张鹏高,王 佳
(教育部教育管理信息中心,北京 100816)
教育服务与教育管理体系是涵盖基础教育、中职教育、高等教育等各教育阶段的人、财、物等各业务范围的信息系统建设的集成。各信息系统的数据既是相对独立的,又具有一定的交集,教育数据交换平台就是为解决各级教育机构内数据交换与共享需求而提出的一种综合性服务平台,教育数据交换平台的建设和实施,将能够解决各级教育机构内应用系统之间的数据共享和集成问题,为各级教育机构内的应用系统提供全局视图、全局数据权限视图和完善教育数据交换服务,从而解决各级教育机构内部诸多应用系统的信息孤岛问题,让各种教育信息资源能够在应用系统间实现互联互通,推动教育服务与教育管理体系信息化进程。
教育数据交换平台通过构建覆盖全国各级教育管理部门信息资源交换体系技术总体架构,围绕各级教育管理部门的业务协同,以教育管理部门业务信息为基础,确定教育管理部门间交换信息指标及信息交换流程,实现不同教育管理部门间异构应用系统松耦合的信息交换,形成教育机构间信息资源物理分散、逻辑集中的信息交换模式,提供教育机构间横向按需信息交换服务,提高各教育机构行政管理效率和公共服务水平,满足各教育机构履行职能的需要。
教育信息交换平台是 “多级交换中心”的开放式网络系统,由多级教育管理数据交换域组成(每个数据交换域由区域内数据交换中心和数据交换代理将数据交换域内的各业务应用系统联系起来)。
交换域内的数据交换是通过本域内的数据交换中心(Data exchange center,简称DEC)进行的,数据交换中心是域内所有数据交换代理的集成点,发送方代理和接收方代理之间不直接进行通信,各交换终端(由应用系统和数据交换代理组成)通过内部的数据交换代理作为与交换中心的接口进行数据的交换;不同的数据交换域间的数据交换是通过更高级别的数据交换中心和二级数据交换中心的代理组建成高级别的数据交换域进行数据交换,即低级别(二级)数据交换中心通过高级数据交换中心的代理,进行数据传输和相互操作。从而构成一个可扩展的教育管理数据交换系统,如图1所示。
图1 系统架构
“多级数据交换中心”中各级的信息交换流程均可被分解为一个或多个从提供者到使用者的单向信息传递过程。在教育信息资源交换体系管理环节中,用户按业务职责划分为数据提供者、平台管理者、数据使用者三种角色,如图2所示。
图2 角色职责管理示意图
(1)数据提供者的职责
>明确本部门提供的交换信息的使用范围与使用权限;
>建设数据交换代理,配合平台管理者确定交换信息的接口表结构;
>梳理部门业务信息库与交换信息库之间的数据映射关系,实现部门业务信息库向交换信息库的信息同步;
>负责维护业务系统(包含交换代理),保证业务数据库和交换代理稳定运行;
>负责申请、更新及撤销资源目录信息;
>负责与使用者、管理者协商并确定信息的交换内容、交换模式、更新周期。
(2)交换中心管理者的职责
>管理本级和下级交换中心管理人员;
>负责建设交换中心数据库和交换中心代理;
>负责维护并更新域内所有数据交换代理信息和资源目录信息;
>负责与提供者协调并明确交换信息接口表结构;
>负责对信息交换流程进行规划、配置及部署,实施日常管理及监控维护;
>负责对各交换终端的交换代理的交换内容设置及管理进行授权;
>负责资源目录管理系统中本级目录数据的管理。
(3)数据使用者的职责
>根据需要提出教育信息资源共享交换需求,对于交换与共享获得的信息内容在授权范围内进行使用;
>建设数据交换代理,应负责交换代理模块的运行维护,负责交换信息接口表的数据备份与清理;
>与提供者、管理者协商并确定交换内容、交换模式、更新周期;
>管理维护交换终端(包含交换代理模块),梳理部门业务数据库与交换中心数据库之间的数据映射关系,实现交换中心数据库向部门业务数据库的信息同步;
>使用者应负责部门业务数据库的安全。
数据交换中心与交换终端是数据交换平台中重要的组成部分。教育信息交换平台可根据业务需求同时部署多级数据交换中心的功能,低级别(二级)数据交换中心向高级别(一级)数据交换中心申请注册,交换终端向低级别(二级)数据交换中心申请注册。
一级数据交换中心是交换域内控制和集成教育管理信息的数据集散点,通过与二级数据交换中心或交换终端通信,实现主动的数据收集和管理功能。
