职业中等专业学校数字化校园项目解决方案

山东协同教育信息技术有限公司PAGEPAGE1教育信息化解决方案提供商数字化校园项目解决方案山东协同教育信息技术有限公司目录1 项目简介 42 项目背景分析 4 校园信息化发展现状 4 信息化建设出现的问题 5 问题应对举措 5 数字化校园发展趋势 5 数字化校园发展策略 6 数字化校园研究应用 73 建设目标 74 建设内容 75 建设意义 86 系统架构 8 数字化校园体系架构 8 数字化校园技术架构 10 应用平台逻辑架构 11 三层架构 11 架构优势 12 应用平台业务架构 13 整体构架 13 前端展现 14 应用平台界定 14 应用平台层次 15 参考标准规范 157 网络架构设计 17 网络系统设计 17 网络拓扑结构图 17 网络设备选型 17 服务器系统设计 18 服务器选型原则 18 应用服务器和数据库服务器的选择 19 存储备份设计 22 存储结构图 22 存储系统互联方案 22 存储设备性能设计 238 数字化校园应用系统设计方案 24 交互式多媒体班班通方案(附件一) 24 多媒体智能教室录播系统方案(附件二) 24 虚拟演播大厅(附件三) 24 多媒体课件制作系统方案(附件四) 24 平安校园监控方案(附件五) 24 校讯通”综合信息管理系统(附件六) 24 校园管理平台(附件七) 249 数据结构设计 25 数据库系统设计 25 数据分布策略 25 多数据库系统 25 内部数据一致性设计 26 信息交换设计 26 信息共享设计 27 外部数据交换及共享设计 29 数据设计参考标准 29 基础数据标准 29 数据共享标准 30 数据交换标准 3210 系统安全设计 33 网络安全体系设计 33 物理层安全设计 33 网络层安全设计 35 管理方面的安全措施 36 网络安全设备设计与选型 37 防火墙 37 入侵检测系统 39 防病毒软件 4011 项目建设周期 4212 后期系统培训 42 业务人员培训计划 42 技术人员培训计划 43项目简介信息化校园的建设是一次管理理念变革、管理模式创新、管理方法改进、业务流程再造、业务规范执行的过程。我们将结合各个院校积累多年的优秀管理理念、管理模式、管理方法，与学校现有的管理进行碰撞、融合，能够带给学校先进的管理思想、帮助学校梳理业务条线、制定和规范业务规则、实现业务流程的再造，直接提升学校的信息化水平。数字信息化校园是整个教育现代化的一个不可分割的组成部分，其最根本目标应能够应用现代化信息技术对现行教育系统进行全方位改造，从而大大提高教育的质量和效益，培养出能够适应数字化生存环境的新一代公民，并尽可能缩小发达地区与贫困地区、重点学校与基础薄弱学校之间的“数字鸿沟”。以应用为导向，以（区域）资源（均衡化）应用为导向，构建覆盖城乡各级各类学校的数字化教育服务体系，实现应用（资源）班班通、堂堂用，促进教育内容、教学手段和方法信息化。项目背景分析校园信息化发展现状近年来，我国教育信息化取得的成就令世界瞩目：各级教育决策管理部门对教育信息化的高度视，硬件、软件、资源建设超常规发展，新型学习与教学模式的探索如雨后春笋，新一代教师和教育管理者迅速成长……但与此同时，各种矛盾和问题也逐渐产生和暴露出来：教育信息化的目标、评价体系需要进一步明确和调整，投资和管理体制急待健全、改革和完善，教师和教育管理者的培训应更加求实和不断深化，与素质教育、新课程改革的内在联系和协调发展必须加强。信息化建设出现的问题在研究与实践中我们深切地感受到：以学校为单位封闭、孤立地进行教育信息化建设的体制，已经成为基础教育信息化建设发展中越来越严重的桎梏。随着市场经济对教育的冲击，学校之间的竞争日趋激烈，尤其是同一区域中的同类学校，更成为具有直接利益冲突的竞争对手。这虽然能刺激和调动学校竞争发展的积极性，但由此带来的负面影响也是十分严重的。随着教育信息化的发展，这种负面影响的危害更加突显出来。问题应对举措因此，必须改变以学校为单位孤立地进行教育信息化建设的局面，提升决策、管理层次，推动区域教育信息化整体、协同发展。这已成为目前全国教育信息化的战略重点和关键环节。解决区域内应用平台之间统一身份认证问题，提供一站式登录服务解决区域内应用平台之间的数据孤岛问题，构建数据共享机制解决区域内应用平台之间的数据重复性问题，制订底层数据标准化定义解决教育信息化系统利用率低下问题，开展综合数据分析和深度数据挖掘解决教育信息化应用软件杂乱、功能缺失或重复的问题，立足本地实际需求，进行个性化订制数字化校园发展趋势教育信息化建设总体上分为三个阶段：硬件基础设施建设、综合信息系统建设和数字化校园建设。教育信息化建设呈现如下发展趋势：建立互联教育体系：利用多媒体及网络技术实现高质量教学资源、信息资源和智力资源的共享与传播。构建协作科研平台：利用先进的网络技术促进科研资源和设备的共享，加快科研信息的传播，促进国际性学术交流，开展网上协作研究，掌握科技前沿动态，促进最新科研成果向教学领域的转化，以及科研成果的产业化和市场化，提高科研的创新水平和辐射力。搭建公共服务体系：建设高质量的智能化图书馆、档案馆等，开展电子商务、电子医疗等各种网络化服务项目，提供面向全校师生的教学、科研、管理、生活等方面的网络服务，形成智能型的公共服务体系。建设校园一卡通系统：校园一卡通系统是综合提供身份识别与电子支付服务功能的系统平台，以及架构在此平台上的各种信息化应用系统，是校园信息化的重要形象和重要标志之一。