【正文】 權(quán) bit 是否允許代理 bit 權(quán)限許可表 列名 類型 長度 說明 許可編號 varchar (50) 許可名稱 nvarchar (50) 父許可編號 varchar (50) 許可類別 varchar (20) 角色表 列名 類型 長度 說明 角色編號 char (36) 角色名稱 nvarchar (50) 是否系統(tǒng)定義角色 bit 角色描述 nvarchar (200) 許可類型表 列名 類型 長度 說明 許可類型 char (1) 許可類型描述 nvarchar (20) 角色角色表 列名 類型 長度 說明 角色編號 char (36) 擁有角色編號 char (36) 是否允許授權(quán) bit 是否允許代理 bit 系統(tǒng)工作流引擎組件的設計說明 系統(tǒng)工作流引擎 組件旨在實現(xiàn)資產(chǎn)的過程化管理，對資產(chǎn)管理的過程進行控制調(diào)度和監(jiān)督，使日常的資產(chǎn)管理工作流程按照制定的規(guī)則執(zhí)行；并且可以隨著企業(yè)管理的深化對規(guī)則進行修訂。我公司自主研發(fā)的工作流引擎，采用 WFMC 國際標準，能夠滿足固定資產(chǎn)管理系統(tǒng)的要求。 工作流引擎設計類圖簡要 ? Xpdl 配置文件解析： 對流程配置工具所產(chǎn)生的 xpdl 配置文件進行解析 ? 人工活動節(jié)點： 需要人工參與的活動節(jié)點，實現(xiàn)節(jié)點的啟動，完成，提交以及狀態(tài)的改變 ? 自動活動節(jié)點： 無需人工參與的活動節(jié)點，實現(xiàn)節(jié)點的啟動，完成，提交以及狀態(tài)的改變 ? 子流程 ： 包含子流程的活動節(jié)點，實現(xiàn)節(jié)點的啟動，完成，和提交以及狀態(tài)的改變 ? 抽象活動節(jié)點： 是其它活動節(jié)點的一個高層策略，提供節(jié)點啟動，完成，提交以及狀態(tài)的改變的默認實現(xiàn)。 ? 活動節(jié)點實例接口： 規(guī)定了活動節(jié)點必須實現(xiàn)的屬性和方法。 ? 流程實例類： 指流程的運行實例，實現(xiàn)流程的啟動，完成以及狀態(tài)的改變。 ? 流程實例類列表類： 流程實例的緩存類，以哈西表緩存流程實例；并按照最近最少使用的原則淘汰。 ? 條件解析類： 解析流程中轉(zhuǎn)移路徑所設置的條件。 ? 調(diào)度引擎： 活動節(jié)點的提交請求，根據(jù)定義的規(guī)則選擇提交的路徑。 ? 任務列表： 管理用戶的待辦、 在辦、已辦事宜，根據(jù)請求返回指定用戶任務列表。 ? 流程創(chuàng)建類： 管理流程以及其子流程的創(chuàng)建過程，生成創(chuàng)建流程實例。 ? 流程監(jiān)管類： 是流程管理員對流程以及流程實例進行監(jiān)督和管理的接口類，實現(xiàn)流程重定向、重新制定活動節(jié)點的參與者、發(fā)送崔辦信息以及刪除流程實例等功能。 工作流引擎庫表設計圖 ? 工作流引擎庫表結(jié)構(gòu)說明 流程實例 列名 類型 長度 說明 編號 varchar (10) 創(chuàng)建時間 datetime 創(chuàng)建人 varchar (20) 流配置編號 varchar (2) 流程 狀態(tài) bit 活動節(jié)點實例 列名 類型 長度 說明 編號 varchar (10) 流程實例編號 varchar (20) 狀態(tài) char (1) 是否退回 bit 前驅(qū)活動節(jié)點 varchar (100) 流程配置 列名 類型 長度 說明 編號 varchar (10) 配置文件內(nèi)容 text 是否發(fā)布 bit 流程運行記錄 列名 類型 長度 說明 流程編號 varchar (20) 活動編號 varchar (10) 目的活動編號 varchar (10) 處理人 varchar (20) 到達時間 datetime 處理時間 datetime 提交人描述 varchar (500) 系統(tǒng)二次開發(fā)工具的功能及說明 系統(tǒng)的二次開發(fā)工具主要包括三個：表單生成工具，流程配置工具以及報表定制工具，這些工具均采用 c/s 結(jié)構(gòu)，供系統(tǒng)管理員，以及系統(tǒng)維護人員使用，在不編寫代碼的情況下改變系統(tǒng)的行為。