小金教工程總體技術(shù)架構(gòu)設(shè)計

種連榮，王倩宜，劉啟新，歐陽榮彬，宋式斌

（1.北京大學(xué)，北京 100871；1.清華大學(xué)，北京 100084）

小金教工程確立了“加強頂層設(shè)計，協(xié)調(diào)全局發(fā)展；強調(diào)服務(wù)導(dǎo)向，堅持應(yīng)用驅(qū)動；整合基礎(chǔ)設(shè)施，確保穩(wěn)定運行；統(tǒng)一技術(shù)架構(gòu)，保證持續(xù)發(fā)展”的建設(shè)原則，并根據(jù)此原則對建設(shè)內(nèi)容進(jìn)行全局規(guī)劃和整體設(shè)計。為了確保在小金教工程建設(shè)中對人力資源、系統(tǒng)資源、信息資源、空間資源和經(jīng)費資源進(jìn)行有效整合，并且充分考慮到應(yīng)用集成和信息集成的要求，保障小金教工程建設(shè)健康、穩(wěn)定、持續(xù)地發(fā)展，因此需要對技術(shù)架構(gòu)、基礎(chǔ)設(shè)施、運維服務(wù)、安全保障和標(biāo)準(zhǔn)規(guī)范等基礎(chǔ)性工作進(jìn)行統(tǒng)一整體的規(guī)劃與設(shè)計。

一、設(shè)計目標(biāo)

小金教工程總體技術(shù)架構(gòu)設(shè)計的目標(biāo)是：以小金教工程總體設(shè)計方案提出的 “以信息資源建設(shè)與共享為核心，以構(gòu)建統(tǒng)一的基礎(chǔ)保障環(huán)境為基礎(chǔ)，以整合教育政務(wù)應(yīng)用與服務(wù)系統(tǒng)為突破口，以健全教育服務(wù)與監(jiān)管業(yè)務(wù)信息化管理與運行機制為保障”為指導(dǎo)思想，建立統(tǒng)一規(guī)劃的技術(shù)架構(gòu)，建設(shè)統(tǒng)一運行的基礎(chǔ)設(shè)施平臺，為各類信息系統(tǒng)和用戶提供完整的運行環(huán)境和技術(shù)支持服務(wù)體系。保證信息資源、服務(wù)資源、信息系統(tǒng)、基礎(chǔ)設(shè)施和安全體系等各要素之間構(gòu)成一個有效的整體，方便信息的交換和共享，消除資源建設(shè)的無序和重復(fù)，推動信息系統(tǒng)的集成和整合，保障基礎(chǔ)運行環(huán)境的安全和穩(wěn)定，提升技術(shù)支持和運維服務(wù)的水平和質(zhì)量。

1.建立統(tǒng)一規(guī)劃的技術(shù)架構(gòu)。分離業(yè)務(wù)與技術(shù)的相關(guān)性，確定信息系統(tǒng)的技術(shù)分層與各層的技術(shù)路線，建立信息系統(tǒng)開發(fā)遵循的統(tǒng)一技術(shù)規(guī)范，指導(dǎo)各信息系統(tǒng)的建設(shè)實施，使信息系統(tǒng)易于集成整合、升級擴展，使數(shù)據(jù)易于互聯(lián)互通、管理維護(hù)。

2.建設(shè)統(tǒng)一運行的基礎(chǔ)設(shè)施。整合原有基礎(chǔ)設(shè)施，建設(shè)統(tǒng)一的網(wǎng)絡(luò)平臺，構(gòu)建統(tǒng)一的數(shù)據(jù)中心，提供統(tǒng)一的機房、服務(wù)器、存儲資源，建立統(tǒng)一的容災(zāi)備份體系，為整個小金教工程提供統(tǒng)一的運行服務(wù)基礎(chǔ)設(shè)施。

3.建立統(tǒng)一的運維服務(wù)體系。建立科學(xué)有效地融合組織、制度、流程和技術(shù)的運維服務(wù)體系，建立一支專門的技術(shù)服務(wù)隊伍，制訂規(guī)范的信息系統(tǒng)管理制度，為小金教工程的順利運行和應(yīng)用提供管理和服務(wù)保障。

