信息化项目实施内容

时间：2021-02-11 01:56:00 来源：蒲公英阅读网 本文已影响人

相关热词搜索：项目实施 信息化 内容

　信息化 项目实施内容 1.1 基础功能介绍 1.1.1 三员管理 依据国家对涉密应用系统的安全保密要求，建立基础安全管理，主要包括：账户暴力破解锁定功能、数据安全存储防护功能、系统登录日志审计、模块操作审计、数据操作审计、账户三员管理等机制，实现“三员分立”的基础安全管理原则，具体内容如下：

　 系统管理员：负责注册用户账户、注册角色名称、负责处理账户的申请、变更、注销，提供用户清单等。

　 安全保密管理员：负责给用户、给角色进行赋权并使账户生效，审计用户操作等。

　 安全审计员：负责审计系统管理员、安全保密管理员的操作记录等。

　系统所涉及的用户管理、账户管理、组织管理、授权管理均以三员管理为标准，做到用户访问的精细度控制、用户操作的可追溯审计、三员式的权限分离管理，符合国家对涉密应用系统的安全保密要求。

　1.1.2 角色管理 （1）描述 系统中用户的操作权限是通过角色来控制的，角色可以理解为具备一定操作权限的用户组。系统预定义的保密企业通用角色包含三员角色，可根据用户企业业务进行调整。

　（2）功能 角色查询、新增、修改、删除 输入角色编码、角色名称、备注点击确定便可以保存角色，根据编号、名称、描述等条件查询角色，删除不用的角色，删除为没有发生业务时为物理删除，发生业务后只能为逻辑删除。

　1.1.3 权限管理 （1）描述 权限一般是跟保密企业中的岗位职责对应的，在保密企业实际运营过程中，为了保护用户的隐私、企业数据的安全、防止国家秘密泄露，会对不同岗位设定不同的限制。权限分为数据权限，权限包括数据权和功能权限。

　（2）功能 功能权限 功能权限就是角色可以进行哪些操作，可以以访问哪些页面。根据条件查询角色，给角色添加人员，设置角色的由哪些功能的权限。

　数据权限 数据权限，就是角色可以看到哪些内容（包括能看到哪些页面、字段、区域），数据权限自动根据用户所在部门所承载的保密业务责任，按照：责任单位、归口单位、监管单位，自动实现数据权限过滤，保障你可看的能看，不可看的绝对不能看 1.1.4 系统日志 （1）描述 登录行为记录包括了：用户登录时间，用户登录地点，用户何时进入过什么应用系统。附加记录登录时的 IP 地址，MAC 地址以及当时使用的身份认证 U 盾。系统可按照用户、时间或是应用系统等条件查询符合要求的信息，方便对异常访问行为进行有效回溯及追查。

　系统数据敏感，需要有全面的权限体系来控制不同类型用户的数据访问能力，同时也需要有完善的审计体系跟踪用户对数据的访问行为。

　提供安全组件保证应用系统的全程行为审计，深度掌握用户在应用系统的行为。包括了：

　谁在什么时间、哪个地方访问过哪个页面； 谁在什么时间、哪个地方执行过什么功能； 谁在什么时间、哪个地方查看过什么数据； 谁在什么时间、哪个地方更改过什么数据； 通过启用数据对象及关注属性的审计能力，日志信息不仅是某某修改了数据，对于关注属性的值如果有变化，则会进一步记录

　从什么值变为什么值。

　（2）功能 登录日志 记录用户登录、注销的时间、地点、IP、MAC 地址等信息。

　页面效果：

　数据库操作日志 记录用户操作数据库的时间、地点、IP、MAC 地址，操作了什么内容等信息。

　界面效果：

　模块操作日志 记录用户操作模块的时间、地点、IP、MAC 地址，操作了什么内容等信息。

　界面效果：

　 1.1.5 流程引擎 （1）描述 SDFlow 基于 BPMN2.0 组件结合国内实际需求，进行了深度的定制改造，扩展了例如：并行会签模式、异或分支选择；条件路径分支、异或聚合、并行聚合、多路聚合等功能特性。BPMN2.0 定义了 7 类流程对象，包括：事件、任务、网关、数据、连接对象、泳道、工作/工作组。

　（2）页面效果

　1.1.6 表单设计 （1）描述 SDForm 易于使用的在线表单设计组件，为保密单位业务数据设计表单和收集数据，在线定义表单，界面操作简单，拖动 HTML 元素组件即可，并集成各种验证组件，SDForm 自带多种样式模板。HTML 元素组件丰富，常用组件有：文本框、多行文本、下拉菜单、单选框、复选框、宏空间等。

　（2）界面效果

　1.2 业务功能介绍 1.2.1 入库管理 通过国资系统获取设备入库信息，国资系统设备入库信息作为系统设备入库信息唯一来源。设备入库后，根据不同设备类型划分设备状态并标识下一步设备具备的业务活动。

