1、铜陵市党政机关协同办公系统技术方案中国联通有限公司铜陵分公司二八年九月目 录第1章建设目标5第2章建设内容6第3章建设要求7第4章网络方案84.1网络结构84.2IP地址和访问策略94.3安全方案10第5章软件方案125.1总体建设思想125.1.1采用一体化设计思想125.1.2标准引领遵循统一的标准化体系155.2总体建设原则175.2.1先进性原则175.2.2实用性原则175.2.3安全性原则185.2.4可靠性原则185.2.5可扩展性原则185.2.6兼容性原则195.2.7可重用性原则195.3总体逻辑架构图205.4总体技术架构215.4.1总体技术架构图225.4.2采用J2
2、EE技术路线225.4.3以SOA面向服务的架构思想为指导235.4.4参考“SaaS”提供一体化的应用服务模式245.4.5利用目录服务技术建立统一身份库255.4.6符合WFMC规范设计255.5总体建设内容265.5.1铜陵市协同办公系统265.5.2资源管理配置平台265.5.3信息发布平台795.5.4文件交换平台885.6建设铜陵市党政机关协同办公系统995.6.1公文管理995.6.2会议管理1085.6.3车辆管理1095.6.4考勤管理1115.6.5值班管理1115.6.6领导日程安排1135.6.7电子论坛1155.6.8个性化办公1175.6.9通讯录1175.6.10
3、首页门户1185.6.11系统接口1205.7建设铜陵市统一的电子公文交换平台1215.7.1逻辑结构1215.7.2应用示意1215.7.3公文收发1235.8软、硬件产品选型1285.8.1产品选型依据1285.8.2硬件配置参考1295.8.3软件配置清单1305.9软件产品介绍1315.9.1Oracle 10g1315.9.2IBM WebSphere1355.9.3Novell eDirectory server目录管理软件1355.9.4RiseSoft R6办公自动化软件1375.10系统安全保证体系1385.10.1系统安全总体设计1395.10.2安全风险管理计划1485.
4、10.3系统备份策略152第1章 建设目标依据国家信息化发展规划和电子政务建设标准,搭建开发的市级协同办公平台,通过建设统一的党政机关信息数据中心和电子公文交换平台,逐步实现全市党政机关的日常办公和事务管理的规范化、科学化和标准化。该平台运行稳定、可靠,操作简便,系统适应性强,既能支持规范化的业务流工作,又能处理例外事项,便于功能扩充和二次开发。1、建设符合铜陵市实际的党政机关信息数据中心。2、建设全市统一的电子公文交换平台。3、建设铜陵市协同办公平台。4、建设与公务员数据库、异构应用系统、党委人大政府政协等门户网站群的数据接口。5、建设整合党政机关网络平台。第2章 建设内容1、建设铜陵市协同
5、办公平台。建设覆盖铜陵市各部门及下属单位的市级协同办公平台,实现公文、通知、工作简报等在市四大班子、市属各部门及下属单位的上传下达,满足党政机关日常办公和事务处理,及与之配套的用户数据库、身份认证中心和其他安全保障体系。2、建设符合铜陵市实际的党政机关信息数据中心。为满足铜陵市协同办公系统运行要求,至少包括用户数据库、党政机关政务信息数据库和公文数据库。3、建设全市统一的电子公文交换平台。用于各单位传输电子公文,并对各单位传输电子公文情况进行监控、统计。4、建设满足铜陵市协同办公系统运行要求的中心平台。中心平台的硬件设备构成应按照软件供应商的意见进行调整。该平台设置于运营商的IDC机房内独立单
6、元。用户可根据权限远端监控中心平台运行状态。5、建设整合全市党政机关及其下属单位的党政机关网络。建成后的该网络应与互联网进行逻辑隔离,并可随时与互联网进行物理隔离,形成一个相对独立、安全的城域网。该网络提供统一的互联网出口,光纤接入单位应达到96%以上,带宽不低于千兆。第3章 建设要求1、协同办公平台的首期试运行期限为2008年10月底,首期用户包括市四大班子、纪委、宣传部、组织部等行政中心大楼内用户,首期建设目标为市委、市政府办公室可在协同办公平台发送公文、工作简报以及利用该平台发送会议通知等。2、运营商应提供协同办公平台软件实施所需的必要条件,协助软件供应商进行系统调试。 根据软件供应商的
