一、项目整体概述
在底层数据治理平台的建设基础上,通过业务系统统一身份和数据集成,实现数据的互通、数据统一规划治理和管理服务应用标准化的功能,将数据资产按照业务逻辑进行相应的规划管理,为数据开放和数据应用提供支撑储备,提升数据的价值。
二、具体技术要求
(一)统一身份认证平台要求
1.个人自助服务
个人自助服务需满足用户对自己帐号信息和密码信息的维护需求。要求系统在PC端、移动端提供个人自助服务功能。为满足留学生/外教使用需要,个人自助服务需支持中英双语切换。
需至少支持:
(1)需提供身份认证基础服务,实现SSO单点登录功能。支持用户登录后在不同系统之间漫游而不需要再次输入密码。****学校移动应用客户端的统一身份认证集成,支持短信动态验证码的验证方式。需提供密码变动短信通知功能。
(2)需支持用户自助账号激活功能,激活包括信息校验、绑定手机号、绑定邮箱以及设置密码功能。信息校验需要用户输入学工号、录用通知书号以及身份证号码进行身份验证。系统提供两种帐号发放的方式,分别为设置默认密码和密码激活方式。管理员可以根据使用需求选择启用何种方式进行帐号发放。
(3)需支持密码找回功能,需支持用户通过手机号、邮箱、安全问题验证方式找回密码
(4)需支持账号申诉功能,当用户常规的找回密码方式均不能用时应可通过账号申诉的方式找回。需提交:用户姓名、学院/部门、证件类型、证件号码、申诉照片、联系方式,完成账号申诉。
(5)需支持用户查看并点击访问具有自己访问权限的应用,并可以通过应用名称进行应用搜索。
(6)需支持用户主动设置账号的相关信息,包含更换密码、设置安全问题以及绑定手机号码。
(7)需支持用户查看关联账号及设置常用账号。
(8)需支持用户查阅自己的相关操作,包括:当前登录记录、账号认证记录、密码维护记录、账号维护记录以及应用访问记录。
(9)需支持使用者设置自己的个人资料以及维护偏好设置,支持中英文切换功能。
2.电子身份管理
(1)用户数据模型
****学校特点和应用现状设计用户、组、权限等模型,并按照模型设计完成数据存储。所有的用户信息应分别存放在LDAP目录服务和数据库中,通过可靠的机制完成两者的同步,用户身份信息在目录服务中以层次结构,面向对象的数据库的方式集中存储管理,从而保证身份数据的一致性和完整性,为校园各类应用提供一致的用户信息访问。
(2)用户管理
1)用户管理包括帐号的新增、发放、维护、注销管理,旨在帮助管理员完成全校身份帐号数据的增加、删除、修改、过期设置、变更生命周期以及锁定/解锁等操作。
2)基于角色的访问控制技术,实现对用户集中、灵活授权和访问控制管理,从而提高系统管理效率,如可根据不同角色分配相应应用使用权限和有效期,并进行差异化的应用推荐和功能设置。
3)系统需允许针对不同的用户来源创建至少三种生命周期,包括未入校、在校、离校三个状态。系统应能自动创建对应生命周期的用户组。同时应能对生命周期设置有效期,在有效期到期后,自动转换生命周期状态。
▲4)需支持管理员对全校用户身份帐号数据的增加、删除、修改、过期设置、锁定、解锁等操作。在进行导入用户操作时,可实现拥有多账号的用户自动绑定,无需管理员手工干预,系统自动判定导入账号是否归属同一人,若为同一人不同阶段账号,则系统自动创建自然人,同时完成账号绑定。(投标方需在响应文件中提供真实系统截图并说明账号自动关联合并的逻辑。)
(3)应用管理
应用管理作为校内服****中心,负责为校内应用提供信息维护、发布注册、授权使用、统一协议配置、消息待办预集成、应用内接口授权、应用下服务配置、应用访问日志等功能,统一发布管理,并打通PC门户、移动H5门户。
1)应用接入
需支持手工创建和快捷创建2种方式完成应用的接入,基本信息主要包括应用名称、业务域、访问地址、应用描述、应用图标。应用接入到系统后,可以进一步配置该应用所对接的认证协议参数,并进行应用授权。
需支持当用户授权为多个用户组时,可配置打开服务时是否需选择对应用户组。
2)应用详情
系统需提供应用详情页用于展示和应用关联的详情界面,包含应用的基本信息、应用的相关操作以及应用配置菜单列表。
需提供多种授权维度和授权颗粒度,支持根据组织机构、域及用户组、用户三种进行授权,同时,也可以对各维度的各级节点或单独人员进行独立授权。
需支持针对每个应用维护相关的认证协议,需可在应用详情页面直观查询并手动启停。
需支持在应用下添加多个不同的服务,服务类型包括:手工、接入、集成接入。手工接入应用,需支持服务查看详情、配置授权和编辑服务;集成接入服务,仅支持服务查看详情。
需支持平台调用第三方系统接口达到数据通知的功能。需支持HTTPS协议,同时检验证书的有效性;需支持国密和非国密的算法进行加密。
3.统一认证服务
需提供常见认证协议支持,用以完成对大部分WEB应用、移动APP的统一认证,提供认证凭证的不可逆安全存储机制,保证密码安全,提供认证过程的安全性保障,保证认证过程凭证安全;
需支持基于Nginx的反向代理集成方式,集成接入方式简单,接入系统可以直接从标准的Header中获取登录人员的相关信息,适用不同的开发语言。
需提供系统级缓存,允许平台调用,加快平台访问速度,同时提供DBLESS能力,在系统遭遇数据库停机时,依然可向用户提供基础认证及鉴权能力,避免因数据库停机造成身份认证不可用。
系统支持管理与配置二次认证/多因子认证方式及使用顺序,需支持管理员手动拖拽方式维护不同认证的顺序,系统可按照可用性及顺序智能选择当前最适合的认证方式。
4.账号安全管理
需支持帐号安全管理需求,系统应提供主动防御功能,对于常见的恶意登录或暴力破解,可自动冻结账号直至解冻。需提供异常会话管理、休眠账号管理、恶意登录管理、冻结帐号管理、异常应用管理等相关功能。需至少支持:
(1)系统需支持按照用户会话数、IP数去判定某个会话是否为异常会话并触发帐号冻结机制,管理员可配置触发冻结的阈值以及冻结时长。
(2)系统需支持根据同一天多次登录成功\登录失败判定某个帐号是否为恶意登录行为并触发帐号冻结机制,管理员可配置触发冻结的阈值以及冻结时长。
