《XX市农民工工资支付监控预警平台建设方案.docx》由会员分享,可在线阅读,更多相关《XX市农民工工资支付监控预警平台建设方案.docx(92页珍藏版)》请在课桌文档上搜索。
1、XX市农民工工资支付监控预警平台建设方案第一章项目概述略。第二章现状与需求分析2.1 项目建设的目的意义和建设的必要性2.1.1 项目建设的目的为深入贯彻落实党中央、国务院决策部署,立足新发展阶段、贯彻新发展理念,切实推进依法规范履行法定职责,摸清欠薪底数,突出工程建设重点卷域,维护社会稳定。通过建设XX市农民工工资支付监控预警平台,实现工资拖欠问题得到有效控制、防范处巴欠薪长效机制全面落地,强化对在建工程全过程工资监管,加大事中监管效率和监察侦忌,及时发现各类劳资隐患。按照源头治理、预防为主、防治结合、标本兼治的要求,通过监控预警平台的建设,来实现源头预防、动态监管和工资抓手三位一体的欠薪综
2、合防控,实现对全领域的全要素、全链条、全过程监管。通过平台的建设实现四个能力的提升:服务一:提升各级监管部门监管服务能力:服务二:提高为用人单位项目管理能力:服务三:提i各级监察部门综合预警处置指挥服务能力:服务四:提高为领导决策服务能力。2.1.2 项目建设的意义2.1.2.1 强化对农民工欠费的社会管理通过运用数字化手段,建立全市全行业统一的农民工工资支付监控预警平台,实现源头预防、动态监管和工资抓手三位一体的欠薪综合防控,实现全行业、全领域项口全过程监管,加强欠薪问题的源头防范治理,降低政府行政成本。坚持以人民为中心的发展思想,充分利用“数字政府”改革建设成果,推动根治欠薪工作数字化、智
3、能化.2.1.2.2 提升为企为民的数字化服务水平提升为农民工根治欠薪服务的能力,加强为企业管理服务的能力,企业能够提升对项目的管理,实现项目全流程监管和项目全周期监管,实现企业对项口内容心中有数。2.1.3 项目建设的必要性2.1.3.1 国家省市政策要求的必要性党中央、国务院高度重视解决拖欠农民工工资问题。为了规范农民工工资支付行为,保障农民工按时足额获得工资,2020年国务院出台6保障农民工工资支付条例,这是为规范农民工工资支付行为,保障农民工按时获得工资,维护农民工合法权益的一项卜分重要的立法,这部行政法规的贯彻实施,标志着我国进入依法治理拖欠农民工工资间题新阶段,对维护广大农民工工资
4、报州权益起到重要作用。长条例。要求县级以上地方人民政府的本行政区域内保障农民工工资支付工作负责,建立保障农民工工资支付工作协调机制,加强监管能力建设,健全保障农民工工资支忖工作目标亦任制,并纳入对木级人民政府有关部门和下级人民政府进行号核和监督的内容址条例从落实主体贵任、规范工资支付行为、明确工资清偿责任、细化重点领域治理措施、强化监管手段等方面对保障农民工工资支付作了规定。工程建设领域农民工工资专用账户管理翱行办法(人社部发(2021)53号)人力资源社会保障部会同相关部门统筹做好全国农民工工资支付监控预警平台的规划和建设指导工作.省锻应当建立全省集中的农民工工资支付监控预警平台,支持辖区内
5、省、市、县各级开展农民工工资支付监控预警.同时,按照网络安全和信息化有关要求,做好平台安全保障工作。国家、省、市、县逐步实现农民工工资支付监控预警数据信息互联互通,与建筑工人管理服务、投资项目在线审批监管、全国信用信息共享、全国水利建设市场监管、铁路工程监督管理等信息平台对接,实现信息比对、分析预警等功能。关于开展全国农民工工资支付监控预警平台对接应用工作的通知(国治欠办函(2023)65号)要求,加强本地工资支付监控颈警平台建设。各地要按照省级集中的建设模式,加快推进省级农民工工资支付监控预警平台建设,对照上报指标,及时核对更正和补充完善相关数据,全面检脸数据质批,确保!实可靠、完整可用,为
6、开展本地监控预警和数据上报莫定坚实基础。XX市人民政府关于印发XX市人力资源和社会保障事业发展“十四五”规划要求贯彻*保障农民工工资支付条例,推动农民工依法签订劳动合同,落实农民工与城镇职工享受同工同酬的权利。强化农民工工作协调机制,加快信息化建设,完善统计监测制度,提高农民工基层服务能力。做好农民工舆情监测、风险防控和应急处理,促进社会和谐稳定。根据政策要求,人社部已建设6全国农民工工资支付监控平台,实现全国农民工实名制信息及工资支付信息资源集中管理,支持全国农民工工资支付情况动态监测,为做好根治欠薪工作提供技术支撑.XX省己建设x省农民工工资监控预警平台,通过平台建设,实现源头预防、动态监
