国泰安数字化校园综合解决方案

教育云、E平台

详情

一、    建设背景

1.1  数字化校园建设意义

数字化校园是以数字化信息和网络为基础,利用计算机和网络技术对学校的教学、科研、管理和生活服务等所有信息资源进行全面的数字化,并科学规范地对这些信息资源进行整合和集成,以构成统一的用户管理、统一的资源管理和统一的权限控制,在传统校园的基础上构建一个数字空间,提升传统校园的运作效率,最终实现教育的信息化,提高学校的办学水平和管理决策水平。

数字化校园建设的主要目的是:

1.实现校园内教学、科研、管理、服务的数字化、信息化、网络化,深化教育改革,提高办学质量、办学效益和科研水平;

2.实现信息资源和信息服务的合理规划、合理分配、合理利用;

3.提高学校管理过程和管理系统的质量、效益、效率;

4.保证资源和服务的可靠性、安全性、科学性。

在教育行业信息化的大背景下,数字校园的建设水平不仅体现了学校教育信息化的程度,也反映了决策者的对现代教育发展趋势高瞻远瞩的水平;更是衡量学校办学能力和教学科研水平的重要标准之一。

1.2  面临的问题

学校在信息化建设的同时也遇到一些困惑。由于没有统一的规范标准,存在大量的信息孤岛,学校已有的信息资源不能有效整合、不能提供有效的信息服务等,比较典型的问题有:

   新生数据不能及时同步到各部门,导致各部门工作难以有效开展

   学籍变动、人事变动,信息缺乏互通,造成财政收支漏洞

   学生处和后勤部门信息不统一,学生突发状况很难处理

   缺少基于学校多业务系统的全面信息查询和决策分析等数据展示、共享需求

   各部门系统应用繁琐,登录账号密码过多,使用不便

   缺少个性化信息服务

   缺少移动通信服务应用手段和数据支撑

1.3  数字化校园建设目标

根据学校信息化的实际情况,按照数字化校园的建设思想,国泰安为学校提供数字化校园整体解决方案,解决学校在信息化发展过程中所面临的问题,推进学校信息化建设与应用的整体水平提高到一个新的高度。

通过统一规划,建设一个具备统一的数据标准、有效的数据整合共享机制、统一的信息服务平台、安全统一的身份认证机制的平台;在建成平台基础上完成信息资源的深度利用,提供包括移动互联服务在内的全方位的信息服务手段;并支持面向未来的业务流程整合。




图:建设思路


二、 国泰安教育云


2.1 搭建教育云

2.1.1教育云的概念及功能

云计算是一种新兴的信息化计算模型。它包括计算服务器、存储服务器、宽带资源等。云计算将所有的计算资源集中起来,构成信息资源池,并由软件实现自动管理,使各种应用系统能够根据需要获取计算力、存储空间和各种软件服务。是一些可以自我维护和管理的虚拟计算资源。 下图为教育云管理平台的网络拓扑图。


国泰安教育云平台是服务全校教育管理与应用的信息化中心,是一种私有云性质的信息系统,它集全校教育行政管理、后勤要素、教育资源于一体,与互联网、校园网相联通,通过教育行政管理、学生管理、教育人事管理、教学教研管理、教学资源管理、教育考试管理等信息系统,实现全校教育信息资源的最佳组合和高效流转,具体解决了资源分散,难以形成规模,资源不平衡,难以达到分配公平及管理不同步,难以形成标准的问题。


2.1.2教育云的规划构建

随着网络信息量的成长,学校IT部门必须快速地提升运算能力,以不同操作环境的新服务器形式而存在。因此而产生的服务器数量激增则需要大量的资金和人力去运作,管理和升级。

虚拟构架提供前所未有的负载隔离,为所有系统运算和I/O设计的微型资源控制。虚拟构架完美地结合现有的管理软件并在共享存储(SAN)上改进投资回报率。通过把物理系统整合到有虚拟构架的数据中心上去。构建如下图:3.1.3教育云实现的意义说明: 说明: VMware Infrastructure

1)实现所有软、硬件资源有效共享及应用

运用云技术的虚拟技术,能够把不同物理位置,不同平台下的软硬资源有效整合,实现资源的有效共享和应用。实现软硬件资源的最大整合与共享,实现对实验室进行有效的管理,有效地提高信息安全,降低管理成本,降低硬件成本,减少资源的重复建设,提高设备和资源的利用率。


