还剩73页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
安阳市统一电子党务平台解决方案河南锐之旗信息技术有限公司1项目概述
1.1项目背景20世纪90年代以来,信息已成为重要的战略资源,国际上围绕信息获取、使用和控制的竞争日趋激烈目前,信息化水平已经成为衡量一个国家综合国力、现代化程度、国际竞争力和经济增长潜力的重要标志进入21世纪以来,国家十分重视政府信息化工作,成立了由党中央、国务院领导的国家信息化领导小组,进一步明确提出为迎接全球经济一体化和加入WTO的挑战,信息化建设已经成为实现我国党务管理现代化、实现跨越式发展的必由之路中共安阳市委积极响应国家号召,努力建设电子党务方面的相关工作,当前安阳市电子党务网络已初具规模网络系统的建设和使用,促进了安阳市电子党务发展进程向深度和广度全面推进,不仅提高了机关办事的工作效率,有力地推动了市委机关业务处理的规范化进程,而且为辅助市委领导和有关部门进行决策提供了先进的手段和有力的信息支持信息产业在最近几年迅速的崛起,信息技术和信息化已经渗透到各行各业,以信息技术为支撑点,以信息化为突破口,已经成为各行各业发展的基本战略虽然在电子党务方面中共安阳市委已经取得了显著的成绩,但是因为各种客观原因,相对来说办公系统的建设情况和使用情况还存在较大的不足,另外随着时代的发展,对电子党务也提出了新的更高的要求那么如何整合和完善市委办公自动化系统、市委网站群以及业务管理信息系统,优化和规范市委业务流程,全面实现市委管理网络化、信息化、无纸化,树立安阳市党务办公新形象,成为中共安阳市委当前面临的难题
1.2工程规模为配合中共安阳市委提出的电子党务发展规划,本次项目工程主要包括网络建设和应用系统建设两个方面网络建设方面,需要充分利用现有网络资源,补充必要的网络设备,整合网络入口和出口,做好不同网络层级的安全控制和管理,提供满足市委需求的有效、安全的网路集成环境应用系统建设方面,主要解决满足中共安阳市委以及五县四区的党务门户网站群、集群党务信息化办公平台和统一电子党务移动办公平台通过平台的无缝结合,协同办公,实现中共安阳市委内部协作、沟通、规范的统一电子党务平台电子党务是一项长期的工程,这套统一电子党务平台将成为安阳市党务办公的基础平台,不仅能够满足当前的日常办公需要,解决现有的党务办公问题,而且要建设成为一个可扩展可延伸的开放式的办公平台架构,为以后中共安阳市委党务办公的继续发展打下良好的基础
1.3建设思路
1.
3.1建设目标本方案以中共安阳市委实际问题作为出发点,结合党政机关特点,以实现满足高效政府、移动党务、服务行政、服务社会为宗旨,以安全建设为基本原则,为中共安阳市委量身打造一套适用、有效地统一电子党务平台,并通过各种网络安全手段为市委提供从物理隔绝走向逻辑隔离的可靠解决方案在网络安全级别,提供统一的认证中心,保证接入安全;提供统一出口,控制非法外联;提供网络分析,做好网路管理;提供终端监控管理平台,做好日常终端监控;提供漏洞扫描手段,做好网络安全防护;提供网络审计,保证有据可查等在应用系统级别主要包括以下几个方面一个平台统一的基础管理平台,实现用户数据统一管理、权限统一分配、身份统一认证、党务信息统一管理两个门户统一规划党务门户网站群和集群党务信息化办公平台,将外网信息维护、公众服务和互动交流和日常工作紧密结合起来,有效提高工作效率三级机构应用对象覆盖市、县区、委办局多级机构,实现“大OA套小OA”的应用模式四大应用网站群管理、一体化集群党务信息化办公平台、党务资源共享和共同交流四大核心应用
1.
3.2建设原则本次平台建设遵循“统一规划、统一规范和标准”的原则,保证系统建设具有针对性、实用性、开放性、可扩展性,以及技术上的先进性、成熟性、可靠性和安全性等1.安全性原则根据行业要求,统一党务平台的信息化必须将安全性放在第一位,因此本方案的建设以安全性为首要建设原则2.先进性原则在保证实用性的前提下,尽可能考虑方案、技术和产品的先进性,虽然IT技术更新迅速,但至少需要考虑保持三年的先进性3.管理集成和系统开发的互动原则按信息和通信技术的应用要求对现有流程进行优化和业务重组,在进行管理集成时充分挖掘信息和通信技术的应用潜力,使先进技术为管理集成服务4.需求与实现的互动原则即技术开发人员懂得如何实现工作业务的电子化,而工作人员知道正确的提出实现业务电子化的需求5.实用化原则在市委管理中采用先进的信息和通信技术可以使市委做到以前不可能做到的事情,如倍增的效率、巨大的管理幅度、充分的管理授权等6.可靠性原则平台服务于市委所有员工,因此具有极高的运行质量,保证7*24小时连续不断地工作7.可扩展性原则软件、硬件平台应具有良好的可扩充、扩展的能力,能够方便进行系统升级和更新,以适应各种不同业务需求的不断发展8.易维护性原则管理需求会随着党务业务的发展而不断变更,平台的易维护性一方面会提高需求变更的响应时间,另一方面可降低维护成本
1.
3.3项目关键点统一电子商务平台的建设,安全问题首当其冲,本次业务需求中,市委提出建设统一认证中心,对市委来说,本功能不仅仅是为了以后多业务的统一接入,还是安全接入的问题,因此,如何经过恰当的安全认证接入同时又能方便整个系统的易于使用和推广,以及后期的维护等都是需要慎重设计的本次项目建设的关键点市要从实际出发,构建适应市委本身的业务模型,通过良好的业务模型引导办公人员从原有的办公模式平滑过渡到智能高效的党务办公平台模式,从而走向真正的数字化,这是本项目的重中之重因此除了技术的创新应用,还需要资深业务专家的业务提炼除此之外,无线移动网络作为新型的网络环境,其安全性数据传输也是需要领先的加密技术保驾护航2总体方案建议
2.1系统概述统一电子党务平台是中共安阳市委信息化的核心支撑平台,因此必须要从整体技术架构、综合性能、系统安全可靠性和实用性、网络要求及性能等各个方面进行考虑网络建设层面,一方面以原有网络专网和现代网络技术为依托,整合并优化网络资源,建设中共安阳市委党务办公网主干网络,将办公的各种PC机、工作站、终端设备和局域网连接起来,并与有关单位局域网通过专线或INTERNET进行远程互联;另一方面,提供必要的管理和监控手段,并覆盖各个网络层级,建立网络安全管理系统,保证整个网络可控可管,能够及时发现各种安全隐患或违章行为,有效预防事故发生,使得整个网络能够安全运营应用设计层面,统一接入,打造应用门户;统一办公,提供办公功能通过“信息+流程=事务”三类协同机制,采用“终端集成+应用集成+网络集成+设备集成”四类技术,实现统一的、安全的、人性化的工作环境整个系统采用多层机构保证系统良好的可扩展能力,能够方便进行系统升级和更新,以适应各种不同业务需求不断发展的需要本平台的开发技术采用目前在高性能多层应用体系开发方面被广泛认可的J2EEJ技术体系J2EE是一种先进的软件开发和部署技术,目前已成功在电子党务、电子商务等系统的建设中广泛使用采用J2EE开发的系统具有良好的跨平台性,开发出来的系统可以平滑的在UNIX、WINDOWS、LINUX等主流操作系统间移植,为用户提供了优越的平台扩展能力本方案基于J2EE技术体系的目的是确保办公平台具有较高的可移植性,便于用户在操作系统间的选择另外,J2EE技术体系提供了完备的事务管理、分布式管理能力,适合单一党务或者多级党务等
2.2系统技术架构
2.
2.1概述本次对中共安阳市委党务系统的设计主要应用以下技术架构■J2EE技术架构J2EE是一种利用Java2平台来简化应用软件系统开发、部署和管理相关的复杂问题的体系架构J2EE技术的基础就是核心Java2平台的标准版,具有“编写一次、随处运行”的特性,方便存取数据库的JDBCAPI、CORBA技术以及能够在Internet应用中保护数据的安全模式等等,同时还提供了最EJB(EnterpriseJavaBeans)、JavaServletsAPI、JSP(JavaServerPages)以及XML技术的全面支持J2EE体系结构提供中间层集成框架用来满足无需太多费用而又需要高可用性、高可靠性以及可扩展性的应用的需求通过提供统一的开发平台,J2EE降低了开发多层应用的费用和复杂性,同时提供对现有应用程序集成强有力的支持,完全支持EnterpriseJavaBeans,有良好的向导支持打包和部署应用,添加目录支持,增强了安全机制,提高了系统性能■XML技术XML扩展标记语言(eXtensibleMarkupLanguage)是一种语言结构十分具有弹性且扩展性高的标记语言,它可以很容易的描述各种文件数据因此,它能够给基于Web的应用软件赋予强大的功能和灵活性,使其具有更有意义的搜索、应用开发更加灵活、集成不同来源地数据、完善Web软件的本地计算和处理、使数据的显示多样化并可以进行粒状的更新、增加软件的扩展与集成性■MVC设计模式MVC最初是在Smalltalk-80中被用来构建用户界面的,M代表模型Midel,V代表视图View,C代表控制器ControllerMVC的目的是增加代码的重用率,减少数据表达、数据描述和应用操作的耦合度,同时也使得软件的可维护性、可修复性、可扩展性、灵活性以及封装性大大提高MVC设计模式有三部分组成模型是应用对象,没有用户界面;视图表示它在屏幕上的显示,代表流向用户的数据;控制器定义用户界面对用户输入的响应方式,负责把用户的动作转成针对Model的操作Model通过更新View的数据来反映数据的变化■WebServices技术WebServices是通过一系列标准和协议来保证程序之间动态链接的技术,使用WebServices构建单点登录及应用集成作为新一代分布式计算机模型,WebServices提供了一种行业标准方式,用基于XML的Web请求与响应实现分布式通信,对不同分布式计算机平台和实现语言间的相互操作性提供了无可比拟的支持他的提出解决了传统中间件技术的应用问题,使得原先处于不同平台,使用CORBA、DCOM等不同对象技术的构架都能够除去平台和实现的差异,统一在WebServices技术层之上■AJAX技术AJAX是指一种创建交互式网页应用的网页开发技术基于web标准(standards-basedpresentation)XHTML+CSS的表示;使用DOM(DocumentObjectModel)进行动态显示及交互;使用XML和XSLT进行数据交换及相关操作;使用XMLHttpRequest进行异步数据查询、检索;使用JavaScript将所有的东西绑定在一起类似于DHTML或LAMP,AJAX不是指一种单一的技术,而是有机的利用了一系列相关的技术ALAX的应用使用支持以上技术的web浏览器作为运作平台这些浏览器目前包括MozillaFirefox、InternetExplorer、Opera、Konqueror及Safari,但是Opera不支持XSL格式对象,也不支持XSLTAjax的核心是JavaScript对象XmlHttpRequest该对象在InternetExplorer5中首次引入它是一种支持异步请求的技术简而言之,XmlHttpRequest使用户可以使用JavaScript向服务器提出请求并处理响应,而不阻塞用户在创建Web站点时,在客户端执行屏幕更新,为用户提供了很大的灵活性Ajax的工作原理相当于在用户和服务器之间加了一个中间层,使用户操作与服务器响应异步化,这样把以前的一些服务器负担的工作转嫁到客户端,利用客户端闲置的处理能力来处理,减轻服务器和带宽的负担,从而达到节约ISP的空间及带宽租用的成本的目的■Web
2.0Web
2.0是相对Web
1.0(2003年以前的互联网模式)的新的一类互联网应用的统称Web
1.0的主要特点在于用户通过浏览器获取信息,Web
2.0则更注重用户的交互作用,用户即使网站内容的消费者(浏览者),也是网站内容的创造者Web
2.0是一次从核心内容到外部应用的革命,由Web
1.0单纯通过网络浏览器浏览html网页模式向内容更丰富、联系性更强、工具性更强的Web
2.0互联网模式的发展已经成为互联网新的发展趋势Web
1.0到Web
2.0的转变,具体的说,从模式上是单纯的“读”向“写”、“共同建设”发展;从基本构成单元上,是由“网页”向“发表/记录的信息”发展;从工具上,是由互联网浏览器向各类浏览器、rss阅读器等内容的发展;运行机制上,由“ClientServer”向“WebServices”转变;作者由程序员等专业人士向全部普通用户发展;应用上由初级的“滑稽”的应用向全面大量应用发展总之,Web
2.0是以Flickr、Craigslist、Linkedin、Tribes、Ryze、Friendster、Del.icio.us、43Things.com等网站为代表,以Blog、TAG、SNS、RSS、wiki等应用为核心,依据六度分隔、xml、ajax等新理论和技术实现的互联网新一代模式在以上框架之下,我们也引用了公司多年研发的中间件等产品
2.
2.2信息发布引擎技术信息类应用时任何一个信息化产品都必须具备的一个功能根据本公司多年来致力于统一电子党务平台的研发经验,积累了丰富的实战经验和应用经验,并经过整理,研发了信息发布引擎组件,通过此组件提供良好的技术平台,可以为市委定制实用有效的信息发布类应用功能,并且具备短信服务接口,可以自定义短信提醒,能够满足各种常见信息类应用
2.
2.3流程引擎技术业务流程引擎(BusinessProcessManagementSystem,简称BPMS)是信息交互与管理的中枢,是统一电子党务平台中各级系统之间业务流程整合和信息上传下达的控制中心
2.
2.4移动协同办公技术采用SOA架构设计,组件独立的功能实体,通过松耦合的方式即插即用,实现产品的扩展性和灵活性
2.
