育才学校智慧校园项目方案建议书

1、1育才学校智慧校园项目方案建议书目录 TOC o 1-3 h z HYPERLINK l _Toc46319663 第1章 项目概述 项目概述项目背景XX市育才教育集团。在市委、市政府和县委县政府等各级领导的正确领导下，全体育才人经过不懈的努力，在短短的十几年里就取得了骄人的荣誉和业绩，备受社会各界的热情关注，现已发展成为集高中、初中、小学、幼儿园于一体的民办教育集团。 在民办教育促进法的沐浴下，育才教育集团始终坚持：以人为本，依法治校，质量立校，科研强校，和谐兴校，具有自己特色的办学路子，取得了丰硕的成果。从建校伊始的简陋教室，到今天明亮高耸的教学楼，舒适温馨的学生公寓，宽敞整洁的学生餐厅，

2、设施齐备的医务室、洗澡间、电话亭、洗衣房、文化用品超市等，无一不透射着全心全意为学生服务的永恒宗旨。建有标准化的图书馆、体育馆、游泳馆，有线电视、计算机、多媒体教室、校园网络及校讯通更为育才的校园文化和信息化发展奠定了坚实的基础。【学校规模】：目前，XX市育才教育集团占地总面积达到260000平方米，建筑面积192000平方米。所辖三个校区，两所幼儿园、三所小学、三所初中、两所高中，学生15200余名，教职员工 1421人。专任教师800多名，具有本科学历的教师达到100%以上。【教育教学成绩】十几年来，育才集团始终贯彻国家教育方针，培养学生全面发展，取得优异成绩，有周宏伟等四名同学考入清华大

3、学；有上千名学生考入全国重点大学，升学率达100%。十几年来，育才教育集团培养了合格的初中毕业生15000多人，合格的高中毕业生16000多人。从培养学生综合素质上看，育才培养了大量品学兼优的人才，有1000多人成为入党积极分子，有60多名学生光荣加入了中国共产党。【帮困扶贫落实在学校日常工作中】集团各学校对每个学生都建立了生活档案，记录了学生的家庭状况、经济条件、学习情况、以及健康情况，有的放矢的加强对学生的人文关怀。学校还把注意力放在经济薄弱的弱势群体的关心上，有许多来自农村和偏远山区的学生，家庭经济特别困难，有的学生父母有病，没有经济来源；有的学生是孤儿，无依无靠；有的学生身患重病，没钱

4、医治等等，育才教育集团为了这些孩子能有书读，为了解决他们家庭经济负担，防止他们辍学而减轻对社会的压力，先后资助数千名特困生，对品学兼优的特困学生实行优惠政策：可享受“四免”（即免学费、伙食费、住宿费、书本费）和“三免”（即免学费、免伙食费、免住宿费）。有的从小学起就开始减免他们学费、伙食费、住宿费以及书本费等，帮困扶贫资金每年合计达数百万元。学校还设立了特等奖学金，对学习特别优秀的学生给予高额奖学金，最高额达2万余元。育才教育集团每年都有500多名社会下岗职工在这里就业，不仅解决了下岗职工再就业问题，也为国家节约大量资金，帮助政府缓解了就业压力。【取得的荣誉】1998年育才学校被辽宁省教育厅评

5、为“省社会力量办学先进单位” 、2002年被评为“省民办先进办学单位” 、2004年被评为“省民办中小学3A级学校” 、被辽宁省民办教育协会命名为“民办教育优秀学校” 、2004年11月，省人大，省教育厅领导来校视察，2010年、2011年均被省民办教育学会授予“民办优秀学校”称号。2004年12月和2014年9月分别两次省民办教育协会组织全省民办学校到育才教育集团参观学习，同时育才集团介绍办学经验，现场会在育才教育集团召开。今后的工作目标是：全面提升教师素质，开拓办学思路、转变教育观念、提高办学实践能力，力争把XX市育才教育集团打造成让政府放心、社会认可、家长满意、学生喜欢的学校，做精、做优

6、、做强、集团教育。设计依据中国共产党十八大报告。中共中央、国务院印发国家中长期教育改革和发展规划纲要（2010-2020）。国务院办公厅关于印发国家中长期教育改革和发展规划纲要(20102020年)任务分工的通知。刘延东同志在全国教育信息化工作电视电话会议上的讲话。教育部关于印发国家教育事业发展第十二个五年规划的通知（教发20129号）。教育部关于印发教育信息化十年发展规划（2011-2020年）的通知（教技20125号）。教育部办公厅关于印发2014年教育信息化工作要点的通知（教技20141号）。教育部、发改委、财政部、工信部、科技部、人社部、质检总局、广电总局、国防科工局印发教育部等九部门

