文/肖春光

（作者單位為深圳市寶安區(qū)教育信息中心）

寶安區(qū)區(qū)域教育云服務(wù)系統(tǒng)為全區(qū)民辦中小學(xué)校、幼兒園及技術(shù)薄弱的公辦單位提供直接可用的區(qū)域教育云平臺、資源和應(yīng)用系統(tǒng)，促進了全區(qū)教育信息化的均衡發(fā)展。

隨著教育信息化、網(wǎng)絡(luò)化、云計算等的快速發(fā)展，區(qū)域教育云服務(wù)系統(tǒng)建設(shè)逐漸成了各級教育行政部門關(guān)注的重點。深圳寶安區(qū)（以下簡稱寶安區(qū)）教育局頂層設(shè)計“建、管、用、維”的教育云平臺和教育大數(shù)據(jù)資源中心，于2011 年上線，免費服務(wù)全區(qū)518 個辦學(xué)單位的教育管理人員、教育科研人員、師生及家長30 余萬人，是寶安區(qū)貫徹落實推進“三通兩平臺”建設(shè)任務(wù)的主平臺。

2015 年以來，國家、省、市、區(qū)等各級部門加大了網(wǎng)絡(luò)與信息安全監(jiān)管力度，從央企到一類省市，不少重要系統(tǒng)和網(wǎng)站被篡改，不少門戶網(wǎng)站采取了不同時間段關(guān)閉的措施，盡管避免了被攻破的危險，但給網(wǎng)民帶來了諸多不便，給政府等相關(guān)部門造成不利的影響。等保2.0 對等級保護對象范圍在傳統(tǒng)系統(tǒng)的基礎(chǔ)上擴大到了云計算、移動互聯(lián)、物聯(lián)網(wǎng)、大數(shù)據(jù)等，《網(wǎng)絡(luò)安全法》實施把網(wǎng)絡(luò)與信息安全提升到了法律層面。為繼續(xù)確保教育云系統(tǒng)“既要安全合規(guī)，也要服務(wù)可用”，寶安區(qū)開展了網(wǎng)絡(luò)與信息安全嚴管態(tài)勢下區(qū)域教育云服務(wù)系統(tǒng)發(fā)布的探索與實踐，尋求在新的網(wǎng)絡(luò)與信息安全環(huán)境下指導(dǎo)和規(guī)范全區(qū)教育單位政務(wù)類系統(tǒng)、業(yè)務(wù)類系統(tǒng)集約化服務(wù)統(tǒng)一發(fā)布及特殊需求系統(tǒng)發(fā)布的新途徑，重點對教育業(yè)務(wù)類系統(tǒng)對外發(fā)布的集約化管理、申報流程、發(fā)布流程進行了規(guī)范、驗證和改進探索。

政務(wù)類系統(tǒng)的對外發(fā)布

政務(wù)類系統(tǒng)的集約化建設(shè)和對外發(fā)布，參照上級相關(guān)文件要求，通過安全測評后逐步向區(qū)、市、省級政府部門統(tǒng)建數(shù)據(jù)中心的集約化平臺遷移整合發(fā)布，由集約化平臺負責(zé)計算、存儲、網(wǎng)絡(luò)、安全等服務(wù)側(cè)的資源保障。用戶側(cè)主要落實內(nèi)容保障，一是按照“誰主管誰負責(zé)、誰運行誰負責(zé)、誰使用誰負責(zé)”的原則，明確主管領(lǐng)導(dǎo)和信息安全員，落實信息安全工作責(zé)任制；二是堅持“以人民為中心”、“以服務(wù)為中心”的原則，圍繞打造服務(wù)型教育政務(wù)網(wǎng)站平臺，重點保障好基層業(yè)務(wù)部門系統(tǒng)的可用性、及時更新、互動及時回應(yīng)和服務(wù)的實用接地氣等信息內(nèi)容保障；三是嚴格執(zhí)行上網(wǎng)信息的審查制度，網(wǎng)站信息發(fā)布遵循“誰公開、誰審查、誰負責(zé)”的原則，確保網(wǎng)站內(nèi)容不涉密，網(wǎng)站內(nèi)容發(fā)布保密審查不外包；四是加強技術(shù)協(xié)助，升級優(yōu)化后臺處理商業(yè)郵箱、錯別字、敏感內(nèi)容、暗盜斷鏈的發(fā)布前智能審查過濾及定期排查功能。

