VPN教育城域网升级改造方案.docx
《VPN教育城域网升级改造方案.docx》由会员分享,可在线阅读,更多相关《VPN教育城域网升级改造方案.docx(60页珍藏版)》请在冰豆网上搜索。
VPN教育城域网升级改造方案
VPN教育城域网
升级改造方案
一、背景………………………………………………
3
二、我县教育城域网现状……………………………
3
(一)建设现状………………………………………
4
(二)存在的问题……………………………………
4
三、升级改造建设总体需求…………………………
8
(一)VPN教育专网改造………………………………
8
(二)建成科学、规范的数据中心…………………
8
(三)建成统一的门户应用系统……………………
9
(四)构建网络与信息安全保障体系………………
9
(五)建立运维服务长效机制………………………
10
四、建设定位与基本原则……………………………
11
(一)数据中心的建设定位…………………………
11
(二)我县教育城域网建设应遵循的原则…………
12
五、数据中心建设的技术体系和技术框架…………
15
(一)数据中心建设的体系架构……………………
15
(二)业务系统的技术架构…………………………
17
六、建设项目详细设计方案…………………………
18
(一)教育VPN专网建设……………………………
18
(二)数据中心机房环境建设………………………
20
(三)硬件建设………………………………………
22
(四)城域网应用支撑平台建设……………………
30
(五)应用软件建设…………………………………
34
(六)技术保障与运维队伍建设……………………
41
(七)信息安全体系建设……………………………
42
七、数据中心配置项目及成本预算…………………
52
一、背景
为深入贯彻落实“全国教育信息化工作电视电话会议”精神,以及《教育部等九部门关于加快推进教育信息化当前几项重点工作的通知》教技〔2012〕13号要求,扎实推进实施国家《教育信息化十年发展规划(2011-2020)》,使我县在2015年完成“三通两平台”建设(三通:
宽带网络校校通、优质资源班班通、网络学习空间人人通;两平台:
教育管理公共服务平台、教育资源公共服务平台),使信息技术与学科教学深度融合,我县根据已建教育城域网的实际运行情况,遵照渝教基〔2013〕11号《某市教育委员会关于印发区县教育城域网建设标准和普通中小学“数字校园”建设标准的通知》以及渝教科〔2013〕11号《某市教育委员会关于加快推进教育信息化重点工作的通知》的要求,结合我县教育信息化建设现状,提出对原有教育城域网升级改造以及数字校园建设方案。
二、我县教育城域网现状
近年来,我县陆续实施了国家农村中小学现代远程教育工程、中西部地区农村义务教育阶段薄弱学校教学设备设施改造工程,以及本县实施的义务教育保障经费项目,全县学校各项教育信息化设备资金投入约2000万元,加上学校原有信息化设备2000余万元,总信息化投入约4000万元,全县新增中小学计算机网络教室59间,配备学生机6000余台,教师笔记本6000余台,新建班班通教室1600余间。
小学四年级以上学校开设了信息技术课程。
某中学等4所高中学校建成较为完善的校园网,其他120所学校初步建成校园网,所有中心校以上学校均通过光纤或电话线拨号等方式接入了互联网和县教委政务网。
学校信息化软硬件设施得到极大提升,为我县教育信息化发展奠定了坚实基础,信息技术及网络应用已经深入到教育教学工作的各个方面,已经成为教育教学不可域缺的高效工具,改造我县教育城域网、建设我县教育信息高速公路已经迫在眉睫,是我县教育信息化以及“数字校园”建设的必经之路。
(一)建设现状
我县位于三峡库区腹心地带,全县幅员面积3649平方公里,人口134万,辖38个乡镇、4个街道。
全县共有建制学校125所,3197个教学班,学生21.7万人,教师9127人。
