格教学控制,可对各微格教师摄像机进行动作控制,各类外部媒体及灯光等其他控制1全自动智能微格教学主机EF-3000-E智能剪辑、自动切换、提供多组音视频及外部媒体输入输出端子1课件高清信号采集系统EF-3000-V高清晰硬件视频信号采集、色彩饱满、图像流畅,支持笔记本、展台、DVD等外设直接采集,采集分辨率最高支持1600*1200,32位色1图形图像工作站DELLDELL图形工作站/Intel四核2.4G、2G内存、256M独立显卡、250G硬盘、1000M网卡、DVD-RW,键盘鼠标、音视频数据高速处理,实时编码,支持直播及点播,预装操作系统及编辑软件等,正版杀毒软件、操作系统一键恢复。实时完成对计算机网络及有线电视网络直播1教师智能跟踪主机EF3000-TG全教室智能跟踪教师授课全过程、跟踪实时、流畅,教师始终处于画面主体特写拍摄1教师鹅颈麦克得胜鹅颈式指向性话筒1教师红外麦克松下红外发射、含接收主机等1音视频联动跟踪主机EF3000-SG音视频联动、学生发言自动切换到学生特写、跟踪拍摄1学生拾音器吸顶式界面麦克,全向性教室拾音2调音台YAMAHA12组输入通道,8单声道4立体声,10个高性能话筒放大器带幻象电源开关1学生发言无线系统EF3000学生发言控制、每套含无线控制主机、教师控制器及学生控制器30个1交换机DLINK10161功放湖山1音箱欧曼6寸KTV音箱一对1教师、板书摄像机SONYD70,教师信号采集、1学生摄像机SONY1视频编码器LB6802全自动智能微格控制软件EF-3000-RS全场景调度、全过程自动智能微格教学,提供直接刻录光盘等辅助功能,全数字语音通话系统,控制室与微格教室实时数字通话,并可进行语音及视频联动,同时进行音视频交1联接组件EF-3000-L系统联接、传输、控制组件及各类工程耗材2工程费布线、安装、调试168 7.4、盖诺逸影全自动微格教学系统特点及优势7.4.1、教学常态化环境下,完成智能自动录播:能在教学常态化下,即教师和学生在没有外界干扰,进行全自动智能录播,从课堂音视频教学内容采集、各类教学场景的调度到整个过程的录制,到最后影像课件的形成、实时直播都在教师、学生无感的情况下实时完成。单画面电影模式多画面资源模式单画面窗口模式7.4.2、全面真实的立体化实录模式,真实展示课堂实际教学场景:教师讲课场景、教师板书场景、学生听课场景、师生互动特写、实物展台、DVD等外部多媒体教材、教学课件VGA信号实时采集,无论PC机、笔记本、实物展台、DVD等内容均可实是同步录制,清晰流畅。7.4.3、高效智能音、视频联动技术通过智能音视频联动技术,配合微格教室端高清拾音设备,不论是教师授课还是学生发言、师生互动的影像和声音,系统都能快速精确定位,同步进行音视频采集,同时进行音视频同步处理,音视频同步率小于40毫秒,真实精确录制师生间精彩的课堂互动和活跃的课堂气氛。主控观摩端可以通过全数字语音评估系统,实时进行音视频联动评估,整个过程全自动完成,主控观摩端只需选择被评估的教室,声音、图像同步联动,无需单独对音视频源进行复杂的操作,被评估端的教学场景实时的显示在液晶大屏幕显示系统,通过全数字语音评估系统即可进行实时的指导和点评。第87页共87页 7.4.4、国际领先技术,硬件完成VGA采集、压缩和输出:上海盖诺电子基于多年来对教育的理解,整合了多年来在嵌入式领域和DSP开发的技术优势,强势推出了基于DSP技术的集VGA采集、编码于一身的“VGA采编系统”。1)视频高度清晰:对视频信号采用高达32位的高速模数转换,保证采集画面达到高清标准,没有损失,接近原始信号。2)信号连续实时:对RGB信号进行实时采样、采集、模数转换、压缩。3)采样范围宽:128Kbit-3Mbit/秒,最大可支持1600*1200*85Hz,显示视频、文字、图片、网页都可保证清晰、连续、稳定。