清华大学数字校园建设新进展

1、清华大学运行服务体系的建设和实践清华大学计算机与信息管理中心清华大学计算机与信息管理中心戚丽戚丽http:/ 纲纲运行服务体系的提出运行服务体系的提出运行服务体系的架构运行服务体系的建设内容清华大学运行服务体系的建设情况今后工作的展望经验与体会运行服务体系的在数字校园中的位置运行服务体系的在数字校园中的位置URP门门户户（应用聚集展现、个人桌面定制、单点登录漫游等）应应用用支支撑撑系系统统（网络管理系统、目录服务系统、域名服务系统、网上支付系统等）管管理理信信息息系系统统教务科研财务人力资源设备资产档案硬硬件件基基础础设设施施（计算机系统、校园网络、数据中心等）i i- -O Of ff fi

2、 ic ce e系系统统i i- -办公i i- -文档i i- -空间网网络络教教学学素材课件题库平台数数字字图图书书馆馆期刊书籍论文库网网络络服服务务电子邮件主页发布IP电话视频会议社区服务决策支持URP公公共共平平台台（应用管理、用户管理与认证、权限管理、数据交换、信息发布 等）用户(个人与部门)URP应应用用网网络络安安全全体体系系运运行行服服务务体体系系运行服务体系的几个阶段运行服务体系的几个阶段运行服务体系是随着信息化建设不断深入而出现的。根据信息化建设的阶段性，不同的阶段关注点也各不相同：1、系统管理和网络为主2、应用系统管理3、数据中心运行服务的几个阶段运行服务的几个阶段1、系

3、统管理和网络管理为主的阶段出现计算机的时候，就存在着对机器的运行管理。 在校园网未建成之前，以单机版的应用为主时期，运行服务主要针对系统管理和简单的应用管理。 在校园网建设初期，有部分C/S模式的应用，运行服务主要包括系统管理、网络管理和简单的应用管理。运行服务的几个阶段运行服务的几个阶段2、应用管理为主的阶段96年之后，在基本完成了校园网建设以后，互联网已经逐渐普及，各高校基于网络服务的应用也逐渐增多。例如：办公自动化系统、教务管理、财务管理等。但是管理的模式基本上是各自独立，每套系统从开发、运行、维护都各自独立，没有关联，形成信息孤岛。运行服务的几个阶段运行服务的几个阶段3、校园数据中心数

4、字校园概念的提出，对高校信息化的建设提出更高的要求，也为校园数据中心的出现奠定了基础。互联网数据中心(IDC)的发展历程，为校园数据中心的产生提供了大量可借鉴的经验。2001年之后，开始了在校园数据中心建设的探索。运行服务的几个阶段运行服务的几个阶段校园数据中心的主要作用：1.整合资源，减少学校在运行环境、维护 人员等方面的重复投资2.集中负责系统的运行与维护，提高系统的可用性、可靠性及安全性3.数据集中存放与管理,是数据共享与交换的集散地，利于系统的整合和信息的整合。运行服务体系的作用运行服务体系的作用为用户提供高质量的服务，保证学校的教为用户提供高质量的服务，保证学校的教学、管理工作有序进

5、行学、管理工作有序进行用户：全校师生、学校的管理部门用户：全校师生、学校的管理部门为信息整合提供依据为信息整合提供依据降低运行的费用降低运行的费用提提 纲纲运行服务体系的提出运行服务体系的提出运行服务体系的架构运行服务体系的架构运行服务体系的建设内容清华大学运行服务体系的建设情况今后工作的展望经验与体会运行服务体系的架运行服务体系的架构构提提 纲纲运行服务体系的提出运行服务体系的架构运行服务体系的建设内容运行服务体系的建设内容清华大学运行服务体系的建设情况今后工作的展望经验与体会运行服务体系的建设内容运行服务体系的建设内容1、数据中心建设运行环境高可靠的网络合理的服务器架构数据库及数据管理应用

6、管理安全防护体系容灾备份2、用户服务及技术支持3、规章制度建设4、队伍建设数据中心的建设数据中心的建设运行环境运行环境防尘、防静电的环境防尘、防静电的环境可靠的电力保证可靠的电力保证适宜的温度和湿度适宜的温度和湿度消防系统消防系统门禁与监控门禁与监控布线布线运行环境建设（续）运行环境建设（续）参考的标准：参考的标准：电子计算机机房设计规范（GB50174-93）计算站场地技术要求（GB2887-89）计算站场地安全技术（GB9361-88）计算机机房用活动地板的技术要求（GB6650-86）电子计算机机房施工及验收规范（SJ/T30003）电气装置安装工程接地装置施工及验收规范（GB50169