其中高完中类学校8所,中职学校1所,初级中学28所,九年制学校11所,中心小学74所,村校教学点144个。
目前我县城域网仅搭载教育办公OA平台、视频会议系统,教委机关互联网宽带出口总带宽20Mbps。
教委直属事业单位、各校分别接入互联网。
其中采用ADSL接入的学校共33所,光纤专线接入的学校共95所,未接入网络的共141所,42所学校拥有固定互联网IP地址,学校出口总带宽1553Mbps。
(二)存在的问题
1.信息化体系相对紊乱
按某市教委信息化建设发展规划,全市最终要组建统一协调的、互联互通的、高效便捷的智能化网络系统,最大限度地挖掘全市教育城域网的优势和潜力,教育信息化主要指标达到国内一流、西部领先水平,使我市成为中西部地区教育信息枢纽、优质教育资源输出地。
目前,全县学校及委属事业单位均是各自为阵,信息相对孤立,学校之间、教委与学校之间、各系统平台之间信息不能互通资源不能共享,效率低下,重复建设严重。
2.教育政务网功能还很不完善
——网络结构不尽合理。
我县于2003年先期搭建了城域网中心机房,目前功能单一、体系不全,仅限于公文的上传下达和视频会议系统,根本没有教育教学、科研、管理等应用软件。
网络安全级别低、网络设备通信能力差、网络运行不稳定,无法实现绿色网络环境的监管以及网络资源的合理调控,学校端互联网访问带宽也远远低于教育部规定的宽带校校通100M(互联网出口)要求。
目前,网络技术已有了重大的变革和发展,从以设备为中心转向以信息为中心的云计算、云服务,原有网络模式已经难以支撑。
——服务器运行效率不高。
近年来,某市已经为区县配发了部分管理软件平台和硬件设备(如:
学籍管理系统、教学设备管理系统、数字图书馆系统),这种采用每台服务器独立承载一个应用子系统的部署方式严重落后,重复建设严重,投资巨大,效率低下,管理不规范,浪费了大量的硬件、软件资源,不堪经济重负,且用户访问高峰期计算速度太慢。
这与教育部提出的“三通两平台”建设模式相冲突。
并且由于服务器承载的应用子系统的使用频率不一样,例如学籍系统,每年仅使用一至二次,常年闲置;又如办公OA服务器,每天都处于高并发访问状态,设备又不堪重负,经常宕机,严重影响正常办公,下级学校单位怨声载道。
——设施设备老化。
城域网中心机房建设已近10年,虽有少量设备更新,但绝大多数设备已经趋于老化,网络运行不稳定,主要业务办公OA经常中断服务,通信能力在本来就不高的情况下正逐步降低。
——不能实现上网行为安全管理。
《互联网安全保护技术措施规定》(公安部令第82号)要求:
各互联网接入点必须安装上网行为管理设备,保留每位用户上网日志60天以上,并具有记录、跟踪网络运行状态,监测、记录网络安全事件等安全审计功能。
目前我县各校各自为阵,上网管理混乱,安全隐患特别严重,若在每所学校都安装上网行为管理设备,尚需另外投入近2500万元。
3.互联网使用费巨大
全县有125所学校、4个直属单位接入教育政务网和互联网,每年都要承担高额的网络使用费。
——教育政务网接入光纤接入为380元/月,ADSL电话拨号接入为200元/月,全县只有少数几所边远学校采用ADSL电话拨号接入,全县学校此项费用估算为50—54万元/年。
——互联网接入镇乡中心校及初中以上学校均为光纤接入互联网(以至少4M—10M光纤为例,一般收费3000-5000元/月,平均约4万元/年),这类学校及单位已有95个,需要380万元/年。
其余近30个单位为电话拨号接入(200元/月左右不等,约0.3万元/年),估算为10万元/年。
此项合计390万元/年。
——网站空间及托管我县约50所学校建有自己的校园网站,由于缺乏相应的硬件设备、安全措施、网络带宽及管理技术,学校的网站或网站服务器不得不托管在IDC(InternetDataCenter互联网数据中心)机房,每年支付的托管费、存储空间租金(约1元/M/年)、域名使用费等至少20万元/年。
