杭中士

摘要：教育信息化是實現(xiàn)教育現(xiàn)代化的關(guān)鍵，“新基建”思想及新技術(shù)的推出，迫使學(xué)校開拓新的信息化建設(shè)之路。云計算及云服務(wù)作為當(dāng)前互聯(lián)網(wǎng)的熱點，也被逐步應(yīng)用到學(xué)校教育教學(xué)管理中，進而實現(xiàn)安全管理的一體化，減少設(shè)備更新投入。該文結(jié)合學(xué)校實際現(xiàn)狀，對基于通信運營商的云服務(wù)的建設(shè)方案和思路進行分析總結(jié)，可為其他類似學(xué)校提供借鑒和經(jīng)驗分享。

關(guān)鍵詞：運營商;云技術(shù);服務(wù)器;職業(yè)學(xué)校

中圖分類號：G642.0? ?文獻(xiàn)標(biāo)識碼：A

文章編號：1009-3044（2022）21-0030-02

開放科學(xué)（資源服務(wù)）標(biāo)識碼（OSID）：

2021年教育部等六部門印發(fā)的《關(guān)于推進教育新型基礎(chǔ)設(shè)施建設(shè)構(gòu)建高質(zhì)量教育支撐體系的指導(dǎo)意見》指出，教育新型基礎(chǔ)設(shè)施是以新發(fā)展理念為引領(lǐng)，以信息化為主導(dǎo)，面向教育高質(zhì)量發(fā)展需要，聚焦信息網(wǎng)絡(luò)、平臺體系、數(shù)字資源、智慧校園、創(chuàng)新應(yīng)用、可信安全等方面的新型基礎(chǔ)設(shè)施體系[1]。《2022年職業(yè)教育重點工作》中提出，要啟動職業(yè)學(xué)校信息化標(biāo)桿學(xué)校建設(shè)，推動職業(yè)教育數(shù)字化升級。江蘇省的職業(yè)學(xué)校經(jīng)過近幾年的數(shù)字校園、智慧校園建設(shè)，基礎(chǔ)設(shè)施不斷完善，但隨著新標(biāo)準(zhǔn)及新技術(shù)的推出，使得職業(yè)學(xué)校的信息化建設(shè)有了新的方向，對中心機房、服務(wù)器等技術(shù)和投入要求較高的建設(shè)，已在逐步找尋更加完善的建設(shè)方案。

1 建設(shè)背景

揚州高等職業(yè)技術(shù)學(xué)校于2008年開始建設(shè)數(shù)字化校園，于2014年與揚州移動公司進行校企合作，開啟智慧校園建設(shè)，經(jīng)過多年的穩(wěn)步推進建設(shè)，在人員理念提升、基礎(chǔ)環(huán)境建設(shè)、軟件平臺建設(shè)及數(shù)字資源建設(shè)等方面取得了顯著成效，師生信息化素養(yǎng)與應(yīng)用水平有了較大提升，學(xué)校先后被評為揚州市數(shù)字化校園、揚州市智慧課堂示范校、江蘇省職業(yè)學(xué)校智慧校園。然而，隨著硬件設(shè)備的不斷老化、業(yè)務(wù)系統(tǒng)的不斷增多（近40個虛擬機），學(xué)校的服務(wù)器、機房環(huán)境已經(jīng)不能很好地支撐各類業(yè)務(wù)系統(tǒng)的正常運轉(zhuǎn)，如服務(wù)器刀片頻繁報警、精密空調(diào)需要經(jīng)常清洗維護、UPS電池蓄電不足等。網(wǎng)絡(luò)中心機房作為各類業(yè)務(wù)系統(tǒng)正常運轉(zhuǎn)的核心陣地，任何一個環(huán)境節(jié)點出現(xiàn)故障都會迫使業(yè)務(wù)系統(tǒng)停止運行，嚴(yán)重影響了教育教學(xué)的正常開展。同時，受疫情大環(huán)境的影響，學(xué)校各類經(jīng)費都在縮減，沒有足夠的經(jīng)費和外部力量投入到設(shè)備的維修和更新上，且多數(shù)設(shè)備的配件已處于淘汰和停產(chǎn)狀態(tài)。

