编辑:中国科学技术大学 网络信息中心             联系人:姜玲 0551-63603400 ljiang@ustc.edu.cn
   
本期导读

一、近期要闻

  • 我校主要应用系统接入统一身份认证

    3月15日,我校主要应用系统接入统一身份认证工作顺利完成。已接入的应用系统可在校园信息门户(http://i.ustc.edu.cn)上统一访问,其他零星应用系统正在逐步接入。未来,学校新建的应用系统按要求均需接入统一身份认证。

    统一身份认证系统集中管理和维护用户信息,避免师生记忆多个系统多套用户密码,保证了同一用户在不同的应用系统中身份的一致性。师生可以使用“工号或学号+密码”认证身份,一次登录可以直接进入所有接入统一身份认证的应用系统,不再需要逐一登录,给师生带来极大的便利,真正做到“一次登录,多系统漫游”。


  • 中国国家网格合肥运行中心在我校正式启用

    近期又一个国家级系统运行中心落户我校。2017年3月16日,在国家重点研发计划“国家高性能计算环境服务化机制与支撑体系研究项目工作会议”上举行了中国国家网格合肥运行中心授牌仪式。合肥运行中心是国家网格和中科院超级计算环境除主站之外的运行中心,双运行中心将为国家网格和院超算环境提供更可靠的服务,保证相关业务的正常高效运行。


  • 我校科技网出口带宽和教工邮箱容量进一步升级

    为更好满足我校教学科研工作的需求,近期我中心将我校的科技网出口由“科技服务”升级为“科技精品”,除出口带宽达到100Mbps外,院内单位之间通讯不限带宽,将大大提高我校与各研究所之间的通信带宽。

    通过对存储系统的挖潜,我中心近期将教师邮箱容量的基础限额提升了一倍,达到8GB,使我校教工能够更加便捷地使用电子邮件服务。


  • 新增科学绘图和数据分析软件Origin  Pro和量化计算软件Gaussian16

    针对我校师生对正版软件的需求,新增业界知名科学绘图和数据分析软件Origin  Pro三年授权和量化计算方面(特别是化学、材料、物理等学科)的专业软件Gaussian  16永久授权。此两种软件我校师生使用量大,可从软件正版化网站(http://zbh.ustc.edu.cn/)获取。


  • 我校网站群系统升级准备工作完成

    学校网站群系统升级准备工作完成,各部门网站将陆续迁移到新网站群系统。新系统通过统一身份认证登录,有效实现数据共享,提供可视化建站工具,方便维护管理,并对移动应用提供良好的支持,提升系统的兼容性和安全性。新系统即将正式上线。

    同时,培训工作也逐步开展。第一批和第二批迁移的网站管理员100多人参加了培训,取得了良好效果。


  • 一卡通系统开通“翼支付”充值通道

    为进一步方便广大师生员工给校园卡充值,我校继开通圈存机、支付宝、现金充值机、人工等充值方式之后,2月份又开通电信“翼支付”充值通道。用户可以使用手机翼支付APP,通过个人GID、学号或工资号对一卡通进行充值,充值到账后有短信提醒,在餐厅等的刷卡机或圈存机上领取即可。


二、2016年信息化工作简介:

(一)、加强网络基础设施建设管理维护,建设优质网络平台

  1. 增速扩容,升级改造校园基础网络,确保稳定及性能  

    • 扩容校园网IPv4出口带宽,提升用户体验。在不增加投入的前提下,教育网出口从1.2Gbps升到2Gbps,联通出口从1Gbps升到1.2Gbps,  5个出口总带宽达5.5Gbps,相比去年增长25%,另有总带宽10Gbps的IPv6出口。人均带宽居国内高校前列。  


    • 系列网络安全设备部署完毕,确保校园网络信息安全。为了构建安全的信息系统环境,抵抗日益复杂的网络攻击,我中心组织采购和部署了一批网络安全设备(防火墙、入侵检测、VPN和上网行为管理系统等),有效加强了对校内信息系统的防护。   

