XX省教育信息化三通两平台建设解决方案
档同览。为了适应不同的网络环境,平台提供高码流超清晰度、中码流高清晰度、低码流标准清晰度三组码流同时录制与直播。
【跟踪定位】:跟踪定位部分由跟踪定位服务器及配套的定位摄像机组成,通过三维定位技术以及先进的图像分析处理技术,完成被拍摄主体的跟踪定位,并能够通过指令信号对摄像机进行自动控制。
【图像采集】:图像采集部分由一组摄像机构成,主要包括教师摄像机和学生摄像机,可选配板书摄像机或全景摄像机,通过跟踪定位系统的指令信号,完成教学现场的自动跟踪拍摄。
【声音采集】:声音采集部分由一台调音台和一组麦克风(根据现场环境配置,可选吊麦、鹅颈麦克风、无线麦克风等)组成,负责教室内的声音采集与处理。
【课程导播录制】:多媒体录播一体机需要采集3路视频源,包括教师、学生和参与互动的远程教室的视频,因此教学情境更加复杂,导播策略也更加严密。除了导播以外,多媒体录播一体机还承担着提供课程视频录制存储的任务。
【互动教学】:由互动教学终端与互动教学控制平台组成,管理员可以在互动教学控制平台上创建虚拟课程,添加要参与该课程的所有教室,并指定该课程的主讲教室。在课程开始后,该平台承担着中心数据交换的任务,负责双向高清音视频互动的数据传输与所有参加课程教室的视频内容传输。互动教学终端主要配合互动教学控制平台,完成音视频双向交互。
【教学资源管理】:用于提供课程的录制与直播,并且收集主讲教室客户端进行文档课件演示时的翻页操作,为观看课程(直播、点播)的学生提供文档同览服务。教学资源管理平台与多媒体录播一体机对课程同时直播和录制,双重安全保障,避免了因网络问题、设备故障或其他问题导致课程无法被完整录制。
【教学控制】:教育云客户端分为“主讲教室”与“远程教室”两种身份,用户登录后会根据其IP地址与登录身份自动匹配相应课程。进入课程后,客户端根据登陆身份不同可进行相应的操作。如,“主讲教室”可以上传文档、演示文档控制课程的开始、暂停/继续、结束,控制远程教室是否可以举手,选择远程教室进行发言等;“远程教室”则可以同步主讲教室的文档演示并在“主讲教室”允许举手后通过客户端实现电子举手。
【远程观看】:课堂之外的教师、学生和教育教学主管者,可以利用个人电脑、智能手机、平板电脑和电视机通过校园网、以太网、无线网络、3G网络等实时观看直播,或是点播观看课程存档。另外,利用个人电脑还可以体验“文档同览”功能。
2. 环境建设
1) 每一间录播教室的建设都会或多或少的涉及到一些声光系统建设的工作,简言之就是吸声和补光的装修。投入大的就是演播室标准装修,投入小的也会吊顶加灯,这样的前期工作将直接带来录像资料的视频效果和声音效果的全面提升,因此,合理的声光设计和配套装修已成为一种必然的趋势。(在此特别强调:合理的声光建设主要是为了提升录播质量,而绝非仅仅为了跟踪系统!)
40
XX省教育信息化三通两平台建设解决方案
单间精品录播教室装修示意图
2) 声场建设方面含顶棚使用矿棉吸音板吊顶,建议使用标准600*600规格的矿棉吸音板;四周墙壁使用高性能聚酯纤维吸音板具有吸音,静音,降噪,阻燃,隔热,保温,美观,耐磨性强,富有弹性,抗冲击性能强,不易划破等特点;地面使用化纤地毯外观与手感类似羊毛地毯,耐磨而富弹性,具有防污、防虫蛀等特点,价格低于其他材质地毯;窗帘选用双层、厚重、全遮光(不能反光)、表面粗糙的浅色窗帘遮光、吸音。其他方面室内建议安装五匹静音空调,有条件的安装换气扇;因教室耗电较大,建议供电系统从大楼主配电箱拉专线,谨慎沿用原教室电路,还应确保电源接地良好。为了教室整体的空间效果,建议教室桌椅也用浅色系等。
6.4 网络学习空间人人通建设方案
6.4.1
建设目标
为每一位教育工作者、学生、家长提供自主的网络学习交流互动的空间。推进素质教育、构建泛在学习的网络环境、促进终身学习体系和学习型社会建设。
6.4.2 建设模式
定位为一站式教与学平台,支持各类终端设备,学校、教师、学生、家长均实名成立网络空间。各用户可个性化展示文章、图片、新闻、教育资源等。按照“三通两平台”标准搭建的人人通网络学习空间可供各级中小学使用。
为老师提供集备课、教学、测评、教研、交流为一体的一站式教学空间服务;为学生提供集上课、作业、答疑、 测评、交流为一体的一站式学习空间服务;为家长提供全方位了解孩子成长的互动空间服务; 为学校提供展示名师风采、“线上+线下”模式、充分利用优质师资,提升教育品牌度,扩大生源的新式网络学校服务。从而促进教育事业均衡发展,优质资源共享。
6.4.3 实施方法
41
XX省教育信息化三通两平台建设解决方案
1. 全市分三期逐步全面覆盖,进行实名制认证
一期为主城区高中、初中、小学开通校园、班级、教师、学生、家长实名制网络空间。 二期为城镇高中、初中、及中心小学开通校园、班级、教师、学生、家长实名制网络空间。 三期为村级小学及教学点开通校园、班级、教师、学生、家长实名制网络空间。 2. 保障措施
组织领导成立由市主管电教信息化工作的副局长为组长,电教、教研、基教等部门参加的市局人人通工作领导小组,并结合本地实际,制定工作实施方案。各学校要成立以校长为组长的人人通工作领导小组,在市局人人通工作领导小组指导下开展好各项实施工作。
3. 培训机制
市级平台开通后,进行平台的统一培训, 各期实施校对全体教师进行培训。 要求教师学生实名网络学习空间和班级网站开通率达到100%,使用率不低于 80%(均上传有博文、相片、通知等内容)。 为促进全市三通两平台特别是素质教育人人通的应用,鼓励全市教研部门和教师申请国家十二五规划“素质教育云”相关课题,成立市级课题组、学校课题组,以课题引导、探索、总结应用成果,向全市推广。
6.5 教育资源公共服务平台建设方案
6.5.1
平台架构
平台主要包含:智能优质备课、便捷刷卡上课、互动评测课堂、个性化学习方案、教务/教研数字化等功能。
42
XX省教育信息化三通两平台建设解决方案
智能优质备课:能十分钟备好一节名师课程,让教师轻松备课。同时平台可以将优质资源精准匹配,软件能智能推荐与该节课程相关知识点和技能点的素材,所有素材都根据其他老师的引用进行排名,让老师一眼就能找到自己所需要的资源。名师教研模块能将名师的教学设计进行模块化,老师仅要将素材填充到每一个模块就能像名师那样设计出一节优质课程。
便捷刷卡上课:教师只需刷下身份识别卡即可将备好的课件资源打开在屏幕上。同时平台产品还有记忆功能,可根据教师的使用习惯,记录老师常用的教学工具。老师将不用再携带电脑、U盘,一次次的输入帐号密码,刷卡即可上课,高效便捷。
43
XX省教育信息化三通两平台建设解决方案
课堂互动评测:互动评测过程全纪录,保障了课堂教学效果。在课堂,老师可以通过平台产品轻松的引用PPT、视频、动画、音频等多媒体教学素材(课件),图文并茂,生动有趣,帮助学生更好的学习知识,极大地提升学习热情。同时通过反馈系统,让学生能在课堂上轻松便捷地完成老师布置的课堂小测,答题结果即时呈现,让老师对教学效果了然于胸,从而方便教师对学生薄弱知识环节进行着重教学,同时也能让老师能清晰的知道每个学生的掌握情况,因材施教。
个性化学习方案:平台产品会详细记录学生的课堂表现、习题情况、考试成绩等数据,汇总计算,全面分析学生知识短板,基于知识短板,智能推送老师讲解该知识点的课堂授课视频,方便学生进行多次学习。如果学生还没有明白,系统还可推送名师关于该知识点的讲解视频,同时匹配极具针对性的练习题加以巩固,以便学生高效,便捷地攻克知识点难关。
教务/教研管理工作数字化:在教学过程中,实现数据自动记录、智能生成老师所需提交的各种表单,
44
XX省教育信息化 三通两平台建设解决方案
XX省教育信息化三通两平台建设解决方案
目 录
第一章 项目概要 ................................................................................................................................................................... 1 第二章 建设目标 ................................................................................................................................................................... 3 2.1 2.2 2.3
缩小数字化差距 ...................................................................................................................................................... 3 推进信息技术与教学融合 ...................................................................................................................................... 3 培养学生信息化环境下的学习能力 ..................................................................................................................... 3
第三章 项目建设意义 .......................................................................................................................................................... 4 3.1 3.2 3.3 3.4