迈向数字化校园：以无线网络环境为基础，实现校园无线网全覆盖；以管理信息系统为支撑，提供基于角色的服务功能，实现信息的查询、办公、消费、门禁等功能。通过对学习、工作、管理和生活等信息的全面数字化，达到提高教育质量、科研和管理水平与效率、为师生提供个性化服务的目的。数字化校园发展策略特色定位：基于移动通信平台的数字化校园。特色主题：感知能耗、感知平安、感知教学、感知科研、感知管理、感知服务、感知消费、感知图书馆等八大感知校园系列工程。实现“五化”：立体化的无线网络环境、基础化的信息支撑系统、智能化的传感采集平台、聚合化的移动通信平台、多样化的移动信息应用平台。完成“五一”：一个数字化校园标准、一张无线通信网络、一个数字化校园门户、一张手机校园卡、一套数字化校园解决方案。数字化校园研究应用华南师范大学李运林教授主持的教育部中央电教馆重点研究课题《利用现代信息技术加强学校、家庭和社区协同教育研究》已在全国范围内建立了100所协同教育实验学校。以李运林教授为首的研究院专家团队多次指导协同教育实验学校，推动了实验学校的课题研究与信息化发展。同时，广州市协同教育科学技术研究院为项目的构建提供技术支持。为校园内开展移动学习提供移动学习媒体以及优质移动学习资源等支持。还专门设立了“国家级实验课题课题组”、“信息化教育培训中心”等机构。建设目标制定数字化校园标准、建设数据中心、升级无线网络环境搭建数字化校园平台，提供多种校内服务支撑，信息传感采集中心整合学校优质资源，建设共建共享型教学资源库体系形成智能化的区域型学校联盟体系建设内容实现区域内各教学要素的连通、应用、管理，为学校教育系统、家庭教育系统和社会教育系统的沟通、协作、反馈创建应用平台。通过整合家庭教育系统、学校教育系统以及社会教育系统中的数字资源，建立纵向的“省、市、区县”三级教育管理平台、横向的“家、校、社”教育应用平台。通过城域教育网整合一个地区的教育资源，为该地区提供一个量大、质优的教育资源服务系统。搭建“校、家、社”多方互联的感知校园应用平台搭建“省、市、区县”级教育城域网管理平台体系建设意义随着无线互联技术的急速发展和移动信息化的步伐加快，学校信息化建设迈向更高层次——数字化校园。借助无线互联技术，将移动信息化与手机、平板、一体机等终端有机结合，使校园内人流、物流、信息流和资金流“四流合一”，通过终端能够移动感知校园的所有信息。无所不在的无线网络设施基础；无所不有的教学资源应用平台；无处不通的信息交流共享获取；无所不能的数字化智慧感知校园。系统架构数字化校园体系架构“数字化校园”采用分层体系结构，从下至上分为物联网感知层、物联网平台层、物联网应用层和校园应用层（如图1所示）。图_1感知校园分层图物联网传感层（感知层）主要完成物体信息的采集、融合处理和传输，采用传感器、智能视频、RFID等多种技术对校园场所内的各类对象实时采集信息。例如通过智能传感器对围界实时采集异常信息，通过RFID技术等对人员实时采集位置信息，通过智能视频技术对场景采集信息。得到的信息需要逐级进行融合，从而实现协同感知和协同控制。物联网平台层主要实现网络设备的管理、设备信息到业务信息的转换、设备信息和业务信息的呈现。平台有效地屏蔽了底层设备及其网络的复杂性和多样性，统一了设备管理接口和平台信息模型。平台采用组件化的构建方式，通过对组件的组态、编排、策略调度等手段灵活支持从简单到复杂的应用场景。物联网应用层从应用视角出发，以物联网平台提供的各类组件为基础，将细粒度的技术组件组织为更大粒度的功能组件，进而组织为一个个特定的物联网应用。围绕“感知校园”这一核心内容，系统集合教育行业的管理现状，可以提炼出面向学生、教师、外来人员的身份识别、行为识别等系统。数字化校园技术架构物联网应用具有组网复杂、数量巨大、地理区域分散、异构环境、个别场景实时性要求高等特点，因此对平台技术架构设计方面存在非常高的要求。物联网应用平台采用开放的技术架构，主要体现为用分布式软件总线技术构建整体技术框架。平台的各层面、各服务、各组件之间均采用软件总线实现互联互通。软件总线为平台提供了一致的开发、设计、部署和运行框架，同时具备透明部署、稳定运行、高可靠性等诸多优点。具体而言，平台技术架构由分布式中间件和基础服务构成。分布式中间件是软总线的核心内容，包括分布式对象请求代理、Web容器等内容。基础服务是附属软总线的基础设施，是业务服务稳定运行的基础；基础服务包括流程引擎、规则引擎、命名服务、事物服务、目录服务等内容。物联网应用平台分为接入层、服务层、逻辑层和界面层（图）。物联网应用平台层次接入层主要功能是通过分布式代理和协议适配等技术手段，屏蔽底层传感器设备、汇聚设备、辅助设备、网络传输设备的差异。这些差异包括厂家制式、版本、信息模型、外部接口、组网等诸多方面。参照TMN等行业规范采用面向对象设计原则，将上述被管对象抽象为属性和行为一致的管理对象。抽象的管理对象及其关系是平台共享信息模型的基础。服务层以平台共享信息模型为基础，从上层应用的视角出发，提炼和抽取出一组业务层面的公共服务。这些公共服务包括配置服务、事件服务、关系服务、位置服务、拓扑服务、策略服务、安全审计服务等，这些服务与具体的行业和应用服务无关。服务的设计采用面向对象、面向服务等设计原则，服务统一透明部署在软件总线上。物联网应用具有多样性和复杂性等特点，平台通过逻辑层来向上支撑多样化的、差异化的业务应用。具体说是通过对服务层各服务的编排来支撑业务流程；通过业务规则在服务和流程中实现业务逻辑判断；通过在服务上加载调度策略实现设备层面的联动控制。