國家教育管理公共服務平臺省級數(shù)據(jù)中心建設指南

國家教育管理公共效勞平臺省級數(shù)據(jù)中心建設指南教育部教育信息化推進辦公室發(fā)布教育部教育管理信息中心編制2023年4月1前言本指南的附錄是技術資料性附錄。本指南由教育部教育管理信息中心提出。本指南由教育部教育信息化推進辦公室負責解釋。i目錄一、引言...............................................1二、建設目標與根本原那么.................................32.1省級數(shù)據(jù)中心的建設目標.............................32.2省級數(shù)據(jù)中心建設應遵循的原那么.......................3三、建設總體要求.......................................43.1滿足應用系統(tǒng)部署和效勞的需要.......................43.1.1承載國家信息系統(tǒng)部署..........................43.1.2承載自建及其他應用系統(tǒng)的部署運行..............53.1.3提供本省教育信息化根底設施云效勞..............53.2形成完善的根底設施環(huán)境.............................53.3符合國家及教育部信息化有關標準標準.................53.4建設集中統(tǒng)一的教育根底數(shù)據(jù)庫.......................63.5構建網絡與信息平安保障體系.........................63.6建立運行維護和技術效勞體系.........................73.7標準省級數(shù)據(jù)中心建設工程管理.......................7四、建設內容...........................................94.1省級數(shù)據(jù)中心分類...................................94.2機房設施...........................................94.3省級教育管理云平臺................................124.3.1總體架構.....................................124.3.2根底設施層...................................134.3.3云平臺管理層.................................214.3.4桌面云效勞...................................234.4公共軟件平臺......................................244.4.1應用公共支撐平臺.............................244.4.2數(shù)據(jù)庫平臺...................................264.4.3密碼平安效勞平臺.............................274.5信息平安保障體系..................................27ii4.5.1信息平安保障體系總體要求.....................274.5.2信息平安方針策略.............................294.5.3平安技術體系.................................294.5.4平安管理體系.................................364.6運行維護與技術效勞體系............................394.6.1機構和職責...................................394.6.2運行維護效勞體系總體架構.....................404.6.3運行維護效勞體系建設內容.....................41附錄一規(guī)劃內容與測算方法及參考案例...................47附錄二統(tǒng)一規(guī)劃的國家信息系統(tǒng)一覽表...................551一、引言教育管理信息系統(tǒng)建設是《國家中長期教育改革和開展規(guī)劃綱要(2023-2023年)》以及《教育信息化十年開展規(guī)劃〔2023-2023年〕》中確定的重要內容，是支撐教育管理現(xiàn)代化、促進教育改革開展的基礎性工程。國家教育管理公共效勞平臺建設是“十二五〞期間的教育管理信息系統(tǒng)建設的核心任務，是“三通兩平臺〞的重點內容之一。其具體內容是建立覆蓋全國各級教育行政部門和各級各類學校的管理信息系統(tǒng)及根底數(shù)據(jù)庫,為加強教育監(jiān)管、支持教育宏觀決策、全面提升教育公共效勞能力提供技術和數(shù)據(jù)支撐。平臺按照“兩級建設、五級應用〞體系進行實施。兩級建設是指在教育部和各省級教育行政部門分別建立中央和省兩級數(shù)據(jù)中心，建設數(shù)據(jù)集中、系統(tǒng)集成的應用環(huán)境；五級應用是指各類教育管理信息系統(tǒng)均同步建設中央、省、地市、縣、學校五級系統(tǒng)，由教育部統(tǒng)一組織開發(fā)，其中中央級系統(tǒng)部署在中央級數(shù)據(jù)中心，省、地市、縣、學校級系統(tǒng)下發(fā)并部署在省級數(shù)據(jù)中心，供中央、各地和學校使用，以上由教育部統(tǒng)一組織開發(fā)的國家教育管理信息系統(tǒng)在本指南中簡稱為國家信息系統(tǒng)。平臺將整合各級各類教育管理信息資源和信息化根底設施，建設包含教育機構、學生、教師和學校資產及辦學條件等各類教育管理與效勞對象，覆蓋國家、各地和學校等多層次的共享的教育根底數(shù)據(jù)庫，以及信息整合、業(yè)務聚合、效勞融合的教育管理信息系統(tǒng)，實現(xiàn)教育行政部門與學校間的數(shù)據(jù)互通和系統(tǒng)互聯(lián)，提升教育監(jiān)管能力與公共效勞水平。國家教育管理公共效勞平臺建設以各地和學校的相關信息系統(tǒng)和數(shù)據(jù)作為根底，需要推動國家信息系統(tǒng)在各地和學校的部署與應2用。國家教育管理公共效勞平臺省級數(shù)據(jù)中心建設是構建“兩級建設和五級應用〞、保證國家信息系統(tǒng)在省級部署與應用的關鍵設施。近幾年各省借助教育信息化工程實施建設了所屬的數(shù)據(jù)中心，但是整體上各省級數(shù)據(jù)中心依然存在著設計不完整，可靠性、可用性、可持續(xù)開展能力嚴重缺乏，專業(yè)化運行維護管理水平需要進一步提高等諸多問題。同時，國家信息系統(tǒng)在各省的部署，需要在設計和運行環(huán)境上〔如數(shù)據(jù)庫平臺、中間件、數(shù)據(jù)采集、地理信息等公共平臺，數(shù)據(jù)交換、平安體系等互聯(lián)互通設施〕提供相應的框架標準，迫切需要在技術層面上進行規(guī)劃與指導。本指南將為各省級教育行政部門在國家教育管理公共效勞平臺省級數(shù)據(jù)中心根底設施、公共軟件平臺、信息平安、技術效勞與運行維護體系等各方面的設計和建設提供指導。3二、建設目標與根本原那么2.1省級數(shù)據(jù)中心的建設目標省級數(shù)據(jù)中心是為本省提供教育管理信息系統(tǒng)運行的云效勞平臺，承載和滿足國家教育管理公共效勞平臺在省級教育行政部門的部署和運行；集成和支撐省本級各類教育根底數(shù)據(jù)庫和各類教育管理信息系統(tǒng)；效勞于所轄區(qū)域內教育行政部門和學校的信息化管理業(yè)務應用，帶動全省教育信息化開展。2.2省級數(shù)據(jù)中心建設應遵循的原那么省級數(shù)據(jù)中心建設應遵循“三項原那么〞。1．實用性和先進性原那么省級數(shù)據(jù)中心建設既要充分考慮實用性，始終面向業(yè)務應用，又要考慮先進性，保持適度前瞻。在進行架構規(guī)劃時，不盲目追求設備的超前采購，在充分考慮應用性能的根底上，保護原有投資。同時要采用成熟先進的理念、技術和方法，適應開展潮流。2．可靠性和穩(wěn)定性原那么省級數(shù)據(jù)中心建設要確保系統(tǒng)運行的可靠性和穩(wěn)定性，要從系統(tǒng)架構、技術措施、設備性能、系統(tǒng)管理、廠商技術支持及維修能力等多方面進行設計規(guī)劃，確保系統(tǒng)運行的可靠穩(wěn)定。3．可擴展性和易維護性原那么省級數(shù)據(jù)中心建設應充分考慮可擴展性和易維護性，適應系統(tǒng)變化要求，盡量降低電力、人力等各方面資源維護費用。4三、建設總體要求3.1滿足應用系統(tǒng)部署和效勞的需要省級數(shù)據(jù)中心首先要承載國家信息系統(tǒng)的部署運行，也要支撐本省自建應用系統(tǒng)及其他應用系統(tǒng)的部署運行，要采取云效勞模式，為本級及所屬各級教育行政部門和學校提供信息系統(tǒng)和數(shù)據(jù)庫存儲與效勞，具體情況如圖1所示。根底設施云平臺中小學學籍管理系統(tǒng)……學前教育管理系統(tǒng)中小學校舍管理系統(tǒng)………………教育部門戶網站內部辦公系統(tǒng)其他綜合效勞系統(tǒng)………………中小學學籍管理系統(tǒng)學前教育管理系統(tǒng)中小學校舍管理系統(tǒng)……教育資源效勞平臺教育教學系統(tǒng)省政府下發(fā)的有關系統(tǒng)………………教育部數(shù)據(jù)中心省級數(shù)據(jù)中心圖1省級數(shù)據(jù)中心承載應用系統(tǒng)示意圖3.1.1承載國家信息系統(tǒng)部署“教育效勞與監(jiān)管體系信息化建設〞工程作為國家教育管理信息化的先導工程，已完成頂層設計。