導(dǎo)語：如何才能寫好一篇高校信息安全運維，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公文云整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：高校信息化；IT運維外包；風(fēng)險管理

中圖分類號：TP393 文獻標(biāo)志碼：A 文章編號：1673-8454（2014）07-0014-03

一、高校信息化建設(shè)和IT運維現(xiàn)狀

近年來，隨著信息技術(shù)的飛速發(fā)展和日益普及，信息化浪潮給教育帶來了革命性影響，推動著教育領(lǐng)域不斷創(chuàng)新發(fā)展。2010年，我國頒布的《國家中長期教育改革和發(fā)展規(guī)劃綱要（2010-2020年）》提出推動信息技術(shù)與高等教育深度融合，創(chuàng)新人才培養(yǎng)模式。高校信息化部門也在為學(xué)生和教師提供更高效率的各類信息化服務(wù)平臺和安全穩(wěn)定的網(wǎng)絡(luò)接入環(huán)境而努力創(chuàng)新，深刻影響了傳統(tǒng)的教學(xué)科研和學(xué)校的綜合管理模式。同時，國家對教育信息化的重視程度和投入在逐年增加，校園信息化建設(shè)也得到了高校的普遍重視和重點投入。

我國高校信息化建設(shè)經(jīng)歷了二十多年的歷史，在網(wǎng)絡(luò)基礎(chǔ)設(shè)施硬件建設(shè)方面同國外高校拉近了距離，很多學(xué)校都達到了同等甚至更高水平。雖然硬件條件上去了，但是很多高校信息化應(yīng)用水平仍不理想，在信息化服務(wù)能力和IT運維管理上差異較大，普遍存在著重硬件輕軟件，重建設(shè)輕維護，重建設(shè)輕服務(wù)等現(xiàn)象。部分實力雄厚的理工科學(xué)校和綜合性大學(xué)通過自身的力量可以完成基礎(chǔ)的信息化建設(shè)和IT運維工作，但是對于大量的普通高等院校，由于受到技術(shù)、經(jīng)費以及人員的限制，完全利用自身的力量來建設(shè)和運維比較困難，無法滿足廣大師生的實際需求。

二、IT運維外包的思路和安全風(fēng)險

信息技術(shù)日新月異，如何管理復(fù)雜的、高技術(shù)含量的IT基礎(chǔ)設(shè)施，應(yīng)對靈活多變的IT服務(wù)需求，為學(xué)校廣大師生提供良好的IT服務(wù)支持？如何降低運維成本的同時提高管理水平和效率，并保證服務(wù)的質(zhì)量，提升師生對IT服務(wù)的滿意度？如何提高運維的靈活性和響應(yīng)速度，迎接信息化帶來的各類挑戰(zhàn)，提高學(xué)校的核心競爭力？這些問題是所有高校所面臨的共同難題，困擾著各校的信息化管理部門，而引入IT運維外包服務(wù)正是一種經(jīng)實踐證明比較好的解決思路。通過將IT運維服務(wù)外包，高校可以把更多精力投入到教學(xué)和科研中去。并且以較低成本提供專業(yè)化的IT服務(wù)。

目前大部分高校的信息化人員編制十分有限，并且對新進人員的學(xué)歷要求很高，而從事一般的IT工作并不需要非常高的學(xué)歷。受待遇和未來發(fā)展因素影響，高校信息化部門很難長期留住高水平的IT人才。通過外包服務(wù)，由公司選派有相應(yīng)能力的人員長期協(xié)助學(xué)校從事相應(yīng)工作，學(xué)校不用擔(dān)心其待遇及去留等問題，保持了IT運維工作人員的相對穩(wěn)定。

上海交通大學(xué)作為一所“綜合性、研究型、國際化”的全國重點大學(xué)，校內(nèi)信息化部門以建設(shè)數(shù)字大學(xué)為目標(biāo)，為校內(nèi)五萬多師生員工提供各類專業(yè)的IT服務(wù)。在近十幾年的信息化建設(shè)和日常網(wǎng)絡(luò)及應(yīng)用信息系統(tǒng)運維過程中，大量使用了外包服務(wù)，在人員、資金、制度上都進行了相應(yīng)保障，通過全面的發(fā)現(xiàn)及確認(rèn)外包風(fēng)險，進行分析、評估，對可能引發(fā)的安全風(fēng)險進行了一系列有益的深入探索和實踐，從而有效地控制風(fēng)險。

三、學(xué)生團隊參與用戶服務(wù)外包的風(fēng)險控制

用戶服務(wù)管理是IT運維的重要組成部分，上海交通大學(xué)從2000年開始，在學(xué)生宿舍網(wǎng)的管理過程中，引入了學(xué)生團隊來為學(xué)生宿舍區(qū)三萬多用戶提供接入用戶網(wǎng)絡(luò)服務(wù)。學(xué)校有關(guān)部門提供指導(dǎo)，建立一個以學(xué)生自我管理、自我服務(wù)為主體的學(xué)生網(wǎng)絡(luò)管理體系，發(fā)揮學(xué)生網(wǎng)管的作用，調(diào)動其積極性來參與網(wǎng)絡(luò)維護工作，為學(xué)生打造一個良好的實踐與學(xué)習(xí)環(huán)境。學(xué)生網(wǎng)管從作為學(xué)生的實際需求出發(fā)，幫助信息化部門提高了網(wǎng)絡(luò)故障的應(yīng)急響應(yīng)和處理能力, 做了許多有意義的日常用戶服務(wù)工作，但學(xué)生們畢竟缺少實踐經(jīng)驗，平時日常學(xué)習(xí)和科研活動也占用了很多時間。兼職的網(wǎng)絡(luò)維護工作如何來提高用戶滿意度？服務(wù)質(zhì)量和服務(wù)能力如何控制？這都需要加強管理和組織學(xué)習(xí)培訓(xùn)，通過完善的制度建設(shè)來降低運維工作中的風(fēng)險。

面對繁雜的學(xué)生寢室樓網(wǎng)絡(luò)維護工作，建立了一套完善的體系來解決學(xué)生們平時遇到的各種網(wǎng)絡(luò)問題。從宿舍樓內(nèi)學(xué)生網(wǎng)管的工作，到學(xué)生網(wǎng)管部辦公室客服咨詢的解答，再到技術(shù)報修組的報修受理以及上門服務(wù)，這其中的每一個環(huán)節(jié)都有嚴(yán)格而具體的要求來規(guī)范他們的服務(wù)，確保服務(wù)質(zhì)量讓學(xué)生們滿意。當(dāng)然，維護龐大的校園網(wǎng)絡(luò)單靠人力是遠遠不夠的，因此學(xué)生網(wǎng)管自行開發(fā)了一套綜合的內(nèi)部技術(shù)支持系統(tǒng)。有了它，學(xué)生網(wǎng)管員們不僅可以方便地辦理各種基礎(chǔ)網(wǎng)絡(luò)業(yè)務(wù)，還可以實時查看各個終端用戶的網(wǎng)絡(luò)運行狀態(tài)，以及交換機端口信息等，及時發(fā)現(xiàn)問題并針對性處理。

平時宿舍樓內(nèi)瑣碎的網(wǎng)絡(luò)問題處理是由樓內(nèi)的學(xué)生網(wǎng)管來完成的，每一位網(wǎng)管員都被要求做到盡全力滿足用戶正常網(wǎng)絡(luò)接入需要，熱情耐心解答用戶的任何疑問，在技術(shù)層面上指導(dǎo)用戶完成一些基本操作。每位學(xué)生網(wǎng)管在閑暇之余都被要求多了解網(wǎng)絡(luò)技術(shù)知識，參加內(nèi)部培訓(xùn)，掌握常見問題的處理方法，在技術(shù)上要讓用戶信得過。

技術(shù)報修組專門負(fù)責(zé)解決樓內(nèi)網(wǎng)管處理不了的問題，由網(wǎng)管員中的技術(shù)骨干組成。他們接受過專門的技能培訓(xùn)，配置專業(yè)的網(wǎng)絡(luò)維修工具，在辦公室值班人員所給予的遠程配合下，幾乎可以解決大部分學(xué)生所碰到的網(wǎng)絡(luò)問題，如果還不能解決則協(xié)調(diào)學(xué)校網(wǎng)絡(luò)運維部門進一步處理。同時也要求學(xué)生網(wǎng)管在解決問題后把全過程書面化，為以后別人的工作處理提供經(jīng)驗積累。在學(xué)生團隊中的技術(shù)骨干由于長期和學(xué)校信息化部門溝通，其能力會得到認(rèn)可，在畢業(yè)后也可以擇優(yōu)直接進入高校的IT運維隊伍，更快的進入工作角色。

四、信息系統(tǒng)運維外包的風(fēng)險管理

高校大量的信息系統(tǒng)都來自于直接采購或者由外包廠商定制化開發(fā)完成，完全由自己主導(dǎo)開發(fā)的大規(guī)模系統(tǒng)已經(jīng)越來越少。常見的信息系統(tǒng)包括人事系統(tǒng)、科研系統(tǒng)、財務(wù)系統(tǒng)、學(xué)工系統(tǒng)、教務(wù)系統(tǒng)、檔案系統(tǒng)、校園一卡通系統(tǒng)、公共數(shù)據(jù)平臺等，不少高校還將校內(nèi)各院系部門網(wǎng)站交由外包公司設(shè)計制作和維護。在這些信息系統(tǒng)的實施完成之后，日常運行過程中不可避免的會出現(xiàn)各種問題，高校IT運維部門可以解決部分維護工作，但是很多專業(yè)化程度較高的系統(tǒng)維護工作還是不可避免的要依賴外包協(xié)助完成。

雖然很多針對高校 IT 市場的外包服務(wù)商在信息系統(tǒng)外包過程中獲得了成功，并積累了豐富的高校行業(yè)經(jīng)驗，但也暴露出不少的安全風(fēng)險。不同的外包公司之間技術(shù)實力和管理水平參差不齊，廠商技術(shù)支持人員穩(wěn)定性不高是普遍遇到的問題，這就要求高校需慎重選擇合作方，簽訂全面詳細(xì)的合同進一步加以約束，要求通過嚴(yán)格的崗位培訓(xùn)和業(yè)務(wù)培訓(xùn)，提高外包技術(shù)人員的能力。關(guān)鍵項目實施和后期維護期間，要求外包公司核心技術(shù)人員常駐學(xué)校，保證項目按要求順利完工，并穩(wěn)定運行。前期項目開發(fā)和后期運維中遇到的問題，需要提交給研發(fā)解決的，要有順暢的正式渠道提交與反饋，限時解決或改進。在每項子系統(tǒng)投入運行前，完成對使用該系統(tǒng)的校內(nèi)用戶培訓(xùn)工作；建立完整的客戶培訓(xùn)體系，為高校提供相關(guān)的技術(shù)培訓(xùn)和業(yè)務(wù)培訓(xùn)，并提供相應(yīng)的培訓(xùn)技術(shù)資料。

由于很多外包公司開發(fā)的各類信息系統(tǒng)廣泛應(yīng)用在多所高校，一旦某所高校的系統(tǒng)被發(fā)現(xiàn)有嚴(yán)重的安全漏洞，那么會迅速波及到其他高校，引發(fā)嚴(yán)重的安全事件。在教務(wù)系統(tǒng)、學(xué)工系統(tǒng)等方面，這類安全事件屢見不鮮，給很多學(xué)校都造成了較大損失。在信息系統(tǒng)維護外包過程中，由于項目需要，服務(wù)商的技術(shù)人員可以輕易地獲取學(xué)校的各類師生個人信息、財務(wù)信息、科研信息等，這些敏感信息如果發(fā)生泄漏也會給高校帶來重大損失。

高校自身要建立完整且獨立的信息安全保障體系，在整個IT運維過程中保護學(xué)校的重要信息資產(chǎn)?？紤]到大部分高校都缺乏專業(yè)信息安全運維人員，使用專業(yè)安全公司提供的安全服務(wù)也成為必然的選擇。同時利用高校自身的信息安全科研優(yōu)勢以及和國內(nèi)外安全研究機構(gòu)的密切聯(lián)系，及時獲取最新安全資訊，對外包引發(fā)的安全風(fēng)險實時監(jiān)控，并快速響應(yīng)。

五、IT運維監(jiān)控外包的風(fēng)險

IT運維監(jiān)控外包在很多高校廣泛使用，但也由此帶來了一系列安全風(fēng)險。外包公司為了追求利潤最大化，勢必考慮降低成本，這樣就給外派到學(xué)校工作的人員業(yè)務(wù)素質(zhì)和穩(wěn)定性帶來了巨大沖擊。頻繁變動且能力不足的外包人員給高校IT運維必然帶來了可預(yù)見的安全運營風(fēng)險，和高校的固有核心利益產(chǎn)生了沖突。對此高校要進一步完善和外包公司的合同細(xì)節(jié)，明確保障服務(wù)質(zhì)量和要求服務(wù)人員的相對穩(wěn)定性，并簽訂專門的SLA（Service Level Agreements）服務(wù)水平協(xié)議。同時高校自身也要不斷提升專業(yè)IT運維能力，即便采用了外包，也要建立管理和技術(shù)并重的內(nèi)部團隊，自己的人員要具備系統(tǒng)的IT運維管理能力，在程序設(shè)計開發(fā)、應(yīng)用信息系統(tǒng)維護、數(shù)據(jù)庫和服務(wù)器管理、網(wǎng)絡(luò)管理和安全運維方面都要培養(yǎng)自身的力量，不斷學(xué)習(xí)新技術(shù)，培養(yǎng)創(chuàng)新能力，對外包人員進行有效的監(jiān)督和管理，仔細(xì)傾聽來自教師學(xué)生的第一線業(yè)務(wù)需求，不能被外包公司所左右，從而降低安全運維風(fēng)險。

六、IT運維監(jiān)控平臺外包開發(fā)的風(fēng)險管理

IT運維監(jiān)控平臺對任何一所高校網(wǎng)絡(luò)管理人員來說都是必不可少的。我們沒有采取商業(yè)的管理監(jiān)控解決方案，主要是考慮到當(dāng)網(wǎng)絡(luò)和應(yīng)用發(fā)展到一定程度之后，其規(guī)模和復(fù)雜性決定了很難找到完全符合自身需求的方案。我們最終選擇了在開源的Zabbix監(jiān)控系統(tǒng)基礎(chǔ)上，采取外包給專業(yè)軟件公司的模式進行了大量的定制化開發(fā)來滿足實際運維需求。通過分布部署Agent采集點主動獲取各類監(jiān)控數(shù)據(jù)，涵蓋了學(xué)校數(shù)據(jù)中心使用的各類操作系統(tǒng)和虛擬化環(huán)境，也可以支持各大廠商的網(wǎng)絡(luò)交換路由設(shè)備管理，滿足了大規(guī)模網(wǎng)絡(luò)和服務(wù)器監(jiān)控需求。但是這條外包之路也同時存在著種種風(fēng)險，合作方的選擇不當(dāng)可能會導(dǎo)致項目的無法順利推進；軟件流程設(shè)計管理不當(dāng)也會引發(fā)開發(fā)周期變長，拖延系統(tǒng)的上線時間；大量不同設(shè)備的定制化開發(fā)需要投入更多資源，項目的成本控制也會直接影響合作方的開發(fā)人員投入力量；軟件平臺的漏洞會直接影響基礎(chǔ)IT運維體系的整體安全性；開發(fā)人員的流動性也給整個外包開發(fā)的質(zhì)量控制帶來了不確定因素；后期維護服務(wù)跟不上也會影響IT運維工作的長期可持續(xù)性。

關(guān)注到這些安全風(fēng)險，我們有針對性地采取了一系列措施。選擇開源監(jiān)控軟件作為系統(tǒng)底層平臺已經(jīng)適度降低了開發(fā)風(fēng)險，慎重的選擇具有資質(zhì)和經(jīng)驗的合作方來保證項目質(zhì)量。全過程參與功能需求分析和流程設(shè)計來控制整個開發(fā)周期的進度，進度過慢時要求合作方增加人力，進度過快時要求合作方保障代碼質(zhì)量。和外包方要建立順暢的溝通渠道，通過周報、月報和定期溝通交流，掌握對方工作進展，監(jiān)督管理實際開發(fā)進度是否和預(yù)期一致，投入是否充分，代碼質(zhì)量是否合格。通過要求規(guī)范全過程的技術(shù)開發(fā)文檔，保證了即使發(fā)生開發(fā)人員變更也可以快速完成新老交接。要求系統(tǒng)留有靈活的開放接口以提供良好的伸縮性和可擴展性，也可以在一定程度上規(guī)避兼容性風(fēng)險。在開發(fā)過程中和正式交付時都引入第三方專業(yè)安全人員進行安全評估和滲透測試，確保IT運維監(jiān)控系統(tǒng)自身的安全等級達到一定級別。通過詳細(xì)的開發(fā)合同對項目周期和合作雙方人員力量投入和項目進展時間節(jié)點進行了嚴(yán)格的約定，并事先就開發(fā)完成后的后期維護服務(wù)達成一致，保持長久合作關(guān)系。

七、結(jié)束語

信息安全技術(shù)一直在發(fā)展，攻防對抗在持續(xù)升級，各類安全風(fēng)險和挑戰(zhàn)始終存在，安全IT運維必然是一個長期動態(tài)的過程。作為有特長的信息網(wǎng)絡(luò)安全科研機構(gòu)和同時給數(shù)萬師生提供IT專業(yè)服務(wù)的部門，高校信息化團隊可以把實際安全經(jīng)驗和運維外包風(fēng)險管理工作相結(jié)合，加強配套安全監(jiān)管，從而走出一條具有自己特色的安全IT運維外包之路。

參考文獻：

[1]趙燦,杜,杜鵑.高校信息化建設(shè)項目外包采購管理的探討[J].中國教育信息化(高教職教),2011(5).

