智慧城市政务OA系统建设方案

智慧城市政务OA系统建设方案目录1概述11.1背景11.2东海县办公现状11.3建设目标22总体设计方案22.1设计思想22.2设计原则32.3总体架构设计52.3.1部署模式52.3.2系统功能架构图62.3.3系统应用体系架构62.3.4系统技术架构72.4技术特性82.4.1先进的底层架构82.4.2多数据库支持92.4.3智能流程引擎92.4.4工作流引擎技术102.4.5智能表单中心142.4.6支持分布式部署142.4.7政务安全卫士152.4.8支持版式文件152.4.9二维条码技术152.5安全技术方案152.5.1系统安全保障策略与体系152.5.2系统安全技术212.5.3系统的安全实现242.5.4身份认证252.5.5权限管理253系统功能设计373.1门户管理373.2移动办公383.2.1展现效果：383.2.2平台优势393.2.3支持终端403.2.4具体功能：403.3短信平台423.4公文管理423.4.1公文处理过程433.4.1流程管理473.4.2公文模板493.4.1发文管理493.4.2收文管理503.4.3公文办理513.4.4智能推送513.4.5公文统计513.4.6公文检索523.4.7公文附件523.4.8痕迹保留523.4.9公文归档523.4.10公文、通知533.4.11电子督查543.5电子表单543.6电子期刊583.7督查督办613.7.1效能评估613.7.2督查督办613.8电子印章、手写批注管理673.9个人办公管理673.10考勤管理683.11行政审批683.12统一通讯703.13资源管理713.13.1图书管理713.13.2办公用品管理713.13.3固定资产管理713.13.4车辆管理723.14会议管理733.14.1组织会议733.14.2会场申请733.14.3会议室管理733.14.4会议通知743.15知识管理753.16短信提醒753.17信息公开773.18档案管理783.19邮件系统843.20组织机构管理843.21系统管理861 概述1.1 背景电子政务是信息社会管理发展的一种趋势,在各国积极倡导的“信息高速公路”计划中，电子政务建设被列在第一位，成为世界各国的关注焦点。伴随着信息时代的到来，我国电子政务建设在探索中逐步完善，政府门户网站体系初步形成，政府内部沟通交流系统应用开始普及，政务透明度进一步增强。电子政务信息化是提高管理效率，最大限度保证管理科学化和民主化的一个有效手段。行政管理与电子政务的结合，是行政管理部门提高效率，增强政务公开与透明度，自觉接受公众监督，提高服务质量的重要举措。在信息技术的支持下，各地政府机关正探索和创新行政机关内部协作、管理、服务模式，以政府体制改革和职能转换为契机，推进管理机制的转变。国家十二五规划就电子政务未来发展方向明确指出，全面推进以需求驱动为动力，以政务信息、文化信息和社会公共信息为重点，大力推进信息资源建设；进一步扫除信息资源共享障碍，改变内部交流“纵强横弱”格局，逐步消除“信息孤岛”现象。促进国民信息技术应用能力进一步提高，为迈向信息社会奠定坚实的基础。1.2 东海县办公现状l 电子化办公系统应用未能覆盖到整个县政府及下属单位。需要一套可以覆盖整个县政府及下属单位的办公系统。一个低成本，高效率的部署方案。l 缺少移动办公解决方案。在移动信息化高速发展的今天，手机已经成为各种信息不可或缺的载体。单独PC端的办公已经不能满足现有的需求。手机作为移动设备，随时可以接收办公信息，可大大提高特定情况下的办公效率。l 传统纸质公文办理转交的方式，已经不能满足现有办公效率的需要，流程化、电子化的公文流转，以及单位之间的公文交换，可以大大提高政府单位的办公效率。1.3 建设目标推行电子政务是党中央、国务院作出的一项重大战略决策，是政务管理方式的一场深刻变革，可以有效提高政府办公效率，提升政府服务水平，规范政府管理程序。防止出现以下情况:l 不利于联合办公，降低了办公效率；l 不利于公众查询信息，需要逐个登陆不同的网站获取信息；l 不利于效能监察，无法一次性监察众多系统的信息；l 造成重复建设，形成资金浪费。2 总体设计方案2.1 设计思想系统采用本单位政务私有云平台构架，政务私有云平台基于SOA架构新一代面向业务软件平台进行构架和设计，对软件需求分析、设计、开发、测试及部署全生命周期进行多层面全方位工具化支持，以“工作流程标准模式化、工具自动化，面向业务，快速响应变化”为核心理念，采用了全新的软件开发理念和模式：面向业务需求，通过可视化向导工具，对平台提供的大量成熟完善的组件进行构建和组装实现软件功能，屏蔽技术实现细节，通过更为高级，更为强大的组件构建开发软件，快速实现应用系统。基于平台开发应用系统，应用实现与用户需求更加贴切，有效地降低软件的开发复杂度，简化软件的开发过程，提高软件开发的效率，提升软件的质量。平台基于平台开发应用WEB服务采用Nginx+Apache双引擎。Apache处理页面最稳定、Nginx处理静态文件高效、稳定，处理大并发量请求稳定，实践证明基于平台构筑的应用系统具有7*24小时不间断服务的高度稳定性。 系统采用完全B/S 多层体系架构，分为数据资源层、技术适配层、运行时层、基础组件层、基础功能层、工具层和集成表现层。系统完全遵循业界标准技术规范，例如工作流引擎遵循WFMC，XML，门户系统遵循Portlet、LDAP等开放的通用协议标准，基于良好的技术架构设计和业务架构设计，遵循开放式标准的技术规范，应用具有高度的灵活性和可扩展性。