应用平台逻辑架构为了能够支持项目的系统目标，我们的系统采用Java平台，遵循J2EE技术规范，利用XML技术，使得系统具有更好的可靠性和可伸缩性。三层架构系统采用三层架构设计，从下至上分别为：数据访问层、业务逻辑层、表示层，如图所示：图_1系统三层架构1）数据访问层：有时候也称为是持久层，其功能主要是负责数据库的访问。简单的说法就是实现对数据表的Select，Insert，Update，Delete的操作。如果要加入ORM的元素，那么就会包括对象和数据表之间的mapping，以及对象实体的持久化。2）业务逻辑层：是整个系统的核心，它与这个系统的业务（领域）有关。如果涉及到数据库的访问，则调用数据访问层。3）表示层：是系统的UI部分，负责使用者与整个系统的交互。在这一层中，理想的状态是不应包括系统的业务逻辑。表示层中的逻辑代码，仅与界面元素有关。架构优势1）分散关注：开发人员可以只关注整个结构中的其中某一层，使得开发分工更加明确效率更高。2）松散耦合：可以很容易的用新的实现来替换原有层次的实现；可以降低层与层之间的依赖；降低层与层间的依赖性，既可以良好地保证未来的可扩展，在复用性上也是优势明显。每个功能模块一旦定义好统一的接口，就可以被各个模块所调用，而不用为相同的功能进行重复地开发。3）逻辑复用：可以有利于各层逻辑的复用。比如，可以使用同一个业务逻辑来实现不同的表现层，针对不同的客户端显示不同的界面。比如针对电脑和手机编写不同的界面，两者共用相同的业务逻辑。4）标准定义：有利于系统开发的标准化。只有在一定程度的标准化基础上，这个系统才是可扩展的，可替换的。而层与层之间的通信也必然保证了接口的标准化。采用分层设计的系统将自始至终都可以满足功能需求和性能需求。应用平台业务架构系统业务架构由学校教育系统、家庭教育系统、社会教育系统、教育局系统组成。系统业务架整体构架整个系统基于B/S架构，用户所有功能操作都在web浏览器里完成。对于平板电脑及手机等移动设备，系统可针对性地定制相应客户端。在学校内部署无线网络（WIFI）,满足平板电脑、手机等移动设备终端“随时随地”的教学需求。图_1系统整体构架前端展现前端表现以用户为中心设计（UCD，User-CenteredDesign），以用户的角度组织系统各业务功能。所有用户通过门户网站统一登录入口，但根据不同的用户角色及权限呈现不同的功能模块。图8_1应用系统功能模块图应用平台界定市级平台：负责资源的整合管理、分发调度，统一管理教育基础信息，建立教师教学应用、教学资源应用的评价体系，准确统计应用数据，并对整体系统平台的所有服务节点进行运行状况监控、故障处理。校级平台：负责根据学校需要定制下载市级基础教育资源，整合管理教材资源、同步资源、校本资源，均衡资源、拓展资源，满足教师备课、授课日常教学，学校管理者可以分析教师应用情况。校级平台可以独立运行，在学校备课、授课时不受外部网络影响。师生互动平台：学生自主学习门户，即可满足学生在家庭中复习、自主学习的需要。也可满足学生定向学习需要，在线完成学习、作业、考试、答疑、自我管理等应用需要。家庭（社会）平台：信息发布、信息查询、在线咨询、广播信息接收、来文查看、家长空间、成长袋记录等，实现广域型“班外通”协同教学、管理、协作、沟通。应用平台层次参考标准规范《教育资源建设技术规范》《教育管理信息化标准》（教育部）《基础教育教学资源元数据规范》《现代远程教育工程教育资源建设规范》（教育部现代远程教育资源建设委员会）《中国现代远程教育技术标准体系》GB/T19668.1-2005信息化工程监理规范第1部分：总则GB/Z19669-2005XML在电子政务中的应用指南GB/T19581-2004信息技术会计核算软件数据接口GB/T20619-2007中文办公软件文档格式规范GB/T16260.1—2006软件工程产品质量第1部分：质量模型GB/T16260.2—2006软件工程产品质量第2部分：外部度量GB/T16260.3—2006软件工程产品质量第3部分：内部度量GB/T16260.4—2006软件工程产品质量第4部分：使用质量的度量GB/T8566-2007信息技术软件生存周期过程GB/T8567-2006计算机软件文档编制规范GB/T18234-2000信息技术CASE工具的评价与选择指南GB/T18492-2001信息技术系统及软件完整性级别GB/T18914-2002信息技术软件工程CASE工具的采用指南GB／T5271．1—2000《信息技术词汇第1部分：基本术语》IEEE802.3以太网10Base-T标准GB／T9387．4—1996《信息处理系统开放系统互连基本参考模型第4部分：管理框架》STD-0001．1997《INTERNET正式协议标准》RFC1739《INTERNET和TCP／IP工具的基础》YDN052—1997《B—ISDNATM层规范》IABRFC1157《简单网络管理协议标准(SNMP)》GB／T15972．1—1998《光纤总规范第1部分：总则》GB／T10022．