精华内容
下载资源
问答
  • 一、背景介绍基础集成平台是信息系统的基础设施环境,为各应用系统提供公共基础设施(如ESB、消息中间件等),将各系统的通用基础服务功能(如用户管理、授权管理、配置管理等)从业务系统剥离出来,使得业务系统...

    一、背景介绍

    基础集成平台是信息系统的基础设施环境,为各应用系统提供公共基础设施(如ESB、消息中间件等),将各系统的通用基础服务功能(如用户管理、授权管理、配置管理等)从业务系统剥离出来,使得业务系统聚焦于业务流程和业务功能,实现更好的可管理性和用户体验。

    在新一代医院信息系统(NGHIS)中,基础集成平台是医院内部各业务系统赖以运行的基础环境,没有基础集成平台,应用系统将无法完成用户身份认证和资源访问控制。基础集成平台向应用系统开放用户认证、资源访问授权等服务接口,也可以通过医院服务总线与各业务系统之间保持松耦合关系;健康医疗云平台也需要通过基础集成平台实现统一用户认证、统一授权管理和统一配置管理。

    二、系统结构设计

    (一)NGHIS总体结构

    基础集成平台是医院基础信息平台和健康医疗云平台的重要基础设施,无论是医院端的应用系统还是云端的互联网平台,都需要基础集成平台提供用户认证、授权管理等基础服务。医院端应用主要存在三种形态:第一种是在院内安装部署数据库的松耦合系统(NGHIS,Next Generation HIS),完全基于院内局域网处理所有业务;第二种采用云+端结合的方式,在医院内部部署的简洁型HIS(CHIS,Compact HIS)作为应急系统,与云端服务协同配合使用,当广域网故障无法访问云端时,应急系统仍然可以满足医院的应急业务应用需要(包括挂号、收费、发药、医嘱处方处理、病历书写打印等);第三种是完全使用瘦客户端访问云端应用服务及数据的轻便型HIS(PHIS,PortableHIS),云端不可访问时暂停所有系统操作。


    图1 新一代医院信息系统总体结构

    (二)基础集成平台架构

    基础集成平台是不区分行业特性的通用应用软件基础设施,主要包括统一认证授权(UAA)、统一配置管理(UCM)、统一消息管理(UMM)、统一用户中心(UCM)和单点登录(SSO),基础集成平台单点登录推荐使用耶鲁大学的开源CAS,也可以使用其他第三方SSO系统。基于统一认证的用户账户信息,对外提供符合OpenID规范的用户认证服务(OpenID Provider),并分别针对C/S和B/S应用封装用户认证及权限管理的开发库(AA-Lib),统一认证中心的用户账户信息,通过用户账户复制(UAR)系统实现与外部第三方用户数据库(包括微软AD域用户和LDAP用户)的用户数据同步。社会组织模型管理提供一个简约的社会组织关系数据维护,主要包括法人及其组织架构、自然人、网格化社会组织结构等基础数据的管理与维护。


    图2 基础集成平台系统结构

    三、系统功能设计

    (一)统一认证授权(UAA)

    统一认证授权系统负责企业信息化应用的组织架构、用户账户、应用系统、用户授权等基础管理功能。

    统一认证授权系统设置系统管理员、机构管理员、应用管理员、授权管理员、客服员等用户角色。系统管理员负责平台全局性的基础数据维护,包括岗位信息维护、应用信息维护、顶级机构创建等。机构管理员负责下级机构创建、机构岗位设置(包括机构岗位目录、岗位员额编制、岗位权限等)、机构用户管理(包括用户创建、用户冻结、用户权限设置)等。应用管理员负责其所管辖应用系统的数据初始化(资源维护、角色维护、角色可访问资源设置等)、应用权限分配(机构应用角色、机构岗位角色、用户组角色)、应用授权查询(查询特定应用资源的权限分配情况,包括什么角色能够访问该资源、哪些机构具有该资源的访问权限、哪些机构岗位拥有该资源的访问权限、哪些用户拥有该资源的访问权限)等。授权管理员负责其所辖机构的权限分配管理工作,包括为机构岗位分配应用角色和对机构所属用户进行权限管理。客服员负责系统日常使用的用户授权运维,包括重置用户密码、用户权限查询、用户账户冻结及冻结用户重新激活等操作。

    1、系统管理

    系统管理是系统管理员用于维护平台公共基础信息的功能,主要包括岗位维护、机构维护和应用维护。

    图3 系统管理功能结构

    (1)岗位维护

    岗位是全系统共享的全局岗位,各机构只能从全局岗位中选取本机构启用的岗位,不能自行增加岗位名称,以保持岗位名称的一致性。

    岗位维护功能包括岗位的新增、修改,岗位名称一旦增加,就不允许删除,可以设置为禁用状态,禁用状态的岗位,不能被机构选取,但不影响已经启用该岗位的机构正常使用。

    (2)机构维护

    系统管理员的机构及机构岗位维护功能,包括新增顶级机构、机构信息修改和机构岗位设置,子机构的创建一般由机构管理员负责,系统管理员也可以通过组织管理功能创建子机构。

    创建顶级机构时,需要同步创建或指定一个机构管理员,由该机构管理员通过使用组织管理功能维护该顶级机构的下属机构维护和用户管理。

    (3)应用维护

    维护各应用系统的基本信息及其对应的应用管理员,应用管理员负责其所管理应用的基础数据维护和应用授权管理。

    2、组织管理

    组织管理是机构管理员用于对其所属机构的组织机构和用户进行管理的主要界面,功能包括子机构创建、机构信息修改、机构岗位设置以及用户管理。机构管理员只能管理其所属机构及下属机构的机构信息及用户信息。

    图4 组织管理功能结构

    (1)机构维护

    机构维护包括子机构新增、机构信息修改以及机构岗位管理。机构管理员只能维护其所属机构及下属机构的机构信息。

    l  子机构新增:机构管理员可以其所属机构的任意节点创建子机构,机构信息原则上不允许删除,不再启用的机构可以设置为禁用状态。

    l  机构信息修改:修改机构的基本信息。

    l  机构岗位设置:设置管辖机构启用哪些岗位,启用岗位的编制数量等,并维护各岗位的权限,当用户启用企业级授权体系时,用户所拥有的应用操作权限,将取决于该用户所处的岗位,用户的权限将随着岗位的变动而自然变动,减轻IT运维的权限管理工作。需要特别授予或特别限制的权限,由授权管理员针对用户进行个别设置。

    (2)用户管理

    用户管理功能主要用于管理用户账户及其权限,包括创建用户、用户冻结、用户激活、重置密码、用户权限设置等。

    l  用户账户新增:为尚未创建用户的员工创建用于身份认证的账户。机构管理员无权增加员工信息,员工信息需要统一用户中心或者人力资源管理系统进行维护。

    l  用户密码重置:重置某一用户的登录密码,用户密码被重置后,系统向用户发送一个随机的验证授权码,用户使用该验证授权码重新设置其登录密码。

    l  用户冻结:将正常的账号设置为冻结状态,被冻结的用户将不允许登录,冻结的用户被激活以后可以正常使用系统。

    l  用户激活:对被冻结的用户进行激活,以便该用户可以重新登录系统。

    l  用户权限设置:根据用户采用的授权体系,进入配套的界面对用户的权限进行维护设置。

    3、应用管理

    应用管理功能是应用管理员维护应用信息和分配应用权限的主要操作功能界面。当部署的应用系统数量较多时,一个应用管理员难以管理所有的应用系统,因此系统管理员在注册登记应用系统时,为应用系统指派了应用管理员。应用管理员通过应用管理功能,只能看到系统管理员为其分配的应用,并对这些应用系统的基础信息(包括应用资源、角色、角色可访问资源等)和应用权限分配进行管理。应用管理员无权注册应用,只能对系统管理员为其指派的应用进行管理。

    图5 应用管理功能结构

    (1)应用修改

    修改应用系统的基本信息(如版本信息、部署时间、运行状态等)。

    (2)资源维护

    维护应用系统的资源,包括新增、删除、修改等。

    (3)角色维护

    维护应用系统的角色信息,以及角色可访问的应用资源。

    (4)应用授权

    将应用系统的角色授予机构、机构岗位或用户组。应用管理员可以直接将应用角色授予各机构岗位及用户组,也可以只将应用角色分配到机构,再由机构管理员或授权管理员将机构所拥有的应用权限授权到岗位、用户组或用户。

