【文章內(nèi)容簡介】 （ 2） 系統(tǒng)性：將選定的事物、概念的屬性或特征按一定排列順序予以系 統(tǒng)化，按事物的內(nèi)在聯(lián)系合理分類 , 尋求系統(tǒng)整體結(jié)構(gòu)合理的科學(xué)分類體系。 （ 3） 可擴延性：通常設(shè)置收容類目，以便保證增加新的事物或概念時，不至于打亂已建立的分類體系；同時，也為在本分類體系上進行延拓細化創(chuàng)造條件。 （ 4） 兼容性： 能與已有的國際、國家或部門的相關(guān)信息分類標準相協(xié)調(diào)。 （ 5） 綜合實用性：分類要從系統(tǒng)工程角度出發(fā)，把局部問題放在系統(tǒng)整體中處理，達到系統(tǒng)最優(yōu)；即在滿足系統(tǒng)總要求前提下，盡量滿足各局部的實際需要。 19 統(tǒng)一身份認證 平 臺 身份認證系統(tǒng)將是數(shù)字化校園的重要組成部分，為各應(yīng)用系統(tǒng)提供集中的身份認證服務(wù) ，提高數(shù)字化校園應(yīng)用系統(tǒng)的安全性。通過指定相應(yīng)的集中認證技術(shù)規(guī)范，提供統(tǒng)一的應(yīng)用系統(tǒng)用戶管理接口，最終實現(xiàn)所有新建系統(tǒng)用戶認證的統(tǒng)一集中化管理，做到真正意義的集中認證。該系統(tǒng)為數(shù)字化校園的所有用戶提供統(tǒng)一的身份確認與權(quán)限交付。用戶通過統(tǒng)一信息門戶實現(xiàn)單點登錄，整體上避免重復(fù)投資。 建設(shè)重點包括三個方面： 用戶資料的集中存儲和管理 、 用戶身份的集中驗證 、 訪問權(quán)限的集中控制和管理 。具體包括目錄服務(wù)、認證服務(wù)、單點登錄服務(wù)、角色管理、授權(quán)管理、應(yīng)用認證接口包、數(shù)據(jù)維護與日志管理等。在性能上要考慮傳輸安全性、數(shù)據(jù)安全性 、高可靠性、系統(tǒng)容錯性、可審計性，具有良好的可擴展性。 1）建設(shè)目標 建設(shè)以目錄服務(wù)和認證服務(wù)為基礎(chǔ)的統(tǒng)一用戶管理、授權(quán)管理和身份認證體系，將用戶信息統(tǒng)一存儲，進行身份認證和應(yīng)用訪問控制，規(guī)范應(yīng)用系統(tǒng)的用戶認證方式。滿足用戶在數(shù)字化校園中的授權(quán)需求。提高應(yīng)用系統(tǒng)的安全性和用戶使用的方便性，實現(xiàn)全部應(yīng)用的單點登錄。即用戶經(jīng)統(tǒng)一應(yīng)用門戶登錄后，從一個功能進入到另外一個功能時，系統(tǒng)平臺依據(jù)用戶的角色與權(quán)限，完成對用戶的一次性身份認證，提供該用戶相應(yīng)認證信息和和基于其權(quán)限的功能模塊和工具。學(xué)校工作人員由于進行了調(diào)動 、調(diào)級、調(diào)職等，或者學(xué)校發(fā)生了體制改革、組織機構(gòu)變動，引起了戶的身份和權(quán)限變動，這些變更情況能夠?qū)崟r反映在認證系統(tǒng)中，用戶的身份和權(quán)限在各系統(tǒng)之間應(yīng)該協(xié)調(diào)同步，從而在各個應(yīng)用系統(tǒng)的認證中體現(xiàn)出來。建設(shè)多樣化的認證方式，滿足不同業(yè)務(wù)不同安全級別的要求，減少應(yīng)用系統(tǒng)的開發(fā)和維護成本。