統(tǒng)一接入平臺產(chǎn)品白皮書

1、統(tǒng)一接入平臺產(chǎn)品白皮書廈門新科技軟件股份有限公司1.現(xiàn)狀及需求分析41.1.現(xiàn)狀41.2.問題51.3.什么是單點登錄（sso）？51.4.什么是4a?61.5.什么是虛擬化？61.6.統(tǒng)一接入平臺能為您帶來什么？82.新科技統(tǒng)一接入平臺簡介83.產(chǎn)品特點83.1.軟硬件融合方案83.2.完備的單點登錄93.3.統(tǒng)一資源目錄的集中授權(quán)93.4.一站式的信息聚合處理94.軟件功能模塊94.1.個人控制臺104.1.1.定制系統(tǒng)104.1.2.待辦管理114.1.3.密碼修改114.2.賬號管理114.2.1.組織機(jī)構(gòu)114.2.2.應(yīng)用角色124.2.3.用戶管理134.3.單點登錄144.3.

2、1.認(rèn)證策略154.3.2.登錄設(shè)置154.3.3.代理式的業(yè)務(wù)系統(tǒng)注冊164.3.4.適配式的業(yè)務(wù)系統(tǒng)注冊174.3.5.適配式的業(yè)務(wù)系統(tǒng)賬號配置184.4.權(quán)限管理184.4.1.統(tǒng)一資源目錄184.4.2.分級授權(quán)194.4.3.授權(quán)管理204.4.4.數(shù)據(jù)權(quán)限224.5.安全審計224.5.1.登錄日志224.5.2.操作日志224.6.信息集成224.7.集成接口234.7.1.組織機(jī)構(gòu)查詢234.7.2.用戶信息查詢234.7.3.用戶角色查詢244.7.4.代辦查詢244.7.5.權(quán)限查詢244.7.6.信息集成244.7.7.日志接口244.8.集成組件245.硬件部署說明25

3、5.1.虛擬機(jī)255.2.數(shù)據(jù)庫266.技術(shù)體系結(jié)構(gòu)267.產(chǎn)品技術(shù)優(yōu)勢277.1.先進(jìn)與成熟相結(jié)合的技術(shù)架構(gòu)277.2.完善的安全控制機(jī)制277.3.高可靠性277.4.平臺無關(guān)性278.典型案例289.推進(jìn)實施289.1.策略建議289.2.4a代理式的業(yè)務(wù)系統(tǒng)集成289.3.適配式的業(yè)務(wù)系統(tǒng)集成291. 現(xiàn)狀及需求分析1.1. 現(xiàn)狀隨著市場競爭的日益激烈和企業(yè)信息化的迅猛發(fā)展，業(yè)務(wù)系統(tǒng)日漸完善和豐富，逐步實現(xiàn)企業(yè)的生產(chǎn)、市場、營銷、客服、管理等諸多業(yè)務(wù)的無紙化。企業(yè)期望借助信息化的平臺的不斷建設(shè)，提升企業(yè)效率，提高市場響應(yīng)速度，保持企業(yè)的市場競爭力。但用戶要想享受到這些業(yè)務(wù)系統(tǒng)帶來的諸多

4、好處，就需要登錄到許多不同的業(yè)務(wù)系統(tǒng)中，而每個系統(tǒng)都要求用戶遵循其獨立的身份認(rèn)證安全策略，比如要求輸入用戶名和口令。用戶所使用的業(yè)務(wù)系統(tǒng)越多，登錄所花費時間越多，登錄時出錯的可能性就會越大，受到非法截獲和破壞的可能性也會大大增加，系統(tǒng)的安全性就會相應(yīng)降低；而如果用戶忘記了口令，不能正確的登錄系統(tǒng)，就需要請求管理員的幫助，而且只能在重新獲得口令之前等待，造成了系統(tǒng)和安全管理資源的不必要的開銷，降低了系統(tǒng)的使用效率。有時，用戶為避免這種尷尬情況的出現(xiàn)，也為記清楚登錄信息，通常會采用簡化用戶名、密碼，或者在多個系統(tǒng)中使用相同的口令，并且極少進(jìn)行定期修改，或者干脆將密碼記錄在筆記本上的做法，給企業(yè)的信

5、息安全帶來嚴(yán)重的安全漏洞。下面是一些著名的調(diào)查公司顯示的統(tǒng)計數(shù)據(jù)： 用戶每天平均16分鐘花在身份驗證任務(wù)上 - 資料來源：ids 頻繁的it用戶平均有21個密碼 - 資料來源：nta monitor password survey 49%的人寫下了其密碼，而67%的人很少改變它們 每79秒出現(xiàn)一起身份被竊事件 - 資料來源：national small business travel assoc 全球欺騙損失每年約12b - 資料來源：comm fraud control assoc另一方面，業(yè)務(wù)系統(tǒng)的增加，帶來不斷增長的軟硬件采購成本。按照通常的建設(shè)模式，為了避免應(yīng)用間的互相干擾和方便故障定

6、位，通常是一臺物理服務(wù)器運行單個應(yīng)用，而且，為了確保一些重點業(yè)務(wù)系統(tǒng)的業(yè)務(wù)連續(xù)性，還采用雙機(jī)熱備的方式。隨著服務(wù)器數(shù)量的急劇增加，機(jī)房空間飽和、電力負(fù)荷幾近滿載日趨嚴(yán)重。同時服務(wù)器的總體利用率較低，可用性低，缺乏可管理性，兼容性差。大量服務(wù)器的存在使得中心機(jī)房的運行維護(hù)成本高。業(yè)務(wù)系統(tǒng)和服務(wù)器數(shù)量增多后，給系統(tǒng)管理人員帶來日益沉重的系統(tǒng)維護(hù)壓力，管理難度也同時加大。1.2. 問題a、建設(shè)成本：既增加財務(wù)支出，又帶來施工進(jìn)度的時間成本。l 每次建設(shè)一套系統(tǒng)，都需要采購相應(yīng)的軟硬件，如數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、應(yīng)用服務(wù)器軟件、數(shù)據(jù)庫軟件。l 系統(tǒng)所需硬件、網(wǎng)絡(luò)、基礎(chǔ)軟件（操作系統(tǒng)、數(shù)據(jù)庫軟件、應(yīng)用

