1引言

　　为落实《国家中长期教育改革和发展规划纲要》及《教育信息化十年发展规划（2011-2020年）》，进一步规范信息系统建设，加强信息系统开发过程的管理和控制、提高信息系统开发的质量和水平，促进现有信息系统整合，实现信息交换与共享，制定本规范。

　　本规范立足于学校信息化建设总体规划的层面，分别提出新建信息系统和现有信息系统的建设与集成规范。针对新建的信息系统，从管理、架构、技术、安全、信息标准、集成等方面进行规范；对现有或在建的信息系统，在尽可能减少对正常运行的服务和系统产生影响的前提下，只对系统中《信息编码标准》的使用及与基础平台的集成进行规范。

　　本规范由信息化领导小组办公室制订与解释。

2适用范围

　　1、本规范是信息系统的新建、改建，以及各信息系统与数字化校园基础平台进行集成的指导性文件。

　　2、本规范规定西昌学院新建系统的建设规范；规定信息系统与数字化校园基础平台的数据集成、身份认证集成及门户界面集成的技术要求。

　　3、本规范适用于所有新建和现有信息系统。

　　4、本规范的主要使用者为信息系统规划人员、设计人员、开发人员和各部门系统管理员。

3使用说明

3.1按使用角色

　　1、信息系统规划人员

　　在信息系统规划过程中，除充分考虑信息系统应具备的业务功能外，还应参照本规范，对信息系统建设涉及到的管理、技术、安全、集成等方面进行要求（参阅本规范第二部分的“4西昌学院信息系统建设总体框架”章节），如有特殊要求可以另行补充。

　　对信息系统（包括现有信息系统）中使用的信息编码标准，请参阅本规范“第一部分 信息编码标准”和第二部分的“4.2.8 信息编码标准”章节。

　　对信息系统（包括现有信息系统）与数字化校园基础平台的集成，请参阅本规范第二部分的“5 信息系统集成规范”章节。

　　2、信息系统设计、开发人员

　　在信息系统设计和开发过程中，应充分考虑本规范第二部分5.2章节的要求，并参照本规范第二部分“5 信息系统集成规范”的要求设计和开发集成接口。

　　信息系统使用初始数据时，应参照“第一部分 信息编码标准”。

　　3、各部门系统管理员

　　在信息系统建设过程中应参照本规范“第一部分 信息编码标准”和第二部分的“4.2.8 信息编码标准”章节进行数据准备、配合测试。

　　信息系统使用过程中，应遵照本规范“第一部分 信息编码标准”及相关信息编码管理与基础数据共享管理规定进行信息编码的维护和使用，与有关部门协同进行数据共享和交换。

3.2按信息系统建设情况

　　1、新建信息系统

　　新建信息系统应严格按照本规范第二部分“5西昌学院信息系统建设总体框架”、“5 信息系统集成规范”执行。信息标准编码要符合“第一部分 信息编码标准”规定，并须按照学校信息编码管理与基础数据共享管理规定执行。

　　在信息系统招标过程中，应明确要求信息系统开发厂商响应本规范，并应在信息系统建设合同中明确提出按本规范要求进行系统建设、集成与实施。

　　2、现有信息系统

　　信息系统使用的信息编码应参照本规范第二部分的“4.2.8 信息编码标准”章节和“第一部分 信息编码标准”，并按照学校信息编码管理与基础数据共享管理规定执行。

　　参照本规范第二部分的“5 信息系统集成规范”进行信息系统与数字化校园基础平台的集成。

4术语和名词解释

　　1．数字化校园基础平台

　　指数字化校园的三个基础平台，包括共享数据平台、统一身份认证平台、信息服务门户平台。

　　共享数据平台是收集、处理、存放学校的各类共享数据，并为全校提供信息共享服务的平台。用于在各个信息系统间进行数据交流。

　　统一身份认证平台提供方便、安全的身份认证服务，用于解决不同的信息系统用户名和口令不统一的问题。用户只要用一个用户名和口令即可访问校园网上有权使用的信息系统，实现单点登录（SSO）。