    • 升级改造校园基础网络,实现千兆到桌面,提升可靠性与接入速度。改造了教一楼、教三楼、电四楼、MBA中心、东区和南区图书馆、东区47号楼、专家楼、管理科研楼、行政教学楼、近代物理系楼、结构中心、学生宿舍门厅等接入网络。  


  2. 提升无线网能力,满足移动办公需要  

    • 扩大校园无线网络的覆盖范围。新增和升级无线接入AP近千台,比去年增长1倍多。目前共约1200个AP,基本覆盖图书馆、会议室、操场等所有公共区域。  


    • 新增eduroam全球学术Wi-Fi网络漫游服务,方便我校师生出访或专家来访时使用网络。Eduroam(education  roaming)是教育与科研全球Wi-Fi漫游服务联盟,目前已覆盖全球八十余个国家和地区的超过6000家科研机构和教育机构,参与该联盟的机构只需在本单位设立eduroam账户,即可在全球联盟单位内实现无线网络访问的无障碍漫游。  


  3. 优化网络服务,提升资源使用及分配,优先确保科研需要  

    • 优化网络带宽管理,用户分级服务,科研用户享受更优质带宽。  

    • 拓展网络服务,支持“所系结合”,实现合作院所的师生访问校内资源。  

    • 负责我校北京教学与管理部网络改造,新增无线接入AP 65个,增加管理系统,方便管理维护。


  4. 2016年主要统计数据  

    项目数据
    教育网合肥总出口230Gbps
    IPv4网络出口5个运营商,5.5Gbps
    IPv6网络出口2个出口,10Gbps
    校内上网终端5.5万台(7天统计)
    无线覆盖主要公共区域,1200多个AP
    无线用户6000人在线,每天超23000人次
    邮件系统6.6万用户,16TB数据
    邮箱空间学生500MB、普通教师4GB


(二)、建设推广信息化基础平台,提升信息服务能力

逐步搭建“智慧校园”基础平台,稳步推进和集成学校的信息化建设与服务,为提供“智慧服务”打好基础。

  1. 提供按需定制的虚拟机、网络环境、日常运维等一站式IT基础服务;  

  2. 推广学校统一身份认证系统,综合通信基础平台,微信企业号、网站群平台等基础性应用,拓展和深化信息平台的功能和服务能力;  

  3. 完成新校园一卡通系统建设,实现校园消费和身份认证功能;  

  4. 建立和完善的数据资源共享机制,加强数据的综合利用和决策分析。加强共享数据接口建设与推广,汇聚学校教工、学生、科研、资产、房产等多个业务部门的共享数据,经过授权可向校内的业务部门或系统提供数据服务,现年数据服务105多万条。  

(三)、加强信息安全建设,做好ARP运维保障

  1. 我校“信息安全管理系统”正式启用,信息系统安全等级保护测评、整改及定级工作启动  

    • 2016年依据学校的信息安全管理制度,我中心组织开发完成了“中科大信息安全管理系统”。该系统是我校根据GB/T  22239-2008《信息系统安全等级保护基本要求》等国家政策制定的学校信息安全管理规定和执行办法后的一个重要举措,为信息化建设各阶段安全措施落实和日常监管等方面提供了有力的工具和技术手段,为全面实施信息安全等级保护制度和信息安全管理常态化奠定了坚实基础。   

    • 根据教育部和中科院对信息安全等级保护工作的部署,我中心邀请中科大信息安全测评中心对3个校内信息系统进行了等级保护测评,并依据测评报告进行整改加固,提高安全性。   

    • 根据等级保护定级工作的要求,我中心组织校内各业务单位对10个重要信息系统进行自主定级,由专家最终评定后向公安机关报备,做好等级保护定级工作。  


  2. 做好ARP系统运维保障,确保科研办公需要  

    ARP是中国科学院资源规划项目的简称,是实现中科院科学资源规划的信息系统工程,已建成十大应用系统,院里许多业务都已经明确要求在ARP系统中运行。我中心负责完成ARP校级系统的运维和保障工作,使得校内相关工作得以顺利进行。2016年完成了ARP补丁28项,保证了ARP及时更新,为新业务的推广提供了技术保障;公文与公共事务系统发文44篇,总发文508篇,收文612篇,总收文3626篇。


