時間:2023-10-02 08:56:41
緒論:在尋找寫作靈感嗎?愛發表網為您精選了8篇業務應用管理,愿這些內容能夠啟迪您的思維,激發您的創作熱情,歡迎您的閱讀與分享!
關鍵詞:業務系統;問題;對策;財政管理
20世紀90年代中期以后,當代財政工作的繁重性、復雜性和艱巨性大大增加,傳統的工作方式和方法已經不能滿足財政改革與發展的實際需要,為此,河南省和全國財政系統同步,全面啟動了財政信息化建設工作,一大批財政業務管理信息系統相繼開發并投入具體應用,大大地提升了財政管理工作的科學化、精細化水平。今后幾年,國家全面深化財稅體制改革對財政管理工作提出了更高的要求,亟需推進財政管理業務系統應用的升級改造和補充完善,構建高效安全的預算管理流程,進一步規范財政業務管理、提高工作效率、提升服務能力。
一、財政管理業務系統應用的發展歷程
2002年前后,財政部為構建公共財政框架,在收入、支出、宏觀調控等方面啟動了一系列改革,其中在支出管理改革方面,主要推出了部門預算改革、國庫集中支付制度改革、政府采購制度改革、深化收支兩條線管理改革和金財工程建設等五項重要改革。而財政業務管理系統建設,則是金財工程建設的核心。十幾年來,河南省各級財政部門立足財政改革和管理需要,大力推進財政業務信息系統建設,著力深化應用層次,擴展應用范圍。截止目前,全省各級財政部門已經投入應用的財政業務管理信息系統20多個,其中,由信息技術公司分散開發的占90%以上。在財政內網上部署的業務系統,主要包括預算管理系統、預算執行系統、財政工資統發系統、非稅收入征管系統、財稅庫銀聯網系統、行政辦公系統、財政專戶管理系統、單位會計核算系統、部門決算系統、財政總決算系統等;在國際互聯網上部署的業務系統,主要有電子化政府采購系統、行政事業單位國有資產管理系統、項目預算評審系統、會計事務管理信息系統等。上述業務信息系統基本支撐了全省各級財政部門的主要業務管理工作,初步實現了信息技術與財政業務的融合,進一步提高了財政部門的工作效率和服務水平,促進了全省財政改革不斷向縱深推進。
二、財政管理業務系統應用存在的主要問題
(一)財政應用大平臺建設不到位
2002年初,財政部啟動金財工程建設,但直到2009年,財政部才在完成軟件開發和試點應用的基礎上,向全國財政系統推廣實施帶有頂層設計概念的“金財工程應用支撐平臺”。應用平臺建設目標主要是將此前各個分散開發的財政業務系統遷移、整合在這個平臺上,統一技術標準,實現信息共享。2011年前后,河南省市縣三級完成了平臺建設實施工作,部分財政業務系統接入平臺并上線運行。但是業務系統遷入平臺數量較少,系統之間的統一整合沒有突破性進展,信息共享、綜合查詢分析和利用等平臺應用也就無法實現,因此,平臺建設的總體效果并不理想。
(二)財政業務系統信息孤島林立
從當前財政內網運行的業務系統看,預算編制系統與預算執行系統之間、預算編制系統與資產管理系統之間、預算執行系統與非稅征管系統之間、預算執行系統與財政專戶系統之間、預算執行系統與行政辦公系統之間、預算執行系統與單位會計核算系統之間、預算執行系統與資產管理系統之間、部門決算系統與單位會計核算系統之間、部門決算系統與資產管理系統之間均割裂脫節;從外網運行的業務系統看,項目預算評審系統與預算編制系統、政府采購系統與預算執行系統也都是各自獨立運行,沒有實現有效銜接,共享數據信息。
(三)業務流程信息化處理存在盲區
由于流程和職責結合不夠、信息系統沒有互聯互通,目前業務流程信息化應用覆蓋面還不夠全面,存在一些管理盲區、盲點。例如,財政監督檢查信息管理系統尚未開發,不能實現對財政管理日常動態監控;監督檢查手段落后,仍主要靠手工查看賬簿、報表、憑證等,沒有使用信息化手段查詢、匯總、綜合分析業務信息。又如,財政總決算系統和部門決算系統目前還是單機版,在數據錄入、審核匯總、報表生成等環節均采用半人工方式進行,工作效率低下;此外,信息化應用與流程管理在一些環節上不匹配,有些財政業務流程如項目預算評審工作目前大多仍在線下手工操作。
(四)預算管理缺乏有效源頭支撐
隨著財政預算管理深入發展,細化預算編制、加快預算執行、強化財政監督檢查,都必須由切實可靠的項目庫、資產庫及人員基礎信息庫作為基礎支撐。目前運行的項目庫無論是形式要素還是主要內容都還不能滿足預算編制的需要,預算執行和財政監督檢查還沒有與項目庫建立融合的管理機制。人員基礎信息庫在預算編制和預算執行兩個業務系統內分別建立,缺乏統一的采集、更新和完善規范。相比前兩個基礎庫,資產庫還沒有完全真正建立起來。由于缺乏扎實的基礎數據庫,預算管理源頭控制措施比較匱乏,不能滿足深化預算管理制度改革要求。
(五)部分財政業務系統運行效率不高
目前應用的一些財政業務流程,在設計工作流程時,因過于強調資金安全,存在設置層層審批、拉長監管鏈條問題,并不科學合理。以預算執行系統為例,預算單位發起一項普通的專項支出用款計劃流程后,需要經過主管部門、財政預算管理部門、國庫支付管理部門和國庫支付中心等10來個業務流程節點。而涉及政府采購事項從用款計劃申請到資金支付共需要經過近30個業務流程節點。繁瑣而重復的業務流程一方面有礙規范財政管理、提高工作效率;另一方面模糊了預算單位執行主體責任和財政部門監管責任的邊界,難以做到簡政放權,一定程度上影響了財政部門良好形象。
三、進一步推進財政管理業務系統應用的政策建議
(一)強化頂層設計和傳承創新
在當前財政改革進入深水區的新時期,面對新老問題疊加、環境復雜多變的新形勢,需要進一步打破思想禁錮和利益藩籬,強化頂層設計,全面整合、完善財政業務系統,實現系統建設的整體性、協同性和可操作性。要傳承和創新并重,對金財工程應用支撐平臺,要進一步強化標準規范體系建設,使其成為技術標準的統一載體;對平臺擴展生長及數據分析等功能,要結合財政云計算平臺和財政大數據建設工程的實施,予以改進和完善;在此基礎上,建立健全省財政數據中心,對財政經濟數據信息進行融合、深度分析和共享使用,實現財稅政策決策的精準性、科學性及時效性,建設智慧財政。
(二)完善財政業務系統信息共享體系
適應財政改革進一步深入推進和財政科學化精細化管理的需要,進一步加大財政業務系統的整合力度,以工作流貫通業務流、信息流和資金流,基本建立起覆蓋所有財政性資金、縱向貫通各級財政部門、橫向聯通相關單位、核心業務管理高度集成的信息技術支撐體系。對原分散開發的內網業務系統設計程序接口或數據平臺,實現系統之間無縫對接;對分別運行在內、外網上的業務系統,要通過內外網交換系統實現信息自動傳遞或定期提取;總之,要通過系統的補充開發和改造,使各業務系統之間打破信息孤島壁壘,全面實現數據共享。
(三)實現業務流程信息化應用全覆蓋
大力推進財政核心業務系統即財政生產系統建設,不斷提高系統建設的靈活性和可擴展性,構建“預算編制一預算執行一會計核算一決算一預算編制”的財政業務管理閉環,以預算管理系統為龍頭,以預算執行系統為主體,形成順向相互支撐、有效制衡和逆向真實反饋、有效監督的完整體系,覆蓋全部財政業務管理節點,消滅業務管理信息化應用盲點和死角。近幾年內,要積極開發、部署和推廣應用國庫電子化支付清算系統、財政監督檢查信息系統、財政資金績效評價信息系統、部門決算和財政總決算信息網絡平臺等業務系統,進一步提升財政管理水平。
