内蒙古建筑职业技术学院数字化校园建设方案V12重点参考

1、内蒙古建筑职业技术学院数字化校园（校园管理信息化）解决方案内蒙古建筑职业技术学院2010-12-22目录目录21总论32项目建设的必要性与意义32.1数字校园的概念32.2数字校园的发展阶段与方向43基本现状与需求分析53.1学校概述53.2高校信息化建设普遍遇到的问题63.3建设目标83.4建设内容84数字化校园整体方案设计104.1网络基础设施规划10校园网络总体方案设计10网络安全与信息安全104.2数据中心规划10数据中心系统设计10数字化校园标准规范11数据交换中心设计14主题数据库设计204.3系统平台规划25校园门户设计25单点登录与统一身份认证31工作流引擎及二次开发平台35报

2、表引擎及综合查询系统434.4应用系统建设的总体规划57OA系统规划57校务应用管理系统57数字化教学系统584.5智慧校园总体规划58校园一卡通系统58校园监控系统58校园节能平台585数字化校园建设实施规划585.1第一期建设规划(2011-2012)585.2第二期建设规划(2013-2014)595.3第三期建设规划(2015-2016)606组织领导和激励措施606.1数字化校园建设的组织与管理606.2建设经费保证606.3建立相关制度与激励措施601 总论2 项目建设的必要性与意义2.1 数字校园的概念信息技术、通讯技术的飞速发展，特别是Internet的普及，为各个高等院校提升

3、信息化层次提供了良好的条件和机遇。许多高校从十余年前就开始着手进行信息系统的建设，陆续建设开发了办公自动化、教务管理、财务管理、人力资源、科研管理、设备资产管理、网络教学等应用系统。但随着信息深入到校园工作和生活的各个层面，原来独立建设的应用系统越来越难以适应综合应用的需要。而且随着校园网上的信息越来越多，迫切需要统一的管理，对各类人员提供集成的信息服务和“以用户为中心”的信息服务。随着网络技术的发展和网上应用的不断增多，Internet 上的安全隐患也不断暴露出来，如何通过体系化的手段来保障信息资源的安全成为管理人员的一个迫切任务。另外，各类人员也需要一套统一的电子身份体系来保障自身的信息安

4、全。在这个背景下，有关专家学者对校园信息化的建设进行了重新的审视，提出了建设“数字校园”的理念：数字校园就是利用计算机技术、网络技术、通讯技术对学校与教学、科研、管理和生活服务有关的所有信息资源进行全面的数字化；并用科学规范的管理对这些信息资源进行整合和集成，以构成统一的用户管理、统一的资源管理和统一的权限控制；通过组织和业务流程再造，推动学校进行制度创新、管理创新，实现教育信息化、决策科学化和管理规范化；进而构建一个使各类资源充分共享、各类信息充分流通，各种新的教学方法、管理方法及文化宣传得以广泛应用并能和外部国际互联网沟通的构架合理的环境，最终实现教育过程的全面信息化，达到提高教育质量和效

5、率的目的。2.2 数字校园的发展阶段与方向1979年美国著名管理信息系统专家理查德·诺兰（Richard·L·Nolan）通过对200多个公司、部门发展信息系统的实践和经验的总结，提出了著名的信息系统进化的阶段模型，即诺兰模型。诺兰模型将企业信息化建设过程总结为六个阶段：初始阶段、普及阶段、控制阶段、集成阶段、数据管理阶段和成熟阶段。和国内信息化建设较早，建设比较成熟的运营商、金融、电力等行业发展经验一致，已经经历了十多年建设的高校信息化工作，实际发展情况也符合诺兰模型。以诺兰模型为理论依据，结合我国高校信息化建设的实际情况，时光软件认为，高校信息化的建设可以简化

6、为三个主要阶段：面向数据、面向结果的基础建设阶段、面向流程管理和数据集成的集成阶段、面向决策支持、综合分析的成熟阶段。第一阶段：高校信息化主要工作以网络、计算、等基础建设为主，形成了大规模校园网，并且在网络基础服务方面进行了卓有成效的建设。业务方面，以校园网络为依托，建设了众多的，为解决具体业务的部门级应用系统。由于受到应用环境的限制，部门级应用系统主要解决模拟手工，降低人员工作强度，提高工作效率为目的。部门级业务系统的特点是面向数据，面向结果。部门级应用系统是数字化校园建设中的重要基础。第二阶段：流程管理和数据集成。以大量校园业务流程的自动化处理和大量用户参与为主要特点，在第一阶段建设成果的

7、基础上，将分散在部门的业务信息通过数据中心、主题数据库集成在一起，实现各业务系统的数据和服务统一；另外，在业务应用系统之间，通过数据共享、流程管理等手段实现系统之间的数据集成，提高数据的唯一性和准确性。利用SOA架构对应用系统的架构进行进一步改进，实现了异构应用之间的无缝整合，并且将应用范围扩展到教学、管理、科研、生活服务等更大范围，实现了应用整合、内容整合、信息整合、流程整合，努力向无所不在的信息服务“任何人、任何时间、在任何地点都可以获得相对应的信息服务”这一目标努力。第二阶段建设的重点是围绕教学支持的数字化教学资源平台和面向管理信息化建设的综合业务支撑平台。时光软件专注的领域是面向管理信

