導(dǎo)語：如何才能寫好一篇高校信息安全運(yùn)維，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

關(guān)鍵詞：高校信息化；IT運(yùn)維外包；風(fēng)險(xiǎn)管理

中圖分類號：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號：1673-8454（2014）07-0014-03

一、高校信息化建設(shè)和IT運(yùn)維現(xiàn)狀

近年來，隨著信息技術(shù)的飛速發(fā)展和日益普及，信息化浪潮給教育帶來了革命性影響，推動著教育領(lǐng)域不斷創(chuàng)新發(fā)展。2010年，我國頒布的《國家中長期教育改革和發(fā)展規(guī)劃綱要（2010-2020年）》提出推動信息技術(shù)與高等教育深度融合，創(chuàng)新人才培養(yǎng)模式。高校信息化部門也在為學(xué)生和教師提供更高效率的各類信息化服務(wù)平臺和安全穩(wěn)定的網(wǎng)絡(luò)接入環(huán)境而努力創(chuàng)新，深刻影響了傳統(tǒng)的教學(xué)科研和學(xué)校的綜合管理模式。同時(shí)，國家對教育信息化的重視程度和投入在逐年增加，校園信息化建設(shè)也得到了高校的普遍重視和重點(diǎn)投入。

我國高校信息化建設(shè)經(jīng)歷了二十多年的歷史，在網(wǎng)絡(luò)基礎(chǔ)設(shè)施硬件建設(shè)方面同國外高校拉近了距離，很多學(xué)校都達(dá)到了同等甚至更高水平。雖然硬件條件上去了，但是很多高校信息化應(yīng)用水平仍不理想，在信息化服務(wù)能力和IT運(yùn)維管理上差異較大，普遍存在著重硬件輕軟件，重建設(shè)輕維護(hù)，重建設(shè)輕服務(wù)等現(xiàn)象。部分實(shí)力雄厚的理工科學(xué)校和綜合性大學(xué)通過自身的力量可以完成基礎(chǔ)的信息化建設(shè)和IT運(yùn)維工作，但是對于大量的普通高等院校，由于受到技術(shù)、經(jīng)費(fèi)以及人員的限制，完全利用自身的力量來建設(shè)和運(yùn)維比較困難，無法滿足廣大師生的實(shí)際需求。

二、IT運(yùn)維外包的思路和安全風(fēng)險(xiǎn)

信息技術(shù)日新月異，如何管理復(fù)雜的、高技術(shù)含量的IT基礎(chǔ)設(shè)施，應(yīng)對靈活多變的IT服務(wù)需求，為學(xué)校廣大師生提供良好的IT服務(wù)支持？如何降低運(yùn)維成本的同時(shí)提高管理水平和效率，并保證服務(wù)的質(zhì)量，提升師生對IT服務(wù)的滿意度？如何提高運(yùn)維的靈活性和響應(yīng)速度，迎接信息化帶來的各類挑戰(zhàn)，提高學(xué)校的核心競爭力？這些問題是所有高校所面臨的共同難題，困擾著各校的信息化管理部門，而引入IT運(yùn)維外包服務(wù)正是一種經(jīng)實(shí)踐證明比較好的解決思路。通過將IT運(yùn)維服務(wù)外包，高?？梢园迅嗑ν度氲浇虒W(xué)和科研中去。并且以較低成本提供專業(yè)化的IT服務(wù)。

目前大部分高校的信息化人員編制十分有限，并且對新進(jìn)人員的學(xué)歷要求很高，而從事一般的IT工作并不需要非常高的學(xué)歷。受待遇和未來發(fā)展因素影響，高校信息化部門很難長期留住高水平的IT人才。通過外包服務(wù)，由公司選派有相應(yīng)能力的人員長期協(xié)助學(xué)校從事相應(yīng)工作，學(xué)校不用擔(dān)心其待遇及去留等問題，保持了IT運(yùn)維工作人員的相對穩(wěn)定。

上海交通大學(xué)作為一所“綜合性、研究型、國際化”的全國重點(diǎn)大學(xué)，校內(nèi)信息化部門以建設(shè)數(shù)字大學(xué)為目標(biāo)，為校內(nèi)五萬多師生員工提供各類專業(yè)的IT服務(wù)。在近十幾年的信息化建設(shè)和日常網(wǎng)絡(luò)及應(yīng)用信息系統(tǒng)運(yùn)維過程中，大量使用了外包服務(wù)，在人員、資金、制度上都進(jìn)行了相應(yīng)保障，通過全面的發(fā)現(xiàn)及確認(rèn)外包風(fēng)險(xiǎn)，進(jìn)行分析、評估，對可能引發(fā)的安全風(fēng)險(xiǎn)進(jìn)行了一系列有益的深入探索和實(shí)踐，從而有效地控制風(fēng)險(xiǎn)。

三、學(xué)生團(tuán)隊(duì)參與用戶服務(wù)外包的風(fēng)險(xiǎn)控制

用戶服務(wù)管理是IT運(yùn)維的重要組成部分，上海交通大學(xué)從2000年開始，在學(xué)生宿舍網(wǎng)的管理過程中，引入了學(xué)生團(tuán)隊(duì)來為學(xué)生宿舍區(qū)三萬多用戶提供接入用戶網(wǎng)絡(luò)服務(wù)。學(xué)校有關(guān)部門提供指導(dǎo)，建立一個(gè)以學(xué)生自我管理、自我服務(wù)為主體的學(xué)生網(wǎng)絡(luò)管理體系，發(fā)揮學(xué)生網(wǎng)管的作用，調(diào)動其積極性來參與網(wǎng)絡(luò)維護(hù)工作，為學(xué)生打造一個(gè)良好的實(shí)踐與學(xué)習(xí)環(huán)境。學(xué)生網(wǎng)管從作為學(xué)生的實(shí)際需求出發(fā)，幫助信息化部門提高了網(wǎng)絡(luò)故障的應(yīng)急響應(yīng)和處理能力, 做了許多有意義的日常用戶服務(wù)工作，但學(xué)生們畢竟缺少實(shí)踐經(jīng)驗(yàn)，平時(shí)日常學(xué)習(xí)和科研活動也占用了很多時(shí)間。兼職的網(wǎng)絡(luò)維護(hù)工作如何來提高用戶滿意度？服務(wù)質(zhì)量和服務(wù)能力如何控制？這都需要加強(qiáng)管理和組織學(xué)習(xí)培訓(xùn)，通過完善的制度建設(shè)來降低運(yùn)維工作中的風(fēng)險(xiǎn)。

面對繁雜的學(xué)生寢室樓網(wǎng)絡(luò)維護(hù)工作，建立了一套完善的體系來解決學(xué)生們平時(shí)遇到的各種網(wǎng)絡(luò)問題。從宿舍樓內(nèi)學(xué)生網(wǎng)管的工作，到學(xué)生網(wǎng)管部辦公室客服咨詢的解答，再到技術(shù)報(bào)修組的報(bào)修受理以及上門服務(wù)，這其中的每一個(gè)環(huán)節(jié)都有嚴(yán)格而具體的要求來規(guī)范他們的服務(wù)，確保服務(wù)質(zhì)量讓學(xué)生們滿意。當(dāng)然，維護(hù)龐大的校園網(wǎng)絡(luò)單靠人力是遠(yuǎn)遠(yuǎn)不夠的，因此學(xué)生網(wǎng)管自行開發(fā)了一套綜合的內(nèi)部技術(shù)支持系統(tǒng)。有了它，學(xué)生網(wǎng)管員們不僅可以方便地辦理各種基礎(chǔ)網(wǎng)絡(luò)業(yè)務(wù)，還可以實(shí)時(shí)查看各個(gè)終端用戶的網(wǎng)絡(luò)運(yùn)行狀態(tài)，以及交換機(jī)端口信息等，及時(shí)發(fā)現(xiàn)問題并針對性處理。

平時(shí)宿舍樓內(nèi)瑣碎的網(wǎng)絡(luò)問題處理是由樓內(nèi)的學(xué)生網(wǎng)管來完成的，每一位網(wǎng)管員都被要求做到盡全力滿足用戶正常網(wǎng)絡(luò)接入需要，熱情耐心解答用戶的任何疑問，在技術(shù)層面上指導(dǎo)用戶完成一些基本操作。每位學(xué)生網(wǎng)管在閑暇之余都被要求多了解網(wǎng)絡(luò)技術(shù)知識，參加內(nèi)部培訓(xùn)，掌握常見問題的處理方法，在技術(shù)上要讓用戶信得過。

技術(shù)報(bào)修組專門負(fù)責(zé)解決樓內(nèi)網(wǎng)管處理不了的問題，由網(wǎng)管員中的技術(shù)骨干組成。他們接受過專門的技能培訓(xùn)，配置專業(yè)的網(wǎng)絡(luò)維修工具，在辦公室值班人員所給予的遠(yuǎn)程配合下，幾乎可以解決大部分學(xué)生所碰到的網(wǎng)絡(luò)問題，如果還不能解決則協(xié)調(diào)學(xué)校網(wǎng)絡(luò)運(yùn)維部門進(jìn)一步處理。同時(shí)也要求學(xué)生網(wǎng)管在解決問題后把全過程書面化，為以后別人的工作處理提供經(jīng)驗(yàn)積累。在學(xué)生團(tuán)隊(duì)中的技術(shù)骨干由于長期和學(xué)校信息化部門溝通，其能力會得到認(rèn)可，在畢業(yè)后也可以擇優(yōu)直接進(jìn)入高校的IT運(yùn)維隊(duì)伍，更快的進(jìn)入工作角色。

四、信息系統(tǒng)運(yùn)維外包的風(fēng)險(xiǎn)管理

高校大量的信息系統(tǒng)都來自于直接采購或者由外包廠商定制化開發(fā)完成，完全由自己主導(dǎo)開發(fā)的大規(guī)模系統(tǒng)已經(jīng)越來越少。常見的信息系統(tǒng)包括人事系統(tǒng)、科研系統(tǒng)、財(cái)務(wù)系統(tǒng)、學(xué)工系統(tǒng)、教務(wù)系統(tǒng)、檔案系統(tǒng)、校園一卡通系統(tǒng)、公共數(shù)據(jù)平臺等，不少高校還將校內(nèi)各院系部門網(wǎng)站交由外包公司設(shè)計(jì)制作和維護(hù)。在這些信息系統(tǒng)的實(shí)施完成之后，日常運(yùn)行過程中不可避免的會出現(xiàn)各種問題，高校IT運(yùn)維部門可以解決部分維護(hù)工作，但是很多專業(yè)化程度較高的系統(tǒng)維護(hù)工作還是不可避免的要依賴外包協(xié)助完成。

雖然很多針對高校 IT 市場的外包服務(wù)商在信息系統(tǒng)外包過程中獲得了成功，并積累了豐富的高校行業(yè)經(jīng)驗(yàn)，但也暴露出不少的安全風(fēng)險(xiǎn)。不同的外包公司之間技術(shù)實(shí)力和管理水平參差不齊，廠商技術(shù)支持人員穩(wěn)定性不高是普遍遇到的問題，這就要求高校需慎重選擇合作方，簽訂全面詳細(xì)的合同進(jìn)一步加以約束，要求通過嚴(yán)格的崗位培訓(xùn)和業(yè)務(wù)培訓(xùn)，提高外包技術(shù)人員的能力。關(guān)鍵項(xiàng)目實(shí)施和后期維護(hù)期間，要求外包公司核心技術(shù)人員常駐學(xué)校，保證項(xiàng)目按要求順利完工，并穩(wěn)定運(yùn)行。前期項(xiàng)目開發(fā)和后期運(yùn)維中遇到的問題，需要提交給研發(fā)解決的，要有順暢的正式渠道提交與反饋，限時(shí)解決或改進(jìn)。在每項(xiàng)子系統(tǒng)投入運(yùn)行前，完成對使用該系統(tǒng)的校內(nèi)用戶培訓(xùn)工作；建立完整的客戶培訓(xùn)體系，為高校提供相關(guān)的技術(shù)培訓(xùn)和業(yè)務(wù)培訓(xùn)，并提供相應(yīng)的培訓(xùn)技術(shù)資料。

由于很多外包公司開發(fā)的各類信息系統(tǒng)廣泛應(yīng)用在多所高校，一旦某所高校的系統(tǒng)被發(fā)現(xiàn)有嚴(yán)重的安全漏洞，那么會迅速波及到其他高校，引發(fā)嚴(yán)重的安全事件。在教務(wù)系統(tǒng)、學(xué)工系統(tǒng)等方面，這類安全事件屢見不鮮，給很多學(xué)校都造成了較大損失。在信息系統(tǒng)維護(hù)外包過程中，由于項(xiàng)目需要，服務(wù)商的技術(shù)人員可以輕易地獲取學(xué)校的各類師生個(gè)人信息、財(cái)務(wù)信息、科研信息等，這些敏感信息如果發(fā)生泄漏也會給高校帶來重大損失。

高校自身要建立完整且獨(dú)立的信息安全保障體系，在整個(gè)IT運(yùn)維過程中保護(hù)學(xué)校的重要信息資產(chǎn)?？紤]到大部分高校都缺乏專業(yè)信息安全運(yùn)維人員，使用專業(yè)安全公司提供的安全服務(wù)也成為必然的選擇。同時(shí)利用高校自身的信息安全科研優(yōu)勢以及和國內(nèi)外安全研究機(jī)構(gòu)的密切聯(lián)系，及時(shí)獲取最新安全資訊，對外包引發(fā)的安全風(fēng)險(xiǎn)實(shí)時(shí)監(jiān)控，并快速響應(yīng)。

五、IT運(yùn)維監(jiān)控外包的風(fēng)險(xiǎn)

IT運(yùn)維監(jiān)控外包在很多高校廣泛使用，但也由此帶來了一系列安全風(fēng)險(xiǎn)。外包公司為了追求利潤最大化，勢必考慮降低成本，這樣就給外派到學(xué)校工作的人員業(yè)務(wù)素質(zhì)和穩(wěn)定性帶來了巨大沖擊。頻繁變動且能力不足的外包人員給高校IT運(yùn)維必然帶來了可預(yù)見的安全運(yùn)營風(fēng)險(xiǎn)，和高校的固有核心利益產(chǎn)生了沖突。對此高校要進(jìn)一步完善和外包公司的合同細(xì)節(jié)，明確保障服務(wù)質(zhì)量和要求服務(wù)人員的相對穩(wěn)定性，并簽訂專門的SLA（Service Level Agreements）服務(wù)水平協(xié)議。同時(shí)高校自身也要不斷提升專業(yè)IT運(yùn)維能力，即便采用了外包，也要建立管理和技術(shù)并重的內(nèi)部團(tuán)隊(duì)，自己的人員要具備系統(tǒng)的IT運(yùn)維管理能力，在程序設(shè)計(jì)開發(fā)、應(yīng)用信息系統(tǒng)維護(hù)、數(shù)據(jù)庫和服務(wù)器管理、網(wǎng)絡(luò)管理和安全運(yùn)維方面都要培養(yǎng)自身的力量，不斷學(xué)習(xí)新技術(shù)，培養(yǎng)創(chuàng)新能力，對外包人員進(jìn)行有效的監(jiān)督和管理，仔細(xì)傾聽來自教師學(xué)生的第一線業(yè)務(wù)需求，不能被外包公司所左右，從而降低安全運(yùn)維風(fēng)險(xiǎn)。

六、IT運(yùn)維監(jiān)控平臺外包開發(fā)的風(fēng)險(xiǎn)管理

IT運(yùn)維監(jiān)控平臺對任何一所高校網(wǎng)絡(luò)管理人員來說都是必不可少的。我們沒有采取商業(yè)的管理監(jiān)控解決方案，主要是考慮到當(dāng)網(wǎng)絡(luò)和應(yīng)用發(fā)展到一定程度之后，其規(guī)模和復(fù)雜性決定了很難找到完全符合自身需求的方案。我們最終選擇了在開源的Zabbix監(jiān)控系統(tǒng)基礎(chǔ)上，采取外包給專業(yè)軟件公司的模式進(jìn)行了大量的定制化開發(fā)來滿足實(shí)際運(yùn)維需求。通過分布部署Agent采集點(diǎn)主動獲取各類監(jiān)控?cái)?shù)據(jù)，涵蓋了學(xué)校數(shù)據(jù)中心使用的各類操作系統(tǒng)和虛擬化環(huán)境，也可以支持各大廠商的網(wǎng)絡(luò)交換路由設(shè)備管理，滿足了大規(guī)模網(wǎng)絡(luò)和服務(wù)器監(jiān)控需求。但是這條外包之路也同時(shí)存在著種種風(fēng)險(xiǎn)，合作方的選擇不當(dāng)可能會導(dǎo)致項(xiàng)目的無法順利推進(jìn)；軟件流程設(shè)計(jì)管理不當(dāng)也會引發(fā)開發(fā)周期變長，拖延系統(tǒng)的上線時(shí)間；大量不同設(shè)備的定制化開發(fā)需要投入更多資源，項(xiàng)目的成本控制也會直接影響合作方的開發(fā)人員投入力量；軟件平臺的漏洞會直接影響基礎(chǔ)IT運(yùn)維體系的整體安全性；開發(fā)人員的流動性也給整個(gè)外包開發(fā)的質(zhì)量控制帶來了不確定因素；后期維護(hù)服務(wù)跟不上也會影響IT運(yùn)維工作的長期可持續(xù)性。

關(guān)注到這些安全風(fēng)險(xiǎn)，我們有針對性地采取了一系列措施。選擇開源監(jiān)控軟件作為系統(tǒng)底層平臺已經(jīng)適度降低了開發(fā)風(fēng)險(xiǎn)，慎重的選擇具有資質(zhì)和經(jīng)驗(yàn)的合作方來保證項(xiàng)目質(zhì)量。全過程參與功能需求分析和流程設(shè)計(jì)來控制整個(gè)開發(fā)周期的進(jìn)度，進(jìn)度過慢時(shí)要求合作方增加人力，進(jìn)度過快時(shí)要求合作方保障代碼質(zhì)量。和外包方要建立順暢的溝通渠道，通過周報(bào)、月報(bào)和定期溝通交流，掌握對方工作進(jìn)展，監(jiān)督管理實(shí)際開發(fā)進(jìn)度是否和預(yù)期一致，投入是否充分，代碼質(zhì)量是否合格。通過要求規(guī)范全過程的技術(shù)開發(fā)文檔，保證了即使發(fā)生開發(fā)人員變更也可以快速完成新老交接。要求系統(tǒng)留有靈活的開放接口以提供良好的伸縮性和可擴(kuò)展性，也可以在一定程度上規(guī)避兼容性風(fēng)險(xiǎn)。在開發(fā)過程中和正式交付時(shí)都引入第三方專業(yè)安全人員進(jìn)行安全評估和滲透測試，確保IT運(yùn)維監(jiān)控系統(tǒng)自身的安全等級達(dá)到一定級別。通過詳細(xì)的開發(fā)合同對項(xiàng)目周期和合作雙方人員力量投入和項(xiàng)目進(jìn)展時(shí)間節(jié)點(diǎn)進(jìn)行了嚴(yán)格的約定，并事先就開發(fā)完成后的后期維護(hù)服務(wù)達(dá)成一致，保持長久合作關(guān)系。

七、結(jié)束語

信息安全技術(shù)一直在發(fā)展，攻防對抗在持續(xù)升級，各類安全風(fēng)險(xiǎn)和挑戰(zhàn)始終存在，安全I(xiàn)T運(yùn)維必然是一個(gè)長期動態(tài)的過程。作為有特長的信息網(wǎng)絡(luò)安全科研機(jī)構(gòu)和同時(shí)給數(shù)萬師生提供IT專業(yè)服務(wù)的部門，高校信息化團(tuán)隊(duì)可以把實(shí)際安全經(jīng)驗(yàn)和運(yùn)維外包風(fēng)險(xiǎn)管理工作相結(jié)合，加強(qiáng)配套安全監(jiān)管，從而走出一條具有自己特色的安全I(xiàn)T運(yùn)維外包之路。

參考文獻(xiàn)：

[1]趙燦,杜,杜鵑.高校信息化建設(shè)項(xiàng)目外包采購管理的探討[J].中國教育信息化(高教職教),2011(5).