7、关于加快推进教育信息化当前几项重点工作的通知（教技201213号）。教育部关于全面启动实施“教学点数字双语教育资源全覆盖”项目的通知（教技201274号）。教育部关于报送教育信息化“三通工程”进度安排的紧急通知（教技201253号）。现场勘察。校方提供的图纸国家及行业标准建设内容说明基础设施建设序号系统建设内容说明备注1校园一卡通系统除了提供传统的门禁、考勤、消费等功能外，与移动公司MAS、4G等业务结合，提供平安短信、平安校车、亲情视频等扩展应用。2数据中心机房和云计算平台承载云计算平台相关硬件设施，承载智慧教育项目涉及的所有应用系统，可托管在移动公司机房，节约投资成本教学设施建设序号系统建

8、设内容说明备注1多媒体教室教室内配置多媒体讲台、多媒体一体机、计算机、视频展示台等。 2远程培训系统为集团内部教师培训提供平台,3移动公司和教育和教育是一个优质教育资源共享平台，也是老师、学生、家长交流平台。除了提供家校互动功能外，还为用户提供各种学科资源、视频资源、名校资源、增值应用、教育资讯等优质资源。同时推出的网页版与客户端版帮助老师、学生、家长随时随地沟通共享资源。项目建设内容基础设施建设校园一卡通系统概述校园一卡通是智慧校园的重要组成部分，是贯穿智慧校园中各种应用的一条主线。通过校园一卡通系统与智慧校园系统的整合，学生和教职员工可以通过一张卡片，方便的使用校内的各种应用，而学校也可以

9、通过一卡通系统，实现更加方便、高效的校园管理。一卡通系统可应用于校园各种信息化应用中：作为身份识别的手段，他可以用于机房管理、考勤、门禁、查询成绩、借阅图书、学校医务所挂号、查询网上资料、车辆管理等功能；作为电子交易的手段，他可将现金集中于学校财务部门，进行集中管理，持卡人可以使用卡片进行校园内的小额消费，公共机房上机收费，缴纳住宿费、学杂费、以及其他各种为学生和教师服务的项目；作为金融服务手段，他可以通过校园一卡通平台将银行金融服务延伸，覆盖整个校园，提供查询银行信息（余额、明细），交纳大额费用等等服务；同时，校园一卡通系统的建设为实现师生员工的基本信息查询（如课程成绩、学籍学分、教学情况）

10、、管理信息查询、后勤信息查询、消费统计分析查询，以及领导宏观管理的综合查询等，提供了一个统一、简便、快捷的平台，进而可以与学校的各种管理信息系统无缝连接，作为信息化系统的纽带促进“智慧校园”的建设。据前期调研得知，育才集团目前已有一套校园一卡通系统。但该系统只有就餐消费、开水供应、澡堂收费等简单功能，这些功能不能满足当前学校对于智慧校园一卡通多样化功能的需求。亟须根据智慧校园建设的具体需求，对学校原有一卡通系统进行升级，使其改造成为真正意义上的校园一卡通。从而加强学校规范化管理，方便全校师生学习、工作和生活，利用智能卡的强大功能，在银行网络系统、校园网的支持下，建设以一卡通应用系统为基础和纽带

11、的智慧校园应用平台。系统需求分析适应学校办学规模不断发展和办学体制创新的需要。卡使用安全、可靠、不易损坏。软硬件系统安全、可靠，功能完善、扩展性强，运转快捷、准确，简便易用。各信息系统的处理流程与学校管理模式相适应，自动化水平高。卡各项管理行为与学校相关业务联动。通过数据交换中心，实现学校各信息系统协调运转。功能需求分析校园管理：利用实现身份认证、门禁、考勤、签到、图书借阅、车辆管理等功能。即以一卡代多卡，体现以人为本的校园管理。数据共享：建立公共数据库和相关信息系统，实现数据共享，使各信息系统自动协调运转，适应学校有关业务的需求，使一卡通达全校，提高学校信息化水平。消费结算：以校园卡为电子钱

12、包，在校内消费点消费。与银行系统相连，自助转帐。取代现金，使收费规范、透明。信息查询：利用各种自助服务系统，实现通过查询学习、工作、消费等个人信息和相关管理信息，使成为个性化信息媒体。系统架构一卡通专网通常基于校园网进行建设，采用在原有校园网络基础上划分虚拟网（VLAN）供一卡通系统专用。一卡通系统相关的服务器和终端设备都接入一卡通专用虚拟网，虚拟网与校园网隔离，除了能够有效保护一卡通专网安全以外，还可以提高网络的利用效率。系统平台育才集团智慧校园建设应首先提出总体解决方案，确定智慧校园的体系结构，制定智慧校园的信息标准，以及各系统之间的接口标准。校园一卡通建设，必须满足智慧校园的整体规划设计

13、，一卡通的设计要建设在校园网上，不仅具备消费结算功能，而且还要具备身份识别和校务管理功能。正确处理好一卡通与其他已有的信息系统（如图书管理系统、人事、财务、教务等管理系统）的对接和系统数据共享问题是“数据集中”和“应用集成”的关键。本次一卡通系统将基于智慧校园整体规划进行建设，是智慧校园的有机组成部分，可以被看作是同OA办公系统、教务管理系统一样的智慧校园组成部分，通过第三方接口，实现与图书馆、财务、教务等系统之间的数据同步和交换。一卡通系统是智慧校园的标志性工程和前导性工程，可以为新建的和原有的各种信息化应用系统综合提供统一的身份识别与统一的电子支付服务，凡是需要确认身份及付费的各种应用都可

