区域教育信息化发展新模式探索与应用研究.ppt

1、党小超 教 授,区域教育信息化发展新模式探索与应用研究,西北师范大学网络教育学院 院 长,西北师范大学网络中心,主 任,提要,3,2,区域教育信息化新模式探索,区域教育信息化机遇和挑战,4,石嘴山教育信息化发展研究,1,区域教育信息化现状及问题,区域教育信息化发展基本模式,独立学校模式,教育城域网建设模式,教育信息化,教育信息化是指在教育领域全面深入地运用现代信息技术来促进教育改革与发展的过程。其技术特点是数字化、网络化、智能化和多媒体化，基本特征是开放、共享、交互、协作。教育信息化是国家信息化的重要组成部分，对于转变教育思想和观念，深化教育改革，提高教育质量和效益，培养创新人才具有深远意义，

2、是实现教育跨越式发展的必然选择。没有教育的信息化,就不可能实现教育的现代化。,1. 区域教育信息化现状,机构内部的软件系统缺少统一规划,机构内部的软件系统 缺少统一规划,信息的上下 流通不畅,资源无法共享,2. 教育信息化存在的问题,问题1：重硬件、轻软件；重工程、轻应用,问题2：建设缺乏统一规划,系统间信息隔离 系统间信息不一致 维护效率低下，系统扩展代价大,问题3：资源不能共享,提要,3,2,区域教育信息化新模式探索,区域教育信息化机遇和挑战,4,石嘴山教育信息化发展研究,1,区域教育信息化现状及问题,1.国家中长期教育发展规划对教育信息化提出了新要求,第十九章 加快教育信息化进程 加快教

3、育信息基础设施建设 加强优质教育资源开发与应用 强化信息技术应用 构建国家教育管理信息系统,2. 教育教学的发展对信息化提出了新需求,教育教学 发展,教师专业能力发展,终身学习理念,教育管理发展,教育均衡发展,学习方式变革,优质资源共建共享,3.新型技术为教育信息化发展提供了新支撑,IPv6技术 无线网络技术 物联网技术 云计算,IPv6技术,IPv6技术,规模剧增与地址匮乏是IPv6出现的直观需求,全球共有互联网用户约10.86亿人，平均普及率是:12 % CNNIC报告显示，截至2010年6月底，中国网民规模达到4.2亿，突破了4亿关口，较2009年底增加3600万人；互联网普及率攀升至3

4、1.8% 以IPv4为基础的互联网络所固有的缺陷日益凸现，安全保障、服务质量与运营管理已成为进一步发展的瓶颈。,1. IPv6,1. IPv6的出现,以IPv4为基础的网络体系局限凸现,1. IPv6,128位的地址空间： IPv6把地址长度从 32位扩展到128位， 并赋予了更科学的层次结构。 简化的协议首部,使得网络层的负担减轻很多，符合高效的原则。 集成了认证和加密机制。 地址自动配置，实现即插即用。 任播(Anycast)功能,为均衡负载等应用提供更合理的解决手段。 支持源路由的选径。,2. IPv6的优势,3. IPv6的应用,基于IPv6的传感器网应用领域 IPv6无线家庭网络 高

5、清晰度IPTV的应用普及 嵌入式IPv6互联网,无线网络,无线网络,1. 无线网络概念,所谓无线网络，是指无需布线即可实现计算机互连的网络。无线网络的适用范围非常广泛，凡是可以通过布线而建立网络的环境和行业，无线网络也同样能够搭建，而通过传统布线无法解决的环境或行业，却正是无线网络大显身手的地方。,2. 无线网络的优点,移动性和自由 任何地方都可以工作 不受线路或固定连接的限制 安装快速简便 不用购买电缆 节省布线时间，不麻烦 容易扩展,4. 无线局域网协议标准,蓝牙规范（Bluetooth） Home RF标准 HyperLAN/2标准 IEEE802.11系列协议,5. IEEE802.1

6、1系列协议,IEEE802.11b IEEE802.11a IEEE802.11g IEEE802.11n 其他相关协议,5. IEEE802.11系列协议,无线标准参考对比表,5. IEEE802.11系列协议,IEEE802.11n 802.11n主要是结合物理层和MAC层的优化来充分提高WLAN技术的吞吐。 主要的物理层技术涉及了MIMO、MIMO-OFDM、40MHz、Short GI等技术，从而将物理层吞吐提高到600Mbps。如果仅仅提高物理层的速率，而没有对空口访问等MAC协议层的优化，802.11n的物理层优化将无从发挥。 就好比即使建了很宽的马路，但是车流的调度管理如果跟不上

7、，仍然会出现拥堵和低效。所以802.11n对MAC采用了Block确认、帧聚合等技术，大大提高MAC层的效率。,5. IEEE802.11系列协议,兼容a/b/g WLAN标准从802.11a/b发展到802.11g，再到现在的802.11n，提供良好的向后兼容性显得尤为重要。 802.11g提供了一套保护机制来允许802.11b的无线用户接入802.11g网络。同样的，802.11n协议提供似的机制来允许802.11a/b/g用户的接入。,物联网,物联网,1. 物联网技术,业界对物联网（IOT：Internet of Things）的通用理解：1、从技术理解 物联网是指物体通过智能感应装置，