    (5)授权查询

    对应用资源或角色的授权情况进行查询,便于了解应用是否存在授权安全风险,如敏感资源访问权限是否约束度不高的岗位、用户组或用户。

    4、授权管理

    授权管理是授权管理员日常授权管理工作的主要功能界面,包括设置或调整岗位权限和用户授权工作。授权管理员无权创建用户,只能对所属机构及其下属机构的用户进行权限管理。

    图6 授权管理功能结构

    (1)岗位权限管理

    维护授权管理员所属机构及其下属机构的岗位权限信息,为机构岗位增加授予应用角色,可供选择的应用角色来源于应用管理员给该机构授予的应用角色,或者撤销某一机构岗位已经拥有的应用角色。

    (2)用户授权管理

    根据用户账户信息中设定的授权体系,调出相应的授权管理功能,完成用户权限设定。

    l  企业授权体系:企业授权体系采用岗位授权方案,对机构岗位的权限进行统一设定以后,调入相关岗位的人员自然拥有相应岗位的权限,岗位变动时,权限亦随之变动。为了增加灵活性,可以对用户单独进行特例授权或特殊限权,被特例授权的用户,除了拥有岗位的所有权限外,还额外增加特例授权的权限;被特殊限权的用户,将失去指定限制的权限,哪怕其岗位拥有该权限或者特例授权该权限。当组织规模较大,或者组织比较健全时,适合采用企业授权体系。

    l  标准授权体系:标准授权体系采用用户组授权方案,对用户组统一进行授权后,将用户归入一个或多个用户组,让用户具有其所属用户组的所有操作权限。标准授权体系适用于能够将用户归类到数量不多的分组的应用场景,且只能有一个系统维护人员,若需要将系统管理任务逐级分解到不同的人员,也建议使用企业授权体系。当用户分类特别复杂时,建议采用企业授权体系。

    l  简易授权体系:简易授权体系直接对每个用户授予应用角色,适用于系统维护人员单一,用户数量较少的场合,如员工数量很少的组织。

    5、用户服务

    服务人员为了解答信息系统使用者日常操作过程中出现的与授权相关问题,需要使用该功能获取必要的数据支撑,并协助用户进行一些不影响系统安全的操作(如用户密码重置)。

    图7 用户服务功能结构

    (1)用户权限查询

    查询用户所拥有的权限,包括授权权限、委托权限、受托权限,以及当使用企业授权管理体系时的特例授权和特殊限权。

    (2)应用授权查询

    对应用资源或角色的授权情况进行查询,便于了解应用是否存在授权安全风险,如敏感资源访问权限是否约束度不高的岗位、用户组或用户。

    (3)用户密码重置

    重置某一用户的登录密码,用户密码被重置后,系统向用户发送一个随机的验证授权码,用户使用该验证授权码重新设置其登录密码。

    (4)用户账户冻结

    将正常的账号设置为冻结状态,被冻结的用户将不允许登录,冻结的用户被激活以后可以正常使用系统。

    (5)冻结账户激活

    对被冻结的用户进行激活,以便该用户可以重新登录系统。

    6、个人中心

    个人中心是面向已经通过认证的登录人提供的针对其个人账户的信息维护及常用操作,包括重置密码、修改登录密码、个人外部账号维护、个人联系信息维护、值班签到签退、权限委托等。

    图8 个人中心功能结构

    (1)登录密码重置

    由于忘记密码,个人申请密码重置。系统向该账户的密码保护手机或邮箱发送验证码,用户通过特定的密码重置界面,输入新的登录密码和验证码,若验证码验证有效,则将该用户的登录密码设置为新密码。密码重置申请也可以由管理员或客服人员发起,由用户在有效期内进行重置。

    (2)修改登录密码

    为了提高账户的安全性,建议定期修改账户的登录密码。修改登录密码需要验证当前密码,只有当前登录密码验证通过后,才能将该用户的登录密码修改为新密码。

    (3)个人外部账户

    维护登录账户对应的员工的外部账户信息,如远程医疗账户、电视电话会议账户等。

    (4)个人联系信息

    维护登录账户对应的员工的联系信息。

    (5)值班签到

    签到到选定的轮值岗位,将个人设置为该岗位的在岗值班人员。

    (6)值班签退

    从在岗的轮值岗位签退。

    (7)权限委托

    将个人所拥有的部分或全部权限,委托给其他人员,在委托有效期内,受委托人将具有委托人授予的委托权限,以便在委托人不在岗时,受委托人可以处理本该由委托人处理的事务,避免业务因委托人的不在岗而受到耽误。

    (8)受托权限

    查询个人所拥有的受委托权限。

    (二)统一配置管理(UCM)

    统一配置管理系统用于统一对各应用系统的可配置参数进行集中管理,以便通过单一功能入口管理各类应用系统的可配置参数。应用的可配置参数项,采用键值对存储,同一配置参数项的值,可以在应用(全局)级、机构级和个人(用户)级进行设置,个人配置值优先于机构配置值,机构配置值优先于应用(全局)配置值。也就是说,如果某个配置参数在个人配置项下有定义,则优先取个人配置项的值,否则如果机构配置项下有定义,则取机构配置项的值,最后再取应用配置项下的值,如果都没有定义,则取默认值。

    应用可配置参数采用类似于Windows注册表的结构存储,具体实现可以采用网络文件、数据库、LDAP等多种形式。

    图9 统一配置管理需求用例

    1.配置服务管理

    设置应用系统存取配置参数的服务地址。应用系统启动时,或运行过程中,将从配置的服务地址存取配置参数。

    2.配置导入导出

    将配置服务中各配置项下的参数值导出到文件,或从文件导入到配置服务中。导出、导入时,应该让用户选择导入导出的机构及个人。

    3.应用配置详情

    显示应用的可配置参数列表详情,以及机构配置项、个人配置项下的各参数设定值。

    (三)统一用户中心(UUC)

    统一用户中心为基础集成平台的员工管理中心,通过统一用户中心集中管理组织架构和职员。一般作为尚未部署人力资源管理系统的机构进行人力资源管理的工具,主要功能包括员工管理和值班管理等。

    1.员工管理

    员工管理功能包括岗位编制维护、员工账户管理、员工信息维护、员工岗位设置和人事异动业务。

    图10 员工管理功能结构

     

    (1)岗位编制维护

    设置各机构岗位的编制数量,维护岗位职责和岗位技能要求。

    (2)员工账户管理

    为尚未创建用户账户的员工创建用于信息系统进行用户身份认证的用户账户,设置用户账户的基本信息(如用户授权体系、是否默认账户、是否自动同步岗位信息等),或者冻结用户账户、激活已冻结账户、重置用户密码等。

    (3)员工信息维护

    维护员工信息,包括从人力资源系统同步员工信息或者从外部文件导入员工信息、员工信息新增、基本信息修改、联系信息维护、外部账号维护等。

    l  人力资源同步:采用信息接口的方式,从人力资源系统获取用户信息,用户刷新本平台的用户信息,对于已从人力资源系统消失的员工,标志为禁用(离职)而不作删除。

    l  员工信息新增:手工录入新员工的信息,创建员工基本档案,以便为员工创建其认证账户,只有系统管理员和机构管理员才能通过组织管理凭空(即没有员工资料档案)创建认证用户账户,员工管理员创建的用户认证账户,前提是存着该账户对应的员工。

    l  基本信息修改:修改员工的基本信息,包括姓名、性别、身份证件信息等。

    l  联系信息维护:维护员工的各种方式的联系信息,如手机、座机、办公电话、电子邮箱、即时消息号码等。

    l  外部账号维护:维护员工使用的外部账户,如电视电话会议账号及其他第三方平台的账号。

    (4)员工岗位设置

    维护员工的工作岗位,当员工的工作岗位发生变化时,若其认证账户设置了自动同步岗位,则该认证账户的岗位将与员工的岗位保持同步。这样,如果该用户使用企业授权体系,那么其权限自然随着人事岗位的变动而自然变动,不再需要IT运维部门参与人事变动的信息维护,减少IT运维工作量。

    (5)人事异动业务

    人事异动业务实现简单的可追溯的员工信息动向,包括员工入职、员工离职和员工调岗等。通过人事异动业务驱动员工信息、员工状态的变化,避免直接使用系统维护功能维护员工岗位。人事异动业务建议采用制单-审核分离原则,形成相互监督制约的机制,防范员工授权错误的风险。

