上海教科网：构建上海教育信息化服务体系

文/朱宇红

上海教科网：构建上海教育信息化服务体系

文/朱宇红

上海教科网秉承“技术到顶，应用到底”的原则，依托IPv6实验室技术攻关，研发、实施、推广上海教育跨校身份认证系统，并基于此探索各类跨校共享应用。

昨天——适度超前的网络建设

上海教育与科研计算机网（简称上海教科网，SHERNET）建设的历史可追溯到1995年，从最初借助电信64K DDN线路构成双环网状主干、覆盖八大高校，到2000年前后开始光缆校际互联建设，瞄准教育宽带网络发展，到目前建成拥有300多公里光缆、15条10G线路的主干双环网、连接“校校通”、辐射各类教育单位的IPv4/v6双栈城域网，对外的互联带宽也由最初的512Kbps增长到21Gbps，主干拓扑如图1。

上海教科网主干网具备以下特点：

1. 高速稳定可靠

上海教科网主干网具有较高的技术先进性、可靠性和运行效率。目前上海教科网主干网采用十台万兆路由设备构建，每个主干节点至少具有2个方向的万兆线路连入主干，任何一个主干节点或任何一条主干光纤线路出现故障，均不会影响上海教科网主干网正常运行；且由于核心主干为网状结构，由10G链路组成的主干网最大能承载30～50G的流量，根据目前网络发展趋势和上海教科网历史流量增长情况预测，可保证支持现有网络规模在“十二五”期间的运行。

主干节点每台主干设备配备至少1块24个千兆端口的业务板卡，可以千兆速率连接24家不同单位。部分高校由于教学科研等网络应用丰富、流量较大，可万兆直接接入主干，其他各接入单位可以根据应用增长的实际需求灵活调整接入带宽。

此外，主干万兆设备具备较高的性能，可以很好地抵挡网络蠕虫病毒攻击和黑客发起的攻击，大大地提高了上海教科网的安全性。

2. 支持IPv4/IPv6双栈协议

上海教科网在2005年实现了全国第一个IPv4/v6双栈城域网，目前的主干网则无论从功能和性能上都有所提升。上海市各教育单位可通过IPv4和IPv6双协议接入互联网，紧跟国家下一代互联网CNGI发展战略，跟踪和研究IPv6新技术，为进一步实施中国下一代互联网示范工程，攻克下一代互联网及其重大应用关键技术，实现下一代互联网产业化打下坚实基础。

3. 支持多业务承载

随着数字化校园建设的不断发展和深入，校园网中承载的业务也越来越丰富、越来越复杂，今天的学校信息化体系架构已经涵盖了学校各个部门的业务系统，如教学支撑平台、电子教务平台、科研平台、数字图书馆、一卡通、校园广播、安全监控等等。

上海教科网可通过使用MPLS VPN技术提供多业务融合解决方案，进而逐步构建下一代教育城域网实现多业务承载，如跨校区构建高清视频会议专网等，为多校区学校提供透明链路，实现校区间的无缝连接，以及为中小学和学前教育构建安全绿色专网，以过滤互联网不良信息对青少年的负面影响，防御黑客攻击。现已为上海海洋大学等高校多校区互联应用服务。

目前，适度超前的上海教科网同其他同类网络比较，无论是从网络规模、通讯速度，还是从使用率、科技化水平来看，都走在发展前列，并开始了新一轮上海教育城域网的建设与规划，将在“十二五”期间进一步“统筹建设能够满足教育信息化发展的上海教育系统信息化基础设施和环境，达到高速可用、安全可靠、可信共享、泛在开放、绿色创新、持续发展的水平”，服务上海市所有的教育单位。到2015年，上海教育城域网将达到主干带宽十万兆，具备按需万兆接入的能力，全部区县级“校校通”网络实现万兆接入。

今天——适应需求的跨校共享应用探索

《上海市教育信息化“十二五”发展规划》提出以“面向一线、提升服务、加强统筹、优化基础”为指导思想，围绕教育教学改革和创新人才培养的主题，把优化教育信息化基础设施环境、构建优质教育资源共建共享机制、探索教育教学手段和模式的创新、提升师生的信息化素养和应用能力、提高教育管理信息化公共服务水平作为主要任务，最终为每一个受教育者营造“老师总在我身边”的信息化学习环境。

显然，教育信息化的目标是服务于每一个受教育者，其实现有赖于教育资源的极大丰富和共享服务水平的极大提高，而经过十余年的教育信息化建设，各级各类学校内部的教育资源越来越丰富，如何充分发挥这些资源的作用，通过资源共享推进教育公平、提高教育质量、促进科研合作逐渐成为教育信息化的重要内容，“跨校、协作、共享”成为新一轮教育信息化建设的主题词。

目前，上海教科网正在教育宽带基础上，秉承上海教科网十几年所坚持的“技术到顶，应用到底”的原则，依托上海教科网IPv6实验室（由七大高校牵头组成）技术攻关，研发、实施、推广上海教育跨校身份认证系统，并基于此探索各类跨校共享应用，以构筑实用便捷和助推教育改革的信息化环境。

