《802厦门理工学院校园信息化(新一代数字校园)建设总体.doc》由会员分享,可在线阅读,更多相关《802厦门理工学院校园信息化(新一代数字校园)建设总体.doc(60页珍藏版)》请在三一办公上搜索。
1、2011-2015年厦门理工学院校园信息化(新一代数字校园)建设总体实施方案第一章指导思想3第二章信息化建设定位与目标3第三章校园的信息系统建设43.1 信息系统的建设原则43.2 信息系统的建设目标5第四章 基础设施建设74.1 网络建设94.1.1 网络建设的总体目标94.1.2 网络建设的基本原则94.1.3 网络建设总体设计104.1.4 网络服务144.1.5 网络计费与认证管理154.2 服务器架构164.2.1 服务器选型164.2.2 服务器架构174.3 存储和备份体系194.3.1 统一的存储架构204.3.2 数据备份与容灾策略214.4 信息安全体系214.5 云计算2
2、34.5.1构建云计算系统数据中心IAAS234.5.2构建云计算应用平台PAAS244.5.3构建云计算应用服务平台SAAS24第五章 应用功能层建设265.1 面向角色的信息服务中心265.1.1 面向学生综合信息服务中心265.1.2 面向教职工综合信息服务中心305.1.3 面向管理人员综合信息服务中心335.2 共享资源平台405.3 其它应用系统建设46第六章 建设步骤486.1 步骤486.2 20112015年校园信息化实施项目计划50第七章 建设投资预算与保障517.1 投资预算517.2 组织保障527.2.1 校园CIO527.2.2 业务处室信息员527.2.3 专业、
3、稳定的开发人员527.3 信息标准规范537.4 项目实施保障53附件54引言:本方案结合学院的校园信息化校园建设总体规划、十一五建设情况、调研情况及其它高校的实践经验,从系统技术的角度提出“十二五”校园信息化建设实施方案。总体实施方案中涉及的各子系统详细设计将在配套的方案中阐明。第一章 指导思想以服务好师生为宗旨,按照“总体规划、分步实施、标准统一、优化管理、资源共享、重在应用”的原则,遵循“统一信息门户和平台,统一数据标准,注重与管理模式互动,建立业务协同应用模块”的技术路线,统一全校教职员工对校园信息化的思想认识,注重行政驱动与用户信息化建设需求的有机统一,构建信息化的教学环境、信息化的
4、科研环境、信息化的管理环境、信息化的生活环境,将信息化建设变成一个人人支持和人人受益的大环境。第二章 信息化建设定位与目标教学科研水平的提高和培养出高素质学生是高校成功的标志,代表着学校综合实力和水平的提升。因此立足于师生需求,改善和提升学校的科研环境、教学环境、管理环境和生活环境是厦门理工学院校园信息化建设的主要工作,这些环境的组成和改善主要以“师生为本”的建设指导思想下围绕着校园的资源、管理和服务三大要素展开。图2-1 校园信息化环境组成要素利用先进的理念和先进的信息技术,构建一个高速、高效、稳定、可靠、应用丰富的校园网络环境和资源应用环境,整体提高我校校园信息化水平;以“教育、管理、服务
5、并重”的建设理念,促进学校教学、科研、管理、生活等全面信息化,完善学校的支撑保障体系,提高学校的核心竞争力,实现学院规划确定的“把厦门理工学院建设成为特色、精致、具有较强竞争力的开放式、应用型、地方性、国际化的海西一流亲产业大学。”的总体目标。预计经过未来5年的努力,努力将我校的数字化校园建成特色鲜明、具有较高水平、省内一流的信息化建设示范学院。第三章 校园的信息系统建设3.1 信息系统的建设原则校园信息化建设需要信息系统支持,信息系统建设需要遵循信息系统建设本身的规律。根据信息工程(IE)理论,分散建设必然造成“数据处理危机”,前期数字校园建设过程中的经验教训也正说明了这个问题。为此,新一代
6、数字校园信息系统的建设需要遵循若干原则:一体化原则:整个校园信息系统要作为一个整体来考虑。但是ERP系统建实施的经验教训也告诉我们,想要一次建成整个系统基本是不可能的,因此需要把好其中的“度”,遵循信息化螺旋上升的规律,整体设计,分块实现。可扩展原则:校园信息系统的建设不应该也不能是完全割裂过去,而是有目的地继承与发展,并且本阶段建设的信息系统要给后续系统的建设提供平滑升级的可能,实现校园信息化的可持续发展。因此信息系统的框架结构必须是开放的、具有良好扩展性的。以人为本的原则:要特别强调不应该只从系统本身的角度出发考虑系统的设计,而应该确确实实从用户的角度出发,以用户为核心进行系统功能的组织。