教育部正在統(tǒng)一開發(fā)建設一系列與學生、教師、學校資產及辦學條件相關的系統(tǒng)，并陸續(xù)開始在部〔中5央〕、省兩級投入部署運行(局部信息系統(tǒng)見附錄：統(tǒng)一規(guī)劃的國家信息系統(tǒng)一覽表)。省級數(shù)據(jù)中心必須能夠承載這些信息系統(tǒng)的運行，在設計和建設中滿足這些信息系統(tǒng)的計算、存儲需求。3.1.2承載自建及其他應用系統(tǒng)的部署運行為滿足本省教育信息化的應用需求，省級教育行政部門可以建設自己需要的特定應用系統(tǒng)〔如教育教學相關信息系統(tǒng)、教育信息效勞門戶等〕。省級數(shù)據(jù)中心在保證國家信息系統(tǒng)部署運行的根底上，也要考慮本級教育管理和效勞信息系統(tǒng)的開發(fā)、運行需要。3.1.3提供本省教育信息化根底設施云效勞為統(tǒng)籌本省教育信息化根底設施建設，防止根底設施重復建設，省級數(shù)據(jù)中心在建設時應充分利用云計算技術，搭建云效勞平臺，為本省教育行政部門和學校提供計算、存儲等根底設施云效勞。3.2形成完善的根底設施環(huán)境省級數(shù)據(jù)中心要按照國家信息系統(tǒng)的運行要求，構建機房、網絡、計算、存儲等根底環(huán)境和設施；根據(jù)業(yè)務系統(tǒng)和數(shù)據(jù)中心運行維護和管理的需要，構建根底軟件支撐平臺，包括數(shù)據(jù)庫、門戶、數(shù)據(jù)交換和系統(tǒng)管理等平臺；建立重要系統(tǒng)和業(yè)務數(shù)據(jù)容災備份；為應用系統(tǒng)敏感數(shù)據(jù)建立統(tǒng)一密碼平安效勞平臺，實現(xiàn)敏感數(shù)據(jù)加密存儲和平安訪問；建設與教育部數(shù)據(jù)中心之間的數(shù)據(jù)交換平臺與平安網絡通道，保障部、省兩級數(shù)據(jù)中心間的數(shù)據(jù)傳輸平安。3.3符合國家及教育部信息化有關標準標準省級數(shù)據(jù)中心的建設必須嚴格遵循國家各類信息化標準、規(guī)范，采用教育信息化有關標準標準。包括但不限于以下內容。(1)《國家電子政務工程建設工程管理暫行方法》6(2)GB50174-2023電子信息系統(tǒng)機房設計標準(3)GB50462-2023電子信息系統(tǒng)機房施工及驗收標準(4)GB50311-2007綜合布線工程設計標準(5)GB50312-2007綜合布線系統(tǒng)工程驗收標準(6)GB50395-2007視頻安防監(jiān)控系統(tǒng)設計標準(7)GB50263-2007氣體滅火系統(tǒng)施工及驗收標準(8)GB50394-2007入侵報警系統(tǒng)工程設計標準(9)GB/T20269-2006信息平安技術—信息系統(tǒng)平安管理要求(10)GB/T20984-2007信息平安技術—信息平安風險評估標準(11)GB/T22239-2023信息平安技術—信息系統(tǒng)平安等級保護根本要求(12)GB/T22240-2023信息平安技術—信息系統(tǒng)平安等級保護定級指南(13)GA/T388-2002B計算機信息系統(tǒng)平安等級保護管理要求(14)《教育管理信息標準》〔教技〔2023〕3號〕(15)其他相關技術標準3.4建設集中統(tǒng)一的教育根底數(shù)據(jù)庫省級數(shù)據(jù)中心要建設省本級教育管理和效勞集中統(tǒng)一的教育基礎數(shù)據(jù)庫，縱向貫穿學前教育、中小學教育、中等職業(yè)教育、高等教育和成人教育等各個教育層次,形成上下一致的教育機構、學生、教師〔職工〕、學校資產及辦學條件根底數(shù)據(jù)庫；橫向打通學生、教師〔職工〕、學校資產及辦學條件數(shù)據(jù)，形成全面整合、集中一致的教育管理和決策根底數(shù)據(jù)庫，為各類業(yè)務信息系統(tǒng)提供數(shù)據(jù)效勞。3.5構建網絡與信息平安保障體系省級數(shù)據(jù)中心平安建設，要遵照國家信息平安等級保護相關政策要求和標準標準，遵照教育部有關信息平安的行業(yè)要求和標準標準，7形成覆蓋技術和管理的整體平安保障體系；建設與教育部數(shù)據(jù)中心上下級聯(lián)的平安運行維護、管理、監(jiān)測與預警的技術和工作管理平臺。3.6建立運行維護和技術效勞體系建立運行維護保障體系，實現(xiàn)集中的教育信息化根底設施的運行維護；通過制定配套的數(shù)據(jù)維護、交換、管理制度，實現(xiàn)數(shù)據(jù)采集、使用的標準化。明確責權明晰的運行維護組織機構，建立信息系統(tǒng)運行維護隊伍，實現(xiàn)運行維護和效勞流程化、制度化、專業(yè)化。依托數(shù)據(jù)中心，建設教育管理信息化技術效勞體系，采用多種手段為省本級和所屬地區(qū)的用戶〔下屬教育行政部門和學校〕提供網絡和應用技術效勞、數(shù)據(jù)采集支持效勞。3.7標準省級數(shù)據(jù)中心建設工程管理省級數(shù)據(jù)中心建設工程，按照國家電子政務系統(tǒng)建設管理的有關規(guī)定，從以下幾個方面進行管理。1.機構與職責。省級數(shù)據(jù)中心建設工作明確由本級教育信息化主管部門統(tǒng)籌規(guī)劃與指導和管理，工程建設實施委托相應的教育信息技術部門承當。2.招標管理。省級數(shù)據(jù)中心建設和相關效勞咨詢招標應根據(jù)《中華人民共和國招標投標法》、《中華人民共和國政府采購法》及有關規(guī)定，本著公開、公平、公正的原那么進行招標。3.實施管理。省級數(shù)據(jù)中心建設要建立健全工程管理制度，明確責任，標準實施。按照工程審批部門批復的可行性研究報告、初步設計方案和投資概算實施工程建設，詳細設計方案報教育部教育管理信息中心審核備案；按照信息系統(tǒng)工程監(jiān)理的有關規(guī)定委托具有相應資質的監(jiān)理單位進行監(jiān)理；按照國家有關規(guī)定做好工程建設資料的收集、整理和歸檔工作。84.資金管理。省級數(shù)據(jù)中心建設中，按照國家的法律法規(guī)及有關部門的財務管理規(guī)定使用資金，專賬管理、?？顚Ｓ茫患訌娯攧展芾砼c會計核算,標準賬務設置,建立健全內部財務管理制度；做好固定資產、軟件資產登記與管理工作。5.驗收管理。省級數(shù)據(jù)中心根據(jù)《國家電子政務工程建設工程管理暫行方法》規(guī)定由立項建設部門組織驗收，工程驗收前，需由省級教育行政部門和教育部教育管理信息中心組織，對省級數(shù)據(jù)中心進行符合性評估。6.運營管理。省級數(shù)據(jù)中心建成后，各省級教育行政部門明確省級數(shù)據(jù)中心運行機構，配備相應專業(yè)管理和技術人員，制定和完善相應的運行管理制度，落實運行經費,應加強對省級數(shù)據(jù)中心各系統(tǒng)的日常運行監(jiān)管、網絡和信息平安評估，確保系統(tǒng)的順利運行。由于各省的根本情況不同，省級數(shù)據(jù)中心的建設模式和規(guī)模可能不盡相同，但無論是自建或租賃數(shù)據(jù)中心，都必須滿足本指南的建設總體要求。9四、建設內容4.1省級數(shù)據(jù)中心分類為使省級數(shù)據(jù)中心的建設更有針對性和可操作性，按學生總數(shù)將省級數(shù)據(jù)中心分為A類和B類。學生總數(shù)在500萬人以上的省份的是A類數(shù)據(jù)中心，小于500萬學生的省份數(shù)據(jù)中心為B類數(shù)據(jù)中心。各省數(shù)據(jù)中心分類參考如下表所示〔可根據(jù)實際學生數(shù)量調整〕。表1省級數(shù)據(jù)中心分類參考表西部地區(qū)分類中部地區(qū)分類東部地區(qū)分類內蒙古自治區(qū)B山西省A北京市A廣西壯族自治區(qū)A吉林省B天津市A重慶市B黑龍江省B上海市A四川省A安徽省A江蘇省A貴州省A江西省A浙江省A云南省A河南省A福建省A西藏自治區(qū)B湖北省A山東省A陜西省B湖南省A廣東省A甘肅省B河北省A青海省B遼寧省B寧夏回族自治區(qū)B海南省B新疆維吾爾自治區(qū)B新疆生產建設兵團BA類數(shù)據(jù)中心的機房面積不低于350平方米；B類數(shù)據(jù)中心的機房面積不低于250平方米。4.2機房設施數(shù)據(jù)中心機房建設可根據(jù)當?shù)氐膶嶋H情況，采用自建或租用方式，平安上要求滿足國家信息平安等級保護相關技術要求。10省級數(shù)據(jù)中心建設依據(jù)《電子信息系統(tǒng)機房設計標準》〔GB50174-2023〕將機房建設成為A級電子信息系統(tǒng)機房。省級數(shù)據(jù)中心機房設施建設內容應包括：機房布局設計、電氣子系統(tǒng)、防雷接地子系統(tǒng)、不間斷電源子系統(tǒng)、空調新風子系統(tǒng)、安防子系統(tǒng)、環(huán)境監(jiān)控子系統(tǒng)、綜合布線子系統(tǒng)、消防子系統(tǒng)、機房機柜設備、KVM子系統(tǒng)等。1.機房布局設計按照功能布局分為：數(shù)據(jù)交換區(qū)、數(shù)據(jù)存儲區(qū)、數(shù)據(jù)備份區(qū)、數(shù)據(jù)效勞器區(qū)及監(jiān)控區(qū)等。2.電氣子系統(tǒng)(1)各省級數(shù)據(jù)中心機房設備用電和動力供電分開。電源采用雙路供電，動力供電的設備包括空調、照明、維修插座等。(2)機房內強電走線為下走線方式，橋架均作接地連接。3.防雷接地子系統(tǒng)(1)依據(jù)機房配電的實際情況，機房防雷按照IEC標準進行平安的二級配合保護。(2)機房內金屬天花板、地板、管槽等都要做接地保護，并就近連接到配電箱PE排上。(3)鍍鋅鋼管、金屬軟管、金屬接線盒、金屬線槽外殼等均應進行可靠接地，防止因電源波動較大而干擾設備的正常工作。