数学校园平台建设方案.doc

北研高校数字化校园建设方案书方案 书南昌北研科技发展有限公司第1章 数字化校园综述31.1 数字化校园概念31.2 数字化校园带来的变革3第2章 数字化校园方案设计52.1 概述52.2 设计目标62.3 设计原则62.3.1 方案设计的主导思想62.3.2 总体原则72.3.3 软件设计原则72.3.4 数据库设计原则92.4 实施原则9第3章 数字校园应用系统设计方案103.1 学籍管理系统103.1.1 建设目标103.1.2 系统主要功能需求103.2 教务管理系统103.2.1 建设目标103.2.2 系统主要功能113.3 学生管理系统143.3.1 建设目标143.1.2 系统主要功能需求143.4 就业管理143.3.1 建设目标143.1.2 系统主要功能需求14第4章 链入财务，招生系统设计方案1154.1 统一身份认证154.1.1 系统功能154.2 共享数据平台214.2.1 系统功能22第5章 链入财务，招生系统设计方案227第6章 经费27第1章 数字化校园综述1.1 数字化校园概念随着信息化建设的不断深入，在各企业事业单位内外充斥的大量的网页和多种不同出处电子文档。这些文档一是分散在个部门文件服务器和用户本地机等不同的物理位置，二是文档内容都是非结构化的不完全统一的数据信息，无法统一建立相互关联，不易被直接利用。为了解决上述问题的困扰，各企事业信息资源应针对其内外多种信息整合的特定需求，自动将各种信息资源统一整合，利用中央数据库统一提供准确的数据内容，大幅提高用户对信息资源的利用率和利用深度，从而提高工作效率，提升企事业单位的整体工作业绩。数字化校园是指以传统网络结构为基础，利用先进的信息化手段和工具，实现从环境（如设备，教室等）、资源（如图书，讲义、课件等）到活动（如教学、管理、服务、办公等）全部数字化，在传统校园的基础上，构建一个数字空间，拓展实现校园的实践和空间维度，提升传统校园的全面信息化，从而达到提高教学质量、科研和管理水平与效率的目的。在数字化校园里，可以方便实现学校的教学、科研、管理、服务等活动的全部过程。1.2 数字化校园带来的变革学校实施建设数字化校园的目的就是对教学、科研、管理、技术服务等校园信息进行收集、处理、整合、存储、传输和应用，使教学资源得到充分化利用的一种虚拟教育环境。因而，数字化校园的建设实施将为学校带来如下变革：1学校业务流程将得到有效地规范通常学校各个部门的业务流程都不尽相同，这些业务流程即有合理的也有不合理的，数字化校园的实施应用，则可以无形中规范学校的各项业务流程，提高工作效率，减少以往一些工作因手工操作所带来的随机性大、流程不易规范化的缺点。2学校信息化孤岛问题可以得到有效解决数字化校园的实施应用使学校内部相对独立分散的网络系统，得到统一整合，消除了学校信息化孤岛问题，有效地实现数据共享、消除对数据的重复管理、以及数据不同步的问题。降低劳动强度，提升人员脑力价值。3. 数字化校园总体目标与建设内容用层次化、整体的观点来实施数字化校园工程，并将校园网上信息进行更好的组织和分类，让用户在网上快速发现自己需求的信息，并为师生提供网上信息交流环境，让管理人员科学地、规范地管理自己的数据，同时可以将这些信息方便地发布出去。将教学环境、教学资源到教学管理活动全部数字化后，通过应用系统的紧密联结实现校园的信息传递和信息服务，以信息技术等现代化手段，达到提高教学质量、科研水平、管理水平的目的。数字化校园建设目标是建成一个完整统一、技术先进、高效稳定、安全可靠的校园综合系统。在新的技术体系架构下，通过“硬件集群”、“数据集中”和“应用集成”的实施，以信息资源管理为核心，使应用系统间有机联系，实现学校的教学、教研、管理、服务等信息共享。具体目标是以校园网为依托，以信息应用建设为突破口，通过信息应用带动信息资源建设，建设一个由综合化的门户网站、实用化的网络教学系统、智能化的管理信息系统、特色化的综合信息服务系统和数字化图书馆构成的信息化学习、工作、生活环境，使学校的信息化建设水平迈入国内学校先进行列，明显增强学校开放办学的实力和水平。第2章 数字化校园方案设计2.1 概述Internet的发展给传统应用软件的开发带来了深刻的影响。