成都市电子政务云平台项目建议书.docx
《成都市电子政务云平台项目建议书.docx》由会员分享,可在线阅读,更多相关《成都市电子政务云平台项目建议书.docx(20页珍藏版)》请在冰豆网上搜索。
成都市电子政务云平台项目建议书
成都市电子政务云平台
项目建议书
成都市软件产业发展中心
二〇一四年五月
1.建设背景及目标5
1.1建设背景5
1.1.1成都市云计算中心建设走在全国前列5
1.1.2政务应用集约化建设将成为电子政务的趋势5
1.1.3政务应用云化建设是实现智慧政务的重要把手6
1.2现状及问题分析6
1.2.1成都市云计算中心建设需要进一步深化6
1.2.2电子政务信息化的通用型业务未被统一考虑7
1.3建设目标7
1.3.1进一步提高云计算对电子政务信息化的服务能力7
1.3.2通过建立电子政务云应用实现电子政务集约化8
2.立项可行性分析8
2.1成都市在电子政务云计算中有很丰富的经验8
2.2国内有众多成功建设案例8
3.建设思路9
3.1建设思路9
3.1.1统一的运行管理框架实现对云应用的统一管理9
3.1.2统一的访问控制框架实现对云应用的安全保障9
3.1.3模块化的运行时支撑服务提供云应用的灵活组装10
3.1.4面向应用商店的订阅模式提供云应用的自助消费10
3.1.5提供政务核心公共云服务来提高云平台的可用性10
3.1.6通过云计算模式建立新的软件交付生态体系11
3.2总体架构11
4.云平台主要功能12
4.1运行管理框架12
4.2组织身份服务构件13
4.3访问控制服务构件14
4.4单点登录服务构件16
5.云平台技术特点16
5.1一体化的云服务平台16
5.2微内核动态化架构17
5.3高性能支撑平台18
5.4支持大规模集群18
5.5全面的应用安全性设计19
5.6提供高度可管理能力20
5.7应用系统全生命周期支持21
6.核心云应用22
6.1文件流转类22
6.1.1收文管理22
6.1.2发文管理23
6.1.3请示汇报23
6.1.4业务流程定制24
6.1.5文件交换系统24
6.2信息发布类24
6.2.1工作动态24
6.2.2通知公告25
6.2.3部门大事记25
6.2.4部门要闻25
6.2.5政策法规25
6.2.6管理制度25
6.2.7领导讲话25
6.2.8内部刊物26
6.2.9资料下载26
6.2.10业务信息个性化定制26
6.3行政管理类26
6.3.1会议管理26
6.3.2车辆管理27
6.3.3办公用品管理27
6.3.4固定资产管理27
6.3.5网上签到28
6.3.6请假管理28
6.3.7值班管理28
6.3.8考勤统计29
6.4内部沟通类29
6.4.1即时通讯29
6.4.2内部邮件29
6.4.3短信办公29
6.5辅助办公类30
6.5.1待办消息提醒30
6.5.2车辆限号提醒30
6.5.3个人日程管理30
6.5.4领导日程管理31
6.6登录认证类31
6.6.1部门内权限管理31
6.6.2部门/全区双向单点登录31
6.6.3人员在线状况31
1.