针对东海县高度安全性的需求，平台从安全保障策略、标准、管理、服务、技术等多个层面，提供科学系统化的整体解决方案，支持对称密钥加密解密、非对称密钥加密解密，信息摘要、USB Key、动态口令卡、电子签章、手写签名、证书、CA等多种可选安全技术手段。从应用系统访问控制层面，提供了基于角色的授权机制，从模块、功能点、数据权限（可以细化到字段级控制）、资源权限（可以细化到人员的读、写、打印等控制）、外系统接口等多层面多角度地对系统的正常以及非正常访问，进行全方位系统化地控制。平台提供对日志进行统计分析的工具，提供资源占用情况的分析工具，能够方便地对应用系统的登录、使用情况进行监控，对资源占用情况进行分析，识别应用中的异常情况和性能瓶颈。并提供日志的备份存档工具。平台提供数据备份工具，能够制定备份计划，支持自动执行备份计划和手工备份计划，备份计划能够可以对系统的数据和文件等资源进行全备份和增量备份。针对灵活多变的信息采集模板业务处理流程，平台提供了一套完整的流程化管理解决方案，包括工作流引擎、电子表单设计工具、图形化流程设计工具、组织结构、人员建模工具、消息引擎、以及丰富的接口以及快速开发工具和开发文档等。对于应用系统的高效实施部署和快速响应业务需求的变化，提供了有效的保证。平台具有良好的开放型和和扩展型，能够集成第三方应用工具，如工作流引擎、电子表单、portal门户等。基于平台，为东海县提供数据交换中心、历史数据迁移平台、报表工具等应用软件。2.2 设计原则在系统设计中，我们将遵循以下设计原则：规范性遵循国家相关法律、法规，尤其是有关涉及计算机信息系统建设的有关标准要求。先进性应当采用当代主流技术，考虑应用平台和工具的先进，以及系统结构和应用设计的先进性，以适应业务发展的需求。可靠性系统设计采用成熟、稳定、可靠的软件技术，保证系统在大数据量、高并发的情况下不间断地安全运行。实用性根据业务需求和业务流程，从方便用户使用的角度进行系统设计、功能和模块划分。功能和流程设计要求简捷流畅，充分考虑功能和流程的需求变更等各种现实情况。安全性系统建设要符合用户对信息安全管理的要求，建立完善可靠的安全保障体系，对非法入侵、非法攻击应具有很强的防范能力，确保系统具有严格的身份认证功能，并有相应的技术手段对数据安全和操作安全加以保护。易用性主要体现在两个方面：一是应用界面简捷、直观，尽量减少菜单的层次和不必要的点击过程，使用户在使用时一目了然，便于快速掌握系统操作方法，特别是要符合工作人员的思维方式和工作习惯，方便非计算机专业人员的使用；二是应提供联机的或脱机的帮助手段。开放性为了使系统具有较强的生命力和开放性，应遵循已有的国际标准和国内标准，以利于采用多种先进技术和产品。可拓展性本系统是一个不断发展中的应用系统，系统设计时考虑到新技术、新产品出现时对本系统的兼容性；当业务需求、外部环境发生变化时，可以扩展系统的功能和性能。软件设计简明，各功能模块间的耦合度小，以适应业务发展需要，便于系统的继承和扩展。易维护性系统具有良好的结构，各个部分应有明确和完整的定义，使得局部的修改小不影响全局和其他部分的结构和运行。2.3 总体架构设计2.3.1 部署模式l 使用SaaS集中部署方式：由县政府统一搭建一套硬件环境，部署一套软件系统。在系统中为县政府以及每个下属单位建立子系统。每个子系统在使用过程中是完全独立的。系统间的数据交换，使用单独的交换服务完成。l 为每个单位的系统独立配置组织机构、用户权限、业务流程及表单。l 上线顺序：各功能按顺序分步分批次上线试运行，最终实现完全上线。l 为每个委办局配置一组电子签章。统一用户管理统一权限管理统一身份认证电子政务安全体系电子政务标准和规范统一数据交换系统（平台）县政府各委办局其他基础模块市级公文交换办公协同行政审批督办督查文件归档与备份查询调阅东海县OA办公自动化系统公文办理发文管理收文管理公文交换办事管理办会管理公告通知日程安排通信录电子邮件车辆管理资产管理其他功能即时通讯移动办公系统管理2.3.2 系统功能架构图2.3.3 系统应用体系架构2.3.4 系统技术架构2.3.4.1 系统技术架构示意图2.3.4.2 系统技术架构说明概述对当前流行的主流J2EE和PHP等技术框架进行深入的研究，包括：EJB、Struts、Webwork、Jsf（已经被定义成J2EE的标准客户端解决方案）、Spring、Hibernate、Ibati、YI等。这些技术都各有特色，也非常流行，非常优秀，但都存在一个共同的问题，就是试图在服务器端解决一切，客户端的问题也要在服务器端解决。在以信息资源浏览这样客户端比较简单，人机交互要求较低的场合，这些框架方案是可行的。但对于企业应用这样复杂，客户对客户端要求已经超越功能阶段，上升到用户体验的层面，在这样的历史背景下，采用这些框架的客户端解决方案，显得很吃力。我们认为，在客户端解决客户端的问题，客户端与服务器端科学合理的分工协作，是B/S架构软件设计的重要因素之一。基于这样的研究，针对大规模复杂单位应用，学习、消化和吸收当前诸多主流的服务器端和客户端解决方案基础之上，提出“面向服务的Web应用”的理念，实现了自己的客户端、服务器端以及站点之间的解决方案。客户端特色技术对常用的客户端功能进行了组件化封装，使很复杂的功能实现标准模式化，简单化。这些组件包括：日期选择、表格形式数据列表、树状数据列表、多标签窗口等。通过用户情景建模工具，将客户端组建的使用变成可视化和向导化，大大降低了学习沟通成本，提升了开发效率和使用的方便性。客户端采用的技术包括：面向对象的JS、AJAX、XML、DOM注入技术。