学校网络系统建设指南(试行)

学校网络系统建设指南(试行)一、建设目标与基本原则（一）建设目标以支撑智慧校园建设、服务教育教学改革为核心，构建高速泛在、安全可靠、融合共享的现代化学校网络系统，实现“万兆主干、万兆到楼、千兆/万兆到桌面、全域无线覆盖、物网独立分离、安全体系完备、应用全域覆盖”的建设标准，满足日常教学、科研、管理、服务及应急线上教学等多场景需求，为学校数字化转型提供核心支撑。其中，在校生规模1000人以下的小型学校满足基础教学需求即可，1000-10000人的中型学校实现全场景数字化支撑，10000人以上的大型学校建成领先的智慧校园网络底座。（二）基本原则1.标准统一，合规先行：严格遵循国家教育信息化、网络安全相关国家标准与行业规范，统一技术标准、统一数据规范，实现与上级教育主管部门平台的无缝对接，避免信息孤岛。2.安全优先，隐私保护：将网络安全贯穿建设全流程，落实网络安全等级保护2.0要求，强化个人信息与核心数据保护，符合《网络安全法》《个人信息保护法》《未成年人网络保护条例》等法律法规要求。3.按需扩展，适度超前：结合学校发展规划，预留足够扩展空间，适度采用成熟领先技术，避免短期内重复建设，降低整体拥有成本。4.融合共享，服务育人：以师生需求为核心，整合各类资源与应用，打破部门数据壁垒，提升办学效率与服务体验，支撑育人模式创新。二、核心网络基础设施建设（一）有线网络建设采用“核心层-汇聚层-接入层”三层扁平化架构，核心设备、主干链路实现全冗余，保障网络可用性：1.链路带宽标准：核心层之间、核心层到汇聚层链路带宽不低于100G（10000人以下学校不低于40G），汇聚层到接入层链路带宽不低于10G，接入层到终端带宽不低于1G，实验室、教师办公工位等高密度需求区域实现万兆到终端。2.信息点配置标准：普通多媒体教室每间配置不少于2个六类以上有线信息点，1个绑定教学多媒体终端，1个预留应急使用；公共教学区域每10平方米配置不少于1个六类以上信息点；教师办公室每位教职员工工位配置不少于1个六类以上信息点；专业实验室、创新工作室每个工位根据需求配置不少于1个万兆信息点；行政办公区域每个办公工位配置不少于1个千兆信息点。3.设备性能标准：核心交换机交换容量不低于1.2T（10000人以上学校不低于3.6T），转发性能不低于400Mpps（10000人以上学校不低于1000Mpps），支持双引擎、双电源冗余；汇聚层单台交换机交换容量不低于400G，转发性能不低于100Mpps；接入层交换机支持PoE+（802.3af/at）供电，满足无线AP、物联网终端供电需求，单端口支持功率不低于30W。所有有线链路需满足六类线布线标准，万兆链路误码率不高于1×10^-12，插损不大于20dB。（二）无线网络建设实现校园全场景覆盖，满足移动教学、移动办公、智能终端接入需求：1.覆盖标准：教学区、办公区、学生生活区、公共活动区（操场、礼堂、廊道、校门、地下停车场）实现100%无线覆盖，无覆盖盲区。采用Wi-Fi6（802.11ax）技术标准，优先使用5GHz频段，保障接入速率与并发能力。2.密度配置标准：普通教室每间（约50-60平方米）部署不少于2个双频AP，满足50名学生同时接入需求；阶梯教室、报告厅、体育馆等大空间区域每100平方米部署不少于2个双频AP；室外操场、广场每1000平方米部署不少于1个室外双频AP，室外AP防护等级不低于IP67，满足防尘防水防盐雾要求。3.性能标准：单AP支持并发接入用户数不低于50，单用户接入带宽不低于20Mbps，漫游切换延迟不超过50ms，信号覆盖区域RSSI（接收信号强度）不低于-70dBm，满足4K直播教学、移动互动课堂等高带宽应用需求。配置多SSID逻辑隔离，分为教职工SSID、学生SSID、访客SSID、物联网专用SSID四类，不同SSID划分独立VLAN，访客SSID仅开放互联网访问权限，禁止访问校内核心业务资源。（三）物联网专用网络建设为校园各类物联网终端搭建独立承载网络，实现统一接入、安全隔离：1.