Foreword刊首语 2010年 11月刊 总第 69期

主管: 中华人民共和国教育部

主办: 教育部科技发展中心

承办: 中国教育和科研计算机网CERNET网络中心

顾问委员会主任: 赵沁平

编委会主任: 李志民

编委会副主任: 吴建平

编委会委员: 马 严 王兴伟 王 陆 王珠珠

张 凌 张 蓓 张德运 李 卫

李 未 李芝棠 李 星 李晓明

杨健安 汪为农 汪文勇 陈 禹

周全胜 金 海 娄 晶 祝智庭

赵 宏 奚建清 袁成琛 康 宁

黄荣怀 龚 俭 雷维礼

总 编: 吴建平

副总编: 曾 艳 杨健安

终 审: 袁成琛

主编: 傅宇凡

主编助理: 周晓娟

首席编辑: 王左利

编辑/记者: 周 斌 谢晓丹 李 茗

特约编辑: 杨 望 郑先伟

美术编辑: 刘显中

市场副总监: 倪时敏

市场部: 程 石 王 悦

张永娟 赵玉梅 杨 珊

发行主管： 李一夫

通信地址： 北京海淀区中关村东路1号院

清华科技园 8号楼 B座赛尔大厦 8层

邮政编码： 100084

编辑电话： 010-62603857

发行电话： 010-62603896

传 真： 010-62790637

电子邮箱： media@cernet.com

网站： http://www.media.edu.cn

开 户 行： 北京银行清华园支行

户 名： 北京赛尔时代传媒文化有限公司

账 号： 01090334600120105436980

国际标准刊号： ISSN 1672-9781

国内统一刊号： CN11-5287/TN

邮发代号： 80-354

国内发行： 北京报刊发行局

国外发行： 中国国际图书贸易总公司

国外发行代号： MO2709

广告经营许可证： 京海工商广字第8067号

出版日期： 2010年 11月 5日

定 价： 每册人民币 15元

印 刷： 北京画中画印刷有限公司

（按笔划排序）

CHINA EDUCATION NETWORK

本刊已被CNKI中国期刊全文数据库、中国核心期刊遴选数据库收录。作者如不同意文章被收录，请向本刊声明。

“云”从 2007年初初现端倪，到现在，仅三年时间，火遍 IT界。随着

Google、微软、亚马逊、苹果等互联网应用的巨头纷纷推出“云”的计划，

“云”也无形中无所不在了。

对校园来说，“云”仍然是个新名词，对它的认识仍存有异议。

如果是分布式协同办公，那么，互联网也可以实现。而整合应用、融

合服务，听起来仍有“新瓶装旧酒”的嫌疑。一个学校有多少应用，能真正

称其为“云”服务？

专家认为，没有规模不能称其为真正意义的“云”。

那么，“云”是否真能像宣传的那样，给学校带来技术和服务的变革？

真正需要我们关注的，还是如何形成气候，如何满足需求并推动创新。

并行计算接入互联网、虚拟化，都是云计算耳熟能详的推因。专家指

出，还有第三种因素，使“云”在校园中具备独特魅力，那就是敏捷开发，

面向需求的应用开发。

即使是最一般的学校，也能在低成本的情况下，迅速形成一个略具规

模的数字校园、数字图书馆，提供本校师生同样快捷高效的服务，这也是这

一概念能真正在校园形成气候的优势所在。

云服务在校园，还是需要解决怎么做的问题。

本期我们寻找到的几个校园云服务的探索和实践案例中，CALIS是国内

最具规模的成熟应用“云服务”的模式，中山大学六校区五万学生，也将成

为校园云服务的典范，DRAGON-Lab探索的是大规模互联网技术的研究与合

作平台，其敏捷开发的优势，在云的体系框架中，得以充分呈现。其他如

浙江大学、兰州大学，也都在尝试和探索私有云的服务模式。

网格与云，冰火两重天，此一时彼一时，还是需求和创新在起作用：需

求因为市场的推动被充分启发，市场又因为需求的发展而得以扩大；创新带

来技术的变革，技术的变革又改变了服务的模式。

所以，云服务在校园如何才能根深叶茂，形成规模至关重要。此外，还

有校园的管理模式，都需要适应这一概念的发展而发展，由此，我们才能获

得一朵真正的“校园云”。

袁成琛

需求和创新促“云”成气候

未命名-1 2010-11-08, 14:441PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

政策与焦点

[封面报道]

12 “云”到校园教育“云”服务正在从概念走向实践，专家表示，成气候才能形成真正

的“云”。同时，经济模型和管理模式的问题至关重要，如果不能解决这些

问题，云服务只能是一个标签。

15 成气候才是云

16 侯自强：云计算不再“人云亦云”

17 数字图书馆迎来云时代从“十一五”开始，CALIS采用云计算技术在全国构建分布式的数

字图书馆云服务平台，这是一个信号，意味着高校数字图书馆云时代的

开启。

20 中山大学：云让 IT应用服务“随需而变”

23 兰州大学：私有云整合校园资源

25 浙江大学：基于“云”的智慧校园云计算是智慧校园的重要支撑平台，它可以把大量的高度虚拟化的计

算和存储资源管理起来，组成一个大的资源池，用来统一提供服务。

27 DRAGON-Lab：云联邦打造大型网络技术合作研究平台

[前沿技术]

29 可控大规模组播服务系统初试锋芒

[国际会议]

31 国际安全可视化发展现状解读

[动态]

32 网络形势波澜不惊

33 EUREKA让互联网变得更快

34 Google发明代替 JPEG的新图片格式

研究与发展

4 编读往来

[外媒速览]

6 美国财政局网络布局的教训

[海外观察]

7 数据破坏：高校风险更大

高等教育机构的数据丢失事件越来越多。相关报告指出，

在2008年以来，美国高等教育机构经历了近160次230万份文

件被入侵的事件。

[高校资讯]

8 山东百余所高校建WLAN无线校园

[数字与声音]

9 “瞩目中国教育改革发展的春天，一个声音在

说：教育，也需‘中国信心’”。当下，《教育规划纲要》已颁布实施，各地落实《教育规

划纲要》精神，规划本地区的教育蓝图，针对此，近日《人民

日报》发表评论《教育，需要中国信心》中如是说。

[产业]

10 TMTI工作组审查云计算安全框架

[新闻速递]

11 教育信息化迎来前所未有发展良机

P33

P14 P17 P21

P12

未命名-1 2010-11-08, 14:442PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

C O N T E N T S目 录

读者服务

[数字校园]

62 构建“一站式”个人服务中心

64 专网和现网共促一卡通建设

[数字图书馆]

66 宁波市图书馆：“区域云”走向平民

68 核算精密环境控制系统的冷负荷

[应用系统]

70 中国人民大学：IT服务管理走高效低耗之路目前国内高校的数字校园建设即将从大规模建设向运行服务

阶段过渡。运维和服务需要大量的财力和人力的持续支持，但是

国内高校的信息化建设投入常常是一次性投入。因此，国内用户

不能完全照搬ITIL的标准，而要在现有投入和管理模式的基础上，

探索一种全方位的指导方针和解决办法。

73 网络视频也“低碳”

[网络教学]

74 协作知识建构创新学习模式

建设与管理

[CERNET之窗]

35 IPv6地址“井喷”：月申请数突破千位

2.5G线路再添广州至深圳

36 微软 10月发布 16个补丁修复 49个漏洞

37 主干网入与出流量环比增长73%

[IPv6]

38 董宝青：迈向互联网强国五大建议

陈盈晖：向下一代互联网过渡迫在眉睫

39 李星：建设 IPv6“三不变”“今天我们在建设 IPv6，究竟怎么做 IPv6，今后怎么做 IPv6。我想

回顾一下当时最开始做IPv6想法，可能对未来怎么做有点经验启发。”

42 IPv6建设需积累点滴经验

[无线网]

43 清华图书馆：无线网络升级“教科书”

[网络安全]

46 杀毒软件江湖：排斥与兼容的战争（下）

48 破解网站群系统选择之痛

[案例展示]

50 云时代地图IT界是一个容易让人充满不安全感的领域，面对云计算大潮，

IBM、Google、微软将如何应对?

52 SSL VPN使网络安全延伸

53 建设新一代多业务校园网赛尔网络利用自身技术优势，为各高校构建高速、安全、可用、可

信、可控、可管的新一代多业务校园网，有效支撑数字化校园的各种

应用，促进校园网教学、科研工作的发展。

54 联想 R525 G3服务器整合虚拟化应用

55 摩托罗拉构筑华南无线大学城

56 UT斯达康奔流方案提升教育效益

58 华南农业大学：冲破出口瓶颈

60 高效率监控让网络轻松可控

资源与应用

[COST论坛]

7 6 高校一卡通建设需

“量体裁衣”

[网管技巧]

78 校园网出口三层环路引发的安全威胁

清除病毒：解网速变慢之困

[新思维]

79 Android：新一代智能手机操作系统标杆

P79

P67

P44

未命名-1 2010-11-08, 14:443PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

4中国教育网络 2010.11

“十二五”倒计时COVER STORY政策与焦点 外媒速览

对校园来说，“云”仍然是个新名词，对它的认识仍存有异议。如

果是分布式协同办公，那么，互联网也可以实现。而整合应用、融合

服务，听起来仍有“新瓶装旧酒”的嫌疑。一个学校有多少应用，能

真正称其为“云”服务？希望大家能畅所欲言，贡献出自己的想法，

提出好的建议。欢迎来信至media@cernet.com。

读《中国教育网络》已经有2年的时间了，这使我受益匪浅。

近日，发现自己的钱包和随身包有 20多张卡和身份证件，其中

包括多张银行卡、身份证、家里的门卡、单位的工作卡、打折卡

等等，其实仔细分析，所有的这些卡片都是自己在社会、单位、

家庭、银行等场所的一个身份标识，其实完全可以统一，用一个

统一的身份标识，这样去银行办理业务时就没有必要拿着银行

卡还要出示身份证了，未来物联网的终极目标应该能实现所有

人和物的身份标识的统一，希望教育网多多关注这方面的发展，

同时让更多的人了解新知识，新动态。

北大方正软件技术学院 曾君平

数字化校园一直没有一个明确的定义，但是大家

有一个共同的认识：数字化校园建设过程中把各个信

息系统整合起来，建设统一的数据中心，共享数据资

源，这似乎是数字化校园建设的一个必经阶段。

但是，信息的飞速发展，技术日新月异，采用何

种技术可以在未来 5～10年不落后，这是一个关键的

问题。动辄投入几百万甚至上千万的资金建设数字化

校园，应用几年之后由于技术的落后或者集成商的原

因导致系统不能继续使用，对学校将是一个很大的损

失。如何保证数字化校园的持续应用，把握住以下几

点，可以使信息化具有更长久的生命力。

第一是统筹规划。站在全校的层面，对数字化作

全面规划，纵向横向多方面权衡建设的利弊和建设周

期的规划，做到建设步伐既不能大步迈进，也不能蜗

牛爬行，要适度适量，与学校发展速度相协调；

第二是适时调整。数字化校园地建设不是一朝一

夕可以完成的，它是一个庞大的工程，涉及全校各个

部门，在建设过程中可以依据实际需求的变化和技术

的成熟，作适当调整；

第三是自助原则。培养自己的技术队伍，不但可

以承担日常维护的任务，还能承担系统开发和扩展服

务的任务；

第四是开放原则。无论采用何种技术，首先一条

就是技术的开放，只有对使用者完全开放接口，即使

系统集成商不能维持后续服务，学校也可以根据接口

进行应用的扩展和深度的开发；

第五是成熟原则。在技术的选择和设备的采购上，

不能只追求先进和超前，首先要选择技术成熟和架构

稳定的产品，这样可以规避部分不可预知的风险。

东北师范大学 李向龙

连续几年的订阅让我学到了很多东西。

第一个应该是先进的思想，杂志每期都会刊发其他高校的

管理经验，还有各方面专家的访谈，让我受益匪浅，比如开放

式教学资源库建 设、下一代校园网建设理念、信息化部门整合

等等。

第二应该是很好的经验。之前做的学生网管员 管理模式专

题，就为我和同事解决学生网管员的管理难题提供了方法，为

学生网管队伍建设 提供了样板。还有开源软件在高校网络管理

中的应用，二级网站的管理等等。

第三是了解到高校网 络发展的最新资讯和权威数据。杂志

一直致力于全面展示教育网络研究、建设、管理及应用领域， 报

道教育网络相关重大事件，以创新、深入的视角呈现教育信息

化的进展和变化，它是我了解“井 外”不可多得的一个窗口。

另外，《中国教育网络》可不可以分成资讯版和学术版？并

且努力把学术版办成核心期刊，让网络 中心的同行们能把更多、

更好的文章发表在我们自己的杂志上。我想这不仅是我个人的

心愿，更是 广大高校网络中心同行的心愿。

河池学院 潭可久

未命名-2 2010-11-08, 14:454PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11中国教育网络 5

政策与焦点

政策与焦点外媒速览 政策与焦点

未命名-2 2010-11-08, 14:455PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

6中国教育网络 2010.11

“十二五”倒计时COVER STORY政策与焦点 外媒速览

美国财政部首席信息官Diane Litman指出，人们可以

从美国财政部的网络布局中吸取两个教训。

第一，许多没有正式文件作为基础的个性化系统程序

在运行，这一点在更换系统时必须注意。Litman认为，CIO

们为了形成一个标准的基础结构，会修改之前的程序，或以

失去新产品的某些优点为代价，从而让新系统个性化，否则

就必须继续使用老系统。在这两难的选择之间，最佳的办法

是仔细分析所有可能的程序，同时提供充分的时间和资源

来做全面测试。

第二，从内部管理的网络到服务提供商的转变过程中，

首席信息官员必须想到所有个性化的服务是保留，还是取消。

美国财政局网络布局的教训

Network World

一项最新调查显示，很多家长担心孩子在网站上透露

太多的个人信息，从而被广告商当成目标。

这项调查由非盈利性机构 Common Sense Media组织，

结果显示，有 75%的父母认为社交网络在保护他们孩子的

隐私方面做得不够。

同时，有92%的父母担心孩子分享了太多关于自己的信

息。同时进行的对青少年的调查则显示，有79%的人认为他们

的朋友共享了太多个人信息，有85%的青少年认为，搜索引擎

和社交网络在使用他们的个人信息之前应该征得个人的同意。

社交网络出卖儿童隐私？

2010.10.4

Business Week2010.10.10

10月初，对国际性网络盗窃团伙的成功出击，让人们

了解了现在黑客们所使用的手段：通过自动拨号程序不断

拨打个人和商用手机号码，一旦手机被束缚，就能进入他

们的银行和经纪人账户。

法律人员指出，如果金融机构不能联系受害人了解有

关的可疑行为，那么交易一般就会进行。在这种被称为拒

绝服务的新攻击中，黑客攻击提供金融服务的相关网站，

以期让他们崩溃。

在这次国际性的网络盗窃案中，有十几人在美国、英

国、荷兰和乌克兰被抓获。

2010.10

The Wall Street Journal

自动拨号帮助黑客袭击金融网站

Economists2010.10.7

当1936年德国的Reichspost

推出第一个公共视频电话服务

时，技术预言家们就预测可视电

话时代的到来。现在各个技术公

司的宣言，表明这个时间终于到

来了。

10月 6日，思科推出了其可

视电话系统umitelepresence；同

日，罗技公司的新机顶盒可以作

为可视电话拨打，微软即将面世

的 Kinect Xbox游戏机也提供视

频会议功能。专业视频设备市场

也处理变化中。据悉，思科在四

月出资 3 3 亿美元购买视频设备

制造商Tandberg，惠普的个人机

在出厂时就会配备 Vidyo的视频

软件。

然而，尽管技术进步，但视

频通信还不能风靡全世界。大多

数系统不兼容，而视频设备与个

人电脑或者游戏机的集成也在发

展中。

可视电话——终于到了客厅

Vid eo p h o n es h ave f in a l lyreached the living room

未命名-2 2010-11-08, 14:466PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11中国教育网络 7

政策与焦点

政策与焦点海外观察

美国一家数据库安全产品厂商最近表示高校应该做

更多的努力来防止他们的数据库被入侵。

这家名为AppSec（全称Application Security）的公司，

根据不同来源的数据调查了美国高校数据库入侵现状。

并发布了名为“高等教育机构数据入侵事件分析”的报

告，但该报告并未能清晰地划分整个商业市场和高校子

市场，对高校数据入侵事件的介绍也并不详细。

AppSec的报告中引用了隐私权利中心（Privacy

Rights Clearinghouse，简称PRC,一家致力于提高用户对

自己隐私权利保护认识的公益组织）的数据，“高等教

育机构经历了大量的数据泄漏事件，自 2008年以来大

约有 160起数据入侵事件，大约有超过 230万条数据记

录泄漏。”

和大多数商业组织一样，信息安全方面的投资不足

和对信息安全策略的执行不够是大多数高校成为数据泄

漏高风险目标的主要原因。AppSec发现大多数发生安全

事件的高校都通过了PCI认证，但认证通过并不代表同等

程度的安全。AppSec分析了高校数据泄漏事件相对于其

他组织不同的地方，并列出了高校的 4个独特风险：

1. 使用学生作为信息部门的兼职员工，而学生大多

在安全方面缺乏安全经验，有很高的流动性，缺乏足够

的安全训练和指导，却能接触到学校最敏感的信息；

2. 很多开放的学生使用的终端和工作站与敏感数据

库处于同一网段；

3. 每年都有大约1/4的人口流动，随之而来是数据库

中海量的帐号和证书的改变；

4. 大学内的多个信息部门都有自己独立的安全策略，

这些安全策略不仅彼此不同，甚至可能相互冲突。

数据破坏：高校风险更大

高等教育机构的数据丢失事件越来越多。相关报告指

出，在2008年以来，美国高等教育机构经历了近160次230

万份文件被入侵的事件。

英国通信监管机构 Ofcom于最近

宣布，英国电信集团（British Telecom，

简称 BT, 英国最大的电信运行商）需

要允许其竞争对手能够租用 BT宽裕的

光纤线路，并使用 BT的管道和电线杆

搭建自己的宽带线路。Ofcon在今年早

些时候就提出了这项规定，并在最近

确定使用虚拟线路分拆（V i r t u a l

Unbundled）和管道共用作为推进超高

速宽带建设框架的核心。

根据 Ofcom宣布的这项规定，BT必须和其他通信运营商一起

分享它的通信管道和电线杆信息。根据协议，BT将于2011年6月

提供一份关于管道和电线杆资源的资料，包括它们的分布和容量。

同时 Ofcom还规定英国电信必须同意其他的运行商租用其电信管

道和电线杆，这样可以极大地降低运营商铺设光纤的费用（不用

重新挖路），并可以帮助那些英国电信没有铺设光纤的地域获得宽

带接入。今年早些时候，宽带运营商 V i g r i n 媒体开始了在

Woolhampton郡利用英国电信的电线杆铺设额外光纤线路的实验，

并利用这些光纤向用户提供 50Mbps的宽带服务。

Ofcom同时要求英国电信向其竞争对手开放光纤线路的租用，

Ofcom提出名为Vula（Virtual Unbundled Local Access，虚拟分拆

本地接入）的光纤销售方案。这种方案允许租用线路的运营商可

以获得对服务更大的控制权，保证租用的带宽得到保证，不会出

现租用者共享带宽的情况。目前英国电信提出的方案为 G E A

（generic Ethernet access，通用以太网访问），这种方案已经和

Ofcom提出的 Vula非常接近，Ofcom希望英国电信对其进行改进

并最终实现 Vula方案的租用方式。

英要求运营商BT向对手公开光纤线路

英国通信监管机构Ofcom近日表示，英国电信集

团需要允许竞争对手能够获得其宽裕的光纤线路连接，

这项规定将推进全英国的超高速宽带网的建设。

未命名-2 2010-11-08, 14:467PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

8中国教育网络 2010.11

“十二五”倒计时COVER STORY政策与焦点 高校资讯

10月 8日，由中山大学学生发起的公益环保项目“e先每日资讯”

在东校区正式发布，接受全校师生免费订阅，中山大学师生开始真正

拥有属于自己的校园手机报，“e先”取自“逸仙”谐音。

e先每日资讯校园手机报的内容包括每日校区新闻、校园当日活

动和讲座信息介绍、校园各类通知信息及失物招领等跟学生日常校园

生活密切相关的资讯。

中山大学学子创办校园手机报

“无线校园”正成为山东高

校迈向信息化的代名词。手机

不再只是打电话、发短信的工

具，移动 W L A N 无线宽带、

C M M B 手机电视、手机支付等

崭新业务的推出，让大学生们

率先成为“无线自由人”。 图书

馆下载资料，校园内随时冲浪，

无线校园让学子“无拘无束”。

据了解，目前山东省有 153所高校的各宿舍楼、食堂以及教学楼

都有 WLAN 的覆盖，通过 WLAN 宽带无线接入互联网，即可随时随地

上网学习、娱乐。

山东百余所高校建WLAN无线校园

由教育部高等学校图书情报工作指导委员会主办、上海高校图

书情报委员会和华东理工大学图书馆承办的“全国高校文献检索课

程教学研讨会”于 10月 16～18日在华东理工大学召开。为期三天

的会议中，200 多位与会专家和学者介绍了文献检索教学方法及相

关领域的最新研究成果，并对相互关心的问题进行了热烈讨论和广

泛交流。

2010年全国高校文献检索课程教学研讨会召开

2010中国计算机大会（CNCC）展览项目奖于 10月 12日评出，清

华大学计算机系可视媒体研究中心的 Sketch2Photo项目获得 2010

CNCC 专家委员会评选的“最佳研究成果奖”。

Sketch2Photo是一个基于互联网的图像合成系统。它可以将用户

输入的带文字标签的手绘草图半自动地转换成一张具有真实感的合成

图像。该合成图像由多张互联网上搜索到的图像无缝拼接而成。

清华项目获 2010中国计算机大会最佳研究成果奖

中国海洋大学郭忠文教授申请 IEEE

标准获批立项

由中国海洋大学信息科学与工程学院郭忠

文教授主持申请的“基于传感器的家电测试软

件系统集成标准（Standard for Design Criteria of

Integrated Sensor-based Test Applications for

Household Appliances）”，于2010年9月29日

通过了国际电气电子工程师协会（IEEE）的审

批并正式立项(项目编号: P1851)。该标准为中

国海洋大学首次申请国际标准获得立项。

中科大论证“数据中心建设方案”

9月2日，中国科学技术大学召开“数据中

心建设方案”论证会，听取校信息化建设工作

小组关于数据中心建设方案的汇报，并组织专

家进行论证。这表明中科大信息化建设开始从

偏重网络转移到更注重应用。

中国矿业大学举办“感知矿山”物联

网高技术论坛

10月 16日，中国矿业大学举行了“感知

矿山”物联网高技术论坛。

物联网（感知矿山）研究中心常务副主任

丁恩杰教授谈到，“感知矿山”建设的核心内

容就是保障煤矿安全的“三个感知”，即感知

矿山灾害风险，实现灾害的预警预报；感知矿

山设备工作健康状况，实现预知维修；感知矿

工周围安全环境，实现主动式的安全保障。

未命名-2 2010-11-08, 14:468PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11中国教育网络 9

政策与焦点

政策与焦点数字与声音

市场研究公司 ABI Re-

search的报告显示，今年第

二季度，全球智能机市场同

比增长了50%。在苹果、HTC

和RIM的优异销售业绩的驱

动下，智能机在全球手机总

发货量中所占比重已达19%，

与第一季度相比增长12%。

“瞩目中国教育改革发展的春天，一个声

音在说：教育，也需‘中国信心’”。

当下，《教育规划纲要》已颁布实施，各地落实《教

育规划纲要》精神，规划本地区的教育蓝图，针对此，

近日《人民日报》发表评论《教育，需要中国信心》中

如是说。

“这一世界上第一款利用云技术设计的

对外汉语云学习与管理移动平台，为用户

提供与汉语教学相关的全方位移动终端多

媒体服务。”

9月13日，全球第一款移动互联网孔子学院学习终

端在厦门大学汉语国际推广南方基地发布。厦门大学海

外教育学院院长、汉语国际推广南方基地主任郑通涛当

天在发布会上表示。

“很难预测下一个十年，互联网产业究竟

会发生些什么，但可以断言，下一个十年的产

业想象空间，都将是以超高速的网络平台为

基础展开的。”

9月9日，以太网联盟创始人JohnD’Ambrosia在

接受媒体采访时表示，互联网产业正在经历一场从

“蒸汽时代”到“电气时代”再到“光速时代”的极度

变革。

Gartner称，

能源相关成本大

约占到总数据中

心开支的 12%，

并且是数据中心

花费增长最快的

一项内容。

高盛集团 9月 10日发表

的报告说，中国目前的研发投

资是 1000亿美元，相比之下

美国是 3250亿美元，日本是

1230亿美元。中国到2020年

研发投资占GDP2.5%的目标相

当于投资增至原来的3倍，即

3000亿美元。

数据调查机构

StatCounter的报告

显示，9月份微软 IE

的全球市场占有率

首次跌至50%以下，

为49.87%，比2009

年9月下降8.5%。

1 2 % 1000亿 49.87% 1 9 %

“中国提交的 TD-LTE-Advanced提案成功入选最终提

案，对中国TD-LTE发展将产生非常重要和积极的影响，证

明了中国发展 TD-SCDMA这个 3G标准没有错，符合了后

续演进的趋势”。

北京邮电大学教授兼“电信市场竞争力评测中心”主任曾剑秋日前

表示。WiMAX标准是2007年左右成为3G标准的，技术本身为无线城域

网技术。他认为，从技术来讲，未来网络将是以广域网为主、城域网为

辅，也就是说，LTE-Advanced将成为广域网布网的基础，802.16m将成

为广域网的补充技术。

未命名-2 2010-11-08, 14:469PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

10中国教育网络 2010.11

“十二五”倒计时COVER STORY政策与焦点 产业

TMTI工作组审查云计算安全框架

TMTI（安全计算工作组）9月 13号公布了旨

在为云计算安全性提供公开标准框架的工作方案。

该框架将为服务提供商、用户和代理商提供安全

产品。

据悉，TMTI此次审查共有50名成员参加，包

括惠普，IBM，AMD 和微软等。美国国防部和英

国政府在该工

作组中也派有

代表。安全工作

组的 110多名员

工已经在安全

云计算基础平

台领域工作多

年，处理包括安全网络连接和安全平台模型等问

题。接下来，新的计划是为云计算提供安全框架。

Verizon与苹果合作

苹果公司通过Verizon的无线商店销售iPad产品，这将建立两个

公司的合作关系，同时将扩大平板电脑的销售渠道。此举使得Verizon

公司的 2000家分店第一次销售苹果的产品，iPad也将是美国最大的

无线运营商的第一款平板电脑产品。

苹果公司之所以通过Verizon无线的零售店来销售，是试图在摩

托罗拉和黑莓等竞争者大规模推出平板电脑之前确立苹果在这个领域

的领先地位。在美国原本只通过自营店、网站等销售的苹果产品，在

过去的几个星期中已经大幅度地扩大了销售渠道。

谷歌的数据采集问题

谷歌最近承认其用来收集在线地图

服务数据的汽车无意中收集了个人电子

邮件和密码。这再次将谷歌推向加强隐

私策略的风尖浪口。谷歌表示会尽快删

除这些信息，并宣布了改进隐私保护的

几项措施，包括任命计算机安全专家

Alma Whitten为技术和产品总监。据悉，在谷歌审查数据收集过程

时，发现收集网上街景地图服务照片的汽车也收集了个人无线网络

的账户和密码，经过审查发现这些数据比想象中还要完整得多。

微软：不顾一切发展智能手机

微软正在大力发展对其未来有重大影响的智

能手机业务。

10月 11日，微软发布使用最新 Window 7手

机版的 HTC和三星手机。事实上谷歌的 Android

和诺基亚的Symbian，都在觊觎苹果iPhone智能

手机市场。由于微软在智能手机上的激进战略，

使其今年的股价从年初以来已经下降了 20%，而

同期的标准普尔指数上升了 4%。

微软希望，不仅从软件许可证上获利，也从

通过手机提供的服务获利。微软的互联网搜索引

擎 Bing，游戏平台 Xbox在线，播放器 Zune，都

出现在新的操作系统中。

AOL试图收购雅虎

美国在线AOL和其他几个私募公司正在考虑收购雅虎公司的提案。

知情人士表示，两大网络巨头的结合将面临众多的挑战。他们

同时表示，这项议案是私募股权投资公司，美国在线管理人员和财

务人员的初步讨论，雅虎并没有介入。

雅虎曾就传闻的可行性、具体操作等内容咨询高盛。雅虎与高

盛有长期的合作关系，而正是高盛建议雅虎拒绝2008年微软发起的

对雅虎的收购。

美国在线在 2009年关闭时代华纳公司后，目前只有 26.8亿的

市值，远远低于雅虎 205.6亿美元的市值。

索尼随身听：还没有死

有关索尼随身听已经退出历史舞台的论断

或许为时过早。索尼只是在日本停止了 30年前

的便携式音乐播放器，但是在美国仍然可以买

到。在iPod之前，随身听是个人音乐播放设备的

先驱。它于 1979年退出，已经售出超过 220万

台。索尼的代表说，他不能说明为什么在日本停

止了随身听的生产。但是现在，索尼还在销售

Walkman Weather Radio播放器，这与国家气象

服务相结合。

未命名-2 2010-11-08, 14:4610PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11中国教育网络 11

政策与焦点

中国教育网讯 10月27

日，以“网络服务教育 创新

开拓未来”为主题的中国教

育和科研计算机网 CERNET

第十七届学术年会暨会员代

表大会在湖南长沙开幕，来

自教育部、湖南省教育厅、

中南大学、C E R N E T 管委

会、相关部委司局、合作单

位、专家学者、企业代表近千人参加了开幕式，共

同探讨建设下一代互联网为主体的先进国家教育信

息化基础设施。

会议由中国教育和科研计算机网 CERNET管理

委员会主办，CERNET 网络中心、CERNET 华中地

区华中科技大学节点协办，CERNET 主干网湖南主

节点（中南大学）承办。中南大学副校长胡岳华、教

育部科技司副司长陈盈晖、湖南省教育厅副厅长王

键、教育部科技司信息化处处长张拥军等领导出席。

会议由中南大学办公室主任、信息化办公室主任高

山主持。

“作为中国教育和科研计算机网 CERNET 主干

网湖南主节点，中南大学的信息化建设是与中国教

育和科研计算机网 CERNET共同成长的。”中南大学

副校长胡岳华在致欢迎辞时表示，作为全国最大的

公益性计算机互联网网络和世界上最大的国家学术

互联网，中国教育和科研计算机网 CERNET在推动

教育信息化和数字化校园资源建设过程中功不可没。

湖南省教育厅副厅长王键在致辞时表示，中国

教育和科研计算机网 CERNET 第十七届学术年会暨

会员代表大会在中南大学召开，将会极大地促进湖

南省教育信息化建设。王键副厅长希望通过此次大

会的召开，加快湖南省以资源建设为中心的教育信

息化进程。

教育部科技司副司长陈盈晖在祝贺中国教育和

科研计算机网 CERNET第十七届学术年会暨会员代

表大会热烈召开的同时，还对中国教育和科研计算

机网 CERNET自 1994年建设以来所取得的成绩和中

国教育和科研计算机网 C E R N E T 建设者们表示祝

贺。陈盈晖副司长表示，当前教育信息化迎来一个

前所未有的发展良机，过去，中国教育和科研计算

机网 CERNET曾经创造过很多第一的历史，未来，希

望中国教育和科研计算机网 CERNET“抓住机遇、趁

势而上”；“发扬传统、与时俱进”；“立志高远、勇

立潮头”。

CERNET 专家委员会主任、CERNET 国家网络

中心主任、清华大学吴建平教授为大会做了题为

“建设下一代互联网为主体的先进国家教育信息化基

础设施”的报告；Chinagrid专家组组长、华中科技

大学教授金海做了题为“云计算-从理论到实践”的

报告。

在随后的两天之内，大会进行了分组报告以及

技术报告，就下一代校园网、CNGI、网络新技术、无

线与移动、网络与信息安全、网络运行与管理、网

络应用、数字化校园与网络工程等教育行业热点技

术、应用、发展等进行了广泛的学术交流。本次大

会于 10月 28日下午闭幕。

教育信息化迎来前所未有发展良机

CERNET第十七届学术年会在长沙盛大开幕，专家表示

赛尔网络有限

公司以“十年耕耘服

务教育 未来发展携

手起航”的主题参加

会议，并在会议期间

搭建“赛尔网络体验

中心”。

政策与焦点新闻速递

未命名-2 2010-11-08, 14:4611PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

12中国教育网络 2010.11

COVER STORY“云”到校园

“云”到校园

文/傅宇凡 王左利

云计算在业内的活动不断升温，各种云的方案和产

品推陈出新，“如果说一年前，人们对云计算还停留在

人云亦云阶段，那么，今年可以说是有了一定的方向。

云服务要真正‘落地’，还需要一定的条件。”相关专家

这样评述“云”在大学校园的发展。

在教育领域，对于云服务的实践，图书馆走在了前

面。2010 年 9 月 20 日，中国高等教育文献保障系统

（CALIS）三期项目建设暨服务在北京启动，其中最引人

注目的就是 CALIS云服务。CALIS国家云服务中心的主

站点（新版）正式开通（www.calis.edu.cn)，除了天津分

中心之外，还有多家CALIS省级云服务中心（包括重庆、

山东、云南、新疆、吉林等）也相继建立。

据 CALIS总工王文清介绍，把云服务写入 CALIS开

始自2008年。经过两年多的建设，现在已经可以为1800

个成员馆提供“云”的服务。

“对中小馆来说，云服务使他们进入数字时代的步

伐加快了。”王文清介绍。

云计算支撑云服务

“我们现在要讲云服务，而不是云计算。云计算是

云服务的基础支撑，而云服务才真正让云计算落地了。”

中山大学网络与信息技术中心主任郭清顺开篇明义地表

达他的观点。

云计算是一种新的IT资源提供模式，依靠强大的计

算能力，使得成千上万的终端用户不用考虑所使用的计

算技术和接入方式，而是依靠网络连接起来的硬件平台

的计算能力来实施多种应用。IT界称之为：继水、电、

气、电话之后的第五种公共设施。

关于云计算的应用，可以追溯到十三年前，当时，一

个遍布全球的寻找 ET（外星人）的屏保系统，曾让众多

的电脑爱好者兴奋不已。这是“云”早期的一个小应用。

可以说，云计算的雏形应该来自早期的分布式计算。

CERNET 国家网络中心副主任李星认为：“云计算

的本质是分布式计算，并不是崭新的概念。但另一方面

来说，云计算是恰逢其时，以云计算的方式把分布式计

算呈现老百姓面前，这是云计算最大的意义了。用户不

教育“云”服务正在从概念走向实践，专家表示，成气候才能形成真正的“云”。同时，

经济模型和管理模式的问题至关重要，如果不能解决这些问题，云服务只能是一个标签。

未命名-3 2010-11-08, 14:5012PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11中国教育网络 13

政策与焦点

光是找到资源，而是让这些计算资源找到你。”

李星分析，分布式计算的发展过程中，经历了三个

重要的结合，从而成为现在的“云计算”。与 TCP/IP结

合，使得分布式计算进入互联网；与 WWW、Webservice

结合，使得分布式计算成为看得见的应用；现在，分布

式计算又与虚拟化相结合，使其又得到新发展。人们可

以低成本地应用先进的技术，进入数字信息时代。

当前，用户的需求越来越大，也越来越不确定，这

给了云计算一个契机。使得普通百姓能更便捷地利用互

联网的技术与资源，真正体现了云计算的价值。

学校用户的需求决定云服务发展的可能。第一，用户

的多样性：面对不同学科的研究方向、不同层次的用户；

来自高校、科研机构、企业和政府；第二，用户对资源的

需求的多样性，每个用户对文献资源的需求都是个性化的，

整体用户对文献资源的需求是广泛的，文献资源需求范围

的边界是模糊的；第三，用户对服务的需求也是个性化的，

服务需求是不断创新的。

中山大学在教育云服务上先行一步，在校园内建立

“云服务”门户，其五万学生，可以在一个终身化的服务门

户上，建立自己的个人信息中心、知识库、文档资料，并

随着其在社会上的角色的转移，仍然能享受到相关的服务。

郭清顺认为，在教育领域，要更多地明确“云服务”

而非“云计算”。他说，在云计算的概念中，更多的是计

算资源、平台，是科研的路线。而云服务则是从用户需

求着眼，为用户提供技术支持，提供服务，这是两种不

同的路线。

云服务之风吹向校园

“云计算应该讲是服务方式的一个转变，它起源于

数据中心的绿色化。”中科院声学所研究员侯自强说。他

认为，只有“公用化”，云计算才能走出“人云亦云”的

误区，“要建立一个公用化的基础设施，利用规模化降低

成本，随需应变适应业务需求。”

在业界，一个最成功的例子，就是中小企业信息化。

阿里巴巴所做的最重要的一件事是帮助了中小企业出口。

人人都可在淘宝网开店，但是其最重要也是最受欢迎的原

因，就是中小企业的企业管理。阿里云通过SaaS（Software

as a Service）的方式，可以向中小企业提供CRM、ERP等

各种服务，中小企业无需建设自己的机房，也能与大企业

的管理模式接轨。

无独有偶，中国高等教育文献保障体系 CALIS，也

倾向于向更多的中小图书馆提供云服务平台。这是国内

第一个大规模采用云计算为学校提供服务的机构。

从 2008年起，CALIS陆续推出了支持 SaaS的新一

代馆际互借与文献传递系统共享版（即 SaaS版）、支持

分布式“云”服务的 CALIS数字图书馆云平台（CALIS

EasyCloud Platform）以及其他一系列云应用系统。2009

年 3 月份，CALIS 云服务试水启航，首先在天津建立

CALIS云服务分中心，为天津高校馆提供 CALIS馆际互

借与文献传递系统 SaaS服务。

利用 CALIS云服务平台，CALIS建立了两级支持共

建和共享的云服务中心，同时，也提供了基于“混合云”

