新科技單點(diǎn)登錄產(chǎn)品白皮書范本

1、 統(tǒng)一接入平臺(tái)產(chǎn)品白皮書新科技軟件股份1.現(xiàn)狀與需求分析41.1.現(xiàn)狀41.2.問題51.3.什么是單點(diǎn)登錄（SSO）？51.4.什么是4A?61.5.什么是虛擬化？61.6.統(tǒng)一接入平臺(tái)能為您帶來什么？82.新科技統(tǒng)一接入平臺(tái)簡(jiǎn)介83.產(chǎn)品特點(diǎn)83.1.軟硬件融合方案83.2.完備的單點(diǎn)登錄93.3.統(tǒng)一資源目錄的集中授權(quán)93.4.一站式的信息聚合處理94.軟件功能模塊94.1.個(gè)人控制臺(tái)104.1.1.定制系統(tǒng)104.1.2.待辦管理114.1.3.密碼修改114.2.賬號(hào)管理114.2.1.組織機(jī)構(gòu)114.2.2.應(yīng)用角色124.2.3.用戶管理134.3.單點(diǎn)登錄144.3.1.認(rèn)證策

2、略154.3.2.登錄設(shè)置154.3.3.代理式的業(yè)務(wù)系統(tǒng)注冊(cè)164.3.4.適配式的業(yè)務(wù)系統(tǒng)注冊(cè)174.3.5.適配式的業(yè)務(wù)系統(tǒng)賬號(hào)配置184.4.權(quán)限管理184.4.1.統(tǒng)一資源目錄184.4.2.分級(jí)授權(quán)194.4.3.授權(quán)管理204.4.4.數(shù)據(jù)權(quán)限224.5.安全審計(jì)224.5.1.登錄日志224.5.2.操作日志224.6.信息集成224.7.集成接口234.7.1.組織機(jī)構(gòu)查詢234.7.2.用戶信息查詢234.7.3.用戶角色查詢244.7.4.代辦查詢244.7.5.權(quán)限查詢244.7.6.信息集成244.7.7.日志接口244.8.集成組件245.硬件部署說明255.1.虛

3、擬機(jī)255.2.數(shù)據(jù)庫266.技術(shù)體系結(jié)構(gòu)267.產(chǎn)品技術(shù)優(yōu)勢(shì)277.1.先進(jìn)與成熟相結(jié)合的技術(shù)架構(gòu)277.2.完善的安全控制機(jī)制277.3.高可靠性277.4.平臺(tái)無關(guān)性278.典型案例289.推進(jìn)實(shí)施289.1.策略建議289.2.4A代理式的業(yè)務(wù)系統(tǒng)集成289.3.適配式的業(yè)務(wù)系統(tǒng)集成291. 現(xiàn)狀與需求分析1.1. 現(xiàn)狀隨著市場(chǎng)競(jìng)爭(zhēng)的日益激烈和企業(yè)信息化的迅猛發(fā)展，業(yè)務(wù)系統(tǒng)日漸完善和豐富，逐步實(shí)現(xiàn)企業(yè)的生產(chǎn)、市場(chǎng)、營(yíng)銷、客服、管理等諸多業(yè)務(wù)的無紙化。企業(yè)期望借助信息化的平臺(tái)的不斷建設(shè)，提升企業(yè)效率，提高市場(chǎng)響應(yīng)速度，保持企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力。但用戶要想享受到這些業(yè)務(wù)系統(tǒng)帶來的諸多好處，就需

4、要登錄到許多不同的業(yè)務(wù)系統(tǒng)中，而每個(gè)系統(tǒng)都要求用戶遵循其獨(dú)立的身份認(rèn)證安全策略，比如要求輸入用戶名和口令。用戶所使用的業(yè)務(wù)系統(tǒng)越多，登錄所花費(fèi)時(shí)間越多，登錄時(shí)出錯(cuò)的可能性就會(huì)越大，受到非法截獲和破壞的可能性也會(huì)大大增加，系統(tǒng)的安全性就會(huì)相應(yīng)降低；而如果用戶忘記了口令，不能正確的登錄系統(tǒng)，就需要請(qǐng)求管理員的幫助，而且只能在重新獲得口令之前等待，造成了系統(tǒng)和安全管理資源的不必要的開銷，降低了系統(tǒng)的使用效率。有時(shí)，用戶為避免這種尷尬情況的出現(xiàn)，也為記清楚登錄信息，通常會(huì)采用簡(jiǎn)化用戶名、密碼，或者在多個(gè)系統(tǒng)中使用一樣的口令，并且極少進(jìn)行定期修改，或者干脆將密碼記錄在筆記本上的做法，給企業(yè)的信息安全帶來

5、嚴(yán)重的安全漏洞。下面是一些著名的調(diào)查公司顯示的統(tǒng)計(jì)數(shù)據(jù)：· 用戶每天平均16分鐘花在身份驗(yàn)證任務(wù)上 - 資料來源：IDS· 頻繁的IT用戶平均有21個(gè)密碼 - 資料來源：NTA Monitor Password Survey· 49%的人寫下了其密碼，而67%的人很少改變它們· 每79秒出現(xiàn)一起身份被竊事件 - 資料來源：National Small Business Travel Assoc· 全球欺騙損失每年約12B - 資料來源：Comm Fraud Control Assoc另一方面，業(yè)務(wù)系統(tǒng)的增加，帶來不斷增長(zhǎng)的軟硬件采購成本。按照通

6、常的建設(shè)模式，為了避免應(yīng)用間的互相干擾和方便故障定位，通常是一臺(tái)物理服務(wù)器運(yùn)行單個(gè)應(yīng)用，而且，為了確保一些重點(diǎn)業(yè)務(wù)系統(tǒng)的業(yè)務(wù)連續(xù)性，還采用雙機(jī)熱備的方式。隨著服務(wù)器數(shù)量的急劇增加，機(jī)房空間飽和、電力負(fù)荷幾近滿載日趨嚴(yán)重。同時(shí)服務(wù)器的總體利用率較低，可用性低，缺乏可管理性，兼容性差。大量服務(wù)器的存在使得中心機(jī)房的運(yùn)行維護(hù)成本高。業(yè)務(wù)系統(tǒng)和服務(wù)器數(shù)量增多后，給系統(tǒng)管理人員帶來日益沉重的系統(tǒng)維護(hù)壓力，管理難度也同時(shí)加大。1.2. 問題A、建設(shè)成本：既增加財(cái)務(wù)支出，又帶來施工進(jìn)度的時(shí)間成本。l 每次建設(shè)一套系統(tǒng)，都需要采購相應(yīng)的軟硬件，如數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、應(yīng)用服務(wù)器軟件、數(shù)據(jù)庫軟件。l 系統(tǒng)所

