《政务通平台建设方案.docx》由会员分享,可在线阅读,更多相关《政务通平台建设方案.docx(18页珍藏版)》请在课桌文档上搜索。
1、政务通平台建设方案1、背景与现状概述42、建设目标53、建设原则54、总体需求65、建设内容75.1、 主要建设内容75.1.1、 平台应用服务系统85.1.2、 政务通APP设计85.1.3、 手机证书服务中心设计85.1.4、 平台部署与整合设计85.2、 政务通APP建设要求85.3、 各应用系统建设要求135.3.1、 统一认证服务系统135.3.2、 移动应用管理服务系统145.3.3、 移动应用整合服务系统14534、即时通信服务系统145.4、 手机证书中心建设要求155.4.1、 建设目标165.4.2、 建设内容166、安全要求176.1、 平台端186.2、 链路端186.
2、3、 终端187、性能要求197.1、 项目开发标准197.2、 系统性能要求191、背景与现状概述随着互联网的飞速普及,移动端的装机量已经超越PC终端,成为人们主要的信息访问入口,由此信息系统向移动端迁移的趋势已经不可逆转。根据上述的趋势分析,政府各有关部门的办公类、信息类、执法类等各电子政务、业务类信息系统将逐步向移动端转移,预计在三到五年内,移动终端将代替PC终端成为公务员、社工等各类政府工作人员的主要工作界面。在上一轮电子政务系统的建设过程中,由于种种原因,存在条重块轻,各条线应用系统成为信息孤岛的重大问题,因此,在本次政务类移动应用的建设热潮中,需要特别警惕类似现象的再次产生,避免移
3、动应用成为第二轮的信息孤岛。认真贯彻落实科学发展观,以政府电子政务“十三五”发展规划、智慧城市建设三年行动计划和区政府工作要求为指导,紧密结合政府网站测评要求,充分借鉴国内外及兄弟区县的先进经验,遵从“多个部门、一个政府”的现代政府理念,切实体现“以公众为中心、以服务为导向”的原则,以实现“资源共享、互联互通”为突破口,借助互联网的发展趋势和新的技术优势,进一步提升和完善政府门户的规范性建设和高可用性建设,提高信息发布的时效性,完善信息服务覆盖范围,增强公众监督能力,进而促进政府职能转变,提高政府服务力,提升宣传形象。深入贯彻落实科学发展观,紧密围绕加快推进“四个率先”、加快建设“四个中心”和
4、社会主义现代化国际大都市的总体目标,严格按照政府自身建设要求,以提高社会管理能力和公共服务水平为重点,以整合资源、深化应用、创新服务、绩效管理为主线,全面加强电子政务建设与管理,努力构建与现代化行政管理要求相适应、与城市创新驱动和转型发展大局相一致、与信息网络技术发展水平相同步的电子政务发展新格局,有力促进“服务政府、责任政府、法治政府和廉洁政府”建设,服务本市经济社会的全面、协调、可持续发展。2、建设目标通过本项目建设,构建面向公务员、社工等各类政府工作人员的”政务通”平台,实现统一应用管理,建立区级应用仓库,实现部门研发的应用统一提交、统一管理,并加强对移动应用的管理工作;实现平台服务,逐
5、步将通讯录、行事历、便签、网盘、发通知、收发文、签报、预定会议室、文件内部流转等各类通用型办公应用转化为插件,作为平台基础服务,并拓展到移动端,降低各部门的资源、及人力负担,支持部门的日常工作。适应移动互联网的发展,新增二维码认证访问,实现移动政务办公互联网化。在“政务通”平台上搭建语音通信与即时通信功能,实现公务员的在线即时交流,进一步提升办公效率。提升“政务通”平台的总体安全性,采用业界先进的安全措施进行云管端的全面安全防护。3、建设原则本平台作为全区移动政务服务的重要支撑、管理平台,本次建设应遵循以下原则:3.1、 可靠性:系统必须稳定可靠,确保各项工作正常运转,实现7x24不间断运行,
6、不会因错误的操作或其它原因导致数据错误或系统失败,应提供完善的数据备份策略。3.2、 扩展性:随着全国政务信息化建设步伐的加快,计算机的作用将越来越得到显现。这要求所建系统应具有完备的系统维护、扩展功能,为系统今后功能扩展、升级留有接口。3.3、 先进性:方案不仅要适应技术发展方向,保证系统的先进性。同时也要兼顾成熟的计算机技术和应用的实用性。3.4、 安全性:作为全区政务服务的核心管理平台,由于传输的主要是政府内部的数据,故相关数据的安全性非常重要,应加强信息系统安全建设,堵塞信息安全漏洞,严防信息泄密。系统操作的重要模块应具备全程跟踪,日志查询功能。在系统受到干扰和人为破坏的时候应能保证数