8、息化建设的综合业务支撑平台。第三阶段：决策支持、综合分析。决策支持系统(decision support system ，简称dss)是辅助决策者通过数据、模型和知识，以人机交互方式进行半结构化或非结构化决策的计算机应用系统。它是管理信息系统(mis)向更高一级发展而产生的先进信息管理系统。它为决策者提供分析问题、建立模型、模拟决策过程和方案的环境，调用各种信息资源和分析工具，帮助决策者提高决策水平和质量，是信息化建设的最高阶段，也是信息化支持组织战略、决策的有力工具。目前，在我国已经有近95%的高校经历了第一阶段的建设，基础网络和部门级应用系统已成规模，发挥了巨大的效益。但由于缺乏统一规划和

9、统一数据信息标准，导致部门之间无法业务协同，大量的基础信息无法共享，形成了数量众多的、相互孤立的“信息孤岛”。同时，随着我国高校教育事业的快速发展，目前的高校信息化建设现状已严重制约了学校的总体发展，无法满足高校在对外宣传、师生服务、社会服务、综合管理等方面的业务需求。因此，如何快速推进高校信息化建设向更高阶段迈进，并且有能力应对日益复杂、多变的高校管理需求，是建设者要认真应对的问题。3 基本现状与需求分析3.1 学校概述内蒙古建筑职业技术学院是一所具有50余年办学历史的建筑类高职名校，是内蒙古自治区唯一独立设置的建筑类高等院校。始建于1956年，1958年改制为内蒙古建筑学院，1961年恢复

10、中专建制。1979年至1989年，经自治区人民政府和原国家教委批准，工业与民用建筑、建筑学、采暖通风和建筑企业管理4个专业共招收6届普通本科班、5届专科班。1994年被国家教育部评定为全国六所建筑类重点中专之一。1999年7月，经国家教育部和自治区人民政府批准，独立升格为普通高等院校。2007年被国家教育部、财政部确定为“国家示范性高等职业院校建设计划”立项建设单位。内蒙古建筑职业技术学院是2007年度“国家示范性高等职业院校建设计划”立项建设院校。全国共有100所院校立项建设，其中内蒙古共有2所院校入选，全国有4所土建类院校入选。学院的建筑装饰工程技术、建筑工程技术、供热通风与空调工程技术、

11、道路与桥梁工程技术4个专业被确定为中央财政支持建设的示范专业，工程造价专业被确定为自治区财政支持建设的示范专业。3.2 高校信息化建设普遍遇到的问题近年来，经过高校艰苦卓绝的建设，高校信息化基础设施已经逐步完善。高校近几年在部门级业务应用系统上的也不断加大投入力度，建设了众多的部门级应用系统。但是从总体上来说，由于缺乏整体应用规划和信息资源规划的方法，目前在应用系统建设过程中普遍存在着一些不足之处：1) 重视对环境和资源的数字化，忽视了过程的数字化。各校在多媒体机房建设、教务管理系统、电子图书、一卡通等方面投入较多，对教学过程管理、科研过程管理、教学过程评估、行政管理、校园服务等方面的支持相对

12、较少。2) 重视对管理活动结果实施信息化，而对教、学、科研这些主体活动的过程信息化支持不够。教学过程以及其间产生的资料、课件、作业、评价、交流记录等，都含有丰富的信息内容，但是目前都缺乏有效的组织和管理。再如，科研过程中涉及的大量交流活动、以及其间产生的知识，都没有纳入到信息管理范围。3) 重视部门或局部业务应用系统的建设，对整体规划和标准建设投入不足。应用系统的建设主要是从处理具体业务或者解决局部问题着手，对整个数字空间的高度考虑不足，特别是很少根据业务逻辑设计跨部门的系统。不但导致信息资源的重复建设，而且由于人为地割裂了数字空间与现实校园的内在关联关系，造成工作效率的降低和混乱。4) 重视

13、数据层面的整合，缺少对业务逻辑的集成和交换。信息的集成仍然停留在数据整合的层次，主要是通过业务数据进行数据交换与共享，很少根据信息资源的综合应用层次看待信息的整合问题，未能解决信息资源的有效应用和合理流动，由于缺乏对业务逻辑的集成和交换，很难实现校级综合业务应用的开发和建设，致使用户面对纷繁复杂的信息资源与服务而不知所措。5) 重视采购信息系统及其基础设施，而忽视了系统的使用主体用户。在建设应用系统时，更多的是考虑功能问题和运行效率，而不是从使用人员的角度考虑如何组织信息，用户需要学习和适应不同的信息系统，还要到处去搜集信息，出现信息化时代下的应用低效率问题。6) 以往信息化建设，对建设的结果

14、和效益点都比较清楚，本轮数字化建设却总有“雾里看花”的感觉，数字化校园效益在哪里？能解决什么业务和管理问题？7) 数字化校园建设中，业务部门的应用系统建设和数据中心建设有什么关系，部门业务和校级业务是什么关系，未来网络中心该对应用系统建设提出哪些具体明确的要求和指导意见？8) 数字化建设中和建设后，网络中心的职能将如何变化？是只做数据的管理和发布者，还是也要做学校业务流程优化的指导者和保障者？未来信息化演进的方向是什么？9) 教学支持的数字化和校园管理信息化之间的关系。10) 数据标准的重要性和如何建设。3.3 建设目标经过多年的信息化建设，内蒙古建筑职业技术学院无论是在校园网的建设、信息中心