7、需硬件、網(wǎng)絡(luò)、基礎(chǔ)軟件（操作系統(tǒng)、數(shù)據(jù)庫軟件、應(yīng)用服務(wù)器軟件）每次均需要安排施工。l 每個(gè)系統(tǒng)都需要的系統(tǒng)維護(hù)功能，如組織架構(gòu)、人員管理和系統(tǒng)日志等功能在不斷的被重復(fù)建設(shè)。B、維護(hù)成本：l 管理員需要管理不斷增多的服務(wù)器和網(wǎng)絡(luò)設(shè)施。l 基礎(chǔ)架構(gòu)的不一致（服務(wù)器類型、基礎(chǔ)軟件類型）帶來的系統(tǒng)維護(hù)的學(xué)習(xí)成本。l 沒有統(tǒng)一的用戶管理：不同的系統(tǒng)在組織架構(gòu)和用戶視圖上不統(tǒng)一，由于員工上崗、崗位變更或者離職等引起的用戶信息管理任務(wù)，管理員需要在不同的業(yè)務(wù)系統(tǒng)中維護(hù)同步相關(guān)的用戶身份和存取管理；不能夠自動(dòng)監(jiān)控任何關(guān)于身份信息的訪問權(quán)限的變更。l 對(duì)各個(gè)系統(tǒng)缺乏集中統(tǒng)一的訪問審計(jì)，無法進(jìn)行綜合分析，因此不能

8、與時(shí)發(fā)現(xiàn)入侵行為。C、使用成本：l 業(yè)務(wù)人員應(yīng)用的困難：要面對(duì)多個(gè)功能各異的IT系統(tǒng)，需要記憶多套登錄賬號(hào)和密碼，同時(shí)，經(jīng)常有用戶忘記口令而要求重置，這也加大了管理員的工作負(fù)擔(dān)。不能形成作業(yè)需要的整體信息視圖，每個(gè)系統(tǒng)都有各自的登陸界面和操作界面，需要頻繁登陸和在不同的系統(tǒng)間來回切換。l 缺乏統(tǒng)一集中的資源訪問授權(quán)機(jī)制：各個(gè)業(yè)務(wù)系統(tǒng)具有各自的權(quán)限管理機(jī)制，造成全網(wǎng)權(quán)限管理分散的局面；因不同系統(tǒng)的設(shè)計(jì)和實(shí)施策略不同，導(dǎo)致同一機(jī)構(gòu)存在多種權(quán)限管理方式，管理成本高。l 數(shù)據(jù)共享困難：大量的雷同數(shù)據(jù)（通知、交互、提醒）分別存放在不同的業(yè)務(wù)系統(tǒng)中，數(shù)據(jù)共享度低。系統(tǒng)之間猶如孤島，信息不能共享和貫通，查找

9、信息如同大海撈針，只能從每個(gè)系統(tǒng)得到某一方面的情況，缺乏完整的業(yè)務(wù)視圖，往往需要在多個(gè)系統(tǒng)之間反復(fù)查找才能獲得需要的信息。1.3. 什么是單點(diǎn)登錄（SSO）？單點(diǎn)登錄（Single Sign-On），簡(jiǎn)稱為SSO，通常指一個(gè)用戶在使用多個(gè)應(yīng)用時(shí)只需要同一個(gè)認(rèn)證信息（如用戶名/密碼），并且只需要登錄一次就可使用所有的所有支持單點(diǎn)登錄的業(yè)務(wù)系統(tǒng)。用戶在訪問任何業(yè)務(wù)系統(tǒng)之前，自動(dòng)定向到統(tǒng)一接入系統(tǒng)進(jìn)行用戶登錄，獲得安全認(rèn)證后，系統(tǒng)自動(dòng)從數(shù)據(jù)庫中取出該用戶被授權(quán)登錄的系統(tǒng)信息和過程記錄進(jìn)行登記，完成后自動(dòng)跳轉(zhuǎn)回業(yè)務(wù)系統(tǒng)，無需用戶再次登錄。1.4. 什么是4A?4A (認(rèn)證Authentication、

10、賬號(hào)Account、授權(quán)Authorization、審計(jì)Audit)。 1.5. 什么是虛擬化？虛擬化是一種經(jīng)過驗(yàn)證的軟件技術(shù)，它正迅速改變著 IT 的面貌，并從根本上改變著人們的計(jì)算方式。如今，具有強(qiáng)大處理能力的 x86 計(jì)算機(jī)硬件僅僅運(yùn)行了單個(gè)操作系統(tǒng)和單個(gè)應(yīng)用程序。這使得大多數(shù)計(jì)算機(jī)遠(yuǎn)未得到充分利用。利用虛擬化，可以在一臺(tái)物理機(jī)上運(yùn)行多個(gè)虛擬機(jī)，因而得以在多個(gè)環(huán)境間共享這一臺(tái)計(jì)算機(jī)的資源。不同的虛擬機(jī)可以在同一臺(tái)物理機(jī)上運(yùn)行不同的操作系統(tǒng)以與多個(gè)應(yīng)用程序。虛擬機(jī)具備以下四個(gè)讓用戶受益的關(guān)鍵特征：兼容性與物理計(jì)算機(jī)一樣，虛擬機(jī)承載著自身的客戶操作系統(tǒng)和應(yīng)用程序，并具有物理計(jì)算機(jī)上的所有組件

11、（主板、VGA 卡、網(wǎng)卡控制器等）。因此，虛擬機(jī)與所有標(biāo)準(zhǔn)的 x86 操作系統(tǒng)、應(yīng)用程序和設(shè)備驅(qū)動(dòng)程序完全兼容，這樣，您就可以使用虛擬機(jī)來運(yùn)行您在 x86 物理計(jì)算機(jī)上運(yùn)行的所有一樣軟件。隔離雖然虛擬機(jī)可以共享一臺(tái)計(jì)算機(jī)的物理資源，但它們彼此之間仍然是完全隔離的，就像它們是不同的物理計(jì)算機(jī)一樣。例如，如果在一臺(tái)物理服務(wù)器上有四個(gè)虛擬機(jī)，并且其中一個(gè)虛擬機(jī)崩潰，則其他三個(gè)虛擬機(jī)仍然可用。在可用性和安全性方面，虛擬環(huán)境中運(yùn)行的應(yīng)用程序之所以遠(yuǎn)優(yōu)于在傳統(tǒng)的非虛擬化系統(tǒng)中運(yùn)行的應(yīng)用程序，隔離就是一個(gè)重要的原因。封裝虛擬機(jī)實(shí)質(zhì)上是一個(gè)軟件容器，它將一整套虛擬硬件資源與操作系統(tǒng)與其所有應(yīng)用程序捆綁或“封裝

12、”在一個(gè)軟件包。封裝使虛擬機(jī)具備超乎尋常的可移動(dòng)性并且易于管理。例如，您可以將虛擬機(jī)從一個(gè)位置移動(dòng)和復(fù)制到另一位置，就像移動(dòng)和復(fù)制任何其他軟件文件一樣；也可以將虛擬機(jī)保存在任何標(biāo)準(zhǔn)的數(shù)據(jù)存儲(chǔ)介質(zhì)上，從袖珍型的 USB 閃存卡到企業(yè)存儲(chǔ)區(qū)域網(wǎng)絡(luò) (SAN)，皆可用于保存。獨(dú)立于硬件虛擬機(jī)完全獨(dú)立于其底層物理硬件。例如，您可以為虛擬機(jī)配置與底層硬件上存在的物理組件完全不同的虛擬組件（例如，CPU、網(wǎng)卡、SCSI 控制器）。同一物理服務(wù)器上的各個(gè)虛擬機(jī)甚至可以運(yùn)行不同類型的操作系統(tǒng)（Windows、Linux 等）。由于虛擬機(jī)獨(dú)立于硬件，再加上它具備封裝和兼容性這兩個(gè)特性，因此您可以在不同類型的 x

