|
复旦协达——某石油公司BPM实施详细案例项目背景 某石油集团(以下简称A公司)是以成品油、燃料油、润滑油销售为主,集仓储、运输、化工生产和房地产、旅游文化开发等项目为一体的股份制企业,始创于1992年,注册资本1.5亿元人民币。 A公司经过10 多年的不断发展,拥有石油、船舶燃料供应、石油运输、石油仓储、置业等方向5家子公司和化工、投资咨询、旅游文化等 3 家控股企业,集团总部现有员工 近千 人,其中专业技术人员占总人数的50% ;固定资产4.8亿元,包括水陆路加油站21座,油库3 座(总计150000 立方米),油罐车18辆。2004年,公司完成销售收入超10亿元。 根据A公司信息化规划要求,为解决以后上线的应用系统‘信息孤岛’现象,对企业中运营的各种流程进行更好规范,同时进一步提高部门与员工间协同工作能力,公司内部目前需要一个统一的协同应用平台。而引进协达BPM协同平台可优化业务流程,打破公司应用及资源之间的壁垒与边界,灵活自主的构建应用功能,从而极大的提高企业办公效率和管理执行力。 系统设计原则 先进性 无论是BPM协同平台的设计,还是此系统与其他专业系统接口的设计,都要采用成熟先进的技术、手段、方法和设备。 可扩展性 系统将充分考虑A公司未来发展的需要,必须具有良好的可扩展性技术支撑平台,保证应用系统可以快速扩展新的功能以满足业务需求。可扩展的平台必须能够随着最终用户、数据、复杂性和功能性的增长而增长,在增长的同时还必须能维持现有的性能水平,能够支持软硬件平台的平滑升级和扩展。 高性能 软件和硬件系统处理能力能够充分胜任业务处理的要求及信息量不断增长的挑战,满足各种应用对硬件平台在大数据量、高反应速度条件下有良好的性能的要求。 安全性 必须在A公司建立可靠的全面系统的安全体系,以防止对信息系统的非法侵入和攻击。安全体系包括网络安全、应用平台安全、数据库安全、应用系统安全等。 保密性 A公司信息系统的有关业务信息、财务信息、人事信息和奖惩信息等信息必须有严格的管理措施和技术手段加以保护,以免因泄密而造成国家、单位和个人的损失。 最高保护原则 系统中涉及到多种密级的资源,按最高密级保护。 易实现性和可管理性 系统的安装、配置与管理尽可能的简洁,安装便捷,配置灵活,操作简单,并且系统应具有可授权的集中管理能力。 解决方案 1.BPM协同平台应用 根据实际的需求分析,A公司目前项目的重点是构建一个企业协同应用平台,让此平台成为信息交互的中心,通过高效的业务流程管理和灵活的业务应用构建,使这个平台成为公司、各个部门以及各个员工的信息门户。 因此,我们认为需要实施应用BPM协同平台的统一信息门户、协同办公应用、动态业务建模等模块。下面逐一介绍涉及以上功能的解决方案。 1.1. 统一信息门户 随着A公司信息化的不断发展,将会陆续上多套信息系统,但各个信息系统之间的信息割裂,会导致操作人员在多个系统之间不断的切换,在繁多的系统功能中寻找与自己相关的极少数内容,如此系统使用效率将十分低下。同时,随着A公司的发展,越来越要求有一个统一的平台来建设整个企业的文化和传达企业的思想。 企业信息化的过程往往都是从单纯解决一个业务功能(business)问题,到解决企业内部业务流程问题,再扩展到解决不同业务流程的关联互动问题。也就是说,目前,信息系统集成应用的核心是业务的集成和业务的协同。而实现这一协同应用的基础展现工具就是企业统一信息门户,实现业务与业务之间的协同应用也需要有一个统一的业务协同平台。 