(4)各省級數(shù)據(jù)中心機房建設工程在大樓外挖溝埋樁、焊接地排，使接地電阻小于1Ω。4.不間斷電源子系統(tǒng)按照機房設備用電量配備UPS設備。5.空調新風子系統(tǒng)11各省級數(shù)據(jù)中心機房建設工程應采取主機房設置精密空調，部分區(qū)域設置商用空調的形式。機房內空調采用N臺使用加1臺備用機的方式。6.安防子系統(tǒng)(1)安防子系統(tǒng)包括門禁系統(tǒng)和監(jiān)控系統(tǒng)。(2)門禁系統(tǒng)主要是在重要的區(qū)域設置門禁，對進出人員進行管理登記。(3)監(jiān)控系統(tǒng)是指在重要的區(qū)域安裝攝像頭，做到監(jiān)控無死角，對機房進行實時監(jiān)控錄像。7.環(huán)境監(jiān)控子系統(tǒng)各省級數(shù)據(jù)中心機房建設工程環(huán)境監(jiān)控系統(tǒng)是對機房的溫濕度、消防、UPS主機、精密空調、配電、漏水等子系統(tǒng)進行全面集中監(jiān)控，并要做到準確定位。應具有本地聲音報警、短信告警功能，支持實時顯示、智能查詢、報表、存儲功能。支持遠程訪問，并要將門禁及監(jiān)控系統(tǒng)統(tǒng)一平臺界面。8.綜合布線子系統(tǒng)各省級數(shù)據(jù)中心機房建設工程每臺效勞器機柜至網絡機柜，承擔信息業(yè)務的傳輸介質應采用光纜或六類及以上等級的對絞電纜，傳輸介質各組成局部的等級應保持一致，并應采用冗余。雙絞線連接到機柜后側的配線架上。同時可以在地板下預留弱電線槽，或者采用機柜上走線方式。各省級數(shù)據(jù)中心機房應配備有效滅火裝置。消防工程所采用的器材和設備必須是經國家指定的檢測中心確認合格的產品。消防系統(tǒng)的設計施工及驗收必須經消防檢測中心確認及驗收。12各省級數(shù)據(jù)中心機房網絡機柜和效勞器機柜采用符合國家有關標準的設備。11.KVM子系統(tǒng)各省級數(shù)據(jù)中心機房建設工程中所配備的KVM系統(tǒng)應具備主要服務器的集中操作控制等功能。4.3省級教育管理云平臺4.3.1總體架構省級數(shù)據(jù)中心的核心根底設施采用云技術構建，通過云效勞模式進行運行，稱為省級教育管理云平臺。在平臺上是公共軟件平臺與應用層?？傮w架構如圖2所示。圖2省級數(shù)據(jù)中心的整體架構圖省級教育管理云平臺要使用符合業(yè)界標準的產品來設計，包括硬件、軟件和應用規(guī)格化來提供簡單可靠、易于部署和管理、便于擴展和升級的IT根底架構，滿足云平臺新建、升級擴容以及統(tǒng)一管控的13需求，通過整合資源，統(tǒng)一規(guī)劃，為各地教育信息化業(yè)務應用與拓展提供重要支撐。省級教育管理云平臺架構包括根底設施層和云平臺管理層。基礎設施層包含網絡、效勞器、存儲藏份、容災備份等。云平臺管理層包含虛擬化管理系統(tǒng)、硬件管理系統(tǒng)、運行維護系統(tǒng)、監(jiān)控系統(tǒng)等，對下提供精細化管理，對上實現(xiàn)統(tǒng)一界面和業(yè)務入口。省級教育管理云平臺至少要滿足以下功能和性能要求：1.能夠為國家信息系統(tǒng)部署、本省的信息系統(tǒng)運行、本地的信息系統(tǒng)應用擴展提供根底環(huán)境；2.具有足夠可以動態(tài)調配的計算、存儲資源，滿足各類信息系統(tǒng)不同頂峰時段的業(yè)務需求；3.能夠為本省內教育行政部門和學校提供動態(tài)和自動的資源使用云效勞；4.保證各類用戶訪問國家信息系統(tǒng)的速度，建議功能使用反響〔等待〕時間小于3秒；5.平安保障措施滿足國家信息平安等級保護三級要求，保障本省自建信息系統(tǒng)的平安。4.3.2根底設施層網絡系統(tǒng)網絡系統(tǒng)要符合國家相關技術要求，提供足夠網絡帶寬容量，承載所有的應用系統(tǒng)運行，同時為數(shù)據(jù)中心運行維護效勞管理提供足夠的工具支持。考慮數(shù)據(jù)中心的平安性，省級數(shù)據(jù)中心網絡拓撲可以參考圖3進行優(yōu)化。在教育部、省之間建立VPN隧道，保障數(shù)據(jù)傳輸平安。14圖3省級數(shù)據(jù)中心網絡拓撲示意圖關于網絡結構設計的說明：1.互聯(lián)網邊界區(qū)基于各省級數(shù)據(jù)中心已有的網絡出口，主要實現(xiàn)網絡出口及出口的平安管理、帶寬管理、負載均衡控制。2.核心交換區(qū)采用核心交換設備保障核心交換能力?？刹捎秒p核心交換設備，以保證核心交換網絡的高可用性。3.終端接入區(qū)省級教育行政部門使用教育信息系統(tǒng)，通過內部網絡端口接入數(shù)據(jù)中心運行環(huán)境，使用終端接入區(qū)，通過終端接入區(qū)經防火墻進入網絡內部。154.前置效勞區(qū)提供Web效勞的效勞器被放置在前置效勞區(qū)，可以增加整個網絡的平安性。在前置效勞區(qū)配合WAF、SSLVPN等設備，加強網絡安全。在前置效勞區(qū)配置應用負載均衡設備實現(xiàn)整個網絡的負載均衡。5.應用效勞區(qū)應用效勞區(qū)主要承載運行環(huán)境內的應用效勞器，包括中間件服務器等。核心區(qū)通過獨立的防火墻設備接入應用效勞區(qū)。6.數(shù)據(jù)庫效勞區(qū)數(shù)據(jù)庫效勞區(qū)承載了運行環(huán)境下所有應用系統(tǒng)的數(shù)據(jù)庫。數(shù)據(jù)庫區(qū)包含一系列的數(shù)據(jù)庫效勞器及存儲設備。在該區(qū)內承載的數(shù)據(jù)庫效勞建議采用高可用集群設計；在該區(qū)域保存的數(shù)據(jù)，建議在存儲設備上保存一份冗余實例，實現(xiàn)數(shù)據(jù)效勞的高可用性。數(shù)據(jù)庫效勞區(qū)通過獨立的防火墻接入核心交換區(qū)。7.網絡管理區(qū)網絡管理區(qū)用于網絡和效勞器、平安設備、存儲等設施的管理操作設施。該區(qū)內包括網絡設備，管理用效勞器，以及網絡和設備管理軟件平臺。效勞器系統(tǒng)省級教育管理云平臺的各類效勞器建議采用效勞器虛擬化平臺設計，利用虛擬化整合物理效勞器，形成各自的效勞器計算池，將業(yè)務遷移到云平臺上，通過資源共享實現(xiàn)資源的動態(tài)調度，到達利用最大化，節(jié)約硬件投資和維護本錢。1．效勞器系統(tǒng)框架16效勞器系統(tǒng)架構以三層架構為主，即由Web效勞器、應用效勞器、數(shù)據(jù)庫效勞器組成，同時配置輔助管理類效勞器。使用負載均衡技術，是實現(xiàn)效勞器架構的可用性和可擴充性的主要手段。這樣效勞器數(shù)量可以根據(jù)信息系統(tǒng)和用戶的增加逐步擴充，每層架構上均配置多臺效勞器，將單個信息系統(tǒng)的計算分散到多個效勞器〔或虛擬機〕，根據(jù)用戶數(shù)量進行動態(tài)調整，以及故障切換。當應用系統(tǒng)增加、負載增大時，可以通過層內橫向的效勞器擴充，滿足應用的效勞器資源需求，可以實現(xiàn)效勞器系統(tǒng)“統(tǒng)一規(guī)劃、分步擴充〞的戰(zhàn)略，提高資金使用效果。2．效勞器系統(tǒng)的規(guī)模和性能效勞器的數(shù)量和單臺計算能力是A類數(shù)據(jù)中心與B類數(shù)據(jù)中心的主要差異化指標之一。同類數(shù)據(jù)中心的效勞器配置也會不同?？蓞⒖急局改细戒浺贿M行測算。效勞器系統(tǒng)至少要滿足以下云效勞的功能和性能要求：〔1〕單臺效勞器、整體效勞器都要分別有足夠的虛擬化容量，能夠實現(xiàn)應用的集群和負載均衡，提供業(yè)務應用系統(tǒng)頂峰的擴展能力，以及系統(tǒng)的動態(tài)遷移能力；〔2〕數(shù)據(jù)庫效勞器具備超大記錄數(shù)據(jù)庫的大訪問量實時處理能力。3．效勞器系統(tǒng)設計省級數(shù)據(jù)中心將承載國家信息系統(tǒng)運行，同時還將承載本地區(qū)信息系統(tǒng)的運行和效勞，以及數(shù)據(jù)中心管理平臺、應用支撐平臺及數(shù)據(jù)庫平臺。效勞器系統(tǒng)主要設計部署于以下區(qū)域：(1)前置效勞區(qū)〔DMZ，DemilitarizedZone〕17所有對外提供效勞的Web效勞器都放置在DMZ區(qū)。一般Web效勞器采用虛擬機〔效勞器〕方式提供效勞。在DMZ區(qū)將效勞器群配置成為一定數(shù)量的虛擬化效勞器。對于不同處理能力需要的業(yè)務系統(tǒng)，分配不同數(shù)量的虛擬化效勞器，適應并發(fā)訪問數(shù)量的需求?？蓪μ囟〞r間的用戶訪問量變化進行虛擬化效勞器使用數(shù)量的調整，實現(xiàn)效勞器資源的最優(yōu)化使用。(2)應用效勞區(qū)應用效勞器主要負責承載應用系統(tǒng)的業(yè)務邏輯層計算，采用虛擬化效勞器方式可有效提高效勞器資源利用率。對于不同業(yè)務處理能力的業(yè)務系統(tǒng)，將分配不同格式的虛擬化效勞器，以滿足計算量要求。(3)數(shù)據(jù)庫效勞區(qū)數(shù)據(jù)庫效勞區(qū)中將放置數(shù)據(jù)庫效勞器，根據(jù)業(yè)務系統(tǒng)處理能力的不同，為不同業(yè)務系統(tǒng)分配不同資源，包括配置不同處理能力的物理效勞器，建立不同級別的數(shù)據(jù)庫效勞。(4)運行維護效勞管理區(qū)數(shù)據(jù)中心運行維護效勞管理區(qū)將包括運行維護效勞器，以及相應的管理平臺。4.Web效勞器Web效勞對效勞器主機的文件訪問或會話數(shù)有較大要求，通常Web效勞對主機CPU的總體要求比擬低，可通過“虛擬機＋負載均衡集群〞的方式提高系統(tǒng)的運行效率和可靠性，實現(xiàn)資源的完整利用和資源的動態(tài)調配。Web效勞器的操作系統(tǒng)根據(jù)國家信息系統(tǒng)部署要求選用Linux或Windows平臺。185.