论文部分内容阅读
【摘要】随着企业信息的不断增加、网络技术的兴起以及软件开发方法的不断深入,企业信息系统呈现出繁杂多样的形式和特点。如何充分利用信息系统进一步提升工作效率、规范业务流程、提升用户体验,是摆在企业面前的一大课题,而有效利用信息化手段,也是企业快速响应新形势需求,保证持续创新力的关键。
【关键词】Web服务,企业架构,信息系统,综合服务平台
信息化手段的飞速发展,企业为适应新形势,提高综合竞争力,往往会根据自身规模的大小采用少则几个、多则上百的各类应用系统来支持其业务的发展。这些应用系统可能是在不同条件、不同时间、在不同平台上由不同的开发者用不同计算机程序开发出来的,相互之间无法进行通常的信息交流与共享,因而在企业内部形成一个个“信息孤岛”。由于用户信息存在于各个系统中,各系统都有自己独立的用户管理模块,缺乏统一的认证授权机制。因此,在信息服务过程中存在一些安全隐患。
安全隐患一:各业务系统都有自己独立的登录认证模块,其认证方式大都采用用户账号/口令的弱验证方式,缺乏更强的身份认证机制(如数字证书、动态口令),且没有实现单点登录。
安全隐患二:对于一些业务级、模块级的授权,并没有统一的管理员进行集中授权,也没有实现分级授权管理和动态资源的授权机制。各系统的权限校验相对简单,缺乏统一的审计功能,存在信息安全隐患。
安全隐患三:企业综合服务平台支撑的企业业务活动多种多样,使用平台的用户身份比较复杂,业务数据保密等级也不近相同。一些关键业务操作没有纳入审计或审计日志没有保护措施,系统管理员不能有效地进行审计日志的统一维护和管理。
为了应对服务平台的主要安全隐患,本文主要考虑从统一门户、通用的角色权限、基于角色的界面风格定制、基于角色的界面内容定制四个方面进行研究。
一、统一门户的设计
建立统一门户(portal)是完善系统的友好性的必要手段。通过建立企业综合服务平台统一信息门户,为企业内外各类用户提供单一的系统入口,为类用户提供可定制的、简洁高效的工作环境和用户界面。企业综合服务平台统一信息门户设计遵循如下原则。
(一)稳定性
作为企业综合服务平台的访问入口,统一信息门户的稳定性决定了企业的信息资源服务和应用业务系统能否被正常访问。这要求统一信息门户系统在高并发访问量、甚至是系统运行环境发生问题的时候仍可以提供相对稳定、不间断的服务。
(二)安全性
统一信息门户系统要能够为用户提供安全的信息资源服务和应用业务数据的获取途径,保障信息传输过程的安全性和可靠性、保障信息不被其他用户盗取、保障用户的访问和操作权限不被其他用户盗用。
(三)可扩展性
统一信息门户要提供具有易于扩展的技术架构和访问接口,使信息资源可以方便、快速的集成到统一信息门户系统中,高效稳定的为企业用户提供服务。
(四)技术先进性
统一信息门户是企业综合服务平台建设成功与否的集中体现,这要求统一信息门户采用先进的应用技术架构和服务设计理念,来满足企业需求不断变化、信息化建设不断提升发展的要求。
(五)个性化
统一信息门户要能够依据各类使用者的职责、权限和实际需要等,为其量体裁衣,提供符合用户风格的信息资源服务和应用业务系统的整合。企业综合服务平台统一信息门户系统分为对内服务门户和对外服务门户,对外服务信息门户系统与对外服务应用系统都部署在企业对外服务区的服务器上,负责管理外部用户和对外资源的认证、授权和审计等工作;对内服务信息门户系统与对内服务应用系统都部署在企业对内服务器上,负责管理内部用户和内部资源的认证、授权和审计等工作。对内服务区与对外服务区通过防火墙等安全措施进行隔离,但无论是对内服务区内的系统还是对外服务区内的系统,都通过统一的数据访问接口访问数据库。
二、通用的角色权限设计
在本服务平台中,管理分成三个对象:节点、角色和权限。节点是依照权限管理需要而形成的树形组织结构。角色是权限的集合。权限是可以访问和执行的业务功能的集合。每个节点有一个父节点(顶级节点除外)和多个子节点,没有子节点的节点可称为叶子节点。一个操作员对应唯一一个节点,一个节点可对应多个操作员。一个操作员可对应多个角色,同一角色可多次授予不同的操作员。一个角色可对应多个权限,不同的权限组合构成不同的角色。一个权限对应多个功能点和数据访问规则,同一功能点或数据访问控制规则可跟多个权限相关联。系统可根据树形结构对权限系统进行分级管理。系统根据操作员的角色和操作员处于的节点对操作员的数据访问及功能操作进行控制。
