區域教育信息化發展第1頁/共116頁提要32區域教育信息化新模式探索區域教育信息化機遇和挑戰4石嘴山教育信息化發展研究1區域教育信息化現狀及問題第2頁/共116頁區域教育信息化發展基本模式獨立學校模式教育城域網建設模式第3頁/共116頁教育信息化

教育信息化是指在教育領域全面深入地運用現代信息技術來促進教育改革與發展的過程。其技術特點是數字化、網絡化、智能化和多媒體化，基本特征是開放、共享、交互、協作。教育信息化是國家信息化的重要組成部分，對于轉變教育思想和觀念，深化教育改革，提高教育質量和效益，培養創新人才具有深遠意義，是實現教育跨越式發展的必然選擇。沒有教育的信息化,就不可能實現教育的現代化。第4頁/共116頁1.區域教育信息化現狀機構內部的軟件系統缺少統一規劃機構內部的軟件系統缺少統一規劃信息的上下流通不暢資源無法共享第5頁/共116頁2.教育信息化存在的問題重硬件、輕軟件建設缺乏統一規劃資源不能共享

第6頁/共116頁問題1：重硬件、輕軟件；重工程、輕應用第7頁/共116頁問題2：建設缺乏統一規劃系統間信息隔離系統間信息不一致維護效率低下，系統擴展代價大第8頁/共116頁問題3：資源不能共享第9頁/共116頁提要32區域教育信息化新模式探索區域教育信息化機遇和挑戰4石嘴山教育信息化發展研究1區域教育信息化現狀及問題第10頁/共116頁1.國家中長期教育發展規劃對教育信息化提出了新要求第十九章加快教育信息化進程加快教育信息基礎設施建設加強優質教育資源開發與應用強化信息技術應用構建國家教育管理信息系統第11頁/共116頁2.教育教學的發展對信息化提出了新需求教育教學發展教師專業能力發展終身學習理念教育管理發展教育均衡發展學習方式變革優質資源共建共享第12頁/共116頁3.新型技術為教育信息化發展提供了新支撐IPv6技術無線網絡技術物聯網技術云計算第13頁/共116頁IPv6技術IPv6技術IPv6IPv6的優勢IPv6的應用第14頁/共116頁規模劇增與地址匱乏是IPv6出現的直觀需求全球共有互聯網用戶約10.86億人，平均普及率是:12%CNNIC報告顯示，截至2010年6月底，中國網民規模達到4.2億，突破了4億關口，較2009年底增加3600萬人；互聯網普及率攀升至31.8%

以IPv4為基礎的互聯網絡所固有的缺陷日益凸現，安全保障、服務質量與運營管理已成為進一步發展的瓶頸。1.IPv6第15頁/共116頁1.IPv6的出現以IPv4為基礎的網絡體系局限凸現1.IPv6第16頁/共116頁128位的地址空間：IPv6把地址長度從32位擴展到128位，并賦予了更科學的層次結構。簡化的協議首部,使得網絡層的負擔減輕很多，符合高效的原則。集成了認證和加密機制。地址自動配置，實現即插即用。任播(Anycast)功能,為均衡負載等應用提供更合理的解決手段。支持源路由的選徑。2.IPv6的優勢第17頁/共116頁3.IPv6的應用基于IPv6的傳感器網應用領域IPv6無線家庭網絡高清晰度IPTV的應用普及嵌入式IPv6互聯網第18頁/共116頁無線網絡無線網絡無線網絡的優點無線網絡類型IEEE802.11n技術第19頁/共116頁1.無線網絡概念所謂無線網絡，是指無需布線即可實現計算機互連的網絡。無線網絡的適用范圍非常廣泛，凡是可以通過布線而建立網絡的環境和行業，無線網絡也同樣能夠搭建，而通過傳統布線無法解決的環境或行業，卻正是無線網絡大顯身手的地方。第20頁/共116頁2.無線網絡的優點移動性和自由—任何地方都可以工作不受線路或固定連接的限制安裝快速簡便不用購買電纜節省布線時間，不麻煩容易擴展第21頁/共116頁4.無線局域網協議標準藍牙規范（Bluetooth）HomeRF標準HyperLAN/2標準IEEE802.11系列協議第22頁/共116頁5.IEEE802.11系列協議IEEE802.11bIEEE802.11aIEEE802.11gIEEE802.11n其他相關協議第23頁/共116頁5.IEEE802.11系列協議無線標準參考對比表第24頁/共116頁5.IEEE802.11系列協議IEEE802.11n

802.11n主要是結合物理層和MAC層的優化來充分提高WLAN技術的吞吐。

主要的物理層技術涉及了MIMO、MIMO-OFDM、40MHz、ShortGI等技術，從而將物理層吞吐提高到600Mbps。如果僅僅提高物理層的速率，而沒有對空口訪問等MAC協議層的優化，802.11n的物理層優化將無從發揮。

就好比即使建了很寬的馬路，但是車流的調度管理如果跟不上，仍然會出現擁堵和低效。所以802.11n對MAC采用了Block確認、幀聚合等技術，大大提高MAC層的效率。

第25頁/共116頁5.IEEE802.11系列協議兼容a/b/g

WLAN標準從802.11a/b發展到802.11g，再到現在的802.11n，提供良好的向后兼容性顯得尤為重要。

802.11g提供了一套保護機制來允許802.11b的無線用戶接入802.11g網絡。同樣的，802.11n協議提供似的機制來允許802.11a/b/g用戶的接入。第26頁/共116頁物聯網物聯網物聯網產生的背景物聯網技術現狀物聯網工程應用第27頁/共116頁1.物聯網技術