功能說明如下： ? 表單生成工具： 創(chuàng)建庫表和生成庫表配置文件（即元數(shù)據(jù)），系統(tǒng)創(chuàng)建的庫表主要有兩部分，一個是固定資產(chǎn)基礎(chǔ)信息 表，另一個是固定資產(chǎn)過程化管理表；其中后者與工作流程有關(guān)，所以必須包含流程運行編號字段；庫表配置文件是系統(tǒng)的表單生成組件，以及報表模板定制，以及報表生成引擎所依賴的最基本的元數(shù)據(jù)。庫表配置文件是 xml 文件，存于數(shù)據(jù)庫的表中。 ? 流程配置工具： 配置資產(chǎn)管理日常管理工作流程，以畫圖的方式配置流程中的活動節(jié)點以及節(jié)點之間的轉(zhuǎn)移路徑，在每個活動節(jié)點上設置節(jié)點的參與者和工作表單；參與者可以是用戶，機構(gòu)或部門以及角色中的任何一種，工作表單使用表單生成工具生成的。 ? 報表配置工具： 把表單生成工具生成的元數(shù)據(jù)作為定制報表模板的依據(jù)，通過 excel 這一比較常用的工具進行報表的設計。生成的報表模板存于數(shù)據(jù)庫中，它是報表生成引擎加載報表的基礎(chǔ)。報表配置工具的數(shù)據(jù)源可以是數(shù)據(jù)庫中的表、視圖和存儲過程；對于視圖和存儲過程，因為并沒有所需元數(shù)據(jù)，所以必須通過表單生成工具為其創(chuàng)建。報表配置工具只能實現(xiàn)應用程序?qū)用娴牟痪幋a，但視圖和存儲過程必須編寫，不能通過工具本省生成。 系統(tǒng)的部署 系統(tǒng)采用 B/S 結(jié)構(gòu)的部署模式，程序只需安裝在服務器上，客戶端通過瀏覽器訪問，這種模式減輕了程序安裝和維護的工作量。系統(tǒng)的網(wǎng)絡結(jié)構(gòu)圖如下： 應 用 服 務 器 數(shù) 據(jù) 庫 服 務 器財 務 管 理 者 系 統(tǒng) 管 理 員 設 備 管 理 員 部 門 專 管 員 維 護 人 員財 務 管 理 者 設 備 管 理 員 二 級 行 維 護 人 員專 管 員專 管 員省 分 行二 級 行縣 支 行 及分 理 處 其中應用服務器和數(shù)據(jù)庫服務可以分開也可以獨立為一臺。 四、系統(tǒng)硬件支撐環(huán)境 為了合理化投資，在系統(tǒng)的網(wǎng)絡及硬件方案中應盡可能的利用甲方現(xiàn)有的資源。采用銀行現(xiàn)有的業(yè)務網(wǎng)絡及現(xiàn)有的辦公 PC 機。 分行應用服務器選型方面，在服務器提供商中， IBM 在業(yè)界及銀行系統(tǒng)中有很好的應用基礎(chǔ)。在此，我們?yōu)榧追酵扑] IBM174。 eServer 系列服務器。為了使系統(tǒng)有一個比較好的性能與安全性，服務器的推薦配置為： 品牌 IBM Xs2xx 系列 CPU Intel PIV Xeon 以上 內(nèi)存 大于等于 512MB 硬盤 （最?。? GB SCSI 硬盤 2 冗余陣列 RAID 卡 1 作系統(tǒng) RAID 鏡像 網(wǎng)卡 10M /100M/1000M 自適應 外置介質(zhì)備份 USB 外置硬盤 40GB、光盤刻錄機或磁帶機 五、數(shù)據(jù)備份與恢復 為了保證系統(tǒng)運行的正確性、連續(xù)性、安全性，系統(tǒng)相關(guān)數(shù)據(jù)備份及恢復是必不可少的。根據(jù)本系統(tǒng)內(nèi)容特性，系統(tǒng)應當采取以下備份方案。 