北控水務信息門戶系統建設方案用友軟件股份有限公司二○一三年四月此文檔為保密文檔，未經用友軟件股份有限公司書面同意，不得向任何單位或個人提供、轉讓本文檔中的任何內容，用友軟件股份有限公司將保留對泄漏文檔內容的起訴權利。北控水務信息門戶系統建設方案文件狀態：[]草稿[]正在修改[√]正式發布文件標識：當前版本：作者：完成日期： 版本歷史 版本作者參與者起止日期備注1.0陳輝20130412新作成審核記錄版本姓名職位審閱日期備注 目錄TOC\o"1-4"\h\z\u第一章動因與價值 1第二章總體方案 2第三章建設內容 53.1統一企業門戶 53.2統一消息中心 53.3統一待辦中心 63.4統一用戶中心 73.5統一認證中心 7第四章建設步驟 104.1第一階段：快速建設、體現價值 104.1.1工作內容與價值 10統一用戶認證，提升信息化體驗 10統一消息待辦，提高工作效率 11統一信息發布，促進信息共享 12信息分層管理，服務不同崗位 134.1.2工作計劃與工作量 134.2第二階段：全面建設，全面整合 144.2.1工作內容與價值 14持續優化改進，量變促成質變 14移動辦公 144.2.2工作計劃與工作量 16動因與價值北控水務經過1年的信息化建設已經建立完成財務、BI、人力資源、協同OA、報表中心等五個信息系統，信息化建設取得了初步成果。由于前期建設主要集中在具體業務模塊之上，五個信息系統之間沒有體現出很好的協同效果，沒有做到1+1大于2的局面。為了頑固一期建設成果，同時為二期建設做好基礎，急需一個平臺把現有信息系統進行整合，并為后續建設提供規范要求。雖然北控水務信息化建設起步較晚，但是會有一些后發優勢，目前建設的五個系統采用技術均較先進，財務、人力、報表中心采用統一的平臺，此時啟動集成平臺建設起點高、收效大。信息化建設的三個階段集成平臺主要包括：界面集成、數據集成、流程集成、服務集成等幾部分，根據北控水務的實際情況先建設界面集成門戶收效最大，待門戶建設取得階段性成果再建設其它集成功能。總體方案集成層分為四個集成平臺（信息門戶、應用集成、分析決策、數據交換），總體架構如下圖：總體架構圖總體架構采用縱向三列、橫向五層的設計方式，縱向包括安全體系、和運維保障體系，橫向上有用戶層、集成層、應用層、數據層和基礎層。1、用戶層 為各層次、各類別人員提供針對性的訪問界面。2、集成層該層由四個集成平臺（信息門戶、應用集成、分析決策、數據交換）構成。形成統一的用戶交互、統一用戶管理及授權、統一用戶身份認證、應用功能提供、數據交換、數據分析利用、業務流程協同能力，靈活適應業務發展帶來的信息化需求變化，實現集成共享能力，為融合支撐、價值創新奠定堅實的基礎。3、應用層該層主要包括綜合經營管理、科研生產管理、知識管理、財務管理、人力與組織管理、綜合行政管理等六大類業務應用系統。業務應用系統的用戶涉及北控水務所有職能部門（領導機構、處室及研究室）的各級領導、管理人員、業務執行人員。4、數據層該層以數據庫和LDAP存儲和管理系統基層過程中需要的數據資源，通過對系統集成的需求的整體分析，將系統集成數據資源劃分為配置監控庫、服務注冊庫、門戶信息庫、BI資源庫以及用戶目錄數據。5、基礎層整合利用現有的軟硬件設施，為系統集成提供基礎運行環境。6、安全體系和運維保障體系制定一套信息安全與系統運維設計方案，確保系統、數據等的安全，同時保證系統上線后能穩定運行。為公司系統使用者提供系統培訓、技術支持等全程貼身服務，保障系統高質量運行。安全管控是集統一認證、身份管理、單點登錄、訪問管理、安全管理于一身的基礎技術平臺,主要包括如下三方面。1、 統一用戶中心，UUC(UnifiedUserCenter)，負責管理用戶賬號的全生命周期管理與權限管理。包括用戶賬號的新建、生效、實效、暫停、注銷、映射、分發、同步、授權、支持認證方式、訪問互斥策略等。。2、統一認證中心，UIA(UnifiedIdentityAuthentication)，負責負責統一管理與認證相關工作，例如認證協議、邏輯、方式等，支持普通的用戶名/密碼認證方式，以及支持CA證書、USBKEY等多種身份認證方式。