業界對物聯網（IOT：InternetofThings）的通用理解：

1、從技術理解

物聯網是指物體通過智能感應裝置，經過傳輸網絡，到達指定的信息處理中心，最終實現物與物、人與物之間的自動化信息交互與處理的智能網絡。

2、從應用理解

物聯網是指把世界上所有的物體都聯接到一個網絡中，形成“物聯網”，然后“物聯網”又與現有的互聯網結合,實現人類社會與物理系統的整合，達到更加精細和動態的方式管理生產和生活。第28頁/共116頁1.物聯網技術

物聯網(TheInternetofthings)的概念是在1999年提出的，它的定義很簡單：把所有物品通過射頻識別等信息傳感設備與互聯網連接起來，實現智能化識別和管理。第29頁/共116頁2.物聯網三個重要特征1.全面感知，利用RFID，傳感器，二維碼等隨時隨地獲取物體的信息2.可靠傳遞，通過各種電信網絡與互聯網的融合，將物體的信息實時準確地傳遞出去3.智能處理，利用云計算，模糊識別等各種智能計算技術，對海量的數據和信息進行分析和處理，對物體實施智能化的控制第30頁/共116頁2.物聯網產生的背景經濟危機下的推手

經濟長波理論：每一次的經濟低谷必定會催生出某些新的技術，而這種技術一定是可以為絕大多數工業產業提供一種全新的使用價值，從而帶動新一輪的消費增長和高額的產業投資，以觸動新經濟周期的形成。

過去的10年間，互聯網技術取得巨大成功。目前的經濟危機讓人們又不得不面臨緊迫的選擇，物聯網技術成為推動下一個經濟增長的特別重要推手。傳感技術的成熟

隨著微電子技術的發展，涉及人類生活、生產、管理等方方面面的各種傳感器已經比較成熟。例如常見的無線傳感器（WSN）、RFID、電子標簽等。網絡接入和信息處理能力大幅提高

目前，隨著網絡接入多樣化、IP寬帶化和計算機軟件技術的飛躍發展，基于海量信息收集合分類處理的能力大大提高。

第31頁/共116頁2.物聯網的演進路徑

1995年比爾.蓋茨在《未來之路》書中首次提出“物－物相聯”的雛形，1999年EPCglobal聯合100多家企業成立IOT聯盟并正式提出物聯網概念。10年間，世界各國都在加緊研究。從技術演進視野來看，物聯網的發展主要分為四個階段：

第一階段：大型機、主機的聯網第二階段：臺式機、筆記本與互聯網相聯第三階段：一些移動設備（如手機、PDA等）的互聯第四階段：嵌入式互聯網興起階段，更多與人們日常生活緊密相關的應用設備，包括洗衣機、冰箱、電視、微波爐等都將加入互聯互通的行列，最終形成全球統一的“物聯網”的互聯第32頁/共116頁國外物聯網現狀3.國內外發展現狀1995年,比爾?蓋茨在其《未來之路》一書中已提及物聯網概念。2005年11月17日，在突尼斯舉行的信息社會世界峰會（WSIS）上，國際電信聯盟（ITU）發布了《ITU互聯網報告2005：物聯網》，報告指出，無所不在的“物聯網”通信時代即將來臨，世界上所有的物體從輪胎到牙刷、從房屋到紙巾都可以通過因特網主動進行交換。射頻識別技術（RFID）、傳感器技術、納米技術、智能嵌入技術將到更加廣泛的應用。2009年1月，IBM首席執行官彭明盛提出“智慧地球”構想，其中物聯網為“智慧地球”不可或缺的一部分，而奧巴馬在就職演講后已對“智慧地球”構想提出積極回應，并提升到國家級發展戰略。第33頁/共116頁國外物聯網現狀3.國內外發展現狀日本u-Japan戰略，希望實現從有線到無線、從網絡到終端、包括認證、數據交換在內的無縫鏈接泛在網絡環境，100％的國民可以利用高速或超高速網絡。韓國也實現了類似的發展。配合u-Korea推出的u-Home是韓國的u-IT839八大創新服務之一。智能家庭最終讓韓國民眾能通過有線或無線的方式遠程控制家電設備，并能在家享受高質量的雙向與互動多媒體服務。第34頁/共116頁3.國內外發展現狀2004年初，全球產品電子代碼管理中心授權中國物品編碼中心為國內代表機構，負責在中國推廣EPC與物聯網技術。4月，北京建立了第一個EPC與物聯網概念演示中心。2005年，國家煙草專賣局的卷煙生產經營決策管理系統實現用RFID出庫掃描，商業企業到貨掃描。許多制造業也開始在自動化物流系統中嘗試應用RFID技術。2009年８月７日，溫總理在無錫調研時，對微納傳感器研發中心予以高度關注，提出了把“感知中國”中心設在無錫、輻射全國的想法。江蘇省委省政府接到指示后認真落實總理的要求，熱情擁抱“物聯網”，突出抓好平臺建設和應用示范工作。國內物聯網現狀第35頁/共116頁國內物聯網現狀3.國內外發展現狀無錫市則作出部署：舉全市之力，搶占新一輪科技革命制高點，把無錫建成傳感網信息技術的創新高地、人才高地和產業高地。2009年8月24日，中國移動總裁王建宙訪臺期間解釋了物聯網概念。2009年9月11日，“傳感器網絡標準工作組成立大會暨“感知中國’高峰論壇”在北京舉行，會議提出傳感網發展相關政策。2009年9月14日?！秶抑虚L期科學與技術發展規劃（2006-2020年）》和“新一代寬帶移動無線通信網”重大專項中均將傳感網列入重點研究領域。第36頁/共116頁國內物聯網現狀3.國內外發展現狀中科院無錫微納傳感網工程技術研發中心（以下簡稱‘無錫傳感網中心’），是國內目前研究物聯網的核心單位之一。作為“感知中國”的中心，無錫市2009年9月與北京郵電大學就傳感網技術研究和產業發展簽署合作協議，涉及光通信、無線通信、計算機控制、多媒體、網絡、軟件、電子、自動化等技術領域，包括應用技術研究、科研成果轉化和產業化推廣等。國務院總理溫家寶2010年3月5日在十一屆全國人大三次會議上作政府工作報告首次提及物聯網，指出積極推進“三網”融合取得實質性進展，加快物聯網的研發應用。第37頁/共116頁4.物聯網發展過程中面臨的五個主要技術問題（1）技術標準問題