对于政府 ................................................................................................................................................................... 4 对于学校 ................................................................................................................................................................... 4 对于教师 ................................................................................................................................................................... 4 对于学生及家长 ...................................................................................................................................................... 4
第四章 项目行业建设标准 .................................................................................................................................................. 5 4.1 4.2 4.3 4.4
教育部及省教育厅“三通两平台”建设标准 .................................................................................................... 5 教育信息系统建设标准 .......................................................................................................................................... 5 机房建设标准 .......................................................................................................................................................... 5 弱电实施标准 .......................................................................................................................................................... 6
第五章 建设方式 ................................................................................................................................................................... 7 5.1 5.2 5.3
建设现状 ................................................................................................................................................................... 7 项目建设内容及预算编制 ...................................................................................................................................... 7 合作运营模式 .......................................................................................................................................................... 7
运营方式 .......................................................................................................................................................... 7 融资模式 .......................................................................................................................................................... 8
5.3.1 5.3.2
第六章 建设方案 ................................................................................................................................................................... 9 6.1 6.2
建设思路 ................................................................................................................................................................... 9 宽带网络校校通(教育城域网)建设方案 ...................................................................................................... 11
城域网整体方案............................................................................................................................................ 11 城域网建设原则............................................................................................................................................ 11 骨干网络设计 ................................................................................................................................................ 12 学校网接入设计............................................................................................................................................ 13 无线网络设计 ................................................................................................................................................ 15 IP地址及路由规划 ....................................................................................................................................... 18 组播及QoS规划 ......................................................................................................................................... 23
6.2.1 6.2.2 6.2.3 6.2.4 6.2.5 6.2.6 6.2.7
ii
XX省教育信息化三通两平台建设解决方案
6.2.8 6.2.9 6.3
认证和审计系统设计 ................................................................................................................................... 25 城域网管理设计............................................................................................................................................ 26
优质资源班班通建设方案 .................................................................................................................................... 36
建设目标 ........................................................................................................................................................ 36 建设模式 ........................................................................................................................................................ 36 实施方法 ........................................................................................................................................................ 39