以上三项,学校及事业单位每年至少要支付网络使用费460万元以上。
4.网络带宽严重不足
按照宽带校校通每校达10M以上互联网出口带宽要求,我县仅有81所学校基本达到要求,近44所中心校以上学校及全部村校均没有达到标准。
县教育城域网和学校互联网出口带宽严重不足,无法达到教育部“宽带校校通100M”的网络要求,不适应教育管理信息化和优质教育资源班班通的应用共享需要。
5.应用系统缺乏整合基础我县已建各应用系统缺乏统一的城域网应用支撑平台(即用户集中认证平台、数据交换与共享平台、应用支撑门户平台、基础信息数据库管理与服务系统),不能实现对第三方软件的异构整合,不能无缝接入上级云应用平台,区域内各应用系统不能实现单点登录,系统相互独立、信息孤岛现象普遍。
6.运行维护机制不健全我县教育城域网建没有完善运行维护机制,没有专业的运维队伍,出现信息更新不及时、维护费用不到位、缺乏应用软件长效技术支撑等问题。
三、升级改造建设总体需求
我县教育城域网升级改造,主要包括以下五个方面的建设:
(一)VPN教育专网改造
通过与本地通讯营运商合作,改造我县开放式城域网结构,搭建覆盖我县教育主管部门、直属事业单位以及各类中小学校的VPN光纤专网,统一互联网出口管理,加强网络资源的监控和调控能力,提高网络通信能力,保障绿色上网环境。
这种组网方式优点是:
总体投入成本低,运行效率高。
可以在其它网络硬件的同步配置下实现百兆/千兆到校园网、千兆/万兆到达数据中心机房;辖区内各单位的网络可由数据中心机房统一管理、统一监控,安全级别高;严格按照各类工程建设标准构筑的数据中心机房、网络、计算、存储等基础环境和设施,能稳定地为辖区所属各直属事业单位、各类学校提供信息系统和数据库存储与服务;运维队伍稳定,技术力量可靠,能满足持续发展。
(二)建成科学、规范的数据中心
结合教育部对“三通二平台”的建设要求,以及现代教育均衡发展对资源应用部署的需要,升级改造网络通讯硬件设备、服务运算及存储设备,完善机房安防、消防及其它环境检测保障设备建设。
受各种因素制约,以往的教育城域网建设被看成是一个网络及硬件建设工程、中心机房装修工程,而新一代教育城域网建设则被定义为一个系统工程,除了要具备足够的供电系统、制冷系统以及动态分配系统,对于数据中心建设,我们更要强调的是其必须具备灵活性、绿色节能、自动化、整合、稳定安全、虚拟化和云计算等特征,应能支撑本级系统的设备集中、数据集中、业务集中需要。
(三)建成统一的门户应用系统
为了防止信息堡垒、杜绝信息孤岛,必须建设城域网应用支撑平台(即用户集中认证平台、数据交换与共享平台、应用支撑门户平台、基础信息数据库管理与服务系统),以“信息整合、业务聚合、服务融合”方式,接入上级平台的各类公共应用、拓展下级各单位的个性化特色应用,实现各级各类学校与各级教育管理部门之间数据互通和系统互联,在满足地区特色化教学管理及应用的基础上,全面提升我县教育监管能力与服务水平,按时完成教育部对“三通二平台”的建设规划目标,促进城乡教育资源均衡发展和可持续发展。
本级平台建设各类应用软件时,必须严格按照“登录+应用+数据库”的架构原则分类集群部署,充分提升硬件资源的利用率和通信能力,提升系统运行的稳定性和访问速度。
(四)构建网络与信息安全保障体系
在数据中心建设过程中,我们要按照国家和教育部关于信息安全等级保护相关政策要求和技术标准规范,从管理和技术两个角度构建网络与信息安全保障体系;要对数据中心所承载的信息系统进行安全定级与备案,并依据所定安全级别要求进行安全规划和建设;要按照国家相关要求对信息系统进行定期安全等级测评,国家教育管理信息系统由教育信息安全等级保护测评中心统筹实施;要设置网络与信息安全职能部门和岗位;要加强人员安全意识培训和技能培训,技术人员要逐步落实持证上岗;要建立安全监控与预警体系,对本级信息系统安全运行状况进行监控、预警及管理的同时,实现与上级安全监控与预警体系对接;要建立网络与信息安全工作体系,建立联络员机制,建立安全管理工作信息化平台,按照信息安全等级保护要求实现信息系统全生命周期安全管理,并与县级安全管理工作信息化平台衔接实现数据上报;要建立定期安全检查机制并配合主管部门和当地公安部门做好监督检查工作。