服务器端特色技术创新性的请求路由机制，大大降低B/S架构软件开发的难度，实现B/S架构软件开发象C/S架构软件一样简单，一样快速。利用消息/事件模式，彻底消除模块之间的代码依赖关系，大大降低耦合关系。事件同步和异步两种响应方式。同步响应方式主要针对执行请求/响应同步处理的任务，异步响应方式主要针对执行时间较长的任务处理，提升用户体验。站点间交互采用技术对于大规模复杂的应用系统，一般采用多站点部署的分布式计算模型。这样的计算模型中，站点之间的安全可靠地交互是必要的。平台运用Web服务解决这一问题。2.4 技术特性2.4.1 先进的底层架构l Web服务端采用最为流行的Nginx+Apache双引擎。Apache处理页面最稳定、Nginx处理静态文件高效、稳定，处理大并发量请求稳定；l 程序前段界面框架采用最为流行的UI风格，融入政务领域的特色，使得界面风格更加简洁大气；l 采用基于MVC设计模式的后端框架，保证了程序代码的健壮性以及产品和项目订制的开发效率以及代码的可维护性，同时提供了大量的组件和控件，大大加速定制开发的难度，提高开发效率；l 提供了完善的应用底层支持，如用户身份验证、角色权限控制、附件机制、存储机制、视图机制等，同时还可提供代码自动生成工具，这些为二次开发提供了便利的平台和工具。2.4.2 多数据库支持支持MySQL、SQL Sever、Oracle 11g、PostgreSQL等多种数据库；使用的ActiveRecord对数据库操作，保证了对多种数据库的高效支持。数据结构设计全面优化，如设置外键以及UUID主键等，保障了数据的一致性和可移植性。2.4.3 智能流程引擎流程模型支持BPMN2.0国际标准，提供图形化流程设计器，快速对复杂业务流程建模，基于政务领域需求，提供会签、回退、子流程等特色化功能。同时提供开发接口，实现异构系统的调用和对接。2.4.4 工作流引擎技术2.4.4.1 工作流相关概念工作流（WorkFlow）就是工作流程的计算模型，即将工作流程中的工作如何前后组织在一起的逻辑和规则在计算机中以恰当的模型进行表示并对其实施计算。工作流要解决的主要问题是：为实现某个业务目标，在多个参与者之间，利用计算机，按某种预定规则自动传递文档、信息或者任务。简单地说，工作流就是一系列相互衔接、自动进行的业务活动或任务。工作流由实体(Entity)、参与者(Participant)、流程定义(Flow Definition)、工作流引擎(Engine)四部分组成。l 实体是工作流的主体，是需要随着工作流一起流动的物件(Object)。例如，在一个采购申请批准流程中，实体就是采购申请单；在公文审批流程中，实体就是公文。l 参与者是各个处理步骤中的责任人，可能是人，也可能是某个职能部门，还可能是某个自动化的设备；l 流程定义是预定义的工作步骤，它规定了实体流动的路线。它可能是完全定义的，即对每种可能的情况都能完全确定下一个参与者，也可能是不完全定义的，需要参与者根据情况决定下一个参与者；l 工作流引擎是驱动实体按流程定义从一个参与者流向下一个参与者的机制。前三个要素是静态的，而第四个要素是动态的，它将前三者结合起来，是工作流的核心组成元素。而工作流引擎是指WorkFlow作为应用系统的一部分，并为之提供对各应用系统有决定作用的根据角色、分工和条件的不同决定信息传递路由、内容等级等核心解决方案,下图为工作流组成要素。2.4.4.2 工作流管理系统设计框架按照WFMC规范，从功能的角度看：工作流系统的本职工作就是管理和控制业务流程，例如：流程实例的启动、停止；环节实例的启动、结束；任务的分配等等。从工作流系统的组成看：工作流系统应该包括流程引擎、流程定义工具、运行管理工具、相关接口等。单纯的从WFMC规范来看，工作流引擎本身所关注的是一个非常“抽象”层面的问题，精简来讲即：确保流程按照既有的定义，从一个节点运行到另一个节点，并正确执行当前节点。即四个方面的问题：l 流程定义问题：流程实例(Process Instance)的执行都是依赖于所定义的流程定义(Process Definition),核心任务是用一套定义对象来描述“流程定义”，并且这些定义对象必须反映出一种“模型”。l 流程调度问题：提供什么的机制，可以确保流程能够处理复杂的“流程图结构”，诸如串行、并行、分支、合并等等，并在这复杂结构中确保流程从一个节点运行到另一个节点。l 流程执行问题：当流程运行到某个节点的时候，需要一套机制来解决：是否执行此节点，并如何执行此节点的问题，并维持节点状态生命周期，也就是状态机的概念。l 流程实例对象：需要一整套流程实例对象来描述流程实例运行的状态和结果。总之，单纯的从技术角度上来讲，工作流系统应该不包括表单定义、组织机构定义及其管理、权限管理、数据流管理等等。但是，从用户的应用角度，却需要工作流与上述系统之间有密切的联系和频繁的交互，比如要将费用报销使用工作流实现，那么显然我们需要设计一电子表单，来作为流转过程中用户数据的载体，这必然需要良好的表单设计工具作支撑，用户能够在不需要编码的情况下进行数据结构的维护和表单设计等工作，报销流程的流转过程中又涉及到审批权限等，比如根据报销金额的不同，路由会发生变化，这又跟组织机构以及权限设置密切联系，同时报销后的对于业务数据可能会有汇总或统计分析的需求，又需要良好的报表统计功能。因此我们认为，作为完善的工作流产品，更多的应该是站在用户和应用的角度上，所以更确切的说，只有面向应用，面向最终用户的工作流产品才是真正符合中国国情的，才能更快速、更高效的为用户工作效率带来质的飞跃。