[2]蔣東興,宓泳,郭清順.高校信息化發(fā)展現(xiàn)狀與政策建議[J].中國教育信息化(高教職教),2009(8).

[3]何秀全.高校信息化中的IT外包及其風(fēng)險(xiǎn)管理研究[D].上海外國語大學(xué) 2012年碩士學(xué)位論文.

[4]王左利.探討學(xué)生網(wǎng)管模式[J].中國教育網(wǎng)絡(luò),2009(3).

篇2

【 關(guān)鍵詞 】 高校；二級網(wǎng)站；安全；防護(hù)策略

【 中圖分類號 】 TP393 【 文獻(xiàn)標(biāo)識碼 】 A

A Study on Second-level Website Security in Colleges and Universities

Che Lu Zhang Huan-yuan Xia Ya-dong Li Yi -yong

（Network and Educational Technology Department， Shandong Agricultural University ShandongTai’an 271018）

【 Abstract 】 Recent years， the second-level website security incidents show an increasing tendency in colleges and universities. This kind of threats expands their attack range mainly through penetrating application layer， combining traditional layer attack. Aiming to guarantee the second-level website security in colleges and universities， this paper， through classification analysis on the characteristics of security threats， tries to build a collaborative work and co-supporting security defense system with the help of architecture optimization， code audit and security penetration test.

【 Keywords 】 colleges and universities； second-level website； security； protection strategies

1 引言

校園網(wǎng)絡(luò)是CerNet/Internet的重要組成部分，是高等學(xué)校教學(xué)、科研、管理、服務(wù)、文化娛樂等應(yīng)用的信息支撐平臺，是高校必不可少的基礎(chǔ)設(shè)施。隨著我國高校信息化建設(shè)的不斷發(fā)展，各學(xué)校建立了門戶網(wǎng)站和各種類型的二級網(wǎng)站。然而高校二級網(wǎng)站的安全防護(hù)和運(yùn)維管理方面還存在著很多問題和不足，容易發(fā)生網(wǎng)絡(luò)安全事件。

2009年9月份北京大學(xué)計(jì)算機(jī)所信息安全中心利用其研發(fā)的北大網(wǎng)頁掛馬檢測平臺發(fā)現(xiàn)屬于314個(gè)不同高校的577個(gè)網(wǎng)站被惡意掛馬，網(wǎng)站掛馬率為3.15%，高于同期檢測“”科研系統(tǒng)網(wǎng)站掛馬率（2.46%）和“”政府網(wǎng)站掛馬率（1.03%）。所發(fā)現(xiàn)的507個(gè)被掛馬網(wǎng)站均為二級或三級域名網(wǎng)站，占比87.9%?？梢姼咝６壘W(wǎng)站的安全形勢不容樂觀，切實(shí)需要提高對安全形勢的認(rèn)識，加強(qiáng)高校二級網(wǎng)站的安全防護(hù)水平。

2 高校二級網(wǎng)站常見安全威脅

2.1 應(yīng)用層面安全威脅

此類攻擊主要針對Web應(yīng)用中授權(quán)、認(rèn)證、站點(diǎn)結(jié)構(gòu)、輸入驗(yàn)證、程序管理接口進(jìn)行攻擊。世界著名的OWASP（Open Web Application Security Project）是一個(gè)開源的、非盈利的全球性安全組織，致力于應(yīng)用層面的安全研究。其最知名的研究報(bào)告OWASP Top 10（Owasp 十大Web弱點(diǎn)） 也是高校二級網(wǎng)站應(yīng)用層面常見的安全威脅。

除此以外，近幾年來的SEO（搜索引擎優(yōu)化）技術(shù)的不斷發(fā)展，黑帽SEO為了短期內(nèi)提高網(wǎng)站搜索引擎排名而采用作弊方法，在搜索引擎權(quán)值較高的網(wǎng)站中植入廣告外鏈。由于高校網(wǎng)站建立比較早、安全漏洞較多、用戶訪問量大、搜索引擎權(quán)值較高，已成為攻擊者注入黑鏈的首選目標(biāo)。

2.2 系統(tǒng)層面安全威脅

系統(tǒng)層面安全威脅主要指攻擊者利用計(jì)算機(jī)軟件（包括Cmos固化指令、操作系統(tǒng)、應(yīng)用程序）自身固有缺陷或配置錯(cuò)誤進(jìn)行攻擊。例如Windows、Linux等操作系統(tǒng)安全漏洞，應(yīng)用軟件安全漏洞，以及文件目錄權(quán)限設(shè)置過高、配置文件設(shè)置不當(dāng)?shù)?。但隨著防火墻、IPS等安全設(shè)備的使用和高校安全防護(hù)體系的不斷完善這類安全問題呈逐年下降趨勢

2.3 網(wǎng)絡(luò)層面安全威脅

在傳統(tǒng)的多層網(wǎng)絡(luò)防御體系中，防火墻、IPS等對傳統(tǒng)網(wǎng)絡(luò)層攻擊有較好的防御效果，攻擊者正面的網(wǎng)絡(luò)攻擊易被邊界安全設(shè)備過濾。攻破一個(gè)高信任區(qū)域內(nèi)低安全的網(wǎng)站和主機(jī)是攻擊者擴(kuò)大攻擊范圍的常見方法。攻擊者攻擊高校二級網(wǎng)站架構(gòu)中的任意層面后，不僅可以攻擊網(wǎng)站主機(jī)，還能侵入高校服務(wù)器內(nèi)部基礎(chǔ)架構(gòu)。例如，在被控制的主機(jī)中安裝ARP軟件和嗅探軟件等工具篡改ARP信息實(shí)現(xiàn)ARP欺騙攻擊，截獲網(wǎng)段內(nèi)其他主機(jī)敏感數(shù)據(jù)。修改校區(qū)DNS等關(guān)鍵應(yīng)用，甚至轉(zhuǎn)向攻擊用戶終端應(yīng)用程序形成“僵尸網(wǎng)絡(luò)”。

綜上所述 高校二級網(wǎng)站的主要安全威脅如表1所示。

3 高校二級網(wǎng)站安全問題分析

3.1 安全意識不夠成熟

分管領(lǐng)導(dǎo)重視不夠、管理人員安全意識不成熟、維護(hù)管理團(tuán)隊(duì)不穩(wěn)定是造成高校二級網(wǎng)站防護(hù)薄弱的主要問題。高等院校的各部門在規(guī)劃二級網(wǎng)站時(shí)，只重視實(shí)用性和美觀性，很少考慮安全性，片面認(rèn)為信息安全只是高校信息化主管部門責(zé)任，只重視網(wǎng)站建設(shè)，無視管理和維護(hù)。大部分的維護(hù)管理工作交由學(xué)生負(fù)責(zé)，缺乏技術(shù)文檔和安全策略記錄。繼任者無法對暴露出的安全問題做出處理，也不知從何處理。高校信息化主管部門無法對眾多二級網(wǎng)站的安全防護(hù)做到面面俱到，導(dǎo)致發(fā)生嚴(yán)重問題后，信息化主管部門工作被動，安全責(zé)任相互推諉。

3.2 二級網(wǎng)站架構(gòu)安全設(shè)計(jì)不合理

1）網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)不合理。建設(shè)前未合理劃分網(wǎng)絡(luò)安全區(qū)域，多個(gè)不可信二級網(wǎng)站與可信的校級網(wǎng)站放在同一臺主機(jī)上，單個(gè)二級網(wǎng)站出現(xiàn)安全問題后，主機(jī)控制權(quán)極易被奪取影響其他網(wǎng)站運(yùn)行?；蛘叨壘W(wǎng)站托管主機(jī)和重要應(yīng)用主機(jī)在同一IP段內(nèi)，二級網(wǎng)站托管主機(jī)出現(xiàn)問題影響同網(wǎng)段內(nèi)其他主機(jī)。

2）應(yīng)用架構(gòu)設(shè)計(jì)不合理。前端展現(xiàn)層、應(yīng)用程序?qū)?、?shù)據(jù)層信任關(guān)系過高或連接權(quán)限不加限制。導(dǎo)致造成SQL注入或XSS跨站后，輕易奪取高級權(quán)限。

3.3 二級網(wǎng)站代碼存在安全缺陷

Web安全的核心問題在于用戶可以提交任意的輸入，而程序不加過濾直接返回執(zhí)行結(jié)果。針對上述問題Web應(yīng)用程序防御機(jī)制有以幾個(gè)核心因素組成。

1）處理用戶訪問應(yīng)用程序的數(shù)據(jù)與功能，防止用戶獲得未授權(quán)訪問。

2）處理用戶對應(yīng)用程序的輸入，防止錯(cuò)誤輸入造成不良行為。

3）確保應(yīng)用程序在成為直接攻擊目標(biāo)時(shí)能夠正常運(yùn)轉(zhuǎn)，并采取適當(dāng)?shù)姆烙c攻擊措施挫敗攻擊者。

4）管理應(yīng)用程序本身，幫助管理員監(jiān)控其行為，配置其功能。

高校二級網(wǎng)站代碼大多數(shù)都是由合作公司、信息技術(shù)水平較高的老師或?qū)W生等獨(dú)立開發(fā)，或者使用第三方的CMS應(yīng)用程序，在第三方的組件上添減代碼，自行拼湊在一起。這些Web應(yīng)用程序存在不完善的身份驗(yàn)證、不完善的訪問控制措施等代碼漏洞，是導(dǎo)致SQL注入、XSS跨站攻擊等應(yīng)用層威脅的直接原因。利用應(yīng)用層安全漏洞提升權(quán)限，上傳Webshell控制主機(jī)，應(yīng)用層安全威脅成為高校二級網(wǎng)站防護(hù)的主體。

4 高校二級網(wǎng)站防護(hù)策略研究

從目前的安全威脅來看，單純一種技術(shù)或者方法無法行而有效的阻止目前眾多的安全威脅，高校二級網(wǎng)站信息安全工作需要一整套協(xié)同工作、相互支撐的安全防護(hù)系統(tǒng)。如圖1所示。

4.1 提高安全意識和技術(shù)水平，規(guī)范運(yùn)維操作

良好的組織管理架構(gòu)、合理的技術(shù)支撐體系和規(guī)范的運(yùn)維管理操作是高校二級網(wǎng)站安全防護(hù)的基礎(chǔ)。組織管理機(jī)構(gòu)需要提高安全意識、明確責(zé)任劃分，確定防護(hù)的范圍和技術(shù)人員團(tuán)隊(duì)。定期對決策者和實(shí)施者進(jìn)行安全意識和安全技術(shù)培訓(xùn)。建立運(yùn)維操作臺賬，規(guī)范操作。所有網(wǎng)絡(luò)配置、主機(jī)配置、應(yīng)用配置和安全策略配置等技術(shù)資料建檔保存，網(wǎng)站開發(fā)文檔和主要操作均記錄注釋。

4.2 合理設(shè)計(jì)安全架構(gòu)，提高整體防范水平

嚴(yán)謹(jǐn)?shù)陌踩軜?gòu)是網(wǎng)站安全防護(hù)的保障，主要表現(xiàn)在設(shè)物理、主機(jī)、網(wǎng)絡(luò)、數(shù)據(jù)、應(yīng)用等各個(gè)層面的安全架構(gòu)設(shè)計(jì)。

1）通過網(wǎng)絡(luò)設(shè)備合理劃分網(wǎng)絡(luò)安全域，設(shè)計(jì)盡可能小的VLAN，實(shí)現(xiàn)主機(jī)的網(wǎng)絡(luò)隔離。

2）制定嚴(yán)格的訪問控制，除正常訪問IP、端口外其余連接全部過濾。

3）對二級網(wǎng)站程序?qū)雍蛿?shù)據(jù)庫層剝離，建立獨(dú)立的數(shù)據(jù)庫服務(wù)器，把眾多二級網(wǎng)站數(shù)據(jù)庫集中管理。并在數(shù)據(jù)庫中依據(jù)最小權(quán)限原則根據(jù)IP地址制定主機(jī)連接。

4）應(yīng)用架構(gòu)中數(shù)據(jù)庫、文件目錄、Web程序等均避免使用過高權(quán)限，在Linux系統(tǒng)中使用Chroot控制權(quán)限使用。

4.3 定制開發(fā)Web程序，周期進(jìn)行安全滲透測試

1）建設(shè)前期避免使用網(wǎng)絡(luò)上源代碼公開的CMS系統(tǒng)，根據(jù)院校自身情況購買或設(shè)計(jì)安全編碼的程序，實(shí)現(xiàn)代碼的相對安全。

2）對已經(jīng)使用站點(diǎn)的源代碼進(jìn)行分析，找出由于編程的不完善而導(dǎo)致的安全漏洞，比如緩沖區(qū)溢出、格式化字符串、SQL 注入等。

3）周期性進(jìn)行安全滲透測試，評估Web 站點(diǎn)的部署，模擬網(wǎng)絡(luò)用戶對Web 站點(diǎn)進(jìn)行攻擊，找出安全漏洞和弱點(diǎn)，比如認(rèn)證不充分、信息泄漏等不定期審查篩選高危函數(shù)，屏蔽不良輸入。

4.4 多種設(shè)備和技術(shù)手段聯(lián)防，實(shí)現(xiàn)安全管理統(tǒng)一

國內(nèi)高校常用的Web安全設(shè)備和防御手段有幾種。

1）Web 應(yīng)用防火墻。采用安全網(wǎng)關(guān)的技術(shù)手段，把Web 應(yīng)用防火墻設(shè)備透明的部署于Web 服務(wù)器區(qū)前面，檢測每一個(gè)訪問者的請求內(nèi)容，并進(jìn)行規(guī)則匹配，攔截已知和常見的Web攻擊。

2）網(wǎng)絡(luò)分析系統(tǒng)。結(jié)合DPI或DFI（深度數(shù)據(jù)包檢測）對網(wǎng)站數(shù)據(jù)流進(jìn)行分析，根據(jù)特征包發(fā)現(xiàn)已知或常見的Web應(yīng)用攻擊。

3）日志服務(wù)器。將日志信息集中在安全防護(hù)較好的主機(jī)上進(jìn)行數(shù)據(jù)分析?？焖俪尸F(xiàn)安全事件信息。

4）對高校二級網(wǎng)站數(shù)據(jù)多路備份。當(dāng)安全事件發(fā)生時(shí)，可根據(jù)時(shí)間點(diǎn)快速實(shí)施網(wǎng)站數(shù)據(jù)恢復(fù)。

目前實(shí)際運(yùn)行效果是各個(gè)系統(tǒng)各自獨(dú)立，遇到問題，需要管理人員登錄多臺設(shè)備分析才能發(fā)現(xiàn)整個(gè)安全事件的過程。這也反映出高校二級網(wǎng)站需要分階段建立統(tǒng)一安全管理平臺（SOC），實(shí)現(xiàn)事件發(fā)現(xiàn)、安全策略分發(fā)和園區(qū)整體防御在一個(gè)統(tǒng)一的平臺呈現(xiàn)和管理。

5 結(jié)束語

總之，隨著信息化安全威脅的不斷變化，高校二級網(wǎng)站的安全防護(hù)任重道遠(yuǎn)。安全防護(hù)策略和技術(shù)方法要與攻擊手段發(fā)展變化相對應(yīng)。高校二級網(wǎng)站的安全防護(hù)應(yīng)以應(yīng)用層面防護(hù)為主并結(jié)合規(guī)范化管理、安全架構(gòu)優(yōu)化、代碼審計(jì)和安全滲透測試等防護(hù)策略建立協(xié)同工作、相互支撐的安全防護(hù)系統(tǒng)才能有效的保證高校二級網(wǎng)站信息安全。

參考文獻(xiàn)

[1] 諸葛建偉. 高校二級網(wǎng)站遭遇嚴(yán)重掛馬和篡改[J].中國教育網(wǎng)絡(luò)，2009（12）：43-44.

[2] Wikiowasp[R/OL].http：///wiki/OWASP. 2011.

[3] Owasp 2010 top 10 [R/OL]，https：///index.php/Top_10_2010.

[4] WikiXSS [R/OL].http：///wiki/XSS. 2012.

[5] Dafydd Stuttard.Marcus Pinto The Web Application Hackers Handbook：Discovering and Exploiting Security Flaws 2nd[M]. Wiley Publishing；2012.

[6] Dafydd Stuttard.Marcus Pinto攻擊者攻防技術(shù)寶典.Web實(shí)戰(zhàn)篇[M].北京：人民郵電出版社，2009.

