文/肖春光
(作者单位为深圳市宝安区教育信息中心)
宝安区区域教育云服务系统为全区民办中小学校、幼儿园及技术薄弱的公办单位提供直接可用的区域教育云平台、资源和应用系统,促进了全区教育信息化的均衡发展。
随着教育信息化、网络化、云计算等的快速发展,区域教育云服务系统建设逐渐成了各级教育行政部门关注的重点。深圳宝安区(以下简称宝安区)教育局顶层设计“建、管、用、维”的教育云平台和教育大数据资源中心,于2011 年上线,免费服务全区518 个办学单位的教育管理人员、教育科研人员、师生及家长30 余万人,是宝安区贯彻落实推进“三通两平台”建设任务的主平台。
2015 年以来,国家、省、市、区等各级部门加大了网络与信息安全监管力度,从央企到一类省市,不少重要系统和网站被篡改,不少门户网站采取了不同时间段关闭的措施,尽管避免了被攻破的危险,但给网民带来了诸多不便,给政府等相关部门造成不利的影响。等保2.0 对等级保护对象范围在传统系统的基础上扩大到了云计算、移动互联、物联网、大数据等,《网络安全法》实施把网络与信息安全提升到了法律层面。为继续确保教育云系统“既要安全合规,也要服务可用”,宝安区开展了网络与信息安全严管态势下区域教育云服务系统发布的探索与实践,寻求在新的网络与信息安全环境下指导和规范全区教育单位政务类系统、业务类系统集约化服务统一发布及特殊需求系统发布的新途径,重点对教育业务类系统对外发布的集约化管理、申报流程、发布流程进行了规范、验证和改进探索。
政务类系统的集约化建设和对外发布,参照上级相关文件要求,通过安全测评后逐步向区、市、省级政府部门统建数据中心的集约化平台迁移整合发布,由集约化平台负责计算、存储、网络、安全等服务侧的资源保障。用户侧主要落实内容保障,一是按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,明确主管领导和信息安全员,落实信息安全工作责任制;二是坚持“以人民为中心”、“以服务为中心”的原则,围绕打造服务型教育政务网站平台,重点保障好基层业务部门系统的可用性、及时更新、互动及时回应和服务的实用接地气等信息内容保障;三是严格执行上网信息的审查制度,网站信息发布遵循“谁公开、谁审查、谁负责”的原则,确保网站内容不涉密,网站内容发布保密审查不外包;四是加强技术协助,升级优化后台处理商业邮箱、错别字、敏感内容、暗盗断链的发布前智能审查过滤及定期排查功能。
宝安区各教育单位自主(含区统区建和区统校建)建设的特色环境及特色应用系统,在使用区教育城域网域名或IP 在内、外网发布时,需积极利用区教育大数据资源中心已有的区域共享平台资源服务,提高系统的智慧化和集约化水平。技术薄弱或一般学校及幼儿园可直接使用区教育云平台、资源和应用系统,无需单独规划投入建设。
宝安区教育大数据资源中心已集约化统一了涵盖全区智慧教育的“硬件资源、公共平台、智慧校园”3 大版块,提供支持“计算和存储等数据支撑、城域网接入及安全管理、考场视频接入、平安校园视频接入、无线网络接入及安全管理、数据标准及认证平台、办公和移动应用平台、网站发布平台、资源平台服务、互联网舆情监控服务、地理信息管理平台、试点智慧校园建设、虚拟智慧校园建设”共13 大系统的区域共享平台资源统筹,配备了专业的区域网络、平台、安全运维服务保障团队。
1.加强硬件资源统筹
统一计算和存储等数据支撑。区教育大数据资源中心,整合了前期搭建的多套虚拟化系统进行统一的管理、监控等资源集控调度服务,同步建设了异地灾备数据中心确保数据的安全,按照虚拟化和云服务模式提供服务。