基于Internet和Web的软件和应用系统无疑需要更为开放和灵活的体系结构。随着越来越多的商业系统被搬上Internet，一种新的、更具生命力的体系结构被广泛采用，这就是在目前电子商务和Internet应用服务商开始盛行的“三层/多层计算”。下图是一个典型的三层模型：图2-1 ：典型的三层模型1）客户层（Client Tier）用户接口和用户请求的发出地，典型应用是网络浏览器和胖客户。2）服务器层（Server Tier）典型应用是Web服务器和运行业务代码和逻辑的应用程序服务器3）数据层（Data Tier）典型应用是关系型数据库和其他后端数据资源，如SQL Server数据库等三层体系结构中，客户（请求信息）、程序（处理请求）和数据（被操作）被物理地隔离。三层结构是个更灵活的体系结构，它把显示逻辑从业务逻辑中分离出来，这就意味着业务代码是独立的，可以不关心怎样显示和在哪里显示。业务逻辑层现在处于中间层，不需要关心由哪种类型的客户来显示数据，也可以与后端系统保持相对的独立性，有利于系统扩展。三层结构具有更好的移植性，可以跨不同类型的平台工作，允许用户请求在多个服务器间进行负载平衡。三层结构中安全性也更易于实现，因为应用程序已经同客户隔离。毫无疑问，数字校园的性质使其更适合于采用类似于Internet应用的结构。2.2 设计目标经过我们前期对高校的调研和需求分析，我们正式建议高校启动“数字化校园工程”实施建设，让高校在数字化校园建设上达到以下目标：（1）建设一个高效的宽带IP网络，为数字化校园建设提供网络支撑环境。（2）建立全校的电子身份体系，使全校用户在所有的网络应用系统中都使用统一的电子身份，保证用户电子身份的唯一性、真实性与权威性。（3）充分整合学校应用各个方面的信息资源，从高层管理的角度组织实施学校的信息系统建设，建成一个统一的网络应用平台，为各类用户提供个性化的信息服务。（4）加强信息系统建设，将学校管理的大多数环节搬到网上，实现网上办公与管理。（5）加强网络教学系统建设，建立一个为全校师生服务的支持教学全过程的统一网络教学平台，为教学改革提供一个重要的手段和工具。（6）建设一个为全校提供服务的网络中心，包括主机托管、虚拟主机、应用服务、数据存储服务、数据备份服务、数据安全服务等。（7）建立全校的网络安全体系，保证校园网络的安全、保证关键数据、关键应用的安全以及关键业务部门的安全，实现校园网络及其应用系统的安全高效运行。2.3 设计原则2.3.1 方案设计的主导思想在符合国家教育部和行业标准的体系指导下，以关键业务系统为核心，以平台为框架，无缝集成学校已建和在建的第三方应用软件系统，促进数据利用的最大化，建设一个可持续发展的、具有先进性、开放性的大学数字化校园架构。把应用管理、用户管理、统一身份认证，统一授权、数据交换、信息发布等都融合起来，以应用、用户、数据这三个重点要素为主线进行规划和建设。2.3.2 总体原则我们提出的数字化校园建设方案，是一个用层次化、整体的观点来规划、实施的信息化建设的方案。首先是整体的观点：就是将高校数字化教学与管理环境建设，当作一个整体，而不是各个一堆分立系统的集合。为此，在我们的建设规划方案中，特别强调通过提供统一的接口、平台与工具，将高校的各应用系统集成起来，形成一个有机的整体。其次是层次化的观点：就是运用分层的思想，根据数字化校园中各部分之间的关系，将数字化校园划分为几个层次，通过定义不同层次之间的接口，来理顺各个系统之间的关系，简化整个系统的设计。在大学“数字化校园工程”实施方案中，我们将按照基于URP（University Resource Planning，大学资源计划）的数字化校园模型进行设计，以保证数字化校园的清晰结构。这种结构具有很好的可扩展性，这对于高校将来应用系统的扩充很有好处。另外，在具体的方案设计和设备选型中，还将遵循如下总体原则：1统一规划、需求驱动、分步实施、逐步推广。2实现高起点、大规模、入主流、跨越式的建设模式。3统一领导、归口管理、共同建设。4项目化管理、合作化开发、共享合作成果。5队伍稳定、模式规范、持续发展。2.3.3 软件设计原则（1）可靠性。