经开区项目建设方案.doc

国国家家级级长长沙沙经经济济技技术术开开发发区区管管理理委委员员会会 协协同同办办公公系系统统建建设设方方案案 湖南科创信息技术股份有限公司 地址：湖南省长沙市雨花区韶山南路 22 号电子 楼电话传真网址： 说明：本方案中所包含湖南科创信息技术股份有限公司（以下简称科创信息）观点。科创信息保证提供 的任何信息的准确性及可实施性。作为未实施前之技术文案，科创信息拥有其所有版权。且需方不得用 作商业之领域，并予以散播流转。湖南科创信息技术股份有限公司将保留追索之权利。 目目 录录 1.1.项目概述项目概述 .- 4 - 1.1.项目背景 .- 4 - 1.2.项目建设目标 .- 4 - 1.3.项目设计原则 .- 5 - 2.2.整体设计方案整体设计方案 .- 6 - 2.1.系统建设思路 .- 6 - 2.2.整体技术架构 .- 7 - 2.2.1.技术路线.- 7 - 2.2.2.技术架构.- 7 - 2.2.3.系统平台架构.- 9 - 2.3.运行环境 .- 11 - 2.3.1.服务器端软件.- 11 - 2.3.2.客户端.- 11 - 2.3.3.典型部署网络拓扑结构.- 12 - 2.4.安全设计 .- 13 - 2.4.1.严密的身份认证体系.- 13 - 2.4.2.SSL加密访问.- 15 - 2.4.3.VPN虚拟安全网.- 15 - 2.4.4.科学的授权管理.- 17 - 2.4.5.安全审计.- 20 - 2.4.6.数据存储安全.- 21 - 3.3.方案功能设计说明方案功能设计说明 .- 21 - 3.1.门户自定义平台 .- 21 - 3.2.信息管理平台 .- 22 - 3.3.工作流程平台 .- 23 - 3.4.公文管理与交换 .- 25 - 3.4.1.公文管理.- 25 - 3.4.2.公文交换.- 28 - 3.5.综合应用平台 .- 29 - 3.6.通讯沟通平台 .- 32 - 3.7.个人办公平台 .- 33 - 3.8.系统管理平台 .- 36 - 3.8.1.基础设置.- 37 - 3.8.2.自定义平台.- 38 - 3.8.3.安全管理.- 38 - 4.4.其他辅助功能说明其他辅助功能说明 .- 38 - 4.1.短消息服务 .- 38 - 5.5.系统集成方案系统集成方案 .- 40 - 5.1.电子签章 .- 40 - 5.1.1.电子签章单机版.- 40 - 5.1.2.电子签章网络版.- 42 - 5.1.3.应用场景.- 45 - 5.2.即时通讯（RTX） .- 46 - 5.3.档案系统 .- 50 - 5.4.外部邮件 .- 50 - 5.5.电子传真 .- 50 - 1.1. 项目概述项目概述 . 项目背景项目背景 信息化是先进生产力发展的一个基本方向和重要标志。以微电子、软件、计算机、通 信和网络技术为代表的数字信息技术，是迄今为止人类社会技术进步过程中发展最快、渗 透最强、应用最广的高新技术。信息技术的发展与应用，加速了产业升级，促进了资源优 化配置，推动了经济全球化的进程，使生产力得到空前释放和提高。当前，信息化水平已 成为衡量一个国家和地区的竞争力、现代化程度、综合实力和经济成长能力的重要标志。 未来五年，是我国实现全面建设小康社会奋斗目标的奠基阶段。国家制定了信息化发展规 划，并加强了对全国信息化建设的组织领导和宏观管理。各省市也纷纷启动实施数字化工 程，力求通过大力推进信息化来带动工业化、促进现代化。 自 90 年代启动政府上网工程以来，大部分政府部门都已经建立了互联网站和办公自动 化系统，推出了一些针对社会公众的网上办公业务，这些对外电子服务对政府内部和政府 之间的协同办公与业务处理提出了更高要求。