13、86 計(jì)算機(jī)之間自由地移動(dòng)它，而無需對(duì)設(shè)備驅(qū)動(dòng)程序、操作系統(tǒng)或應(yīng)用程序進(jìn)行任何更改。獨(dú)立于硬件還意味著，可以在一臺(tái)物理計(jì)算機(jī)上混合運(yùn)行不同類型的操作系統(tǒng)和應(yīng)用程序。采用虛擬化軟件的 5 由1、提高現(xiàn)有資源的利用程度：通過服務(wù)器整合將共用的基礎(chǔ)架構(gòu)資源聚合在池中，打破原有的“一臺(tái)服務(wù)器一個(gè)應(yīng)用程序”模式。2、通過縮減物理基礎(chǔ)架構(gòu)和提高服務(wù)器/管理員比率，降低數(shù)據(jù)中心成本：由于服務(wù)器與相關(guān) IT 硬件更少，因此減少了占地空間，也減少了電力和制冷需求。采用更出色的管理工具可以提高服務(wù)器/管理員比率，因此人員需求也得以減少。3、提高硬件和應(yīng)用程序的可用性，進(jìn)而提高業(yè)務(wù)連續(xù)性：可安全地備份和遷移整個(gè)虛擬

14、環(huán)境而不會(huì)出現(xiàn)服務(wù)中斷。消除計(jì)劃停機(jī)，并可從計(jì)劃外故障中立即恢復(fù)。4、實(shí)現(xiàn)了運(yùn)營(yíng)靈活性：由于采用動(dòng)態(tài)資源管理、加快了服務(wù)器部署并改進(jìn)了桌面和應(yīng)用程序部署，因此可響應(yīng)市場(chǎng)的變化。5、提高桌面的可管理性和安全性：幾乎可在所有標(biāo)準(zhǔn)臺(tái)式機(jī)、筆記本電腦或 Tablet PC 上部署、管理和監(jiān)視安全桌面環(huán)境，無論是否能連接到網(wǎng)絡(luò)，用戶都可以在本地或以遠(yuǎn)程方式對(duì)這種環(huán)境進(jìn)行訪問。1.6. 統(tǒng)一接入平臺(tái)能為您帶來什么？統(tǒng)一接入平臺(tái)是信息化建設(shè)中所有信息系統(tǒng)用戶管理功能核心系統(tǒng)，通過它可以對(duì)所有信息系統(tǒng)中的部門、人員、角色進(jìn)行管理，所有業(yè)務(wù)系統(tǒng)可以使用提供的接口快速取得人員、部門、角色信息，以作為其他業(yè)務(wù)系統(tǒng)運(yùn)

15、行基礎(chǔ)，這樣一來，被納入統(tǒng)一用戶管理的業(yè)務(wù)系統(tǒng)就不需要自己管理部門、用戶、角色信息，從而達(dá)到公司基礎(chǔ)的部門、人員、權(quán)限數(shù)據(jù)的統(tǒng)一管理；所有客戶端也通過它進(jìn)行單點(diǎn)登錄，以一個(gè)統(tǒng)一的身份進(jìn)入到在權(quán)限圍的所有信息系統(tǒng)中，所有業(yè)務(wù)系統(tǒng)可以直接使用。實(shí)現(xiàn)統(tǒng)一身份認(rèn)證與單點(diǎn)登錄，同時(shí)可以為企業(yè)各信息子系統(tǒng)提供統(tǒng)一、權(quán)威的部門、人員、角色信息，消除各系統(tǒng)中人員信息的數(shù)據(jù)冗余。從用戶管理和維護(hù)的角度來說為企業(yè)提供人員、部門信息的統(tǒng)一管理和維護(hù)功能，并通過周密的日志管理確保系統(tǒng)的穩(wěn)定運(yùn)行，提高了數(shù)據(jù)的統(tǒng)一性、唯一性，提高了系統(tǒng)的響應(yīng)速度維護(hù)速度，減少了維護(hù)工作量，提高了維護(hù)效率。通過虛擬化技術(shù)進(jìn)行應(yīng)用整合，從而

16、重構(gòu)服務(wù)器架構(gòu)，減少服務(wù)器物理數(shù)量，增加應(yīng)用的部署彈性，簡(jiǎn)化IT管理，降低運(yùn)維成本。提升服務(wù)器利用率的同時(shí)，降低管理的復(fù)雜度，減少管理人員的工作量，實(shí)現(xiàn)更加靈活和簡(jiǎn)便的管理。2. 新科技統(tǒng)一接入平臺(tái)簡(jiǎn)介新科技統(tǒng)一接入平臺(tái)是4A統(tǒng)一安全管理平臺(tái)解決方案，即融合統(tǒng)一用戶賬號(hào)管理、統(tǒng)一認(rèn)證管理、統(tǒng)一授權(quán)管理和統(tǒng)一安全審計(jì)等四要素后的解決方案，涵蓋單點(diǎn)登錄（SSO）等安全功能，既能夠?yàn)榭蛻籼峁┕δ芡晟频?、高安全?jí)別的4A管理。建立統(tǒng)一的基礎(chǔ)軟硬件平臺(tái)，企業(yè)級(jí)的單點(diǎn)登錄系統(tǒng)和安全防護(hù)系統(tǒng)，為企業(yè)用戶提供統(tǒng)一的信息資源認(rèn)證訪問入口，集中管理組織架構(gòu)和用戶信息，建立統(tǒng)一的、基于角色的和個(gè)性化的信息訪問、集成

17、平臺(tái)；通過實(shí)施單點(diǎn)登錄功能，使用戶只需一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪問不同的業(yè)務(wù)系統(tǒng)， 提高信息系統(tǒng)的易用性、安全性、穩(wěn)定性；在此基礎(chǔ)上進(jìn)一步實(shí)現(xiàn)企業(yè)用戶高速協(xié)同辦公和企業(yè)知識(shí)管理功能。3. 產(chǎn)品特點(diǎn)3.1. 軟硬件融合方案p 基于虛擬機(jī)的應(yīng)用服務(wù)器資源共享。p 基于用戶名分配的數(shù)據(jù)庫集中管理。p 單點(diǎn)登錄和真正4A管理的統(tǒng)一接入平臺(tái)。3.2. 完備的單點(diǎn)登錄p 對(duì)于未來新建系統(tǒng)，提供基于4A的代理式單點(diǎn)登錄，融合程度高。p 對(duì)于歷史遺留系統(tǒng)，提供具備自動(dòng)抓取分析的適配式的單點(diǎn)登錄，快速整合。p 只需部署一套系統(tǒng)，就能同時(shí)支持多個(gè)隔離網(wǎng)段的單點(diǎn)登錄。p 協(xié)議的跨平臺(tái)，預(yù)置java、.net、

