目录1概述 (1)1.1项目背景 (1)1.2项目建设范围 (1)1.3参考文献 (3)1.4术语 (3)2设计原则 (4)2.1安全性原则 (4)2.2可靠性原则 (5)2.3适应性原则 (6)2.4可用性原则 (6)3架构设计 (7)3.1总体架构 (7)3.2技术架构 (7)3.3部署架构 (8)3.4功能架构 (9)4运行环境与技术实现 (17)4.1运行环境 (17)4.2技术实现 (18)5基础主数据详细设计方案 (20)5.1组织机构 (20)5.2用户 (26)5.3物料 (36)5.4产品 (48)5.5产品结构 (52)6系统备份/恢复 (55)6.1备份策略 (55)6.2备份频率 (55)6.3备份保持时长 (55)6.4数据恢复 (56)7核心业务数据集成方案 (57)7.1总体集成方案 (57)7.2各单位核心业务数据集成方案 (58)1概述1.1项目背景近年来航天四院为充分发挥自身的技术优势，完善从设计到生产的管理体系，加强各单位间的协同工作，目前各单位已不同程度上建立了以OA、ERP、财务管理等系统为主的信息化业务系统，后续各单位陆续展开工艺PDM、MES、档案等业务系统的实施工作。

四院各单位内部业务系统及跨单位的业务系统间都存在需要交互的核心业务数据、基础数据资源，基础数据管理没有适用于四院的标准规范和管理手段，给后续业务升级和业务系统间数据集成造成壁垒；核心业务数据交互没有统一管理和规划，属于最基本的点对点集成，不能有效监控核心业务数据交互情况。

在业务系统之间交互的过程中，由于各个系统实现的方式不同、建设的时间不同，导致接口技术不兼容、系统厂商不在场等情况。

阻碍了企业信息化的建设进度。

通过数据交换平台的建设和实施，可以兼容多种协议规范和多种技术规范，能够将企业当中的各个系统集成工作统一管理，并实现可以在不改变现有基础结构的情况下让几代技术实现互操作。

实现了企业的数据共享和业务融合，完成企业核心的基础数据的管理和规范，打通以前数据交互存在的屏障，让这些数据资源更充分的为各个业务系统利用，从而实现现有资源的最大利用，为后期信息化全面建设打下坚实的基础。

1.2项目建设范围基础平台搭建、基础数据建设及已有系统数据交换和集成，包括：标准与规范体系建设、数据交换支撑平台建设、基础数据管理（轻量级的主数据管理）、集中管控平台建设（包括统一监控管理和统一调度管理）、安全保障体系建设和集成实施几个方面。

（1）标准与规范建设：从服务集成、数据集成、文件传输和数据管理等多个方面，定义统一的标准和规范，并在实施过程中，积累更多符合自身发展的、可复制的最佳实践，不断沉淀、改进和评估，提高系统间集成效率，降低各系统运维成本。

（2）数据交换支撑平台建设：以数据交换及服务集成系列产品（企业服务总线ESB、消息中间件MQ、数据抽取ETL (DI)和大文件传输）为依托，提供跨系统、跨单位、跨区域的数据集成、交换、分发、共享机制和平台能力，支持结构化、半结构化、非结构化数据以及大文件的多级交换。

（3）基础数据管理：对数据交换过程中涉及的数据提供统一管理功能，包括：基础主数据（包括：产品、物料、产品结构、组织机构和用户）、核心业务数据（包括：设计、工艺、试验、生产、财务、售后、质量、公文、项目等业务过程的核心数据）。

通过基础数据管理平台的建设，帮助建立数据标准，为基础数据的统一建模、数据采集、录入、校核、映射、转换适配、分发、联机服务等提供平台化的管理能力，支持数据中心的持续建设和运维。

（4）统一监控管理：为每一个数据交换平台提供数据服务发布、访问授权和运行监控管理功能，通过动态监控和预警帮助运维管理人员随时掌握系统运行状态，及时发现系统的“亚健康”问题，提前预防和及时处理。

（5）统一调度管理：提供灵活的、多角度的模型作业调度机制，通过简单、灵活、易用的配置管理模式，减轻运维管理工作量，实现运维自动化。

帮助运维管理人员更加方便、全面地了解数据交换的运行情况，有助于迅速定位和排除故障，为及时主动的业务优化提供方向。

（6）安全保障体系建设：从保障应用系统和数据安全出发，结合军工涉密单位安全要求，帮助建立一个多级、可靠的安全保障体系，实现应用服务及数据访问的安全认证、权限控制和安全审计，从技术和管理两方面提供事前预防、事中控制和事后追溯能力，达到堵塞信息安全漏洞，严防信息泄密的目标。

（7）集成实施：完成院级、厂所级各单位系统之间的集成接口设计与核心业务数据集成，实现11家单位（总部、九部、技术中心、计研所、红阳、红峰、红林、江北、险峰、万山、万峰），跨武汉、孝感两地的数据集成交换，涉及设计和工艺产品数据管理PDM、生产管理、供应链管理、试验数据管理TDM、质量管理、车间制造执行MES、财务管理、综合办公OA、科研项目管理、档案管理等系统的数据集成交换。

1.3参考文献《协同数据交换平台技术协议》《中国航天科工集团O六六基地标准》《协同数据交换平台服务集成规范》《协同数据交换平台数据集成规范》1.4术语2设计原则2.1安全性原则协同数据交换平台应提供相关的安全功能，保障系统安全可靠的运行。