4.建立全面的安全保障體系。建立多層次的安全防范措施和行之有效的信息安全管理制度和流程規(guī)范，形成全面的安全保障體系，為信息系統(tǒng)的安全穩(wěn)定運行提供可靠、可控、可信、可查的安全環(huán)境。

二、總體框架

小金教工程的總體技術(shù)設(shè)計框架以教育管理基礎(chǔ)數(shù)據(jù)庫為基礎(chǔ)，以教育服務(wù)與監(jiān)管的各項業(yè)務(wù)系統(tǒng)為主干，以支撐教育服務(wù)與監(jiān)管決策為目標(biāo)，以標(biāo)準(zhǔn)規(guī)范和安全體系為保障，以統(tǒng)一技術(shù)架構(gòu)為指導(dǎo)，以教育信息網(wǎng)絡(luò)和基礎(chǔ)設(shè)施為紐帶，形成互聯(lián)互通、貫穿上下的教育政務(wù)管理、決策支持和社會服務(wù)信息化體系。

圖1 技術(shù)架構(gòu)和基礎(chǔ)設(shè)施規(guī)劃總體框架

總體框架主要由技術(shù)架構(gòu)、硬件基礎(chǔ)設(shè)施和安全保障體系、技術(shù)支持與運行維護(hù)體系等幾個部分組成，其中的技術(shù)支持與運行維護(hù)體系是系統(tǒng)建設(shè)和運行的基礎(chǔ)。

1.技術(shù)架構(gòu)設(shè)計：技術(shù)架構(gòu)包括數(shù)據(jù)架構(gòu)、應(yīng)用架構(gòu)和軟件架構(gòu)三個部分。通過統(tǒng)一的技術(shù)架構(gòu)，配合相應(yīng)支撐軟件，使信息系統(tǒng)易于集成整合、易于升級擴展、易于運行維護(hù)，減少不必要的軟硬件投資，提高信息資源的應(yīng)用能力。

2.基礎(chǔ)設(shè)施方案：基礎(chǔ)設(shè)施方案包括機房、網(wǎng)絡(luò)、服務(wù)器和存儲備份四個方面的規(guī)劃和設(shè)計。基礎(chǔ)設(shè)施的建設(shè)按照“統(tǒng)一規(guī)劃，分步實施；安全可靠，穩(wěn)定高效；技術(shù)先進(jìn)，資源充足；利于擴展，方便實施；核心冗余，優(yōu)質(zhì)保障”的原則設(shè)計，為小金教工程提供運行基礎(chǔ)環(huán)境。

3.安全保障設(shè)計：安全保障設(shè)計包括物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)安全、應(yīng)用安全和終端安全等不同層次的安全防范體系的規(guī)劃與設(shè)計，針對信息網(wǎng)絡(luò)安全的風(fēng)險，從安全技術(shù)、管理制度和監(jiān)控保障等多個角度建立行之有效的信息安全管理制度和流程規(guī)范，建立一套完整的安全保障體系。

4.技術(shù)支持和運行維護(hù)方案：技術(shù)支持和運行維護(hù)方案包括隊伍、機制和技術(shù)支撐平臺的建設(shè)，保障小金教工程的穩(wěn)定、高效、安全運行。

三、技術(shù)架構(gòu)

統(tǒng)一的技術(shù)架構(gòu)可以使信息系統(tǒng)易于集成整合、易于升級擴展、易于運行維護(hù)，減少不必要的軟硬件投資，提高信息資源的應(yīng)用能力。技術(shù)架構(gòu)遵循數(shù)據(jù)共享、用戶統(tǒng)一、公共服務(wù)平臺統(tǒng)一和應(yīng)用整合的建設(shè)原則，包括統(tǒng)一數(shù)據(jù)架構(gòu)、統(tǒng)一應(yīng)用架構(gòu)、統(tǒng)一軟件架構(gòu)。