(3)系统需支持管理冻结白名单,添加为白名单的帐号/IP地址不会因为触发冻结机制而被冻结。
(4)系统需支持异常应用的管理功能,可配置异常应用判定规则。
(5)为满足用户安全访问系统的需求,需提供二次认证、多因子登录的功能。需支持管理与配置二次认证/多因子认证方式及使用顺序,需支持管理员通过手动拖拽方式维护不同认证的顺序,系统可按照可用性及顺序智能选择当前最适合的认证方式。
(6)恶意登录管理:系统应支持帐号恶意登录的锁定功能,并可通过短信提醒用户,确保帐号安全。
(7)系统需提供安全配置功能,管理员可配置密码策略、验证码策略、激活策略、安全问题策略、找回密码策略、人脸识别方式、完善资料策略。
(8)平台应支持对用户的密码规则进行配置,密码规则需包含密码分值策略和条件规则策略,支持管理人员自行调整相关规则内容。
(9)需提供密码黑名单功能,需支持通过勾选的方式指定密码中不可包含的字符类型,至少包含:用户账号、用户邮箱、用户手机号、居民身份证号码以及自定义字符,其中自定义字符应可以支持手工新增和批量导入两种方式,批量导入时平台提供标准模板方便导入。
(10)针对用户敏感信息的数据加密功能,当查看用户的敏感信息(手机号、邮箱号、证件号码)字段时,需要重新进行身份校验,校验完毕后才能查阅相关信息,同时需演示在批量导出用户数据时,用户可手工勾选不需要加密的相关字段(默认全部勾选)并完成身份认证后才可导出相关数据。
5.外部协议拓展认证
(1)OAuth认证开放服务
需支持OAuth2.0协议,支持OAuth开放服务,可向第三方提供OAuth2.0接口,方便第三方使用OAuth开放协议来获取服务,包括OAuth应用注册和OAuth服务管理。未注册的应用不允许授权。
(2)FIDO协议认证服务
支需持FIDO协议,能够将支持该协议的设备、浏览器的用户生物信息与个人帐号信息绑定,面向用户提供管理页面,****中心可以自行绑定可行设备,满足用户利用个人生物进行进行登录服务。
(3)第三方实人认证配置
需支持配置第三方实人认证方式,打通支付宝人脸识别插件。
(4)SAML协议认证服务
需提供SMAL 2.0认证协议,以提供对office365提供非常**的集成对接能力。
(5)RESTful方式认证服务
需额外提供RESTful认证方式,能够对微信小程序等只支持RESTful接口的应用提供**的集成对接能力。
(6)WEBVPN无感登录
需支持配置与VPN无感登录参数,用以在认证完成后自动建立VPN访问通道。
(7)联合认证管理
需支持配置QQ、微信、微博、钉钉等第三方联合登录方式。
(8)数字证书CA认证
需支持数字证书CA认证,支持通过采用UKey作为数字证书载体,存储用户的密钥及数字证书,并通过签名验签服务器和USBKey证书校验用户身份合法性,实现对用户身份的认证。
6.业务场景提升
(1)弱密码、僵尸账号管控
1)在账号使用前期
针对新生成的账号,要求不使用默认密码方式进行发放,要用户进行自主激活,激活之后方能使用,激活过程中强行要求设置强密码。
2)在账号使用中
在运行过程中实时监测账号强度,针对弱密码账号单独列表展示,管理员可以手动进行冻结。针对长期不登录的僵尸账号也进行冻结。当被冻结的账号再次登录时进行需要解冻,用户可以自主进行解冻。
3)在账号使用后
账号生命周期到期若进行注销的话,进行归档。若不注销,自动变为校友等其他设置好的权限,按照使用中的情况进行管理。
(2)登录环境异常安全管控
当出现异常登录时,需要进行再次验证。验证使用第三种方式,如短信验证码、或扫码,可以自定义。
(3)灵活二次登录
针对首次登录可以支持除账号密码之外的其他登录方式(不再固定为账号密码),针对重要系统的二次登录,也可以使用不同方式进行验证(不再固定为短信验证码),同时系统自动实现首次与二次使用不同的登录方式。
(4)暴力破解防范
当出现以暴力破解的方式进行登录,首次登录失败后,再次登录就需要使用图片校验码或滑动码。校验码或滑动码什么时间出现可以由管理员自己定义,如1次登录失败就出现,或3次登录失败就出现,甚至首次登录就出现。
(5)认证日志记录
日志保存的时间可以由管理员进行设置,可以设置180天,或365天,或永久保存。
(6)账号全生命周期管理
账号全生命周期管理主要涉及账号生成、账号使用中、账号使用后。
1)在账号生成阶段,针对有系统支撑的,直接与系统进行同步,没有系统支持的,通过手工添加。账号生成好之后可以设置自主激活,可以规定在有效期进行激活,超过有效期的话需要人脸识别方式激活。
2)在账号使用过程中,可以对账号的权限进行灵活设置,进行弱密码管控,进行基本信息管理,进行身份状态的动态设置。
3)在账号使用之后,针对本科生或研究生可以设置到期或同步学籍状态之后,可以定义多少天后自动切换到校友状态,教职工在离职之后,可以定义多少天后自动切换到离职人员状态。也支持针对其他临时人员的当状态变化时对时效及权限同步自动变化。
(7)账号精细化权限控制
支持对全校组织架构进行管理,学生、教师按照组****学院、部门。同时支持创建用户组,师生也可以根据业务需要归属到不同的组。后期在进行权限设置时,可以自动分配到用户组里面来。
(8)协议扩展
支持最新CAS,SAML1.1,SAML2.0,OAUTH2.0,TSL 1.2。
同时扩展支持其他协议,如restful。FIDO。
OAuth2.0的协议,校外应用开发商、学生社团或个人,****学校已有的身份认证体系,减少学生重新注册功能。在此基础上,通过OAuth2.0协议,开放一些学生个人相关信息(经过用户个人确定同意),针对用户做更加个性化的功能。
Fido协议,系统支持将特定型号/浏览器用户生物信息存储绑定至本地PC,在下次登录时允许用户使用已经登记的生物识别进行登录。
SMAL 2.0认证协议,能够对office365等SaaS服务提供非常**的集成对接能力。
RESTful认证方式,能够对微信小程序等只支持RESTful接口的应用提供**的集成对接能力。