的本地数字图书馆解决方案。这些中心和成员馆彼此协

作和集成，形成全国范围内互联互通的高校数字图书馆

服务体系。

“中小图书馆是麻雀虽小，五脏俱全，可是，要进

入数字图书馆时代，需要大量的经费和人力的支撑，中

小馆最大的问题是技术人员稀缺，云服务平台就能使得

他们免除这些顾虑，用很低的成本，直接与数字图书馆

时代接轨。”王文清说。

一个读者需要本馆没有的刊物，可以先到 CALIS总

目查询，通过文献传递网，可以向本学校的图书馆提交自

己的请求，也可以直接向拥有该文献的图书馆提交请求获

取。甚至，可以通过文献参考咨询服务平台、代查代借等

平台，获得相应的服务。CALIS馆际互借调度中心能根据

文献请求类型以及各个服务馆的服务费用、服务质量、馆

藏范围等自动为读者寻找最合适的文献提供服务馆。

数字化校园不仅需要定制传统的服务，更多地需要集

成众多的服务，以满足学校师生不确定的需求。中山大学

郭清顺认为，未来将会出现更多的服务门户，他说：“学

校的核心业务是知识的生产和知识消费，云服务将把校园

内外结合，突破校园的逻辑墙。”在其平台上，将较好地

满足知识的消费，使得师生便捷地获取知识，同时，可以

通过计算平台和资源平台，进行协同互动，生产新的知识。

上海图书馆数字图书馆研究所刘炜所长也认为，图

书馆既可以享受云服务，也可以作为云服务的提供者。

“云服务对图书馆提供存储、平台和计算能力，而图书

馆利用云服务来处理业务，大大降低图书馆信息技术的

投入成本。通过对各类资源、格式采用一个统一的管理

平台，共享应用和数据，实现更大的网络效益。”

多种服务的融汇与呈现

正像李星教授所说，“云的真正内涵在于服务模式的

变革”，不少学校将云服务写入了即将发布的“十二五规

未命名-3 2010-11-08, 14:5013PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

14中国教育网络 2010.11

COVER STORY“云”到校园

划”，或者进行了切

实的实践，以期用新

的技术整合服务，使

得教育资源的利用

更高效便捷。

中山大学近期

将进行其“云服务

门户”的建设，据郭

清顺介绍，中大已

经与相关的服务提

供商、平台提供商接洽购买相关的云服务，同时，将对

个人用户的个性化信息进行整合，为其提供存储管理的

服务，学校的师生将可以在这一平台上，建立个人的信

息中心、知识库、文档资源库等。

此外，中大也将与联想、曙光公司等合作，为学生

提供虚拟化技术，免费提供给学生一个云终端，学生可

以购买相关的服务，随时随需切换其桌面的环境。

“存储带宽等资源是一方面，更重要的是业务服务。作

为云服务平台，仅仅有PaaS、IaaS等的硬件环境服务是不

够的，一定要进入应用级的服务。”CALIS总工王文清说。

云服务平台对图书馆的传统业务是一次极大的推

动，带来的效果是直接而明显的。“十五”期间，CALIS

开始部署馆际互借系统，由于需要硬件环境、技术人员

及业务人员的配备和支持，成本相当高，经过好几年的

努力，参与的馆才达到 100多个，而一旦形成云服务平

台，这一体系迅速发展和壮大。

在 CALIS平台上，有一个“旅游院校”的五星联盟，

就是由山东、吉林等四个旅游院校的图书馆形成一个虚

拟共享域，拥有一个共同的共享机制，可以实现馆际互借

和资源共享，并建立起独具特色的个性化的共享域门户。

“这四个馆只花了几天就完成了虚拟共享域及其服

务平台的建设。目前，我们已可以为1800个高校图书馆

提供这样服务，到‘十二五’期间，我相信，将有 2400

多个馆都可以享受到这样的服务。”

跨馆和跨域的服务融汇和集成是 CALIS最为关注的

一个目标，也是其一大创新。王文清介绍，在云服务平

台模式上，未来图书馆一些传统业务，如自动化系统的

编目、流通管理、采访管理等，以及更多相关的技术，都

将打破物理的图书馆界限，都可以外包，并在云平台中

实现，而图书馆将可以集中精力在内容质量上下工夫，

整合更多的服务，向服务型图书馆转型。

宁波大学副馆长刘柏嵩提出，他们在构建区域数字

图书馆云服务平台时，是以基础设施服务IaaS和基础平

台服务PaaS为基础，提供面向图书馆的数字图书馆服务

整合平台，采用开放的架构，以便将不同的图书馆本地

服务、区域 DL公共服务、行业公共服务以及第三方公共

服务集成起来。

共享域、区域云、私有云，各种概念纷呈，最重要

的一点，就是为具有相同特点的群体提供服务。

兰州大学从 2009年起，即开始建设校园的“私有

云”，其中，三大服务的整合成为目标。第一，要提供统

一的内容服务，希望可以兼容校园网所有的服务。第二，

提供存储服务。第三，整合运算能力。按照此思路，他

们对各具体方面的建设进行了完善。在内容输出服务中，

改变传统网站内容输出模型，按照云的思路统一规划。

他们坚持“内容为王”，第一，内容的整合和展现。第

二，要做推送服务，他们感觉不能寄望于传统的将内容发

布在网上让大家来浏览，有必要把重要的内容推送出去。

他们采用Coremail，将大量的信息推送给师生。

浙江大学信息化十二五规划中提出，将建立基于

SOA的应用服务整合平台，逐步向云服务过渡，建设一

个统一、开放、共享的应用服务支撑平台。

类似的行动正在展开。相关人士表示，校园网应当本

着实用主义的原则，不要把云服务当成科研和实验，所以必

须用成熟的技术。“一定要形成一个开放的架构。不能只用

某一家或者某两家的产品，不能被一两种产品绑架。”

云计算

目前，业界关于云计算的定义数不胜数。按照美国国

家标准与技术研究院（NIST）的定义，云计算是“一种基

于使用支付的模式，通过便携、按需的网络访问资源共享

池，以最少的消费管理成本和服务提供商协作，获取可配

置、可靠、能够快速提供及发布的计算资源，如网络、服

务器、存储、应用、服务等。”

常见的云计算模式有：软件即服务（SaaS）、平台即服

务（PaaS）、基础设施即服务（IaaS）等。此外，云存储、云

安全、电子商务云等各类云服务也不断涌现。

云计算的本质

是分布式计算，并

不是崭新的概念。

但另一方面来说，

云计算是恰逢其时，

以云计算的方式把

分布式计算呈现老

百姓面前，这是云

计算最大的意义了。

未命名-3 2010-11-08, 14:5014PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11中国教育网络 15

政策与焦点

文/本刊记者 王左利

“过去两年中，业界对云计算的理解陷入误区——

只看局部，而无视整体；只看细节，而忽视架构；只谈

概念，而忽视落地应用；只照搬国外经验，却忽视中国

具体国情，这给云计算在中国的发展带来了很多障碍。”

相关人士表示。而 2010年的一个重要改变是，业界已

经开始摆脱对其的炒作，走向了更加具体的实践层面。

大家关注的目光不再集中于公有云，私有云与混合

云同样吸引了大众的目光。业界也逐渐开始意识到，行

业用户是对云计算需求最为迫切的群体。因此，为行业

用户提供一种基于云的服务是当前的大势所趋。

越来越多行业用户开始将私有云和公共云产品的融

合纳入 IT 战略规划中，希望这种“混合云（hybrid

clouds）”能够更加易于管理，并在效率、可伸缩性、安

全性和控制力之间取得平衡。教育行业也同样如此，一

些教育机构纷纷开始关注起“云”来。如上海市正在进

行“云海计划”，其“教育云”将会采取中央——地方

联邦式的云架构，面向上海市的教育机构提供资源的整

合与服务。

清华大学李星教授认为，目前云计算的体系结构比起

网络的体系结构来说，有更多的不确定性。人们离真正的

像TCP/IP定义互联网体系结构那样定义云的体系结构还有

很长的路要走。此外，要建立教育云，是需要规模效应的，

没有一定的规模，不能称其为真正意义上的“云”。

一些高校是在实践私有云的时候看到更广范围的应

用，从而产生了建公有云的意图。兰州大学在实践了自

身的私有云外，看到了云带来的整合资源的强大力量，

现在他们正在策划甘肃省高校的一个云联盟，其搭建的

云服务平台，将面对周边的十多个高校，提供开放的资

源共享，而周边高校也可以在这一平台上提供共享，从

而形成一个强大的交集。

“这个云联盟首先要做的事是共享文件，甘肃省高

校总体出口经常出现负载高峰，大多数都是由于下载资

源，同样的内容每个高校都要重复下载无数遍。如果能

把内容目录共享出来，然后再用统一的‘云’的方法去

搜索，就可以以更快速度得到资源。”兰州大学网络中

心副主任李仲贤说。

而在个体的高校环境内，基于高校内部的私有云

架构仍是主力。上海交通大学正在谋划建设自己的

“私有云”。上交大网络中心主任顾一众介绍，他主要

考虑两个问题，第一，云架构如何虚拟与集中，为师

生提供满意的软硬件的服务？以前都是各个部门提出

需求或者购买，现在各部门只要租用服务即可，不需

要知道它来自哪里，如何管理。第二，应用模式以及

使用资源的机制。

无论公有云，还是私有云，谈到云服务即将面临的

问题，李星认为，除体系结构之外，还需要关注两个问

题，即管理的问题，以及经济模型的问题。“体系结构的

变化，必然带来管理模式的变更，如何制定相应的政策，

形成相应的模式，很重要。而要利用新的技术，没有解

决可持续发展的经济问题，云服务只能是一个标签，而

无法解决实际的问题。”

云服务的一个重要特征是“基于实际用量的服务花

费”，也就是用户基于自己得到的服务而付出相应的花

费。如果说云之上的服务并非免费，那么，如何把云服

务的架构最终演变成为一个生产与消费的链条，则是最

大的挑战。

成气候才是云

未命名-3 2010-11-08, 14:5015PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

16中国教育网络 2010.11

COVER STORY“云”到校园

互联网的发展带动了数据中心的发展。到互联网时

代，建网站都不建机房，服务器托管到 IDC中心。但是

每个单位一台服务器，效率很低，所以第一步实现的是

服务器的虚拟化、数据中心的虚拟化。

现在，数据中心从虚拟化进一步走到了公用化，即

成为公共设施，这就使得绿色数据中心向云计算演化。

未来，我们的计算力、CPU、存储器会像自来水和煤气

一样，通过网络得到供应。

各种服务都可以通过网络获得，这就是云计算最基

本的概念。包括我们的学校，可以不需要建机房，自己

建数据中心，而学校需要的财务、人事、管理、教学、科

研等，相关的软件和相关的服务都可以从网上得到。

可以说，云计算为物联网提供了支撑平台。

第一，海量业务数据的巨大压力。终端的增长迅速，

终端关联数据增加，应用自定义数据迅速增加，传统的

硬件环境难以支撑；

第二，运营商大量闲置的计算和存储能力。运营商

长期积累了大量闲置的计算能力和存储能力，有必要加

以利用，满足绿色环保的需求。在典型数据中心的开销

中，电力占了 23%；

第三，大规模业务驻留突显性能瓶颈。随着业务发

展，大量自定义的业务同时运行，对平台造成性能压力，

服务器 CPU处理能力以及内存容量，均难以满足不断增

长的自定义业务的运行；

第四，创新与协作也需要云计算技术。

实际上，运营商进行中小企业的信息化服务是非常有

前途的。2008年，三大运营商与各省政府签署信息化的战

略合作协议，承诺在五年内投资总额将超过一万亿。如果

资金投入到每个地和市建机房、买机器，肯定吃不消。但

是，如果运营商能够以云计算的模式，向客户提供计算应

用服务，那就会是一个非常高效节能的方法。所以对于运

营商的 SP服务，云计算提供了一个非常好的方式。

中国有四千万个中小企业个体户，在这方面有着非常

广阔的市场空间。一个最成功的例子，就是阿里巴巴做的

中小企业信息化。它帮助中小企业出口，淘宝网可以让每

个人到网上开店，但是最重要的，就是中小企业的企业管

理，过去企业需要自己买计算机、建机房、买软件，现在

都不需要，花更少的钱就可以完成这一管理。

下一步是 PaaS（平台即服务），就是说提供一个服

务平台，而不只是一种软件。接下来，可以在网络上出

租和购买 CPU空间、存储容量，这样，建平台者不用自

己管计算机，而可以从网上去租借计算机，这就是未来

云计算服务的基本模式。

此外，云计算还带来了更多形式的服务和内容，包

括新媒体等的应用，以云计算平台即服务PaaS方式为视

频网站、网络电视台提供技术平台。

国内业界关于云的业务层出不穷。百度的“阿拉丁”计

划，旨在解决现有搜索引擎无法抓取和检索“暗网”的信

息，其实质被外界看做成云计算的一种体现方式；

金蝶的“Kingdee K/3项目”利用微软的云计算“Azure”

平台，全面将ERP计算服务进行了模块化、服务化，使得企

业可以按需选择云服务。金算盘的云计算全程电子商务平

台则是基于微软的.NET技术体系而开发的;

国内软件服务提供商八百客( 8 0 0 A P P )是“中国式

Salesforce”在价格方面的明显优势，其服务器设在中国，并

拥有中国北京和美国硅谷的两大研发团队。

侯自强：云计算不再“人云亦云”云计算是服务方式的一个转变，它起源于绿色数据中心。

国内 IT业开展“云”的业务

(本文根据“2010下一代互联网发展和应用论坛”的报告整理)

SaaS

平台即服务PaaS营运支撑平台

数据库即服务 Cache即服务

基础设施即服务

弹性计算 IaaS API 云存储

弹性软件租用 弹性数据中心 免灾备份

下一代 IDC支撑网络

云计算中心平台API

负载均衡防火墙

虚拟化网络 虚拟化服务器虚拟化存储

未命名-3 2010-11-08, 14:5016PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11中国教育网络 17

政策与焦点

文/王文清

云服务进入CALIS

中国高等教育文献保障系统（China Academic Li-

brary Information System，简称CALIS）管理中心在其“十

一五”项目（即三期项目，总投资 2.1亿）建设中采用

云计算技术来构建新一代中国高等教育数字图书馆，旨

在为全国近2000个高校成员馆提供标准化、低成本、自

适应、可扩展的高校数字图书馆云服务平台，为高校师

生提供全方位的文献服务、咨询服务、电子商务和个性

化服务。

从2008年起，CALIS陆续推出了支持SaaS（Software

as a Service）的新一代馆际互借与文献传递系统共享版

（即 SaaS版）、支持分布式“云”服务的 CALIS数字图

书馆云平台（CALIS EasyCloud Platform）以及其他一系

列云应用系统。CALIS第一个云服务分中心试点在2009

年 3月份首先在 CALIS天津分中心上线，为天津高校馆

提供CALIS馆际互借与文献传递系统SaaS服务。在2010

年中，CALIS其他云服务系统（如 CCC SaaS、e读 SaaS

服务等）也陆续上线提供服务，2010年9月20日，CALIS

国家云服务中心的主站点（新版）正式开通服务（www.

calis.edu.cn)。除了天津分中心之外，还有多家CALIS省

级云服务中心（包括重庆、山东、云南、新疆、吉林等）

也相继建立。

CALIS三期建设项目的创新在于既要建立两级支持

共建和共享的云服务中心，又要为高校图书馆提供基于

“混合云”的本地数字图书馆解决方案，同时，这些中

心和成员馆又能彼此协作和集成，形成全国范围内互联

互通的高校数字图书馆服务体系。

数字图书馆迎来云时代从“十一五”开始，CALIS采用云计算在全国构建分布式的数字图书馆

云服务平台，这是一个信号，意味着高校数字图书馆云时代的开启。

未命名-3 2010-11-08, 14:5017PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

18中国教育网络 2010.11

COVER STORY“云”到校园

系统架构和主要服务

C A L I S 数字图书馆云服务平台，采用了云计算、

Web2.0、SOA、社会网络、语义网等技术进行开发。整

个平台由四个主要部分组成：1. CALIS数字图书馆中心

云服务平台：用于构建CALIS国家云服务中心；2. CALIS

数字图书馆共享域云服务平台：用于构建 CALIS省级云

服务中心；3. CALIS数字图书馆本地服务平台：部署在

图书馆，用于构建图书馆混合云；4. CALIS云联邦服务

平台：用于将不同的图书馆本地服务、CALIS云服务以

及第三方服务集成起来。

CALIS中心云服务平台由多个应用系统组成：会员

管理与应用系统注册中心系统、用户统一认证中心系

统、馆际互借与文献传递中心系统、参考咨询中心系统

（即联合问答系统）、基于OpenSocial的个性化门户系统

（包括 CALIS应用组件共享服务平台）、馆际互借调度与

结算中心系统、全国高校图书馆资源统一搜索系统（即

e读中心系统）、面向图书馆的个性化统一搜索系统（即

e读SaaS版）、外文期刊服务平台（中心系统、SaaS系统）、

高校古文献服务系统、多馆联合资源订购系统、高校联

合目录 OPAC系统、高校多馆联机编目系统、CALIS直

通车服务平台等。

CALIS共享域云服务平台由统一认证系统 SaaS版、

馆际互借与文献传递系统 SaaS版、参考咨询系统、特色

库系统SaaS版、学位论文系统SaaS版、教学参考信息管

理与服务系统 SaaS版、网络资源导航系统 SaaS版等组

成，能为各个高校馆提供应用系统租用服务。

CALIS本地服务平台包括统一认证系统本地版、馆

际互借与文献传递系统本地版、参考咨询系统本地版等

多个系统。并能与图书馆其他本地系统和 CALIS各级中

心系统实现集成。

CALIS云联邦服务平台能对来自 CALIS中心云服务

平台、CALIS省级云服务平台、图书馆本地平台提供统

一的 API托管服务，以统一的标准和规范供图书馆实现

集成，以降低图书馆的服务集成的困难和成本，并为图

书馆带来新的服务模式。

CALIS各级云服务平台在整体上提供的服务包括：

1. 资源共享和租用服务：针对数据/知识的SaaS服务；

2. 服务共享和集成：以统一身份认证/联合认证为基础，

构建全国性的读者认证中心，实现跨馆、跨域的单点登

录，并为跨域的 SNS社区的互联奠定基础；以 OpenAPI

和统一标准为依托，支持嵌入式整合、馆间协作、文献

资源跨馆调度，支持对云服务的整合；3. 应用共享服务：

包括基于 S a a S 模式的应用软件租用服务、基于

OpenSocial gadget的应用组件共享、其他程序模块/代码

的共享等。

跨域的资源整合和系统互操作

CALIS提供的数字图书馆云服务解决方案能实现国

家中心、省中心、图书馆之间的三级互联互通，能方便

实现图书馆混合云。

各个省中心或区域图书馆联盟利用 CALIS平台很容

易构建区域性数字图书馆，并能与 CALIS国家中心和成

员馆实现相互集成，实现区域范围内的资源共建共享。

共享域是指按

区域、学科、或共

同兴趣组成的图书

馆联盟，彼此协

作，共享资源或服

务。共享域又分为

实体共享域和虚拟

共享域。只有实体共享域才能部署CALIS云服务平台。目

前已成立的共享域包括CALIS省级共享域（由CALIS省中

心负责管理，由该省内所有高校馆组成）、高校园区共

享域（由同一个园区内的多个高校图书馆组成）、学科

共享域（如由 17所高校组成的高校外语联盟、由 4个

旅游院校组成的五星联盟等）。任何一个高校馆都可以

加入上述一个或多个共享域。

图1 CALIS云服务平台总体架构

CALIS应用系统

第三方应用系统

图书馆

CALIS共享域中心

CALIS管理中心

共享域级云服务平台

中心级云服务平台

基础设施服务(IaaS)

CALIS共享域

未命名-3 2010-11-08, 14:5018PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11中国教育网络 19

政策与焦点

高校图书馆使用CALIS云服务和实现资源整合的方

式包括：1. 中心级云服务租用模式：使用 /租用CALIS

中心云平台提供的服务，包括全局租用服务、数据 /知

识共享和个性化服务（Global、Local）、业务与业务支撑

服务、接口服务等。2. 共享域级云服务租用模式：从共

享域平台租用1至多个应用软件。3. 本地模式：在图书

馆部署 CALIS本地平台，对原有本地系统进行改造（包

括开放部分API，支持相关标准规范等），并实现多层次

集成（包括统一认证/联合认证集成、数据异步交换、数

据实时传输、内嵌式集成等）。

利用 CALIS本地平台，通过对图书馆原有系统进

行改造（以支持 CALIS相关接口规范），与 CALIS共

享域云服务平台、CALIS国家中心云服务平台实现集

成，图书馆能很方便地构建自己的混合云，实现高校

读者在 CALIS国家云中心、省级云中心、图书馆本地

系统之间三级跨域的统一认证和单点登录，实现中心

服务在本地的内嵌式集成，实现图书馆之间的协作服

务，实现高校资源在 CALIS三级服务体系中的资源交

换和共享。

CALIS各级平台之间的互操作性体现在以下几个方面：

1. 同一平台内的互操作：包括统一认证和单点登

录、数据同步、基于OpenSocial的门户融汇集成、基于

相关标准接口的集成。

2. 在本地平台与共享域平台之间的互操作：包括用

户身份的跨域统一认证和单点登录（即联合认证）、用

户信息同步。

3. 本地平台与国家中心云平台的互操作：包括跨域

的统一认证和单点登录（即联合认证）、本地与中心之

间的文献和馆藏数据异步交换、数据在线上传和下载、

馆际互借调度服务、数据租用、内嵌式服务接口整合

（如 e读、CCC的内嵌式集成）、应用服务注册信息同步、

用户信息同步、基于 OpenSocial的跨域门户融汇集成、

基于相关标准接口的跨域集成等。

4. 共享域平台与国家中心云平台的互操作：包括跨

域的统一认证和单点登录（即联合认证）、数据异步交

换、馆际互借调度服务、应用服务注册信息同步、基于

OpenSocial的跨域门户融汇集成、基于相关标准接口的

跨域集成等。

在上述三级平台的互联中，CALIS通过建立国家级

馆际互借调度与结算中心，并由各馆部署 CALIS馆际互

借与文献传递系统 ILL本地版或租用 CALIS共享域云服

务中心提供的 ILL租用版，能实现全国高校范围内文献

资源的自动调度和结算，即调度中心能根据需求馆对文

献的实际要求，自动寻找合适的文献服务提供馆，将文

献自动发送给最终读者，同时自动完成结算，形成智能

化的 CALIS全国文献传递服务网络。

CALIS数字图书馆云服务平台作为构建大型分布式

的高校数字图书馆公共服务网络体系的基础性平台，为

区域或学科型的图书馆联盟的公共云和图书馆混合云的

构建以及跨域整合提供了有效的解决方案，能将分布在

互联网中各个区域中心和图书馆的资源和服务整合成为

一个整体，支持成员馆之间透明的服务协作和资源获取，

支持馆际协作的社会网络的构建，支持多馆资源的共建

和共享。

对于高校数字图书馆服务体系而言，云计算的最大

价值在于能让 CALIS各类共享域和成员单位快速建立和

完善自己的数字图书馆平台，降低数字图书馆系统的管

理难度和维护成本，专注于图书馆业务和服务，开展服

务创新，方便整合各类云服务，形成学科性、区域性和

全国性的协作和共享，大大提高中国高等教育数字图书

馆整体服务水平，为用户提供更好的资源的个性化定制

和推送服务，提高资源利用率，共同为高校师生提供更

优质的资源和服务。一年多来的实践表明，惟有利用云

计算，才能在较短时间内，实现服务于全国两千所高校

馆及其读者的 CALIS三期建设目标。

（本文作者系CALIS管理中心总工程师）

460亿

据Gartner宣称，全球云计算

服务市场 2010年总营收额将达

到 460亿英镑，此数据比2009年

上涨 16.6%。其中北美市场营收

额将占全球营收总额的 60%，欧

洲市场营收额将占 23.8%。

10.2%

最近，Gartner对 40个国家 1587位

客户进行问卷调查，9月 28日发布的结

果显示，2010年外部服务供货商（ESPs）

提供的云计算服务估计将占IT外部服务

支出的 10.2%。

3 0 %

IDC宣称，从2011

年到2012年，云计算在

技术领域的净增长率

将达到25%，从2012年

到 2013年这种增加率

将达到 30%。

1万亿

云计算概念股最近行情看

好。相关人士表示，在工信部

和国家发改委两部委的推动下,

市场预计云计算在中国的市场

规模有望在 3年内突破 1万亿

人民币。

未命名-3 2010-11-08, 14:5019PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

20中国教育网络 2010.11

COVER STORY“云”到校园

文/郭清顺 何海涛

云服务是互联网应用的新的重要的发展趋势之一。

云服务依托云计算技术的发展，为提高互联网应用服务

支撑系统的可扩展性、可靠性、安全性和灵活性，特别

是在实现“应需而变”（On Demand）和改善用户的信息

化体验方面具有广阔的发展前景和无穷魅力。基于对云

服务发展的展望和判断，中山大学信息化未来发展将坚

持基于云服务的、以用户为中心的开放式技术路线和运

营模式。

开发“云”基础设施服务

1. 提供虚拟网络云服务

建设支持端到端 QoS和安全的“下一代校园网”的

网络“云”平台，利用其良好的开放性和高性能，兼容

种类繁多的终端设备和通信协议，针对数字化校园一些

业务的特定需求提供虚拟网络环境，使其安全、稳定、

高速地运行在一张网上。

尤其要实现有线无线认证统一，支持各种通信终端

的无缝快速移动，支持丰富多样的终端接入技术。提供

无线漫游服务，通过单一账户实现在“无线网络联盟”

成员单位之间的无线网络接入服务。

2. 提供弹性计算云服务

利用虚拟化技术整合计算资源，建立弹性计算云，

为师生和单位提供灵活、易用、安全的动态调配的基础

设施服务（IaaS）。

建立弹性计算云集群。购置一批高性能的PC服务器，

安装Eucalyptus或Nimbus开源云计算系统软件，组成弹性

计算云集群，为师生和单位提供虚拟化的计算服务。

建立弹性计算应用实验和测试环境。基于新建的弹

性计算云集群，建立弹性计算应用测试环境，并与有关

教育管理和教学支撑应用软件开发单位合作开展传统软

件向云计算软件迁移实验和测试。

建立弹性计算示范应用。基于新建的弹性计算云集

群平台，建立若干数字教学、数字科研、数字管理和数

字生活典型弹性计算示范应用，并引导用户在弹性计算

云服务之上搭建自己的应用。

3. 提供科研计算云服务

完善全校共享的高性能计算平台。结合校内的实际

需求，以及中国教育科研网格地区节点的建设要求，推

动高性能与网格计算服务平台 3期建设，新增一个计算

力不低于 20万亿次，存储不低于 50TB的绿色高效高性

能计算集群；协助和推动院系及科研团队建设好面对专

业应用的专业计算平台建设。

探讨全校性公共计算平台与院系、科研团队的专业

中山大学：

云让 IT应用服务“随需而变”

未命名-3 2010-11-08, 14:5020PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11中国教育网络 21

政策与焦点

应用计算平台的协同服务机制。通过网格计算等技术，

实现全校性公共计算平台与院系、科研团队的专业计算

平台有机连接，从而实现两种平台的互补与协同服务。

逐步建立和完善各种管理运维制度与指标体系，确

保平台的高效稳定运行。重点在关键系统的常规操作、

应急操作和常见故障处理方法、流程和指引；重大异常

情况的应急预案；主机系统、性能、稳定性等方面的考

量指标体系建设等方面加以完善。

建设高性能与网格计算综合服务门户。与IT帮助台

有机结合，从而降低用户使用门槛，提高设备服务效率。

4．提供存储云服务

建立存储云服务，允许用户将个人或单位数据存储

在云计算中心，并可以在任何地方任何时候方便地访问

这些数据。

建设私有机构存储云。购置通用和专用存储设备，

建立面向校内单位的机构存储云服务，提供存储网络、

网络存储、网络文件服务等存储服务，满足数据可用

性、可靠性、性能、备份和数据一致性等数据维护的多

种要求。另外，通过建立机构存储云服务，真正实现数

据的统一存储、集中存放，改善由于分散独立购置存储

资源造成的资源浪费、数据安全性差等问题，充分发挥

云计算中心对学校教学、科研和管理应用的支撑作用。

建设公有个人存储云。积极与个人存储服务供应商

合作，在公用云服务之上为中山大学广大师生员工定制

的支持统一认证登录和多终端访问的个人存储云服务，

满足个人用户“永不丢失数据、随时随地查看”的期望。

5. 提供课室终端虚拟桌面云服务

较大辐度降低课室电脑终端管理、运维、更换和升级

成本，有效提高教师使用课室的满意度和课室管理效率。

构建基于云的校园多媒体云终端虚拟桌面环境，提

供各取所需的课室终端虚拟桌面云服务。

6．提供人文学科的虚拟实验室服务

建设一个面向经济与管理的可开设单项性实验、课

程综合性实验与专业综合性实验的虚拟实验室平台。使

其成为创业学院的模拟实习基地，以提高学生在校期间

的创业能力。基地建设将包括创业实践室、模拟体验

室、市场商务室、沙盘推演室等。

增强“云”平台服务

首先，构建面向不同类终端、不同业务的统一通信

和协作平台。

在多业务支持的校园上构建统一通信和协作平台。

用户随时随地使用电话、传真、手机、电脑等终端设备，

以语音、传真、电子邮件、移动短消息、多媒体和数据

等媒体形式进行无缝通信，实现高效、迅速的沟通和交

流，极大的提升教学、科研、管理和生活的效率；并构

建统一通信和协作中间件，为学校的教学、科研、行政

管理、医疗服务等业务应用系统提供标准接口服务。

基于统一通信平台，重点建设四项应用。建设基于

数据融合的统一消息系统，整合即时通信、传真、短消

息、电子邮件等各种通讯方式；构建基于 VoIP的语音

通讯系统，实现 IP固话、移动电话、PC软电话的无缝

融合，并能实现有线网、无线网、VPN等不同类型网络

的接入；构建基于数据、语音、视频融合的视频会议系

统，并将视频会议延伸至每位用户的桌面。

在构建可信服务平台方面，加强PKI公钥基础设施

建设、构建面向教学与办公服务的应用虚拟化平台、构

中山大学云应用开发平台包含三个部分：

一个基础。包含几乎所有应用都会用到的平台软件、各种支撑功能（如标准的库与

存储，以及基本操作系统等）。包括下层操作系统和本地支持，提供可扩展的开发环境、

托管服务环境和服务管理环境，为开发者提供托管的、可扩展的、按需应用的计算和存

储资源，提供了云平台管理和动态分配资源的控制手段。

一组基础服务。包含应用经常要用到的基本服务，如远程访问控制服务、集成服务、

消息服务及身份管理服务等，支持 Internet规模访问。这组基础服务为云应用提供了分布

式的基础架构服务，能够使自有应用与云应用之间进行安全联接和信息传递，使得在云

应用和现有应用或服务之间的联接及跨语言、跨平台、跨不同标准协议的互操作变得更

加容易，并且与云提供商或系统平台无关。

一套应用服务。随着越来越多的应用面向服务化，这些应用提供的功能可为新应用

所使用，是云应用开发平台的一部分，如套装基础软件(SAP、Oracle Applications等)等。

中山大学云应用开发平台

未命名-3 2010-11-08, 14:5021PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

22中国教育网络 2010.11

COVER STORY“云”到校园

建满足业务发布质量要求的内容分发平台。

在扩展服务应用领域方面，要构建和提供对内、对

外服务的资源云，扩展教学资源的覆盖面。开发优质教

学资源和相关部门合作，重点推动医科和语言类学科的

学习资源建设；构建信息共享平台，实现与图书馆、档

案馆、博物馆的全面信息整合，扩展资源的覆盖面，提

高文化资源的信息传播和利用效果；构建基于云计算的

移动学习资源平台。包括基于微博的学习社区、学习资

源、移动社区、讲座直播。实现随时随地、自由个性化

学习和交流；建设基于高校联盟的资源云。以中山大学

为龙头，利用学校丰富的学习资源，并联盟国内若干重

点高校合作建设公有资源云。

丰富“云”软件服务

1. 深化信息环境下的“教”与“学”应用

通过建设网络虚拟的数字化学习环境，为学生的学

习提供更多的教育与学习服务，提供更丰富的学习资源

和智慧支撑资源，更加明确学生的学习方向，为学生开

展互动、自主学习提供方便。

建设中山大学“课程地图”。全校学习地图将是学

生的学习导航工具，旨在提供学生‘修课指引’，让学生

能够依据未来的职业生涯目标和兴趣，按地图从学校开

设的通识及专业课程中，了解院系的课程规划与未来职

业生涯选择的关联，规划出大学四年 /五年最佳的修课

学习路径，藉以有系统性、目标性地完成学业生涯。

构建满足学生自主学习的学习社区。建设学生自主

学习社区，提供包括学习工具、UC通讯、学习资源、学

者、专家在内的社区环境，将资源和应用程序都整合在

“云”端，每个学习者都可以利用这些资源和应用程序

自由的创建虚拟社区，构建自己的虚拟学习环境，跟具

有共同学习目标的其他学习者一起进行协作学习。学习

者可以充分发挥其特长，展示其个性，自由地交流。

2. 推进“随需而变”的应用服务

打造基于云服务的信息资源利用新模式。在云架构

网络信息服务环境中，对用户需求（包括用户的个性多

元需求与领域共性需求）开展需求建模工程（信息服务

柔性生产过程的重要环节），最终形成被用户所理解并

可直接应用的可定制化资源；提供虚拟的、丰富的、按

需即取的数据池、软件组件池、用户服务目录与索引、

云计算搜索引擎等，形成“软件生产通过云数据中心实

现服务的发布，实现信息资源的柔性聚合与演化，最终

组合的信息资源为用户个性化的、方便的感知和应用”

的过程。

3. 建设面向个人的个性化信息空间

基于服务的概念，建立融合协同、移动工作与知识

管理的，面向教师、学生的个性化信息聚合与服务的信

息空间。

完善面向学生的“5D空间”。完善5D空间建设，为

5D 空间建立资源服务目录和应用服务目录，并提供订

制；提供自助服务；提供可视、行业、热点播报等各类

专业搜索引擎服务；提供即时通讯（从 PC到 PC、PC到

手机、手机到手机）、短信订阅、邮件订阅、个人信息

中心、SNS搜索等个性化服务。

建设面向教工、校友和面向社会服务的“云空间”。

为高校教师、校友和社会用户提供个性化应用的平台和

空间，也叫云服务空间。这个空间可以为教师、校友和

社会用户提供便捷的个性化订制操作，实现个性化的信

息聚合，服务订制，为个人提供快捷方便的访问路径

等。同时提供个性化内容创建、实时交流与通讯，实现

协同学习和科研，建立个人的信息与知识中心，以及社

会服务等应用。

4. 建设基于云服务的集成平台与门户

依据云服务的理念，建立面向教师、学生、校友、

社会用户的个性化信息聚合与服务的集成平台与门户，

提供协同科研、知识管理和个性化信息服务。

基于云服务的集成平台与门户是搭建在“云”基础

设施服务（虚拟网络云服务、弹性计算云服务、科研计

算云服务和存储云服务）和“云”平台服务（统一通信

和协作平台、PKI公钥基础设施、资源云和云应用基础

开发平台）上的、提供“云”信息服务的统一集成平台，

是教师、学生、校友、社会用户的个性化应用服务门户，

提供“随需而变”的应用服务。

该集成平台对内整合数字化校园的各种资源、信息

和服务，对外可按需抓取各类信息与服务资源，为教

师、学生、校友和社会用户提供便捷的个性化订制操

作，实现个性化的信息聚合与服务订制，提供个性化内

容创建、实时交流与通讯和个人信息中心等服务，为各

类用户打造一个统一的信息服务平台。

根据权限分类，不同用户可进入属于自己的个性化

应用集成门户：面向教师——教师云空间；面向学生——

5D空间；面向校友——校友云空间；面向社会——社会

服务云空间。

（作者单位为中山大学网络与信息技术中心）

未命名-3 2010-11-08, 14:5022PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11中国教育网络 23

政策与焦点

文/本刊记者 王左利

坚持内容为王的云服务

兰州大学已经迈出了实践“云”的步伐。

“为什么要规划云？主要考虑到几方面的需求。”兰

州大学网络中心年轻的副主任李仲贤介绍说。

首先是整合硬件。“服务器的数量天天都在变化，没有

一个准确数量，我们是统一管理，所以有必要进行整合。”

另外，要给学校的各项服务提供一个坚实的底层支

持，“类似数字图书馆、一卡通之类的保障性服务必须

依靠网络中心，一点问题也不能出。”

此外，他们考虑到，云技术是发展潮流，追逐云计

算也算是顺应潮流。当然，他们也有一个小“私心”，那

就是想让学校领导看到网络中心做的事情是有意义有成

效的。

具体的建设中，他们考虑了四个原则。第一，需求

决定一切。“这是最根本的问题，我们现在缺少的是对

一个庞乱无章的平台的管理，云计算使其有了可能性。”