篇3

鐵路信息安全建設(shè)和運(yùn)行必須結(jié)合鐵路信息化實(shí)際情況，從管理和技術(shù)兩個(gè)層面綜合保證鐵路信息系統(tǒng)的運(yùn)行操作安全，保障鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的運(yùn)行安全，并最終保障鐵路運(yùn)輸業(yè)務(wù)及運(yùn)輸服務(wù)的安全。鐵路信息安全保障體系結(jié)構(gòu)見圖1。管理和技術(shù)是鐵路信息安全保障體系的兩個(gè)要素，是保證鐵路信息系統(tǒng)及其所支撐的鐵路運(yùn)輸業(yè)務(wù)和服務(wù)安全建設(shè)和運(yùn)行的必要條件。在這兩個(gè)安全要素中，管理是核心，是基礎(chǔ)，它影響和決定技術(shù)的選擇以及技術(shù)標(biāo)準(zhǔn)規(guī)范；反過來，技術(shù)也會影響到信息安全管理方式和管理制度的具體形式，降低管理成本。在安全管理層面中，國家和鐵路行業(yè)的信息安全方針政策法規(guī)是鐵路信息安全建設(shè)和安全運(yùn)維的管理基礎(chǔ)；鐵路信息安全管理制度是信息安全方針政策法規(guī)在鐵路信息安全日常工作中的具體要求體現(xiàn)；鐵路信息安全組織保障是落實(shí)鐵路信息安全方針政策法規(guī)、執(zhí)行鐵路信息安全管理制度的崗位職責(zé)基礎(chǔ)和人員保障；信息安全意識培養(yǎng)、培訓(xùn)和教育是鐵路信息安全方針政策法規(guī)和鐵路信息安全管理制度得以高效、準(zhǔn)確地落實(shí)和執(zhí)行的保證。管理安全保證不僅通過方針政策法規(guī)、組織保障、管理制度、意識培養(yǎng)培訓(xùn)教育等形式直接對鐵路業(yè)務(wù)提供安全支持和保障外，還通過對信息安全技術(shù)的影響間接地保護(hù)鐵路業(yè)務(wù)安全。鐵路信息安全方針政策法規(guī)和管理制度等因素是制定鐵路信息安全技術(shù)標(biāo)準(zhǔn)和規(guī)范的重要基礎(chǔ)，同時(shí)，它們也會對信息安全方案的設(shè)計(jì)、產(chǎn)品選擇和采購方式產(chǎn)生不同程度的影響。在安全管理控制下，只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認(rèn)證認(rèn)可的技術(shù)手段支持下，執(zhí)行規(guī)定的操作流程；鐵路信息系統(tǒng)操作流程安全包括鐵路信息系統(tǒng)的建設(shè)、運(yùn)維和災(zāi)備恢復(fù)等活動的流程和操作安全，它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中各主要階段的過程安全。鐵路信息系統(tǒng)由鐵路外部服務(wù)網(wǎng)、內(nèi)部服務(wù)網(wǎng)、安全生產(chǎn)網(wǎng)以及若干生產(chǎn)專網(wǎng)組成，鐵路的各種應(yīng)用業(yè)務(wù)都直接運(yùn)行在這些系統(tǒng)之上，為了更好地支撐這些業(yè)務(wù)系統(tǒng)的安全運(yùn)行，支持鐵路統(tǒng)一的安全管理，在鐵路信息系統(tǒng)中還包括災(zāi)備中心、數(shù)字證書系統(tǒng)、集中管理及認(rèn)證授權(quán)中心等安全基礎(chǔ)設(shè)施系統(tǒng)或安全平臺，這些安全基礎(chǔ)設(shè)施及其所服務(wù)的鐵路應(yīng)用業(yè)務(wù)系統(tǒng)的運(yùn)行安全是鐵路運(yùn)輸業(yè)務(wù)及服務(wù)正常安全運(yùn)行的環(huán)境保障。

2安全保障體系要素

在鐵路信息系統(tǒng)中，無論是系統(tǒng)的建設(shè)、運(yùn)行、災(zāi)難恢復(fù)、事件處置等活動，還是其支撐的運(yùn)輸業(yè)務(wù)和服務(wù)等系統(tǒng)目標(biāo)，都離不開管理和技術(shù)兩個(gè)安全要素的綜合保證，其中管理是核心，在安全管理措施的控制下，只有具備安全資質(zhì)的業(yè)務(wù)人員才可以在已經(jīng)獲得認(rèn)證認(rèn)可的技術(shù)手段支持下，執(zhí)行規(guī)定的操作流程。

2.1鐵路信息安全管理體系

鐵路信息安全管理體系必須以國家信息安全相關(guān)法規(guī)、政策和標(biāo)準(zhǔn)以及鐵路相關(guān)法規(guī)政策為基礎(chǔ)和依據(jù)。按照GB/T22239—2008《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》、GB/T22080—2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》和GB/T22081—2008《信息技術(shù)安全技術(shù)信息安全管理實(shí)用規(guī)則》等國家標(biāo)準(zhǔn)和指南，結(jié)合我國鐵路實(shí)際情況，將鐵路信息安全管理體系劃分為11個(gè)安全控制類別，其中包括信息安全政策、信息安全組織、資產(chǎn)業(yè)務(wù)、信息安全環(huán)境、設(shè)備使用、通信網(wǎng)絡(luò)、配置授權(quán)、安全事件處置、安全運(yùn)維、安全合規(guī)和災(zāi)備恢復(fù)等管理內(nèi)容；在11個(gè)安全控制類別的基礎(chǔ)上，建立鐵路信息安全管理制度框架，如鐵路信息資產(chǎn)管理制度、互聯(lián)網(wǎng)訪問管理制度、人員安全培訓(xùn)制度、機(jī)房管理制度、產(chǎn)品準(zhǔn)入制度、系統(tǒng)運(yùn)維制度、安全事件處理流程規(guī)定、介質(zhì)管理制度、電子郵件使用管理規(guī)定、鐵路軟件開發(fā)管理流程規(guī)定等（見圖2）。

2.2鐵路信息安全技術(shù)框架

鐵路信息安全技術(shù)框架是鐵路信息安全保障體系的重要組成內(nèi)容，主要包括安全管理、身份管理、授權(quán)管理、災(zāi)備管理、監(jiān)控審計(jì)、可信保證等技術(shù)機(jī)制（見圖3）。管理安全是統(tǒng)領(lǐng)鐵路信息安全保障的綱領(lǐng)，綱舉才能目張，構(gòu)建一個(gè)全路信息系統(tǒng)可視化管理平臺，以便對網(wǎng)絡(luò)、計(jì)算機(jī)設(shè)備、應(yīng)用系統(tǒng)部署、操作用戶及角色、運(yùn)維狀態(tài)等關(guān)鍵信息進(jìn)行全局的監(jiān)控，提高對系統(tǒng)中安全問題及其隱患的發(fā)現(xiàn)、分析和防范能力。由全路統(tǒng)一身份管理平臺、授權(quán)管理機(jī)制和責(zé)任認(rèn)定構(gòu)成的鐵路網(wǎng)絡(luò)信任管理體系是保障鐵路信息安全可信和安全的前提。全路災(zāi)難備份和恢復(fù)策略管理是鐵路信息系統(tǒng)可信、安全和業(yè)務(wù)可持續(xù)性的后盾。以密碼技術(shù)為基礎(chǔ)的可信計(jì)算技術(shù)為軟硬件資源的安全和隔離提供了結(jié)構(gòu)化保證，為計(jì)算環(huán)境的可信可靠（完整性）提供了有效的判別手段，為關(guān)鍵數(shù)據(jù)提供了可信安全存儲，為分布式計(jì)算的安全機(jī)制一致性和網(wǎng)絡(luò)接入控制提供了遠(yuǎn)程可信證明方法。可信計(jì)算技術(shù)是構(gòu)建鐵路信息安全保障體系的基礎(chǔ)支撐。

2.3鐵路信息安全的組織保證

鐵路信息系統(tǒng)安全應(yīng)該在組織上加以保證。在具體組織形式上應(yīng)該由中國鐵路總公司（簡稱總公司）主管領(lǐng)導(dǎo)和部門具體負(fù)責(zé)鐵路信息安全的領(lǐng)導(dǎo)和組織工作，由相關(guān)專業(yè)職能部門分工協(xié)作，在鐵路信息化的整體工作布局中設(shè)置專門機(jī)構(gòu)和崗位、明確相關(guān)職責(zé)、配備信息安全專業(yè)技術(shù)和管理人員，確保信息安全管理制度的有效落實(shí)和信息安全技術(shù)機(jī)制的可操作性。鐵路信息安全組織保證框架見圖4?？偣拘畔踩鞴懿块T應(yīng)該包括以下職能機(jī)構(gòu)：法規(guī)政策標(biāo)準(zhǔn)管理機(jī)構(gòu)負(fù)責(zé)制定鐵路信息安全相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范，并負(fù)責(zé)鐵路業(yè)務(wù)應(yīng)用密碼的管理工作；安全建設(shè)運(yùn)維管理機(jī)構(gòu)根據(jù)鐵路信息安全相關(guān)法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范，參與鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施的設(shè)計(jì)、開發(fā)和運(yùn)維審核和監(jiān)管工作；信息安全風(fēng)險(xiǎn)管理機(jī)構(gòu)負(fù)責(zé)對進(jìn)入鐵路信息系統(tǒng)的相關(guān)產(chǎn)品進(jìn)行測評認(rèn)證，對運(yùn)行系統(tǒng)進(jìn)行安全監(jiān)控，負(fù)責(zé)信息系統(tǒng)的安全風(fēng)險(xiǎn)管理工作；安全事件處置管理機(jī)構(gòu)負(fù)責(zé)對系統(tǒng)緊急事件進(jìn)行處理，對輿情進(jìn)行綜合分析，并根據(jù)事件性質(zhì)和處理結(jié)果對事件進(jìn)行通報(bào)；安全保密培訓(xùn)服務(wù)中心負(fù)責(zé)全路的信息安全法律法規(guī)、政策標(biāo)準(zhǔn)、安全意識和安全技能的培訓(xùn)提高工作，負(fù)責(zé)組織安排和協(xié)調(diào)社會力量以及高校等培訓(xùn)機(jī)構(gòu)具體實(shí)施常態(tài)化信息安全培訓(xùn)工作；安全災(zāi)備恢復(fù)管理機(jī)構(gòu)負(fù)責(zé)重要信息系統(tǒng)的運(yùn)行和數(shù)據(jù)備份實(shí)施工作，并在系統(tǒng)出現(xiàn)嚴(yán)重故障后，迅速協(xié)調(diào)相關(guān)部門恢復(fù)服務(wù)或業(yè)務(wù)數(shù)據(jù)，保障關(guān)鍵業(yè)務(wù)服務(wù)的運(yùn)行連續(xù)性。各鐵路局（公司）應(yīng)該參照總公司信息安全管理組織結(jié)構(gòu)，設(shè)置相關(guān)部門或相關(guān)專職崗位，并有鐵路局（公司）領(lǐng)導(dǎo)具體分管信息安全工作。鐵路局（公司）信息安全工作應(yīng)該在總公司統(tǒng)一組織、協(xié)調(diào)和安排下開展具體工作。

2.4鐵路信息系統(tǒng)安全基礎(chǔ)設(shè)施

鐵路信息系統(tǒng)必須依賴于鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施作為其安全支撐基礎(chǔ)。鐵路網(wǎng)絡(luò)與信息安全基礎(chǔ)設(shè)施不僅可以落實(shí)鐵路集中統(tǒng)一安全管理的要求，提高鐵路信息系統(tǒng)的安全水平，還能有效降低鐵路信息安全的建設(shè)和運(yùn)維成本。鐵路信息安全基礎(chǔ)設(shè)施包括鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心、鐵路業(yè)務(wù)應(yīng)用密碼管理中心、數(shù)字證書系統(tǒng)、集中安全管理及認(rèn)證授權(quán)中心、安全監(jiān)控中心、安全隔離平臺、信息安全培訓(xùn)平臺以及鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)（見圖5）。鐵路信息系統(tǒng)災(zāi)備恢復(fù)中心可以將由于系統(tǒng)重大故障或破壞帶來的業(yè)務(wù)中斷降低到最小程度，提高鐵路的服務(wù)水平；鐵路業(yè)務(wù)應(yīng)用密碼管理中心是保護(hù)鐵路重要數(shù)據(jù)安全和業(yè)務(wù)安全的基礎(chǔ)保證，同時(shí)它也是全路統(tǒng)一信任體系的技術(shù)基礎(chǔ)；鐵路數(shù)字證書系統(tǒng)可以在全路范圍內(nèi)建立統(tǒng)一的身份認(rèn)證體系，提高鐵路的信息安全集中管理能力，降低安全管理成本；鐵路集中管理及認(rèn)證授權(quán)中心通過全路集中的信息安全平臺實(shí)現(xiàn)高效、統(tǒng)一的安全管理，保證安全策略的快速一致化部署；鐵路信息系統(tǒng)安全監(jiān)控中心可以對鐵路信息系統(tǒng)的安全運(yùn)行狀態(tài)進(jìn)行監(jiān)控，掌握鐵路信息系統(tǒng)的運(yùn)行態(tài)勢，從而實(shí)現(xiàn)在鐵路信息系統(tǒng)中防患于未然，有效降低系統(tǒng)安全風(fēng)險(xiǎn)；鐵路安全隔離平臺是隔離鐵路內(nèi)部服務(wù)網(wǎng)和外部服務(wù)網(wǎng)的安全措施，它保證了鐵路安全生產(chǎn)網(wǎng)絡(luò)的正常運(yùn)行；鐵路信息安全培訓(xùn)平臺對保證提高鐵路員工的信息安全意識、培養(yǎng)安全素養(yǎng)極為重要，是人員安全的必要保證；鐵路網(wǎng)絡(luò)輿情分析系統(tǒng)對鐵路了解社會評價(jià)、改善鐵路社會化服務(wù)水平、提高鐵路形象至為關(guān)鍵。

2.5鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育管理

要搞好鐵路信息系統(tǒng)的信息安全管理，離不開相關(guān)人員的安全意識培養(yǎng)、技能培訓(xùn)和專業(yè)教育。鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育分別針對不同層次和專業(yè)的人員而設(shè)。信息安全意識培養(yǎng)通過對信息安全術(shù)語、議題和基本概念的宣傳、宣導(dǎo)，吸引一般人群對信息安全的關(guān)注，幫助人們了解信息安全所關(guān)注的問題，并能因此產(chǎn)生正確的響應(yīng)；信息安全培訓(xùn)讓信息系統(tǒng)相關(guān)人員獲得相關(guān)的技能和必備的資質(zhì)，使其在信息安全管理、設(shè)計(jì)、開發(fā)、建設(shè)、運(yùn)維、操作、評估和使用等方面滿足與信息安全相關(guān)的崗位職能要求，培訓(xùn)可以分為初級、中級和高級等多個(gè)層次；信息安全教育則從信息安全專業(yè)理論、技術(shù)、經(jīng)驗(yàn)等方面培養(yǎng)信息安全專家，與信息安全培訓(xùn)一樣，這種信息安全教育也應(yīng)分為初級、中級和高級等多個(gè)層次。為降低信息安全意識培養(yǎng)、培訓(xùn)和教育的管理和運(yùn)作成本，鐵路信息安全資質(zhì)認(rèn)證也可以和國家其他部門的資質(zhì)認(rèn)證機(jī)構(gòu)合作，對一些可信度高、有較高權(quán)威的信息安全資質(zhì)證書采取等同認(rèn)可方法。鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育管理框架見圖6。鐵路信息安全意識培養(yǎng)、培訓(xùn)和教育管理可分為兩方面：一方面是針對全部相關(guān)人員的信息安全意識培養(yǎng)。安全意識培養(yǎng)是一個(gè)長期的宣傳和貫導(dǎo)工作，可以通過制度獎(jiǎng)懲、危機(jī)教育、標(biāo)語口號等方式建立普遍的信息安全概念，推廣信息安全文化；另一方面是針對崗位定義不同的信息安全資質(zhì)要求，并這對這些資質(zhì)要求建立相對應(yīng)的信息安全技能和專業(yè)培訓(xùn)、教育，為了滿足這些資質(zhì)培訓(xùn)教育工作，總公司必須建立相關(guān)的培訓(xùn)和認(rèn)證機(jī)制，設(shè)置相關(guān)的機(jī)構(gòu)。

2.6系統(tǒng)流程及操作安全保證

系統(tǒng)流程和操作安全是指鐵路信息安全建設(shè)、運(yùn)維和災(zāi)備恢復(fù)等活動的流程和操作安全，它旨在保證鐵路信息系統(tǒng)及其安全基礎(chǔ)設(shè)施在安全生命周期中主要階段的過程安全。在鐵路信息安全建設(shè)和運(yùn)行過程中，要制定并依托相關(guān)的鐵路網(wǎng)絡(luò)與信息安全管理制度、技術(shù)標(biāo)準(zhǔn)規(guī)范和組織部門機(jī)構(gòu)，對系統(tǒng)的安全設(shè)計(jì)、產(chǎn)品測評準(zhǔn)入、安全工程等過程進(jìn)行安全管控，從根本上杜絕系統(tǒng)在結(jié)構(gòu)上的安全缺陷、嚴(yán)防不合規(guī)的產(chǎn)品進(jìn)入系統(tǒng)、保證系統(tǒng)建設(shè)施工的安全規(guī)范；在鐵路信息系統(tǒng)的日常運(yùn)行過程中，也必須建立系統(tǒng)風(fēng)險(xiǎn)監(jiān)控、評估和控制的管理和技術(shù)體系，通過專業(yè)專職的機(jī)構(gòu)和部門，對系統(tǒng)的安全狀態(tài)進(jìn)行實(shí)時(shí)監(jiān)控、對系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行定期或不定期的評估；對安全事件進(jìn)行預(yù)案規(guī)劃、演練和應(yīng)急處置，避免重大安全事件的發(fā)生；對系統(tǒng)服務(wù)或重要數(shù)據(jù)實(shí)施安全災(zāi)備，最大程度地減少系統(tǒng)故障帶來的鐵路運(yùn)輸業(yè)務(wù)和服務(wù)中斷時(shí)間，減小風(fēng)險(xiǎn)后果。鐵路信息安全建設(shè)、運(yùn)維和災(zāi)備恢復(fù)流程見圖7。

3結(jié)束語

篇4

關(guān)鍵詞： 信息化 系統(tǒng)平臺 網(wǎng)絡(luò)建設(shè) 政策導(dǎo)向

1.引言

近日，由教育部科技發(fā)展中心主辦的“2015年高等教育信息化創(chuàng)新論壇”在東北大學(xué)開幕。來自200多所高校的主要校領(lǐng)導(dǎo)、信息化管理部門負(fù)責(zé)人和網(wǎng)絡(luò)中心工作人員，以及企業(yè)代表共計(jì)500余人出席了本次論壇。在本次論壇上發(fā)表了較高水平的關(guān)于高校信息化建設(shè)的各種建議及意見。本次大會了由教育部科技發(fā)展中心牽頭、十多位來自全國高校信息化管理與應(yīng)用等各個(gè)領(lǐng)域的專家共同完成的《高等教育信息化發(fā)展報(bào)告》（2014）的數(shù)據(jù)分析報(bào)告，介紹了十二五期間高校信息化基本調(diào)研狀況，并對高等教育信息化未來發(fā)展趨勢做了展望和預(yù)測。由此可見，高校信息化建設(shè)已成為國家重要戰(zhàn)略之一[1]-[2]。

2.高校信息化建設(shè)

高校信息化建設(shè)水平是學(xué)校整體辦學(xué)水平、學(xué)校形象和地位的重要標(biāo)志之一，是我國科技發(fā)展水平的重要衡量標(biāo)準(zhǔn)[3]-[4]。在《國家中長期教育改革和發(fā)展規(guī)劃綱要（2010-2020年）》中明確指出：“信息技術(shù)對教育發(fā)展具有革命性影響，必須予以高度重視?！盵5]信息技術(shù)對大學(xué)的影響正日益加劇，并且是深刻、非連續(xù)且復(fù)雜的，將影響大學(xué)功能的方方面面（教學(xué)、科研、辦公等），影響大學(xué)組織結(jié)構(gòu)和文化變革[6]。

3.高校信息化建設(shè)的積極作用

（1）加強(qiáng)高?；A(chǔ)設(shè)施、網(wǎng)絡(luò)建設(shè)。

我國高校校園網(wǎng)絡(luò)存在大多設(shè)備陳舊、技術(shù)落后、網(wǎng)速緩慢等現(xiàn)狀。在國家關(guān)于高校信息化建議的倡導(dǎo)下，可以采用新技術(shù)、更換新設(shè)備，與國際接軌[7]-[8]。將服務(wù)器集中管理，采用虛擬化分配資源；建立整合的數(shù)據(jù)中心提供高速信息查詢等業(yè)務(wù)；采用高可靠性的系統(tǒng)架構(gòu)，保證處理業(yè)務(wù)連續(xù)、高效；建立高保障性的網(wǎng)絡(luò)信息安全體系，保護(hù)數(shù)據(jù)安全；建立高安全認(rèn)證體系，保證用戶、數(shù)據(jù)可信。

（2）加強(qiáng)視頻、音頻等數(shù)字資源建設(shè)。

建立數(shù)據(jù)資源庫，不僅可以為教學(xué)、科研提供支持，而且可以為行政工作方面提供便利。將分散的視頻、音頻、資料等整合到一起形成中心數(shù)據(jù)資料庫，利用校園網(wǎng)絡(luò)，隨時(shí)隨地查閱資料、處理公務(wù)、批改作業(yè)、回放視頻等。既能降低信息化教學(xué)門檻，又可提高信息化服務(wù)水平，方便師生使用。

（3）加強(qiáng)各類型應(yīng)用系統(tǒng)軟件、平臺建設(shè)。

高校應(yīng)以集成、整合的校級統(tǒng)一信息系統(tǒng)平臺、數(shù)據(jù)交互為基礎(chǔ)，在此之上發(fā)展各行政部門、各功能類型的系統(tǒng)軟件，如教務(wù)系統(tǒng)、人事管理系統(tǒng)、學(xué)校平臺、辦公自動化平臺等，將學(xué)習(xí)、科研、辦公協(xié)同融合，提高教學(xué)科研辦公效率。高校信息化整體為管理和決策提供高效、優(yōu)質(zhì)的信息化服務(wù)，同時(shí)強(qiáng)調(diào)個(gè)性化信息服務(wù)和決策支持。

（4）加強(qiáng)標(biāo)準(zhǔn)、接口等規(guī)范建設(shè)。

高校信息化建設(shè)不僅應(yīng)著眼于現(xiàn)有功能需求，還應(yīng)具有前瞻性。考慮未來學(xué)校發(fā)展方向、發(fā)展規(guī)模、師生數(shù)量、校區(qū)建設(shè)與系統(tǒng)平臺開發(fā)等因素，規(guī)范現(xiàn)有系統(tǒng)軟件接口，著重規(guī)范基礎(chǔ)信息編碼、管理、業(yè)務(wù)與運(yùn)維服務(wù)等方面，為未來發(fā)展打下堅(jiān)實(shí)基礎(chǔ)。

（5）加強(qiáng)思想、體制、機(jī)制建設(shè)。

高校信息化建設(shè)不僅是從國家層面予以要求，更主要的是各高校領(lǐng)導(dǎo)班子從思想上予以重視，形成完整的總體規(guī)劃與頂層設(shè)計(jì)、整合的運(yùn)維服務(wù)體系，并建立相關(guān)工作小組，完成高校信息化平臺建設(shè)。

4.結(jié)語

高校信息化建設(shè)是一個(gè)漫長的過程，其復(fù)雜性、前瞻性與長期性等特點(diǎn)決定了信息化發(fā)展不僅取決于國家政策的扶持，而且要加強(qiáng)高校領(lǐng)導(dǎo)思想導(dǎo)向、理念、廣大師生參與熱情，集思廣益，才能將這項(xiàng)工程做好、做強(qiáng)、做大。

參考文獻(xiàn)：

[1]蔣東興，宓，郭清順.高校信息化發(fā)展現(xiàn)狀與政策建議.中國教育信息化，2009.15.

