张岩
在建设之初,通过调查其他省、市、区,我们发现,当时教育信息化软件建设主要是以单校自主建设为主,单校建设可以更全面地掌控需求,更贴合学校办学理念,满足学校的个性化需求。但单校建设也对学校的信息化思路和水平有着很高的要求,这也是很多学校无法自主建设或自主建设不成功的原因。同時,单校建设难以实现区域公共应用与学校个性化应用的统筹管理,极易形成重复建设,导致资金和资源的浪费,因为从全区层面来看,各校智慧校园中的建设内容具备大量的共性。而且单个智慧校园建设模式建设成本高、实施周期长,难以实现智慧校园的大规模推广和区域教育信息化的整体推进,从整体效果来看,不利于国家教育经费的利用。
在教育信息化建设之初,燕山教委充分发挥自身小而精的优势,采取区域统筹模式,从顶层规划入手,推广区域教育信息化建设,搭建了区域教育云平台。在底层平台上减少重复投资、降低建设成本,在应用上兼顾学校特色与区域统一,并保证区域整体信息化建设水平的提高,从长远的角度来讲,加速了教育信息化建设的进程。
树立顶层设计思想,建设数据互通标准
在区域教育信息化统一建设过程中,因为建设数量众多,不可避免地要使用多个品牌的软件应用。不同厂商的系统各有侧重点,有的关注人员管理、有的关注教学服务,但更多时候这些系统之间的数据都是共享的,彼此之间需要相互引用以满足平台的运行。所以,任何应用系统都不是孤立存在的,为确保所有软件应用数据互联互通,在建设之初我们就确立了区域数据标准的建设,打通底层数据链,树立顶层设计的思想,建设规范的数据标准、技术标准、接口规范等,保障信息交换的及时、准确和安全,实现应用系统之间数据相互流通共享。这些举措使系统具有良好的兼容性,严格遵循上级部门规范标准,以便使国家与市之间、校与区、市之间实现共享。
教育信息化的最终目标是应用整合。不管经历怎样的发展,区域教育信息化建设的各个应用都会整合在一起,实现数据共享、交换。数据标准将成为软件开发中功能设计、数据生成与交换的规范,将所有有价值的数据在区域和学校中共享。同时,借助数据管理与交换机制的标准,要求任何应用系统都必须在应用过程中生成规范的数据,并将数据传送给数据交换平台,使区域和学校摆脱对软件供应商的依赖,指导区域和学校的信息化建设,选择更优质的适合自己的软件。从而解决目前教委各科室和学校中各部门的应用独立使用、“信息孤岛”的弊端。
燕山教委在区域教育云平台建设之初就要求,各建设内容首先要符合国家、市、区的相关标准,在此基础上,学校再根据实际需求建设本校特色功能。区域平台遵循开放、不排他、非独家的原则,采用“统筹规划”模式,通过制定的区域教育信息化的建设标准,能够统一建立区域教育信息化基础平台,以及接入的各个应用之间的接口标准与规范,为今后业务信息化系统的建设与整合打下夯实的基础。
引入先进技术,建设轻量级底层平台
原有技术环境下,在安装部署时,需要给每个软件应用都配置操作系统、数据中心和存储中心。假设安装一个软件应用需要1G的空间,而该软件应用相匹配的操作系统、数据中心和存储中心则要占全部空间的80%,区域需购置和维护大量的服务器。所有应用只是预先由厂商部署在服务器上,根据分配权限访问对应应用的链接,不管应用是否被使用,都会给出一个固定的空间,占用大量的服务器资源。但实际上并不是所有的应用系统都需要时时刻刻占用那么多资源,可我们又不能人工去干预,无法根据需要自动分配和回收硬件资源,造成使用效率极低。
考虑到以上问题,燕山教委通过引入先进技术,在整个底层平台上,建设一个操作系统、数据中心和存储中心,不再需要给每个应用系统独立配置。当软件应用正常运行所需资源不足时,平台能够自动扩容;当软件应用运行压力回落后,平台自动缩容释放资源,实现资源的合理分配,实时保证应用的正常运行。这样同样的软件建设内容只需要原来硬件资源的10%,将大大节省建设成本。
增强整体规划理念,贯彻分布实施、适度领先的建设思想