[2]蔣東興,宓泳,郭清順.高校信息化發(fā)展現(xiàn)狀與政策建議[J].中國教育信息化(高教職教),2009(8).

[3]何秀全.高校信息化中的IT外包及其風(fēng)險管理研究[D].上海外國語大學(xué) 2012年碩士學(xué)位論文.

[4]王左利.探討學(xué)生網(wǎng)管模式[J].中國教育網(wǎng)絡(luò),2009(3).

篇2

【 關(guān)鍵詞 】 高校；二級網(wǎng)站；安全；防護策略

【 中圖分類號 】 TP393 【 文獻標(biāo)識碼 】 A

A Study on Second-level Website Security in Colleges and Universities

Che Lu Zhang Huan-yuan Xia Ya-dong Li Yi -yong

（Network and Educational Technology Department， Shandong Agricultural University ShandongTai’an 271018）

【 Abstract 】 Recent years， the second-level website security incidents show an increasing tendency in colleges and universities. This kind of threats expands their attack range mainly through penetrating application layer， combining traditional layer attack. Aiming to guarantee the second-level website security in colleges and universities， this paper， through classification analysis on the characteristics of security threats， tries to build a collaborative work and co-supporting security defense system with the help of architecture optimization， code audit and security penetration test.

【 Keywords 】 colleges and universities； second-level website； security； protection strategies

1 引言

校園網(wǎng)絡(luò)是CerNet/Internet的重要組成部分，是高等學(xué)校教學(xué)、科研、管理、服務(wù)、文化娛樂等應(yīng)用的信息支撐平臺，是高校必不可少的基礎(chǔ)設(shè)施。隨著我國高校信息化建設(shè)的不斷發(fā)展，各學(xué)校建立了門戶網(wǎng)站和各種類型的二級網(wǎng)站。然而高校二級網(wǎng)站的安全防護和運維管理方面還存在著很多問題和不足，容易發(fā)生網(wǎng)絡(luò)安全事件。

2009年9月份北京大學(xué)計算機所信息安全中心利用其研發(fā)的北大網(wǎng)頁掛馬檢測平臺發(fā)現(xiàn)屬于314個不同高校的577個網(wǎng)站被惡意掛馬，網(wǎng)站掛馬率為3.15%，高于同期檢測“”科研系統(tǒng)網(wǎng)站掛馬率（2.46%）和“”政府網(wǎng)站掛馬率（1.03%）。所發(fā)現(xiàn)的507個被掛馬網(wǎng)站均為二級或三級域名網(wǎng)站，占比87.9%?？梢姼咝６壘W(wǎng)站的安全形勢不容樂觀，切實需要提高對安全形勢的認(rèn)識，加強高校二級網(wǎng)站的安全防護水平。

2 高校二級網(wǎng)站常見安全威脅

2.1 應(yīng)用層面安全威脅

此類攻擊主要針對Web應(yīng)用中授權(quán)、認(rèn)證、站點結(jié)構(gòu)、輸入驗證、程序管理接口進行攻擊。世界著名的OWASP（Open Web Application Security Project）是一個開源的、非盈利的全球性安全組織，致力于應(yīng)用層面的安全研究。其最知名的研究報告OWASP Top 10（Owasp 十大Web弱點） 也是高校二級網(wǎng)站應(yīng)用層面常見的安全威脅。

除此以外，近幾年來的SEO（搜索引擎優(yōu)化）技術(shù)的不斷發(fā)展，黑帽SEO為了短期內(nèi)提高網(wǎng)站搜索引擎排名而采用作弊方法，在搜索引擎權(quán)值較高的網(wǎng)站中植入廣告外鏈。由于高校網(wǎng)站建立比較早、安全漏洞較多、用戶訪問量大、搜索引擎權(quán)值較高，已成為攻擊者注入黑鏈的首選目標(biāo)。

2.2 系統(tǒng)層面安全威脅

系統(tǒng)層面安全威脅主要指攻擊者利用計算機軟件（包括Cmos固化指令、操作系統(tǒng)、應(yīng)用程序）自身固有缺陷或配置錯誤進行攻擊。例如Windows、Linux等操作系統(tǒng)安全漏洞，應(yīng)用軟件安全漏洞，以及文件目錄權(quán)限設(shè)置過高、配置文件設(shè)置不當(dāng)?shù)?。但隨著防火墻、IPS等安全設(shè)備的使用和高校安全防護體系的不斷完善這類安全問題呈逐年下降趨勢

2.3 網(wǎng)絡(luò)層面安全威脅

在傳統(tǒng)的多層網(wǎng)絡(luò)防御體系中，防火墻、IPS等對傳統(tǒng)網(wǎng)絡(luò)層攻擊有較好的防御效果，攻擊者正面的網(wǎng)絡(luò)攻擊易被邊界安全設(shè)備過濾。攻破一個高信任區(qū)域內(nèi)低安全的網(wǎng)站和主機是攻擊者擴大攻擊范圍的常見方法。攻擊者攻擊高校二級網(wǎng)站架構(gòu)中的任意層面后，不僅可以攻擊網(wǎng)站主機，還能侵入高校服務(wù)器內(nèi)部基礎(chǔ)架構(gòu)。例如，在被控制的主機中安裝ARP軟件和嗅探軟件等工具篡改ARP信息實現(xiàn)ARP欺騙攻擊，截獲網(wǎng)段內(nèi)其他主機敏感數(shù)據(jù)。修改校區(qū)DNS等關(guān)鍵應(yīng)用，甚至轉(zhuǎn)向攻擊用戶終端應(yīng)用程序形成“僵尸網(wǎng)絡(luò)”。

綜上所述 高校二級網(wǎng)站的主要安全威脅如表1所示。

3 高校二級網(wǎng)站安全問題分析

3.1 安全意識不夠成熟

分管領(lǐng)導(dǎo)重視不夠、管理人員安全意識不成熟、維護管理團隊不穩(wěn)定是造成高校二級網(wǎng)站防護薄弱的主要問題。高等院校的各部門在規(guī)劃二級網(wǎng)站時，只重視實用性和美觀性，很少考慮安全性，片面認(rèn)為信息安全只是高校信息化主管部門責(zé)任，只重視網(wǎng)站建設(shè)，無視管理和維護。大部分的維護管理工作交由學(xué)生負(fù)責(zé)，缺乏技術(shù)文檔和安全策略記錄。繼任者無法對暴露出的安全問題做出處理，也不知從何處理。高校信息化主管部門無法對眾多二級網(wǎng)站的安全防護做到面面俱到，導(dǎo)致發(fā)生嚴(yán)重問題后，信息化主管部門工作被動，安全責(zé)任相互推諉。

3.2 二級網(wǎng)站架構(gòu)安全設(shè)計不合理

1）網(wǎng)絡(luò)架構(gòu)設(shè)計不合理。建設(shè)前未合理劃分網(wǎng)絡(luò)安全區(qū)域，多個不可信二級網(wǎng)站與可信的校級網(wǎng)站放在同一臺主機上，單個二級網(wǎng)站出現(xiàn)安全問題后，主機控制權(quán)極易被奪取影響其他網(wǎng)站運行。或者二級網(wǎng)站托管主機和重要應(yīng)用主機在同一IP段內(nèi)，二級網(wǎng)站托管主機出現(xiàn)問題影響同網(wǎng)段內(nèi)其他主機。

2）應(yīng)用架構(gòu)設(shè)計不合理。前端展現(xiàn)層、應(yīng)用程序?qū)?、?shù)據(jù)層信任關(guān)系過高或連接權(quán)限不加限制。導(dǎo)致造成SQL注入或XSS跨站后，輕易奪取高級權(quán)限。

3.3 二級網(wǎng)站代碼存在安全缺陷

Web安全的核心問題在于用戶可以提交任意的輸入，而程序不加過濾直接返回執(zhí)行結(jié)果。針對上述問題Web應(yīng)用程序防御機制有以幾個核心因素組成。

1）處理用戶訪問應(yīng)用程序的數(shù)據(jù)與功能，防止用戶獲得未授權(quán)訪問。

2）處理用戶對應(yīng)用程序的輸入，防止錯誤輸入造成不良行為。

3）確保應(yīng)用程序在成為直接攻擊目標(biāo)時能夠正常運轉(zhuǎn)，并采取適當(dāng)?shù)姆烙c攻擊措施挫敗攻擊者。

4）管理應(yīng)用程序本身，幫助管理員監(jiān)控其行為，配置其功能。

高校二級網(wǎng)站代碼大多數(shù)都是由合作公司、信息技術(shù)水平較高的老師或?qū)W生等獨立開發(fā)，或者使用第三方的CMS應(yīng)用程序，在第三方的組件上添減代碼，自行拼湊在一起。這些Web應(yīng)用程序存在不完善的身份驗證、不完善的訪問控制措施等代碼漏洞，是導(dǎo)致SQL注入、XSS跨站攻擊等應(yīng)用層威脅的直接原因。利用應(yīng)用層安全漏洞提升權(quán)限，上傳Webshell控制主機，應(yīng)用層安全威脅成為高校二級網(wǎng)站防護的主體。

4 高校二級網(wǎng)站防護策略研究

從目前的安全威脅來看，單純一種技術(shù)或者方法無法行而有效的阻止目前眾多的安全威脅，高校二級網(wǎng)站信息安全工作需要一整套協(xié)同工作、相互支撐的安全防護系統(tǒng)。如圖1所示。

4.1 提高安全意識和技術(shù)水平，規(guī)范運維操作

良好的組織管理架構(gòu)、合理的技術(shù)支撐體系和規(guī)范的運維管理操作是高校二級網(wǎng)站安全防護的基礎(chǔ)。組織管理機構(gòu)需要提高安全意識、明確責(zé)任劃分，確定防護的范圍和技術(shù)人員團隊。定期對決策者和實施者進行安全意識和安全技術(shù)培訓(xùn)。建立運維操作臺賬，規(guī)范操作。所有網(wǎng)絡(luò)配置、主機配置、應(yīng)用配置和安全策略配置等技術(shù)資料建檔保存，網(wǎng)站開發(fā)文檔和主要操作均記錄注釋。

4.2 合理設(shè)計安全架構(gòu)，提高整體防范水平

嚴(yán)謹(jǐn)?shù)陌踩軜?gòu)是網(wǎng)站安全防護的保障，主要表現(xiàn)在設(shè)物理、主機、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用等各個層面的安全架構(gòu)設(shè)計。

1）通過網(wǎng)絡(luò)設(shè)備合理劃分網(wǎng)絡(luò)安全域，設(shè)計盡可能小的VLAN，實現(xiàn)主機的網(wǎng)絡(luò)隔離。

2）制定嚴(yán)格的訪問控制，除正常訪問IP、端口外其余連接全部過濾。

3）對二級網(wǎng)站程序?qū)雍蛿?shù)據(jù)庫層剝離，建立獨立的數(shù)據(jù)庫服務(wù)器，把眾多二級網(wǎng)站數(shù)據(jù)庫集中管理。并在數(shù)據(jù)庫中依據(jù)最小權(quán)限原則根據(jù)IP地址制定主機連接。

4）應(yīng)用架構(gòu)中數(shù)據(jù)庫、文件目錄、Web程序等均避免使用過高權(quán)限，在Linux系統(tǒng)中使用Chroot控制權(quán)限使用。

4.3 定制開發(fā)Web程序，周期進行安全滲透測試

1）建設(shè)前期避免使用網(wǎng)絡(luò)上源代碼公開的CMS系統(tǒng)，根據(jù)院校自身情況購買或設(shè)計安全編碼的程序，實現(xiàn)代碼的相對安全。

2）對已經(jīng)使用站點的源代碼進行分析，找出由于編程的不完善而導(dǎo)致的安全漏洞，比如緩沖區(qū)溢出、格式化字符串、SQL 注入等。

3）周期性進行安全滲透測試，評估Web 站點的部署，模擬網(wǎng)絡(luò)用戶對Web 站點進行攻擊，找出安全漏洞和弱點，比如認(rèn)證不充分、信息泄漏等不定期審查篩選高危函數(shù)，屏蔽不良輸入。

4.4 多種設(shè)備和技術(shù)手段聯(lián)防，實現(xiàn)安全管理統(tǒng)一

國內(nèi)高校常用的Web安全設(shè)備和防御手段有幾種。

1）Web 應(yīng)用防火墻。采用安全網(wǎng)關(guān)的技術(shù)手段，把Web 應(yīng)用防火墻設(shè)備透明的部署于Web 服務(wù)器區(qū)前面，檢測每一個訪問者的請求內(nèi)容，并進行規(guī)則匹配，攔截已知和常見的Web攻擊。

2）網(wǎng)絡(luò)分析系統(tǒng)。結(jié)合DPI或DFI（深度數(shù)據(jù)包檢測）對網(wǎng)站數(shù)據(jù)流進行分析，根據(jù)特征包發(fā)現(xiàn)已知或常見的Web應(yīng)用攻擊。

3）日志服務(wù)器。將日志信息集中在安全防護較好的主機上進行數(shù)據(jù)分析?？焖俪尸F(xiàn)安全事件信息。

4）對高校二級網(wǎng)站數(shù)據(jù)多路備份。當(dāng)安全事件發(fā)生時，可根據(jù)時間點快速實施網(wǎng)站數(shù)據(jù)恢復(fù)。

目前實際運行效果是各個系統(tǒng)各自獨立，遇到問題，需要管理人員登錄多臺設(shè)備分析才能發(fā)現(xiàn)整個安全事件的過程。這也反映出高校二級網(wǎng)站需要分階段建立統(tǒng)一安全管理平臺（SOC），實現(xiàn)事件發(fā)現(xiàn)、安全策略分發(fā)和園區(qū)整體防御在一個統(tǒng)一的平臺呈現(xiàn)和管理。

5 結(jié)束語

總之，隨著信息化安全威脅的不斷變化，高校二級網(wǎng)站的安全防護任重道遠。安全防護策略和技術(shù)方法要與攻擊手段發(fā)展變化相對應(yīng)。高校二級網(wǎng)站的安全防護應(yīng)以應(yīng)用層面防護為主并結(jié)合規(guī)范化管理、安全架構(gòu)優(yōu)化、代碼審計和安全滲透測試等防護策略建立協(xié)同工作、相互支撐的安全防護系統(tǒng)才能有效的保證高校二級網(wǎng)站信息安全。

參考文獻

[1] 諸葛建偉. 高校二級網(wǎng)站遭遇嚴(yán)重掛馬和篡改[J].中國教育網(wǎng)絡(luò)，2009（12）：43-44.

[2] Wikiowasp[R/OL].http：///wiki/OWASP. 2011.

[3] Owasp 2010 top 10 [R/OL]，https：///index.php/Top_10_2010.

[4] WikiXSS [R/OL].http：///wiki/XSS. 2012.

[5] Dafydd Stuttard.Marcus Pinto The Web Application Hackers Handbook：Discovering and Exploiting Security Flaws 2nd[M]. Wiley Publishing；2012.

[6] Dafydd Stuttard.Marcus Pinto攻擊者攻防技術(shù)寶典.Web實戰(zhàn)篇[M].北京：人民郵電出版社，2009.