系统必须首先满足可靠性、所提供服务的可用性及对关键用户、关键任务的有效保障机制等，并可与各种信息平台充分互联，能够承载和交换各种信息。（2）可靠性和安全性。系统运行必须可靠，能承受大规模、大用户量的访问，特别是在恶劣条件下也能正常运行，具备超常的负载均衡能力；系统应具有安全性，并提供安全机制防止非法操作，满足数据、信息的保密要求。（3）科学性和先进性。系统设计和建设的时候必须注意其技术先进性，选用目前主流的J2EE 、WEB Services技术、JAVA开发语言，框架具有应用平台无关性，设计时具有科学性。（4）扩展性和适应性。系统建成后，应在现行系统上不做大的改动或不影响整个系统结构，就可以增加功能模块，这就必须在系统设计时留有接口，使其具有可扩展性。整个系统在更换服务器环境或数据库系统时，应该具备很强的适应性，或者只做少许的改动就能够进行完整部署。（5）开放性与标准性。系统遵循“教育部教育管理信息化标准 高等学校管理信息”，具有开放的平台性能，支持与教育部各种信息系统数据交换，各种数据库和客户机服务应用，并能方便地与其它学校的信息系统互连通讯。（6）实用性。系统各个子系统及功能模块经过教学管理第一线人员与软件设计师们不断沟通与改进，完全贴合实际需求。基于各模块之上的定制，我们将完全按照贵校的工作流执行。（7）易用性。“界面友好，使用方便”是系统界面设计的第一宗旨。对于一个具备基本计算机操作知识的用户，只需按照系统提示操作即可，无需任何复杂的培训。（8）易升级性。升级包括两个方面：系统使用前升级、系统使用后升级。A、系统使用前升级：系统提供了便捷且强大的数据导入功能，北研全面承担贵校的新老系统升级工作。B、系统使用后升级：系统总架构师时常关注教育领域最新动向，随时根据教育部最新要求，对系统进行更新，保证系统紧跟政策脉搏，符合管理实际需求。如四、六级报名数据格式的变化、电子注册模式的改变，系统将在第一时间反应并升级，以便与教育部数据对接。（9）异地使用性。只要有网络的地方，都可以使用系统。贵校的管理者在外地开会，一样可以遥控指挥学校运行，了解情况，批阅文件；教师在家在外地，一样可以和学生交流，登记考试成绩，了解学生评教情况；学生在国外交流，一样可以选课或报名学校活动，放假在家就可查看自己的考试情况。2.3.4 数据库设计原则1数据库及数据安全与备份。2 数据库的设计对不同类型的数据用户设定严格的使用权限，建立完善数据备份与恢复制度。3建立完善的数据字典。对底层数据的查询调用通过数据字典实现。4数据库设计要保证实现数据高效查询检索、数据更新及数据调用。2.4 实施原则实施遵循“整体规划，逐步实施”，我们将高校“数字化校园工程”分阶段实施第3章 数字校园应用系统设计方案3.1 学籍管理系统3.1.1 建设目标学籍管理工作是学校教务管理的重要组成部分，是学生从入学开始到毕业结束在学校期间的学生学习活动的行政管理。本系统的主要建设目标是：1及时准确的掌握教学执行和学生管理的一些情况。2使广大教学教务工作人员从繁琐的工作中解脱出来，提高工作效率，提高教学质量，并更好的为院领导提供实用的决策分析信息，从而为实现一流的教学打下坚实的基础。3.1.2 系统主要功能需求具体包括新生分班、学生档案管理（照片、简历、家庭、入学、奖励、处分、异动、成绩、学位、军训、体检、奖贷金）学籍异动管理等。本系统严格按照标准和教育部相关学籍管理规定而设计，并按2005年3月教育部新颁布的普通高等学校学生管理规定做了改进。可处理并记录学生在整个学习期间的学籍、专业、奖惩等信息变动，并按院系、专业等方式进行查询输出各种分析报表（如高集231、高集232等）。3.2 教务管理系统3.2.1 建设目标近十年多来，国内外都在积极推进面向21世纪高等教育的战略改革。高质量的教育需要高效的管理。在这个信息化、网络化的时代，如何利用现代化管理工具和管理手段提高工作效率和质量，是向21世纪大学教育改革需要解决的课题。 高校教学教务管理工作是高等教育中的一个极为重要的环节，是整个院校管理的核心和基础。利用先进的技术手段和指导思想提高教育、培养、管理水平，对提高人才的综合素质培养具有重大的影响，对打造高品牌大学更有着广泛深远的意义。