职业中等专业学校数字化校园项目解决方案样本

数字化校园项目解决方案山东协同教诲信息技术有限公司目录1 项目简介 42 项目背景分析 42.1 校园信息化发呈现状 42.2 信息化建设浮现问题 52.3 问题应对举措 52.4 数字化校园发展趋势 52.5 数字化校园发展方略 62.6 数字化校园研究应用 73 建设目的 74 建设内容 75 建设意义 86 系统架构 86.1 数字化校园体系架构 86.2 数字化校园技术架构 106.3 应用平台逻辑架构 116.3.1 三层架构 116.3.2 架构优势 126.4 应用平台业务架构 136.4.1 整体构架 136.4.2 前端呈现 146.4.3 应用平台界定 146.4.4 应用平台层次 156.5 参照原则规范 157 网络架构设计 177.1 网络系统设计 177.1.1 网络拓扑构造图 177.1.2 网络设备选型 177.2 服务器系统设计 187.2.1 服务器选型原则 187.2.2 应用服务器和数据库服务器选取 197.3 存储备份设计 227.3.1 存储构造图 227.3.2 存储系统互联方案 227.3.3 存储设备性能设计 238 数字化校园应用系统设计方案 248.1 交互式多媒体班班通方案(附件一) 248.2 多媒体智能教室录播系统方案(附件二) 248.3 虚拟演播大厅(附件三) 248.4 多媒体课件制作系统方案(附件四) 248.5 平安校园监控方案(附件五) 248.6 校讯通”综合信息管理系统(附件六) 248.7 校园管理平台(附件七) 249 数据构造设计 259.1 数据库系统设计 259.1.1 数据分布方略 259.1.2 多数据库系统 259.2 内部数据一致性设计 269.2.1 信息互换设计 269.2.2 信息共享设计 279.3 外部数据互换及共享设计 299.4 数据设计参照原则 299.4.1 基本数据原则 299.4.2 数据共享原则 309.4.3 数据互换原则 3210 系统安全设计 3310.1 网络安全体系设计 3310.1.1 物理层安全设计 3310.1.2 网络层安全设计 3510.1.3 管理方面安全办法 3610.2 网络安全设备设计与选型 3710.2.1 防火墙 3710.2.2 入侵检测系统 3910.2.3 防病毒软件 4011 项目建设周期 4212 后期系统培训 4212.1 业务人员培训筹划 4212.2 技术人员培训筹划 43项目简介信息化校园建设是一次管理理念变革、管理模式创新、管理办法改进、业务流程再造、业务规范执行过程。咱们将结合各个院校积累近年先进管理理念、管理模式、管理办法，与学校既有管理进行碰撞、融合，可以带给学校先进管理思想、协助学校梳理业务条线、制定和规范业务规则、实现业务流程再造，直接提高学校信息化水平。数字信息化校园是整个教诲当代化一种不可分割构成某些，其最主线目的应可以应用当代化信息技术对现行教诲系统进行全方位改造，从而大大提高教诲质量和效益，培养出可以适应数字化生存环境新一代公民，并尽量缩小发达地区与贫困地区、重点学校与基本薄弱学校之间“数字鸿沟”。以应用为导向，以（区域）资源（均衡化）应用为导向，构建覆盖城乡各级各类学校数字化教诲服务体系，实现应用（资源）班班通、堂堂用，增进教诲内容、教学手段和办法信息化。项目背景分析校园信息化发呈现状近年来，国内教诲信息化获得成就令世界瞩目：各级教诲决策管理部门对教诲信息化高度视，硬件、软件、资源建设超常规发展，新型学习与教学模式摸索如雨后春笋，新一代教师和教诲管理者迅速成长……但与此同步，各种矛盾和问题也逐渐产生和暴露出来：教诲信息化目的、评价体系需要进一步明确和调节，投资和管理体制急待健全、改革和完善，教师和教诲管理者培训应更加求实和不断深化，与素质教诲、新课程改革内在联系和协调发展必要加强。信息化建设浮现问题在研究与实践中咱们深切地感受到：以学校为单位封闭、孤立地进行教诲信息化建设体制，已经成为基本教诲信息化建设发展中越来越严重桎梏。随着市场经济对教诲冲击，学校之间竞争日趋激烈，特别是同一区域中同类学校，更成为具备直接利益冲突竞争对手。这虽然能刺激和调动学校竞争发展积极性，但由此带来负面影响也是十分严重。随着教诲信息化发展，这种负面影响危害更加突显出来。问题应对举措因而，必要变化以学校为单位孤立地进行教诲信息化建设局面，提高决策、管理层次，推动区域教诲信息化整体、协同发展。这已成为当前全国教诲信息化战略重点和核心环节。解决区域内应用平台之间统一身份认证问题，提供一站式登录服务解决区域内应用平台之间数据孤岛问题，构建数据共享机制解决区域内应用平台之间数据重复性问题，制定底层数据原则化定义解决教诲信息化系统运用率低下问题，开展综合数据分析和深度数据挖掘解决教诲信息化应用软件杂乱、功能缺失或重复问题，立足本地实际需求，进行个性化订制数字化校园发展趋势教诲信息化建设总体上分为三个阶段：硬件基本设施建设、综合信息系统建设和数字化校园建设。教诲信息化建设呈现如下发展趋势：建立互联教诲体系：运用多媒体及网络技术实现高质量教学资源、信息资源和智力资源共享与传播。构建协作科研平台：运用先进网络技术增进科研资源和设备共享，加快科研信息传播，增进国际性学术交流，开展网上协作研究，掌握科技前沿动态，增进最新科研成果向教学领域转化，以及科研成果产业化和市场化，提高科研创新水平和辐射力。搭建公共服务体系：建设高质量智能化图书馆、档案馆等，开展电子商务、电子医疗等各种网络化服务项目，提供面向全校师生教学、科研、管理、生活等方面网络服务，形成智能型公共服务体系。