时间:2023-10-02 08:56:41
绪论:在寻找写作灵感吗?爱发表网为您精选了8篇业务应用管理,愿这些内容能够启迪您的思维,激发您的创作热情,欢迎您的阅读与分享!
关键词:业务系统;问题;对策;财政管理
20世纪90年代中期以后,当代财政工作的繁重性、复杂性和艰巨性大大增加,传统的工作方式和方法已经不能满足财政改革与发展的实际需要,为此,河南省和全国财政系统同步,全面启动了财政信息化建设工作,一大批财政业务管理信息系统相继开发并投入具体应用,大大地提升了财政管理工作的科学化、精细化水平。今后几年,国家全面深化财税体制改革对财政管理工作提出了更高的要求,亟需推进财政管理业务系统应用的升级改造和补充完善,构建高效安全的预算管理流程,进一步规范财政业务管理、提高工作效率、提升服务能力。
一、财政管理业务系统应用的发展历程
2002年前后,财政部为构建公共财政框架,在收入、支出、宏观调控等方面启动了一系列改革,其中在支出管理改革方面,主要推出了部门预算改革、国库集中支付制度改革、政府采购制度改革、深化收支两条线管理改革和金财工程建设等五项重要改革。而财政业务管理系统建设,则是金财工程建设的核心。十几年来,河南省各级财政部门立足财政改革和管理需要,大力推进财政业务信息系统建设,着力深化应用层次,扩展应用范围。截止目前,全省各级财政部门已经投入应用的财政业务管理信息系统20多个,其中,由信息技术公司分散开发的占90%以上。在财政内网上部署的业务系统,主要包括预算管理系统、预算执行系统、财政工资统发系统、非税收入征管系统、财税库银联网系统、行政办公系统、财政专户管理系统、单位会计核算系统、部门决算系统、财政总决算系统等;在国际互联网上部署的业务系统,主要有电子化政府采购系统、行政事业单位国有资产管理系统、项目预算评审系统、会计事务管理信息系统等。上述业务信息系统基本支撑了全省各级财政部门的主要业务管理工作,初步实现了信息技术与财政业务的融合,进一步提高了财政部门的工作效率和服务水平,促进了全省财政改革不断向纵深推进。
二、财政管理业务系统应用存在的主要问题
(一)财政应用大平台建设不到位
2002年初,财政部启动金财工程建设,但直到2009年,财政部才在完成软件开发和试点应用的基础上,向全国财政系统推广实施带有顶层设计概念的“金财工程应用支撑平台”。应用平台建设目标主要是将此前各个分散开发的财政业务系统迁移、整合在这个平台上,统一技术标准,实现信息共享。2011年前后,河南省市县三级完成了平台建设实施工作,部分财政业务系统接入平台并上线运行。但是业务系统迁入平台数量较少,系统之间的统一整合没有突破性进展,信息共享、综合查询分析和利用等平台应用也就无法实现,因此,平台建设的总体效果并不理想。
(二)财政业务系统信息孤岛林立
从当前财政内网运行的业务系统看,预算编制系统与预算执行系统之间、预算编制系统与资产管理系统之间、预算执行系统与非税征管系统之间、预算执行系统与财政专户系统之间、预算执行系统与行政办公系统之间、预算执行系统与单位会计核算系统之间、预算执行系统与资产管理系统之间、部门决算系统与单位会计核算系统之间、部门决算系统与资产管理系统之间均割裂脱节;从外网运行的业务系统看,项目预算评审系统与预算编制系统、政府采购系统与预算执行系统也都是各自独立运行,没有实现有效衔接,共享数据信息。
(三)业务流程信息化处理存在盲区
由于流程和职责结合不够、信息系统没有互联互通,目前业务流程信息化应用覆盖面还不够全面,存在一些管理盲区、盲点。例如,财政监督检查信息管理系统尚未开发,不能实现对财政管理日常动态监控;监督检查手段落后,仍主要靠手工查看账簿、报表、凭证等,没有使用信息化手段查询、汇总、综合分析业务信息。又如,财政总决算系统和部门决算系统目前还是单机版,在数据录入、审核汇总、报表生成等环节均采用半人工方式进行,工作效率低下;此外,信息化应用与流程管理在一些环节上不匹配,有些财政业务流程如项目预算评审工作目前大多仍在线下手工操作。
(四)预算管理缺乏有效源头支撑
随着财政预算管理深入发展,细化预算编制、加快预算执行、强化财政监督检查,都必须由切实可靠的项目库、资产库及人员基础信息库作为基础支撑。目前运行的项目库无论是形式要素还是主要内容都还不能满足预算编制的需要,预算执行和财政监督检查还没有与项目库建立融合的管理机制。人员基础信息库在预算编制和预算执行两个业务系统内分别建立,缺乏统一的采集、更新和完善规范。相比前两个基础库,资产库还没有完全真正建立起来。由于缺乏扎实的基础数据库,预算管理源头控制措施比较匮乏,不能满足深化预算管理制度改革要求。
(五)部分财政业务系统运行效率不高
目前应用的一些财政业务流程,在设计工作流程时,因过于强调资金安全,存在设置层层审批、拉长监管链条问题,并不科学合理。以预算执行系统为例,预算单位发起一项普通的专项支出用款计划流程后,需要经过主管部门、财政预算管理部门、国库支付管理部门和国库支付中心等10来个业务流程节点。而涉及政府采购事项从用款计划申请到资金支付共需要经过近30个业务流程节点。繁琐而重复的业务流程一方面有碍规范财政管理、提高工作效率;另一方面模糊了预算单位执行主体责任和财政部门监管责任的边界,难以做到简政放权,一定程度上影响了财政部门良好形象。
三、进一步推进财政管理业务系统应用的政策建议
(一)强化顶层设计和传承创新
在当前财政改革进入深水区的新时期,面对新老问题叠加、环境复杂多变的新形势,需要进一步打破思想禁锢和利益藩篱,强化顶层设计,全面整合、完善财政业务系统,实现系统建设的整体性、协同性和可操作性。要传承和创新并重,对金财工程应用支撑平台,要进一步强化标准规范体系建设,使其成为技术标准的统一载体;对平台扩展生长及数据分析等功能,要结合财政云计算平台和财政大数据建设工程的实施,予以改进和完善;在此基础上,建立健全省财政数据中心,对财政经济数据信息进行融合、深度分析和共享使用,实现财税政策决策的精准性、科学性及时效性,建设智慧财政。
(二)完善财政业务系统信息共享体系
适应财政改革进一步深入推进和财政科学化精细化管理的需要,进一步加大财政业务系统的整合力度,以工作流贯通业务流、信息流和资金流,基本建立起覆盖所有财政性资金、纵向贯通各级财政部门、横向联通相关单位、核心业务管理高度集成的信息技术支撑体系。对原分散开发的内网业务系统设计程序接口或数据平台,实现系统之间无缝对接;对分别运行在内、外网上的业务系统,要通过内外网交换系统实现信息自动传递或定期提取;总之,要通过系统的补充开发和改造,使各业务系统之间打破信息孤岛壁垒,全面实现数据共享。
(三)实现业务流程信息化应用全覆盖
大力推进财政核心业务系统即财政生产系统建设,不断提高系统建设的灵活性和可扩展性,构建“预算编制一预算执行一会计核算一决算一预算编制”的财政业务管理闭环,以预算管理系统为龙头,以预算执行系统为主体,形成顺向相互支撑、有效制衡和逆向真实反馈、有效监督的完整体系,覆盖全部财政业务管理节点,消灭业务管理信息化应用盲点和死角。近几年内,要积极开发、部署和推广应用国库电子化支付清算系统、财政监督检查信息系统、财政资金绩效评价信息系统、部门决算和财政总决算信息网络平台等业务系统,进一步提升财政管理水平。