　　信息门户平台汇集校内各种资源、应用、信息，把分散于各个信息系统的不同功能和服务有效地组织起来，为各类用户提供一个统一的信息服务入口。

　　2．信息系统集成

　　指信息系统间采用统一的标准、规范和编码，实现各信息系统信息共享，进而可实现相关用户系统间的交互。信息系统集成以标准化为基础，分为数据集成、身份认证集成、门户界面集成。

　　3．新建系统

　　指新建或者改建的信息系统。

　　4．现有信息系统

　　指已经正常使用的信息系统。

　　5．关系型数据库

　　关系数据库，是建立在关系模型基础上的数据库，借助于集合代数等数学概念和方法来处理数据库中的数据。现实世界中的各种实体以及实体之间的各种联系均用关系模型来表示。

　　主流关系型数据库如：Oracle，DB2，微软的SQL Server等。

　　6．B/S架构

　　B/S结构（Browser/Server，浏览器/服务器模式），是WEB兴起后的一种网络结构模式，WEB浏览器是客户端最主要的应用软件。这种模式统一了客户端，将系统功能实现的核心部分集中到服务器上，简化了系统的开发、维护和使用。

　　7．WebService

　　WebService是由信息系统发布、完成其特定需求的在线应用服务，其他信息系统能够通过Internet来访问并使用这项在线服务。

　　8．XML

　　可扩展标记语言 (Extensible Markup Language, XML) ，用于标记电子文件使其具有结构性的标记语言，可以用来标记数据、定义数据类型，是一种允许用户对自己的标记语言进行定义的源语言。 XML非常适合 Web 传输，提供统一的方法来描述和交换独立于应用程序或供应商的结构化数据。

　　9．API

　　API（Application Programming Interface,应用程序编程接口）是一些预先定义的函数，目的是提供应用程序与开发人员基于某软件或硬件的以访问一组例程的能力，而又无需访问源码，或理解内部工作机制的细节。

　　10．ODI工具

　　Oracle Data Integrator（ODI）：是Oracle公司的一个ETL数据集成工具，可以方便的实现将多种数据源中的数据迁移、转换到不同种类的目标中。

　　11．数据清洗

　　这里指把不符合信息编码标准要求的数据替换成信息编码标准规定的内容。

　　12．数据抽取

　　指共享数据平台从信息系统的后台数据库中获取共享的数据。

　　13．数据下发

　　指信息系统从共享数据平台获取需要的数据。

　　14．数据的产生者

　　指该信息产生的源头，负责该信息的更新维护，也可叫作权威数据源。

　　15．单点登录（SSO）

　　单点登录（Single Sign On），简称为 SSO，是目前比较流行的业务整合解决方案之一。SSO的定义是在多个信息系统中，用户只需要登录一次就可以访问所有相互信任的系统。

5西昌学院信息系统建设总体框架

5.1信息系统建设总体框架

　　根据学校信息化建设规划，构建以共享数据平台、统一身份认证平台、信息门户平台为核心的数字化校园基础平台。建立硬件网络、操作系统，制订信息系统运行环境、架构、技术、安全等方面的规范，以规范信息系统设计、开发及建设过程，实现学校范围内的资源整合、信息共享。通过将新建及现有信息系统与数字化校园基础平台进行集成，实现本系统与数字化校园基础平台之间的数据交换，通过单点登录（SSO），实现集成的信息门户服务，方便师生工作、学习与生活。

5.2系统建设技术规范

5.2.1服务器管理

　　为规范管理、保证运行安全，新建信息系统使用的服务器应统一部署到学校中心机房，集中统一管理，不得使用普通PC机代替服务器。

5.2.2操作系统及访问

　　信息系统的服务端（WEB服务器、应用服务器、数据库服务器）须安装运行在主流Windows或者Linux、Unix等操作系统上。

　　服务器操作系统的口令应只掌握在管理员手中，密码必须保证一定强度并定期更改。信息系统建设阶段，为便于调试，可对系统建设厂商开放管理用户口令，建设完成后应立即更改。

　　所有服务器应按照要求安装杀毒软件，并定时升级病毒库，及时升级操作系统补丁。

　　所有服务器不得安装、运行与信息系统无关的软件、伺服程序等；不得上传危害系统及网络安全的恶意代码和病毒，如因管理不当给学校硬件网络及信息服务带来危害，相关管理员应承担责任。