(四)整合完善信息庫服務預算管理
建立統一的支撐各級預算編制和中期規劃的單位人員基礎信息庫(含單位基礎信息、人員工資信息、法人基礎信息、財政補貼補助人員信息等)、項目庫、行政事業單位資產信息庫,并實行實時滾動管理,以上述“三庫”為支撐,建立跨年度多維度的財政管理模式。“三庫”集中整合和統一后,將廣泛應用于預算管理全流程,包括預算編制、非稅收入征繳、預算調整和追加、資金支付、政府采購、投資評審、資產管理、賬務信息、決算編制、財政監督及績效管理等財政業務,實現財政收支管理的精準化和政府資產全生命周期的管理精準化。
(五)進一步提高財政業務系統運行效率
信息技術(InformationTechnology,簡稱IT)就是應用計算機科學和通信技術來設計、開發、安裝和實施信息系統及應用軟件。具體來講,信息技術主要包括感測與識別技術、信息傳遞技術、信息處理與再生技術、信息使用技術等技術。在氣象業務管理部門應用信息技術就能使業務管理感知業務信息的能力得到進一步的加強。實現業務信息快速、可靠、安全的轉移,在對信息進行處理的基礎上,還可形成一些新的更深層次的決策信息。現代信息技術的發展,使得任何人在任何時間、任何地點獲取所需要的信息成為可能。所以在基于知識和信息的全球化經濟中,氣象業務管理離不開信息技術的支持,信息技術正在影響著甚至改變了傳統的氣象業務管理模式。充分利用信息技術在信息管理處理方面的優勢,結合氣象業務信息產生、傳輸、加工、決策流程,讓信息技術在氣象管理部門應用方式多樣化。具體表現在以下幾個方面:
(1)是業務信息資料自動化的設計、生產系統,大大提高了氣象信息資料生產率、信息資料產品質量;
(2)是業務處理系統,將基層業務人員從大量重復的、煩瑣的數據處理中解脫出來,提高了工作效率和工作質量;
(3)是管理信息系統將氣象業務作為一個整體來進行全面的信息管理,強化統計、分析和報告的功能,滿足中低層管理者的需求;
(4)是地市級及以上業務信息系統和決策者與集體決策支持系統,提高高層管理者的決策水平和工作效率。可以說信息技術已經滲透到并且正在越來越多地影響著現代化、信息化、氣象業務的方方面面。正是在這種背景下,信息技術成為業務管理的一個重要工具,氣象業務管理信息軟件將氣象臺站業務作為一個整體來進行全面的綜合信息管理,并且信息技術可以強化管理者的管理職能。
2目前氣象業務管理現狀
2.1綜合氣象觀測業務現代化建設情況
根據《中國氣象局關于發展現代氣象業務的意見》,氣象業務現代化建設將使綜合氣象觀測和技術支撐能力進一步增強,形成了以數據自動化采集、氣象通信網絡、高性能計算機、衛星數據海量存儲和衛星數據廣播為代表的實時氣象信息系統,資料獲取能力、處理能力和傳輸時效顯著提高。綜合氣象觀測和信息業務包括地面觀測和地基遙感系統、以氣球和飛機等為觀測平臺的空基遙感系統、以低軌和高軌衛星為觀測平臺的天基遙感系統,由數據收集及分發、信息加工處理、數據管理與共享服務等組成的氣象信息業務,以及由運行監控、維護維修、計量檢定等組成的技術裝備保障業務,也是綜合氣象觀測系統不可或缺的組成部分。現代化綜合氣象觀測業務發展,需要建立健全現代化氣象觀測業務管理系統。引進現代化管理手段,加強監測網絡業務質量的管理、監督和檢查,提高觀測業務的內在質量。
2.2地市縣兩級氣象臺站業務管理目前的狀態
近年來,隨著氣象業務現代化程度提高,計算機、寬帶網絡、信息技術業務化應用越來越廣泛。地市縣兩級業務管理也利用計算機、寬帶網絡、信息技術,對氣象臺站基本信息、氣象業務人員基本信息、氣象臺站探測環境圖片信息、各類業務質量考核信息、各類優秀業務人員信息等等進行管理,產生大量氣象業務管理信息。目前各類氣象臺站業務管理信息存儲以Excel、Word、Access、TXT文件和圖片文件等格式為主。隨著時間增長,各類氣象業務信息文件越來越多。對個人、縣級氣象臺站、地市級業務信息統計查詢分析耗費時間較長,工作效率較低。如此眾多的信息,缺乏一個統一的信息管理平臺。綜合以上分析和實際需求,我們研發了《氣象臺站業務信息管理軟件》,探索了利用信息技術建立現代化氣象觀測業務管理系統,通過業務管理信息化建設促使業務管理水平的提升和運行效率的提高,使業務管理走向現代化、規范化、系統化和信息化。
3應用信息技術管理氣象臺站業務信息
3.1信息技術的切入點
為了將信息技術引入氣象臺站業務管理,我們把氣象臺站業務管理工作分為定性與定量兩類。所謂定性的工作主要是指業務管理制度制定、業務管理流程的設計、業務人員資源分析報告等,這些工作的特點是具有很強的創造性,需要經過深入的主觀思考與判斷才能完成。所謂定量的工作主要是指根據既定制度與流程完成對客觀事務的處理,比如氣象業務臺站基本信息、業務質量考核信息、臺站探測環境圖片信息等,這類工作的特點是比較瑣碎繁雜,但又是需要日常處理的重復性工作,往往占據了氣象業務管理工作的大部分時間,降低了工作效率。信息技術在氣象臺站業務管理中主要是作為工具來應用,它可以用來處理所有定量的問題,比如氣象業務臺站基本信息、業務質量考核信息、臺站探測環境圖片信息等等,并能夠提供快捷便利的查詢統計功能與報表輸出功能,較之手工管理,信息技術的應用將大大降低例行性工作占用氣象業務管理人員時間的比例,并能夠動態直觀的反映氣象臺站業務資源的狀況,能夠為氣象業務管理提供高效的決策支持。這無疑極大地提高了地市縣兩級業務管理部門的工作效率。一套合理而完善的氣象臺站業務信息管理軟件還將為地市縣兩級管理者帶來另外一個好處:由于數據庫完整地記錄了氣象臺站基本信息、氣象業務人員基本信息、氣象臺站探測環境圖片信息、各類業務質量考核信息、各類優秀業務人員信息等各方面信息,系統將能快捷、方便地獲得各種統計分析結果,同時網絡技術的應用,還可以為其他管理人員及員工提供各種形式的接入服務(如人事管理部門、各級決策者),軟件能夠按照用戶選擇的不同的條件進行簡單查詢和復合查詢。如各類氣象業務質量基數、氣象業務人員基本信息、氣象臺站基本信息,氣象探測環境圖片信息、氣象業務優秀人員基本信息組合查詢。當軟件響應用戶查詢操作后,生成相關的數據表或圖表,并可打印或保存成PDF、Word、Excel格式的電子文檔。因此,信息技術在氣象臺站業務管理中的應用,可以幫助地市縣兩級管理達成如下目標:提高工作效率,優化業務流程,改善服務質量,提供基于信息的決策支持。
3.2業務流程管理與信息技術的集成
從表面上看,業務流程管理與信息管理系統的實施似乎是毫不相關,業務流程管理關注的是管理理論與思想,而信息系統則關注技術的實現手段,信息系統的實施未必一定要進行業務流程管理,同理,進行業務流程管理似乎也可以不采用信息系統。但是業務流程管理是一種以構造規范化的業務流程為中心,以持續提高業務管理考核績效為目的的系統的、不斷提升的方法。它能夠理解定義、實現自動化,改善地市縣管理業務。卓越的業務流程管理已經成為提升氣象業務信息化、現代化的強有力的手段,而信息技術又是實現業務流程管理的必要手段,兩者相輔相成,不可或缺。地市縣業務管理要擺脫不規范的業務流程,發揮氣象業務管理信息化帶來的優勢,就必須在氣象業務管理信息化建設的時候,實現信息技術與業務流程管理的集成。業務流程管理與信息技術集成,并圍繞業務管理的核心流程和主導業務開展信息化建設,是業務管理信息化建設成功的必由之路。