1.數(shù)據(jù)架構(gòu)

數(shù)據(jù)是小金教工程的基礎(chǔ)和支撐。在統(tǒng)一數(shù)據(jù)架構(gòu)中，要做到數(shù)據(jù)標(biāo)準(zhǔn)統(tǒng)一、集中存儲、邏輯獨立、分級授權(quán)管理，并且提供有效的數(shù)據(jù)訪問和數(shù)據(jù)交換共享手段，使得數(shù)據(jù)與應(yīng)用的關(guān)系更清晰，數(shù)據(jù)的意義更加明確，數(shù)據(jù)之間的區(qū)分和關(guān)聯(lián)更加合理，保證數(shù)據(jù)的整體性、一致性、完整性，提高使用效率。

圖2 數(shù)據(jù)架構(gòu)

數(shù)據(jù)架構(gòu)采用二級層次模式。第一層是公共數(shù)據(jù)，包含整個體系的核心基礎(chǔ)數(shù)據(jù)集、公共代碼數(shù)據(jù)，以及為決策支持而裝載到數(shù)據(jù)倉庫中的數(shù)據(jù)。公共數(shù)據(jù)遵循統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)，提供給所有信息系統(tǒng)共享。第二層是應(yīng)用數(shù)據(jù)，這些數(shù)據(jù)由信息系統(tǒng)產(chǎn)生，或者與信息系統(tǒng)關(guān)聯(lián)緊密。應(yīng)用數(shù)據(jù)的結(jié)構(gòu)設(shè)計遵循統(tǒng)一的規(guī)范，與公共數(shù)據(jù)有關(guān)的數(shù)據(jù)需要嚴(yán)格遵循統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)。公共數(shù)據(jù)與應(yīng)用數(shù)據(jù)之間，或者是應(yīng)用數(shù)據(jù)與應(yīng)用數(shù)據(jù)之間，通過數(shù)據(jù)交換的模式互通有無。此外，公共數(shù)據(jù)還通過數(shù)據(jù)服務(wù)平臺，為其他系統(tǒng)或用戶提供數(shù)據(jù)的查詢檢索等服務(wù)。

依據(jù)小金教工程總體規(guī)劃和設(shè)計，公共數(shù)據(jù)架構(gòu)采用如下原則：物理存儲統(tǒng)一，邏輯數(shù)據(jù)獨立，數(shù)據(jù)管理分級，數(shù)據(jù)服務(wù)集成。整體數(shù)據(jù)的物理存儲采用統(tǒng)一結(jié)構(gòu)，并且存儲在統(tǒng)一構(gòu)建的存儲設(shè)備上，并由統(tǒng)一的管理系統(tǒng)進(jìn)行管理。各數(shù)據(jù)在邏輯上是相對獨立的。各信息系統(tǒng)擁有各自獨立的數(shù)據(jù)庫，獨立對自身的數(shù)據(jù)進(jìn)行管理。應(yīng)用之間的數(shù)據(jù)互換通過數(shù)據(jù)交換平臺進(jìn)行。從數(shù)據(jù)的完整生命周期來看，數(shù)據(jù)的管理是分級進(jìn)行的。不同類型的數(shù)據(jù)，在不同的階段，由不同級別的部門進(jìn)行維護(hù)和管理。數(shù)據(jù)的非管理方，通過申請，使用相應(yīng)的數(shù)據(jù)。在對外的數(shù)據(jù)服務(wù)上，應(yīng)基于公共數(shù)據(jù)庫和數(shù)據(jù)倉庫中的數(shù)據(jù)，以用戶需求為主線整合與提取數(shù)據(jù)，構(gòu)建集成的、信息完備的、個性化的數(shù)據(jù)查詢、檢索、統(tǒng)計服務(wù)。

2.應(yīng)用架構(gòu)

