综合门户、运行维
护、应用支撑服务 支持
与省级综合门户、运行维护平台、应用支撑服务平台等无缝集成 和融合
广泛的平台支持 支持当前主流厂商的x86 服务器产品,虚拟机支持当前主流的 Windows、Linux 32/64 位操作系统及系统之上的各种应用。
多租户机制 基于策略的用户控制技术和虚拟交换机的网络隔离技术,可以保 持多租户环境下的安全性和可靠性。
资源服务按需获取 终端用户可以通过Web 界面的方式在线自助申请所需的计算、存
储、网络资源,实现资源的按需获取。
资源服务按量计费 多层次实时的资源使用情况统计,让用户精确掌控自身资源和费
用使用情况。
资源弹性扩充 资源可以根据需要实现多级别的动态扩充,上到资源池虚拟数据 中心的资源扩充,下到虚拟机的CPU 和内存的动态扩充,都可以 实现无缝动态的资源弹性扩充。 服务全生命周期管 理
系统可以涵盖服务提供所需的各个环节,通常包括服务的申请和 流程管理;服务的交付和回收;服务的使用统计和计费;服务的 运行监控。
多层次的安全保护 系统实现从底层虚拟化平台的安全(锁定模式防止通过网络以根
用户访问虚拟化平台),网络安全(多模式的虚拟交换机配置) 到管理节点的安全。
资源池化 通过虚拟数据中心的形式为用户提供资源。通过以逻辑方式将计 算、存储和网络容量组合成资源池,利用服务的交付和提供环节 之间的完全抽象化,更高效地管理资源。
多级的资源池 通过将虚拟数据中心细分为提供者虚拟数据中心和组织虚拟数 据中心,实现了将IT 服务的消费与交付相分离,从而更有效的 管理资源。
准确的监控告警 对物理资源及虚拟资源的状态进行实时监控,自动触发告警,通
知管理员对问题设备进行处理,提高了数据中心的运行维护管理 效率。
丰富的报表统计 提供多层次详细的报表数据,方便用户概览资源运行情况和使用
23 情况。
4.3.4 桌面云服务
桌面云是云计算的一种应用形态,通过集中化桌面管理,可提高 资源利用率,降低整体拥有成本。将个人桌面环境所需的计算、存储 资源集中于中央服务器上,取代了客户端的本地计算、存储资源;中 央服务器的计算、存储资源同时也是共享、可伸缩的,使得不同个人 桌面环境资源按需分配、交付,总体上降低硬件资源需求。 桌面云解决方案在云计算硬件资源和云资源管理及调度、虚拟化 平台的基础上,提供了云终端、接入控制、桌面会话管理等主要组件, 以及一体化的云平台和桌面业务管理维护系统,整体架构如图5 所 示。
图 5 桌面云架构图
虚拟桌面管理系统的主要构成如下:
24
(1) “终端接入层”将远程桌面输出到显示器,以及将键盘鼠标 输入传递到虚拟桌面。
(2) “桌面和应用交付层”接入网关主要提供两个功能,一是对 Web Interface 节点的访问提供负载均衡,保障可靠性;另一个功能 是对远程桌面连接协议ICA(Independent Computing Architecture) 进行加密和转发。
(3) “桌面管理系统”用于对用户的虚拟机生命周期管理以及连 接管理,例如创建虚拟机、分配虚拟机等。
(4) “虚拟化及平台层”采用业界先进的虚拟化软件,在保证物
理资源充分利用的同时,可提供高可靠性,打造高效、灵活、安全的 云平台。
(5) “硬件资源”是云平台的基础,云平台的硬件主要包括服 务器、存储、网络以及安全设备。
4.4 公共软件平台
4.4.1 应用公共支撑平台
应用公共支撑平台层包括以下几个方面。 1.综合门户
实施省级综合门户建设,建设省级教育管理公共服务门户和教 育信息公共服务门户。省级教育管理公共服务门户要集成省级各应 用系统并集成展示教育基础数据,实现省级单点登录。省级教育信 息公共服务门户要实现公共用户的数据查询和访问服务。
2.数据交换与共享
由教育部提供数据交换平台,统一部署,实现部、省两级数据中 心的数据交换。
25
基础数据库信息共享使用教育部提供的教育基础信息数据库管 理与服务系统平台。 3. 应用系统支撑平台
教育部提供与业务信息系统配套的应用系统支撑平台,为各省 的业务信息系统提供全局统一基础性支撑服务,使各应用系统能够 进行有效的整合与协同,形成各省信息系统统一的公共支撑环境,与 国家信息系统一并部署,可提供省级应用涉及的应用集成、技术支 撑、安全服务、运行监控等领域的软件服务集合,应用系统支撑平 台有关内容另行作为技术规范印发。由各省负责应用系统支撑平台的 实施与集成工作。
4.教育基础信息数据库管理与服务系统