7、需求,在专家组审议后及时调整中心平台硬件支撑和网络平台的组成。3、协同办公平台的网络建设。在首期试运行期限之前,提出协同办公平台网络建设方案,并依照方案完成市四大班子、纪委、宣传部、组织部等行政中心大楼内部用户的网络搭建、调试工作。在2009年3月1日前完成协同办公平台其他用户的网络接入以及软件推进工作。第4章 网络方案4.1 网络结构如图所示,整个网络结构按照功能分成接入网、接入汇聚、核心交换、内部办公核心网、互联网接入1、接入网负责提供基本接入,组成设备包括一台路由器和一台交换机。交换机负责连接上网的办公电脑,路由器负责与接入汇聚设备连接。接入点按照目前的需求暂时定为200个。2、接入汇聚
8、部分负责将接入网的连接进行汇聚,并核心交换网连接。考虑到目前的需求,接入汇聚设备数量为10台,同时当某台接入汇聚设备出现故障时,有充足的冗余设备,可以将受影响的接入点连接转移到其他接入汇聚设备上,使故障带来的影响降低到最低。3、核心交换部分主要负责连接汇聚设备,并与内部办公网和互联网连接。组成设备包括两台核心路由交换机,负责整个网络流量的转发和路由。4、内部办公核心网是内部信息网络的核心部分,组成设备包括两台核心交换机和两台防火墙。核心交换机负责信息的交换,同时核心交换机按照负载分担方式工作,当单台设备出现故障不能工作时,另一台设备将自动承担全部工作。5、互联网接入是负责访问公网信息的部分,组
9、成设备包括一台路由器和两台统一威胁管理(UTM)设备。路由器负责与公网信息的交换。同时核心交换机按照负载分担方式工作,当单台设备出现故障不能工作是,另一台设备将自动承担全部工作。4.2 IP地址和访问策略为尽量合理地利用IP地址,建议中国联通IP地址分配应该尽可能地遵循以下几点原则:l IP地址的分配必须采用VLSM技术,保证IP地址的利用效率。l 采用CIDR技术,这样可以减小路由器路由表的大小,加快路由器路由收敛速度,也可以减小网络中广播的路由信息的大小。l 同一节点内部的IP地址尽量连续,这样可以便于减小路由表,l 加快路由器路由收敛速度,也可以减小网络中广播的路由信息的大小。具体建议如
10、下:1、接入网的IP地址由联通根据具体情况进行分配,每个接入点的办公电脑数量较多,建议划分VLAN来隔离网络广播包。路由协议可以采用静态路由。2、接入汇聚设备和核心交换设备的IP由联通负责,可以采用OSPF协议作为路由协议。3、内部办公核心网设备的IP由联通负责,可以采用静态路由。4、互联网接入设备的IP由联通负责,可以采用静态路由。5、访问策略主要是控制数据的流动,从接入层的办公电脑到互联网的访问原则上全部放开,也可以按照实际的需求控制访问;从接入层的办公电脑到内部办公核心网的访问要根据需求进行控制,原则上不能全部开放;为了保证安全,从互联网到内部办公核心网的访问原则上全部禁止。4.3 安全
11、方案在整个信息系统网络平台与应用系统规划之初,同期规划基础安全建设有利于保障整个信息系统的正常有序运行。内部办公核心网将部署整个信息系统的数据库服务器、应用服务器等核心信息资产,要重点防范终端计算机的非法访问和资源滥用,同时防止常见的网络病毒扩散到这一区域。通过在核心交换机与内部办公核心网的汇聚交换机之间部署两台高性能防火墙,双机热备,实现基于源IP地址、目的IP地址、服务、时间等因素进行安全访问控制;还可以通过必要的带宽管理防止资源滥用;以及通过连接数量限制、蠕虫等病毒检测技术来保障信息系统的安全运行。互联网的飞速发展,使得整个系统平台的建设在满足协同办公的同时,也将提供互联网访问。然而,互