[2]胡曉玲.高校信息化規(guī)劃基本流程及其績效評估分析.電化教育研究，2014.5.

[3]孫強(qiáng)，樊仰月，李歡歡，王楠，趙杏梅.高校信息化建設(shè)體制機(jī)制探討，2010.1.

[4]李逢慶，桑新民.高校信息化建設(shè)中的CIO角色研究及啟示.2009.7.

[5]梁培，韓錫斌，胡華，吳庚生.高校信息化評價(jià)的思路和方法研究.現(xiàn)代教育技術(shù)，2008.4.

[6]王婷婷，陽征.我國高校信息化管理體制革新探析.湖南師范大學(xué)教育科學(xué)學(xué)報(bào)，2008.7.

篇5

【關(guān)鍵詞】網(wǎng)站群；高校；網(wǎng)站建設(shè)

高校主頁已成為高校對外宣傳的主要窗口，也是人們了解學(xué)校的最方便，快捷的途徑。高校各部門都建有自己的網(wǎng)站，這些網(wǎng)站在各個(gè)層面對外展示著學(xué)校的辦學(xué)特色，科學(xué)研究，教育理念等方面的內(nèi)容，可以說高校中眾多的網(wǎng)站信息共同構(gòu)建起學(xué)校的網(wǎng)絡(luò)名片。然而，網(wǎng)站數(shù)量的增加，站點(diǎn)分布的零亂，信息的監(jiān)管缺失等一系列的問題也給網(wǎng)站管理者帶來了相當(dāng)大的管理難度。

1 高校網(wǎng)站的現(xiàn)狀與難題

1.1 建設(shè)水平低

網(wǎng)站運(yùn)維缺乏持續(xù)性和安全保障，二級院系部門對網(wǎng)站安全不重視。一些二級網(wǎng)站交給學(xué)生來維護(hù)，容易造成管理用戶的泄露，給網(wǎng)站安全帶來潛在隱患，而且學(xué)生畢業(yè)后網(wǎng)站處于無人管理狀態(tài)。甚至，有些管理用戶在帶有病毒的機(jī)器上進(jìn)行網(wǎng)站后臺操作，容易造成管理賬號等信息被他人掌握，有了管理權(quán)限，網(wǎng)站就會被任意篡改。

1.2 信息孤立，各站點(diǎn)之間數(shù)據(jù)不能共享

在高校主站下面存在很多子站點(diǎn)，這些站點(diǎn)都是獨(dú)立信息，建立自己的數(shù)據(jù)庫，開發(fā)的語言以及數(shù)據(jù)庫類型都存在差異，兼容性較差，相互間無法實(shí)現(xiàn)信息共享。信息不能共享就容易形成信息孤島的現(xiàn)象，也加深了后期的更新和維護(hù)的難度。不能夠統(tǒng)一管理這些站點(diǎn)也就無法進(jìn)行統(tǒng)一更新維護(hù)，只能通過各部門自身陸續(xù)升級，影響了整個(gè)高校網(wǎng)站的效率。

1.3 安全性差

由于站點(diǎn)開發(fā)人員的技術(shù)水平參差不齊。有些網(wǎng)站制作相對簡單，存在漏洞，數(shù)據(jù)庫文件容易遭到篡改，以至于系統(tǒng)崩潰。同時(shí)，網(wǎng)站后臺管理制度薄弱。密碼過于簡單，容易造成站點(diǎn)被攻擊的情況發(fā)生。

1.4 信息監(jiān)管難度大

高校網(wǎng)站考慮到信息安全問題，一般需要集中管理。尤其是在信息上需要采用層層審核，誰誰負(fù)責(zé)的制度。但是由于目前高校各子網(wǎng)站的相互獨(dú)立，網(wǎng)站管理員賬號工作權(quán)限不能統(tǒng)一分配和管理，給網(wǎng)站的信息安全帶來了一定的安全患。

2 網(wǎng)站群概述

2.1 網(wǎng)站群的概念

網(wǎng)站群也稱為網(wǎng)站集群，是指統(tǒng)一規(guī)劃，統(tǒng)一標(biāo)準(zhǔn)，建立在統(tǒng)一技術(shù)構(gòu)架基礎(chǔ)之上，實(shí)行分級管理與維護(hù)，融合程度高，信息可以實(shí)現(xiàn)基于特定權(quán)限共享呈送的網(wǎng)站集合。網(wǎng)站群系統(tǒng)實(shí)現(xiàn)了技術(shù)標(biāo)準(zhǔn)統(tǒng)一能夠互聯(lián)互通，以集群化管理為支撐，實(shí)現(xiàn)了相對一致的網(wǎng)站運(yùn)行和服務(wù)規(guī)范。

2.2 網(wǎng)站群的安全優(yōu)勢

相對于一群分散的網(wǎng)站，網(wǎng)站群具有以下四個(gè)安全方面的明顯優(yōu)勢：

（1）網(wǎng)站集群管理可視化，大大降低網(wǎng)站管理與維護(hù)的技術(shù)門檻，同時(shí)提高了系統(tǒng)安全性。

（2）嚴(yán)格的分級權(quán)限管理機(jī)制，保證信息共享和信息安全。

（3）采用前臺和后臺相分離的，靜態(tài)服務(wù)器和制作服務(wù)器的部署架構(gòu)，網(wǎng)站安全得到保障。

（4）利用嚴(yán)格的分級權(quán)限管理機(jī)制和信息審核流程疏通網(wǎng)站管理工作，保證了全校網(wǎng)站管理工作的規(guī)范。

3 高校網(wǎng)站群建設(shè)與管理

為有效實(shí)現(xiàn)校級門戶網(wǎng)站與各二級站點(diǎn)之間的智能管理，數(shù)據(jù)共享，統(tǒng)一規(guī)劃，解決目前高校網(wǎng)站建設(shè)管理中出現(xiàn)的問題?？蓪⒕W(wǎng)站群系統(tǒng)引入高校網(wǎng)站建設(shè)中，網(wǎng)站群是基于統(tǒng)一標(biāo)準(zhǔn)，統(tǒng)一規(guī)范和統(tǒng)一技術(shù)構(gòu)架之上。

3.1 級站點(diǎn)垂直管理

站群模式的選擇是一個(gè)很重要的問題，在選擇時(shí)必須考慮到架構(gòu)的穩(wěn)定性以及擴(kuò)展性。高校站群管理可以構(gòu)建多個(gè)站點(diǎn)，各子站點(diǎn)除了可以獨(dú)立的建立自己的欄目，實(shí)現(xiàn)個(gè)體的功能外，同時(shí)還可以通過站群發(fā)揮信息集成的優(yōu)勢，讓各站點(diǎn)之間實(shí)現(xiàn)信息的共享。主要是通過“主站+子站”的垂直管理模式，對外部訪問者來說，各子站點(diǎn)本身就是一個(gè)相應(yīng)的獨(dú)立站點(diǎn)，并非主站的附屬；對一級站群來說，主站主站滿足了學(xué)校建立門戶網(wǎng)站的需求，子站也能滿足相關(guān)專業(yè)門戶的建設(shè)；對二級站群來講，主站是對各子站信息的整合，子站是各自獨(dú)立的個(gè)體。而對于站群的管理者來講，它就是一個(gè)統(tǒng)一的平臺，更加方便網(wǎng)站對網(wǎng)站進(jìn)行管理。

3.2 網(wǎng)站群的權(quán)限管理

站群系統(tǒng)采用基于角色的分級授權(quán)管理體制。將用戶從高到低分為三個(gè)等級：第一級，超級管理員，負(fù)責(zé)修改和維護(hù)整個(gè)網(wǎng)站群；第二級，各子站管理人員，承擔(dān)子站的維護(hù)任務(wù)；第三級，子站信息維護(hù)人員，負(fù)責(zé)添加新信息。整個(gè)網(wǎng)站群以這種角色認(rèn)證體制作為基礎(chǔ)。管理人員在登錄網(wǎng)站群管理系統(tǒng)之后，以相應(yīng)的角色進(jìn)入各個(gè)子站進(jìn)行相應(yīng)的授權(quán)操作，有效的提高了效率，避免了信息的誤操作。在系統(tǒng)維護(hù)的用戶管理方面，高級用戶可以添加權(quán)限低于其的下級用戶，并且可以修改其權(quán)限。

3.3 網(wǎng)站群制度管理

網(wǎng)站建設(shè)過程中需要各方面關(guān)系的協(xié)調(diào)。成立全校的信息化建設(shè)領(lǐng)導(dǎo)小組。由分管信息化建設(shè)的校領(lǐng)導(dǎo)擔(dān)任組長，管理網(wǎng)站集群的建設(shè)工作。規(guī)范信息程序，注重落實(shí)責(zé)任與制度建設(shè)相結(jié)合。加強(qiáng)網(wǎng)絡(luò)安全監(jiān)控，加強(qiáng)網(wǎng)站信息更新頻率，提高網(wǎng)站活力。加強(qiáng)部門領(lǐng)導(dǎo)對網(wǎng)站的重視程度，配備信息員負(fù)責(zé)網(wǎng)站信息的工作#，定期對網(wǎng)站進(jìn)行升級和維護(hù)，確保網(wǎng)站穩(wěn)定%，安全運(yùn)行。

4 結(jié)語

隨著高校信息化工作的不斷深入，通過構(gòu)建技術(shù)統(tǒng)一，風(fēng)格統(tǒng)一，維護(hù)簡便的網(wǎng)站群管理系統(tǒng)；加快了網(wǎng)站建站速度，提高了網(wǎng)站的安全性能。實(shí)現(xiàn)了信息的互聯(lián)互通，節(jié)約了管理成本，提升了高校網(wǎng)絡(luò)形象。因此，高校網(wǎng)站采用網(wǎng)站群系統(tǒng)模式實(shí)現(xiàn)集約化管理勢在必行。

【參考文獻(xiàn)】

[1]李春子.網(wǎng)站集群式管理在高校中的應(yīng)用分析[J].數(shù)字技術(shù)與應(yīng)用，2010（5）.

[2]陳紅紅.高校網(wǎng)站管理問題分析及解決方案[J].西北成人教育學(xué)報(bào)，2009（02）.

篇6

【關(guān)鍵詞】校園網(wǎng)；信息安全；層次模型

1.引言

對于逐步實(shí)現(xiàn)網(wǎng)絡(luò)化和信息化辦公、教學(xué)、科研、學(xué)術(shù)交流等工作的大學(xué)校園網(wǎng)來說，一方面提供了有力的現(xiàn)代化手段；另一方面，事物的發(fā)展都具有兩面性，計(jì)算機(jī)網(wǎng)絡(luò)的開發(fā)性、互聯(lián)性、連接形式的多樣性，目前全國高校以網(wǎng)絡(luò)中心為核心，建成了具有高度自主的、覆蓋全校的校園網(wǎng)絡(luò)。

校園網(wǎng)通過與CERNET、Internet相連，面向社會開放、逐步成為學(xué)校教育信息管理、信息傳輸和資源共享的主要渠道和平臺。但是，隨之而來的不良信息、非法入侵、系統(tǒng)漏洞、病毒等對校園網(wǎng)和應(yīng)用系統(tǒng)產(chǎn)生巨大的威脅，校園網(wǎng)的安全問題就變得尤其重要；因此，如何設(shè)計(jì)一個(gè)穩(wěn)定、可靠、安全和經(jīng)濟(jì)的校園網(wǎng)，應(yīng)對日益增多的網(wǎng)絡(luò)攻擊、病毒破壞和黑客入侵等問題已成為校園網(wǎng)建設(shè)和運(yùn)營所關(guān)注的重點(diǎn)。本文對校園網(wǎng)的安全需求作分析、提出了校園網(wǎng)信息安全的三層模型，并提出了各層的安全技術(shù)實(shí)現(xiàn)方法。

2.校園網(wǎng)信息安全的需求分析

校園網(wǎng)一般基于TCP/IP協(xié)議，有線光纜為骨干，利用以太網(wǎng)（萬兆、千兆）技術(shù)構(gòu)建，對內(nèi)達(dá)到100M、l000M的交換能力，對外能與教育網(wǎng)、國際互聯(lián)網(wǎng)、政府辦公網(wǎng)連接。利用教育網(wǎng)的平臺，達(dá)到“校校通”、并在此網(wǎng)基礎(chǔ)上，建立和完善教育信息資源庫、教學(xué)管理信息系統(tǒng)、遠(yuǎn)程教學(xué)系統(tǒng)及網(wǎng)上虛擬學(xué)校的建設(shè)，真正讓校園網(wǎng)在教學(xué)、學(xué)生及教職員管理、辦公自動化、財(cái)務(wù)及人事管理、圖書管理等教學(xué)改革等各方面發(fā)揮作用。因此，總體上來講，可以將校園網(wǎng)的信息安全需求分為網(wǎng)絡(luò)基礎(chǔ)服務(wù)安全的需求、教育信息業(yè)務(wù)安全的需求和校園網(wǎng)運(yùn)維管理的需求。

2.1 校園網(wǎng)網(wǎng)絡(luò)基礎(chǔ)服務(wù)的安全要求

作為教育信息化的主要平臺，校園網(wǎng)應(yīng)能夠提供高可靠性、安全性的基礎(chǔ)通信服務(wù)。由于它是建立在TCP/IP協(xié)議上的寬帶IP數(shù)據(jù)網(wǎng)，因而，協(xié)議本身的漏洞和網(wǎng)絡(luò)技術(shù)的開放性[1]，帶來了固有的和前所未有的巨大的安全隱患。主要安全問題是缺乏服務(wù)質(zhì)量的保證、地址盜用、地址欺騙、內(nèi)容竊取或更改、計(jì)算機(jī)病毒等。

2.2 教育信息業(yè)務(wù)的安全要求

校園園的特別之處在于：它是教育信息化的業(yè)務(wù)開展和技術(shù)實(shí)現(xiàn)的基礎(chǔ)，是學(xué)校的的門戶中心、數(shù)據(jù)中心（IDC）和交換中心（EDC），教育服務(wù)中心、管理中心。

所以，不同類型的業(yè)務(wù)對安全提出了不同的要求。

（1）門戶網(wǎng)站的內(nèi)容安全

高校的很多信息是通過校園網(wǎng)的門戶網(wǎng)站來對外的，很多業(yè)務(wù)是對Internet開放的。近年來，網(wǎng)上黑客活動日益猖獗。很多網(wǎng)站被攻擊，很多安全信息被泄漏，因此，教育網(wǎng)應(yīng)從網(wǎng)絡(luò)運(yùn)營角度提供必要的手段減少安全隱患，防止像黑客入侵、dos攻擊之類的威脅。

（2）應(yīng)用系統(tǒng)的安全

校園網(wǎng)上經(jīng)常開展像遠(yuǎn)程教育、名師名教、培訓(xùn)認(rèn)證等業(yè)務(wù)，具有極高的商業(yè)價(jià)值，校園網(wǎng)開展這些服務(wù)的同時(shí)必須有良好的安全保障體系來保證這些業(yè)務(wù)的安全正常開展。因此，保持?jǐn)?shù)據(jù)的安全傳輸、授權(quán)安全訪問等技術(shù)措施必須仔細(xì)部署。

（3）業(yè)務(wù)支撐系統(tǒng)的安全

在網(wǎng)絡(luò)通訊平臺和應(yīng)用系統(tǒng)中間的業(yè)務(wù)支撐平臺提供了大量的基礎(chǔ)服務(wù)，提供了大量的基礎(chǔ)數(shù)據(jù)。業(yè)務(wù)支撐系統(tǒng)的安全主要是要保證主機(jī)、操作系統(tǒng)、關(guān)鍵數(shù)據(jù)等資源安全可靠，這樣才能保證各應(yīng)用系統(tǒng)的安全運(yùn)行。

2.3 校園網(wǎng)運(yùn)維管理的安全要求

（1）校園網(wǎng)絡(luò)自身的安全

校園網(wǎng)直接面對用戶，因此要對網(wǎng)絡(luò)本身的安全做周密的考慮。其自身的網(wǎng)絡(luò)管理中心更是需要重點(diǎn)保護(hù)的對象。

（2）用戶身份的安全

教育信息化的推進(jìn)，使得校園網(wǎng)提供的網(wǎng)絡(luò)服務(wù)越來越多，自我定制的個(gè)性化服務(wù)也越來越多，用戶身份認(rèn)證的安全性也越來越重要。

3.校園網(wǎng)信息安全的層次模型

對于任何一個(gè)網(wǎng)絡(luò)而言，它必然遵循OSI的七層次網(wǎng)絡(luò)互連參考模型，相應(yīng)地，在各層之間需要提供不同的安全機(jī)制和安全服務(wù)。因此，我們可以：在物理層要保證通信線路的可靠，不易被竊聽。在鏈路層可以采用加密技術(shù)，保證通信的安全。在網(wǎng)絡(luò)層，可以采用傳統(tǒng)的防火墻技術(shù)，采用IP過濾功能的路由器，以控制信息在內(nèi)外網(wǎng)絡(luò)邊界的流動。還可使用IP加密傳輸信道技術(shù)IP SEC，在兩個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)間建立透明的安全加密信道。在傳輸層可以實(shí)現(xiàn)進(jìn)程到進(jìn)程的安全通信，如安全套接字層SSL技術(shù)。另外，針對專門的應(yīng)用，在應(yīng)用層實(shí)施安全機(jī)制，對特定的應(yīng)用是有效的，用于Web的安全增強(qiáng)型超文本傳輸協(xié)議S-HTTP提供了文件級的安全服務(wù)機(jī)制。通過上面的安全需求分析，參照ISO的模型，校園網(wǎng)的信息安全模型可分為三個(gè)層次一個(gè)輔助系統(tǒng)，即：網(wǎng)絡(luò)安全層、業(yè)務(wù)支撐安全層、應(yīng)用系統(tǒng)安全層，網(wǎng)絡(luò)監(jiān)控和身份認(rèn)證系統(tǒng)。

