田衛(wèi)蒙

（西安郵電大學(xué) 學(xué)校辦公室，陜西 西安 710121）

目前大多數(shù)企事業(yè)單位已經(jīng)擁有了專門的信息化管理機構(gòu)和大量的信息化資源，但是并沒有實現(xiàn)這些信息化資源的統(tǒng)一有效協(xié)作使用，亟需對分散的信息化系統(tǒng)（如財務(wù)管理系統(tǒng)、人事管理系統(tǒng)、工資管理系統(tǒng)等）進行統(tǒng)一整合，以實現(xiàn)企事業(yè)單位辦公系統(tǒng)的自動化和高效化。

著名的諾蘭模型描述了信息系統(tǒng)進化過程中必經(jīng)的6個階段，即初始階段、擴展階段、控制階段、統(tǒng)一階段、數(shù)據(jù)管理階段和成熟階段[1]。任何組織在實現(xiàn)以計算機為基礎(chǔ)的信息系統(tǒng)時都必須從一個階段發(fā)展到下一個階段，不能實現(xiàn)跳躍式發(fā)展。通過統(tǒng)一階段管理層面的整合，將各自為戰(zhàn)的業(yè)務(wù)系統(tǒng)納入一個統(tǒng)一的信息化平臺框架中，不僅為用戶帶來更好的應(yīng)用體驗，而且為后面數(shù)據(jù)層面的整合打下了良好的基礎(chǔ)。為了實現(xiàn)統(tǒng)一階段系統(tǒng)整合的目的，必須有一個能夠滿足整合要求的基礎(chǔ)平臺來歸納各種信息資源。

文中提出了一種辦公自動化基礎(chǔ)應(yīng)用平臺，能夠為企事業(yè)單位快速建立統(tǒng)一整合、安全可靠、隨需而變的信息系統(tǒng)提供支撐。采用了業(yè)界領(lǐng)先的SOA設(shè)計理念[2]，按照基于標準化服務(wù)的方式建立企業(yè)信息化系統(tǒng)，提供信息系統(tǒng)開發(fā)和整合所必需的Web服務(wù)，如統(tǒng)一身份認證、統(tǒng)一權(quán)限管理、統(tǒng)一系統(tǒng)審計、統(tǒng)一門戶、互信機制、工作流引擎、文件傳輸、即時通訊等，并且提供大量二次開發(fā)接口和應(yīng)用實例。

1 基礎(chǔ)應(yīng)用平臺的特點

為了能夠充分滿足信息化進程統(tǒng)一階段的整合需求，信息系統(tǒng)基礎(chǔ)軟件平臺應(yīng)該具備如下特點：

1）基礎(chǔ)數(shù)據(jù)統(tǒng)一：組織結(jié)構(gòu)、崗位、用戶、角色等基礎(chǔ)數(shù)據(jù)在各個應(yīng)用子系統(tǒng)中保持一致。

2）3A 統(tǒng)一：實現(xiàn)認證（Authentication）、授權(quán)（Authorization）和審計（Audit）的統(tǒng)一[3]。3A統(tǒng)一是組織安全設(shè)施的基礎(chǔ)，能對用戶身份和內(nèi)容安全進行有效的保護和控制。

3）統(tǒng)一的信息門戶：提供統(tǒng)一的信息門戶作為各應(yīng)用模塊的入口，能夠不斷整合新的信息資源，可根據(jù)資源整合需要進行內(nèi)容配置，可根據(jù)用戶需要進行個性化界面定制，提供門戶層面的模塊訪問權(quán)限管理。

4）面向服務(wù)的體系架構(gòu)（SOA）：具體應(yīng)用程序的功能是由一些松耦合并且具有統(tǒng)一接口定義方式的服務(wù)組件組合構(gòu)建而成，對迅速變化的業(yè)務(wù)環(huán)境具有良好適應(yīng)力。

5）具備二次開發(fā)能力：具備統(tǒng)一的基礎(chǔ)服務(wù)，提供整合所需的各種服務(wù)接口和開發(fā)文檔，為二次開發(fā)提供必要的支持。

2 基礎(chǔ)應(yīng)用平臺的設(shè)計

2.1 平臺技術(shù)架構(gòu)