7、服務(wù)器軟件）每次均需要安排施工。l 每個系統(tǒng)都需要的系統(tǒng)維護(hù)功能，如組織架構(gòu)、人員管理和系統(tǒng)日志等功能在不斷的被重復(fù)建設(shè)。b、維護(hù)成本：l 管理員需要管理不斷增多的服務(wù)器和網(wǎng)絡(luò)設(shè)施。l 基礎(chǔ)架構(gòu)的不一致（服務(wù)器類型、基礎(chǔ)軟件類型）帶來的系統(tǒng)維護(hù)的學(xué)習(xí)成本。l 沒有統(tǒng)一的用戶管理：不同的系統(tǒng)在組織架構(gòu)和用戶視圖上不統(tǒng)一，由于員工上崗、崗位變更或者離職等引起的用戶信息管理任務(wù)，管理員需要在不同的業(yè)務(wù)系統(tǒng)中維護(hù)同步相關(guān)的用戶身份和存取管理；不能夠自動監(jiān)控任何關(guān)于身份信息的訪問權(quán)限的變更。l 對各個系統(tǒng)缺乏集中統(tǒng)一的訪問審計，無法進(jìn)行綜合分析，因此不能及時發(fā)現(xiàn)入侵行為。c、使用成本：l 業(yè)務(wù)人員應(yīng)用的

8、困難：要面對多個功能各異的it系統(tǒng)，需要記憶多套登錄賬號和密碼，同時，經(jīng)常有用戶忘記口令而要求重置，這也加大了管理員的工作負(fù)擔(dān)。不能形成作業(yè)需要的整體信息視圖，每個系統(tǒng)都有各自的登陸界面和操作界面，需要頻繁登陸和在不同的系統(tǒng)間來回切換。l 缺乏統(tǒng)一集中的資源訪問授權(quán)機(jī)制：各個業(yè)務(wù)系統(tǒng)具有各自的權(quán)限管理機(jī)制，造成全網(wǎng)權(quán)限管理分散的局面；因不同系統(tǒng)的設(shè)計和實施策略不同，導(dǎo)致同一機(jī)構(gòu)存在多種權(quán)限管理方式，管理成本高。l 數(shù)據(jù)共享困難：大量的雷同數(shù)據(jù)（通知、交互、提醒）分別存放在不同的業(yè)務(wù)系統(tǒng)中，數(shù)據(jù)共享度低。系統(tǒng)之間猶如孤島，信息不能共享和貫通，查找信息如同大海撈針，只能從每個系統(tǒng)得到某一方面的情況

9、，缺乏完整的業(yè)務(wù)視圖，往往需要在多個系統(tǒng)之間反復(fù)查找才能獲得需要的信息。1.3. 什么是單點登錄（sso）？單點登錄（single sign-on），簡稱為sso，通常指一個用戶在使用多個應(yīng)用時只需要同一個認(rèn)證信息（如用戶名/密碼），并且只需要登錄一次就可使用所有的所有支持單點登錄的業(yè)務(wù)系統(tǒng)。用戶在訪問任何業(yè)務(wù)系統(tǒng)之前，自動定向到統(tǒng)一接入系統(tǒng)進(jìn)行用戶登錄，獲得安全認(rèn)證后，系統(tǒng)自動從數(shù)據(jù)庫中取出該用戶被授權(quán)登錄的系統(tǒng)信息和過程記錄進(jìn)行登記，完成后自動跳轉(zhuǎn)回業(yè)務(wù)系統(tǒng)，無需用戶再次登錄。1.4. 什么是4a?4a (認(rèn)證authentication、賬號account、授權(quán)authorization

10、、審計audit)。 1.5. 什么是虛擬化？虛擬化是一種經(jīng)過驗證的軟件技術(shù)，它正迅速改變著 it 的面貌，并從根本上改變著人們的計算方式。如今，具有強(qiáng)大處理能力的 x86 計算機(jī)硬件僅僅運行了單個操作系統(tǒng)和單個應(yīng)用程序。這使得大多數(shù)計算機(jī)遠(yuǎn)未得到充分利用。利用虛擬化，可以在一臺物理機(jī)上運行多個虛擬機(jī)，因而得以在多個環(huán)境間共享這一臺計算機(jī)的資源。不同的虛擬機(jī)可以在同一臺物理機(jī)上運行不同的操作系統(tǒng)以及多個應(yīng)用程序。虛擬機(jī)具備以下四個讓用戶受益的關(guān)鍵特征：兼容性與物理計算機(jī)一樣，虛擬機(jī)承載著自身的客戶操作系統(tǒng)和應(yīng)用程序，并具有物理計算機(jī)上的所有組件（主板、vga 卡、網(wǎng)卡控制器等）。因此，虛擬機(jī)與

11、所有標(biāo)準(zhǔn)的 x86 操作系統(tǒng)、應(yīng)用程序和設(shè)備驅(qū)動程序完全兼容，這樣，您就可以使用虛擬機(jī)來運行您在 x86 物理計算機(jī)上運行的所有相同軟件。隔離雖然虛擬機(jī)可以共享一臺計算機(jī)的物理資源，但它們彼此之間仍然是完全隔離的，就像它們是不同的物理計算機(jī)一樣。例如，如果在一臺物理服務(wù)器上有四個虛擬機(jī)，并且其中一個虛擬機(jī)崩潰，則其他三個虛擬機(jī)仍然可用。在可用性和安全性方面，虛擬環(huán)境中運行的應(yīng)用程序之所以遠(yuǎn)優(yōu)于在傳統(tǒng)的非虛擬化系統(tǒng)中運行的應(yīng)用程序，隔離就是一個重要的原因。封裝虛擬機(jī)實質(zhì)上是一個軟件容器，它將一整套虛擬硬件資源與操作系統(tǒng)及其所有應(yīng)用程序捆綁或“封裝”在一個軟件包內(nèi)。封裝使虛擬機(jī)具備超乎尋常的可移動

12、性并且易于管理。例如，您可以將虛擬機(jī)從一個位置移動和復(fù)制到另一位置，就像移動和復(fù)制任何其他軟件文件一樣；也可以將虛擬機(jī)保存在任何標(biāo)準(zhǔn)的數(shù)據(jù)存儲介質(zhì)上，從袖珍型的 usb 閃存卡到企業(yè)存儲區(qū)域網(wǎng)絡(luò) (san)，皆可用于保存。獨立于硬件虛擬機(jī)完全獨立于其底層物理硬件。例如，您可以為虛擬機(jī)配置與底層硬件上存在的物理組件完全不同的虛擬組件（例如，cpu、網(wǎng)卡、scsi 控制器）。同一物理服務(wù)器上的各個虛擬機(jī)甚至可以運行不同類型的操作系統(tǒng)（windows、linux 等）。由于虛擬機(jī)獨立于硬件，再加上它具備封裝和兼容性這兩個特性，因此您可以在不同類型的 x86 計算機(jī)之間自由地移動它，而無需對設(shè)備驅(qū)動程