由于服務器采用 2 塊 SCSI 硬盤 RAID 卡作鏡像，應用系統(tǒng)及數(shù)據(jù)能夠得到一級 保護。 數(shù)據(jù)庫每月將完整備份刻錄到光盤中進行永久保存。每日由系統(tǒng)自動備份到外置 USB 硬盤（或磁帶）中，保留最近 7 次。由于考慮到發(fā)生一些災難（如地震、火災、水災、恐怖活動等）后服務器與 USB硬盤（或磁帶）可能同時遭受嚴重破壞，我們建議在備份到 USB 硬盤的同時，將數(shù)據(jù)同時備份到一個遠程計算機的硬盤上。作為災難發(fā)生后恢復的數(shù)據(jù)來源。 應用系統(tǒng)每次更新后，本公司將為貴方提供完整的安裝光盤。所以應用系統(tǒng)不用專門備份。 通過上述備份工作后，系統(tǒng)可在災難發(fā)生后 4 小時內(nèi)恢復正常運行，如果主機有冗余，則系統(tǒng)恢復在 1 小時內(nèi)便可 完成。 六、系統(tǒng)的安全體系 安全性定義 從實際角度分析， EMS 是構(gòu)建在數(shù)據(jù)庫技術(shù)基礎(chǔ)上的管理信息系統(tǒng)。它的應用涉及數(shù)據(jù)的網(wǎng)絡傳輸 、 存儲和發(fā)布等諸多環(huán)節(jié)，但數(shù)據(jù)特性相對于垂直業(yè)務系統(tǒng)來講并不十分敏感，所以對數(shù)據(jù)的安全性要求提出不是很高。但為了保證系統(tǒng)連續(xù)可用以及避免關(guān)鍵數(shù)據(jù)的泄露，應當必備一般的安全體系要求，體現(xiàn)在以下幾個方面： 保密性 (confidentiality) 信息和數(shù)據(jù)經(jīng)過加密變換后，將明文變換成密文形式，經(jīng)過授權(quán)的合法用戶可通過解密算法將密文還原成明文。而未經(jīng)授權(quán)的用戶則無法獲得原明文的 信息，從而起到對信息的保密作用。例如系統(tǒng)用戶口令。 可用性 (availability) 可用性指安全系統(tǒng)能夠?qū)τ脩羰跈?quán)，提供某些服務，即經(jīng)過授權(quán)的用戶可以得到系統(tǒng)資源，并享受系統(tǒng)提供的服務。防止非法抵制和拒絕對系統(tǒng)資源或系統(tǒng)服務的訪問和利用，增強系統(tǒng)的效用。另外，可用性還包含一個重要的內(nèi)容：存儲和備份機制，保證系統(tǒng)在相當長的時間內(nèi)連續(xù)可用而且可以迅速從災難故障中得以恢復。 真實性 (authenticity) 真實性在本系統(tǒng)中特指防止系統(tǒng)內(nèi)的信息感染病毒。由于計算機病毒的泛濫，已很難保證計算機系統(tǒng)內(nèi)的信息不被 病毒侵害，因此信息安全技術(shù)必須包括反病毒技術(shù)，采用人工方法和高效反病毒軟件，隨時監(jiān)測計算機系統(tǒng)內(nèi)部矛盾和數(shù)據(jù)文件是否感染病毒，一旦發(fā)現(xiàn)應及時清除掉，以確保信息的真實可靠。 安全設計原則 整體設計、分步實施原則 不是單純從硬件或軟件、網(wǎng)絡、應用某一個側(cè)面去設計，而是從幾個方面綜合設計，保證整體的安全性。實施可以分步分階段進行。 集中的原則 從安全管理的角度看，越集中越好管理。因此在保證系統(tǒng)運行效率的基礎(chǔ)上的集中管理是一種有效的管理方式。 突出應用級的安全保密的原則 應用級是系統(tǒng)的前沿，加強應用級的安全 強度，也就提高了系統(tǒng)整體的安全等級。 用戶便利原則 系統(tǒng)的安全和系統(tǒng)的性能是一對矛盾。本系統(tǒng)應當充分考慮這一點，力求使矛盾雙方達到某種平衡，即在實現(xiàn)系統(tǒng)功能和性能的基礎(chǔ)上的信息安全。 全模型和實現(xiàn) 信息系統(tǒng)安全是一項系統(tǒng)工程，它的實現(xiàn)涉及從技術(shù)到法律 、 管理等方方面面，因而信息系統(tǒng)安全模型是一個層次結(jié)構(gòu)。 