18、php等多個(gè)客戶端單點(diǎn)登錄組件，能夠擴(kuò)展支持各種技術(shù)路線。p 同時(shí)支持web和wap的單點(diǎn)登錄。p 登錄到統(tǒng)一接入平臺(tái)后，當(dāng)前用戶只能看到有權(quán)限的業(yè)務(wù)系統(tǒng)，做到信息隔離，降低安全風(fēng)險(xiǎn)。3.3. 統(tǒng)一資源目錄的集中授權(quán)p 樹狀目錄分級(jí)結(jié)構(gòu)的統(tǒng)一資源目錄，實(shí)現(xiàn)異構(gòu)信息資源的統(tǒng)一接入。p 同時(shí)支持基于角色、組織結(jié)構(gòu)、人員的多種授權(quán)方式。p 提供分級(jí)授權(quán)功能，可方便為各個(gè)業(yè)務(wù)系統(tǒng)配置管理員，分散業(yè)務(wù)系統(tǒng)授權(quán)工作壓力；為各個(gè)部門配置部門管理員，避免日常的賬號(hào)等數(shù)據(jù)配置工作集中在系統(tǒng)管理員上。p 各個(gè)業(yè)務(wù)系統(tǒng)可分別配置獨(dú)有的角色，互相隔離。p 功能權(quán)限和數(shù)據(jù)權(quán)限的統(tǒng)一模型，方便管理。3.4. 一站式的信息

19、聚合處理p 在門戶將分散在各個(gè)業(yè)務(wù)系統(tǒng)的在辦、待辦、已辦等信息集中顯示。p 委托式的代辦支持。4. 軟件功能模塊涵蓋單點(diǎn)登錄（SSO）等安全功能，能夠?yàn)榭蛻籼峁┕δ芡晟频?、高安全?jí)別的4A管理，4A包括統(tǒng)一用戶賬號(hào)（Account）管理、統(tǒng)一認(rèn)證（Authentication） 管理、統(tǒng)一授權(quán)（Authorization）管理和統(tǒng)一安全審計(jì)（Audit）四要素。系統(tǒng)的核心功能包括：賬號(hào)管理：包括樹形的組織機(jī)構(gòu)管理、角色管理和用戶管理；身份認(rèn)證和單點(diǎn)登錄：在各業(yè)務(wù)系統(tǒng)間統(tǒng)一用戶認(rèn)證標(biāo)志，用戶登錄后可以得到用戶令牌，各業(yè)務(wù)系統(tǒng)認(rèn)可統(tǒng)一的用戶令牌，實(shí)現(xiàn)用戶登錄到所有系統(tǒng)的單點(diǎn)登錄功能。單點(diǎn)登錄（Si

20、ngle Sign On），簡(jiǎn)稱為 SSO，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。SSO的定義是在多個(gè)業(yè)務(wù)系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的業(yè)務(wù)系統(tǒng)。授權(quán)管理：包括各個(gè)業(yè)務(wù)系統(tǒng)功能模塊的授權(quán)管理和對(duì)結(jié)構(gòu)化數(shù)據(jù)的權(quán)限管理。信息集成：信息集成就是通過各種有效的手段和工具將已有各個(gè)系統(tǒng)中相關(guān)的信息集合在一起，生成滿足不同用戶需求的新的信息集合體，在已有信息的基礎(chǔ)上實(shí)現(xiàn)信息價(jià)值的增值。安全審計(jì)：對(duì)所有用戶的操作都進(jìn)行詳細(xì)的日志審計(jì)，并支持日志完整性檢驗(yàn)機(jī)制。4.1. 個(gè)人控制臺(tái)4.1.1. 定制系統(tǒng)集成到統(tǒng)一接入平臺(tái)的業(yè)務(wù)系統(tǒng)按照系統(tǒng)管理員配置的應(yīng)用類型在首頁中分塊顯示。用戶可根

21、據(jù)自己的需要在快捷導(dǎo)航區(qū)定制有訪問權(quán)限的多個(gè)業(yè)務(wù)系統(tǒng)。4.1.2. 待辦管理系統(tǒng)提供人員代辦功能，每個(gè)人都可以設(shè)置代辦人員，將工作交給代辦人員處理，當(dāng)?shù)竭_(dá)代辦時(shí)限后，系統(tǒng)將自動(dòng)取消代辦人處理工作功能，將工作交予原處理人處理。注意：代辦時(shí)間段不能重復(fù)，如果當(dāng)前用戶在一段時(shí)間已經(jīng)有設(shè)置代辦人，再重復(fù)設(shè)置時(shí)會(huì)出現(xiàn)“該段時(shí)間已經(jīng)設(shè)置代辦人員”的提示。原處理人可以隨時(shí)取消代辦。4.1.3. 密碼修改系統(tǒng)會(huì)定期提醒登錄用戶，強(qiáng)制要求修改密碼，系統(tǒng)的提醒周期可由管理員定制。用戶成功登錄系統(tǒng)后，可隨時(shí)變更自己的用戶名和密碼。4.2. 賬號(hào)管理4.2.1. 組織機(jī)構(gòu)以樹型的結(jié)構(gòu)來展示，以保持與實(shí)際生產(chǎn)組織機(jī)構(gòu)的

22、對(duì)應(yīng)關(guān)系，更直觀更方便維護(hù)。系統(tǒng)管理員可以分配部門管理員，部門管理員可以管理轄部門信息，可以修改部門信息，增加、刪除子部門。4.2.2. 應(yīng)用角色基于角色的系統(tǒng)安全控制模型是目前國(guó)際上流行的先進(jìn)的安全管理控制方法。統(tǒng)一接入系統(tǒng)支持通過分配和取消角色來完成用戶權(quán)限的授予和取消，并且提供了角色分配規(guī)則和操作檢查規(guī)則。安全管理人員根據(jù)需要定義各種角色，并設(shè)置合適的訪問權(quán)限，而用戶根據(jù)其責(zé)任和資歷再被指派為不同的角色。這樣，整個(gè)訪問控制過程就分成兩個(gè)部分，即訪問權(quán)限與角色相關(guān)聯(lián)，角色再與用戶關(guān)聯(lián)，從而實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離，角色可以看成是一個(gè)表達(dá)訪問控制策略的語義結(jié)構(gòu)，它可以表示承擔(dān)特定工作的

