vpn教育城域网-升级改造方案-大学毕业设计论文

-PAGE18-重庆市云阳县VPN教育城域网升级改造方案云阳县中小学电教教仪站编制2013年6月目录一、背景………………3二、我县教育城域网现状……………3（一）建设现状………4（二）存在的问题……4三、升级改造建设总体需求…………8（一）VPN教育专网改造………………8（二）建成科学、规范的数据中心…8（三）建成统一的门户应用系统……9（四）构建网络与信息安全保障体系………………9（五）建立运维服务长效机制………10四、建设定位与基本原则……………11（一）数据中心的建设定位…………11（二）我县教育城域网建设应遵循的原则…………12五、数据中心建设的技术体系和技术框架…………15（一）数据中心建设的体系架构……15（二）业务系统的技术架构…………17六、建设项目详细设计方案…………18（一）教育VPN专网建设……………18（二）数据中心机房环境建设………20（三）硬件建设………22（四）城域网应用支撑平台建设……30（五）应用软件建设…………………34（六）技术保障与运维队伍建设……41（七）信息安全体系建设……………42七、数据中心配置项目及成本预算…52一、背景为深入贯彻落实“全国教育信息化工作电视电话会议”精神，以及《教育部等九部门关于加快推进教育信息化当前几项重点工作的通知》教技〔2012〕13号要求，扎实推进实施国家《教育信息化十年发展规划（2011－2020）》，使我县在2015年完成“三通两平台”建设（三通：宽带网络校校通、优质资源班班通、网络学习空间人人通；两平台：教育管理公共服务平台、教育资源公共服务平台），使信息技术与学科教学深度融合，我县根据已建教育城域网的实际运行情况，遵照渝教基〔2013〕11号《重庆市教育委员会关于印发区县教育城域网建设标准和普通中小学“数字校园”建设标准的通知》以及渝教科〔2013〕11号《重庆市教育委员会关于加快推进教育信息化重点工作的通知》的要求，结合我县教育信息化建设现状，提出对原有教育城域网升级改造以及数字校园建设方案。二、我县教育城域网现状近年来，我县陆续实施了国家农村中小学现代远程教育工程、中西部地区农村义务教育阶段薄弱学校教学设备设施改造工程，以及本县实施的义务教育保障经费项目，全县学校各项教育信息化设备资金投入约2000万元，加上学校原有信息化设备2000余万元，总信息化投入约4000万元，全县新增中小学计算机网络教室59间，配备学生机6000余台，教师笔记本6000余台，新建班班通教室1600余间。小学四年级以上学校开设了信息技术课程。云阳中学等4所高中学校建成较为完善的校园网，其他120所学校初步建成校园网，所有中心校以上学校均通过光纤或电话线拨号等方式接入了互联网和县教委政务网。学校信息化软硬件设施得到极大提升，为我县教育信息化发展奠定了坚实基础，信息技术及网络应用已经深入到教育教学工作的各个方面，已经成为教育教学不可域缺的高效工具，改造我县教育城域网、建设我县教育信息高速公路已经迫在眉睫，是我县教育信息化以及“数字校园”建设的必经之路。（一）建设现状我县位于三峡库区腹心地带，全县幅员面积3649平方公里，人口134万，辖38个乡镇、4个街道。全县共有建制学校125所，3197个教学班，学生21.7万人，教师9127人。其中高完中类学校8所，中职学校1所，初级中学28所，九年制学校11所，中心小学74所，村校教学点144个。目前我县城域网仅搭载教育办公OA平台、视频会议系统，教委机关互联网宽带出口总带宽20Mbps。教委直属事业单位、各校分别接入互联网。其中采用ADSL接入的学校共33所，光纤专线接入的学校共95所，未接入网络的共141所，42所学校拥有固定互联网IP地址，学校出口总带宽1553Mbps。（二）存在的问题1．信息化体系相对紊乱按重庆市教委信息化建设发展规划，全市最终要组建统一协调的、互联互通的、高效便捷的智能化网络系统，最大限度地挖掘全市教育城域网的优势和潜力，教育信息化主要指标达到国内一流、西部领先水平，使我市成为中西部地区教育信息枢纽、优质教育资源输出地。目前，全县学校及委属事业单位均是各自为阵，信息相对孤立，学校之间、教委与学校之间、各系统平台之间信息不能互通资源不能共享，效率低下，重复建设严重。2．教育政务网功能还很不完善——网络结构不尽合理。我县于2003年先期搭建了城域网中心机房，目前功能单一、体系不全，仅限于公文的上传下达和视频会议系统，根本没有教育教学、科研、管理等应用软件。网络安全级别低、网络设备通信能力差、网络运行不稳定，无法实现绿色网络环境的监管以及网络资源的合理调控，学校端互联网访问带宽也远远低于教育部规定的宽带校校通100M（互联网出口）要求。目前，网络技术已有了重大的变革和发展，从以设备为中心转向以信息为中心的云计算、云服务，原有网络模式已经难以支撑。——服务器运行效率不高。近年来，重庆市已经为区县配发了部分管理软件平台和硬件设备（如：学籍管理系统、教学设备管理系统、数字图书馆系统），这种采用每台服务器独立承载一个应用子系统的部署方式严重落后，重复建设严重，投资巨大，效率低下，管理不规范，浪费了大量的硬件、软件资源，不堪经济重负，且用户访问高峰期计算速度太慢。这与教育部提出的“三通两平台”建设模式相冲突。并且由于服务器承载的应用子系统的使用频率不一样，例如学籍系统，每年仅使用一至二次，常年闲置；又如办公OA服务器，每天都处于高并发访问状态，设备又不堪重负，经常宕机，严重影响正常办公，下级学校单位怨声载道。——设施设备老化。城域网中心机房建设已近10年，虽有少量设备更新，但绝大多数设备已经趋于老化，网络运行不稳定，主要业务办公OA经常中断服务，通信能力在本来就不高的情况下正逐步降低。——不能实现上网行为安全管理。《互联网安全保护技术措施规定》（公安部令第82号）要求：各互联网接入点必须安装上网行为管理设备，保留每位用户上网日志60天以上，并具有记录、跟踪网络运行状态，监测、记录网络安全事件等安全审计功能。目前我县各校各自为阵，上网管理混乱，安全隐患特别严重，若在每所学校都安装上网行为管理设备，尚需另外投入近2500万元。3．互联网使用费巨大全县有125所学校、4个直属单位接入教育政务网和互联网，每年都要承担高额的网络使用费。——教育政务网接入光纤接入为380元/月，ADSL电话拨号接入为200元/月，全县只有少数几所边远学校采用ADSL电话拨号接入，全县学校此项费用估算为50—54万元/年。——互联网接入镇乡中心校及初中以上学校均为光纤接入互联网（以至少4M—10M光纤为例，一般收费3000-5000元/月，平均约4万元/年），这类学校及单位已有95个，需要380万元/年。其余近30个单位为电话拨号接入（200元/月左右不等，约0.3万元/年），估算为10万元/年。此项合计3——网站空间及托管我县约50所学校建有自己的校园网站，由于缺乏相应的硬件设备、安全措施、网络带宽及管理技术，学校的网站或网站服务器不得不托管在IDC（InternetDataCenter互联网数据中心）机房，每年支付的托管费、存储空间租金（约1元/M/年）、域名使用费等至少20万元/年。以上三项，学校及事业单位每年至少要支付网络使用费460万元以上。4．网络带宽严重不足按照宽带校校通每校达10M以上互联网出口带宽要求，我县仅有81所学校基本达到要求，近44所中心校以上学校及全部村校均没有达到标准。县教育城域网和学校互联网出口带宽严重不足，无法达到教育部“宽带校校通100M5．应用系统缺乏整合基础我县已建各应用系统缺乏统一的城域网应用支撑平台（即用户集中认证平台、数据交换与共享平台、应用支撑门户平台、基础信息数据库管理与服务系统），不能实现对第三方软件的异构整合，不能无缝接入上级云应用平台，区域内各应用系统不能实现单点登录，系统相互独立、信息孤岛现象普遍。6．