教育行业数据安全和业务连续性建设特点

时间:2020-07-03 栏目:

导读:本文从教育行业概况、信息化现状、容灾备份建设要求、业务系统容灾场景、案例简析等多维度分析行业数据安全和业务连续性建设的特点,尽可能为你呈现不同应用、不同场景下,教育机构对数据安全、容灾备份、文件共享管理的建设要求,希望对你有帮助。

一、行业概述

教育行业泛指各类学校、培训机构、教育管理部门、科院院所等教育机构,在数据安全和业务连续性管理领域,本章节所涉及教育机构主要是各级教育主管部门、大中专院校、中学、科院院所等。

随着“教育信息化2.0行动”的深入,教育平台信息化得到大力发展,智慧校园、智能排课系统、网上课堂、云教学等模式,受到老师、家长及学生的欢迎。但信息化发展也伴随着数据安全、个人隐私、网络入侵、病毒勒索和系统故障等问题的发生,以往系统及数据保护的冗余方案,已难以满足师生对系统故障短时间内快速恢复的要求,主管单位对学校重要系统平台的RTO、RPO的要求也越来越高。

1)学校信息系统等保确定

教育信息化的快速发展,将信息系统安全保护工作摆在了重要的位置,且逐渐演变成“一把手工程”。根据“教育部印发《教育信息化2.0行动计划》教技[2018]6号”的文件要求,在“教育信息化2.0”的保障措施方面,明确主体责任人要“担当责任,保障安全”,具体如下:

加强教育系统党组织对网络安全和信息化工作的领导,明确主要负责人为网络安全工作的第一负责人,建立网络安全和信息化统筹协调的领导体制,做到网络安全和信息化统一谋划、统筹推进。完善网络安全监督考核机制,将网络安全工作纳入对领导班子、干部的考核当中。以“网络安全法”等法律法规为纲,全面提高教育系统网络安全防护能力。全面落实网络安全等级保护制度,深入开展网络安全监测预警,提高网络安全态势感知水平。做好关键信息基础设施保障,重点保障数据和信息安全,强化隐私保护,建立严密保护、逐层开放、有序共享的良性机制,切实维护好广大师生的切身利益。

网络安全、数据安全和信息化推进的工作,最终是落到具体的业务信息系统中。根据《教育行业信息系统安全等级保护定级工作指南(试行)》教技厅函[2014]74号文件规定:按照信息系统主管单位的不同,信息系统分为“教育行政部门及其直属事业单位信息系统”(简称“部门信息系统”)和“学校信息系统”两类。

“部门信息系统”可分为教育部机关及其直属事业单位信息系统(部级系统)、省级教育行政部门及其直属事业单位信息系统(省级系统)、地市级教育行政部门及其直属事业单位信息系统(市级系统)和区县级教育行政部门及其直属事业单位信息系统(县级系统);“学校信息系统”可分为重点建设类高等学校信息系统(I类)、高等学校信息系统(Ⅱ类)、中小学校(含中职中专院校)信息系统(Ⅲ类)。

在同一个学校中,也可以根据信息系统业务对象不同划分。例如,“学校部门信息系统”可分为政务管理类、学校管理类、学生管理类、教师管理类、综合服务类;“学校信息系统”可分为校务管理类、教学科研类、招生就业类、综合服务类。

针对不同系统类别,信息系统的定级思路是在信息系统分类的基础上,参照国家对信息系统的安全保护等级标准的等级划分,形成教育行业信息系统安全等级划分建议。在上述教技厅函[2014]74号文件中,明确了信息系统的安全保护等级由业务信息安全等级系统服务安全等级较高者决定,最终确定XX系统安全保护等级为第几级,可参考下表。

教育机构的主管部门根据这个系统等级划分表,可根据需要制定合适的容灾备份策略,并明确具体的RTO与RPO的范围,随时在容灾演练中验证方案的实战能力。

2)教育信息化发展的法律法规

教育信息化发展,关系到学校科研成果和知识产权的保护,以及广大师生的信息数据和个人隐私安全,所以离不开从国家层面开展相关法律法规的立法工作。这些行业指导文件和法律法规,对信息系统的备份、容灾和备案都提出了具体的要求。例如:

  • 《教育行业信息系统安全等级保护定级工作指南(试行)》在“公安机关备案”中规定:经审核批准的二级以上信息系统,由其主管单位负责组织到所在地设区的市级以上公安机关办理备案手续。教育部全国联网统一运行系统由教育部统一向公安部备案,其在各地运行、应用的分支系统,由主管单位组织向所在地公安部门备案,确定为三级以上信息系统同时报教育部备案。
  • 《职业院校数字校园建设规范》在“网络系统安全的设计与实施”中规定:a)采用适当的安全体系设计和管理计划,有效降低网络安全事件对网络性能的影响,从而降低管理成本;b)选择适当的技术和产品,制订较为完备的网络安全策略,在保证网络安全的情况下,提供顺畅的网络服务通道;c)采用技术和管理相结合的安全保护措施,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。
  • 《中华人民共和国网络安全法》第二十一条明确指出:国家实行网络安全等级保护制度,各单位有义务按照网络安全等级保护制度的要求履行安全保护义务;第五十九条明确指出:不履行网络安全保护义务的要给予相应的处罚。

本章节整理了对教育行业信息化发展起到积极推动作用的法律法规及文件,各教育机构可根据组织的规模、属性、等级进行相应的数据安全和业务连续性的建设。

“教育信息化”

《教育信息化十年发展规划(2011-2020年)》教技[2012]5号

《教育信息化“十三五”规划》教技〔2016〕2号

《2017年教育信息化工作要点》教技厅[2017]2号

《教育信息化2.0行动计划》教技〔2018〕6号

“数字校园规划”

《国家中长期教育改革和发展规划纲要(2010-2020年)》

《国家教育事业发展“十三五”规划》国发〔2017〕4号

《职业院校数字校园建设规范》教职成函[2015]1号

《中小学数字校园建设规范(试行)》教技[2018]5号

“校园等保要求”

《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕)

《中华人民共和国计算机信息系统安全保护条例》(国务院第147号令)

《公共安全业务连续性管理体系指南》国家标准(GB/T 31595-2015)

《信息系统安全等级保护定级指南》(GB/T 22240-2008)

《信息系统安全等级保护实施指南》(GB/T 25058-2010)

《教育行业信息系统安全等级保护定级工作指南(试行)》教技厅函[2014]74号

近年来,随着针对校园的网络攻击越发猖狂,广大师生意识到学校信息系统安全建设的紧迫性和重要性。2017年在全球爆发的“永恒之蓝”勒索病毒,就是一次深刻的教训。据新闻报道,从2017年5月12日晚20点左右开始,国内部分高校学生反映电脑被病毒攻击,电脑内的文档全部被加密,包括所有的Word、Excel、PDF、图片、视频等各类有用的文件。黑客称需支付最多3个比特币才能解锁,而当时众多高校学生正在忙着论文,一旦被加密即使支付也不一定能够获得解密密钥。

从这个案例可以看到,如果没有针对师生群体进行统一的数据安全管理或CDP保护,网络不法分子将利用个体间脆弱的信息安全防线,让整个群体的信息数据面临严峻的挑战。

二、行业现状与需求

由于教育机构繁多,本章节主要以高校作为教育行业的典型代表,分析行业现状与需求,其他教育机构可参考。

据教育部统计数据,2019年高等教育各级各类学校数量(4568所)、教职工(2621575人)。面对如此庞大的师生群体,数字校园(或智慧校园)被越来越多地提及,数字校园是以信息技术为基础,通过对校园的基础设施、教学资源和教育活动进行数字化改造而构建的信息化环境。

根据《职业院校数字校园建设规范》教职成函[2015]1号文件,数字校园建设采用“云-网-段”架构模式,“云”按照国家数字教育资源公共服务体系标准规范,由教育行政部门通过组织建设、租用、购买服务等方式来建设和维护。“网”要以固定带宽、移动带宽、有限电视网络等方式支持“端”“云”联通。“端”是学校信息化基础设施,学校重点推进信息化应用,提升全校师生员工信息技术应用能力和信息素养。