7、-92）；中国工程建设标准化协会标准建筑与建筑群综合布线系统工程设计规范CECS72：95数据中心网络建设数据中心网络建设冗余的网络设计，保证网络的畅通无阻加强网络监控，及时发现问题关键部门设置专线，保证数据传输的完整性服务器架构服务器架构服务器系统必须从整体上规划，根据应用的需求服务器系统必须从整体上规划，根据应用的需求合理布局，切忌一个应用系统一套服务器系统，合理布局，切忌一个应用系统一套服务器系统，这样很不利于资源的优化配置，既不好管理，又这样很不利于资源的优化配置，既不好管理，又不能实现资源的共享，浪费有限的经费。不能实现资源的共享，浪费有限的经费。服务器架构要根据自己学校的特点，尽量

8、采用目服务器架构要根据自己学校的特点，尽量采用目前比较流行的体系架构。前比较流行的体系架构。服务器系统高可用性，根据应用的需求而定。服务器系统高可用性，根据应用的需求而定。服务器系统的扩展性要考虑应用的发展需求。服务器系统的扩展性要考虑应用的发展需求。开发、测试、正式运行三条线要分开，不要在运开发、测试、正式运行三条线要分开，不要在运行环境开发、测试程序。行环境开发、测试程序。数据库及数据管理数据库及数据管理数据中心的数据库不是简单的数据堆积，数据中心的数据库不是简单的数据堆积，应该提供高效的数据存储、合理的布局，应该提供高效的数据存储、合理的布局，规范各应用系统的数据交换和共享，保证规范各应

9、用系统的数据交换和共享，保证数据的可靠性。数据的可靠性。数据库合理布局的实施，与数据标准的制数据库合理布局的实施，与数据标准的制定有着密切的关系定有着密切的关系应用管理应用管理应用的部署应用的版本管理公共平台的应用管理：门户、身份认证等安全防护体系安全防护体系建立行之有效的防范体系，是需要考虑运行的各个环节的。安全防范不仅仅是数据中心的事情，用户使用的安全也应纳入到安全防范体系中。安全防范工作应考虑事后追查的有效手段；需要制定紧急问题的处理机制。安全防护体系内容安全防护体系内容网络安全：网络安全：防攻击防攻击、防窃密防窃密、防监听防监听 合理架设防火墙合理架设防火墙主机安全：物理安全、防入侵主

10、机安全：物理安全、防入侵要定期清理用户、修改密码、安装补丁程序、停止不必要要定期清理用户、修改密码、安装补丁程序、停止不必要的服务等的服务等应用安全：防伪造、防攻击应用安全：防伪造、防攻击数据安全：防止数据丢失、破坏数据安全：防止数据丢失、破坏数据备份、数据审计数据备份、数据审计办公环境的安全：防病毒、防攻击、安全知识培训办公环境的安全：防病毒、防攻击、安全知识培训安全审计：事后追查的有效手段安全审计：事后追查的有效手段入侵监测入侵监测成立紧急问题相应小组成立紧急问题相应小组容灾及备份容灾及备份备份系统与要求的恢复时间紧密相关，无备份系统与要求的恢复时间紧密相关，无论多么先进的备份系统，一定要

11、有针对各论多么先进的备份系统，一定要有针对各种情况的恢复步骤，已备不时之需。种情况的恢复步骤，已备不时之需。容灾是发展到一定阶段以后的考虑，也可容灾是发展到一定阶段以后的考虑，也可以分级别进行以分级别进行备份及容灾的方式及环节备份及容灾的方式及环节设备的备份设备的备份冷备、热冷备、热备备数据的备份：文件数据数据的备份：文件数据应用的备份：运行环境的备份应用的备份：运行环境的备份数据库的备份数据库的备份逻辑备份、物理备份、在线备份逻辑备份、物理备份、在线备份容灾容灾数据级容灾、应用级容数据级容灾、应用级容灾灾用户服务与技术支持用户服务与技术支持用户服务： 面向全校师生，帮助用户解决其在使用过程中