應用、中間件效勞器應用、中間件效勞器與web效勞器一樣，以物理主機虛擬出的虛擬主機提供給用和中間件效勞，采用“虛擬機＋負載均衡集群〞的方式提高系統(tǒng)的運行效率和可靠性，實行資源的完整利用和資源的動態(tài)調配。應用、中間件效勞器操作系統(tǒng)根據(jù)國家信息系統(tǒng)部署要求選用Linux或windows平臺。數(shù)據(jù)庫效勞器根據(jù)應用情況通過數(shù)據(jù)庫本身提供的集群軟件實現(xiàn)數(shù)據(jù)庫的高可用。按應用需求可分核心應用和普通應用、大負載和小負載，并可利用負載均衡技術提高應用效勞器的數(shù)量以提高系統(tǒng)的運行能力。對數(shù)據(jù)庫平臺的選擇，業(yè)內以TPC-C的benchmark值為參考依據(jù)，總體思想表達在CPU的緩存大、系統(tǒng)內存高、并發(fā)任務能力強、機器內部的I/O和總線帶寬大。數(shù)據(jù)庫效勞器采用獨立的物理機部署。數(shù)據(jù)庫效勞器操作系統(tǒng)根據(jù)國家信息系統(tǒng)部署要求選用Linux或windows平臺。建議選擇八路機架效勞器或四路機架效勞器作為數(shù)據(jù)庫效勞器，分別用于大記錄數(shù)據(jù)庫和一般數(shù)據(jù)庫。管理類效勞器主要用于虛擬化管理平臺、平安管理平臺、身份認證系統(tǒng)、網管、運行維護、備份系統(tǒng)等平臺的部署。針對管理類系統(tǒng)部署在同一區(qū)域，采用“虛擬機＋負載均衡集群〞的方式提高系統(tǒng)的運行效率和可靠度性，到達資源的完整利用和資源的動態(tài)調配。19數(shù)據(jù)備份效勞器，由于使用區(qū)域和功能的不同，建議使用物理機。存儲藏份系統(tǒng)1．存儲的數(shù)據(jù)類型與規(guī)模存儲設備是云效勞架構的根底，需滿足各類應用需求。數(shù)據(jù)中心存儲容量的估算應包括結構化數(shù)據(jù)存儲容量、非結構化數(shù)據(jù)存儲容量、虛擬效勞器資源池存儲容量，同時按照在線、高可用冗余、本地備份、遠程容災復制等所需要的存儲容量。存儲容量的測算參照本指南附錄一進行測算。應滿足以下根本功能與性能要求：〔1〕規(guī)劃A類數(shù)據(jù)中心存儲數(shù)據(jù)量至少為100TB，規(guī)劃B類數(shù)據(jù)中心存儲數(shù)據(jù)量至少為70TB；〔2〕配置相應的本地備份設備；〔3〕具備存儲資源池的共享和適時調度功能；〔4〕要求設備具有良好的擴展能力，便于存儲容量的升級能力。2．存儲的類型配置與原那么存儲根據(jù)數(shù)據(jù)和使用類型進行配置。存儲介質的性能選擇應遵循以下原那么：(1)結構化數(shù)據(jù)的數(shù)據(jù)存儲應采用高性能存儲介質；(2)虛擬效勞器存儲池應采用高性能存儲介質；(3)本地高可用性磁盤鏡像復制應采用高性能存儲介質；容災備份系統(tǒng)容災備份系統(tǒng)分為數(shù)據(jù)備份級別和應用容災級別，可分為本地備份和異地備份。20數(shù)據(jù)庫容災備份體系結構設計應遵循以下兩點要求：(1)確保數(shù)據(jù)的隨時可用性及活動備份；(2)降低本錢。針對上述兩點要求，建議采用以下拓撲模式及技術實現(xiàn)數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)備份。圖4省級數(shù)據(jù)中心容災備份系統(tǒng)部署示意圖其他系統(tǒng)的數(shù)據(jù)備份考慮如下：(1)WEB虛擬機可基于IP網絡或磁盤陣列系統(tǒng)的能力，復制原始鏡像到異地；(2)應用效勞器虛擬機可基于IP網絡或磁盤陣列系統(tǒng)的能力，復制原始鏡像到異地；(3)非結構化文件系統(tǒng)可基于IP網絡或磁盤陣列系統(tǒng)的能力，復制全部或局部數(shù)據(jù)到異地；(4)其它暫不考慮數(shù)據(jù)備份設計。3.應用容災21在異地建立各類應用系統(tǒng)和數(shù)據(jù)的完整、實時備份，作為更加完整的容災系統(tǒng)建設，建議逐步完成。4.3.3云平臺管理層云平臺管理層包含虛擬化軟件，虛擬化管理系統(tǒng)、硬件管理系統(tǒng)、運行維護系統(tǒng)、監(jiān)控系統(tǒng)等，對下提供精細化管理，對上實現(xiàn)統(tǒng)一界面和業(yè)務入口，成為云數(shù)據(jù)中心統(tǒng)一管理平臺。云數(shù)據(jù)中心統(tǒng)一管理平臺至少滿足以下功能和性能要求：〔1〕對底層效勞器的計算、存儲等資源池和虛擬化軟件進行管理，實現(xiàn)資源供給與自效勞,提供按需獲取，按量計費的可信賴資源效勞；〔2〕針對管理和運行維護的實際需要，實現(xiàn)云計算效勞的交付、云數(shù)據(jù)中心用戶和流程的管理以及數(shù)據(jù)中心的監(jiān)控；可以對虛擬資源和物理資源進行實時的監(jiān)控和性能查看，并且記錄歷史數(shù)據(jù)；〔3〕與省本級綜合門戶、應用支撐效勞平臺等無縫集成和融合；用戶可以通過自助式效勞門戶，自助的申請資源，在配額范圍內系統(tǒng)可以自動審批并創(chuàng)立該資源；〔4〕業(yè)務運營與計費，維護用戶的資源使用信息和業(yè)務的運營情況，提供報表等數(shù)據(jù)給用戶參考整個云平臺的資源使用情況；〔5〕自動化分析與調優(yōu)，動化分析與調優(yōu)那么是基于資源綜合管理系統(tǒng)的數(shù)據(jù)，通過自學習算法，自適應算法等綜合系統(tǒng)，去判斷系統(tǒng)的性能瓶頸并給出合理化建議，在提前配置的前提下，可以進行一些自動的性能調優(yōu)。云平臺管理平臺的底層可以是開放式的第三方的虛擬化系統(tǒng)或者存儲系統(tǒng)，也可以是國產的虛擬化系統(tǒng)，通過這些底層系統(tǒng)將物理的計算資源，存儲資源和網絡資源整合起來，進行池化和資源管理。22云數(shù)據(jù)中心統(tǒng)一管理平臺功能參考如表下表所示。表2云數(shù)據(jù)中心統(tǒng)一管理平臺功能參數(shù)概述詳細描述綜合門戶、運行維護、應用支撐效勞支持與省級綜合門戶、運行維護平臺、應用支撐效勞平臺等無縫集成和融合廣泛的平臺支持支持當前主流廠商的x86效勞器產品，虛擬機支持當前主流的Windows、Linux32/64位操作系統(tǒng)及系統(tǒng)之上的各種應用。多租戶機制基于策略的用戶控制技術和虛擬交換機的網絡隔離技術，可以保持多租戶環(huán)境下的平安性和可靠性。資源效勞按需獲取終端用戶可以通過Web界面的方式在線自助申請所需的計算、存儲、網絡資源，實現(xiàn)資源的按需獲取。資源效勞按量計費多層次實時的資源使用情況統(tǒng)計，讓用戶精確掌控自身資源和費用使用情況。資源彈性擴充資源可以根據(jù)需要實現(xiàn)多級別的動態(tài)擴充，上到資源池虛擬數(shù)據(jù)中心的資源擴充，下到虛擬機的CPU和內存的動態(tài)擴充，都可以實現(xiàn)無縫動態(tài)的資源彈性擴充。效勞全生命周期管理系統(tǒng)可以涵蓋效勞提供所需的各個環(huán)節(jié)，通常包括效勞的申請和流程管理；效勞的交付和回收；效勞的使用統(tǒng)計和計費；效勞的運行監(jiān)控。多層次的平安保護系統(tǒng)實現(xiàn)從底層虛擬化平臺的平安〔鎖定模式防止通過網絡以根用戶訪問虛擬化平臺〕，網絡平安〔多模式的虛擬交換機配置〕到管理節(jié)點的平安。資源池化通過虛擬數(shù)據(jù)中心的形式為用戶提供資源。通過以邏輯方式將計算、存儲和網絡容量組合成資源池，利用效勞的交付和提供環(huán)節(jié)之間的完全抽象化，更高效地管理資源。多級的資源池通過將虛擬數(shù)據(jù)中心細分為提供者虛擬數(shù)據(jù)中心和組織虛擬數(shù)據(jù)中心，實現(xiàn)了將IT效勞的消費與交付相別離，從而更有效的管理資源。準確的監(jiān)控告警對物理資源及虛擬資源的狀態(tài)進行實時監(jiān)控，自動觸發(fā)告警，通知管理員對問題設備進行處理，提高了數(shù)據(jù)中心的運行維護管理效率。豐富的報表統(tǒng)計提供多層次詳細的報表數(shù)據(jù)，方便用戶概覽資源運行情況和使用23情況。4.3.4桌面云效勞桌面云是云計算的一種應用形態(tài)，通過集中化桌面管理，可提高資源利用率，降低整體擁有本錢。將個人桌面環(huán)境所需的計算、存儲資源集中于中央效勞器上，取代了客戶端的本地計算、存儲資源；中央效勞器的計算、存儲資源同時也是共享、可伸縮的，使得不同個人桌面環(huán)境資源按需分配、交付，總體上降低硬件資源需求。桌面云解決方案在云計算硬件資源和云資源管理及調度、虛擬化平臺的根底上，提供了云終端、接入控制、桌面會話管理等主要組件，以及一體化的云平臺和桌面業(yè)務管理維護系統(tǒng)，整體架構如圖5所示。圖5桌面云架構圖虛擬桌面管理系統(tǒng)的主要構成如下：24(1)“終端接入層〞將遠程桌面輸出到顯示器，以及將鍵盤鼠標輸入傳遞到虛擬桌面。(2)“桌面和應用交付層〞接入網關主要提供兩個功能，一是對WebInterface節(jié)點的訪問提供負載均衡，保障可靠性；另一個功能是對遠程桌面連接協(xié)議ICA(IndependentComputingArchitecture)進行加密和轉發(fā)。(3)“桌面管理系統(tǒng)〞用于對用戶的虛擬機生命周期管理以及連接管理，例如創(chuàng)立虛擬機、分配虛擬機等。(4)“虛擬化及平臺層〞采用業(yè)界先進的虛擬化軟件，在保證物理資源充分利用的同時，可提供高可靠性，打造高效、靈活、平安的云平臺。(5)“硬件資源〞是云平臺的根底，云平臺的硬件主要包括服務器、存儲、網絡以及平安設備。4.4公共軟件平臺4.4.1應用公共支撐平臺應用公共支撐平臺層包括以下幾個方面。實施省級綜合門戶建設，建設省級教育管理公共效勞門戶和教育信息公共效勞門戶。