1—1998《信息技术图片编码方法第1部分：标识》RFCl825《INTERNET协议的安全体系结构》ISO／IEC10181—1：1996《信息技术开放系统互连开放系统的安全框架第1部分：概貌》ISO／IEC10181—5：1996《信息技术开放系统互连开放系统的安全框架第5部分：保密性框架》GB／T2887—2000《电子计算机场地通用规范》GB17859—1999《计算机信息系统安全保护等级划分准则》《信息安全服务评估准则》网络架构设计网络系统设计网络拓扑结构图图_1市级平台标准配置拓扑图网络设备选型根据教育城域网建设规划，实现各区域、各学校之间信息的快速、安全传递和资源共享，为了保证整个网络系统的安全性、高效性，信息中心网络链路采用双链路冗余设计，采用两台高性能交换机组成的核心网络交换系统，提供部署区的整个网络系统的核心交换，全部采用千兆电口。同时在系统服务器与网络交换机之间采用1000M高速连接，并且通过安全冗余的方式实现服务器系统的安全高效连接。出口处部署一套防火墙以及IDS入侵检测系统，方便对网络情况进行记录、取证工作，对网络上的可疑行为做出策略反应，及时切断入侵源,记录、并通过各种途径通知网络管理员，最大幅度地保障内部系统安全。服务器群通过千兆链路直接上联核心交换机，存储系统通过光纤交换机与服务器相连，保证数据交换机及存储的高速稳定。交换机选型：24个10/100/1000Base-T以太网端口，4个复用的SFP千兆端口，两个扩展槽位。1个管理Console口。配置双冗余电源，电源和风扇故障告警。Qos：支持基于IP、MAC地址、时间段的ACL支持端口聚合，交换容量≥192G，包转发率≥90M。服务器系统设计在各级地市区的教育局端，根据作为信息交换中心业务规模大小，标准配置下需部署2台高性能应用服务器通过集群方式对各个子系统进行支撑。在各级学校端，根据业务需要，可以单个服务器架设应用服务器，有条件的大学校，可以采购多台低成本服务器，部署数据库、FTP文件服务、流媒体点播服务来分摊主应用服务器压力。在教育局端，配置CA认证服务器，同时也可以做为备份服务器或者联机管理服务器。为了优化服务器的负荷，通过配置负载均衡器来实现用会话请求在各服务器上的合理分配，避免服务器任务分担均，提高用户访问响应速度。服务器选型原则服务器选用市场主流品牌、服务器的型号选用具有生命力的产品，保证“三年先进，五年可用”，而不是将要淘汰的产品，具有良好的性能价格比。支持SMP对称多处理方式和CLUSTER方式。具有高可靠性和安全性。有良好的性能，具有较高的TPS值，适应所负担的应用要求。存储设备选用具有较高的容错能力、性能、容量、连接性和管理性，支持多种网络访问协议。厂商在广州市具有良好的售后服务和技术支持，关于服务器的品牌主要考虑国内、外知名品牌如IBM、HP、DELL、联想、方正、浪潮等。应用服务器和数据库服务器的选择选取主机系统时，首先要考虑主机的计算能力，特别是针对业务应用所必需的数据库服务器和应用服务器。根据目前已有系统以及业界经验计算方法，对主机的处理能力要求主要表现为TPC-C值。TPC-C值的计算以系统的日处理能力和处理时间为依据。根据对业务发展趋势，预计未来5年数据库主机需要具备日处理15000次的访问请求。每次访问请求换算成数据库的后台业务处理，则大约为0.5笔交易。因早晚业务量较小，8小时内的业务量并不平均，主要集中在白天6个小时，根据经验，峰值业务量通常为平均值的10倍，可得每小时的峰值业务量为：×5÷6）×10＝12.5万笔/小时。随应用程序的不同而异，对大多数成熟的数据库应用程序，考虑到系统资源的开销及优化程度不够等人为因素，根据经验值，平均6到10个Transaction等价于一个TPCC基准测试业务处理，这里取平均值8进行计算。TPC-C计算方式：公式：TPM值＝每小时峰值交易量÷60分钟×8TransactionTPM值为：（125000÷60）×8≈16666TPM在项目初段，为保证系统具有良好的生存周期，降低今后系统升级的成本，应保证所用主机的系统资源平均利用率为上面基础的60%，具有40%的冗余。故，所有业务处理所需的TPM值为：TPM值为：33400÷60%≈16666TPM因此数据库服务器系统的TPM值为：16666参考的指标要求：应用服务器提供系统的TPM值为：5560建议参考的指标要求：根据TPCC值估算，本期建设的配置要求为：数据库服务器1、处理器：≥2颗四核Xeon7430，主频≥，12MBL3Cache2、内存内存≥16GB，支持最大内存容量≥128GB；3、硬盘300G硬盘≥4，15000转，支持热插拔4、网卡10/100/1000以太网口（双绞线）≥2个。5、DVD-ROM内置DVD-ROM≥16、电源交流电源≥2，支持冗余热插拔。7、操作系统windowsServer2008企业版操作系统。应用服务器1、处理器：≥2颗IntelE5506Xeon双核处理器，主频≥2、内存内存≥8GB；3、硬盘146G硬盘≥2，15000转，支持热插拔4、网卡10/100/1000以太网口（双绞线）≥2个。5、DVD-ROM内置DVD-ROM≥16、电源220V交流电源≥2，支持冗余热插拔。7、操作系统windowsServer2008企业版操作系统。存储备份设计存储结构图图7.3.中心交换节点，建议采用光纤磁盘整理柜做为存储介质，具有高读取、大容量、易扩展等优势符合业务需求。现有磁盘阵列柜品牌相当多，建议使用大厂商产品。如IBM、HP、DELL等。存储系统互联方案如上图所示，存储系统通过光纤交换机与服务器连接，采用2台光纤交换机建立SAN，将存储和服务器连接到SAN上，主机和存储的FC通道分别连接到不同的交换机，形成双Fabric结构，构造双冗余的、高可靠的SAN结构。如上图所示，生产存储平台全光纤系统配置2个存储控制器，每个控制器中配置主机FC端口，4GB/2GB/1GB自适应的端口连接UNIX、Windows开放系统主机。