【关键字】军队院校数字化校园保密军训网
一、前言
随着信息技术的不断发展,信息化逐步融入人们的生活和工作,也带来了现代军事的重大变革,军队院校的教育信息化受到了军队各级领导的重视,“十五”以来,军队院校信息化发展加速,在硬件资源和应用软件建设上取得了一定的成效。[1]但对于教育信息化来说这只是一小步,教育信息化是国家信息化建设的重要组成部分和战略重点,其重点在于革新教育理念、办学模式、管理方法、教学组织、课程设置等。[2]
这就要求在具备良好硬件条件和应用的前提下,必须加快信息化平台的建设,在教学、科研、管理上全方位实现信息化交互。
数字化校园正是实现这一目标的重要方法和手段,在《2023年前军队院校教育改革和发展规划纲要》中,中央军委明确提出了数字化校园建设的新要求,军队院校也要着眼院校教学科研的任务需求,充分发挥数字校园对教学的促进作用,提升学校现代化教学水平和现代化战争条件下执行多样化军事任务的能力。[3]
因此,自“十一五”以来,数字化校园建设成为军队院校信息化工作重中之重,建设各业务系统统一的认证平台、实现校园一卡通覆盖、各种信息(人员、物资、教学等)的数字化、各业务系统和工作流程的数字化都是军队院校数字化校园建设的目标。
二、军队院校数字化校园建设难点
军队院校的网络建设和数字化校园建设是在总部的统一规划和指导下实施的,由于其网络建设和存储的数据的特殊性,在数字化校园建设和发展方面具有以下几个难点。
第一,军队院校数字化校园建设是由总部统一规划实施的,走的是集中式发展道路,各院校在建设数字化校园过程中,既需要遵照总部的规划,又需要兼顾自身的特点,具有集中性强,灵活性弱的特点。[4]
第二,军队院校的数字化校园部署在军训网上,军训网与互联网是从物理上完全隔离的两个网络,军训网上部署的数字化校园虽然防止了数据的泄密,但也造成了使用受限、无法共享互联网上丰富的资源等缺点。
第三,由于对数据保密的要求,军训网的开通和管理是有严格限制和特定流程的,军训网不能做到大规模全面铺开,而且军训网上不能使用无线网络,这也给网络规划和管理人员提出了考验,既要注重军训网接入的严格管理,也要保障用户使用的方便。
第四,军队院校存在数据保密的要求,在建设数字化校园过程中必须严格做到数据的保密,防止数据泄露,这在一定程度上增加了建设数字化校园安全体系的负担。[4]在实施“数字化”的过程中,如何协调好“放”与“保”的关系,做到既要让广大师生方便快捷地使用系统的功能要,又要让系统达到军队保密的要求,成为系统建设的难点。
三、解决方案
我校自2005年开始规划建设数字化校园,已有十余年的建设和使用经验,我校是医学院校,师生们需要获取最新的学科前沿知识,需要和全国各地乃至世界各国的专家进行学术交流,因此我校在网络建设和数字化校园建设方面一直走在军队院校前沿。以上提出的建设难点,我校在数字化校园建设过程中都曾遇到过,在实践中不断摸索和总结,我们认为可以从以下方面来解决这些问题。
首先,在遵循总部统一部署思路下,应当根据院校自身情况,积极和厂家交流,从平台架构到技术细节上选择符合自身需求的建设方案。在系统设计时建议遵循自上而下的思路,要从全局和总体的角度综合分析,选择安全、可靠、可扩展的系统架构。同时,在数字化校园实际建设中应当遵循“需求牵引、统筹兼顾、突出重点、分步实施、求实高效”的方针,不求一步到位,而是用需求推动建设,边建边用,注重实际,逐步完善。[5]
其次,严格确保平台数据的安全和保密,坚决做到互联网数据单向输入军网,严格防止军网数据的输出。网络和个人终端严格做到从硬件(防火墙、入侵检测、信息审计等)设备到系统防护软件(保密系统、标签和水印系统等)再到安全防护软件(杀毒、系统补丁等)的安装;保证军训网病毒库、补丁包的定期更新,确保数据的保密和安全。[3]在技术手段严格把关的情况下,经常性地对全校师生进行信息安全的宣传和教育,从思想上和技术上双管齐下,严防信息泄露。
再次,加强军训网接入点的建设,确保师生对军训网络的便捷使用。对于教职员工来说,需要增加军训网的接入点数量,确保每个教研室至少有两训网计算机,方便教员使用数字化校园中各业务系统。对于学员来说,应建设集中的军训网电子阅览室,[6]让学生可以方便使用数字化校园,填报查询各类信息,同时,建立严格的电脑使用登记制度,确保军训网使用的安全可查。