教育部提供教育基础信息数据库管理与服务系统,由各省负责实 施与集成工作。通过该系统建设和实施,建立省级教育基础信息数据 库,为业务系统提供权威、准确、完整有效的数据。教育基础信息 数据库管理与服务系统包括五个方面内容:元数据管理,支持对数据 资源目录的管理;主数据管理,支持主数据的建设与管理;数据质 量管理,支持对教育基础信息数据库的质量管理与评估;数据服 务,提供接口、工具支持数据资源的共享与应用;数据安全管理, 控制数据存取和访问,对教育基础信息数据库的运行状态进行监控 和分析。 5.公共中间件
公共中间件包括应用服务器中间件、目录服务、商业智能、内容 管理、地理信息系统、报表工具、即时消息等,在此基础上构建统 一的应用软件基础运行支撑环境。教育部提供部分中间件的使用授 权(具体见表5)。
26
4.4.2 数据库平台
建设数据库平台是为了实现对数据中心各类资源的合理配置和 有效使用,数据库管理系统选用Oracle和SQL Server。
数据库平台属于省级数据中心的核心平台,为省级及以下教育 行政部门、学校和各个应用提供高度安全、可靠的数据平台,利用 数据库平台,可以帮助各级教育行政部门在可信的平台上自如地进 行伸缩,提高管理和开发的工作效率。建立于数据中心平台之上的 应用系统数据库,对结构化数据的存储主要包括以下需求要素:
表3 省级数据中心结构化数据存储需求因素
编号 标 准 说 明
D1 初始数据容量 系统初创的初始化数据量,迁移已有系统的数据容量 D2 数据年增量 每年新增的数据量 D3 数 据 生 命 周 期
在线存储数据量
可以根据数据库中需要保留最近多少年的数据进行 推算
D4
近线存储
(NearStore) 数据 量
数据超出年限迁移出在线数据库,其中哪些年份的数 据应能快速导回在线数据库以备数据查询
D5 离线存储数据量
超过哪些年份的数据基本已不再使用,可以被离线存 储归档
D6 可清除数据量 哪些数据量不再需要存储归档,可以进行删除处理 D7 数 据 恢 复
可容忍丢失的最大
数据量
系统发生意外情况时,允许损失多长时间内的数据, 称为数据恢复的RPO(Recovery Point Objective) D8
可容忍的最长数据 恢复时间
允许在多长时间内完成达到RPO 要求的数据恢复,称 为数据恢复的RTO(Recovery Time Objective)
D9 数据备份的保留期
保留多长时间内的数据备份副本,或保留最近多少个 数据备份副本
数据库平台应支持多个逻辑处理器,并有效地利用一流硬件供
应商的多核技术体系,保证数据库平台的高性能和可伸缩性, 为整合 更多数据源和充分利用硬件资源提高保障。
27
4.4.3 密码安全服务平台
为解决各应用系统对其核心敏感数据信息进行统一加密的需
求,保证重要数据的机密性、完整性、认证等安全特性,省级数据 中心需按照教育部的统一要求配备部署密码安全服务平台,实现对 应用系统敏感数据信息的加密处理,支持国家标准密码算法,为应 用系统提供数据加密/解密、数字签名/验证签名、密钥管理、访问 控制、密码设备统一管理等密码安全服务。 4.5 信息安全保障体系
4.5.1 信息安全保障体系总体要求 1.安全保障体系框架
根据数据中心的总体安全保障机制,结合国家信息安全等级保护 基本要求,与数据中心整体技术框架相配合,建立相配套的安全保障 体系框架,如图6 所示。
28
图 6 省级数据中心安全保障体系框架 2.总体安全保障机制
数据中心建设应采用纵深防御的安全保障机制,确保核心数据 资源的安全保护。核心数据要建立核心存储区域,该区域位于纵深 防御的最里层,逐级建立数据库服务区、应用服务区、前置服务区和 对外服务器区等安全区域,根据总体的信息安全策略,从基础设 施、平台应用和服务交付等各层面综合保障数据中心的安全。 3.信息系统安全重点工作内容
省级数据中心和本省运行的信息系统要按照国家信息系统安全 等级保护制度和教育部相关文件要求进行定级;从管理和技术两个角 度进行本省网络与信息安全保障体系建设;设置网络与信息安全职能 部门和岗位,进行人员安全培训和技能培训,落实信息安全人员持证 29
上岗;按照教育信息系统安全等级保护政策要求和技术规范,由教育 信息安全等级保护测评中心实施,定期开展信息系统等级测评;建立 定期安全检查机制并配合主管部门和当地公安部门做好监督检查。 省级数据中心应按照第三级信息系统的安全保护要求进行建