5.2.3系统部署

　　在条件允许的情况下，信息系统应通过双机热备、负载均衡等方式来提高信息系统服务的可靠性。

　　在条件允许的情况下，信息系统部署应遵循服务器专机专用的原则，把数据库、应用服务、WEB服务分别部署在不同的服务器或虚拟机上。

5.2.4数据库使用

　　信息系统应使用主流关系型数据库。

　　数据库系统管理员帐号只能由数据库管理员掌握，密码应保证一定强度并定期更改。信息系统使用的数据库帐号不应分配数据库管理员权限。

　　信息系统在进行数据集成时若创建用于集成的数据库用户，应按照数据库管理要求设定用户权限，保障数据安全。

5.2.5系统架构

　　信息系统应采用B/S三层架构，即WEB服务器、应用服务器、数据库服务器，以方便用户使用并提高系统安全性。

5.2.6网络访问

　　信息系统提供WEB服务只能默认通过80端口。在实际使用中如需开放其它端口，须书面向信息化领导小组办公室提出申请，并说明开放的端口及用途。

5.2.7接口要求

　　信息系统应根据学校管理需要提供如系统管理、查询、关键业务等功能的WebService接口。信息系统间的数据交换支持标准XML格式数据。

5.2.8信息编码标准

　　新建信息系统所使用的信息编码应严格遵循本规范“第一部分 信息编码标准”的要求，并按照学校信息编码管理与基础数据共享管理规定执行。

　　现有信息系统使用的信息编码如不符合本规范“第一部分 信息编码标准”，原则上应逐步通过数据清洗的方法将原有编码替换成学校信息标准编码；如因技术或其它原因无法进行数据清洗，则需通过建立应用系统和学校信息标准编码间的对照表来实现学校信息标准编码的应用。

　　如果信息系统是数据的产生者，则应及时准确地维护好相关信息，通过后续的数据集成同步到数字化校园共享数据平台，供其它信息系统使用。所产生数据中涉及到的信息编码，应与“第一部分 信息编码标准”保持一致。规范中的信息编码不能满足信息系统业务需要时，应遵照学校信息编码管理与基础数据共享管理规定进行维护。

　　如果信息系统是数据的使用者，则应向信息化领导小组办公室提出使用数据申请，通过数据集成定时从数字化校园共享数据平台获取需要使用的信息，在使用过程中不得随意修改数据，如发现数据不正确或者不能符合使用要求，应联系信息化领导小组办公室协商解决。

　　信息系统若使用的信息编码未包含在“第一部分 信息编码标准”中，此类信息编码可由信息系统自行维护；如果该信息编码也需要在校内进行共享交换，则应按照学校信息编码管理与基础数据共享管理规定，与信息化领导小组办公室协商对信息编码进行补充维护。

5.2.9权限管理

　　信息系统的权限管理应采用角色、权限组的权限管理方式，通过配置用户角色赋予用户相应的权限，便于用户及权限的管理。

5.2.10系统备份

　　信息系统应定期进行运行程序备份和数据备份，以便当意外情况发生时可以及时恢复。

5.2.11系统安全

　　代码安全：信息系统开发过程中应充分测试，避免因程序代码的问题形成信息系统安全漏洞。

　　数据传输安全：在信息系统间进行数据传输时，不得以明文传输用户名、口令等敏感信息，需要进行加密处理。

　　追溯机制：建立系统用户访问及操作日志，便于事后追溯。

5.2.12隐私保护

　　信息系统应充分保护个人信息，除因业务需要面向管理人员开发的统计查询功能外，不得公开涉及用户个人隐私的信息。个人隐私包括生活情况、生理心理情况、资产情况、通讯信息、社会关系等公民不愿公开的不涉及公共利益和社会利益的个人信息。