可信便捷的跨校身份认证

教育资源共享面临的问题之一是如何使资源拥有者和使用者相互信任，并方便地进行资源访问和资源最大化利用。目前大多数教育单位内部都已实现了统一身份认证，但由于各个学校投入分散，其SSO实现框架和技术各异，实现的时间和目标也不尽相同。在这种情况下，如何实现经过必要的身份验证后安全可信地进行信息资源共享，以实现跨校的信息访问，体现高校之间的资源共享与协作应用，是摆在我们面前的一大课题。

上海教育跨校身份认证系统正是在这一背景下通过项目研制和实施推广逐步形成和完善的，该系统以各学校的SSO为可信认证源，通过体系设计、策略与数据访问标准的制定及其实现，实现了校际信息资源共享的基础架构。在完成一定规模的部署后，开展了一系列的跨校资源共享与协作应用试点，取得了良好效果，也实证了该系统可以成为区域教育信息化发展的可信基础设施的重要组成部分，有利于充分发挥各校信息化投入效益，发挥上海教科网在上海教育现代化中的作用。

上海教育跨校身份认证系统架构是参照Internet2上的研究项目Shibboleth的架构，并结合上海教育系统的实际情况制定的，目前已形成跨校身份认证系统说明草案、跨校身份认证用户属性草案、跨校身份认证属性规范草案、跨校身份认证访问统计方案草案和联盟草案等文档，并与企业联合实施跨校身份认证系统的搭建，逐步扩大接入范围，目前已有二十所高校接入，5000余用户使用过该认证系统，并基于跨校认证开展了诸如无线通、跨校选辅修、安全监测管理等应用探索。上海教育跨校身份认证系统逻辑架构如图2。

共建共享的应用探索

1. 上海高校无线通

无线网络因其架设部署和实际使用的便捷，已经成为高校校园网络建设的重要组成部分，但为保证信息网络安全管理，在已建或正在建设的高校校园无线网中，都会使用一些网络安全接入管理机制确保本校用户实名制登录注册，限制未授权用户的无线网络的访问。这种管理方式给他校师生访学或交流中合理使用无线资源带来麻烦，而在校际间交流和访问日益频繁的情况下，能便捷地使用无线网络的需求也越来越强烈。为此，2009年开始基于跨校认证试点实施“上海高校无线通”应用项目，旨在实现跨校无线网络漫游接入。

高校无线通系统分为三个层次：平台层、系统管理层、用户接入层。其中，第一层是上海教育跨校身份认证平台，提供用户源地址认证的功能。第二层是各高校所提供的无线校园网资源组成的无线资源SP，该SP由教委或其他联盟组织进行统一管理。根据实际部署情况也可在单独的高校设立无线资源SP管理结点。这一层完成的主要功能是对于参与认证联盟的各成员高校进行管理，同时为各高校设立无线网络管理员，由管理员负责对该学校参与共享的AC进行管理，并制定不同的管理策略同时对相应的安全日志进行采集。第三层的用户接入层将根据不同的用户接入方式和不同的用户类型完成对用户认证请求的处理。

高校无线通在上海教育跨校身份认证系统基础上实现了已加入跨校认证联盟的各校师生使用其本单位帐户就能在他校接入无线网络的功能，目前已有十余个教育单位开放无线网接入资源，已为加入上海教育跨校身份认证系统的19所高校提供了超过60000人次的使用，取得了很好的应用效果，更多的单位正在申请加入。

2. 东北片高校跨校选辅修信息化协作

近年来，为顺应社会发展要求，大学的教学培养模式在不断的摸索与改革中，传统的以专业为核心设置课程的教学组织模式，正逐渐朝着以课程为核心形成专业和院系的组织模式转变。这种变化体现了在改革开放和市场经济环境下，我国高等教育在通识教育方面进行的改革和探索。作为教学培养模式改革的具体措施，许多学校开展了学生跨专业和院系选修和辅修课程、专业的业务；在高校集中的地区，出现了高校间专业互补，联合组织跨校选修和辅修的教学培养活动。

图2 上海教育跨校身份认证系统逻辑架构

上海市东北片合作办学联盟（以下称“合作办学联盟”）是典型的区域性跨校选修、辅修合作办学模式。合作办学联盟中既有复旦大学、同济大学这样的综合性研究型大学，也有上海财经大学、上海外国语大学、上海理工大学、上海体育学院、上海海事大学、上海海洋大学、上海电力学院等中等规模的专科性大学，还有上海杉达学院等民办院校。合作办学联盟自成立伊始就积极发挥各高校的优势，克服各自教学管理制度和系统的差异，以面向全体师生的跨校选课和跨校辅修专业形式组织教学活动，实现了院校间教学资源共享、培养复合性人才的目标，受到了学生的欢迎。

上海东北片普通高校教学协作信息网的跨校选辅修系统（以下成“选辅修系统”）和跨校学习平台（以下称“学习平台”）2010年建成并投入试运行。其中选辅修系统用于合作办学业务协作和管理，学习平台用于师生的网络教学协作活动。