8、经过传输网络，到达指定的信息处理中心，最终实现物与物、人与物之间的自动化信息交互与处理的智能网络。2、从应用理解 物联网是指把世界上所有的物体都联接到一个网络中，形成“物联网”，然后“物联网”又与现有的互联网结合,实现人类社会与物理系统的整合，达到更加精细和动态的方式管理生产和生活。,1. 物联网技术,物联网(The Internet of things)的概念是在1999年提出的，它的定义很简单：把所有物品通过射频识别等信息传感设备与互联网连接起来，实现智能化识别和管理。,2. 物联网三个重要特征,1. 全面感知，利用RFID，传感器，二维码等随时随地获取物体的信息 2. 可靠传递，通过各种

9、电信网络与互联网的融合，将物体的信息实时准确地传递出去 3. 智能处理，利用云计算，模糊识别等各种智能计算技术，对海量的数据和信息进行分析和处理，对物体实施智能化的控制,2. 物联网产生的背景,经济危机下的推手 经济长波理论：每一次的经济低谷必定会催生出某些新的技术，而这种技术一定是可以为绝大多数工业产业提供一种全新的使用价值，从而带动新一轮的消费增长和高额的产业投资，以触动新经济周期的形成。 过去的10年间，互联网技术取得巨大成功。目前的经济危机让人们又不得不面临紧迫的选择，物联网技术成为推动下一个经济增长的特别重要推手。 传感技术的成熟 随着微电子技术的发展，涉及人类生活、生产、管理等方方

10、面面的各种传感器已经比较成熟。例如常见的无线传感器（WSN）、RFID、电子标签等。 网络接入和信息处理能力大幅提高 目前，随着网络接入多样化、IP宽带化和计算机软件技术的飞跃发展，基于海量信息收集合分类处理的能力大大提高。,2. 物联网的演进路径,1995年比尔.盖茨在未来之路书中首次提出“物物相联”的雏形，1999年EPCglobal联合100多家企业成立IOT联盟并正式提出物联网概念。10年间，世界各国都在加紧研究。从技术演进视野来看，物联网的发展主要分为四个阶段 ： 第一阶段：大型机、主机的联网 第二阶段：台式机、笔记本与互联网相联 第三阶段：一些移动设备（如手机、PDA等）的互联 第

11、四阶段：嵌入式互联网兴起阶段，更多与人们日常生活紧密相关的应用设备，包括洗衣机、冰箱、电视、微波炉等都将加入互联互通的行列，最终形成全球统一的“物联网”的互联,国外物联网现状,3. 国内外发展现状,1995年,比尔盖茨在其未来之路一书中已提及物联网概念。 2005年11月17日，在突尼斯举行的信息社会世界峰会（WSIS）上，国际电信联盟（ITU）发布了ITU互联网报告2005：物联网，报告指出，无所不在的“物联网”通信时代即将来临，世界上所有的物体从轮胎到牙刷、从房屋到纸巾都可以通过因特网主动进行交换。射频识别技术（RFID）、传感器技术、纳米技术、智能嵌入技术将到更加广泛的应用。 2009年

12、1月，IBM首席执行官彭明盛提出“智慧地球”构想，其中物联网为“智慧地球”不可或缺的一部分，而奥巴马在就职演讲后已对“智慧地球”构想提出积极回应，并提升到国家级发展战略。,国外物联网现状,3. 国内外发展现状,日本u-Japan战略，希望实现从有线到无线、从网络到终端、包括认证、数据交换在内的无缝链接泛在网络环境，100的国民可以利用高速或超高速网络。 韩国也实现了类似的发展。配合 u-Korea 推出的 u-Home 是韩国的 u-IT839 八大创新服务之一。智能家庭最终让韩国民众能通过有线或无线的方式远程控制家电设备，并能在家享受高质量的双向与互动多媒体服务。,3. 国内外发展现状,20

13、04年初，全球产品电子代码管理中心授权中国物品编码中心为国内代表机构，负责在中国推广EPC与物联网技术。4月，北京建立了第一个EPC与物联网概念演示中心。 2005年，国家烟草专卖局的卷烟生产经营决策管理系统实现用RFID出库扫描，商业企业到货扫描。许多制造业也开始在自动化物流系统中尝试应用RFID技术。 2009年月日，温总理在无锡调研时，对微纳传感器研发中心予以高度关注，提出了把“感知中国”中心设在无锡、辐射全国的想法。 江苏省委省政府接到指示后认真落实总理的要求，热情拥抱“物联网”，突出抓好平台建设和应用示范工作。,国内物联网现状,国内物联网现状,3. 国内外发展现状,无锡市则作出部署：

14、举全市之力，抢占新一轮科技革命制高点，把无锡建成传感网信息技术的创新高地、人才高地和产业高地。 2009年8月24日，中国移动总裁王建宙访台期间解释了物联网概念。 2009年9月11日，“传感器网络标准工作组成立大会暨“感知中国高峰论坛”在北京举行，会议提出传感网发展相关政策。 2009年9月14日。国家中长期科学与技术发展规划（2006-2020年）和“新一代宽带移动无线通信网”重大专项中均将传感网列入重点研究领域。,国内物联网现状,3. 国内外发展现状,中科院无锡微纳传感网工程技术研发中心（以下简称无锡传感网中心），是国内目前研究物联网的核心单位之一。 作为“感知中国”的中心，无锡市200