篇3

鐵路信息安全建設(shè)和運行必須結(jié)合鐵路信息化實際情況，從管理和技術(shù)兩個層面綜合保證鐵路信息系統(tǒng)的運行操作安全，保障鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的運行安全，并最終保障鐵路運輸業(yè)務(wù)及運輸服務(wù)的安全。鐵路信息安全保障體系結(jié)構(gòu)見圖1。管理和技術(shù)是鐵路信息安全保障體系的兩個要素，是保證鐵路信息系統(tǒng)及其所支撐的鐵路運輸業(yè)務(wù)和服務(wù)安全建設(shè)和運行的必要條件。在這兩個安全要素中，管理是核心，是基礎(chǔ)，它影響和決定技術(shù)的選擇以及技術(shù)標(biāo)準(zhǔn)規(guī)范；反過來，技術(shù)也會影響到信息安全管理方式和管理制度的具體形式，降低管理成本。在安全管理層面中，國家和鐵路行業(yè)的信息安全方針政策法規(guī)是鐵路信息安全建設(shè)和安全運維的管理基礎(chǔ)；鐵路信息安全管理制度是信息安全方針政策法規(guī)在鐵路信息安全日常工作中的具體要求體現(xiàn)；鐵路信息安全組織保障是落實鐵路信息安全方針政策法規(guī)、執(zhí)行鐵路信息安全管理制度的崗位職責(zé)基礎(chǔ)和人員保障；信息安全意識培養(yǎng)、培訓(xùn)和教育是鐵路信息安全方針政策法規(guī)和鐵路信息安全管理制度得以高效、準(zhǔn)確地落實和執(zhí)行的保證。管理安全保證不僅通過方針政策法規(guī)、組織保障、管理制度、意識培養(yǎng)培訓(xùn)教育等形式直接對鐵路業(yè)務(wù)提供安全支持和保障外，還通過對信息安全技術(shù)的影響間接地保護鐵路業(yè)務(wù)安全。鐵路信息安全方針政策法規(guī)和管理制度等因素是制定鐵路信息安全技術(shù)標(biāo)準(zhǔn)和規(guī)范的重要基礎(chǔ)，同時，它們也會對信息安全方案的設(shè)計、產(chǎn)品選擇和采購方式產(chǎn)生不同程度的影響。在安全管理控制下，只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認(rèn)證認(rèn)可的技術(shù)手段支持下，執(zhí)行規(guī)定的操作流程；鐵路信息系統(tǒng)操作流程安全包括鐵路信息系統(tǒng)的建設(shè)、運維和災(zāi)備恢復(fù)等活動的流程和操作安全，它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中各主要階段的過程安全。鐵路信息系統(tǒng)由鐵路外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)、安全生產(chǎn)網(wǎng)以及若干生產(chǎn)專網(wǎng)組成，鐵路的各種應(yīng)用業(yè)務(wù)都直接運行在這些系統(tǒng)之上，為了更好地支撐這些業(yè)務(wù)系統(tǒng)的安全運行，支持鐵路統(tǒng)一的安全管理，在鐵路信息系統(tǒng)中還包括災(zāi)備中心、數(shù)字證書系統(tǒng)、集中管理及認(rèn)證授權(quán)中心等安全基礎(chǔ)設(shè)施系統(tǒng)或安全平臺，這些安全基礎(chǔ)設(shè)施及其所服務(wù)的鐵路應(yīng)用業(yè)務(wù)系統(tǒng)的運行安全是鐵路運輸業(yè)務(wù)及服務(wù)正常安全運行的環(huán)境保障。

2安全保障體系要素

在鐵路信息系統(tǒng)中，無論是系統(tǒng)的建設(shè)、運行、災(zāi)難恢復(fù)、事件處置等活動，還是其支撐的運輸業(yè)務(wù)和服務(wù)等系統(tǒng)目標(biāo)，都離不開管理和技術(shù)兩個安全要素的綜合保證，其中管理是核心，在安全管理措施的控制下，只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認(rèn)證認(rèn)可的技術(shù)手段支持下，執(zhí)行規(guī)定的操作流程。

2.1鐵路信息安全管理體系

鐵路信息安全管理體系必須以國家信息安全相關(guān)法規(guī)、政策和標(biāo)準(zhǔn)以及鐵路相關(guān)法規(guī)政策為基礎(chǔ)和依據(jù)。按照GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》、GB/T22080—2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T22081—2008《信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則》等國家標(biāo)準(zhǔn)和指南，結(jié)合我國鐵路實際情況，將鐵路信息安全管理體系劃分為11個安全控制類別，其中包括信息安全政策、信息安全組織、資產(chǎn)業(yè)務(wù)、信息安全環(huán)境、設(shè)備使用、通信網(wǎng)絡(luò)、配置授權(quán)、安全事件處置、安全運維、安全合規(guī)和災(zāi)備恢復(fù)等管理內(nèi)容；在11個安全控制類別的基礎(chǔ)上，建立鐵路信息安全管理制度框架，如鐵路信息資產(chǎn)管理制度、互聯(lián)網(wǎng)訪問管理制度、人員安全培訓(xùn)制度、機房管理制度、產(chǎn)品準(zhǔn)入制度、系統(tǒng)運維制度、安全事件處理流程規(guī)定、介質(zhì)管理制度、電子郵件使用管理規(guī)定、鐵路軟件開發(fā)管理流程規(guī)定等（見圖2）。

2.2鐵路信息安全技術(shù)框架

鐵路信息安全技術(shù)框架是鐵路信息安全保障體系的重要組成內(nèi)容，主要包括安全管理、身份管理、授權(quán)管理、災(zāi)備管理、監(jiān)控審計、可信保證等技術(shù)機制（見圖3）。管理安全是統(tǒng)領(lǐng)鐵路信息安全保障的綱領(lǐng)，綱舉才能目張，構(gòu)建一個全路信息系統(tǒng)可視化管理平臺，以便對網(wǎng)絡(luò)、計算機設(shè)備、應(yīng)用系統(tǒng)部署、操作用戶及角色、運維狀態(tài)等關(guān)鍵信息進行全局的監(jiān)控，提高對系統(tǒng)中安全問題及其隱患的發(fā)現(xiàn)、分析和防范能力。由全路統(tǒng)一身份管理平臺、授權(quán)管理機制和責(zé)任認(rèn)定構(gòu)成的鐵路網(wǎng)絡(luò)信任管理體系是保障鐵路信息安全可信和安全的前提。全路災(zāi)難備份和恢復(fù)策略管理是鐵路信息系統(tǒng)可信、安全和業(yè)務(wù)可持續(xù)性的后盾。以密碼技術(shù)為基礎(chǔ)的可信計算技術(shù)為軟硬件資源的安全和隔離提供了結(jié)構(gòu)化保證，為計算環(huán)境的可信可靠（完整性）提供了有效的判別手段，為關(guān)鍵數(shù)據(jù)提供了可信安全存儲，為分布式計算的安全機制一致性和網(wǎng)絡(luò)接入控制提供了遠程可信證明方法?？尚庞嬎慵夹g(shù)是構(gòu)建鐵路信息安全保障體系的基礎(chǔ)支撐。

2.3鐵路信息安全的組織保證

鐵路信息系統(tǒng)安全應(yīng)該在組織上加以保證。在具體組織形式上應(yīng)該由中國鐵路總公司（簡稱總公司）主管領(lǐng)導(dǎo)和部門具體負(fù)責(zé)鐵路信息安全的領(lǐng)導(dǎo)和組織工作，由相關(guān)專業(yè)職能部門分工協(xié)作，在鐵路信息化的整體工作布局中設(shè)置專門機構(gòu)和崗位、明確相關(guān)職責(zé)、配備信息安全專業(yè)技術(shù)和管理人員，確保信息安全管理制度的有效落實和信息安全技術(shù)機制的可操作性。鐵路信息安全組織保證框架見圖4?？偣拘畔踩鞴懿块T應(yīng)該包括以下職能機構(gòu)：法規(guī)政策標(biāo)準(zhǔn)管理機構(gòu)負(fù)責(zé)制定鐵路信息安全相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范，并負(fù)責(zé)鐵路業(yè)務(wù)應(yīng)用密碼的管理工作；安全建設(shè)運維管理機構(gòu)根據(jù)鐵路信息安全相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范，參與鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的設(shè)計、開發(fā)和運維審核和監(jiān)管工作；信息安全風(fēng)險管理機構(gòu)負(fù)責(zé)對進入鐵路信息系統(tǒng)的相關(guān)產(chǎn)品進行測評認(rèn)證，對運行系統(tǒng)進行安全監(jiān)控，負(fù)責(zé)信息系統(tǒng)的安全風(fēng)險管理工作；安全事件處置管理機構(gòu)負(fù)責(zé)對系統(tǒng)緊急事件進行處理，對輿情進行綜合分析，并根據(jù)事件性質(zhì)和處理結(jié)果對事件進行通報；安全保密培訓(xùn)服務(wù)中心負(fù)責(zé)全路的信息安全法律法規(guī)、政策標(biāo)準(zhǔn)、安全意識和安全技能的培訓(xùn)提高工作，負(fù)責(zé)組織安排和協(xié)調(diào)社會力量以及高校等培訓(xùn)機構(gòu)具體實施常態(tài)化信息安全培訓(xùn)工作；安全災(zāi)備恢復(fù)管理機構(gòu)負(fù)責(zé)重要信息系統(tǒng)的運行和數(shù)據(jù)備份實施工作，并在系統(tǒng)出現(xiàn)嚴(yán)重故障后，迅速協(xié)調(diào)相關(guān)部門恢復(fù)服務(wù)或業(yè)務(wù)數(shù)據(jù)，保障關(guān)鍵業(yè)務(wù)服務(wù)的運行連續(xù)性。各鐵路局（公司）應(yīng)該參照總公司信息安全管理組織結(jié)構(gòu)，設(shè)置相關(guān)部門或相關(guān)專職崗位，并有鐵路局（公司）領(lǐng)導(dǎo)具體分管信息安全工作。鐵路局（公司）信息安全工作應(yīng)該在總公司統(tǒng)一組織、協(xié)調(diào)和安排下開展具體工作。

2.4鐵路信息系統(tǒng)安全基礎(chǔ)設(shè)施

鐵路信息系統(tǒng)必須依賴于鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施作為其安全支撐基礎(chǔ)。鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施不僅可以落實鐵路集中統(tǒng)一安全管理的要求，提高鐵路信息系統(tǒng)的安全水平，還能有效降低鐵路信息安全的建設(shè)和運維成本。鐵路信息安全基礎(chǔ)設(shè)施包括鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心、鐵路業(yè)務(wù)應(yīng)用密碼管理中心、數(shù)字證書系統(tǒng)、集中安全管理及認(rèn)證授權(quán)中心、安全監(jiān)控中心、安全隔離平臺、信息安全培訓(xùn)平臺以及鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)（見圖5）。鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心可以將由于系統(tǒng)重大故障或破壞帶來的業(yè)務(wù)中斷降低到最小程度，提高鐵路的服務(wù)水平；鐵路業(yè)務(wù)應(yīng)用密碼管理中心是保護鐵路重要數(shù)據(jù)安全和業(yè)務(wù)安全的基礎(chǔ)保證，同時它也是全路統(tǒng)一信任體系的技術(shù)基礎(chǔ)；鐵路數(shù)字證書系統(tǒng)可以在全路范圍內(nèi)建立統(tǒng)一的身份認(rèn)證體系，提高鐵路的信息安全集中管理能力，降低安全管理成本；鐵路集中管理及認(rèn)證授權(quán)中心通過全路集中的信息安全平臺實現(xiàn)高效、統(tǒng)一的安全管理，保證安全策略的快速一致化部署；鐵路信息系統(tǒng)安全監(jiān)控中心可以對鐵路信息系統(tǒng)的安全運行狀態(tài)進行監(jiān)控，掌握鐵路信息系統(tǒng)的運行態(tài)勢，從而實現(xiàn)在鐵路信息系統(tǒng)中防患于未然，有效降低系統(tǒng)安全風(fēng)險；鐵路安全隔離平臺是隔離鐵路內(nèi)部服務(wù)網(wǎng)和外部服務(wù)網(wǎng)的安全措施，它保證了鐵路安全生產(chǎn)網(wǎng)絡(luò)的正常運行；鐵路信息安全培訓(xùn)平臺對保證提高鐵路員工的信息安全意識、培養(yǎng)安全素養(yǎng)極為重要，是人員安全的必要保證；鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)對鐵路了解社會評價、改善鐵路社會化服務(wù)水平、提高鐵路形象至為關(guān)鍵。

2.5鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育管理

要搞好鐵路信息系統(tǒng)的信息安全管理，離不開相關(guān)人員的安全意識培養(yǎng)、技能培訓(xùn)和專業(yè)教育。鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育分別針對不同層次和專業(yè)的人員而設(shè)。信息安全意識培養(yǎng)通過對信息安全術(shù)語、議題和基本概念的宣傳、宣導(dǎo)，吸引一般人群對信息安全的關(guān)注，幫助人們了解信息安全所關(guān)注的問題，并能因此產(chǎn)生正確的響應(yīng)；信息安全培訓(xùn)讓信息系統(tǒng)相關(guān)人員獲得相關(guān)的技能和必備的資質(zhì)，使其在信息安全管理、設(shè)計、開發(fā)、建設(shè)、運維、操作、評估和使用等方面滿足與信息安全相關(guān)的崗位職能要求，培訓(xùn)可以分為初級、中級和高級等多個層次；信息安全教育則從信息安全專業(yè)理論、技術(shù)、經(jīng)驗等方面培養(yǎng)信息安全專家，與信息安全培訓(xùn)一樣，這種信息安全教育也應(yīng)分為初級、中級和高級等多個層次。為降低信息安全意識培養(yǎng)、培訓(xùn)和教育的管理和運作成本，鐵路信息安全資質(zhì)認(rèn)證也可以和國家其他部門的資質(zhì)認(rèn)證機構(gòu)合作，對一些可信度高、有較高權(quán)威的信息安全資質(zhì)證書采取等同認(rèn)可方法。鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育管理框架見圖6。鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育管理可分為兩方面：一方面是針對全部相關(guān)人員的信息安全意識培養(yǎng)。安全意識培養(yǎng)是一個長期的宣傳和貫導(dǎo)工作，可以通過制度獎懲、危機教育、標(biāo)語口號等方式建立普遍的信息安全概念，推廣信息安全文化；另一方面是針對崗位定義不同的信息安全資質(zhì)要求，并這對這些資質(zhì)要求建立相對應(yīng)的信息安全技能和專業(yè)培訓(xùn)、教育，為了滿足這些資質(zhì)培訓(xùn)教育工作，總公司必須建立相關(guān)的培訓(xùn)和認(rèn)證機制，設(shè)置相關(guān)的機構(gòu)。

2.6系統(tǒng)流程及操作安全保證

系統(tǒng)流程和操作安全是指鐵路信息安全建設(shè)、運維和災(zāi)備恢復(fù)等活動的流程和操作安全，它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中主要階段的過程安全。在鐵路信息安全建設(shè)和運行過程中，要制定并依托相關(guān)的鐵路網(wǎng)絡(luò)與信息安全管理制度、技術(shù)標(biāo)準(zhǔn)規(guī)范和組織部門機構(gòu)，對系統(tǒng)的安全設(shè)計、產(chǎn)品測評準(zhǔn)入、安全工程等過程進行安全管控，從根本上杜絕系統(tǒng)在結(jié)構(gòu)上的安全缺陷、嚴(yán)防不合規(guī)的產(chǎn)品進入系統(tǒng)、保證系統(tǒng)建設(shè)施工的安全規(guī)范；在鐵路信息系統(tǒng)的日常運行過程中，也必須建立系統(tǒng)風(fēng)險監(jiān)控、評估和控制的管理和技術(shù)體系，通過專業(yè)專職的機構(gòu)和部門，對系統(tǒng)的安全狀態(tài)進行實時監(jiān)控、對系統(tǒng)安全風(fēng)險進行定期或不定期的評估；對安全事件進行預(yù)案規(guī)劃、演練和應(yīng)急處置，避免重大安全事件的發(fā)生；對系統(tǒng)服務(wù)或重要數(shù)據(jù)實施安全災(zāi)備，最大程度地減少系統(tǒng)故障帶來的鐵路運輸業(yè)務(wù)和服務(wù)中斷時間，減小風(fēng)險后果。鐵路信息安全建設(shè)、運維和災(zāi)備恢復(fù)流程見圖7。

3結(jié)束語

篇4

關(guān)鍵詞： 信息化 系統(tǒng)平臺 網(wǎng)絡(luò)建設(shè) 政策導(dǎo)向

1.引言

近日，由教育部科技發(fā)展中心主辦的“2015年高等教育信息化創(chuàng)新論壇”在東北大學(xué)開幕。來自200多所高校的主要校領(lǐng)導(dǎo)、信息化管理部門負(fù)責(zé)人和網(wǎng)絡(luò)中心工作人員，以及企業(yè)代表共計500余人出席了本次論壇。在本次論壇上發(fā)表了較高水平的關(guān)于高校信息化建設(shè)的各種建議及意見。本次大會了由教育部科技發(fā)展中心牽頭、十多位來自全國高校信息化管理與應(yīng)用等各個領(lǐng)域的專家共同完成的《高等教育信息化發(fā)展報告》（2014）的數(shù)據(jù)分析報告，介紹了十二五期間高校信息化基本調(diào)研狀況，并對高等教育信息化未來發(fā)展趨勢做了展望和預(yù)測。由此可見，高校信息化建設(shè)已成為國家重要戰(zhàn)略之一[1]-[2]。

2.高校信息化建設(shè)

高校信息化建設(shè)水平是學(xué)校整體辦學(xué)水平、學(xué)校形象和地位的重要標(biāo)志之一，是我國科技發(fā)展水平的重要衡量標(biāo)準(zhǔn)[3]-[4]。在《國家中長期教育改革和發(fā)展規(guī)劃綱要（2010-2020年）》中明確指出：“信息技術(shù)對教育發(fā)展具有革命性影響，必須予以高度重視?！盵5]信息技術(shù)對大學(xué)的影響正日益加劇，并且是深刻、非連續(xù)且復(fù)雜的，將影響大學(xué)功能的方方面面（教學(xué)、科研、辦公等），影響大學(xué)組織結(jié)構(gòu)和文化變革[6]。

3.高校信息化建設(shè)的積極作用

（1）加強高?；A(chǔ)設(shè)施、網(wǎng)絡(luò)建設(shè)。

我國高校校園網(wǎng)絡(luò)存在大多設(shè)備陳舊、技術(shù)落后、網(wǎng)速緩慢等現(xiàn)狀。在國家關(guān)于高校信息化建議的倡導(dǎo)下，可以采用新技術(shù)、更換新設(shè)備，與國際接軌[7]-[8]。將服務(wù)器集中管理，采用虛擬化分配資源；建立整合的數(shù)據(jù)中心提供高速信息查詢等業(yè)務(wù)；采用高可靠性的系統(tǒng)架構(gòu)，保證處理業(yè)務(wù)連續(xù)、高效；建立高保障性的網(wǎng)絡(luò)信息安全體系，保護數(shù)據(jù)安全；建立高安全認(rèn)證體系，保證用戶、數(shù)據(jù)可信。

（2）加強視頻、音頻等數(shù)字資源建設(shè)。

建立數(shù)據(jù)資源庫，不僅可以為教學(xué)、科研提供支持，而且可以為行政工作方面提供便利。將分散的視頻、音頻、資料等整合到一起形成中心數(shù)據(jù)資料庫，利用校園網(wǎng)絡(luò)，隨時隨地查閱資料、處理公務(wù)、批改作業(yè)、回放視頻等。既能降低信息化教學(xué)門檻，又可提高信息化服務(wù)水平，方便師生使用。

（3）加強各類型應(yīng)用系統(tǒng)軟件、平臺建設(shè)。

高校應(yīng)以集成、整合的校級統(tǒng)一信息系統(tǒng)平臺、數(shù)據(jù)交互為基礎(chǔ)，在此之上發(fā)展各行政部門、各功能類型的系統(tǒng)軟件，如教務(wù)系統(tǒng)、人事管理系統(tǒng)、學(xué)校平臺、辦公自動化平臺等，將學(xué)習(xí)、科研、辦公協(xié)同融合，提高教學(xué)科研辦公效率。高校信息化整體為管理和決策提供高效、優(yōu)質(zhì)的信息化服務(wù)，同時強調(diào)個性化信息服務(wù)和決策支持。

（4）加強標(biāo)準(zhǔn)、接口等規(guī)范建設(shè)。

高校信息化建設(shè)不僅應(yīng)著眼于現(xiàn)有功能需求，還應(yīng)具有前瞻性?？紤]未來學(xué)校發(fā)展方向、發(fā)展規(guī)模、師生數(shù)量、校區(qū)建設(shè)與系統(tǒng)平臺開發(fā)等因素，規(guī)范現(xiàn)有系統(tǒng)軟件接口，著重規(guī)范基礎(chǔ)信息編碼、管理、業(yè)務(wù)與運維服務(wù)等方面，為未來發(fā)展打下堅實基礎(chǔ)。

（5）加強思想、體制、機制建設(shè)。

高校信息化建設(shè)不僅是從國家層面予以要求，更主要的是各高校領(lǐng)導(dǎo)班子從思想上予以重視，形成完整的總體規(guī)劃與頂層設(shè)計、整合的運維服務(wù)體系，并建立相關(guān)工作小組，完成高校信息化平臺建設(shè)。

4.結(jié)語

高校信息化建設(shè)是一個漫長的過程，其復(fù)雜性、前瞻性與長期性等特點決定了信息化發(fā)展不僅取決于國家政策的扶持，而且要加強高校領(lǐng)導(dǎo)思想導(dǎo)向、理念、廣大師生參與熱情，集思廣益，才能將這項工程做好、做強、做大。

參考文獻：

[1]蔣東興，宓，郭清順.高校信息化發(fā)展現(xiàn)狀與政策建議.中國教育信息化，2009.15.