数据中心建设应采用纵深防御的安全保障机制,确保核心数据资源的安全保护。
要制定切实可行的信息安全策略,从基础设施、平台应用和服务交付等各层面综合保障数据中心的安全。
(五)建立运维服务长效机制
建立科学规范的运维服务长效机制,是推进数据中心由发展阶段进入成熟阶段的重要环节,更是促进数据中心得以持续有效应用的推进剂。
要建立可行的运维保障体系,实现集中的教育信息化基础环境和基础设施的运行维护;制定配套的数据维护、交换、管理制度,建立管理信息系统运行的运维技术队伍;要创新运维服务长效机制,建立责权明晰的运维组织机构,建立标准的运维服务规章制度和工作流程规范。
与软件企业良性合作,共同构建数据中心运行维护与技术服务支撑平台,建立良好的技术服务体系,提供用户使用方法指导服务、数据采集更新服务、数据备份支撑服务、技术创新和系统升级售后服务。
四、建设定位与基本原则
(一)数据中心的建设定位
以“信息整合、业务聚合、服务融合”为建设理念,按照“三通二平台”的建设要求,深度融合政府、社会、学校、家长、教师、学生等多方面的应用需求,建成覆盖辖区教育主管部门、直属事业单位和各类中小学校的光纤专网体系,搭建科学、安全、高质量、高标准的区域公共教育云平台;实现与教育部及市级各核心应用系统之间的数据互通,努力实现教育资源的均衡发展。
(二)我县教育城域网建设应遵循的原则
遵循国家及教育部信息化标准与规范,严格参照《国家教育管理信息系统建设总体方案》和《某市中小学数字校园建设指导手册》的要求,本着经济、实用、够用及适度超前的原则,建成高质量、高标准的区域公共教育云平台,并于2015年前完成各中小学校“三通二平台”的建设目标,使信息技术与学科教学深度融合,实现主管部门与学校之间、学校与学校之间、教师与教师之间、教师与学生之间信息资源的高度共享以及教育管理模式的网络化,降低教育系统内部办公成本,提高办事效率,提升教育教学质量,加快教育现代化建设步伐。
先进性原则采用当前国际先进成熟的主流技术,以适应海量数据传输以及多媒体等信息交换的要求,网络主干具有足够的带宽,能够无阻塞的处理多媒体流量,考虑到3-5年内的技术发展,使整个网络系统在五到十年内保持领先水平,并具有长足的发展能力。
先进性内容主要包括:
系统设计思想先进、软硬件设备先进合理、网络结构先进、开发工具先进。
系统设计既兼顾技术上的成熟性,同时也保证系统的先进性。
可靠性原则城域网建设的主要目的是为教学服务,它是各校园网资源的汇集和连接的桥梁,是教育系统网络信息处理的核心,大量的数据不断地在网络上传输,应用系统及网络传输必须保证其稳定可靠,能够提供365天、每周7x24小时不间断运行及服务能力。
标准性原则硬件环境、网络环境、软件开发及运行使用环境都要遵循国家及教育部信息化标准与规范相互。
相关标准、规范及工作要求如下:
(1)国家相关文件及规范
《国家电子政务工程建设项目管理办法》
GB50174-2008电子信息系统机房设计规范
GB50462-2008电子信息系统机房施工及验收规范
GB50311-2007综合布线工程设计规范
GB50312-2007综合布线系统工程验收规范
GB50395-2007视频安防监控系统设计规范
GB50263-2007气体灭火系统施工及验收规范
GB50394-2007入侵报警系统工程设计规范
GB/T20269-2006信息安全技术信息系统安全管理要求
GB/T20984-2007信息安全技术信息安全风险评估规范
