上海教科網：構建上海教育信息化服務體系

文/朱宇紅

上海教科網：構建上海教育信息化服務體系

文/朱宇紅

上海教科網秉承“技術到頂，應用到底”的原則，依托IPv6實驗室技術攻關，研發、實施、推廣上海教育跨校身份認證系統，并基于此探索各類跨校共享應用。

昨天——適度超前的網絡建設

上海教育與科研計算機網（簡稱上海教科網，SHERNET）建設的歷史可追溯到1995年，從最初借助電信64K DDN線路構成雙環網狀主干、覆蓋八大高校，到2000年前后開始光纜校際互聯建設，瞄準教育寬帶網絡發展，到目前建成擁有300多公里光纜、15條10G線路的主干雙環網、連接“校校通”、輻射各類教育單位的IPv4/v6雙棧城域網，對外的互聯帶寬也由最初的512Kbps增長到21Gbps，主干拓撲如圖1。

上海教科網主干網具備以下特點：

1. 高速穩定可靠

上海教科網主干網具有較高的技術先進性、可靠性和運行效率。目前上海教科網主干網采用十臺萬兆路由設備構建，每個主干節點至少具有2個方向的萬兆線路連入主干，任何一個主干節點或任何一條主干光纖線路出現故障，均不會影響上海教科網主干網正常運行；且由于核心主干為網狀結構，由10G鏈路組成的主干網最大能承載30～50G的流量，根據目前網絡發展趨勢和上海教科網歷史流量增長情況預測，可保證支持現有網絡規模在“十二五”期間的運行。

主干節點每臺主干設備配備至少1塊24個千兆端口的業務板卡，可以千兆速率連接24家不同單位。部分高校由于教學科研等網絡應用豐富、流量較大，可萬兆直接接入主干，其他各接入單位可以根據應用增長的實際需求靈活調整接入帶寬。

此外，主干萬兆設備具備較高的性能，可以很好地抵擋網絡蠕蟲病毒攻擊和黑客發起的攻擊，大大地提高了上海教科網的安全性。

2. 支持IPv4/IPv6雙棧協議

上海教科網在2005年實現了全國第一個IPv4/v6雙棧城域網，目前的主干網則無論從功能和性能上都有所提升。上海市各教育單位可通過IPv4和IPv6雙協議接入互聯網，緊跟國家下一代互聯網CNGI發展戰略，跟蹤和研究IPv6新技術，為進一步實施中國下一代互聯網示范工程，攻克下一代互聯網及其重大應用關鍵技術，實現下一代互聯網產業化打下堅實基礎。

3. 支持多業務承載

隨著數字化校園建設的不斷發展和深入，校園網中承載的業務也越來越豐富、越來越復雜，今天的學校信息化體系架構已經涵蓋了學校各個部門的業務系統，如教學支撐平臺、電子教務平臺、科研平臺、數字圖書館、一卡通、校園廣播、安全監控等等。

上海教科網可通過使用MPLS VPN技術提供多業務融合解決方案，進而逐步構建下一代教育城域網實現多業務承載，如跨校區構建高清視頻會議專網等，為多校區學校提供透明鏈路，實現校區間的無縫連接，以及為中小學和學前教育構建安全綠色專網，以過濾互聯網不良信息對青少年的負面影響，防御黑客攻擊?，F已為上海海洋大學等高校多校區互聯應用服務。

目前，適度超前的上海教科網同其他同類網絡比較，無論是從網絡規模、通訊速度，還是從使用率、科技化水平來看，都走在發展前列，并開始了新一輪上海教育城域網的建設與規劃，將在“十二五”期間進一步“統籌建設能夠滿足教育信息化發展的上海教育系統信息化基礎設施和環境，達到高速可用、安全可靠、可信共享、泛在開放、綠色創新、持續發展的水平”，服務上海市所有的教育單位。到2015年，上海教育城域網將達到主干帶寬十萬兆，具備按需萬兆接入的能力，全部區縣級“校校通”網絡實現萬兆接入。

