第1章 项目概述
1.1 项目背景
XX市育才教育集团。在市委、市政府和县委县政府等各级领导的正确领导下,全体育才人经过不懈的努力,在短短的十几年里就取得了骄人的荣誉和业绩,备受社会各界的热情关注,现已发展成为集高中、初中、小学、幼儿园于一体的民办教育集团。
在民办教育促进法的沐浴下,育才教育集团始终坚持:以人为本,依法治校,质量立校,科研强校,和谐兴校,具有自己特色的办学路子,取得了丰硕的成果。从建校伊始的简陋教室,到今天明亮高耸的教学楼,舒适温馨的学生公寓,宽敞整洁的学生餐厅,设施齐备的医务室、洗澡间、电话亭、洗衣房、文化用品超市等,无一不透射着全心全意为学生服务的永恒宗旨。建有标准化的图书馆、体育馆、游泳馆,有线电视、计算机、多媒体教室、校园网络及校讯通更为育才的校园文化和信息化发展奠定了坚实的基础。
【学校规模】:
目前,XX市育才教育集团占地总面积达到260000平方米,建筑面积192000平方米。所辖三个校区,两所幼儿园、三所小学、三所初中、两所高中,学生15200余名,教职员工 1421人。专任教师800多名,具有本科学历的教师达到100%以上。
【教育教学成绩】
十几年来,育才集团始终贯彻国家教育方针,培养学生全面发展,取得优异成绩,有周宏伟等四名同学考入清华大学;有上千名学生考入全国重点大学,升学率达100%。十几年来,育才教育集团培养了合格的初中毕业生15000多人,合格的高中毕业生16000多人。
从培养学生综合素质上看,育才培养了大量品学兼优的人才,有1000多人成为入党积极分子,有60多名学生光荣加入了中国共产党。
【帮困扶贫落实在学校日常工作中】
集团各学校对每个学生都建立了生活档案,记录了学生的家庭状况、经济条件、学习情况、以及健康情况,有的放矢的加强对学生的人文关怀。学校还把注意力放在经济薄弱的弱势群体的关心上,有许多来自农村和偏远山区的学生,家庭经济特别困难,有的学生父母有病,没有经济来源;有的学生是孤儿,无依无靠;有的学生身患重病,没钱医治等等,育才教育集团为了这些孩子能有书读,为了解决他们家庭经济负担,防止他们辍学而减轻对社会的压力,先后资助数千名特困生,对品学兼优的特困学生实行优惠政策:可享受“四免”(即免学费、伙食费、住宿费、书本费)和“三免”(即免学费、免伙食费、免住宿费)。有的从小学起就开始减免他们学费、伙食费、住宿费以及书本费等,帮困扶贫资金每年合计达数百万元。学校还设立了特等奖学金,对学习特别优秀的学生给予高额奖学金,最高额达2万余元。
育才教育集团每年都有500多名社会下岗职工在这里就业,不仅解决了下岗职工再就业问题,也为国家节约大量资金,帮助政府缓解了就业压力。
【取得的荣誉】
1998年育才学校被辽宁省教育厅评为“省社会力量办学先进单位” 、2002年被评为“省民办先进办学单位” 、2004年被评为“省民办中小学3A级学校” 、被辽宁省民办教育协会命名为“民办教育优秀学校” 、2004年11月,省人大,省教育厅领导来校视察,2010年、2011年均被省民办教育学会授予“民办优秀学校”称号。2004年12月和2014年9月分别两次省民办教育协会组织全省民办学校到育才教育集团参观学习,同时育才集团介绍办学经验,现场会在育才教育集团召开。
今后的工作目标是:全面提升教师素质,开拓办学思路、转变教育观念、提高办学实践能力,力争把XX市育才教育集团打造成让政府放心、社会认可、家长满意、学生喜欢的学校,做精、做优、做强、集团教育。
1.2 设计依据
Ø 中国共产党十八大报告。
Ø 中共中央、国务院印发《国家中长期教育改革和发展规划纲要(2010-2020)》。
Ø 国务院办公厅《关于印发国家中长期教育改革和发展规划纲要(2010—2020年)任务分工的通知》。
Ø 刘延东同志在全国教育信息化工作电视电话会议上的讲话。
Ø 教育部关于印发《国家教育事业发展第十二个五年规划》的通知(教发〔2012〕9号)。
Ø 教育部关于印发《教育信息化十年发展规划(2011-2020年)》的通知(教技〔2012〕5号)。
Ø 教育部办公厅关于印发《2014年教育信息化工作要点》的通知(教技[2014]1号)。
Ø 教育部、发改委、财政部、工信部、科技部、人社部、质检总局、广电总局、国防科工局印发《教育部等九部门关于加快推进教育信息化当前几项重点工作的通知》(教技〔2012〕13号)。
Ø 教育部关于全面启动实施“教学点数字双语教育资源全覆盖”项目的通知(教技〔2012〕74号)。
Ø 教育部《关于报送教育信息化“三通工程”进度安排的紧急通知》(教技〔2012〕53号)。
Ø 现场勘察。
Ø 校方提供的图纸
Ø 国家及行业标准
1.3 建设内容说明
序号 | 系统 | 建设内容说明 | 备注 |
1 | 校园一卡通系统 | 除了提供传统的门禁、考勤、消费等功能外,与移动公司MAS、4G等业务结合,提供平安短信、平安校车、亲情视频等扩展应用。 | |
2 | 数据中心机房和云计算平台 | 承载云计算平台相关硬件设施,承载智慧教育项目涉及的所有应用系统,可托管在移动公司机房,节约投资成本 |
序号 | 系统 | 建设内容说明 | 备注 |
1 | 多媒体教室 | 教室内配置多媒体讲台、多媒体一体机、计算机、视频展示台等。 | |