業(yè)務(wù)類系統(tǒng)的對外發(fā)布

寶安區(qū)各教育單位自主（含區(qū)統(tǒng)區(qū)建和區(qū)統(tǒng)校建）建設(shè)的特色環(huán)境及特色應(yīng)用系統(tǒng)，在使用區(qū)教育城域網(wǎng)域名或IP 在內(nèi)、外網(wǎng)發(fā)布時，需積極利用區(qū)教育大數(shù)據(jù)資源中心已有的區(qū)域共享平臺資源服務(wù)，提高系統(tǒng)的智慧化和集約化水平。技術(shù)薄弱或一般學(xué)校及幼兒園可直接使用區(qū)教育云平臺、資源和應(yīng)用系統(tǒng)，無需單獨規(guī)劃投入建設(shè)。

集約化管理

寶安區(qū)教育大數(shù)據(jù)資源中心已集約化統(tǒng)一了涵蓋全區(qū)智慧教育的“硬件資源、公共平臺、智慧校園”3 大版塊，提供支持“計算和存儲等數(shù)據(jù)支撐、城域網(wǎng)接入及安全管理、考場視頻接入、平安校園視頻接入、無線網(wǎng)絡(luò)接入及安全管理、數(shù)據(jù)標準及認證平臺、辦公和移動應(yīng)用平臺、網(wǎng)站發(fā)布平臺、資源平臺服務(wù)、互聯(lián)網(wǎng)輿情監(jiān)控服務(wù)、地理信息管理平臺、試點智慧校園建設(shè)、虛擬智慧校園建設(shè)”共13 大系統(tǒng)的區(qū)域共享平臺資源統(tǒng)籌，配備了專業(yè)的區(qū)域網(wǎng)絡(luò)、平臺、安全運維服務(wù)保障團隊。

1.加強硬件資源統(tǒng)籌

統(tǒng)一計算和存儲等數(shù)據(jù)支撐。區(qū)教育大數(shù)據(jù)資源中心，整合了前期搭建的多套虛擬化系統(tǒng)進行統(tǒng)一的管理、監(jiān)控等資源集控調(diào)度服務(wù)，同步建設(shè)了異地災(zāi)備數(shù)據(jù)中心確保數(shù)據(jù)的安全，按照虛擬化和云服務(wù)模式提供服務(wù)。

統(tǒng)一城域網(wǎng)接入及安全管理。區(qū)教育城域網(wǎng)接入單位，需配備硬件防火墻、上網(wǎng)行為審計2 類設(shè)備（民辦學(xué)?？蛇x用區(qū)統(tǒng)一部署的虛擬化防火墻和審計）及網(wǎng)絡(luò)管理員持證上崗（NCNE 或CISM 證書等），且審計設(shè)備須與區(qū)審計中心端集成聯(lián)動，實現(xiàn)區(qū)、校兩級記錄各單位的上網(wǎng)行為，為全區(qū)176個接入單位將近10 萬臺終端的上網(wǎng)行為分析及網(wǎng)內(nèi)行為態(tài)勢預(yù)感系統(tǒng)提供權(quán)威數(shù)據(jù)源。

統(tǒng)一考場視頻接入。按照上級有關(guān)考場建設(shè)標準的強制要求，建設(shè)了區(qū)級巡考中心、巡考平臺及考務(wù)視頻會議系統(tǒng)，考試期間對全區(qū)考場進行區(qū)級巡考，各考場單位的監(jiān)控主線路需與市招辦網(wǎng)絡(luò)巡考中心SIP 互聯(lián)，輔線路需與區(qū)巡考中心編碼器及矩陣互聯(lián)上墻，考務(wù)視頻會議系統(tǒng)需與市、區(qū)會議中心對接。