平台正如上所诉提出了一套完整的工作流应用系统解决方案，对于业务逻辑的快速部署和实施提供了有效的保证，诸如：工作流核心引擎、电子表单设计工具、图形化流程设计工具、组织机构、人员建模工具、消息提醒引擎、以及丰富的接口以及快速开发工具和开发文档等。在整个平台中，工作流引擎扮演着重要的作用，作为强大的逻辑控制层，支撑了系统平台的业务逻辑的正常运转，下图为工作流应用系统系统架构框图：2.4.4.3 工作流管理系统设计特色l 工作流管理系统基于J2EE体系结构开发，具有良好的跨平台性，能独立于应用服务器，可用于符合J2EE1.4规范的各种应用服务器，如WebSphere、WebLogic等，同时也支持多种数据库，如：Oracle、SQL Server、DB2、MYSQL等。l 工作流管理系统的核心工作流引擎符合WMFC标准设计规范，采用标准的XPDL语言定义流程模型，具有良好的通用性。l 工作流管理系统提供了强大的电子表单设计器，实现所见即所得鼠标拖拽式设计过程，不需要任何编码和开发，大大降低了系统的维护成本，也进一步加快了流程业务的实施过程。l 工作流管理系统提供了功能强大的流程可视化设计工具，支持丰富的流程流转模型：顺序、条件分支、并发、合并、嵌套、回退等。l 工作流引擎作为业务流程的任务调度器提供丰富的流程节点控制机制、流程数据安全管控机制、容错及异常处理机制等，保障流程实例创建、激活、挂起、终止等环节严格按照流程定义进行正常运转，进而确保了业务数据安全可靠的传输。l 其他特色：引擎运转由资源驱动，资源包括人、时间、事件等灵活地业务流程变更机制、具备版本管理功能强大的监控、管理平台日志引擎确保系统的安全与稳定严谨又不失灵活的权限控制机制基于组件思想设计的集成机制提供丰富的业务扩展接口，支持插件机制，便于与其他业务系统的对接领先的技术架构确保了系统的稳定性、扩展性2.4.5 智能表单中心提供可视化表单设计工具，支持多种表单格式，HTML、DOC、AIP（版式文件），实现图形化数据库设计。2.4.6 支持分布式部署提出两种解决方案进行比较：高性能服务器集群的大集中解决方案和分布式部署方案；高性能服务器集群成本较低，但人数太多后会有瓶颈，无法通过扩充服务器来改善，适合县乡级采用；分布式部署，可以无限扩展，数据在网络中加密传输，各个节点处理各自独立的业务且能进行公文传输、邮件、即时通讯等功能；2.4.7 政务安全卫士产品支持多种身份认证方式，配合严格的权限体系和操作日志，保障系系统数据的安全。同时系统附件采用了加密存储，在关键业务模块，如公文处理环节采用了防篡改的版式文件技术，多方面、多维度提升安全性。配合详细的审计日志体系，将严格控制系统的每一个细节。2.4.8 支持版式文件版式文件（如PDF）提供与原文档同样的版式、版面、字体、字号，显示效果与原文档一致，精确打印。支持电子印章盒手写签批。2.4.9 二维条码技术针对纸质公文签批与电子公文相结合的应用场景，借助二维码技术，办理人员可通过扫描设备扫描纸质文件的条形码快速找到文件办理，可以实现网上审批、纸质签字同步进行，也能减轻一些重要岗位的压力。二维条码同时也提供了移动设备交换数据的桥梁。2.5 安全技术方案2.5.1 系统安全保障策略与体系随着互联网络的迅速普及，网络的安全问题日益严重，各种网络攻击行为给政府、企业带来巨大的经济损失，甚至使国家的安全与主权受到威胁，网络信息安全近年来已受到普遍关注。东海县信息资源化综合平台作为一个大型综合应用系统，构建在一系列硬件平台和软件平台之上，同时依附于局域网络和广域网络环境运行。因此针对东海县信息资源化综合平台的安全设计需要涵盖整个系统所涉及的所有领域，包括主机系统、网络系统、软件系统、数据库系统等。2.5.1.1 设计原则l 统筹规划、分步实施：东海县统一的领导和组织下，明确整体安全策略，结合东海县信息资源化综合平台应用实际情况和发展需要，分阶段、分步骤，不断推进和完善东海县信息资源化综合平台安全保障体系。l 统一协调、各负其责：东海县信息资源化综合平台项目将在东海县的领导和统一协调下，各部门各司其职，落实责任，抓好安全工作，共同构筑东海县信息资源化综合平台的安全保障体系。l 综合防范、整体安全：在东海县信息资源化综合平台项目中，坚持管理与技术并重，内网与外网并重，从人员、管理、安全技术手段等多方面着手，建立综合防范机制，实现整体安全。l 分级保护、务求实效：从实际出发，综合评估信息的价值和系统所面临的风险大小等因素，科学划分网络与信息系统安全等级。依据安全等级进行安全建设和管理，综合平衡安全成本和风险，优化信息安全资源的配置，提高信息安全保障的有效性。2.5.1.2 安全保障框架在全面分析和评估东海县信息资源化综合平台各要素的价值、风险、脆弱性及所面对的威胁基础之上，遵照国家等级保护的要求，东海县信息资源化综合平台应以策略为指导，以管理为核心，以技术为手段，通过构建技术体系、管理体系、服务体系，实现集防护、检测、响应、恢复于一体的整体安全保障机制。东海县信息资源化综合平台项目框架如图所示：信息安全标准体系信息安全标准体系是指导制定信息安全策略，规范信息安全体系建设，确保网络互联互通、业务协调、资源共享的基础。东海县信息资源化综合平台项目采用的安全法规、标准、规范包括国家的安全法律、法规、标准，以及根据自身发展需要建立的东海县电子政务信息安全保障规范。信息安全策略体系信息安全策略体系是为了指导和规范电子政务信息安全工作而制定的安全方针、管理制度、规范标准、操作流程和记录模板等文档的总和。安全策略具有层次化的结构，包括整体安全策略、部门级安全策略、系统级安全策略等。