2)将信息集中处理,保证师生信息安全。

为重要数据提供安全的防护,无论是学生还是教师,都可以随时随地仅凭密码方便地存取自己的重要数据,既不用担心由于自己的存储设备损坏导致数据丢失,也不用担心病毒入侵将数据损坏,因为这些工作都是由专业的云存储服务来提供。

同时,数据的集中存储更容易实现安全监测。通过将信息存储在一个或者若干个数据中心,对应的管理者可以对数据进行统一管理,负责资源的分配、负载的均衡、软件的部署、安全的控制。同时,可有效降低管理者和使用者的成本。


3)提高管理效率,降低了管理成本。

利用云平台管理能力,实现服务器的集中管理,有效解决服务器分散带来的管理效率低下问题,从而有效地提高了管理效率。


2.2构建三种教学环境

2.2.1.课堂教学环境

通过构建数字化教学实训综合平台,实现校内资源库建设的共建共享,充分利用国家资源库、职教联盟与校企联盟资源库的资源,根据校内实际需求进行资源的统一建设和管理,形成数字化专业教学实验课程包。在统一平台下,数字化专业教学实验课程包为学校数字化教学应用提供基层数据支持,从而实现数字化教学资源的有效应用,构建一个数字化的教学环境。


2.2.2.实训环境

从单项实训向综合实训、跨学科专业实训拓展


通过构建数字化实训教学综合平台,对校内资源进行统一的建设和管理,在统一平台下,实现实训的发布、安排、过程监督、结果评价等一系列功能。本项目平台依靠先进的单点登录代理技术、远程实训跟踪系统,跨数据库驱动引擎系统等技术手段,支持学校技能基础实训,真实岗位实训,团队实战(对抗)实训、基地远程实训等多层次实训教学,满足学生的个性化实训需求,实现单项实训向综合实训、跨学科专业实训拓展。形成一个多专业、跨学科互相交叉融合、互相依托促进的全新实验实训体系 。


2.2.3.开放学习环境

通过大屏幕交互系统的建设,构建一个开放的教学环境,以满足院校的远程教学培训需求,拓展教学空间与渠道。而且该平台可以和国家相关教育网络平台以及国泰安其他产品用户平台相连,打造一个院校间远程教育、远程实训、远程会议、互动教学的平台网络,使学院可以共享到其他院校用户和国泰安自有的资源。提供开放的自主学习环境,利用教学资源中心平台提供的丰富优质教学资源,通过自主学习系统,学生可以在任何时间、任何地点以适合自己的方式学习任何课程。而且系统可以提供用户的追踪、统计分析功能,学生可以记录自己的学习过程。


2.3实现三通

2.3.1.用户通

统一账号登陆,实现校内信息互通

通过统一身份账号认证即可以实现单点登录,向用户提供统一的系统登录入口,使用户只需要一次登录就能获得所有需要访问的子系统的授权和权限许可。即可浏览平台内所有应用系统及第三方软件,方便、快捷。通过使用单点登录功能,用户只需要记忆一套用户名和密码,改善了用户使用应用系统的体验。


2.3.2.业务通

教学业务流、专业实训业务流互连互通

以职业技能实训为核心,为用户提供集教学、实训、职业资格认证、实习、就业、创业为一体的全方位服务,实现教学、实训业务互连互通。通过实训成果展示和实习就业跟踪及展示,不断优化学校的整体实力和教师的教学,促进学校的课程改革,提升学校的社会竞争力,增强学生的就业实力。


2.3.3.数据通

统一底层数据,互通互连,可实施数据挖掘

统一规范数据格式,建立统一的数据标准,将后台数据互通互连,实现后台数据共建共享,将不同教学资源、实训资源及其他第三方软件互通互连。通过跨数据库引擎驱动系统,实现资源库数据的统一调配,为平台应用系统的统一整合打下基础。支持用户编辑、修改、删除、上传和下载自有资源和授权使用其他用户数据,最终实现各类数据之间的共建共享。




三、         国泰安E平台


3.1 统一门户程序

统一控制用户对信息和应用系统的访问,为用户提供一个单一的访问入口,提供基于WEB 统一认证功能,实现跨系统的单点登录(SSO),统一门户平台将原本在校园网内分散异构的应用系统整合起来,将信息和功能在同一个界面上展示给用户并提供个性化访问界面定制。平台具有可伸缩体系结构,支持各种开放性的标准和规范,能够方便的挂接与现有系统集成的应用系统组件。