2 | 远程培训系统 | 为集团内部教师培训提供平台, | |
3 | 移动公司和教育 | 和教育是一个优质教育资源共享平台,也是老师、学生、家长交流平台。除了提供家校互动功能外,还为用户提供各种学科资源、视频资源、名校资源、增值应用、教育资讯等优质资源。同时推出的网页版与客户端版帮助老师、学生、家长随时随地沟通共享资源。 |
第2章 项目建设内容
2.1.1.1 系统概述
校园一卡通是智慧校园的重要组成部分,是贯穿智慧校园中各种应用的一条主线。通过校园一卡通系统与智慧校园系统的整合,学生和教职员工可以通过一张卡片,方便的使用校内的各种应用,而学校也可以通过一卡通系统,实现更加方便、高效的校园管理。一卡通系统可应用于校园各种信息化应用中:作为身份识别的手段,他可以用于机房管理、考勤、门禁、查询成绩、借阅图书、学校医务所挂号、查询网上资料、车辆管理等功能;作为电子交易的手段,他可将现金集中于学校财务部门,进行集中管理,持卡人可以使用卡片进行校园内的小额消费,公共机房上机收费,缴纳住宿费、学杂费、以及其他各种为学生和教师服务的项目;作为金融服务手段,他可以通过校园一卡通平台将银行金融服务延伸,覆盖整个校园,提供查询银行信息(余额、明细),交纳大额费用等等服务;同时,校园一卡通系统的建设为实现师生员工的基本信息查询(如课程成绩、学籍学分、教学情况)、管理信息查询、后勤信息查询、消费统计分析查询,以及领导宏观管理的综合查询等,提供了一个统一、简便、快捷的平台,进而可以与学校的各种管理信息系统无缝连接,作为信息化系统的纽带促进“智慧校园”的建设。
据前期调研得知,育才集团目前已有一套校园一卡通系统。但该系统只有就餐消费、开水供应、澡堂收费等简单功能,这些功能不能满足当前学校对于智慧校园一卡通多样化功能的需求。亟须根据智慧校园建设的具体需求,对学校原有一卡通系统进行升级,使其改造成为真正意义上的校园一卡通。从而加强学校规范化管理,方便全校师生学习、工作和生活,利用智能卡的强大功能,在银行网络系统、校园网的支持下,建设以一卡通应用系统为基础和纽带的智慧校园应用平台。
系统需求分析
Ø 适应学校办学规模不断发展和办学体制创新的需要。
Ø 卡使用安全、可靠、不易损坏。
Ø 软硬件系统安全、可靠,功能完善、扩展性强,运转快捷、准确,简便易用。
Ø 各信息系统的处理流程与学校管理模式相适应,自动化水平高。
Ø 卡各项管理行为与学校相关业务联动。
Ø 通过数据交换中心,实现学校各信息系统协调运转。
功能需求分析
Ø 校园管理:利用实现身份认证、门禁、考勤、签到、图书借阅、车辆管理等功能。即以一卡代多卡,体现以人为本的校园管理。
Ø 数据共享:建立公共数据库和相关信息系统,实现数据共享,使各信息系统自动协调运转,适应学校有关业务的需求,使一卡通达全校,提高学校信息化水平。
Ø 消费结算:以校园卡为电子钱包,在校内消费点消费。与银行系统相连,自助转帐。取代现金,使收费规范、透明。
Ø 信息查询:利用各种自助服务系统,实现通过查询学习、工作、消费等个人信息和相关管理信息,使成为个性化信息媒体。
2.1.1.2 系统架构
一卡通专网通常基于校园网进行建设,采用在原有校园网络基础上划分虚拟网(VLAN)供一卡通系统专用。一卡通系统相关的服务器和终端设备都接入一卡通专用虚拟网,虚拟网与校园网隔离,除了能够有效保护一卡通专网安全以外,还可以提高网络的利用效率。
2.1.1.3 系统平台
育才集团智慧校园建设应首先提出总体解决方案,确定智慧校园的体系结构,制定智慧校园的信息标准,以及各系统之间的接口标准。
校园一卡通建设,必须满足智慧校园的整体规划设计,一卡通的设计要建设在校园网上,不仅具备消费结算功能,而且还要具备身份识别和校务管理功能。正确处理好一卡通与其他已有的信息系统(如图书管理系统、人事、财务、教务等管理系统)的对接和系统数据共享问题是“数据集中”和“应用集成”的关键。
本次一卡通系统将基于智慧校园整体规划进行建设,是智慧校园的有机组成部分,可以被看作是同OA办公系统、教务管理系统一样的智慧校园组成部分,通过第三方接口,实现与图书馆、财务、教务等系统之间的数据同步和交换。
一卡通系统是智慧校园的标志性工程和前导性工程,可以为新建的和原有的各种信息化应用系统综合提供统一的身份识别与统一的电子支付服务,凡是需要确认身份及付费的各种应用都可以用一卡通来实现。
本次设计对学工系统、图书管理系统等有交易信息产生的接入系统,产生的用户交易信息通过共享数据集成的方式,融合到对应的接入系统中,一卡通将卡信息同步到对接系统,对接系统通过卡片完成身份认证,完成交易后将交易信息数据同步到校园一卡通系统中完成入账和结算。
2.1.1.4 应用分析
校园一卡通系统是集身份识别、校内消费、校务管理、金融服务等为一体的新型智慧校园核心应用系统,它不仅是智慧校园的重要的有机组成部分之一,是智慧校园的基础工程,是教育信息化建设的基础支撑点之一,也是学校“智慧校园”建设的切入点。
“校园一卡通”系统的目的是实现“一卡在手,走遍校园,一卡通用,一卡多用”。校园卡可以作为借书卡、上机卡、就餐卡、医疗收费卡、洗澡卡、购物卡、门禁卡、存车卡、乘车卡等。