12、联网是不安全的,随着网页访问、文件下载、邮件收发等使用常常导致木马、间谍软件、攻击等威胁。在连接互联网的边界部署两台统一威胁管理系统(UTM),将有效遏制上述威胁。两台UTM设备除具备防火墙安全访问控制外,还具备防病毒控制、入侵防护等功能,双机热备,提高了可用性。第5章 软件方案5.1 总体建设思想5.1.1 采用一体化设计思想一体化定义:一体化的设计思想,又叫作系统整体化设计。在一体化设计思想指导下设计出来的系统除了能够在前端满足用户个性化需求外,最重要的是能有效的实现后台一体化管理,使系统标准化程度高。采用“一体化”的设计思想,并充分考虑到先进性、经济性、适用性、安全性和可扩展性、可伸缩性
13、可持续发展性。分阶段、高标准、严要求科学规范的进行系统需求分析、系统设计和程序代码设计,与用户进行积极协调和沟通,确保所进行的硬件配备、软件设计和接口配置充分满足用户应用要求。具体说来,结合本项目提供的一体化设计思想包括以下两点: 建立一个合理、开放、面向未来和基于标准的统一应用支撑平台,以应用支撑平台为中心逐步完善和覆盖全区各应用系统,在铜陵市区统一的应用环境中构筑一体化的应用系统平台。 对全区各政府单位的办公系统进行统一规划、逐步完善,实现全区文件收发的统一管理,从而达到一体化管理,最终实现全区政务办公无纸化。 依托统一应用支撑平台建设市党委、市政府、市人大、市政协部门系统。 通过统筹规
14、划,分步实施建设,对铜陵市各级政府单位的办公系统进行推广完善。一方面,各政务办公系统要以应用支撑平台为依托,采用统筹规划的设计方式,实现各政府单位系统的统筹规划,分步完善。各个系统既彼此相通、又保持相对独立。统筹对各政府单位OA系统完善需求的掌控,在对各单位OA系统进行完善时做到全局考虑,既要有效降低建设成本,又缩短建设周期。另一方面,要规划好建设步骤,分阶段、分步骤的进行推广,将各政府单位的公文收发、会议通知、电子期刊、公文流转等业务进行全面推广。以铜陵市政务办公系以统一应用支撑平台为中心,各下属政府机构办公系统围绕市政务办公系统进行业务协同,所有业务系统设计时通盘考虑,无缝联接,把单个的业
15、务应用、分散的资源汇集到一个可管理的统一的应用支撑平台上。其效益如下:效益之一:集约化建设利用统一应用支撑平台,将核心服务提供给各部门共享,为部门节省大量投资。以集约化模式支撑的应用,各部门均能享受到计算机中心或主机托管中心提供的专业服务和24小时365天的可靠运行保障,不仅节省了各部门的人力资源,且避免了部门因专业技术人员缺乏带来的信息系统管理运行中的安全风险。从管理效益上看,利用统一的管理体制和集约化发展模式,保证了电子政务技术系统高度统一,形成了全市统一的办公环境,对联合办公和一站式服务,具有决定性的意义。效益之二:快速实施硬件资源:如服务器、机房等可以最大限度的共享利用。软件资源:如中
16、间件、数据库等可以共享利用。建设部门:建设部门只需要关注本部门的业务功能的梳理。系统开发:基于应用支撑平台提供的服务进行应用灵活定制,开发量相比之下要小。管理维护资源:统一维护管理。效益之三:标准统一坚持条块结合、规划适度、联合共建、资源共享。遵循统一设计规划、统一接口标准、统一实施方针、互联互通的一体化原则,实现全市信息资源共享和信息资源整合。效益之四:融合连通采用一体化设计可以进行统一的管理维护,可持续发展强、标准化程度高、互联互通性好。 在技术方面:采用文件交换技术、统一身份等技术实现部门业务的互联互通。 在标准方面:采用国际、国内的标准规范,如XML电子公文传输规范、LDAP目录服务技
17、术标准等等,统一应用支撑平台的建设是在标准规范的指导下建立的,从而互联互通性得到了保障。 在制度方面:规范铜陵市政务办公系统建设的标准,指导建设;同时制定各应用系统运行管理规定,促进系统的高效、安全应用。效益之五:安全可控由于采用了一体化设计可以进行统一的管理维护,所以非常利于对全市各部门、组织、岗位、角色及身份目录、信息资源目录、应用服务目录的全局一致性掌控,对所涉及的操作便于进行审计、跟踪、统计,极大地保障了安全性要求。5.1.2 标准引领遵循统一的标准化体系项目的建设要真正实现统筹规划、协同融合,能否遵循标准化体系的统一指导是其中的关键环节。l 遵循统一身份管理标准在信息化建设中,构建不
