解决方案
news
.
.
.
.
.
浙江万鹏三通两平台解决方案(一)
来源: | 作者:yjh0832 | 发布时间: 2016-04-07 | 1440 次浏览 | 分享到:

1.      基础支撑平台

基础支撑平台是云教育公共服务平台各子系统的公共运行环境,提供底层数据交换、集成服务以及统一身份认证和基础数据同步服务。各类系统运行于公共基础平台之上,实现统一的系统登录、安全认证和基础数据共享。

1.1数据标准建设

数据标准是整个教育信息化建设的基础,是实现教育信息资源交流与共享的必要条件。数据标准为数据库设计提供类似数据字典的作用,为数据共享提供基础性条件,为其他集成提供标准规范和依据,是实现全面的信息集成的重要基础内容。信息标准要保证信息在采集、处理、交换、传输过程中有统一、科学、规范的分类和描述,能够使信息更加有序流动,构建全省统一的数据中心,最大程度地实现信息资源的共享。

建立与国家教育信息化标准规范相衔接、符合实际的教育信息化规范体系、数据体系和科学规范的管理运行机制。制定教育信息数据体系规范,定义数据标准,确定数据采集、加工、交换、使用及网络运行、网络安全、数据安全等规范,编制各项标准及其实施要求,形成学校教育信息标准体系。

主要建设内容包括:信息代码编码标准、数据交换标准、应用系统规范、管理、业务流程标准、文档数据规范、信息标准管理工具等几个大的方面。

1.2系统管理

(1)   平台信息设置

一般由顶级教育局进行维护和设置;下属单位和学校会自动继承顶级教育局的设置,且只能查看不能修改。

(2)   单位管理

管理下属单位的信息。

(3)   部门管理

管理本单位下属部门信息,包括部门名称、部门编号、上级部门名称、教研组标识(科室还是教研室)、部门排序号、负责人、电话号码、描述信息等。提供多级部门结构设置。

(4)   教职工管理

实现对本单位职工的管理,可以记录职工与所在部门的对应关系,并且自动生成职工的登录帐号。当进行职工离职、变岗、退休、死亡等操作时,系统自动与帐号状态对应。可以单个新增职工信息,也可以批量导入。

(5)   用户管理

管理应用系统的用户账号信息。包括对用户进行角色委派、查看用户的操作权限、密码初始化等功能。可以审核、锁定、解锁用户的登录帐号,每个用户名与职工相对应。

(6)   角色定义

可定义角色名称、类型、角色描述等,并提供角色委派、删除、锁定、激活等功能,方便实现单位内的基于角色的权限管理。

(7)   下属学校授权

可设置下属学校管理员关联用户。

1.3数据交换平台

参考教育部关于《教育管理信息化标准》的要求,能够覆盖基础信息子集、学校基本信息子集、学生信息子集、教职工信息子集、教务管理信息子集、课程资源信息子集、办公管理信息子集、后勤管理信息子集、图书管理信息子集等大类子集,并能够在此基础之上,融合各单位的数据特点,进行归纳整理。在教育系统内搭建一个面向应用、安全可靠、操作便捷、技术先进、规范统一、灵活可扩展的统一数据共享与交换平台,通过数据交换工具进行数据过滤、清洗和双向传递,实现各业务系统和数据中心平台之间的数据交换和共享。

数据交换平台采用SOA设计理念,将各种业务数据系统集成在一起完成特定业务,提供同构数据、异构数据之间的数据抽取、格式转换、内容过滤、内容转换、同异步传输、动态部署、可视化管理监控等方面功能,支持的数据包括各主流数据库、Excel、规则文本、特定格式、数据接口等各种格式,并可以根据用户需求定制开发特定业务服务。

数据交换平台是信息交换与共享平台的核心,是整个系统信息传输的总线,提供基于发布/订阅的消息分发和集线器式的集成服务。负责将各部门业务系统中获取的数据传输并保存到数据中心;以及根据预规则和数据订阅请求,将指定数据发送给相应部门。实现校内数据信息交换与共享。

数据交换可以采用数据加密方式进行传输,保证数据安全。

功能介绍如下:

(1)          数据初始化

针对新注册上线的AP,进行数据的全量同步。包括来源应用、来源表、目标应用、目标表、待发送、已发送、待接收、已接收、操作。

(2)          消息服务配置

可配置消息服务节点:URL、用户名、密码等信息。

(3)          数据源维护

配置数据库信息:URL、用户名、密码、主键类型及个数等。支持异构数据源的整合和集成,包括各种主流数据库、ODBC数据源、格式化文本和消息类型数据;

(4)          应用系统

维护参与数据交换的业务应用系统信息及对应的数据源、连接的消息服务节点。交换策略可以是定时同步或者是准实时同步。包括代码、名称、数据源、消息服务节点。

(5)          数据交换标准维护

管理作为数据共享的标准对象(表和字段),可以直接从某数据库中提取元数据作为标准对象。按信息标准对数据进行转换和清洗;包括基础分类、标准对象含义、标准对象名。

(6)          映射对象维护

管理各业务应用系统的元数据,建立与标准对象的映射关系,设置各对象的数据抽取、数据发布、订阅、预发布情况、建立过滤条件等。可以配置需要交换的数据对象。

(7)          控制台

控制台包括清除数据缓存、重建数据结构、重启同步服务、停止同步服务、重置性能监控开始时间。可进行发布、已创建数据同步表、发布状态、订阅、已创建双向同步表、订阅状态、预发布、已创建预发布表操作。

(8)          数据监控

提供数据交换监控工具,在数据交换发生异常时能进行告警;

监控数据的交换情况,各AP中每类数据的已发送数量、待发送数量、已接收数量以及异常数据等。可以查看应用系统的表、待发送、已发送、待接收、已接收信息条数。

1.4应用管理中心

主要实现对各应用系统的基本信息进行维护(增、删、改、查)、对应用系统所包含的模块组成进行维护(指派、重组)、将应用分配给子系统。包括应用注册功能模块、应用监控功能模块、应用开通功能模块。

(1)  应用注册功能模块

新增业务系统:维护业务系统名称、业务系统类型ID、修改时间、系统CODE、联系人、联系电话、数据接口类型(HTTPINVOKER、数据库、XML)、基础数据同步(订阅并且有订购商品、只需订阅)、业务系统首页地址、介绍页地址、功能页地址、约定字符串、SERVER_KEY、域名、协议、端口、还可维护业务操作数据及系统基础数据的同步数据类型。还可对已维护的业务系统信息进行修改、删除、查询等操作。

(2)  应用监控功能模块

可添加监控局点,包括监控信息、监控地址、监控页面编码格式(UTF-8、GBK),还可设置页面自动刷新间隔时间,更新刷新频率,支持手动刷新。

(3)  应用开通功能模块

Ø  部门信息设置

维护部门名称、部门编号、管理员密码、域名、联系人、是否允许教师互发短信、教师帐号上限、是否允许发自由短信、开通时间等。

Ø  应用开通

设置单位需开通的业务系统,选择业务系统、设置开通的开始日期及结束日期。还可查看开通状态的查看及修改。

1.5统一身份认证平台

统一身份认证平台作为云教育公共服务平台的安全认证及授权中心,主要为各应用系统(包括无线接入)提供集中的身份认证与授权服务。用户通过统一信息门户实现单点登录,提高信息化管理应用系统的安全性。通过指定相应的集中认证技术规范,提供统一的应用系统用户管理接口,最终实现所有新建系统用户认证的集中统一管理。应提供一系列全面的认证、授权控制和管理工具,对数据的访问和使用进行全方位多层次的许可、控制和管理,并保护数据拥有者和使用者的数据安全。对于数据库中的同一数据,不同用户根据其拥有的权限集的不同定义对该数据对象的操作能力,包括创建、增加、修改元数据的索引属性,创建、增加、修改数据对象以及对数据注释信息进行操作等功能,从而实现对数据的安全保护。

建立应用的授权机制,建立统一用户管理、授权管理和身份认证,进行分级授权和集中身份认证,提高应用系统的安全性和用户使用的方便性,实现全部应用的单点登录,集中管理应用系统内的用户,实现每一个用户在访问各个应用系统时更加方便可靠。

统一身份认证平台主要负责认证服务、单点登陆服务、身份数据管理、权限模型(角色)管理、平台运行管理、安全审计等内容。身份管理员提供一个统一、友好的操作界面,以方便管理员管理用户和角色的数据,提示管理员当前平台所有面临的问题,帮助管理员对身份管理平台进行实时的监控和维护。