14、以用一卡通来实现。本次设计对学工系统、图书管理系统等有交易信息产生的接入系统，产生的用户交易信息通过共享数据集成的方式，融合到对应的接入系统中，一卡通将卡信息同步到对接系统，对接系统通过卡片完成身份认证，完成交易后将交易信息数据同步到校园一卡通系统中完成入账和结算。应用分析校园一卡通系统是集身份识别、校内消费、校务管理、金融服务等为一体的新型智慧校园核心应用系统，它不仅是智慧校园的重要的有机组成部分之一，是智慧校园的基础工程，是教育信息化建设的基础支撑点之一，也是学校“智慧校园”建设的切入点。“校园一卡通”系统的目的是实现“一卡在手，走遍校园，一卡通用，一卡多用”。校园卡可以作为借书卡、上机卡

15、、就餐卡、医疗收费卡、洗澡卡、购物卡、门禁卡、存车卡、乘车卡等。平安短信目前，校园网的建成投入使用与射频卡技术的日渐成熟，为学校建立校园一卡通系统的建立提供了技术保障，校园内实现一卡通管理已成为校园管理发展的必然趋势。本次未育才集团规划的智慧校园就是针对中小学的管理设计的，该系统综合先进的射频IC卡技术及网络通讯技术使一卡通及一卡多用管理得以实现，系统支持将学生打卡信息实时发送到学生家长手机中。后期可与智慧学习平台结合，将学生学习情况（如错题分析、学情分析等）一并发送给家长（短信或APP形式）。为了实现学生/教师出入考勤管理，考勤数据采集、数据统计和信息查询过程自动化，实现人事、行政等管理自动

16、化而研制的校园卫士，校园卫士采用了目前接触式射频卡技术。当学生/老师出入校门或者班级的时候，将电子校徽在读卡器的读卡位置刷卡，校园卫士摄像机将会自动拍照，并将打卡数据以及拍照上传到智慧校园一卡通平台，家长或者学校就可以接收到学生的打卡短信，并可通过手机客户端直接查看到打卡人的样子，确保是持卡人与打卡人一致。平安校车校车视频监控系统通过车载音视频摄录装置将车内、外监控信息实时摄录存储于车载存储设备中。司机可通过车载终端的报警装置实现数据主动上传（通过无线网络）。同时，监控中心也可根据需要利用无线网络对特定校车进行音视频、图片上传以及学生的上下车打卡平安短信。当发生紧急事件时，可为现场指挥提供音视

17、频及图片。另外，车载存储设备中存储的音视频数据能方便的通过相关设备下载。亲情监控我们建议在以下监控场所：教室、校门口、食堂等位置安装摄像头，方便家长们查看并了解孩子的生活情况，家长们的焦虑心情能够有效得到调节，并有利于校方对老师和课堂教育的教学管理。在这些位置安装了摄像头后，当需要调用查看孩子的出入情况时候，可以通过NVR直接查看学生进出学校的情况，家长们与孩子们之间的距离缩短了，老师们也会尽量照顾和教育好孩子，大大的提高了孩子的安全。监控视频会一直录像取证，一旦有突发性情况出现，都可以立刻调取录像进行回放，这样对老师们的监管力度就更加大了，能更好地提升校方的品牌形象。监控效果图：一卡通管理系

18、统消费管理系统：餐饮及商务消费管理系统，应用于校园食堂、超市、场馆等支付场所，主要包括领取补助、转账、充值、消费扣款、数据采集、报表统计等功能，有完善的卡信息、记录信息及日志信息，实现师生在校内的餐饮及各类商务电子支付。结构示意图：消费管理系统水控管理系统：分体水控管理系统主要应用于校园开水房、淋浴间等水控应用场所，通过智能水控器，实现计时/流量收费管理。用水量和经济利益密切挂钩，多用多付费少用少付费，用经济杠杆调节浪费。包括校园水控设备的管理、黑名单管理、数据采集等。电控管理系统：包括校园电控设备的管理、购电卡充值、换卡、退卡、换表等。WEB查询子系统：通过校园网络查询个人的消费记录、考勤信

19、息、上机信息、图书馆借阅信息，以及修改密码、挂失卡片等操作。自助服务子系统：通常安装在触摸屏查询设备上，可查询各项信息、修改密码、挂失卡片等的操作。考勤管理子系统：完成班次设置、人员排班、请假登记等操作，以及考勤结果的分析统计和导出报表等。门禁管理子系统：与门禁机通讯，控制和管理门禁机，可实时监控和查询门禁包括出入信息。机房管理子系统：可完成上机排课、自动分配机号、课时内免费、课时外收费等管理，和一卡通系统数据库联机，将收费数据实时写入数据库。图书馆管理子系统： 管理员可进行相关的图书入库、查询、统计、打印报表等管理；用户持卡片办理借书、还书；罚款或赔偿收费通过卡片扣取，收费数据直接写入数据库