2.1.1.4.1 平安短信
目前,校园网的建成投入使用与射频卡技术的日渐成熟,为学校建立校园一卡通系统的建立提供了技术保障,校园内实现一卡通管理已成为校园管理发展的必然趋势。
本次未育才集团规划的智慧校园就是针对中小学的管理设计的,该系统综合先进的射频IC卡技术及网络通讯技术使一卡通及一卡多用管理得以实现,系统支持将学生打卡信息实时发送到学生家长手机中。
后期可与智慧学习平台结合,将学生学习情况(如错题分析、学情分析等)一并发送给家长(短信或APP形式)。
为了实现学生/教师出入考勤管理,考勤数据采集、数据统计和信息查询过程自动化,实现人事、行政等管理自动化而研制的校园卫士,校园卫士采用了目前接触式射频卡技术。
当学生/老师出入校门或者班级的时候,将电子校徽在读卡器的读卡位置刷卡,校园卫士摄像机将会自动拍照,并将打卡数据以及拍照上传到智慧校园一卡通平台,家长或者学校就可以接收到学生的打卡短信,并可通过手机客户端直接查看到打卡人的样子,确保是持卡人与打卡人一致。
2.1.1.4.2 平安校车
校车视频监控系统通过车载音视频摄录装置将车内、外监控信息实时摄录存储于车载存储设备中。司机可通过车载终端的报警装置实现数据主动上传(通过无线网络)。同时,监控中心也可根据需要利用无线网络对特定校车进行音视频、图片上传以及学生的上下车打卡平安短信。当发生紧急事件时,可为现场指挥提供音视频及图片。另外,车载存储设备中存储的音视频数据能方便的通过相关设备下载。
2.1.1.4.3 亲情监控
我们建议在以下监控场所:教室、校门口、食堂等位置安装摄像头,方便家长们查看并了解孩子的生活情况,家长们的焦虑心情能够有效得到调节,并有利于校方对老师和课堂教育的教学管理。在这些位置安装了摄像头后,当需要调用查看孩子的出入情况时候,可以通过NVR直接查看学生进出学校的情况,家长们与孩子们之间的距离缩短了,老师们也会尽量照顾和教育好孩子,大大的提高了孩子的安全。
监控视频会一直录像取证,一旦有突发性情况出现,都可以立刻调取录像进行回放,这样对老师们的监管力度就更加大了,能更好地提升校方的品牌形象。
2.1.1.4.4 一卡通管理系统
(1) 消费管理系统:餐饮及商务消费管理系统,应用于校园食堂、超市、场馆等支付场所,主要包括领取补助、转账、充值、消费扣款、数据采集、报表统计等功能,有完善的卡信息、记录信息及日志信息,实现师生在校内的餐饮及各类商务电子支付。
(2) 水控管理系统:分体水控管理系统主要应用于校园开水房、淋浴间等水控应用场所,通过智能水控器,实现计时/流量收费管理。用水量和经济利益密切挂钩,多用多付费少用少付费,用经济杠杆调节浪费。
包括校园水控设备的管理、黑名单管理、数据采集等。
(3) 电控管理系统:包括校园电控设备的管理、购电卡充值、换卡、退卡、换表等。
(4) WEB查询子系统:通过校园网络查询个人的消费记录、考勤信息、上机信息、图书馆借阅信息,以及修改密码、挂失卡片等操作。
(5) 自助服务子系统:通常安装在触摸屏查询设备上,可查询各项信息、修改密码、挂失卡片等的操作。
(6) 考勤管理子系统:完成班次设置、人员排班、请假登记等操作,以及考勤结果的分析统计和导出报表等。
(7) 门禁管理子系统:与门禁机通讯,控制和管理门禁机,可实时监控和查询门禁包括出入信息。
(8) 机房管理子系统:可完成上机排课、自动分配机号、课时内免费、课时外收费等管理,和一卡通系统数据库联机,将收费数据实时写入数据库。
(9) 图书馆管理子系统: 管理员可进行相关的图书入库、查询、统计、打印报表等管理;用户持卡片办理借书、还书;罚款或赔偿收费通过卡片扣取,收费数据直接写入数据库。
2.1.1.5 可预见的实施效果
总体效果
(1) 建立一体化的“一卡通”平台
在校园网上建成校园一卡通系统的骨干平台,作为校园一卡通系统、学校其它管理系统和未来智慧校园统一的数据中心、认证中心和管理中心。与校园一卡通系统紧密相关的商务管理、财务结算、金融服务等应用系统子系都建立在该平台下。学校相关其它信息管理系统统一与平台有机衔接,以后随学校规模的扩大和卡片功能的增加只需随时增加子系统,不需再对平台进行扩充。
持卡人的基本信息资料和电子钱包都作为统一的公用数据在全网上实时共享,做到一人一卡、一人一户,所有数据的变更都做到全网立即生效。
(2) 实现“一卡在手,走遍校园”
消费“一卡通”:以机代币,在各校区内凡涉及到现金使用的任何一个消费网点,校园一卡通的电子钱包都能通用,所有商户单位不论其性质与规模都可以授权代理收款、结算,商户资金可以实时到账。如:缴费、食堂、超市、餐饮、小卖部、浴室、洗衣、上机收费管理、医院的挂号收费管理、电控管理、水控管理。
身份识别“一卡通”:以机代证,用校园一卡通取代各个校区以前的各种证卡(包括学生证、工作证、借书证/卡、医疗证、出入证等),实现身份识别“一卡通”。所有用证、用卡的信息管理系统,其身份识别部分都联通校园一卡通系统,实现身份识别的数据共享。