在建设智慧教育信息化软件应用时, 如果只考虑区域或学校当时需求,缺少整体规划,对区域或学校后续的可持续性发展非常不利。尤其是随着后续软件应用建设的逐渐增多,会发现与前期的建设内容存在很大的不兼容性。所以,在燕山教育云平台建设之初,我们组织教师们研究国内基础教育改革内容,借鉴高校的智慧校园建设经验,结合中小学学生、教师和家长的需求和使用场景,综合燕山各学校的实际情况,对智慧区域信息化建设进行整体规划,不断完善建设内容。
在建设软件应用过程中,燕山教委按照实际需求,先做好总体设计,搭建好整体框架,然后有计划地分布实施,逐步进行扩展;同时管理者也意识到软件应用建设不是一蹴而就的,也不是一次资金支持就到位的,如果真正使用起来,则是一个循序渐进的过程。信息化不是一朝一夕的事情,需要深入结合实际,不断改进和优化应用系统。在应用系统建设过程中,应先考虑与教育教学相关的应用系统,再逐步推进与生活管理相关的应用系统。当然很多时候这两种应用系统是同时推进的,既重点解决教育教学的提升,又帮助学校师生更好地学习生活。所以应按照整体规划、分步实施原则,有计划有步骤地进行,坚决杜绝高投入、低利用的现象。根据信息化建设过程中总结的问题,学校在信息化过程中,本着“总体规划、分步实施、适度领先”的思路进行,稳步、快速地构建智慧校园建设项目。
从安全着手,建设让用户放心的智慧校园软件
在统一建设的基础上,我们给予学校较大的自主选择权。校级数字校园建设的基础架构都是类似的,学校特色的突出主要体现在是否选择了满足其独特业务需求的应用模块上。区级教育云平台引入“应用库”提供各类丰富的应用供学校选择,将更多的自主选择权交给学校。但对于厂商来说,关注的主要是业务功能的实现,对于软件本身的安全性考虑比较少,默认是教委应该负责的,厂商只是满足功能需求即可,所以软件安全性存在在巨大隐患。加上多个应用系统部署在同一服务器上,各应用和数据中心不能进行单独存储,可以无限制地进行访问,各应用之间安全相互影响,无法保障数据安全。正常智慧校园建设一个服务器上会部署多个厂商软件应用,比如A厂商软件应用出现问题,我们一般会把这个软件应用所在的服务器账号和密码给A厂商来登录修复。有可能会出现A软件修复好,B软件出问题了,或者A厂商工程师把学校的隐私数据拿走,或在服务器植入不易发现的病毒,这对建设者来讲都是黑盒子,是不可知的。计算机技术发展快,病毒更新也很快,当前采用安全的代码实现的应用,几个月后可能会有风险。综合来看,如果运行在平台上的应用无任何防护措施,区域基础敏感数据和应用系统产生的数据安全隐患就增加了。
考虑到现在的应用都是交叉访问,我们将各软件应用完全隔离部署,每个软件应用单独占用一份空间。应用出现问题不会对主机造成影响,也不会对其他应用造成影响。各应用之间无法直接互相访问,需管理员授权才可实现,防止窃取教师、学生和家长的隐私数据,保障数据安全。就像我们安装的手机应用在读取如短信等隐私信息需要我们授权一样,保障数据安全。
提供授权运维的功能,为平台的每个厂商自动分配账号并设置有效期。每个厂商进入后只能看到自己开发的产品,系统详细记录每个进入操作系统的账号从进入到退出的所有操作,包括他是否下载过学校隐私数据,是否安装过高风险插件等。
提供入侵检测防护和在线文件查收服务,为学校提供Web漏洞、端口安全扫描等全方位的防护服务,让智慧校园平台免受漏洞和病毒攻击,类似于硬件的等保功能。同时可以校验用户上传的文件是否有病毒,因为有的教师或家长可能会无意中上传携带病毒的文件,一个病毒文件会导致整个平台数据的丢失,造成非常严重的后果。
燕山教委遵循教育部精神,在对自身信息化建设现状进行深入分析和统筹规划的基础上,结合其他区域和学校的建设经验,从顶层规划入手,减少重复建设,搭建了燕山教委区域云平台。该平台以教育教学品质提升和教育服务创新为目标,对教委、校级应用进行统一规划和部署,力求形成教委建平台、校级选择优秀应用,资源共享互通、学生教师应用为主体,以教育服务管理为中心的云应用和云服务平台。平台将信息技术与教育教学服务管理深度融合,在指导学校层级进行应用系统使用的同时,实现了教育信息化建设的新突破。
作者单位:北京市燕山教委信息中心