20、。可预见的实施效果总体效果建立一体化的“一卡通”平台在校园网上建成校园一卡通系统的骨干平台，作为校园一卡通系统、学校其它管理系统和未来智慧校园统一的数据中心、认证中心和管理中心。与校园一卡通系统紧密相关的商务管理、财务结算、金融服务等应用系统子系都建立在该平台下。学校相关其它信息管理系统统一与平台有机衔接，以后随学校规模的扩大和卡片功能的增加只需随时增加子系统，不需再对平台进行扩充。持卡人的基本信息资料和电子钱包都作为统一的公用数据在全网上实时共享，做到一人一卡、一人一户，所有数据的变更都做到全网立即生效。实现“一卡在手，走遍校园”消费“一卡通”：以机代币，在各校区内凡涉及到现金使用的任何一个

21、消费网点，校园一卡通的电子钱包都能通用，所有商户单位不论其性质与规模都可以授权代理收款、结算，商户资金可以实时到账。如：缴费、食堂、超市、餐饮、小卖部、浴室、洗衣、上机收费管理、医院的挂号收费管理、电控管理、水控管理。身份识别“一卡通”：以机代证，用校园一卡通取代各个校区以前的各种证卡（包括学生证、工作证、借书证/卡、医疗证、出入证等），实现身份识别“一卡通”。所有用证、用卡的信息管理系统，其身份识别部分都联通校园一卡通系统，实现身份识别的数据共享。与各子系统的挂接与捆绑：与后勤物流系统、OA系统平稳过渡，减少投资；智慧校园建设中的其他MIS系统、OA系统，可以通过平台预留的扩展接口实现与校园

22、一卡通系统的数据共享；实现与图书馆管理系统、电子阅览室等系统的对接连通，做到系统软件直接扣除罚款的紧耦合连接；实现与教务管理系统的对接，实现学生按学期的学籍注册管理，按学分选课、实现教学资源、生活设施的使用控制；安全保卫的巡更管理等第三方子系统，都可以实现与“一卡通”系统的挂接与捆绑。自助业务：借助银行提供的自助终端设备，持卡人可实现银行卡的自助业务；建立统一的校园自助服务系统，包括电话服务，网上查询，网上缴费、触摸屏查询，领导查询等等，为持卡人提供24小时全天候服务；通过和运营商进行对接，向发送相关指令进行空中开户、空中充值、空中领取补助等，使用户体验更完善。实现财务统一管理通过建设校园一卡

23、通结算中心，对各校区、商户、持卡人实现统一结算和管理。建设校园一卡通“财务结算中心”，该结算中心与校园一卡通系统的财务管理部分一体化设计，为学校财务管理提供更加科学、有效、安全、便捷的理财服务，实现各校区的财务统管。对于学校集成大量一卡通相关子系统，方便实现一卡通系统统一管理一卡通系统本身集成了多种子系统，可以实现在同一平台下对于多种一卡通应用进行统一的管理，实现以下目标：方便人事数据管理，各一卡通相关系统均使用统一的人事数据，各一卡通子系统操作人员无需分别录入和管理人事数据，同时，也彻底消灭了信息孤岛方便卡务管理，各一卡通系统可实现统一的卡务管理，一处发卡充值多处使用，一处挂失多处生效，降低

24、各应用系统操作人员的操作难度，避免操作冲突具备严格、详细的权限管理，可以方便的实现权限管理在权限许可的情况下，可以对于各子系统数据进行统一的查询、分析，方便管理者进行决策统一操作界面，统一操作模式，方便培训与校园其他应用系统进行对接，方便各部门管理一般情况下，校园内还存在包括教务软件、图书管理软件等各种应用系统。系统实施后，上述系统中的部分系统将会与一卡通系统对接，从而用卡片将各种应用串联起来，形成一个整体。各系统可以实现统一的人事数据和卡务数据管理，各部门不必再分别管理人事数据，学生可以仅在一个部门修改人事数据，各系统均会自动更新数据实现教务系统、财务系统、宿管系统等各种对接过的系统方便的使

25、用卡片做身份识别，比如使用校园卡进行学籍注册、缴费、物品领用等实现图书系统使用校园卡进行图书借阅，超期罚款，无需再发放单独的图书证实现上网管理系统等收费系统使用校园卡进行缴费各系统可共享一卡通系统中各种自助服务资源与智慧校园相关平台进行对接，实现校园各信息系统统一管理校园一卡通系统未来将与智慧校园相关平台进行对接，从而实现以一卡通系统为基础的真正意义上的智慧校园。提供方便的维护方式，提升维护水平提供监控平台、监控服务等程序，方便运维人员进行运维管理提供丰富的维护资料，提供消息的培训提供多种自助服务手段，降低人力资源成本，提升服务质量一卡通系统中包含有各种自助服务类系统，通过自助服务类系统的使用