18、同的业务系统解决专业领域的需求是常见的策略。不管有多少个业务系统,但使用系统的人的身份是唯一确定的,这如同身份证是身份的唯一标识一样。通过全市统一的身份管理和同步策略解决铜陵市政府及各下属单位的人员及其子部门的管理,从而实现用户身份的统一管理。l 遵循统一的数据接口和应用接口标准在办公系统建设规划中,打破系统间的壁垒,实现互联互通的前提是各个政府单位办公系统应遵循统一的接口标准。具体而言,就是通过建立办公自动化系统的统一接口标准实现全市各政府单位之间电子文件的流转、数据信息的互传。l 遵循统一的安全管理标准办公自动化系统需要遵循统一安全标准。用户登录认证可支持数字证书认证和密码认证等多种方式,
19、公文管理可支持与电子签章的整合。5.2 总体建设原则5.2.1 先进性原则确保系统符合信息化技术发展的趋势,具有明显的技术先进性。从技术层面讲,项目建设立足于先进技术,以SOA架构思想为指导,建立一个合理、开放和基于标准的支撑平台,其中包括了资源管理平台、工作流平台等。使系统不但能够满足当前的需求,而且能够满足以后的发展。在保证系统实用性的前提下,最大程度的提高系统的安全性、可升级性、平台无关性和可扩展性。项目建设中所选用的软硬件系统可以方便地实现集成,使应用系统降低系统维护的难度和要求,也方便用户日后的应用和管理。5.2.2 实用性原则系统要力求最大限度地满足实际工作需要,充分考虑各业务层次
20、各管理环节数据处理的实用性,把满足用户工作和管理业务作为第一要素进行考虑。充分利用已有的软硬件资源。严格执行统一的标准规范,通过统一身份管理、身份同步来实现用户管理需求。整个项目从实用性角度出发,按用户实际需要提供服务,将关注的重点放在业务的实用性上。系统能够结合铜陵市实际需求,适应单位各部门之间协同办公,提高办公效率;优化单位机构运作流程,促进工作流程的规范化和制度化;促进单位资源合理配置,实现信息资源传输共享,方便管理和合理利用各类信息资源。5.2.3 安全性原则系统设计时,有足够的安全措施,避免敏感信息受到破坏。对信息访问与使用进行严格的权限管理,采用统一身份管理,在技术上提供与数字证
21、书结合的登录认证方式,支持与PKI/CA认证结合,确保整个系统的安全可靠。支持采用身份认证、数据加密、授权认证等手段,使系统具有一定的安全性和保密性。5.2.4 可靠性原则为保障系统可靠运行,系统设计应采用先进的体系结构。系统应具备能够对系统运行进行全面监控的措施及完备的安全备份手段,以确保重要数据万无一失,从而提高系统的可靠性和连续可用性。5.2.5 可扩展性原则为适应将来的发展,系统应具有良好的可扩展性,系统可以实现服务不间断的升级和应用扩展。充分考虑业务规模和结构的发展变化,系统规模的扩大和保护投资。系统构架和应用开发均具备可扩展性,能够随着应用的逐步完善和信息量的逐渐增加不断地进行扩展
22、整个系统可以平滑地过渡到升级后的新系统中。同时在软件系统的开发中,各个功能模块可重复利用,降低系统扩展的复杂性。系统体系结构能够提供开放和标准的接口,在不影响系统正常使用的情况下实现与其他系统的灵活对接,实现不同系统间的互联互通。5.2.6 兼容性原则系统建设技术选型最大限度的利用现有资源和已有业务系统,同时可以在较长时间段内满足用户业务发展以及技术发展可能带来的潜在需求。软件设计严格执行国家有关软件工程和行业标准,保证系统质量,提供完整、准确、详细的开发文档。系统建设中充分考虑了“标准和开放”的原则,要支持各种相应的软硬件接口,使之具有灵活性和延展性,具备与多种系统互连互通的特性,在结构上