15、建设和各业务系统的使用上，都取得了一定的成绩，满足了部分业务部门业务处理的需求、并为建立全校集成化、综合化的数字化校园平台打下了良好基础。随着现代社会通信终端、通信技术、软件技术的发展，以及广大师生对通过信息化手段在学校实现提高办事效率、提升业务处理速度等应用的需要，尤其学校领导对于信息化提升学校组织效率、为学校的发展提供决策支持等等需求不断呈现。现阶段数字化校园建设已刻不容缓，建设数字化校园以充分利用原有资源，并为下一阶段打好基础已经成为现阶段的主要任务。我们为内蒙古建筑职业技术学院规范的总体目标是：通过2-3年的持续建设，建设具有学校自身特色、符合学校自身情况的数字化校园平台，通过组织和业

16、务流程再造，推动学校进行制度创新、管理创新，实现教育信息化、决策科学化和管理规范化。从而达到消除信息孤岛、建立信息与应用规范、提供集成的个性化的服务的目的。本解决方案从现阶段高校数字化校园普遍关注的问题着手，分析高校信息化的核心价值，结合时光的理念、产品、服务，详细描述高校信息化的建设内容，建设步骤和建设方法。为内蒙古建筑职业技术学院信息化建设提供整体解决思路。3.4 建设内容 内蒙古建筑职业技术学院数字化校园项目建设旨在依托于现有校内业务系统，对学校资源进行有效合理整合，面向学生、教师、职工、学校领导、校友、交流院校、访客等用户，建立具有数据标准、短信和即时通信平台、统一身份认证、门户平台、

17、报表引擎以及包含大量部门级和校级流程化应用的综合应用平台的具有良好交互性、个性化、综合性的信息化平台。内蒙古建筑职业技术学院数字化校园项目建设的主要内容包括：数据中心数据标准主题数据库数据交换平台门户应用平台数据中心业务组件短消息处理中心即时消息平台组织结构、人员、角色管理系统统一身份认证和单点登录报表引擎综合应用平台（包含部门级和校级跨业务系统的流程化业务）4 数字化校园整体方案设计4.1 网络基础设施规划4.1.1 校园网络总体方案设计 基本现状与建设目标 网络基础部分 网络设备部分 用户服务与网管4.1.2 网络安全与信息安全4.1

18、.2.1 提供安全可靠的运行环境 提供稳定可靠的系统体系结构 提供高带宽的接入能力 提供先进的运行分析和管理平台 建立校内PKI/CA认证系统4.2 数据中心规划4.2.1 数据中心系统设计4.2.2 数字化校园标准规范数据标准是高校数字化校园建设的初始工作，需要对核心级数据进行业务规范制定，对字典级数据进行数据约束制定。核心级数据主要包括系统最核心的业务定义、不能经常变动的编码规范和编码，也包括需要通过对照表维护的核心数据。字典级数据包括公共属性（例如：人员性别等）、业务属性（例如：学籍状态等）。字典级数据是指那些需要在数据交换中根据业

19、务规则转换一致的数据，是数据交换和业务逻辑交互中必须进行一致性转换的数据。 基本建设步骤如下u 通过教育主题数据库系统，对数据标准进行描述，形成元数据； u 元数据通过数据交换平台进行加载，通过数据交换引擎进行数据抽取转换，形成实体的主题数据库； u 数据也可以通过资源目录系统里自定义表单录入； u 主题数据库由教育主题数据库系统创建、管理，并组织成多维度主题数据视图； u 分级的目录视图里面存放由实体数据构成的元数据集； u 资源目录系统可以发布、管理基于主题数据库的WebServices。 数据信息标准分类数据信息标准是整个数字化校园建设的基础之一，是将来实现学

20、校范围内教育信息资源交流与共享的必要条件。该“标准”的实施对各职能部门信息系统建设、校级综合业务应用系统的研制与开发、教育管理信息的交流与共享以及教育信息基本数据的收集、分析、发布都有着十分重要的意义。时光软件以高等学校管理信息标准为基础，借助公司自主研发的“教育信息主题数据库系统”来构建高校的基础信息标准集，解决了高校在信息标准建设一直缺乏有效的过程管理工具的问题。在具体实施中，按照数据标准的使用范围，将数据信息标准划分为三类，分别是：全局标准集、字典标准集、参考标准集。（1） 全局标准集属于强制性标准集，此标准集中的元数据定义由学校行政统一，并要求各个业务部门及业务系统强制统一。全局标准由