　入库设备类型包含信息系统、信息设备、存储设备、安全保密产品。入库后根据具体的设备类型进入不同的业务活动。

　具体业务活动如下：

　服务器设备：设备入库后，进入服务器验机环节。

　安全类设备：设备入库后，设备进入安全设备验机环节。

　网络类设备：设备入库后，设备进入网络设备验机环节。

　存储类设备：设备入库后，设备进入存储设备验机环节。

　计算机设备：设备入库后，设备进入计算机及其他设备验机环节。

　其他设备：设备入库后，直接进入待分配状态（如 U 盘、显示器、打印机、LED 显示屏等）。

　1.2.2 设备验机 1.2.2.1 计算机设备验机 计算机设备验机信息包含设备基本信息和设备配置信息。

　基本信息：补充登记设备出厂编号、是否有无线蓝牙等装置。

　配置信息：补充登记光驱、操作系统版本、操作系统、操作系统版本、系统安装时间、主机序列号、验机备注、是否有硬盘、是否有网卡、硬盘信息（包含硬盘序列号、硬盘容量、接口类型并支持多硬盘）、网卡信息（包含 MAC 地址并支持多网卡）、内存信息（包含内存类型、内存容量并支持多内存）、CPU 信息（包含 CPU 型号、CPU 主频、物理内存容量并支持多 CPU）、显卡信息（包含显卡型号、显存容量并支持多显卡）、外设信息（包含外设名称、外设备注、关联资产并支持多外设）。

　验机完成后，设备自动进入已验机待分配状态，等待分配使用。

　功能页面如下图所示：

　 1.2.2.2 服务器验机 存储设备验机信息包含设备基本信息和设备配置信息。

　基本信息：补充登记设备出厂编号、是否有无线蓝牙等装置。

　配置信息：补充登记机架号、主机序列号、光驱、操作系统版本、操作系统、系统安装时间、硬盘信息（包含硬盘序列号、硬盘容量、接口类型并支持多硬盘）、网卡信息（包含 MAC 地址并支持多网卡）、内存信息（包含内存类型、内存容量并支持多内存）、CPU 信息（包含 CPU 型号、CPU 主频、物理内存容量并支持多CPU）、显卡信息（包含显卡型号、显存容量并支持多显卡）、外设信息（包含外设名称、外设备注、关联资产并支持多外设）。

　验机完成后，设备自动进入已使用状态。

　功能页面如下图所示：

　 1.2.2.3 安全设备验机 显示安全设备某次入库设备列表集合，列表信息包设备类型、设备统一编号、设备型号、购买日期、设备来源、设备状态。功能包含设备验机，点击验机进入单台设备验机功能。

　功能页面如下图所示：

　 1.2.2.4 网络设备验机 网络设备验机信息包含设备基本信息和设备配置信息。

　基本信息：补充登记设备出厂编号、是否有无线蓝牙等装置。

　配置信息：主机序号、是否有网卡、网卡信息（MAC 地址）。

　验机完成后，设备自动进入已验机待分配状态，等待分配使用。

　功能页面如下图所示：

　 1.2.2.5 存储设备验机 存储设备验机信息包含设备基本信息和设备配置信息。

　基本信息：补充登记设备出厂编号、是否有无线蓝牙等装置。

　配置信息：补充登记主机序列号、是否有操作系统（默认选择是）、操作系统、操作系统版本、操作系统安装时间、是否有硬盘（默认选择是：记录硬盘序列号、硬盘容量、接口类型，同时支持记录多个硬盘）、是否有网卡（默认选择是：记录 MAC 地址，同时支持记录多个网卡）。

　验机完成后，设备自动进入已验机待分配状态，等待分配使用。

　功能页面如下图所示：

　 1.2.2.6 入库统计 显示已入库列表集合，列表信息包含设备来源、设备类型、入库时间、设备数量、未分配数量。点击查看详细进入本次设备入库详细设备列表集合。

　功能页面如下图所示：

　1.2.3 设备分配 设备分配功能包含设备使用申请、分配计划编制、设备分配、设备领用、信息设备分配统计。

　各单位有增加设备需求时，由各单位发起设备申请流程，经信息设备归口管理进行分配计划编制、设备分配，分配完成后通知设备申请单位领用设备，分配实体设备给各单位。

　设备分配统计主要有可分配设备统计和已分配设备统计，为分配计划提供决策依据。

　1.2.3.1 设备申请 日常生产活动中，各单位有设备使用申请需求时，发起设备使用申请。经信息设备归口管理部门根据各单位设备使用需求、部门当前设备数量、当前部门人员数量综合评估后分配设备所需设备，分配完成后通知各单位领取实体设备。

　设备使用申请包含设备使用申请单信息和申请设备明细组成。

　设备使用申请单信息包含：标题、单号、申请单位、申请人、申请人电话、申请原因、是否进行过年的投资申报、申请说明。

　设备使用申请明细包含：申请设备类型、设备责任人、设备密级、设备使用人、厂房位置、详细位置、设备用途、特殊要求。

　功能页面如下图所示：

　1.2.3.2 分配计划编制 由信息化主管部门负责人根据各单位设备使用需求，编制分配计划。

　系统提供可分配设备清单，用于决策服务。可分配设备清单包含，库存新设备清单及退库设备清单。设备分配负责人根据用户需求，编制分配设备的类型及型号。

　功能页面如下图所示：

　 1.2.3.3 设备分配 根据分配计划确定的设备类型及设备型号，分配具体设备给申请单位。

　功能页面如下图所示：

　1.2.3.4 设备领用 设备使用单位根据实际分配设备清单，领取设备。

　功能页面如下图所示：

　1.2.3.5 分配统计 显示可分配设备已入库列表集合，列表信息包含设备类型、型号、分配说明、数量入库时间、入库时间（如果是退库设备）。

　功能页面如下图所示：

　1.2.4 运行维护 1.2.4.1 接入 本模块用于各部门信息设备管理员发起本部门下属设备接入网络流程（注：设备只能在使用状态下发起接入网络流程），功能包含展示本部门可发起接入网络流程设备列表集合、发起申请设备接入网络流程、查看已发接入网络流程设备详细信息。

