机构员工管理系统建设项目建设方案.docx
《机构员工管理系统建设项目建设方案.docx》由会员分享,可在线阅读,更多相关《机构员工管理系统建设项目建设方案.docx(69页珍藏版)》请在冰豆网上搜索。
机构员工管理系统建设项目建设方案
机构员工管理系统建设项目
建设方案
1.项目背景1
2.需求分析2
2.1现状分析2
2.2需求分析4
3.设计原则7
3.1技术标准7
3.2设计原则10
4.系统优势12
5.安全指标14
6.功能指标16
7.性能指标18
7.1数据的完整性与一致性的要求18
7.2系统响应能力18
7.3系统稳定性18
7.4安全保密性19
7.5系统易用性19
7.6可维护性19
8.技术方案20
8.1系统拓扑架构20
8.2系统逻辑架构20
8.2.1系统功能架构22
8.3系统功能介绍23
8.3.1GIS地图定位子系统23
8.3.2地理坐标管理模块(GIS)24
8.3.3企业信息展示模块24
8.3.4GPS跟踪模块25
8.3.5转移线路描绘模块26
8.3.6某市危险废物转移信息管理系统移动终端功能扩展27
8.3.7基础资料管理子系统28
8.3.8危险废物申报登记子系统34
8.3.9消息通知子系统45
8.3.10危废转移申请移动终端管理子系统47
8.3.11危废转移审核移动终端管理子系统52
8.3.12台账管理子系统58
8.3.13统计子系统62
8.3.14电子联单移动终端管理子系统65
8.3.15系统管理69
1.项目背景
某资产管理股份有限公司是中国领先的金融资产管理公司,以不良资产经营为核心,通过协同涵盖银行、证券、期货、信托、融资租赁、基金管理、保险、投资及地产的多元化业务平台,向客户提供量身定制的金融解决方案与差异化的服务。
公司在内地的30个省、自治区、直辖市设有33家分公司,在内地和香港拥有9家全资或控股一级子公司。
主要业务包括:
不良资产经营业务、投资及资产管理业务和金融服务业务,其中不良资产经营是公司的核心业务。
随着业务和信息技术的发展,公司的信息化水平不断提高。
根据2016年完成的信息化5年规划,在未来几年内系统数量将达到50多个,随之也带来诸多新的系统安全问题和风险。
系统用户认证、权限管控等将更为复杂。
公司在十几年前就已认识到用户统一认证、权限管理的重要性,并开发了用户管理系统、CA认证系统等,实现了通过CA证书、AD域控对用户的统一认证,单点登录,并实现了对系统权限的集中管控。
但由于其系统功能、架构等的局限性,已无法满足目前系统环境对机构、员工、用户、角色、资源、权限等管理的需求(具体内容见“主要问题和挑战”章节)。
根据信息化规划,建议新建或在原用户管理系统的基础上进行重大改造以建设“机构员工管理系统”提升对机构、员工及用户权限的管理功能,实现与人力资源系统同步机构员工基本信息,并发布给各系统;实现对用户的全生命周期管理,统一系统级权限管控,并支持对一些通用或缺省角色的统一管理;实现用户账号的合规分析及用户操作的审计功能。
2.需求分析
2.1现状分析
信息化规划中所规划的机构员工管理系统的功能,在目前的系统结构中主要在网络办公平台中的用户管理系统实现。
现有的用户管理系统应用架构现状示意图如下:
2007年母公司部署用户管理系统1.0版本,实现了母分公司系统用户的统一认证,单点登录和用户权限的统一管理。
2012年集团总部以及九个子公司部署用户管理系统2.0版本,实现了对子公司用户访问集团应用的系统级的权限控制;母公司在2012年后开发系统的系统级用户管理功能也升级到用户管理系统2.0版本进行管理。
因之前开发的系统升级改造难度较大,仍使用用户管理系统1.0版本的用户管理功能,在母分公司形成了新旧两套用户管理系统并存的状况。