通过门户程序(Portlet)访问各种后台应用系统,从而屏蔽后台复杂应用,方便用户高效访问;实现访问以及内容的客户化设置,实现创建虚拟门户、移动设备支持、安全系统整合(单点登录、认证、权限设置等)、翻译服务、日志以及访问分析等功能。

信息门户面向学校所有教师、教辅人员、科研人员、行政管理人员、后勤服务人员、学生及校友,集中管理校内外各种信息资源(包括新闻、公告、通知、文件、多媒体课件等)与应用服务(包括信息收集、信息查询、信息发布等),采用先进的单点登录技术、灵活的访问控制机制,依据设定的信息资源自身密级与用户访问权限,全面实现自定义、个性化的综合信息服务。



3.1.1信息门户框架


信息门户框架采用J2EE技术构建,符合国际上先进的技术标准和规范,如Portlets(遵循JSR-168JSR-170规范)Web ServiceSOAP(简单对象访问协议)SOA(面向服务架构)WSRP(远程门户WEB服务)Liberty Alliance SSO(自由联盟单点登录)XML(可扩展标记语言)SAML(安全断言标记语言)PKI(公钥基础设施)LDAP(轻量级目录访问协议)Active Directory(活动目录)等;提供开放的、企业级的应用编程接口和管理工具,具有高度的开放性、互联性、可扩充性与可移植性,部署简便快捷。信息门户逻辑结构如下:

说明: 说明: 门户副本


3.1.2功能特点

a)    门户整合,统一的访问入口:门户平台通过建立底层结构来联系横贯整个组织内外的异构系统、应用、数据源等,完成在组织内外的数据库、数据仓库、办公自动化、电子邮件系统,以及其它重要的内部系统之间无缝地共享和交换数据的需要。所有用户均通过信息门户登录数字校园综合管理平台,通过统一身份认证、基于权限分配,访问相关应用系统,无须分别登录相关的每个应用系统。

b)   门户平台可以集成现有的应用系统,包括各种业务应用系统,不论它们是两层C/S结构、多层C/S 结构还是B/S 结构,都可以通过Portlet 技术将其统一集成到门户平台中。

c)    与主流电子邮件服务集成:门户平台提供与HotmailYahooSinaSohu263NetEaseeyou 等国内外主流电子邮件系统服务器、以及DominoExchange 电子邮件系统的无缝集成,对访问这些邮件服务器所输入的用户名称/密码进行加密科理,保证用户可以很方便地实现这些邮局的安全电子邮件和访问控制。

d)   OfficeAcrobat 等主流办公软件集成:门户平台可通过安全的MS Office 客户端控件来安全操作Office 文档,包括Word 文档、Excel 表格、Outlook 电子邮件、联系人、日程安排。门户平台提供与Adobe 公司Acrobat PDF Reader 软件的接口,可直接科理PDF 格式的校园公文。

e)    与其他支持Portlet 标准的应用进行资源整合,门户平台必须是全面支持业内标准的一个开放的、基于标准的框架,支持Portlet 国际标准,门户平台需可以与其他主流门户厂商所提供的Portlet 应用相集成,如应支持IBM WPSWebSphere Portal Server)和JetSpeed 上的大部分校园应用Portlets、以及其他主流门户厂商的Portlet 应用。

f)     支持不同设备的接入,包括PC,手机,智能PAD,并根据接入设备的不同,自动调整显示内容和界面。

3.2 统一身份认证中心

统一身份认证构建并维护用户基本信息库(含国别、身份证号、姓名、性别、出生日期、照片、帐号(卡号)、密码(采用单向加密算法进行加密存储)与用户身份(教职工/学生/校友/访问者)),为每一个用户提供唯一的电子身份;构建并维护应用服务注册信息库,为每一项应用服务提供唯一的电子身份;构建公钥基础设施(PKI)、认证机构(CA),采用安全套接层协议(SSL),实现数字校园综合管理平台安全、可靠的统一身份认证与网上数据传输;支持Liberty ID_FF V1.2规范,支持轻量级目录访问协议(LDAP)、活动目录(Active Directory),支持跨域部署模式。