鑒于以上學(xué)校實際現(xiàn)狀，以及當(dāng)下云技術(shù)的不斷成熟，學(xué)校迫切需要找到一條云服務(wù)的建設(shè)之路，將各類業(yè)務(wù)系統(tǒng)盡快遷移到云端，通過購買服務(wù)的形式實現(xiàn)云端托管，保證業(yè)務(wù)訪問不中斷。當(dāng)下，提供云服務(wù)的廠商有很多，有技術(shù)企業(yè)（阿里云、百度云等），有設(shè)備廠商（深信服、華為等），有通信運營商（電信、移動、聯(lián)通等）[2]。學(xué)校通過多方調(diào)研，結(jié)合校企協(xié)作、本地化服務(wù)等實際需求，最終選擇揚州移動提供云服務(wù)支持。

2 建設(shè)原則

鑒于學(xué)校系統(tǒng)多、數(shù)據(jù)量大，同時考慮到網(wǎng)絡(luò)與信息安全，提出建設(shè)原則如下：

1）最小影響原則。系統(tǒng)與數(shù)據(jù)分析和轉(zhuǎn)移的時候應(yīng)盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運行，不能對現(xiàn)有網(wǎng)絡(luò)的運行和業(yè)務(wù)的正常提供產(chǎn)生明顯影響。

2）標(biāo)準(zhǔn)性原則。方案的設(shè)計與實施應(yīng)依據(jù)國內(nèi)、國際、等級化保護相關(guān)要求、相關(guān)標(biāo)準(zhǔn)進行，既要滿足學(xué)校系統(tǒng)的三級等保要求，又要考慮以后內(nèi)網(wǎng)訪問及維護的便捷。

3）可擴展性原則。方案設(shè)計及技術(shù)文檔要有很好的規(guī)范性，便于學(xué)校管理人員后續(xù)的跟蹤和應(yīng)用，對云平臺的配置、虛擬化數(shù)量、前端防護產(chǎn)品的配套，要有一定冗余性和可擴展性。

4）整體性原則。應(yīng)從系統(tǒng)和網(wǎng)絡(luò)各個方面整體考慮，包括安全涉及的各個層面，避免由于遺漏或級別低造成未來的等保安全隱患。

5）可控性原則。方法和過程要在雙方認(rèn)可的范圍之內(nèi)，安全分析的進度要按照進度表進度的安排，在技術(shù)實施、產(chǎn)品提供、售后保障上都要求可控性。

6）保密性原則。因整個建設(shè)涉及師生的各類數(shù)據(jù)，所有參與項目人員需簽訂保密協(xié)議，對過程數(shù)據(jù)和結(jié)果數(shù)據(jù)均有保密義務(wù)，不得將測試數(shù)據(jù)及報告進行公開。

3 方案設(shè)計

3.1 方案架構(gòu)

根據(jù)學(xué)校系統(tǒng)三級等保、日志留存、漏洞掃描等安全需求，以及訪問量、訪問策略和存儲空間的實際要求，設(shè)計移動云服務(wù)部署拓?fù)鋱D及設(shè)備清單如下：

3.2 方案說明

首先，接入層對應(yīng)于學(xué)校的互聯(lián)網(wǎng)辦公區(qū)，在出口區(qū)域部署校內(nèi)本地防火墻，作為出口的防火墻設(shè)備，實現(xiàn)出口的安全防護功能，滿足出口網(wǎng)絡(luò)的安全要求。云端應(yīng)用層前根據(jù)系統(tǒng)三級等保要求部署一整套安全防護設(shè)備，能夠精確識別用戶、應(yīng)用和內(nèi)容，全面替代傳統(tǒng)防火墻，并具有全面的應(yīng)用層安全防護功能和強勁的處理能力，從網(wǎng)絡(luò)入口處一站式智能化解決網(wǎng)絡(luò)層和應(yīng)用層安全威脅，為網(wǎng)絡(luò)出口構(gòu)建一套安全長城，保障內(nèi)網(wǎng)用戶網(wǎng)絡(luò)接入和業(yè)務(wù)系統(tǒng)的安全問題，實現(xiàn)內(nèi)外部網(wǎng)絡(luò)隔離和訪問控制，保護內(nèi)部業(yè)務(wù)系統(tǒng)和用戶免受非法侵入。

