数字化校园解决方案.doc

数字化校园解决方案曙光信息产业(北京)有限公司技术支持中心 解决方案部10年12月第1章 数字化校园发展现状及需求分析1.1 数字校园概念在20世纪末提出“数字校园”概念以来的十几年中，数字校园经过高校信息化建设的不断摸索，逐渐的发展起来，目前已进入快速发展期。信息技术的飞速发展为高校信息化建设提供了机遇和条件，也不断暴露出很多新问题，如信息孤岛、信息安全等问题导致业务流程不通畅、用户使用不方便、系统应用推广难等等。随着应用系统的增多，经常需要牵扯到其它应用和流程的改造，以便进行数据共享、交换和更新。这就需要建设一个统一的信息访问平台。目前，国内数字校园的发展具有明显的地域性和层次性。发达地区的教育机构数字校园建设程度好于欠发达地区。高教、普教、职教、幼教、成教等各种教育层次，由于业务特性、管理体制和信息化普及程度存在差异，对数字校园的需求和体会也存在着很大的差异性。从差异中总结共性，针对个性化的需求模式提供定制化的校园建设方案，曙光将现代教育思想和现代信息技术结合起来，建立了一套数字化校园解决方案，保证了学校的投资最大化、业务个性化、管理职能整合化、老师学生便利化。数字校园是一个广范围概念，它包括了现实校园及数字化空间，也包含了当前流行的虚拟大学。现实校园是数字校园的基础，数字校园是现实校园通过信息技术在时间和空间上的扩展与延伸，它包含了现实校园及其所衍生出来的数字空间，虚拟大学是数字校园的远程教育功能部分，是数字校园的对外服务的部分职能，它是传统校园数字化后社会功能的延伸。数字校园是利用计算机技术、网络技术、通信技术对学校与教学、科研、管理和生活服务有关的所有信息资源进行全面的数字化；并用科学规范的管理对这些信息资源进行整合和集成，以构成统一的用户管理、统一的资源管理和统一的权限控制；把学校建设成面向校园内，也面向社会的一个超越时间和空间的虚拟大学。数字校园是以网络为基础，从环境、资源、到活动的全部数字化校园网络及其应用系统构成整个校园的神经系统，完成校园的信息传递和服务。在数字校园里，可以通过现代化手段，方便地实现学校的教学、科研、管理、服务等活动的全部过程，从而达到提高传统校园效率，扩展传统校园功能，最终实现教育过程的全面信息化，达到提高教育水平、管理效率的目的。1.2 数字校园发展现状随着我们对数字校园的不断实践和总结，有一些普遍存在的需求是所有数字校园建设共有的： 共享与协作的需求在教育信息化不断扩展、完善的过程中，不可避免的出现了信息孤岛、资源管理混乱等问题。因此，数据、信息的分享和交流成为共性需求。迫切需要通过先进的信息整合技术和主流、稳定、可靠的信息集成工具，实现对信息的梳理、整合和分享、提高各级教育机构和管理机构对于核心信息的准确掌握程度，为全局需求的实现提供基础。同时，对于应用、服务和知识的共享和协作正逐步成为数字校园下一步发展的趋势。实现各种人员、群体，各种应用、服务和知识之间的互联互通，并充分挖掘各方面价值，是促进核心竞争力提升的重要推力。 管理向服务转变的需求中国教育不断发展、不断与国际接轨的趋势，使得教育本身面临着管理向服务转变的需求，这也是我国服务型经济转型的需求。学校作为教育服务的直接提供者，是否能够迅速的实现这一转型直接影响学校总体竞争力的提升。 对整体成熟度和稳定性的需求数字校园结合人、技术、产品、管理体系、战略规划等各种因素，需要满足方方面面的当前需求和发展需求。高复杂度直接导致高难度和高风险性。所以数字校园采用的技术、产品、架构和服务都必须具备先进成熟、稳定可靠的特性，才能构建一个可成功建设、可有效管理、可扩展增值的体系。 可持续发展的需求需求变化是永恒的主题。数字校园发展到整体建设阶段，其影响力已经覆盖到学校生活的方方面面。其是否能够适应业务、技术、战略的变化，将直接影响到学校正常运行和发展步调。因此，可持续发展成为数字校园建设的长期需求。这就从技术路线、技术架构、业务体系架构和系统总体设计等方面提出了高要求。 全面建设的需求数字校园不等于基础建设，不等于单个应用，也不等于e-learning或数字管理体系，而是所有这些内容的综合。数字校园的逐步递进发展使得越来越多的学校认识到这一课题是真实校园在虚拟空间的全面再造，应该充分考虑并协调发展教学、科研、管理、服务、交流等各个方面的信息化建设。全面建设成为未来的趋势。 总体目标日益明确数字校园建设的目标与教育的本体目标应当一致，即：教学、科研和社会服务。数字校园的构建是对数字化管理、数字化教学、数字化科研、数字化服务、数字化校园生活的全面实现，更是在新技术发展基础上对于原有业务的拓展和加深。1.3 数字校园需求分析数字校园应用系统建设，就是通过利用校园网上的网络基础设施，构建各种校园的应用支撑平台与信息服务系统，建立一个虚拟校园的校园应用系统，实现数字化的学习和数字化的管理。在面向信息服务的架构下，在计算资源整合、信息整合、应用整合的基础上，实现流程与内容的整合。通过任务驱动与流程调度控制，可有效协调校园所有人员、资源调配。可以有效提高教学、科研、管理和生活水平和运作效率。从长远的应用和服务上，建立完善的信息管理和运作机制，全面提升学校的信息化程度。