支持调用支付宝人脸识别服务,用户启用后,在激活、二次认证等场景下可以配置人脸识别认证方式或环节。
系统支持使用WebHook扩展系统功能,开启WEBHOOK后,系统将在用户登录/注销时向第三方系统发送通知消息,从而联动第三方系统的认证;
(9)多种登录验证方式
至少支持4种登录方式,师生可以通过微信、qq扫码,可以使用短信验证码、可以使用人脸识别、指纹方式。
(10)上网与应用共享账号
支持通过CAS、LDAP、OAuth2.0****学校的上网设备打通。师生只需要使用一套账号密码既可以用于上网,又可以用户应用认证。
同时结合临时人员管理方案,支持校外临时人员在校内工作时,可以通过申请审批的方式获得上网账号。到期之后自动注销。
(11)VPN无感知登录
支持与VPN(电脑端)实现无感知登录,老师在校外访问系统时可以通过统一认证直接访问校内系统,认证自动判断通过VPN通道实现访问,在保障安全的同时提升交流的体验。
(12)一人多身份自动合并
系统按照规则自动完成对一人多账号的身份合并,关联账号合并规则如下:
规则1:当多个账号的姓名+证件信息一致时,对账号进行合并;
规则2:当多个账号的证件信息为空,姓名+手机号一致时,对账号进行合并;
规则3:当多个账号的证件信息、手机号为空,姓名+邮箱一致时,对账号进行合并;
合并后的账号在系统内被认为是同一自然人,合并后的账号集内手机号、邮箱可以重复,用户在使用非账号/密码(如短信验证码)登录时,可选择某个具体账号进行登录。
多个关联账号支持设置某个账号为常用账号,设置为常用账号后,所有的非账号/密码(如短信验证码)登录均自动登录该常用账号。
使用非账号密码登录方式登录会提示选择常用账号。
(13)账号冻结自主激活
在认证登录界面提供账号激活入口,不仅仅支持首次登录激活,也支持在账号冻结之后进行自主激活。
1)激活使用之前
管理员
管理员在之前对认证系统进行设置,启动激活、激活流程、激活方式、激活过程、需要填报的信息等。
2)激活使用中
待激活用户
激活的人员在认证首页直接点击账号激活,就可以按照之前设定的步骤进行一步一步进行激活。激活完成之后设置强密码,之后用户就可以使用了。
7.****中心
(1)服务事项管理
1)需支持查看已创建的服务事项,并可根据自定义字段创建服务事项;
2)需支持通过服务事项名称关键字搜索;
3)需支持通过已配置且已关联服务事项的服务对象、责任部门、服务主题进行下拉筛选;
4)需支持通过是否关联服务进行筛选;
5)需支持通过服务事项状态进行筛选
6)需按照服务事项名称、服务对象、责任部门、服务主题、是否关联服务、是否第三方、最近修改时间、填写进度、启停状态、操作(编辑/启停/删除)内容展示服务事项列表
(2)服务事项评价管理
1)服务事项评价查询
需支持按服务事项、服务对象、责任部门、服务主题筛选;
需支持评价结果的隐藏处理。
2)查看评价
需通过服务事项列表中某一条事项点击查看评价展开,可查看某条服务事项评价的具体内容;
评价分数为四项:服务态度、信息完整度、办事进度、整体满意度,评价总分为前四项平均分,最高为五分(5.0)
评价内容列表支持按照全部、好评、差评筛选查看,其中好评为三分及三分以上,差评为三分以下;
评价内容展示评价人名称、评价时间、四项评价分数。
(3)服务事项排序
管理员可通过已配置好的服务分类、责任部门内容,针对已有的服务事项进行排序;用于用户在前台根据不同的主题分类、部门分类筛选下查看的服务事项排序规则配置;
(4)三张清单管理
1)责任清单维护
需支持按照“部门配置”中的部门树配置职责内容,同时支持搜索查询部门名称;部门树支持展示该部门下配置了多少个职责数量;
2)审批 服务清单查询
需支持按照“部门配置”中的部门树查询内容,同时支持搜索查询部门名称;
需点击部门可查看该部门下的清单内容,支持按照服务事项名称、清单类型、办理类型查询;
(5)服务事项配置
1)分类配置
管理员可通过配置分类,为不同服务事项进行分组管理;用户可在前台门户通过关联服务事项的分类内容进行筛选查询服务事项;
服务事项分类支持最多可添加三级;同级别内支持上下排序;
分类列表支持添加、编辑、删除分类内容,可根据不同分类纬度下进行分类名称关键字搜索;
支持按照分类名称、图标类型(字体图标、PNG图标、不需要图标)**一级分类;
支持按照分类名称、一级分类选择的图标类型来**二/三级分类;
2)服务事项详情配置
用户可以配置**服务事项时的填写字段信息,用于生成办事指南展示给前台用户查看,分为基本信息与独立模块部分,系统出库将会包含预置信息部分。
3)服务对象配置
管理员可通过关联组织机构、用户组、用户、游客配置服务对象,使用户在前台门户可以快速定位到与自己相关的内容,并针对不同的对象进行不同内容的推荐相关内容;
列表展示服务对象名称及单条服务对象对应的配置信息;
支持对单条服务对象进行关联、编辑、删除操作,并可对服务对象内容进行排序;其中管理员可通过关联组织机构、用户组、用户、游客配置服务对象;
4)部门配置
用于维护服****服务部门及责任部门内容;管理员可通过管控台提供的组织机构树中选择相应部门。
(6)授权管理
1)用于管理维护系统管理员、服务事项管理员;
2)系统管理员:可在授****管理中心的菜单;
3)服务事项管理员:使用授权部门范围内的服务事项管理、服务事项评价查询、服务事项排序;服务事项管理员需设置事项管理的部门范围,可选择一个或多个部门。
▲(7)与学校网上办事大厅(瀚云)集成,****中心梳理的内容能够在网上办事大厅中发布,投标人提供承诺函。
8.系统对接
★(1****学校现有的办公自动化系统(万户)、学工系统(溯源)、教务系统(瀚云)、人事系统(宏景)、数据上报平台(金智教育)、融合门户平台(瀚云)、微信企业号、云盘系统(信核)、上网认证系统(深澜)、VPN(深信服)、图书管理系统(汇文)身份集成,并承担集成费用。