7、据的安全性和一致性,保证对数据有完整的备份和恢复措施,具有一定的容错和容灾能力。3.5、 易管理性:系统设计基础操作要体现操作便捷、界面友好,符合现行有效并需继续沿用的管理模式和操作习惯。4、总体需求本平台的建设在总体方面应实现如下四大目标:4.1、 协助科委实现统一全区各个政务信息系统在移动端应用方面的建设与管理规范的目标,实现全区移动政务应用“统一技术规范、统一应用类型、统一实名认证、统一消息推送、统一发布与审核机制”这“五统一”的目标。4.2、 协助科委整合全区移动政务应用,建设区统一应用仓库及其配套的各项管理机制,实现实现全区移动应用注册、审批、测试、发布、点评、升级全流程一条龙管理。
8、4.3、 协助科委建成全区移动应用接口的统一管理,实现各个系统对外接口的实时状态监控、接口调用日志及其分析、调用错误报警和应急快速通报机制。4.4、 协助科委实现全区移动应用的统一入口,解决公务人员为了工作安装多个应用的痛点,实现全区移动端统一单点登录、统一消息传递、统一沟通交流。5、建设内容本平台总体上分为前后端2部分。前端是移动政务app,暂命名为“政务通”。政务通是政府工作人员的统一入口,要求同时支持安卓操作系统和QS操作系统。后端是移动政务服务平台,是SOA架构的服务系统和应用系统,负责整个平台的用户数据同步管理、前端APP功能支撑、系统管理、接口监控、权限分配、接口本平台为分布式部署
9、,在政务外网核心区需要部署一台同步服务器,负责将政务外网中的组织树、人员数据、网站集群信息等相关的数据同步到部署在政务外网DMZ区上本平台的数据中心中,同时本平台的相关业务数据、备份数据等也会被同步到政务外网的服务器上。核心区与DMZ区之间用网闸隔离。根据上述分析,本次招标的建设内容如下:5.1.1、 平台应用服务系统5.1.1.1、 统一认证服务系统5.1.1.2、 区移动政务应用管理服务系统5.1.1.3、 移动政务应用整合服务系统5.1.1.4、 即时通讯服务系统(功能)5.1.2、 政务通APP设计新增移动政务的业务,对接OA系统和“”门户网站及相关区级政务应用系统,为公务员和社工提供
10、移动政务的业务服务,从而实现政务的及时性和便捷化。5.1.3、 手机证书服务中心设计包括用户服务、应用服务、系统管理服务的功能。手机证书服务中心认证系统基于PKI/CA体系,为用户提供移动终端上的数字证书发放、证书安全认证、数字签名、数据加解密方案,从而满足用户在移动信息化应用过程中面临的身份真实认证、数据完整性和机密性保护、不可抵赖性等方面的需求。5.1.4、 平台部署与整合设计本平台是区级移动政务的单一入口,负责整合各个区级移动政务应用,因此接口的对接设计与整合工作是整个建设与实施过程中至关重要,起决定性意义的。这部分主要包括需要和相关平台与系统对接的接口规划和设计等。5.2、政务通APP
11、建设要求5.2.1、 前端功能要求以APP方式统一全区公务人员的移动政务应用访问,对接OA系统和“”门户网站及相关区级政务应用系统,为公务员和社工提供移动政务的业务服务,从而实现政务的及时性和便捷化。要求实现如下功能:521.1、 身份认证及整合单点登录其功能:521.1.1、 根据同步过来的用户名直接登录;521.1.2、 可指定手势密码;521.1.3、 实现整合入本平台的全区各移动政务应用的统一身份认证和单点登录功能;521.1.4、 二维码扫码登录功能521.1.5、 生物识别认证功能(支持人脸);521.2、 应用下载与管理功能:521.2.1、 应用仓库功能(发布、下载、点评、升级
12、功能);521.2.2、 在首页上实现功能区(在仓库下载应用后,在首页的专门区域摆放可以这些可以访问的应用图标,并实现分页展示;521.3、 交流沟通功能(类微信功能,没有朋友圈,但有群组公告等功能):5.2.13.1、通讯录;521.3.2、聊天(支持文字和语音两类);5.2.13.3、群组功能(创建群组、拉人入群、踢人、退出群组);5.2.134、群组管理功能(群公告、群相册、群共享文件夹);521.4、首页功能1.1.1、 1、显示图片新闻(直接与门户网站对接);1.1.2、 2、我的应用(根据下载的插件自动填加进入,可左右滑动);1.1.3、 43、部门信息(直接与门户网站对接);1.
