统一信息标准体系

       标准是信息在采集、处理、交换、用户访问、传输过程中的统一规范，是实现信息资源共享和信息系统得到协同发展的基础。基于国际标准、国家标准、行业标准、校园/企业/园区原有标准等，兼顾各个标准之间的兼容性、一致性以及标准的可扩展性，建设和完善校园、企业/园区的各项标准并给出信息分类编码规格说明书，建设形成一套符合自身实际的管理信息化标准。

       所谓信息门户（information portal）是指利用网络浏览器访问组织内部和外部关键信息的单一入口，可以针对每个用户进行个性化设置。它的作用是解决信息超载问题，他利用先进的搜索及索引技术构建起一个内联网环境，用来从不同的信息系统和互联网中搜索和获取信息。

       统一信息门户平台是智慧校园、企业/园区信息和应用资源有机整合成一个统一的WEB页面，用户只要拥有一个帐号，就能访问到权限范围内的所有资源。同时，门户平台要提供个性化信息服务，信息的内容和形式可以定制，不同的用户可以根据自己喜好来定制信息和服务内容，个性化设置自己的界面风格，用户可以享受到该平台所提供的个性化信息服务。

二、门户框架

       从一卡通的实际需要出发，一卡通门户需要通过视觉统一、信息共享、管理规范等几个方面的建设以达到将分散应用和内容进行整合，实现数据的统一、应用的关联和信息的共享，使用户单位各个角色可以通过统一的入口浏览到相互关联的信息以进行相关的业务处理，从而解决信息孤岛问题这一主体目标。具体来讲，主要包括以下方面：

（1）统一的技术标准、统一的设计规范、统一的视觉体验

（2）注重网站安全性的管理

（3）注重信息资源的可整合性

（4）丰富的应用以及需求实现的便捷性

三、平台业务功能

（1）组织机构管理

       实现对各下级单位的管理。对各级单位进行增加、删除、查询、修改等操作。

       支持树形组织架构的建立。支持5级以上组织架构。

       各级单位基础信息管理：包括单位名称、编号、上级主管单位、单位简介、单位照片（支持多张）、联系人、电话等。

（2）信息查询

基本信息

◆持卡人基本信息查询：用户名称、单位/年级/班级、用户编号、卡号、联系电话等。

◆用户基础信息自助修改，该功能只对管理员开放，一般由系统自动完成基础信息同步，无需人为操作。

◆登录修改密码：用户可自行修改密码，管理员可重置用户密码。

B. 金融服务

◆第三方充值：开放第三方网上充值窗口，用户可以在统一信息门户进行充值，该充值方式支持跳转到网银转账、支付宝网上转账、支付宝扫码支付、微信扫码支付等多种方式。

◆充值查询：用户可根据时间范围、充值方式查询充值明细信息。充值方式包括银行圈存、自助现金充值、柜台充值、第三方充值。

◆消费明细查询：用户可根据时间范围、消费类别查询消费信息，提供明细和统计报表。

◆补助信息查询：可按单位、部门查询各个用户补助明细。

◆卡余额查询：查询用户卡余额。

C. 节能监控

◆水资源消耗信息查询：可查询用户某段时间水能消耗信息。

◆ 电能源消耗信息查询：可查询用户某段时间电能消耗信息。

◆水电消耗对比分析：分析用户水电使用情况，可进行月度对比、年度对比分析，水电消耗高峰时间分析与对比等。

D. 身份识别

◆考勤信息查询：查询用户指定时间段内考勤明细信息。

◆考勤汇总：根据个人、部门生成汇总报表。

◆会议签到查询：查询会议签到明细。

◆门禁通道：查询门禁、通道明细信息。

◆访客信息查询：查询各机构访客登记明细信息。

F. 智慧管理

◆班车路线查询：提供用户查询班车信息，支持跨区域查询（如某员工外派出差到另一兄弟单位一段时间，即可申请该兄弟单位的班车乘坐许可）。

◆班车预约登记：为用户提供在线申请班车乘坐预约登记服务，用户可预约一段时间的班车乘坐许可。

◆停车预约登记：为用户提供停车预约登记服务，用户可在线登记停车预约信息。

◆图书借阅信息查询：用户可查询自己的借还书信息。

F. 扩展开发：随着一卡通系统业务数据的类型和系统数量的增加，可提供所有业务系统数据的查询服务。

（3）多角色视图

四、平台特点

（1）统一入口：通过将内部和外部各种相对分散独立的信息组成一个统一的整体，使用户能够从统一的渠道访问其所需的信息。

（2）7×24小时服务：通过网络和安全可靠的机制使用户在任何时间任何地点都可以访问所有的信息和应用，保证业务运转永不停顿，将网络经营的优势发挥到极至。

（3)个性化空间：信息门户的数据和应用可以根据每个用户的要求来设置和提供，定制出个性化的应用门户，即个性化空间，提高了效率，增强了亲和力和吸引力。

（4）保护原有投资：能将现有的数据和应用无缝地集成到一起，无需重新开发，保护了原有的投资。

（5）高扩展性：能适应新的人员和部门的调整的变化，满足业务调整和扩展的要求，解决与IT部门短时间内无法解决的技术需求问题。

（6）高保障性：通过安全机制保证数据的机密性及完整性，保障业务的正常运转。

       面向云平台的部署与应用，总部与各分支机构都建立了众多不同的一卡通应用。但这些信息系统是由不同时期、不同厂家开发的，各个系统间缺乏关联，使得信息不能有效共享，应用难以集成，阻滞了信息化的深入。在一卡通云平台的应用中，需要将这些不同的一卡通应用进行集成整合，其中最主的要整合就是身份的整合，保证所有系统使用同一权威用户源，同时又要保证用户可以登录原应用系统处理业务或查询相关信息。