省級教育管理公共效勞門戶要集成省級各應用系統(tǒng)并集成展示教育根底數(shù)據(jù)，實現(xiàn)省級單點登錄。省級教育信息公共效勞門戶要實現(xiàn)公共用戶的數(shù)據(jù)查詢和訪問效勞。由教育部提供數(shù)據(jù)交換平臺，統(tǒng)一部署，實現(xiàn)部、省兩級數(shù)據(jù)中心的數(shù)據(jù)交換。25根底數(shù)據(jù)庫信息共享使用教育部提供的教育根底信息數(shù)據(jù)庫管理與效勞系統(tǒng)平臺。3.應用系統(tǒng)支撐平臺教育部提供與業(yè)務信息系統(tǒng)配套的應用系統(tǒng)支撐平臺，為各省的業(yè)務信息系統(tǒng)提供全局統(tǒng)一根底性支撐效勞，使各應用系統(tǒng)能夠進行有效的整合與協(xié)同，形成各省信息系統(tǒng)統(tǒng)一的公共支撐環(huán)境，與國家信息系統(tǒng)一并部署，可提供省級應用涉及的應用集成、技術支撐、平安效勞、運行監(jiān)控等領域的軟件效勞集合，應用系統(tǒng)支撐平臺有關內容另行作為技術標準印發(fā)。由各省負責應用系統(tǒng)支撐平臺的實施與集成工作。教育部提供教育根底信息數(shù)據(jù)庫管理與效勞系統(tǒng)，由各省負責實施與集成工作。通過該系統(tǒng)建設和實施，建立省級教育根底信息數(shù)據(jù)庫，為業(yè)務系統(tǒng)提供權威、準確、完整有效的數(shù)據(jù)。教育根底信息數(shù)據(jù)庫管理與效勞系統(tǒng)包括五個方面內容：元數(shù)據(jù)管理，支持對數(shù)據(jù)資源目錄的管理；主數(shù)據(jù)管理，支持主數(shù)據(jù)的建設與管理；數(shù)據(jù)質量管理，支持對教育根底信息數(shù)據(jù)庫的質量管理與評估；數(shù)據(jù)服務，提供接口、工具支持數(shù)據(jù)資源的共享與應用；數(shù)據(jù)平安管理，控制數(shù)據(jù)存取和訪問，對教育根底信息數(shù)據(jù)庫的運行狀態(tài)進行監(jiān)控和分析。公共中間件包括應用效勞器中間件、目錄效勞、商業(yè)智能、內容管理、地理信息系統(tǒng)、報表工具、即時消息等，在此根底上構建統(tǒng)一的應用軟件根底運行支撐環(huán)境。教育部提供局部中間件的使用授權〔具體見表5〕。264.4.2數(shù)據(jù)庫平臺建設數(shù)據(jù)庫平臺是為了實現(xiàn)對數(shù)據(jù)中心各類資源的合理配置和有效使用，數(shù)據(jù)庫管理系統(tǒng)選用Oracle和SQLServer。數(shù)據(jù)庫平臺屬于省級數(shù)據(jù)中心的核心平臺，為省級及以下教育行政部門、學校和各個應用提供高度平安、可靠的數(shù)據(jù)平臺，利用數(shù)據(jù)庫平臺，可以幫助各級教育行政部門在可信的平臺上自如地進行伸縮，提高管理和開發(fā)的工作效率。建立于數(shù)據(jù)中心平臺之上的應用系統(tǒng)數(shù)據(jù)庫，對結構化數(shù)據(jù)的存儲主要包括以下需求要素：表3省級數(shù)據(jù)中心結構化數(shù)據(jù)存儲需求因素編號標準說明D1初始數(shù)據(jù)容量系統(tǒng)初創(chuàng)的初始化數(shù)據(jù)量，遷移已有系統(tǒng)的數(shù)據(jù)容量D2數(shù)據(jù)年增量每年新增的數(shù)據(jù)量D3數(shù)據(jù)生命周期在線存儲數(shù)據(jù)量可以根據(jù)數(shù)據(jù)庫中需要保存最近多少年的數(shù)據(jù)進行推算D4近線存儲(NearStore)數(shù)據(jù)量數(shù)據(jù)超出年限遷移出在線數(shù)據(jù)庫，其中哪些年份的數(shù)據(jù)應能快速導回在線數(shù)據(jù)庫以備數(shù)據(jù)查詢D5離線存儲數(shù)據(jù)量超過哪些年份的數(shù)據(jù)根本已不再使用，可以被離線存儲歸檔D6可去除數(shù)據(jù)量哪些數(shù)據(jù)量不再需要存儲歸檔，可以進行刪除處理D7數(shù)據(jù)恢復可容忍喪失的最大數(shù)據(jù)量系統(tǒng)發(fā)生意外情況時，允許損失多長時間內的數(shù)據(jù)，稱為數(shù)據(jù)恢復的RPO(RecoveryPointObjective)D8可容忍的最長數(shù)據(jù)恢復時間允許在多長時間內完成到達RPO要求的數(shù)據(jù)恢復，稱為數(shù)據(jù)恢復的RTO(RecoveryTimeObjective)D9數(shù)據(jù)備份的保存期保存多長時間內的數(shù)據(jù)備份副本，或保存最近多少個數(shù)據(jù)備份副本數(shù)據(jù)庫平臺應支持多個邏輯處理器，并有效地利用一流硬件供應商的多核技術體系，保證數(shù)據(jù)庫平臺的高性能和可伸縮性,為整合更多數(shù)據(jù)源和充分利用硬件資源提高保障。274.4.3密碼平安效勞平臺為解決各應用系統(tǒng)對其核心敏感數(shù)據(jù)信息進行統(tǒng)一加密的需求，保證重要數(shù)據(jù)的機密性、完整性、認證等平安特性，省級數(shù)據(jù)中心需按照教育部的統(tǒng)一要求配備部署密碼平安效勞平臺，實現(xiàn)對應用系統(tǒng)敏感數(shù)據(jù)信息的加密處理，支持國家標準密碼算法，為應用系統(tǒng)提供數(shù)據(jù)加密/解密、數(shù)字簽名/驗證簽名、密鑰管理、訪問控制、密碼設備統(tǒng)一管理等密碼平安效勞。4.5信息平安保障體系4.5.1信息平安保障體系總體要求根據(jù)數(shù)據(jù)中心的總體平安保障機制，結合國家信息平安等級保護根本要求，與數(shù)據(jù)中心整體技術框架相配合，建立相配套的平安保障體系框架，如圖6所示。28圖6省級數(shù)據(jù)中心平安保障體系框架數(shù)據(jù)中心建設應采用縱深防御的平安保障機制，確保核心數(shù)據(jù)資源的平安保護。核心數(shù)據(jù)要建立核心存儲區(qū)域，該區(qū)域位于縱深防御的最里層，逐級建立數(shù)據(jù)庫效勞區(qū)、應用效勞區(qū)、前置效勞區(qū)和對外效勞器區(qū)等平安區(qū)域，根據(jù)總體的信息平安策略，從根底設施、平臺應用和效勞交付等各層面綜合保障數(shù)據(jù)中心的平安。省級數(shù)據(jù)中心和本省運行的信息系統(tǒng)要按照國家信息系統(tǒng)平安等級保護制度和教育部相關文件要求進行定級；從管理和技術兩個角度進行本省網絡與信息平安保障體系建設；設置網絡與信息平安職能部門和崗位，進行人員平安培訓和技能培訓，落實信息平安人員持證29上崗；按照教育信息系統(tǒng)平安等級保護政策要求和技術標準，由教育信息平安等級保護測評中心實施，定期開展信息系統(tǒng)等級測評；建立定期平安檢查機制并配合主管部門和當?shù)毓膊块T做好監(jiān)督檢查。省級數(shù)據(jù)中心應按照第三級信息系統(tǒng)的平安保護要求進行建設。二級系統(tǒng)可通過建立二級系統(tǒng)區(qū)域合理裁剪平安控制。為保障國家信息系統(tǒng)整體平安，省級數(shù)據(jù)中心應建立平安預警與監(jiān)管中心，建設與部級上下級聯(lián)的平安運行維護管理平臺、應用平安監(jiān)測與預警平臺和平安工作管理平臺。信息系統(tǒng)在設計規(guī)劃、建設和運行的整個生命周期中應根據(jù)國家信息平安等級保護制度，同步開展信息系統(tǒng)平安等級保護定級、備案、等級測評、建設整改和監(jiān)督檢查等工作，并根據(jù)《信息系統(tǒng)安全等級保護根本要求》〔GB/T22239-2023〕等國家及行業(yè)相關標準標準進行平安保障體系建設。4.5.2信息平安方針策略省級數(shù)據(jù)中心應結合整體信息平安需求，實現(xiàn)“積極防御、主動防護〞，并建立符合國家信息平安等級保護三級要求的總體平安策略，實現(xiàn)信息平安的機密性、完整性、可用性、可控性和不可否認性的平安目標。4.5.3平安技術體系根底設施平安應根據(jù)數(shù)據(jù)中心機房的總體要求、國家《電子信息系統(tǒng)機房設計標準》〔GB50174-2023〕等相關標準進行平安建設，采取門禁、消30防報警、環(huán)境動力設施監(jiān)控管理、視頻監(jiān)控、防雷擊和防靜電等措施，做好符合要求的電力供給，關鍵根底設施、設備和磁介質應通過部署防電磁屏蔽機柜等措施建立電磁防護機制。(1)網絡結構平安。省級數(shù)據(jù)中心應根據(jù)承載數(shù)據(jù)的規(guī)模、應用系統(tǒng)的重要程度、數(shù)據(jù)中心的業(yè)務和效勞功能等劃分不同的平安域。平安域應包括應用效勞器區(qū)域、數(shù)據(jù)庫效勞器區(qū)域、數(shù)據(jù)存儲區(qū)域、前置效勞器區(qū)域、網絡平安管理區(qū)域和對外效勞區(qū)域等，根據(jù)“業(yè)務資產重要程度相似、業(yè)務風險等級相似〞等原那么進行平安域劃分。(2)網絡核心平安。數(shù)據(jù)中心網絡核心應確保網絡數(shù)據(jù)的處理性能和業(yè)務連續(xù)性，保障核心業(yè)務數(shù)據(jù)的網絡資源冗余，并具有硬件冗余備份機制。(3)網絡會聚平安。在網絡會聚平安中應通過ACL、防火墻實現(xiàn)訪問控制機制，確保重要效勞器區(qū)域之間的平安訪問，建立與業(yè)務邏輯訪問關系相一致的網絡訪問控制策略，并針對三級區(qū)域會聚邊界設置網絡入侵檢測、網絡平安審計等配套平安措施。(4)網絡接入平安。①互聯(lián)網接入?；ヂ?lián)網邊界應建立具備冗余機制的邊界隔離措施，例如防火墻、防病毒網關、入侵防御等，或具備綜合防護能力的統(tǒng)一平安網關。