建设背景及目标
1.1建设背景
1.1.1成都市云计算中心建设走在全国前列
成都云计算中心至2009年开始初步建设,作为国内首家规模化的大型云计算中心,是成都地区统一的网络服务平台,是成都市数字城市的基础设施,是成都市科技能力的集中体现。
目前,成都市云计算中心已经作为成都市电子政务云服务的主要提供的支撑性平台,其中有近50多个电子政务应用运行在云计算中心,并为成都市各委办局提供日常的业务功能。
1.1.2政务应用集约化建设将成为电子政务的趋势
随着电子政务信息化建设的不断发展,成都市各委办局均提出大量信息化建设的实际需求,通过电子政务信息化的建设也是不断提高政府行政能力的重要手段。
随着信息化程度的不断深入,从电子政务信息化的建设需求上可以看出,在政务信息化建设中存在大量的通用性需求,如行政办公类、信息发布类、内部沟通类等大量的应用在软件功能角度上各委办局的需求基本一致,从降低政府投入信息化建设的成本,提高电子政务信息化建设的性价比角度上,从全国、乃至成都市都越来越意识到通过提取各委办局的电子政务公用性需求,实现集约化的建设,以软件服务方式提供给各委办局使用将能够大大降低政务在信息化方面的重复性投资,提高资金的合理利用率。
故电子政务的集约化建设将成为未来电子政务应用的发展趋势。
1.1.3政务应用云化建设是实现智慧政务的重要把手
成都市作为国家科技部、国家标准委批准的全国首批20个智慧城市试点示范城市之一。
近期,成都市制定了《成都市智慧城市试点示范方案》,将重点在夯实网络基础、云化数据中心等2大基础设施等方面的工作。
故如何进一步落实《方案》和顶层设计构想,将智慧成都的建设内容落地成为迫切需要推动的工作,通过对智慧城市的建设案例分析,利用云计算的能力,实现电子政务云服务化将是智慧政务的一种体现,通过云化的服务方式将电子政务信息化系统天然的集成到一起,为将来的政务资源共享提供了有利的条件。
故电子政务应用云化建设是实现成都智慧政务的重要把手。
1.2现状及问题分析
1.2.1成都市云计算中心建设需要进一步深化
目前成都市云计算中心正在为成都市各委办局近50余个电子政务应用提供云服务,经过调研,目前多数的电子政务应用主要是利用了云计算中心提供的虚拟化计算资源来运行服务。
故成都市云计算中心需要进一步深化云资源的服务能力,从提供底层基础的IaaS服务,逐渐提升,提高云计算中心在PaaS上的各种能力,以及对外的SaaS应用服务,以此方式来不断促进电子政务云计算的发展,也不断提高成都市云计算中心的核心价值。
1.2.2电子政务信息化的通用型业务未被统一考虑
目前在成都市信息化建设的报批项目中可以了解大量的电子政务应用都是以委办局为单位进行单独申请、独立建设;在实际分析各电子政务的业务需求上存在大量的通用性需求。
这样的建设方式一方面导致通用性电子政务业务需求建设的标准规范以及建设质量不一,从而形成电子政务信息化起到的效果也不尽相同;另一方面彼此独立的通用型政务业务信息化系统对实现电子政务资源的共享交换存在一定的难度,不利于实现电子政务资源的集约化管理;其次,通用型的电子政务业务应用的重复建设也带来了政务投资政务信息化建设的浪费。
因此,从成都市政务信息化管理部门的角度上来讲,通过对电子政务业务系统的需求分析,建立通用型的政务业务应用,实现以云服务方式为各委办局提供统一的云化应用是需要被统一考虑和建设的。
1.3建设目标
1.3.1进一步提高云计算对电子政务信息化的服务能力
通过以SaaS应用的提供方式,为各委办局提供面向电子政务通用型需求的业务应用是实现将目前云计算中心从提供底层基础计算资源的服务逐渐转变为通过云计算的SaaS应用提供面向业务需求的服务。
从而进一步的提高各委办局对云计算中心的物理资源和服务资源的利用率,也进一步的推动了成都市云计算产业的不断发展。
1.3.2通过建立电子政务云应用实现电子政务集约化