集团总部与母公司和各子公司共有12套用户管理系统,用户管理系统采用星型架构连接。
使用用户管理系统1.0的核心业务系统、档案管理系统等和使用用户管理系统2.0的内部评级系统其角色权限的设定在用户管理系统实现。
近几年,公司开发的系统多以套装软件为基础进行开发,而套装软件本身基本上都带有用户管理功,因此,对于近期上线的系统,用户管理系统以实现系统级的用户权限管控为主。
现有的用户管理系统对机构、员工、用户、权限的管理状况如下:
机构管理:
某资产(母公司)与人力资源管理系统(旧)共享一套机构信息数据,数据由人力资源管理系统(旧)维护;用户管理系统支持向目标应用系统推送机构信息数据;各子公司的机构数据信息可以在用户管理系统中自行维护。
员工管理:
员工数据统一由人力资源管理系统维护;用户管理系统中的用户与员工信息没有对应关系。
用户管理:
用户数据由各用户管理系统自行维护管理;集团用户管理系统汇总所有的用户信息;某资产的用户口令由CA证书平台和AD域控服务器管理;各子公司的用户口令由用户管理系统管理;部分可以直接访问的系统内也具备用户口令管理功能。
权限管理:
某资产和各子公司的用户管理系统维护用户的系统访问权限数据;在集团用户管理系统中,接收各用户管理系统的用户信息和权限数据;应用系统接收用户管理系统推送的用户、机构数据,自行管理本系统的用户在系统内的功能、操作、数据等权限。
用户管理系统不支持用户创建、权限调整、注销等审批流程的灵活配置,相应的审核、审批流程在程序中固化,通过协同网络办公平台的任务中心实现。
用户管理的现状总结如下表所示:
系统
机构信息
用户信息
权限信息
管理应用系统
用户管理系统
(集团)
汇总全集团机构数据
汇总全集团的用户信息
共有6261个用户、417个角色
用户对集团应用系统的访问权限
集团级应用系统:
•综合统计信息系统
•集团网络办公平台
•客户信息管理系统
•内部评级系统
•…
某资产
(母公司)
与人力资源管理系统(旧)共用一套机构信息,不可维护(由HR统一管理)
管理某资产所有的用户
总部用户642人
分公司用户1699人
用户对某资产应用系统的访问权限
用户对集团应用系统的访问权限
某资产自有应用系统;
•网络办公平台
•IT项目综合管理系统
•资产档案管理系统
•…
子公司
自建机构信息
管理所有登录网络办公平台的用户
用户对集团应用系统的访问权限
用户对子公司个别应用系统的访问权限
集团应用和子公司自有应用系统;
•集团网络办公平台
•财险培训
•…
2.2需求分析
机构员工管理系统作为某统一用户管理和机构、员工、用户相关信息的统一发布渠道,为某用户管理、统一认证、授权管理提供充分的保障,并对其它应用系统提供机构、员工信息的支持。
经分析机构员工管理系统建设项目需求如下:
Ø机构员工管理
机构就是对应现实世界中具体的组织,这些组织既可以是实际的组织也可以是虚拟的组织。
某的内部组织机构信息来源于人力资源系统(支持联机调用和批量数据传输),外部及虚拟组织机构信息可在本系统维护。
员工信息包括公司的正式员工、合同工等员工信息,也包含有使用某系统需求的外部人员信息。
内部员工的信息由人力资源系统提供唯一来源;外部人员信息可在本系统维护。
各应用系统如需要本系统维护的机构、员工(包括外部人员)信息,这些信息由本系统统一发布(支持联机和批量数据推送)。
Ø用户管理
用户身份管理负责对用户信息进行统一管理、统一注册。
针对不同应用的需求,整合人员各方面信息,建立企业人员目录并提供身份的全生命周期管理(入职、变更、离职、口令到期等)。
实现资源(应用和系统)帐号的统一管理和符合管理要求的供应策略。
提供用户帐号创建和变更的审批工作流服务,对用户帐号实现灵活的、可配置的流程化管理。
机构员工管理系统需对各应用系统中的用户信息进行整合并与之双向同步,包括实时同步。