同時根據(jù)互聯(lián)網可能發(fā)生的平安威脅合理部署抗DOS攻擊、負載均衡、帶寬管理等措施。②教育系統(tǒng)專網接入。教育系統(tǒng)專網包括教育城域網、教育科研網的專網接入應至少部署防火墻、入侵檢測和網絡平安審計等措施。③第三方接入。其他第三方接入應根據(jù)接入的重要程度形成統(tǒng)31一的第三方平安解決區(qū)域，部署網絡接入邊界的防火墻、入侵檢測和網絡平安審計等措施。④內部效勞器和終端接入。在每個網絡接入邊界應部署用戶安全接入系統(tǒng)，控制遠程用戶的平安接入，并確保與遠程接入系統(tǒng)效勞之間的平安傳輸和訪問。(5)網絡傳輸平安省級數(shù)據(jù)中心承載的三級信息系統(tǒng)通過互聯(lián)網進行遠程傳輸時，應根據(jù)實際情況，采用適當?shù)耐ㄐ艂鬏敿用艽胧?，確保網絡傳輸過程的平安性。在部省兩級數(shù)據(jù)中心之間進行數(shù)據(jù)傳輸時，應通過IPSECVPN技術措施進行傳輸加密，在數(shù)據(jù)中心效勞器與應用終端之間進行數(shù)據(jù)傳輸時，應通過SSLVPN技術措施進行傳輸加密。(6)其他平安內容省級數(shù)據(jù)中心承載國家信息系統(tǒng)時應設置單獨的網絡區(qū)域，確保系統(tǒng)和數(shù)據(jù)的平安性，但整體平安應與本省自建及其他應用系統(tǒng)共同搭建信息平安保障體系。數(shù)據(jù)中心效勞器主機應建立備份冗余機制，保障系統(tǒng)的持續(xù)穩(wěn)定運行，針對核心重要信息系統(tǒng)應采用主機平安加固系統(tǒng)，建立“三權分立〞的訪問控制機制，確保系統(tǒng)最小化的訪問控制配置實現(xiàn)。核心效勞器應確保采用兩種以上的身份鑒別機制，與PKI/CA系統(tǒng)進行結合，運行維護管理可配合堡壘主機，確保實現(xiàn)細粒度的訪問控制、敏感信息加密以及日志審計功能。各類效勞器應采用系統(tǒng)補丁管理和防病毒系統(tǒng)提高系統(tǒng)的防護能力，并通過系統(tǒng)配置優(yōu)化減少自身的平安隱患。對于操作和使用32效勞器的業(yè)務終端應進行統(tǒng)一的管理，確保業(yè)務終端的專業(yè)程度，加強終端的自身平安性，包括系統(tǒng)配置優(yōu)化、防病毒、補丁管理等措施。重要數(shù)據(jù)應采用數(shù)據(jù)隔離機制，確保數(shù)據(jù)存儲區(qū)域的平安性、訪問的嚴格控制和數(shù)據(jù)的嚴格使用。關鍵和重要業(yè)務數(shù)據(jù)、鑒別信息和重要管理數(shù)據(jù)要采用加密存儲的方式，確保數(shù)據(jù)的平安性。數(shù)據(jù)存儲要建立符合數(shù)據(jù)中心信息系統(tǒng)效勞級別的備份恢復機制，確保數(shù)據(jù)能夠在所要求的時限內及時恢復。數(shù)據(jù)中心三級信息系統(tǒng)的備份恢復要建立異地數(shù)據(jù)級備份中心或采用第三方異地備份效勞，確保每日數(shù)據(jù)的全備份、異地存儲。平臺及應用平安(1)數(shù)據(jù)庫系統(tǒng)平安。數(shù)據(jù)庫系統(tǒng)平安是指數(shù)據(jù)庫管理系統(tǒng)的平安性，應采用符合整體信息系統(tǒng)數(shù)據(jù)支撐的數(shù)據(jù)庫系統(tǒng)，能夠承載大型數(shù)據(jù)的結構化處理和存儲。數(shù)據(jù)庫管理系統(tǒng)要實現(xiàn)兩種以上的身份鑒別機制，對數(shù)據(jù)庫用戶進行權限劃分，強制職責別離，實現(xiàn)嚴格的訪問控制，并對敏感數(shù)據(jù)進行加密處理和存儲，同時啟動數(shù)據(jù)庫的日志審計功能，保障數(shù)據(jù)平安。(2)中間件平安。業(yè)務支撐的中間件系統(tǒng)應啟動自身平安配置，并采用漏洞掃描等技術方法對中間件進行評估，能夠發(fā)現(xiàn)潛在的平安隱患并及時進行加固處理，確保中間件系統(tǒng)的自身平安。保障中間件的原廠商能夠支持中間件版本的升級，持續(xù)提供確保其平安性和穩(wěn)定性的效勞。33(3)虛擬主機平安。虛擬機的體系結構本身可以增強虛擬域操作系統(tǒng)的平安性，應當進行合理的設計，通過虛擬機的管理系統(tǒng)加強虛擬機的隔離機制，并配置支持虛擬化的防病毒、入侵檢測等機制。虛擬主機操作系統(tǒng)的運行維護管理要采用兩種以上的身份鑒別機制，嚴格的訪問控制和日志審計功能。應用系統(tǒng)要設計身份鑒別、訪問控制、敏感數(shù)據(jù)加密、抗抵賴和日志審計等平安功能，符合數(shù)據(jù)中心的整體技術架構，具體平安技術要求可參見有關教育管理信息化建設應用系統(tǒng)開發(fā)平安標準。應用系統(tǒng)進行數(shù)據(jù)采集時，應用系統(tǒng)的數(shù)據(jù)上報終端，應采用SSLVPN、終端認證Key及CA認證證書相結合的方式，保障終端用戶的授權認證及數(shù)據(jù)傳輸加密，并實現(xiàn)SSLVPN與應用系統(tǒng)的用戶身份認證、數(shù)據(jù)上報平安控制和其他功能的集成。效勞交付平安數(shù)據(jù)中心在進行應用交付和系統(tǒng)效勞時，應采用必要的平安服務機制，確保交付和效勞的平安性，包括信息平安風險評估、平安加固、應用代碼審計、等級保護平安測評和應急響應等。在信息系統(tǒng)的建設和運行維護過程中，要通過信息平安風險評估、平安加固和應用代碼審計等效勞對系統(tǒng)進行平安分析，降低系統(tǒng)自身的脆弱性，提升系統(tǒng)的平安保護能力；同時在出現(xiàn)異常問題和事件時，能夠通過應急響應的方式及時進行處理和恢復。電子認證和應用平安支撐系統(tǒng)應采用電子認證系統(tǒng)，與重要應用系統(tǒng)的身份認證、訪問控制、通信平安以及日志審計功能相結合，逐步建立起統(tǒng)一的教育系統(tǒng)信任體系。電子認證和應用平安支撐系統(tǒng)應根據(jù)應用系統(tǒng)的實際34平安需求，配置必要的電子證書，同時結合數(shù)字簽名技術實現(xiàn)抗抵賴機制。通過部署RA中心和本地認證網關，實現(xiàn)PKI/CA系統(tǒng)的措施應用，設置單獨的平安區(qū)域部署相關的系統(tǒng)設備。應按照教育部的統(tǒng)一部署，在教育部電子認證系統(tǒng)〔CA系統(tǒng)〕基礎上，建設省級電子認證系統(tǒng)〔省級RA系統(tǒng)〕。省級電子認證系統(tǒng)通過建設數(shù)字證書注冊系統(tǒng)方式實現(xiàn)，并通過教育部電子認證系統(tǒng)〔CA系統(tǒng)〕簽發(fā)數(shù)字證書，二者邏輯關系如圖7所示。圖7CA系統(tǒng)體系框架省級RA系統(tǒng)為省級信息系統(tǒng)用戶實現(xiàn)證書簽發(fā)和管理，與應用系統(tǒng)的身份認證、訪問控制、通信平安以及日志審計功能相結合，逐步建立起統(tǒng)一的教育系統(tǒng)信任體系。教育部和省級數(shù)據(jù)中心進行證書簽發(fā)的通信網絡應采用加密的方式，確保證書簽發(fā)和資源訪問的平安性。35基于省級電子認證系統(tǒng)的證書申請、發(fā)放、變更、審核等管理工作應當設置必要的RA操作員、管理員和審核員，全面做好系統(tǒng)的運行維護管理工作，確保系統(tǒng)的平安性。省級信息系統(tǒng)根據(jù)實際平安需求，配置數(shù)字證書，同時結合數(shù)字簽名技術實現(xiàn)身份認證和抗抵賴。通過部署本地身份認證認證網關、簽名驗證設備、SSL網關等設備，實現(xiàn)PKI/CA系統(tǒng)的措施應用，設置單獨的平安區(qū)域部署相關的系統(tǒng)設備。平安預警與監(jiān)管平臺省級數(shù)據(jù)中心結合三級信息系統(tǒng)的平安管理要求，應建立統(tǒng)一的平安運行維護管理平臺，能夠實現(xiàn)本地計算環(huán)境、設備、資源的統(tǒng)一平安監(jiān)控、告警、平安事件分析、風險管理、綜合日志審計和工單管理，能夠與中央級平安運行維護管理平臺相對接，實現(xiàn)聯(lián)動，及時上報信息平安事件發(fā)生和處理情況。另外，通過統(tǒng)一的安全預警機制，能夠及時對信息平安事件提出響應和處置建議。省級數(shù)據(jù)中心應配備應用平安監(jiān)測與預警平臺，實現(xiàn)事前漏洞監(jiān)測，進行實時掛馬監(jiān)測、關鍵字監(jiān)測、可用性監(jiān)測、事后篡改監(jiān)測，實現(xiàn)平安事件自動通告、平安勢態(tài)自動跟蹤等功能，能夠與中央級應用平安監(jiān)測與預警平臺對接，實現(xiàn)聯(lián)動，及時上報應用平安漏洞、事件發(fā)生和處理情況。36各省級教育行政部門應建立平安工作管理平臺，實現(xiàn)對信息系統(tǒng)的平安定級備案、差距分析、整改建設、等級測評、監(jiān)督檢查、系統(tǒng)廢止等各項工作的全面管理，支持多種方式的查詢、分析和統(tǒng)計，并能夠與中央級平安工作管理平臺對接，實現(xiàn)聯(lián)動。4.5.4平安管理體系省級數(shù)據(jù)中心平安組織應遵循層次化設計原那么，分別為信息安全決策層、信息平安管理層和信息平安執(zhí)行層。設立信息系統(tǒng)平安機制集中管理機構，接受信息平安工作職能部門領導，配備必要的管理和技術人員；負責信息系統(tǒng)平安的集中控制管理，行使防范與保護、監(jiān)控與檢查、響應與處置職能，統(tǒng)一管理信息系統(tǒng)的平安，統(tǒng)一進行信息系統(tǒng)平安機制的配置與管理；適時聚集各種平安機制所獲取的與系統(tǒng)平安運行有關的信息；根據(jù)應急處置預案作出快速處理；應對平安事件和處理結果進行管理；建立平安管理控制平臺，完善管理信息系統(tǒng)平安運行的技術手段；負責接受和配合政府有關部門的信息平安監(jiān)管工作。