通过对电子政务业务系统的需求分析,构建面向服务的电子政务6大类33个典型的SaaS应用,实现各委办局可以通过在线提供的电子政务应用商店进行在线的订阅和服务使用,以租用的方式获取信息化服务,从而实现对电子政务SaaS应用的集约化建设和统一的服务提供。
2.立项可行性分析
2.1成都市在电子政务云计算中有很丰富的经验
成都市的政务云计算建设走在国内前列,目前成都市各政府部门建设的政务业务应用系统,其中有近50多个政务应用系统在政务云计算中心,并为各委办局提供日常业务服务。
充分利用目前云计算中心在电子政务的影响力和取得的成绩,是为进一步推动电子政务云服务化的绝好条件,也是保障电子政务云平台建设成功的关键要素。
2.2国内有众多成功建设案例
随着各地政府信息化建设的管理部门对信息化建设的管理不断深入,各地政府都在建设电子政务云平台,例如,北京市中关村科技园区海淀园管理委员会在2013年底开始了对建立办公云平台的5大服务中心,6大类33项电子政务公共信息化服务的建设,通过集约化的云服务方式建设,实现为区内各委办局提供通用性的云服务模式。
目前该项目已经建设完成,也正为区内各委办局统一提供电子政务的日常业务服务。
3.建设思路
3.1建设思路
3.1.1统一的运行管理框架实现对云应用的统一管理
利用电子政务云平台提供的统一运行管理框架,实现对电子政务云应用进行统一的运行管理支撑,包括对电子政务云应用的开发、部署、上线、订阅、更新、下架等全生命周期的管理以及提供面向委办局工作人员的云应用商店实现对应用的订阅、付费、服务等级提升的运维管理服务。
3.1.2统一的访问控制框架实现对云应用的安全保障
提供统一的委办局组织结构管理和身份认证及权限控制管理框架实现对电子政务云应用的统一身份认证和统一权限控制,满足各委办局对电子政务业务应用的不同权限要求。
实现服务的多样化提供能力。
3.1.3模块化的运行时支撑服务提供云应用的灵活组装
云平台采用面向服务的SOA架构体系,基于OSGI的开放标准,实现以组件化、模块化方式对外提供电子政务核心应用服务,所有的电子政务核心应用服务采用标准的统一支撑框架技术开发,从而实现用户在线灵活的订阅和组合,最终形成满足委办局电子政务实际需求的业务应用组合。
3.1.4面向应用商店的订阅模式提供云应用的自助消费
云平台提供面向电子政务核心应用的分类订阅商城模式,委办局用户可在线登录到电子政务应用商城,按照分类选择符合需求的电子政务云应用。
从而实现电子政务云应用的在线自助订阅消费,运行时支撑服务实现按需的灵活付费模式,实现服务的多样化。
3.1.5提供政务核心公共云服务来提高云平台的可用性
云平台一方面提供面向云服务化的开发框架和开发标准,实现各类云应用的灵活组装,另一方面云平台提供面向电子政务的6大类33项公共服务的核心电子政务应用,满足各委办局的实际业务需求。
如:
公文流转、信息发布、行政管理、内部沟通、辅助办公、登录认证等33项办公应用需求开发成支持多部门应用、可持续升级、可灵活定制的公共服务模块。
通过建立云计算核心业务应用提高云平台的实际可用性,提高云计算资源为委办局提供的深度应用服务支撑。
3.1.6通过云计算模式建立新的软件产业生态体系
通过电子政务云平台的建立,实现将电子政务应用开发商、云平台运营商、电子政务业务部门、第三方中小企业等相关业务对象建立生态体系,实现云计算服务的闭环管理,最终形成以云平台为核心的软件产业新模式。
3.2总体架构
系统采用面向服务的SOA体系架构设计,通过应用服务为业务应用开发提供支撑。
服务可以自由地排列组合、互通互连、融会贯通,能随时弹性配合未来的、新的业务需求的变化。
4.云平台主要功能
4.1运行管理框架
在电子政务云平台支撑服务中,应用服务运行管理框架提供服务组件的运行管理环境。
应用服务运行管理框架采用微内核架构,作为系统的基础运行环境以及云平台的管理控制中心,提供应用服务发布、注册、查询、调用的全生命周期管理,与上面运行的服务组件共同构成支撑平台,对外提供应用服务,支撑应用系统的建设。