7、管和失信惩戒三位一体的欠薪综合防控:要求各地市提供新增项目信息上报、项目执行情况上报、项目变更情况上报、问题数据卜.我、疑点数据下教核实反馈、地方监控预警规则上报、地方欠薪情况上报。目前XX市缺少信息化手段满足国家省市政策要求。1、XX需要实现条例要求的县级以上地方人民政府对本行政区域内保障农民工工资支付工作负贵要求:二是需要实现c办法要求的市、县逐步实现农民工工资支付监控预警数据信息互联互通,与建筑工人管理服务、投资项目在线审批监管、全国信用信息共享、全国水利建设市场监管、铁路工程监督管理等信息平台对接,实现信息比对、分析预警等功能:三是需要实现对接应用工作的通知要求的加强本地工资支付监控5
8、W平台建设。件地要按照省级集中的建设模式,加快推进省级农民工工资支付监控预警平台建设,对照上报指标,及时核对更正和补充完善相关数据,全面检验数据质量,确保真实可旅、完整可用,为开展本地监控预警和数据上报莫定坚实基础。因此,XX市迫切需要建设农民工工资支付监控预警平台,满足XX市农民工工资支付全过程监控预警需求,以及数据上报需求,围绕根治拖欠农民工工资目标,聚焦问题突出的工程建设领域,压实用人单位主体贡任,强化政府部门监管职贡,综合运用多种手段,坚持源头治理、全程监管、防治结合、标本兼治。2.1.3.2 数字政府建设能力的必要性为进一步深化XX省数字政府改革建设,更好支撑经济社会高质量发展,XX
9、省人民政府出台也关于进一步深化数字政府改革建设的实施意见(X府(2023)47号),统等数字政府发展和安全,强化系统观念和改革创新,坚持何期导向和需求导向,以促进政府履职协同高效为主线,以数据资源要素为核心张幼,以满足人民日益增长的美好生活需要为根本目的,全面深化”数字政府2.0”建设。“数字政府2.0”将数字技术广泛应用于政府管理服务,推进政府治理潦程优化、模式创新和履职能力提升,构建数字化、智能化的政府运行新形态,充分发挥数字政府改革建设对数字经济、数字文化、数字社会、数字生态文明的引领作用,特别是对实体经济发展、城乡区域协调发展的促进作用,以数字化驱动生产生活和治理方式变革,服务全省高质
10、量发展。根据“数字政府2.0”建设要求以及能力应用.XX市人社局迫切需要加强人社数字化建设。一是加强人社公共服务数字化管理,增强人社服务数字化管理能力,促进人社公共服务水平提升。二是加快人社政务服务便利化建设。优化企业、劳动者统一申办,加大与省系统的对接融合和数据共享力度。因此,XX市迫切需要建设XX市农民工工资支付监控预警平台项目,通过“数字政府2.0”基座,构建的纵向联通、横向协同、智能管理、多级闭环的多元社会治理模式,不断提升政府数字化履职效能.2.1.3.3 满足社会旺盛需求的必要性近年来,陋着经济不断发展,XX市内在建工程项目不断增多,按照以往线下检查的方式,耍做到检查的全覆盖,劳动
11、保障监察机构都需要超而负荷运转.保障农民工工资及时足额支付,事关广大农民工切身利益和民生福祉,事关社会公平正义与和谐稳定.需要打造劳动关系“数字化”治理新模式,开发农民工工资支付监控预警平台,通过应用大数据、云计算等技术,实现劳动纠纷的“事前预防、事中监督、事后处理”,构建市场主体守法用工和职工体面劳动的和谐共标新局面。2.2 现状分析XX省已建设x省农民工工资监控预警平台B.省平台要求各地市提供新增项目信息上报、项目执行情况上报、项目变更情况上报、问题数据下我、疑点数据下载核实反馈、地方监控预警规则上报、地方欠薪情况上报.XX市目前没有农民工工资支付监控预警平台。一是缺乏有效手段对农民工工资
12、实现全过程监管:二是根据前期调研,XX市己上传部分农民工工资相关数据至省平台,但存在数据质量不高,内容缺少、数据不规范、数据比例不合理等问题:信息化手段的缺乏,导致预防、预警和提前介入、调处化解等事前措施不能及时跟进,致使欠薪事件后,政府部门被动介入,疲丁应付欠薪发生后引发的各类问题,往往事倍功半,社会效应不佳.2.3 存在问题近年来,XX市全力贯彻落实中央及省委省政府关丁保解农民工工资支付工作的各项决策部署,强力推进根治欠薪冬季专项行动,有力保障XX经济社会平稳健康发展。但是从各县(区)政府的实践情况看,部分行业特别是工程建设领域拖欠工资问题仍较突出,转包分包、合同纠纷及工程款拨付不到位等导