我们认为数字化校园应该包括以下几个部分： 网络基础设施 应用支撑平台 基础应用/服务 校园网综合管理平台（电子教务、电子图书馆、一卡通、） 网络认证体系 安全保障体系图1 数字校园逻辑结构图上图表示的是数字化校园系统模型，表示了数字校园各系统模块的层次划分和关系。关于数字校园的分层模型描述如下：第一层“绿色数据中心基础设施”层，包括网络、服务器、存储等硬件设备。其中曙光绿色机房概念的推出，是响应国家节能减排号召的具体行动，绿色数据中心支撑着数字校园的上层应用，是数字校园的构建基础。第二层“应用支撑体系“层，包括数据库、网络管理、域名服务、目录服务、网上支付、校园卡等数字校园建设所需的各核心平台。第三层“平台软件”层，包括用户权限管理、安全运维管理、数据交换、信息发布、资源分享等，它为上层应用提供服务，是上层应用系统集成的基础。第四层“各类校园应用”层，它是数字校园中运行的各类业务系统，包括数字图书馆、办公自动化、网络教学、后勤服务等。第五层“校园门户”层，它将各类信息资源与服务集成起来，是数字校园的总入口，为用户提供统一的界面与个性化服务。为了更好的解决众多难题和挑战，曙光的教育行业解决方案以需求为导向，面向服务构建数字校园整体架构体系。通过信息服务化，将资源、数据、信息和应用流程，按照基于服务的方式整合起来，使它们之间彼此互相关联，数据共享、融通，并通过组织和业务流程再造，有效协调人员、资源，以提高教学、科研、管理、办公、学习方面的整体办事效率。从而实现IT与业务的紧密结合，满足个性化需求，同时其快速应变能力能够灵活响应各种需求变化，支持教育改革和创新。我们的方案着重从以下几点进行设计： 合理分布资源、信息和应用，充分利用已有建设成果，保护学校投资； 关注数据的整合和数据流的完整实现，从根源上消除信息孤岛； 支持国家要求的以及学校内的各级标准和统计上报需求，基于统一数据源，实现各种统计口径的信息汇总和决策支持； 实现应用的集成，支持业务协作、部门间流转和全校性业务的实现； 关注用户使用效率，支持多校区、多级管理和服务的实现，支持移动应用；第2章 构建统一的校园信息门户平台2.1 曙光校园门户系统概述校园门户服务是数字校园的高级表现形式，凌驾于各类应用之上，作为数字校园窗口，以浏览器的方式向用户展现数字校园的应用信息，针对不同的用户，为他们提供基于个人访问权限的个性化界面和服务。为全校师生员工及校外用户提供快捷、共享、全面的信息服务。为高校实现“网上教学、网上科研、网上管理、网上服务、网上办公”。对学校而言，校园门户是对外的窗口，是宣传形象的载体。对老师、学生和学校管理人员而言，校园门户是科研、学习和管理的平台。2.1.1 当前校园门户存在的问题 普及率不高各种教育机构的门户平台建设都存在不足。即使在信息化水平较高的高等教育，各学科、院系、专业的门户建设水平也参差不齐。 各个系统相互独立按现在的应用模式，校园网的各个应用系统之间基本上是独立的，都有各自独立的用户管理和认证模块，这样就导致了应用系统之间的用户信息可能不同，给用户在使用上带来了极大的不便，使用户面对多个系统要重复输入账号、口令等信息，不仅烦琐，既给用户带来使用不便，也存在严重的安全隐患。同一教育结构内各个部门间的门户平台,网站从技术架构、结构、风格等方面看都缺乏一致性，难以支持统一形象的展示和统一管理、服务的实现。 设计实现技术落后很多门户平台采用技术落后，在管理、维护、更新等方面造成了障碍，不利于提高网站的被搜寻成功率，也不利于实现网站的宣传功能。也无法实现统一机构内多级门户体系的构建和管理维护。 系统安全性低技术的落后和安全体系的缺失使得教育机构门户平台往往成为病毒、木马和黑客的目标。实现单点登录的方式，具有较高安全控制的统一身份认证系统，以保证数据一致、安全、使用和管理方便。 系统更新周期长技术和运维的局限使得门户内容的统一管理、更新、权限控制和展示手段都无法支撑使用过的需求。内外网门户资源不够统一，内容老化，信息发布不同步，信息资源的检索及利用率不高，缺乏个性化的自定义。因此需要对分散在各地的用户实行安全管理及个性化服务。并支持后续协同其他相关部门的业务网站和应用系统。实现资源整合。在减少重复投资的前提下，提供相关的增值服务。2.1.2 校园门户建设设计思路门户服务独立于各类应用之上，作为高校对内外的窗口，以浏览器的方式向用户展现数字化校园的应用信息，通过人员整合（组织机构、用户管理），使得学院用户（教师、学生、职工、校外人员等）自由定制个性化的信息内容。此外，门户的另一用途就是应用整合，提供各种服务及应用的接入，如E-mail系统、教务管理、办公系统、校园虚拟社区、主页托管系统、信息发布系统等等。图2 校园门户框图校园信息门户由门户界面管理、统一身份认证服务和应用管理服务三部分组成，用户通过校园门户网站注册登录后，经统一身份认证，根据角色分别进入定制门户主页，其内容分别由信息服务系统、应用系统和网络基础服务提供，通过单点登陆主要实现以下目标： 建立单点登录系统，用户经过一次登录以后，在有效期限内，可以直接访问已授权的网络应用系统，而无需重复多次登录； 全校统一的电子身份，用户可以使用任何已授权的应用系统； 为各个应用系统做接口，并协助改造各个应用系统，使之支持统一用户管理与认证，支持用户的单点登录。