1、智慧園區公共服務平臺總體設計方案 智慧園區智慧園區公共服務平臺公共服務平臺 總體總體規劃方案規劃方案 北京東正信科北京東正信科科技有限公司科技有限公司 二二一六年一六年十十月月 智慧園區公共服務平臺總體設計方案 2 關于本文檔關于本文檔 文檔信息 項目項目名稱名稱 智慧園區公共服務平臺頂層規劃方案 作者作者 說明說明 修訂歷史修訂歷史 版本版本 范圍范圍 類型類型 時間時間 作者作者 備注備注 目的與范圍目的與范圍 本文檔的目的僅用于項目實施使用，不得轉載及提供他人使用，由此造成的法律責任完全由出讓方承擔。適用的對象適用的對象 本文檔僅適用于甲方、相關領導及專家以及其他有關的參與者閱讀。智慧園

2、區公共服務平臺總體設計方案 3 目目 錄錄 第一章 概述.5 1.1 智慧園區介紹.5 1.2 智慧園區建設背景.5 第二章 指導思想及總體需求.6 2.1 建設思想.6 2.2 建設原則.6 2.2.1 頂層設計的原則.6 2.2.2 分步實施的原則.7 2.2.3 協調發展的原則.7 2.2.4 完善基礎的原則.7 2.2.5 突出應用的原則.7 2.2.6 實用發展的原則.7 2.3 智慧園區功能需求.8 第三章 智慧園區解決方案.9 3.1 設計原則.9 3.2 方案綜述.9 3.3 系統架構設計.10 3.3.1 架構說明.11 3.3.2 架構特點.11 3.4 應用架構設計.12

3、 3.4.1 架構說明.13 3.4.2 架構特點.14 3.5 應用平臺設計.15 3.5.1 統一門戶平臺.15 3.5.2 統一用戶管理平臺.16 3.5.3 統一身份認證平臺.18 智慧園區公共服務平臺總體設計方案 4 3.5.4 統一工作流平臺.20 3.5.5 移動應用平臺.21 3.6 安全支撐服務.23 3.6.1 統一組織機構與用戶.23 3.6.2 統一身份認證及單點登錄.24 3.6.3 電子印章與電子認證.26 智慧園區公共服務平臺總體設計方案 5 一章一章 概述概述 1.1 智慧智慧園園區區介紹介紹 智慧園區借助新一代的云計算、物聯網、決策分析優化等信息技術，對現有互

4、聯網技術、傳感器技術、智能信息處理等信息技術高度集成，通過監測、分析、整合以及智慧響應的方式，采取感知化、互聯化、智能化的手段，將園區中分散的、各自為政的物理基礎設施、信息基礎設施、社會基礎設施和商業基礎設施連接起來，成為新一代的智慧化基礎設施，從而提升為一個具有較好協同能力和調控能力的有機整體。1.2 智慧園區智慧園區建設背景建設背景 在經濟快速發展和政府政策的推動下，以產業聚焦為手段的園區經濟發展迅速。各地園區經濟呈現出覆蓋區域不斷擴大，產值越來越集中，GDP占比越來越大的趨勢。園區企業逐漸向高（高技術）、新（新領域）、專（專業性）行業發展。未來趨勢，園區將是高新技術產業的集中研發地，高新

5、企業群集的區域，高新產品孵化和生產的基地。園區規劃建設整體性越來越強，更加注重各種基礎配套設施，以更好的服務促進高新產業的發展。尤其是注重產業園區的信息化建設，構建互聯互通、資源共享的信息資源網絡，以信息化帶動產業化是加快產業園區發展的重要內容。各類產業園區發展迅猛，規模擴張也越來越明顯，高新企業紛紛入駐，企業對園區信息化要求越來越高，同時對園區服務和管理水平也提出了更高的要求。智慧園區公共服務平臺總體設計方案 6 第二章第二章 指導思想及總體指導思想及總體需求需求 2.1 建設思想建設思想 1 1、統一領導，分級實施、統一領導，分級實施 加強組織領導，建立統一的頂層設計工作機制和制度規范，堅

6、持統籌規劃、試點先行、分級實施，逐步構建形成目標一致、方向統一、互聯互通、層級銜接的智慧園區頂層設計實施體系。2 2、統一建設，資源共享、統一建設，資源共享 堅持設施共建和資源共享，統籌利用已有園區基礎設施和信息資源，統一設計建設智慧園區平臺，實現基礎設施和資源共享運用。3 3、統一、統一管理，保障安全管理，保障安全 統一管理智慧園區規劃、標準、制度和技術體系，采用安全可控的軟硬件產品，綜合運用信息安全技術，建立安全可靠的信息安全保障體系，全面提高安全保障能力。4 4、統一服務，注重成效、統一服務，注重成效 順應新技術發展趨勢，探索運行管理服務新模式，加強智慧園區服務提供機構和服務隊伍建設，建