15、9年9月与北京邮电大学就传感网技术研究和产业发展签署合作协议，涉及光通信、无线通信、计算机控制、多媒体、网络、软件、电子、自动化等技术领域，包括应用技术研究、科研成果转化和产业化推广等。 国务院总理温家宝2010年3月5日在十一届全国人大三次会议上作政府工作报告首次提及物联网，指出积极推进 “三网”融合取得实质性进展，加快物联网的研发应用。,4. 物联网发展过程中面临的五个主要技术问题,（1）技术标准问题 世界各国存在不同的标准。中国信息技术标准化技术委员会于2006年成立了无线传感器网络标准项目组。2009年9月，传感器网络标准工作组正式成立了PG1(国际标准化)、PG2(标准体系与系统架构

16、)、PG3(通信与信息交互)、PG4(协同信息处理)、PG5(标识)、PG6(安全)、PG7(接口)和PG8(电力行业应用调研)等8个专项组，开展具体的国家标准的制定 （2）安全问题 信息采集频繁，其数据安全也必须重点考虑。,4. 物联网发展过程中面临的五个主要技术问题,（3）协议问题 物联网是互联网的延伸，在物联网核心层面是基于TCP/IP，但在接入层面，协议类别五花八门，GPRS/CDMA、短信、传感器、有线等多种通道，物联网需要一个统一的协议栈。 （4）IP地址问题 每个物品都需要在物联网中被寻址，就需要一个地址。物联网需要更多的IP地址，IPv4资源即将耗尽，那就需要IPv6来支撑。I

17、Pv4向IPv6过渡是一个漫长的过程，因此物联网一旦使用IPv6地址，就必然会存在与IPv4的兼容性问题。 （5）终端问题。 物联网终端除具有本身功能外还拥有传感器和网络接入等功能，且不同行业需求千差万别，如何满足终端产品的多样化需求，对运营商来说是一大挑战。,5. 物联网工程应用实例城市市政管理应用,5. 物联网工程应用实例城市市政管理应用,5. 物联网工程应用实例农业园林,6. IOT的技术发展趋势,云计算,云计算,1. 云计算基本原理,许多云计算公司和研究人员对云计算采用各种方式进行描述和定义，基于云计算的发展和我们对云计算的理解，概括性给出云计算的基本原理为：利用非本地或远程服务器（集

18、群）的分布式计算机为互联网用户提供服务（计算、存储、软硬件等服务）。这使得用户可以将资源切换到需要的应用上，根据需求访问计算机和存储系统。,云计算平台是一个强大的“云”网络，连接了大量并发的网络计算和服务，可利用虚拟化技术扩展每一个服务器的能力，将各自的资源通过云计算平台结合起来，提供超级计算和存储能力。通用的云计算体系结构如下图所示：,2. 云计算体系结构,2. 云计算体系结构,云用户端：提供云用户请求服务的交互界面，也是用户使用云的入口，用户通过Web浏览器可以注册、登录及定制服务、配置和管理用户。打开应用实例与本地操作桌面系统一样。 服务目录：云用户在取得相应权限（付费或其他限制）后可以

19、选择或定制的服务列表，也可以对已有服务进行退订的操作，在云用户端界面生成相应的图标或列表的形式展示相关的服务。 管理系统和部署工具：提供管理和服务，能管理云用户，能对用户授权、认证、登录进行管理，并可以管理可用计算资源和服务，接收用户发送的请求，根据用户请求并转发到相应的相应程序，调度资源智能地部署资源和应用，动态地部署、配置和回收资源。,2. 云计算体系结构,监控：监控和计量云系统资源的使用情况，以便做出迅速反应，完成节点同步配置、负载均衡配置和资源监控，确保资源能顺利分配给合适的用户。 服务器集群：虚拟的或物理的服务器，由管理系统管理，负责高并发量的用户请求处理、大运算量计算处理、用户We

20、b应用服务，云数据存储时采用相应数据切割算法采用并行方式上传和下载大容量数据。 用户可通过云用户端从列表中选择所需的服务，其请求通过管理系统调度相应的资源，并通过部署工具分发请求、配置Web应用,在云计算中，根据其服务集合所提供的服务类型，整个云计算服务集合被划分成4个层次：应用层、平台层、基础设施层和虚拟化层。这4个层次每一层都对应着一个子服务集合，为云计算服务层次如下图所示：,3. 云计算服务层次,3. 云计算服务层次,云计算的服务层次是根据服务类型即服务集合来划分，云计算体系结构中的层次是可以分割的，即某一层次可以单独完成一项用户的请求而不需要其他层次为其提供必要的服务和支持。 在云计算