4地市氣象臺站業務信息管理軟件解決方案
氣象臺站業務信息管理軟件采用C/S結構,客戶端的界面和操作比較豐富,安全性能得到保證,響應用戶操作較快。軟件設計與安裝運行依托現有氣象通信網絡,采用2010C#框架技術編程,結合COM技術進行系統集成,增強系統的可移植性。通過TCP/IP網絡協議,利用數據庫訪問接口,快速便捷連接訪問MicrosoftSQLServer2000數據庫,幫助用戶采集各類數據并及時安全上傳存儲到網絡數據庫。優化查詢,高效分析用戶數據,實時處理各類數據,為用戶形成業務管理信息。
4.1采用三層C/S(Client/Serve)結構設計軟件
從功能結構層次設計為三個層面:基礎數據層、業務處理功能層和決策支持表示層。
4.1.1基礎數據層基礎數據層包含的是變動很小的靜態數據,主要有兩大類,一類是業務人員屬性數據,如姓名、性別、學歷等;另一類是臺站業務基本數據,如臺站基本信息、臺站業務信息等。基礎數據在氣象臺站管理軟件初始化的時候要用到,是整個氣象臺站管理軟件正常運轉的基礎。
4.1.2處理功能層業務處理層是指對應于氣象臺站管理具體業務流程的系統功能,這些功能將在日常管理工作中不斷產生與積累新數據,如新人員數據、質量考核數據、優秀人員考核數據、探測環境八方位圖片信息、人員圖片信息等。這些數據將成為管理者掌握臺站業務基本狀況、提高業務人員管理水平以及提供決策支持的主要數據來源。
4.1.3決策支持表示層決策支持表示層通過對數據的統計和分析,就能快速獲得所需信息:如臺站業務分布狀況、業務人員考核情況等。這不僅能提高氣象臺站業務的管理效率,而且便于業務管理者從總體把握氣象臺站業務情況基于上述結構的氣象臺站業務管理系統模型。
4.2軟件特點
軟件設計立足于目前地市業務管理部門日常對氣象臺站各類氣象業務信息綜合管理基礎上,按照業務管理流程,將綜合管理日常需要的各類氣象業務信息進行整理分析,建立數據庫,并設計人機交互界面,把各類氣象業務信息通過業務人員錄入\驗證并保存到數據庫,完成業務信息有效存儲,為以后臺站信息分析應用打下基礎。軟件開發與使用就要方便用戶對各類業務信息進行有效管理,可以加快查詢速度、加強業務管理,使臺站信息管理趨于信息化、自動化。
4.2.1數據庫優化設計按照氣象臺站業務管理日常工作流程,將手工管理的氣象臺站氣象業務眾多信息,依照數據庫管理模式,進行信息化處理,變換成能讓計算機加工處理數字化信息。并根據信息分析,利用MicrosoftSQLServer2005建立數字化信息存儲數據庫。用于存儲、處理和保護數據的核心服務。利用數據庫引擎可控制訪問權限并快速處理事務,從而滿足業務管理信息化要求極高而且需要處理大量數據的應用需要。
4.2.2功能強大、簡單易用的信息錄入功能擴展DataGridView控件,進行數據采集錄入界面,方便用戶操作,同時驗證用戶輸入的數據,保證圖數據一致性。使用DataGridView控件,可以顯示和編輯來自多種不同類型的數據源的表格數據,軟件為了提高用戶人機交互操作方便,擴展了DataGrid-View控件,在其單元格內可選擇輸入數據,如區站號、臺站名稱、臺站類型等。
4.2.3靈活、簡單的數據查詢功能軟件能夠按照用戶選擇的不同的條件進行簡單查詢和復合查詢。如氣象臺站業務質量基數、人員基本信息不同時段,或不同監測站同時段組合查詢。當軟件響應用戶查詢操作后,生成相關的數據表或圖表,并可打印或保存成Excel格式的電子文檔。
4.2.4方便、實用的數據統計功能數據統計結果是管理層進行決策的主要依據之一。本軟件的數據統計功能主要完成統計數值、圖表分析等工作,包括簡單統計、通用統計、常用統計、二維統計、單項統計及輔助決策幾個模塊。這部分可完成質量考核、臺站業務信息工作對各種信息的綜合分析及輔助決策的要求。
4.2.5圖表顯示功能利用圖表控件MSChart,把用戶查詢出來的質量考核信息、氣象臺站基本信息進行氣象臺站圖形統計和報表圖形顯示。
4.2.6利用Surfer8制圖功能繪制臺站分布圖氣象臺站分布圖在程序中調用Surfer8制圖功能,將符合條件的站點根據經緯度點加到所轄地區底圖,形成符合查詢條件的站點信息圖(分為地面觀測、生態觀測、高空探測、大氣成分監測等)。先將符合用戶條件的臺站經緯度從服務端數據庫中查詢出來,讀寫成Surfer8可識別數據文件,再調用Surfer8制圖功能,先把邊界底圖畫出來,把氣象臺站經緯度文件添加到底圖中。形成臺站任務圖片。
5總結
近年來,國內外各企事業單位都十分重視信息化建設,把加快信息化建設作為提高生產經營管理水平、促進業務流程優化、加強內部控制、提高決策質量和效率的重要手段。結合中國石油發展戰略和業務需求,中國石油出臺了統一的“十一五”信息技術總體規劃,F5(企業信息系統管理)項目便是“十一五”信息技術總體規劃中的一項,目標是建立集成的監控管理平臺和統一、完善的運維管理體系,提高中國石油信息技術基礎設施的可靠性和性能,從而保證中國石油各業務系統的高可用性,徹底改善IT服務的管理水平,提高客戶滿意度,降低IT服務支持成本。
被動的傳統IT運維管理
市場研究機構Gartner調查發現,在導致IT基礎設施出現故障的原因中,源自技術或產品方面的因素其實只占了 20%,而因為運維管理方面的原因則占到80%,可見IT系統運維及管理是相當重要的。企業每年對IT部門投資都不少,但是得到的效益卻沒有體現,問題仍然時常發生,感覺好像所有的投入都打了水漂。
企業的IT運維部門是一個吃力不討好的部門,因為IT運維就是在后臺默默地保證信息系統的正常運行,只有在問題發生的時候才想到還有IT部門的存在。這種現象是由于IT運維管理還處于傳統模式,即無相應的運維監控軟件或者是僅僅單獨使用某項監控軟件而沒有聯合使用。這種傳統的IT運維管理是被動的管理,是孤島式的管理,是與業務應用沒有聯動的管理。
1.被動管理
傳統的IT運維管理是救火式的管理。通常是用戶先于IT人員發現問題,然后再找到IT部門要求解決問題。這是由于傳統的IT管理采用人工方式管理基礎設施,網絡管理是從各種IT基礎設備出發的,僅僅是保障各類IT設備如服務器、數據庫、存儲設備、交換機等等基礎設施的正常運行。
不采用任何管理軟件,僅僅靠運維人員定期輪詢,或者執行某項命令來檢查設備,在系統規模較小時,只要參與運維的技術人員足夠負責,人工運維方式是可以滿足日常運維需要的。但是,當應用系統達到一定的規模后,這種運維方式的弊端就暴露出來了。輪詢一遍要花費幾個小時,這樣,輪詢周期越長也就代表越需要更久才能發現故障。這種被動式管理IT導致有了問題不能及時發現。
2. 無關業務、孤島管理
有些企業雖然采用某一種或幾種監控軟件來監控IT基礎設施,但這些監控軟件都各自獨立運作,沒有進行對業務的整合監控。如果用戶投訴業務應用不暢通,很難定位故障源,到底是網絡、應用程序、數據庫還是其他后臺系統出了問題,或者是各部門踢皮球,都說自己所負責的設備正常?
