DB32∕T 3160-2016 高等学校智慧校园建设与应用规范

4.4.3一卡通系统所产生的数据应按需同步交换到数据交换和共享中心

4.5.1应按照《职业院校数字校园建设规范》第6.9节要求，设计和部署数字安防监控和监 测设备。 4.5.2应对学校的水、电、气等能源消耗控制部位部署监控和监测设备，可实现远程自动监 测和实时控制， 4.5.3宜对校园内人员的位置信息进行监控和监测 4.5.4各类监控和监测设备所产生的数据应按需同步交换到数据交换和共享中心

4.6.1应按照《职业院校数字校园建设规范》第6.6节要求粉煤灰标准，设计和部署多媒体教室设备。 4.6.2多媒体教室录播系统所拍摄的视频应按需同步交换到数据交换和共享中心。

应按照数据标准和交换标准建立全校统一存取智慧校园各类数据的数据交换及共享中

应能够存放智慧校园各种类型的数据，并且能够在相关界面下调度和浏览。数据库设计 立满足： a) 应满足在既定规范的情况下设计结构尽量简洁明了。 b) 应统一考虑各项数据的组织关系和存储模式。 c) 应实现数据内容和配置数据的分离。 d) 当数据量增大到一定程度时，数据访问速度不会随数据量的增长而衰减。 e) 数据结构应设计合理，易于数据迁移。 f 应设计有效的数据备份和恢复策略。 g) 应具备完善的数据管理功能，包括但不限于元数据管理、数据字典、数据校验、权 限管理、日志管理、历史数据管理、流量统计等。 应建立完善的数据安全管理制度

可将智慧校园中各种操件 足下列要求： a) 应满足不同用户的需求。 b) 应兼顾效率与数据粒度的需要。 c) 应避免对智慧校园的业务应用系统造成影响。 d) 应保证海量数据下的存取及访问效率。 e) 应满足数据挖掘的需要。 f) 应考虑未来的可扩展性。

5.3.1应根据不同用户的需求设置不同的数据分析模型，包括但不限于模型定义、统计数据 项设置、引用数据项设置、采样范围等。 5.3.2应根据数据分析模型定义，借助数据交换工具，建立各种面向主题的数据仓库（数据 集市），实现数据聚合。 5.3.3应提供报表展示、即时查询、数据分析和数据挖掘等数据应用接口

6. 1. 1 统一身份认证

5.1.1.1应支持用户身份的集申化统一管理，并提供统一的用户认证方式。 6.1.1.2用户登录后，在有效时间内访问已完成单点登录对接的系统时不需要再次登录。 6.1.1.3应提供安全的认证协议，使服务器和用户之间实现双向认证，保证安全性。

6.1.2综合信息门户

6.1.2.1应支持在统一身份认证服务下，通过访问入口即实现各种业务应用的无缝接人和集 成，提供支持信息访问、传递以及协作的集成化环境。 6.1.2.2应满足不同用户的个性化需求，为用户提供定制化的信息资源和应用服务。 6.1.2.3应提供安全的访问通道，保证信息传输过程中不被非法窃取或篡改，保障合法用户 的身份不被盗用。

6. 1. 3 流程引擎

6.1.3.1应支持使用BPM工具对业务流程进行定制、执行、监控的功能。 6.1.3.2应提供工作流建模工具，实现对业务流程定义，并生成可执行工作流模型的功能。 6.1.3.3应提供工作流引擎工具，实现对执行工作流模型的支持。

6.1.5.1可为各类业务应用提供报表和表单服务功能。 6.1.5.2可实现报表的定制、查询、打印功能。 6.1.5.3可实现表单的自定义、打印功能。

6.1.5.1可为各类业务应用提供报表和表单服务功能

6.2阳光院务应用平台

6.3.1应以教学数字资源建设为核心，构建人人互通的学习空间，提供集网络课程建设及展 示、教学资源管理、教师备课、网上教学、教学评价等功能于一体的网络学习平台。 6.3.2数字资源的分类、来源、建设与应用应符合《职业院校数字校园建设规范》中第4节 的要求。 6.3.3应支持套用模板建课、课程章节内容编辑、课程教学流程管理、各类数字资源上传和 编辑等网络课程建课功能，并支持教学资源管理，包括教学资料、教材教参、推荐视频、题 库管理、试卷管理等功能。