6.3.1 6.3.2 6.3.3 6.4
网络学习空间人人通建设方案 ........................................................................................................................... 41
建设目标 ........................................................................................................................................................ 41 建设模式 ........................................................................................................................................................ 41 实施方法 ........................................................................................................................................................ 41
6.4.1 6.4.2 6.4.3 6.5
教育资源公共服务平台建设方案 ....................................................................................................................... 42
平台架构 ........................................................................................................................................................ 42 平台特点 ........................................................................................................................................................ 45 学校资源平台功能 ....................................................................................................................................... 46 教育局资源平台功能 ................................................................................................................................... 58 家校协同资源平台功能 ............................................................................................................................... 60
6.5.1 6.5.2 6.5.3 6.5.4 6.5.5 6.6
教育管理公共服务平台建设方案 ....................................................................................................................... 60
区县级教育基础模块功能 ........................................................................................................................... 60 即时通讯协同办公模块功能 ....................................................................................................................... 61 校园门户模块功能 ....................................................................................................................................... 64 校园OA模块功能 ....................................................................................................................................... 65 教师电子档案模块功能 ............................................................................................................................... 77 教师绩效考核模块功能 ............................................................................................................................... 77 学籍管理系统模块功能 ............................................................................................................................... 78 校园博客模块功能 ....................................................................................................................................... 78 视频点播模块功能 ....................................................................................................................................... 78 校产管理模块功能 ....................................................................................................................................... 79 远程同步教学系统模块功能 ....................................................................................................................... 80
6.6.1 6.6.2 6.6.3 6.6.4 6.6.5 6.6.6 6.6.7 6.6.8 6.6.9 6.6.10 6.6.11 6.7
信息化中心机房建设方案 .................................................................................................................................... 81
系统建设方案 ................................................................................................................................................ 81 网络资源设计方案 ....................................................................................................................................... 90 计算资源设计方案 ....................................................................................................................................... 92 存储资源设计方案 ....................................................................................................................................... 95 云平台虚拟化方案 ....................................................................................................................................... 99 机房规划 ..................................................................................................................................................... 