世界各國存在不同的標準。中國信息技術標準化技術委員會于2006年成立了無線傳感器網絡標準項目組。2009年9月，傳感器網絡標準工作組正式成立了PG1(國際標準化)、PG2(標準體系與系統架構)、PG3(通信與信息交互)、PG4(協同信息處理)、PG5(標識)、PG6(安全)、PG7(接口)和PG8(電力行業應用調研)等8個專項組，開展具體的國家標準的制定（2）安全問題

信息采集頻繁，其數據安全也必須重點考慮。第38頁/共116頁4.物聯網發展過程中面臨的五個主要技術問題（3）協議問題

物聯網是互聯網的延伸，在物聯網核心層面是基于TCP/IP，但在接入層面，協議類別五花八門，GPRS/CDMA、短信、傳感器、有線等多種通道，物聯網需要一個統一的協議棧。（4）IP地址問題

每個物品都需要在物聯網中被尋址，就需要一個地址。物聯網需要更多的IP地址，IPv4資源即將耗盡，那就需要IPv6來支撐。IPv4向IPv6過渡是一個漫長的過程，因此物聯網一旦使用IPv6地址，就必然會存在與IPv4的兼容性問題。（5）終端問題。

物聯網終端除具有本身功能外還擁有傳感器和網絡接入等功能，且不同行業需求千差萬別，如何滿足終端產品的多樣化需求，對運營商來說是一大挑戰。第39頁/共116頁5.物聯網工程應用實例——城市市政管理應用第40頁/共116頁5.物聯網工程應用實例——城市市政管理應用第41頁/共116頁5.物聯網工程應用實例——農業園林第42頁/共116頁6.IOT的技術發展趨勢第43頁/共116頁云計算云計算云計算的基本原理云計算的體系結構云計算的服務層次云計算的應用第44頁/共116頁1.

云計算基本原理

許多云計算公司和研究人員對云計算采用各種方式進行描述和定義，基于云計算的發展和我們對云計算的理解，概括性給出云計算的基本原理為：利用非本地或遠程服務器（集群）的分布式計算機為互聯網用戶提供服務（計算、存儲、軟硬件等服務）。這使得用戶可以將資源切換到需要的應用上，根據需求訪問計算機和存儲系統。第45頁/共116頁

云計算平臺是一個強大的“云”網絡，連接了大量并發的網絡計算和服務，可利用虛擬化技術擴展每一個服務器的能力，將各自的資源通過云計算平臺結合起來，提供超級計算和存儲能力。通用的云計算體系結構如下圖所示：2.

云計算體系結構第46頁/共116頁2.

云計算體系結構云用戶端：提供云用戶請求服務的交互界面，也是用戶使用云的入口，用戶通過Web瀏覽器可以注冊、登錄及定制服務、配置和管理用戶。打開應用實例與本地操作桌面系統一樣。服務目錄：云用戶在取得相應權限（付費或其他限制）后可以選擇或定制的服務列表，也可以對已有服務進行退訂的操作，在云用戶端界面生成相應的圖標或列表的形式展示相關的服務。管理系統和部署工具：提供管理和服務，能管理云用戶，能對用戶授權、認證、登錄進行管理，并可以管理可用計算資源和服務，接收用戶發送的請求，根據用戶請求并轉發到相應的相應程序，調度資源智能地部署資源和應用，動態地部署、配置和回收資源。第47頁/共116頁2.

云計算體系結構監控：監控和計量云系統資源的使用情況，以便做出迅速反應，完成節點同步配置、負載均衡配置和資源監控，確保資源能順利分配給合適的用戶。服務器集群：虛擬的或物理的服務器，由管理系統管理，負責高并發量的用戶請求處理、大運算量計算處理、用戶Web應用服務，云數據存儲時采用相應數據切割算法采用并行方式上傳和下載大容量數據。

用戶可通過云用戶端從列表中選擇所需的服務，其請求通過管理系統調度相應的資源，并通過部署工具分發請求、配置Web應用第48頁/共116頁

在云計算中，根據其服務集合所提供的服務類型，整個云計算服務集合被劃分成4個層次：應用層、平臺層、基礎設施層和虛擬化層。這4個層次每一層都對應著一個子服務集合，為云計算服務層次如下圖所示：3.

云計算服務層次第49頁/共116頁3.

云計算服務層次

云計算的服務層次是根據服務類型即服務集合來劃分，云計算體系結構中的層次是可以分割的，即某一層次可以單獨完成一項用戶的請求而不需要其他層次為其提供必要的服務和支持。

在云計算服務體系結構中各層次與相關云產品對應：應用層對應SaaS軟件即服務如：GoogleAPPS、SoftWare+Services；平臺層對應PaaS平臺即服務如：IBMITFactory、GoogleAPPEngine、F；基礎設施層對應IaaS基礎設施即服務如：AmazonEc2、IBMBlueCloud、SunGrid；

虛擬化層對應硬件即服務結合Paas提供硬件服務，包括服務器集群及硬件檢測等服務。第50頁/共116頁

4.