建设校园一卡通系统：校园一卡通系统是综合提供身份辨认与电子支付服务功能系统平台，以及架构在此平台上各种信息化应用系统，是校园信息化重要形象和重要标志之一。迈向数字化校园：以无线网络环境为基本，实现校园无线网全覆盖；以管理信息系统为支撑，提供基于角色服务功能，实现信息查询、办公、消费、门禁等功能。通过对学习、工作、管理和生活等信息全面数字化，达到提高教诲质量、科研和管理水平与效率、为师生提供个性化服务目。数字化校园发展方略特色定位：基于移动通信平台数字化校园。特色主题：感知能耗、感知平安、感知教学、感知科研、感知管理、感知服务、感知消费、感知图书馆等八大感知校园系列工程。实现“五化”：立体化无线网络环境、基本化信息支撑系统、智能化传感采集平台、聚合化移动通信平台、多样化移动信息应用平台。完毕“五一”：一种数字化校园原则、一张无线通信网络、一种数字化校园门户、一张手机校园卡、一套数字化校园解决方案。数字化校园研究应用华南师范大学李运林专家主持教诲部中央电教馆重点研究课题《运用当代信息技术加强学校、家庭和社区协同教诲研究》已在全国范畴内建立了100所协同教诲实验学校。以李运林专家为首研究院专家团队多次指引协同教诲实验学校，推动了实验学校课题研究与信息化发展。同步，广州市协同教诲科学技术研究院为项目构建提供技术支持。为校园内开展移动学习提供移动学习媒体以及优质移动学习资源等支持。还专门设立了“国家级实验课题课题组”、“信息化教诲培训中心”等机构。建设目的制定数字化校园原则、建设数据中心、升级无线网络环境搭建数字化校园平台，提供各种校内服务支撑，信息传感采集中心整合学校优质资源，建设共建共享型教学资源库体系形成智能化区域型学校联盟体系建设内容实现区域内各教学要素连通、应用、管理，为学校教诲系统、家庭教诲系统和社会教诲系统沟通、协作、反馈创立应用平台。通过整合家庭教诲系统、学校教诲系统以及社会教诲系统中数字资源，建立纵向“省、市、区县”三级教诲管理平台、横向“家、校、社”教诲应用平台。通过城域教诲网整合一种地区教诲资源，为该地区提供一种量大、质优教诲资源服务系统。搭建“校、家、社”多方互联感知校园应用平台搭建“省、市、区县”级教诲城域网管理平台体系建设意义随着无线互联技术急速发展和移动信息化步伐加快，学校信息化建设迈向更高层次——数字化校园。借助无线互联技术，将移动信息化与手机、平板、一体机等终端有机结合，使校园内人流、物流、信息流和资金流“四流合一”，通过终端可以移动感知校园所有信息。无所不在无线网络设施基本；无所不有教学资源应用平台；无处不通信息交流共享获取；无所不能数字化智慧感知校园。系统架构数字化校园体系架构“数字化校园”采用分层体系构造，从下至上分为物联网感知层、物联网平台层、物联网应用层和校园应用层（如图1所示）。图6.1_1感知校园分层图物联网传感层（感知层）重要完毕物体信息采集、融合解决和传播，采用传感器、智能视频、RFID等各种技术对校园场合内各类对象实时采集信息。例如通过智能传感器对围界实时采集异常信息，通过RFID技术等对人员实时采集位置信息，通过智能视频技术对场景采集信息。得到信息需要逐级进行融合，从而实现协同感知和协同控制。物联网平台层重要实现网络设备管理、设备信息到业务信息转换、设备信息和业务信息呈现。平台有效地屏蔽了底层设备及其网络复杂性和多样性，统一了设备管理接口和平台信息模型。平台采用组件化构建方式，通过对组件组态、编排、方略调度等手段灵活支持从简朴到复杂应用场景。物联网应用层从应用视角出发，以物联网平台提供各类组件为基本，将细粒度技术组件组织为更大粒度功能组件，进而组织为一种个特定物联网应用。环绕“感知校园”这一核心内容，系统集合教诲行业管理现状，可以提炼出面向学生、教师、外来人员身份辨认、行为辨认等系统。数字化校园技术架构物联网应用品有组网复杂、数量巨大、地理区域分散、异构环境、个别场景实时性规定高等特点，因而对平台技术架构设计方面存在非常高规定。物联网应用平台采用开放技术架构，重要体现为用分布式软件总线技术构建整体技术框架。平台各层面、各服务、各组件之间均采用软件总线实现互联互通。软件总线为平台提供了一致开发、设计、布置和运营框架，同步具备透明布置、稳定运营、高可靠性等诸多长处。详细而言，平台技术架构由分布式中间件和基本服务构成。分布式中间件是软总线核心内容，涉及分布式对象祈求代理、Web容器等内容。基本服务是附属软总线基本设施，是业务服务稳定运营基本；基本服务涉及流程引擎、规则引擎、命名服务、事物服务、目录服务等内容。物联网应用平台分为接入层、服务层、逻辑层和界面层（图6.2_1）。图6.2_1物联网应用平台层次接入层重要功能是通过度布式代理和合同适配等技术手段，屏蔽底层传感器设备、汇聚设备、辅助设备、网络传播设备差别。这些差别涉及厂家制式、版本、信息模型、外部接口、组网等诸多方面。参照TMN等行业规范采用面向对象设计原则，将上述被管对象抽象为属性和行为一致管理对象。抽象管理对象及其关系是平台共享信息模型基本。服务层以平台共享信息模型为基本，从上层应用视角出发，提炼和抽取出一组业务层面公共服务。这些公共服务涉及配备服务、事件服务、关系服务、位置服务、拓扑服务、方略服务、安全审计服务等，这些服务与详细行业和应用服务无关。服务设计采用面向对象、面向服务等设计原则，服务统一透明布置在软件总线上。物联网应用品有多样性和复杂性等特点，平台通过逻辑层来向上支撑多样化、差别化业务应用。详细说是通过对服务层各服务编排来支撑业务流程；通过业务规则在服务和流程中实现业务逻辑判断；通过在服务上加载调度方略实现设备层面联动控制。