运行维护机制不健全我县教育城域网建没有完善运行维护机制，没有专业的运维队伍，出现信息更新不及时、维护费用不到位、缺乏应用软件长效技术支撑等问题。三、升级改造建设总体需求我县教育城域网升级改造，主要包括以下五个方面的建设：（一）VPN教育专网改造通过与本地通讯营运商合作，改造我县开放式城域网结构，搭建覆盖我县教育主管部门、直属事业单位以及各类中小学校的VPN光纤专网，统一互联网出口管理，加强网络资源的监控和调控能力，提高网络通信能力，保障绿色上网环境。这种组网方式优点是：总体投入成本低，运行效率高。可以在其它网络硬件的同步配置下实现百兆/千兆到校园网、千兆/万兆到达数据中心机房；辖区内各单位的网络可由数据中心机房统一管理、统一监控，安全级别高；严格按照各类工程建设标准构筑的数据中心机房、网络、计算、存储等基础环境和设施，能稳定地为辖区所属各直属事业单位、各类学校提供信息系统和数据库存储与服务；运维队伍稳定，技术力量可靠，能满足持续发展。（二）建成科学、规范的数据中心结合教育部对“三通二平台”的建设要求，以及现代教育均衡发展对资源应用部署的需要，升级改造网络通讯硬件设备、服务运算及存储设备，完善机房安防、消防及其它环境检测保障设备建设。受各种因素制约，以往的教育城域网建设被看成是一个网络及硬件建设工程、中心机房装修工程，而新一代教育城域网建设则被定义为一个系统工程，除了要具备足够的供电系统、制冷系统以及动态分配系统，对于数据中心建设，我们更要强调的是其必须具备灵活性、绿色节能、自动化、整合、稳定安全、虚拟化和云计算等特征，应能支撑本级系统的设备集中、数据集中、业务集中需要。（三）建成统一的门户应用系统为了防止信息堡垒、杜绝信息孤岛，必须建设城域网应用支撑平台（即用户集中认证平台、数据交换与共享平台、应用支撑门户平台、基础信息数据库管理与服务系统），以“信息整合、业务聚合、服务融合”方式，接入上级平台的各类公共应用、拓展下级各单位的个性化特色应用，实现各级各类学校与各级教育管理部门之间数据互通和系统互联，在满足地区特色化教学管理及应用的基础上，全面提升我县教育监管能力与服务水平，按时完成教育部对“三通二平台”的建设规划目标，促进城乡教育资源均衡发展和可持续发展。本级平台建设各类应用软件时，必须严格按照“登录＋应用＋数据库”的架构原则分类集群部署，充分提升硬件资源的利用率和通信能力，提升系统运行的稳定性和访问速度。（四）构建网络与信息安全保障体系在数据中心建设过程中，我们要按照国家和教育部关于信息安全等级保护相关政策要求和技术标准规范，从管理和技术两个角度构建网络与信息安全保障体系；要对数据中心所承载的信息系统进行安全定级与备案，并依据所定安全级别要求进行安全规划和建设；要按照国家相关要求对信息系统进行定期安全等级测评，国家教育管理信息系统由教育信息安全等级保护测评中心统筹实施；要设置网络与信息安全职能部门和岗位；要加强人员安全意识培训和技能培训，技术人员要逐步落实持证上岗；要建立安全监控与预警体系，对本级信息系统安全运行状况进行监控、预警及管理的同时，实现与上级安全监控与预警体系对接；要建立网络与信息安全工作体系，建立联络员机制，建立安全管理工作信息化平台，按照信息安全等级保护要求实现信息系统全生命周期安全管理，并与县级安全管理工作信息化平台衔接实现数据上报；要建立定期安全检查机制并配合主管部门和当地公安部门做好监督检查工作。数据中心建设应采用纵深防御的安全保障机制，确保核心数据资源的安全保护。要制定切实可行的信息安全策略，从基础设施、平台应用和服务交付等各层面综合保障数据中心的安全。（五）建立运维服务长效机制建立科学规范的运维服务长效机制，是推进数据中心由发展阶段进入成熟阶段的重要环节，更是促进数据中心得以持续有效应用的推进剂。要建立可行的运维保障体系，实现集中的教育信息化基础环境和基础设施的运行维护；制定配套的数据维护、交换、管理制度，建立管理信息系统运行的运维技术队伍；要创新运维服务长效机制，建立责权明晰的运维组织机构，建立标准的运维服务规章制度和工作流程规范。与软件企业良性合作，共同构建数据中心运行维护与技术服务支撑平台，建立良好的技术服务体系，提供用户使用方法指导服务、数据采集更新服务、数据备份支撑服务、技术创新和系统升级售后服务。四、建设定位与基本原则（一）数据中心的建设定位以“信息整合、业务聚合、服务融合”为建设理念，按照“三通二平台”的建设要求，深度融合政府、社会、学校、家长、教师、学生等多方面的应用需求，建成覆盖辖区教育主管部门、直属事业单位和各类中小学校的光纤专网体系，搭建科学、安全、高质量、高标准的区域公共教育云平台；实现与教育部及市级各核心应用系统之间的数据互通，努力实现教育资源的均衡发展。（二）我县教育城域网建设应遵循的原则遵循国家及教育部信息化标准与规范，严格参照《国家教育管理信息系统建设总体方案》和《重庆市中小学数字校园建设指导手册》的要求，本着经济、实用、够用及适度超前的原则，建成高质量、高标准的区域公共教育云平台，并于2015年前完成各中小学校“三通二平台”的建设目标，使信息技术与学科教学深度融合，实现主管部门与学校之间、学校与学校之间、教师与教师之间、教师与学生之间信息资源的高度共享以及教育管理模式的网络化，降低教育系统内部办公成本，提高办事效率，提升教育教学质量，加快教育现代化建设步伐。先进性原则采用当前国际先进成熟的主流技术，以适应海量数据传输以及多媒体等信息交换的要求，网络主干具有足够的带宽，能够无阻塞的处理多媒体流量，考虑到3-5年内的技术发展，使整个网络系统在五到十年内保持领先水平，并具有长足的发展能力。先进性内容主要包括：系统设计思想先进、软硬件设备先进合理、网络结构先进、开发工具先进。系统设计既兼顾技术上的成熟性，同时也保证系统的先进性。可靠性原则城域网建设的主要目的是为教学服务，它是各校园网资源的汇集和连接的桥梁，是教育系统网络信息处理的核心，大量的数据不断地在网络上传输，应用系统及网络传输必须保证其稳定可靠，能够提供365天、每周7x24小时不间断运行及服务能力。标准性原则硬件环境、网络环境、软件开发及运行使用环境都要遵循国家及教育部信息化标准与规范相互。相关标准、规范及工作要求如下:（1）国家相关文件及规范 《国家电子政务工程建设项目管理办法》 GB50174-2008电子信息系统机房设计规范 GB50462-2008电子信息系统机房施工及验收规范 GB50311-2007综合布线工程设计规范 GB50312-2007综合布线系统工程验收规范 GB50395-2007视频安防监控系统设计规范 GB50263-2007气体灭火系统施工及验收规范 GB50394-2007入侵报警系统工程设计规范 GB/T20269-2006信息安全技术信息系统安全管理要求 GB/T20984-2007信息安全技术信息安全风险评估规范 GB/T22239-2008信息安全技术信息系统安全等级保护基本要求 GB/T22240-2008信息安全技术信息系统安全等级保护定级指南 GA/T388-2002B计算机信息系统安全等级保护管理要求（2）教育部相关文件及规范 《国家中长期教育改革和发展规划纲要（2011-2020年）》 《教育信息化十年发展规划（2011-2020年）》 《2012年教育信息化重点工作》（教技厅[2012]1号） 《教育部等九部门关于加快推进教育信息化当前几项重点工作的通知》（教技[2012]13号） 《国家教育管理信息系统总体建设方案》（3）国家教育管理信息系统技术标准与规范 《教育服务与监管体系信息化建设项目应用系统运行环境指南》 《教育服务与监管体系信息化建设项目统一用户认证规范》 《教育服务与监管体系信息化建设项目门户集成开发规范》 《教育服务与监管体系信息化建设项目统一用户管理规范》 《教育服务与监管体系信息化建设项目应用系统开发安全规范》 其他相关技术规范（4）地方标准 《重庆市教育城域网建设标准》渝教基[2013]11号 《重庆市中小学数字校园建设标准》渝教基[2013]11号扩充性原则我县数据中心建设应考虑可扩展性和易维护性，适应系统变化要求，以最简便的方法、最低的投资，实现系统的扩展和维护，降低人力资源费用。