校园网络安全系统建设（通用方案）

近年来随着《网络安全法》等法律法规、条例的办法，网络安全越来越受到企事业单位的重视，以往在咱们的信息系统里面只是配角的网络安全设备现在摇身一变成了“网络安全系统”…本文介绍的校园网络安全系统是针对一个真实智慧校园项目的安全加固，涉及面较多，各位可以参考下。

1 网络安全系统概述

在 XXX 高中及初中学校云计算中心的北向和南向，与互联网对接的边界处以及与教育城域网对接的边界处均部署安全访问控制设备，包括防火墙、安全网关等，能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力，控制粒度为端口级，同时系统具备对进出网络的信息内容进行过滤，实现对应用层协议的命令级控制，充分确保系统非实时在线层面的安全保护功能。通过网络及安全系统的部署具备限制网络最大流量数及网络连接数的功能，在网络中的各个应用层面实现对各网段的防止地址欺骗控制，支持按用户和系统之间的允许访问规则，允许或拒绝单个用户对受控系统进行资源访问。

网络安全防护方面，根据信息安全等级保护要求（参照第二级）需配置 2 台下一代防火墙。其中，2 台防火墙互为备份，进行互联网接入区域的安全隔离和防护；另外，还需配置 2 台互联网出口审计（含上网行为管理）设备互为备份，对访问内容、应用类型、操作类型等进行审计和行为管理。

安全控制策略主要包括物理安全控制策略、访问控制策略和防火墙控制策略等。

（1）物理安全策略：目的是保护计算机系统、网络设备、各种服务硬件和通信链路免受自然灾害、人为破坏和搭线攻击；验证用户的身份和使用权限，防止用户越权操作；确保计算机系统有一个良好的电磁兼容环境；建立完备的安全管理制度，防止非法进入计算机控制室和各种盗窃、破坏活动的发生。

（2）访问控制策略：保证网络资源不被非法使用和访问。是维护网络系统安全，保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到包含的作用，访问控制是网络安全最重要的核心策略之一。主要由服务器访问控制、网络权限控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络检测和锁定控制及网络端口和节点的安全控制组成。

（3）防火墙控制：控制内外网通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络，以阻挡外部网络的侵入。安全策略配置要点如下：

对物理安全进行服务器访问控制、远程访问、sshkey 身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制、镜像和快照保护。
对应用访问设置 WAF 防护与数据进行安全审计、用户访问资源权限控制、接口安全设计、数据保密与备份恢复。
对网络设置 IPS、防病毒、入侵防护、数据泄露防护、网页过滤、邮件过滤等防御功能；控制内外网通信以隔离内部和外部网络，阻挡外部网络入侵。
对运维管理设置堡垒机以监控和审计操作流程、配置管理和数据备份。

2 网络安全系统架构

根据国家标准《信息系统安全等级保护基本要求》（GB/T2019），信息系统的安全技术体系架构应包含物理、网络、系统、应用和数据等五个层面的安全控制要素。

根据信息系统安全等级保护的总体思想，结合荣昌中学智慧校园的特点，提出平台安全管理体系架构。

“总体安全策略”位于信息系统安全管理体系的第一层，是“智慧校园安全管理体系的最高指导策略。它明确了智慧校园规划设计、开发、建设和运行维护应遵循的总体安全策略，对信息安全技术和管理各方面的安全工作具有通用指导意义。

“安全管理组织框架”位于信息系统安全管理体系的第二层，负责建立“智慧校园安全管理组织框架。它是确保荣昌中学智慧校园安全稳定运行的管理体系，保证信息系统安全管理活动的有效开展。

“安全管理制度框架”位于信息系统安全管理体系的第三层，分别从安全管理机构及岗位职责、人员安全管理、物理环境管理、信息系统的信息/设备/介质安全管理、系统建设管理、安全运行管理、安全事件处置和应急预案管理等方面提出规范的安全管理要求。

“配置规范、操作规程和记录表单”位于信息系统安全管理体系的第四层，从信息系统日常安全管理活动的执行出发，对主要安全管理活动的配置规范、操作规程、执行各类安全管理活动或操作活动的操作类表单提出具体要求，指导安全管理工作的具体执行。

