数字化校园现状与挑战 经过近十年以来,"九五","十五","211工程""985工程"的建设,高教行业取得了突飞猛进的发 展.与此同时,以数字化校园为特征的教育信息化发展迅速,有如春风化雨,春雨润物一般,静悄悄的改 变着老师和学生们的工作,学习,生活以及思维方式,引发了一场新的革命和新的变革的到来.学校基本 的教学教务管理,科研管理,后勤管理,数字图书馆,视频服务系统,办公自动化系统和社区服务等应用 系统的建设有了初步的规模,一卡通业务在很多学校也开始应用.学校里各阶层人员的认识水平和技术水 平上了一层台阶,对于信息化工具的使用已变成为一种自觉和自愿的行为,为"十一五"数字化校园的进 一步发展打下了良好的基础. 但是在成绩的背后,存在的问题也很突出.因为管理的问题,历史的原因,应用分割,无法相通,数 据孤立,无法共享,形成了信息孤岛,给学校正常的工作开展带来了阻碍,也限制了信息化建设所应该发 挥的作用.比如一卡通的问题.真正的一卡通业务应该做到,从学生跨进校门的那一刻起,学生拿了一张 卡片,通行无阻,无任何的现金交易,通过这张卡片,报到,用餐,洗澡,上网,消费,借阅书等等活动 都能够顺利完成.但是由于一卡通业务所涉及到的数据分散在不同的职能部门,比如,对应学生的相关数 据在教务处的学籍管理,在后勤部门的餐厅,食堂,宿舍管理,在图书馆的借阅书管理以及网络中心的网 管系统中都存在,但由于信息不能共享和流动,导致了一卡通业务很难真正顺利地开展. 另外,虽然基础网络的建设已初具规模,实现了校园网络的基本覆盖和联通,以及万兆技术的初步应 用,但是校园网络的管理问题也很严重.据统计,超过70%-90%的流量是非核心业务的流量.学生的BT 下载,聊天,游戏等网络行为对于学校的教学,科研和管理等业务的正常开展造成了比较大的负面影响, 如多媒体教学,远程教学,数字图书馆,视频会议系统等实时和高带宽业务得不到足够的资源和带宽保障. 同时,校园网络没有标准化的,成熟的安全解决方案,目前大多数的院校是通过防火墙与核心的交换机, 路由器上配置的ACL作为安全保障措施,但实际上无法真正抵御病毒和攻击,基础网络的服务质量无法 保证. 如何保证基础网络畅通无阻与安全可靠,保障校园各项业务的正常开展是校园用户必须面对和解决的 突出的难题. 整合——数字化校园前进之路 面对问题和挑战,结合"十一五"高校发展战略,国内高校纷纷制定了各自的"十一五"信息化发展战略, 总的目标是:将学校的教学,科研,管理和服务等各项活动全面移植到信息化,数字化的网络环境中,为 学校高素质人才培养,高水平科学研究和知识创新,高科技辐射和高技术产业化提供重要支撑,积极推进 "研究型,综合型,创新型"一流大学建设. "十一五"高校信息化规划的基本内容如下:完善校园网络基础设施建设,实现随时随地的上网,整体 校园网络高速畅通,安全可信,稳定可靠;完善校园数据共享基础平台的建设,包括全校统一的信息资源 库,统一的电子身份认证系统的建设;完善和创新网络教学服务平台,创建和创新网络学术研究创新环境, 完善电子校务系统与校园网络文化建设,实现科研成果产业化,提高高校对区域行业的高科技辐射作用. 应该说,在"十一五"高校信息化发展战略中,信息技术将成为校园的一项核心生产力,成为校园教学 科研各项核心业务的最有力的支撑点. 为了实现"十一五"高校信息化规划蓝图,结合目前高校信息化建设的现状和问题,我们认为,最核心 的工作是必须要实现三个整合:1,流程与业务的整合和优化,2,信息和知识资源的整合,3,信息操作 环境的整合. 第一项是流程与业务的整合和优化: 教育信息化其实是一场革命,不可能只是简单模仿现有的工作程序和模式,而是要借助信息化的工具, 实现学校的各项业务和管理流程的优化和改造.