7、立統一的服務體系，全面提升服務能力，切實發揮智慧園區平臺的成效。2.2 建設原則建設原則 智慧園區的建設是一個系統工程，它涉及多個設計細節和執行環節，需要從園區整體的高度全盤考慮，并經歷一個醞釀、啟動、發展的過程。系統規劃既要從時間上、發展上進行縱向的考慮，又要從各個部門協調運作的橫向關系上考慮；既要考慮信息基礎設施建設、軟件系統的建設、安全保障系統的建設等建設項目的分步實施，又要考慮這些建設項目的協調發展，最終達到以園區各類應用和信息資源建設為基礎，以公眾、企業為核心，面向園區管理、園區文化建設、園區生活等多層次的信息化應用，提供綜合的信息資源共享和業務協同服務，構建信息化環境。在建設的過程

8、中的指導思想如下：2.2.1 頂層設計的原則頂層設計的原則 站在園區全局角度，為園區人群及企業、園區管理者、經開區管理者提供一體化全生命周期服務，圍繞不同服務對象重新梳理園區核心業務域的流程，實現園區各個核心業務域的管理一體化，以“全生命周期管理一體化”的思路重構園區的管理信息化建設。頂層設計思路，站在園區宏觀視角為園區系統的面向不同的業務域做全局規劃，為 智慧園區公共服務平臺總體設計方案 7 不同對象，不同業務不同提供全方位的貼身、個性化、智能服務。體驗信息化發展帶來的便捷、小管理大服務感受。整個解決方案不是一次性全部上齊，大而全的規劃并不能很好的幫助園區解決現有的問題，而是根據園區真正的業

9、務需求節點，有計劃的設計整個方案，為園區貼身打造最適合園區建設步驟的解決方案，幫助園區解決現有的問題。2.2.2 分步實施的原則分步實施的原則 智慧園區建設的各個環節相互關聯，在建設的過程中，有計劃、有步驟地實施。智慧園區建設的規劃根據園區各個部門的需求和業務流程的特點，制定合理的分步實施規劃。2.2.3 協調發展的原則協調發展的原則 智慧園區建設的各個環節相互依賴，任何一個環節的建設都離不開其它環節。因此，智慧園區建設規劃將根據信息基礎設施建設、信息資源建設、公共基礎平臺、應用系統建設、支撐體系建設等內容內在的邏輯關系，制定合理的分步實施規劃，以確保各項內容的協調發展。2.2.4 完善基礎的

10、原則完善基礎的原則 智慧園區的建設應重視網絡基礎平臺、公共數據平臺、身份管理平臺、協同門戶平臺等智慧園區基礎平臺的建設，這些平臺建設完成后，符合一定信息標準和技術標準的應用系統可方便地實現與智慧園區的集成。2.2.5 突出應用的原則突出應用的原則 應用是智慧園區的靈魂，智慧園區的魅力只有在豐富多彩的應用中才能體現出來，因此，應用系統和服務的建設是智慧園區建設的核心內容。在制定智慧園區建設規劃的過程中，可選擇能在短期內實現的應用系統和服務作為試點工程，組織力量重點突破，爭取早日見效并帶動全局。2.2.6 實用發展的原則實用發展的原則 智慧園區的建設規劃從園區的特點和需求出發，做到夠用、能用即可，

11、切不可一味地追求大而全，也不可一味地追求技術的先進性。與此同時，智慧園區建設的技術和應用都是不斷發展的，具有一定的不確定性，所以，智慧園區的建設規劃必須滿足建設過程中的可擴展、可兼容和可轉向。智慧園區公共服務平臺總體設計方案 8 2.3 智慧園區智慧園區功能功能需求需求 智慧園區主要功能包括：園區門戶、園區辦公、園區黨建、園區招商、園區金融、園區物管、領導看板、智能監控、市政管線等。智慧園區公共服務平臺總體設計方案 9 第第三三章章 智慧園區解決智慧園區解決方案方案 3.1 設計原則設計原則 穩定、成熟、可靠、靈活是系統架構設計的要求，為實現這些要求，系統架構設計遵循以下原則：1 1、良好的開