教务管理信息系统是数字化校园极为重要的组成部分之一，是为了建设高校教务教学的数字化管理，提高教务管理人员、工作人员以及各院系教学负责人的工作效率，并且与“数字化校园”中的其它系统相配合，共同实现无冗余的、统一的信息管理。 系统必须针对教务教学信息管理开发，紧贴用户需求，需要全面覆盖教学教务管理各个领域；强大的教学教务管理功能，使系统成为学校教学教务管理完美运作的强有力保障。系统总体设计应该以达到国际标准的校园系统为目标，各个子系统和功能模块采用灵活配置定制模式。为提高学校教务教学工作效率和推进高校教学改革提供了重要参考依据。3.2.2 系统主要功能 教学资源管理教学资源信息是整个教务系统正常运行所需要的基础数据集，是保证教务系统有一个统一、标准的基础数据集，便于数据的共享使用。系统能动态跟踪教学资源的变化情况，准确掌握教学资源的分类构成，保障教学的日常管理和教学的正常运行。具体包括分校信息、院系信息、专业信息、教学区信息、教室信息、班级信息、师资信息、教研室信息、学年学期信息、开课课程信息、课程计划模板 教学计划管理专业培养方案是保证教学质量和人才培养规格的重要文件，是组织教学过程、完成教学任务的基本依据，也是整个教务管理的中心环节。主要功能包括构建课程/环节信息库、构建实验项目信息库、指导性教学计划制订（包括理论课、分组课、实践环节、专业方向等）、调整、审核、审批、分析统计、报表打印、教学课程表制订、辅修（双学位）指导性计划制定等。 学期开课管理在专业教学计划制定完后，可以自动生成每一学期教学任务书、教学安排表，可以形成合班、增加临班，添加任课教师信息、使用教材信息，生成最终开课通知单，形成“实际开课表”，形成排课系统原始的排课数据，并自动提交给选课系统完成选课操作 成绩管理成绩管理是学生学籍管理的重要环节，要求对每个学生在每一学期所学的课程、课程性质、学分及成绩进行有效管理，包括成绩统计、分析、学期、学年平均成绩点换算等内容。 网上选课系统学年学分制和完全学分制为学生提供了较大的选择空间，主要包括选科制、选课制、选择学习方式与学习进程三个方面，其中选课时核心。搞好选课制不仅需要学校各开课单位根据自身的条件尽可能开出结构合理、数量多、质量高的课程，而且还要为学生尽可能提供大的选择空间。目前我国大多数高校都处于学年制向学分制的过渡时期，教学资源相对紧张，从而形成教学资源供需矛盾。针对学分制条件下教学供需矛盾，系统设计周密考虑，一方面可满足自主选课、自主选择专业、自主选择学习进程、自主选择学习方式、自主选择任课老师这种完全学分制模式下的选课制；另一方面也可以满足学校根据教学资源的现状设置选课条件，对选课进行条件限制，在教学资源许可的前提下，把部分部门课程开放让学生选课，推行学年学分制模式下的选课制，逐步向学分制过渡。另外也可以实行第二专业、第二学位、主辅修选课管理等。 排课系统 课表编排是贯彻实施教学计划的重要环节，也是学校开展教学活动，合理分配教学资料的指令性文件。根据开课信息和教学进程自动生成排课数据。排课数据形成后，系统可以根据用户提供的各种约束条件自动完成排课功能，可以对合班课，分级教学课，单双周课，体育课 不规则周学时等课程自动编排，并且可以灵活指定时间，地点，教学区，排课方式等条件。课表编排科学合理，不存在任何冲突。此外系统还提供了智能化的，灵活方便的课表调整功能。 考务管理考务管理是高校教学运行的重要环节，涉及到期中/期末考试，缓考与补考处理，考试安排，等多个方面的工作。考级管理可以由用户自定义等级考试课程，考试等级和考试时间等信息，然后通过设置考级报名起止时间，进行等级考试报名，安排等工作，可以实现等级考试网上学生自主报名和各系统一批量报名方式，自动生成报名信息，实现考级报名缴费统计。教师管理对教师信息以及教师资源进行统一的管理，其中包括(职称变动, 职务变动, 非领导职务变动, 学历变动, 工作变动, 个人经历, 教师培训, 教学情况, 奖励情况, 项目管理, 编译专著,论文发表, 考核情况, 双师评定, 师德档案, 证书管理)0 系统维护此模块可以对前端用户进行有效的授权挂历，每一用户由系统管理员授予对整个数据表或者任意范围内记录行的查询，修改等操作权限，以及数据表中记录的增加删除权限。这一个功能是维护数据的安全性，完整性的有效保证。