应用平台逻辑架构为了可以支持项目系统目的，咱们系统采用Java平台，遵循J2EE技术规范，运用XML技术，使得系统具备更好可靠性和可伸缩性。三层架构系统采用三层架构设计，从下至上分别为：数据访问层、业务逻辑层、表达层，如图所示：图6.3.1_1系统三层架构1）数据访问层：有时候也称为是持久层，其功能重要是负责数据库访问。简朴说法就是实现对数据表Select，Insert，Update，Delete操作。如果要加入ORM元素，那么就会涉及对象和数据表之间mapping，以及对象实体持久化。2）业务逻辑层：是整个系统核心，它与这个系统业务（领域）关于。如果涉及到数据库访问，则调用数据访问层。3）表达层：是系统UI某些，负责使用者与整个系统交互。在这一层中，抱负状态是不应涉及系统业务逻辑。表达层中逻辑代码，仅与界面元素关于。架构优势1）分散关注：开发人员可以只关注整个构造中其中某一层，使得开发分工更加明确效率更高。2）松散耦合：可以很容易用新实现来替代原有层次实现；可以减少层与层之间依赖；减少层与层间依赖性，既可以良好地保证将来可扩展，在复用性上也是优势明显。每个功能模块一旦定义好统一接口，就可以被各个模块所调用，而不用为相似功能进行重复地开发。3）逻辑复用：可以有助于各层逻辑复用。例如，可以使用同一种业务逻辑来实现不同体现层，针对不同客户端显示不同界面。例如针对电脑和手机编写不同界面，两者共用相似业务逻辑。4）原则定义：有助于系统开发原则化。只有在一定限度原则化基本上，这个系统才是可扩展，可替代。而层与层之间通信也必然保证了接口原则化。采用分层设计系统将自始至终都可以满足功能需求和性能需求。应用平台业务架构系统业务架构由学校教诲系统、家庭教诲系统、社会教诲系统、教诲局系统构成。图6.4_1系统业务架整体构架整个系统基于B/S架构，顾客所有功能操作都在web浏览器里完毕。对于平板电脑及手机等移动设备，系统可针对性地定制相应客户端。在学校内布置无线网络（WIFI）,满足平板电脑、手机等移动设备终端“随时随处”教学需求。图6.4.1_1系统整体构架前端呈现前端体现以顾客为中心设计（UCD，User-CenteredDesign），以顾客角度组织系统各业务功能。所有顾客通过门户网站统一登录入口，但依照不同顾客角色及权限呈现不同功能模块。图8_1应用系统功能模块图应用平台界定市级平台：负责资源整合管理、分发调度，统一管理教诲基本信息，建立教师教学应用、教学资源应用评价体系，精确记录应用数据，并对整体系统平台所有服务节点进行运营状况监控、故障解决。校级平台：负责依照学校需要定制下载市级基本教诲资源，整合管理教材资源、同步资源、校本资源，均衡资源、拓展资源，满足教师备课、授课寻常教学，学校管理者可以分析教师应用状况。校级平台可以独立运营，在学校备课、授学时不受外部网络影响。师生互动平台：学生自主学习门户，即可满足学生在家庭中复习、自主学习需要。也可满足学生定向学习需要，在线完毕学习、作业、考试、答疑、自我管理等应用需要。家庭（社会）平台：信息发布、信息查询、在线征询、广播信息接受、来文查看、家长空间、成长袋记录等，实现广域型“班外通”协同教学、管理、协作、沟通。应用平台层次参照原则规范《教诲资源建设技术规范》《教诲管理信息化原则》（教诲部）《基本教诲教学资源元数据规范》《当代远程教诲工程教诲资源建设规范》（教诲部当代远程教诲资源建设委员会）《中华人民共和国当代远程教诲技术原则体系》GB/T19668.1-信息化工程监理规范第1某些：总则GB/Z19669-XML在电子政务中应用指南GB/T19581-信息技术会计核算软件数据接口GB/T20619-中文办公软件文档格式规范GB/T16260.1—软件工程产品质量第1某些：质量模型GB/T16260.2—软件工程产品质量第2某些：外部度量GB/T16260.3—软件工程产品质量第3某些：内部度量GB/T16260.4—软件工程产品质量第4某些：使用质量度量GB/T8566-信息技术软件生存周期过程GB/T8567-计算机软件文档编制规范GB/T18234-信息技术CASE工具评价与选取指南GB/T18492-信息技术系统及软件完整性级别GB/T18914-信息技术软件工程CASE工具采用指南GB／T5271．1—《信息技术词汇第1某些：基本术语》IEEE802.3以太网10Base-T原则GB／T9387．4—1996《信息解决系统开放系统互连基本参照模型第4某些：管理框架》STD-0001．1997《INTERNET正式合同原则》RFC1739《INTERNET和TCP／IP工具基本》YDN052—1997《B—ISDNATM层规范》IABRFC1157《简朴网络管理合同原则(SNMP)》GB／T15972．1—1998《光纤总规范第1某些：总则》GB／T10022．1—1998《信息技术图片编码办法第1某些：标记》RFCl825《INTERNET合同安全体系构造》ISO／IEC10181—1：1996《信息技术开放系统互连开放系统安全框架第1某些：概貌》ISO／IEC10181—5：1996《信息技术开放系统互连开放系统安全框架第5某些：保密性框架》GB／T2887—《电子计算机场地通用规范》GB17859—1999《计算机信息系统安全保护级别划分准则》《信息安全服务评估准则》网络架构设计网络系统设计网络拓扑构造图图7.1.1_1市级平台原则配备拓扑图网络设备选型依照教诲城域网建设规划，实现各区域、各学校之间信息迅速、安全传递和资源共享，为了保证整个网络系统安全性、高效性，信息中心网络链路采用双链路冗余设计，采用两台高性能互换机构成核心网络互换系统，提供布置区整个网络系统核心互换，所有采用千兆电口。