好一些的IT主管會把各個部門集合到一起開會,討論問題根源。傳統的IT運維管理方式是各類設備的管理各自為政,絲毫沒有關聯性。處理故障不便于追根溯源。每個人的精力有限,在專業應用系統賴以生存的各基礎設施支撐單元上很難做到專、精、準的多面手角色,加之由于管理范圍的界定和監控手段的限制,運維人員很難直接判定問題是出在基礎網絡、系統服務器、數據庫還是應用系統自身,故障難以定位將直接導致業務恢復時間的推遲,影響業務系統的正常運行,大大降低服務質量。
將IT運維與業務相關聯
IT運維是在后臺默默地保證各項業務應用系統的正常運行。IT運維工作是無形的,怎樣把這種無形的運維變為有形、甚至量化,這就要把IT的運維與業務相關聯。傳統的IT運維管理中,基礎設施的運維工作不能和業務相結合,僅僅是在設備管理的層面上。這就導致IT管理的成績沒有體現。想想看,如有業務應用不正常,那網絡或者服務器之類的任何一種基礎設備的正常運行又有什么用呢?業務應用是“1”,設備是“0”,沒有了正常通暢的業務應用,那其他的都是空談。只有在業務應用暢通的前提下,基礎設施管理才有意義,才能體現IT運維管理的價值。
因此我們需要幫助企業IT:部門了解用戶使用感受,關聯真實用戶感受和系統性能,指導問題事件定位和原因診斷 。
企業信息化發展過程首先是基礎架構建設階段,這個階段主要是采購一些硬件和應用軟件。隨著采購的不斷擴大,企業的IT組件不斷完備,IT系統初具規模,這就產生了IT運維和管理的要求,即網絡和系統監控(NSM)階段,監控網絡連通性和系統可用性,此階段主要還是對IT設備的監控。隨著企業業務日趨復雜,IT系統進一步擴大,這時就產生了對IT服務流程進行管理的需求,上升到第三階段,即IT服務管理(ITSM)的階段。以上三個階段都是IT間接產生業務價值的階段,對業務的順暢起輔助監控的作用。
企業業務系統對IT系統依賴的不斷增強,企業開始關心IT服務對業務帶來的影響,強調從業務目標角度出發來管理IT,也就是到達第四個階段――IT與業務融合的階段,即BSM(Business Service Management,業務服務管理)階段。企業可以根據業務目標對IT服務進行調整,以確保IT能夠支持業務目標,從而直接產生業務價值(如圖2所示)。
如今各類重要的IT應用系統相繼在中國石油發揮著舉足輕重的作用,所以IT應用系統的可用性尤其重要,例如ERP、OA、郵件、門戶等各類重要的系統如果出現中斷,都會給企業造成大量的經濟損失,所以除了需要對各類應用系統部署冗余的設備以備保證其高可用性,同時也需要對應用系統進行監控和管理,并且進行關聯管理。業務系統的可用性是由底層的各類基礎設施的狀態所決定的,因此建立一個有效的業務模型,將與某個業務相關的底層IT基礎設施關聯起來,該業務模型能夠有效地定位故障根源。這樣ERP的管理員只需要關心ERP業務的可用性,而沒有必要去關注每臺主機的性能參數和啟動的進程,不但大大節約了運維時間,而且也提高了運維效率,使故障持續時間大大縮短了。
基于BSM的IT運維
當前中國石油IT運維管理的需求就是從業務出發,建立基于BSM解決方案的新型IT運維。
新型的IT運維管理系統要做得到的就是基于BSM架構的業務管理。
首先,要實時掌控最終用戶對IT服務的使用體驗,根據制定好的SLA(Service Level Agreement,服務等級協議)來管理業務服務的質量,這樣就可以根據業務影響和SLA來對IT服務進行管理。
其次,通過端對端的應用交易時間測量,實現業務要求端對端的可見性;從最終用戶的角度,來測量業務服務的響應性能,主動幫助運維人員在第一時間發現問題,以便在問題對用戶造成不利影響之前,及時得到隔離、診斷和修復,把它們對業務的干擾降到最低。
第三,提供業務服務、應用及底層IT系統構架部件之間的映射關系。這種解決方案通常會基于一種稱為CMDB(Configuration Management Database,配置管理數據庫)來實現。通過服務依存關系映射技術,來展現業務服務、應用和底層IT系統構架部件之間的動態關系,這樣就增進了對各種IT元素的掌控和理解。
第四, 借助業務服務與IT基礎設施的依存關系,對告警事件進行管理。當IT系統的組件產生告警時,結合收集上來的底層的IT系統告警事件,對它們進行過濾、關聯、聚合,根據對業務服務影響的嚴重性,來進行排序處理。
傳統意義上的CMDB是服務流程中的一部分,是ITIL中最重要、最核心的概念之一,在以業務為核心的IT運維中,CMDB也是業務建模的主要工具。CMDB通過自動發現工具收集和一定范圍的IT基礎架構基礎信息,包括配置項和關系,建立IT基礎架構模型;并通過端到端的業務服務拓撲圖來可視化展示業務系統所有部件和關聯關系。
把這四方面的功能整合起來,從最終用戶的角度來衡量業務影響和風險;自動發現業務服務、應用和底層IT系統構件,并建立依存關系;理解用戶感受,監控用戶業務響應時間 ,在用戶受影響之前發現問題,以求滿足下列功能:
1. 通過基于角色的業務視圖,提供業務流和服務的可見性;
2. 從最終用戶的角度來衡量業務影響和風險;
3. 設置和檢測業務過程的SLA,了解應用性能對業務的影響;
4. 24×7小時端到端監控,從瀏覽器到后臺實時監控所有交易;
5. 理解用戶感受,監控用戶業務響應時間 ,在用戶受影響之前發現問題;
6. 主動發現和按優先級管理關鍵業務問題;
7. 通過自動把業務和底層運營信息建立關聯來縮短平均問題修復時間;
8. 自動發現業務服務、應用和底層IT系統構件,并建立依存關系;
9. 通過聯合的CMDB,來為IT環境提供一個“統一的真實數據”視圖,這樣就可以為用戶提供一個主動的、以業務為中心的BSM解決方案,幫助用戶極大地改善業務服務的性能和可用性,降低服務突然中斷帶來的風險。
提升IT部門的作用
以前,IT運維部門救火隊式的混亂狀況導致無法判斷IT運維總體表現的好壞。而IT部門又是公認的成本中心,這就導致了在很多企業中IT部門總是承受著很多批評,IT人員的工作熱情也不高。
摘 要:本文為了解決因駕校學員激增導致的人力、場地緊張等問題,設計了駕校業務應用支撐平臺與信息管理系統。在遵循主流技術路線的基礎上,給出了包括應用框架、技術框架、邏輯框架在內的完整技術方案,并從應用層面對統一應用支撐平臺和駕校信息管理系統做了詳細闡述。
關 鍵 詞:支撐平臺;框架;統一管理
隨著生活水平的不斷提高,汽車已經成為人們生活的普通消費品,越來越多的走進千家萬戶。汽車的普及也使駕校炙手可熱,傳統的駕校管理方式在學員的激增下,人力不足、場地有限等問題不斷暴露,如何能合理的分配學員,調動駕校資源變得迫在眉睫。駕校業務應用支撐平臺與信息管理系統便在這一背景下應運而生。
該項目面向駕校和公眾對象,為駕校和公眾即時提供考試信息,并提供網站、電話、短信等多種形式的考試申請服務。同時提供統一數據導入、導出接口,方便駕校和車管處使用,提高駕校的申報速度和車管處將申請信息錄入車管業務系統。
一、技術框架方案
1.技術路線
本項目基于J2EE的開放式體系結構,支持跨平臺運行的體系架構,系統兼容各種主流操作系統與應用平臺。遵循國際上成熟的、通用的標準、規范和協議,如LDAP、TCP/IP、XML、SOAP協議等。支持國際主流標準WSRP、JAAS、JNDI、Portlet(JSR168)、JCA等。
2.總體應用框架
總體應用框架包括資源層、支撐層、應用層和接入層,安全保障體系、服務組件體系貫穿整個系統,如圖1所示。
資源層
資源層用于存儲車管處各類基礎信息,是車管處在行使日常管理和服務職能過程中所產生的各類基礎業務數據[1],包括:人員信息庫、駕校信息庫、考場基本信息庫、考試信息庫、考試時間安排信息庫、考試申請歷史信息庫。
支撐層
支撐層主要是指車管處公共資源管理與服務平臺的建設,內容包括統一認證、統一授權、單點登錄與審計監控。通過統一認證與單點登錄,用戶只登錄一次便可訪問所有系統。統一授權則可簡化管理員的授權管理工作。審計監控可有效防止不友好操作等不和諧因素的產生。
應用層
應用層以關注業務建設為主,主要應用有:駕校信息配置管理系統、考場信息管理系統、考試信息出卷系統、考試申請系統、統一數據導入導出平臺、信息系統。
接入層
接入層通過支持相應地標準規范,與條件成熟的外部系統如短信平臺、網絡電話實現有效掛接。
安全保障體系
安全保障體系包括可信的基礎安全設施、物理安全、安全技術、安全管理、安全服務、安全策略等。
3.技術框架設計
項目總體技術框架圖如圖2所示。
4.邏輯框架設計
