国家教育网络建设方案建议书(编辑修改稿)

国家教育网络建设方案建议书(编辑修改稿)内容摘要：

性，如果没有在网络的路由器上配置访问列表，则所有通过路由器的分组将可以进入网络的任何部分。 应该在防火墙和路由器上使用访问列表，防火墙通常 位于内部网与外部网之间，也可以在网络两部分之间的路由器上使用访问列表，以便控制进入或流出内部网络特定部分的数据流。 而对于路由器，应该在路由接口上为每种网络协议配置访问列表。 以便在一个接口上过滤进站数据流、出站数据流或同时过滤他们。 必须针对每一种协议定义访问列表，换而言之，如果想要控制接口上可用协议的数据流，则应该为接口上启用的每种协议定义访问列表。 （ 4）网络数据加密 在不可靠的网络上传输的数据无法防范任何攻击。 数据经过路由器时，任何能够访问该路由器的人都能够读取、改写或伪造它。 对通过不可靠的网络从一台路由器传输到另一台路由器的网络数据，加密为他们提供了保护。 传输机密和关键数据时，加密显得尤为重要。 13 建立加密会话期间，参与会话的两个对等路由器都将试图验证对方的身份。 任何一方没有通过身份验证，都将无法建立加密会话，因此不能传输加密信息。 对等身份验证确保只有已知的、可信的对等路由器才会交换加密信息，防止路由器被欺骗，而向非法或欺骗目标路由器发送敏感的加密信息。 通常情况下，对等路由器被置于不可靠网络的边缘，以便在两个物理上独立的安全网络间提供安全通信。 从安全网络端进入对等路由器的明文信息被加密，并通过不可靠的 网络进行转发。 当加密信息到达远程对等路由器时，路由器将对信息进行解密，然后将解密后的信息转发到远程的安全网络中。 分组在对等路由器的出站接口上被加密，然后在另一台对等路由器的入站接口上被解密。 目前国际通行的加密方式为：数字签名标准（ DSS）、 DiffleHellmen（ DH）公用密钥算法和数据加密标准（ DES）。 DSS 用于对等路由器身份验证。 DH算法和DES 标准用于在对等路由器之间发起和执行加密通信会话。 （ 5）其他安全措施 除了上述的安全措施，在对终端的安全考虑也是一个很重要的组成部分。 我们使用口令和 指定权限级别是在网络中提供终端访问控制的一种简单有效的方法。 其中主要包括保护对特权 EXEC 命令的访问；加密口令；配置多重权限级别；恢复丢失的有效口令；恢复丢失的线路口令；配置标识支持。 数据库的建设 在网络系统建成之后，我们需要在这个系统上实现各种各样的应用，而这些应用的基础就是数据库。 目前，国际通用的数据库大部分来自 Informix； Oracle 和 Sybase 这三大数据库生产商。 这些数据库都拥有相对完善的基础开发平台和各种功能插件，能够支持在目前流行的如 UNIX、 Solaris、 AIX、 Windows 20xx Server 和 Windows NT Server 等操作系统上运行。 能够支持在目前大多数硬件产品上使用，对于通用的硬件如网卡、光纤通道卡、 SCSI 卡和 RAID 卡之类也都有内置的品牌库可供识别。 能够支持大多数语言的二次开发，如 C、 C++、 VB、 VC、 JAVA、 JAVA Script等。 因此，这三种数据库不但能在绝大多数硬件匹配和操作系统环境中使用，同 14 时还为各种小型的专业功能数据库的开发提供了良好的底层基础。 现在，这些数据库都先后推出了各自的网络版本，比之以前只支持单机开发功能更全面、更强大，网 络版本能支持多用户的协同开发。 一般来说，标准网络版本可支持 25 用户同时使用，如果需要支持更多用户使用，只需在原有标准版本的基础上购买增加用户的 Licence 即可。 可见，这些成熟的数据库系统都能够提供一种平滑的用户升级方式，可以依据用户使用的需要、发展的需要提供增长性的功能，使用户合理的安排自己的投资，只在需要的时候进行购买，而不必担心产品是否会随用户的需求增长而被淘汰的问题。 随着技术的发展，这三种数据库相互之间的数据共享、结构匹配、功能融合也越来越全面、越来越完善，界面越来越人性化，用户可以同时使用这三种 数据库而不会觉得其中的一种数据不能被其他两种识别。 这些功能使用户获得了更广泛和更有深度的使用范围。 下面简单介绍一下三种数据库各自的功能特点： （ 1） Informix 数据库 informix 关系数据库系统是美国 informix Software ，具有很好的兼容性和可移植性，可联接性好，功能强大，便于维护，安全性好等特点，经过几十年的发展，已成为功能最齐全、最受欢迎的关系数据库管理系统之一。 