26、，可以有效降低人力资源投入，同时，也能有效提高服务质量，让用户得到更好的服务。金融类自助服务可以允许用户通过银行圈存、现金、支付宝等方式进行自助充值信息类自助服务可以允许用户通过WEB、自助服务终端、圈存系统等多种自助服务系统进行自助的个人信息查询、交易信息查询、其他应用系统信息查询其他卡务操作类自助服务可以允许用户进行自助挂失、解挂、补助领取等操作提供安全、便捷的对账方式和结算方式，降低管理成本，为用户提供更好的服务可对于就餐、用水、用电等各种收费进行统一管理可以对于承包商分结算账户进行管理支持各账户间的划转提供良好的可扩展性，降低未来系统建设投入成本提供第三方接入平台，为未来的系统对接系统

27、提供良好的基础主要终端机具采用TCP/IP通信协议，均支持硬件程序在线升级，方便扩展升级对于持卡人体验更丰富的功能多种系统、功能丰富一卡通系统除了提供常见的消费、水控、门禁、考勤、车辆管理等功能外，还可以提供图书借阅、机房使用、场馆预约、学籍注册等多种功能系统融合、信息共享可以通过一卡通系统、智慧校园平台，对于各应用系统进行统一的信息查询和功能操作使用更加方便一卡多用、一卡通用卡片可以在多种系统间通用，持卡人一次办卡，即可在校园各子系统中使用自助操作，无需排队持卡人可以通过卡片进行自助的充值、挂失、信息查询等操作其中，借助与银行系统对接的圈存系统可以实现使用银行卡自助充值借助现金自助服务系统可

28、以实现使用现金进行自助的充值借助校园支付宝平台可以实现基于阿里支付宝系统的自助充值系统安全性设计安全性设计总体思路卡片安全性设计系统密钥体系在云平台中，为不同的需要设计了两种不同的密钥体系：金融级（PSAM卡加密）密钥系统，准金融级（用户自定义密码基础下的一卡一密等）密钥系统准金融级密钥系统准金融级加密方案中系统母卡、系统子卡、数据库存储密钥信息；在读写卡、设备通讯时验证密钥。该体系采用了业内主流的“一卡一密”技术，详见下图：金融级密钥系统金融级加密方案中采用动态多级分散密钥，通过PSAM卡记录密钥；在读写卡、设备通讯时通过PSAM卡做密钥验证。卡片根密钥卡片维护主密钥洗卡密钥卡片主控密钥PS

29、AM卡用户卡分散因子1分散因子2分散因子3在卡片主控密钥控制下直接导入直接导入根据ATR分散后在洗卡密钥控制下导入根据ATR分散后在洗卡密钥控制下导入根据ATR分散后在卡片主控密钥控制下导入直接导入 数据安全性设计数据多重备份为了确保交易数据存储的安全，POS机内应包含大容量的非易失性存储空间，以存储足够的脱机交易记录和黑名单。在内部的数据存储器空闲存储空间不多时，POS机应自动产生提示信息。在内部的数据存储器已经存满时，POS机应自动报警并拒绝消费，保证已经存储的数据的安全可靠。云平台中，终端机具与系统的数据交互通过前置服务系统实现。为了防止终端机具或服务器出现数据丢失，前置服务系统会在入库

30、的同时，在本地以数据库形式进行数据备份。数据存储时，会以多种形式进行存储。同时，为了防止数据被篡改，在存储时，每条数据中均增加了数字签名。前置服务系统获取数据后，会将数据实时传输到云平台中心数据库和租户数据库（客户数据库）。在租户数据库中，数据会以多种形式在不同的表中存储。同时，为了防止数据被篡改，在存储时，每条数据中均增加了数字签名。此外，考虑到数据的重要性，在项目实施过程中，工程实施人员会在服务器上的数据库管理系统中配置备份策略，实现对于多级数据库服务器数据的定期备份。项目实施完成后，工程实施人员会建议系统管理维护人员定期对于备份数据进行光盘备份或磁带备份，必要时，考虑建立异地容灾系统。数

31、据多重校验为防止数据在传输、存储过程中发生改变，系统设计了多重校验机制。首先，POS机存储脱机交易流水信息时，在每条记录中添加校验和，以确保数据存储的正确性。其次，前置系统在数据入库前，会计算校验和及TAC码，以确保数据的合法性。在数据进入主库前还在在前置服务器数据库中再次存储，并添加数字签名，防止被篡改。最后，在数据进入主库和租户数据库后，数据会被再次检验，并加签名存储。数据加密核心数据在每处存储和传输时，都会以密文形式进行，以确保数据内容不会被非法获知。核心数据包括交易数据、机具操作数据、密码数据等等。为确保数据的安全性，对于数据的加密是分多层次进行的。在存储加密方面，包含卡数据加密、机具

