办公自动化基础应用平台设计
2015-01-16田卫蒙
田卫蒙
(西安邮电大学 学校办公室,陕西 西安 710121)
目前大多数企事业单位已经拥有了专门的信息化管理机构和大量的信息化资源,但是并没有实现这些信息化资源的统一有效协作使用,亟需对分散的信息化系统(如财务管理系统、人事管理系统、工资管理系统等)进行统一整合,以实现企事业单位办公系统的自动化和高效化。
著名的诺兰模型描述了信息系统进化过程中必经的6个阶段,即初始阶段、扩展阶段、控制阶段、统一阶段、数据管理阶段和成熟阶段[1]。任何组织在实现以计算机为基础的信息系统时都必须从一个阶段发展到下一个阶段,不能实现跳跃式发展。通过统一阶段管理层面的整合,将各自为战的业务系统纳入一个统一的信息化平台框架中,不仅为用户带来更好的应用体验,而且为后面数据层面的整合打下了良好的基础。为了实现统一阶段系统整合的目的,必须有一个能够满足整合要求的基础平台来归纳各种信息资源。
文中提出了一种办公自动化基础应用平台,能够为企事业单位快速建立统一整合、安全可靠、随需而变的信息系统提供支撑。采用了业界领先的SOA设计理念[2],按照基于标准化服务的方式建立企业信息化系统,提供信息系统开发和整合所必需的Web服务,如统一身份认证、统一权限管理、统一系统审计、统一门户、互信机制、工作流引擎、文件传输、即时通讯等,并且提供大量二次开发接口和应用实例。
1 基础应用平台的特点
为了能够充分满足信息化进程统一阶段的整合需求,信息系统基础软件平台应该具备如下特点:
1)基础数据统一:组织结构、岗位、用户、角色等基础数据在各个应用子系统中保持一致。
2)3A 统一:实现认证(Authentication)、授权(Authorization)和审计(Audit)的统一[3]。3A统一是组织安全设施的基础,能对用户身份和内容安全进行有效的保护和控制。
3)统一的信息门户:提供统一的信息门户作为各应用模块的入口,能够不断整合新的信息资源,可根据资源整合需要进行内容配置,可根据用户需要进行个性化界面定制,提供门户层面的模块访问权限管理。
4)面向服务的体系架构(SOA):具体应用程序的功能是由一些松耦合并且具有统一接口定义方式的服务组件组合构建而成,对迅速变化的业务环境具有良好适应力。
5)具备二次开发能力:具备统一的基础服务,提供整合所需的各种服务接口和开发文档,为二次开发提供必要的支持。
2 基础应用平台的设计
2.1 平台技术架构
基础平台采用B/S和C/S混合模式,基于SOA面向服务的多层体系结构设计,其技术架构如图1所示。平台包括基础服务层、业务逻辑层和表现层,由应用安全控制中心负责应用层面的安全,通过开发接口为应用模块提供服务。
图1 平台技术架构Fig.1 Architecture of the Platform
2.2 基础服务层
基础服务层是平台的支撑,为业务应用提供最基本的服务功能。平台将应用系统所共同需要的功能或数据进行归纳抽取,通过API或者Web Service方式[4]开放出来,供应用模块调用,既可以避免重复性开发造成的资源浪费,又能够保证不同应用之间业务逻辑的一致性。
可提供的基础服务主要包括:
1)数据库访问服务:数据库访问服务受安全平台控制,只有合法用户才能调用该服务进行数据访问。通过该机制,使得数据库的安全性除了受数据库本身用户管理的安全保护外,还受平台安全保护,从而加强了数据访问的安全性。
2)文件传输服务:平台提供文件安全传输组件供各个模块调用。用户登录系统成功后,所有文件传输将采用动态密钥对传输数据进行加密[5],可以确保每次登录成功后文件传输的不可重复性,以防他人恶意截取网络传输数据包进行解密分析。在保证文件传输安全的同时,还可以大大提高HTTP协议下的文件传输速度,并实现断点续传[6]。
3)集成门户服务:集成门户服务能够将各个应用模块的入口和重要信息整合到一个统一的门户界面中,使用者可以通过这个门户浏览重要信息或快速进入所需模块,并且可以根据需要对门户界面进行个性化配置。
4)流程服务:平台提供图形化的流程定义工具和与数据无关的通用工作流驱动引擎,业务模块通过调用流程服务接口,能够驱动任意类型的数据在流程框架中按设计好的流程自动流转。流转过程中每一个环节的数据都会被系统记录在案,用户能够随时查看流转历史记录,确保了数据处理过程的不可抵赖性。
5)信息发布服务:平台提供可配置的信息发布服务,用户可以自行配置信息发布的栏目、风格和管理模式,各个应用模块均可通过信息发布接口将数据直接发布到所需栏目中。