　1.2.4.2 维修 本模块用于各部门信息设备管理员发起本部门下属设备维修流程（注：设备只能在使用状态下发起维修流程），功能包含展示本部门可发起维修流程设备列表集合、发起申请设备维修流程、查看已发维修流程设备详细信息。

　1.2.4.3 报废 本模块用于各部门信息设备管理员发起本部门下属设备报废流程（注：设备只能在使用状态下发起报废流程），功能包含展示本部门可发起报废流程设备列表集合、发起申请设备报废流程、查看已发报废流程设备详细信息。

　1.2.4.4 变更 本模块用于各部门信息设备管理员发起本部门下属设备变更流程（注：设备只能在使用状态下发起变更流程），功能包含展示本部门可发起变更流程设备列表集合、发起申请设备变更流程、查看已发变更流程设备详细信息。

　1.2.4.5 退网 本模块用于各部门信息设备管理员发起本部门下属设备退网流程（注：设备只能在使用状态下发起退网流程），功能包含展示本部门可发起退网流程设备列表集合、发起申请设备退网流程、查看已发退网流程设备详细信息。

　1.2.4.6 密级变更 本模块用于各部门信息设备管理员发起本部门下属设备密级变更流程（注：设备只能在使用状态下发起密级变更流程），功能包含展示本部门可发起密级变更流程设备列表集合、发起申请设备密级变更流程、查看已发密级变更流程设备详细信息。

　1.2.4.7 退库 本模块用于各部门信息设备管理员发起本部门下属设备退库流程（注：设备只能在使用状态下发起退库流程），功能包含展示本部门可发起退库流程设备列表集合、发起申请设备退库流程、查看已发退库流程设备详细信息。

　1.2.4.8 启用 本模块用于各部门信息设备管理员发起本部门下属设备启用流程（注：设备只能在使用状态下发起启用流程），功能包含展示本部门可发起启用流程设备列表集合、发起申请设备启用流程、查看已发启用流程设备详细信息。

　1.2.4.9 停用 本模块用于各部门信息设备管理员发起本部门下属设备停用流程（注：设备只能在使用状态下发起停用流程），功能包含展示本部门可发起停用流程设备列表集合、发起申请设备停用流程、查看已发停用流程设备详细信息，设备停用后，可重新分配设备。

　1.2.4.10 计算机不实施安全防护措施备案 本模块用于各部门信息设备管理员发起本部门下属设备计算机不实施安全防护措施备案流程（注：设备只能在使用状态下发起该流程），功能包含展示本部门可发起计算机不实施安全防护措施备案流程设备列表集合、发起申请设备计算机不实施安全防护措施备案流程、查看已发计算机不实施安全防护措施备案流程设备详细信息。

　1.2.5 设备台账 1.2.5.1 模板列表 显示当前已制定的模板列表集合。

　此功能包含根据模板名称、模板状态、模板分类查询。

　展示列表信息模板名称、模板类别、模板说明、创建人、创建时间、状态。点击添加模板进入模板添加功能页面，点击编辑进入编辑模板功能页面，点击数据预览进入模板数据预览功能页面，点击复制模板复制当前模板，点击停用模板停用当前模板。

　功能页面如下图所示：

　1.2.5.2 添加模板 此功能用于添加信息设备导出模板。模板包含模板名称、模板分类、模板名称。过滤条件包含过滤字段、条件（类别属性）、过滤值、排序。

　模板添加成功后，默认状态为使用人，面向企业各部门开发导出台账数据。

　注：信息设备归口部门默认导出满足模板条件的所有信息设备。公司各部门默认导出满足模板条件的本部门信息设备。

　功能页面如下图所示：

　1.2.5.3 模板编辑 此功能用于编辑已制定的模板。

　模板包含模板名称、模板分类、模板名称。过滤条件包含过滤字段、条件、

　过滤值、排序。

　模板编辑成功后，默认状态为使用人，面向企业各部门开发导出台账数据。

　注：信息设备归口部门默认导出满足模板条件的所有信息设备。公司各部门默认导出满足模板条件的本部门信息设备。

　功能页面如下图所示：

　1.2.5.4 数据预览 此功能用于根据模板预设条件，展示符合模板条件的设备数据。数据预览样式即为导出后 Excel 表数据样式。

　功能页面如下图所示：

　1.2.5.5 模板复制 此功能用复制模板。于查看设备详细信息，设备详细信息包含设备基本信息、配置信息、设备接入信息、设备全生命周期信息。

　1.2.5.6 模块停用 此功能用已使用的模板停用操作，停用后将不对外开发导出模板。

　1.2.5.7 台账导出 此功能用于导出信息设备数据，数据来源为信息设备归口部门已制定并在使用中的模板，默认模式数据加载当前部门所拥有的信息设备数据。

　展示列表信息包含：模板名称、模板类别、模板说明、创建人、创建时间。点击导出发起设备数据导出指令，由系统根据模板预制条件导出所有信息设备Excel 数据。

　功能页面如下图所示：

　1.2.6 设备借用 1.2.6.1 设备借用 此功能用于发起设备借用申请活动，申请表单包含申请单位、申请人、领取人、联系电话、使用人、借用时间、联网类别、使用地点、从事工作或事项名称和密级、事由、接口和端口开发需求（包含：只读光驱、刻录光驱、USB、打印输出）、光盘介质编号/密级、是否对外导入导出、用途、软件安装需求、需要借用的设备类型、设备密级。

