种连荣,王倩宜,刘启新,欧阳荣彬,宋式斌
(1.北京大学,北京 100871;1.清华大学,北京 100084)
小金教工程确立了“加强顶层设计,协调全局发展;强调服务导向,坚持应用驱动;整合基础设施,确保稳定运行;统一技术架构,保证持续发展”的建设原则,并根据此原则对建设内容进行全局规划和整体设计。为了确保在小金教工程建设中对人力资源、系统资源、信息资源、空间资源和经费资源进行有效整合,并且充分考虑到应用集成和信息集成的要求,保障小金教工程建设健康、稳定、持续地发展,因此需要对技术架构、基础设施、运维服务、安全保障和标准规范等基础性工作进行统一整体的规划与设计。
小金教工程总体技术架构设计的目标是:以小金教工程总体设计方案提出的 “以信息资源建设与共享为核心,以构建统一的基础保障环境为基础,以整合教育政务应用与服务系统为突破口,以健全教育服务与监管业务信息化管理与运行机制为保障”为指导思想,建立统一规划的技术架构,建设统一运行的基础设施平台,为各类信息系统和用户提供完整的运行环境和技术支持服务体系。保证信息资源、服务资源、信息系统、基础设施和安全体系等各要素之间构成一个有效的整体,方便信息的交换和共享,消除资源建设的无序和重复,推动信息系统的集成和整合,保障基础运行环境的安全和稳定,提升技术支持和运维服务的水平和质量。
1.建立统一规划的技术架构。分离业务与技术的相关性,确定信息系统的技术分层与各层的技术路线,建立信息系统开发遵循的统一技术规范,指导各信息系统的建设实施,使信息系统易于集成整合、升级扩展,使数据易于互联互通、管理维护。
2.建设统一运行的基础设施。整合原有基础设施,建设统一的网络平台,构建统一的数据中心,提供统一的机房、服务器、存储资源,建立统一的容灾备份体系,为整个小金教工程提供统一的运行服务基础设施。
3.建立统一的运维服务体系。建立科学有效地融合组织、制度、流程和技术的运维服务体系,建立一支专门的技术服务队伍,制订规范的信息系统管理制度,为小金教工程的顺利运行和应用提供管理和服务保障。
4.建立全面的安全保障体系。建立多层次的安全防范措施和行之有效的信息安全管理制度和流程规范,形成全面的安全保障体系,为信息系统的安全稳定运行提供可靠、可控、可信、可查的安全环境。
小金教工程的总体技术设计框架以教育管理基础数据库为基础,以教育服务与监管的各项业务系统为主干,以支撑教育服务与监管决策为目标,以标准规范和安全体系为保障,以统一技术架构为指导,以教育信息网络和基础设施为纽带,形成互联互通、贯穿上下的教育政务管理、决策支持和社会服务信息化体系。
图1 技术架构和基础设施规划总体框架
总体框架主要由技术架构、硬件基础设施和安全保障体系、技术支持与运行维护体系等几个部分组成,其中的技术支持与运行维护体系是系统建设和运行的基础。
1.技术架构设计:技术架构包括数据架构、应用架构和软件架构三个部分。通过统一的技术架构,配合相应支撑软件,使信息系统易于集成整合、易于升级扩展、易于运行维护,减少不必要的软硬件投资,提高信息资源的应用能力。
2.基础设施方案:基础设施方案包括机房、网络、服务器和存储备份四个方面的规划和设计。基础设施的建设按照“统一规划,分步实施;安全可靠,稳定高效;技术先进,资源充足;利于扩展,方便实施;核心冗余,优质保障”的原则设计,为小金教工程提供运行基础环境。
3.安全保障设计:安全保障设计包括物理安全、网络安全、系统安全、数据安全、应用安全和终端安全等不同层次的安全防范体系的规划与设计,针对信息网络安全的风险,从安全技术、管理制度和监控保障等多个角度建立行之有效的信息安全管理制度和流程规范,建立一套完整的安全保障体系。
4.技术支持和运行维护方案:技术支持和运行维护方案包括队伍、机制和技术支撑平台的建设,保障小金教工程的稳定、高效、安全运行。
统一的技术架构可以使信息系统易于集成整合、易于升级扩展、易于运行维护,减少不必要的软硬件投资,提高信息资源的应用能力。技术架构遵循数据共享、用户统一、公共服务平台统一和应用整合的建设原则,包括统一数据架构、统一应用架构、统一软件架构。