从宏观上讲,不管是早前的“互联网+教育”,还是《教育信息化2.0行动计划》,都离不开数字校园建设这个基本盘。例如,在“2.0行动计划”的基本目标“三全、两高、一大、三变、三新”中,“三全”就明确提出要数字校园建设覆盖全体学校,而数字校园则是教育行业数据安全和业务连续性建设的前沿阵地,在数字校园建设过程中,以下领域是容灾备份应用场所或保护对象:

数据中心:是数据汇集而形成的集成信息技术应用环境,是各种业务的提供中心,是数据处理、存储、交换、备份、容灾的中心;根据容灾备份的建设规划,学校可以在不同校区搭建数据中心,然后根据业务需要划定生产和灾备中心,也可在教育云、公有云等云数据中心规划生产和灾备中心。

数字教育资源:是指以图片、音视频、文档为主的素材类教育资源,和以工具、软件系统为主的应用类教育资源。这也是数据安全和业务连续性建设的主要对象,如校园一卡通系统、教务系统、档案系统、图书馆系统、网站系统、OA办公系统、人事财务系统等。

网络学习空间:是由教育主管部门或学校认定的,融资源、服务、数据为一体,支持共享、交互、创新的实名制网络学习场所。网课、云教学应用系统这几年的发展速度极快,频发的系统故障导致上课时间中断,已严重影响到师生在线教学和学习的体验,因此师生对系统恢复的RTO的要求也越来越严苛。

教育信息化发展至今,从早先的搭建基础网络环境到教学应用信息化,到业务系统资源整合,到现在的教育云服务平台,教育云化是一个难以避免的趋势。云计算因为采用虚拟化技术,相比传统的数据中心,更具高性价比和高可靠性,以及动态可扩展、按需部署、可扩展性强等特点。这对于资金预算追求高性价比的教育机构,显然更具有吸引力。

在教育云平台建设方面,主要有两个方向:一是以省市级为单位的系统性教育云平台,二是以第三方服务商搭建的商业教育云平台。无论哪种平台,业务和数据上云,都不能忽视对关键数据和业务连续性的保护,重要数据实时在本地保留一份,不仅可以掌握数据安全方面的自主权,还可以对设备进行利旧,提高资源投资回报率。

不管在本地还是在云端,在教育信息化快速发展的当下,教育机构在数据安全和业务连续性需求方面,还包括以下内容:

  • 教务系统、网课系统容灾
  • 虚拟化平台和数据库容灾
  • 一卡通、财务、档案等系统数据备份、CDP
  • IT系统扩容升级、教育云系统迁移和灾备
  • 异地、跨校区教学、科研数据多租户灾备管理
  • 多终端的文件共享云盘和文件备份管理
  • 网络安全应急事件预案,病毒与网络入侵防范

综上,基于在线教育的快速发展,对于关键的业务系统如教务、一卡通等应用系统应建立异地容灾策略,对于关键的财务、档案等应用的数据进行实时备份和CDP保护,特别防范机房火灾、断电、网络入侵、勒索病毒攻击等可能导致数据丢失和业务中断的危险事件的发生。

三、应用场景与解决方案

教育信息化过程中,在数据安全和业务连续性管理方面,主要聚焦在校园一卡通系统、教务管理系统、图书馆系统、邮件系统、门户网站、档案系统等应用,项目团队需要根据这些应用系统的特点及重要性,适配合适的场景方案。

校园一卡通系统:是数字化校园的基础工程和重要的组成部分,为数字化校园提供了全面的数据采集平台,结合校园的管理信息系统和网络,形成全校范围的数字空间和共享环境。为管理人员提供具有开放性、灵活性、面向校园的应用服务管理平台、是管理与管理科学化的必要前提和基本途径。其应用系统涵盖食堂、超市、校园班车、门禁管理、身份识别、考勤管理、考场管理、教务管理等。