1.6授权管理中心

主要实现对组织机构、人员、权限等进行统一、集中管理、实现灵活的用户分组管理和查询功能。同时,可以按区域对用户进行分划管理,不同的管理员管理不同的区域。

统一用户管理是为了方便用户访问组织机构内所有的授权资源和服务,简化用户管理,基于 LDAP 或基于数据库,对组织机构内中所有应用实行统一的用户信息的存储、认证和管理,主要内容有:角色管理模块、用户管理模块、管理员模块。对组织机构内中所有应用实行统一的用户信息的存储、认证和管理。

(1)  角色管理

Ø 角色管理

系统基于角色进行管理,结合权限的细分,实现了系统应用按需定权。角色管理中提供了角色委派、业务范围限定、角色锁定和激活等功能,可方便实现单位内的基于角色的权限管理。

Ø 权限委派

通过建立按单位、按角色等多种方式的权限管理机制,使用户的权限管理更加灵活、方便。角色管理中提供角色委派、业务范围限定、权限查询等功能模块,可方便实现单位内的基于角色的权限管理。采用角色管理,只要一次性维护好系统角色后,在管理用户权限时只需要把用户“对号入座”,轻松实现权限管理。

一名用户可以拥有多个角色权限,一个角色权限也可以同时委派给多名用户。拥有多个角色的用户其权限为多个角色权限的叠加。对角色操作“激活”或“锁定”,则角色的“是否激活”状态变成“是”或“否”,“是否激活”状态为“否”的角色关联的用户,没有该角色的权限。

(2)  用户管理模块

Ø 用户管理

提供增加、删除、修改、查询用户的功能及修改密码功能,可批量对用户进行角色设置。

可以进行密码规则设置及用户密码的初始化,同时支持导出excel列表。

可通过输入用户名、姓名等方式查找用户。

Ø 锁定功能

可对某个用户或多个用户进行账号锁定、激活锁,锁定状态下用户不具有相关角色的权限,用户管理中用户列表中将显示用户的状态,包括正常、注销等。锁定后的用户将显示为注销状态。

(3)  管理员模块

Ø 管理员设置

添加或删除某现有用户的管理员。

Ø 权限设置

对管理员操作权限进行设置。

1.7平台运维管理

(1)  运维监控

具备常见的监控功能,如主机的性能监控、网络设备性能监控、数据库性能监控、FTP等通用协议监控、多种告警方式、详细的报表图表绘制。支持自动发现网络设备和服务器;支持分布式,能集中展示、管理分布式的监控点;扩展性强,提供通用接口,可以自己开发完善各类监控。支持多种网络方式下的监控,可通过分布式的方式部署和安装监控代理

可以通过相关参数直接获取系统的监控值并以图形的方式呈现。

Ø  监控管理项

包括“仪表盘”项、“总览”项、WEB项、“最新数据”项、“触发器”项、“事件”项、“图形”项、“多图显示”项、“拓扑图”项、IT Services项。

Ø  设备故障事件详情

查看整体网络的状况,存在问题的服务器会显示警告状态,详细记录了问题服务器的主机名称、问题等级、问题的持续时间等状态。

Ø  各组主机说明

表示对应的服务器(包括支持的网络设备,操作系统、虚拟操作系统等),当选中组后会在主机栏中显示该组对应的主机设备,组名、主机IP

Ø  时间条说明

通过时间栏可选择按每小时、每2小时、每3小时、每6小时、每12小时、每天、每周、每2周、每月、所有天数这些方式查看图形。时间条除了可以选择按不同的时间点显示外,还可以通过拉动时间条方块的方式显示特定时间的状态图。还可以直接选定相应的曲线查看详细的数据图。

Ø  常用监控图

²  CPU、磁盘及虚拟内存利用率图:记录虚拟内存使用率、物理磁盘空闲率及CPU使用率。其中10分钟内磁盘空闲利用率低于30%10分钟内CPU利用率达到90%将触发报警。

²  网卡流量图:记录设备的网卡流量图。网卡流量统计分为出、入两个方向。

²  逻辑磁盘空闲状态图:记录磁盘的空间使用率。对于系统不存在的磁盘,监控值显示“no data”。

²  内存使用图:记录整体内存大小及内存可用空间大小。

²  磁盘读/写响应时间:记录物理磁盘的读响应时间以及写响应时间。其中在10分钟内如果磁盘读操作时间超过30ms或写操作时间超过50ms将触发报警提示。

²  数据库性能图:记录数据库软件(包括sql servermysqloracle)性能。每秒完全扫描次数、失败退出的作业数、当前与数据库连接的用户数、每秒大容量复制的数据量。