    2.值班管理

    在一些行业(尤其是医疗服务行业、安全保卫部门等)中,存在值班制度,在非工作时间及节假日安排人员轮流履行特定岗位职责。为了在外部业务协同中让对方更容易寻址、定位到相关岗位的值班人员(尤其使用网络视频呼叫、电话呼叫等方式),将值班岗位设置为特殊的人员,为其设置固定的呼叫联络方式,这样不管如何安排轮值,外部都可以轻易地与其取得联系。

    图11 值班管理功能结构

    (1)轮值岗位维护

    维护组织机构的值班岗位及其相关联系信息、外部账户信息等,功能类似员工信息维护。

    (2)值班签到签退

    当值班人员不通过个人中心进行值班签到、签退时,通过此功能集中设置组织机构各轮值岗位的人员在岗及离岗状态及时间。

    (3)值班岗位查询

    查询各轮值岗位的在岗情况及值班人员信息。

    (四)统一消息管理(UMM)

    统一消息管理为认证用户提供统一消息收发接口,支持手机短消息、即时消息、电子邮件等消息类型,并可以支持多个消息网关,系统根据消息接收人的目标地址,自动选择最优的目标消息网关发送。

    图12 统一消息系统需求用例

    1.消息系统控制台

    消息控制台是消息管理员用户配置消息系统、监控系统消息收发情况的主要功能界面。

    (1)消息接口配置

    配置消息系统的消息网关及其路由规则。

    (2)收发消息查询

    查询、监控消息系统的消息收发情况,能够根据特定条件(如发生人、接受人、时间段、内容等)查询消息收发记录。

    2.系统收发统计

    统计消息系统的消息收发情况,包括全系统和特定用户在指定时间段的统计数据。

    3.个人消息

    个人消息是登录人个人消息及消息业务的总入口,对个人消息进行归类,系统默认将已经编制但尚未发出的消息归入草稿箱,将收到的消息归入收件箱,将已经发出的消息归入发件箱,已经删除的消息归入垃圾箱(回收站),允许用户自行创建新的归类,并自由将消息在不同分类之间(草稿箱除外)移动。

    (1)草稿箱

    用户编写的消息,在尚未发送之前,默认存储在草稿箱中。通过草稿箱可以调出消息,继续修改,直至发送或删除。

    (2)收件箱

    用户收到的所有各类消息,自动保存到收件箱。

    (3)发件箱

    已经成功发送的消息,自动保存到发件箱。

    (4)垃圾箱

    删除的消息,保存在垃圾箱。系统在个人消息存储容量不足时,将自动清理垃圾箱,将消息彻底删除以便释放其占用的存储空间;系统也会定时清理垃圾箱,哪怕存储空间充足,消息在垃圾箱中存储一定时间后也被彻底删除以释放空间。

    (五)用户账户复制(UAR)

    为了更好地兼容多种应用环境,统一用户认证(UAA)中心的用户账户信息,可以与第三方账户数据库实施自动同步。在UAA和第三方账户数据系统分别安装部署账户同步器,将其中一边设置成源账户中心,另一边设置为目标账户中心。账户同步器将订阅源账户中心的账户变动事件,或者定期查询源账户中心的变动账户信息,并将这些账户变动事件发送给目标账户中心的同步器。目标账户中心的账户同步器收到源账户中心发送的消息后,将对本地的目标账户中心相关账户信息进行设置,保持目标账户中心的账户信息与源账户中心同步。目标账户中心同步器也可以主动向源账户中心的同步器发送账户查询请求,获取源账户中心的账户信息并同步到本地目标账户中心。

    第三方用户账户中心类型主要考虑支持常见的微软AD域用户数据库和LDAP用户数据库,其他类型的用户账户中心,根据需要进行定制化接口开发。

    图13 用户账户复制需求用例

    (六)单点登录系统(SSO)

    单点登录(SSO)系统允许用户只登录一次,就可以在不同的应用系统之间实现免重复登录的用户身份识别,基础集成平台使用耶鲁大学开发的中央认证系统CAS(Central Authentication System)作为单点登录系统。

    在CAS系统中,用户使用身份证明(Credential,比如用户名密码、个人数字证书等)在CAS登录,CAS生成用户总票据(TGT,TicketGranting Ticket),用户拥有这个TGT就可以证明其已经在CAS登录过。

    当用户访问某个受保护的应用资源时,在B/S应用中,这个访问请求被应用服务器的过滤器拦截,用来判断该Session是否有用户信息或者有CAS颁发的访问该资源的授权(即服务票据ST, Service Ticket)。如果Session中已经有用户信息,则表明用户已经通过该应用的身份认证而允许其访问;如果Session中没有用户信息,但是有服务票据ST,则拦截器(调用CAS Client)向CAS申请对ST进行验证,如果ST验证有效,就返回用户信息并记录在Session中,实现用户在该应用的身份认证。如果既没有用户信息,也没有服务票据ST,表明用户尚未登录,拦截器将浏览器重定向到CAS的登录页面进行用户登录,登录成功后,CAS生成用户总票据TGT,并使用TGT和原访问的目标应用生成针对目标应用的服务票据(ST),再将用户浏览器重定向到原访问的目标资源,同时将ST作为参数传递给应用服务,应用服务器的过滤器再次拦截请求,此时发现有了ST,即向CAS申请对ST进行验证,完成应用的用户认证,并在Session中记录用户信息。

    C/S应用系统的客户端由于无法像B/S应用的Web端那样嵌入拦截过滤器实现单点登录,这就要求C/S应用程序在启动时接收服务票据ST,并主动向CAS申请对ST进行验证,验证通过返回登录的用户信息,完成对用户的身份认证。

    如果C/S应用程序在启动时,没有接收到服务票据ST,应从命令行参数获取用户身份证明(用户名密码、数字证书等),或者打开用户身份证明输入窗口,通过用户身份证明向CAS申请认证,或者打开CAS的登录页面实现用户登录。C/S应用的用户登录完成后,应通过服务接口向CAS申请获取用户总票据TGT,以便能够让C/S应用程序使用TGT向CAS申请访问其他应用程序的服务票据ST,将ST作为参数传递给其他兼容CAS单点登录的应用,实现C/S应用程序之间以及C/S与B/S应用程序之间的单点登录。

    (七)统一认证授权编程接口(AA-Lib)

    为了方便应用程序身份认证的功能开发,需要向开发人员提供基础集成平台的用户认证编程接口。编程接口主要提供Windows环境的DLL和Java、Php等编程语言的开发包。编程接口主要包括用户认证、用户信息获取、用户角色获取、用户资源获取和用户权限判定等,同时也提供用于向基础集成平台更新应用资源及角色的工具类接口,包括更新应用资源、更新应用角色和更新角色资源。

    在统一认证授权管理方案中,应用程序要在一些对用户权限敏感的功能点,对当前用户是否拥有特定权限进行判定检查,检查当前用户是否有权访问特定资源,或者检查用户是否拥有特定角色,所需的资源或角色可以编码在用户程序代码或界面资源中,如果用户拥有相应的角色,或者被授予访问该资源,就允许用户继续访问,否则拒绝用户访问。

    1.身份认证

    根据用户身份证明向基础集成平台申请用户身份认证,认证成功则返回用户总票据(TGT)以及简要的用户信息(用户ID、用户名称、真实名称、员工ID、所属机构等),输入参数包括:用户身份证明、认证服务器地址、特殊附加信息等。

    2.票据验证

    验证TGT或者ST的有效性,如果验证有效,则返回用户授权Token以及简要的用户信息(用户ID、用户名称、真实名称、员工ID、机构ID等),输入参数包括:票据、AppID。