(一)权限信息维护
权限由功能点和数据范围访问控制信息两部分组成。功能点是对应程序中的功能模块。每个界面实体(菜单、页面、URL、按钮、触发事件、函数等)对应一个功能ID。数据范围访问控制是对用户是否有权限操作业务数据,以及操作业务数据的范围、时间的控制,主要信息包括能力ID、范围起始数据、范围结束数据等。
(二)操作员账号维护
操作员的权限是通过角色赋予的,每个角色对应一组功能点,这样把操作员和他所能进行的操作对应起来,并通过权限的数据范围控制对他所能操作的数据进行限制。一个操作员帐户可以被授予多组角色,其权限是这组权限的并集。
三、基于角色的界面风格设计
企业综合服务平台的界面设计将遵循易用性、规范性、合理性、美观与协调性和独特性的原则,尽量做到分区合理、组织有序、加载快速、使用友好。页面划分为顶部Logo区、业务模块选择区、功能导航区、主要工作区及页脚等几个分区。
企业综合服务平台的用户界面基于模板技术实现,系统为用户提供界面风格的一键切换功能,允许用户定制自己的界面风格。用户登录系统,在个人设置中根据个人的习惯和喜好配置系统风格。IE显示设置主要是根据用户的喜好,设置IE的风格。首页待办的选择主要是根据用户的喜好和工作需要,在首页中显示提醒。如果服务平台集成了新的系统,也可以在首页代办选择中方便的增加,为用户提供选择。
四、基于角色的界面内容设计
界面内容定制主要是对各个信息或服务模块的具体内容进行定制,如用户可自定义待办事项中接收不同业务模块的工作通知,系统管理员可以对不同角色的用户定义不同的菜单等。
(一)待办事宜界面柔性定制
为提高用户获取信息的效率,减少用户主动搜索信息的工作量,系统使用待处理信息推送技术主动向用户发送用户定制的信息,主要分为网页推送和邮件推送两种形式。网页推送主要是在用户界面中使用待办事项的方式将登录用户近期需要开展的工作对用户进行提醒,使用户可以直接链接到对应的业务模块;邮件推送是利用电子邮件主动将相关信息发送给定制该信息的用户,随时提醒没有登录信息系统的用户。
(二)基于角色用户的界面柔性定制
在企业中,一个人拥有的服务平台操作权限是不断变化的。因此,需要提供不断变化的操作权限。而如果每个人都要为他提供具体操作菜单的权限是非常繁琐、容易出错、不科学的。因此考虑采用角色——菜单打包的方式。即在服务平台中,角色对应的菜单是相对固定的,每一次只需要为人员赋予一个或多个角色即可。人员与角色的关系是多对多的关系。如图4-1 所示。
图4-1 角色人员E-R图
系统管理员根据相关领导审核通过的角色权限变更单,对权限进行更改。
(三)基于角色菜单的界面柔性定制
在一个系统建立之初,角色和菜单之间的对应关系已建立完毕,并根据惯例规范进行了初始化。但随着企业的不断发展、业务的不断变化、管理流程的不断改进,角色与菜单之间的对应关系也会随之发生相应的变化。为应对这种变化,重新开发系统是不可取的。因此考虑采用基于角色菜单的界面柔性定制的方式实现。角色与菜单的关系是多对多的关系。一个角色可以拥有多个菜单,一个菜单也可以被多个角色拥有。如图 4-2 所示。
图4-2 角色菜单E-R图
信息系统集成是一个涉及多个领域、不断发展的技术。没有一种模式可以适应所有要求,每一种模式都是基于不同的内外部关系类型而建构,随着关系模式选择的改变而转换。而适应性和功能性的研究过程,是一项复杂的、长期性的工作,没有捷径可以复制模仿,各家企业的信息系统布局之道,无不是在探索中前行。其管理模式的重点在于各管理业务主管部门及个体的需求,以需求为牵引,进而推动应用,才能使信息的传播和效用达到最大化。
参考文献:
[1]EEJ SIAUK HONG S.Enterprise integration with ERP and EAI.Communications of ACM[J], 2003, 46(2), 54.60.