7、这需要更多的非技术眼光来看待系统的设计与实现的问题。3.2 信息系统的建设目标1、建成一个整体而非独立分散的系统,达到对内关联整合、对外统一集成的程度,要求:系统结构开放,可扩展性好,可局部升级,可持续发展;系统功能全面,覆盖面广,功能模块之间能无缝衔接。2、系统层次分明,利于集成和扩展:能支持移动终端的访问,且系统可智能识别并自动进行调整;支持贴切的用户个性化服务,系统根据用户身份动态调整,而用户也可以自行调整设置用户环境;数据层:数据规范一致,在整个系统内能充分共享;提供良好、规范的数据服务,为数据资源的开发利用提供更大的支持;业务层:提供业务服务单元,支持构件式服务模式,业务流程可动态配
8、置与组装。3、提供可信赖的整体安全解决方案安全问题是日益尖锐、不可回避的问题,所以系统必须提供可信赖的安全性,贯穿用户、应用、系统直至数据各层:数据资源的安全,包括数据的完整性、准确性,不可篡改、不可泄漏等;用户的安全,包括用户身份的安全、用户信息的安全、用户隐私的安全等;完善的权限管理与控制,可以与现实校园相互衔接、及时互动。此外,对于已有的信息系统,校园信息化建设不是一个推倒重来完全重新建设的过程,而是对这些系统进行梳理、改进、整合和提高,将它们逐步升级、纳入系统架构中。图3-1 校园信息化建设总体架构第四章 基础设施建设基础设施涵盖了URP支撑软件系统和硬件基础设施两部份,其中URP支撑
9、软件系统包括数据库系统、电子邮件系统、域名服务系统、校园卡系统等,硬件基础设施包括网络环境、服务器体系架构、存储与备份体系、服务器机房等部分。基础设施建设应当遵循以下原则:实用性和经济性基础设施的规划应始终贯彻面向应用、注重实效的方针,坚持实用、经济的原则,充分考虑学校的应用状况和特点,不盲目追求先进性;同时,在满足学校应用系统的性能需求的基础上,充分考虑原有IT设备的投资保护;在建设上应采取总体设计、分步实施的方法,在统一设计的前提下,逐步的完成系统的建设。先进性和成熟性基础设施的规划既要采用先进的概念、技术和方法,又要求保持相对成熟和稳定,选用的设备和技术不但要反映当今的先进水平,而且要有
10、发展潜力,能保证在未来五年内学校的基础设施仍然能够符合技术主流。可靠性和稳定性在考虑技术先进性和开放性的同时,还应从系统结构、技术措施、设备性能、系统管理、厂商技术支持及维修能力等方面着手,确保系统运行的可靠性和稳定性,达到最大的平均无故障时间。对关键业务系统要避免单点故障,在任何时候都需要保证业务系统的正常使用(网络接入备份、主机系统双机、存储系统镜像等);采用具有容错功能的服务器及网络设备,选用多机备份、Cluster 技术的硬件设备配置方案,一旦发生故障能够迅速恢复并有适当的应急措施。安全性和保密性在整体设计中,不但要考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应针对不同的
11、应用和网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。可扩展性和易维护性为了适应系统变化的要求,必须充分考虑以最简便的方法、最低的投资,实现系统的扩展和维护,降低人力资源的费用。扩展能力主要体现在数据量增长时的良好可扩展性、用户增长时的良好可扩展性和应用系统增加时的良好可扩展性。4.1 网络建设4.1.1 网络建设的总体目标校园信息化网络建设的总体目标是,以国内外一流大学校园信息基础设施建设的技术水平、运行模式和发展趋势为参照样板,采用先进、实用技术,建成满足未来发展需要的高带宽、高性能校园计算机网络,使校园内的任何合法用户(Anybody)在任何时间(Any time)
12、、在校园内的任何地点(Any where)、使用任何一种计算机系统(Any system)都可以进行任何一种互联网应用(Any application),使大学在公共服务体系建设方面满足信息化建设的发展需要。4.1.2 网络建设的基本原则大学校园网络的建设总体应遵循统一规划、分步实施的方法,统筹考虑,在保护既有投资的前提下,充分考虑以下几个方面:实用性:能保证当前阶段用户和应用系统对网络的需求;先进性:选用的技术和设备要能最大限度地适应今后技术和业务发展的需要;可靠性:关键链路和设备要有冗余,网络故障要有应急措施,最大限度提供不间断服务;安全性:对重要信息要有传输保密措施,对专用网络和数据的访