教务管理系统:是一种充分利用互联网络B/S管理系统模式,以网络为平台,为各个学校教务系统的管理提供一个平台,帮助学校管理教务系统,且学校可以灵活地定制符合本校实际情况的教务系统。其应用系统涵盖师生信息管理、招生就业信息系统、财务信息管理、班级和课程信息管理、成绩信息管理、综合信息查询等。

图书馆系统:根据图书馆的业务范围及特点,专门为学校图书馆设计的应用系统。其应用系统涵盖编目系统、期刊系统、公共检索系统、典藏系统、流通信息系统以及系统管理系统等。

邮件/网站/OA办公系统:以满足学校日常的内外邮件往来、网站访问和自动化办公需求而搭建的各应用系统,业务中断、数据丢失都将严重影响学校的日常公务活动。

档案系统:档案管理系统是通过建立统一的标准以规范整个文件管理,包括规范各业务系统的文件管理的完整的档案资源信息共享服务平台。其应用系统涵盖了档案采集系统、档案管理系统和网上查阅系统等,系统内的师生档案等重要数据,需要定时或实时的备份,以保障数据安全。

针对校园的各类应用系统,根据校园信息系统安全等级保护工作行业要求,对学校的信息系统在市教委、公安局进行备案分级,统计一级和二级系统的数量,然后对相关系统进行数据安全和业务连续性管理的建设。英方软件在教育行业拥有丰富的项目实践经验,总结了基于一卡通系统、教务系统、智慧课堂等系统的数据迁移、备份、CDP和应用容灾及文件共享网盘等应用场景。

▽教务及智慧课堂系统容灾

场景特点

数据重要,系统持续运行

多客户端的频繁并发访问

用户需求

关键系统的RTO为秒级,故障发生时终端无感知

无备份时间窗口,对系统性能影响小,数据丢失接近0

英方应用实践:在本地及异地环境下,i2Availability实现教务及智慧系统的应用高可用,监控平台根据心跳线判断标准(进程缓慢、网络中断、CPU及服务器故障等),当故障发生时备份服务器马上接管,持续对外提供服务;i2CDP为系统提供持续数据保护,当发生逻辑错误、硬盘损毁、病毒攻击时,可进行任意时间点的数据恢复。

▽校园系统上云及灾备

场景特点

主管部门或学校统筹业务系统上云

云端数据存在平台型的安全隐患

用户需求

系统实现在线热迁移,数据不丢失

掌控云端数据安全,本地备份最新数据

英方应用实践:在本地到云端的环境下,第一步通过i2Move将校园系统在线热迁移至教育云上;第二步,充分利用设备资源,通过i2CDP将云端数据实时备份至本地机房,保障数据的安全性,防范逻辑错误、云平台故障、病毒攻击可能导致的数据丢失。

▽财务与一卡通数据库数据灾备

场景特点

数据安全性和敏感度高

数据量大,查询访问频率高

用户需求

数据不能丢失,可防范勒索病毒攻击

对生产性能影响小,两端数据一致性

英方应用实践:在本地跨操作系统的环境下,通过i2Active数据库语义级的数据实时复制和同步软件,将生产端的Oracle RAC实时同步到Oracle服务器;然后通过级联方式,在异地备份中心采用i2CDP将Oracle数据库数据实时同步到备份服务器,实现Oracle数据库数据的双重保护。

▽跨校区多租户实时数据同步与防病毒勒索

场景特点

多校区多机房,数据访问频繁

网络数据安全风险点分散

用户需求

各校区数据的实时同步,防病毒勒索

有异地灾备中心,预防火灾、地震等自然灾害发生

保证数据的可用性、完整性、连续性和恢复可靠性

英方应用实践:在主校区建立生产中心,在核心分校区(或云端)建立灾备中心,通过i2Cloud多租户云灾备管理平台,为教务、学工、图书馆、科研、一卡通等系统开通账号,通过i2COOPY功能实现两地数据的实时同步,且保障两端数据一致性和可用性;通过i2CDP功能对核心数据进行持续数据备份,当生产中心发生逻辑错误、病毒攻击、火灾等危险事件时,可通过备份数据及时恢复。