平臺的邏輯框架以標準規范、信息安全體系為保障,自外而內分為信息門戶、典型業務應用、公共服務平臺以及數據中心等幾部分。
信息門戶
信息門戶是以用戶為中心,統一展現信息的入口。
典型業務應用
典型業務應用包括駕校信息管理系統、考場信息管理系統、考試信息管理系統、考試申請系統、信息平臺、外網公眾服務平臺。
公共服務平臺
公共服務平臺主要包括資源目錄管理平臺以及在此基礎上的資源信息、統一認證、統一權限配置、審計監控平臺。
數據中心
數據中心包括人員信息庫、駕校信息庫、考場基本信息庫、考試信息庫、考試時間安排信息庫、考試申請歷史信息庫。
5.資源整合模型
資源整合以用戶身份整合為基礎。建立統一的身份驗證平臺,基于統一的目錄服務系統和多種身份驗證手段,集中統一管理用戶,實現身份認證、權限管理、單點登錄。 [ ]
單點登錄
單點登錄SSO(Single Sign On)已經成為門戶安全服務中一個必需的特性支持,并作為一種標準門戶服務提供給用戶。每一個Web應用都有自己的用戶管理認證機制,將身份管理系統部署為平臺服務方式,允許用戶在不同的Web 應用中導航,而不用反復登錄不同系統。
統一用戶和統一權限管理
統一用戶管理主要完成用戶的統一標識,統一權限管理為統一用戶管理與應用模塊之間建立一種映射關系,從而實現用戶在所集成的多個應用子系統之間任意切換。
統一用戶管理包括:用戶基本信息管理、用戶包含的角色管理、用戶包含的權限管理、用戶組織機構管理、用戶崗位管理;組織機構基本信息管理、崗位基本信息管理、崗位包含的權限管理、崗位認證管理、擁有崗位的用戶管理;應用系統基本信息管理、應用系統權限組管理、應用系統權限管理、應用系統角色管理等。
二、建設內容
項目的主要建設內容是建設統一的應用支撐平臺與信息管理系統。
1.統一應用支撐平臺
統一資源管理
資源是指各應用系統都要用到的共性信息,如:用戶、組織機構、角色等。
采用公共資源管理平臺對公共資源進行統一管理。資源的屬性可根據業務需要進行擴展。
用戶管理
在目錄服務中將用戶身份以對象的形式存放在統一身份庫中,用戶對象可以存放在組織機構對象下[2]。用戶對象擁有相應的屬性信息,如:登錄名、用戶全名、身份標識等。
組織機構管理
在目錄服務中建立指定的容器對象,稱為組織單元。將組織機構以對象的形式存放在該容器中,各級子組織機構可作為對象以樹的方式存放在相應的容器對象下。組織單元對象擁有相應的屬性信息,如,組織機構名稱、組織機構主管、組織機構首頁鏈接等。
訪問角色管理 訪問角色管理為簡化分級授權管理的維護操作,在統一身份庫中建立相應的角色,來配置各級用戶對不同業務系統的訪問權限。將角色以對象的形式存放在組織機構中,角色對象擁有相應的屬性信息,如:名稱、角色編碼、成員、描述等。
身份同步
實現身份與角色的實時、策略同步。各應用系統實現用戶管理平臺提供的接口(增量、全量),實時或者定期同步信息。接口包括java API以及WebService。
可同步的資源包括所有資源:組織機構、用戶、用戶組、角色。
統一身份認證
身份認證服務是用戶訪問應用系統的入口,通過統一各業務系統的身份,實現統一的身份認證,用戶在登錄所有應用系統時能夠使用唯一的用戶名/口令。
根據業務需要可提供多種不同安全級別的身份認證方式,包括普通用戶名/密碼認證,也可支持數字證書認證,從而滿足多應用環境下的綜合認證需求。
單點登錄
支持與條件成熟的其他系統之間進行單點登錄。
關鍵詞:油田;業務協同;業務模型;工作流;圖形化
0 前言
煉油企業存在員工集中、地域分散、多種作業類型、生產鏈接緊密、信息密集、高科技等特點。工作流技術是一種快速增長的技術,廣泛應用于各行業,其主要特點是業務流程的自動化,這些流程是手動和自動的,主要特點是這些流程在計算機中處理應用和工具幫助,由計算機系統幫助人們完成交易的日常事務。工作流管理的最終目標是縮短業務周期,改進內部和外部流程,優化和合理使用資源,減少人為錯誤和延遲,提高勞動生產率。
1 協同工作流技術
1.1 基于角色的權限授權機制研究
角色本身不代表權限的大小,例如O置“Project Manager”角色的能力,還可以設置“Team Leader”的角色。分層Hierarchal RBACC模式可用于實現分層角色。也可以使用Composite Roles模式,對角色實現一定的分組和復合,以方便權限的分配。
1.2 工作流模型研究
過程集成模型,已經超越了“過程模型”概念類。 當前的業務變得越來越復雜,跨區域跨部門信息交互的需求變得越來越明顯,部門之間的跨區域合作正在增加。 一個簡單的集成模型基本上是一個“主流程控制”方法:通過一個主流程來控制整個流程的操作,通過各個子流程來完成一個特定的任務,并返回到主流程來處理結果 。
2 系統方案設計
2.1 流程設計
(1)工作流引擎:工作流引擎作為工作流管理系統的核心,為工作流定義和流程流提供支持。
(2)工作流過程建模工具:工作流過程建模工具為可視化流程設計工具,用戶通過拖放方式繪制流程,并通過配置為節點實現節點操作,節點表單,節點參與者配置。
(3)流程操作:進程操作是指對進程的操作支持,如啟動進程,終止進程,掛起進程,DC,分流(單)和流(多人同時),試驗等,因為這些進程可以直接基于引擎提供的鏈接調度算法直接支持。
(4)工作流客戶端程序:工作流客戶端程序提供用于呈現工作流管理系統的過程管理系統的功能,待完成列表的列表,已經完成的列表,過程操作的執行,過程歷史信息等等上。
(5)流程監控:過程監控提供了一種圖形化的方式來監控執行過程,包括過渡,在每個鏈接上花費的時間等,并且通過這些過程,可以適當地提高工作效率。
(6)表單設計器:窗體設計器為視覺形式的設計工具,用戶拖放方式繪制所需的表單,以及相應的表單數據綁定。
(7)與表單的集成:業務流需要一種表達實際業務的形式,因此它需要與表單集成以表示業務意識。與表單的集成通常包括表單數據的自動獲取、存儲、修改、域權限控制、與過程相關的數據的維護以及過程鏈接表單的綁定。
(8)與應用程序的集成:通過與應用程序的集成來提高工作流管理系統的業務意識,主要涉及系統的權限和組織的集成。
2.2 流程調度
(1) OBE的引擎調度機制
OBE是由Adrian Price開發的一個開源Java工作流引擎,支持WFMC規范,包括接口1(XPDL),接口2/3(WAPI)和接口5.OBE引擎操作調度算法非常簡單,所有的調度規則基于WorkflowRunner類run方法。StartProcess,startActivity,completeActivity,executeTransition在這些情況下都會導致運行。OBE調度算法非常簡單,但實施調度過程更是周圍。
(2) Shark的引擎調度機制
Shark遍歷循環的機制是:
(3) YAWL的引擎調度機制
它的核心調度規則在YnetRunner類中有continueIfPossible方法。核心調度機制是它將重新路由流程實例中的所有節點點,因為節點的令牌傳輸或狀態改變的任何狀態。此處的節點點是YAWL支持的兩種類型的節點:Condtion和Task。YAWL的enable enable算法更經典,主要是確定某個Task節點允許被激活。YAWL目前完全支持And,XOR,OR聚合算法,其中最復雜的是無疑是OR算法。
3 應用效果分析
系統主要實現以下功能:
(1)組織機構管理
組織機構管理主要對組織機構及其用戶進行管理,實現了添加單位、修改單位、刪除單位和單位排序功能。單位建立后可以在該單位下新建單位用戶,同時對用戶進行信息修改和單位轉移操作。
(2)權限管理
權限管理細分為角色管理、權限元素管理、權限分配。主要實現:
①對權限元素進行管理(權限元素是權限管理和控制的最小單位),包括添加角色、修改角色、刪除角色;
②對權限元素進行分組管理(角色),包括添加權限分類、修改分類、刪除分類,在具體分類下維護所屬的權限元素;
③權限分配:對用戶、權限元素/角色進行組合分配,按照組織機構列出所有用戶,進行相應的角色或權限分配。
(3)工作流管理
實現業務流程定制、業務流程維護、流程實例管理、審批授權、綁定工作流等。
(4)日志管理
實現登錄日志、操作日志和錯誤日志的紀錄與查詢操作,提高系統的安全性。
服務器端使用Java作為文件管理服務,客戶端提交XMLHttpRequest請求,服務器端返回相應的XML文檔。
參考文獻
[1] 范玉順. 工作流管理技術基礎[M]. 北京:清華大學出版社,2011;46-47.
