政务通平台建设方案.docx
政务通平台建设方案521.4、 首页功能521.4.1、 显示图片新闻(直接与门户网站对接);521.4.2、 我的应用(根据下载的插件自动填加进入,可左右滑 动);5.2.143、 部门信息(直接与门户网站对接);5.2.144、 通知通告(直接与门户网站对接);521.4.5、 我的收藏(直接与门户网站对接);521.4.6、 通知管理;521.4.7、 二维码扫一扫(扫码登录);521.4.8、 常用功能:(1)行事历(与协同0A对接);(2)、网盘功能(系统自带);(3)、便签纸条功能(备忘录形式,可保存,可指定以系统消 息形式发送给指定用户,接收的用户可在纸条上回复,本功能系统自 带);521.5、 “我的”功能521.5.1、 显示、配置当前用户的各项基本信息、头像等内容;521.5.2、 配置手势密码;521.5.153、 识别配置;521.6、 通用功能:所有新闻、帖子浏览,带有“语音朗读”功能;521.7、 后端功能要求包括用户服务、应用服务、系统管理服务的功能、主要包含如下:522.1、 用户服务:5.221.1、 跨越内外网的组织树及用户信息的同步功能;5.221.2、 APP登陆端的控制(包括临时禁止、期限禁止登录等);5.221.3、 自定义用户分组(配合灰度发布);5.222、应用服务:5.222.1、 贯穿应用的注册、测试申请、上线申请及其审批的全 流程管理;52222、应用的发布管理(灰度发布);5.222.3、 软件仓库配置管理;注:灰度发布是本平台提出的一个概念,原先移动应用发布后, 所有连入仓库的用户均可见到和下载,也就是非黑即白的概念,灰度 发布则是基于平台研发的“自定义用户分组”功能,在发布时可以指 定任意用户分组内的用户可见可访问,这样就实现了分阶梯,渐进式, 可控范围的应用发布机制,由于其领先于原先“非黑即白”的发布模 式,在黑白之间可任意控制发布范围,形成灰度阶梯,因此称为“灰 度发布”。1.1.1、 接口管理功能1.1.2、 1、接口状态监控与管理,包括:(1)、接口状态监测:通过接口以轮询方式,实时获知接口状态;(2)、接口状态预警:接口状态感知出错或超时立即启动预案,显示预警内容;(3)、故障接口临时接管:超过三次感知调用失败,系统理解 切换接口指向,以“接口故障通告”临时接管,确保用户体验;(4)、危急值应急处置:超过三次感知调用失败,立即根据配 置的预案,通报相关的人员现场解决。1.1.3、 2、接口管理与配置1.1.4、 3、接口调用统计包括调用量、调用来源、失败次数、接管次数、预警次数、危机 处置次数等;1.1.5、 4、运维管理功能(1)、预案管理:含巡检计划、资源备案、现场计划备案等(2)、通知通报(3)、危急值处置报告(4)、维护日志管理(5)、巡检报告管理5.224、 接口要求实现接口标准化,固定成四种标准模板,:A、同步表方式(例如组织树和用户同步);B、Web services方式(与门户网站后台CMS对接);C、数据库直读方式(简单应用对接);D、网页直读方式(简单应用门户对接);为充分考虑政务数据传输的安全性,app前台与服务端之间,后 台与外部系统之间主要推荐Web services接口,并对传输数据进行加 密,同时推荐在链路层进行加密链接,这样从接口层、数据层和链路 层都充分保证政务数据的安全传输。对于实在需要数据库直读等其他方式的接口,为充分保证安全性, 考虑从两个方面开展安全措施:一是进行终端实名认证,确保访问终 端是安全的;二是数据库内容加密。接口标准化后,应在后台管理系统上设置相关的接口管理模块, 做到每个栏目的接口均可后台配置,以此提高应用配置的灵活性。