机构员工管理系统建设项目建设方案目录1. 项目背景 (1)2. 需求分析 (2)2.1 现状分析 (2)2.2 需求分析 (4)3. 设计原则 (7)3.1 技术标准 (7)3.2 设计原则 (10)4. 系统优势 (12)5. 安全指标 (14)6. 功能指标 (16)7. 性能指标 (18)7.1 数据的完整性与一致性的要求 (18)7.2 系统响应能力 (18)7.3 系统稳定性 (18)7.4 安全性 (19)7.5 系统易用性 (19)7.6 可维护性 (19)8. 技术方案 (20)8.1 系统拓扑架构 (20)8.2 系统逻辑架构 (20)8.2.1 系统功能架构 (22)8.3 系统功能介绍 (23)8.3.1 GIS地图定位子系统 (23)8.3.2 地理坐标管理模块（GIS） (24)8.3.3 企业信息展示模块 (24)8.3.4 GPS跟踪模块 (25)8.3.5 转移线路描绘模块 (26)8.3.6 某市危险废物转移信息管理系统移动终端功能扩展 (27)8.3.7 基础资料管理子系统 (28)8.3.8 危险废物申报登记子系统 (34)8.3.9 消息通知子系统 (45)8.3.10 危废转移申请移动终端管理子系统 (47)8.3.11 危废转移审核移动终端管理子系统 (52)8.3.12 台账管理子系统 (58)8.3.13 统计子系统 (62)8.3.14 电子联单移动终端管理子系统 (65)8.3.15 系统管理 (69)1.项目背景某资产管理股份是中国领先的金融资产管理公司，以不良资产经营为核心，通过协同涵盖银行、证券、期货、信托、融资租赁、基金管理、保险、投资及地产的多元化业务平台，向客户提供量身定制的金融解决方案与差异化的服务。

公司在地的30个省、自治区、直辖市设有33家分公司，在地和拥有9家全资或控股一级子公司。

主要业务包括：不良资产经营业务、投资及资产管理业务和金融服务业务，其中不良资产经营是公司的核心业务。

随着业务和信息技术的发展，公司的信息化水平不断提高。

根据2016年完成的信息化5年规划，在未来几年系统数量将达到50多个，随之也带来诸多新的系统安全问题和风险。

系统用户认证、权限管控等将更为复杂。

公司在十几年前就已认识到用户统一认证、权限管理的重要性，并开发了用户管理系统、CA认证系统等，实现了通过CA证书、AD域控对用户的统一认证，单点登录，并实现了对系统权限的集中管控。

但由于其系统功能、架构等的局限性，已无法满足目前系统环境对机构、员工、用户、角色、资源、权限等管理的需求（具体容见“主要问题和挑战”章节）。

根据信息化规划，建议新建或在原用户管理系统的基础上进行重大改造以建设“机构员工管理系统”提升对机构、员工及用户权限的管理功能，实现与人力资源系统同步机构员工基本信息，并发布给各系统；实现对用户的全生命周期管理，统一系统级权限管控，并支持对一些通用或缺省角色的统一管理；实现用户账号的合规分析及用户操作的审计功能。

2.需求分析2.1现状分析信息化规划中所规划的机构员工管理系统的功能，在目前的系统结构中主要在网络办公平台中的用户管理系统实现。

现有的用户管理系统应用架构现状示意图如下：2007年母公司部署用户管理系统1.0版本，实现了母分公司系统用户的统一认证，单点登录和用户权限的统一管理。

2012年集团总部以及九个子公司部署用户管理系统2.0版本，实现了对子公司用户访问集团应用的系统级的权限控制；母公司在2012年后开发系统的系统级用户管理功能也升级到用户管理系统2.0版本进行管理。

因之前开发的系统升级改造难度较大，仍使用用户管理系统1.0版本的用户管理功能，在母分公司形成了新旧两套用户管理系统并存的状况。

集团总部与母公司和各子公司共有12套用户管理系统，用户管理系统采用星型架构连接。

使用用户管理系统1.0的核心业务系统、档案管理系统等和使用用户管理系统2.0的部评级系统其角色权限的设定在用户管理系统实现。

近几年，公司开发的系统多以套装软件为基础进行开发，而套装软件本身基本上都带有用户管理功，因此，对于近期上线的系统，用户管理系统以实现系统级的用户权限管控为主。

现有的用户管理系统对机构、员工、用户、权限的管理状况如下：机构管理：某资产（母公司）与人力资源管理系统（旧）共享一套机构信息数据，数据由人力资源管理系统（旧）维护；用户管理系统支持向目标应用系统推送机构信息数据；各子公司的机构数据信息可以在用户管理系统中自行维护。

员工管理：员工数据统一由人力资源管理系统维护；用户管理系统中的用户与员工信息没有对应关系。

用户管理：用户数据由各用户管理系统自行维护管理；集团用户管理系统汇总所有的用户信息；某资产的用户口令由CA证书平台和AD域控服务器管理；各子公司的用户口令由用户管理系统管理；部分可以直接访问的系统也具备用户口令管理功能。

权限管理：某资产和各子公司的用户管理系统维护用户的系统访问权限数据；在集团用户管理系统中，接收各用户管理系统的用户信息和权限数据；应用系统接收用户管理系统推送的用户、机构数据，自行管理本系统的用户在系统的功能、操作、数据等权限。