每块存储控制器的端口均2个一组分别接入不同的交换机，构建存储到交换机的双冗余链路，避免因为交换机的原因，发生数据拥塞和故障而导致主机系统宕机。在SAN中服务器方，根据系统可用性的不同要求，对相应服务器配置2块HBA卡。使其可以通过不同的HBA卡分别连接到不同的光纤交换机，形成冗余链路。假如出于成本考虑，可以每个服务器只配置一个HBA卡，但这样的安全性大大降低。通过将主机和存储的FC通道分别连接到不同的交换机，构建了一个双冗余的、高可靠的SAN结构。实现了由“服务器主机接口－光纤交换机－存储系统”I/O链路的冗余配置，整体SAN网络无单点故障。当主机为HACluster环境时，FAS存储系统支持各种操作系统平台的Cluster软件的切换，所有的Cluster主机节点定义的LUN都是已经事先mapping到不同的存储控制器的一对节点，当主机切换时，所有的LUN会自动跟随主机系统的切换，无需人为的干预我们建议在尽可能多的链路中采用这种高速光纤网络，涉及的部件包括：主机适配器接口，光纤线缆，光纤通道交换机，存储系统主机端接口，存储系统设备端接口，磁盘驱动器接口。在典型的OLTP应用中，对磁盘阵列响应能力的需求也有比较高的要求。对于I/O请求响应和处理能力的衡量，业界使用IOPS的标准，也就是控制器每秒钟处理的I/O数量，这个数值越大，磁盘阵列控制器的处理能力越强，越适合在OLTP的环境中使用。每个厂商都会对自己的磁盘阵列产品公布设计数值。存储设备性能设计储存量是计算机数据存储能力的一个重要指标。根据业务的数据量框算，可以相对准确的定义出计算机的存储容量。但实际上，数据库存在一定的冗余，并且随着业务的不断发展，数据的增量和历史数据的沉淀经过日积月累，也会占用不少的存储空间。需要说明的是：数据的存储不一定全部依靠主机完成的，可以借助于磁盘柜等存储设备。所有系统平台上线后，主要的数据包括了本单位的业务数据（邮件服务、门户网站、办公系统）；各技校的专业信息、师资信息、学生信息、装备信息、就业信息等；以及资源库各类资源（包括精品课件、电子图书、音视频文件等）。数字化校园应用系统设计方案交互式多媒体班班通方案(附件一)多媒体智能教室录播系统方案(附件二)虚拟演播大厅(附件三)多媒体课件制作系统方案(附件四)平安校园监控方案(附件五)校讯通”综合信息管理系统(附件六)校园管理平台(附件七)数据结构设计数据库系统设计数据分布策略集中式数据库把数据集中在一个数据库中，集中管理，减少了数据冗余和不一致性，而且数据联系比文件系统强得多。但集中式系统也有弱点，如其系统庞大，通信拥挤等。为了真正实现对分布在不同地方的数据资源共享，早在70年代就开始了分布式数据库的研究。经过10多年的努力，到1986年在软件市场上开始出现了分布式数据库产品。当时，关系技术公司（现为INGRES公司）宣布了称为INGRES/STAR的分布式版本。其后不久，Oracle公司也宣布了称为SQL*STAR的Oracle分布式版本。这些年来，分布式数据库的研究和应用有了很大的进展。多数据库系统多数据库系统（MBS）是为在多个数据库之间实现互操作，解决数据资源共享的一种技术途径。多数据库系统是由若干数据库组成的一个集合，其中每个数据库称为分数据库。分数据库系统可以是集中式的，或是分布式的。它们都受各自的、可能是不同的DBMS（数据库管理系统）管理。SYBASE和Oracle都提供分布式处理的功能，支持分布多数据库系统。SYBASE采用客户/服务器的体系结构，支持在网络环境下应用的分布计算模式。客户部分包括Client应用程序开发工具和Client接口。Client工具为应用软件开发的各个阶段提供支持，Client接口实现Client与Server间的连接，以及OPENClient的开放互连。Server分为SQLServer和OpenServer两部分。SQLServer完成分布式RDBMS的功能，OpenServer完成与其他非SQLServer管理的数据源和各种事务处理应用系统的互连。Oracle主要通过SQL*Net和它的RDBMS实现分布式处理。它实现的是多点分布式查询，即一个查询可以涉及多个结点的数据库。Oracle对多种平台、多种网络、多种操作系统的支持能力很强，特别在Oracle环境内，它提供的4GL工具具有比较强的分布查询能力。2007年Oracle公司发表了版本Oracle11G，11G扩展了Oracle独家具有的提供网格计算优势的功能，您可以利用它来提高用户服务水平、减少停机时间以及更加有效地利用IT资源，同时还可以增强全天候业务应用程序的性能、可伸缩性和安全性。内部数据一致性设计信息交换设计信息交换的需求在科研机构的涉密信息系统覆盖了几乎所有科研平台，由于科研机构的工作信息需要科研院所、合作单位和上级单位进行交流，科研工作需要大量新技术的支撑，新技术获取的最好平台就是Internet上的科技信息港资源。而科研机构的涉密信息系统与Internet和非密网都是物理隔离的。因此科研机构涉密信息系统与外界信息交换主要是两个方面：（1）涉密内网与Internet之间非密信息的交换（包括补丁和病毒库的升级）；（2）涉密内网与其它单位涉密信息和非密信息的交换。这两个方面都存在将病毒和木马代入涉密信息系统的可能性。另一种信息交换的需求是科研机构内部，按照分级保护的要求，对高密级的信息系统防护代价和成本都很高。不同安全域之间的边界防护技术不是很成熟，因此单位内部存在不同密级的涉密信息系统，从而带来信息交换的需求。