　功能页面如下图所示：

　1.2.6.2 借用台账 此功能用于展示已经借出去的设备列表集合。

　展示列表信息包含资产号、设备类型、设备名称、设备密级、借用时间、预计归还时间、申请人、申请单位、设备状态。

　功能页面如下图所示：

　 1.2.7 硬盘监控 监控计算机设备运行维护过程中，涉及硬盘的挂载及硬盘的报废处理过程。严格记录硬盘流向，实时定位硬盘的物理位置。

　1.2.7.1 硬盘流向监控 显示当前正在使用的计算机硬盘列表集合。

　此功能包含根据查询条件查询当前计算机硬盘，查询条件包硬盘序列、关联资产、使用密级、监控源头、使用状态。

　展示列表信息包含硬盘序列号、关联资产、硬盘来源、监控源头、卸载来源、使用密级、使用情况。点击查看配置设备，进入硬盘挂载设备详细信息页面。

　此功能数据来源于日常计算机挂载硬盘记录数据。

　 硬盘挂载入口来源以下运维流程：

　1) 计算机设备领用； 2) 设备硬件变更硬盘挂载； 3) 设备维修挂载硬盘； 4) 设备退库挂载硬盘； 5) 计划外设备上账（含专用设备）； 功能页面如下图所示：

　 1.2.7.2 硬盘交接 显示当前已被拆卸，未被等待报废的硬盘列表集合。

　此功能包含根据查询条件查询当前计算机硬盘，查询条件包硬盘序列、关联资产、使用密级、监控源头、使用状态。

　展示列表信息包含硬盘序列号、关联资产、硬盘来源、监控源头、责任人、密级、使用情况。点击“提交报废”进入硬盘报废申请功能页面。

　此功能硬盘数据来源于日常计算机卸载硬盘记录数据。

　 硬盘卸载入口来源以下运维流程：

　1) 设备退库卸载硬盘； 2) 设备维修卸载硬盘； 3) 设备报废卸载硬盘； 功能页面如下图所示：

　1.2.7.1 硬盘报废 此模块用于硬盘物理报废管理人员接收，计算机设备维修人员提交的硬盘报废申请，硬盘接收完成后，硬盘使用状态为“待报废”，等待实际物理报废。

　业务含义：计算机设备维修人员在日常维修工作中，拆卸的计算机硬盘，通过系统硬盘交接功能提交硬盘报废申请。报废申请通过后，计算机设备维修人员拿已通过报废申请的硬盘，交给硬盘物理报废管理人员保管。硬盘物理报废管

　理人员通过此功能进行接收处理，接收后表示计算机设备维修人员已经把实物硬盘已经交给硬盘物理报废管理人员，等待物理报废处理。

　展示列表信息包含硬盘序列号、硬盘来源、监控源头、上报人、上报时间、使用密级、使用情况。点击“接收”进入硬盘接收功能页面。

　此功能数据来源硬盘交接功能，发起的硬盘申请报废记录。

　功能页面如下图所示：

　1.2.8 IP 地址池 1.2.8.1 IP 资源管理 此用能用于管理所有网络资源，为网络设备提供网络资源基础服务。

　此功能包含根据查询条件查询 IP 资源信息，查询条件 VLAN、汇聚点、厂房、部门、IP 地址、密级、配置设备类型、使用情况。

　展示列表信息包含 VLAN、汇聚点、厂房、部门、IP 地址、密级、配置设备类型、使用情况。点击修改进入 IP 信息修改功能页面。点击查看配置设备，进入 IP 地址所配置的设备详情信息页面。

　功能页面如下图所示：

　 1.2.8.2 IP 资源登记 此功能用于录入网络 IP 资源。

　录入 IP 资源表单信息包含设备类型、设备用途、汇聚点、VLAN、厂房、部门、批量添加、备注。

　IP 资源重要属性说明：

　设备类型：标识当前 IP 可以分配的设备类型如（IP 电话、计算机、交换），此属性用于网络设备接入时，系统自动根据待接入设备类型，推荐可使用的网络资源；

　设备用途：标识当前 IP 可以分配的设备用途，此属性用于网络设备接入时，系统自动根据待接入设备用途，推荐可使用的网络资源；

　汇聚点：标识当前 IP 可以使用的物理位置；

　VLAN：标识网络空间下，当前 IP 可以被使用的网络位置。；

　厂房：标识当前 IP 可以使用的物理位置，此属性用于网络设备接入时，系统自动根据待接入设备所属责任单位，推荐可使用的网络资源；

　部门：标识当前 IP 可以分配责任单位，此属性用于网络设备接入时，系统自动根据待接入设备类型，推荐可使用的网络资源； IP 地址与可配置设备具体规则如下图：

　 1.2.8.3 IP 资源回收 此功能用于运维流程过程中，IP 资源的回收。

　在设备报废、变更、停用、退网等流程处理完成后，设备原设备使用 IP 发生变化或不在使用时，将原使用 IP 回收至 IP 地址池。

　1.2.9 配件管理 本模块用于各部门信息设备管理员发起本部门下属设备维修流程（注：设备只能在使用状态下发起维修流程），功能包含展示本部门可发起维修流程设备列表集合、发起申请设备维修流程、查看已发维修流程设备详细信息。