要求郵件、 VPN 等使用外網(wǎng)單獨認證。 用戶認證數(shù)據(jù)要求與學(xué)校的實名上網(wǎng)等服務(wù)器對接，要求認證系統(tǒng)提供數(shù)據(jù)庫支持?？紤]到校友系統(tǒng)的應(yīng)用，認證用戶數(shù)要支持 10 萬以上用戶數(shù)。 20 2）建設(shè)內(nèi)容與功能需求 （ 1）身份認證服務(wù) 身份認證是本平臺 的核心功能之一。主要完成對用戶接入信息系統(tǒng)前，進行統(tǒng)一的身份確認。根據(jù)不同的安全級別的要求，身份認證提供多種不同等級的認證方法 ，包括用戶 /密碼、校園卡 /密碼、數(shù)字證書、支持與其他 CA 認證系統(tǒng)建立交叉認證機制，實現(xiàn)有效集成。 提供跨服務(wù)器及業(yè)務(wù)應(yīng)用的身份認證服務(wù)。身份認證支持多種認證方式：支持基于認證接口、認證代理和 LDAP 認證等多種認證集成模式。認證接口服務(wù)支持多種語言平臺，包括 C（ C++）、 JAVA、 PHP 和 COM等，以利于解決采用各種開發(fā)平臺的應(yīng)用系統(tǒng)認證問題。要具備管理會話功能，能夠?qū)ι矸菡J證單點登錄的 查找和刪除，支持對會話的配額限制功能。 （ 2）目錄服務(wù) 目錄服務(wù)是統(tǒng)一身份認證平臺的基礎(chǔ)。目錄服務(wù)以層次結(jié)構(gòu)，面向?qū)ο蟮臄?shù)據(jù)庫的方式集中管理用戶信息，保證數(shù)據(jù)的一致性和完整性，為數(shù)字化校園各類應(yīng)用提供用戶信息的共享。要求符合 LDAP v3 版本標準。支持目錄數(shù)據(jù)的多主復(fù)制，能夠在多個目錄服務(wù)器之間進行實時數(shù)據(jù)同步。本次招投標要求投標方提供目錄服務(wù)開發(fā)源代碼和相關(guān)技術(shù)文檔。 （ 3） Web 訪問控制 單點登陸服務(wù)：提供 WEBSSO（ Single Sign On）服務(wù)，用戶只需要登錄一次就可以訪問所有相互信任的應(yīng) 用系統(tǒng)。包括可以將這次主要的登錄映射到其他應(yīng)用中，用于同一個用戶的登錄的機制。符合 SAML 規(guī)范，利于各系統(tǒng)間無縫集成。 （ 4）負載均衡 提供大并發(fā)訪問下的高可用性，實現(xiàn)多機負載均衡的能力，提高可靠性和硬件設(shè)備的使用率。 （ 5）用戶管理 管理數(shù)字化校園中的用戶信息，保證用戶的安全登錄信息實現(xiàn)不可逆存儲。管理方式多樣方便，支持用戶信息的同步采集、界面管理和批量管理。 （ 6）權(quán)限管理和角色管理 21 平臺的管理與維護采取分級模型支持多級的管理；采取分級授權(quán)，可以根據(jù)業(yè)務(wù)的需要靈活制定安全策略控制授權(quán)，以及靈活的基于用戶 組的權(quán)限管理模型。 角色權(quán)限管理要能靈活定義角色之間的繼承、相容和互斥關(guān)系；在訪問控制策略上，用戶可以定制不同粗細粒度的安全規(guī)則。 （ 7）身份審核 對于組織機構(gòu)的變動、角色的變動以及權(quán)限變動進行審核，實現(xiàn)真正的實體組織授權(quán)，避免管理員權(quán)限最大化，支持實體化真實授權(quán)模型。 （ 8）數(shù)據(jù)維護 提供工具進行用戶、用組和權(quán)限等數(shù)據(jù)的批量導(dǎo)入和導(dǎo)出。