統(tǒng)一平安校園視頻接入。區(qū)智慧平安校園平臺對全區(qū)校園視頻監(jiān)控系統(tǒng)的平臺、前端采集、傳輸網(wǎng)絡(luò)、存儲、覆蓋區(qū)域等實現(xiàn)智能集成和統(tǒng)一調(diào)度管理，重點區(qū)域?qū)崿F(xiàn)與公安視頻監(jiān)控網(wǎng)互聯(lián)，視頻按權(quán)限申請調(diào)閱。

統(tǒng)一無線網(wǎng)絡(luò)接入及安全管理。區(qū)無線網(wǎng)采用“學(xué)校分布式按需建設(shè)、區(qū)域集中式統(tǒng)一管理”模式，實行全區(qū)無線教育城域網(wǎng)統(tǒng)一認證、統(tǒng)一SSID、統(tǒng)一審計、統(tǒng)一備案、統(tǒng)一安全防控與預(yù)警的全網(wǎng)漫游，開放架構(gòu)支持多個無線主流品牌的集成接入統(tǒng)一控管。

2.加強公共基礎(chǔ)平臺共享

統(tǒng)一數(shù)據(jù)標準及認證平臺。寶安教育云平臺是全區(qū)教育信息化對外展現(xiàn)的集中平臺，提供了統(tǒng)一的數(shù)據(jù)標準及認證接口。新建系統(tǒng)需遵循區(qū)平臺提供的數(shù)據(jù)標準與接口互聯(lián)，采集指定權(quán)威標識碼作為系統(tǒng)的唯一標識管理服務(wù)對象信息。通過基礎(chǔ)對象的唯一編碼的比對，才能關(guān)聯(lián)其他業(yè)務(wù)系統(tǒng)的全方位大數(shù)據(jù)庫，確保區(qū)、校應(yīng)用“一號通、全網(wǎng)通”。

統(tǒng)一辦公和移動應(yīng)用平臺。區(qū)協(xié)同辦公平臺滿足“區(qū)-學(xué)區(qū)-校園”的縱橫向數(shù)據(jù)與業(yè)務(wù)互通，提供內(nèi)部常見事務(wù)通用5 級以內(nèi)的表單和流程自定義審批業(yè)務(wù)，移動應(yīng)用提供標準APP程序接口，集成提供“寶安教育云移動APP、寶安家?；ヂ?lián)、寶安通”等，新建移動應(yīng)用的集成對接和發(fā)布需經(jīng)區(qū)移動應(yīng)用發(fā)布網(wǎng)關(guān)統(tǒng)一管控。

統(tǒng)一網(wǎng)站發(fā)布平臺。區(qū)教育云平臺為區(qū)內(nèi)教育單位提供統(tǒng)一的域名、地址、空間、安全、等保備案、審計、備份等服務(wù)。各單位原則上不再單獨新建網(wǎng)站及相關(guān)的專題站點，現(xiàn)有網(wǎng)站逐步遷移整合到區(qū)云平臺網(wǎng)站群實現(xiàn)集約化管理。

統(tǒng)一資源平臺服務(wù)。依托國家教育資源云平臺的本地化部署和開放架構(gòu)，實現(xiàn)了區(qū)資源平臺與國家、省資源平臺的互聯(lián)互通，預(yù)留了與市教育云、粵教云互聯(lián)接口，統(tǒng)籌引入第三方優(yōu)質(zhì)教育資源包括中國知網(wǎng)、區(qū)圖書館數(shù)字資源（已經(jīng)提供23 類）、家校互動平臺、視頻直播系統(tǒng)（單向）、視頻會議系統(tǒng)（雙向）、微課平臺等。

統(tǒng)一互聯(lián)網(wǎng)輿情監(jiān)控服務(wù)?；ヂ?lián)網(wǎng)輿情監(jiān)控平臺，負責(zé)全區(qū)教育相關(guān)的正、負面互聯(lián)網(wǎng)資訊的爬網(wǎng)、分析、監(jiān)控等，各單位可申請使用帳號，自行監(jiān)控本單位互聯(lián)網(wǎng)輿情。

