基于通信運(yùn)營(yíng)商的學(xué)校云服務(wù)建設(shè)方案優(yōu)化及探索

杭中士

摘要：教育信息化是實(shí)現(xiàn)教育現(xiàn)代化的關(guān)鍵，“新基建”思想及新技術(shù)的推出，迫使學(xué)校開(kāi)拓新的信息化建設(shè)之路。云計(jì)算及云服務(wù)作為當(dāng)前互聯(lián)網(wǎng)的熱點(diǎn)，也被逐步應(yīng)用到學(xué)校教育教學(xué)管理中，進(jìn)而實(shí)現(xiàn)安全管理的一體化，減少設(shè)備更新投入。該文結(jié)合學(xué)校實(shí)際現(xiàn)狀，對(duì)基于通信運(yùn)營(yíng)商的云服務(wù)的建設(shè)方案和思路進(jìn)行分析總結(jié)，可為其他類似學(xué)校提供借鑒和經(jīng)驗(yàn)分享。

關(guān)鍵詞：運(yùn)營(yíng)商;云技術(shù);服務(wù)器;職業(yè)學(xué)校

中圖分類號(hào)：G642.0? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2022）21-0030-02

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

2021年教育部等六部門印發(fā)的《關(guān)于推進(jìn)教育新型基礎(chǔ)設(shè)施建設(shè)構(gòu)建高質(zhì)量教育支撐體系的指導(dǎo)意見(jiàn)》指出，教育新型基礎(chǔ)設(shè)施是以新發(fā)展理念為引領(lǐng)，以信息化為主導(dǎo)，面向教育高質(zhì)量發(fā)展需要，聚焦信息網(wǎng)絡(luò)、平臺(tái)體系、數(shù)字資源、智慧校園、創(chuàng)新應(yīng)用、可信安全等方面的新型基礎(chǔ)設(shè)施體系[1]?！?022年職業(yè)教育重點(diǎn)工作》中提出，要啟動(dòng)職業(yè)學(xué)校信息化標(biāo)桿學(xué)校建設(shè)，推動(dòng)職業(yè)教育數(shù)字化升級(jí)。江蘇省的職業(yè)學(xué)校經(jīng)過(guò)近幾年的數(shù)字校園、智慧校園建設(shè)，基礎(chǔ)設(shè)施不斷完善，但隨著新標(biāo)準(zhǔn)及新技術(shù)的推出，使得職業(yè)學(xué)校的信息化建設(shè)有了新的方向，對(duì)中心機(jī)房、服務(wù)器等技術(shù)和投入要求較高的建設(shè)，已在逐步找尋更加完善的建設(shè)方案。

1 建設(shè)背景

揚(yáng)州高等職業(yè)技術(shù)學(xué)校于2008年開(kāi)始建設(shè)數(shù)字化校園，于2014年與揚(yáng)州移動(dòng)公司進(jìn)行校企合作，開(kāi)啟智慧校園建設(shè)，經(jīng)過(guò)多年的穩(wěn)步推進(jìn)建設(shè)，在人員理念提升、基礎(chǔ)環(huán)境建設(shè)、軟件平臺(tái)建設(shè)及數(shù)字資源建設(shè)等方面取得了顯著成效，師生信息化素養(yǎng)與應(yīng)用水平有了較大提升，學(xué)校先后被評(píng)為揚(yáng)州市數(shù)字化校園、揚(yáng)州市智慧課堂示范校、江蘇省職業(yè)學(xué)校智慧校園。然而，隨著硬件設(shè)備的不斷老化、業(yè)務(wù)系統(tǒng)的不斷增多（近40個(gè)虛擬機(jī)），學(xué)校的服務(wù)器、機(jī)房環(huán)境已經(jīng)不能很好地支撐各類業(yè)務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)，如服務(wù)器刀片頻繁報(bào)警、精密空調(diào)需要經(jīng)常清洗維護(hù)、UPS電池蓄電不足等。網(wǎng)絡(luò)中心機(jī)房作為各類業(yè)務(wù)系統(tǒng)正常運(yùn)轉(zhuǎn)的核心陣地，任何一個(gè)環(huán)境節(jié)點(diǎn)出現(xiàn)故障都會(huì)迫使業(yè)務(wù)系統(tǒng)停止運(yùn)行，嚴(yán)重影響了教育教學(xué)的正常開(kāi)展。同時(shí)，受疫情大環(huán)境的影響，學(xué)校各類經(jīng)費(fèi)都在縮減，沒(méi)有足夠的經(jīng)費(fèi)和外部力量投入到設(shè)備的維修和更新上，且多數(shù)設(shè)備的配件已處于淘汰和停產(chǎn)狀態(tài)。