2.5邮件引擎技术采用专业级的邮件引擎该邮件系统的主要特点包括分布式系统设计采用分布式系统结构设计,程序由模块封装,同一模块可分布到不同服务器上,并发处理同一服务器也可以运行多个模块,充分发挥硬件性能支持各主要应用模块的负载均衡应用高扩展性增加服务器,不需要大量数据迁移,仅需修改系统配置,即可在线完成;增加存储空间,仅需划分目录结构,重启相关服务,即可自动完成高可靠性设计邮件投递面向事务处理每封邮件从接受投递到用户的mailbox中都会产生事务日志,如有意外情况,如系统网络故障,系统断电等出现时,服务程序在重新启动后,系统会根据事务日志的记录重新完成邮件投递业务,保证用户的邮件不丢失每个服务模块都包括Heart-Beat同步信息机制,保证应用正常服务故障自动恢复服务模块具有服务监视功能,若某服务程序因故障退出,则会自动重启服务,并保存服务运行日志,记录时间,方便管理员查询用户数据联机热备份支持用户数据库联机热备份方式,用户注册、修改信息都会实时记录在运行数据库和备份数据库中;并支持用户邮件备份用户数据在线修复用户在登录时系统自动检查用户信息,在某些特殊情况下,如用户邮件索引丢失等,则会重新生成邮件索引,使邮箱恢复到正常高安全性设计系统结构安全特性邮件系统的核心部分是用户数据,在系统结构上专门将相应的服务器至于网内,从物理上断绝了与外部的直接联系用户通过的认证请求,由接受服务(如webserver或pop3Server)代理,通过内网专有协议访问用户数据库,确保操作安全可靠内外网分开的结构也同时减轻了网络流量的负担主要服务端口访问限制可在系统管理界面中修改端口,同时限制哪些IP地址或IP段可以访问此服务端口,有效防止黑客入侵核心进程都由非超级用户权限运行,提高了系统安全性系统存储特性用户信箱存储与邮件存储彻底分离,避免一个邮件一个文件、提升IO性能灵活的存储分配高效可靠的数据库CACHE技术,将经常使用的用户登录信息Cache到内存中,提高系统访问数据库的速度,也降低中心数据库负载
2.3系统网络拓扑根据中共安阳市委网络建设的规划,即将进行全市及五县四区的专网建设,属于电子党务规划的更优先级建设,因此本方案在党务专网基础上进行网络拓扑设计备注1.网络监控平台,完成内网接入控制,禁止非法外联,主机行为监控,主机入侵保护等20多种功能,做到可控可管2.网络审计平台,完成对用户上网行为全面监管对于禁止行为,例如bt下载等实施全面监管,并保留必要日志记录,有据可查3.漏洞扫描平台,完成全网快速准确的漏洞扫描工作,包括漏洞预警,漏洞检测,漏洞审计等一系列措施,并提供对党务web页面的防护,可以生成多种格式和形式的报表4.SSLVPN安全接入平台,完成用户远程安全接入内网系统,可以与目前常用任何认证系统结合,包括ca证书,usbkey,RSAsecureID,OTP令牌,radius,ldap,windowsAD域,短信认证,硬件特征码等,登录全过程采用SSL高强度加密,保证安全登录
2.4电子党务统一认证中心
2.
4.1为什么要建立统一认证中心电子党务是一项需要市委长期致力建设的重要工作内容,随着业务的发展,日后市委内部必定有各种各样的业务系统,鉴于很多情况下每个系统都是独立开发的,同时每一个系统又都需要用户输入用户名和密码才能登录,那么用户使用系统过程中的不便性事可想而知的,因此经常会有一些用户将多个系统设置成同一密码或者将记不住的密码写在纸上贴在桌子上等情况的出现,这对业务系统的访问存在着极大的安全隐患,是一些别有用心的工作人员有机会利用他人密码登录系统,进行非法操作,也会给发生重大事故后的责任追查带来困难随着市委内控的需求,需要市委内部应用系统加强密码管理,每一个应用系统都需要在三个月内更换一次密码,所以记不住密码的情况会经常发生,而系统管理员也被拖入了繁琐的重置用户密码的工作之中,无形中增加了管理员的HelpDesk工作当前,市委的业务系统需要统一的认证管理来保证其安全授权和业务的安全接入针对上述情况,市委确实需要建设一个统一认证中心,通过一次认证登录后就可访问所有有权访问的应用系统,避免频繁登陆,并且能够保证用户身份的合法性和唯一性,对于应用系统的访问建立一套完整的安全防护和用户管理机制
2.
4.2解决方案统一认证中心经过分解是两个核心技术的组合,即单点登录和安全认证单点登录时一次登录后就能访问所有的系统,所有登录信息通过安全通道隐式传送不同的系统对单点登录的安全性有不同的要求,党务系统对于用户的身份认证安全性要求极高确保单点登录安全性的重要因素是对用户实行增强的身份认证方式,以免用户的密码被盗取后,所有的应用系统面临被他人非法访问的危险安全认证是依托先进的认证技术手段,保证用户的安全接入和安全授权一般由数字证书和CA中心两部分组成经过对当前先进认证技术的分析,并经过多次的讨论研究,本次统一认证中心建立认证服务器(CA服务器),为用户分配数字证书,对用户密钥进行安全管理,进行统一认证、统一授权
2.5全市统一的党务门户网站群河南锐之旗信息技术有限公司资源整合管理系统由系统管理、网站建设、内容管理、网站发布、预览网站、综合管理、应用管理等模块功能构成,全面覆盖了网站建设各个环节的功能需要,为网站提供最佳的全程管理手段系统提供了人性化的登录界面与操作方式,简化了操作步骤,采用统一登录入口,各级管理员在统一的登录窗口进行网站管理、系统管理、应用管理,用户登陆后只需在一个页面下就可以完成网站创建、内容管理、网站发布、综合管理等所有功能的操作系统专门设置了演示站点来为使用者提供建站维护过程的学习演练锐之旗资源整合管理系统市功能强大的网站群建设和维护的综合管理平台,无论对于网站建设还是后台管理系统来说,它有许多强大的功能和特性,例如B/S操作模式,在任何可访问互联网的计算机上均可对网站进行建设维护完全可视化操作向导式操作扩展功能插件(文件上传,Dreamweaver编辑,Word文档导入)内含大量功能性组件组件拖拽功能双重发布机制除了基本的文章类型外还添加了图片类,产品类和下载类网站类型的制作内容将不在组件中添加,而是在对应的栏目下添加,所以内容也不是在模板页面上维护而是在栏目下进行内容的维护这些功能特性使锐之旗资源整合管理系统的可操作性更强,使用范围更广,更加人性化,内容的维护和管理也更加简洁、方便锐之旗资源整合管理系统的网站后台管理系统由“站群管理”、“创建网站”、“管理内容”、“发布网站”、“网站管理”、“系统扩展”六大功能区组成这六个功能区完全支撑了网站群的建设和内容维护以及事务管理
2.
5.1创建网站创建网站管理器是最重要、最关键的功能模块之一,也是网站维护的基点和起点创建网站功能区主要功能介绍如下
2.
5.
1.1文件/模板管理通过此功能区,可以建立网站的页面所有页面的元素都是模块化组件化,只需要对组件简单的拖拽和排列,就可以形成网站的页面当然网页的视觉效果需要专业的美工处理,网页模板编辑界面和专业的网页设计软件Dreamweaver无缝连接,也使做出的页面更能美观悦目所见即所得的傻瓜化操作使非专业人士也可以轻松做出网页同时本区集成大量功能化组件,例如天气预报、搜索引擎、网摘收藏、留言板、文章评论等等,使得网站功能齐全可任意选取资源整合管理系统建立模板由两种方式一种是直接导入已经设计好的静态页面和相关的本地文件,导入后在创建网站中编辑这些页面、添加组件、使其成为动态的模板页;另一种就是直接创建一个新的模板页,然后创建网站栏目,在相应的栏目下添加内容资料源,网站就建好了创建新的模板页支持Dreamweaver的模板可视化编辑功能或利用资源整合管理系统自身所见即所得的组件拖拽方式1.模板管理是对整个市委网站群系统显示信息页面的样式、界面进行配置管理的功能,要求对市委网站群中所有公共页面,可根据需要实时改变页面样式及风格,市委网站群会立即将修改效果显示出来2.可视化模板操作提供可视化模板编辑器3.模板文件维护提供各种面向文件的在线操作,可在线管理模板文件夹,提供文件上传、模板包上传,文件的编辑、改名、删除操作4.模板分类别管理首页、频道、正文模板等5.模板包导入支持zip模板包整体导入,自动上传所有资源文件6.版本管理模板操作均自动保留版本,可以根据需要恢复7.模板库支持提供模板库,可从模板库中导入模板8.模板支持嵌套可在模板中嵌套模板9.置标技术直接在页面中插入标签实现局部内容表现10.不需要编写代码11.支持通用模板,复用的地方只需要定义一次12.模板头自定义,允许设置模板头,自由设置meta和keywords等属性13.样式单在线修改,针对样式单,可以在线编辑修改,直接生效14.自定义资源管理,可定义新的资源文件,在模板中引用
2.
5.
1.2栏目管理栏目是网站的重要组成部分,因而设置栏目在网站的创建和维护中起着极其重要的作用网站栏目的规划直接决定一个网站的质量资源整合管理系统的网站栏目管理包括添加网站栏目,更改栏目顺序,删除网站栏目等网站栏目有关网站的逻辑设计它在网站中起着提纲挈领的作用在网站栏目里可添加、删除、隐藏、设置权限、复制、剪贴和粘贴网站的栏目及更改栏目排序网站的管理员可以方便的对网站的栏目进行调整和管理通过向导式的操作,轻松建立整个网站的栏目架构,栏目架构图呈树状结构,是创建者一目了然,增删改动,收放自如
2.
5.
1.3资料库管理在对应的栏目下添加相应的资料源,资料源可以是文章源、图片源、链接源,甚至是超文本源通过页面的组件属性中的资料来源和资料库中的资料源一一对应起来网页上的内容就显现出来资源整合管理系统的信息可视化编辑全面支持office文档导入,文档、表格、图形等,导入后的内容可以编辑更改多媒体编辑支持插入所有多媒体格式,并能设置自动播放或被动播放资源整合管理系统自身也带有全面的文档编辑功能,其内容所见即所得,并能实时预览信息发布后的效果只要网站的管理员会使用Word或wps文字处理工具,无需培训学习就可以使用系统的信息编辑功能资源整合管理系统具备标准的图片库模板,支持所有网络格式图片库的建立容量不受限制,可实现分组、搜索、列表、图片浏览排行,动态展示用户根据模板的组件库功能建立自己网站的图片库简单的三部曲,就建立起网站的基本面貌对于用户后期的网站群的建立来说,快速高效的建站时至关重要的,而我公司资源整合管理系统正解决了这个问题
2.
5.2管理内容内容管理功能区,使用户很容易地找到需要添加修改内容的地方,进行新增、删除,编辑内容等操作在管理内容界面中的“栏目内容”列表,将栏目按内容样式划分为是一种分别为资料库—文章、资料库—所有、图片库、下载库、产品库、文章评论、留言板、调查、人才招聘、电子地图、自定义表单、网站基础信息、表单管理,在线访谈管理,依申请公开管理,公众参与管理如下如所示从上图中可以很清楚地看到,想要维护哪一种类型的信息只要点击该信息的图标就可以进入相对应的内容维护界面内容管理虽然栏目比较多,但总结来说并不复杂内容维护对新闻、图片、链接等内容进行新增、编辑、删除、复制、粘贴、保存、预览、发布等操作模板管理模板是数据内同的完整表现界面一个模板包含了自由的数据,并可以插入数据/功能组件,以完成特定的业务功能需求模板需要应用到具体的栏目中,作为该栏目的表现形式模板也可以接受数据输入(参数传递),但它基本上不处理这些输入的数据,而是将其传递给内嵌的数据/功能组件,由这些组件来呈现具体的数据内容和完成业务逻辑权限管理系统支持分级授权,每个栏目都可以授予任何一个角色以“前台浏览、编辑、审核、管理”的一项或任意组合的权限;其中,一个对某一栏目拥有“管理”权限的人,可以对此栏目及以下栏目进行授权操作,从而实现分权管理整个站点,实现用户的协同内容管理文章发布位于世界各地的内容采编人员均可以通过基于Web界面的内容采编子系统,将他们收集到的内容录入到系统中内容采编人员可以是没有任何网页知识的业务人员,只要他们有一点计算机使用基础,就可以使用系统当然,如果他们会使用Microsoft的Office系列,那么他们可以使用内容采编系统中的高级功能,给录入的内如插入图片、FLASH动画、表格等元素文章管理登录人发布的文章列表全部显示,查询结果列表显示,删除,停止发布操作等审核管理依照设置好的审核流程,管理其他用户提交给系统上级用户需要进行审核的信息可视化内容编辑支持可视化编辑内容,可在内容中插入图片、flash、多媒体视频等,并且可以粘贴带格式的内容可以直接导入Word、Excel文档(亮点功能,使日常的网站管理更新更简单,人人都可参与)媒体库管理提供普通文本、图片、音频、视频全面库管理,丰富的自定义功能,支持应用其他网站的媒体其他管理信息栏目内容、音乐库、图片库、视频库、新闻评论、留言板、调查、人才招聘、电子地图、网站基础信息等内容,对分类内容进行维护多种信息聚合支持多种信息采集模式RSS订阅模式,信息采集模式、数据采集模式党务公开管理表单管理,在线访谈管理,依申请公开管理,公众参与管理这些管理项目是对网站的党务公开功能栏目的数据管理内容管理功能区,是网站的维护人员系统的、有计划的、有目的的、有规则的管理门户网站内容的窗口是纷繁复杂的网站内容管理不再没有头绪,而变得井井有条
2.
5.3发布网站在创建网站中建好的网站,只有发布以后才能够被浏览如果您修改了页面,或新添加了资料,您也需要再次发布您的网站网站发布系统保证了门户网站可以经常性的改变页面视觉效果,或者在增加了新栏目新的功能后及时更新当然,日常的网站内容更新无需发布,动态的发布设置可以保证新添加的内容实时展现(网站内容和网站构架是不同性质的网站元素)资源整合管理系统是静态发布和动态发布相结合的发布机制,是网站发布具有很高的灵活性并具备针对栏目或文章的定时自动发布功能发布任务管理提供任务的方式和发布站点,允许创建不同的任务,如整个站点的发布任务或站点某一个或多个频道的发布,是否增量,可以反复执行,系统会自动将相应的信息文件按照频道栏目目录级次结构存放应用预览提供对站点发布效果的查看功能,支持“静态”和“动态”两种模式站点发布分发发布分发是指将发布生成的页面文件传输到目标服务器的过程,支持的传输类型由文件系统、FTP针对每个站点均提供一个控制台,该控制台显示目前是否有同步分发的任务存在,可以手动立即执行同步分发,也可以设置定时执行同步分发
2.
5.4网站管理网站管理功能区是对整个网站进行管理的操作模块,在网站管理中我们可以方便地管理网站管理员、网站会员;对网站进行备份、恢复;对废弃不用的网站,我们可以清空站点;我们可以对网站的信息采集任务进行设置、控制和管理;可以从别的数据库中抓取需要的网站信息;可以设定文章审核流程;可以对IP规则进行管理和管理员IP进行限定;还可以对网站的流量、内容、工作日志进行统计
2.
5.
4.1管理员权限管理网站的管理员可以有很多,所有的工作人员都可以是网站管理员,但管理员的角色不同,权限也就不同比如我区内所有职工都可以使“拟稿人”这个角色,拟稿人只拥有撰写稿件提交审批的权限,经审批通过后稿件可以发布在门户网站上而只有主管领导才能是“审批者”的角色,拥有决定稿件是否能发表的权限以此类推,还有“网站建设人”、“党务公开系统管理人”、“某一栏目专职管理人”.、“网站内容管理人”等等多个管理员角色只要合理的划分安排管理员角色,就能建立起严谨的、高效的、规则的、安全的门户网站管理团队(超级管理员由最高权限,在所有角色管理员之上,赋予其他管理员相应的权限)
2.
5.
