1103 企业协作管理平台系统建设方案Word文档下载推荐.docx
- 文档编号:16386420
- 上传时间:2022-11-23
- 格式:DOCX
- 页数:21
- 大小:201.05KB
1103 企业协作管理平台系统建设方案Word文档下载推荐.docx
《1103 企业协作管理平台系统建设方案Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《1103 企业协作管理平台系统建设方案Word文档下载推荐.docx(21页珍藏版)》请在冰豆网上搜索。
第6节文件管理20
4.6.1文档发布20
4.6.2文档目录管理21
4.6.3文档查询21
第7节档案管理22
4.7.1系统提供档案管理基本功能22
4.7.2借阅申请流程22
第8节工作成果管理、图书资料管理22
第9节财务信息22
4.9.1财务分析报告发布22
4.9.2财务相关申请和查询23
第10节固定资产管理23
第5章数据接口24
第1节对XML的支持24
第2节对关系数据库的支持24
第6章实施周期24
第7章实施费用24
项目目标
●建立统一的协作管理平台;
●建立统一的信息交流平台;
●实现管理中主要工作流程的电子化;
●实现信息的共享和知识的沉淀。
建设原则
建设协作管理平台,目标是搭建稳定、可靠、安全、具备良好扩展性的基础消息传递平台系统,在其之上建立好用户消息系统、流程管理控制系统等基础应用,并在这个基础之上,建立起真正适合于实际业务和管理需求的管理应用,从而能够有效的提高企业工作效率。
根据管理需求的不断细化与深化,还可以进一步完善和增加更多的应用模块,如人力资源管理系统、知识管理系统、IT服务管理系统等,从而进一步提升系统的价值,使协作管理平台系统成为信息系统中一个重要的信息系统,并逐渐成为信息系统的门户和员工工作的信息平台。
由于协作管理平台系统是一个信息量大、远期用户众多、使用频率高的内部管理综合系统,因此,在实施系统建设项目时,一定要在设计规划阶段进行细致认真的工作,才能保证项目的顺利进行和规避不必要的项目风险。
为了保证系统建设完成后能够达到预期的使用效能,保证系统完成后在一定时期内的良好使用效果,以及在技术进步和业务状况变化的过程中保持良好的可扩充性和可维护性,尽可能保护系统建设投资,在实施系统的设计规划阶段,根据贵单位的特点和业务要求,我们一般遵循以下设计原则:
稳定性
作为协作管理平台系统,该系统将逐渐实现企业的电子化办公,随着系统的实施和运行,每天将会有大量的电子化流程发生新建、流转、审批、归档、统计、查询、监控,系统产生的流量将非常大。
系统不仅对服务器有着较高的要求,同时对于软件基础平台也有较高的要求,系统必须能够长期稳定的运行,保证最低的故障率和一旦出现故障时的修复效率。
成熟度
作为一套完整而复杂的应用系统项目,如何降低项目实施风险,避免出现项目失败,是在项目分析阶段所必须关注的重要环节。
而系统平台和使用技术是否成熟,往往会直接影响到项目的结果,实践证明,过分强调采用先进的平台和技术,是系统不稳定的重要因素。
本解决方案采用的系统平台是IBM在协作领域一直领先的Domino技术和平台。
Domino在全球已超过1.1亿用户,在全球500强中绝大多数用户都采用Domino作为其协作管理软件的基础,是非常成熟的办公协作软件平台。
同时,Domino作为办公软件通信平台,本身就直接支持了许多标准协议和平台级功能,例如SMTP、HTTP、CA、SSL等,而这些平台级的基础功能或协议实现,如果采用其他平台进行建设,可能就需要单独开发或者独立采购,这样多来源的软件系统的集成,可能会导致系统的稳定性不高和开发难度加大。
作为IBMWorkplace软件战略的一部分,Domino已经成为IBM软件整体架构的一个组成部分。