云計算應用云計算的表現形式多種多樣，簡單的云計算在人們日常網絡應用中隨處可見，如騰訊QQ空間提供在線制作Flash圖片，彩字秀提供的個性文字圖片的處理，GoogleDoc和GoogleApps、用遠程軟件進行Office處理。對于眾多的服務，可以將云計算提供的服務細分為以下7個類型：（1）SaaS（軟件即服務）軟件廠商將應用軟件統一部署在服務器或服務器集群上，通過互聯網提供軟件給用戶。用戶也可以根據自己實際需要向軟件廠商定制或租用適合自己的應用軟件，通過租用方式使用基于Web的軟件來管理企業經營活動。軟件廠商負責管理和維護軟件，對于許多小型企業來說，SaaS是采用先進技術的最好途徑，它消除了企業購買、構建和維護基礎設施和應用程序的需要，近年來，SaaS的興起已經給傳統軟件企業帶來強勁的壓力。第51頁/共116頁4.

云計算應用在這種模式下，客戶不再像傳統模式那樣花費大量投資用于硬件、軟件、人員，而只需要支出一定的租賃服務費用，通過互聯網便可以享受到相應的硬件、軟件和維護服務，享有軟件使用權和不斷升級，這是網絡應用最具效益的營運模式。SaaS通常被用在企業管理軟件領域、產品技術和市場，國內的廠商以八百客、沃利森為主，主要開發CRM、ERP等在線應用。用友、金蝶等老牌管理軟件廠商也推出在線財務SaaS產品。國際上其他大型軟件企業中，微軟提出了Software+SaaS的模式，谷歌推出了與微軟Office競爭的GoogleApps，Oracle在收購Sieble升級Siebleon-demand后推出OracleOn-demand，SAP推出了傳統和SaaS的雜交（Hybrid）模式。第52頁/共116頁4.

云計算應用（2）平臺即服務平臺即服務PaaS（Platformasaservice）是提供開發環境、服務器平臺、硬件資源等服務給用戶，用戶可以在服務提供商的基礎架構基礎上開發開發程序并通過互聯網和其服務器傳給其他用戶。PaaS能夠提供企業或個人定制研發的中間件平臺，提供應用軟件開發、數據庫、應用服務器、試驗、托管及應用服務，為個人用戶或企業的團隊協作。在云計算服務中，平臺即服務包括以下類型服務。①提供集成開發環境。云服務提供商開發、測試、部署、維護應用程序等服務，滿足不同用戶需要的不同開發周期和集成開發環境，多用戶互動測試，版本控制，部署和回滾。第53頁/共116頁4.

云計算應用②集成Web服務和數據庫。支持SOAP和REST的接口，組成多個網絡服務，支持多用戶使用不同數據庫的平臺，協作用戶實現云計算設計。③支持團隊協作。平臺服務通過共享代碼和預定義方式，可以界定、更新和跟蹤設計人員，開發、測試、質量控制完成團隊協作。④提供實用設備。以租用方式提供相應設備（如大型集群系統，存儲系統等）以端到端方式給用戶。第54頁/共116頁4.

云計算應用（3）按需計算（UtilityComputing）

按需計算，是將多臺服務器組成的"云端"計算資源包括計算和存儲，作為計量服務提供給用戶，由IT領域巨頭如IBM的藍云、Amazon的AWS及提供存儲服務的虛擬技術廠商的參與應用與云計算結合的一種商業模式，它將內存、I/O設備、存儲和計算能力整合成一個虛擬的資源池為整個業界提供所需要的存儲資源和虛擬化服務器等服務。

按需計算用于提供數據中心創建的解決方案，幫助企業用戶創建虛擬的數據中心，諸如CohesiveFlexibleTechnologies的按需實現彈性擴展的服務器。

按需計算方式的優點在于用戶只需要低成本硬件，按需租用相應計算能力或存儲能力，大大降低了用戶在硬件上的開銷。第55頁/共116頁4.

云計算應用（4）MSP（管理服務提供商）

管理服務是面向IT廠商的一種應用軟件，常用于應用程序監控服務、桌面管理系統、郵件病毒掃描、反垃圾郵件服務等。目前瑞星殺毒軟件早已推出云殺毒的方式，而SecureWorks、IBM提供的管理安全服務屬于應用軟件監控服務類。（5）商業服務平臺

商業服務平臺是SaaS和MSP的混合應用，提供一種與用戶結合的服務采集器，是用戶和提供商之間的互動平臺，如費用管理系統中用戶可以訂購其設定范圍的服務與價格相符的產品或服務。第56頁/共116頁4.