2.2 曙光校园门户方案设计2.2.1 总体方案设计校园信息门户由门户界面管理、统一身份认证服务和应用管理服务三部分组成，用户通过校园门户网站注册登录后，经统一身份认证，根据角色分别进入定制门户主页，其内容分别由信息服务系统、应用系统和网络基础服务提供。针对以上的应用，推荐采用曙光高性能服务器、高端企业级存储系统等设备，以满足与国际接轨的全日制普通高等学校的管理和教学需求。为更好地满足系统的安全需求和便于管理，推荐同一品牌曙光的天罗硬件防火墙系统。图3 曙光校园门户系统拓扑结构整个系统的网络拓扑图表示如图所示，本方案信息服务部分主要包含实现负载均衡的Web发布子系统、数据库双机高可用子系统、FC-SAN存储及备份子系统和硬件安全防火墙。考虑到系统的可靠性和稳定性，在这里需要特别提出的是存储子系统中的交换机的配置问题。如果一旦发生故障或是由于其他方面原因需要关机检测时整个存储子系统将不能正常运行，所以建议在此系统采用冗余结构提升系统的整体可靠性，配置冗余结构。双控制器的在线全光纤盘阵和冗余光纤交换机。通过包括备份系统在内的数据保护系统，对在数据库业务系统运行平台上运行的各个应用系统提供了完整、可靠的数据保护。数据库服务器采用曙光数据库专用机系统，数据库专用机基于曙光二代小型机，标配对数据库性能有极大提升的SysCache I/O加速卡，并包含数据库售后服务产品。它适用于Oracle、SQL server、Sybase、Mysql多种主流数据库，同时也可以很好的支持达蒙、人大金仓、南大通用、航天通用等各种国产数据库系统，同时利用SysCache I/O加速卡可以极大提升数据库系统的性能。 在该系统中除了服务器和存储系统外，系统网络安全也非常重要。 要保证系统的安全性，不受到外部的攻击，必须要建设网络安全系统，网络安全系统建议采用曙光千兆防火墙，从而最大限度的保证系统的安全性。通过曙光的集群技术，使得所有服务器构成一个有机的整体，建立了可以提供大容量接入能力、大规模处理能力的应用支撑平台，满足了所运行的各个业务系统稳定、高效、易管理的需求。2.2.2 方案详细设计l 数据库子系统对于用户来说，高效、可靠、安全的数据库系统所有数据管理的最基本保证。考虑到数据库的高性能需要问题，建议采用曙光数据库专用机，选用高端八路四核AMD处理器和大内存，标配对数据库性能有极大提升的SysCache I/O加速卡，并包含数据库售后服务产品。是曙光公司根据数据库市场需求精心打造的，具有高性能、高可靠性、高扩展性的专用硬件产品，每台服务器上配置双口4GB FC HBA卡，用以连接存储设备。立足于当前的发展，规划建设一个高效的、可持续发展的数据库支撑平台，应该更多地关注平台的高可用性、可扩展性、高度安全性，高可管理性等特性。数据库软件，建议采用Oracle RAC，在上述硬件平台上构建Oracle数据库集群。ORACLE RAC数据库系统以多实例共享存储数据的集群架构为基础，来承载应用层数据的存/取操作，它基本的体系架构如下图所示。图4 Oracle RAC体系架构通常来讲，组成集群的每个服务器平台上运行一个数据库实例，这些实例负责对同一数据库物理文件进行存/取访问，所有的实例从操作数据库的角度来看是平等的，所需要操作的数据库数据存放在共享的磁盘阵列上。数据库本身的物理文件主要包括控制文件、数据文件、重做日志文件、归档日志文件以及数据库软件自身的安装文件（在ORACLE_HOME所在的目录中）。ORACLE RAC在工作时，所有的实例需要根据同一个控制文件定义的数据文件结构来操作物理数据文件，因此，控制文件及数据文件必须放在共享的磁盘阵列上。在日志管理上，每个实例单独负责其自身对数据库操作的归档，实例彼此之间不发生干涉，因此ORACLE RAC对重做日志文件及归档日志文件的存放位置不做硬性要求，也就是说，即可以放在本地硬盘上，也可以放在共享的存盘位置上，只要文件在能被实例所在的节点识别的位置上，都可以放重做日志及归档日志。同样，每个实例的数据库软件的安装位置也是即可以在本地磁盘，也可以在共享存储上。在ORACLE RAC的集群架构下，集群注册软件及表决磁盘是协调整个集群当中所有实例的中枢机构，是全部实例共享的，因此其存储位置也必须在共享磁盘阵列上。因为系统出现问题时，上述的各种文件彼此之间可以相互修复及补救，在存放时，曙光建议把必须共享的控制文件、数据文件、OCR及voting disk放在共享磁盘阵列上，其它的文件放在实例各自所有的主机本地磁盘空间当中。从硬件角度，这个系统需要多台服务器和一个或多个存储设备，服务器和存储都连在光纤交换机上，同时所有服务器需要通过网络交换机进行通信，并且建议用一台千兆交换机于私网通信，用一台千兆交换机做公网提供对外通信，也即RAC 集群中的各节点能够同时对共享磁盘存储的进行访问，能够同时与专用网络进行连接，能够同时对公共网络的访问。如图5所示：图5 Oracle RAC连线图l 共享磁盘存储Oracle RAC 依赖于一个共享磁盘体系结构。