    3.用户信息

    根据用户授权Token获得用户信息(如机构信息、岗位信息等),或者查询一些不常使用的用户信息项,输入参数包括:Token、机构ID、选项。

    4.用户角色

    根据用户授权Token获得用户的角色列表,输入参数包括:Token、AppID。

    5.用户资源

    根据用户授权Token获得用户可访问的资源列表,输入参数包括:Token、机构ID、AppID。

    6.角色判定

    根据用户授权Token判定用户是否拥有某几种角色,输入参数包括:Token、机构ID、AppID、角色集合。

    7.资源判定

    根据用户授权Token判定用户是否拥有某几个资源的访问权限,输入参数包括:Token、机构ID、AppID、资源集合。

    8.应用资源更新

    更新应用系统在基础集成平台注册登记的资源,输入参数包括:AppID、AppSecret、资源列表。

    9.应用角色更新

    更新应用系统在基础集成平台注册登记的角色,输入参数包括:AppID、AppSecret、角色列表。

    10.角色资源更新

    更新应用系统在基础集成平台注册登记的角色授权,输入参数包括:AppID、AppSecret、角色资源关系列表。

    (八)OpenID认证服务

    基于OpenID的标准规范,实现OpenID Provider服务,使得基础集成平台的用户账户,可以被遵循OpenID标准的外部应用或网站用于用户认证。

    建议新开发的应用程序遵循OpenID的用户认证标准,这样即便不考虑单点登录,也更有利于实现多个系统之间的集中用户管理和授权,使得应用程序可以在用户部署环境下灵活选择不同的认证服务器(需要认证服务器支持OpenID)。

    (九)社会组织模型管理(SOM)

    社会组织模型管理主要为网格化社会管理提供基础数据维护功能,主要包括社会网格化属性(行政区划、乡镇街道、社区商圈、村屯组小区等)、社会基本单元(基本物业单元、家庭等)、社会资产资源(地表地貌地物、水系、交通道路、地下管网、空间轨道等)、自然人信息和法人信息等数据库。通过自然人信息库、法人信息库和社会资产资源信息库的建设,实现更好的社会资源信息共享,以便更好地支持跨政府部门、跨行业的基础数据资源共享。

    图14 社会组织模型需求用例

    1.自然人信息库

    自然人是家庭成员、法人机构员工和社会人群管理的基础数据。通过自然人信息数据库,建立贯穿个人一生的人员主索引。

    2.法人信息库

    管理法人机构的基本信息及其分支机构(部门)、员工等数据的维护。

    3.资产资源信息库

    各类社会资产资源的基本信息及空间信息,主要包括地表地貌地物、水系、交通道路、地下管网、建筑物、设施设备等。

    4.社会网格化信息

    社会网格化信息主要包括行政区划(县区级)、乡镇街道及社区商圈、村屯组小区(道路)等社会网格关系以及基本物业单元(栋、层、单元、门号)和家庭等社会基本单元信息。

    四、数据库设计

    在数据库模型中,背景为绿色的实体,表示表的数据一旦初始化后便极少新增或修改,如代码表;背景为粉色的实体,表示表的数据会因机构规模增长或时间流逝,缓慢增长的表,这类表的数据一般与业务量没有关系,数据增长缓慢,数据变更频率低;背景为黄色的实体,表示数据会随着业务量的增长而增长,此类表数据增长速度较快,需要定期进行重建索引、分区存储等优化;背景为蓝色的实体,表示表的数据为临时数据,其中的记录最终会被删除,因此存储容量基本不会太大,但由于频繁进行删除操作,也需要定期关注存储空间碎片问题。

    作者已经针对常用的Oracle、SQLServer、MySQL等数据库生成了数据库建表脚本,并提供数据字典文档,需要的同学请从下载资源处搜索“基础集成平台”下载或向作者索取

    (一)组织机构

    图15 组织机构实体关系模型

    组织机构采用树形结构表示,每个顶级机构形成一个独立的体系,具有类似租户的特性。机构的岗位从全局的岗位名称表中选取,并根据机构规模设定岗位的人员编制熟练。各机构岗位的权限(即角色)由本机构具有管理权限的人员(机构管理员、应用管理员、授权管理员等)进行管理。用户归属某一机构,该机构为其默认的机构,即用户信息表中的机构ID。用户登录系统后,默认使用其所属机构,但可以根据从其用户岗位表中选择其他机构,切换成当前应用系统的工作机构。

    (二)用户与职员信息

    图16 用户与职员实体关系模型

    基础集成平台进行身份认证的主体信息是用户,大部分用户指代某个职员,部分用户可能是指代某个系统或设备甚至指代特殊的人群(如超级用户)。当用户信息中具有职员ID,表明该用户代表该职员。由于用户认证已经独立于应用系统,应用系统不再维护用户信息,甚至用户信息对应用系统不可见,但是职员信息是对业务系统可见的,因此,当业务系统产生的业务数据需要记录相关责任人时,应当使用其对应的职员信息,而不是用户信息。

    用户账户可以绑定手机号码、电子邮件或登录名,通过手机号码、电子邮件或登录名对用户账户进行唯一索引(数据结构参见互联网注册用户)。

    员工在系统内部用员工ID唯一标识,在外部表现上一般采用工号,员工工号在一定时间内具有唯一性,但是工号可能会被回收重复使用,比如有些单位领导的工号,一直使用固定的001、002或者666、888等特殊工号,当领导更换时,新任领导继续沿用该特殊工号。

    职员信息表中,有一类特殊的“轮值人员”,其本身不是员工,而是需要排班轮值的岗位,该岗位具有固定的联系方式和外部账户信息。引入轮值人员的概念,是为了便于外部协同单位或人员联系到当班人员,不因排班或换班而受到影响。

    (三)互联网注册用户

    图17 互联网注册用户实体关系模型

    基础集成平台支持互联网用户的注册、认证和授权管理。互联网注册的用户不属于任何机构,因此不存在与之对应的员工信息,但通过组织机构员工创建的用户账户,依然以作为互联网用户登录互联网平台。

    第三方用户是指微信、支付宝、钉钉等第三方应用平台的用户,通过OAuth授权访问本平台,此时需要将第三方用户与本地用户账户进行绑定,使用本地账户的授权访问本地应用。

    新注册的互联网用户,默认使用标准权限体系,即基于用户组的权限分配。

    (四)应用信息

    图18 应用信息实体关系模型

    应用信息表的内容包含用于授权管理的应用和用于单点登录的应用,仅用于单点登录的应用不需要维护其资源和角色,只需要维护其访问入口、认证方式、启动方式等基本内容。

    (五)社会组织模型

    社会组织模型的数据结构及系统功能,放在医疗健康云平台中设计,目前基础集成平台暂不包含社会组织模型管理。

    (六)企业授权体系

    图19 企业授权体系实体关系模型

    企业授权体系下的用户权限,由用户岗位表关联到机构岗位角色表,得到用户岗位对应的角色,再加上用户受托权限表拥有的有效期内的角色和用户独立授权表的角色,最后排除用户独立限权表的角色,就是该用户所拥有的全部角色。

    给用户授权,主要通过设置用户岗位实现,若用户具有特殊性,可以通过用户独立授权表为用户额外增加授权,通过用户独立限权表为用户排除某些权限的应用。

    用户将其拥有的部分或全部权限委托给受委托人时,同时在用户委托权限表和用户受托权限表产生数据,其中用户委托权限表中的用户ID为委托人的ID,受托权限表中的用户ID为受托人的ID。

    用户所拥有的全部应用角色可以访问的应用资源,就是该用户有权访问的资源(开放授权的资源所用用户都可访问)。

    (七)标准及简易授权体系

    图20 标准及简易授权体系实体关系模型

    标准权限体系使用用户组权限,先对用户组设置该组具有的应用角色(即用户组应用角色表),然后再将用户组授予用户,用户便具有所属用户组的相应应用角色。一个用户可以隶属于多个用户组。

    简易授权体系不采用用户组,直接对用户授予应用角色(即用户授权角色表),判断用户权限时,直接从用户授权角色表中查询该用户的应用角色。

    用户所拥有的全部应用角色可以访问的应用资源,就是该用户有权访问的资源(开放授权的资源所用用户都可访问)。

    (八)用户单点登录配置

    图21 用户应用配置实体关系模型

    单点登录集成用户桌面环境(SSO-UIDE),使用用户应用配置表获取用户配置的常用应用及其认证方式和启动参数,实现集成用户桌面环境的配置漫游。用户应用配置表的应用信息,可以是应用信息表中注册的应用(即应用ID非空的记录),也可以是用户独立配置的应用(即在应用ID为空的记录),当应用ID非空时,应用类型、认证方式、网页启动URL、本地启动命令行、自动填表配置文件等字段内容,如果用户应用配置表中为空值,则取应用信息表中的相应字段值。

    五、其他说明

    本篇主要描述基础集成平台的总体架构及设计思路,重点对最基础的统一用户中心(UUC)和统一认证授权(UAA)进行详细的功能设计和数据库结构设计。基础集成平台其他模块的详细设计方案,将在后续推出。


    展开全文
  • 武汉涉密信息系统集成资质介绍

    千次阅读 2021-07-13 11:49:07
    随着互联网的迅猛发展,在这个信息爆炸的时代,越来越多的手机软件被爆出用户个人信息被泄露,很多人在使用一个软件应用之前都会思考,若我的个人信息被泄露了怎么办?这样别人不是能轻易得到我的相关信息了吗? ...