21、唯一业务源产生和维护、采集到公共数据平台，供各业务系统共享和引用的数据。比如学生基本信息、职工基本信息、学生成绩信息、学生缴费信息、设备进本信息、科研项目基本信息等。另外，国标、省标、行标、校标中要求强制统一部分，根据学校的要求和相关标准，建立全校统一的信息资源标准代码集，便于全局数据的共享。部分国标等标准不是很适合学校情况，甚至有部分标准老化、冗长、教条、失实。对于这些数据标准，学校应当根据自身情况，参考标准，制订适应业务的数据标准。无论何种情况，标准一旦制订，应该维护其严肃性。如果需要对标准进行调整，需要履行严格的评审过程，并且在最终调整时，需要提前评估依赖标准的上层应用的调整工作量，保障

22、业务应用的正常稳定。（2） 字典标准集字典标准，是从业务系统向数据中心进行数据交换时，数据交换平台必须遵循的标准，是构建主题数据库的元数据定义。所有转换结果必须满足字典标准的定义。数据发布也需要满足字典标准的定义。（3） 参考标准集参考标准由数据中心发布，或由业务部门填报，经数据中心批准流程后发布。参考标准不和数据转换工作直接相关，是用于各个业务系统建设中一个指导性标准。参考标准可能会随着业务发展或需求变更调整为字典标准。因此，参考标准虽然不是强制执行的，也暂时不需要在数据转换中依赖，但建议应用部门在进行应用系统建设过程中尽量参考。 子集分类从建设内容上划分，数据标准可以分为管理

23、数据集和代码集两大类。管理数据集包括：学校基本情况信息子集、学生信息子集、教学管理子集、教工信息子集、科研信息子集、资产信息子集、体育卫生子集、办公信息子集、图书信息子集、财务管理子集；代码集包括参考标准代码子集（国标、部标、行标）和执行代码子集（应用的参考标准和自定义标准）从应用视图划分，可以分为四大主题数据库：字典库、教学主题库、行政主题库、科研主题库。 数据标准梳理标准梳理采用EXCEL：u 便于修改调整u 便于和各个业务部分沟通、交流、书面确认u 便于后期调整、维护u 可以通过转换工具，自动生成各类初始化脚本和批量操作脚本，便于实施u 涵盖元数据定义，国家标准、教育部标准

24、、行业标准、校内标准的梳理和修订u 便于形成可交换、保留的电子和纸质文档4.2.3 数据交换中心设计随着信息化建设的蓬勃发展，目前各高校内运行的应用系统数量已经比较庞大，各个应用系统之间的交流也越发频繁，对数据交换的需求越来越迫切。数据交换平台是解决高校内的各种数据交换需求的一个综合性的平台。数据交换平台的建设和实施，将能够解决应用系统之间的数据共享和集成问题，为高校内的应用系统提供全局数据视图、全局数据权限视图和完善数据交换服务，从而解决高校内部的应用系统在“联邦模型”下带来的信息孤岛问题，让各种信息资源能够在应用系统实现互联互通。由于目前国内外的大部分数据交换系统都按照自己的标准设计，没有

25、通用的技术和架构标准，因此不同数据交换系统之间很难进行沟通；另外，这些数据交换系统各个模块间的耦合程度非常高，因而对数据交换系统的维护和修改比较困难，维护成本很高。SOA基于统一的标准和松散耦合的特性对于构建一个通用的数据交换平台非常有利，因此基于SOA的数据交换平台模型，利用目前先进的SOA架构设计思想对数据交换平台进行设计和实现，采用SOA的相关技术标准，可以解决在传统软件架构下的数据交换平台实现过程中所存在的标准不统一、通用性较差、复杂度较高以及维护难度较大等诸多难题。数据交换平台iExchange产品底层由ESB、DataServices组成，为高校数字校园平台提供双向批量、联机的数据

26、交换和业务逻辑交互能力。ESB全称为Enterprise Service Bus，即企业服务总线。它是传统中间件技术与XML、Web服务等技术结合的产物。ESB提供了网络中最基本的连接中枢，是构筑企业神经系统的必要元素。ESB的出现改变了传统的软件架构，可以提供比传统中间件产品更为廉价的解决方案，同时它还可以消除不同应用之间的技术差异，让不同的应用服务器协调运作，实现了不同服务之间的通信和整合。从功能上看，ESB提供了事件驱动和文档导向的处理模式，以及分布式的运行管理机制，它支持基于内容的路由和过滤，具备了复杂数据的传输能力，并可以提供一系列的标准接口。ESB是交换体系的基

27、础及核心组成部分。ESB是一个企业应用集成的开发、部署、运行、管理和维护的协同企业服务总线平台，遵循JCP组织发布的JBI（jsr208）规范，符合JBI、JTA、Web service、XSLT、SSL、WPDL、BEPL4WS等主流规范，利用标准JMS消息通信机制和高性能的Peer-Peer通信技术，实现了服务之间的通信、连接、组合和数据集成，为企业应用提供了便捷、一致、安全并符合标准的丰富接口，保证服务之间信息的可靠传送，实现不同厂家的数据库、中间件运行平台及其基于这些平台之上开发的应用软件的服务集成。ESB是一组可视化工具和后台应用程序的集合，用于构建、配置、部署、监控、管理和运行ES