如果忽视内部信息化的建设，那么政府机关 后端传统低效的工作，将无法有效支持前端公开服务对数据处理的要求，影响电子政务系 统的有效运转。电子政务的目标，就是在做好政府部门内部（Intranet） 、政府部门之间 (EXtranet)业务处理信息化的同时把政务面向社会公众(Internet)，开展网络办公业务， 并在三者之间形成一个无缝协同的网络应用环境，有效利用政府资源，提高办事效率。 . 项目建设目标项目建设目标 国家级长沙经济技术开发区管理委员会办公自动化系统建设的总体目标是在电子政务 平台上构建网络互联、信息共享、安全可靠的办公自动化系统，以网络为依托，优化业务 流程，提高办公效率，建立规范的业务和科学的宏观管理体系。 1 1、实现办公业务的全程化管理、实现办公业务的全程化管理 利用信息技术，优化各项业务处理模式，实现业务受理、审批、阅办、报结、存档、 督办、查阅等全过程计算机处理，提高办事效率。同时为网上办公积极创造条件，逐步实 现从目前手写操作到计算机全程操作的过渡，从有纸运转办公到无纸化办公的转变，从进 门办公到网络传输办公模式的进化。 2 2、强化内部宏观管理强化内部宏观管理 利用系统的先进性，对全年工作进行科学合理安排，将目标任务逐层分解，明晰总体 要求，确定阶段任务，提示当前工作，明确职责，强化目标责任管理，增强每个单位、每 位工作人员的工作责任心，有力保证工作任务按时完成。同时通过系统的管理功能，加大 对工作开展情况的督查督办，目标考核单位随时可以对上级交办任务的完成情况、基层单 位及职工提交的建议、咨询、投诉的处理情况进行监督，促使高效、务实工作作风的形成。 3 3、提供丰富信息资源、提供丰富信息资源 利用互联网优势，提供实时内参信息，满足不同办公层次业务需求。即时收集各级单 位政务信息，掌握工作开展情况，综合分析各类业务数据，积极指导各地业务工作。广泛 收集相关行业、领域重要信息，科学分析把握对本单位工作的影响，为决策提供可靠依据。 . 项目设计原则项目设计原则 全部系统设计按照“统一标准、规范流程、分步实施、分层管理、信息共享”的系统 建设基本思路，依据国家有关标准规定，合理规范现有业务流程，实现部门自我调控，方 便工作需要，利于宏观监督管理，分步建设办公自动化系统。系统设计遵循以下原则： 1、标准性：系统所涉及的各项业务流程符合国家机关有关业务处理标准规范。 2、一体性：将各级单位协同办公应用需求纳入整个系统一并考虑，系统建设有统一数 据标准、安全标准和网络接口，并形成统一的核心应用软件平台。 3、经济性：避免重复建设，力争节约资金，对现有的办公网络充分利用、发挥效益。 4、扩展性：系统立足现行的业务需要，并同时为将来业务工作的发展和先进技术的应 用留有充分地扩展余地。 5、简单性：系统功能完善，但操作维护便利，界面友好，尤其对单位系统管理员而言， 无须复杂的技术培训和繁琐的编程，即可对应用流程进行调整和维护。 6、互联性：该系统可以与其它政务系统实现无缝联接，同时也可以与其它信息系统、 关系型数据库平滑联接。 7、可靠性：由于系统的特定用户群，在系统平台上将保证系统的可靠性。系统设计中， 采用可靠成熟的技术和平台产品，数据有适量冗余及其他保护措施，平台和应用软件具有 容错性、健壮性等。 8、开放性：在系统构架、采用技术、选用平台方面都有较好的开放性。选择产品都是 开放平台，既有自己独特优势，又能与多家优秀的产品组合，共同构成一个开放的、易扩 充的、稳定的、统一的系统。 9、伸缩性：考虑到信息化系统的建设是一个循序渐进、不断扩充的过程，系统采用积 木式结构，整体构架既考虑与现有系统的连接，又为今后的专项应用、新系统和决策支持 系统留有扩充余量。 10、可移植性：选择开放的应用平台，采用互联网主流纯 JAVA 技术开发，与平台无关， 以标准的接口与各种标准数据库互联互通。 2.2. 整体设计方案整体设计方案 . 