4.校園網(wǎng)信息安全的技術(shù)實(shí)現(xiàn)

4.1 網(wǎng)絡(luò)層安全

網(wǎng)絡(luò)層安全主要是保障整個(gè)校園網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全可靠性，防止非法的接入。從技術(shù)實(shí)現(xiàn)架構(gòu)角度來看，首先，校園網(wǎng)的網(wǎng)絡(luò)框架應(yīng)該是層次分明的，應(yīng)該采用了核心層、匯聚層、接入層的網(wǎng)絡(luò)結(jié)構(gòu)；關(guān)鍵設(shè)備（如校園網(wǎng)核心設(shè)備、匯聚設(shè)備等）實(shí)現(xiàn)冗余設(shè)置；其次，網(wǎng)絡(luò)邊界應(yīng)該清晰，應(yīng)符合IATF的網(wǎng)絡(luò)基礎(chǔ)設(shè)施、邊界/外部連接、計(jì)算環(huán)境、支撐基礎(chǔ)設(shè)施的深度防御原則，這樣清晰的網(wǎng)絡(luò)邊界便于安全控制。從設(shè)備角度來說，不同層次的設(shè)備所需要的安全實(shí)現(xiàn)方式是不同的：

（1）校園網(wǎng)核心設(shè)備的安全主要是防止核心設(shè)備遭受攻擊或病毒引發(fā)網(wǎng)絡(luò)流量激增，進(jìn)而對設(shè)備性能產(chǎn)生沖擊。因此，可采用：

①無阻塞交換設(shè)備；

②分布處理、QoS技術(shù)等；

③節(jié)點(diǎn)關(guān)鍵設(shè)備冗余備份，系統(tǒng)出現(xiàn)軟硬件故障時(shí)，可迅速切換到備用模塊；

④網(wǎng)絡(luò)設(shè)備采用多極安全密碼體系，限制非法設(shè)備和用戶登錄等。

（2）匯聚層設(shè)備則需要注重流量控制和用戶管理（用戶識別、授權(quán)、認(rèn)證、計(jì)費(fèi)）功能。它要能：

①保證接入側(cè)用戶相互隔離，防止IP地址被盜用或仿冒，防止用戶間的相互攻擊；

②IP地址與MAC地址綁定，端口或MAC地址綁定，并可提供追查惡意用戶的手段；

③支持限制用戶端口最大接入IP地址數(shù)、PPP會話數(shù)、TCP/UDP連接數(shù)，有效防止DOS、DDOS類的攻擊；

④支持訪問控制列表（ACL），包括在虛擬路由器中創(chuàng)建ACL列表、采用多種網(wǎng)絡(luò)安全層業(yè)務(wù)支撐安全層、應(yīng)用安全層、網(wǎng)絡(luò)監(jiān)控和身份認(rèn)證系統(tǒng)門戶網(wǎng)站、遠(yuǎn)程教育、教學(xué)管理等主機(jī)、操作系統(tǒng)、教育資源/管理庫網(wǎng)絡(luò)結(jié)構(gòu)、設(shè)備、線路等校園網(wǎng)信息安全層次模型過濾規(guī)則提供多層次對目標(biāo)網(wǎng)絡(luò)的保護(hù)，以及禁止部分用戶訪問或有選擇地屏蔽網(wǎng)絡(luò)服務(wù)等。

至于接入層設(shè)備，則通過：

①用戶隔離；

②控制用戶流量帶寬等手段實(shí)現(xiàn)安全控制。網(wǎng)絡(luò)邊界則考慮防火墻、入侵檢測、vpn接入等安全設(shè)備來保障安全。

4.2 業(yè)務(wù)支撐層安全

業(yè)務(wù)支撐層作為應(yīng)用層的基礎(chǔ)，其包括主機(jī)（提供網(wǎng)絡(luò)服務(wù)的服務(wù)器）、資源（提供的能被用戶使用的各種系統(tǒng)設(shè)備與服務(wù)，如文件系統(tǒng)、CPU資源、內(nèi)存資源、網(wǎng)絡(luò)服務(wù)等），以及操作系統(tǒng)、各種基礎(chǔ)數(shù)據(jù)庫（如教學(xué)資源庫、教學(xué)管理信息庫等）。業(yè)務(wù)支撐層的安全措施要結(jié)合網(wǎng)絡(luò)特性和操作系統(tǒng)特性，在用戶和主機(jī)之間，主機(jī)和主機(jī)之間，實(shí)行嚴(yán)格的訪問控制和相應(yīng)的加密技術(shù)建立安全的數(shù)據(jù)傳輸通道。做到不同用戶在不同時(shí)間地點(diǎn)對資源擁有不同的訪問權(quán)限。同時(shí)，主機(jī)還需使用主機(jī)入侵檢測技術(shù)，能及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊和入侵行為并迅速做出響應(yīng)，如切斷用戶連接。針對現(xiàn)在日益嚴(yán)重的病毒危害，必須部署網(wǎng)絡(luò)化的防病毒系統(tǒng)，防止對數(shù)據(jù)和系統(tǒng)的侵害。另外，要做好：

①操作系統(tǒng)（Unix/Windows）漏洞檢測與修復(fù)；

②通用基礎(chǔ)應(yīng)用程序漏洞檢測與修復(fù)；

③數(shù)據(jù)庫及其它各種系統(tǒng)守護(hù)進(jìn)程漏洞及修復(fù)；

④數(shù)據(jù)的安全保障，包括介質(zhì)與載體安全保護(hù)、數(shù)據(jù)訪問控制、系統(tǒng)數(shù)據(jù)訪問控制檢查、標(biāo)識與鑒別、數(shù)據(jù)完整性、數(shù)據(jù)可用性、數(shù)據(jù)監(jiān)控和審計(jì)、數(shù)據(jù)存儲與備份安全

4.3 應(yīng)用安全層

應(yīng)用安全層將保障校園網(wǎng)相關(guān)信息系統(tǒng)在校園網(wǎng)網(wǎng)絡(luò)系統(tǒng)上能安全運(yùn)行，因而本層的應(yīng)用安全層的脆弱性將給信息化系統(tǒng)帶來最大損失的致命威脅；那么在實(shí)施過程中，除應(yīng)用系統(tǒng)程序設(shè)計(jì)時(shí)加強(qiáng)像用戶口令，權(quán)限，加密安全傳輸?shù)却胧┮酝?，還需要從教學(xué)業(yè)務(wù)應(yīng)用特點(diǎn)的實(shí)際出發(fā)，對應(yīng)用系統(tǒng)以下幾個(gè)方面做好評估，以確保安全：

①應(yīng)用系統(tǒng)軟件的程序安全性測試（bug分析）；

②業(yè)務(wù)交往的防抵賴測試；

③業(yè)務(wù)資源的訪問控制驗(yàn)證測試；

④業(yè)務(wù)實(shí)體的身份鑒別檢測；

⑤業(yè)務(wù)現(xiàn)場的備份與恢復(fù)機(jī)制檢查；

⑥業(yè)務(wù)數(shù)據(jù)的唯一性/一致性/防沖突檢測；

⑦業(yè)務(wù)數(shù)據(jù)的保密性測試；

⑧業(yè)務(wù)系統(tǒng)的可靠性測試；

⑨業(yè)務(wù)系統(tǒng)的可用性測試。

4.4 網(wǎng)絡(luò)監(jiān)控和身份認(rèn)證系統(tǒng)

網(wǎng)監(jiān)系統(tǒng)實(shí)際上是技術(shù)安保手段，它通過完善的安全功能來保障城域網(wǎng)的安全。這主要包括漏洞管理、威脅管理、配置管理以及響應(yīng)等。網(wǎng)監(jiān)系統(tǒng)從網(wǎng)絡(luò)交換設(shè)備、網(wǎng)絡(luò)安全設(shè)備、主機(jī)系統(tǒng)、數(shù)據(jù)庫以及應(yīng)用系統(tǒng)，存儲備份等幾個(gè)方面來部署。通過對路由器交換機(jī)的訪問日志察看接入狀況；通過入侵防護(hù)設(shè)備的報(bào)警信息及防火墻的非正常連接，防病毒的報(bào)警與升級來掌握網(wǎng)絡(luò)的安全狀況；對服務(wù)器的監(jiān)控則通過性能檢查、日志以及系統(tǒng)錯(cuò)誤報(bào)警、應(yīng)用錯(cuò)誤報(bào)警來識別；對重要應(yīng)用和數(shù)據(jù)的訪問日志及報(bào)警日志來判別應(yīng)用系統(tǒng)和數(shù)據(jù)庫的安全。身份認(rèn)證系統(tǒng)貫穿于整個(gè)系統(tǒng)中，它解決訪問者的物理身份和數(shù)字身份的一致性問題。由于校園網(wǎng)中的應(yīng)用系統(tǒng)很多，各個(gè)系統(tǒng)都有自己的安全策略，那么通過一套統(tǒng)一的身份認(rèn)證系統(tǒng)，采用單點(diǎn)登陸機(jī)制后，使用單一賬號，系統(tǒng)維護(hù)自動接駁到后臺各應(yīng)用系統(tǒng)的賬號管理。實(shí)施時(shí)采用：建立身份認(rèn)證倉庫，將用戶的訪問信息獨(dú)立于應(yīng)用程序來進(jìn)行集中管理；建立單一的權(quán)威目錄作為所有數(shù)據(jù)的數(shù)據(jù)源；基于身份認(rèn)證的網(wǎng)絡(luò)管理能夠幫助管理員集中創(chuàng)建和銷毀網(wǎng)絡(luò)賬戶。

5.結(jié)束語

校園網(wǎng)的網(wǎng)絡(luò)安全問題必須通盤考慮，進(jìn)行體系化的整體安全設(shè)計(jì)和實(shí)施。要理論先行，技術(shù)成熟合理，同時(shí)還要結(jié)合專用的安全設(shè)備，采取多層、多域的保護(hù)措施。當(dāng)然，保護(hù)網(wǎng)絡(luò)安全，只靠技術(shù)還是不夠的，還需要從策略、管理、服務(wù)等多方面來構(gòu)建一個(gè)立體的安全防護(hù)體系，這樣才能真正的把校園網(wǎng)建好、用好、管好。

參考文獻(xiàn)

[1]胡道元，閔京華.網(wǎng)絡(luò)安全[M].清華大學(xué)出版社，2004， 1（1）.

[2]李逢天.網(wǎng)絡(luò)運(yùn)營中的網(wǎng)絡(luò)安全問題及解決思路[J].電信技術(shù)，2003，1（9）.

篇7

實(shí)驗(yàn)室建成后整體上可為以上幾類輸出人才提供教學(xué)、設(shè)備實(shí)操、項(xiàng)目演練、技能訓(xùn)練，以及為學(xué)生提供專業(yè)的培訓(xùn)服務(wù)，以增強(qiáng)個(gè)人專業(yè)素養(yǎng)和職業(yè)能力。滿足學(xué)校建立多樣化實(shí)驗(yàn)環(huán)境的需要?？紤]到IT行業(yè)正按行業(yè)細(xì)分性發(fā)展，各行業(yè)對人才的行業(yè)理解能力日益突出。實(shí)驗(yàn)室的建設(shè)要滿足學(xué)校相關(guān)學(xué)科的需要，從教學(xué)體系到硬件設(shè)備可模擬行業(yè)進(jìn)行實(shí)驗(yàn)〔4〕。如金融、政務(wù)、電子商務(wù)、企業(yè)信息化等行業(yè)實(shí)驗(yàn)，打造行業(yè)技術(shù)突出的專業(yè)化精細(xì)人才。同時(shí)，提供標(biāo)準(zhǔn)的技術(shù)接口，學(xué)科可引入配套的實(shí)驗(yàn)應(yīng)用系統(tǒng)，進(jìn)行整體信息化的設(shè)計(jì)與項(xiàng)目演練，打造應(yīng)用細(xì)分化實(shí)驗(yàn)，突破傳統(tǒng)實(shí)驗(yàn)僅限于網(wǎng)絡(luò)層和系統(tǒng)層的應(yīng)用局限〔5〕。

滿足專業(yè)教師學(xué)習(xí)網(wǎng)絡(luò)、從事網(wǎng)絡(luò)技術(shù)研究和應(yīng)用系統(tǒng)開發(fā)的需要。除了引入傳統(tǒng)網(wǎng)絡(luò)實(shí)驗(yàn)的交換、路由、安全等技術(shù)外，網(wǎng)絡(luò)工程實(shí)驗(yàn)室還引入3G、數(shù)據(jù)中心、云虛擬化等前沿技術(shù)實(shí)驗(yàn)。一方面可以為精英式學(xué)生、學(xué)校教師提供前沿技術(shù)學(xué)習(xí)了解、專研的平臺條件，同時(shí)，也為引入完善的行業(yè)項(xiàng)目實(shí)驗(yàn)提供了如3G接入，數(shù)據(jù)中心、信息安全設(shè)計(jì)等實(shí)驗(yàn)支撐平臺，使實(shí)驗(yàn)中心有條件模擬全面的綜合實(shí)驗(yàn)項(xiàng)目。

滿足實(shí)習(xí)基地建設(shè)的需要。為了使網(wǎng)絡(luò)工程學(xué)科能正常高效開展起來，學(xué)校學(xué)科建設(shè)和人才培養(yǎng)中，提供認(rèn)證、雙師培訓(xùn)、置換教材、技能競賽、行業(yè)實(shí)驗(yàn)等服務(wù)，配合學(xué)校進(jìn)行精英式教學(xué)課程、人才培養(yǎng)建設(shè)。同時(shí)提升建設(shè)效率，在短時(shí)間內(nèi)即有明顯、創(chuàng)新的發(fā)展提升。同時(shí)加緊建設(shè)底層的硬件實(shí)驗(yàn)設(shè)備，完全采用行業(yè)標(biāo)準(zhǔn)設(shè)備，技術(shù)全面、產(chǎn)品質(zhì)量穩(wěn)定。

網(wǎng)絡(luò)工程實(shí)驗(yàn)室建設(shè)規(guī)劃

如圖1所示，本實(shí)驗(yàn)室共分為5個(gè)部份：連接區(qū)、教學(xué)管理區(qū)、學(xué)生區(qū)、教學(xué)實(shí)驗(yàn)區(qū)、出口區(qū)。（1）連接區(qū)。負(fù)責(zé)將整個(gè)實(shí)驗(yàn)室各區(qū)域互聯(lián)，融合成有機(jī)的一體，實(shí)現(xiàn)數(shù)據(jù)共享，遠(yuǎn)程操作管理。（2）教學(xué)管理區(qū)。教師及管理員對整個(gè)實(shí)驗(yàn)室資源、實(shí)驗(yàn)課程進(jìn)行統(tǒng)一分配、管理。（3）學(xué)生區(qū)。參加實(shí)驗(yàn)課程的學(xué)生區(qū)域。（4）教學(xué)實(shí)驗(yàn)區(qū)。實(shí)驗(yàn)室實(shí)驗(yàn)設(shè)備放置、連接、仿真區(qū)域。（5）出口區(qū)。實(shí)驗(yàn)室可通過出口區(qū)互聯(lián)到校園網(wǎng)，實(shí)驗(yàn)室內(nèi)學(xué)生可訪問教育網(wǎng)或者互聯(lián)網(wǎng)資源，同時(shí)將實(shí)驗(yàn)室資源對外開放，進(jìn)行遠(yuǎn)程實(shí)驗(yàn)。學(xué)校網(wǎng)絡(luò)實(shí)驗(yàn)室建設(shè)中，網(wǎng)絡(luò)實(shí)驗(yàn)室的基本配置為7組標(biāo)準(zhǔn)實(shí)驗(yàn)臺，可完成網(wǎng)絡(luò)交換及路由方面的全部實(shí)驗(yàn)。在每個(gè)標(biāo)準(zhǔn)實(shí)驗(yàn)為基礎(chǔ)構(gòu)架，擴(kuò)展功能實(shí)驗(yàn)設(shè)備，建立細(xì)分型功能實(shí)驗(yàn)組，進(jìn)行相關(guān)內(nèi)容實(shí)驗(yàn)。學(xué)校網(wǎng)絡(luò)工程實(shí)驗(yàn)室建成后，應(yīng)當(dāng)滿足以下幾點(diǎn)要求：（1）能夠與行業(yè)網(wǎng)絡(luò)設(shè)備、安全設(shè)備在統(tǒng)一管理下聯(lián)動進(jìn)行實(shí)驗(yàn)，可以通過拓?fù)涔芾砉δ莒`活搭建網(wǎng)絡(luò)拓?fù)洵h(huán)境；（2）可以提供多種網(wǎng)絡(luò)攻防實(shí)驗(yàn)環(huán)境、行業(yè)特色業(yè)務(wù)實(shí)驗(yàn)環(huán)境，能夠與其他設(shè)備配合模擬真實(shí)行業(yè)應(yīng)用業(yè)務(wù)系統(tǒng)及其網(wǎng)絡(luò)環(huán)境；（3）提供靈活可靠的管理方式，所有設(shè)備管理信息、拓?fù)湫畔⒖梢钥旖莞咝У慕y(tǒng)一進(jìn)行配置管理；（4）完善的遠(yuǎn)程實(shí)驗(yàn)功能，全部實(shí)驗(yàn)室本地進(jìn)行的實(shí)驗(yàn)均可通過遠(yuǎn)程實(shí)驗(yàn)完成，提高實(shí)驗(yàn)室利用效率。