第二，够用原则。为了减少成本，新买来的服务器一定

要用起来，坚决不能闲置。第三，低能耗、高可靠性。机

房的能耗非常大，据保守估计，每年大概要花费50万元

左右的电费，所以新的架构必须要节能。最后，也是最

重要的，要掌握建设的主动权，一定要学校而非企业掌

握主动权，因此开源软件成了他们的好帮手。

那么，到底要利用云来做什么？经过认真的思考，

他们对这朵“校园之云”总结出三个方面的规划。

第一，要提供统一的内容服务，兼容校园网所有的

服务。

因为以读为主的教育资源的共享是师生们需要的主

体服务，要把这些资源放在云上，提供更加广泛的内容

服务。内容服务还要包括对于结构化数据的服务。

第二，存储服务的提供。

对于存储，他们主要看重存储的写和备份过程，“我

们的服务器硬盘总容量接近 150T，但是能有效使用的存

储连 10T都不到，非常分散，而且各自为政，如果不用

云的理念将之结合，存储永远不够用。”李仲贤说。“另

外学校现在没有正式做备份，这也是很危险的一件事。”

第三，运算能力的整合。网络中心的计算设备与各

院系的计算设备两者没有进行整合，大量计算资源空

闲，规划要按照云计算的方法对此进行整合，让需要

高性能计算的老师通过云来享受服务。

按照此思路，他们对各个方向进行了完善。

在内容输出服务中，改变传统网站内容输出的模

型，按照云的思路统一规划。坚持“内容为王”，一是内

容的整合和展现，二是要做推送服务，他们认为，要运

用“云”的概念，强化“云端”建设，由以前的被动服

务改为主动服务。

在存储方面，“我们认为，基于云的存储主要理念

应当是：我来建设存储云，管理所有存储和数据备份，

兰州大学：私有云整合校园资源

“虚拟化技术

是一个实现云的

基础的支撑，它不

是惟一的途径，但

是就目前来说是

最好的方式。”

未命名-3 2010-11-08, 14:5023PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

24中国教育网络 2010.11

COVER STORY“云”到校园

用户只用把数据交给我就好了。”对需要有存储和备份

的单位来说，不需要自己准备硬件，只需要向云端寻求

应用支持即可。此外， 他们主要关注交互过程，因此需

要一个交互性很强的能符合 Web2.0规范的访问层。

借助虚拟化探索云架构

虚拟化技术被公认为云计算的基础支撑。借助虚拟

化技术，他们做了一些初步的研究。

“这是一个实现云的基础的支撑，它不是惟一的途

径，但是就目前来说是最好的方式。”

“2008年，虚拟化软件的性能和瓶颈尚未测试，我

们就装了一个最简单的软件。具体的做法是建机器，再

拷贝一份，都是在 Windows2003、2000操作系统的基础

上，后来发现它在 Windows下的局限比较大，读写速度

一直上不去。”李仲贤说。

后来的解决办法是测试了四个虚拟机软件，全部基

于 Linux （3台）+ x3650 (2cpu 2.0g +16g 内存)，虚拟

出二十台服务器。把 VMware Server 1.0.4、Xen 3.2、

QEMU 0.8、KVM都试了一遍。在其上运行了相关的服

务：WWW、application Server、 DNS、DHCP、proxy、

database。发现，前四项服务都很流畅，数据库（MySQL）

初步认为虚拟环境下写操作较慢，相比之下，Xen 在后

两项服务上面效果稍好。总体看来，用于虚拟化的测试

机器内存太小，虚拟化需要大内存。优点是校内一些二

级单位的网站用起来很方便，故障恢复速度很快，迁移

主要取决于网络速度、硬盘速度。

“所以我们得出一个结论，目前在校园网上提供服

务只要三台服务器就够了，但是一定要让它们尽快汇聚

起来形成一个逻辑更清晰的东西。”

当然，尽管很多事情都需要自立更生，但李仲贤

也坦言：“其实我们更需要一些公司的支持和更好的硬

件支持。比如，我们一直期望有一个低能耗、高性能

的硬件平台，因为硬件升级的成本比买新的都贵。”兰

州大学在信息化方面的经费同发达地区高校相比，还

是非常低，很多硬件都是已经运行了 5、6 年以上的，

机房环境面临更多问题。“去过的很多人都不愿意再去

我们机房，噪音很大，就像几头牛在吼。”

李仲贤认为，有时候，必须遵循软硬件的淘汰规则，

机器放在那里的损耗远远比它的贡献大。“关于机器是

否淘汰还是接着干活，需要一个公认的评测方式，按照

这个计算方法去淘汰过时的服务器。”

“云端的建设我们也很看重，因为我们是第一批做

校园卡的学校，所以现在还是想做一些支持IPv6的校园

卡终端设备，我们把它看成云的端，这样我们的云才能

更好用。”

总结兰大建私有云的经验，李仲贤说，对于云计

算来说，第一是集中计算资源、增强计算能力；第二，

要通过云，简化交互的过程。“我们只需要关注的三

件事，就是内容、备份、计算。”

“另外用户需要什么，我们就提供什么。用户现在

需要尽可能多的能移动的存储，我们就把存储放在第一

位，如果用户对计算需求很迫切，我们就把计算放在第

一位。”

除了建兰州大学本身的私有云外，他们正在策划甘

肃省高校的一个云联盟。“西部比较落后，只有 10来所

高校，以兰大为龙头，我们希望可以把它带动起来，希

望兰大所存储的教育资源可以向他们开放，他们也可以

向我们开放，从而形成一个强大的交集。”

图 兰州大学云存储的架构

访问层

应用接口层

基础管理层

存储层

个 人 空 间 服务、运营商空间租赁等

……

网络（广域网或互联网）接入、用户认证、权限管理

公用API接口、应用软件、Web service等

集群系统分布式文件系统网格计算

内容分发P2P重复数据删除数据压缩

数据加密数据备份数据容灾

存储虚拟化、存储集中管理、状态监控、维护升级等

存储设备(NAS`FC、iSCSI等)

企事业单位或SMB实现数据备份、数据归档、集中存储、远程共享

……

视频监控、IPTV等系统的集中存储，网站大容量在线存储等

……

私有云、公有云

私有云是一种在内部 IT环境中提供的云基础架构，

它为内部的 IT服务提供者带来了云计算的好处；公有云

是一种由托管或SaaS提供商等外部 IT服务提供商提供并

管理的云基础架构。

云服务：与租用捆绑

由于云服务遵循一对多的模型，与单独的桌面程序

部署相比，成本极大地降低了。云应用通常是“租用的”，

以每用户为基础计价，而不是购买或许可软件程序(每个

桌面一个)的物理拷贝。它更像是订阅模型而不是资产购

买(和随之而来的贬值)模型，这意味着更少的前期投资和

一个更可预知的月度业务费用流。

未命名-3 2010-11-08, 14:5024PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11中国教育网络 25

政策与焦点

文/吴颖骏

浙江大学打算在未来的五年中建一个智慧校园，正

在建设中的紫金港校区西区将成为试验田。

“智慧校园听起来是个很理念性的概念，但是我们

一定要做具体的东西。我们以各种信息化技术，包括感

知、智能、挖掘、控制等技术为手段，做安全监控、平

安校园网络管理系统建设、自助图书网络管理系统等。”

浙江大学信息化领导小组副组长鲁东明教授说。

云计算是重要平台

未来的校园信息化应该是这样的：首先，是无处不在

的、便捷的上网环境；其次，拥有一个数据环境，这就是

计算环境、存储环境，再次，拥有一个系统（物联系统）

接入——支持各种智能终端、设施、设备联网的环境。

按照此设想，未来的智慧校园必须拥有三个平台：一

是网络基础设施。二是云计算平台。三是物联感知系统。

在网络基础设施方面，浙大也进行了细分：接入网，

方便师生上互联网；教学网，支撑教学活动；科研网，支

撑科研活动；资源网，支撑资源沉淀和传播活动；智能

网，支撑和谐、生态校园建设。

在接入网方面，步骤有三：最初，有线为主、无线为辅；

接着，重视无线建设，促进有线无线融合，引入3G校园网

络通道；最后，无线为主、有线专用、移动网络作为补充。

综合看来，教学网的特点是：高速、QoS、支持高

清多媒体传输。一、高带宽专网；二、数字媒体网络；

三、尝试三网融合。建成高清多媒体教学网络环境，提

供教学支撑。

科研网的特点则是技术先进、专用网络、灵活可控。

未来浙大打算集中在三个方面，首先，重视西区科研专

网光缆基础设施覆盖；结合IPv6网络和无线网络；高速

接入云计算平台；加强专网接入和使用管理。

另外一项是资源网，要建成大容量、高带宽、安全、

冗余可靠的网络。三个目标是明确的：1. SAN光纤网络；

2. 跨校区异地备份存储网络；3. 集中、安全、高速的IDC

网络环境。总体目标是为海量资源存取提供高速、稳定、

安全的网络环境。

在智能网方面，要做到物联系统、覆盖广泛、接入

灵活。一方面，重视西区物联网络光缆基础设施覆盖；

另一方面，统筹考虑楼宇、室外的弱电管道建设和布线

结构，在实验室、楼道、门禁、配电室、水电汽表房等

重点区域进行物联网络布点布线；此外，研究网络架构、

节点间通信与组网等物联网技术。总之，建成覆盖广、

接入灵活的智能物联网络环境。

云计算平台是支撑智慧校园的第二大平台。云计算

服务平台使量化、科学的决策成为可能。作为一种信息服

务模式，云计算可以把大量的高度虚拟化的计算和存储资

源管理起来，组成一个大的资源池，用来统一提供服务。

浙江大学：基于“云”的智慧校园云计算是智慧校园的重要支撑平台，它可以把大量的高度虚拟化的计

算和存储资源管理起来，组成一个大的资源池，用来统一提供服务。

未命名-3 2010-11-08, 14:5025PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

26中国教育网络 2010.11

COVER STORY“云”到校园

浙大建设的云计算平台基础设施包括机房环境、计

算平台、存储平台、容灾系统等。首先，要建设云计算

管理系统，构建云计算安全环境，培养管理、运维、服

务团队，在此基础上形成按资源使用付费的新型服务模

式，鼓励云计算服务应用。

同时，很值得一提的是，信息资源也是重要的办学资

源，必须借助经济手段实现优化配置才能可持续的发展。

可感知的物联系统

物联感知系统是整个智慧校园中最可见的一部分。

拟利用传感器、采集器、RFID、二维码、视频监控等感

知技术和设备，实现校园环境管理的数字化。首先，部

署传感器等数据采集设备并联网。其次，利用 RFID、二

维码等技术标识校园环境。再次，构建校园环境信息数

据库和应用平台，利用校园智能物联网络建设应用。然

后，推动在智慧校园项目示范应用。

在建设紫金港西区现代化校园的计划中，打算充分利

用先进的网络信息化技术，设计并部署西区智能型物联专

用网络环境，按需构建各类感知控制应用系统，实现对紫

金港西区的深层次智能化管理。具体包括：基础物联网络

环境的建设、楼宇能耗监控网络系统建设、平安校园网络

管理系统建设、自助图书网络管理系统建设等。

具体包括以下四个环境的建设：

1. 基础物联网络环境的建设。充分结合下一代网络

技术，部署 IP有线核心网络环境，网络光纤汇聚交换到

楼。并着重在各楼群的进出入口、弱电房、控制室等数

据汇聚点，校园电话亭、信息亭等设施部署点，西区图

书信息大楼的书库、机房，医学中心、核农所和工科学

院楼群的危险品存放点，校史档案馆和艺术博物馆展点、

以及危险品仓库大楼等重点区域进行接入网络布点布线。

并对校区主要出入口、核心交通干道、停车场等区域进

行高速无线网络信号的覆盖。通过基础网络环境的有效

建设，为各个区域感知信息的获取与有效传输提供保证。

2. 楼宇能耗监控网络系统建设。主要包括对西区新

建楼宇的所有水电汽抄表点配置各类自动抄表仪，对主

要楼宇的大型空调等高用电设备安装用电采集装置，对

重要管道阀门配置远程可控接口，对监控系统增添控制

功能模块等，实现西区所有水电汽的自动能耗监控以及

限制大型用电设备的非正常使用。

3. 平安校园网络管理系统建设。对西区的主要实验

室、书库、危险品仓库、重要展品存放点等场所安装温

度、气体浓度等检测传感装置，对各楼宇的主要出入口

安装视频监控点，并联网实现安全信息的采集、分析与

危害报警等功能。在西区主校门、校园其他出入口、及

停车场道闸点等处安装车辆交通信息自动采集装置与视

频抓拍装置，结合校园卡与 3G定位，实现出入车辆的

控制和校园内导航。

4. 智能图书网络管理系统建设。结合西区图书与信

息大楼建设工程，构建自助化智能型图书馆。创建learning

commons 、research commons。充分利用射频、传感等技术，

创建智慧书库和智能读者服务大厅，实现自动图书架务管

理、实现图书的自助化借还、自动超期费用结算等。

2008年 5 月 10 日，IBM在中国无锡太湖新

城科教产业园建立的中国第一个云计算中心投入

运营。

2008年 12月 30日，阿里巴巴集团旗下子公

司阿里软件与江苏省南京市政府正式签订了 2009

年战略合作框架协议，计划于 2009年初在南京建

立国内首个“电子商务云计算中心”供个人及企

业进行互联网云端备份的数据保全服务等等系列

互联网云计算服务。

2009年4月9日“中国电子技术年会”上，云

计算专委会主任李德毅院士宣布“中国云计算计

划及示范平台”的实施工作启动。

2009年 5月 22日，中国电子学会在北京中

国大饭店隆重举办首届中国云计算大会。

2009年 12月 28日，成都超级计算中心——

云计算中心开通运行，这是国内第一个以企业投

资、运营、管理，政府购买服务形式投入运营的

商业化超级计算中心。

2010年 5月 21日，中国第二届云计算大会

在京正式召开， 2000余名来自云计算相关行业的

观众参与了这次大会，共同就云计算从理想到实

践的主题进行探讨。

2010年 7月 9日，中关村云计算产业联盟成

立，这是北京建设世界级的云计算产业基地的又

一举措。

中关村云计算产业联盟由联想、赛尔网络、中

云计算在中国

国移动研究院、百度、神州数码、用友、金山等

19家单位发起成立。旨在促进云计算领域产学研

合作，带动全国云计算产业发展。

(作者单位为浙江大学信息与网络中心)

未命名-3 2010-11-08, 14:5026PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11中国教育网络 27

政策与焦点

文/王继龙 李钟辉等

自治与合作组成DRAGON-Lab

云计算已成为互联网应用服务的一个热点。在教育

和科研领域，传统的网络教学和实验平台是否也能够走

上云端？ DRAGON-Lab 就是一个具有云计算特征的教

学和科研实验平台。

DRAGON-Lab 是一个基于联邦架构的大规模互

联网技术合作研究平台。其中联邦是一种独特的合作

形式。联邦的2 个要素是: 自治与合作。即联邦中的资

源由各成员自主投入, 自行维护, 自愿合作。联邦是一

种松耦合的合作形式, 成员投入的资源可能不是稳定

的, 但是具有一定规模后, 随机效应的影响会逐渐降低,

而优势非常明显, 即发展和运行成本低, 可持续发展能

力强。

DRAGON-Lab 的主要技术特点可以归纳为以下几

个方面:

第一，基于联邦架构的资源开发模型。DRAGON-

Lab 面向全球研究者开放自身拥有的网络和设备资源, 以

联邦的形式积极开展国际间合作, 重视对互联网上开放

资源的利用。目前，DRAGON-Lab 上已建成全球最大

的分布式测量实验系统。

第二，有限目标。DRAGON-Lab 并不奢望支持所

有的互联网技术实验需求, 而是把重点集中于对流量研

究、主动测量和 BGP 路由研究方面的支持。

第三，远程可视化实验配置和环境自动生成。

DRAGON-Lab 是一个远程实验室, 使用一个专用客户端

程序就能够以可视化的方式远程定制实验环境。

第四，可编程实验。DRAGON-Lab 提出了可编程

实验的创新思想。通过把实验环境定义转化为可执行的

实验脚本程序, 提高了实验的可重复性。

联邦的架构

一个机构所拥有的实验资源是有限的, 能够投入的

开发力量是有限的, 能够直接连接的生产网络是有限的,

能够形成的影响力是有限的。因此 DRAGON-Lab 的一

个重要发展策略是通过广泛合作进行资源整合。目前互

联网上很多知名的实验平台都是由众多机构合作建设并

运行的, 如PlanetLab。

但是目前这种合作存在2 方面的局限性:

一是多个同类平台之间缺乏合作机制。例如, 目前

互联网上有多个知名的分布式测量平台, 但是都是独立运

行的, 没有能够彼此合作, 互相补充。

二是没有能够充分开发和利用互联网上的开放资

源。仅仅依靠主动发展合作伙伴, 很难迅速形成规模, 并

且在客观上浪费大量资源。

DRAGON-Lab 独创了联邦合作架构。在 DRAGON-

Lab 中, 联邦的含义是自治与合作。即联邦中的资源由

各成员自主投入, 自行维护,自愿合作。事实上, 联邦

是一种合作姿态, 联邦的技术架构取决于实际需求,

我们很难定义一个通用的联邦模型来适应所有的实

验需求。

迄今为止, DRAGON-Lab 联邦主要有3 种形式:主动

联邦、被动联邦和混合联邦, 如图1。

1. 主动联邦指经过双方协商后建立的合作关系。目

前 DRAGON-Lab 主要通过

2 种方式建立主动联邦。一

是与每个可能的合作伙伴协

商, 二是加入一个已有的合作

群体, 以少量资源投入一次性

获得大量合作伙伴。

2. 被动联邦指对互联网

上开放资源的整合。互联网

D R A G O N - L a b：云联邦打造大型网络技术合作研究平台

图1 DRAGON-Lab联邦合作模型

主动联邦

主动联邦

主动联邦

混合联邦DRAGON-Lab

被动联邦

未命名-3 2010-11-08, 14:5027PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

28中国教育网络 2010.11

COVER STORY“云”到校园

上有很多开放的实验资源, 只要不存在商业目的, 就可以自

由使用而不必事先协商。被动联邦的发展成本很低, 建设

效率非常高。

3. 混合联邦是指整合具有相似性质的主动联邦和

被动联邦资源, 支持特定的实验需求。例如, DRAGON-

Lab 整合了多方面的资源, 建成了全球最大的分布式测

量系统 GPERF。

DRAGON-Lab 通过联邦合作模型实现了网络资源

叠加、设备资源叠加、维护开发资源叠加和影响力叠加,

以较少的投入迅速整合大量资源。

重要服务

DRAGON-Lab 提供的服务分为元服务和派生服务。元

服务指DRAGON-Lab 提供的基本实验资源; 派生服务指在

利用元服务2 次开发后得到的实验系统。某种意义上讲, 派

生服务本身就可以看作是 DRAGON-Lab 上的一个特殊实

验, 只不过实验结果是生成一个可以提供服务的平台。因

此派生服务也可以由DRAGON-Lab 之外的第3 方来开发。

图2 TRC体系结构

1．元服务

目前, DRAGON-Lab 提供以下元服务:

(1) 网络实验服务。利用 DRAGON-Lab 中的网络设

备可以搭建各种实验网络, 进行路由、组播、QoS、IPv6、

无线、网络管理等方面的实验。甚至还可以选择一条互

联网连接, 把创建的实验网络和互联网联通。

(2) 系统实验服务。DRAGON-Lab 提供可远程登录

和使用的服务器, 可以用来进行网络测量、模拟仿真和应

用系统等方面的实验。

(3) 真实网络流量和路由信息。在进行必要的去隐私

处理后, DRAGON 提供来自 TUNET和 CNGI-CERNET2

的流量数据和路由信息, 既有IPv4 流量和路由信息, 也有

IPv6 流量和路由信息。

2．流量研究中心 TRC

流量研究中心 (TRC: traffic research center) 是基于

DRAGON-Lab 自有资源的派生服务.TRC 能够按需导入

生产网络流量, 进行必要的处理并存储, 并能够根据实验

需要, 按照数据包时间序列重放这些数据包, 从而更好地

体现真实网络特征, 再现网络过程, 为实验验证制造“准

真实”的网络环境。如图2 所示, 整个系统包括5 部分

内容: 数据采集系统、数据存储中心、流量重放系统、控

制系统和流量分析系统。

3．路由研究联邦 BGP-Grid

BGP-Grid 是 DRAGON-Lab 的另一项重要派生服务,

主要用于支持 BGP 路由策略优化方面的研究和实验。它

的基本设计思想如下:

(1) 为每台边界路由器配置一个镜像设备, 镜像设备

从边界路由器学习全部的路由信息和策略。

(2) 根据伙伴AS 之间的实际拓扑, 利用隧道技术建立

镜像设备之间的连接, 从而能够完全仿真AS 之间的路由过

程, 并能够在不干扰生产网路的情形下, 进行策略优化实验。

BGP-Grid 的实现用到了DRAGON-Lab 的Partner 资

源, 目前主要合作伙伴包括：CERNET，CNGI-CERNET2,

TEIN2, NSFCNET, IPv6-CJ。

4．全球分布式性能测量联邦 GPERF

GPERF 是一项用于主动测量实验的派生服务, 它的

目标是支持全球规模的主动测量实验。原理如图3所示。

GPERF 的实现不仅用到了 DRAGON-Lab 的自有资

源和 Partner 资源, 还用到了互联网上的开放服务。

GPERF 目前在全球范围内已经拥有近千个测量点, 是一

个典型的混合联邦系统。

(本文节选自《中国科学》杂志E辑:信息科学；作者单位为清华大学

网络中心)

图３ GPERF实现原理

资源服务器 表示系统

任务调度

内部测量点 外部测量点

数据收集

DRAGON-LabAS24575

DRAGON-Lab自有资源 Partner联邦资源 Internet开放资源

实验网络

真实网络

重放系统 重放系统 控制系统

分析系统 数据中心

采集系统 采集系统

…

…

…

未命名-3 2010-11-08, 14:5028PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

28中国教育网络 2010.11

研究与发展前沿技术

未命名-4 2010-11-08, 14:5128PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 29

文 /王兴伟 1 包丛笑 2 温占考 3 傅必振 4

随着互联网的发展，在互联网上出现了许多新的应用，

如：视频会议、多媒体教学和远程医疗等，其中不少应用

都是高带宽的多媒体应用。用户的迅速增加，导致互联网

主干带宽拥挤，服务器负载急剧增加，为缓解带宽瓶颈和

服务器负载能力，人们提出多种解决方案：增加主干带宽，

在服务器使用负载均衡技术等等。其中组播服务凭借其独

特的优势，在不增加主干网络带宽和服务器的前提下，解

决用户急剧增长所带来的带宽拥挤和服务器资源紧缺现象。

但是，组播技术在可扩展性、可管理性和可控性方

面存在的问题，使得组播服务的大规模应用推广受到了

一定的限制。

从组播协议的特点可以看出，若组播服务不在全网

开通，在组播服务的边缘需要增加组播转单播的转换设

备，在没有组播的网络中同样存在占用过多网络带宽，加

重组播转换设备负载的问题。因此，为了组播服务能顺利

地推广需要全网开通组播服务。

在 CNGI-CERNET2主干网中，已经开通基于 PIM-

SSM的组播服务，但是由于校园网接入设备及校园网内

路由器对IPv6组播的支持程度良莠不齐，阻碍了组播服

务的部署和实施。目前大部分组播应用程序所使用的为

ASM组播协议，无法直接在 SSM组播系统中使用。在当

前组播系统中，没有对组播源身份进行认证，因此任意

用户都可以向某组播组发送数据，无法保证组播系统的

安全性。这阻碍了组播服务的开展。

因此，我们设计了IPv6网络下的可控大规模组播服

务系统，解决现有组播服务系统的缺陷，为组播用户提

供可靠、安全的组播服务，为组播应用提供支持。

该系统设计了基于真实地址的身份认证和基于信任机

制的访问控制支持下，提供IPv6的安全组播服务，为组播通

信提供安全和控制功能，包括组播源鉴别、组播组管理、发

送者及接收者访问控制，保证大规模组播应用的安全使用。

可控大规模组播服务系统由组播转发网关系统、主

干网组播网管系统、校园网组播网管系统和组播交换机

四大部分组成。

四大部分系统功能详解

1. 组播转发网关系统

组播转发网关系统主要完成 IPv6组播服务中 ASM和

SSM这两种不同组播协议以及组播协议与单播协议之间

的转换，满足多路并发组播视频流的传输需要。实现主

干网 SSM组播协议与开通组播服务的校园网内的 SSM或

ASM组播协议之间的互通，主干网 SSM组播协议与未开

通组播服务的校园网（单播协议）之间的互通。根据组

播组地址的分配方案中的组播组地址编码规则，在主干

网上对组播发送者的源 IPv6地址进行验证，控制发送者

对主干网组播组的访问。通过对组地址特定流量的设置，

控制某类应用带宽在允许的范围之内。

可控大规模组播服务系统初试锋芒

图3 可控大规模组播服务系统基本模型

图2 可控大规模组播服务系统结构

图1 可控组播服务系统部署示意图

研究与发展前沿技术

未命名-4 2010-11-08, 14:5129PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

30中国教育网络 2010.11

2. 主干网组播网管系统

主干网组播网管系统主要监控和管理主干网组播服

务系统，监控主干网组播服务系统运行状态，监控主干

网组播转发网关的运行状态，同时负责主干网组播地址

的分配、组播带宽分配，为校园网组播网管系统提供相

关信息查询服务。

3. 校园网组播网管系统

校园网组播网管系统主要管理校园网组播用户，为

用户提供访问控制，根据用户请求将调用主干网网管系

统接口，将主干网组播流延伸至校园网内或将校园网组

播流发送至主干网。同时监控和管理校园网内的组播交

换机，在组播接入点对组播用户进行访问控制和相应的

流量控制。为用户提供主干网提供的组播节目列表等。

4. 组播交换机

组播交换机主要负责组播接入点对组播服务的控

制，接受校园网组播网管服务器的控制，对校园网组播

用户的接收和发送进行检测和控制，对组播组、组播源

和组播带宽进行控制，从而实现组播服务全网可控。

触角面向百院校延伸

可控大规模组播服务系统通过主干网组播转发网关

系统将 CNGI-CERNET2现有的 SSM组播服务延伸至校

园网 IPv6技术升级的 100所校园网中，由于 100所校园

网网络设备的差异及对组播服务支持的完备性不同，所

以在 100所校园网部署校园网组播转发网关系统与主干

网组播转发网关一道完成校园网组播服务与主干网组播

图5 可控大规模组播服务系统组播发送过程控制信令

图4 可控大规模组播服务系统组播数据通路

服务的衔接，同时对组播源、组播组和组播带宽进行控

制，同时为解决终端应用系统的差异，组播转发网关同

时负责 ASM/SSM/单播协议之间的转换，屏蔽终端应用

系统的差异，为不同应用系统间提供统一的可控组播服

务系统。

可控组播服务系统的用户分布于100所校园网中，这

些组播用户通过项目研发的组播交换机、组播转发网关和

组播网管系统，利用 CNGI-CERNET2主干网组播服务实

现校园网间的组播服务。

不同校园网间组播用户进行组播会话时，组播数据

经过组播交换机、校园网组播转发网关、主干网组播转

发网关等设备。

可控组播服务系统组有主干网组播网管服务器、校

园网组播网管服务器，某校园网组播用户向某频道列表

发送节目，或请求接收其他校园网组播节目时，需要主

干网组播网管服务器和校园网网管服务器对相应的组播

转发网关和组播交换机打开数据通路。

通过部署组播转发网关系统、主干网组播网管系

统、校园网组播网管系统和组播交换机，不同系统间通

过相应的接口及信令进行通信，实现全网大规模组播

系统。

经受南非世界杯考验

在南非世界杯期间，由于校园网内对世界杯实况节

目的收视需求很大，项目组联系北京邮电大学，对可控

大规模系统进行了测试，视频源由北京邮电大学提供，

同时在 CNGI-CERNET2北京和沈阳主节点分别安装并

放置了若干台主组播转发网关系统，并在清华大学和东

北大学安装了校园网

组播转发网关系统，

为方便用户点播，临

时建立了简单的世界

杯门户网站，以便校

园网用户使用该服务，

部署期间使用的拓扑

图及测试网站相关页

面如图 6所示。

在测试过程中，

同时转播了 CCTV5和

CCTV7两路视频信号。测试结果表明，系统在这种规模

的负载下完全能够胜任，视频效果良好，画质清晰。

（作者单位 1、3为东北大学；2、4为清华大学）

图6 世界杯期间测试拓扑

研究与发展前沿技术

未命名-4 2010-11-08, 14:5130PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 31

第七届网络安全可视化（International Symposium on

Visualization for Cyber Security ，后文简称VizSec会议）

最近在加拿大的渥太华市举行。这是一个专注于安全领

域可视化技术的小型国际会议，第一届只是大型安全会

议RAID（Recent Advance in Intrusion Detection）的一个

小型讨论会（Workshop），随着这几年的发展，已经成为

和 RAID一起举办的国际会议，并吸引了国际一流安全

研究人员的投稿和关注。

传统的VizSec主题集中在如何可视化入侵检测系统

的结果和对网络报文的属性进行可视化，以便通过人工

发现警报，目前的VizSec的主题已扩展到更一般的网络

事件，数据源也从警报和报文扩展到流和流摘要这样的

网络数据。本届会议的文章主题更囊括了入侵检测系统、

流、拓扑、代码安全、密钥安全等多个方面，我们挑选

出这次会议的两篇文章，为大家简单展示安全可视化在

国际的发展现状。

安全的地理可视化

通过地理视图标注安全事件可以帮助用户从全局把

握恶意代码的传播痕迹和分布特点，但传统的通过不同

颜色的点来标注不同地区地理安全状态的方法有很大的

缺陷，本届会议上，来自 MIT的 Tamara Yu等人发表的

“EMBER: A Global Perspective on Extreme Malicious Behavio”

一文，从另一个角度来展示地理安全视图。Yu等人指出

传统的标注方法没有考虑到拥有大量人口和网络的大城

市的安全事件的绝对数量自然要比发展中城市大，如果

要对城市的安全水平有更好的了解，必须根据城市的计

算机人口对安全事件进行正则化处理。

作者提出了 EMBER（过度恶意行为观测系统），该

系统可以对城市的恶意行为活动等级进行观测和分析。

EMBER系统使用了名为标准事件率（SIR）的测度来评

估不同城市的安全等级。直观来看，该测度就是每个城

市单位数量主机所呈现的恶意行为统计。EMBER通过以

下的算法来进行 SIR指数的计算：

1. 首先将 IP地址映射到所属的地址城市；

2. 根据第三方资源获得该城市的人口信息；

国际安全可视化发展现状解读

3. 根据从 DShield获得的攻击日志统计每个城市的

攻击事件（以天为单位）；

4. 根据 IP 地址和人口信息对攻击事件数量进行正

则化处理。

根据SIR指数的计算，同样规模的大城市，东欧城市

的 SIR指数要远高于地处东亚的韩国和日本城市。这种

SIR指数的差异有多种原因，一方面说明东亚国家在网络

安全策略配置和用户安全意识上要远高于东欧国家，另一

方面恶意代码传播的模型也会对 SIR指数的分布有影响。

Yu等人认为恶意代码倾向于本地传播的特性会加大 SIR

指数的不均匀性，导致了现实中城市的SIR指数呈现长尾

分布，少数安全环境较差的城市会获得非常高的 SIR指

数，而大多数城市的 SIR指数则在相当长的范围内分散。

安全事件发现

安全事件发现是安全事件可视化的传统研究重点，

随着流量规模的不断扩大，利用可视化计划将流量完全

展示出来让管理员发现安全事件也变得越来越难。来自

IB M 的苏黎世安全实验室的 Ed ua rd Gl at z 发表的

“Visualizing Host Traffic through Graphs”展示了如何在高

速流量下通过可视化技术发现可疑流量。

作者提出了一种名为主机应用性质图(HAP图)的方法

来描述主机的连接，HAP图采用Socket机制来刻画主机连

接信息，通过本地地址、协议号、本地端口、远程端口和

远程地址的顺序将主机连接信息逐层连接成图。通过

HAP图，作者首先对主机的性质进行描述，将主机划分为

不同种类的服务器、客户端和P2P节点。根据主机的性质

对连接中合法的流量进行剔除，那么剩下的就是可疑流量

的候选。对于剩下的流量，作者举例说明如何再从其中寻

找扫描、DDoS等攻击模式。

第七届网络安全可视化会议

研究与发展学术会议

（翻译：杨望）

HAP流量建模算法

W1x1 W2

Z1

Z2

y1

y2W3

W1

W2

W3

x1

y1

y2

Z1

Z2

k1 k2 k3 k4

Transactlons:W1,x1,y1,Z1W2,x1,y1,Z2W3,x1,y2,Z1W3,x1,y2,Z2

未命名-4 2010-11-08, 14:5131PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

32中国教育网络 2010.11

CNCERT发布 9月网络安全监测数据

文/王明华

被控主机数量回落

9月，CNCERT监测发现我国大陆地区 676793个 IP

地址对应的主机被木马程序控制，同种类木马感染量较

8 月下降 3 1 %，其中，数量最多的地区分别为广东省

90241个（占中国大陆 13.33%）、湖南省 69805个（占中

国大陆10.31%）和山东省49557个（占中国大陆7.32%）。

1月至9月，我国大陆地区被木马程序控制的主机IP

数量月度统计如图 1所示，9月虽扩大了木马监测范围，

但我国大陆地区木马受控主机数量却有较大回落。

9月，CNCERT监测发现我国大陆地区 23562个 IP

地址对应的主机被利用作为木马控制服务器，同种类木

马控制服务器数量环比增长 33%，。其中，数量最多的地

区分别是辽宁省 3257个（占中国大陆 13.82%）、广东省

3101个（占中国大陆 13.16%）和浙江省 1931个（占中

国大陆 8.20%）。1月至 9月，我国大陆地区木马控制服

务器 IP数量继续呈上升趋势。

同种类僵尸网络感染量下降

9月，CNCERT监测发现我国大陆 9644个 IP地址对

应的主机被僵尸程序控制，同种类僵尸网络感染量较8月

下降 57%。其中，数量最多的地区分别是上海市 1066个

（占中国大陆11.05%）、浙江省896个（占中国大陆9.29%）

和江苏省894个（占中国大陆9.27%）。1月至 9月，我国

大陆地区同种类僵尸网络感染量较 8月下降 57%。

9月，CNCERT监测发现我国大陆地区 1047个 IP地

址对应的主机被利用作为僵尸网络控制服务器，同种类

僵尸网络控制服务器数量环比增长 32%。1月至 9月，位

于我国大陆地区的僵尸网络控制服务器IP数量继续呈上

升趋势。

在发现的僵尸网络中，规模大于5000的僵尸网络有

3个，较 8月减少 1个，规模在 1000以下的占 99%以上。

网站被篡改数量上升

9月，我国大陆地区被篡改网站的数量为2489个，与

8月的 2257个相比增长 10%，其中代号为“aGReSiF” 、

“Hmei7”和“HEXB00T3R”的攻击者对大陆政府网站进

行了大量篡改。9月我国大陆网站被篡改数量有所回升。

我国大陆被篡改网站数量按类型分布情况如图 3所

示。其中，被篡改数量最多的分别是.com和.com.cn，为

1692个（占中国大陆67.98%），.gov.cn为249个（占中国大

陆10.00%），.net&.net.cn为190个（占中国大陆7.63%）。

网络形势波澜不惊

（作者单位为国家互联网应急中心（CNCERT）运行部）

图1中国大陆木马受控主机 IP数量月度统计

图2 僵尸网络的规模分布

图3 中国大陆被篡改网站按类型分布

研究与发展 动态

未命名-4 2010-11-08, 14:5132PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 33