12、放性，良好的開放性，業務平臺必須滿足開放的技術標準，保證架構內外現有的、可能增加的不同應用模型系統可以通過開放標準很容易的進行集成。2 2、高安全性高安全性，信息安全是企業的重要要求，保證信息在各個階段的安全和受控訪問，要求從網絡硬件、操作系統、中間件、應用開發等各個方面的統一考慮。3 3、高可靠性高可靠性，保障運行在其上的各應用系統不間斷持續工作，是系統架構設計的重要要求。4 4、高高擴展性擴展性，考慮將來逐步增加新系統時，保證系統將來的可擴展性，確保分步實施時系統的完整性，避免重復建設和資源的浪費，并保證系統能夠隨著未來業務的變化而非常容易的作出改變。5 5、高高伸縮性伸縮性，隨著業務應用

13、的增加，業務量的加大，應用用戶的增加，系統可以通過服務器等硬件設備的添加實現，而無需對系統邏輯架構、系統應用或業務應用進行改動，保證了這種擴展是快速的、有效的。6 6、良好的管理性和可維護性良好的管理性和可維護性，系統對不同性質用戶、系統運行狀態、數據資源等應具有良好的可管理性和可維護性。7 7、友好性友好性，系統界面的友好性將直接影響用戶使用系統的效率。要盡可能地滿足用戶已有的使用習慣。8 8、容錯性，容錯性，系統應具有很強的容錯性。由于數據傳輸、子系統宕機等各種原因使系統無法正常處理時，系統應給出提示，但不能影響系統的正常運行。9 9、可擴展性，可擴展性，保證系統的性能指標，系統的設計和開

14、發不僅要滿足現有用戶的數量、數據存儲量和響應時間的要求，而且還要為未來的發展的提供必要的擴充空間設計。3.2 方案方案綜述綜述 智慧園區公共服務平臺是為經開區、園區及園區的企業提供的統一的智慧化服務平臺，為經開區及園區各部門提供業務和數據系統的技術承載環境、技術支撐服務、運維保障服務和安全保障服務等。智慧園區公共服務平臺總體設計方案 10 基于云服務平臺，統籌使用已有的資源，形成統一管理的資源池，實現用戶的按需使用，并具備良好的可擴展性。秉承“一切皆服務“的理念，將各項功能包裝形成服務提供給用戶，并保證快速、按需和彈性的服務，綜合利用資源，向用戶提供不同類型不同級別的多種服務。同時制定統一的標

15、準及規范并提供統一的接口，第三方服務提供商按照統一標準及規范和接口開發系統應用，并部署到統一平臺上，再提供給用戶使用，實現服務的一體化及多元化。建設統一的頂層系統架構，統一的系統架構是系統建設、運行、維護的依據，是系統成敗的關鍵要素。系統架構設計是系統頂層設計的核心內容，通過將需求轉化為規范的開發步驟和文檔要求，制定總體的架構，指導整個項目研制活動，從而完成項目建設。3.3 系統架構設計系統架構設計 智慧園區公共服務平臺總體設計方案 11 3.3.1 架構說明架構說明 1、系統用戶主要為公眾、入住企業及個人、經開區管委會、園區管委會等；2、系統分為兩大類應用，一類為 WEB 應用系統，用戶通過

16、 WEB 瀏覽器等訪問；一類是移動辦公系統，用戶通過智能手機等智能設備訪問；3、所有的訪問必須通過防火墻，以保障系統安全；4、系統通過代理服務器訪問真實系統，通過代理服務器實現負載均衡，實現緩存及壓縮等處理，以提高系統性能，同時作為安全過濾器，進一步保障系統安全；5、應用服務器主要包含統一身份認證服務器、WEB 服務器、移動應用服務器、文件服務器、流媒體服務器等，這些服務器都可以通過雙機熱備的方式保證系統穩定運行；也可以部署多機，實現負載均衡，提高系統性能；6、統一身份認證服務器：部署統一身份認證應用，實現應用系統間的單點登錄；7、WEB 服務器：部署 WEB 應用系統；8、移動應用服務器：部

17、署移動應用服務，作為移動辦公客戶端與 WEB 服務器鏈接的中間件，實現移動應用的轉換及數據處理；9、文件服務器：部署獨立的文件服務器，實現文件存儲于關系數據存儲分離，提高存儲效率及數據安全；10、流媒體服務器：對平臺中涉及的流媒體及監控視頻等進行統一管理，提高流媒體服務性能及質量；11、數據庫服務器：數據庫服務器獨立部署，與應用系統分離，同時部署雙機熱備及數據庫集群，以提高數據庫訪問性能、保障數據安全及保障系統穩定性。3.3.2 架構特點架構特點 1、建立統一的門戶，實現信息的統一管理與整合，外網門戶是對外的統一窗口；內網門戶是對內的統一窗口。2、建立統一的數據中心，實現數據的集中存儲與管理。