21、服务体系结构中各层次与相关云产品对应： 应用层对应SaaS软件即服务如：Google APPS、SoftWare+Services； 平台层对应PaaS平台即服务如：IBM IT Factory、Google APPEngine、F； 基础设施层对应IaaS基础设施即服务如：Amazon Ec2、IBM Blue Cloud、Sun Grid； 虚拟化层对应硬件即服务结合Paas提供硬件服务，包括服务器集群及硬件检测等服务。,4. 云计算应用,云计算的表现形式多种多样，简单的云计算在人们日常网络应用中随处可见，如腾讯QQ空间提供在线制作Flash图片，彩字秀提供的个性文字图片的处理，Googl

22、e Doc和Google Apps、用远程软件进行Office处理。 对于众多的服务，可以将云计算提供的服务细分为以下7个类型： （1）SaaS（软件即服务） 软件厂商将应用软件统一部署在服务器或服务器集群上，通过互联网提供软件给用户。用户也可以根据自己实际需要向软件厂商定制或租用适合自己的应用软件，通过租用方式使用基于Web的软件来管理企业经营活动。软件厂商负责管理和维护软件，对于许多小型企业来说，SaaS是采用先进技术的最好途径，它消除了企业购买、构建和维护基础设施和应用程序的需要，近年来，SaaS的兴起已经给传统软件企业带来强劲的压力。,4. 云计算应用,在这种模式下，客户不再像传统模式

23、那样花费大量投资用于硬件、软件、人员，而只需要支出一定的租赁服务费用，通过互联网便可以享受到相应的硬件、软件和维护服务，享有软件使用权和不断升级，这是网络应用最具效益的营运模式。 SaaS通常被用在企业管理软件领域、产品技术和市场，国内的厂商以八百客、沃利森为主，主要开发CRM、ERP等在线应用。用友、金蝶等老牌管理软件厂商也推出在线财务SaaS产品。国际上其他大型软件企业中，微软提出了Software+SaaS的模式，谷歌推出了与微软Office竞争的Google Apps，Oracle在收购Sieble升级Sieble on-demand后推出Oracle On-demand，SAP推出了

24、传统和SaaS的杂交（Hybrid）模式。,4. 云计算应用,（2）平台即服务 平台即服务PaaS（Platform as a service）是提供开发环境、服务器平台、硬件资源等服务给用户，用户可以在服务提供商的基础架构基础上开发开发程序并通过互联网和其服务器传给其他用户。 PaaS能够提供企业或个人定制研发的中间件平台，提供应用软件开发、数据库、应用服务器、试验、托管及应用服务，为个人用户或企业的团队协作。在云计算服务中，平台即服务包括以下类型服务。 提供集成开发环境。 云服务提供商开发、测试、部署、维护应用程序等服务，满足不同用户需要的不同开发周期和集成开发环境，多用户互动测试，版本控

25、制，部署和回滚。,4. 云计算应用, 集成Web服务和数据库。 支持SOAP和REST的接口，组成多个网络服务，支持多用 户使用不同数据库的平台，协作用户实现云计算设计。 支持团队协作。 平台服务通过共享代码和预定义方式，可以界定、更新和跟踪设计人员，开发、测试、质量控制完成团队协作。 提供实用设备。 以租用方式提供相应设备（如大型集群系统，存储系统等）以端到端方式给用户。,4. 云计算应用,（3）按需计算（Utility Computing） 按需计算，是将多台服务器组成的云端计算资源包括计算和存储，作为计量服务提供给用户，由IT领域巨头如IBM的蓝云、Amazon的AWS及提供存储服务的虚

26、拟技术厂商的参与应用与云计算结合的一种商业模式，它将内存、I/O设备、存储和计算能力整合成一个虚拟的资源池为整个业界提供所需要的存储资源和虚拟化服务器等服务。 按需计算用于提供数据中心创建的解决方案，帮助企业用户创建虚拟的数据中心，诸如Cohesive Flexible Technologies的按需实现弹性扩展的服务器。 按需计算方式的优点在于用户只需要低成本硬件，按需租用相应计算能力或存储能力，大大降低了用户在硬件上的开销。,4. 云计算应用,（4）MSP（管理服务提供商） 管理服务是面向IT厂商的一种应用软件，常用于应用程序监控服务、桌面管理系统、邮件病毒扫描、反垃圾邮件服务等。目前瑞星

27、杀毒软件早已推出云杀毒的方式，而SecureWorks、IBM提供的管理安全服务属于应用软件监控服务类。 （5）商业服务平台 商业服务平台是SaaS和MSP的混合应用，提供一种与用户结合的服务采集器，是用户和提供商之间的互动平台，如费用管理系统中用户可以订购其设定范围的服务与价格相符的产品或服务。,4. 云计算应用,（6）网络集成 网络集成是云计算的基础服务的集成，采用通用的云计算总线，整合互联网服务类似的云计算公司，方便用户对服务供应商的比较和选择，为客户提供完整的服务。软件服务供应商OpSource推出了OpSource Services Bus，使用的就是被成为Boomi的云集成技术。