　1.2.9.1 配件管理 此功能用于配件入库。

　配件入库申请单信息包含物资类型（硒鼓、HDMI 线、电源、主板、显卡、CPU、内存、键盘、鼠标、显示器、光驱、网卡、投影仪灯泡、硬盘、其他（非维修消耗品））、物资编码、物资名称、型号、规格、品牌、生产厂家、计量单位、计划价。

　功能页面如下图所示：

　 1.2.9.2 配件申请 此功能用于配件使用人员申请所需配件，申请信息包含申请人、申请单位、申请时间、申请配件列表信息。申请完成后，配件责任人自动变更为申请者。

　功能页面如下图所示：

　 1.2.9.3 我的配件 此模块用于显示责任人已拥有的配件。

　列表显示包含配件类型、物资编码、成品名称、型号、规格、品牌、已领总数、剩余总数。

　重要信息说明：

　已领总数：表示此类配件责任人已经申请的总数； 剩余数量：表示此类配件责任人剩余数量（此数量由配件已领总数减去移交数量，减去估损数量，减去使用数量）；

　功能页面如下图所示：

　1.2.9.4 配件总览 本模块用于配件管理员查看设备维修人员分别拥有哪些配件，以及配件的类型数量使用情况。

　1.2.10 设备台账信息校验 通过与 XXXXXXXX 科技有限公司 ASM 准入产品 6000 对接，获取终端计算机信息，自动校验系统设备台账信息功能，并对存在差异的设备提供报警功能。

　计算机校验内容如下：

　 设备名称  处理器  硬盘  光驱  声卡  PCMCIA 口  串行口  内存  网卡  显卡  并行端口

　1.2.11 信息共享服务 1.2.11.1 设备数据共享系统备案管理 对调用信息化运维监管系统信息设备数据的外部应用系统进行备案管理。外部应用系统备案内容包含应用系统编码、应用系统名称、应用系统 IP 地址。外部应用系统备案信息将作为系统设备信息共享信任凭证。

　1.2.11.2 设备数据共享服务接口管理 针对已备案的外部应用系统提供专用的信息设备数据共享接口，接口信息包含，接口地址，是否关闭（控制访问权限），接口说明，参数说明等。

　1.2.11.3 设备数据共享服务审计管理 对调用信息化运维监管系统信息设备共享接口服务的行为统一纳入数据共享服务审计管理，支持查看外部应用系统调用接口详细情况。

　1.2.12 设备台账信息查看 1.2.12.1 设备 信息查看 本模块用于查看设备详细信息，设备详细信息包含设备基本信息、配置信息、设备接入信息，并根据不同设备类型显示不同信息要素。

　设备基本信息包含：设备类型、设备统一编号、密级、设备用途、厂房位置、详细位置、是否联网、责任单位、责任人、设备名称、使用人、设备型号、固卡状态、供应商、财务类别、购买日期、启用日期、报废日期、设备来源、资产价值、订单/合同编号、任务编号、出厂编号、是否有无线蓝牙装置。

　配置信息包含：光驱、操作系统、操作系统版本、操作系统安装时间、主机序列号、验机备注、硬盘信息、网卡信息、内存信息、CPU 信息、显卡信息、显示器信息、软件安装信息、外设信息。

　接入信息包含：网卡 MAC、接入网络、IP 地址、端口。

　全生命周期展示：展示设备生命周期内所有业务活动信息。

　功能页面如下图所示：

　1.2.12.2 设备全生命周期查看

　1.2.13 应用系统全生命周期管理 1.2.13.1 规划立项管理 包含应用系统规划设计流程、应用系统立项论证流程，通过应用系统规划设计流程和应用系统立项论证流程建立应用系统台账。

　1.2.13.2 建设管理 应用系统建设流程。

　1.2.13.3 运行管理 包含应用系统试运行流程、应用系统风险评估流程、应用系统试运行流程。

　1.2.13.4 废止管理 包含应用系统废止流程。

　1.2.13.5 应用系统台账 1.2.14 信息系统运维管理 系统提供信息系统运维管理模块，包含信息系统台账、自评估报告、审计报告、运维报告、上下线变更、配置变更、策略变更、技术支持流程。

　1.2.15 软件资产管理 1.2.15.1 软件资产备案 提供软件资产的注册及备案管理，备案信息包含软件资产统一编号、软件名称、模块、产品描述、密级、数量、重要程度、序列号/许可文件、生效日期、

　有效日期（月）、使用单位、系统平台、安装地点/服务器、授权点。

　1.2.15.2 软件资产有效目录 展示软件资产有效目录，提供软件资产 License（授权文件）到期自动提醒功能。

　1.2.16 决策支持看板 1.2.16.1 普通用户 系统支持通过图表展示个人拥有设备类型和数量，提供决策分析服务

　1.2.16.2 部门设备管理员 1、系统支持通过图表展示部门拥有设备类型和数量；

　2、系统支持通过图表展示部门拥有设备发起的所有流程完成情况。

　1.2.16.3 部门主管领导 1、系统支持通过图表展示本部门所有设备类型和数量； 2、系统支持通过图表展示当前部门计算机设备按密级分类统计。

　1.2.16.4 信息化主管领导 1、系统支持通过图表展示所有进行维修的计算机设备和数量； 2、系统支持通过图表展示所有变更流程的计算机设备和数量； 3、系统支持通过图表展示验机功能模块已验机设备的类型和数量； 4、系统支持通过图表展示使用申请流程分配出去的设备统计图表； 5、系统支持统计现有库中所有设备库存情况； 6、系统支持统计已分配设备情况。