(四)整合完善信息库服务预算管理
建立统一的支撑各级预算编制和中期规划的单位人员基础信息库(含单位基础信息、人员工资信息、法人基础信息、财政补贴补助人员信息等)、项目库、行政事业单位资产信息库,并实行实时滚动管理,以上述“三库”为支撑,建立跨年度多维度的财政管理模式。“三库”集中整合和统一后,将广泛应用于预算管理全流程,包括预算编制、非税收入征缴、预算调整和追加、资金支付、政府采购、投资评审、资产管理、账务信息、决算编制、财政监督及绩效管理等财政业务,实现财政收支管理的精准化和政府资产全生命周期的管理精准化。
(五)进一步提高财政业务系统运行效率
信息技术(InformationTechnology,简称IT)就是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。具体来讲,信息技术主要包括感测与识别技术、信息传递技术、信息处理与再生技术、信息使用技术等技术。在气象业务管理部门应用信息技术就能使业务管理感知业务信息的能力得到进一步的加强。实现业务信息快速、可靠、安全的转移,在对信息进行处理的基础上,还可形成一些新的更深层次的决策信息。现代信息技术的发展,使得任何人在任何时间、任何地点获取所需要的信息成为可能。所以在基于知识和信息的全球化经济中,气象业务管理离不开信息技术的支持,信息技术正在影响着甚至改变了传统的气象业务管理模式。充分利用信息技术在信息管理处理方面的优势,结合气象业务信息产生、传输、加工、决策流程,让信息技术在气象管理部门应用方式多样化。具体表现在以下几个方面:
(1)是业务信息资料自动化的设计、生产系统,大大提高了气象信息资料生产率、信息资料产品质量;
(2)是业务处理系统,将基层业务人员从大量重复的、烦琐的数据处理中解脱出来,提高了工作效率和工作质量;
(3)是管理信息系统将气象业务作为一个整体来进行全面的信息管理,强化统计、分析和报告的功能,满足中低层管理者的需求;
(4)是地市级及以上业务信息系统和决策者与集体决策支持系统,提高高层管理者的决策水平和工作效率。可以说信息技术已经渗透到并且正在越来越多地影响着现代化、信息化、气象业务的方方面面。正是在这种背景下,信息技术成为业务管理的一个重要工具,气象业务管理信息软件将气象台站业务作为一个整体来进行全面的综合信息管理,并且信息技术可以强化管理者的管理职能。
2目前气象业务管理现状
2.1综合气象观测业务现代化建设情况
根据《中国气象局关于发展现代气象业务的意见》,气象业务现代化建设将使综合气象观测和技术支撑能力进一步增强,形成了以数据自动化采集、气象通信网络、高性能计算机、卫星数据海量存储和卫星数据广播为代表的实时气象信息系统,资料获取能力、处理能力和传输时效显著提高。综合气象观测和信息业务包括地面观测和地基遥感系统、以气球和飞机等为观测平台的空基遥感系统、以低轨和高轨卫星为观测平台的天基遥感系统,由数据收集及分发、信息加工处理、数据管理与共享服务等组成的气象信息业务,以及由运行监控、维护维修、计量检定等组成的技术装备保障业务,也是综合气象观测系统不可或缺的组成部分。现代化综合气象观测业务发展,需要建立健全现代化气象观测业务管理系统。引进现代化管理手段,加强监测网络业务质量的管理、监督和检查,提高观测业务的内在质量。
2.2地市县两级气象台站业务管理目前的状态
近年来,随着气象业务现代化程度提高,计算机、宽带网络、信息技术业务化应用越来越广泛。地市县两级业务管理也利用计算机、宽带网络、信息技术,对气象台站基本信息、气象业务人员基本信息、气象台站探测环境图片信息、各类业务质量考核信息、各类优秀业务人员信息等等进行管理,产生大量气象业务管理信息。目前各类气象台站业务管理信息存储以Excel、Word、Access、TXT文件和图片文件等格式为主。随着时间增长,各类气象业务信息文件越来越多。对个人、县级气象台站、地市级业务信息统计查询分析耗费时间较长,工作效率较低。如此众多的信息,缺乏一个统一的信息管理平台。综合以上分析和实际需求,我们研发了《气象台站业务信息管理软件》,探索了利用信息技术建立现代化气象观测业务管理系统,通过业务管理信息化建设促使业务管理水平的提升和运行效率的提高,使业务管理走向现代化、规范化、系统化和信息化。
3应用信息技术管理气象台站业务信息
3.1信息技术的切入点
为了将信息技术引入气象台站业务管理,我们把气象台站业务管理工作分为定性与定量两类。所谓定性的工作主要是指业务管理制度制定、业务管理流程的设计、业务人员资源分析报告等,这些工作的特点是具有很强的创造性,需要经过深入的主观思考与判断才能完成。所谓定量的工作主要是指根据既定制度与流程完成对客观事务的处理,比如气象业务台站基本信息、业务质量考核信息、台站探测环境图片信息等,这类工作的特点是比较琐碎繁杂,但又是需要日常处理的重复性工作,往往占据了气象业务管理工作的大部分时间,降低了工作效率。信息技术在气象台站业务管理中主要是作为工具来应用,它可以用来处理所有定量的问题,比如气象业务台站基本信息、业务质量考核信息、台站探测环境图片信息等等,并能够提供快捷便利的查询统计功能与报表输出功能,较之手工管理,信息技术的应用将大大降低例行性工作占用气象业务管理人员时间的比例,并能够动态直观的反映气象台站业务资源的状况,能够为气象业务管理提供高效的决策支持。这无疑极大地提高了地市县两级业务管理部门的工作效率。一套合理而完善的气象台站业务信息管理软件还将为地市县两级管理者带来另外一个好处:由于数据库完整地记录了气象台站基本信息、气象业务人员基本信息、气象台站探测环境图片信息、各类业务质量考核信息、各类优秀业务人员信息等各方面信息,系统将能快捷、方便地获得各种统计分析结果,同时网络技术的应用,还可以为其他管理人员及员工提供各种形式的接入服务(如人事管理部门、各级决策者),软件能够按照用户选择的不同的条件进行简单查询和复合查询。如各类气象业务质量基数、气象业务人员基本信息、气象台站基本信息,气象探测环境图片信息、气象业务优秀人员基本信息组合查询。当软件响应用户查询操作后,生成相关的数据表或图表,并可打印或保存成PDF、Word、Excel格式的电子文档。因此,信息技术在气象台站业务管理中的应用,可以帮助地市县两级管理达成如下目标:提高工作效率,优化业务流程,改善服务质量,提供基于信息的决策支持。
3.2业务流程管理与信息技术的集成
从表面上看,业务流程管理与信息管理系统的实施似乎是毫不相关,业务流程管理关注的是管理理论与思想,而信息系统则关注技术的实现手段,信息系统的实施未必一定要进行业务流程管理,同理,进行业务流程管理似乎也可以不采用信息系统。但是业务流程管理是一种以构造规范化的业务流程为中心,以持续提高业务管理考核绩效为目的的系统的、不断提升的方法。它能够理解定义、实现自动化,改善地市县管理业务。卓越的业务流程管理已经成为提升气象业务信息化、现代化的强有力的手段,而信息技术又是实现业务流程管理的必要手段,两者相辅相成,不可或缺。地市县业务管理要摆脱不规范的业务流程,发挥气象业务管理信息化带来的优势,就必须在气象业务管理信息化建设的时候,实现信息技术与业务流程管理的集成。业务流程管理与信息技术集成,并围绕业务管理的核心流程和主导业务开展信息化建设,是业务管理信息化建设成功的必由之路。