GB/T22239-2008信息安全技术信息系统安全等级保护基本要求
GB/T22240-2008信息安全技术信息系统安全等级保护定级指南
GA/T388-2002B计算机信息系统安全等级保护管理要求
(2)教育部相关文件及规范
《国家中长期教育改革和发展规划纲要(2011-2020年)》
《教育信息化十年发展规划(2011-2020年)》
《2012年教育信息化重点工作》(教技厅[2012]1号)
《教育部等九部门关于加快推进教育信息化当前几项重点工作的通知》(教技[2012]13号)
《国家教育管理信息系统总体建设方案》
(3)国家教育管理信息系统技术标准与规范
《教育服务与监管体系信息化建设项目应用系统运行环境指南》
《教育服务与监管体系信息化建设项目统一用户认证规范》
《教育服务与监管体系信息化建设项目门户集成开发规范》
《教育服务与监管体系信息化建设项目统一用户管理规范》
《教育服务与监管体系信息化建设项目应用系统开发安全规范》
其他相关技术规范
(4)地方标准
《某市教育城域网建设标准》渝教基[2013]11号
《某市中小学数字校园建设标准》渝教基[2013]11号
扩充性原则我县数据中心建设应考虑可扩展性和易维护性,适应系统变化要求,以最简便的方法、最低的投资,实现系统的扩展和维护,降低人力资源费用。
实用性原则系统建设应坚持实用性和经济性,始终贯彻面向业务应用。
在进行架构规划时,不盲目单纯追求设备的先进性。
在充分考虑应用性能的基础上,应充分考虑原有IT设备的投资和保护,切实提高经济效益。
安全性原则安全性主要包括网络安全性和应用系统的安全性。
安全性的好坏最能体现系统的网络应用能力和信息化建设的程度。
网络安全性要求建立网络安全机制,一是要配“防火墙”,以实现数据过滤功能,将不安全的数据流和路由信息拒之门外;二是采用网络隔离、访问控制等安全防范措施,保证了网络的安全运行,有效地防止XX的访问。
应用系统的安全性要求架构科学先进,一是要求从数据库到应用,设计要科学,要能保障高并发时的运算能力,其中包括数据库的承载运算能力和应用系统的共享能力;二是要求编程代码简洁规范,进程回收及时;三是要求应用流程严谨,符合使用习惯;四是要求具有工作自动接转和冗灾备份应急措施。
独立性原则教育网是基于各学校为网元构建起来的面向教育系统的大型网络。
独立性在教育网中体现在两个方面:
一是整个教育网网络对于外部网络而言是一个物理上的独立实体,单独并唯一的实现对整个教育网的统一网络管理;二是各学校作为教育网的基本网元在物理上也应该具有一定的独立性。
可管理性对网络实行集中监测、分权管理,并统一分配带宽资源。
选用先进的网络管理平台,具有对设备、端口等的管理、流量统计分析,及可提供故障自动报警。
强QOS(QualityofService)、强组播特性教育网因为对视频、音频等多媒体业务的需求较大,为实现区别服务,整网端到端的QOS特性机制是优质网络业务的保证。
另外组播特性对于有效地保证多媒体流传输性能和节省带宽也有非常重要的意义,基于组播的控制特性也会进一步保证组播流的控制、管理和安全,从而为实现教育城域网的多业务支持提供保障。
兼容性和经济性兼容性,能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性,为不同的现存网络提供互联和升级的手段(如现有的双向教学系统),保证各种在用计算机系统(包括工作站、服务器和微机等设备)的互连入网,充分利用现有网络资源,发挥主干网的优势。
经济性,就是在充分利用现有资源的情况下,最大限度地降低网络系统的总体投资,有计划、有步骤地实施,在保证网络整体性能的前提下,充分利用现有设备或做必要的升级。
五、数据中心建设的技术体系和技术框架
(一)数据中心建设的体系架构
我县教育城域网建设必须遵守全市教育云建设整体设计:
我市教育云的建设实行“两级建设三级应用”模式。