(四)、加强超级计算平台建设,提升主动服务

  1. 超算用户成果显著  

    2016年度,据不完全统计,受超算中心支持的用户科研论文有142篇,包括Nature在内的一区文章36篇,详见:http://scc.ustc.edu.cn/zclw/


  2. 超算平台扩建和运行维护服务  

    • 2016年4月曙光TC4600百万亿次超级计算系统扩建完成,初步缓解了资源紧张及难于运行千核级计算的问题。新增CPU核心4320个,扩建后整套系统拥有7200个CPU核心,总计算能力达到288万亿次/秒,相比2015年计算能力增加172.8万亿次/秒,增长111%。   

    • 2016年年底再次扩建招标,以满足材料科学等对高通量计算及多样化需求,目前整套系统已完成安装调试,正在试运行。该系统采用100Gbps高速互联,具有高主频单CPU服务器、双路高密度服务器、8路CPU+1TB内存服务器、GPU服务器、Intel  KNL众核服务器、SSD闪存高速存储等适合不同应用的设备,新增计算能力210万亿次每秒,整合后将具有500多个计算节点、12000多个CPU核心,总计算能力达500多万亿次/秒。   

    • 超算用户分部广泛,基本覆盖我校所有计算用户。2016年,超算用户共956个,其中新开户192个;用户共完成约41万个作业,实际使用计算机时4927万CPU小时,比去年同期增加26%;主要系统利用率超过85%,用户平均排队时间相比去年减少约一半,运行作业的规模明显扩大,可支持部分千核级并行作业需求。作为安徽省高校科研协作高性能计算公共平台免费为合肥工大、安师大、安庆师院和安徽工程大学等4所高校的用户提供了科学计算服务,总机时数达303.5万CPU小时。   


    • 优化任务调度,提高资源利用率。随着超算用户日益增多,作业的数量和规模不断增大,为更好发挥超算系统资源,中心开展了任务调度优化方面的研究,并获得了国家重点研发项目子课题“基于应用的全局资源优化调度方法研究”的支持。   

    • 超算机房基础环境改造,确保超算稳定运行,降低环境噪音  

      • 超算中心机房自2013年投入使用后,3年来全年不中断运行为校内外师生提供计算服务。2016年11月停机20余天进行全面维修改进,  12月新增8个机柜级制冷机柜、4台机柜级制冷空调和1台200KW制冷量室外机组,保障今后发展需要。  

      • 2017年1月份完成制冷系统室外机组降噪工程,大大降低了噪音,确保了周围良好的办公环境。


    • 用户系统托管运维、软件开发、用户培训  

      • 新增核学院聚变堆(CFETR)物理设计平台建设、运维及技术支持,有力确保了其科研的顺利进行。该平台对安全、稳定性、性能、编译多样化等要求高,用户存在场地、运维及技术支持存在困难。同时我中心还为其他用户提供托管及运维服务,目前托管24个课题组的400余台超算设备,运维8个课题组的超算系统,并提供技术支持。   

      • 与中科院量子信息重点实验室合作的第一性原理计算软件ABACUS在大规模本征值求解、新型赝势开发与标准与高精度原子轨道库构造等方面取得显著进步,并获得国家重点研发项目“面向E级计算的第一性原理计算软件”支持。2016年暑假开办ABACUS培训班,吸引了复旦大学、中科院苏州纳米所、大连理工等校内外7家单位40余名师生参加。   

      • 开发正电子密度泛函第一性原理计算软件positron-DFT。该软件在化学与材料学院谢毅院士组的功能材料研究中起了关键作用,提供了不可替代的材料表征分析,中心成员以共同第一作者合作发表论文于Nano  Energy 30 (2016) 810,影响因子11.6。  

      • 为了帮用户使用超算系统、熟悉科学计算,超算中心每年对用户提供技术培训。2016年举办使用培训及专家培训讲座6次,并邀请Intel和Mathworks公司开展了专业培训,参与师生400多人次。  



三、2016年信息安全简报

据不完全统计,2016年我校接到中国科学院安全工作委员会办公室下发的书面安全隐患告知书涉及近10个信息系统和网站。此外,教育网、科技网、公安网监以及公共漏洞平台均对我校的网站和信息系统发来安全事件通告,同时,在我校日常监管中也发现安全隐患。全年处理约20起安全事件和隐患排查,几个问题严重的网站被关停,进行整改。