23、实现真正开放。应广泛采用遵循国际标准的系统和产品,以便于与其他网络系统的互联和扩展,同时易于向今后的先进技术实现迁移,充分保护用户的现有投资,其综合反映在可移植性、互操作性、系统独立性和集成性。5.2.7 可重用性原则在本次的建设项目中将充分利用铜陵市区信息办提供的各种基础服务,在基于SOA的架构体系下,软件资源被封装为服务加以复用,充分提高了全覆盖项目信息化建设的投资回报。以SOA的架构平台为依托的信息化项目将成为建设节约型政府的最佳实践。丰富的信息、合理的流程是本系统建设和运行的基础条件。建设期间要充分收录信息,运行中要及时补充信息。充分利用资源,实现本系统与其他应用系统的资源共享。5.3
24、 总体逻辑架构图 本项目是通过信息化手段实现对铜陵市区信息办电子政务系统的信息化建设,运用多种现代信息技术实现铜陵市区政务办公系统的信息化、科学化、一体化,为全区政务办公提供有力的信息化保障。能够快速实现全区各机构间的信息传递,推进全区各机构间的信息联动。本系统基于铜陵市区现有网络资源,在通过统一的数据资源和目录体系之上构建基础应用支撑平台,通过应用支撑平台为依托,在其之上构建各业务应用系统,系统总体逻辑架构图如下:5.4 总体技术架构本系统以SOA架构思想为指导,参考“SaaS”应用模式,结合铜陵市具体业务需要,通过J2EE和目录服务等技术构建铜陵市电子政务系统各项业务。系统总体技术架构介绍
25、如下:最大程度的利用现有建设成果。在本项目的方案中,最大程度的利用现有的硬件设备和软件服务,最大程度的避免了重复建设和多重管理等问题。项目采用先进的、灵活的技术架构。项目采用J2EE技术并参考SOA架构,实现铜陵市各类资源服务的灵活扩展和调整,环境配置要求低,并实现了各系统间信息资源的互联互通。采用J2EE技术路线。从开发技术的角度讲,系统采用J2EE技术路线,按面向对象的模块化方式设计,采用多层体系架构,充分运用EJB,JMS,JSP/SERVLET,XML,WEB SERVICE,事务处理等成熟技术,在共享、交换平台上,部署各业务系统。5.4.1 总体技术架构图5.4.2 采用J2EE技术
26、路线本项目的建设在技术上采用J2EE技术路线,采用多层体系架构,充分运用EJB,JMS,JSP/SERVLET,XML,WEB SERVICE,事务处理等成熟技术,在统一应用支撑平台上,部署各个应用系统,并可根据负载变化进行集群式部署。5.4.3 以SOA面向服务的架构思想为指导从技术角度讲,系统以SOA架构思想为指导,建立一个合理、开放和基于标准的基础应用支撑平台。该平台可以为全市各办公系统提供统一的流程服务、信息发布服务、身份认证服务。在该支撑平台上建立各种应用系统并实现对其他应用系统进行整合,而且用户可以根据业务需求逐步完善和覆盖所有业务领域的应用系统,在统一的应用支撑平台上构筑自己的一
27、体化办公应用系统。基于SOA架构的解决方案采用基于面向服务的思想进行业务建模和构架业务流程,有利于保证每个业务环节均通过服务进行实现,支持组织内部业务快速协同,有利于快速适应组织机构与业务流程的变化。基于SOA架构的系统将不同的服务通过服务之间定义良好的接口和契约联系起来。服务独立于实现服务的操作系统和编程语言之外,接口采用中立的方式进行定义。构架在各种系统中的服务通过统一且通用的方式进行交互,保证了业务的良好协同。l 提供组件化,可扩展的协同办公服务以SOA面向服务的架构思想为指导,为铜陵市提供一套组件化,可扩展的协同办公系统,系统中的各个功能模块均采用组件化设计,每个功能模块都可随意进行配
28、套组合,并可随时根据用户需要进行功能扩展,真正做到随需应变、随意组合、无限扩展。l 通过目录服务为铜陵市提供组织、身份及资源的统一管理目录服务包括组织身份目录、应用服务目录和信息资源目录,能够为全市用户提供统一的用户身份及组织架构目录服务;对各应用系统中的各个功能进行统一的授权控制;并可以负责全市信息资源库的标准化描述和合理化组织。l 通过工作流服务为铜陵市业务提供统一的流程管理通过工作流服务为铜陵市业务提供统一的流程管理,支持多种复杂的业务流程定制,可随时根据用户需求进行流程的定制设计及流程调整,支持公文流转、行政审批、采编发、行政资源调度、文件批办、报销审批等与流程相关的各类业务。5.4.