圖1 寶安區(qū)教育業(yè)務(wù)類系統(tǒng)（網(wǎng)站）集約化建設(shè)申報流程

統(tǒng)一地理信息管理平臺。區(qū)地理信息平臺與市級地理信息平臺共享互聯(lián)，形成基礎(chǔ)地理圖層、業(yè)務(wù)圖層和共享發(fā)布接口，同時建有移動版地理信息平臺，通過分發(fā)標準SDK 開發(fā)包，可實現(xiàn)移動終端地圖展現(xiàn)、自動定位、軌跡采集、軌跡回放等功能，方便移動應(yīng)用開發(fā)。各單位一般性地圖應(yīng)用無需搭建專有的地理信息平臺，可申請直接調(diào)用接口使用。

3.加強智慧校園統(tǒng)籌

統(tǒng)籌試點智慧校園建設(shè)。加大寶安區(qū)智慧校園應(yīng)用體系建設(shè)，按照層級遞進、分類實施的工作思路，學(xué)校分為整體推進型、需求引導(dǎo)型、專題聚焦型和基礎(chǔ)應(yīng)用型，每種類型各選擇1～2 所學(xué)校重點推進。加強“互聯(lián)網(wǎng)+教育”各方面應(yīng)用需求調(diào)研，形成“互聯(lián)網(wǎng)+教育管理”、“互聯(lián)網(wǎng)+教育應(yīng)用”、“互聯(lián)網(wǎng)+教育服務(wù)”、“互聯(lián)網(wǎng)+教育督導(dǎo)”、“互聯(lián)網(wǎng)+校園文化”等各類適合區(qū)域推廣的應(yīng)用服務(wù)體系，打造凸顯辦學(xué)特色與模式變革的試點智慧校園。

統(tǒng)籌虛擬智慧校園建設(shè)。根據(jù)智慧校園試點成功案例，制定智慧校園數(shù)據(jù)標準、軟硬件及應(yīng)用建設(shè)標準、登錄認證及安全防范標準等，對具有區(qū)域推進的智慧環(huán)境、智慧管理、智慧學(xué)習(xí)、智慧教學(xué)、智慧服務(wù)等應(yīng)用進行統(tǒng)一開發(fā)封裝，利用區(qū)云平臺架構(gòu)的優(yōu)勢，對有價值的應(yīng)用進行快速輻射與推廣，使智慧教育各類成功應(yīng)用輻射全區(qū)100%中小幼學(xué)校，形成校校為虛擬智慧校園。

圖2 寶安區(qū)教育業(yè)務(wù)類系統(tǒng)（網(wǎng)站）內(nèi)外網(wǎng)發(fā)布流程

申報流程

新建系統(tǒng)需按“寶安區(qū)教育業(yè)務(wù)類系統(tǒng)（網(wǎng)站）集約化建設(shè)申報流程”，由業(yè)務(wù)建設(shè)單位負責(zé)提交申報（如圖1 所示）。

新建系統(tǒng)申報，其設(shè)計及招標方案，須包含如下內(nèi)容并提交區(qū)教育信息中心確認：系統(tǒng)的服務(wù)對象及范圍、硬件、軟件、數(shù)據(jù)備份、部署環(huán)境、網(wǎng)絡(luò)、等保測評等需求，原則上統(tǒng)一由區(qū)集約化部署、建設(shè)和管理，業(yè)務(wù)系統(tǒng)建設(shè)單位不再另行采購配置。

發(fā)布流程

新建系統(tǒng)需按“寶安區(qū)教育業(yè)務(wù)類系統(tǒng)（網(wǎng)站）內(nèi)外網(wǎng)發(fā)布流程”，由業(yè)務(wù)建設(shè)單位負責(zé)提交上線發(fā)布申報（如圖2 所示）。

新建系統(tǒng)發(fā)布，須完成如下相關(guān)工作并提交區(qū)教育信息中心確認：前后臺分離(原則上只對系統(tǒng)的靜態(tài)化前臺進行整合發(fā)布管理)、統(tǒng)一認證整合（集成調(diào)用區(qū)基礎(chǔ)平臺認證體系實現(xiàn)用戶帳號、登錄統(tǒng)一管理）、統(tǒng)一平臺發(fā)布（納入?yún)^(qū)教育云外網(wǎng)發(fā)布展現(xiàn)平臺，實現(xiàn)統(tǒng)一的數(shù)據(jù)抽取、腳本調(diào)用和版面展現(xiàn)）、安全準入掃描與整改（上線系統(tǒng)不存在中、高危漏洞，腳本或數(shù)據(jù)庫版本更新需重新安檢）、等級保護測評（所有上線系統(tǒng)需符合等保二級以上）。