28、B网络中的服务组合，由工具层、服务总线、消息总线构成。其体系架构如下图所示。图：ESB体系结构服务总线层包含了管理中枢UltraServer（US）、执行容器PeerServer（PS）、组件库等。其中UltraServer是整个SOA平台的管理中枢，负责服务资源管理、安全管理以及将ESB网络中物理分散的PeerServer和系统中提供的各种服务组合成企业级应用，支持对企业总线远程统一管理监控、动态部署和发布。UltraServer具有可扩展的安全管理设计，支持用户验证和访问控制，支持安全的服务注册和部署。PeerServer是一个完整的JBI运行环境，它是SynchroESB的执行容器，Pe

29、erServer将动态安装、运行各种适配器组件；管理endpoint端点注册库；按照一定的策略调度endpoint之间的路由；选择合适的通讯机制；通过线程池、集群、负载均衡保证SynchroESB运行时的企业级QOS。消息总线SynchroMQ为协同SOA平台提供消息通信服务，是UltraServer与PeerServer、PeerServer与PeerServer等之间进行交互的消息通道。工具层提供了协同SOA平台的各种图形化的设计监控工具，包括：设计工具SPO（Orchestration），用于服务组合的设计、组件服务类别管理、规则定义，以及服务组合的上传、部署、运行；服务映射和转换工具（

30、Transformer），为用户提供了完全图形化的映射关系配置界面；管理控制台（Console），用于整个SOA平台的初始化配置和运行性能监控管理。下图是设计工具SPO以及服务映射和转换工具Transformer的可视化图形界面。这些可视化工具极大减轻了开发人员的开发工作量并降低了学习的难度。组件库是各种类别适配器的集合。各种适配器为SynchroESB连接企业IT系统提供了桥梁，适配器的类别有用于传输的、实现了各种通讯协议的(http、jms、ftp、corba、soap、pop3等)；数据读取的组件(file、xsql)；服务组合控制的组件(bpel、drools等)；数据格式转换的组件(

31、transform)；企业各种集成模式组件(EIP)；支持WebService的组件（WebServiceBC、WebServiceSE）。数据交换平台中，对于数据批量的抽取、清洗、转换也非常重要，时光软件数据交换平台使用SynchroESB DataService组件来完成此项工作。数据交换平台提供了基于SWT的数据变换和模型设计工具，开发人员只需在图形化环境中通过拖拽方式就可以描述复杂的数据变换和任务流程，不需要进行任何编码。Ø 超过40个业务模型组件，应对各种复杂处理。Ø 超过40个任务调度和应用集成组件，轻松实现数据流程集成。数据交换平台以元数据驱动为核心，支持统一

32、的元数据管理，对技术层面和业务层面的原数据进行统一的管理。构建了图形化的数据变换、流程设计工具以及监控、调试工具、元数据引擎、业务模型引擎、任务调度引擎，完全分隔用户界面、数据以及元数据，具有良好的体系架构。数据交换平台具有强大的数据转换效率，在大负荷的任务执行中仍然有良好的性能，并行执行能力使其所能处理数据的速度可以得到趋近于线性的扩展，轻松处理大量数据。数据交换平台提供集群服务，可以把负载分布到多个业务模型引擎和任务调度引擎上，大规模并行处理使得其能够适应大规模企业级应用，具有很高的扩展性。数据交换平台提供了简单易用的二次开发接口，用户可以很容易的定制开发各种数据转换和任务组件，并能在应用

33、中实现对交换引擎的调用执行。数据交换平台提供了图形化的调试和监控工具，可以直观显示任务的执行，可以实时检测系统在各环节的数据处理性能，并以曲线图的方式显示。数据交换平台提供了基于时戳、基于触发器、全文比对等各种方式的变化数据捕获机制，提供批量抽取、实时抽取、定时抽取等各种数据抽取执行策略。数据交换平台平台是100% Java开发的，可以运行在SUN Solaris、HP-UX、IBM AIX、AS/400、OS/390、 Sco UNIX、Linux、Windows 等各种操作系统；支持Oracle、 Sybase、 SQL Server、DB2、 Informix、OleDB、Text、Ex

34、cel、XML、CSV、Access、Foxbase、FoxPro、Dbase、Interbase等各种数据源。有了优秀的中间件作为交换执行引擎，有了教育资源目录产品作为数据标准和主题数据库管理平台，时光软件iExchange数据交换平台管理部分功能如下：4.2.4 主题数据库设计主题数据库是一套基于元数据管理和主题数据库构建的数据采集、加工和管理平台。该产品的功能覆盖了数字化校园建设中，数据的采集、组织、加工到利用、更新、处置的全生命周期，充分利用目录继承、目录聚合、挖掘等功能，实现了信息资源目录体系的两大重要任务，即元数据定义管理和主题数据管理发布。时光软件数字校园的数据标准管理由该系统承

35、担，由该系统建立并管理的多种视图的数据目录，可向数字校园平台的所有业务应用系统提供数据信息标准引用服务，和主题数据发布引用服务。 主题数据库的主要作用建立主题数据库是解决信息孤岛问题的有效方法。主题数据库的建设将要解决五个主要问题：规范数据采集和编目过程；形成数据统一管理体制；支持全局分类检索和数据匹配服务；为数据的共享和交换奠定基础;建设和管理主题数据库；基于主题数据库发布信息服务。主题数据库的总体建设目标是打破信息孤岛，满足各业务部门信息互联互通和共享交换的需要；提高高校内部工作效率，为不同部门的应用整合提供强大的基础；为领导决策提供实时数据，发挥信息实时和准确的优势。4.2

