概述:上海市徐汇区政府是中国地方政府中电子政务建设起步较早的政府之一。徐汇区基于统一授权的新一代电子政务整合平台实现异构系统的单点登陆,统一管理,成为国内区域性政府信息化整合的典范。
一、存在问题
上海市徐汇区政府是中国地方政府中电子政务建设起步较早的政府之一。截至目前,在徐汇区的信息化环境中已经建设了众多的应用系统并投入日常的办公使用,这些现存应用系统是由不同的开发商在不同的时期采用不同的技术建设的,如:邮件系统、政府内部办公系统、公文管理系统、呼叫系统、GIS系统等。这些应用系统中,大多数都有自成一体的用户管理、授权及认证系统,同一用户在进入不同的应用系统,时都需要重新输入各自独立的账号和密码,这种操作方式不仅为用户的使用带来许多不便,更重要的是降低了电子政务体系的可管理性和安全性,也为跨系统的数据共享带来的障碍。与此同时,徐汇区正在不断建设新的应用系统,以进一步提高信息化的程度和电子政务的水平。这些新建的应用系统也存在用户认证、管理和授权的问题。
针对上述问题,徐汇区通过统一规划和设计,开发建设一套统一的授权管理和用户统一的身份管理及单点认证整合平台。利用此整合平台可以实现用户一次登录、网内通用,避免多次登录到多个应用的情况。此外,可以对区域内各信息应用系统的权限分配和权限变更进行有效的统一化管理,实现多层次统一授权,审计各种权限的使用情况,防止信息共享后的权限滥用,规范今后的应用系统的建设。
二、统一规划
徐汇区的电子政务负责部门认识到进行统一的整体规划是提升电子政务建设水平的基础和关键,因此在2003年初与微软公司电子政务咨询顾问组成了规划项目小组,花了3个月时间对2003-2005年的电子政务建设规划进行了统一的整体规划。
在整体规划过程中,项目小组首先确定了徐汇区新一代电子政务的建设目标为:“建设一个透明、高效、职业化的政府,更加有效地推动徐汇区社会的进步和经济的发展。”
考虑到政府工作的特点,徐汇区的电子政务规划的时间范围定为3年规划。每一年作为一个建设阶段,共包括3个阶段。规划中,重点放在第一年的建设方向和内容上,并要求每年底对于建设的结果进行评估,对规划的内容和下一阶段的任务作相应的调整。这样做可以使电子政务建设与政府工作重点保持一致。
徐汇区新一代电子政务建设整体规划的主要环节和内容如下:
根据徐汇区政府领导的政务目标,确定了徐汇区电子政务未来建设的定位、方向和关键目标;
从电子政务建设角度出发,对徐汇区政府的业务需求进行分析和整理;
对已有的建设成果进行评估,找到主要的问题和差距;
通过对比业务需求和存在的差距,确定需要建设的系统能力和具体的建设项目;
提出适合徐汇区建设的电子政务体系框架,以及关键系统的概念和逻辑架构;
制定未来3年分期建设的项目时间计划、预算建议、资源需求;
明确项目建设和运行维护的管理方法、质量要求以及标准体系。
三、系统设计
徐汇区信息化委员会建设的基于统一授权的新一代电子政务平台,系统架构如下图所示:
1、技术功能指标
统一授权管理子系统为本项目的核心系统,其在技术及功能上达到如下指标:
1)统一的单点用户身份认证及管理
◎ 整合多种不同的身份认证方式:用户名/口令、动态令牌、数字证书及今后可能出现的生物特征的身份认证方式
◎ 支持Ldap协议
◎ 支持多级分布部署和多级分布用户管理
◎ 支持应用开发接口
◎ 支持用户身份、用户属性、用户组、用户角色、用户策略、授权和权限委托等功能的管理,为统一权限管理系统提供底层支持。
◎ 支持C/S结构和B/S结构下的统一的身份管理。
◎ 支持异构环境和异构系统,如Linux系统、Windows系统和Unix系统。
◎ 支持Web Services应用,提供未来基于SAML的单点登录平滑过渡方案。