超级用户可以使用本模块全部功能，一般用户只可以使用修改用户功能来修改自己的口令。用户授权是对用户权限的管理，包括增加删除用户数据，用户口令的修改以及授予用户对数据表的操作权利。在本系统中用户分为两类，超级用户和一般用户，超级用户可以使用软件的所有功能；一般用户在超级用户的授权下可以进行数据的浏览，编辑工作，可以分组进行管理，用户组是在系统中进行相同业务操作的用户的集合，授权时候可以按照用户组进行，简化授权管理。超级用户不能分组。3.3 学生管理系统3.3.1 建设目标学生管理是对学生的信息进行管理,从而及时准确的掌握学生信息的一些情况。 3.1.2 系统主要功能需求对所有在校学生基本情况及相关子信息进行处理。3.4 就业管理3.3.1 建设目标将学生的就业信息，以及毕业后学生的基本信息，联系方式等进行统一的管理以及及时更新。对学生就业数据进行统计，从而为学校的决策提供有效的信息 3.1.2 系统主要功能需求包括学生就业信息（工作单位，工作职务，单位部门，部门主管，单位电话，单位邮编，单位地址，联系电话，住宅地址，联络号码）的管理，以及对就业信息进行统计第4章 链入财务，招生系统设计方案14.1 统一身份认证随着校园网基础设施的不断投入与升级，基于校园网应用会得到迅速的发展。在高校的信息化建设计划中，也包含了这样的内容，在需求推动和有计划实施的双重作用下，基于校园网的应用在高校会发展的更加迅速。在诸如办公自动化、财务信息查询、学校教务管理系统、数字图书馆、学习信息综合管理系统等等应用系统中都需要进行身份的识别认证并且对不同身份所拥有的操作权限进行授权。特别是校园“一卡通”系统和其他应用系统，由于这些系统的用户名和密码，这给用户带来了不少麻烦。随着系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大，安全性就会相应降低。针对于这种情况，统一身份认证成了系统应用中安全管理的首要问题。以前，通常的方法是在每个应用系统中建立独立的身份认证模块，使用独立的认证机制在各自的身份认证文件或数据库认证。这样的方法要为每个用户在每个应用系统建立帐号和密码，不方便用户记忆，也会造成系统维护代价大额提高。为了解决这些问题，提高系统的安全性和可维护性，可以采用统一身份认证机制。统一身份认证的核心内容是容易用户认证、单点登录。4.1.1 系统功能 统一目录系统在众多的应用系统中，有很多信息可以并且必须是共享的，如用户资料、网络设备、打印机等等，这些信息常被作为企业目录信息。规划校园统一的目录系统，存储和管理用户资料，可以被所有应用系统共享，包括门户系统和其他的应用系统。如果没有共享的用户资料库，就会出现有多少个独立的应用系统就有多少套用户资料的情况，对用户而言，需要记忆和管理个人的多个用户名和密码对，在应用的切换时，需要进行多次登录。对管理者来说，需要维护多套的用户资料。很显然，如果所有的应用系统都共享一套用户资料，以上所描述的情况就不会出现，有了可共享的用户资料库，可以实现统一用户管理，对于管理者来说，可以实现集中管理和单键管理；对于用户来说，只需要记忆和管理一对用户名和密码，并且进一步可以实现单点登录。建立目录服务的第一个步骤是，按照目录管理思想，结合相应的目录管理手段，对网络服务用户资料实行统一规划，旨在建立起以目录树结构为基础、以目录管理为手段的后台网络架构，为后续所有工作，如用户管理、用户授权、网络资源访问控制、应用统一登录等，建立一个集中管理的网络环境。总而言之，规划校园统一目录系统，可以实现一下目标：1.统一用户和资源管理2.集中授权和访问控制3.单点登录目录系统是统一身份认证的基础，当前的目录服务系统采用LDAP协议。LDAP，即轻型目录存取协议（Lightweight Directory Access Protocol）,是一个快速增长的对通用目录信息进行存取的技术。LDAP已经被大多数面向网络的中间层所应用和实现。作为一个开放、独立于任何厂商的标准，LDAP为目前分布式系统和服务中所要求的中央化信息存贮和管理提供了一个可扩展的结构。在经过快速的发展滞后，可以认为LDAP已经成为目录信息的标准方式。LDAP现在为大多数的网络操作系统，组件系统和应用所支持。