小金教工程總體技術架構設計

種連榮，王倩宜，劉啟新，歐陽榮彬，宋式斌

（1.北京大學，北京 100871；1.清華大學，北京 100084）

小金教工程確立了“加強頂層設計，協調全局發展；強調服務導向，堅持應用驅動；整合基礎設施，確保穩定運行；統一技術架構，保證持續發展”的建設原則，并根據此原則對建設內容進行全局規劃和整體設計。為了確保在小金教工程建設中對人力資源、系統資源、信息資源、空間資源和經費資源進行有效整合，并且充分考慮到應用集成和信息集成的要求，保障小金教工程建設健康、穩定、持續地發展，因此需要對技術架構、基礎設施、運維服務、安全保障和標準規范等基礎性工作進行統一整體的規劃與設計。

一、設計目標

小金教工程總體技術架構設計的目標是：以小金教工程總體設計方案提出的 “以信息資源建設與共享為核心，以構建統一的基礎保障環境為基礎，以整合教育政務應用與服務系統為突破口，以健全教育服務與監管業務信息化管理與運行機制為保障”為指導思想，建立統一規劃的技術架構，建設統一運行的基礎設施平臺，為各類信息系統和用戶提供完整的運行環境和技術支持服務體系。保證信息資源、服務資源、信息系統、基礎設施和安全體系等各要素之間構成一個有效的整體，方便信息的交換和共享，消除資源建設的無序和重復，推動信息系統的集成和整合，保障基礎運行環境的安全和穩定，提升技術支持和運維服務的水平和質量。

1.建立統一規劃的技術架構。分離業務與技術的相關性，確定信息系統的技術分層與各層的技術路線，建立信息系統開發遵循的統一技術規范，指導各信息系統的建設實施，使信息系統易于集成整合、升級擴展，使數據易于互聯互通、管理維護。

2.建設統一運行的基礎設施。整合原有基礎設施，建設統一的網絡平臺，構建統一的數據中心，提供統一的機房、服務器、存儲資源，建立統一的容災備份體系，為整個小金教工程提供統一的運行服務基礎設施。

3.建立統一的運維服務體系。建立科學有效地融合組織、制度、流程和技術的運維服務體系，建立一支專門的技術服務隊伍，制訂規范的信息系統管理制度，為小金教工程的順利運行和應用提供管理和服務保障。

4.建立全面的安全保障體系。建立多層次的安全防范措施和行之有效的信息安全管理制度和流程規范，形成全面的安全保障體系，為信息系統的安全穩定運行提供可靠、可控、可信、可查的安全環境。

二、總體框架

小金教工程的總體技術設計框架以教育管理基礎數據庫為基礎，以教育服務與監管的各項業務系統為主干，以支撐教育服務與監管決策為目標，以標準規范和安全體系為保障，以統一技術架構為指導，以教育信息網絡和基礎設施為紐帶，形成互聯互通、貫穿上下的教育政務管理、決策支持和社會服務信息化體系。

圖1 技術架構和基礎設施規劃總體框架

總體框架主要由技術架構、硬件基礎設施和安全保障體系、技術支持與運行維護體系等幾個部分組成，其中的技術支持與運行維護體系是系統建設和運行的基礎。

1.技術架構設計：技術架構包括數據架構、應用架構和軟件架構三個部分。通過統一的技術架構，配合相應支撐軟件，使信息系統易于集成整合、易于升級擴展、易于運行維護，減少不必要的軟硬件投資，提高信息資源的應用能力。

2.基礎設施方案：基礎設施方案包括機房、網絡、服務器和存儲備份四個方面的規劃和設計。基礎設施的建設按照“統一規劃，分步實施；安全可靠，穩定高效；技術先進，資源充足；利于擴展，方便實施；核心冗余，優質保障”的原則設計，為小金教工程提供運行基礎環境。

3.安全保障設計：安全保障設計包括物理安全、網絡安全、系統安全、數據安全、應用安全和終端安全等不同層次的安全防范體系的規劃與設計，針對信息網絡安全的風險，從安全技術、管理制度和監控保障等多個角度建立行之有效的信息安全管理制度和流程規范，建立一套完整的安全保障體系。

4.技術支持和運行維護方案：技術支持和運行維護方案包括隊伍、機制和技術支撐平臺的建設，保障小金教工程的穩定、高效、安全運行。

三、技術架構

統一的技術架構可以使信息系統易于集成整合、易于升級擴展、易于運行維護，減少不必要的軟硬件投資，提高信息資源的應用能力。技術架構遵循數據共享、用戶統一、公共服務平臺統一和應用整合的建設原則，包括統一數據架構、統一應用架構、統一軟件架構。