13、序、操作系統(tǒng)或應(yīng)用程序進(jìn)行任何更改。獨立于硬件還意味著，可以在一臺物理計算機(jī)上混合運行不同類型的操作系統(tǒng)和應(yīng)用程序。采用虛擬化軟件的 5 大理由1、提高現(xiàn)有資源的利用程度：通過服務(wù)器整合將共用的基礎(chǔ)架構(gòu)資源聚合在池中，打破原有的“一臺服務(wù)器一個應(yīng)用程序”模式。2、通過縮減物理基礎(chǔ)架構(gòu)和提高服務(wù)器/管理員比率，降低數(shù)據(jù)中心成本：由于服務(wù)器及相關(guān) it 硬件更少，因此減少了占地空間，也減少了電力和制冷需求。采用更出色的管理工具可以提高服務(wù)器/管理員比率，因此人員需求也得以減少。3、提高硬件和應(yīng)用程序的可用性，進(jìn)而提高業(yè)務(wù)連續(xù)性：可安全地備份和遷移整個虛擬環(huán)境而不會出現(xiàn)服務(wù)中斷。消除計劃內(nèi)停機(jī)，并可

14、從計劃外故障中立即恢復(fù)。4、實現(xiàn)了運營靈活性：由于采用動態(tài)資源管理、加快了服務(wù)器部署并改進(jìn)了桌面和應(yīng)用程序部署，因此可響應(yīng)市場的變化。5、提高桌面的可管理性和安全性：幾乎可在所有標(biāo)準(zhǔn)臺式機(jī)、筆記本電腦或 tablet pc 上部署、管理和監(jiān)視安全桌面環(huán)境，無論是否能連接到網(wǎng)絡(luò)，用戶都可以在本地或以遠(yuǎn)程方式對這種環(huán)境進(jìn)行訪問。1.6. 統(tǒng)一接入平臺能為您帶來什么？統(tǒng)一接入平臺是信息化建設(shè)中所有信息系統(tǒng)用戶管理功能核心系統(tǒng)，通過它可以對所有信息系統(tǒng)中的部門、人員、角色進(jìn)行管理，所有業(yè)務(wù)系統(tǒng)可以使用提供的接口快速取得人員、部門、角色信息，以作為其他業(yè)務(wù)系統(tǒng)運行基礎(chǔ)，這樣一來，被納入統(tǒng)一用戶管理的業(yè)務(wù)

15、系統(tǒng)就不需要自己管理部門、用戶、角色信息，從而達(dá)到公司基礎(chǔ)的部門、人員、權(quán)限數(shù)據(jù)的統(tǒng)一管理；所有客戶端也通過它進(jìn)行單點登錄，以一個統(tǒng)一的身份進(jìn)入到在權(quán)限范圍內(nèi)的所有信息系統(tǒng)中，所有業(yè)務(wù)系統(tǒng)可以直接使用。實現(xiàn)統(tǒng)一身份認(rèn)證及單點登錄，同時可以為企業(yè)各信息子系統(tǒng)提供統(tǒng)一、權(quán)威的部門、人員、角色信息，消除各系統(tǒng)中人員信息的數(shù)據(jù)冗余。從用戶管理和維護(hù)的角度來說為企業(yè)提供人員、部門信息的統(tǒng)一管理和維護(hù)功能，并通過周密的日志管理確保系統(tǒng)的穩(wěn)定運行，提高了數(shù)據(jù)的統(tǒng)一性、唯一性，提高了系統(tǒng)的響應(yīng)速度維護(hù)速度，減少了維護(hù)工作量，提高了維護(hù)效率。通過虛擬化技術(shù)進(jìn)行應(yīng)用整合，從而重構(gòu)服務(wù)器架構(gòu)，減少服務(wù)器物理數(shù)量，增

16、加應(yīng)用的部署彈性，簡化it管理，降低運維成本。提升服務(wù)器利用率的同時，降低管理的復(fù)雜度，減少管理人員的工作量，實現(xiàn)更加靈活和簡便的管理。2. 新科技統(tǒng)一接入平臺簡介新科技統(tǒng)一接入平臺是4a統(tǒng)一安全管理平臺解決方案，即融合統(tǒng)一用戶賬號管理、統(tǒng)一認(rèn)證管理、統(tǒng)一授權(quán)管理和統(tǒng)一安全審計等四要素后的解決方案，涵蓋單點登錄（sso）等安全功能，既能夠為客戶提供功能完善的、高安全級別的4a管理。建立統(tǒng)一的基礎(chǔ)軟硬件平臺，企業(yè)級的單點登錄系統(tǒng)和安全防護(hù)系統(tǒng)，為企業(yè)用戶提供統(tǒng)一的信息資源認(rèn)證訪問入口，集中管理組織架構(gòu)和用戶信息，建立統(tǒng)一的、基于角色的和個性化的信息訪問、集成平臺；通過實施單點登錄功能，使用戶只需

17、一次登錄就可以根據(jù)相關(guān)的規(guī)則去訪問不同的業(yè)務(wù)系統(tǒng)， 提高信息系統(tǒng)的易用性、安全性、穩(wěn)定性；在此基礎(chǔ)上進(jìn)一步實現(xiàn)企業(yè)用戶高速協(xié)同辦公和企業(yè)知識管理功能。3. 產(chǎn)品特點3.1. 軟硬件融合方案p 基于虛擬機(jī)的應(yīng)用服務(wù)器資源共享。p 基于用戶名分配的數(shù)據(jù)庫集中管理。p 單點登錄和真正4a管理的統(tǒng)一接入平臺。3.2. 完備的單點登錄p 對于未來新建系統(tǒng)，提供基于4a的代理式單點登錄，融合程度高。p 對于歷史遺留系統(tǒng)，提供具備自動抓取分析的適配式的單點登錄，快速整合。p 只需部署一套系統(tǒng)，就能同時支持多個隔離網(wǎng)段的單點登錄。p 協(xié)議的跨平臺，預(yù)置java、.net、php等多個客戶端單點登錄組件，能夠擴(kuò)

