一项目背景与建设原则
这些年来,中国科学院的信息化建设在网络平台、信息资源平台建设方面已具备了较好的基础。为了落实路甬祥院长对我院信息化建设提出的“要一手抓基础设施建设,一手抓应用和管理,充分发挥实效”的指示,我们在《中国科学院“十五”信息化建设总体规划》的指导下,在院管理信息系统建设的基础上,启动了“院电子政务系统”项目的建设工作,为将网络化的无纸办公系统在全院全面推开打下了基础。
中国科学院电子政务系统建设的原则是:整体规划、集中组织、重点实施、注重实效。
对中国科学院电子政务系统建设的总体要求是:技术领先、标准统一、安全稳定、实用可靠。
二建设目标与任务
中国科学院电子政务系统建设的总体目标是:为中国科学院按照信息化电子政府的管理模式建设高效率、科学化、网络化、规范化的国家科技创新中心提供全方位信息服务;全面建设以院属各单位及院机关各部门政务信息加工处理为主体,实现政务信息的共享和无纸化网上协同工作;实现政务信息的获取、整理、应用和传播的智能化,提高办公质量和效率;为院领导、机关各部门及院属各单位提供现代化的信息管理与运作手段,为宏观决策及管理提供现代化服务。
中国科学院电子政务系统的建设任务是:建立符合信息化要求的政务信息系统体系结构,制定电子政务系统的指标体系,在保障信息安全的前提下开发电子政务系统的信息资源,实现政务信息的网上采集、交换、分类、加工、处理和发布;建设满足政务信息化需求的系统平台,建立政务信息应用的网上办公室,形成网上协同工作环境。
1.建立符合信息化要求的政务信息系统体系结构
中科院电子政务系统是建立在计算机网络系统基础设施之上和完善的信息安全环境之中,体系结构的层次可划分为信息资源基础建设和应用系统建设两部分。资源建设是基础,应用系统建设是目的(如图1所示)。
2.建设满足政务信息化需求的系统平台
中科院电子政务系统分为院、所两级系统,并分别在各级数据仓库基础上建立院、所两级政务信息处理平台,如图2所示。
3.制定中科院电子政务系统的指标体系
形成中国科学院电子政务系统指标体系,对下,要能够与业务管理信息系统所需的指标体系相衔接,充分考虑文档一体化的管理需求;对上,要能够充分满足各种不同的宏观管理与决策的需求;还要留有充分的可扩充余地,以满足对政务信息的实时性动态获取、跟踪、加工整理及反馈。
4.开发中科院电子政务系统的信息资源
依据《中国科学院电子政务系统指标体系》,建设政务信息资源库,并形成数据仓库。包括资料信息、动态信息、公文管理信息、知识创新工程试点工作信息、公用管理信息等几个方面。
5.建设中科院电子政务系统的应用环境
应用环境主要包括院级综合性应用环境建设、院级个性化应用环境建设、院级网上办公系统的层次结构确立等,如图3所示。
6.保障中科院电子政务系统的信息安全
中科院电子政务系统的信息安全标准体现在链路安全、网络安全和信息安全等三个层面。在系统建设过程中,着重考虑在信息基础平台中建立支持对信息的存储安全与传输安全的技术以及相应的安全保密措施。
三实施方案
中科院电子政务系统的技术标准是基于TCP/IP通信协议所构造的底层平台和其所支持的开放式网络环境。在网络环境中,充分利用开放式网络环境的最新技术和标准,保证其可持续发展。
1.应用系统的技术路线
在技术路线上,采取B/S体系结构及瘦客户机的设计原则,划分为前台应用界面和后台数据仓库管理两个部分。前台系统以浏览器方式实现,不需要进行系统维护,并且可以充分发挥Internet的作用;后台系统按照Intranet标准建立一个为全院政务工作服务的大型中央数据库系统和数据仓库,并在院所两级建成分布式数据库系统和供Intranet中使用的Web内部网站群。
2.信息资源的采集方式
在院级电子政务系统的信息资源采集方法上,采用信息抓取与订阅的方法实现自动获取所级数据仓库中的政务信息资源。在所级数据库管理系统中建立分发与出版服务机制,定义分发与复制服务,向院级系统推送信息。在院级电子政务系统中采用由浏览器直接采集的方式,实现获取数据仓库资源。
3.信息加工与利用的技术方法