与各子系统的挂接与捆绑:与后勤物流系统、OA系统平稳过渡,减少投资;智慧校园建设中的其他MIS系统、OA系统,可以通过平台预留的扩展接口实现与校园一卡通系统的数据共享;实现与图书馆管理系统、电子阅览室等系统的对接连通,做到系统软件直接扣除罚款的紧耦合连接;实现与教务管理系统的对接,实现学生按学期的学籍注册管理,按学分选课、实现教学资源、生活设施的使用控制;安全保卫的巡更管理等第三方子系统,都可以实现与“一卡通”系统的挂接与捆绑。
自助业务:借助银行提供的自助终端设备,持卡人可实现银行卡的自助业务;建立统一的校园自助服务系统,包括电话服务,网上查询,网上缴费、触摸屏查询,领导查询等等,为持卡人提供24小时全天候服务;通过和运营商进行对接,向发送相关指令进行空中开户、空中充值、空中领取补助等,使用户体验更完善。
(3) 实现财务统一管理
通过建设校园一卡通结算中心,对各校区、商户、持卡人实现统一结算和管理。建设校园一卡通“财务结算中心”,该结算中心与校园一卡通系统的财务管理部分一体化设计,为学校财务管理提供更加科学、有效、安全、便捷的理财服务,实现各校区的财务统管。
对于学校
(1) 集成大量一卡通相关子系统,方便实现一卡通系统统一管理
一卡通系统本身集成了多种子系统,可以实现在同一平台下对于多种一卡通应用进行统一的管理,实现以下目标:
Ø 方便人事数据管理,各一卡通相关系统均使用统一的人事数据,各一卡通子系统操作人员无需分别录入和管理人事数据,同时,也彻底消灭了信息孤岛
Ø 方便卡务管理,各一卡通系统可实现统一的卡务管理,一处发卡充值多处使用,一处挂失多处生效,降低各应用系统操作人员的操作难度,避免操作冲突
Ø 具备严格、详细的权限管理,可以方便的实现权限管理
Ø 在权限许可的情况下,可以对于各子系统数据进行统一的查询、分析,方便管理者进行决策
Ø 统一操作界面,统一操作模式,方便培训
(2) 与校园其他应用系统进行对接,方便各部门管理
一般情况下,校园内还存在包括教务软件、图书管理软件等各种应用系统。系统实施后,上述系统中的部分系统将会与一卡通系统对接,从而用卡片将各种应用串联起来,形成一个整体。
Ø 各系统可以实现统一的人事数据和卡务数据管理,各部门不必再分别管理人事数据,学生可以仅在一个部门修改人事数据,各系统均会自动更新数据
Ø 实现教务系统、财务系统、宿管系统等各种对接过的系统方便的使用卡片做身份识别,比如使用校园卡进行学籍注册、缴费、物品领用等
Ø 实现图书系统使用校园卡进行图书借阅,超期罚款,无需再发放单独的图书证
Ø 实现上网管理系统等收费系统使用校园卡进行缴费
Ø 各系统可共享一卡通系统中各种自助服务资源
(3) 与智慧校园相关平台进行对接,实现校园各信息系统统一管理
校园一卡通系统未来将与智慧校园相关平台进行对接,从而实现以一卡通系统为基础的真正意义上的智慧校园。
(4) 提供方便的维护方式,提升维护水平
Ø 提供监控平台、监控服务等程序,方便运维人员进行运维管理
Ø 提供丰富的维护资料,提供消息的培训
(5) 提供多种自助服务手段,降低人力资源成本,提升服务质量
一卡通系统中包含有各种自助服务类系统,通过自助服务类系统的使用,可以有效降低人力资源投入,同时,也能有效提高服务质量,让用户得到更好的服务。
Ø 金融类自助服务
可以允许用户通过银行圈存、现金、支付宝等方式进行自助充值
Ø 信息类自助服务
可以允许用户通过WEB、自助服务终端、圈存系统等多种自助服务系统进行自助的个人信息查询、交易信息查询、其他应用系统信息查询
Ø 其他卡务操作类自助服务
可以允许用户进行自助挂失、解挂、补助领取等操作
(6) 提供安全、便捷的对账方式和结算方式,降低管理成本,为用户提供更好的服务
Ø 可对于就餐、用水、用电等各种收费进行统一管理
Ø 可以对于承包商分结算账户进行管理
Ø 支持各账户间的划转
(7) 提供良好的可扩展性,降低未来系统建设投入成本
Ø 提供第三方接入平台,为未来的系统对接系统提供良好的基础
Ø 主要终端机具采用TCP/IP通信协议,均支持硬件程序在线升级,方便扩展升级
对于持卡人
(1) 体验更丰富的功能
Ø 多种系统、功能丰富
一卡通系统除了提供常见的消费、水控、门禁、考勤、车辆管理等功能外,还可以提供图书借阅、机房使用、场馆预约、学籍注册等多种功能
Ø 系统融合、信息共享
可以通过一卡通系统、智慧校园平台,对于各应用系统进行统一的信息查询和功能操作
(2) 使用更加方便
Ø 一卡多用、一卡通用
卡片可以在多种系统间通用,持卡人一次办卡,即可在校园各子系统中使用
Ø 自助操作,无需排队
持卡人可以通过卡片进行自助的充值、挂失、信息查询等操作
其中,借助与银行系统对接的圈存系统可以实现使用银行卡自助充值
借助现金自助服务系统可以实现使用现金进行自助的充值
借助校园支付宝平台可以实现基于阿里支付宝系统的自助充值
1) 系统密钥体系
在云平台中,为不同的需要设计了两种不同的密钥体系:金融级(PSAM卡加密)密钥系统,准金融级(用户自定义密码基础下的一卡一密等)密钥系统
2) 准金融级密钥系统
准金融级加密方案中系统母卡、系统子卡、数据库存储密钥信息;在读写卡、设备通讯时验证密钥。该体系采用了业内主流的“一卡一密”技术,
3) 金融级密钥系统
金融级加密方案中采用动态多级分散密钥,通过PSAM卡记录密钥;在读写卡、设备通讯时通过PSAM卡做密钥验证。
(1) 数据多重备份