富士通发明新的云计算数据安全技术

随着云计算技术的发展，企业的内部数据和外部数

据使用的界限变得越来越模糊，而如何防止企业的敏感

数据在云计算中被泄露也成为一个重要的问题。最近在

日本举行的ACM CCS会议上，富士通的科学家展示了

一种最新的云计算安全网关技术，可以让敏感数据可以

在不同的云网络中安全共享。

传统的安全网关只是简单地对流量中的敏感数据进

行过滤，富士通的新网关不仅可以对敏感数据进行隐藏，

还可以将云计算的应用引入企业内部，从而让企业既可

以使用云计算提供的服务，又不必将敏感数据传出企业。

企业间不必把重要数据传出自己的边界，因此，这

种新的使用云计算服务的方式可以让企业之间进行更多

的合作。

在实现上，该技术在安全网关处如果发现有敏感数

据试图传出到外部的云网络，则对其进行删除或者修改，

同时将云计算提供的服务引入边界内的沙盒内进行执行，

该沙盒会阻止任何未经授权的访问，而数据跟踪技术将

通过数据流量日志文件告诉其他的云用户这些敏感数据

的存在。

恶意软件窃取社交网络信息伪装自己

以色列本古里安（Ben Gurion）大学和美国麻省理

工学院以及德国电信实验室的研究人员最近合作发表了

一篇关于“偷窃真实（Stealing Reality）”的文章，预测

新一代的恶意软件将会利用用户的社交网络数据。

研究者们认为恶意软件将会把用户在真实世界社交

网络中的关系和行为模式作为窃取目标，这类软件将比

传统恶意软件具有更大的危害并更难以被发现。通过获

得社交网络中的关系图，那些处于网络中心的用户将比

处于网络边缘的用户更容易被作为攻击的目标，因为他

们的联系人要远多于边缘用户，并具有更活跃的行为。

通过研究用户在社交网络中的信息，攻击者可以获

得用户的行为模式信息，这些信息要远比性别和年龄这

些信息更有价值。攻击者可以通过用户的行为模式来隐

藏自己的攻击，例如在用户输入的信息中附加攻击内容，

或者模拟用户的模式生成攻击内容。这种方法可以在实

现攻击的同时降低自己被发现的概率。研究者还指出，

用户很难轻易改变自己的行为模式，这种行为模式的模

仿将会导致特殊的问题。

由EUREKA（欧洲一个跨政府的合作组织，

成员包括多个国家）发起的互联网多服务流量

测量和建模（Traffic Measurements and Mod-

els in Multi-Service 简称TRAMMS）项目已成

功地在欧洲多家运营商网络中开始应用。

这一项目通过在瑞典和西班牙的商业网络

中进行了为期三年的观测来解决互联网传输瓶

颈的问题。TRAMMS项目对流经网络的流量进

行全面的观测，包括 IP流量、路由决策、服务

质量和可用带宽。项目的研究人员认为重新设

计互联网来解决带宽是个难题，所以选择了反

向解决的方法，通过观察流量来裁剪服务以适

应用户的需求，让用户更快地访问Web和多媒

体的内容。

在 3年的观测中，TRAMMS项目搜集了

3000T的数据，并开发了一系列测量方法，这

些方法现在被ITU(国际电联)接收为网络的标准

测量方法，例如实时可用带宽测量方法，该方

法可以测试互联网上内容发送者和接收者之间

的可用带宽。

项目负责人Andreas Aurelius说：“项目一

个最大的问题在于必须访问到敏感的互联网流

量数据，和以前那些校园网研究者的项目不同，

我们必须访问商业接入网的数据。因此我们和

运营商签订了协议，运营商将经过处理的数据

转发给我们，我们可以获得流量的应用类别

信息，但不能获得与之相关的用户信息或内

容信息。”

EUREKA让互联网变得更快

研究与发展动态

未命名-4 2010-11-08, 14:5133PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

34中国教育网络 2010.11

不安全的浏览器和大量的恶意

软件插件让恶意代码可以通过浏览

器自动下载到用户的主机上，这种

新的威胁被称为“d r i v e - b y

downloads”，这种恶意软件的传播

方式正在逐渐超过传统的通过Spam

的恶意邮件附件传播的方式。

根据2009年的调查，全球大约

有56万个恶意软件下载的站点，总

恶意网页数大概有550万页。最近乔

治亚理工大学和 SRI研究所的科学

家们联合开发出一款名为 BLADE

（Block All Drive-By Download

Exploits）的软件，可以有效地阻止

“drive-by downloads”的恶意软件

传播方式。

乔治亚理工大学的李文科介

绍：“BLADE是一款独立于浏览器的

软件，它可以有效地阻止基于

‘drive-by downloads’的恶意软件

的传播，因为它并不需要恶意软件

传播的漏洞和特征信息。”在针对

1900个恶意网站的测试中，BLADE

可以阻止所有恶意软件的下载过程，

而知名查杀病毒的软件则大约漏过

了 30%的恶意软件。

BLADE的开发者 Lu Long说：

“BLADE监视所有下载到硬盘上的

软件，并通过交叉验证用户是否授

权下载和运行这款软件来判断该软

件是否为合法软件，不安全的软件

会被放入一个安全区域内，防止用

户执行这款软件。”在测试中，Lu发

现这些恶意软件使用最多的是

Adobe Reader、Java和 Java Flash

的漏洞。

BLADE需要用户的浏览器被配

置为在可执行文件下载前需要用户

显示的确认，如果用户禁用了该选

项，BLADE就无法保护用户的安全。

BLADE保护用户上网安全Google发明代替 JPEG的新图片格式

Google开始试图用新的文件格式来进

一步降低互联网上多媒体文件的大小，在

提出了针对视频的WebM格式之后，最近

Google又推出了新的图片格式WebP。

WebP可以比目前广泛使用的JPEG格

式再提高 40%的压缩比。和 JPEG格式一

样，WebP也是一种有损压缩格式，这意味

着必须牺牲图片的质量来换取文件大小的

下降，但WebP在进行压缩时会尽力保持

图片从人视觉角度看起来没有变化。

Google的研究员Richard Rabbat介绍:

“Google最近会发布一套工具让人们可以

将图片转换成WebP 格式，并最终会将

WebP格式嵌入 Google的 Chrome浏览

器。”

但是，目前WebP格式的编码过程耗

时大约是JPEG格式的8倍，而且显示时的

解码过程大约是JPEG格式的2倍。这也是

JPEG格式这么多年一直流行的原因，多年

来，很多试图挑战JPEG格式的努力都没有

获得成功，无论是微软的JPEG XR格式

还是更早的JPEG2000格式。Google也

认识到对 JPEG的挑战将是一个漫长的

过程。Rabbat说：“这将是一个巨大的挑

战。”

中国在芯片技术上紧追 Intel与AMD

在最近斯坦福举

行的 Hot Chips会议

上，来自中国国产处理

器的首席设计师胡伟

武展示了中国Godson

系列最新的三款处理

器，这次展示的处理器

包括 1Ghz主频的 8核

处理器Godson3B、16

核处理器Godson3C以及低功耗用于移动

设备的Godson2H。

中国在建的曙光 6000超级计算机使

用了GodSon3B处理器，根据胡伟武的介

绍，这是中国第一次使用国产处理器建成

的进入世界五百强的超级计算机。芯片分

析师 Tom Halfhill介绍说 Godson3B目前

仍与 Intel和AMD最好的处理器有一定的

差距，和 Intel最先进

的6核Xeon处理器相

比，Godson的数学计

算性能要低 30%，和

I n t e l 即将发布的

Sandy Bridge系列相

比差距将更大。但使

用国产处理器进入世

界超级计算机五百强

本身就是很大的成功。

据悉，曙光 6000将于 2011年正式

建成，而更新的 Godson3C 将最早于

2012年进入市场。Godson3C的设计工

艺将从3B的65nm技术越过Intel的32nm

技术，直接升级到28nm技术，这可以让

芯片的时钟速度提高1倍，这将是中国电

子工业的巨大成就。

研究与发展 动态

未命名-4 2010-11-08, 14:5134PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

34中国教育网络 2010.11

建设与管理 CERNET之窗

未命名-5 2010-11-08, 14:5134PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 35

建设与管理CERNET之窗

NIC2010年 9月

文/朱爽

9月全球IPv4地址分配数量为276B，其

中获得最多的是中国，91B，其次是美国，

40B。在过去的 12个月，中国获得 IPv4地

址最多，共计 822B。

9月全球IPv6地址申请(/32以上)，总计

有 125个，其中欧洲 55个，北美 37个，亚

太 31个，非洲 2个，分别来自 42个国家 /

地区。申请个数最多的是美国，35个。较

大的申请，有2个/22，来自日本。9月全球

IPv6地址分配数量为 2175*/32，其中分配

地址数量最多的是日本，2055*/32。

9月CERNIC共批复IPv4地址申请27个，

分配IPv4地址1021C，其中批准分配复旦大

学校园网256C, 中南大学校园网128C; 9月

EDU.CN域名注册13个，IPv6地址申请5个。

IPv6地址“井喷”：月申请数突破千位

NOC2010年 9月

2.5G线路再添广州至深圳

文/李鹏飞

2010年9月21日，新开通广州至深圳2.5G第三条线

路。

九月份 CERNET网络运行情况正常。由于 9月各地区

用户均已结束假期，9月上旬主干网及各地区流量曲线呈

上升趋势，中旬以后已达到 CERNET 正常使用水平；所

以整体曲线呈现持平的态势，运行平稳。

新开通广州至深圳 2.5G第三条线路是做为深圳节点

的备用线路。

图 1～2表示了 2010年 9月 CERNET 全网运行情况。

（本文作者系CERNET国家网络中心CERNIC负责人）

入流量：73.73G 出流量：79.07G

入流量：39.89G 出流量：34.21G

图 1 9月 CERNET流入/流出的主干流量

图2 9月国内互联流入/流出流量

图 1 各国家/地区 IPv6地址分配

1500 计量单位: /24-C

图2 CERNIC IPv4地址分配

200510 201009

1500 计量单位: /24-C

图4 CERNIC IPv6地址分配

200510 201009

250 计量单位: 个

图3 CERNIC EDU.CN域名注册

200510 201009

未命名-5 2010-11-08, 14:5135PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

36中国教育网络 2010.11

建设与管理 CERNET之窗

文/郑先伟

10月教育网网络运行正常，无重大安

全事件发生。10月微软发布了 16个安全公

告，再次刷新了微软单月发布安全公告个

数的记录，这些公告共修补了 49个安全漏

洞。用户应该尽快安装相应的补丁程序。

近期网络欺诈的投诉数量有所增多。

在处理钓鱼网站事件的过程中，如果管理

员的操作仅仅是简单地将钓鱼网站的文件

删除的话，在很短时间内这些钓鱼网站的

文件又会出现系统中。造成这种现象的主

要是因为被放置钓鱼网站的主机上还存在

木马后门程序，这些木马程序会实时监测

系统上的钓鱼网页文件，如果发现钓鱼网

页被删除就会自动重新恢复。要有效清除

系统上的钓鱼网站必须先把系统上的木马

后门清除，一个相对简单有效的办法是重

装系统。

病毒与木马

近期媒体炒得比较热的是超级工厂

（Stuxnet worm）病毒。实际上这个病毒在7

月份就开始在互联网上传播，并引起了严

重的攻击后果。但前期该病毒的传播重点

区并不在中国，直到上个月国内的用户感

染数量才逐渐增多。这个病毒利用了多个

系统漏洞（其中还有部分是属于 0day漏洞

的范畴）、局域网共享、移动存储介质等方

式进行传播。一旦成功感染用户系统后，病

毒会使用rootkit技术将自己挂载到系统核

心进程中，使得用户无法使用查看系统进

程的方式来发现病毒进程。同时病毒还会

自动连接到特定的网站上上传用户的系统

信息并接收网站上传回的指令进行特定的

操作，如搜索系统上西门子工控软件

（SCADA），并修改指令攻击工业系统（这

也是这个病毒被称为超级工厂病毒的原

因）。用户可以通过安装系统补丁、设置强

壮的共享密码、使用防病毒软件等手段来

防范该病毒。

近期新增严重漏洞评述

10月份的微软例行公告共发布了16个

安全公告，创下单月发布公告个数的历史

记录。16个公告中有4个是严重等级、10个

重要等级和2个中等等级，涉及的系统和软

件包括Windows操作系统、IE浏览器、Office

办公套件、Microsoft 服务器软件和.Net

framework中的49处漏洞。这里面漏洞多数

可以被利用来进行网页挂马攻击。用户应

该尽快下载相应的补丁程序安装。除了

Windows外，一些常用的第三方软件也发布

了补丁程序或者是新版本用来修补漏洞，

以下是我们需要尽快升级的第三方软件：

Adobe Reader/Acrobat发布 9.4版本，

修补之前版本中的多个漏洞

http://www.adobe.com/support/secu-

rity/bulletins/apsb10-21.html

微软 10月发布 16个补丁修复 49个漏洞

2010年9月～2010年10月教育网安全投诉事件统计

CCERT月报

Oracle 2010年 10月更新修复多个 Java

安全漏洞

http://www.oracle.com/technetwork/

topics/security/javacpuoct2010-176258.html

Oracle 发布补丁程序修补 Oracle数据

库 SQL注入漏洞

http://www.oracle.com/technetwork/

topics/security/cpuoct2010-175626.html

Realplayer 发布新版本修补多个漏洞

http://service.real.com/realplayer/secu-

rity/10152010_player/en/

Firefox浏览器发布最新版本修补多个

安全漏洞

http://www.mozilla.org/

以下是近期需要我们用户特别关注的

漏洞：

Windows嵌入式OpenType字体引擎整数

溢出漏洞（MS10-076）

影响系统：

W i n X P

Windows 2003

Windos 2008

Windows Vista

Windows 7

漏洞信息：

Embedded OpenType (EOT) 字体是为在

网页上使用而设计的一种小型字体。 这些字

体可以嵌入在文档中。这确保用户看到的

文档正是作者希望他们看到的形式。

Microsoft Windows Embedded OpenType (EOT)

技术分析特制嵌入字体中的某些表的方式

中存在一个远程执行代码漏洞。如果用户

使用管理用户权限登录，成功利用此漏洞

未命名-5 2010-11-08, 14:5136PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 37

建设与管理CERNET之窗

的攻击者便可完全控制受影响的系统。攻击者可随后安装程序；

查看、更改或删除数据；或者创建拥有完全用户权限的新账户。

漏洞危害：

该漏洞可以通过网页、文档、电子邮件等进行利用，可能会

被用来进行网页挂马。目前还未在网络上检测到相应的攻击。

解决办法：

目前厂商针对该漏洞发布了相应的安全公告和补丁程序，建

议用户尽快下载补丁程序安装。

http://www.microsoft.com/china/technet/security/bulletin/MS10-

076.mspx

安全提示

对于近期的风险，建议用户注意以下操作：

1. 及时更新系统补丁程序；

2. 安装正版杀毒软件，并及时升级病毒库；

3. 关闭不必要的系统共享，如果必须开启共享，请为

该共享设置强壮的共享密码；

4. 关闭系统的自动播放功能，使用移动存储前先用杀

毒软件查杀一遍；

5. 不要点击来历不明的网站链接，不要打开来历不明

的文章和邮件附件。 （作者单位为中国教育和科研计算机网应急响应组）

6NOC2010年 9月

文/王继龙

CNGI-CERNET2主干网路由无变化，运

行稳定。

CNGI-CERNET2主干网入 /出流量较 8

月有所上升，其中入流量环比增长 73%，同

比增长 1.76倍；均值为 18906Mbps；出流量

环比增长 73%，同比增长 1.79 倍，均值为

19003Mbps。

9月 CNGI-CERNET2出口流量较 8月有所

上升，入流量月峰值为2.204Gbps；出流量每

日峰值略高于入流量，月峰值为2.438Gbps。

从 9月的入流量分布图来看，北邮节点仍居首位，占到总入

流量的 20%，平均值为 3748Mbps，其次是合肥节点，占到总入流

量的 9%，第三位是北京、北大节点，各占到总入流量的 8%。

9月出流量分布图与8月基本一致，北邮节点出流量比例略大

于其它节点，北邮节点出流量平均值为 2670Mbps，占到总出流量

的 14%；西安节点平均值为 1685Mbps，占到总出流量的 10%；北

大节点平均值为 1677Mbps，占到总出流量的 9%；排在前五位的

节点还有合肥节点第四；北京节点第五；以上节点它们占到总出

流量的 49%。

主干网入与出流量环比增长 73%

（数据来源：CERNET2网络管理系统）

图3 主干网入/出流量汇总

图4 CNGI-CERNET2出口流量汇总

图1 主干网入流量分布 图2 主干网出流量分布

(本文作者系CERNET2 NOC负责人)

未命名-5 2010-11-08, 14:5137PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

38中国教育网络 2010.11

互联网已经成为信息社会重要的信息技术

设施，我们经济、社会和个人生活已经离不开互

联网发展，经过这么多年的建设，我们国家互联

网从起步到快速发展，应该说到今天我们可以成

为世界上互联网大国，但是我们还不是互联网的

强国。

工业和信息化部信息化推进司副司长董宝

青在“2010下一代互联网发展和应用论坛”上指

出，推进下一代互联网发展今后有很多工作要

做。为此，他提出了五个发展下一代互联网的

建议：

第一，要进一步营造好有关政策环境。

董宝青：迈向互联网强国五大建议

工业和信息化部信息化推进司副司长 董宝青

第二，要着力推进技术研发、突破关键技术，摆脱

我们核心关键技术受制于人的局面。

第三，要大力营造产业的生态链。大家知道互联网

是一个综合体，综合信息空间，我们要打造硬件产业、软

件产业、网络运营商、信息服务商等等良好生态环境，促

进我们技术快速产业化、商业化。

第四，要大力推进下一代互联网的应用，将原有的

应用迅速牵引到新一代互联网上，需要探索基于新一代

互联网上更多的层次，特别是新的技术的应用。未来将

会有更多的产品在互联网上展开。

第五，促进与国际的关系，加强国际合作，当然也

赢得我们国家自己应有的大国地位。

“2010下一代互联网发展和应用论坛”如期成功召开，来自互联网业界的专家和学者齐聚一堂，总结我国下

一代互联网的建设与应用，交流下一代互联网及其重大应用的基础技术和关键技术，为推动我国信息产业持续健

康发展提供了宝贵意见。会议也得到了博科、AMD、浪潮、锐捷、微软、神州数码等企业的支持，拓宽了下一代

互联网“产学研”之路。

教育部科技司副司长陈盈晖指出，世界上其

他国家已经开始或者实施下一代互联网发展，向

下一代互联网过渡已经成为中国互联网发展的迫

切课题。

首先，互联网的需求不断增加。我国网民规

模创出新高，截至 2010年 6月，我国网民规模达

到4.2亿，互联网普及率达到31.8%，使用手机上

网的网民规模达2.77亿。移动互联网展现巨大的

发展潜力，满足更多人群上网需求。同时，互联

网产业规模仍在不断扩大，2009年中国互联网市

场规模已达1834.5亿元。

其次，我国要走新型工业化道路，寻找新的

增长点实现跨越式发展，用发展下一代互联网为

契机，带动社会信息化投资，给网络制造业、信息

服务业带来巨大的发展空间，更好解决我国城乡

陈盈晖： 向下一代互联网过渡迫在眉睫

区域发展不平衡的矛盾，大力推进卫生、教育、社会事

业的健康发展。

第三，发展下一代互联网有利于增强高校自主创新

能力，我国下一代互联网技术研发瞄准国际前沿，取得

一大批创新成果。在此过程中高校的国际合作十分广泛，

已经参与下一代互联网核心研究、核心标准的实施。

第四，高校IPv6网络的实施建设推进了我国IPv6产

业化进程，使下一代互联网拥有大规模的用户群体，有

利于下一代互联网试验和应用。2010年 1月，百所高校

“校园网IPv6技术升级”子项目的网络部分改造完成，百

所高校在以IPv6为主的下一代互联网业务试商用及设备

产业化方面，取得了阶段性成果，正式从试验走向应用。

目前，IPv6的实施已经为国家培养出大量的互联网

专业人才，促进我国下一代互联网从技术实验向商用的

转型。

教育部科技司副司长 陈盈晖

建设与管理 IPv6

未命名-6 2010-11-08, 14:5238PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 39

教育网 IPv6的发展

任何新的方法、成就必须从实践中来，未来互联网

做什么，一定是解决自己的问题的。

1994年 CERNET成立，2001年，中国自然科学基金

网就开始考虑下一代网络，2002年中日 IPv6项目启动，

2004年，57位院士联名给国务院写信，八部委联合支持

建设中国下一代互联网。

CERNET实际是 IPv4的网，流量越来越大，成为中

国现在重要的基础设施，为什么？可以从几个数据来看，

第一，在全世界网络排序中，从单个网络自治域公布最

多的，第一名是中国电信，第二名是日本，教育网列第

27名。第二，学校的排名，中国有一个本科院校的排名，

一个研究生院的排名，我们也进行过教育网流量的排名，

而前五十名流量排名跟学科排名非常相似。我们经常跟

教育部领导沟通，高校有一些硬指标，如图书馆面积、藏

书、实验设备，但是有一个指标值得考虑，就是每个学

生平均上网带宽数、每个学生平均IP地址等等，将这样

的指标用到学校里，可能是更客观的。

另外，“211三期”正在进行中，国家投入二亿多经

费，将对 CERNET进行大的升级，除了拉萨和乌鲁木齐，

其他 CERNET的 34个节点城市，都会光纤直连。中国网

民已经达到4.2亿，列全世界第一，中国互联网增长普及

率也是逐步增长，但是能拿到的地址越来越少。中国地

址数、网络规模需要翻一番，互联网资源匮乏，下一代

互联网发展的紧迫性越来越大。

我参与了 CERNET在下一代互联网研究与建设的整

个历程。1998年，CERNET就开始 IPv6网络的探索和研

究，用基于IPv6 over IPv4隧道的技术（Tunnel）。

2001年我们建了中国自然科学基金网（NSFNET），

这张网上实现了两个第一，一是中国最早具有10Gbps链

路的网络，二是，中国第一个IPv4/IPv6双栈的网络。

到 2004年，由于 57个院士建议，国家

启动了 CNGI项目。顺便提一下，美国非常

重视 CNGI项目，把 CNGI项目看成中国在网

络上进行跨越的非常重要的战略决策。

IPv6的设计在创新中前进

2005年，CERNET专家委员会做了一个

非常重要的决策，即建设纯IPv6的网络。这

件事在当时国内、国外引发争议，但我们坚

持建设纯IPv6，并从而实现了若干个重要成

果。如由吴建平教授提出的真实源地址认证

（SAVI），基于IPv4 over IPv6隧道的过渡技

术(4over6)和基于IPv4/IPv6翻译的过渡技术

（IVI）。

在纯IPv6的讨论上，我们认为既然认定IPv6是方向，

就必须破釜沉舟，建双栈相当于“脚踩两条船”，没有促

进向 IPv6过渡的动力。

CERNET2开通仪式之前，在清华大学有一个月的产

品测试，即各个设备互联。结果，发现华为、比威无法

连通，中间加一个Juniper，就连通了。所以，在基础设

备上，我的观点是不能简单强调国内、国际设备，我们

的产品和设备一定要参与国际大竞争，互联网是一定要

国际化的。

另外，从复杂性来讲，我们的设计很极端。IPv6是

新生事物，必须让它逐步完善。简单的网络，什么问题

都暴露不出来。还有一个重要的方面是，教育领域的重

要职能是培养人才队伍。清华教授考学生有一个理念，

叫做教一练二考三，考试题目一定是作业没有见过的才

能把水平考出来，网络环境也是如此，只有复杂的环境

才能培养人。中国互联网人才基本上都是 CERNET培养

出来的，现在 IPv6人才很多都是 CNGI-CERNET2培养

“今天我们在建设 IPv6，究竟怎么做 IPv6，今后怎么做 IPv6？我想回顾

一下最开始做 IPv6想法，可能对未来怎么做有点经验启发。”

李星：建设 IPv6“三不变”

我们认为既然认定IPv6是方向，

就必须破釜沉舟，建双栈相当于

“脚踩两条船”，没有促进向IPv6

过渡的动力。

建设与管理IPv6

未命名-6 2010-11-08, 14:5239PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

40中国教育网络 2010.11

出来的。CERNET2是一个复杂的网络，因为复杂才能暴

露问题。要创新一定要不同，必须有一点新的想法，如

果循规蹈矩按照现有思路一定不能成功。可以想像，当

时这些设计理念还是面临重重压力的。

在 IPv4与 IPv6的过渡方面，我们最初的考虑是，

CERNET比较拥塞，是收费的，CERNET2轻载，又是免

费的。如果你想用高质量、免费的网络，就要把应用系

统从IPv4牵引到IPv6，这个确实起到很大的作用。现在

CERNET2 流量逐渐加大，遇到世界杯、奥运会等等赛

事时，IPv6的流量就会出现一些高峰。2008年奥运会第

一次开通 IPv6官方网站。2009年在中央音乐学院举行

了中国、美国、加拿大三地音乐会，通过 IPv6传递，高

清播放。

总结多年的IPv6建设经验，我认为简单把一个网络

升级为双栈，并不意味着过渡到IPv6。因为IPv6上的信

息和资源很少，应用也很少。

多少年来，我们一直探究一个问题：IPv6的杀手级

应用究竟是什么？这是非常好的问题。一开始大家都认

为是视频，然而实践表明，IPv4照样能支持视频应用。后

来大家认为是 P2P 应用，但现在的 P2P 应用可以穿透

NAT。究竟什么才是 IPv6的杀手级应用呢？我这么多年

的体会结论是，和IPv4互联互通才是IPv6的杀手级应用，

如果互联互通，那么所有IPv4资源就都可以成为IPv6的

资源。不幸的是，最早设计 IPv6太理想主义，他们认为

一个好东西大家就会选择使用。然而网络不一样，因为

网络的价值是用户数的平方。只有纯IPv6的用户数超过

IPv4的用户数，IPv6的价值才能体现。因此，必须解决

平稳过渡的问题。

中国对于过渡这件事体会太深了，从鸦片战争中国

人一直找救国的办法，最后发现问题的核心是过渡到理

想的目标。1949年以来中国也是各种各样的方法来摸索

走强国之路，最后十一届三中全会邓小平提出办法，后

三十年确实按正确的路线走，十一届三中全会最大的胜

利是找到了过渡机制。目标定了之后，就是寻找机制，现

在的 IPv6也是同样道理。

那么IPv6如何才能与IPv4互联互通，我们设计了一

个基于无状态的翻译机制IVI，这一机制分为无状态的一

对一转换和部分状态的一对 N转换两种，可以同时支持

IPv4和IPv6发起的通信。

三不变应对互联网面临的挑战

互联网目前面临的挑战，第一是IPv4地址耗尽的问

题，时间点是2012年3、4月份。最近我接到一封信，他

们说按照新出台的规定，实际到明年 2月份，IPv4地址

就分配完了。我还收到一封信，他说清华的C类地址，能

不能卖给我？因为现在允许IPv4的地址交易，他愿意出

五千美元购买。我算了一下，CERNET目前的 IPv4地址

按这个价格大概值三亿多美元。

第二是流量爆炸和经济模型的问题。

现在的热点有云计算、移动互联网、三网融合、智

能电网等等，IT概念推陈出新，变化莫测，有人会问，热

物联网的英文原文是“Internet

of things”，每一个温度计、每

一个电灯泡都应该配置 I P 地

址，这才是真正的物联网。那

么，可以想像，如果没有 IPv6，

特别是没有IVI技术，物联网的

发展将是有限的。

建设与管理 IPv6

未命名-6 2010-11-08, 14:5240PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 41

点不断变化，如何保证远见？我建议需要坚持三条保证

不变。

第一，解决实际问题不要变，把实际问题描述清楚

很重要。

第二，坚持 IPv6不要变。

第三，核心问题是过渡不要变。

比如云计算与IPv6结合起来的研究，IPv6的虚拟机

可以不同。我有研究生做了一个IPv6虚拟机的模型。他

的研究是让每个用户绑定一个IPv6地址，每个人都有一

个 80端口，那么在 IPv6的环境下，云计算就不一定套

用目前虚拟机的模型。

移动互联网的核心思想是永远在线，如果IPv4地址

不够，一个手机使用私有地址上网，要实现永远在线，必

须不断发送keepalive，带来能源的消耗、使电池两次充

电的间隔减少 2 0 % 。而使用 I V I 翻译技术不需要

keepalive，可以节省能源，延长待机时间。

物联网的英文原文是“Internet of things”，并非

很多传感器接起来，就能构成物联网。如果按照英文

的意思，每一个温度计、每一个电灯泡都应该配置 IP

地址，这才是真正的物联网。那么，可以想像，如果

没有 IPv6，特别是没有 IVI技术，物联网的发展将是

有限的。

当然，安全仍然是IPv6的一大挑战。IPv6最大的优

势是地址非常庞大，是 2的 128次方，然而 IPv6地址前

64位与目前IPv4的机制很相似，是为路由使用的，IPv6

地址的后64位有很大的想象空间，例如进行编码，传送

加密信息等。只是，这对安全是一大挑战。

国际形势与教育网的机会

前不久，美国政府投入了 6200万美元支持建一个

“100G社区网”。这是什么概念？这件事对全球科研网发

展的意义极其巨大。

我们知道，互联网最早在美国诞生，到1995年，美

国政府认为互联网技术已经成熟，于是决定将学术网的

国家经费的支持停掉，全盘私有化、商业化。从1995年

开始，美国政府每年缩减 20%经费，到 2000年，学术

网就没有国家资助的经费，都由各个学校凑经费、拉赞

助运行。2010年，美国政府通过反思发现，特别是奥巴

马上台之后推行的宽带计划，实际上落后很多国家，美

国终于认识到学术网还要继续支持，因此，从2010年美

国建设一个网络连接大学、科研机构、医院、图书馆等

所有公益性机构，而商业网并不能解决这个问题。美国

的同行在上个月的国际会议上很高兴地提到了中国的教

育网，中国教育科研网的建设费没有停，对美国是一个

很大的刺激，现在美国要迎头赶上了。

对于未来互联网的发展，美国政府的思路是很清晰

的。美国重视教育公益性网络，给予了大量经费支持，资

助美国科研教育网的多个项目。

这样的国际形势对中国来说是一个压力，也是一个

机遇。

在网络发展初期，国家对教育网的发展政策就确

立为：建设靠国家，运行靠自己，在网络运行上长期自

立。从 1997 年起，CERNET的运行经费就是由各个学

校分担，而到 2010年，整个的运行都没有亏损。早前

在亚太网络交流会议上，我谈体验，谈到教育网的发展

和运行模式。我讲得很得意，但会后很多人与我交流

中，认为中国的信息化没有希望，说：“你们教育网这

么重要，国家居然一点运行费没有出，说明领导没有远

见，不知道这是培养人。”我当时非常感慨，教育网一

直在依靠各个学校的力量分担费用，此后，在各个场合

上，我都坚持说教育网的运行费国家应该给，不应该只

给建设费。

（本文根据清华大学李星教授在2010下一代互联网发展与应用论坛上的

演讲整理）

2010年 9月中旬，“2010下一代互联网发展和应用

论坛”在北京大学举办。论坛为斐讯通信的信息化产品

提供了一个全新的交流和展示平台。借助该平台，斐讯

通信展示了具备面向未来转型发展先发优势的All IP数

据通信网络解决方案，使最终用户在任何时间、任何地

点都可以通过任何终端享受自由的通信体验。

斐讯通信从 2008年开始进入 IP数据通信领域。随

着社会信息化建设的全面推动，网络日渐成为人们生活

中不可或缺的一部分，IP数据通信的市场规模在不断扩

大。经历 3年多的发展，斐讯通信逐步成为IP数据通信

领域成长非常迅速的产品和服务供应商。目前，斐讯通

信的 IP数据通信产品已经涵盖了 Router、LANSwitch、

WLAN、Secu-rity & VPN、DataVAS、IntegratedVAS等

领域。

在互联网标准方面，斐讯通信已经通过全球IPv6论

坛组织的“IPv6 Ready”金牌认证，产品很多都全面支

持 IPv6，实现基于硬件的 IPv6线速处理性能。

斐讯通信受邀出席“2010下一代互联网论坛”

建设与管理IPv6

未命名-6 2010-11-08, 14:5241PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

42中国教育网络 2010.11

Q：建立 IPv6实验室的目的

是什么？

沈富可：早在 2005年，学校

成立了 IPv6实验室，是上海市教

科网 IPv6 实验室的研发中心之

一。现在最急需解决的问题是，我

们如何使IPv6网络为学校的建设

发展提供直接的支撑。从信息办

这个角度来讲，我们更多考虑的

是资源建设，如何为学校提供支

撑和服务。

对于 IPv6，我们首先需要清

楚它涉及到哪些问题，包括在日

常管理中碰到哪些问题，在资源

建设中遇到哪些问题。其次，IPv6

能够为我们解决哪些问题。在认

知它的过程当中，知道它能够提

供什么，不能够提供什么，在我

们下一次的选择中可以做更多

的，更宽泛的考虑。

“校园 IPv6试商用”应用推广沙龙

IPv6建设需积累点滴经验

主持人：

华南理工大学网络中心主任，华南地区网络中心主任陆以勤

嘉宾：

华东师范大学信息化办公室主任沈富可

暨南大学网络与教育技术中心主任王亚希

兰州大学网络中心副主任李仲贤

Q：从管理的角度看，开发

IPv6管理软件应注意哪些问题？

李仲贤：用户并不关心使用

的是IPv4还是IPv6，他们更关心访

问到的资源。技术部门可以进行

IPv4和 IPv6的转换。包括 IP地址

的解析，服务器的应用与开发，而

开发人员主要精力则应放在运营系

统本身的开发上。

陆以勤：从开发的角度，看看

这一应用属于哪一层。如果是业务

层的软件，基本上IP地址很少被关

注，那么就可以集中在功能和性能

的开发。假如这个软件涉及到IP地

址的转换，则需具体规划，进行地

址转换。

培养 100所高校的 100万用户

成为IPv6的忠诚用户并不容易，这

需要大规模的内容建设。由于IPv6

应用系统建设需要投入大量的工

作，但其本身却较少属于研究层

面，因此不容易引起高校专家和学

者的重视。

Q：如何推动 IPv6网络的发展，

学校纯 IPv6网络的发展情况如何？

王亚希： IPv6以其超大地址池以

及在安全性、可移动性等多个方面的改

进使其发展前景十分广阔。随着CNGI-

CERNET2纯 IPv6网络的成功建设与部

署，基于IPv6的下一代互联网络在众多

高校的校园网中已经得到了长足的发

展，并逐渐普及。以IPv6为基础的数字

化校园成为真正的虚拟校园，将对推动

高校教学科研发展也有重要意义。

暨南大学已经建成纯 IPv6 的网

络，用户已超过 300人。在 IPv6网络

上，学校主要补充 IPv4的应用。在教

学上，学校把部分大的系统进行迁移，

比如对校务管理、行政管理、一卡通、

门禁系统进行迁移，建设了12个系统。

另外一个关键的应用是在学生宿舍转

播电视，好的节目可以使用户数上升

到几千人。

李仲贤

陆以勤

沈富可 王亚希

建设与管理 IPv6

未命名-6 2010-11-08, 14:5242PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 43

文/本刊记者 周晓娟

有近百年历史的清华大学图书馆，一直以来十分重

视为广大师生提供了丰富的国内外文献信息。随着学校

师生通过网络利用图书馆资源和服务的需求不断提升，

清华图书馆在2009年底对逸夫馆和老馆的局域网进行了

改造，在 2010年上半年对文科新馆的局域网进行了规

划。在局域网的改造和规划过程中，清华大学图书馆注

重采用新技术，尤其是无线网络的升级改造明显提升了

图书馆服务。

“无所不在”的无线网络覆盖

2003年清华图书馆开始提供无线网接入服务，也是

国内较早开始提供无线接入的图书馆之一。但由于当时

经费有限，图书馆仅部署了十几个 AP点，分布在图书馆

的主要读者区。

图书馆于 2009年底对局域网进行整体改造升级。无

线网的全面部署和科学管理是这次网络改造的重点之一。

清华大学图书馆副馆长姜爱蓉表示：“面对越来越多的读

者使用笔记本电脑在图书馆上网的迫切需求，为读者提

供一个高速、流畅、稳定的无线网接入成为图书馆首要问

题之一。”

在 2009年的网络改造中，清华图书馆部署了近百个

AP，对图书馆的读者区域和馆员工作区域进行了全面覆

盖。考虑到无线 AP的最大接入数量和接入效果，在项目

规划期间和工程实施之前，清华图书馆的系统馆员和设

备企业的工程师对图书馆的具体情况进行反复勘测，最

清华图书馆：无线网络升级“教科书”专访清华大学图书馆副馆长姜爱蓉、系统部副主任陈武

未命名-6 2010-11-08, 14:5243PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

44中国教育网络 2010.11

终确定了最佳的 AP部署方案。在读者信息空间（IC）、

检索大厅等读者活动比较频繁的区域，部署的 AP 相对

密集；在一些相对来说读者较少的图书开架区，部署的

AP也相对较少。经过本次网络改造，清华大学图书馆实

现了“无所不在”的无线网络覆盖。

改造之后的无线网络规模比以前增加了 8倍，但无

线网络的管理难度反而有所下降。和早期的 FAT AP架

构不同，现在的清华大学图书馆无线网络采取的是 FIT

AP结构。IT部门可以利用集中管理功能，通过无线网络

控制器对整个网络进行集中管理。这样一来，降低了管

理难度，减轻了工作量，也让无线网络变得更为可控。图

书馆可以针对一些具体情况对无线网配置和部署更细致

的管理策略，例如在闭馆后自动关闭无线网络等，在安

全性、绿色等方面都取得了许多附加效果。改造后的无

线网络系统在近一年的时间里运行稳定性。清华大学图

书馆系统部副主任陈武介绍：“由于采用了双主控、互为

热备的无线控制器，使得无线网络的稳定性和安全性大

幅度增强。”从1月份起运行到现在，清华大学图书馆的

局域网和无线网络一直没有出现故障。

采用新技术助力未来发展

姜爱蓉介绍：“在网络化、数字化的新技术环境下，

图书馆正在由传统方式向现代化转型。数字资源在图书

馆提供访问的资源中占有越来越大的比例。”清华图书

馆建馆98年来，纸本馆藏达

375万册件。自20世纪90年

代末期以来，经过十几年的

发展，电子期刊达4.8万种，

电子图书达 250万册。2009

年全年到馆读者人次逾134.2

万，图书馆主页登录人次逾

707.2万。越来越多的读者通

过网络利用图书馆提供的数

字资源。

近年来的发展趋势表

明，音视频、多媒体课件等

媒体资源呈快速增加趋势。

这类资源的试用对网络的带

宽和流畅性都提出了更高标

准的要求。

建设中的清华大学文科新馆将在 2011年 4月正式

开馆。文科新馆采用性能更高的802.11n标准的无线设

备。基于802.11n的无线网络相对之前的标准在接入能

力与带宽性能上都有着大幅度的突破，性价比也日趋

合理，因此成为清华大学图书馆面对未来需求变化的

首选。

鉴于 2009年底改造后的无线网络具有较强的扩展

性，在文科新馆中只需部署相应的 802.11n无线 AP，而

无需增添新的无线控制设备。因此，清华大学图书馆的

整体无线网络方案不仅降低了部署、管理和维护的难度，

在一定程度上也节省了系统建设成本。

IPv4与 IPv6一体运维

中国的IPv6应用正在逐步发展。清华大学图书馆在

网络的升级改造规划中提出新部署的局域网要支持IPv6

和 IPv4双栈。中国高等教育文献保障体系（CALIS）也

正在推进IPv6的应用。清华图书馆的主页目前已经支持

IPv6 的访问。目前有些数据库提供商的电子资源通过

IPv6访问无需支付国际网络通信费用。

清华校园网的主干支持IPv6和IPv4双栈。目前图书

馆部署的有线、无线网络也都支持双栈运行，读者接入

无线网或有线网都可以访问所有IPv6的资源。图书馆的

系统管理员也能在同一个平台上对IPv4和IPv6应用进行

管理。

面对越来越多的读者

使用笔记本电脑在图

书馆上网的迫切需

求，为读者提供一个

高速、流畅、稳定的

无线网接入成为图书

馆首要问题之一。

建设与管理 无线网

未命名-6 2010-11-08, 14:5244PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 45

