CN111861383A - 一种线上居家办公安全平台 - Google Patents

Abstract

本发明公开了一种线上居家办公安全平台，安全平台整体架构按照SOA体系构建，与第三方应用系统的集成采用Web Service技术，操作系统运行环境基于虚拟机搭建，本发明从兼容性、可扩展性、便捷性、安全性及经济性五个方面提出企业移动办公平台的建设需求，该安全办公平台是一种松耦合架构，具有良好的可扩展性。

Description

一种线上居家办公安全平台

技术领域

本发明涉及一种线上居家办公安全平台，属于数字办公系统技术领域。

背景技术

随着电力体制改革的进一步深化和市场竞争的日益激烈，如何通过提高企业的行政办公平台建设，加强内部信息沟通效率，固化企业管理模式，优化业务流程和管理流程，保障企业制度标准、体系、流程管理的标准化，进一步提升企业的核心竞争力，需要公司长期开展探索。

尤其是在疫情特殊时期，人员需要居家隔离，但是电力是重要的生活资源，因此需要远程线上办公，既要保证人员隔离，防止疫情蔓延，同时要保证电力企业正常运行，目前市场上有一些类似的软件，如钉钉、微信等，但是这些软件主要面向个人用户，提供简单的语音、视频、文件传输等功能，基于企业级的线上办公软件并不多见，同时相对电力企业的具体需求存在诸多问题：与电力企业各类管理系统的兼容性不足，软件本身不具有扩展性，不同员工登录缺乏便捷性，电网数据传输过程的安全性难以保证，缺乏特殊时期员工居家办公的健康情况记录。

发明内容

本发明所要解决的技术问题是结合电力企业业务实际和信息平台建设的一般规律，从兼容性、可扩展性、便捷性、安全性及员工健康记录多维度搭建一种电力企业职工线上居家办公安全平台，为员工提供便捷的办公渠道，创新工作方式，拓展工作空间，具有重要的现实意义。

为解决上述问题，本发明所采取的技术方案是：

一种线上居家办公安全平台，安全平台整体架构按照 SOA 体系构建，与第三方应用系统的集成采用Web Service 技术，操作系统运行环境基于虚拟机搭建。

作为本发明的进一步改进，

所述虚拟机采用VMware vSphere虚拟机作为企业安全平台的服务器；

所述虚拟机的架构至少包含两个软件层：虚拟化层和管理层，在VMware vSphere虚拟机中，对应的是两个核心组件：ESXi和vCenter Server；

ESXi提供虚拟化功能，用于将主机硬件作为一组标准化资源进行聚合并将其提供给虚拟机，创建和运行虚拟机、虚拟设备；

vCenter Server服务用于管理网络和资源池中连接的两个以上的主机。

作为本发明的进一步改进，

搭建安全平台功能架构，所述安全平台功能架构建设分为终端访问、业务功能和后台管理三个部分；

所述终端访问的类型包括iOS、Android智能终端及 PC 端；

所述业务功能是实现第三方业务系统，第三方业务系统包括合同、公文、BPM业务系统的移动审批；

所述后台管理包括设备管理、用户管理、应用管理及接口配置。

作为本发明的进一步改进，

按照安全平台功能架构，建设相应的安全平台技术架构，所述安全平台技术架构包括基于VMwarev Sphere6.0虚拟机环境安装Windows Server 2012 R2，搭建安全平台基础架构的系统层面，利用 SQL Server 2012 构建管理数据存储层并基于IIS 和 VisualStudio 的安全平台后端，以及应用管理员进行管理的安全平台前端。

作为本发明的进一步改进，

所述安全平台前端采用 NativeAPP 的开发模式，针对Android、iOS 不同的移动终端操作系统采用不同的开发语言和框架进行开发，所述移动终端具有体温状况登记功能。

作为本发明的进一步改进，

所述iOS的前端利用Object C进行开发，所述Android的前端利用Java技术进行开发。

作为本发明的进一步改进，

所述安全办公平台后端采用四层结构，将数据管理层、业务逻辑层、服务管理层和用户交互层分开进行设计，并将用户、权限等安全管理、系统管理、操作记录与消息通信过程贯穿始终。

作为本发明的进一步改进，

依据安全平台技术架构，建设相应的安全平台集成架构，安全平台前端的智能终端与安全平台后端的第三方应用系统之间由安全办公服务平台进行数据传输；

所述安全办公服务平台采用统一身份认证，在平台中只存储用户账号信息，不存储密码，用户在终端输入账号、密码后提交到企业 AD 域服务器做身份认证，认证成功后，生成认证标志，返回给平台；