5.2.13扩展性

　　信息系统须具有良好的扩展性。要求模块间应相对独立、接口清晰，内部的业务流程升级和改造与其它模块无关，能根据信息系统的类型提供必要的二次开发API以及详细的使用说明和开发示例。

5.2.14技术支持及售后

　　信息系统开发厂商应提供完善的技术支持和售后服务响应机制，以应对使用过程中的突发问题或因学校业务发展带来的需求变动。

　　因学校信息化建设长期发展的需要，信息系统和数字化校园基础平台的集成（数据集成、统一身份认证集成、信息门户集成）会不断补充完善，这是一个持续、迭代的过程，所以信息系统开发厂商应在合同中承诺在学校需要的时候提供集成支持。

5.2.15移动应用建设技术规范

5.2.15.1移动应用总体技术要求

　　随着移动智能终端的迅速发展，学校对移动应用的建设需求也越来越迫切。在通用的信息系统技术规范的基础上，移动应用平台及开发需满足以下几点要求：

　　统一平台：在学校层面构建统一安全的移动应用平台，各类移动应用都基于该移动应用平台来建设。

　　统一接入：各运营商、学校各部门统一接入到移动应用平台，采用统一的业务接口标准，可以支持包括CDMA1X/EV-DO、GSM/GPRS/WCDMA/TD-SCDMA、WLAN等多种无线接入技术，方便运营管理。

　　统一安全架构：移动应用平台提供统一的安全架构，实现业务和数据信息的真实性、机密性和完整性、可核查性、可控性、可用性，有效地保障移动应用的安全。

　　统一认证：用户接入由移动应用平台进行统一的用户管理、开通注册、认证和授权。

　　统一终端选择：移动应用平台采用统一的终端选择原则，便于迅速、便捷、灵活地使用移动业务。

5.2.15.2接口规范

　　各移动应用和移动应用平台应该是松耦合结构，平台通过开放的功能集成接口为应用提供集成的多功能支撑和管理数据支撑，各移动应用通过平台提供的标准接口进行管理、展现。

　　移动应用平台提供的WebService接口应该具备灵活配置的能力。

　　移动应用平台应能够支持文件接口、API接口等多种接口方式。

　　移动应用平台与源数据的对接应该是安全、高效并且可扩展的。

5.2.15.3可靠性与性能要求

　　可靠性：移动应用平台应具有良好的容错机制，当平台某一模块发生错误时不影响整个业务运行；采用成熟的技术和设备，关键部分有冗余、备份措施；关键设备应采用热备份和负载均衡等方式保证应用正常运行；系统峰值负荷不超过70%；核心设备不能有单点故障。

　　性能要求：客户端WAP、Web页面并行处理应至少支持300用户在线进行并行操作，300用户并发情况下系统响应时间应小于5秒；CPU忙时利用率平均应不超过70%；从数据库备份到存储设备和从存储设备恢复到数据库的时间应不超过4小时。

5.2.15.4安全要求

　　移动应用平台要提供相应的安全性保障，实现业务和数据信息的真实性、保密性、完整性、可核查性、可控性、可用性。

　　移动应用平台应具备以下安全功能：接入的CA身份认证，链路安全，平台边界防护，移动应用系统安全、终端安全防护等。

5.2.15.5终端支持要求

　　移动应用平台应广泛支持主流移动智能终端，包括iOS、Android系统的富客户端应用程序，也应支持Windows Phone、Symbian、Palm WebOS等系统以WEB浏览的方式来获取平台的服务。

　　可接收移动智能终端的版本检查请求，根据移动智能终端类型检测最新版本，实现客户端软件自动升级。

　　移动应用平台应支持内嵌功能，例如内嵌既有的iOS、Android应用，有利于各类应用的融合，可以使移动智能终端的应用更为丰富。

5.2.15.6移动应用开发要求　

　　移动应用平台应开放服务端开发常用的组件工具类包、客户端开发包等，并提供详细的开发手册。移动应用开发者可直接使用，尽量避免重新进行底层开发，降低开发难度同时保证稳定高效。

