基于通信运营商的学校云服务建设方案优化及探索

杭中士

摘要：教育信息化是实现教育现代化的关键，“新基建”思想及新技术的推出，迫使学校开拓新的信息化建设之路。云计算及云服务作为当前互联网的热点，也被逐步应用到学校教育教学管理中，进而实现安全管理的一体化，减少设备更新投入。该文结合学校实际现状，对基于通信运营商的云服务的建设方案和思路进行分析总结，可为其他类似学校提供借鉴和经验分享。

关键词：运营商;云技术;服务器;职业学校

中图分类号：G642.0   文献标识码：A

文章编号：1009-3044（2022）21-0030-02

开放科学（资源服务）标识码（OSID）：

2021年教育部等六部门印发的《关于推进教育新型基础设施建设构建高质量教育支撑体系的指导意见》指出，教育新型基础设施是以新发展理念为引领，以信息化为主导，面向教育高质量发展需要，聚焦信息网络、平台体系、数字资源、智慧校园、创新应用、可信安全等方面的新型基础设施体系[1]。《2022年职业教育重点工作》中提出，要启动职业学校信息化标杆学校建设，推动职业教育数字化升级。江苏省的职业学校经过近几年的数字校园、智慧校园建设，基础设施不断完善，但随着新标准及新技术的推出，使得职业学校的信息化建设有了新的方向，对中心机房、服务器等技术和投入要求较高的建设，已在逐步找寻更加完善的建设方案。

1 建设背景

扬州高等职业技术学校于2008年开始建设数字化校园，于2014年与扬州移动公司进行校企合作，开启智慧校园建设，经过多年的稳步推进建设，在人员理念提升、基础环境建设、软件平台建设及数字资源建设等方面取得了显著成效，师生信息化素养与应用水平有了较大提升，学校先后被评为扬州市数字化校园、扬州市智慧课堂示范校、江苏省职业学校智慧校园。然而，随着硬件设备的不断老化、业务系统的不断增多（近40个虚拟机），学校的服务器、机房环境已经不能很好地支撑各类业务系统的正常运转，如服务器刀片频繁报警、精密空调需要经常清洗维护、UPS电池蓄电不足等。网络中心机房作为各类业务系统正常运转的核心阵地，任何一个环境节点出现故障都会迫使业务系统停止运行，严重影响了教育教学的正常开展。同时，受疫情大环境的影响，学校各类经费都在缩减，没有足够的经费和外部力量投入到设备的维修和更新上，且多数设备的配件已处于淘汰和停产状态。

鉴于以上学校实际现状，以及当下云技术的不断成熟，学校迫切需要找到一条云服务的建设之路，将各类业务系统尽快迁移到云端，通过购买服务的形式实现云端托管，保证业务访问不中断。当下，提供云服务的厂商有很多，有技术企业（阿里云、百度云等），有设备厂商（深信服、华为等），有通信运营商（电信、移动、联通等）[2]。学校通过多方调研，结合校企协作、本地化服务等实际需求，最终选择扬州移动提供云服务支持。

2 建设原则

鉴于学校系统多、数据量大，同时考虑到网络与信息安全，提出建设原则如下：

1）最小影响原则。系统与数据分析和转移的时候应尽可能小地影响系统和网络的正常运行，不能对现有网络的运行和业务的正常提供产生明显影响。

2）标准性原则。方案的设计与实施应依据国内、国际、等级化保护相关要求、相关标准进行，既要满足学校系统的三级等保要求，又要考虑以后内网访问及维护的便捷。

3）可扩展性原则。方案设计及技术文档要有很好的规范性，便于学校管理人员后续的跟踪和应用，对云平台的配置、虚拟化数量、前端防护产品的配套，要有一定冗余性和可扩展性。

4）整体性原则。应从系统和网络各个方面整体考虑，包括安全涉及的各个层面，避免由于遗漏或级别低造成未来的等保安全隐患。

5）可控性原则。方法和过程要在双方认可的范围之内，安全分析的进度要按照进度表进度的安排，在技术实施、产品提供、售后保障上都要求可控性。

6）保密性原则。因整个建设涉及师生的各类数据，所有参与项目人员需签订保密协议，对过程数据和结果数据均有保密义务，不得将测试数据及报告进行公开。

3 方案设计

3.1 方案架构

根据学校系统三级等保、日志留存、漏洞扫描等安全需求，以及访问量、访问策略和存储空间的实际要求，设计移动云服务部署拓扑图及设备清单如下：

3.2 方案说明

首先，接入层对应于学校的互联网办公区，在出口区域部署校内本地防火墙，作为出口的防火墙设备，实现出口的安全防护功能，满足出口网络的安全要求。云端应用层前根据系统三级等保要求部署一整套安全防护设备，能够精确识别用户、应用和内容，全面替代傳统防火墙，并具有全面的应用层安全防护功能和强劲的处理能力，从网络入口处一站式智能化解决网络层和应用层安全威胁，为网络出口构建一套安全长城，保障内网用户网络接入和业务系统的安全问题，实现内外部网络隔离和访问控制，保护内部业务系统和用户免受非法侵入。