功能名称
功能描述
统一的服务生命周期管理
生命周期管理是应用服务运行管理框架的基础核心,负责所有服务组件的创建、获取、组件间的依赖以及组件的销毁。
统一的服务获取方式
将服务组件中对外的接口自动发布为应用服务,并注册在服务库中,为服务消费端提供了统一的服务获取和调用方式。
统一的服务运行日志、统计分析
提供完整的应用服务运行日志和相应的统计分析功能,为获取整个应用系统的运行情况提供了统一的界面。
统一的分布式部署能力
不同的服务组件可以分别部署于不同的机器上,而对于服务的消费端,这种分布式的部署完全是透明的,可自动切换本地或远程调用,提供负载均衡和失败恢复。
对旧有系统的兼容能力
框架提供服务化功能,可以透明的将旧有应用系统加入到框架的服务生命周期管理当中,从而最大程度的保证了对旧有系统的兼容性。
4.2组织身份服务构件
在电子政务云平台支撑服务中,组织身份服务组件提供云平台所必须的基础组织身份模型和身份服务。
功能名称
功能描述
组织身份建模
组织身份模型是政府组织机构的模型抽象,包括组织模型中各种实体及实体间关系的抽象。
建立统一的组织身份模型,采用一致的语义为各个应用系统提供基础组织身份数据。
组织身份模型的管理
提供对组织身份模型中各个实体对象的修改、删除、授权等管理
组织身份同步
同步工具能实时监听对组织模型的操作(增加、修改、删除用户、部门等对象),再将数据同步到目标系统中;如果目标系统发生故障,可以采用清空目标系统来重新初始化目标系统的数据
服务调用
提供组织身份对外服务调用接口。
基于角色的授权
人和角色进行了分离,这样,我们就可以基于角色进行授权,而不用针对具体的某个人,提高了授权的灵活和方便性。
分级管理
模型中存在严格的树型关系,上下级关系明显,我们可以灵活的在上级把管理任务分发给下级的管理人员,实现分级管理。
一人多岗
模型中严格的把人和岗位进行了分离,这样,当现实中某个人员担任多个岗位时,我们只要把这个人和多个岗位进行关联,这个人在系统中就具有了多个岗的属性,他就可以用一个用户名以不同的岗位身份出现,而不用分配多个用户名给他。
4.3访问控制服务构件
在电子政务云平台支撑服务中,访问控制服务组件提供通用访问控制服务。
访问控制系统提供对用户身份的统一权限配置和统一访问控制等服务。
能够针对各类业务资源授予相应的权限范围,将用户实体与其角色、岗位、部门等权限属性相分离,使每个人员都具备不同的应用权限,实现每级或每个用户只能在自身的权限范围之内访问相应的业务资源。
功能名称
功能描述
权限继承
权限的继承通过对象的父子关联实现,如果设置为可继承,则执行者子对象自动继承父对象的权限,子资源自动继承父资源的权限。
权限过滤
通过设置相应的权限过滤规则,控制资源的权限继承,过滤当前资源节点从父节点继承获得的访问权限。
再授权
再授权是指权限拥有者将自己拥有的权限再分配给其他用户,这个授权过程称之为再授权过程。
再授权中的权限具有包含关系,即只能授予自己拥有的权限。
权限回收
权限回收是指系统回收已经分配给用户的权限。
根据不同的情况,通过权限继承得到的权限,如果父权限被回收,子权限必定被回收;通过再授权得到的权限,根据设置不同规则,可规定父权限被回收,保留或回收子权限。
权限排斥
权限的排斥主要是指当用户拥有权限A时,则不能同时再拥有权限B。
通过定义权限排斥规则,通过静态方式或者动态方式计算权限排斥。
负权限
负权限是指操作者不应该拥有的权限。
负权限通过权限计算叠加完成,计算时负权限优先。
权限等效
权限等效是指如果设置用户B等效于用户A,则用户B拥有用户A的所有权限,权限等效具有时效性。
分级管理
在上级把管理任务分发给下级的管理人员,实现分级管理。
与CA整合
支持与CA系统的整合,可以使用CA证书进行系统登录。
支持域管理
可设置不同的安全域,支持多域的管理。
细粒度授权
支持行级、列级细粒度授权,可以精确控制到字段级权限。
跟踪权限来源