32、数据加密以及数据库核心数据加密。在通信加密方面，包含卡片与终端机具的通信加密、终端机具与上位机程序的通信加密以及软件与软件间的通信数据加密。针对CPU卡项目，为保证读卡机具与中心数据库服务器和应用系统服务器之间的数据通信安全，读卡机具在系统中进行注册，系统在发行PSAM卡时可将读卡机具名称或商户名称进行授权信息绑定，未注册的机具、商户、卡片无法使用。对于从POS机中采集的交易流水，为防止在传输过程中数据被篡改，应对所有交易流水加校验。如果系统发现交易流水被篡改，则可以重新采集所有数据，并从中过滤正常的数据。每产生及上传一笔交易记录时，每笔记录中均采用16位CRC校验；在配置有PSAM卡的POS

33、中，每产生及上传一笔交易记录时，每笔记录中均通过PSAM卡加密校验，然后上传至数据通讯网关，数据通讯网关上传各应用服务器时需要通过金融数据加密机TAC校验，以确保采集到的每条交易记录的完整性和合法性。应用程序安全性设计权限控制在整个系统中，分为操作员分为3个层级，每个层级拥有自己的权限范围。一级，也就是最高级为平台操作员，拥有最高的权限，可以管理下面一个层级的管理员。第二个层级为客户管理员，拥有客户系统的最高操作权限，可以管理下面一级的客户操作员。客户操作员是操作员中的第三个层级，可以按设定的权限来操作自己所在单位的一卡通系统的部分功能。客户操作员和平台操作员的权限设置类似于WINDOWS组策

34、略的权限控制机制，可以设置多个不同的权限组，然后使用权限组来针对每个操作员进行细致的权限设置。在系统中，可以非常细致的设置每个操作员的权限。防篡改设计由于系统涉及账务安全，所以采取了复杂的防篡改机制。具体来说，防篡改设计从两个方面进行考虑。一是终端机具以及系统内部存储的数据要防止被人为篡改，而是系统输出的报表要防止被非法篡改。在报表防篡改方面，系统采用了类似税控系统的数字签名技术。在核心报表中，系统在输出报表的同时，会输出一个数字签名值。该值由报表中的核心数据经过MD5运算后，计算得来。如果有人人为扫描报表，并用PHOTOSHOP修改报表后，无法获知该如何修改数字签名值。相关人员只需将相关数值

35、输入系统即可验证该报表数据是否有被篡改过，相关人员无法抵赖。日志记录在整个系统中，具备包括操作日志和系统日志在内的详细的日志记录。其中，操作日志指操作员对于系统进行的系统登录、核心参数修改等操作的记录；系统日志是指系统运行过程中，自动进行的运行日志、错误日志等的日志记录。各种日志均存储在数据库中，具有相关权限的操作员可以随时查询相关的操作日志。当系统出现故障时，系统维护人员可以通过查询系统日志判断故障点，迅速排除故障。终端机具安全性设计终端机具接入控制终端机具在接入系统时，通过两方面进行接入安全性控制。一方面是卡片的读写，另一方面是终端机具与上位机程序的通信。在卡片读写控制方面，依据使用的卡片

36、的不同，终端机具在使用前，需先下载密钥计算参数或安装PSAM卡。如果未进行上述操作，终端机具将无法获知卡片密钥，从而也就无法读写卡片。在终端机具与上位机程序的通信方面，一方面，终端机具可配置为需先签到才能使用，另一方面，终端机具记录交易记录时，会加上TAC码，系统会根据TAC码判断记录的合法性。终端机具业务处理控制智能卡终端机具在工作过程中，如果出现大量的并发操作，对于数据的安全将会造成很大的影响。为了确保数据的安全，我们在终端机具中采用了LINUX操作系统。在LINUX操作系统的保护下，终端机具可以很安全、很稳定的运行各种多线程程序。终端机具数据存储考虑到数据在终端机具中安全性，我们使用非挥

37、发性的FLASH作为终端机具的记忆体。FLASH作为记忆体，掉电后数据不会丢失。一般情况下，数据可以在FLASH中保存10年以上。另一方面，为了防止存储过程中发生错误，终端机具设计了备用存储器件，当FLASH出现损坏时，系统可以自动将数据暂时存储于备份存储器件上。终端机具权限控制终端机具可以设置为需要营业员卡才能操作。对于部分对于操作权限有较高要求的应用场景，可以很轻松的应对。客户系统操作员可以在系统中添加相应的营业员信息，并发放营业员卡。机具操作人员持营业员卡刷卡后，机具才能解除锁定状态。如果机具一段时间不使用，将再次自动进入锁定状态，无法使用。网络安全性设计网络隔离为了确保系统的安全性，在

38、系统部署过程中应该考虑进行网络隔离。具体说来要注意以下几个方面：终端机具接入方面终端机具在接入系统时，应尽可能避免与其他和本系统无关的PC等设备共用网络。如果使用WIFI，则要考虑设置MAC访问限制。如果需要共用外网，应考虑尽可能设置VLAN，从而阻断其他人员非法侵入系统的可能性。平台服务器方面平台中各数据库服务器不应直接接入外网。整个系统中，应由应用服务器、前置服务器等设备接入外网，然后通过这些服务器的另外一个网卡接入数据库服务器集群。如果条件许可，最好能在数据库服务器集群前在放置一台硬件防火墙。接入控制终端机具接入控制终端机具在接入网络时，要进行机具签到。对于不合法的设备，不允许接入系统。

