田衛(wèi)蒙

（西安郵電大學 學校辦公室，陜西 西安 710121）

目前大多數企事業(yè)單位已經擁有了專門的信息化管理機構和大量的信息化資源，但是并沒有實現這些信息化資源的統一有效協作使用，亟需對分散的信息化系統（如財務管理系統、人事管理系統、工資管理系統等）進行統一整合，以實現企事業(yè)單位辦公系統的自動化和高效化。

著名的諾蘭模型描述了信息系統進化過程中必經的6個階段，即初始階段、擴展階段、控制階段、統一階段、數據管理階段和成熟階段[1]。任何組織在實現以計算機為基礎的信息系統時都必須從一個階段發(fā)展到下一個階段，不能實現跳躍式發(fā)展。通過統一階段管理層面的整合，將各自為戰(zhàn)的業(yè)務系統納入一個統一的信息化平臺框架中，不僅為用戶帶來更好的應用體驗，而且為后面數據層面的整合打下了良好的基礎。為了實現統一階段系統整合的目的，必須有一個能夠滿足整合要求的基礎平臺來歸納各種信息資源。

文中提出了一種辦公自動化基礎應用平臺，能夠為企事業(yè)單位快速建立統一整合、安全可靠、隨需而變的信息系統提供支撐。采用了業(yè)界領先的SOA設計理念[2]，按照基于標準化服務的方式建立企業(yè)信息化系統，提供信息系統開發(fā)和整合所必需的Web服務，如統一身份認證、統一權限管理、統一系統審計、統一門戶、互信機制、工作流引擎、文件傳輸、即時通訊等，并且提供大量二次開發(fā)接口和應用實例。

1 基礎應用平臺的特點

為了能夠充分滿足信息化進程統一階段的整合需求，信息系統基礎軟件平臺應該具備如下特點：

1）基礎數據統一：組織結構、崗位、用戶、角色等基礎數據在各個應用子系統中保持一致。

2）3A 統一：實現認證（Authentication）、授權（Authorization）和審計（Audit）的統一[3]。3A統一是組織安全設施的基礎，能對用戶身份和內容安全進行有效的保護和控制。

3）統一的信息門戶：提供統一的信息門戶作為各應用模塊的入口，能夠不斷整合新的信息資源，可根據資源整合需要進行內容配置，可根據用戶需要進行個性化界面定制，提供門戶層面的模塊訪問權限管理。

4）面向服務的體系架構（SOA）：具體應用程序的功能是由一些松耦合并且具有統一接口定義方式的服務組件組合構建而成，對迅速變化的業(yè)務環(huán)境具有良好適應力。

5）具備二次開發(fā)能力：具備統一的基礎服務，提供整合所需的各種服務接口和開發(fā)文檔，為二次開發(fā)提供必要的支持。

2 基礎應用平臺的設計

2.1 平臺技術架構

基礎平臺采用B/S和C/S混合模式，基于SOA面向服務的多層體系結構設計，其技術架構如圖1所示。平臺包括基礎服務層、業(yè)務邏輯層和表現層，由應用安全控制中心負責應用層面的安全，通過開發(fā)接口為應用模塊提供服務。

圖1 平臺技術架構Fig.1 Architecture of the Platform

2.2 基礎服務層

基礎服務層是平臺的支撐，為業(yè)務應用提供最基本的服務功能。平臺將應用系統所共同需要的功能或數據進行歸納抽取，通過API或者Web Service方式[4]開放出來，供應用模塊調用，既可以避免重復性開發(fā)造成的資源浪費，又能夠保證不同應用之間業(yè)務邏輯的一致性。

可提供的基礎服務主要包括：

1）數據庫訪問服務：數據庫訪問服務受安全平臺控制，只有合法用戶才能調用該服務進行數據訪問。通過該機制，使得數據庫的安全性除了受數據庫本身用戶管理的安全保護外，還受平臺安全保護，從而加強了數據訪問的安全性。

2）文件傳輸服務：平臺提供文件安全傳輸組件供各個模塊調用。用戶登錄系統成功后，所有文件傳輸將采用動態(tài)密鑰對傳輸數據進行加密[5]，可以確保每次登錄成功后文件傳輸的不可重復性，以防他人惡意截取網絡傳輸數據包進行解密分析。在保證文件傳輸安全的同時，還可以大大提高HTTP協議下的文件傳輸速度，并實現斷點續(xù)傳[6]。

3）集成門戶服務：集成門戶服務能夠將各個應用模塊的入口和重要信息整合到一個統一的門戶界面中，使用者可以通過這個門戶瀏覽重要信息或快速進入所需模塊，并且可以根據需要對門戶界面進行個性化配置。

4）流程服務：平臺提供圖形化的流程定義工具和與數據無關的通用工作流驅動引擎，業(yè)務模塊通過調用流程服務接口，能夠驅動任意類型的數據在流程框架中按設計好的流程自動流轉。流轉過程中每一個環(huán)節(jié)的數據都會被系統記錄在案，用戶能夠隨時查看流轉歷史記錄，確保了數據處理過程的不可抵賴性。