云計算應用（6）網絡集成

網絡集成是云計算的基礎服務的集成，采用通用的"云計算總線"，整合互聯網服務類似的云計算公司，方便用戶對服務供應商的比較和選擇，為客戶提供完整的服務。軟件服務供應商OpSource推出了OpSourceServicesBus，使用的就是被成為Boomi的云集成技術。（7）云端網絡服務

網絡服務供應商提供API能幫助開發者開發基于互聯網的應用，通過網絡拓展功能性。服務范圍從提供分散的商業服務（諸如StrikeIron和Xignite）到涉及GoogleMaps、ADP薪資處理流程、美國郵電服務、Bloomberg和常規的信用卡處理服務等的全套API服務。第57頁/共116頁提要32區域教育信息化新模式探索區域教育信息化機遇和挑戰4石嘴山教育信息化發展研究1區域教育信息化現狀及問題第58頁/共116頁1.區域教育信息化發展原則1統籌規劃統一建設2分層推進分步實施3應用為主示范帶動4經濟有效先進便捷第59頁/共116頁2.區域教育信息化發展需要注意的幾個問題摸清家底，明確問題。目標不能過大，也不能太膽小。知道自己的家底之后，才會有自己有比較明晰的判斷，今后怎么發展才有據可依。第60頁/共116頁2.區域教育信息化發展需要注意的幾個問題納入學校整體發展戰略信息化規劃一定要納入到學校本身的發展戰略中，要與未來的發展目標和管理模式充分結合。只有這樣，才能夠真正指導信息化發展，保證信息化整體的發展方向。

第61頁/共116頁2.區域教育信息化發展需要注意的幾個問題注意可擴展性信息化規劃要注意可擴展性，要能適應IT技術的快速發展，要能適應管理模式與工作模式的不斷變化。

第62頁/共116頁2.區域教育信息化發展需要注意的幾個問題

全盤考慮要把基礎設施、應用系統、資源建設、支撐系統以及隊伍建設等關鍵因素全部考慮在內，每一部分怎么做，做什么都要有清晰的判斷，多和不同規模、不同程度的高校交流溝通，尋找自己的定位。第63頁/共116頁2.區域教育信息化發展需要注意的幾個問題

注重隊伍建設要把信息化隊伍的建設放在重要地位。充足的人員是成功的保證，注意擴充隊伍，培養人才。

第64頁/共116頁2.區域教育信息化發展需要注意的幾個問題總體來說，教育信息化發展規劃的制定要充分體現戰略性、全局性和多元性，要有理念的根本轉變，更多地關注教育信息化的內涵建設。要進一步樹立服務觀念，提高服務技術，提升服務水平，明確管理體制，建立評估機制，完善保障機制。進一步加強信息化應用，打造公共服務平臺，推進教育信息化、管理信息化和服務信息化。第65頁/共116頁3.區域教育信息化整體解決方案1教育城域網規劃與建設2區域教育數據中心的統一建設3區域教育應用系統的“插件聚合式”搭建4無線網絡的規劃與建設5面向區域教育信息化的“教育云”的整體架構第66頁/共116頁1.教育城域網規劃與建設

基礎網絡建設的技術選擇

全面照顧到城域網的容量、擴展性、可靠性以及性價比，在網絡骨干技術、網絡架構、網絡設備、Internet出口設計等方面做出正確聯網技術選擇。

城域網的安全設計

城域網用戶在盡情享受網絡帶來的巨大便利性的同時，需要保護自身不受侵犯，需要更全面的安全解決方案。第67頁/共116頁1.教育城域網規劃與建設多技術融合

教育城域網承擔著多重任務，用戶可以通過城域網實現遠程教學、多媒體網絡教室、會議電視等應用，而每種應用對網絡、設備、結構均有不同的要求，如何保證這些數據流可靠、有序、高效的進行傳輸，需要多種網絡技術加以保障。網絡規劃與管理:

良好的網絡規劃和管理可以將隱患消除于未然，減輕老師的負擔。第68頁/共116頁白銀市教育城域網解決方案示意圖第69頁/共116頁蘭州市城關區教育城域網解決方案示意圖第70頁/共116頁2.區域教育數據中心的統一建設區域教育云基礎平臺搭建在統一的數據中心基礎之上，體現信息化過程中，以數據資源為核心的重要原則。數據中心所包含的數據涵蓋區域教育信息化過程中所涉及的各類信息，但不是各類信息的簡單堆積，而是經過了信息的合理規劃，保證了數據的規范性、一致性和實用性。從而實現在整個區域的范圍內，教育管理和教學等活動對應的各類數據，以及教學資源的廣泛共享。數據中心的數據實行集中的管理和維護，必須經過嚴格的授權認證，方可由相應的用戶或者業務系統引用，而數據又是由具有相應權限的用戶或者系統在業務管理的過程中分布、實時提交。在區域內，保障學籍、教師檔案、績效考核等各類數據的一致性，真正意義上實現信息的透明提報，教育云數據中心統一進行安全及其授權管理，保證了核心數據的安全性，減小數據維護的代價。第71頁/共116頁2.區域教育數據中心的統一建設

數據中心可滿足現有業務的需要，同時可作為未來信息化建設的基礎，從而減速信息系統搭建的周期。第72頁/共116頁2.區域教育數據中心的統一建設一、數據中心的技術架構設計與實施數據中心IT技術體系架構主要包含網絡技術體系、主機系統體系、業務系統體系。

網絡技術體系結構定義了數據中心信息系統的技術環境和基礎結構。數據中心的各種IT資源數量龐大、管理復雜，因此必須通過具前瞻性及經過實踐的IT構建策略，采用先進的產品技術，以動態、優化的基礎架構改變落后、低效的資源管理，最大化利用資源，提高業務系統的效率和靈活性。第73頁/共116頁2.區域教育數據中心的統一建設

主機系統是業務處理的核心資源，也是數據中心風險的集中點。系統主機采用先進的并行耦合系統、中間件耦合系統、數據庫共享以及高可用集群、負載均衡等智能化技術，構成高效率、高穩定性、高可靠性的生產環境。