实用性原则系统建设应坚持实用性和经济性，始终贯彻面向业务应用。在进行架构规划时，不盲目单纯追求设备的先进性。在充分考虑应用性能的基础上，应充分考虑原有IT设备的投资和保护，切实提高经济效益。安全性原则安全性主要包括网络安全性和应用系统的安全性。安全性的好坏最能体现系统的网络应用能力和信息化建设的程度。网络安全性要求建立网络安全机制，一是要配“防火墙”，以实现数据过滤功能，将不安全的数据流和路由信息拒之门外；二是采用网络隔离、访问控制等安全防范措施，保证了网络的安全运行，有效地防止未经授权的访问。应用系统的安全性要求架构科学先进，一是要求从数据库到应用，设计要科学，要能保障高并发时的运算能力，其中包括数据库的承载运算能力和应用系统的共享能力；二是要求编程代码简洁规范，进程回收及时；三是要求应用流程严谨，符合使用习惯；四是要求具有工作自动接转和冗灾备份应急措施。独立性原则教育网是基于各学校为网元构建起来的面向教育系统的大型网络。独立性在教育网中体现在两个方面：一是整个教育网网络对于外部网络而言是一个物理上的独立实体，单独并唯一的实现对整个教育网的统一网络管理；二是各学校作为教育网的基本网元在物理上也应该具有一定的独立性。可管理性对网络实行集中监测、分权管理，并统一分配带宽资源。选用先进的网络管理平台，具有对设备、端口等的管理、流量统计分析，及可提供故障自动报警。强QOS（QualityofService）、强组播特性教育网因为对视频、音频等多媒体业务的需求较大，为实现区别服务，整网端到端的QOS特性机制是优质网络业务的保证。另外组播特性对于有效地保证多媒体流传输性能和节省带宽也有非常重要的意义，基于组播的控制特性也会进一步保证组播流的控制、管理和安全，从而为实现教育城域网的多业务支持提供保障。兼容性和经济性兼容性，能够最大限度地保证学校现有各种计算机软、硬件资源的可用性和连续性，为不同的现存网络提供互联和升级的手段（如现有的双向教学系统），保证各种在用计算机系统（包括工作站、服务器和微机等设备）的互连入网，充分利用现有网络资源，发挥主干网的优势。经济性，就是在充分利用现有资源的情况下，最大限度地降低网络系统的总体投资，有计划、有步骤地实施，在保证网络整体性能的前提下，充分利用现有设备或做必要的升级。五、数据中心建设的技术体系和技术框架（一）数据中心建设的体系架构我县教育城域网建设必须遵守全市教育云建设整体设计：我市教育云的建设实行“两级建设三级应用”模式。二级建设是指市、县级数据中心的分别建设，三级应用包括市、县区和学校三级单位的共享应用。学校以远程应用为基础，为本级教育机构及上级机构提供基础数据。建设项目及部署要求序号信息系统作用、部署模式备注一、城域网公共服务软件平台1统一用户认证管理平台实现所有应用子系统的一步登录、全网通行（即单点登录）；按省、市、县分级独立部署，上下级平台的用户数据自动交互共享；。必建2数据交换与共享平台实现上下级平台和平台内各系统之间相关数据的自动交互和共享；按省、市、县分级独立部署，上下级平台的各类数据自动交互共享。必建3应用支撑门户平台在统一的门户平台上集中部署本级所有应用软件和教育教学资源，并无缝接入上级平台的各类核心应用系统，实现登录门户管理；按省、市、县分级独立部署。下级平台根据《重庆市中小学数字校园建设指导手册》的要求，无缝接入上级平台相关应用子系统，实现单点登录和数据自动上报。必建4基础信息数据库管理与服务系统为集群到门户平台上的所有应用软件提供规范、标准的基础共享数据，避免重复工作，保障基础数据的标准化；按省、市、县分级独立部署，上下级平台数据自动交互共享。必建二、数字校园应用软件5教育管理公共服务平台教育部系统接入教育部五大部分共20个核心应用系统项目接入市级系统重庆市中小学教学设备管理系统接入区县级系统数字校园管理平台必建公文OA系统必建教育教研视频会议系统必建人事管理系统选建教育GIS信息系统选建自助建站系统选建6教学资源公共服务平台学脉网接入数字图书馆接入仿真实验室选建学习空间人人通必建城域网数据中心是信息交换体系的主体，既是教育资源交换体系的节点，又是教育资源信息系统的中枢。其主要作用是：一是为本级教育资源管理信息系统提供管理及运行平台；二是为远程信息系统按权限调用教育资源提供共享和交换机制；三是为本级信息服务系统的信息提取提供数据源支持。通过我县数据中心的建设，实现与部、市两级教育数据和信息的共享，消除信息孤岛和应用孤岛，实现横向和纵向业务的整合，形成业务联动和一站式的信息服务与监管体系。（二）业务系统的技术架构1．数据库设计在设计数据库系统的过程中，将通过考虑以下几个方面的问题来保证系统数据库支撑平台的要求：（1）系统硬件配置情况，在尽量降低硬件要求的前提下确保系统运行的稳定性。（2）网络拓扑结构，将考虑涉及诸如防火墙、安全性、带宽和速度方面的因素。（3）数据库大小、并发数、云化集群能力。必须采用Oracle或Mysql之类的大型数据库。（4）故障修复，任何系统都有出错和死机的可能，因此，必须规划完备的数据备份、恢复、工作接转机制。备份方式包括完全备份、差异备份、冗余备份（逻辑备份、物理备份）等。2．部署与维护在采用.NET技术进行开发的同时，也继承了.NET技术的巨大优势——即XCOPY模式的部署与维护。即无论在系统安装部署过程中还是在升级与维护时，所有源文件和目标代码都仅仅需要拷贝到响应位置的目录中，而不必重启机器。3．应用集群能力（云部署）云计算是一种基于因特网的超级计算模式，几万甚至几千万台电脑与数据中心的若干服务器连接成一片，用户通过电脑、笔记本、手机等方式接入数据中心，按各自的需求进行存储和运算，从而实现节能减排、资源共享、高速计算的能力。4．负载均衡云部署必然涉及到负载均衡机制。负载均衡建立在现有网络结构之上，它提供了一种廉价有效的方法扩展服务器带宽和增加吞吐量，加强网络数据处理能力，提高网络的灵活性和可用性。5．接口设计引进常用的XML数据交换方式，要适用于异构系统之间交换事务信息，全面支持使用开放式的方式协助整合信息，使信息在不同的应用系统间流畅互通，使不同系统之间的数据得以动态共享，强化数据使用者与系统之间的聚合性。六、建设项目详细设计方案（一）教育VPN专网建设我县将数据中心机房设置在县级（县教委八楼），运营商中心机房与数据中心用光纤互连。再通过租用运营商的光纤专网链路，将数据中心与县教育主管部门、直属事业单位，以及各类中小学校连接成一个庞大的专用局域网，并接入市级光纤骨干网。各单位通过局域网或无线网络远程访问数据中心资源，各单位在局域网内要访问互联网资源必须得到城域网中心机房的设置许可，同时，数据中心可以对各单位上网带宽、访问网站、搜索信息等进行设置许可及上网行为监控。1．骨干层：是教育城域网的运行中枢，为全网提供快速数据交换和网络管理支持，以IDC的形式对全网提供服务和出口管理，是各种数据、媒体流汇聚的我县。核心路由交换机需要具备高可靠性、高性能、高端口密度、高安全性、可管理性的要求，并且有网络可扩容升级能力和多钟业务支持能力。在完成高速交换的基础上，能够提供稳定可靠的网络基础服务功能并能够支持下层的基础功能、分布服务以及QoS保证。根据全市教育云建设总体方案，以市级数据中心为主节点，按照市、县、校三级分级建设、互联互通。市级骨干网主节点到县区支节点10G，县区和学校子节点之间根据学生人数的多少采用不同的带宽接入。根据《重庆市教育城域网建设标准》的规定，学校到教育城域网光纤接入带宽要求分别为：1.学校师生人数≥1200人，接入带宽1000M；2.学校师生人数在300人—1200人，接入带宽≥100M；3.学校师生人数≤300人，接入带宽≥10M。4.