网络信息中心通过技术监测,及时发现了我校的信息系统和网站大量的安全隐患包括弱密码、sql注入漏洞、各类远程内存泄漏漏洞、非法提权、目录遍历等。2016年我校WAF防火墙所拦截的攻击统计如下:

入侵趋势

入侵类别对比

入侵危害度统计

四、2017年工作重点

  1. 智慧校园基础设施与服务能力建设

    1. 更新学校核心网络设备、无线AP等,提高可靠性、性能及用户体验;  

    2. 校园网出口带宽升级至11Gbps,对外访问带宽提高50%;  

    3. 邮件系统存储空间扩容,教工邮箱扩大至8GB,学生邮箱扩大至1GB;  

    4. 建设智慧校园活动感知与信息采集平台及信息处理与综合服务平台,提供主动个性化信息服务;  

    5. 统一门禁管理平台,统一接入和管理办公室、实验室门禁,通过校园一卡通和APP(或微信)开门;  

    6. 做好微软、MATLAB、FOXIT、NOD32杀毒等软件正版化工作;  

    7. 国家信息安全等级保护三级机房建设;  

    8. 新校区网络中心机房及办公区域规划设计。


  2. 超级计算平台建设

    1. 完成2016年招标的210万亿次/秒高通量计算平台的安装调试工作,尽快推出给用户使用。  

    2. 完成支持海量数据处理的高IO性能、海量数据存储等计算模拟系统方案设计及招标工作。  

    3. 优化作业调度策略,提高资源利用率,增强计算软件开发,优先支持重大科研需要


  3. 其它

    1. 做好量子科学卫星实验大厅的运维保障  

    2. 参与国家发改委未来网络试验设施建设  

    3. 上海研究院网络及一卡通接入


五、技术应用

统一身份认证技术。

概述

所谓身份认证,就是判断一个用户是否为合法用户的处理过程。最常用的简单身份认证方式是系统通过核对用户输入的用户名和口令,看其是否与系统中存储的该用户的用户名和口令一致,来判断用户身份是否正确。

统一身份认证的主要特点

统一身份认证服务系统的基本应用场景是,用户登录统一身份认证服务后,即可使用所有支持统一身份认证服务的管理应用系统。

使用统一身份认证主要解决以下问题:

  1. 统一管理用户身份信息,一套密码登录多个系统,解决每个系统一套密码,用户需要记忆太多密码的问题;  

  2. 集中管理用户身份信息,用户密码等关键敏感信息只存储在统一身份认证系统:  

  3. 除统一身份认证系统以外其他系统都不能接触用户敏感信息,保证用户信息的安全;  

  4. 各应用系统的开发、测试、维护等人员均不能获取用户身份信息,因此项目开发外包、测试外包、运维外包时保证用户信息安全;  

  5. 非常重视用户身份信息的保护,采用安全的https协议避免网络侦听。

我校统一身份认证系统概况

我校统一身份认证系统从2004年开始提供服务。随着技术发展,2014年采用国际流行的CAS方案开发了新一代统一身份认证系统。该方案的特点如下:

  1. 方案成熟稳定可靠;  

  2. 支持的厂商多,方便第三方应用系统接入;  

  3. 有成熟稳定的客户端(官方支持PHP、Java、.net等环境);

一些应用服务器已经提供CAS支持(Tomcat、Apache等)。

在CAS方案的基础上,我校在保证对标准协议的支持的基础上,对安全性方面进行了扩展:

  1. 没有默认密码,第一次需激活使用;  

  2. 采用了密码试探检测机制,避免用户密码被暴力破解;  

  3. 采用了找回密码保护机制,避免利用找回密码的功能破解密码;  

  4. 对密码的复杂性有要求,避免弱密码。 

 

   
    文件附件
   
   
网络信息中心
科大微信企业号
公共信息服务
   
编辑:中国科学技术大学 网络信息中心     联系人:姜玲 0551-63603400 ljiang@ustc.edu.cn