另外,本系统需支持实现基于安全策略的帐号回收、挂起等自动化管理功能;提供对现有帐户进行定期重新认证功能,以确保没有未及时清除的孤儿账户;支持职责隔离策略的制定。
Ø统一认证
支持与某现有的CA认证系统、AD域控服务器集成等认证方式,为所有的后台应用系统提供集中的身份认证平台。
支持单点登录(SSO)功能。
Ø授权管理
授权管理包括针对不同的应用系统,提供系统级访问权限的管理;同时,考虑规范化用户管理的需求,系统的选型、建设应支持对角色等的管理功能,支持对一些通用或缺省角色的统一管理,并支持未来可能的统一角色权限管理的需求。
系统需提供用户的各种权限查询功能。
Ø合规管理与集中审计
提供帐号合规情况的统计分析和基于安全信息事件的合规分析。
要求身份管理、身份认证、授权管理的所有操作都可以进行审计。
审计记录应包括事件的日期和时间、用户、事件类型、事件内容、事件是否成功等内容;提供审计事件选择、可选审计查阅等;应提供审计记录的存储与保护,防止审计数据被非授权用户破坏。
Ø身份管理规范
机构员工管理系统对员工身份与访问控制进行统一管理,从信息安全的角度要求进一步完善身份管理相关的规章、流程,需要制定身份管理规范、密码策略、授权管理流程等相关管理制度。
随着机构员工管理系统的建成推广,身份管理规范也需要在公司内进行宣传、培训,并监督员工的执行。
Ø开发的标准规范
机构员工管理系统作为基础性平台,未来众多应用与系统均需要与其集成。
因此接口的标准规范与开发集成规范均需要在该项目中制定并完善。
3.设计原则
3.1技术标准
本系统的设计和开发依据以下的计算机软件工程规范国家标准:
分类
标准号
标准名称
主要内容及关系
专业
基础
GB/T11457-2006
软件工程术语
软件工程领域中通用的术语,吸收了其它标准中的术语,本规范中有引用术语,
GB/T13702-1992
计算机软件分类与代码
GB/T15538-1995
软件工程标准分类法
GB/Z18493-2001
信息技术软件生存周期指南
为8566的应用提供指导,为使用或应用8566的人员写的,提出应用时必须考虑的各种因素,对可以应用的不同场合进行了说明
软件质量
GB/T1754-1998
信息技术软件包质量要求和测试
GB/T18491.1-2001
信息技术软件测量功能规模测量第1部分:
概念定义
GB/T18492-2001
信息技术系统及软件完整性级别
技术与管理
GB/T13423-1992
工业控制用软件评定准则
GB/T14394-1993
计算机软件可靠性和可维护性管理
GB/T16260-1996
信息技术软件产品评价质量特性及其使用指南
GB/T18905.1-2002
软件工程产品评价第1部分:
概述
GB/T18905.2-2002
软件工程产品评价第2部分:
策划和管理
GB/T18905.3-2002
软件工程产品评价第3部分:
开发者用的过程
GB/T18905.4-2002
软件工程产品评价第4部分:
需方用的过程
GB/T18905.5-2002
软件工程产品评价第5部分:
评价者用的过程
GB/T18905.6-2002
软件工程产品评价第1部分:
评价模块的文档编制
遵循国家标准代码
遵循行业标准代码
遵循约定俗成的代码
按照要求,设计保留扩充接口的代码
本项目建设主要依据以下的标准及规范:
标准号
标准名称
主要内容及关系
HJ/T416-2007
环境信息术语
规定了环境信息建设以及日常工作经常涉及的术语与定义
GB/T16705-1996
环境污染类别代码
规定了环境污染类别的代码,适用于环境管理及环境信息系统与其它信息系统的信息交换
GB/T16706-1996
环境污染源类别代码