3、統一審計管理，UAA(UnifiedAuditAdministration)，負責對用戶的訪問日志進行實時監控、訪問操作行為進行合規監管統計。統一用戶認證中心產品架構圖建設內容統一企業門戶門戶作為所有信息系統的訪問入口和展現平臺，通過用戶集成、界面集成、消息集成提供系統單點登錄入口、統一消息待辦、統一用戶身份認證、統一訪問操作審計、統一信息發布、綜合報表展現等功能，從而全面提高信息系統的安全性與便捷性，提高領導獲取信息，決策判斷的便捷性，提高員工的工作效率。門戶的三大集成統一消息中心統一消息中心提供系統與系統之間、系統與用戶之間、用戶與用戶之間的消息發送、接收、提醒、反饋管理，支持多種消息傳輸展現模式（門戶消息展現、語音電話、手機短信、電子郵件等）。消息中心統一待辦中心統一待辦中心提供待辦工作的集中管理、查詢功能，根據各類工作的緊急程度進行排序，到時自動進行催辦管理；待辦工作管理中把與該項工作相關的一系列信息（包括：工作來源、完成時限、工作目的）表現出來，同時容許用戶定制提醒的時限和方式。待辦中心待辦任務包括：待辦公文、預警信息、督辦信息、通知通告、日程安排、任務通知、會議通知、最新文章等。消息集成方案消息集成即在門戶中可以集成各個業務系統的消息、待辦等信息，并可以直接處理，不需要再直接進入具體的業務系統。門戶集成第三方系統的消息主要采用兩種方式。采用第三方系統提供的服務(WebService)直接獲取第三方系統的待辦消息，在Portal中通過Portlet展示，返回的待辦消息應至少包括消息標題、消息鏈接地址，點擊每一個待辦消息鏈接，應能夠直接打開第三方系統的待辦消息處理界面。直接單點集成第三方系統的消息界面，通過單點登錄進入第三方系統并告知第三方系統要跳轉到該系統的消息界面，那么該消息界面將直接展示在Portlet中，點擊打開消息完全依賴第三方系統的內部處理機制。以前要進入多個系統才能處理的待辦事務，現在通過門戶系統全部統一處理。每條待辦事項信息應該包括如下字段 字段名備注消息來源具體哪個業務系統的消息待辦事項ID待辦事項唯一編號消息內容消息內容處理鏈接用戶點擊彈出頁面的鏈接信息狀態0：正常1：即將超時信息發送時間待辦事項信息發送時間，形如：yyyy-mm-ddhh-MM-ss信息發送人信息發送人待辦事宜集成顯示門戶平臺可以集中將業務系統中的待處理事項以待辦事務的形式集成到門戶系統中。達到在一個工作界面中通覽多個業務系統待處理任務的效果。實現業務處理事項多層次、多維度、多視角、全方位的信息展現；信息整合子系統應整合來自各業務系統的數據，達到待辦事項集中提示、重要數據集中展示的功能。門戶待辦分類展現門戶通過Portlet、布局進行分類劃分，將不同待辦事宜進行分劃，達到可以快速進行處理，提高協同辦公效率目標。統一用戶中心統一用戶中心負責管理用戶賬號的全生命周期管理與權限管理。包括用戶賬號的新建、生效、實效、暫停、注銷、映射、分發、同步、授權、支持認證方式、訪問互斥策略等。從功能角度統一用戶中心包括如下功能：1、人員信息系統管理員、組織管理員可增加主賬號信息，組織管理員主賬號信息走審批流從第三方系統導入，AD、HR系統、OA系統各系統調用用戶中心發布的服務實時、定時同步用戶信息2、人員組織機構自建、或從它系統同步只作為主賬號的分類，方便查詢、定位3、 人員訪問系統權限人員關聯角色，角色關聯可訪問系統密碼策略管理，密碼管理4、用戶自助維護系統更改密碼，重置密碼，找回密碼個人信息維護系統映射關聯統一用戶中心統一認證中心統一認證中心負責負責統一管理與認證相關工作，例如認證協議、邏輯、方式等，支持普通的用戶名/密碼認證方式，以及支持CA證書、USBKEY等多種身份認證方式。統一認證中心認證方式采用插件化設計，默認支持多種認證方式，針對北控水務采用廠商吉大正元提供的CA認證方式，統一認證中心產品默認支持，只需要進行簡單的接口調試。其它接入系統只需與統一認證中心進行單點登錄，不必再使用CA方式進行認證，也可具備CA認證的安全性。