网络安全培训在线系统需求说明

网络安全培训在线系统需求说明在现有以课程为主线的基础上，创新网络安全教育培训服务模式，实现网络安全培训线上线下融合，并提供协会管理与信息发布功能。本项目要求基于现有学习网技术架构，整合开发，满足纯线上、纯线下、以及线上线下相结合的教育培训业务需求。1.1设计原则1）坚持“统一部署”。采用混合云架构。2）坚持“统一标准”。按照学习网统一标准，实现用户、数据及业务功能模块等的整合对接。3）坚持“流程定制”。培训元素创建、各栏目内容发布、会员投稿、数据上报等各功能模块，均须按照用户权限可进行流程定制化管理。4）坚持“网络安全”。要从技术、管理和运行等多个层面，构建全方位的信息安全保障体系，确保系统运行稳定和数据安全可靠。1.2系统架构要求1.2.1总体架构设计平台总体框架采取分层设计，包括基础设施层、数据层、应用支撑层、应用平台层、平台门户层、用户接入层六个层次。同时还包括平台的安全等级保护要求、与学习网集成整合等关键模块。1.2.2系统架构技术要求采用业界成熟的标准技术和规范，建立平台架构，确保系统的需求实现。（1）服务端架构基于企业级和微服务的体系架构，要求使用Java编程语言和SpringCloud微服务技术做为整个服务端的技术支撑。（2）前端要求与服务端分离并采用Vue渐进式JavaScript框架。（3）服务端与第三方应用和前端通信要求采用http协议并使用SSL加密技术，API设计须符合RESTfulAPI设计规范。（4）针对业务上的数据存取要求，要求使用市场上成熟的技术和对应稳定版本，须使用Nginx服务器，MySQL数据库，Redis缓存服务器和ElasticSearch搜索服务器。（5）要求系统使用到的所有技术中间件采用高可用部署方案并做好数据备份。1.2.3关键技术要求（1）资源访问权限控制要求采用OAuth2.0网络标准，结合微服务架构要求使用市场上成熟SpringSecurity安全组件。（2）要求独立建设业务，操作行为等日志记录服务，可提供部分关键行为分析报表。（3）服务端与第三方应用和前端通信中敏感数据要求采用RSA技术加密处理。（4）平台业务流程要求采用市场上成熟的Activiti工作流引擎，符合BPM（BusinessProcessManagement）业务流程管理技术遵循WFMC（标准化组织工作流管理联盟）提出的工作流参考模型。要求充分考虑业务增长量提供支持工作流多引擎负载均衡技术，逐步扩展引擎支撑硬件，在保障用户的前期投入的同时，动态扩展系统的业务承载能力。（5）系统静态资源（例如图片）要求采用天翼云CT-OOS技术服务和CDN加速来提高资源访问速度，分离主站访问压力。1.2.4系统自动化要求服务单位的开发与运维团队具备并且使用DevOps的相关方法和技术，在实际项目孵化中有丰富的持续集成经验，包括但不限于以下集成技术：（1）GitLab代码与配置仓库；（2）SonarQube代码质量控制；（3）Jekins自动化构建，Docker容器与Rancher自动化工作负载；（4）ELK日志服务。1.3功能需求本项目主要实现统一培训门户、统一培训空间、统一数据分析、统一移动培训等，同时对接学习网现有的用户中心、统一身份认证系统、视频资源库、线上课程功能模块，移动端整合到APP建设，为社员（社会大众）、学员（培训学员）、会员（协会会员单位）提供网络安全政策法规宣贯、安全知识普及、技能提升培训、专业技能认证、网络安全专业学历提升教育的教与学服务。(一)统一培训门户通过梳理整合学习网及其各子平台等资源，定制开发统一培训门户，聚合各类教育服务，承载各种教育类型，打造面向全社会各类学习者的一体化、一站式学习环境。主要包括以下功能：（1）信息门户聚合网络安全培训和省网络空间安全协会的各类重要信息（比如新闻资讯、知识科普、政策解读，以及协会的动态、通知公告、会员服务等），按要求在门户上统一组织呈现，同时按推送需求呈现线上培训课程与线下培训信息。（2）资源门户实现与学习网及其子平台的整合对接，包括省高等学校在线开放课程共享平台的课程对接，省终身学习数字化资源库的视频模块对接，在统一培训门户上进行统一有序展示，学习者可直接点开课程或视频资源进行学习体验。现有各子平台的课程以及资源库视频资源可以直接调用，用于培训模块的组织与发布。（3）服务门户将培训有关的宣传、招生、缴费等服务进行聚合，形成线上培训业务的流程化。同时，要实现与学分银行共建共享终身学习档案库，为培训学员发放培训成果证书，并与省终身教育学分银行系统对接完成培训成果录入，实现学分认定和转换。（4）搜素门户实现网络安全培训各类信息的全网统一智能搜素。(二)统一培训空间（1）学习者空间参与网络安全培训的学习者，通过学习网统一身份认证系统登录本平台，进入学习者空间。在该空间，学习者可完成培训选择、报名、缴费，参与线上培训课程（或培训视频）的学习，完成线上培训作业、测验、考试等，并结合线下培训要求，完成整个培训。学习者可查询培训情况，须细化到培训完成进度、视频学习进度、作业测验考试等完成情况及相关成绩，可查询线下培训的各类要求，可查询线下参与攻防实训的时间地点安排，以及线下集中培训授课信息等。（2）机构空间通过会员管理模块，配置机构账号及权限。机构用户通过学习网统一身份认证系统登录本平台，进入机构空间。