對于省級教育行政部門內部人員和外部人員，必須結合各省級教育行政部門人力資源管理的實際情況，按照等級保護相關要求進行人員平安管理。重點考慮以下兩個方面：〔1〕內部人員平安管理。內部人員管理從人員錄用、人員管理、人員考核、保密協(xié)議、培訓、離崗離職等多個方面都要制定相應的管理制度和規(guī)定。建立平安教育和培訓制度，定期進行技能考核?！?〕外部人員平安管理。對于外來人員管理，應包括軟件開發(fā)商、產品供給商、系統(tǒng)集成商、設備維護商和效勞提供商等外來人員，37以及臨時因業(yè)務洽談、技術交流、提供短期和不頻繁的技術支持效勞而臨時來訪的“第三方〞人員。而非臨時“第三方〞人員指因從事合作開發(fā)、參與工程工程、提供技術支持或參謀效勞，必須在省級教育行政部門臨時工作的“第三方〞人員，應制定相應包含訪問、平安要求等管理制度。結合各類平安管理要求和數(shù)據(jù)中心面臨的實際平安風險，省級數(shù)據(jù)中心應制定必要的信息平安總體方針、策略、平安管理制度和技術標準，內容覆蓋平安管理機構、平安管理制度、人員平安管理、系統(tǒng)建設平安管理和系統(tǒng)運行維護平安管理等相關內容。具體可參考圖8。操作手冊和具體系統(tǒng)相結合平安技術標準/標準平安管理標準/制度國家政策要求教育部業(yè)務開展國家標準要求平安評估結果信息平安策略總綱從宏觀策略到微觀操作程序圖8省級數(shù)據(jù)中心平安管理體系框架38信息系統(tǒng)建設平安管理應當與整體的工程管理相結合，落實“同步規(guī)劃、同步建設、同步運營〞的原那么，制定信息系統(tǒng)規(guī)劃、立項、需求分析、設計、建設、測試、集成等方面的平安管理規(guī)定。同時要結合信息系統(tǒng)的開發(fā)和部署制定相配套的信息系統(tǒng)平安開發(fā)和部署的標準，確保信息系統(tǒng)和數(shù)據(jù)中心建設過程中的平安。信息系統(tǒng)建設過程中必須要加強信息平安等級保護工作，通過對信息系統(tǒng)進行定級、備案、等級測評和監(jiān)督檢查等工作落實具體的信息平安等級保護內容。信息系統(tǒng)正式啟動和運行前，必須經過專項平安評估并得到專家或程序的認可，才能正式投入使用?，F(xiàn)有信息系統(tǒng)或子系統(tǒng)、信息系統(tǒng)設備需要終止運行的，應采取必要的平安措施，進行數(shù)據(jù)和軟件備份，對終止運行的設備進行不可恢復的數(shù)據(jù)去除，如果存儲設備損壞那么必須采取銷毀措施，并得到相應領導和技術負責人認可才能正式終止運行。信息系統(tǒng)的運行維護平安管理要實現(xiàn)運行維護管理體系化，對環(huán)境、資產、介質、設備進行綜合監(jiān)控管理，對支撐重要信息系統(tǒng)的資源進行監(jiān)控保護。對于信息系統(tǒng)平安運行維護所需要的密碼保護、病毒掃描、變更等事件，必須按照定義好的平安管理策略措施，建立一套運行維護管理制度，并通過培訓等方式全面落實。還應通過建立統(tǒng)一的平安預警與監(jiān)管中心，實現(xiàn)省本級計算環(huán)境、設備、資源、應用系統(tǒng)和信息平安工作的統(tǒng)一管理、監(jiān)控與預警，能夠與教育部平安預警與監(jiān)管平臺對接，實現(xiàn)聯(lián)動，及時上報信息平安漏洞和事件發(fā)生和處理情況。394.6運行維護與技術效勞體系4.6.1機構和職責教育部數(shù)據(jù)中心、全國集中部署的國家信息系統(tǒng)和中央級部署的國家信息系統(tǒng)的工作統(tǒng)籌和組織管理由教育部教育信息化推進辦公室負責；工程實施和運行維護工作由教育部教育管理信息中心負責；業(yè)務維護由業(yè)務司局負責。省級數(shù)據(jù)中心、省級部署的國家信息系統(tǒng)和各省自建系統(tǒng)的工作統(tǒng)籌和組織管理由省級教育信息化主管部門負責，工程實施和運行維護工作由省級教育信息中心〔暫無教育信息中心的，明確教育信息技術部門承當〕負責，業(yè)務維護由業(yè)務部門負責。通過部省兩級數(shù)據(jù)中心運行維護效勞體系的建設，構建中央級和省級國家信息系統(tǒng)的統(tǒng)一運行維護效勞體系，通過實現(xiàn)運行維護監(jiān)控平臺的對接，整體上形成國家信息系統(tǒng)運行維護一體化體系，具體如圖9所示。40圖9國家信息系統(tǒng)運行維護一體化體系示意圖4.6.2運行維護效勞體系總體架構運行維護效勞體系由運行維護效勞制度、運行維護效勞流程、運行維護效勞組織、運行維護效勞隊伍、運行維護技術效勞平臺以及運行維護對象六局部組成，涉及制度、人、技術、對象四類因素。制度是標準運行維護管理工作的根本保障，也是流程建立的根底。運行維護效勞組織中的相關人員遵照制度要求和標準化的流程，采用先進的運行維護管理平臺對各類運行維護對象進行標準化的運行管理和技術操作。根據(jù)管理內容和要求制定一系列管理制度，覆蓋各類運行維護對象，包括從投產管理、日常運行維護管理到下線管理以及應急處理的41各個方面。此外，為實現(xiàn)運行維護效勞工作流程的標準化和標準化，還需要制定流程標準，確定各流程中的崗位設置、職責分工以及流程執(zhí)行過程中的相關約束。應依據(jù)管理環(huán)節(jié)、管理內容、管理要求制定統(tǒng)一的運行維護工作流程，實現(xiàn)運行維護工作的標準化、標準化。其環(huán)節(jié)包括事件管理、問題管理、變更管理和配置管理。省級運行維護管理部門應根據(jù)其運行維護效勞工作的內容和流程確定各項工作中的崗位設置和職責分工，并按照相應崗位的要求配備所需不同專業(yè)、不同層次的人員，組成專業(yè)分工下高效協(xié)作的運行維護隊伍。運行維護技術效勞平臺包含實施運行維護和技術效勞的各種手段和工具，通過技術手段固化標準化的流程、積累和管理運行維護知識并開展主動性運行維護工作。4.6.3運行維護效勞體系建設內容省級運行維護管理部門應總結現(xiàn)有的運行維護管理經驗，遵照國內外相關運行維護標準，結合目前的實際情況，統(tǒng)一制定運行維護管理制度和標準。通過定期和不定期的檢查，促進各項制度標準在省級數(shù)據(jù)中心的貫徹落實，從而建立起統(tǒng)一、標準的運行維護管理工作方式。制度體系內容要涵蓋機房管理、網絡管理、資產管理、主機和應用管理、存儲和備份管理、技術效勞管理、平安管理、文檔管理以及42人員管理等類別。各類制度具體內容因實際需求而定，至少應包含如下制度：〔1〕網絡管理制度：包括網絡的準入管理制度、網絡的配置管理制度、網絡的運行/監(jiān)控管理制度等。〔2〕系統(tǒng)和應用管理制度：包括對主機、數(shù)據(jù)庫、中間件、應用系統(tǒng)的配置管理制度、運行/監(jiān)控管理制度、數(shù)據(jù)管理制度等?！?〕平安管理制度：包括網絡、主機、數(shù)據(jù)庫、中間件、應用軟件、數(shù)據(jù)的平安管理制度及平安事故應急處理制度。〔4〕存儲藏份管理制度：包括備份數(shù)據(jù)的管理制度和備份設備的管理制度。〔5〕故障管理制度：包括對故障處理過程的管理制度、故障處理流程的變更管理制度、故障信息利用的管理制度及重大故障的應急管理制度等?！?〕技術支持工具管理制度：包括對日常運行維護平臺、響應中心、運行維護流程管理平臺、運行維護知識庫、運行維護輔助分析系統(tǒng)等的使用、維護的有關制度?！?〕人員管理制度：包括對運行維護人員的能級管理制度、獎懲制度、考核制度、外部人力資源使用的管理制度等?！?〕考核制度：制定相關制度，對以上各類制度的執(zhí)行情況進行考核?！?〕其他制度。隨著整個信息化應用內容的不斷開展，一些舊的運行管理制度勢必不能適應新開展的要求，必須進行不斷的改良和完善，并制定相適應的新管理制度，逐步完善管理機制。43省級數(shù)據(jù)中心的運維管理部門依據(jù)運行維護管理環(huán)節(jié)、管理內容、管理要求制定統(tǒng)一的運行維護工作流程，實現(xiàn)運行維護工作的標準化、標準化和自動化。通過建立運行維護管理流程，可以使日常的運行維護工作流程化，職責角色更加清晰，從而使解決問題的速度和質量得到有效提高，實現(xiàn)知識積累和知識管理，并可以幫助運行維護部門進行持續(xù)的效勞改良，提高效勞對象的滿意度。運行維護流程包含的環(huán)節(jié)主要有事件管理、問題管理、變更管理及配置管理?！?〕事件管理。事件是指發(fā)生的對運行效勞體系某一環(huán)節(jié)運行造成影響的事件，包括系統(tǒng)崩潰、軟件故障、任何影響用戶業(yè)務操作和系統(tǒng)正常運作的故障、以及影響業(yè)務流程的情況，也包括一個用戶的請求。對日常性運行維護工作中出現(xiàn)的突發(fā)事件〔即日常運行維護效勞平臺自動發(fā)現(xiàn)并產生的告警事件〕和由用戶/維護人員報告的事件會轉入事件管理流程。〔2〕問題管理。問題是指導致事件產生的原因。問題管理流程著重于消除事件或減少事件發(fā)生，確定事件的根本原因，其流程如下：首先，定期分析事件，找出潛在問題，調查問題以找出其原因，制定解決方案、變通方法或提出預防性措施，以消除產生原因，或在重發(fā)時使其影響力最小化。其次，記錄解決方案、變通方法、預防性措施，根據(jù)需要添加到知識庫中。再次，提出變更請求，對問題的解決方案進行評估，通過提出變更請求以對該方案進行測試和實施。最后，問題必須進行事后回憶以找出改良時機或總結預防性措施，包括改良事件監(jiān)測、找出技能差距和文檔資料改良等?！?〕變更管理。變更請求通常由于問題的解決方案中需要對生產環(huán)境進行某些改變而產生，變更請求來源于問題管理環(huán)節(jié)或由用戶提交。變更管理通過一個單一的職能流程來控制和管理整個信息系統(tǒng)44運行環(huán)境中的一切變更，范圍可包括軟件、硬件、網絡設備和文檔等的變更，其流程如下。①由用戶或問題管理環(huán)節(jié)的維護人員提出變更申請，由運行維護負責人檢查和完善其內容，并進行風險等級、優(yōu)先級的初步評估。