統一認證中心全景流程圖如下圖，：統一認證中心全景圖1、用戶用瀏覽器訪問業務系統時，會重定向到認證中心地址，用戶提交憑證(賬號密碼、指紋、CA等)給認證中心；2、3認證中心與憑證槽三者之間進行認證協議流轉，最終確認當前用戶是否為合法用戶；4、認證中心返回頁面給瀏覽器，并在瀏覽器中寫入UUCcookie，UUCcookie中保存著當前用戶賬號信息。5、瀏覽器接收到的返回頁面是個redirect動作，瀏覽器redirect到返回之前訪問的地址(默認是門戶地址)；6、門戶通過UUCcookie獲取當前登錄的用戶UserID，加載用戶信息，返回門戶首頁。7、用戶在門戶頁面中點擊接入系統的鏈接，瀏覽器訪問接入系統。8、接入系統過UUCcookie獲取當前登錄的用戶UserID，如果是用戶映射的系統獲取到的是映射了的UserID，加載用戶信息，返回接入系統頁面。為了保證認證過程的安全嚴密性，UUCcookie中保存的用戶信息采用簽名算法進行簽名。統一認證中心包括如下功能：1、為所有業務系統提供集中的認證中心 支持靜態用戶名密碼、動態密碼、CA證書、U-Key、指紋、個性化認證等認證方式每一主賬號用戶可以設置不同的認證方式支持多種開放標準協議，HTTP、HTTPS、Webservice、TCP、LDAP安全策略，無操作時間限制、IP限制、密碼錯誤次數限制、強制口令修改2、為B/S、C/S架構系統提供單點登錄功能Form-BasedSSO基于tokenSSO3、接入系統管理接入系統注冊，系統碼、系統名稱、系統類型、用戶驗證類型、系統描述、是否有效、最后修改時間建設步驟根據分布建設、從易到難的原則，建議采取“整體規劃、分布實施”策略，把建設步驟分為兩個階段。第一階段快速建設，體現效果：主要采用門戶產品進行實施，產品功能可以絕大部分覆蓋北控水務一階段需求。主要工作包括：1、統一待辦、統一消息、統一的新聞公告；2、單點登錄、頁面集成；3、統一用戶管理。4、接入報表分析、領導駕駛艙；第二階段持續優化，全面推廣：主要完善第一階段的工作，包括：1、對新建設的系統進行單點接入；2、豐富信息內容，包括豐富信息發布新聞公告的欄目內容、豐富企業文化建設內容、增加公司、部門介紹等信息展現；3、增加多級門戶，在第一階段基礎上增加完善多級門戶的建設；第一階段：快速建設、體現價值工作內容與價值統一用戶認證，提升信息化體驗安全管控平臺的建設方案是集統一認證、身份管理、單點登錄、訪問管理、安全管理于一身的基礎技術平臺。統一用戶認證中心產品功能圖安全管控平臺的建設方案主要包括如下三方面。1、 統一用戶中心，UUC(UnifiedUserCenter)，負責管理與用戶賬號相關的工作，例如新建、生效、實效、暫停、注銷、映射、分發、同步、授權、支持認證方式、訪問互斥策略等。2、統一認證中心，UIA(UnifiedIdentityAuthentication)，負責統一管理與認證相關工作，例如認證協議、邏輯、方式等。3、統一審計管理，UAA(UnifiedAuditAdministration)，負責對用戶的訪問日志進行實時監控、訪問操作行為進行合規監管統計。統一用戶管理和統一認證管理可以在一期進行建設，統一審計建議放在二期或者三期建設。通過統一身份認證中心產品實現各系統的單點登錄。共有兩種解決方案：票據方式、表單方式，由于表單方式對接入系統改造工作量要求小，可以快速出效果，所以第一階段建議采用表單方式。統一身份認證中心支持多種認證方式，例如CA認證、靜態密碼、動態手機短信、指紋機等。實現統一身份認證之后，認證中心支持的認證方式，接入系統自動支持，不需要做額外改造。如上圖，原先由于要使用的系統眾多，使用者要記住所有系統的用戶名、密碼，單點登錄及安全技術實施之后使用者只需要面對門戶系統，門戶達到了統一入口的效果。統一消息待辦，提高工作效率過門戶產品中統一消息功能，可以把各系統消息集中展現在門戶中。統一消息待辦集成有兩種實現方式：頁面嵌入方式、數據服務集成方式。由于頁面嵌入方式涉及到接入系統配合工作量小，所以第一階段建議采用頁面嵌入方式。沒有實施統一消息待辦之前，每個系統的待辦事務無法及時的獲取，用戶必須進入每個業務系統才知道有沒有待辦要處理。