13、1.4、 4、通知通告(直接与门户网站对接);1.1.5、 5、我的收藏(直接与门户网站对接);1.1.6、 6、通知管理;1.1.7、 4.7、二维码扫一扫(扫码登录);1.1.8、 8、常用功能:(1)、行事历(与协同OA对接);(2)、网盘功能(系统自带);(3)、便签纸条功能(备忘录形式,可保存,可指定以系统消息形式发送给指定用户,接收的用户可在纸条上回复,本功能系统自-44、TfT);521.5、 “我的”功能521.5.1、 显示、配置当前用户的各项基本信息、头像等内容;521.5.2、 配置手势密码;521.5.153、 识别配置;521.6、 通用功能:所有新闻、帖子浏览,带有
14、“语音朗读”功能;522、后端功能要求包括用户服务、应用服务、系统管理服务的功能、主要包含如下:522.1、 用户服务:522.1.1、 跨越内外网的组织树及用户信息的同步功能;522.1.2、 APP登陆端的控制(包括临时禁止、期限禁止登录等);522.1.3、 自定义用户分组(配合灰度发布);522.2、 应用服务:522.2.1、 贯穿应用的注册、测试申请、上线申请及其审批的全流程管理;522.2.2、 应用的发布管理(灰度发布);522.2.3、 软件仓库配置管理;注:灰度发布是本平台提出的一个概念,原先移动应用发布后,所有连入仓库的用户均可见到和下载,也就是非黑即白的概念,灰度发布则
15、是基于平台研发的“自定义用户分组”功能,在发布时可以指定任意用户分组内的用户可见可访问,这样就实现了分阶梯,渐进式,可控范围的应用发布机制,由于其领先于原先“非黑即白”的发布模式,在黑白之间可任意控制发布范围,形成灰度阶梯,因此称为“灰度发布”。522.3、 接口管理功能522.3.1、 接口状态监控与管理,包括:(1)、接口状态监测:通过接口以轮询方式,实时获知接口状态;(2)、接口状态预警:接口状态感知出错或超时立即启动预案,显示预警内容;(3)、故障接口临时接管:超过三次感知调用失败,系统理解切换接口指向,以“接口故障通告”临时接管,确保用户体验;(4)、危急值应急处置:超过三次感知调用
16、失败,立即根据配置的预案,通报相关的人员现场解决。522.3.2、 接口管理与配置522.3.3、 接口调用统计包括调用量、调用来源、失败次数、接管次数、预警次数、危机处置次数等;522.3.4、 运维管理功能(1)、预案管理:含巡检计划、资源备案、现场计划备案等(2)、通知通报(3)、危急值处置报告(4)、维护日志管理(5)、巡检报告管理522.4、 接口要求实现接口标准化,固定成四种标准模板,:A、同步表方式(例如组织树和用户同步);BnWebSerViCeS方式(与门户网站后台CMS对接);C、数据库直读方式(简单应用对接);D、网页直读方式(简单应用门户对接);为充分考虑政务数据传输的
17、安全性,app前台与服务端之间,后台与外部系统之间主要推荐WebSerViCeS接口,并对传输数据进行加密,同时推荐在链路层进行加密链接,这样从接口层、数据层和链路层都充分保证政务数据的安全传输。对于实在需要数据库直读等其他方式的接口,为充分保证安全性,考虑从两个方面开展安全措施:一是进行终端实名认证,确保访问终端是安全的;二是数据库内容加密。接口标准化后,应在后台管理系统上设置相关的接口管理模块,做到每个栏目的接口均可后台配置,以此提高应用配置的灵活性。522.5、 用系统建设要求522.5.1、 认证服务系统本系统功能需求如下:53.1.1、 建立稳定的接口体系,稳定、安全的进行政务内外网