18、通過數據的集中管理，實現用戶數據的統一、業務數據的統一及流程數據的統一，解決數據孤島及數據不一致的問題。3、通過內外網的隔離，保證數據的安全。智慧園區公共服務平臺總體設計方案 12 3.4 應用應用架構設計架構設計 智慧園區公共服務平臺總體設計方案 13 3.4.1 架構說明架構說明 1、智慧園區公共服務平臺基于云架構構建，總體由表現層、接入層、安全支撐層、應用服務層、應用平臺層、基礎服務層、技術應用層、數據庫服務層等組成。2、表現層支持 WEB 應用、WEB 門戶、智能手機、移動終端等。3、系統支持 Http、Https 等協議，以滿足各種終端及安全體系的需要。4、接入層主要實現四類系統接入

19、，主要包括 Servlet、Web Service、Restful 以及JMS，其中 Servlet 接收來自 WEB 應用的請求；Web Service 接收基于 SOAP 協議的 WEB 服務請求；Restful 則接收基于 Http 協議的 WEB 服務請求；JMS 接收消息類的數據。5、安全支撐層對組織機構及用戶實現統一管理，通過單點登錄實現應用系統的整合；單點登錄以統一用戶管理為基礎，實現嚴格的 4A 管理。6、應用服務層以系統或應用模塊的方式提供給用戶使用，同時也可以以服務的方式為其他系統或應用提供支持。應用服務層主要以 bundle 的方式進行設計與開發，實現真正的組件化。7、應

20、用平臺層提供統一的基礎應用平臺，包括統一門戶平臺、統一用戶管理平臺、統一身份認證平臺、統一工作流平臺、數據交換與共享平臺、流媒體服務平臺及移動應用平臺等。8、基礎服務層為應用服務層提供底層技術及服務支持，實現基本應用及核心功能。主要包含等單點登錄服務、用戶管理服務、權限管理服務、系統配置服務、元數據服務、數據字典服務、流程服務、應用數據服務、信息互動服務、消息服務、緩存服務、郵件服務、短信服務、日志服務等。9、技術支持層主要是系統應用的實現技術，主要使用 Spring、Tiles、DAO、JDBC、DAO、JavaBean、Metadata、Templete、XML、JSON、Memcache

21、 等成熟穩定的技術。10、數據庫服務層提供數據庫應用服務，實現對數據庫的操作，保證事務的原子性、一致性、隔離性和持久性。數據庫不僅僅是關系型數據庫，也支持文檔類數據庫、非關系型數據庫及 LDAP 等。11、應用架構遵循 SOA、ROA 架構技術規范及要求，完全基于 OSGI 技術規范構建系統，實現組件化設計與開發。智慧園區公共服務平臺總體設計方案 14 3.4.2 架構特點架構特點 1、應用架構采用先進的開源框架，包括 Spring3、Tiles3、DAO、CAS 等，保障了系統的穩定性。2、應用系統完全基于元數據進行設計與開發，系統中使用到的所有數據以及表單等都通過元數據進行描述及操作，使系

22、統具有很強的擴展能力。3、應用系統基于模板進行設計與開發，系統提供四類模板，包括編輯模板、查詢模板、列表模板及查看模板，通過這四類模板快速組合應用，模板由元數據進行解釋，提供了很好的擴展行及快速開發能力。4、應用系統提供元數據配置、模板配置、數據字典配置、系統配置、日志配置、功能菜單配置、權限配置等自定義配置功能，極大的提高了系統的可配置性及擴展性。5、應用系統基于 OSGI 架構進行構建，是真正實現組件化開發及管理的平臺，通過OSGI 架構能夠輕松管理組件，實現組件的版本管理，以及快速部署等。6、應用系統支持及采用 Restful 技術，能夠快速實現及整合 ROA 架構。7、應用系統支持及采

23、用 Web Service 技術，能夠快速實現及整合 SOA 架構。8、應用系統結合移動應用平臺實現對智能客戶端的支持，如對 Andriod、IOS 等移動平臺的支持。智慧園區公共服務平臺總體設計方案 15 3.5 應用平臺設計應用平臺設計 3.5.1 統一門戶平臺 智慧園區在各政府部門的信息化建設基礎上,需要建立起跨部門的、綜合的業務應用系統,使公民、企業與政府工作人員都能快速便捷地接入所有相關政府部門的業務應用、組織內容與信息,并獲得個性化的服務,使合適的人能夠在恰當的時間獲得恰當的服務。這就要求建設統一的智慧園區門戶網站。智慧園區門戶網站不僅是政務信息發布平臺和業務處理平臺,而且也是知識