4.2日志管理资源整合管理系统的日志管理体系是全面的无遗漏的体系,并且针对站群管理和站点管理都由相应的日志系统真个网站群要有日志管理来记录所有操作,做到有据可查,可以根据需要通过多种方式对记录的操作日志进行检索和查询,并进一步分析生成统计信息系统日志记录所有用户的操作,包括操作类型、操作对象、时间等用户在此可以根据时间段、用户名、操作对象等属性进行日志查询,同时还具有把日志转移到历史库中的操作日志分为系统日志,记录由系统核心产生的错误及其他信息应用日志,记录由应用程序产生的错误及其他信息用户日志,记录用户的登录、退出等相关的日志
2.
5.
4.3数据备份与恢复备份时将数据库里的数据备份到数据文件中,而恢复正好与备份相反它是将数据文件中的数据恢复到数据库中网站备份包可以下载保存,备份可以制定计划自动备份资源整合管理系统的这项功能解决了网站灾难恢复的问题,保障了网站的安全,保证无论是主网站或各个子站点因各种原因宕机或遭到攻击后快速恢复同样资源整合管理系统的备份机制也分为站群级别和站点级别,保证了从逻辑层次的网站数据安全和灾难恢复
2.
5.
4.4网站会员管理网站的会员也是可以分组分角色的,角色的权限也是不同的,这里的权限指的是对门户网站的浏览和功能应用的权限这样的目的是为了便于网站用户的管理,例如“企业会员角色”可以浏览企业服务栏目的内容,可以应用企业审批功能,可以下载相关报表,但是非企业会员并不能浏览、应用、下载这样就安全方便的对门户网站用户实施了基本管理同样起到安全管理的作用
2.
5.
4.5信息采集管理资源整合管理系统的信息采集功能可以帮助网站管理员快速高效的从其他网站获取的获取文章、图片、多媒体等信息,只要简单的设置任务,结合任务管理就实现自动化定时采集,采集后的信息还可以套用格式直接发布或者经设和流程后发布数据抓取功能可以通过数据接口跨平台,跨数据库进行数据采集提供数据库采集功能,通过字段映射设置可以对其他内容数据库进行抓取采集设置源数据库属性包括数据库类型、主机名称或IP地址、端口、数据库名称、用户名、口令等选择表、主键以及需要采集的字段设置目标应用以及频道设置源数据库的内容要到导入的频道(通过系统的频道树进行选择,只允许选一个频道),同时要设定导入后的信息的状态(例如新建、待审、已审等)设置字段映射建立源数据库表的字段与信息门户系统的目标字段的对应关系数据导入用户可以设定数据导入开始执行的时间或立即执行执行完毕后,其他数据库的信息成功导入本系统的数据库
2.
5.
4.6文章审核流设定网站的稿件审核流程可以设定为多级的审核流程,只有上一级的审核通过后才能提交下一级审核人所有审核都通过后,稿件才能发布,中间任意审核人均可退回稿件拟稿人修改后再提交审核需要从头再次审核可以针对不同的栏目或者职能部门设置多个审核流,完美的实现网站内部维护安全管理
2.
5.
4.7统计分析资源整合管理系统的统计分析功能全面而强大,可以对站点的流量和内容进行多方位多角度的统计,并以直观的方式呈现给网站管理员,便于管理员及时对栏目、文章、信息做出优化的调整,不断地改善网站建设质量采用BI技术,并提供简单的数据挖掘功能网站首页访问统计,每个站点的访问数据,提供首页访问量,可以按照时间查看,提供首页计数器网站信息访问量统计,信息的访问点击次数网站频道访问统计,了解频道的访问情况网站流量统计分析,提供独立IP流量访问统计时间段流量访问统计统计图表显示支持常见图形化的图标反映统计信息统计报表输出可以输出为excel,并提供打印功能工作量统计按照组织机构,对每个站点的用户发稿、采纳稿件、驳回情况进行统计,考核用户工作量时间段查询统计均提供按照时间段进行查询
2.
5.
4.8站内检索可以建立站内文章索引IP规则管理可以控制访问网站的用户以及非法的管理员计划管理是管理所有定制的自动任务(例如自动备份、自动信息采集);工作日志可以监控所有管理员的登录情况和工作内容
2.
5.5站群管理我公司资源整合管理系统可以构建一个可容纳大规模数量独立子网站、可分布式部署与管理的子网站群网站群允许用户自助创建内容、允许团队用户协同创作内容、允许网站间进行信息共享所有子站拥有相同的组件和模板资源,均可以建设独立的业务功能和网站构架
2.
5.
5.1站点管理资源整合管理系统本身就是网站集群建设综合资源管理平台,利用资源整合管理系统的站群功能,一套资源整合管理系统理论上可以实现无限多子网站建设,说有子网站相对独立又总体统一,从管理上看各子网站是独立的,但管理平台是统一的,所有子站点的属性编辑在统一的目录下各子网站都能形成独立的效果和不同的风格,而所有子网站的资源又是统一的,整个网站群共享资源站点管理提供整个网站群,包括门户网站主网站、各子网站的配置信息管理服务,包括网站的新增、删除、编辑、权限设置的
2.
5.
5.2管理分层部署的SM服务器(站点控制服务器),每一个SM服务器上都可以容纳多个站点,这些网站可以分布在不同的网站群逻辑树上
2.
5.
5.3共享与同步管理任何父站点都可以创建一个“信息共享区”,可以邀请或按一定规则,其他站点加入进来,在信息共享区内的人,信息可发布到共享区里,其他站点的人都可以使用
2.
5.
5.4网站克隆克隆是克隆网站所有的栏目、模板、模板类别、模板实例、模板单元、栏目结构、栏目间的关系
2.
5.
5.5子网站生成系统通过系统将支持门户网站群建设,包括门户网站(主网站)和各部门二级网站集群的建设系统可以自动生成子网站,对于下属单位的网站,可以通过直观、友好的可视化界面方便灵活地定制这些网站的模板,可以为每个子网站分配管理员,管理员可以通过统一的管理系统对本子网站的信息进行管理,系统可以根据网站模板和管理员增添的信息自动生成这些子网站各管理员必须在严格的权限控制之下进行管理操作系统能够完成文件路径管理、网站实时更新、子网站域名管理同时,可以实现子网站的统一管理,为评比和考核提供详细的参数我们提供子站模板供挑选,选择好一个模板套系后,不做任何编辑即可生成一个网站,只是该网站没有您自己编写的内容,稍作编辑后开始使用,也可以借助系统强大的网站功能生成一个个性化的、功能强大的门户网站采用子网站生成模块进行整体平台的搭建,可实现在门户网站统一受权下对所属专网内各个单位网站的基本信息管理和发布的功能,包括对系统设置、模板设置、信息编辑到网站生成全过程进行的专业化管理系统支持多客户端、远程协同编辑,使信息资源的共享方便而简单,网站的管理与维护控制更直接,有利于用户充分整合现有资源,并实现对资源的充分利用通过子网站生成系统严格的授权机制,将建成功能完善、互联互通、信息共享、安全统一的子网站生成总平台,可实现对个子网站从维护到管理至网站生成全过程的权限设置,满足各网站对其自身网站内容信息的及时更新和不断完善的需要
2.
5.6党务功能电子党务建设时我国信息化建设的首要工作,现在正处于电子党务的全面推进时期市委各部门建设以党务公开功能为主的市委门户网站是电子党务建设的重要组成部分我公司资源整合管理系统针对这一局面,集成了功能全面、完善党务公开功能模块,使本产品完全适用于党务型的市委门户网站建设,配合网站集群功能,使本产品成为电子党务建设过程中优秀的工具
2.
5.
6.1在线办事展示市委发布的各个办事项信息包括办事指南、表格下载,用户可以对某个办事项进行咨询和投诉本系统提供一个链接接口可以直接链接到市委在业务系统、查询状态、查询结果、咨询、投诉本产品根据市委的服务对象系统的分类了在线办事的类型,并且可以自由扩展,添加编辑修改
2.
5.
6.2公众参与公众参与主要是方便群众监督市委办公情况,和市委进行信息化交流、沟通,同时也便于市委广集民意,以提供决策依据公众参与包括公众留言、民意征集、投诉、咨询
2.
5.
6.3领导信箱领导信箱主要是为加强领导民众间互动交流,使领导倾听基层呼声,以畅通公众献言渠道
2.
5.
6.4信息公开依法公开本级单位相关的领导、机构、规范性文件等各项信息,信息类型包括公文、文件、通知、新闻所有的公开信息通过规范的形式展现在市委网站上,并且可以查询
2.
5.
6.5在线访谈通过在线访谈的形式,拉近了市委与民众、企业之间的距离,使市委的对外形象和面貌有了更高的提升
2.6全市统一的集群党务信息化办公平台该平台是安阳市统一电子党务平台建设的重要组成部分,该平台目的是建成一个覆盖全市的党务信息化办公平台,建立全市统一的集群党务信息化办公平台,为各级领导及工作人员安全、及时、准确、全面地提供各种相关信息,实现信息交换、资源共享,有效地减轻工作人员的劳动强度,改善机关的执行能力,显著提高机关办公效率、质量和规范化水平;为领导决策、管理提供服务和保障,实现办公现代化、信息资源化、传输网络化、加强内部管理能力,提高办公效率和信息化水平,促进管理规范、制度化科学化,为领导决策管理提供服务和保障在集群党务信息化办公平台建设的基础上,未来建立电子党务数据交换与办公平台(OA),提供数据交换接口指定统一的数据交换规范和标准,提供跨部门、跨格式、跨平台的数据交换服务,为不同系统以及信息资源库建设提供数据交换支撑,从技术上解决信息孤岛问题系统部署建议采用大集中的方式,考虑到系统性能,需支持分布式部署为解决多用户并发的情况,采用负载均匀整个系统建设,数据库集中统一各应用单位只需通过网络直接登录访问各应用单位无需机房环境,无需专业技术人员来运维该系统
2.
6.1公文管理公文管理主要负责实现内部公文管理电子化,由电子行文代替手工行文,解决公文传递慢及成本高,信息不及时、不同步,不易于查阅等问题系统应实现收文管理和发文管理及文件送审签等自动化,自动进行流程跟踪、催办、查办,并可归类存档公文管理的特性包括收发文及文件送审签表单系统可以使用多个公文表单,并可以实现表单按本单位公文表格制作,同一表单可以定义多个流程并且控制流程权限让不同的人使用不同的流程稿签可根据中共安阳市委要求进行定制扫描接口与OCR识别系统应提供与扫描仪的接口,收文发文时纸质文件可以直接扫描录入,同时结合Word自带的ORC识别功能将附件可以识别成文本文件痕迹保留,电子签章,手写签名发文与文件送审签等支持Word/WPS在线编辑,Word与WPS的修改痕迹可以保留,根据需要显示干净的文档与有修改痕迹的文档;支持电子签章功能;支持手写签名文档模板及Word于Html交互公文管理模块应提供自定义标签字段和公文模板的功能,可满足各种发文格式的需要管理员可以自己设计自己单位的各类红头文件格式,在发文流转中,指定用户可以直接调用将编辑好的正文套用模板,并且将文号等信息自动加载到正文中丰富的办理查阅能力系统应对收发文的办理情况提供丰富的查询功能,可以按多个关键字查询以了解收发文的办理情况消息提醒与查看跟踪系统在收发文的办理过程中提供短信、即时通讯等多种手段提醒下一办理人,并可以通过短信方式提醒所有收文用户并能够跟踪用户的收文情况公文流程的流转能力继承工作流平台流转的能力
2.
6.2工作流程提供灵活的工作流程平台,可以快速按需求建立工作流程的应用,实现工作流程流转之后的效率分析及数据分析具体功能如下插件式独立的插件式设计,其他功能模块可以灵活调用工作流引擎,实现各功能模块的业务流转智能的工作流引擎基于WFMC工作流标准思想,提供标准活动、子活动、虚拟活动等多种活动类型,具有灵活的活动关系设置,可以实现各种复杂流程的设计流程路由采用前驱、后继的模式可以建立任意模型的流程,同时支持由流程办理人选择下一环节及由表单内容条件判断来实现流程的路由或条件表达式实现流程路由图形化流程设计提供图形化的流程设计工具,以“所见即所得”的方式设计流程,方便易用流程班里人(参与者)丰富的流程参与者的选择方式,可以按角色与组织或职位的组合计算得到参与人、也由当前办理人从指定范围中选择、从所有用户中选择,从上一办理人所在组织中选择、可以是发起人,发起人的领导、以及从指定的范围中选择等等方式办理类型系统支持多人共同办理与多人只有一个办理即办理完毕,以及阅件模式无论何时办理不影响流程继续流转的方式催办与提醒系统支持按固定的催办期限,根据表单内容得到相应的催办期限的催办方式,并且支持短信提醒与及时通信的弹出对话框提醒两种方式提醒下一班里人接口预留丰富的扩展接口,可与其他业务管理系统进行数据交互,从而实现采用工作流建立各业务系统之间的通道,实现业务的顺畅连接监控所有涉及到流程的相关人员包括流程发起人,办理人,流程跟踪人员都可以通过图形化的方式查询流程的进展情况,随时了解流程动态办理方式流程办理人可以退回流程,撤办流程,转交给其他人员办理手写意见流程审批和灵活选择手写和键盘两种方式批写意见,可以在线编辑Word及Excel等多种形式的文档,痕迹保留,电子印章等表单自定义灵活的表单自定义工具,可以定义各类流程表单,可从Word/Excel中定义工作流程所需表单样式并通过设置表单内容与自定义的数据库结合,实现强大的表单定义能力,自定义数据库不仅定义单元素,还可以定义这些元素在界面的表现形式及可以关联数据库表单读写控制流程表单上的任何内容可以根据流程各环节的办理人员情况进行灵活的读写控制,可以控制每个环节的读哪些表单内容,写哪些表单内容归档与查询流程审批结束后所有信息可归档到档案管理保存,另外系统提供了丰富的查询统计能力,可以按流程、按表单任何元素组合查询并可以导出查询结果到Excel工作代理可通过工作代理的方式授权他人代办流程的审批工作效率分析系统记录流程流入每个活动的时间及流出时间,记录该环节的预期期限,以图形化的方式显示各环节的效率对比,并能够按流程统计各种流程平均各环节办理效率
2.
6.3内部沟通交流包括以下几种方式包括内部邮件、短信、论坛、RTX几种方式内部邮件系统系统对所有使用用户提供内部邮件功能系统具备邮件到达提醒用户的功能内部邮件可用于内部信息的传递,发邮件时可以选择人、组织、组等多种方式无需牢记邮件地址,可通过组织架构来选择同时系统能够通过模糊查询的方式查询人员内部论坛是工作人员之间相互沟通和协作的畅通渠道,在这里员工可提出问题,或答复他人的问题,也可以就某个问题共同参与,展开讨论,发帖子时采用实名记录制,记录发布人员的发布的用户名及IP地址短信短信作为一个即时提醒工具,应用越来越普遍,系统要满足应用中文件审批、会议通知等重要信息、待批待办事宜可以通过短息的方式发送到相关人员的手机上,使办公更加迅速,大大提高办理效率短信需具备灵活的管理功能,能够管理短信的使用人范围,短信功能的应用模块,能够统计短信的发送条数腾讯RTX要求系统集成腾讯RTX功能,以满足系统的内部即时通讯,并与办公系统实现集成,做到单点登录,组织架构、用户数据同步,在线感知,消息提醒办公系统的待批待办文件通过腾讯RTX来提醒
2.