導(dǎo)入導(dǎo)出工具需要支持學(xué)校自主定制開發(fā)，并免費提供相應(yīng)開發(fā)平臺。用戶基本信息應(yīng)與人事管理系統(tǒng)關(guān)聯(lián)，實現(xiàn)自動更新。提供相應(yīng)的綜合查詢功能，能夠完成批量用戶密碼初始化。密碼修改功 能要短信平臺聯(lián)動，即用戶可以預(yù)先將手機號碼保存在系統(tǒng)中，當(dāng)密碼忘記時，可以通過系統(tǒng)發(fā)送初始密碼給手機，讓用戶自行修改密碼，減輕管理員的工作量。 （ 9）日志管理 能詳細記錄對用戶的信息的操作情況。用戶登錄應(yīng)用系統(tǒng)后對系統(tǒng)資源的所有訪問都記入日志，以便事后對用戶操作進行審計，建立完善的事后追溯機制。 3）性能要求 （ 1）傳輸安全性：要求系統(tǒng)對用戶登錄信息進行加密傳輸，保證數(shù)據(jù)能在客戶端與單點登錄服務(wù)器之間、 WEB 代理與單點登錄服務(wù)器之間進行安全通信，保證數(shù)據(jù)傳輸?shù)陌踩裕袠朔綉?yīng)能保證所采用的加密技術(shù)不可逆。 （ 2）數(shù)據(jù)安全性：用戶登錄數(shù)據(jù)采用密碼技術(shù)進行保護，保證用戶登錄數(shù)據(jù)不能被篡改。 （ 3）高可靠性：采用合適的保護策略，保證系統(tǒng)的可靠性。 （ 4）系統(tǒng)容錯性：由于此平臺是整個?數(shù)字化校園?建設(shè)的基礎(chǔ)平臺，系統(tǒng)必須具備高度的容錯性。系統(tǒng)具有自我監(jiān)控機制，出現(xiàn)故障時可以自 22 動重啟，保證系統(tǒng)的正常運行，并通知管理人員。 （ 5）可審計性：對用戶進行資源訪問情況要進行記錄，保證對用戶訪問的可審計。 （ 6）高性能：平臺至少要能支持 1000 用戶并發(fā)登錄， 10000 用戶同時在線使用。單次認證的時間要求少于 5 秒。 （ 7）良好的可 擴展性：系統(tǒng)要能支持以后的平滑升級。 統(tǒng)一信息門戶平臺 該平臺位于數(shù)字化校園體系結(jié)構(gòu)中的最上層，實現(xiàn)數(shù)字化校園各應(yīng)用系統(tǒng)與用戶的人機交互服務(wù)平臺， 是數(shù)字化校園的信息集中展示 的窗口。 統(tǒng)一信息門戶平臺需將數(shù)字化校園的信息和應(yīng)用資源有機整合成一個統(tǒng)一的 WEB 頁面，用戶 只要擁有一個 帳 號，就能訪問到權(quán)限范圍內(nèi)的所有資源。同時， 門戶平臺要提供個性化信息服務(wù)，信息的內(nèi)容和形式可以定制， 不同的用戶可以根據(jù)自己喜好來定制信息 和 服務(wù) 內(nèi)容 ，個性 化 設(shè)置自己的界面風(fēng)格 ，用戶可以享受到數(shù)字化校園所提供的個性化信息服務(wù)。 1） 建設(shè)目標 （ 1）統(tǒng)一信息門戶平臺的建設(shè)，要提供符合通用國際標準的、可持續(xù)升級的門戶框架。 （ 2）要提供豐富的集成手段用于完成對現(xiàn)有不同應(yīng)用系統(tǒng)的界面集成。 （ 3）提供二次開發(fā)的導(dǎo)入、導(dǎo)出開發(fā)工具，實現(xiàn)客戶自定義應(yīng)用的改造。 （ 4）需提供統(tǒng)一的信息發(fā)布模式，規(guī)范信息服務(wù)、提高發(fā)布效益；提供全校性信息發(fā)布流程，為全校通知、公告、大事提供標準的信息發(fā)布體制。 （ 5）建構(gòu)基于校園網(wǎng)異構(gòu)應(yīng)用系統(tǒng)的綜合信息門戶；對校園網(wǎng)內(nèi)的信息資源、應(yīng)用系統(tǒng)進行管理和整合；為校園網(wǎng)內(nèi)的用戶提供集成的、無縫的、安全的、個性化的資源訪問， 成為用戶訪問校園網(wǎng)資源的統(tǒng)一入口。 23 2）建設(shè)內(nèi)容與功能需求 本期建設(shè)的信息集成門戶，全面整合學(xué)校各院系、部處的網(wǎng)站信息與資源信息，為廣大師生、校友、社會人士提供個性化服務(wù)內(nèi)容。 （ 1）門戶安全管理 提供基本用戶類型權(quán)限管理；用戶組管理；管理、定義集成系統(tǒng)的安全信息。用戶根據(jù)權(quán)限分級訪問內(nèi)容，匿名用戶僅限于訪問門戶對外開放的信息。當(dāng)一個用戶生成的時候，可被賦予不同的用戶類型，并安排一套默認頁面。同一個用戶可能同時會包含多個用戶類型。一個用戶的用戶類型決定了他能訪問和使用哪些 Portlet 組件。在用戶配置自己的 頁面的時候，系統(tǒng)應(yīng)把有對應(yīng)用戶類型權(quán)限訪問的 Portlet 組件顯示出來供用戶選擇。 （ 2）組件管理 支持面板 Portlet 布局控制、菜單布局控制管理；客戶端管理、 Skin 外觀管理、錯誤鏈接管理、頁面定義管理、 Porlet 索引管理器。支持 IFrame Portlet、 URL 集成，全面符合 JSR168 管理規(guī)范。 （ 3）學(xué)校主頁與各級主頁定制與管理 建立基于分級管理的學(xué)校主頁及其管理平臺，可根據(jù)用戶需求靈活定制學(xué)校主頁欄目，并配置欄目內(nèi)容維護管理權(quán)限。 建立基于模板的二級網(wǎng)站生成平臺，用戶可方便地定制生成建立在學(xué) 校主頁下的二級網(wǎng)站以及維護管理。 支持創(chuàng)建管理自定義二級學(xué)院及多機構(gòu)門戶，配置機構(gòu)主頁訪問的短名稱、配置機構(gòu) ID；生成機構(gòu)訪問導(dǎo)航。 （ 4）面板管理 Portlet 菜單及頻道欄目面板自定義布局；個性化組件配置角色、權(quán)限、外殼管理。 （ 5）門戶配置管理 多機構(gòu)信息門戶提供圖形化的門戶配置管理工具，讓門戶的管理員、個人用戶通過瀏覽器即可對門戶進行配置，包括門戶首頁 Top 區(qū)域登陸前后的配置（基本顯示內(nèi)容、頁面顏色、字體大小等風(fēng)格顯示）、校內(nèi)訪問地址的配置、用戶登錄事件的配置等。且可對門戶的界面進行相關(guān)的配置，包括 界面模板管理和菜單管理。 24 界面模板管理：模板是一組預(yù)先的定義好的門戶樣式的集合，門戶管理員可以為不同類型的門戶用戶，例如教師、本科生、研究生、臨時人員等，設(shè)置不同的模板類型。這樣不同身份的用戶登錄后即可看到不同樣式的個人工作區(qū)、單位工作區(qū)。 門戶菜單管理：對某個模板中的菜單進行管理、包括新建菜單、刪除菜單、菜單大小、顯示方式的設(shè)置、菜單顯示順序的調(diào)整等。 （ 6）個性化界面管理 信息門戶服務(wù)是個性化的、基于角色的應(yīng)用系統(tǒng)。個人用戶可以對自己所登錄的門戶界面進行個性化設(shè)置，包括定制其權(quán)限范圍內(nèi)的各種信息，選擇頁 面風(fēng)格，調(diào)整菜單的順序，提供兩列、三列及拖拽式布局、自由布局器功能。