13、致的欠薪事件和讨薪群体性事件仍时有发生。由于目前缺乏有效手段对领域实现全过程监管,导致预防、预警和提前介入、调处化解等事前措施不能及时趴进,致使欠薪事件后,政府部门被动介入,疲于应付欠薪发生后引发的各类问题,往往事倍功半,社会效应不佳。2.3.1 部门监管职责问题H前缺少信息化手段实现地方人民政府及其人力资源社会保障、住从城乡建设、交通运输、水利、发展改革、财政、公安等部门的监管先任:举报投诉针对性弱,未实现市场主体负贡、政府依法监管、社会协同监督,多方共治。2.3.2 工资支付规箱问题目前工资支付行为不规范,没有实现所有工程建设领域项目以银行转账方式支付工资,对丁用人单位按照工资支付周期和具
14、体支付日期足额支付工资,监管能力不足,需要加强源头治理。2.3.3 全过程监管问JSH前对于工程建设领域缺少全过程监管手段,对于工程款支付担保、人工费用与工程款分账、工资专用账户、实名制管理、施工总承包单位代发工资、工资保证金等管理要求,缺少信息支持。2.3.4 确保工资支持问题目前缺少强化监管手段来确保工资支付,未能实现跨层级、跨地域、跨系统、跨部门、跨业务的政务数据共享,人力资源社公保障行政部门不能第一时间查询相关单位金融账户及房产、车辆等情况,以确信工资支付:未建立用人单位劳动保障守法诚信档案和拖欠农民工工资失信联合惩戒制度。2.3.5 数据标准和规范不统一问题针对市级农民工数据采集方.
15、式和采集的数据不完整,同时对于采集的数据缺乏数据清洗和数据质量监测。再次针对农民工数据的与省平台数据也需要进行数据的实时对接和上报数据的规范化处理。2.4 需求分析2.4.1 业务需求分析XXHj人社局有会同有关部门拟订农民工工作综合性政策和规划,推动农民工相关政策的落实,协调解决重点难点问题,维护农民工合法权益的职能。目前我市农民工主力庞大,也是我市重要的经济发展中坚力量,在劳动监察领域也占据着重要的比重。然而作为市缎人社劳动监察管理部门,直没有掌握全面的农民工工资支付领域的过程数据。在进行农民工工资支付工作的组织协调、管理指导和农民工工资支付情况的监督检查过程中,缺乏有效的数据支撑,没有根
16、据当今时代大数据的发展,通过大数据分析、亟点指标监测等手段,实现在线检查和非现场监管,主动发现和识别风险隐患线索。为了全面掌握全面的农民工工资支付情况,以便市人社局更好地针对农民工领域重大突发应急案件进行妥当的处理和调查。通过本项目建设工资支付监控预警平台,实现对农民工工资支付的全要素、全链条、全过程监管;提升预警分析能力,做到提前感知、及时预警、按时督办,从而更好地为领导决策和分析提供支探能力和关键的后备力量。通过系统建设,相关部门能够查看项目管理的情况,以及农民工实名制管理的情况等.基丁以上数据的情况,实现对农民工全流程的预警分析.业务流程如下图所示:图24-1系统业务流程图主要业务需求是
17、:1.企业端通过企业端口将农民工的数据上传填报,同时通过银行接口进行在线工资发放。图2.4-2企业端业务流程图(1)企业信息录入:企业管理人员总包单位和分包单位等信息。包括统社会信用代码、单位名称、单位工商注册地、单位详细地址、单位负责人、法定代表人、单位类型、所属行业、税号等。主管部门对单位信息进行审核,通过后,即可录入项目信息.(2)农民工基本数据上报:企业管理人员将农民工基本数据上传到系统,主要包括农民工姓名、家庭住址、联系方式、年龄等.(3)考勤工资单上传:企业管理人员将考勤相关信息上传系统,并审核,作为工资核算和发放的依据。2.监管端监管端根据企业上传的信息和外联系统,进行农民工要素
18、信息的整体监管,同时通过预警模型的设定,进行预警分析和研判,通过对投诉反馈的内容进行案件管理。预瞥审核与分派案件审批处理图2.4-4监管端业务流程图(1)预警模型设立:监管人员通过系统预警模型功能,根据实际情况设定预警等级,按照事件的索急情况和范用,以红、橙、黄、蓝四色进行标识。(2)预警审核与分派:监管人员设定的预警条目和等级需要部门审核人员进行规范性、合理性的审核,并分派至相应处理人m0审核通过后即可进行农民工信息预警.(3)案件反馈:将预警处理结果进行反馈,(4)案件登记:将已经处理的农民工案件进行系统登记和确认。(3)案件审批处理:案件处理人员对登记的案件进行审批处理。(4)文书管理:
19、管理人员将已经审批后的案件归档管理。2.4.2 用户角色分析本系统用户角色包括企业角色、市人社部门人员角色、其他行业主管部门角色、区县人社局角色,具体如下:(1)企业角色。企业角色用户,即企业服务模块的使用衣,用于对项目整体信息的管理,包括实名制管理、项目管理、保证金管理、工资管理、防疫企业管理等.(2)市人社部门人员角色.市级人社部门人员角色,主要是针对系统的业务管理和预警管理。主要需求为:依托系统管理市本级的农民工工资相关经办业务,包括市级项目信息的管理和维护,案件的管理等。(3)其他行业主管部门用户。市住房城乡建设、交通运输、水利等相关行业工程建设主管部门人m,主耍需求为通过系统进行本系
20、统相关工程项目数据的上传或相关事项办理。(4)区县人社局角色。全市5区县市的人社局角色,每个区县约3人,共有15人用户,主要为通过系统进行各区县相关数据的上传或相关事项办理。2.4.3 功能需求分析2.4.4 信息量分析8(窝本项目新建系统均部署于政务云,通过虚拟主机、虚拟防火墙、安全组、本地备份服务,为本系统提供系统运行部署基础、安全防护保障和安全备份服务。表2.4-1信息fit分析预测表资源名称配置ft*计算方法及依据ARM虚拟机(含糊麟操作系统授权)8核、32G内存、200G数据盘4搭建高可用软负载应用服务器8核、32G内存、500G数据盘2搭建国产化高可用定时任务服务器-1核、16G内
21、存、100G数据盘4其他横向部门数据同步接口服务器64核、核8G内存、IT数据盘1部署核心业务数据库软件国产数据库管理系统(选配集群组件)1资源名称配置数量计算方法及依据国产应用服务器中间件2NFS/OBS68TB1为节省政务云资金,每次写入率超70%申请扩容2.4.4.1企业报送平台(服务企业)为进一步充分获取项目的信息和情况,规范总分包单位双方的用工行为,杜绝非法用工、劳资纠纷、恶意讨薪等问题的发生。通过企业服务模块,实现对不同领域企业的在线服务和业务管理能力提升,为企业提供电了劳动合同在线签订,同时根据企业的不同性质进行功能区块能力的划分,如工程领域的企业侧重项目信息管理、实名制管理、保
22、证金管理、维权告示牌,非工程领域的企业侧重工资支付监管等。1.1.1.2 监管平台根据部省新政策及数据标准要求,人社部门需要对农民工和企业项目加强整体的监停和监测,以便加强对农民工整体情况的预警监测和r解,具体的功能包括:项目信息监管、实名制监管、合同监管、考勤监管等。1.1.1.3 外联系统通过与工程建设领域相关部门(发改、财政、住建、交通、银行等单位)的系统数据对接,实现工程建设领域信息推送到监控平台。对丁无法实现对接的部门,提供数据录入界面,便于录入工程建设信息。包含工程建设领域项目的立项、许可申报、专户开设、保证金管理等。1.1.1.4 省市对接管理参考省里最新农民工工资数据标准,对接
23、XX省农民工工资支付监控平台,实现与省农民工工资支付监控平台对接交互。1.1.1.5 数据运营针对全市的项目及农民工实名制等信息众多且标准不一,因此亟须通过制定数据标准,针对归集、汇聚来的数据进行数据的清洗和整理。基数据资源,从而形成XX市本地的农民工数据监管库2.4.5 非功能需求分析1 .并发性需求(并发用户数计.算)1)平均并发用户数为C=n1./T2)并发用户数峰值C=C+3*根号CC是平均并发用户数,n是IOginSeSSion的数量,1.是IOginSeSSion的平均长度,T是值考察的时间长度C是并发用户数峰值。假定业务用户数12.2万人中有12200人每天有一次登录,登录时长为
24、2小时,登录时间段在全天任何时间之内“C-12200*2/241016C,=1016+3*10161.2=1112因此暂时预估全市高峰并发1016.2 .查询性能需求简单查询:明确条件的,检索记录较少,单表的,响应时间=2秒:发杂查询:模糊条件的,检索记录较多,多表联合的,响应时间C=IO秒:批量查询:多个简单或更杂查询同时进行,响应时间=30秒。3 .统计性能需求检索数据量在10万以卜的统计的响应时间-15秒,其余亚杂的统计响应时间=30秒。4 .桎定性需求能够连续7X24小时不间断运行:平均维修时间MTTR2h;故障可以及时报警,具备自动手动恢豆措施,自动恢复时间3分钟,手工恢更小于1小时