系统建设思路系统建设思路 仔细分析国家级长沙经济技术开发区管理委员会的系统需求，不难看出，此次项目已 经不是传统意义上的“办公自动化”建设，实质是涉及面非常广的综合信息平台建设，包 含了门户建设、协同办公、系统整合、知识管理以及数据交换等多个部分。 从当前信息化的发展方向和趋势上看，信息化的发展已经从早期的单一应用开发转变 成体系化、结构化的发展方向，从早期的单一办公自动化、网站、业务管理系统转变成 “平台平台”“应用应用”“门户门户”的开发模式。 从各行业的信息化建设上看，陆续发现了历史上建设的各种系统产生的“条块分离” 、 “数据分离” 、 “系统复用性差” 、 “缺乏完整结构”等等问题，这些都成为信息化建设工作 进一步发展的瓶颈。而“平台平台”“应用应用”“门户门户”开发模式的出现，正是为了解决以开发模式的出现，正是为了解决以 往信息化建设过程中所遗留问题的根本解决方案往信息化建设过程中所遗留问题的根本解决方案。 此次协同办公系统就是要按照 “平台平台”“应用应用”“门户门户”的指导思想重新规划设 计，我们将围绕以下三个方面展开： 建设安全、稳定、开放的基础平台 提供电子化、流程化、规范化的协同管理应用 整合各类应用，搭建内部门户，为不同用户提供个性化服务 . 整体技术架构整体技术架构 2.2.1.技技术术路路线线 本次方案采用 J2EE 的技术路线，遵循 J2EE1.3 规范，EJB2.0 规范，Java 开发技术目 前已经成为主流开发技术，它具有很好的安全性、很好的可移植性，它具有以下优点： 平台无关性：用户不必将自己捆绑在某一种硬件或操作系统上，可以根据自身的情况 选择合适的硬件、操作系统、数据库。 J2EE 是一种组件技术，已完成的组件能被方便地移植到任何其它地方。 J2EE 作为中间件，提供了强大的功能，使开发人员只需要关注商业逻辑，因而能加快 开发速度，提高系统的运行效率和稳定性。 保护用户投资：当用户更换平台时，由于基于 J2EE 的系统能方便地移植到其它平台上， 而无须重新开发，因此能有效地保护用户的投资。用户可根据自身的预算情况、已有 的设备与系统、IT 人员的偏好等因素选择最适合的软硬件平台。 广泛的支持：J2EE 技术规范得到了从国际性大公司到自由软件开发者的广泛支持， SUN，IBM，ORACLE，NETSCAPE，BEA 等纷纷推出基于 J2EE 的软件产品。 2.2.2.技技术术架构架构 技术架构如下图所示： 1、表现层采用 struts 框架结构使得系统结构更清晰化，代码复用性强，易维护。 2、业务逻辑处理采用 session bean，它封装了对事务的处理，可以使程序运行更安全， 可以方便的分布式部署，使系统能承受很大的压力。 3、持久对方面采用 hibernate，使得系统数据库无关性，可适应主流关系型数据库，编 写程序时按照面向对象的方式写程序，可维护性高。 4、系统支持 ORACLE、Sqlserver、DB2 等数据库。具有很好的安全性、可移植性，真 正支持跨平台、跨系统、跨数据库应用。 同时，支持同时，支持 ejbejb 分布式部署方式，支持大用户数并发，在系统用户数大量增加的时候分布式部署方式，支持大用户数并发，在系统用户数大量增加的时候 直接通过扩展服务器达到无限级用户数的要求。此架构是我们很多客户用户数量在直接通过扩展服务器达到无限级用户数的要求。此架构是我们很多客户用户数量在 10001000 人人 以上的原因。以上的原因。 以上技术架构特点：以上技术架构特点： 充分考虑应用服务器的负载冗余； 充分考虑网络负载冗余； 通过硬件的扩展，支持无限用数同时在线的问峰值访问；峰值响应时间 1.91 秒 各项功能的性能不能随着用户数及数据量的增大有明显的衰减。 系统数据库数据量支持千万级数据量； 可与大型 ORACLE 数据库连接。 