基礎(chǔ)平臺采用B/S和C/S混合模式，基于SOA面向服務(wù)的多層體系結(jié)構(gòu)設(shè)計，其技術(shù)架構(gòu)如圖1所示。平臺包括基礎(chǔ)服務(wù)層、業(yè)務(wù)邏輯層和表現(xiàn)層，由應(yīng)用安全控制中心負責(zé)應(yīng)用層面的安全，通過開發(fā)接口為應(yīng)用模塊提供服務(wù)。

圖1 平臺技術(shù)架構(gòu)Fig.1 Architecture of the Platform

2.2 基礎(chǔ)服務(wù)層

基礎(chǔ)服務(wù)層是平臺的支撐，為業(yè)務(wù)應(yīng)用提供最基本的服務(wù)功能。平臺將應(yīng)用系統(tǒng)所共同需要的功能或數(shù)據(jù)進行歸納抽取，通過API或者Web Service方式[4]開放出來，供應(yīng)用模塊調(diào)用，既可以避免重復(fù)性開發(fā)造成的資源浪費，又能夠保證不同應(yīng)用之間業(yè)務(wù)邏輯的一致性。

可提供的基礎(chǔ)服務(wù)主要包括：

1）數(shù)據(jù)庫訪問服務(wù)：數(shù)據(jù)庫訪問服務(wù)受安全平臺控制，只有合法用戶才能調(diào)用該服務(wù)進行數(shù)據(jù)訪問。通過該機制，使得數(shù)據(jù)庫的安全性除了受數(shù)據(jù)庫本身用戶管理的安全保護外，還受平臺安全保護，從而加強了數(shù)據(jù)訪問的安全性。

2）文件傳輸服務(wù)：平臺提供文件安全傳輸組件供各個模塊調(diào)用。用戶登錄系統(tǒng)成功后，所有文件傳輸將采用動態(tài)密鑰對傳輸數(shù)據(jù)進行加密[5]，可以確保每次登錄成功后文件傳輸?shù)牟豢芍貜?fù)性，以防他人惡意截取網(wǎng)絡(luò)傳輸數(shù)據(jù)包進行解密分析。在保證文件傳輸安全的同時，還可以大大提高HTTP協(xié)議下的文件傳輸速度，并實現(xiàn)斷點續(xù)傳[6]。

3）集成門戶服務(wù)：集成門戶服務(wù)能夠?qū)⒏鱾€應(yīng)用模塊的入口和重要信息整合到一個統(tǒng)一的門戶界面中，使用者可以通過這個門戶瀏覽重要信息或快速進入所需模塊，并且可以根據(jù)需要對門戶界面進行個性化配置。

4）流程服務(wù)：平臺提供圖形化的流程定義工具和與數(shù)據(jù)無關(guān)的通用工作流驅(qū)動引擎，業(yè)務(wù)模塊通過調(diào)用流程服務(wù)接口，能夠驅(qū)動任意類型的數(shù)據(jù)在流程框架中按設(shè)計好的流程自動流轉(zhuǎn)。流轉(zhuǎn)過程中每一個環(huán)節(jié)的數(shù)據(jù)都會被系統(tǒng)記錄在案，用戶能夠隨時查看流轉(zhuǎn)歷史記錄，確保了數(shù)據(jù)處理過程的不可抵賴性。

5）信息發(fā)布服務(wù)：平臺提供可配置的信息發(fā)布服務(wù)，用戶可以自行配置信息發(fā)布的欄目、風(fēng)格和管理模式，各個應(yīng)用模塊均可通過信息發(fā)布接口將數(shù)據(jù)直接發(fā)布到所需欄目中。

6）定時提醒服務(wù)：平臺提供統(tǒng)一的定時提醒數(shù)據(jù)接口，可以為各種應(yīng)用提供定時提醒功能。定時提醒服務(wù)會定時檢查提醒任務(wù)列表，按照設(shè)定的提醒頻率，在指定時間將提醒信息通過即時消息或手機短信發(fā)送給用戶。

7）互信服務(wù)：通過互信技術(shù)，用戶可以根據(jù)需要，在若干個平臺之間建立互信關(guān)系，允許用戶相互跨平臺訪問，從而將各個單位的信息系統(tǒng)聯(lián)結(jié)起來，形成真正互通互聯(lián)的大系統(tǒng)。這種機制將單位內(nèi)部信息的獨立性和單位之間信息的關(guān)聯(lián)性完美地結(jié)合在一起，尤其適用于多個平臺分布式部署。

