毕红棋 陈露

（1.豫章师范学院现代教育技术中心；2.豫章师范学院继续教育中心）

一、智慧校园建设现状

（一）灵活的资源调度带来了隐蔽的安全风险

随着高校教育信息化的不断发展，大部分业务已经从传统的物理数据中心架构迁移到超融合平台上，极大提升了高校教育信息化业务的上线速度，提升了高校教育信息化业务的稳定性、加快了响应速度，同时显现了潜在的网络安全风险。超融合技术打破了主机之间的物理边界[1]，带来了灵活的资源调度，虚拟业务主机之间的数据交互直接在物理主机内完成，不通过前端安全防御设备，导致原有安全防护手段失效，无法进行有效的安全隔离。

（二）业务安全边界有待加强

校园网是校园极为重要的基础建设，是教育信息化的体现。校园网络安全已经上升到意识形态的高度，严重的网络安全可能会造成资料泄露、信息传递中断，因此，随着网络信息安全形势的变化，有待加强业务系统的安全边界的防护[2]。

（三）不间断业务安全监测的困难

随着高校教育信息化的发展，软硬件的投入不断增加，数据中心的规模不断扩大，大幅提升了信息化工作者的工作量。数据中心的服务器、网络设备、安全设备、业务系统的数量不断增加，给现有的维护人员带来了极大的压力。高校信息中心普遍存在正式编制员工少，聘用员工待遇低，信息化总体工作人员数量低的现象。无法依靠高校自身的力量实现对众多业务系统进行不间断的安全监测，需要找到新的处理方法应对具有针对性、潜伏性、持续性的安全攻击，从而整体提升信息的安全性[3]。

（四）教育信息化发展趋势

随着大数据的出现，物联网的应用，高校教育信息化正在向数字化转型，信息化业务需要高性能，高扩展性，高稳定性的IT基础设施。数据中心和业务系统相对封闭，扩展性较差，新增业务系统的同时需要采购硬件服务器；传统外置存储的扩容成本高、技术难度大，难以实现数据中心资源弹性扩容，因此，云数据中心建设已经成为教育信息化的发展趋势[4]。

二、基于超融合架构的需求分析

（一）满足信息系统等级保护测评三级系统合规要求

教育信息化的应用要求逐步提高，网络覆盖面越来越大，有效利用计算机网络技术可有效提高工作效率。信息技术带来便利的同时，也带来了各种各样的网络安全问题[5]。由于计算机网络所具有多样性、开放性、互连性等的特点，造成网络易受攻击。有来自黑客，也有其他诸如计算机病毒等形式的攻击，具体的攻击是多方面的。

（二）云数据中心建设的难点及必要性

1.基础架构存在的问题

早期数据中心基础架构的扩展性能差，无法实现快速调整资源，新增业务系统时需要采购硬件服务器；随着用户数量逐年增加，对外业务的信息系统在性能瓶颈，导致可靠性降低；传统外置存储的扩容成本高、技术难度大，较难实现数据中心资源弹性扩容[6]。

2.运维与管理的难度系数高

早期应用监控技术应用不广泛，因此早期数据中心建设中没有安全监控平台，无法实现全面的监控管理，运维与管理过程中很难精准定位故障点。

3.云数据中心建设的必要性

云计算（Cloud Computing），是一种近年出现的基于网络的计算模式，通过共享特定的软件、硬件的资源、信息，根据需要供给其他设备使用。基于通用的计算机网络，通过浏览器或Web服务访问云服务器上对应软件、数据。云数据中心有较强的抗风险能力，能提高计算速度，更大程度提升应用服务能力。

三、建设方案

（一）网络拓扑

基于超融合构建的数据中心，硬件部分包括服务器和网络交换机，形成统一资源池。超融合软件、所有的业务虚拟机运行资源池中，存储虚拟化软件统一管理服务器的所有本地磁盘，构建高性能高可靠的存储资源池[7]。超融合技术不仅能为业务提供计算和存储资源，也能实现不同业务的网络区域隔离、集成网络安全模块实现安全管控，还可以实现对VMware集群的纳管。