(2)其中办公自动化系统、学工系统、教务系统除了完成整体系统身份集成,还要实现具体服务身份集成,如办公系统的办事服务(办公用品(耗材)申购流程、办公用品申购单、报告厅使用申请单、报销审批流程、采暖费审批单等服务)、学工系统(通知服务、活动报名服务、信息收集服务、学生请假服务、签到服务、查寝服务、辅导员工作日志服务等服务)、教务系统(课表查询、成绩查询、考试安排查询、监考安排查询、学业预警查询、学业完成状态查询、全校课表查询、空闲教室查询、调停补课申请、教室借用申请等服务)并提供具体的解决方案。
(二)数据中台建设要求
1.元数据管理工具
(1)支持在页面可视化管理元模型架构,需包含关系型数据库元模型架构、任务元模型架构和仪表板元模型三种架构。支持元模型架构的新增、编辑、删除等操作。
(2)支持元数据采集任务配置管理,需包括调度周期、采集名单和入库策略。调度周期支持采集任务的自动执行时间,如果不填则手动触发任务运行;采集名单支持从源头选择采集哪些元数据,可通过正则表达式过滤掉不需要采集的元数据;入库策略支持新增、更新、删除三种选项;
(3)支持查看元模型架构实例下展示包含的各级元数据的信息。详情页需包含元数据的概览信息、核心元模型全链分析和版本管理;
(4)支持对核心元模型(表、任务、仪表板)进行搜索。在搜索框中输入关键字,搜索后需按照表、任务、仪表板展示匹配到的元数据,命中属性会高亮展示,同时会列出匹配依据。
2.信息标准管理工具
围绕信息标准管理提供相关工具,满足数据元素标准、标准代码与标准文档的管理功能。
具体要求如下:
(1)数据元素
1)需支持批量导入《GB/T 36351.2-2018 信息技术 学习、教育和培训 教育管理数据元素 第2部分:公共数据元素》中的标准数据元素到平台。导入时,需能检测数据元素依赖的标准代码是否存在,不存在时,需要同步导入依赖的标准代码。
2)需支持对数据元素进行查询、新增、注册、标准落实、变更、废止等管理功能。
3)数据元素属性需包含业务属性、技术属性、管理属性等;数据元素的业务属性需包含数据元素分类、标识符、数据元素名称、汉语简拼、定义等;数据元素的技术属性需包含数据类型、长度、精度、值域;数据元素的管理属性需包含标准级别、标准引用来源、批准日期、版本等。
4)需支持按状态管理数据元素,需包括草稿、标准、废止等不同状态。只有草稿状态的数据元素,才能删除,其他状态的数据元素,不可以删除。对于多个草稿状态的数据元素,支持批量注册。
5)同一个数据元素的多个版本,仅能有一个版本处于标准状态,当注册一个新版本时,其他标准状态版本自动变更为废止状态。变更时,需能生成一个高版本的草稿状态的数据元素标准;当某数据元素已经存在变更的草稿状态的数据元素时,不能重复变更。
6)需支持对数据元素取值范围进行管理,需包含“限定范围”,“引用标准代码值”,“枚举值”等形式。
7)标准落实时,****数据中心内哪些字段与数据元素一致,支持批量选择进行标准落实,保证字段定义的标准化。
8)需支持数据元素分类的管理,包括新增、编辑、删除功能;只有该数据元素分类下没有数据元素时,才可以删除该分类。
(2)标准代码
1)需支持批量导入国标《GB/T 33782-2017 信息技术 学习、教育和培训 教育管理基础代码》标准代码到平台。导入时,需能自动过滤已导入的标准代码。导入的不能对已有的代码进行更改和删除,仅新增。
2)需支持对标准代码进行查询、新增、编辑、配置代码等管理功能;新增标准代码时,标准代码名称不可重复,新增的标准代码默认为已启用状态。
3)需支持对标准代码中的代码值进行新增,需支持添加辅助代码与上级代码。
4)需支持查看标准代码的引用关系,可查看引用该标准代码的表名和字段名。
▲5)支持标准代码删除操作,删除前需先停用,不可以直接删除。(提供相应真实系统证明材料加盖投标人公章)
6)需支持标准代码分类的管理,包括新增、编辑、删除功能。只有该标准代码分类下没有标准代码时,才可以删除该分类。
(3)标准发布
1)需支持代码标准、数据标准、编码规范生成或导入、发布申请、发布审核流程管理,需支持查询、作废、删除、门户可见、门户隐藏等操作。
2)支持编码规范文件上传管理,支持pdf、doc、docx、png、jpg、jpeg、xls、xlsx、zip等文件格式;
▲3)代码标准、数据标准、编码规范发布时需支持设置标准号、实施日期、替代标准;标准号管理需支持三段式管理,****学校编码,默认值可在系统配置中调整,第二段为标准编号,第三段为年月。(提供相应真实系统证明材料加盖投标人公章)
4)代码标准和数据标准需支持PDF文件下载及预览;新版本的发布不影响历史版本的查询。编码规范需支持上传文件格式的下载。
3.贴源层管理工具
(1****学校原始数据的采集、存储。
(2)贴源层需支持批量将外部数据源中的表和数据采集到贴源层,采集时需支持全量或增量采集。采集时需支持忽略错误数据条目,继续执行采集任务
(3)为方便对贴源层中数据表的管理,支持将贴源层的表按照贴源表和贴源代码进行分类管理。
(4)需支持查看贴源表的详情概览,需展示源头表信息与本表信息;源头表信息中需包含数据源名称,源头表名称,源头表数据量;本表信息需包含表名、物理表名、字段数量、数据量、数据上次更新时间、责任单位、集成任务等信息;
▲(5)需支持自定义数据清洗规则过滤脏数据,过滤的数据归集为黑名单数据,需支持对黑名单数据进行查询;(提供相应真实系统证明材料加盖投标人公章)
(6)需支持贴源代码值映射功能,支持贴源代码表与标准代码匹配映射关系。需支持代码自动映射机制,当源头表代码发生变化,代码未映射成功时,会使用名称与代码标准的名称、简称进行匹配映射。
(7)需支持贴源表、标准表的数据血缘关系管理,以外部数据源、贴源层、标准层、主题层等节点查看数据的上游与下游数据流转关系;
(8)需支持停用和删除贴源表、标准表、主题表,只有停用的表才能删除;
4.标准层管理工具
(1)需支持按业务域、业务子域和业务单元三级对标准层数据模型进行分类管理;已预置标准模型需严格遵循三级分类。