6.4信息文档管理对各种类型文档、数据进行统一管理,形成各单位的信息文库,通过严谨周密的权限控制实现文档信息的有限共享各部门单位能够利用信息管理功能建立自己的部门主页,发布自己部门的信息,让各级领导通过各部门的主页及时了解各部门单位的工作情况功能要包括信息的分类、采编,上报,发布,维护,浏览,统计,检索等功能,对重要栏目信息可实现系统归档信息维护通过信息维护可以将各种信息进行任意级的分类;可授予各分类文档信息下的发布权限及审核权限;可决定信息栏目的顺序;对发布时需审核的信息类可设置审核流程;信息发布具有发布权限的用户可在相应的信息栏目下发布信息;发布信息时可以选择模板功能,从模板中快速生成文档;信息要具备同步发送功能;可决定信息的查看人范围;可上传附件、图片,可以通过FTP协议上传大附件;可以文件链接或地址的方式发布信息;信息发布支持html和Word格式,可在Word中排版文件,发布后直接转换成HTML文件显示,完全保持Word排版效果(包括在Word中排版的红头等)信息浏览信息列表要求显示信息的主题、该信息所属的栏目、该信息发布的时间及点击次数;信息被查看后要求能够自动记录,对于重要信息可控制是否允许打印;信息查询可以通过搜索栏对信息管理频道内的信息进行任意的搜索系统可以按发布日期段、关键字(标题、关键字、附件名)、类别、发布人进行检索;信息统计系统提供按部门、按人员的统计功能,可以按统计当月的人员发布量、某个单位的发布量、统计各人员的累积发布量及当月发布量;信息安全系统对每个栏目设立发布权及查看权,仅有权限的用户可进行相应的操作,如重要文件通知等只能由局领导查看,其他身份用户无权查看
2.
6.5综合事务管理包括人事管理、物品管理、车辆管理、档案管理、贺卡管理、预算管理等功能人事信息管理人事信息管理主要面向人事管理部门,满足机关基本的人员信息管理,通过严格的权限控制,方便各种条件的人员查询物品管理对办公用品进行统一的管理包含有使用管理、库存管理等很好解决办公用品费用分摊及其流向查询的问题,提高办公用品的利用率,避免损失和浪费达到合理的支配和利用办公用品的目的车辆管理包括车辆申请、车辆审批、车辆管理等功能用户可在此功能中对所有车辆的基本信息进行查阅与管理,如查看各车辆的状态、申请用车、用车审批及发车管理能功能,派车单实现打印功能,并进行相关的费用统计功能档案管理档案管理模拟显示中组织档案管理的过程,将实际的档案柜、档案夹简化为轻巧的电子视图和电子文件夹系统设计要严格遵循档案管理的有关规则,将现实中数目庞大的案卷资料转换为服务器中的一个数据库,实现信息的高度共享同时系统将重要信息、公文、工作管理模块中的数据自动转入档案管理中功能包括档案分类将归档文件按内容或形式特征划分类别和层次案卷管理提供案卷增加,案卷修改,案卷查看,案卷注销,注销管理,文件管理文件管理主要完成案卷内文件的登记、修改、查看、删除、案卷调整等操作档案检索
2.
6.6个人办公在集群党务信息化办公平台中为每个用户提供方便、快捷的应用工具,常用的应包括个人设置、个人工具、日程安排、联系人信息、任务安排、工作汇报等部分个人设置设置个人的信息、登录密码;设置自己的工作代理人(当个人外出时可授权哪些用户可以协助自己办理文件)联系人管理个人名片簿管理功能个人工具个人日记、万年历、常用网址、个人笔记本等日程安排日程用来安排日常的工作计划及事程,可以安排个人以及部门的日程,如局领导一周日程安排工作汇报工作计划是对个人以及部门的下阶段的工作计划,用户可以定期向有关部门及领导进行工作汇报领导可以查阅下属的工作计划并进行批示和转发任务中心任务中心对单位内部的各种工作任务进行分解、分发、汇报及考核,便于领导层集中管理各种工作任务及进行进度控制,实现对任务进展情况进行及时有效的沟通实现对领导创建、派发的任务及具体工作人员接收的任务及需要监控的任务进行统一管理,便于工作人员管理跟自己相关的所有任务适用范围适用于部门内部、部门与部门之间、高层与部门之间的任务安排与监控
2.
6.7自定义功能为满足未来部门变动调整及各部门内部办公自动化的需求,系统要求具备强大的自定性及扩展性,要实现桌面定义、表单自定义、流程自定义、角色自定义、权限自定义、组织机构自定义等功能避免再投入大量的成本进行二次开发桌面自定义根据和部门、单位关注的信息类别不同,定义不同的信息栏目在首页管理员可以根据不同的人关注的内容不一样为不同用户定义不同的内容并且可以定义显示的条数系统还需整合最新的内容聚合技术RSS表单自定义满足现有系统办公中各种文件表单格式要求,同时能够满足各部门未来工作流程中的各种表单要求,表单自定义结合数据库自定义实现表单内容的自定义,及表单显示效果的自定义流程自定义满足上下级单位之间、部门内部之间的各种流程定义,可设定各个流程的使用范围,对复杂的流程可根据字段判断流程走向当部门及人员调整时能够灵活控制流程步骤增减流程的信息能随时查询,流程信息的显示能提供图形化的显示方式流程发起人员能够监控流程的进行,并对流程做继续、取消、短信提醒等操作系统需提供图形化工作流设置工具模块自定义结合数据库的自定义功能,预编写好列表、新增、修改、查询等多种模板文件,通过菜单自定义启动一个数据库的列表页及新增页及与流程的绑定等实现基础管理模块的自定义能力角色定义系统能够根据工作需要灵活定义各种工作角色权限管理系统能够对定义的角色进行赋权,对不同部门岗位的人赋予不同的权限组织机构定义系统能够灵活设置组织机构
2.7会议管理系统
2.
7.1概述会议管理系统解决市委会议多、会议复杂、成本高、通知难等问题会议管理是以短信平台为载体,以手机为主要工具的应用
2.
7.2系统功能设计
2.
7.
2.1会议室管理主要是对市委会议室使用情况的管理可以进行会议室预定、会议描述信息的添加、修改、删除会议室直接在发布会议的时候选择使用
2.
7.
2.2会议通知包括新建会议通知、已发会议通知查询、待发会议通知查询等功能新建会议通知需要设置会议标题、会议内容、指定会议通知接收人等资料信息支持通过通讯录选择通知接受人支持群组选择和人员选择两种方式,以便在召开全体会议或者与会人员较多的时候快速选择接受人员支持立即发送和定时发送两种方式支持要求回复和不要求回复选项支持智能选择会议室
2.
7.
2.3会议通知查询可以对已经发送的会议通知进行查询支持时间段查询,日期为空时,默认查询所有记录(按发送时间倒序排列),每页最多10条记录对已发会议通知的基本信息列表显示,并可查看单条明细对单条会议通知明细查看,可查看该条会议通知的基本内容以及对所选择人员的会议通知发送状态,并支持对发送失败、接收未知以及需回复但未回复的重发功能并且可以查看接收人是否接收到通知的准确状态对已发会议通知删除可以对待发会议通知进行查询支持时间段查询,日期为空时,默认查询所有记录(按发送时间倒序排列),每页最多10条记录对待发会议通知的基本信息列表显示,可查看单条明细对待发会议通知删除
2.
7.
2.4二维码签到手机二维码是二维码技术在手机上的应用二维码是用特定的几何图形按一定规律在平面(二维方向上)分布的黑白相间的矩形方阵中记录数据符号信息的新一代条码技术,由一个二维码矩阵图形和一个二维码号,以及下方的说明文字组成,具有信息量大、纠错能力强、识读速度快、全方位识读等特定,将手机需要访问、使用的信息编码到二维码中,利用手机的摄像头识读,这就是手机二维码本系统把二维码技术应用于会议签到中,简便有效地发布和识别与会人员的身份,极大缩减会议成本,提高会议效率在参加会议之前,每位与会代表都会收到一条来自于平台发送的二维码凭证彩信,彩信中包含了与会代表的基本信息,会议代表只需要携带手机,不需要携带其他任何证件就能轻松实现本次会议的签到
2.8全市统一的移动党务手机办公系统随着国内3G拍照的发放,移动技术日渐成熟,作为信息化科技发展的最新成果,“移动办公”的出现,为现代社会提供了一种全新的工作模式移动办公功能主要包括公文及流程的审批、信息浏览、公文查看、查看帖子、内部邮件等功能
2.
8.1系统目标根据党务机关的需求,提出“移动党务”的解决方案,通过高智能的业务插件和平台,实现了手机系统和电子党务系统的无缝对接,建立了一套高效、辩解、可移动化的信息化党务工作体系,使得党务办公得以有效拓展,能够适应不断发展的办公要求使用户能够通过手机终端访问集群党务信息化办公平台,并能够在手机上进行发文、收文、审批件流转的相关操作
2.
8.2业务需求移动党务办公是基于党务办公系统的信息交互平台,利用手机终端的模式对信息交互功能所进行的拓展与延伸以下是信息交互平台中可以延伸到手机端的功能模块,或者根据新增的业务功能进行手机应用延伸
2.
8.
2.1公文处理系统发文处理通过手机,实现待办发文、流转中发文、已发公文过程中的审批、查看功能收文处理通过手机,实现待办收文、流转中发文、已办收文过程中的审批、查看功能
2.
8.
2.2邮件系统Wap邮件系统主要实现邮件的撰写、发送、收取、转发、删除等用户可以直接登录手机办公相关模块浏览收件箱、发件箱、草稿箱等,可以进入相关子模块使用邮箱提供的功能,基本和web邮箱功能类似
2.
8.
2.3党务信息公告通过手机,能够进行最新公告的浏览,及时获取市委最新动态
2.
8.
2.4通讯录查询通讯录是经常使用的一个模块,通过手机能够进行市委通讯录职能查询
2.
8.3主要功能需求完整实现流程审批的功能,并对以后市委建立无线门户提供支撑支持主流手机操作系统手机上打开附件文件,支持txt、wri、doc、rtf、xls、ppt、pdf等常见的文档格式分段阅读,支持bmp、gif、jpg、png等通用图片格式显示,支持mid、wav、mp3等通用音频格式下载收听,支持zip格式压缩文件包
2.
8.4设计思路本解决方案的思路通过“手机定制浏览器”+“适配服务器”,实现普通PCIE所具有的功能,和普通PCIE一样能够直接访问集群党务信息化办公平台,实现集群党务信息化办公平台到手机的延伸,完成移动信息化这个思路在实际的技术实现中,相当于将用户在PC上使用的集群党务信息化办公平台应用界面,通过一定的技术手段转化为适宜手机接收并显示的格式,可称之为手机终端适配对手机使用者而言系统将这些经过“适配”的界面传送到使用者的手机上,使用者可以像通过PC访问集群党务信息化办公平台一样,对界面进行操作,如选择、确认、填写表单、提交等,通过在手机上加载“客户端”软件提供的功能,手机通过系统向集群党务信息化办公平台提交使用者的反馈信息,重新返回融入到原有IT系统中,这样就不需要做接口,也不需要原有厂家配合对集群党务信息化办公平台而言手机通过适配服务器对系统的访问流程与操作使与通过PC的访问流程和操作完全相同的
2.
8.
4.1特征与便利性统一系统手机浏览器和PCIE访问的是统一系统,包括硬件系统和软件系统都是一致的统一数据无论通过手机浏览器还是PCIE处理的系统过程和结果数据全部是共享的,如通过手机浏览器批复了一个公文,再通过PCIE访问时,看到的就是该公文已经批复的状态统一用户所有的能够访问市委内部系统的用户与集群党务信息化办公平台用户完全一致,适配服务器本身不增加和删除用户统一角色所有用户所具有的功能和能够进行的操作和PC一样,适配服务器本身不会给系统用户新增或修改权限
2.
8.
4.2部署方式适配服务器部署在市委内部,它与市委内部系统部署在一个局域网内,通过局域网利用HTTP等多种协议与集群党务信息化办公平台进行通信,完成市委业务系统的接入;通过专线网络与移动运营商的彩信、短息等系统进行通信,完成市委接入业务在手机终端上的展现与双向传输
2.
8.5系统组成与功能
2.
8.
5.1移动党务系统服务器适配服务器通过HTTP等接口与党务系统进行通讯,将得到的页面信息进行过滤、页面排版、页面整合等,再通过移动通讯网络展现到用户手机应用适配(接入)模块通过安装和开发不同的应用接入适配插件,完成不同系统模块的接入,包括公文适配插件、Email适配插件、信息浏览适配插件、通讯录适配插件、市委定制业务适配插件等业务处理模块对从集群党务信息化办公平台接收到数据信息进行处理,可包括信息处理及路由、用户认证、业务调度、日志处理和QoS控制等功能移动接口模块通过移动行业网关提供的接口协议,实现移动党务系统和行业网关的数据通信,包括行业网关的接口、彩信中心接口、WAP网关接口等管理模块完成移动党务系统的自管理和服务,包括网关接口和认证鉴权接口、业务导航、路由管理、业务管理、数据管理、应用发布、统计分析、地址本管理、系统配置管理等
2.
8.
5.2定制浏览器定制浏览器安装在手机等移动设备上,通过HTTP/HTTPS的方式向移动党务系统提交请求,再通过移动党务系统请求市委应用系统,获取页面信息移动党务系统会根据客户终端设备的具体配置(包括移动终端屏幕大小、手机色彩度、终端应用配置等)进行相应的数据解析、转换盒压缩后再传回给定制浏览器,最后由定制浏览器负责页面内容的显示以及提供人机交互移动党务系统终端主要包括以下的功能模块页面展现可支持HTML
4.
0、WML
1.
3、XHTML
1.0页面语法在手机终端的快速展现,针对使用触摸屏的手机,支持通过触摸笔的方式直接操作和电机屏幕上的相应页面元素和控件支持图片文库(GIF、JPG、BMP、WBMP、PNG)支持JavaScript支持文档文件(DOC、PDF、XLS、PPT、EML)支持压缩文件(ZIP、RAR、GZIP、GZ)支持音乐视频文件(如MID、WAV等)数据加解密定制浏览器可嵌入不同的加解密算法,并根据数据的重要性,提供相应的密钥强度例如,针对用户登录密码使用费对称密钥BSA算法进行加密;针对一般的用户数据,使用轻量级加密算法,例如BouncyCastleCrypto方式对数据进行加解密手机适配手机适配功能包括两个部分的特性,首先是定制浏览器在每次HTTP请求时都会将手机的相关硬件参数(如手机有效屏幕大小、手机支持的色彩度、支持的图片类型等)传送到应用接入服务器端,让接入服务器协助进行手机的预适配功能;另外,同时根据手机当前设置的字体显示大小、图片显示的位置要求、手机是否支持触摸笔点击等特性进行手机终端的本地适配手机适配功能在小屏幕终端智能适配和渲染方面拥有完整的技术体系,该技术能够保证传统的WEB页面即使在进拥有128×128屏幕大小的移动终端上也能正确的显示数据解压将数据压缩后在网络上进行传送,不仅能够大大加快应用的访问效率,还能降低网络数据流量,为用户节省费用定制浏览器拥有适用于手机终端的轻量级解压技术,可将服务器发送的经压缩后的数据流在本地进行高速的解压测试表明,当前数据的凭据压缩率(10000个不同页面采样)已经达到了
73.8%(即压缩后的数据仅为原数据大小的
26.2%)Cookie管理定制浏览器支持Cookie功能,既可管理多个不同网站的Cookie内容,也可在定制浏览器端打开、关闭Cookie功能或者删除历史的Cookie数据HTTP接口定制浏览器可以通过HTTP协议和手机接入服务器进行网络通讯
2.