18、之间的用户账号、组织树等基础信息的同步机制;53.1.2、 、通过同步到平台的用户账号、组织树等基础信息与人脸、手势等认证方式的挂钩,辅以短信确认,在平台端建立起一套建立面向全区各移动政务应用的单点登录、统一实名认证的机制;53.1.3、 在平台端针对用户账号建立管理模块,实现对用户账号的确认、控制、修改机制;53.1.4、 建立“自定义分组”功能,在组织机构之外,根据实际情况对特定用户建立任意的自定义分组,此项功能本次建设用于支撑区移动应用的“灰度发布”机制。未来自定义分组功能将逐步升级为区移动应用统一权限管理功能;53.1.5、 建立用户登录的控制和管理服务,管理员可临时禁止账号登录某应用
19、,可以设置账号在一段时间内允许或禁止登录某应用;53.1.6、 建立用户账号异常登录和修改的预警监测功能。5.3.2、 移动应用管理服务系统本系统功能需求如下:5.321、建立全流程的移动应用注册申报、接入审核、上线审核和发布管理/升级机制。5.3.2.2建立灰度发布机制。5.323、建立应用仓库管理功能,支撑前台APP。5.324、建立应用使用的统计分析和异常预警机制。5.3.3、移动应用整合服务系统本系统功能需求如下:533.1、建立区移动应用接口监控机制机制,通过轮询心跳监测的方法,对各个应用接口的状态进行实时的监测。533.2、建立区移动应用接口应急处置机制,一旦心跳监测报警,立即触发
20、接口应急接管和通报,并实时通报相关人员进行处置。5.3.33、建立巡检和应急工作管理机制,对巡检日志和应急处置工作进行管理和统计,并进行其执行效果进行年度总结评价,供运行维护费用的结算时参考。5.3.4、即时通信服务系统本系统支撑和赋能给前端APP实现“交流”功能的后端服务系统,主要功能需求如下:5.341、实现类微信的点对点聊天功能,需要支持发送文字、表情、语音、图片、短视频、位置等功能。5.342、实现类微信的群组功能,可自定义群组,需要支持发送文字、表情、语音、图片、短视频、位置等功能。5.3.43、实现群内论坛和公告(“碰头会”)功能。5.344、实现通讯录与平台全面整合功能。53.4
21、.5、实现内外网即时通信平台交互对接功能5.4、手机证书中心建设要求信息化的迅猛发展,政府、企业、机构等不断增加的业务系统,各组织信息系统之间、组织内不同信息系统之间,以及组织业成员与信息系统之间,越来越多地通过网络进行交互。如何保证组织内网安全方便地开放业务,保证各组织信息系统之间、组织内不同信息系统之间,以及组织成员与信息系统之间通过互联网实现安全高效地互通,已经成为一种广泛基础的需求。随着移动终端和移动互联网应用逐步深入和广泛,未来越来越多的关键应用过移动终端和移动互联网实现,如何解决移动开放终端和开放网络带来的信息安全问题,为用户和组织实现无所不在无时不在的应用保驾护航,一直是移动互联
22、网应用的关键问题。以PKI/CA技术为核心构建网络安全信任保障体系,实现身份真实性认证、信息完整性和数据一致性验证、业务行为责任界定和事后责任追溯的常见方案和技术,是目前国际国内公认成熟适用的技术机制,已经在政府、金融、电信、企业等领域大面积应用,同时PKI/CA也是信息安全等级保护制度以及国家信息和网站运营主管部门、安全主管部门、保密部门、密码管理部门等多部门齐抓共管的信息安全体系建设要求。手机证书认证系统基于PKI/CA体系,为用户提供移动终端上的数字证书发放、证书安全认证、数字签名、数据加解密方案,从而满足用户在移动信息化应用过程中面临的身份真实认证、数据完整性和机密性保护、不可抵赖性等