18、展支持各種技術(shù)路線。p 同時支持web和wap的單點登錄。p 登錄到統(tǒng)一接入平臺后，當(dāng)前用戶只能看到有權(quán)限的業(yè)務(wù)系統(tǒng)，做到信息隔離，降低安全風(fēng)險。3.3. 統(tǒng)一資源目錄的集中授權(quán)p 樹狀目錄分級結(jié)構(gòu)的統(tǒng)一資源目錄，實現(xiàn)異構(gòu)信息資源的統(tǒng)一接入。p 同時支持基于角色、組織結(jié)構(gòu)、人員的多種授權(quán)方式。p 提供分級授權(quán)功能，可方便為各個業(yè)務(wù)系統(tǒng)配置管理員，分散業(yè)務(wù)系統(tǒng)授權(quán)工作壓力；為各個部門配置部門管理員，避免日常的賬號等數(shù)據(jù)配置工作集中在系統(tǒng)管理員上。p 各個業(yè)務(wù)系統(tǒng)可分別配置獨有的角色，互相隔離。p 功能權(quán)限和數(shù)據(jù)權(quán)限的統(tǒng)一模型，方便管理。3.4. 一站式的信息聚合處理p 在門戶將分散在各個業(yè)務(wù)系統(tǒng)

19、的在辦、待辦、已辦等信息集中顯示。p 委托式的代辦支持。4. 軟件功能模塊涵蓋單點登錄（sso）等安全功能，能夠為客戶提供功能完善的、高安全級別的4a管理，4a包括統(tǒng)一用戶賬號（account）管理、統(tǒng)一認(rèn)證（authentication） 管理、統(tǒng)一授權(quán)（authorization）管理和統(tǒng)一安全審計（audit）四要素。系統(tǒng)的核心功能包括：賬號管理：包括樹形的組織機(jī)構(gòu)管理、角色管理和用戶管理；身份認(rèn)證和單點登錄：在各業(yè)務(wù)系統(tǒng)間統(tǒng)一用戶認(rèn)證標(biāo)志，用戶登錄后可以得到用戶令牌，各業(yè)務(wù)系統(tǒng)認(rèn)可統(tǒng)一的用戶令牌，實現(xiàn)用戶登錄到所有系統(tǒng)的單點登錄功能。單點登錄（single sign on），簡稱為 s

20、so，是目前比較流行的企業(yè)業(yè)務(wù)整合的解決方案之一。sso的定義是在多個業(yè)務(wù)系統(tǒng)中，用戶只需要登錄一次就可以訪問所有相互信任的業(yè)務(wù)系統(tǒng)。授權(quán)管理：包括各個業(yè)務(wù)系統(tǒng)功能模塊的授權(quán)管理和對結(jié)構(gòu)化數(shù)據(jù)的權(quán)限管理。信息集成：信息集成就是通過各種有效的手段和工具將已有各個系統(tǒng)中相關(guān)的信息集合在一起，生成滿足不同用戶需求的新的信息集合體，在已有信息的基礎(chǔ)上實現(xiàn)信息價值的增值。安全審計：對所有用戶的操作都進(jìn)行詳細(xì)的日志審計，并支持日志完整性檢驗機(jī)制。4.1. 個人控制臺4.1.1. 定制系統(tǒng)集成到統(tǒng)一接入平臺的業(yè)務(wù)系統(tǒng)按照系統(tǒng)管理員配置的應(yīng)用類型在首頁中分塊顯示。用戶可根據(jù)自己的需要在快捷導(dǎo)航區(qū)定制有訪問權(quán)限

21、的多個業(yè)務(wù)系統(tǒng)。4.1.2. 待辦管理系統(tǒng)提供人員代辦功能，每個人都可以設(shè)置代辦人員，將工作交給代辦人員處理，當(dāng)?shù)竭_(dá)代辦時限后，系統(tǒng)將自動取消代辦人處理工作功能，將工作交予原處理人處理。注意：代辦時間段不能重復(fù)，如果當(dāng)前用戶在一段時間內(nèi)已經(jīng)有設(shè)置代辦人，再重復(fù)設(shè)置時會出現(xiàn)“該段時間內(nèi)已經(jīng)設(shè)置代辦人員”的提示。原處理人可以隨時取消代辦。4.1.3. 密碼修改系統(tǒng)會定期提醒登錄用戶，強(qiáng)制要求修改密碼，系統(tǒng)的提醒周期可由管理員定制。用戶成功登錄系統(tǒng)后，可隨時變更自己的用戶名和密碼。4.2. 賬號管理4.2.1. 組織機(jī)構(gòu)以樹型的結(jié)構(gòu)來展示，以保持與實際生產(chǎn)組織機(jī)構(gòu)的對應(yīng)關(guān)系，更直觀更方便維護(hù)。系統(tǒng)管

22、理員可以分配部門管理員，部門管理員可以管理轄內(nèi)部門信息，可以修改部門信息，增加、刪除子部門。4.2.2. 應(yīng)用角色基于角色的系統(tǒng)安全控制模型是目前國際上流行的先進(jìn)的安全管理控制方法。統(tǒng)一接入系統(tǒng)支持通過分配和取消角色來完成用戶權(quán)限的授予和取消，并且提供了角色分配規(guī)則和操作檢查規(guī)則。安全管理人員根據(jù)需要定義各種角色，并設(shè)置合適的訪問權(quán)限，而用戶根據(jù)其責(zé)任和資歷再被指派為不同的角色。這樣，整個訪問控制過程就分成兩個部分，即訪問權(quán)限與角色相關(guān)聯(lián)，角色再與用戶關(guān)聯(lián)，從而實現(xiàn)了用戶與訪問權(quán)限的邏輯分離，角色可以看成是一個表達(dá)訪問控制策略的語義結(jié)構(gòu)，它可以表示承擔(dān)特定工作的資格。由于實現(xiàn)了用戶與訪問權(quán)限的