13、问要有控制与隔离措施;可扩展性:保证网络结构清晰合理,易于扩展和维护。4.1.3 网络建设总体设计网络设计一般遵循核心层、汇聚层、接入层三层物理结构,接入层直接将终端用户连接到网络,具有低成本和高端口密度特性。汇聚层位于接入层和核心层之间,要求能够处理来自接入层设备的所有通信量,并提供到核心层的上行链路,因此汇聚层交换机比接入层交换机需要更高的性能,更少的接口和更高的交换速率。核心层位于网络主干部分,主要目的在于高速转发通信,提供可靠高效的传输结构,因此核心层交换机应拥有更高的可靠性、性能、吞吐量和必要的冗余。由于校园网的结构复杂,网络设计不能拘泥于以上三个层次,在某些情况下,接入设备可以直接
14、接到核心设备上。我们根据逻辑结构将校园网划分为主干网和接入子网两个层次,主干网主要考虑区域网络接入和大负荷接入节点的网络接入的要求。接入子网主要考虑两类情况,一类是有特殊用途的接入,如数据中心子网、财务子网等,另一类是要求连网服务的接入,如办公子网、宿舍楼子网等。4.1.3.1 主干网设计主干网要求高可靠高性能,在带宽设计上要满足当前及未来业务扩展的需要,同时关键设备和链路要有冗余,避免单点故障。综合考虑网络性能、建造成本、现行技术以及大学校园网的应用特点,建议校园主干网采用环形光纤以太网(要求设备和链路可扩展至万兆),因为环形是链路冗余方案中造价最低的一种,同时在广域网接入链路上通过两台边界
15、路由器双路接入CERNET或ChinaNE,避免出口链路和设备的单点故障。采用环路冗余需要启动动态路由协议,建议采OSPF。OSPF 协议能够在链路发生故障后,及时检测到并进行路由收敛,发现新的路径及时更新域间的路由表项,从而确保全网互连的可靠性。图4-1 主干网的典型拓扑4.1.3.2 接入子网设计网络接入层是网络最靠近用户和网络资源的层次,也是涉及范围最广的网络层面。接入层可采用100M 快速以太网、千兆光纤以太网、无线以太网等众多技术,另外还需要为业务系统和用户提供多种管理策略,如VLAN划分、接入端口控制、IP地址防盗用、网络计费、访问控制等,这些都增加了接入子网的管理复杂度。所以,按
16、照业务特点和用户的需求设计接入子网对建立高效可管理的网络具有重要意义。1、数据中心接入子网数据中心是校园网应用系统的核心,管理着学校最重要的信息资产,对网络的要求也更加严格。数据中心的网络应该作为一个独立的高性能高可靠子网接入校园网。建议数据中心的网络建设参考以下标准:设备可靠采用2台高性能三层交换设备作为数据中心的核心接入设备,通过VRRP、HSRP等冗余路由技术实现冗余热备。每台核心设备要求具有关键部件冗余(管理模块,交换矩阵,电源,风扇)、线卡在线插拔等高冗余特性。链路可靠通过双链路接入校园网的不同接入点,采用OSPF 协议实现链路的故障自动切换。汇聚层设备通过VRRP 或HSRP 协议
17、连接两台核心接入设备。数据中心子网的典型拓扑结构如下:图4-2 数据中心子网的拓扑结构2、用户接入子网除了数据中心等专用网络,校园网还需要接入办公室、教室、会议室、宿舍楼、图书馆等终端用户子网,为学校的教职员工和学生提供连网服务。在用户连网接入方面,无线以太网因为具有安装简单、维护方便和投资成本低等优点,正日益得到更多的应用,尤其是校园内笔记本电脑数量的上升,对移动连网的需求也越来越大,无线已成为组网技术中不可忽视的重要技术。但由于校园网用户对网络带宽和性能的要求较高,将采用有线连接为主、无线覆盖为辅的连网解决方案,仅对那些需要提供大量移动信息点或难于布线的场所才以无线覆盖为主。按照功能布局,
18、考虑采用以下方案:l 教学子网:对于专用的多媒体教室采用有线连接,普通教室、阶梯教室、报告厅等采用无线覆盖,要根据教室空间的大小考虑覆盖的密度;l 办公子网:以有线连接为主,保证每个座位一个信息点,同时采用无线覆盖,用户可以自由选择连接方式;l 图书馆子网:图书馆是一个相对独立的系统,而且人员的流动性大,采用无线覆盖;l 宿舍子网:采用有线连接。4.1.4 网络服务4.1.4.1 域名服务DNS域名服务是网络的基本服务之一。它建立了主机名到IP 地址的映像关系,是WWW、FTP、电子邮件及其它互联网服务的基础。校园网应架设2台DNS服务器,一台为主名称服务器,一台为辅名称服务器,从而达到冗余的