(2)需支持批量导入标准层数据模型;导入时支持对相关引用表、引用代码表进行同步导入。
(3)支持查看标准表的概览信息,需展示表名、物理表名、引用模型信息、字段数、数据量、数据上次更新时间、责任单位、集成情况等信息。需支持标准表的数据明细查询;需支持查看数据的变更记录;需能检测标准表内字段与数据元素之间差异,并自动进行标准落实以实现和数据元素标准保持一致;
(4)支持新增和查看与标准表相关的清洗转换任务;数据清洗转化任务需支持通过零代码配置,支持可视化配置数据输入、左右关联、过滤、计算字段、字段映射、数据输出等属性来完成清洗转换任务。
5.数据集成管理工具
为了构建我校统一的校级数据仓库,投标方需提供一系列数据采集管理工具,用来完成面向分散数据的集成汇聚工作,解决我校数据孤岛的问题。
具体要求如下:
(1)需提供外部数据源管理,可按来源库与目标库的维度对数据源进行分类管理;
(2)为方便数据源的管理,需支持添加数据源标识与责任单位;支持对数据源进行新增、编辑、测试、复制、停用、启用、删除等操作;
(3)需支持国内外主流数据库,且支持以下形式的数据采集,包括GaussDB(openGauss)、GaussDB(DWS)、Greenplum、MariaDB、MySQL、Oracle、PostgreSQL、SQL Server、SQL Server 2000、Sybase、达梦、海量、神通;
(4)需支持集成任务管理,可按数据采集、数据清洗转换、数据建模、自定义对集成任务进行分类;
(5)数据集成任务需支持以可视化、零代码的数据集成方式完成,支持按数据输入、关联合并、数据过滤、数据映射、数据输出等流程化的形式完成数据集成操作。
(6)为满足一些复杂集成操作,需支持自定义集成任务,将外部的数据集成任务以文件形式进行导入,需支持ktr等类型的集成任务文件;
▲(7)需支持对数据集成任务运行情况进行监控,需能通过健康度指标来反映任务在近期运行中的稳定程度,需通过不同颜色来区分展示。(提供相应真实系统证明材料加盖投标人公章)
(8)需支持**调度计划,通过可视化界面以图形化的简易操作形式即可完成任务调度排布;需支持串行、并行执行的任务调度形式;需支持按调度周期、每秒、循环、指定时间等自定义cron表达式执行调度,cron表达式需支持可视化配置,无需编写表达式规则;
集成任务调度能力;通过可视化界面配置Cron表达式,配置调度计划执行时间,通过“拖拉拽”式界面简易配置一条按“数据采集”到“数据清洗转换”到“数据建模”顺序执行的调度。
(9)需支持可视化展示平台任务运行情况,包括调度监控、数据源监控、任务监控、任务运行设备监控等信息,方便管理者对任务的运维管理;
(10)调度监控需支持以运行时刻图的方式展示构建数仓、质量检查、数据交换和其他调度的每日执行情况。应展示每次调度的开始时间、结束时间、耗费时长和运行结果。
(11)数据源监控需能展示来源库和目标库的正常连接和错误连接的数据源统计情况。
(12)任务监控需能以图表形式展示交换、采集、清洗转换、建模和其他自定义任务的运行次数和成功次数。应能展示最近5次及以上任务运行详情,包括任务开始时间、任务类型、任务名称、运行时长、运行结果等信息。
(13)任务运行设备监控应展示每个运行任务的服务器设备情况,包括每台设备的IP地址、CPU数、内存和指定时间范围内的任务运行次数
(14)需支持任务异常告警,当集成任务涉及到的数据源或数据目标发生变化影响到任务进行时,任务将进入告警状态,及时提醒管理员处理。
(15)数据看板需支持可视化方式呈现数据治理的成果,包括数据采集、数据共享交换和数据API,系统操作员可根据看板结果进一步分析数据实施成果的运行问题。
(16)自定义集成任务能力;通过导入外部集成任务文件的形式创建自定义集成任务,支持导入ktr等类型的集成任务文件;并能执行接口及查询执行日志;接口不支持直接删除,须先停用,才能删除接口。
6.数据API管理工具
数据API支持根据数据使用需求直接定义数据接口并授权给应用,同时为确保数据接口安全调用,支持设置调用频率限制和IP黑名单。
▲(1)支持新增、编辑或删除数据集成API。新增数据集成API的配置信息需包括接口的属性和字段信息,其中属性的定义包括接口的唯一编码、接口名称和说明,编码默认系统自动生成并支持用户手动调整;接口的字段需支持通过SQL语句****数据中心的数据作为接口返回字段。需支持通过SQL构建器快速选表生成SQL语句。(提供相应真实系统证明材料加盖投标人公章)
(2)需支持用户删除数据集成API。删除后,在数据集成API授权列表中,授权关系将被标注“已删除”,但不**步删除授权关系,在有效期内应用将无法调用授权API,同时数据API看板将不再统计已删除API;
(3)需支持用户将集成API授权给应用,授权属性包括:授权API、授权应用、授权有效期、使用限制。
(4)需支持用户禁用或启用API授权状态,禁用后该应用将无法调用授权API,需通过启用恢复。
(5)需支持删除授权关系,删除后,该应用将无法调用API接口,授权关系无法恢复,但删除授权关系不会影响API调用日志,数据API看板同步保留删除之前的使用统计结果。
(6)需支持查看数据集成API的调用信息,便于系统操作员排查异常情况,支持在详情中查看接口调用失败的原因,日志记录时长默认为365天。如下图,日志信息包括:应用名称、APP ID、接口名称、接口路径、请求时间、请求方式、调用者IP、执行时间、响应时间、调用结果、调用数据量。
7.核心校标编制服务
对影响全局、制定难度较大、执行推广难的标准,以下称为核心校标,优先完成制定,包含校区代码、组织机构分类与代码、人员分类与编码规则。同时明确核心公共标准的管理、维护等职责及业务流程。输出并发布《核心校标及编码规范》。
8.主题层管理工具
▲(1)主题层数据模型需支持面向业务对象和面向业务过程进行分类管理。需支持批量导入主题层数据模型。(提供相应真实系统证明材料加盖投标人公章)