村小（教学点）≥2M（可选ADSL方式）。2．汇聚层：是保证骨干层和接入层间的有效连接、提供分布服务、设置网络路由的重要层次。采用大容量多业务路由交换机作为各大楼汇聚点的上行汇聚。教育城域网的建设将分情况区别对待所在区域的汇聚交换机，流量汇聚后进入骨干层。3．接入层：是接入教育城域网汇聚层的教育教学最终用户集合。老师和学生通过接入层进入教育城域网络，利用网络资源来学习和工作。信息资源中心提供大量的服务器群组针对不同部门、机构提供相应的数据业务服务，认证管理、计费等功能。通过网管系统来实现对全网网络设备的管理和维护、故障报警等。同时服务器群将通过全千兆交换机来营造千兆高速访问的环境。（二）数据中心机房环境建设数据中心机房建设可根据我县的实际情况，采用租用营运商的光纤通讯线路方式，安全上要求满足国家信息安全等级保护相关技术要求。数据中心机房建设内容包括：机房布局设计、装修子系统、电气子系统、防雷接地子系统、不间断电源子系统、空调新风子系统、安防子系统、环境监控子系统、综合布线子系统、消防子系统、机房机柜设备、KVM子系统等。（1）机房布局设计按照功能布局分为：数据交换区、数据存储区、数据备份区、数据服务器区及监控区等。（2）装修子系统中心机房装修系统建设包括吊顶、地板、墙面、隔断、门窗等的建设。机房墙面采用彩钢板或彩钢板饰面，采用轻钢龙骨做结构，防火石膏板外贴彩钢板，轻钢龙骨内填充加岩棉，起到隔音保温作用。彩钢板表层具有防尘、防潮、防静电功能。主机房吊顶采用微孔铝板吊顶，顶部做防尘、防水处理，铝板需做接地处理。主机房地面采用无边抗静电地板。隔断采用不锈钢包框12mm厚防火玻璃。（3）电气子系统中心机房设备用电和动力供电分开。电源采用双路供电，动力供电的设备包括空调、照明、维修插座等。机房内强电走线为下走线方式，桥架均作接地连接。（4）防雷接地子系统依据机房配电的实际情况，机房防雷按照IEC标准进行安全的二级配合保护，本工程按大楼的总配电室加装一级电源防雷装置考虑，故防雷工程只在与机房相关的配电柜安装浪涌保护器。机房内金属天花板、地板、管槽等都要做保护接地，并就近连接到配电箱PE排上。镀锌钢管、金属软管、金属接线盒、金属线槽外壳等均应进行可靠接地，避免因电源波动较大而干扰设备的正常工作。中心机房建设工程在大楼外挖沟埋桩、焊接地排，使接地电阻小于1Ω。（5）不间断电源子系统通过对机房设备用电量的估算，建议UPS选用1-2台（现有UPS系统可沿用），延时8小时以上。（6）空调新风子系统中心机房建设工程应采取主机房设置精密空调，部分区域设置商用空调的形式。机房内空调采用N台使用加1台备用机的方式。 机房内新风系统采用吊卧式新风机。（7）安防子系统安防子系统包括门禁系统和监控系统。门禁系统主要是在重要的区域设置门禁，对进出人员进行管理登记。监控系统是指在重要的区域安装摄像头，做到监控无死角，对机房进行实时监控录像。（8）环境监控子系统中心机房建设工程环境监控系统是对机房的温湿度、消防、UPS主机、精密空调、配电、漏水等子系统进行全面集中监控，并要做到准确定位。应具有本地声音报警、短信告警功能，支持实时显示、智能查询、报表、存储功能。支持远程访问，并要将门禁及监控系统统一平台界面。（9）综合布线子系统中心机房建设工程每台服务器机柜至网络机柜，连接12根超五类非屏蔽双绞线。双绞线连接到机柜后侧的配线架上。同时可以在地板下预留弱电线槽，或者采用机柜上走线方式。（10）消防子系统中心机房建设工程采用七氟丙烷气体灭火装置。消防工程所采用的器材和设备必须是经国家指定的检测中心确认合格的产品。消防系统的设计施工及验收必须经消防检测中心确认及验收。（11）机房机柜设备中心机房预期放置的网络机柜和服务器机柜统一采用42U标准机柜，规格为2000mm×600mm×1000mm。机柜内统一使用PDU为各类设备供电。（12）KVM子系统中心机房建设工程中所配备的KVM系统必须具备所有服务器的集中操作控制等功能。（三）硬件建设1．网络硬件建设中心机房的硬件设备主要有：路由器、核心交换机、负载均衡设备、上网行为管理、防火墙、存储系统、数据备份、应用服务器、流量控制、备用电源等（交换机、路由器、防火墙需要硬件本身具有支撑虚拟化的能力，采用虚拟技术，实现一主一备的安全机制）。我县可以采取多运营商接入以及双机热备方式。（1）路由器的选择我县学校数量125所，学生人数21.6万人，教学班3197个，教师人数9127千。网络为三层结构，学校上联带宽100兆，汇聚交换机上联核心交换机带宽为1000兆，每一汇聚交换机下联10所学校。按照重庆市中小学校生机比例标准：小学生机比为12：1；初中生机比8：1；高中生机比4：1该我县学生电脑应达20000台左右，教师电脑数为10000台，“班班通”电脑3200台。电脑总数达到3.3万台。核心路由器并发连接数=10.5x33000=346500，应选择并发连接数大于350000，支持NAT、VPN等功能，具有光纤接口或以太网接口的企业级路由器。（2）交换机的选择核心交换机的选择由于核心交换机需要千兆上联路由器和机房应用服务器交换机，千兆下联从汇聚层上来的10条光纤，因此核心交换机至少需要24个千兆端口，交换机百兆端口数量48个。核心交换机应选择背板带宽应大于57.6G，包转发率应大于42.9汇聚交换机的选择汇聚交换机需要千兆上联核心交换机，百兆下联10所学校的主干交换机，因此汇聚交换机至少需要1个千兆端口，10个以上百兆端口，此类交换机一般为2个千兆端口，24个百兆端口。汇聚交换机应选择背板带宽应大于8.8G，包转发率应大于6.5兆，具有网络管理功能，支持远程访问控制，支持VLAN划分和组播功能，具备安全管理功能的交换机。（3）负载均衡设备选择负载均衡设备实现将外部访问均匀的分配到内部多个服务器上，县、县级平台可根据应用情况，灵活部署。（4）上网行为管理设备选择要求能支持黑（白）名单、网站内容、上网时间、用户带宽、协议管理和访问日志记录（保存90天以上）等功能。上网行为管理系统既可以采用纯软件系统，也可以采用硬件设备。纯软件上网行为管理系统是最近几年才出现的产品，其优点是管理和使用方便，建设成本低，其功能与硬件设备基本相同，建议采用纯软件上网行为管理系统。不论是纯软件还是硬件型产品，其主要技术指标都是并发连接数。（5）防火墙的选择防火墙实现内外网的隔离，防止内网设备免受外部攻击，保护内网安全，其主要技术指标是并发连接数，计算公式同路由器，支持VPN、NAT、Qos等功能的产品。（6）流控管理的选择能对网络中的P2P/IM带宽滥用、网络游戏、炒股、网络视频、网络多媒体、非法网站访问等行为进行精细化识别和控制，保障网络关键应用和服务的带宽，对网络流量、用户上网行为进行深入分析与全面的审计，进而帮助用户全面了解网络应用模型和流量趋势，优化其带宽资源，开展各项业务提供有力的支撑。（7）备用电源的选择备用电源UPS不得少于4个小时不间断供电，中心机房应该使用发电机+UPS模式。2．服务器及管理员电脑根据《市级教育数据中心建设指南》的规范要求，各应用系统以B/S架构为主，统一门户和认证，业务系统服务器架构以三层架构为主，即由Web服务器、应用服务器、数据库服务器组成，同时配置辅助管理类服务器。（1）服务器系统设计服务器将主要服务于以下区域：DMZ（DemilitarizedZone）区所有对外提供服务的Web服务器都放置在DMZ区。设计Web服务器采用虚拟服务器方式提供服务。所以在DMZ区将提供一定数量的虚拟化服务器。对于不同处理能力的业务系统，将分配不同数量的虚拟化Web服务器，以适应并发访问的请求。应用服务区应用服务器主要负责承载应用系统的业务逻辑层计算，采用虚拟化服务器方式可有效提高服务器资源利用率。对于不同业务处理能力的业务系统，将分配不同格式的虚拟化服务器，来满足计算量要求。数据库服务区数据库服务区中将放置数据库服务器，根据业务系统处理能力的不同，为不同业务系统分配不同资源，包括配置不同处理能力的物理服务器，建立不同级别的数据库服务器。