102 装饰系统 ..................................................................................................................................................... 103 空调系统 ..................................................................................................................................................... 104 气体消防系统 ............................................................................................................................................. 105 供配电系统 ................................................................................................................................................. 107 防雷接地系统 ............................................................................................................................................. 117
6.7.1 6.7.2 6.7.3 6.7.4 6.7.5 6.7.6 6.7.7 6.7.8 6.7.9 6.7.10 6.7.11
iii
XX省教育信息化三通两平台建设解决方案
6.7.12 6.7.13 6.7.14 6.7.15 6.7.16 6.8
机房动力环境集中监控系统 .................................................................................................................... 120 综合布线系统 ............................................................................................................................................. 123 机房视频监控 ............................................................................................................................................. 124 防盗报警监控系统 .................................................................................................................................... 124 门禁系统 ..................................................................................................................................................... 124
多媒体教室建设方案 ......................................................................................................................................... 127
建设规模 ..................................................................................................................................................... 128 建设目标 ..................................................................................................................................................... 128 系统构架 ..................................................................................................................................................... 128 安全设计 ..................................................................................................................................................... 129 多媒体教室方案......................................................................................................................................... 129 多媒体教室硬件设备配置 ........................................................................................................................ 130
6.8.1 6.8.2 6.8.3 6.8.4 6.8.5 6.8.6 6.9
电子书包建设方案 ............................................................................................................................................. 141
电子书包教学的作用及特点 .................................................................................................................... 141 教学平台硬件设备配置 ............................................................................................................................ 142 多媒体教学教研互动系统建设方案............................................................................................................ 142 项目需求 ..................................................................................................................................................... 142 设计思路 ..................................................................................................................................................... 143 设计原则 ..................................................................................................................................................... 144 系统结构图 ................................................................................................................................................. 145 系统组成 ..................................................................................................................................................... 146 主要功能介绍 ............................................................................................................................................. 151 互动系统设备配置 .................................................................................................................................... 155 会议系统设计方案 ......................................................................................................................................... 