    随着互联网的迅猛发展,在这个信息爆炸的时代,越来越多的手机软件被爆出用户个人信息被泄露,很多人在使用一个软件应用之前都会思考,若我的个人信息被泄露了怎么办?这样别人不是能轻易得到我的相关信息了吗?

    既然个人资料会泄露,那么公司资料呢?还有其他更加需要保密的资料呢?谁能保证这些资料不会被泄露?

    所以,涉密信息分级保护工作显得尤为重要。涉密信息一般情况下指国家政务、安全、科技、军事等领域的绝密文件及保密设施的信息及内容等,一般范围为对内涉密及对外涉密;另外也指企业单位的商业保密文件的信息内容等。

    为加强涉密信息系统集成资质管理,确保国家秘密安全,国家保密局也制定了涉密信息系统集成资质管理办法。

    现如今资质已成为企业重要的标志之一,武汉好地科技发展有限公司( “ 企证易 ” 品牌商标持有),信息系统建设和服务能力评估(CS)、 ITSS运维评估认证、CMMI评估认证、 信息系统安全服务资质(CCRC)、 ISO27001、ISO20000、人行备案AAA信用等级认证、ISO三体系认证等。

    涉密信息系统集成资质

    指从事涉密系统业务的单位所需要具备的从事涉及国家秘密活动的资格和保守国家秘密的能力。这里的“涉密系统集成”,包括涉密系统工程的规划、设计、开发、实施、服务及保障等工作。

    申请从事涉密系统集成资质业务的单位,须经有关国家保密工作部门审批,授予《资质证书》。

    哪些企业需要做涉密资质认证?

    计算机、信息安全、通讯科技等相关行业。包括涉密系统工程的规划、设计、开发、实施、服务及保障等工作的企业。

    覆盖9个业务种类

    涉密信息系统集成业务种类包括:系统集成、系统咨询、软件开发、综合布线、安防监控、屏蔽室建设、运行维护、数据恢复、工程监理、以及国家保密行政管理部门审查批准的其他业务资质单位应当在保密行政管理部门审查批准的业务范围内承接涉密信息系统集成业务。

    承接涉密信息系统集成工程监理业务的,不得承接所监理工程的其他涉密信息系统集成业务。

    展开全文
  • 数据集成方案

    千次阅读 2019-08-23 09:27:02
    也称ETL、对跨部门的...数据集成常见问题如下: 1 涉及部门众多,数据接口类型多样化。 2 顶层设计缺失或历史原因,数据缺乏统一标准,信息孤岛、数据碎片化现象严重。 3 数据冗余、数据不一致、错误数据等系列...

    也称ETL、对跨部门的业务数据进行抽取、合并、清洗标准化,处理后的数据可以存入主数据存储库向各个业务系统提供一致的数据视图(主数据管理),也可按照主题数据格式存入大数据平台进行数据分析、挖掘(数据仓库、大数据)。数据集成常见问题如下:

    1 涉及部门众多,数据接口类型多样化。

    2 顶层设计缺失或历史原因,数据缺乏统一标准,信息孤岛、数据碎片化现象严重。

    3 数据冗余、数据不一致、错误数据等系列问题使得数据质量低下,难以有效检索利用。

    4 对于随时变化的业务数据,如何将其高效合并到主数据存储或数据仓库存储中。

    采用灵蜂数据集成软件BeeDI实施数据集成项目,具备如下优势:

    1 软件支持广泛的数据接口,支持对各类主流数据库(Oracle、DB2、SQL Server、MySQL、PostgreSQL、Informix、MongoDB、Redis、Teradata、SAP Hana等)、外部文件(文本、XML、Excel)、大数据存储(Hive、HBase)、消息服务器(Kafka)进行读写访问。

    2 软件提供数据联邦功能,可以跨库合并业务数据。支持各种映射转换,如类型转换、字段运算、参照转换、字符串处理、字符集转换、空值处理、日期转换、聚集运算、既定取值、字段切分、字段合并等。

    3 软件支持基于规则的数据清洗、过滤、转换等功能,简洁直观的图形操作界面帮助用户高效实现数据标准化。

    4 软件提供时间戳、触发器、日志解析等增量抽取方式,支持对增量数据进行各种清洗转换处理,处理后的数据可以存入数据库、大数据存储或发送到Kafka消息服务器。

    5 软件提供工作流调度功能,用于调度管理相关任务的执行顺序、触发条件、异常逻辑等。

    展开全文
  • 校园网系统集成方案设计

    千次阅读 多人点赞 2020-05-29 21:54:58
    随着信息时代的来临,信息网络在我国正处于飞速发展的阶段。学校作为教育的前沿重地,...本次方案就从某高校的需求入手,根据需求进行分析,结合校园的物理结构,运用相应的网络技术,做出校园网的网络拓扑和方案设计

    校园网系统集成方案设计

    第一篇的文章献给我的网络系统集成大作业,这篇文章是关于校园网系统集成方案的设计,文章有很多不足仅限于我目前的水平。

    第一章 前言

    随着经济的发展,信息起着越来越重要的作用。计算机、网络和多媒体等信息技术的飞速发展,信息的传递越来越快捷,信息的处理能力变得越来越强,信息的表现形式也越来越丰富,这些都对社会经济和人们的生活产生了深刻的影响。这一切促使通信网络由传统的电话网络向高速多媒体信息网发展。Web技术和多媒体技术的出现,近几年来Internet得到了突飞猛进的发展,联入网络的节点和信息资源迅速增长。为了满足广大大学生的学习需要,教职工教学以及办公需求。我校决定建立一个基于校园Internet的信息管理和应用的网络系统,并提供相应的各种服务。共享网络上各种软、硬件资源,快速、稳定地传输各种信息,并提供有效的网络信息管理手段。采用开放式、标准化的系统结构,以利于功能扩充和技术升级。建立规范化、技术先进、扩展性良好、性能价格比高的校园网络信息系统,建成以先进的网络技术、计算机技术和多媒体技术为主要手段的多层开放式、全方位信息通讯与信息管理系统。

    第二章 项目概述

    2.1项目背景

    某学校共有:
    (1)教学楼10幢(均为10层),每层有教室10间,每间教室部署1个信息点。
    (2)实验楼1幢(10层),每层实验室12间,每间实验室部署4个信息点,第10层为计算机中心,部署信息点500个。
    (3)行政楼1幢(10层),每层有办公室10间,每间办公室部署5个信息点,第3层为网络中心,有4间办公室和一间机房,每间办公室部署12个信息点,机房部署200个信息点,并通过两根光纤分别接入教育网和电信网接入Internet。
    (4)学生宿舍8幢(6层),每层有房间24间,每间部署6个信息点。
    (5)食堂2幢(均为2层),每层部署12个信息点。
    (6)图书馆1幢(5层),每层部署20个信息点,3层为电子阅览室,部署200个信息点。
    (7)体育馆1幢,部署10个信息点。
    (8)应用系统:教务管理系统,学校网站和各部门网站,办公自动化系统,图书馆应用系统,电子邮件服务器,DNS服务器。

    2.2需求分析

    随着校园网用户数目与新的应用需求不断增加,特别是网上多媒体及远程教育应用的展开,对校园网主干带宽提出了新的更高的要求,因此校园网应满足以下条件:
    (1)支持IP多广播与服务质量或服务类型,具有高可靠性和
    开放性的校园网络,采用Internet上的标准协议TCP/IP协议,提供校园内部及面向全球的www服务、FTP服务、电子邮件服务,实现与国际互联网的完全接轨。
    (2)支持虚拟局域网络(VLAN) ,以保证全网的良好性能及网络安全性。
    (3)网管软件应具备对接入层交换设备进行远程可操作的能力。
    (4) 主干网络应该采用成熟的、可靠的快速以太网和千兆位以太网技术作为校园网主干。
    (5)要求管理上方便,采用模块化设计。
    (6) 在设备方面,应选择有校园网成功案例的网络厂商的设备。
    对学校信息点的分析,如表2-1所示:

    表2-1 学校信息点分析表
    在这里插入图片描述

    2.3设计原则

    校园网的设计应符合以下原则:
    (1)经济性
    尽量利用性价比较好的网络及计算机设备,以低廉的投资获取较高性能。
    (2)实用性
    确保加速信息传递,提高工作效率,节约办公费用。
    (3)操作性
    人性化的设计,保证网络管理人员和使用人员能快速的使用网络。
    (4)扩展性
    随着业务的增长和应用水平的提高,网络中的数据和信息流将按指数增长,需要网络有很好的可扩展性,并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品,以保证系统具有较长的生命力和扩展能力,满足将来系统升级的要求。
    (5)高可靠性
    网络的稳定可靠是应用系统正常运行的关键,保证在网络设计中选用高可靠性的网络产品设备,充分考虑冗余、容错和备份能力,同时合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持系统的可靠运行。
    (6)技术先进性
    当前计算机网络技术发展很快,设备更新淘汰也和很快,这就要求校园网建设在保证满足基本业务应用的同时,又要体现出网络的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来,充分考虑到网络应用的现状和未来发展趋势。
    (7)标准开放性
    支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议,有利于以保证与其它网络之间的平滑连接互通,以及将来网络的扩展。
    (8)安全性
    由于校园骨干网络为多个用户内部网提供互联并支持多种业务,要求能进行灵活有效的安全控制,同时还应支持虚拟专网,以提供多层次的安全选择。在系统设计中,既考虑信息资源的充分共享,更要注意信息的保护和隔离,因此系统应分别针对不同的应用和不同的网络通信环境,采取不同的措施,包括系统安全机制、数据存取的权限控制等。制订统一的网络安全策略,整体考虑网络平台的安全性。做到业务数据的安全传递和网络设备不受黑客攻击。
    (9)灵活性、综合性
    采用结构化、模块化的设计形式,满足系统及用户各种不同的需求,适应不断变革中的要求。以满足系统目标与功能为目标,保证总体方案的设计合理,满足用户的需求,同时便于系统使用过程中的维护,以及今后系统的二次开发与移植。

    2.4技术需求

    (1)网络系统
    校园网工程采取交换式快速以太网技术,全部实现100M交换到桌面。工程中将校园网主干定位为千兆或者更高,具体技术要看工程实施时的网络技术发展而定。
    (2)路由技术
    路由协议工作在OSI参考模型的第3层,因此它的作用主要是在通信子网间传递路由数据包。路由器具有在网络中传递数据时选择最佳路径的能力。除了可以完成主要的路由任务,利用访问控制列表,路由器还可以用来完成以路由器为中心的流量控制和过滤功能。在本次设计方案中,内网用户不仅通过路由器接入因特网、内网用户之间也通过3层交换机上的路由功能进行数据包交换。
    (3)交换技术
    现代交换技术实现了第3层交换和多层交换,高层交换技术的引入不但提高了校园网数据交换的频率,更大大增强了校园数据交换服务质量,满足了不同类型网络应用程序的需要。
    (4)Vlan技术
    VLAN将广播域限制在单个VLAN内部,期小了各VLAN间主机的广播通信对其他VLAN的影响。在VLAN间需要通信的时候,可以利用VLAN间路由技术来实现。当网络管理人员需要管理的交换机数量众多时,可以使用VLAN中继协议简化管理,它只需在单独一台交换机上定义所有VLAN。然后通过VTP协议将VLAN定义传播到本管理域中的所有交换机上。这样,大大减轻了网络管理人员的工作负担和工作强度。
    (5)链路聚合技术
    链路聚合技术,支持IEEE802.3协议,是一种用在交换机与交换机之间扩大通信吞吐量、提高可靠性的技术,也称为骨干连接。当两台核心层交换机采用链路聚合技术后,该技术可以使交换机之间连接最多4条负载均衡的冗余连接。当某一台核心交换机出现故障或核心交换机与接入层/汇聚层交换机的某一条互联线路出现故障时,系统将通信业务快速自动切换到另一台正常工作的核心层交换机上,以使整个网络具备高容量、无阻塞、高可靠的能力。

    第三章 校园网络方案设计

    3.1网络拓扑结构图

    星型拓扑是目前校园网设计的主流结构,结合校园特点设计星型拓扑图。如图3-1所示:
    在这里插入图片描述

    3.2IP的划分以及VLAN的划分

    为了提高IP地址的使用效率,引入了子网的概念。将一个网络划分为子网,采用借位的方式,从主机位最高位开始借位变为新的子网位,所剩余的部分则仍为主机位。这使得IP地址的结构分为三级地址结构:网络位、子网位和主机位。这种层次结构便于IP地址分配和管理。
    VLAN是为解决以太网的广播问题和安全性而提出的一种协议,它在以太网帧的基础上增加了VLAN头,用VLAN ID把用户划分为更小的工作组,限制不同工作组间的用户二层互访。VLAN除了能将网络划分为多个广播域,从而有效地控制广播风暴的发生,以及使网络的拓扑结构变得非常灵活的优点外,还可以用于控制网络中不同部门、不同站点之间的互相访问,虚拟局域网的好处是可以限制广播范围,是一种比较成熟校园以及企业组网规范。
    校园网VLAN的划分以及IP的分配,如表3-2所示:
    在这里插入图片描述
    在这里插入图片描述

    3.3设计方案总体思路描述

    整体规划分步实施:基础设施建设一步到位,遵循经济实用的原则,考虑到学校资金、学校计算机应用的现状、学校教职员的现有水平以及网络建设和应用系统开发的固有规律,学校网络系统的建设应该分步实施。
    注重应用系统建设:计算机网络要想发挥出它的作用,必须有建立在它之上的应用系统。这就要根据学校的实际情况,选择恰当的应用系统。
    把握当前先进性:要将未来的可扩展性和经济可行性结合起来。当前计算机网络技术发展很快,设备更新淘汰很快。校园网建设应当采用当前成熟先进的技术和设备,而这些设备应有良好的扩张性,能够兼容未来可能的技术。
    符合国际标准和国家标准:
    符合标准,其实是系统具有开放性的前提条件,是不言自明的。因为当今时代是一个强调开放的时代,从而是一个强调标准的时代,所以把这一条也显得格外重要。

    3.4 安全维护问题

    3.4.1校园网的安全问题

    (1)服务器不够用,导致网络使用高峰期,不能保证最大带宽;
    (2)宿舍公用的话,在局域网内,容易感染病毒;
    (3)局域网要讲究公德,不要在大家同时上网的时候使用P2P软件进行高速下载;
    相应的解决方法:
    (1)配置符合要求的服务器,并且服务器应该保证以后可能会增加的用户需求;
    (2)实施网络信息安全事故处理预案,保障校园网络的安全运行;
    (3)加强网络基础架构管理,实现网络设施安全;
    (4)采用多元素绑定IP地址,实现网络地址使用安全;
    (5)加强用户管理,确保主机安全;
    (6)强化服务器管理,保障网络服务安全;
    (7)采用防火墙与入侵检测系统,保障校园网重要通道安全。

    3.4.2校园网的维护

    (1)有效隔离内网与外网:通过防火墙将校园内网与外网进行有效的隔离,使用内网资源,使平台免受非法入侵者的攻击,并记录攻击日志,提供安全事件追查依据。在具体的防御作用上,防火墙一方面起到隔离器与控制器的作用,有效的对内网与外网进行隔离,并对相互之间的访问起到很好的控制作用。同时防火墙也起到了智能分析器的作用,对各种攻击行为进行完整的记录,为网络安全时间追查以及安全分析提供依据。
    (2)校园网系统维护:建立维护/检测日志:维护/检测日志要详细、规范,要有维护步骤和检测步骤。
    (3)购买配件:计算机在日常的使用中不可避免的出现鼠标等设备损坏问题,为了不影响学校的正常教学,因此网络组要常备鼠标等以备不时之需及时对损坏的设备进行维修或更换。

    第四章 系统方案的实现

    4.1综合布线

    校园网采用千兆以太网作为网络骨干,网络可以分为核心层和接入层。核心层设备具有多层交换机功能的千兆以太网交换机,接入层设备选择带有千兆上联端口的以太网交换机。为了提高网络的可靠性和网络骨干宽带,各接入交换机可以采用多个千兆端口上联到核工业民交换机。目前多数交换机支持端口聚合技术,可以将多条链路聚合为一组干路,成倍地提高网络带宽,从而大提高网络的可靠性和性能。核心交换机可以采用双电源、双引擎的度提高核心设备本身的可靠性。