由于机构内部无论单机还是不同密级的涉密信息都采取了病毒和木马防护措施，因而机构内部涉密系统之间信息交换隐患相对较小。管理难点由于涉密单机（不适合接入网络）和涉密网络与外界信息交换频繁、每次数量不大、信息交换及时性要求，导致利用只读光盘上传数据的方式很难适应科研机构。因此必须针对科研机构信息交换的特点，研究适宜的信息交换机制。信息共享设计基于校园网文件共享系统的设计：（一）系统目标设计：教师的文件以离散的方式分布在校园网的各个角落，不便于下载。而基于校园网文件共享系统的目的就是以“学校管理、教学发展”为根本点，按处室、教研组、年级组、班级进行分类，以合适的方式来组织这些离散的文件，构建一个开放的基于校园网的文件共享系统，供师生上传下载文件，进行文件的共享。该系统遵循如下原则：1.实用性。构建基于校园网文件共享系统目的是充分利用校园网的资源，提高管理效率和教学效率。因而无论在内容还是在功能上都应充分考虑管理和教学的需求，使教师、学生能方便及时地获取所需文件。2.可扩展性。随着管理和教学需求不断地增加，校园网文件共享系统的功能和内容不断地完善和更新，以适应数字化校园的要求。3.通用性。校园网文件共享系统能动态管理各种文件，因此要求该系统能适用于处理各种文件类型、各种大小的文件。4.高速性：校园网文件共享系统是建立在校园局域网上的应用系统，因此文件的上传、下载的速度可以达到高速。5.方便性：教师能够方便、快捷的对系统内自己的文件进行管理，例如文件的添加、删除、共享等。

（二）系统功能设计：

1.功能结构总图：图9.2.2_1数据库功能结构总图2.工作效果图：图9.2.2_2数据库功能平台工作效果图外部数据交换及共享设计系统采用基于客户浏览器/服务器(Browser/Server，即B/S)模式。教师、学生通过校园网内、外任何一台计算机上的IE浏览器向学校服务器发出请求，学校服务器对浏览器的请求进行处理，将教师、学生所需信息返回到该台计算机上的IE浏览器。简化了校园网内计算机的配置，只需安装IE浏览器即可，学校服务器承担对信息文件库的访问和应用程序的执行。数据设计参考标准基础数据标准校园数据中心的内容建议规划成两大部分，一是基础数据库，二是本校数据仓库。基础数据库是按照教育部及学校的元数据标准、编码标准，按照国家信息分类原则进行设计的。这一规划方式，打破了以应用为中心的建库模式，从而与应用无关，可为不同的业务子系统提供统一的数据库逻辑视图。基础数据库的主要特点是数据的动态性和在线性，即数据是实时更新的，同时支持联机处理。基础数据库加上统一的数据访问接口，实现了今后应用系统开发的“数据总线”，打造了数字校园的信息“高速公路”，从而有效地实现了数据集中与信息共享的目标。1）数据元素标准：数据元素标准管理指的是数据中心数据元素的命名、别名和一致性的控制。数据元素的名称要在数据中心名空间的全局保持一致，同时要保证具有原子意义。2）信息编码标准：信息编码是数据元素标识、检索和自动化处理的关键。信息编码应按“国际/国家标准/教育部标准/学校标准”的序列，建立起校园数据中心的信息分类标准。在《教育管理信息化标准》中，已经完成了主要的“国际/国家标准/教育部标准”的编码定义，学校今后的主要工作是对校内的信息编码进行定义，并通过平台统一发布到数据中心和目录服务系统中。数据共享标准建立科学数据共享标准体系的必要性主要体现以下几个方面：1.标准化是科学数据共享的前提。科学数据共享标准体系是制定科学数据共享标准规划的指南，它的作用是在科学数据范畴内促进科学数据共享标准达到科学化、合理化和工程化。只有在统一标准的前提下，科学数据共享的总体目标才能够有效地实现。2.科学数据共享标准体系的建立为科学数据进入国家信息基础设施做好准备，它将结合现代信息技术的发展成果指导科学共享相关标准的制定，为科学数据的高度共享及其与其他应用系统的高速通信、联网创造必要的条件。3.建立综合性的科学数据标准体系涉及到跨学科、跨部门、跨地区、跨行业的科学数据获取、收集、汇交、存储、管理和分发等科学数据生产和共享活动的大量标准化工作。建立综合性的科学数据标准体系是科学、完整、有序地制定和贯彻科学数据生产和共享活动的标准和技术规范的重要基础，它将推动科学数据共享工程技术体系的建立和标准化进程，从而在技术层面上促进科学共享的快速发展。科学数据共享标准体系分为三方面：指导标准、通用标准和专用标准，共32项标准。（一）指导标准

指导标准是与科学数据共享标准的制定、应用和理解等方面相关的总体性标准，用来阐述科学数据共享标准化的总体需求、概念、组成和相互关系，以及使用的基本原则和方法等。科学数据共享工程中的指导标准包括：《标准体系及参考模型》、《标准化指南》、《科学数据共享概念与术语》、《标准一致性测试》。（二）通用标准通用标准是科学数据共享活动中具有共性的基础性标准。通用标准分为三类：数据类标准、服务类标准和管理与建设类标准。数据类标准，包括有元数据标准、分类与编码标准、数据内容标准这三方面标准。元数据标准用于规范元数据的采集、建库、共享以及应用，包括《元数据内容》、《元数据XML/XSD置标规则》和《元数据标准化基本原则和方法》；分类与编码标准是科学数据分类与编码时需要遵守的指定规则，包括《科学数据分类与编码原则与方法》、《科学数据分类与编码》；数据内容标准用于数据的规范化改造、建库、共享以及应用，包括《数据元标准化原则与方法》、《数据元目录》、《数据模式描述规则和方法》、《数据交换格式设计规则》、《数据图示表达规则和方法》、《空间框架数据标准》。