LDAP是一树状的层次结构来存储数据。很多系统的配置刺痛和组织结构方式都可以用树型结构模型化。LDAP服务器可以用“推”或“拉”的方法复制部分或全部数据，允许根据需要使用ACL控制对数据读和写的权限。LDAP技术的应用是实现网络服务、目录存储和用户信息以及网络资源信息统一管理的基础。目录树结构可以采用如下的方式：dc=nanhua，dc=edu，dc=cnou=people ou=groups ou=roles因为所有的身份认证统一到目录服务器来进行，所以保证目录服务器系统7*24小时的稳定运行时必要的。单一的服务器结构无法保证系统的可靠性，所以必须采用的合理的服务器系统结构以保证系统可靠、稳定运行。服务器结构可以基于下图来构造：Supplier1和Supplier2中同时存储目录树上的所有数据，在这两台服务器上可以进行目录数据的读和写操作。Consumer1和Consumer2只能处理目录读请求，接收的写请求会转发到Supplier1和Supplier2上进行，在Supplier上数据更新完毕后，由Supplier对Consumer的数据进行更新。这样的服务器结构具有很强的扩展性，如果性能还不能满足要求的话，可以增加Consumer服务器的数量，甚至在Supplier和Consumer中间增加HubServer。如果考虑到经济问题或者暂时的需求不需要那么多的服务器，可以先不要consumer。这样的设计可以提高读和写的可靠性，当有一台服务器故障的时候，不会导致读和写操作无法进行。 统一身份验证在基于目录服务的同意资源管理的基础上，设计校园门户系统的统一身份认证中心。用户在访问门户或应用系统（包括受保护的网站）时，将首先只向认证中心认证。如图：图5-2 身份认证系统示意图认证中心可以实现多种方式或多种层次的认证，包括：用存储在LDAP目录服务器中用户ID和口令进行认证。用存储在LDAP目录服务器中的用户电子证书进行认证。用校园一卡通，进行卡认证系统，门户系统将其认证功能代理给此系统。现有系统和新建系统将根据需要将其认证只向认证中心的身份识别服务器，由其实现统一认证和授权，即集中鉴权功能。目前，建议门户系统和其他的应用系统的统一身份认证采用第一种方案：用存储在LDAP目录服务器中用户ID和口令进行认证。 统一资源管理将全体人员的个人，组织，工作组，角色，应用系等信息统一存在主校区的竹目录（Master）服务器中。而分校区的个人，组织，工作组，角色，应用系统等信息可以根据其规模选择是否在分校区建立从目录（Slave）服务器，并从主目录服务器中复制相应的信息，以实现维护，服务和负载的分布式部署。资料的维护，如开通，销户，基本维护等工作可由主目录服务器完成，也可以有主目录服务器授权多级的委托管理员（如部门管理员）代理完成。认证中心的身份识别服务器上，将实现统一的用户策略（Policy）。按照全校的组织结构，统一策略的采用”组织”,”单位（OU）”，“人员”，“工作组”，“角色”，“应用系统”等方式管理用户的信息和应用系统信息，从而形成一个层次结构。包括管理部署域名，组织，用户（基本信息，账号，口令，用户证书），角色，工作组，个性化定制（模板，布局，门户组件），系统资源配置，应用系统关联等信息。主校区的策略管理系统将保存全校人员的策略信息，个分校保存各分校的人员信息，主校区和分校区所保存的人员信息保持同步，实现人员信息的集中的管理和分部储存。全校教职工对内的各种应用和信息，是否在其门户的桌面上可见，是否需其访问，是通过策略管理来实现的。策略管理是上述各个门户功能（安全，个性化展示，定制等）的基础。对内的各种应用和信息的访问控制，是通过用户的安全级别实现；用户的安全级别可以分为域，组，成员，每个成员可以拥有不同的安全属性。策略管理模块的功能包含：管理用户的安全信息。管理用户的应用资源的访问策略和权限信息。管理系统的资源配置信息提供多域管理能力，支持分布式的策略管理支持大容量，高性能的信息查询具有用户策略数据的备份和恢复机制组织，用户，工作组，角色与应用资源的关系如下图所示：图5-3 用户决策管理结构图 单点登录解决思路单点登录（SSO）是指一个用户身份只需要进行一次鉴权便可以访问所有授权的资源，而不需要多次认证。