除此之外,对一些特定的业务系统采取军训网和互联网同时建设的办法,这些特定的业务系统首先是不的业务系统,而且具有在某个时间段使用量特别大的特点,例如学生选课系统。军训网现有终端数量较难满足集中选课时的使用需求,因此单独将该系统同步在校园网上部署,实现数据在两个物理隔离网络之间的逻辑同步。在校园网上部署的统一身份认证系统,只保留帐号密码验证功能,没有人员信息,账号数据从军网上定期提取,进行脱密后导入校园网数据库中更新使用。[3、6]这样既解决了军训网终端数量的局限,方便师生使用数字化校园的业务系统;又解决了数据安全的问题,校园网上运行的系统数据完全不,数据导入军训网业务系统时实现了无缝对接。
另外,针对军训网资源匮乏的问题,在军训网上建议同步建设图书馆、网络教学等业务系统,定期将民网上的资源和资料同步到军训网数据库中,给一些不能访问民网的教员和学生提供方便,解决军训网数据资源匮乏的问题。
四、结束语
数字化校园建设是军队院校信息化工作的重点,但由于军队院校的特殊性,其建设也存在许多的难点。要确保数字化校园在军队院校得到良好的应用,必须处理好信息安全保密和业务系统建设使用的关系,从思想教育、行政管理、技术手段、制度机制等各方面统筹实施,才能在保证信息安全和保密的前提下,将军队院校的数字化校园系统建设好和使用好。
参考文献
[1]唐清安,汪顶武.军队院校信息化建设的现状与对策[J].硅谷.2010.8:80-81
[2]姜婷婷,乜勇.我国数字化校园研究的现状与反思[J].中国教育信息化
[3]蒋东兴.高等教育信息化创新应用案例集[M].清华大学出版社.
[4]乔建忠.军校数字化校园建设之策略分析[J].艺术学院学报.2008.1:85-88.
关键词:网络组建;设计;综合布线;办公自动化
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)27-1909-02
ConstructionandManagementofOANetwork―UsingaCertainOASystemConstructionProcedureforExample
KUANGPi-dong
(AnhuiProvinceEnvironmentalProtectionBureauInformationCenter,Hefei230061,China)
Abstract:Inthispaper,acertainOAsystemconstructionisusedftoexplainthesystemdesigning,inner&outernetworkdesigning,networkmanagementandsecuritydesigning,includingtheselectionofinterchangefacilitiesandserver,aswellastheoperationsystem.Themanagementmeasuresaregiventoguaranteethesecurityofthenetwork.Boththetheoryknowledgeandthepracticeareusedtobringdistincteffectiveness.
Keywords:networkconstruction;design;compensativewiring;officeautomation
进入二十一世纪,全世界正在掀起全球信息化的浪潮,世界各国都把推进信息化进程,发展信息产业作为推动本国经济发展的新动力。信息化已是世界各国发展经济的共同选择,信息化程度已成为衡量一个国家和地区现代化水平的重要标志。作为改革开放的中国,我们也已经紧跟这股浪潮正在进行一场信息革命。计算机技术、通信技术、信息技术正很快地深入到我们生活的各个方面,随着新技术的应用和普及,这场全球性的信息化浪潮正深刻地改变着人们的传统观念、生活方式乃至整个社会的结构,同时我们也在生活和工作中体验到了新技术带给我们的种种便利。随着计算机网络技术的飞速发展,计算机软件也日益成熟。目前,建设计算机信息系统、构筑企业内部信息网、实现办公自动化,进而实现电子商务已成为许多的企业的当务之急。本文以安徽省某培训基地计算机网络信息系统的建设为蓝本,简述办公自动化网络的组建与管理。