3 网络安全系统设计

根据等级保护技术要求，对物理安全、网络安全、主机安全、应用安全、数据安全的要求，荣昌中学智慧校园从逻辑隔离、安全域划分和访问控制、安全审计、入侵防范、身份鉴别、病毒和恶意代码防护、网络设备等方面进行防护。

3.1 物理安全设计

本项目所需要的机房已建成，在物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、电磁防护方面达到了 G3 的防护要求。

（1）温湿度控制（G3）要求设置了温、湿度自动调节设施，使机房温、湿度的变化在设备运行所允许的范围之内。

（2）电力供应（A3）要求

在机房供电线路上配置了稳压器和过电压防护设备；
提供了短期的备用电力供应，至少满足主要设备在断电情况下的正常运行要求；
设置了冗余或并行的电力电缆线路为计算机系统供电；
建立了备用供电系统。

3.2 网络安全设计

3.2.1 网络结构安全

网络结构的安全是网络安全的前提和集成，在荣昌中学智慧校园合理规划网络、业务重点与业务服务器之间建立安全路径；绘制与当前运行情况相符的网络拓扑结构图；根据各部门的工作职能、重要性和所涉及信息的重要程度等因素，划分不同的网段或 VLAN；保存有重要业务系统及数据的重要网段不能直接与外部系统连接，需要和其他网段隔离，单独划分区域。

3.2.2 网络设备防护

为提高网络设备的自身安全性，保障各种网络应用的正常运行，对荣昌中学智慧校园的网络设备进行一系列的加固，措施包括：

对登录网络设备的用户进行身份鉴别，用户名唯一；
对网络设备的管理员登录地址进行限制；
身份鉴别信息须具有不易被冒用的特点，口令设置需 3 种以上字符、长度不少于 8 位，并定期更换；
具有登录失败处理功能，失败后采取结束会话、限制非法登录次数和当网络登录超时自动退出等措施；
启用 SSH 等安全方式，加密管理数据，杜绝网络窃听。

3.2.3 边界访问控制

针对荣昌中学智慧校园边界访问控制，将采取如下措施：

在教育专网网络出口部署防火墙系统产品，可以对所有流经防火墙的数据包按照严格的安全规划进行过滤，将所有不安全的或不符合安全规划的数据包屏蔽，杜绝越权访问，防止各类非法攻击行为。
教育专网网络与其他部门网络相连，为了防止来自其他网络的攻击，网络出口处部署抗拒绝服务系统，可有效阻止网络内其他终端的攻击。
在业务服务区部署防火墙系统，对业务数据库设置访问控制策，阻止非法用户访问业务应用服务器。
在核心交换机及业务服务区部署防火墙，设置访问控制列表策略，禁止终端对业务服务器域的直接访问、禁止终端用户对安全管理域的访问。

3.2.4 边界入侵检测

在各区域边界，防火墙起到了协议过滤的主要作用，根据安全策略在网络层判断数据包的合法流动，但面对越来越广泛的基于应用层内容的攻击行为，防火墙并不擅长。

在教育专网网络核心交换机及业务服务器域交换机旁路部署入侵检测设备，利用 IDS 的动态检测功能，对访问状态进行检测，对通信协议和应用协议进行检测，对内容进行深度的检测，网络出口处部署一台 IPS 阻断来自外部的数据攻击以及垃圾数据流的泛滥。

3.2.5 边界安全审计

传统的防火墙、入侵检测等设备，可以实现对网络的访问控制、异常检测、网络攻击等事件的防范，但不能监控网络各边界内部授权用户的访问，因此需要网络安全审计设备对网络边界的用户访问行为进行监控管理及安全事件取证。