权限有多种来源,包括继承、等效、再授权等,可以追踪权限的来源,具体从何处传递过来。
负权限优先
对于一定不能有的权限,可以设置负权限,在计算权限规则时,优先排除负权限。
权限日志审计
提供权限的变更审计日志,以及权限的访问日志。
分析统计报表
对权限日志进行统计分析。
数据资源权限
提供对单条数据、数据集合的访问控制权限。
操作类型、资源类型、操作者可扩展
在WEB界面上就可以对权限三元素(操作类型、资源类型、操作者)进行扩展,满足系统的可扩展性需求。
身份切换
经过系统管理员授权后,被授权人员可以切换为其他人员的身份,并行驶其他人员的权限,以便进行业务代办、系统测试等。
切换的身份操作会有信息记录,并有权限日志记录。
4.4单点登录服务构件
在电子政务云平台支撑服务中,单点登录服务组件提供通用单点登录服务。
支持与PKI/CA认证系统的单点登录,通过用户身份的认证以及网上信息传送的保密性、完整性、真实性和不可否认性;从而可以实现应用系统的单点登录(SSO)和身份认证、安全信息通道(SSL)、文件的加密传输和存储等服务。
功能名称
子功能名称
功能描述
开发接口
二次认证接口
从单点登录认证代理服务器中获得用户身份信息,实现子系统的后台二次认证
用户信息接口
部署配置
认证监控配置
初始化子系统的单点登录配置信息;监控用户的访问请求;自动判断用户是否已经通过认证
5.云平台技术特点
5.1一体化的云服务平台
采用SOA架构、一体化的架构设计:
一切都是服务,服务可重用、可编排,系统之间松散耦合、随时可用;
采用XML可配置方式发布服务,实现服务的自动发布和自动注册:
基于分布式服务库的查找、路由、调用。
具有位置无关性,可透明的进行本地或远程服务调用。
服务延迟调用机制,在调用服务时先获得服务的代理对象,只在实际执行调用时才真正发起调用。
∙服务的可管理性:
服务可注册、可配置、授权、性能、排错、日志、审计。
∙支持平台间的分布式调用:
不同平台之间,采用对等的分布式调用机制,可注册远程的服务库到本地。
可通过应用服务框架之间的互操作调用,实现互联互通。
∙广泛应用业界标准:
采用标准的Web服务协议组作为服务接口描述和调用规范,可屏蔽不同软件平台的差异,实现透明的互操作。
5.2微内核动态化架构
∙微内核:
采用OSGi开放标准,搭积木方式构建系统。
OSGi采用高内聚低耦合的原则,使用微内核+系统模块+应用模块设计,微内核保证了髙一致性,基于模块的设计保证了松耦合。
使得系统更加稳定、更加健壮,模块的崩溃不会影响到整个平台。
∙模块化:
一切都是模块,规范的设计、更好的重用、可积累的模块库。
实现各模块之间完全独立的结构,包括Jar包的依赖关系,并且隔离运行时类的可见性。
模块可以单独开发、单独发布。
∙动态化:
模块动态部署、卸载、更新、停止、启动,动态改变系统的行为。
可以增加新的模块而不必重新启动平台,更新模块时仅影响依赖于被更新的模块,运行于平台的其他模块不受影响。
∙可扩展:
支持第三方开发应用,提供了独立的商业版权和运行环境。
5.3高性能支撑平台
∙单机性能指标:
单台PC服务器(IBMX36502.4G双CPU,8GRAM),达到500个混合交易并发处理能力,按照30%的用户交易计算,可以支持1500用户在线,按照30%的用户在线峰值计算,可以支持5000个注册用户。
随着CPU主频的提升瓶颈,多CPU多核成为主要发展路线,采用多服务器、多虚拟机、多线程并发执行,大幅提升系统负载能力。
∙高速计算能力:
计算的核心是基于对象模型的,在内存中的组织模型、权限模型、流程模型等,保证了系统高速运行。
对于计算密集型的访问控制,单独设计了“高速权限稀疏矩阵”大幅提升性能。
∙高速缓存:
对于频繁访问的昂贵对象,如工作流实例对象,放在流程实例缓冲池中重用。
采用Hibernate二级缓存,支持JBossCache或Memcached,减小数据库负载。
∙异步处理:
采用异步事件处理机制,提高响应速度,包括访问日志双缓冲队列进行记录,流程参与者异步分解为工作项等。
高效率的XML处理。
5.4支持大规模集群
平台可扩展性强,支持构建大规模集中部署、分级应用的高可用性、可扩展的大集群平台。
∙垂直扩展:
避免在Session中保存大对象,尽量重用对象,减少内容占用,减少GC。
加强多线程并行处理,避免笨重的synchronized线程同步,采用JDK5中的concurrent更高效的处理竞争;采用非阻塞I/O,提升处理文件(附件等),提升系统吞吐能力。
以数据流管道方式处理文件,占用内存小。
∙水平扩展:
采用SNA无共享的集群架构(Share-NothingArchitecture),不考虑其他因素,集群的计算能力几乎可以得到线性的增长;基于广播同步的分布式缓存;基于Hash的集中式大规模缓存;数据库从中央数据库方式转向分区方式;基于NFS、SAN的网络存储架构,可以处理大规模文件系统;采用MapReduce技术对大数据量计算转换为并行处理。
5.5全面的应用安全性设计
应用系统安全:
采用多层结构,避免表现层直接与数据层交互,有效提高后端数据的安全;使用类型安全的SQL参数化查询方式,从根本上解决SQL注入的问题;用户密码等关键数据采用MD5不可逆加密后保存;URL参数类型、数量、范围限制功能,解决恶意用户通过地址栏恶意攻击的问题;整个系统和管理后台的IP访问限定功能,以实现权限和访问的最小化原则;对核心程序进行混淆加密,避免恶意用户通过反射利用代码漏洞进行攻击;采用自定义错误页和全局的异常处理,屏蔽异常出现时暴露的敏感信息;对连接字符串进行加密,在配置信息泄密后保护数据库连接的敏感信息;利用密码强度限制,排除存在弱密码被暴力破解的可能性;日志记录。
详细跟踪记录用户操作异常和部分系统异常,能通过日志分析系统可能存在的漏洞和bug。
∙应用逻辑安全:
采用基于RBAC的访问控制模型;支持域管理,可以划分不同的逻辑域;支持权限的分级管理,满足权限维护管理的复杂性;支持细粒度授权;支持权限预览,可跟踪权限来源;再授权回收;负权限优先;访问日志审计;权限分析报表。
∙访问控制的可扩展:
操作类型可扩展、资源类型可扩展、操作者可扩展。
∙支持CA整合:
可以通过电子钥匙登录系统,并支持电子印章、手写签批、电子签名。
∙可扩展数据加密模块:
实现对业务数据的透明加密,使得数据库管理员不可见。
5.6提供高度可管理能力
引入了更多的自助式管理和自动化功能,将帮助客户降低系统管理成本,同时提高客户应用的性能、可扩展性、可用性和安全性。
绿色软件,免安装,解压即运行。
向导式系统配置,数据库自动创建。
提供统一管理控制台:
实现整个系统的单点管理。
支持分级管理,在权限范围内进行业务管理。
图形化的控制面板,集中的图形化管理、监控与优化。
在权限范围内进行业务管理。
权限预览,可跟踪权限来源。
∙提供详细的操作日志和审计报表:
包括用户登录日志、模块业务应用日志、应用服务调用日志、管理操作日志、系统运行日志。
∙提供自动化的、实时的报警与处理:
自动负载库(AutomaticWorkloadRepository),默认情况下每一小时采集一次AWR信息,保留最近一个星期的AWR信息。
活动会话历史(ActiveSessionHistory),默认保留最近一个月的会话历史。
∙提供可定义的报表:
全面掌握系统情况,可进行历史数据的对照与分析。
∙提供免费的移植和迁移工具:
提供多种导入、导出工具,灵活的在多系统之间迁移数据。
组织模型、访问控制、流程模型、流程实例、表单模板等均可导出XML。
5.7应用系统全生命周期支持
提供应用系统全生命周期支持,包括开发、调试、运行、管理、诊断、运维。
∙开发:
提供开发平台和开发工具,集成于eclipse的开发工具。
∙调试:
提供流程Debug模式和流程模拟器,表单预览。
∙运行、管理:
参见“提供高度可管理能力”。
∙诊断:
性能诊
升级会员 