数据库文件、联机重做日志和数据库的控制文件必须都能为集群中的每个节点所访问。共享磁盘存储 Oracle Cluster Registry 和 Voting Disk。配置共享存储有多种方法，包括直接连接磁盘（通常是使用铜缆或光纤的 SCSI）、存储区域网 (SAN) 和网络连接存储(NAS)。 l 专用网络每个集群节点通过专用高速网络连接到所有其他节点，这种专用高速网络也称为集群互联或高速互联 (HSI)。 Oracle 的 Cache Fusion 技术使用这种网络将每个主机的物理内存 (RAM) 有效地组合成一个高速缓存。 Oracle Cache Fusion 通过在专用网络上传输某个 Oracle 实例高速缓存中存储的数据允许其他任何实例访问这些数据。 它还通过在集群节点中传输锁定和其他同步信息保持数据完整性和高速缓存一致性。 专用网络通常是用千兆以太网构建的，但是对于高容量的环境，很多厂商提供了专门为 Oracle RAC 设计的低延迟、高带宽的专有解决方案。 Linux 还提供一种将多个物理 NIC 绑定为一个虚拟 NIC 的方法（此处不涉及）来增加带宽和提高可用性。 l 公共网络为维持高可用性，为每个集群节点分配了一个虚拟IP地址(Virtual IP)。 如果主机发生故障，则可以将故障节点的 IP 地址重新分配给一个可用节点，从而允许应用程序通过相同的 IP 地址继续访问数据库。除了硬件层面的共享之外，较之于以往版本的RAC，Oracle RAC 10g还在软件方面做了很多工作，如：Oracle 集群就绪服务：Oracle RAC 10g 引进了 Oracle 集群就绪服务 (CRS) 一组用于集群环境的与平台无关的系统服务。 在 RAC 和 Oracle 并行服务器先前版本中，Oracle 依靠厂商提供的集群管理软件来提供这些服务。 虽然 CRS 与厂商供应的集群件协同工作，但 Oracle RAC 10g 所需组件只是 CRS。 实际上，必须在安装 RAC 之前安装 CRS。 CRS 维护着两个文件： Oracle Cluster Registry (OCR) 和 Voting Disk。 OCR 和 Voting Disk 必须以原始分区或集群文件系统文件的形式存在于共享磁盘上。 Oracle RAC 软件：Oracle RAC 10g 软件是 RAC 数据库的核心，每个集群节点上都必须安装。 幸运的是，Oracle Universal Installer (OUI) 可以完成在每个节点上安装 RAC 软件的大部分工作。 您只需在一个节点上安装 RACOUI 会完成其余的工作。 Oracle 自动存储管理 (ASM)：ASM 是 Oracle 数据库 10g 中的一个新特性，它以一种与平台无关的方式提供文件系统服务、逻辑容量管理器和软件 RAID。Oracle ASM 可以条带化和镜像磁盘，从而实现了在数据库被加载的情况下添加或移除磁盘以及自动平衡 I/O 以删除“热点”。 Oracle ASM 不是通用的文件系统，只能用于 Oracle 数据文件、重做日志、控制文件和 RMAN 快速恢复区。ASM 中的文件既可以由数据库自动创建和命名（使用 Oracle 管理文件特性），也可以由 DBA 手动创建和命名。由于操作系统无法访问 ASM 中存储的文件，因此对使用 ASM 文件的数据库执行备份和恢复操作的唯一途径就是使用恢复管理器 (RMAN)。 ASM 作为单独的 Oracle 实例实施，只有它在运行时其他数据库才能访问它。ASM 需要的内存不多： 对大部分系统来说只需 64MB。 在 Oracle RAC 环境中，ASM 实例必须运行在每个集群节点上。通过采用上述技术和产品，极大地提高了用户系统的应急性能和可靠性、数据安全性和易管理性。当前的系统建设，将为今后进一步完善各个硬件系统打下良好的基础。l Web系统门户子系统主要涉及学校的教务工作，是高校的核心工作。利用先进的技术手段和指导思想提高教育、培养、管理水平，对提高人才的综合素质培养具有重大的影响，对打造高品牌大学更有着广泛深远的意义。Web服务器是应用系统的信息发布平台。在应用系统的多层体系结构中，门户网站作为信息发布层，提供信息浏览、服务定位等功能。Web服务要完成下列任务： 接收用户访问请求，并保持用户连接； 将用户访问请求发送给应用服务，并等待应用服务的查询处理结果； 接收应用服务的处理结果页面，提供给用户浏览。由此可见，Web服务器的系统资源主要用于满足对访问请求连接的处理，也就是服务器能够并行处理的Web访问的数量。如果Web服务主要为静态网页，内存数量是一个影响性能的关键因素，因为它决定了Apache可以缓存多少内容。它缓存的内容越多，在硬盘上读取内容的机会就越少，而存取硬盘上的特定文件是一件很费时的操作。另外，因为有大量的页面文件需要保存，因此需要一个相对较大的硬盘即可。如果Web服务主要为动态网页，并且将应用程序与发布系统分开，则其本身仍然类似于静态发布方式，只是由于需要增加一些系统资源，以便用于处理与应用/中间件服务器之间的通讯。