根据用途不同配置三类服务器，各类服务器配置要求如下表所示。类别名称建议配置的最低技术标准要求部署位置=1\*ROMANI类服务器4路8核/10核，128G内存，配置512MBCache独立8通道SASRAID卡，RAID10+热备盘、RAID5，硬盘5块600G，配置4个千兆以太网口，HBA卡8GB2块，支持虚拟化技术web、应用、中间件等Ⅱ类服务器4路或8路8核/10核，32G内存，配置512MBCache独立8通道SASRAID卡，RAID10+热备盘、RAID5，硬盘5块600G，配置4个千兆以太网口，HBA卡8GB2块，支持虚拟化技术数据库服务器=3\*ROMANⅢ类服务器1路4核，4G内存，硬盘3块500G，RAID卡，配置4个千兆以太网口认证、管理、备份等（2）WEB服务器选择Web服务对主机的文件访问或session数有较大要求，通常Web服务对主机CPU的要求低，可通过“虚拟机＋负载均衡集群”的方式提高系统的运行效率和可靠度。为达到资源的完整利用和资源的动态调配，以物理主机虚拟出的虚拟主机提供Web服务。根据部署应用系统的不同可以选用Linux或Windows平台。建议选择双路机架服务器或四路机架服务器，同时配置云数据中心统一管理平台和虚拟化软件。（3）应用、中间件服务器选择应用、中间件服务器与web服务器一样，采用“虚拟机＋负载均衡集群”的方式提高系统的运行效率和可靠度。为达到资源的完整利用和资源的动态调配以物理主机虚拟出的虚拟主机提供应用和中间件服务。根据部署应用系统的不同可以选用Linux或Windows平台。建议选择八路机架服务器或四路机架服务器，同时配置云数据中心统一管理平台和虚拟化软件。（4）数据库服务器选择数据库服务器根据应用情况通过数据库本身提供的集群软件实现数据库的高可用。按应用需求可分核心应用和普通应用、大负载和小负载，并可利用负载均衡技术提高应用服务器的数量以提高系统的运行能力。对数据库平台的选择，业内以TPC-C的benchmark值为参考依据，总体思想体现在CPU的缓存大、系统内存高、并发任务能力强、机器内部的I/O和总线带宽大，依据此类条件，核心大型数据库应用以Linux平台为主，辅以Windows平台。数据库服务器采用独立的物理机。建议选择八路机架服务器或四路机架服务器，同时配置云数据中心统一管理平台和虚拟化软件。（5）管理类服务器选择主要用于虚拟化管理平台、安全管理平台、身份认证系统、网管、运维、备份系统等方面的部署，针对备份服务器，由于使用区域和功能的不同，建议使用物理机。其他管理类系统部署在同一区域，采用“虚拟机＋负载均衡集群”的方式提高系统的运行效率和可靠度，达到资源的完整利用和资源的动态调配。建议选择双路机架服务器或四路机架服务器，同时配置云数据中心统一管理平台和虚拟化软件。（6）服务器虚拟化及部署方式硬件资源虚拟化可以合理分配硬件资源，避免硬件资源闲置、提升系统反应速度、保障系统运行的稳定性和安全性。而虚拟机(VirtualMachine)技术，是将一台服务器分割成多个虚拟机(VM主机)。这些VM主机以最大化的效率共享硬件、软件许可证以及管理资源。虚拟服务器仅用于WEB服务器、应用和中间件服务器、管理类服务器，分类形成云团承载服务，数据库服务器必须采用物理机部署。3．存储备份设备数据中心承担着本地区教育资源的建设和向师生提供优质资源的职责。数据中心存储备份系统拓扑结构如下。数据中心存储系统拓扑图存储设备需满足应用需求。数据中心存储容量的估算应包括结构化数据存储容量、非结构化数据存储容量、虚拟服务器资源池存储容量，同时按照在线、高可用冗余、本地备份、远程容灾复制等所需要的存储容量。存储介质的性能选择应遵循以下原则：（1）结构化数据的数据存储应采用FC高性能存储介质；（2）虚拟服务器存储池应采用FC高性能存储介质；（3）本地高可用性磁盘镜像复制应采用FC高性能存储介质；（4）本地备份可使用磁带存储介质。4．安全保障系统（1）容灾备份系统数据库数据备份设计选择数据库DR体系结构设计应确保数据的随时可用性及活动备份，降低成本。我县教育云平台建成以后，将与重庆市中小学数字校园云平台实现数据自动交互和共享，因此，市级云平台管理中心可以对我县云平台数据进行容灾备份处理。（2）入侵检测系统在核心交换机上配置高性能的内置插卡式入侵防御设备，支持业务不中断的情况下进行扩容，开启安全策略后的吞吐量≥2Gbps，最大连接数≥200万，每秒新建连接数≥25万，时延≤200微秒，集成第三方专业防病毒厂商的专业病毒库；具有中华人民共和国公安部的《计算机信息系统安全专用产品销售许可证》；获得微软MAPP认证，可提前获得微软操作系统等软件的漏洞信息，要求提供通过MAPP认证的网页链接。（四）城域网应用支撑平台建设城域网应用支撑平台是承载教育部和市级平台各类核心应用的基础及保障，是实现在统一门户平台上集中集中部署各类应用系统，以及单点登录、实数据共享及共享应用的技术手段。1．统一用户认证管理平台登录认证平台的作用是为了保障系统使用的安全性、打破信息孤岛、实现单点登录、实现数据共建共享。通过统一身份认证，用户便可以在各应用系统进行顺利通行，从而确保“单点登录、全网通行”效果的获得。各级用户认证管理平台必须与市级数据中心的用户认证管理平台实现数据共享和相互认证：下级账户可以直接从市级平台登录，或者，在下级平台无缝接入市级云平台后实现单点登录、全网应用。各用户必须经过身份合法性验证以及角色权限验证，才能进入应用层使用相关功能。在各子系统之间进行身份验证时，必须采用加密法传输，不允许明文传输。（3）整合方式通过统一身份认证进入“我的桌面”以后，根据角色使用权限显示出相关子系统软件菜单。子系统中已有账户信息的用户，可以在弹出的账户捆绑页面上自助操作一次；第一次点击子系统应用菜单的新用户，需要在弹出的页面上录入即完善一次账户信息。新/老用户，只需首次登录进行一次账户完善或捆绑操作，以后即可实现单点登录。2.数据交换与共享平台数据交换与共享平台不是简单地对各子系统数据同步存储，它是基于强大的智能分析运算能力，将各子系统的数据通过标准的中间件交互服务，进行远程分析、汇总、提取，并以数据表或图表方式暂存到交互平台上，满足其它系统实时共享、调用。下级数据交互与共享平台，在满足本平台内的数据交互与共享的同时，必须满足与市级平台实现数据自动交互。3.应用支撑门户平台应用支撑服务平台提供市、县级应用涉及的应用集成、技术支撑、安全服务、运行监控等领域的软件服务集合，以标准协议并集群方式提供服务，供各业务信息系统连接使用。对于没有标准协议或无法以集群方式提供集中服务的公用软件平台，将确定所使用软件平台的品牌和版本，需要使用的业务系统分别独立安装使用。对于非公用软件平台或组件，由各业务信息系统自行决定使用。（1）必须是城域网共享版，B/S架构，采用Oracle或DB2大型数据库,松散耦合型。（2）必须按照市、县（区）、教管中心、学校四级配置使用和管理权限，以保证能与上级平台实现数据的正常交互。（3）在平台登录首页公开应用平台的标准化接口，方便和满足符合接口定义的各类应用系统（含第三方软件）与基础平台整合、实现数据共享。（4）具有强大的异构管理功能，能满足县区在建设本级数字化应用（私云）平台时，提供全局统一业务支撑服务、安全支撑服务、数据支撑服务、技术服务组件、运行支撑等，实现包含对新建应用系统和例如重庆市中小学教学设备管理系统等已建系统的无缝整合和资源共享、承载上级平台的核心应用、汇聚下级平台的各类数据，从而实现基础数据库的标准化建设及共享、实现在统一门户平台上的统一身份认证、单点登录、编码管理、代码管理、时间服务、统一电子认证、电子印章、基础数据服务等。超级管理员可以自主添加或删除或隐藏显示第三方WEB应用软件；普通账户也可以自助超级链接第三方WEB应用软件。