6.3.4应支持学习过程控制与管理，包括但不限于：章节知识点学习推送控制、章节任务点 控制、学习过程监督和跟踪、分组学习管理、视频播放控制；应支持教学互动，包括但不限 于：作业布置与收缴、测验与考试、通知、讨论、笔记、PBL教学（包括分组、小组论坛、 小组文件共享、小组评价、研究报告等）；应支持各类统计功能，包括但不限于课程统计 成绩统计、学习统计、教学统计等。 6.3.5应支持个人学习空间管理的功能，包括但不限于课程表、日程表、日志、收藏、班级 小组、问卷调查等。 6.3.6应实现对教学过程中影响质量的各环节进行全员、全程、全面系统地监督、控制与评 估等的教学管理评估功能，包括但不限于教师教学工作评估、专业评估、课程评估、学生评 估、学院评估等。 6.3.7应按照《职业院校数字校园建设规范》第6.7节要求，设计和部署仿真实训系统环境 6.3.8网络学习平台产生的所有数据应可以被智慧校园其他业务应用平台按需调用。

6.4节能校园应用平台

6.5平安校园应用平台

5.5.1应借助监控和监测设备，建立平安校园应用平台，平台组成应包括但不限于： a）视频监控管理：覆盖校园重点监控区域，具有图像信息的实时性、共享性和预警分 析的智能化等特点。 消防报警管理：实现对校园火情的实时检测与防范。 校园卡口管理：实现对校园出入口的全面监管。 d) 门禁管理：实现对建筑楼内门禁出入的安全防范、智能管理。 e) 电子巡更管理：实现对安保人员巡逻轨迹的跟踪管理。 f) 周界防范管理：实现对校园周围的实时监控，实时提醒各种越界行为。 8) 紧急报警管理：实现对校园突发情况的快速反应和应急处理管理。 h) 资产管理：实现对校园所有资产的跟踪管理。 学生行为管理：实现对学生上网行为、网上言论、异常举动的管理。 6.5.2应实现校园安防联动和辅助指挥功能。 6.5.3应建立配套的安全管理制度和紧急情况下应急响应机制。 6.5.4应按需建立集中指挥调度中心。 5.5.5可借助关联分析和数据挖掘对可能影响校园安全的情况进行预警提醒。 6.5.6平安校园应用平台产生的所有数据应可以被智慧校园其他业务应用平台按需调用

6.6和谐校园应用平台

6.6.1应借助互联网+思维，建设和谐校园应用平台，为师生参与学校民主管理、交流互动、 监督反馈提供渠道和服务

6.6.2应包括但不限于以下栏且

6.7数据应用服务平台

6.7.1应借助智慧校园统一数据中心积累的数据，建立数据应用服务平台，充分发挥数据的 价值。 6.7.2应建立统一数据应用服务门户。 6.7.3应提供各类数据的可视化服务，包括但不限于图表、动画、视频、报表等形式。 6.7.4应提供校情综合分析、决策辅助支持功能。 6.7.5应提供依据权限访问各类业务数据的功能， 3.7.6应提供个人数据分析、比较和下载功能。 6.7.7应保证数据的安全，并建立相应的数据管理制度。