4)VGA信号的实时采集压缩和传输:支持台式机、笔记本、实物展台等VGA输出信号采集。7.4.5、全格式支持,自动、手动一键式操作,简单易用:自动编辑,自动生成标准格式课件,自动生成网络资源库1)系统能够将教学过程中的音视频和计算机动态画面进行实时编码保存,存储为通用的H.264、WMV、ASF格式文件2)可对录制好的课件添加索引和目录,点击索引时自动跳转到相应的位置3)可对课件进行剪切、合并、字幕、特技等非线性编辑处理;4)录制后的课件可以自动转为可点播的课程,自动形成网络点播资源库中的资源。5)录制的课件直接进入资源库,用户使用IE浏览器登录立即可进行点播;6)支持课件的批量导入导出,便于交流分享;7.4.6、强大的主播和点播自习,微格评测功能:1)功能强大的BS架构资源管理平台,基于国家《教育资源建设技术规范》《国家精品课程上网技术要求》的要求具有用户管理、权限设置、资源分类、直第87页共87页 播接收、课件点播等功能;1)课堂实录过程中,其他用户可通过IE登录此平台,以单画面或多画面方式实时接收讲课内容;2)集VOD点播、流媒体点播、录播资源点播、录播教室现场直播功能于一体的流媒体服务平台,实现了点播资源的存储、直播资源的转发,为点播资源的上传、管理提供后台的数据库服务。3)支持远程观摩、评测,提供教学评估系统,实时进行音视频、文字点评,打分,统一进行记录,综合评测,并形成统一的单项、汇总EXCEL成绩单,可打印输出。7.5、盖诺逸影全自动微格教学系统方案介绍7.5.1、视频信号采集子系统主要实现录制教室视频信号的实时采集。主要包含教师摄像机、学生摄像机、板书摄像机、教师多媒体VGA采集等。7.5.2、音频信号采集子系统主要是完成教室内各个场景声音信号的采集,教师讲台授课时为老师配置桌面鹅颈式话筒、黑板教学及课堂内移动教学是配置领夹式无线话筒,其他方式的拾音体系均适用第87页共87页 7.5.3、全自动录播子系统全自动录播子系统不仅用于外部多媒体设备的控制,更重要的是通过它完成教师授课录播过程中的策略调度,包括特技、字幕模块的调度1)画面场景智能调度:在教师授课过程中,把和教师有关的场景,和学生有关的场景,和教学手段的有关场景,遵循时间发生顺序自动切换到录播主画面。2)教师智能信息识别:系统会根据老师的具体位置和操作进行智能定位,自动跟踪教师的实时动态,自动切换至主画面。3)音视频联动智能定位拍摄:通过与当前被评估教室的语音通话,自动切换相应摄像机或将摄像机转到相应预制位置。同步实时的录制该微格教室音视频,音视频同步率小于40毫秒4)网络实时直播、点播子系统主要实现录课教室的授课场景视音频信号的编码压缩、网络实时直播。录制完成后存储在本地或网络中的服务器上,实现校园网实时点播。7.5.4、课件存储、智能编辑子系统全自动微格教学系统软件、流媒体发布平台配套实现精品课件的全自动录播、智能编辑、实时直播和后期点播,实时课堂可自动转为可点播的课程,可自动生成网络点播资源库。同时生成的课件为标准WMV、asf视频文件,可通过系统配套的非线性编辑软件或常用非线性编辑软件进行后期编辑。7.5.5、录播控制子系统1)录播编辑控制台部分能自动或手动控制附属设备协同工作,控制设备的切换、使用、参数调节;通第87页共87页 过该设备提供的显示、指示功能,可直观的得到结果。该录播编辑控制台包换以下设备:7.5.6、本地、远程主控子系统为了更好地把授课教师从一些控制操作中解脱出来,我们可以把控制功能剥离出来。根据用户的实际需求,建设远程固定式、移动式控制端,协助授课老师完成摄像头切换、远程协助教学等控制。5.7、编码、压缩、直播子系统全自动多画面录播主机:全自动多画面录播主机是集VGA,视、音频采集,编码于一体的,实现录播过程的预监、录制、多画面合成、存储、传输等功能。