²  WEB性能图:记录WEB服务器的连接数及当前请求数。

²  最新数据:显示该主机所有的监控数据(记录主机最后获取的数据值,也可以图形显示)。

²  可用性:主要记录内存和磁盘的可用性。

²  CPU项:主要记录CPU的性能及CPU的使用情况。

²  磁盘项:记录磁盘的性能,包括磁盘的读、写、队列的传输及空闲使用等指标。

²  文件系统:记录磁盘文件传输时队列的磁盘传输时间;

²  网络项:记录主机网卡的流量;

²  性能:记录磁盘的性能,包括逻辑磁盘和物理磁盘的性能。

(2)  运维服务

Ø  平台参数设定:设定平台中的相关应用功能参数,如公文文档类型控制、公文接收对象选择范围、日志提醒最大条数、导入任务并发数、照片最大允许上传大小、附件最大允许上传大小等。“还原默认值”可设置平台参数还原到系统默认值。

Ø  系统服务配置:分为“邮件服务器配置”和“通讯服务器配置”两部分。“邮件服务器配置”的作用是可以通过系统来发送邮件,如公文流转中将公文发送到联系人的邮箱。维护“邮件发送服务器SMTP地址”,通过设置邮件的安全认证,可提高邮件的安全系数。“通讯服务器配置”的作用是使系统在发送公文、消息或通知时能同时发送手机短信。

Ø  微代码管理:选择子系统、维护类型和微代码类型,可以查看对应类目下的微代码细目。 “维护类型”分为:可维护、可启停、仅可查看。“可维护”类型的微代码类型可以新增条目,也可修改和删除。系统默认提供的条目不能维护,若“启/停”状态置灰,则不可启停。“可启停”类型的微代码可以设置各条目的启用或停用。“仅可查看”类型的微代码,只提供查看,不提供维护和启停。

Ø  日志维护:查询和维护系统日志。通过该设置查询条件,可快速查询出符合条件的系统日志记录。系统日志可根据设置的日志保留天数来自动删除日志,大大减轻了系统日志维护的工作量。

Ø  异常数据处理:支持常用的SQL语句处理异常数据。当执行更新和删除操作时,需要输入用户密码,提高了系统操作的安全性,加强了数据的安全性。

Ø  缓存管理:查看内容、清空缓存数据、重启缓存服务。

Ø  WEB管理:配置JVM参数、配置数据库连接、查看并下载日志。

Ø  预警检查:存储目录是否正常挂接、导入服务是否启动、数据库连接是否正常等等。

Ø  安全审计:统计查询在一定时期内休眠账号、恶意认证账号和暴力密码猜解账号以及恶意认证IP的功能。提供弱密码检测的功能。

1.8统一桌面

统一桌面系统是为广大教师、学生、管理人员、领导等各类用户使用各应用系统提供一个方便的统一办公入口,系统将分散、异构的应用和信息资源进行聚合,通过统一的访问入口,实现结构化数据资源、非结构化文档和互联网资源、各种应用系统跨数据库、跨系统平台的无缝接入和集成,提供一个支持信息访问、传递、以及协作的集成化环境,实现个性化业务应用的高效开发、集成、部署与管理。并根据每个用户的特点、喜好和角色的不同,为特定用户提供量身定做的访问关键业务信息的安全通道和个性化应用桌面,使师生员工可以浏览到相互关联的数据,进行相关的事务处理。用户登录统一桌面后,在桌面上应列出该用户经授权的所有应用系统,没有权限使用的系统将不列出。用户登录统一桌面后进入应用系统将不需再登录,从而实现一次登录,多次使用。

统一桌面系统基于角色进行功能、界面的安全控制,使用户只能使用被授权使用的功能,看见自己能看见的界面;基于模块化的设计方式以及统一的用户管理功能,使得用户可以根据自己的业务范畴、权限,将其工作的应用系统嵌入统一桌面之中。

Ø  分屏设置

用户可以根据个人使用习惯及业务,对桌面上显示的应用模块进行分多屏显示设置。可直接采用图标拖拉形式进行分屏位置设置,也可随意调整顺序。同时还可以设置应用图标显示或未显示。