鑒于以上學(xué)校實(shí)際現(xiàn)狀，以及當(dāng)下云技術(shù)的不斷成熟，學(xué)校迫切需要找到一條云服務(wù)的建設(shè)之路，將各類業(yè)務(wù)系統(tǒng)盡快遷移到云端，通過(guò)購(gòu)買服務(wù)的形式實(shí)現(xiàn)云端托管，保證業(yè)務(wù)訪問(wèn)不中斷。當(dāng)下，提供云服務(wù)的廠商有很多，有技術(shù)企業(yè)（阿里云、百度云等），有設(shè)備廠商（深信服、華為等），有通信運(yùn)營(yíng)商（電信、移動(dòng)、聯(lián)通等）[2]。學(xué)校通過(guò)多方調(diào)研，結(jié)合校企協(xié)作、本地化服務(wù)等實(shí)際需求，最終選擇揚(yáng)州移動(dòng)提供云服務(wù)支持。

2 建設(shè)原則

鑒于學(xué)校系統(tǒng)多、數(shù)據(jù)量大，同時(shí)考慮到網(wǎng)絡(luò)與信息安全，提出建設(shè)原則如下：

1）最小影響原則。系統(tǒng)與數(shù)據(jù)分析和轉(zhuǎn)移的時(shí)候應(yīng)盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不能對(duì)現(xiàn)有網(wǎng)絡(luò)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生明顯影響。

2）標(biāo)準(zhǔn)性原則。方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)內(nèi)、國(guó)際、等級(jí)化保護(hù)相關(guān)要求、相關(guān)標(biāo)準(zhǔn)進(jìn)行，既要滿足學(xué)校系統(tǒng)的三級(jí)等保要求，又要考慮以后內(nèi)網(wǎng)訪問(wèn)及維護(hù)的便捷。

3）可擴(kuò)展性原則。方案設(shè)計(jì)及技術(shù)文檔要有很好的規(guī)范性，便于學(xué)校管理人員后續(xù)的跟蹤和應(yīng)用，對(duì)云平臺(tái)的配置、虛擬化數(shù)量、前端防護(hù)產(chǎn)品的配套，要有一定冗余性和可擴(kuò)展性。

4）整體性原則。應(yīng)從系統(tǒng)和網(wǎng)絡(luò)各個(gè)方面整體考慮，包括安全涉及的各個(gè)層面，避免由于遺漏或級(jí)別低造成未來(lái)的等保安全隱患。

5）可控性原則。方法和過(guò)程要在雙方認(rèn)可的范圍之內(nèi)，安全分析的進(jìn)度要按照進(jìn)度表進(jìn)度的安排，在技術(shù)實(shí)施、產(chǎn)品提供、售后保障上都要求可控性。

6）保密性原則。因整個(gè)建設(shè)涉及師生的各類數(shù)據(jù)，所有參與項(xiàng)目人員需簽訂保密協(xié)議，對(duì)過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)均有保密義務(wù)，不得將測(cè)試數(shù)據(jù)及報(bào)告進(jìn)行公開(kāi)。

3 方案設(shè)計(jì)

3.1 方案架構(gòu)

根據(jù)學(xué)校系統(tǒng)三級(jí)等保、日志留存、漏洞掃描等安全需求，以及訪問(wèn)量、訪問(wèn)策略和存儲(chǔ)空間的實(shí)際要求，設(shè)計(jì)移動(dòng)云服務(wù)部署拓?fù)鋱D及設(shè)備清單如下：

3.2 方案說(shuō)明

首先，接入層對(duì)應(yīng)于學(xué)校的互聯(lián)網(wǎng)辦公區(qū)，在出口區(qū)域部署校內(nèi)本地防火墻，作為出口的防火墻設(shè)備，實(shí)現(xiàn)出口的安全防護(hù)功能，滿足出口網(wǎng)絡(luò)的安全要求。云端應(yīng)用層前根據(jù)系統(tǒng)三級(jí)等保要求部署一整套安全防護(hù)設(shè)備，能夠精確識(shí)別用戶、應(yīng)用和內(nèi)容，全面替代傳統(tǒng)防火墻，并具有全面的應(yīng)用層安全防護(hù)功能和強(qiáng)勁的處理能力，從網(wǎng)絡(luò)入口處一站式智能化解決網(wǎng)絡(luò)層和應(yīng)用層安全威脅，為網(wǎng)絡(luò)出口構(gòu)建一套安全長(zhǎng)城，保障內(nèi)網(wǎng)用戶網(wǎng)絡(luò)接入和業(yè)務(wù)系統(tǒng)的安全問(wèn)題，實(shí)現(xiàn)內(nèi)外部網(wǎng)絡(luò)隔離和訪問(wèn)控制，保護(hù)內(nèi)部業(yè)務(wù)系統(tǒng)和用戶免受非法侵入。