二级建设是指市、县级数据中心的分别建设,三级应用包括市、县区和学校三级单位的共享应用。
学校以远程应用为基础,为本级教育机构及上级机构提供基础数据。
建设项目及部署要求
序号
信息系统
作用、部署模式
备注
一、城域网公共服务软件平台
1
统一用户认证管理平台
实现所有应用子系统的一步登录、全网通行(即单点登录);按省、市、县分级独立部署,上下级平台的用户数据自动交互共享;。
必建
2
数据交换与共享平台
实现上下级平台和平台内各系统之间相关数据的自动交互和共享;按省、市、县分级独立部署,上下级平台的各类数据自动交互共享。
必建
3
应用支撑门户平台
在统一的门户平台上集中部署本级所有应用软件和教育教学资源,并无缝接入上级平台的各类核心应用系统,实现登录门户管理;按省、市、县分级独立部署。
下级平台根据《某市中小学数字校园建设指导手册》的要求,无缝接入上级平台相关应用子系统,实现单点登录和数据自动上报。
必建
4
基础信息数据库管理与服务系统
为集群到门户平台上的所有应用软件提供规范、标准的基础共享数据,避免重复工作,保障基础数据的标准化;按省、市、县分级独立部署,上下级平台数据自动交互共享。
必建
二、数字校园应用软件
5
教育管理公共服务平台
教育部
系统
接入教育部五大部分共20个核心应用系统项目
接入
市级系统
某市中小学教学设备管理系统
接入
区县级
系统
数字校园管理平台
必建
公文OA系统
必建
教育教研视频会议系统
必建
人事管理系统
选建
教育GIS信息系统
选建
自助建站系统
选建
6
教学资源公共服务平台
学脉网
接入
数字图书馆
接入
仿真实验室
选建
学习空间人人通
必建
城域网数据中心是信息交换体系的主体,既是教育资源交换体系的节点,又是教育资源信息系统的中枢。
其主要作用是:
一是为本级教育资源管理信息系统提供管理及运行平台;二是为远程信息系统按权限调用教育资源提供共享和交换机制;三是为本级信息服务系统的信息提取提供数据源支持。
通过我县数据中心的建设,实现与部、市两级教育数据和信息的共享,消除信息孤岛和应用孤岛,实现横向和纵向业务的整合,形成业务联动和一站式的信息服务与监管体系。
(二)业务系统的技术架构
1.数据库设计
在设计数据库系统的过程中,将通过考虑以下几个方面的问题来保证系统数据库支撑平台的要求:
(1)系统硬件配置情况,在尽量降低硬件要求的前提下确保系统运行的稳定性。
(2)网络拓扑结构,将考虑涉及诸如防火墙、安全性、带宽和速度方面的因素。
(3)数据库大小、并发数、云化集群能力。
必须采用Oracle或Mysql之类的大型数据库。
(4)故障修复,任何系统都有出错和死机的可能,因此,必须规划完备的数据备份、恢复、工作接转机制。
备份方式包括完全备份、差异备份、冗余备份(逻辑备份、物理备份)等。
2.部署与维护
在采用.NET技术进行开发的同时,也继承了.NET技术的巨大优势——即XCOPY模式的部署与维护。
即无论在系统安装部署过程中还是在升级与维护时,所有源文件和目标代码都仅仅需要拷贝到响应位置的目录中,而不必重启机器。
3.应用集群能力(云部署)
云计算是一种基于因特网的超级计算模式,几万甚至几千万台电脑与数据中心的若干服务器连接成一片,用户通过电脑、笔记本、手机等方式接入数据中心,按各自的需求进行存储和运算,从而实现节能减排、资源共享、高速计算的能力。
4.负载均衡
云部署必然涉及到负载均衡机制。
负载均衡建立在现有网络结构之上,它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量,加强网络数据处理能力,提高网络的灵活性和可用性。
5.接口设计
引进常用的XML数据交换方式,要适用于异构系统之间交换事务信息,全面支持使用开放式的方式协助整合信息,使信息在不同的应用系统间流畅互通,使不同系统之间的
升级会员 