　1.2.16.5 设备归口部门主管 1、系统支持通过图表展示本部门所有归口台账数量； 2、系统支持通过图表展示归口部门台账部门分布情况。

　1.2.16.6 设备运维人员 1、系统支持通过入库功能模块进入系统的台账统计图表； 2、系统支持通过设备使用申请流程分配出去的设备统计图表； 3、系统支持通过退库流程退库的设备台账统计图表； 4、系统支持统计现有库中所有设备库存情况； 5、系统支持通过报废流程报废的台账统计图表。

　1.2.16.7 运维流程评价模型 系统设备接入流程、设备变更流程、设备维修流程、设备密级变更流程、设备借用流程、设备退库流程、设备停用流程、设备启用流程、设备报废等流程支持用户评价模型，每个流程走完以后，形成用户综合流程执行效率数据，为流程每个关键执行节点进行流程评价。

　可输出流程评价排名，为流程优化提供数据支撑。

　1.3 系统集成介绍 1.3.1 系统数据集成 系统集成采用公司自主研发的 SDDateFlow 组件，SDDateFlow 是基于可视化流程设计的数据分发平台，是大数据的搬运、提取、推送、转换、聚合、分发的应用系统工具，能够与 Hadoop 生态系统的大数据存储和各种文件、REST 服务、SOAP 服务、消息服务等联合使用，构成一体化的数据流服务。该组件支持各种集成方式，包括但不限于：JDBC、SYSLOG、UDP、TCP、HTTP、webSerice 等方式。

　SDDateFlow 组件是一个易于使用、功能强大而且可靠的数据拉取、数据处理和分发系统用于自动化管理系统间的数据流。它支持高度可配置的指示图的数据路由、转换和系统中介逻辑，支持从多种数据源动态拉去数据。它基于 WEB方式工作，后台在服务器上进行调度。用户可以为数据处理定义为一个流程，然后进行处理，后台具有数据处理引擎、任务调度等功能。

　通过 SDDateFlow 组件，系统具备从指定授权系统获取相关数据，导入到系统中。

　1.3.2 国资系统集成 系统向思必得开发的国资系统提供设备入库接口，自动获取国资系统设备入库信息，作为系统设备入库信息的唯一来源。

　1.3.3 对外系统集成 系统“信息共享服务”模块，具备对外提供信息设备数据共享服务能力，对享受数据共享服务的外部系统进行注册、数据服务、审计等，进行集中管控。

　1.4 基础服务介绍 1.4.1 公共基础服务平台 公共基础服务平台，通过建立平台所需的构件库和运行容器，为上层业务功能提供运行所必须的数据微服务接口，构件库包括：SD-Aas，SD-DateModel，SD-From，SD-Flow，SD-Charts，SD-Reports，SD-Conten，SD-DateFlow。基础构件库的建立和运行，充分保障了设备运维业务的可配置、可扩展、可运维模式，包括：

　1) 基于三员分立的涉密应用系统安全管理，涵盖：统一用户身份鉴别(Authentication)、统一资源授权(Authorization)、统一账户管理(Account)、统一安全审计(Audit)的 4A 管理模式； 2) 基于实时数据流式的单点登录和待办待阅的业务工作模式，涵盖：http、webservice、JDBC 集成模式； 3) 基于实时数据流式的基础数据集成模式，包括：企业的组织和人员方面的基础数据； 4) 基于最小业务域的数据微服务管理模式，涵盖：通用业务数据服务组件(SD-JsonSql)、通用消息服务组件(SD-Message)和平台数据服务组件(SD-ESB)；

　1.4.2 标准事务发布平台 标准事务发布平台，结合国家法律法规和企业信息设备管控制度，抽象信息设备管控业务，提取本企业的信息设备管控相关事项，以明确信息设备管控工作事项和管理目标。通过这种方式的发布管理，可以达到如下方面的好处：

　明确国家法律法规和企业信息设备管控制度所涉及的信息设备管控事项，让信息设备管控工作有法可依，合规进行； 依据国家法律法规和企业信息设备管控制度，可以自动形成应对上级检查的档案目录，让应对上级保密检查不在盲从； 1.4.3 模型配置管理平台 模型配置管理平台，结合国家法律法规的管理要求，初始化信息设备所涉及的管理业务和管理要素，并可结合企业实际的管理业务进行配置和发布管理，其主要功能包括：

　数据源管理，用于指定信息设备管控业务所涉及的数据模型数据库访问管理； 元数据管理，用于配置信息设备管控业务所涉及的单个信息要素； 数据集管理，用于配置信息设备管控业务所涉及的管理对象全生命周期的数据集结构； 同时，根据信息设备管控业务的归口管理情况，进行管理对象的部门级数据权限管理。

　1.4.4 业务流程管理平台 日常业务工作流程化、标准化、制度化是提高组织效率的最佳选择。平台采用 BPMN2.0 工作流程规范，让管理制度和业务流程在信息化的表现上，充分保障理解和说明达成一致。