23、方面的需求5.4.1建设目标541.1、 即使用户帐号和Pin码被盗,盗取者也不能冒用用户身份在其它终端进入用户账户系统。541.2、 2、抗撞库攻击。1.2、 13、即使用户手机被盗,盗取者也不能使用,并且系统后台可以对终端进行远程锁定或销毁。541.4、 黑客不能在其它手机上复制用户手机数据,复制无效。541.5、 5、黑客不能通过篡改手机支付客户端进行钓鱼攻击,钓鱼无效。541.6、 黑客不能篡改交易数据,篡改无效。541.7、 建设内容5.421、 移动证书发放5.421.1、 移动终端实现证书发放支持白名单管理模式:5.421.2、 管理员绑定用户身份和手机号信息,生成用户白名单。5
24、.421.3、 用户打开手机APP,身份认证登录之后,下载、安装个人数字证书。5.421.4、 手机证书申请下载示例如下图6-39所示:5.422、 扫码认证5.422.1、 用户访问应用系统登录访问页面,页面上显示随机的登录二维码;5.422.2、 用户打开手机端手信签APP应用,进行数字证书认证登录;5.422.3、 登录后通过手信签APP扫码PC端登录页面二维码;5.422.4、 手信签APP向统移动安全认证服务器提交登录二维码信息;5.422.5、 移动安全认证服务器向应用系统通知登录二维码随机数和手机证书认证结果数据;5.422.6、 PC端登录页面显示登录成功,进行登录后页面跳转。
25、5.423、 证书数字签名个人手机证书APP为用户提供数字证书申请、管理和电子签名功能,作为个人的通用数字签名系统,当用户在各类应用系统(Web应用、CIient应用、移动APP应用、PDA应用等各类终端应用)中需要登录认证和电子签名时,由移动安全认证服务器面向应用服务端提供通用的后台接口,接收待签名数据和待签名用户信息,然后由移动安全认证服务器推送到手机证书APP应用中实现证书签名。6、安全要求在信息安全方面,要求如下:原则上必须基于等保三级的标准进行建设。平台总体上分为“云管端”三部分,也就是平台端、链路端和终端,建设必须按照如下要求进行建设。6.1、 平台端在平台端,应采用3项措施:6.
26、1.1、 平台部署在政务外网DMZ区,与内网以网闸隔离,同步工作采用中间表形式,由内网系统每日推送到前置中间表,平台通过网闸定时开启通道访问,形式为单向只读,确保内网安全。6.1.2、 平台本身信息安全方面必须进行安全测评,部署防火墙、IPS等相关的安全设备,并进行全面漏洞扫描,升级、关闭相应的漏洞,确保本身的安全。6.1.3、 整体系统架构可以支撑在适当时候对平台的整体架构进行升级,在公网另外部署一套平台,以此形成双活体系,确保任何一处发生问题,整个系统不会瘫痪。6.2、 链路端在链路端,由运营商提供相应的保障。6.3、 终端在终端主要应采用如下措施:6.3.1、 内网的账户和密码只用与首次登录,其后采用手势密码,确保前端密码与内网密码脱钩。6.3.2、 本地原则上不保存数据(除了部分缓存),所有信息来自服务端,前端APP设计为轻量级的展现为主的Webappo6.3.3、 终端进行身份认证管理,由平台端发布证书进行认证,确保终端和使用的安全性。7、性能要求7.1、 项目开发标准本项目按照等级保护(三级)进行建设,参照等级保护(三级)相关标准对应用软件进行设计和开发。7.2、 系统性能要求7.2.1、 移动政务平台支撑350个并发。7.2.2、 用户操作:简单办理操作:设同时在线人数250时,响应时间1秒查询分析操作:设同时在线人数100时,响应时间1秒