规定了环境污染源类别的代码,按污染源运动方式、形态、污染对象空间分布等进行划分
HJ/T417-2007
环境信息分类及代码
本标准对环境管理、环境科学、环境技术、环境保护产业等与环保相关的信息进行分类并编写代码:
本标准只规定环境信息分类的基本框架和代码
HJ/T418-2007
环境信息系统集成技术规范
规定了环境信息系统集成过程中所涉及到的相关技术要求,包括应用集成要求、数据集成要求和网络集成要求
HJ/T419-2007
环境数据库设计与运行管理规范
规定了环境数据库设计与运行管理须遵循的基本内容;指导国家、省、市环境保护行政主管部门和环境数据库系统开发设计单位的关系型数据库设计与运行管理活动,可作为验收环境数据库系统开发设计单位所完成的数据库系统设计的参考依据
3.2设计原则
1、先进性和实用性并重原则
管理平台设计坚持采用先进的技术,以提高整体效率。
同时,在兼顾技术先进性的基础上,坚持以需求为导向,讲求实际应用效果,不片面追求高、尖技术的尝试,尽可能采用成熟技术,以保证架构设计的可靠性和稳定性。
2、标准化和规范化原则
管理平台设计工作严格遵循国家、行业的有关技术标准和规范,为各个业务应用系统在应用和数据方面的集成提供前提条件,实现环境信息资源的共享和利用。
3、开放性和兼容性原则
为了实现业务应用系统的集成,必须建立开放式的应用架构,对各类协议和异构数据库提供支持,兼顾已有的业务应用和数据资源等信息基础,还要充分考虑未来系统扩充的可能。
业务应用系统设计应依托应用支撑平台,建设新应用系统,集成部分已有系统,为其他新应用系统提供支撑环境,整体架构应能够适应未来的发展,避免造成投资浪费。
4、松耦合和粗粒度集成原则
管理平台的建设中,对不同应用之间的集成应遵循“松散耦合”的原则,可采用异步通讯、SOA架构等手段,通过粗粒度服务可以实现一次调用就完成既定功能。
这样,在服务实现过程中,将服务使用者和服务提供者隔离开来,确保业务应用系统之间的集成能够在完全不影响现有业务应用的情况下进行。
5、灵活性原则
在系统结构的设计、应用软件结构与设备的选择等均要有较大的灵活性和方便性,使系统易于扩充和升级、维护。
在应用软件的设计方面,系统采用参数化、模块化的方法,通过灵活的定义和管理措施,包括机构管理、人员管理、操作权限、统计分析内容等方面,简化应用系统维护的工作量。
6、可扩展性原则
提高系统的可扩展性和开放性,是本系统建设的一个重要原则。
随着系统运行的扩展和数据存储量的增加,系统在对软、硬件进行简单升级和维护之后即可满足业务需要。
4.系统优势
1、有效规避危废的非法转移
传统基于手工的危废监管方式,难以提供有效的实时监管工具,这是危废非法移动的主要原因。
2、规范危废转移过程
根据我国有关危险废物转移的相关政策,危废转移需先申报、审批通过后转移,转移的过程实时产生转移联单,这是正常合法的转移过程。
传统基于手工的危废监管方式下,实际情况往往是申报不准确,缺项、漏报、瞒报,转移计划滞后或与实际转移路线不符,转移过程产生转移联单不及时,这些不规范的做法,导致监管部门根本无法全面、真实的把握危废转移的实际情况。
通过先进的手段监管危废,从根本上规范了危废转移过程:
产生企业在缺乏申报、计划内容的情况下,实际发生的转移即刻在系统产生报警,这就从技术上强迫企业必须按规范开展申报、计划工作;由于转移过程实时产生转移联单,实际转移情况第一时间到监管部门,使得监管部门实时地掌握最新转移信息,便于监察执法。
3、提高危废转移工作效率
传统危废转移审批过程中,危险废物产生及处置企业需多次往返移出地和接收地环保部门办理行政审批,费时费力。
使用系统后,采用电子联单,避免人工填写,实行网上审批,大幅降低了人力劳动。
同时,由于电子联单一旦进入系统后,产生、运输、处置、监管部门直接可以从系统中调用联单,避免了联单人工流转带来的劳动量及失误。