要求提供圖形化設(shè)置工具，操作方便。 （ 7）信息發(fā)布管理 信息發(fā)布審核：對發(fā)布的信息進行審核，可以定義審批的流程。按照信息發(fā)布的流程，對信息編輯、上報、審批、修改、發(fā)布等環(huán)節(jié)進行管理，由不同權(quán)限的管理者進行審核。信息發(fā)布管理能夠支持跨機構(gòu)互相引用、推薦、個性化配置。 頻道及欄目管理：頻道及欄目的新建、修改配置、刪除、頻道權(quán)限設(shè)置、引用頻道，定義頻道及二級子欄目的顯示風(fēng)格（支持圖文列表、滾動等多風(fēng)格）；定義快捷訪問屬性；頻道內(nèi)容撰寫、審批、發(fā)布 、上報授權(quán)；可支持欄目索引及內(nèi)容模版的選擇。 信息管理：創(chuàng)建 Web 內(nèi)容，編輯、發(fā)布、移動內(nèi)容所屬欄目，動態(tài)生成靜態(tài)頁面。支持根據(jù)個人訂閱管理。信息發(fā)布功能需經(jīng)門戶 Porlet 封裝，可在門戶中發(fā)布調(diào)用，并能夠配置不同用戶類型對 Porlet 的訪問及控制權(quán)限。 信息板：提供 WEB 編輯器，撰寫、編輯信息版，可以創(chuàng)建自定義非結(jié)構(gòu)數(shù)據(jù)的信息與內(nèi)容；其內(nèi)容與頻道欄目緊密集成，可直接從信息列表中選擇內(nèi)容發(fā)布。 地址列表：添加地址頻道、地址列表內(nèi)容、地址；配置地址列表方式（圖形、文字、下拉列表）等多種組合方式。 調(diào)查問卷：支 持調(diào)查問卷欄目、調(diào)查內(nèi)容維護管理與統(tǒng)計查詢。 25 文檔管理：提供文件對外下載發(fā)布管理，包括創(chuàng)建目錄、文檔管理支持三級訪問權(quán)限（ Guest，門戶內(nèi)用戶，辦公室成員）。要具備內(nèi)容歸檔管理的功能，根據(jù)所發(fā)布內(nèi)容的特征，由系統(tǒng)自動進行歸檔存儲，并提供歸檔內(nèi)容的查詢和統(tǒng)計。 訪問統(tǒng)計：支持本機構(gòu)、所有機構(gòu)、自定義配置業(yè)務(wù)系統(tǒng)監(jiān)控的訪問統(tǒng)計。帶有最近訪問、地址分析、來訪葉面、訪問次數(shù)、訪問者操作系統(tǒng)、在線用戶分析、并配有日 /月 /年 /歷史報表查詢；能夠按時段分析訪問流量、每天訪問總數(shù)、國內(nèi)外訪問人數(shù)等。為了解學(xué)校信息化資源利 用狀況，要求系統(tǒng)能夠?qū)﹂T戶的訪問情況作監(jiān)控，管理員可以捕獲來訪者 IP、地域、地址、操作系統(tǒng)等等信息，并可以按年、月、日、周生成報表，并按照具體日期進行歷史日期查詢。 用戶反饋管理：用戶反饋欄目、反饋內(nèi)容的管理與維護。每個單位可獨立配置各自需要的反饋欄目及內(nèi)容。 空間分配：支持本機構(gòu)、下屬機構(gòu)、全局的空間使用情況監(jiān)管，為各單位信息發(fā)布生成的靜態(tài)內(nèi)容、上傳文檔提供空間監(jiān)管及限制。 搜索引擎：提供高效中英文索引機制；中 /英文全文檢索智能分詞機制；帶有多語言轉(zhuǎn)換器；提供所搜引擎功能擴展及 OEM 集成開發(fā) SDK 接口；提 供完整的 web 方式的全文檢索及索引管理系統(tǒng)；帶