29、4 参考“SaaS”提供一体化的应用服务模式从方案所提供的管理模式上讲,我们参考了“SaaS”(软件及服务)的运营管理模式。为铜陵市各部门提供一个运行平台,使政府部门的电子政务建设由分散“集成”向享受统一“应用服务”转变。“SaaS”的建设模式有利于理顺信息办与各职能部门信息化建设间的关系。定位清晰,职责明确,可使信息化工作有章可循,有据可依。在铜陵市办公自动化项目的规划设计中,我们以标准化设计、个性化应用为主导思想,力争用最小的成本为铜陵市构建一个真正的“专有化电子政务平台”,使不同规模、不同业务的部门都能实现“部门办公自动化”的建设构想。5.4.5 利用目录服务技术建立统一身份库采用了目录
30、服务技术为系统构建统一的用户身份库,通过目录服务提供综合的身份管理构架和强大的目录服务功能。对海量数据的存储比关系型数据库的存储效率更高、检索速度更快、应用更非常灵活、可延伸性和功能性更强、足以作为全局网络的目录服务。通过目录服务构建的统一身份库可以将全区用户身份进行统一管理并通过标准协议进行管理和访问,以便该平台在后期开发和引入新的业务系统时可以直接使用已有的用户身份管理功能,保护了用户身份信息在整个平台内数据准确性和连续性。同时提供对异构系统的支持,如:可以支持标准的LDAP、关系型数据库、非结构化的数据库系统。5.4.6 符合WFMC规范设计本项目规划中的工作流系统符合WFMC参考模型,
31、具备图形化工作流定义工具、工作流引擎、工作流监督和管理工具、工作列表等必备模块。支持子工作流、多版本的流程定义、应用集成、超时处理、工作委托、权限管理等基本功能。具有较高的性能、可靠性、事务处理能力和失效恢复能力。流程可分级管理,可离线定义工作流、表单,具有流程热部署功能,流程修改不会对现有业务造成任何影响。支持表单数据带权限的全文检索。具备清晰的API接口,既能够用于支持办公流程的开发,也能够支持业务流程的开发和集成,形成电子政务系统各业务系统的流程支撑平台。5.5 总体建设内容通过铜陵市电子政务系统建设,实现全市政务办公的统筹管理,协同服务。项目总体建设内容如下:5.5.1 铜陵市协同办公
32、系统该系统由资源管理配置平台、工作流平台、信息发布平台、文件交换平台组成,是铜陵市内网系统各项业务功能的底层技术支撑平台,其主要功能是为具体的行政办公类业务应用的开发、部署和运行提供底层技术支撑服务。5.5.2 资源管理配置平台资源管理配置平台适用范围广泛,可以应用于全市的信息化建设及基础资源整合,能对已有应用系统进行统一身份整合,为构造统一应用支撑平台,可以跨地区、跨部门的多个应用子系统的帐号整合和分级授权管理提供基础的应用平台。5.5.2.1 逻辑结构图 如上图所示:资源管理配置平台是以目录服务为基础,为全市提供组织身份、应用服务和信息资源的三大目录服务体系。在此基础之上实现认证服务、授权
33、服务、身份管理、资源管理、配置管理、权限管理等应用服务,为政务办公系统提供统一的基础资源配置服务平台。5.5.2.2 应用示意图 如图所示:资源管理配置平台是铜陵市办公系统的底层基础服务系统,为政务办公系统提供统一的用户身份管理、权限配置管理、资源配置管理、身份同步服务等功能,利用此平台可实现各业务系统基础资源信息(用户信息、权限信息、配置信息、认证信息、授权信息等)的统一服务。5.5.2.3 主要功能设计l 资源配置管理基于浏览器,实现对机构的特定资源(组织、身份、岗位、角色、服务)进行统一的配置和管理。主要解决用户统一身份管理、统一身份认证、统一权限配置、统一访问控制、统一访问审计和分布式
34、账号整合等问题,支持与CA产品的整合。设计规范、体系结构开放、支持通用标准协议(例如LDAP)、支撑各种应用系统的整合。功能名称子功能名称功能描述身份管理通用用户身份管理身份管理是公共资源管理配置平台的基本功能,管理的身份信息包括名称、E-mail地址、数字证书及数字证书吊销列表及被其他系统所共享使用的身份信息。这些信息可以通过标准的LDAP协议进行访问,也可以使用公共资源管理与服务平台提供的接口进行访问,可以被网络中所有的系统在权限控制的范围内共享组织模型身份管理调离岗位调动多角色管理动态用户组管理资源管理功能注册将业务系统资源抽象成资源管理配置平台中的相应的应用服务类型的对象,通过提供的管