5）信息發(fā)布服務：平臺提供可配置的信息發(fā)布服務，用戶可以自行配置信息發(fā)布的欄目、風格和管理模式，各個應用模塊均可通過信息發(fā)布接口將數據直接發(fā)布到所需欄目中。

6）定時提醒服務：平臺提供統一的定時提醒數據接口，可以為各種應用提供定時提醒功能。定時提醒服務會定時檢查提醒任務列表，按照設定的提醒頻率，在指定時間將提醒信息通過即時消息或手機短信發(fā)送給用戶。

7）互信服務：通過互信技術，用戶可以根據需要，在若干個平臺之間建立互信關系，允許用戶相互跨平臺訪問，從而將各個單位的信息系統聯結起來，形成真正互通互聯的大系統。這種機制將單位內部信息的獨立性和單位之間信息的關聯性完美地結合在一起，尤其適用于多個平臺分布式部署。

8）消息服務：消息服務可以幫助應用系統實現一對一或一對多的消息發(fā)送，將重要信息實時推送到目標用戶的桌面。利用平臺互信機制，不同的平臺用戶之間也能夠象在一個平臺上一樣進行通訊，這使得平臺用戶幾乎可以無限制的增長，充分滿足了多平臺分布式部署的擴展要求。

2.3 業(yè)務邏輯層

業(yè)務邏輯層由利用基礎服務建立起的多個業(yè)務應用構成，直接解決最終用戶的具體使用需求。平臺采用的插槽架構，可以將各種業(yè)務應用以插件的方式整合到平臺中，使整個系統具備良好的擴展能力和升級能力。

業(yè)務邏輯層的應用雖然在程序上各自獨立，但都是建立在統一身份認證和統一授權體的基礎之上，通過統一的基礎服務完成業(yè)務處理過程，因此能夠在基礎數據和處理邏輯上保持一致性和完整性。平臺內置了即時通訊和信息發(fā)布兩種業(yè)務應用，可以滿足絕大多數用戶信息發(fā)布與溝通交流的需要。

2.4 表現層

表現層是業(yè)務邏輯層的最終展現。平臺提供信息門戶網站作為B/S應用的統一展現界面，并通過即時通訊客戶端的軟件頻道為C/S應用提供入口。

B/S類型的業(yè)務應用可以通過集成門戶服務注冊到信息門戶網站中，用戶登錄門戶網站后，可以通過導航菜單快速進入所需業(yè)務模塊。

C/S類型的應用程序可以通過軟件配置注冊到即時通的軟件頻道中，從而實現對C/S業(yè)務應用的整合。

平臺的網站登錄和即時通登錄使用的是統一的身份認證服務，因此無論是B/S應用，還是C/S程序，都可以通過表現層實現單點登錄[7]。

2.5 應用安全控制中心

應用安全控制中心負責完成基礎數據維護和統一的3A（認證、授權、審計）管理。

1）統一基礎數據維護：基礎數據是信息系統中所有基礎服務和業(yè)務應用都需要共享的數據，必須在各個模塊中保持一致，一般包括組織結構、崗位、用戶、角色。只有基礎數據統一，3A管理才能統一。平臺提供完整的組織結構管理功能，支持崗位和角色概念，支持用戶兼職，支持分級用戶管理，支持與其他用戶管理系統的數據同步，并且能夠對用戶數據進行電子簽名，以確保用戶身份數據安全。

2）統一身份認證：平臺采用統一的身份認證服務，并通過接口為基礎服務及業(yè)務應用提供當前用戶的身份信息，從而實現單點登錄。除普通的密碼登錄方式外，平臺還支持PKI/CA體系的數字證書登錄，確保身份認證過程安全可靠。

3）統一權限管理：平臺將授權過程抽象為授權方、被授權方、操作權限、操作范圍這4個基本要素，建立起通用的授權模型，任何應用只要簡單的進行權限注冊，就可以馬上為自己的模塊建立起企業(yè)級的權限管理體系，不僅能夠實現復雜的權限范圍控制，而且支持權限分級下發(fā)。統一集中的授權模式也使整個系統的權限分布清晰明了，便于查詢和管理。

4）統一信息審計：信息審計系統獨立運行，由專門的審計系統管理員負責管理，其審計范圍可覆蓋整個平臺，準確記錄各應用系統關鍵操作和敏感數據的異動信息。審計系統管理員不受平臺系統管理員控制，從而對平臺系統管理員的工作起到監(jiān)督作用。審計系統可與平臺使用不同的數據庫，以達到更高的安全級別。

2.6 集成PKI/CA應用

平臺內建對PKI/CA應用[8]的支持并可支持多家CA系統廠商。PKI/CA具體應用于使用數字證書進行身認證、工作流程引擎中操作數據的數字簽名與校驗、通用信息發(fā)布系統應用數字證書實現數字簽名與校驗、流程引擎中實現文件的數字證書加密解密（需要CA系統廠商提供相關接口）等。

支持多種數字證書應用的技術途徑：

1）廣泛應用的微軟CSP方式，提供CSP接口支持的CA系統，平臺已提供內建的支持，通過簡單配置即可實現集成應用；

2）CA系統廠商僅提供開發(fā)包（SDK）的方式，平臺使用適配器機制，僅需要開發(fā)CA系統廠商專用適配器程序，然后更新平臺底層增加對此適配器的支持即可實現對特定CA系統的集成。