Ø  切换风格

用户可以通过此功能自由的切换界面的显示风格,系统为用户提供了多套不同风格、色系的界面。

Ø  便捷通道

在个人桌面上,可以便捷的发留言、记录备忘录、查看通知公告等。

1.9现有应用集成

教育局及学校有很多应用都是在不同平台上、由不同开发商开发,使用的技术不一致,容易造成每套系统都有独立的用户身份管理,登录不同应用系统需要多次登录,信息不能互通,“信息孤岛”现象极其明显。

本期项目将实现与现有系统的整合,所有被整合的应用将不再从原有登录口进入访问系统,而是统一从信息门户或即时通讯客户端登录平台,登录后在统一门户提供应用的入口链接。

第三方应用整合需实现以下几种方式的集成,包括单点登录集成、界面集成、数据集成、权限集成。

(1)  单点登录集成

现有应用系统的集成将实现统一身份管理与实现“SSO统一认证,提供统一的访问入口,确保访问的无缝性;提供统一、集中的身份信息管理,确保身份信息的完整性,一致性。

Ø  统一身份管理规范

所有登录用户均统一存储和管理,并保持唯一性、标准性。

所有教职工的登录帐号由管理员统一创建获得,其他属性遵循教职工数据标准;

所有第三方系统的用户帐号需采用统一的登录帐号(如果是现有系统整合,则必须保证进行彻底的数据整理,保证采用统一帐户)并通过共享数据中心保持和单点登录系统的一致性,第三方系统不需要保存密码。

Ø  统一认证规范

单点登录作为各个应用系统的统一登录入口,当输入某个应用系统地址,重定向到统一认证地址上,身份认证通过后,然后再转回该应用系统,此时点击其他应用系统地址就可以直接进入。

用户访问第三方系统时,都直接重定向到单点登录中心,进行登录验证,主要流程如下:

1)如果是初次登录或超时,则单点登录中心要求用户输入用户登录名和密码,用户信息在数据库中被认证,如果正确则直接返回刚才要求访问的地址,如果不正确,则不允许访问第三方系统。

2)如果用户请求中已经包含了合法的单点登录认证key,则直接返回用户要求访问的地址。

为了实现统一认证,在第三方系统中将安装统一认证过滤器,它配置在第三方系的web描述文件中,负责检查、过滤由单点登录中心制定并下发的认证、授权策略。用户对服务器的所有访问都必须经过过滤器的处理后方可得到执行。

第三方系统对原有登录模块进行改造,使用从单点登录中心获得的用户登录名,然后根据系统自身的权限设置进行后续操作;保证在具体应用系统中体现单点登录的效果。

(2)  界面集成

按照平台的整体风格,结合信息门户风格,设计个人门户、应用系统方面的界面规范,方便所有系统整合。所有被整合的应用均按照界面整合标准的要求,进行操作界面的修改和调整,建立平台的统一展现风格,实现展现层的整合;

(3)  数据集成

第三方应用系统采用的数据编码完全满足数据标准建设的相关内容;

第三方应用系统需要进行共享的数据内容,包括数据标准的有关元数据标准中的必要信息。

对于第三方应用系统数据内容的信息交换,能满足数据交换的标准和信息交换接口标准类型。

基于SOA架构的信息服务整合,是实现信息数据整合的重要手段。基于Web服务实现不同系统之间的业务交互,利用ESB的相关功能实现信息服务的发现、注册、使用和管理 。

ü  实现从各个业务数据库中实时(或准实时)和定期地抽取数据到共享数据库中;

ü  实现各个业务数据库与共享数据库数据的实时(或准实时)和定期同步;

ü  可以支持从各种异构的数据库系统和文件系统中抽取数据;

ü  支持数据转换与清洗,把不规范的数据转换为规范化的数据;

ü  可以保证数据的准确性与一致性,保证数据的安全;

ü  可以支持日志功能,记录数据抽取与同步的运行与异常日志,以便于跟踪;

ü  可以支持异常处理和恢复机制,出现异常或者操作失败时,自动进行恢复或通过设定的方式通知管理员,并记录日志;

(4)  权限集成

整合后第三方应用系统不再保留原功能权限管理功能,而是由统一授权管理中心进行实现。