6)定时提醒服务:平台提供统一的定时提醒数据接口,可以为各种应用提供定时提醒功能。定时提醒服务会定时检查提醒任务列表,按照设定的提醒频率,在指定时间将提醒信息通过即时消息或手机短信发送给用户。
7)互信服务:通过互信技术,用户可以根据需要,在若干个平台之间建立互信关系,允许用户相互跨平台访问,从而将各个单位的信息系统联结起来,形成真正互通互联的大系统。这种机制将单位内部信息的独立性和单位之间信息的关联性完美地结合在一起,尤其适用于多个平台分布式部署。
8)消息服务:消息服务可以帮助应用系统实现一对一或一对多的消息发送,将重要信息实时推送到目标用户的桌面。利用平台互信机制,不同的平台用户之间也能够象在一个平台上一样进行通讯,这使得平台用户几乎可以无限制的增长,充分满足了多平台分布式部署的扩展要求。
2.3 业务逻辑层
业务逻辑层由利用基础服务建立起的多个业务应用构成,直接解决最终用户的具体使用需求。平台采用的插槽架构,可以将各种业务应用以插件的方式整合到平台中,使整个系统具备良好的扩展能力和升级能力。
业务逻辑层的应用虽然在程序上各自独立,但都是建立在统一身份认证和统一授权体的基础之上,通过统一的基础服务完成业务处理过程,因此能够在基础数据和处理逻辑上保持一致性和完整性。平台内置了即时通讯和信息发布两种业务应用,可以满足绝大多数用户信息发布与沟通交流的需要。
2.4 表现层
表现层是业务逻辑层的最终展现。平台提供信息门户网站作为B/S应用的统一展现界面,并通过即时通讯客户端的软件频道为C/S应用提供入口。
B/S类型的业务应用可以通过集成门户服务注册到信息门户网站中,用户登录门户网站后,可以通过导航菜单快速进入所需业务模块。
C/S类型的应用程序可以通过软件配置注册到即时通的软件频道中,从而实现对C/S业务应用的整合。
平台的网站登录和即时通登录使用的是统一的身份认证服务,因此无论是B/S应用,还是C/S程序,都可以通过表现层实现单点登录[7]。
2.5 应用安全控制中心
应用安全控制中心负责完成基础数据维护和统一的3A(认证、授权、审计)管理。
1)统一基础数据维护:基础数据是信息系统中所有基础服务和业务应用都需要共享的数据,必须在各个模块中保持一致,一般包括组织结构、岗位、用户、角色。只有基础数据统一,3A管理才能统一。平台提供完整的组织结构管理功能,支持岗位和角色概念,支持用户兼职,支持分级用户管理,支持与其他用户管理系统的数据同步,并且能够对用户数据进行电子签名,以确保用户身份数据安全。
2)统一身份认证:平台采用统一的身份认证服务,并通过接口为基础服务及业务应用提供当前用户的身份信息,从而实现单点登录。除普通的密码登录方式外,平台还支持PKI/CA体系的数字证书登录,确保身份认证过程安全可靠。
3)统一权限管理:平台将授权过程抽象为授权方、被授权方、操作权限、操作范围这4个基本要素,建立起通用的授权模型,任何应用只要简单的进行权限注册,就可以马上为自己的模块建立起企业级的权限管理体系,不仅能够实现复杂的权限范围控制,而且支持权限分级下发。统一集中的授权模式也使整个系统的权限分布清晰明了,便于查询和管理。
4)统一信息审计:信息审计系统独立运行,由专门的审计系统管理员负责管理,其审计范围可覆盖整个平台,准确记录各应用系统关键操作和敏感数据的异动信息。审计系统管理员不受平台系统管理员控制,从而对平台系统管理员的工作起到监督作用。审计系统可与平台使用不同的数据库,以达到更高的安全级别。
2.6 集成PKI/CA应用
平台内建对PKI/CA应用[8]的支持并可支持多家CA系统厂商。PKI/CA具体应用于使用数字证书进行身认证、工作流程引擎中操作数据的数字签名与校验、通用信息发布系统应用数字证书实现数字签名与校验、流程引擎中实现文件的数字证书加密解密(需要CA系统厂商提供相关接口)等。
支持多种数字证书应用的技术途径:
1)广泛应用的微软CSP方式,提供CSP接口支持的CA系统,平台已提供内建的支持,通过简单配置即可实现集成应用;
2)CA系统厂商仅提供开发包(SDK)的方式,平台使用适配器机制,仅需要开发CA系统厂商专用适配器程序,然后更新平台底层增加对此适配器的支持即可实现对特定CA系统的集成。
3 基础平台的应用
业务逻辑层的不同应用分别对应用户的不同需求,通过对业务应用进行分类整合,可以形成多种业务解决方案。以项目管理平台为例,它是基于基础应用平台构建的满足企事业单位项目管理需求的解决方案,除了基础平台自带的即时通讯和信息发布外,还提供以下应用:
1)合同管理:合同管理分公司端合同和项目端合同,对合同的信息、资金、变更、索赔、会签进行管理,通过图表、报表方式查询统计合同相关信息。
2)进度管理:进度管理包括网络计划编制、产值计划制作、产值统计3个功能模块。网络计划用网络图方式表现项目各工序之间的逻辑关系,通过前锋线进行进度调整,通过计划、执行、调整、再计划实现项目进度管理;产值计划按项目组织结构、项目单位工程分解对单位工程下挂接的具体的施工清单进行计划安排,协助项目负责人掌握工程进度安排情况,确保工期满足要求;产值统计按项目组织结构、项目单位工程分解对单位工程下挂接的具体施工清单进行实际完成量汇报。协助项目负责人掌握项目实际进度状况,当发现项目进度滞后时,可以协助进度落后原因分析,通过采取资源合理调配、计划调整、再计划使工程进度处于可控状态。
3)成本管理:成本管理主要对项目进展过程中发生的成本进行归集,通过挣值分析法对项目计划成本、挣值成本、实际成本进行对比分析以红绿灯方式表现成本的具体状态,如超支、节约、正常,帮助项目负责人及时掌控项目的成本。成本管理系统包括业主计量、分包计量、项目费用、挣值分析等模块。
4)物资管理:物资管理系统进行项目物资总计划编制、采购计划编制和审批,管理物资采购合同和租赁合同,对物资出库、入库和材料调拨进行控制,对合同履行过程中发生的来往资金进行管理,通过供应商库管理供应商信息,对供应商资信进行评价。系统提供对材料、资金、合同、供应商等相关信息的查询统计功能,协助物资管理人员掌握项目物资成本。物资管理系统包括计划管理、库存管理、合同管理、供应商管理、收支管理、统计报表等模块。
5)综合管理:以图表方式表现单体项目或项目群组的合同执行情况、成本进度情况,能够按项目任意分类形式进行汇总统计。
4 结 论
基础应用平台为信息资源的整合和业务应用的扩展提供了一个坚实可靠的平台基础。基于基础应用平台的二次开发会更有效率,基于基础应用平台运行的应用会更加安全稳定。
平台的基础服务在不断的完善和扩充,每一项技术改进、每一次功能提升,都能够被构建于平台之上的业务应用所分享。不同的开发者之间甚至可以交换各自基于基础应用平台开发的应用,以便在各自领域为用户提供更加全面的服务。
基础应用平台的进步带动所有应用一起进步,基础应用平台的扩展推动所有解决方案一同扩展,这正是基础应用平台体现的价值。
[1]黄松,郭伟.基于诺兰模型的高校信息化建设趋势分析与展望[J].江汉大学学报:自然科学版,2013,41(1):71-75.HUANG Song,GUO Wei.Analysis and prospect of university information development tendency based on nolan model[J].Journal of Jianghan University:Natural Science Edition,2013,41(1):71-75.
[2]Thomas Erl,Benjamin Carlyle,Cesare Pautasso, 等..SOA与REST:用REST构建企业级SOA解决方案[M].马国耀,申健,刘蕊,译.北京:人民邮电出版社,2014.
[3]宋贵全.基于RADIUS协议3A服务器的设计 [J].电脑知识与技术,2012,8(19):4598-4600.SONG Gui-quan.Design of 3A server based on RADIUS protocol[J].Computer Knowledge and Technology,2012,8(19):4598-4600.
[4]王景丽.基于Web Service的中小企业信息化平台的设计与实现[D].杭州:浙江工业大学,2012.
[5]Sean Convery.网络安全体系结构[M].田果,刘丹宁,译.北京:人民邮电出版社,2013.
[6]王佳亮.一种商用文件传输系统[J].计算机系统应用,2014,23(3):71-76.WANG Jia-liang.Commercial file transmission system[J].Computer System and Applications,2014,23(3):71-76.
[7]谢巍.基于PKI的单点登录系统的设计与实现[D].北京:北京邮电大学,2012.
[8]贺靖靖.基于PKI/PMI体系下的匿名认证方案研究[D].开封:河南大学,2013.