据 IDG1992 年度的统计结果显示， informix 在全世界范围内拥有在 unix、xenix 上 最多的用户，其所占份额达 37％，该产品在开放系统上向不同层次的用户及不同领域的应用提供了全面的信息管理解决方案。 全世界 已有越来越多的用户正在使用或准备使用 informix 软件来开发数据库管理系统。 Intormix 数据库的主要特点： 可提供原有文本文件与 informix 数据库表的双向转换技术 可充分调用特种类型的函数 可利用各种文本编辑软件提高开发效率 可提供次序调试过程中的出错检验功能 可利用动态语句实现程序通用设计 INFORMIX 主要产品分为三大部分： 数据库服务器 (数据库核心 )； 应用开发 15 工具 ； 网络数 据库互联产品。 数据库服务器有两种，作用都是提供数据操作和管理： SE：完全基于 UNIX 操作系统，主要针对非多媒体的较少用户数的应用 ONLINE：针对大量用户的联机事务处理和多媒体应用环境 应用开发工具是用以开发应用程序必要的环境和工具，主要也有两个系列： 4GL： INFORMIX 传统的基于字符界面的开发工具，该系列的主要产品有五个，他们是 ISQL、 4GL RDS、 4GL C COMPILER、 4GL ID和 ESQL/C。 NewEra： INFORMIX 最新提供的具有事件驱动能力、面向对象的基于各种图 形界面的开发工具。 其中， Informix Online 是一个多线程数据库，能够使用数据库进程的动态池和多并发线程来并行相应客户请求。 这种体系结构具有高度的可扩展性。 每个虚拟处理器，属于专门处理某一任务的虚拟处理器组。 数据库调度线程，并决定其优先级。 Informix Online 通过其并行数据查询选项，实现了并行机制。 该数据库的内存配置是动态的。 允许对内存、 CPU和磁盘进行配置， 可以指定缺省的共享内存大小，及需要时必须增加的大小；也可以在运行时分配或收回共享内存。 可以指定启动时，虚拟处理器的数目，这个数目在 系统运行时可以被改动。 另外可以指定处理器间的亲密关系，该参数可将虚拟处理器绑到指定的处理器上。 该数据库能有机的分配现有的硬件资源，总是将他们使用到当前最需要的应用上。 （ 2） Oracle 数据库 ORACLE 是以高级结构化查询语言 (SQL)为基础的大型关系数据库，通俗地讲它是用方便逻辑管理的语言操纵大量有规律数据的集合。 是目前最流行的客户/服务器 (CLIENT/SERVER)体系结构的数据库之一。 物理结构 —— ORACLE 数据库在物理上是存储于硬盘的各种文件。 它是活动的，可扩充的，随着 数据的添加和应用程序 的增大而变化。 分布式数据库管理 —— 物理上存放于网络的多个 ORACLE 数据库，逻辑上可以看成一个单个的大数据 库。 用户可以通过网络对异地数据库中的数据同时进行存取，而服务器之间的协同处理对于工作站用户及应用程序而言是完全透明的：开发人员无需关心网络的连接细节、无需关心数据在网络接点中的具体分布情 16 况、也无需关心服务器之间的协调工作过程。 由网络相连的两个 ORACLE 数据库之间通过数据库链接 (DBLINKS)建立访问机 制，相当于一方以另一方的某用户远程登录所做的操作。 但 ORACLE 采用的一些高级管 理方法，如同义词 (SYNONME)等使我们觉察不到这个过程，似乎远端的数据就在本地。 数据库复制技术包括：实时复制、定时复制、储存转发复制。 对复制的力度而言，有整个数据库表的复制，表中部分行的复制。 在复制的过程中，有自动冲突检测和解决的手段。 逻辑结构 —— ORACLE 数据库在逻辑上是由许多表空间构成。 主要分为系统表空间和非系统 表空间。 非系统表空间内存储着各项应用的数据、索引、程序等相关信息。 我们准备上马一个较大的 ORACLE 应用系统时，应该创建它所独占的表空间，同时定义 物理文件的存放路径和所占硬盘的大小。 特点： 以来引入了共享 SQL 和多线索服务器体系结构。 这减少了 ORACLE的资源占用，并增强了 ORACLE 的能力，使之在低档软硬件平台上用较少的资源就可以支持更多的用户，而在高档平台上可以支持成百上千个用户。 提供了基于角色 (ROLE)分工的安全保密管理。 在数据库管理功能、完整性 检查、安全性、一致性方面都有良好的表现。 