25、。5 .易用性需求只需很少的培训操作者就能使用系统和其任何特性,系统应该被设计成与其目标使用者的业务技术水平很匹配。当用户做一些处理时间较长的操作时,能给出提示信息提醒用户。在返回数据量过大导致响应时间过长时,能提供部分响应,例如分页读取数据等,减少操作者等待的时间。系统界面要简洁、清晰、柔和、美观、大方、操作方便。前台界面具有统一界面风格,使系统具有统一、美观、人性化的界面,增强系统的易用性和友好性:后台界面要能反映层次管理,后台功能可按照树状结构层层递进展示,管理功能需智能化,可对前台提供指导性分析结果和建议,各模块应设计简明、可配置、可操作性强。6 .可扩展性需求系统必须保证软件版本升级
26、的平稳过渡,保证主机系统、网络系统、操作系统、数据库系统和外用设备,在将来能够顺利扩容或升级,且不影晌正常的系统运行。系统规模具有可调性,随着未来业务员及业务种类增长变化的需求,可以逐渐增大:新的功能模块“即插即用”,并要求能够在不影响系统运行的情况下实现.系统要采用模块化设计,以具备逐步升级能力的结构,在整个系统正常运行的情况下,可随时增加或减少功能,可动态增加服务器增强处理能力,能够实现负载均衡。7 .可伸缩性需求系统在性能上必须能容易且有效地伸缩以满足业务需求增长的变化,系统应用的任意模块更新加载时不影晌业务系统的正常运转和正常服务,个别服务器或子系统的故障不影响整个系统的正常运行。8,
27、可移植性需求可移植性包括硬件平台的移植、软件平台的移植,在更换软、硬件平台时保证应用系统的平滑过渡和数据迁移。2.4.6 接口需求分析本系统涉及多系统对接,需接入其他系统相关的数据,并且对外提供相应的数据接口,从而实现数据的交换共享:同时需对外提供相应的服务接口供外部进行调用。一、需要的外部接口:1 .与行业主管部门的业务接口需求作用:主要是进行工程项目全过程领域的业务接口数据。功能:为监管部门进行数据比对和预警分析提供数据支掾。2 .与省农民工系统接口需求作用:通过与省农民工系统对接,进行XX市农民工项目及数据的上报及相关预警数据的接收。功能:提供数据上报和预警接收的功能。二、对外提供的接口
28、劳务人员接口:主要提供XX市劳务人员的基本信息,3 .统一身份认证平台接口需求作用:通过与统一身份热证平台的对接,形成统一登录.功能:针对用户登录实现统一身份认证登录。二、对外提供的接口劳务人员接口:主要提供XX市劳务人员的基本信息。4 .与省社保业务系统的接口需求作用:通过与省社保系统进行对接,获取农民工社保信息及社保卡信息,进行社保卡一卡通的创新场比应用。功能:提供社保卡一卡通金融账户和基本信息的功能.2.4.7 数据需求分析1 .市住建局的XX市建筑工人管理服务信息平台,主要是项目信息,包括单位名称、统一社会信用代码、项H名称、保证金金额、考勤信息等,通过系统对接或导入的方式.2 .市财
29、政局的XX市数字财政系统,主要是工程款进度,包括工程名称、单位名称、用款批准金额、批准日期等,通过系统对接或导入的方式.3 .市发改局的XX市固定资产投资和重点项目建设统合管理平台,主要是立项信息,包括项目名称、业务类型、申i?f单位/申请人、接收单位、受理经办人、受理时间、当前办理状态等,通过系统对接或导入的方式。2.4.8 安全需求分析由于信息资源的高度集中,带来的安全事件后果与风险也较传统应用高出很多,在项目的设计和建设中特别重视安全方面的问题,把安全系统建设作为一项重要工作加以实施,2.4.8.1 信息安全等级需求XX市农民工工资支付监控预警平台的信息安全等级保护等级为三级,其涉及人社
30、局内重要信息系统的数据接入管理,信息系统受到破坏后,会对用户单位的合法权益产生严重损害,需进行信息系统安全等级保护设计和评测.根据建设系统中应用系统的重耍程度和自身安全褥求,依据国家标准参照信息安全技术网络安全等级保护定级指南(GB/T22240-2020)定级标准要求,实行等级防护、适度防护。2.4.8.2 安全区域划分需求一、安全域划分耍求通过划分安全区域,安全子域,通过不同的安全设备如WAF、防火墙、网闸及策略实现隔岗及访问。安全域:按照不同的安全需求以及系统功能,将应用的不同模块放置在不同的安全域中:在每个安全域中,又进一步划分了安全子域。安全隔离主要通过以卜设备完成:1 .网闸通过网