5.225、 用系统建设要求5.225.1、 认证服务系统本系统功能需求如下:5.225.14、 稳定的接口体系,稳定、安全的进行政务内外网之 间的用户账号、组织树等基础信息的同步机制;53.1.2、 通过同步到平台的用户账号、组织树等基础信息与人脸、 手势等认证方式的挂钩,辅以短信确认,在平台端建立起一套建立面 向全区各移动政务应用的单点登录、统一实名认证的机制;53.1.3、 在平台端针对用户账号建立管理模块,实现对用户账号 的确认、控制、修改机制;53.1.4、 立“自定义分组”功能,在组织机构之外,根据实际 情况对特定用户建立任意的自定义分组,此项功能本次建设用于支撑 区移动应用的“灰度发布”机制。未来自定义分组功能将逐步升级为 区移动应用统一权限管理功能;5.3.1.5、 建立用户登录的控制和管理服务,管理员可临时禁止账 号登录某应用,可以设置账号在一段时间内允许或禁止登录某应用;5.3.1.6、 建立用户账号异常登录和修改的预警监测功能。5.3.2、 移动应用管理服务系统本系统功能需求如下:5.321、 建立全流程的移动应用注册申报、接入审核、上线审核 和发布管理/升级机制。5.322、 建立灰度发布机制。5.323、 建立应用仓库管理功能,支撑前台APP。5.324、 建立应用使用的统计分析和异常预警机制。533、移动应用整合服务系统本系统功能需求如下:533.1、建立区移动应用接口监控机制机制,通过轮询心跳监测 的方法,对各个应用接口的状态进行实时的监测。53.3.2.建立区移动应用接口应急处置机制,一旦心跳监测报警, 立即触发接口应急接管和通报,并实时通报相关人员进行处置。5.333、建立巡检和应急工作管理机制,对巡检日志和应急处置 工作进行管理和统计,并进行其执行效果进行年度总结评价,供运行 维护费用的结算时参考。534、即时通信服务系统本系统支撑和赋能给前端APP实现“交流”功能的后端服务系统, 主要功能需求如下:5.341、实现类微信的点对点聊天功能,需要支持发送文字、表情、语音、图片、短视频、位置等功能。534.2、 实现类微信的群组功能,可自定义群组,需要支持发送 文字、表情、语音、图片、短视频、位置等功能。534.3、 实现群内论坛和公告(“碰头会”)功能。534.4、 实现通讯录与平台全面整合功能。534.5、 实现内外网即时通信平台交互对接功能534.6、 证书中心建设要求信息化的迅猛发展,政府、企业、机构等不断增加的业务系统, 各组织信息系统之间、组织内不同信息系统之间,以及组织业成员与 信息系统之间,越来越多地通过网络进行交互。如何保证组织内网安 全方便地开放业务,保证各组织信息系统之间、组织内不同信息系统 之间,以及组织成员与信息系统之间通过互联网实现安全高效地互通, 已经成为一种广泛基础的需求。随着移动终端和移动互联网应用逐步深入和广泛,未来越来越多 的关键应用过移动终端和移动互联网实现,如何解决移动开放终端和 开放网络带来的信息安全问题,为用户和组织实现无所不在无时不在 的应用保驾护航,一直是移动互联网应用的关键问题。以PKI/CA技术为核心构建网络安全信任保障体系,实现身份真 实性认证、信息完整性和数据一致性验证、业务行为责任界定和事后 责任追溯的常见方案和技术,是目前国际国内公认成熟适用的技术机 制,已经在政府、金融、电信、企业等领域大面积应用,同时PKI/CA 也是信息安全等级保护制度以及国家信息和网站运营主管部门、 安全主管部门、保密部门、密码管理部门等多部门齐抓共管的信息安 全体系建设要求。手机证书认证系统基于PKI/CA体系,为用户提供移动终端上的 数字证书发放、证书安全认证、数字签名、数据加解密方案,从而满 足用户在移动信息化应用过程中面临的身份真实认证、数据完整性和 机密性保护、不可抵赖性等方面的需求534.6.1、 目标541.1、 即使用户帐号和pin码被盗,盗取者也不能冒用用户身 份在其它终端进入用户账户系统。541.2、 2、抗撞库攻击。541.3、 即使用户手机被盗,盗取者也不能使用,并且系统后台 可以对终端进行远程锁定或销毁。