用户管理系统不支持用户创建、权限调整、注销等审批流程的灵活配置，相应的审核、审批流程在程序中固化，通过协同网络办公平台的任务中心实现。

用户管理的现状总结如下表所示：系统机构信息用户信息权限信息管理应用系统用户管理系统（集团）汇总全集团机构数据汇总全集团的用户信息共有6261个用户、417个角色用户对集团应用系统的访问权限集团级应用系统：•综合统计信息系统•集团网络办公平台•客户信息管理系统•部评级系统•…某资产（母公司）与人力资源管理系统（旧）共用一套机构信息，不可维护（由HR统一管理）管理某资产所有的用户总部用户642人分公司用户1699人用户对某资产应用系统的访问权限用户对集团应用系统的访问权限某资产自有应用系统；•网络办公平台•IT项目综合管理系统•资产档案管理系统•…子公司自建机构信息管理所有登录网络办公平台的用户用户对集团应用系统的访问权限用户对子公司个别应用系统的访问权限集团应用和子公司自有应用系统；•集团网络办公平台•财险培训•…2.2需求分析机构员工管理系统作为某统一用户管理和机构、员工、用户相关信息的统一发布渠道，为某用户管理、统一认证、授权管理提供充分的保障，并对其它应用系统提供机构、员工信息的支持。

经分析机构员工管理系统建设项目需求如下：➢机构员工管理机构就是对应现实世界中具体的组织，这些组织既可以是实际的组织也可以是虚拟的组织。

某的部组织机构信息来源于人力资源系统（支持联机调用和批量数据传输），外部及虚拟组织机构信息可在本系统维护。

员工信息包括公司的正式员工、合同工等员工信息，也包含有使用某系统需求的外部人员信息。

部员工的信息由人力资源系统提供唯一来源；外部人员信息可在本系统维护。

各应用系统如需要本系统维护的机构、员工（包括外部人员）信息，这些信息由本系统统一发布（支持联机和批量数据推送）。

➢用户管理用户身份管理负责对用户信息进行统一管理、统一注册。

针对不同应用的需求，整合人员各方面信息，建立企业人员目录并提供身份的全生命周期管理（入职、变更、离职、口令到期等）。

实现资源（应用和系统）的统一管理和符合管理要求的供应策略。

提供用户创建和变更的审批工作流服务，对用户实现灵活的、可配置的流程化管理。

机构员工管理系统需对各应用系统中的用户信息进行整合并与之双向同步，包括实时同步。

另外，本系统需支持实现基于安全策略的回收、挂起等自动化管理功能；提供对现有进行定期重新认证功能，以确保没有未及时清除的孤儿账户；支持职责隔离策略的制定。

➢统一认证支持与某现有的CA认证系统、AD域控服务器集成等认证方式，为所有的后台应用系统提供集中的身份认证平台。

支持单点登录（SSO）功能。

➢授权管理授权管理包括针对不同的应用系统，提供系统级访问权限的管理；同时，考虑规化用户管理的需求，系统的选型、建设应支持对角色等的管理功能，支持对一些通用或缺省角色的统一管理，并支持未来可能的统一角色权限管理的需求。

系统需提供用户的各种权限查询功能。

➢合规管理与集中审计提供合规情况的统计分析和基于安全信息事件的合规分析。

要求身份管理、身份认证、授权管理的所有操作都可以进行审计。

审计记录应包括事件的日期和时间、用户、事件类型、事件容、事件是否成功等容；提供审计事件选择、可选审计查阅等；应提供审计记录的存储与保护，防止审计数据被非授权用户破坏。

➢身份管理规机构员工管理系统对员工身份与访问控制进行统一管理，从信息安全的角度要求进一步完善身份管理相关的规章、流程，需要制定身份管理规、密码策略、授权管理流程等相关管理制度。

随着机构员工管理系统的建成推广，身份管理规也需要在公司进行宣传、培训，并监督员工的执行。

➢开发的标准规机构员工管理系统作为基础性平台，未来众多应用与系统均需要与其集成。

因此接口的标准规与开发集成规均需要在该项目中制定并完善。

3.设计原则3.1技术标准本系统的设计和开发依据以下的计算机软件工程规国家标准：遵循国家标准代码遵循行业标准代码遵循约定俗成的代码按照要求，设计保留扩充接口的代码本项目建设主要依据以下的标准及规:3.2设计原则1、先进性和实用性并重原则管理平台设计坚持采用先进的技术，以提高整体效率。

同时，在兼顾技术先进性的基础上，坚持以需求为导向，讲际应用效果，不片面追求高、尖技术的尝试，尽可能采用成熟技术，以保证架构设计的可靠性和稳定性。

2、标准化和规化原则管理平台设计工作严格遵循国家、行业的有关技术标准和规，为各个业务应用系统在应用和数据方面的集成提供前提条件，实现环境信息资源的共享和利用。

3、开放性和兼容性原则为了实现业务应用系统的集成，必须建立开放式的应用架构，对各类协议和异构数据库提供支持，兼顾已有的业务应用和数据资源等信息基础，还要充分考虑未来系统扩充的可能。

业务应用系统设计应依托应用支撑平台，建设新应用系统，集成部分已有系统，为其他新应用系统提供支撑环境，整体架构应能够适应未来的发展，避免造成投资浪费。

4、松耦合和粗粒度集成原则管理平台的建设中，对不同应用之间的集成应遵循“松散耦合”的原则，可采用异步通讯、SOA架构等手段，通过粗粒度服务可以实现一次调用就完成既定功能。

这样，在服务实现过程中，将服务使用者和服务提供者隔离开来，确保业务应用系统之间的集成能够在完全不影响现有业务应用的情况下进行。

5、灵活性原则在系统结构的设计、应用软件结构与设备的选择等均要有较大的灵活性和方便性，使系统易于扩充和升级、维护。

在应用软件的设计方面，系统采用参数化、模块化的方法，通过灵活的定义和管理措施，包括机构管理、人员管理、操作权限、统计分析容等方面，简化应用系统维护的工作量。