24、加工平臺、知識決策平臺、知識獲取平臺的集成,它使政府各部門辦公人員之間的信息共享和交流更加流暢,通過數據挖掘、數據加工而使零散的信息成為知識,使相關人員能夠在恰當的時間使用恰當的知識,為行政決策提供充分的信息和知識支持。智慧園區門戶網站分為外網門戶平臺、內網門戶平臺、移動門戶平臺及微信公眾平臺。園區外網門戶是園區的門面，承擔著園區形象的介紹及推廣作用。另外，園區不但要考慮建設好園區的對外門戶網站，還要考慮與其他的關系，搭建門戶，以整個園區網站群的管理和控制模式進行建設。外網門戶體現統一形象、統一風格，需要對網站群實現統一管理、統一技術平臺、統一內容審核發布流程等功能。園區內網門戶為園區及其他機

25、構統一辦公的門戶平臺，為工作人員提供單一訪問點，供他們訪問園區工作中的各種信息和服務。內網門戶不僅提供集成的內容和應用，而且還是園區一體化的協作工作空間。移動門戶平臺與微信公眾平臺是外網門戶與內網門戶的延伸，公眾、政府部門及其他相關人員通過移動門戶及微信獲取信息并進行處理的快捷通道。智慧園區公共服務平臺總體設計方案 16 3.5.2 統一用戶管理平臺 統一用戶管理平臺集中統一管理所有應用系統的用戶，消除用戶信息孤島，形成統一的用戶數據中心。統一用戶管理平臺所有應用系統標準化的用戶管理基礎設施，包括用戶帳號的統一管理、用戶屬性的統一管理以及用戶整個生命周期的管理，并為各個應用系統提供安全的服務與

26、支持，為 SSO 打下堅實的基礎。1 1、統一帳號管理、統一帳號管理 統一用戶管理平臺的核心功能之一是將用戶的身份與用戶在各個應用系統的帳號進行關聯。該帳號的關聯是通過用戶標識來建立的，即通過用戶在各個系統的屬性關鍵項來實現關聯。2 2、統一屬性管理、統一屬性管理 統一用戶管理平臺的屬性管理功能，即元數據的管理功能支持 TopDown 和 Matrix 模式。TopDown 使各個應用系統都以統一用戶管理系統為數據源。Matrix 模式使各個應用系統都成為屬性的數據源，且每個屬性項只能以一個系統的屬性數據為來源。3 3、用戶生命周期管理、用戶生命周期管理 統一用戶管理平臺的另外一個重要功能是實

27、現了對園區應用用戶（包括教師、學生、領導等）的整個生命周期管理，實行對所有用戶身份的創建、修改、刪除等操作的統一 智慧園區公共服務平臺總體設計方案 17 管理。3.5.2.1 平臺架構 3.5.2.2 平臺特點 1、實現用戶數據的統一集中管理，建立統一用戶中心，對用戶管理我們實現了嚴格的 4A 管理，即統一認證 Authentication、統一賬號 Account、統一授權Authorization、統一審計 Audit 2、提供統一的用戶數據接口，實現應用系統間的用戶數據的同步與集中管理 3、提供統一的認證接口，為單點登錄提供多種方式的認證功能 智慧園區公共服務平臺總體設計方案 18 4、

28、提供統一的權限管理及權限接口，實現分級授權及訪問控制管理 5、對所有的用戶信息及認證信息、操作信息等進行統一審計管理 6、提供統一的組織機構管理，以及基于組織機構個崗位管理 7、提供對用戶全生命周期的管理及分組管理 8、提供基于 RBAC 模型的權限管理體系，支持分級授權管理 3.5.3 統一身份認證平臺 統一身份認證平臺，作為網絡應用的授權和訪問控制中心，實施由用戶到應用的安全管理。它通過提供統一的認證體系，實現各應用系統的“集中認證“，規范用戶操作行為，強化用戶合理使用網絡資源的意識。系統采用單點登錄技術，用戶通過一次認證后，即可獲得相應權限，并使用所有授權的應用服務系統提供的服務。統一身