因此,基于云平台的监管方式大大提高了危废转移工作效率。
5.安全指标
1、使用防火墙。
防火墙的基本功能是对网络通信进行筛选屏蔽以防止未授权的访问进出计算机网络,简单的概括就是,对网络进行访问控制。
绝大部分的防火墙都是放置在可信任网络(内部网)和不可信任网络(Internet)之间。
防火墙成为了与不可信任网络进行联络的唯一纽带,我们通过部署防火墙,就可以通过关注防火墙的安全来保护其内部的网络安全。
并且所有的通信流量都通过防火墙进行审记和保存,对于网络安全犯罪的调查取证提供了依据,所以,防火墙是网络安全的重要一环。
2、建立多级备份机制。
做好网络信息的安全工作,对于重要数据、文件等资料应定期进行备份,在网络环境下,通常可分层次地采用网络异地备份、服务器双机热备份、RAID镜像技术、软件系统自动备份等多种方式做好数据备份工作。
备份数据保存在安全可靠的多个存储介质上,定期将必要的备份数据刻录到光盘中,重要的数据最好制作2个以上拷贝且存放在不同的地点,保证数据在损坏后可以及时恢复。
3、计算机病毒的防护。
对于计算机病毒应该利用网络的优势进行网络防病毒,从加强网络管理的根本上预防病毒。
在网络环境下应以防为主、以治为辅。
计算机病毒的防治在于完善操作系统和应用软件的安全机制,但在网络环境条件下,可相应采取新的防范手段。
网络防病毒最大的优势在于网络的管理能力,解决方式:
一是严格管理制度,对网络系统启动盘、用户数据盘等从严管理与检测;二是充分利用网络系统安全管理方面的功能。
网络本身提供了4种安全保护措施:
①注册安全,网络管理员通过用户名、入网口令来保证注册安全;②权限安全,通过指定授权和屏蔽继承权限来实现;③属性安全,由系统对各目录和文件读、写性质进行规定;④可通过封锁控制台键盘来保护文件服务器安全。
因此,我们可以充分利用网络操作系统本身提供的安全保护措施,加强网络的安全管理。
4、定期扫描系统漏洞。
就目前系统的安全状况而言,系统中存在着一定的漏洞,因此也就存在着潜在的安全威胁,因此,一个实用的方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统,漏洞扫描器就是这样一类系统。
但是,如果我们能够根据具体的应用环境,尽可能早地通过网络扫描来发现这些漏洞,并及时采取适当的处理措施进行修补,就可以有效地阻止入侵事件的发生。
5、安装硬件防火墙,它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
入侵检测系统是一套监控计算机系统或网络系统中发生的事件,根据规则进行安全审计的软件或硬件系统,就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。
6.功能指标
1、简化联单的申领和发放程序
按原来的纸质联单模式管理时,领用单位每次申领联单时必须派专人携带单位相关证明材料赴属地的环保部门领取,而且还要如数返还所有已经使用过的联单,算上往返路程和领用发放的时间,一般需要半天的时间才能完成所有工作程序;而实施电子联单管理后,这些工作都可以在网上完成。
联单使用单位只需在属地环保局进行一次资料备案工作,就可通过属地环保局配备的电子联单设备实现联单的电子信息化,随用随打,从申领到联单生成及打印出来,整个过程只要几分钟就可完成,与原来相比,不仅节省了时间,还节省了人力和物力,工作效率显著提高。
2、规范了废物收运管理
(1)统一了废物产生单位的名称
对于同一个废物产生单位,在电子联单实施之前,由于填写人员的习惯等因素,有填写公司简称的,有全称的,不统一,造成一个公司产生好几个名称,不便于数据统计工作。
实施电子联单后,联单填写人员只能填写公司的全称,避免了同一个公司有好几个名称出现的情形;