今天——適應需求的跨校共享應用探索

《上海市教育信息化“十二五”發展規劃》提出以“面向一線、提升服務、加強統籌、優化基礎”為指導思想，圍繞教育教學改革和創新人才培養的主題，把優化教育信息化基礎設施環境、構建優質教育資源共建共享機制、探索教育教學手段和模式的創新、提升師生的信息化素養和應用能力、提高教育管理信息化公共服務水平作為主要任務，最終為每一個受教育者營造“老師總在我身邊”的信息化學習環境。

顯然，教育信息化的目標是服務于每一個受教育者，其實現有賴于教育資源的極大豐富和共享服務水平的極大提高，而經過十余年的教育信息化建設，各級各類學校內部的教育資源越來越豐富，如何充分發揮這些資源的作用，通過資源共享推進教育公平、提高教育質量、促進科研合作逐漸成為教育信息化的重要內容，“跨校、協作、共享”成為新一輪教育信息化建設的主題詞。

目前，上海教科網正在教育寬帶基礎上，秉承上海教科網十幾年所堅持的“技術到頂，應用到底”的原則，依托上海教科網IPv6實驗室（由七大高校牽頭組成）技術攻關，研發、實施、推廣上海教育跨校身份認證系統，并基于此探索各類跨校共享應用，以構筑實用便捷和助推教育改革的信息化環境。

可信便捷的跨校身份認證

教育資源共享面臨的問題之一是如何使資源擁有者和使用者相互信任，并方便地進行資源訪問和資源最大化利用。目前大多數教育單位內部都已實現了統一身份認證，但由于各個學校投入分散，其SSO實現框架和技術各異，實現的時間和目標也不盡相同。在這種情況下，如何實現經過必要的身份驗證后安全可信地進行信息資源共享，以實現跨校的信息訪問，體現高校之間的資源共享與協作應用，是擺在我們面前的一大課題。

上海教育跨校身份認證系統正是在這一背景下通過項目研制和實施推廣逐步形成和完善的，該系統以各學校的SSO為可信認證源，通過體系設計、策略與數據訪問標準的制定及其實現，實現了校際信息資源共享的基礎架構。在完成一定規模的部署后，開展了一系列的跨校資源共享與協作應用試點，取得了良好效果，也實證了該系統可以成為區域教育信息化發展的可信基礎設施的重要組成部分，有利于充分發揮各校信息化投入效益，發揮上海教科網在上海教育現代化中的作用。

上海教育跨校身份認證系統架構是參照Internet2上的研究項目Shibboleth的架構，并結合上海教育系統的實際情況制定的，目前已形成跨校身份認證系統說明草案、跨校身份認證用戶屬性草案、跨校身份認證屬性規范草案、跨校身份認證訪問統計方案草案和聯盟草案等文檔，并與企業聯合實施跨校身份認證系統的搭建，逐步擴大接入范圍，目前已有二十所高校接入，5000余用戶使用過該認證系統，并基于跨校認證開展了諸如無線通、跨校選輔修、安全監測管理等應用探索。上海教育跨校身份認證系統邏輯架構如圖2。

共建共享的應用探索

1. 上海高校無線通

無線網絡因其架設部署和實際使用的便捷，已經成為高校校園網絡建設的重要組成部分，但為保證信息網絡安全管理，在已建或正在建設的高校校園無線網中，都會使用一些網絡安全接入管理機制確保本校用戶實名制登錄注冊，限制未授權用戶的無線網絡的訪問。這種管理方式給他校師生訪學或交流中合理使用無線資源帶來麻煩，而在校際間交流和訪問日益頻繁的情況下，能便捷地使用無線網絡的需求也越來越強烈。為此，2009年開始基于跨校認證試點實施“上海高校無線通”應用項目，旨在實現跨校無線網絡漫游接入。