[2]ERL T.A field guide to integrating XML and Web services[J].New JerseyPrentice Hall PTR.2004.
【关键词】Web服务,企业架构,信息系统,综合服务平台
信息化手段的飞速发展,企业为适应新形势,提高综合竞争力,往往会根据自身规模的大小采用少则几个、多则上百的各类应用系统来支持其业务的发展。这些应用系统可能是在不同条件、不同时间、在不同平台上由不同的开发者用不同计算机程序开发出来的,相互之间无法进行通常的信息交流与共享,因而在企业内部形成一个个“信息孤岛”。由于用户信息存在于各个系统中,各系统都有自己独立的用户管理模块,缺乏统一的认证授权机制。因此,在信息服务过程中存在一些安全隐患。
安全隐患一:各业务系统都有自己独立的登录认证模块,其认证方式大都采用用户账号/口令的弱验证方式,缺乏更强的身份认证机制(如数字证书、动态口令),且没有实现单点登录。
安全隐患二:对于一些业务级、模块级的授权,并没有统一的管理员进行集中授权,也没有实现分级授权管理和动态资源的授权机制。各系统的权限校验相对简单,缺乏统一的审计功能,存在信息安全隐患。
安全隐患三:企业综合服务平台支撑的企业业务活动多种多样,使用平台的用户身份比较复杂,业务数据保密等级也不近相同。一些关键业务操作没有纳入审计或审计日志没有保护措施,系统管理员不能有效地进行审计日志的统一维护和管理。
为了应对服务平台的主要安全隐患,本文主要考虑从统一门户、通用的角色权限、基于角色的界面风格定制、基于角色的界面内容定制四个方面进行研究。
一、统一门户的设计
建立统一门户(portal)是完善系统的友好性的必要手段。通过建立企业综合服务平台统一信息门户,为企业内外各类用户提供单一的系统入口,为类用户提供可定制的、简洁高效的工作环境和用户界面。企业综合服务平台统一信息门户设计遵循如下原则。
(一)稳定性
作为企业综合服务平台的访问入口,统一信息门户的稳定性决定了企业的信息资源服务和应用业务系统能否被正常访问。这要求统一信息门户系统在高并发访问量、甚至是系统运行环境发生问题的时候仍可以提供相对稳定、不间断的服务。
(二)安全性
统一信息门户系统要能够为用户提供安全的信息资源服务和应用业务数据的获取途径,保障信息传输过程的安全性和可靠性、保障信息不被其他用户盗取、保障用户的访问和操作权限不被其他用户盗用。
(三)可扩展性
统一信息门户要提供具有易于扩展的技术架构和访问接口,使信息资源可以方便、快速的集成到统一信息门户系统中,高效稳定的为企业用户提供服务。
(四)技术先进性
统一信息门户是企业综合服务平台建设成功与否的集中体现,这要求统一信息门户采用先进的应用技术架构和服务设计理念,来满足企业需求不断变化、信息化建设不断提升发展的要求。
(五)个性化
统一信息门户要能够依据各类使用者的职责、权限和实际需要等,为其量体裁衣,提供符合用户风格的信息资源服务和应用业务系统的整合。企业综合服务平台统一信息门户系统分为对内服务门户和对外服务门户,对外服务信息门户系统与对外服务应用系统都部署在企业对外服务区的服务器上,负责管理外部用户和对外资源的认证、授权和审计等工作;对内服务信息门户系统与对内服务应用系统都部署在企业对内服务器上,负责管理内部用户和内部资源的认证、授权和审计等工作。对内服务区与对外服务区通过防火墙等安全措施进行隔离,但无论是对内服务区内的系统还是对外服务区内的系统,都通过统一的数据访问接口访问数据库。
二、通用的角色权限设计
在本服务平台中,管理分成三个对象:节点、角色和权限。节点是依照权限管理需要而形成的树形组织结构。角色是权限的集合。权限是可以访问和执行的业务功能的集合。每个节点有一个父节点(顶级节点除外)和多个子节点,没有子节点的节点可称为叶子节点。一个操作员对应唯一一个节点,一个节点可对应多个操作员。一个操作员可对应多个角色,同一角色可多次授予不同的操作员。一个角色可对应多个权限,不同的权限组合构成不同的角色。一个权限对应多个功能点和数据访问规则,同一功能点或数据访问控制规则可跟多个权限相关联。系统可根据树形结构对权限系统进行分级管理。系统根据操作员的角色和操作员处于的节点对操作员的数据访问及功能操作进行控制。