統(tǒng)一應(yīng)用架構(gòu)為信息系統(tǒng)建設(shè)提供安全、穩(wěn)定、合理、高效、易于整合、易于交互、易于共享的層次化開發(fā)技術(shù)框架，從而提高信息系統(tǒng)分析、設(shè)計、運行、維護(hù)各個環(huán)節(jié)的效率，有利于提高信息系統(tǒng)的延續(xù)性、集成性、擴展性、安全性、穩(wěn)定性和執(zhí)行效率。對信息系統(tǒng)開發(fā)而言，可以提高開發(fā)效率，確保開發(fā)質(zhì)量；對運行服務(wù)而言，使得維護(hù)和管理所需的技術(shù)更加單一化，有利于降低運維成本，提高運行服務(wù)質(zhì)量。

應(yīng)用架構(gòu)表述了整個信息化體系中各信息系統(tǒng)、平臺之間的關(guān)聯(lián)關(guān)系、關(guān)聯(lián)方式等。良好的應(yīng)用架構(gòu)，能為信息系統(tǒng)的設(shè)計與實現(xiàn)提供合理、高效的模板，據(jù)此模板建設(shè)而成的系統(tǒng)，更加容易集成，系統(tǒng)間信息易于交換，內(nèi)容易于整合，摒棄信息孤島，提高信息資源的利用率，提高系統(tǒng)本身開發(fā)效率和質(zhì)量，確保信息系統(tǒng)安全、穩(wěn)定、高效地運行，且易于維護(hù)和管理。小金教工程應(yīng)用架構(gòu)設(shè)計采用的是“數(shù)據(jù)共享、公共服務(wù)平臺統(tǒng)一、應(yīng)用松散耦合”的架構(gòu)模型。

圖3 應(yīng)用架構(gòu)

支撐軟件和規(guī)范為各信息系統(tǒng)提供必要的基礎(chǔ)軟件、基礎(chǔ)服務(wù)平臺、公共服務(wù)軟件，包括統(tǒng)一用戶管理、用戶身份認(rèn)證與單點登錄服務(wù)、數(shù)據(jù)交換服務(wù)等。信息系統(tǒng)嚴(yán)格遵循相關(guān)的軟件、平臺應(yīng)用規(guī)范，避免重復(fù)投資，避免接口的不規(guī)范和不統(tǒng)一。信息系統(tǒng)采用松散耦合的架構(gòu)，各信息系統(tǒng)相對獨立，在必要時完全可以獨立運行。信息系統(tǒng)與信息系統(tǒng)之間，信息系統(tǒng)與公共服務(wù)平臺之間，通過服務(wù)的方式進(jìn)行相互的關(guān)聯(lián)調(diào)用。信息門戶通過服務(wù)調(diào)用的方式與各信息系統(tǒng)進(jìn)行集成整合，以應(yīng)用集成和局部信息集成的模式運行，一方面作為各信息系統(tǒng)的導(dǎo)航，另一方面作為信息查詢的集中展示。信息系統(tǒng)需要接入信息門戶，以信息門戶為信息集成展示平臺，為用戶提供集成的、整合的、個性化的、主動的信息服務(wù)。

3.軟件架構(gòu)

軟件架構(gòu)表述了每個信息系統(tǒng)的構(gòu)成模式，以及系統(tǒng)各模塊的關(guān)聯(lián)方式。統(tǒng)一軟件架構(gòu)，將使信息系統(tǒng)具有良好的延續(xù)性、可集成性、可擴展性，有利于提高軟件系統(tǒng)的安全性、穩(wěn)定性、執(zhí)行效率。同時，對開發(fā)而言，相同的軟件架構(gòu)，可以提高開發(fā)效率，確保開發(fā)質(zhì)量；對運行服務(wù)而言，使得維護(hù)和管理所需的技術(shù)更加單一化，有利于降低運維成本，提高運行服務(wù)質(zhì)量。

小金教工程信息系統(tǒng)涉及的功能、數(shù)據(jù)、業(yè)務(wù)繁多，開發(fā)者數(shù)量眾多且層次不同，為了保證這些信息系統(tǒng)能夠具有較好的開發(fā)支持能力、良好的部署和升級能力、良好的系統(tǒng)延展性，新系統(tǒng)的軟件架構(gòu)采用分層設(shè)計方法，并且盡可能遵循國家、國際及工業(yè)標(biāo)準(zhǔn)和規(guī)范。