Web服务器要处理大量的来自网络中的用户对Web站点的访问请求，这就需要一个强壮的CPU来处理这些访问请求，并且需要足够大的内存来缓存尽可能多的访问请求，以提高系统的处理速度。而且要求磁盘I/O接口具有较大的通信带宽，同时网络线路具有较高的数据传输速率，以减少对网络用户访问请求的响应时间。因此Web服务器对资源的需求顺序依次为：CPU、 内存、磁盘I/O。我们推荐曙光四路AMD服务器来搭建本系统。推荐采用曙光DCLB负载均衡系统，DCLB是一套高效的负载均衡系统，具有高度的可用性和扩展性。通过DCLB一组服务器（集群）能够对外提供一致的服务，并且集群内部的结构对用户来说是透明的，用户看到的只是一台单独的虚拟服务器。DCLB有高效的负载均衡机制，响应快、效率高。转发机制对应用服务完全透明，使用DCLB做负载均衡的服务本身不需要做任何特殊的编程。l 存储及备份子系统 存储系统数据中心的存储系统，主要为部署的数据库服务提供大容量存储，是具有一定的规模的SAN存储系统。本地存储系统采用交换机以及FC-FC磁盘阵列提供海量存储。该配置为将来扩充方便，平滑升级也预留了一定的扩展槽位，当这些扩展槽位用完后，还可以通过增加扩展柜的方式来继续扩展数据库系统的存储容量。存储盘阵选择曙光DS800-F20磁盘阵列，它所具有的超越同类产品的强大性能和超大扩展容量以及领先业界的数据管理、保护功能不仅有助于满足用户今天的各种存储需求，而且为满足未来存储需求的持续增长奠定了良好的基础，使得中型企业用户可以和大型企业用户一样获得高稳定、易管理、方便扩展的可靠的高端企业级存储系统。 构建本地备份系统备份系统是基于学校信息中心数据安全的需求，并针对当前环境的特点，所采取的多层次、全方位的数据保护策略。备份子系统推荐采用曙光软硬一体的备份存储系统DBstor，能实现对当前业务数据库系统、文件系统等关键数据的备份，本方案只考虑本地备份到磁盘阵列上，通过曙光备份系统内嵌的强大备份功能模块，采用高效的LAN-FREE备份方式，将在线数据备份到曙光软硬一体的备份存储系统当中。这样既可以利用高速的磁盘阵列提高备份效率、缩小备份窗口，又可以充分利用近线的磁盘设备所带来的更高的安全性。 曙光完整型备份系统针对的用户环境：完整型备份系统是针对高可用的并行数据库系统设计的（ORACLE RAC），这类数据库系统在备份时呈现的特征是数据量大、对数据库在线业务的影响要小，备份的时间窗口尽量要小，对数据备份的性能要求极高。为此，此方案在设计时，我们采用基于磁盘阵列的光纤网络环境。具有以下计算机系统特点的客户可以采用完整型配置： 业务服务器数量不超过20台，支持各种曙光服务器的操作系统 客户采用1个ORACLE数据库系统 需要备份的业务数据总量在10TB以下 数据库系统通过SAN环境进行备份对于一个以SAN环境构成应用平台的计算机系统，完整型备份系统将与原SAN系统构成一个完整的SAN架构，如下图所示：图6 系统备份架构主要功能及性能参数： 通过SAN网络实现应用数据的全自动备份； 对于光纤SAN网络单台服务器备份效率约为300GB/小时； 数据库RAC在线备份效率约为300GB/小时； 实现数据库的完全恢复，即将数据库恢复到最新时间点； 基于日志实现不同时间点的数据库恢复； 实现数据库完全破坏后的恢复；此外该系统还可以实现以下功能： 集中管理所有业务服务器全自动备份 通过以太网络实现应用数据的全自动备份 实现将10TB的有效磁盘空间虚拟成磁带库做为备份设备 基于策略定制的全自动备份 自动数据库数据导出并自动进行备份 对备份介质和其中内容进行自动管理 根据需要对所备份的数据进行自动恢复 实现对不同时间的备份内容有选择的进行恢复 自动提交每天的备份状况报表邮件 可以产生多达29个日常报表 通过硬盘备份和恢复，实现快速的备份和恢复可实现对操作系统、文件、数据库的备份： 操作系统备份我们在对操作系统做备份时，重点强调操作系统本身备份/恢复的效率、自动化程度及对备份镜像保存的可靠性三方面。操作系统备份/恢复的效率受数据的多少及服务器与介质之间的连接带宽来决定，因此如果考虑对操作系统做备份，必须提前对系统有合理的规划，也就是说，要尽量把操作系统的数据及其上的应用数据部署在不同的分区当中，以保证操作系统所在的分区当中，即包括操作系统本身必须的数据，同时又把其它与操作系统不相关的应用数据数量降低到最少程度，这样能最大程度保证操作系统数据的提取及恢复的效率。自动化程度也分两方面，一方面是备份的自动化程度，具体来讲就是能有一套机制保证备份按事先约定的策略来自动进行，这点是任何备份软件都具备的基本功能；另一方面是恢复的自动化程度，目前在此方面行业内的法规都要求对恢复是半自动化，要求人工干预，原因在于恢复要冲掉原有的系统数据，必须要求人工对是否需要恢复做必要的确认工作，完全自动化恢复会有极大的安全风险。 文件备份文件备份，指的是对以非结构化的应用数据的备份，这样的文件数据也分为两种，一种是静态不变的文件，另外一类是动态的可变的文件。对动态可变的文件在线备份，就要考虑文件的完整性及可用性，不能有文件的破坏。这点需要备份软件有对动态文件的数据具备保证一致性的类似锁一样的功能。