4地市气象台站业务信息管理软件解决方案
气象台站业务信息管理软件采用C/S结构,客户端的界面和操作比较丰富,安全性能得到保证,响应用户操作较快。软件设计与安装运行依托现有气象通信网络,采用2010C#框架技术编程,结合COM技术进行系统集成,增强系统的可移植性。通过TCP/IP网络协议,利用数据库访问接口,快速便捷连接访问MicrosoftSQLServer2000数据库,帮助用户采集各类数据并及时安全上传存储到网络数据库。优化查询,高效分析用户数据,实时处理各类数据,为用户形成业务管理信息。
4.1采用三层C/S(Client/Serve)结构设计软件
从功能结构层次设计为三个层面:基础数据层、业务处理功能层和决策支持表示层。
4.1.1基础数据层基础数据层包含的是变动很小的静态数据,主要有两大类,一类是业务人员属性数据,如姓名、性别、学历等;另一类是台站业务基本数据,如台站基本信息、台站业务信息等。基础数据在气象台站管理软件初始化的时候要用到,是整个气象台站管理软件正常运转的基础。
4.1.2处理功能层业务处理层是指对应于气象台站管理具体业务流程的系统功能,这些功能将在日常管理工作中不断产生与积累新数据,如新人员数据、质量考核数据、优秀人员考核数据、探测环境八方位图片信息、人员图片信息等。这些数据将成为管理者掌握台站业务基本状况、提高业务人员管理水平以及提供决策支持的主要数据来源。
4.1.3决策支持表示层决策支持表示层通过对数据的统计和分析,就能快速获得所需信息:如台站业务分布状况、业务人员考核情况等。这不仅能提高气象台站业务的管理效率,而且便于业务管理者从总体把握气象台站业务情况基于上述结构的气象台站业务管理系统模型。
4.2软件特点
软件设计立足于目前地市业务管理部门日常对气象台站各类气象业务信息综合管理基础上,按照业务管理流程,将综合管理日常需要的各类气象业务信息进行整理分析,建立数据库,并设计人机交互界面,把各类气象业务信息通过业务人员录入\验证并保存到数据库,完成业务信息有效存储,为以后台站信息分析应用打下基础。软件开发与使用就要方便用户对各类业务信息进行有效管理,可以加快查询速度、加强业务管理,使台站信息管理趋于信息化、自动化。
4.2.1数据库优化设计按照气象台站业务管理日常工作流程,将手工管理的气象台站气象业务众多信息,依照数据库管理模式,进行信息化处理,变换成能让计算机加工处理数字化信息。并根据信息分析,利用MicrosoftSQLServer2005建立数字化信息存储数据库。用于存储、处理和保护数据的核心服务。利用数据库引擎可控制访问权限并快速处理事务,从而满足业务管理信息化要求极高而且需要处理大量数据的应用需要。
4.2.2功能强大、简单易用的信息录入功能扩展DataGridView控件,进行数据采集录入界面,方便用户操作,同时验证用户输入的数据,保证图数据一致性。使用DataGridView控件,可以显示和编辑来自多种不同类型的数据源的表格数据,软件为了提高用户人机交互操作方便,扩展了DataGrid-View控件,在其单元格内可选择输入数据,如区站号、台站名称、台站类型等。
4.2.3灵活、简单的数据查询功能软件能够按照用户选择的不同的条件进行简单查询和复合查询。如气象台站业务质量基数、人员基本信息不同时段,或不同监测站同时段组合查询。当软件响应用户查询操作后,生成相关的数据表或图表,并可打印或保存成Excel格式的电子文档。
4.2.4方便、实用的数据统计功能数据统计结果是管理层进行决策的主要依据之一。本软件的数据统计功能主要完成统计数值、图表分析等工作,包括简单统计、通用统计、常用统计、二维统计、单项统计及辅助决策几个模块。这部分可完成质量考核、台站业务信息工作对各种信息的综合分析及辅助决策的要求。
4.2.5图表显示功能利用图表控件MSChart,把用户查询出来的质量考核信息、气象台站基本信息进行气象台站图形统计和报表图形显示。
4.2.6利用Surfer8制图功能绘制台站分布图气象台站分布图在程序中调用Surfer8制图功能,将符合条件的站点根据经纬度点加到所辖地区底图,形成符合查询条件的站点信息图(分为地面观测、生态观测、高空探测、大气成分监测等)。先将符合用户条件的台站经纬度从服务端数据库中查询出来,读写成Surfer8可识别数据文件,再调用Surfer8制图功能,先把边界底图画出来,把气象台站经纬度文件添加到底图中。形成台站任务图片。
5总结
近年来,国内外各企事业单位都十分重视信息化建设,把加快信息化建设作为提高生产经营管理水平、促进业务流程优化、加强内部控制、提高决策质量和效率的重要手段。结合中国石油发展战略和业务需求,中国石油出台了统一的“十一五”信息技术总体规划,F5(企业信息系统管理)项目便是“十一五”信息技术总体规划中的一项,目标是建立集成的监控管理平台和统一、完善的运维管理体系,提高中国石油信息技术基础设施的可靠性和性能,从而保证中国石油各业务系统的高可用性,彻底改善IT服务的管理水平,提高客户满意度,降低IT服务支持成本。
被动的传统IT运维管理
市场研究机构Gartner调查发现,在导致IT基础设施出现故障的原因中,源自技术或产品方面的因素其实只占了 20%,而因为运维管理方面的原因则占到80%,可见IT系统运维及管理是相当重要的。企业每年对IT部门投资都不少,但是得到的效益却没有体现,问题仍然时常发生,感觉好像所有的投入都打了水漂。
企业的IT运维部门是一个吃力不讨好的部门,因为IT运维就是在后台默默地保证信息系统的正常运行,只有在问题发生的时候才想到还有IT部门的存在。这种现象是由于IT运维管理还处于传统模式,即无相应的运维监控软件或者是仅仅单独使用某项监控软件而没有联合使用。这种传统的IT运维管理是被动的管理,是孤岛式的管理,是与业务应用没有联动的管理。
1.被动管理
传统的IT运维管理是救火式的管理。通常是用户先于IT人员发现问题,然后再找到IT部门要求解决问题。这是由于传统的IT管理采用人工方式管理基础设施,网络管理是从各种IT基础设备出发的,仅仅是保障各类IT设备如服务器、数据库、存储设备、交换机等等基础设施的正常运行。
不采用任何管理软件,仅仅靠运维人员定期轮询,或者执行某项命令来检查设备,在系统规模较小时,只要参与运维的技术人员足够负责,人工运维方式是可以满足日常运维需要的。但是,当应用系统达到一定的规模后,这种运维方式的弊端就暴露出来了。轮询一遍要花费几个小时,这样,轮询周期越长也就代表越需要更久才能发现故障。这种被动式管理IT导致有了问题不能及时发现。
2. 无关业务、孤岛管理
有些企业虽然采用某一种或几种监控软件来监控IT基础设施,但这些监控软件都各自独立运作,没有进行对业务的整合监控。如果用户投诉业务应用不畅通,很难定位故障源,到底是网络、应用程序、数据库还是其他后台系统出了问题,或者是各部门踢皮球,都说自己所负责的设备正常?