[2]胡曉玲.高校信息化規(guī)劃基本流程及其績效評估分析.電化教育研究，2014.5.

[3]孫強，樊仰月，李歡歡，王楠，趙杏梅.高校信息化建設(shè)體制機制探討，2010.1.

[4]李逢慶，桑新民.高校信息化建設(shè)中的CIO角色研究及啟示.2009.7.

[5]梁培，韓錫斌，胡華，吳庚生.高校信息化評價的思路和方法研究.現(xiàn)代教育技術(shù)，2008.4.

[6]王婷婷，陽征.我國高校信息化管理體制革新探析.湖南師范大學(xué)教育科學(xué)學(xué)報，2008.7.

篇5

【關(guān)鍵詞】網(wǎng)站群；高校；網(wǎng)站建設(shè)

高校主頁已成為高校對外宣傳的主要窗口，也是人們了解學(xué)校的最方便，快捷的途徑。高校各部門都建有自己的網(wǎng)站，這些網(wǎng)站在各個層面對外展示著學(xué)校的辦學(xué)特色，科學(xué)研究，教育理念等方面的內(nèi)容，可以說高校中眾多的網(wǎng)站信息共同構(gòu)建起學(xué)校的網(wǎng)絡(luò)名片。然而，網(wǎng)站數(shù)量的增加，站點分布的零亂，信息的監(jiān)管缺失等一系列的問題也給網(wǎng)站管理者帶來了相當(dāng)大的管理難度。

1 高校網(wǎng)站的現(xiàn)狀與難題

1.1 建設(shè)水平低

網(wǎng)站運維缺乏持續(xù)性和安全保障，二級院系部門對網(wǎng)站安全不重視。一些二級網(wǎng)站交給學(xué)生來維護，容易造成管理用戶的泄露，給網(wǎng)站安全帶來潛在隱患，而且學(xué)生畢業(yè)后網(wǎng)站處于無人管理狀態(tài)。甚至，有些管理用戶在帶有病毒的機器上進行網(wǎng)站后臺操作，容易造成管理賬號等信息被他人掌握，有了管理權(quán)限，網(wǎng)站就會被任意篡改。

1.2 信息孤立，各站點之間數(shù)據(jù)不能共享

在高校主站下面存在很多子站點，這些站點都是獨立信息，建立自己的數(shù)據(jù)庫，開發(fā)的語言以及數(shù)據(jù)庫類型都存在差異，兼容性較差，相互間無法實現(xiàn)信息共享。信息不能共享就容易形成信息孤島的現(xiàn)象，也加深了后期的更新和維護的難度。不能夠統(tǒng)一管理這些站點也就無法進行統(tǒng)一更新維護，只能通過各部門自身陸續(xù)升級，影響了整個高校網(wǎng)站的效率。

1.3 安全性差

由于站點開發(fā)人員的技術(shù)水平參差不齊。有些網(wǎng)站制作相對簡單，存在漏洞，數(shù)據(jù)庫文件容易遭到篡改，以至于系統(tǒng)崩潰。同時，網(wǎng)站后臺管理制度薄弱。密碼過于簡單，容易造成站點被攻擊的情況發(fā)生。

1.4 信息監(jiān)管難度大

高校網(wǎng)站考慮到信息安全問題，一般需要集中管理。尤其是在信息上需要采用層層審核，誰誰負(fù)責(zé)的制度。但是由于目前高校各子網(wǎng)站的相互獨立，網(wǎng)站管理員賬號工作權(quán)限不能統(tǒng)一分配和管理，給網(wǎng)站的信息安全帶來了一定的安全患。

2 網(wǎng)站群概述

2.1 網(wǎng)站群的概念

網(wǎng)站群也稱為網(wǎng)站集群，是指統(tǒng)一規(guī)劃，統(tǒng)一標(biāo)準(zhǔn)，建立在統(tǒng)一技術(shù)構(gòu)架基礎(chǔ)之上，實行分級管理與維護，融合程度高，信息可以實現(xiàn)基于特定權(quán)限共享呈送的網(wǎng)站集合。網(wǎng)站群系統(tǒng)實現(xiàn)了技術(shù)標(biāo)準(zhǔn)統(tǒng)一能夠互聯(lián)互通，以集群化管理為支撐，實現(xiàn)了相對一致的網(wǎng)站運行和服務(wù)規(guī)范。

2.2 網(wǎng)站群的安全優(yōu)勢

相對于一群分散的網(wǎng)站，網(wǎng)站群具有以下四個安全方面的明顯優(yōu)勢：

（1）網(wǎng)站集群管理可視化，大大降低網(wǎng)站管理與維護的技術(shù)門檻，同時提高了系統(tǒng)安全性。

（2）嚴(yán)格的分級權(quán)限管理機制，保證信息共享和信息安全。

（3）采用前臺和后臺相分離的，靜態(tài)服務(wù)器和制作服務(wù)器的部署架構(gòu)，網(wǎng)站安全得到保障。

（4）利用嚴(yán)格的分級權(quán)限管理機制和信息審核流程疏通網(wǎng)站管理工作，保證了全校網(wǎng)站管理工作的規(guī)范。

3 高校網(wǎng)站群建設(shè)與管理

為有效實現(xiàn)校級門戶網(wǎng)站與各二級站點之間的智能管理，數(shù)據(jù)共享，統(tǒng)一規(guī)劃，解決目前高校網(wǎng)站建設(shè)管理中出現(xiàn)的問題。可將網(wǎng)站群系統(tǒng)引入高校網(wǎng)站建設(shè)中，網(wǎng)站群是基于統(tǒng)一標(biāo)準(zhǔn)，統(tǒng)一規(guī)范和統(tǒng)一技術(shù)構(gòu)架之上。

3.1 級站點垂直管理

站群模式的選擇是一個很重要的問題，在選擇時必須考慮到架構(gòu)的穩(wěn)定性以及擴展性。高校站群管理可以構(gòu)建多個站點，各子站點除了可以獨立的建立自己的欄目，實現(xiàn)個體的功能外，同時還可以通過站群發(fā)揮信息集成的優(yōu)勢，讓各站點之間實現(xiàn)信息的共享。主要是通過“主站+子站”的垂直管理模式，對外部訪問者來說，各子站點本身就是一個相應(yīng)的獨立站點，并非主站的附屬；對一級站群來說，主站主站滿足了學(xué)校建立門戶網(wǎng)站的需求，子站也能滿足相關(guān)專業(yè)門戶的建設(shè)；對二級站群來講，主站是對各子站信息的整合，子站是各自獨立的個體。而對于站群的管理者來講，它就是一個統(tǒng)一的平臺，更加方便網(wǎng)站對網(wǎng)站進行管理。

3.2 網(wǎng)站群的權(quán)限管理

站群系統(tǒng)采用基于角色的分級授權(quán)管理體制。將用戶從高到低分為三個等級：第一級，超級管理員，負(fù)責(zé)修改和維護整個網(wǎng)站群；第二級，各子站管理人員，承擔(dān)子站的維護任務(wù)；第三級，子站信息維護人員，負(fù)責(zé)添加新信息。整個網(wǎng)站群以這種角色認(rèn)證體制作為基礎(chǔ)。管理人員在登錄網(wǎng)站群管理系統(tǒng)之后，以相應(yīng)的角色進入各個子站進行相應(yīng)的授權(quán)操作，有效的提高了效率，避免了信息的誤操作。在系統(tǒng)維護的用戶管理方面，高級用戶可以添加權(quán)限低于其的下級用戶，并且可以修改其權(quán)限。

3.3 網(wǎng)站群制度管理

網(wǎng)站建設(shè)過程中需要各方面關(guān)系的協(xié)調(diào)。成立全校的信息化建設(shè)領(lǐng)導(dǎo)小組。由分管信息化建設(shè)的校領(lǐng)導(dǎo)擔(dān)任組長，管理網(wǎng)站集群的建設(shè)工作。規(guī)范信息程序，注重落實責(zé)任與制度建設(shè)相結(jié)合。加強網(wǎng)絡(luò)安全監(jiān)控，加強網(wǎng)站信息更新頻率，提高網(wǎng)站活力。加強部門領(lǐng)導(dǎo)對網(wǎng)站的重視程度，配備信息員負(fù)責(zé)網(wǎng)站信息的工作#，定期對網(wǎng)站進行升級和維護，確保網(wǎng)站穩(wěn)定%，安全運行。

4 結(jié)語

隨著高校信息化工作的不斷深入，通過構(gòu)建技術(shù)統(tǒng)一，風(fēng)格統(tǒng)一，維護簡便的網(wǎng)站群管理系統(tǒng)；加快了網(wǎng)站建站速度，提高了網(wǎng)站的安全性能。實現(xiàn)了信息的互聯(lián)互通，節(jié)約了管理成本，提升了高校網(wǎng)絡(luò)形象。因此，高校網(wǎng)站采用網(wǎng)站群系統(tǒng)模式實現(xiàn)集約化管理勢在必行。

【參考文獻】

[1]李春子.網(wǎng)站集群式管理在高校中的應(yīng)用分析[J].數(shù)字技術(shù)與應(yīng)用，2010（5）.

[2]陳紅紅.高校網(wǎng)站管理問題分析及解決方案[J].西北成人教育學(xué)報，2009（02）.

篇6

【關(guān)鍵詞】校園網(wǎng)；信息安全；層次模型

1.引言

對于逐步實現(xiàn)網(wǎng)絡(luò)化和信息化辦公、教學(xué)、科研、學(xué)術(shù)交流等工作的大學(xué)校園網(wǎng)來說，一方面提供了有力的現(xiàn)代化手段；另一方面，事物的發(fā)展都具有兩面性，計算機網(wǎng)絡(luò)的開發(fā)性、互聯(lián)性、連接形式的多樣性，目前全國高校以網(wǎng)絡(luò)中心為核心，建成了具有高度自主的、覆蓋全校的校園網(wǎng)絡(luò)。

校園網(wǎng)通過與CERNET、Internet相連，面向社會開放、逐步成為學(xué)校教育信息管理、信息傳輸和資源共享的主要渠道和平臺。但是，隨之而來的不良信息、非法入侵、系統(tǒng)漏洞、病毒等對校園網(wǎng)和應(yīng)用系統(tǒng)產(chǎn)生巨大的威脅，校園網(wǎng)的安全問題就變得尤其重要；因此，如何設(shè)計一個穩(wěn)定、可靠、安全和經(jīng)濟的校園網(wǎng)，應(yīng)對日益增多的網(wǎng)絡(luò)攻擊、病毒破壞和黑客入侵等問題已成為校園網(wǎng)建設(shè)和運營所關(guān)注的重點。本文對校園網(wǎng)的安全需求作分析、提出了校園網(wǎng)信息安全的三層模型，并提出了各層的安全技術(shù)實現(xiàn)方法。

2.校園網(wǎng)信息安全的需求分析

校園網(wǎng)一般基于TCP/IP協(xié)議，有線光纜為骨干，利用以太網(wǎng)（萬兆、千兆）技術(shù)構(gòu)建，對內(nèi)達到100M、l000M的交換能力，對外能與教育網(wǎng)、國際互聯(lián)網(wǎng)、政府辦公網(wǎng)連接。利用教育網(wǎng)的平臺，達到“校校通”、并在此網(wǎng)基礎(chǔ)上，建立和完善教育信息資源庫、教學(xué)管理信息系統(tǒng)、遠程教學(xué)系統(tǒng)及網(wǎng)上虛擬學(xué)校的建設(shè)，真正讓校園網(wǎng)在教學(xué)、學(xué)生及教職員管理、辦公自動化、財務(wù)及人事管理、圖書管理等教學(xué)改革等各方面發(fā)揮作用。因此，總體上來講，可以將校園網(wǎng)的信息安全需求分為網(wǎng)絡(luò)基礎(chǔ)服務(wù)安全的需求、教育信息業(yè)務(wù)安全的需求和校園網(wǎng)運維管理的需求。

2.1 校園網(wǎng)網(wǎng)絡(luò)基礎(chǔ)服務(wù)的安全要求

作為教育信息化的主要平臺，校園網(wǎng)應(yīng)能夠提供高可靠性、安全性的基礎(chǔ)通信服務(wù)。由于它是建立在TCP/IP協(xié)議上的寬帶IP數(shù)據(jù)網(wǎng)，因而，協(xié)議本身的漏洞和網(wǎng)絡(luò)技術(shù)的開放性[1]，帶來了固有的和前所未有的巨大的安全隱患。主要安全問題是缺乏服務(wù)質(zhì)量的保證、地址盜用、地址欺騙、內(nèi)容竊取或更改、計算機病毒等。

2.2 教育信息業(yè)務(wù)的安全要求

校園園的特別之處在于：它是教育信息化的業(yè)務(wù)開展和技術(shù)實現(xiàn)的基礎(chǔ)，是學(xué)校的的門戶中心、數(shù)據(jù)中心（IDC）和交換中心（EDC），教育服務(wù)中心、管理中心。

所以，不同類型的業(yè)務(wù)對安全提出了不同的要求。

（1）門戶網(wǎng)站的內(nèi)容安全

高校的很多信息是通過校園網(wǎng)的門戶網(wǎng)站來對外的，很多業(yè)務(wù)是對Internet開放的。近年來，網(wǎng)上黑客活動日益猖獗。很多網(wǎng)站被攻擊，很多安全信息被泄漏，因此，教育網(wǎng)應(yīng)從網(wǎng)絡(luò)運營角度提供必要的手段減少安全隱患，防止像黑客入侵、dos攻擊之類的威脅。

（2）應(yīng)用系統(tǒng)的安全

校園網(wǎng)上經(jīng)常開展像遠程教育、名師名教、培訓(xùn)認(rèn)證等業(yè)務(wù)，具有極高的商業(yè)價值，校園網(wǎng)開展這些服務(wù)的同時必須有良好的安全保障體系來保證這些業(yè)務(wù)的安全正常開展。因此，保持?jǐn)?shù)據(jù)的安全傳輸、授權(quán)安全訪問等技術(shù)措施必須仔細(xì)部署。

（3）業(yè)務(wù)支撐系統(tǒng)的安全

在網(wǎng)絡(luò)通訊平臺和應(yīng)用系統(tǒng)中間的業(yè)務(wù)支撐平臺提供了大量的基礎(chǔ)服務(wù)，提供了大量的基礎(chǔ)數(shù)據(jù)。業(yè)務(wù)支撐系統(tǒng)的安全主要是要保證主機、操作系統(tǒng)、關(guān)鍵數(shù)據(jù)等資源安全可靠，這樣才能保證各應(yīng)用系統(tǒng)的安全運行。

2.3 校園網(wǎng)運維管理的安全要求

（1）校園網(wǎng)絡(luò)自身的安全

校園網(wǎng)直接面對用戶，因此要對網(wǎng)絡(luò)本身的安全做周密的考慮。其自身的網(wǎng)絡(luò)管理中心更是需要重點保護的對象。

（2）用戶身份的安全

教育信息化的推進，使得校園網(wǎng)提供的網(wǎng)絡(luò)服務(wù)越來越多，自我定制的個性化服務(wù)也越來越多，用戶身份認(rèn)證的安全性也越來越重要。