　BPMN（Business Process Model And Notation）-业务流程模型和符号是由国际业务流程促进会（Business Process Management Initiative）开发的一套标准的业务流程建模规范，其严格定义了 7 类流程对象，包括：事件、任务、网关、数据、连接对象、泳道、工作/工作组。系统遵循和使用 BPMN2.0 流程规范进行流程开发和设计，其流程设计效果如下图：

　1.4.5 公共组件介绍 1.4.5.1 表单设计器组件(SDForm) SDForm 易于使用的在线表单设计组件，为业务数据设计表单和收集数据，在线定义表单，界面操作简单，拖动 HTML 元素组件即可，并集成各种验证组件，SDForm 自带多种样式模板。HTML 元素组件丰富，常用组件有：文本框、多行文本、下拉菜单、单选框、复选框、宏空间等。

　 1.4.5.1 流程设计器组件(SDFlow) SDFlow 基于 BPMN2.0 组件，结合国内实际需求，进行了深度的定制改造，扩展了例如：并行会签模式、异或分支选择；条件路径分支、异或聚合、并行聚合、多路聚合等功能特性。BPMN2.0 定义了 7 类流程对象，包括：事件、任务、网关、数据、连接对象、泳道、工作/工作组。

　1.4.5.1 图表设计器组件(SDCharts) SDCharts 是一个基于 ECharts 实现的可视化库，可以流畅的运行在 PC 和移动设备上，底层依赖轻量级的矢量图形库 ZRender，提供直观，交互丰富，可高度个性化定制的数据可视化图表。SDCharts 提供了常规的折线图、柱状图、散点图、雷达、漏斗、环形、饼图、K 线图，用于统计的盒形图，用于地理数据可视化的地图、热力图、线图，用于关系数据可视化的关系图、旭日图，多维数据可视化的平行坐标，还有用于 BI 的漏斗图，仪表盘，并且支持图与图之间的混搭。

　 1.4.5.1 模板设计器组件(SDTemplate) SDTemplate 可在 word 文档 Excel 表格中配置简单参数与系统结合便能形成企业标准的文档格式，并进行电子归档。

　 1.4.5.1 数据实时流式组件(SDDateFlow) SDDateFlow 是基于可视化流程设计的数据分发平台，是大数据的搬运、提取、推送、转换、聚合、分发的应用系统工具，能够与 Hadoop 生态系统的大数据存储和各种文件、REST 服务、SOAP 服务、消息服务等联合使用，构成一体化的数据流服务。该组件支持各种集成方式，包括但不限于：JDBC、SYSLOG、UDP、TCP、HTTP、webService 等方式。

　 1.5 非功能性介绍 1.5.1 可用性设计 系统具有良好的可用性设计，系统并发数>400 人以上，并支持增加服务器硬件配置提高系统性能，可支持人数>1500 人，年故障率 < 0.01%。以用户体验为中心。通过在早期关注普通用户的需要，根据用户需要改进设计，具有良好的人机交互界面，平均页面响应时间 < 400 毫秒，系统启动生效时间不超过 1 分钟。

　对系统使用的所有操作应进行有效管控，以满足法律、法规等要求；在实施有效管控的基础上，操作应尽可能便捷，流程尽可能优化，以缩短流程等待时间，提升办事效率。

　系统通过专业人员设计，提供了类似当今流行的扁平化操作图标和界面，用户可以根据自己的需求非常便捷迅速地定制自己的菜单和工作界面，具有良好的易用性。系统便于学习，描述清晰，用户通过发现、学习就能轻松掌握系统功能，易于使用。

　1.5.2 安全性设计 系统采用统一身份认证技术，支持账户的登录失败锁定和超时退出等功能。同时，依据安全保密要求，建立系统登录日志审计、模块操作审计、数据操作审计、账户权限管理等机制。

　采取切实可行、稳妥可靠、符合相关标准的安全措施，切实保证系统和信息的安全。在系统设计、建设和应用中既要考虑大量公共信息的采集、存储、处理，也要充分考虑涉密信息的采集、存储、处理和利用等安全问题。同时也注重系统实用性，在满足信息、系统安全的前提下，采用前沿技术、以解决实际需求的专有解决方案来提升系统的实用性。

　统一规划、建设，上下一盘棋，发挥规模优势、节约投资、便于运维，同时，避免数据和交换壁垒，实现共建共享；建立一支政治和专业技术过硬的队伍，同时以用户使用为导向，并坚持边建边用，以用促建的模式。

　1.5.3 身份鉴别设计 系统提供专用的登录控制模块对登录用户进行身份标识和鉴别，提供基于用户名/口令与 UKEY 的 CA 认证登录模式：

　（1）

　用户名/口令模式 用户可通过用户名以及对应的口令登录系统，当用户输入完用户名和口令之后，系统将采用 MD5 或 3DES 的加密算法对用户口令进行加密，并与数据库中的内容进行比对，得出该用户是否具有登录本系统的权限。

　（2）

　CA 认证模式 利用数字证书在用户公钥后附加了用户信息及 CA 的签名。公钥是密钥对的一部分，另一部分是私钥。公钥公之于众，谁都可以使用。私钥只有自己知道。由公钥加密的信息只能由与之相对应的私钥解密。为确保只有某个人才能阅读自己的信息，发送者要用接受方的的公钥加密信息；接收方便可用自己的私钥解密信息。同样，为证实发送方的身份，发送者要用自己的私钥对信件进行签名；收件人可使用发送者的公钥对签名进行验证，以确认发送者的身份。