信息安全技术体系安全技术是指保障东海县电子政务信息安全的安全技术功能要求和安全技术保障要求，包括网络与通讯安全、主机与平台安全、数据库安全、应用安全、数据安全、物理环境安全等方面。信息安全管理体系信息安全管理体系是信息安全保障体系的重要组成部分，与安全技术体系、安全服务体系相互支撑、相互协同、相互补充，共同保障电子政务的整体安全。安全管理体系由组织机构、规章制度、技术手段和人才队伍等构成。信息安全服务体系信息安全服务体系是实现东海县信息资源化综合平台安全、稳定、可靠运行的重要保障。在信息安全管理主管机构的领导下，以东海县专业技术人员为基础，充分依托社会技术力量，提供应急响应、安全咨询、安全评估、安全评估等服务。2.5.1.3 安全体系在上图的安全体系中：l 物理安全与网络安全由东海县现有的安全体系提供，我们在本小节，针对其中涉及到应用系统安全部分提出建议。l 安全管理属于管理制度的建设范畴，我们在本小节，依据以往的项目建设经验给出建议。l 应用系统安全包括本次项目提供的业务系统的身份认证、权限管理，数据与业务功能安全等内容，将在安全技术和实现小节中展开详细阐述。l 跟踪审计涉及到对软件平台和应用系统操作过程的跟踪审计，将在安全技术和实现小节中展开详细阐述。2.5.1.4 物理安全物理层指整个东海县信息系统网络中存在的所有信息机房、通信线路、网络设备、安全设备等，保证计算机信息系统各种设备的物理安全是保障整个东海县信息系统网络系统安全的前提。由于本项目将新建机房，需对其基本物理环境做基本的安全防护，如防盗、防火、防雷等。系统的物理安全是整个系统安全的基础，要把系统的危险减至最低限度，需要选择适当的设施和位置，保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括机房环境、设备保护、容灾保护、犯罪活动以及工业事故等几方面的内容。系统在物理安全上的解决方案是以数据中心机房的安全设计为基础，以环境隔离、门禁系统、消防系统、温（湿）度控制系统、容灾系统、设置监控中心、配备感应探测装置、自动调节装置、更换设备、升级软件系统、授权更新等为手段，保证物理安全的方案。2.5.1.5 网络安全由于系统绝大多数的操作都通过浏览器完成，因此网络传输的安全对保证系统的安全就具有重要的意义。我们采用SSL（安全套接口协议）来保证网络传输的安全。SSL（Secure Socket Layer）是目前被大多数浏览器（包括Netscape和MS IE）支持的加密传输协议，SSL位于HTTP 层和TCP 层之间，建立用户与服务器之间的加密通信，确保所传递信息的安全性，基于SSL的通讯机制可以确保通讯过程的私有性，防止通讯数据在传输过程中被偷听、篡改或伪造。该协议采用公开密钥算法在通讯初始阶段确定传输数据所使用的加密、压缩和校验算法，以及算法的参数、密钥等，从而可以保证通讯的安全性并能够选择高效的加密算法，在通讯过程中获得较高的通讯效率。利用SSL可以有效地保证了系统网络传输的安全。另外，为了保证服务器的安全，在非必需的情况下建议在防火墙上限制应用服务器的21（FTP）、23（Telnet）、135（RPC）端口。抵御各种网络攻击，保证网络安全是整体安全非常重要的因素。东海县系统可能面临的网络安全风险主要有：东海县信息资源化综合平台核心内容部署于政务内网，虽然可以在各交换节点的交换机上通过配置提供一些安全保证，但是其强度是不足的。因此，系统在设计交换域时会充分考虑各交换节点间的安全防护和病毒防护行为，避免因为数据交换和共享而影响各单位内部的各项正常业务。另外，按照系统建设要求需要建立基于互联网的办公自动化系统，处理包括公文交换、领导公务安排、会议管理、信息查阅等功能，因此需要通过VPN实现数据访问和交换，因此，本系统可以加装VPN专用设备。2.5.1.6 管理安全系统安全不是一个纯技术问题，业界公认的对于信息系统安全的说法是“三分技术，七分管理”。可见管理在保障系统安全方面的重要性。事实也是这样，只有当安全管理制度、措施到位并付诸实施才能切实保证系统安全。安全管理重点强调如何从管理的角度保证信息安全，其主要内容包括：针对东海县信息资源化综合平台制定的一系列有针对性的安全管理规章、制度、标准、安全组织、人员的配合，培训、服务水平协议、以及人员技能培训等。管理安全解决方案是以建立及完善信息安全管理的政策、标准、制度和手册为基础，建立及维护信息安全服务水平协议为手段，不断巩固与提高信息安全管理水平的方案。管理安全保护具体内容包括：建立并完善各种信息安全管理的政策、制度、标准和手册；建立系统的信息安全管理组织；在安全政策标准成功推广的基础上，建立信息安全服务水平协议。对违反安全管理政策、制度、不按标准作业的个人、行为或基础设施各组成部分发生的信息安全问题进行监控、记录，做相应的违规作业统计，对管理安全进行定期不定期的检测。分析监控记录，调查安全事件的起因和后果，收集安全违背行为的证据，记录安全违背行为，制定好积极的响应方案，编写安全事件的报告，对安全事件的及时做出响应。根据安全事件的报告，及时进行必要的安全流程变更、组织机构调整。分析安全事件报告、监控记录，及时进行人员技能培训，必要时修改不合理的安全制度、政策、标准等，同时可以针对发生的安全问题选择更先进的安全技术、产品，甚至重新修订信息安全服务水平协议。2.5.2 系统安全技术2.5.2.1 应用系统安全五大要素保密性是指网络信息不被泄露给非授权的用户、实体或过程。即信息只为授权用户使用。保密性是在可靠性和可用性基础之上，保障网络信息安全的重要手段。 可用性在保证接收到信息的前提下，还要保证信息的有效性以及可利用。完整性指在传输、存储信息或数据的过程中，确保信息或数据不被未授权的篡改或在篡改后能够被迅速发现。