数据是小金教工程的基础和支撑。在统一数据架构中,要做到数据标准统一、集中存储、逻辑独立、分级授权管理,并且提供有效的数据访问和数据交换共享手段,使得数据与应用的关系更清晰,数据的意义更加明确,数据之间的区分和关联更加合理,保证数据的整体性、一致性、完整性,提高使用效率。
图2 数据架构
数据架构采用二级层次模式。第一层是公共数据,包含整个体系的核心基础数据集、公共代码数据,以及为决策支持而装载到数据仓库中的数据。公共数据遵循统一的数据标准,提供给所有信息系统共享。第二层是应用数据,这些数据由信息系统产生,或者与信息系统关联紧密。应用数据的结构设计遵循统一的规范,与公共数据有关的数据需要严格遵循统一的数据标准。公共数据与应用数据之间,或者是应用数据与应用数据之间,通过数据交换的模式互通有无。此外,公共数据还通过数据服务平台,为其他系统或用户提供数据的查询检索等服务。
依据小金教工程总体规划和设计,公共数据架构采用如下原则:物理存储统一,逻辑数据独立,数据管理分级,数据服务集成。整体数据的物理存储采用统一结构,并且存储在统一构建的存储设备上,并由统一的管理系统进行管理。各数据在逻辑上是相对独立的。各信息系统拥有各自独立的数据库,独立对自身的数据进行管理。应用之间的数据互换通过数据交换平台进行。从数据的完整生命周期来看,数据的管理是分级进行的。不同类型的数据,在不同的阶段,由不同级别的部门进行维护和管理。数据的非管理方,通过申请,使用相应的数据。在对外的数据服务上,应基于公共数据库和数据仓库中的数据,以用户需求为主线整合与提取数据,构建集成的、信息完备的、个性化的数据查询、检索、统计服务。
统一应用架构为信息系统建设提供安全、稳定、合理、高效、易于整合、易于交互、易于共享的层次化开发技术框架,从而提高信息系统分析、设计、运行、维护各个环节的效率,有利于提高信息系统的延续性、集成性、扩展性、安全性、稳定性和执行效率。对信息系统开发而言,可以提高开发效率,确保开发质量;对运行服务而言,使得维护和管理所需的技术更加单一化,有利于降低运维成本,提高运行服务质量。
应用架构表述了整个信息化体系中各信息系统、平台之间的关联关系、关联方式等。良好的应用架构,能为信息系统的设计与实现提供合理、高效的模板,据此模板建设而成的系统,更加容易集成,系统间信息易于交换,内容易于整合,摒弃信息孤岛,提高信息资源的利用率,提高系统本身开发效率和质量,确保信息系统安全、稳定、高效地运行,且易于维护和管理。小金教工程应用架构设计采用的是“数据共享、公共服务平台统一、应用松散耦合”的架构模型。
图3 应用架构
支撑软件和规范为各信息系统提供必要的基础软件、基础服务平台、公共服务软件,包括统一用户管理、用户身份认证与单点登录服务、数据交换服务等。信息系统严格遵循相关的软件、平台应用规范,避免重复投资,避免接口的不规范和不统一。信息系统采用松散耦合的架构,各信息系统相对独立,在必要时完全可以独立运行。信息系统与信息系统之间,信息系统与公共服务平台之间,通过服务的方式进行相互的关联调用。信息门户通过服务调用的方式与各信息系统进行集成整合,以应用集成和局部信息集成的模式运行,一方面作为各信息系统的导航,另一方面作为信息查询的集中展示。信息系统需要接入信息门户,以信息门户为信息集成展示平台,为用户提供集成的、整合的、个性化的、主动的信息服务。
软件架构表述了每个信息系统的构成模式,以及系统各模块的关联方式。统一软件架构,将使信息系统具有良好的延续性、可集成性、可扩展性,有利于提高软件系统的安全性、稳定性、执行效率。同时,对开发而言,相同的软件架构,可以提高开发效率,确保开发质量;对运行服务而言,使得维护和管理所需的技术更加单一化,有利于降低运维成本,提高运行服务质量。
小金教工程信息系统涉及的功能、数据、业务繁多,开发者数量众多且层次不同,为了保证这些信息系统能够具有较好的开发支持能力、良好的部署和升级能力、良好的系统延展性,新系统的软件架构采用分层设计方法,并且尽可能遵循国家、国际及工业标准和规范。