23、邏輯分離，基于角色的策略極大的方便了權(quán)限管理。例如，如果一個用戶的職位發(fā)生變化，只要將用戶當(dāng)前的角色去掉，加入代表新職務(wù)或新任務(wù)的角色即可。研究表明，角色/權(quán)限之間的變化比角色/用戶關(guān)系之間的變化相對要慢得多，并且委派用戶到角色不需要很多技術(shù)，可以由部門管理人員來執(zhí)行，而配置權(quán)限到角色的工作比較復(fù)雜，可以由更高級的管理人員來承擔(dān)，但是不給他們委派用戶的權(quán)限，這與現(xiàn)實中情況正好一致。除了方便權(quán)限管理之外，基于角色的訪問控制方法還可以很好的地描述角色層次關(guān)系，實現(xiàn)最少權(quán)限原則和職責(zé)分離的原則。角色是根據(jù)業(yè)務(wù)系統(tǒng)來劃分的，當(dāng)點擊具體業(yè)務(wù)系統(tǒng)時，右側(cè)列表就顯示該業(yè)務(wù)系統(tǒng)對應(yīng)的角色?？勺孕行陆ā⑿薷暮蛣h

24、除角色。可批量導(dǎo)入角色和用戶的對應(yīng)關(guān)系, 當(dāng)用戶擁有業(yè)務(wù)系統(tǒng)對應(yīng)的角色后，則該用戶默認(rèn)能單點登錄該業(yè)務(wù)系統(tǒng)。能夠查看角色的信息、對應(yīng)的所有用戶以及角色被分配的所有權(quán)限。4.2.3. 用戶管理用戶管理包括用戶的增，刪，改，密碼管理，用戶狀態(tài)管理即賬戶注銷，賬戶停用，賬戶啟用。部門管理員管理轄內(nèi)人員信息，可以增加、刪除和修改人員信息，可以重置人員密碼。系統(tǒng)增加或者刪除一個人員則相應(yīng)的增加或者刪除一個用戶的賬戶，每新增一個人員賬戶，賦予該賬戶一個初始化密碼。系統(tǒng)采用目錄樹的形式展現(xiàn)部門與人員的隸屬關(guān)系。 用戶信息如下圖所示，每個用戶可以配置多個應(yīng)用角色。用戶檢索：用戶可以按部門查詢?nèi)藛T信息，查詢輸入

25、條件主要包括：姓名、工號和賬號狀態(tài)等。初始化密碼：系統(tǒng)管理員和部門管理員都能夠批量初始化其轄內(nèi)的用戶密碼。注銷賬號：對于不再使用的用戶，管理員可以選將其注銷，注銷操作是不可恢復(fù)的。已注銷的用戶，在查詢時選擇狀態(tài)為“注銷”即可查詢到。賬號停用：對于暫時不使用的用戶，可以選將其停用，與注銷操作不同的是，停用的用戶是可以通過啟用來恢復(fù)使用的。如果用戶管理中創(chuàng)建或修改賬號時，指定了賬號的有效期，超過有效期后，該賬號也會自動被停用。已停用的用戶，在查詢時選擇狀態(tài)為“停用”即可查詢到。賬號啟用：要恢復(fù)停用的賬號，只需在列表中將其檢索出來后，選中，然后點擊“啟用”按鈕，確認(rèn)后即可。對于因為超過有效期而停用的

26、賬號，除了要將其狀態(tài)改為啟用外，還需要修改用戶信息，為其重新指定有效的使用時間才能恢復(fù)使用。4.3. 單點登錄實現(xiàn)用戶對系統(tǒng)訪問的身份認(rèn)證和單點登錄功能。l 單點登錄系統(tǒng)的實現(xiàn)在各業(yè)務(wù)系統(tǒng)都采用b/s模式這一前提下進(jìn)行。l 需要在各業(yè)務(wù)系統(tǒng)間統(tǒng)一用戶認(rèn)證標(biāo)志，用戶登錄后可以得到用戶令牌，各業(yè)務(wù)系統(tǒng)認(rèn)可統(tǒng)一的用戶令牌。l 用戶令牌應(yīng)當(dāng)是安全加密的，并且要限定時效期。l 傳遞用戶信息等敏感數(shù)據(jù)使用ssl（secure socket layer）進(jìn)行通信。l 各業(yè)務(wù)系統(tǒng)可能屬于不同的域，因此要實現(xiàn)跨域的單點登錄。l 已經(jīng)上線運行的業(yè)務(wù)系統(tǒng)需要進(jìn)行改造來支持單點登錄，正在開發(fā)的業(yè)務(wù)系統(tǒng)則可以在開發(fā)階段

27、增加對單點登錄的支持，但業(yè)務(wù)系統(tǒng)之間應(yīng)該是松耦合。 4.3.1. 認(rèn)證策略只需通過配置，就能支持基于數(shù)據(jù)庫或者ldap的用戶認(rèn)證。4.3.2. 登錄設(shè)置設(shè)定web登錄的session超時時間。設(shè)定wap登錄：啟用手機(jī)號碼登錄，選中此項，選擇手機(jī)號碼所要綁定的賬號，點擊“確定”按鈕，即可保存辦公輔助系統(tǒng)wap登錄時的設(shè)置；啟用手機(jī)登錄后，用戶登錄只需提供登錄密碼即可，密碼驗證通過后，即完成綁定賬號的登錄。4.3.3. 代理式的業(yè)務(wù)系統(tǒng)注冊支持多個網(wǎng)段的業(yè)務(wù)系統(tǒng)訪問，我們只需要將系統(tǒng)的多個網(wǎng)段地址錄入到對應(yīng)的位置，當(dāng)我們從不同網(wǎng)段登錄到統(tǒng)一接入平臺中時，系統(tǒng)會根據(jù)訪問的地址，自適應(yīng)到對應(yīng)的網(wǎng)段進(jìn)行

28、業(yè)務(wù)系統(tǒng)訪問。待集成子系統(tǒng)需要先注冊到統(tǒng)一接入平臺中。在系統(tǒng)菜單選擇“單點登錄應(yīng)用注冊”進(jìn)入應(yīng)用注冊管理頁面，如下圖所示：在的應(yīng)用注冊列表界面，可以根據(jù)應(yīng)用名稱、訪問類型（web和wap），支撐廠商及應(yīng)用類型來檢索數(shù)據(jù)，系統(tǒng)支持模糊查找。點擊“應(yīng)用類型”按鈕能夠自定義業(yè)務(wù)系統(tǒng)的類型。定義應(yīng)用類型用于對業(yè)務(wù)系統(tǒng)進(jìn)行分類，在用戶登錄統(tǒng)一接入平臺后，會自動按照類型顯示當(dāng)前用戶能夠訪問的業(yè)務(wù)系統(tǒng)?？蓪?yīng)用注冊信息進(jìn)行新建、修改和刪除操作。4.3.4. 適配式的業(yè)務(wù)系統(tǒng)注冊“適配式”單點登錄是指通過被單點登錄的業(yè)務(wù)系統(tǒng)為已在用系統(tǒng)，存在獨立的用戶賬戶信息和權(quán)限管理，采用4a方式改造工作量大，在統(tǒng)一接入平