1.數據架構

數據是小金教工程的基礎和支撐。在統一數據架構中，要做到數據標準統一、集中存儲、邏輯獨立、分級授權管理，并且提供有效的數據訪問和數據交換共享手段，使得數據與應用的關系更清晰，數據的意義更加明確，數據之間的區分和關聯更加合理，保證數據的整體性、一致性、完整性，提高使用效率。

圖2 數據架構

數據架構采用二級層次模式。第一層是公共數據，包含整個體系的核心基礎數據集、公共代碼數據，以及為決策支持而裝載到數據倉庫中的數據。公共數據遵循統一的數據標準，提供給所有信息系統共享。第二層是應用數據，這些數據由信息系統產生，或者與信息系統關聯緊密。應用數據的結構設計遵循統一的規范，與公共數據有關的數據需要嚴格遵循統一的數據標準。公共數據與應用數據之間，或者是應用數據與應用數據之間，通過數據交換的模式互通有無。此外，公共數據還通過數據服務平臺，為其他系統或用戶提供數據的查詢檢索等服務。

依據小金教工程總體規劃和設計，公共數據架構采用如下原則：物理存儲統一，邏輯數據獨立，數據管理分級，數據服務集成。整體數據的物理存儲采用統一結構，并且存儲在統一構建的存儲設備上，并由統一的管理系統進行管理。各數據在邏輯上是相對獨立的。各信息系統擁有各自獨立的數據庫，獨立對自身的數據進行管理。應用之間的數據互換通過數據交換平臺進行。從數據的完整生命周期來看，數據的管理是分級進行的。不同類型的數據，在不同的階段，由不同級別的部門進行維護和管理。數據的非管理方，通過申請，使用相應的數據。在對外的數據服務上，應基于公共數據庫和數據倉庫中的數據，以用戶需求為主線整合與提取數據，構建集成的、信息完備的、個性化的數據查詢、檢索、統計服務。

2.應用架構

統一應用架構為信息系統建設提供安全、穩定、合理、高效、易于整合、易于交互、易于共享的層次化開發技術框架，從而提高信息系統分析、設計、運行、維護各個環節的效率，有利于提高信息系統的延續性、集成性、擴展性、安全性、穩定性和執行效率。對信息系統開發而言，可以提高開發效率，確保開發質量；對運行服務而言，使得維護和管理所需的技術更加單一化，有利于降低運維成本，提高運行服務質量。

應用架構表述了整個信息化體系中各信息系統、平臺之間的關聯關系、關聯方式等。良好的應用架構，能為信息系統的設計與實現提供合理、高效的模板，據此模板建設而成的系統，更加容易集成，系統間信息易于交換，內容易于整合，摒棄信息孤島，提高信息資源的利用率，提高系統本身開發效率和質量，確保信息系統安全、穩定、高效地運行，且易于維護和管理。小金教工程應用架構設計采用的是“數據共享、公共服務平臺統一、應用松散耦合”的架構模型。

圖3 應用架構

支撐軟件和規范為各信息系統提供必要的基礎軟件、基礎服務平臺、公共服務軟件，包括統一用戶管理、用戶身份認證與單點登錄服務、數據交換服務等。信息系統嚴格遵循相關的軟件、平臺應用規范，避免重復投資，避免接口的不規范和不統一。信息系統采用松散耦合的架構，各信息系統相對獨立，在必要時完全可以獨立運行。信息系統與信息系統之間，信息系統與公共服務平臺之間，通過服務的方式進行相互的關聯調用。信息門戶通過服務調用的方式與各信息系統進行集成整合，以應用集成和局部信息集成的模式運行，一方面作為各信息系統的導航，另一方面作為信息查詢的集中展示。信息系統需要接入信息門戶，以信息門戶為信息集成展示平臺，為用戶提供集成的、整合的、個性化的、主動的信息服務。

3.軟件架構

軟件架構表述了每個信息系統的構成模式，以及系統各模塊的關聯方式。統一軟件架構，將使信息系統具有良好的延續性、可集成性、可擴展性，有利于提高軟件系統的安全性、穩定性、執行效率。同時，對開發而言，相同的軟件架構，可以提高開發效率，確保開發質量；對運行服務而言，使得維護和管理所需的技術更加單一化，有利于降低運維成本，提高運行服務質量。

小金教工程信息系統涉及的功能、數據、業務繁多，開發者數量眾多且層次不同，為了保證這些信息系統能夠具有較好的開發支持能力、良好的部署和升級能力、良好的系統延展性，新系統的軟件架構采用分層設計方法，并且盡可能遵循國家、國際及工業標準和規范。