其次，在匯聚層，通過移動機房接入交換機部署雙機雙專線，確保線路可靠性、穩(wěn)定性、和冗余性。通過移動的雙專線，將本地網(wǎng)絡(luò)與云上主機組成新型內(nèi)網(wǎng)架構(gòu)，在較大程度上減少對校內(nèi)師生日常訪問的干擾。

在應(yīng)用層，采用揚州本地VM資源池上云形式，時延、穩(wěn)定性和擴展性可有效得到保障。所有公網(wǎng)訪問流量必須經(jīng)過云端三級等保安全資源池過濾后，方可進入云主機VPC。通過安全資源池中WAF產(chǎn)品對學(xué)校網(wǎng)站進行有效防護，對公網(wǎng)訪問過來的流量進行安全資源池過濾后再通過內(nèi)網(wǎng)形式轉(zhuǎn)發(fā)給內(nèi)網(wǎng)服務(wù)器。根據(jù)特定系統(tǒng)訪問需求（如內(nèi)網(wǎng)專題網(wǎng)站），將對特定網(wǎng)站訪問的源地址進行限制，僅允許學(xué)校特定的出口IP進行訪問。對各類云主機進行定期整機備份，數(shù)據(jù)庫采用4臺互為備份的高性能服務(wù)器，并對數(shù)據(jù)庫硬盤部分進行按需備份，確保穩(wěn)定性和可靠性，所有云主機均通過內(nèi)網(wǎng)VPC線路和存儲資源池（云硬盤）進行數(shù)據(jù)交互和調(diào)用。

最后，在運維管理區(qū)部署日志審計設(shè)備，對網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，審計覆蓋到每個用戶，審計記錄包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息。對審計記錄進行保護，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋，審計記錄留存180天以上且不中斷。

4 方案優(yōu)勢

4.1 構(gòu)建立體化防護體系

通過在云上出口部署防火墻、入侵防御等安全設(shè)備，提供L2-L7層各類威脅的檢測和防護，基于事前、事中、事后全過程設(shè)計，通過防火墻實現(xiàn)網(wǎng)端聯(lián)動：事前風(fēng)險預(yù)知、事中有效防御，以及事后持續(xù)檢測和快速響應(yīng)，為業(yè)務(wù)系統(tǒng)提供全程的安全保護能力，讓安全更簡單更有效。

4.2 實現(xiàn)規(guī)范化審計與管理

通過云端日志審計系統(tǒng)，能夠?qū)崟r不間斷地采集匯聚不同廠商不同種類的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)和業(yè)務(wù)系統(tǒng)的日志信息，通過挖掘不同類型、來源于不同設(shè)備或系統(tǒng)的日志或安全事件之間可能存在的關(guān)聯(lián)關(guān)系，實現(xiàn)實時監(jiān)控日志接入信息，協(xié)助網(wǎng)管員進行安全分析及合規(guī)審計，及時、有效地發(fā)現(xiàn)異常安全事件及審計違規(guī)。通過漏洞掃描設(shè)備，實現(xiàn)了各類配置脆弱性（漏洞、WEB漏洞、弱口令、配置違規(guī)、變更）的智能發(fā)現(xiàn)，可以具有自動化的采集、分析和報告能力，實現(xiàn)集中有序運維。