    4.2 详细说明

    (1)教学楼是10层,每层10间教室,为每个楼层分配一台ATM路由器;外网经过光纤连接到网络中心经过光电转换器后接入一台ATM路由器,每层楼的路由器分别有一根线接到总交换机上。
    (2)实验楼是10层,每层12间办公室,每个办公室有5台计算机,为每个楼层分配一台10/100MB自适应交换机。
    (3)行政楼是10层,每层10个办公室,每个办公室有5台计算机,因此为每个楼层分配一台10/100MB自适应交换机;
    (4)学生宿舍是上网人数比较多的地方,所以每层楼安装一台10/100MB的自适应交换机,每个宿舍安装一个普通路由器。具体分布如图4-1所示:
    在这里插入图片描述
    图4-1宿舍网络分布图
    (5)图书馆里有电子阅览室,所以是学校上网最多的的楼层,因此整栋楼安装2台ATM交换机。又因为三楼为电子阅览室,所以采用两台ATM路由器互联,一、二、四楼是藏书馆,五楼为自习室,每层设置一台ATM路由器。具体分布如图4-2所示:
    在这里插入图片描述
    图4-2 图书馆网络分布图

    4.3各类设备

    (1)路由器的选择
    锐捷RSR-08路由器支持包括TDM、POS、ATM和千兆位以太网,速率高达OC-48。部署在各种应用中,RSR-08路由器可用于搭建骨干汇聚路由器和核心层网络,为用户提供综合的、高性能、功能强大的服务, 并提供高可用性网络所需的冗余支持。
    设备性能
    交换容量 32G
    包处理能力 16.7MPPS
    ACL 2万条
    路由表 25万条
    流表 最多可达2,000,000个第4层应用数据流
    最多可达3,500,000个第2层MAC地址
    协议支持
    路由协议 OSPF、IS-IS、BGP、RIPv2、静态路由
    组播协议 IGMP、PIM-DM/SM、DVMRP、RP
    地址管理 静态、DHCP中继
    MPLS MPLS LSR和LER支持 、2547-bis MPLS L3 VPN 、Martini MPLS L2 VLL 、MPLS 透明局域网业务 TLS 、MPLS 快速重路由
    特色支持 NAT、Load balancing 、 VSRP 、Web cache redirection、策略路由、HPS
    管理方式 线速全组 RMON/RMON2 、简单网络管理协议(SNMP)管理 、SSH、RADIUS、TACACS+、RS-232、命令行接口(CLI)
    (2)核心交换机的选择
    RG-S6800E是锐捷网络推出的基于NP+ASIC构架的新一代多业务万兆核心路由交换机,RG-S6800E在保障高性能大容量的基础上提供强大的安全防护能力,并且拥有业务按需叠加扩展能力,达到业务和性能并重的设计需求。
    产品技术参数:
    技术参数 RG-S6810E RG-S6806E
    模块插槽 10个(2个用于管理引擎模块) 6个(2个用于管理引擎模块)
    背板 1.6T(可扩展3.2T)
    2.4T(可扩展4.8T)(V3.x) 800G(可扩展1.6T)
    1.2T(可扩展2.4T)(V3.x)
    交换容量 800G
    1.2T(V3.x引擎) 400G
    600G(V3.x引擎)
    包转发速率 L2/L3:572Mpps
    L2/L3:857Mpps(V3.x引擎) L2L3:286Mpps
    L2/L3:428M(V3.x引擎)
    路由表项 256K
    802.1q VLAN 4K
    L2协议 IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、 IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S 、Port Mirror、Igmp Snooping 、Jumbo Frame(9Kbytes)、QinQ、GVRP
    L3协议 BGP4、IS-IS、OSPF、RIPV1、RIPV2、IGMP v1/v2/v3、 DVMRP、 PIM-SSM/SM/DM、LPM Routing、Policy-based Routing、ECMP、WCMP、VRRP
    病毒攻击防护 全面的ACL(基于以太网类型、协议、VLAN、MAC、IP、TCP/UDP端口号、时间等)、防源IP地址欺骗、防DOS/DDOS攻击,防IP扫描
    管理方式 SNMP v1/v2/v3、Telnet、Console、WEB、RMON、SSH
    其它协议 SNTP、DHCP Client、DHCP Relay、DNS Client、ARP Proxy、Radius、IPV6、MPLS、Load Balancing、NAT、VPN、Firewall、IDS、Web Cache Redirect、Syslog
    尺寸(长x宽x高) 448 mm x 437mm x 956mm 508mm x 437 mm x 647mm
    电源 100VAC240VAC,50Hz60Hz,功率:1200W
    MTBF > 200,000 hours
    温度 工作温度: 0℃ 到 40℃
    存储温度:-40℃ 到 70℃
    湿度 工作湿度: 10% 到 90% RH
    存储湿度: 5% 到 95% RH
    (3)汇聚交换机选择
    RG-S6506是锐捷网络推出的万兆骨干路由交换机, RG-S6506交换机高达768G的背板带宽和286Mpps的二/三层包转发速率为用户提供高速无阻塞的线速交换,强大的交换路由功能是小型网络核心和大型网络骨干交换机的理想选择。
    背板构架 分布式CROSSBAR
    模块插槽 6个(2个用于管理引擎模块)
    L2协议 IEEE802.3、IEEE802.3u、IEEE802.3z 、IEEE802.3ab、IEEE802.3ae、IEEE802.3ak、IEEE802.3x、IEEE802.3ad、IEEE802.1p、IEEE802.1x、 IEEE802.1Q、IEEEE802.1d、IEEEE802.1W、IEEEE802.1S 、Port Mirror、Igmp Snooping 、Jumbo Frame(9Kbytes)、QinQ、GVRP
    L3协议 OSPF、RIPV1、RIPV2、IGMP v1/v2/v3、BGP4、DVMRP、 PIM-SSM/SM/DM、LPM Routing、ECMP、WCMP、VRRP
    Ipv6协议 静态路由、等价路由、策略路由、ICMPv6、ICMPv6重定向、DHCPv6、ACLv6、MLDv1/v2、PIM-SMv6、PIM-DMv6、PIM-SSMv6、OSPFV3、RIPng、手工隧道、ISATAP、6to4隧道
    病毒攻击防护 全面的ACL(基于以太网类型、协议、VLAN、MAC、IP、TCP/UDP端口号、时间等)、防源IP地址欺骗(Souce IP Spoofing)、防DOS攻击(Synflood,Smurf),防扫描(PingSweep)
    管理方式 SNMP v1/v2/v3、Telnet、Console、WEB、RMON
    锐捷RG-S5750-24SFP/8GT-E
    背板构架 背板带宽:256Gbps
    包转发率:155Mpps
    端口结构:非模块化
    电源电压:AC 100-240V,50-60Hz,2A
    端口描述:24个千兆SFP端口,8个复用10/100/1000M自适应电口
    电源功率:单电源:33W,48W(带扩展模块)
    模块插槽 6个(2个用于管理引擎模块)
    主要参数 产品类型千兆以太网交换机 纠错
    应用层级三层
    传输速率10/100/1000Mbps
    交换方式存储-转发
    背板带宽256Gbps
    包转发率155Mpps
    L3协议 OSPF、RIPV1、RIPV2、IGMP v1/v2/v3、BGP4、DVMRP、 PIM-SSM/SM/DM、LPM Routing、ECMP、WCMP、VRRP
    Ipv6协议 静态路由、等价路由、策略路由、ICMPv6、ICMPv6重定向、DHCPv6、ACLv6、MLDv1/v2、PIM-SMv6、PIM-DMv6、PIM-SSMv6、OSPFV3、RIPng、手工隧道、ISATAP、6to4隧道
    病毒攻击防护 全面的ACL(基于以太网类型、协议、VLAN、MAC、IP、TCP/UDP端口号、时间等)、防源IP地址欺骗(Souce IP Spoofing)、防DOS攻击(Synflood,Smurf),防扫描(PingSweep)
    管理方式 SNMP v1/v2/v3、Telnet、Console、WEB、RMON