經過十多年的檔案信息化發展,我國主要發達地區對檔案信息化的提法達到了空前的高度、深度、廣度與力度,通過集成不同的現代技術,出現了不同層次的檔案管理系統(AMIS),涌現出一批數字檔案館、電子檔案館,基本實現館藏數字化、利用網絡化、控制智能化,逐步實現了計算機系統目錄管理和全文管理條件下的紙質、聲像、實物和電子文件的歸檔,有的還實現了網絡化電子文件歸檔。但是,歸檔管理模式并沒有根本性突破,主要表現在無法對檔案的質量進行全面、系統地實時監控和綜合評價,如各門類載體材料收集是否齊全完整,內容是否真實有效,整理是否規范,歸檔是否及時,以及各部門的歸檔難度、歸檔數量等。即便是各個等級的檔案目標管理考核,也只能對已歸檔的材料進行抽查。顯然,傳統的歸檔模式對于如何提高歸檔效率,實現對文件形成與歸檔的過程、時間和質量的實時監控,以及建立對歸檔人員激勵評價的科學管理機制,仍缺乏科學有效的解決方法。
當前AMIS基本上是對已有檔案信息的管理、利用、編研等環節進行管理,而對檔案界反映比較強烈的“采全率低、采準率低、及時性差(即檔案收集不齊、質量不高、期限不準、歸檔滯后等)”等問題無法處理。由于檔案的收集范圍、保管期限對不同單位具有特定性,一般檔案管理人員難于把握,使得大量的原生信息源未能收集保管,直接影響了檔案的收集、著錄以及今后提供利用的水平。
目前,在檔案整理的過程中,每個環節都需要大量的人工干預或檢查,才能達到理想的整理效果,也就是說一個單位的檔案要想整理得好,就必須需要一個高素質的檔案人員,做到仔細、認真,并且必須非常了解單位的業務運作。
二、應用業務規則技術的解決之道
針對國內檔案管理現狀,廣東萬維博通信息技術有限公司在自有系列檔案信息資源管理系統(AMIs)產品基礎上,引入人工智能技術,研發了一套“基于業務規則的檔案信息資源管理平臺”,該平臺除具備一般AMIS的檔案管理、利用、編研的功能外,重點研究了基于信息資源規劃,依托業務規則庫的檔案信息資源收集管理體系:通過信息資源規劃確定各立檔單位的歸檔范圍、保管期限表,并將其抽象為檔案業務規則庫(Archives Business Rules Database,簡稱ABR),同時也將檔案主管部門與指導部門的規范、制度、標準等也整理到ABR,通過強大的推理引擎(RM),對已有的檔案信息數據(AID)進行分析與推理,作出相應的判斷,以幫助立檔單位達到“檔案收集齊、保管期限設置準、檔案著錄規范”的目標,同時也為檔案管理部門建立起智能化的網上監督指導系統、績效評估系統和上崗人員自學習系統等。也可通過基于檔案知識規則庫(ABR)和推理引擎(RM)構建的檔案信息雷達自動從相關業務系統收集檔案信息資源。基本實現以下功能:
1)采用人工智能技術,建立檔案業務規則庫(ABR),利用規則引擎,貫穿整個檔案軌跡的全過程,控制檔案收集、整理的質量與數量;
2)構建檔案信息雷達,利用檔案業務規則庫(ABR)。通過數據挖掘技術自動收集立檔單位的各種業務數據:
3)建立新型的檔案移交、接收模式,做到檔案實體正式移交前進行相應的非現場預檢查,保證檔案接收質量并減少后續的著錄量與數字化加工量:
4)建立新型的檔案監督指導管理體系與績效考核體系,實現遠程指導、遠程考核。
5)建立新型的檔案自學習系統,提供檔案上崗人員接受培訓的新途徑,并找到傳承資深檔案人士知識的快捷方法等。
三、主要研究內容
1、檔案業務規則庫(ABR)的建立與管理
與檔案業務相關的規范、制度、標準等內容,稱為業務規則(Business Rules,簡稱BR),特別是檔案管理部門制定的檔案收集、歸檔范圍、保管期限表等。
每個立檔單位都有不同的規則,每個資深的檔案從業人員都有不同的經驗總結,在檔案指導的過程中可能也會定期加入相關規則,規則在不斷地更新。檔案業務規則庫分為三類,是將檔案各項專業知識分門別類融合。
1)針對外部的業務規則庫:以《檔案法》為主的相關法律、法規和制度等;
2)針對結構化的內部規則庫:對綜合檔案以立檔單位為基礎的《歸檔范圍》、《保管期限表》,對工程檔案以工程性質為基礎的《建設工程峻工檔案歸檔范圍》:
3)針對非正式的內部規則庫:檔案指導長期實踐的經驗,單位經驗豐富的檔案從業人員的知識總結等。
2、檔案業務規則庫(ABR)在檔案軌跡的各個環節的用處
通過完善的業務規則管理系統(BRMS)將相關的檔案規范、制度、標準及各立檔單位的歸檔范圍、保管期限表等抽象為檔案業務規則庫。
BRMS是系統服務堆棧中的一部分,提高了SOA的便捷性,利用它建成的ABR及檔案信息庫(AID),可較快地搭建與檔案配套的其他業務系統。
檔案業務規則庫(ABR)建設完成后,在檔案軌跡的各個環節可以開始發揮作用。
可對各立檔單位的檔案信息(包含全宗、目錄/項目、案卷、卷內等)自動分析,提高決策水平,推理得出相關結論:
檔案著錄是否規范?
檔案收集范圍是否齊全?