4.3 運營商專線方便快捷

運營商提供云服務(wù)，一般同時提供自己運營的傳輸線路，在專線的租用、冗余、設(shè)備更新等方面有著先天優(yōu)勢。中國移動2009年自建PTN傳輸網(wǎng)，和華為等知名廠家長期保持技術(shù)上密切合作，網(wǎng)絡(luò)設(shè)備支持平滑擴容升級，PTN環(huán)網(wǎng)保護組網(wǎng)已預(yù)留容量，組建專網(wǎng)更便于網(wǎng)絡(luò)擴容升級，縱向網(wǎng)絡(luò)電路和橫向網(wǎng)絡(luò)電路支持平滑升級至100G帶寬[3]。省級主干線光纜實行1+1保護，所有節(jié)點采用雙路由保護，移動云本地資源池網(wǎng)絡(luò)時延低至2ms[4]，數(shù)據(jù)訪問響應(yīng)快，同時，本地數(shù)據(jù)接管方便，突發(fā)情況響應(yīng)及時。

5 建設(shè)成效

5.1 實現(xiàn)了高效可視的安全運維和風(fēng)險處置

等保2.0的推出，對學(xué)校信息系統(tǒng)的三級等保提出了更高要求，系統(tǒng)的網(wǎng)絡(luò)環(huán)境、安全防護需要，根據(jù)標(biāo)準(zhǔn)需要不斷更新和投入。通過云端服務(wù)，徹底解決了這個問題，云端安全設(shè)備可以根據(jù)不同的標(biāo)準(zhǔn)隨時進行切換和升級，并且使網(wǎng)絡(luò)安全

“看得見、看得懂”[5]，通過網(wǎng)絡(luò)風(fēng)險可視化，將安全狀況直觀地呈現(xiàn)出來，實現(xiàn)更精準(zhǔn)的風(fēng)險分析及判斷。對于使用者而言，只需關(guān)心系統(tǒng)本身的漏洞和Bug，結(jié)合應(yīng)用層的安全管理，最終實現(xiàn)更高效的安全運維和風(fēng)險處置。

5.2 設(shè)備的運維成本降低，使用效率提高

通過云技術(shù)的應(yīng)用，將本地數(shù)據(jù)和系統(tǒng)實現(xiàn)云端部署，大大降低了維護的人力和財力。以往，本地硬件設(shè)備的老化需要不斷地投入和維保，而作為一所學(xué)校，專業(yè)級的中心機房維護成本太高，技術(shù)力量跟不上。云端部署后，將專業(yè)的事交給專業(yè)的人做，作為學(xué)校，通過花少量的錢購買適合的服務(wù)，不用過多地去關(guān)注底層的架構(gòu)和技術(shù)層的維護，真正把更多的時間用在信息化的應(yīng)用上，按照“需求牽引、應(yīng)用為王、成熟先上、技術(shù)保障”工作原則，真正作信息化應(yīng)用的主人，享受信息化帶給教育教學(xué)的便捷和高效，進而提升全校師生信息化應(yīng)用水平，推動學(xué)校數(shù)字化升級。

參考文獻(xiàn)：

[1] 胡少云.新基建環(huán)境下智慧校園場景創(chuàng)新與應(yīng)用[J].智能建筑，2021（1）：29-31.

[2] 曾善檑，俞高明，姚建昌，等.基于阿里云的廣電云平臺本地化部署[J].中國有線電視，2021（10）：1009-1012.

[3] 周江.面向5G的分層次分布式云服務(wù)系統(tǒng)資源優(yōu)化調(diào)度與分配[D].成都：電子科技大學(xué)，2015.

[4] 郭建康.基于超融合架構(gòu)的學(xué)校云數(shù)據(jù)中心建設(shè)和應(yīng)用[J].信息與電腦（理論版），2018（17）：98-100.

[5] 葛玉軍.職業(yè)學(xué)校智慧校園建設(shè)經(jīng)驗分享――以南通衛(wèi)生高等職業(yè)技術(shù)學(xué)校為例[J].電腦知識與技術(shù)，2020，16（12）：32-33.

【通聯(lián)編輯：朱寶貴】