好一些的IT主管会把各个部门集合到一起开会,讨论问题根源。传统的IT运维管理方式是各类设备的管理各自为政,丝毫没有关联性。处理故障不便于追根溯源。每个人的精力有限,在专业应用系统赖以生存的各基础设施支撑单元上很难做到专、精、准的多面手角色,加之由于管理范围的界定和监控手段的限制,运维人员很难直接判定问题是出在基础网络、系统服务器、数据库还是应用系统自身,故障难以定位将直接导致业务恢复时间的推迟,影响业务系统的正常运行,大大降低服务质量。
将IT运维与业务相关联
IT运维是在后台默默地保证各项业务应用系统的正常运行。IT运维工作是无形的,怎样把这种无形的运维变为有形、甚至量化,这就要把IT的运维与业务相关联。传统的IT运维管理中,基础设施的运维工作不能和业务相结合,仅仅是在设备管理的层面上。这就导致IT管理的成绩没有体现。想想看,如有业务应用不正常,那网络或者服务器之类的任何一种基础设备的正常运行又有什么用呢?业务应用是“1”,设备是“0”,没有了正常通畅的业务应用,那其他的都是空谈。只有在业务应用畅通的前提下,基础设施管理才有意义,才能体现IT运维管理的价值。
因此我们需要帮助企业IT:部门了解用户使用感受,关联真实用户感受和系统性能,指导问题事件定位和原因诊断 。
企业信息化发展过程首先是基础架构建设阶段,这个阶段主要是采购一些硬件和应用软件。随着采购的不断扩大,企业的IT组件不断完备,IT系统初具规模,这就产生了IT运维和管理的要求,即网络和系统监控(NSM)阶段,监控网络连通性和系统可用性,此阶段主要还是对IT设备的监控。随着企业业务日趋复杂,IT系统进一步扩大,这时就产生了对IT服务流程进行管理的需求,上升到第三阶段,即IT服务管理(ITSM)的阶段。以上三个阶段都是IT间接产生业务价值的阶段,对业务的顺畅起辅助监控的作用。
企业业务系统对IT系统依赖的不断增强,企业开始关心IT服务对业务带来的影响,强调从业务目标角度出发来管理IT,也就是到达第四个阶段――IT与业务融合的阶段,即BSM(Business Service Management,业务服务管理)阶段。企业可以根据业务目标对IT服务进行调整,以确保IT能够支持业务目标,从而直接产生业务价值(如图2所示)。
如今各类重要的IT应用系统相继在中国石油发挥着举足轻重的作用,所以IT应用系统的可用性尤其重要,例如ERP、OA、邮件、门户等各类重要的系统如果出现中断,都会给企业造成大量的经济损失,所以除了需要对各类应用系统部署冗余的设备以备保证其高可用性,同时也需要对应用系统进行监控和管理,并且进行关联管理。业务系统的可用性是由底层的各类基础设施的状态所决定的,因此建立一个有效的业务模型,将与某个业务相关的底层IT基础设施关联起来,该业务模型能够有效地定位故障根源。这样ERP的管理员只需要关心ERP业务的可用性,而没有必要去关注每台主机的性能参数和启动的进程,不但大大节约了运维时间,而且也提高了运维效率,使故障持续时间大大缩短了。
基于BSM的IT运维
当前中国石油IT运维管理的需求就是从业务出发,建立基于BSM解决方案的新型IT运维。
新型的IT运维管理系统要做得到的就是基于BSM架构的业务管理。
首先,要实时掌控最终用户对IT服务的使用体验,根据制定好的SLA(Service Level Agreement,服务等级协议)来管理业务服务的质量,这样就可以根据业务影响和SLA来对IT服务进行管理。
其次,通过端对端的应用交易时间测量,实现业务要求端对端的可见性;从最终用户的角度,来测量业务服务的响应性能,主动帮助运维人员在第一时间发现问题,以便在问题对用户造成不利影响之前,及时得到隔离、诊断和修复,把它们对业务的干扰降到最低。
第三,提供业务服务、应用及底层IT系统构架部件之间的映射关系。这种解决方案通常会基于一种称为CMDB(Configuration Management Database,配置管理数据库)来实现。通过服务依存关系映射技术,来展现业务服务、应用和底层IT系统构架部件之间的动态关系,这样就增进了对各种IT元素的掌控和理解。
第四, 借助业务服务与IT基础设施的依存关系,对告警事件进行管理。当IT系统的组件产生告警时,结合收集上来的底层的IT系统告警事件,对它们进行过滤、关联、聚合,根据对业务服务影响的严重性,来进行排序处理。
传统意义上的CMDB是服务流程中的一部分,是ITIL中最重要、最核心的概念之一,在以业务为核心的IT运维中,CMDB也是业务建模的主要工具。CMDB通过自动发现工具收集和一定范围的IT基础架构基础信息,包括配置项和关系,建立IT基础架构模型;并通过端到端的业务服务拓扑图来可视化展示业务系统所有部件和关联关系。
把这四方面的功能整合起来,从最终用户的角度来衡量业务影响和风险;自动发现业务服务、应用和底层IT系统构件,并建立依存关系;理解用户感受,监控用户业务响应时间 ,在用户受影响之前发现问题,以求满足下列功能:
1. 通过基于角色的业务视图,提供业务流和服务的可见性;
2. 从最终用户的角度来衡量业务影响和风险;
3. 设置和检测业务过程的SLA,了解应用性能对业务的影响;
4. 24×7小时端到端监控,从浏览器到后台实时监控所有交易;
5. 理解用户感受,监控用户业务响应时间 ,在用户受影响之前发现问题;
6. 主动发现和按优先级管理关键业务问题;
7. 通过自动把业务和底层运营信息建立关联来缩短平均问题修复时间;
8. 自动发现业务服务、应用和底层IT系统构件,并建立依存关系;
9. 通过联合的CMDB,来为IT环境提供一个“统一的真实数据”视图,这样就可以为用户提供一个主动的、以业务为中心的BSM解决方案,帮助用户极大地改善业务服务的性能和可用性,降低服务突然中断带来的风险。
提升IT部门的作用
以前,IT运维部门救火队式的混乱状况导致无法判断IT运维总体表现的好坏。而IT部门又是公认的成本中心,这就导致了在很多企业中IT部门总是承受着很多批评,IT人员的工作热情也不高。
摘 要:本文为了解决因驾校学员激增导致的人力、场地紧张等问题,设计了驾校业务应用支撑平台与信息管理系统。在遵循主流技术路线的基础上,给出了包括应用框架、技术框架、逻辑框架在内的完整技术方案,并从应用层面对统一应用支撑平台和驾校信息管理系统做了详细阐述。
关 键 词:支撑平台;框架;统一管理
随着生活水平的不断提高,汽车已经成为人们生活的普通消费品,越来越多的走进千家万户。汽车的普及也使驾校炙手可热,传统的驾校管理方式在学员的激增下,人力不足、场地有限等问题不断暴露,如何能合理的分配学员,调动驾校资源变得迫在眉睫。驾校业务应用支撑平台与信息管理系统便在这一背景下应运而生。
该项目面向驾校和公众对象,为驾校和公众即时提供考试信息,并提供网站、电话、短信等多种形式的考试申请服务。同时提供统一数据导入、导出接口,方便驾校和车管处使用,提高驾校的申报速度和车管处将申请信息录入车管业务系统。
一、技术框架方案
1.技术路线
本项目基于J2EE的开放式体系结构,支持跨平台运行的体系架构,系统兼容各种主流操作系统与应用平台。遵循国际上成熟的、通用的标准、规范和协议,如LDAP、TCP/IP、XML、SOAP协议等。支持国际主流标准WSRP、JAAS、JNDI、Portlet(JSR168)、JCA等。
2.总体应用框架
总体应用框架包括资源层、支撑层、应用层和接入层,安全保障体系、服务组件体系贯穿整个系统,如图1所示。
资源层
资源层用于存储车管处各类基础信息,是车管处在行使日常管理和服务职能过程中所产生的各类基础业务数据[1],包括:人员信息库、驾校信息库、考场基本信息库、考试信息库、考试时间安排信息库、考试申请历史信息库。
支撑层
支撑层主要是指车管处公共资源管理与服务平台的建设,内容包括统一认证、统一授权、单点登录与审计监控。通过统一认证与单点登录,用户只登录一次便可访问所有系统。统一授权则可简化管理员的授权管理工作。审计监控可有效防止不友好操作等不和谐因素的产生。
应用层
应用层以关注业务建设为主,主要应用有:驾校信息配置管理系统、考场信息管理系统、考试信息出卷系统、考试申请系统、统一数据导入导出平台、信息系统。
接入层
接入层通过支持相应地标准规范,与条件成熟的外部系统如短信平台、网络电话实现有效挂接。
安全保障体系
安全保障体系包括可信的基础安全设施、物理安全、安全技术、安全管理、安全服务、安全策略等。
3.技术框架设计
项目总体技术框架图如图2所示。
4.逻辑框架设计