其VGA的采集是由盖诺电子公司自主研发的VGA实时采集系统,国内首创VGA信号硬件实时采集压缩技术,采集画面达到高清标准,播放内容清晰、连续、稳定。其视音频采集生成的课件为标准H.264、WMV、asf格式,使用windowsmediaplayer即可播放,兼容市场上的多种资源点播平台。7.5.8、全自动微格教学软件系统l单画面电影模式、单画面多窗口模式,多画面资源模式,多画面互动模式课件录制模式选择:可实现最大1600*1200分辨率、32位色流媒体编解码;音视频信号数字降噪处理;实时录制;实时直播;自动生成片头片尾;录播全程监控。支持单文件单流单画面编码,也支持单文件单流多画面编码,同屏显示不互相覆盖叠加,回放时可独立调整每个画面的大小;分辨率、码率可设置。第87页共87页 l主题策略设置:可对系统输入输出设备设定自动操作模式;定义情景逻辑;根据授课课型的变化,设定相应自动编辑策略,调度协同控制系统设备工作。主题策略设置l课程信息设置:根据需要填写相应的“课程名称”、“主讲教师”、“讲课地点”、“讲课时间”以及“课程简介”信息。第87页共87页 课程信息设置l片头片尾模板设置:为录制的课件添加的片头、片尾。可以选用系统提供的默认模板同时也可以选择自己的图片。片头片尾设置l其他设置:编码设备设置,可设置视频、VGA的编码码率;存储路径选择;云台控制设置;发布到BS点播平台。l录播系统远程网管软件通过网络远程管理所有教室的录播主机,完成状态监视、参数配置、编码预览第87页共87页 等功能,同时可对主摄像机的上下左右摇动及变焦等控制,并可完成主讲教室-听课教室的直播功能。l录播系统资源管理平台软件录播系统资源管理平台采用B/S架构,实现网络接收教学直播、资源管理、点播等功能;后台功能:基本管理:可进行前台参数设置、用户参数设置、站点安全设置、后台参数设置。资源管理可进行资源的发布,并对前台发布的资源可进行分类、编辑、删除。用户管理支持多用户权限,能够给不同的用户设置不同的权限,包括登接收直播权限、点播权限、资源添加权限、后台管理l多画面编辑软件多画面编辑软件实现对录制下来的多画面课件中的多路视音频同步编辑,具有剪切、合并、分离、组合、添加索引等功能。第87页共87页 多画面编辑软件界面l远程观摩、评测软件支持远程观摩、评测,提供教学评估系统,实时进行音视频、文字点评,打分,统一进行记录,综合评测,并形成统一的单项、汇总EXCEL成绩单,可打印输出。第87页共87页 第八章一卡通系统设计方案8.1、系统设计原则8.1.1适用性当今科技发展迅速,可应用于一卡通系统的技术和产品可谓层出不穷,工程中选用的系统和产品都应能使用户得到实实在在的受益,并满足近期使用和远期发展的需要。在多种实现途经中,选择最经济可行的途经。8.1.2先进性系统的设计和产品选用在投入使用时应具有一定的技术先进性,但不盲目追求尚不成熟的新技术或不实用的新功能,以充分保护用户的投资。8.1.3可靠性系统的设计应具有较高的可靠性,在系统故障或事故造成中断后,能确保数据的准确性、完整性和一致性,并具备迅速恢复的功能。8.1.4实施的可行性以现有成熟的产品为对象设计,同时还考虑到周边信息通信环境的现状和技术的发展趋势,并考虑行政主管部门管理的要求,使设计的方案现实可行。8.1.4标准化、开放性标准化、开放性是信息技术发展的必然趋势,在可能的条件下,设计中采用的产品都尽可能是标准化、具良好开放性的,并遵循国际上通行的通信协议。应用软件尽量采用已商品化的通用软件,以减少二次开发的工作量和利于日后的使用和维护。8.1.5可扩充性系统设计中考虑到今后技术的发展和使用的需要,具有更新、扩充和升级的可能。8.1.6数据安全采取必要的措施保障5Y一卡通系统数据的安全。