服务类标准，是提供科学数据共享服务的相关标准的总称，涉及了数据和信息的发布、表达、交换和共享等多个环节，规范了科学数据的转换格式和方法，互操作的方法和规则，以及认证、目录服务、服务接口、图示表达等各方面。服务类标准包括有数据发现服务标准、数据访问服务标准、数据表示服务标准和数据操作服务标准这四方面标准。管理与建设类标准，用于指导系统的建设，规范系统的运行。管理与建设类标准包括《质量管理规范》、《数据发布管理规则》、《运行管理规定》、《信息安全管理规范》、《共享效益评价规范》、《工程验收规范》、《科学数据中心建设规范》和《科学数据网建设规范》。（三）专用标准专用标准就是根据通用标准制定出来的满足特定领域数据共享需求的标准，重点是反映具体领域数据特点的数据类标准，包括领域数据类标准、领域服务类标准、领域管理与建设类标准。领域数据类标准包括领域元数据、领域分类与编码、领域数据内容等方面的标准。领域服务类标准是指领域根据自身的特殊需求，对通用标准中的数据访问服务、数据表示服务和数据操作服务标准进行必要的修订和扩充，形成具有自己领域特点的专用数据发现服务、数据访问服务、数据表示服务和数据操作服务。同样可以依据现有的通用标准中的服务类标准，结合新的功能需求，增加新的功能性标准。领域管理与建设类标准分为两种类型：一是领域可以直接采用的标准，例如《国家科学数据中心建设规范》和《国家科学数据网建设规范》；另一类是需要领域根据具体情况，可以进一步修订、细化的标准，例如《质量管理规范》和《运行管理规定》。数据交换标准数据交换是面向语义、面向主题和面向应用的信息资源交换。数据交换中心包含数据采集、数据转换、数据整合、数据抽取等功能，是信息资源共享与升值的前提。数据交换的作业分为两类，一类是数据中心本部动态数据的整合与加工处理；另一类是跨部门、跨机构的信息接收、格式转换、重建索引和重新归档。数据交换中心的建设，是数据中心建设过程中难度最大也是最具现实意义的一项工作。系统安全设计网络安全体系设计物理层安全设计（1）环境安全合理的机房选址：要注意选择安全的地点，具有较强的防灾害（雷击、暴雨、电压、盗窃、水灾、火灾、地震等）、防干扰（电磁干扰，静电等）能力。为提高机房和设备的屏蔽效能，采取综合措施隔绝与外界的声、光、电磁信号联系，连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风、波导、关门等。适宜的机房环境：建议按照国家有关标准建设机房，安装必要的设备以便达到合适的温度、湿度，能够防尘、防静电、防水、防雷击、防电磁辐射；采用不间断电源，装备备用发电机。屏蔽室适用于网络中心机房及设备集中使用、处理绝密级信息的系统，采用低辐射网络信息设备将电磁辐射减小到规定的强度，使窃听信息成为不可能。这种方法适用于设备分散使用、处理绝密级信息的系统。加强机房的防盗管理及机房保卫，以避免设备被盗或终端被入侵。（2）设备安全：主要指两类设备：网络专用设备（路由器、交换机等）和主机设备（终端计算机、服务器、防火墙等）。设备安全主要包括设备的防盗、防电磁辐射、防止搭线窃听、抗电磁干扰及电源保护等；设备冗余备份。设备的安全性体现在：提高设备可靠性：采用高质量、高可靠的设备。如有可能，对关键的设备要在合适时候更换性能更好、功能更全、运行更稳定的产品，选用高可靠性硬件设备，在可能情况下优先采用双机或多机的冗余设计方案，如核心交换机/路由器。另外采用合理的网络拓扑保证线路冗余，避免出现单点故障。合理的主机冗余自备份，保证备份的快速切换。良好的设备环境：设备存放环境如温度、湿度等符合设备要求。良好的设备安装：设备的安装要坚固耐用，尽量隔离存放，做到最终用户难以私自安装、拆卸设备的配件。（3）媒体安全：包括数据安全及存储数据的介质本身的安全。显然，为保证网络系统的物理安全，除在网络规划和场地、环境等方面满足要求之外，还要保证信息在处理、显示、传输时的安全。根据系统安全需求可选择的备份机制有：机房内的高速度、大批量数据的自动的数据存储、备份与恢复；机房外的数据存储、备份与恢复；对系统设备的备份。（4）物理安全可以参照遵循的标准《计算站场地安全要求（GB8361-88）》《计算站场地技术条件（GB2887-89）》《计算机机房用活动地板技术条件》《电子计算机机房设计规范》《电子计算机机房施工及验收规范》《信息技术设备（包括电气事务设备）的安全（GB4943-95）》《信息技术设备的无线电骚扰限值和测量方法（GB9254-1998）》《信息技术设备抗扰度限值和测量方法（GB/T17618-1998）》（5）设计原则和规范这里说的物理层指的是物理连接方面的安全，尤其指的是不同密级之间网络的连接规范，保证从物理结构上的安全。分支内容主要包含以下几个方面：电磁泄漏：对于重要的、涉密的设备进行电磁泄漏防护；恶意的物理破坏：采用网管设备进行监控，对重要设备采用专用机房、专用设施、专门人员进行保护。电力中断：重要的服务器等设备均有双电源冗余的设计，双电源是网络正常运行的有力保障。重要设备应具有在线式UPS，控制全部重要计算机系统的电源管理；一旦断电时间接近UPS所能承受的延时服务时间的70%，则发出指令自动关闭主要的服务器。本期建设配置1台10KVA在线式UPS进行断电保护。机房安装视频监控摄像机进行视频监控，并保存录像资料1周。机房出入门安装门禁系统，对出入人员进行管理和记录。