29、臺建立當(dāng)前用戶賬戶與被單點登錄業(yè)務(wù)系統(tǒng)賬號的對應(yīng)關(guān)系。由管理員操作。能夠根據(jù)被集成的業(yè)務(wù)系統(tǒng)的首頁登錄地址，自動抓取和分析登錄參數(shù)，無需人工錄入；在自動抓取無法成功的情況下，支持人工輸入的方式。4.3.5. 適配式的業(yè)務(wù)系統(tǒng)賬號配置用戶選擇管理員已經(jīng)注冊的適配式的業(yè)務(wù)系統(tǒng)，并填入相應(yīng)的用戶名和密碼，為保護(hù)用戶的數(shù)據(jù)安全性，對在數(shù)據(jù)庫中保存的用戶名和密碼進(jìn)行加密處理。4.4. 權(quán)限管理權(quán)限管理體現(xiàn)的是“什么人”可以對“什么資源”進(jìn)行“哪些操作”。在抽象層次上，各個業(yè)務(wù)系統(tǒng)的功能模塊與被保護(hù)數(shù)據(jù)都是資源，對被保護(hù)的資源進(jìn)行訪問時，將要訪問統(tǒng)一接入系統(tǒng)的權(quán)限管理接口判斷是否能夠訪問被保護(hù)資源。統(tǒng)一接

30、入平臺能對按照規(guī)范整合進(jìn)來的業(yè)務(wù)系統(tǒng)功能權(quán)限進(jìn)行統(tǒng)一管理。4.4.1. 統(tǒng)一資源目錄統(tǒng)一資源目錄是構(gòu)建企業(yè)信息資源整合和管理平臺的基礎(chǔ)設(shè)施，是進(jìn)行資源整合的主線，統(tǒng)一資源目錄基于統(tǒng)一的封裝機(jī)制，實現(xiàn)異構(gòu)信息資源的統(tǒng)一接入。為同于提供的信息源導(dǎo)航，給用戶提供訪問所有應(yīng)用系統(tǒng)的統(tǒng)一入口。從用戶業(yè)務(wù)的角度出發(fā)，統(tǒng)一所有的信息資源，包括業(yè)務(wù)應(yīng)用邏輯組件、結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)(文檔、圖片等)、web鏈接等。統(tǒng)一資源目錄體現(xiàn)為樹狀目錄分級結(jié)構(gòu)(類似于window資源管理器)，一般按照各業(yè)務(wù)系統(tǒng)的業(yè)務(wù)范圍進(jìn)行欄目劃分。授權(quán)控制管理是建立在統(tǒng)一用戶目錄管理的基礎(chǔ)上，在同一資源目錄的管理下對信息資源進(jìn)行統(tǒng)一

31、的授權(quán)。基于統(tǒng)一資源目錄，對不同的資源授權(quán)，因統(tǒng)一資源目錄映射到各業(yè)務(wù)系統(tǒng)的功能模塊或者子系統(tǒng)中，從而在授權(quán)時，不用關(guān)心該應(yīng)用在什么位置，只需根據(jù)靈活的授權(quán)策略進(jìn)行授權(quán)即可。支持自定義用戶組（如角色）來進(jìn)行批量的授權(quán)管理。業(yè)務(wù)系統(tǒng)注冊完成之后，需將集成的業(yè)務(wù)系統(tǒng)的功能按樹型結(jié)構(gòu)組織數(shù)據(jù)，配置業(yè)務(wù)系統(tǒng)的每個功能的操作屬性。如上圖所示，統(tǒng)一接入平臺在業(yè)務(wù)系統(tǒng)注冊后，會按照業(yè)務(wù)系統(tǒng)的應(yīng)用類型展示為樹形結(jié)構(gòu)，可對業(yè)務(wù)系統(tǒng)分類組織定義需要設(shè)置權(quán)限的功能點，并定義功能點的操作類型。4.4.2. 分級授權(quán)與機(jī)構(gòu)單位實際組織體系和處理模式相適應(yīng)，用戶授權(quán)管理通常情況下可能需要實現(xiàn)分級管理，支持多級授權(quán)管理體系

32、。系統(tǒng)管理員初始由數(shù)據(jù)庫創(chuàng)建，系統(tǒng)管理員可以指定新的系統(tǒng)管理員和部門管理員。實現(xiàn)授權(quán)的分級委托管理，系統(tǒng)管理員可以按照不同的部門將管理任務(wù)劃分并分配給不同的業(yè)務(wù)部門來分散授權(quán)，而下級的業(yè)務(wù)部門的管理員也可以根據(jù)實際需要繼續(xù)劃分管理任務(wù)從而再次授權(quán)更下級的管理員進(jìn)行身份和授權(quán)管理，這樣大大減輕了管理員的負(fù)擔(dān)。各級管理員只能管理自己被分派的用戶，而不能瀏覽或修改其他管理員所管理的用戶信息和權(quán)限信息。4.4.3. 授權(quán)管理系統(tǒng)的所有功能都有相應(yīng)的權(quán)限控制，只有系統(tǒng)管理員才能使用系統(tǒng)的全部功能，普通用戶或應(yīng)用管理員要使用某功能，可以通過管理員或模塊權(quán)限擁有者授予權(quán)限。實際上，只有系統(tǒng)管理員或被系統(tǒng)管理

33、員賦予“授權(quán)管理”的人員才有“授權(quán)管理”的功能。而授權(quán)管理就是設(shè)定用戶進(jìn)入系統(tǒng)后可以查看哪些界面，以及可以操作哪些功能。以獎品管理系統(tǒng)的“中獎導(dǎo)出”功能的權(quán)限管理為例，左邊以樹形羅列出該系統(tǒng)的所有模塊（菜單），即上文提到的統(tǒng)一目錄。右邊分別有幾個tab頁面，分別為授權(quán)記錄，詳細(xì)信息及授權(quán)。授權(quán)記錄顯示當(dāng)前功能已經(jīng)被授權(quán)的情況，如上圖所示把該功能的“瀏覽”操作權(quán)限授給兩個角色，分別是“項目經(jīng)理”和“管理員”，把“導(dǎo)出”操作權(quán)限同樣授給這兩個角色?？膳縿h除已授權(quán)記錄。點擊“詳細(xì)信息”的tab，可以看到具體哪些人員擁有“中獎導(dǎo)出”功能的各種操作權(quán)限，如下圖所示。授權(quán)畫面能夠?qū)Α爸歇剬?dǎo)出”功能的操作