7.1.1应拥有独立域名的网站，网站应符合法

数据采集分为主动采集和自动采集两类，主动采集规则为： a）智慧校园信息化平台涉及的相关数据项都应源于学校实际情况或各部门出具的证明 文件，其他非权威数据不做采用。 b）智慧校园信息化平台提供统一的数据采集服务和交换接口服务，应能够按需定制数 据采集模板，按需采集和交换数据。 c）教师、学生、行政管理、后勤等人员应按照学院要求，由相关业务部门牵头，二级 学院（系部）组织，使用智慧校园信息化平台填报数据。 自动采集数据的规则为： a）由业务部门确定各数据项的源头、格式和属性。 b）平台设置自动采集规则，包括采集时间、源数据位置、目标数据位置、出错处理等 C）平台运行过程中按照采集规则自动采集相关数据至智慧校园数据中心。

元数据是关于数据的数据，即数据的内容、质量、状况和其他特性的信息，也可称为描 述数据或诠释数据。对应数据库所管理的数据内容，每种数据都应有元数据对数据进行说明。 建立智慧校园元数据标准的目的是提供一个智慧校园数据集的过程，以便判断确定所拥 有的数据集的质量信息，为数据的维护和更新提供支持。 本规范规定了智慧校园元数据的内容，包括数据的标示、内容、质量、发行及其他有关 寺征，可用以对数据集的全面描述、编目、管理及网络信息交换。本规范为智慧校园数据集 提供了一套通用的描述元素及规范，为数据管理和各相关部门间的数据共享提供信息支持， 元数据的主要作用应包含以下儿个方面： a）描述数据，可用于描述信息资源的高度结构化数据。建立元数据将提供统一的数据 学典，作为应用的基础。 b）管理和组织数据，智慧校园信息化系统运行后数据更新频繁，通过建立元数据方便 对外交换和对内查询使用，对其数据进行统一管理和组织。 c）查询检索，提供有关智慧校园数据的数据类型、数据内容、收集日期等方面的信息 更于各类用户查询检索。 d）提供统一的元数据标准，以利于数据交换和传输，促进数据共享。 e) 数据分析的需求。 f) 系统完整性和可扩展性需求。 g）浏览查错功能需求。 h）程序生成，如果允许访问元数据，则利用关于结构的信息自动生成可实现某些特殊 功能的程序，如数据库查询的优化处理等

A.2.1元数据标准层次

元数据标准应分为元数据子集、元数据实体和元数据元素三个层次。元数据元素是元数 据最基本的信息单元，元数据实体是同类元数据元素的集合，元数据子集是相互关联的元数 据实体和元素的集合。

本规范定义了两种性质的元数据子集、实体和元素： a）必选(Mandatory) 一元数据的核心内容，适用于各种被描述对象，是元数据文件必 须包含的子集、实体或元素。 b）可选（Optional)一一该子集、实体或元素是可选的，由用户决定是否将其包含在元 数据文件中。

A.2.2元数据标准分级和特征

A.2.3元数据标准体系

元数据标准内容用于全面、详细描述数据集、数据集系列、要素和属性。每个子集包含 若干元数据实体和元素。智慧校园信息化系统中基础数据、业务数据和专业数据按此规范体 系展开。元数据标准体系由以下六个子集组成： a）标识信息。标识信息是描述数据集的基本信息。如数据集的名称、日期、版本、项 目名称、类型、摘要、数据集覆盖的范围等基本信息内容。 b）质量信息。数据质量信息包含数据集质量的评价信息。如课程学习时长的评估标准 等信息。 c）数据日志信息。数据日志信息包含数据集应用、数据源及生产数据集时所用工艺方 去等信息。 d）发行信息。数据发行信息包含有关获取信息所需的数据提供者及买卖权限的信息 口发行单位名称、发行格式、发行介质、数据量、在线数据访问地址， e）数据字典。数据字典是关于数据集信息内容的细节。主要包括数据集全名、数据集 储格式、数据集内容概述、数据表间关系说明和数据表内容说明。其中数据表内容说明包 活数据表名称、数据表内容概要说明、字段及定义说明。学段及定义说明包括字段名称、学 段含义、字段类型、字段长度等。 f管理信息。描述业务数据的管理信息和元数据的管理信息，