8）消息服務(wù)：消息服務(wù)可以幫助應(yīng)用系統(tǒng)實現(xiàn)一對一或一對多的消息發(fā)送，將重要信息實時推送到目標用戶的桌面。利用平臺互信機制，不同的平臺用戶之間也能夠象在一個平臺上一樣進行通訊，這使得平臺用戶幾乎可以無限制的增長，充分滿足了多平臺分布式部署的擴展要求。

2.3 業(yè)務(wù)邏輯層

業(yè)務(wù)邏輯層由利用基礎(chǔ)服務(wù)建立起的多個業(yè)務(wù)應(yīng)用構(gòu)成，直接解決最終用戶的具體使用需求。平臺采用的插槽架構(gòu)，可以將各種業(yè)務(wù)應(yīng)用以插件的方式整合到平臺中，使整個系統(tǒng)具備良好的擴展能力和升級能力。

業(yè)務(wù)邏輯層的應(yīng)用雖然在程序上各自獨立，但都是建立在統(tǒng)一身份認證和統(tǒng)一授權(quán)體的基礎(chǔ)之上，通過統(tǒng)一的基礎(chǔ)服務(wù)完成業(yè)務(wù)處理過程，因此能夠在基礎(chǔ)數(shù)據(jù)和處理邏輯上保持一致性和完整性。平臺內(nèi)置了即時通訊和信息發(fā)布兩種業(yè)務(wù)應(yīng)用，可以滿足絕大多數(shù)用戶信息發(fā)布與溝通交流的需要。

2.4 表現(xiàn)層

表現(xiàn)層是業(yè)務(wù)邏輯層的最終展現(xiàn)。平臺提供信息門戶網(wǎng)站作為B/S應(yīng)用的統(tǒng)一展現(xiàn)界面，并通過即時通訊客戶端的軟件頻道為C/S應(yīng)用提供入口。

B/S類型的業(yè)務(wù)應(yīng)用可以通過集成門戶服務(wù)注冊到信息門戶網(wǎng)站中，用戶登錄門戶網(wǎng)站后，可以通過導(dǎo)航菜單快速進入所需業(yè)務(wù)模塊。

C/S類型的應(yīng)用程序可以通過軟件配置注冊到即時通的軟件頻道中，從而實現(xiàn)對C/S業(yè)務(wù)應(yīng)用的整合。

平臺的網(wǎng)站登錄和即時通登錄使用的是統(tǒng)一的身份認證服務(wù)，因此無論是B/S應(yīng)用，還是C/S程序，都可以通過表現(xiàn)層實現(xiàn)單點登錄[7]。

2.5 應(yīng)用安全控制中心

應(yīng)用安全控制中心負責(zé)完成基礎(chǔ)數(shù)據(jù)維護和統(tǒng)一的3A（認證、授權(quán)、審計）管理。

1）統(tǒng)一基礎(chǔ)數(shù)據(jù)維護：基礎(chǔ)數(shù)據(jù)是信息系統(tǒng)中所有基礎(chǔ)服務(wù)和業(yè)務(wù)應(yīng)用都需要共享的數(shù)據(jù)，必須在各個模塊中保持一致，一般包括組織結(jié)構(gòu)、崗位、用戶、角色。只有基礎(chǔ)數(shù)據(jù)統(tǒng)一，3A管理才能統(tǒng)一。平臺提供完整的組織結(jié)構(gòu)管理功能，支持崗位和角色概念，支持用戶兼職，支持分級用戶管理，支持與其他用戶管理系統(tǒng)的數(shù)據(jù)同步，并且能夠?qū)τ脩魯?shù)據(jù)進行電子簽名，以確保用戶身份數(shù)據(jù)安全。

2）統(tǒng)一身份認證：平臺采用統(tǒng)一的身份認證服務(wù)，并通過接口為基礎(chǔ)服務(wù)及業(yè)務(wù)應(yīng)用提供當前用戶的身份信息，從而實現(xiàn)單點登錄。除普通的密碼登錄方式外，平臺還支持PKI/CA體系的數(shù)字證書登錄，確保身份認證過程安全可靠。

