oa系统技术白皮书(精选6篇)
oa系统技术白皮书 第1篇
协同办公OA系统
湖 南 宇 晶 机 器 股 份
有
限
公
司
网络工程师:黄智
2012年6月28日
协同办公OA产品白皮书
目录
协同办公OA产品白皮书
协同办公OA产品白皮书
协同软件标准包含三大标准类别: 产品理念标准
协同软件是一个基础管理软件,必须融合了先进的管理思想,并且这种管理思想可以广泛推广,迅速 普及,推动企业管理的发展和进步。
产品功能标准
协同软件需要解决企业发展过程中管理和办公的各种问题,因此OA不仅需要满足用户当前的各种需 求,并且要求能够提供大量的可定制元素来满足用户日后增加的个性化需求,适应用户企业管理的变化。
产品应用标准
协同软件的应用存在应用范围广、使用人员多且计算机应用水平参差不齐等问题,因为要求OA供应商 提供全面的用户培训和规范的售后服务,促使软件实施成功。
协同软件OA的标准:
易推广
E-Promotion 具有先进的管理思想指导设计,能够贴近各行各业的中小企业实际需求,产品设计注重实用性及通用性,使得管理明晰,更加适合市场经济下中小企业的内部管理。
产品已经通过多家客户的使用,具有成熟、稳定性,减少客户推广阶段的风险。以用户为本的使用向导,企业内部无需进行大规模的培训,便可轻松推广项目。
易实施
E-Implementation 提供方便的权限分配方式,能够高效的进行权限设置,精确的掌握人员拥有权限情况。提供快速简易的图形化流程设置,满足流程定制多种需求。
易学习
E-Learning 根据不同工作岗位提供系统操作指南,更加针对性的指导使用系统。提供细致详尽的系统管理员手册,无需专业人士也可维护功能强大的系统。每个系统页面具有独立的帮助,更有针对性的指导使用。
协同办公OA产品白皮书
易使用
E-Operation 采用友好的办公界面,符合中国人的办公习惯,简单易用。
各功能模块使用向导处处可见,采用灵活的交互方式,简单易操作。
零维护
E-Maintenance 系统提供方便、易操作的数据更新、管理工具,减轻管理员负担,实现轻松管理维护。
1.3协同办公OA系统带来的收益
协同办公OA是从产品设计理念到产品功能、使用、实施都符合协同软件标准的协同管理平台。应用了协调办公系统,会给客户带来什么样的收益呢?
建立统一工作平台,提升员工办公效率
能帮助企业建立一个统一整合的工作平台,可以打破时间、空间的限制,让企业的所有员工可以在世界的任何地方、任何时间都能够在一个统一的工作平台完成日常的工作,大大地提高了办公效率。 优化工作流程,提升企业反应速度
对企业而言,业务流程始终是创造价值最核心的要素之一,通过工作流作纽带,能将各个业务部门甚至上下游厂商之间连成一个整体,责权分明,大大提高了工作效率。不仅如此,本OA工作流系统可以帮助企业对流程进行不断的优化改造,找出流程中的瓶颈,避免人为因素的干扰,提升公司的竞争力。 协同能力增强,提升企业执行力
在传统的管理模式下,团队协作不好,领导不知道下边在干什么,成员不知道其他人在做什么。有了协同办公OA以后,领导可以非常清楚的知道员工的工作情况,可以根据具体情况知道工作,团队成员之间协作也可以更加紧密,大大提升了企业的执行力。 科学有效的人力资源管理,提升员工对企业满意度
提供了一个科学、灵活的人力资源管理应用系统,企业可根据自身的特点和人事制度进行灵活配置,帮助企业对人员进行全面而有效的管理,提高企业员工的工作能力,改进和提高管理人员的管理能力和成效,从而提高组织整体的工作方法和工作效能,完善人力资源管理机制。
协同办公OA产品白皮书
协同办公OA产品白皮书
有限的资源之上创造出更大的价值。有限论对当今社会有很大的指导、提醒的价值。有限论清楚地告诉每一个人、每一个社会团体,资源都是有限的,千万不要试图将自己定义到无限中去。但实际生活中我们却经常自觉与不自觉地将自己定义到无限之中。 创新问题
很多人认为创新是在空白之处产生的新思想,是砸碎一个旧世界,创造一个新世界,这是对创新的误解。要是这样的话,这不是创新,这是捣乱,这是标新立异,对社会的进步没有什么正面的价值。创新应该是对现有有限资源的改进与改善,是5%的进步,我们应该鼓励的是这样的创新。在创新这个问题上,无论是我们企业,还是我们社会,我们都付出过巨大的代价,但是目前并没有产生大家共同认可的创新概念,社会还在时时为之付出更大的代价。
还创新以本来的面目,创新原本就应该是改善与改进,是5%的变化,积小变以求大变。对社会是以最小的资源换来最大的效益,这才是我们企业特别应该追求的。 过程与结果问题
我们认为,过程决定结果,结果应是过程的必然反映。通过对企业管理的研究发现,企业的发展就是企业在总结与归纳自己的独有过程,这是企业价值最大的方面。企业也只有有了自己独有的过程,才能更健康地运行在社会之中。我们要的是我们的员工在我们现有过程基础上的实践与研究,去创新与改进我们的过程。“过程论”否定了我们急功近利式的企业行为,鼓励我们大家踏实地专注每一项基本的工作,持之以恒,在不断地总结、积累以前经验的基础上,成为我们专有的过程。我们只有不断地创造并遵循自己专有的过程,在未来的竞争中才能保持竞争力,并由此来影响社会的发展。 控制问题
我们认为,企业应使自己的所有行为尽可能处于“闭环状态”运行,使我们能随时随地地掌控运行状态。我们现行的企业行为中,多数运行状态为开环的,是不受控的。因此,在当前快速发展的社会过程之中,我们必须要解决企业管理中的开环问题,让我们更多地做到事前指导,避免问题的发生。 递减问题
人们更多的是在谈论如何提高执行力,怎么样解决执行力,但没有反问,为什么有执行力问题,是什么原因导致执行力出问题的,难道说我们现代企业中的中、下层工作人员天生就干不好工作,天生就不愿意好好干工作吗?我的研究是否定的。企业中的员工总体来说是向上的,是积极的,是愿意倾其所能将工作做好的。问题的根本在于递减的问题,在于基层不能够全面,有效地了解企业的战略意图,不能清楚为什么干,也不清楚如何干。
企业基础管理的八种现象:
被动现象
协同办公OA产品白皮书
管理中的被动现象表现在,人的地位越高,权限越大,越是被动。在初创企业的时候,我们还能做到非常主动,所有的管理信息都能真实的得到。但公司办大后,要获得企业运行中的实际数据就变得越来越困难,越来越被动,受制的因素越来越多,想了解某地公司某人的一件工作变得十分困难,而不是像想象那样,了解公司内部信息因为权利增大而变得更容易。正因为这一现象的普遍性及解决的困难性,所以我们分析下来,这一现象是目前管理问题中首要现象,要能做到我们位子越高,掌握的信息越全面与主动,我们的工作主要精力是花费在核实、分析、研究信息,做出新的决策上来,这样就能实现主动管理了。 黑箱现象
黑箱现象是被动现象的产物,我们的各级领导因为被动现象的存在,对管辖范围内的事件运行过程掌握得不够、不充分,就使得过程对领导而言是屏蔽的,领导多数情况下只知结果而不了解过程,由于存在黑箱,就屏蔽了领导的视线,人的自我与懒惰的本能又在这里促进了黑箱的形成,人为的为过程设置更多的屏障,使得一个简单的过程变的十分复杂。久而久之,由于领导对过程的不了解,还形成了目前这种认为过程本该就是如此复杂的结论,使得我们的管理效率十分低下,而且过程之中因黑箱的存在,各种不利因素还得到生长,腐败由此产生。 随意现象