一级数据交换中心业务流程为:设置本级DEC基础信息、接受下级DEC注册申请、管理资源目录、管理和控制消息和数据传输报文。如下简述一级数据交换中心核心模块:
基础信息管理负责对数据交换中心(DEC)的基础信息进行设置或向上级中心申请相关权限,包括:
>设置DEC的名称、通信端口、管理部门等信息,并向上级数据交换中心进行注册;
>设置本级中心的身份认证机制;
>设置DEC管理员账号。
资源目录负责对DEC存储的所有数据对象提供定位和访问控制功能。对于某一类数据对象,资源目录记录其数据源、更新时间和访问权限,包括:
>对该DEC下各类数据对象及其数据权限的管理;
>对二级DEC或交换终端提交的权限变更请求的受理;
>对资源目录的查询与维护。
控制消息中心负责控制和传输与二级数据交换中心的互操作消息。各类互操作的业务流程首先由控制消息中心发起,即对二级数据交换代理发起,同时控制消息中心还负责对已经处理完毕的消息进行查询和管理。
数据传输中心负责控制互操作过程中的数据传输过程,具体功能包括:
>指定该DEC支持的数据传输模式;
>查询和管理当前传输的数据流;
>设定数据的存储位置。
调度控制中心负责对消息报文和数据报文进行调度控制和管理,功能包括:
>查看当前消息队列中的报文;
>调整消息队列中报文的处理优先级;
>暂停或启用对某类报文的处理;
>异常报文查询与处理。
二级数据交换中心在一级数据交换中心和交换终端中起到代理的作用,负责消息和数据的转发和暂存。二级数据交换中心包括如下模块:
消息控制代理负责代理一级数据交换中心与交换终端的消息控制报文的通信过程,本级向上级数据交换中心注册时确定消息控制代理范围。
数据传输代理负责代理一级数据交换中心与交换终端的数据报文的通信过程,本级向上级数据交换中心注册时确定数据传输代理范围。
二级数据交换中心提供面向交换终端的应用代理注册请求和相关的资源目录及权限控制,功能与一级数据交换中心类似。
交换终端是整个交换平台的基本组成部分,负责按照上级交换节点定义的数据内容和数据格式要求采集数据,并向上级交换节点传递消息和数据。
交换终端本身需建立数据交换代理,与数据源(应用系统数据库)关联。交换终端的上级交换节点一般是二级数据交换中心,也可是一级数据交换中心。
交换平台中的安全保证包括两方面:数据传输安全和用户访问安全。数据传输安全由支撑交换平台的基础网络环境保证;用户访问安全包括用户身份管理、权限管理和安全审计等,交互平台需要依据RBAC(基于角色的访问控制Role-Based Access Control)等访问控制模型建设可靠的安全管理模块。
安全管理模块采用多级部署,分级管理交换平台中所有用户的身份认证、功能权限、数据权限以及日志审计,保证平台中用户的行为被授权且可追踪。部署在各级交换中心的安全管理模块仅管理本级所辖的用户身份认证、功能权限和数据权限。
为保证各级安全管理模块高效可靠的运行和管理,需建立一套完善的用户规范制度,包含如下内容:
>健全的用户创建和注销的规范制度;
>健全的角色创建和注销的规范制度;
>健全的角色权限以及用户权限变更的规范制度;
>健全的用户安全行为审计的规范制度。
数据交换平台中保障机制范围包括:硬件基础环境、支撑软件、交换数据、终端应用、交换文档及资产等。
首先,明确和规范运维保障体系的运行管理方式以及与之相配套的机构设置和人员岗位职责安排。按照运维保障任务科学地设置组织机构,合理划分任务、角色、岗位,明确各岗位的工作内容和人员技术要求,合理配置运维保障资源,达到人员、工具、流程的有机融合。
其次,建立并健全运维保障流程与规范。运维保障流程与规范管理运维服务的全部活动,管理运维服务制订的工作规范和工作流程等基本信息,有助于提供高效、可控的运维服务。
最后,建设运维支撑系统。建立面向运行维护人员和技术支持人员的运行管理平台,包括负责基础设施和业务应用系统运行监控的集中监控管理平台、负责向用户提供支持的服务平台以及对基础保障环境资源进行管理的信息管理平台。
[1]CELT S-40.1(WD 1.0)教育管理信息系统互操作规范[Z].2002.09.05.