3.2.1功能结构


3.2.2功能特点

       为每一个用户、每一项应用服务分别提供唯一的电子身份

采用非对称加密方法、使用RSA算法,为每一个用户生成并发放一对密钥(由一个私有密钥与一个公开密钥构成),其中公开密钥连同用户基本信息以数字证书形式面向所有应用服务公开;为每一项应用服务生成并发放一对密钥(由一个私有密钥与一个公开密钥构成),其中公开密钥连同应用服务基本信息以数字证书形式面向所有用户公开。


       使用动态秘密密钥实现数据网上传输的加密与解密

对于每一项应用服务的每一次访问,采用对称加密方法、使用DES算法,动态地为用户生成一个一次性的秘密密钥,用于数据网上传输的加密与解密。


       安全、可靠的统一身份认证

对访问者通过客户端提交的帐号与密码使用HASH函数获得数据摘要、使用访问者私有密钥对数据摘要进行数字签名、使用本次访问的秘密密钥对帐号、密码及数字签名进行加密,使用统一身份认证系统数字证书的公开密钥对秘密密钥进行加密。

由服务器端使用统一身份认证系统的私有密钥进行解密获得秘密密钥,使用秘密密钥还原出帐号、密码及数字签名,依据帐号与密码使用相应用户数字证书的公开密钥将数字签名还原出数据摘要,同由帐号与密码使用HASH函数获得的数据摘要进行比对,如果完全一致,认定接收到的帐号与密码真实、不可否认,在网络传输过程中没有被伪造、篡改或冒充。

依据用户基本信息库对访问者提交的帐号与密码进行验证,确认访问者作为用户身份的合法性。


       安全、可靠的网上数据传输

对用户通过客户端提交的数据使用HASH函数获得数据摘要、使用用户私有密钥对数据摘要进行数字签名、使用本次访问的秘密密钥对数据及数字签名进行加密,使用相应应用服务数字证书的公开密钥对秘密密钥进行加密。

由服务器端使用相应应用服务的私有密钥进行解密获得秘密密钥,使用秘密密钥还原出数据及数字签名,使用用户数字证书的公开密钥将数字签名还原出数据摘要,同由数据使用HASH函数获得的数据摘要进行比对,如果完全一致,认定接收到的数据真实、不可否认,在网络传输过程中没有被伪造、篡改或冒充。


3.2.3功能设计

通过建设统一认证,为专网用户提供统一的信任服务机制和身份认证手段,解决用户使用信息系统安全认证,保证来自专网用户身份的真实可信;为内网工作人员提供统一的组织机构管理、统一的用户管理、统一的角色管理;为统一应用平台交互构建完善的应用安全环境,提供统一的信任服务和访问控制机制。建设完善的信息安全传输机制,为系统提供基础性应用安全保障。

3.2.3.统一用户管理

完善学校内部的统一用户管理,并针对内部教职工具有结构化的特点,增加组织机构管理、用户管理、角色管理和业务系统管理,改建成统一认证管理系统,实现对内部工作人员进行集中管理,统一身份管理,统一角色管理,统一认证和单点登录。

提供用户信息的维护、集中存储和管理,具有完备的权限管理功能。


3.2.3.2统一身份认证服务

建立针对专网用户的认证服务,实现对专网用户的统一认证和单点登录;

提供支持SSO(单点登录)的高性能身份认证服务,支持用户名/口令、802.1XX.509数字证书、第三方认证等认证方式。


3.2.3.2.1单点登录

用户只需登录一次,即可通过单点登录系统(SSO)访问后台的多个应用系统,无需重新登录后台的各个应用系统。后台应用系统的用户名和口令可以各不相同,并且实现单点登录时,后台应用系统无需任何修改。


3.2.3.2.2多样的身份认证机制

同时支持基于PKI/CA数字证书和用户名/口令身份认证方式,可单独使用也可组合使用;

认证方式支持:

Ø  基于表格的登录

Ø  HTTP基本认证

Ø  数字证书(X.509v3)可与大量流行的公钥基础架构(PKI)解决方案集成,支持证书签名和撤销检查,能够支持将公钥证书映射为访问许可。

Ø  RSASecurIDToken

Ø  WAP身份认证机置

Ø  资源敏感的认证--对于特殊的资源需要额外的用户认证机制

Ø  其它客户化的方法

3.2.3.2.3基于Web界面管理

系统所有管理功能都通过Web方式实现。网络管理人员和系统管理员可以通过浏览器在任何地方进行远程访问管理。此外,可以使用HTTPS安全地进行管理。


4.3 公共数据交换中心

公共数据交换中心构建与维护数字校园综合管理平台信息标准;构建与维护数字校园综合管理平台中心数据库;在每一个应用数据库服务器上部署数据变更跟踪组件,依据设置的数据跟踪计划智能跟踪应用数据库中的数据变更,生成数据变更包并提交到中心数据库;在中心数据库服务器上部署数据变更同步组件,依据设置的数据同步计划生成数据更新包序列,分别智能同步到相应的应用数据库;通过安全、可靠的公共数据交换,实现所有应用系统在共享公共数据基础上的整合与集成,确保数字校园综合管理平台数据的整性完、准确性与一致性。

公共数据交换系统逻辑架构如下:


4.3.1公共数据交换系统功能

Ø  信息标准管理

设置数据标准、代码标准,构建与维护数字校园综合管理平台信息标准,为公共数据交换提供依据;维护元数据,构建与维护数字校园综合管理平台中心数据库,为公共数据交换提供安全、可靠的中枢。

Ø  数据交换管理

设置数据提供者,确定每一项需要交换的数据由哪个应用系统提供;

设置数据使用者,确定每一项需要交换的数据由哪些应用系统使用;

提供自动交换数据功能与辅助交换数据功能;

部署和管理数据变更跟踪组件、数据更新组件与数据同步组件;

监控、审计数据交换过程,必要时根据数据交换日志恢复异常数据。


4.3.2公共数据交换过程

数据变更跟踪组件实时跟踪数据提供者的数据变更,形成待更新的数据;数据更新组件依据设置的数据转换规则对待更新的数据进行过滤、转换,形成标准格式的数据,依据数据更新计划更新中心数据库中相应的数据;数据同步组件依据数据同步计划,同步相应应用数据库中相应的数据。采用组件与外部应用程序和服务进行消息传递,使用用户配置的适配器和管道进行消息的接收、解析、路由和发送;采用异步方式处理消息,避免消息处理的时间延迟;允许系统管理员和其他操作人员随时更新配置,而不必中断外部应用程序和服务。

公共数据交换过程如下:


公共数据交换过程说明如下:

(1) 数据提供者

数据提供者是提供某一业务数据(到数据项)的应用系统及相应的数据对象,由用户参照信息标准进行设置。任一数据(到数据项)都有唯一的数据提供者。

(2) 数据使用者

数据使用者是使用某一业务数据(到数据项)的应用系统及相应的数据对象,由用户参照信息标准进行设置。某一数据(到数据项)可以有多个数据使用者。

(3) 数据变更跟踪组件

数据变更跟踪组件依据设置的数据跟踪计划智能跟踪应用数据库中的数据变更,生成数据变更包并提交到中心数据库。其中,事件服务用于数据的采集和发布;传输服务采用同步与异步的方式传输数据,确保数据传输的及时性与通用性。

(4) 数据更新组件

数据更新组件用于分析、过滤和转发待交换的数据。

由系统提供基于规则的数据转换模式;待更新的数据通过过滤器转发给转换器,由转换器使用设置的规则将数据转换成统一的格式(可以加密/解密),再将数据包转发给路由器;由路由器将数据路由给数据更新执行机构更新中心数据库中相应的数据。

(5) 数据同步组件

数据同步组件用于将待交换的数据同步到相应的应用数据库。

数据同步组件接收到数据更新组件发送的消息后,依据数据同步计划将数据包转发给路由器,由路由器将数据路由给数据同步执行机构,同步相应应用数据库中相应的数据。

(6) 数据接收和发送

通过接收适配器过滤器转换器路由器发送适配器,完成数据的交换过程;整个过程由数据变更跟踪组件的跟踪事件驱动。

(7) 数据过滤

根据配置的业务规则和信息标准对待交换的数据进行分析处理,过滤出不符合规则和标准的数据。

(8) 数据转换

依据信息标准对数据进行格式化转换,形成接收方可以接收的数据格式。

(9) 消息路由

依据配置的路由策略对消息进行路由转发,确保数据在应用系统之间的安全交换、可靠传送。

(10) 适配器

适配器是用于转换不同格式信息的接口。

4.4 面向业务系统整合

国泰安E平台采用目前主流EAI技术,打破各个相对独立系统之间的信息壁垒,建立相互系统之间实时信息传输,彻底消除“数据孤岛”现象。把学校的遗留应用系统集成到一起,让它们能够协调工作,起到1+1>2的作用。不仅如此,通过先进的低层架构设计,还可以为将来的应用系统提供接口。