19、目的。各高校可根据用户规模及网络应用状况决定是否增加更多的辅DNS服务器,以分担主DNS服务器的负荷。4.1.4.2 邮件服务Mail Service电子邮件已成为校园网用户不可或缺的通信工具,几乎每个部门、每个教职工和每个学生都有一个独立的邮件帐号,一旦邮件系统出现问题,影响将非常的大。因此,必须高度重视邮件系统的建设,不断提高服务质量,减少故障发生的概率,邮件系统除了提供基本的SMTP/POP3/IMAP/WEBMAIL 等功能外,还应重点考虑以下几个方面:l 提供网络防病毒功能;l 提供防垃圾邮件功能;l 在大用户量并发时,应保证服务器有较好的性能;l 服务器、网络、存储等各方面应充分考
20、虑到可靠性,为用户提供持续的服务;l 应考虑邮件的备份与安全。4.1.4.3 动态主机配置服务DHCP动态IP地址可以方便对IP 地址的管理和调整,也可以有效减少最终用户的配置工作,适用于宿舍网和教室、会议室等流动场所。可结合IP地址的规划工作进行部署,可根据具体情况决定是否采用。4.1.5 网络计费与认证管理校园网的计费管理和CERNET的流量计费政策密切相关。而且计费模式也深深影响到了最终用户的管理,包括IP地址管理等。经过多年的探索,目前比较成熟的计费和认证管理还是通过帐号与IP地址绑定的方式。即通过在校园网出口加入计费网关,用户要连出校园网必须先登录注册,注册成功的帐号会和当前的IP地
21、址捆绑,实现制定策略的访问控制。比如针对教育网计费模式通常有三种策略:l 校内:不需要认证即可使用;l 国内:需要认证后才能访问CERNET免流量费的IP地址;l 国际:需要认证后可以访问所有IP 地址,对于CERNET 规定的需要计流量费的IP地址的访问会产生相应的流量费。l 但是该模型的一个缺陷是无法控制校园网内部用户的行为,为此,还需采用802.1x 进行端口认证,实现端口、IP地址和帐号的绑定,实现对用户上网行为的监控与审计。4.2 服务器架构4.2.1 服务器选型服务器是系统中至关重要的核心设备,其作用是为各类应用提供硬件运行平台。对服务器的选择不仅仅是满足当前已开展的各项数字校园应
22、用的需要,更要着眼于未来。服务器选型时要关注的主要因素如下:服务器性能。服务器的选择首先应从系统性能入手,通过客观的分析比较,确定一款或者一系列具有令人满意的主频处理速度和I/O 吞吐量的服务器。服务器的稳定、可靠性。产品质量要有保证,严格执行国际质量认证体系,确定产品稳定可靠。另一方面,在选择服务器时还要注重考察服务器的可靠性设计,如冗余电源、冗余网卡、硬盘的raid 技术等。远程管理功能。现在很多品牌的服务器配置了远程管理端口,集成了远程管理功能。远程管理功能由系统主板或者由单独的板卡实现,独立于网络操作系统,只要服务器接上电源,即使服务器没有开机,远程管理功能也能实现。信息中心人员编制较
23、少,为实现无人值守的基础保障环境建设目标,服务器的远程管理功能也是服务器选型时要考虑的要素之一。遵循标准。当前计算机技术的发展日新月异,各种功能的服务器和软件产品层出不穷,服务器所采用的操作系统和通信接口等应遵从国际标准,符合技术发展潮流。服务器品牌。在选择服务器时,不仅要看当前的性能,还要看生产厂商的服务能力。这种能力包括两个方面,一方面是基本的安装和调试能力,另一方面是开发和升级能力。当然,在考虑供货商时,还应考虑其提供售后服务的能力。4.2.2 服务器架构数字校园的信息系统由三部分组成: 公共平台; 应用系统:办公系统、业务系统、决策支持系统等; 门户系统。数字校园的服务器架构应能够满足
24、如下要求:1、为信息系统提供资源充足的服务器环境根据数字校园的全域功能模型和信息系统的整体规划,服务器架构应能够在一段时间内满足信息系统的运行资源需求。2、为信息系统提供资源整合的服务器环境如果采用一个应用系统一套服务器的架构,随着应用系统的增多,服务器数量不断膨胀,“饼”越摊越大,将形成大量小服务器散布的局面,不但带来管理问题,而且导致单节点处理能力不能得到提升,严重影响了应用系统的性能。因此在进行服务器架构设计时,应尽量整合服务器,使得多个应用能够和谐地运行在一套运行环境上。3、为信息系统提供资源可动态调配的服务器环境数字校园的大部分应用的运行有时段性的,表现在两个方面:一些应用只在特定的