34、功能授權(quán)給用戶或者角色。按人員，就是直接指定權(quán)限擁有者，可以同時選擇多個人員；按角色，則擁有該角色的所有人員都擁有分配的權(quán)限。4.4.4. 數(shù)據(jù)權(quán)限數(shù)據(jù)信息條目納入統(tǒng)一的信息資源目錄體系，使得用戶所看到的信息條目會根據(jù)用戶身份的不同實現(xiàn)個性化的信息條目展示。能夠進(jìn)行數(shù)據(jù)權(quán)限整合的只能是那些權(quán)限通過表數(shù)據(jù)來保存的模式，對于直接在程序中固化的數(shù)據(jù)權(quán)限不納入整合范圍。需要進(jìn)行數(shù)據(jù)權(quán)限配置的可采用批量導(dǎo)入的方式，減輕工作量。4.5. 安全審計精確地記錄用戶的日志，可按日期、地址、用戶、資源等信息對日志進(jìn)行查詢、統(tǒng)計和分析。審計結(jié)果通過web界面以報表的形式展現(xiàn)給管理員。4.5.1. 登錄日志檢索條件分

35、為日期范圍、姓名、工號、ip地址等等，檢索條件可以根據(jù)需要自行選擇輸入或者都不輸入，輸入檢索條件后點擊“檢索”按鈕即可。用于分析用戶的登錄情況。4.5.2. 操作日志用戶在操作各個業(yè)務(wù)系統(tǒng)中形成的操作日志的集中管理。4.6. 信息集成信息集成就是通過各種有效的手段和工具將已有信息集合在一起，生成滿足不同用戶需求的新的信息集合體，在已有信息的基礎(chǔ)上實現(xiàn)信息價值的增值。界面業(yè)務(wù)邏輯和功能信息和數(shù)據(jù)門戶系統(tǒng)界面業(yè)務(wù)邏輯和功能信息和數(shù)據(jù)各種應(yīng)用接口如：soap,api數(shù)據(jù)網(wǎng)關(guān)提供的界面直接抓取調(diào)用，包括主動和被動的方式實現(xiàn)內(nèi)容合并，內(nèi)容合并涉及從完全不同的來源搜集內(nèi)容，然后在單一界面（門戶）中顯示該內(nèi)

36、容。通過使用內(nèi)容合并功能，門戶可顯示統(tǒng)一的視圖，其中的內(nèi)容可能屬于不同的所有者、來自不同的生產(chǎn)位置或包含在不同的系統(tǒng)中。4.7. 集成接口在統(tǒng)一接入平臺上線后，各業(yè)務(wù)系統(tǒng)將不再保存組織機(jī)構(gòu)和人員信息，各業(yè)務(wù)系統(tǒng)的全部功能菜單權(quán)限和部分?jǐn)?shù)據(jù)權(quán)限將由統(tǒng)一接入系統(tǒng)管理。因此統(tǒng)一接入平臺在與各業(yè)務(wù)系統(tǒng)集成時將需要向各業(yè)務(wù)系統(tǒng)提供關(guān)于組織機(jī)構(gòu)、人員數(shù)據(jù)和權(quán)限判斷方面的接口。接口可以采用兩種方式進(jìn)行提供：1、數(shù)據(jù)庫方式：通過提供受限的數(shù)據(jù)庫訪問用戶訪問開放的視圖和存儲過程來實現(xiàn)接口提供。這種方式的優(yōu)點在于響應(yīng)速度快。缺點在于可擴(kuò)展性比較差，無法承載邏輯比較復(fù)雜的業(yè)務(wù)；安全性有所欠缺。2、通過web ser

37、vice接口提供：通過基于http協(xié)議承載的xml文檔來實現(xiàn)接口提供。這種方式的優(yōu)點在于可擴(kuò)展性強(qiáng)，定義良好的接口在面臨業(yè)務(wù)邏輯變化時可以通過內(nèi)部的程序?qū)崿F(xiàn)的切換解決，此外可以利用一些如緩存等機(jī)制來提高系統(tǒng)響應(yīng)速度。缺點在于xml文檔的生成和解析的效率相對較低。建議采用web service接口提供。主要的接口有以下幾個：1、部門的查詢接口：提供訪問根部門數(shù)據(jù)、訪問下級部門（直接或者迭代）列表數(shù)據(jù)，訪問上級部門數(shù)據(jù)，完整部門樹數(shù)據(jù)、根據(jù)id獲取部門數(shù)據(jù)、部門查詢等接口。2、人員訪問接口：提供羅列部門下所有人員數(shù)據(jù)、根據(jù)id獲取人員數(shù)據(jù)，人員查詢等接口。3、權(quán)限驗證接口：提供訪問人員是否有某個資

38、源的特定操作的接口。具體接口的協(xié)議詳見開發(fā)手冊。4.7.1. 組織機(jī)構(gòu)查詢獲取部門樹的根節(jié)點，獲取指定部門下的下級部門列表等數(shù)據(jù)。組織結(jié)構(gòu)信息表數(shù)據(jù)，可查詢部門的編號，名稱，上級部門等信息。4.7.2. 用戶信息查詢用戶基本信息表，用戶分組信息表，和組織結(jié)構(gòu)信息表中的數(shù)據(jù)，直接通過該視圖可直接查詢?nèi)藛T的角色，部門，所在應(yīng)用系統(tǒng)，是否管理員等信息。4.7.3. 用戶角色查詢用戶分組信息表，角色應(yīng)用配置表中數(shù)據(jù)，可直接查詢到人員的編號，姓名，角色，所屬應(yīng)用系統(tǒng)等信息。4.7.4. 代辦查詢用于獲取當(dāng)前時間內(nèi)指定人員可為哪個員工代辦處理工作。4.7.5. 權(quán)限查詢用于判斷人員對某個業(yè)務(wù)系統(tǒng)的某個功能