1）业务数据管理包括监管部门、监管部门负责人、监管部门联系人、数据集状态、 数据更新频率、最近更新日期、数据存放位置、存储格式、记录数、容量等信息。 2）元数据管理信息是管理元数据所必需的信息。元数据管理信息包括元数据文件 名和元数据日期信息。其申元数据日期信息包括编写日期、最后修改日期、元数据负责单位 元数据编写人等信息。

A.2.4元数据标准扩展原则

在完全元数据标准内容不能满足某种应用的需求时，应按照本规范规定的原则进行扩 充： a）扩展的元数据能够反映所描述数据的共性。 b）扩展的元数据元素不应是现有元数据元素改名、改定义或改数据类型。 c）扩展的元数据可以定义为实体，而且应包含扩展的和现有的元数据元素，被包含的 现有元数据元素特征不能改变。 d）可对现有元数据元素施加更严格的限定（如：元数据元素在本标准中是可选的，在 扩展后可以是必选的）。 e）可对现有元数据元素域值施加更严格的限定（如：域值为“文本”的元数据元素 广展后可限定为一个闭合的取值范围）。 f）可对本标准规定域值的使用范围加以限制（如：元数据元素在本标准中域值有五个 可用的值，扩展后可以规定只使用其中三个值，要求用户从三个中选择一个使用）

在可能的情况下，应为每个业务信息的编码预留一定的扩展空间，以适应智慧校园建设 与发展的需要

编码方法主要包括以下几个方面： a）涉及的代码对象及其代码，是在各高校已发布并使用的各种智慧校园、校园信息化 文件的基础上，进行扩充或修改而编制的。 b）依据GB/T7027《信息分类和编码的基本原则与方法》的编码原则与方法，采用阿 拉伯数字编码。 c）采用统一的数字编码。原则上，代码取值均为一位数时，将9作为其他或未说明项； 取值均为两位数、三位数、四位数等时，则将99，999，9999等如此类推作为其他或未说明 项预留，所有代码从1开始编码。 数据项原则上依照代码对象的产生时间先后、使用（出现）频率由高到低、重要程度由 高到低等顺序编写，同时参考各高校已下发的相关文件、各类统计分析报表、调查问卷等文 档。对于完全没有顺序规则的代码对象按照其首字母顺序排列。涉及级别的代码，包括职称 级别、职务名称级别等，按照其级别由高到低的顺序排列

智慧校园包含多个子平台，这些子平台虽然相对独立，但它们的数据及运行应相互关联， 通过相互集成共同构建完整的智慧校园。这些联系和关联通过设计各种接口来实现，接口设 计应满足数据提取速度快、功能相对独立等要求。

数据接口是直接传送数据文件和数据的数据交换接口，例如：XML文件导入导出接口、 数据访问接口表、库对库交换接口等。 a）交换接■ 交换接口应采用消息适配器协议和XML数据格式。在与平台进行协同调度时应使用 MessageAdapter（消息适配器）提供的接口。在访问平台的共享信息/服务时应使用 ServiceAdapter（服务适配器）提供的接口。 由于以上两个Adapter仅提供系统接口，不提供业务接口，因此业务相关的数据和控制 言息将被封装成符合信息交换规范的数据包后作为参数传递给接口，接口返回符合信息交换 规范的数据包，根据对数据包的解析结果决定业务处理的内容。接口以给出异常的方式返回 错误信息。 无论是业务消息（符合消息架构规范）还是服务消息（请求响应架构规范）都应绑定到 消息中间件，采用消息中间件的通信方式。 b）库与库交换接口 库对库交换数据接口应采用数据交换中间件实现，通过配置和重用数据中间件，实现数 据库之间的数据交换。 c）跨系统、跨部门接口 跨部门、跨系统交换接口应采用SOAP协议和XML格式。XML数据格式与对外的交换接口的 数据格式应一致