通过流程与业务的整合和优化,突破职能管理部门的界限, 实现信息流在不同业务部门之间的流动,实现以学校的教学,科研主业务为核心的新的运作模式,并能够 随着新业务的发展不断地调整和优化资源.比如跨学科,跨领域的教学和科研,跨部门的一卡通系统等, 其实都是要实现流程和业务的改革,调整和优化. 流程,业务整合和优化通过信息化的工具来实现,其外部表现就是应用系统的整和与创新,实现不同 业务部门之间的信息系统的纵向与横向交互与关联. 第二项是信息和知识资源的整合: 优势学科,重点学科的建设,原创型,专利型科技创新,需要以大量的科技信息资源为依托.只有实 现了国际国内最新的,跨学科,跨领域的研究成果,科技信息的集中,共享,继承和发展,只有站在全球 科研的广视角,大范围内,学校的科研成果才是创新的,才是有意义的.在学术界有一句话,大意是:"在 互联网上浏览很短的时间,胜过在实验室工作很长的时间",其实道理是很明白的.所以,为了实现"十一 五"高校信息化发展战略,必须实现 "信息,知识资源整合" ,同时,"信息,知识资源整合"也是"流程, 业务整合和优化"的基础. 信息整合的外部表现为数据的整合,因为信息,知识在计算机中的表示其实就是数据.实现数据的集 中,共享和管理的目标是消除信息孤岛,实现信息资源的共享,最终为应用系统的整和与创新提供坚实的 支撑. 第三项是信息操作环境的整合: 其目的是:能够在任何时间,任何地点,通过任何终端设备实现人和人之间方便地交流,以及人与信 息,应用的交互,提供统一消息,协同工作的良好工作环境,显著地提高工作效率.而要实现这一点,就 必须实现IT基础资源的整合与优化,即网络,通信,计算,存储等基础资源的整合与优化,为数据的整 合,应用的整合提供支撑,为校园核心业务系统的运行提供高速,安全,可靠,稳定的坚实的基础. IToIP - 数字化校园优化整合解决方案 下面是基于IToIP的思想方法,构造出来的一个数字化校园的整合模型: 数字化校园整合模型 应用服务 基础架构服务应用,数据与管理中间件(SOA) 一卡通 校务管 理信息 系统 办公系 统 学生与教师 社区服务 教学管 理服务 系统 数字图 书馆 跨学科 创新型 科研 IP存储 数据整合 教学数据(课件) 仪器设备 科研实验数据电子图书数据 人力资源与学籍数据 档案数据 多业务实验室 一卡通数据办公数据 IP自适应网络 (WAN/MAN/LAN/WLAN) IP羬楶嬏撊 IP集合 通信IP计算 亅渨殧冨濙琓 最底层是IP自适应安全网络,实现了IP网络与安全的融合渗透. 在安全网络之上,是IP网络与IP存储,IP计算和IP通信的融合,提供了自适应的IP网络与IP存储, IP计算和IP集合通信整合的统一基础资源平台.在此之上,是IP智能管理中心(IMC)层,提供了对于IT 资源的管理,对于业务,用户和安全的管理.这些底层的IT基础资源平台基于IP技术的统一融合,实现 了IT基础架构资源化和设备资源虚拟化,为校园IT资源集中共享和统一管理提供了支撑,同时将大幅度 降低管理的复杂性和成本. 再朝上一层,在IT基础资源的整合基础之上,是学校的教学,科研,管理和服务系统的基础数据资 源的整合.整合的数据平台包含:人力,办公,设备,教学,科研,图书,档案和多媒体等校园基础数据, 通过数据库管理系统和大规模的文件系统对于校园应用整合提供支撑. 在校园IT资源平台和数据整合平台之上,通过开放接口,提供了应用,数据和管理中间件,通过面向 业务的开放架构SOA,提供了对于数字化校园的应用系统整合和优化的支撑,建构在此开放架构平台之上 的校园应用系统将是面向业务,面向未来发展战略的系统.