保管期限定義是否準確?如數據符合要求,可以搬檔案實體過來或下去檢查等,并衍生出相應的人工智能子系統:
1)檔案接收即時檢查系統
接收檔案范圍確定后,系統可即時根據檔案業務規則庫(ABR)將各立檔單位的檔案信息(AID),通過知識規則推理引擎(RM),對錄入或導入的檔案信息進行檢查,系統自動提出整改意見或驗收意見。
2)檔案著錄規范檢查系統
根據已存在的檔案業務規則庫(ABR)對責任者、題名、保管期限等自動進行檢查。
3)網上監督指導系統
檔案局/館、檔案主管單位利用基于Internet/Intranet的檔案信息掃描技術,結合檔案業務規則庫(ABR),自動監督各立檔單位的檔案整理情況,發現問題自動提醒,并及時反饋,信息轉入Workflow,檔案監督指導人員根據實際情況作出處理。
它利用人工智能的原理,借助計算機模擬人類的思維過程,對檔案信息數據進行分析與推理,作出相應的判斷,提出建議及線索,以供檔案管理部門進行進一步的重點檢查與監督指導。其目的就在于:提高監督指導效率,降低監督指導風險,進而保證檔案收集入庫的質量。
4)立檔單位績效評估系統
績效評測內容與目標建立后,系統可定期根據檔案業務規則庫(ABR)對各立檔單位的檔案信息(AID)進行評測,通過知識規則推理引擎(RM),自動生成績效預評估報告,經過Workflow流轉后產生最終的評估報告。
關鍵詞:證券業務;應用層安全;管理平臺
中圖分類號:TP315文獻標識碼:A 文章編號:1009-3044(2011)04-0741-02
The Research of Application Layer Safety Management Platform Based on Securities Business
LU Hai-hua
(Information & Security College, Shanghai Jiao Tong University, Shanghai 200240, China)
Abstract: The paper has analyzed the importance of the securities business application layer, and cleared the necessity of the safety management platform. The paper has firstly determined the target of the securities business application layer safety management platform. Then the paper has secondly designed the platform, and further studied the database signature verfication of platform.
Key words: securities business; application layer security; management platform
證券業務應用交易所是國家設立的提供證券集中競價交易場所的機構,其最主要的工作就是要創造透明、開放、安全、高效的市場環境,提供證券業務應用交易的場所和設施。網絡證券業務的應用層系統在給證券公司帶來更大經濟效益和管理效率、給大眾帶來更優質快捷服務的同時,也帶來了更大的安全威脅。網絡的開放性體架結構,決定了其在安全控制和管理機制等方面具有先天缺陷,易受攻擊和非授權訪問。
總之,隨著證券業務應用層處理信息化進程的不斷深入,內部網絡和外部網絡的規模不斷擴大,各類新證券業務應用不斷上線,網絡已成為證券公司競爭力的重要部分,是保障證券業務應用層信息化順利運行的紐帶和基石。而安全性也必然成為證券業務應用層安全管理平臺首先要解決的關鍵問題。
1 證券業務應用層安全管理平臺的目標
證券業務應用層安全管理平臺主要實現如下五個安全性目標:
1)機密性:證券業務信息只能被需要的人、授權的人看到,在傳輸過程中無法被截獲。
2)有效性:證券業務應用層系統中的信息是安全的、有效的。
3)完整性:證券業務信息在傳輸過程中不會被篡改、丟失和亂序,信息不會被隨意生成、修改和刪除。
4)審查能力:根據機密性和完整性的要求,可以對數據審查的結果進行記錄和歸類。
5)可靠性/不可抵賴性/標識:發出的證券信息具有可靠的標識,發信人不能抵賴。
要實現以上目標,需要證券業務應用層內部的多個模塊(用戶登錄、權限管理、加密、數字簽名)相互作用。其中用戶登錄、權限管理主要是實現對證券業務應用層系統的訪問控制,加密主要實現數據的加密存儲。當然,證券業務應用層的安全還需要其它各層基礎安全設施的協作。
2 證券業務應用層安全管理平臺的設計
2.1 用戶登錄功能的設計與實現
作為安全的第一道防線,某種程度上也是最重要的一道防線,身份認證技術普遍受到關注。認證技術提供了關于某個人或某個事物身份的保證,這意味著當某人聲稱具有一個特別的身份(如某個特定的用戶名稱)時,認證技術將提供某種方法來證實這一聲明是正確的。證券業務應用層安全管理平臺的用戶登錄功能設計的具體方法是:
在證券用戶請求登錄頁面時,服務器端生成一隨機數,服務器端保存這一隨機數,并將這一隨機數與登錄頁面一同發送給用戶;用戶在登錄時既要提供用戶ID和密碼,而且需提供這一隨機數。服務器端驗證用戶登錄信息時,首先驗證證券用戶提交的隨機數是否正確,在認證碼正確的情況下再做下一步的用戶及密碼的驗證,并同時清除掉服務器端分配給用戶的隨機數。為了加大破解難度,通常將這一隨機數附著在一幅圖片上發送到證券客戶端。另外,雖然增加認證碼的方法能防止入侵者的字典攻擊,但是入侵者高密度的登錄驗證,還是會對網絡傳輸造成一定的負面影響,因此在登錄模塊中檢查同一IP登錄情況是否異常,如在很短的時間里,登錄次數明顯不正常時,將把這一IP記錄加入到受限IP庫中。驗證證券用戶登錄的具體流程如圖1所示。
2.2 權限管理模塊的設計
為了實現證券業務應用層安全管理平臺中資源的訪問控制,用戶在通過了身份驗證,進入系統后,只能訪問系統授予的權限內的證券業務資源。證券業務應用系統的用戶、權限管理與操作系統的用戶、權限管理的概念所不同之處在于:
1)證券業務系統里的權限管理和訪問控制的對象主要是證券業務應用系統的資源,例如數據、功能等,而不是網絡、主機、文件目錄和數據庫;
2)證券業務系統中的用戶、權限信息通常存儲在應用系統指定的位置(例如數據庫中),通過專門開發的界面進行維護;
3)由于證券業務的復雜性,權限的控制級別更細些,通常需要到記錄和記錄的字段一級,因此現有手段(如數據庫管理系統本身)無法提供相應的訪問控制機制。證券業務應用層安全管理平臺的權限管理具體包括證券用戶管理、角色管理、功能模塊(資源)管理、權限分配。如圖2所示。
1)證券用戶管理
證券用戶是指能對證券業務資源進行訪問的一個主體。證券用戶是系統的使用者。證券用戶通過角色擁有對應系統中對象的權限。證券用戶管理主要包括添加、刪除、修改用戶等功能。
2)證券角色管理
證券角色是在證券業務應用中形成的,在部門中具有特定職責、權利的一類人員的總稱。在信息系統中,證券角色是能夠控制一定資源的用戶集合。證券角色管理包括角色的添加、刪除,角色屬性的修改角色的指派,角色權限的指派。
3)資源管理
資源是證券業務中用戶和角色訪問、操作、控制的抽象客體。本證券業務應用層安全管理平臺提供對功能模塊和數據庫表、記錄和字段的授權訪問,將所有模塊和對應的數據庫表、記錄和字段按照需求規則劃分類別和層次,按樹結構進行存儲,再由權限管理模塊將各模塊權限分配給角色。應用的對象首先需要注冊,才能成為證券業務資源,才能進一步定義權限、并指派給用戶和角色。
4)權限分配
權限,簡單地說,就是用戶和角色對證券業務資源所具有的操作類型。權限是和證券業務應用層安全管理平臺密切相關的,是系統資源“與生俱來”的。
3 證券業務應用層安全管理平臺的數據庫簽名驗證
本文研究的證券業務應用層安全管理平臺的數據庫簽名驗證主要通過CryptSignMessage()函數實現簽名,通過CryptHashMessage()函數生成文件哈希。本系統采用MD5算法生成散列值,一共是128位。此簽名驗證模塊會在簽名信息上附帶相應的公鑰信息,這樣對簽名驗證時就非常方便了。而且對于簽名者的證書獲取也變得更加容易。程序流程圖如圖3所示。