所述安全办公服务平台与智能终端以及第三方应用系统的业务数据交换均采用XML格式，XML使用 Unicode 编码，采用自描述的数据结构，以文本文档格式储存、传输和读取数据；

所述第三方应用系统的业务数据通过Web Service接口以XML格式传递到安全办公服务平台，数据经过转换后发送到智能终端，智能终端对XML进行解析并展现页面。

作为本发明的进一步改进，

所述智能终端的移动用户每次在请求数据时提供身份凭据，安全办公服务平台服务器检查该身份后，再向第三方应用系统请求数据时同样也要验证核实身份凭据，以保障第三方应用系统准确获得用户身份，而确保数据不被匿名用户获取。

作为本发明的进一步改进，

安全办公平台服务器部署在企业内网服务器区内；

建设安全办公平台的安全架构，以保障系统安全、应用安全、数据安全及传输安全；

系统安全，安全办公平台操作系统部署在VMwarev Sphere虚拟机中，利用VMware的动态迁移、快照和克隆功能，同时通过杀毒软件安装、安全基线配置与服务器主机安全加固相结合，保障安全办公平台运行环境的安全；

应用安全，安全办公服务平台采用统一身份认证，与第三方应用系统做单点登录集成；用户授权基于角色设计；移动用户账号与智能终端设备号绑定，智能终端设备若丢失，则解除移动用户与设备的绑定；

数据安全，利用 SQL Server 2012 的透明数据加密技术，对数据库文件、数据库备份文件进行加密；

传输安全，智能终端在互联网环境中，通过 VPN 接入企业内网，访问企业移动办公平台及第三方应用系统，数据经过加密处理。

采用上述技术方案所产生的有益效果在于：

1. 线上居家办公安全平台需要具有兼容性。

2. 线上居家办公安全平台需要具有可扩展性。

3. 线上居家办公安全平台需要具有统一用户认证功能，在移动智能终端一次登录，即可访问线上居家办公安全平台集成的各应用系统。

4. 线上居家办公安全平台需要具有较高的安全性。

5. 线上居家办公安全平台为企业员工在非内网办公环境时，利用碎片化时间办理业务流程审批流转及文件浏览提供便利，并实时对员工健康记录，以便安排疫情期间值班计划，避免疫情扩散。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明功能架构示意图；

图2是本发明技术架构逻辑示意图；

图3是本发明集成架构示意图；

图4是本发明安全架构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。以下对至少一个示例性实施例的描述实际上仅仅是说明性的，决不作为对本申请及其应用或使用的任何限制。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术语“包含”和/或“包括”时，其指明存在特征、步骤、操作、器件、组件和/或它们的组合。

除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。同时，应当明白，为了便于描述，附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论，但在适当情况下，所述技术、方法和设备应当被视为授权说明书的一部分。在这里示出和讨论的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制。

因此，示例性实施例的其它示例可以具有不同的值。应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步讨论。

在本申请的描述中，需要理解的是，方位词如“前、后、上、下、左、右”、“横向、竖向、垂直、水平”和“顶、底”等所指示的方位或位置关系通常是基于附图所示的方位或位置关系，仅是为了便于描述本申请和简化描述，在未作相反说明的情况下，这些方位词并不指示和暗示所指的装置或元件必须具有特定的方位或者以特定的方位构造和操作，因此不能理解为对本申请保护范围的限制；方位词“内、外”是指相对于各部件本身的轮廓的内外。

一种线上居家办公安全平台，安全平台整体架构按照 SOA 体系构建，与第三方应用系统的集成采用Web Service 技术，操作系统运行环境基于虚拟机搭建。

作为本发明的进一步改进，

所述虚拟机采用VMware vSphere虚拟机作为企业安全平台的服务器；

所述虚拟机的架构至少包含两个软件层：虚拟化层和管理层，在VMware vSphere虚拟机中，对应的是两个核心组件：ESXi和vCenter Server；

ESXi提供虚拟化功能，用于将主机硬件作为一组标准化资源进行聚合并将其提供给虚拟机，创建和运行虚拟机、虚拟设备；

vCenter Server服务用于管理网络和资源池中连接的两个以上的主机。

如图1所示，

搭建安全平台功能架构，所述安全平台功能架构建设分为终端访问、业务功能和后台管理三个部分；

所述终端访问的类型包括iOS、Android智能终端及 PC 端；

所述业务功能是实现第三方业务系统，第三方业务系统包括合同、公文、BPM业务系统的移动审批；

所述后台管理包括设备管理、用户管理、应用管理及接口配置。

如图2所示，

按照安全平台功能架构，建设相应的安全平台技术架构，所述安全平台技术架构包括基于VMwarev Sphere6.0虚拟机环境安装Windows Server 2012 R2，搭建安全平台基础架构的系统层面，利用 SQL Server 2012 构建管理数据存储层并基于IIS 和 VisualStudio 的安全平台后端，以及应用管理员进行管理的安全平台前端。