抗抵赖性通过对签名的验证，可以判断数据在传输过程中是否被更改。从而，可以实现数据的发送方不能对发送的数据进行抵赖，发送的数据是完整的，实现系统的抗抵赖性和完整性需求。可认证性指信息可只被通过认证的指定用户接收。2.5.2.2 认证方式用户名和保密字最常用的基本用户认证方式，特点是方便易用，缺点是安全性较差，适用于安全性要求较低的场合。USB Key类似于工行推出的网上银行采用的U盾，从技术角度看，USB Key是用于电子签名和数字认证的工具，它内置微型智能卡处理器，采用非对称密钥算法对网上数据进行加密、解密和数字签名，确保交互过程中数据的保密性、真实性、完整性和不可抵赖性。动态口令卡动态口令卡采用成熟的动态密码技术，实现每次登录时密码的随机变化，有效解决了静态密码易被窃取等问题，能充分保障身份识别及认证安全。此外，动态口令卡易于携带、操作简单，不需要在电脑上安装任何软件，使用起来非常方便。动态口令卡还可以和浏览器证书结合使用，进一步提高了浏览器证书用户的安全程度。CA认证方式目前安全性最高的应用安全解决方案是采用PKI技术建立数字证书认证中心（CA），配合USB KEY设备，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证与信息传输系统，从而保证：信息除发送方和接收方外不被其它人窃取；信息在传输过程中不被篡改；发送方能够通过数字证书来确认接收方的身份；发送方对于自己的信息不能抵赖。以数字证书替代“用户名口令”，数字证书由CA中心颁发，存储于用户USB KEY中，保证了用户身份的唯一性，同时传输过程采取SSL协议加密，避免信息被窃取。2.5.2.3 数据的安全性数据存储的安全性对关键数据可以进行加密、信息摘要、电子签名等处理，来防止窃取、篡改和抵赖。数据传输的安全性通过对称加密、非对称加密、信息摘要、电子签名等技术，对网上传输的关键数据进行加密，生成信息摘要等处理，防止数据的泄漏、篡改和抵赖。对关键文档防止篡改通过电子印章技术，保证了电子表单信息、以及office文档信息的安全性：防篡改、仿抵赖，同时提供完善的电子印章管理平台，来对印章及权限进行管理。2.5.2.4 公文传输的安全在公文传输的时候，首先我们需要防止公文被非法截取，这是网络安全的问题。同时也需要考虑到，万一公文被非法截取的话，公文的安全如何得到保护，这就需要通过密码技术来解决。根据国家有关管理部门的要求，正式公文必须采用硬件加密，含有国家机密的文件还必须采用国家指定的密码机。系统采用离线式的数字签名技术保障公文传输的安全性。电子印章的安全性对公文传输来说，要求电子公文文件必须具有高度的保密性、严肃性、不可抵赖性、不可伪造性和不可篡改性，加盖电子印章是必不可少，对电子公章实施专门的保护，不允许出现安全漏洞。系统在电子印章的存放、电子印章的使用方面，采用了很多的安全措施，有效防止印章被非法盗用。2.5.3 系统的安全实现我们将融合本单位在信息安全领域多年的技术积累，采用了网络安全技术、数据存储技术等各种技术方案来确保系统的安全。下图是系统将采用的安全管理模型：2.5.4 身份认证每个需要访问系统的用户都需要一个账号。系统管理员在设置用户时，系统可自定生成初始口令（密码）。用户可在自助界面上自行设置口令或更新口令。对于帐号和密码的管理系统还采用了如下安全设置：l 系统提供对口令的长度与复杂度的校验。l 可设置口令有效期，保证口令的经常更新。l 对采用加密存储，即便是系统管理员，也不会看到用户自行设置的口令，以保证口令不被窃取。l 可设定是否采用动态密码（校验码）。如果需要，用户在登录系统时，除了输入用户名与口令，还需输入由系统动态生成并分配的动态校验码，以避免某些非法操作利用技术手段对系统进行恶意攻击。l 另外，系统的身份认证机制可以与单位整体规划的身份认证（CA）相结合，实现统一的人员身份管理。2.5.5 权限管理应用系统的访问控制是系统安全中的关键一环，是我们首要关注的问题，我们建立了完善严密的权限控制机制，来保证对不同操作人员的业务处理范围的授权。角色权限的设置在初次使用应用系统时，首先需要定义不同的角色，每个用户都被赋予一个或多个“角色”，角色分为主角色和辅助角色，一个用户只能有一个主角色，但可以被授予多个辅助角色。角色反映了用户被授权看到的模块集合，一个用户能够在软件中看到多少模块，就是该用户的主角色和辅助角色中授权的模块的集合。应用系统中很多模块区分管理级别，角色就决定了用户在应用系统中的管理级别。例如，用户在查看员工工作日志或者日程安排时，主角色的排序高低，决定了该用户有权查看哪些用户的日志和日程。角色还代表了一个“用户类别”，即：拥有相同的主角色或者辅助角色的人员，可以被视作一个“用户类别”，一个用户可能被涵盖在一个或者多个“用户类别”中，这种类别，我们可以理解为在一个单位中拥有相同“职位”或者相同权限者的一种称呼。比如说，主角色为“司长”的用户可能有10个人，这10个人拥有作为“司长”这个角色的相同模块权限。在应用系统中设置公文、文件等的发布范围的时候，都可以将角色作为一个类别来进行选择，具备相同角色的人就可以得到相同的权限设置。组织机构的管理组织机构由单位、部门和用户三种元素组成。系统只能设置一个单位，但单位下可以设置任意多层次任意多数量的部门或分支机构，每个部门可以设定其下的用户，每个用户可以属于一个或多个部门。在用户管理模块，我们可以给每个部门建立用户，可以给用户设置一个初始密码，用户在自己的控制面板中可以修改密码。用户名一旦建立不能修改，admin管理员有权清空用户的密码。