在前端可以采用多种访问方式,如浏览器,如Outlook客户端,在后台,可以很好的实现跨平台可移植性,可以平滑移值到UNIX平台,LINUX平台和WINDOWS平台。
作为IBM软件架构的组成部分,Domino完全实现对XML支持,对SOA支持和对JAVA技术兼容。
来满足作为基础平台性软件的发展要求,来满足IBM作为JAVA阵营的要求。
扩展性
现代办公的协作管理需求,已经不是简单的公文收发,档案管理,信息发布等局限的功能实现。
而是从协同管理平台的高度出发,包括信息门户、综合事务、知识管理、流程管理、决策分析、在线互动、网络会议、远程教学、服务支持、信息发布、业务整合的一个大办公系统的思路。
我们提供的协作管理平台,定位在企业级协同管理平台的角度,不仅在前期能帮助实现个人办公、行政管理、信息发布等基础功能,还由于产品的扩展性,还能逐步实现信息门户、综合事务、决策分析、知识管理,远程教学,业务流程等功能。
满足用户未来发展的需要。
灵活性
协作管理平台系统要求实现的需求多,并且作为管理平台,要求运行周期长,随着发展和管理需要,要求协作管理平台能便捷、快速调整流程,满足业务发展及管理需要。
对灵活性设计,我们从两个方面来满足:
业务逻辑、流程必须灵活,也就是业务流程发生变化时,系统应该有较好的灵活性,通过提高流程的可配置性,来使系统自身具备随时变化可配置的特性,而不是随时都需要依赖于编码的修改实现变化。
在业务表单定义方面,我们采用IBMDominoDesigner表单设计器来满足企业对表单设计的要求,他能实现“所见即所得”的效果,同时对表单的布局,字段的自定义,都能很好实现。
安全性
协作管理平台系统将产生大量的业务数据和文件。
并有要求严格和完整的权限管理控制。
我们采用的Domino为平台的系统,从网络层、系统层一直到应用层都提供了完整和严格的安全机制,最大限度的保证“只有正确的用户在正确的时间才能访问到正确的数据。
”
平台选择
为保证系统的易操作性,提高用户操作时的熟练速度,更好的发挥出系统的效能,同时也为了方便系统管理维护人员的技术支持工作,减轻支持压力,我们建议系统采用B/S架构,以IE浏览器为统一的访问客户端,基于此环境,只要用户客户端为Window操作系统,直接利用其捆绑的IE5.5以上浏览器就能够操作系统提供的全部功能。
操作习惯与日常访问Internet站点的方式完全一致。
后台服务器端,则充分考虑系统的扩展性以及系统管理人员的维护易用性,采用Windows2000(SP4以上)操作系统+LotusDomino6.5.4版本的平台软件作为支撑。
这两个版本的操作系统和Domino都是目前经过验证的比较稳定的且较新的软件版本。
核心软件平台-Domino
如前面所说,在本系统中,我们建议采用IBMLotusDomino平台系统作为整个协作(OA)系统的基础。
LotusDomino系统自上世纪80年代诞生起就成为协作管理套件的一颗耀眼的明星,自4.6版本开始就已经成为事实上的协作管理软件(OA)的标准。
历经了近20年的版本更新和技术进步,LotusDomino不但逐步确立了自己在协作管理软件领域内的绝对优势,同时还借助于IBM的收购,不断的支持和包容更多的标准和协议,始终领导着这一领域的发展和变迁,并逐步向更多的应用领域扩展其影响力。
协作管理平台系统软件的选择,其主要功能均选择IBMLotusDomino进行实现,Domino提供了底层的消息传递机制、安全机制、数据库等,我们可以基于Domino来根据需求实现用户各种应用功能,例如项目管理、内部文件审批、报销、借款申请流程、,并在需要的情况下可选辅助其他专业软件完善系统功能,例如即时消息功能可以选择IBMLotusSametime提供,而远程教育则可以通过IBMLMS系统加以实现。