作为实施例具体的，

所述安全平台前端采用 NativeAPP 的开发模式，针对Android、iOS 不同的移动终端操作系统采用不同的开发语言和框架进行开发，所述移动终端具有体温状况登记功能。

作为实施例具体的，

所述iOS的前端利用Object C进行开发，所述Android的前端利用Java技术进行开发。

作为实施例具体的，

所述安全办公平台后端采用四层结构，将数据管理层、业务逻辑层、服务管理层和用户交互层分开进行设计，并将用户、权限等安全管理、系统管理、操作记录与消息通信过程贯穿始终。

数据管理层实现对数据库服务器的读写操作；

业务逻辑层处理业务逻辑，提供工作流引擎、业务组件、业务实体等业务逻辑处理的基本服务；

服务管理层在业务逻辑层的基础上，提供服务组合与发布，服务接受和服务代理等功能，服务组合与发布是在现有的基础服务，通过组合和排列形成新的服务对外提供；

服务提取通过将系统中的细粒度的接口逻辑以服务的方式提取出来，如针对某项业务的读写服务等；服务代理则将外部的数据或服务请求转交给为内部的服务，调用相关的服务参数，实现对外的服务访问。

在用户交互层中对功能的方便快捷访问，提供了多种展现方式，如浏览器用户、移动终端、以及各种 UI 组件等。

如图3所示，

依据安全平台技术架构，建设相应的安全平台集成架构，安全平台前端的智能终端与安全平台后端的第三方应用系统之间由安全办公服务平台进行数据传输；

所述安全办公服务平台采用统一身份认证，在平台中只存储用户账号信息，不存储密码，用户在终端输入账号、密码后提交到企业 AD 域服务器做身份认证，认证成功后，生成认证标志，返回给平台；

所述安全办公服务平台与智能终端以及第三方应用系统的业务数据交换均采用XML格式，XML使用 Unicode 编码，采用自描述的数据结构，以文本文档格式储存、传输和读取数据；

所述第三方应用系统的业务数据通过Web Service接口以XML格式传递到安全办公服务平台，数据经过转换后发送到智能终端，智能终端对XML进行解析并展现页面。

作为实施例具体的，

所述智能终端的移动用户每次在请求数据时提供身份凭据，安全办公服务平台服务器检查该身份后，再向第三方应用系统请求数据时同样也要验证核实身份凭据，以保障第三方应用系统准确获得用户身份，而确保数据不被匿名用户获取。

如图4所示，

安全办公平台服务器部署一般有两种选择，一种是部署在企业内网环境中，一种是部署在企业 DMZ 区。综合考虑网络安全防护成本投入、业务数据交互情况，安全办公平台服务器部署在企业内网服务器区内；

建设安全办公平台的安全架构，以保障系统安全、应用安全、数据安全及传输安全；

系统安全，安全办公平台操作系统部署在VMwarev Sphere虚拟机中，利用VMware的动态迁移、快照和克隆功能，同时通过杀毒软件安装、安全基线配置与服务器主机安全加固相结合，保障安全办公平台运行环境的安全；

应用安全，安全办公服务平台采用统一身份认证，与第三方应用系统做单点登录集成；用户授权基于角色设计；移动用户账号与智能终端设备号绑定，智能终端设备若丢失，则解除移动用户与设备的绑定；

数据安全，利用 SQL Server 2012 的透明数据加密技术，对数据库文件、数据库备份文件进行加密；

传输安全，VPN 虚拟专用网络是一种远程访问技术，目的是解决用户通过互联网访问企业内网环境资源，为了保证数据安全，VPN 服务器和客户机之间的通讯数据都进行了加密处理。智能终端在互联网环境中，通过 VPN 接入企业内网，访问企业移动办公平台及第三方应用系统，数据经过加密处理。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；作为本领域技术人员对本发明的多个技术方案进行组合是显而易见的。而这些修改或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。

Claims (10)

1.一种线上居家办公安全平台，其特征在于：安全平台整体架构按照 SOA 体系构建，与第三方应用系统的集成采用Web Service 技术，操作系统运行环境基于虚拟机搭建。

