畢紅棋 陳露

（1.豫章師范學(xué)院現(xiàn)代教育技術(shù)中心；2.豫章師范學(xué)院繼續(xù)教育中心）

一、智慧校園建設(shè)現(xiàn)狀

（一）靈活的資源調(diào)度帶來了隱蔽的安全風(fēng)險

隨著高校教育信息化的不斷發(fā)展，大部分業(yè)務(wù)已經(jīng)從傳統(tǒng)的物理數(shù)據(jù)中心架構(gòu)遷移到超融合平臺上，極大提升了高校教育信息化業(yè)務(wù)的上線速度，提升了高校教育信息化業(yè)務(wù)的穩(wěn)定性、加快了響應(yīng)速度，同時顯現(xiàn)了潛在的網(wǎng)絡(luò)安全風(fēng)險。超融合技術(shù)打破了主機之間的物理邊界[1]，帶來了靈活的資源調(diào)度，虛擬業(yè)務(wù)主機之間的數(shù)據(jù)交互直接在物理主機內(nèi)完成，不通過前端安全防御設(shè)備，導(dǎo)致原有安全防護手段失效，無法進行有效的安全隔離。

（二）業(yè)務(wù)安全邊界有待加強

校園網(wǎng)是校園極為重要的基礎(chǔ)建設(shè)，是教育信息化的體現(xiàn)。校園網(wǎng)絡(luò)安全已經(jīng)上升到意識形態(tài)的高度，嚴重的網(wǎng)絡(luò)安全可能會造成資料泄露、信息傳遞中斷，因此，隨著網(wǎng)絡(luò)信息安全形勢的變化，有待加強業(yè)務(wù)系統(tǒng)的安全邊界的防護[2]。

（三）不間斷業(yè)務(wù)安全監(jiān)測的困難

隨著高校教育信息化的發(fā)展，軟硬件的投入不斷增加，數(shù)據(jù)中心的規(guī)模不斷擴大，大幅提升了信息化工作者的工作量。數(shù)據(jù)中心的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、業(yè)務(wù)系統(tǒng)的數(shù)量不斷增加，給現(xiàn)有的維護人員帶來了極大的壓力。高校信息中心普遍存在正式編制員工少，聘用員工待遇低，信息化總體工作人員數(shù)量低的現(xiàn)象。無法依靠高校自身的力量實現(xiàn)對眾多業(yè)務(wù)系統(tǒng)進行不間斷的安全監(jiān)測，需要找到新的處理方法應(yīng)對具有針對性、潛伏性、持續(xù)性的安全攻擊，從而整體提升信息的安全性[3]。

（四）教育信息化發(fā)展趨勢

隨著大數(shù)據(jù)的出現(xiàn)，物聯(lián)網(wǎng)的應(yīng)用，高校教育信息化正在向數(shù)字化轉(zhuǎn)型，信息化業(yè)務(wù)需要高性能，高擴展性，高穩(wěn)定性的IT基礎(chǔ)設(shè)施。數(shù)據(jù)中心和業(yè)務(wù)系統(tǒng)相對封閉，擴展性較差，新增業(yè)務(wù)系統(tǒng)的同時需要采購硬件服務(wù)器；傳統(tǒng)外置存儲的擴容成本高、技術(shù)難度大，難以實現(xiàn)數(shù)據(jù)中心資源彈性擴容，因此，云數(shù)據(jù)中心建設(shè)已經(jīng)成為教育信息化的發(fā)展趨勢[4]。

二、基于超融合架構(gòu)的需求分析

（一）滿足信息系統(tǒng)等級保護測評三級系統(tǒng)合規(guī)要求

教育信息化的應(yīng)用要求逐步提高，網(wǎng)絡(luò)覆蓋面越來越大，有效利用計算機網(wǎng)絡(luò)技術(shù)可有效提高工作效率。信息技術(shù)帶來便利的同時，也帶來了各種各樣的網(wǎng)絡(luò)安全問題[5]。由于計算機網(wǎng)絡(luò)所具有多樣性、開放性、互連性等的特點，造成網(wǎng)絡(luò)易受攻擊。有來自黑客，也有其他諸如計算機病毒等形式的攻擊，具體的攻擊是多方面的。