平台的逻辑框架以标准规范、信息安全体系为保障,自外而内分为信息门户、典型业务应用、公共服务平台以及数据中心等几部分。
信息门户
信息门户是以用户为中心,统一展现信息的入口。
典型业务应用
典型业务应用包括驾校信息管理系统、考场信息管理系统、考试信息管理系统、考试申请系统、信息平台、外网公众服务平台。
公共服务平台
公共服务平台主要包括资源目录管理平台以及在此基础上的资源信息、统一认证、统一权限配置、审计监控平台。
数据中心
数据中心包括人员信息库、驾校信息库、考场基本信息库、考试信息库、考试时间安排信息库、考试申请历史信息库。
5.资源整合模型
资源整合以用户身份整合为基础。建立统一的身份验证平台,基于统一的目录服务系统和多种身份验证手段,集中统一管理用户,实现身份认证、权限管理、单点登录。 [ ]
单点登录
单点登录SSO(Single Sign On)已经成为门户安全服务中一个必需的特性支持,并作为一种标准门户服务提供给用户。每一个Web应用都有自己的用户管理认证机制,将身份管理系统部署为平台服务方式,允许用户在不同的Web 应用中导航,而不用反复登录不同系统。
统一用户和统一权限管理
统一用户管理主要完成用户的统一标识,统一权限管理为统一用户管理与应用模块之间建立一种映射关系,从而实现用户在所集成的多个应用子系统之间任意切换。
统一用户管理包括:用户基本信息管理、用户包含的角色管理、用户包含的权限管理、用户组织机构管理、用户岗位管理;组织机构基本信息管理、岗位基本信息管理、岗位包含的权限管理、岗位认证管理、拥有岗位的用户管理;应用系统基本信息管理、应用系统权限组管理、应用系统权限管理、应用系统角色管理等。
二、建设内容
项目的主要建设内容是建设统一的应用支撑平台与信息管理系统。
1.统一应用支撑平台
统一资源管理
资源是指各应用系统都要用到的共性信息,如:用户、组织机构、角色等。
采用公共资源管理平台对公共资源进行统一管理。资源的属性可根据业务需要进行扩展。
用户管理
在目录服务中将用户身份以对象的形式存放在统一身份库中,用户对象可以存放在组织机构对象下[2]。用户对象拥有相应的属性信息,如:登录名、用户全名、身份标识等。
组织机构管理
在目录服务中建立指定的容器对象,称为组织单元。将组织机构以对象的形式存放在该容器中,各级子组织机构可作为对象以树的方式存放在相应的容器对象下。组织单元对象拥有相应的属性信息,如,组织机构名称、组织机构主管、组织机构首页链接等。
访问角色管理 访问角色管理为简化分级授权管理的维护操作,在统一身份库中建立相应的角色,来配置各级用户对不同业务系统的访问权限。将角色以对象的形式存放在组织机构中,角色对象拥有相应的属性信息,如:名称、角色编码、成员、描述等。
身份同步
实现身份与角色的实时、策略同步。各应用系统实现用户管理平台提供的接口(增量、全量),实时或者定期同步信息。接口包括java API以及WebService。
可同步的资源包括所有资源:组织机构、用户、用户组、角色。
统一身份认证
身份认证服务是用户访问应用系统的入口,通过统一各业务系统的身份,实现统一的身份认证,用户在登录所有应用系统时能够使用唯一的用户名/口令。
根据业务需要可提供多种不同安全级别的身份认证方式,包括普通用户名/密码认证,也可支持数字证书认证,从而满足多应用环境下的综合认证需求。
单点登录
支持与条件成熟的其他系统之间进行单点登录。
关键词:油田;业务协同;业务模型;工作流;图形化
0 前言
炼油企业存在员工集中、地域分散、多种作业类型、生产链接紧密、信息密集、高科技等特点。工作流技术是一种快速增长的技术,广泛应用于各行业,其主要特点是业务流程的自动化,这些流程是手动和自动的,主要特点是这些流程在计算机中处理应用和工具帮助,由计算机系统帮助人们完成交易的日常事务。工作流管理的最终目标是缩短业务周期,改进内部和外部流程,优化和合理使用资源,减少人为错误和延迟,提高劳动生产率。
1 协同工作流技术
1.1 基于角色的权限授权机制研究
角色本身不代表权限的大小,例如O置“Project Manager”角色的能力,还可以设置“Team Leader”的角色。分层Hierarchal RBACC模式可用于实现分层角色。也可以使用Composite Roles模式,对角色实现一定的分组和复合,以方便权限的分配。
1.2 工作流模型研究
过程集成模型,已经超越了“过程模型”概念类。 当前的业务变得越来越复杂,跨区域跨部门信息交互的需求变得越来越明显,部门之间的跨区域合作正在增加。 一个简单的集成模型基本上是一个“主流程控制”方法:通过一个主流程来控制整个流程的操作,通过各个子流程来完成一个特定的任务,并返回到主流程来处理结果 。
2 系统方案设计
2.1 流程设计
(1)工作流引擎:工作流引擎作为工作流管理系统的核心,为工作流定义和流程流提供支持。
(2)工作流过程建模工具:工作流过程建模工具为可视化流程设计工具,用户通过拖放方式绘制流程,并通过配置为节点实现节点操作,节点表单,节点参与者配置。
(3)流程操作:进程操作是指对进程的操作支持,如启动进程,终止进程,挂起进程,DC,分流(单)和流(多人同时),试验等,因为这些进程可以直接基于引擎提供的链接调度算法直接支持。
(4)工作流客户端程序:工作流客户端程序提供用于呈现工作流管理系统的过程管理系统的功能,待完成列表的列表,已经完成的列表,过程操作的执行,过程历史信息等等上。
(5)流程监控:过程监控提供了一种图形化的方式来监控执行过程,包括过渡,在每个链接上花费的时间等,并且通过这些过程,可以适当地提高工作效率。
(6)表单设计器:窗体设计器为视觉形式的设计工具,用户拖放方式绘制所需的表单,以及相应的表单数据绑定。
(7)与表单的集成:业务流需要一种表达实际业务的形式,因此它需要与表单集成以表示业务意识。与表单的集成通常包括表单数据的自动获取、存储、修改、域权限控制、与过程相关的数据的维护以及过程链接表单的绑定。
(8)与应用程序的集成:通过与应用程序的集成来提高工作流管理系统的业务意识,主要涉及系统的权限和组织的集成。
2.2 流程调度
(1) OBE的引擎调度机制
OBE是由Adrian Price开发的一个开源Java工作流引擎,支持WFMC规范,包括接口1(XPDL),接口2/3(WAPI)和接口5.OBE引擎操作调度算法非常简单,所有的调度规则基于WorkflowRunner类run方法。StartProcess,startActivity,completeActivity,executeTransition在这些情况下都会导致运行。OBE调度算法非常简单,但实施调度过程更是周围。
(2) Shark的引擎调度机制
Shark遍历循环的机制是:
(3) YAWL的引擎调度机制
它的核心调度规则在YnetRunner类中有continueIfPossible方法。核心调度机制是它将重新路由流程实例中的所有节点点,因为节点的令牌传输或状态改变的任何状态。此处的节点点是YAWL支持的两种类型的节点:Condtion和Task。YAWL的enable enable算法更经典,主要是确定某个Task节点允许被激活。YAWL目前完全支持And,XOR,OR聚合算法,其中最复杂的是无疑是OR算法。
3 应用效果分析
系统主要实现以下功能:
(1)组织机构管理
组织机构管理主要对组织机构及其用户进行管理,实现了添加单位、修改单位、删除单位和单位排序功能。单位建立后可以在该单位下新建单位用户,同时对用户进行信息修改和单位转移操作。
(2)权限管理
权限管理细分为角色管理、权限元素管理、权限分配。主要实现:
①对权限元素进行管理(权限元素是权限管理和控制的最小单位),包括添加角色、修改角色、删除角色;
②对权限元素进行分组管理(角色),包括添加权限分类、修改分类、删除分类,在具体分类下维护所属的权限元素;
③权限分配:对用户、权限元素/角色进行组合分配,按照组织机构列出所有用户,进行相应的角色或权限分配。
(3)工作流管理
实现业务流程定制、业务流程维护、流程实例管理、审批授权、绑定工作流等。
(4)日志管理
实现登录日志、操作日志和错误日志的纪录与查询操作,提高系统的安全性。
服务器端使用Java作为文件管理服务,客户端提交XMLHttpRequest请求,服务器端返回相应的XML文档。
参考文献
[1] 范玉顺. 工作流管理技术基础[M]. 北京:清华大学出版社,2011;46-47.