（二）部署规划

1.计算资源池

计算资源平台作为介于硬件和操作系统之间的软件层，可以采用裸金属架构的X86虚拟化技术，实现对服务器物理资源的抽象，将服务器的处理器、内存储器、输入输出等物理设备转变成可动态管理的逻辑资源。

（1）高可用：为了提升服务器虚拟化系统的高可用性，计算资源池从如下多维度提供了高可用技术，保障业务的稳定性，其中包括故障迁移（HA）、热迁移（Motion）、跨存储热迁移。

（2）极速备份：超融合计算资源平台，将备份系统融合在整体VMP平台，实现简单易用的备份系统，由客户设置自动备份计划，系统管理根据这些设置定期进行自动备份处理，以增强系统数据的安全性，同时增强自动处理事务能力，可以在不处理日常业务的时间里进行此项工作。

（3）高效P2V迁移：通过Convert实现快速的物理机迁移虚拟机，跨平台的虚拟机迁移虚拟机。而整个虚拟化迁移过程不超过5分钟。

（4）高安全性虚拟化平台保障，通过高强度加密的虚拟化文件系统，保证数据安全。通过添加每用户的密钥实现加密功能提高安全性。

2.网络资源池

超融合架构网络资源池帮助数据中心操作员将敏捷性和经济性提高若干数量级。

（1）简化网络结构，节省硬件网络投资。（2）简化网络配置，实现业务自动化调整。（3）高可靠性与高性能并存。

3.存储资源池

存储资源池可以将多个存储设备进行集中管理，通过软件实现动态划分，当设备出现异常时，数据会自动迁移。

（1）横向、纵向线性按需扩展。（2）数据保护和高可用性。（3）高性能SSD缓存技术。

4.分布式存储

（1）备份存储。分布式存储数据保护系统可以提供多种级别的数据保护。对于一般的业务系统，可以采用定时备份的方式进行保护，对于RPO和RTO要求比较高的核心业务系统;为了保证其业务连续性，可以采用是基于数据块的I/O级别的CDP持续数据保护[8]。

（2）网盘功能。分布式存储专有文档云解决方案为可以为全校师生提供便捷的云盘服务，满足移动教学、论文撰写及存档、实验创新等多个教学科研场景。“交钥匙”般的专有服务，不再需要投入专门的维护团队来管理文档云的软硬件维护，大幅降低了学校信息中心的工作负担。

（三）不间断电源的作用

UPS(Uninterruptible Power System)，又称为不间断电源，广泛应用于数据中心机房。不间断电源主要有两种功能：稳压、提供不间断电源。当电路中电压输入正常时，UPS经过设备逆变输出，能够提供稳定性高的电压输出。当市电出现断路时，UPS的电池提供电源，能够保护设备，不会在短时间内停止设备。对于虚拟化设备组成的云数据中心的一个致命弱点是，如果没有UPS等等设备防护，在市电断开后会造成虚拟平台崩溃、数据丢失等，比独立服务器产生异常的概率高很多。因此，建设较早、UPS性能较弱的企事业单位在建设云数据中心时，一定把UPS纳入规划。

四、结语

通过全网安全的等保合规建设以及数据中心的云化建设，可为学校带来如下功能价值：

满足法律规范要求，满足《教育信息化工作要点》《教育信息化“十三五”规划》。加强防御能力、对检测和及时响应能力，满足《网络安全法》、等保2.0的相关安全建设要求。

提升高校安全可视能力，引入人工智能技术，对高校全网的安全进行可视化，实现看得见风险，看得见资产，看得见访问关系，看得见威胁。对校园复杂多样的业务系统核心资产进行自动识别和梳理，如应用软件、用户、设备、内容等。

简化高校安全事件分析过程、响应过程，通过云端分析、人工智能等手段，持续增强对校内潜伏威胁检测能力，包括弱密码、系统威胁等，对未知新型威胁的检测能力，并给出解决方法，通过微信、云端预警提升响应能力，形成安全闭环。