②通過分類，確定是否為重大變更、緊急變更，如果是常規(guī)變更請求，那么由運行維護負責人安排實施；如果是風險等級為“重大〞的變更請求，那么應上報變更管理小組。③根據(jù)特定的變更請求成立特定的變更管理小組，成員包括對該變更申請有批準權的人員、對該變更的評估和批準提供參考意見的技術人員和管理人員。評估內容包括變更的技術可行性、對系統(tǒng)性能的影響、對現(xiàn)有效勞的影響、對資源的需求等。④變更管理小組評估后決定是否批準變更申請。變更請求得到批準后，運行維護負責人安排相應資源進行變更的方案、測試，并制定實施方案，確定實施時間表，分配相應資源，通知請求人。⑤相應崗位實施變更，運行維護負責人監(jiān)視實施過程，并在必要時進行協(xié)調。⑥定期回憶變更管理流程以提高效率和效能，在實施變更流程不久之后，可以進行第一次回憶，以確保流程得到正確實施并到達預期目的。對發(fā)現(xiàn)的問題必須追根溯源并盡快解決，之后可以定期舉行回顧?！?〕配置管理。配置管理是效勞管理的一個核心流程，能確保應用系統(tǒng)及其運行環(huán)境中所有設備/系統(tǒng)及其配置信息得到有效完整的記錄和維護，包括各設備/系統(tǒng)之間的物理和邏輯關系，從而為實現(xiàn)有效效勞管理奠定根底。45配置管理流程著重于管理生產環(huán)境中所有必須控制的組成元素，并為其他相關流程(如事件管理等)提供信息，使這些流程更有效地運行，從而確保應用系統(tǒng)環(huán)境的完整性和穩(wěn)定性，其主要流程內容如下：①識別和維護配置元素：確定需要進行配置管理的元素及所有必需的配置屬性，并指明與生產環(huán)境中其他配置元素之間的關系。對配置管理數(shù)據(jù)庫提供日常維護。②配置狀態(tài)匯總：根據(jù)需要定期產生配置管理報表，并能使相關人員進行相關配置的提取、查詢，定期產生配置項的狀態(tài)報告，并能反映配置項的版本和變動歷史。③審計和確認：定期審核全部或局部配置數(shù)據(jù)庫中的配置項，確認其和物理環(huán)境的一致性，從而確保配置信息的完整性。④方案、回憶和改良：定期制定方案(如半年)，以明確下階段配置管理工作；定期回憶流程和審核結果，找出需要改良的配置項。⑤配置管理數(shù)據(jù)庫〔CMDB〕：配置管理數(shù)據(jù)庫由配置識別活動來定義，配置識別活動不但要定義配置項，還需定義配置結構及配置項的相互關系?！?〕其他效勞管理?！?〕組織管理。設置運行維護管理部門，負責總體運行維護管理；設置應用效勞部門，負責國家信息系統(tǒng)的日常運行和用戶效勞；設置數(shù)據(jù)效勞部門，負責國家信息系統(tǒng)的采集效勞、分析效勞。另外，可以外包局部效勞，請各承建單位〔包括集成商、軟件開發(fā)商、設備供給商以及其他相關單位〕在負責履行售后效勞期后，提供運行維護技術支持。46〔2〕人員管理。對各級運行維護人員尤其是高級運行維護人員的管理，應制定一套切實可行的管理方法，包括人員配置、職責劃分、人才庫建立、人員培訓、人員考核、人員待遇等。通過科學的管理辦法和有效的鼓勵機制，充分調動各級運行維護人員的工作積極性和責任心，為做好信息系統(tǒng)運行維護工作打好根底。運行維護技術效勞平臺應由運行維護監(jiān)控平臺、運行維護流程管理效勞系統(tǒng)和運行維護輔助分析系統(tǒng)等構成?！?〕運行維護監(jiān)控平臺。建立統(tǒng)一集中的監(jiān)控平臺，將數(shù)據(jù)中心的根底設施、數(shù)據(jù)庫、信息系統(tǒng)的監(jiān)控整合在一個平臺之上，實現(xiàn)告警顯示、告警統(tǒng)計的統(tǒng)一。監(jiān)控平臺也為各信息系統(tǒng)提供監(jiān)控服務，也可以訂閱其業(yè)務相關的各種監(jiān)控報警，通過郵件、短信等形式在第一時間獲取業(yè)務效勞狀態(tài)的變化。省級數(shù)據(jù)中心運行維護監(jiān)控平臺要能夠實現(xiàn)與中央級運行維護監(jiān)控平臺對接并實現(xiàn)相關數(shù)據(jù)的報送?！?〕運行維護流程管理效勞系統(tǒng)。運行維護流程管理效勞系統(tǒng)的建立，一方面可以使日常的運行維護工作有序化，職責角色清晰化，能夠有效地提高解決問題的速度和質量，使運行維護部門內的相關支持信息更為暢通、透明、完整，實現(xiàn)知識的積累和管理，更好地進行量化管理和設定優(yōu)化指標，進行持續(xù)地效勞改良，最終提高整個運行維護工作的效率和質量。另一方面可以提供所屬地區(qū)的用戶技術效勞、本地區(qū)的數(shù)據(jù)采集技術效勞?！?〕運行維護輔助分析系統(tǒng)。以運行維護監(jiān)控平臺和運行維護流程管理系統(tǒng)為根底，通過統(tǒng)計分析，了解運行維護效勞能力與效勞質量的現(xiàn)狀，并可以進行趨勢分析，為運行維護管理決策提供支持。47附錄一規(guī)劃內容與測算方法及參考案例〔一〕省級數(shù)據(jù)中心配置測算方法表4省級數(shù)據(jù)中心配置測算表序號設備類型每學校/學生所需性能估算系統(tǒng)規(guī)模同時在線用戶數(shù)設備配置總體需求備注1帶寬0.1MB/學校N所學校N×20%0.02×NMB2條鏈路相互備份，可以采用相同帶寬2存儲系統(tǒng)20MB/學生N萬學生0.2×NTB3備份系統(tǒng)80MB/學生N萬學生N×1%0.8×NTB備份系統(tǒng)容量一般為存儲系統(tǒng)的4倍4數(shù)據(jù)庫效勞器TPM/學校N所學校N×20%N×36TPM采用國際流行的TPC-C基準估算5中間件效勞器TPM/學校N所學校N×20%N×36TPM參照數(shù)據(jù)庫服務器6管理效勞器CPU：2個vCPU內存：16GB7應用效勞器N所學校N×20%根據(jù)實際需要配置CPU：4個vCPU內存：32GB虛擬機部署假設某省學校規(guī)模為1萬所，按20%的比例，估算參數(shù)：〔1〕單個系統(tǒng)同時在線用戶數(shù)為2000個〔U1〕；〔2〕平均每個用戶每分鐘發(fā)出2次業(yè)務請求〔N1〕；〔3〕系統(tǒng)發(fā)出的業(yè)務請求中，更新、查詢、統(tǒng)計各占1/3平均每次更新業(yè)務產生3個事務〔T1〕；〔4〕平均每次查詢業(yè)務產生8個事務〔T2〕；〔5〕平均每次統(tǒng)計業(yè)務產生13個事務〔T3〕；〔6〕一天內忙時的處理量為平均值的5倍；〔7〕考慮效勞器保存30％的冗余；48〔8〕經驗系數(shù)為1.6(實際工程經驗)。效勞器需要的處理能力為：TPC-C=U1*N1*〔T1+T2+T3〕/3*經驗系數(shù)/冗余系數(shù)數(shù)據(jù)庫效勞器的處理性能估算為：平均每所學校所需的TPC-C值為：365714/2000=182.85TPM該效勞器內存主要由操作系統(tǒng)占用內存、數(shù)據(jù)庫系統(tǒng)占用內存、并發(fā)連接占用內存等幾局部組成。估計參數(shù)為：(1)操作系統(tǒng)占用約400MB內存空間；(2)數(shù)據(jù)庫系統(tǒng)占用內存800MB；(3)每個并發(fā)連接占用10MB；考慮效勞器內存保存30％的冗余；那么單臺效勞器的內存估算為：Mem=(400MB+800MB+2000*10MB)/(1-30%)=30GB〔二〕按照500萬學生規(guī)模數(shù)據(jù)中心配置參考例如本案例包括內容僅含滿足國家信息系統(tǒng)部署的配置需求，不含省自建系統(tǒng)和其他系統(tǒng)的運行環(huán)境需求。1．省級數(shù)據(jù)中心與應用體系總體拓撲結構圖省級數(shù)據(jù)中心拓撲結構圖如下：493UDDOSDDOSDDOSSANWAFSANSSLVPN終端用戶圖10省級數(shù)據(jù)中心參考拓撲結構圖2．工程和設備參考配置表5省級數(shù)據(jù)中心參考配置清單序號類別名稱性能、功能要求部署位置數(shù)量一基建工程1機房裝修含機房吊頂、地面、墻面、隔墻、門、輔材等材料費及人工費、機械費機房2機房電氣含配電柜、電纜、管材、UPS〔120KVA〕、輔材等材料費及人工費、機械費機房3機房防雷接地含避雷器、管線、銅帶、輔材等材料費及人工費、機械費機房504空調新風含機房專用空調〔制冷量60KW〕、新風機、線纜、閥門、輔材等材料費及人工費、機械費機房5機房安防含門禁系統(tǒng)、閉路監(jiān)控系統(tǒng)、半球攝像機、硬盤錄像機、線纜輔材等材料費及人工費、機械費機房6環(huán)境監(jiān)控含機房供配電監(jiān)控、UPS監(jiān)控、精密空調監(jiān)控、漏水監(jiān)控、溫濕度監(jiān)控等材料費及人工費、機械費機房7機房布線含超五類線纜、管材、輔材等材料費、人工費、機械費機房8消防含感煙探測器、聲光報警器、氣體滅火控制盤、火災報警控制器、輔材等材料費及人工費、機械費機房9KVM含8口、16口或32口KVM機房二硬件設備〔一〕網絡設備1路由器交換容量400Mbps，轉發(fā)性能200Mpps，雙主控板，千兆電口4個，千兆光口4個，冗余電源數(shù)據(jù)中心接入路由器22核心交換機整機交換容量2Tbps，萬兆光口8個，千兆光口24個，千兆電口48個，冗余主控板，冗余電源數(shù)據(jù)中心核心交換機23會聚交換機交換容量200Gbps，千兆光口24個，千兆電口24個，冗余電源前置效勞區(qū)、應用效勞區(qū)、數(shù)據(jù)庫效勞區(qū)、網絡管理區(qū)等104鏈路負載均衡設備硬盤80GB；設備標配4個千兆電口；雙電源；ATX自動切換；TCP并發(fā)會話數(shù)6M,L7RPS2M,單向吞吐量5G,L4CPS300K接入鏈路上25應用負載均衡設備吞吐量1Gbps，硬件SSL加密，內存4G，千兆電口4個，千兆廣口2個前置效勞區(qū)16IPSecVPN設備吞吐量5G,并發(fā)連接200萬，5000個vpn隧道，冗余