35、理工具注册登记到资源管理配置平台中,然后由各系统通过平台提供API进行访问及权限控制属性定义资源分组授权管理直接授权提供完善的授权管理机制,可以满足复杂的权限控制需求;提供丰富的权限类型,可以对用户、部门、用户组、角色、动态用户组等授权,可以通过权限继承与过滤和分级授权等机制方便地实现实际的授权需求权限继承与过滤等效授权分级授权配置管理配置信息统一存取服务各应用系统将自己的系统配置信息存放在公共资源管理平台中,并通过平台提供的接口获取其配置信息辅助工具自助式服务自助式服务包括口令修改,个人信息修改;通讯录包括对通讯录信息的浏览、维护功能,并细化到对人员的每条信息进行授权,支持多种关键字搜索;审
36、计实现对用户的活动进行实时监控、审查和报告功能通讯录审计l 身份同步工具将注册在公共资源管理平台上的对象(用户、部门、用户组、岗位、角色、用户别名等)实时同步到其它应用系统(如业务审批系统、邮件系统等),实现多应用系统的用户身份整合。功能名称功能描述数据导入可以将注册在公共资源管理平台上的对象同步到其他系统的身份存储系统(数据库、邮件系统)中;初始化其他系统数据时可以采用导入全部数据的方式将已经注册在平台上的对象一次性导入到目标系统中实时监听同步工具能实时监听公共资源管理平台的操作(增加、修改、删除用户、部门等对象),再将数据同步到目标系统中;如果目标系统发生故障,可以采用清空目标系统来重新初
37、始化目标系统的数据数据同步用来同步用户身份数据异常处理如果同步数据时出现了网络连接或者其他异常导致数据无法实时同步到目标系统,同步工具会将此事件记录下来,待网络连接或其他异常恢复正常状态后自动将数据再同步到目标系统中去5.5.2.4 系统功能特点实现铜陵市内网平台所有用户身份的管理要对全市的各类注册用户进行综合性的管理并非易事,因此必须有一套基础的管理系统,对全市的用户身份提供统一的身份管理。用户身份属性包括认证所必需的基本属性如:ID、用户名、密码、所属部门编码等内容和内部办公应用所需的扩展属性:如职位、电话、地址、职称等其他内容。资源管理配置平台中的用户身份管理模块正是为此需求而设计,能够
38、对网络中所有的有关身份标识的信息统一管理,以避免网络中存在多套不同的身份信息的管理,避免由此带来的各系统不能整合的问题。用户身份管理的界面参考下图所示:(图)用户对象设置示例图(图)用户属性设置示例图为简化分级授权管理的维护操作,在统一身份总库中设立相应的角色,用以配置各级用户对不同资源的访问权限。将角色以对象的形式存放在各部门的组织单元容器中。组织单元对象拥有相应的属性信息,如:名称、角色编码、成员、描述等。参考下图(图)访问角色设置示例图(图)访问角色属性设置示例图实现铜陵市内网平台所有部门组织结构的管理通过资源配置管理平台可对内网中的各级部门组织结构进行统一管理。在目录服务中建立一个指定
39、的容器对象,该对象称之为组织单元。将部门以对象的形式存放在该容器中,各级子部门可以作为对象以树的方式存放在相应的容器对象下。组织单元对象拥有相应的属性信息,如:部门名称、部门组织机构编码、部门主管领导、部门首页链接等。参考下图(图)组织单元设置示例图(图)组织机构属性示例图实现铜陵市内网平台应用资源的管理为实现铜陵市政务办公系统各类信息资源及系统服务的有序化管理,我们对全市内网办公平台的信息系统应用资源实行统一的规划,采用目录服务,建设成应用服务目录。应用服务目录可以集中对各应用系统中的各个功能进行授权控制,更好的为门户整合提供完整的应用系统信息。 通过面向对象式的资源管理,将平台中各个应用系
40、统的具体功能作为可以被授权的对象实体进行统一管理、统一监控和统一授权。在目录服务中建立一个指定的容器对象,该对象称之为服务栏目。将服务栏目以对象的形式存放在该容器中,各级子栏目可以作为对象以树的方式存放在相应的服务栏目容器对象下。服务栏目对象拥有相应的属性信息,如:应用服务名、应用服务链接地址、标题等。参考下图(图)服务栏目属性信息示例图(图)服务栏目设置示例图具备集中的身份认证管理功能,安全性高身份认证服务是用户访问应用系统的入口,通过内部办公平台实现统一的身份认证,用户在登录所有内网办公应用子系统时能够使用唯一的用户名/口令或数字证书。根据业务的需要可以提供多种不同安全级别的身份认证方式,
41、包括普通用户名/密码认证和数字证书认证等,也可以支持指纹、人像等其他身份凭证,满足多应用环境下的综合认证需求。在系统同时支持用户证书和非证书登录的前提下,能够自动识别证书用户和非证书用户。允许多个系统中的单个系统或多个用户中的单个用户拒绝或允许非证书形式登录。 普通用户名/密码认证,需要用户提供用户名和口令的方式进行身份认证。 数字证书认证,需要用户提供个人数字证书才能够使用相关服务,同时,该类用户所传输的信息必须要求能够保证机密性、完整性和不可否认性。可以通过与数字证书的整合来实现安全的认证。具备丰富的、多角度的授权管理功能考虑到铜陵市的注册用户级别不同、权限不同,对系统中各类业务和栏目等资