系统主要软件使用IBMDominoEnterpriseServer作为系统的主要应用服务器和数据库,在此之上部署我们开发的协作管理应用模块,同时可以使用DominoServer实现系统中的电子邮件功能。
Domino系统可以架构在Windows、AIX、AS/400等多种操作系统之上,而且各平台之间的应用库完全可以无缝迁移,不需要进行任何代码级的修改,这样可以保证将来如果需要进行操作系统迁移时的便利性。
2.3.1系统安全性设计
系统在实施后,主要会出现以下几方面的安全隐患:
平台安全性:
网络安全性会影响系统是否会被主动攻击使系统不能正常被用户使用。
系统安全性:
服务器稳定运行直接影响系统的稳定运行,服务器的稳定运行一方面在服务器本身的稳定性,同时也受服务器外部环境的影响,如系统用户认证、防病毒体系等。
应用安全性:
由于企业协作管理平台系统中保存与流转单位内部重要的文件、数据报表、审批权限信息等重要信息,如果数据安全性不能得到保证,将会使数据损坏、泄密或丢失。
——平台安全性
保护网络安全性的目标是防止未授权的用户访问服务器、用户和数据。
网络的物理安全性是通过使用设备(如过滤用路由器、防火墙和代理服务器)而建立的,这些设备对您要提供给用户的各种网络服务(如LDAP、POP3、FTP和STMP)启用网络连接。
也可使用这些设备控制网络连接安全性访问。
例如,您可以定义允许访问的连接,以及被授权使用这些连接的人员。
如果配置正确,则这些设备可防止未授权的用户执行下列操作:
强行进入网络并通过操作系统访问服务器及其本地服务(如文件共享)。
通过窃听网络来收集数据。
网络系统管理解决方案允许设置用户的划分,并要求管理员进入管理系统时必须输入用户识别符和口令。
不同用户对管理系统中的管理域、责任范围及管理工具拥有不同的权限。
这些权限一般被细分为:
NoAccess、Read-only、Read-write。
通过控制用户的访问级别和范围,能够有效地避免对网络管理系统的非法入侵。
用户口令的时效性可以进行设定。
口令可以多次使用,也可以设为一次使用。
网络传输的安全性可以通过设置安全套接字层(SSL),对在系统内部运行的OA系统的数据传输进行安全加密,保证数据的传输安全性。
网络安全性的实现,主要依靠用户防火墙设备和机制,并根据企业协作管理平台系统的特点,进行适当调整。
——系统安全性
物理安全性
从物理上保证服务器和数据库的安全性与防止未授权的用户和服务器访问同样重要。
物理安全性是防御未授权或恶意用户访问的第一道防线,它可防止这些用户直接访问系统服务器。
因此,我们强烈建议您将所有的系统服务器放在一个通风良好的安全区域,如一间上锁的房间。
如果服务器在物理上不安全,那么未授权的用户可能会绕开安全性功能(如ACL设置)而直接访问服务器上的应用程序、使用操作系统拷贝或删除文件,或者物理损坏服务器硬件本身。
物理网络安全性考虑还应包括灾难规划和恢复。
操作系统安全性
未授权的用户或恶意用户通常会利用操作系统的弱点。
作为系统管理员,应保护运行系统服务器的操作系统的安全性。
例如,应限制管理员登录/权限、禁用FTP(在NT中),并且应避免使用映射后的与系统服务器的文件服务器或共享NAS服务器的目录链接。
应随时了解操作系统的选项,并及时地用安全性更新程序和补丁程序更新操作系统。
服务器安全性
系统服务器是需要保护的最重要的资源,并且是在用户或服务器获准访问网络中的系统服务器后,系统强制执行的第一级安全性。
可指定哪些用户和服务器可以访问系统服务器,并限制其在服务器上的活动。
例如,限制可以创建新复本和使用中继连接的人员。
还可以限制并定义管理员访问权限,即根据管理员职责和任务委派访问权限。