39、點的指定操作是否擁有權(quán)限。4.7.6. 信息集成用于各個業(yè)務(wù)系統(tǒng)把相關(guān)需要集成的數(shù)據(jù)匯總到統(tǒng)一接入平臺中。4.7.7. 日志接口用于將業(yè)務(wù)系統(tǒng)操作的過程數(shù)據(jù)同步到統(tǒng)一接入平臺中，以便管理員維護(hù)日常重要數(shù)據(jù)、監(jiān)測系統(tǒng)使用情況、以及定位系統(tǒng)錯誤。4.8. 集成組件為避免各個業(yè)務(wù)系統(tǒng)重復(fù)開發(fā)，節(jié)約項目成本，統(tǒng)一接入平臺解決人員和部門數(shù)據(jù)跨域傳輸問題，提供部門和人員選擇組件供各子系統(tǒng)調(diào)用，各業(yè)務(wù)系統(tǒng)對于人員和部門的選擇功能可直接使用統(tǒng)一接入平臺提供，不需再次開發(fā)。部門調(diào)用組件詳見上圖。5. 硬件部署說明5.1. 虛擬機(jī)虛擬機(jī)是一種嚴(yán)密隔離的軟件容器，包含基于軟件實現(xiàn)的虛擬處理器（cpu）、內(nèi)存（ram

40、）、硬盤（disk）和網(wǎng)卡 (nic)，完全類似于一臺物理計算機(jī)，可以運行自己的操作系統(tǒng)和應(yīng)用程序。虛擬機(jī)有以下幾個特性：l 兼容性：虛擬機(jī)與所有標(biāo)準(zhǔn)x86計算機(jī)兼容，可以使用虛擬機(jī)來運行物理計算機(jī)上運行的所有相同軟件l 隔離：虛擬機(jī)彼此之間相互隔離，就像它們是不同的物理機(jī)，某個虛擬機(jī)的崩潰不會影響宿主機(jī)和其他虛擬機(jī)的運行；l 封裝：虛擬機(jī)將整個計算環(huán)境封裝起來，一整套虛擬硬件資源與操作系統(tǒng)及其所有應(yīng)用程序捆綁或“封裝”在一個軟件包內(nèi)，使虛擬機(jī)易于管理，并且具備了超乎尋常的可移動性，易于移動、復(fù)制和備份；l 獨立于硬件：虛擬機(jī)獨立于底層硬件運行，可以為虛擬機(jī)配置與底層硬件上存在的物理組件完全不

41、同的虛擬組件（例如，cpu、網(wǎng)卡、scsi 控制器），同一宿主機(jī)的各個虛擬機(jī)也可以運行各種不同類型的操作系統(tǒng)（windows、linux 等）。虛擬機(jī)獨立于硬件，且具備封裝和兼容性的特性，使其可以在不同類型的 x86 計算機(jī)之間自由地移動，而無需對設(shè)備驅(qū)動程序、操作系統(tǒng)或應(yīng)用程序進(jìn)行任何更改。使用虛擬機(jī)進(jìn)行部署，有以下優(yōu)點：l 提高硬件資源利用率：大部分時間物理機(jī)的硬件資源并不能得到充分的利用，通過在一臺物理機(jī)上運行多個虛擬機(jī)，可以更加充分地利用物理機(jī)硬件資源，提高資源利用率，同時也可以隨時對虛擬機(jī)資源進(jìn)行管理，比如減少或增加某臺虛擬機(jī)的cpu、內(nèi)存、硬盤配置等，使得計算資源得到更有效的利用；

42、l 降低it基礎(chǔ)架構(gòu)開支及運營成本：通過使用虛擬機(jī)，減少服務(wù)器及it硬件設(shè)備的采購開支，同時也減少了電力和制冷需求以及占地空間，人員需求也得以減少；l 提高硬件和應(yīng)用程序可用性：使用虛擬機(jī)進(jìn)行部署，可以對整個計算環(huán)境方便、安全地進(jìn)行備份和遷移，減少甚至消除計劃內(nèi)停機(jī)，并可從計劃外故障中立即恢復(fù)；l 提高安全性和可管理性：可以方便地通過虛擬機(jī)管理程序?qū)μ摂M機(jī)進(jìn)行管理和控制，進(jìn)行虛擬機(jī)虛擬設(shè)備的配置調(diào)整以更好地分配計算資源；l 便于集群環(huán)境的配置和部署：集群部署環(huán)境，要求集群中的每個節(jié)點保持環(huán)境的一致性，那么通過虛擬機(jī)的封裝特性，可以方便的通過復(fù)制虛擬機(jī)得到集群節(jié)點，免去了重復(fù)安裝部署服務(wù)器的繁瑣

43、，省時高效；5.2. 數(shù)據(jù)庫oracle是多用戶系統(tǒng)，它允許許多用戶共享系統(tǒng)資源。為了保證數(shù)據(jù)庫系統(tǒng)的安全，數(shù)據(jù)庫管理系統(tǒng)配置了良好的安全機(jī)制。6. 技術(shù)體系結(jié)構(gòu)說明:1、web服務(wù)層采用struts1.2，struts1.2居于mvc的模式，很好的把視圖展示，控制處理邏輯，數(shù)據(jù)模型分開，視圖我們采用jsp技術(shù)，控制采用struts自帶的請求分發(fā)器，數(shù)據(jù)模型使用action，actionform表示，action中調(diào)用spring byname注入進(jìn)來的業(yè)務(wù)邏輯處理類，進(jìn)行相關(guān)的業(yè)務(wù)邏輯處理。2、業(yè)務(wù)邏輯層使用spring控制數(shù)據(jù)庫事務(wù)的bean，調(diào)用spring配置文件中注入的hibernate dao操作類，進(jìn)行相關(guān)業(yè)務(wù)處理與數(shù)據(jù)庫操作，統(tǒng)一的出錯事務(wù)回滾機(jī)制，很好的保證數(shù)據(jù)的完整性，一致性。2、實體層使用hibernate的orm映射，把數(shù)據(jù)庫表抽象成一個個java類，表中記錄映射成對應(yīng)的類實例對象，在這基礎(chǔ)之上，抽象封裝實體類操作dao（線程安全），統(tǒng)一對數(shù)據(jù)庫進(jìn)行操作，提供給業(yè)務(wù)邏輯層調(diào)用，把對實體類對象的操作映射成對數(shù)據(jù)庫的操作。7. 產(chǎn)品技術(shù)優(yōu)勢7.1. 先進(jìn)與成熟相結(jié)合的技術(shù)架