（5）基础平台的登录账户必须且只允许在新增单位、教师或学生信息时自动产生；账户分为四类：单位账户、教工账户、学生账户、家长账户；登录账户分别为单位代码、教工或家长身份证号码、学生学籍号，用户登录后可以捆绑辅助账户，满足用户对登录账户的使用习惯；采用单点登录环境和统一身份认证。（6）能无缝接入重庆市公共教育资源学脉网、重庆市中小学教学设备管理系统等核心应用，实现相关数据的自动上报。（7）必须嵌入在线编辑WORD组件和通过公安机关评测的电子签章系统，以保证电子签名、签章的合法性及安全性。（8）嵌入物联网接口：满足二代身份证阅读器、指纹识别仪、网络指纹考勤机、激光条码枪等即插即用。4.基础数据库管理与服务系统教育基础信息数据库管理与服务功能，应当完成教育基础信息数据库和教育基础信息共享中心的建设，建立恰当的治理和管控机制，推进教育基础信息数据库的持续应用，保障教育基础信息数据能够稳定、有序地运行，为教育管理业务、教育决策支持提供有效的数据支持。提供接口、工具支持数据资源的共享与应用，让无缝整合到平台上的各类子系统实现对单位、部门、职务、角色、年级、班级、教工、学生等基础数据的共享，同时，通过标准接口实现与上级平台基础数据的自动同步。各下级基础信息数据库与服务系统，必须与市级对应平台实现数据自动交互。5．数据库平台建设数据库平台是为了实现对数据中心各类资源的合理配置和有效使用，数据库管理系统选用Oracle（带RAC）或DB2。数据库平台应为教育部门、学校和各个应用提供高度安全、可靠的数据平台，在此平台上可以有效地开发和使用一系列功能丰富的解决方案，以满足客户的业务需求，包括商业智能应用程序、服务器整合及合规性。6．虚拟化软件虚拟机(VirtualMachine)技术，是将不同品牌不同型号的多个物理服务器捆绑后统一分配（即虚拟池化），提升物理服务器整体承载运行能力，避免硬件资源分配不均，最大化的共享硬件、软件许可证以及管理资源。建议WEB服务器、应用和中间件服务器、管理类服务器采用服务器虚拟化平台设计，数据库服务器不得采用虚拟服务器。7．网络运维管理平台分布式部署要求资源拓扑、告警、性能等功能模块支持多服务器分布式虚拟化部署，可实现负载分担。用户分权管理可以为不同的管理员设置不同的用户名、密码，并限制管理员的管理权限和管理范围，实现用户分权管理。多平台支持支持Windows、Linux平台及MSSQL、Oracle数据库，支持B/S架构。支持自定义用户主页管理员可以首页中通过拖拽，自定义需要在首页展示页面。自动发现拓扑自动发现网络中的所有网络设备，并在拓扑中显示出来，支持拓扑图自定义修改，包括设备、链路等。（五）应用软件建设1．教育管理公共服务平台按照国家教育管理公共服务平台“两级建设，五级应用”的建设要求，重庆市教育管理公共服务平台应包括学生管理、教师管理、学校资产及办学条件管理、教育规划与决策支持、其他业务管理等五大类共20个管理信息系统（见下表）由教育部统一规划和建设，部、省两级独立部署，区县平台接入应用。大类信息系统部署模式部署时间教育规划与决策支持类系统EIS0101教育规划与建设系统教育部、省，区县接入应用。2013年下半年EIS0102教育统计系统教育部、省，区县接入应用。2012年9月EIS0103教育决策支持服务系统教育部、省，区县接入应用。2014年学生管理类信息系统EIS0201学前教育幼儿管理系统二期部、省两级部署网络版系统，区县接入应用。2013年3月EIS0202中小学学生管理系统一期营养餐试点县与学校部署采集系统2012年8月EIS0203中职教育学生管理系统教育部、省，区县接入应用。2013年下半年EIS0204高等教育学生管理系统教育部、省，区县接入应用。2013年下半年EIS0205学生资助管理系统教育部、省，区县接入应用。2013年下半年EIS0206学生体质健康标准管理系统教育部、省，区县接入应用。2013年下半年教师管理类信息系统EIS0301教职工管理系统教育部、省，区县接入应用。2013年下半年EIS0302教职工管理专项业务系统教育部、省，区县接入应用。2014年学校及资产管理类信息系统EIS0401学前教育学校及资产管理系统二期部、省两级部署网络版，区县接入应用。2013年3月EIS0402中小学学校及资产管理系统教育部、省，区县接入应用。2014年EIS0403中职教育学校及资产管理系统教育部、省，区县接入应用。2014年EIS0404高等教育学校及资产管理系统教育部、省，区县接入应用。2014年其他业务管理类信息系统EIS0501政务与办公系统教育部、省，区县接入应用。2014年EIS0502语言文字服务与管理系统教育部、省，区县接入应用。2014年EIS0503科技评价与专利服务系统教育部、省，区县接入应用。2014年EIS0504国家教育考试考务管理与服务系统教育部、省，区县接入应用。2014年EIS0505教育涉外管理系统教育部、省，区县接入应用。2014年根据渝教科〔2013〕11号《关于加快推进教育信息化重点工作的通知》：各区县要以‘重庆市中小学数字校园管理平台’为基础，积极建立本区县的教育管理公共服务平台，实现与重庆市教育管理公共服务平台的数据对接与共享，为全市教育行政管理和决策提供支撑和服务。因此，我县需要在无缝接入教育部以上核心应用系统的同时，建设如下地方特色管理服务系统：（1）中小学教学设备管理系统在不丢失我县已有数据的前提下，以我县城域网基础支撑门户平台为基础，无缝接入重庆市中小学教学设备管理平台（WEB版），实现单点登录、数据共享、自动上报。包括基本信息（学校基本信息表、市县基本信息表）、装备标准（政策文件、配备标准、配备目录）、日常管理（采购申报、入库登记、入柜管理、调拨管理、核销管理、常规管理、资产转移）、数字校园建设管理、薄改项目建设管理、实验教学管理、统计报表、差缺分析、数据查询、数据上报。（2）教育教研视频会议系统教育教研视频系统建设的目标，是以教育主管部门为中心，与下级单位之间实现同步视频会议、视频培训交流、视频教学教研等功能；即时通讯功能，提供树形组织机构管理，以人为单位点对点文字、音视频、数据、文件传输、日程管理、快捷标签等功能，参会者通过内网参加会议，也可以通过互联网接入参加会议，还可以通过电话接入参加会议。任何一个会议终端均可作为主会场，向全县开会，同时可召开多个不同内容的会议（即分组或分片开会），能点对点进行教学活动。（3）教育GIS信息系统教育GIS系统是以电子地图为依托，通过教育数据交换与共享平台，动态加载并显示相关地理区域内教育信息的分析系统。该系统具有地理信息和教育信息自动采集、存储、管理、处理、检索、分析和表达能力。通过对地理数据和与地理空间相关的教育信息集成、存储、检索、操作和分析，生成并输出各种地理教育信息，实时展示我县教育现状以及教育资源的分布情况，为教育行政、决策分析提供真实可靠的理论数据。2．教育资源公共服务平台按照教育部关于资源公共服务平台建设要求，搭建好我县“教育资源公共服务平台”。平台将整合国家农远工程资源、国家基础教育资源、本市名校名师和特色资源等优质教育教学资源，引进优质教育资源，建立优质资源的遴选、入围和应用机制，为我县和学校师生提供优质教育资源服务，主要建设内容包括：无缝接入重庆市教育资源公共服务平台（学脉网）、重庆市中小学数字图书馆，并新建优质教学资源、网络学习空间等资源系统。3．校园综合信息管理系统中小学“数字校园”管理平台应用系统由教育管理、教务管理、教学应用、教育服务等四类应用软件构成。教育管理包括办公OA、学籍管理、教师管理、教学设备管理、资产管理等；教务管理主要针对中小学课表管理、考试设置、成绩统计与分析等教务事务进行信息化管理。教学应用包括教学资源管理与应用、图书管理与数字图书馆、教师备课等信息化管理系统。教育服务针对中小学师生消费、图书借阅、家校互联等事务进行信息化管理。