31、闸实现“业务域”和“公共眼务域”两个安全域间的物理隔离,“业务域”和“公共服务域”之间的数据交换需要通过网间完成。2 .防火增在安全域内部,安全子域之间的隔离通过防火焰完成。此外,数据中心与外部网络进行数据交换时,也主要通过防火墙进行隔离。3 .WEB应用防火增(WAF)面向互联网的HEB应用服务器,在使用防火塔隔离的同时,也使用WAF提供WEB应用以面的安全防护”二、安全域边界要求1.区域边界访问控制,在安全区域边界设置自主和强制访问控制机制,实施相应的访问控制策略,对进出安全区域边界的数据信息进行控制,阻止非授权访问。2 .区域边界包过油,根据区域边界安全控制策略,通过检杳数据包的源地址、
32、目的地址、传输层协议、请求的服务等,确定是否允许该数据包进出该区域边界。3 .区域边界安全审计,安全区域边界设置审计机制,由安全管理中心集中管理,并对确认的违规行为及时报警。4 .区域边界完整性保护,区域边界设置探测器,例如外接探测软件,探测非法外联和入侵行为,并及时报告安全管理中心。2.4.8.3安全策略需求2.4.8.3.1 业务保障安全需求信息系统安全任何部分都不允许受到恶意侵害或未经授权的存取或修改。其主要内涵包括三个方面:1.保密性.不允许未经授权的用户存取信息。2 .完整性。只允许被授权的用户修改数据.3 .可用性。不应拒绝已授权的用户对数据进行存取。业务安全应置萩系统所涉及的业务
33、部门、最终用户、行业主管部门、社会公众等利益相关方,应覆盖系统所互联的所有其他应用系统.主要体现在以下方面:1.账户安全系统平台账户认证的基础是用身份凭证来证明用户的真实身份.身份凭证是秘密信息,用户必须保护好身份凭证的安全,从而帮助客户保护账户安全以防止未授权的用户操作。4 .账号管理和身份认证平台使用统一的账号管理和身份认证系统管理员工账号生命周期、每个用户持有唯的账号、集中下发密码策略,强制要求用户电四符合密码长度、身杂度要求的密码,并定期修改密码.5 .授权管理平台基丁工作人员的岗位和角色,遵循最小权限和职贡分离原则,授予用户有限的访问权限.6 .日志审计用户对生产系统的所有操作会被完
34、整记录下来并形成日志,日志发送到集中日志平台,集中日志平台仅提供日志采集和查看接口,不提供修改和删除接口。7 .数据存储安全本系统平台通过网页形式访问数据,客户使用端并不存储任何数据,所有数据均存储在统一的内网数据库中,避免数据通过历史使用过的机器出现数据泄露并I1.保证数据的完整性。2.4.8.3.2 登录保护要求用户身份鉴别,支持用户标识和用户鉴别。在对每一个用户注册到系统时,采用用户名和用户标识符标识用户身份,并确保在系统整个生存周期用户标识的唯书X在每次用户登录系统时,采用受安全管理中心控制的口令、令牌、基干生物特征、数字证书以及其他具有相应安全强度的两种或两种以上的组合机制进行用户身
35、份鉴别,并对鉴1J数据进行保密性和完整性保护。系统需要落实国家密码管理有关法律法规和标准规范要求,并满足以下密码管理需求。1 .应用系统用户密码存储采用MD5加密方式:2 .应用系统提供用户登录失败处理功能,如:限制用户连续登录6次错误:3 .应用系统需支持单点登录。2.4.8.3.3 安全通侑网络设计要求1.通信网络安全审计,安全通信网络设置审计机制,由安全管理中心集中管理,并时确认的违规行为进行报警。2 .通信网络数据传输完整性保护,采用由密码等技术支持的完整性校验机制,以实现对通信网络数据传输完整性保护,并在发现完整性被破坏时进行恢夏。根据国家密码管理有关法律法规和标准规范要求,应用系统
36、用户密码存储采用MD5加密方式3 .通信网络可信接入保护,采用由密码等技术支持的可信网络连接机制,通过对连接到通信网络的设备进行可信检5第确保接入通信网络的设备其实可信,防止设备的非法接入。为保障系统完整性及性能等指标,可考虑第三方测评机构进行系统测评工作。2.4.8.4国产化及部署需求本项目中涉及系统部分,需要严格遵循国家、省、XX市关于国产信创适配的文件要求,在操作系统、数据库、中间件等方面使用国产化软件。平台部署在XX数字政府”政务云平台XX节点上。2.4.9 备份容灾需求分析2.4.9.1 备份策略需求1 .全备份(FU1.1.baCkUP)备份系统中所有的数据。优点是恢竟时间鼓短,操