業務系統體系結構采用結構化設計方法，充分考慮統一、開放、靈活的需求，實現在業務戰略和技術規劃之間的平滑連接，快速響應業務變化的需求。第74頁/共116頁2.區域教育數據中心的統一建設二、數據中心的安全體系建設建立風險防控責任體系建設多層次安全技術平臺加強生產運行災備建設完善實體安全建設三、數據中心的管理體系建設四、數據中心的環保節能考慮第75頁/共116頁2.區域教育數據中心的統一建設五、機房場地建設機房裝修：機房裝修主要考慮吊頂、隔斷墻、門窗、墻壁和活動地板等。供電系統：由于數據中心的大量設備需要極大的電力功率，所以供電系統的可靠性建設、擴展性是極其重要的。供電系統建設主要有：供電功率、UPS建設（n+1）、配電柜、電線、插座、照明系統、接地系統、防雷和自發電系統等。空調系統：機房的溫度、通風方式和機房空氣環境等。安全系統：門禁系統、消防系統和監控系統。布線系統：機房應有完整的綜合布線系統，布線系統包括數據布線、語音布線、終端布線。通信系統：包括數據線帶寬、語音線路數目等第76頁/共116頁3.區域教育應用系統的“插件聚合式”搭建基于業務服務庫，根據教育局和各學校的具體業務需求，搭建相應的應用系統。業務系統搭建在業務服務庫之上，學校的管理模式如果發生改變，只需要對相關業務服務組合方式進行修正，不需對業務系統進行二次開發?；诓寮酆鲜降拇罱ǚ绞?，可縮短新建應用系統的周期，減小建設風險和投資。第77頁/共116頁3.區域教育應用系統的“插件聚合式”搭建教育應用系統實施過程第78頁/共116頁3.區域教育應用系統的“插件聚合式”搭建

在數據中心和業務服務庫建設基礎上，圍繞區域教育管理和教學科研的主體業務，搭建區域教育綜合信息管理平臺應用系統。建成面向教育管理、教師專業發展、教學資源共享、學校教務管理、學生學籍管理、圖書資源、門戶網站、領導決策等業務的應用軟件，主要包括教學資源管理系統、學生學籍管理系統、教師檔案管理系統、教務教學管理系統、學生日常管理系統、教師培訓管理系統、績效考核管理系統、圖書資源管理系統、網站集群系統、領導查詢系統。第79頁/共116頁3.區域教育應用系統的“插件聚合式”搭建

新的應用系統將不再是基于各部門固有功能開發的“基于功能”的舊有模式，而是在全面、系統地分析學校的數據及文本等信息流的基礎上以及未來可能的發展趨勢上，合理地定義各數據庫結構，并給出合理的功能分割及定義（有可能會打破現有的行政職能劃分），開發以數據為中心、基于數據流模式的應用系統，最大可能的提高工作效率及質量.應用系統遵循以下開發原則：先進性及可擴展性無論在技術上以及管理邏輯上，系統均應體現前瞻性和先進性，可靈活適應學校未來的發展.當學校的行政機構調整或出現其他需求變更時，系統應能通過調整或少量的修改，即可適應新情況的需求，便于系統升級和維護.第80頁/共116頁3.區域教育應用系統的“插件聚合式”搭建開放性和可移植性系統的開發應能支持軟件總線模式，通過軟件總線來連接功能模塊，系統功能的修改和擴充通過軟件模塊的插拔來實現，從而構成柔性的、可變的信息系統；系統應在開放的平臺上開發（如采用JAVA標準開發工具、ActiveX技術及數據交換上對XML標準的支持），保證應用系統與軟件、硬件平臺的無關，以支持軟件的可移植性；盡量采用組件、WebService等技術為用戶提供統一的數據及操作交互接口.第81頁/共116頁3.區域教育應用系統的“插件聚合式”搭建易操作性系統向用戶提供統一的基于Web的B/S模式操作界面，所有功能的升級都在服務器端解決，并支持遠程系統維護.提供數據的統一性和標準性所有的數據均應遵守學校的信息標準集，全校的所有部門的信息編碼統一，由數據中心統一管理.各系統的所有信息能夠實時自動的互連互通，資源得到充分的共享和利用，消除業務部門之間的數據冗余，數據的使用遵循學校制訂的原則，哪個業務處室產生的數據就由哪個業務處室維護，保證提供給其他業務處室的數據的完整性和唯一性.第82頁/共116頁3.區域教育應用系統的“插件聚合式”搭建支持統一身份認證所有的系統均應支持從學校統一的門戶認證入口登錄，由身份認證系統統一進行身份和權限的認證，將同一個用戶在所有應用系統中的權限和身份統一管理和分發，各個應用系統只需保留角色和權限控制，用戶相關的數據統一保存在身份認證服務器中，用戶和角色的管理可由應用系統自行管理.基于LDAP標準的用戶管理和授權體系，由目錄服務器和身份認證服務器組成.與用戶數據集成層共同組成學校級目錄服務系統，并為實現應用間的單點登錄提供數據基礎.第83頁/共116頁3.區域教育應用系統的“插件聚合式”搭建提供分層次數據資源中心

數據資源中心建設是學校數字化建設的核心工作之一，數據中心采集來自各系統的數據，對數據存儲、分發、處理等，并進行安全控制和審計，為保證數據的正確性和安全性，應建立分層次的數據資源.第84頁/共116頁4.無線網絡標準的選擇在標準的選擇上一般會建議采用802.11g，可同時兼容802.11b。對于802.11a的支持可以根據資金和需求情況而定。第85頁/共116頁4.無線網絡AP的選擇