25、时间段运行,例如选课在每学期的学期初和学期末运行;应用全年运行但高峰期是在特定时间段出现的,例如本科生招生的使用高峰通常发生在每年的6月份。另外,随着数字校园建设的不断深入,无论是应用的数量还是用户量都呈上升趋势。这些都要求数字校园的服务器架构是可伸缩的,即服务器的计算资源可以动态调配,以便在某些业务处理的高峰期(如在选课期间)能够充分调配服务器资源,并可以通过服务器的扩充满足数字校园发展的需要。为满足上述需求,设计数字校园的服务器架构如下图所示:图4-3 服务器架构对上图说明如下:l 服务器整体采用web、应用、数据库三层架构,每层均设置多台服务器,层内服务器间进行负载均衡,服务器数量可以动
26、态扩充;l 采用专业的负载均衡设备进行web 层、应用层服务器间的负载均衡和故障切换。当应用系统增加、负载增大时,可以通过层内横向的服务器扩充来满足应用的服务器资源需求,符合“统一规划、分步实施”的规划原则;l 可以数字校园目前信息应用运行情况,考虑应用数量和用户数量逐年上升的趋势,进行Web 层服务器、应用层的初步规划设置;l 设置一组服务器运行公共平台,为信息应用提供身份认证、授权、数据交换等公共服务;l 运行数据库服务器的设计要尽量利用数据库系统的并行计算技术,设置多服务器节点,消除单点故障,提高数据库整体性能,同时兼顾单节点的处理能力;l 归档数据库主要存放归档数据,对服务器的计算能力
27、要求不高,可根据实际情况进行硬件选择;l 数据仓库服务器对服务器的计算能力要求较高,可根据实际情况进行硬件选择。4.3 存储和备份体系高校在存储管理上面对三方面的挑战,一是数据量大,存储介质种类繁多,有磁盘、磁带、光盘等,如何实施有效管理是一大难题;第二,如果数据丢失,将对用户造成巨大的影响,在存储管理上必须认真关注整个系统的可靠性;第三则是应用需求的不断发展,使得对存储空间的需求迅速上涨,如何平衡业务需求与成本这一对杠杆,也是存储管理的关键任务。构建一个统一的存储与备份体系,实现对数据、资源和体系架构的统一管理。在这种新的存储管理模式下,存储系统管理人员的视野从局部上升到全局,数据、策略、流
28、程、存储资源、存储体系架构都被纳入统一的管理之中,一方面现有的存储资源能得到充分的利用,另一方面系统又能得到很好的扩充,满足高校业务发展过程中的不同需求。存储与备份体系包括:l 统一的存储架构,能够同时支持支持运行、备份和数据容灾,以保证数据的安全。l 完善的数据备份和容灾策略,确保学校的数据得到有效的备份,并且能满足不同应用系统、不同用户的各种数据备份需求;完善的数据容灾体系,确保意外灾难发生时能通过异地备份的业务数据进行业务的恢复。4.3.1 统一的存储架构数据中心的存储系统由以下几部分构成:l 支持数据中心系统运行的存储环境;l 数据中心本地备份系统;l 支持全校数据存储与备份的校内异地
29、数据容灾中心;包含运行、备份和容灾的统一存储架构如图所示。图4-4 统一的存储架构对上图说明如下:l 从运行主存储环境考虑,存储系统应该提供FC SAN、IP SAN、NFS、CIFS的统一存储环境,以满足不同应用对存储的需求;l 对于本地备份,可采用基于存储设备本身的快照功能,可以最快速度和最小磁盘空间实现数据的备份;当然,对于数据库一级的备份,和一些将数据存储在本地服务器而不集中存储设备上的应用系统的数据备份,需要通过一引起专业的备份软件进行数据的备份与恢复;l 为了实现数据容灾,确保数据安全,可以基于存储设备的SnapMirror 功能,实现与校内异地数据容灾中心的数据同步,对于容灾中心
30、的存储设备除了接入灾备存储专网外,还接入校园网,以保证灾备存储专网出现故障时,存储设备之间仍然能保持数据同步。当然,应该做好存储设备的安全防范措施。4.3.2 数据备份与容灾策略数据的丢失可以有很多因素,误操作、磁盘等设备出问题等,都可以导致数据丢失。因此数据备份与恢复是整个系统中应当重点考虑的最基本的服务。另外,还要提供应付灾难的后备与恢复措施。所谓灾难,是指由于地震、火灾、硬件损坏而造成的数据丢失。为了应付这种局面,应当考虑数据的异地容灾功能。一个良好的数据备份与容灾体系应该是规范而高效的,这需要针对不同的情况认真地制订备份策略,既要考虑数据库数据与非数据库数据的备份区别,还要考虑不同应用