28、（7）云端网络服务 网络服务供应商提供API能帮助开发者开发基于互联网的应用，通过网络拓展功能性。服务范围从提供分散的商业服务（诸如Strike Iron和Xignite）到涉及Google Maps、ADP薪资处理流程、美国邮电服务、Bloomberg和常规的信用卡处理服务等的全套API服务。,提要,3,2,区域教育信息化新模式探索,区域教育信息化机遇和挑战,4,石嘴山教育信息化发展研究,1,区域教育信息化现状及问题,1. 区域教育信息化发展原则,2. 区域教育信息化发展需要注意的几个问题,摸清家底，明确问题。 目标不能过大，也不能太胆小。知道自己的家底之后，才会有自己有比较明晰的判断，今后

29、怎么发展才有据可依。,2. 区域教育信息化发展需要注意的几个问题,纳入学校整体发展战略 信息化规划一定要纳入到学校本身的发展战略中，要与未来的发展目标和管理模式充分结合。只有这样，才能够真正指导信息化发展，保证信息化整体的发展方向。,2. 区域教育信息化发展需要注意的几个问题,注意可扩展性 信息化规划要注意可扩展性，要能适应IT技术的快速发展，要能适应管理模式与工作模式的不断变化。,2. 区域教育信息化发展需要注意的几个问题,全盘考虑 要把基础设施、应用系统、资源建设、支撑系统以及队伍建设等关键因素全部考虑在内，每一部分怎么做，做什么都要有清晰的判断，多和不同规模、不同程度的高校交流沟通，寻找

30、自己的定位。,2. 区域教育信息化发展需要注意的几个问题,注重队伍建设 要把信息化队伍的建设放在重要地位。充足的人员是成功的保证，注意扩充队伍，培养人才。,2. 区域教育信息化发展需要注意的几个问题,总体来说，教育信息化发展规划的制定要充分体现战略性、全局性和多元性，要有理念的根本转变，更多地关注教育信息化的内涵建设。要进一步树立服务观念，提高服务技术，提升服务水平，明确管理体制，建立评估机制，完善保障机制。进一步加强信息化应用，打造公共服务平台，推进教育信息化、管理信息化和服务信息化。,3.区域教育信息化整体解决方案,1. 教育城域网规划与建设,基础网络建设的技术选择 全面照顾到城域网的容量

31、、扩展性、可靠性以及性价比，在网络骨干技术、网络架构、网络设备、Internet出口设计等方面做出正确联网技术选择。 城域网的安全设计 城域网用户在尽情享受网络带来的巨大便利性的同时，需要保护自身不受侵犯，需要更全面的安全解决方案。,1. 教育城域网规划与建设,多技术融合 教育城域网承担着多重任务，用户可以通过城域网实现远程教学、多媒体网络教室、会议电视等应用，而每种应用对网络、设备、结构均有不同的要求，如何保证这些数据流可靠、有序、高效的进行传输，需要多种网络技术加以保障。 网络规划与管理: 良好的网络规划和管理可以将隐患消除于未然，减轻老师的负担。,白银市教育城域网解决方案示意图,兰州市城

32、关区教育城域网解决方案示意图,2. 区域教育数据中心的统一建设,区域教育云基础平台搭建在统一的数据中心基础之上，体现信息化过程中，以数据资源为核心的重要原则。 数据中心所包含的数据涵盖区域教育信息化过程中所涉及的各类信息，但不是各类信息的简单堆积，而是经过了信息的合理规划，保证了数据的规范性、一致性和实用性。从而实现在整个区域的范围内，教育管理和教学等活动对应的各类数据，以及教学资源的广泛共享。数据中心的数据实行集中的管理和维护，必须经过严格的授权认证，方可由相应的用户或者业务系统引用，而数据又是由具有相应权限的用户或者系统在业务管理的过程中分布、实时提交。在区域内，保障学籍、教师档案、绩效考

33、核等各类数据的一致性，真正意义上实现信息的透明提报，教育云数据中心统一进行安全及其授权管理，保证了核心数据的安全性，减小数据维护的代价。,2. 区域教育数据中心的统一建设,数据中心可满足现有业务的需要，同时可作为未来信息化建设的基础，从而减速信息系统搭建的周期。,2. 区域教育数据中心的统一建设,一、数据中心的技术架构设计与实施 数据中心IT技术体系架构主要包含网络技术体系、主机系统体系、业务系统体系。 网络技术体系结构定义了数据中心信息系统的技术环境和基础结构。数据中心的各种IT资源数量庞大、管理复杂，因此必须通过具前瞻性及经过实践的IT构建策略，采用先进的产品技术，以动态、优化的基础架构改

34、变落后、低效的资源管理，最大化利用资源，提高业务系统的效率和灵活性。,2. 区域教育数据中心的统一建设,主机系统是业务处理的核心资源，也是数据中心风险的集中点。系统主机采用先进的并行耦合系统、中间件耦合系统、数据库共享以及高可用集群、负载均衡等智能化技术，构成高效率、高稳定性、高可靠性的生产环境。 业务系统体系结构采用结构化设计方法，充分考虑统一、开放、灵活的需求，实现在业务战略和技术规划之间的平滑连接，快速响应业务变化的需求。,2. 区域教育数据中心的统一建设,二、数据中心的安全体系建设 建立风险防控责任体系 建设多层次安全技术平台 加强生产运行灾备建设 完善实体安全建设 三、数据中心的管理