　　移动应用平台架构设计上应做好数据库操作代码的封装，在满足业务功能需要的前提下优先考虑将数据库操作的相关代码封装成存储过程、函数等可重用的数据对象。

　　移动应用程序代码中使用数据库连接时，应及时关闭数据库连接。

　　为了提高应用访问速度可采用生成静态页面等技术，具体情况应根据移动应用的实际情况而定。

5.3信息系统集成技术层次

　　信息系统集成共包括四个层次，分别是数据集成、业务集成、身份认证集成、门户应用集成。

5.3.1数据集成

　　数据集成是解决信息系统底层的数据同步性、时效性问题，其目的是解决数据来源的唯一性、真实性、时点性（数据是动态的，不同时点的数据有不同的状态）。数据集成依据各个信息系统管理的范围，结合数据的基本特点对数据进行组织；定义统一的标准格式，采用适用的交换技术实现数据的交换和共享。

5.3.2业务集成

　　业务集成实现业务逻辑在多个信息系统之间的流转。技术实现并不是唯一有效的手段，通过规范管理要素是更好的选择，即统一业务逻辑。

5.3.3身份认证集成

　　身份认证集成主要为各信息系统提供集中的身份认证服务。用户可使用一个身份帐号访问所有信息系统，实现单点登录，避免用户记忆多个帐号、密码，提高信息化管理系统的安全性。通过指定相应的认证技术规范，提供丰富的信息系统认证接口，最终实现所有信息系统用户认证的集中统一管理。

5.3.4门户应用集成

　　门户应用集成实现现有的业务系统、数据资源的整合，实现信息的合理聚集；通过实现统一的用户和统一的访问入口来访问门户平台中整合的相关信息资源，真正实现资源的有效利用，更大发挥现有资源的使用价值。

6西昌学院信息系统集成规范

6.1数据集成

　　数据集成是指信息系统与数字化校园共享数据平台之间进行的周期性数据交互，包括数据从各信息系统到共享数据平台的同步以及数据从共享数据平台到各信息系统的同步两个方面。

　　信息系统应使用主流关系型数据库，非关系型数据的集成需另行处理。

　　信息系统在进行数据集成时若创建用于集成的数据库用户，应按照数据库管理要求设定用户权限，保障数据安全。

6.1.1从信息系统到共享数据平台（数据抽取）

6.1.1.1数据抽取方式

　　（1）集成工具通过具有可读权限的数据库用户访问数据库表、视图读取数据进行抽取。

　　（2）信息系统提供WebService接口以获取标准XML数据进行抽取。

　　建议采用集成工具（ODI）直接访问数据库表、视图进行数据抽取的方式。

6.1.1.2实施步骤

　　（1）确定数据抽取可行性及抽取方式；

　　（2）信息系统所属部门配合数字化校园项目组搜集本系统可共享的数据的需求；

　　（3）在信息系统数据库中创建用于集成的帐号，配置好相应的权限，并按照需求创建表或视图，让该集成帐号可以访问；

　　（4）数字化校园共享数据平台通过ODI工具访问信息系统数据库进行数据集成抽取操作；

　　（5）数据抽取测试。

6.1.1.3信息系统开发厂商需做的工作

　　（1）配合讨论确认数据集成方案；

　　（2）配合进行数据集成实施，创建数据库帐号，创建表或视图，提供数据结构等；

　　（3）数据集成测试。

6.1.2从共享数据平台到信息系统（数据下发）

6.1.2.1数据下发方式

　　（1）信息系统直接访问方式：在共享数据平台的数据库创建查询帐号，并生成信息系统需要的数据视图，信息系统通过访问该查询帐号获取数据。

　　（2）写临时表方式：共享数据平台通过ODI工具把信息系统需要的数据写入到信息系统数据库临时表中。信息系统需要创建有操作权限的帐号，并创建保存需要获取的数据的临时表。信息系统从临时表中获取数据，处理后维护进信息系统正式数据中。