同步在系统服务器与网络互换机之间采用1000M高速连接，并且通过安全冗余方式实现服务器系统安全高效连接。出口处布置一套防火墙以及IDS入侵检测系统，以便对网络状况进行记录、取证工作，对网络上可疑行为做出方略反映，及时切断入侵源,记录、并通过各种途径告知网络管理员，最大幅度地保障内部系统安全。服务器群通过千兆链路直接上联核心互换机，存储系统通过光纤互换机与服务器相连，保证数据互换机及存储高速稳定。互换机选型：24个10/100/1000Base-T以太网端口，4个复用SFP千兆端口，两个扩展槽位。1个管理Console口。配备双冗余电源，电源和电扇故障告警。Qos：支持基于IP、MAC地址、时间段ACL支持端口聚合，互换容量≥192G，包转发率≥90M。服务器系统设计在各级地市区教诲局端，依照作为信息互换中心业务规模大小，原则配备下需布置2台高性能应用服务器通过集群方式对各个子系统进行支撑。在各级学校端，依照业务需要，可以单个服务器架设应用服务器，有条件大学校，可以采购多台低成本服务器，布置数据库、FTP文献服务、流媒体点播服务来分摊主应用服务器压力。在教诲局端，配备CA认证服务器，同步也可以做为备份服务器或者联机管理服务器。为了优化服务器负荷，通过配备负载均衡器来实现用会话祈求在各服务器上合理分派，避免服务器任务分担均，提高顾客访问响应速度。服务器选型原则服务器选用市场主流品牌、服务器型号选用品有生命力产品，保证“三年先进，五年可用”，而不是将要裁减产品，具备良好性能价格比。支持SMP对称多解决方式和CLUSTER方式。具备高可靠性和安全性。有良好性能，具备较高TPS值，适应所承担应用规定。存储设备选用品有较高容错能力、性能、容量、连接性和管理性，支持各种网络访问合同。厂商在广州市具备良好售后服务和技术支持，关于服务器品牌重要考虑国内、外知名品牌如IBM、HP、DELL、联想、方正、浪潮等。应用服务器和数据库服务器选取选用主机系统时，一方面要考虑主机计算能力，特别是针对业务应用所必须数据库服务器和应用服务器。依照当前已有系统以及业界经验计算办法，对主机解决能力规定重要体现为TPC-C值。TPC-C值计算以系统日解决能力和解决时间为根据。依照对业务发展趋势，预测将来5年数据库主机需要具备日解决15000次访问祈求。每次访问祈求换算成数据库后台业务解决，则大概为0.5笔交易。因早晚业务量较小，8小时内业务量并不平均，重要集中在白天6个小时，依照经验，峰值业务量普通为平均值10倍，可得每小时峰值业务量为：（1.5×5÷6）×10＝12.5万笔/小时。随应用程序不同而异，对大多数成熟数据库应用程序，考虑到系统资源开销及优化限度不够等人为因素，依照经验值，平均6到10个Transaction等价于一种TPCC基准测试业务解决，这里取平均值8进行计算。TPC-C计算方式：公式：TPM值＝每小时峰值交易量÷60分钟×8TransactionTPM值为：（125000÷60）×8≈16666TPM在项目初段，为保证系统具备良好生存周期，减少此后系统升级成本，应保证所用主机系统资源平均运用率为上面基本60%，具备40%冗余。故，所有业务解决所需TPM值为：TPM值为：33400÷60%≈16666TPM因而数据库服务器系统TPM值为：16666参照指标规定：应用服务器提供系统TPM值为：5560建议参照指标规定：依照TPCC值估算，本期建设配备规定为：数据库服务器1、解决器：≥2颗四核Xeon7430，主频≥2.13G，12MBL3Cache2、内存内存≥16GB，支持最大内存容量≥128GB；3、硬盘300G硬盘≥4，15000转，支持热插拔4、网卡10/100/1000以太网口（双绞线）≥2个。5、DVD-ROM内置DVD-ROM≥16、电源交流电源≥2，支持冗余热插拔。7、操作系统windowsServer公司版操作系统。应用服务器1、解决器：≥2颗IntelE5506Xeon双核解决器，主频≥2.13G2、内存内存≥8GB；3、硬盘146G硬盘≥2，15000转，支持热插拔4、网卡10/100/1000以太网口（双绞线）≥2个。5、DVD-ROM内置DVD-ROM≥16、电源220V交流电源≥2，支持冗余热插拔。7、操作系统windowsServer公司版操作系统。存储备份设计存储构造图图7.3.中心互换节点，建议采用光纤磁盘整顿柜做为存储介质，具备高读取、大容量、易扩展等优势符合业务需求。既有磁盘阵列柜品牌相称多，建议使用大厂商产品。如IBM、HP、DELL等。存储系统互联方案如上图所示，存储系统通过光纤互换机与服务器连接，采用2台光纤互换机建立SAN，将存储和服务器连接到SAN上，主机和存储FC通道分别连接到不同互换机，形成双Fabric构造，构造双冗余、高可靠SAN构造。如上图所示，生产存储平台全光纤系统配备2个存储控制器，每个控制器中配备主机FC端口，4GB/2GB/1GB自适应端口连接UNIX、Windows开放系统主机。每块存储控制器端口均2个一组分别接入不同互换机，构建存储到互换机双冗余链路，避免由于互换机因素，发生数据拥塞和故障而导致主机系统宕机。在SAN中服务器方，依照系统可用性不同规定，对相应服务器配备2块HBA卡。使其可以通过不同HBA卡分别连接到不同光纤互换机，形成冗余链路。如果出于成本考虑，可以每个服务器只配备一种HBA卡，但这样安全性大大减少。通过将主机和存储FC通道分别连接到不同互换机，构建了一种双冗余、高可靠SAN构造。