经过十多年的档案信息化发展,我国主要发达地区对档案信息化的提法达到了空前的高度、深度、广度与力度,通过集成不同的现代技术,出现了不同层次的档案管理系统(AMIS),涌现出一批数字档案馆、电子档案馆,基本实现馆藏数字化、利用网络化、控制智能化,逐步实现了计算机系统目录管理和全文管理条件下的纸质、声像、实物和电子文件的归档,有的还实现了网络化电子文件归档。但是,归档管理模式并没有根本性突破,主要表现在无法对档案的质量进行全面、系统地实时监控和综合评价,如各门类载体材料收集是否齐全完整,内容是否真实有效,整理是否规范,归档是否及时,以及各部门的归档难度、归档数量等。即便是各个等级的档案目标管理考核,也只能对已归档的材料进行抽查。显然,传统的归档模式对于如何提高归档效率,实现对文件形成与归档的过程、时间和质量的实时监控,以及建立对归档人员激励评价的科学管理机制,仍缺乏科学有效的解决方法。
当前AMIS基本上是对已有档案信息的管理、利用、编研等环节进行管理,而对档案界反映比较强烈的“采全率低、采准率低、及时性差(即档案收集不齐、质量不高、期限不准、归档滞后等)”等问题无法处理。由于档案的收集范围、保管期限对不同单位具有特定性,一般档案管理人员难于把握,使得大量的原生信息源未能收集保管,直接影响了档案的收集、著录以及今后提供利用的水平。
目前,在档案整理的过程中,每个环节都需要大量的人工干预或检查,才能达到理想的整理效果,也就是说一个单位的档案要想整理得好,就必须需要一个高素质的档案人员,做到仔细、认真,并且必须非常了解单位的业务运作。
二、应用业务规则技术的解决之道
针对国内档案管理现状,广东万维博通信息技术有限公司在自有系列档案信息资源管理系统(AMIs)产品基础上,引入人工智能技术,研发了一套“基于业务规则的档案信息资源管理平台”,该平台除具备一般AMIS的档案管理、利用、编研的功能外,重点研究了基于信息资源规划,依托业务规则库的档案信息资源收集管理体系:通过信息资源规划确定各立档单位的归档范围、保管期限表,并将其抽象为档案业务规则库(Archives Business Rules Database,简称ABR),同时也将档案主管部门与指导部门的规范、制度、标准等也整理到ABR,通过强大的推理引擎(RM),对已有的档案信息数据(AID)进行分析与推理,作出相应的判断,以帮助立档单位达到“档案收集齐、保管期限设置准、档案著录规范”的目标,同时也为档案管理部门建立起智能化的网上监督指导系统、绩效评估系统和上岗人员自学习系统等。也可通过基于档案知识规则库(ABR)和推理引擎(RM)构建的档案信息雷达自动从相关业务系统收集档案信息资源。基本实现以下功能:
1)采用人工智能技术,建立档案业务规则库(ABR),利用规则引擎,贯穿整个档案轨迹的全过程,控制档案收集、整理的质量与数量;
2)构建档案信息雷达,利用档案业务规则库(ABR)。通过数据挖掘技术自动收集立档单位的各种业务数据:
3)建立新型的档案移交、接收模式,做到档案实体正式移交前进行相应的非现场预检查,保证档案接收质量并减少后续的著录量与数字化加工量:
4)建立新型的档案监督指导管理体系与绩效考核体系,实现远程指导、远程考核。
5)建立新型的档案自学习系统,提供档案上岗人员接受培训的新途径,并找到传承资深档案人士知识的快捷方法等。
三、主要研究内容
1、档案业务规则库(ABR)的建立与管理
与档案业务相关的规范、制度、标准等内容,称为业务规则(Business Rules,简称BR),特别是档案管理部门制定的档案收集、归档范围、保管期限表等。
每个立档单位都有不同的规则,每个资深的档案从业人员都有不同的经验总结,在档案指导的过程中可能也会定期加入相关规则,规则在不断地更新。档案业务规则库分为三类,是将档案各项专业知识分门别类融合。
1)针对外部的业务规则库:以《档案法》为主的相关法律、法规和制度等;
2)针对结构化的内部规则库:对综合档案以立档单位为基础的《归档范围》、《保管期限表》,对工程档案以工程性质为基础的《建设工程峻工档案归档范围》:
3)针对非正式的内部规则库:档案指导长期实践的经验,单位经验丰富的档案从业人员的知识总结等。
2、档案业务规则库(ABR)在档案轨迹的各个环节的用处
通过完善的业务规则管理系统(BRMS)将相关的档案规范、制度、标准及各立档单位的归档范围、保管期限表等抽象为档案业务规则库。
BRMS是系统服务堆栈中的一部分,提高了SOA的便捷性,利用它建成的ABR及档案信息库(AID),可较快地搭建与档案配套的其他业务系统。
档案业务规则库(ABR)建设完成后,在档案轨迹的各个环节可以开始发挥作用。
可对各立档单位的档案信息(包含全宗、目录/项目、案卷、卷内等)自动分析,提高决策水平,推理得出相关结论:
档案著录是否规范?
档案收集范围是否齐全?