在支持中科院电子政务系统运行的数据仓库中,充分利用数据仓库中提供的技术对信息进行加工与利用,其技术方法包括提供完整的、具有集成性的、可支持Web的数据分析服务。提供通过Web对存放在数据库的数据进行访问的特性,从URL上向数据库提交查询,让用户通过浏览器操纵数据库数据。包括直接执行SQL查询、直接访问表的数据库对象等。
4.保障信息安全的技术手段
中科院电子政务系统的信息安全体系重点是在链路安全、网络安全、应用与数据安全等方面,建议采用国家认可的信息安全产品和技术。
5.系统设计的基本要求
(1)所有的业务利用Server/Browsers模式实现,用户以互联网浏览器进行日常的业务处理、信息浏览与查询,减轻用户对计算机操作复杂性的要求,提高系统的可靠性。
(2)采用统一的软硬件平台、编制各种操作风格一致的数据录入、更新、删除、查询、统计等管理工具,保证操作的简易性、良好的可理解性及内容自动更新及自动维护能力。
(3)通过业务模块化设计及安全模块的实现,以部门与职务构成二维权限控制网络,确定每一个操作者在电子政务与决策支持系统的位置,保证数据访问的安全与等级。
(4)采用大型数据库系统,并具有自动备份系统,保证数据库中数据的安全性与可靠性;利用大型数据库的事务处理能力,保证在可预计的并发用户访问数目时不会发生性能下降及数据阻塞。
(5)设计多种系统管理工具,可以查询用户访问情况,侦测异常访问,及时估计系统的安全水平,防止黑客的攻击。
6.系统支撑环境建设
中科院电子政务系统建设按照院所两级结构进行设计开发与运行。其系统支撑环境建设的需求也要按照院所两个层次的一致性来配置,并且院电子政务系统的支撑环境建设要与院的MIS建设保持一致。
四技术实现方案
1.系统总体结构
(1)系统结构
中科院电子政务系统的框架结构如图4所示。
(2)系统的数据流程
中科院电子政务系统的数据流划分为院所两级。所级内部公文流转系统是独立运行的。研究所与院级系统的数据交换依赖于研究所内能够接入院网的客户机,通过客户机接收院级公文信息和上传研究所报送的公文信息。
(3)信息应用系统
针对中科院电子政务系统的应用领域,定义合理的应用结构,反映电子公文交换的业务模型。保证系统开发的更高层的代码和设计复用;建立电子公文交换的通用标准构件,使系统具有很强的可塑性,使系统更容易维护与升级。
2.软件体系结构
(1)开发语言
系统采用Java作为开发语言。
(2)体系结构
采用面向对象方法开发设计。为保证系统的可扩展性,系统采用典型的三层结构来构建,分离了客户端、应用端以及数据库端的功能,减少了相互间的耦合性,增加了系统的可重用性、伸缩性以及安全性。系统中间层采用JSP/Servlet/JavaBeans来构造,符合典型的M(model)/V(view)/C(control),细化了各部分功能;同时采用跨平台语言Java编写程序,解决了软件跨平台运行问题。
(3)XML
采用XML语言进行系统开发,在中科院电子政务系统中起着对异构系统的数据进行标准化的重要作用,因为XML具有适于异构应用的数据共享,可以进行数据检索和提供多语种支持等优点。
3.系统功能描述
中科院电子政务系统的一个突出特点就是,不但重视信息的充分共享,同时更强调各方面相互之间的协作,而这种协作是靠工作流技术来实现的。通俗地讲,所谓的工作流是指某对象按照某种规则在网上进行流动。从形式的角度定义,所谓的工作流程是指各种对象(文件、图像、音频/视频信号,或者只是数据信息)按照既定的流程规则在系统环境中进行有方向性的(Oriented)、可控制的(Controllable)流动。
从技术的角度定义,工作流程技术就是使用网络资源、Internet/Intranet,或者LAN来链接公司组织中的各个环节,有效提供工作效率的一种集成应用技术。其中涉及了网络通信、信息组织、数据库系统、数据安全、系统集成,以及Internet/Intranet等多项技术。
中科院电子政务系统的主要功能模块是围绕公文格式的标准化、公文流转的开放性以及公文处理的严密性来设计的。
4.系统安全设计
中科院电子政务系统对信息安全的要求较为严格,主要包括以下6个方面:
(1)信息的保密性:系统应该对网上传送的信息进行加密处理,阻止非法用户获取和理解原始数据;