(2)主题层事实模型结构需支持以ER图方式呈现事实表以及关联维度。需支持关联维度展开或收缩的功能,便于查看浏览。
(3)支持查看事实表的概览信息,需展示事实名称、引用模型、事实类型、事务事实、维度数量(个)、度量数量(个)、数据量(条)、数据上次更新、集成情况等信息。
9.指标库管理工具
▲(1)指标管理需支持指标分类管理;当指标分类下面数据指标不为空时,不允许删除;(提供相应真实系统证明材料加盖投标人公章)
(2)指标管理需支持创建原子指标、派生指标、衍生指标管理;支持查看指标基本信息、指标数据、指标血缘关系及指标计算任务运行日志信息;
▲(3)派生指标需支持自定义统计周期、统计范围限定、统计算法设置;统计范围限定需支持 与、或、不等于、空、为空、包含、模糊匹配等设置,统计函数需支持求和、平均、计数、去重计数、最大值、最小值等算法; 需支持调度规则设置,完成数据自动化计算。(提供相应真实系统证明材料加盖投标人公章)
▲(4)衍生指标需支持可视化配置,支持从指标库拖拽数据指标,支持 算术运算符、比较运算符、逻辑运算符等计算;支持调试及结果查看;需支持调度规则设置,完成数据自动化计算;(提供相应真实系统证明材料加盖投标人公章)
(5)需支持统计周期的灵活可视化配置,支持基准日期、偏移量及单位设置, 基准日期需支持该日、该周首日、该月首日、该季度首日、该年首日、该学期首日、该学年首日等选择;
10.数据质量管理工具
为持续发现我校数据质量问题,需预置数据质量检测规则,对数据质量问题进行管理、检测、跟踪、处理,常态化自动生成数据质量报告,持续提升我校数据质量。
(1)数据质量管理需包含质检规则、质检方案、质检结果管理。规则库需至少包含非空检查、值域检查、规范检查、唯一性检查、引用完整性检查、逻辑检查等类型的检测规则。需支持按数据元素批量新增质检规则。
(2)支持设置进行质检的表、检查字段;支持通过正则表达式自定义数据质量检测规则。
(3)支持对质量检测规则进行问题级别定义,需至少包含“建议”“轻微”“一般”“严重”等维度,便于对数据质量问题采取不同响应措施。
(4)支持自定义保留最近检测次数的质检结果,而质检方案汇总数据将永久保存。
(5)支持质检方案的执行周期,预警规则,质检报告发送策略和发送人员进行设置。需支持按每日、每周、每月、每年进行质检任务调度;需支持通过问题级别、质检分数设置阈值,通过不同阈值将预警级别分为高、中、低三个级别。质检报告发送策略需支持每执行多少次发送一次、预警结果高于或等于某预警级别时、质检分数低于多少分时三种方式,也支持三种方式组合;
▲(6)支持查看数据质量分析报告,质检报告需支持PDF格式下载;报告内容需包含数据质检综合评分、质检评分历史趋势、质检结果分析、评估概况、数据表质检明细、各部门质检明细等部分内容。(提供相应真实系统证明材料加盖投标人公章)
(7)质量检测规则管理,支持设置进行质检的表、字段;支持通过正则表达式自定义数据质量检测规则,并提供质量问题预警功能,支持对质检方案的执行周期、预警规则、质检报告发送策略和发送人员进行设置,支持按每日、每周、每月、每年进行质检任务调度。
11数据安全管理工具
(1)需支持数据**分类管理、数据**分级管理、数据脱敏管理。
▲(2)数据**分类管理需包含分类维度、分类规则、分类管理等管理功能。分类维度需预置公民个人维度、敏感个人三个信息维度;分类规则需支持通过正则表达式进行设置,系统可自动匹配符合规则的数据**项并将其放入对应的分类;分类管理需支持用户手动新增、通过分类规则两种方式新增。****中心的表详情页和元数据管理中查看数据项的分类信息。(提供相应真实系统证明材料加盖投标人公章)
▲(3)数据**分级管理需包含分级定义、分级规则、分级管理等管理功能。分级管理需支持用户手动新增和通过分级规则执行****数据中心的表详情页和元数据管理中进行查看数据项的分级信息。(提供相应真实系统证明材料加盖投标人公章)
(4)需支持按照数据**名称或脱敏规则名称自动匹配生成数据**项对应的脱敏规则。需支持对数据仓库及外部数据源中的数据项传输时进行脱敏规则的绑定。****中心的表详情页和元数据管理中进行查看数据项的脱敏策略。
▲(5)需支持在数据共享交换时为数据项选择数据脱敏策略。(提供相应真实系统证明材料加盖投标人公章)
▲(6)数据脱敏需支持哈希脱敏、字符掩码、取整脱敏几种方式,其中算法支持SHA256、SHA512、MD5、SM3、保留前m位和后n位、保留第m-n位、遮盖前m位和后n位、遮盖第m-n位、特殊字符前遮盖、特殊字符后遮盖等。(提供相应真实系统证明材料加盖投标人公章)
(7)需支持对数据仓库及外部数据源中的数据项传输时进行字段加密。加密算法和密钥以应用管理中的应用为单位进行控制。****中心的表详情页和元数据管理中进行查看数据项的加密策略。
▲(8)需支持在数据共享交换时为单个数据项选择数据加密策略。(提供相应真实系统证明材料加盖投标人公章)
12.数据开放门户
数据开放门户是全校数据**目录、数据标****中心。
(1)需提供全校统一的数据开放服务门户,提供数据**的全文检索、分类搜索。用户可通过此界面对数据**发起数据交换申请,提供API接口、数据库推送、文件导出等多种开放形式;
(2)需提供数据运营看板,可对数据**基本情况、数据**共享情况、数据**使用情况、数据**挂接情况进行实时监测;
(3)需将审核通过后的数据标准发布到数据开放门户,供全校各职能部门和师生查阅、下载,
13.数据**目录
(1****中心
数据**目录用于梳理数据**,为数据共享开放做基础准备工作。
具体要求如下:
1)需支持根据数据范围构建不同的数据**目录完成数据**目录的新增和删除;可自定义的管理数据**的组织和展示结构。支持数据**分类维度新增和删除。支持数据**分类层级的新增和删除;