（1）教委管理平台对辖区学校办学类型、单位类别、所在地城乡类型、学校单位层次、学校性质、负责人等进行管理。对区域所有学校进行信息化管理，为大规模统计分析提供便利的数据基础。基层单位的数据不再需要按月汇报，上级管理部门可随时通过系统进行统计汇总。统一数据平台，降低了购置成本。数据信息和业务实现规范化管理。学生信息从小学入学到高中实现统一规范管理，全面真实的数据实现公平教育的基础。（2）学校平台班主任、科任教师、各部门人员、校长等学校所有教职工利用统一软件平台；实现数据自动交互、统计；业务自动流转；软件操作权限与每个人实际工作一致；课件、教案、文档等资源实现共享；历史信息有据可查，数据一次录入重复使用；学生通过网络选课、查询学校信息和个人信息；家长通过网络与学校进行信息交互；为校长做出决策提供科学依据。（3）教务管理教务管理系统是基于重庆市中小学“数字校园”管理平台的技术框架，参照教育部《教育管理信息化标准》中的《普通中小学校管理信息标准》以及众多学校在教育管理过程中的实际需求，而设计、开发的一套适合重庆市中小学的教务管理系统。（4）教师管理教育主管部门实现的功能：可以统计、查询下属学校（单位）的教师的各种基本信息、业务信息、奖惩考核、人事异动、职称等信息。可根据姓名、部门等条件灵活查询和输出各种人事统计报表。（5）学生管理住读生管理、学生处分信息、学生操行评定信息管理、学生日常记事、学生品德评语管理、学生奖励信息管理、成长过程记录、素质评价。（6）成绩管理可方便地查询、打印、导出学生成绩。提供了对某年级各班级成绩的分析功能，可分析各班成绩的平均分、及格率和优秀率。分析某模块成绩各分数段的人数，组距可由用户自定义。（7）质量分析教育教学评价是贯穿课程改革、素质教育全过程的重要内容，对教师的教学质量和学生的学习质量进行科学、及时、有效的评价反馈，是引导教师改进教学方法、提高学生学习成效的重要手段，也是教育行政部门、教育科研单位、中小学校着力研究的重要课题。（8）总务管理学校总务后勤统一管理，处理报修事项、学校资产和物品采购、宿舍管理、车辆管理、查询统计校产信息；查询统计设备库存量。（9）工资管理结构工资管理、绩效工资、各种津贴管理，全校统计汇总查询分析、个人工资清单查询等。（10）办公管理办公OA系统通过提供用户一个虚拟化的桌面办公中心，进行日程、信息的管理，可以维护用户组、地址薄，发送相关信息给本单位用户或外单位用户。为区教委及下属单位（包括直属单位和学校）创建一种协同办公的环境，实现上下级单位之间或者同单位不同部门之间的公文编辑、流转、处理、收发、管理。使各种公文处理都可以通过计算机网络进行，全面提高工作效率，增强协同工作能力，逐步实现无纸化办公。（11）填报统计用于教委或者学校随时自定义表单，让下级单位在线填报，并自动汇总成所需要的统计报表系统。主要包含了模版管理、材料信息设置、上交材料、材料共享。（12）校本资源资源管理系统是针对当前资源建设中的内容匮乏、内容雷同、信息孤岛现象、缺乏统筹规划等问题现状而提出的资源建设全面解决方案。用户可以通过互联网使用重庆市中小学资源管理系统上传、下载资源，方便快捷的实现资源建设。分布式的部署结构，使资源信息分流的同时实现信息共享。（13）数字校园管理平台运行监控系统数字校园管理平台运行监控系统，是对整个平台应用效果进行监控，包括对各部门信息监控、教师信息监控、年级班级监控、用户信息监控、用户密码重置、校本资源监控、教学计划监控、教学总结监控、教师任课监控、学生信息监控、家庭信息监控、通知通报监控、新闻稿件监控、校园风采监控、书香校园监控等等。（14）书香校园书香校园建设包括以下内容：图书分类设置、图书信息管理、读书活动管理、读书活动书目、读书活动评论、活动参与人员、征文作品管理、征文作品评论、学校书香统计、图书册数统计、读书活动统计、阅览室、组织机构、读书活动、热门图书、书架-他们正在读、书架-最新上架、活动-读书进行时、活动-往期回顾、我的收藏、我的推荐。（六）技术保障与运维队伍建设1．组织机构和职责根据国家教育管理信息系统的建设范围和数据集中模式，系统运维管理体系应采用省、市（州）及县（区）三级运维管理组织架构，自上而下，层次清楚，职责明确。运维组织机构的基本设置要求如下：（1）设立各级运维管理部门，负责本级教育数据中心的总体运维管理和组织协调工作。（2）设立具体的运维职能岗位，负责本级教育数据中心的日常运维管理和用户支持工作。（3）可以外包部分服务：总揽应用平台的售后，并提供后期运维技术支撑。2.部门和岗位职责（1）县（区）运维管理部门月县（区）运维管理部门负责本级数据中心的运维管理工作，同时为各学校提供系统运维管理及使用方法培训、指导服务。（2）学校运维管理部门学校采用直通模式远程接入县（区）城域网数据中心，实现云资源的共享应用。学校级运维管理部门主要负责培养本校师生信息技术应用习惯和应用能力，实现本校在教学及管理中的网络化应用。3.数据中心运维管理队伍信息化基础设施运维服务队伍建设的主要工作目标是建立稳定的核心运维队伍，在专业结构和人员层次上满足实际运维工作的实际要求。在专业结构方面，强化对核心运维人员的专业培训，并通过实际工作的锻炼逐步增强专业能力。根据基础设施的实际配置和未来发展预期，以及保持运维服务水平对运维队伍专业结构和知识更新的要求，制订和实施核心运维管理队伍的培养计划。（七）信息安全体系建设1.信息安全保障体系总体要求（1）信息系统安全等级保护信息系统在设计规划、建设和运行的整个生命周期中应根据国家信息安全等级保护制度，开展并落实信息系统定级、备案、等级测评、建设整改和监督检查等工作，并根据《信息系统安全等级保护基本要求》（GB/T22239-2008）和相关标准进行安全保障体系建设。（2）总体安全保障机制数据中心建设应采用纵深防御的安全保障机制，确保核心数据资源的安全保护。核心数据要建立核心存储区域，在网络纵深防御的最里层，逐级建立面向交付的数据库服务区、应用服务区、前置服务区和对外服务器区域，根据总体的信息安全方针和策略，从基础设施、平台应用和服务交付等各层面综合保障数据中心的安全。2.安全保障框架根据数据中心的总体安全保障机制，结合国家信息安全等级保护基本要求，与数据中心整体技术框架相配合，建立相配套的安全保障体系框架。3.信息安全方针策略数据中心应结合整体信息安全要求，实现“积极防御、主动防护”，并建立符合国家信息安全等级保护三级要求的总体安全策略，实现信息系统安全机密性、完整性、可用性、可控性和不可否认性的安全目标。4.基础设施安全（1）物理安全数据中心机房的总体要求进行安全建设，机房应根据国家《电子信息系统机房设计规范》（GB50174-2008）等相关标准建立门禁、消防报警、环境动力设施监控管理、视频监控、防雷击和防静电等措施，做好符合要求的电力供应，关键基础设施、设备和磁介质应通过部署防电磁屏蔽机柜等措施建立电磁防护机制。（2）网络安全——网络结构安全数据中心应根据承载数据的规模、应用系统的重要程度、数据中心的业务和服务功能等划分不同的安全域。安全域应包括应用服务器三级区域、数据库服务器区域、数据存储区域、前置服务器区域、网络安全管理区域和对外服务区域等，根据“业务资产重要程度相似、业务风险等级相似”等原则进行安全域划分。——网络核心安全数据中心网络核心应确保网络数据的处理性能和业务连续性，保障核心业务数据的网络资源冗余，并具有硬件冗余备份机制。——网络汇聚安全在网络汇聚安全中应通过ACL、防火墙实现访问控制机制，确保重要服务器区域之间的安全访问，建立与业务逻辑访问关系相一致的网络访问控制策略，并针对三级区域汇聚边界设置网络入侵检测、网络安全审计等配套安全措施。——网络接入安全网络接入分为互联网接入、教育系统专网接入、第三方接入以及内部服务器和终端接入。互联网边界应建立具备冗余机制的边界隔离措施，例如防火墙、防病毒网关、入侵防御等，或具备综合防护能力的统一安全网关。