(2)数据的完整性:系统应该提供对数据进行完整性验证的手段,确保能够发现数据在传输过程中是否被改动;
(3)用户身份的鉴别:系统应该提供通信双方进行身份鉴别的机制。一般可以通过数字签名和数字证书相结合的方式实现用户身份的鉴别;
(4)数据原发者鉴别:系统应能提供对数据原发者的鉴别,确保所收到的数据确实来自原发者;
(5)数据原发者的不可抵赖性:系统应能提供数据原发者的不可抵赖机制,确保数据原发者的抵赖行为不能得逞;
(6)合法用户的安全性:合法用户的安全性是指合法用户的权利不受到危害或侵犯,中科院电子政务系统和电子公文的安全管理体系应该实现系统对用户身份的有效确认、对私有密钥和口令的有效保护、对非法攻击的有效防范等,以保障合法用户的安全性。
5.系统安全措施
(1)数据中心的物理安全
保护数据中心的计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;保障设备的工作电压在设备的要求范围之内;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生,公文交换中心机房进行严格的管理,建立良好的安全设备运行环境。
(2)数据的保密性
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端点加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。为保证数据的安全传输,中科院电子政务系统所有在网上传输的数据均采用密文传输,数据的存储可以支持明文和密文两种方式。
(3)数据的完整性
中科院电子政务系统对数据分层次进行签名,即对传送出的文件进行签名,同时对传送出的数据进行字段级的签名。任何一个非法用户都无法正常打开签名后的文档,无法篡改签名后的数据。
(4)系统的可靠性
CA服务器可靠性保证策略:在存储设备上,CA服务器除内置硬盘,选用一个单独磁盘阵列以保证数据存储的可靠性。
其他PC服务器可靠性保障策略:在存储上采用多机共享磁盘阵列方式。即Web服务器、CA服务器、电子印章服务器、防火墙服务器共享一个磁盘阵列。
(5)访问控制
网访问控制:中科院电子政务系统对用户的入网进行了严格的控制,只有授权用户可以入网访问。用户的入网访问控制分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。
权限控制:用户和用户组被赋予一定的权限。
(6)身份认证
公开密钥密码技术在实际应用中越来越显示出其突出的易于管理性和使用的方便性,建立公开密钥基础设施(PKI,Public Key Infrastructure),在本方案中是指建设PKI系统,实现涉密用户的注册、证书签发、授权和证书发放等一系列证书密钥管理。同时,通过基于专业密码算法的Crypto ToolKit软件开发包,对中科院电子政务系统进行二次开发,可满足保密模块对应用系统在细粒度安全支持方面的保密要求。
(7)安全通道
安全建立在浏览器与Web服务器之间,架设在TCP协议之上,浏览器通过个人访问代理与加密认证中间件进行通信。加密认证中间件将用户信息传送到Web服务器,并将Web服务器的反馈信息返回给用户。个人访问代理与加密认证中间件之间传送的数据经过加密、签名等处理。
(8)防火墙
中科院电子政务系统在公文交换系统的数据中心前设置防火墙。
6.公文流程管理
(1)收文流程管理
在中科院的院所两级收文文件的办理过程当中,对于其他收文的机关单位系统将给出统一的系统初始配置。如果需要与其他部委(平级或是下级)或是国务院办公厅进行文件的传输,则可以自行添加以实现只是进行一些鼠标点击的工作,尽量将工作强度降到最低点,提高办公的效率。与此同时,对于登记、编号,或是相关的编码系列操作用户,只需将编码的规则输入系统,系统将自动地对所需要的内容进行分类编号管理。
中科院院所两级的收文流程可以分为以下两种情况:内部收文流程处理和外部收文流程处理,如图5所示。
(2)发文流程管理