網(wǎng)絡(luò)工程實(shí)驗(yàn)室教學(xué)規(guī)劃

網(wǎng)絡(luò)工程實(shí)驗(yàn)室采用RG-CVM1000銳捷云虛擬實(shí)驗(yàn)平臺，云虛擬實(shí)驗(yàn)平特的虛擬化技術(shù)能使設(shè)備將硬件性能發(fā)揮到最佳，并能夠完善的支持各種信息安全、應(yīng)用系統(tǒng)的環(huán)境。它為高校的網(wǎng)絡(luò)工程實(shí)驗(yàn)室提供了高性能、易使用、豐富實(shí)驗(yàn)擴(kuò)展的解決方案。RG-CVM1000具有10個(gè)千兆以太網(wǎng)接口，其中8個(gè)以太網(wǎng)接口可以同時(shí)獨(dú)立進(jìn)行實(shí)驗(yàn)、外加1個(gè)CONSOLE口和1個(gè)MGT帶外管理口。由于采用先進(jìn)的高性能多核處理器及大容量高速內(nèi)存，可確保產(chǎn)品能夠滿足高性能要求。配置1塊液晶屏、2個(gè)USB口，設(shè)備運(yùn)行信息、設(shè)備配置保存等功能都可以通過豐富的硬件配置來完成。RG-CVM1000銳捷云虛擬實(shí)驗(yàn)平臺能完成的實(shí)驗(yàn)主要包括以下幾個(gè)部分：（1）網(wǎng)絡(luò)工程基礎(chǔ)實(shí)驗(yàn)在網(wǎng)絡(luò)工程實(shí)驗(yàn)室內(nèi)，學(xué)生可以進(jìn)行局域網(wǎng)、廣域網(wǎng)的組網(wǎng)、網(wǎng)絡(luò)通信編程實(shí)現(xiàn)、網(wǎng)絡(luò)七層協(xié)議的測試、lnternet技術(shù)的運(yùn)用及各類服務(wù)器的配置等實(shí)驗(yàn)。同時(shí)，也使學(xué)生在畢業(yè)時(shí)擴(kuò)大了擇業(yè)的范圍，可以從事網(wǎng)絡(luò)技術(shù)工程師、網(wǎng)絡(luò)管理員等網(wǎng)絡(luò)技術(shù)類職業(yè)，就職于各網(wǎng)絡(luò)系統(tǒng)集成公司，或成為各種類型單位或公司的網(wǎng)絡(luò)管理員，這些對于學(xué)生來說都是具有現(xiàn)實(shí)意義的〔6〕。根據(jù)學(xué)校的教學(xué)和課程安排需要，此次學(xué)校建設(shè)的網(wǎng)絡(luò)工程實(shí)驗(yàn)臺能夠提供以下基本實(shí)驗(yàn)內(nèi)容：路由器、RIP路由協(xié)議、OSPF路由協(xié)議、廣域網(wǎng)技術(shù)、交換機(jī)接入及安全技術(shù)、無線網(wǎng)絡(luò)組建與配置、網(wǎng)管軟件RG-SNC等。（2）網(wǎng)絡(luò)安全保障實(shí)驗(yàn)網(wǎng)絡(luò)安全領(lǐng)域已經(jīng)成為一個(gè)綜合、交叉的學(xué)科領(lǐng)域。網(wǎng)絡(luò)安全涉及到網(wǎng)絡(luò)通信、信息系統(tǒng)、數(shù)據(jù)等各個(gè)層面，它需要綜合利用計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)通信、電子電路技術(shù)、數(shù)學(xué)、物理等諸多學(xué)科的長期知識積累和最新研究成果〔7〕。網(wǎng)絡(luò)安全也是一個(gè)復(fù)雜的系統(tǒng)工程，它涉及到信息基礎(chǔ)建設(shè)、網(wǎng)絡(luò)與系統(tǒng)的構(gòu)造、信息系統(tǒng)與業(yè)務(wù)應(yīng)用系統(tǒng)的開發(fā)、信息安全的法律法規(guī)、安全管理體系等〔7〕。因此網(wǎng)絡(luò)安全是網(wǎng)絡(luò)通信應(yīng)用領(lǐng)域安全防護(hù)問題的一門新興的應(yīng)用學(xué)科。該學(xué)科交叉性多、邊緣性強(qiáng)、應(yīng)用面寬，是一個(gè)龐大的學(xué)科群體系。根據(jù)學(xué)校的教學(xué)和課程安排需要，可為學(xué)校開展的網(wǎng)絡(luò)安全實(shí)驗(yàn)提供以下實(shí)驗(yàn)內(nèi)容：網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)身份識別、網(wǎng)絡(luò)的攻防、VPN虛擬專網(wǎng)的搭建、網(wǎng)絡(luò)的綜合安全規(guī)劃等。（3）IT運(yùn)維實(shí)驗(yàn)IT運(yùn)維實(shí)驗(yàn)首先要解決網(wǎng)絡(luò)拓?fù)涞膯栴}，它展示了被管理網(wǎng)絡(luò)的真實(shí)情況，直觀的為網(wǎng)管人員提供了全網(wǎng)布局情況和設(shè)備運(yùn)行情況〔8〕。學(xué)生可直接查看通過設(shè)備接入的在線學(xué)生狀態(tài)和信息,包括學(xué)生姓名、學(xué)生IP、交換機(jī)接口、在線時(shí)長等信息，更加清晰的呈現(xiàn)網(wǎng)內(nèi)在線學(xué)生狀態(tài)。同時(shí)可分別從設(shè)備角度和軟件的角度對網(wǎng)內(nèi)設(shè)備使用的軟件及版本情況進(jìn)行分析，清晰展示當(dāng)前網(wǎng)內(nèi)設(shè)備軟件版本、設(shè)備型號和安裝數(shù)量，為學(xué)生整體的網(wǎng)絡(luò)規(guī)劃提供依據(jù)。

系統(tǒng)特點(diǎn)及創(chuàng)新之處

（1）支持復(fù)雜多樣的實(shí)驗(yàn)環(huán)境支持Windows2000、Windowsxp、Windows2003、Ubuntu、FreeBSD、RedhatLinux等豐富的操作系統(tǒng)。系統(tǒng)內(nèi)置木馬檢測、系統(tǒng)安全評估、弱口令破解、數(shù)據(jù)庫安全、信息安全風(fēng)險(xiǎn)評估等豐富的實(shí)驗(yàn)環(huán)境。（2）支持學(xué)生根據(jù)需求自定義并快速搭建、創(chuàng)造新的實(shí)驗(yàn)環(huán)境目前內(nèi)置系統(tǒng)安全、木馬攻防、DDOS攻防、信息安全風(fēng)險(xiǎn)評估等多種網(wǎng)絡(luò)攻防實(shí)驗(yàn)，后續(xù)可通過實(shí)驗(yàn)擴(kuò)展包擴(kuò)展支持信息安全實(shí)驗(yàn)、服務(wù)器實(shí)驗(yàn)、行業(yè)特色應(yīng)用系統(tǒng)實(shí)驗(yàn)等更多實(shí)驗(yàn)內(nèi)容。實(shí)驗(yàn)提供環(huán)境設(shè)計(jì)器、應(yīng)用生成器、實(shí)驗(yàn)設(shè)計(jì)器，幫助學(xué)生快速高效的完成不同應(yīng)用環(huán)境下的實(shí)驗(yàn)課件生成。（3）支持搭建真實(shí)行業(yè)特色應(yīng)用實(shí)驗(yàn)環(huán)境能夠提供多種真實(shí)行業(yè)特色應(yīng)用系統(tǒng)實(shí)驗(yàn)升級包，提供不同行業(yè)真實(shí)業(yè)務(wù)系統(tǒng)實(shí)驗(yàn)環(huán)境。結(jié)合實(shí)驗(yàn)室網(wǎng)絡(luò)、安全設(shè)備，完整模擬真實(shí)行業(yè)學(xué)生業(yè)務(wù)系統(tǒng)應(yīng)用環(huán)境。（4）簡便、可靠的管理方式通過LIMP進(jìn)行統(tǒng)一管理，靈活管理學(xué)生信息及使用權(quán)限，多樣化的課程、實(shí)驗(yàn)管理，滿足學(xué)生不同的管理需要。設(shè)備支持帶外管理的管理方式，管理線路、實(shí)驗(yàn)環(huán)境圖像傳輸線路與實(shí)驗(yàn)線路分開，確保在復(fù)雜攻擊環(huán)境條件下不會對設(shè)備管理信息的通暢造成影響。同時(shí)設(shè)備自帶有一塊液晶屏，可直觀方便的了解設(shè)備的使用狀況，并可進(jìn)行簡單配置操作。（5）完善的遠(yuǎn)程實(shí)驗(yàn)支持借助LIMP完善的遠(yuǎn)程實(shí)驗(yàn)功能，CVM能夠與NTC、LIMP配合形成完善的遠(yuǎn)程實(shí)驗(yàn)解決方案，大幅提高實(shí)驗(yàn)室利用率；帶外管理的方式保障遠(yuǎn)程實(shí)驗(yàn)管理方便可靠。#p#分頁標(biāo)題#e#

篇8

關(guān)鍵詞：高校信息化；碎片化服務(wù)；企業(yè)架構(gòu)

中圖分類號：G647，G202 文獻(xiàn)標(biāo)志碼：B 文章編號：1673-8454（2016）19-0011-03

自上世紀(jì)80年代以來，我國高校的信息化開始起步，初期的發(fā)展模式主要是將計(jì)算機(jī)技術(shù)應(yīng)用于財(cái)務(wù)管理等領(lǐng)域，發(fā)展動力來源于IT技術(shù)廠商，屬技術(shù)驅(qū)動型。隨著信息化效益的初步顯現(xiàn)，尤其是近10年來，組織的信息化意識逐步增強(qiáng)，信息化逐步向業(yè)務(wù)驅(qū)動轉(zhuǎn)化，各高校信息化整體建設(shè)水平得到了很大的提升，信息系統(tǒng)開始全面支撐學(xué)校業(yè)務(wù)，但是在總體業(yè)務(wù)架構(gòu)與數(shù)據(jù)架構(gòu)上尚處于無序狀態(tài)，數(shù)據(jù)和流程問題依然是高校信息化建設(shè)中的兩大核心難題，信息應(yīng)用系統(tǒng)建設(shè)對業(yè)務(wù)變化的快速支撐成為矛盾的焦點(diǎn)。

目前，不少高校在信息化的業(yè)務(wù)架構(gòu)和數(shù)據(jù)應(yīng)用方面做了一些有益的探索。[1，2]如2011年清華大學(xué)基于企業(yè)架構(gòu)理論，提出由業(yè)務(wù)架構(gòu)、信息系統(tǒng)架構(gòu)和技術(shù)架構(gòu)三部分組成的高校信息化的大學(xué)架構(gòu)理論；[1]復(fù)旦大學(xué)于2012年就以共享庫的數(shù)據(jù)集成為基礎(chǔ)，對數(shù)據(jù)根據(jù)使用目的建立主題，通過業(yè)務(wù)的集中和整合，對校園信息化新一輪發(fā)展中的一站式服務(wù)進(jìn)行了規(guī)劃和設(shè)計(jì)。[2]本研究借鑒各高校的探索經(jīng)驗(yàn)，圍繞碎片化服務(wù)的核心思路，在企業(yè)架構(gòu)理論的基礎(chǔ)上構(gòu)建了新一代高校信息化架構(gòu)模式并進(jìn)行了應(yīng)用實(shí)踐，以有效解決當(dāng)前信息化建設(shè)過程中的數(shù)據(jù)和流程兩大難題。

一、高校信息化現(xiàn)狀

近10年高校信息化建設(shè)發(fā)展迅速，幾乎所有的高校都基于信息管理系統(tǒng)（MIS）模式進(jìn)行了一至兩輪的數(shù)字校園建設(shè)，出現(xiàn)問題如下：①師生不愿意用。由于系統(tǒng)是以管理者的視角進(jìn)行的設(shè)計(jì)，普通用戶與管理者使用同一套系統(tǒng)，使用起來很困難，而很多師生迫切需要的常用服務(wù)卻很少有系統(tǒng)支撐。②業(yè)務(wù)部門不滿意。業(yè)務(wù)需求的多變是一種常態(tài)，但功能變更響應(yīng)不及時(shí)，同時(shí)由于系統(tǒng)龐大、功能繁多，學(xué)習(xí)使用系統(tǒng)耗時(shí)耗力；③校領(lǐng)導(dǎo)對信息化無感知。信息中心無法給出信息化高投入所帶來的管理效率提升、服務(wù)師生乃至決策支持方面的實(shí)證。④信息中心壓力大。管理效率的提升源自業(yè)務(wù)部門的流程變革，跨部門的服務(wù)應(yīng)用來自于業(yè)務(wù)部間的流程整合，管理決策數(shù)據(jù)的積累來自于業(yè)務(wù)系統(tǒng)的使用，這些對大多數(shù)學(xué)校的信息中心來說似乎也無能為力，而信息中心卻承擔(dān)著各類業(yè)務(wù)系統(tǒng)安全運(yùn)維與保障的壓力，系統(tǒng)建得越多，信息中心的壓力越大，根本無暇顧及普通師生普遍關(guān)注的個(gè)性化服務(wù)應(yīng)用建設(shè)。

當(dāng)前高校信息化建設(shè)的諸多問題，已有專家學(xué)者關(guān)注到。[2，3]如清華大學(xué)的蔣東興指出，學(xué)校的信息系統(tǒng)越來越龐大復(fù)雜，已經(jīng)給建設(shè)運(yùn)行模式提出了嚴(yán)峻的挑戰(zhàn)：沒有一家IT公司能夠提出一個(gè)高校數(shù)字校園的整體解決方案并圓滿地實(shí)施，很多高校信息化建設(shè)陷入進(jìn)退維谷的境地。筆者認(rèn)為，MIS系統(tǒng)的建設(shè)使學(xué)校業(yè)務(wù)部門和信息化管理部門在業(yè)務(wù)與管理創(chuàng)新方面的合作日趨緊密，IT與業(yè)務(wù)的一致性有了很大的提升，但是在數(shù)據(jù)共享、系統(tǒng)集成、重復(fù)投資、系統(tǒng)利用率、IT快速響應(yīng)業(yè)務(wù)需求等方面仍存在較多困難，究其原因主要是學(xué)校的信息化缺乏總體設(shè)計(jì)，因此，需要加強(qiáng)校園信息化建設(shè)方法與理論的探索和實(shí)踐。

二、基于碎片化服務(wù)的高校信息化架構(gòu)思路

由于當(dāng)前高校正處于一個(gè)變革時(shí)期，從各學(xué)校的信息化建設(shè)實(shí)踐來看，從學(xué)校整體業(yè)務(wù)出發(fā)全面梳理學(xué)校各類業(yè)務(wù)應(yīng)用，建立統(tǒng)一規(guī)范的業(yè)務(wù)模型在短時(shí)間內(nèi)幾乎不可行。筆者在近年的工作實(shí)踐中總結(jié)出了“碎片化服務(wù)”的建設(shè)思路，并以此為核心，在頂層設(shè)計(jì)上以企業(yè)架構(gòu)為指導(dǎo)提出了高校信息化架構(gòu)的實(shí)施框架。

1.碎片化服務(wù)

碎片化服務(wù)是針對當(dāng)前高校信息化建設(shè)的現(xiàn)狀提出的全新的建設(shè)方法和建設(shè)思路，百度百科中對“碎片化（Fragmentation）”的解釋是：完整的東西破成諸多零塊。我們將學(xué)校信息化服務(wù)中最小顆粒度的業(yè)務(wù)應(yīng)用稱之為“碎片化服務(wù)”，這種碎片化服務(wù)以解決一個(gè)問題（做一件事）為邊界，其基本要求為能夠完整形成業(yè)務(wù)應(yīng)用的邏輯閉環(huán)。碎片化服務(wù)之間在數(shù)據(jù)層面互相支撐，在業(yè)務(wù)邏輯上呈松耦合關(guān)系，既相互獨(dú)立又可進(jìn)一步整合完成更復(fù)雜的業(yè)務(wù)。

碎片化服務(wù)是校園信息化服務(wù)的最小服務(wù)單元（輕量級應(yīng)用），是有效解決當(dāng)前信息化建設(shè)難點(diǎn)（數(shù)據(jù)、流程）、提升用戶體驗(yàn)、構(gòu)建開放的校園信息化建設(shè)生態(tài)的重要手段。由于業(yè)務(wù)應(yīng)用的顆粒度較小，流程、角色、權(quán)限變得清晰，在實(shí)現(xiàn)服務(wù)應(yīng)用的定點(diǎn)定時(shí)定人推送方面變得容易，可以真正做到個(gè)性化的服務(wù)推送，而較小的業(yè)務(wù)應(yīng)用的業(yè)務(wù)表單數(shù)據(jù)字段總量必然不大，對逐步理清數(shù)據(jù)源頭、規(guī)范校內(nèi)業(yè)務(wù)數(shù)據(jù)標(biāo)準(zhǔn)、保持?jǐn)?shù)據(jù)一致性提供了良好的數(shù)據(jù)建設(shè)方法。由于業(yè)務(wù)應(yīng)用的碎片化，每個(gè)業(yè)務(wù)需求都可以獨(dú)立進(jìn)行設(shè)計(jì)開發(fā)，因此建設(shè)周期和建設(shè)難度大大降低，但是每個(gè)服務(wù)應(yīng)用的開發(fā)與設(shè)計(jì)必須遵循一定的標(biāo)準(zhǔn)和規(guī)范。

2.企業(yè)架構(gòu)

企業(yè)架構(gòu)（Enterprise Architecture ， 簡稱EA）借助信息技術(shù)， 用工業(yè)化、標(biāo)準(zhǔn)化和工程化的思路來研究如何將業(yè)務(wù)需求映射到IT 系統(tǒng)， 能在對業(yè)務(wù)戰(zhàn)略和流程理解的基礎(chǔ)上，進(jìn)行信息化頂層設(shè)計(jì)，形成靈活穩(wěn)健的IT結(jié)構(gòu)，[4]EA從各個(gè)層面反映業(yè)務(wù)、服務(wù)、技術(shù)和產(chǎn)品及其相互之間的關(guān)系，輔以其管控和演進(jìn)的規(guī)則，因而近年來被多個(gè)領(lǐng)域的研究者所關(guān)注。目前，國際上主要的EA框架與方法論包括開放組架構(gòu)框架（TOGAF）、美國聯(lián)邦體系架構(gòu)（FEA）和美國國防部架構(gòu)框架（DoDAF），TOGAF是目前認(rèn)知度與接受度最高的架構(gòu)框架。2011年，在國家社科基金支持下，相關(guān)研究機(jī)構(gòu)推出了中國本土化的EA框架，即信息化體系架構(gòu)框架（IEAF）。

企業(yè)架構(gòu)可分為兩大部分，一是業(yè)務(wù)架構(gòu)，二是IT架構(gòu)。業(yè)務(wù)架構(gòu)是把企業(yè)的業(yè)務(wù)戰(zhàn)略轉(zhuǎn)化為日常運(yùn)作的渠道，由業(yè)務(wù)戰(zhàn)略決定，包括業(yè)務(wù)的運(yùn)營模式、流程體系、組織結(jié)構(gòu)、地域分布等內(nèi)容；IT架構(gòu)是建立企業(yè)信息系統(tǒng)的綜合藍(lán)圖，包括信息架構(gòu)、應(yīng)用架構(gòu)和技術(shù)架構(gòu)三部分。對比其他主要關(guān)注于實(shí)現(xiàn)的規(guī)程，企業(yè)架構(gòu)領(lǐng)域原則上的關(guān)注點(diǎn)是企業(yè)范圍內(nèi)的業(yè)務(wù)需求的識別、規(guī)范及優(yōu)先級劃分。企業(yè)架構(gòu)如同戰(zhàn)略規(guī)劃，可以幫助企業(yè)執(zhí)行業(yè)務(wù)戰(zhàn)略規(guī)劃及IT戰(zhàn)略規(guī)劃，是承接企業(yè)業(yè)務(wù)戰(zhàn)略與IT戰(zhàn)略之間的橋梁與標(biāo)準(zhǔn)接口，是企業(yè)信息化規(guī)劃的核心。

3.碎片化服務(wù)架構(gòu)

如圖1所示，在高校信息化架構(gòu)實(shí)施框架的頂層設(shè)計(jì)上，借鑒了企業(yè)架構(gòu)的業(yè)務(wù)流程、應(yīng)用、信息及基礎(chǔ)設(shè)施四大框架的構(gòu)建方法并落地實(shí)施。在業(yè)務(wù)架構(gòu)上，采用“碎片化服務(wù)”的信息化應(yīng)用建設(shè)方式；在應(yīng)用架構(gòu)上，建立了與“碎片化服務(wù)”業(yè)務(wù)架構(gòu)相匹配的高校信息化開放平臺；在信息架構(gòu)上，結(jié)合國家及各學(xué)校的信息標(biāo)準(zhǔn)模型重新建設(shè)信息標(biāo)準(zhǔn)以及綜合服務(wù)數(shù)據(jù)庫，并以應(yīng)用服務(wù)的建設(shè)為牽引不斷進(jìn)行更新迭代；在技術(shù)架構(gòu)上，則以“私有云+公有云”的混合模式進(jìn)行建設(shè)。

三、實(shí)證分析――以南京農(nóng)業(yè)大學(xué)為例

南京農(nóng)業(yè)大學(xué)校園信息化建設(shè)初期也是基于MIS系統(tǒng)模式進(jìn)行的建設(shè)。2014年，面對信息化發(fā)展瓶頸，開始尋求突破，在企業(yè)架構(gòu)理論的指導(dǎo)下，通過兩年多的探索與實(shí)踐，建設(shè)了基于碎片化服務(wù)的新一代高校信息化應(yīng)用開放平臺架構(gòu)。由于篇幅有限，本文僅對應(yīng)用架構(gòu)（開放平臺）的關(guān)鍵技術(shù)做簡單介紹。