8.1.7易操作性一卡通系统是面向企业或机关使用的系统,系统及其功能的配置以能给客户提供舒适、安全、方便、快捷为准则,其操作应简便易学,绝不能因“智能”而给用户带来不便,甚至烦恼。8.1.8针对性一卡通系统的设置并非千篇一律的,而应根据企业或机关的需求和发展做出有针对性的设计。本方案中采用的系统基于整个企业或机关“考勤、消费、门禁一卡通”控制系统,可以方便的实现功能方面的扩展和数量方面的扩展,设计用非接触IC卡充当通行卷。第87页共87页 8.2、系统技术描述8.2.1软件概述:5Y企业版是基于目前最先进的非接触式智能卡技术、计算机技术、网络通讯技术结合一体开发的高新产品。将用户、卡片、读卡设备以及管理需求紧密联系在一起,组成5Y系统,用一张IC卡可实现身份识别和电子消费,如门禁、考勤、消费、会议签到等应用。持卡人的各类信息可通过非接触智能卡、终端读写设备、网络传送到控制中心服务器,各类管理人员可通过管理系统,进行实时监控和管理。可应用在各企、事业单位,该系统具有科学、安全、便捷和轻松的特点,更具有保密性高、可靠性高、网络结构简单、数据传输能力强、应用范围广等优点。  5Y企业版中采用了先进的非接触式智能卡(又称射频IC卡),是世界上近几年发展起来的一项新技术,它成功地将射频识别技术与电子技术结合起来,解决了无源(卡中无电池)免接触这一难题,是电子器件领域的一大突破。此非接触式智能IC卡采用了全球唯一的32位序列号,无机械磨损,三重密码校验机制,从而保证了使用卡片的唯一性;卡内16个分区,每个分区有独立的密码保护,操作时相互不影响使用;此卡应用快捷、灵活、安全,非常适合企业管理多用性和安全性的要求。8.2.2、软件的特性:(1).5Y企业版在原有基础上综合了上百家典型客户的需求,专业打造企业级应用,功能更加完善,操作更加简单,性能更加稳定; (2).5Y在同行中率先开创软件入口界面DIY(Doityourself)时代,允许使用者对软件的功能模块进行自由组态,甚至溶入企业文化,真正体现企业个性; (3).平台与应用系统之间可灵活搭配(4+N),增强了系统的整合性和扩充性。 3.5Y优势:(1).完善的安全机制:系统具备功能权、部门权、等级权和报表权4级权限制; (2).灵活的功能模块:考勤系统中大部分的控制参数均可用自定义公式来设定;无数量限制的班次设定、灵活的排班机制等;工资系统智能化的公式设定和银行数据接口等;消费系统中的帐务平衡体系等等; (3).友好的操作界面:全系统统一的界面风格;即点即看的在线帮助; (4).强大的报表体系:整个系统的报表均可实现自定义,并具备报表模板的导入导出功能; (5).良好的可扩展性:可在现有平台基础上增加任何功能而不影响其它的应用子系统; (6).先进的结算方式:在国内首创"智能卡会计期间"概念,从根本上解决了业内熟知的"数据累计不平帐"、"垃圾数据遗传"等瓶颈问题。第87页共87页 8.3、系统结构示意图:8.4一卡通管理系统8.4.1一卡通考勤管理系统1.系统概述:考勤管理系统是5Y企业版应用模块之一,结合公司的考勤门禁机,采用最先进的非接触式IC卡,实现考勤的智能化管理。第87页共87页 2.系统软件特点:本套系统考虑非常周全,工作方式、周休日、节假日、加班、请假、出差等等考勤相关因素都在考虑之列;对于调班、轮休、计时、直落等也有灵活的处理。  在排班方面精确到了每人每天,具有5级排班组合,并可套用设定好的排班规律,且排班时使用万年历,使得排班灵活轻松方便。  系统还首次引用了"班包"概念,将多个基本班次集合成一个班包,有效地解决了模糊班次的处理问题。  独特的72小时(昨天今天明天)时间坐标,使得跨天班、跨天打卡等以前比较棘手的问题变得相当简单,也使得分析速度有很大的提高。第87页共87页   国内首创"智能卡会计期间"概念,使得考勤数据在结算后,实现与工资系统的无缝结合。  