12、遇到的问题技术支持面向部门用户，解决用户在使用中的问题，并进行数据检查、恢复的工作规章制度的建设规章制度的建设完善的管理制度是运行管理的保障。规章制度包括三方面：管理规范、技术规范、操作手册管理规范：管理规范：管理规范是从规范管理员行为出发的各种制度、规定、办法与奖惩措施 、岗位职责等技术规范：技术规范：是规范技术人员在运行维护过程中各种行为的规定、规范与工作流程操作手册操作手册：指导用户使用各种网络与信息系统的操作指南与用户手册，如信息门户使用指南、网络学堂用户手册、学生选课指南等等 队伍建设队伍建设无论多么先进的设备和技术，如果没有人进行无论多么先进的设备和技术，如果没有人进行管理是不能很

13、好的发挥作用的。因此数据中心管理是不能很好的发挥作用的。因此数据中心在建设初期就必须考虑队伍建设问题。在建设初期就必须考虑队伍建设问题。在队伍建设中，要注意建立整个团队的服务意在队伍建设中，要注意建立整个团队的服务意识。只有优良的服务，才能使所有的应用更好识。只有优良的服务，才能使所有的应用更好的发挥作用。服务不仅仅是态度，更重要的是的发挥作用。服务不仅仅是态度，更重要的是要有雄厚的技术做后盾。因此应建立一支有层要有雄厚的技术做后盾。因此应建立一支有层次的队伍。次的队伍。提提 纲纲运行服务体系的提出运行服务体系的架构运行服务体系的建设内容清华大学运行服务体系的建设情况清华大学运行服务体系的建设

14、情况今后工作的展望经验与体会数字校园建设的概况数字校园建设的概况进入了建设与运行并重的阶段我们有自己的研发队伍，已经形成研发、运行两条相对独立的线目前已运行了近40多个应用系统：包括：教务系统、办公系统、财务系统、网络教学等数据中心运行环境的建设情况数据中心运行环境的建设情况机房面积：240平方米电力保障：80KVA的UPS， 分闸到机柜空调系统：共有4台总计35P的空调消防系统：气体灭火门禁与监控：设置了门禁，并有摄像监控设有操作间和测试间设有集中的kvm系统清华大学的数据中心机房清华大学的数据中心机房清华大学的数据中心机房清华大学的数据中心机房清华大学的数据中心网络设备清华大学的数据中心网

15、络设备清华大学的数据中心的清华大学的数据中心的UPS清华大学的数据中心的调试间清华大学的数据中心的调试间清华大学的数据中心的操作间清华大学的数据中心的操作间数据中心网络建设数据中心网络建设清华大学的服务器架构说明清华大学的服务器架构说明服务器：以SUN、PC服务器为主，数据中心共有近百台服务器操作系统：Solaris linux Windows结构：四层结构门户/ web/App/DB，应用按照运行系统及软件需求不同进行合并备用机：分组设置，每组有一台备用机高可用：数据库服务器采用HA架构，其他服务器正准备采用负载均衡；设置开发、测试、试运行、正式运行环境数据库管理工作的介绍数据库管理工作的介

16、绍数据库：数据库：ORACLE 8I分类应用数据库：教务库、非教务库、交换库分类应用数据库：教务库、非教务库、交换库正在进行的工作：正在进行的工作：数据审计数据审计数据整合数据整合数据交换的研究数据交换的研究清华大学的安全防范体系介绍清华大学的安全防范体系介绍以数据中心为核心的校园网网络安全防范体系。以数据中心为核心的校园网网络安全防范体系。数据中心内存放了大量的关键数据，与各个业务部门之间的有着频繁的重要通讯，我们必须充分考虑到数据中心在整个校园网网络安全防范体系中的核心辐射作用。网络是为信息应用系统服务的，信息应用系统的安全无疑应该是校园网网络安全防范体系考虑的重点，因此清华大学校园网网络

17、安全体系的架构应该以数据中心为核心、辐射到全校重要业务部门。数据中心不仅是整个校园网的信息枢纽，还应该成为校园网的安全枢纽以数据中心为核心的校园网网络安全防范体系以数据中心为核心的校园网网络安全防范体系校园数据中心网络安全防范体系示意图校园数据中心网络安全防范体系示意图安全策略防火墙技术入侵检测安全审计其它单元安全技术安全管理安全培训安全策略安全策略安全策略是一个成功的网络安全体系的基础与核心。安全安全策略是一个成功的网络安全体系的基础与核心。安全策略描述了校园数据中心的安全目标（包括近期目标和长策略描述了校园数据中心的安全目标（包括近期目标和长期目标），能够承受的安全风险，保护对象的安全优先