1.信息應(yīng)用開放平臺的架構(gòu)

如圖2所示，信息應(yīng)用開放平臺為碎片化服務(wù)提供了接入與運(yùn)行的基礎(chǔ)環(huán)境，由應(yīng)用管理中心、流程中心、服務(wù)總線、公共組件、數(shù)據(jù)（標(biāo)準(zhǔn)）庫五大核心功能中心組成，與信息安全、運(yùn)維及運(yùn)營體系共同形成校園信息應(yīng)用的開放環(huán)境，為校園信息化建設(shè)的多方參與提供了可能。

（1）應(yīng)用服務(wù)層

應(yīng)用，即碎片化服務(wù)，位于開放平臺架構(gòu)的最上層，主要分兩類，一類是需要在校內(nèi)進(jìn)行安裝部署的（存放于校內(nèi)私有云，包括校內(nèi)師生自主開發(fā)及委托第三方企業(yè)開發(fā)的各類應(yīng)用），另一類是校外開放的各種互聯(lián)網(wǎng)應(yīng)用（運(yùn)行于校外公有云），這些校內(nèi)外應(yīng)用共同形成了學(xué)校信息化應(yīng)用的資源池向?qū)W校提供信息化服務(wù)。

（2）應(yīng)用管理中心

由應(yīng)用接入、應(yīng)用管理、應(yīng)用展現(xiàn)組成，應(yīng)用接入主要負(fù)責(zé)各類應(yīng)用接入校園的方式方法管理，如本地化部署方案、數(shù)據(jù)接口的提供、身份認(rèn)證及安全管理等；應(yīng)用管理則重在應(yīng)用接入學(xué)校后的基本屬性的配置，如業(yè)務(wù)域分配、應(yīng)用管理員分配、開放及推薦策略、權(quán)限及用戶組的配置、流程及任務(wù)中心的連接、展現(xiàn)方式的設(shè)置等；應(yīng)用展現(xiàn)是指此類應(yīng)用內(nèi)的用戶使用何種終端（手機(jī)端/PC）的頁面展現(xiàn)形式。

（3）基于服務(wù)的柔性流程編排

也稱為流程中心、任務(wù)中心，很多業(yè)務(wù)應(yīng)用內(nèi)的流程是動態(tài)的，需要流程具有柔性，即允許流程實(shí)例所依賴的流程定義中的部分流程片段為抽象的，并隨著流程實(shí)例的執(zhí)行，逐步實(shí)例化這部分抽象的內(nèi)容。在流程實(shí)例運(yùn)行過程中，可以動態(tài)地對流程實(shí)例所依賴的流程定義進(jìn)行修改，包括增添、刪除、修改流程中的活動節(jié)點(diǎn)或更改業(yè)務(wù)邏輯，重新驗(yàn)證發(fā)生變化的流程定義的正確性、合法性等。動態(tài)流程柔性編排相對靈活，具有足夠的彈性和良好的擴(kuò)展性，能很好地滿足上層接入應(yīng)用的二次開發(fā)，快速適應(yīng)學(xué)校個(gè)性化需求。

（4）校園服務(wù)總線（ESB）

是向應(yīng)用管理平臺提供各類服務(wù)能力的核心組件，主要負(fù)責(zé)各類API接口的定義、服務(wù)治理（服務(wù)的注冊、啟停、集成與管理）等，通過服務(wù)集成工具和服務(wù)標(biāo)準(zhǔn)管理工具為底層各類服務(wù)的接入提供接口定義、格式轉(zhuǎn)換及版本管理等能力。

（5）公共應(yīng)用組件及數(shù)據(jù)庫支撐

如IDS、支付、打印、統(tǒng)一通訊、消息、數(shù)據(jù)標(biāo)準(zhǔn)及數(shù)據(jù)庫等，這些公共服務(wù)組件以標(biāo)準(zhǔn)接口（如API）形式在校園服務(wù)總線上注冊并被服務(wù)總線所管理，通過總線對外暴露各類能力接口供最上層應(yīng)用（碎片化服務(wù)）所調(diào)用或復(fù)用。

安全及運(yùn)維、運(yùn)營體系位于架構(gòu)的左側(cè)，是開放平臺正常高效運(yùn)轉(zhuǎn)的重要保障，在此不再贅述。

2.實(shí)際應(yīng)用及成效

2014年在南京農(nóng)業(yè)大學(xué)開始了基于碎片化服務(wù)的高校信息化架構(gòu)的建設(shè)實(shí)踐。首先基于碎片化服務(wù)的理論，探索總結(jié)出服務(wù)分析的七步方法論，以此指導(dǎo)完成了82個(gè)高校信息應(yīng)用服務(wù)的需求調(diào)研分析報(bào)告和方案設(shè)計(jì)，目前已完成新生報(bào)到、學(xué)生心理測評、師生查詢、教師個(gè)人數(shù)據(jù)中心等63個(gè)服務(wù)應(yīng)用的開發(fā)并已上線試運(yùn)行，其中本校師生自主開發(fā)的師生課表查詢、體檢報(bào)告等應(yīng)用服務(wù)7個(gè)，委托第三方企業(yè)開發(fā)的業(yè)務(wù)應(yīng)用57個(gè)。（見圖3）應(yīng)用管理中心配置業(yè)務(wù)域11個(gè)，用戶群組66類。應(yīng)用效果顯示，架構(gòu)的開放性讓高校信息化的“人人參與、多方參與、共同建設(shè)”成為可能，其研究與實(shí)踐成果已經(jīng)被合作企業(yè)所采納并在復(fù)旦大學(xué)、同濟(jì)大學(xué)、南京理工大學(xué)等多所高校實(shí)施，深得各高校的好評。

參考文獻(xiàn)：

[1]蔣東興，袁徐磊，劉啟新，袁芳，付小龍.大學(xué)信息化架構(gòu)探索[J].實(shí)驗(yàn)技術(shù)與管理，2011（5）：7-11.

[2]趙澤宇，張凱，宓.高校一站式信息化服務(wù)[J].科研信息化技術(shù)與應(yīng)用，2012（3）：52-59.

篇9

【關(guān)鍵詞】桌面；虛擬化；研究；應(yīng)用

一、前言

隨著社會的發(fā)展，信息化的普及，信息化的建設(shè)實(shí)現(xiàn)了從無到有，從實(shí)體應(yīng)用到虛擬應(yīng)用的轉(zhuǎn)化。虛擬化不僅僅為企業(yè)單位節(jié)省了購置新設(shè)備的開銷，更為信息中心集中化管理，合理分配資源提供了堅(jiān)實(shí)的基礎(chǔ)。桌面虛擬化基于虛擬化應(yīng)用平臺交付和虛化框架平臺的集成，依賴于服務(wù)器虛擬化。桌面虛擬化的信息安全問題，是虛擬化新技術(shù)與信息安全的交集。桌面虛擬化安全是值得探討的一個(gè)話題，其目標(biāo)是打造為企業(yè)重要信息提供可靠支撐的信息化保障體系，為企業(yè)帶來更高的實(shí)際利益。

二、桌面終端安全分析

1、桌面虛擬化背景分析

桌面虛擬化是指將計(jì)算機(jī)的桌面進(jìn)行虛擬化，使用戶可以通過安全網(wǎng)絡(luò)在任何設(shè)備，任何地點(diǎn)，任何時(shí)間遠(yuǎn)程訪問屬于其個(gè)人的桌面，并獲得與傳統(tǒng) PC 機(jī)一致的用戶體驗(yàn)。桌面虛擬化不是由本地操作系統(tǒng)產(chǎn)生的，而是由后臺數(shù)據(jù)中心生成，并完成交付的工作，其擁有

集中管理、可擴(kuò)展的管理、簡化的部署等特性。

目前， VDI（ Virtual Desktop Infrastructure） 是 桌面虛擬化的主流架構(gòu)與部署方式，當(dāng)前主流的虛擬桌面技術(shù)廠商，都已經(jīng)確定了各自主打的桌面顯示協(xié)議，如 Microsoft 的 RDP、 Citrix 的 ICA/HDX、 Red Hat 的SPICE、 VMware 的 PCoIP 等。桌面虛擬化通過統(tǒng)一的遠(yuǎn)程訪問協(xié)議來進(jìn)行桌面訪問，這樣的好處是顯而易見的， IT 人員只需要做好其中一條防線的保護(hù)。

2、桌面虛擬化安全問題

云計(jì)算是桌面虛擬化的重要支撐，是一個(gè) IT 基礎(chǔ)架構(gòu)的研究熱點(diǎn)，虛擬桌面重新回收分散的桌面分布，集中到數(shù)據(jù)中心統(tǒng)一部署和管理，這大大方便了桌面維護(hù)工程師的工作。桌面虛擬化技術(shù)的應(yīng)用大大提高了桌面的可用性，而性能也可以通過使用新的、更強(qiáng)大的服務(wù)器不斷提高。桌面虛擬化在內(nèi)網(wǎng)安全方面的提升很明顯，例如防止數(shù)據(jù)丟失，數(shù)據(jù)備份，系統(tǒng)的簡化等。但由于信息化的不斷發(fā)展，桌面虛擬化應(yīng)用隨之普及，也帶來了一些新的安全問題。例如 Blue pill 攻擊，它通過良好的處理內(nèi)核模式存儲轉(zhuǎn)換，使用 VMRUN 以及相關(guān)的 SVM 指令，對第三方軟件進(jìn)行欺騙操作，取得系統(tǒng)的進(jìn)入許可，如使用虛擬主機(jī)進(jìn)行跳板攻擊，將大大威脅數(shù)據(jù)中心的整體安全。另外，資源濫用也不容忽視，個(gè)別用戶的資源濫用，可導(dǎo)致其他桌面用戶體驗(yàn)受影響。桌面虛擬化因用戶群體關(guān)系，基本上基于 Windows系統(tǒng)，但 Windows 安全性的一些問題不容忽視。為解決這些問題，管理員會使用傳統(tǒng)的殺毒軟件及防火墻進(jìn)行部署，但對于桌面虛擬化環(huán)境，這并沒有提高效率，還可能出現(xiàn)嚴(yán)重的問題。例如，殺毒軟件的不合理設(shè)置，可能導(dǎo)致殺毒風(fēng)暴的出現(xiàn)，這將耗盡數(shù)據(jù)中心所有資源，導(dǎo)致數(shù)據(jù)中心宕機(jī)。

因此，對于數(shù)據(jù)中心的運(yùn)維而言，迫切需要一套新的運(yùn)維方式和技術(shù)手段去保障系統(tǒng)的穩(wěn)定和安全。

三、桌面虛擬化優(yōu)勢

任何新技術(shù)都有其特有的優(yōu)勢，桌面虛擬化也不例外，以下我們對桌面虛擬化的優(yōu)勢進(jìn)行分析。

1、高可用性

桌面虛擬化可以客戶機(jī)為粒度進(jìn)行封裝，可以方便地實(shí)現(xiàn)快照（ snapshot）、 克 ?。?clone）、 遷 移（ migration）、 掛 起（ suspend）和 恢 復(fù)（ re-sume）。從而大大提供系統(tǒng)高可用性和可維護(hù)性。利用以上的功能封裝，有助于減少數(shù)據(jù)備份和恢復(fù)過程的代價(jià)。在虛擬化環(huán)境中通過快照、 克隆、 遷移等方式進(jìn)行虛擬機(jī)的快速恢復(fù)，比傳統(tǒng)的操作系統(tǒng)安裝、 環(huán)境配置、 重新配置應(yīng)用、 再恢復(fù)數(shù)據(jù)等繁瑣的步驟簡單高效。從而減少宕機(jī)時(shí)間，減少業(yè)務(wù)中斷帶來的風(fēng)險(xiǎn)，增加業(yè)務(wù)連續(xù)性、 提高服務(wù)水平和信譽(yù)度。

2、提高資源使用率

針對桌面應(yīng)用，大多為清負(fù)載應(yīng)用，且熱點(diǎn)較少。利用桌面虛擬化，可使多臺客戶機(jī)在虛擬化平臺的統(tǒng)一調(diào)度下，共享硬件資源，并交替忙閑運(yùn)行，可以極大提高硬件資源的使用效率，同時(shí)降低對硬件的整體投資，還能整體降低系統(tǒng)運(yùn)營費(fèi)用（空間、 電力和散熱等）。

3、隔離

客戶機(jī)是運(yùn)行在虛擬化平臺之上的一個(gè)獨(dú)立實(shí)例，因此一個(gè)客戶機(jī)的故障不會影響到另外一個(gè)客戶機(jī)的運(yùn)行。而物理主機(jī)和客戶機(jī)之間、客戶機(jī)之問無法直接通信。盡管多個(gè)操作系統(tǒng)運(yùn)行一臺物理機(jī)器上，共享使用外設(shè)和網(wǎng)絡(luò)，但他們之間通信更類似于網(wǎng)絡(luò)中松散耦合的節(jié)點(diǎn)。

4、抽象

由于虛擬化平臺的存在，客戶機(jī)并不感知硬件的差別，可以自由的在不同的硬件上方面的遷移，屏蔽了硬件的多樣性和復(fù)雜性，便于系統(tǒng)的開發(fā)，同時(shí)能夠方便服務(wù)的提供和部署。

四、桌面虛擬化后期研發(fā)和應(yīng)用

1、加強(qiáng)用戶身份認(rèn)證與訪問控制

為保障用戶接入的安全，虛擬化桌面系統(tǒng)需具備更加嚴(yán)格的終端身份認(rèn)證機(jī)制，需支持豐富的認(rèn)證、 鑒權(quán)模式。同時(shí)，桌面虛擬化系統(tǒng)支持用戶通過瘦終端、 物理 PC 等，采用外接智能卡方式，實(shí)現(xiàn)用戶遠(yuǎn)程接入的身份認(rèn)證。

需要在虛擬機(jī)的內(nèi)部和外部建立完善的權(quán)限和訪問控制機(jī)制，提供細(xì)化的訪問控制粒度，以適應(yīng)虛擬資源類型、 用戶角色和訪問控制協(xié)議。同時(shí)進(jìn)一步保證每個(gè)虛擬機(jī)的權(quán)限和資源訪問能力，建立基于虛擬機(jī)的程序控制列表，使得每臺虛擬化桌面可以訪問不同的應(yīng)用程序，可以獲得不同的虛擬化桌面。

2、實(shí)現(xiàn)傳輸通道的安全保護(hù)

傳輸通道的安全保護(hù)主要從設(shè)備間通信、遠(yuǎn)程介入以及遷移安全這幾個(gè)方面進(jìn)行。首先虛擬化桌面和服務(wù)端的通訊可以通過 SSL 協(xié)議進(jìn)行傳輸加密，確保整體傳輸過程中的安全性；其次為遠(yuǎn)程接入設(shè)備提供安全連接點(diǎn)，為防火墻保護(hù)以外的設(shè)備遠(yuǎn)程接入；針對遷移可以通過硬件建立虛擬桌面的加密傳輸通道，保證系統(tǒng)在遷移的過程中不會被復(fù)制。

3、提高數(shù)據(jù)集中存儲的安全性

桌面虛擬化技術(shù)中對集中存儲的保護(hù)是最重要的部分，一旦集中存儲遭到破壞，整個(gè)虛擬架構(gòu)就會受到嚴(yán)重的影響。在虛擬桌面的環(huán)境中，一般采用專業(yè)的加密設(shè)備進(jìn)行加密存儲的方式，并且為了滿足合規(guī)范的要求，加密算法應(yīng)當(dāng)可以由用戶指定。

虛擬化桌面系統(tǒng)盤支持差分模式和獨(dú)立運(yùn)行模式，差分模式允許用戶在共享系統(tǒng)盤的基礎(chǔ)上，保留自己的私有數(shù)據(jù)，包括應(yīng)用和系統(tǒng)數(shù)據(jù)；獨(dú)立運(yùn)行模式不允許用戶修改系統(tǒng)盤，所有的修改在虛擬桌面重啟后均會丟失。任何人員（包括管理員）無法訪問他人虛擬桌面鏡像文件中的用戶數(shù)據(jù)信息。

五、結(jié)束語

綜上所述，本文針對桌面虛擬化的研究的有關(guān)內(nèi)容進(jìn)行了分析，在此基礎(chǔ)上分析了目前桌面虛擬化的研究熱點(diǎn)，關(guān)于信息安全的有關(guān)問題進(jìn)行了分析，最后提出了相應(yīng)安全策略方案，供相關(guān)的信息技術(shù)人員參考。

參考文獻(xiàn)

[1] 徐浩， 蘭雨晴. 基于SPICE協(xié)議的桌面虛擬化技術(shù)研究與改進(jìn)方案[J]. 計(jì)算機(jī)工程與科學(xué)， 2013， 第12期：20-25.

[2] 李春榆. 淺析基于VMare ACE的桌面虛擬化在企業(yè)中的應(yīng)用[J]. 電腦知識與技術(shù)， 2014， 06期.