3.校園網(wǎng)信息安全的層次模型

對于任何一個網(wǎng)絡(luò)而言，它必然遵循OSI的七層次網(wǎng)絡(luò)互連參考模型，相應(yīng)地，在各層之間需要提供不同的安全機制和安全服務(wù)。因此，我們可以：在物理層要保證通信線路的可靠，不易被竊聽。在鏈路層可以采用加密技術(shù)，保證通信的安全。在網(wǎng)絡(luò)層，可以采用傳統(tǒng)的防火墻技術(shù)，采用IP過濾功能的路由器，以控制信息在內(nèi)外網(wǎng)絡(luò)邊界的流動。還可使用IP加密傳輸信道技術(shù)IP SEC，在兩個網(wǎng)絡(luò)結(jié)點間建立透明的安全加密信道。在傳輸層可以實現(xiàn)進程到進程的安全通信，如安全套接字層SSL技術(shù)。另外，針對專門的應(yīng)用，在應(yīng)用層實施安全機制，對特定的應(yīng)用是有效的，用于Web的安全增強型超文本傳輸協(xié)議S-HTTP提供了文件級的安全服務(wù)機制。通過上面的安全需求分析，參照ISO的模型，校園網(wǎng)的信息安全模型可分為三個層次一個輔助系統(tǒng)，即：網(wǎng)絡(luò)安全層、業(yè)務(wù)支撐安全層、應(yīng)用系統(tǒng)安全層，網(wǎng)絡(luò)監(jiān)控和身份認(rèn)證系統(tǒng)。

4.校園網(wǎng)信息安全的技術(shù)實現(xiàn)

4.1 網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層安全主要是保障整個校園網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全可靠性，防止非法的接入。從技術(shù)實現(xiàn)架構(gòu)角度來看，首先，校園網(wǎng)的網(wǎng)絡(luò)框架應(yīng)該是層次分明的，應(yīng)該采用了核心層、匯聚層、接入層的網(wǎng)絡(luò)結(jié)構(gòu)；關(guān)鍵設(shè)備（如校園網(wǎng)核心設(shè)備、匯聚設(shè)備等）實現(xiàn)冗余設(shè)置；其次，網(wǎng)絡(luò)邊界應(yīng)該清晰，應(yīng)符合IATF的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、邊界/外部連接、計算環(huán)境、支撐基礎(chǔ)設(shè)施的深度防御原則，這樣清晰的網(wǎng)絡(luò)邊界便于安全控制。從設(shè)備角度來說，不同層次的設(shè)備所需要的安全實現(xiàn)方式是不同的：

（1）校園網(wǎng)核心設(shè)備的安全主要是防止核心設(shè)備遭受攻擊或病毒引發(fā)網(wǎng)絡(luò)流量激增，進而對設(shè)備性能產(chǎn)生沖擊。因此，可采用：

①無阻塞交換設(shè)備；

②分布處理、QoS技術(shù)等；

③節(jié)點關(guān)鍵設(shè)備冗余備份，系統(tǒng)出現(xiàn)軟硬件故障時，可迅速切換到備用模塊；

④網(wǎng)絡(luò)設(shè)備采用多極安全密碼體系，限制非法設(shè)備和用戶登錄等。

（2）匯聚層設(shè)備則需要注重流量控制和用戶管理（用戶識別、授權(quán)、認(rèn)證、計費）功能。它要能：

①保證接入側(cè)用戶相互隔離，防止IP地址被盜用或仿冒，防止用戶間的相互攻擊；

②IP地址與MAC地址綁定，端口或MAC地址綁定，并可提供追查惡意用戶的手段；

③支持限制用戶端口最大接入IP地址數(shù)、PPP會話數(shù)、TCP/UDP連接數(shù)，有效防止DOS、DDOS類的攻擊；

④支持訪問控制列表（ACL），包括在虛擬路由器中創(chuàng)建ACL列表、采用多種網(wǎng)絡(luò)安全層業(yè)務(wù)支撐安全層、應(yīng)用安全層、網(wǎng)絡(luò)監(jiān)控和身份認(rèn)證系統(tǒng)門戶網(wǎng)站、遠程教育、教學(xué)管理等主機、操作系統(tǒng)、教育資源/管理庫網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備、線路等校園網(wǎng)信息安全層次模型過濾規(guī)則提供多層次對目標(biāo)網(wǎng)絡(luò)的保護，以及禁止部分用戶訪問或有選擇地屏蔽網(wǎng)絡(luò)服務(wù)等。

至于接入層設(shè)備，則通過：

①用戶隔離；

②控制用戶流量帶寬等手段實現(xiàn)安全控制。網(wǎng)絡(luò)邊界則考慮防火墻、入侵檢測、vpn接入等安全設(shè)備來保障安全。

4.2 業(yè)務(wù)支撐層安全

業(yè)務(wù)支撐層作為應(yīng)用層的基礎(chǔ)，其包括主機（提供網(wǎng)絡(luò)服務(wù)的服務(wù)器）、資源（提供的能被用戶使用的各種系統(tǒng)設(shè)備與服務(wù)，如文件系統(tǒng)、CPU資源、內(nèi)存資源、網(wǎng)絡(luò)服務(wù)等），以及操作系統(tǒng)、各種基礎(chǔ)數(shù)據(jù)庫（如教學(xué)資源庫、教學(xué)管理信息庫等）。業(yè)務(wù)支撐層的安全措施要結(jié)合網(wǎng)絡(luò)特性和操作系統(tǒng)特性，在用戶和主機之間，主機和主機之間，實行嚴(yán)格的訪問控制和相應(yīng)的加密技術(shù)建立安全的數(shù)據(jù)傳輸通道。做到不同用戶在不同時間地點對資源擁有不同的訪問權(quán)限。同時，主機還需使用主機入侵檢測技術(shù)，能及時發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和入侵行為并迅速做出響應(yīng)，如切斷用戶連接。針對現(xiàn)在日益嚴(yán)重的病毒危害，必須部署網(wǎng)絡(luò)化的防病毒系統(tǒng)，防止對數(shù)據(jù)和系統(tǒng)的侵害。另外，要做好：

①操作系統(tǒng)（Unix/Windows）漏洞檢測與修復(fù)；

②通用基礎(chǔ)應(yīng)用程序漏洞檢測與修復(fù)；

③數(shù)據(jù)庫及其它各種系統(tǒng)守護進程漏洞及修復(fù)；

④數(shù)據(jù)的安全保障，包括介質(zhì)與載體安全保護、數(shù)據(jù)訪問控制、系統(tǒng)數(shù)據(jù)訪問控制檢查、標(biāo)識與鑒別、數(shù)據(jù)完整性、數(shù)據(jù)可用性、數(shù)據(jù)監(jiān)控和審計、數(shù)據(jù)存儲與備份安全

4.3 應(yīng)用安全層

應(yīng)用安全層將保障校園網(wǎng)相關(guān)信息系統(tǒng)在校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)上能安全運行，因而本層的應(yīng)用安全層的脆弱性將給信息化系統(tǒng)帶來最大損失的致命威脅；那么在實施過程中，除應(yīng)用系統(tǒng)程序設(shè)計時加強像用戶口令，權(quán)限，加密安全傳輸?shù)却胧┮酝猓€需要從教學(xué)業(yè)務(wù)應(yīng)用特點的實際出發(fā)，對應(yīng)用系統(tǒng)以下幾個方面做好評估，以確保安全：

①應(yīng)用系統(tǒng)軟件的程序安全性測試（bug分析）；

②業(yè)務(wù)交往的防抵賴測試；

③業(yè)務(wù)資源的訪問控制驗證測試；

④業(yè)務(wù)實體的身份鑒別檢測；

⑤業(yè)務(wù)現(xiàn)場的備份與恢復(fù)機制檢查；

⑥業(yè)務(wù)數(shù)據(jù)的唯一性/一致性/防沖突檢測；

⑦業(yè)務(wù)數(shù)據(jù)的保密性測試；

⑧業(yè)務(wù)系統(tǒng)的可靠性測試；

⑨業(yè)務(wù)系統(tǒng)的可用性測試。

4.4 網(wǎng)絡(luò)監(jiān)控和身份認(rèn)證系統(tǒng)

網(wǎng)監(jiān)系統(tǒng)實際上是技術(shù)安保手段，它通過完善的安全功能來保障城域網(wǎng)的安全。這主要包括漏洞管理、威脅管理、配置管理以及響應(yīng)等。網(wǎng)監(jiān)系統(tǒng)從網(wǎng)絡(luò)交換設(shè)備、網(wǎng)絡(luò)安全設(shè)備、主機系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用系統(tǒng)，存儲備份等幾個方面來部署。通過對路由器交換機的訪問日志察看接入狀況；通過入侵防護設(shè)備的報警信息及防火墻的非正常連接，防病毒的報警與升級來掌握網(wǎng)絡(luò)的安全狀況；對服務(wù)器的監(jiān)控則通過性能檢查、日志以及系統(tǒng)錯誤報警、應(yīng)用錯誤報警來識別；對重要應(yīng)用和數(shù)據(jù)的訪問日志及報警日志來判別應(yīng)用系統(tǒng)和數(shù)據(jù)庫的安全。身份認(rèn)證系統(tǒng)貫穿于整個系統(tǒng)中，它解決訪問者的物理身份和數(shù)字身份的一致性問題。由于校園網(wǎng)中的應(yīng)用系統(tǒng)很多，各個系統(tǒng)都有自己的安全策略，那么通過一套統(tǒng)一的身份認(rèn)證系統(tǒng)，采用單點登陸機制后，使用單一賬號，系統(tǒng)維護自動接駁到后臺各應(yīng)用系統(tǒng)的賬號管理。實施時采用：建立身份認(rèn)證倉庫，將用戶的訪問信息獨立于應(yīng)用程序來進行集中管理；建立單一的權(quán)威目錄作為所有數(shù)據(jù)的數(shù)據(jù)源；基于身份認(rèn)證的網(wǎng)絡(luò)管理能夠幫助管理員集中創(chuàng)建和銷毀網(wǎng)絡(luò)賬戶。

5.結(jié)束語

校園網(wǎng)的網(wǎng)絡(luò)安全問題必須通盤考慮，進行體系化的整體安全設(shè)計和實施。要理論先行，技術(shù)成熟合理，同時還要結(jié)合專用的安全設(shè)備，采取多層、多域的保護措施。當(dāng)然，保護網(wǎng)絡(luò)安全，只靠技術(shù)還是不夠的，還需要從策略、管理、服務(wù)等多方面來構(gòu)建一個立體的安全防護體系，這樣才能真正的把校園網(wǎng)建好、用好、管好。

參考文獻

[1]胡道元，閔京華.網(wǎng)絡(luò)安全[M].清華大學(xué)出版社，2004， 1（1）.

[2]李逢天.網(wǎng)絡(luò)運營中的網(wǎng)絡(luò)安全問題及解決思路[J].電信技術(shù)，2003，1（9）.

篇7

實驗室建成后整體上可為以上幾類輸出人才提供教學(xué)、設(shè)備實操、項目演練、技能訓(xùn)練，以及為學(xué)生提供專業(yè)的培訓(xùn)服務(wù)，以增強個人專業(yè)素養(yǎng)和職業(yè)能力。滿足學(xué)校建立多樣化實驗環(huán)境的需要?？紤]到IT行業(yè)正按行業(yè)細(xì)分性發(fā)展，各行業(yè)對人才的行業(yè)理解能力日益突出。實驗室的建設(shè)要滿足學(xué)校相關(guān)學(xué)科的需要，從教學(xué)體系到硬件設(shè)備可模擬行業(yè)進行實驗〔4〕。如金融、政務(wù)、電子商務(wù)、企業(yè)信息化等行業(yè)實驗，打造行業(yè)技術(shù)突出的專業(yè)化精細(xì)人才。同時，提供標(biāo)準(zhǔn)的技術(shù)接口，學(xué)科可引入配套的實驗應(yīng)用系統(tǒng)，進行整體信息化的設(shè)計與項目演練，打造應(yīng)用細(xì)分化實驗，突破傳統(tǒng)實驗僅限于網(wǎng)絡(luò)層和系統(tǒng)層的應(yīng)用局限〔5〕。

滿足專業(yè)教師學(xué)習(xí)網(wǎng)絡(luò)、從事網(wǎng)絡(luò)技術(shù)研究和應(yīng)用系統(tǒng)開發(fā)的需要。除了引入傳統(tǒng)網(wǎng)絡(luò)實驗的交換、路由、安全等技術(shù)外，網(wǎng)絡(luò)工程實驗室還引入3G、數(shù)據(jù)中心、云虛擬化等前沿技術(shù)實驗。一方面可以為精英式學(xué)生、學(xué)校教師提供前沿技術(shù)學(xué)習(xí)了解、專研的平臺條件，同時，也為引入完善的行業(yè)項目實驗提供了如3G接入，數(shù)據(jù)中心、信息安全設(shè)計等實驗支撐平臺，使實驗中心有條件模擬全面的綜合實驗項目。

滿足實習(xí)基地建設(shè)的需要。為了使網(wǎng)絡(luò)工程學(xué)科能正常高效開展起來，學(xué)校學(xué)科建設(shè)和人才培養(yǎng)中，提供認(rèn)證、雙師培訓(xùn)、置換教材、技能競賽、行業(yè)實驗等服務(wù)，配合學(xué)校進行精英式教學(xué)課程、人才培養(yǎng)建設(shè)。同時提升建設(shè)效率，在短時間內(nèi)即有明顯、創(chuàng)新的發(fā)展提升。同時加緊建設(shè)底層的硬件實驗設(shè)備，完全采用行業(yè)標(biāo)準(zhǔn)設(shè)備，技術(shù)全面、產(chǎn)品質(zhì)量穩(wěn)定。

網(wǎng)絡(luò)工程實驗室建設(shè)規(guī)劃

如圖1所示，本實驗室共分為5個部份：連接區(qū)、教學(xué)管理區(qū)、學(xué)生區(qū)、教學(xué)實驗區(qū)、出口區(qū)。（1）連接區(qū)。負(fù)責(zé)將整個實驗室各區(qū)域互聯(lián)，融合成有機的一體，實現(xiàn)數(shù)據(jù)共享，遠程操作管理。（2）教學(xué)管理區(qū)。教師及管理員對整個實驗室資源、實驗課程進行統(tǒng)一分配、管理。（3）學(xué)生區(qū)。參加實驗課程的學(xué)生區(qū)域。（4）教學(xué)實驗區(qū)。實驗室實驗設(shè)備放置、連接、仿真區(qū)域。（5）出口區(qū)。實驗室可通過出口區(qū)互聯(lián)到校園網(wǎng)，實驗室內(nèi)學(xué)生可訪問教育網(wǎng)或者互聯(lián)網(wǎng)資源，同時將實驗室資源對外開放，進行遠程實驗。學(xué)校網(wǎng)絡(luò)實驗室建設(shè)中，網(wǎng)絡(luò)實驗室的基本配置為7組標(biāo)準(zhǔn)實驗臺，可完成網(wǎng)絡(luò)交換及路由方面的全部實驗。在每個標(biāo)準(zhǔn)實驗為基礎(chǔ)構(gòu)架，擴展功能實驗設(shè)備，建立細(xì)分型功能實驗組，進行相關(guān)內(nèi)容實驗。學(xué)校網(wǎng)絡(luò)工程實驗室建成后，應(yīng)當(dāng)滿足以下幾點要求：（1）能夠與行業(yè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備在統(tǒng)一管理下聯(lián)動進行實驗，可以通過拓?fù)涔芾砉δ莒`活搭建網(wǎng)絡(luò)拓?fù)洵h(huán)境；（2）可以提供多種網(wǎng)絡(luò)攻防實驗環(huán)境、行業(yè)特色業(yè)務(wù)實驗環(huán)境，能夠與其他設(shè)備配合模擬真實行業(yè)應(yīng)用業(yè)務(wù)系統(tǒng)及其網(wǎng)絡(luò)環(huán)境；（3）提供靈活可靠的管理方式，所有設(shè)備管理信息、拓?fù)湫畔⒖梢钥旖莞咝У慕y(tǒng)一進行配置管理；（4）完善的遠程實驗功能，全部實驗室本地進行的實驗均可通過遠程實驗完成，提高實驗室利用效率。