18、级期目标），能够承受的安全风险，保护对象的安全优先级等方面的内容。面对复杂的环境和较少的经费，等方面的内容。面对复杂的环境和较少的经费，2001年数年数据中心初建时，我们制定了符合实际的安全策略。比如明据中心初建时，我们制定了符合实际的安全策略。比如明确了安全体系的近期目标是保证所有的机器都必须设防，确了安全体系的近期目标是保证所有的机器都必须设防，能够抵御一般水平的黑客进攻；远期目标是实现完善的安能够抵御一般水平的黑客进攻；远期目标是实现完善的安全审计和取证机制，保证受到入侵后有证可查，鉴于大多全审计和取证机制，保证受到入侵后有证可查，鉴于大多数安全事件来自于管理员的误操作，审计在明确事故责

19、任数安全事件来自于管理员的误操作，审计在明确事故责任上也能发挥重大作用；长期目标是建立安全预警系统，能上也能发挥重大作用；长期目标是建立安全预警系统，能够抵御较高水平的黑客攻击。明确了数据中心内服务器的够抵御较高水平的黑客攻击。明确了数据中心内服务器的安全优先级等。安全优先级等。 校园数据中心安全工具和安全技术的部署校园数据中心安全工具和安全技术的部署系统管理员为中心的安全管理制度系统管理员为中心的安全管理制度系统管理员负责服务器的日常安全管理紧急事件相应小组负责处理突发事件安全管理员负责安全动态、安全技术跟踪跟踪操作系统、应用软件的补丁给系统打补丁，并纪录有安全补丁发布有紧急事件发生应用新工

20、具，对服务器进行安全加固安全培训安全培训最终用户的安全意识是信息系统是否安全的决定因素，因此对校园数据中心用户的安全培训和安全服务是整个安全体系中重要、不可或缺的一部分，特别是在目前病毒泛滥的大环境下，通过定期培训、及时发放病毒警告通知、敦促大家打补丁等方法，增强所有教职员工的安全意识、提高他们的安全技能。安全培训安全培训为校机关的工作人员进行安全培训协同校办制定校机关信息安全的规章制度加强对管理员的用机的管理及安全培训，制定了装机流程，保证工作环境的安全性。备份备份数据备份数据备份：使用几台NAS设备保存数据中心内所有运行软件的配置文件、应用程序及配置文件、搭建运行环境的说明文档、数据文件，

21、数据库的逻辑备份数据库备份数据库备份-物理备份与逻辑备份相结合 -使用备份软件Legato对数据库进行再线备份- 备份数据存放在磁盘上服务器的备份机服务器的备份机-数据库服务器采用HA结构-服务器按组划分，每组设一台冷备服务器校园内异地容灾校园内异地容灾在图书馆存放了一台NAS设备保存数据中心内所有运行软件的配置文件、应用程序及配置文件、搭建运行环境的说明文档、数据文件，数据库的逻辑备份正在进行校园内异地容灾的方案设计应用管理应用管理对现有的应用进行了分类，共分为8大类别，管理粒度到应用模块建立了应用上线的工作流程，逐步规范应用管理，加强对应用的测试工作，保证应用系统的稳定性。建立了版本管理平

22、台，保证版本的唯一性用户服务及技术支持用户服务及技术支持用户服务中心，面向全校的师生，接待用户来访及电话。2004年共接待了用户5000多人次，处理电话6500多个，处理邮件300封左右。用户服务及技术支持用户服务及技术支持用户服务中心，面向全校的师生，接待用户来访及电话。2004年共接待了用户5000多人次，处理电话6500多个，处理邮件300封左右。用户服务用户服务用户服务中心，面向全校的师生，接待用户来访及电话。2004年共接待了用户5000多人次，处理电话6500多个，处理邮件300封左右。技术支持技术支持技术支持面向部门用户，负责启动运行服务对全校各类活动的组织协调工作几类重大的活动

23、如下： 注册、选课、退课、迎新、离校、奖助贷系统、网上教学评估等，所有活动贯穿了全年的不同时期技术支持负责解答用户在使用过程中的问题，定期将用户的意见反馈给研发。对部门用户提供一个接入点。运行服务的管理运行服务的管理规范化管理：详细的工作规范和流程、维护记录、定期讨论、监督落实管理思路逐步转变为以应用为主线，将各块工作统一管理，避免铁路警察各管一段的现象。建立通畅的反馈机制，使研发、客户服务、运行形成良性循环运行服务的管理运行服务的管理建 设 者用 户 服 务 中 心数 据 中 心用 户监 督 者测 试 环 境建 设 实 施运 行 环 境提 交 测 试 验 收反 馈 测 试验 收 意 见测 试 验