3）統(tǒng)一權(quán)限管理：平臺將授權(quán)過程抽象為授權(quán)方、被授權(quán)方、操作權(quán)限、操作范圍這4個基本要素，建立起通用的授權(quán)模型，任何應(yīng)用只要簡單的進行權(quán)限注冊，就可以馬上為自己的模塊建立起企業(yè)級的權(quán)限管理體系，不僅能夠?qū)崿F(xiàn)復(fù)雜的權(quán)限范圍控制，而且支持權(quán)限分級下發(fā)。統(tǒng)一集中的授權(quán)模式也使整個系統(tǒng)的權(quán)限分布清晰明了，便于查詢和管理。

4）統(tǒng)一信息審計：信息審計系統(tǒng)獨立運行，由專門的審計系統(tǒng)管理員負責(zé)管理，其審計范圍可覆蓋整個平臺，準確記錄各應(yīng)用系統(tǒng)關(guān)鍵操作和敏感數(shù)據(jù)的異動信息。審計系統(tǒng)管理員不受平臺系統(tǒng)管理員控制，從而對平臺系統(tǒng)管理員的工作起到監(jiān)督作用。審計系統(tǒng)可與平臺使用不同的數(shù)據(jù)庫，以達到更高的安全級別。

2.6 集成PKI/CA應(yīng)用

平臺內(nèi)建對PKI/CA應(yīng)用[8]的支持并可支持多家CA系統(tǒng)廠商。PKI/CA具體應(yīng)用于使用數(shù)字證書進行身認證、工作流程引擎中操作數(shù)據(jù)的數(shù)字簽名與校驗、通用信息發(fā)布系統(tǒng)應(yīng)用數(shù)字證書實現(xiàn)數(shù)字簽名與校驗、流程引擎中實現(xiàn)文件的數(shù)字證書加密解密（需要CA系統(tǒng)廠商提供相關(guān)接口）等。

支持多種數(shù)字證書應(yīng)用的技術(shù)途徑：

1）廣泛應(yīng)用的微軟CSP方式，提供CSP接口支持的CA系統(tǒng)，平臺已提供內(nèi)建的支持，通過簡單配置即可實現(xiàn)集成應(yīng)用；

2）CA系統(tǒng)廠商僅提供開發(fā)包（SDK）的方式，平臺使用適配器機制，僅需要開發(fā)CA系統(tǒng)廠商專用適配器程序，然后更新平臺底層增加對此適配器的支持即可實現(xiàn)對特定CA系統(tǒng)的集成。

3 基礎(chǔ)平臺的應(yīng)用

業(yè)務(wù)邏輯層的不同應(yīng)用分別對應(yīng)用戶的不同需求，通過對業(yè)務(wù)應(yīng)用進行分類整合，可以形成多種業(yè)務(wù)解決方案。以項目管理平臺為例，它是基于基礎(chǔ)應(yīng)用平臺構(gòu)建的滿足企事業(yè)單位項目管理需求的解決方案，除了基礎(chǔ)平臺自帶的即時通訊和信息發(fā)布外，還提供以下應(yīng)用：

1）合同管理：合同管理分公司端合同和項目端合同，對合同的信息、資金、變更、索賠、會簽進行管理，通過圖表、報表方式查詢統(tǒng)計合同相關(guān)信息。

2）進度管理：進度管理包括網(wǎng)絡(luò)計劃編制、產(chǎn)值計劃制作、產(chǎn)值統(tǒng)計3個功能模塊。網(wǎng)絡(luò)計劃用網(wǎng)絡(luò)圖方式表現(xiàn)項目各工序之間的邏輯關(guān)系，通過前鋒線進行進度調(diào)整，通過計劃、執(zhí)行、調(diào)整、再計劃實現(xiàn)項目進度管理；產(chǎn)值計劃按項目組織結(jié)構(gòu)、項目單位工程分解對單位工程下掛接的具體的施工清單進行計劃安排，協(xié)助項目負責(zé)人掌握工程進度安排情況，確保工期滿足要求；產(chǎn)值統(tǒng)計按項目組織結(jié)構(gòu)、項目單位工程分解對單位工程下掛接的具體施工清單進行實際完成量匯報。協(xié)助項目負責(zé)人掌握項目實際進度狀況，當發(fā)現(xiàn)項目進度滯后時，可以協(xié)助進度落后原因分析，通過采取資源合理調(diào)配、計劃調(diào)整、再計劃使工程進度處于可控狀態(tài)。