对文件备份的效率，一方面要考虑文件本身的数据量的大小，另外一方面，还要考虑文件本身的特点，比如说，如果小的文件数据太多，对任何备份软件来讲，对会严重消耗对元数据的处理时间，最终导致备份的效果不佳，需要另外的手段来处理这些文件。 数据库备份数据库在整个系统当中，都处于核心的位置。数据库的数据特点是结构化数据，以记录为单位，不会受操作系统来控制，操作系统看不到内部的数据结构细节。对数据库的备份，重点要强调数据的一致性及可恢复性，否则会导致数据库系统不可用。数据库的备份与恢复，需要极高的技术的手段，这包括数据库本身的恢复技术、备份软件本身的技术、介质的技术以及他们之间的相互配合技术等。l 安全子系统当前，网络安全防护系统主要有防火墙（Firewall）、入侵检测系统（IDS）、防毒软件等几种，在具体设计与应用中采用系统考虑、综合利用。为达到设计要求，网络安全防护系统可通过以下措施来实现： 建立完整可行的网络安全与网络管理策略和技术组织措施； 合理、有效的划分网络区域，并设置不同的安全级别，通过适宜的防火墙安全隔离手段保障不同安全级别的区域之间的安全隔离，避免与外部网络的直接通信； 利用防火墙建立网络中各主机和服务器的安全保护措施，保证系统安全； 利用入侵检测系统对通信流进行实时检测，实现关键安全网络区域中的安全监测，实时监测黑客入侵行为； 利用防病毒系统软件对网络中服务器、网络设备和工作站进行安全保护，避免因病毒、蠕虫等非法程序造成的安全风险； 加强网络安全管理，提高系统全体人员的网络安全意识和防范技术。安全设计方案：根据以上的分析，在安全体系中，配置了负责边界安全的防火墙设备和网络型入侵检测系统实施从网络层到应用层的安全防护，与防病毒系统软件协同工作，共同防范，达到整个系统的高安全性。防火墙系统，本系统设计使用1台千兆防火墙设备，置于通信网络区与Internet之间，实现线速的访问控制与数据过滤。2.2.3 部分成功案例 内蒙师范大学门户网站 四川师范大学网站 西南大学网站 河北经贸大学网站 昆明理工大学网站、第3章 校园一卡通系统3.1 曙光校园一卡通系统概述校园一卡通系统是数字化校园的基础工程，是数字化校园中有机的、重要的组成部分。为数字化校园提供了全面的数据采集平台，结合学校的管理信息系统和网络，形成全校范围的数字空间和共享环境。为学校管理人员提供具有开放性、灵活性、面向学校的应用服务管理平台、是管理科学化的必要前提和基本途径。以校园一卡通系统为平台，实现“一卡在手，走遍校园”，必将满足学校数字化建设的需求及目的。数字化校园各种应用的发展需要一个统一的电子身份认证系统来支撑，包括为各应用系统提供支付，学校需要进行财务系统管理，需要更加有效地管理学校的各种资源。部分学校由于扩招，在多个地方甚至不同地区开设了新校区；一些院校在合并之后学生规模大幅度增加，学生需要在不同校区之间穿梭，这要求建设一个统一的校园卡系统，为学生提供全方位的服务。3.1.1 校园一卡通系统业务需求“一卡通”是一个基于校园网的、统一的、集学校管理与金融服务于一体，实现银行储蓄、学校管理、校内和社会消费支付功能相结合的多功能应用系统。其主要功能包括：校内消费：提供便捷、安全的支付手段，在校内用一张卡实现多种消费。身份识别：提供电子身份识别手段，极大方便学生、教工的生活，减轻携带各种证件的烦恼。系统整合：通过与数字校园其他系统的整合，对各种应用提供快速身份定位和业务协作，促进管理流程的完善和管理水平的提高。如：基于个人基本信息、住宿、缴费、选课等多种信息和业务规则的设定，对宿舍楼、教室、运动场所进行准确的的准入控制。银校结合：提供校内小额支付手段，方便持卡人在校内各处进行消费，并提供灵活的转账、清算机制，提供校内收费、发费的电子化模式，同时还可以对各部门的往来结算实现统一管理，协助规范校内财务管理。通过一卡通系统的建设，可以有效地将银行卡金融功能与电子钱包、身份识别等多种综合应用功能集于校园卡一身，只要使用校园卡就可实现就餐、购物、上机、体育、娱乐、医疗和图书借阅、教务管理、人事管理、自助缴费等，校园卡可以作为借书卡、上机卡、就餐卡、医疗收费卡、洗澡卡、购物卡、门禁卡、乘车卡等，真正实现“一卡走遍校园，一卡通用、一卡多用”。图7 校园一卡通系统基本模块组成3.1.2 校园一卡通应用系统特点校园一卡通应用中，IC卡主要用于身份识别、消费和记录特征信息。IC卡作为学生和教工在校内的证件，应用于教学、日常生活及其管理等方面，以实现个人基本信息的识别与管理及相应收费，实行一卡多用，一卡通用。 全校分学生和教工两部分，建立校园卡的统一发行管理机制，并通过推进校园卡应用工程，逐步完善全校统一的基本数据管理系统，确保校园卡安全、有效的使用。 校园卡实行校内自主管理，丢卡者挂失后可以迅速补发新卡，方便持卡人，并有利于学校的管理。利用校园网络，建立一个校园IC卡系统的网络运行环境，实现校园卡基本数据的网络传送，特别是卡挂失的黑名单能够实时、有效地下载，最大限度地保护持卡人的利益，保证校园卡系统的安全运行。 校园卡应用系统能够与各应用单位原有的管理系统相兼容，并提供良好的信息接口，只要进行少量的修改工作，即能并行运行。