其次，在汇聚层，通过移动机房接入交换机部署双机双专线，确保线路可靠性、稳定性、和冗余性。通过移动的双专线，将本地网络与云上主机组成新型内网架构，在较大程度上减少对校内师生日常访问的干扰。

在应用层，采用扬州本地VM资源池上云形式，时延、稳定性和扩展性可有效得到保障。所有公网访问流量必须经过云端三级等保安全资源池过滤后，方可进入云主机VPC。通过安全资源池中WAF产品对学校网站进行有效防护，对公网访问过来的流量进行安全资源池过滤后再通过内网形式转发给内网服务器。根据特定系统访问需求（如内网专题网站），将对特定网站访问的源地址进行限制，仅允许学校特定的出口IP进行访问。对各类云主机进行定期整机备份，数据库采用4台互为备份的高性能服务器，并对数据库硬盘部分进行按需备份，确保稳定性和可靠性，所有云主机均通过内网VPC线路和存储资源池（云硬盘）进行数据交互和调用。

最后，在运维管理区部署日志审计设备，对网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。对审计记录进行保护，定期备份，避免受到未预期的删除、修改或覆盖，审计记录留存180天以上且不中断。

4 方案优势

4.1 构建立体化防护体系

通过在云上出口部署防火墙、入侵防御等安全设备，提供L2-L7层各类威胁的检测和防护，基于事前、事中、事后全过程设计，通过防火墙实现网端联动：事前风险预知、事中有效防御，以及事后持續检测和快速响应，为业务系统提供全程的安全保护能力，让安全更简单更有效。

4.2 实现规范化审计与管理

通过云端日志审计系统，能够实时不间断地采集汇聚不同厂商不同种类的安全设备、网络设备、主机、操作系统和业务系统的日志信息，通过挖掘不同类型、来源于不同设备或系统的日志或安全事件之间可能存在的关联关系，实现实时监控日志接入信息，协助网管员进行安全分析及合规审计，及时、有效地发现异常安全事件及审计违规。通过漏洞扫描设备，实现了各类配置脆弱性（漏洞、WEB漏洞、弱口令、配置违规、变更）的智能发现，可以具有自动化的采集、分析和报告能力，实现集中有序运维。

4.3 运营商专线方便快捷

运营商提供云服务，一般同时提供自己运营的传输线路，在专线的租用、冗余、设备更新等方面有着先天优势。中国移动2009年自建PTN传输网，和华为等知名厂家长期保持技术上密切合作，网络设备支持平滑扩容升级，PTN环网保护组网已预留容量，组建专网更便于网络扩容升级，纵向网络电路和横向网络电路支持平滑升级至100G带宽[3]。省级主干线光缆实行1+1保护，所有节点采用双路由保护，移动云本地资源池网络时延低至2ms[4]，数据访问响应快，同时，本地数据接管方便，突发情况响应及时。

5 建设成效

5.1 实现了高效可视的安全运维和风险处置

等保2.0的推出，对学校信息系统的三级等保提出了更高要求，系统的网络环境、安全防护需要，根据标准需要不断更新和投入。通过云端服务，彻底解决了这个问题，云端安全设备可以根据不同的标准随时进行切换和升级，并且使网络安全

“看得见、看得懂”[5]，通过网络风险可视化，将安全状况直观地呈现出来，实现更精准的风险分析及判断。对于使用者而言，只需关心系统本身的漏洞和Bug，结合应用层的安全管理，最终实现更高效的安全运维和风险处置。

5.2 设备的运维成本降低，使用效率提高

通过云技术的应用，将本地数据和系统实现云端部署，大大降低了维护的人力和财力。以往，本地硬件设备的老化需要不断地投入和维保，而作为一所学校，专业级的中心机房维护成本太高，技术力量跟不上。云端部署后，将专业的事交给专业的人做，作为学校，通过花少量的钱购买适合的服务，不用过多地去关注底层的架构和技术层的维护，真正把更多的时间用在信息化的应用上，按照“需求牵引、应用为王、成熟先上、技术保障”工作原则，真正作信息化应用的主人，享受信息化带给教育教学的便捷和高效，进而提升全校师生信息化应用水平，推动学校数字化升级。

参考文献：

[1] 胡少云.新基建环境下智慧校园场景创新与应用[J].智能建筑，2021（1）：29-31.

[2] 曾善檑，俞高明，姚建昌，等.基于阿里云的广电云平台本地化部署[J].中国有线电视，2021（10）：1009-1012.

[3] 周江.面向5G的分层次分布式云服务系统资源优化调度与分配[D].成都：电子科技大学，2015.

[4] 郭建康.基于超融合架构的学校云数据中心建设和应用[J].信息与电脑（理论版），2018（17）：98-100.

[5] 葛玉军.职业学校智慧校园建设经验分享――以南通卫生高等职业技术学校为例[J].电脑知识与技术，2020，16（12）：32-33.

【通联编辑：朱宝贵】