为了确保交易数据存储的安全,POS机内应包含大容量的非易失性存储空间,以存储足够的脱机交易记录和黑名单。在内部的数据存储器空闲存储空间不多时,POS机应自动产生提示信息。在内部的数据存储器已经存满时,POS机应自动报警并拒绝消费,保证已经存储的数据的安全可靠。
云平台中,终端机具与系统的数据交互通过前置服务系统实现。为了防止终端机具或服务器出现数据丢失,前置服务系统会在入库的同时,在本地以数据库形式进行数据备份。数据存储时,会以多种形式进行存储。同时,为了防止数据被篡改,在存储时,每条数据中均增加了数字签名。
前置服务系统获取数据后,会将数据实时传输到云平台中心数据库和租户数据库(客户数据库)。在租户数据库中,数据会以多种形式在不同的表中存储。同时,为了防止数据被篡改,在存储时,每条数据中均增加了数字签名。
此外,考虑到数据的重要性,在项目实施过程中,工程实施人员会在服务器上的数据库管理系统中配置备份策略,实现对于多级数据库服务器数据的定期备份。项目实施完成后,工程实施人员会建议系统管理维护人员定期对于备份数据进行光盘备份或磁带备份,必要时,考虑建立异地容灾系统。
(2) 数据多重校验
为防止数据在传输、存储过程中发生改变,系统设计了多重校验机制。
首先,POS机存储脱机交易流水信息时,在每条记录中添加校验和,以确保数据存储的正确性。其次,前置系统在数据入库前,会计算校验和及TAC码,以确保数据的合法性。在数据进入主库前还在在前置服务器数据库中再次存储,并添加数字签名,防止被篡改。最后,在数据进入主库和租户数据库后,数据会被再次检验,并加签名存储。
(3) 数据加密
核心数据在每处存储和传输时,都会以密文形式进行,以确保数据内容不会被非法获知。核心数据包括交易数据、机具操作数据、密码数据等等。
为确保数据的安全性,对于数据的加密是分多层次进行的。在存储加密方面,包含卡数据加密、机具数据加密以及数据库核心数据加密。在通信加密方面,包含卡片与终端机具的通信加密、终端机具与上位机程序的通信加密以及软件与软件间的通信数据加密。
针对CPU卡项目,为保证读卡机具与中心数据库服务器和应用系统服务器之间的数据通信安全,读卡机具在系统中进行注册,系统在发行PSAM卡时可将读卡机具名称或商户名称进行授权信息绑定,未注册的机具、商户、卡片无法使用。对于从POS机中采集的交易流水,为防止在传输过程中数据被篡改,应对所有交易流水加校验。如果系统发现交易流水被篡改,则可以重新采集所有数据,并从中过滤正常的数据。
每产生及上传一笔交易记录时,每笔记录中均采用16位CRC校验;在配置有PSAM卡的POS中,每产生及上传一笔交易记录时,每笔记录中均通过PSAM卡加密校验,然后上传至数据通讯网关,数据通讯网关上传各应用服务器时需要通过金融数据加密机TAC校验,以确保采集到的每条交易记录的完整性和合法性。
1) 权限控制
在整个系统中,分为操作员分为3个层级,每个层级拥有自己的权限范围。一级,也就是最高级为平台操作员,拥有最高的权限,可以管理下面一个层级的管理员。第二个层级为客户管理员,拥有客户系统的最高操作权限,可以管理下面一级的客户操作员。客户操作员是操作员中的第三个层级,可以按设定的权限来操作自己所在单位的一卡通系统的部分功能。
客户操作员和平台操作员的权限设置类似于WINDOWS组策略的权限控制机制,可以设置多个不同的权限组,然后使用权限组来针对每个操作员进行细致的权限设置。在系统中,可以非常细致的设置每个操作员的权限。
2) 防篡改设计
由于系统涉及账务安全,所以采取了复杂的防篡改机制。具体来说,防篡改设计从两个方面进行考虑。一是终端机具以及系统内部存储的数据要防止被人为篡改,而是系统输出的报表要防止被非法篡改。
在报表防篡改方面,系统采用了类似税控系统的数字签名技术。在核心报表中,系统在输出报表的同时,会输出一个数字签名值。该值由报表中的核心数据经过MD5运算后,计算得来。如果有人人为扫描报表,并用PHOTOSHOP修改报表后,无法获知该如何修改数字签名值。相关人员只需将相关数值输入系统即可验证该报表数据是否有被篡改过,相关人员无法抵赖。
3) 日志记录
在整个系统中,具备包括操作日志和系统日志在内的详细的日志记录。其中,操作日志指操作员对于系统进行的系统登录、核心参数修改等操作的记录;系统日志是指系统运行过程中,自动进行的运行日志、错误日志等的日志记录。
各种日志均存储在数据库中,具有相关权限的操作员可以随时查询相关的操作日志。当系统出现故障时,系统维护人员可以通过查询系统日志判断故障点,迅速排除故障。
(1) 终端机具接入控制
终端机具在接入系统时,通过两方面进行接入安全性控制。一方面是卡片的读写,另一方面是终端机具与上位机程序的通信。
在卡片读写控制方面,依据使用的卡片的不同,终端机具在使用前,需先下载密钥计算参数或安装PSAM卡。如果未进行上述操作,终端机具将无法获知卡片密钥,从而也就无法读写卡片。
在终端机具与上位机程序的通信方面,一方面,终端机具可配置为需先签到才能使用,另一方面,终端机具记录交易记录时,会加上TAC码,系统会根据TAC码判断记录的合法性。
(2) 终端机具业务处理控制