37、作最方便,也最可靠:缺点是备份数据量大,数据多时可能做一次全备份需很长时间。全备份也可以称为完全备份。图2.4-5全备份图2 .增贷备份(InCrementa1.BaCkUPS)备份上一次备份以后更新的所有数据,其优点是每次符份的数据量少,占用空间少,备份时间短:缺点是恢曳时需要全备份及多份增量备份。图2.4-6增量备份图3 .按需备份根据临时需要有选择地进行备份。备份系统规划由于本项目的主要业务数据都存放在XX市云资源服务器中,所以,备份系统结构如下:.*图2.4-7按需备份图本系统根据实际情况,结合三种备份方式进行系统饴份,通过建设服务器自动备份机制,实现系统每日对数据库的自动增量备份,同
38、时,每周通过人工的方式进行一次全量备份,日常根据需要如节假日或更新时进行按需备份。当前备份机制只涉及服务器资源的调配,不涉及其他费用。备份的频率:系统每日自动增地备份,每周进行全量备份,同时根据实际需要进行按需备份;备份的周期:1个月,周期性覆盖:备份的副本数Sh1份:备份的方式:增量备份、全量备份、按需备份。2.4.9.2 备份时间和频率需求可每隔一个月或一周安排一次全备份,每天做差分增地备份,每周三做累计蝌量备份。2.4.9.3 各份数据保存时间系统针对数据属小的业务数据保存三个月,对数据信大的信息备份保存30天.2.4.9.4 存放副本数系统一般默认保存2个副本.2.4.9.5 系统恢复
39、时间容灾系统的切换时间是10秒钟至15分钟:而备份系统的恢匆时间可能在3小时以内。2.4.10 国产化及部署需求本项目中涉及系统部分,需要严格遵循国家、省、XX市关于国产信创适配的文件要求,在云、操作系统、数据库、中间件等方面使用国产化软件。平台部署在XX“数字政府”政务云平台XX节点上。拟使用国产化服务罂、国产化操作系统、国产化中间件和国产化数据库进行部署。2.4.11 倍创可行性分析与技术实篇路线设计2.4.11.1 值创可行性分析1 .技术路线本次新建及改造系统技术路线符合信创要求,并能满足政务信息系统要求。本项目基于1.ea6.2.0人力资源和社会保障应用框架,1.eaf6.2.0平台
40、以JaVuEE体系和SPring核心框架为基础,采用SpringMVC结合SpringSecurity完成权限验证和谙求控制服务,使用AOP切面技术实现事务管理、服务日志、统异常处理,在远程服务调用中使用RPCContext实现上下文管理,持久化框架采用Hibernate、Mybat持双框架兼容设计,使用数据访问代理服务,实现分库分表环境下的透明数据访问,引入微服务的治理框架,技术生态更加包容,支持主流HTTP协议,同时向前兼容DUbboRPC调用框架:并引入了可拆可合的设计理念,将功能组件设计为按需引入的模式,各个功能组件像流水线上的零件可供应用系统开发者按需组合,便了扩展,易丁维护“1.e
41、af6.20框架支持信创云环境下的达梦数据库V8、东方通TOnaeb、献麟V1.O操作系统等,可部署运行使用。2 .基础设施本次采用的基础设施均为信创基础设施,主要包括IaaS层的计算、存储、网络设施和PaaS旧的容器服务、分布式缓存、国产化软件.如采用鳏鹏服务器、达梦数据库、东方通中间件、鼓鼓VIO操作系统等,可部署运行使用。同时,为确保应用的高可用性,在系统设计时同步对数据库进行重新设计,尤其是对于人社业务,其业务史杂、数据量大,在数据库设计时需对数据库进行分库、分表设计,将单表数据故降低,确保表隹询能够响应高并发需求:引入非关系数据库及消息队列等,将实时性要求不高的相关数据进行缓存,减少
42、访问数据库:在应用层面,充分考虑信创ARM芯片计算能力,采用多集群部署,确保服务的高可用性0经过技术论证,如采用维那服务器、达梦数据库、东方通中间件、期瞬V1.O操作系统等环境,系统可部署运行使用,我局已建政务信息系统采用信创技术路线和信创基础设施在信创平台上升级改造是切实可行及合理的。2.4.11.2 应用系统侑创可行性分析2.4. H.2.1技术路线1 .开发/运行技术路线本项目采用基于中间件技术的三层B/S应用体系结构,应用系统分为表现层、逻辑屋和数据层,系统后端采用java开发语言、前端采用VUe开发后端,在服务器端,其运行环境需满足java1.8及以上的环境运行,符合信创要求。在PC