31、对数据备份和数据恢复的不同要求。4.4 信息安全体系校园信息化建设是为了提高教学、科研及管理水平不可少的支撑环境,给师生打开新的广阔天地,而由此开始的频繁邮件来往、磁盘和光盘等存储介质的大量流动和开放式的服务环境使用给系统的安全稳定健康运行带来极大的隐患。因此,安全问题是校园信息化建设的一个重要问题,在建设数字化校园的过程中将会遇到两种类型的安全问题:系统安全和信息安全问题。l 系统安全问题主要考虑网络和主机系统安全性及应用系统安全性。网络系统要保证链路安全和网络安全;应用系统安全性主要考虑用户的权限控制和应用系统建设架构的安全性。l 信息安全问题主要考虑数据存储和备份,数据的录入和读取规则定
32、义,用户权限设定,以及数据操作的日志记录等。规划系统考虑参考PPDRR安全模型从安全策略(Policy)、安全防(Protection)、安全检测(Detection)、安全响应(Response)、安全恢复(Recovery)五个方面对数字化校园系统建设涉及的安全各个方面予以完善考虑。l 安全策略P:系统安全规划的主要内容是进行系统的安全需求分析和风险分析,在此基础上,确定系统的访问控制规划、系统备份与恢复策略以及网络应急事件的处理规程。系统安全规划的结果是系统的安全策略。l 安全防护P:指物理防范安全及应用防范安全的集合,主要考虑强制访问控制(MAC)机制、ACL访问控制、安全过滤和安全加
33、密防范技术、两校区VPN隧道连接,加密机制,病毒防护,数据库系统上强制访问控制、权限分割、关键业务库表字段加密等措施。安全防护是传统安全概念的继承,包括信息加密技术、访问控制技术等。l 安全检测D:主要采用各种探测、检查、监控、报警系统,针对系统资源、物理入侵、漏洞检测、身份鉴别、日志审计等安全扫描和实时监察措施。从监视、分析、审计信息网络活动的角度,发现对于信息网络的攻击、破坏活动,提供预警、实时响应、事后分析和系统恢复等方面的支持,使安全防护从单纯的被动防护演进到积极的主动防御。l 安全响应R:针对检测系统发现的攻击、破坏等事件,通过入侵检测系统和防火墙的实时响应并联动操作安全防护设备增加
34、相应安全机制以防止该攻击的再次发生。l 安全恢复R:对于系统重要的资源应该规定相应的周期定期备份,当系统受到攻击后及时回复原有重要数据,同时清除攻击在系统上的预留(一般黑客在攻击某一服务器成功后通常会在上面作相应的预留或“开后门”一般将来再次光临),使得系统资源得到最大限度的保护,本系统主要考虑以数据备份为主。4.5 云计算云计算概念是由Google提出的,这是一个美丽的网络应用模式。狭义云计算是指IT基础设施的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的资源;广义云计算是指服务的交付和使用模式,指通过网络以按需、易扩展的方式获得所需的服务。这种服务可以是IT和软件、互联网相关的,
35、也可以是任意其他的服务,它具有超大规模、虚拟化、可靠安全等独特功效;“云计算”图书版本也很多,都从理论和实践上介绍了云计算的特性与功用。4.5.1构建云计算系统数据中心IAAS随着未来信息化的建设,数据中心承载的应用将是五花八门和需求不一的,并且应用的数量会在很短时间内将大大增长。这就要求新一代校园网的数据中心必须是能非常灵活、弹性的,并能适应各种各样的应用和保障其可用性,构建云计算系统的数据中心,采用虚拟化集中管理软件对服务器、网络、存储等资源进行动态调配和监控,这些技术手段是目前数据中心建设技术路线中最好并且最有效的选择。云计算数据中心项目的建设内容是:加强数字化校园基础平台建设,升级和提
36、高数据中心的承载能力,扩容20台以上的服务器集群,扩容60TB以上数据存储能力,建设智能的负载均衡和应用交付平台,以提升数据中心应用承载能力和优化用户的访问感受,建设云计算应用支撑和管理平台;加强数据中心的整体安全防护体系,从网络层到应用层能提供有效的、一体的安全防护;建立数据容灾备份中心,保障全校关键性数据和应用的安全及可用性。4.5.2构建云计算应用平台PAAS一些操作系统、中间件、统一身份认证、云安全如能在云平台内实现将提高设备使用效率与可靠性,同时数据的完整与可用性也将提高。4.5.3构建云计算应用服务平台SAAS随着信息化业务的普及和深入,师生、管理层、合作单位自身的发展需求对现有软