170 项目概述 ..................................................................................................................................................... 170 设计原则 ..................................................................................................................................................... 170 系统设计 ..................................................................................................................................................... 171 云端时代云课堂(云计算机教室)建设方案 ........................................................................................... 178 背景概述 ..................................................................................................................................................... 179 云课堂建设 ................................................................................................................................................. 179 计算机教室现状分析 ................................................................................................................................ 179 云端时代云课堂产品概述 ........................................................................................................................ 180 云端时代云课堂系统架构 ........................................................................................................................ 181 云端时代云课堂主要功能 ........................................................................................................................ 181 云课堂解决方案配置清单 ........................................................................................................................ 183 传统课堂与云课堂对比 ............................................................................................................................ 184 特性及优势 ................................................................................................................................................. 185 云课堂方案应用价值 ............................................................................................................................ 186
6.9.1 6.9.2 6.10 6.10.1 6.10.2 6.10.3 6.10.4 6.10.5 6.10.6 6.10.7 6.11 6.11.1 6.11.2 6.11.3 6.12 6.12.1 6.12.2 6.12.3 6.12.4 6.12.5 6.12.6 6.12.7 6.12.8 6.12.9 6.12.10 6.13 6.13.1
电子阅览室 ..................................................................................................................................................... 187 建设背景 ..................................................................................................................................................... 187
iv
XX省教育信息化三通两平台建设解决方案
6.13.2 6.13.3 6.13.4 6.14 6.14.1 6.14.2 6.14.3 6.14.4 6.14.5 6.14.6 6.15 6.15.1 6.15.2 6.15.3 6.15.4 6.15.5 6.15.6 6.15.7 6.15.8 6.15.9 6.15.10 6.15.11 6.15.12 6.16 6.16.1 6.16.2 6.16.3 6.16.4 6.16.5 6.16.6 6.17 6.18 6.18.1 6.18.2 6.18.3 6.18.4 6.18.5 6.18.6 6.18.7 6.18.8
需求分析 ..................................................................................................................................................... 187 电子阅览室系统结构拓扑图 .................................................................................................................... 188 建设方案 ..................................................................................................................................................... 188 校园广播系统建设方案 ................................................................................................................................ 201 前言 ............................................................................................................................................................. 201 系统设计原则及依据 ................................................................................................................................ 201 需求分析及建设目标 ................................................................................................................................ 202 建设方案 ..................................................................................................................................................... 202 应用情景示例 ............................................................................................................................................. 205 校园广播系统设备配置 ............................................................................................................................ 206 市级的远程监视监控管理系统建设方案 ................................................................................................... 