有了門戶后，所有系統待辦消息都在門戶上直接展現，用戶進入門戶系統后就可以方便、快速的處理所有系統和自己有關的待辦消息，在不同系統間的切換對用戶是透明的，極大提高了工作效率。統一信息發布，促進信息共享通過門戶產品中信息發布功能，進行北控水務所有通知、公告、動態網頁的信息發布，從而達到統一發布、統一查閱、信息共享的目的。企業信息化的建設不斷發展，所建系統越來越多，眾多的信息分布于各個業務系統，信息資源分散，無法做到集中采集、集中發布，信息資源缺乏有效的共享抑制了信息價值的體現。而門戶系統好比是一根串聯各個珍珠的線，能夠科學、高效、無縫的將這些信息系統串聯，充分融合各個業務系統信息于統一平臺，不同角色人員可以看到自己相關的各種信息，在門戶中做到信息的采、編、發一站式處理。信息分層管理，服務不同崗位門戶支持根據不同用戶，分角色、崗位、部門等進行信息展示，從而可以實現員工首頁、領導駕駛艙、信息部專欄、集團首頁、公司首頁等多級門戶效果。企業人員眾多，不同崗位的人員對于企業的關注層次也不盡相同，普通員工登錄門戶快速、方便的訪問自己常用的系統，能夠快速處理日常辦公事務。領導層登錄門戶可以查看不同報表數據，通過門戶與BI系統的集成，將報表數據以Flash動態圖表的方式展現于門戶平臺，企業財務指標、風險預測、經營狀況指標等一目了然，支持決策。工作計劃與工作量門戶為117人天，接入系統改造配合為47人天，共計164人天。門戶以集成財務、BI、人力資源、協同OA、報表中心等五個信息系統計算，預計需要3個月（投入2個人，共117人天）完成，詳細列表請見《北控水務信息門戶系統建建設規劃》。此階段只有少量單點登錄接口連調涉及到開發顧問工作，其余均為實施工作。階段具體工作項是否

必須備注單位人天數量總計第一階段快速建設、體現價值是117A01搭建企業門戶A01-01安裝是軟件產品的安裝工作，包括：軟硬件拓撲規劃、網絡規劃、產品安裝。224A01-02美工根據企業要求美化門戶登錄界面、主界面。10110A02組織架構搭建是門戶頁面自維護、從外系統同步兩種方式選一。A02-01初始化是515A02-01同步515A03權限體系建設是根據不同角色人員需要看到的內容進行不同權限設置。313A04登錄方式是默認為靜態密碼方式驗證，可以支持CA/U-Key、指紋、動態碼、短信等方式。500A05公共信息建設A05-01新聞門戶提供發布新聞功能。155A05-02公告門戶提供發布公告功能。155A07-03憑證式單點登錄憑證式單點登錄集成3515A09局部頁面集成是把關鍵、常用的接入系統局部頁面放在門戶中以嵌入Portlet、彈出新窗口方式展現。21020A10待辦集成是把集成的各系統常用消息、待辦、功能節點集成到門戶中。5525A11布局建設是領導、員工、分公司、部門、業務專題等專業布局建設。10220接入系統現有財務、BI、人力資源、協同OA、報表中心等五個信息系統，NC系統包括財務、人力、報表中心三個功能，由于基于一個平臺，三個系統改造工作量只需要一份。共需要47天完成，詳細列表請見《北控水務信息門戶系統建建設規劃》。階段具體工作項備注單位人天數量總計第一階段快速建設、體現價值47A01NCNC系統包括財務、人力、報表中心三個功能，由于基于一個平臺，三個系統改造工作量只需要一份。A01-01消息改造符合門戶的標準消息接口515A01-02待辦改造符合門戶的標準待辦接口515A01-03頁面單點登錄及打開節點NC57頁面打開方式與Portal6做集成313A02BIA02-01單點登錄515A02-01圖表集成3824A03OA由于OA與門戶已經存在接口，OA的待辦獨立展現在門戶中，所以單點登錄、消息、待辦不需要開發，只需要做連調測試515第二階段：全面建設，全面整合工作內容與價值持續優化改進，量變促成質變根據一期項目建設經驗，對已有功能進行持續的優化改進，包括：1、技術實現方式的改進，從注重效果、速度轉變為注重安全、方便。例如統一消息待辦采用數據服務抓起方式；2、豐富內容建設，豐富信息發布新聞公告的欄目內容、豐富企業文化建設內容、增加公司、部門介紹等信息展現；3、增加多級門戶，在第一階段基礎上增加完善多級門戶的建設；隨著門戶對接入系統、接入