随意现象表现在我们各层的管理人员身上,因为我们没有周密的计划,也因为聪明,我们会在问题来到时随意的行使我们的权力,造成混乱与浪费。君不见很多单位经常是同一件工作,因为领导的随意布置而有几个人在做,还存在着几个人争夺同一资源而出现矛盾的普遍情况。要结束随意现象,难度在于要改变我们多数人的工作习惯,辅助他的手段要可操作并实用,这才能消除这一现象,提高我们的工作效率。 十二月现象
我们管理中十二月现象普遍存在的原因,是由于我们管理辅助手段的落后,有限论在这里产生了作用。十二月现象讲,我们有些员工平时工作业绩平平,特别是非量化的工作岗位,往往到年终工作突击表现一下,领导在年终考评时,因其精力有限,他只能记住眼前的工作情况,这样对这类员工还是关怀有加,不断表扬。这一现象不仅普遍存在,而且危害性很大,他使得我们单位中出现大家模仿的情况,最终使得我们的工作效率平时很难提高,还无有效的手段进行调节,要解决这一现象就要求我们必须改变管理手段、改进考核方式、缩短考核周期。 振臂一呼现象
由于我们缺乏有效的管理手段,对各层的工作实际完成情况缺乏监督,导致振臂一呼现象非常普遍。振臂一呼现象是指领导总是喜欢、表扬与提拔那些呼应领导的号召,口头坚决支持、保证完成领导任务的
协同办公OA产品白皮书
人。由于领导无法以有效的手段来确认这些呼应者以前所呼应的工作完成的情况,还会在不同的场合表扬这些人,久而久之就形成了这一管理现象。很多人不是在工作上下功夫,不是及时提出不同的意见,而是在呼应上做文章,长期下来,整个管理层是你应付我,我应付他,少了踏实,多了浮夸,工作做的是表面文章,效率低下。 人性中的高估现象
我们的人性中存在着一种本能的对自己高估的现象,有一种案例可以很好的说明这一点,我们十个人坐下来吃饭,喝酒时大家总是互相歉让,都不愿多喝;喝完后,你如果发张纸条,让每人将自己喝的酒写出来,你会发现,最后统计出来,这个数字要远远大于实际喝掉酒的数量。由于这种现象是人本能的反映,这对我们企业管理带来极大的挑战,人人都会认为自己做得多,得到的少,人人都会认为企业分配不公、不合理,员工的工作积极性受到挫伤。 天高皇帝远现象
随着企业的发展,跨地区设置分支机构,项目点分布在全国各地的情况已经十分普遍,目前缺少行之有效的对分支机构的管理手段,这就形成了天高皇帝远的现象,往往这些谁也管不到的地方问题成堆,到头来危及整个企业的生命。 本位主义现象
本位主义是人类的一种心理现象,人类总是以自我为中心的,人类的能力都是在以自我为中心的基础上向外延伸的,人类的所见所闻都以自己为出发点的。
本位主义在一个企业中的表现还有其隐藏性,它不象社会上部门的本位主义,表现出不顾甚至损害国家和社会利益,一眼能识破,在一个企业中它往往以企业利益为幌子,来强调部门的利益。
协同办公OA是依据多年为客户实施信息化办公的经验,从广泛的用户中抽象出通用模型,自主研发的性价比高的产品化软件,致力于解决中小企业发展中遇到的管理问题而,能够帮助中小企业实现工作有序可控,员工快乐工作。
2.1.2注重以人文本的核心设计理念
协同办公OA产品从界面到功能无处不融入了人性化的设计理念,特别注重功能的实用性与操作的简便性。随时随地您都可以得到贴心提示与帮助,让您在高效办公之余品味其中的乐趣。
领导高效管理,一切尽在掌握之中。
协同办公OA产品白皮书
员工快乐工作,充分展现自我价值。系统管理员轻松维护,减少工作压力。快乐工作每一天从这里开始。
2.1.3强调功能简单易用的整体设计理念
协同办公OA产品经过充分的需求调研,以真正的易用性为需要,整合了所有企业办公的实用功能,功能通用、强大而不失细腻。
功能通用:对功能细节存在的合理性进行分析,每一个功能模块都有耐人寻味的细节。操作方式简洁:界面风格、操作模式统一,学会使用一个模块的操作就会使用其它模块的操作。流程简洁清晰:其独特的魅力满足中小企业发展阶段的管理需求,提升企业核心竞争力。
2.1.4主张界面简约美观的设计风格
清新简约的界面设计风格,朴质中见高贵,简约中见深远。淡蓝色为主调的界面色彩搭配消除您久坐电脑旁的那份疲劳,错落有致的窗口布局,不仅给人趣味和新颖感,而且消除了界面信息负载量过大的拥挤感。
2.2体系架构
系统的开发及运行结构基于后台数据库的三层架构,即Web服务器、应用服务器和数据库服务器。在三层架构基础上,采用MVC(Model-View-Controller)加上服务容器的体系架构,支持各层之间的松耦合,
协同办公OA产品白皮书
从而做到服务到业务流程可配置和可重构。
协同办公OA以开放性、标准化为准则,采用组件式、分层次、服务提供者/使用者间定义接口(Service Provider Interface)、容错等设计思想,保证整个应用系统的稳定性、可靠性和可扩展性。同时在数据交换格式上支持XML标准,使系统功能最优化,同时将整体系统内部在技术上的相互依赖性减至最低。
2.3功能介绍
2.3.1信息显示区
信息显示区是新闻、通知、待阅、待办、温馨提示、伙伴动态、日程等各类信息的综合显示区域,用户能够快速查看需要处理的工作信息,以达到提高工作效率的目的。用户还可随意拖拽,轻松定制个性化的信息显示区。
2.3.2公文管理
公文管理是企业协同办公的重要组成部分。它是随着信息化的发展和各分支机构之间互联互通的需求而诞生的。公文管理通过实现跨机构、部门的电子公文交换,提升公文处理速度,提高工作效率,帮助企
协同办公OA产品白皮书
业实现收发文处理规范化、制度化、科学化。
收文管理
收文管理能够满足办公过程中的来文登记、拟办、批示、阅办、分发、传阅、归档、查询等所有环节,并将已经完成的文件归入档案管理模块。收文管理流程采用自定义,并能对流程进行跟踪和控制。系统提供Web方式的在线编辑、附件上传功能,可以与Microsoft Word、WPS等文档编辑工具进行嵌入整合,可以进行模板红头套用、目录打印、文件打印和稿纸等功能。并采用收文和待办事宜配合使用的办法,用户查看信息显示区中的待办事宜即可进行日常收文办理。
发文管理
发文管理根据预先设置的公文办理流程,实现公文网上自动流转来完成发文实际输过程中的拟稿、流转、审批、签发、办理、归档、印发等环节,已完成的文件可归入档案管理中。流程采用自定义的方式,可满足企业中单一审批、多人并行审批、多人顺序审批、多人审批一人认可即生效、主办/协办等多种公文流程需求,并能对流程进行跟踪和催办跳转,提高公文流转办理的工作效率。
请示管理
请示管理通过自定义的业务流程,实现企业内部人事、请假、费用请示等等内部事项的请示,提供流程监控、跟踪、催办和查询,并支持审批过程寻呼和短信通知。
公文档案
公文档案提供公文归档、档案管理的功能,公文文件在审批处理结束后可归档到指定档案室,档案管理员可对已归档文件再进行统一管理,其他用户可以对档案进行检索、借阅,降低档案管理人员的工作强度,使枯燥的档案管理变得轻松高效。
2.3.3公共信息
提供新闻、通知、期刊、知识和规章制度的发布和管理,使企业的信息、知识能够快速传播和转移,并能够对公共信息进行有效的控制和管理。
协同办公OA产品白皮书
新闻管理
新闻管理对企业新闻的发布、查询、设置进行管理,可以发布新闻、快讯,并且支持新闻审批后发布且可指定接收人员,达到新闻的精确发布和有效管理。
通知管理
通知管理对企业各种通知的发布、查询、设置进行管理,支持通知审批后发布且可指定接收人员,同时发布人可查看接收人是否查看通知,实现通知的精确发布和有效管理。
电子期刊
电子期刊是对企业期刊的发布、查询、设置进行管理,支持审批后发布且可指定接收人员。