在教育专网网络出口处部署网络审计系统，进行数据监视并记录各类操作，通过审计分析能够发现跨区域的安全威胁，实时地综合分析出网络中发生的安全事件。

3.2.6 非法外联

根据等级保护要求，需要对终端用户的非法外联行为进行检测和控制。对用户非法违规外联行为进行监控审计。

荣昌中学智慧校园所涉及的外网终端主机非法外联控制，采用主机监控与审计系统，实现违规外联功能，对终端用户的违规外联进行检测和审计。

3.3 主机安全设计

3.3.1 身份鉴别

为提高主机系统安全性，保障各种应用的正常运行，对荣昌中学智慧校园的主机系统需要进行一系列的加固措施，包括：

部署终端安全登录系统，终端系统登录采用 USBKEY 结合，进行终端系统登录。
对登录操作系统和数据系统的用户进行身份标示和鉴别，且保证用户名的唯一性。
根据基本要求配置用户名/口令，口令采用 3 种以上字符。长度不少于 8 位并定期更换。
启用登录失败处理功能，登录失败后采取结束会话。限制非法登录次数和自动退出等措施。
远程管理时应启用 SSH 等管理方式，加密管理数据，防止被网络窃听。

3.3.2 加固措施

针对荣昌中学智慧校园的主机系统访问控制策略需要进行一系列的加固措施，包括：

此次项目服务器及终端进行手动安全加固，加固内容包括：限制默认账户的访问权限，重命名系统默认账户，修改账户的默认口令，删除操作系统和数据库中过期或多余的账户，禁用无用账户或共享账户；根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；启用访问控制功能，依据安全策略控制用户对资源的访问。
在交换机和防火墙上设置不同网段、不同用户对服务器的访问控制权限；
关闭操作系统开启的默认共享，对于需开启的共享及共享文件夹设置不同的访问权限，对于操作系统重要文件和目录需设置权限要求。
设置不同的管理员对服务器进行管理，分为系统管理员、安全管理员、安全审计员等以实现操作系统特权用户的权限分离，并对各个账户在其工作范围内设置最小权限，如系统管理员只能对系统进行维护，安全管理员智能进行策略配置和安全设置，安全审计员只能维护审计信息等。

3.3.3 系统安全审计

针对荣昌中学智慧校园的主机系统安全审计需要部署主机监控与审计系统进行系统安全审计，包括：

审计功能包括文件操作审计、外挂设备操作审计、非法外联审计、IP 地址更改审计、服务与进程审计等。
审计范围覆盖到服务器上的每个操作系统用户和数据库用户，内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。
审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等。
保护审计记录，避免受到未预期的删除、修改或覆盖等。同时，根据记录的数据进行统计分析，生成详细的审计报表。

3.3.4 入侵防范

针对荣昌中学智慧校园的主机系统入侵防范采取如下措施：

操作系统遵循最小安装的原则，仅安装需要的组件和应用程序，并通过设置升级服务器等方式保持系统补丁及时得到更新。
教育专网网络出口处部署网络入侵防御系统，在核心交换机部署网络入侵检测系统；能够对重要程序的完整性进行检测，并在检测到完整性受到破坏后具有恢复的措施；在 IDS 和 IPS 上配置安全策略，进行联动，对应用程序进行检测。
在教育专网核心交换机旁路部署漏洞扫描系统，定期对教育专网网络、服务器、终端进行安全评估，及时发现系统漏洞，定期进行安全加固。
配置 IDS 入侵检测，核心交换机及业务服务区交换机做端口镜像，利用网络入侵检测系统的多路保护/监听功能，IDS 检测端口分别接入是核心交换机及业务服务区接入交换机，监听业务服务区网络异常。

3.3.5 主机恶意代码防范

各类恶意代码尤其是病毒、木马等是荣昌中学智慧校园的重大危害，病毒在爆发时将使路由器、防火墙等网关设备性能急速下降，并且占用整个网络带宽。
针对病毒的风险，将病毒消灭或封堵在终端这个源头上。在所有终端主机和服务器上部署网络防病毒系统，加强终端主机的病毒防护能力并及时升级恶意代码软件版本以及恶意代码库。
在终端机、服务器部署防病毒工具，安全管理安全域中，部署防病毒服务器，负责制定防病毒策略。在网络边界通过防火墙进行基于通信端口、带宽。连接数量的过滤控制，可以在一点程度上避免蠕虫病毒爆发时的大流量冲击。同时，防毒系统可以为安全管理平台提供关于病毒威胁和事件的监控、审计日志，为全网的病毒防护管理提供必要的信息。