建设与管理网络安全

未命名-6 2010-11-08, 14:5245PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

46中国教育网络 2010.11

文/肖新光

反病毒产品的兼容性问题

除了文件监控、防火墙、浏览器防护的

潜在兼容性问题之外，在多款软件共存的

情况下，主动防御的兼容性问题尤为严重。

主动防御主要可以分为两个方面来看待：

1. 自我保护

多款安全软件都保护自己的监控点不

被修改，特别是使用了inline hook或者对系

统设备、内核对象、SSDT进行了 hook的产

品。类似安天Atool等Rootkit检查工具曾使

用过替换进程SSDT保证自己的hook不被修

改，但也导致使用SSDT hook的主动防御完

全失效的副作用。360安全卫士曾使用替换

SSDT的技术对自己的监控点进行保护，导

致与其共存的安全软件主动防御功能中关

于 SSDT的部分完全失效。

一旦发现自己的监控点被修改，则会

对监控点进行修复，也就是重新hook。这就

有可能导致多款安全软件反复争夺监控点，

或者 hook直接互相调用造成死锁，最终耗

尽系统资源，导致机器死机。

由于自我保护的存在，病毒感染安全

软件后，依然会被安全软件的自我保护所

保护，其他安全软件可能无法读取其内容

进行检测，或者可以检测，但是无法结束相

应的进程。

2. 恶意行为分析

一款软件出于安全角度考虑，不调用

被hook的原始API，则会导致其他软件在分

析恶意行为时，无法检测到该行为，进而造

成程序的行为序列发生改变，最终导致行

为分析误报或者漏报。

由于安全软件的某些行为和恶意软件

具有相似性，例如：对API进行的某些hook，

在多款安全软件共存的情况下，很有可能

一款安全软件被另一款报为病毒，这也是

一种误报。

为了保证自身进程的行为不被重复记

录或者对行为分析产生影响，安全软件可

能会对特殊 API的调用参数含义进行修改，

增加自身需要的标识，而这些标识可能会

造成后续的监控产生不可预知的行为，最

糟糕的情况就是导致系统蓝屏。

对于ring3与ring0结合判断的主动防

御，处于二者中间的其他安全软件对数据

的修改可能会造成ring0缓冲区的溢出（例

如：ring3的API挂钩通知ring0的驱动，需

要 26字节实际数据可能由于中间沙箱软件

的路径重定向被改为 27字节或者更多）或

者被截断，导致系统蓝屏或者漏报。

以上仅仅是主动防御潜在兼容性问题

的一部分，由于主动防御技术本身的复杂

度，在多款实用主动防御技术的安全软件

共存的情况下，兼容性问题就更容易出现，

也更加严重，这里说明的仅仅是一部分，不

是全部。

兼容问题对反病毒厂商的影响

兼容性是反病毒厂商的核心困扰之一，

由于反病毒使用大量的内核技术、驱动等，

一旦出现兼容性的后果，其所造成的影响，

要远严重于其他应用软件。同时反病毒产

品为了对抗病毒的一些自我防护机制，也

会使问题的处置变得比较复杂。因此，多种

反病毒软件之间冲突引发的问题要比其他

软件冲突问题后果更加严重。

兼容性冲突问题使反病毒厂商技术支

持的难度增大，由于环境的复杂性，问题变

得更加难以排查和处理。

特别是企业版产品，厂商承担着更大

的责任和支持义务，如果由于冲突性问题，

带来问题，对于问题的责任、后果的认定等

方面都带来较大压力。

同时，有的冲突问题由于需要厂商间

相互沟通才能解决，因此增加了支持压力

和解决用户问题的周期。

解决冲突问题的约定俗成规则

在实时监控技术在 Windows体系下刚

刚成熟时，能够提供相关机制的厂商不多，

监控点也相对较少，因此在出现兼容冲突

问题时，厂商之间可以相互改造和规避。后

来由于安全厂商过多，而监控点也在不断

增加，解决相关问题的复杂度已经超出了

每个厂商的个体能力。

因此在经历了大量冲突事件后，部分

主流厂商选择了从安装环节保证互斥的方

法。其具体操作是：在安装时检测用户系统

中是否有其他反病毒产品，如果有则提示

用户可能的冲突后果，并提示用户卸载。如

果用户不卸载，则明示用户共存后果，或者

选择自身不予安装。但先被装载到主机上

的反病毒产品，并不监控其他反病毒产品

的安装行为，以及进行提示。这就是约定俗

成的“后卸前”原则。

这种方法虽然影响到了一些用户让多

种反病毒产品共存的意愿，但其形成了一

个单向的逻辑，即后安装的有告知和卸载

的主动权，先装入主机的接受用户的选择。

这个过程是有一定合理性的：

杀毒软件江湖：排斥与兼容的战争（下）

建设与管理 网络安全

未命名-6 2010-11-08, 14:5246PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 47

通过互斥一定程度上解决了兼容性

问题。

保证了用户的知情权、选择权和自觉

权。用户是在被告知后果的情况下，做出了

符合个人意愿的选择。

用户在后一个反病毒产品的体验中，

如果觉得不如之前的软件，可以通过再安

装前一个软件的方法，重新选择之前的产

品。这确保了厂商之间的竞争基本上是用

户体验和效果的竞争，而没有赖在用户机

器上不走的情况。

但互斥性的方法，所带来的问题也显

而易见，那就是用户很难同时分享两个产

品的保障。而这对于地下经济产业链所驱

动的木马小众化、数量爆炸化的严峻安装

形式，只靠任何一个厂商的力量，可能都很

难保证用户安全。相关产品能够合理共存、

机制互补更符合用户价值的最大化。

目前的问题和建议

需要指出的是，尽管反病毒厂商之间

存在着长期的竞争，但主流厂商之间的技

术层次的互通，技术资源（如病毒样本）的

分享是一直存在的。加之管理部门、测评机

构、CERT组织等的协调和努力，各厂商之

间基本遵循了一些基础的原则。在历史上

较长的时间内，尽管出现过各种商业摩擦，

但一直都把兼容冲突作为期望回避的问题，

而不是作为竞争的筹码和手段。有关问题

的复杂化和扩大化是后期才出现的。

这说明任何没有明确行业规范为支撑

的原则，都是脆弱的。在“后卸前”的用户

自主选择链条中，只要有一家采用不良手

段（如通过反人机工程的方法，在竞争对手

产品安装过程中，给予多次提示，造成用户

一次选择不当就无法安装、或者安装后失

效等），保护自己所谓装机率，则会连带造

成被拦截的厂商进行报复，从而导致规则

被打破，形成恶性循环，最终导致通过恶意

构造兼容性壁垒和陷阱变成普遍性的行为。

因此，自然形成的事实标准需要形成行业

规范，才能具有权威性。

反病毒产品作为主机安全的核心屏障，

不仅要使用户远离安全威胁，也要保护用

户的知情权和选择权。尊重用户卸载意愿，

包括在保证稳定性基础上，尊重用户希望

多个安全产品共存的愿望，不仅是用户权

益的体现，也是厂商不怕被用户进行比较

选择的自信心的体现。因为这个行业之所

以前进，正是因为用户拥有不断尝试和选

择的机会，这是每个厂商的动力之源。

同时，我们需要意识到用户期望多安

全产品共存，是当前严峻的安全形势所催

生的真实需求。反病毒产品如果能提供更

多的定制选择，如提供行命令的扫描工具、

本刊讯 10月26日，惠普在国家教育部

召开了主题为“星校园、 新变革、兴教育”的

媒体沟通会，并在会上携手微软公司共同启

动了惠普“星校园”变革之旅全国巡展。

惠普表示，在未来一年时间内，双方将

深入到全国各省市地方，将其在教育行业的

创新解决方案应用到众多中小学和职业学校

中，率先打造一批“星校园”—— 即运用信

息技术大幅提升教学水平，优化教育模式，

成功实现教育变革的样板学校。

此次“星校园”变革之旅的核心目标旨

在通过树立“星校园”的标杆形象，将惠普、

微软在教育行业信息化发展经验和创新的解

决方案充分运用到全国各区域教育信息化进

程中。

据悉， “星校园”变革之旅启动后将首

先在华南地区推广。

惠普启动“星校园”变革之旅

需要指出的是，尽管反病

毒厂商之间存在着长期

的竞争，但主流厂商之间

的技术层次的互通，技术

资源（如病毒样本）的分

享是一直存在的。

提供扫描界面和监控机制（甚至不同监控

机制）的可定制安装，就能让用户在获得多

个厂商的检测能力的基础上，较少地付出

兼容性代价。如果安全厂商之间进一步强

化其互通体制和配置策略，未来能够支持

用户更灵活的定制多产品共存的监控策略，

则将创造一种更为理想的用户境界。

而主流操作系统厂商如果能对监控基

础给出更为丰富的接口和定义相应的规范，

包括保证公共安全接口统一嵌套化，则能

进一步降低发生冲突的概率。

当然，我们希望用户理解，只要反病

毒产品的实时监控和防御的使命存在，不

同产品之间的兼容冲突问题就必然存在，

不可能有终极解决之道。我们也希望传达

给用户的信息是大量安全厂商所研发的充

满不同个性的安全产品，是攻击者需要逾

越的一个整体代价。只有八仙过海、各显其

能的厂商个性存在，才能保证网络整体安

全水准。多个厂商的共存和竞争，是互联网

安全的基础保证。

(本文作者系武汉大学客座教授，安天实验室成员)

建设与管理网络安全

未命名-6 2010-11-08, 14:5247PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

48中国教育网络 2010.11

文/李红灵 纳文琪 左继蓉 张月芬

跟许多学校的网管老师在交流的过程

中发现，大家普遍对网站群管理平台如何

选择心存疑虑。最近在工作中，笔者也发现

了这个情况。那么，如何选择合适的网站

群，以避免日后更新升级的麻烦，是一个大

家都很关注的问题。

网站群的发展

在网站构建技术发展的过程中，网站

群也同样经历了不同的发展阶段，大致划

分为四代：

第一代为自然网站群：如学校建立了

自己的学校门户网站，随后下属单位也陆

续建设各自的网站，最后在学校的门户网

站上将每个下属单位网站链接到一起，形

成了自然的网站群，此阶段的特点是未经

规划，自然形成，各自独立。

第二代为从网站的栏目、页面风格等

方面进行整体规划，统一或分批实施，但各

网站的关系仍然在一个平面上，没有隶属

关系，且各个网站相互独立，信息不能共

享。此阶段的网站群的特点是外表统一，但

信息孤立，无法统一管理。

第三代为整合网站群，将分散在不同

物理位置的独立网站整合在一起，实现信

息的共享。此阶段的特点是，利用第三方公

司的产品，整合已经存在的众多网站。但这

样形成的网站群存在很大的缺陷，信息不

能充分共享、不能统一管理、不能统一升级

网站后台、不能做到整个网站群的联合全

文检索。

第四代为利用网站群内容管理系统，

统一规划、统一实施或分步实施，以解决第

三代网站群存在缺陷。此阶段的网站群的

特点是：所有的网站运行在同一个网站群

内容管理平台上，如云南大学 2005年采用

时光软件有限公司的Cicro 3e WS时光动态

网站平台v3.2，可以统一管理、数据集中存

储、智能化，解决了前几代网站群维护困难

且成本高的缺点。

网站群技术比较

通过表 1 的比较让我们一起来了解网

站群技术发生的变化以及核心内容。

2009年初开始我们就对TRS、时光、通

元和博达进行调研，经过试用发现各系统

仍然存在较多问题：

时光：软件开发较早，采用B/S加C/S

结构设计，操作界面简单、技术门槛低，但

网页的设计和修改比较麻烦，需要先用网

页设计工具完成页面框架，框架设计中还

满足一些规范，把页面框架导入时光的专

用设计工具，进行组件化，组件化完成后发

布到服务器。另外 v3.2还存在数据库代码

兼容问题、特殊字符的兼容问题、非 IE内

核浏览器兼容问题、IE v7.0以上版本的兼

容问题。多面向政府网站。

通元：采用B/S加C/S结构设计，模板

设计采用 Dreamwear中安装通元插件的方

式实现，管理界面结构清晰，组件形式不如

时光、博达丰富，但支持嵌入代码，论坛、

广告、评论、调查、问卷、博客、留言、打

分等互动功能较丰富，且支持第三方产品

的集成。同时拥有搜索引擎、网站雷达和网

页防篡改等实现信息的有效利用和安全防

护的辅助功能，这是其它厂家没有的。高校

案例较多，且集中在北京。

博达：采用纯B/S结构设计，向导式建

破解网站群系统选择之痛

站，组件丰富，模板设计采用浏览器内嵌

Dreamweaver完成，但对非IE内核的浏览器

目前不兼容，也许是不熟悉软件设计人员

的思想或是用户手册编写的问题，给人感

觉使用界面安排比较杂乱。论坛、广告、评

论、调查、问卷、博客、留言、打分等互动

功能均需要单独付费由博达进行第三方产

品的集成，内嵌搜索引擎和网站雷达功能，

没有网页防篡改。主要面向西安部分高校

和企业。

TRS：采用纯 B/S结构设计，网站设计

和内容部署灵活，但技术门槛高，基础平台

的费用是几个平台中最高的，且大部分组

件均需另购，不负责网站的设计和建设。

作为单一的内容管理系统 CMS，国内

外均有很多成熟和优秀的开源软件，例如.

net平台的We7cms系统和DotNetNuke，php

平台的phpcms系统和WordPress，java版的

OpenCms，asp平台的动易SiteFactory CMS。

选择之痛

高校最为理想的做法就是：有一只相

对稳定的研发队伍，长期有经费的保障；在

开源的 CMS平台上再集成国内外各种功能

的优秀软件，并在此基础上有针对性地进

行二次开发和长期维护，以保持平台技术

的先进性和不断变化的需求。但是具备这

样条件的学校毕竟不多，所以我们还只能

借助公司的力量帮助完成。在我们调研和

试用的过程中，国内的网站群系统有很多，

但却发现大多数国内软件都普遍存在以下

问题：

功能方面：你有我也有、你没有我也没

有；基本的有，特色的没有；例如 HTML编

辑器都有，但普遍都不好用。

建设与管理 网络安全

未命名-6 2010-11-08, 14:5248PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 49

性能方面：中小规模的单位可以满足，

大型规模的单位就不能满足；研发平台主

要以Windows、Linux为主，没有UNIX的研

发平台，软件的版本升级就没有针对性，多

数从Linux平台移植过来，没有经过研发阶

段的程序调整和严格测试，往往在使用过

程中才暴露很多问题。

稳定性方面：这是国内软件最为突出

的问题。国内软件项目过程不规范，导致重

视编码和轻视测试的现象，对于软件测试的

重要性、测试方法和流程等还存在很多错误

的认识。国内软件在投入市场之前没有经过

严格的测试，加上功能的不完善导致投入市

场后不断修改，又带出新的问题，新的问题

又造成系统的不稳定，在这方面几乎是所有

的国内软件都无法与同类国外产品相比。

兼容性方面：系统的兼容性不强，每个

系统都按照自己的标准和规范来设计，这

在我们做上述软件测试的过程中普遍存在，

例如非 IE内核浏览器的兼容问题；代码兼

容问题等等。

连续性方面：系统开发的前期没有进

行调研、需求分析和系统体系设计，研发过

程中没有精心管理开发，并及时作出调整。

产品急于上马，并想在短期内看到效益，没

有遵照软件工程的科学性，一旦一个产品

投入市场而没有马上收到效益，不是选择

完善和调整而是另起炉灶，和老的产品没

有半点关系，这样就导致产品没有连续性。

在有限的经费支持和现有的条件下，

我们已有那么多平台选择之痛，外加上国

内软件普遍存在的功能、性能、稳定性、兼

容性和连续性等共性问题，使得我们面对

那么多软件却无法选择，这也正是我们这

些多年从事高校信息开发和信息系统管理

的无奈之处。

思考和建议

造成国内软件这种现状的原因是多方

面的，需要我们认真总结。

软件技术和开发方法发展太快。1985

年以后，结构化编程已被面向对象编程

OOP 替代了，网络技术成熟，基于单主机

计算的开发方法开始向分布式 C/S 计算的

开发方法转移，然而却没有成熟的规范可

以借鉴。与此同时，计算技术发生重大变

化。进入网络计算时代，软件开发的目标是

提供Web 服务。应用开发以集成服务为主，

自行编码为辅，面向对象深化为构件接口

和接口的连接，通信协议成为编程的重点，

编写 XML 文档就是编写应用程序。短时间

第二代网站群技术

专有的网站群服务器，可独立部署；具有独立的网站群管理工具。提供强

大的批量处理、监控、生成、管理多站点的功能。

子站完全独立，具备完全能独立的数据库、文件系统，可下载到其他服务

器上独立运行。

专有的共享服务器，允许异构站点进行信息共享、同步与传递；开放的设

计架构，允许任何第三方CMS系统开发信息共享适配器以实现信息的不同

平台网站的异构共享。

使用 DLAP技术，实现各子站点的群内漫游、群内授权管理、群内 SSO单

点登录；可以整合其他系统到此统一用户管理系统中。

子站可以完全不受限制的扩展其他业务系统，包括数据库结构的扩展、业

务系统的第三方开发。

完全基于站群的从上而下的设计与架构，允许子站点部署在不同服务器，

服务器数量不限，根本上解决分布式部署的难题。

单站点系统提供数据模型的自定义，允许用户根据不同的业务需求对数据

格式进行自定义，从而实现简易的业务扩展能力。

独立站点发布，无论是静态信息还是更多交互功能，都可以发布到不同服

务器，从而实现完整意义的分布式部署。

第一代网站群技术

站群为CMS的附属功能或扩展功能，管理功能较弱。

子站点不独立，离开系统无法完整运行；有些系统生

成纯静态文件，静态文件部分可以运行，但动态交互

部分无法运行。

各子站点使用同一数据库，信息在系统内可以较好进

行共享，但其他外部系统无法实现共享与信息传递。

因为子站数据都在同一数据库中，不存在真正意义上

的SSO单点登录；群内用户管理可以较好实现。

同一数据库结构导致每个子站无法进行任何个性化的

扩展，只能整体进行扩展。

一般是从CMS内容管理系统发展而来，子站数据存储在

同一数据库，导致单服务器负载过大，子站数量受限。

一般不具备，或仅提供文章的有限字段的增加功能。

一般发布为静态HTML站点，动态交互部分还需要集中在

主服务器，形成很大压力；实际上是局部的分布式部署。

序号

1

2

3

4

5

6

7

8

产品特性

站群管理

子站独立性

信息共享

单点登录与统一用户管理

扩展性

大规模运营能力

业务自定义能力

网站分布式部署

内翻天覆地的变化造成了没有成熟的规范

和开发方法学的局面，使得国内的软件开

发更是无所适从。

市场竞争过于激烈。软件工程的实质

就是告诉人们如何精心管理开发，并及时

作出调整的决策，而不是急于求成。

软件工程教育的滞后。软件工程不是

理论科学，而是总结软件实践的技术科学。

它力图总结实践中的普遍规律，因而注定

滞后于工程实践。

网站群技术应用领域范围很广，高校

和企业应将此作为一个研发方向，这将是

高校数字化校园和电子政务的必由之路。

通过高校网站群可以：建立统一部署、统一

标准、统一规范、统一管理的“校务门户网

站群”是目前电子校务发展的新思路，即开

发利用“一群网站”的资源，建立以学校门

户网站为中心主站，以部门级网站及其应

用为基础支撑的若干子站，形成若干主站

与子站集成的网站群体系。这种建设思路

是高校发展的必由之路，可以对分散的教

学、科研、管理等核心信息资源进行有效的

整合，通过统一规划、统一部署、统一管理，

实现数字化校园的目标，在校内和各合作

单位之间实现资源互通共享。

（作者单位为云南大学信息网络中心）

表1 网站群技术比较

建设与管理网络安全

未命名-6 2010-11-08, 14:5249PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

50中国教育网络 2010.11

文/本刊特约编辑 胡运霞

云计算将创造一个新兴信息世界，也

是一个未知世界。面对这个世界，国际 IT

巨头的态度是结合与创新。基于传统的业

务，IBM、微软与谷歌对云计算做出了不同

的诠释，采取了迥异的战略，发展各自的商

业模式。本文将立足于三家公司业务特点，

结合它们的研发与财务特点，分析三家公

司在云时代里的位置。

IBM，一家引领主机时代，在互联网时

代转型，从容应对云时代到来的老牌公司。

IBM本身是计算机制造企业，2005年把个人

PC业务出售给联想公司的交易并不是其丧

失计算机行业的领先地位的迹象，而是IBM

转向边际利润更高行业的战略需求。在大

型机、服务器上，IBM无疑还拥有领先技术。

IBM 对边际利润更高的咨询与金融业务的

开拓，为云时代的中大型公司、政府构建云

平台业务奠定了基础。现在IBM是在全球范

围内开展业务，拥有全球技术服务（GTS,

Global Technology Service）、全球商务服务

（GBS, Global Business Service）、软件、系统

和金融服务五个业务分布的公司。

从表１中 IBM的业务收入情况可以看

出，IBM总体收入已经实现多元化，四个最

为重要的业务部门覆盖了 IT基础设施建设

到信息管理软件各方面。IBM最为重要的业

务部门是技术服务部门，提供 IT基础设施

建设和流程服务，在企业的流程服务上有

广泛的经验；软件部门是贡献收入第二位

的部门，能够提供从人力资源管理到资产

云时代地图IT界是一个容易让人充满不安全感的领域，面对云计算大潮，IBM、

Google、微软将如何应对？

管理的商用软件；商务服务本身提供的是

系统咨询服务；最后，IBM在存储方面也有

所涉及。这意味着 IBM 在构建企业云框架

时，对现在企业硬件、软件、整个系统架构

都有清晰的认识。

正是由于 IBM现在的业务模式，它总

结的构建基础架构云的四大关键要素是资

源整合、管理工作负载、流程自动化和优化

服务交付。云时代 IBM的商业模式不需要

很大的改变，仍然提供技术、商务、软件、

系统与金融服务，只是具体的服务内容，由

IT基础设施建设、资产管理软件变为构建、

表 1 2009年 IBM业务分布收入情况

注：

a: 全球技术服务,Global Technology Service, 提供IT基础设施建设和

商业流程服务;

b: 全球商务服务,Global Bussiness Service，提供程序外包服务，为系统整

合提供咨询服务；

c:软件，信息管理软件，技术和商业资产管理软件Tivoli，人力资源管理软

件 Lotus,操作系统；

d:系统和技术，为企业提供更好的技术能力，包括系统、存储、零售商店管

理、企业微电子；

e:全球金融，包括为客户提供的租赁和贷款服务，全球商业服务。

维护企业云。

与IBM的硬件出身

不同，互联网时代的微

软凭借 Windows操作系

统确立了市场地位。如

果云时代真的到来，对

微软之前销售软件盈利

的商业模式是致命的打

击。微软传统的业务是

Windows操作系统和商

业软件。在2010年，这

两项占到了业务收入的

70%，更是贡献了利润的 88%（见表 2）。微

软试图像谷歌一样通过在线广告和在线服务

来盈利，但目前的在线广告运行不敌谷歌。

以广告为盈利模式的“在线服务”业务部门

在 2010年财政年度则处于亏损状态。

2010年微软年报将引领云变革作为战

略发展方向。年报指出，在 2010年财政年

度，微软投入了 87亿美元的资金在云技术

相关的 R&D上面；为微软效力的四万名工

程师中，有 70%是从事云相关产品与服务

的开发。微软估计，到 2011年，将有 90%

的工程师为开发云产品工作。

建设与管理 案例展示

(资料来源：IBM2009年年报)

业务部门

全球技术服务a

全球商务服务b

软件 c

系统 d

金融 e

其他

总计

收入（百万美元）

37347

17653

21396

16190

2302

869

95757

收入占比

39%

18%

22%

17%

2%

1%

1

未命名-6 2010-11-08, 14:5250PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 51

建设与管理网络安全

目前微软提供的云产品是 W i n d o w s

Azure。Windows Azure在2009年10月推出，

目前没有明显的市场收效。对云时代到来

最为紧张的正是微软公司。云时代是微软

旧盈利模式的终点门，但云时代也为微软

打开了一扇窗。以微软 Windows客户的基

础，在新时代有先天优势。

微软的云时代战略地位并没有 IBM那

样清晰。微软有两方面的希望，像谷歌一样

以广大用户为基础发展在线广告，或者与

IBM相同为企业提供动态的商业解决方案。

微软 Bing搜索引擎的开发、操作系统Win-

dows Azure的推出代表了这两个方向。

谷歌的商业模式与前两者截然不同。

IBM的硬件，微软的软件，都通过产品的销

售，直接从用户获得收入。谷歌则是免费提

供服务，在拥有众多的用户后，从广告中获

取利润。2007年，谷歌有 99%的收入来广

告，其中 65% 是来自谷歌网站，另有 35%

来自谷歌网络网站。2008年、2009年该数

字下降微乎其微，占到 97%。其他 1%～3%

的收入主要来自授权。

谷歌是富于创新又充满危机感的公司。

在谷歌2009年的年报中，充满了对未来风险

业务部门

Windows操作系统 a

服务器 b

在线服务 c

商业软件d

互动娱乐 e

总计

利润（百万美元）

12,089

4,990

-2436

11,664

589

26,896

利润占比

45%

19%

-9%

43%

2%

100%

收入（百万美元）

17,788

14,878

2,198

18,909

8,114

61,887

收入占比

29%

24%

4%

31%

13%

100%

表2 微软的业务部门（2009.6～2010.6财政年度）

注：

a:Windows操作系统部门：操作系统，在线软件和服务，在线广告; b:Windows服务器，微软SQL服务器，Windows Azure和其他服务器;

c:在线服务：Bing, MSN,在线广告; d:商业服务：Office和微软动态商业解决方案;

e:互动娱乐：Xbox360平台

的担忧。尽管在搜索引擎上受到广泛认可，

谷歌仍然警惕来自雅虎和微软Bing的威胁。

对于97%以上收入来自广告的现实，谷歌认

为广告客户随时可能转向竞争对手。对于全

球业务，谷歌认为世界各国不同的法律条规

可能不认可谷歌的业务。谷歌在2010年大张

旗鼓地进行了多次并购，融合不同公司的文

化，吸收相应的技术本身也是一道难题。

谷歌确实应该担忧。微软和 IBM良好

的客户基础都是他们在云时代发展的基石，

谷歌服务的直接用户并不是其收入之源，

也并不能提供连续的支持。云时代的到来

似乎并不会导致Google docs的用户为谷歌

提供的服务付费。

可以说，在云时代谷歌的优势是广大

的用户基础，这个用户基础为广告收入提

供可能。如果谷歌想摆脱这种收入来源过

于单一的情况，需要开发更多的商用服务。

目前，谷歌市场部门还很稚嫩，谷歌没有与

IBM、微软匹敌的客户基础，服务器与信息

系统构建的技术谷歌也不及 IBM和微软。

所以，在云时代，谷歌也许不会转变商

业模式，而是延续目前的为用户提供服务，

从广告商获取收入的模式。

微软和IBM良好的客户基础都是他们在云时代发展的基石

资料来源：微软2010年年报

未命名-6 2010-11-08, 14:5251PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

52中国教育网络 2010.11

文/张新华

资源共享、远程办公是网络给现代社

会最大的贡献之一。在以科研教育为本职

的高校中，各种学术文献、教学资料及前

沿技术共享的重要意义，更显得尤为突出。

而高校网络环境又是较为特殊的环境，由

于内网主机容量大，往往组成了结构较为

复杂的校园网络。共享资源往往集中在图

书馆搭建的本校电子数据库，以及采用的

校外电子数据库中，形成校内资源共享的

格局。

校园网的壁垒

作为国内水利研究的排头兵，河海大

学的信息化建设也走在前列。早在网络技

术兴起之初，河海大学就着手建设以各校

区为基本单位、数据互通的校园网络，并

以此为基础开展校内信息化建设。建立了

图书馆电子书库、办公自动化平台等一系

列校内应用，并购置了各种期刊数据库资

源，支持广大师生的科学研究、教学及管

理工作。

为了保障应用的安全稳定运行，在建

设之初就限定了将这些应用平台、期刊数

据库资源只能在校园网内使用，避免受到

因特网上不安全因素的威胁。但在使用过

程中河海大学发现，这样的做法在提供安

全保障的同时，却也树立起了一道壁垒：住

在校外的教师或是出差的教师，使用的是

电信或是联通的互联网线路，无法访问使

用这些图书馆电子书库、期刊数据库以及

学校的办公自动化平台。教师们在校工作

时这些数据库与办公平台给予的助力非常

大，一旦无法访问，造成的不便可想而知。

安全延伸路在何方

近年来，VPN 作为移动点网络安全延

伸的应用越发普遍，河海大学在接受到教

师的远程访问需求反馈时，就将解决方案

定位到这种安全虚拟专用网构建技术之上。

现今的 VPN技术多样，就网络层次而言就

有 SSL VPN、IPSec VPN、PPTP、L2TP等多

种 VPN技术。但从使用的便利性、稳定性、

功能的多样性方面考虑，SSL VPN无疑是

一种最好的选择。

从教师方面考虑，使用的便利性应该

是考虑之重。IPSec VPN、PPTP、L2TP三

种 VPN 在用户的使用上，都需要通过客户

端拨号的方式进行，还需要进行较为繁琐

的配置。不仅会加大 IT人员管理维护上的

工作量，更重要的是会加大教师们上手的

难度，不易推广。

而 SSL VPN这种基于应用层实现的技

术，依靠的是浏览器中内嵌的 SSL VPN协

议，无需安装客户端软件和配置。教师在登

录 SSL VPN的时候，只需要如同日常登录

网银、邮箱一样，打开浏览器访问SSL VPN

登录页面，完成密码认证等身份校验，即可

成功登录，之后的使用就如同在校园内访

问一致。这样的 VPN建立方式十分切合教

师们日常的网络使用习惯，无论是使用还

是推广上都十分便利。

SSL VPN助校园网安全延伸

通过 SSL VPN建设方案的综合比对，

并参考其他兄弟院校的远程接入平台，最

终河海大学选择了深信服千兆级高端 SSL

VPN。将 SSL VPN以单臂模式部署在核心

交换机上，向互联网安全的发布办公自动

化平台、图书馆资源及期刊数据库资源。在

家或出差的教师可直接使用互联网线路接

入 SSL VPN，访问通过 SSL VPN所发布的

资源。

河海大学原有人事数据库服务器、Ra-

dius服务器，为了保证用户帐号的统一管

理，避免需要记忆多套帐号密码的麻烦，在

搭建SSL VPN平台时采用了Radius联动、人

事数据库服务器联动的方式设置用户认证。

同时，采用了软键盘、图形校验码、密码需

包含数字字母等安全策略加强认证的安全

性。而在保证接入主机的安全强度上，通过

客户端安全检查策略，规定了用户的操作

系统版本及补丁，避免了主机上的漏洞给

校内资源的安全防护开后门。

河海大学通过本次 SSL VPN平台的构

建，便捷地实现校园网的安全延伸。经过一

年多的实际使用，教师们普遍反应使用状况

良好，大大方便了在校外的工作学习。

（作者单位为河海大学信息中心）

SSL VPN使网络安全延伸应用了深信服SSL VPN之后，河海大学在家或出差的教师可直接访问学校所发布的资源。

河海大学是一所拥有95年办学历史，

以水利为特色，工科为主，多学科协调发

展的教育部直属全国重点大学，是实施国

家“211工程”重点建设的高校之一。

针对问题：教师需要在校外调研、在

家、出差等时候可访问到办公自动化平台、

图书馆资料库、大量教育网资源等校内应

用；IT管理人员在外需要可实时接入校园

网络中对各种网络设备进行远程的维护。

应用规模：于河海大学主校区部署深

信服SSL VPN高端设备一台，为教师提供远

程接入访问校内资源服务，为 IT管理人员

提供校内设备远程维护服务。

应用效果：

1. 教师可在校外接入校园网络访问校

内、教育网的各种资源进行办公、学习；

2. IT管理人员对各种网络设备进行远

程维护，保证校园网络顺畅运行。

建设与管理 案例展示

未命名-6 2010-11-08, 14:5252PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 53

文/祁玲

随着近年来高校的合并、扩建等，很多

高校的两个或两个以上校区都设置了相关的

业务部门，这意味着相关的业务系统要在不

同的校区之间互通，因此对校园网的整体

性、可控性、可扩展性均提出了更高的要求。

对此，赛尔网络利用自身技术优势，为

各高校构建既能满足近期实际应用需求，

又具有一定技术先进性的，以 IPv6为承载

协议的，高速、安全、可用、可信、可控、

可管的新一代多业务校园网，有效支撑数

字化校园的各种应用，促进校园网教学、科

研工作的发展。

在赛尔网络提出的新一代多业务校园

网的体系架构中，业务系统可以分为以下

几大类：

1. 教学支撑平台（教学资源系统、辅助

教学系统、协作学习系统等）；

2. 电子教务平台（办公信息系统、教学

管理系统、科研管理系统、学生管理系统

等）；

3. 科研平台（知识管理系统、协作支持

系统、研究支持系统等）；

4. 数字图书馆（数字图书馆、图书馆自

动化系统）；

5. 网络服务（学生上网、FTP、邮件、

DNS 等）；

6. 平安校园的视频监控服务；

7. 其他业务（一卡通、校园广播、校园

监控）。

由于业务系统是面向用户服务的，需

要有网络基础平台实现对其的硬件支撑，

不同的业务系统对网络支撑平台的要求也

有所不同。

比如对财务部门来说，财务系统要求

其他部门的用户不能访问，并且不提供因

特网的接口；对图书馆来说，则可以供学校

的某些部门访问，提供因特网接口。也就是

说，不同的业务系统有一个“隔离”的基本

需求，希望自己的系统可以运行在一个独

立的网络平台上，这样才可以满足其安全

性、可靠性的要求。

针对这种需求，传统的解决方式有两

种：一种是物理隔离，一种是逻辑隔离。可

是在实际应用中，这两种方式都各有其弊端。

如果采用物理隔离的方式，实现成本

将非常之高，特别是跨校区之间的城域网

链路，设备购买资金数额巨大。

如果采用纯逻辑隔离的方式，传统

VPN、ACL 和路由过滤基本上都属于静态

的部署方式，当网络需要改变时，比如需要

增加隔离新的业务系统时，实施非常复杂，

网络的可扩展性差。

为了降低整体 IT投资、简化管理，在

学校数字化校园的建设中，将各种业务融

合于同一网络，进行资源整合、网络虚拟化

是发展趋势。

那么如何才能真正有效地做到多业务

融合，满足不同业务的安全性需求？

赛尔网络通过反复论证及实践，针对

高校多业务现状，提出了基于 MPLS VPN的

多业务融合解决方案。

MPLS VPN主干网络只需使用统一的

网络就可以提供 M P L S L 2 V P N、M P L S

L3VPN、IP数据等服务，并且可利用 MPLS

相关的增强技术，为客户提供不同的服务。

由赛尔网络建设的下一代校园网的系

统构架可以分为三个层次，从底向上分别

为基础设施层、校园综合管理与业务支撑

平台、业务需求层，如图所示。

基础设施层包括有线与无线一体化的

网络，网络出口，数据中心等。校园网综合

管理与业务支撑平台一方面对校园网内的

基础设施进行管理，包括网络管理、用户认

证管理、计费与收费运营管理、资源管理

等，同时向上为数字化校园提供业务支撑

作用。业务需求层包括数字化的校园应用

系统，如教务系统、学习系统、学生管理系

统、教师管理系统等覆盖学生全生命周期

的各种系统等。

校园网是高等学校基础设施建设的重

要组成部分，是提高学校管理水平、人员素

质和办学质量的重要手段。在新的技术与

概念层出不穷的现阶段，如何利用快速发

展的下一代互联网技术，进行下一代校园

网建设，是各高等院校的迫切愿望。赛尔网

络致力于利用自身技术，在各高校现有校

园网的基础上，根据各高校应用的实际需

求与发展趋势，合理规划，建立起安全、可

运营和可信、可控、可管理的校园网。

建设新一代多业务校园网赛尔网络利用自身技术优势，为各高校构建高速、安全、可用、可信、可控、可管的新

一代多业务校园网，有效支撑数字化校园的各种应用，促进校园网教学、科研工作的发展。

建设与管理案例展示

校园网建设系统架构

向上支撑数字校园

各业务系统高效运行

认证管理

向下支撑校园基础

网络系统的稳定运行

基础设施

数字化教学

数字化科研

数字化管理

数字化生活

资源管理 网络管理 运营管理

有线网络 无线网络 网络出口 数据中心

业务需求

校园网综合管理与业务支撑平台(CNBOSS)