提供标准数据接口。 EJBHibernate VOVO 表现 层 业务 层 资源 层 关系数据库JSP Struts bd ActionIE 客户 层 2.2.3.系系统统平台架构平台架构 领导-管委会办公室-局室 本平台系列产品相结合，并集成第三方产品与第三方解决方案向提供不同访问群体的 门户，实现全面协同，其整体解决方案中包括以下组成部分： 1) 本平台系列产品本平台系列产品 协同管理平台：协同管理平台：协同管理平台是系列产品的基础平台，包括基础服务平台，内含 单位、组织、用户、权限等管理、各种开放接口，她具有：信息管理平台，实现 各种信息（word/eXcel 等各种格式）文档资料的分类管理、权限控制、查询、 跟踪信息查看状况，信息发布的审批等功能；利用数据库自定义、表单自定义， 基于 wfmc 标淮的图形化流程定义及强大的工作流引擎，结合手写意见、电子签 章实现各种办公与业务流程的流转及公文网上流转与办理情况查阅、自动归档等； 具有综合事务管理平台，包括会议管理、车辆管理、档案管理、问卷调查、办公 用品管理等内容，并提供了一个自定义平台允许用户自定义基础 CRM,资产管理 等等；以即时通讯、内部邮件、论坛、短信平台为内部提供丰富的交流手段，并 通过手机短信、即时通讯提醒实现待批流程到达提醒、邮件到达提醒与会议通知 提醒等全方位的提醒；具有个人办公功能,实现个人信息设置，个人工作汇报、工 作日志，工作日程及与团队共享日程，个人任务安排，及领导安排任务等。 图形化流程设计（扩展功能）：图形化流程设计（扩展功能）：为流程设计人员提供了一种所见即所得的图形化 设计界面，只需要对图标进行简单拖拽及属性设置就可以完成各种流程设置的所 有操作,图形化的设计界面将原本抽象的逻辑关系变得形象化，大大增加的系统的 易用性和人性化,作为外挂的流程设计器，其设计的流程须与工作流程引擎配合使 用。 短信服务（扩展功能）短信服务（扩展功能）：在本平台中，将手机短信服务做成一个独立的中间件服 务（用平台做中间件） ，系统中各模块工作流程、会议管理等模块都可以调用短信 接口向发送短信与取短信，通过所绑定的短信网关或设备将信息通过短信的方式 发送到相关人员的手机上，使信息传递更加迅速，办公效率大大提高，短信发送 可以通过短信设备(内置手机卡)、短信运营商账号与接口(服务器放于内部的系统 只能使用短信设备)来发送短信,作为独立的短信服务不仅可以为提供短信服务， 还可以作为其它业务系统的短信服务，通过提供的标淮短信接口向收发短信。 2) 第三方系统第三方系统 整合的第三方系统有： 即时通讯即时通讯（腾讯腾讯 RTX）为企业级即时通讯软件,与整合后与单点登录，为提供在 线感知与消息提醒功能。 档案系统档案系统:与科创档案系统进行整合，整合后实现公文、流程、信息等需要归档的 内容可以直接归档到档案系统中。 电子传真：电子传真：与整合后用户可以在系统中收发传真，电子传真可以作为独立的传真 服务。 外部邮件：外部邮件：实现单点登录，新邮件到达提醒等。 3) 第三方解决方案第三方解决方案 VPN（默认整合易联网默认整合易联网 VPN）:通过易联网 VPN 为管委会提供安全网络解决方 案，并为无固定 IP 的用户提供移动办公解决方案。 电子签章电子签章:可信电子签章为用户提供了可信任的身份，与 CA 不同的是 CA 需要的 是第三方公认的身份，而电子签章通过企业签发网络身份证书与相应的签名与签 章相结合来达到在系统应用环境里使用户可信任其身份。 CA 认证认证: 它是一个通过注册审核体系来检查核实身份和各项相关信息，签发网 络身份认证所需的数字证书，并对其进行管理的，权威的、可信赖的、公正的第 三方认证机构。它是网络身份认证和信赖的基础；是 PKI 体系安全的核心和关键 环节；它保证了网上用户的属性客观真实性与证书的真实性一致。 