1需求分析
根据安徽省某培训基地工作的具体需要以及当前科技发展水平,从商业需求、用户需求、应用需求、计算机平台需求、网络需求等方面把计算机网络工程建设目标分解如下:技术先进、网络系统安全、稳定、扩展性强、管理方便;完成办公自动化等信息管理系统;实现网络的智能化管理,提高工作效率;网络建设包括内部办公网络和外部网络(与Internet连接)两套网络;实现外网和Internet的连接,提高网上资源应用。本次局域网布线的组建工程是办公大楼局域网的建设,主要任务及要求为:主要包括连接网络的数据线路,根据建设培训基地的初步规划,每个标准房间需布设2个数据信息点(其中1个用于内网,1个用于外网),要求实现由房间信息插座到总机房机柜配线架上的连接及交换机的配置,对服务器系统和路由系统以及数字数据网DDN(DigitalDataNetwork)专线的连接和调试,具体情况可依据施工图纸进行安装。
2结构化综合布线系统设计
2.1设计原则
为保障培训基地计算机网络系统的各项性能,实现网络建设的总体目标,在应用设计和工程实施过程中应遵循如下原则:
1)先进性原则
采用先进的、具备发展潜力的计算机和通信技术,保障数据传输的高速度、高质量,从而发挥最佳的集成效果,保证在相当长一段时间内系统整体处于先进水平。
2)可靠性原则
采用先进成熟的网络技术与设备,保证网络系统的高可靠性以确保网络系统能够长期稳定运行。
3)标准化与开放性原则
在计算机网络系统总体结构设计中,所有软硬件产品的选择必须坚持标准化原则,选择符合开放性和国际标准化的产品和技术,只有这样才能保障在未来系统扩展时,各种软硬件接口的规范和通畅,保护原有的投资。
4)可扩展性与可升级原则
建设完成后的计算机网络系统应具有一定的可扩展性,为今后的网络系统的发展和扩充提供坚实的物质基础。计算机及网络技术发展日新月异,所以设计网络建设方案时必须充分考虑网络系统的可扩展性与可升级能力,切实保护用户的投资效益。
5)安全性原则
由于该培训基地系统的工作特殊性,必须保证计算机网络系统与数据信息的安全性,保证网络系统不被人恶意攻击,保障重要业务数据信息的保密性,网络系统中各种信息必须进行严格的权限管理,严禁非法用户获得及使用网络信息,保证数据的完整、保密性。
2.2综合布线方案
培训基地大楼综合布线工程涵盖了整个办公大楼,该布线工程具有以下特点:支持数据良好的交换;设备采用分布式管理,中心机房设在大楼中间位置,信息点分布到整栋楼的各个楼层,信息点比较密集;设备间到最远距离的信息点长度小于100米。根据上述特点,结合网络综合布线标准,该布线系统采用星形结构的集中式布线体系结构。集中式布线即把网络设备和配线架放置于同一机房,网络设备采用网管软件管理,为系统的安全稳定高效提供最大保障。本项目的综合布线系统由六个子系统组成,分布是工作区子系统、水平子系统、管理子系统、设备间子系统、主干线子系统和建筑群子系统,限于篇幅,此处不一一赘述。
3网络设计
3.1内网系统的总体设计
综合考虑用户的实际需求,本项目采用以太网技术设计培训基地的网络系统。按照培训基地的要求,考虑到整体系统的安全性,局域网是培训基地的办公网络,主要实现功能如下:向上与安徽省政府综合信息网连接,向下与各市级系统网络进行连接;实现内部办公自动化;内部WWW服务;实现资源共享。
根据以上分析,培训基地网络主干采用千兆以太网进行设计,10/100M交换到桌面,网络中心设在办公楼的五层。在网络规划时,首要考虑的问题是网络的性能和可延展性,因此,分布式层级结构是合适的。培训基地内部网络包括纵向三层结构:核心层、分布层和访问层。核心层由能够处理网络中大量数据流量的高性能交换机构成,这些交换机应能够处理来自网络中所有物理LAN和VLAN、从访问层到中心服务器的各种流量,提供高性能的网络交换和路由。核心层交换机为网络提供高速的主干链路,是沟通服务器和访问层设备的桥梁。核心层交换机应具备很强的扩展能力。核心层交换机是网络结构的中心设备,需要提供实时的高品质的网络服务。处于分布层的交换机用来分配网络资源和安置用户,从而将物理LAN和VLAN之间传送的非服务器相关流量降至最低。分布层交换机的主要任务是将连接“散播”至访问层的交换设备上。访问层的交换设备处于网络体系结构的最,提供基于端口的数据交换以及对VLAN的支持。为了提供无缝的网络交换,分布层和访问层的交换机应与核心层的交换机之间存在良好的兼容性。