未命名-6 2010-11-08, 14:5253PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

54中国教育网络 2010.11

日前，联想 2U企业级服务器的旗舰产

品—— R525 G3正式对外发布并全面上市。

联想 R525 G3服务器集合业界最新技术成

果，是一款专为政府和大中型企业运行关

键业务应用负载量身打造的服务器产品，

并针对虚拟化应用进行了特别优化设计，

非常适合企业的整合虚拟化应用需求。

高可靠的安全保障

R525 G3服务器集成了符合国家标准

的可信计算密码模块 T C M（T r u s t e d

Cryptology Module)。TCM安全芯片是中

国政府唯一许可在中国大陆生产和销售的

核心密码模块，结合联想自主开发的数据

盾牌应用软件，为用户提供 U盘无忧、个

人/多人文件加解密、文件保险箱等功能，

可以有效保证用户的机密信息不被窃取、

保障数据和系统不被非法破坏，并获得国

家密码管理局、国家安全部等国家权威部

门的认证，为企业构建安全可信赖的计算

环境。

R525 G3服务器采用全冗余设计。最大

支持16块2.5寸热插拔硬盘，容量最高可达

32TB，并可通过具有独立的背板和供电系

统的双硬盘模组，实现SAS RAID0、1、10、

5、6等多种灵活的数据冗余备份形式，全

方位保障企业的数据安全；最大支持8个系

统风扇，可实现全部冗余配置，随时解决散

热问题；支持770W 80+金牌标准的 1+1冗

余电源，保障系统供电不间断。

易用易管理降低成本

针对政府和大中型企业IT系统日益庞

杂、管理难度不断提升的现状，联想在

R525 G3服务器中为用户提供了慧眼五高

级版监控管理系统，并增加 DIT（Doctor

Inside Technology）开机故障自动诊断技

术，充分降低了服务器日常管理维护的难

度，简化了服务器管理流程，降低了系统

总体拥有成本，为用户创造了轻松的使用

环境。

R525 G3服务器搭载的慧眼五高级版

监控管理系统，支持IPMI 2.0规范，无论操

作系统状态如何（正常、宕机、非主流操作

系统），只要电源供电，就可以通过网络直

接和被管服务器交互，获取服务器硬件健

康信息和事件；无论操作系统状态如何，都

可对服务器进行批量开关机、重启、远程激

活 ID灯等；支持资产配置、资源使用、性

能信息、进程信息的远程管理，可对关键部

件设置阈值进行预警，支持邮件、颜色变

化、告警弹出等报警方式。

为帮助用户准确判断系统故障类型和

原因，R525 G3内置了联想独创的DIT故障

自诊断技术，可明确实现对 CPU/内存 /硬

盘/网卡/风扇/温度/电源等关键部件的故

障诊断，结合系统布局图，可快速定位故障

部件，极大地缩短了故障判断过程和修复

时间。

节能环保是亮点

R525 G3采用多种静态能耗优化设计，

降低系统自身能耗；通过选用转换效率更

高的 VR 电路设计，有效提高了 CP U、内

存的供电效率，在降低系统散热量的同时

降低了系统额外功耗；电源高转换效率设

计，电源转换效率最高可达 90%，极大降

低电源自身的热功耗损失；并可选低电压

处理器。

在动态能耗方面，采用了多种优化设

计的R525 G3同样毫不逊色，大幅降低了不

同负载情况下的能耗。

R 5 2 5 G 3 支持

L E C O T 能耗优化技术，

实现系统的动态按需供

电；实时监控系统的任

务处理情况和 CPU 的使

用率并调整 CPU的供电，

有效降低系统低负载状

态下的功率消耗；实时

监控系统能耗，能耗封

顶设置达到能耗优化目

的；IFSC智能散热设计

可根据系统温度变化调

整散热风量，降低低温

状态下的散热功耗，达

到智能散热的效果。

联想 R525 G3服务器整合虚拟化应用

建设与管理 案例展示

未命名-6 2010-11-08, 14:5254PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 55

华南地区某大学城位于广州市番禺区

新造镇小谷围岛及其南岸地区，是国家一

流的大学园区和华南地区高级人才培养、

科学研究和交流的中心。近期，为了解决有

线网络无法提供时时移动接入网络的难题，

该大学城内五所高校决定在全校范围内部

署无线网络以实现全面的网络覆盖。在大

学城与运营商接洽、共同探讨的过程中，由

摩托罗拉无线网络解决方案部提供的无线

网络解决方案成为他们的共同选择。

多用户、多应用是挑战

大学城具有覆盖面积广、用户人数多、

数据传输量高等特点，因此，大学城内各高

校要求所部署的无线网络必须具备高度的

安全性、稳定性和优质的传输性，从而使学

生在大学城内各个角落自如地畅游网络，

这是大学城无线网络部署工作的重中之重。

其次，由于大学城网络系统拥有学生内部

网、课件平台、教育网、大学城资源网以及

互联网等不同的接入形式，无线网络系统

必须能根据教职工和学生的身份不同而设

定不同的上网权限和计费方式，并可允许

大学城内各高校实现网络互联与资源共享。

第三，由于大学城内部分高校承担了 2010

年广州亚运会部分体育项目的工作，该无

线网络设施还必须能够与这些高校的体育

场馆进行无缝连接。

摩托罗拉无线网络解决方案

摩托罗拉无线网络解决方案由摩托罗

拉 RFS7000无线交换机和 AP300接入点组

成。根据校园建筑的功能，无线网络解决方

案主要依据宿舍楼和教学楼两种场景来设

计，这也是因为在这两种类型的建筑中，网

络部署和信号覆盖各有不同的需求。在面

积逾 40平方公里的大学城区域内，运营商

仅在五所高校的学校教学楼、图书馆、学生

活动中心、食堂等建筑内部署了 4 0 多台

RFS7000与 5000余个 AP300，就使无线信

号覆盖到了校园的每个角落。

高校宿舍区域对网络的使用频繁且集

中，因此，对这些区域的信号覆盖要较为全

面。摩托罗拉与和新技术人员在走廊位置

布放 AP300，每个 AP覆盖 3～4间宿舍，可

供15～20个用户同时使用。这些AP通过网

线连接到网络机柜交换机 RFS7000，由交

换机提供远程供电。

摩托罗拉无线网络为这五所学校的教职

工与学生随时随地高速接入网络提供了极大

便利。技术人员现场测试结果显示，在不限

带宽情况下，这些场所的网速高达10 ～20 M，

不仅能完全满足教职员工与学生现在对无线

网络的需求，也可在未来满足他们对视频、游

戏等高宽带、高流

量网络的需求。

和新技术工

程师彭彬说：“摩

托罗拉设备具有

业界领先的优异

性 能 ， 比 如

RFS7000 无线交

换机，它专为大规模、高宽带部署而设计，

可支持5000～50000部移动设备，最多256

个802.11a/b/g无线接入点，或最多50个802.

11n无线接入点，这都是一般交换机难以做

到的。在无线网络安全方面，摩托罗拉

RFS7000 拥有基于 MAC 地址的身份认证、

无线入侵检测、安全来客访问以及摩托罗

拉AirDefense无线入侵防御系统等一系列

安全特性，可有力确保大学城内部信息的

安全。”而在网络管理方面，摩托罗拉无线

网络能和校园网中心的认证系统进行无缝

连接，并能依据用户的身份信息对用户进

行分组，赋予不同的用户组不同的访问权

限和灵活的计费方式；而解决方案中所有

的 A P 3 0 0 都无需进行单个配置，均是由

RFS7000系统进行统一的配置管理，瘦 AP

通过安装在运营商核心机房的 RFS7000接

管，连接到 RFS7000上，可自动下载网络

策略、安全策略、访问策略等配置文件，摩

托罗拉的这些优势赢得了运营商和校方的

高度认可。

摩托罗拉构筑华南无线大学城

行业

典型应用

摩托罗拉无线网络业务解决方案

解决方案功能

获益

教育

中国华南地区某大学城

AP 300

RFS 7000

无线网络技术

满足满足师生随时随地接入无线网络的需求

减轻高校行政和IT管理机构的工作量

为亚运会承办场馆提供高速无线网络

建设与管理案例展示

未命名-6 2010-11-08, 14:5255PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

56中国教育网络 2010.11

文/王庆顺

“班班通堂堂用”是教育部继“农远工程”后对教育信息化提

出的新的要求，在2007年至2009年连续三年的教育部工作重点中

都提到要“积极发展中小学现代远程教育，努力推进班班通、堂

堂用，让广大中小学学生共享优质教育资源”，可以说，“班班通

堂堂用”是我国教育信息化发展的一个重要阶段。

以学校为单位成本高

从 1999年全国进入大力普及教育信息化的阶段算起，我国的

教育信息化建设已经历了十余年的历程。2003年 9月，国务院召

开了全国农村教育工作会议，下发了《国务院关于进一步加强农

村教育工作的决定》(简称《决定》)。《决定》明确提出“实施农村

中小学现代远程教育工程，促进城乡优质教育资源共享，提高农

村教育质量和效益”。根据《决定》的指导精神，教育部、发改委、

财政部共同实施了农村中小学现代远程教育工程，并采用三种模

式向全国推广：教学光盘播放点模式、卫星教学收视点模式、计

算机教室模式。

当前主流的班班通解决方案多是以学校为单位，基于校园闭

路电视网络、计算机信息网络的综合性网络系统，将多路教育电

视节目特别是现代远程教育卫星节目和计算机 IP数据信号直接输

送到各个教室和功能室，也可以将摄像机信号连接进行现场直播，

从而构建一个小型校园教育电视台。

经过多年的实践，这种以学校为建设单位的方案也逐渐显现

出很多问题，难以满足市场的需求，特别是在中西部地区或者欠

发达地区，更是难以推广。这种方案存在问题如下：总体成本高，

比如，某市有 2000所中小学校，如果每个学校都单独建设班班通

系统，这就意味着要建设 2000套卫星接收系统、闭路电视系统和

流媒体系统，从整体成本来算，这无疑是一笔不小的投入，而且，

设备分散部署在每个学校意味着昂贵的维护成本；维护成本高，

无论是卫星接收设备，还是计算机设备，都需要专业的维护人员，

每个学校单独建设系统，需要消耗大量的维护人员，维护成本也

大大提高；使用复杂，农村学校 80%左右的教师缺乏基本的信息

技术技能，不会使用复杂的卫星接收设备和计算机，多媒体辅助

教学更无从谈起；另外，各个学校单独建设的系统可能成为信息

孤岛，难以实现县市范围内优质教学资源共享。

奔流方案以县市为单位

UT斯达康一直关注中小学远程教育市场的发展并大力研发

以县市为单位

奔流IPTV解决方案只需要在每个县市

建设一套卫星接收系统和一套流媒体系统，

就能节省资金的投入。

UT斯达康奔流方案提升教育效益

所谓班班通，就是学校每个教学班的装备都基于网络环境

下，以投影机或者电视机为终端显示设备，每个班级都能同时

上网、网络和教学资源共享、演示课件、现场直播、收看电影

电视节目等。“班班通”在给学校带来教育装备条件改善的同

时，更带来教师教育思想观念的改变和教育教学方式的改变，

为学校教育教学改革注入了新的活力。

建设与管理 案例展示

未命名-6 2010-11-08, 14:5256PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 57

相关产品。最近几年，UT 斯达康推出了基于 IP 城域网的奔流

（RollingStream）中小学远程教育系列解决方案，重点是“班班

通堂堂用”解决方案。奔流中小学远程教育解决方案是基于

IPTV技术并充分考虑中小学远程教育市场需求的电信级产品，

是成本低、功能强、易使用、易监管、安全性高、可大规模推

广的中小学现代远程教育解决方案，能配合政府推动“班班通、

堂堂用”工程，促进城乡优质教育资源共享，提高农村教育质

量和效益。

奔流（RollingStream）“班班通堂堂用”解决方案具备如下特

点和优势：

1. 基于IPTV技术的电信级系统平台

真正电信级系统平台，可为客户提供有电信级质量保障的高

可靠性、高扩展性的服务；

采用专利技术的高性能流媒体处理平台，具备大规模、多级

部署能力和实际部署经验；

采用端到端的 IP技术，架构简单、扩展性强、灵活度高。

2. 节省投资、维护方便、使用简单

传统班班通方案需要每个学校安装一套卫星接收系统和流媒

体系统，而奔流 IPTV解决方案只需要在每个县市建设一套卫星接

收系统和一套流媒体系统，就能大大地节省资金的投入；

系统设备的集中管理、卫星接收站点的减少（每个县市只需

一套）意味着维护成本的降低，同时，系统设备和终端设备可以

通过网络进行监控和维护，也大大降低了维护成本；

教育行业的一个比较突出的问题是信息技术人才的匮乏，特

别是在中小学校，老师、学生应用信息技术的能力普遍很低，在

使用 PC等产品的过程当中出现硬软件故障的频率特别高，学校自

身很难承受这样大的维护服务的压力，而 IPTV的业务终端主要是

TV，使用非常简便。

3. 功能强大、且容易融入到日常教学

奔流 IPTV班班通解决方案，具有信息量大、覆盖面广、方

便快捷、生动直观等优势，在同一时间内可以对不同空间进行

“点播式、交互式和现场直播式”教育，最大限度地实现教育资

源共享；

系统特有的EPG分组、内容分组功能也可以为每个区、县、信

息中心、学校、教师、学生区分不同的 EPG用户界面和内容，满

足各类用户的差异化需求，同时也可以满足学校拥有本地存储及

学校之间内容共享的需求；

系统首创推出的电视回看(Time-shifted TV)功能，可以随心所

欲地对直播频道进行暂停、2-32倍速前进或后退，可以对远程教

育内容进行反复学习或反复欣赏直播节目的精彩内容；

系统除了接收固定的三套教育节目，还可以方便地增加本地直

播频道达到本地资源共享的目的，并且可以将优质的节目录制下

来，保存在本地服务器存储，丰富教学资源，供日后随时点播观看；

奔流解决方案支持 STB+TV 和 PC Client 两种业务终端，

STB+TV 可以部署在普通教室或者多媒体教室，作为教学辅助系

统，PC Client可以安装在老师办公室或者多媒体教室，作为教师

和学生的培训系统。

4. 支持全方位、立体式的安全策略

内容安全策略：通过独有的切片技术，确保内容存储安全，防

止内容丢失；通过内容加密机制，防止内容被非法篡改；通过内

容审核机制，确保内容安全；

系统安全策略：服务器之间，以及和终端之间的通讯都进行

加密传输，确保安全；任何终端只有经过认证才能接入系统网络，

确保终端接入安全；强大的网络管理平台可以对各种网络安全事

件通过多种形式进行及时报警；

部署安全策略：通过多种部署技术手段确保服务器、网络

设备的访问安全；系统自身支持分级密码、ACL 等多种安全功

能；强大的数据库技术以及先进的数据备份技术确保核心数据

安全；采用强大的数据库技术以及先进的数据备份技术确保核

心数据安全。

奔流IPTV解决方案广泛应用于中国大陆、台湾、印度、日本、

巴西、斯里兰卡等国家和地区，是全球超百万用户规模的商用解

决方案。

建设与管理案例展示

基于 IPTV技术的奔流中小学远程教育解决方案也已经在北

京、四川阆中、安徽滁州等地成功部署。

其中，在阆中部署的系统就是典型的班班通堂堂用解决方

案。系统网络部署如图。

系统采用分布式架构，在阆中教委信息中心建设中心节点，

在79所中小学建立边缘节点，支持近1700个终端的接入，每个

学校既可以从信息中心中心节点存储、接收内容，也可以在学校

本地边缘节点存储和发布内容，并可以与其它学校进行内容共

享；系统中心节点提供3套电视直播，除了2套教育台电视直播

外，还支持1套

现场教学直播，

并以组播方式

下发至各边缘

节点，所有频道

都支持奔流系

统特有的“电视

回看”功能；系

统还提供多路

虚拟频道和VOD

点播功能。

应用案例

未命名-6 2010-11-08, 14:5257PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

58中国教育网络 2010.11

文/李瑞

“锐捷网络NPE网络出口引擎的使用，

解决了我校网络出口设备性能与校内用户

规模和需求不断增长的矛盾。从实际在线

数据来看，NPE 的使用大大提升了我校网

络出口的带宽实际利用率，NAT 地址转换

问题也得到了解决。”华南农业大学相关人

士表示。

建设背景

早在 1996年，华南农业大学便开始

建设校园网，当时通过 10M线路接入教育

科研网；1997年，采用 100M光纤链路为

主干实现光纤联接到部分办公楼和图书

馆；2000年，升级到 1000M主干网络，并

开通首期学生宿舍试点网；2002 年对部

分设备进行了升级调整；2007 年华南农

业大学进行整网万兆的改造升级，并与锐

捷网络携手打造了十万兆产品应用的万兆

校园网。此次改造升级一共采用了四台

RG-S8610，数十台 RG-S3760和一千多

台 RG-2100系列接入交换机，并在全校范

围内启用基于 R G - S A M 系统的接入认证

解决方案。

网络出口遭遇性能瓶颈

升级之后，骨干网升级为10G网络，学

校重要区域到服务器群和出口路由器均为

万兆链路；在多核心、圆锥形骨干网的设计

下，学校重要区域到服务器群和出口均只

有1跳路由；通过四层架构，区域汇聚双归

属设计，从架构上充分保证网络的稳定、可

靠；而全网的统一身份认证，基于 SAM系

统的用户管理，以及符合学校特色的大量

二次开发。

华南农业大学校园网共有信息点近40,

000个。万兆骨干网的升级，使得校内流量

剧增，这对出口设备形成了强大的冲击。学

校原有网络出口设备为思科路由器，分别

连接 CERNET、CNGI-CERNET2、电信三条

广域网线路（教育网 1000M、电信 100M）。

出口路由器在承担策略路由的同时，还要

开启 NAT（网络地址转换）功能。出口路

由器超负荷运转，在网络高峰期，CPU负载

普遍在 60%以上，在校师生普遍反映上网

速度慢，严重影响科了学校的科研、教学、

管理等工作的开展，网络出口的改造迫在

眉睫。

出口网络解决方案破茧而出

在此次网络出口的改

造中，校方希望既能解决

当前存在的出口瓶颈，也

满足未来的发展需要。因

此，校方要求出口改造后，

出口带宽能继续扩容，电

信出口带宽要从 100M升级

到 300M，教育网链路升级

为10G链路，动态带宽最高

为 1.5G；出口流量要可视

化，能清楚地看到多少用

户在使用哪些应用，每种

应用占用了多少带宽资源；

同时，能合理分配出口流

量，保证科研、教学、管理

等关键应用，分时段限制

P2P应用流量；更要有完整

建设与管理 案例展示

华南农业大学：冲破出口瓶颈使用了锐捷网络NPE网络出口引擎之后，华南农业大学的网络出口性能提

升至原来的3.7倍。

图2 P2P应用控制效果

图1 全网应用识别情况

未命名-6 2010-11-08, 14:5258PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 59

的出口日志，有一套高效的日志管理系统

对出口设备的 NAT日志进行收集，且利于

事后快速查找。

经过与学校老师多次沟通，并且内部

反复论证，锐捷网络提出了“锐捷网络出口

网络解决方案”。

在该方案中，策略路由与 NAT功能分

离。采用锐捷网络专用的出口设备 R G -

NPE承担 NAT转换的重任，从而提升出口

网络整体 NAT性能；增加锐捷网络专用的

应用带宽控制设备 RG-ACE，智能识别出

口各种应用，并监控各应用带宽的占用情

况，为制定动态的带宽分配策略提供数据

依据；同时，采用应用带宽控制设备 RG-

ACE，实施动态带宽分配，控制 P2P 应用

对出口带宽的过量占用，保障关键应用的

带宽分配；更部署功能完善的日志审计系

统 R G - e L o g，与现有认证计费系统 R G -

SAM进行联动，提供基于实名用户的访问

建设与管理案例展示

本刊讯 日前, 新疆医科大学对外宣布，将与国内知名的网络

解决方案供应商锐捷网络联手打造国内最大规模的802.11n无线校

园网。这也标志着锐捷网络的新一代高速一体化无线产品开始领

跑国内802.11n应用。

为了适应未来校园的多业务应用发展趋势以及移动终端的互

联网应用需求，新疆医科大学在经过长达两年的技术选型后，最

终选择了业界最为先进的万兆一体化无线控制器产品和 3X3 MIMO

的802.11n的无线接入点来组建校园无线网，以确保无线网络能够

有效覆盖校园每一个角落。

据相关人员介绍，由于新疆医科大学占地面积大且校舍分布

广，无线 AP的前期规划是项复杂的工作。经过长达半个月的详细

地勘和方案设计，最终采用了 800台锐捷网络的智能型 AP和 5台

万兆一体化无线控制器。其中，480台用于校园网无线覆盖，320

台用于新疆医科大学附属医院的无线覆盖，5台万兆无线控制器通

过集群和热备技术来保证如此大规模网络的稳定可靠。

值得一提的是，锐捷网络的远端智能感知技术将应用到本

次新医大的无线部署中，远端智能感知技术是锐捷网络针对瘦

AP架构下无线控制器存在单点故障问题而开发出来的一种容灾

日志记录与审查，以符合公安部的日志记

录要求。

改造后性能飙升至3.7倍

经过出口网络升级后，CERNET 双向

出口流量由切换前不足400Mbps，到切换后

的 1500Mbps，出口性能提升至原来的 3.7

倍！同时能准确识别网络中的应用，合理

分配带宽，并详细记录基于实名的访问日

志记录与审查。

应用控制引擎RG-ACE能准确地识别全

网各应用的带宽占用情况，实现基于应用、主

机、用户的带宽占用情况的图形化统计。

在没有开启 P2P应用控制的时候，迅

雷的流量达到了1.25Gbps，当启用了P2P应

用控制后，有效地限制了P2P应用过量占用

带宽（迅雷被控制在 80Mbps以下），更有

效提高 HTTP 应用带宽比例。

RG-eLog日志管理系统，能够准确地

记录全网所有用户的实名上网记录，包括

NAT记录、URL记录以及带宽流量记录，方

便网络中心管理者快速、直观地进行全网

访问行为审计及用户带宽流量监控。

在整个出口网络解决方案中，R G -

NPE 网络出口引擎的使用，解决了华南农

业大学网络出口设备性能与校内用户规模

和需求不断增长的矛盾。从实际在线数据

来看，RG-NPE 的使用大大提升了网络出

口的带宽实际利用率，NAT 地址转换问题

也得到了解决。

RG-ACE 应用控制引擎解决了学校出

口网络被P2P应用恶意占用，影响办公等正

常应用的问题。从实际在线数据看来，ACE

的使用大大提升了学校网络出口的带宽利

用率，保证了关键业务的使用。在校师生不

再苦恼于网络的速度太慢，网络体验较之

改造前，有了极大的提高。

技术。

据锐捷网络无线产品经理介绍，通过采用支持本地转发架构

的 AP和无线控制器,使得 AP与无线控制器之间的数据流和管理流

相分离，当无线控制器出现负载过大、攻击等原因宕机时，AP能

够自动感知到无线控制器的状态变化并将原来的瘦模式转化成

“类瘦模式”，此时 AP上的用户将继续得以保留，并且用户的数据

访问也不会出现中断。当无线控制器故障恢复后，AP又自动与控

制器恢复管理连接，回到瘦 AP模式。在整个过程中，用户完全不

会感受到网络的变化。

更为重要的是，本次采用的室外型大功率无线接入的 AP620-

H已成为业界第一款规模商用的室外型802.11n无线接入点。凭借

着 IP66的防水防尘等级和适应于极端环境的宽温电子元件设计，

AP620-H完全可以正常工作在新疆地区的夏日高温、冬天低寒的

气候环境中。

此外，有线无线一体化认证和管理、IPv6应用、移动终端无

线应用也是新疆医科大学无线网项目中的重要内容。在如此众多

先进技术和定制化解决方案的护航下，新疆医科大学的无线网建

成后将成为国内 802.11n无线校园网实践的又一典范。

新疆医科大学打造国内最大规模802.11n网

未命名-6 2010-11-08, 14:5259PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

60中国教育网络 2010.11

文/李瑞

高校 IT运维的现状和挑战

随着 IT技术的广泛应用和不断发展，信息化逐步进入了一个

应用和网络融合发展、网络和应用系统复杂度和规模不断成熟和

扩大的时期。

信息系统与核心业务越来越紧密的结合，将成为信息化提高

学校核心竞争力的重要法宝。因此，如何保障校园网络稳定运行，

保证业务系统不间断地提供优质服务，是摆在信息部门面临的巨

大挑战。

面对当前现状和今后持续发展的目标，我们也注意到保障信

息化的能力和水平必须要得到进一步完善和提高，目前尚存在一

些欠缺之处，主要表现在：

1.缺乏统一的集中监控与管理平台

日常运行管理条块分割，网络、应用、IT基础环境等各管一

摊，缺乏一个统一的、主动的监控平台，既浪费了人力资源，也

难以做到快速发现故障；

2.缺乏面向业务系统的监控工具

各类业务应用系统缺乏针对性的管理平台，单从独立的网

元和资源个体进行管理的角度无法解决业务系统的监控要求，

因为业务系统是由多个关联资源及其关联关系组成，一旦业务

系统出现运行过慢、无法登录、应用报错等问题时，难以排查

具体的故障点，从而影响业务系统故障恢复，也不利于业务系

统的性能调优。

3.缺乏对机房环境的智能化监控

没有很好地实现对机房的智能化管理，机房环境中一旦出现

安全隐患仅仅靠人力监控是难以快速发现、快速反应的，一旦发

生安全问题后果不堪设想。

4.缺乏量化运行质量的统计报表

缺乏一套能与实际的网络、业务系统、机房环境等多方面相

结合的运行质量考核工具，因缺少必要的报表数据支撑而无法对

信息化建设中各环节的运行进行数据层面的量化和考核，也不利

于对软、硬件及应用服务的运行趋势进行统计、分析、汇总工作。

5 . 缺乏知识共享平台

目前的技术知识比较分散，解决某一类专业问题时对专人的

依赖性强，无法实现相关知识的积累和共享，不利于运维人员整

体技术能力的提高和新人的快速成长。在解决相同类别的故障时，

无法快速查找相关解决方案，影响故障解决的时效性，不利于快

速恢复故障。

可以看到，如何在有限的投入下尽快建立高效、规范的综合

业务监控管理平台，实现以校园业务为核心的监控管理系统，从

而提高信息部门的运维管理水平，改善校园IT系统的运行质量，为

学校打造核心竞争力提供助力，已经成为当前各大高校信息部门

面临的重要问题。

方案组成

锐捷网络综合业务监控管理解决方案涵盖了以下几个方面的

功能：

1.业务监控

对业务系统进行分析、采集和监控，包括有校园一卡通、学

籍管理系统、身份管理系统、校园门户网、BBS、在线考试、VOD

视频点播等等业务系统；

业务系统评估、建模，创建业务系统中各子系统的关联关系；

业务卡片视图，将业务系统关联、整合并以卡片形式予以直

观呈现；

业务健康度、繁忙度、风险度评估模型，对业务系统进行全

面、深入的监控。

2.网络资源监控

高效率监控让网络轻松可控通过对网络业务、网络资源、应用资源的实时灵活的监控，锐捷网络高

校综合业务监控管理解决方案帮助高校减轻了网络管理的负担，让网管轻松

管好网络。

建设与管理 案例展示

未命名-6 2010-11-08, 14:5260PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 61

360度网络自动发现，拓扑自动计算，线路自动计算；

全网及网络设备性能监控，自动发现网络瓶颈，统计网络

负荷；

网络故障自动发现，关联性告警信息，提供运维知识库，告

警快速传达机制；

网络流量监控，自动监控全网流量分布情况，支持设置阶段

性流量告警阀值。

3.应用资源监控

对 Windows、Linux、HPUX、IBM AIX、SUN Solaris等主流操

作系统进行工作状态、性能状态和告警等综合信息监控；

对Oracle、SQL Server 、MySql、DB2等主流数据库进行工作

状态、性能状态和告警信息等综合信息监控，掌握数据库从用户

连接、表空间、缓冲池、内存池、连接池等诸多运行状态信息；

对WebSphere、Weblogic、TOMCAT、JBOSS、Tuxedo、Apache、

Resin等中间件进行工作状态、性能状态和告警信息等综合信息

监控；

对基础网络应用进行状态监控，例如对 DNS、FTP、DHCP等

服务的工作状态和性能状态进行监控；

对地税专属业务系统进行查询和模拟访问式监控，包括有

EAI系统、ETS/EFS扣税系统、发票在线系统等业务系统的深入

监控。

方案特点

1. 面向业务的管理平台

与市场上常见的网管软件不同之处， RIIL平台的独特性在于它

站位更高，着眼业务系统的关联、整合和呈现。它基于业内先进

的业务评估模型，从保障关键业务的运行角度出发，来透视和管

理各种基于 IP网络的 IT资源，就能够起到提纲挈领，化繁为简的

效果，有效提升 IT业务服务质量。

2 严谨的安全防范策略

RIIL平台充分考虑到教育行业对数据安全和访问权限的严格

限制和管理措施，从产品设计之处就制定了严谨的数据安全和访

问权限的策略，从功能角度来说分为如下三部分：

数据采集和访问：采用动态密文形式的 SNMP V3协议和 SSH

安全访问协议进行数据采集工作，确保数据在采集、传输过程中

的安全。

RIIL平台管理：远程终端登录到 RIIL平台，采用基于 SSL的

安全超文本传输协议（HTTPS）进行访问和管理操作，确保 RIIL

平台在管理过程中的数据安全。

RIIL平台数据存储：RIIL平台采用DES双密钥数据加密技术，

确保敏感数据在存储过程中的数据安全。

3.全方位集中式监控平台

RIIL平台能够实现对 IT环境中各类基础设施的监控，包

含有网络、系统、安全设备、数据库、中间件、业务系统、存

储设备和机房环境等系统的监控管理，实现IT基础设施的集中

式监控管理等功能，做到“有故障、早发现、早解决”的建设

思路。

RIIL平台对监控对象提供基于“性能基线”的阀值告警机制，

通过根据一段时间的运行参数采集，系统自动掌握信息系统在“忙

时”和“闲时”的负荷情况，自动生成性能负荷基线，在超过（或

低于）基线一定比例（如 60%）为告警阀值，实现性能与故障监

控的智能化，显著降低告警的误报比例，在为管理员提供了工具

的同时，也提供了相应的运维经验。

4.统一告警控制平台

RIIL平台基于开放式的事件关联整合技术、事件自动建模技

术的统一告警控制平台，采用先进的基于规则库的事件识别与归

并处理引擎，可以每秒钟处理上千条事件，高性能的收集和处理

能力是保证告警控制平台高效的工作效率的决定性影响因素。

5.高交互性和可视化效果的界面

RIIL平台在设计上采用先进的交互性、可视化展现模型，基

于业界先进的 FLEX展现技术，显示了动态的、变化的、可编辑的

数据和图形，提高了技术人员在 Web平台上的交互式操作能力。

RIIL平台在展现内容上，提供模块化、可定义的浏览视窗，支

持用户定义展现窗口、展现规格和图形显示模式，用户可自由切

换 K 线图、柱状图、饼状图等各种展现效果，具备良好的交互性

操作和美观的可视化展现效果，非常适合匹配高清大屏进行集中

展现。

解决方案带来的效益

通过以上的建设目标、需求分析、技术特点等多个方面的要

求可以预见到，在综合业务监控管理平台项目建设完成后，将在

多方面实现收益：规范化运行维护管理和运行质量考核；准确地

反映网络故障，提高故障处理效率；准确反映网络及应用的性

能，提高网络运行性能；整合系统管理，提高对信息系统的控制

能力。

此外，这是一款面向业务的网管，新一代的网络管理系统，已

开始从面向网络设备的管理向面向网络业务的管理过渡。这种网

管思想把网络服务、业务作为网管对象，通过实时监测与网络业

务相关的设备、应用，通过模拟登录等方式实时测量网络业务的

服务质量，通过收集网络业务的业务资料，实现全方位、多视角

监测网络业务运行情况的目的，从而实现网络业务的故障管理、性

能管理和配置管理。

系统能够帮助IT机构实现IT成本控制，最终使信息化手段与

核心业务融合，从而帮助学校提升核心业务能力。

建设与管理案例展示

未命名-6 2010-11-08, 14:5261PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

62中国教育网络 2010.11

文/张凯 朱亚晓 宓

在新一代数字校园模式中，利用 IT新

技术和架构调整来突出服务理念，体现“一

站式”服务，是高校信息化建设面临的实际

问题，也是新一代信息化校园建设的真正

内涵和发展趋势。

设计思路

在信息化应用建设初期，信息化部门

首先关注的是高校的信息孤岛问题，并致

力于将各部门原有的孤立系统基于统一的

技术、统一的平台、统一的数据管理模式进

行重新开发或集成。

在建设阶段初步完成之后，信息化建

设也随之陷入了瓶颈期，多种因素导致的

业务频繁变更、系统升级、技术更新、安

全问题凸显等使应用系统建设团队陷入了

困境。通过对问题地分析，学校发现系统

建设初期更注重的是职能部门的需求，很

多业务是自上而下设计、实现并推广的，

因此应用系统在设计时大多是出于职能部

门管理的需要，考虑的重点是如何让用户

把数据提交上来，如何进行后续的数据分

析等。

无论是信息化建设部门还是职能部门

都没有站在用户的角度考虑他们的需求。

这个矛盾随着信息化程度的加深而不断明

显。通过对现在高校信息化现状地调研不

难发现，以下两个矛盾非常突出：

（1）高校信息化建设初期的一个理

念就是集成，重点是系统集成和数据集成

等方面。信息化管理部门更关注数据整

合，强调数据的完整性、一致性，致力于

解决各个应用系统之间的数据交换、信息

共享问题，信息孤岛问题得到很大程度地

解决，在实际应用中也取得了一定的效

果。但是，在信息服务对象方面的关注度

仍然不够，最终用户与信息库之间存在着

信息获取、信息处理和信息提供方面的巨

大矛盾。

（2）在高校的信息化建设初期，应用系

统建设覆盖面往往大而全，职能部门的所

有需求都希望通过系统来实现。在这些应

用系统中，与师生个人用户（占学校总人数

90% 以上）普遍相关的业务仅占全部业务

的 10%，甚至更少的比例。

这些业务的操作周期通常是一个学

期或者一个学年，而用户却要与管理部

门的员工一样牢记系统入口，进入不同

系统，熟悉操作流程等。目前一些高校提

出了以服务为中心建设信息化

校园，开始关注用户服务，但

也只是简单地通过门户的形式

将用户操作入口进行了合并，

与用户相关的业务仍然没有打

破职能领域的界限，进行统一

规划。

如何从服务的角度出发，

真正以“人”为核心展开信息化

应用建设已经成为非常迫切的

问题。

复旦大学根据自身建设的

实际情况，提出了个人服务中

心的建设方案。将信息化建设

过程中积累的数据通过数据抽

取和数据同步方式存放在综合

业务库，基于综合业务库进行

数据展示和以申报、申请为主

要特点的综合业务服务，为用户真正提供

一站式服务。

个人服务中心的设计模型如图 1所示。

业务库是指由信息化部门建设的应用

系统数据库，外部库指由各业务部门独立

建设的应用系统数据库，数据通过数据抽

取及数据同步的方式同步到综合业务库，

在教师数据中心和学生数据中心完整地展

示给最终用户。共享数据库的数据来自各

业务系统，同时也和其他业务数据库一样

作为个人数据中心的数据源。

综合服务提供用户在同一个操作平台

上进行各类业务申请和填报，申请单通过

多种技术手段分发到各业务系统中，职能

部门仍然在各业务系统中进行审批等后续

操作。

根据技术实现的不同，学校可以通过

构建“一站式”个人服务中心

言永

图1 个人服务中心的设计模型

资源与应用 数字校园

未命名-7 2010-11-08, 14:5362PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 63