同时根据互联网可能发生的安全威胁合理部署抗DOS攻击、负载均衡、带宽管理等措施。教育系统专网包括教育城域网、教育科研网的专网接入，应至少部署防火墙、入侵检测和网络安全审计等措施。其他第三方接入应根据接入的重要程度形成统一的第三方安全解决区域，部署网络接入边界的防火墙、入侵检测和网络安全审计等措施。内部服务器和终端接入，在每个网络接入边界应部署用户安全接入系统，控制远程用户的安全接入，并确保与远程接入系统服务之间的安全传输和访问。——网络传输安全数据中心承载的三级信息系统通过互联网进行远程传输时，包括与省县级、部级信息系统的数据传输、区县与各学校级信息系统的数据传输等情况，应根据实际情况部署IPSECVPN或SSLVPN等通信传输加密措施，确保网络传输过程的安全性。（3）主机安全数据中心服务器主机应建立备份冗余机制，保障系统的持续稳定运行，针对核心重要信息系统应采用主机安全加固系统，建立“三权分立”的访问控制机制，确保系统最小化的访问控制配置实现。核心服务器应确保采用两种以上的身份鉴别机制，与PKI/CA系统进行结合，运维管理可配合堡垒主机，确保实现细粒度的访问控制、敏感信息加密以及日志审计功能。一般级别以及重要服务器应采用系统补丁管理和防病毒系统提高系统的防护能力，并通过系统配置优化减少自身的安全隐患。对于操作和使用服务器的业务终端应进行统一的管理，确保业务终端的专业程度，加强终端的自身安全性，包括系统配置优化、防病毒、补丁管理等措施。（4）存储安全重要数据应采用数据隔离机制，确保数据存储区域的安全性、访问的严格控制和数据的严格使用。关键和重要业务数据、鉴别信息和重要管理数据要采用加密存储的方式，确保数据的安全性。数据存储要建立符合数据中心信息系统服务级别的备份恢复机制，确保数据能够在所要求的时限内及时恢复。数据中心三级信息系统的备份恢复要建立异地数据级备份中心，确保每日数据的全备份、异地存储。5.平台及应用安全（1）平台安全数据库系统安全数据库系统安全是指数据库管理系统的安全性，应采用符合整体信息系统数据支撑的数据库系统，能够承载大型数据的结构化处理和存储。数据库管理系统要实现两种以上的身份鉴别机制，对数据库用户进行权限划分，强制职责分离，实现严格的访问控制，并对敏感数据进行加密处理和存储，保障数据的安全性，启动数据库的日志审计功能。中间件安全业务支撑的中间件系统应启动自身安全配置，并采用漏洞扫描等技术方法对中间件进行评估，能够发现潜在的安全隐患，并及时进行加固处理，确保中间件系统的自身安全。提供中间件的原厂商应能够支持中间件版本的升级，持续提供确保其安全性和稳定性的服务。虚拟主机安全虚拟机的体系结构本身可以增强虚拟域操作系统的安全性，应当进行合理的设计，通过虚拟机的管理系统加强虚拟机的隔离机制，并配置支持虚拟化的防病毒、入侵检测等机制。虚拟主机操作系统的运维管理要采用两种以上的身份鉴别机制，严格的访问控制和日志审计功能。（2）应用安全数据中心接入的应用系统应根据软件开发生命周期（SDLC）对应用系统开发进行管理，对应用系统进行整体的安全需求分析、整体的安全体系架构设计，安全编码和安全策略，确保应用系统自身的安全性。应用系统要设计身份鉴别、访问控制、敏感数据加密、抗抵赖和日志审计等安全功能，符合数据中心的整体技术架构，具体安全技术要求可参见《教育服务与监管体系信息化建设项目应用系统开发安全规范》。6.服务交付安全数据中心在进行应用交付和系统服务时，应采用必要的安全服务机制，确保交付和服务的安全性，包括信息安全风险评估、安全加固、应用代码审计、等级保护安全测评和应急响应等。在信息系统的建设和运维过程中，要通过信息安全风险评估、安全加固和应用代码审计等服务对系统进行安全分析，降低系统自身的脆弱性，提升系统的安全保护能力。同时在出现异常问题和事件时，能够通过应急响应的方式及时进行处理和恢复。7.电子认证和应用安全支撑系统应采用电子认证系统，与重要应用系统的身份认证、访问控制、通信安全以及日志审计功能相结合，逐步建立起统一的教育系统信任体系。电子认证和应用安全支撑系统应根据应用系统的实际安全需求，配置必要的电子证书，同时结合数字签名技术实现抗抵赖机制。通过部署RA中心和本地认证网关，实现PKI/CA系统的措施应用，设置单独的安全区域部署相关的系统设备。（1）电子认证系统按照教育部的统一部署，在教育部电子认证系统（CA系统）基础上，建设市级及县级电子认证系统，县县电子认证系统通过建设数字证书注册系统方式实现，并通过教育部电子认证系统（CA系统）签发数字证书，二者逻辑关系如下图：CA系统体系框架数据中心进行证书签发的通信网络应采用加密的方式，确保证书签发和资源访问的安全性。基于县级电子认证系统的证书申请、发放、变更、审核等管理工作应当设置必要的RA操作员、管理员和审核员，全面做好系统的运维管理工作，确保系统的安全性。（2）数字证书应用支撑系统我县信息系统应根据实际安全需求，配置数字证书，同时结合数字签名技术实现身份认证和抗抵赖。通过部署本地身份认证网关、签名验证设备、SSL网关等设备，实现PKI/CA系统的措施应用，设置单独的安全区域部署相关的系统设备。8.安全管理体系（1）安全管理机构各数据中心安全组织应遵循层次化设计原则，分别为信息安全决策层、信息安全管理层和信息安全执行层。设立信息系统安全机制集中管理机构，接受信息安全工作职能部门领导，配备必要的管理和技术人员；负责信息系统安全的集中控制管理，行使防范与保护、监控与检查、响应与处置职能，统一管理信息系统的安全，统一进行信息系统安全机制的配置与管理；适时汇集各种安全机制所获取的与系统安全运行有关的信息；根据应急处置预案作出快速处理；应对安全事件和处理结果进行管理；建立安全管理控制平台，完善管理信息系统安全运行的技术手段；负责接受和配合政府有关部门的信息安全监管工作。（2）人员安全管理对于教育部门内部人员和外部人员，必须结合我县人力资源管理的实际情况，按照等级保护相关要求进行管理，以保证人员管理的可操作性。重点考虑以下两个方面的人员安全管理。内部人员安全管理内部人员管理从人员录用、人员管理、人员考核、保密协议、培训、离岗离职等多个方面都要制定相应的管理制度和规定。建立安全教育和培训制度，定期进行技能考核。外部人员安全管理对于外来人员管理，应包括软件开发商、产品供应商、系统集成商、设备维护商和服务提供商等外来人员，以及临时因业务洽谈、技术交流、提供短期和不频繁的技术支持服务而临时来访的“第三方”人员。而非临时“第三方”人员指因从事合作开发、参与项目工程、提供技术支持或顾问服务，必须在县级教育部门临时工作的“第三方”人员，应制定相应包含访问、安全要求等管理制度。（3）安全管理制度结合各类安全管理要求和数据中心面临的实际安全风险，数据中心应制定必要的信息安全总体方针、策略、安全管理制度和技术规范，内容覆盖安全管理机构、安全管理制度、人员安全管理、系统建设安全管理和系统运维安全管理等相关内容。（4）信息系统建设安全管理数据中心建设安全管理应当与整体的工程管理相结合，落实“同步规划、同步建设、同步运营”的原则，制定信息系统规划、立项、需求分析、设计、建设等方面的安全管理规定。同时要结合信息系统的开发和部署制定相配套的信息系统安全开发和部署的规范，确保信息系统和数据中心建设过程中的安全。数据中心建设过程中必须要加强信息安全等级保护工作，通过对数据中心进行系统定级、备案、整改、等级测评和监督检查等工作落实具体的信息安全等级保护内容。数据中心正式启动和运行前，必须经过专项安全评估并得到专家或程序的认可，才能正式投入使用。现有信息系统或子系统、信息系统设备需要终止运行的，应采取必要的安全措施，进行数据和软件备份，对终止运行的设备进行不可恢复的数据清除，如果存储设备损坏则必须采取销毁措施，并得到相应领导和技术负责人认可才能正式终止运行。（5）运维安全管理数据中心的运维安全管理要实现运维管理体系化，对环境、资产、介质、设备进行综合监控管理，对支撑重