23、資格。由于實(shí)現(xiàn)了用戶與訪問權(quán)限的邏輯分離，基于角色的策略極大的方便了權(quán)限管理。例如，如果一個(gè)用戶的職位發(fā)生變化，只要將用戶當(dāng)前的角色去掉，加入代表新職務(wù)或新任務(wù)的角色即可。研究表明，角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對(duì)要慢得多，并且委派用戶到角色不需要很多技術(shù)，可以由部門管理人員來執(zhí)行，而配置權(quán)限到角色的工作比較復(fù)雜，可以由更高級(jí)的管理人員來承擔(dān)，但是不給他們委派用戶的權(quán)限，這與現(xiàn)實(shí)中情況正好一致。除了方便權(quán)限管理之外，基于角色的訪問控制方法還可以很好的地描述角色層次關(guān)系，實(shí)現(xiàn)最少權(quán)限原則和職責(zé)分離的原則。角色是根據(jù)業(yè)務(wù)系統(tǒng)來劃分的，當(dāng)點(diǎn)擊具體業(yè)務(wù)系統(tǒng)時(shí)，右側(cè)列表就顯示該業(yè)務(wù)系統(tǒng)

24、對(duì)應(yīng)的角色?？勺孕行陆ā⑿薷暮蛣h除角色?？膳繉?dǎo)入角色和用戶的對(duì)應(yīng)關(guān)系,當(dāng)用戶擁有業(yè)務(wù)系統(tǒng)對(duì)應(yīng)的角色后，則該用戶默認(rèn)能單點(diǎn)登錄該業(yè)務(wù)系統(tǒng)。能夠查看角色的信息、對(duì)應(yīng)的所有用戶以與角色被分配的所有權(quán)限。4.2.3. 用戶管理用戶管理包括用戶的增，刪，改，密碼管理，用戶狀態(tài)管理即賬戶注銷，賬戶停用，賬戶啟用。部門管理員管理轄人員信息，可以增加、刪除和修改人員信息，可以重置人員密碼。系統(tǒng)增加或者刪除一個(gè)人員則相應(yīng)的增加或者刪除一個(gè)用戶的賬戶，每新增一個(gè)人員賬戶，賦予該賬戶一個(gè)初始化密碼。系統(tǒng)采用目錄樹的形式展現(xiàn)部門與人員的隸屬關(guān)系。 用戶信息如下圖所示，每個(gè)用戶可以配置多個(gè)應(yīng)用角色。用戶檢索：用戶可以

25、按部門查詢?nèi)藛T信息，查詢輸入條件主要包括：、工號(hào)和賬號(hào)狀態(tài)等。初始化密碼：系統(tǒng)管理員和部門管理員都能夠批量初始化其轄的用戶密碼。注銷賬號(hào)：對(duì)于不再使用的用戶，管理員可以選將其注銷，注銷操作是不可恢復(fù)的。已注銷的用戶，在查詢時(shí)選擇狀態(tài)為“注銷”即可查詢到。賬號(hào)停用：對(duì)于暫時(shí)不使用的用戶，可以選將其停用，與注銷操作不同的是，停用的用戶是可以通過啟用來恢復(fù)使用的。如果用戶管理中創(chuàng)建或修改賬號(hào)時(shí)，指定了賬號(hào)的有效期，超過有效期后，該賬號(hào)也會(huì)自動(dòng)被停用。已停用的用戶，在查詢時(shí)選擇狀態(tài)為“停用”即可查詢到。賬號(hào)啟用：要恢復(fù)停用的賬號(hào)，只需在列表中將其檢索出來后，選中，然后點(diǎn)擊“啟用”按鈕，確認(rèn)后即可。對(duì)于

26、因?yàn)槌^有效期而停用的賬號(hào)，除了要將其狀態(tài)改為啟用外，還需要修改用戶信息，為其重新指定有效的使用時(shí)間才能恢復(fù)使用。4.3. 單點(diǎn)登錄實(shí)現(xiàn)用戶對(duì)系統(tǒng)訪問的身份認(rèn)證和單點(diǎn)登錄功能。l 單點(diǎn)登錄系統(tǒng)的實(shí)現(xiàn)在各業(yè)務(wù)系統(tǒng)都采用B/S模式這一前提下進(jìn)行。l 需要在各業(yè)務(wù)系統(tǒng)間統(tǒng)一用戶認(rèn)證標(biāo)志，用戶登錄后可以得到用戶令牌，各業(yè)務(wù)系統(tǒng)認(rèn)可統(tǒng)一的用戶令牌。l 用戶令牌應(yīng)當(dāng)是安全加密的，并且要限定時(shí)效期。l 傳遞用戶信息等敏感數(shù)據(jù)使用SSL（Secure Socket Layer）進(jìn)行通信。l 各業(yè)務(wù)系統(tǒng)可能屬于不同的域，因此要實(shí)現(xiàn)跨域的單點(diǎn)登錄。l 已經(jīng)上線運(yùn)行的業(yè)務(wù)系統(tǒng)需要進(jìn)行改造來支持單點(diǎn)登錄，正在開發(fā)的業(yè)

27、務(wù)系統(tǒng)則可以在開發(fā)階段增加對(duì)單點(diǎn)登錄的支持，但業(yè)務(wù)系統(tǒng)之間應(yīng)該是松耦合。 4.3.1. 認(rèn)證策略只需通過配置，就能支持基于數(shù)據(jù)庫或者LDAP的用戶認(rèn)證。4.3.2. 登錄設(shè)置設(shè)定web登錄的session超時(shí)時(shí)間。設(shè)定wap登錄：?jiǎn)⒂檬謾C(jī)登錄，選中此項(xiàng)，選擇手機(jī)所要綁定的賬號(hào)，點(diǎn)擊“確定”按鈕，即可保存辦公輔助系統(tǒng)WAP登錄時(shí)的設(shè)置；啟用手機(jī)登錄后，用戶登錄只需提供登錄密碼即可，密碼驗(yàn)證通過后，即完成綁定賬號(hào)的登錄。4.3.3. 代理式的業(yè)務(wù)系統(tǒng)注冊(cè)支持多個(gè)網(wǎng)段的業(yè)務(wù)系統(tǒng)訪問，我們只需要將系統(tǒng)的多個(gè)網(wǎng)段地址錄入到對(duì)應(yīng)的位置，當(dāng)我們從不同網(wǎng)段登錄到統(tǒng)一接入平臺(tái)中時(shí)，系統(tǒng)會(huì)根據(jù)訪問的地址，自適應(yīng)到

28、對(duì)應(yīng)的網(wǎng)段進(jìn)行業(yè)務(wù)系統(tǒng)訪問。待集成子系統(tǒng)需要先注冊(cè)到統(tǒng)一接入平臺(tái)中。在系統(tǒng)菜單選擇“單點(diǎn)登錄à應(yīng)用注冊(cè)”進(jìn)入應(yīng)用注冊(cè)管理頁面，如下圖所示：在的應(yīng)用注冊(cè)列表界面，可以根據(jù)應(yīng)用名稱、訪問類型（WEB和WAP），支撐廠商與應(yīng)用類型來檢索數(shù)據(jù)，系統(tǒng)支持模糊查找。點(diǎn)擊“應(yīng)用類型”按鈕能夠自定義業(yè)務(wù)系統(tǒng)的類型。定義應(yīng)用類型用于對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行分類，在用戶登錄統(tǒng)一接入平臺(tái)后，會(huì)自動(dòng)按照類型顯示當(dāng)前用戶能夠訪問的業(yè)務(wù)系統(tǒng)?？蓪?duì)應(yīng)用注冊(cè)信息進(jìn)行新建、修改和刪除操作。4.3.4. 適配式的業(yè)務(wù)系統(tǒng)注冊(cè)“適配式”單點(diǎn)登錄是指通過被單點(diǎn)登錄的業(yè)務(wù)系統(tǒng)為已在用系統(tǒng)，存在獨(dú)立的用戶賬戶信息和權(quán)限管理，采用4A方式