(2)统一了废物名称
同一种废物的名称和代码编号,各个废物产生单位对其命名也是五花八门的,实施电子联单后,只能填写在属地环保局备过案的废物名称,避免了原先出现的各种废物别名;
(3)统一了数量单位
在填写纸质联单时,废物产生单位填写的数量单位很随意,有吨、公斤、千克、立方米、升、个、支等等。
实施后数量单位只有公斤、升、个、支,方便了数据统计工作;
(4)打印字体取代手写字体
原来的纸质联单信息是手工填写的,不仅费时费力(1份纸质联单有7联,填写联单内容时若书写力度不够,会造成后面几联的字迹模糊不清),还常有因为填写错误而涂改、字迹潦草不易辨认的情况。
而电子联单是通过用计算机信息,确认后联网打印出来的电子版联单,字迹工整,清晰易辨。
7.性能指标
7.1数据的完整性与一致性的要求
1、做到事务的完整性处理或交付;
2、远程数据更新,当线路或者其他故障时,系统必须有断点恢复和数据的完整性检验;
3、系统运行故障(如断电、死机)所导致的数据不一致性的恢复措施;
4、必须保证数据备份与恢复的完全一致性;
5、无人干预的联机备份或者定时自动存盘。
7.2系统响应能力
1、系统登录时间和各业务模块启动时间不超过3秒;能支持本地用户的并发联机操作;查询不超过5秒。
2、系统应提供WEB服务,对上网用户的平均响应时间不超过10秒,并满足至少50个以上的并发用户数。
7.3系统稳定性
1、系统以显著方式提示错误信息。
2、系统有出错处理机制,当系统运行过程中发生错误时,系统将明确提示错误信息并指导用户按照系统错误处理手册进行处理。
3、系统应提供系统的运行监视和故障恢复机制,建立系统运行的日志文件,能跟踪系统的所有操作。
4、系统要独立于具体的组织机构,能够适应组织机构的变革。
7.4安全保密性
1、各业务系统设置安全保密机制,对用户、软件功能、数据文件提供安全管理。
2、系统提供数据的自动转储和恢复机制。
3、系统采用数据加密机制,进行数据传输。
7.5系统易用性
1、各业务系统采用图形、图像化的人机界面。
2、提供完善的联机帮助信息,所有的操作菜单和提示信息全部使用中文。
7.6可维护性
1、数据库的设计要满足业务数据的扩充以及满足新数据增加和扩充数据体系的要求。
2、建立数据统计口径变化管理方案。
3、系统具有良好的扩充、发展能力,提供今后扩充系统功能、规模的接口;
4、系统的基础数据要代码化,便于数据维护。
8.技术方案
一期系统经过近一年的实际运行,结合升级需求,二期项目升级需完成地图跟踪功能与移动终端功能。
具体如下:
8.1系统拓扑架构
本次系统升级只包含软件与硬件部分,硬件设备部分采用一期采购的设备,包括服务器、交换机、防火墙,另外,系统需要通过互联网与客户端服务以及其他系统进行对接,因此需要较高的安全访问级别。
系统具体网络拓扑图如下:
8.2系统逻辑架构
根据本项目的数据流程以及功能构成,系统逻辑架构可分为交互功能层、应用服务层、数据管理层三层。
数据管理层主要解决数据采集、数据录入、数据分类存储等主要业务;
应用服务层主要完成数据分析、分类统计、个性化统计、系统管理等;
交互功能层主要完成提供给用户数据展现、报表多维度展现、数据日常查询、信息推送等功能。
8.2.1系统功能架构
8.3系统功能介绍
8.3.1GIS地图定位子系统
该系统支持PC端与移动终端的同步使用,该子系统以XX地图为基础进行开发,以解决地图实时更新的问题。
Ø功能模块展示:
8.3.2地理坐标管理模块(GIS)
Ø功能模块展示:
Ø功能简述:
对某市所有涉及危险废物的企业实际地理位置信息进行搜集,确定其所在经纬度,系统通过加载其经纬度在移动终端以及PC端标注出所有涉危企业的地理位置,可在地图上点击涉危企业名称查看
升级会员 