3 基礎平臺的應用

業(yè)務邏輯層的不同應用分別對應用戶的不同需求，通過對業(yè)務應用進行分類整合，可以形成多種業(yè)務解決方案。以項目管理平臺為例，它是基于基礎應用平臺構建的滿足企事業(yè)單位項目管理需求的解決方案，除了基礎平臺自帶的即時通訊和信息發(fā)布外，還提供以下應用：

1）合同管理：合同管理分公司端合同和項目端合同，對合同的信息、資金、變更、索賠、會簽進行管理，通過圖表、報表方式查詢統計合同相關信息。

2）進度管理：進度管理包括網絡計劃編制、產值計劃制作、產值統計3個功能模塊。網絡計劃用網絡圖方式表現項目各工序之間的邏輯關系，通過前鋒線進行進度調整，通過計劃、執(zhí)行、調整、再計劃實現項目進度管理；產值計劃按項目組織結構、項目單位工程分解對單位工程下掛接的具體的施工清單進行計劃安排，協助項目負責人掌握工程進度安排情況，確保工期滿足要求；產值統計按項目組織結構、項目單位工程分解對單位工程下掛接的具體施工清單進行實際完成量匯報。協助項目負責人掌握項目實際進度狀況，當發(fā)現項目進度滯后時，可以協助進度落后原因分析，通過采取資源合理調配、計劃調整、再計劃使工程進度處于可控狀態(tài)。

3）成本管理：成本管理主要對項目進展過程中發(fā)生的成本進行歸集，通過掙值分析法對項目計劃成本、掙值成本、實際成本進行對比分析以紅綠燈方式表現成本的具體狀態(tài)，如超支、節(jié)約、正常，幫助項目負責人及時掌控項目的成本。成本管理系統包括業(yè)主計量、分包計量、項目費用、掙值分析等模塊。

4）物資管理：物資管理系統進行項目物資總計劃編制、采購計劃編制和審批，管理物資采購合同和租賃合同，對物資出庫、入庫和材料調撥進行控制，對合同履行過程中發(fā)生的來往資金進行管理，通過供應商庫管理供應商信息，對供應商資信進行評價。系統提供對材料、資金、合同、供應商等相關信息的查詢統計功能，協助物資管理人員掌握項目物資成本。物資管理系統包括計劃管理、庫存管理、合同管理、供應商管理、收支管理、統計報表等模塊。

5）綜合管理：以圖表方式表現單體項目或項目群組的合同執(zhí)行情況、成本進度情況，能夠按項目任意分類形式進行匯總統計。

4 結 論

基礎應用平臺為信息資源的整合和業(yè)務應用的擴展提供了一個堅實可靠的平臺基礎。基于基礎應用平臺的二次開發(fā)會更有效率，基于基礎應用平臺運行的應用會更加安全穩(wěn)定。

平臺的基礎服務在不斷的完善和擴充，每一項技術改進、每一次功能提升，都能夠被構建于平臺之上的業(yè)務應用所分享。不同的開發(fā)者之間甚至可以交換各自基于基礎應用平臺開發(fā)的應用，以便在各自領域為用戶提供更加全面的服務。

基礎應用平臺的進步帶動所有應用一起進步，基礎應用平臺的擴展推動所有解決方案一同擴展，這正是基礎應用平臺體現的價值。

[1]黃松，郭偉．基于諾蘭模型的高校信息化建設趨勢分析與展望[J]．江漢大學學報：自然科學版，2013，41（1）:71-75．HUANG Song，GUO Wei.Analysis and prospect of university information development tendency based on nolan model[J].Journal of Jianghan University：Natural Science Edition，2013，41（1）:71-75.

[2]Thomas Erl，Benjamin Carlyle，Cesare Pautasso， 等.．SOA與REST：用REST構建企業(yè)級SOA解決方案[M]．馬國耀，申健，劉蕊，譯.北京：人民郵電出版社，2014．

[3]宋貴全．基于RADIUS協議3A服務器的設計 [J]．電腦知識與技術，2012，8（19）:4598-4600．SONG Gui-quan.Design of 3A server based on RADIUS protocol[J].Computer Knowledge and Technology，2012，8（19）:4598-4600.

[4]王景麗．基于Web Service的中小企業(yè)信息化平臺的設計與實現[D]．杭州：浙江工業(yè)大學，2012．

[5]Sean Convery．網絡安全體系結構[M]．田果，劉丹寧，譯．北京：人民郵電出版社，2013．

[6]王佳亮．一種商用文件傳輸系統[J]．計算機系統應用，2014，23（3）:71-76．WANG Jia-liang.Commercial file transmission system[J].Computer System and Applications，2014，23（3）:71-76.

[7]謝?。赑KI的單點登錄系統的設計與實現[D]．北京：北京郵電大學，2012．

[8]賀靖靖．基于PKI/PMI體系下的匿名認證方案研究[D]．開封：河南大學，2013．