37、件即SaaS平台的信息化业务提出了更高的要求,主要体现在两个方面:1.丰富应用之间互相关联和整合实现信息和业务集成化。2.满足学校的差异化信息应用的需求。因此需要在云计算的平台内提供解决方案,最典型的有人力资源公共云,教育教学资源云。图4-5 信息系统安全体系图4-6统一安全机制分层第五章 应用功能层建设应用功能层建设是学院数字化校园建设的核心环节,各类应用系统建设的复杂度决定了该层次的建设必定是一个长期的过程。我们围绕大学生全生命周期管理及服务、教职工综合信息管理及服务、学校综合决策信息管理及服务三条主线,融合物联网发展趋势,全面建设数字化校园,以期达到信息资源的数字化、应用系统的统一化、信
38、息应用的角色化、信息资源的丰富化、支撑平台的集中化、信息网络的高速化。5.1 面向角色的信息服务中心5.1.1 面向学生综合信息服务中心学生综合信息服务中心针对我校学生个体,以人才培养为核心视角,以生源质量、学生能力、就业状况、校友贡献为目标,提供学生入校前到离校后整个生命周期的信息化服务。通过对学生综合管理与服务系统的建设,扩展了面向学生个体服务的范围,延长服务周期,提高学生的满意度。对于学生,他们面对的不再是一个个孤立的系统,只需访问一个个性化的学生信息门户就可进行各种事务的申办和查询。从学生用户群体使用视角,建设学生全生命周期服务平台,包括:迎新注册服务、教学支撑服务、评奖评优服务、资助
39、申请服务、勤工俭学服务、就业服务、毕业离校服务、社团活动服务等一系列功能。1、 学生简历服务学生简历服务的建设目标是能够收集、整理学生的日常在校信息,包括其个人基本信息,成绩信息,社团活动信息等,基于学生信息为其自动生成在校简历,为其日常工作简历投递,个人信息导出等提供便利。主要内容包括:基本信息管理:个人基本属性信息,指不随个人移动而变更的信息;在校信息管理:个人在校期间的属性信息,比如:专业、班级等信息;学习信息管理:和学习相关的信息,比如:课程、考试、论文等信息;奖励信息管理:个人的获奖情况信息;社会活动信息管理:个人参加的社会活动信息,比如:社会实践、志愿者活动、创业等信息;结业信息管
40、理:个人结业信息,比如:学位、毕业等信息;就业信息管理:个人就业情况,包括就业状况、去向等信息;个人简历管理:通过个人信息自动生成简历,并可邮件投递。2、 校园文化系统校园文化系统是面向学生班级、学生社团、教师个体的,以学生活动为中心的虚拟校园服务系统。本系统的建设目标是:1)规范和引导健康向上的校园网络文化,建立起学校可管可控的校园网络服务平台,避免“一放就乱一收就死”的局面;2)依托先进的网络服务平台引导学生参与到有意的社会活动中来,进一步繁荣校园文化,构造积极向上的学习氛围;3)建立以在校生为主,自然向校友延伸的服务架构,长期增强学生粘性。讨论版:在班级、社团活动区内部的群组讨论区,用于
41、讨论各类活动与话题。留言版:非群组成员想群组用户发布消息的功能。公告版:群组管理员向群组成员发布信息的功能。投票调查:用户可以发布单选、多选、问答等多种形式的调查表,用于搜集用户反馈。站内信:用户在系统采用的简单文本邮件方式的点对点通讯服务。校内搜索:面向校园网的文件搜索服务,用于建立开发式的FTP服务器的索引,方便用户查找校内公共资源。3、 学生综合服务平台 通过学生综合服务平台的建设,展现了面向学生个体服务的范围,延长服务周期,以此提升学生的满意度。通过对原有系统的集成使得学生面对的不再是一个个孤立的系统,只需访问一个个性化的学生信息门户就可进行各种事务的申办和查询。系统功能的划分可包括:
42、入学服务、学籍服务、资助服务、教学服务、思政服务、图文网络服务、生活服务、财务服务、就业服务、离校服务、校友服务、综合信息服务等。4、 移动信息门户根据高校信息门户各种应用系统功能的特点,将其移植到移动终端(如智能手机、上网本、个人数字终端等)上进行实现,达到实时互动,完成大部分必须通过有线网络完成的相关事务,并以为学生提供教学信息服务为基础,向外延伸到提供校园生活服务(包括:生活、校际交友、娱乐、就业兼职等)和传统的运营商通讯增值业务服务。实现校园信息服务无线和有线的无缝结合,搭建成固网、无线网络终端数字校园一体化的成熟应用。建设内容包含以下两类主要服务:校园应用:结合门户已有应用,将其中适