6.1.2.2实施步骤

　　（1）确定数据下发可行性及下发方式；

　　（2）信息系统所属部门配合数字化校园项目组搜集本系统需要从共享数据平台获取的数据的需求；

　　（3）如采用信息系统直接访问的下发方式，则共享数据平台创建供信息系统访问的查询帐号，并生成信息系统需要的数据的视图；如采用写临时表的下发方式，则信息系统须在数据库中创建用于集成的帐号，配置好相应的权限，并按照需求创建临时表。数字化校园共享数据平台通过ODI工具访问信息系统数据库，把信息系统需要的数据写到相应的临时表中；

　　（4）信息系统通过开发系统功能或其它方式处理从共享数据平台或临时表中获取到的数据，并维护进信息系统正式数据中；

　　（5）数据下发测试。

6.1.2.3信息系统开发厂商需做的工作

　　（1）配合讨论确认数据集成方案；

　　（2）进行数据集成实施。创建需要的数据库帐号，创建临时表，进行必要的数据处理功能开发等；

　　（3）数据集成测试。

6.2身份认证集成

　　身份认证集成是指信息系统通过数字化校园统一身份认证平台进行身份认证，以实现用户在信息系统间实现单点登录（SSO）。

　　不符合身份认证集成前提条件，或无法按照本规范要求进行身份认证集成的信息系统，需与信息化领导小组办公室另行协商集成方案。

6.2.1信息系统进行身份认证集成的前提条件

　　（1）信息系统采用B/S架构；

　　（2）尽量配置域名访问信息系统，单独ip访问收到ip变更的影响不能单点登录；

　　（3）数字化校园平台中的教职工、学生唯一身份识别码为职工号和学号。新建系统须以职工号和学号作为登录帐号；现有信息系统需要维护系统中用户信息与一卡通卡号的对应，并能以一卡通卡号登录系统。

　　（4）提供集成开发支持。

6.2.2身份认证集成方式

　　数字化校园统一身份认证平台提供多种认证接口，包括.NET、JAVA、PHP等接口，还提供扩展的WebAgent代理认证接口。

　　信息系统可根据本信息系统所适用的开发语言、运行环境等参照选择接口类型，确定身份认证系统集成的方式。如以上接口都不能满足，则需要与信息化领导小组办公室另行协商，采取其它可行的集成方式。

　　信息化领导小组办公室根据确认的集成方式提供信息系统集成所需的接口及示例。信息系统参照接口示例，根据学校集成要求或沟通确认的集成方案，修改系统的认证模块代码，实现统一身份认证集成。

6.2.3集成实施步骤

　　（1）信息系统所属部门与信息化领导小组办公室沟通确认集成方式及要求；

　　（2）信息系统所属部门从信息化领导小组办公室获取接口及示例，对信息系统进行开发修改；

　　（3）通过数据同步或者维护帐号对应关系等方法，保证信息系统中用户帐号与数字化校园平台中用户帐号一致；

　　（4）集成测试。

6.2.4信息系统开发厂商需做的工作

　　（1）配合讨论确认身份认证集成方式；

　　（2）进行身份认证集成开发实施工作；

　　（3）身份认证集成测试。

6.3门户应用集成

　　信息系统在实现统一身份认证集成的基础上，按学校对信息门户展现内容的规划要求，提供用于在信息门户中展现的URL，包括信息系统整体访问URL或系统中某些业务功能模块的URL，业务功能模块URL单独使用时也应符合身份认证集成规范。

6.3.1集成方式

　　信息系统应参照“身份认证集成”部分的说明实现认证集成。

　　信息系统提供实现认证集成后的页面URL，通过信息门户中的集成模块配置到信息门户中展现。

　　如果学校需要在信息门户中展现信息系统的某个单独的功能页面，则该功能页面URL也须实现身份认证集成。

6.3.2实施步骤

　　（1）沟通确认信息系统需要在信息门户中展现的内容；

　　（2）信息系统开发厂商实现身份认证集成；

　　（3）信息系统开发厂商提供实现身份认证集成的访问页面URL（或者单独功能页面的URL），由管理员配置到信息门户中展现。

6.3.3信息系统开发厂商需做的工作

　　（1）配合沟通信息系统在信息门户中的集成方式和展现内容；

　　（2）提供集成所需的页面URL，进行必要的开发修改工作；

　　（3）集成测试。