规章制度
规章制度对企业规章制度的发布、查询、设置进行管理,支持规章制度审批后发布且可指定接收人员。
知识共享
知识共享为企业提供信息与知识共享、发布的平台,将企业中的各种信息积聚在一起,达到知识的共享,并推送至企业的所有员工实现知识的利用、创新,周而复始,使知识成为企业创造价值、不断发展的源泉。
2.3.4在线交流
网络寻呼
网络寻呼是本OA为用户提供的一种非常方便的内部沟通工具。它结合了QQ、MSN、邮件、短信等优点,同时克服了电话不可重现、即时通讯工具不可管理及短信输入困难等缺点,不仅为企业节省大量的费用,而且使企业沟通管理更加方便快捷。
网络寻呼是一个开放的沟通体系,在任何地方都能将任何选中的文本发送寻呼,达到信息及时共享交流的目的。
协同办公OA产品白皮书
可以查看人员是否在线,进行在线实时交流,还可以将信息发送至离线人员手机中,对方可以直接用手机回复短信至系统中,实现离线交流、信息及时传递的目的。 同时克服了电话沟通中信息的不可追溯性,可让领导随时查看到信息传递的过程,解决了管理中因信息不统一而遇到的扯皮现象同时,领导也可及时发现下属工作中的问题,以便给下属相应的指导或帮助。
网上调查
企业中经常需要进行各种问题的投票调查,通过调查结果数据帮助企业领导了解企业内部信息。协同办公OA系统即提供了这种方式满足了企业的需要,并可以通过调查问卷的结果自动统计并以图表直观地显示统计结果,为企业领导分析数据提供帮助。
个人建议
企业的员工可以通过个人建议匿名或署名提出自己对企业的建议,帮助企业领导收集员工的建议持续改善管理。
内部论坛
内部论坛为企业提供一个自由交流、沟通、讨论的空间,可以根据需要设立专门区域进行讨论发言,进行咨询、解答和收集意见等。
网络会议
通过网络发起会议,包括会议议题、会议参与人员、时间,并通过网络寻呼发送到相关人员工作桌面,同时还可以与手机短信进行绑定。同时可以对历史会议记录进行查询。
2.3.5 个人办公
我的便签
在日常工作中我们经常会有临时的事情需要记录,通常都是随手记录在本子或是纸上。这样就会造成
协同办公OA产品白皮书
记录没有时间、记录丢失,或者记录不能整理查询等问题。我的便签就是为解决这些问题的而设计的,不仅能够避免信息的流失,而且也为实现无纸办公提供了解决办法,节约了大量的能源。
工作日记
工作日记为企业员工提供记录工作结果和工作心得的一种方式,方便企业员工记录当天的工作情况和心得,以及工作中出现的问题和明日提示等,以便日后查找历史工作记录,达到了沉淀工作经验,为自己和企业不断的积累知识的目的。
日程安排
日程安排可以协助企业员工根据自己的工作时间将工作进行条理的安排,并且对重要的事宜预先设置提醒时间,即可通过系统消息提醒,也可以通过短信进行提醒,使工作变得井井有条,而不是杂乱无章,让员工都能够“快乐工作”。
协同办公OA产品白皮书
计划总结
企业内部根据企业战略制定一个明确的企业目标,并层层布置,通过计划总结按年、季、月逐步分解成企业计划、分支机构或部门计划、个人计划,再通过计划的执行完成企业整体目标的实现。企业员工还能根据每段周期的工作情况的总结,分析计划与实际工作的差距,找出影响计划实现的因素,从而制定下一段周期的工作计划,使之更贴近自己的工作实际情况。这样将个人计划总结与企业目标计划控制结合在一起,大大地增加企业的执行力和竞争力。
我的任务
企业内领导经常需要给员工布置任务,但实际工作中有很多任务布置后就没有下文,无法追踪、监控,使得企业执行力减弱,整体工作效率降低。我的任务即可解决此问题,杜绝这种现象的发生。通过我的任务能够让日常工作中的任务安排有迹可循、善始善终,对任务的布置、执行、汇报、检查进行全过程的管理,而且领导也可以了解到任务的执行进度和情况,并可随时对员工进行指导和批示,帮助任务的完满完成。
协同办公OA产品白皮书
工作委托
企业领导业务比较繁忙或者经常需要出差,在不方便上网或者没有时间处理工作的时候,可以通过工作委托将一些审批工作在设置的时间段内委托给其他人员来协助处理,不用影响企业内部正常的工作流转。
协同办公OA产品白皮书
网络硬盘
企业员工可以通过网络硬盘上传、下载文件,并灵活设置不同文件夹的权限共享给企业其他的员工,不仅方便企业内部的信息共享,也方便员工无论何时何地都有一个可移动的网络硬盘。
个人信息
供企业员工修改自己的电话、电子信箱、密码、个人格言和个性签名。
我的短语
用户可通过我的短语建立个人短语库,方便在系统应用中通过快捷键调用短语库中的内容,不用多次重复输入,提高个人工作效率。
通讯录
信息时代的来临,不仅要求我们高效的工作,更要求我们迅速有效的沟通,传统的通讯录模式已经远远不能满足现代化多元的沟通方式。通讯录不仅能够保存联系人的信息,还能记录用户与联系人的联系信息及时间等,其分类管理以及搜索功能能够快速方便的对通讯录进行管理和查找。同时通讯录与网络寻呼、短信平台实现紧密的结合,方便用户对各类联系信息的管理。
协同办公OA产品白皮书
每日提示
为了方便用户对系统的熟练掌握,每日提示提供了系统功能及快捷菜单等的详细介绍,用户每次进入系统时即可查看提示信息帮助学习使用。
2.3.6 行政办公
车辆管理
对企业的车辆及用车的全程进行跟踪管理,实现车辆预定,防止车辆申请的冲突,方便对企业车辆及私车公用进行管理。
用品管理
通过对企业的各种用品进行登记、归属、使用及仓库进行管理,使用品的管理落到实处。具有用品领用审批功能,解决审批流程问题,加快办公效率。
协同办公OA产品白皮书
会议管理
对企业的会议室、投影仪等会议相关资源进行有效地管理,解决资源使用冲突和参会人员时间冲突,减少人力、物力的浪费。会议通知以系统提醒、寻呼、短信等多种形式通知与会人员,并对参会人员对通知信息的查看、反馈进行跟踪。
协同办公OA产品白皮书
图书管理
企业中的各种图书繁多,但缺乏专业人员对图书进行分门别类的管理,导致图书查找不便、归属不明、容易丢失,图书管理即可解决这样的问题。通过从图书登记入库开始提供图书信息的查阅、借阅、归还等功能,使图书从使用到管理都非常的灵活方便,既切实保证公司资产不流失损毁,又大大提高了图书的使用效率,物尽其用。丰富了公司的企业文化,使员工有更强烈的学习和上进心态。
协同办公OA产品白皮书
资产管理
资产是公司重要的组成部分,对其进行有效的管理是非常重要的。资产管理模块通过对资产整个生命周期实行全程的控管,改变了传统的资产管理中的很多弊端,如归属模糊、异地管理难、记录统计难、不便实时管理等等,使用户轻轻松松地管理资产。
2.3.7 人力资源
人事管理
人事管理提供了对员工从进入公司到离职整个过程的转正、调动、档案、离职的管理,并提供了汇总统计、报表打印供人事管理人员方便对人员信息进行查询统计管理。
考勤管理
考勤管理通过灵活设置班次、节假日、加班来适应不同区域、不同行业的企业的工作时间,方便企业人员上班签到、下班签退、请假审批、出差、外出登记等,实现全员网上考勤。
协同办公OA产品白皮书
2.3.8 工作流程
提供可视化的自定义的流程设计工具,方便管理员更快捷的定制业务流程,提高企业的工作效率。并且支持对业务流程的催办,实现系统提醒和短信提醒。
2.3.9 未阅信息管理
实时提醒用户当前需要处理的工作,如未阅寻呼、提示信息、通知、待办等,方便用户合理安排工作时间,提高工作效率。
2.3.10系统管理
