1.1. 软件平台支撑组件设计偶氮二异
软件支撑平台是为本期信息化平台提供安全保障和基础运行功能支撑的功能组件,主要包括资源目录管理,自动化流程引擎,消息中心,接口中心等功能。详细设计如下: 1.1.1. 资源目录管理
1.1.1.1. 业务描述
权限和资源管理系统可应用于各单位的信息化建设及基础资源整合,对已有应用系统进行统一身份整合,可以为跨部门的多个应用子系统的帐号整合和分级授权管理提供基础的应用平台。权限和资源管理系统是以目录服务为基础,提供组织身份、应用服务和信息资源的三大目录服务体系。在此基础之上实现认证服务、授权服务、身份管理、资源管理、配置管理、权限管理等应用服务,并可以与CA身份认证结合,为平台提供统一的基础资源配置服务。 实现对机构的特定资源(组织、身份、岗位、角、服务)进行统一的配置和管理。主要解决用户统一身份管理、统一身份认证、统一权限配置、统一访问控制、统一访问审计和分布式账号整合等问题,支持与CA产品的整合。设计规范、体系结构开放、支持通用标准协议、
支撑各种应用系统的整合。
1) 组织模型的地位和作用
审批系统组织模型就是对入驻中心的部门、科技组织结构进行建模,是利用抽象的模型或者元素,构造出的一系列关系,用于表达中心组织机构中的实体间的层次和隶属。组织模型是用来定义中心的组织形式的模型,它以职责、权限的形式定义了中心成员、各个部门的作用与任务,同时提供灵活的结构以适应不同的部门或不同的组织结构。
组织模型是大部份电子政务应用系统构建的基础。几乎所有的电子政务应用系统都涉及到组织机构模型的建设,一个组织机构模型的好坏直接影响到基于它构建的其它应用系统。
组织机构模型对现实中的机构进行了抽象建模,提供了统一的概念和语义。
乳糖酸阿奇霉素
通过组织模型的建设能很好的解决电子政务应用中人员调动、权限变化、职位变迁、部门合并、分级授权管理等各种业务问题
组织模型提供了一个统一的抽象,对用户统一集中管理,可管理多级用户,支持用户分类分组、多种用户接口、用户权限安全等方面的管理。
组织模型为单点登录、统一授权提供基础,它为灵活授权、统一管理提供了基础。
2) 组织模型的实体定义
● 实体定义
本规范共定义了六个实体,分别是机构、部门、人员、角、用户组、岗位。
机构:指在社会生活中,人们为实现某种职能所建立的,由人、财物和信息若干因素有序地联结起来的,相对稳定的社会实体单位。通常指机关、团体或其他工作单位及其内部组织,例如:某区政务服务中心。
部门: 是对根据行政划分而实际存在的实体部门的抽象,例如:中心办公室。
人员:是对部门内的实体人员及类似实体的抽象,例如:张三。
梁在平
角:在处理特定业务时设定的具有特定工作范围或工作职责,用于解决特定业务问题的属性,例如:办公室文件管理员。
用户组:是为满足特定业务需求而组建的,不受机构或部门限制的人员集合,可以是临时的或长期的,如:XXX领导小组。
让科技引领中国可持续发展岗位:根据部门的职能不同进行更为细致的业务划分而抽象出来的工作岗位,如中心主任就是一个岗位。
● 实体关系的定义
机构模型实体关系是机构模型中各个实体之间的关联关系的统称。
1.1.1.3. 提供访问控制服务
权限和资源管理系统提供对用户身份的统一权限配置和统一访问控制等服务。能够针对各类业务、栏目等资源授于相应的权限范围,将用户实体与其角、岗位、部门等权限属性相分离,使每个人员都具备不同的应用权限,实现每级或每个用户只能在自身的权限范围之内访问相应的业务、栏目等资源。
1.1.1.3.1. 访问控制的地位和作用
访问控制是针对越权使用资源的防御措施。基本目标是为了限制访问主体(用户、进程、服务等)对访问客体(文件、系统等)的访问权限,从而使计算机系统在合法范围内使用,决定用户能做什么,也决定代表一定用户利益的程序能做什么。
访问控制决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。
1.1.1.3.2. 权限管理模型
通过建立统一的访问控制模型,提供统一的权限访问接口和管理接口。通过权限访问接口,为各个业务逻辑模块提供统一的访问策略和权限控制。通过管理接口,使各个业务逻辑模块能够创建自己的访问控制资源和权限分配。同时提供相应的统计、日志、事件、审计的建立、查询等附加功能。最终达到实现各个业务逻辑模块权限管理的一致性、易管理和易维护。
我们在RBAC的基础上进行了扩展:增加Actor对象,用户(User)和Role(角)的集合;增加了域(Domain)对象,授权或者操作的范围;增加用户(User)和权限(Permission)的关系,单个用户(User)可以直接授权,从而实现电子政务的访问控制目
标。
为了对数据资源进行授权,参照目前国际上比较流行的ACL权限模型,对资源进行了扩展:参照数据权限模型,为了对数据权限进行授权和校验,将数据映射为Resource,对数据的操作映射为Operation,整个授权过程将等同于普通的Resource对象。扩展了数据资源:单条数据资源(DataRowResource),数据范围资源(DataScopeResource),表数据资源(TableResource),字段数据资源(TableColumnResource)。将数据抽象成授权资源对象,通过相同的权限分配和权限判断进行数据的权限校验。
1.1.1.3.3. 访问控制接口及规则
访问控制接口分为权限访问接口、管理接口、数据权限接口三大类。
在审批系统中,根据不同的业务需求,部门人员会担任不同的角,执行不同的业务功能,同时考虑到安全性,对不同资源的访问会设置不同的安全级别,相应的由于人员变更、角变更、调离而产生的权限变动在权限管理中都需要进行详细的设置。因此需要设置不同的访问控制规则,实现权限统一性和可管理性。
2010年1月3日业务系统庞大,涉及到的机构、地域、人员繁多,需要不断的调整权限控制系统,所以对权限管理模块的易维护和易扩展性提出很高要求。同时为了保证操作安全和判断权限是否合理,需要增加对权限的统计、审计功能和日志功能。考虑到政府部门树状、多层次、多级别的分支结构以及人员的角分级,需要实现权限的集中控制,分级管理。
1.1.1.4. 提供身份服务
权限和资源管理系统提供身份服务。
1.1.1.4.1. 身份服务的地位和作用
通过对组织模型的各种操作来实现现实中组织的各种变化,使模型和现实中的组织保持一致。所以它必须拥有一套管理维护的接口,包括实体信息的维护和实体间关系的维护。