例如,您可以对系统管理员启用通过服务器控制台访问操作系统命令的权限,而将数据库访问权限授予那些负责维护系统数据库的管理员。
如果针对Internet/Intranet访问对服务器进行设置,则应设置SSL、名称和口令验证,以保护通过网络传输的网络数据的安全性,并验证服务器和客户机。
用户认证
IBMDomino产品提供基于工业标准RSA的公共密钥基础架构(PublicKeyInfrastructure,PKI),即层次化或平面化的验证字发放与验证、交叉验证体系。
服务器与用户均需要在系统中注册,获得合法的ID文件。
ID文件具有口令保护(可以是多重的),而且具有时效性。
在通讯和访问时,需要首先通过公共密钥/私用密钥验证技术,由系统验证双方身份。
系统认为合法和真实身份后,才能进行下一步的操作。
浏览器用户的身份验证则通过口令字与SSL认证实实现。
浏览器用户可以注册到用户目录里(否则视为匿名用户),每一次访问时必须输入口令,当口令准确无误时,服务器认可浏览器用户在本信息系统的身份;
或者采用更安全有效的SSL认证机制。
服务器支持SSLV3,利用标准的X.509数字证书为身份识别与验证的凭据。
可作为X.509证书的CA(发放与认证机构),也可接受由其他CA发放的X.509证书。
一旦服务器与浏览器用户可以验证通过对方的X.509证书,即可建立保密的通讯通道供信息的安全传输。
用户也可以接受由CA(不管是否是DominoCA)发布的X.509数字证书,将其合并到用户ID文件中,用于访问Web服务器或发送S/MIME安全邮件。
基于证书的验证模式要求用户除了知道保密码外还需持有数字证书。
基于证书的验证模式还支持跨组织之间的交叉验证,特别跨企业的通讯。
系统允许单次登录,采用层次验证模式(最适合于分布管理)或者基于X.509v3证书的验证模式(支持不同厂商提供的多种应用)。
系统同样支持X.509证书的发放和管理。
验证模式
数字签名
数字签名技术保证了数据的完整性和不可篡改性。
数字签名过程简要说明如下:
首先根据数据内容生成一个128位的密文,并使用作者(签名者)的私人密钥来加密之,然后将加密过的密文附加到数据上,同时将签名者的公共密钥和验证字信息附加到数据上。
当其它人访问签字后的数据时,系统服务器首先确认签字人的验证字是否可信,如果成功服务器使用与签名时使用的私人密钥相对应的公共密钥进行解密,如解密成功则表明确认此数字签名。
数字签名过程中使用了数据内容和时间等参数,不管是数据或签名在存储还是传输过程中受到损坏或被恶意篡改,都可以通过数字签名技术验证出来。
系统先进的公钥基础设施自动地而且自然地集成到系统的体系结构之中。
这使得加密/数字签字功能的管理、安装和使用简单化。
另外,系统还提供了其它产品尚不具备的功能,包括对收到邮件的自动加密、在邮递和应用时的加密、字段级加密、密钥的定制以及单个文档上多个签字。
系统提供双密钥加密技术与单密钥加密技术。
前者使用RSA算法,后者使用RC2与RC4算法。
可以对数据字段、数据库文件存储加密,以及在报文传递与网络通讯时加密处理。
此外,系统支持SSL,可以加密保护服务器与服务器、服务器与浏览器(即端对端)的会话层数据传输通讯。
我们在设计中利用数字签名技术对所有生成的程序和文档进行签名,保证程序的正常运行和文档的安全。
利用加密技术对文档加密,同时启用SSL加密,保证文档在网络中的安全传输。
安全套接字层(SSL)
通过设置安全套接字层(SSL),对在系统内部运行的OA系统的数据传输进行安全加密,保证数据的传输安全性。
安全套接字层(SSL)是一个安全协议,它为在TCP/IP上运行的Domino服务器任务提供通信保密和验证。
SSL提供下列安全性保障:
数据在出入客户机时被加密,因此可确保事务处理期间的保密性。
为数据附加一个经过编码的消息摘要,以检测任何消息篡改。