系统管理作为整个系统最为核心的模块,不仅能够实现常用的用户、组织、权限等管理功能,还提供了大量图形化、可视化的操作界面、菜单、查询等功能的定制,以及多种模板供管理员根据企业需求进行选择,满足系统管理的灵活设置、操作简单、方便易用的要求,减轻了系统管理员的工作负担,实现“快乐工作、高效管理”。
协同办公OA产品白皮书
2.4应用介绍
OA软件的应用范围非常广泛,并不局限于企业领导层及管理人员,而是面向于企业的所有工作人员,几乎人人都有可能成为OA的用户。并且,软件应用是需要一个过程,不同于一般的“交钥匙”工程,其应用是否顺利的关键是最终用户的培训和售后服务。
通过4000多家客户的应用、需求反馈,以及10多年软件实施应用的经验,协同办公OA系统是以真正的易用性为特色,不仅满足客户的功能需求,而且更深入的从用户学习、使用、维护的角度出发,简化产品的操作,处处体现人性化的设计理念,使用户能够轻松、快速的掌握产品的使用和维护,顺利完成软件上线使用。 学习
根据不同岗位提供不同的系统操作手册,并且详细易懂,用户能够快速学习掌握系统的使用。提供全程帮助功能,用户可以随时调用Flash演示,直观的帮助用户使用系统; 系统的所有操作按钮均有操作提示,用户可随时查看 使用
系统采用人性化的操作界面,并且各种信息分类显示,一目了然,即使不会使用电脑的人也能够很
快的上手使用。 维护
采用傻瓜式安装模式,自动进行安装和配置,简单完成安装操作。
提供程序自动更新、数据库自动备份、定期清理系统数据等简单的系统管理操作,减轻系统管理员 的工作负担,不用再困惑于系统管理的繁琐工作中。 服务
提供多种方式、全方位的售后服务,并且还制定了一套完善的顾客调查和用户投诉管理制度,同时购进了先进的维修工作站,从而保证了客户能够及时、快捷的与中国网通客服联系、解决问题,并且保证了维修质量,提高了服务水平。
oa系统技术白皮书 第2篇
OA办公系统的产品和技术
1.产品和技术是骨架
如今,技术发展日新月异,要求OA办公系统选型必须跟得上技术和需求的潮流,才能让先进的信息技术为我所用,提升管理效率。正所谓“产品和技术就好比一个骨架,如果这个骨架缺了胳膊,或者关节不灵活,那么就很难满足企业的现实所需”。因此,企业在选型中首先要关注的就是产品和技术能否提供一个平衡且灵活的“骨架”。
2.php技术平台以其成熟性、开放性和跨平台性
从技术方面来说,java平台的OA办公系统以其拓展性、稳定性等优势雄踞高端OA市场;php技术平台以其成熟性、开放性和跨平台性等优势成为中小企业试水协同办公的首选产品。通过JAVA语言开发产品具有很强的优势,其基于“协同矩阵”模型和齿轮联动模型打造的协同管理平台,能将企业作为一个有机的整体来对待,将组织的七大要素:人的要素、流程的要素、知识的要素、客户资源的要素、项目事件的要素、物的要素和财的要素进行“立体多线程”的管理,并以人力资源和工作流程模块作为整个系统的心脏和血脉,与其他功能模块,如:知识文档管理模块、客户关系管理模块、项目管理模块、财务管理模块和资产管理模块强相关联,从而更好地发挥协同作用,让组织运行更更为顺畅。
3.产品是“骨架”服务填充“血肉”
目前,用户在选择OA办公系统时已日趋理性,不仅会关注产品与自身需求的切合度,也会更加关注OA厂商的实施服务能力。所以,用户将更关注OA厂商是否能够在实施过程中帮助他们进行应用推广,在项目交付时就能够初见成效。而要想做到这一点,OA厂商必须要有严格的实施过程控制机制和伸缩性足够强大的实施服务力量。
oa系统技术白皮书 第3篇
为了满足数据中心的发展需求, 2008年7月, 由中国工程建设标准化协会信息通信专业委员会综合布线工作组统筹研究的《数据中心布线系统的设计与施工》技术白皮书历经半年的时间, 终于和大家见面。经综合布线工作组授权, 本刊独家刊登其中最精华部分章节, 并以数据中心布线实施兵法为基准, 典型产品选择为立足点, 配置方案设计鉴赏, 安装施工注意要点, 测试方法等热点问题分析来为数据中心的设计者和使用者提供最佳面向未来数据中心综合布线系统的规划思路、设计方法和实施指导。
本栏目欢迎您提出宝贵意见与建议, 感谢您的参与与支持!
oa系统技术白皮书 第4篇
关键词:PKI技术;数字证书;认证中心CA
中图分类号:TP309 文献标识码:A 文章编号:1674-7712 (2012) 16-0071-01
一、引言
随着计算机软件技术和计算机网络技术的迅猛发展,传统的信息处理技术与决策方法和手段已经满足不了日常快速办公的需求,网络办公自动化系统(简称OA)以其在时间和空间上的优势已成为目前办公的主流趋势。但随之而来的安全问题也日趋突出,如何对用户的有效身份进行识别;如何对用户的信息进行保护,如何确保数据传输中不丢失不泄密。这些问题的存在直接影响到整个OA系统的信息安全。为解决OA系统中信息安全问题,确保数据的安全性、完整性和不可否认性,引入基于公共密钥基础设施PKI( public key infrastructure)技术是行之有效的方法。
二、PKI/CA概念
PKI( public key infrastructure)技术是应用公钥理论和技术建立的提供信息安全服务的密钥管理平台,它将用户的公钥和用户的其他标志信息(如编号、身份证号等)捆绑在一起,通过密钥和证书的管理,从而建立一个安全的网络通信环境。用户在获得加密和数字签名服务时,不需要详细地了解PKI是怎样管理密钥和证书,这样既方便了用户,又确保了OA系统中数据传输的真实性、保密性、完整性和不可否认性。
证书认证机构CA(certificate authority) 是保证网络信息安全的基础设施。它是PKI技术的核心,主要负责发放证书、规定证书的有效期和通过发布证书废除列表(CRL)确保必要时可以废除证书等。CA机构作为受信任和具有权威性的第三方,承担公钥体系中公钥的合法性检验的责任。[1]
三、OA系统中CA认证体系的设计
CA认证系统主要由CA管理服务器,以及Web服务器、证书库等构成。通过该系统,将建立数字证书授权中心,产生、分配并管理所有系统人员的身份认证证书,利用数字证书确定网上审批实体的身份,实现网上数据信息的安全传递。
RA系统是的以证书发放、管理的延伸,它由录入终端、审核终端、证书发行终端和证书受理服务器组成。[2]
1.录入终端:用于录入用户证书申请、挂失资料。
2.审核终端:用于对用户提供的资料进行审核和证书制作授权,并完成本受理点的数据管理和维护功能。
3.证书发行终端:用于将用户的私人密钥和证书保存并发放给用户。
4.证书受理服务器:负责密钥的生成,与以中心证书处理服务器的保密通信。
四、结束语
本文结合OA系统的特点设计了一个基于PKI技术的CA认证系统,这个系统是一个符合标准、方便使用的确保数据信息完整性、有效性和不可否认性的网络安全应用系统,它具有良好的互操作性和可扩展性。随着Internet的高速发展,防护与攻击之间的斗争也将更加激烈,基于PKI技术的CA体系作为一种网络信息安全的基础设备,有着巨大的生命力和前途。
参考文献:
[1]关振胜.公共基础设施PKI与认证机构CA[M].北京:电子工业出版社, 2002,4-10.
[2]贺刚.数字签名在校园办公网上的实现[J].湖北民族学院学报(自然科学版),2004(6).
[3]陈雪辉.电子签章系统在企业OA系统中的应用[J].信息技术与信息化,2008(3):49-51.
[4]张利岩.PKI/CA电子认证技术在信息安全领域中的应用[J].科技风,2008(5).