▽学校多终端文件共享云盘管理

场景特点

海量的各类型数据,管理混乱、效率低

文件拷贝频繁,重复传输、风险点分散

用户需求

异地、多终端的文件安全访问

校园数据的协同互通、备份、统一管理

网盘的多级别权限管理和历史数据的恢复

文件更新、分享的实时性、便捷性和管理智能化

英方应用实践:通过在生产中心的服务器上安装i2Share企业级文件管理软件,然后按需开通用户账号数量,在不同地点任意时间,学校人员及师生都可以通过账号在Linux、Windows、Mac桌面平台和Android、iOS移动平台访问共享网盘上的文件。i2Share具备多终端同步、全历史版本恢复、文件协同应用、文件安全访问、加密存储、云端兼容等功能。

四、典型用户案例

▽辽宁大学一卡通数据跨校区同步与防病毒保护

项目亮点:采用i2CDP字节级数据复制技术,具备优异的网络传输性能,适合窄带宽、远距离、跨平台的数据传输场景,同时将数据的变化以日志方式记录下来,可根据需求将数据恢复到任意时间点,可有效防范逻辑错误及勒索病毒导致的数据丢失。

用户介绍:辽宁大学源起于1948年11月东北人民政府在沈阳建立的商业专门学校,是中国共产党创建的第一所专门商科高校,是国家“211工程”重点建设院校和世界一流学科建设高校。学校现有三个校区:沈阳崇山校区、沈阳蒲河校区和辽阳武圣校区。

项目需求:辽宁大学为了提升一卡通系统数据和业务的安全,需要对现有的环境进行容灾保护,确保业务系统具有抗击风险的能力,同时建设一套完整的异地灾备平台,提高重要信息系统抵御容灾和重大事故的能力,减少因容灾和重大事故造成的损失。

实施过程:辽宁大学联合英方软件进行的灾备建设,过程如下:

学校数据量大,数据类型复杂,通过i2Box内嵌的i2CDP软件,对教务、一卡通、门户、学工等系统的数据进行实时数据保护;通过i2Backup定时备份各类数据库文件和非结构化数据,针对Oracle、SQL Server等数据库提供恢复解决方案。整个数据级灾备策略采用实时+定时的方案,全方面保护各类数据安全,确保逻辑错误、病毒攻击、火灾等事件发生时,有最新的数据可恢复。

▽福州大学智慧校园容灾方案

项目亮点:英方i2Box灾备一体机为福州大学节省了部署时间,灵活扩容的架构减少了前期成本投入,还可以根据数据增量随时进行扩容。IT管理员在后续的容灾规划中,可根据生产系统的工作状态选择合适的灾备时间及对应的带宽使用限制,保证生产系统正常的业务不受灾备实施的影响。

用户介绍:福州大学创建于1958年,是国家“双一流”建设高校、国家“211工程”重点建设大学、福建省人民政府与国家教育部共建高校、福建省人民政府与国家国防科技工业局共建高校。目前,学校现已发展成为一所以工为主、理工结合,理、工、经、管、文、法、艺等多学科协调发展的重点大学。

项目需求:福州大学正在全力构建有效的信息安全防护体系。例如,原有的教学管理系统采用的是“服务器+外置存储”的构建,虽然有磁盘阵列(RAID)等层面的保护,但依然是一个单机的环境系统,抗灾难的能力较弱。为了进一步加强系统的抗风险能力,福州大学计划构建一套数据库灾备系统,进而确保在出现系统宕机、人为误删、病毒勒索等异常情况下,可以快速实现数据的恢复以及业务的接管。

实施过程:福州大学联合英方软件进行的灾备建设,过程如下:

通过i2Box内嵌的i2Availability高可用软件和i2CDP持续数据保护软件,实现对校园OA、邮件、教务等系统应用及数据进行双重保护,即通过i2Availability实现生产主机到i2Box虚拟机的应用接管,通过i2CDP实现数据库数据的持续数据保护,全方位保障学校的数据不丢、业务不停,助力各类数据的归档、备份和分享,为建设智慧校园保驾护航。

