基于通信運營商的學校云服務建設方案優化及探索

杭中士

摘要：教育信息化是實現教育現代化的關鍵，“新基建”思想及新技術的推出，迫使學校開拓新的信息化建設之路。云計算及云服務作為當前互聯網的熱點，也被逐步應用到學校教育教學管理中，進而實現安全管理的一體化，減少設備更新投入。該文結合學校實際現狀，對基于通信運營商的云服務的建設方案和思路進行分析總結，可為其他類似學校提供借鑒和經驗分享。

關鍵詞：運營商;云技術;服務器;職業學校

中圖分類號：G642.0? ?文獻標識碼：A

文章編號：1009-3044（2022）21-0030-02

開放科學（資源服務）標識碼（OSID）：

2021年教育部等六部門印發的《關于推進教育新型基礎設施建設構建高質量教育支撐體系的指導意見》指出，教育新型基礎設施是以新發展理念為引領，以信息化為主導，面向教育高質量發展需要，聚焦信息網絡、平臺體系、數字資源、智慧校園、創新應用、可信安全等方面的新型基礎設施體系[1]。《2022年職業教育重點工作》中提出，要啟動職業學校信息化標桿學校建設，推動職業教育數字化升級。江蘇省的職業學校經過近幾年的數字校園、智慧校園建設，基礎設施不斷完善，但隨著新標準及新技術的推出，使得職業學校的信息化建設有了新的方向，對中心機房、服務器等技術和投入要求較高的建設，已在逐步找尋更加完善的建設方案。

1 建設背景

揚州高等職業技術學校于2008年開始建設數字化校園，于2014年與揚州移動公司進行校企合作，開啟智慧校園建設，經過多年的穩步推進建設，在人員理念提升、基礎環境建設、軟件平臺建設及數字資源建設等方面取得了顯著成效，師生信息化素養與應用水平有了較大提升，學校先后被評為揚州市數字化校園、揚州市智慧課堂示范校、江蘇省職業學校智慧校園。然而，隨著硬件設備的不斷老化、業務系統的不斷增多（近40個虛擬機），學校的服務器、機房環境已經不能很好地支撐各類業務系統的正常運轉，如服務器刀片頻繁報警、精密空調需要經常清洗維護、UPS電池蓄電不足等。網絡中心機房作為各類業務系統正常運轉的核心陣地，任何一個環境節點出現故障都會迫使業務系統停止運行，嚴重影響了教育教學的正常開展。同時，受疫情大環境的影響，學校各類經費都在縮減，沒有足夠的經費和外部力量投入到設備的維修和更新上，且多數設備的配件已處于淘汰和停產狀態。

鑒于以上學校實際現狀，以及當下云技術的不斷成熟，學校迫切需要找到一條云服務的建設之路，將各類業務系統盡快遷移到云端，通過購買服務的形式實現云端托管，保證業務訪問不中斷。當下，提供云服務的廠商有很多，有技術企業（阿里云、百度云等），有設備廠商（深信服、華為等），有通信運營商（電信、移動、聯通等）[2]。學校通過多方調研，結合校企協作、本地化服務等實際需求，最終選擇揚州移動提供云服務支持。

2 建設原則

鑒于學校系統多、數據量大，同時考慮到網絡與信息安全，提出建設原則如下：

1）最小影響原則。系統與數據分析和轉移的時候應盡可能小地影響系統和網絡的正常運行，不能對現有網絡的運行和業務的正常提供產生明顯影響。

2）標準性原則。方案的設計與實施應依據國內、國際、等級化保護相關要求、相關標準進行，既要滿足學校系統的三級等保要求，又要考慮以后內網訪問及維護的便捷。

3）可擴展性原則。方案設計及技術文檔要有很好的規范性，便于學校管理人員后續的跟蹤和應用，對云平臺的配置、虛擬化數量、前端防護產品的配套，要有一定冗余性和可擴展性。

4）整體性原則。應從系統和網絡各個方面整體考慮，包括安全涉及的各個層面，避免由于遺漏或級別低造成未來的等保安全隱患。

5）可控性原則。方法和過程要在雙方認可的范圍之內，安全分析的進度要按照進度表進度的安排，在技術實施、產品提供、售后保障上都要求可控性。

6）保密性原則。因整個建設涉及師生的各類數據，所有參與項目人員需簽訂保密協議，對過程數據和結果數據均有保密義務，不得將測試數據及報告進行公開。

3 方案設計

3.1 方案架構

根據學校系統三級等保、日志留存、漏洞掃描等安全需求，以及訪問量、訪問策略和存儲空間的實際要求，設計移動云服務部署拓撲圖及設備清單如下：

3.2 方案說明

首先，接入層對應于學校的互聯網辦公區，在出口區域部署校內本地防火墻，作為出口的防火墻設備，實現出口的安全防護功能，滿足出口網絡的安全要求。云端應用層前根據系統三級等保要求部署一整套安全防護設備，能夠精確識別用戶、應用和內容，全面替代傳統防火墻，并具有全面的應用層安全防護功能和強勁的處理能力，從網絡入口處一站式智能化解決網絡層和應用層安全威脅，為網絡出口構建一套安全長城，保障內網用戶網絡接入和業務系統的安全問題，實現內外部網絡隔離和訪問控制，保護內部業務系統和用戶免受非法侵入。