42、源的访问权限也不尽相同。因此,必须要针对各类业务、栏目等资源授于相应的权限范围。采用资源管理配置平台的授权管理功能,即可实现每级或每个用户能够在自身的权限范围之内访问相应的业务、栏目等资源。统一访问控制是基于完善的授权管理体系实现的。授权管理体系包含权限的配置管理、灵活的授权策略以及丰富的接口服务。权限配置管理包括: 资源配置管理:这里的资源主要指被保护的基础信息资源,是功能级、模块级的而不包括业务规则访问资源。系统把基础信息资源以对象的形式配置在目录服务指定的容器下。资源的存储是树的结构,能体现资源的层次关系。 角色管理:角色是具有某一类权限的对象的集合。包括用户组、部门、动态用户组等概念。
43、系统对角色的管理就是对具有同类权限的对象集合规则的管理。 授权管理:是指把受保护资源授予指定的对象,如角色、用户访问。并配置访问级别,如管理、修改、浏览等。项目实施中可根据实际的需求,制定灵活的授权策略。授权机制包括: 建立系统级的用户管理授权体系 支持分级授权 授权体系要适应组织机构的调整 支持批量授权和按用户修改系统授权的授权修改模式 支持授权结果查询 支持单位/个人隶属关系的调整授权策略包括:我们系统的授权策略可以归纳为以下几点: 基于角色授权基于角色授权,可以灵活的实现对一类用户的权限控制,也可以随着用户的职位变化方便的调整其权限。这里的角色包括用户组、部门、动态用户组等概念。系统内置
44、public角色,即所有用户。在资源配置管理平台中根据用户的不同级别、不同类型的权限建立相应的角色。创建用户时可以根据实际情况将该用户分配到相应的角色中,用户的工作职务变动也可以随时调整其所属的角色。可以通过修改角色的权限达到批量修改用户权限的目标。 充分利用权限继承和过滤机制一类用户如果对其一级栏目具有权限,往往对其下级子栏目同样具有权限。所以可以使用权限继承来方便实现这一要求,对于个别的子栏目可以使用权限过滤等实现对上级来的权限进行屏蔽,重新单独设权限。具备分级授权的管理机制,满足市县两级的权限管理要满足两级不同用户的权限管理就需要提供专门的分级授权功能,采用分级授权机制,不仅能够满足两级
45、中多级部门管理需要,而且还能够为各委办局提供内部其它业务级别的分级权限管理,将不同级别的用户在自己的权限范围内将系统的信息资源授权给相应的用户,将每个用户严格控制在自身业务范围之内。分级授权机制可以有效减轻系统管理员的负担、降低授权管理的复杂性。市局管理员可直接把资源分配给下级管理员管理,也可以把资源分配给角色,把角色的成员管理分配给下级管理员。支持多级分级授权管理。具备基本的管理服务功能目前的各类信息化系统都为用户提供了基本的管理服务功能,如个人信息修改、登录口令修改等,但考虑到铜陵市要为多个业务部门建立相应的业务系统,如果每个业务系统都研发一套基本的管理服务功能的话,业务工作量是非常具大了
46、且研发时间长。为此,资源管理配置平台特别提供了一套统一的基本管理服务模块,可以为各业务部门提供统一的一套基本信息管理功能,包括口令修改、个人信息修改、通讯录管理、审计管理等功能,以一套基础的管理服务满足各业务系统的基本信息管理需要。支持与CA认证系统结合资源管理配置平台可提供与CA认证系统的结合,如:可以与北京数字证书认证中心等系统的CA认证结合,采用统一身份认证与PKI/CA认证结合的方式增加项目的安全度。该系统采用浏览器/服务器(B/S)架构,实现WEB方式的数字证书申请、审核、下载制作和作废等功能,同时支持多种存储介质,为基于数字证书的企业级安全应用提供便捷、高效的支持,是实现各种安全
47、应用的重要基础设施,提高单点登录的安全性。通过CA认证登录系统的业务流程如下:(图) CA认证登录过程示例图该流程保证了拥有证书的用户在身份管理系统中存在账号,而且,系统可以自动地建立该账号与证书的对应。支持用户身份的数据同步如果没有一套专门进行身份同步的应用工具,每次数据同步时都需要工作人员重新将信息录入到新的业务系统中,因此造成的工作量是非常巨大的。对此,资源管理配置平台中特别设计了同步工具功能,能够将注册在公共资源管理平台上的对象(用户、部门、用户组、岗位、角色、用户别名等)实时同步到其它应用系统(如各业务系统、邮件系统等),实现多应用系统的用户身份整合。数据同步工具的发布者的事件包括了所有的事件类型即增加、删除、修改和
免费区 
