智慧校园建设高职方案（数字化校园，电子班牌及一卡通系统） -(4)

2.高职数字化校园建设内容 2.1 基础支撑平台 2.1.1 统一信息标准规范 2.1.1.1 建设目标 基于国家标准、教育部标准，兼顾各个标准之间的兼容性、一致性以及标准的可扩展性，建设形成一套符合学校自身实际的管理信息化标准，为信息交换、资源共享提供了基础性条件。信息标准需要保证信息在采集、处理、交换、传输的过程中有统一、科学、规范的分类和描述，能够使信息更加有序流通、发挥信息资源的综合效益。 2.1.1.2技术要求 统一数据表标准建设技术要求： 1. 涉及到国家、教育部已经颁布的标准，应采用已颁布的标准； 2. 兼顾各职能部门目前正在使用的分类及编码方法； 3. 对不能满足需求的国家、教育部标准进行剪辑或延拓。 2.1.2统一身份认证及授权中心 2.1.2.1建设目标 统一身份认证及授权中心作为数字化校园的安全认证及授权中 心，提供一系列全面的认证、授权控制和管理工具，对数据的访问和使用进行全方位多层次的许可、控制和管理，并保护数据拥有者和使用者的数据安全。对于数据库中的同一数据不同用户根据其拥有的权限集的不同定义对该数据对象的操作能力，包括创建、增加、修改元数据的索引属性，创建、增加、修改数据对象以及对数据注释信息进行操作等功能，从而实现对数据的安全保护。 统一身份认证及授权中心包含以下几部分：身份认证（应包含 PKI、CA）、授权、单点登录和安全审计等。采用成熟的安全产品，保证系统的安全可靠（消除安全导致的系统性能瓶颈），在此基础上，建立应用的授权机制，建立统一用户管理、授权管理和身份认证，进行分级授权和集中身份认证，提高应用系统的安全性和用户使用的方便性，实现全部应用的单点登录，集中管理应用系统内的用户，实现每一个用户在访问各个应用系统时更加方便可靠。 统一身份认证及授权中心应提供基于单点登陆（SSO）的解决方案，为应用系统提供统一的身份认证、访问控制和安全审计等功能。认证应该支持多种方式，用户名/密码方式、校园卡/密码方式和数字证书等认证方式；应采用灵活的基于角色的权限管理模型及服务接口，要求接口能够支持 LDAP等主流认证技术，并能提供细粒度的访问控制和多级权限管理；安全审计服务应能提供多层次的按照用户、时间、终端等多种组合的全方位的数据操作审计，通过审计信息，管理员可以追踪对所有数据操作记录。 2.1.2.2功能要求 1. 统一认证：用户认证采用集中统一方式，支持用户名/密码、数字证书等认证方式，支持 B/S 和 C/S 等多种应用。 2. 统一用户管理：实现用户信息的集中管理，用户信息规范命名、统一存储，用户 ID 全局唯一，并提供标准接口。 3. 单点登录：支持多个应用系统（包括 B/S 和 C/S）间的单点登录，数字化校园中所有的应用系统通过 SSO 单点登录系统来实现统一的身份认证，SSO 单点登录系统提供登录、验证接口，各应用系统通过 SSO 的单点登录以及验证接口来验证客户端的合法性，并由 SSO 返回的信息来决定用户的权限以及角色，根据以上返回的信息应用系统决定用户具有的访问权限。 4. 统一权限管理：支持多种权限管理方式，如单独授权、按角色授权和分级授权等。 5. 统一资源访问控制：能够提供细粒度的资源访问控制，包括对网页、按钮、菜单、文件、数据库字段级的访问控制；要求实现基于用户、用户组、角色、角色组等不同身份的用户对象与数据对象进行多种组合的权限多维访问控制体系。 6. 资源访问安全审计：用户登录应用系统后对系统资源的访问按需记入日志，具备完善的日志管理功能，能详细记录对所有信息的操作和变化情况，以便事后对用户操作进行审计，建立完善的事后追溯机制，要求提供对日志的统计分析功能。 7. 接口开放：保证以后应用系统能方便纳入统一身份认证及授权中 心。 8. 技术规范：根据学校的管理机制，建立相应的技术规范。 2.1.2.3技术要求 1. 传输安全性：要求系统对用户登录信息进行加密传输，保证数据能在客户端与单点登录服务器之间、WEB 代理与单点登录服务器之间进行安全通信，保证数据传输的安全性，中标方应能保证所才采用的加密技术不可逆。 2. 数据安全性：用户登录信息采用密码技术进行保护，保证用户登录信息不能被篡改。 3. 高可靠性：采用合适的保护策略，保证统一身份认证及授权中心系统的可靠性。 4. 容错性：由于此统一身份认证及授权中心是整个“学校”建设的基础平台，系统必须具备高度的容错性，保证系统的正常运行。 5. 可审计性：对用户进行资源访问情况要进行记录，保证对用户访问的可审计。 6. 高性能：平台至少要能支持 4000 人同时在线使用。 7. 良好的可扩展性：系统要能支持以后的平滑升级。 2.1.3统一门户网站 2.1.3.1建设目标 建设具有风格特色门户网站和二级门户网站，统一控制用户对信 息和应用系统的访问，为用户提供一个单一的访问入口，提供基于WEB 统一认证功能，实现跨系统的单点登录（SSO），统一门户平台将原本在校园网内分散异构的应用系统整合起来，将信息和功能在同一个界面上展示给用户并提供个性化访问界面定制。平台具有可伸缩体系结构，支持各种开放性的标准和规范，能够方便的挂接与现有系统集成的应用系统组件。 通过门户程序访问各种后台应用系统，从而屏蔽后台复杂应用，方便用户高效访问；实现访问以及内容的客户化设臵，实现创建虚拟门户、移动设备支持、安全系统整合（单点登录、认证、权限设臵等）、翻译服务、日志以及访问分析等功能。 建立以门户网站为核心的网站群体系，构建学校从上至下覆盖各系各部门的垂直的门户网站群，网站有多级结构关系，基于统一的信息体系，实现分级授权、统一管理的功能。各网站可以有独立的页面展现和管理后台，同时网站之间信息又可以相互共享。信息共享能基于上下级关系有一定的机制，如上级站点可直接抓取下级站点信息，下级站点可向上级或平级站点推送信息等。 3.1.3.2 功能要求 门户平台通过建立底层结构来联系横贯整个组织内外的异构系统、应用、数据源等，完成在组织内外的数据库、数据仓库、办公自动化、电子邮件系统，以及其它重要的内部系统之间无缝地共享和交换数据的需要。