36、.4.2 主题数据库的主要功能总体设计基于SOA架构，在J2EE环境下利用WebService和XML技术开发具有标准化结构和接口的功能模块，目的是快速构建教育信息资源目录体系，同时满足多部门、多用户、跨平台的数据访问需求；系统开发了多样化的数据接口，为越来越多的应用系统提供统一数据来源。.1 系统管理（System Management）系统设置：系统管理员功能。提供列表页面的每页显示信息数设定，用户可以根据自己显示器尺寸和分辨率进行调整；提供对系统页头背景图片和标题的修改功能；提供系统数据采集接口的参数设定。用户管理：系统管理员功能。提供对本系统访问用户的管理，可登录组织机构

37、进行完成部门用户的设定，系统会自动完成数据同步；可以对指定用户进行角色和目录授权，控制用户的访问权限；本模块还为用户提供数据导入和导出功能。角色管理：系统管理员功能。定义系统内部的角色，每个角色对应若干权限，允许多个用户拥有相同的角色。授权管理：系统管理员功能。针对每个角色进行用户授权，查看已经授权的用户、用户组。日志管理：系统管理员功能。浏览系统记录的用户操作日志，支持按照用户名和时间段的条件查询功能。流程管理：系统管理员功能。系统内部使用的流程管理，部署新流程，提供对每个流程的启用、停用、删除操作。编码管理：数据管理员功能。支持用户自定义编码规则，编码由组织机构代码、时间、流水号、随机码四

38、个编码段组成，支持用户随机组合；还提供编码规则的启用、停用、删除操作，同一时间仅允许一个编码规则处于启用状态。.2 元数据管理（Metadata Management）元数据归属子集：数据管理员功能。管理教育主题数据库中的子集分类。系统允许用户添加、修改、删除归属子集。元数据类型：数据管理员功能。管理教育主题数据库中的元数据类型。系统允许用户添加、修改、删除元数据类型。核心元数据管理：数据管理员功能。管理教育信息资源目录所涉及的核心元数据。系统允许用户添加、修改、删除核心元数据，新添加的元数据可以提交审核，也可以执行反审核操作，元数据项可以被停用；浏览元数据列表时，用户还可以选择

39、适合自己阅览习惯的排序方式。业务元数据管理：数据管理员功能。除了核心元数据之外，日常工作中还会涉及到很多业务元数据。系统允许用户添加、修改、删除业务元数据，新添加的元数据可以提交审核，也可以执行反审核操作，元数据项可以被停用；浏览元数据列表时，用户还可以选择适合自己阅览习惯的排序方式。元数据历史版本管理：数据管理员功能。用户对元数据的修改操作，系统都会保存变更历史记录，以便查询和数据恢复。实体数据集管理：数据管理员功能。为了方便自定义表单的设计，系统设计了数据集管理的功能。用户可以把相互关联的数据组建为一个数据集，系统允许建立不限数量的数据集。数据集通过不同视图，组成可以交叉引用的目录，这些目

40、录体系，我们称之为“主题数据库”。表单管理：数据管理员功能。系统内设计的自定义表单设计工具，支持读取元数据集，支持表单自定义样式，生成的表单将作为数据采集的重要形式。.3 目录管理（Catalog Management）基础分类管理：数据管理员功能。管理系统中常用的基础分类法，系统允许用户新建分类法，添加、修改、删除分类。应用目录管理：数据管理员功能。管理系统使用到的应用目录，系统允许用户新建目录，对指定目录允许用户添加、修改、删除节点；节点目录可执行提交审核与反审核操作；还可以将选中的节点目录指定为填报目录，或进行信息关联。支持目录继承、聚合操作。关键词管理：数据管理员功能。管

41、理系统使用的关键词，支持添加、修改、删除和数据批量导入导出功能。关键词关联：数据管理员功能。管理每个主题分类对应的关键词列表，允许添加和删除关键词，允许批量导入导出。.4 信息管理（Information Management）信息管理：数据管理员功能。信息管理功能是针对每个业务部门的填报目录，通过表单输入、数据导入等形式采集日常需要填报的数据，支持数据的添加、修改、删除操作，提交的数据支持审核及撤销审核。信息历史数据管理：数据管理员功能。用户对填报数据的修改操作，系统都会保存变更历史记录，以便查询和数据恢复。统计管理：数据管理员功能。按照时间段统计每一类数据的增量变化。4.2.