8.
5.3业务流程用户通过定制浏览器访问集群党务信息化办公平台业务1)用户通过定制浏览器访问移动党务系统门户;2)移动党务系统对访问请求的用户进行鉴权认证;3)认证失败,移动党务系统返回无权访问信息;4)认证成功,移动党务系统把应用系统登录页面展现给用户;5)用户输入账号和密码,发送到移动党务系统;6)移动党务系统对用户请求党务系统进行认证;7)如果认证通过,移动党务系统接收到党务系统返回的html页面内容后,进行压缩、加密、过滤、排版等,最终展现给用户;如果认证失败则返回错误登录页面;8)用户根据接收到的经过移动党务系统处理的html页面菜单选择操作,操作信息通过移动党务系统回传到市委党务系统,;用户用过步骤
7、8的往返交互,完成说有的页面访问
2.
8.
5.4终端适配过程通过定制浏览器,对未来新型手机设备的适配是自动的,无需再手机客户端或者手机接入平台做任何设置具体的流程为,定制浏览器应用可以直接通过手机编程接口获取手机软、硬件的相关信息,包括手机屏幕大小,手机终端操作方式、手机支持文档类型和附件格式、手机可用内存体、手机可用永久存储体、手机指出色彩度等参数和信息,并将这些信息传回接入平台,手机接入平台将根据以上多种参数自动进行设备适配,例如若手机终端不支持DOC文件的直接浏览,服务器将转换该DOC文档,使手机定制浏览器最终可浏览该文档;若手机终端剩余可用内存仅500K,但浏览页面超过500K,服务器则自动将该页面分成多个页面段落(例如每个段落100K),每次进发送一个段落给手机定制浏览器浏览因为适配的过程是完全自适应而不需要外接敢于或配置的,因此,手机接入平台对于未来推出的新型手机设备适配是自动进行的,不需要额外的扩展、开发或配置调节
2.
8.6界面设计
2.
8.
6.1图形化界面风格可以对程序界面进行图形化优化处理
2.
8.
6.2图表附件的手机展现引擎可以对图表附件进行矢量图方式的优化处理矢量化的处理方式可以将原始文档(包括EXCEL、PDF、WORD、PPT)无损地展现在手机上,可以通过拖动、放大、缩小、翻页等功能按键浏览整个文档,从而解决大宽度的表格与相对狭窄的手机屏幕之间的矛盾
2.
8.7功能特点
2.
8.
7.1统一访问系统对于集群党务信息化办公平台来说,增加了手机浏览器访问途径,不改变其业务操作流程和系统结构,不直接对系统数据库进行读写操作用户通过手机与通过IE访问党务系统的账号、流程、操作、权限完全一致,不会因为本产品而对原业务系统产生影响
2.
8.
7.2完整应用延伸基于业界最领先的手机适配和页面适配技术,将市委复杂的IT应用完整地延伸到手机,操作界面、操作流程、操作步骤完全和电脑一样,用户不需要重新学习如何操作,便于推广和使用
2.
8.
7.3统一访问终端市委的移动信息化需求会随着业务的发展而不断增加,初期把QA和邮件延伸到手机上,在使用一段时间后,又需要把其他系统也延伸到手机上,如果要重新下载安装一个或几个应用终端十分不便,使用本产品,市委增加其它业务时,只需要通过管理模块进行管理、对后台系统增加相关新接入系统的适配模块即可
2.
8.
7.4安全性高采用手机定制浏览器+服务器的C/S结构应用,传输协议支持HTTPS,传输的数据指出DES、RSA(轻量)、MD5等加密;本产品在实施、使用过程中不要求市委提供特殊的接口,也不需要在党务系统上安装软件,而是如同普通浏览器一样,增加了一个可移动的途径对党务系统进行访问
2.
8.
7.5广泛适用于多种终端系统支持目前主流的手机操作系统WindowsMobile
2003、WindowsMobile
2005、KjavaMIDP
2.
0、SymbianS60V
1、SymbianS60V
2、NokiaS40V
2、NokiaS40V
3、Smartphone20032rd、Smartphone
2005、UIQ
2.
0、LinuxQT……
2.
8.
7.6支持多种附件文档格式的直接查看支持直接查看一下格式的公文、邮件附件GIF、JPG、BMP、WBMP、PNG(图片)DOC、PDF、XLS、PPT(常用办公文档)EML(邮件存储包)RAR、ZIP、GZI、GZ(文档压缩包)
2.
8.8系统支撑平台及安全性
2.
8.
8.1系统结构本系统采用安全性更高的三层体系结构进行设计
2.
8.
8.2产品安全性编号可能安全隐患相应安全措施1防止其他用户非法访问配合使用移动IP鉴权、手机接入号码鉴权、用户账户/密码鉴权的组合鉴权方式;定制浏览器客户端在会话过程中使用加密令牌,保证会话的安全性和有效性2防止应用客户端给手机操作系统或文件系统带来损坏定制浏览器经过多年的开发,已经在超过350万测试用户和超过500款不同型号的真实手机上使用过,测试证明不会给原手机系统带来损坏;定制浏览器可以根据市委的需求,在主流平台,包括Sun,、Nokia、SonyEricsson等平台进行测试,通过第三方测试进一步增强应用客户端的稳定性和安全性3防止手机借给其他用户或丢失定制浏览器可设置启动密码,用户打开应用需通过密码验证;采用非对称密钥算法,对传送到客户端的密码数据进行加密,密码以密文形式在网络中传输4防止其他用户非法接入手机定制浏览器采用私有编码协议和接入Session串,对于异常接入的请求,接入服务器会拒绝服务5防止移动数据传输中被窃听采用私有的安全编协议;采用公共加密算法或HTTPS协议连接互联网,不论是公共APN还是独立APN都可以对无线传输过程中的信息和数据加密;支持独立受控的APN接入6防止其他用户非法接入或攻击移动党务服务器移动党务采用私有编码协议,对异常接入的请求会拒绝服务7防止基于服务器操作系统和手机操作系统的病毒移动党务会智能分析和转换在手机上展现的页面和文档,绝大部分内容将转换为不可运行的内容然后传送到手机上;可考虑使用Sophos防病毒应用和API,针对操作系统和传送的文件进行扫描、杀毒8影响现公文系统交互采用HTTPS协议和私有的加密协议,所有公文操作都通过现有的公文交换系统模块执行,不对数据逻辑进行修改,也不对数据库进行任何写操作9防止手机接入系统的错误操作或异常操作而导致原应用系统数据结构或逻辑的破坏本应用解决方案在原应用系统的基础上进行延伸,而不需要原应用系统提供额外接口和库表结构,因此可以确保原应用系统的操作流程和逻辑完整性3系统安全设计
3.1应用安全
3.
1.1统一安全认证用户登录统一电子党务平台时,首先要通过统一认证中心的安全认证,使得系统在应用级别又加了一层安全防护统一认证中心通过双因子认证保证了用户的合法接入,为安全使用做好了入口的防护
3.
1.2数据加密用户登录系统时,通讯的数据将用户的信息(用户名、密码等)进行加密,然后再进行传输,当用户的加密信息与服务器端相匹配时,才能完成安全登录认证
3.
1.3数据安全
3.
1.
3.1概述数据是系统的核心,所以数据的安全是保证应用系统运行的基础数据的安全包括数据存储安全、数据传输过程中安全、数据的一致性等该系统采用先进的存储系统来存储数据,存储系统具有很好的扩展性、支持多种RAID格式,支持数据备份、容灾等多种数据保护方式,并在系统发生问题时,提供有效的数据恢复机制系统具有完备的数据备份功能,备份系统应能够与存储系统有效结合备份系统支持全备份、增量备份、差异备份等多种备份策略,支持LAN、LAN-Free和Server-Less备份方式备份系统能够保证数据的一致性,备份数据的可恢复性,对必要系统可提供实时备份功能
3.
1.
3.2数据存储的原则中共安阳市委统一电子党务平台存储系统采用先进、成熟的技术和优秀的系统设计,使系统在整体上具有很快的响应速度和更高的数据带宽,可长时间承受用户极高的访问频率和访问速度在系统设计中,由于存储平台需要保存大量的污染源现场监测数据甚至视频监控信息,因此所采用的存储设备需要具备较大的可用容量以及扩展性,并能够保障数据存放的可靠性所以方案的设计应切合系统的时间应用,构建一个统一的数据平台,并用统一的存储设备存储所有的交换数据使整个存储系统具有高可靠性、异构平台共享、高性价比、可扩展、易管理、易使用、性能优良等一系列优势,并能平滑地升级扩展,很好地适应数据存储技术的发展,满足系统的中长期发展的数据存储需求存储方案需满足以下目标可靠性需求在线存储系统要采用全冗余设计的高可靠性的企业级磁盘阵列系统开放性采用开放的、标准化的技术体系,支持各种链路、异构主机平台及存储平台扩展性支持性能、容量以及各种高端功能的弹性扩展为用户未来需要增加的各种应用、可能急剧增加的数据量提供健壮的数据存储平台,实现投资保护管理性存储系统要求使用简单,能与现有的网络很好的兼容起来,存储管理人员能够方便的对存储系统进行管理存储容量需求综合考虑到数据的重要性,采用高可靠性的磁盘冗余技术(RAID),建议使用RAID5性能需求,由于全网数据业务在工作期间的几个高峰期会对数据库频繁地访问,所以对存储的IOPS要求较高,在同等条件下IOPS越高越好
3.
1.
3.3存储架构规划考虑到中国安阳市委统一电子党务平台对于数据存储的要求,需要建立独立的存储网络,实现数据间的共享,并且存储的数据流量不能影响业务网络在目前流行的存储系统基本架构中,主要存在三种模式即DAS、NAS和SAN1.直连的存储(DAS)模式DAS(DirectAttachedStorage)模式主要采用Server/clients机制,在主备份服务器上安装备份软件,进行备份策略的制定、介质管理和备份/恢复管理在需要备份的其他服务器上,安装相应的代理(Agent),如systemagent,DBAgent等采用网络备份模式,磁带库(磁带机)往往直连在主备份服务器上(采用SCSI或FC),每个应用服务器的备份数据均由备份代理打包、通过TCP/IP网络传到备份服务器,最终完成到磁带设备的备份因此,该方式具有实现简单、灵活、投资少、易管理等优点,在中小型企业应用系统中运用比较广泛;但由于备份数据经过网络(主要是以太网),在数据量大的情况下,易产生网络瓶颈,为了减少网络冲突,往往采用专用网络进行备份2.网络连接的存储(NAS)模式NAS(NetworkAttachedStorage)模式则是采用文件服务器的方式直接连接存储设备,而其余服务器的数据访问均通过局域网络经过文件服务器访问磁盘数据,这种方式克服了共享服务器数量的限制,支持多平台的数据访问,与SCSI模式相比,性能有了一定的提高NAS是以网络为中心设计的,一般用于整合局域网上客户机的存储系统,它是针对为客户机更快、更直接地获得所需存储空间的解决方案NAS是便宜、省时、跨平台和跨异种网络文件共享的存储整合方案它的主要目的是为网路用户提供文件NAS的缺点是由于其基于NFS/TCP/IP的网路共享方式,导致数据访问的效率较低,大大影响了网路性能,服务器的大规模集群也无法实现3.存储区域网(SAN)模式SAN(StorageAreaNetwork)模式是服务器和存储设备间的专用网络就像以太网一样,SAN设备与服务器通过集线器和交换机相连SAN是一个基于光纤通道技术,独立于服务器网络系统之外的,几乎拥有无限存储能力的高速存储网络SAN不但具有告诉传输速度(100Mbps)、远传输距离(10公里)、高可扩展性和支持数量众多的设备等优点,更为重要的是,SAN光纤通道上的所有设备均处于平等的地位,存储设备作为一种专门设备从服务器中分离出来,从根本上改变了传统服务器与磁盘阵列之间的主从关系SAN上的存储设备之间的数据传输可以不通过网络来实现,服务器存储SAN上的数据就像存储本地的资源一样方便,不管存储设备与服务器相距多远,真正实现了在不同德硬件和操作平台之间异构存储设备和数据的整合三种存储架构的比较DASNASSAN传输类型SCSI、FCIPFC数据类型块级文件级块级典型应用任何文件服务器数据库应用优点易于理解兼容性好易于安装成本低高扩展性高性能高可用性结合安阳市统一电子党务平台对于数据存储的扩展性、先进性、高性能、可靠性的要求,本次方案选择SAN的架构来构建统一存储平台,不仅保证存储设备能够满足较大的可用容量以及扩展性,并且能够保障数据存放的可靠性
3.
1.
3.4数据备份策略备份策略主要指每天的备份以什么方式进行、使用什么介质、什么时间进行以及系统备份方案的具体实施细则在计划制定完毕后,应严格按照程序进行日常备份,否则将无法达到备份的目的在备份计划中,数据备份策略的选择是主要的目前的备份策略主要有全量备份、增量备份和差分备份全量备份(FullBackup),所谓全量备份,就是对整个系统包括系统文件和应用数据进行完全的备份这种备份方式的优点是数据恢复所需时间短缺点是备份数据中有大量内容是重复的,这些重复的数据浪费了大量的磁带空间,无形中增加了数据备份的成本;再者,有序需要备份的数据量相当大,因此备份所需时间相对较长增量备份(IncrementalBackup),增量备份指每次备份的数据知识相当于上一次备份后增加的和修改过的数据这种备份的优点很明显没有重复的备份数据,节省磁带空间,又缩短了备份时间但它的缺点在于当发生灾难时,恢复数据比较麻烦,需进行多次数据恢复才能恢复至最新的数据状态差分备份(DifferentialBackup),差分备份就是每次备份的数据时相对于上一次全量备份之后新增加的和修改过的数据差分备份无需每次都做系统完全备份,因此备份所需时间短,并节省磁带空间;另外,差分备份的灾难恢复也很方便,系统管理员只需两次备份数据,及全量备份的数据磁带与发生灾难前一天的备份数据磁带,就可以将系统完全恢复因此,根据信息系统的实际情况,在此次项目的此次方案中我们建议备份策略应包含两个部分,及操作系统和应用程序代码的备份策略和日常业务数据的备份策略对于操作系统和应用程序代码的备份策略比较简单,一般可先对所有系统做一次全备份,然后每周对关键系统做一次增量备份;此外,每台机器做过软件安装或系统升级后,应立刻做一次全量备份,当操作系统和应用程序代码出现故障时,将全量备份的数据按照相应的办法恢复即可而对于日常业务数据的备份策略可按如下制定定期进行一次全备份(如星期日深夜,即访问量比较小的时候),每天深夜对业务数据做一次增量备份,每次业务数据有较大调整后应立即做一次全备份另外,定期对备份出来的数据在试验的环境下进行还原测试,以确认所备份的数据可用恢复数据的时候,根据需要恢复的时间点,选择相应的全备份和增量备份进行恢复如要恢复星期三的数据,需要先恢复上一星期日的数据,然后依次恢复星期
一、星期
二、星期三的数据
3.2网络安全
3.