3.3.6 资源控制

针对荣昌中学智慧校园的资源控制采取如下措施：

在核心交换机与防火墙上配置详细的访问控制策略，限制终端的接入方式、网络地址访问。
根据安全策略设置登录终端的操作超时锁定，设置终端登录超时时长 10 分钟。
限制单个用户对系统资源的最大或最小使用限度。根据用户的工作需求，在满足其工作需求范围内，修改用户权限，并设置资源使用房屋。对服务器、终端计算机利用 root 用户登录操作系统，修改各账户权限，利用 chmod 命令修改系统资源权限。
部署运维管理平台软件对服务器进行监视，监控软件需能监视服务器的 CPU、硬盘、内存、网络等资源的使用情况。当系统的服务水平降低到预先规定的最小值时进行检测和报警。

3.4 应用安全设计

3.4.1 身份鉴别

根据等级保护建设要求，身份鉴别主要采用以下方式：

用户账户、用户的姓名应仅允许输入中英文字符、数字和下划线，不允许输入空格，回车和“.”等特殊字符。
此次项目部署终端登录身份认证系统，采用双因素进行认证，抵御非法访问，提高认证的可靠性，降低来自内/外部非法访问者的身份欺诈和来自内部的更隐蔽的网络侵犯，同时也为安全事件的跟踪审计提供依据。
口令强度定义为弱、中、强三级。长度不满足要求或不是字母数字组合的口令，强度为弱，不允许保存；长度符合要求且为字母数字组合，但其中包含重复的字符的口令，强度为中，允许保存；长度符合要求且为字母数字组合，口令中不包含重复的字符，口令强度为强，允许保存。
在系统后台可以配置登录超时时间，以默认 10 分钟为单位进行配置。
在系统后台可以配置非法登录用户锁定的次数，默认为 5 次。

3.4.2 访问控制

用户登录认证，需要通过用户名密码和 CA 证书两种方式。

用户注册时，提示用户名长度需在 5-16 位之间。用户输入用户名之后，点击【检索】可以判断改用户名是否已经被使用，如果被使用，则不能重复注册，只能更改用户名，再次检索，直到检索判断为【该用户名未注册，可以使用】为止。
用户注册时，系统对密码进行复杂度检验，必须包含数字字母，长度在 6-16 位之间。并且每隔 90 天，需要修改密码，修改后的密码不能和之前的密码相同。
当用户输入用户名和密码登录时，密码连续 5 次输入错误，则再进行登录时，系统拒绝提供登录服务，锁定该账户，该账户状态改为锁定状态，只有系统管理员可以解锁该账户，并提示【“密码输入错误次数已达上限，您的账户已被锁定，请联系系统管理员进行解锁”】。

3.4.3 安全审计

在网络中旁路部署安全审计系统（SAS），将网络流量镜像至安全审计系统（SAS），从而实现对访问内容，应用类型，操作类型进行审计。

针对网络中内部人员的敏感信息泄露、违规网络行为等层出不穷的安全事件，需设计完善的安全审计方案。安全审计系统通过对网络数据的采集、分析、识别，实时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为，实时报警响应，全面记录网络系统中的各种会话和事件，实现对网络信息的智能关联分析、评估及安全事件的准确定位，为整体网络安全策略的制定提供权威可靠的支持。

1）内容审计

提供深入的内容审计功能，可对网页页面内容、邮件、数据库操作、论坛、即时通讯等提供完整的内容检测、信息还原功能；并可自定义关键字库，进行细粒度的审计追踪。

2）行为审计

提供全面的网络行为审计功能，根据设定的行为审计策略，对网站访问、邮件收发、数据库访问、远程终端访问、文件上传下载、即时通讯、论坛、移动应用、在线视频、P2P 下载、网络游戏等网络应用行为进行监测，对符合行为策略的事件实时告警并记录。