实现了由“服务器主机接口－光纤互换机－存储系统”I/O链路冗余配备，整体SAN网络无单点故障。当主机为HACluster环境时，FAS存储系统支持各种操作系统平台Cluster软件切换，所有Cluster主机节点定义LUN都是已经事先mapping到不同存储控制器一对节点，当主机切换时，所有LUN会自动跟随主机系统切换，无需人为干预咱们建议在尽量多链路中采用这种高速光纤网络，涉及部件涉及：主机适配器接口，光纤线缆，光纤通道互换机，存储系统主机端接口，存储系统设备端接口，磁盘驱动器接口。在典型OLTP应用中，对磁盘阵列响应能力需求也有比较高规定。对于I/O祈求响应和解决能力衡量，业界使用IOPS原则，也就是控制器每秒钟解决I/O数量，这个数值越大，磁盘阵列控制器解决能力越强，越适合在OLTP环境中使用。每个厂商都会对自己磁盘阵列产品发布设计数值。存储设备性能设计储存量是计算机数据存储能力一种重要指标。依照业务数据量框算，可以相对准拟定义出计算机存储容量。但事实上，数据库存在一定冗余，并且随着业务不断发展，数据增量和历史数据沉淀通过日积月累，也会占用不少存储空间。需要阐明是：数据存储不一定所有依托主机完毕，可以借助于磁盘柜等存储设备。所有系统平台上线后，重要数据涉及了本单位业务数据（邮件服务、门户网站、办公系统）；各技校专业信息、师资信息、学生信息、装备信息、就业信息等；以及资源库各类资源（涉及精品课件、电子图书、音视频文献等）。数字化校园应用系统设计方案交互式多媒体班班通方案(附件一)多媒体智能教室录播系统方案(附件二)虚拟演播大厅(附件三)多媒体课件制作系统方案(附件四)平安校园监控方案(附件五)校讯通”综合信息管理系统(附件六)校园管理平台(附件七)数据构造设计数据库系统设计数据分布方略集中式数据库把数据集中在一种数据库中，集中管理，减少了数据冗余和不一致性，并且数据联系比文献系统强得多。但集中式系统也有弱点，如其系统庞大，通信拥挤等。为了真正实现对分布在不同地方数据资源共享，早在70年代就开始了分布式数据库研究。通过10近年努力，到1986年在软件市场上开始浮现了分布式数据库产品。当时，关系技术公司（现为INGRES公司）宣布了称为INGRES/STAR分布式版本。其后不久，Oracle公司也宣布了称为SQL*STAROracle分布式版本。这些年来，分布式数据库研究和应用有了很大进展。多数据库系统多数据库系统（MBS）是为在各种数据库之间实现互操作，解决数据资源共享一种技术途径。多数据库系统是由若干数据库构成一种集合，其中每个数据库称为分数据库。分数据库系统可以是集中式，或是分布式。它们都受各自、也许是不同DBMS（数据库管理系统）管理。SYBASE和Oracle都提供分布式解决功能，支持分布多数据库系统。SYBASE采用客户/服务器体系构造，支持在网络环境下应用分布计算模式。客户某些涉及Client应用程序开发工具和Client接口。Client工具为应用软件开发各个阶段提供支持，Client接口实现Client与Server间连接，以及OPENClient开放互连。Server分为SQLServer和OpenServer两某些。SQLServer完毕分布式RDBMS功能，OpenServer完毕与其她非SQLServer管理数据源和各种事务解决应用系统互连。Oracle重要通过SQL*Net和它RDBMS实现分布式解决。它实现是多点分布式查询，即一种查询可以涉及各种结点数据库。Oracle对各种平台、各种网络、各种操作系统支持能力很强，特别在Oracle环境内，它提供4GL工具具备比较强分布查询能力。Oracle公司刊登了版本Oracle11G，11G扩展了Oracle独家具备提供网格计算优势功能，您可以运用它来提高顾客服务水平、减少停机时间以及更加有效地运用IT资源，同步还可以增强全天候业务应用程序性能、可伸缩性和安全性。内部数据一致性设计信息互换设计信息互换需求在科研机构涉密信息系统覆盖了几乎所有科研平台，由于科研机构工作信息需要科研院所、合伙单位和上级单位进行交流，科研工作需要大量新技术支撑，新技术获取最佳平台就是Internet上科技信息港资源。而科研机构涉密信息系统与Internet和非密网都是物理隔离。因而科研机构涉密信息系统与外界信息互换重要是两个方面：（1）涉密内网与Internet之间非密信息互换（涉及补丁和病毒库升级）；（2）涉密内网与其他单位涉密信息和非密信息互换。这两个方面都存在将病毒和木马代入涉密信息系统也许性。另一种信息互换需求是科研机构内部，按照分级保护规定，对高密级信息系统防护代价和成本都很高。不同安全域之间边界防护技术不是很成熟，因而单位内部存在不同密级涉密信息系统，从而带来信息互换需求。由于机构内部无论单机还是不同密级涉密信息都采用了病毒和木马防护办法，因而机构内部涉密系统之间信息互换隐患相对较小。管理难点由于涉密单机（不适合接入网络）和涉密网络与外界信息互换频繁、每次数量不大、信息互换及时性规定，导致运用只读光盘上传数据方式很难适应科研机构。因此必要针对科研机构信息互换特点，研究适当信息互换机制。信息共享设计基于校园网文献共享系统设计：（一）系统目的设计：教师文献以离散方式分布在校园网各个角落，不便于下载。而基于校园网文献共享系统目就是以“学校管理、教学发展”为主线点，按处室、教研组、年级组、班级进行分类，以适当方式来组织这些离散文献，构建一种开放基于校园网文献共享系统，供师生上传下载文献，进行文献共享。该系统遵循如下原则：1.实用性。构建基于校园网文献共享系统目是充分运用校园网资源，提高管理效率和教学效率。因而无论在内容还是在功能上都应充分考虑管理和教学需求，使教师、学生能以便及时地获取所需文献。2.可扩展性。随着管理和教学需求不断地增长，校园网文献共享系统功能和内容不断地完善和更新，以适应数字化校园规定。3.通用性。校园网文献共享系统能动态管理各种文献，因而规定该系统能合用于解决各种文献类型、各种大小文献。4.高速性：校园网文献共享系统是建立在校园局域网上应用系统，因而文献上传、下载速度可以达到高速。5.以便性：教师可以以便、快捷对系统内自己文献进行管理，例如文献添加、删除、共享等。