208 系统需求分析 ............................................................................................................................................. 208 系统设计原则 ............................................................................................................................................. 209 系统设计依据 ............................................................................................................................................. 210 系统结构图 ................................................................................................................................................. 211 视频监控管理平台建设 ............................................................................................................................ 211 平台系统架构设计 .................................................................................................................................... 211 系统功能介绍 ............................................................................................................................................. 213 前端视频监控点建设 ................................................................................................................................ 216 视频监控传输网络建设 ............................................................................................................................ 216 分布存储机房建设 ................................................................................................................................ 217 学校端视频监控系统清单 ................................................................................................................... 217 视频监控系统设备参数 ........................................................................................................................ 219
虚拟互动演录播教学系统建设方案(校园电视台) .............................................................................. 223 客户需求 ..................................................................................................................................................... 223 建设方案 ..................................................................................................................................................... 224 系统功能 ..................................................................................................................................................... 227 校园电视台设备配置 ................................................................................................................................ 240 虚拟互动演录播教学系统应用案例 ....................................................................................................... 252 环境装修的合理化建议 ............................................................................................................................ 253 教师教学办公电脑建设方案 ........................................................................................................................ 256 网上阅卷及学科质量分析监控系统网上报名系统建设方案 .................................................................. 257 前言 ............................................................................................................................................................. 257 建设网上阅卷及学科质量分析监控系统的必要性 .............................................................................. 257 XX现状 ....................................................................................................................................................... 258 解决方案 ..................................................................................................................................................... 259 项目建设方式 ............................................................................................................................................. 259 系统组成 ..................................................................................................................................................... 261 操作流程 ..................................................................................................................................................... 262 项目实施方案 ............................................................................................................................................. 264
v
XX省教育信息化三通两平台建设解决方案
提供各类常用性能指标的缺省采集模板;
支持实时性能监视,支持二级阈值告警设置,当链路或端口的流量超过阈值,系统将会发送性能告警,使网络管理人员可以能够及时了解网络中的隐患,及时消除隐患。同时为故障定位提供手段;
提供基于历史数据的分析,为用户扩容网络、及早发现网络隐患提供保障;
支持饼图、折线图、曲线图等多种图形方式,直观地反映性能指标的变化趋势;提供灵活的组合条件统计和查询;性能报表支持导出Html、Txt、Excel、Pdf格式文件:
35
XX省教育信息化三通两平台建设解决方案
6.3 优质资源班班通建设方案
6.3.1
建设目标
多屏互动教学新模式作为班班通的系统支撑,将优质教育资源通过不同方式推送到每个班级、每所学校、每个家庭、每台有需求的移动终端,并在教与学过程中普遍使用。
1)技术支撑:为城镇学校建设多媒体录直播系统,通过交互式电子白板或者触控一体机教学,录制优秀教师讲课,共享到每个班级。