3）流量审计

提供基于协议识别的流量分析功能，如：可识别使用 80 端口的 P2P 协议，避免基于 80 端口的 HTTP 协议流量统计错误，更精确可靠；实时统计出当前网络中的各种报文流量，进行综合流量分析，提供详细的流量报表；可以通过编辑自定义统计指定协议流量的 IP TOPN，为流量管理策略的制定提供可靠支持。

3.4.4 资源控制

根据等级保护建设要求，对荣昌中学智慧校园的资源控制主要采用以下方式：

应用系统一个客户端只能有一个用户同时登录到系统中，一个用户只允许同时在一个客户端上登录到系统中。
利用运维管理平台对重要服务器 CPU、硬盘、内存、网络等资源的使用状况进行检测，服务水平降低到预定的阈值时进行报警。
应用系统处理会话的异常状态，提供给系统管理员适当的管理工具对会话进行实时控制，包括设置会话超时时间、最大允许会话数。

3.5 系统运维安全

根据平台安全管理制度体系框架中有关信息系统安全运维的有关制度规定，利用物理环境、网络系统、信息安全防护等运行维护管理和监测审计的系统和功能，以及统一安全监控管理中心等，不断完善系统运维安全管理的措施和手段，强化运维安全管理的科学规范，具体包括：环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件管理、应急预案管理等内容，确保系统安全稳定的运行。

重点要进一步建立完善网络系统安全漏洞的日常扫描、检测评估和加固，系统安全配置变更，恶意代码病的监测防护，网络系统运行的日志审计记录和分析，数据的备份和恢复，安全事件的监测通报和应急响应等机制，并注重对安全策略和机制有效性的评估和验证。

3.6 安全管理制度

根据平台安全管理工作的特点，制定信息安全工作的总体方针和安全策略，明确安全管理工作的总体目标、范围、原则和安全框架等。根据安全管理活动中的各类管理内容建立安全管理制度；并由管理人员或操作人员执行的日常管理操作建立操作规程，形成由安全策略、管理制度、操作规程等构成的全面的信息安全管理制度体系，从而指导并有效地规范各级部门的信息安全管理工作。通过制定严格的制度规定与发布流程、方式、范围等，定期对安全管理制度进行评审和修订。

3.6.1 安全管理机构

建立符合平台服务部门机构设置和人员分工特点的信息安全管理组织体系，视情况成立信息安全管理小组等信息安全管理机构，明确信息安全管理机构的组织形式和运作方式。设置安全管理主管、专职安全管理员、安全审计员、系统管理员、网络管理员和数据库管理员等岗位，明确岗位职责。

信息安全管理机构和部门负责指导安全体系规划建设，制定信息安全的相关标准和方针，管理信息安全事件，建立授权和审批制度，保持内外相关部门的沟通和合作，定期开展全面信息安全检查。

3.6.2 人员安全管理

在平台安全管理制度体系框架之上，进一步细化有关人员录用、离岗、考核、培训和外部人员管理的相关规章，以及日常管理工作配套的机制和措施手段。重点制定完善相关的人员信息安全宣传手册、第三方外包服务机构和人员安全管理规范、外部人员访问数据中心机房等授控区域的流程和规定，建立重要岗位、外部人员和第三方服务单位的信息安全和保密协议签订机制。

加强信息安全意识，提高信息安全管理水平，分阶段、分层次对各岗位人员进行安全技能与安全知识的培训和考核。培训内容纳入的培训计划。

3.6.3 系统建设安全

以信息安全管理工作为出发点，充实完善信息系统工程建设管理制度中有关信息安全的内容。涉及信息系统等级保护的定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择等方案。从工程实施的前中后的初始定级设计到验收测评的整个工程周期中融入信息安全管理的策略和内容。特别是进一步规范和细化平台系统等级保护定级原则、策略和方法。以及强化对信息系统软件的开发过程和软件交付的安全指导和检测。