网络层安全设计正确使用各种网络设备，比如交换机、路由器等安全设备。网络链路冗余设计，本期配置2台交换机来防止单点故障造成网络中断。配置防火墙和入侵防御系统，阻止非法入侵。采用千兆防火墙，具备四个以上端口，建议1000BASE-TX端口≥2，1000BASE-SX端口≥2。通过VPN进行数据传输，本期项目采用带有VPN功能的防火墙。安全使用网络设备：事实上，对于一些常见的网络攻击，可以使用本身具有的一些技术功能加以有效的防范，如：使用ControllingDirectedBroadcasts技术通过对路由器各端口directed-broadcast的控制，防止smurf（DirectedBroadcasts）攻击。通过ACL（accesslists）和RPF（reversepathforwarding）checks等方法防止地址欺骗类的网络攻击。关闭IPsource-route选项，预防控制路由类的攻击发生。一些拒绝服务（DoS）类的攻击常常通过大量无用的数据流充满网络链路来实现，对网络链路上数据流的控制是解决拒绝服务攻击的一个重要手段。在路由器上使用如加权平衡队列(WFQ)、承诺访问速率(CAR)、generalizedtrafficshaping(GTS)和定制队列（customqueuing）等QoS技术来解决流攻击类的拒绝服务。一些特殊的网络服务，由于在正常使用中极少用到，但这些服务往往会给攻击者以可乘之机，所以建议将路由器中的这些不需要的网络服务关闭，如：TCPSmallServices、UDPSmallServices、Servicefinger、NetworkTimeProtocol(NTP)、CiscoDiscoveryProtocol(CDP)在三层交换机、路由器等边界设备上，支持ACL（AccessControlList）功能，支持NAT功能，充分利用访问控制列表ACL，可以实现一种包过滤的功能，可以通过设置ACL规则，对进出网络设备端口的数据包进行过滤。为了防止IP地址伪造，特别是伪造源地址，可以在广域网与各地局域网连接的边缘路由器上设置ACL，检查从本地进入广域网的每一IP包，丢弃源地址不是分配给本地地址的所有IP包。此外所设ACL还要丢弃如下IP包：源地址为子网广播地址；目的地址是环回（loopback）地址；目的地址不是有效的单播或组播地址。网络结构的安全，主要由网络拓扑结构设计及网络协议的选用来保证。数据安全：通过存储阵列的磁盘区域划分，对数据进行冗余备份，防止因数据丢失或者误操作带来损失。管理方面的安全措施安全管理在系统安全中占有很重要的地位。在制定制度时需要遵循如下的原则：多人负责原则：每一项与安全有关的活动，都必须有两人或多人在场。以下各项是与安全有关的活动：访问控制使用证件的发放与回收；信息处理系统使用的媒介发放与回收；处理保密信息；硬件和软件的维护；系统软件的设计、实现和修改；重要程序和数据的删除和销毁等；任期有限原则：一般地讲，最好不要让一个人长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期地循环任职，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。职责分离原则：在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。出于对安全的考虑，下面每组内的两项信息处理工作应当分开。计算机操作与计算机编程；机密资料的接收和传送；安全管理和系统管理；应用程序和系统程序的编制；访问证件的管理与其它工作；计算机操作与信息处理系统使用媒介的保管等。网络安全设备设计与选型防火墙防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。对网络存取和访问进行监控审计：如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。防止内部信息的外泄：通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。选型要求：选用具有VPN功能的千兆防火墙，能防御DoS/DDoS攻击（如CC、SYNflood、DNSQueryFlood、SYNFlood、UDPFlood等）、ARP欺骗攻击、TCP报文标志位不合法攻击、LargeICMP报文攻击、地址扫描攻击和端口扫描攻击等多种恶意攻击，同时支持黑名单、MAC绑定、内容过滤等先进功能。支持基础、扩展和基于接口的状态检测包过滤技术；支持H3C特有ASPF应用层报文过滤协议，支持对每一个连接状态信息的维护监测并动态地过滤数据包，支持对应用层协议的状态监控。集成IPSec、L2TP、GRE和SSL等多种成熟VPN接入技术，保证移动用户、合作伙伴和分支机构安全、便捷的接入。可以有效的识别网络中各种P2P模式的应用，并且对这些应用采取限流的控制措施，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTPURL和内容过滤。提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式；支持多种应用协议正确穿越NAT，提供DNS、FTP、H.323、NBT等NATALG功能。支持本地用户、RADIUS、TACACS等认证方式，支持基于PKI/CA体系的数字证书（X.509格式）认证功能。支持基于