網(wǎng)絡(luò)工程實驗室教學(xué)規(guī)劃

網(wǎng)絡(luò)工程實驗室采用RG-CVM1000銳捷云虛擬實驗平臺，云虛擬實驗平特的虛擬化技術(shù)能使設(shè)備將硬件性能發(fā)揮到最佳，并能夠完善的支持各種信息安全、應(yīng)用系統(tǒng)的環(huán)境。它為高校的網(wǎng)絡(luò)工程實驗室提供了高性能、易使用、豐富實驗擴展的解決方案。RG-CVM1000具有10個千兆以太網(wǎng)接口，其中8個以太網(wǎng)接口可以同時獨立進行實驗、外加1個CONSOLE口和1個MGT帶外管理口。由于采用先進的高性能多核處理器及大容量高速內(nèi)存，可確保產(chǎn)品能夠滿足高性能要求。配置1塊液晶屏、2個USB口，設(shè)備運行信息、設(shè)備配置保存等功能都可以通過豐富的硬件配置來完成。RG-CVM1000銳捷云虛擬實驗平臺能完成的實驗主要包括以下幾個部分：（1）網(wǎng)絡(luò)工程基礎(chǔ)實驗在網(wǎng)絡(luò)工程實驗室內(nèi)，學(xué)生可以進行局域網(wǎng)、廣域網(wǎng)的組網(wǎng)、網(wǎng)絡(luò)通信編程實現(xiàn)、網(wǎng)絡(luò)七層協(xié)議的測試、lnternet技術(shù)的運用及各類服務(wù)器的配置等實驗。同時，也使學(xué)生在畢業(yè)時擴大了擇業(yè)的范圍，可以從事網(wǎng)絡(luò)技術(shù)工程師、網(wǎng)絡(luò)管理員等網(wǎng)絡(luò)技術(shù)類職業(yè)，就職于各網(wǎng)絡(luò)系統(tǒng)集成公司，或成為各種類型單位或公司的網(wǎng)絡(luò)管理員，這些對于學(xué)生來說都是具有現(xiàn)實意義的〔6〕。根據(jù)學(xué)校的教學(xué)和課程安排需要，此次學(xué)校建設(shè)的網(wǎng)絡(luò)工程實驗臺能夠提供以下基本實驗內(nèi)容：路由器、RIP路由協(xié)議、OSPF路由協(xié)議、廣域網(wǎng)技術(shù)、交換機接入及安全技術(shù)、無線網(wǎng)絡(luò)組建與配置、網(wǎng)管軟件RG-SNC等。（2）網(wǎng)絡(luò)安全保障實驗網(wǎng)絡(luò)安全領(lǐng)域已經(jīng)成為一個綜合、交叉的學(xué)科領(lǐng)域。網(wǎng)絡(luò)安全涉及到網(wǎng)絡(luò)通信、信息系統(tǒng)、數(shù)據(jù)等各個層面，它需要綜合利用計算機技術(shù)、網(wǎng)絡(luò)通信、電子電路技術(shù)、數(shù)學(xué)、物理等諸多學(xué)科的長期知識積累和最新研究成果〔7〕。網(wǎng)絡(luò)安全也是一個復(fù)雜的系統(tǒng)工程，它涉及到信息基礎(chǔ)建設(shè)、網(wǎng)絡(luò)與系統(tǒng)的構(gòu)造、信息系統(tǒng)與業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)、信息安全的法律法規(guī)、安全管理體系等〔7〕。因此網(wǎng)絡(luò)安全是網(wǎng)絡(luò)通信應(yīng)用領(lǐng)域安全防護問題的一門新興的應(yīng)用學(xué)科。該學(xué)科交叉性多、邊緣性強、應(yīng)用面寬，是一個龐大的學(xué)科群體系。根據(jù)學(xué)校的教學(xué)和課程安排需要，可為學(xué)校開展的網(wǎng)絡(luò)安全實驗提供以下實驗內(nèi)容：網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)身份識別、網(wǎng)絡(luò)的攻防、VPN虛擬專網(wǎng)的搭建、網(wǎng)絡(luò)的綜合安全規(guī)劃等。（3）IT運維實驗IT運維實驗首先要解決網(wǎng)絡(luò)拓?fù)涞膯栴}，它展示了被管理網(wǎng)絡(luò)的真實情況，直觀的為網(wǎng)管人員提供了全網(wǎng)布局情況和設(shè)備運行情況〔8〕。學(xué)生可直接查看通過設(shè)備接入的在線學(xué)生狀態(tài)和信息,包括學(xué)生姓名、學(xué)生IP、交換機接口、在線時長等信息，更加清晰的呈現(xiàn)網(wǎng)內(nèi)在線學(xué)生狀態(tài)。同時可分別從設(shè)備角度和軟件的角度對網(wǎng)內(nèi)設(shè)備使用的軟件及版本情況進行分析，清晰展示當(dāng)前網(wǎng)內(nèi)設(shè)備軟件版本、設(shè)備型號和安裝數(shù)量，為學(xué)生整體的網(wǎng)絡(luò)規(guī)劃提供依據(jù)。

系統(tǒng)特點及創(chuàng)新之處

（1）支持復(fù)雜多樣的實驗環(huán)境支持Windows2000、Windowsxp、Windows2003、Ubuntu、FreeBSD、RedhatLinux等豐富的操作系統(tǒng)。系統(tǒng)內(nèi)置木馬檢測、系統(tǒng)安全評估、弱口令破解、數(shù)據(jù)庫安全、信息安全風(fēng)險評估等豐富的實驗環(huán)境。（2）支持學(xué)生根據(jù)需求自定義并快速搭建、創(chuàng)造新的實驗環(huán)境目前內(nèi)置系統(tǒng)安全、木馬攻防、DDOS攻防、信息安全風(fēng)險評估等多種網(wǎng)絡(luò)攻防實驗，后續(xù)可通過實驗擴展包擴展支持信息安全實驗、服務(wù)器實驗、行業(yè)特色應(yīng)用系統(tǒng)實驗等更多實驗內(nèi)容。實驗提供環(huán)境設(shè)計器、應(yīng)用生成器、實驗設(shè)計器，幫助學(xué)生快速高效的完成不同應(yīng)用環(huán)境下的實驗課件生成。（3）支持搭建真實行業(yè)特色應(yīng)用實驗環(huán)境能夠提供多種真實行業(yè)特色應(yīng)用系統(tǒng)實驗升級包，提供不同行業(yè)真實業(yè)務(wù)系統(tǒng)實驗環(huán)境。結(jié)合實驗室網(wǎng)絡(luò)、安全設(shè)備，完整模擬真實行業(yè)學(xué)生業(yè)務(wù)系統(tǒng)應(yīng)用環(huán)境。（4）簡便、可靠的管理方式通過LIMP進行統(tǒng)一管理，靈活管理學(xué)生信息及使用權(quán)限，多樣化的課程、實驗管理，滿足學(xué)生不同的管理需要。設(shè)備支持帶外管理的管理方式，管理線路、實驗環(huán)境圖像傳輸線路與實驗線路分開，確保在復(fù)雜攻擊環(huán)境條件下不會對設(shè)備管理信息的通暢造成影響。同時設(shè)備自帶有一塊液晶屏，可直觀方便的了解設(shè)備的使用狀況，并可進行簡單配置操作。（5）完善的遠程實驗支持借助LIMP完善的遠程實驗功能，CVM能夠與NTC、LIMP配合形成完善的遠程實驗解決方案，大幅提高實驗室利用率；帶外管理的方式保障遠程實驗管理方便可靠。#p#分頁標(biāo)題#e#

篇8

關(guān)鍵詞：高校信息化；碎片化服務(wù)；企業(yè)架構(gòu)

中圖分類號：G647，G202 文獻標(biāo)志碼：B 文章編號：1673-8454（2016）19-0011-03

自上世紀(jì)80年代以來，我國高校的信息化開始起步，初期的發(fā)展模式主要是將計算機技術(shù)應(yīng)用于財務(wù)管理等領(lǐng)域，發(fā)展動力來源于IT技術(shù)廠商，屬技術(shù)驅(qū)動型。隨著信息化效益的初步顯現(xiàn)，尤其是近10年來，組織的信息化意識逐步增強，信息化逐步向業(yè)務(wù)驅(qū)動轉(zhuǎn)化，各高校信息化整體建設(shè)水平得到了很大的提升，信息系統(tǒng)開始全面支撐學(xué)校業(yè)務(wù)，但是在總體業(yè)務(wù)架構(gòu)與數(shù)據(jù)架構(gòu)上尚處于無序狀態(tài)，數(shù)據(jù)和流程問題依然是高校信息化建設(shè)中的兩大核心難題，信息應(yīng)用系統(tǒng)建設(shè)對業(yè)務(wù)變化的快速支撐成為矛盾的焦點。

目前，不少高校在信息化的業(yè)務(wù)架構(gòu)和數(shù)據(jù)應(yīng)用方面做了一些有益的探索。[1，2]如2011年清華大學(xué)基于企業(yè)架構(gòu)理論，提出由業(yè)務(wù)架構(gòu)、信息系統(tǒng)架構(gòu)和技術(shù)架構(gòu)三部分組成的高校信息化的大學(xué)架構(gòu)理論；[1]復(fù)旦大學(xué)于2012年就以共享庫的數(shù)據(jù)集成為基礎(chǔ)，對數(shù)據(jù)根據(jù)使用目的建立主題，通過業(yè)務(wù)的集中和整合，對校園信息化新一輪發(fā)展中的一站式服務(wù)進行了規(guī)劃和設(shè)計。[2]本研究借鑒各高校的探索經(jīng)驗，圍繞碎片化服務(wù)的核心思路，在企業(yè)架構(gòu)理論的基礎(chǔ)上構(gòu)建了新一代高校信息化架構(gòu)模式并進行了應(yīng)用實踐，以有效解決當(dāng)前信息化建設(shè)過程中的數(shù)據(jù)和流程兩大難題。

一、高校信息化現(xiàn)狀

近10年高校信息化建設(shè)發(fā)展迅速，幾乎所有的高校都基于信息管理系統(tǒng)（MIS）模式進行了一至兩輪的數(shù)字校園建設(shè)，出現(xiàn)問題如下：①師生不愿意用。由于系統(tǒng)是以管理者的視角進行的設(shè)計，普通用戶與管理者使用同一套系統(tǒng)，使用起來很困難，而很多師生迫切需要的常用服務(wù)卻很少有系統(tǒng)支撐。②業(yè)務(wù)部門不滿意。業(yè)務(wù)需求的多變是一種常態(tài)，但功能變更響應(yīng)不及時，同時由于系統(tǒng)龐大、功能繁多，學(xué)習(xí)使用系統(tǒng)耗時耗力；③校領(lǐng)導(dǎo)對信息化無感知。信息中心無法給出信息化高投入所帶來的管理效率提升、服務(wù)師生乃至決策支持方面的實證。④信息中心壓力大。管理效率的提升源自業(yè)務(wù)部門的流程變革，跨部門的服務(wù)應(yīng)用來自于業(yè)務(wù)部間的流程整合，管理決策數(shù)據(jù)的積累來自于業(yè)務(wù)系統(tǒng)的使用，這些對大多數(shù)學(xué)校的信息中心來說似乎也無能為力，而信息中心卻承擔(dān)著各類業(yè)務(wù)系統(tǒng)安全運維與保障的壓力，系統(tǒng)建得越多，信息中心的壓力越大，根本無暇顧及普通師生普遍關(guān)注的個性化服務(wù)應(yīng)用建設(shè)。

當(dāng)前高校信息化建設(shè)的諸多問題，已有專家學(xué)者關(guān)注到。[2，3]如清華大學(xué)的蔣東興指出，學(xué)校的信息系統(tǒng)越來越龐大復(fù)雜，已經(jīng)給建設(shè)運行模式提出了嚴(yán)峻的挑戰(zhàn)：沒有一家IT公司能夠提出一個高校數(shù)字校園的整體解決方案并圓滿地實施，很多高校信息化建設(shè)陷入進退維谷的境地。筆者認(rèn)為，MIS系統(tǒng)的建設(shè)使學(xué)校業(yè)務(wù)部門和信息化管理部門在業(yè)務(wù)與管理創(chuàng)新方面的合作日趨緊密，IT與業(yè)務(wù)的一致性有了很大的提升，但是在數(shù)據(jù)共享、系統(tǒng)集成、重復(fù)投資、系統(tǒng)利用率、IT快速響應(yīng)業(yè)務(wù)需求等方面仍存在較多困難，究其原因主要是學(xué)校的信息化缺乏總體設(shè)計，因此，需要加強校園信息化建設(shè)方法與理論的探索和實踐。

二、基于碎片化服務(wù)的高校信息化架構(gòu)思路

由于當(dāng)前高校正處于一個變革時期，從各學(xué)校的信息化建設(shè)實踐來看，從學(xué)校整體業(yè)務(wù)出發(fā)全面梳理學(xué)校各類業(yè)務(wù)應(yīng)用，建立統(tǒng)一規(guī)范的業(yè)務(wù)模型在短時間內(nèi)幾乎不可行。筆者在近年的工作實踐中總結(jié)出了“碎片化服務(wù)”的建設(shè)思路，并以此為核心，在頂層設(shè)計上以企業(yè)架構(gòu)為指導(dǎo)提出了高校信息化架構(gòu)的實施框架。

1.碎片化服務(wù)

碎片化服務(wù)是針對當(dāng)前高校信息化建設(shè)的現(xiàn)狀提出的全新的建設(shè)方法和建設(shè)思路，百度百科中對“碎片化（Fragmentation）”的解釋是：完整的東西破成諸多零塊。我們將學(xué)校信息化服務(wù)中最小顆粒度的業(yè)務(wù)應(yīng)用稱之為“碎片化服務(wù)”，這種碎片化服務(wù)以解決一個問題（做一件事）為邊界，其基本要求為能夠完整形成業(yè)務(wù)應(yīng)用的邏輯閉環(huán)。碎片化服務(wù)之間在數(shù)據(jù)層面互相支撐，在業(yè)務(wù)邏輯上呈松耦合關(guān)系，既相互獨立又可進一步整合完成更復(fù)雜的業(yè)務(wù)。

碎片化服務(wù)是校園信息化服務(wù)的最小服務(wù)單元（輕量級應(yīng)用），是有效解決當(dāng)前信息化建設(shè)難點（數(shù)據(jù)、流程）、提升用戶體驗、構(gòu)建開放的校園信息化建設(shè)生態(tài)的重要手段。由于業(yè)務(wù)應(yīng)用的顆粒度較小，流程、角色、權(quán)限變得清晰，在實現(xiàn)服務(wù)應(yīng)用的定點定時定人推送方面變得容易，可以真正做到個性化的服務(wù)推送，而較小的業(yè)務(wù)應(yīng)用的業(yè)務(wù)表單數(shù)據(jù)字段總量必然不大，對逐步理清數(shù)據(jù)源頭、規(guī)范校內(nèi)業(yè)務(wù)數(shù)據(jù)標(biāo)準(zhǔn)、保持?jǐn)?shù)據(jù)一致性提供了良好的數(shù)據(jù)建設(shè)方法。由于業(yè)務(wù)應(yīng)用的碎片化，每個業(yè)務(wù)需求都可以獨立進行設(shè)計開發(fā)，因此建設(shè)周期和建設(shè)難度大大降低，但是每個服務(wù)應(yīng)用的開發(fā)與設(shè)計必須遵循一定的標(biāo)準(zhǔn)和規(guī)范。

2.企業(yè)架構(gòu)

企業(yè)架構(gòu)（Enterprise Architecture ， 簡稱EA）借助信息技術(shù)， 用工業(yè)化、標(biāo)準(zhǔn)化和工程化的思路來研究如何將業(yè)務(wù)需求映射到IT 系統(tǒng)， 能在對業(yè)務(wù)戰(zhàn)略和流程理解的基礎(chǔ)上，進行信息化頂層設(shè)計，形成靈活穩(wěn)健的IT結(jié)構(gòu)，[4]EA從各個層面反映業(yè)務(wù)、服務(wù)、技術(shù)和產(chǎn)品及其相互之間的關(guān)系，輔以其管控和演進的規(guī)則，因而近年來被多個領(lǐng)域的研究者所關(guān)注。目前，國際上主要的EA框架與方法論包括開放組架構(gòu)框架（TOGAF）、美國聯(lián)邦體系架構(gòu)（FEA）和美國國防部架構(gòu)框架（DoDAF），TOGAF是目前認(rèn)知度與接受度最高的架構(gòu)框架。2011年，在國家社科基金支持下，相關(guān)研究機構(gòu)推出了中國本土化的EA框架，即信息化體系架構(gòu)框架（IEAF）。

企業(yè)架構(gòu)可分為兩大部分，一是業(yè)務(wù)架構(gòu)，二是IT架構(gòu)。業(yè)務(wù)架構(gòu)是把企業(yè)的業(yè)務(wù)戰(zhàn)略轉(zhuǎn)化為日常運作的渠道，由業(yè)務(wù)戰(zhàn)略決定，包括業(yè)務(wù)的運營模式、流程體系、組織結(jié)構(gòu)、地域分布等內(nèi)容；IT架構(gòu)是建立企業(yè)信息系統(tǒng)的綜合藍圖，包括信息架構(gòu)、應(yīng)用架構(gòu)和技術(shù)架構(gòu)三部分。對比其他主要關(guān)注于實現(xiàn)的規(guī)程，企業(yè)架構(gòu)領(lǐng)域原則上的關(guān)注點是企業(yè)范圍內(nèi)的業(yè)務(wù)需求的識別、規(guī)范及優(yōu)先級劃分。企業(yè)架構(gòu)如同戰(zhàn)略規(guī)劃，可以幫助企業(yè)執(zhí)行業(yè)務(wù)戰(zhàn)略規(guī)劃及IT戰(zhàn)略規(guī)劃，是承接企業(yè)業(yè)務(wù)戰(zhàn)略與IT戰(zhàn)略之間的橋梁與標(biāo)準(zhǔn)接口，是企業(yè)信息化規(guī)劃的核心。

3.碎片化服務(wù)架構(gòu)

如圖1所示，在高校信息化架構(gòu)實施框架的頂層設(shè)計上，借鑒了企業(yè)架構(gòu)的業(yè)務(wù)流程、應(yīng)用、信息及基礎(chǔ)設(shè)施四大框架的構(gòu)建方法并落地實施。在業(yè)務(wù)架構(gòu)上，采用“碎片化服務(wù)”的信息化應(yīng)用建設(shè)方式；在應(yīng)用架構(gòu)上，建立了與“碎片化服務(wù)”業(yè)務(wù)架構(gòu)相匹配的高校信息化開放平臺；在信息架構(gòu)上，結(jié)合國家及各學(xué)校的信息標(biāo)準(zhǔn)模型重新建設(shè)信息標(biāo)準(zhǔn)以及綜合服務(wù)數(shù)據(jù)庫，并以應(yīng)用服務(wù)的建設(shè)為牽引不斷進行更新迭代；在技術(shù)架構(gòu)上，則以“私有云+公有云”的混合模式進行建設(shè)。

三、實證分析――以南京農(nóng)業(yè)大學(xué)為例

南京農(nóng)業(yè)大學(xué)校園信息化建設(shè)初期也是基于MIS系統(tǒng)模式進行的建設(shè)。2014年，面對信息化發(fā)展瓶頸，開始尋求突破，在企業(yè)架構(gòu)理論的指導(dǎo)下，通過兩年多的探索與實踐，建設(shè)了基于碎片化服務(wù)的新一代高校信息化應(yīng)用開放平臺架構(gòu)。由于篇幅有限，本文僅對應(yīng)用架構(gòu)（開放平臺）的關(guān)鍵技術(shù)做簡單介紹。