可设定用户与IP地址绑定。安全选项设置与用户名和密码相关的设置：密码定时过期、密码强度控制等基础设置。设置是否启用USB KEY：如果启用此选项，对于在建立用户时，指定了使用USB KEY登录的用户，在登录系统时会检测USB KEY是否存在，如果不存在则不允许登录系统，在进入工作流主办时，也会进行USB KEY监测，如果不存在则不能进入流程主办。文件共享的权限公共文件柜、网络硬盘、图片浏览这几大工具，构成了应用系统文件共享的功能。公共文件柜和网络硬盘中每个文件夹的权限都可以分为：l 访问权限：允许访问某个文件夹的阅读权限l 新建权限：可以在该文件夹中新建和上传文件的权限l 管理权限：可以编辑和删除文件的权限l 下载打印权限：下载打印文件和附件的权限2.5.5.1 授权管理在进行权限设置时，系统提供基于“角色”的授权方式。不同人员的岗位级别决定不同的“角色”。角色本身所具有权限特性。对用户授权是指将不同用户授予不同的“角色”。另外，角色管理还具有角色组、角色的派生、以及权限策略的功能。权限角色定义与授权：用户可依据职务或用户组自行定义权限角色，按角色赋权，如根据职务，在系统中设相应角色：如普通职员、部门领导、司局领导、部领导、系统管理员等。各角色各司其职，具有不同的权限，系统允许用户对这些角色拥有的数据权限和功能权限的进行组合，建立功能权限组。用户也可根据单位管理的实际情况建立相应的角色体系。为职员授权时，只需将职员指派至相应的权限角色组中，职员即可继承该组所应有的权限。也可对各功能角色的权限设置进行查看、修改、复制或删除（禁用）等。个性授权在对用户授权的时候，一个用户不但可以授予一类角色，也可以是多个角色的合集。在这样的授权机制基础上，可以为用户设置个性化权限。批量授权系统自动汇总当前入单位但未授权的员工，以提示系统管理人员及时进行授权操作。或者使用查询选项，为符合条件的某一级别或类别的职工进行授权的批量操作（禁用、赋权、修改或删除）。分级授权分级授权目的是为了防止内部职员进行越权操作。系统将所有需要访问控制的资源(如文件、数据等)与访问这些资源的所有基本操作(如添加、查询、修改等)进行组合，产生系统基本特权。系统管理员可以对这些特权任意组合后分发给不同用户，并让这些权力只能在一定范围内(通常只在工作部门内)有效。同时在权限组合上，系统支持由管理员来定义任意的权限组合，然后再将这样的组合分发给不同的操作者，实现操作功能上的分级授权。2.5.5.2 操作安全系统除在权限管理有详细的控制和周密的方案以外，对于有合理权限的业务操作也做了充分的安全考虑，主要包括以下几点：业务操作合法性验证用户在权限范围内的正常业务操作，由于操作不当或者错误操作，产生的对系统的破坏也是威胁系统安全的正要因素。所以，在系统中对于破坏性的操作系统可以自动识别，并对操作人员给予相应的提示。有效的避免由于操作疏忽或恶意操作对系统带来的损失。例如：当对一个有人员存在的组织单元或档案执行“删除”操作时，系统会自动识别操作并对操作人员给予提示。这样有效的保障的业务操作的安全性和合理性。数据合法性验证数据的合法性也是保证系统正常运行的关键之一。在日常的业务操作中由于操作人员的一时疏忽向系统中录入了非法的数据，这种情况不但造成了统计查询的不便也增加了系统维护的成本。在系统中对于数据有智能的校验功能，避免非法数据进入系统对系统的稳定造成威胁。例如：在维护员工信息是如果对相关项目录入非法数据，系统将提醒业务操作人员。2.5.5.3 数据安全数据库安全首先系统采用的是纯B/S构架的系统，终端用户直接访问Web和应用服务器，用户不能直接访问数据库，也就是说应用系统的终端用户是与数据库系统相隔离的，系统用户是通过中间件访问数据库的，而不是对数据库直接进行访问与操作。其次、我们将采用大型商用数据库软件做为数据库管理系统，大型商用数据库提供了严密的安全措施，以保证系统的安全性及数据库的安全性。对于系统管理员，我们将采用数据库管理系统提供的安全手段保证数据库安全。例如：规定其只能在主控台登录数据库，而不允许其在远程终端进行操作等。另外、对于数据库安全，应该对数据库服务器的机房、网络等采取严格的安全措施，以保证数据库的安全。数据加密在系统中，我们对重要数据进行了加密存储，保障了关键数据存储的安全性。对于不同级别的数据我们采用了加密或者更加有效的安全处理方式。版式文件版式文件（如PDF）提供与原文档同样的版式、版面、字体、字号，显示效果与原文档一致，精确打印。支持电子印章盒手写签批。二维条码技术针对纸质公文签批与电子公文相结合的应用场景，借助二维码技术，办理人员可通过扫描设备扫描纸质文件的条形码快速找到文件办理，可以实现网上审批、纸质签字同步进行，也能减轻一些重要岗位的压力。二维条码同时也提供了移动设备交换数据的桥梁。2.5.5.4 接口安全接口通讯涉及系统及其他多个系统，其安全管理显得尤其重要。主要采用以下措施来保证其安全性。逻辑上利用服务器分区管理与虚拟化技术，在独立的分区布置接口服务，隔离各外部系统与本系统，确保办公自动化系统不暴露出来。数据通讯上采用SSL通讯安全证书进行系统内部通讯双方身份验证，安全API接口等方式，防止数据被窃听或篡改。业务控制上通过用户和权限的管理，对系统用户的操作功能权限和业务权限进行控制。数据合法性验证办公自动化系统提供下载模板，以供数据提供方按应用的要求进行数据的收集与整理，在数据导入时，系统在处理业务数据时，均从业务的角度给出相应数据合法性的检验，对于数据信息输入不完全，不符合逻辑的情况系统均给出明显的提示。以保证数据的合法性,防止非法数据进入系统。