智能卡终端机具在工作过程中,如果出现大量的并发操作,对于数据的安全将会造成很大的影响。为了确保数据的安全,我们在终端机具中采用了LINUX操作系统。在LINUX操作系统的保护下,终端机具可以很安全、很稳定的运行各种多线程程序。
(3) 终端机具数据存储
考虑到数据在终端机具中安全性,我们使用非挥发性的FLASH作为终端机具的记忆体。FLASH作为记忆体,掉电后数据不会丢失。一般情况下,数据可以在FLASH中保存10年以上。
另一方面,为了防止存储过程中发生错误,终端机具设计了备用存储器件,当FLASH出现损坏时,系统可以自动将数据暂时存储于备份存储器件上。
(4) 终端机具权限控制
终端机具可以设置为需要营业员卡才能操作。对于部分对于操作权限有较高要求的应用场景,可以很轻松的应对。客户系统操作员可以在系统中添加相应的营业员信息,并发放营业员卡。机具操作人员持营业员卡刷卡后,机具才能解除锁定状态。如果机具一段时间不使用,将再次自动进入锁定状态,无法使用。
网络隔离
为了确保系统的安全性,在系统部署过程中应该考虑进行网络隔离。具体说来要注意以下几个方面:
1) 终端机具接入方面
终端机具在接入系统时,应尽可能避免与其他和本系统无关的PC等设备共用网络。如果使用WIFI,则要考虑设置MAC访问限制。如果需要共用外网,应考虑尽可能设置VLAN,从而阻断其他人员非法侵入系统的可能性。
2) 平台服务器方面
平台中各数据库服务器不应直接接入外网。整个系统中,应由应用服务器、前置服务器等设备接入外网,然后通过这些服务器的另外一个网卡接入数据库服务器集群。如果条件许可,最好能在数据库服务器集群前在放置一台硬件防火墙。
接入控制
1) 终端机具接入控制
终端机具在接入网络时,要进行机具签到。对于不合法的设备,不允许接入系统。
2) 工作站接入控制
工作站在接入系统时,可以通过UKey进行接入控制,对于没有UKey的PC,系统可以不允许其接入。
3) 第三方系统接入控制
第三方系统使用综合接入平台进行系统接入时,系统会要求其提供用户名和密码,对于未能通过验证的第三方系统,不允许接入。
通信加密
1) 报文加密
为了防止数据在通信过程中被截取,我们对于报文本身进行加密,并添加校验码。在防止被破译的同时,也防止被干扰或被篡改。
2) 通信加密
对于使用WIFI接入的设备,设置通信加密。对于不知道SSID、加密模式及密码的设备,不允许其接入网络。对于接入的设备,进行数据加密传输。
防火墙策略
防火墙作为网络的第一道关卡,哪些流量运行通过防火墙,哪些访问需要阻挡,这大多都需要通过防火墙的策略来设置,因此防火墙的功能及安全程度很大程度上取决于防火墙的策略设置。
权限控制
1) 操作系统用户权限
为系统设置合理的操作员权限,尽可能不赋予超级管理员权限,防止操作系统的操作员在无意间破坏系统。
2) 数据库管理系统用户权限
为各种软件接入数据库设置合理的数据库操作员权限,尽可能不使用SA作为软件接入数据库的用户。限制操作系统操作员访问数据库管理系统,确保未被授权的人员无法操作数据库。
系统部署管理
1) 系统安装
操作系统的安装稳定是软件系统安全稳定运行的基石。所以,正确的安装操作系统是软件能否正常运转的关键之一。要做好操作系统安装工作,我们需要从以下方面努力:
Ø 尽可能使用正版系统
Ø 尽可能使用一块洁净的硬盘,安装系统前进行格式化操作,确保硬盘中没有残留的病毒和木门程序
Ø 使用正常的安装流程安装操作系统,安装完成后尽快安装所有升级补丁
2) 系统升级
计算机操作系统总是在不断完善中的,所以为了确保系统的安全性,应该定期为系统安装升级补丁。升级补丁安装的过程中要注意防止病毒侵入。
病毒防护
1) 杀毒软件的安装
总所周知,计算机病毒对系统安全性的影响是非常大的。所以,杀毒软件对于服务器来说非常重要。在服务器操作系统安装完成后,就应该立即安装杀毒软件。为了确保能及时查杀新的病毒,应及时对于杀毒软件进行升级,并定期对于计算机进行病毒扫描。
2) 病毒防护制度的建立
除了服务器外,接入系统的工作站中是否有病毒也威胁着系统的安全。应该建立起病毒防护制度,要求相关的所有人都按照制度操作计算机。不随意将未经杀毒的存储设备接入计算机,定期杀毒,从根本上杜绝病毒侵入的可能。
2.1.1.7 系统稳定性设计
双机热备特指基于高可用系统中的两台服务器的热备(或高可用),因两机高可用在国内使用较多,故得名双机热备,双机高可用按工作中的切换方式分为:主-备方式(Active-Standby方式)和双主机方式(Active-Active方式),主-备方式即指的是一台服务器处于某种业务的激活状态(即Active状态),另一台服务器处于该业务的备用状态(即Standby状态)。而双主机方式即指两种不同业务分别在两台服务器上互为主备状态(即Active-Standby和Standby-Active状态)。
在一卡通系统中使用双机热备能在一定程度上提升系统的稳定性,即使出现了服务器故障,也不会影响系统的运行。由于云平台服务的客户可能很多,所以,中心数据库服务器等设备就完全有必要考虑采用双机热备系统。
2.2.1 多媒体教室