分層設(shè)計方法是將組件分隔到不同的層中，每一層中的組件應(yīng)保持內(nèi)聚性，并且應(yīng)大致在同一級別抽象，每一層都應(yīng)與它下面的各層保持松散耦合。分層軟件設(shè)計不得跨層調(diào)用，每一層都只與直接相臨的層進(jìn)行通信；上面各層都建立在下層的基礎(chǔ)上，隱藏下層的信息并為上層提供服務(wù)；各層要封裝自己的實現(xiàn)，向上一層提供訪問接口；各層支持分布式的部署，即可部署于不同的容器實例中；各層進(jìn)行通用分層描述。

信息系統(tǒng)在構(gòu)建的時候，要遵循分層設(shè)計、逐層開發(fā)的原則，明確各層的界限，制定清晰規(guī)范的接口，以便提高開發(fā)的效率和系統(tǒng)的穩(wěn)定性，也為系統(tǒng)的分步實施打下堅實的基礎(chǔ)。

四、基礎(chǔ)設(shè)施架構(gòu)

基礎(chǔ)設(shè)施是整個小金教工程的基礎(chǔ)條件和保障環(huán)境，為小金教工程提供穩(wěn)定、高效、易管理、可擴展的運行環(huán)境，保障各信息系統(tǒng)能夠穩(wěn)定運行。基礎(chǔ)設(shè)施按照統(tǒng)籌規(guī)劃，統(tǒng)一建設(shè)，統(tǒng)一管理，集中構(gòu)建的原則，建立統(tǒng)一的數(shù)據(jù)中心，提供專業(yè)機房、服務(wù)器和存儲資源；建立統(tǒng)一的容災(zāi)備份體系，以及統(tǒng)一的運行維護(hù)服務(wù)體系；構(gòu)建安全、穩(wěn)定、合理、高效的信息化基礎(chǔ)保障環(huán)境。

基礎(chǔ)設(shè)施可以劃分為軟件公共平臺和硬件基礎(chǔ)設(shè)施，軟件公共平臺包括基礎(chǔ)軟件、公共中間件、安全支撐軟件等支撐軟件，硬件基礎(chǔ)設(shè)施包括服務(wù)器群組、網(wǎng)絡(luò)環(huán)境、存儲和備份、容災(zāi)系統(tǒng)、安全設(shè)施、機房環(huán)境等幾部分。各業(yè)務(wù)系統(tǒng)使用分類服務(wù)器群來支持運行，使用統(tǒng)一的存儲和網(wǎng)絡(luò)架構(gòu)、統(tǒng)一的機房基礎(chǔ)設(shè)施及容災(zāi)系統(tǒng)。

圖4 基礎(chǔ)設(shè)施總體框架

五、安全保障體系

安全保障體系是小金教工程建設(shè)可持續(xù)發(fā)展的有力保障。安全保障體系通過在物理、網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)、應(yīng)用、終端等多層次建立安全防范措施，構(gòu)建可控、可信、可查的安全環(huán)境，建立一套行之有效的信息安全管理制度和流程規(guī)范，實現(xiàn)嚴(yán)密、多渠道的安全控制，確保系統(tǒng)安全可靠，提高用戶對信息系統(tǒng)的信賴度。

通過對小金教信息資源規(guī)劃的分析，將小金教的信息系統(tǒng)劃分為三個安全區(qū)域：辦公區(qū)域、數(shù)據(jù)中心和網(wǎng)絡(luò)出口區(qū)域。辦公區(qū)域包括教育部的辦公用戶，重點是防病毒；數(shù)據(jù)中心區(qū)域包括信息系統(tǒng)的核心業(yè)務(wù)服務(wù)器、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路和網(wǎng)絡(luò)出口等，信息系統(tǒng)的安全保護(hù)等級以三級為主，防護(hù)重點是防病毒攻擊、防黑客篡改和防誤操作導(dǎo)致數(shù)據(jù)丟失，應(yīng)部署物理、網(wǎng)絡(luò)、主機、應(yīng)用各層面的安全措施；網(wǎng)絡(luò)出口區(qū)域以網(wǎng)絡(luò)邊界防護(hù)措施為主。安全保障體系的總體結(jié)構(gòu)如圖5所示。