541.4、 黑客不能在其它手机上复制用户手机数据,复制无效。541.5、 黑客不能通过篡改手机支付客户端进行钓鱼攻击,钓鱼 无效。541.6、 黑客不能篡改交易数据,篡改无效。541.7、 建设内容5.421、 移动证书发放5.421.1、 移动终端实现证书发放支持白名单管理模式:5.421.2、 管理员绑定用户身份和手机号信息,生成用户白名单。5.421.3、 用户打开手机APP,身份认证登录之后,下载、安装个人数字证书。5.421.4、 手机证书申请下载示例如下图6-39所示:5.422、 扫码认证5.4.221、 用户访问应用系统登录访问页面,页面上显示随机的 登录二维码;5.4.222、 用户打开手机端手信签APP应用,进行数字证书认证 登录;5.422.3、 登录后通过手信签APP扫码PC端登录页面二维码;5.422.4、 手信签APP向统移动安全认证服务器提交登录二维码 信息;5.422.5、 移动安全认证服务器向应用系统通知登录二维码随机 数和手机证书认证结果数据;5.422.6、 PC端登录页面显示登录成功,进行登录后页面跳转。5.423、证书数字签名个人手机证书APP为用户提供数字证书申请、管理和电子签名功 能,作为个人的通用数字签名系统,当用户在各类应用系统(web应 用、client应用、移动APP应用、PDA应用等各类终端应用)中需要 登录认证和电子签名时,由移动安全认证服务器面向应用服务端提供 通用的后台接口,接收待签名数据和待签名用户信息,然后由移动安 全认证服务器推送到手机证书APP应用中实现证书签名。6、安全要求在信息安全方面,要求如下:原则上必须基于等保三级的标准进行建设。平台总体上分为“云 管端”三部分,也就是平台端、链路端和终端,建设必须按照如下要 求进行建设。6.1、 平台端在平台端,应采用3项措施:6.1.1、 平台部署在政务外网DMZ区,与内网以网闸隔离,同步 工作采用中间表形式,由内网系统每日推送到前置中间表,平台通过 网闸定时开启通道访问,形式为单向只读,确保内网安全。6.1.2、 平台本身信息安全方面必须进行安全测评,部署防火墙、 IPS等相关的安全设备,并进行全面漏洞扫描,升级、关闭相应的漏 洞,确保本身的安全。6.1.3、 整体系统架构可以支撑在适当时候对平台的整体架构进行 升级,在公网另外部署一套平台,以此形成双活体系,确保任何一处 发生问题,整个系统不会瘫痪。6.2、 链路端在链路端,由运营商提供相应的保障。6.3、 终端在终端主要应采用如下措施:631、内网的账户和密码只用与首次登录,其后采用手势密码, 确保前端密码与内网密码脱钩。6.3.1、 本地原则上不保存数据(除了部分缓存),所有信息来自 服务端,前端APP设计为轻量级的展现为主的web appo6.3.2、 终端进行身份认证管理,由平台端发布证书进行认证,确 保终端和使用的安全性。7、性能要求7.1、 项目开发标准本项目按照等级保护(三级)进行建设,参照等级保护(三级) 相关标准对应用软件进行设计和开发。7.2、 系统性能要求721、移动政务平台支撑350个并发。722、用户操作:简单办理操作:设同时在线人数250时,响应时间1秒查询分析操作:设同时在线人数100时响应时间1秒1、背景与现状概述42、建设目标53、建设原则54、总体需求65、建设内容75.1、 主要建设内容7平台应用服务系统85.1.1、 政务通APP设计8手机证书服务中心设计85.1.2、 平台部署与整合设计85.2、 政务通APP建设要求85.3、 各应用系统建设要求13统一认证服务系统135.3.1、 移动应用管理服务系统14533、移动应用整合服务系统145.3.4、 即时通信服务系统145.4、 手机证书中心建设要求15建设目标165.4.1、 建设内容166、安全要求176.1、 平台端186.2、 链路端186.3、 终端187、性能要求197.1、 项目开发标准197.2、 系统性能要求191、背景与现状概述随着互联网的飞速普及,移动端的装机量己经超越pc终端,成 为人们主要的信息访问入口,由此信息系统向移动端迁移的趋势已经 不可逆转。