架构要求：物联网专网与教学办公网实现逻辑隔离，重点区域可采用物理隔离，采用“感知终端-物联网网关-平台管理”三级架构，支持LoRaWAN、NB-IoT、以太网等多协议接入，满足智慧门禁、智慧水电、智慧消防、视频监控、环境监测、智能考勤等各类终端接入需求。2.管理要求：统一分配物联网终端IP地址，建立终端台账，实现全生命周期管理，默认禁止物联网终端主动访问教学办公网核心区域，仅开放平台侧单向访问权限，防止物联网漏洞被利用攻击核心网络。（四）中心机房建设严格遵循GB50174《数据中心设计规范》B级及以上标准建设：1.空间配置：在校生规模10000人以下的学校，机房使用面积不小于80平方米；10000-30000人的学校不小于150平方米；30000人以上的学校不小于250平方米，预留不少于30%的扩展空间用于后续设备扩容。2.环境与供电：机房温度常年控制在18-24℃，相对湿度控制在40%-60%，防雷接地符合GB50057《建筑物防雷设计规范》第二类防雷建筑物标准；采用双路市电接入，配置在线式UPS电源，核心设备、安全设备供电后备时间不低于4小时，一般设备不低于2小时；配备智能环控系统，实时监测温湿度、烟感、漏水、市电状态、UPS电压电流，异常情况自动告警；消防采用洁净气体灭火系统，严禁使用水喷淋系统保护核心电子设备。3.算力存储配置：采用云化虚拟化架构，构建计算资源池与存储资源池，总CPU核心数不低于在校生规模的0.2倍，总存储容量不低于每生100GB，其中结构化业务数据占比20%，非结构化教学资源、视频数据占比80%；核心数据采用“本地实时备份+异地定期灾备”架构，核心数据每日增量备份，每周全量备份，异地灾备中心距本地机房不低于50公里，每月同步一次核心全量数据，防止区域性灾害导致数据丢失。三、业务应用系统建设以数据融合为核心，搭建覆盖教学、管理、科研、服务全场景的应用体系：（一）统一基础支撑平台1.统一身份认证平台：实现全校所有业务系统100%接入，支持账号密码、人脸识别、短信验证多种认证方式，实现全网单点登录，统一用户身份管理，师生一人一号，离职离校自动销户，权限动态调整。2.校级数据中台：制定统一数据标准，整合各业务系统数据，实现“一数一源、动态更新、共享复用”，打破信息孤岛，建立校级基础数据库、主题数据库，为业务创新、决策分析提供数据支撑。（二）教学支撑应用系统1.智慧课堂系统：所有普通教室配备互动教学终端，支持4K信号输入输出，对接国家级、省级教育资源公共服务平台，建成校本教学资源库，容量不低于10TB，每月更新资源不低于100GB，支持互动答题、学情实时采集、课后个性化作业推送等功能。2.在线教学平台：支持同时并发在线人数不低于在校生总规模的30%，满足疫情等应急情况下全年级线上教学需求，支持直播、录播、在线作业、在线考试、互动答疑全流程教学管理，教学数据全程留存，可追溯可分析。3.虚拟仿真实验教学平台：覆盖学校不少于60%的主干专业，满足开放性实验教学需求，支持实验预约、数据留存、成绩自动统计，重点专业实现高危、高成本、不可及实验的虚拟仿真开设。4.标准化考点网络系统：升学考试、资格考试标准化考点采用独立VLAN、冗余专线接入上级考试机构网络，专线带宽不低于100Mbps，配备独立链路备份，实时监控网络状态，满足考试全程数据稳定传输要求。（三）校务管理应用系统整合现有分散管理系统，实现全流程数字化管理：覆盖OA办公、教务管理、学生管理、财务管理、资产管理、后勤管理全领域，其中教务管理系统满足学分制改革、走班制教学排课选课需求，学生管理系统全流程覆盖招生、学籍、住宿、奖助贷补、就业管理，对接教育部学信网、省级招生就业平台，实现数据自动同步。（四）师生服务应用系统建成线上一站式服务大厅，实现90%以上师生高频服务事项线上办理，支持PC端、移动端多端访问，实现“让数据多跑路，让师生少跑腿”，高频事项实现“零跑腿”或“最多跑一次”；完善校园一卡通系统，对接统一身份认证，支持刷卡、刷码、刷脸多种验证方式，覆盖门禁、考勤、餐饮消费、图书借阅、校园乘车、洗浴热水全场景，满足师生校园生活需求；落实未成年人网络保护要求，针对中小学未成年学生，搭建上网内容过滤系统，过滤违法违规不良信息，可根据教学管理需求设置非学习时段上网权限，保护未成年人健康上网。