可以说,IToIP的思想理念是数字化校园的一 套优化整合的方法论. 下面重点介绍IP网络与安全的融合渗透,以及IP存储资源整合的建设问题. 校园基础网络的安全与优化 校园基础网络的安全与优化是校园基础网络整合的主要内容之一,是为了实现校园网络的安全,通畅 和可靠,能够对于上层关键业务提供核心的支撑.而要做到这一点,从端点接入,到校园核心,到网络出 口,整张网络都必须是安全可信的.三分靠技术,七分靠管理,只有通过强有力的管理手段和必要的技术 手段,才能将校园网络从管理松散的状态转变过来. 首先是端点设备的接入问题.目前校园网络已经实现了对于用户身份的认证管理系统,但是对于用户 计算机的安全状态是不了解的,也无法控制用户的网络行为.所谓的端点设备的安全接入是要实现,在用 户的PC接入网络时,首先是身份认证,确保用户的身份合法,然后是安全状态评估,检查用户的操作系 统是否有漏洞和补丁问题.如果不符合安全要求,将被隔离处理,只能到补丁服务器去打补丁,到病毒服 务器去升级病毒库.然后是系统下发安全控制策略到接入设备,对用户的上网行为进行必要的控制.通过 这些管理和技术手段,保证了整个网络系统的安全,以及用户自身的安全.这就是端点安全准入防御EAD 的思想. 另外,需要保证网络出入口的安全,在校园网的出入口和数据中心的出入口需要采取绝对安全的措施. 目前在校园网中,各种病毒泛滥,安全攻击猖獗,而且大多攻击都是基于应用层实现的.传统的防火墙都 是基于三到四层的检测和过滤,只能对付网络层的攻击,对于应用层的安全威胁视而不见.比如,在HTTP 的80端口,既有合法的流量,也有攻击流量,防火墙无能为力.如何在线部署深度安全防御设备,实现 实时防御和安全过滤,同时又要与网络骨干的性能要求匹配 这就需要深度安全防御解决方案Tipping Point IPS.只有实现防火墙与主动入侵防御系统的紧密配合,才能真正实现校园网络与应用的安全保障. 下图是一张校园网络立体安全部署方案,真正实现了校园网络无处不在的安全,保证了校园核心业务与核 心资源的安全. 校园网 学生宿舍区 家属区 服务器区 服务器汇 聚交换机 核心交换机 部署1,端点安全准 入,抑制病毒传播, 非法用户隔离 部署3:在Internet 出口,部署IPS和防 火墙,可以保护网 络基础设施,防止 来自Internet的 DDoS攻击和病毒传 播.可以抑制P2P流 量带宽,保护出口 带宽 黑客 分校区 校园网 校园网立体安全部署 部署1,端点安全准 入,抑制病毒传播, 非法用户隔离 部署2:在数据中心前 面,部署IPS和防火 墙,可以保护关键服务 器,抵御各种恶意攻击 和病毒传播.可以抑制 P2P流量带宽,保护核 心业务带宽 部署4:部署在园区 网汇聚层,可以抑制 内网攻击,恶意P2P 下载,和蠕虫传播 部署1,端点安全准 入,抑制病毒传播, 非法用户隔离 第三点,为了管理和应用优化,需要将整个网络由一个黑盒子的网络变成为一个白盒子的网络.校园 网络需要具备一定的透明性,需要对于大规模的网络流量进行分析,通过实时的状态信息收集和历史的统 计信息分析,了解网络的流量分布,作为实施各种优化措施和QoS方案的基础,保证核心关键业务的运行. 这就是NTA网流分析解决方案.具体的实施措施如下图所示: 校园网 学生宿舍区 家属区 服务器区 服务器汇 聚交换机 核心交换机 部署2:在Internet出口核心路 由器上部署,可构建出口流量 模型,为防止带宽滥用,抑制 P2P流量带宽,保护出口带宽提 供依据 分校区 校园网 NTA网络水表方案部署 部署1:在数据中心核心交换机上部 署,可以构建关键服务器,关键业务 流量模型,为关键业务带宽优化提供 依据 部署4:部署在园区 网汇聚层交换机上, 可构建趋于流量模 型,为保证核心应用 带宽提供依据 部署3:在校园网核心交换机上部署, 可构建骨干流量模型,为防止带宽滥 用,抑制P2P流量带宽,保护核心带宽 资源,优先保证核心应用提供依据 以上三点是安全渗透网络的内容.