2.1防火墙过滤对于接口数据的安全,IP接口通过正确的系统配置和防火墙过滤机制来抵御非法入侵和数据修改防火墙、内部IP网络、DHCP和DNS均由网络管理员进行管理和配置,用来为内部网络用户提供访问外部网络的服务并限制外部网路对内部网络的某些操作,保证网络系统的安全性品牌华为赛门铁克设备类型企业级防火墙硬件参数4个GE光电互斥接口、1个Console口、2个USB口、2个扩展插槽、4×FE(10/100M)模块、2×GE光电混合接口模块主要功能全面保障用户不断增长的业务流量,全方位保障用户的业务系统,DDoS攻击防护,负载均衡及网络冗余,不断提升用户的业务能力,强大的维护管理功能,绿色环保的新体验控制端口Consol口管理Web和命令行电源电压AC100~240V重量10长度560宽度436高度
44.2工作湿度10%~90%防火墙性能及技术参数
3.
2.2设置DMZ区DMZ是英文“demilitarizedzone”的缩写,中文名称为“隔离区”,也称“非军事化区”它是为中共安阳市委设立的一个非安全系统(这里的“非安全系统”指的是中共安阳市委至其他运营商的网络连接,因为运营商至中共安阳市委网络间采用的是专线连接,因此“非安全”只是相对于中共安阳市委内部办公网络而言)与安全系统之间的缓冲区,这个缓冲区位于中共安阳市委内部办公网络(以下简称“内网”)和移动侧网络(以下简称“外网”)之间的小网络区域内,在该网络区域内放置各类移动化办公服务器,如应用服务器、WAP服务器等通过DMZ区,可以更加有效地保护中共安阳市委内部办公网络
3.
2.3SSLVPN安全登录平台在VPN模式下,所有的数据交换都是组织机构的私密信息、不允许为无关人员所知,同时VPN网络相当于构建了一个虚拟的局域网络,保证了没有获得授权的用户无法接入VPN网络综合考虑用户的具体应用和需求,VPN网络的安全性有五层含义
一、数据传输的安全;
二、用户身份的安全;
三、接入终端的安全;
四、内网资源的权限访问安全;
五、审计的安全;以上五大安全全面保障接入方案的安全性依据以上的原则,我们认真挑选了国内外多家VPN厂商的产品,通过对功能、安全性、厂家实力、市场定位、报价等方面进行对比,最终决定选取深信服的SSLVPN具有如下特点集成多种认证方式在SINFORSSLVPN安全网关支持LocalDB、LDAP/AD、Radius、第三CA、自建CA、USBDKey、SecurID、短信认证(短信猫和短息网关)、硬件特征码、动态令牌多种安全认证方式,最大限度的保证了接入用户的合法性混合认证针对目前日益严重威胁网络安全的间谍软件、木马以及钓鱼软件等,SINFORSSLVPN基于短信认证多种认证方式,有效地抵御了这类可能对市委重要资源造成的威胁即使终端用户的机器被黑客攻击,控制了用户的机器,或者一些间谍软件、钓鱼软件泄露了用户名密码等访问口令,由于采用了手机短信认证的动态身份认证系统,因此也无法威胁到市委的内部资源对于昂贵的动态令牌认证系统来说,基于手机短信的身份认证是动态令牌的完美替代品,为用户提供了更加安全可靠和方便实用的动态身份认证服务多种认证方式、完善的认证体系,使得市委在选择的时候,可以根据相应的安全级别,对客户端的认证方式进行组合,最大限度的保证了接入用户的合法性和市委内网资源的高度安全单一的认证方式易被窃取,为了进一步提高身份认证的安全性,深信服提出混合认证,针对上面提到的用户名和密码、CA数字证书、LDAP、Radius、AD、USBDKey、硬件特征码、短信认证,可以进行五个因素以上的捆绑认证,只有这几种认证方式同时满足才能够接入SSLVPN系统如果需要几种接入方式做备份接入选择,深信服提出或组合,对于以上几种认证方式进行或组合,只要通过一种认证方式即可接入到SSLVPN系统中USBDKey认证SINFORSSLVPN安全网关采用SSL协议加密建立安全的专用加密通道,除了使用标准SSL协议内置的RC4等加密算法和RSA128bit签名算法来保证数据的安全性之外,还使用DKEY(一种USB的身份认证设备)进行双因素身份认证,并使用PIN码保护DKEY的安全这种USBDKEY可以同时支持两套VPN(IPSee和SSL)系统,安全方便免驱动USBDKey一般的USBDKey在使用的过程中跟U盘一样需要安装该USBDKey的驱动,且往往驱动的兼容性问题导致无法正常登陆SSLVPN而导致业务无法开展针对这种情况,深信服提出免驱动DKey认证,当您首次使用USBDKey进行登陆的时候,不需要安装USBDKey也能够正常登陆SSLVPN,无需担心驱动的兼容性问题,提高业务访问效率短信认证无线技术的突飞猛进给网络世界又带来一次巨大的革命,其灵活可靠的特点吸引了所有人的视线,因此,依靠无线通讯技术的短信认证技术也应运而生短息认证技术是一种革新型认证解决方案,此认证系统分为手机短信终端和短信认证服务器两部分终端用户在既有移动电话和PDA的基础上,通过手机短信获得双因素用户认证访问代码,就能够安全的访问网络资源深信服支持与短信猫进行互动来进行短信认证短信网关除了通过短信猫方式进行短信认证外,深信服还支持运营商的短信网关,如果您的网络中已经部署了短信网关(移动短信网关),深信服可以和您的短信网关结合,实现短信认证针对可能由于网路的延时或者网络运营商的问题导致短信未及时发出,影响了使用者的使用,而导致业务无法正常使用的情况出现时,深信服为您提供短信重发功能,让您能够方便快捷使用短信认证硬件绑定(HardCA)传统的用户名和密码或者CA证书认证方式都存在证书或密码被盗用的问题为避免传统方案的泄密缺陷,SINFORSSLVPN使用了深信服公司的专利技术(专利号031141803)—基于PC硬件特征的证书认证系统(HardDC)来实现基于硬件的认证该认证原理是将用户账号与其所在计算机硬件信息(如CPU、硬盘、网卡等)进行绑定,即便用户账号以外泄露,由于非法用户无法使用与此账号实现绑定的那台计算机,因而也不会造成非法用户接入与第三CA结合为了建立更加完善的认证体制,对于部分组织来说引进了CA中心,通过CA中心来建立更加完善的认证体制为了更好的实现与CA中心这样的认证体制的结合,需要与现有的CA中心进行完美结合,但是不同的CA中心可能编码格式不一,支持的证书类型也不一,要完美的进行结合必须要支持各种编码格式以及对应的证书类型目前深信服支持UCS-2,GBK,UTF-8,GB2312,BIG5编码格式,支持der、crt、cer、pl
2、pfx、p7b格式证书,从而能够与第三方CA进行完美的结合,满足大规模用户对于认证的要求分类性能详细指标SSLVPN性能参数产品结构硬件架构SSLVPN处理能力420Mbps并发SSL用户数4000每秒新建连接数280防火墙吞吐量(双向256bits包)
2.0Gbps最大并发会话数目1500000网络接口网络接口1000BASE-TRJ-45*41000BASE-XGBIC*2串口RS232*1可靠性要求平均无故障时间MTBF5000小时工作模式部署模式路由、透明、单臂电器特性电源180-240V使用环境温度-10~50℃使用环境湿度5~90%,非冷凝功能具体功能稳定性支持2条公网线路接入,实现线路互为备份、负载均衡,并能给分支分配不同的多线路策略支持隧道间路由功能支持非直连网络的VPN组网支持双向NAT(隧道内的NAT技术),深信服独创了隧道内的NAT技术,通过对传输的数据进行源地址转换,来屏蔽冲突分支的内网IP地址支持链路和VPN隧道的自动恢复利用看门狗提供的自动恢复功能,实现高可靠的产品设计安全性支持RC4/DES/3DES/AES等标准加密算法,支持RSA数字签名算法,支持MD5/SHA1等标准HASH算法,支持SSL硬件加密支持Sinfor3DES(深信服特有的加密算法)、SCB2(国密办加密算法)支持终端接入VPN后,断开与公网其他链接(可配置);支持终端安全检查,包括操作系统类型、版本、补丁、注册表、后台进程、硬盘文件;包括Windows系列操作系统;支持对浏览器的种类、版本和补丁检查;包括IE、Firefox、Netscape等支持本地认证、Radius认证、Ldap认证、AD认证、短信认证、硬件特征码、证书认证和双因子认证等多种认证方式;支持内置默认证书和证书的导入快速性畅联Flash-Link技术,对高延时高丢包环境提升访问速度(专利)(多功能管理平台)HTP技术,解决跨运营商,无线等延迟高丢包环境传输速度(专利)(多功能管理平台)Webpush技术(专利),智能动态压缩技术(专利)(多功能管理平台)支持对于无线接入环境(如CDMA、GPRS、WIFI环境下)或者恶劣环境(高丢包高延时)接入速度优化可管理性Web(HTTP),CLI(Telnet/SSH)支持隧道内访问控制,对于隧道内的数据可以根据IP地址、端口、时间等进行访问控制支持VPN隧道内的按URL、文件目录、IP地址、IP网段、TCP/UDP端口、用户/用户组、时间、使用者控制等精细化访问控制粒度支持Web(HTTP),CLI(Telnet/SSH)等管理方式,WEB图形配置(无需安装客户端维护程序)、命令行配置、支持本地配置、远程配置此外还支持专门设备的管理,出支持文本配置和远程配置以外,还支持集中管理配置,以及配置统一管理下发支持采用统一管理平台SC(集成在一个综合的技术体系之中,并应用在统一的硬件平台之上)进行VPN全网的策略编辑、部署和维护高可用性支持多种客户端环境,包括PDA、智能手机、3G手机等移动设备接入支持各种应用兼容,ERP、LOTUSnotes、远程桌面共享、Outlook等应用、Exchange、FTP、VNC支持个性化页面定制,可以定制页面标题、网站的LOGO图标、登录界面等支持根据用户登录时主机检查的结果,动态生成当前安全状态下用户可以访问的资源列表支持对Web接入(HTTP代理),完全免客户端、TCP接入(端口转发)、IP接入(网络扩展)深信服M5600-S-YLSSLVPN设备功能性能参数
3.