43、、移动等客户端.可以靓麟V1.o等主流架构下的电脑上操作使用,在浏览器环境上可在360浏览器、奇安信浏览器等信创环境下正常运行,符合信创要求。2 .技术蛆件/插件本项目相关技术组件/插件在信创平台上可行。3 .分布式消息队列1.EAF6的2.O版提供了注册机制和抽象,统一了消息的发送和消费API,针对不同的消息中间件进行实现和配置后,可以做到切换消息中间件不影响业务逻辑代码。在通用版中对ACtiYCMQ进行了实现,但ACtiVeMQ不满足大吞吐量场景的性能需求,因此本次升级需要扩充对RabbitMQ和Kafka的支持。本次使用的1.EAF6.2.O版升级的核心是引入SPringCIOUd作为微
44、服务框架,SpringC1.oUd全家桶中已提供了SPringCIoUdSIreHm组件来集成消息中间件,并且官方己经提供RabbitMQ和Kafka的集成支持,因此本次分布式消息处理升级的内容包括两个部分:引入并使用SpringC1.oudStream组件作为消息处理的框架:在SpringC1.oudStream框架下实现对ActiveMQ的支持。4 .非结构化存储随着电子档案、照片等文档型数据或非结构化数据存储体系的逐步完善,非结构化文档存储系统在各项目应用中,所依赖的存储环境有所差异,如:RwSS3、MongoDB,OSS都各有选择,旦存储环境发生变化,应用程序就需要大量的改动,如:Mo
45、ngoDB迁移至AWSS3后,应用中各种操作AP1.需要跟着调整或重新实现一遍.因此,有必要定制一套相对通用的非结构化文档存储接口标准规范,一套接口多种实现,即套管理搽作AP1.集OBS、OSS等多种主流非结构化存储管理搽作实现:存储环境切换,应用程序代码零调整,即只需简单参数变更即可完成应用程序的切换。为实现一套通用接口标准适配多种不同的存储环境,需要扩展并选择一种被广泛认可和使用的存储服务协议标准。使用OBS或OSS网络存储服务协议。文件存储实现:1) OSS文件存储实现FSStorcForOSS采用OSS文档存储技术实现文档得的加我、存储和删除等操作。2)磁盘文件存储实现IjSStore
46、ForFi1.e使用磁盘作为文件存储系统,这种方式主要是为方便f项目开发、简化开发环境,一般用于开发过程。5 .业务行为日志AoP是SPring框架面向切面的编程思想,AOP采用一种称为“横切”的技术,将涉及多业务流程的通用功能抽取并单独封装,形成独立的切面,在合适的切点将这些切面横向切入到业务流程指定的位置中。业务行为日志升级需要在认证中心新增兼容功能,对Zipkin链路监控新增兼容功能,从认证中心和Zipkin链路监控中获取相关业务上下文和业务日志数据并进行记录。6 .分布式级存缓存的主要职黄是降低应用和数据库的负载,提高系统性能、客户端访问速度。1.eaf62.0技术框架扩展设计中缓存的
47、职史:根据实际需要,利用SPringCaChe框架提供的扩展点,实现自定义的缓存方案,且在不改原来已有代码的情况下进行扩展。1.EAF6.2.0技术架构总体设计中提供了基于SpringCache的注解聊动的缓存方案,并提供了Rcdis和Ehcachc的两种缓存操作类。在技术架构扩展设计中提供了基于SpringCaChQ的注解驱动的Coherence缓存的操作类.2.4.11.2.2性能指标要求要满足人社业务日益增长的需求,性能指标耍求如下:1 .应用服务提供应用生命周期的管理、分布式服务框架、服务治理、统配置管理、分布式链路跟踪、高可用及数据化运营等:支持两种以上主流开源微服务协议(如SpringC1.oud,DUbbo):同时提供容器服务:提供自动化创建容潺集群的功能,可以实现一站式部署/运维容器应用、键式滚动升级。支持标签化的编排调度策略,能够根据应用需求动态调度容器,可选择多维度的调度策略,比如资源维度(CPU、内存)、可用性要求维度、应用的亲和性维度等2 .缓存缓存必须支持字符串(Siring)、链表(1.存必、集合(Se1.)、有序集合(Sor1.edSe1.)、哈希表(H