       在身份认证平台建设完成之后，需要达到以下目标：

（1）实现单点登录：在建设平台之前一个用户登录不同系统就需要采用多个账号、密码，造成使用不便。平台建设完成之后，所有业务应用均可实现从一卡通云平台登录到各个应用系统时不需要再次输入用户名和密码。

（2）统一认证与统一用户管理：在云平台中完成用户的统一权限分配，建立统一的用户管理机制。实现一级平台对二级平台的管理，二级平台实现对用户的管理。

       统一身份认证平台系统是一个集中的用户认证管理和集成环境，该系统可以完成对所有信息系统用户进行身份管理与认证，一方面方便使用和管理，另一方面也保证了整个系统的先进性与安全性。

二、平台框架

图：统一身份认证平台架构设计

1、用户数据源

       统一身份认证平台的用户身份数据来源于用户的权威产生部门。云平台收集的用户数据源来自己各个单位和机构，这些单位与机构有独立的用户信息库比如某一区域有很多的学校，这些学校作为用户数据的生产部门，拥有独立的权威数据来源。

2、用户数据同步

◆ 同步方法：用户身份数据采用统一的数据交换服务来进行身份数据的同步，统一认证中心与业务应用系统身份数据库相对独立，但相关身份数据又保持自动同步，最大限度的保证原有系统的运行不受资源整合所影响，保障各系统的独立与数据安全。

◆ 同步周期：实时同步，由下级单位用户信息发生变化后将用户信息推送到平台。

◆ 同步方式：增量同步，用户同步只需同步变化后的用户信息，不需要将所有用户信息全量同步。既保证了数据的完整与即时性，也降低了对中心平台的压力。

3、用户身份权限

       统一认证中心不保存、也不维护用户身份对于业务系统的权限，用户在各自应用系统的访问权限由一卡通二级平台或业务系统根据各自情况进行维护，保障了业务系统的独立与管理安全。

4、认证架构与安全

       SAML是安全断言标记语言(Security Assertion Markup Language)的简称，是OASIS为学校和商业伙伴之间交换安全信息定义的一套基于XML的框架。在SAML的应用中，安全信息都是通过在互信的区域之间以SAML断言(SAML Assertions)来传递的，保障了信息传递的安全。同时，在用户认证的过程中，有完善的安全模块，包括签名/验证和加解密、证书等。

       共享数据中心平台即是统一的数据资源与交换应用服务平台系统，是各种结构化数据进行统一管理的平台，是实现智慧校园、企业/园区数据共享，提供深层次数据挖掘、分析与智慧决策的重要基础。

       通过共享数据中心平台系统的建设，实现异构信息系统之间的数据交换和共享，明确各级单位业务系统与数据中心平台的接口规范；保证数据的准确一致；建立可以提供为整个校园、企业/园区综合查询和决策支持所需的数据信息，为校园、企业/园区将来的智慧决策和大数据分析作好支撑。

       共享数据中心平台在存放数据的同时能够有效地管理数据，并提供数据访问的手段，为多个系统的集成和各个系统之间的数据共享提供平台，保证数据的及时性、完整性和一致性。

二、数据中心总体设计

1、架构设计

图：共享数据中心架构

2、数据中心分类

       一级数据中心：包括所有单位的数据。

       二级数据中心：只包括当前单位或机构的数据。

3、中心数据库

       选择大型关系数据库作为云平台的核心数据库，主要存储如下信息数据：

◆ 各机构与单位的智慧一卡通信息，能区分这个信息数据的来源与分类。

◆ 各机构与单位的应用系统业务数据，至少包括人员基本信息、组织架构信息等。

三、管理平台

       主要包括：标准管理、基础数据管理、业务数据管理、平台监控、信息查询服务、统一数据访问接口及管理。

四、数据交换服务

      各系统之间存在数据交换与共享，选择国内外适合的数据交换中间件进行数据抽取、加工、推送等操作。

◆ 数据交换通道：用户可以建设VPN专网或固定IP，完成数据传输，在数据传输过程中采用密码算法，所有传输数据均采用密文传输，保证数据的安全。

◆ 数据交换方法：

 ● 数据交换中间件：实现共享数据中心平台的数据采集与分发，提供对被交换信息进行清洗、转换、装载入库等数据交换服务，即清理脏数据，完成对数据的整理，确保数据一致性、完整性和正确性。

 ● WebService接口：将所需要交换的数据定义为标准的WebService接口，通过该接口实现数据的交换。

 ● HTTP接口：

◆ 数据交换策略：

      根据数据的性质的应用场景定义不同的数据交换策略。

 ● 定时同步：根据用户需要可设定为每日、周、月等不同的同步周期，人事信息、考勤信息、消费信息、门禁通道信息等属于周期性较强的数据，可以设定为定时同步。

 ● 即时推送：如卡务数据、门禁通道授权等刷即时性较强的数据，可定义为即时推送。

 ● 同步方式：支持增量同步和全量同步两种同步方式。