保管期限定义是否准确?如数据符合要求,可以搬档案实体过来或下去检查等,并衍生出相应的人工智能子系统:
1)档案接收即时检查系统
接收档案范围确定后,系统可即时根据档案业务规则库(ABR)将各立档单位的档案信息(AID),通过知识规则推理引擎(RM),对录入或导入的档案信息进行检查,系统自动提出整改意见或验收意见。
2)档案著录规范检查系统
根据已存在的档案业务规则库(ABR)对责任者、题名、保管期限等自动进行检查。
3)网上监督指导系统
档案局/馆、档案主管单位利用基于Internet/Intranet的档案信息扫描技术,结合档案业务规则库(ABR),自动监督各立档单位的档案整理情况,发现问题自动提醒,并及时反馈,信息转入Workflow,档案监督指导人员根据实际情况作出处理。
它利用人工智能的原理,借助计算机模拟人类的思维过程,对档案信息数据进行分析与推理,作出相应的判断,提出建议及线索,以供档案管理部门进行进一步的重点检查与监督指导。其目的就在于:提高监督指导效率,降低监督指导风险,进而保证档案收集入库的质量。
4)立档单位绩效评估系统
绩效评测内容与目标建立后,系统可定期根据档案业务规则库(ABR)对各立档单位的档案信息(AID)进行评测,通过知识规则推理引擎(RM),自动生成绩效预评估报告,经过Workflow流转后产生最终的评估报告。
关键词:证券业务;应用层安全;管理平台
中图分类号:TP315文献标识码:A 文章编号:1009-3044(2011)04-0741-02
The Research of Application Layer Safety Management Platform Based on Securities Business
LU Hai-hua
(Information & Security College, Shanghai Jiao Tong University, Shanghai 200240, China)
Abstract: The paper has analyzed the importance of the securities business application layer, and cleared the necessity of the safety management platform. The paper has firstly determined the target of the securities business application layer safety management platform. Then the paper has secondly designed the platform, and further studied the database signature verfication of platform.
Key words: securities business; application layer security; management platform
证券业务应用交易所是国家设立的提供证券集中竞价交易场所的机构,其最主要的工作就是要创造透明、开放、安全、高效的市场环境,提供证券业务应用交易的场所和设施。网络证券业务的应用层系统在给证券公司带来更大经济效益和管理效率、给大众带来更优质快捷服务的同时,也带来了更大的安全威胁。网络的开放性体架结构,决定了其在安全控制和管理机制等方面具有先天缺陷,易受攻击和非授权访问。
总之,随着证券业务应用层处理信息化进程的不断深入,内部网络和外部网络的规模不断扩大,各类新证券业务应用不断上线,网络已成为证券公司竞争力的重要部分,是保障证券业务应用层信息化顺利运行的纽带和基石。而安全性也必然成为证券业务应用层安全管理平台首先要解决的关键问题。
1 证券业务应用层安全管理平台的目标
证券业务应用层安全管理平台主要实现如下五个安全性目标:
1)机密性:证券业务信息只能被需要的人、授权的人看到,在传输过程中无法被截获。
2)有效性:证券业务应用层系统中的信息是安全的、有效的。
3)完整性:证券业务信息在传输过程中不会被篡改、丢失和乱序,信息不会被随意生成、修改和删除。
4)审查能力:根据机密性和完整性的要求,可以对数据审查的结果进行记录和归类。
5)可靠性/不可抵赖性/标识:发出的证券信息具有可靠的标识,发信人不能抵赖。
要实现以上目标,需要证券业务应用层内部的多个模块(用户登录、权限管理、加密、数字签名)相互作用。其中用户登录、权限管理主要是实现对证券业务应用层系统的访问控制,加密主要实现数据的加密存储。当然,证券业务应用层的安全还需要其它各层基础安全设施的协作。
2 证券业务应用层安全管理平台的设计
2.1 用户登录功能的设计与实现
作为安全的第一道防线,某种程度上也是最重要的一道防线,身份认证技术普遍受到关注。认证技术提供了关于某个人或某个事物身份的保证,这意味着当某人声称具有一个特别的身份(如某个特定的用户名称)时,认证技术将提供某种方法来证实这一声明是正确的。证券业务应用层安全管理平台的用户登录功能设计的具体方法是:
在证券用户请求登录页面时,服务器端生成一随机数,服务器端保存这一随机数,并将这一随机数与登录页面一同发送给用户;用户在登录时既要提供用户ID和密码,而且需提供这一随机数。服务器端验证用户登录信息时,首先验证证券用户提交的随机数是否正确,在认证码正确的情况下再做下一步的用户及密码的验证,并同时清除掉服务器端分配给用户的随机数。为了加大破解难度,通常将这一随机数附着在一幅图片上发送到证券客户端。另外,虽然增加认证码的方法能防止入侵者的字典攻击,但是入侵者高密度的登录验证,还是会对网络传输造成一定的负面影响,因此在登录模块中检查同一IP登录情况是否异常,如在很短的时间里,登录次数明显不正常时,将把这一IP记录加入到受限IP库中。验证证券用户登录的具体流程如图1所示。
2.2 权限管理模块的设计
为了实现证券业务应用层安全管理平台中资源的访问控制,用户在通过了身份验证,进入系统后,只能访问系统授予的权限内的证券业务资源。证券业务应用系统的用户、权限管理与操作系统的用户、权限管理的概念所不同之处在于:
1)证券业务系统里的权限管理和访问控制的对象主要是证券业务应用系统的资源,例如数据、功能等,而不是网络、主机、文件目录和数据库;
2)证券业务系统中的用户、权限信息通常存储在应用系统指定的位置(例如数据库中),通过专门开发的界面进行维护;
3)由于证券业务的复杂性,权限的控制级别更细些,通常需要到记录和记录的字段一级,因此现有手段(如数据库管理系统本身)无法提供相应的访问控制机制。证券业务应用层安全管理平台的权限管理具体包括证券用户管理、角色管理、功能模块(资源)管理、权限分配。如图2所示。
1)证券用户管理
证券用户是指能对证券业务资源进行访问的一个主体。证券用户是系统的使用者。证券用户通过角色拥有对应系统中对象的权限。证券用户管理主要包括添加、删除、修改用户等功能。
2)证券角色管理
证券角色是在证券业务应用中形成的,在部门中具有特定职责、权利的一类人员的总称。在信息系统中,证券角色是能够控制一定资源的用户集合。证券角色管理包括角色的添加、删除,角色属性的修改角色的指派,角色权限的指派。
3)资源管理
资源是证券业务中用户和角色访问、操作、控制的抽象客体。本证券业务应用层安全管理平台提供对功能模块和数据库表、记录和字段的授权访问,将所有模块和对应的数据库表、记录和字段按照需求规则划分类别和层次,按树结构进行存储,再由权限管理模块将各模块权限分配给角色。应用的对象首先需要注册,才能成为证券业务资源,才能进一步定义权限、并指派给用户和角色。
4)权限分配
权限,简单地说,就是用户和角色对证券业务资源所具有的操作类型。权限是和证券业务应用层安全管理平台密切相关的,是系统资源“与生俱来”的。
3 证券业务应用层安全管理平台的数据库签名验证
本文研究的证券业务应用层安全管理平台的数据库签名验证主要通过CryptSignMessage()函数实现签名,通过CryptHashMessage()函数生成文件哈希。本系统采用MD5算法生成散列值,一共是128位。此签名验证模块会在签名信息上附带相应的公钥信息,这样对签名验证时就非常方便了。而且对于签名者的证书获取也变得更加容易。程序流程图如图3所示。