3.6.4 系统运维安全

3.6.5 安全管理制度

结合平台运行的实际情况，在机房运维管理流程的基础上，建立一套有效的安全运维管理制度、应急处理预案和故障通传通报制度，形成安全运维体系，保障平台的日常运维安全。

3.7 出口设计

3.7.1 出口现状分析

经过大量中学客户的实际调研发现，目前中学校园网络出口主要面临以下问题：

1）关键业务无法良好运行，链路带宽无法高效利用问题

越来越多的用户抱怨上网速度慢，打开一个网页要好久，高峰时间更慢，QQ/MSN、甚至视频会议时断时续，严重时彻底影响到学校正常业务的开展。BT、迅雷等 P2P 应用流量过大，挤占关键用户或关键应用带宽，造成服务质量差，用户上网体验下降。比如：视频会议断断续续，OA 办公时，打开一个页面延迟很大。与此形成鲜明对比的是，多条出口链路中部分链路的流量却很小，流量分布不均匀造成部分链路带宽资源闲置浪费。如何保证带宽被充分利用，使得关键业务运行能获取必须带宽。

2）学生上网行为如何管理的问题

随着无线校园网的建设，电子书包等教学业务开始兴起，学生利用平板电脑上网，如果不对学生的上网行为加以管控，互联网上的涉黄暴力内容会严重影响学生的身心健康。

3）安全合规问题

日志审计：重大政治事件、安全事件频发的大背景下，全国都在开展安全大检查，公安部 82 号令所要求的日志审计如何满足？如何符合网络检查标准？

(1) 实名制问题

不光接入网络要认证，访问 Internet 也要做准出认证（可以简单理解为网关认证），并在准出认证基础上，针对不同用户身份进行相应策略部署。同时配合日志审计功能，可以将用户与审计日志对应起来，出现非法言论可以直接定位到人。

对于高新区中学校园网信息平台而言，主要的网络边界有互联网边界，上级主管部门互联边界，以及内部不同业务系统间的区域边界，都存在一定的安全风险。

(2) 网络边界问题

非法访问：外部用户试图访问高新区中学校园网信息平台所开放服务之外的信息和服务；
非法入侵：黑客通过身份假冒、应用层攻击等方式，穿透访问控制机制，进入高新区中学校园网信息平台内部进行非法操作；服务器被黑客控制，并对其他目标发动攻击。学校的门户网站被黑客攻击、学生的考试成绩被篡改、学籍等资料被非法泄露并被犯罪分子利用。
恶意攻击：包括各种常规攻击和 DoS/DDoS 攻击，影响网络运行、造成资源浪费或者引发一系列安全问题。
病毒和蠕虫：计算机病毒和网络蠕虫的传播和爆发，将可能使整个系统处于瘫痪状态。
WEB 安全：目前 Web 安全越来越受关注，比如防范网页被篡改、防范网站被挂马。

3.7.2 出口部署方式

3.7.3 校园网出口部署方案

本项目校园网规模相对较小，为了减轻后续维护工作量，出口的设计要秉持简单的原则。因此适合采用 ALL in ONE 类型设备，EG 是多业务一体化网关，集成了多链路负载均衡、ISP 选路、流控、上网行为管理、审计、VPN 等功能，替代传统的串糖葫芦式出口，简化出口部署。配合 EG 简易的 WEB 管理界面，减轻了学校网络中心老师的维护工作量。

随着教育资源平台的建设，校园网络的安全问题应该越来越引起重视，在网络边界部署高性能的硬件防火墙设备。在防火墙上设置路由策略与防御策略。使用防火墙部署独立的 DMZ 服务器区。并且通过核心交换机将内部网络划分为若干个 VLAN。并且在核心交换机上部署 ACL 策略。将网络中每个不同的应用隔离开。提高网络整体的可靠性，截断来自互联网的安全威胁，保障了校本和教育局资源平台的安全，防止重要教育数据信息泄露。

3.7.4 出口的关键技术和价值点

1）明确网络边界，保障整网安全

防火墙虚拟化：解决了用户网络维护繁琐，管理困难的问题。
数据泄露保护：防止间谍软件、漏洞攻击渗入网络，阻止文件、敏感数据、文字内容等，导致的资料泄密。
双引擎安全防护：解决了由于路由器出口制约用户带宽，路由器 NAT 性能严重不足，导致的上网速度慢。