在本系统当中,发文流程的处理将有两个分支:所发文、院发文。根据不同的发文种类又可以分为其他的类型,如通知、通报、会议纪要等。系统将灵活给出相关的数据字典,让使用者自行或是根据需要进行录入,然后再加入分类汇总。
相对于收文来讲,发文流程在审批方面控制尤为严格,节点更多、更复杂。
(3)行文流程管理
系统的行文流程仅指院所内部的公文文件递送,按其起草机关也可以分为:上行文、平级行文、下行文等三类。系统将参照ISO及CMM的有关说明进行设置;同时,也将参照院所两级当前行文的规范,进行公文的流转与输出。
7.档案管理
档案管理将针对在公文流转过程所有产生的公文以及其他的需要进行归档的所有文档资料进行整体管理,包括收文、发文、行文与文件资料的归档管理。在各个模块之间,系统将提供一个过渡型的接口,将所有的文档数据都汇总到档案库。在档案库内将按照卷宗、分类目的方式进行分类归档,并且提供强大的搜索引擎,让用户可以进行随意指定的复杂组合查询。
为了让档案管理也能够实现合理的规范化,系统将依据院所两级的实际归档办公模式进行设计,将归档分为两个过程实现:所内初次归档和院里的再次归档。这样的设计可以最大限度地提高将来文档数据的检索与查询效率。
8.全文检索
为了便于查询存在于公文交换系统中的电子公文数据,必须在中科院电子政务系统中提供按任意词进行全文检索的功能。
结构化数据和非结构化数据共同构成“综合数据”将是中科院电子政务系统中存在的典型数据结构的主流。而现有的分立全文检索系统和分立关系型数据库系统,在管理“综合数据”方面显然力不从心。把数据库系统与全文检索系统进行“无缝对接”,很好地解决了这个关键问题。
9.系统管理
(1)数据管理
由于业务主机上运行有MS SQL Server数据库,并且数据库经常处于开放状态,所以为了保证备份的可靠性, 添加了相应的数据库在线备份模块,以实现高效的在线式备份。
(2)用户管理
电子公文系统在应用层次上具有严格的分级权限管理功能,采用分组管理的方法对用户权限进行管理:在应用系统中将用户分为不同的组,组内成员具有相同的权限,即同级部门间,只能查看本部门或相关部门授权的数据。电子公文系统分别在操作系统、Web Server上实现用户的分组管理,并依据个人用户的特殊情况设置权限。
(3)应用管理
中科院电子政务系统在应用软件层次上加强了对用户权限的管理,用户只能在自己的职权范围内对公文进行处理,对以不同身份登录的用户,使用不同的功能模块组合。
(4)安全管理
在本系统中采用了物理安全策略、访问控制策略、信息加密策略等。
(5)日志管理
系统从操作系统审核、数据库管理系统日志、应用服务器访问授权与日志记录、Web服务器提供用户访问日志、应用软件日志等方面加强日志的管理,便于系统管理员查看系统的运行状况。
10.基于Windows平台软件选型方案
平台在表现层采用ASP,中间业务逻辑应用层采用MS IIS,在数据库管理系统采用MS SQL Server 2000,服务器端操作系统采用Windows 2000 Advanced server。
采用这种方案主要基于以下几方面考虑:
(1)操作系统
Windows 2000 Advanced Server具有增强型对称处理(SMP)特性、群集服务、网络负载均衡(NLB)和增强型内存支持等特性。
(2)数据库管理系统
SQL Server 2000具有对XML和Internet标准的丰富支持、通过Web对数据进行轻松安全的访问、强大而灵活的基于Web的分析、安全的应用程序管理、更高的可伸缩性和可靠性等特性。
(3)应用服务器
采用Microsoft的IIS方案具有界面友好、整个系统结构整合较好、开发简单易行等特点。但由于基于ASP技术,意味着只局限于在微软的平台上使用,系统可移植性较差,并且ASP为脚本解释执行,效率较低。
此项目由北京中科软大技术有限公司承建。该公司是中科院软件研究所旗下专门从事计算机系统集成及软件产品开发的高新技术企业,是北京市软件认定中心认定的软件企业,以电子政务和智能应用为主营方向。该公司依托中科院软件所的人才和技术优势,以红星电子政务综合处理平台和智能建筑中间件为核心产品,面向政府和企业提供全面的解决方案。