在该空间，可开展培训组织，包括创建各类培训形式，发布培训动态，上传线下培训数据等。其中，培训组织功能须满足如下需求：1）纯线上培训：可直接调用学习网及其子平台的线上课程加入到培训；可上传培训视频、PDF等格式培训文档，也可直接调用资源库视频资源；可组织发布线上考试；培训按模块化组织，每个模块可按单独课程形式（含视频、文本材料等）创建。2）纯线下培训：机构开展线下培训组织，通过平台可完成线下培训的平台宣传发布，采用线上招生缴费等方式，完成线下培训学员信息导入，培训成绩导入，培训认证证书导入等数据管理功能。3）线上线下结合培训：须将纯线上培训和纯线下培训的功能融合，开展培训组织。在机构空间，提供内容编辑与发布功能，发布机构动态等。通过平台发布机构动态，并按分类推送到门户各栏目。（3）协会空间1）信息发布：发布协会动态、通知公告、协会党建等各类信息。2）信息审核：审核会员机构通过投稿系统发布的各类信息。3）会员管理：协会各机构会员的管理功能。包括会员入会审核，评先评优，会员新产品发布等各类管理功能。（三）统一数据分析聚合基础数据和学习行为数据，开发数据挖掘系统，根据实际需求对数据进行多维度统计分析，实现基于数据分析的决策支持。同时，通过分析学习者学习行为特点和规律，为学习者、教师和管理者提供更多的学习指向性数据和信息推送，为学习者的个性化学习与定制交互空间建立基础。注重人机交互数据的采集，学习者之间的交互数据采集，培训机构、教师与学习者之间的互动数据采集。通过基于证件号码关联的方式追踪学习者的学习轨迹，并建立起终身教育的网络安全培训档案。（四）统一移动培训基于统一后台，坚持“一网多屏”设计原则，避免两张皮现象，基于APP实现统一移动培训功能，实现平台多终端一体化。移动端app要求适应安卓、苹果等主流移动操作系统。满足统一的移动培训学习，首先针对移动端的接口必须是统一的，对于学习的课程与资源、学习的动态、任务、培训班级等信息必须要进行聚合处理，而数据必须要进行相似点提练与差异化处理，从而达到整合的目的，而对于学习者产生的数据，又必须通过接口代理与中转，从而发散分离到各个功能模块中去。（五）用户及内容的安全管理社员（社会大众）、学员（培训学员）、会员（协会会员单位）三大类用户，必须实行实名制注册与管理。其中协会会员（机构）采用机构账号分配与激活机制，且实现机构账号操作具体对应到“人”。在账号安全性设置方面，平台账号密码分配给会员机构后，由对应负责人按流程要求激活。激活后，使用负责人手机号码和密码登录，采用“一号一人，号随人走”的账号管理模式，以实现平台操作落实到专人。本平台须实现平台内容发布的流程控制，开发统一的内容发布系统，并配置内容审核机制，经审核的内容才能推送到门户及各栏目发布。同时，平台须配置敏感词过滤功能。（注：以上所有功能需求仅为初步设计，服务单位需针对用户方进一步深化需求调研分析，具体功能设计以调研后形成的细化需求为准。）1.4项目要求（一）功能实现要求1.管理简单方便为了方便对整个系统的维护，系统应具备系统级统一管理功能，管理员对系统的管理和维护都可以通过web页面，实现完整的流程化管理。2.可扩展性（1）开发部署时要充分考虑到将来扩容需求，并提供将来扩容的解决方案，方案要求简单易行可操作。（2）提供软件二次开发功能，适应不断增强的支撑功能和不断拓展的业务空间。服务单位需提出针对性方案，确保系统能够符合用户方的管理机制和功能流程。3.系统安全性（1）根据安全等保要求和用户方实际安全需求，提供完善的应用安全策略和安全机制，根据不同的业务要求，采取不同的安全措施，确保应用系统的运行稳定性和数据的保密性、完整性和可用性。（2）相关人员须签订安全保密协议，落实对系统数据的安全保密责任。4.终端适应性（1）可支持多种终端用户使用，如台式机、笔记本电脑、IPAD、智能手机等终端设备。（2）可在IE、Chrome、Firefox等各种主流浏览器上稳定运行，可支持各种浏览器的最新版本。（二）系统整合对接要求采购方根据开发需求，配合提供学习网及其子平台的调用接口，本项目开发对接接口。本平台须基于学习网整合建设，开发中涉及的数据与业务对接均须以标准接口实现。（三）项目管理要求1.服务单位须安排专职的项目经理与开发人员，组成5人以上的成熟开发团队，进驻用户方驻点开发，进驻时间为合同签订始至系统终验通过。2.完成开发后,根据用户要求进行系统安装部署，部署完成并上线运行，并向用户方提供平台的数据库字典文档等项目相关资料。3.验收通过后，系统进入售后服务期。（四）培训和服务要求1.培训要求服务单位应在充分理解本项目建设目标的基础上，制定详实、可操作的培训方案和培训计划。技术培训：服务单位需提供不少于5人˙天的数据库或系统管理专业技术培训，并承担培训所有费用。2.售后服务要求（1）售后服务期（质保期）从系统终验通过之日起计算，期限为一年。（2）售后服务期间，服务单位应为用户方提供本地化运维服务，必须指定1名项目经理负责服务协调工作，指派1名以上本项目开发组成员提供驻场服务，驻场地址为用户方办公场所。（3）系统的升级与维护均为免费上门，以及提供应用系统版本免费升级及对平台进行维护和完善。（4）在售后服务期内，若系统出现故障，需在半小时内做出明确响应和安排，并安排专业人员须在4小时内解决问题；对于在短时间内不能解决的问