统一城域网接入及安全管理。区教育城域网接入单位,需配备硬件防火墙、上网行为审计2 类设备(民办学校可选用区统一部署的虚拟化防火墙和审计)及网络管理员持证上岗(NCNE 或CISM 证书等),且审计设备须与区审计中心端集成联动,实现区、校两级记录各单位的上网行为,为全区176个接入单位将近10 万台终端的上网行为分析及网内行为态势预感系统提供权威数据源。
统一考场视频接入。按照上级有关考场建设标准的强制要求,建设了区级巡考中心、巡考平台及考务视频会议系统,考试期间对全区考场进行区级巡考,各考场单位的监控主线路需与市招办网络巡考中心SIP 互联,辅线路需与区巡考中心编码器及矩阵互联上墙,考务视频会议系统需与市、区会议中心对接。
统一平安校园视频接入。区智慧平安校园平台对全区校园视频监控系统的平台、前端采集、传输网络、存储、覆盖区域等实现智能集成和统一调度管理,重点区域实现与公安视频监控网互联,视频按权限申请调阅。
统一无线网络接入及安全管理。区无线网采用“学校分布式按需建设、区域集中式统一管理”模式,实行全区无线教育城域网统一认证、统一SSID、统一审计、统一备案、统一安全防控与预警的全网漫游,开放架构支持多个无线主流品牌的集成接入统一控管。
2.加强公共基础平台共享
统一数据标准及认证平台。宝安教育云平台是全区教育信息化对外展现的集中平台,提供了统一的数据标准及认证接口。新建系统需遵循区平台提供的数据标准与接口互联,采集指定权威标识码作为系统的唯一标识管理服务对象信息。通过基础对象的唯一编码的比对,才能关联其他业务系统的全方位大数据库,确保区、校应用“一号通、全网通”。
统一办公和移动应用平台。区协同办公平台满足“区-学区-校园”的纵横向数据与业务互通,提供内部常见事务通用5 级以内的表单和流程自定义审批业务,移动应用提供标准APP程序接口,集成提供“宝安教育云移动APP、宝安家校互联、宝安通”等,新建移动应用的集成对接和发布需经区移动应用发布网关统一管控。
统一网站发布平台。区教育云平台为区内教育单位提供统一的域名、地址、空间、安全、等保备案、审计、备份等服务。各单位原则上不再单独新建网站及相关的专题站点,现有网站逐步迁移整合到区云平台网站群实现集约化管理。
统一资源平台服务。依托国家教育资源云平台的本地化部署和开放架构,实现了区资源平台与国家、省资源平台的互联互通,预留了与市教育云、粤教云互联接口,统筹引入第三方优质教育资源包括中国知网、区图书馆数字资源(已经提供23 类)、家校互动平台、视频直播系统(单向)、视频会议系统(双向)、微课平台等。
统一互联网舆情监控服务。互联网舆情监控平台,负责全区教育相关的正、负面互联网资讯的爬网、分析、监控等,各单位可申请使用帐号,自行监控本单位互联网舆情。
图1 宝安区教育业务类系统(网站)集约化建设申报流程
统一地理信息管理平台。区地理信息平台与市级地理信息平台共享互联,形成基础地理图层、业务图层和共享发布接口,同时建有移动版地理信息平台,通过分发标准SDK 开发包,可实现移动终端地图展现、自动定位、轨迹采集、轨迹回放等功能,方便移动应用开发。各单位一般性地图应用无需搭建专有的地理信息平台,可申请直接调用接口使用。
3.加强智慧校园统筹
统筹试点智慧校园建设。加大宝安区智慧校园应用体系建设,按照层级递进、分类实施的工作思路,学校分为整体推进型、需求引导型、专题聚焦型和基础应用型,每种类型各选择1~2 所学校重点推进。加强“互联网+教育”各方面应用需求调研,形成“互联网+教育管理”、“互联网+教育应用”、“互联网+教育服务”、“互联网+教育督导”、“互联网+校园文化”等各类适合区域推广的应用服务体系,打造凸显办学特色与模式变革的试点智慧校园。