oa系统技术白皮书 第5篇
技术白皮书
思福迪·2014
Logbase运维安全管理系统技术白皮书
版权说明
© 版权所有 2005-2014,思福迪信息技术有限公司
本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属思福迪公司所有,受到有关产权及版权法保护。任何个人、机构未经思福迪公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。
商标信息
Safetybase、LogBase均是思福迪公司注册商标,受商标法保护。
读者对象
本文档适合于各行业信息部门主管、运维相关技术人员、服务人员、内部信息系统审计人员等。
约定说明
SOM:Logbase运维安全管理系统的简称,某些场合也被称为堡垒机; RDP:Windows远程桌面的缩写; SSO:单点登录系统的简称杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
获得帮助
安全相关资料可以访问公司网站:http:// 获取更详尽的思福迪网络安全专业服务信息、商务信息,您可通过如下方式和我们联系:
北 京
地址:北京市朝阳区小营路19号中基财富嘉园C座1802室
邮编:100101 电话:010-82031028 传真:010-82031020
杭 州
地址:杭州市文一西路75号3号楼6楼
邮编:310012 电话:0571-88923222 传真:0571-88923887 上 海
地址:上海市普陀区兰溪路1018号聚为商务中心B座416室
邮编:200333 电话:021-60494373 传真:021-61700648 南 京
地址:南京市中山东路532-2号金蝶科技园A1栋502室内
邮编:210006 杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
电话:025-84496243 传真:025-84496243 广 东
地址:广东省广州市天河区龙口西路67号贤人阁801
邮编:510635 电话:020-38095086 传真:020-38095076 西 安
地址:西安市高新区科技路50号金桥国际广场
邮编:710075 电话:029-89183271 传真:029-89183271 杭州思福迪信息技术有限公司/ 32
Logbase运维安全管理系统技术白皮书
目 录
版权说明........................................................................................................................2 商标信息........................................................................................................................2 获得帮助........................................................................................................................3
一、前言........................................................................................................................7
二、产品应用需求........................................................................................................8
标准及法规遵从...................................................................................................................8 第三方IT支持监管............................................................................................................10 远程运维安全管理.............................................................................................................10
三、产品概述..............................................................................................................11
系统架构.............................................................................................................................11 支持的运维协议与对象.....................................................................................................13
四、产品功能..............................................................................................................14
统一身份认证与SSO..........................................................................................................14 设备密码管理功能.............................................................................................................16 批量执行功能.....................................................................................................................18 细粒度访问授权.................................................................................................................18 关键访问操作二次审批.....................................................................................................20 违规访问告警与阻断.........................................................................................................21 实时操作过程监控.............................................................................................................22 历史记录查询.....................................................................................................................22 历史操作图形回放.............................................................................................................23 综合审计报告.....................................................................................................................24 审计数据存储管理.............................................................................................................25
五、产品特性..............................................................................................................26
协议覆盖全、易扩展.........................................................................................................26 灵活的访问方式.................................................................................................................26 协议深度支持.....................................................................................................................26 细粒度访问授权与控制.....................................................................................................27 支持批量执行功能.............................................................................................................27 大并发量处理能力.............................................................................................................27
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
流程化管理能力.................................................................................................................27 高度安全保障能力.............................................................................................................28 部署简单,使用方便.........................................................................................................28