CA 认证与结合加强账号的安全性、并使得用户访问系统更加方便。 .运行环境运行环境 2.3.1.服服务务器端器端软软件件 应用服务器：应用服务器负责系统的访问服务以及中间逻辑运算处理，需要较好的硬 件配置。 项项 目目配配 置置 操作系统 Windows2000 以上版本、Linux,unix,AIX, solaris 等多种操作系 统 应用服务 IBM Websphere、BEA Weblogic、等支持 EJB 的服务器 Tomcat(标淮版) 数据库服务器：为整个系统提供数据存储服务的关键部分，在性能以及安全方面要求 较高。 项项 目目配配 置置 操作系统Windows2000 以上版本、Linux,unix,AIX, solaris 等 数据库系统SQLServer2000、oracle8.17 以上版本,db2,mysql 其它磁带机等数据备份设备 2.3.2.客客户户端端 用户只需要通过 WEB 浏览器就可以使用和管理协同管理平台。 项项 目目配配 置置 操作系统Windows98 或以上版本 浏览器IE6.0 以上版本 分辨率800 x 600 或 1024 x 768 以上 2.3.3.典型部署网典型部署网络络拓扑拓扑结结构构 图表 典型系统平台应用部署结构图 如上图所示，整个系统采用应用分层，多机集群模式，将系统负载分摊到多台服务器 上。整个系统由四部分组成。 负载均衡负载均衡 为合理分配用户访问，充分利用系统资源，建议采用专用的负载均衡设备，采用多种 静态和动态负载平衡方法（包括动态比率、最小连接和观测负载平衡 ） ，可跟踪一组服务 器的动态性能级别 ，从而确保可始终选中最佳资源以改进性能。 如果考虑投资预算，也可以采用 DNS 轮回，或是指定 IP 的方式进行简单的负载均衡， 当然和专业负载均衡设备相比效果会差一些。 系统应用层系统应用层 应用层承担所有用户的 WEB 服务和整个系统的逻辑运算。实际部署中，可以根据用 户数灵活设计应用服务器，在系统负载达到临界值时，可通过增加应用服务器的方法满足 用户需求。 （*注：注册用户数=在线用户数的 5-10 倍） 系统数据层系统数据层 数据层通过 Oracle，SQL Server 等关系型数据库提供数据服务。对于部分小规模 用户可以将数据层和应用层部署在一起，正常情况下，我们建议将数据层和应用层分别部 署在单独的硬件上。如单独采用两台服务器做双机热备，以确保全年 24 小时的不间断服 务以及数据安全。 其它辅助服务其它辅助服务 根据不同的客户应用，可以将系统平台的多个服务迁移出来，单独设置一台服务器。 例如：某些特别注重文档管理的用户，经常通过 FTP 服务上传文件，可以单独配置一台 FTP 文件服务器；对于某些特别注重内部即时沟通的用户，可以单独配置一台 RTX 即时通 信服务器。 .安全设计安全设计 应用系统安全是整个系统安全性的核心，因此我们从系统的身份认证、授权、安全审 计、数据加密等多个方面建立了整套完整的设计方案。 2.4.1. 严严密的身份密的身份认证认证体系体系 身份认证是系统安全的首要保证，系统针对应用的不同层次需要，提高多种认证方式。 1）支持）支持 CA 的安全的安全身份身份认证认证 CA 安全认证的原理简言之则是由第三方权威的、可信赖的、公正的第三方机构颁发 数字证书, 并将公开密钥同某一个实体（消费者、商户、银行）联系在一起，密钥的管理 政策是把公钥和实体绑定， 由 CA 中心把实体的信息信息和实体的公钥公钥制作成数字证书， 证 书的尾部必须有 CA 中心的数字签名。 由于 CA 中心的数字签名是不可伪造的， 因此实体 的数字证书不可伪造。CA 中心对实体的物理身份资格审查通过后，才对申请者颁发数字 证书， 将实体的身份与数字证书对应起来。