2)硬件支撑:为每个班级配备“班班通”基础设施。
6.3.2 建设模式
引入丰富的各级各类优质教育教学资源和教辅资源,保障资源的丰富性,及时性、先进性。逐步将优质教学资源推送到每一个班级,通过各级各类优质教育资源和教辅资源提升学校教师的教学水平,带动学生的学习能力和学习水平。
“班班通”分层逐步实现。
首先,“通”硬件,每个班级须配备适量的信息化设备终端和网络硬件设施。 依据现有建设需求,分三种选型方案:
1. 按多媒体互动触摸一体机+推拉绿板+音箱+每个学生配发的反馈器+钢制讲台模式建设班班通硬
件间教室。
36
XX省教育信息化三通两平台建设解决方案
2. 按电子白板+推拉绿板+短焦投影+带反馈接收的智能盒子+音箱+每个学生配发的反馈器+钢制讲
台模式建设班班通硬件间教室;
3. 按触控投影+带反馈接收智能盒子+音箱+传统白板+每个学生配发的反馈器+钢制讲台模式建设
班班通硬件间教室。
其次,“通”资源,在班班通硬件通的基础上配备与之相适应的教学资源、教辅资源及相关传播采集资源设备,通过设备终端远程查看和学习。
37
XX省教育信息化三通两平台建设解决方案
组网结构
最后,“通”方法,即利用信息化资源和智能终端(电子白板、手机终端等)在教师组织下进行探究性学习,帮助学生更好地完成学习任务,提高学习能力。最终实现优质资源班班通。
利用智能的录播技术实现老师授课过程、多媒体课件、现场多路的音视频采集,以标准的流媒体方式实现在网络中点播、直播、存储,再通过后台的应用系统实现教学评估、网络教研、专递课堂(实现一对一专递及一对多专递)、名师课堂、互动教学(实现一对一互动及一对多互动)、课堂微视频、多方网络教研等应用,充实全市教育资源平台,完善教师专业发展平台,实现学生自主学习。
通过乡村学校同步互动教室建设,实现乡村学校学生同步参与城区优质课堂的教学活动,促进教育资源均衡。
互动教学
基于城域网部署服务器数据中心系统支撑基础,结合现有教育信息化硬件设备实现班班通互动交流。 录播部分:主要负责采集主讲教室老师、学生高清视频信号及教学电脑桌面信号,以及主讲教室音频。 信号录制互动部分:主要负责将通过网络接收到的前端主讲教室录播一体机发送的码流录制存储于城域网数据中心的录播服务器内,录制的同时通过网络发送直播视频流到接收客户端,同时还支持向接收客户端提供点播服务。
互动教学部分:主要负责完成多间互动教室之间的实时互动交流功能,通过IP网络实现主讲教室与
38
XX省教育信息化三通两平台建设解决方案
听课教室的实时互动交流。整个实时交互基于普通的IP网络,两个IP远程互动教学终端即可实现主讲教室与听课教室间点对点的音视频交流,通过互动教学控制平台可扩展三方及以上的交互。
直播点播部分:所有用户通过城域网系统可使用PC、平板电脑、智能手机客户端、电视终端等无需安装任何插件即可通过有线网络或者无线网络用浏览器接收主讲教室视频直播、点播,只要客户端能通过网络访问录播服务器,就能接收课堂直播、点播。
6.3.3 实施方法
1. 设备部署
优势资源班班通解决方案,教学管理者通过互动教学控制平台创建虚拟课程,添加所有参与课程的互动教学终端的IP地址,并指定主讲教室。所有参与课程的教室通过教育云平台的客户端选择正确的身份(主讲教室、远程教室)后登陆,则可以自动进入相应的课程中。主讲教室通过客户端上传文档课件并一键开始系统并控制课程录制与直播的开始、暂停/继续与结束,进行课件文档的演示(如上一页、下一页等操作),控制远程教室是否可以举手是否可以发言等;远程互动教室则通过客户端同步主讲教室的文档课件并在主讲教室允许举手后进行“电子举手”。系统自动完成跟踪拍摄、音视频的采集、全自动智能导播和音视频、电子书包的实时互动。
图像系统采用全自动智能跟踪拍摄策略,画面清晰纤毫毕现移动平滑场景切换自然,并且能够根据情形进行焦距的变化和景深的调整,媲美专业级摄像。声音系统将声音信号全面采集精确处理,无杂音、无回声、不失真,保证高品质的声音采集。多媒体录播一体机内置科学先进的导播策略,根据教学情境将图像系统采集到画面和远程互动的画面进行合理的画面组合,以突出教学重点准确表达教师授课意图,同时将组合画面进行编码、录制存储与直播。主讲教室与远程教室之间通过教学客户端共享文档课件。同时主讲教室的文档课件演示操作将会同步记录下来,在学生通过个人电脑观看课程直播和点播的时候,实现文
39
XX省教育信息化三通两平台建设解决方案
延迟最小化。
6.2.8
6.2.8.1
认证和审计系统设计
统一身份认证设计
通过云通道以及云平台的建设,XX教育城域网将建成一个教职工以及学生可以随时随地获取教育资源的网络,极大的方便了教学工作展开的同时也带来一些隐患:
一、内部网络终端缺乏网络用户识别、准入机制
A.任何外来人员或客户只要将计算机插入网线,就可以进入内部网络各个区域,其中没有任何身份的认证和安全措施,如知道相关应用系统的帐号及密码,就可以访问相关的应用数据,对整个网络和应用造成很大的安全威胁。网络的终端全部都是基于工作组的模式,没有进行网络域的集中管理模式和相关的策略性的定义。对正常接入的PC 没有进行健康性的检查和指导用户进行修复,以及不能对达不到安全要求的PC 采取隔离措施
二、终端安全管理的安全防护控制措施不足,也没有集中管控、审计和标准化等手段进行管理 A、无法确保这些终端是否安装了防病毒软件、更新了系统补丁和病毒代码,现时的终端的防病软件部署率底,防病毒软件也不统一,时常发生感染病毒、间谍软件等的问题,存在很大的安全隐患;
B、用户是否安装了必须使用的软件,是否安装了非工作使用的软件,硬件配置,软件配置,年终盘点的报表和信息的收集,都无法进行确认和收集;
C、现时对网络内部出现的任何安全问题都无法及时发现、追踪和审计。
鉴于以上两点,我们需要在完成城域网资源中心和基础网络建设的同时,建立一套统一的用户身份和接入设备的辨别机制,以保障城域网的信息安全。
6.2.8.2 统一身份认证
在有线接入的网络环境中,将接入层设备作为安全准入控制点,对试图接入网络的用户终端进行安全检查,强制用户终端进行防病毒、操作系统补丁等企业定义的安全策略检查,防止非法用户和不符合企业安全策略的终端接入网络,降低病毒、蠕虫等安全威胁在企业扩散的风险。由于接入层交换机对端口部署了802.1x认证,所有非法用户将不能访问企业内部网络。并且认证通过前,用户终端之间无法实现互访。合法用户接入网络后,其访问权限受接入交换机中的ACL控制。特定的服务器只能由被授权的用户访问。合法用户接入网络后,其互访权限受接入交换机中的VLAN控制。不同角色的用户分属不同的VLAN,跨VLAN的用户不能互访(受组网方式限制)。用户正常接入网络前,必须通过安全客户端的安全检查,确保没有感染病毒且病毒库版本和补丁得到及时升级。降低了病毒和远程攻击对企业网带来的安全风险。通过使用iNode客户端,可对用户的终端使用行为进行严格管理,比如禁止设置代理服务器、禁用双网卡、禁止拨号等。
在无线网络环境中,在无线控制器上进行Portal认证,在无线用户通过身份认证之前,只能访问无线控制上指定的资源。合法用户接入网络后,其访问权限受在无线控制器上下发的基于用户的ACL控制。特定的服务器只能由被授权的用户访问。用户正常接入网络前,必须通过安全客户端的安全检查,确保没有感染病毒且病毒库版本和补丁得到及时升级。降低了病毒和远程攻击对企业网带来的安全风险。如果在
25
XX省教育信息化三通两平台建设解决方案
AP间漫游时用户IP未发生变化,则无需再次进行用户身份认证。
管理员可以为每一个在网用户分配一套用户名密码,也可以和现有的Windows域或LDAP系统进行对接,直接使用现有的用户名密码。从而做到每一个用户的实名认证。针对来访专家、家长等外来用户,还可以由正式用户为其申请临时访客账号,或通过启用匿名用户认证,并为匿名用户设置合适的安全策略(比如限制资源访问权限)的方式解决访客用户的临时上网需求,可以帮助管理员在不影响网络安全策略实施前提下,减轻对临时帐户的管理工作量。
无论是在有线还是无线网络中,只要用户的终端上安装了iNode客户端,就可以实现防病毒管理、强制更新系统补丁、制定软件黑白名单、注册表安全检查、桌面及资产管理等安全功能,使系统管理员对在网的每一台设备进行强管理,保障网络的安全。
针对XX教育城域网这种带有分支机构的大型网络,每个分支管理员都需要对自己的分支机构进行管理,比如自己的设备、用户群组和安全策略等。为此,EIA推出了针对单套EIA系统的分权管理解决方案。分权管理包括用户分权、设备分权和业务策略分权,只有总部管理员和分支机构的管理员能看到该分支的用户信息、设备信息和安全策略信息,不同分支机构的管理员之间不能互相查看和修改其他分支的信息。
6.2.8.3 本地身份认证
如州平台无需统一身份认证,则可在学校端本地实现本地认证。本次教育城域网学校端出口网关局支持PORTAL认证,即学校出口网关即为认证网关,实现本地认证。
6.2.8.4 审计系统设计
XX教育城域网落成后,所属范围内的所有中小学用户都将使用该网络访问教育网和公网的资源。根据《互联网安全保护技术措施规定(公安部令第82号)》规定,互联网服务提供者和联网使用单位应当对网络的安全保护负责,其中包括网络攻击防范、数据库容灾、网络使用人员的信息记录等。因此,对用户的上网行为审计是本次建设城域网时必须考虑的因素。本方案对用户上网行为提供了两级审计功能。
第一级的行为审计设立在每个学校的出口网关上。出口网关可以通过NAT日志实现对上网用户行为的记录。
第二级行为审计设立在城域网的出口,通过核心网络设备上的应用网关插卡来实现对全网用户的行为审计。核心网络设备应用网关ACG插卡具备实时的应用流量监控和用户上网行为审计两大功能。管理员可以通过ACG实现对整网业务流量的实时监控,可基于整网、区域、业务类型(如P2P类、游戏类)、用户/用户组等,实时分析网络应用流量趋势、流量组成、Top用户流量、Top业务分布等,通过实时了解当前网络应用流量的明细信息,利于管理员直观的了解最新网络流量状况,监控突发异常流量,并做出快速排查,确保整网网络业务的有序运行。除此之外,管理员还可以通过ACG对用户Web应用、FTP传输、邮件交互、IM聊天等各种上网应用提供全方面的行为监控和记录;同时,通过综合分析、检测用户网络流量与流向趋势,对历史数据进行分析,为用户提供细粒度的网络应用审计管理系统,精确跟踪、定位用户的网络行为。同时,ACG通过和本方案提供的身份认证系统EAD对接,可以实现基于用户身份的流量分析、流量统计与审计的管理,有效解决动态IP分配难以定位到上网用户的问题。
6.2.9 城域网管理设计
26
XX省教育信息化三通两平台建设解决方案
6.2.9.1 系统安全管理
系统安全管理功能主要有包括:操作日志管理、操作员管理、分组分级与权限管理、操作员登录管理等。