为数据附加服务器验证字,以使客户机确信此服务器的身份是真实的。
为数据附加客户机验证字,以使服务器确信客户机的身份是真实的。
客户机验证是可选的,您的组织可能对此并无要求。
CA(验证字认证中心)
安全性规划中的一个重要方面是确定是否以及如何设置验证字认证中心以发布Internet验证字。
CA(验证字认证中心),或者称为验证者,是一种可信的管理工具,负责发布并维护数字验证字。
验证字可用来校验个人、服务器或组织的身份,并允许他们使用SSL进行通信以及使用S/MIME交换邮件。
验证字带有验证者的数字签名,使验证字的接收者可以确信验证字的持有者是验证字中指定的实体。
设置组织的Internet验证者有多种选项(在本主题的余下部分,提到的所有“验证者”均指“Internet验证者”)。
可使用第三方商业验证者(如VeriSign),也可使用两种DominoInternet验证者类型的其中一种。
这些验证者各有利弊;
因此应根据组织的业务需求以及管理验证者可用的时间和资源进行选择。
IBMWorkPlace验证者
避免了第三方验证者在发布和更新客户机以及服务器验证字方面所需要的费用。
许多管理员已经熟悉系统中验证者的使用,因此与使用第三方验证者相比,不需要进行其他培训。
可根据需要更加方便快捷地设置和部署新的验证字。
第三方验证者(VeriSign、RSA等)
可简化客户机配置。
如果从所使用的浏览器预先设置为“可信”的验证者处获取验证字,可简化客户机配置的步骤。
同样,如果使用的验证者在外部业务的邮件客户机(您与其交换S/MIME邮件)中预先配置为“可信”,也可简化配置步骤。
防病毒体系
电子邮件已经成为病毒的重要传播手段,如果不对电子邮件进行病毒防护,将对系统内部造成重大影响。
病毒的防治从两个层次进行考虑,用户客户端层与服务器层。
用户客户端层安装客户端防病毒软件,如Norton、趋势、瑞星等,但客户端防病毒由于每个用户计算机的配置、软件安装情况、性能、病毒代码更新等情况复杂,不能保证有良好的效果,所以必须从服务器层进行病毒扫描,确保凡是经过服务器的信息与文件都是安全的,所以建议在服务器安装可以与系统配套使用的,专门负责邮件病毒扫描的防病毒软件,对所有邮件进行病毒扫描。
——应用安全性
在应用安全的设计中我们将应用系统的权限按照用户的工作岗位、行政职务等要素分为系统权限、数据权限、系统角色。
通过这种设计将应用系统的使用权与数据的所有权、访问权分隔开来,以确保各工作岗位的用户之间、相同工作岗位的用户之间能够按部就班、各行其职,在信息高度共享和信息高度保密工作上能够达到收发自如的控制、管理。
应用的存取控制列表
在用户和服务器获得对服务器的访问权限后,您可使用数据库ACL(存取控制列表)来限制特定用户和服务器对该服务器上各个应用程序的访问权限。
此外,为提供数据的保密性,应使用标识符加密数据库以使XX的用户无法访问本地存储的数据库拷贝、对用户收发的邮件消息进行签名或加密,以及对数据库或模板进行签名以避免在工作站中运行公式。
应用的7层访问控制
系统采用7层访问控制,包括数个在应用内通过点击对话界面定义的排列。
系统不仅将安全性扩展到文档,而且通过以下方式保护文档内部的信息:
允许文档区段和信息字段受到保护、允许通过开发人员定义的角色来限制对某些信息和操作的访问、允许在程序运行时通过基于值的条件表达式控制对文档某些部分的访问控制。
系统同样支持通过角色的访问控制并保持访问控制列表的一致性。
这两方面功能对于像协同办公系统等复杂的应用是十分重要的。
我们定义系统管理员、设计者、读者、作者等7种角色,这7种角色建立的数据库的基础上,控制数据库内所有的权限,如果对数据库不具备相应的权限就意味着对数据库内部的所有元素,都不具备访问权限。
例如:
用户A对收文数据库的权限为读者,那么用户A只能根据具体稳当中的读者域设置,查询收文数据库中的数据,不具备修改权限,尽管用户A在文档中具备审核权限。
系统权限
系统权限是指用户对协同办公系统中各子系统的访问权限。
那么我们首先将应用系统中每一个子系统定义为一个最小的功能单元(在需要审批的子系统中,将各处理环节如:
核稿、审核、签发等,作为一个最小的功能单元),然后可以针对用户的不同工作岗位和职务进行授权。
通过授权可以控制不同用户进入协同办公系统后只能使用已授权使用的子系统以及对这部分数据的访问。
数据权限
数据权限是指用户在对各子系统的使用中对数据的访问权限,我们将数据权限分为查询权、插入权、删除权、修改权等四种情况
我们可以针对用户的不同工作岗位和职务将相应已授权使用的子系统设置数据权限。
通过数据权限可以控制不同用户对统一子系统中数据的访问权限。
系统角色
系统角色是指用户在应用系统中处于的位置,根据角色控制用户访问数据的范围,根据用户的职务进行划分为:
单位领导、单位分管领导、部门领导、部门分管领导(根据部门的层次依次划处、科、组等)、办事员等,单位领导访问所有数据、部门领导访问本部门所有数据、办事员访问本人数据。
通过角色可以控制不同用户对数据范围的访问权。
根据系统权限、数据权限、系统角色的设置,可以随意控制用户对系统及系统数据的访问,同时用户还可以在出差、休假等特殊情况时将自己的权限授予其他用户,让其他用户代替自己处理相关事宜。
系统运行环境建议
软件名称
用途
LotusDominoServer
系统应用服务器
Window2000Server
系统平台服务器
硬件环境
系统服务器架构如下
●设置集中的公司用户邮件服务器和应用服务器。
(根据200人左右的注册用户总数及可能的并发用户数,可以选择将邮件及应用服务器合并,待系统并发访问用户数量更大时再分拆成两个不同的服务器也可。
)
●设置专门的出口服务器,负责Internet邮件的收发。
在出口服务器部属邮件病毒扫描系统,防止病毒侵入。
放置在防火墙安全区中。
(邮件出口服务器主要是为收发Internet邮件的网关及方式SMTP服务被外部邮件用户恶意滥用所设,如果并无internet邮件收发要求,也可暂时不设置出口服务器,待需要收发Internet邮件时再增加一台一般配置的服务器即可。
服务器配置建议
以该协作管理平台用户数量在400人左右为样例,虽然目前用户数量并未达到这个数字,但是考虑到将来的人员增加以及目前市场行情上价格的因素建议以400人左右为一段时间内的服务器配置依据。
同时考虑到收发Internet邮件的需要,在防火墙的安全区内放置专门负责收发Internet电子邮件的邮件出口服务器,负责外部邮件的接收与发送,。
作为关键应用的邮件服务器和应用服务器的选型,应坚持以下几点原则:
产品质量优异,硬件可靠性高,能适应长时间的连续运行;
●强大的事务处理能力;
●具有高可靠性,出现故障时能在较短时间内自动恢复;
●系统安全性好;
●扩展能力强,以适应未来业务的发展需要;
●系统易维护和管理,开放性好;
●系统的性能价格比高。
邮件服务器、应用服务器建议配置:
服务器类型
用户数
CPU数
内存
硬盘
邮件服务器
400用户
2
4GB
>
100G
出口服务器建议配置(可选):
出口服务器
1
512M
40G
应用模块规划
本项目建设目标包含以下11部分子系统:
●首页子系统
●项目管理子系统
●公文流转子系统
●人事信息子系统
●信息发布子系统
●文件管理子系统
●档案管理子系统
●成果管理子系统
●图书资料
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 1103 企业协作管理平台系统建设方案 企业 协作 管理 平台 系统 建设 方案