高校:IT发展正当融合
伴随着国内大学扩招,高校的学生规模与教学模式都发生了翻天覆地的变化,反映到信息化上来,高校的网络必须能够支持越来越多的师生访问量,同时能够保证安全,此外,高校的工作、科研、办公也必须做到井井有条。
从国内高校的实际情况看,大部分学校已经完成了从第一阶段—组建网络连接,到第二阶段—优化网络设施的过程,国内高校普遍开始进入网络应用的第三个阶段—全面网络应用。在这个阶段,不仅高校网络的复杂度越来越高,而且应用的带宽分配、QoS保证、网络的管理问题、安全性能,已经逐渐提上了日程。需要关注的是网络安全,近两年来,众多的网络病毒与攻击行为在校园网中频频发作,这就注定了网络安全将成为国内高校在目前的主要发展方向。但是,传统的为了安全而建立安全网络的方案很难解决校园网的现实问题。因为100%的安全最好就是网络分割,办公、一卡通、视频、科研、宿舍网络全部分开,但由此形成一个个的信息孤岛,不仅管理难度与工作量显著上升,而且学校的投资会很大。为此性价比较高的方案是多网络融合,一张校园网跑多业务已经成为国内大学建网主流。
在多网融合方案中,高校为了杜绝非法用户接入网络,目前较好的方法是采用全面的身份认证系统解决。身份认证采用802.1X以及相关的属性协议(RFC系列协议组),在网络中心组建Radius认证计费服务器,同时在用户电脑中安装相应的客户端软件。用户在接入网络的时候,其账户名、口令、客户端软件、IP地址、MAC地址、交换机端口等信息都会形成绑定,进而可以进行准确地身份认证,不仅杜绝代理的产生,而且确保接入的唯一性。此外,客户端软件也会与用户的杀毒软件形成绑定,同时检测相应的病毒、补丁更新时间,确保用户接入网络的安全性。
对于学生们有意进行攻击或者传播病毒的行为,包括少数学生进行恶意盗取一卡通账号行为,目前国内高校大多采取用IDS配合设备联动的方案(少数学校已经开始采用IPS)。在病毒或攻击发出大量报文的时候,一般会被网络中的IDS设备抓到,IDS会与身份认证系统做匹配,找到该用户在哪个端口上,认证系统会警告用户:要么杀毒,要么下网。如果用户继续上网,IDS继续抓到报文,联动防火墙采取相应措施,同时联动交换机,将该用户直接隔离或者踢下线。
对于盗取账号的攻击,应用层安全则是最主要的。好的方案就是选用高级别的IPS、服务器、交换机等设备处理关键应用。
如果这些发起攻击的师生并非有意破坏,大多是他们在不知情的情况下被安装了木马,或者感染了病毒,随即在网络中发作。
学校可以在客户端进行相应的设置,如果用户没有安装杀毒软件,或者很长时间没有进行病毒定义、补丁的更新,可以视为高风险用户,采取远程安装、隔离到安全区域或不允许上网的措施。另外,目前国内高校普遍认为,完善的校园网络必须要做到一个关键点:那就是在满足高校建网与进一步发展的过程中,尽量保持原有投资的解决方案。因此,很多高校都希望利用为数不多的资金投入,在原有网络交换设备尽量不更换的前提下,依靠加入新的身份认证系统保证网络的一部分安全。
一些步伐更快的高校,为了保证完善网络的性价比,已经开始采用Linux平台实现安全方案。在身份认证系统中利用Linux平台,虽然对开发和维护的简便性做出了牺牲,但是却极大地保证了系统的安全性,同时在很大程度上减小了严重攻击发生的可能,而且Linux数据库与操作系统的低成本,也保证了性价比。
另外,根据中央的8号文件和16号文件也要求,高校必须落实大学生的思想政治工作,对于一些BBS的管理,要陆续采用实名制访问。因此,当前越来越多的高校已经纷纷着手建立网络实名制管理系统,包括了日志、数据库管理、网络巡检等系统。
网络游戏:IT投资破茧元年