高校無線通系統分為三個層次：平臺層、系統管理層、用戶接入層。其中，第一層是上海教育跨校身份認證平臺，提供用戶源地址認證的功能。第二層是各高校所提供的無線校園網資源組成的無線資源SP，該SP由教委或其他聯盟組織進行統一管理。根據實際部署情況也可在單獨的高校設立無線資源SP管理結點。這一層完成的主要功能是對于參與認證聯盟的各成員高校進行管理，同時為各高校設立無線網絡管理員，由管理員負責對該學校參與共享的AC進行管理，并制定不同的管理策略同時對相應的安全日志進行采集。第三層的用戶接入層將根據不同的用戶接入方式和不同的用戶類型完成對用戶認證請求的處理。

高校無線通在上海教育跨校身份認證系統基礎上實現了已加入跨校認證聯盟的各校師生使用其本單位帳戶就能在他校接入無線網絡的功能，目前已有十余個教育單位開放無線網接入資源，已為加入上海教育跨校身份認證系統的19所高校提供了超過60000人次的使用，取得了很好的應用效果，更多的單位正在申請加入。

2. 東北片高校跨校選輔修信息化協作

近年來，為順應社會發展要求，大學的教學培養模式在不斷的摸索與改革中，傳統的以專業為核心設置課程的教學組織模式，正逐漸朝著以課程為核心形成專業和院系的組織模式轉變。這種變化體現了在改革開放和市場經濟環境下，我國高等教育在通識教育方面進行的改革和探索。作為教學培養模式改革的具體措施，許多學校開展了學生跨專業和院系選修和輔修課程、專業的業務；在高校集中的地區，出現了高校間專業互補，聯合組織跨校選修和輔修的教學培養活動。

圖2 上海教育跨校身份認證系統邏輯架構

上海市東北片合作辦學聯盟（以下稱“合作辦學聯盟”）是典型的區域性跨校選修、輔修合作辦學模式。合作辦學聯盟中既有復旦大學、同濟大學這樣的綜合性研究型大學，也有上海財經大學、上海外國語大學、上海理工大學、上海體育學院、上海海事大學、上海海洋大學、上海電力學院等中等規模的?？菩源髮W，還有上海杉達學院等民辦院校。合作辦學聯盟自成立伊始就積極發揮各高校的優勢，克服各自教學管理制度和系統的差異，以面向全體師生的跨校選課和跨校輔修專業形式組織教學活動，實現了院校間教學資源共享、培養復合性人才的目標，受到了學生的歡迎。

上海東北片普通高校教學協作信息網的跨校選輔修系統（以下成“選輔修系統”）和跨校學習平臺（以下稱“學習平臺”）2010年建成并投入試運行。其中選輔修系統用于合作辦學業務協作和管理，學習平臺用于師生的網絡教學協作活動。

學習平臺則提供了一個功能強大、靈活和開放的空間，通過提供各種軟件工具和手段來幫助教師、研究員和學生創建一個用于交流、協作的站點。學習平臺基于開源的Sakai在線協作和學習管理系統研制。目前正在與相關圖書館合作增加教參輔助功能，以方便學生更好地自主拓展學習。

在此基礎上，上海市正在打造高校課程跨校共享系統，網上共享課堂將使校內名師成為城市名師，優秀教育資源將讓更多的學習者受益。

3. 其他跨校應用實踐

（1）上海教科網協作平臺

上海教科網協作平臺是建立在上海教育跨校身份認證系統基礎之上的一個資源共享及協同工作的輔助支撐系統。目前該協作系統處于試用階段，部分功能有待進一步完善。

已經推出使用的功能主要有：文件存儲、工作區管理、網上報告廳、多媒體資源管理、跨校輔選修、校內搜索、維基百科、麻省理工學院開放課程等。特別是其中的工作區概念，初步實現了跨校協作的雛形，來自不同學校的師生可以通過工作區的方式組成不同的組織，如班級、研究小組、工作小組、興趣小組等，共同探討問題、共享彼此資源。