(一)权限信息维护
权限由功能点和数据范围访问控制信息两部分组成。功能点是对应程序中的功能模块。每个界面实体(菜单、页面、URL、按钮、触发事件、函数等)对应一个功能ID。数据范围访问控制是对用户是否有权限操作业务数据,以及操作业务数据的范围、时间的控制,主要信息包括能力ID、范围起始数据、范围结束数据等。
(二)操作员账号维护
操作员的权限是通过角色赋予的,每个角色对应一组功能点,这样把操作员和他所能进行的操作对应起来,并通过权限的数据范围控制对他所能操作的数据进行限制。一个操作员帐户可以被授予多组角色,其权限是这组权限的并集。
三、基于角色的界面风格设计
企业综合服务平台的界面设计将遵循易用性、规范性、合理性、美观与协调性和独特性的原则,尽量做到分区合理、组织有序、加载快速、使用友好。页面划分为顶部Logo区、业务模块选择区、功能导航区、主要工作区及页脚等几个分区。
企业综合服务平台的用户界面基于模板技术实现,系统为用户提供界面风格的一键切换功能,允许用户定制自己的界面风格。用户登录系统,在个人设置中根据个人的习惯和喜好配置系统风格。IE显示设置主要是根据用户的喜好,设置IE的风格。首页待办的选择主要是根据用户的喜好和工作需要,在首页中显示提醒。如果服务平台集成了新的系统,也可以在首页代办选择中方便的增加,为用户提供选择。
四、基于角色的界面内容设计
界面内容定制主要是对各个信息或服务模块的具体内容进行定制,如用户可自定义待办事项中接收不同业务模块的工作通知,系统管理员可以对不同角色的用户定义不同的菜单等。
(一)待办事宜界面柔性定制
为提高用户获取信息的效率,减少用户主动搜索信息的工作量,系统使用待处理信息推送技术主动向用户发送用户定制的信息,主要分为网页推送和邮件推送两种形式。网页推送主要是在用户界面中使用待办事项的方式将登录用户近期需要开展的工作对用户进行提醒,使用户可以直接链接到对应的业务模块;邮件推送是利用电子邮件主动将相关信息发送给定制该信息的用户,随时提醒没有登录信息系统的用户。
(二)基于角色用户的界面柔性定制
在企业中,一个人拥有的服务平台操作权限是不断变化的。因此,需要提供不断变化的操作权限。而如果每个人都要为他提供具体操作菜单的权限是非常繁琐、容易出错、不科学的。因此考虑采用角色——菜单打包的方式。即在服务平台中,角色对应的菜单是相对固定的,每一次只需要为人员赋予一个或多个角色即可。人员与角色的关系是多对多的关系。如图4-1 所示。
图4-1 角色人员E-R图
系统管理员根据相关领导审核通过的角色权限变更单,对权限进行更改。
(三)基于角色菜单的界面柔性定制
在一个系统建立之初,角色和菜单之间的对应关系已建立完毕,并根据惯例规范进行了初始化。但随着企业的不断发展、业务的不断变化、管理流程的不断改进,角色与菜单之间的对应关系也会随之发生相应的变化。为应对这种变化,重新开发系统是不可取的。因此考虑采用基于角色菜单的界面柔性定制的方式实现。角色与菜单的关系是多对多的关系。一个角色可以拥有多个菜单,一个菜单也可以被多个角色拥有。如图 4-2 所示。
图4-2 角色菜单E-R图
信息系统集成是一个涉及多个领域、不断发展的技术。没有一种模式可以适应所有要求,每一种模式都是基于不同的内外部关系类型而建构,随着关系模式选择的改变而转换。而适应性和功能性的研究过程,是一项复杂的、长期性的工作,没有捷径可以复制模仿,各家企业的信息系统布局之道,无不是在探索中前行。其管理模式的重点在于各管理业务主管部门及个体的需求,以需求为牵引,进而推动应用,才能使信息的传播和效用达到最大化。
参考文献:
[1]EEJ SIAUK HONG S.Enterprise integration with ERP and EAI.Communications of ACM[J], 2003, 46(2), 54.60.
[2]ERL T.A field guide to integrating XML and Web services[J].New JerseyPrentice Hall PTR.2004.