通过建立一个数据服务总线,统一数据定义和访问方式,把上述多个系统接口按数据服务总线要求分别定制,将上述系统接入数据服务总线,调试,联调。

4.4.1分析总体需求,确定系统整合的原则与目标

系统整合基本目的是为了满足学校与业务管理的需求。进行系统整合,首先要确定系统整合的原则和目标,信息系统整合的原则要坚持实用性、先进性、可靠性和经济性的原则。目标是满足学校管理的需求,为业务管理提供方便的操作、更多人性化的功能、更高的工作效率。

4.4.2分析现有各个系统的功能设计、数据基础、运行环境等现状

信息系统的整合首先要对现有各个系统的情况进行详细分析,然后再对现有各个系统的功能设计进行分类,对基础数据和运行环境进行分析,最后按照统一的标准和规范进行规类,写出专题的报告。

4.4.3确定整合后系统的功能,决定系统取舍的具体内容

依据学校管理及业务流程的实际需求,设计整合后整体系统的功能设计、数据基础以及运行环境,对现有的各个信息系统进行必要的分析、论证,围绕新业务的需求,采取完全不用、部分使用、部分修改和开发必要接口等方式进行系统整合,逐步实现系统整合。

4.4.4采用统一的数据标准,开发接口和新的系统来实现统一

要实现系统有效的整合,必须采用统一的数据编码、数据标准,编制必要的接口程序,以实现数据的传输与标准转换,只有统一标准的数据编码,才能实现高效率的数据传输,才能实现比较协调完整的系统整合,才能形成新的系统,实现最终系统的统一,满足新业务的需求。


四、   应用系统保障体系

5.1安全组织

安全组织是构建高校数字校园综合管理平台安全保障体系的基础。

按照“统一领导、分级负责”的原则,由主管信息化工作的学校领导统一指挥,由信息办(网络信息中心)负责组织协调,由各个院()、部()信息管理员具体贯彻执行,共同构成安全保障体系的完整组织结构。

作为学校信息化工作的核心部门,信息办(网络信息中心)的信息安全管理职能如下:

(1) 贯彻国家有关信息安全的法律法规,开展有关信息安全技术培训和知识学习。

(2) 负责学校计算机信息系统安全管理的日常工作。

(3) 制定并组织实施学校信息安全管理的各项规章制度。

(4) 监督、指导信息管理员做好安全保密工作,定期组织检查计算机信息系统的安全运行情况,迅速处理安全事故,及时排除安全隐患。


5.2安全运行

安全运行是构建高校数字校园综合管理平台安全保障体系的关键,包括安全培训和安全维护两个部分。

安全培训是安全运行的前提,全面增强计算机信息系统所有相关人员的安全意识十分重要,特别是各级信息管理员。安全培训包括安全管理制度培训和安全技术培训;针对不同对象,根据实际需要开展相应内容的安全培训。

安全维护是安全运行的保障,划分为预防、发现和处理三项工作。其中,预防措施有周期性安全设施加固、定期安全风险评估和及时安全技术更新等;发现途径有安全检查、安全监控和日志审计等;处理办法有系统还原、数据恢复、漏洞修补和访问控制等。


5.3安全技术

安全技术是构建高校数字校园综合管理平台安全保障体系的核心,包括网络安全技术和数据安全技术两个部分。


Ø  网络安全技术

1、合理设计网络结构,避免网络安全隐患。

2、科学划分VLAN,实现校园网内部必要的安全隔离。

3、设置防火墙,阻止外部的攻击。

4、使用入侵检测设备侦测网络异常,及时阻止入侵行为。

5、使用安全扫描设备发现安全隐患,及时修补漏洞。

6、部署防病毒系统,阻止病毒侵害。

7、通过主页防篡改系统,防止外部对门户的入侵。

8、通过内容监管和过滤系统,杜绝不良信息传播。


Ø  数据安全技术

1、用户与权限管理

由系统管理员(ADMIN)/门户维护员(MASTER)集中定义用户、定义角色、分配权限(到具体功能与数据范围),确保每一用户能且只能在授权的范围内使用相应功能管理相应数据。