六、部署方式..............................................................................................................29
单臂部署.............................................................................................................................29 双臂模式部署.....................................................................................................................30
七、应用效果..............................................................................................................31
八、规格指标..............................................................................错误!未定义书签。
九、总结......................................................................................................................32
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
一、前言
各种权威的网络安全调查结果均表明,在可统计的安全事件中,60%以上均与内部人员有关,这其中既包括恶意行为(越权访问、恶意破坏、数据窃取),也包括各种非主观故意引起的非恶意行为(误操作、权限滥用)。由此可见,规范内部人员的访问行为,特别是核心系统(主机、网络设备、安全设备、数据等)的维护行为势在必行。
传统的信息安全建设,往往侧重于对外部黑客攻击的防范,以及网络边界的访问控制,对信息系统安全威胁最大的内部人员行为却缺乏有效的管理。企业内部人员,特别是拥有信息系统较高访问权限的运维人员(如网管员、临时聘用人员、第三方代维人员、厂商工程师等),比外部入侵者更容易接触到信息系统的核心设备和敏感数据、内部人员恶意或非恶意的破坏行为更容易造成较大的破坏。
然而,由于现有管理手段的不完善,账号共享情况普遍存在,以及加密、图形协议的广泛应用,使得这些运维管理人员的日常操作,存在操作身份不明确、操作过程不透明、操作内容不可知、操作行为不可控、操作事故无法定位等安全风险。内部人员的操作行为几乎处于完全失控的状态,一旦发生事故,其后果的严重性将是无法预估的。因此,放任内部风险的存在决不可行。
此外,从遵守国家及本行业各项法律法规的角度考虑。随着《中华人民共和国计算机信息系统安全保护条例》的推广实施,对IT系统内部控制的要求越来越明确。如等保基本要求中明确提出,要对“内部维护人员登录主机、数据库所进行的所有操作行为”、“第三方人员的维护行为”进行审计和控制。
为满足用户对加强内部运维安全审计日益迫切的需要,思福迪公司依托自身强大的研发能力,丰富的行业经验,自主研发了新一代软硬件一体化运维安全专用审计系统——Logbase运维安全管理系统。该系统支持对企业内部人员的维护行为进行全面的管理、审计,消除了传统审计系统中的盲点,使企业对运维人员的操作过程,能做到事前防范、事中控制、事后审计的能力,是企业IT内控最有效的管理平台。
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
二、产品应用需求
标准及法规遵从需求
重要的信息安全国际标准
信息安全管理实施指南(ISO17799/BS7799-1)
2000年12月,国际标准化组织ISO正式发布了有关信息安全的国际标准ISO17799,这个标准包括信息系统安全管理和安全认证两大部分。ISO17799提供了一套综合的、由信息安全最佳措施组成的实施规则和管理要求,它广泛地涵盖了几乎所有的安全议题,非常适合于作为大、中、小组织的信息系统在大多数情况下所需的控制范围确定的参考基准。建立信息安全管理体系,能够提高组织自身的安全管理水平,将企业的安全风险控制在可接受的程度,减小信息安全遭到破坏带来的损失,保证业务的可持续运作。
ISO17799关于安全审计的内容包括: 10.10 监视
10.10.1 审计日志
10.10.2 监视系统的使用 10.10.3 保护日志信息
10.10.4 管理员和操作者日志 10.10.5 错误日志
15.3 信息系统审计考虑因素
15.3.1 信息系统审核控制
15.3.2 信息系统审核工具的保护 国内信息安全标准
计算机信息系统安全保护等级划分准则(GB17859)
计算机信息系统安全保护等级划分准则是我国计算机信息系统安全等级保护系列标准的核心,是我国实行计算机信息系统安全保护的重要基础,它将计算机信息系统安全性从低到高划分了五个等级:第一级用户自主保护级、第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级、第五级访问验证保护级;二级以上系统安全保护中增加了对安全审计的要求,从主机安全、网络安全、应用安全三个层面提出了安全审计的具体要求及应有措施,并逐级增强。(详见信息系统安全等级保护基本要求之6.1.2.3、6.1.3.3、6.1.4.3…) 国内重点行业信息安全法规
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
商业银行信息科技风险管理指引
第二十五条:
(三)制定最高权限系统账户的审批、验证和监控流程,并确保最高权限用户的操作日志被记录和监察。
(五)在系统日志中记录不成功的登录、重要系统文件的访问、对用户账户的修改等有关重要事项,手动或自动监控系统出现的任何异常事件,定期汇报监控情况。
第二十六条:
(七)以书面或电子格式保存审计痕迹。
(八)要求用户管理员监控和审查未成功的登录和用户账户的修改。 证券期货业信息系统安全等级保护基本要求
其中对网络、主机和应用的安全审计有明确的要求。
第二级中针对主机安全审计要求 “审计范围应覆盖到服务器上的每个操作系统用户和数据库用户。系统不支持该要求的,应以系统运行安全和效率为前提,采用第三方安全审计产品实现审计要求。审计记录应至少保存6个月”。
第二级中针对应用安全审计要求“对应用系统重要安全事件进行审计,审计记录至少保存6个月”。
第二级系统运维管理中要求“至少每季度对运行日志和审计数据进行分析,以便及时发现异常行为”。
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
第三方IT支持监管需求
在IT管理过程中引入第三方支持服务已经成为一种趋势,如设备维护、故障处理、监控、安全评估、安全加固等等。然而,第三方人员管理本身已经成为一个突出问题,目前,由于第三方人员能够直接接触企业的核心数据,一纸保密协议并不能真正保护信息系统的安全性,企业目前只能充分信赖第三方人员。
通过Logbase运维安全管理系统能够规范第三方技术人员维护过程的规范性,确保所有的维护过程在有效的监管中进行。
远程运维安全管理需求
目前,企业的信息系统运维过程中存在一系列的安全隐患,如:
·多位系统维护人员共用一个系统账号,当出现安全事故时相互推诿,缺乏客观、可信的依据来确定事故责任人;
·维护人员可能只需要执行简单的规定操作,但却通常需要使用拥有更多权限的系统账户,而系统自身又无法进行细粒度的授权管理,无法进行指令级或文件级别的访问权限控制;
·服务器、网络设备、数据库等资产的数量日益增多,按照管理要求定期修改密码成为耗时费力的琐事,基层运维人员是否严格遵守制度,按时完成密码安全管理工作,管理人员无法方便得知;
·当系统因某些操作发生故障时,因为缺乏对操作过程的全程记录,无法还原事故现场,确定问题原因,而使得系统恢复时间大大延长;
Logbase运维安全管理系统能够实现运维操作与自然人的一一对应,并对每个对象进行指令级细粒度授权、对运维过程进行全程监控、简化运维用户使用,避免上述现象发生。
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
三、产品概述
Logbase运维安全管理系统(Logbase SOM)是新一代操作行为管理安全审计系统,它采用软硬件一体化设计,通过B/S方式(https)进行管理,其主要功能为实现对运维人员操作服务器、网络设备、数据库过程的授权、监控与审计,实现对IT运维过程的全面监管。
该产品采用先进的设计理念,支持对多种远程维护方式的支持,如字符终端方式(SSH、Telnet、Rlogin)、图形方式(RDP、X11、VNC、Radmin、PCAnywhere)、文件传输(FTP、SFTP)以及多种主流数据库的访问操作。
系统架构
Logbase SOM采用模块化设计,主要由以下模块组成:行为控制模块、审计模块、管理模块、存储模块、用户管理接口模块,各模块间关系如下图所示:
图3.1系统架构图
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
行为控制模块 实现对网络、数据库、服务器维护过程的网络数据包代理转发、行为还原及记录、违规行为阻断功能; 管理模块 实现维护用户管理、主机资产管理、用户授权与访问权限管理,以及对审计记录的数据存储控制; 审计模块 实现行为安全审计功能,包括实时违规行为告警系统、历史记录检索系统以及报表系统; 用户界面 提供运维人员审计管理接口,以及运维用户的远程工具使用界面。
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
支持的运维协议与对象
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
四、产品功能
统一身份认证与SSO 在信息系统的运维操作过程中,经常会出现多名维护人员共用设备(系统)账号进行远程访问的情况,从而导致出现安全事件无法清晰地定位责任人。LogBase运维安全管理系统为每一个运维人员创建唯一的运维账号(主账号),运维账号是获取目标设备访问权利的唯一账号,进行运维操作时,所有设备账号(从账号)均与主账号进行关联,确保所有运维行为审计记录的一致性,从而准确定位事故责任人,弥补传统网络安全审计产品无法准确定位用户身份的缺陷,有效解决账号共用问题。
LogBase SOM支持多种身份认证方式:
本地认证 Radius认证
动态令牌(安盟、RSA) LDAP认证 AD域认证等 短信认证
Logbase SOM系统还支持SSO功能,运维人员一次登陆,即可访问所有目标资源,无需二次输入用户名、口令信息。
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
统一维护访问通道功能
Logbase SOM部署后,运维人员可以通过不同的方式对目标对象进行访问、维护: WEB控件方式访问,所有协议均可通过WEB空间方式从WEB直接发起访问,访问过程支持IE、Firefox、chrome等多种浏览器; 支持通过WEB直接调用本地客户端方式进行访问;
支持本地直接使用CS客户端直接访问,兼容管理员原有使用习惯
运维人员登录Logbase SOM系统时,系统会根据访问授权列表自动展示授权范围的主机,避免用户访问未经授权主机。
用户访问界面展示