由于实体都信任提供第三方服务的 CA 中心， 因此， 实体可以信任由 CA 中心颁发数字证书的其他实体，CA 与之结合后作为安全身份 认证的原理如下： OA访访问问控控制制模模块块 用用户户 CA证证书书库库 该该用用户户存存在在证证书书吗吗? 进进入入OA系系统统 存在 退出不存在 因为本系统采用的是因为本系统采用的是 BS 结构，因此应用改造的总体思路是：结构，因此应用改造的总体思路是： 利用数字证书来表达个人身份，代替原有的用户名/口令方式。 使用 PKI 系统目录服务器上的根证书、CRL 列表对数字证书进行校验。 利用 SSL 协议为信道提供高强度的加密，保证数据的传输安全。 根据数字证书中的身份信息从权限管理中心的目录服务器中获取用户的属性证书 解析出用户在该应用系统中的访问控制权限。 用户(IE) 认证模块(中间件)访问控制模块(中间件) PKI 目录 PMI 目录 CA 认证系统授权管理系统 应用系统(应用服务器) PKI 系统PMI 系统 系统改造后系统改造后授权访问授权访问流程如下：流程如下： PKI(既定标准的密钥管理平台)和和 PMI(PMI 是世界领先的非营利会员协 会的项目管理专业机构)认证认证 CA 认证系统为用户颁发数字身份证书； 授权管理系统按照公安部统一制定的授权策略为用户授权，将授权结果发布到 PMI 目录服务系统； 用户用数字身份证书登录系统； 系统采用 SSL 认证确认用户身份，并将身份信息传给访问控制模块； 中间件的身份认证模块根据用户的身份信息从 PKI 目录服务系统获取根证书、吊 销列表来验证用户身份的有效性。 通过身份认证后，用户证书将被提交给权限控制模块。 中间件的访问控制模块根据用户的身份信息从 PMI 目录服务系统获取用户的角色 信息，传给系统的原权限控制模块。 2）令牌认证）令牌认证 USBKEY 是本平台进行用户身份认证的工具，是比单纯的“用户名+密码”更为安全 的基于双因素认证的解决方法。作为一个价格适中的身份识别令牌，它提供所有智能卡和 密码令牌的可靠性、简便性和安全性，同时避免了读写设备的复杂安装和昂贵开销。 系统管理员可以给对安全性要求特别高的特殊用户分配 USBKEY。这部分用户在登陆 平台时必须将自己的 USBKEY 插入 PC 机的 USB 接口。 通过选择某个用户是否需要令牌认证可以让部分重要帐号使用令牌认证的方式更安全， 部分用户使用用户名与密码的方式认证。 2.4.2. SSL 加密加密访问访问 支持 SSl 加密方式访问，可以对数据进行加密传输。 2.4.3. VPN 虚虚拟拟安全网安全网 VPN 解决方案默认整合易联网 VPN，如果需要可以与 VPN 绑定。 1) 简介简介 管委会无需采购任何专用网络硬件设备，仅需简单的易联网软件安装，就可以让管委 会在互联网上建立私有的专用线路，使所选用的电脑终端和服务器加入到一个虚拟的专用 网络中，实现相互访问、协同工作和双向通讯，从而提高管委会的办公效率、降低通讯费 用和增加收益。 相互相互访问访问协协同工作同工作双向通双向通讯讯 远程访问文件和电脑，感觉 在政务内网一样 通过共享文件（如：财 务报表、法律文件等） 和应用软件 通过语音、视频和文本消息 和同伴沟通文档、讲义胶片 和电子白板 访问管委会的应用：财务、 电子邮件、OA/CRM/ ERP 服务器、文件备份 共同查阅和修改文档， 仿佛大家坐在一起，在 同一电脑上工作一样 任何需要电脑互连的应用软 件（如：远程桌面和数据库 等软件） 仅需有仅需有 Internet 连接易联网就可以为电脑终端提供安全网络互联连接易联网就可以为电脑终端提供安全网络互联 只要简单地在电脑上安装易联网客户端软件，无须额外的配置和管理； 使用界面和在管委会内部网络一样任何可以在管委会内网使用的应用软件都任何可以在管委会内网使用的应用软件都 可以在易联网中使用可以在易联网中使用，所不同的是无须将电脑搬到一起； 用户加入易联网时仅要求每个用户提供密码进行身份验证（易联网系统采用双因 子认证用户身份：即用户名/密码和数字身份证书，也可以提供 USBKey 硬件身 份验证机制） 。 