29、改造工作量大，在統(tǒng)一接入平臺(tái)建立當(dāng)前用戶賬戶與被單點(diǎn)登錄業(yè)務(wù)系統(tǒng)賬號(hào)的對(duì)應(yīng)關(guān)系。由管理員操作。能夠根據(jù)被集成的業(yè)務(wù)系統(tǒng)的首頁登錄地址，自動(dòng)抓取和分析登錄參數(shù)，無需人工錄入；在自動(dòng)抓取無法成功的情況下，支持人工輸入的方式。4.3.5. 適配式的業(yè)務(wù)系統(tǒng)賬號(hào)配置用戶選擇管理員已經(jīng)注冊(cè)的適配式的業(yè)務(wù)系統(tǒng)，并填入相應(yīng)的用戶名和密碼，為保護(hù)用戶的數(shù)據(jù)安全性，對(duì)在數(shù)據(jù)庫中保存的用戶名和密碼進(jìn)行加密處理。4.4. 權(quán)限管理權(quán)限管理體現(xiàn)的是“什么人”可以對(duì)“什么資源”進(jìn)行“哪些操作”。在抽象層次上，各個(gè)業(yè)務(wù)系統(tǒng)的功能模塊與被保護(hù)數(shù)據(jù)都是資源，對(duì)被保護(hù)的資源進(jìn)行訪問時(shí)，將要訪問統(tǒng)一接入系統(tǒng)的權(quán)限管理接口判斷是否

30、能夠訪問被保護(hù)資源。統(tǒng)一接入平臺(tái)能對(duì)按照規(guī)整合進(jìn)來的業(yè)務(wù)系統(tǒng)功能權(quán)限進(jìn)行統(tǒng)一管理。4.4.1. 統(tǒng)一資源目錄統(tǒng)一資源目錄是構(gòu)建企業(yè)信息資源整合和管理平臺(tái)的基礎(chǔ)設(shè)施，是進(jìn)行資源整合的主線，統(tǒng)一資源目錄基于統(tǒng)一的封裝機(jī)制，實(shí)現(xiàn)異構(gòu)信息資源的統(tǒng)一接入。為同于提供的信息源導(dǎo)航，給用戶提供訪問所有應(yīng)用系統(tǒng)的統(tǒng)一入口。從用戶業(yè)務(wù)的角度出發(fā)，統(tǒng)一所有的信息資源，包括業(yè)務(wù)應(yīng)用邏輯組件、結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)(文檔、圖片等)、WEB等。統(tǒng)一資源目錄體現(xiàn)為樹狀目錄分級(jí)結(jié)構(gòu)(類似于Window資源管理器)，一般按照各業(yè)務(wù)系統(tǒng)的業(yè)務(wù)圍進(jìn)行欄目劃分。授權(quán)控制管理是建立在統(tǒng)一用戶目錄管理的基礎(chǔ)上，在同一資源目錄的管理下

31、對(duì)信息資源進(jìn)行統(tǒng)一的授權(quán)。基于統(tǒng)一資源目錄，對(duì)不同的資源授權(quán)，因統(tǒng)一資源目錄映射到各業(yè)務(wù)系統(tǒng)的功能模塊或者子系統(tǒng)中，從而在授權(quán)時(shí)，不用關(guān)心該應(yīng)用在什么位置，只需根據(jù)靈活的授權(quán)策略進(jìn)行授權(quán)即可。支持自定義用戶組（如角色）來進(jìn)行批量的授權(quán)管理。業(yè)務(wù)系統(tǒng)注冊(cè)完成之后，需將集成的業(yè)務(wù)系統(tǒng)的功能按樹型結(jié)構(gòu)組織數(shù)據(jù)，配置業(yè)務(wù)系統(tǒng)的每個(gè)功能的操作屬性。如上圖所示，統(tǒng)一接入平臺(tái)在業(yè)務(wù)系統(tǒng)注冊(cè)后，會(huì)按照業(yè)務(wù)系統(tǒng)的應(yīng)用類型展示為樹形結(jié)構(gòu)，可對(duì)業(yè)務(wù)系統(tǒng)分類組織定義需要設(shè)置權(quán)限的功能點(diǎn)，并定義功能點(diǎn)的操作類型。4.4.2. 分級(jí)授權(quán)與機(jī)構(gòu)單位實(shí)際組織體系和處理模式相適應(yīng)，用戶授權(quán)管理通常情況下可能需要實(shí)現(xiàn)分級(jí)管理，支

32、持多級(jí)授權(quán)管理體系。系統(tǒng)管理員初始由數(shù)據(jù)庫創(chuàng)建，系統(tǒng)管理員可以指定新的系統(tǒng)管理員和部門管理員。實(shí)現(xiàn)授權(quán)的分級(jí)委托管理，系統(tǒng)管理員可以按照不同的部門將管理任務(wù)劃分并分配給不同的業(yè)務(wù)部門來分散授權(quán)，而下級(jí)的業(yè)務(wù)部門的管理員也可以根據(jù)實(shí)際需要繼續(xù)劃分管理任務(wù)從而再次授權(quán)更下級(jí)的管理員進(jìn)行身份和授權(quán)管理，這樣大大減輕了管理員的負(fù)擔(dān)。各級(jí)管理員只能管理自己被分派的用戶，而不能瀏覽或修改其他管理員所管理的用戶信息和權(quán)限信息。4.4.3. 授權(quán)管理系統(tǒng)的所有功能都有相應(yīng)的權(quán)限控制，只有系統(tǒng)管理員才能使用系統(tǒng)的全部功能，普通用戶或應(yīng)用管理員要使用某功能，可以通過管理員或模塊權(quán)限擁有者授予權(quán)限。實(shí)際上，只有系統(tǒng)

33、管理員或被系統(tǒng)管理員賦予“授權(quán)管理”的人員才有“授權(quán)管理”的功能。而授權(quán)管理就是設(shè)定用戶進(jìn)入系統(tǒng)后可以查看哪些界面，以與可以操作哪些功能。以獎(jiǎng)品管理系統(tǒng)的“中獎(jiǎng)導(dǎo)出”功能的權(quán)限管理為例，左邊以樹形羅列出該系統(tǒng)的所有模塊（菜單），即上文提到的統(tǒng)一目錄。右邊分別有幾個(gè)tab頁面，分別為授權(quán)記錄，詳細(xì)信息與授權(quán)。授權(quán)記錄顯示當(dāng)前功能已經(jīng)被授權(quán)的情況，如上圖所示把該功能的“瀏覽”操作權(quán)限授給兩個(gè)角色，分別是“項(xiàng)目經(jīng)理”和“管理員”，把“導(dǎo)出”操作權(quán)限同樣授給這兩個(gè)角色。可批量刪除已授權(quán)記錄。點(diǎn)擊“詳細(xì)信息”的tab，可以看到具體哪些人員擁有“中獎(jiǎng)導(dǎo)出”功能的各種操作權(quán)限，如下圖所示。授權(quán)畫面能夠?qū)Α爸?/p>