SSO机制能减少人为失误，同时提高整个系统的安全性。虽然SSO有价值，但是它的实现并不容易，因为到目前为止还没有一种身份验证的统一标准。对已有的系统采用“伪”自动登录大部分现有或旧有系统对用户的管理和认证基于专用或非标准的方式，这些应用也很难再改变，所以我们在不改动当前应用系统的前提下，采用一种“伪”SingleSing On方式，即实现是登录二次，但由于门户自动帮用户实现第二次登录，所以对用户来讲，他们的感觉到的是一次登录，即对用户完全透明。这种方式是对现有和旧有系统最方便的实现单次登录的方式，而且有着不改变当前系统的巨大优势。实现这样的伪SSO，可以采用用户标志和密码的集中存储实现。目录服务器为系统提供一个集中存储用户所有的密码的场所。“统一登录”的软件可以利用它，在用户点击某一应用的URL（包括Web和非Web的应用）时，根据用户登录时的标志（目录树中的用户的唯一标志uid属性），以及应用的URL（sso-appurl属性）可以从目录服务器中迅速搜集用户防问该应用所需的标志和口令（sso-userid和sso-passwd属性），然后执行后续的自动登录步骤。新建应用系统的SSO对于WEB应用，单击登录的根本原则是，保持用户的会话状态（Session），只有用户经过一次鉴权，各个应用应该“记住”此用户已经成功鉴权并在各个应用中传播此消息。可以采用两种最常用方式：cookie，URL Rewring（可以将用户的会话状态扩展URL的后面）。Cookie事故HTTP1.1协议中的一个重要的规定，可以使用网站通过简单的方式余发出请求的browers之间进行通信，弥补HTTP协议无状态连接的不足，是一种简单易行的方式。这种方式的缺点是只适用于B/S（即使用HTTP协议）这种方式，对于其他的不基于WEB的方式，只能靠用户的开发去实现。根据上述的原则，门户系统和其它的应用系统的单击登录可以采用：某一个专用的认证代理进程，采用某种机制获取并保存用户的身份信息，在用户与各个应用系统的交互过程中，代替用户完成相应应用的认证过程。有某些情况下，可以使用专用的认证代理进程，该进程处于用户和应用程序之间。当用户被应用程序要求提供身份证明时，代理进程从用户资料库中得到用户的身份信息，并送给应用程序负责完成认证过程，这个过程对于用户是透明的，用户没有别要求输入密码。用户登录到平台。身份验证服务对其认证；认证通过后建立用户信用状。用户访问其他的应用，代理程序使用用户信用状，并发送请求给目录服务，要求得到web应用的用户名和口令。代理进程使用它们登录web应用并得到应用数据（根据web应用认证所采用的方式，例如http basic authentication或form based authentication,代理进程采用不同的登录方式）。代理进程将得到的数据格式化后生成用户缺省桌面，并将生成的结果传送给用户。4.2 共享数据平台共享数据中心是收集，处理和存储各类共享数据，并为全校提供信息共享服务的平台。为实现系统的集成和各个系统之间的数据共享，提供有效的决策支持数据，需要建立基于数据管理和利用的综合性技术方案的共享数据中心，在用以存放大量数据的同时有效地将数据管理起来，并提供数据访问的手段，为系统集成和各个系统之间的数据共享提供平台，保证数据的及时性，完整性和一致性。4.2.1 系统功能 数据源及中心库数据源是共享数据中心的数据抽取来源，我们把学校所有的应用系统的数据库称为数据源，这其中包括两个方面内容，一是现在学校已有的应用系统数据库；二是后续建设的各个应用系统的数据库。共享数据中心库是所有共享数据的集成地，所有应用系统的共享数据在这里集成。它向下从数据源集成数据并并保持更新同步，成为各个应用系统之间的共享数据通道：向上作为统计分析服务的数据源，向统计分析服务提供从各个应用系统集成过来的共享数据。共享数据中心库的数据来源于数据源，它通过数据集成工具从数据源的各个应用系统数据库抽取数据，并根据数据类型分析存储。另外，共享数据库与数据源的各个应用系统数据库保持更新的同步，共享数据库的数据同步分为自动同步和手动同步两种，自动同步主要针对后续建设的应用系统数据，其同步工作通过数据访问层实现；手动同步主要针对原有应用系统数据其同步工作通过数据同步工具实现。 