▲2)需支持按照不同的数据**目录展示数据**,可在分类树上切换数据**目录。新增数据**时,需支持数据**属性、分类和数据项的维护工作,其中数据**属性需包括数据**编码、数据**名称、责任单位、共享类型、使用方式和数据**说明。数据**分类需能够定义数据**属于哪个分类维度的哪个分类。数据**的数据项需包含SQL字段、数据项名称、数据项别名、业务标识、责任单位和元数据关联字段。(提供相应真实系统证明材料加盖投标人公章)
3)需提供SQL构建器,通过可视化选数据源、schema、表、字段的方式,并根据特定的处理逻辑(如为引用代码字段添加代码名称),直接生成SQL,降低用户使用成本。;
4)需支持用户编辑数据**,新增的数据项不会出现在原有的授权和现在待申请清单中。删除数据**时,数据**的授权记录不受影响、可通过专门的筛选项查看已经删除的数据**的授权记录
▲5)需支持用户为数据**创建数据子集,帮助用户可以根据特定需求或标准,从大型数据集中提取出更为精细化的数据。(提供相应真实系统证明材料加盖投标人公章)
6)需支持展示数据**的数据,支持通过数据子集快速筛选数据。需支持维护数据**的样例数据,以便用户在数据门户查看数据**时快速理解数据结构。
7)需支持用户上传样例数据到指定的数据**中,上传格式支持xls、xlsx。系统支持自定义样例数据读取范围。
(2****中心
数据门户侧****学校数据共享开放的成果,后台发布的数据**可以在数据门户侧展示,供用户申请使用,以满足校内应用建设或行政办公的需要。
1)支持使用数据**名称和数据项名称进行全局检索。
2)支持通过数据**分类维度、使用方式、责任单位快速筛选定位相关的数据**。
3)支持查看数据**的详情,包括:数据**的基本属性信息、数据项、数据子集、样例数据和安全信息。
4)支持用户申请数据**,申请方式支持直接提交申请,或加入到待申请清单中。支持的申请使用方式包括:在线查询、通过Excel下载、通过OData接口获取数据、通过ETL获取数据。
★14.系统集成
****学校现有的办公自动化系统(万户)、学工系统(溯源)、教务系统(瀚云)、人事系统(宏景)、数据上报平台(金智教育)、融合门户平台(瀚云)、微信企业号数据集成,并承担集成费用并提供具体的解决方案。
(三)安全服务
****学校信息化业务系统及数据的可靠和安全运行,除了采用技术手段为重要支撑外,以主动式防御为主,以风险管理为核心。全面推进和贯彻信息安全管理,将技术措施落实到实处,使其发挥到应有的作用。****学校业务系统及安全建设情况,本次安全服务要求对统一身份认证平台和数据中台涉及的操作系统、中间件、数据库实现全面的安全检测、漏洞扫描安全风险评估、安全整改、安全加固、安全应急响应等一些列的安全服务。进而来提升业务系统安全服务能力,具体服务内容如下:
1.提供漏洞扫描服务,针对发现的漏洞结果(包含操作系统漏洞、应用程序漏洞、数据库漏洞、中间件漏洞)进行人工验证,保证漏洞扫描结果的真实性。
2.漏洞扫描参数应包含但不限于:版本漏洞、开放端口、开放服务、空/弱口令账户、安全配置等。
3.依据相关标准或规范,投标方应结合招标方制定的基线核查标准、上级单位的基线核查标准、行业基线核查标准及行业最佳实践等,目标对象进行核查,目标对象包括但不限于:操作系统、数据库及中间件等。
4.操作系统安全基线服务需提供系统漏洞补丁管理、帐号和口令管理、认证、授权策略、网络与服务、进程和启动、文件系统权限、访问控制、通讯协议、日志审核功能等;
5.数据库安全基线服务需提供帐号和口令管理、认证、授权策略、访问控制、通讯协议、日志审核功能、其他安全配置等;
6.中间件安全基线服务需提供帐号和口令管理、认证、授权策略、通讯协议、日志审核功能、其他安全配置等。
7.依据相关国家标准或国际标准,根据资产识别结果,采用不同手段对资产进行全面的脆弱性识别,及时发现、处置脆弱性,避免或降低脆弱性被利用的几率。
8.应对威胁利用率极高的风险提出整改建议,配合招标方及时处置。
9.能够实现对招标方本次服务范围内的重要资产进行威胁定位搜索,针对潜在或潜伏的病毒进行快速响应,同时能快速确认全网其他设备是否感染。
10.应在风险分析完成后,组织召开相关会议,将风险评估实施过程全生命周期发现的情况或问题统一反馈,并提出可落地的建议或方案。
11.根据安全风险评估等结果对服务范围内信息资产做安全整改工作,在对漏洞的修复验证、安全基线的配置整改基础之上完**全防护安全策略优化、 策略有效性调优等服务。
12.提供对不同等级安全域间通信实施有效的访问控制策略和机制,全面优化及策略调整,收紧安全访问策略、去除遗留冗余及无效策略。
13.提供对该项目涉及的系统进行安全需求分析、策略制订、安全风险评估,制订对信息系统实施安全加固。
14、服务期内服务次数不限。服务最终交付物为服务报告。
三、服务方案要求
该项目规模较大,系统需求复杂,涉及部门、环节多,为了保证实施过程顺利有序,投标人必须作出详尽慎密的设计方案和实施方案,****学校使用,主要内容应包括以下几个方面:
★(1)时间进度要求
本次项目须严格按工期部署完成,并达到采购人的要求。投标方需要在响应文件中给出预服务工期进度表。
(2)组织架构与职责
1)描述项目成员的组成,以及成员的职责。
2)提供项目经理1人,负责全程跟踪项目的开发与实施,直至该项目验收,并保证现场工作时间2个月以上。
(3)实施阶段划分
描述各个实施阶段的工作范围、内容、人力投入、过程、责任、交付成果等。
(4)项目管理要求
投标方必须提出针对本项目的科学严格的管理方案与措施,保证项目全面顺利实施。
(5)项目配置管理
在项目的建设过程中以及交付使用后,会产生大量文档和程序,如:需求分析说明、设计说明、可执行****开发部分的源代码、用户手册、测试用例、测试结果等技术性文档以及合同、计划、会议记录、报告等管理文档。而且文档的版本在不断变迁和修改中,势必产生一个庞大、动态的信息集合。因此,必须建设相应的配置管理系统,通过一系列技术、方法和手段来维护产品的历史、鉴别和定位产品独有的版本、在产品开发和发布阶段控制变化,制定规范的配置管理工作计划和流程,沟通交流配置管理工作情况,从而使管理制度化、有效减少重复性工作、保证产品的质量和效率和系统的后续升级和维护。