    第五章 总结

    在本次的方案设计中,我查阅了有关资料,进行本篇文章的书写,在方案设计中,我使用NAT实现Internet接入时网络地址的转换,再使用交换机将各个子网连接起来,并对每个子网进行IP地址划分,最后画出本网络的网络拓扑图,我采用了星形结构作为该校园网的拓扑结构。通过本次设计校园网的需求分析、设计原则、可以选用的网络技术以及对网络方案的选择和网络设备的选择等多方面的论述,使我对校园网建设工程有了一个比较深入的了解。校园网络建设作为一项重要的系统工程,它所用到的各种技术是多方面的,由于我现有的水平有限,对于校园网的设计仅限于此,文中的错误和不足希望老师多多指点。网络技术的发展是永无止境的,在前进的过程中必将有更多的知识需要我去学习与研究,并能将其应用到实际的网络工程建设之中。

    展开全文
  • 信息系统集成:将计算机软件、硬件、网络通信、信息安全等技术和产品集成为能够满足用户特定需求的信息系统信息系统的生命周期可分为立项、开发、运维及消亡四个阶段。 立项阶段(概念阶段或需求阶段):根据...
  • 信息系统分析与设计课程心得

    万次阅读 2017-02-28 13:41:39
    信息系统分析与设计课程心得此博客为信息系统分析与设计课程的学习心得记录。一、绪论1概念1.1信息要了解信息系统,首先要了解信息的概念。信息是我们理解世界的重要概念,我对它的定义是:信息是对客观事物及其相互...
  • 大型企业网络系统集成设计方案

    千次阅读 2019-01-02 11:05:30
    网络系统集成是企业实现无纸化办公和即时通讯办公的基础建设,在以生产效率为核心竞争力的市场中,企业想要快速获取信息并有效提高企业工作效率及业务能力,企业网络系统集成是必不可少的,由于目前网络技术复杂.....
  • 基于Python的数据分析

    万次阅读 多人点赞 2019-02-25 15:50:02
    随着大数据和人工智能时代的到来,网络和信息技术开始渗透到人类日常生活的方方面面,产生的数据量也呈现指数级增长的态势,同时现有数据的量级已经远远超过了目前人力所能处理的范畴。在此背景下,数据分析成为数据...
  • 一、前言我国的医院信息化建设,始于上世纪80年代中末期,经过90年代的自由繁荣(ye man)发展和本世纪初的政策扶持、引导规范与市场培育,历经30多年的发展,目前已经遇到瓶颈。其中最根本的原因是系统架构问题,...
  • 《数据库原理》— 数据库系统概论第五版习题解析

    万次阅读 多人点赞 2017-05-29 14:57:48
    1.试述数据、数据库、数据库系统、数据库管理系统的概念。答: (l)数据(Data):描述事物的符号记录称为数据数据的种类有数字、文字、图形、图像、声音、正文等。数据与其语义是不可分的。解析在现代计算机系统...
  • 数据结构课程设计-通讯录管理系统(C语言版)

    万次阅读 多人点赞 2020-12-12 13:48:18
    ##数据结构课程设计-通讯录管理系统 一,前言 自从上次C语言课设写完后,这次数据结构课设就写的游刃有余了,很快啊,不足三天就写完了它(年轻人不讲武德),如果你认真看过我之前写的C语言课程设计-球队管理系统,...
  • 基于51单片机的RFID智能门禁系统

    万次阅读 多人点赞 2019-04-20 22:47:57
    1.概述 (1)本设计采用STC89C52作为主控...(2)本设计实现了自动、准确的识别卡序列号,对门禁系统起着重要的作用EEPROM采用AT24C04芯片,掉电后可以存储密码,从而保证了系统的安全性。人机交互通道部分采用了...
  • 某地市级地铁票卡清分部是地铁整个管理系统的一个重要枢纽,负责联立起线路中心和财务部、市场部等其他多个部门的日常工作,方便客流量统计、收入清分对账以及维护管理分站设备等。 之前,此地市级地铁采用水晶报表...
  • 其本质是通过构建精准、实时、高效的数据采集互联体系,建立面向工业大数据存储、集成、访问、分析、管理的开发环境,实现工业技术、经验、知识的模型化、标准化、软件化、复用化,不断优化研发设计、生产制造、运营...
  • 在系统架构设计中,经常面临多个业务系统数据集成共享的问题,以下主要分享数据集成设计的相关内容。 数据物理集中:将全部数据放在一起,由一个统一的数据库服务器管理,实现数据统一访问,访问效率高、适合大数据...
  • 参加工作后,我们没有太多的时间投入到系统集成项目管理工程师的备考中,教程太厚、真题太难,怎么花少的时间顺利通过考试是每个人都在探索的问题。看视频,小任老师帮你把握考试重点,用短的时间,让你学到应该掌握...
  • 将已经集成好的软件系统,作为整个计算机系统的一个元素,与计算机硬件、外设、某些支持软件、数据和人员等其它系统元素结合在一起,在实际运行(使用)环境下, - 对计算机系统进行一系列测试活动。 根本任务 ...
  • 应用集成与数据集成建设总体思路

    万次阅读 2010-07-19 11:06:00
    应用集成与数据集成建设总体思路 <!-- @page { size: 21cm 29.7cm; margin: 2cm } H3 { margin-top: 0.46cm; margin-bottom: 0.46cm; line-height: 172%; page-break-inside: avoid; page-...
  • 数据集成的N种方式

    千次阅读 2017-11-15 09:53:00
    据我了解的一些企业,这最近几...企业的许多数据在不同的系统中需要维护,经常会出现不同的系统数据不一致的问题,这就需要各系统之间进行集成。由于各系统架构不一致,所以目前采取的方式主要是数据级别的集成。...
  • 通用数据权限管理系统设计

    千次阅读 2018-03-08 15:33:38
    通用数据权限管理系统设计(一) 作者:逸云 前言: 本文提供一种集成功能权限和数据权限的解决方法,以满足多层次组织中权限管理方面的集中控制。本方法是RBAC(基于角色的访问控制方法)的进一步扩展和延伸,即...
  • 软考中级之系统集成项目管理工程师备考

    千次阅读 多人点赞 2019-03-26 11:20:00
    第1天 项目管理的基本知识 项目:是为了达到特定目的,使用的一定资源在确切的期间内,为特定人群而提供...信息系统集成项目的特点: 1.满足客户和用户的需求为根本出发点 2.客户和用户的需求常不够明确,由此应...
  • 信息系统集成专业技术

    万次阅读 2014-09-27 14:38:09
    考试大纲 1、系统集成
  • 而这又带来了新的问题——我们该如何选择正确的数据集成工具,从而对各类数据加以归纳?今天的文章将就此展开探讨。 数据不在一个数据库,文件系统,数据库或存储库中。为了满足许多业务需求,必须将数据与其他...
  • 面向整个组织创建的企业数据仓库(Enterprise Data Warehouse,EDW)用于对整个组织的信息 进行分析。大多数情况下,超大型组织中会有多个企业级数据仓库,每个都拥有组织中某个很大组成部分的数 据,如某个区域,...
  • 背景:dataworks提供数据离线批量数据同步。在次离线(批量)的数据通道主要通过定义数据来源和去向的数据源和数据集,提供一套抽象化...数据集成的基本步骤如下: 步骤一:点击左上角的LOGO,选择 ‘数据集成’...
  • 2019年上半年信息系统项目管理师考试真题及参考答案解析供大家参考:  1、RFID 射频技术多应用于物联网的()。  A、网络层 B、感知层  C、应用层 D、传输层  【答案】B  【解析】RFID 是感知设备,主要...
  • 整个大数据的处理流程可以定义为,在合适工具的辅助下,对广泛异构的数据源进行抽取和集成,将结果按照一定的标准进行统一存储,然后利用合适的数据分析技术对存储的数据进行分析,从中提取有益的知识,并利用恰当的...
  • 实时数据集成

    千次阅读 2014-04-21 11:20:50
    面向服务的体系结构 (SOA)目前应该是一个很受欢迎的名词,中间件技术人员几乎到了言必称SOA的程度,数据集成当然也不例外,在Oracle openworld2008大会上,就推出了一堆数据集成的专场演讲,其中和SOA结合最紧密的...
  • 基于VUE + Echarts 实现可视化数据大屏展示效果

    万次阅读 多人点赞 2019-04-28 18:46:37
    中国(寿光)国际蔬菜科技博览会智慧农业系统 — LED拼接屏展示前端开发文档 上线后呈现效果: ...1、确定现场led拼接屏的...第一屏相关功能:实时时间、当地天气、菜博会基本信息、图表数据统计(近三日人流量、...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 301,713
精华内容 120,685
关键字:

信息系统的数据集成设计