在学校的教学过程中,课堂教学环节是学生接受系统教育最重要的一环,做好教学互动环节,是把握教学环节的质量,提高教学水平的关键。目前大部分学校现行的教学过程中,公共图书资源、传统的签到环节、疑问确认环节、提问互动环节、课堂小测试环节等都存在诸多问题,签到过程中,使用纸张签到,致使代签现象严重,结果不便于教师统计;提问互动环节和课堂小测试的环节中,教师给出简单选择后,学生举手或者口头回答,不能获得准确的统计数据,教师只能根据大体情况来判断是否进行教学,没有准确的数据,更不能考虑后期的数据挖掘和数据统计工作。
大部分学校现有的多媒体教室系统中,多以电子白板为主,对于教室中的其他设备,很少做到智能连接,本项目将对教学过程实现全面的智能化,建设交互式多媒体智能教室,全面提高教室中的物联度,以此提高学生、教师、教室的互联度,高质高量的完成教学任务。
2.2.1.2 系统功能
1、实际教学应用
Ø 数字黑板
书写板面可随意移动、无限扩大。
Ø 插入多媒体文件
可插入多媒体课件,方便资料的陈列和比较。
Ø 批注功能
添加手写批注,记录教学或讨论中的修改意见。
Ø 多种格式文件导出
交流讨论结果可导出成多种格式文件进行记录。
Ø 屏幕录制
录制屏幕书写过程及现场声音,存为教学资料。
2.2.2 远程培训系统
作为教学机构,以发展教育培养人才作为机构的发展的中心,在现代科技不断发展的趋势下,育才集团也应该不断引进先进的科技为教育的发展注入新鲜活力,通过现代成熟的远程多媒体视讯技术实现远程的,更大范围的教育和培训,帮助更多人实现接受教育的梦想。远程培训系统能够实现育才集团远程培训。
实时传输,通过视频和语音达到远程培训的目的。由于计算机硬件以及网络技术的高速发展,传统的通讯方式如电话、传真等由于无法达到“面对面”的沟通效果,不能满足人们日益增长的交流需求。远程培训系统是支持人们进行远距离实时信息交流、开展协同工作的应用系统。远程培训系统实时传输视频与音频信息,使协作成员可以远距离进行直观、真实的视频音频交流。另一方面,利用多媒体技术的支持,远程培训系统可以帮助使用者对工作中各种信息进行相应处理,如共享数据、共享应用程序等,从而构造一个多人共享的虚拟工作空间。
远程培训系统是一种现代化的办公系统,远程培训通过通信网络把两个或多个地点的多媒体培训终端连接起来,其间传送各种图像、语音和数据信号,使出席培训的用户有亲临现场的感觉。随着社会的发展,远程培训的应用越来越广泛,同时对其视频音频质量、实用性,易用性、安全性以及美观性的要求也越来越高。
本远程培训系统,主要分为2大平台:前台远程培训系统,后台管理系统。功能描述和使用手册将围绕这2大平台,具体功能模块如下:
一.前台远程培训平台
1、主持人和用户登陆功能
根据主持人和用户的账户号码来登陆远程培训系统。
2、视频音频功能
进入远程培训系统里直接就能使用视频,音频的功能。
¢ 视频窗口是动态添加的,可以支持多人同时在线视频。
¢ 视频传输清晰、稳定。
¢ 音频可以和视频一起传输。
¢ 系统支持多种音频采集设置,适应不同网络宽带的要求和音频的质量。
3、录制视频功能
用户可以把培训过程录制成视频,供培训结束后观看。
4、聊天窗口功能
系统在远程培训过程中提供聊天环境,具备群聊、私聊功能。
¢ 系统支持群聊和私聊(在成员列表中,选中你要私聊的成员打上钩后,就能和他私聊了)。
¢ 聊天窗口可以隐藏,更加人性化。
¢ 每次发送和接受消息时都有提示音和发出闪光。
5、人员列表功能
主窗体的人员列表中显示在线主持人与远程培训用户。
¢ 主持人可以在人员列表处直接设置培训的发言人。
¢ 主持人可以在人员列表处直接禁止某用户发言。
¢ 主持人可以在人员列表处直接将某用户移出培训系统。
6、电子白板功能
提供给远程培训用户更好的白板功能,允许绘制图形。
¢ 实现实时书写、绘制图形。
¢ 可以选择线条粗细和线条颜色。
¢ 有橡皮擦功能,和清空机制。
7、PPT演示功能
主持人上传文件并进行在线演示,其他培训用户协同浏览。
¢ 在“PPT演示”中主持培训的主持人可以上传PPT文件,上传成功后点击“打开PPT”按钮就可以在线打开已经上传好的PPT,然后就可以在线演示PPT文件。
¢ “PPT演示”中支持可以在演示中的图片上作批注。
8、影音中心功能
用户可以录制上传视频文件,用户可观看所有的视频。
¢ 在“影音中心”可以录制培训过程中的视频和音频。
¢ 在“影音中心”的列表中可以选择已经录制好的视频文件进行在线点播。
¢ 可以删除自己录制的视频文件。
9、共享文件功能
上传共享文件,利于用户共享和下载。
¢ 每个参加培训的用户都可以上传文件到服务器。
¢ 每个用户又都可以从服务器中下载其他人或者自己上传的文件,从而达到了文件的共享。
10、共享桌面功能
功能与视频相似,但不同的是该视频在其他用户中显示的是主持人计算机屏幕上的内容,这样可以使培训用户很清楚的了解到主持人电脑屏幕所做的工作。
二.后台管理平台
1、培训设置功能
管理培训的基本信息,包括对培训状态,培训模式,是否允许培训上传本地视频和共享文件等设置。
2、用户管理功能
用来添加管理用户、普通用户的管理功能,对用户的基本信息(密码、角色、是否允许上传本地视频)进行修改。
3、新闻、公告管理功能