34、獎(jiǎng)導(dǎo)出”功能的操作功能授權(quán)給用戶或者角色。按人員，就是直接指定權(quán)限擁有者，可以同時(shí)選擇多個(gè)人員；按角色，則擁有該角色的所有人員都擁有分配的權(quán)限。4.4.4. 數(shù)據(jù)權(quán)限數(shù)據(jù)信息條目納入統(tǒng)一的信息資源目錄體系，使得用戶所看到的信息條目會(huì)根據(jù)用戶身份的不同實(shí)現(xiàn)個(gè)性化的信息條目展示。能夠進(jìn)行數(shù)據(jù)權(quán)限整合的只能是那些權(quán)限通過表數(shù)據(jù)來保存的模式，對(duì)于直接在程序中固化的數(shù)據(jù)權(quán)限不納入整合圍。需要進(jìn)行數(shù)據(jù)權(quán)限配置的可采用批量導(dǎo)入的方式，減輕工作量。4.5. 安全審計(jì)精確地記錄用戶的日志，可按日期、地址、用戶、資源等信息對(duì)日志進(jìn)行查詢、統(tǒng)計(jì)和分析。審計(jì)結(jié)果通過Web界面以報(bào)表的形式展現(xiàn)給管理員。4.5.1. 登

35、錄日志檢索條件分為日期圍、工號(hào)、IP地址等等，檢索條件可以根據(jù)需要自行選擇輸入或者都不輸入，輸入檢索條件后點(diǎn)擊“檢索”按鈕即可。用于分析用戶的登錄情況。4.5.2. 操作日志用戶在操作各個(gè)業(yè)務(wù)系統(tǒng)中形成的操作日志的集中管理。4.6. 信息集成信息集成就是通過各種有效的手段和工具將已有信息集合在一起，生成滿足不同用戶需求的新的信息集合體，在已有信息的基礎(chǔ)上實(shí)現(xiàn)信息價(jià)值的增值?，F(xiàn)有業(yè)務(wù)系統(tǒng)界面業(yè)務(wù)邏輯和功能信息和數(shù)據(jù)門戶系統(tǒng)界面業(yè)務(wù)邏輯和功能信息和數(shù)據(jù)各種應(yīng)用接口如：SOAP,API數(shù)據(jù)網(wǎng)關(guān)提供的界面直接抓取調(diào)用，包括主動(dòng)和被動(dòng)的方式實(shí)現(xiàn)容合并，容合并涉與從完全不同的來源搜集容，然后在單一界面（門

36、戶）中顯示該容。通過使用容合并功能，門戶可顯示統(tǒng)一的視圖，其中的容可能屬于不同的所有者、來自不同的生產(chǎn)位置或包含在不同的系統(tǒng)中。4.7. 集成接口在統(tǒng)一接入平臺(tái)上線后，各業(yè)務(wù)系統(tǒng)將不再保存組織機(jī)構(gòu)和人員信息，各業(yè)務(wù)系統(tǒng)的全部功能菜單權(quán)限和部分?jǐn)?shù)據(jù)權(quán)限將由統(tǒng)一接入系統(tǒng)管理。因此統(tǒng)一接入平臺(tái)在與各業(yè)務(wù)系統(tǒng)集成時(shí)將需要向各業(yè)務(wù)系統(tǒng)提供關(guān)于組織機(jī)構(gòu)、人員數(shù)據(jù)和權(quán)限判斷方面的接口。接口可以采用兩種方式進(jìn)行提供：1、數(shù)據(jù)庫方式：通過提供受限的數(shù)據(jù)庫訪問用戶訪問開放的視圖和存儲(chǔ)過程來實(shí)現(xiàn)接口提供。這種方式的優(yōu)點(diǎn)在于響應(yīng)速度快。缺點(diǎn)在于可擴(kuò)展性比較差，無法承載邏輯比較復(fù)雜的業(yè)務(wù)；安全性有所欠缺。2、通過Web

37、 Service接口提供：通過基于 協(xié)議承載的xml文檔來實(shí)現(xiàn)接口提供。這種方式的優(yōu)點(diǎn)在于可擴(kuò)展性強(qiáng)，定義良好的接口在面臨業(yè)務(wù)邏輯變化時(shí)可以通過部的程序?qū)崿F(xiàn)的切換解決，此外可以利用一些如緩存等機(jī)制來提高系統(tǒng)響應(yīng)速度。缺點(diǎn)在于xml文檔的生成和解析的效率相對(duì)較低。建議采用Web Service接口提供。主要的接口有以下幾個(gè)：1、部門的查詢接口：提供訪問根部門數(shù)據(jù)、訪問下級(jí)部門（直接或者迭代）列表數(shù)據(jù)，訪問上級(jí)部門數(shù)據(jù)，完整部門樹數(shù)據(jù)、根據(jù)id獲取部門數(shù)據(jù)、部門查詢等接口。2、人員訪問接口：提供羅列部門下所有人員數(shù)據(jù)、根據(jù)id獲取人員數(shù)據(jù)，人員查詢等接口。3、權(quán)限驗(yàn)證接口：提供訪問人員是否有某個(gè)資

38、源的特定操作的接口。具體接口的協(xié)議詳見開發(fā)手冊(cè)。4.7.1. 組織機(jī)構(gòu)查詢獲取部門樹的根節(jié)點(diǎn)，獲取指定部門下的下級(jí)部門列表等數(shù)據(jù)。組織結(jié)構(gòu)信息表數(shù)據(jù)，可查詢部門的編號(hào)，名稱，上級(jí)部門等信息。4.7.2. 用戶信息查詢用戶基本信息表，用戶分組信息表，和組織結(jié)構(gòu)信息表中的數(shù)據(jù)，直接通過該視圖可直接查詢?nèi)藛T的角色，部門，所在應(yīng)用系統(tǒng)，是否管理員等信息。4.7.3. 用戶角色查詢用戶分組信息表，角色應(yīng)用配置表中數(shù)據(jù)，可直接查詢到人員的編號(hào)，角色，所屬應(yīng)用系統(tǒng)等信息。4.7.4. 代辦查詢用于獲取當(dāng)前時(shí)間指定人員可為哪個(gè)員工代辦處理工作。4.7.5. 權(quán)限查詢用于判斷人員對(duì)某個(gè)業(yè)務(wù)系統(tǒng)的某個(gè)功能點(diǎn)的指定