3）成本管理：成本管理主要對項目進展過程中發(fā)生的成本進行歸集，通過掙值分析法對項目計劃成本、掙值成本、實際成本進行對比分析以紅綠燈方式表現(xiàn)成本的具體狀態(tài)，如超支、節(jié)約、正常，幫助項目負責(zé)人及時掌控項目的成本。成本管理系統(tǒng)包括業(yè)主計量、分包計量、項目費用、掙值分析等模塊。

4）物資管理：物資管理系統(tǒng)進行項目物資總計劃編制、采購計劃編制和審批，管理物資采購合同和租賃合同，對物資出庫、入庫和材料調(diào)撥進行控制，對合同履行過程中發(fā)生的來往資金進行管理，通過供應(yīng)商庫管理供應(yīng)商信息，對供應(yīng)商資信進行評價。系統(tǒng)提供對材料、資金、合同、供應(yīng)商等相關(guān)信息的查詢統(tǒng)計功能，協(xié)助物資管理人員掌握項目物資成本。物資管理系統(tǒng)包括計劃管理、庫存管理、合同管理、供應(yīng)商管理、收支管理、統(tǒng)計報表等模塊。

5）綜合管理：以圖表方式表現(xiàn)單體項目或項目群組的合同執(zhí)行情況、成本進度情況，能夠按項目任意分類形式進行匯總統(tǒng)計。

4 結(jié) 論

基礎(chǔ)應(yīng)用平臺為信息資源的整合和業(yè)務(wù)應(yīng)用的擴展提供了一個堅實可靠的平臺基礎(chǔ)?；诨A(chǔ)應(yīng)用平臺的二次開發(fā)會更有效率，基于基礎(chǔ)應(yīng)用平臺運行的應(yīng)用會更加安全穩(wěn)定。

平臺的基礎(chǔ)服務(wù)在不斷的完善和擴充，每一項技術(shù)改進、每一次功能提升，都能夠被構(gòu)建于平臺之上的業(yè)務(wù)應(yīng)用所分享。不同的開發(fā)者之間甚至可以交換各自基于基礎(chǔ)應(yīng)用平臺開發(fā)的應(yīng)用，以便在各自領(lǐng)域為用戶提供更加全面的服務(wù)。

基礎(chǔ)應(yīng)用平臺的進步帶動所有應(yīng)用一起進步，基礎(chǔ)應(yīng)用平臺的擴展推動所有解決方案一同擴展，這正是基礎(chǔ)應(yīng)用平臺體現(xiàn)的價值。

[1]黃松，郭偉．基于諾蘭模型的高校信息化建設(shè)趨勢分析與展望[J]．江漢大學(xué)學(xué)報：自然科學(xué)版，2013，41（1）:71-75．HUANG Song，GUO Wei.Analysis and prospect of university information development tendency based on nolan model[J].Journal of Jianghan University：Natural Science Edition，2013，41（1）:71-75.

[2]Thomas Erl，Benjamin Carlyle，Cesare Pautasso， 等.．SOA與REST：用REST構(gòu)建企業(yè)級SOA解決方案[M]．馬國耀，申健，劉蕊，譯.北京：人民郵電出版社，2014．

[3]宋貴全．基于RADIUS協(xié)議3A服務(wù)器的設(shè)計 [J]．電腦知識與技術(shù)，2012，8（19）:4598-4600．SONG Gui-quan.Design of 3A server based on RADIUS protocol[J].Computer Knowledge and Technology，2012，8（19）:4598-4600.

[4]王景麗．基于Web Service的中小企業(yè)信息化平臺的設(shè)計與實現(xiàn)[D]．杭州：浙江工業(yè)大學(xué)，2012．

[5]Sean Convery．網(wǎng)絡(luò)安全體系結(jié)構(gòu)[M]．田果，劉丹寧，譯．北京：人民郵電出版社，2013．

[6]王佳亮．一種商用文件傳輸系統(tǒng)[J]．計算機系統(tǒng)應(yīng)用，2014，23（3）:71-76．WANG Jia-liang.Commercial file transmission system[J].Computer System and Applications，2014，23（3）:71-76.

[7]謝巍．基于PKI的單點登錄系統(tǒng)的設(shè)計與實現(xiàn)[D]．北京：北京郵電大學(xué)，2012．

[8]賀靖靖．基于PKI/PMI體系下的匿名認證方案研究[D]．開封：河南大學(xué)，2013．