（二）云數(shù)據(jù)中心建設(shè)的難點及必要性

1.基礎(chǔ)架構(gòu)存在的問題

早期數(shù)據(jù)中心基礎(chǔ)架構(gòu)的擴展性能差，無法實現(xiàn)快速調(diào)整資源，新增業(yè)務(wù)系統(tǒng)時需要采購硬件服務(wù)器；隨著用戶數(shù)量逐年增加，對外業(yè)務(wù)的信息系統(tǒng)在性能瓶頸，導(dǎo)致可靠性降低；傳統(tǒng)外置存儲的擴容成本高、技術(shù)難度大，較難實現(xiàn)數(shù)據(jù)中心資源彈性擴容[6]。

2.運維與管理的難度系數(shù)高

早期應(yīng)用監(jiān)控技術(shù)應(yīng)用不廣泛，因此早期數(shù)據(jù)中心建設(shè)中沒有安全監(jiān)控平臺，無法實現(xiàn)全面的監(jiān)控管理，運維與管理過程中很難精準定位故障點。

3.云數(shù)據(jù)中心建設(shè)的必要性

云計算（Cloud Computing），是一種近年出現(xiàn)的基于網(wǎng)絡(luò)的計算模式，通過共享特定的軟件、硬件的資源、信息，根據(jù)需要供給其他設(shè)備使用。基于通用的計算機網(wǎng)絡(luò)，通過瀏覽器或Web服務(wù)訪問云服務(wù)器上對應(yīng)軟件、數(shù)據(jù)。云數(shù)據(jù)中心有較強的抗風(fēng)險能力，能提高計算速度，更大程度提升應(yīng)用服務(wù)能力。

三、建設(shè)方案

（一）網(wǎng)絡(luò)拓撲

基于超融合構(gòu)建的數(shù)據(jù)中心，硬件部分包括服務(wù)器和網(wǎng)絡(luò)交換機，形成統(tǒng)一資源池。超融合軟件、所有的業(yè)務(wù)虛擬機運行資源池中，存儲虛擬化軟件統(tǒng)一管理服務(wù)器的所有本地磁盤，構(gòu)建高性能高可靠的存儲資源池[7]。超融合技術(shù)不僅能為業(yè)務(wù)提供計算和存儲資源，也能實現(xiàn)不同業(yè)務(wù)的網(wǎng)絡(luò)區(qū)域隔離、集成網(wǎng)絡(luò)安全模塊實現(xiàn)安全管控，還可以實現(xiàn)對VMware集群的納管。

（二）部署規(guī)劃

1.計算資源池

計算資源平臺作為介于硬件和操作系統(tǒng)之間的軟件層，可以采用裸金屬架構(gòu)的X86虛擬化技術(shù)，實現(xiàn)對服務(wù)器物理資源的抽象，將服務(wù)器的處理器、內(nèi)存儲器、輸入輸出等物理設(shè)備轉(zhuǎn)變成可動態(tài)管理的邏輯資源。

（1）高可用：為了提升服務(wù)器虛擬化系統(tǒng)的高可用性，計算資源池從如下多維度提供了高可用技術(shù)，保障業(yè)務(wù)的穩(wěn)定性，其中包括故障遷移（HA）、熱遷移（Motion）、跨存儲熱遷移。

（2）極速備份：超融合計算資源平臺，將備份系統(tǒng)融合在整體VMP平臺，實現(xiàn)簡單易用的備份系統(tǒng)，由客戶設(shè)置自動備份計劃，系統(tǒng)管理根據(jù)這些設(shè)置定期進行自動備份處理，以增強系統(tǒng)數(shù)據(jù)的安全性，同時增強自動處理事務(wù)能力，可以在不處理日常業(yè)務(wù)的時間里進行此項工作。

（3）高效P2V遷移：通過Convert實現(xiàn)快速的物理機遷移虛擬機，跨平臺的虛擬機遷移虛擬機。而整個虛擬化遷移過程不超過5分鐘。

（4）高安全性虛擬化平臺保障，通過高強度加密的虛擬化文件系統(tǒng)，保證數(shù)據(jù)安全。通過添加每用戶的密鑰實現(xiàn)加密功能提高安全性。