29、份認證平臺主要包含兩部分功能，一部分是統一認證方式，包括賬號+密碼、動態密碼、CA 認證、AD 域認證、USB KEY 認證、IC 卡認證等多種方式；另一部分功能即單點登錄功能，通過單點登錄，實現用戶一次登錄，多系統應用的要求，同時對用戶的認證及授權也進行了嚴格的控制。智慧園區公共服務平臺總體設計方案 19 3.5.3.1 平臺架構 3.5.3.2 平臺特點 1、實現了基于 CAS 架構的單點登錄系統，用戶基于 CAS Client 可快速接入，實現與CAS Server 的連通及認證 2、提供多種接口方式，方便應用系統的接入，CAS Client 支持非常多的客戶端(這里指單點登錄系統中的各

30、個 Web 應用)，包括 Java,.Net,PHP,Perl,Apache,uPortal,Ruby 等 3、支持 HTTP、HTTPS 等協議，同時提供了 Proxy（代理）模式，以適應更加高級、復雜的應用場景 4、面向接口的架構模式，可以快速實現其他系統的用戶及組織機構體系整合 智慧園區公共服務平臺總體設計方案 20 5、可以快速與其他統一身份認證系統進行整合 3.5.4 統一工作流平臺 工作流平臺即以工作流為核心，實現流程設計、流程執行、流程監控、流程統計等功能，其中流程設計完全實現可視化設計，并提供豐富的參數設置功能。表單是流程的核心，平臺提供自定義表單功能，可以定制與原始表單幾乎一

31、致的表單，并實現數據的統一存儲及管理。工作流(Workflow)，就是“業務過程的部分或整體在計算機應用環境下的自動化”，它主要解決的是“使在多個參與者之間按照某種預定義的規則傳遞文檔、信息或任務的過程自動進行，從而實現某個預期的業務目標，或者促使此目標的實現”。工作流平臺即以工作流為核心，實現流程設計、流程執行、流程監控、流程統計等功能，其中流程設計完全實現可視化設計，并提供豐富的參數設置功能。表單是流程的核心，平臺提供自定義表單功能，可以定制與原始表單幾乎一致的表單，并實現數據的統一存儲及管理。3.5.4.1 平臺架構 工作流平臺即以工作流為核心，實現流程設計、流程執行、流程監控、流程統計

32、等功能，其中流程設計完全實現可視化設計，并提供豐富的參數設置功能。表單是流程的核 智慧園區公共服務平臺總體設計方案 21 心，平臺提供自定義表單功能，可以定制與原始表單幾乎一致的表單，并實現數據的統一存儲及管理。3.5.4.2 平臺特點 1、提供 WEB 下的自定義表單功能，能夠快速定義單一表單、主子表單等多種表單 2、表單提供表單樣式在線編輯及自定義功能，支持定義數據顯示格式、自動合計等功能 3、表單支持 JavaScript 腳本的嵌入，提供常用的 JavaScript 方法庫 4、表單數據初始以 JSON 格式存儲，可以靈活的轉換成關系型數據存儲到數據庫中，支持自動轉存；同時可以方便的提

33、供給其他應用系統或組件使用 5、提供 WEB 下自定義流程的設計，可視化的流程設計，快速定義常用的流程 6、支持流程任務節點、路由、策略節點、并行節點、子流程等多種流程元素，并提供豐富的自定義配置 7、在流程流轉過程中提供加簽、轉辦、督辦、設定待辦人等功能 8、流程管理員全面監控流程運行情況，對無法流轉的流程提供替換辦理人、流程跳轉等功能，并能夠隨時暫停、啟用流程，保障流程的正確運行 9、提供多種通知方式，如站內消息、電子郵件、即時通訊、手機短信等 10、提供完整的二次開發接口，快速實現與其他系統的對接 11、支持跨系統流程審批，快速實現與其他應用系統的整合 12、提供對流程數據及表單數據強大

34、的統計分析功能 3.5.5 移動應用平臺 隨著科技水平的快速提高，科技應用范圍的不斷擴大，經濟發展的迅猛增長，工作生活的節奏隨之也日益加快，人們經常在外工作，在工作中希望能夠隨時、隨地、隨身獲取信息或了解與自己相關的業務及處理情況。傳統有線網絡支持下的信息化系統無法提供這種即時支持，使信息化鏈條斷裂，造成很多緊急事務無法得到及時處理，從而出現信息或工作延遲的情況，降低了整體效率。因此，有必要建設移動應用系統來完善這一重要環節，使信息溝通迅速有效，使信息系統發揮更大價值。移動應用服務就是利用移動設備（例如筆記本計算機、手機、PDA 等），實現信息移 智慧園區公共服務平臺總體設計方案 22 動化的