（2）上海教育安全云監測報告中心

上海教育安全云是把安全監控點分布到云端（各接入單位）并將安全分析服務配置于云上（安全分析服務中心）的一個架構，通過安全云服務，為云端學校提供長期穩定的網絡安全監控服務。目前已經完成了第一期僵尸網絡監測中心的建設，正在進行的第二期分布式Web網站安全監測工作主要包括對網站漏洞的掃描、網頁掛馬和網站后門（WebShell）的監測等。上海教科網的接入成員單位未來無需再單獨購買Web安全監測設備，只需提出加入申請即可利用上海教科網安全云，享受到相關網站安全服務和技術支持。

上海教科網安全云報告中心也已完成與跨校身份認證系統的整合，目前一期的相關學校技術人員經授權后可使用本校賬號直接查詢反僵尸網絡信息。

圖3 上海教育信息化服務體系

明天——適配教育的信息化服務體系

《上海市中長期教育改革和發展規劃綱要（2010—2020年）》提出要“依托上海城市信息通信基礎設施和網絡，完善管理體制機制，建設與城市信息化發展相同步、與人才成長規律相適應、與學習型社會多樣化教育需求相匹配的教育信息化服務體系。”構建這樣一個教育信息化服務體系將是未來發展的關鍵所在。

上海教育信息化服務體系由教育城域網、教育基礎服務層（包括資源聚合和凸顯教育城域網特質的服務）、應用層組成，如圖3所示。

1. 上海教育城域網：高速互聯的上海教育城域網是上海城市寬帶網的有機組成部分，通過城市信息化基礎設施高速互聯各類教育單位，也可以看作是城市立體交通中的公交快速道，專為教育內部應用服務，以提高服務質量和效率，同時與城市寬帶網的任意部分都能高速聯接，從而使教育資源能高質量通過智能終端等方式隨時隨地為學習者服務，社會資源也能為教育服務，同時教育城域網上提供集約化基礎設施服務。

2. 各級各類學校：上海教育城域網上各學校（教育機構）形成私有云，是師生的信息化學習工作環境，也是教育資源/教育管理信息的源頭，部分特色應用服務的直接提供者，同時在教育機構間也有大量教育應用，產生更多的教育資源。

3. 教育資源/信息聚合層：對各類教育資源和教育管理信息進行聚合和管理，為各階段教育服務，并通過教育特質服務傳遞到應用層，因此必須應由教育信息化管理部門主抓，以確保共享和投入有效性。

4. 基礎服務層：上海教育城域網特質服務可包括可信（跨校認證）、安全（防御體系）、有序（內容管理）、個性化（推送服務）、智能（位置服務）、等，簡化應用服務中的技術難點，并實現資源調配。

5. 應用層：由各應用領域（教育管理各業務部門），也包括學校，基于資源提供面向教育系統的教學科研特色應用，并將優秀教育資源與應用服務有序向全社會開放，服務于所有受教育者。

其中貫穿始終的是可持續的運行機制，以保障教育信息化基礎設施穩定運行并按需擴展、教育教學資源逐年豐富并有序管理、教學科研管理應用不斷創新，并有效提高工作效率以及教育者和受教育者信息素養的逐步提升，從而達到教育信息化健康可持續發展。

“十二五”期間，上海教科網將總結前期建設經驗，堅持“技術到頂，應用到底”，初步構建上海教育信息化服務體系。根據上海市高校布局，將主干網延伸到臨港、南匯、奉賢等多個高校集聚區，并與“校校通”網絡進一步融合，面向所有教育單位，構成上海教育城域網，實現城鄉教育一體化以促進教育公平；進一步加強安全云和數據中心的建設，為教育單位提供集約化云服務；以跨校認證為基礎開展課程共享開放、數字化課程環境、網絡教學研究、圖書館優質資源共享、實驗室（實訓中心）網上共享等校際資源共享和協作，構建教育信息共享云，全面滿足教育教學改革的需要，適應創新人才培養需求，提升教育現代化水平，為廣大教師與學生服務，為學習型社會建設服務，逐步實現“老師總在你身邊”的教育信息化愿景。

（作者單位為上海市教委信息中心）