新闻、公告管理主要是后台管理员对已经发布的新闻、系统公告进行内容上的修改、删除等操作,后台统一管理维护。发布新的新闻、系统公告,发布的内容将在系统的门户首页显示。
4、问题反馈功能
反馈信息中记录了用户在前台的“问题反馈”中所反馈的所有信息,后台管理员可以在此查看并对一些重要信息进行记录,也可以删除某条信息。
5、个人管理
修改后台管理员的登录密码。
2.2.3.1 系统概述
移动公司和教育系统是一个优质教育资源共享平台,也是老师、学生、家长交流平台。除了提供家校互动功能外,还为用户提供各种学科资源、视频资源、名校资源、增值应用、教育资讯等优质资源。同时推出的网页版与客户端版帮助老师、学生、家长随时随地沟通共享资源。
2.2.3.2 系统架构
2.2.3.3 系统功能
2.2.3.3.1 班级空间
该频道对应客户端的班级空间模块,左侧为我在该班级的情况、我的其他班级列表、系统公告;中间为互动发言区域;右侧为班级信息区域和班级成员。
2.2.3.3.2 资源中心
2.2.3.3.3 教辅中心
提供按照教材的章节目录筛选资源,给予用户查找与真实学习进度同步的资源搜索体验。
2.2.3.3.4 资源预览
提供doc文档的在线预览功能,让用户在下载前就可对资源的质量有所判断和预期。
2.2.3.3.5 名校试题
提供东北育才中学等本省各名牌中小学真题内容(*该部分页面设计稿还未完成,只有原型线框图)。
2.2.3.3.6 同步课堂
提供北京四中、101网校等著名互联网课堂的同步视频课程。
2.2.3.3.7 热门应用
接入名师组卷、周周练、点点通、数学加、快乐学堂、乐乐课堂、在线阅读、流利英语等8个应用。
2.2.3.3.8 积分商城
提供积分兑换服务,可兑换话费/流量等礼品。
2.2.3.3.9 互动专区
继续举办丰富多彩的营销活动回馈和教育用户。
2.2.3.3.10 手机客户端功能
1、家校互动
Ø 家校互动功能是软件的首页面,教师用户可在此页面发通知,作业,表现,进入课程表;
Ø 在首页可查看历史及最新对话的名称、预览内容和时间等;
Ø 新的消息,或其他模块有新的提醒,会以“红色圆点”进行提示;
2、发通知、发作业
Ø 老师可点击发通知或发作业后选择班级或多个联系人发送消息;
Ø 老师发送成功的通知或作业会显示在下方的已发送列表中
Ø 家长点击通知或作业后,可查看最新的通知和历史通知;
Ø 所有的通知或作业会按照时间的历史顺序排列
3、日常表现
Ø 老师可点击日常表现后选择班级或个人发现表现和评语;
Ø 老师选择好或还需努力的图标可弹出相应的模板。
Ø 老师可选择模板也可自己填写评语;
Ø 家长或老师均可查看已发表现和收到的表现;
4、通讯录
Ø 无须自己手动添加,老师和家长登录后就有好友关系,老师可以看到所有学生的家长,家长可以看到孩子所有的老师;
Ø 家长可以看到同班家长列表和任课老师列表
Ø 老师可以按照班级查看通讯录成员;
Ø 用户可以查看保存到通讯录的“群发通知”信息。
5、通讯录隐私保护
Ø 用户之间可以通过输入手机号添加好友,通过验证后可成为好友;
Ø 老师可查看自己学生家长的手机号、头像、姓名、生日、班级等信息;
Ø 家长可以查看老师任教自己孩子的班级、头像、荣誉认证、姓名、手机号等信息;
Ø 老师可以设置是否向学生家长显示自己的手机号,默认不显示;
Ø 老师可直接通过客户端拨打家长手机。
6、老师群发消息
Ø 教师用户支持群发消息,类似“群发短信”的形式,收信人背靠背;
Ø 老师可选择多个班级或多选联系人,确定后进入会话页面;
Ø 可发送图片、文字、语音信息。文字消息默认发送IM及短信;
Ø 可保存群组到通讯录,下次可直接选择群组发送;
7、单发消息
Ø 家长和老师都可选择单一联系人发送文本消息(家长不能发短信);
Ø 语音试听功能,充分贴合家校沟通的属性;
Ø 图片自动压缩,减小发图片所需流量;
Ø 查看聊天详情,置顶聊天内容,进入联系人详情页。
8、班级圈
Ø 班级圈展示风格类微信朋友圈形式;
Ø 教师通过班级圈可以发送孩子的在校图片,分享教育资源和学生表现等
Ø 家长通过班级圈的以展示学生才艺、分享生活趣味乐事,教育资源等。
Ø 班级圈是根据用户的班级关系生成的,对外不可见,只对班级内成员开放,可随意发言及评论,且相互可见;
Ø 班主任具有绝对的管理权限,可以删除任何主题和评论,保证班级圈信息安全,也可以设置班级圈的封面;
9、学习(第三方应用平台)
Ø 学习版块包含:视频资源、教辅资源、试题讲解、同步课堂、名校资源等。
Ø 学习版块还包括应用类增值产品:如周周练、点点通等。
Ø 用户可通过“学习首页”进入到第三方应用,也可以通过首页的推荐进入到第三方应用的某个详情功能页面;
10、学习(第三方应用平台)
Ø 发现页面展示积分商城、线上活动及抢红包。支持随时发布最新活动;
Ø 用户的积分可以在此页面中的积分商城中兑换,教师和家长的积分商城内容分别展示;
Ø 未来可增加联盟商户、免费课程等教育相关商户活动,为后向付费奠定基础。
11、我
Ø 功能“我”是个人信息管理和软件设置的入口;
Ø 老师和家长用户可以管理帐号信息、头像、设置信息等;
Ø 老师可以查看自己的教学信息,家长可以查看孩子信息,对于重要的基本信息用户可提交修改申请进行变更;