此外,Logbase SOM还支持在运维过程中要求其他运维人员进行协同操作的功能,在协同操作模式下,2名运维人员可以共同操作同一个访问会话界面;
运维工作流管理
Logbase SOM系统内置了多个运维工作流程管理功能,IT部门能够通过运维工作流功能规范IT运维过程,工作流功能包含以下具体流程:
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
a)工作任务管理流程:
1.任务发起人通过系统下发工作任务;
2.任务接收人在个人消息中心实时接收工作任务信息; 3.任务接收人完成工作,在WEB界面中进行任务回复;
4.任务发起人接收到回复信息后,对任务执行情况进行确认,结束工作任务流程;
b)审计流程:
审计流程包含异常事件处理流程及报表审计流程两部分,审计人员可以查看相关异常事件及报表并添加相应的审计意见,否则该事件会一直处于未处理状态,以提醒审计人员对重点事件进行关注并审计。
自动改密计划界面展示
设备密码管理功能
LogBase SOM支持主机系统账号的密码维护托管功能,系统支持自动定期修改windows、Linux、Unix、cisco、huawei等设备的账号密码。
自动密码管理支持以下功能: 设定密码复杂度策略;
针对不同设备制定不同改密计划; 设定改密计划的自动改密周期;
支持随机不同密码、随机相同密码、手工指定密码等新密码设定策略;
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
改密结果自动发送至指定密码管理员邮箱; 设定指定的改密对象,支持AD域账号改密; 手工下载部分或全部密码列表;
自动改密结果确认功能,密码管理员必须人工确认已经下载或收到密码文件;否则改密计划自动停止执行,确保改密过程可靠性;
改密结果高强度保护功能,必须经过专用密码查看器加密码以及设备序列号才能访问
密码策略配置界面展示
自动改密计划界面展示
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
批量执行功能
Logbase SOM系统支持自动化在多台机器上批量执行指令。通过批量执行功能,管理员可以方便实现对多台主机的升级、备份等工作任务。 支持通过SSH、Telnet、Rlogin执行系统命令; 支持MySQL批量指令执行; 支持MySQL over SSH模式; 可设定任务执行开始时间; 可设定执行的目标主机与系统账号; 执行过程与结果审核;
批处理管理界面展示
细粒度访问授权
LogBase SOM系统通过集中统一的访问控制和细粒度的命令级授权策略,确保每个运维用户拥有的权限是完成任务所需的最合理权限。
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
基于向导式的配置过程;
支持基于用户角色的访问控制(RBAC ,Role-Based Access Control)。管理员可根据用户、用户组、访问主机、目标系统账号、访问方式设置细粒度访问策略; 支持基于时间的访问控制; 支持基于访问者IP的访问控制; 基于指令(黑白名单)的访问控制;
除访问授权之外,Logbase运维管理系统还支持针对访问协议进行深层控制,比如:
限制SSH协议使用SFTP 限制RDP访问使用剪贴板功能 限制RDP访问使用磁盘映射功能
是否启用强制审批功能(访问和操作前必须经过管理员审批) 是否启用备注功能(访问前必须先填写维护内容)
向导式策略配置界面展示
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
访问策略界面展示
关键访问操作二次审批
Logbase系统支持根据需求对特殊访问与操作进行二次审批功能,该功能可以进一步加强对第三方人员访问或关键设备访问操作的控制力度,确保所有访问操作都在实时监控过程中进行。
二次审批功能支持以下两种方式: 对新建远程访问会话进行审批 对特殊指令执行进行审批
由于每次访问操作都需要管理员进行审批确认,该功能也可以代替部分客户使用的双人密码管理方式。
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
违规访问告警与阻断
LogBase SOM系统支持根据已设定的访问控制策略,自动检测日常运维过程中发生的越权访问、违规操作等安全事件,系统能够根据安全事件的类型、等级等条件进行自动的告警或阻断处理。
阻断未经授权用户访问主机;
阻断从异常客户端、异常时间段发起的访问行为; 阻断指令黑名单的操作行为;
阻断方式支持:断开会话、忽略指令;
告警方式支持:WEB界面告警、短信告警、邮件告警等。
违规处理配置界面展示
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
实时操作过程监控
对于所有远程访问目标主机的会话连接,Logbase审计系统均可实现操作过程同步监视,运维人员在远程主机上做的任何操作都会同步显示在审计人员的监控画面中,管理员可以随时手工中断违规操作会话。
实时同步显示操作画面;
支持vi、smit、setup等字符菜单操作同步显示; 随时手工阻断违规操作过程。
历史记录查询
Logbase 运维安全管理系统支持两种查询功能,快速查询(单一条件)和高级查询(多重组合条件),审计人员可以根据操作时间、源、目标IP地址、用户名(运维、主机)、操作指令等条件对历史数据进行查询,快速定位历史事件。
快速审计查询支持在结果集中继续深入查询; 高级查询支持对将任意字段设为查询条件;
支持大于、小于、等于、字符包含、不包含、时间区间、IP区间等多种逻辑判断符;
支持任意多重条件组合查询;
海量数据高速检索能力,检索结果即搜即得;
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
快速检索界面展示
高级查询界面展示
历史操作图形回放
Logbase运维安全管理系统能够以视频回放方式,可根据操作记录定位回放或完整重现维护人员对远程主机的整个操作过程,从而真正实现对操作内容的完全审计。
完整回放整个操作过程; 根据特定操作进行定位回放;
支持快速播放、拖动、暂停、重放等播放控制功能; 可下载记录文件进行离线播放;
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
综合审计报告
Logbase SOM系统拥有强大的报表功能,内置能够满足不用客户审计需求的安全审计报表模板,支持自动或手工方式生成运维审计报告,便于管理员全面分析运维的合规性。
支持报表自定义扩展;
支持柱状图、饼图、折线图等多种方式对统计数据进行展示; 支持按天、周、月自动周期性生成报表; 支持报表自动发送功能;
报表配置界面展示
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
审计数据存储管理
Logbase SOM系统支持自动化审计数据存储管理,管理员可以对审计数据进行手工备份、导出,也可以设定自动归档策略进行自动归档。
手工归档、到处审计数据;
存储空间不足时自动归档并删除最早数据; 支持通过FTP、SFTP自动上传归档文件; 周期性自动归档功能;
自动归档策略展示
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
五、产品特性
协议覆盖全、易扩展
Logbase运维安全管理系统支持各种主流操作协议包括字符型操作(Telnet、SSH、Rlogin)、图形化操作(RDP、VNC、X11)、文件传输(FTP/SFTP)、数据库访问操作等。通过配置应用扩展中心(ACC),还可以灵活扩展其他操作协议及工具。
灵活的访问方式
Logbase SOM系统是兼容管理员使用习惯最好的运维管理产品,是唯一一款同时支持页面访问方式、菜单访问方式、客户端工具访问方式,WEB使用界面友好,能够最大程度适应不同用户的使用习惯。
同时,Logbase还支持多种协议的网络协同操作功能。
协议深度支持
Logbase SOM不仅能够对运维协议进行指令与图形操作记录,还能对多种协议进行深度支持,如:
SSH CLONE SESSION支持,管理员可方便复制当前会话; SSH客户端中可直接创建文件传输会话; 支持MySQL over SSH功能 RDP磁盘映射支持;
RDP 键盘输入与窗口标题识别 RDP剪贴板支持等。
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
细粒度访问授权与控制
Logbase SOM是业界唯一同时具备指令黑白名单、时间黑白名单、IP黑白名单的运维管理产品
无论字符还是图形操作均可进行同步监控、阻断;
重要会话与操作二次审批机制,大大增强了临时账号的安全性,阻断和忽略指令功能大大降低了误操作的风险。
支持批量执行功能
针对游戏运营商、云架构提供商等拥有大量服务器数量的客户,Logbase SOM系统支持批量执行功能,能够对大批量服务器自动执行批量指令或脚本,并能够对脚本的执行过程及结果进行跟踪及审计。
大并发量处理能力
高并发会话处理能力,字符型操作会话并发超过1000,图形会话并发超过600,能够满足不同容量用户运维审计需求; 采用专利存储和检索技术,轻松处理海量审计数据;
流程化管理能力
Logbase SOM系统支持工单模式与消息中心功能。
在启用工单模式下,每次会话访问前都必须先输入本次访问的内容与目的,便于后期审计。
Logbase SOM系统内置消息中心功能,管理员员可以通过消息中心发布维护任务,或者接收系统关键事件提醒,方便管理人员对信息系统运维状态进行。
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
高度安全保障能力
Logbase SOM系统通过多种技术手段来保障自身与审计数据的安全性。如: 存储空间采用RAID磁盘阵列,有效保护数据安全; Linux安全优化内核,有效提升系统稳定性和可用性; 系统模块独立设计,互相不影响安全性; chroot运行环境,确保系统不受模块影响; 数据防篡改、防删除设计;
严格的访问权限、审计权限控制体系;
运维用户虚拟化,不在运维系统中建立实际系统账号。
部署简单,使用方便
无需在服务器、网络设备上安装代理程序,不需要改变原有网络架构,只需Logbase SOM系统与被管目标网络可达即可,保证了业务系统原有的安全性和整体架构,不会影响业务系统的性能和稳定。
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
六、部署方式
单臂部署
单臂部署示意图
如图所示,Logbase系统在部署时只需要为其分配一个独立IP地址即可,无需对网络拓扑结构进行任何调整。一般而言,Logbase SOM部署在服务器所在网段,同时SOM的IP地址通过网络设备发布到外部网络中供运维人员访问。部署Logbase运维审计系统后,内部服务器的维护端口只需开放给运维审计系统,无需再让运维人员直接访问。对运维人员,只需开放Logbase运维审计系统的访问端口,从而进一步加强内部服务器的安全性。
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
双臂模式部署
双臂部署示意图
在双臂模式下,Logbase SOM拥有内外两个IP地址,内部IP地址与服务器网段相通,外部服务器用于运维用户访问。该部署方案适用于服务器网段与客户端网段划分清晰的情况,此外采用该方案有利于实施网络控制ACL。
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
七、应用效果
杭州思福迪信息技术有限公司
/ 32
Logbase运维安全管理系统技术白皮书