（二）系统功能设计：

1.功能构造总图：图9.2.2_1数据库功能构造总图2.工作效果图：图9.2.2_2数据库功能平台工作效果图外部数据互换及共享设计系统采用基于客户浏览器/服务器(Browser/Server，即B/S)模式。教师、学生通过校园网内、外任何一台计算机上IE浏览器向学校服务器发出祈求，学校服务器对浏览器祈求进行解决，将教师、学生所需信息返回到该台计算机上IE浏览器。简化了校园网内计算机配备，只需安装IE浏览器即可，学校服务器承担对信息文献库访问和应用程序执行。数据设计参照原则基本数据原则校园数据中心内容建议规划成两大某些，一是基本数据库，二是本校数据仓库。基本数据库是按照教诲部及学校元数据原则、编码原则，按照国家信息分类原则进行设计。这一规划方式，打破了以应用为中心建库模式，从而与应用无关，可为不同业务子系统提供统一数据库逻辑视图。基本数据库重要特点是数据动态性和在线性，即数据是实时更新，同步支持联机解决。基本数据库加上统一数据访问接口，实现了此后应用系统开发“数据总线”，打造了数字校园信息“高速公路”，从而有效地实现了数据集中与信息共享目的。1）数据元素原则：数据元素原则管理指是数据中心数据元素命名、别名和一致性控制。数据元素名称要在数据中心名空间全局保持一致，同步要保证具备原子意义。2）信息编码原则：信息编码是数据元素标记、检索和自动化解决核心。信息编码应按“国际/国标/教诲部原则/学校原则”序列，建立起校园数据中心信息分类原则。在《教诲管理信息化原则》中，已经完毕了重要“国际/国标/教诲部原则”编码定义，学校此后重要工作是对校内信息编码进行定义，并通过平台统一发布到数据中心和目录服务系统中。数据共享原则建立科学数据共享原则体系必要性重要体现如下几种方面：1.原则化是科学数据共享前提。科学数据共享原则体系是制定科学数据共享原则规划指南，它作用是在科学数据范畴内增进科学数据共享原则达到科学化、合理化和工程化。只有在统一原则前提下，科学数据共享总体目的才可以有效地实现。2.科学数据共享原则体系建立为科学数据进入国家信息基本设施做好准备，它将结合当代信息技术发展成果指引科学共享有关原则制定，为科学数据高度共享及其与其她应用系统高速通信、联网创造必要条件。3.建立综合性科学数据原则体系涉及到跨学科、跨部门、跨地区、跨行业科学数据获取、收集、汇交、存储、管理和分发等科学数据生产和共享活动大量原则化工作。建立综合性科学数据原则体系是科学、完整、有序地制定和贯彻科学数据生产和共享活动原则和技术规范重要基本，它将推动科学数据共享工程技术体系建立和原则化进程，从而在技术层面上增进科学共享迅速发展。科学数据共享原则体系分为三方面：指引原则、通用原则和专用原则，共32项原则。（一）指引原则

指引原则是与科学数据共享原则制定、应用和理解等方面有关总体性原则，用来阐述科学数据共享原则化总体需求、概念、构成和互有关系，以及使用基本原则和办法等。科学数据共享工程中指引原则涉及：《原则体系及参照模型》、《原则化指南》、《科学数据共享概念与术语》、《原则一致性测试》。（二）通用原则通用原则是科学数据共享活动中具备共性基本性原则。通用原则分为三类：数据类原则、服务类原则和管理与建设类原则。数据类原则，涉及有元数据原则、分类与编码原则、数据内容原则这三方面原则。元数据原则用于规范元数据采集、建库、共享以及应用，涉及《元数据内容》、《元数据XML/XSD置标规则》和《元数据原则化基本原则和办法》；分类与编码原则是科学数据分类与编码时需要遵守指定规则，涉及《科学数据分类与编码原则与办法》、《科学数据分类与编码》；数据内容原则用于数据规范化改造、建库、共享以及应用，涉及《数据元原则化原则与办法》、《数据元目录》、《数据模式描述规则和办法》、《数据互换格式设计规则》、《数据图示表达规则和办法》、《空间框架数据原则》。服务类原则，是提供科学数据共享服务有关原则总称，涉及了数据和信息发布、表达、互换和共享等各种环节，规范了科学数据转换格式和办法，互操作办法和规则，以及认证、目录服务、服务接口、图示表达等各方面。服务类原则涉及有数据发现服务原则、数据访问服务原则、数据表达服务原则和数据操作服务原则这四方面原则。管理与建设类原则，用于指引系统建设，规范系统运营。管理与建设类原则涉及《质量管理规范》、《数据发布管理规则》、《运营管理规定》、《信息安全管理规范》、《共享效益评价规范》、《工程验收规范》、《科学数据中心建设规范》和《科学数据网建设规范》。（三）专用原则专用原则就是依照通用原则制定出来满足特定领域数据共享需求原则，重点是反映详细领域数据特点数据类原则，涉及领域数据类原则、领域服务类标准、领域管理与建设类原则。领域数据类原则涉及领域元数据、领域分类与编码、领域数据内容等方面原则。领域服务类原则是指领域依照自身特殊需求，对通用原则中数据访问服务、数据表达服务和数据操作服务原则进行必要修订和扩充，形成具备自己领域特点专用数据发现服务、数据访问服务、数据表达服务和数据操作服务。同样可以根据既有通用原则中服务类原则，结合新功能需求，增长新功能性原则。