35、全新方式，提高了信息利用率，極大的提高了信息的時效性，它是移動通信、PC電腦與互聯網三者融合的信息化成果。微信作為另外一種移動應用的延伸，已經成為人們的一種生活方式，被越來越多的人所接受與使用，智慧園區也需要建設自己的微信公眾平臺，提供給用戶更多的獲取信息的渠道及方式。移動應用平臺則是移動應用服務及微信公眾服務的平臺保證，移動應用平臺為移動應用服務及微信公眾服務提供安全認證、信息查閱、流程審批、消息推送及提醒、收發郵件等功能，支持對 office、PDF、TXT、JPG 等多種格式文件的讀取功能，提供終端綁定、黑白名單管理、嚴格的權限管理等功能，保障用戶數據及系統的安全。3.5.5.1 平臺架

36、構 3.5.5.2 平臺特點 1、基于 W3C 標準，與 IOS 和 Android 原生開發技術相結合，實現移動應用操作 2、完全采用 HTML5+CSS3 技術，輕松實現跨平臺應用 3、通過多種類型的接口，快速實現與應用系統的整合及功能定制 4、支持蘋果 IOS、Android 等平臺自動適配分辨率 5、支持版本更新，自動生成差異資源文件 6、組件化的應用管理，實現應用組件的自由組合 智慧園區公共服務平臺總體設計方案 23 7、實現嚴格是授權管理，支持黑白名單管理 8、提供功能完善的設備管理，包括設備綁定，設備啟停等功能 3.6 安全支撐服務安全支撐服務 安全支撐服務實現應用系統間的單點登

37、錄及安全保護，為系統及平臺的安全提供統一的安全防護功能。系統提供強大且功能完善的單點登錄功能，實現嚴格的 4A 認證，即統一賬號、統一認證、統一授權、統一審計；平臺提供統一的組織機構管理、用戶管理、權限管理及用戶認證管理，同時提供多種安全方式，如用戶名+密碼、CA 認證、數字證書、電子印章及加密解密等。3.6.1 統一組織機構與用戶統一組織機構與用戶 為了減少各應用系統數據資源重復存儲，方便各應用系統對用戶、組織機構的使用，保證用戶、組織機構數據的安全、真實、唯一，智慧園區云平臺需要構建一個對組織機構、用戶信息統一管理和數據共享的平臺。組織機構與用戶管理同時應包括對組織機構信息和用戶信息的管理

38、。組織機構是應用系統建設的基礎，是個應用系統的業務核心數據來源之一。組織機構模型應該支持直線型、矩陣式等多種組織機構管理方式。組織機構與用戶管理應提供如下功能：1、支持直線制、職能制、直線職能制、矩陣制等組織結構模式。允許用戶根據自身戰略制訂適合自己業務需要的組織結構模式；支持虛擬組織和團隊；2、支持多層級的分級用戶管理，支持多級子管理員，子管理員能夠完全管理本級用戶；3、提供用戶全生命周期的管理，完成用戶從創建一直到注銷的整個過程的管理，主要實現以下功能：實現用戶賬戶的全面管理，包括創建、修改、檢查、刪除等；建立組織架構和用戶的全局視圖；4、提供組織機構事件記錄功能，對于部門的設立、撤銷，員

39、工的入職、升職等提供完備的組織機構事件記錄；5、支持從不同的維度對組織結構進行觀測，如從人力資源層面、計劃、考核等視角進行切分；6、支持組織結構組件的分布式部署和基于 LDAP V3 國際標準的組織核心級數據共享；智慧園區公共服務平臺總體設計方案 24 7、提供批量用戶信息的導入、導出功能。3.6.2 統一身份認證及單點登錄統一身份認證及單點登錄 統一身份認證平臺是為各個渠道接入公共平臺提供統一的認證入口，并在此基礎上提供公共平臺的單點登錄功能，主要目標有：1、提升用戶感知：（1）通過統一的用戶身份、認證信息管理、統一的認證方式、單點登錄只需要登錄一次就可以訪問所有相互信任的應用系統，便捷用戶

40、對門戶和業務平臺的使用，提升用戶使用感知；（2）通過對更高安全級別要求的認證方式的支持，提升用戶的安全感知。2、優化 IT 架構，實現可持續發展（1）構建數據共享、集中管理、統一認證、安全高效的認證體系，實現用戶認證的“專業化、平臺化、標準化“；（2）解決各個門戶系統、業務平臺分散認證導致的功能重復建設、認證信息和認證處理邏輯不一致、不完整等諸多問題，同時為其他業務系統的接入降低成本；（3）建立靈活可擴展的 IT 技術架構，適應現有的和將來可能出現的不同類型、不同規模的業務系統的接入。3.6.2.1 統一身份認證統一身份認證 統一身份認證主要實現如下功能：1、支持基于傳統關系數據庫的認證、基于