（五）科研支撑应用系统中型以上学校及高校需建设科研管理服务平台，整合项目申报、成果登记、知识产权管理、科研经费管理全流程，建设科研大数据分析平台，为学校学科建设、科研决策提供数据支撑；国家级、省级重点实验室配备专用科研网络，出口带宽不低于10G，满足大体积科研数据、实验数据的传输与存储需求。四、网络安全体系建设严格落实网络安全等级保护2.0要求，构建“技术+管理”全方位安全防护体系：（一）分级防护要求学校门户网站、核心业务系统（教务系统、学生管理系统、财务系统）全部按照等保2.0三级要求建设防护，一般业务系统按照等保2.0二级要求建设，每年委托具备资质的机构开展一次等保测评，测评发现的漏洞整改率达到100%。（二）技术防护体系建设1.边界防护：学校互联网出口部署下一代防火墙、入侵防御系统（IPS）、DDoS流量清洗系统，流量清洗能力不低于出口总带宽的2倍，可防护10Gbps以上流量攻击，实时阻断入侵、扫描等恶意行为。2.应用防护：所有对外发布的网站、应用系统部署Web应用防火墙（WAF），每月开展一次漏洞扫描，每季度开展一次渗透测试，及时修复SQL注入、XSS跨站脚本等常见漏洞，防止网页篡改、数据泄露。3.终端防护：所有办公计算机、服务器统一安装终端安全管理系统，病毒库更新周期不超过24小时，实现漏洞自动修复、移动存储介质管控、终端行为审计，防止病毒、勒索病毒扩散传播。4.数据安全：对校园数据进行分类分级，核心数据（学生个人信息、教师个人信息、财务数据、核心科研数据）采用加密存储、加密传输，严格落实最小权限访问原则，所有访问操作留痕，日志留存时间不少于6个月，核心操作日志留存不少于1年，严格管控个人信息导出、共享行为，符合个人信息保护相关法律法规要求。5.安全监测：部署校级网络安全态势感知平台，实时监测全网异常流量、恶意攻击行为，实现攻击提前预警、攻击过程可追溯，每月生成安全态势分析报告，及时处置安全风险。（三）安全应急体系建设制定完善网络安全应急预案，针对勒索病毒攻击、数据泄露、大面积网络中断等常见安全事件制定专项预案，每学期至少开展一次应急演练，提升应急处置能力；建立7×24小时值班制度，重大活动、重要考试期间安排专人值守，及时处置安全事件；建立重要信息上报制度，发生重大网络安全事件按要求第一时间上报上级教育主管部门与网信部门。五、运维管理体系建设（一）组织与人员配置：学校设立专门的网络与信息中心管理机构，专职运维人员配比不低于每500名在校生1人，在校生规模10000人以下的学校不少于3名专职运维人员，明确网络安全负责人、信息化分管负责人，落实网络安全主体责任。（二）制度建设：建立完善网络运维管理制度、网络安全管理制度、数据安全管理制度、用户权限管理制度、应急管理制度等，明确各岗位权责，落实分级授权审批制度，做到有章可循、责任到人。（三）运维能力建设：搭建统一网络运维管理平台，实现对所有网络设备、安全设备、服务器、应用系统的统一监控，故障自动告警，一般故障响应时间不超过4小时，核心故障响应时间不超过1小时，全年校园网络整体可用性不低于99.9%，年中断时长不超过8.76小时；每学期组织专职运维人员开展不少于40学时的专业技术培训，每年组织全体教职员工开展不少于2学时的网络安全培训，定期开展网络安全宣传教育活动，提升师生安全防范意识。（四）外包运维管理：确需外包运维服务的，需选择具备相应资质的服务提供商，签订安全保密协议，对外包运维人员进行背景审查，落实最小授权原则，外包人员操作全程留痕审计，禁止外包人员单独接触核心数据与核心设备。六、分期建设与验收要求（一）分期建设安排：第一阶段（第1年）：完成核心网络基础设施升级改造，实现有线、无线网络全校园覆盖，完成中心机房改造，搭建统一身份认证平台与数据中台，核心业务系统上线运行，初步建成网络安全防护体系，满足基础教学、管理需求；第二阶段（第2-3年）：完成所有业务系统整合接入，优化安全防护体系，完善物联网终端接入能力，实现全场景智慧应用落地，满足学校数字化转型需求；第三阶段（持续优化阶段）：每年根据技术发展与需求变化，对网络基础设施、安全