2）优化上网体验，减少用户投诉

ISP 运营商选路：出口多链路的情况下，让访问电信的用户走电信链路、同理访问联通、移动、教育网走对应的链路，就不会出现跨运营商访问的情况，提升了上网速度。
智能 DNS：对外提供 web 服务时一般会把 web 服务器映射到出口多条链路公网 IP 上，外部用户在发起 DNS 请求解释服务器 IP 时 EG 会根据用户所在运营商返回相同运营商的 IP。避免了外部用户跨运营商访问 web 服务，提升对外服务的访问速度。
关键业务保障：EG 流控技术可以识别 1600 多种应用，并且可以自定义应用，能够识别关键业务，并且在链路带宽不足的情况下保障关键业务的访问体验。

3）有效利用带宽资源，节省链路带宽投资

多线路负载均衡: EG 可以根据出口线路的负载率、带宽比，将 DNS 请求报文均衡分布到各个线路，这样解释出来的服务器地址便会在各个运营商之间形成负载均衡分布，再配合 ISP 选路达到多链路负载均衡效果，提高线路利用率。
应用路由：出口多条线路中一般有一条低价大带宽链路，比如移动或者电信通等，将 P2P、视频等大流量应用通过应用路由甩到低价链路上，可以节省高价值链路带宽，为关键业务应用腾出带宽空间，节省高价值链路宽带投入。
流量控制：EG 流控技术可以识别 1600 多种应用，对 P2P 下载限速，节省带宽资源。

4）规范上网行为，满足公安部 82 号令

应用控制：支持对 41 大类 1600 多种应用的限速、阻断等控制，包括在线视频、股票、游戏、社交、网购等，规范用网行为；
URL 过滤：支持 46 大类 2600 多万条 URL，包括非法不良（赌博、暴力、涉黄、违法等）、娱乐休闲（音乐、视频、游戏等）、信息资讯（新闻、论坛等）、生活服务（美食、汽车、房产、亲子）等网站，规范上网行为
账号/关键字过滤：支持客户端/WEB 邮件、即时通信、BBS 论坛、搜索引擎的账号及关键字过滤，过滤上网行为；
内容审计：支持 NAT、URL、邮件/IM/论坛/搜索引擎等内容审计，日志在本地硬盘可以存储 60 天以上，满足法律法规要求。

5）ALL in ONE，易维护、省投资

NAT 选路、负载均衡、防火墙、vpn、流控、行为管理、审计、AC、加速多功能合一，人性化 WEB 界面管理，减少投资成本、也更易管理维护。

6）图形监控，运筹帷幄

EG 提供一系列出口运行状况的图形化监控，直观掌握出口网络的“天气图”，有助于网络出口带宽策略、带宽利用率的优化调整。

7）流量分析

分析整个出口链路的流量使用趋势，生成趋势报表为带宽扩容升级提供数据依据。对于应用流量分析统计可以看出哪些应用占用的流量比较大，如果是非教学相关的可以对其限速。

8）审计日志

可对用户的上网行为进行审计，记录用户访问了哪些网站、使用了哪些应用、在论坛上发表了什么内容等。

本系列智慧校园建设方案分享了一个中大型普通中学智慧校园的真实案例，该项目公开招标中选的价格逾三千六百万元，项目内容繁多请点击目录中的链接查看相关章节。另外本站在分享时为方便阅读删减、重构了部分内容，原始方案见系列第一篇文章分享的附件。