统筹虚拟智慧校园建设。根据智慧校园试点成功案例,制定智慧校园数据标准、软硬件及应用建设标准、登录认证及安全防范标准等,对具有区域推进的智慧环境、智慧管理、智慧学习、智慧教学、智慧服务等应用进行统一开发封装,利用区云平台架构的优势,对有价值的应用进行快速辐射与推广,使智慧教育各类成功应用辐射全区100%中小幼学校,形成校校为虚拟智慧校园。
图2 宝安区教育业务类系统(网站)内外网发布流程
新建系统需按“宝安区教育业务类系统(网站)集约化建设申报流程”,由业务建设单位负责提交申报(如图1 所示)。
新建系统申报,其设计及招标方案,须包含如下内容并提交区教育信息中心确认:系统的服务对象及范围、硬件、软件、数据备份、部署环境、网络、等保测评等需求,原则上统一由区集约化部署、建设和管理,业务系统建设单位不再另行采购配置。
新建系统需按“宝安区教育业务类系统(网站)内外网发布流程”,由业务建设单位负责提交上线发布申报(如图2 所示)。
新建系统发布,须完成如下相关工作并提交区教育信息中心确认:前后台分离(原则上只对系统的静态化前台进行整合发布管理)、统一认证整合(集成调用区基础平台认证体系实现用户帐号、登录统一管理)、统一平台发布(纳入区教育云外网发布展现平台,实现统一的数据抽取、脚本调用和版面展现)、安全准入扫描与整改(上线系统不存在中、高危漏洞,脚本或数据库版本更新需重新安检)、等级保护测评(所有上线系统需符合等保二级以上)。
原则上全区教育单位的政务类和业务类系统都需要通过区教育大数据资源中心集约化服务后统一发布,但也存在部分民办学校、民办幼儿园个性化自主招生等系统静态化分离后对外发布的静态化页面无法满足多重交互功能等特殊需求的系统,在区无法提供此类集约化平台和当前民办单位的网络与信息安全暂不纳入政府安全绩效体系基础上,经上线安全检测合规后,建议选择阿里云、腾讯云、天翼云等安全可靠的云端系统暂时提供对外发布服务,不得使用校内服务器直接发布及外部服务器托管发布,区教育城域网网络与信息安全运维团队负责登记备案相关系统,并建立实时安全监控的链条管理,通过台帐定期监测外部托管系统安全状态,主动预警处置。另外,区教育大数据资源中心正在完善主机安全加固及堡垒机体系,营造特殊安全需求系统的回迁环境。个别学校也在积极探索直接购买服务的校企合作共赢新模式,相信在移动互联日趋普遍的今天,针对短周期、低频率、高并发的需求,按需购买成熟稳定服务的思路将会被越来越多的用户选用。
宝安区共有办学单位518 所,公办中小学及公办幼儿园98所,其余420 所全部为民办,公办与民办办学单位之间的教育信息化水平差距明显,特别是民办单位使用的系统及代码五花八门,网络与信息安全隐患线长面广,管理和运维压力大。宝安区自实施区域教育云服务系统发布的探索与实践以来,既为全区民办中小学校、幼儿园及技术薄弱的公办单位提供直接可用的区域教育云平台、资源和应用系统,促进了全区教育信息化的均衡发展,又有效保障了区教育大数据资源中心机房对外发布的150 个学校网站,基础平台、政务平台、资源平台等将近200 个内部业务类应用系统群的健康运行和实时监控,有效处置各系统和网站存在的各类漏洞和风险。后期将继续围绕系统以城域网内发布为主的方向进行改进,做大做强城域网、集约化平台及安全接入,通过平安校园项目推进全区384 所民办幼儿园全量接入区教育城域网,搭建VPN 隧道实现外部临时访问接入,探索搭建与阿里云、深圳教育云等云间系统专用链路的安全直通互联,进一步拓展区域教育云服务系统发布的可信安全空间。