2.根据权利要求1所述的一种线上居家办公安全平台，其特征在于：所述虚拟机采用VMware vSphere虚拟机作为企业安全平台的服务器；

所述虚拟机的架构至少包含两个软件层：虚拟化层和管理层，在VMware vSphere虚拟机中，对应的是两个核心组件：ESXi和vCenter Server；

ESXi提供虚拟化功能，用于将主机硬件作为一组标准化资源进行聚合并将其提供给虚拟机，创建和运行虚拟机、虚拟设备；

vCenter Server服务用于管理网络和资源池中连接的两个以上的主机。

3.根据权利要求2所述的一种线上居家办公安全平台，其特征在于：搭建安全平台功能架构，所述安全平台功能架构建设分为终端访问、业务功能和后台管理三个部分；

所述终端访问的类型包括iOS、Android智能终端及 PC 端；

所述业务功能是实现第三方业务系统，第三方业务系统包括合同、公文、BPM业务系统的移动审批；

所述后台管理包括设备管理、用户管理、应用管理及接口配置。

4.根据权利要求3所述的一种线上居家办公安全平台，其特征在于：按照安全平台功能架构，建设相应的安全平台技术架构，所述安全平台技术架构包括基于VMwarev Sphere6.0虚拟机环境安装Windows Server 2012 R2，搭建安全平台基础架构的系统层面，利用 SQLServer 2012 构建管理数据存储层并基于IIS 和 Visual Studio 的安全平台后端，以及应用管理员进行管理的安全平台前端。

5.根据权利要求4所述的一种线上居家办公安全平台，其特征在于：所述安全平台前端采用 NativeAPP 的开发模式，针对Android、iOS 不同的移动终端操作系统采用不同的开发语言和框架进行开发，所述移动终端具有体温状况登记功能。

6.根据权利要求5所述的一种线上居家办公安全平台，其特征在于：所述iOS的前端利用Object C进行开发，所述Android的前端利用Java技术进行开发。

7.根据权利要求6所述的一种线上居家办公安全平台，其特征在于：所述安全办公平台后端采用四层结构，将数据管理层、业务逻辑层、服务管理层和用户交互层分开进行设计，并将用户、权限等安全管理、系统管理、操作记录与消息通信过程贯穿始终。

8.根据权利要求7所述的一种线上居家办公安全平台，其特征在于：依据安全平台技术架构，建设相应的安全平台集成架构，安全平台前端的智能终端与安全平台后端的第三方应用系统之间由安全办公服务平台进行数据传输；

所述安全办公服务平台采用统一身份认证，在平台中只存储用户账号信息，不存储密码，用户在终端输入账号、密码后提交到企业 AD 域服务器做身份认证，认证成功后，生成认证标志，返回给平台；

所述安全办公服务平台与智能终端以及第三方应用系统的业务数据交换均采用XML格式，XML使用 Unicode 编码，采用自描述的数据结构，以文本文档格式储存、传输和读取数据；

所述第三方应用系统的业务数据通过Web Service接口以XML格式传递到安全办公服务平台，数据经过转换后发送到智能终端，智能终端对XML进行解析并展现页面。

9.根据权利要求8所述的一种线上居家办公安全平台，其特征在于：所述智能终端的移动用户每次在请求数据时提供身份凭据，安全办公服务平台服务器检查该身份后，再向第三方应用系统请求数据时同样也要验证核实身份凭据，以保障第三方应用系统准确获得用户身份，而确保数据不被匿名用户获取。

10.根据权利要求9所述的一种线上居家办公安全平台，其特征在于：安全办公平台服务器部署在企业内网服务器区内；

建设安全办公平台的安全架构，以保障系统安全、应用安全、数据安全及传输安全；

系统安全，安全办公平台操作系统部署在VMwarev Sphere虚拟机中，利用VMware的动态迁移、快照和克隆功能，同时通过杀毒软件安装、安全基线配置与服务器主机安全加固相结合，保障安全办公平台运行环境的安全；

应用安全，安全办公服务平台采用统一身份认证，与第三方应用系统做单点登录集成；用户授权基于角色设计；移动用户账号与智能终端设备号绑定，智能终端设备若丢失，则解除移动用户与设备的绑定；

数据安全，利用 SQL Server 2012 的透明数据加密技术，对数据库文件、数据库备份文件进行加密；

传输安全，智能终端在互联网环境中，通过 VPN 接入企业内网，访问企业移动办公平台及第三方应用系统，数据经过加密处理。

Images