XX 高新区中学智慧校园整体建设方案.docx
目录
第一章项目概述 1
1.1 建设内容 1
1.2 建设思路 1

第二章建设背景 5
2.1 项目背景 5
2.2 项目依据 6
2.3 信息化现状 9
第三章需求分析 11
3.1 政务目标分析 11
3.2 业务功能分析 12
3.3 用户角色分析 13
3.4 安全需求分析 14
3.4.1 业务保障安全需求 14
3.4.2 信息安全合规性需求 15
第四章建设目标 18
4.1 稳步提高学校信息化办学水平，促进办学质量提升 18
4.2 探索信息技术环境下的教育教学新模式、新方法 18
4.3 为学校日常教学、教务管理工作提供高效智能管理服务支撑 18
4.4 打造便捷、高效、丰富的校园信息化服务和宣传的渠道 19
第五章建设内容 20
5.1 建设范围 20
5.2 标准规范 20
5.2.1 行业标准规范 20
5.2.2 技术标准规范 21
5.3 总体设计 22
5.3.1 设计思路 22
5.3.2 设计原则 27
5.3.3 架构设计 29
5.3.4 技术路线 33
第六章技术方案 44
6.1 校园数据管理平台 44
6.1.1 数据基础管理 44
6.1.2 数据资源管理 45
6.1.3 数据服务应用 47
6.2 应用支撑服务平台 48
6.2.1 基础信息管理 48
6.2.2 接入规范管理 50
6.2.3 开放应用中心 57
6.2.4 统一认证平台 57
6.2.5 视图开发平台 59
6.2.6 可视化分析平台 60
6.2.7 地理信息系统 62
6.2.8 消息支撑平台 63
6.2.9 快速开发框架 64
6.3 “教学考评管”应用 68
6.3.1 智慧教学：智慧授课系统、作业管理系统、翻转课堂系统、教育资源系统、出题组卷系统、错题管理系统、科研管理系统
6.3.2 智慧学习、英语听说教学习系统
6.3.3 智慧考试：网上阅卷系统、质量分析系统、英语听说模考系统、
6.3.4 智慧评价 132
6.3.5 智慧管理：选排课系统、校园 OA 系统、人事管理系统、教务检查系统
6.4 云平台设施 179
6.4.1 数据机房：机房建设概述、机房装修方案、机房供配电及 UPS 系统、机房新风系统、机房安防系统、机房动力环境监控系统、机房防雷接地系统、机房消防系统
6.4.2 云平台建设，指智慧校园硬件云平台基础设施，详见附件
6.5 网络设施 257
6.5.1 校园网络系统：校园网概述、有线网系统、无线网系统、网络安全系统建设
6.5.2 IP 广播系统 303
6.5.3 综合布线系统 309
6.5.4 室外管道建设 316
6.6 终端设施 328
6.6.1 教室教学多媒体系统 328
6.6.2 精品录播系统 343
6.6.3 计算机教室云桌面系统 349
6.6.4 智能班牌 354
6.6.5 智慧图书馆管理系统 362
6.6.6 校园多功能厅信息化系统 369
6.6.7 会议室信息化系统 400
6.6.8 安全防范系统：视频监控系统、校园一键紧急求助报警系统、
6.6.9 标准考场/教室云录播及远程教研巡课系统 426
6.6.10 校园一卡通系统 463
6.6.11 校园电视台 476
6.6.12 校园信息发布 LED 高清显示屏系统 481
6.6.13 考场监控中心大屏系统 492
6.6.14 光明饭堂 497
第七章制造工艺和质量保证措施 504
7.1 质量控制措施 504
7.1.1 质量控制制度 504
7.1.2 施工阶段的质量控制 506
7.2 质量保证措施 516
7.2.1 保证工程质量的技术措施 516
7.2.2 质量保证体系 516
7.2.3 施工质量保证措施 518
7.3 质量保证流程 520
第八章交货及安装计划和保证措施 521
8.1 交货及安装计划 521
8.2 保证措施 521
第九章培训服务方案 522
9.1 培训目的 522
9.2 培训服务流程 522
9.3 培训方式 522
9.4 授课人员安排 523
9.5 培训内容 523
9.6 培训方案表 524
9.7 培训效果评估 524
第十章售后服务方案 526
10.1 技术支持与服务体系 526
10.1.1 技术支持与服务原则 526
10.1.2 技术支持与服务目标 526
10.1.3 良好的合作伙伴关系 527
10.1.4 服务监督管理机制 527
10.2 售后服务团队办公地点及成员数量 527
10.3 服务范围及服务时间 527
10.3.1 服务范围 527
10.3.2 质保期内的服务时间 528
10.3.3 质保期外的服务时间 528
10.3.4 技术支持与服务流程 528
10.4 系统应急方案 529
附件一：交货及安装计划 542