39、操作是否擁有權(quán)限。4.7.6. 信息集成用于各個(gè)業(yè)務(wù)系統(tǒng)把相關(guān)需要集成的數(shù)據(jù)匯總到統(tǒng)一接入平臺(tái)中。4.7.7. 日志接口用于將業(yè)務(wù)系統(tǒng)操作的過程數(shù)據(jù)同步到統(tǒng)一接入平臺(tái)中，以便管理員維護(hù)日常重要數(shù)據(jù)、監(jiān)測(cè)系統(tǒng)使用情況、以與定位系統(tǒng)錯(cuò)誤。4.8. 集成組件為避免各個(gè)業(yè)務(wù)系統(tǒng)重復(fù)開發(fā)，節(jié)約項(xiàng)目成本，統(tǒng)一接入平臺(tái)解決人員和部門數(shù)據(jù)跨域傳輸問題，提供部門和人員選擇組件供各子系統(tǒng)調(diào)用，各業(yè)務(wù)系統(tǒng)對(duì)于人員和部門的選擇功能可直接使用統(tǒng)一接入平臺(tái)提供，不需再次開發(fā)。部門調(diào)用組件詳見上圖。5. 硬件部署說明5.1. 虛擬機(jī)虛擬機(jī)是一種嚴(yán)密隔離的軟件容器，包含基于軟件實(shí)現(xiàn)的虛擬處理器（CPU）、存（RAM）、硬盤（

40、DISK）和網(wǎng)卡 (NIC)，完全類似于一臺(tái)物理計(jì)算機(jī)，可以運(yùn)行自己的操作系統(tǒng)和應(yīng)用程序。虛擬機(jī)有以下幾個(gè)特性：l 兼容性：虛擬機(jī)與所有標(biāo)準(zhǔn)X86計(jì)算機(jī)兼容，可以使用虛擬機(jī)來運(yùn)行物理計(jì)算機(jī)上運(yùn)行的所有一樣軟件l 隔離：虛擬機(jī)彼此之間相互隔離，就像它們是不同的物理機(jī)，某個(gè)虛擬機(jī)的崩潰不會(huì)影響宿主機(jī)和其他虛擬機(jī)的運(yùn)行；l 封裝：虛擬機(jī)將整個(gè)計(jì)算環(huán)境封裝起來，一整套虛擬硬件資源與操作系統(tǒng)與其所有應(yīng)用程序捆綁或“封裝”在一個(gè)軟件包，使虛擬機(jī)易于管理，并且具備了超乎尋常的可移動(dòng)性，易于移動(dòng)、復(fù)制和備份；l 獨(dú)立于硬件：虛擬機(jī)獨(dú)立于底層硬件運(yùn)行，可以為虛擬機(jī)配置與底層硬件上存在的物理組件完全不同的虛擬組件

41、（例如，CPU、網(wǎng)卡、SCSI 控制器），同一宿主機(jī)的各個(gè)虛擬機(jī)也可以運(yùn)行各種不同類型的操作系統(tǒng)（Windows、Linux 等）。虛擬機(jī)獨(dú)立于硬件，且具備封裝和兼容性的特性，使其可以在不同類型的 x86 計(jì)算機(jī)之間自由地移動(dòng)，而無需對(duì)設(shè)備驅(qū)動(dòng)程序、操作系統(tǒng)或應(yīng)用程序進(jìn)行任何更改。使用虛擬機(jī)進(jìn)行部署，有以下優(yōu)點(diǎn)：l 提高硬件資源利用率：大部分時(shí)間物理機(jī)的硬件資源并不能得到充分的利用，通過在一臺(tái)物理機(jī)上運(yùn)行多個(gè)虛擬機(jī)，可以更加充分地利用物理機(jī)硬件資源，提高資源利用率，同時(shí)也可以隨時(shí)對(duì)虛擬機(jī)資源進(jìn)行管理，比如減少或增加某臺(tái)虛擬機(jī)的CPU、存、硬盤配置等，使得計(jì)算資源得到更有效的利用；l 降低IT基

42、礎(chǔ)架構(gòu)開支與運(yùn)營(yíng)成本：通過使用虛擬機(jī)，減少服務(wù)器與IT硬件設(shè)備的采購開支，同時(shí)也減少了電力和制冷需求以與占地空間，人員需求也得以減少；l 提高硬件和應(yīng)用程序可用性：使用虛擬機(jī)進(jìn)行部署，可以對(duì)整個(gè)計(jì)算環(huán)境方便、安全地進(jìn)行備份和遷移，減少甚至消除計(jì)劃停機(jī)，并可從計(jì)劃外故障中立即恢復(fù)；l 提高安全性和可管理性：可以方便地通過虛擬機(jī)管理程序?qū)μ摂M機(jī)進(jìn)行管理和控制，進(jìn)行虛擬機(jī)虛擬設(shè)備的配置調(diào)整以更好地分配計(jì)算資源；l 便于集群環(huán)境的配置和部署：集群部署環(huán)境，要求集群中的每個(gè)節(jié)點(diǎn)保持環(huán)境的一致性，那么通過虛擬機(jī)的封裝特性，可以方便的通過復(fù)制虛擬機(jī)得到集群節(jié)點(diǎn)，免去了重復(fù)安裝部署服務(wù)器的繁瑣，省時(shí)高效；5.

43、2. 數(shù)據(jù)庫ORACLE是多用戶系統(tǒng)，它允許許多用戶共享系統(tǒng)資源。為了保證數(shù)據(jù)庫系統(tǒng)的安全，數(shù)據(jù)庫管理系統(tǒng)配置了良好的安全機(jī)制。6. 技術(shù)體系結(jié)構(gòu)說明:1、Web服務(wù)層采用struts1.2，struts1.2居于MVC的模式，很好的把視圖展示，控制處理邏輯，數(shù)據(jù)模型分開，視圖我們采用JSP技術(shù)，控制采用struts自帶的請(qǐng)求分發(fā)器，數(shù)據(jù)模型使用action，actionform表示，action中調(diào)用spring byName注入進(jìn)來的業(yè)務(wù)邏輯處理類，進(jìn)行相關(guān)的業(yè)務(wù)邏輯處理。2、業(yè)務(wù)邏輯層使用spring控制數(shù)據(jù)庫事務(wù)的bean，調(diào)用spring配置文件中注入的hibernate dao操作類，進(jìn)行相關(guān)業(yè)務(wù)處理與數(shù)據(jù)庫操作，統(tǒng)一的出錯(cuò)事務(wù)回滾機(jī)制，很好的保證數(shù)據(jù)的完整性，一致性。2、實(shí)體層使用hibernate的ORM映射，把數(shù)據(jù)庫表抽象成一個(gè)個(gè)java類，表中記錄映射成對(duì)應(yīng)的類實(shí)例對(duì)象，在這基礎(chǔ)之上，抽象封裝實(shí)體類操作dao（線程安全），統(tǒng)一對(duì)數(shù)據(jù)庫進(jìn)行操作，提供給業(yè)務(wù)邏輯層調(diào)用，把對(duì)實(shí)體類對(duì)象的操作映射成對(duì)數(shù)據(jù)庫的操作。7. 產(chǎn)品技術(shù)優(yōu)勢(shì)7.1. 先進(jìn)與成熟相結(jié)合的技術(shù)架構(gòu)產(chǎn)品采用B/S模式，基于J2EE體系架構(gòu)，采用業(yè)成熟穩(wěn)定的框架，采用技術(shù)上具有