分層設計方法是將組件分隔到不同的層中，每一層中的組件應保持內聚性，并且應大致在同一級別抽象，每一層都應與它下面的各層保持松散耦合。分層軟件設計不得跨層調用，每一層都只與直接相臨的層進行通信；上面各層都建立在下層的基礎上，隱藏下層的信息并為上層提供服務；各層要封裝自己的實現，向上一層提供訪問接口；各層支持分布式的部署，即可部署于不同的容器實例中；各層進行通用分層描述。

信息系統在構建的時候，要遵循分層設計、逐層開發的原則，明確各層的界限，制定清晰規范的接口，以便提高開發的效率和系統的穩定性，也為系統的分步實施打下堅實的基礎。

四、基礎設施架構

基礎設施是整個小金教工程的基礎條件和保障環境，為小金教工程提供穩定、高效、易管理、可擴展的運行環境，保障各信息系統能夠穩定運行。基礎設施按照統籌規劃，統一建設，統一管理，集中構建的原則，建立統一的數據中心，提供專業機房、服務器和存儲資源；建立統一的容災備份體系，以及統一的運行維護服務體系；構建安全、穩定、合理、高效的信息化基礎保障環境。

基礎設施可以劃分為軟件公共平臺和硬件基礎設施，軟件公共平臺包括基礎軟件、公共中間件、安全支撐軟件等支撐軟件，硬件基礎設施包括服務器群組、網絡環境、存儲和備份、容災系統、安全設施、機房環境等幾部分。各業務系統使用分類服務器群來支持運行，使用統一的存儲和網絡架構、統一的機房基礎設施及容災系統。

圖4 基礎設施總體框架

五、安全保障體系

安全保障體系是小金教工程建設可持續發展的有力保障。安全保障體系通過在物理、網絡、系統、數據、應用、終端等多層次建立安全防范措施，構建可控、可信、可查的安全環境，建立一套行之有效的信息安全管理制度和流程規范，實現嚴密、多渠道的安全控制，確保系統安全可靠，提高用戶對信息系統的信賴度。

通過對小金教信息資源規劃的分析，將小金教的信息系統劃分為三個安全區域：辦公區域、數據中心和網絡出口區域。辦公區域包括教育部的辦公用戶，重點是防病毒；數據中心區域包括信息系統的核心業務服務器、數據庫、網絡設備、網絡線路和網絡出口等，信息系統的安全保護等級以三級為主，防護重點是防病毒攻擊、防黑客篡改和防誤操作導致數據丟失，應部署物理、網絡、主機、應用各層面的安全措施；網絡出口區域以網絡邊界防護措施為主。安全保障體系的總體結構如圖5所示。

圖5 安全保障體系的總體結構

總體結構覆蓋了等級保護三級基本要求中對網絡安全、主機安全、應用安全、數據安全和管理安全的防護要求，以滿足信息系統全方位的安全保護需求。同時，由于信息安全的動態性，還需要建立安全風險評估機制，在安全風險評估的基礎上，調整和完善安全策略，改進安全措施，以適應新的安全需求，滿足信息系統安全等級保護的要求，保證長期、穩定、可靠運行。

六、運行維護服務體系

建立一套科學有效的融合組織、制度、流程和技術的運維服務體系，為小金教工程的順利運行和應用提供管理和服務保障。

圖6 運維服務體系框架

運維服務體系框架由IT服務管理、IT基礎設施管理、運維管理流程與規范、運維支撐系統、組織機構與人員隊伍五個部分構成。

IT服務管理以流程為向導、以用戶為中心，通過協商服務水平，持續優化服務流程，提升服務水平，保障IT服務的可用性、可靠性和安全性，為業務用戶提供可靠的IT服務，提高業務滿意度。IT基礎設施運行管理包含了IT基礎架構規劃與設計、硬件基礎環境管理、支撐軟件管理、數據管理、應用管理、運行監控、文檔管理、資產管理、安全管理等方面。流程與規范的建設是運維服務體系中的一個重要環節。完善的工作流程與工作規范是運維服務的保障，它使得用戶及管理人員管理使用系統時有章可循，保障運維服務能夠有序進行。建立面向運行維護人員和技術支持人員的運行管理平臺，包括負責基礎設施和業務信息系統運行監控的集中監控管理平臺、負責向用戶提供支持服務的系統以及對基礎保障環境資源進行管理的信息管理平臺。確定和規范運維管理體系的運行管理方式和與之相配套的機構設置、人員崗位職責安排。

七、結束語

在小金教工程中，通過建立統一規劃的技術架構，建設統一運行的基礎設施平臺、安全運行環境和技術支持服務體系，可以加強信息資源的有效利用，完善信息安全保密措施，規范安全管理服務，保障信息系統和信息資源的安全，并實現統籌規劃基礎運行環境和資源配置，優化基礎設施綜合布局，減少投資和管理成本。 （編輯：王曉明）