35、体系建设 四、数据中心的环保节能考虑,2. 区域教育数据中心的统一建设,五、机房场地建设 机房装修：机房装修主要考虑吊顶、隔断墙、门窗、墙壁和活动地板等。 供电系统：由于数据中心的大量设备需要极大的电力功率，所以供电系统的可靠性建设、扩展性是极其重要的。供电系统建设主要有：供电功率、UPS建设（n+1）、配电柜、电线、插座、照明系统、接地系统、防雷和自发电系统等。 空调系统：机房的温度、通风方式和机房空气环境等。 安全系统：门禁系统、消防系统和监控系统。 布线系统：机房应有完整的综合布线系统，布线系统包括数据布线、语音布线、终端布线。 通信系统：包括数据线带宽、语音线路数目等,3. 区域教育应

36、用系统的“插件聚合式”搭建,基于业务服务库，根据教育局和各学校的具体业务需求，搭建相应的应用系统。业务系统搭建在业务服务库之上，学校的管理模式如果发生改变，只需要对相关业务服务组合方式进行修正，不需对业务系统进行二次开发。基于插件聚合式的搭建方式，可缩短新建应用系统的周期，减小建设风险和投资。,3. 区域教育应用系统的“插件聚合式”搭建,教育应用系统实施过程,3. 区域教育应用系统的“插件聚合式”搭建,在数据中心和业务服务库建设基础上，围绕区域教育管理和教学科研的主体业务，搭建区域教育综合信息管理平台应用系统。建成面向教育管理、教师专业发展、教学资源共享、学校教务管理、学生学籍管理、图书资源、

37、门户网站、领导决策等业务的应用软件，主要包括教学资源管理系统、学生学籍管理系统、教师档案管理系统、教务教学管理系统、学生日常管理系统、教师培训管理系统、绩效考核管理系统、图书资源管理系统、网站集群系统、领导查询系统。,3. 区域教育应用系统的“插件聚合式”搭建,新的应用系统将不再是基于各部门固有功能开发的“基于功能”的旧有模式，而是在全面、系统地分析学校的数据及文本等信息流的基础上以及未来可能的发展趋势上，合理地定义各数据库结构，并给出合理的功能分割及定义（有可能会打破现有的行政职能划分），开发以数据为中心、基于数据流模式的应用系统，最大可能的提高工作效率及质量.应用系统遵循以下开发原则： 先

38、进性及可扩展性 无论在技术上以及管理逻辑上，系统均应体现前瞻性和先进性，可灵活适应学校未来的发展.当学校的行政机构调整或出现其他需求变更时，系统应能通过调整或少量的修改，即可适应新情况的需求，便于系统升级和维护.,3. 区域教育应用系统的“插件聚合式”搭建,开放性和可移植性 系统的开发应能支持软件总线模式，通过软件总线来连接功能模块，系统功能的修改和扩充通过软件模块的插拔来实现，从而构成柔性的、可变的信息系统；系统应在开放的平台上开发（如采用JAVA标准开发工具、ActiveX技术及数据交换上对XML标准的支持），保证应用系统与软件、硬件平台的无关，以支持软件的可移植性；尽量采用组件、Web

39、Service等技术为用户提供统一的数据及操作交互接口.,3. 区域教育应用系统的“插件聚合式”搭建,易操作性 系统向用户提供统一的基于Web的B/S模式操作界面，所有功能的升级都在服务器端解决，并支持远程系统维护. 提供数据的统一性和标准性 所有的数据均应遵守学校的信息标准集，全校的所有部门的信息编码统一，由数据中心统一管理.各系统的所有信息能够实时自动的互连互通，资源得到充分的共享和利用，消除业务部门之间的数据冗余，数据的使用遵循学校制订的原则，哪个业务处室产生的数据就由哪个业务处室维护，保证提供给其他业务处室的数据的完整性和唯一性.,3. 区域教育应用系统的“插件聚合式”搭建,支持统一身

40、份认证 所有的系统均应支持从学校统一的门户认证入口登录，由身份认证系统统一进行身份和权限的认证，将同一个用户在所有应用系统中的权限和身份统一管理和分发，各个应用系统只需保留角色和权限控制，用户相关的数据统一保存在身份认证服务器中，用户和角色的管理可由应用系统自行管理.基于LDAP标准的用户管理和授权体系，由目录服务器和身份认证服务器组成.与用户数据集成层共同组成学校级目录服务系统，并为实现应用间的单点登录提供数据基础.,3. 区域教育应用系统的“插件聚合式”搭建,提供分层次数据资源中心 数据资源中心建设是学校数字化建设的核心工作之一，数据中心采集来自各系统的数据，对数据存储、分发、处理等，并进

41、行安全控制和审计，为保证数据的正确性和安全性，应建立分层次的数据资源.,4.无线网络,标准的选择 在标准的选择上一般会建议采用802.11g，可同时兼容802.11b。对于802.11a的支持可以根据资金和需求情况而定。,4.无线网络,AP的选择 目前无线方案一般分两种。一种是AP本身具备较强的管理功能和可操作性与安全性，系统管理员可以通过命令行或者Web方式对每个AP进行配置，用户的行为受AP控制。一般也将这样的AP称为胖AP。 另外一种AP本身功能比较简单，管理工作由统一的控制器(或具备相关功能的网络交换机)进行管理，包括对AP的配置管理、用户管理都由控制器控制。对于用户来讲，AP可以理解