2.5.5.5 日志审计安全审计是应用系统安全事故出现后的责任追踪手段，是应用系统安全解决方案的重要环节。办公自动化系统的安全审计主要实现对个人操作的监控、安全事件重现、入侵探测和故障分析等。审计通过日志实现，审计是对日志中记录信息的查询、统计和分析。所有审计结果，通过内置审计报告来直观地查看审计结果。通过审计可以达到如下目的：个人行为监控审计跟踪是管理人员用来监控和追踪用户在办公自动化系统中行为的技术手段。例如，业务部门的某职员需要访问他们所负责的职员的工作日志，通过审计跟踪发现该职员对档案的超常下载与打印，这也许意味着非法获取数据，这就可以用来协助调查避免某些不必要的安全事件发生。事件重建一旦系统发生故障，可以利用审计跟踪可以用于重建事件。通过审查系统活动的审计跟踪可以比较容易地评估故障损失，确定故障发生的时间、原因和过程。通过对审计跟踪的分析通常可以辨别故障是操作引起的还是系统引起的。例如，当系统失败或文件的完整性受到质疑时，通过对审计跟踪的分析就可以重建系统、用户或应用程序的完整的操作步骤。在对诸如系统崩溃这样的故障的发生条件有清晰认识的前提下，就能够避免未来发生此类系统中断的情况。而且，在发生技术故障（如数据文件损坏）时，审计跟踪可以协助进行恢复（通过更改记录可以重建文件）。入侵探测使用审计跟踪不但可以记录适当的信息，也可以用来协助入侵探测工作。如果在审计记录产生时就进行检查（通过使用某种警告标志或提示），就可以进行实时的入侵探测，不过事后检查（定时检查审计记录）也是可行的。事后鉴别可以标示出非法访问的企图（或事实）。这样就可以提醒人们对损失进行评估或重新检查受攻击的控制方式。办公自动户系统通过日志实现审计。日志分为系统登陆日志、系统异常日志、业务安全日志、系统任务日志五种类型：系统登陆日志记录系统用户登录、登出系统信息及在线人数。将记录信息：什么时间、什么人、什么IP、什么操作（登录注销）、系统在线人数。需审计信息：每天系统登入登出信息。业务安全日志记录系统业务功能的执行记录。将记录的信息：什么时间、什么人、什么IP、什么操作（业务功能）、执行状态、业务参数信息。需审计的信息：系统管理员审计某个业务功能的执行情况。数据库安全日志记录数据库操作的执行记录。将记录的信息：什么时间、什么数据源、什么表、什么操作（添加、删除、更新）、操作前表记录情况。需审计的信息：添加、删除、更新某个表的记录的情况。系统任务日志记录系统中异步执行的系统计划任务事件产生的记录信息。将记录的信息：什么时间、什么计划任务（计划任务事件）、执行状态。需审计的信息：计划任务事件执行情况。系统异常信息日志记录系统异常信息。将记录的信息：什么时间、异常类型、异常信息、异常数据。需审计的信息：开发、实施人员分析系统异常查找错误。日志级别设置启动审计日志将影响整个系统的性能，为了平衡系统性能和日志记录的密度，我们把日志分为DEBUG、INFO、WARN、ERROR、FATAL五个级别。系统提供设置日志记录的工具，根据实际应用的具体情况，进行设置，以达到系统性能和日志记录密度较好的平衡点。日志查询系统提供了日志查询工具，方便地对日志进行查询。图形化统计查询结果输出系统日志统计查询结果的输出有两种形式，一种是表格化形式，另一种是图形化形式。日志备份存档日志系统产生的数据量很大，为了提高系统的运行效率，可以使用日志的备份存档工具，将系统现有日志表复制一份，进行存档，然后清空当前日志表。2.5.5.6 不间断运行方案系统是大型的OLTP（联机事务处理）数据库系统，不仅要满足大量数据存储和交易快速响应的需要，还要保障数据的安全性和一致性。需要考虑人为、机器故障、自然灾害等不可预料情况下数据的存储和恢复，体现在两个方面：系统数据丢失、系统故障时，数据的恢复能力；系统设备损坏时，数据的恢复和应用接管能力。建议通过灵活、高效的数据库服务器和应用服务器的集群技术，数据库备份/恢复技术，SAN存储技术和光盘/磁带库备份技术实现系统在不间断运转情况下的数据保存和在灾难情况下数据的恢复，采用定期全数据库备份和日间按时间段的数据增量备份相结合的方法，保证在生产过程中的数据双重保存（磁盘存储设备和外部磁带存储设备）和数据的恢复。硬件冗余方案硬件平台是系统运行的基础，在硬件建设方案中要考虑避免单点故障，保证不会因为某一个硬件设备的故障引起整个系统的不可运行。对于数据库服务器和应用服务器，要采用两台以上的服务器，采用集群的方式运行。对于每台服务器，至少需要配备双电源、双网卡、双光纤接口（通过光纤交换机与SAN设备和磁带库设备连接）；对于各种网络连接设备，都需要考虑容错的方案。对于无法提供冗余的设备，如SAN设备等，要求提供原厂商的服务保证，以保证一旦出现故障，可以在原厂商的支持下，在最短的时间解决故障。数据库服务器解决方案我们建议采用双机备份的方式。在双机热备份方式下，数据库系统平时只能在一台服务器(例如服务器A) 上运行，另一台服务器无法直接访问数据库，自然也无法进行负载分担。当服务器A由于故障失效时，由相应的操作系统软件控制，将服务器A管理的存储设备(如硬盘)转交给服务器B控制，同时在服务器B上启动另一个数据库进程，管理数据库。这种切换并启动新的数据库核心的过程一般需要几十秒到几分钟。采用双机热备份的平台很多，例如HP MC/Service Guard等。应用服务器方案在办公自动化系统中，应用层服务器承担着业务系统的各类应用服务，需要强大的计算能力和处理大量的并发连接的能力，并能在用户数增加的情况下保持良好的性能平衡。因此，应用服务器需建议采用双机或多机集群的方案，可采用物理独立的服务器或通过分区方式在高端服务器上进行虚拟机的