42、4.2.5 目录服务（Catalog Service）信息发布：数据管理员功能。查看每个分类目录下已经发布的服务条目。.6 切片管理（Point Data Management）定期切片：在每年的指定时刻（1个或2个），对指定的元数据集进行备份。定时切片：在指定的时刻，对指定的元数据集进行备份。即时切片：即时性的对选定的元数据集进行备份。删除切片：删除选定的数据切片。切片日志：查看数据切片的相信信息，包括已删除的切片4.3 系统平台规划4.3.1 校园门户设计时光门户平台是快速的开发企业门户网站用于管理企业内部业务的平台。它基于J2EE技术，通过采用CAS (Central Au

43、thentication Service)作为SSO(单点登录)服务，实现将企业级后端内容展现及企业级后端应用表现的平台。它提供了快速开发、低成本开发能力，以满足来自不同的应用系统，不同数据源，不同平台的无数各种类型的数据和资源的整合需求；它采用了定制的系统构架，成为了根据用户角色和个人首选项量身定制型的、以用户为中心的信息集中访问及业务集中展现的信息处理总线。时光门户平台在添加了很多通用的信息模块，如日历、天气预报、搜索、在线翻译等模块的同时。提供了用户自定义开发功能，以供用户开发基于Java语言的更有针对性的模块，如工资查询、企业内公告、企业内RSS等功能。时光门户平台采用J2EE技术构建

44、，符合国际上先进的技术标准和规范。如Portlets（遵循JSR-168、JSR-170规范）、Web Service、SOAP(简单对象访问协议)、SOA（面向服务架构）、CAS(Central Authentication Service)、XML（可扩展标记语言）、LADP（轻量级目录访问协议）等；提供开放的、企业级的应用编程接口和管理工具，具有高度的开放性、互联性、可扩充性及可移植性，部署简便快捷。架构图如下：总体架构图 产品构成Portal管理器: Portal管理器是一个servlet，他可以接受来自用户或者自定义的页面组合的http请求，依据用户的首先项和访问控制策

45、略。Portal管理器可以生成一个由HTML/XML/WML构成的页面，最终构成一个或多个Portlet。简单实现可以通过读取服务器上的一个文件生成一个页面。另外一种实现可以通过一个XML频道定期更新头条新闻的内容。另外一种情况，Portlet可以通过一个Live Feed动态更新股票代码。Portal管理器定制可以分为几个层次，可以根据用户的角色和个人首先项完成页面的动态布局。例如，针对经理角色设置首页显示员工目前状态，项目里程碑，和会议安排。每个人都可以设置个人的布局，比如信用卡或者网格布局，并单独配置显示在首页的portlets。如图下所示是一个网格构成的实施分析组合布局。用户可以选择页

46、面尺寸、布局参数，定义Portlet显示的具体位置。此外，每个Portlet都可以根据用户的首先项以及访问权限配置输出。通用模块：网上搜索提供“百度”、“谷歌”、“雅虎”三大搜索引擎搜索功能。日历显示当前时间以及日期和本月日历。天气预报提供今日天气信息中国农历显示当前月份农历日历和一个月内的节日与节气，并可以查询日历信息。Google翻译提供在线翻译功能。模版页面为某些企业设计的页面，具有一定通用性。 功能特点1） SSO单点登陆时光门户平台采用了Yale大学的ITS开发的一套JAVA实现的开源SSO(single sign-on)的服务。该服务是以Java Web应用来进行服务

47、认证的，由于采用了SSL(Secure Sockets Layer 安全套接层)协议，可确保数据在网络上之传输过程中不会被截取及窃听。通过实现了单点登陆机制的门户以及不同的业务系统，用户可以实现一次登录后，就可以访问这些具有相互信任的应用系统，已完成这些应用系统中与用户相关的业务，用户的体验得到了改善。2） JSR-168 Portlet规范，提供标准的Portlet容器，可以兼容任何标准的Portlet，提供RSS、IFRAME、WebClipping、URL等多种集成方案，可与校内、校外网站以及教育、学术网站、博客、网络存储系统进行集成3） 基于人员类别、部门归属、班级归属、应用角色等属性

48、的组合进行门户应用权限的划分，灵活支持各种业务需求4） 支持通过用户口令跳转整合应用入口；支持通过SSO整合应用系统深链接功能；支持安全口令跳转5） 个性化设置支持页面功能用户自定义，教职工和学生使用不同的默认模板；用户允许在页面上自行定义有权限的门户应用，自主选择页面风格、自由选择组合portlet、页面窗口拖拽为教职工提供的服务为学生提供的服务为管理人员提供的服务4.3.2 单点登录与统一身份认证时光软件数字校园方案中，提供统一身份认证服务和单点登录解决方案。时光SSO方案能够为各个应用系统提供单点登录功能，方便用户在多个应用系统中漫游。另外，时光软件还提供基于“一次性口令”的硬跳转机制，

49、比较好的规避了传统跳转方案中，“一处泄密、处处泄密”的问题。时光统一身份认证体系中，人员ID和登录名分开，每个用户提供三个口令，且每个口令都可以设定不同的加密方式，大大提高了用户统一身份认证后的口令安全。 功能特点u 企业级的点击登录解决方案u 100%Java，基于SPRING框架，可整合Acegiu CasServer为需要独立部署的Web应用u CasClient支持多种客户端（这里指单点登录系统中的多个Web应用），包括Java、Donet、PHP、Perl、Apache、Uprotal、Ruby等 体系结构CicroCAS包括两部分：CasServer和C