　用数字证书加密信息，可以确保只有接收者才能解密、查看数据信息，信

　息在传递过程中的保密性和完整性。有了数字证书网上安全才得以实现，数据的安全才能得到保证。主要特点有：

　 保密性：只有权限的用户才能访问信息。

　 认证性：确认信息发送者的身份。

　 完整性：信息在传递过程中不会被篡改。

　 不可抵赖性：发送者不能否认已发送的信息。

　 安全性：保证请求者与服务者的数据交换的安全性 2.2. 访问控制设计 系统对安全问题有较高的要求，传统的访问控制方法 DAC（Discretionary Access Control，自主访问控制模型）、MAC（Mandatory Access Control，强制访问控制模型）难以满足复杂的需求。因此我们采用了基于角色的访问控制方法，实现了用户与访问权限的逻辑分离。

　系统实现 RBAC（Role Based Access Control）的基本思想，在此基础上，为系统中提供 R-F-RBAC（Role-Function-Resource Based Access Control，基于角色-功能-资源的权限控制）的一种具体方法。

　一个角色可定义多个功能或资源的操作能力。

　一个用户可归属于多个角色，同时继承用户组的能力。

　功能或资源操作定义采用了：允许或拒绝的方式（原则上默认为拒绝）。如果对同一功能同时存在允许和拒绝定义（不管是用户还是用户组定义，是直接声明或继承声明），系统采用拒绝定义。

　2.3. 安全审计设计 系统数据敏感，需要有全面的权限体系来控制不同类型用户的数据访问能力，同时也需要有完善的审计体系跟踪用户对数据的访问行为。

　提供安全组件保证应用系统的全程行为审计，深度掌握用户在应用系统的行为。包括了：

　 谁在什么时间、哪个地方访问过哪个页面

　 谁在什么时间、哪个地方执行过什么功能

　 谁在什么时间、哪个地方查看过什么数据

　 谁在什么时间、哪个地方更改过什么数据

　通过启用数据对象及关注属性的审计能力，日志信息不仅是某某修改了数据，对于关注属性值，如果有变化，则会进一步记录从什么值变为什么值。

　1.5.4 易用性设计 采用浏览器界面，操作便捷，易学易用。菜单、报表等界面元素符合国人习惯。

　系统界面清晰，功能描述准确，还提供了大量的在线帮助，普通的使用人员通过菜单功能和界面提示向导即可迅速掌握系统的使用，准确的执行和完成自己的所需的功能。

　1.5.5 稳定性设计 系统架构自主可控的微服务架构和MVVM的前后端分离模式进行分布式体系设计。系统在 7*24 小时高压环境中连续运行情况下，也能确保业务不受影响。在异常发生后，可以向其它系统如统一告警平台发出告警信息，提示监控人员注意。并具有一定的自我恢复能力。

　1.5.6 兼容性设计 系统采用 J2EE 进行设计，支持市面流行的网络浏览器，因为采用 Java 语言设计开发，故具有良好的跨平台部署和运行的能力，具有强大的平台部署和使用兼容性。

　系统采用典型的 B/S/D 架构和五层体系架构（数据接口组件层、数据采集传输层、数据存储搜索层、数据分析组件层和安全管理展现层），系统采用模块化设计，拥有多层次的分布计算能力和多级灵活的大规模部署能力，具备极强的二次开发能力和兼容性，能支持现有信息系统和将要新建的系统。同时，在国产化兼容性方面也做了充分的测试，可兼容主流的 OS 和 DB。

　1.5.7 扩展性设计 系统支持业内主流的应用系统通信技术及接口协议，包括：Http、jdbc、

　webservice、tcp 等方式的信息采集，并且可以通过定制开发，支持对非标准设备的信息采集。

　系统可以通过部署采集器组件，来扩展信息采集范围，满足后续的网络扩容需求。

　系统通过常用的 HTTP REST、SOCKET 等接口，可以实现与外部第三方系统的互联互通和互操作。

　系统通过可扩展的模块化设计（SMA）方式实现了技术平台化和功能组件化，在统一平台的基础上提供了第三方开发组件，通过开发工具，在平台基础上开发特定安全功能，方便快捷地实现新的系统功能的开发。

　系统通过微服务架构和容器化环境提供业务的横向和纵向的动态扩展和弹性伸缩能力，在系统开发和运维上提供一致的环境保障和运行的灵活性。

　1.5.8 高内聚设计 系统采用面向对象的 J2EE 进行设计，通过建立领域模型明确模块的单一责任原则，每个模块都严格遵循功能内聚、顺序内聚、过程内聚、逻辑内聚等软件设计开发原则，充分保障系统功能模块的独立性和明确性，保障系统的稳定可靠。

　1.5.9 松耦合设计 系统严格进行五层分隔，在每层中实现接口定义与接口实现、服务定义与服务实现等分离。通过这种系统架构设计尽可能的使其模块单独独立存在，独立完成特定的目标和功能，降低与其他模块的依赖关系，保障系统的扩展性和稳定性。

　服务组件以分布式模式设计、开发和部署，并引入业务流程编排技术，有效降低服务组件之间的耦合性，同时也提升服务组件的重用性。前端采用主流MVVM 模式开发，加之服务化设计，将前端设计开发和后端业务处理实现分离，业务交互与业务处理可分别开发、升级维护而互相不会影响，只有保证通信接口标准一致。