数据集成共享数据中心库的数据来源目前来说主要是由基础代码表的数据和从已有的应用系统中继承过来的。这个过程就是数据抽取的过程，已有的应用系统的数据是不符合数据规范的，抽取的过程就是实现从不规范的数据源内通过整合转化成规范的数据保证数据的准确。数据集成的前提条件是对于要介入的每个应用系统的数据源进行调研，应用系统应该确保提供一定程度的数据接口。这是个从应用系统往共享数据中心上行的过程，首先需要确定要从应用系统抽取哪些数据，这些数据的含义是什么？即提供相应的数据字典，并且确定对应数据中心的哪张表，可以接入的数据接口模式分为：需要实时访问的数据源：需要在绝对保正原有系统数据安全性和完整性，不影响原有系统运行的基础上建立触发器来同步共享数据中心库的数据。通常是在原数据库中简历连接数据库或建立透明访问网关，再在需要同步的表上建立写到共享数据中心库数据的触发器。可以定期同步的数据源：通常是通过统一的数据泵进行数据的定期抽取，数据泵具体学要提供的功能包括：数据库类型的设置：设置不同的数据库以执行不同的数据库操作语法。数据源接入：通过透明网关或者ODBC进行连接，对于市场上比较流行的主流数据库Oracle、Sybase和DB2直接通过透明网关进行配置；SQL Server通过连接服务器进行配置；对于其他的数据库可以采用ODBC连接的方式接入。导入元数据并进行数据映射：再完成数据源接入后将需要的应用系统的元数据进行导入，并和红心数据库的相应内容进行数据映射，产生一对一的匹配。数据清洗：数据清洗是完成类型转换和过滤步骤，应用系统的数据源大多本身是不符合数据标准的，要通过数据清洗完成转换工作，并过滤掉一些不必要的历史数据。制定执行流程：可以这顶数据泵抽取数据的执行周期，并制定出流程，让其顺着预先制定的流程周期性的执行。 元数据管理元数据是指是指数字化校园建设中的一系列原始的基本的数据。元数据也是指管理管理系统中各数据表及字段的真实涵义，元数据管理完成对共享数据中心的数据库结构的管理维护工作，即对共享数据中心中的标准表的原数据进行等级，以方便日后的数据管理，并为今后需要编写共享数据中心库数据Web Service 操作的用户提供方便。元数据管理包括：表的注册。对表名进行中文注释，并对该表进行详细的描述。共享数据中心的表数量非常之多而且涉及到学校的每一方面，标的注册就是为共享数据中心建立档案，供访问者查阅。字段注册。和表注册一样，字段注册也是为共享数据中心的数据结构建立档案，供访问者查阅。更新数据库结构。为了适应学校信息化的发展做到与时俱进，还有面对数据标准的错误或者误差，更新数据库结构是必要的，但因为更新时牵连极大，须万分小心，不到万不得已不能更改，更改的原则是对于未未来使用的表可以更新、新增、删除字段信息，对于已经使用的表只能做新增操作。另外，在元数据的管理中还涉及到源数据的分类，根据信息子集的分类可以将标准库分成让业务人员熟悉的分类以方便查找。 数据访问接口接口共享目录，就是资源目录体系，就是对共享数据库进行数据交换的接口的共享目录，建设一套接口的共享目录，所有单位的接口都可以在共享目录中搜索和查找，是共享数据库建设的一个重要组成部分。目录信息浏览，用户能够分层浏览目录信息。目前，Web Service技术正得到广泛的应用，其中WSDL是Web Serivice接口的标准描述语言，使用UDDI可以实现对WSDL格式的Web Service接口进行规范的保存，查找，获取详细信息和删除功能。建设接口的共享目录需要开发及配置接口共享目录系统，提供相应的分类功能：（1）实现接口的归类，接口按照分类标准归类，提供相应的分类功能。（2）针对每一个数据共享接口，开发数据信息的存取变成实现，保证用户可以在业务系统中方便的访问共享目录。（3）实现对数据共享接口的搜索功能，并提供公共的搜索接口，用户可以通过搜索接口来分类搜索数据共享接口。数据访问接口是针对应用对中心数据库访问的，一般提供一组标准的访问中心数据库表和视图的访问接口。下面先以及与xml的WEB服务接口方式为例子加以说明。XML（eXtensible Markup Language 可扩展标记语言）语言具有良好的可扩展性，遵