八、总结
Logbase运维安全管理系统,能够对运维人员维护过程的全面跟踪、控制、记录、回放;支持细粒度配置运维人员的访问权限,实时阻断违规、越权的访问行为,同时提供维护人员操作的全过程的记录与报告;系统支持对加密与图形协议进行审计,消除了传统行为审计系统中的审计盲点,是IT系统内部控制最有力的支撑平台之一。
杭州思福迪信息技术有限公司
oa系统技术白皮书 第6篇
一、背景概述
随着政府上网、电子政务的不断普及和深入,IBM公司的Lotus Domino系统在国内得到广泛的应用。其中不乏大型的、跨地域的企事业单位或集团公司应用案例。这些案例一般采用分布式系统结构,即分布在全国各地的分支机构分别设有独立的数据库服务器,各地数据库服务器采用数据库同步复制的方式更新本地数据库复本内容。从而使得各地终端用户及时、快捷、可靠地访问到最新公告、新闻等。
本文结合呼和浩特铁路局客运公司办公自动化系统案例讨论基于IBM公司的Lotus Domino技术构建的分布式OA系统中数据库之间的同步复制技术。
二、几个概念
IBM公司的Lotus产品包含Lotus Domino Server,Lotus Notes,Lotus Domino Administrator和Lotus Domino Designer。Lotus Domino Server为后台数据库平台,Lotus Notes为客户端,Lotus Domino Administrator为系统管理平台,Lotus Domino Designer设计开发工具。先介绍几个Domino中和同步复制有关的概念。
1、复制
Notes允许在多个服务器或工作站上保存数据库的多个拷贝,这些拷贝称做“复本”。它们使各个地方的不同网络上的用户共享相同的信息。复本与文件的拷贝不同之处在于在复制时源文件与其复本具有相同的复本标识符。
复制是在复本之间共享更改信息的过程。复制时,Notes通过把更改信息从一个复本拷贝到另一个复本来更新复本。最终,Notes 使所有复本保持一致。可以选择在复本拷贝之间进行复制,这时两个复本都发送并接收更新信息,或者选择仅从一个复本复制到另一个复本。
也可以定期安排复制,或者根据需要手动进行复制。复制可以在两台服务器之间或者在服务器和工作站之间进行。如果设定为定期进行完整复制,那么 Notes会根据时间使所有复本保持同步。
2、复本标识符
复本与源文件或数据库有相同的复本标识符。这是数据库的复本与拷贝的区别所在,因为有共同的标识符才能使复本与源数据库之间可以复制更改信息。如果数据库的两个拷贝具有不同的复本标识符,则不能在它们之间进行复制。
3、复制冲突和保存冲突
在复制之间,如果有两个或多个用户对相同文档的不同复本进行了编辑,就会导致复制冲突。而保存冲突则是在两个或多个用户同时编辑服务器上同一个数据库的同一个文档时发生。当发生复制冲突或保存冲突时,Notes 将在视图页面左边把发生冲突的文档标注出来。
Notes对复制冲突的处理是这样的,在两个或多个用户编辑并保存同一个文档之后,下次进行复制时,Notes 将编辑和保存最频繁的文档指定为主文档,而将其他文档显示为主文档的答复文档,并在视图页面左边用一个菱形符号标注出来。如果用户在一个复本中编辑并保存了某文档,然后另一个用户将该文档删除,则认为该文档是被删除的。然而,如果文档被编辑和保存了多次,或者在该文档被删除之后又被另一个用户编辑和保存过,则把编辑过的文档作为主文档。
Note对保存冲突的处理如下,当多个用户同时打开相同的文档进行编辑时,Notes指定最先保存的文档为主文档。当另一个用户试图保存同一文档时,Notes 就会提示该用户把它作为“保存冲突”文档来保存。如果用户这样做了,那么 Notes 将它显示为主文档的答复文档,并在视图页面左边用一个菱形符号标注出来。
根据笔者的经验,在实际开发过程中,我们应该通过设计控制保存冲突,避免文档产生“保存冲突”的答复文档。对于复制冲突可以设置数据库合并复制冲突,这样如果产生增量改动,服务器在复制过程中会自动合并冲突。需要说明的是,Notes在进行复制时,并不是传统意义上的完全拷贝,而是一系列的规则进行增量的合并。
4、复制类型
Domino中支持四种不同的复制方式
拉入推出:是一个双向过程。此过程进行时,呼叫服务器从响应服务器拉入更新,然后向响应服务器推出自己的更新。使用“拉入推出”时,呼叫服务器上的 Replicator 任务执行所有的工作。拉入推出是系统缺省的复制方式。
分别拉入:是两个服务器交换更新的双向过程。使用“分别拉入”时,两个复制器(一个在呼叫服务器上,另一个在响应服务器上)共同进行复制工作。
只推出:是呼叫服务器向响应服务器推出更新的单向过程。单向复制总是比双向复制耗时少。只拉入:是呼叫服务器从响应服务器拉入更新的单向过程。单向复制总是比双向复制耗时少。
三、案例
笔者曾经参与呼和浩特铁路局客运公司办公自动化系统的设计、开发和实施工作。呼和浩特铁路局客运公司包括三个信息中心,分别在呼和浩特市、包头市和东河区三个地方,三地之间通过64K的DDN专线连接。因为带宽的限制,用户远程访问速度成为本系统的瓶颈,经过再三论证,我们决定构建分布式数据库存储架构,采用后台数据库实时同步复制技术使三个异地服务器内容一致,将远程访问转化为本地访问,从而提高终端用户访问速度。
详细步骤如下。
1、安装服务器
在三地信息中心分别安装Domino服务器,服务器的详细配置并不复杂,读者可以参阅相关资料,一般情况下按照安装配置向导四步就可以快捷配置完毕。注意三台Domino服务器不要同名,其简单拓扑结构如下:
图中呼市处于相对中心的位置,所以呼市和包头之间,呼市和东河之间分别建立了互推复制机制,为了降低网络负担和流通环节,没有建立包头和东河之间的复制,各地直接通过与呼市同步来保持三地数据的一致。一般而言,如果各分支机构处于平等位置,互相之间的数据流量相当,也可以两两之间建立复制机制。
2、建立服务器之间的连接
对于两个服务器之间进行的复制,应创建一个“连接”文档来指定进行信息交换的方式和时间。“连接”文档存储在“Domino 目录”中。一次仅使用一个“连接”文档来处理每对服务器之间的所有复制。创建不必要的“连接”文档会增加网络传输量和阻塞。
缺省情况下,邮件路由和复制都已被启用,但是可以更改此设置并使用单独的“连接”文档来安排每项任务。这样,就可以分别控制复制和邮件路由的特定时间、时间范围或重复间隔,并根据需要增加或减小这些设置。
怎么保证服务器之间的连接能顺利的连通?实际上对于物理连接形式Domino并不关心,也就是说物理上无论通过什么连接方式,专线、光纤、X.25、电话拨号等,只要TCP/IP通,简单说只要能Ping通,就能够保证服务器之间顺利连接。
下面给出了建立服务器之间连接的操作步骤和主要参数的设置说明:
A)在 Domino Administrator 中单击“配置”附签。
B)在“使用目录”域中选择连接服务器的“Domino 目录”。
C)单击“服务器”,然后单击“连接”。
D)单击“添加连接”。
F)关键域配置描述:
域输入
源服务器连接服务器的名称
使用以下端口连接服务器或源服务器使用的网络端口(或协议)名称
使用优先级选择一个:“一般”(缺省)“低”
目标服务器响应服务器的名称
可选网络地址与所选协议相适应的目标服务器的地址。对于 TCP/IP,应使用完全有效的网络域名称(首选)或 IP 地址(例如:HR-E.Acme.com 或者 192.22.256.36)。
对 TCP/IP 或其他需要特定网络地址的协议,建议填写此域。
复制类型缺省情况下,Domino 的复制方向为“拉入推出”。但根据实际情况,为了平衡服务器之间的负载,充分发挥每个服务器的性能,我们可以设定双方互推或者互拉,本例中我们采用服务器双方互推的方式,即每个服务器上的连接复制类型都是由源服务器向目标服务器推出。
复制文件/目录如果为空,则服务器将DATA目录下的所有存在复本的数据库全部进行复制,否则填写哪个库系统就复制哪个库。
安排在安排中可以设置连接时间、重复间隔、每周复制日期等参数。可根据实际情况设定,本例设置为每日8:00到晚上10:00连接,连接期间每一小时进行同步复制或服务器依据增量自动复制,非连接时间服务器处理其他性能调优动作,如更新数据库索引等。
H)保存文档。
3、建立数据库复本
连接建立成功以后,保证服务器之间可以进行通讯了,下一步就是对要进行同步的数据库建立复本,当建立了复本以后,通过连接设定就能保证异地各个复本之间的数据完全一致。
这里需要说明的是,我们在第一台服务器上建立了一套数据库系统,对于需要同步复制的所有数据库,在其他服务器上只需要产生他们的复本,而不能再在每台服务器上分别创建相同的数据库。在本例中我们在呼市客运公司信息中心安装配置好第一台服务器后,在包头信息中心和东河信息中心的Domino服务器上则通过呼市信息中心服务器建立各自本地所有需要的数据库复本。
如果要在本地Domino服务器上创建源Domino服务器的复本数据库,需要本地服务器的系统管理员具有对源服务器访问和创建复本的权限,因为Domino对权限控制很严格,尤其是多域用户之间的访问,其目的就是为了充分保证系统的安全性。那么怎样才能具有这样的创建复本的权限呢?需要具有两个基本的存取权限就可以在本服务器上创建源服务器的数据库复本,一是源服务器配置中允许本地服务器的系统管理员访问,二是允许本地服务器的系统管理员创建数据库复本,这两个权限由源数据库的系统管理员设置给目标数据库的系统管理员。结合本例,需要在包头信息中心的服务器上建立呼市信息中心的数据库复本,则首先在呼市信息中心的服务器上配置“当前服务器”文档。
A)在 Domino Administrator 中单击“当前服务器”文档。
B)单击“编辑服务器”
C)选择“安全”标签页,填写以下两项:
域输入
访问服务器本例为包头信息中心系统服务器名称及管理员的用户名称
创建数据库复本同样是包头信息中心系统管理员的用户名称
D保存后退出。
接下来就可以在包头信息中心的服务器上创建源数据库的复本了,这步动作比较简单,选择源数据库,从菜单中执行创建复本功能即可,这里不在详细描述。
同样的处理在东河的服务器上如法炮制一遍,则所有数据库复本成功建立完毕。
4、复制测试
完成以上三步,配置就全部完成,接下来就要测试一下配置是否完全成功以及配置是否生效。我们测试主要包括两个内容:一是测试连接是否成功,能否进行复制动作。二是测试设置的复制安排是否按照预定生效。
A)进行第一项测试的办法是在Domino的控制台上,使用Domino的系统命令,进行数据库的推、拉测试,检查复制是否能成功进行,命令格式如下:
拉入复制
语法:Pull servername [databasename]
描述:强制从指定服务器到本地服务器进行单向复制。通过在命令行中包括单个数据库名称,将其从特定服务器单向复制到本地服务器。发起复制的服务器从指定的服务器接受数据,但不能申请将自己的数据复制到其他服务器上。该命令重设在“Domino 目录”中预定的任何复制,而强制一台服务器与发起复制的服务器立即进行复制。如果可能,请输入服务器完整的层次结构名称。
推出复制
语法:Push servername [databasename]
描述:强制进行从本地服务器到指定服务器的单向复制。也可以通过在命令行中包括要复制的单个数据库名称,来将其从本地服务器单向复制到特定服务器。发起复制的服务器将数据发送到指定的服务器,但不申请获得数据。该命令可以重设在“Domino 目录”中预定的任何复制,而强制一台服务器立即与发起复制的服务器进行复制。如果可能的话,请指定服务器完整的层次结构名称。
B)第二项测试通过将连接文档的安排时间设置为两分钟进行一次,同时观察Domino的系统控制台,查看服务器的动作,以确保安排设定生效。正确的结果是从控制台上能看到系统报告复制过程。
按照以上实例说明进行,没有任何问题。
四、结束语