根据上述的趋势分析,政府各有关部门的办公类、信息类、执法 类等各电子政务、业务类信息系统将逐步向移动端转移,预计在三到 五年内,移动终端将代替PC终端成为公务员、社工等各类政府工作 人员的主要工作界面。在上一轮电子政务系统的建设过程中,由于种种原因,存在条重 块轻,各条线应用系统成为信息孤岛的重大问题,因此,在本次政务 类移动应用的建设热潮中,需要特别警惕类似现象的再次产生,避免 移动应用成为第二轮的信息孤岛。认真贯彻落实科学发展观,以政府电子政务“十三五”发展规 划、智慧城市建设三年行动计划和区政府工作要求为指导,紧 密结合政府网站测评要求,充分借鉴国内外及兄弟区县的先进经验, 遵从“多个部门、一个政府”的现代政府理念,切实体现“以公众为 中心、以服务为导向”的原则,以实现“资源共享、互联互通”为突 破口,借助互联网的发展趋势和新的技术优势,进一步提升和完善政 府门户的规范性建设和高可用性建设,提高信息发布的时效性,完善 信息服务覆盖范围,增强公众监督能力,进而促进政府职能转变,提 高政府服务力,提升宣传形象。深入贯彻落实科学发展观,紧密围绕加快推进“四个率先”、加 快建设“四个中心”和社会主义现代化国际大都市的总体目标,严格 按照政府自身建设要求,以提高社会管理能力和公共服务水平为重点, 以整合资源、深化应用、创新服务、绩效管理为主线,全面加强电子 政务建设与管理,努力构建与现代化行政管理要求相适应、与城市创 新驱动和转型发展大局相一致、与信息网络技术发展水平相同步的电 子政务发展新格局,有力促进“服务政府、责任政府、法治政府和廉 洁政府”建设,服务本市经济社会的全面、协调、可持续发展。2、建设目标通过本项目建设,构建面向公务员、社工等各类政府工作人员的” 政务通”平台,实现统一应用管理,建立区级应用仓库,实现部门研 发的应用统一提交、统一管理,并加强对移动应用的管理工作;实现 平台服务,逐步将通讯录、行事历、便签、网盘、发通知、收发文、 签报、预定会议室、文件内部流转等各类通用型办公应用转化为插件, 作为平台基础服务,并拓展到移动端,降低各部门的资源、及人力负 担,支持部门的日常工作。适应移动互联网的发展,新增二维码认证 访问,实现移动政务办公互联网化。在"政务通"平台上搭建语音通 信与即时通信功能,实现公务员的在线即时交流,进一步提升办公效 率。提升“政务通”平台的总体安全性,采用业界先进的安全措施进 行云管端的全面安全防护。3、建设原则本平台作为全区移动政务服务的重要支撑、管理平台,本次建设 应遵循以下原则:3.1、 可靠性:系统必须稳定可靠,确保各项工作正常运转,实现7x24不间断运行,不会因错误的操作或其它原因导致数据错误或 系统失败,应提供完善的数据备份策略。3.2、 扩展性:随着全国政务信息化建设步伐的加快,计算机的 作用将越来越得到显现。这要求所建系统应具有完备的系统维护、扩 展功能,为系统今后功能扩展、升级留有接口。3.3、 先进性:方案不仅要适应技术发展方向,保证系统的先进 性。同时也要兼顾成熟的计算机技术和应用的实用性。3.4、 安全性:作为全区政务服务的核心管理平台,由于传输的 主要是政府内部的数据,故相关数据的安全性非常重要,应加强信息 系统安全建设,堵塞信息安全漏洞,严防信息泄密。系统操作的重要 模块应具备全程跟踪,日志查询功能。在系统受到干扰和人为破坏的 时候应能保证数据的安全性和一致性,保证对数据有完整的备份和恢 复措施,具有一定的容错和容灾能力。3.5、 易管理性:系统设计基础操作要体现操作便捷、界面友好, 符合现行有效并需继续沿用的管理模式和操作习惯。