42、为一个远端虚拟的网络接口。本身并不具备管理功能，只是用于用户的无线网络的物理连接。通常这样的方案也叫做瘦AP方案。,4.无线网络,AP的选择 一般对于规模比较小的无线网络(几个或者十几个接入点)可以选择胖AP方案。这种情况下，系统管理员的维护成本较低，并且虽然单个胖AP的价格会比瘦AP高一些，但是瘦AP的使用要与控制器相结合，将控制器的成本折合到AP中去时，只有当AP的数量达到一定的规模时才会有价格上的优势。 对于大规模的无线网络的部署则建议采用瘦AP的方式。管理员不需要针对每个AP进行配置，只需要在控制器上面制定策略和方案即可，然后控制器会根据设置将配置和策略下发到每个AP。当网络扩展到一定

43、规模时，瘦AP方案在价格上会比胖AP方案有明显的优势。,4.无线网络,信道的管理 在802.11b工作的2.4GHz频段中只有3个互不干扰的无线信道1、6、11。所以在进行无线网络建设时一定要对信道进行规划，否则就会出现信道间相互干扰的问题。总的设计原则是控制用户不要私自架设无线设备而干扰统一部署的无线网络；尽可能地利用不同特性的天线对每个AP的信号覆盖范围进行控制；调整每个AP的功率，做到信号覆盖范围既满足要求又不影响其他AP。,4.无线网络,用户管理 用户管理在无线网的部署中也是非常重要的一个方面。与有线网络不同，有线网需要用户在特定的部署了网线的地方才能够使用网络，对于布线我们是可以控制

44、的，但是无线却不同，只要能够接收到无线信号，用户就可以接入到你的网络中来。所以对用户接入的管理，特别是对安全的控制就显得十分重要。 目前主要采用的无线用户管理的方式有Web、多元绑定(账号、密码、MAC、IP)、PPPoE、IEEE 802.1x，隐藏多SSID等。可以根据对网络的安全性和应用的需求，选择一种或者多种方式并存。,4.无线网络,带宽的管理 与有线网络相比无线网络的带宽是相对较小的。所以如何有效地为用户分配带宽对于无线网而言也是一个重要的问题。这需要通过与用户管理系统结合，根据不同的用户级别设定用户可以使用的最大带宽，同时对不同的应用制定不同的QoS保证，只有这样才能将无线网络的优

45、势发挥出来。这里需要说明的是，如果采用a/b/g的模式，那么a与b/g分别使用两个不同的频率，理论上对外提供的带宽可达108Mbps。,4.无线网络,无线组网方式的选择 建议如有可能，在部署无线局域网时单独组网，将整个无线网单独汇聚到一点后再接入原有的校园网，而不是直接在原有的网络末端直接添加无线网。这样有助于对用户的管理、计费以及安全的控制。 无线网络除方便个人用户直接接入网络外，另一种形式是可以提供点对点和点对多点的网络与网络连接。网络对网络互联使用的设备将不是AP，根据网络是第2层或第3层连接的需要，通过天线系统的配合，可以选用无线网桥或无线路由器。,4.无线网络,无线网络安全七大隐患,

46、4.无线网络,问题一：容易侵入 无线局域网非常容易被发现，为了能够使用户发现无线网络的存在，网络必须发送有特定参数的信标帧，这样就给攻击者提供了必要的网络信息。入侵者可以通过高灵敏度天线从公路边、楼宇中以及其他任何地方对网络发起攻击而不需要任何物理方式的侵入。 解决方案：加强网络访问控制 容易访问不等于容易受到攻击。一种极端的手段是通过房屋的电磁屏蔽来防止电磁波的泄漏，当然通过强大的网络访问控制可以减少无线网络配置的风险。如果将AP安置在像防火墙这样的网络安全设备的外面，最好考虑通过VPN技术连接到主干网络，更好的办法是使用基于IEEE802.1x的新的无线网络产品。IEEE802.1x定义了

47、用户级认证的新的帧的类型，借助于企业网已经存在的用户数据库，将前端基于IEEE802.1X无线网络的认证转换到后端基于有线网络的RASIUS认证。,4.无线网络,问题二：非法的AP 无线局域网易于访问和配置简单的特性，使网络管理员和安全官员非常头痛。因为任何人的计算机都可以通过自己购买的AP，不经过授权而连入网络。很多部门未通过公司IT中心授权就自建无线局域网，用户通过非法AP接入给网络带来很大安全隐患。 解决方案：定期进行的站点审查 像其他许多网络一样，无线网络在安全管理方面也有相应的要求。在入侵者使用网络之前通过接收天线找到未被授权的网络，通过物理站点的监测应当尽可能地频繁进行，频繁的监测