特殊需求系統(tǒng)的對外發(fā)布

原則上全區(qū)教育單位的政務(wù)類和業(yè)務(wù)類系統(tǒng)都需要通過區(qū)教育大數(shù)據(jù)資源中心集約化服務(wù)后統(tǒng)一發(fā)布，但也存在部分民辦學(xué)校、民辦幼兒園個性化自主招生等系統(tǒng)靜態(tài)化分離后對外發(fā)布的靜態(tài)化頁面無法滿足多重交互功能等特殊需求的系統(tǒng)，在區(qū)無法提供此類集約化平臺和當前民辦單位的網(wǎng)絡(luò)與信息安全暫不納入政府安全績效體系基礎(chǔ)上，經(jīng)上線安全檢測合規(guī)后，建議選擇阿里云、騰訊云、天翼云等安全可靠的云端系統(tǒng)暫時提供對外發(fā)布服務(wù)，不得使用校內(nèi)服務(wù)器直接發(fā)布及外部服務(wù)器托管發(fā)布，區(qū)教育城域網(wǎng)網(wǎng)絡(luò)與信息安全運維團隊負責(zé)登記備案相關(guān)系統(tǒng)，并建立實時安全監(jiān)控的鏈條管理，通過臺帳定期監(jiān)測外部托管系統(tǒng)安全狀態(tài)，主動預(yù)警處置。另外，區(qū)教育大數(shù)據(jù)資源中心正在完善主機安全加固及堡壘機體系，營造特殊安全需求系統(tǒng)的回遷環(huán)境。個別學(xué)校也在積極探索直接購買服務(wù)的校企合作共贏新模式，相信在移動互聯(lián)日趨普遍的今天，針對短周期、低頻率、高并發(fā)的需求，按需購買成熟穩(wěn)定服務(wù)的思路將會被越來越多的用戶選用。

系統(tǒng)對外發(fā)布的成效與改進

寶安區(qū)共有辦學(xué)單位518 所，公辦中小學(xué)及公辦幼兒園98所，其余420 所全部為民辦，公辦與民辦辦學(xué)單位之間的教育信息化水平差距明顯，特別是民辦單位使用的系統(tǒng)及代碼五花八門，網(wǎng)絡(luò)與信息安全隱患線長面廣，管理和運維壓力大。寶安區(qū)自實施區(qū)域教育云服務(wù)系統(tǒng)發(fā)布的探索與實踐以來，既為全區(qū)民辦中小學(xué)校、幼兒園及技術(shù)薄弱的公辦單位提供直接可用的區(qū)域教育云平臺、資源和應(yīng)用系統(tǒng)，促進了全區(qū)教育信息化的均衡發(fā)展，又有效保障了區(qū)教育大數(shù)據(jù)資源中心機房對外發(fā)布的150 個學(xué)校網(wǎng)站，基礎(chǔ)平臺、政務(wù)平臺、資源平臺等將近200 個內(nèi)部業(yè)務(wù)類應(yīng)用系統(tǒng)群的健康運行和實時監(jiān)控，有效處置各系統(tǒng)和網(wǎng)站存在的各類漏洞和風(fēng)險。后期將繼續(xù)圍繞系統(tǒng)以城域網(wǎng)內(nèi)發(fā)布為主的方向進行改進，做大做強城域網(wǎng)、集約化平臺及安全接入，通過平安校園項目推進全區(qū)384 所民辦幼兒園全量接入?yún)^(qū)教育城域網(wǎng)，搭建VPN 隧道實現(xiàn)外部臨時訪問接入，探索搭建與阿里云、深圳教育云等云間系統(tǒng)專用鏈路的安全直通互聯(lián)，進一步拓展區(qū)域教育云服務(wù)系統(tǒng)發(fā)布的可信安全空間。