39、工作站接入控制工作站在接入系统时，可以通过UKey进行接入控制，对于没有UKey的PC，系统可以不允许其接入。第三方系统接入控制第三方系统使用综合接入平台进行系统接入时，系统会要求其提供用户名和密码，对于未能通过验证的第三方系统，不允许接入。通信加密报文加密为了防止数据在通信过程中被截取，我们对于报文本身进行加密，并添加校验码。在防止被破译的同时，也防止被干扰或被篡改。通信加密对于使用WIFI接入的设备，设置通信加密。对于不知道SSID、加密模式及密码的设备，不允许其接入网络。对于接入的设备，进行数据加密传输。防火墙策略防火墙作为网络的第一道关卡，哪些流量运行通过防火墙，哪些访问需要阻挡，这大

40、多都需要通过防火墙的策略来设置，因此防火墙的功能及安全程度很大程度上取决于防火墙的策略设置。系统部署及操作系统安全性设计权限控制操作系统用户权限为系统设置合理的操作员权限，尽可能不赋予超级管理员权限，防止操作系统的操作员在无意间破坏系统。数据库管理系统用户权限为各种软件接入数据库设置合理的数据库操作员权限，尽可能不使用SA作为软件接入数据库的用户。限制操作系统操作员访问数据库管理系统，确保未被授权的人员无法操作数据库。系统部署管理系统安装操作系统的安装稳定是软件系统安全稳定运行的基石。所以，正确的安装操作系统是软件能否正常运转的关键之一。要做好操作系统安装工作，我们需要从以下方面努力：尽可能使

41、用正版系统尽可能使用一块洁净的硬盘，安装系统前进行格式化操作，确保硬盘中没有残留的病毒和木门程序使用正常的安装流程安装操作系统，安装完成后尽快安装所有升级补丁系统升级计算机操作系统总是在不断完善中的，所以为了确保系统的安全性，应该定期为系统安装升级补丁。升级补丁安装的过程中要注意防止病毒侵入。病毒防护杀毒软件的安装总所周知，计算机病毒对系统安全性的影响是非常大的。所以，杀毒软件对于服务器来说非常重要。在服务器操作系统安装完成后，就应该立即安装杀毒软件。为了确保能及时查杀新的病毒，应及时对于杀毒软件进行升级，并定期对于计算机进行病毒扫描。病毒防护制度的建立除了服务器外，接入系统的工作站中是否有病

42、毒也威胁着系统的安全。应该建立起病毒防护制度，要求相关的所有人都按照制度操作计算机。不随意将未经杀毒的存储设备接入计算机，定期杀毒，从根本上杜绝病毒侵入的可能。系统稳定性设计核心服务器双机热备设计双机热备特指基于高可用系统中的两台服务器的热备（或高可用），因两机高可用在国内使用较多，故得名双机热备，双机高可用按工作中的切换方式分为：主-备方式（Active-Standby方式）和双主机方式（Active-Active方式），主-备方式即指的是一台服务器处于某种业务的激活状态（即Active状态），另一台服务器处于该业务的备用状态（即Standby状态)。而双主机方式即指两种不同业务分别在两台服

43、务器上互为主备状态（即Active-Standby和Standby-Active状态）。在一卡通系统中使用双机热备能在一定程度上提升系统的稳定性，即使出现了服务器故障，也不会影响系统的运行。由于云平台服务的客户可能很多，所以，中心数据库服务器等设备就完全有必要考虑采用双机热备系统。教学设施建设多媒体教室系统概述在学校的教学过程中，课堂教学环节是学生接受系统教育最重要的一环，做好教学互动环节，是把握教学环节的质量，提高教学水平的关键。目前大部分学校现行的教学过程中，公共图书资源、传统的签到环节、疑问确认环节、提问互动环节、课堂小测试环节等都存在诸多问题，签到过程中，使用纸张签到，致使代签现象严重

44、，结果不便于教师统计；提问互动环节和课堂小测试的环节中，教师给出简单选择后，学生举手或者口头回答，不能获得准确的统计数据，教师只能根据大体情况来判断是否进行教学，没有准确的数据，更不能考虑后期的数据挖掘和数据统计工作。大部分学校现有的多媒体教室系统中，多以电子白板为主，对于教室中的其他设备，很少做到智能连接，本项目将对教学过程实现全面的智能化，建设交互式多媒体智能教室，全面提高教室中的物联度，以此提高学生、教师、教室的互联度，高质高量的完成教学任务。系统功能1、实际教学应用数字黑板书写板面可随意移动、无限扩大。插入多媒体文件可插入多媒体课件，方便资料的陈列和比较。批注功能添加手写批注，记录教学