41、 LDAP 的身份認證，支持單點登錄（SSO），支持數字證書；2、支持數字簽名和消息摘要；3、提供功能強大的審計功能，捕獲安全性相關事件記錄的操作，預防和追究非法操作；4、集中授權：對用戶訪問和使用相關產品及系統資源的權限進行鑒定，并賦予相應的權限 5、統一權限規范 智慧園區公共服務平臺總體設計方案 25 6、根據 ISO7498-2 的定義,一個完整的權限安全管理必須提供如下服務：實體鑒別（Entity Authentication）、數據保密性（Data Confidentiality）、數據完整性（Data Integrity）、防抵賴（Non-repudiation）和訪問控制（Acc

42、ess Control）。權限管理服務構成圖 7、權限安全管理要直觀而且靈活，提供細粒度的權限管理。實現用戶、角色、權限的統一管理，并實現操作上的分級管理。一般情況下用戶同角色關聯，角色同權限關聯，同時也要提供良好的靈活性，支持用戶直接與權限關聯。8、支持 MD5/SHA 等傳統的加密算法，可根據自身安全需要靈活擴展自己的加密算法；9、支持角色訪問控制（RBAC）模式，同時支持按用戶授權和按角色授權兩種模式；10、提供統一的權限管理規范，同時支持多種粒度的權限管理，既要支持集中管理系統級粗粒度權限，也要支持對各業務系統功能、操作和數據級的細粒度權限管理；11、在制定統一安全策略的前提下實行分級

43、授權，不同級別的組織機構可以各自設立管理員，在總授權范圍內靈活設定角色和用戶安全策略；12、加強信息安全，實現信息保密性和用戶行為的不可抵賴性；13、提供在線用戶監控和安全日志監控等權限審計功能，捕獲安全性相關事件記錄的操作，允許管理員實時跟蹤和分析在線用戶的行為動向以利于發現系統中可能存在的問題，預防和追究非法操作。14、支持國際信息技術標準委員會制定的 RBAC 96 標準和安全管理學界流行的自主訪問控制標準。3.6.2.2 單點登錄單點登錄 單點登錄主要實現如下功能：1、建立統一認證體系，提供對所有新建應用系統和有條件進行改造的原有系統在用戶認證方面的統一管理，實現認證方式的統一；2、支

44、持標準化單點登錄，能夠支持跨 DNS 域單點登錄；智慧園區公共服務平臺總體設計方案 26 3、支持 B/S、C/S 等框架下單點登錄，并支持與第三方 CA 集成實現統一認證、單點登錄；4、既要支持所有業務系統使用一套相同用戶數據的用戶數據統一方式，也要支持遺留系統通過關聯映射關系實現的用戶數據統一方式；5、支持用戶名/口令、數字證書單獨或組合使用方式的用戶登錄，并支持驗證碼；6、支持基于傳統關系數據庫的認證、基于 LDAP 的身份認證，支持 CA 認證；7、支持登錄次數、密碼策略、IP 策略等多種安全策略來增強用戶登錄的安全性。3.6.3 電子印章與電子認證電子印章與電子認證 智慧園區云平臺所

45、涵蓋各業務系統都有需要處理的敏感數據，例如事項申報、各業務系統的業務流程上的審核、批復、簽字環節等，為保證數據的安全、真實、高效，需要提供電子印章與電子認證服務。智慧園區云平臺對電子印章與電子認證產品進行封裝與整合，統一對外提供服務，具體功能需求如下：1、電子簽章與電子認證服務應該符合中華人民共和國電子簽名法中規定的電子簽名規范。2、電子印章與電子認證服務應該達到國家信息安全技術標準：GB/T18336-2001信息技術 安全技術 信息技術安全性評估準則和 GB/T17903-1999信息技術安全技術 抗抵賴。3、公章文件及簽名認證文件要加密存儲，只有得到公章管理員的授權方可使用公章。4、公文蓋章或簽字后，不允許修改。5、印章及簽名應該具備防復制、防拷貝、防篡改等功能。6、公文的存儲和傳輸都經過加密。7、用戶可以驗證公章及簽名文件的真假（包括本地驗證、在線驗證）。8、只有合法用戶可以閱讀公文。9、簽章信息的驗證。比如：簽章時間、簽章人、印章信息等。10、電子認證要確保信息的真實性、完整性、機密性、不可否認性。