此数字签名程序中用到的函数如下描述:
BOOL WINAPI CryptSignMessage(
PCRYPT_SIGN_MESSAGE_PARA pSignPara ,
BOOL fDetachedSignature ,
DWORD cToBeSigned ,
const BYTE *rgpbToBeSigned[ ] ,
DWORD rgcbToBeSigned[ ] ,
BYTE *pbSignedBlob ,
DWORD *pcbSignedBlob
) ;
其中,数字签名过程中所涉及到的参数的结构由变量pSignPara加以定义,包括一些算法(比如散列、加密等)、数字签名证书个数及数组、签名编码信息类型等等。在数字签名过程中,可以将信息与哈希值共同保存在同一空间,这个状态是参数fDetachedSignature加以表示,初始状态为假。而数字签名数组的指针及数值分别由参数*rgpbToBeSigned[]以及cToBeSigned加以表示。进行数字签名后的数据大小及指针又分别由参数*pcbSignedBlob以及*pbSignedBlob加以表示。
接受端接到了加密数据后,将对会话密钥及文件分别进行解密。首先,通过获取信息头部文件中的签名简要,利用公钥获得哈希值。可以通过CryptHashMessage()函数直接从头部文件中获取加密文件的哈希值。其次,比较两者的哈希是否一致(也就是签名的哈希和从头部文件中获取的哈布)。如果两者是一致的话,表明加密文件是完整的,在传输时没有出现被破坏的现象。反之,则表示文件传输有误。本文研究的证券业务应用层安全管理平台的数字签名认证就是通过这样的密钥及哈希来验证签名的有效性。
数字签名对应都有一个签名认证证书,证书就保存在证书库中的。如何对签名者的证书进行有效验证呢?本文是通过证书验证模块加以实现的。主要是验证证书是否是服务器端所承认的机构颁发的、证书是否是有效的等等。本文主要借助于CertVerifySubjectCertificateContext()函数实现对证书的验证。证书验证的函数说明如下描述:
BOOL WINAPI CryptVerifyMessageSignature (
PCRYPT_VERIFY_MESSAGE_PARA pVerifyPara ,
DWORD dwSignerIndex ,
const BYTE *pbSignedBlob ,
DWORD cbSignedBlob ,
BYTE *pbDecoded ,
DWORD *pcbDecoded ,
PCCERT_CONTEXT *ppSignerCert
) ;
证书验证过程中所涉及到的参量通过pVerifyPara加以设定,主要包括证书所在的证书库信息、证书服务的供应方以及证书编码信息等。当有若干个签名者进行签名时,必须进行索引设置,这是由参数dwSignerIndex加以设定的。证书的签名信息参数由*pbSignedBlob和cbSignedBlob加以验证。而每个证书都有一个句柄相对应,这主要由变量*ppSignerCert加以表示。
4 总结
总之,本文的研究能有效保障证券业务交易信息处理和传输系统的安全,避免攻击者利用系统的安全漏洞进行窃听、冒充、诈骗等活动,同时为探索证券业务应用层系统的安全保障体系的建立迈出有益的一步,本文研究的意义就在于此。
参考文献:
[1] 田青.证券电子商务系统的应用层安全体系设计[J].计算机与网络,2009(5).
[2] 朱道奇,窦尔翔.我国证券业信息化现状与发展探析[J].中国金融电脑,2008(6).
[关键词] COBIT IT外包 风险管理
一、COBIT标准综述
COBIT(Control Objectives for Information and related Technology)是美国信息系统审计和控制协会ISACA(Information Systems Audit and Control Association)基于其原有的控制目标体系(Control Objectives),结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,是国际上最先进、最权威的安全与信息技术管理和控制的标准。COBIT控制目标体系是一个较完整的信息系统管理和控制的参考模型,它将政府和企业的信息化归纳为34个IT处理过程,并逐个提出指导意见。通过将COBIT应用到信息系统的开发和实施环境,可以为管理人员、开发人员和审计人员来强化和评估信息技术外包风险的管理和控制提供依据。
二、IT外包的风险分析
企业IT外包处于IT战略中的资源管理层面,是帮助企业将注意力更多地投入到商业管理而非信息技术管理,进而更专注地追求核心竞争力的一条途径。尽管IT外包愈来愈普及,但外包失败的案例并未因此而减少。IT外包风险的表现就是外包失控。由于把部分或全部IT资源外包给企业外部的服务商,企业对服务商的管理就要比管理自己的IT部门复杂得多,时刻会面临失控,主要表现在以下三个方面:
风险一:IT外包可能会在服务的及时提供和服务的质量方面达不到预期效果。
风险二:企业对承包商的依赖度高反而降低了企业的灵活性,企业成本不降反升。
风险三:企业的商业机密可能会被泄露,知识产权可能会被盗用。
三、基于COBIT的IT外包风险管控体系
COBIT的控制目标主要是针对信息系统的管理控制和运行控制,COBIT提出的控制目标可以应用到所有的信息系统。因此,它的控制目标对IT外包系统来说大部分是适用的,但因其业务特殊性,必须结合发包企业的具体环境和承包商的实际情况,加以修改、补充和完善。
1.组织与规划
系统规划是IT外包项目建设的第一步,包括发包企业的战略目标、政策和约束、计划和指标分析;发包企业原有的建设目标、建设模式;企业信息的功能结构、组织、人员管理;IT外包的效益分析和实施计划。规划的好坏对IT外包项目的建设的成败有至关重要的影响。
整个信息系统的建设要以优化企业的核心业务流程,提高工作效率,更好地发挥企业综合协调与服务的职能为总体目标。规划必须满足:规划本身应当明确无误而且易于理解,应当是一个可以为大多数人所理解和认同的概念。规划必须得到领导小组的认可;规划目标应当是可衡量的;规划必须建立在对内外信息调查的基础上制定。
2.获取与实施
系统分析是在充分的调查的基础上对企业内部的整体管理状况和信息处理过程进行分析。系统分析的工作量非常大,所涉及的业务、人、数据和信息非常多。而且在实际情况中,企业信息化的需求难以一次确定,并且会不断发生变化;另一方面,承包商对政府的具体业务业并不熟悉,常常会发生理解上的偏差,从而导致建模的错误。因此,完成的系统分析必须满足以下一致性、完整性、现实性和有效性这四方面的要求。然后在系统分析的基础上,研究承包商外包方案的可行性,制定相关技术标准、实施规范。
3.服务与支持
发包企业的需求是不断变化的,商业目标也是随着企业的发展而逐步更新的,承包商要做好完善的数据跟踪,在可行范围内满足发包企业的需求,不断改进和修正开发计划中遇到的问题和缺憾。
4.审计
IT外包项目在发包企业实施以后,系统的可靠性、安全性和有效性是非常重要的,系统中的信息成为政府最宝贵的资源。内部审计是在政府内部建立信息系统审计组织,由内部信息系统审计人员对电子政务系统的可靠性、安全性、有效性进行检查与评价,将结果报告给政府管理层。内部信息系统审计部门,从组织地位上来讲必须独立于政府的IT职能部门和最终用户部门。
构建基于COBIT的信息系统管理、控制与审计模型,将便于人们对信息系统建设与应用过程的理解与分析,指导人们建立相应的机制,将信息系统建设与应用的全部过程置于有效的管理与控制之下。对信息系统的投资者和管理者,将帮助他们在通常不可预测的IT环境下平衡风险与投资。对信息系统的使用者,将通过管理、控制和审计为他们提供安全保障和一定的服务水平。对审计师而言,将帮助他们明确审计轨迹,使他们做出的鉴定和劝告更具说服力。
四、总结
通过构建基于COBIT标准的信息技术过程集,我们可以把对IT外包的风险管理细化到各个过程,构建过程的风险管理模型,从而化繁为简,使复杂的IT外包业务管理、控制和审计结构化。对IT外包拥有正确的风险管理思想为指导,能够促进健全的管理机制建立,便于技术与工具的应用,使风险管理过程更加规范化。