45、或讨论中的修改意见。多种格式文件导出交流讨论结果可导出成多种格式文件进行记录。屏幕录制录制屏幕书写过程及现场声音，存为教学资料。智能教学工具应用远程培训系统系统概述作为教学机构，以发展教育培养人才作为机构的发展的中心，在现代科技不断发展的趋势下，育才集团也应该不断引进先进的科技为教育的发展注入新鲜活力，通过现代成熟的远程多媒体视讯技术实现远程的，更大范围的教育和培训，帮助更多人实现接受教育的梦想。远程培训系统能够实现育才集团远程培训。实时传输，通过视频和语音达到远程培训的目的。由于计算机硬件以及网络技术的高速发展，传统的通讯方式如电话、传真等由于无法达到“面对面”的沟通效果，不能满足人们日益增

46、长的交流需求。远程培训系统是支持人们进行远距离实时信息交流、开展协同工作的应用系统。远程培训系统实时传输视频与音频信息，使协作成员可以远距离进行直观、真实的视频音频交流。另一方面，利用多媒体技术的支持，远程培训系统可以帮助使用者对工作中各种信息进行相应处理，如共享数据、共享应用程序等，从而构造一个多人共享的虚拟工作空间。远程培训系统是一种现代化的办公系统，远程培训通过通信网络把两个或多个地点的多媒体培训终端连接起来，其间传送各种图像、语音和数据信号，使出席培训的用户有亲临现场的感觉。随着社会的发展，远程培训的应用越来越广泛，同时对其视频音频质量、实用性，易用性、安全性以及美观性的要求也越来越高

47、。系统功能本远程培训系统，主要分为2大平台：前台远程培训系统，后台管理系统。功能描述和使用手册将围绕这2大平台，具体功能模块如下：一前台远程培训平台1、主持人和用户登陆功能根据主持人和用户的账户号码来登陆远程培训系统。2、视频音频功能进入远程培训系统里直接就能使用视频，音频的功能。视频窗口是动态添加的，可以支持多人同时在线视频。视频传输清晰、稳定。音频可以和视频一起传输。系统支持多种音频采集设置，适应不同网络宽带的要求和音频的质量。3、录制视频功能用户可以把培训过程录制成视频，供培训结束后观看。4、聊天窗口功能系统在远程培训过程中提供聊天环境，具备群聊、私聊功能。系统支持群聊和私聊（在成员列表

48、中，选中你要私聊的成员打上钩后，就能和他私聊了）。聊天窗口可以隐藏，更加人性化。每次发送和接受消息时都有提示音和发出闪光。5、人员列表功能主窗体的人员列表中显示在线主持人与远程培训用户。主持人可以在人员列表处直接设置培训的发言人。主持人可以在人员列表处直接禁止某用户发言。主持人可以在人员列表处直接将某用户移出培训系统。6、电子白板功能提供给远程培训用户更好的白板功能，允许绘制图形。实现实时书写、绘制图形。可以选择线条粗细和线条颜色。有橡皮擦功能，和清空机制。7、PPT演示功能主持人上传文件并进行在线演示，其他培训用户协同浏览。在“PPT演示”中主持培训的主持人可以上传PPT文件，上传成功后点击

49、“打开PPT”按钮就可以在线打开已经上传好的PPT，然后就可以在线演示PPT文件。“PPT演示”中支持可以在演示中的图片上作批注。8、影音中心功能用户可以录制上传视频文件，用户可观看所有的视频。在“影音中心”可以录制培训过程中的视频和音频。在“影音中心”的列表中可以选择已经录制好的视频文件进行在线点播。可以删除自己录制的视频文件。9、共享文件功能上传共享文件，利于用户共享和下载。每个参加培训的用户都可以上传文件到服务器。每个用户又都可以从服务器中下载其他人或者自己上传的文件，从而达到了文件的共享。10、共享桌面功能功能与视频相似，但不同的是该视频在其他用户中显示的是主持人计算机屏幕上的内容，这

50、样可以使培训用户很清楚的了解到主持人电脑屏幕所做的工作。二后台管理平台1、培训设置功能管理培训的基本信息，包括对培训状态，培训模式，是否允许培训上传本地视频和共享文件等设置。2、用户管理功能用来添加管理用户、普通用户的管理功能，对用户的基本信息（密码、角色、是否允许上传本地视频）进行修改。3、新闻、公告管理功能新闻、公告管理主要是后台管理员对已经发布的新闻、系统公告进行内容上的修改、删除等操作，后台统一管理维护。发布新的新闻、系统公告，发布的内容将在系统的门户首页显示。4、问题反馈功能反馈信息中记录了用户在前台的“问题反馈”中所反馈的所有信息，后台管理员可以在此查看并对一些重要信息进行记录，也可以删除某条信息。5、个人管理修改后台管理员的登录密码。移动和教育系统系统概述移动公司和教育系统是一个优质教育资源共享平台，也是老师、学生、家长交流平台。除了提供家校互动功能外，还为用户提供各种学科资源、视频资源、名校资源、增值应用、