2、用户身份认证

学生使用学号作为帐号、教职工与管理人员使用工号作为帐号,分别使用自行维护的密码登录数字校园综合管理平台。身份、帐号与密码均正确的情况下,认证通过。

3、访问控制

应用数据库服务器、版本控制数据库服务器与数据库远程备份服务器部署在校园网上,接受在同一校园网上的应用服务器访问;应用服务器部署在校园网与互联网上,接受在同一校园网或互联网上限定IP地址段的浏览器访问。

4、管理控制

通过大量分布式、完备性、灵活性的控制参数与大量集中式、结构化、智能化的控制开关,实现各项工作的管理控制,确保流程清晰、工作顺畅:什么时间做,哪些人做,已经做了多少,还剩多少。

对于符合管理规定的,智能批量处理;对于不符合管理规定的,属于特殊情况,零散灵活处理。

5、版本控制

部署版本控制数据库服务器,采用更新包技术,使用相应各种工具,实现应用服务器上的程序版本更新;实时监控程序版本,有效恢复黑客恶意篡改的门户网页或病毒入侵等损坏的程序文件,确保数字校园综合管理平台安全。

6、数据关联控制

依据数据本身的状态与时效性、数据之间的关联,严密控制数据的录入、修改、删除。

比如,在成绩管理方面,没有修读就不能录入成绩,被确认为缺考或舞弊自动将成绩记为0(同时标记为缺考或舞弊,不能修改),不能删除已经记录有成绩的课程。

7、数据加密

数据加密范围:注册序列号,数据库连接密钥,密码,关键性源程序,网上传输的数据等。

数据加密技术:采用对称加密方法,使用DES算法,引入数据摘要与验证措施,对存储数据进行加密;基于TCP/IP网络传输协议,采用SSL(安全套接层协议)连接方式,对网上传输的数据进行加密。

8、数据存储

严格遵循关系数据库设计的基本原则,任何原始数据只需要录入一次(可以通过网络实现共享)、也只能录入一次(避免出错、重复存储)

支持集中式数据存储与分布式数据存储;对于大量数据的处理与存储,采用缓存技术提高系统的性能与可靠性,确保数据的完整性。

9、数据备份与恢复

数据备份方式:按计划定期自动备份与按需要随时手动备份。

数据备份策略:本地备份与异地备份;在用数据备份与历史数据转储。

数据恢复办法:还原某一数据备份文件;依据备份日志与备份数据,将数据恢复到某一历史时间点。

10、日志和安全审计

详细记录用户登录与操作日志(含错误信息反馈)

定期查看日志,及时发现安全隐患;

全面分析日志(重点是审计登录帐号、登录时间、操作类型、操作数据、使用IP地址与访问协议等),快速锁定诱发根源;

采用应急措施(切断服务器连接、修改访问服务器密码、重新生成并发放数据库连接密钥、停用可疑帐号、封锁可疑IP地址、调整权限分配等),彻底消除安全隐患。


五、 预期效果


7.1 为学生达到的效果

从学生的角度出发,为学生从学生入校到在校学习生活再到毕业离校等各个阶段的、满足学生个性化需求的信息服务。如:学生关注的新闻通知公告等校内信息,学生的选课、成绩、学分、缴费、贷款等与学生密切相关的信息化服务。学生可以利用空中智慧校园平台来完成这些业务,而不用像原来一样需要来回往返各个部门进行业务的处理。极大方便了学生,也为学生节省了很多时间。

 

7.2 为老师达到的效果

从教职工的角度出发,提供满足其工作、生活、服务等的全面信息化服务。如通过统一的信息门户平台,为教职工提供一站式的信息查询如:教职工个人的办公、教务、财务、科研等的信息化。通过空中智慧校园平台,老师可以直接完成日常工作,并不需要通过进入其他部门的系统进行工作。遇到需要几个部门参与的工作时,可以一次性完成,不需要来回奔波。

 

7.3 为领导达到的效果

站在学校全局的层面,将学校视为一个有机统一的整体,基于教学、科研、管理、服务等各个领域,为学校提供涵盖整个校园相关的信息化、智能化服务。领导需要部门相关信息时,直接通过空中智慧校园平台就可以获取所需信息,不需要像以前一样到各个部门去索要。同时若需要对一些请示进行批复,同样可以在这之上完成,极大地方便了领导办公。