（1）系统三员管理要求在应用框架Coframe的基础上，结合单位需求，提供三员管理功能。

系统符合三员管理的要求（三权分立），即：系统管理员，安全保密员，安全审计员三员分离，分别负责系统运行，安全保密和安全审计工作（2）系统身份认证要求平台除了提供基本的基于用户名/密码的身份认证方式外，还需要提供基于Ukey进行身份认证的功能。

同时，能够与已有身份认证系统集成，提供数字证书认证等功能（3）系统日志审计要求平台提供了一套通用的日志审计框架，提供统一的审计日志记录和查询接口，实现日志管理方式的统一，实现审计日志的集中管理和跟踪。

（4）密级管理要求提供的数据权限控制机制，以及对敏感重要数据实施的数字签名和加密措施，实现对敏感信息的保护（5）系统访问控制要求用户权限控制：平台提供了开源应用基础框架CoFrame，提供了功能完善、可扩展的组织机构权限框架，包括组织机构的管理、岗位管理、人员管理、用户管理、工作组管理、功能菜单管理以及基于角色的授权管理体系。

文件传输控制：系统通过在表单维护、文件流转、附件上传、下载等环节实施密级管控和权限控制，保证授权用户合法访问，禁止高密低传和非法用户访问。

对于文件的上传、下载、分发等均记录日志，可进行审计跟踪。

（6）系统数据存储要求平台产品通过身份认证、数字签名和数据加密保证数据存储安全，可防窃取、防篡改、抗抵赖。

（7）系统代码安全性要求输入验证：系统对于一些敏感操作会通过附带数字证书和数字签名来提供原发证据。

身份验证和密码管理：系统提供可扩展的身份认证机制，支持用户名/密码、Ukey/PIN码等多种认证机制，可与已有身份认证体系集成。

会话管理：通过统一身份认证功能，可限制单个帐户的多重并发会话，限制一个帐号只能有一个会话（即不允许同一用户ID的并发登录）。

通过平台发布的服务请求URL不会带有会话标识符信息。

2.2可靠性原则系统在运行稳定的同时，应有严格的安全管理措施，符合国家安全保密要求，具有简明安全机制。

●必要的保密技术和设备。

●秘密信息的访问权限控制。

●秘密信息在传输中的自动加密。

●制定严密的数据备份方案和技术保障措施，确保系统的数据安全。

●系统部署采用垂直和水平相结合的集群部署方式，保证系统7*24小时不间断运行。

系统备份数据能够快速有效的进行恢复。

2.3适应性原则系统应该能够适应于多种运行环境，适应于企业信息化建设不断发展和业务结构化调整，来应对未来变化的环境和需求。

2.4可用性原则系统的可用性设计遵循以下几方面准则：1.易掌握准则系统应当在没有帮助或指导的情况下是可用的，只需要用户具有应用领域的知识和经验，而无需用户具有使用系统的经验。

2.功效准则系统不应当干扰和阻止一个有丰富使用经验的熟练用户对系统进行高效率的使用。

3.渐进准则系统应当便于用户在知识、技能和设施方面不断进步，在用户获得系统使用经验的过程中，适应其使用方式上的持续变化。

4.支持准则系统应当通过一种更容易、更简单、更快捷或更有趣的方式，或者提供新的可能来支持用户试图完成的真实工作。

5.环境准则系统应当适应其被使用和操作的真实条件和实际环境。

3架构设计3.1总体架构协同数据交换平台利用企业服务总线、数据抽取ETL、消息中间件、大文件传输等相关技术，包括文件适配器、数据库适配器、Web服务中间件等在内的数据集成基础支撑平台，打通单位业务系统内部集成、横向集成、纵向集成的通道。

从设计、生产、质量、财务以及人员等几个方面进行院内部数据应用集成场景的梳理，实现相关系统之间的数据集成与共享。

3.2技术架构根据各单位的地域分布和数据交换需求，协同数据交换平台采用三层集成应用架构模式，设立3级数据交换平台：（1）武汉院级数据交换平台；（2）孝感院级数据交换平台；（3）厂所级数据交换平台。

总体技术架构如下图所示：3.3部署架构协同数据交换平台采取院级部署和厂所部署相结合的方式，在院级按地域划分，分别建立武汉院级数据交换平台和孝感院级数据交换平台，厂所级单位分别部署数据交换平台。

各厂所级单位内部应用通过厂所级数据交换平台完成数据交换，院级应用之间通过武汉院级数据交换平台完成数据交换，院级与厂所应用间通过孝感院级数据交换平台及武汉院级数据交换平台完成数据交换；3.4功能架构3.4.1数据交换平台功能架构一、企业服务总线（ESB）Primeton ESB 产品主要包含：➢Primeton ESB Studio：主要提供各种服务(中介服务、穿透服务、编排服务等)的开发、调试以及属性设置、元数据导出等，为便捷快速地开发各种服务提供可能；➢Primeton ESB Server：提供了多协议的支持以及为服务运行提供了高性能、高可靠的运行环境，支持IBM MQ中间件，方便的扩展机制，为Primeton ESB 融入企业IT环境提供了有效支撑及管控手段，同时不依赖于J2EE容器的特性大大提升了性能；➢Primeton ESB Console：提供了独立和集群环境中的ESB Server进行管理，同时对于服务全生命周期进行管理；➢Primeton ESB Service State Monitor：提供了对ESB Server运行时数据的存储、分析能力，增强了客户感知度；➢Primeton ESB Software Asset Management：提供了服务注册、服务查找、SLA管理等功能；二、DIPrimeton DI由以下六部分产品组件组成：DI Server（数据集成引擎）、DI Agent（数据集成节点代理）、DI Component Library（数据集成组件库）、DI Studio（数据集成建模工具）、DI Governor（数据集成模型治理）、DI Metadata Warehouse（元数据仓库）。