领域管理与建设类原则分为两种类型：一是领域可以直接采用原则，例如《国家科学数据中心建设规范》和《国家科学数据网建设规范》；另一类是需要领域依照详细状况，可以进一步修订、细化原则，例如《质量管理规范》和《运营管理规定》。数据互换原则数据互换是面向语义、面向主题和面向应用信息资源互换。数据互换中心包括数据采集、数据转换、数据整合、数据抽取等功能，是信息资源共享与升值前提。数据互换作业分为两类，一类是数据中心本部动态数据整合与加工解决；另一类是跨部门、跨机构信息接受、格式转换、重建索引和重新归档。数据互换中心建设，是数据中心建设过程中难度最大也是最具现实意义一项工作。系统安全设计网络安全体系设计物理层安全设计（1）环境安全合理机房选址：要注意选取安全地点，具备较强防灾害（雷击、暴雨、电压、盗窃、水灾、火灾、地震等）、防干扰（电磁干扰，静电等）能力。为提高机房和设备屏蔽效能，采用综合办法隔绝与外界声、光、电磁信号联系，连接中均要采用相应隔离办法和设计，如信号线、电话线、空调、消防控制线，以及通风、波导、关门等。适当机房环境：建议按照国家关于原则建设机房，安装必要设备以便达到适当温度、湿度，可以防尘、防静电、防水、防雷击、防电磁辐射；采用不间断电源，装备备用发电机。屏蔽室合用于网络中心机房及设备集中使用、解决绝密级信息系统，采用低辐射网络信息设备将电磁辐射减小到规定强度，使窃听信息成为不也许。这种办法合用于设备分散使用、解决绝密级信息系统。加强机房防盗管理及机房保卫，以避免设备被盗或终端被入侵。（2）设备安全：重要指两类设备：网络专用设备（路由器、互换机等）和主机设备（终端计算机、服务器、防火墙等）。设备安全重要涉及设备防盗、防电磁辐射、防止搭线窃听、抗电磁干扰及电源保护等；设备冗余备份。设备安全性体当前：提高设备可靠性：采用高质量、高可靠设备。如有也许，对核心设备要在适当时候更换性能更好、功能更全、运营更稳定产品，选用高可靠性硬件设备，在也许状况下优先采用双机或多机冗余设计方案，如核心互换机/路由器。此外采用合理网络拓扑保证线路冗余，避免浮现单点故障。合理主机冗余自备份，保证备份迅速切换。良好设备环境：设备存储环境如温度、湿度等符合设备规定。良好设备安装：设备安装要结实耐用，尽量隔离存储，做到最后顾客难以擅自安装、拆卸设备配件。（3）媒体安全：涉及数据安全及存储数据介质自身安全。显然，为保证网络系统物理安全，除在网络规划和场地、环境等方面满足规定之外，还要保证信息在解决、显示、传播时安全。依照系统安全需求可选取备份机制有：机房内高速度、大批量数据自动数据存储、备份与恢复；机房外数据存储、备份与恢复；对系统设备备份。（4）物理安全可以参照遵循原则《计算站场地安全规定（GB8361-88）》《计算站场地技术条件（GB2887-89）》《计算机机房用活动地板技术条件》《电子计算机机房设计规范》《电子计算机机房施工及验收规范》《信息技术设备（涉及电气事务设备）安全（GB4943-95）》《信息技术设备无线电骚扰限值和测量办法（GB9254-1998）》《信息技术设备抗扰度限值和测量办法（GB/T17618-1998）》（5）设计原则和规范这里说物理层指是物理连接方面安全，特别指是不同密级之间网络连接规范，保证从物理构造上安全。分支内容重要包括如下几种方面：电磁泄漏：对于重要、涉密设备进行电磁泄漏防护；恶意物理破坏：采用网管设备进行监控，对重要设备采用专用机房、专用设施、专门人员进行保护。电力中断：重要服务器等设备均有双电源冗余设计，双电源是网络正常运营有力保障。重要设备应具备在线式UPS，控制所有重要计算机系统电源管理；一旦断电时间接近UPS所能承受延时服务时间70%，则发出指令自动关闭重要服务器。本期建设配备1台10KVA在线式UPS进行断电保护。机房安装视频监控摄像机进行视频监控，并保存录像资料1周。机房出入门安装门禁系统，对出入人员进行管理和记录。网络层安全设计对的使用各种网络设备，例如互换机、路由器等安全设备。网络链路冗余设计，本期配备2台互换机来防止单点故障导致网络中断。配备防火墙和入侵防御系统，制止非法入侵。采用千兆防火墙，具备四个以上端口，建议1000BASE-TX端口≥2，1000BASE-SX端口≥2。通过VPN进行数据传播，本期项目采用带有VPN功能防火墙。安全使用网络设备：事实上，对于某些常用网络袭击，可以使用自身具备某些技术功能加以有效防范，如：使用ControllingDirectedBroadcasts技术通过对路由器各端口directed-broadcast控制，防止smurf（DirectedBroadcasts）袭击。通过ACL（accesslists）和RPF（reversepathforwarding）checks等办法防止地址欺骗类网络袭击。关闭IPsource-route选项，防止控制路由类袭击发生。某些回绝服务（DoS）类袭击经常通过大量无用数据流布满网络链路来实现，对网络链路上数据流控制是解决回绝服务袭击一种重要手段。在路由器上使用如加权平衡队列(WFQ)、承诺访问速率(CAR)、generalizedtrafficshaping(GTS)和定制队列（customqueuing）等QoS技术来解决流袭击类回绝服务。某些特殊网络服务，由于在正常使用中很少用到，但这些服务往往会给袭击者以可乘之机，因此建议将路由器中这些不需要网络服务关闭，如：TCPSmallServices、UDPSmallServices、Servicefinger、NetworkTimeProtocol(NTP)、CiscoDiscoveryProtocol(CDP)在三层互换机、路由器等边界设备上，支持ACL（AccessControlList）功能，支持NAT功能，充分运用访问控制列表ACL，可以实现一种包过滤功能，可以通过设立ACL规则，对进出网络设备端口数据包进行过滤。