校园卡的优势主要体现在以下几个方面：l 先进性充分考虑信息化社会迅猛发展的趋势，在技术上设计超前，所采用的技术和设备能保证校园一卡通应用系统建成先进的、现代化的管理系统。 l 实用性校园一卡通系统充分强调了系统的实用性，各个应用子系统应从实际应用中出发开发，符合各应用点的实际操作情况，应用流程情况，是以用户为中心的一卡通应用系统。l 安全性及可靠性系统的安全性：系统具有安全性，包括网络系统、主机系统、数据存取系统、数据传输系统的安全性，数据备份和灾难恢复的可靠性。为保证系统软件、应用软件及数据安全，系统严格选用操作系统平台，开发平台，设计防病毒功能，保护系统数据，并建立备份系统，定期自动进行全量及增量备份。在系统中采用射频卡作为身份识别，并在关键信息的处理，传输中采用加密处理，防止信息被未授权访问，确保系统的不可攻击性。网络运行的可靠性：可靠性包括网络运行的可靠性、各硬件设备的可靠性、所运行软件的可靠性，并在系统中加入掉电保护，数据备份等手段来保证系统的正常，长期的运行。消费终端都有自备电池，能在断电的情况下工作，消费终端有存储功能可保存一定的消费记录。异常处理：在系统的设计中充分考虑到可能出现的各种异常情况，如断电，网络故障，交易流量超载等。在系统中提出各种异常情况的处理办法。如配备UPS电源以防止断电的发生，门轧机有手动落杆功能防止系统故障，一但故障发生能及时放行，不影响学生进出；门禁断电为开启状态；机房管理客户端设置单机脱网登录功能等。l 经济性在系统的设计过程中，充分考虑到经济方面的因素。一是要考虑采用主机、网络设备等的性能价格比，尤其在网络设计中，采用不同的方案，可以达到同样的效果，而投资却大不相同，所以要选择性能价格比最优的方案。二是考虑系统的运行和维护费用，保证系统的实施和维护，拥有丰富的维护经验和快速的响应速度。l 可扩充性所谓可扩充性，是指根据实际的要求，系统可被方便地裁减和灵活的扩展，使系统能适应变化和新情况。3.1.3 曙光校园一卡通解决方案介绍图8 曙光校园一卡通解决方案基本构成l 一卡通管理中心校园一卡通管理中心系统是校园卡系统的数据管理和存储中心。一卡通管理中心由金融数据中心和身份数据中心两部分组成，金融数据中心是所有金融交易的业务控制中心和所有金融交易的数据存贮中心，由金融数据库和相应的后台服务进程组成。身份数据中心保存所有校园卡的相关身份信息、单位、部门和人员的信息，由身份认证数据库和相应的后台服务进程组成。l 综合前置系统综合前置机是一卡通系统的总控中心。由综合前置系统自动执行日结开工、持卡人状态同步、白名单和黑名单的同步，对各处理机系统的监控、更换密钥、应用子系统接入控制、网上升级、文件下载和导出等功能。l 银行转账系统银行转账系统包括转账前置机、遍布校内的终端和通讯网络。转账前置机是连接银行与校园卡系统的关键枢纽，提供银行转帐、大额缴费、修改卡片参数、修改查询密码、查询余额、挂失等功能，同时还负责管理、监控遍布校内的自助转账终端。通过自动、自助等多种方式的实时转账手段，实现全天候的银行卡与校园卡之间的电子化资金转账，减少校内现金流动。l 综合查询系统提供面向广大持卡用户的多种查询功能，包括网上查询、触摸屏查询和电话查询等，可以提供帐户信息查询、商户信息查询、消费记录查询、挂失、解挂、修改查询密码、公告服务等功能，可以实行无人职守的7*24小时查询服务。l 卡务管理系统支持学校校园卡管理机构的日常管理工作，提供系统参数设置、持卡人管理、商户管理、会计结算、用户身份信息管理、校园卡的安全发布、第三方接入管理等多种服务l 一卡通应用系统基于一卡通的各种功能，结合数字校园其他业务系统，一卡通应用系统可以实现消费、身份识别等多种应用。应用系统包括教务综合管理系统、考勤门禁系统、收费管理系统、学籍管理系统和图书馆管理系统等。3.2 曙光校园一卡通解决方案设计3.2.1 总体方案设计校园一卡通系统中心采用了两台曙光数据库专用机，搭配SysCache存储加速卡，配合Oracle RAC数据库系统，组成数据库集群，提供数据查询和应用服务。曙光数据库专用机基于二代小型机，标配对数据库性能有极大提升的SysCache I/O加速卡，并包含数据库售后服务产品。是曙光公司根据数据库市场需求精心打造的，具有高性能、高可靠性、高扩展性的专用硬件产品。它适用于Oracle、SQl server、Sybase、Mysql多种主流数据库，同时也可以很好的支持达蒙、人大金仓、南大通用、航天通用等各种国产数据库系统，并提供经验丰富的、全方位的数据库售后服务产品。此外，采用两台曙光EP850作为门户服务器，互为双机热备，为用户提供统一身份认证和登陆；另外，综合前置、查询前置、银行转账等业务系统采用的是曙光TC2600刀片服务器。这些服务器通过千兆网络实现数据通信。校园一卡通需要数据存储中心，包括金融数据中心（所有金融交易的控制中心和所有金融交易数据的存贮中心）和身份数据中心（保存所有一卡通相关单位、 部门和人员的信息及后台服务）；这两部分的数据都是非常重要，因此我们采用高性能的全光纤磁盘阵列DS800作为主存储，以全冗余的FC SAN架构来保证系统的可靠性；另外，本方案还设计了备份管理节点A620r-H以及备份盘阵DS6310FE来更好的保证数据的可靠性，防止突发事件对整个系统运行的影响。