易联网业务平台的技术规范易联网业务平台的技术规范如下：如下： 基于标准的安全和隧道协议基于标准的安全和隧道协议 IPSec 国际认证的安全加密协议，保证在互联网上数据传输的安全 IKE（ISAK MP/Oakley） ESP 加密算法加密算法 168 位三重 DES AES（128 bit） AH 认证算法认证算法 HMAC with SHA-1（160 bit） 支持第三方认证服务器支持第三方认证服务器 RADIUS 2) 易联网解决方案特点易联网解决方案特点 采用易联网业务建设的管委会分支机构联网和移动办公网络具有如下特点： 高度安全防护高度安全防护 所有的电脑终端和服务器都可以位于安全的政务内网中，有效避免来自公网的病 毒和黑客攻击； 便捷灵活组网、节省费用便捷灵活组网、节省费用 无须改动管委会端现有网络，无需增加和修改硬件设备，无需公网 IP 地址，就 可以实现跨地域、跨运营商互联； 用户使用界面友好用户使用界面友好 采用专利技术通过简单的名字（而不是复杂、难记的 IP 地址）相互访问易联网 中的成员； 简便的差异化用户管理简便的差异化用户管理 用户（无须是 IT 专家）通过安全的易联网管理页面，在几分钟内完成易联网的 设置，对不同身份的用户设置不同访问权限； 自适应各种网络接入方式，随你走遍天涯海角；自适应各种网络接入方式，随你走遍天涯海角； 2.4.4. 科学的授科学的授权权管理管理 系统采用分散式权限管理模型，系统管理员可以下设普通管理员，普通管理员可以再 设模块管理员，从而实现分层管理。管理员管理系统的基本设置，各功能模块的设置交由 模块管理员管理实现分块管理。 为了实现分级管理体系，采用四维权限模型及分级设计思想来实现： 四维权限管理模型四维权限管理模型 传统的权限模型是由组织、权限、角色，四维权限模型就是在传统三维模型的基础上 增加了第四维:数据范围,通过设定数据范围,我们可以很方便地将某一用户所具有的某一功 能权限限定在一特定的数据范围内。 有了四维权限模型，在协同办公中模拟复杂的工作分工就变得轻而易举了，这大大强 化了协同办公系统的可用性和安全性，让我们广大用户可以轻松、完美地通过协同办公实 现管理电子化，充分发挥电子化办公的强大优势，提高工作效率，产生巨大效益。 多级管理角色多级管理角色 系统中的管理用户分成如下三种角色： 系统管理员系统管理员 系统管理员是一种系统安装时默认的具有最高权限的角色，系统管理员这个角色下的 默认权限就是系统管理，拥有系统管理员权限的用户可以管理整个系统管理模块，例如创 建组织、用户、分配用户角色、创建普通管理员角色。 普通管理员普通管理员 普通管理员的权限比系统管理员小，普通管理员可以在自己的组织之下创建下级组织 及维护自己组织之下的用户，系统管理员与普通管理员的关系如下图所示。 关键用户关键用户 关键用户是针对某个应用的管理与设置的角色，例如论坛，论坛需要设置论区及对恶 意帖子的删除与管理，这个管理功能不放在系统管理里而是放在论坛这个模块里，通过权 限控制让有权限的人可以使用，一般用户发帖子即可，具有这个管理权限的用户我们称之 为关键用户。 数据范围分级数据范围分级 以上三种角色的数据范围关系如下图所示： 系系统统管管理理员员 普通管理员 关健用户 系统管理员可以管理全部的数据范围，即系统管理员 在授于一个用户权限时可以授予全部的范围。 普通管理员是系统管理指定其管理一定范围的组织与 用户。 普通管理员在授予某个用户权限时不能超过普通管理 员本身的管理范围，即普通管理员在管理范围内授予 的关健用户的数据范围小于等于普通管理员的管理范 围。 