數(shù)據(jù)信息安全 軟件系統(tǒng)安全 通信網(wǎng)絡安全 硬件系統(tǒng)安全 物理實體安全環(huán)境 管理細則 保護措施 法律 規(guī)范 道德 紀律 其中下三層涉及法律 、 道德 、 管理等方面，不是技術(shù)問題，在這里 暫不討論，我們僅就上四層的安全體系以及我們建議系統(tǒng)考慮的實現(xiàn)作簡單的說明。 硬件系統(tǒng)安全 硬件系統(tǒng)是信息系統(tǒng)的基礎(chǔ)。硬件設備的安全主要是避免對系統(tǒng)硬軟件實體的破壞和竊取。硬件設備廠商對此進行了全面的保障，本系統(tǒng)僅就以下兩個方面進行討論。 應用服務器信息過載引起的安全問題 應用服務器實現(xiàn)業(yè)務邏輯，處理的訪問量巨大，如果服務器的處理能力達不到要求，就會出現(xiàn)信息過載，從而導致系統(tǒng)拒絕訪問甚至崩潰。 網(wǎng)絡設備管理涉及的安全問題 網(wǎng)絡設備安全主要是指控制對路由器、交換機等網(wǎng)絡設備訪問，保護設備配置不受破壞 ，使設備處于正常的工作狀態(tài)中。路由器的安全措施包括 console 端口和 Tel 訪問限制、 SNMP 訪問與 CDP 設備發(fā)現(xiàn)限制、配置文件保護等。 通信網(wǎng)絡安全 可以概括如下： 機密性 保證不向?qū)π畔①Y源沒有存取權(quán)限的人泄露信息內(nèi)容。在網(wǎng)絡環(huán)境中 所采取的對策方法是使用防火墻技術(shù)加密軟件。 可能性 對于信息資源有存取權(quán)限的人，什么時候都可以利用。 責任追究性 能夠追蹤信息資源什么時候被使用，誰在使用及怎樣操作使用。 安全機制 訪問控制機制 本系統(tǒng)安全服務首先要解決好訪問控制。訪問控制的基本任務是禁止 非法用戶進入系統(tǒng)，防止合法用戶對系統(tǒng)資源的非法使用。訪問控制能夠?qū)τ脩暨M行身份驗證，并且決定用戶對系統(tǒng)資源的訪問權(quán)限。安全訪問控制服務的實現(xiàn)，可以通過建立訪問控制信息庫來標識對等實體的訪問控制；通過設置口令、規(guī)定試探訪問次數(shù)等。訪問控制機制可以加在通信關(guān)聯(lián)任意端點。 驗證交換機制 設置口令實現(xiàn)驗證服務，驗證信息用發(fā)送實體提供口令，并由接收實體檢驗口令，該機制在驗證某實體失敗時，則將拒絕建立或中止連接。 安全審計機制 安全審計是專門檢查系統(tǒng)記錄和活動情況的獨立業(yè)務，其目的是測試系統(tǒng)控制是否足夠 ，是否符合現(xiàn)行法規(guī)和操作制度。安全審計機制要求將有關(guān)敏感數(shù)據(jù)記錄下來，并且對該數(shù)據(jù)中獲得的信息進行分析生成報告。 本系統(tǒng)的網(wǎng)絡安全擴展 本系統(tǒng)建立在公網(wǎng)基礎(chǔ)上的 Intra，考慮到現(xiàn)有業(yè)務的需求和今后業(yè)務的發(fā)展，對外的數(shù)據(jù)交換是不可避免的。分行和各分支機構(gòu)之間采用公網(wǎng)網(wǎng)絡進行連接，其最大的弱點在于缺乏足夠的安全性。內(nèi)部網(wǎng)絡接入到公網(wǎng)中，暴露出兩個主要危險：一是來自公網(wǎng)的未經(jīng)授權(quán)的對企業(yè)內(nèi)部網(wǎng)的存取。二是當網(wǎng)絡系統(tǒng)通過公網(wǎng)進行通訊時，信息可能受到竊聽和非法修改。因此防火墻技術(shù)和虛擬私有網(wǎng)絡 (VPN)技術(shù)的 應用將是必不可少的。 軟件系統(tǒng)安全 軟件系統(tǒng)安全包括操作系統(tǒng)級和應用軟件級的訪問控制 、 驗證交換 、 安全審 計，保證數(shù)據(jù)的保密性 、 真實性和完整性。 操作系統(tǒng)級的安全控制 本系統(tǒng)的 WEB 和數(shù)據(jù)庫