其次，在匯聚層，通過移動機房接入交換機部署雙機雙專線，確保線路可靠性、穩定性、和冗余性。通過移動的雙專線，將本地網絡與云上主機組成新型內網架構，在較大程度上減少對校內師生日常訪問的干擾。

在應用層，采用揚州本地VM資源池上云形式，時延、穩定性和擴展性可有效得到保障。所有公網訪問流量必須經過云端三級等保安全資源池過濾后，方可進入云主機VPC。通過安全資源池中WAF產品對學校網站進行有效防護，對公網訪問過來的流量進行安全資源池過濾后再通過內網形式轉發給內網服務器。根據特定系統訪問需求（如內網專題網站），將對特定網站訪問的源地址進行限制，僅允許學校特定的出口IP進行訪問。對各類云主機進行定期整機備份，數據庫采用4臺互為備份的高性能服務器，并對數據庫硬盤部分進行按需備份，確保穩定性和可靠性，所有云主機均通過內網VPC線路和存儲資源池（云硬盤）進行數據交互和調用。

最后，在運維管理區部署日志審計設備，對網絡邊界、重要網絡節點進行安全審計，審計覆蓋到每個用戶，審計記錄包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息。對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋，審計記錄留存180天以上且不中斷。

4 方案優勢

4.1 構建立體化防護體系

通過在云上出口部署防火墻、入侵防御等安全設備，提供L2-L7層各類威脅的檢測和防護，基于事前、事中、事后全過程設計，通過防火墻實現網端聯動：事前風險預知、事中有效防御，以及事后持續檢測和快速響應，為業務系統提供全程的安全保護能力，讓安全更簡單更有效。

4.2 實現規范化審計與管理

通過云端日志審計系統，能夠實時不間斷地采集匯聚不同廠商不同種類的安全設備、網絡設備、主機、操作系統和業務系統的日志信息，通過挖掘不同類型、來源于不同設備或系統的日志或安全事件之間可能存在的關聯關系，實現實時監控日志接入信息，協助網管員進行安全分析及合規審計，及時、有效地發現異常安全事件及審計違規。通過漏洞掃描設備，實現了各類配置脆弱性（漏洞、WEB漏洞、弱口令、配置違規、變更）的智能發現，可以具有自動化的采集、分析和報告能力，實現集中有序運維。

4.3 運營商專線方便快捷

運營商提供云服務，一般同時提供自己運營的傳輸線路，在專線的租用、冗余、設備更新等方面有著先天優勢。中國移動2009年自建PTN傳輸網，和華為等知名廠家長期保持技術上密切合作，網絡設備支持平滑擴容升級，PTN環網保護組網已預留容量，組建專網更便于網絡擴容升級，縱向網絡電路和橫向網絡電路支持平滑升級至100G帶寬[3]。省級主干線光纜實行1+1保護，所有節點采用雙路由保護，移動云本地資源池網絡時延低至2ms[4]，數據訪問響應快，同時，本地數據接管方便，突發情況響應及時。

5 建設成效

5.1 實現了高效可視的安全運維和風險處置

等保2.0的推出，對學校信息系統的三級等保提出了更高要求，系統的網絡環境、安全防護需要，根據標準需要不斷更新和投入。通過云端服務，徹底解決了這個問題，云端安全設備可以根據不同的標準隨時進行切換和升級，并且使網絡安全

“看得見、看得懂”[5]，通過網絡風險可視化，將安全狀況直觀地呈現出來，實現更精準的風險分析及判斷。對于使用者而言，只需關心系統本身的漏洞和Bug，結合應用層的安全管理，最終實現更高效的安全運維和風險處置。

5.2 設備的運維成本降低，使用效率提高

通過云技術的應用，將本地數據和系統實現云端部署，大大降低了維護的人力和財力。以往，本地硬件設備的老化需要不斷地投入和維保，而作為一所學校，專業級的中心機房維護成本太高，技術力量跟不上。云端部署后，將專業的事交給專業的人做，作為學校，通過花少量的錢購買適合的服務，不用過多地去關注底層的架構和技術層的維護，真正把更多的時間用在信息化的應用上，按照“需求牽引、應用為王、成熟先上、技術保障”工作原則，真正作信息化應用的主人，享受信息化帶給教育教學的便捷和高效，進而提升全校師生信息化應用水平，推動學校數字化升級。

參考文獻：

[1] 胡少云.新基建環境下智慧校園場景創新與應用[J].智能建筑，2021（1）：29-31.

[2] 曾善檑，俞高明，姚建昌，等.基于阿里云的廣電云平臺本地化部署[J].中國有線電視，2021（10）：1009-1012.

[3] 周江.面向5G的分層次分布式云服務系統資源優化調度與分配[D].成都：電子科技大學，2015.

[4] 郭建康.基于超融合架構的學校云數據中心建設和應用[J].信息與電腦（理論版），2018（17）：98-100.

[5] 葛玉軍.職業學校智慧校園建設經驗分享――以南通衛生高等職業技術學校為例[J].電腦知識與技術，2020，16（12）：32-33.

【通聯編輯：朱寶貴】