图9 曙光校园一卡通系统拓扑结构3.2.2 方案详细设计l 一卡通数据中心和应用门户认证中心考虑到一卡通数据中心的重要性，如果数据库服务器宕机，将中断校园一卡通的整个运营情况，因此我们数据库服务器采用曙光数据库专用机集群的方式来提高系统的性能和可靠性，保证能够提供持续的服务能力。一卡通的应用认证中心是用户登陆访问一卡通的系统的门户，如果这台服务器出现故障，所有的业务需求都将中断，因此我们采用两台小型机构成双机热备系统来提高系统的可靠性，保证所有的用户能随时随地的获得服务支持。曙光EP850是第二代小型机系统，采用x86架构，可以扩展至48个CPU核心和256GB内存，与采用RISC架构的传统小型机相比，其不但具有高性能、高可靠性等特点，而且在扩展型、兼容性以及易用性和可管理性等方面远远优于传统的小型机；其部件大都采用通用的成熟的产品，所以其价格大概相当于传统小型机的30%。曙光SysCache存储加速卡采用DRAM作为存储介质，而DRAM的特点保证数据在读写混合模式下的性能均衡，能有效消除读写速度差异过大造成的性能瓶颈，支持透明的基于文件系统的磁盘缓存模式，该模式能自动将磁盘访问的热点数据缓存在SysCache中，提高数据访问效率。数据库在SysCache上创建索引，可以获得更快的创建速度，大幅提升数据处理性能，缩短索引重建的周期，有效提高数据库的性能。由于数据库系统采用的是集群架构，所以其可以根据校园一卡通业务增长的情况，随时增加新的节点到该集群中，来分担业务负载，而不需要改变原有系统的架构。l 一卡通业务系统中心一卡通业务系统主要包括综合前置、查询前置、银行转账等业务系统。综合前置机是一卡通的控制中心， 控制一卡通营业的启动和停止; 它是一卡通的安全中心，系统动态密钥管理，应用子系统接入控制; 它是一卡通的监控中心，实时反映各处理机的状态; 它是一卡通的同步中心，协调各处理机，实时同步持卡人状态。查询前置机提供一卡通校园卡日常查询管理，实时响应查询请求， 满足持卡人对校园卡信息的查询需要。 对查询信息的集中管理和控制，支持的查询方式包括网络查询、电话查询、触摸屏查询三种方式，可以提供24小时不间断的持卡人信息查询。银行转账子系统是利用计算机网络和终端设备实现持卡人银行账户资金向校园卡账户划转的系统，它将校园卡系统原有手工现金存款方式转变为持卡人自助操作的银行卡与校园卡之间资金转账，减少了现金流动，在银行系统及校园一卡通系统运行正常的情况下，可以实现724小时不间断服务。分析这些业务系统的特点可以看到，这些业务系统对单台设备的性能要求并不是很高，对系统的可靠性以及可用性方面有一定的要求，而且对服务器的价格比较敏感，基于上述原因，本方案推荐采用曙光TC3600刀片系统构建业务系统。曙光TC3600刀片具有计算密度高、可靠性好、功耗低以及易管理等优点，方便用户根据本学校的特点选购任意数目的服务器构建业务系统。l 一卡通存储备份中心本系统设计考虑关键应用的可靠性和数据的安全性，在数据的可靠性方面采取了如下的措施：采用全冗余的FC SAN架构（2块FC HBA卡，2个光纤交换机以及冗余的磁盘阵列控制器）保证关键数据的可靠性；采用备份存储的方式使重要数据留有备份，当意外发生时，系统可以很快的恢复到正常状态，避免造成重大损失。其中主存储盘阵建议采用全光纤的DS800F20磁盘阵列，此阵列主机通道和磁盘通道都是光纤架构，最多支持256块硬盘，并且支持FC和SATA硬盘的混插，具有强大的SnapShot，FlashCopy和VolumeCopy功能，提供完善的数据保护和灾备功能，满足用户各种存储应用的需要。备份磁盘阵列建议采用曙光DS6310FE磁盘阵列，具有2-4个光纤主机接口，支持SAS和SATA硬盘，最大可以扩展至80T。3.2.3 部分成功案例l 长沙理工大学一卡通工程校园一卡通系统建设是高校信息化发展的必然趋势，也是高校现代化管理的标志。它将智能卡的强大功能和计算机网络的数字化理念融入校园管理中，将传统校园相对独立的学籍管理、生活消费、身份认证、图书借阅、上机管理等各个系统合为一体，实现了对现有资源的有效整合，减少了资源浪费和硬件设施的重复建设，极大地提高了学校的管理效率和管理水平。日前，曙光公司为长沙理工大学打造了集高性能、高稳定性于一身的校园一卡通系统，在为长沙理工大学师生提供了便利生活的同时，还在该系统中展示了曙光新型小型机的卓越性能，体现了曙光公司成熟、科学的整体解决方案的实施能力。曙光新型小型机打造一卡通平台长沙理工大学是教育部于2003年4月批准，由长沙交通学院与长沙电力学院合并组建的多学科综合性大学，现有教职工3600人，在校全日制学生33000余人。在生活中，师生们的各种证件，如工作证、学生证、图书证、医疗证等种类繁多，由于原有校园应用系统存在的种种弊端，各种证件不能互相通用，给学校教务管理和后勤服务带来了沉重负担。而且由于支持各种证件的系统平台之间不能互相连通，所记录的各种证件的信息在各系统平台之间不能及时有效地传递和沟通，造成了学校管理和日常生活中工作效率