50、asClient。CasServer需要独立部署，主要负责对用户的认证工作。CASServer工作流程：使用登录时用户提供的凭证（Credentials）信息，包含用户名、密码、图形验证码、用户名类型，在后台数据源(XML文件、数据库、Ladp等系统)检索一条用户帐号信息，进行密码比对。CAS提供灵活但统一的认证接口，其认证方式与认证协议分离，使得用户可自己定制和扩展CAS认证方式。CasClient负责处理对客户端受保护资源的访问请求，需要登录时。重定向到CasServer。 安全性.1 TGC/PGT安全性对于一个CAS用户来说，最重要是要保护它的TGC，如果T

51、GC不慎被CASServer以外的实体获得，第三方能够找到该TGC，然后冒充CAS用户访问所有授权资源。SSO的安全性问题比普通应用的安全性还要严重，因为SSO存在一种门槛效应。以前即使第三方能够截获用户在Web应用A的密码，它也未必能知道用户在Web应用B的密码，但SSO让第三方只需要截获TGC(突破了门槛)，即能访问所有与该用户相关的所有应用系统。PGT(跟TGC的角色是一样的，如果被第三方获得，后果可想而知。从基础模式可以看出，TGC是CASServer通过SSL方式发送给终端用户，因此，要截取TGC难度非常大，从而确保CAS的安全性。因此，CAS可以使用SSL的非常重要，CAS的传输安

52、全性仅仅依赖与SSL。跟Kerberos一样TGT，TGC也有自己的存活周期。下面是CAS的web.xml中，通过grantingTimeout来设置CASTGC存活周期的参数，参数默认是120分钟，在合适的范围内设置最小值，太短，会影响SSO体验，太长，会增加安全性风险。<beanid="grantingTicketExpirationPolicy" class="org.jasig.cas.ticket.support.TimeoutExpirationPolicy"><constructor-argindex="0&qu

53、ot;value="7200000"/></bean>TGC面临的风险主要在于用户的使用并非传输时窃取。比如用户登陆了之后，没有注销（使用单点登出），离开了电脑，别人就可以打开你的浏览器，直接访问你授权访问的应用)，设置一个TGC的有效期，可以减少被别人盗用，或者被第三方入侵你的电脑直接获取你系统目录下的TGCCookie。.2 ServiceTicket/ProxyTicket安全性ServiceTicket是通过Http传送的，所以在网络中的其他人可以监听到其他人的Ticket。CAS协议从几个方面让ServiceTicket变得更加安全

54、。l ServiceTicket只能使用一次。CAS协议规定，无论ServiceTicket验证是否成功，CASServer都会将服务端的缓存中清除该Ticket，从而可以确保一个ServiceTicket不会被使用两次。l ServiceTicket在一段时间内失效。假设用户拿到ServiceTicket之后，他请求helloservice的过程又被中断了，ServiceTicket就被空置了，事实上，此时，ServiceTicket仍然有效。CAS规定ServiceTicket只能存活一定的时间，然后CASServer会让它失效。通过在web.xml中配置下面的参数，可以让ServiceT

55、icket在多少秒内失效。<context-param><param-name>.serviceTimeout</param-name><param-value>60</param-value></context-param>该参数在业务应用的条件范围内，越小越安全。ServiceTicket是基于随机数生成的。如果ServiceTicket生成规则被猜出（例如使用了ST+Helloservice+自增序列的方式，第三方就可以构造下一个Ticket），就等于绕过CAS认证，直接访问所有服务。4.3.3 工作流引擎及二次开发

56、平台 工作流引擎SynchroFLOW 是西安协同时光公司自主研发的软件中间件产品，该产品致力于企业工作流自动化和企业流程再造，为企业简化开发步骤、降低应用开发难度、提高应用开发效率及灵活性、节约应用开发成本提供坚实的基础平台。在“轻松提速应用开发，灵活再造企业流程”核心理念指导下，经过协同软件多年的努力，使SychroFLOW已经走向成熟， 并且成为业界领先的企业业务流程自动化的基础平台产品以及企业流程再造的核心产品。.1 产品特点SynchroFLOW 是采用 J2EE 开发架构，结合 XML 技术于一体，在符合 WfMC（Workflow Management

57、 Coalition工作流管理联盟）标准的基础上，开发出的平台无关性、应用服务器无关性，并同时支持 Oracle、Sysbase、SQL Server、DB2、MySql 等多种大型数据库的软件产品。同时提供了支持 JAVA、Delphi、VB、VC、PB 等语言的通用 API，使得用户可以灵活的选择熟悉的编程语言进行快速开发，并且可以实现分布式部署。目前已有支持中文简体/繁体、日文、英文等四种语言的产品。SynchroFLOW已形成了明晰的产品结构图，产品可划分为三层即开发（Development） 、运行(Running Service)、使用(Client User)，详细的产品结构图：在该产品结构图中，标识出了六个重要的开发平台，多个运行服务器和多个客户端软件，加上对多种语言支持的 API，组成了一个有机整体，使得 SynchroFLOW 可以开发基于 C/S 和 B/S结构的应用系统。.2 产品组成及功能1） 运行服务器（引擎 Server）运行服务器(Enactment Server)是应用控制和运行的中心，负责解释、控制并协调各种复杂工作流程的执行并且同步各个客户端的反应。 为客户端和监控管理提供所需服务。运行服务器包括的服务包括监控管理服务（Monitor