43、合在移动终端上使用的应用进行二次开发,包括校园一卡通、数字图书馆、教务系统、学工系统、教职工信息系统、OA办公自动化系统、财务系统、招生系统、学生综合管理系统,为校园人(教职工,学生)提供便利的信息服务。手机支付:移动支付子系统是校园信息服务平台上实现移动支付的重要应用模块,它负责将传统的校园卡消费扩展到手机上,通过手机终端真正做到了无卡支付,方便用户随时随地进行便捷的校内消费。5、 学生数字档案学生个人信息中心基于集中的个人信息库和规范的数据模式标准,面向全校学生、教师、各级领导提供学生在校信息的查询。 1)通过数据集成平台实现数据同步系统的原始数据通过数据集成平台从权威数据源(教务管理系统
44、、学工管理系统等)即时获得,解决数据缺失、错误、不一致和查询内容不断变化的需求。2)系统必须简单实用,且易于扩展系统提供的学生信息必须可以通过配置,灵活扩展,当个人信息库发生变化时,查询界面可以通过配置调整动态变化,而避免修改应用能够程序,使系统能够适应学校不断发展的管理需求。3)面向各级领导的快速查询系统需要为各级领导提供每一个学生的可访问权限范围内的全面信息查询功能,避免进入相关的应用系统中分散地获得学生的各种信息,缩短查询时间,提高工作效率。5.1.2 面向教职工综合信息服务中心建设面向我校教职工综合信息服务中心,将教职工从进校到退休的所有过程统一管理,通过教职工数据集中管理,解决教职工
45、信息“信息孤岛”现象,最大程度的实现学校内部的教职工相关数据统一管理和数据共享。保持全校范围内人员的信息一致;利用信息共享、消息传递、事务提醒、投票、通知等机制实现各院系、部门之间协同工作;实现教职工管理业务中流程的自动化、智能化流转,提高协同工作效率。通过协同办公、统一消息中心、知识分享支撑、科研协作、课程协作等互联网应用手段,提高教职工获取知识的能力和速度,减轻教职工日常繁琐事务,节省教职工的时间,让教职工有更多的时间精力投入教学和科研,提升教师的教学、科研水平,为我校建设现代化大学服务。1、 教职工数据填报服务1)表格填报管理包括:表格模板库管理、模板管理、填表项条件设置、表格模板制作、
46、数据源配置、表格管理、系统管理、填报情况统计等。2)自助填报服务包括:填报向导、自助填报、表格管理。2、 教师信息门户升级1)消息看板:提供站内消息、通知公告、主题讨论、好友邀请等信息的集中提醒。2)日程安排:以日历模式管理个人日程安排与事务的工具。3)投票调查:用于发布在线调查,收集意见反馈或数据。4)反馈:为用户与管理员之间建立消息反馈的通道。5)活动:为校内各类活动提供活动发起、活动信息浏览、活动咨询与反馈的统一平台。6)问答:提供了开放性的提问与反馈区域。7)记事:简单易用的文章管理工具,用于发布文本、图片、音频、视频等多媒体文件共同构成的web文档。8)相册:综合的图片资源管理工具,
47、用于发布JPG/GIF/PNG/BMP等格式的图片资源,方便用户在教学、科研、生活中存储、发布和分享图片信息。9)分享:用户主动推送信息给其他人的工具,可供分享的资源包括链接、照片、文章、文件等资源。10)好友:好友是一种基本的社会关系,在协同服务平台中维护好自己的好友关系,将大大方便用户在好友间传递信息、共享资源,平台也可以给予好友关系自动的推送信息,真正起到促进协同交流的作用。11)站内信:为用户提供的简单文本邮件交流工具,在方便平台用户间主动发送文本信息的同时,对各应用提供接口,用于应用向用户自动推送信息。12)个人主页:将用户对外发布的所有信息进行聚合的服务,通过访问个人主页,可以完整的了解一个用户在协同服务平台上的活动以及公开发布的资源。13)校园黄页:校园黄页是按党政组织架构、学科专业分类、荣誉职称分类、姓氏拼音分类等四大分类方式将校内所有的组织、机构、团队以及个人信息进行汇聚的服务,同时提供全文检索功能,供用户搜索某一特定的人或组织。14)校内新闻订阅:采用RSS集成、网页分析集成、爬虫采集集成等方案,将符合学校域名规范要求的所有网站信息按发布时间及管理员定义的分类信息进行分