其次，在匯聚層，通過(guò)移動(dòng)機(jī)房接入交換機(jī)部署雙機(jī)雙專線，確保線路可靠性、穩(wěn)定性、和冗余性。通過(guò)移動(dòng)的雙專線，將本地網(wǎng)絡(luò)與云上主機(jī)組成新型內(nèi)網(wǎng)架構(gòu)，在較大程度上減少對(duì)校內(nèi)師生日常訪問(wèn)的干擾。

在應(yīng)用層，采用揚(yáng)州本地VM資源池上云形式，時(shí)延、穩(wěn)定性和擴(kuò)展性可有效得到保障。所有公網(wǎng)訪問(wèn)流量必須經(jīng)過(guò)云端三級(jí)等保安全資源池過(guò)濾后，方可進(jìn)入云主機(jī)VPC。通過(guò)安全資源池中WAF產(chǎn)品對(duì)學(xué)校網(wǎng)站進(jìn)行有效防護(hù)，對(duì)公網(wǎng)訪問(wèn)過(guò)來(lái)的流量進(jìn)行安全資源池過(guò)濾后再通過(guò)內(nèi)網(wǎng)形式轉(zhuǎn)發(fā)給內(nèi)網(wǎng)服務(wù)器。根據(jù)特定系統(tǒng)訪問(wèn)需求（如內(nèi)網(wǎng)專題網(wǎng)站），將對(duì)特定網(wǎng)站訪問(wèn)的源地址進(jìn)行限制，僅允許學(xué)校特定的出口IP進(jìn)行訪問(wèn)。對(duì)各類云主機(jī)進(jìn)行定期整機(jī)備份，數(shù)據(jù)庫(kù)采用4臺(tái)互為備份的高性能服務(wù)器，并對(duì)數(shù)據(jù)庫(kù)硬盤(pán)部分進(jìn)行按需備份，確保穩(wěn)定性和可靠性，所有云主機(jī)均通過(guò)內(nèi)網(wǎng)VPC線路和存儲(chǔ)資源池（云硬盤(pán)）進(jìn)行數(shù)據(jù)交互和調(diào)用。

最后，在運(yùn)維管理區(qū)部署日志審計(jì)設(shè)備，對(duì)網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，審計(jì)記錄包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息。對(duì)審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋，審計(jì)記錄留存180天以上且不中斷。

4 方案優(yōu)勢(shì)

4.1 構(gòu)建立體化防護(hù)體系

通過(guò)在云上出口部署防火墻、入侵防御等安全設(shè)備，提供L2-L7層各類威脅的檢測(cè)和防護(hù)，基于事前、事中、事后全過(guò)程設(shè)計(jì)，通過(guò)防火墻實(shí)現(xiàn)網(wǎng)端聯(lián)動(dòng)：事前風(fēng)險(xiǎn)預(yù)知、事中有效防御，以及事后持續(xù)檢測(cè)和快速響應(yīng)，為業(yè)務(wù)系統(tǒng)提供全程的安全保護(hù)能力，讓安全更簡(jiǎn)單更有效。

4.2 實(shí)現(xiàn)規(guī)范化審計(jì)與管理

通過(guò)云端日志審計(jì)系統(tǒng)，能夠?qū)崟r(shí)不間斷地采集匯聚不同廠商不同種類的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)、操作系統(tǒng)和業(yè)務(wù)系統(tǒng)的日志信息，通過(guò)挖掘不同類型、來(lái)源于不同設(shè)備或系統(tǒng)的日志或安全事件之間可能存在的關(guān)聯(lián)關(guān)系，實(shí)現(xiàn)實(shí)時(shí)監(jiān)控日志接入信息，協(xié)助網(wǎng)管員進(jìn)行安全分析及合規(guī)審計(jì)，及時(shí)、有效地發(fā)現(xiàn)異常安全事件及審計(jì)違規(guī)。通過(guò)漏洞掃描設(shè)備，實(shí)現(xiàn)了各類配置脆弱性（漏洞、WEB漏洞、弱口令、配置違規(guī)、變更）的智能發(fā)現(xiàn)，可以具有自動(dòng)化的采集、分析和報(bào)告能力，實(shí)現(xiàn)集中有序運(yùn)維。