篇10

關(guān)鍵詞 云技術(shù)；云桌面；桌面虛擬化；校園網(wǎng)建

中圖分類號 G2 文獻(xiàn)標(biāo)識碼 A 文章編號 1674-6708（2017）183-0086-03

1 校園網(wǎng)建設(shè)和管理現(xiàn)狀

目前大多技工院校的校園網(wǎng)建設(shè)仍普遍采用傳統(tǒng)的部署模式，直接為每個(gè)應(yīng)用終端配備計(jì)算機(jī)硬件和軟件。學(xué)校普遍面臨的問題是計(jì)算機(jī)基礎(chǔ)設(shè)施的建設(shè)很難滿足學(xué)校日益增長的需求，學(xué)校只能在信息化建設(shè)方面不斷增加投入。另外，學(xué)校教學(xué)教研或各種辦公應(yīng)用，對計(jì)算機(jī)和網(wǎng)絡(luò)資源的需求不同，資源無法按需調(diào)配而造成浪費(fèi)。還有各種設(shè)備負(fù)載不均衡和老化也是客觀存在的問題。

和很多二、三線城市的技工院校一樣，筆者所在學(xué)校的校園網(wǎng)早期受建設(shè)經(jīng)費(fèi)的制約，建設(shè)方式單一簡單，整個(gè)校園網(wǎng)相當(dāng)一個(gè)二層通信構(gòu)建的平面網(wǎng)絡(luò)。各電腦終端僅是實(shí)現(xiàn)簡單的連通，網(wǎng)絡(luò)整體穩(wěn)定性不好，出現(xiàn)故障后排查困難，給校園網(wǎng)日常管理和維護(hù)工作帶來極大困擾和煩惱。

1.1 終端分散且配置不一，維護(hù)工作量大

校園網(wǎng)終端計(jì)算機(jī)分布在學(xué)校教學(xué)樓、實(shí)訓(xùn)樓和辦公樓各樓層，終端分散，網(wǎng)絡(luò)管理人員少，對校園網(wǎng)終端的維護(hù)不易。當(dāng)需要對校園網(wǎng)各終端進(jìn)行系統(tǒng)更新、軟件升級或病毒查殺時(shí)，網(wǎng)絡(luò)管理員工作量特別大，需要逐個(gè)終端去操作。

另外，由于各終端計(jì)算機(jī)購置時(shí)間不一，計(jì)算機(jī)品牌、硬件配置和操作系統(tǒng)等各不相同。當(dāng)要為終端計(jì)算機(jī)部署軟件環(huán)境時(shí)，也需要對每個(gè)終端進(jìn)行手動部署。維護(hù)工作量大，效率低。

1.2 網(wǎng)絡(luò)安全環(huán)節(jié)薄弱，存在極大網(wǎng)絡(luò)安全隱患

原有的網(wǎng)絡(luò)架構(gòu)部署在同一個(gè)平面上，各個(gè)終端計(jì)算機(jī)沒有進(jìn)行有效的網(wǎng)絡(luò)隔離，一旦發(fā)生木馬感染或病毒攻擊，將會直接致使一個(gè)樓層片區(qū)的網(wǎng)絡(luò)發(fā)生故障，嚴(yán)重的甚至整個(gè)校園網(wǎng)癱瘓。

另外，由于終端計(jì)算機(jī)數(shù)量有限，無法滿足人手一臺，很多辦公室的計(jì)算機(jī)基本上不能做到專機(jī)專用，還得開放給其他無機(jī)人員使用。計(jì)算機(jī)在公用情況下存在安全隱患，由于使用過程可能使用U盤或光盤，以及訪問外網(wǎng)時(shí)無法有效監(jiān)管，存在感染病毒風(fēng)險(xiǎn)。這種網(wǎng)j環(huán)境一旦感染病毒，往往導(dǎo)致計(jì)算機(jī)系統(tǒng)變慢甚至無法開機(jī)，更嚴(yán)重的會在校園網(wǎng)內(nèi)各終端互相傳播和攻擊，致使整個(gè)校園網(wǎng)絡(luò)癱瘓。

1.3 校園網(wǎng)終端故障頻繁，處理繁瑣

校園網(wǎng)各終端計(jì)算機(jī)在日常使用過程中，因?yàn)樵O(shè)備老化或人員操作不當(dāng)，常有發(fā)生電源、風(fēng)扇、內(nèi)存、硬盤和主板等硬件損壞情況，維修工作量大。尤其是每次寒暑假過后，或每年回南天潮濕天氣，終端故障率更高。

1.4 教室多媒體設(shè)備未聯(lián)通校園網(wǎng)

學(xué)校的教室應(yīng)用了多媒體教學(xué)，但每個(gè)教室、實(shí)訓(xùn)室的多媒體設(shè)施與校園網(wǎng)未互聯(lián)互通。教師要使用多媒體上課仍需要自備筆記本電腦或U盤，并且無法實(shí)時(shí)使用校園網(wǎng)絡(luò)資源，給教學(xué)實(shí)習(xí)帶來極大不便。

2 云桌面的概述

云桌面技術(shù)是云計(jì)算的一個(gè)典型應(yīng)用，又稱桌面虛擬化（VDI）。云桌面是指將終端計(jì)算機(jī)進(jìn)行虛擬化，以實(shí)現(xiàn)終端桌面的靈活性和安全性。是一種瘦客系統(tǒng)和虛擬化技術(shù)的有機(jī)結(jié)合，主要以虛擬機(jī)形式在服務(wù)器上運(yùn)行，通過桌面?zhèn)鬏攨f(xié)議的方式提供桌面的遠(yuǎn)程顯示服務(wù)，方便用戶運(yùn)用網(wǎng)絡(luò)就能訪問桌面計(jì)算環(huán)境的一種新技術(shù)。云終端用戶可以使用多種設(shè)備，隨時(shí)隨地通過網(wǎng)絡(luò)訪問屬于個(gè)人的云桌面系統(tǒng)，而且訪問云桌面就像是訪問傳統(tǒng)的本地桌面一樣。云終端則是指各種瘦客戶機(jī)、人個(gè)電腦、平板電腦、智能手機(jī)或其他移動智能終端等接入設(shè)備來有效獲取接入服務(wù)。

3 云桌面技術(shù)在校園網(wǎng)建設(shè)和管理中的運(yùn)用

3.1 云桌面總體架構(gòu)

根據(jù)桌面虛擬化建設(shè)需求，實(shí)行“兩池一區(qū)”的運(yùn)行環(huán)境架構(gòu)體系。分別為：虛擬化計(jì)算資源池、虛擬化存儲資源池和資源管理區(qū)。

虛擬化計(jì)算資源池是通過采用VDI虛擬化技術(shù)，為用戶提供高性能，高安全的業(yè)務(wù)辦公環(huán)境。

虛擬化存儲資源池是通過部署存儲設(shè)備，為虛擬機(jī)鏡像文件的共享存儲，以及為用戶的業(yè)務(wù)數(shù)據(jù)提供了可靠，安全可冗余的存儲環(huán)境。

資源管理區(qū)是通過在虛擬機(jī)環(huán)境部署冗余的管理服務(wù)器、連接服務(wù)器，數(shù)據(jù)庫服務(wù)器架構(gòu)為VDI的正常，穩(wěn)定運(yùn)行提供后臺管理；通過部署云資源管理軟件為VDI環(huán)境下的虛擬機(jī)資源，存儲資源，網(wǎng)絡(luò)資源，應(yīng)用資源及運(yùn)維處理等方面提供監(jiān)控及運(yùn)維管理；通過部署磁盤陣列鏡像軟件，確保虛擬化存儲資源池內(nèi)的虛擬機(jī)文件和用戶的業(yè)務(wù)數(shù)據(jù)的安全，確保桌面虛擬化系統(tǒng)整體的穩(wěn)定、可靠運(yùn)行。

3.2 云桌面建設(shè)原則

按照云桌面的建設(shè)目標(biāo)，依據(jù)云桌面建設(shè)項(xiàng)目具有涉及范圍廣、建設(shè)規(guī)模大、數(shù)據(jù)構(gòu)成復(fù)雜等特點(diǎn)，在設(shè)計(jì)階段需遵循一些重要原則，以保障后續(xù)建設(shè)的順利銜接和有效執(zhí)行。

3.2.1 全面性

云桌面建設(shè)是一項(xiàng)從無到有的工程。除了針對基礎(chǔ)建設(shè)需求進(jìn)行設(shè)計(jì)之外，也要就系統(tǒng)建成后整個(gè)云平臺的運(yùn)營、管理和運(yùn)維進(jìn)行綜合考慮，使得設(shè)計(jì)能夠全面地滿足系統(tǒng)持續(xù)穩(wěn)定運(yùn)行的需求。

云桌面建設(shè)是一項(xiàng)長期性的系統(tǒng)工程，必須全面考慮，在總體建設(shè)規(guī)劃指導(dǎo)下，按照“實(shí)用先行、循序漸進(jìn)”的建設(shè)原則進(jìn)行統(tǒng)籌規(guī)劃分步實(shí)施。

3.2.2 高可用性

云桌面建設(shè)項(xiàng)目應(yīng)首先考慮信息系統(tǒng)的高可用性，應(yīng)堅(jiān)持需求驅(qū)動、以應(yīng)用為主導(dǎo)的方針，規(guī)劃和建設(shè)相應(yīng)的各個(gè)子系統(tǒng)；系統(tǒng)應(yīng)該在容錯(cuò)、應(yīng)急、負(fù)載等多方面予以考慮，保證系統(tǒng)連續(xù)服務(wù)；結(jié)合嚴(yán)謹(jǐn)?shù)臏y試管理與運(yùn)維體系，保證系統(tǒng)的高可用性。

3.2.3 安全性

云桌面建設(shè)作為重要的教育服務(wù)建設(shè)項(xiàng)目其信息安全的重要性不言而喻。因此必須將安全性設(shè)計(jì)作為重要涉及原則予以優(yōu)先考慮。在建設(shè)和應(yīng)用過程中須嚴(yán)格遵照有關(guān)規(guī)定，采取有效防范措施和機(jī)制，以確保網(wǎng)絡(luò)和信息安全。

3.2.4 可擴(kuò)展性

云桌面建設(shè)項(xiàng)目應(yīng)充分考慮未來發(fā)展，同時(shí)信息化建設(shè)是一個(gè)循序漸進(jìn)、逐步擴(kuò)充的，總體設(shè)計(jì)應(yīng)該采用層次化設(shè)計(jì)，整體構(gòu)架要考慮到為今后系統(tǒng)擴(kuò)展和升級留有擴(kuò)充的余量。

3.2.5 先進(jìn)性

云桌面建設(shè)項(xiàng)目應(yīng)在設(shè)計(jì)思想、系統(tǒng)架構(gòu)、采用技術(shù)、選用平臺上均具有一定的先進(jìn)性、前瞻性。在充分保證可用性、開放性、擴(kuò)展性的前提下保持系統(tǒng)的先進(jìn)性、擴(kuò)充性，采用技術(shù)成熟、廠家信譽(yù)好的產(chǎn)品，使系統(tǒng)在未來相當(dāng)一段時(shí)間保持穩(wěn)定。

3.2.6 可實(shí)施、可管理、可維護(hù)

云桌面建設(shè)項(xiàng)目在保證業(yè)務(wù)覆蓋面廣、架構(gòu)完善、技術(shù)先進(jìn)的同時(shí)，也必須考慮軟件系統(tǒng)及其運(yùn)行環(huán)境的可實(shí)施、可管理、可維護(hù)，并在設(shè)計(jì)中重視建設(shè)期中、建設(shè)期后的管理與維護(hù)體系。

3.3 云桌面設(shè)計(jì)內(nèi)容

1）建設(shè)強(qiáng)大、高效的計(jì)算資源平臺，通過采用架構(gòu)領(lǐng)先、功能豐富的刀片服務(wù)器，為云桌面搭建可靠、穩(wěn)定的應(yīng)用支撐平臺，滿足軟件各種應(yīng)用的部署和運(yùn)行。

2）建設(shè)安全、可靠的存儲資源平臺，通過采用冗余架構(gòu)，高速、高容量的存儲，為開發(fā)人員的開發(fā)數(shù)據(jù)及虛擬化系統(tǒng)的正常運(yùn)行，提供良好的數(shù)據(jù)存儲環(huán)境。

4 云桌面技術(shù)在校園網(wǎng)建設(shè)和管理中應(yīng)用的效果

應(yīng)用云桌面綠色環(huán)保，降低PC電能功耗，信息數(shù)據(jù)集中管理，減少網(wǎng)絡(luò)維護(hù)人員工作量。將用戶桌面、數(shù)據(jù)、軟件分層管理，安全、快捷、方便。通過把云桌面技術(shù)應(yīng)用到校園網(wǎng)建設(shè)和管理中去，效果是明顯的。

4.1 所有終端互聯(lián)互通，校園網(wǎng)資源充分利用

所有教室、實(shí)訓(xùn)室以及教師辦公室均基于云桌面實(shí)現(xiàn)互聯(lián)互通，教師用自己的帳號密碼，不論是在學(xué)校還是家里，均可以登錄個(gè)人桌面并便捷完成辦公或備課。上課再無需自備筆記本或U盤即可使用計(jì)算機(jī)和校園網(wǎng)絡(luò)Y源。

4.2 日常維護(hù)統(tǒng)一實(shí)施，方便高效

云桌面將用戶桌面、數(shù)據(jù)、軟件分層管理，可以實(shí)現(xiàn)負(fù)載均衡、終端故障自動隔離、系統(tǒng)自動重構(gòu)和動態(tài)遷移等高效的服務(wù)器應(yīng)用環(huán)境。管理員可在不中斷用戶工作的情況下進(jìn)行維護(hù)操作，減少服務(wù)器或應(yīng)用系統(tǒng)的停機(jī)時(shí)間。統(tǒng)一安裝、統(tǒng)一殺毒、統(tǒng)一升級、統(tǒng)一備份數(shù)據(jù)，取代以往逐一維護(hù)的寰場VС忠旃共僮饗低車惱合，支持老應(yīng)用的持續(xù)運(yùn)行?？傮w上大大提升網(wǎng)絡(luò)管理人員工作效率和降低運(yùn)維成本。

4.3 應(yīng)用靈活方便，終端快速部署

應(yīng)用云桌面后，教師仍然好像使用傳統(tǒng)電腦一樣。不僅可以正常使用打印、掃描、U盤等日常工作所需要的外部設(shè)備，還可以根據(jù)需要自行安裝應(yīng)用。

教師用戶可在任意一臺云終端登錄自己的云桌面，調(diào)整位置或更換辦公室時(shí)，不再需要搬動云終端。而且還可以通過其他PC、平板、智能手機(jī)等連接到云桌面進(jìn)行辦公，實(shí)現(xiàn)流動辦公。

有新員入職時(shí)，也只需要分配其一套云終端，接上網(wǎng)線即可正常使用，避免以往安裝系統(tǒng)、安裝軟件和拷貝工作所需的數(shù)據(jù)而折騰半天。

4.4 數(shù)據(jù)安全及主動病毒防御

云桌面所有的計(jì)算和數(shù)據(jù)存儲都是在云端服務(wù)器，在授課終端和云端服務(wù)器進(jìn)行通信時(shí)，傳輸?shù)南喈?dāng)于是位圖顯示，不用擔(dān)心云端服務(wù)器傳輸來的數(shù)據(jù)被竊取。另外，云桌面技術(shù)在底層，通過系統(tǒng)底層輸入輸出端口攔截新技術(shù)，可以有效阻斷病毒或木馬的攻擊和破壞。云桌面支持快速轉(zhuǎn)移和重構(gòu)，支持簡單便捷的災(zāi)難恢復(fù)解決辦法。

4.5 設(shè)備低碳節(jié)能，更換頻率低節(jié)省投入

傳統(tǒng)PC機(jī)一般3年左右就可能因?yàn)樾阅軣o法滿足用戶需求而淘汰。而云桌面，當(dāng)出現(xiàn)性能無法滿足后續(xù)業(yè)務(wù)需求時(shí)，可以通過增加服務(wù)器和擴(kuò)容存儲來解決，無需更換云終端。而且一般云終端使用壽命可達(dá)8～10年。

云終端功耗在10W以下，而傳統(tǒng)電腦一般都在100W左右，功耗不到傳統(tǒng)PC的1/10，長時(shí)間來算，使用云桌面可以大幅節(jié)能，節(jié)省電費(fèi)。

5 云桌面技術(shù)在校園網(wǎng)建設(shè)及管理中遇到的問題

云桌面技術(shù)應(yīng)用在校園網(wǎng)建設(shè)和管理過程中，碰到一些常見問題，現(xiàn)將問題原因及處理做法剖析出來，以便給正準(zhǔn)備建設(shè)云桌面的院校一個(gè)有效參考。

5.1 用戶體驗(yàn)感受影響，需逐步指引過渡

云桌面應(yīng)用在校園網(wǎng)中，一開始遇到比較突出的問題主要是終端用戶體驗(yàn)受影響。傳統(tǒng)PC機(jī)所使用的操作系統(tǒng)呈多樣化，如Win10，Win8，Win7，甚至有WinXP的，而每種操作系統(tǒng)不論從界面或操作習(xí)慣方面均存在一定的差異。筆者學(xué)校選用當(dāng)前較為主流的Win7（64位）作為云桌面的操作系統(tǒng)，各終端用戶因習(xí)慣了原來的操作系統(tǒng)，存在一下子無法適應(yīng)新系統(tǒng)的情況，用戶滿意度難免受影響。再者，云桌面的整體性能與傳統(tǒng)PC機(jī)相比，還是有差距的，應(yīng)用上有一定的局限性。云桌面是通過云服務(wù)器來提供計(jì)算能力，然后再通過網(wǎng)絡(luò)傳輸?shù)角岸苏宫F(xiàn)。云桌面通過一些高級傳輸協(xié)議，可以完成一般的教學(xué)教研或辦公應(yīng)用，但如果要運(yùn)行較高負(fù)載的應(yīng)用，如高清視頻編輯、3D渲染等就顯得比較困難了。

綜合上述，終端用戶一下子從傳統(tǒng)PC機(jī)向云桌面轉(zhuǎn)變，需要一個(gè)適應(yīng)過程，除了要及時(shí)開展相對應(yīng)的使用培訓(xùn)，還要在云桌面的系統(tǒng)桌面上備好較為詳細(xì)的使用指引。針對教學(xué)或辦公使用，應(yīng)用軟件有個(gè)性化需求的，例如數(shù)控CAM，CAD等軟件，部分軟件需要在32位的操作系統(tǒng)環(huán)境下安裝，可以實(shí)施分配2個(gè)主系統(tǒng)到其用戶賬號下，由用戶根據(jù)需要自行選擇。

5.2 教室終端雙屏輸出，投影儀顯示不全的問題

由于教室和實(shí)訓(xùn)室的教學(xué)演示需求，需要顯示器和投影儀實(shí)行雙屏同步輸出。云終端機(jī)可以通過VGA和HDMI接口實(shí)現(xiàn)顯示器和投影儀雙屏同步輸出，但在調(diào)試過程中遇到投影儀和顯示器分辨率不同，顯示器通過HDMI接口連接，分辨率為1920×1080，投影儀通過VGA接口連接，分辨率1024×768，終端系統(tǒng)以最高分辨率為默認(rèn)輸出，導(dǎo)致投影儀顯示內(nèi)容不全。筆者的做法是采取對終端設(shè)備內(nèi)核進(jìn)行輸出參數(shù)修改，升級布丁，統(tǒng)一升級終端內(nèi)核，強(qiáng)制雙屏同步同分辨率輸出得以解決。

5.3 用戶升級操作不當(dāng)，導(dǎo)致驅(qū)動異常

在云桌面應(yīng)用過程中，有部分用戶反映，之前使用正常隔天使用卻異常的情況。如USB外接設(shè)備無法正常使用，甚至桌面出現(xiàn)藍(lán)屏或無法進(jìn)入系統(tǒng)等。經(jīng)過對故障檢查分析，發(fā)現(xiàn)是原來很多校園網(wǎng)用戶，在傳統(tǒng)PC機(jī)上習(xí)慣安裝驅(qū)動更新軟件，例如驅(qū)動精靈，驅(qū)動人生等，這些軟件會自動為系統(tǒng)更新驅(qū)動程序，用戶在使用云桌面也延續(xù)了這習(xí)慣。虛擬化硬件與物理硬件是存在區(qū)別的，當(dāng)在云桌面安裝了驅(qū)動更新軟件，并且用戶按提示進(jìn)行了所有升級或更新的操作，就極有可能選擇了一些不合適的更新，而導(dǎo)致原驅(qū)動異常。如果是硬盤接口驅(qū)動被錯(cuò)誤更新，甚至直接導(dǎo)致藍(lán)屏或無法進(jìn)入系統(tǒng)。

當(dāng)出現(xiàn)這種情況，筆者的做法是以管理員身份進(jìn)入安全模式進(jìn)行修復(fù)驅(qū)動，對無法修復(fù)的實(shí)施系統(tǒng)重裝。更好的辦法是提前做好正確引導(dǎo)工作，建議用戶盡量不通過驅(qū)動精靈等方式升級或更新，當(dāng)終端用戶需要添加使用新設(shè)備時(shí)，建議到設(shè)備官方網(wǎng)站下載專用驅(qū)動程序以避免錯(cuò)誤更新。

6 結(jié)論

總而言之，云桌面作為云計(jì)算技術(shù)衍生出來的一種新技術(shù)，將其有效地應(yīng)用到校園網(wǎng)建設(shè)和管理中去，不僅可以減少校園網(wǎng)故障和損害的發(fā)生，降低耗能，同時(shí)還大大提升校園網(wǎng)管理工作的效率，為教學(xué)教研以及辦公應(yīng)用提供更加便捷和優(yōu)質(zhì)的網(wǎng)絡(luò)服務(wù)。

參考文獻(xiàn)

[1]韓寧.云桌面技術(shù)在高校信息化建設(shè)及教學(xué)中的應(yīng)用[J].現(xiàn)代企業(yè)教育，2012，11（5）：105-107.