数据同步（抽取、触发、镜像、快照等）、Web

Service等方式进行业务整合与集成。数据

同步集成方式可将申请的业务数据通过

ODI等方式同步到业务数据库中，进入审批

流程，形成无缝对接；Web Serivce集成方

式则通过对Web Service实现的中间层调用

实现业务的流转，Web Service具有完好的

封装性、松散耦合性、使用协议的规范性和

高度的可集成性等主要特征，主要目标是

跨平台的可互操作性，对于应用集成可以

忽略技术平台的差异，可重复调用，降低了

集成的技术复杂度，但这同时需要对原有

业务系统进行相应的修改和调整。

案例

复旦大学个人服务中心面向对象主体

是全体师生。个人数据中心解决人与信息

之间不对称的矛盾；综合服务解决业务分

散的问题，避免师生用户需要到不

同业务系统中办理相关事务，并将

填报 / 申请和审批功能流程隔离，

实现用户操作和管理端的异构。

数据中心的信息是结果数据，

显示用户实时的状态（数据同步

周期最长为一天），并作为综合服

务的基础数据，申报的具体业务

数据则是过程数据，在审批流程

结束之后形成结果数据反馈到数

据中心。在用户端，只有单一入

口，同一页面显示用户关心的所

有数据，提示每项信息的来源；有

集中申报业务时，系统生成申请

单，自动读入已经存在的基础数

据，用户只需填写申报业务特有

数据即可，大大减少了用户操作

的繁琐程度。

1. 个人数据中心的设计与实

现

个人数据中心按照用户角色

分为教师数据中心和学生数据中

心。

教师数据中心包括个人基本

信息、财务信息、科研信息、资产信息、教

学信息、生活信息等。这些数据分别来自于

人事、教学、共享数据库、资产、教师公寓、

虚拟校园、一卡通、门禁管理等信息办统一

建设的应用系统，以及财务、图书借阅等其

他部门独立建设的应用系统。图2为教师数

据展示模型。

学生数据中心包括个人基本信息、财

务信息、学习培养信息、住宿信息、生活信

息等。这些数据分别来自于学工、教务、共

享数据库、选课、宿管、一卡通、门禁管理

等系统以及体教部的体锻系统和图书馆的

图书借阅系统等。图3为学生数据中心展示

模型。

个人数据中心建设分为两个阶段。第

一阶段，在前期数据积累的基础之上，对数

据进行整理分类后展示给用户；第二阶段，

实现个人数据的统一维护功能。

2. 综合业务服务

复旦大学的信息化业务中，面向个人

用户的业务主要为填报和申请，申报业务

有教师岗位考核、职称申报、导师申请、公

寓申请等，学生奖学金申请、学生证信息维

护、毕业生推荐表维护、离校手续办理等业

务。综合服务的难点是业务的整合和集成，

这是一个长期的过程。

我们将面向用户服务的流程整合工作

分析整理后归纳为四种类型或途径：

（1）公共信息服务

提供个人、部门和校级统一信息/数据

展示，如信息门户等。

（2）统一系统跨部门业务

各部门在单一系统中完成相关的业务

流程，实现跨部门协同工作，如迎新系统、

离校系统等。

（3）公共平台业务

通过基础通用平台建设、并接入其它

相关业务系统，提供统一的服务，如短信平

台、统一收费平台等。

（4）针对用户分类重新整合业务

对现有业务优化、重组，必要时甚至需

重构，实现服务与业务部门的分离，以统一

服务窗口面向最终用户。

对于面向大量用户的各种业务申报，

学校将根据其实际情况逐步过渡到业务综

合服务平台中，统一操作风格，真正实现一

站式服务。

实施效果

个人服务中心方式给用户带来了极大

的方便。用户只需登录一个系统就可以查

询到所有与自己相关的信息，并方便地进

行业务申报。新模式下的岗位考核业务在

上线后同比服务量下降了 80%，对于用户

终端的可适性大大增强，用户体验明显提

升，收到了教师非常好的反馈。

复旦大学个人服务中心的建设是提升

用户体验的一个实践。如何更好地为师生

的教学、科研、管理等服务，体现信息化的

价值，将是学校持续探索的问题。

(作者单位为复旦大学信息办)

图2 教师数据展示模型

图3 学生数据中心展示模型

资源与应用数字校园

未命名-7 2010-11-08, 14:5363PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

64中国教育网络 2010.11

文/叶新恩 刘璀

随着校园信息化建设的不断进行，校

园一卡通作为促进校园信息建设的一个重

要环节，在方便师生员工工作、生活、学习，

加强学校财务管理等方面发挥着越来越重

要的作用。一卡通应用在各大高校中逐渐

普及，甚至有些中学和技校也开始进行相

应的校园一卡通系统建设。

总体思路

校园网的建设和卡片技术的日渐成熟，

为校园一卡通系统的发展提供了技术保障。

校园一卡通的应用覆盖学校综合消费系统

(收、缴费及各类款项支取，校内各类消费)

和信息查询系统(身份认证、门禁、考勤、图

书借阅等)，已成为校园管理信息化发展的

必然趋势。

一卡通系统是比较复杂、庞大的系统，

因此其建设首先要考虑到学校未来发展规

划，所采用的技术、硬件设备、安全解决方

案等不仅要满足现有的需求，更应该保证

在未来若干年能够进行产品的升级或更新

换代。其次还应考虑到为了有效利用学校

的网络资源，要在校园网基础设施的支持

下，建设一个体现先进管理手段和服务质

量的、具有高应用水平的校园一卡通卡应

用系统。

卡片的选择和扇区功能设计

根据学校的实际情况，校园卡一般应选

用具有一定容量的非接触式射频卡（如飞利

浦Mifare S70智能卡，卡片容量4K byte）。射

频卡在读写时处于非接触操作状态，避免了

由于接触不良所造成的读写错误等误操作，

同时避免了灰尘、油污等外部不良环境对读

写卡的影响。它具有以下优良性能：（1）操

作简单、快捷。采取无线通迅方式，使用时

无方向要求，所以使用起来十分方便。（2）

防冲突。卡中存有快速防冲突机制，能防止

卡片之间出现数据干扰，因此终端可以同时

处理多张卡片。（3）卡中有多个分区，每个

分区都有自己的密码，所以可以将不同的分

区用于不同的应用，实现一卡多用。

学校根据需求对卡片规划进行了初步

的安排。

卡片 0扇区：0扇区存储卡片序列号、

相关参数；

基础扇区：一卡通系统正常使用2个扇

区，包括身份信息公共区（1个扇区）和金

额区（1个扇区）；

备份扇区：交易流水、余额备份，使用

3个扇区；

门禁扇区：存储门禁系统权限数据，主

要指宿舍门锁的控制信息；

图书扇区：存储现有图书管理系统条

码号，读卡时可直接模拟条码信息；

水控扇区：用于结算式浴室水控和开

水房控制系统；

预留扇区：其他拓展应用。

网络系统的设计

目前校园一卡通网络的建设，一般有

两种方式：一是采用单独构建专网的方式；

二是利用现有的校园网络。

一卡通采用专网具有以下优势：

安全性高：与校园网隔离，易防范各种

不安全因素；

稳定性高：一卡通独立使用带宽，网络

环境良好。

存在的问题有：

投资高：所有一卡通相关地点都需要

布设信息点，随着一卡通需求的增加，专网

建设费用增加；

项目周期长：一卡通专网需要大量的

前期网络布线工作；

扩充应用较困难：一卡通的应用范围

较广，分布在校园内多个地方，而很多应用

系统的扩充只需要一个或几个信息点。

基于校园网的一卡通系统有以下优

势：

投资低：无须购置更多的交换设备，充

分利用校园网资源；

项目周期短：免去了专网设计、布线等

大量工作；

扩充应用更加容易：多数应用系统已

被校园网覆盖。

存在的问题有：

安全性较差：校园网容易受到内外部

多种途径的攻击，病毒、木马等不安全因素

较多；

稳定性较差：校园网因为使用用户诸

多，容易发生网络堵塞或故障；

中央财经大学的一卡通网络建设中，

结合了以上两种方式。校园一卡通核心交

换机采用一台独立设备，与关键应用部分

（如食堂、澡堂等存在大量数据交换的地

方）采用专网，保证大量数据的及时传输。

在其他一卡通应用的地方（往往只有1~2个

信息点，如分布在学校各个角落的自助机

和供学生查询消费流水用的服务器等），通

过现有的校园网络传输。在校园网上进行

专网和现网共促一卡通建设

资源与应用 数字校园

未命名-7 2010-11-08, 14:5364PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 65

ＶＬＡＮ划分，划出一卡通专用虚拟网，在

逻辑上与校园网分开，校园网核心交换机

和一卡通核心交换机之间使用防火墙隔离，

通过设置防火墙规则来保证一卡通系统的

安全性。

数据中心和业务子系统的建设

一卡通系统分为数据中心和业务子系

统两大部分。数据中心包括后台服务器和

前置机。业务子系统包括校园涉及到一卡

通服务接入的所有地方，包括消费子系统，

门禁子系统和图书借阅接口等。

1．数据中心

数据中心基于 SAN光纤交换机来组建

存储网络，包括中心服务器、磁盘阵列等。

学校中心服务器（使用IBM P550小型机，操

作系统为 AIX 5L）由 2台服务器组成双机

热备，采用共享的磁盘阵列（IBM DS4700）

提供数据存储服务。通过磁带机与服务器

相连，一方面可以定期数据备份，另一方面

可以采用异地备份方式以备灾难恢复。

2．前置机

前置机包括综合前置机、转账前置

机和查询前置机等,使用传统的 P C 服务

器即可。

综合前置机负责提供全局配置参数的

设定和更改、黑白名单等信息的实时同步

管理、全系统各个接入子系统的安全性控

制、密钥的产生与更新管理、自动开工结

账、对接入校园卡平台的各种子系统设备

的状态监控等功能。

转账前置机作为学校端的唯一出口，

负责与银行前置机实时通讯，依靠专线连

接，同时管理、监控遍布各校区的自助转账

终端。

查询前置机是连接校园卡中心与全校

查询终端之间的关键枢纽，采用J2EE架构，

提供网上查询服务。

3. 校园一卡通中各个应用子系统建设

符合自己系统使用、管理的网络，应用服务

器或工作站通过 VLAN 同一卡通中心进行

连接，而应用服务器或工作站到终端设备

采用专业网络实现连接，如消费和水控系

统的 RS485网络、门禁 RS485网络等，以

此形成校园一卡通的整体网络结构。

保证系统安全性

一卡通系统安全性应从网络环境的安

全性、主机系统的安全性、应用系统的安全

性、卡片的安全性、密钥管理体系以及数据

的安全性几个方面来讨论。

1.网络环境的安全性，校园网一卡通

系统的部分网络环境采用在校园网的基础

上划分虚拟专网（VLAN）的方式，因此其

安全性必须考虑以下方面：

（1）重要数据加密传输，保证数据的完

整性和私密性。

系统对数据传输与存储环节中所使用

的密钥和关键的加密算法采用严格的安全

措施。学校转帐前置机与银行前置机之间

数据采用金融业标准的 M A C 校验运算。

MAC运算的 DES密钥采用动态密钥。校园

内部自助终端与学校转帐前置机之间采用

DES 加密，MD5 数字签名，动态密钥。持

卡人的银行卡密码由 PSA M 卡进行金融标

准的PIN加密处理，有效防止密码外泻，保

护持卡人和银行利益。

（2）通过应用网关，隔离校园卡专网和

校园网。

为了进一步提高系统的安全性，在网

络设计上，应采用应用网关，隔离原有的校

园网和校园卡网络，采用路由器加防加火

墙的硬件保障机制。通过防火墙可以过滤

掉不安全的数据包，控制用户对系统的访

问，实现集中的安全管理。

2.主机系统的安全，包括采用安全的

操作系统以及数据库系统。数据库提供多

种数据备份方式，尤其是在线数据备份可

保证系统 7× 24小时的运行，同时可靠支

持机制可能实现数据库系统的

快速灾难恢复，确保数据的绝

对可靠。

3.应用系统的安全，应用

系统原则上只保留自已私有

的数据，重要数据均存放于数

据中心，从而实现应用与数据

处理分离，使得应用系统安全

可靠。

4.卡片的安全性，应用中

采用一卡一密、一区一密的加

密机制，防止被盗滥用。加入专

用标识，采用专用算法，有效地

防止伪卡。

5. 密钥的安全性，系统每

天都产生一个新的动态密钥，密钥生成后

不会写入到硬盘中，而是一直驻留在中心

服务器的内存中，在密钥的整个生命周期

中（一般为一个工作日），即使系统管理员

也无法读取密钥内容，这种机制可以很大

程度上保证系统的安全性。

6.数据的安全，数据中心采用磁带脱

机保存一卡通系统的重要数据，确保了数

据的安全性。

校园一卡通工程是数字化校园建设的

基础工程，可以通过校园一卡通的建设，逐

步形成全校范围的数字空间和共享环境。

校园一卡通系统各项功能的实现，不但在

生活和学习上会为学校师生员工提供极大

方便，同时也会极大地提升学校的管理水

平和科学决策水平，成为学校实现现代化

管理的标志。

(作者单位为中央财经大学网络信息中心)

IBMP55Server中心服务器

局域网

SAN交换机

磁盘阵列磁带库

备份服务器

应用服务器

应用服务器

IBMP55Server中心服务器

图 一卡通系统

资源与应用数字校园

未命名-7 2010-11-08, 14:5365PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

66中国教育网络 2010.11

资源与应用 数字图书馆

文/刘柏嵩

2005年以来迅速崛起的Web2.0技术在

图书馆中得到了应用，其中包含了大量云

计算成份，例如在图书馆服务中采用 Con-

duit在线服务生成的浏览器工具条、利用即

时通讯工具 QQ、MSN及 Meebo、“晒网”等

在线服务提供实时参考咨询等均是基于云

服务。但这些应用大多数是基于某一机构

或单个图书馆的服务，面向区域联盟图书

馆的应用几乎没有。

宁波数字图书馆（以下简称 NBDL）作

为一种综合性、跨系统的区域性数字图书

馆，是宁波市服务型教育体系建设中的四

大公共平台之一。NBDL除了一般区域数字

图书馆的特征外，还把企业作为服务的重

点对象，建立了国内数字图书馆服务的新

模式。在充分利用区域内各成员馆包括高

校馆、公共馆和科技馆，以及整合现有数字

文献信息资源的基础上，引进国内其它数

字图书馆资源和服务，全面建成面向宁波

市地方产业发展的专业性数字文献信息资

源服务平台。

区域数字图书馆的多样性特征

区域数字图书馆的资源来自区域范围

内的成员馆，服务的对象是区域内的所有

用户，提供服务的人员主要来自各个成员

馆。这就决定了区域数字图书馆的如下特

征：数字资源具有异构性、服务对象的多样

性和应用平台的差异性。

区域数字图书馆的数字资源具有明

显的异构性：各图书馆建设的数字资源

内容各不相同，格式上也存在着很大的

差异。

区域数字图书馆服务的用户具有多样

性：用户来自高校、科研机构、企业、政府

和大众，用户层次参差不齐，有不同的学科

背景和研究方向，利用资源的目的也不尽

相同。用户的多样性决定了对资源需求的

多样性，要求区域数字图书馆拥有学科门

类齐全的、海量的数字资源。每个用户对文

献资源的需求又具有个性化要求，希望图

书馆能够提供主动服务，如信息订阅、信息

推送等。

区域数字图书馆的应用平台也具有差

异性：应用平台包括门户、统一身份认证、

统一检索、馆际互借与文献传递服务、联合

虚拟参考咨询和特色库等系统。这些应用

系统对计算和存储需求各不相同。大多数

应用都分别部署在单一服务器上，数字资

源存储在预设定容量的存储设备上。在特

定时间范围内，该应用系统被集中访问时，

因访问量过大而瘫痪，而其他的服务器却

空闲；同时，数字资源因增量大而无处存

放，而其他的存储空间却空置。另外，有的

图书馆因经费短缺而不能购买足够的服务

器和存储设备来保障资源信息服务。为此，

在基础设备上遇到的困境表现为区域数字

图书馆和本地馆的服务器计算能力不够、

数据存储容量不够等问题。

宁波市图书馆

“区域云”走向平民

“区域云”随需供应资源

用户在使用区域数字图书馆的资源

时，不关心资源存放在哪儿，从哪个数据

库中获得，由哪个馆提供，只是希望以最

快、最直接的方式得到所需要的文献格式。

动态、智能、随需，对资源无限合理的掌

控与分配——这是用户对区域数字图书馆

的基本需求。

对区域数字图书馆而言，云模式需求

包括云构建和云提供两个方面，提供的基本

服务有：硬件及应用托管、提供计算服务和

存储服务、资源整合；提供的高级服务有：

链接整合和统一检索、数字资源调度服务、

用户行为分析、资源访问统计及分析、对读

者的观点和评价的挖掘。

探索三大“区域云”平台

基础设施服务平台DLIaaS

数字图书馆需要海量的存储和庞大的

计算资源支持。基础设施服务平台 DLIaaS

采用虚拟技术建立庞大的虚拟化基础设施

中心，利用 Amazon Web Services、

Rackspace、Eucalyptus、Matrix等IaaS软件

系统，将分布在图书馆网络中的大量的服

务器和存储设备上的计算和存储资源集中

起来作为一个虚拟的基础设施资源池，以

服务方式按需提供给各应用系统。云计算

成为基础设施后，使得图书馆无需承担日

益高昂的数据中心管理成本，不再需要购

云计算从刚开始的技术理念发展到目前的强调应用需求和服务存在的阶段，可以说已从理论到

实践阶段。它在构建综合性、跨系统的区域性数字图书馆时大显身手，对一直困扰着数字图书馆的

基础设施、服务平台应用、服务开展及服务模式等问题提供了有效的解决途径。

未命名-7 2010-11-08, 14:5366PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 67

数字图书馆 资源与应用

买多种服务器和大容量存储设备，可“按需

供应”服务，降低成本，更重要的是，它为

图书馆提供了硬件及应用托管的环境，为

数字图书馆公共服务平台、SaaS服务平台

和资源整合平台提供高效、安全和稳定的

计算环境和存储环境。

由此实现区域内的数字资源集中存储，

包括数字对象、元数据及用户数据等。

公共服务平台

公共服务平台主要包括区域内的数字

资源整合平台、统一检索平台、门户和统一

身份认证平台。

数字资源整合平台包含资源收割和资

源仓储服务，采用云服务模式可以提高资源

整合的效率和质量。针对区域图书馆成员馆

的数字资源特点，数字资源整合平台提供了

3种对异构元数据的收集和整理的方式：1.

采用 OAI协议，对于已经实现 OAI-DP的资

源系统，通过 OAI-HP来收割各资源系统的

元数据。2.元数据的批量导入，如果资源系

统无法实现 OAI-DP接口，将各异构资源系

统导出的元数据通过元数据分析工具批量导

入到元数据仓储中。3.网页分析，对既没有

实现 OAI-DP服务，也无法直接导出元数据

的资源系统，只能通过资源系统的资源发布

页面在线抓取元数据。在此基础上，人们可

以建立区域数字图书馆的元数据仓储。例

如，NBDL中心门户把区域内 18家成员馆有

价值的文献资源全部整合进来。在区域内

的私有云中，可供检索元数据达1.77亿条，

它们整合了12个馆藏目录数据库、135个外

文数据库、38个中文数据库、4个特色数字

文献数据库，囊括 550万种中外文图书、

1.2亿篇中外文期刊、248万篇中外文博硕

士论文、1544万条中外文专利、74万条

中外文标准。公共云中的数字资源包括谷

歌（Google）学术搜索、国家科技图书文

献中心（NSTL）、CALIS、CSDL上的资源和

互联网上部分开放获取的数据库。

统一检索平台体现云搜索功能，为用户

提供强大的检索功能和个性化服务，为用户

提供资源的一站式检索服务。该平台在公共

云中，为用户提供统一的检索界面和统一的

检索语言，使用户能对本地和异地各种资源

系统进行检索外，还提供简单检索、高级检

索、二次检索、原文 /文摘获取、相关文献

检索等多种服务，在私有云中，为用户提供

个性化的检索服务，定制检索方式，保存检

索历史。该平台还特别支持与门户的集成，

支持第三方统一用户认证系统，能够与Open

U RL 资源调度集成，能与馆际互借系统集

成；针对第三方资源的集成，具有API接口

开发方式，而且还提供可视化配置方式，使

资源配置和维护工作效率大大提高。

门户和统一身份认证平台展现数字图

书馆资源和知识库信息，发布信息和公告，

结合统一身份认证系统体现个性化服务，集

成公共云和私有云服务平台，如统一检索、

个性化检索、信息订阅、信息推送、数据服

务、知识服务、数字对象存储和下载服务、

文献订购服务等。统一身份认证系统建立公

共云和私有云的使用机制和权限。它的构建

以目录服务和认证服务为基础的统一用户管

理、授权管理和身份认证体系，保障私有云

对数字资源的有序应用，确保资源和服务的

安全，保护数字资源的版权问题，实现用户

的统一管理，实现用户身份的统一认证，减

轻用户在密码管理上的负担，促进资源的充

分共享，体现个性化服务的要求，建立多样

化的认证方式，满足不同业务的不同安全级

别要求。统一身份认证集成技术方面采用联

盟认证策略。联盟认证需要考虑省中心和各

成员馆高校的统一身份认证情况，通过成熟

的解决方案，从技术上保证在不对原有系统

造成影响的前提下，对已建有统一身份认证

的高校进行联盟。

另外，公共服务平台还提供一系列的

Open API接口，如认证接口、数据查询、数

据传递接口等。

DLSaaS服务平台

SaaS服务平台直接向区域内的图书馆

提供应用服务，包括图书管理SaaS服务、馆

际互借SaaS服务、虚拟参考咨询SaaS服务、

特色库 SaaS服务、教参管理SaaS服务、学

位论文 SaaS服务等。图书馆可以通过网络

使用部分或全部服务、服务的整合向区域

内的终端用户提供各类文献信息服务。

目前开通的 DLSaaS服务有：一是区域

馆际互借SaaS服务，馆际互借与文献传递系

统能与图书馆业务管理系统、各类检索系统

相结合，提供图书馆之间以及图书馆与读者

之间的馆际互借与文献传递中的各项服务与

管理。用户通过数字图书馆的统一检索平

台，对不能直接下载的文献提出馆际互借申

请。这些申请在 DLSaaS服务平台上形成资

源请求队列，成员馆可按各自的服务能力响

应这些服务请求。这些响应可来自外部公有

云的资源或服务，也可来自所在馆的私有

云。NBDL正式开通以来，通过馆际互借原

“区域云”将分布在图书馆网络中的大量的服务器和存储设备上的分散的计算和存储资源集中起来作为一个虚拟的基础设施资源池，以供用户随时按需搜索。

未命名-7 2010-11-08, 14:5367PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

68中国教育网络 2010.11

资源与应用 数字图书馆

文传递超过 74万篇，平均每月3.5万篇。

二是网上虚拟参考咨询SaaS服务，包括

静态的网上咨询服务、基于电子邮件的虚拟

参考咨询服务、基于实时交互技术的虚拟参

考咨询以及网络合作化的数字参考咨询服

务，主要通过问题接收、提问解析和分派、

专家生成答案、答案发送、跟踪这几个步骤

完成。系统能集合多个图书馆人力，共享各

馆的咨询信息和服务，可借助计算机智能处

理维护部分知识库，共同为区域内用户提供

更加快速、准确的参考咨询服务。

三是特色库 SaaS服务，该服务分为三

层：表现层包括建库工具和用户检索程序；

应用层应具有数据加工、检索服务、系统管

理功能，还具有 OAI接口以及与 CALIS其

它系统的接口；数据层包括存储元数据库

和对象数据。目前 NBD L 已建成“港口物

流”、 “纺织服装”、“新材料”、“机电塑料

模具”4个符合区域特色的数字资源库。

数字图书馆云服务平台具有动态、可

管理、自适应的系统组成和集成机制，有很

强的自治性，可实现更大程度的资源共享

和协作。区域云服务带来的好处是：提供服

务的图书馆不一定需要专门的硬件；能够

快速部署各种应用和服务；减少成员馆 IT

管理和运维的复杂度；节省整体投资——

可以按使用（量）付费；具有及时的可扩展

性、更高的安全性、应用的可依赖性以及服

务 API，实现服务的即插即用；用户无需学

习不同服务的操作和界面，可直接在熟悉

的环境中使用各种资源和服务。NBDL中心

门户开通 1年半后，网站注册用户达到 60

万人，网站访问量累计突破400万次，平均

每月超过 27万次。从用户规模和服务总量

来看，已初步成为一个为市民提供文献信

息服务的大平台。尤其是在实现区域资源

调度与文献传递方面，云服务模式的测试

和实践已取得明显成效。

当然，我们在区域数字图书馆云服务

模式探索中仍面临很多挑战，比如从技术

层面讲，有各类服务供应商的可替代性问

题、图书馆云计算政策，数字图书馆云服务

行业标准、数据的安全和保密等问题。我们

将进一步面向区域产业和用户需求，增加

战略情报分析、定题情报服务、数字化学习

服务等，努力成为区域内智慧城市建设的

重要信息支撑。最终目标是区域内的用户

像使用水、电一样，通过互联网，以各种计

算终端形式，方便地使用本地和远程数字

图书馆所提供的各种资源和服务。

（作者单位为宁波大学图书馆）

文/尚建宇

现代化水平较高的大学图书馆一般都建有自己的网络中心，

它们虽然属于中小型机房，但运行着很多存储、服务器等设备，每

天都会有大量读者利用互联网访问图书馆的各类电子资源。这些

设备依靠电力运行，散发大量的热量，如果这些热量不能及时传

递到外部空间，就会导致机房内的设备

高温运行，造成设备故障甚至恶性事

故。早些年，由于资金投入的比重较小，

而且人们对机房运行环境的重要性的认

识不够深入，很多图书馆的网络中心都

是采用家用空调或者工业空调制冷，这

些制冷设备达不到标准（温度、湿度、粉

尘、静电等），反而对设备造成一定程度

的伤害。为保证机房的安全运行，笔者

建议采用精密环境控制系统。在选取专

用精密空调的过程中，对空调功率也要有所斟酌，如果额定功率

太小，就达不到环境要求；而额定功率太大，又会造成经济损失。

图书馆机房环境四大特点

大学图书馆网络中心的环境的特点是：

1. 余热量大

机房的热量主要来源于高密集度电

子元件的散热，还包括其他热负荷，如

围墙结构传热、照明、人的显热散热量

等等。它的热负荷密度是一般办公室的

6~8倍，室内的显热比（Sensible heat

factor）可高达90%，热量大，湿量小。刀

片式服务器在机房内的散热量更高。此

类机房由于全年不间断运行，所以对室

内环境要求严格。

核算精密环境控制系统的冷负荷

若机房热量不能及时传递到外部空间，就容易造成设备故障甚至恶性事故。

未命名-7 2010-11-08, 14:5368PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 69

山石网科100G数据中心防火墙提升业务效能

本刊讯 近日，山石网科(Hillstone)推出了100G高性能数据中心防

火墙Hillstone SG-6000-X6150。该产品专为电信运营商和金融，以及企

业数据中心等超大规模应用场景设计，在满足此类用户在高性能、高可

靠、高容量要求的同时，更有效地控制 TCO。

山石网科总裁兼 CEO童建表示：“电信运营商、金融等一些典型行

业，都已经建立了符合自身行业特性和需求的数据中心，这些超大规模

架构在支持业务运作的同时，也面临了大流量、高负载的瓶颈，而保障

这些数据中心的安全，必须贴近需求，专业设计。山石网科凭借自身的

核心技术，专为解决超高性能、超大规模的需求而来，相信这些行业的

用户，能够获得满意的产品及网络安全解决方案。“

山石网科首席技术官杨庆华也提到：“Hillstone SG-6000-X6150基

于多核 PlusG2硬件架构，提供高达 100Gbps的业务处理能力、100万新

建连接速率、5000万最大并发连接数，而且可以根据业务需求，通过

扩展模块，进一步拓展性能。Hillstone SG系列的完美设计在工业设计

上也有很好的体现，使得山石网科的产品能耗比同类产品降低 50%以

上，同时在有效的空间中提供更高的性能和更多的网络接口，极大地降

低了数据中心的运营成本。”

数字图书馆 资源与应用

图1 机房设备布局

2. 余湿量小

湿度要求与机房温度紧密联系，余湿量小，潜热比小。计算

机运行不产生湿气，而是由工作人员的散湿和新风带入的少量的

“湿份”造成室内外水蒸汽分压力差，这是机房内湿负荷的主要

来源。电子计算机房的散湿量平均8~16g/m2。因此，湿负荷引起

的电力负荷可以忽略。

3．循环风量大

机房内高显热负荷，必须有较大的空气循环量在流动中与室

内空气进行热湿交换，才能降低室内温度；没有合适的循环空气

量，将造成机房内温度分布不均匀而出现局部过热以及温度波动

过大。只有保持比较大的循环空气量才能维持机组的高显热比。

4.冷风流场符合设备需求

在显热比很大的情况下，空气处理可近似作为一个等湿降温

过程，在这种情况下的焓差小，要消除余热必然是大风量。机房

内送、回风方式和设备的通风方式与计算机或交换机系统的散热

方式及发热量要相适应。空调系统可以利用地板下的空间作为静

压箱，向机房及机柜直接送风。静压箱要保持各部位静压值均匀

和一定的静压值，促使气流均匀地压向送风口，保证风口的出口

气流速度均匀，满足房间的气流组织要求。

核算冷负荷

华北电力大学图书馆网络中心机房的使用面积是110m2，布置

24台服务器机柜，2台 UPS电源供应服务器及存储设备用电；电

源布置区与服务器布置区采用玻璃隔断分割，以减小因 UPS排放

酸性气体而对电子设备产生的腐蚀。

布置情况如图 1

所示。因为空间内计

算机设备、网络设备

2 4 小时不间断运行，

所以也需要空调系统

一年四季不间断地运

行。机房空气环境设

计参数依照国家标准

《电子计算机机房设

计规范》（GB50174-93）的要求，夏季应保持温度 23± 2℃，冬季

20± 2℃，相对湿度 45%~65%。

鉴于大学图书馆网络中心内的环境特点及我馆的具体情况，

机房散热系统需要采用精密空调，精密空调分为水冷和风冷，北

方地区采用风冷比较经济适用。空调制冷量是根据机房冷负荷来

确定的。面积为 110m2且 UPS设计容量为 2× 10kva的机房的空调

制冷量计算如下：

采用功率 -面积法计算机房冷负荷，计算方法如下式：

Qt=Q

1+Q

2

其中，Qt 是总制冷量（kw） ；

Q1 是室内设备负荷（=设备功率× 0.8）；

Q2 是环境冷负荷（=0.12～0.18kw/m2 ×机房面积）。

本工程主要的热负荷来源于设备的发热量。因此，我们要

了解主设备的数量及用电情况以确定精密空调的容量及配置，

才可以确定室内设备负荷，因为所有设备均通过 UPS供电，所

以可根据 UPS的功率来确定整个机房的设备负荷。如果 UPS的

容量为 120kva，则室内设备冷负荷是：

Q1 = 20× 0.8=16kw（需要扣除设计时考虑的 20%余量）

除主要的设备热负荷之外，热负荷还包括环境维护结构的热

负荷，称为环境热负荷（冷负荷）。

根据以往经验，如果机房照明负

荷、建筑维护结构负荷、补充的新

风负荷、人员的散热负荷等，不具

备精确计算的条件，那么可以根

据机房的面积进行测算。

Q2=0.12kw/m2× 110m2＝ 13.2kw

则 Qt=Q

1+Q

2=16+13.2=29.2kw，

这里，电池发热量和 UPS的发热量忽略不计。

这样，使用一个制冷量 30kw左右的空调就足够了。为了安全

起见，可以使用 1+1备份，即 2台额定功率 30kw的精密空调。根

据我馆实际情况，采用对角布置、下送风的方式联机运行（如图2

所示）。

（作者单位为华北电力大学图书馆）

图2 下送风方式

未命名-7 2010-11-08, 14:5369PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

70中国教育网络 2010.11

资源与应用 应用系统

文/葛泓 朱斌 王克平

随着中国人民大学信息化程度的不断

提高，网络和各种应用系统已成为校园教

学科研管理业务开展的支撑平台和赖以运

行的基础。“数字人大”信息化校园开始从

大规模建设发展时期向运行和服务阶段过

渡，保障运行和增强服务成为当前的工作

重点，而满足师生日益增强的信息化需求，

为师生提供多元化的服务，为学校发展提

供有用的决策支持，让师生和管理者充分

享受信息化成果，则是我们的工作目标。

高校运维面临“人财”压力

要保障运行、增强服务，离不开财力和

人力的持续投入。

通常，在 IT项目的生命周期内，维护

和服务要占去大约 80% 的时间，资金投入

的配置为：运行维护的投入是开发建设投

入的3~4倍。按照这一通行标准，学校每年

应该投入几百万元的信息化运维费用——

这么庞大的固定开支使我们难以为继。

另外，网络与教育技术中心（简称：中

心）的运维服务也面临巨大压力。中心承担

着学校校园信息化规划、建设、运行维护和

服务的任务，目前拥有网络和应用相关技

术人员不足 20人，需要监控和管理的设备

千余台，需要服务的师生20000多人。设备

运行环境和运行状态监控的疏漏、监控手

段的缺失、设备深度挖掘使用的力度的肤

浅都为运行保障带来威胁。服务的不连贯

性、多窗口、不一致、不及时，也使技术人

员和用户之间不断产生摩擦，使技术部门

和业务部门之间不断出现纠纷。

在这一背景下，如何保障系统正常运

行，如何快速响应业务部门提出的新应用

需求，如何实时掌握系统运行质量以及如

何提升服务效率和质量已经成为当前面临

的巨大压力。我们只能从提高运行效率、降

低运行成本、规范管理和标准化服务、拓展

自助服务等方向入手，探索出 IT服务管理

的“高效低耗”的可行模式。

全盘洋为中用不可行

我国各级政府和公共事务

部门的信息化建设正在有条不

紊地进行调整，并已经进入到

整合应用和加强 IT运维服务管

理为主要特征的运行维护阶段。

目前国内高校的数字校园

建设也即将从大规模建设向运

行服务阶段过渡。此时，我们需

要科学的 IT运维服务管理理念

来指导我们的工作。

实际上，国际对 IT服务管

理早已进行了大量的探索，并

制定相关的标准。IT服务管理的产生和发

展大致经历了起始、发展和成熟 3个阶段。

目前，ITIL已经成为业界普遍采用的一类IT

服务管理的实际标准及最佳实践指南。它

以流程为向导、以客户为中心，通过整合IT

服务与企业服务，提高企业的 IT服务提供

和服务支持的能力和水平。IT服务管理是

ITIL框架的核心，它是一套协同流程，融合

了系统管理、网络管理、系统开发管理等管

理活动和变更管理、资产管理、问题管理等

许多流程的理论和实践。

但是，ITIL并不是目前国际上关于IT

管理的唯一标准，其他诸如 C O B I T 、

ISO17799等也是有关 IT管理的重要标准。

这些标准之间存在着很强的竞争与合作的

关系。

在一些欧美发达国家，政府信息主管

中国人民大学

IT服务管理走高效低耗之路目前国内高校的数字校园建设即将从大规模建设向运行服务阶段过渡。运维和服务需要

大量的财力和人力的持续支持，但是国内高校的信息化建设投入常常是一次性投入。因此，国

内用户不能完全照搬 ITIL的标准，而要在现有投入和管理模式的基础上，探索出一种全方位

的指导方针和解决办法。

新建

提交服务台

00-服务台处理中

提交一线

提交二线

服务台完成处理 升级一线受理

01-一线处理中 02-二线处理中

一线完成处理 二线完成处理

03-用户评价

评价并关闭

04-已解决(关闭)

图1 IT服务项目流程

未命名-7 2010-11-08, 14:5370PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 71

资源与应用应用系统

部门每年的预算当中大部分都投

入在运行与维护上，典型的比例

分配为：系统运维投入占IT总投

入的 75%；系统建设投入占 IT总

投入的 25%。我国的电子政务系

统投资在与国际接轨的同时，还

是与这种“3/4投资结构”有一定

的差距。

国外知名的高校如美国普林

斯顿大学、南加州大学等对校园

信息化建设中的服务管理的投入

远远大于设备的投入，他们在 IT

服务管理上不但有科学的理念，

而且使用信息化的手段落实了IT

服务管理的标准和思想。

国外的成功案例给予了我们

诸多启示，但是我们并不能够完

全洋为中用。IT运维和服务是需

要大量的财力和人力的持续支持

的，然而国内高校的信息化建设

投入常常是一次性投入，因此，

国内用户不能完全照搬 ITIL 的

标准，我们所能做的就是在现有

投入和管理模式的基础上，探索

出一种全方位的指导方针和解决

办法。

另外，我们不得不面对的一

个现实是国内的IT服务管理还处

在起步阶段。在整个价值链的每

个环节占据领导地位的都是国外

高科技公司，尤其是标准制定环

节基本为国外公司所垄断。此

外，IT服务管理的理念在国内的

推广还不够。可以说，当前我国

信息化建设的最大问题不完全是

技术问题，也不完全是资金问

题，而是缺乏科学的IT管理理念。

这也是为什么我们往往拥有与国

际竞争对手相同甚至更好的软硬

件设备，但是整个信息化水平并

不高于对方。可以说，IT服务管

理将在相当长一段时间内成为我

国信息化建设的瓶颈。

不过，国内高校已经开始进行尝试和

探索。比如，复旦大学在 IT服务管理上的

实施起步较早，也卓有成效。他们将“十二

五”的目标集中在服务工作上，从“一门式”