数据共享机制数据共享机制 在分级管理体系下如何实现共享数据？分级管理体系使得各单位管理相对独立，数据 也相对独立，普通管理员所创建的人员只能发布数据在普通管理员管理的范围内查看，如 果某单位的数据需要发布到外单位查看时如何处理? 在分级管理体系下由系统管理员控制各单位之间的数据共享。 各单位共 享数据 集团数据 国际公司 数据 长长江江实实业业 数数据据 红豆股份 数据. 各各单单位位共共享享的的数数据据由由系系统统管管理理员员控控制制创创建建权权限限，即即因因为为各各单单 位位创创建建的的普普通通管管理理员员所所创创建建的的权权限限都都不不能能超超越越其其管管理理范范围围， 因因此此各各单单位位需需要要共共享享数数据据给给其其他他单单位位时时由由系系统统管管理理员员控控制制创创 建建权权限限，例例如如系系统统管管理理员员给给长长江江实实业业小小王王信信息息管管理理的的新新增增范范 围围为为全全部部，由由小小王王在在发发布布信信息息时时可可以以给给全全集集团团的的人人员员查查看看， 反反之之其其他他的的人人创创建建的的信信息息只只能能在在长长江江实实业业范范围围内内的的人人员员查查 看看。 2.4.5. 安全安全审计审计 在系统设计中，系统管理部分重点建立了系统的操作日志以及自动预警功能。 根据需要，系统可以记录下来用户的每一次或重要操作的日志，并提供对日 志的分析功能 系统同时具有自动预警功能。对于非法操作，系统会根据设定的操作级别采 用设定的形式自动报警（比如给系统管理员发送电子邮件、短消息、在线消息） ，并根 据定制的策略实现资源的自我保护功能（如锁定账户、锁定要访问的资源、锁定访问 IP） 。 2.4.6. 数据存数据存储储安全安全 系统数据分别保存在数据库中和文件夹中： 数据库加密 对于保存在数据库中的数据我们考虑到性能问题，选择了部分比较重要的关键数据进 行加密存储； 物理文件 大量的数据都是以物理文件的形式保存在文件服务器指定的文件夹中，对于这部分数 据的加密是可配置的，默认情况下考虑到系统性能问题文件是不加密的，如果需要也 可以对这部分文件进行加密存储。 3.3. 方案功能设计说明方案功能设计说明 . 门户自定义平台门户自定义平台 门户自定义平台集成来自于系统各模块，来自于互联网及各应用系统的信息并根据不 同的单位不同的岗位人员关注的内容不一样为用户提供个性化的集成界面，使的每个人进 入协同办公系统后显示自己关注的内容，极大地提高工作效率。 门户自定义平台主要功能特点如下： 每个单位每个岗位人员的首页内容可以不一样每个单位每个岗位人员的首页内容可以不一样 系统可以根据不同的人（或组织）关注的内容不一样由管理员给不同的人定义不同的 首页。例如领导的首页与其他用户首页的内容不一样，上级单位与下属单位的首页不一样。 每个功能模块的新信息都可以放在首页上每个功能模块的新信息都可以放在首页上 我们把整个系统的多个功能模块的最新信息做成一个个的小模块，管理员可以根据不 同的人关注的内容不一样为不同用户定义不同的内容并且可以定义显示的条数。 首页上每个功能模块的位置可以调整及信息条数可以调整首页上每个功能模块的位置可以调整及信息条数可以调整 管理员可以通过拖拉的方式设置每个功能模块的位置及每个功能模块信息的条数。 整合整合 RSS 技术，成为技术，成为 RSS 阅读器阅读器 系统还整合最新的内容聚合技术 RSS，将用户关注的一些 RSS 种子引入到系统中， 另外系统提供文本、图片、视频等多种小模块，让管理员可以方便地进行设置。 通过二次开发接口，可方便地集成各业务系统的最新信息通过二次开发接口，可方便地集成各业务系统的最新信息 可以通过系统开放的自定义模块接口将各业务系统的最新信息通过二次开发的方