◎ 基于B/S的系统管理,管理员身份认证机制支持数字证书方式。
◎ 完善的审计功能,支持对用户行为的全方位审计。
◎ 提供日志管理功能,支持统一的日志管理系统,包含用户访问日志和系统运行管理日志。
2)统一的应用权限管理系统
◎ 基于上述统一单点用户身份认证管理,支持多种身份认证技术,如数字证书、动态令牌、用户名/口令及今后的生物特征等。
◎ 支持单点登录系统。
◎ 支持2000年版X.509v4的属性证书和扩展属性证书语法定义。
◎ 支持Ldap。
◎ 策略的表达和存储支持XML方式。
◎ 支持统一部署,多级管理。
◎ 支持对用户、资源、角色和策略进行管理。
◎ 支持不基于属性证书的权限管理和基于属性证书的权限管理并存的方式。
◎ 支持基于B/S结构的系统管理和维护,支持管理员的数字证书认证。
◎ 支持系统管理事件的日志,符合统一日志管理和安全管理规范的要求。
2、使用场景
1)统一的用户管理
本系统实施之后,要求用户的Windows客户端均加入并登录到域。 用户登录过程中,用户名/密码由域控制器进行验证。
对于使用SmartCard的用户,首先由CA发放证书,并由管理员对此证书与AD中的用户帐号进行关联,这样用户可以用SmartCard来登录Windows。
用户登陆到域之后,支撑平台便可以提供统一授权管理、统一的用户身份认证、单点登陆的管理功能。
2)应用系统的授权注册
统一授权管理和统一的用户身份认证管理支撑平台实施之后,首先需要把各应用系统的授权管理信息输入到撑平台的相关数据库中。这项任务可以通过应用系统或子系统向支撑平台进行注册的方式
来实现。
在统一授权管理和统一的用户身份认证管理支撑平台中,将提供两种应用系统授权管理的注册方式:
◎ 通过调用注册程序模块的接口进行注册
◎ 通过统一授权管理系统的图形界面进行注册
各应用系统通过上述注册方式向统一授权管理和统一的用户身份认证管理支撑平台进行注册,将各应用系统的授权管理部分或全部地委托给支撑平台,从而实现徐汇区信息系统的统一用户管理和权限管理,以及全区范围权限信息的共享。
3)新建应用系统的授权管理
在统一授权管理和统一的用户身份认证管理支撑平台环境中,用户对各应用系统的访问权限存放在统一的权限信息库中。 用户在访问应用系统的时候,应用系统通过统一授权系统的接口去查询、验证该用户是否有权使用该功能,根据统一授权管理和统一的用户身份认证管理支撑平台返回的结果进行相应的处理。
3、技术原理及关键技术实现
1)系统结构
系统主要由下列部分组成:
◎ 用户单点登陆数据库: 存放用户单点登陆的相关信息。
◎ 用户单点登陆控制: 对外提供Web Services接口,供应用程序查询当前用户在该应用系统中的对应用户名和口令。
◎ 用户管理模块:提供一系列用户管理界面,分别管理存放在活动目录中以及现存应用系统中的用户信息,并进行不同用户信息源之间的数据同步。
◎ 授权数据库: 存放用户授权信息。这部分信息与用户帐号信息分开处理,以增加系统的灵活性和可管理性。
◎ 授权管理模块: 主要包括组织结构及用户管理、应用程序权限设置、用户授权管理。
◎ 应用程序权限控制: 对外提供Web Services接口,供应用程序查询当前用户是否有权限访问指定功能。
2)统一用户管理架构
为实现统一用户管理和内网中的单点登陆功能,采用了“统一用户管理平台”的架构,
提供有关的接口,供各应用系统调用来实现应用系统、Active Driectory以及统一用户信息库之间的信息同步。
3)应用系统的单点登陆
在徐汇区电子政务系统中,要求每个合法用户均加入并登录到域,以保证每个用户在域环境中有一个基于Active Directory的统一和唯一的身份标识。在上述条件下,如果用户要从A系统中进入到B应用系统中,单点登陆的操作将通过下列过程来实现:
当用户从A系统进入到B应用系统之前,首先访问统一用户信息库的单点登陆控制层,将用户在Active Directory中的身份标识递交给统一用户权限信息库。单点登陆控制层通过查询统一用户权限信息库。获得用户在B应用系统中的角色和权限,据此访问B系统。
4)统一用户的管理
实施上述统一用户管理模型有下列几方面的要求:
要求每个合法用户有一个有效的身份标识。用户在使用时必须登录到域。
统一用户信息的管理将通过系统提供的用户管理界面来进行。管理界面将包括新建的管理界面、以及现存系统的管理界面。
统一用户信息的管理还包括不同用户信息源与统一用户信息库之间的数据同步。
管理员可以通过管理界面查询、新增、维护用户信息。
5)统一授权模型
在授权模型中采用了基于角色的授权方式,以满足权限管理的灵活性、可扩展性、可管理性的需求。
对于需要权限管理的应用程序而言,可以根据自己的功能分化设立一系列需要控制的功能权限,这相当于定义程序的功能限制。只有经过授权的用户才能使用受权限控制的功能。同时,应用程序对其目标用户进行分类,定义划分角色或用户组。
应用系统根据自己的权限定义和角色划分通过授权管理系统在通用授权系统中建立自己的权限和角色对象。应用程序权限并不直接授予任何用户,而是授予应用程序定义划分的角色或用户组。用户身份与角色或用户组的关联将通过用户在Active Directory中的统一身份来进行。
上述授权模型将采用树型分级授权体系:在应用下面还有子应用,子应用可以继承父应用的授权。
授权模型还具有对自身进行授权的功能,既管理员可以对第一级应用进行授权,只有有权限的用户才能进一步在应用的角色当中增减其他用户。
6)统一授权的使用场景
使用统一授权时,用户首先通过单点登陆方式进入某应用系统。当用户需要使用该应用系统的某一功能时,应用系统调用统一授权的相应接口查询该用户是否具有使用该功能的权限。如果该用户已被授予相应的使用权限,应用系统将允许用户进入该功能。否则,用户将不能使用该功能。
控制用户能否使用应用系统某项功能是由应用系统和统一授权系统共同实现的。
7)统一授权的管理
统一授权系统将提供一套管理界面。管理界面将包括新建的应用系统权限管理界面、以及现存应用系统权限的管理界面。管理员可以通过管理界面查询、新增、维护用户授权的信息。
8)应用系统的授权注册
在统一授权管理和统一的用户身份认证管理支撑平台中,需要把各应用系统的授权管理信息存放到统一授权数据库中。支撑平台将提供两种应用系统权限管理的注册方式:
◎ 各应用系统调用注册程序模块的接口进行注册
◎ 管理员通过统一授权管理系统的图形界面进行注册
在实际操作中,将根据具体情况使用何时的方式进行授权信息的注册。
9)跨操作系统平台、跨语言支持的开发接口
统一授权管理将提供基于Web Services的访问接口,各应用系统通过这些接口来查询指定用户对该系统中具体功能或资源的访问权限。
Web Services基于开放的HTTP/SOAP协议,几乎所有的传统系统都可以通过Web Services与统一授权管理和统一的用户身份认证管理支撑平台进行交流。
四、项目实施和运行情况
1、项目实施情况:
建设工期:2003年3月—2004年1月。
预算:400万元;实际投资:硬件投资50万元、平台软件投资100万元、应用软件100万元;
主要硬件配置:6台PC 服务器;
主要软件系统:Windows 2003 Server, MS SQL Server 2000, SPPS 2000, Exchange Server 2003
2、运行情况:
主要功能:主要包括统一的用户管理、组织机构管理、授权管理、应用系统管理、角色管理、日志管理、门户自定义、单点登录、统一身份认证、统一OA等功能。通过这些功能实现了利用此平台和统一的用户界面实现用户一次登录就可以通过统一的用户界面访问或使用所有有权使用的应用系统,避免多次登录到多个应用系统、在不同的应用系统进行切换的情况。此外,可以对区域内各信息应用系统的权限分配和权限变更进行有效的统一化管理,实现多层次统一授权,审计各种权限的使用情况,防止信息共享后的权限滥用,规范今后的应用系统的建设,并为信息共享打下了坚实的基础。
本项目于2003年3月开始研究开发,于2003年11月开始正式实施,目前,徐汇区全体公务员时时刻刻都在使用这个系统,各个部门使用以后一致认为该系统方便、实用、高效、可靠,大大提高了工作效率。
五、成功经验
在徐汇区新一代电子政务建设过程中,下列因素对于建设的成功具有重要影响:
重视程度:“一把手”的重视和关注是徐汇区新一代电子政务建设成功的关键因素之一。在整个建设过程中(从规划到项目实施),项目小组与区主管领导保持经常性的交流、确保建设目标和内容与徐汇区的政务目标的一致性。认识高度:新一代电子政务建设的理念和定位决定了建设的结果。因此,徐汇区电子政务建设主管部门在建设理念和定位方面作了深入的思考和研究,形成了徐汇区的电子政务建设理念,确定了适合徐汇“区情”的建设定位。战略合作:建设新一代电子政务需要较高的专业技能,面对这一挑战,徐汇区采取了与专业IT公司建立战略合作伙伴关系的策略;推进力度:在完成了整体规划、确定了第一年的建设任务和项目之后,有效地推进项目的建设和推广成为关键问题;合作深度:当电子政务建设发展到“以应用促发展”的阶段,最终用户(公众、企业、公务员)的参与程度对于建设的成功有密切关系。徐汇区在新一代电子政务业务系统的建设中,非常关注与最终用户的合作,努力做到系统功能与用户业务需求之间的一致性;投资策略:在制定新一代电子政务建设预算过程中,徐汇区除了注意结合本区的财政投入能力,还注意避免以前出现的“硬件投入过大、软件和服务投入过小”问题。第一期建设的预算分配基本做到了硬件、软件、服务各占总投资的1/3,这也是世界先进国家IT建设成功经验所推荐的投资分配比例。
案例点评[傅少川]
上海市徐汇区政府是中国地方政府中电子政务建设起步较早的政府之一。所以不论从财力,政府人员的使用普及,人才的积累,大众的使用和接受能力都普遍较高。这个案例是我国经济发达地区、大城市实施电子政务不可多得的案例。本案例有如下可借鉴的特点:
第一,在原来的电子政务的基础上进行改造的范例。从1996年到2002年,徐汇区政府在电子政务建设方面投入了大量财力、人力和物力,逐步建成了全区范围内的网络体系、实现了全区百兆光纤网覆盖连通区政府的所有部门。2003年是对原来系统的提升。
第二,电子政务较全面。在新一代电子政务整体框架中,覆盖了电子政务安全体系、内部门户、外部门户、各种业务应用系统、互联互通平台、协同工作平台、管理体系、开发环境;强调最大程度地共享基础软件和信息资源;形成了平衡、全面的系统能力。
第三,起点高,参考了国外的先进的电子政务案例,选用的集成商是国际著名的公司。
第四,有目标,有计划,有要求。提出了“建设一个透明、高效、职业化的政府,更加有效地推动徐汇区社会的进步和经济的发展”总体目标和“全程参与、统一管理、规范操作、重视推广”的实施目标;制定项目时间计划、预算建议、资源需求;明确项目建设和运行维护的管理方法、质量要求、以及标准体系。制订了能与徐汇区现有体系整合、可持续发展的技术支撑框架。这个技术支撑框架还需要符合国家电子政务标准技术参考模型。
第五,重视软件和服务,实行项目管理,包括对集成商的管理。使用了微软的项目管理方法论(MSF)来统一进行管理;徐汇区主管部门强调对于开发商的管理和“规范化操作”。软件,硬件,服务的投资各占三分之一。