学习平台则提供了一个功能强大、灵活和开放的空间，通过提供各种软件工具和手段来帮助教师、研究员和学生创建一个用于交流、协作的站点。学习平台基于开源的Sakai在线协作和学习管理系统研制。目前正在与相关图书馆合作增加教参辅助功能，以方便学生更好地自主拓展学习。

在此基础上，上海市正在打造高校课程跨校共享系统，网上共享课堂将使校内名师成为城市名师，优秀教育资源将让更多的学习者受益。

3. 其他跨校应用实践

（1）上海教科网协作平台

上海教科网协作平台是建立在上海教育跨校身份认证系统基础之上的一个资源共享及协同工作的辅助支撑系统。目前该协作系统处于试用阶段，部分功能有待进一步完善。

已经推出使用的功能主要有：文件存储、工作区管理、网上报告厅、多媒体资源管理、跨校辅选修、校内搜索、维基百科、麻省理工学院开放课程等。特别是其中的工作区概念，初步实现了跨校协作的雏形，来自不同学校的师生可以通过工作区的方式组成不同的组织，如班级、研究小组、工作小组、兴趣小组等，共同探讨问题、共享彼此资源。

（2）上海教育安全云监测报告中心

上海教育安全云是把安全监控点分布到云端（各接入单位）并将安全分析服务配置于云上（安全分析服务中心）的一个架构，通过安全云服务，为云端学校提供长期稳定的网络安全监控服务。目前已经完成了第一期僵尸网络监测中心的建设，正在进行的第二期分布式Web网站安全监测工作主要包括对网站漏洞的扫描、网页挂马和网站后门（WebShell）的监测等。上海教科网的接入成员单位未来无需再单独购买Web安全监测设备，只需提出加入申请即可利用上海教科网安全云，享受到相关网站安全服务和技术支持。

上海教科网安全云报告中心也已完成与跨校身份认证系统的整合，目前一期的相关学校技术人员经授权后可使用本校账号直接查询反僵尸网络信息。

图3 上海教育信息化服务体系

明天——适配教育的信息化服务体系

《上海市中长期教育改革和发展规划纲要（2010—2020年）》提出要“依托上海城市信息通信基础设施和网络，完善管理体制机制，建设与城市信息化发展相同步、与人才成长规律相适应、与学习型社会多样化教育需求相匹配的教育信息化服务体系。”构建这样一个教育信息化服务体系将是未来发展的关键所在。

上海教育信息化服务体系由教育城域网、教育基础服务层（包括资源聚合和凸显教育城域网特质的服务）、应用层组成，如图3所示。

1. 上海教育城域网：高速互联的上海教育城域网是上海城市宽带网的有机组成部分，通过城市信息化基础设施高速互联各类教育单位，也可以看作是城市立体交通中的公交快速道，专为教育内部应用服务，以提高服务质量和效率，同时与城市宽带网的任意部分都能高速联接，从而使教育资源能高质量通过智能终端等方式随时随地为学习者服务，社会资源也能为教育服务，同时教育城域网上提供集约化基础设施服务。

2. 各级各类学校：上海教育城域网上各学校（教育机构）形成私有云，是师生的信息化学习工作环境，也是教育资源/教育管理信息的源头，部分特色应用服务的直接提供者，同时在教育机构间也有大量教育应用，产生更多的教育资源。

3. 教育资源/信息聚合层：对各类教育资源和教育管理信息进行聚合和管理，为各阶段教育服务，并通过教育特质服务传递到应用层，因此必须应由教育信息化管理部门主抓，以确保共享和投入有效性。

4. 基础服务层：上海教育城域网特质服务可包括可信（跨校认证）、安全（防御体系）、有序（内容管理）、个性化（推送服务）、智能（位置服务）、等，简化应用服务中的技术难点，并实现资源调配。

5. 应用层：由各应用领域（教育管理各业务部门），也包括学校，基于资源提供面向教育系统的教学科研特色应用，并将优秀教育资源与应用服务有序向全社会开放，服务于所有受教育者。

其中贯穿始终的是可持续的运行机制，以保障教育信息化基础设施稳定运行并按需扩展、教育教学资源逐年丰富并有序管理、教学科研管理应用不断创新，并有效提高工作效率以及教育者和受教育者信息素养的逐步提升，从而达到教育信息化健康可持续发展。

“十二五”期间，上海教科网将总结前期建设经验，坚持“技术到顶，应用到底”，初步构建上海教育信息化服务体系。根据上海市高校布局，将主干网延伸到临港、南汇、奉贤等多个高校集聚区，并与“校校通”网络进一步融合，面向所有教育单位，构成上海教育城域网，实现城乡教育一体化以促进教育公平；进一步加强安全云和数据中心的建设，为教育单位提供集约化云服务；以跨校认证为基础开展课程共享开放、数字化课程环境、网络教学研究、图书馆优质资源共享、实验室（实训中心）网上共享等校际资源共享和协作，构建教育信息共享云，全面满足教育教学改革的需要，适应创新人才培养需求，提升教育现代化水平，为广大教师与学生服务，为学习型社会建设服务，逐步实现“老师总在你身边”的教育信息化愿景。

（作者单位为上海市教委信息中心）