48、可增加发现非法配置站点的存在几率，但是这样会花费很多的时间并且移动性很差。一种折衷的办法是选择小型的手持式检测设备。管理员可以通过手持扫描设备随时到网络的任何位置进行检测。,4.无线网络,问题三：经授权使用服务 一半以上的用户在使用AP时只是在其默认的配置基础上进行很少的修改。几乎所有的AP都按照默认配置来开启WEP进行加密或者使用原厂提供的默认密钥。由于无线局域网的开放式访问方式，未经授权擅自使用网络资源不仅会增加带宽费用，更可能会导致法律纠纷。而且未经授权的用户没有遵守服务提供商提出的服务条款，可能会导致ISP中断服务。 解决方案：加强安全认证 加强安全认证最好的防御方法就是阻止未被认证的

49、用户进入网络，由于访问特权是基于用户身份的，所以通过加密办法对认证过程进行加密是进行认证的前提，通过VPN技术能够有效地保护通过电波传输的网络流量。 一旦网络成功配置，严格的认证方式和认证策略将是至关重要的。另外还需要定期对无线网络进行测试，以确保网络设备使用了安全认证机制，并确保网络设备的配置正常。,4.无线网络,问题四：服务和性能的限制 无线局域网的传输带宽是有限的，由于物理层的开销，使无线局域网的实际最高有效吞吐量仅为标准的一半，并且该带宽是被AP所有用户共享的。 无线带宽可以被几种方式吞噬：来自有线网络远远超过无线网络带宽的网络流量，如果攻击者从快速以太网发送大量的Ping流量，就会轻

50、易地吞噬AP有限的带宽;如果发送广播流量，就会同时阻塞多个AP;攻击者可以在同无线网络相同的无线信道内发送信号，这样被攻击的网络就会通过CSMA/CA机制进行自动适应，同样影响无线网络的传输;另外，传输较大的数据文件或者复杂的client/server系统都会产生很大的网络流量。 解决方案：网络检测 定位性能故障应当从监测和发现问题入手，很多AP可以通过SNMP报告统计信息，但是信息十分有限，不能反映用户的实际问题。而无线网络测试仪则能够如实反映当前位置信号的质量和网络健康情况。测试仪可以有效识别网络速率、帧的类型，帮助进行故障定位。,4.无线网络,问题五：地址欺骗和会话拦截 由于802.11

51、无线局域网对数据帧不进行认证操作，攻击者可以通过欺骗帧去重定向数据流和使ARP表变得混乱，通过非常简单的方法，攻击者可以轻易获得网络中站点的MAC地址，这些地址可以被用来恶意攻击时使用。 除攻击者通过欺骗帧进行攻击外，攻击者还可以通过截获会话帧发现AP中存在的认证缺陷，通过监测AP发出的广播帧发现AP的存在。然而，由于802.11没有要求AP必须证明自己真是一个AP，攻击者很容易装扮成AP进入网络，通过这样的AP，攻击者可以进一步获取认证身份信息从而进入网络。在没有采用802.11i对每一个802.11 MAC帧进行认证的技术前，通过会话拦截实现的网络入侵是无法避免的。 解决方案：同重要网络隔

52、离 在802.11i被正式批准之前，MAC地址欺骗对无线网络的威胁依然存在。网络管理员必须将无线网络同易受攻击的核心网络脱离开。,4.无线网络,问题六：流量分析与流量侦听 802.11无法防止攻击者采用被动方式监听网络流量，而任何无线网络分析仪都可以不受任何阻碍地截获未进行加密的网络流量。目前，WEP有漏洞可以被攻击者利用，它仅能保护用户和网络通信的初始数据，并且管理和控制帧是不能被WEP加密和认证的，这样就给攻击者以欺骗帧中止网络通信提供了机会。早期，WEP非常容易被Airsnort、WEPcrack一类的工具解密，但后来很多厂商发布的固件可以避免这些已知的攻击。作为防护功能的扩展，最新的无

53、线局域网产品的防护功能更进了一步，利用密钥管理协议实现每15分钟更换一次WEP密钥。即使最繁忙的网络也不会在这么短的时间内产生足够的数据证实攻击者破获密钥。 解决方案：采用可靠的协议进行加密 如果用户的无线网络用于传输比较敏感的数据，那么仅用WEP加密方式是远远不够的，需要进一步采用像SSH、SSL、IPSec等加密技术来加强数据的安全性。,4.无线网络,问题七：高级入侵 一旦攻击者进入无线网络，它将成为进一步入侵其他系统的起点。很多网络都有一套经过精心设置的安全设备作为网络的外壳，以防止非法攻击，但是在外壳保护的网络内部确是非常的脆弱容易受到攻击的。无线网络可以通过简单配置就可快速地接入网络主干，但这样会使网络暴露在攻击者面前。即使有一定边界安全设备的网络，同样也会使网络暴露出来从而遭到攻击。 解决方案：隔离无线网络和核心网络 由于无线网络非常容易受到攻击，因此被认为是一种不可靠的网络。很多公司把无线网络布置在诸如休息室、培训教室等公共区域，作为提供给客人的接入方式。应将网络布置在核心网络防护外壳的外面，如防火墙的外面，接入访问核心网络采用VPN方式。,4.无线网络,几种无线网方案 有线无线一体化方案 全面802.11n覆盖方案 无线校园高密度抗干扰方案 端到端IPv6方案,5.面向区域教育