4.3 運(yùn)營(yíng)商專線方便快捷

運(yùn)營(yíng)商提供云服務(wù)，一般同時(shí)提供自己運(yùn)營(yíng)的傳輸線路，在專線的租用、冗余、設(shè)備更新等方面有著先天優(yōu)勢(shì)。中國(guó)移動(dòng)2009年自建PTN傳輸網(wǎng)，和華為等知名廠家長(zhǎng)期保持技術(shù)上密切合作，網(wǎng)絡(luò)設(shè)備支持平滑擴(kuò)容升級(jí)，PTN環(huán)網(wǎng)保護(hù)組網(wǎng)已預(yù)留容量，組建專網(wǎng)更便于網(wǎng)絡(luò)擴(kuò)容升級(jí)，縱向網(wǎng)絡(luò)電路和橫向網(wǎng)絡(luò)電路支持平滑升級(jí)至100G帶寬[3]。省級(jí)主干線光纜實(shí)行1+1保護(hù)，所有節(jié)點(diǎn)采用雙路由保護(hù)，移動(dòng)云本地資源池網(wǎng)絡(luò)時(shí)延低至2ms[4]，數(shù)據(jù)訪問(wèn)響應(yīng)快，同時(shí)，本地?cái)?shù)據(jù)接管方便，突發(fā)情況響應(yīng)及時(shí)。

5 建設(shè)成效

5.1 實(shí)現(xiàn)了高效可視的安全運(yùn)維和風(fēng)險(xiǎn)處置

等保2.0的推出，對(duì)學(xué)校信息系統(tǒng)的三級(jí)等保提出了更高要求，系統(tǒng)的網(wǎng)絡(luò)環(huán)境、安全防護(hù)需要，根據(jù)標(biāo)準(zhǔn)需要不斷更新和投入。通過(guò)云端服務(wù)，徹底解決了這個(gè)問(wèn)題，云端安全設(shè)備可以根據(jù)不同的標(biāo)準(zhǔn)隨時(shí)進(jìn)行切換和升級(jí)，并且使網(wǎng)絡(luò)安全

“看得見(jiàn)、看得懂”[5]，通過(guò)網(wǎng)絡(luò)風(fēng)險(xiǎn)可視化，將安全狀況直觀地呈現(xiàn)出來(lái)，實(shí)現(xiàn)更精準(zhǔn)的風(fēng)險(xiǎn)分析及判斷。對(duì)于使用者而言，只需關(guān)心系統(tǒng)本身的漏洞和Bug，結(jié)合應(yīng)用層的安全管理，最終實(shí)現(xiàn)更高效的安全運(yùn)維和風(fēng)險(xiǎn)處置。

5.2 設(shè)備的運(yùn)維成本降低，使用效率提高

通過(guò)云技術(shù)的應(yīng)用，將本地?cái)?shù)據(jù)和系統(tǒng)實(shí)現(xiàn)云端部署，大大降低了維護(hù)的人力和財(cái)力。以往，本地硬件設(shè)備的老化需要不斷地投入和維保，而作為一所學(xué)校，專業(yè)級(jí)的中心機(jī)房維護(hù)成本太高，技術(shù)力量跟不上。云端部署后，將專業(yè)的事交給專業(yè)的人做，作為學(xué)校，通過(guò)花少量的錢購(gòu)買適合的服務(wù)，不用過(guò)多地去關(guān)注底層的架構(gòu)和技術(shù)層的維護(hù)，真正把更多的時(shí)間用在信息化的應(yīng)用上，按照“需求牽引、應(yīng)用為王、成熟先上、技術(shù)保障”工作原則，真正作信息化應(yīng)用的主人，享受信息化帶給教育教學(xué)的便捷和高效，進(jìn)而提升全校師生信息化應(yīng)用水平，推動(dòng)學(xué)校數(shù)字化升級(jí)。

參考文獻(xiàn)：

[1] 胡少云.新基建環(huán)境下智慧校園場(chǎng)景創(chuàng)新與應(yīng)用[J].智能建筑，2021（1）：29-31.

[2] 曾善檑，俞高明，姚建昌，等.基于阿里云的廣電云平臺(tái)本地化部署[J].中國(guó)有線電視，2021（10）：1009-1012.

[3] 周江.面向5G的分層次分布式云服務(wù)系統(tǒng)資源優(yōu)化調(diào)度與分配[D].成都：電子科技大學(xué)，2015.

[4] 郭建康.基于超融合架構(gòu)的學(xué)校云數(shù)據(jù)中心建設(shè)和應(yīng)用[J].信息與電腦（理論版），2018（17）：98-100.

[5] 葛玉軍.職業(yè)學(xué)校智慧校園建設(shè)經(jīng)驗(yàn)分享――以南通衛(wèi)生高等職業(yè)技術(shù)學(xué)校為例[J].電腦知識(shí)與技術(shù)，2020，16（12）：32-33.

【通聯(lián)編輯：朱寶貴】