内嵌的自定义报表系统实际上是一个功能强大的中文报表制作系统,它使得报表的制作不再单是开发人员的事,技术服务人员甚至用户都可以制作精美的报表。3.硬件介绍:非接触式考勤门禁机性能特点:l大液晶显示屏,可显示时间、日期、星期、员工卡号及姓名等。l采用触摸键盘配合操作菜单设置参数,密封防尘,使用简单。l三种工作模式,即纯考勤、附加判断权限与时限的门禁,附加判断权限的门禁。l可由管理软件联网设置日期、时间、权限与时限。第87页共87页 l时钟的快慢可以精确调校。技术参数:(1).最大发卡量:纯考勤模式时无限制;附加门禁功能时为30万张。(2).最大存储量:刷卡记录2万条。(3).电擦写芯片存储数据,可保证数据十年不丢失。(4).工作电源:12VDC。功耗:小于3瓦。(5).体积:185mm×130mm×43mm。(6).环境条件:工作状态下,温度0℃—50℃,湿度10%—90%;储存状态下,温度-20℃—60℃,湿度10%—90%。8.4.2、一卡通消费管理系统1.系统概述:本消费管理系统,根据消费方式不同,使用不同的卡类,便可实现充值消费和签单消费。消费结算系统,采用可以按照指定的要求,按月、按日、按餐、按消费机、按分组进行统计查询。系统具有多种收费方式:零售模式、编号模式、充值模式、赊帐模式、限次模式、限时模式等。 2.系统软件特点: (1).多种消费方式:系统中有多种消费方式:单价、定值、编号、赊帐等一系列消费模式,且这些消费方式可以并存,既:一台消费机可以有两中消费模式,如:单价+赊帐。(2).灵活的餐类设置和充值方法:系统自动根据用户所设定的餐类进行消费数据统计,方便承包商了解不同餐类的消费情况;手工充值和团体自动充值能满足不同的充值需求;第87页共87页 (3).方便的数据查询方式:系统根据使用者的不同,提供不同的查询方式,如:主办者资金收支情况查询、承包商消费数据情况查询、消费者个人帐务情况查询等。此外,内嵌功能强大的自定义报表系统,让用户可随心所欲地设计出不同的精美报表。(4).先进的期间结算方式:系统使用的"会计期间结算",从根本上解决了"垃圾数据遗传"的瓶颈问题。(5).方便的数据查询方式:系统根据使用者的不同,提供不同的查询方式,如:资金收支情况查询、消费数据情况查询、消费者个人帐务情况查询等。此外,内嵌功能强大的自定义报表系统,让用户可随心所欲地设计出不同的精美报表。第87页共87页 3、硬件介绍非接触式IC卡消费机1.性能特点:◆采用标准TCP/IP通讯,可直接接入局域网使用。◆连网时可实时采集数据及自动下载黑名单,断网自动保存记录,可脱机运行。◆单价、定值、时段定值、赊账等多种消费模式。◆具有卡有效期控制、次最大消费额限制、日最大消费额限制及按餐类限次等功能。◆带USB、打印机接口和标准PS2接口,可连接密码键盘。◆可设置超额消费需输入密码。◆内置后备电源,可持续供电8小时左右。◆双屏液晶显示,键盘防水设计,机身耐磨设计。第87页共87页 ◆配套应用有:充值机、自动终端(改密码及挂失)、计时扣款机等。2.技术参数:◆发卡数量:100万◆通讯方式:TCP/IP标准以太网通讯◆读写时间:<0.5秒◆读写距离:2~5cm◆尺寸:24.5cm×16cm×8.5cm◆刷卡记录:消费记录3万条/黑名单100万个◆颜色:银灰色◆数据保持时间:10年◆功率:<3W◆环境温度:-10℃~50℃◆环境湿度:0%~90%8.5一卡通系统设备清单消费系统序号产品名称型号品牌单位数量备注1消费机DACF1达实台14TCP/IP2发卡机DACFK-IC达实只1 3消费软件DAC5Y-XF达实套1 4卡片MIFAREONE菲利浦张1500 考勤系统5考勤机DACK1达实台2TCP/IP6考勤软件DAC5Y-KQ达实套1 第87页共87页'