分层设计方法是将组件分隔到不同的层中,每一层中的组件应保持内聚性,并且应大致在同一级别抽象,每一层都应与它下面的各层保持松散耦合。分层软件设计不得跨层调用,每一层都只与直接相临的层进行通信;上面各层都建立在下层的基础上,隐藏下层的信息并为上层提供服务;各层要封装自己的实现,向上一层提供访问接口;各层支持分布式的部署,即可部署于不同的容器实例中;各层进行通用分层描述。
信息系统在构建的时候,要遵循分层设计、逐层开发的原则,明确各层的界限,制定清晰规范的接口,以便提高开发的效率和系统的稳定性,也为系统的分步实施打下坚实的基础。
基础设施是整个小金教工程的基础条件和保障环境,为小金教工程提供稳定、高效、易管理、可扩展的运行环境,保障各信息系统能够稳定运行。基础设施按照统筹规划,统一建设,统一管理,集中构建的原则,建立统一的数据中心,提供专业机房、服务器和存储资源;建立统一的容灾备份体系,以及统一的运行维护服务体系;构建安全、稳定、合理、高效的信息化基础保障环境。
基础设施可以划分为软件公共平台和硬件基础设施,软件公共平台包括基础软件、公共中间件、安全支撑软件等支撑软件,硬件基础设施包括服务器群组、网络环境、存储和备份、容灾系统、安全设施、机房环境等几部分。各业务系统使用分类服务器群来支持运行,使用统一的存储和网络架构、统一的机房基础设施及容灾系统。
图4 基础设施总体框架
安全保障体系是小金教工程建设可持续发展的有力保障。安全保障体系通过在物理、网络、系统、数据、应用、终端等多层次建立安全防范措施,构建可控、可信、可查的安全环境,建立一套行之有效的信息安全管理制度和流程规范,实现严密、多渠道的安全控制,确保系统安全可靠,提高用户对信息系统的信赖度。
通过对小金教信息资源规划的分析,将小金教的信息系统划分为三个安全区域:办公区域、数据中心和网络出口区域。办公区域包括教育部的办公用户,重点是防病毒;数据中心区域包括信息系统的核心业务服务器、数据库、网络设备、网络线路和网络出口等,信息系统的安全保护等级以三级为主,防护重点是防病毒攻击、防黑客篡改和防误操作导致数据丢失,应部署物理、网络、主机、应用各层面的安全措施;网络出口区域以网络边界防护措施为主。安全保障体系的总体结构如图5所示。
图5 安全保障体系的总体结构
总体结构覆盖了等级保护三级基本要求中对网络安全、主机安全、应用安全、数据安全和管理安全的防护要求,以满足信息系统全方位的安全保护需求。同时,由于信息安全的动态性,还需要建立安全风险评估机制,在安全风险评估的基础上,调整和完善安全策略,改进安全措施,以适应新的安全需求,满足信息系统安全等级保护的要求,保证长期、稳定、可靠运行。
建立一套科学有效的融合组织、制度、流程和技术的运维服务体系,为小金教工程的顺利运行和应用提供管理和服务保障。
图6 运维服务体系框架
运维服务体系框架由IT服务管理、IT基础设施管理、运维管理流程与规范、运维支撑系统、组织机构与人员队伍五个部分构成。
IT服务管理以流程为向导、以用户为中心,通过协商服务水平,持续优化服务流程,提升服务水平,保障IT服务的可用性、可靠性和安全性,为业务用户提供可靠的IT服务,提高业务满意度。IT基础设施运行管理包含了IT基础架构规划与设计、硬件基础环境管理、支撑软件管理、数据管理、应用管理、运行监控、文档管理、资产管理、安全管理等方面。流程与规范的建设是运维服务体系中的一个重要环节。完善的工作流程与工作规范是运维服务的保障,它使得用户及管理人员管理使用系统时有章可循,保障运维服务能够有序进行。建立面向运行维护人员和技术支持人员的运行管理平台,包括负责基础设施和业务信息系统运行监控的集中监控管理平台、负责向用户提供支持服务的系统以及对基础保障环境资源进行管理的信息管理平台。确定和规范运维管理体系的运行管理方式和与之相配套的机构设置、人员岗位职责安排。
在小金教工程中,通过建立统一规划的技术架构,建设统一运行的基础设施平台、安全运行环境和技术支持服务体系,可以加强信息资源的有效利用,完善信息安全保密措施,规范安全管理服务,保障信息系统和信息资源的安全,并实现统筹规划基础运行环境和资源配置,优化基础设施综合布局,减少投资和管理成本。 (编辑:王晓明)