2.4统一监管平台终端保护方面网络接入控制能够按照指定的策略控制机器对网络的接入,保证只有认证通过的机器才能够接入网络,防止存在安全隐患或未经授权的机器接入内网,在网络接入层控制非法终端连接,支持IEEE
802.1x端口认证的工业标准对于不支持IEEE
802.1x交换环境,采用软件控制的方式实现对终端设备的安全接入控制根据网络环境,用户可以选择在不同网段分别启用
802.1x认证、非
802.1x认证、不启用网络准入认证组合网关强制网关强制可以实现在网关出口限制未安装代理软件终端对外网连接,强制未安装代理终端重定向到一个代理安装网页,从而禁止非法终端通过网关出口泄露内网信息,并且可以加快矩阵客户端的安装部署此功能需要结合绿盟科技冰之眼IPS产品使用病毒库同步通过与常用防病毒软件的联动,实现及时可靠地病毒库分发,强制病毒库与病毒引擎的升级,统一终端最新的防病毒策略,阻止各类病毒和蠕虫的发作;支持防病毒软件包括赛门铁克、趋势、瑞星、江民、金山、卡巴斯基、McAfee、冠群等各大防病毒软件厂商的网络版以及个人版防毒产品主机入侵保护基于绿盟科技强大的研究能力,精选WINDOWS主机类入侵保护规则,对进、出机器的流量进行分析检测,防御各种针对主机的黑客攻击行为,具体类型包括防止扫描、溢出、远程控制、拒绝服务等各种攻击类型除了入侵保护规则,还内嵌入Sniffer检测模块与Flood检测模块,能检测内网机器的Sniffer行为以及终端流量异常行为主机防火墙截取网络连接尝试,使用预先定义规则允许和禁止其连接,通过端口、协议、IP、时间等条件限制终端对网络安全访问控制异常端口监听通过设置端口黑白名单,对特定的端口进行监护,并可以在出现异常时告警和限制端口连接防ARP欺骗ARP欺骗防御采用主动防御技术,在系统驱动层实现防ARP欺骗功能,阻断各种类型的ARP欺骗行为,保证终端机器不受ARP欺骗的干扰与攻击;可以及时发现网络中存在的“肉鸡”攻击者,可以定位到哪台终端、什么时间、哪个进程发起ARP欺骗攻击,实时定位ARP欺骗病毒源;有效保证网上银行、邮箱、即时通讯、游戏账号等数据安全;保证网络通讯的正常稳定、协助管理人员快速定位网络中存在的问题恶意软件查杀可以手动检测或定时自动检测各个终端是否安装了恶评软件,根据预置的策略将其禁用并生成告警;系统内置有丰富的恶评软件特征库,并能定期更新;能够收集每个终端所安装的IE插件的信息,汇总到服务器统一展示;管理员可以设置哪些IE插件允许使用,哪些IE插件禁止使用网页防挂马针对当前流行的利用IE浏览器解释执行网页脚本时的漏洞来注入木马的攻击方式,矩阵采用了独创的底层检测方法,能够有效地检测并阻断这种攻击方式,防止用户在用IE浏览网页时系统被悄无声息的注入木马桌面管理方面资产管理自动收集计算机硬件资产信息和软件资产信息,硬件资产信息包括网卡、内存、硬件、主板等;软件资产信息包括操作系统、杀毒软件、应用软件信息、计算机系统摘要、终端代理相关信息、当前策略信息、补丁信息;可以自动发现以上各类软硬件资产的变化情况,灵活生成各种告警与图形报表,及时掌握每个终端用户资产的最新状态,避免资产流失,方便市委资产的统一管理补丁管理通过与微软WSUS的联动,完成安全补丁的自动分发,保证机器及时打上最新的安全补丁,防止安全漏洞被利用软件分发用户可以将应用软件的安装包(EXE/MSI格式)分发到指定的机器上并执行安装操作交换机管理自动收集交换机端口信息,提供方便的IP/MAC/机器名/交换机端口的互查功能,能够打开或关闭指定的交换机端口,通过Web可以查看网络中的交换机信息,例如端口、流量等系统性能检测实时监测终端CPU、内存、硬盘性能,发现系统超出设置的占用率,及时告警通知远程支持管理员可以通过远程桌面连接到安装代理的终端进行管理和维护操作,支持客户端授权模式,确保系统安全性;支持信息服务功能,管理员可以及时快捷的向终端发送各种通知信息行为管理方面外设访问控制可以针对常见的外设端口类型(USB、红外、串口、并口)和设备类型(软驱、光驱、无线、蓝牙、键盘和鼠标、打印机)进行监控,监控类型包括禁止访问、只读访问、完全访问,对违反策略的行为及时告警,防止数据泄密;管理员可以对USB外设进行注册授权认证,注册认证过的USB外设才可以在内网使用,有效管理控制USB外设滥用行为;系统可以对USB外设文件传输实时监控(包括文件增加、删除、拷贝、修改行为审计),并且可以实现针对特定的文件类型进行审计;在安全控制方面,系统能够对Windows的“自动播放”进行控制,防止autorun病毒木马的传播与扩散非法外联检测针对党务内网可能存在的通过拨号连接外网的行为进行管理;可以对Modem拨号、VPN连接、PPPoE等拨号方式进行控制,根据需要可以自动切断拨号并告警应用软件监控可以监控指定软件的安装使用行为,通过软件名称关键字对非法安装使用的软件实时监控告警;可以设置应用软件黑、白名单,禁止黑名单软件或进程运行上网监控自动记录员工的上网历史,包括HTTP上网URL连接信息以及其他非HTTP上网信息,比如Telnet、Ftp等行为,发现异常上网行为;另外可以检测出通过代理商务的行为,并能按照预设的关键字对网页内容进行告警网络配置强制可以防止任意修改机器的IP、机器名、MAC等信息,根据安全策略设置自动恢复默认的配置信息;可以针对重点服务器IP采用特殊保护,保证重点服务器IP优先权,避免地址冲突,提供内网管理效率强制域登录强制中断登录到指定的域,可以设置多个登录域;针对登录到其他域、或者不以域身份登录的行为,可以采用告警、强制注销WINDOWS方式响应限制登录终端审计具备丰富的审计功能,终端审计包括文件审计、账号审计、日志审计三部分可以设置指定的文件名、文件后缀、文件夹;其中文件审计能够对文件的创建、拷贝、删除、读取、覆盖、移动或重命名进行审计记录;账号审计对系统账号添加、删除、修改情况进行审计;日志审计主要是对系统日志进行审计;系统将全面监控终端审计信息,发现违规操作能及时告警综合管理方面策略管理提供分时、分组、分场所策略管理,支持不同机器组在不同时间执行不同的安全策略,支持策略场所自动切换(内网与外网场所)策略类型可以灵活组合,策略类型包括网络准入策略、终端审计策略、远程支持策略、防ARP欺骗策略、网页防挂马策略、外设访问控制策略、病毒更新策略、补丁管理策略、入侵保护策略、主机防火墙策略、非法软件控制策略、非法拨号策略、网络配置强制策略、异常端口侦听策略、强制域登录策略等分级分权管理安全策略中心支持级联管理,没有级数限制;可以灵活设置上下级管理服务器,实现通过上级服务器管理下级服务器安全策略中心支持分权管理功能,根据不同部门分配不同的管理权限,部门管理员只可以管理、查看、编辑管辖区域的终端信息系统自我保护通过多种技术手段(加载项保护、系统隐藏、防篡改保护、防进程删除)防止系统受到非法破坏,保障系统正常稳定运行支持授权安装功能,注册到服务器的代理只有经过管理员的批准才能成为合法代理,否则即使安装了代理也和未安装代理的机器一样职能访问受限的网络支持在线卸载,授权卸载;在线卸载可以批量卸载客户端,授权卸载生成授权卸载代码,客户端需要填入此授权码才可以卸载查询与报表可以方便查看各种安全告警事件、网络访问事件;通过报表可以了解最新的补丁、反病毒软件的安装情况;可以根据资产构成、变更、网络告警等条件生成丰富详细的图形报表并支持多种文件格式的下载集中升级安全策略中心可以设置自动升级、手动升级,定期到绿盟科技网站升级最新版本或相关补丁;支持终端安全代理统一升级,可以设置自动升级所有终端或升级部分终端策略,还支持先升级测试终端,确保升级正常后再升级其他终端策略所有策略都是自动执行,大大减少了部署的工作量用户管理采用B/S浏览器管理方式,管理人员可以方便登录到服务器进行管理,用户可以指定管理及其的IP地址,保证只有授权IP才能访问管理审计系统对管理人员的登录行为、操作行为、以及任务的下发情况进行全面的审计
3.
2.5漏洞扫描平台采用绿盟极光远程安全评估系统,主要有以下几方面功能漏洞预警绿盟科技有一支专业的安全研究团队(NSFOCUS安全小组),从公司成立之初到现在,一直从事信息安全服务和信息安全技术的研究,在信息安全领域有着丰富的理论和实践经验NSFOCUS安全小组致力于对安全前沿技术的研究,其中包含了对系统漏洞发现、验证和提供应急响应服务的能力,目前在国际上已经有相当高的知名度NSFOCUS安全小组能够对重要漏洞进行及时预警,对重大漏洞的升级在全球首次发现后两天内就可完成漏洞检测依靠业界强劲的底层扫描引擎——NSSE(NSFOCUSScanningEngine),通过对NSIP(NSFOCUSIntelligentProfile)技术、开放端口服务的智能识别、检测规则依赖关系的自动扫描等技术的运用,再加上有NSFOCUS安全小组精心编写的准确漏洞检测规则,极光产品拥有近乎完美的准确性、扫描速度和覆盖度风险管理极光产品采用“风险管理”模块对网络风险进行全方位管理和分析,管理员通过此模块可以对所有信息资产设备进行资产风险管理对于大规模网络用户,网络资产繁多,IP地址记忆繁琐,通过资产管理与用户组织结构或网络拓扑结构的紧密结合,以规范的命名方式统一对网络资产进行管理风险管理模块的使用方便用户掌握风险分布情况、定位风险、高效实施风险降低或规避措施漏洞修复极光在产品设计初期就考虑到漏洞修复问题,在产品实现上提供了多种二次开发接口供漏洞修复产品或补丁管理产品使用,方便用户及时集中对资产漏洞进行修复另外,极光已经实现了与微软WSUS服务器的联动功能漏洞审计用户在实际的漏洞修复过程中往往很难确认自己的漏洞是否真正修复,针对这种情况,极光提供了漏洞审计功能,能够通过发送监督邮件的方式来督促相应的资产管理员对漏洞进行修复,同时启动自动的定时任务对漏洞进行审计,提高了管理人员手工验证漏洞是否修复的效率基于用户行为模式的管理架构作为用户体验性很强的产品,极光始终秉承“以人为本”的理念,在产品设计过程中充分考虑了实际用户需求和使用习惯,从用户角度完善了很多管理功能,如“一键式”智能任务模式、快速结果报表、智能摘要技术等,最大限度的满足了易用性和高效性的需求权威、完备的漏洞知识库绿盟科技NSFOCUS安全小组的安全研究能力在国内首屈一指,在国际上也有相当大的影响力在这个部门中,有多位专职的研究院进行漏洞跟踪和漏洞前瞻性研究,到目前为止已经独立发现了40多个关于常见操作系统、数据库和网络设备的漏洞,并且为国际上的知名网络安全厂商提供相关漏洞的规则支持NSFOCUS安全小组负责极光的漏洞知识库和检测规则的维护,除定期的每两周的升级外,重大漏洞的升级在全球首次发现后两天内可完成依靠专业的NSFOCUS安全小组多年的研究,绿盟科技中文漏洞知识库已包含11000多条安全漏洞信息,每条漏洞都有详尽的描述和修补建议,其完备性和权威性在国内厂商内首屈一指绿盟科技中文漏洞知识库是国际上最大的中文漏洞知识库,极光产品的漏洞信息(2400多条)精选于该漏洞知识库,涵盖了常见操作系统、数据库、网络设备和应用程序的绝大多数可以远程利用的漏洞以及本地安全漏洞,已获得国际权威的CVE兼容性认证高效、智能的漏洞识别技术NSIP(NSFOCUSIntelligentProfile)是绿盟科技智能Profile漏洞识别技术的简称,该技术在国内甚至在国际上都是非常领先的漏洞识别技术,它是提高极光的评估速度和准确率方面都起到了很大的促进作用NSIP漏洞识别技术采用多种技术通过不同途径收集目标系统的多种信息,这些信息就是目标系统的Profile,在进行漏洞评估过程中,Profile不断地对中间的结果数据进行调整,保证了最后评估结果的准确性、极光产品具备业界强劲的底层扫描引擎——NSSE(NSFOCUSScanningEngine)通过对NSIP技术、开放端口服务的智能识别、检测规则依赖关系的自动扫描等技术的运用,再加上由NSFOUCS安全小组研究员精心编写的准确的漏洞检测规则,极光在检测速度和检测准确性之间找到了最佳的平衡点极光加载全部检测规则,对同样的目标系统进行检测时,扫描速度为常见同类产品的3—5倍,同时仍能保证误报率低于1%精确的WEB应用安全分析考虑到目前WEB应用安全漏洞所带来的巨大危害,极光推出了WEB应用安全漏洞检测模块,通过对被检测站点进行深度内容分析,找出可被浏览的ASP、JSP、PHP、CGI等页面,同时极光还在漏洞检测中提供了专用的CGI漏洞检测插件规则类别以及专用的SQL注入和跨站脚本等检测插件,用来发现一些特定、常见的站点隐藏的页面,并发现一些文件路径信息泄露的安全隐患,并能深入的分析一些CGI的漏洞问题基于实践的风险管理及展示单纯的漏洞扫描产品因没有与资产关联,智能扫描出漏洞并不能反映客户环境中资产真实的风险状况极光远程安全评估系统将资产、漏洞和威胁紧密结合,提供了图形化的资产管理方式,并通过可量化的模型呈现,帮助用户对网络中存在的风险有一个整体、直观的认识,做到真正意义上的风险量化技术指标AURORAStandardUnlimited漏洞扫描支持弱口令扫描支持检测漏洞数大于2400风险管理支持可扫描存活IP总数(IP)无限IP扫描速度(IP/分钟)5并发扫描数(IP)30最大用户数30单个任务最大IP数多个B并发任务数10最大存储任务数150基础报表支持漏洞审计支持系统管理支持高级数据分析支持WEB扫描可选模块二次开发接口可选模块分布部署可选模块下级模块极光V5漏洞管理系列产品指标
3.
2.6互联网审计平台主要功能单点登录SINFORAC的单点技术(SingleSignOn,SSO)避免了用户重复输入账号密码的繁琐操作AC支持LDAP、POP
3、PROXY单点登录,尤其是无需用户安装任何客户端软件即可实现LDAP单点登录,对用户完全透明内网用户采用域账号登录Windows系统后,即可自动通过AC认证,而不使用域账号登录Windows系统即禁止其访问互联网反钓鱼网站功能SINFORAC可对SSL网站提供的数字证书进行深度验证,包括该证书的根颁发机构、证书有效期、证书撤销列表、证书持有人的公钥、证书签名等由于钓鱼网站采用非可信颁发机构的数字证书,虽能蒙骗用户,但却逃不过AC的识别和过滤该功能也可以被用于过滤一些使用SSL及证书技术加密的色情、反动站点,证券炒股站点等P2P智能识别P2P(peer-to-peer)应用的兴起直接导致P2P软件及其版本的爆炸性增长,如何对P2P行为进行全面有效的管控成为业界的难题之一基于IP、端口、种子等风度方式费时费力且到不到理想效果AC的深度内容检测技术对常用P2P软件进行识别;AC的P2P智能识别技术实现对加密P2P、不常见和未来将出现的P2P的彻底识别,为管理员提供了全面、高效的P2P行为管控手段能够全面识别P2P行为是进一步管控的基础对P2P的管控包括封堵和流控两方面,既可全面禁止指定用户使用P2P软件,也可允许其使用但对P2P行为占用的带宽资源进行限制和管理,从而既优化带宽资源的使用,又为员工提供了人性化的管理方式代理服务器识别很多组织的内网员工通过MicrosoftISA、Sygate、CCproxy等代理服务器上网,但由于防火墙、内容控制等设备对内网用户的管理是基于目的地址和端口的,这将无法识别通过代理服务器上网的员工流量行为通过对于ProxyServer代理上网的情况,AC可以很好地适应并发挥其作用AC的深度内容检测技术识别用户数据中包含代理信息后,通过代理识别模块可以识别从用户端发送到达代理服务器之间的应用数据,进而对用户的网络行为进行管控和记录网页智能分析系统IWASSINFORAC融合中科院人工智能技术推出的网页智能分析系统IWAS能够根据网址、正文内容、关键字、代码特征等对网页进行智能分类,并且具备自我学习和自我修正能力管理者可以自定义个性化URL分类,如“中国足球”类,并在AC中输入数个“中国足球”相关URL地址后,AC将自动分析学习“中国足球”相关网页特征,并在内网用户访问“中国足球”相关的各种网页时实时过滤并自动再学习,帮助组织从容应对泛滥的网页访问行为最全面的应用识别无法识别,何谈管控?