为了防止IP地址伪造，特别是伪造源地址，可以在广域网与各地局域网连接边沿路由器上设立ACL，检查从本地进入广域网每一IP包，丢弃源地址不是分派给本地地址所有IP包。此外所设ACL还要丢弃如下IP包：源地址为子网广播地址；目地址是环回（loopback）地址；目地址不是有效单播或组播地址。网络构造安全，重要由网络拓扑构造设计及网络合同选用来保证。数据安全：通过存储阵列磁盘区域划分，对数据进行冗余备份，防止因数据丢失或者误操作带来损失。管理方面安全办法安全管理在系统安全中占有很重要地位。在制定制度时需要遵循如下原则：多人负责原则：每一项与安全关于活动，都必要有两人或多人在场。如下各项是与安全关于活动：访问控制使用证件发放与回收；信息解决系统使用媒介发放与回收；解决保密信息；硬件和软件维护；系统软件设计、实现和修改；重要程序和数据删除和销毁等；任期有限原则：普通地讲，最佳不要让一种人长期担任与安全关于职务，以免使她以为这个职务是专有或永久性。为遵循任期有限原则，工作人员应不定期地循环任职，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。职责分离原则：在信息解决系统工作人员不要打听、理解或参加职责以外任何与安全关于事情，除非系统主管领导批准。出于对安全考虑，下面每组内两项信息解决工作应当分开。计算机操作与计算机编程；机密资料接受和传送；安全管理和系统管理；应用程序和系统程序编制；访问证件管理与其他工作；计算机操作与信息解决系统使用媒介保管等。网络安全设备设计与选型防火墙防火墙（作为阻塞点、控制点）能极大地提高一种内部网络安全性，并通过过滤不安全服务而减少风险。由于只有通过精心选取应用合同才干通过防火墙，因此网络环境变得更安全。如防火墙可以禁止诸如众所周知不安全NFS合同进出受保护网络，这样外部袭击者就不也许运用这些脆弱合同来袭击内部网络。防火墙同步可以保护网络免受基于路由袭击，如IP选项中源路由袭击和ICMP重定向中重定向途径。防火墙应当可以回绝所有以上类型袭击报文并告知防火墙管理员。防火墙可以强化网络安全方略：通过以防火墙为中心安全方案配备，能将所有安全软件（如口令、加密、身份认证、审计等）配备在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙集中安全管理更经济。例如在网络访问时，一次一密口令系统和其他身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。对网络存取和访问进行监控审计：如果所有访问都通过防火墙，那么，防火墙就能记录下这些访问并作出日记记录，同步也能提供网络使用状况记录数据。当发生可疑动作时，防火墙能进行恰当报警，并提供网络与否受到监测和袭击详细信息。此外，收集一种网络使用和误用状况也是非常重要。一方面理由是可以清晰防火墙与否可以抵挡袭击者探测和袭击，并且清晰防火墙控制与否充分。而网络使用记录对网络需求分析和威胁分析等而言也是非常重要。防止内部信息外泄：通过运用防火墙对内部网络划分，可实现内部网重点网段隔离，从而限制了局部重点或敏感网络安全问题对全局网络导致影响。再者，隐私是内部网络非常关怀问题，一种内部网络中不引人注意细节也许包括了关于安全线索而引起外部袭击者兴趣，甚至因而而暴漏了内部网络某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机所有顾客注册名、真名，最后登录时间和使用shell类型等。但是Finger显示信息非常容易被袭击者所获悉。袭击者可以懂得一种系统使用频繁限度，这个系统与否有顾客正在连线上网，这个系统与否在被袭击时引起注意等等。防火墙可以同样阻塞关于内部网络中DNS信息，这样一台主机域名和IP地址就不会被外界所理解。除了安全作用，防火墙还支持具备Internet服务特性公司内部网络技术体系VPN。通过VPN，将企事业单位在地区上分布在全世界各地LAN或专用子网，有机地联成一种整体。不但省去了专用通信线路，并且为信息共享提供了技术保障。选型规定：选用品有VPN功能千兆防火墙，能防御DoS/DDoS袭击（如CC、SYNflood、DNSQueryFlood、SYNFlood、UDPFlood等）、ARP欺骗袭击、TCP报文标志位不合法袭击、LargeICMP报文袭击、地址扫描袭击和端口扫描袭击等各种恶意袭击，同步支持黑名单、MAC绑定、内容过滤等先进功能。支持基本、扩展和基于接口状态检测包过滤技术；支持H3C特有ASPF应用层报文过滤合同，支持对每一种连接状态信息维护监测并动态地过滤数据包，支持相应用层合同状态监控。集成IPSec、L2TP、GRE和SSL等各种成熟VPN接入技术，保证移动顾客、合伙伙伴和分支机构安全、便捷接入。可以有效辨认网络中各种P2P模式应用，并且对这些应用采用限流控制办法，有效保护网络带宽；支持邮件过滤，提供SMTP邮件地址、标题、附件和内容过滤；支持网页过滤，提供HTTPURL和内容过滤。提供多对一、多对多、静态网段、双向转换、EasyIP和DNS映射等NAT应用方式；支持各种应用合同对的穿越NAT，提供DNS、FTP、H.323、NBT等NATALG功能。支持本地顾客、RADIUS、TACACS等认证方式，支持基于PKI/CA体系