3.2外网系统的总体设计
外部网络是指将连入Internet的网络,主要实现的功能包括连入Internet、建立培训基地网站、建立邮件系统等。根据对潜在用户的测算分析,网络的访问数据不是太多,所以该培训基地外网主干采用100M以太网进行设计,10/100M交换到桌面。网络中心设置在办公楼的五层,(外网的中心机房和内网的机房设备放在一起)。
在网络规划时,外部网络也和内网一样划分为三层:核心层、分布层和访问层。中心交换机选用性能价格比极佳的QuidwayS3526,二级交换机采用QuidwayS3026,与中心交换机放在同一设备间,可通过超五类双绞线级连或通过堆叠线堆叠,方便管理。由于培训基地外部网络对外访问的节点数目不多,对于路由器的要求不是很高,因此选择华为2620路由器配置一块E1卡连入Internet。在目前情况下,也可通过安徽网通公司的宽带连入Internet。
4网络管理
随着网络规模的不断扩大和网络应用水平的日益提高,一方面使得网络维护成为网络管理的重要问题之―,造成网络故障排除困难,维护成本上升;另一方面也使网络性能成为人们诟病的重点。一般的方法是通过提高网络设备的硬件性能来提高网络的整体性能,例如增强网络服务器的处理能力,采用千兆以太网、FDDI/CDDI、网络交换、ATM等技术扩展网络的带宽等。实际上,采取网络运行中的负载平衡等动态措施更能提高网络的整体性能。网络动态性能的提高可以通过网络管理系统即“网管系统”加以解决。
网络管理系统可实现的功能包括网络系统配置管理、故障管理、性能管理、用户管理、分布管理等,可自动识别网络拓扑的结构,自动设置与显示网络设备状态,自动配置与管理系统节点,还可以实时监测网络流量和状态,自动进行统计分析,调节性能,平衡负载。在选择一个较为理想的网络管理系统时,应考虑到当前的网络需求以及将来网络发展的需要。并从企业管理系统、多厂商支持、多操作平台支持、管理信息库的支持、开放性支持、网络设备的自动查找等方面来衡量一个管理软件的优劣。由于培训基地的网络是一个实时性、可靠性要求较高的大型网络系统,因此需要一套直观的、可自动显示和报警、可诊断故障点、可进行流量及流向统计优化网络资源、易于网络配置安装的网络管理系统。根据计算机网络的应用特点,本系统选择华为网络管理软件。
5网络安全方案设计
一个系统存在的安全问题可能主要来源于两方面:安全控制机构有故障;或者是系统安全定义有缺陷。前者是软件可靠性问题,可以用优秀的软件设计技术配合特殊的安全方针加以克服;而后者则需要精确描述安全系统。
如何确保系统的安全是系统规划设计中极其重要的部分,为了确保网络系统的安全性和保密性,笔者认为在指导思想上,首先应做到统一规划,全面考虑;其次,应积极采用各种先进技术,如虚拟交换网络、防火墙技术、加密技术、网络管理技术等;同时在系统的各个层面(操作系统、数据库系统、应用系统、网络系统)加以防范;最后,应加强有关网络安全保密的各项制度和规范的制定,并严格执行到位。
根据这次网络工程建设的实际需求,内部网络不考虑网络安全,对于该培训基地外部网络,本系统采用软件、硬件相结合的方式在网络内外建立一个坚固可靠的安全防护系统。PIX(PrivateInterneteXchange)是一种软硬件结合的防火墙,它完全可以满足培训基地的网络安全与应用需求。配置好PIX防火墙后,PIX防火墙外部的攻击者将无法在外部连接上找到可以连接的开放端口,也不可能判断出内部任何一台主机的IP地址,即使告诉了内部主机的IP地址,要想直接对它们进行Ping和连接也是不可能的。这样就可以对整个内部网进行有效保护,确保业务工作有条不紊的进行。
参考文献:
[1]CatherinePaquet(美).CCNP自学指南:组建可扩展的互连网络CISCO.袁国忠,译.北京:人民邮电出版社,2006.
[2]王达.网管员必读=网络安全[M].北京:电子工业出版社,2005.