1.信息應(yīng)用開放平臺的架構(gòu)

如圖2所示，信息應(yīng)用開放平臺為碎片化服務(wù)提供了接入與運行的基礎(chǔ)環(huán)境，由應(yīng)用管理中心、流程中心、服務(wù)總線、公共組件、數(shù)據(jù)（標(biāo)準(zhǔn)）庫五大核心功能中心組成，與信息安全、運維及運營體系共同形成校園信息應(yīng)用的開放環(huán)境，為校園信息化建設(shè)的多方參與提供了可能。

（1）應(yīng)用服務(wù)層

應(yīng)用，即碎片化服務(wù)，位于開放平臺架構(gòu)的最上層，主要分兩類，一類是需要在校內(nèi)進行安裝部署的（存放于校內(nèi)私有云，包括校內(nèi)師生自主開發(fā)及委托第三方企業(yè)開發(fā)的各類應(yīng)用），另一類是校外開放的各種互聯(lián)網(wǎng)應(yīng)用（運行于校外公有云），這些校內(nèi)外應(yīng)用共同形成了學(xué)校信息化應(yīng)用的資源池向?qū)W校提供信息化服務(wù)。

（2）應(yīng)用管理中心

由應(yīng)用接入、應(yīng)用管理、應(yīng)用展現(xiàn)組成，應(yīng)用接入主要負(fù)責(zé)各類應(yīng)用接入校園的方式方法管理，如本地化部署方案、數(shù)據(jù)接口的提供、身份認(rèn)證及安全管理等；應(yīng)用管理則重在應(yīng)用接入學(xué)校后的基本屬性的配置，如業(yè)務(wù)域分配、應(yīng)用管理員分配、開放及推薦策略、權(quán)限及用戶組的配置、流程及任務(wù)中心的連接、展現(xiàn)方式的設(shè)置等；應(yīng)用展現(xiàn)是指此類應(yīng)用內(nèi)的用戶使用何種終端（手機端/PC）的頁面展現(xiàn)形式。

（3）基于服務(wù)的柔性流程編排

也稱為流程中心、任務(wù)中心，很多業(yè)務(wù)應(yīng)用內(nèi)的流程是動態(tài)的，需要流程具有柔性，即允許流程實例所依賴的流程定義中的部分流程片段為抽象的，并隨著流程實例的執(zhí)行，逐步實例化這部分抽象的內(nèi)容。在流程實例運行過程中，可以動態(tài)地對流程實例所依賴的流程定義進行修改，包括增添、刪除、修改流程中的活動節(jié)點或更改業(yè)務(wù)邏輯，重新驗證發(fā)生變化的流程定義的正確性、合法性等。動態(tài)流程柔性編排相對靈活，具有足夠的彈性和良好的擴展性，能很好地滿足上層接入應(yīng)用的二次開發(fā)，快速適應(yīng)學(xué)校個性化需求。

（4）校園服務(wù)總線（ESB）

是向應(yīng)用管理平臺提供各類服務(wù)能力的核心組件，主要負(fù)責(zé)各類API接口的定義、服務(wù)治理（服務(wù)的注冊、啟停、集成與管理）等，通過服務(wù)集成工具和服務(wù)標(biāo)準(zhǔn)管理工具為底層各類服務(wù)的接入提供接口定義、格式轉(zhuǎn)換及版本管理等能力。

（5）公共應(yīng)用組件及數(shù)據(jù)庫支撐

如IDS、支付、打印、統(tǒng)一通訊、消息、數(shù)據(jù)標(biāo)準(zhǔn)及數(shù)據(jù)庫等，這些公共服務(wù)組件以標(biāo)準(zhǔn)接口（如API）形式在校園服務(wù)總線上注冊并被服務(wù)總線所管理，通過總線對外暴露各類能力接口供最上層應(yīng)用（碎片化服務(wù)）所調(diào)用或復(fù)用。

安全及運維、運營體系位于架構(gòu)的左側(cè)，是開放平臺正常高效運轉(zhuǎn)的重要保障，在此不再贅述。

2.實際應(yīng)用及成效

2014年在南京農(nóng)業(yè)大學(xué)開始了基于碎片化服務(wù)的高校信息化架構(gòu)的建設(shè)實踐。首先基于碎片化服務(wù)的理論，探索總結(jié)出服務(wù)分析的七步方法論，以此指導(dǎo)完成了82個高校信息應(yīng)用服務(wù)的需求調(diào)研分析報告和方案設(shè)計，目前已完成新生報到、學(xué)生心理測評、師生查詢、教師個人數(shù)據(jù)中心等63個服務(wù)應(yīng)用的開發(fā)并已上線試運行，其中本校師生自主開發(fā)的師生課表查詢、體檢報告等應(yīng)用服務(wù)7個，委托第三方企業(yè)開發(fā)的業(yè)務(wù)應(yīng)用57個。（見圖3）應(yīng)用管理中心配置業(yè)務(wù)域11個，用戶群組66類。應(yīng)用效果顯示，架構(gòu)的開放性讓高校信息化的“人人參與、多方參與、共同建設(shè)”成為可能，其研究與實踐成果已經(jīng)被合作企業(yè)所采納并在復(fù)旦大學(xué)、同濟大學(xué)、南京理工大學(xué)等多所高校實施，深得各高校的好評。

參考文獻：

[1]蔣東興，袁徐磊，劉啟新，袁芳，付小龍.大學(xué)信息化架構(gòu)探索[J].實驗技術(shù)與管理，2011（5）：7-11.

[2]趙澤宇，張凱，宓.高校一站式信息化服務(wù)[J].科研信息化技術(shù)與應(yīng)用，2012（3）：52-59.

篇9

【關(guān)鍵詞】桌面；虛擬化；研究；應(yīng)用

一、前言

隨著社會的發(fā)展，信息化的普及，信息化的建設(shè)實現(xiàn)了從無到有，從實體應(yīng)用到虛擬應(yīng)用的轉(zhuǎn)化。虛擬化不僅僅為企業(yè)單位節(jié)省了購置新設(shè)備的開銷，更為信息中心集中化管理，合理分配資源提供了堅實的基礎(chǔ)。桌面虛擬化基于虛擬化應(yīng)用平臺交付和虛化框架平臺的集成，依賴于服務(wù)器虛擬化。桌面虛擬化的信息安全問題，是虛擬化新技術(shù)與信息安全的交集。桌面虛擬化安全是值得探討的一個話題，其目標(biāo)是打造為企業(yè)重要信息提供可靠支撐的信息化保障體系，為企業(yè)帶來更高的實際利益。

二、桌面終端安全分析

1、桌面虛擬化背景分析

桌面虛擬化是指將計算機的桌面進行虛擬化，使用戶可以通過安全網(wǎng)絡(luò)在任何設(shè)備，任何地點，任何時間遠程訪問屬于其個人的桌面，并獲得與傳統(tǒng) PC 機一致的用戶體驗。桌面虛擬化不是由本地操作系統(tǒng)產(chǎn)生的，而是由后臺數(shù)據(jù)中心生成，并完成交付的工作，其擁有

集中管理、可擴展的管理、簡化的部署等特性。

目前， VDI（ Virtual Desktop Infrastructure） 是 桌面虛擬化的主流架構(gòu)與部署方式，當(dāng)前主流的虛擬桌面技術(shù)廠商，都已經(jīng)確定了各自主打的桌面顯示協(xié)議，如 Microsoft 的 RDP、 Citrix 的 ICA/HDX、 Red Hat 的SPICE、 VMware 的 PCoIP 等。桌面虛擬化通過統(tǒng)一的遠程訪問協(xié)議來進行桌面訪問，這樣的好處是顯而易見的， IT 人員只需要做好其中一條防線的保護。

2、桌面虛擬化安全問題

云計算是桌面虛擬化的重要支撐，是一個 IT 基礎(chǔ)架構(gòu)的研究熱點，虛擬桌面重新回收分散的桌面分布，集中到數(shù)據(jù)中心統(tǒng)一部署和管理，這大大方便了桌面維護工程師的工作。桌面虛擬化技術(shù)的應(yīng)用大大提高了桌面的可用性，而性能也可以通過使用新的、更強大的服務(wù)器不斷提高。桌面虛擬化在內(nèi)網(wǎng)安全方面的提升很明顯，例如防止數(shù)據(jù)丟失，數(shù)據(jù)備份，系統(tǒng)的簡化等。但由于信息化的不斷發(fā)展，桌面虛擬化應(yīng)用隨之普及，也帶來了一些新的安全問題。例如 Blue pill 攻擊，它通過良好的處理內(nèi)核模式存儲轉(zhuǎn)換，使用 VMRUN 以及相關(guān)的 SVM 指令，對第三方軟件進行欺騙操作，取得系統(tǒng)的進入許可，如使用虛擬主機進行跳板攻擊，將大大威脅數(shù)據(jù)中心的整體安全。另外，資源濫用也不容忽視，個別用戶的資源濫用，可導(dǎo)致其他桌面用戶體驗受影響。桌面虛擬化因用戶群體關(guān)系，基本上基于 Windows系統(tǒng)，但 Windows 安全性的一些問題不容忽視。為解決這些問題，管理員會使用傳統(tǒng)的殺毒軟件及防火墻進行部署，但對于桌面虛擬化環(huán)境，這并沒有提高效率，還可能出現(xiàn)嚴(yán)重的問題。例如，殺毒軟件的不合理設(shè)置，可能導(dǎo)致殺毒風(fēng)暴的出現(xiàn)，這將耗盡數(shù)據(jù)中心所有資源，導(dǎo)致數(shù)據(jù)中心宕機。

因此，對于數(shù)據(jù)中心的運維而言，迫切需要一套新的運維方式和技術(shù)手段去保障系統(tǒng)的穩(wěn)定和安全。

三、桌面虛擬化優(yōu)勢

任何新技術(shù)都有其特有的優(yōu)勢，桌面虛擬化也不例外，以下我們對桌面虛擬化的優(yōu)勢進行分析。

1、高可用性

桌面虛擬化可以客戶機為粒度進行封裝，可以方便地實現(xiàn)快照（ snapshot）、 克 隆（ clone）、 遷 移（ migration）、 掛 起（ suspend）和 恢 復(fù)（ re-sume）。從而大大提供系統(tǒng)高可用性和可維護性。利用以上的功能封裝，有助于減少數(shù)據(jù)備份和恢復(fù)過程的代價。在虛擬化環(huán)境中通過快照、 克隆、 遷移等方式進行虛擬機的快速恢復(fù)，比傳統(tǒng)的操作系統(tǒng)安裝、 環(huán)境配置、 重新配置應(yīng)用、 再恢復(fù)數(shù)據(jù)等繁瑣的步驟簡單高效。從而減少宕機時間，減少業(yè)務(wù)中斷帶來的風(fēng)險，增加業(yè)務(wù)連續(xù)性、 提高服務(wù)水平和信譽度。

2、提高資源使用率

針對桌面應(yīng)用，大多為清負(fù)載應(yīng)用，且熱點較少。利用桌面虛擬化，可使多臺客戶機在虛擬化平臺的統(tǒng)一調(diào)度下，共享硬件資源，并交替忙閑運行，可以極大提高硬件資源的使用效率，同時降低對硬件的整體投資，還能整體降低系統(tǒng)運營費用（空間、 電力和散熱等）。

3、隔離

客戶機是運行在虛擬化平臺之上的一個獨立實例，因此一個客戶機的故障不會影響到另外一個客戶機的運行。而物理主機和客戶機之間、客戶機之問無法直接通信。盡管多個操作系統(tǒng)運行一臺物理機器上，共享使用外設(shè)和網(wǎng)絡(luò)，但他們之間通信更類似于網(wǎng)絡(luò)中松散耦合的節(jié)點。

4、抽象

由于虛擬化平臺的存在，客戶機并不感知硬件的差別，可以自由的在不同的硬件上方面的遷移，屏蔽了硬件的多樣性和復(fù)雜性，便于系統(tǒng)的開發(fā)，同時能夠方便服務(wù)的提供和部署。

四、桌面虛擬化后期研發(fā)和應(yīng)用

1、加強用戶身份認(rèn)證與訪問控制

為保障用戶接入的安全，虛擬化桌面系統(tǒng)需具備更加嚴(yán)格的終端身份認(rèn)證機制，需支持豐富的認(rèn)證、 鑒權(quán)模式。同時，桌面虛擬化系統(tǒng)支持用戶通過瘦終端、 物理 PC 等，采用外接智能卡方式，實現(xiàn)用戶遠程接入的身份認(rèn)證。

需要在虛擬機的內(nèi)部和外部建立完善的權(quán)限和訪問控制機制，提供細(xì)化的訪問控制粒度，以適應(yīng)虛擬資源類型、 用戶角色和訪問控制協(xié)議。同時進一步保證每個虛擬機的權(quán)限和資源訪問能力，建立基于虛擬機的程序控制列表，使得每臺虛擬化桌面可以訪問不同的應(yīng)用程序，可以獲得不同的虛擬化桌面。

2、實現(xiàn)傳輸通道的安全保護

傳輸通道的安全保護主要從設(shè)備間通信、遠程介入以及遷移安全這幾個方面進行。首先虛擬化桌面和服務(wù)端的通訊可以通過 SSL 協(xié)議進行傳輸加密，確保整體傳輸過程中的安全性；其次為遠程接入設(shè)備提供安全連接點，為防火墻保護以外的設(shè)備遠程接入；針對遷移可以通過硬件建立虛擬桌面的加密傳輸通道，保證系統(tǒng)在遷移的過程中不會被復(fù)制。

3、提高數(shù)據(jù)集中存儲的安全性

桌面虛擬化技術(shù)中對集中存儲的保護是最重要的部分，一旦集中存儲遭到破壞，整個虛擬架構(gòu)就會受到嚴(yán)重的影響。在虛擬桌面的環(huán)境中，一般采用專業(yè)的加密設(shè)備進行加密存儲的方式，并且為了滿足合規(guī)范的要求，加密算法應(yīng)當(dāng)可以由用戶指定。

虛擬化桌面系統(tǒng)盤支持差分模式和獨立運行模式，差分模式允許用戶在共享系統(tǒng)盤的基礎(chǔ)上，保留自己的私有數(shù)據(jù)，包括應(yīng)用和系統(tǒng)數(shù)據(jù)；獨立運行模式不允許用戶修改系統(tǒng)盤，所有的修改在虛擬桌面重啟后均會丟失。任何人員（包括管理員）無法訪問他人虛擬桌面鏡像文件中的用戶數(shù)據(jù)信息。

五、結(jié)束語

綜上所述，本文針對桌面虛擬化的研究的有關(guān)內(nèi)容進行了分析，在此基礎(chǔ)上分析了目前桌面虛擬化的研究熱點，關(guān)于信息安全的有關(guān)問題進行了分析，最后提出了相應(yīng)安全策略方案，供相關(guān)的信息技術(shù)人員參考。

參考文獻

[1] 徐浩， 蘭雨晴. 基于SPICE協(xié)議的桌面虛擬化技術(shù)研究與改進方案[J]. 計算機工程與科學(xué)， 2013， 第12期：20-25.

[2] 李春榆. 淺析基于VMare ACE的桌面虛擬化在企業(yè)中的應(yīng)用[J]. 電腦知識與技術(shù)， 2014， 06期.