圖5 安全保障體系的總體結(jié)構(gòu)

總體結(jié)構(gòu)覆蓋了等級保護(hù)三級基本要求中對網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全和管理安全的防護(hù)要求，以滿足信息系統(tǒng)全方位的安全保護(hù)需求。同時，由于信息安全的動態(tài)性，還需要建立安全風(fēng)險評估機制，在安全風(fēng)險評估的基礎(chǔ)上，調(diào)整和完善安全策略，改進(jìn)安全措施，以適應(yīng)新的安全需求，滿足信息系統(tǒng)安全等級保護(hù)的要求，保證長期、穩(wěn)定、可靠運行。

六、運行維護(hù)服務(wù)體系

建立一套科學(xué)有效的融合組織、制度、流程和技術(shù)的運維服務(wù)體系，為小金教工程的順利運行和應(yīng)用提供管理和服務(wù)保障。

圖6 運維服務(wù)體系框架

運維服務(wù)體系框架由IT服務(wù)管理、IT基礎(chǔ)設(shè)施管理、運維管理流程與規(guī)范、運維支撐系統(tǒng)、組織機構(gòu)與人員隊伍五個部分構(gòu)成。

IT服務(wù)管理以流程為向?qū)А⒁杂脩魹橹行模ㄟ^協(xié)商服務(wù)水平，持續(xù)優(yōu)化服務(wù)流程，提升服務(wù)水平，保障IT服務(wù)的可用性、可靠性和安全性，為業(yè)務(wù)用戶提供可靠的IT服務(wù)，提高業(yè)務(wù)滿意度。IT基礎(chǔ)設(shè)施運行管理包含了IT基礎(chǔ)架構(gòu)規(guī)劃與設(shè)計、硬件基礎(chǔ)環(huán)境管理、支撐軟件管理、數(shù)據(jù)管理、應(yīng)用管理、運行監(jiān)控、文檔管理、資產(chǎn)管理、安全管理等方面。流程與規(guī)范的建設(shè)是運維服務(wù)體系中的一個重要環(huán)節(jié)。完善的工作流程與工作規(guī)范是運維服務(wù)的保障，它使得用戶及管理人員管理使用系統(tǒng)時有章可循，保障運維服務(wù)能夠有序進(jìn)行。建立面向運行維護(hù)人員和技術(shù)支持人員的運行管理平臺，包括負(fù)責(zé)基礎(chǔ)設(shè)施和業(yè)務(wù)信息系統(tǒng)運行監(jiān)控的集中監(jiān)控管理平臺、負(fù)責(zé)向用戶提供支持服務(wù)的系統(tǒng)以及對基礎(chǔ)保障環(huán)境資源進(jìn)行管理的信息管理平臺。確定和規(guī)范運維管理體系的運行管理方式和與之相配套的機構(gòu)設(shè)置、人員崗位職責(zé)安排。

七、結(jié)束語

在小金教工程中，通過建立統(tǒng)一規(guī)劃的技術(shù)架構(gòu)，建設(shè)統(tǒng)一運行的基礎(chǔ)設(shè)施平臺、安全運行環(huán)境和技術(shù)支持服務(wù)體系，可以加強信息資源的有效利用，完善信息安全保密措施，規(guī)范安全管理服務(wù)，保障信息系統(tǒng)和信息資源的安全，并實現(xiàn)統(tǒng)籌規(guī)劃基礎(chǔ)運行環(huán)境和資源配置，優(yōu)化基礎(chǔ)設(shè)施綜合布局，減少投資和管理成本。 （編輯：王曉明）