通过这些安全和管理方面的技术优化,增加了基础网络的健壮性和 可管理性,保证了基础网络资源对于学校的核心业务的有力支撑. 基于IP技术的存储整合方案 下面考虑存储资源的整合问题. 目前在校园网中,存储资源依附于应用和服务器,在校园网络中分散孤立,无法共享,导致了资源的 浪费,同时也导致了依附于其上的数据无法整合共享,所以存储资源的整合是解决资源孤岛和信息孤岛的 重要步骤. 存储资源的整合也存在着标准的选择问题.我们认为,基于开放的IP标准实现校园的存储整合是校园 信息化建设的最重要的举措.理由如下: 对于校园的存储和计算资源的整合,最终的实现方式是校园数据中心的建设.通过校园数据中心的建 设,实现了存储,计算资源的整合,实现了基础资源的共享和优化,最终为数据与应用系统的整合提供平 台支撑. 而校园数据中心的特点不同于其他行业,将是分布式多校园数据中心的建设,这一特点既是高校管理 模式的需要,也是实现异地容灾备份的需要,同时,不同区域的数据分布式多物理位置存放可满足校园应 用对资料的高速访问的特点需求,即大多数的应用需要对于数据的高速并发访问.那么在多数据中心的建 设需求下,基于IP 技术将大大降低数据和存储资源的整合难度,并极大的降低总体拥有成本. 下图是校园多数据中心的存储整合以及异地容灾备份的方案示意图: 校园多数据中心存储整合方案 IV5200IV5200 数据中心一(有异构存储系统)数据中心二 安全数据网 校园网 IV5100 1.实现异构存储系统统一数据保护;兼容各种品牌存储系统,打破常规必须两端使 用同一品牌存储的容灾格局 2.基于IP网络进行数据复制,可适应不同的网络环境;基于块的数据增量复制,大 大降低网络带宽需求; 3.低成本实现满意效果的数据级容灾;灾备机制灵活,分级策略统一管理,同时满 足不同的需求 在图中,安全数据网络是与校园网络物理融合,逻辑分离的安全VPN网络,在充分保证数据安全性 的前提下,由于与现有的校园IP网络同构,所以可复用校园的基础网络资源,大大降低了基础建设的投资, 同时也解决了FC SAN存储系统在物理距离方面的限制(10公里),最终以低成本实现了效果满意的数据 备份,容灾. 下图是校园多数据中心通过广域存储技术实现的多数据中心的数据共享和存储共享的示意图.所使用 的技术与上图是相同的. 1. 广域SAN实现多数据中心存储共享与整合 2. 各分校区数据中心数据集中与共享 3. 使用方便,统一管理 Neocean IX5000 Neocean IX1000 Neocean IX1000 分校区 分校区 主校区 安全数据网 (校园VPN网络) 校园多数据中心广域SAN存储整合方案 总结 在过去的十年,教育信息化面临着体制,管理和技术方面的种种挑战.在面向未来的五到十年的教育 信息化的发展浪潮中,应用系统的整合与创新,数据的整合,IT基础资源的整合与优化,将是高校信息化 建设的主要内容. 华为3Com的IToIP技术框架,为数字化校园整合提供了方法论.采用以IP为代表的,标准的和开放 的技术,构建数字化校园的信息系统,将使得整个的校园信息系统实现了开放共享,资源整合,统一管理 等特点,最终使得校园IT系统面向学校的业务和战略服务,为促进高校向一流 "研究型,综合型,创新 型"大学的转变提供重要的推动和支撑.