篇10

關(guān)鍵詞 云技術(shù)；云桌面；桌面虛擬化；校園網(wǎng)建

中圖分類號 G2 文獻標(biāo)識碼 A 文章編號 1674-6708（2017）183-0086-03

1 校園網(wǎng)建設(shè)和管理現(xiàn)狀

目前大多技工院校的校園網(wǎng)建設(shè)仍普遍采用傳統(tǒng)的部署模式，直接為每個應(yīng)用終端配備計算機硬件和軟件。學(xué)校普遍面臨的問題是計算機基礎(chǔ)設(shè)施的建設(shè)很難滿足學(xué)校日益增長的需求，學(xué)校只能在信息化建設(shè)方面不斷增加投入。另外，學(xué)校教學(xué)教研或各種辦公應(yīng)用，對計算機和網(wǎng)絡(luò)資源的需求不同，資源無法按需調(diào)配而造成浪費。還有各種設(shè)備負(fù)載不均衡和老化也是客觀存在的問題。

和很多二、三線城市的技工院校一樣，筆者所在學(xué)校的校園網(wǎng)早期受建設(shè)經(jīng)費的制約，建設(shè)方式單一簡單，整個校園網(wǎng)相當(dāng)一個二層通信構(gòu)建的平面網(wǎng)絡(luò)。各電腦終端僅是實現(xiàn)簡單的連通，網(wǎng)絡(luò)整體穩(wěn)定性不好，出現(xiàn)故障后排查困難，給校園網(wǎng)日常管理和維護工作帶來極大困擾和煩惱。

1.1 終端分散且配置不一，維護工作量大

校園網(wǎng)終端計算機分布在學(xué)校教學(xué)樓、實訓(xùn)樓和辦公樓各樓層，終端分散，網(wǎng)絡(luò)管理人員少，對校園網(wǎng)終端的維護不易。當(dāng)需要對校園網(wǎng)各終端進行系統(tǒng)更新、軟件升級或病毒查殺時，網(wǎng)絡(luò)管理員工作量特別大，需要逐個終端去操作。

另外，由于各終端計算機購置時間不一，計算機品牌、硬件配置和操作系統(tǒng)等各不相同。當(dāng)要為終端計算機部署軟件環(huán)境時，也需要對每個終端進行手動部署。維護工作量大，效率低。

1.2 網(wǎng)絡(luò)安全環(huán)節(jié)薄弱，存在極大網(wǎng)絡(luò)安全隱患

原有的網(wǎng)絡(luò)架構(gòu)部署在同一個平面上，各個終端計算機沒有進行有效的網(wǎng)絡(luò)隔離，一旦發(fā)生木馬感染或病毒攻擊，將會直接致使一個樓層片區(qū)的網(wǎng)絡(luò)發(fā)生故障，嚴(yán)重的甚至整個校園網(wǎng)癱瘓。

另外，由于終端計算機數(shù)量有限，無法滿足人手一臺，很多辦公室的計算機基本上不能做到專機專用，還得開放給其他無機人員使用。計算機在公用情況下存在安全隱患，由于使用過程可能使用U盤或光盤，以及訪問外網(wǎng)時無法有效監(jiān)管，存在感染病毒風(fēng)險。這種網(wǎng)j環(huán)境一旦感染病毒，往往導(dǎo)致計算機系統(tǒng)變慢甚至無法開機，更嚴(yán)重的會在校園網(wǎng)內(nèi)各終端互相傳播和攻擊，致使整個校園網(wǎng)絡(luò)癱瘓。

1.3 校園網(wǎng)終端故障頻繁，處理繁瑣

校園網(wǎng)各終端計算機在日常使用過程中，因為設(shè)備老化或人員操作不當(dāng)，常有發(fā)生電源、風(fēng)扇、內(nèi)存、硬盤和主板等硬件損壞情況，維修工作量大。尤其是每次寒暑假過后，或每年回南天潮濕天氣，終端故障率更高。

1.4 教室多媒體設(shè)備未聯(lián)通校園網(wǎng)

學(xué)校的教室應(yīng)用了多媒體教學(xué)，但每個教室、實訓(xùn)室的多媒體設(shè)施與校園網(wǎng)未互聯(lián)互通。教師要使用多媒體上課仍需要自備筆記本電腦或U盤，并且無法實時使用校園網(wǎng)絡(luò)資源，給教學(xué)實習(xí)帶來極大不便。

2 云桌面的概述

云桌面技術(shù)是云計算的一個典型應(yīng)用，又稱桌面虛擬化（VDI）。云桌面是指將終端計算機進行虛擬化，以實現(xiàn)終端桌面的靈活性和安全性。是一種瘦客系統(tǒng)和虛擬化技術(shù)的有機結(jié)合，主要以虛擬機形式在服務(wù)器上運行，通過桌面?zhèn)鬏攨f(xié)議的方式提供桌面的遠程顯示服務(wù)，方便用戶運用網(wǎng)絡(luò)就能訪問桌面計算環(huán)境的一種新技術(shù)。云終端用戶可以使用多種設(shè)備，隨時隨地通過網(wǎng)絡(luò)訪問屬于個人的云桌面系統(tǒng)，而且訪問云桌面就像是訪問傳統(tǒng)的本地桌面一樣。云終端則是指各種瘦客戶機、人個電腦、平板電腦、智能手機或其他移動智能終端等接入設(shè)備來有效獲取接入服務(wù)。

3 云桌面技術(shù)在校園網(wǎng)建設(shè)和管理中的運用

3.1 云桌面總體架構(gòu)

根據(jù)桌面虛擬化建設(shè)需求，實行“兩池一區(qū)”的運行環(huán)境架構(gòu)體系。分別為：虛擬化計算資源池、虛擬化存儲資源池和資源管理區(qū)。

虛擬化計算資源池是通過采用VDI虛擬化技術(shù)，為用戶提供高性能，高安全的業(yè)務(wù)辦公環(huán)境。

虛擬化存儲資源池是通過部署存儲設(shè)備，為虛擬機鏡像文件的共享存儲，以及為用戶的業(yè)務(wù)數(shù)據(jù)提供了可靠，安全可冗余的存儲環(huán)境。

資源管理區(qū)是通過在虛擬機環(huán)境部署冗余的管理服務(wù)器、連接服務(wù)器，數(shù)據(jù)庫服務(wù)器架構(gòu)為VDI的正常，穩(wěn)定運行提供后臺管理；通過部署云資源管理軟件為VDI環(huán)境下的虛擬機資源，存儲資源，網(wǎng)絡(luò)資源，應(yīng)用資源及運維處理等方面提供監(jiān)控及運維管理；通過部署磁盤陣列鏡像軟件，確保虛擬化存儲資源池內(nèi)的虛擬機文件和用戶的業(yè)務(wù)數(shù)據(jù)的安全，確保桌面虛擬化系統(tǒng)整體的穩(wěn)定、可靠運行。

3.2 云桌面建設(shè)原則

按照云桌面的建設(shè)目標(biāo)，依據(jù)云桌面建設(shè)項目具有涉及范圍廣、建設(shè)規(guī)模大、數(shù)據(jù)構(gòu)成復(fù)雜等特點，在設(shè)計階段需遵循一些重要原則，以保障后續(xù)建設(shè)的順利銜接和有效執(zhí)行。

3.2.1 全面性

云桌面建設(shè)是一項從無到有的工程。除了針對基礎(chǔ)建設(shè)需求進行設(shè)計之外，也要就系統(tǒng)建成后整個云平臺的運營、管理和運維進行綜合考慮，使得設(shè)計能夠全面地滿足系統(tǒng)持續(xù)穩(wěn)定運行的需求。

云桌面建設(shè)是一項長期性的系統(tǒng)工程，必須全面考慮，在總體建設(shè)規(guī)劃指導(dǎo)下，按照“實用先行、循序漸進”的建設(shè)原則進行統(tǒng)籌規(guī)劃分步實施。

3.2.2 高可用性

云桌面建設(shè)項目應(yīng)首先考慮信息系統(tǒng)的高可用性，應(yīng)堅持需求驅(qū)動、以應(yīng)用為主導(dǎo)的方針，規(guī)劃和建設(shè)相應(yīng)的各個子系統(tǒng)；系統(tǒng)應(yīng)該在容錯、應(yīng)急、負(fù)載等多方面予以考慮，保證系統(tǒng)連續(xù)服務(wù)；結(jié)合嚴(yán)謹(jǐn)?shù)臏y試管理與運維體系，保證系統(tǒng)的高可用性。

3.2.3 安全性

云桌面建設(shè)作為重要的教育服務(wù)建設(shè)項目其信息安全的重要性不言而喻。因此必須將安全性設(shè)計作為重要涉及原則予以優(yōu)先考慮。在建設(shè)和應(yīng)用過程中須嚴(yán)格遵照有關(guān)規(guī)定，采取有效防范措施和機制，以確保網(wǎng)絡(luò)和信息安全。

3.2.4 可擴展性

云桌面建設(shè)項目應(yīng)充分考慮未來發(fā)展，同時信息化建設(shè)是一個循序漸進、逐步擴充的，總體設(shè)計應(yīng)該采用層次化設(shè)計，整體構(gòu)架要考慮到為今后系統(tǒng)擴展和升級留有擴充的余量。

3.2.5 先進性

云桌面建設(shè)項目應(yīng)在設(shè)計思想、系統(tǒng)架構(gòu)、采用技術(shù)、選用平臺上均具有一定的先進性、前瞻性。在充分保證可用性、開放性、擴展性的前提下保持系統(tǒng)的先進性、擴充性，采用技術(shù)成熟、廠家信譽好的產(chǎn)品，使系統(tǒng)在未來相當(dāng)一段時間保持穩(wěn)定。

3.2.6 可實施、可管理、可維護

云桌面建設(shè)項目在保證業(yè)務(wù)覆蓋面廣、架構(gòu)完善、技術(shù)先進的同時，也必須考慮軟件系統(tǒng)及其運行環(huán)境的可實施、可管理、可維護，并在設(shè)計中重視建設(shè)期中、建設(shè)期后的管理與維護體系。

3.3 云桌面設(shè)計內(nèi)容

1）建設(shè)強大、高效的計算資源平臺，通過采用架構(gòu)領(lǐng)先、功能豐富的刀片服務(wù)器，為云桌面搭建可靠、穩(wěn)定的應(yīng)用支撐平臺，滿足軟件各種應(yīng)用的部署和運行。

2）建設(shè)安全、可靠的存儲資源平臺，通過采用冗余架構(gòu)，高速、高容量的存儲，為開發(fā)人員的開發(fā)數(shù)據(jù)及虛擬化系統(tǒng)的正常運行，提供良好的數(shù)據(jù)存儲環(huán)境。

4 云桌面技術(shù)在校園網(wǎng)建設(shè)和管理中應(yīng)用的效果

應(yīng)用云桌面綠色環(huán)保，降低PC電能功耗，信息數(shù)據(jù)集中管理，減少網(wǎng)絡(luò)維護人員工作量。將用戶桌面、數(shù)據(jù)、軟件分層管理，安全、快捷、方便。通過把云桌面技術(shù)應(yīng)用到校園網(wǎng)建設(shè)和管理中去，效果是明顯的。

4.1 所有終端互聯(lián)互通，校園網(wǎng)資源充分利用

所有教室、實訓(xùn)室以及教師辦公室均基于云桌面實現(xiàn)互聯(lián)互通，教師用自己的帳號密碼，不論是在學(xué)校還是家里，均可以登錄個人桌面并便捷完成辦公或備課。上課再無需自備筆記本或U盤即可使用計算機和校園網(wǎng)絡(luò)Y源。

4.2 日常維護統(tǒng)一實施，方便高效

云桌面將用戶桌面、數(shù)據(jù)、軟件分層管理，可以實現(xiàn)負(fù)載均衡、終端故障自動隔離、系統(tǒng)自動重構(gòu)和動態(tài)遷移等高效的服務(wù)器應(yīng)用環(huán)境。管理員可在不中斷用戶工作的情況下進行維護操作，減少服務(wù)器或應(yīng)用系統(tǒng)的停機時間。統(tǒng)一安裝、統(tǒng)一殺毒、統(tǒng)一升級、統(tǒng)一備份數(shù)據(jù)，取代以往逐一維護的寰場VС忠旃共僮饗低車惱合，支持老應(yīng)用的持續(xù)運行?？傮w上大大提升網(wǎng)絡(luò)管理人員工作效率和降低運維成本。

4.3 應(yīng)用靈活方便，終端快速部署

應(yīng)用云桌面后，教師仍然好像使用傳統(tǒng)電腦一樣。不僅可以正常使用打印、掃描、U盤等日常工作所需要的外部設(shè)備，還可以根據(jù)需要自行安裝應(yīng)用。

教師用戶可在任意一臺云終端登錄自己的云桌面，調(diào)整位置或更換辦公室時，不再需要搬動云終端。而且還可以通過其他PC、平板、智能手機等連接到云桌面進行辦公，實現(xiàn)流動辦公。

有新員入職時，也只需要分配其一套云終端，接上網(wǎng)線即可正常使用，避免以往安裝系統(tǒng)、安裝軟件和拷貝工作所需的數(shù)據(jù)而折騰半天。

4.4 數(shù)據(jù)安全及主動病毒防御

云桌面所有的計算和數(shù)據(jù)存儲都是在云端服務(wù)器，在授課終端和云端服務(wù)器進行通信時，傳輸?shù)南喈?dāng)于是位圖顯示，不用擔(dān)心云端服務(wù)器傳輸來的數(shù)據(jù)被竊取。另外，云桌面技術(shù)在底層，通過系統(tǒng)底層輸入輸出端口攔截新技術(shù)，可以有效阻斷病毒或木馬的攻擊和破壞。云桌面支持快速轉(zhuǎn)移和重構(gòu)，支持簡單便捷的災(zāi)難恢復(fù)解決辦法。

4.5 設(shè)備低碳節(jié)能，更換頻率低節(jié)省投入

傳統(tǒng)PC機一般3年左右就可能因為性能無法滿足用戶需求而淘汰。而云桌面，當(dāng)出現(xiàn)性能無法滿足后續(xù)業(yè)務(wù)需求時，可以通過增加服務(wù)器和擴容存儲來解決，無需更換云終端。而且一般云終端使用壽命可達8～10年。

云終端功耗在10W以下，而傳統(tǒng)電腦一般都在100W左右，功耗不到傳統(tǒng)PC的1/10，長時間來算，使用云桌面可以大幅節(jié)能，節(jié)省電費。

5 云桌面技術(shù)在校園網(wǎng)建設(shè)及管理中遇到的問題

云桌面技術(shù)應(yīng)用在校園網(wǎng)建設(shè)和管理過程中，碰到一些常見問題，現(xiàn)將問題原因及處理做法剖析出來，以便給正準(zhǔn)備建設(shè)云桌面的院校一個有效參考。

5.1 用戶體驗感受影響，需逐步指引過渡

云桌面應(yīng)用在校園網(wǎng)中，一開始遇到比較突出的問題主要是終端用戶體驗受影響。傳統(tǒng)PC機所使用的操作系統(tǒng)呈多樣化，如Win10，Win8，Win7，甚至有WinXP的，而每種操作系統(tǒng)不論從界面或操作習(xí)慣方面均存在一定的差異。筆者學(xué)校選用當(dāng)前較為主流的Win7（64位）作為云桌面的操作系統(tǒng)，各終端用戶因習(xí)慣了原來的操作系統(tǒng)，存在一下子無法適應(yīng)新系統(tǒng)的情況，用戶滿意度難免受影響。再者，云桌面的整體性能與傳統(tǒng)PC機相比，還是有差距的，應(yīng)用上有一定的局限性。云桌面是通過云服務(wù)器來提供計算能力，然后再通過網(wǎng)絡(luò)傳輸?shù)角岸苏宫F(xiàn)。云桌面通過一些高級傳輸協(xié)議，可以完成一般的教學(xué)教研或辦公應(yīng)用，但如果要運行較高負(fù)載的應(yīng)用，如高清視頻編輯、3D渲染等就顯得比較困難了。

綜合上述，終端用戶一下子從傳統(tǒng)PC機向云桌面轉(zhuǎn)變，需要一個適應(yīng)過程，除了要及時開展相對應(yīng)的使用培訓(xùn)，還要在云桌面的系統(tǒng)桌面上備好較為詳細(xì)的使用指引。針對教學(xué)或辦公使用，應(yīng)用軟件有個性化需求的，例如數(shù)控CAM，CAD等軟件，部分軟件需要在32位的操作系統(tǒng)環(huán)境下安裝，可以實施分配2個主系統(tǒng)到其用戶賬號下，由用戶根據(jù)需要自行選擇。

5.2 教室終端雙屏輸出，投影儀顯示不全的問題

由于教室和實訓(xùn)室的教學(xué)演示需求，需要顯示器和投影儀實行雙屏同步輸出。云終端機可以通過VGA和HDMI接口實現(xiàn)顯示器和投影儀雙屏同步輸出，但在調(diào)試過程中遇到投影儀和顯示器分辨率不同，顯示器通過HDMI接口連接，分辨率為1920×1080，投影儀通過VGA接口連接，分辨率1024×768，終端系統(tǒng)以最高分辨率為默認(rèn)輸出，導(dǎo)致投影儀顯示內(nèi)容不全。筆者的做法是采取對終端設(shè)備內(nèi)核進行輸出參數(shù)修改，升級布丁，統(tǒng)一升級終端內(nèi)核，強制雙屏同步同分辨率輸出得以解決。

5.3 用戶升級操作不當(dāng)，導(dǎo)致驅(qū)動異常

在云桌面應(yīng)用過程中，有部分用戶反映，之前使用正常隔天使用卻異常的情況。如USB外接設(shè)備無法正常使用，甚至桌面出現(xiàn)藍屏或無法進入系統(tǒng)等。經(jīng)過對故障檢查分析，發(fā)現(xiàn)是原來很多校園網(wǎng)用戶，在傳統(tǒng)PC機上習(xí)慣安裝驅(qū)動更新軟件，例如驅(qū)動精靈，驅(qū)動人生等，這些軟件會自動為系統(tǒng)更新驅(qū)動程序，用戶在使用云桌面也延續(xù)了這習(xí)慣。虛擬化硬件與物理硬件是存在區(qū)別的，當(dāng)在云桌面安裝了驅(qū)動更新軟件，并且用戶按提示進行了所有升級或更新的操作，就極有可能選擇了一些不合適的更新，而導(dǎo)致原驅(qū)動異常。如果是硬盤接口驅(qū)動被錯誤更新，甚至直接導(dǎo)致藍屏或無法進入系統(tǒng)。

當(dāng)出現(xiàn)這種情況，筆者的做法是以管理員身份進入安全模式進行修復(fù)驅(qū)動，對無法修復(fù)的實施系統(tǒng)重裝。更好的辦法是提前做好正確引導(dǎo)工作，建議用戶盡量不通過驅(qū)動精靈等方式升級或更新，當(dāng)終端用戶需要添加使用新設(shè)備時，建議到設(shè)備官方網(wǎng)站下載專用驅(qū)動程序以避免錯誤更新。

6 結(jié)論

總而言之，云桌面作為云計算技術(shù)衍生出來的一種新技術(shù)，將其有效地應(yīng)用到校園網(wǎng)建設(shè)和管理中去，不僅可以減少校園網(wǎng)故障和損害的發(fā)生，降低耗能，同時還大大提升校園網(wǎng)管理工作的效率，為教學(xué)教研以及辦公應(yīng)用提供更加便捷和優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)。

參考文獻

[1]韓寧.云桌面技術(shù)在高校信息化建設(shè)及教學(xué)中的應(yīng)用[J].現(xiàn)代企業(yè)教育，2012，11（5）：105-107.