中国的网络游戏行业从2004年实现井喷,国内游戏市场当年销售收入24.7亿元人民币,并预计将以34.7%的复合增长速度持续到2009年,网络游戏用户将超过4000万人,整体盈收达到109.6亿元的规模。
伴随网络游戏产业的发展,游戏运营商对于自身的IT技术设施建设提出了更高的要求。目前,国内游戏运营商主要采用自建服务器、服务器托管、软件投资和租用宽带的建设模式。这里面包括了符合专区需求的服务器、服务器操作软件、IDC硬件资源、游戏运营商服务器作业管理资源、维护资源、高速电信网络资源、以及一部分大型网吧的软硬件投入费用。
但仅仅这些还不够!面对日益成熟的玩家市场,游戏开发商和运营商必须为他们提供更具吸引力的内容和更好的游戏体验,因此需要一个优化的游戏服务器设计架构,并以此保证带来性能的提升与运营成本的下降。为此,从2004年起,各家主流游戏运营商都在开发适合自身运营模式的IT基础架构。
目前来看,这种IT基础架构与保险业的核心系统有些相似,主要分为六大职能,分别是:界面入口、社区功能、游戏功能、基础架构功能、后台功能与改进功能。在相关的职能区域内部,需要集成服务器和存储管理的软、硬件产品和服务,包括开放/标准系统平台、刀片中心服务器群、Unix服务器、高速存储产品、大型数据库、网络管理系统、专业技术支持等,主要用以加强开发商和运营商的监控、防范和平衡负荷的能力,从而为使用者提供充分的灵活性来响应不断发展变化的内外环境。
另外,为了优化目前游戏运营商的服务器资源,保证服务器的可用性能,很多游戏开发商与运营商青睐采用网格技术进行系统设计与服务。这样的好处是,可以从一开始就对游戏引擎的结构做出优化的选择,便于开发商更好地与运营商进行资源利用。特别是对于那些拥有超大范围地图的游戏。网格技术避免了传统上“切块”的处理方法,而是以自由动态分割为基础。在不同服务期间可以自由组合资源。
其实,网格技术依然基于单元切分模型,它把所使用到的地图资源,去切分成尽可能小的资源单元。每一个单元都是一个地图上的最小特性,它包括了自己的数据信息和特性,与其他单元之间的通信方法,以及位于其他服务器上的单元之间的通信联系。这些小的单元形成为一个资源子集,再由这个子集形成一些分区,再把这些分区和子集放到游戏运行的服务器上去。这种放置是一种动态的,而不是说子集放在第一个服务器就永远放在第一个服务器了,将来有可能根据用户对于服务器的访问和网络的流量,和所在的服务器受访问的热门程度,去动态的调控这些子集所在的位置。
网格技术可以在不大量增加成本的前提下,帮助网络游戏运营商实现一个动态的负载均衡,甚至可以在游戏运行中自动移动在线玩家,可以极大缓解游戏服务器局部过热的情况,同时提高服务器利用率。另外,为了解决系统资源精确匹配的问题,游戏运营商目前另一个工作重点就是建设“IT资源池”模型,即利用企业现有资源,把不同的游戏应用程序与不同性能的服务器整合起来,形成一个统一的资源池,提供所有的游戏使用。这样的方案彻底改变了以往每一款网络游戏都需要一组服务器做支撑的模式。在经过“资源池”动态调配后,运营商可以实现:
第一,无论有多少新游戏上线,都可以通过灵活的后台基础架构,统一整合调用公司的所有服务器资源,包括后台客户支持的资源;
第二,不同游戏对于服务器要求不同,“资源池”支持运营商根据不同要求去定义不同的服务等级。这就是说,当运营商提供一般的游戏服务,就可以调用低性能的服务器资源;而当公司上线一些消耗资源较大的游戏的时候,就可以自动调用后台的高性能资源;
第三,如果运营商可以直接向“资源池”中增加新的服务器。与以往不同的是,现在新加一台服务器不是为了某一款游戏来使用的,而是为了所有的游戏、服务来使用的。