目前無線方案一般分兩種。一種是AP本身具備較強的管理功能和可操作性與安全性，系統管理員可以通過命令行或者Web方式對每個AP進行配置，用戶的行為受AP控制。一般也將這樣的AP稱為胖AP。另外一種AP本身功能比較簡單，管理工作由統一的控制器(或具備相關功能的網絡交換機)進行管理，包括對AP的配置管理、用戶管理都由控制器控制。對于用戶來講，AP可以理解為一個遠端虛擬的網絡接口。本身并不具備管理功能，只是用于用戶的無線網絡的物理連接。通常這樣的方案也叫做瘦AP方案。第86頁/共116頁4.無線網絡AP的選擇

一般對于規模比較小的無線網絡(幾個或者十幾個接入點)可以選擇胖AP方案。這種情況下，系統管理員的維護成本較低，并且雖然單個胖AP的價格會比瘦AP高一些，但是瘦AP的使用要與控制器相結合，將控制器的成本折合到AP中去時，只有當AP的數量達到一定的規模時才會有價格上的優勢。對于大規模的無線網絡的部署則建議采用瘦AP的方式。管理員不需要針對每個AP進行配置，只需要在控制器上面制定策略和方案即可，然后控制器會根據設置將配置和策略下發到每個AP。當網絡擴展到一定規模時，瘦AP方案在價格上會比胖AP方案有明顯的優勢。第87頁/共116頁4.無線網絡信道的管理

在802.11b工作的2.4GHz頻段中只有3個互不干擾的無線信道1、6、11。所以在進行無線網絡建設時一定要對信道進行規劃，否則就會出現信道間相互干擾的問題。總的設計原則是控制用戶不要私自架設無線設備而干擾統一部署的無線網絡；盡可能地利用不同特性的天線對每個AP的信號覆蓋范圍進行控制；調整每個AP的功率，做到信號覆蓋范圍既滿足要求又不影響其他AP。第88頁/共116頁4.無線網絡用戶管理

用戶管理在無線網的部署中也是非常重要的一個方面。與有線網絡不同，有線網需要用戶在特定的部署了網線的地方才能夠使用網絡，對于布線我們是可以控制的，但是無線卻不同，只要能夠接收到無線信號，用戶就可以接入到你的網絡中來。所以對用戶接入的管理，特別是對安全的控制就顯得十分重要。目前主要采用的無線用戶管理的方式有Web、多元綁定(賬號、密碼、MAC、IP)、PPPoE、IEEE802.1x，隱藏多SSID等?？梢愿鶕W絡的安全性和應用的需求，選擇一種或者多種方式并存。第89頁/共116頁4.無線網絡帶寬的管理

與有線網絡相比無線網絡的帶寬是相對較小的。所以如何有效地為用戶分配帶寬對于無線網而言也是一個重要的問題。這需要通過與用戶管理系統結合，根據不同的用戶級別設定用戶可以使用的最大帶寬，同時對不同的應用制定不同的QoS保證，只有這樣才能將無線網絡的優勢發揮出來。這里需要說明的是，如果采用a/b/g的模式，那么a與b/g分別使用兩個不同的頻率，理論上對外提供的帶寬可達108Mbps。第90頁/共116頁4.無線網絡無線組網方式的選擇

建議如有可能，在部署無線局域網時單獨組網，將整個無線網單獨匯聚到一點后再接入原有的校園網，而不是直接在原有的網絡末端直接添加無線網。這樣有助于對用戶的管理、計費以及安全的控制。無線網絡除方便個人用戶直接接入網絡外，另一種形式是可以提供點對點和點對多點的網絡與網絡連接。網絡對網絡互聯使用的設備將不是AP，根據網絡是第2層或第3層連接的需要，通過天線系統的配合，可以選用無線網橋或無線路由器。第91頁/共116頁4.無線網絡

無線網絡安全七大隱患容易侵入非法AP未經授權使用服務服務和性能的限制地址欺騙和會話攔截流量分析與流量偵聽高級入侵第92頁/共116頁4.無線網絡問題一：容易侵入無線局域網非常容易被發現，為了能夠使用戶發現無線網絡的存在，網絡必須發送有特定參數的信標幀，這樣就給攻擊者提供了必要的網絡信息。入侵者可以通過高靈敏度天線從公路邊、樓宇中以及其他任何地方對網絡發起攻擊而不需要任何物理方式的侵入。解決方案：加強網絡訪問控制

容易訪問不等于容易受到攻擊。一種極端的手段是通過房屋的電磁屏蔽來防止電磁波的泄漏，當然通過強大的網絡訪問控制可以減少無線網絡配置的風險。如果將AP安置在像防火墻這樣的網絡安全設備的外面，最好考慮通過VPN技術連接到主干網絡，更好的辦法是使用基于IEEE802.1x的新的無線網絡產品。IEEE802.1x定義了用戶級認證的新的幀的類型，借助于企業網已經存在的用戶數據庫，將前端基于IEEE802.1X無線網絡的認證轉換到后端基于有線網絡的RASIUS認證。第93頁/共116頁4.無線網絡問題二：非法的AP無線局域網易于訪問和配置簡單的特性，使網絡管理員和安全官員非常頭痛。因為任何人的計算機都可以通過自己購買的AP，不經過授權而連入網絡。很多部門未通過公司IT中心授權就自建無線局域網，用戶通過非法AP接入給網絡帶來很大安全隱患。解決方案：定期進行的站點審查