内网用户的上网行为纷繁复杂,且伴随着应用“加密化”和“种类爆发”的趋势,是否具备全面的应用识别能力已成为考量上网行为管理方案的重要标准之一SINFORAC具有多种应用识别技术,全面识别各种应用,进而管控和审计主要包括a)URL识别千万级静态URL库、搜索引擎输入关键字过滤、基于正文关键字过滤明文网页、SSL证书验证技术过滤加密网页、网页智能分析系统IWAS从容应对互联网上数以万亿的网页b)文件类型识别识别并过滤HTTP、FTP方式上传下载的文件,即使恶意用户删除文件扩展名、篡改扩展名、压缩、加密后再上传,AC同样能识别和报警c)深度内容检测IM聊天、在线炒股、网络游戏、在线流媒体、P2P应用、Email、常用TCP/IP协议等,基于数据包特征精准识别,且支持管理员自定义新规则,以及深信服科技及时更新和快速响应d)智能识别种类泛滥的P2P行为,静态“应用识别规则”已经捉襟见肘,通过P2P智能识别,识别不常见、未来可能出现的P2P行为,进而封堵、流控和审计通过强大的应用识别技术,无论网页访问行为、文件传输行为、邮件行为、还是应用行为等,AC都能帮助组织实现对上网行为的封堵、流控、审计等管理免审计Key功能对于总裁、高层领导网络访问行为,财务部收发的关于组织机密信息的邮件等,怎样避免记录此类用户的网络行为?业界多数方案是通过将敏感用户划分到指定用户组,通过设备配置界面的勾选,避免对这些用户网络行为的审计但如果“非善意”人员私下重新配置设备对敏感用户又进行行为记录,怎么办?AC正式考虑到用户可能面临的以上风险和威胁,推出了“免审计Key”功能在AC上为总裁等重要人员创建账户时使用DKEY认证,并勾选“启用DKEY防监控”选项,为总裁生成“免审计Key”总裁使用“免审计Key”认证后,AC从底层免除对总裁的所有记录如果“非善意”人员私下取消AC配置界面上“启用DKEY防监控”选项,总裁再插入“免审计Key”后系统会自动弹出警告,禁止总裁访问网络,称帝保障选项安全网络准入规则AC的网络准入规则(NetworkAdmissionRules,NAR)通过对客户端的评估来实现网络访问控制,更好的维护网络安全防线,NAR的设计意义在于三个方面1.仅靠网络边缘的外围设备已经无法保证安全性2.边缘网关设备无法防止来自局域网内部的滥用、攻击和破坏3.客户端的安全级别往往难以保证使用版本陈旧的操作系统、不及时更新补丁、长时间不更新防火墙和杀毒软件等,都成为局域网安全中的“短板”鉴于上述情况,AC网络准入规则技术通过对端点安全评估和访问控制实现全方位安全防护不能满足预设要求的接入端点,禁止其访问互联网或允许访问但提交报告给管理员做后续处理通过AC的网络准入规则,修补内网安全短板,避免病毒、木马等轻易感染内网主机,便于组织推行统一的IT政策该准入规则允许管理者手工添加和定制,从而可以管理几乎所有终端在线状态,使端点安全和网管安全紧密结合,为组织构筑统一的安全防御体系加密聊天内容监控“加密化”的趋势不仅使明文的HTTP网站开始转向加密的HTTPS网站,各种IM聊天工具的聊天内容也被加密,如腾讯QQ、TM、MSNShell、飞信、Skype等如果不能监控和记录加密IM聊天内容,隐匿其中的安全风险、安全事件就无法防御、无据可查目前业界解决方案多数都无法监控和记录QQ、MSNShell、飞信、Shype的聊天内容AC的聊天内容同步侦听技术实现对QQ、MSNShell、飞信、Shype等加密聊天内容的监督和记录,帮助组织轻松应对应用加密化的影响邮件延迟审计AC的邮件延迟审计(PostponedSendingafterAudit,PSA)专利技术,将敏感邮件阻挡于内网内网用户发送Email邮件时,用户人事已经成功发送,实际上符合管理员预定策略的整封Email邮件(包括正文和附件)全部转存至邮件缓冲区指定的邮件审核人员会获得邮件通知,经人工审核后,才允许符合组织安全规定的Email邮件发送到互联网上,而不符合要求的Email则被截取并作为追究责任的依据,有效实现了对泄密邮件的封堵,保护了组织敏感信息的安全性AC的邮件延迟审计技术对内网用户完全透明,邮件的发送过程与日常无异外发文件深度识别存心的泄密者往往会将外发文件的后缀名修改/删除,或者加密/压缩该文件,然后通过HTTP、FTP、Email附件等形式外发仅仅实现对外发文件的审计和记录显然无法弥补由于泄密而给组织带来的损失,单纯的机遇文件扩展名过滤外发文件、过滤外发Email邮件也无法应对以上风险鉴于此,SINFORAC的外发文件深度识别技术基于文件特征,能够识别超过一千种以上的文件类型,基于特征而非扩展名彻底遏制存心泄密者的外发泄密文件行为,保护组织信息资产的安全智能的流量管理组织有限的Internet带宽资源,如何避免非业务行为的滥用,同时为业务行为细致智能的划分与分配带宽资源?传统设备根据IP和端口结合QoS实现带宽分配,但类似80端口中会潜藏QQ、BT数据,部分业务系统没有固定的端口,领导的视频会议系统没有固定IP等情况则会让传统设备的带宽管理功能大打折扣AC实现了基于用户、用户组、出口链路、应用程序、网站类型、文件类型、目标地址、时间段、优先级等的细致智能的流量管理系统,让组织的带宽资源得到细致的优化和高效的使用海量日志快速检索记录员工网络行为不仅满足法律法规要求,又做到了有据可查大型组织每天产生数G的日志数据,通过AC的外置数据中心实现了海量存储,而且提供了图形化的日志查询、统计、审计、报表中心等功能组织通过AC的外置数据中心保存了上百G的海量日志信息,而一旦发生关键事件或管理者需要从大量日志信息中快速检索获取其感兴趣的内容,却又难以快速从海量日志中发现期望得到的数据时,AC内置了强大的数据中心内容检索系统,利用类似Google的先进搜索技术,从高达几百G的海量数据中通过多个关键字快速搜索指定内容,并且支持对Email附件正文内容的检索、支持高级检索、支持订阅和自动Email投递功能,极大地方便了管理者的使用数据中心认证KeySINFORAC管理员分级管理功能可实现A管理员登陆数据中心后只能审计、查看A用户组的行为日志,同时配发启用数据中心认证Key功能后,如果没有该“数据中心认证Key”,A管理员登陆数据中心后只能查看统计、趋势等概要信息,而只有插入“数据中心认证Key”后A管理员才能审计、查询A用户组的MSN聊天内容、Email正文等详细日志信息通过将该“数据中心认证Key”锁入领导抽屉将实现行为日志审计查询权限的严格控制异常流量感知随着用户对互联网的访问、移动存储设备的使用、以及局域网内其他终端的感染等,导致用户终端设备往往存在木马、间谍软件、远程控制软件等威胁此类恶意软件为了藏匿自己的行踪往往通过常用的TCP
80、
443、
25、110等端口与互联网控制端交互数据,这使得组织的信息安全、资产安全、网络安全等无法保障SINFORAC的异常流量感知技术正是对于以上异常流量行为进行识别并报警,帮助IT管理者主动发现组织内网潜藏的安全威胁,提升组织内网可考性和可用性分类性能详细指标适用规模适用用户人数15000防火墙吞吐量
3.5Gbps网络接口网络接口1000BASE-XSFP*21000BASE-TRJ-45*31000BASE-XGBIC*2串口RS232*1可靠性要求BYPASS功能支持平均无故障时间MTBF5000小时工作模式部署模式路由、透明、单臂电器特性电源180-240V使用环境温度-10~50℃使用环境湿度5~90%,非冷凝深信服M5820-AC上网行为管理设备性能参数4系统技术优势
4.1WEB
2.0应用架构采用四层B/S(浏览器/服务器)体系结构使得用户只需要通过浏览器即可轻松完成对各种信息的处理,简单易用,大大缩短了信息系统建立周期,节省了管理费用,集中管理、统一维护、分类有序存放信息数据,使得系统维护、升级、扩充更方便,并且可针对集团组织单位组合和扩展迅速做出相应的系统调整和变化,极大的适应了用户在不同环境和条件下的需求;
4.2兼容开放性遵照SOA(面向服务架构)理念开发,基于SUN公司的J2EE平台,从而适用于多种操作系统(如WindowsNT/
2000、Unix、Linux等)及多种数据库系统(如MSSQLServer、Oracle、DB
2、Sybase及Informix等)
4.3可靠地群集结构针对市委机关单位协同办公的特点提供了群集架构模式支持公文、表单在集团各级组织单位间流转和催办的功能,更加适合协同工作管理要求支持各种群集数据库和分布式数据库结构,保障组织单位内部的协同工作更清晰、更顺畅强大灵活的流程管理功能使组织单位可以方便的规范内部管理流程
4.4模块化结构设计各个软件功能模块既可单独使用又可连成一体,能适应组织单位不同阶段的组织结构或认识结构的变化协同伸缩性好,支持不同行业、不同规模的用户,基础、精华、普及、专业、增强五种应用类型基于同一软件平台,无须更换软件程序和升迁数据库就可以升级应用
4.5强大的客户端运算能力基于先进的端对端网络结构,融入网格运算思想,在B/S应用的同时,运用Applet、JavaScript、WebStart、Ajax、Serverpush等WEB
2.0相关技术,强化客户端运算功能,最大程度的利用网络上客户端的闲置运算能力,优化整体运行效率5软硬件配置列表
5.1服务器选型原则服务器的选择标准应该着重权衡各项性能指标服务器通常有六个方面的性能指标,即可管理性、可用性、可扩展性、安全性、高性能以及模块化1)可管理性是服务器的标准性能2)可用性是指在一段时间内服务器可供用户正常使用的时间的百分比服务器的故障处理技术越成熟,向用户提供的可用性就越高3)安全性是网络的生命,而服务器的安全就是网络的安全为了提高服务器的安全性,服务器部件冗余就显得非常重要,因为服务器冗余性是消除系统错误、保障系统安全和维持系统稳定的有效方法4)高性能是指服务器的综合性能指标高服务器基本性能主要表现在运行速度、磁盘空间、容错能力、扩展能力、稳定性、持续性、监测功能以及电源等方面需要强调的是,一定要关注硬盘和电源的热插拔性能、网卡的自适应能力、以及相关部件的冗余设计和纠错功能,这些基本性能为保证服务器安全、稳定、快速地工作起到重要作用5)可扩展性同样是服务器的重要性能之一服务器在工作中的升级点是由于工作站或客户的数量增加是随机的,为了保持服务器工作的稳定性和安全性,就必须充分考虑服务器的可扩展性6)模块化设计是指电源、网卡SCSI卡、硬盘、风扇等部件为模块化结构,且都具有热插拔功能,可以在线维护,使系统的停机可能性大大减少特别是分布式电源技术,使每个重要部件都有自己的能源系统,不会因一个部件电源损坏而危及整个系统的安全与持续工作通常这六个方面是所有类型的用户在选购服务器时要重点考虑的,他们既相互影响,又各自独立,而且在涉及到不同的应用和行业时,这六个方面的重要性也由轻重之分,因此,必须综合权衡此外,品牌、价格、服务、厂商实力等因素也是要重点考虑的因素
5.2软件配置列表软件名称版本厂家功能及作用tomcat
5.5提供应用服务环境Oracle10GOracle数据库环境WindowsServer2003WindowsSERVER2003高级服务器企业版(含25用户使用授权)WindowsWindows操作系统Linux
10.0操作系统党务门户网站群
2.0集群党务信息化办公平台
2.0移动集群党务信息化办公平台
2.0邮件系统
5.
5.4Sheenmail短信业务插件
3.0绿盟矩阵内网安全管理系统
1.8vNSFOCUS内网与监控软件配置表5硬件配置列表硬件名称配置标准数量办公应用应用服务器机框T8223含交换网版1套(含1机框和6台服务器)应用服务器BH28服务器板,X86Series-LGA1366-2130MHz-
0.9V-64bit-80000Mw-QuadCoreE5506x2MemoryDDR24GBHDD600GB应用服务器X3650-M2Xeon-
55702.93Ghz8MBL3cache3*2GB2*300GB
2.5’HSSASBR10i675WHS1/22*Gb3Yrs4存储设备EMCSAN光纤存储,SAS300GB×14采用64位专用操作系统1安全产品硬件防火墙华为USG5320防火墙,U2标配4GE,双端口千兆以太网接口模块(RJ45SFP)2绿盟极光远程安全评估系统V
5.0AURORA-S1U,一个100M/1000M自适应以太网电口,一个管理口,并发30IP扫描,可扫描IP数量为无限个1SINFORM5820-AC上网行为设备(3个千兆电口,4个千兆光口,可支持5000内网用户)包含访问控制、审计、监控、外发管理、带宽管理、报表和增强性安全功能1统一认证管理平台深信服SSLVPNSSLVPN支持LocalDB、LDAP/AD、Radius、第三CA、自建CA、SecurID、短信认证(短信猫和短信网关)、硬件特征码、动态令牌多种安全认证方式,最大限度地保证了接入用户的合法性1移动用户并发该项目为VPN移动接入用户的并发接入数目,而非VPN网关内可配置的移动用户账号数目3000USBKey用于结合CA服务器认证用户身份3000二维码解码设备硬件解码器译码二维码解码用户10网络设备交换机QuidwayS9303以太网交换机,48端口百兆/千兆以太网电接口板(ECRJ45)2机房辅助设备机柜19英寸国际标准、42U、1976×600×800mm黑色2建设辅材包含各类连接电缆、接地设施、防静电设备、走线架、防火设施等1硬件设备配置表7售后服务
7.1售后服务计划产品保证我方提供的产品均享受承诺的质保服务人员培训我方将免费为甲方培训技术人员,使其能够按提供的操作规程适用产品,并熟悉理性维护的程序服务响应软件系统出现故障,我方接到甲方故障电话后,1小时内对问题做出响应并制定应急策略,在2小时内赶到用户现场,并且在12小时内解决问题紧急援助出现紧急情况时,在客户的书面要求下,可提供不限于我方原服务范围的服务
7.2售后服务保证措施
7.
2.17×24小时技术支持服务为确保用户关键任务的正常运行,我公司将充分保障用户得到最快的技术支持响应,快速、准确、直接地解决用户的应用运行问题
7.
2.2客户服务锐之旗面向行业用户,拥有专职的客户经理队伍,提供派驻式一对一服务和一体化专业解决方案
7.
2.3高效快速的现场服务响应对于不能通过电话解决的紧急应用故障,我方将在接到客户电话2小时内派遣技术支持人员,并令其携带所有诊断工具和软件抵达客户现场解决问题对于保修期外,双方可续签服务合约,合同费用中应包含现场/电话技术支持、软件升级、技术咨询、方案规划等费用
7.3售后服务流程
7.
3.1技术支持在用户需要技术支持服务时,可以通过热线电话、传真或者电子邮件的形式通知我公司,我公司将在第一时间派遣技术人员,并与用户联系,了解用户的准确需求如果是系统运行问题,技术人员将会对问题的相关现象进行详细记录,同时为用户提供解决方案,或者告知明确的答复时间,随后组织相应的技术力量对问题进行分析,指定解决方案在系统运行过程中,可能出现的故障主要包括以下几类操作错误、软件错误、配置错误、通讯线路错误、硬件故障,我公司在收到用户的故障服务请求之后,将充分搜集故障信息,分析故障的种类,根据不同故障采取相应的解决方案,视具体情况对用户进行电话支持或者现场服务,必要时协调相关厂商的技术人员共同研究并解决问题
7.
3.2软件升级我公司在接到相关软件产品的升级通知后,会在第一时间得到该升级软件,并且对该升级软件进行分析,判断其升级的意义与作用,然后通知相关用户,与用户单位的技术人员一起分析该软件升级的意义,以判断是否有必要对该软件进行升级,如果有必要,则我公司负责编写详细的系统升级安装指导,与升级软件一起分发到相关的用户单位,由用户单位的技术人员进行软件升级工作当升级工作遇到问题时,用户可以通过热线电话获得技术支持,如果问题仍没有得到解决,我公司将会派出技术人员提供现场服务,确保软件升级工作顺利完成
7.
3.3其他免费服务除了指定年限的免费维护服务外,我公司还将提供以下免费服务
1、定期巡检在系统建成后,我公司每半年将至少进行一次现场系统健康检查,由专业技术人员采用先进的检测与分析工具对系统进行诊断,提出系统优化建议与措施
2、定期访问交流我公司每年将至少进行一次技术交流活动,同时为用户提供以下服务内容1)系统巡查检情况分析报告;2)最新产品介绍与业界动态信息;3)系统维护应用经验;4)系统运行故障及投诉分析报告5)。