B.2 与现有系统接口

智慧校园与原有系统的接口主要解决原有系统如何集成进入智慧校园信息化平台的问 题。与原有系统的集成主要通过以下几种方式： a）数据共享方式。智慧校园与原有系统共享数据库或文件系统，从而实现数据的共享。 b）遗留系统适配方式。改造遗留系统，给每个遗留系统编制适当的适配器，从而实现 遗留系统与数字智慧校园的相互调用。 c）遗留系统重建方式。以智慧校园的技术规范与接口标准，对遗留系统进行重构，以 实现两者的集成，

B.3应用系统之间服务排

智慧校园是多个应用的集成，校园应用系统应基于服务总线与其他应用对接，访问其他 系统功能或被其他应用访问，校园应用系统开发商应充分了解承接的应用系统业务，能明确 与其他业务系统关联关系，校园应用系统应具有与其他系统交互的能力。各类应用之间应通 过以下4种方式实现业务交换： a）服务调用。应用1调用应用2提供的服务，实现交互，服务提供方可以WebService

形式提供服务，具体接口定义应与服务调用方和校园代表参与制定， b）消息机制。应用1发送消息给应用2，实现交互，一般通过服务总线来实现消息的 传输，应用系统可采用WebSphereMQ通道与服务总线连接。 c）视图方式。应用1通过视图与应用2的数据库发生交互，视图可根据应用1的实际 需求在数据库系统中配置，避免了共享数据库方式的弊端。 d）数据传输。应用1和应用2通过约定的方式传输数据，这种方式适合单纯的数据传 输需求，特别适用于应用间的大数据量传输，具体传输方式可采用HTTP、FTP或其他协议。 服务总线主要利用消息机制实现数据的交换，应用系统应尽量运用消息机制利用服务总 线进行消息交换，

C.1信息安全组织管理

附录C （资料性附录） 智慧校园信息安全要求

C.2信息安全制度管理

C.3信息安全风险评估

本项要求包括： a）应对智慧校园的安全要求、需求进行识别和分析； b) 应从智慧校园的整体业务风险的角度，实施和运行控制措施，以管理智慧的信息安 全风险； c) 应建立信息安全风险评估制度，明确信息安全风险评估的时机、频率、风险评估的 方法，并形成信息安全风险评估报告； d）选择的风险评估方法应确保风险评估产生可比较和可再现的结果； e) 应建立明确的风险接受准则； f）依据管理措施、资源、职责和优先顺序，制定风险处置计划，风险处置计划应包括 资金、角色、职责的分配：

g）应监视和评审风险处理措施的有效性，并进行跟踪。

C.4信息安全教育和培训

本项要求包括： a) 应确定从事智慧校园信息安全工作的人员具备必要的能力； b) 提供培训或者必要的措施（如聘用有能力的人员）满足这些要求； c) 应建立信息安全教育培训制度，把信息安全教育作为工作人员上岗、业务学习的重 要内容； 应把信息安全防护基本技能纳入工作考核范围，并作为职务聘任的重要条件； 应记录并保存信息安全教育培训、考核情况和结果； f) 应评估教育、培训效果的有效性。

C.5信息安全技术要求

本项要求包括： a）智慧校园的主机、系统、网络、数据、应用安全要求应遵循信息安全等级保护有关 标准和规定，具体定级和保护应按GB17859、GB/T20271、GB/T22240和GB/T22239的 相应要求执行。 b）应对智慧校园的信息依据重要程度、知悉范围、保存期限以及信息泄漏、篡改、丢 失后造成的危害后果进行分级分类 c）应明确智慧校园信息系统处理的信息类别和所保护的对象及其重要程度，明确不同 系统的安全需求，采取不同的保护措施，实施分级分类防护； d）应根据系统和数据的重要程度，进行分域存放，实施分域保护和安全域间交换，实 施分域控制，划分为内部数据处理区域和公开数据处理区域；根据安全系统的功能不同，划 分为安全管理区域和安全服务区域。智慧校园安全域划分如图1所示，