像其他許多網絡一樣，無線網絡在安全管理方面也有相應的要求。在入侵者使用網絡之前通過接收天線找到未被授權的網絡，通過物理站點的監測應當盡可能地頻繁進行，頻繁的監測可增加發現非法配置站點的存在幾率，但是這樣會花費很多的時間并且移動性很差。一種折衷的辦法是選擇小型的手持式檢測設備。管理員可以通過手持掃描設備隨時到網絡的任何位置進行檢測。第94頁/共116頁4.無線網絡問題三：經授權使用服務一半以上的用戶在使用AP時只是在其默認的配置基礎上進行很少的修改。幾乎所有的AP都按照默認配置來開啟WEP進行加密或者使用原廠提供的默認密鑰。由于無線局域網的開放式訪問方式，未經授權擅自使用網絡資源不僅會增加帶寬費用，更可能會導致法律糾紛。而且未經授權的用戶沒有遵守服務提供商提出的服務條款，可能會導致ISP中斷服務。解決方案：加強安全認證加強安全認證最好的防御方法就是阻止未被認證的用戶進入網絡，由于訪問特權是基于用戶身份的，所以通過加密辦法對認證過程進行加密是進行認證的前提，通過VPN技術能夠有效地保護通過電波傳輸的網絡流量。一旦網絡成功配置，嚴格的認證方式和認證策略將是至關重要的。另外還需要定期對無線網絡進行測試，以確保網絡設備使用了安全認證機制，并確保網絡設備的配置正常。第95頁/共116頁4.無線網絡問題四：服務和性能的限制無線局域網的傳輸帶寬是有限的，由于物理層的開銷，使無線局域網的實際最高有效吞吐量僅為標準的一半，并且該帶寬是被AP所有用戶共享的。無線帶寬可以被幾種方式吞噬：來自有線網絡遠遠超過無線網絡帶寬的網絡流量，如果攻擊者從快速以太網發送大量的Ping流量，就會輕易地吞噬AP有限的帶寬;如果發送廣播流量，就會同時阻塞多個AP;攻擊者可以在同無線網絡相同的無線信道內發送信號，這樣被攻擊的網絡就會通過CSMA/CA機制進行自動適應，同樣影響無線網絡的傳輸;另外，傳輸較大的數據文件或者復雜的client/server系統都會產生很大的網絡流量。解決方案：網絡檢測定位性能故障應當從監測和發現問題入手，很多AP可以通過SNMP報告統計信息，但是信息十分有限，不能反映用戶的實際問題。而無線網絡測試儀則能夠如實反映當前位置信號的質量和網絡健康情況。測試儀可以有效識別網絡速率、幀的類型，幫助進行故障定位。第96頁/共116頁4.無線網絡問題五：地址欺騙和會話攔截由于802.11無線局域網對數據幀不進行認證操作，攻擊者可以通過欺騙幀去重定向數據流和使ARP表變得混亂，通過非常簡單的方法，攻擊者可以輕易獲得網絡中站點的MAC地址，這些地址可以被用來惡意攻擊時使用。除攻擊者通過欺騙幀進行攻擊外，攻擊者還可以通過截獲會話幀發現AP中存在的認證缺陷，通過監測AP發出的廣播幀發現AP的存在。然而，由于802.11沒有要求AP必須證明自己真是一個AP，攻擊者很容易裝扮成AP進入網絡，通過這樣的AP，攻擊者可以進一步獲取認證身份信息從而進入網絡。在沒有采用802.11i對每一個802.11MAC幀進行認證的技術前，通過會話攔截實現的網絡入侵是無法避免的。解決方案：同重要網絡隔離在802.11i被正式批準之前，MAC地址欺騙對無線網絡的威脅依然存在。網絡管理員必須將無線網絡同易受攻擊的核心網絡脫離開。第97頁/共116頁4.無線網絡問題六：流量分析與流量偵聽802.11無法防止攻擊者采用被動方式監聽網絡流量，而任何無線網絡分析儀都可以不受任何阻礙地截獲未進行加密的網絡流量。目前，WEP有漏洞可以被攻擊者利用，它僅能保護用戶和網絡通信的初始數據，并且管理和控制幀是不能被WEP加密和認證的，這樣就給攻擊者以欺騙幀中止網絡通信提供了機會。早期，WEP非常容易被Airsnort、WEPcrack一類的工具解密，但后來很多廠商發布的固件可以避免這些已知的攻擊。作為防護功能的擴展，最新的無線局域網產品的防護功能更進了一步，利用密鑰管理協議實現每15分鐘更換一次WEP密鑰。即使最繁忙的網絡也不會在這么短的時間內產生足夠的數據證實攻擊者破獲密鑰。解決方案：采用可靠的協議進行加密如果用戶的無線網絡用于傳輸比較敏感的數據，那么僅用WEP加密方式是遠遠不夠的，需要進一步采用像SSH、SSL、IPSec等加密技術來加強數據的安全性。第98頁/共116頁4.無線網絡問題七：高級入侵一旦攻擊者進入無線網絡，它將成為進一步入侵其他系統的起點。很多網絡都有一套經過精心設置的安全設備作為網絡的外殼，以防止非法攻擊，但是在外殼保護的網絡內部確是非常的脆弱容易受到攻擊的。無線網絡可以通過簡單配置就可快速地接入網絡主干，但這樣會使網絡暴露在攻擊者面前。即使有一定邊界安全設備的網絡，同樣也會使網絡暴露出來從而遭到攻擊。解決方案：隔離無線網絡和核心網絡由于無線網絡非常容易受到攻擊，因此被認為是一種不可靠的網絡。很多公司把無線網絡布置在諸如休息室、培訓教室等公共區域，作為提供給客人的接入方式。應將網絡布置在核心網絡防護外殼的外面，如防火墻的外面，接入訪問核心網絡采用VPN方式。第99頁/共116頁4.無線網絡幾種無線網方案有線無線一體化方案全面802.11n覆蓋方案無線校園高密度抗干擾方案端到端IPv6方案

第100頁/共116頁5.面向區域教育信息化的“教育云”的整體架構采用云架構，是對區域教育