(6)项目管理规范和手段
根据项目的实施方案,在实施过程中,为了保证用户方、开发方等各方能够对项目建设实施进行监控,及时发现和解决问题,必须建立相应的项目管理规范,包括项目执行监控流程、执行监控的方法、执行监控的责任等,使管理和监控工作流程化、规范化,管理和监控工作责任明确。
(7)项目管理控制
项目的管理控制包含多个方面:项目范围、风险、进度、质量、变更管理控制,应贯穿项目开发建设的始终,必须做到对项目建设范围准确定义,一旦范围发生变更,要有相应地变更控制和应对措施。
(8)风险管理
项目风险管理是识别和分析项目风险及采取应对措施的一个过程,包括风险识别、风险量化、风险对策、风险对策实施控制四个方面。项目在实施过程中会出项各种各样的风险,必须做到充分、有效识别风险,应对风险和控制风险,在项目实施之初必须制定风险预测和规避风险的对策。
(9)实施过程管控工具要求
****学校信息化建设的重点支撑,投标方的项目实施计划及过程进度管控能力是项目成败的关键,因此需要投标方提供或开发针对项目的详细进度计划管理工具软件或系统,对详细进度计划涉及的功能模块、任务、时间节点、人员进行精细化管理,且支持开放给采购人使用,方便双方项目团队成员以工程项目为基础,对项目实施计划及项目计划任务执行情况进行跟踪及反馈,对项目实施过程中出现的问题及其处理过程进行完整记录,并可对于项目交付物统一管理,项目汇报规范,交付过程项目团队响应和解决及计划完成有效监控,使项目交付过程面向校方全程开放。软件应至少包含以下内容:
1****学校领导为视角的项目综合看板,****学校内所有项目的当前状态、热门应用的排名情况、校内所有项目问题及投诉的实时处理进展、以及每一项目的建设周期、干系人、进度任务、问题、投诉、配置库等信息;
2)应提供以业务老师为视角的项目信息管理,可查看个人负责和参与的所有项目,以及每一项目的建设周期、干系人、进度任务、问题、投诉、配置库等信息;
3)支持对实施进度及实施任务执行情况追踪,可以**任务、添加任务执行过程、完成任务等,可集中管理该项目下所有产品的实施进度任务,包含里程碑任务、工程任务、客户任务以及个人任务等;
4)应支持记录项目实施中的日报、周报、月报等工作过程,在实施人员填写完成后,用户可以直接查看,还可对工作记录进行批注,提高信息透明度;
5)对于项目中出现的重大问题,用户可以直接通过平台进行投诉,提交投诉后,****公司的专业运营团队进行跟踪处理,受理投诉内容,并及时反馈解决进度及解决方案,直至校方满意并主动关闭投诉为止。
四、项目培训要求
1、投标方在方案中将具体规定培训内容、培训时间和培训名额等形成具体的方案。
2、投标人派出的培训教员不得少于2名,人员需具有丰富的同类课程的教学经验和应用经验;所有的培训教员必须用中文授课;投标人必须为所有被培训人员提供培训用文字资料和讲义等相关材料。
3、投标人应合理安排培训时间和培训名额,培训时间不得少于3课时,培训名额不做限制,在实施过程中,针对系统管理人员提供培训,培训地点为项目实施本地(培训场地由甲方提供),保证培训的效果,让系统管理人员都能熟练掌握系统的使用方法。培训包含但不限于项目管理培训、系统管理培训、系统运行维护、常见故障处理、报修流程培训等。
五、售后服务要求
1、投标人应具备完整的售后服务保障能力,包含(但不限于)以下服务要求:
(1)明确服务响应级别,并出具详细的方案和事件升级策略;
(2)提供多种服务受理通道,包括但不限于线上、电话、邮件等;
(3)要求在服务响应过程中,须有运营专员参与,全程跟踪服务过程,协调解决服务过程中的问题,须在方案中说明运营保障内容,提供详细服务方案。
(4)须提供本项目服务团队组织说明,包含项目成员和职责。
2.投标人应提供本次投标产品的售后服务,包含(但不限于)以下服务要求:
(1)BUG处理:如投标人交付的业务系统存在BUG,投标人须提供修正与消缺服务,如有修复BUG的补丁,应提供升级服务。
(2)故障处理:如投标人交付的系统上线运行时,出现问题导致业务中断时,投标方应对故障进行限时处理。
由于非计划掉电导致系统故障时,投标方应配合系统恢复。
由于系统**不足导致系统故障时,****学校系统恢复。
由于硬件故障时,****学校数据还原后,配合学校系统恢复。
(3)运行支持:投标方应对系统运行过程中系统管理员及业务管理员提出的问题提供解答和问题解决跟踪。
(4)在项目质保期内,因为软件系统本身原因导致系统不可用,投标方应全程跟踪解决,确保问题快速解决,因为操作系统、服务器、网络设备及其他硬件设备导致系统不可用时,投标人应配合招标人排查故障,提供解决方法供招标人选择,配合招标人解决问题
****政府采购活动的****省政府采购供应商库的,****政府采购网 “首页—政策法规”中公布的“政府采购供应商入库”的相关规定,及时办理入库登记手续。填写单位名称、统一社会信用代码和联系人等简要信息,由系统自动开通账号后,****政府采购活动。具体规定详见《关****省政府采购供应商入库程序的通知》(辽财采函〔2020〕198号)。
1.本项目采用全流程电子招投标,参与本项目的供应商须自行办理好CA锁,供应商除在电子评审系统上传响应文件外,应在递交响应文件截止时间前提交可加密备份文件,并承诺备份文件与电子评审系统中上传的响应文件内容、格式一致,备系统突发故障使用。供应商仅提交备份文件或仅提交电子响应文件的,投标无效。****政府采购网《****政府采购电子评审业务流程等有关事项的通知》辽财采函{2021}363号。2.供应商自行准备电子设备确保能够自行报价及解密。3.电****政府采购网线上提交,加密备份文件以邮件形式于提交响应文件截止时间前发送至邮箱****@126.com,邮件需注明项目名称、项目编号、供应商名称、联系人及手机号码,以收到邮件显示的时间为准,逾期发送的加密备份文件将按投标无效处理。