此數字簽名程序中用到的函數如下描述:
BOOL WINAPI CryptSignMessage(
PCRYPT_SIGN_MESSAGE_PARA pSignPara ,
BOOL fDetachedSignature ,
DWORD cToBeSigned ,
const BYTE *rgpbToBeSigned[ ] ,
DWORD rgcbToBeSigned[ ] ,
BYTE *pbSignedBlob ,
DWORD *pcbSignedBlob
) ;
其中,數字簽名過程中所涉及到的參數的結構由變量pSignPara加以定義,包括一些算法(比如散列、加密等)、數字簽名證書個數及數組、簽名編碼信息類型等等。在數字簽名過程中,可以將信息與哈希值共同保存在同一空間,這個狀態是參數fDetachedSignature加以表示,初始狀態為假。而數字簽名數組的指針及數值分別由參數*rgpbToBeSigned[]以及cToBeSigned加以表示。進行數字簽名后的數據大小及指針又分別由參數*pcbSignedBlob以及*pbSignedBlob加以表示。
接受端接到了加密數據后,將對會話密鑰及文件分別進行解密。首先,通過獲取信息頭部文件中的簽名簡要,利用公鑰獲得哈希值。可以通過CryptHashMessage()函數直接從頭部文件中獲取加密文件的哈希值。其次,比較兩者的哈希是否一致(也就是簽名的哈希和從頭部文件中獲取的哈布)。如果兩者是一致的話,表明加密文件是完整的,在傳輸時沒有出現被破壞的現象。反之,則表示文件傳輸有誤。本文研究的證券業務應用層安全管理平臺的數字簽名認證就是通過這樣的密鑰及哈希來驗證簽名的有效性。
數字簽名對應都有一個簽名認證證書,證書就保存在證書庫中的。如何對簽名者的證書進行有效驗證呢?本文是通過證書驗證模塊加以實現的。主要是驗證證書是否是服務器端所承認的機構頒發的、證書是否是有效的等等。本文主要借助于CertVerifySubjectCertificateContext()函數實現對證書的驗證。證書驗證的函數說明如下描述:
BOOL WINAPI CryptVerifyMessageSignature (
PCRYPT_VERIFY_MESSAGE_PARA pVerifyPara ,
DWORD dwSignerIndex ,
const BYTE *pbSignedBlob ,
DWORD cbSignedBlob ,
BYTE *pbDecoded ,
DWORD *pcbDecoded ,
PCCERT_CONTEXT *ppSignerCert
) ;
證書驗證過程中所涉及到的參量通過pVerifyPara加以設定,主要包括證書所在的證書庫信息、證書服務的供應方以及證書編碼信息等。當有若干個簽名者進行簽名時,必須進行索引設置,這是由參數dwSignerIndex加以設定的。證書的簽名信息參數由*pbSignedBlob和cbSignedBlob加以驗證。而每個證書都有一個句柄相對應,這主要由變量*ppSignerCert加以表示。
4 總結
總之,本文的研究能有效保障證券業務交易信息處理和傳輸系統的安全,避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等活動,同時為探索證券業務應用層系統的安全保障體系的建立邁出有益的一步,本文研究的意義就在于此。
參考文獻:
[1] 田青.證券電子商務系統的應用層安全體系設計[J].計算機與網絡,2009(5).
[2] 朱道奇,竇爾翔.我國證券業信息化現狀與發展探析[J].中國金融電腦,2008(6).
[關鍵詞] COBIT IT外包 風險管理
一、COBIT標準綜述
COBIT(Control Objectives for Information and related Technology)是美國信息系統審計和控制協會ISACA(Information Systems Audit and Control Association)基于其原有的控制目標體系(Control Objectives),結合并改進現有的正在發展中的其他國際技術標準和工業標準而制定的控制目標體系,是國際上最先進、最權威的安全與信息技術管理和控制的標準。COBIT控制目標體系是一個較完整的信息系統管理和控制的參考模型,它將政府和企業的信息化歸納為34個IT處理過程,并逐個提出指導意見。通過將COBIT應用到信息系統的開發和實施環境,可以為管理人員、開發人員和審計人員來強化和評估信息技術外包風險的管理和控制提供依據。
二、IT外包的風險分析
企業IT外包處于IT戰略中的資源管理層面,是幫助企業將注意力更多地投入到商業管理而非信息技術管理,進而更專注地追求核心競爭力的一條途徑。盡管IT外包愈來愈普及,但外包失敗的案例并未因此而減少。IT外包風險的表現就是外包失控。由于把部分或全部IT資源外包給企業外部的服務商,企業對服務商的管理就要比管理自己的IT部門復雜得多,時刻會面臨失控,主要表現在以下三個方面:
風險一:IT外包可能會在服務的及時提供和服務的質量方面達不到預期效果。
風險二:企業對承包商的依賴度高反而降低了企業的靈活性,企業成本不降反升。
風險三:企業的商業機密可能會被泄露,知識產權可能會被盜用。
三、基于COBIT的IT外包風險管控體系
COBIT的控制目標主要是針對信息系統的管理控制和運行控制,COBIT提出的控制目標可以應用到所有的信息系統。因此,它的控制目標對IT外包系統來說大部分是適用的,但因其業務特殊性,必須結合發包企業的具體環境和承包商的實際情況,加以修改、補充和完善。
1.組織與規劃
系統規劃是IT外包項目建設的第一步,包括發包企業的戰略目標、政策和約束、計劃和指標分析;發包企業原有的建設目標、建設模式;企業信息的功能結構、組織、人員管理;IT外包的效益分析和實施計劃。規劃的好壞對IT外包項目的建設的成敗有至關重要的影響。
整個信息系統的建設要以優化企業的核心業務流程,提高工作效率,更好地發揮企業綜合協調與服務的職能為總體目標。規劃必須滿足:規劃本身應當明確無誤而且易于理解,應當是一個可以為大多數人所理解和認同的概念。規劃必須得到領導小組的認可;規劃目標應當是可衡量的;規劃必須建立在對內外信息調查的基礎上制定。
2.獲取與實施
系統分析是在充分的調查的基礎上對企業內部的整體管理狀況和信息處理過程進行分析。系統分析的工作量非常大,所涉及的業務、人、數據和信息非常多。而且在實際情況中,企業信息化的需求難以一次確定,并且會不斷發生變化;另一方面,承包商對政府的具體業務業并不熟悉,常常會發生理解上的偏差,從而導致建模的錯誤。因此,完成的系統分析必須滿足以下一致性、完整性、現實性和有效性這四方面的要求。然后在系統分析的基礎上,研究承包商外包方案的可行性,制定相關技術標準、實施規范。
3.服務與支持
發包企業的需求是不斷變化的,商業目標也是隨著企業的發展而逐步更新的,承包商要做好完善的數據跟蹤,在可行范圍內滿足發包企業的需求,不斷改進和修正開發計劃中遇到的問題和缺憾。
4.審計
IT外包項目在發包企業實施以后,系統的可靠性、安全性和有效性是非常重要的,系統中的信息成為政府最寶貴的資源。內部審計是在政府內部建立信息系統審計組織,由內部信息系統審計人員對電子政務系統的可靠性、安全性、有效性進行檢查與評價,將結果報告給政府管理層。內部信息系統審計部門,從組織地位上來講必須獨立于政府的IT職能部門和最終用戶部門。
構建基于COBIT的信息系統管理、控制與審計模型,將便于人們對信息系統建設與應用過程的理解與分析,指導人們建立相應的機制,將信息系統建設與應用的全部過程置于有效的管理與控制之下。對信息系統的投資者和管理者,將幫助他們在通常不可預測的IT環境下平衡風險與投資。對信息系統的使用者,將通過管理、控制和審計為他們提供安全保障和一定的服務水平。對審計師而言,將幫助他們明確審計軌跡,使他們做出的鑒定和勸告更具說服力。
四、總結
通過構建基于COBIT標準的信息技術過程集,我們可以把對IT外包的風險管理細化到各個過程,構建過程的風險管理模型,從而化繁為簡,使復雜的IT外包業務管理、控制和審計結構化。對IT外包擁有正確的風險管理思想為指導,能夠促進健全的管理機制建立,便于技術與工具的應用,使風險管理過程更加規范化。