服务向“一站式”服务发展。

尝试机制+系统的模式

中国人民大学从2007年就开始关注IT

服务管理，2009年探索实施集成综合服务

门户，建立服务管理规范流程，2010年6月，

启用 IT服务管理门户。

两大设计思路

中国人民大学对 IT服务管理的实现的

基本思路是：首先，以ITIL为理论依据，贯

彻质量的思想，应用质量的方法和标准来

管理 IT服务；其次，将国际标准与中国人

民大学在校园信息化建设及发展的历程和

现状相结合，并以当前校园IT运行、维护、

管理和服务的实践以及现有财力和人力投

入为基础，以校园业务为主线、以知识库为

核心，从提高运行效率、降低运行成本、规

范管理和标准化服务、拓展自助服务等方

向入手，探索切实可行性、持续发展的“高

效低耗”IT服务管理解决方案，以期降低

运维成本、提高 IT管理水平和效率、提高

服务的质量，提升师生对IT服务的满意度。

以用户服务办公室作为保障机制

机制是保障 IT服务管理的基石。学校

成立了用户服务办公室，建立了统一的用

户服务窗口，延长了用户服务电话的服务

时间，增加了自助服务体系，并建立了服务

管理和服务监督机制。

门户和平台构成系统

IT服务管理信息系统则为IT服务管理

起到支撑作用。这个系统包括 IT服务管理

门户（http://service.ruc.edu.cn）和IT服务管

理技术支持平台（http://itil.ruc.edu.cn）。IT

服务管理门户为师生提供一个服务请求提

交、服务状态查询、服务过程追踪、服务结

果反馈、服务满意度评价、服务投诉和建议

以及与处理请求的工程师进行 Web对话的

综合平台，建立 IT相关内容知识库，以自

图4 用户服务申请列表

图2 用户服务分类申请

图3 用户服务申请的描述内容

图5 用户和工程师进行Web对话

未命名-7 2010-11-08, 14:5371PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

72中国教育网络 2010.11

资源与应用 应用系统

助服务的方式解决相关问题。而 IT服务管

理技术支持平台使工程师能够快捷、透明

地处理师生的服务请求，同时也可以让师

生和管理人员了解服务流程，监督和追踪

服务响应和处理的全过程。

中国人民大学 IT服务管理信息系统集

成了学校统一身份认证系统，可以实现登

录和身份权限认证，集 IT服务、技术支持

管理、过程管理、知识管理、问题管理、变

更管理、文档管理和资产管理于一体，高度

可定制化，特别是业务流程和数据库项可

灵活配置，无需二次开发。

建立 IT服务流程

我们以 IT服务项目为例，介绍规范IT

服务流程的建立以及服务申请和处理模式。

服务项目流程见图 1。

中国人民大学自从 1996年接入

CERNET以来，学校对校园网建设给予

了大量的资金投入，目前的网络基础

设施已经具备了相当规模，拥有30000

个有线网络信息点和 300多个无线网

络接入点，覆盖全部教学、办公区以

及校园公共区域。校园网拥有一个千

兆 CERNET出口和一个百兆网通出口，

全网交换机达1000多台。

2003年学校提出了“数字人大”的

数字化校园建设理念，制定了《中国

人民大学“数字人大”建设工程总体

规划》，集中财力、物力和人力进行大

规模的校园网络应用建设，设计了《中

国人民大学教育管理标准体系》，构建

了学校统一信息门户——校园综合信

息平台，建立全校统一共享数据库平

台，校园一卡通综合应用平台，以及

包含办公自动化、本科教务管理、人

事管理、科研管理、研究生管理、学

生管理、后勤管理、国际交流管理和

党工管理的“电子校务”平台，建设

了300多间多媒体体教室和拥有700台

计算机的互动式教学机房，为师生提

供多媒体教学服务，拥有SUN 15K和

25K两台大型服务器以及中小型服务

器近百台，为学校教学管理、科研管

理、行政办公提供了网络化、流程

化、信息化的运行平台，使学校的管

理手段、管理模式、管理水平和管理

效率得到了显著的提升，也使学校

数字校园建设和发展跻身国内高校

一流行列。

用户通过 IT服务管理门户

登录，按照服务请求的类别，描

述服务请求的内容，提交服务申

请（分别见图 2和图 3）。

用户也可查看以往服务申

请内容、处理状态以及处理结

果，并可以对服务请求的响应和

处理给出评价意见，见图 4。

服务台受理服务请求后，

将请求分发给一线工程师处理，

也可以直接分发给二线工程师

处理。一线工程师不能处理的

请求可以提交给二线工程师处

理。工程师之间也可以进行任

务递交。工程师在处理申请的

过程中，可以与用户进行Web对

话，进一步明确申请内容以及

在处理方法上进行沟通。工程

师给出处理结果，并最后提交

到服务台，见图 5。

用户可以查看服务请求的

当前处理状态，服务台和管理人

员可以追踪服务请求处理的历史

过程以及统计数据，见图 6。

用户可以通过检索问题的关键字，在

知识库中寻找解决办法，实现自助服务。工

程师可以检索知识库，寻找相似问题的解

决办法，见图 7。

目前，中国人民大学 IT服务管理系统

还处在试运行状态。IT服务项目在运行中

不断进行细微调整，包括制度和模式以及

界面和功能，同时还在不断地增加管理项

目，除资产管理项目外，部门协作项目和文

档管理项目正在开展。我们预期的成效是

将 IT服务的价值量化，将服务与业务需求

合拍，成为业务驱动力，由此，使服务效率

得到很大的提高，使用户对服务的满意度

有所上升。当前已经收到的成效是：服务申

请和处理的流程更清晰，服务请求的处理

响应更快速，处理方式更规范，部门和工程

师之间的沟通协作更通畅，处理过程是可

控制可监督的。

（作者单位为中国人民大学网络与教育技术中心）

图7 通过知识库进行自助服务

图6 服务请求处理的历史状态

中国人民大学 IT建设

未命名-7 2010-11-08, 14:5372PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 73

资源与应用应用系统

网络视频也“低碳”

图1 网络直播系统

负载均衡

卫星信号

CATV

现场直播信号

现场直播信号

Media Encoder

Media ServerOS Windows

Server2003/2008

况下，应聘者并不会拥有一套网络视频会

议系统，并且他们对专业视频软件并不是

很熟悉，所以我们让应聘者采用其熟悉的

IM软件，例如 QQ、MSN、Skype以及微软

的NetMeeting组件，原理如图2所示。首先

我们通过 MPLS（Multi-Protocol Label

Switching） 将网络视频会议的专网接入到会

议室，保障给予网络视频会议一定的带宽。

其次，部署2台笔记本，其中笔记本一将视

音频接入到现有的视频会议系统，并且接

收视音频，通过视频会议系统，将视频投影

到投影幕；笔记本二用于和应聘者交互文

本如 PPT、简历等，而不接收和发送任何视

音频。

总之，网络视频会议在“低碳”上是可

以有所作为的，跨地区之间通过视频会议不

仅可以增加合作和沟通的频率，而且可以省

去来回的时间；即使交通中断，也不会发生

与会者无法参与会议的情况。

随着互联网的发展，网络直播将既可

以实现高清直播及推广高清直播的应用，又

可以让用户通过网络和现场观众一样与嘉宾

进行互动，还可以实现通过虚拟现实技术将

用户透过网络虚拟成一个三维立体人物到现

场中来。

（作者单位为上海交通大学网络信息中心）

文/张海滨

系统构建简易

校园网直播就是摄像机的视音频信号通

过视频采集卡采集以及编码软件（Windows

Media Encoder）压缩、编码成适合在校园网

络上传输的音视频流信号，利用网络实现

直播，例如通过流媒体网络直播系统在网

络上转播电视节目、大型活动、重要会议

等等。

上海交通大学从 2000年就开始尝试校

园直播，目前网络直播在校园应用已经相

当广泛，很多院系、学生社团等师生都已经

能够独自进行校园网络直播。图1简要地描

述了网络直播的基本原理。

这套网络直播系统的组成主要分成 4

个部分：

1.节目源：有线电视信号、卫星电视信

号、现场直播信号或者网络流媒体。

2.编码服务器：需要高性能的服务器

（视频编码对 CPU 的要求比较高），安装视

音频采集卡和编码软件（如微软的 Media

Encoder），视频采集卡负责将模拟基带视频

信号转换成数字视频信号，高性能服务器

实时地将收到的数字视频信号压缩成所需

要的格式，同时发送给视频服务器，这样就

可以实现视音频编码、网络直播以及实现

节目现场录制工作。微软公司已经推出最

新的编码软件Microsoft Expression Encoder，

它可以提供比Media Encoder更高效的VC-

1编码。

3.视频服务器：它安装的是微软的Me-

dia Service。Media Service 支持3种网络传

输协议：UDP、TCP 和 HTTP。除了标准的

传输协议，Media Service使用Microsoft Me-

dia Server (MMS)和Media Stream Broadcast

Distribution(MSBD)两种协议在服务之间传

输信息和单播数据。Microsoft Media技术是

一个能适应多种网络带宽条件的流式多媒

体信息的发布平台，它提供了流式媒体的

制作、发布、播放和管理的一整套解决方

案。另外，它还提供了开发工具包，供二次

开发使用。

4.客户端点播工具：用户通过客户端软

件进行播放。

网络参会节约成本

网络直播系统可以帮助实现校园的教

学网络实时直播授课，也可以实时将会议

现场的会议内容传送到网络终端，而不需

要所有与会者到达现场就可以参与会议，

当然也能将卫星或者有线电视信号通过本

系统实现电视节目网络播出。

学校在教育部的千人计划引进招聘面

试中，针对因为欧洲火山灰导致航班延误

等原因而无法及时到达现场的应聘者，采

用网络视频进行面试。

考虑到大多数应聘者在国外，一般情

图2 有视音频接入输出的会议系统

未命名-7 2010-11-08, 14:5373PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

74中国教育网络 2010.11

文/杨玲 瞿

新的学习观强调成员间的知识构建和

社会协商，认为知识是个体在社会文化背

景下通过与他人的互动和社会的协商建构

起来的，这意味着知识在被个体吸收之前

在学习社区中已经形成。

将学习看做是一种经由社会协商的知

识建构活动，引发人们更加关注知识产生

与知识创新，迎合了知识创造和创新普及

的世界对教育的需求。协作知识建构成为

创新教育的一种理论范式不仅革新了教育

理念，也越来越为教育实践者所接受。

知识管理强调的是对知识进行规范管

理，以利于知识的获取、利用和创新。知识

管理的基本活动包括对知识的获取、整理、

存储、共享、应用和创新。从知识管理的定

义和内涵看出知识管理的核心是为了知识

应用和创新，这与协作知识建构的最终诉

求是一致的。

协作知识建构的过程

对于协作知识建构的过程，国内外已

有很多学者从不同角度进行了一些研究。

其中，Harasim（1989）首先探讨了协作学

习中协作知识建构的过程，将其分为共同

探讨观点，相互评估、检验论证，相互质疑，

协商综合等阶段；Gunawardena（1995）则

从学习者交互的角度，把协作知识建构过

程分为共享和比较信息、发现和分析观点

间的差异、通过提出新建议共同建构知识、

成员间达成共识并应用新知识四个基本阶

段；Stahl（2003）的研究则基于社会建构主

义对学习的解释，构建了协作知识建构的

过程模型。谢幼如探讨了网络课堂中的协

作知识建构过程，提出了该过程包括共享、

论证、协商、创作、反思五个阶段；庄慧娟

和柳婵娟从活动的角度，按学习者活动的

内容分为分享、协商、共识和应用四个阶

段。总结已有的研究成果，可把协作知识建

构过程分为四个连续的发展阶段（见图1）。

这四个阶段是逐步上升的过程，没有明确

的边界。

分享解释：学习者陈述个人观点达到

分享知识的目的，这些观点包括对主题的

描述 、提出问题和解释观点等。

评估协商：成员产生了认识上的矛盾

冲突，通过对比和识别观点，在争辩、讨论

的过程中加强和修正彼此的立场和论据，

将个体想法和知识贡献到公共知识空间。

此阶段成员经过不断地协商考量，逐渐形

成共享的意义网络。

理解共识 ：成员经过反复探讨，在不

断地对想法进行精炼和论证的基础上，获

得共享意义，达成一致理解。

应用反思：把达成一致的观点转为人

工制品（论文、报告、话剧等）并保存在集

体知识网络中。

尤其要指出的是，协作知识建构并不

是一次就完成的。协作知识建构的四个阶

段是一个不断发展，螺旋上升的过程。一个

循环的结束正是新一轮的开始，学习者的

协作能力和知识建构能力经过周而复始的

过程得到完善和提升。同时该过程也实现

了对知识的优化和创新。

知识管理思想下的建构过程

知识管理的SECI模型

知识管理的思想是以显性知识与隐性

知识的区分为基础的。关于知识的认识和

分类，迈克尔·波兰尼提出的显性知识和隐

性知识的概念最为人们接受和传播。显性

知识是指那些能够用严格的数据、科学公

式、公理、文字等符号明确表达出来, 易于

存储、交流和共享的知识；而隐性知识是指

建立在个人经验基础上并涉及各种无形因

素如个人信念、观念、直觉、洞察力和价值

观等的知识，是一类难以表达、描述、交流

和共享的知识。

知识形态的转化

协作知识建构过程是学习者在不断获

取、分享、交流和重新利用知识的过程中实

现知识建构的过程。该过程中成员知识的

协作知识建构创新学习模式

分享解释 评估协商 理解共识 应用反思

图1 协作知识建构的一般过程

协作知识建构是知识建构的一个方

面，知识建构按主体层次不同，又可分为

个体知识建构和协作知识建构。个体知识

建构是指学习者在原有认知结构或经验的

基础上，改组原有的知识经验或创造新意

义。协作知识建构也称协同知识建构，它

是个体在特定的组织中互相协作、共同参

与某种有目的的活动, 最终形成某种观

点、思想、方法等智慧产品的过程。协作

知识构建所揭示的是在一个共同体中如何

表达个人观点并与其他成员进行社会交互

的过程，这里知识的形成是共同体成员相

互构建的结果，它不能独立于所处的社会

文化情境而存在。

协作知识建构

妥协调整

共享意义

形成人

工制品

实践应用

反思总结

评估观点

识别观点异同

争辩讨论

描述主题

提出问题

解释观点

资源与应用 网络教学

未命名-7 2010-11-08, 14:5374PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 75

产生与获取同样经历着知识形态的转化，

学习者的知识通过“外化 -综合化 -内化 -

社会化”的过程向高层螺旋上升，同时有效

地将个体、群体和组织三个层面的知识进

行相互转化。

分享解释阶段是知识的外化阶段。首

先知识以隐性的方式存在于个体成员内部，

这部分知识既包括了个人的先验知识，也

包含了共同体的默会知识。个体通过一定

的方式，结合当前问题情境，在与他人的交

互中将自身具有的隐性知识外化为能被成

员共享的显性知识。

评估协商阶段包含了知识的社会化和

知识初步综合化。学习者分享各种观点之

后，产生了认识上的矛盾冲突,冲突导致了

思考和鉴别。通过观摩彼此的观点获得相

同的经历来激发成员的隐性知识，这是知

识社会化的体现。同时，参与者把彼此的观

点联系起来，这就进入了联结观点阶段。该

阶段正在为共享理解做准备，参与者对别

人的观点发表意见，同意或反对别人的观

点，澄清、阐述证明各自支持的观点，或者

在接受其他人的观点的基础上彼此修正立

场，扩大彼此的共同点，这是初步的知识综

合化。

理解共识阶段包含了知识内化和知识

高度综合化。各种观点的关联和结合点己

经辨别出来，小组基于共享的理解进行积

极的知识建构。小组成员把自己的观点和

知识综合成明确的和一致的结论或成果，

即达成共识。

应用反思阶段

是知识的内化阶段。

小组成员经过努力

共同建构的新知识

作为集体智慧保存

在组织中。个体将集

体共享的知识内化

到自身原有知识结

构并运用它解决问

题。与此同时不断反

思协作知识建构的

整个过程，获取相关

知识并将这些内化了的知识作为下一轮协

作知识建构分享过程中的知识，进行新一

轮的知识转化。

协作知识建构过程中知识形态的转化

通过共同体成员间地交互不断循环，个体

在该过程中对知识加以吸收、转化，在原有

认知结构基础上改组认知结构和创造新意

义。集体知识由共同体成员相互协作、积极

建构得到提升和扩展。

知识管理工具是支撑

教育领域的知识管理工具

为了探索知识管理工具对协作支持建

构的支持和促进作用，可以了解几个有用

的知识管理工具。

第一，概念地图是学习者对某一知识

主题建构的知识结构的视觉化表征，也是

思维结果的图形化表征。它呈现了概念与

概念间的相互关系，是概念地图创建者对

该领域知识地理解，可以帮助理解该领域

知识概念之间的关系和知识的体系结构；

概念图还能提供合作学习平台，促进学生

进行对话与合作，共同建构知识，能帮助学

生进行有意义学习，是管理显性知识的有

力工具。

第二，思维导图是一种类似于概念地

图的知识管理工具。二者区别在于，概念地

图是对知识体系的静态、客观的表示；而思

维导图是对思维过程地导向和记录，思维

导图呈现的是一个思维过程，学习者可以

通过思维导图理清思维的脉络，并可供自

己或他人回顾整个思维过程，有助于隐性

知识的显性化 。

第三，博客是网络上的一种流水记录

形式，主要用于学生记录自己的学习或生

活心得以及自己的原始思想，或者是链接

一些相关的网络资源站点。我们可以借

助博客以思维导图的形式记录学生的学

习过程，辅助学生学习过程中的隐性知

识的管理。

知识管理工具协作知识建构

知识管理工具具有的特点和功能足以

成为支持协作知识建构的有效工具，这种

支持和促进体现在协作知识建构过程的每

个阶段。

首先学生以构图的形式对难以表达

的隐性知识进行显性表述，概念图作为

学生观点的承载体，使各知识、各概念之

间的关系清晰可见，将隐性知识转化为

易理解的形式，为下一步的交流和讨论

奠定基础。

其次学生在发表各自的观点之后进行

激烈讨论，互相启迪，帮助激发创造灵感，

形成新的观点和创意。绘制思维导图是一

项创造性活动，利用思维导图工具来促进

学习者进行头脑风暴。而概念图策略又能

为学生提供一个交流分享经验、建构知识

的协作学习平台，促使学生加强对知识的

意义建构，加速对新的隐性知识地创造、加

快知识的社会化。

学生在完成探讨之后，头脑接受了许

多零散、杂乱的想法和知识点，一时难以抓

住知识的内在联系与要领从而整合知识。

概念图策略就是一种很好帮助学生从纷繁

的知识中找到知识间的联系，实现对某一

主题知识综合化的方法。

在整个过程中不断反思自己的思维过

程和思维方式，用博客和思维导图形式及

时记录下来，学生通过相互阅读博客和观摩

用思维导图可视化了的思维过程或者将知识

应用于实践从而共享经历获得知识。

(作者单位为西南大学计算机与信息科学学院)

资源与应用网络教学

未命名-7 2010-11-08, 14:5375PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

76中国教育网络 2010.11

目标

高校可以根据自己的基础和实际情况确立建设校园一

卡通的目标。建设目标可以有如下几个方面：

1．搭建统一的一卡通系统平台，通过校园卡集成校内

各类消费与身份识别功能，以卡代币、以卡代证，取代校内

各种证件和卡片，实现商务管理和身份识别二大功能。

2．实现校园卡系统各类数据在所有涉卡应用中的流畅

传递，实现持卡人对校园卡账户信息和交易流水的查询。

为校内使用证件的各种应用提供身份识别功能，实时共享

身份信息、白（黑）名单库等信息资源。

3．实现一卡通系统平台与校内各类信息系统之间的数

据交换、互操作和信息共享。如持卡人身份信息来自学籍

管理、人力资源等数据库并与之同步；一卡通系统作为照

片采集源，将持卡人照片同步到校内各个需要照片的信息

系统；实现统一身份认证并在校园各类业务系统间漫游；

提供持卡人办理离校手续、学籍注册缴费等跨部门跨应用

的全域业务服务。

4．建立一卡通专题网站和语音电话、自助服务设施。提

供校园卡使用指南、使用制度查询、网上咨询服务、持卡人

及商户对相关消费（营业）信息的查询，与关联的银行卡之

间的自助实时转账、挂失等服务。

5．提供一卡通系统的交易统计分析、系统安全监控等功能。

6．对于拥有多个校区的高校，要求一卡通系统在各个校

区间通用。

上述目标的选择与学校的信息化基础、校领导的协调

力度大小有很大关系。假如学校的信息化基础较差，就很

难实现上述第3条目标，而校领

导参与协调不够，则一卡通应用

的领域就不会广。

前期工作

高校建设一卡通，是一个复

杂的系统工程，涉及到校内的许

多部门和人群，因此需要做比较

深入的调查研究。

1．校内人群的调研要深入、

细致。需要走访各类部门，清楚地了解校园内人群（包括来

校的校外人员）结构，部门结构、通过何种方式进行管理，

有没有相应的信息系统管理这些人员，这些人员的工号、学

号是如何编制的（这很重要，假如你所在的学校在学生就读

期间学号是会变化的，就要考虑建立一个一进校就不再变化

的学号）。了解清楚这些情况，才能够制定出符合实际的校

园卡管理方案。

2．系统使用部门的调研。一卡通系统可以使用到校园管

理的许多方面，如：餐饮消费、购物消费、乘坐校内班车、

浴室与学生公寓淋浴水控、打开水控制、用电控制、缴纳各

种管理费用（如上网费、教务处办成绩单等小额收费、等级

考试报名费等）、学籍注册、各类门禁、校门身份识别、图

书证功能、预约阅览室、自助复印、图书馆存包、校医院看

病、学生晨跑考勤、学生上课考勤、会议考勤、财务对公结

算等等，涉及到校内许多管理部门。

3．兄弟院校的调研。各个厂家的一卡通系统均有一些特

点，并不完全一样，也没有国家标准，因此调研已经建成一

卡通系统的兄弟院校也十分必要，以了解各校一卡通系统的

厂家特点，各校的管理模式，各种管理模式的优缺点等，再

根据本校实际制定符合本校情况的管理模式。

4．选择银行也非常重要，要与学校的财务部门很好地协

作，尽量使本校有较多的自主权。有了较多的自主权，才能

根据实际情况，不断调整项目的实施范围，弥补前期调研时

对需求把握的不足。此外，与银行很好地合作，也能够有效

地解决财务部门面临的许多问题。

迎新离校环节

现在不少高校建立了处理迎新和离校的信息系统，这些系统

能够实现跨越多个部门的事务处理，有效地减轻了学生和管理部

门的工作负荷，大大方便了学生。在迎新环节中，如何发放校园

卡，如何减少新生进校当天排长队为校园卡充值；毕业生离校

时，如何既避免排长队销户取余额，又能方便地将校园卡中的余

额退还学生，都是我们需要考虑的问题。上海交通大学的做法

是：

通过迎新系统和数字大学共享信息平台，将新生数据同

步到一卡通身份数据库，从网上招生系统采集新生照片，聘

请学生勤工助学将其裁剪成标准尺寸，导入一卡通系统。在

高校一卡通建设需“量体裁衣”

１

2

文 /蒋磊宏

C OST 论坛由 C CERT、《中

国教育网络》杂志于 2008年共同

发起，采取会员制，面向个人，完

全免费，以开放、平等、自由的互

联网精神运作。如需获取 COST技

术论坛视频、录音等资料，请登

录：http://www.cost.edu.cn/。

3

读者服务 COST论坛

未命名-8 2010-11-08, 14:5476PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 77

一卡通系统中批量预开户后，将卡片上需个性化打印的身

份信息导出，连同照片送卡厂制卡。新生报到前一天由各院

系领取卡片，在报到现场发到新生手中。未采集到招生照片

的新生，凭有效证明材料在报到现场拍照制卡（由鼠标控制

相机拍照，一般 1分钟可以制成一张卡）。新生入校前，完

成校园卡与银行卡关联，使新生能够通过圈存机自助将银

行卡中的存款转存到校园卡中。此外，学校还将1个月的政

府伙食补贴预先发放到新生校园卡账户，新生在食堂就餐

时，这笔钱就会划入校园卡上。

毕业生离校时，通过离校系统了解毕业生离校办理情况

和毕业去向。对于正常办理完成离校手续的毕业生，先将校

园卡冻结，当全部脱机交易流水上传到一卡通数据中心后，

将毕业生的校园卡余额导出，通过银行将余额发还到学生关

联的银行卡上。银行返还结果、对账平衡后，将已成功发还

余额的校园卡销户（余额已为0的校园卡也可先期销户）。对

考取本校研究生或将在本校工作的毕业生，要延长他们校园

卡的使用期限，等他们以新的身份进校并取得新的校园卡后，

再行销户。

消费系统

校园一卡通的消费系统，是POS机的嵌入式系统和以数

据库为基础的管理信息系统相互协调的系统。POS机的嵌入

式系统具有自己的业务逻辑，比如如何验证卡片的合法性，

上传流水包括哪些数据项，是先写卡还是先上传流水等等，

这些都会对整个系统的业务逻辑带来直接影响。由于没有国

家标准，各个厂家POS机的业务逻辑是不相同的，高校如果

想把不同厂家的POS机接入到自己的一卡通系统中来，就必

然要为各个厂家单独开发接口程序。对于业务逻辑不同的

POS机，一卡通系统如何处理要很好地考量。

校园中的用卡环境和用卡方式也与社会上的超市、公交

有明显不同。比如食堂用餐，一般不允许每笔交易都输密

码，但为了安全起见，大额消费又需要输入密码验证；校园

内存在着联网交易与脱机交易的混合情况；校园卡实行实名

制，可以挂失，每次交易系统要检验卡片的合法性；目前大

量采用的非接触式校园卡，持卡人会在POS机上将卡片一晃

而过，可能导致交易没有正常完成。另外，系统不可避免地

会发生终端设备故障等原因，一卡通系统会出现错账、卡片

余额与数据库余额不一致等情况。因此，一卡通系统是否有

合理的安全策略和纠错能力显得尤其重要。对高校来说，认

真分析产生错账和余额不一致的现象、原因及对应的处理方

法，编印卡务中心操作员规范，对卡务操作人员开展详细的

培训，可以提升卡务中心的纠错处理能力。

通过一卡通专题网站的双向互动功能，引导持卡人在

网站上发贴，询问涉及卡片使用的任何问题，卡务中心安

排专人，每日关注持卡人的问题，有针对性对做出客观的、

令人信服的回答，有助于持卡人了解一卡通系统，提高用

户的满意度。

Q 我校正在和电信合作“翼机通”，即用电信的天翼手机

卡代替一卡通的卡片，实现一卡

通的所有功能。请问网络中心需

要特别关注哪些细节？

A 我个人觉得手机支付是一个新方向。不过，我们必须考

虑一些存在的问题，比如：手机

不方便在浴室里使用；手机一卡

通的设备及账号开通需要运营商

配合，这样就会将学生与特定的

运营商绑定。所以，我认为要慎

重考虑是否选用手机一卡通。

Q 上海交大有没有用到第三方读卡器作为其他系统利用校

园卡做身份验证的接口？

A 我们没有使用第三方读

卡器，这是因为如果我们使用第

三方读卡器，我们就必须将学校

的密钥告诉第三方厂家，它才能

读取校园卡。这样容易使密钥系

统出现问题。

Q 临时卡和正式职工卡、学生卡在功能上有哪些区别？

A 我校一卡通按照身份管理。身份类别在信息系统中的

功能不同。当卡制好后，系统会

将数据传送到其他相关系统。

我们以图书馆作为例子。卡的

主人如果是本科生、研究生、教

职工，图书馆系统则马上开通

图书证的功能，如果是普通校

园卡的用户，则数据会保存在

图书馆，但是图书馆不会开通

图书证的功能。

我认为我们在进行数字校园

规划时要考虑好哪些类型的身份

享受哪些待遇。

Q 有哪些原因导致卡库不平？A 我举几种情况：1.自助转

账时，存款写卡失败。比如银行

已扣款，系统也已经存到一卡通

数据库里，但是卡片取走得太快，

写卡时，机器找不到卡片，这就

造成账户余额大于卡片余额。我

们的处理方式是：系统马上生产

补助流水，只要卡片再次插入

POS机，正确的余额就可以写到

卡上；若账户上都没有写入正确

余额，则银行与财务处就会对账，

然后财务处就会发送补助流水到

持卡人的账户上。这些情况一般

是在持卡人未察觉的情况下完成

的。2.充值时，有的人取卡过快，

现金数额并未写在卡上，导致账

户余额大于卡片余额，这时持卡

人会到卡务中心查证，我们就会

将库余额和卡余额进行矫正。3.

持卡人在食堂消费时，卡片快速

晃了一下，卡片写上了，但是没

有产生流水，这时系统会发出报

警的声音，操作人员就会要求持

卡人将卡片放回 POS机上，系统

会自动检查出故障的卡片，让卡

片继续完成交易。4.POS机写卡

出问题，卡余额变多或变小。5.

存在未上传的脱机流水。上海交

通大学的校园网建设得相对比较

好，脱机流水比较少，但是有些

学校却存在较多脱机流水，这种

情况也极有可能造成卡库不平。

6.交易流水丢失。7.设备发生故

障时，发生重复上传流水。8.在

持卡人换卡时，脱机流水可能还

未上传，此时，写入新卡的是数

据库记录的情况，当脱机流水上

传后就会发生卡库不平。

Q=COST论坛用户

A=上海交通大学网络信息中心蒋磊宏

4

(上海交通大学网络信息中心)

建设与管理COST论坛 读者服务

未命名-8 2010-11-08, 14:5477PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

78中国教育网络 2010.11

随着校园网规模的扩大，很多学校申请拿到的IP地址段

也在不断增加。这些在不同阶段申请的 IP往往分布在若干

个不连续的地址块里。如果由于各种原因，某些 IP地址段不

使用并且校内路由策略配置不当，就可能会被利用引发严

重的安全威胁。

在教科网路由器上，一般都会用静态路由把这些地址段

指向各个接入学校的路由器链路地址，不会启用动态路由

协议（例如 ip route 202.120.0.0/18 10.0.0.2，这里202.

120.0.0/18是64个C的地址段，10.0.0.2是接入学校端的

链路地址）。对于很多学校来说，在边界路由器上默认的路

由可能也就是指向教科网路由器的链路地址（例如ip route

0.0.0.0/0 10.0.0.1，这里10.0.0.1是接入教科网端的链

路地址）。

规范的做法是在校园网内的某台路由器上对所拥有的全

部地址块都指向 null0丢弃（例如 ip route 202.120.0.0/18

null0），并把这个指向null0的静态路由重分布进校园网路由

(常见的是使用 ospf协议，也许也有用 bgp的)。根据最长掩

码匹配原则，路由器会选择路由表中到达同一目的地的子网

掩码最长的路由。如果在校园内某处里有202.120.0.0/24

的子网，那么可以不受影响地进行正常校内外路由。实际情

况中，学校不可能把拥有的全部地址都分配使用完毕，终归

会有一些地址段预留备用。假设学校有一段202.120.1.0/24

的子网没有分配，并且之前的指向 null0丢弃也没进行，那

么校园网路由表内就没有202.120.1.0/24相关的路由信息，

这时安全威胁就浮现出来了。

假设校外向202.120.1.0/24这个子网内的任意 IP地址

发大量报文，那么这些报文会顺理成章地进入到校园网边界

路由器，但是校园网路由表里又没有这段地址信息，就会按

默认路由重新送回校外教科网路由器。这些报文在校园网出

口链路上反复震荡，直到 TTL=0被丢弃。如果是一定强度

的持续恶意攻击，攻击流量就会被放大了若干倍，甚至引起

校园网出口链路带宽耗尽，影响正常网络使用。从校内向

202.120.1.0/24这个子网内的任意 IP地址发报文也会引起

同样的后果。这实际上就是形成了一个三层的环路。

很多网络安全问题往往出在平时被忽视的细节问题上。

网管人员要严格遵守安全规范，提高业务技能，以降低各类

安全事件发生的可能性。

校园网出口三层环路引发的安全威胁

某一天，笔者发现学校网页打开的速度很慢，其他上网

的软件打不开，但QQ使用正常，于是重启计算机，打开杀

毒软件全面杀毒，结果，情况并未好转。同时，部分用户

也在电话中反映了类似的情况。

既然其他用户同样遇到了这种问题，说明终端并没有

问题，而是学校到DNS服务器之间的网络出现问题。

在经过排查之后，我们将故障关键点锁定在核心交换

机上。为了查找问题所在，我们采用替换法，这种方法是

检查硬件问题的最常用的方法，经常用来检查线路、端口

和设备。

我们在核心交换机中 ping防火墙，同时去热拔插连

接在核心交换机上的服务器，连接服务器是一根线出去，

连接在一个交换机上，8台服务器全部连接在这台交换

机上。

首先直接把交换机电源拔掉，查看在核心交换机上

ping防火墙的数据，发现关掉连接服务器的交换机之后，

核心交换机与防火墙 ping通了，而且没有掉包。

于是，我们可以确认是与交换机相连接的一台或多台

服务器出现问题。

由于最近这6台服务器经常被挂马，运行不稳定，如果

其中一台或者多台服务器中毒，就会向核心交换机不停地

发送数据包，致使核心处理能力下降，占用资源，那么连

接在核心交换机的所有用户就会发生上网中断或者时好时

坏的现象。

因此，我们断定有问题的服务器一定是发包多、收包

少，这样才会把核心交换机堵塞。

我们打开每台服务器的计算机连接界面，发现其中一

台服务器的发包和收包严重失衡，找到了问题的根源。

我们在找出这台服务器有问题之后，首先对本机杀毒

软件进行升级，打补丁，然后 ping防火墙，此时网络畅通，

也不丢包。我们断网后马上查杀本机的病毒，扫描木马。

操作完毕后，我们发现了10多个病毒，于是将感染病

毒的重要文件筛选出来，防止杀毒软件将其当成病毒删掉，

影响服务器的正常运行，然后将病毒删除。经过测试之后，

一切恢复正常。

（作者单位为湖北省咸宁职业技术学院网络中心）

清除病毒：解网速变慢之困

文 /姜开达

文 /刘坚强

(作者单位为上海交通大学网络信息中心)

读者服务 网管技巧

未命名-8 2010-11-08, 14:5478PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

2010.11 中国教育网络 79

Android前世今生

Android系统从宣布到现在经历了

近三个春秋，应该被越来越多的人所

认可，但是相信还是有很大一部分人

对 Android的印象还是处于朦胧状态。

那么何谓 Android系统？

Android顾名思义指“机器人”。最

先是由硅谷的著名极客 Andy Rubin创

办的Android公司进行开发设计的，之

后该公司获得了很多同行的青睐，而

就在这时Rubin给Google公司的创始人

拉里·佩奇发了封邮件，数周之后

Google便宣布收购 Android。

Android是Google于 2007年 11月

5日宣布的基于 Linux的开源的手机操

作系统。该平台由操作系统、中间件、

用户界面和应用软件组成。号称是首

个为移动终端打造的真正开放和完整

的移动软件平台。

同时，Google于 2007年 11月 5日

宣布组建一个全球性的联盟组织，即

开放手机联盟（OHA，Open Handset

Alliance）。该开放手机联盟由手机制造

商、软件公司、半导体公司和移动运营

商等组成，包括中国移动、中国联通、

华为、中兴、联想等在内的 48家企业

（还在不断更新中）。该联盟支持Google

发布的手机操作系统和应用软件，并

共同开发 Android系统。

Android系统架构

A n d r o i d 平台采用了软件叠层

（Software Stack）的架构。最底层是

Linux内核，在软件和硬件层建立了一

个抽象层，使得开发人员无需关心硬

件细节。在内核层之上是系统库和运

行环境，其中包含了核心库和Dalvik虚

拟机。然后是应用框架层，该层是进行

Android应用开发的基础。最后是应用

层，主要是Android系统默认提供的一

系列的核心应用程序。

Android优势

根据市场研究机构 IDC的相关预

测，到2013年底，Android有望成为增

速最快的手机操作系统，届时将成为

全球第二大智能手机操作系统。那么

Android核心优势在于何处？笔者认为

Android的优势很大一部分来源于谷歌

的创新能力以及谷歌对用户行为数据

和全球数字信息的整合。

1.开放性

Android的源代码是遵循Apache V2

软件许可的，而不是通常的GPL v2许

可。因而，Android作为一款免费的开源

的平台，与封闭式的操作系统Windows

Mobile及半开放式操作系统Symbian OS

相比，更容易吸引厂商的投入。

2.应用平等性

Android中的应用程序都是运行在

核心引擎Dalvik虚拟机之上的，撇开该

核心引擎，Android中的所有程序都可

Android：新一代智能手机操作系统标杆

文/郭国勇 周庆国

近年来，随着生活水平的不断提高，现在的手

机系统越来越不能满足人们对功能和应用的需求，

同时，这也是全球手机市场发展的共同趋势。那么

何谓新一代智能手机？

电信专家付亮认为：新一代智能手机应该能够

更好地向 PC和互联网学习，同时，应该具备融合

互联网业务的特点，即新一代智能手机应该能够适

Andy Rubin

以视为“应用”。

3.应用无界性

用户可以把互联网上的数据与本

地的日历、联系人、位置等信息结合起

来，从而创造全新的用户体验。

4.应用开发方便性

为了方便开发人员进行应用程序的

开发 Google提供了大量的诸如 Google

Map之类的实用工具及应用框架。

5.广泛的社区支持

由于Android内核基于Linux，因此，

具有强大的 Linux社区的支持。

6.全新的管理模式

凭借Google的市场优势，使得产业

链中的各方（运营商、制造商、软件公

司以及独立开发者等）都可以获得不

错的利益。这开创了“互联网企业+运

营商 +手机厂商+开发者”共同创盈

的新型管理模式，极大地激发了开发

者的热情。

7.与互联网的无缝对接

与苹果的iPhone手机操作系统相比，

Android采用了WebKit浏览器引擎，能够

搜索、观赏视频节目和查收电子邮件。

8.可移植性

同样，由于 Android内核是基于

Linux的，自从 Android一出世，很多

开发者便开始从事 Android的相关移

植工作，目前已成功移植到诸如EeePC

等上网本上并成

功运行。

同时，福特

和通用汽车，为

了对抗其他同行

的攻势，决定正

式与 Goog l e 合

作，借助于 An-

droid系统强大的

功能，共同开发“Android Car”，届时

Android将会和汽车进行无缝对接。

应互联网发展的特性，把互联网、通信、移动等融合

在一起。

此外，新一代智能手机应该打破陈规，建立起全

新的管理模式，从而对整个产业链的各个环节都能带

来巨大的经济效益，最终让用户受益。

根据以上对 Android系统的分析介绍，不难看出

Android将成为新一代网络智能手机的标杆。

新一代智能手机

(作者单位为兰州大学网络计算研究所)

建设与管理新思维 读者服务

未命名-8 2010-11-08, 14:5479PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn

80中国教育网络 2010.11

未命名-8 2010-11-08, 14:5480PDF 文件使用 "pdfFactory Pro" 试用版本创建 www.fineprint.cn