图1智慧校园安全域划分

1)公开数据处理区域。公开数据是提供给公众访问的数据。公开数据处理区域用来承载 处理公开信息的智慧校园应用系统及其数据库，处理对公众、家长、学生、教职工开放的服 务，如政策发布、网站等。 2）内部数据处理区域。内部数据是仅允许系统内部人员访问的数据。内部数据处理区用 来承载处理内部信息的智慧校园应用系统及其数据库新闻出版标准，处理校园内部和部门之间的业务。 3）安全管理区域。安全管理区域面向智慧校园系统安全管理人员，承载安全管理中心等： 为全网的信息系统提供统一的资源管理、权限管理、策略管理、审计管理和安全可视化管理 等。 4)安全服务区域。安全服务区域作为安全管理中心的一部分，为所有的智慧校园系统用 户，提供共性安全支撑服务，如防恶意代码库升级、统一身份鉴别和权限验证等。

本项要求包括： a）公钥基础设施主要是为用户和实体提供数字证书服务，应参照国家的有关规定，选 用依法建设的证书服务系统。公钥基础设施采用的PKI技术要求能够保证系统的互联互通和 将来的功能扩展，满足GB/T19714、GB/T19771和GB/T20518的相应要求。 b）身份认证是智慧校园信息系统安全运行的基础。应针对智慧校园信息系统身份认证 高求，采用高效、安全的一体化身份认证机制，实现用户登录、票据传递与验证、信息系统 方问的快速、安全交互，实现一次登录就能访问多个信息系统的单点登录功能；应能够与智 慧校园业务系统有效集成，实现登录控制透明化、系统集成集约化。 c）智慧校园信息系统中，为实现智慧校园环境下身份可信、资源可管、权限可控，应 支持多域多级动态的授权管理。应支持对用户、角色、权限等管理对象进行有效组织，支持 基于角色与属性的授权管理，支持对

本项目要求包括： 1）应建立安全运维中心，对全网的主机、网络、软件、安全设备进行统一的安全管理； 2)应采用云计算、虚拟化、分布式计算技术建立运维中心，支持网络规模、应用规模 等的弹性扩展； 3)应支持安全策略对特定的对象组统一下发和管理； 4)应支持安全阀值的自动采集和手工设定，对超过阀值的行为自动报警； 5)应支持安全运维对象属性的自定义和扩展； 6)应提供通用的安全接口，灵活的定义接口的参数； 7)应提供灵活的报表功能，生成安全运行状态的各种报表

1）应自建或合建威胁情报数据库，威胁情报数据库内容包括但不局限于最新漏洞信 息，攻击工具特征库、黑客库、社工库、IP特征库等； 2）威胁情报应进行更新和维护； 3）应利用威胁情报库进行事前预防、事中防护、事后分析取证工作； 4)事前预防：利用威胁情报库，了解最新的安全漏洞信息，统计智慧校园信息资产的 漏洞情况，做好防护； 5)事中防护：利用威胁情报库，对正常访问和恶意访问进行判断，及时发现潜在的安 全风险，并进行处置； 6)事后分析取证：利用网络流量存储分析系统，能够把用户所有产生的数据都保存下 来，进行历史记录，如有问题就能追溯分析，实现实时监测和智能化取证。

本项要求包括： 1）应建立高级可持续威胁（AdvancedPersistentThreat，APT）预警系统，防范未 知的威胁和零日攻击； 2)应采用云计算技术对WEB应用、操作系统、数据库等进行安全防护，防护平台支持 动态扩展：

3）应采集智慧校园的主机、操作系统、软件、安全设备的日志和运行状态，关联相关 日志，建立大数据分析平台，及时发现安全攻击和隐惠； 4)应建立智慧校园信息资产的版本、配置、地址等信息库，便于维护、管理安全预警； 5宜采用主机、网络相结合的云查杀技术，防范恶意代码和病毒； 6)宜采用实时流计算技术，及时采集智慧校园安全运行状态，建立匹配模式混凝土结构，发现异常 状态。