系统管理员实时监控在线操作员登录安全策略分组分级权限管理记录所有操作码密改修期定
所包含的主要功能有: 操作员登录管理
管理员通过制定登录安全策略约束操作员的登录鉴权,实现操作员登录的安全性,通过访问控制模板约束操作员可以登录的终端机器的IP地址范围,避免恶意尝试另人密码进行登录的行为存在,通过密码控制策略,约束操作员密码组成要求,包括密码长度、密码复杂性要求、密码有效期等,以约束操作员定期修改密码,并对密码复杂性按要求设置。
操作员密码管理
管理员为操作员制定密码控制策略,操作员仅能按照指定的策略定期修改密码,以保证访问管理系统的安全性。
分组分级权限管理
管理员通过设备分组、用户分组的设置,可以为操作员指定可以管理的指定设备分组和用户分组,并指定其管理权限和角色,包括管理员、维护员和查看员,实现按角色、分权限、分资源(设备和用户)的多层权限控制;同时通过设置下级网络管理权限,可以通过限制登录下级网络管理系统的操作员和密码,保证访问下级网络管理系统的安全性。
操作日志管理
对于操作员的所有操作,包括登录、注销的时间、登录IP地址以及登录期间进行的任何可能修改系统数据的操作,都会记录详细的日志。提供丰富的查询条件,管理员可以审计任何操作员的历史操作记录,界定网络操作错误的责任范围。
操作员在线监控和管理
系统管理员通过“在线操作员”可以实时监控当前在线联机登录的操作员信息,包括登录的主机IP
27
XX省教育信息化三通两平台建设解决方案
地址、登录时间等,同时,系统管理员可以将在线操作员强制注销、禁用/取消禁用当前IP地址等控制操作。
6.2.9.2 资源管理
管理平台资源管理与拓扑管理作为整体共同为用户提供网络资源的管理。 通过资源管理可以: 网络自动发现
可以通过设置种子的简易方式、路由方式、ARP方式、IPSec VPN、网段方式等五种自动发现方式自学习网络资源及网络拓扑,自动识别包括:路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC在内的多种类型网络设备;
多种自动发现方式
自动识别多种设备类型
网络手工管理
可以手工添加、删除网络设备,可以批量导入、导出网络设备,批量配置Telnet、SNMP参数,以及批量校验Telnet参数等辅助功能;
网络视图管理
支持IP视图、设备视图、自定义视图、下级网络管理视图等多种管理视图,用户可以从不同角度实现整个网络的管理;
网络设备的管理
从任何一种网络视图入口,都可以实现对网络设备的管理,包括:支持对设备的管理/去管理、接口的管理/去管理、设备的详细信息显示和接口详细信息显示、设备和接口实时告警状态、设备和接口的实时性能状态、实时检测存在故障的设备等,用户可以方便的实现所有设备的管理;
设备及业务管理系统的集成管理
28
XX省教育信息化三通两平台建设解决方案
支持对H3C、CISCO、HW等主要厂家设备的管理,支持手工添加设备厂商、设备系列及设备型号;支持设备面板管理的动态注册机制,实现与各厂家设备管理系统的有效集成;支持拓扑定位、ACL、VLAN、QoS等业务管理系统的集成,实现设备资源的统一管理;
设备分组权限管理
支持设备分组功能,通过对设备资源进行分组管理,系统管理员方便的分配其他管理员的管理权限,便于职责分离;
6.2.9.3 拓扑管理
管理平台拓扑管理从网络拓扑的解决直观的提供给用户对整个网络及网络设备资源的管理。拓扑管理包括:
拓扑自动发现
可以自动发现网络拓扑结构,支持全网设备的统一拓扑视图,通过视图导航树提供视图间的快速导航。通过自动发现可以发现网络中的所有设备及网络结构(具体参见资源管理),并且可以将非SNMP设备发现出来,只要设备可以ping通即可。这样就可以将所有网络设备都列入其管理范围(只要设备IP可达)。同时支持自动的拓扑图呈现和自定义拓扑。自动拓扑可以自动将网络中的逻辑连接关系显示出来,同时可以保存为自定义拓扑图并可根据具体情况进行修改以便于网管员对整个网络设备的监控。
支持对全网设备和连接定时轮询和状态刷新,实时了解整个网络的运行情况,并且刷新周期是可定制(刷新周期:60~7200秒),同时也支持对多个设备的刷新周期进行批量配置的功能。
支持自定义拓扑
传统的网络管理软件大多支持自动发现网络拓扑的功能,但是自动发现后的网络拓扑往往是很多设备图标的简单排放,不能突出重点设备和网络层次,使网络管理人员感觉无从下手。
29
XX省教育信息化三通两平台建设解决方案
针对这种情况,管理平台的拓扑功能支持灵活的自定义功能,管理人员可以根据网络的实际组网情况和设备重要性的不同灵活定制网络拓扑,可对拓扑图进行增、删、改等编辑操作,使网络拓扑能够清晰地呈现网络结构以及IT资源分布。
管理平台支持灵活定制拓扑图,使网络拓扑更有重点和层次感。管理员可以按照关注设备不同,管理角度不同定义多种拓扑,并可以针对拓扑不同选择不同的背景图;管理员可以根据网络设备的重要性不同,链路速率不同采用合适的图标显示。
自动识别各种网络设备和主机的类型
管理平台可以自动识别H3C、HW、Cisco等厂商的设备、Windows、Solaris的PC和工作站、其他SNMP设备和ping设备,并且以树形方式组织,以不同的图标显示区分。在拓扑图上更可进一步对设备的类型进行区分,如区分路由器、交换机、安全网关、存储设备、监控设备、无线设备、语音设备、打印机、UPS、服务器、PC等等。
设备状态、连接状态、告警状态等信息在拓扑图上的直观显示
管理平台的拓扑功能与故障管理和性能管理紧密融合,使拓扑图能够清晰地看到IT资源的状态,包括运行是否正常、网络带宽、接口连通、配置变化都能一目了然。多种颜色区分不同级别故障,根据节点图标颜色反映设备状态。
拓扑能提供设备管理便捷入口
管理平台拓扑能够提供对设备管理的便捷入口,管理员只需通过右键点击拓扑图中的设备图标即可启动设备管理各项功能,实现对设备的面板管理等各项功能配置。
6.2.9.4 故障(告警/事件)管理
故障管理,即告警/事件管理,是管理平台的核心模块,是管理平台智能管理平台及其他业务组件统一
30
XX省教育信息化三通两平台建设解决方案
的告警中心:
实时远程告警:手机短信及EMail告警解决故障固化经验分类、声光告警板,按故障类别及等级实时告警实时告警关联分析与统计实现网络管理透明化网管与告警中心实时告警浏览和确认实时告警系统快照,实时报告网络、下级网络及设备的状态告警上报定时轮询通过拓扑实现报告网络及设备状态S网络资源、存储资源、计算资源、业务系统 告警发现和上报
告警中心可以按收各种告警源的告警事件,包括设备告警、本级网管站及下级网管站告警、网络性能监视告警、网络配置监视告警、网络流量异常监视告警、终端安全异常告警等;同时通过支持对设备定时轮询,实现通断告警、响应时间告警等,以告警事件的方式上报给告警中心;
设备告警包括电源电压、设备温度、风扇等告警事件,设备冷启动、热启动、接口linkdown等重要告警事件,路由信息事件(OSPF,BGP)变化,热备份路由(HSRP)状态变化等告警事件,支持对H3C、CISCO、HW等多厂商设备告警的识别和解析;
网管站告警指包括本级系统集群服务器的异常告警,包括CPU利用率、内存使用率、服务程序运行状态等以及下级系统上报的告警事件;
网络性能监视包括CPU利用率,内存使用率,以及RMON告警的故障管理。
定期轮询告警指通过管理平台的资源管理模块对设备接口信息定时进行轮循,并及时上报通断告警、响应时间告警等告警事件。
6.2.9.5 告警深度关联分析与统计
告警中心根据告警脚本中的告警事件定义,接收并解析上报的告警事件;
对接收到的告警事件进行深度关联分析,系统缺省支持重复事件阈值告警、闪断事件阈值告警、未知事件阈值告警、未管理设备告警阈值告警,并能在故障恢复时自动确认相关告警;同时用户可以根据自己的需要确定事件的告警规则,以适应网络管理需要。
31
XX省教育信息化三通两平台建设解决方案
重复事件阈值告警:屏蔽重复接收到的相同事件,并可在达到阈值条件时产生新告警通知用户。 闪断事件阈值告警:分析接收到的闪断事件,并可在达到阈值条件时产生新告警通知用户。 未知事件阈值告警:屏蔽接收到的未知事件,并可在达到阈值条件时产生新告警通知用户。 未管理设备告警阈值告警:屏蔽接收到的未管理设备事件,并可在达到阈值条件时产生新告警通知用户。
自定义事件过滤规则:用户自定义的事件过滤规则,用户可指定在什么时间范围内、对什么样的告警进行过滤。
系统预定义缺省支持各类深度分析后告警事件关联升级为告警的生成规则,同时,管理员可以自定义由告警事件升级为告警的规则,可从事件、事件关键字、事件源、时间范围四个方面进行规则定义,一旦定义事件升级为告警规则后,iMC告警中心会根据定义的规则关联分析后生成不同级别的告警(告警共分成紧急、重要、次要、警告、事件5个级别;在浏览数据窗口,分别以红色、橙色、黄色、蓝色、灰色五种颜色进行显示),将管理员从繁多的告警事件中解脱出来,避免产生告警风暴,让管理员能专心关注告警的根源。
实时告警
提供多种方式将告警通知给管理员,包括:
实时远程告警:通过手机短信或Email邮件的方式,将告警及时通知管理员,实现远程网络的监控和管理;
分类、声光告警板,按故障类别及等级实时告警,让管理员通过告警板不但及时知道告警产生,同时可以了解产生的告警的类别和等级:
实时告警浏览和确认,通过告警首页对目前故障未排除的告警实时刷新并提供故障排除确认的入口:
32
XX省教育信息化三通两平台建设解决方案
提供系统快照,实时报告网络、下级网络及设备的状态]
图标状态实时体现设备状态注:不可达直观、实时体现网络状态
故障解决
对各种故障警均提供“修复建议”,管理员可以参考修复建议对故障进行处理。在故障得到解决后,
33
XX省教育信息化三通两平台建设解决方案
通过对告警的确认完成故障的恢复确认。
固化经验
提供告警知识库。告警知识是用户在维护过程中的经验总结,将这些经验输入系统,下次再出现同样的故障时,可以作为参考。用户选中一条告警记录,系统根据用户选中的告警记录,从告警知识库中查询出该条告警记录的维护经验,供用户进行告警处理进行参考。用户将自己的日常处理经验以及业务信息及时写入数据库、更新告警知识库对以后的故障诊断与排除非常有益。
对系统自带修复建议的有效补充,为后续维护提供便利 6.2.9.6 性能管理
网管系统提供丰富的性能管理功能,同时以直观的方式显示给用户。例如:可以提供折线图、方图、饼图等多种显示方式并能生成相应的报表。通过性能任务的配置,可自动获得网络的各种当前性能数据,并支持设置性能的阈值,当性能超过阈值时,网络以告警的方式通知告警中心:
支持At a Glance、TopN功能,用户能够对CPU利用率、流量等关键指标一目了然;
34
