以确定的信创软硬件设备环境为基础,对目前正在使用的办公OA系统整体应用架构升级为支持信创软硬件环境的新架构,使新的办公OA系统完全适配符合信创要求的信创CPU、服务器、操作系统、数据库、应用服务器中间件等,达到信息系统信创要求。通过优化应用响应速度、并发量等性能测试指标,优化应用代码、越权加固等渗透测试指标,提升信创办公OA系统高可用性、安全性。同时在原有系统基础上,进一步推进数字化转型,全面优化原有流程与功能,强化系统服务用户及多系统协同办公能力。
一、实施背景
为了响应政策关于推进信创号召,减少信息安全事故发生风险,以信创软硬件设备为基础,对办公OA系统进行信创升级,达到相关要求。同时,通过本次办公OA系统信创升级实践,探索信创软硬件和信息系统在推进的可行性方案,并解决办公OA系统在信创软硬件设备基础环境的兼容性、在信创软硬件设备基础环境上运行的性能等。
本方案解决办公OA系统在信创软硬件设备基础环境的兼容性问题、在信创软硬件设备基础环境上运行的性能问题等,并与原有办公OA系统相比进一步提供应用的高可用性、安全性、稳定性。
二、实施目标
最终目标是实现能满足办公OA系统的使用人数、日均在线人数、高峰并发人数、业务量要求,能满足办公OA系统的运营服务要求的业务目标;能满足办公OA系统在适配信创软硬件设备基础环境的要求,能满足办公OA系统在登录系统、流程发起、流程查询、流程提交等多种应用操作的性能指标要求,能满足办公OA系统网络安全性、数据安全性、接口安全性等安全性要求的技术目标。
将该解决方案应用在办公OA系统中,对办公OA的中间件、数据库、应用系统、终端、办公软件等相关软硬件设施针对信创环境进行适配。
三、建设内容
本方案实施为单轨模式实施。技术路线采用兆芯ZX-E 37800D(应用服务器芯片)+东海君鹏XRS30(应用服务器)+kunpeng 920(数据库服务器芯片)+TaiShan200(数据库服务器)+统信UOS V20(操作系统)+本地化+巨杉Sequoia DB V3.4.2(数据库)+东方通TongWeb6.1.5.15(中间件)。终端电脑为升腾C73(KX-U6780A)+海尔博越G41(KX-6640MA)。
该方案的主要业务需求:
1.流程按机构分为:总行、分行、二分/支行三级,可实现跨层级全流程管理。
2.流程范围覆盖8大流程模块共计60余项流程,包括:发文流程、收文流程、签报流程、会议纪要、信息管理、会议管理、日常管理、出差管理等。
3.在实现系统主要功能模块的基础上,满足多系统对接、优化移动办公审批、提升用户体验增加人性化功能要求。
性能需求:
●系统中注册用户数:10000左右;
●日均在线用户数:1000左右;
●高峰并发用户数:200左右;
●日均流程发起量:200左右;
●系统运行级别:5×8;
●单笔流程操作响应时间要求:3s。
安全需求:等保二级。
功能架构总体设计:
办公OA以流程化操作为核心,使用多种接口定义、多样流程工具和操作组件,基于流程引擎实现办公OA业务流转操作。
系统架构总体设计:
a)用户通过统一认证调用单点登录登录后进入公文处理。
b)应用开发全流程管理将科技需求审批流程信息通过接口发送给公文处理,公文处理流程完成后推送给应用开发全流程管理。
c)公文处理将所有需要进行归档的流程信息通过接口发送给档案管理。
d)人力资源管理将干部个人有关事项请示流程信息通过接口发送给公文处理,公文流程完成后推送给人力资源管理。
总体部署
办公OA系统部署某银行在某地的数据中心机房,总共10台物理服务器。
1)应用服务器:4台,部署办公OA应用,负责应用逻辑处理。
2)Redis服务器:3台,用于处理缓存数据;其中2台服务器复用为电子签章服务器,负责处理签章逻辑。
3)数据库服务器:3台,负责办公OA的结构化数据和非结构化数据存储,数据交互处理等。
服务器通过各区域汇聚交换机连接至区域防火墙;客户端访问经区域防火墙做入向策略控制后,通过硬件负载均衡设备到达应用服务器。
技术架构图:
安全总体设计:
网络安全性:提供行内办公网络访问,对终端接入电脑进行识别,确保网络安全。系统接入统一认证,系统登录入口未来关闭,对统一认证请求数据进行加密传输,并对数据有效性进行验证。
数据安全性:文档类数据采取分布式存储,确保方式文件安全。结构化数据系统提供精确到各个流程环节各种状态下的权限,对页面请求进行了权限校验,确保数据防止被非法偷窥。
数据备份方式:由行内备份平台进行备份。
接口安全性:对应用程序内部使用接口,采用拦截器,确保不被非法请求。对外提供的接口,对接收到的请求合法性进行验证。
安全详细设计:
●身份鉴别:统一采用统一认证单点登录。
●访问控制:
■具备用户分类功能,可动态添加各类角色,进行权限的分离;
■能对各类用户赋予不同的权限;
■具备严格的权限验证方法,采用合理的技术手段,充分保证权限凭证数据不可伪造;
■具备在通过身份鉴别机制认证用户身份后,方可允许用户访问授权的功能;
■具备记录管理员访问过程操作日志的功能;
■具备用户访问过程操作日志。
●安全审计
■具备管理员行为审计功能
■审计内容包括:操作时间、账户、登陆IP地址、登录方式、操作内容与结果等
■具备用户登录行为审计功能
■审计内容包括:登录时间、用户账户、登录IP地址等
●存储完整性和保密性
■采用数据分权,确保有权限用户查看数据。
■采用了分布式与加密存储方式。
方案执行过程中的关键举措:将办公OA根据信创中间件、数据库等适配情况对流程平台进行了升级改造,并在原来功能的基础上优化了移动端等功能模块。
四、实施效果
该解决方案已在全行10000多名用户内进行推广,覆盖了某行所有用户。目前每日日常访问用户数1000人左右、每日日常访问次数2000次左右,每日日常流程发起量百余条,包含了某行8大流程模块共60余项流程场景,满足公文流转、日常审批等多种办公需求,为协同办公、跨层级全流程管理、移动办公、多流程跨平台对接等提供了统一流程平台。部署方式可复制,可为不同的办公用户群提供不同类型流程管理功能。
首个全面采用信创基础配置设施,已全面适配兼容信创操作系统、浏览器和办公软件等的应用系统。在信创环境下可兼容多种应用操作场景,为该行后续全面推广信创办公基础软硬件环境提供了技术支撑、方案参考、信创实施经验。后续在自主可控的情况下可持续进行系统改造和优化维护,进一步提供应用的高可用性,满足后续线上化办公相关要求。