2.網(wǎng)絡(luò)資源池

超融合架構(gòu)網(wǎng)絡(luò)資源池幫助數(shù)據(jù)中心操作員將敏捷性和經(jīng)濟性提高若干數(shù)量級。

（1）簡化網(wǎng)絡(luò)結(jié)構(gòu)，節(jié)省硬件網(wǎng)絡(luò)投資。（2）簡化網(wǎng)絡(luò)配置，實現(xiàn)業(yè)務(wù)自動化調(diào)整。（3）高可靠性與高性能并存。

3.存儲資源池

存儲資源池可以將多個存儲設(shè)備進行集中管理，通過軟件實現(xiàn)動態(tài)劃分，當(dāng)設(shè)備出現(xiàn)異常時，數(shù)據(jù)會自動遷移。

（1）橫向、縱向線性按需擴展。（2）數(shù)據(jù)保護和高可用性。（3）高性能SSD緩存技術(shù)。

4.分布式存儲

（1）備份存儲。分布式存儲數(shù)據(jù)保護系統(tǒng)可以提供多種級別的數(shù)據(jù)保護。對于一般的業(yè)務(wù)系統(tǒng)，可以采用定時備份的方式進行保護，對于RPO和RTO要求比較高的核心業(yè)務(wù)系統(tǒng);為了保證其業(yè)務(wù)連續(xù)性，可以采用是基于數(shù)據(jù)塊的I/O級別的CDP持續(xù)數(shù)據(jù)保護[8]。

（2）網(wǎng)盤功能。分布式存儲專有文檔云解決方案為可以為全校師生提供便捷的云盤服務(wù)，滿足移動教學(xué)、論文撰寫及存檔、實驗創(chuàng)新等多個教學(xué)科研場景?！敖昏€匙”般的專有服務(wù)，不再需要投入專門的維護團隊來管理文檔云的軟硬件維護，大幅降低了學(xué)校信息中心的工作負擔(dān)。

（三）不間斷電源的作用

UPS(Uninterruptible Power System)，又稱為不間斷電源，廣泛應(yīng)用于數(shù)據(jù)中心機房。不間斷電源主要有兩種功能：穩(wěn)壓、提供不間斷電源。當(dāng)電路中電壓輸入正常時，UPS經(jīng)過設(shè)備逆變輸出，能夠提供穩(wěn)定性高的電壓輸出。當(dāng)市電出現(xiàn)斷路時，UPS的電池提供電源，能夠保護設(shè)備，不會在短時間內(nèi)停止設(shè)備。對于虛擬化設(shè)備組成的云數(shù)據(jù)中心的一個致命弱點是，如果沒有UPS等等設(shè)備防護，在市電斷開后會造成虛擬平臺崩潰、數(shù)據(jù)丟失等，比獨立服務(wù)器產(chǎn)生異常的概率高很多。因此，建設(shè)較早、UPS性能較弱的企事業(yè)單位在建設(shè)云數(shù)據(jù)中心時，一定把UPS納入規(guī)劃。

四、結(jié)語

通過全網(wǎng)安全的等保合規(guī)建設(shè)以及數(shù)據(jù)中心的云化建設(shè)，可為學(xué)校帶來如下功能價值：

滿足法律規(guī)范要求，滿足《教育信息化工作要點》《教育信息化“十三五”規(guī)劃》。加強防御能力、對檢測和及時響應(yīng)能力，滿足《網(wǎng)絡(luò)安全法》、等保2.0的相關(guān)安全建設(shè)要求。

提升高校安全可視能力，引入人工智能技術(shù)，對高校全網(wǎng)的安全進行可視化，實現(xiàn)看得見風(fēng)險，看得見資產(chǎn)，看得見訪問關(guān)系，看得見威脅。對校園復(fù)雜多樣的業(yè)務(wù)系統(tǒng)核心資產(chǎn)進行自動識別和梳理，如應(yīng)用軟件、用戶、設(shè)備、內(nèi)容等。

簡化高校安全事件分析過程、響應(yīng)過程，通過云端分析、人工智能等手段，持續(xù)增強對校內(nèi)潛伏威脅檢測能力，包括弱密碼、系統(tǒng)威脅等，對未知新型威脅的檢測能力，并給出解決方法，通過微信、云端預(yù)警提升響應(yīng)能力，形成安全閉環(huán)。