4、总体需求本平台的建设在总体方面应实现如下四大目标:4.1、 协助科委实现统一全区各个政务信息系统在移动端应用方 面的建设与管理规范的目标,实现全区移动政务应用“统一技术规范、 统一应用类型、统一实名认证、统一消息推送、统一一发布与审核机制” 这“五统一”的目标。4.2、 协助科委整合全区移动政务应用,建设区统一应用仓库及 其配套的各项管理机制,实现实现全区移动应用注册、审批、测试、 发布、点评、升级全流程一条龙管理。4.3、 协助科委建成全区移动应用接口的统一管理,实现各个系 统对外接口的实时状态监控、接口调用日志及其分析,调用错误报警 和应急快速通报机制。4.4、 协助科委实现全区移动应用的统一入口,解决公务人员为 了工作安装多个应用的痛点,实现全区移动端统一单点登录、统一消 息传递、统一沟通交流。5、建设内容本平台总体上分为前后端2部分。前端是移动政务app,暂命名为“政务通”。政务通是政府工作 人员的统一入口,要求同时支持安卓操作系统和iOS操作系统。后端是移动政务服务平台,是SOA架构的服务系统和应用系统, 负责整个平台的用户数据同步管理、前端APP功能支撑、系统管理、 接口监控、权限分配、接口本平台为分布式部署,在政务外网核心区需要部署一台同步服务 器,负责将政务外网中的组织树、人员数据、网站集群信息等相关的 数据同步到部署在政务外网DMZ区上本平台的数据中心中,同时本 平台的相关业务数据、备份数据等也会被同步到政务外网的服务器上。 核心区与DMZ区之间用网闸隔离。5.1、 主要建设内容根据上述分析,本次招标的建设内容如下:5.1.1、 平台应用服务系统5.1.1.1、 统一认证服务系统5.1.1.2、 区移动政务应用管理服务系统5.1.1.3、 区移动政务应用整合服务系统5.1.1.4、 即时通讯服务系统(功能)5.1.2、 政务通APP设计新增移动政务的业务,对接0A系统和“”门户网站及相关区级 政务应用系统,为公务员和社工提供移动政务的业务服务,从而实现 政务的及时性和便捷化。5.1.3、 手机证书服务中心设计包括用户服务、应用服务、系统管理服务的功能。手机证书服务 中心认证系统基于PKI/CA体系,为用户提供移动终端上的数字证书 发放、证书安全认证、数字签名、数据加解密方案,从而满足用户在 移动信息化应用过程中面临的身份真实认证、数据完整性和机密性保 护、不可抵赖性等方面的需求。5.1.4、 平台部署与整合设计本平台是区级移动政务的单一入口,负责整合各个区级移动政务 应用,因此接口的对接设计与整合工作是整个建设与实施过程中至关 重要,起决定性意义的。这部分主要包括需要和相关平台与系统对接 的接口规划和设计等。5.2、 政务通APP建设要求521、前端功能要求以APP方式统一全区公务人员的移动政务应用访问,对接0A系 统和“”门户网站及相关区级政务应用系统,为公务员和社工提供移 动政务的业务服务,从而实现政务的及时性和便捷化。要求实现如下功能:521.1、 身份认证及整合单点登录其功能:521.1.1、 根据同步过来的用户名直接登录;521.1.2、 可指定手势密码;521.1.3、 实现整合入本平台的全区各移动政务应用的统一身份 认证和单点登录功能;521.1.4、 二维码扫码登录功能521.1.5、 生物识别认证功能(支持人脸);521.2、 应用下载与管理功能:521.2.1、 应用仓库功能(发布、下载、点评、升级功能);521.2.2、 在首页上实现功能区(在仓库下载应用后,在首页的 专门区域摆放可以这些可以访问的应用图标,并实现分页展示;521.3、 交流沟通功能(类微信功能,没有朋友圈,但有群组公 告等功能):521.3.1、 通讯录;5.2.132、 聊天(支持文字和语音两类);521.3.3、 群组功能(创建群组、拉人入群、踢人、退出群组);521.3.4、 群组管理功能(群公告、群相册、群共享文件夹);