▽山东省教育招生考试院数据库灾备

项目亮点:跨操作系统平台的Oracle RAC数据通过i2Active实现主备端的实时同步,备端可提供查询;i2CDP具备持续数据保护功能,能够对虚拟化平台的MySQL、Oracle等数据库数据进行备份,实现两地远距离的数据同步备份,具备无备份时间,适合窄带宽、远距离容灾的特点。

用户介绍:山东省教育招生考试院成立于2005年3 月,为山东省教育厅所属副厅级事业单位。负责普通高校招生、成人高校招生、研究生招生、自学考试、普通中等专业学校招生、社会证书考试、全国大学英语四六级考试、高中学业水平考试等招生考试及相关服务工作。

项目需求:山东省招生考试院因行业特殊性,对数据的安全性以及保密性要求较高。为了保障数据的安全,将核心业务系统的重要数据通过1G联通加固专线从济南灾备到310公里之外的青岛联通安全隔离机房。

实施过程:山东省教育招生考试院联合英方软件进行的灾备建设,过程如下:

通过i2Active数据库语义级的实时数据同步软件,对Linux 、Window、Unix不同平台下的45个节点的Oracle RAC数据库进行实时同步,可提供备端的查询;通过40个i2CDP节点对虚拟化平台的MySQL、Oracle等数据库数据,及其他非结构化数据进行实时备份;最后通过i2Cloud将归档服务器200TB的数据灾备到青岛。

▽哈尔滨工业大学(深圳)多终端文件共享云盘

项目亮点:通过i2Share构建了一个智能、便捷的文件管理系统,支持Linux、Windows、Mac桌面平台和Android和iOS移动平台,以及用户自定义加密存储文件和加密方式访问,同时支持三级管理体系,帮助师生摆脱各种移动存储设备,快速便捷地进行文件分享,对图片、视音频、文档等各类非结构化数据进行统一管理,并通过完善的备份机制和安全技术手段,全方位保障文件安全。

用户介绍:哈尔滨工业大学(深圳)前身是始建于2002年的哈工大深圳研究生院,由哈工大与深圳市政府合作共建,是哈工大的一个校区,是广东省、深圳市的一所大学。哈工大(深圳)以全日制本科生与研究生教育为主、非全日制教育为辅,是首所进驻深圳招收本科生的中国九校联盟(C9)成员、国家“985工程”建设高校和“双一流”建设A类高校。

项目需求:学校希望对各类数据(图片、视音频、文档等)进行统一管理,加快各学科部门间的文件数据互通;同时希望能够通过共享网盘,减少文件的重复传阅频次,降低校园网络带宽的压力;最后希望文件能够有备份策略,在文件丢失或受损的情况下,对历史文件版本进行恢复。

实施过程:哈尔滨工业大学(深圳)联合英方软件进行的灾备建设,过程如下:

通过在服务器上安装i2Share文档管理系统,为师生提供100个使用账户,每个用户可通过PC或移动设备下载安装i2Share客户端,整个安装过程由英方工程师交付实施,用户也可以在线升级版本,实现多终端同步、全历史版本恢复、完善的分享管理、文件协同应用等功能。

五、小结

教育,得天下英才而教育之。教育信息化的发展,对于教育资源的分配、教育公平化都有极大的促进作用。但另一方面,数据安全、个人隐私和关键系统的高可用问题日益凸显,这时选择合适、合规和可靠的数据管理和灾备建设方案,对自身系统的兼容性、可扩展性和安全性就显得非常重要。简而言之,好的方案即可以较好地保护好校园的数据业务安全,又不对业务系统的正常运转造成影响。

及时响应,快速服务,为您保驾续航

立即注册

请先完成图形验证

验  证  码:

请先完成图形验证

验  证  码:

隐私声明
当您在本网站进行合作伙伴注册登记,本网站将收集您的相关信息,并保存记录。本网站收集的个人信息包括但不限于:姓名、地址、公司、所在地区、电话号码以及电子邮件地址等。您主动提供的信息越多及越准确,我们就能够更好地为您提供有关服务。
咨询·购买