支持大量多媒体数据，如二进制图形、声音、动画以及多维数据结构等。 提供了与第三代高级语言的接口软件 PRO*系列，能在 C,C++等主语言中嵌入SQL 语句及过程化 (PL/SQL)语句，对数据库中的 数据进行操纵。 加上它有许多优秀的前台开发工具如 POWER BUILD、 SQL*FORMS、 VISIA BASIC 等，可以快速开 发生成基于客户端 PC 平台的应用程序，并具有良好的移植性。 提供了新的分布式数据库能力。 可通过网络较方便地读写远端数据库里的数据，并有对称复制的技术。 （ 3） Sybase 数据库 Sybase 开放体系的企业基础架构软件问世已有十九年。 Sybase 的企业软件解决方案适用于所有的技术平台，极大地保证了产品的兼容性，真正实现了“Everything Works Better When Everything Works Together”。 Sybase 的产品系列囊括了数据库、开发工具、集成中间件、企业门户、以及移动无线服务 17 器等。 目前， Sybase 针对政府部门的工作特点推出了完整的政府行业解决方案，其中包括为教育部门建立分布式数据库的解决方案。 使用 Adaptive Server Anywhere 为各级部门建设信息化系统 —— 数据库是信息系统的核心。 然而，政府行业对于数据库的需求不仅要求数据库能够提供强大的功能与性能，更重要的是对数据库的维护，要求越简单越好。 同时要求该数据库能够支持多种平台 ，而且具有强大的可扩展性从而满足不断的数据增长需求。 Adaptive Server Anywhere 是一个强大的中型关系型数据库，具有无与伦的可靠性，提供了全面的企业级功能。 MobiLink—— 多平台同步：在远程设备和企业系统之间 (包括 Adaptive Server Anywhere、 Sybase Adaptive Server Enterprise、 Oracle、 Microsoft SQL Server、 IBM DB2)可靠的、双向的同步。 支持多种同步和网络协议：包括 TCP/IP、HTTP、 Palm HotSync、 HotSync Server 和 Microsoft ActiveSync 以及各种无线协议。 可选的、强大的、可同步通信的 128 位加密。 高可伸缩性，可支持数千个远程数据库。 支持水平和垂直的数据子集。 高度灵活的用户身份验证逻辑。 异构数据库之间的数据交换平台 —— 如果其他一些政府行业部门建设了信息系统，那么在政府部门之间进行信息交换将成为一个很重要的问题。 基于 ASA与 Mobilink 的数据交换平台为这种信息交换提供了崭新的思路与解决方案。 如果两个部门分别使用 Sybase ASE、 Oracle、 DB2 或 SQL Server 建立了自己的信息系统，而这两个系统之间需要进行数据交换。 Mobilink 对各种主流的后台数据库的支持使 SQL Anywhere Studio 成为可靠的易维护的性价比高的在两个异后构数据库系统之间进行数据交换的平台。 中心数据库 Sybase IQ Multiplex—— 中心数据库位于国家教育部的信息中心，对于该中心数据库能够提供的功能是：大数据量，可能会超过几个 TB； 主要用于统计、查询、分析，所以需要快速的查询性能 ； 可不断的进行扩展。 UPS 电源 在整个网络系统建成并投入使用之前， 我们还需要考虑电力支持的问题。 对于本次国家教育系统网络建设，我们考虑在国家教育部的信息中心使用在线式电 18 力支持，这种方式能持续的为整个信息中心提供恒定电压和稳定电流，最大限度的保证了设备的使用寿命。 在外部电力停止供电后，仍然能满足信息中心所有网络设备正常运行两个小时，以便我们有足够的时间完成手头的工作并将它们存储起来。 对于各州、区教育系统和学校的信息中心，我们考虑采用后备式电力支持，这种方式在日常电力供应中并不参与工作，只在外部电力停止供电后自动启动，为信息中心提供电力支持约一小时到 30分钟不等。 四、网 络的可扩展性 在规划国家教育网络时着重考虑了网络扩展性的问题。 主要体现在硬件选型、通信线路、网络应用方面。 在硬件选型方面，我们选择的硬件设备，尤其是网络设备，基本都具有模块化的特点。 这种模块化的特点带来的优点是显而易见的。 我们需要实现什么样的功能，就选择什么样的模块，插在机箱中就能使用，如果暂时不需要，就不购买。 随用随买，充分保护了我们的投资延续性和使用灵活性。