对于统一信息门户,A公司的需求主要体现在四个方面:内容(content)、应用(Application)、人员(People)、流程(Processes),这个四个方面的内容在门户上各有表现,首先内容管理是非结构化的管理,如文档管理、信息中心等;应用管理表现就更加丰富了,比如各异构系统是协同平台系统的数据支持;流程管理是辅助A公司应用的最重要工具,优化流程,提高A公司的核心竞争力;人员方面主要是A公司的组织架构、角色和个性化的设置。 而针对A公司用户的不同的应用角色,也将对系统提出不同的需求,这也成为统一信息门户的需求之一:角色门户的概念被凸现出来。我们分高层管理者、中层管理者、企业员工三个纬度来分析不同角色的关注点。 高层管理者 客户 中层管理者 客户 效率 单点登录 单一登录技术是一种认证和授权机制,它允许用户只登录到系统上一次,而后授权访问其他连接的系统,无需再进行登录。 统一信息门户(EIP)登录到一个Portal系统的过程操作简单:输入用户身份名,然后再输入口令。登陆系统,首先是认证过程,认证发生在系统验证登录的实体(人或程序)是否是与这个用户身份相关的实体时,认证通常通过将口令与用户的ID匹配来实现。 由于SSO涉及到对很多访问权限的授权,因此非常重要的一点是保证单一认证过程的安全。确保做到这点的一条途径是用数字“证书”来代替静态的用户ID/口令对,如RSA Security公司提供的SecurID卡。这类证书为每次登录生成不同的一次性使用的口令,并且将生成的口令保密地在网络上传输。这使得攻击者实际不可能发现可使用的口令。基于证书的认证还防止绕过SSO直接登录到次级系统的企图。 口令/用户ID对也被加密(如可以使用Kerkeros算法)以防止监测攻击。SSO还可以支持两重或三重认证,将口令、证书甚至生物特征认证工具组合在一起使用。 实现认证和授权的集成还简化了雇员离开公司后的清洗工作。管理人员不用再跟踪雇员可能访问过的所有系统和资源,只要简单地删除掉这名雇员的SSO账户就行了。 个性化门户 用户进入BPM后,可以完全按照自己需要的信息、日常工作的内容来定义自己的系统界面和内容,使得用户可以在最短的时间内找到自己需要在BPM系统里所需的内容和操作。可以说,个性化门户是系统的一张脸,它体现了BPM的第一用户体验和印象。同时,通过个性化功能的提供,可以通过实施缩短用户熟悉系统的时间,加快用户上手的过程。 个性化门户为每个BPM用户提供自己的用户,实现用户真正的工作台。通过个性化门户,每个用户可以根据自己的角色和工作内容定义自己的工作台面,可以高效的在自己的门户上展开工作。 个性化门户主要提供了基于用户的门户个性化流程 搜索引擎 统一信息门户(EIP)提供自己的全文搜索引擎,可以对统一信息门户(EIP)信息和业务信息进行全文搜索。 消息中心 消息中心是统一信息门户(EIP)的工作中心,提供了以消息为中心的工作方式,实现了“事找人”的工作方式,提高日常工作的效率。
应用集成 通过协达应用集成功能中的ETL工具,可以灵活地建立与其他异构软件的结构化和非结构化数据集成,实现协达与其他软件的信息集成应用。 在协同系统深入发展的今天,企业应用集成功能已经成为协同系统的重要功能。各个厂商所提供的软件产品都各有所长,通过协同应用平台方便灵活地集成各具优势的管理软件,并且将这些软件的信息参与协作,是协达的重要应用理念之一。这一软件应用理念和功能设计思路,也是协达从保护用户原有IT投资,和支持用户选择最佳IT产品出发,为用户提供最适应、性能价格比最理想的协同系统的重要体现。 协达BPM可以集成的异构系统非常广泛,从业务管理角度而言,除本示例中的项目管理外,包括常见的ERP、CRM、HR等等通用管理软件,还可以包括酒店、商贸等行业管理软件;从数据类型而言,即包括了SQL Server、Oracle、DB2、Sybase等关系型数据,也包括PPM、EXCLE、TXT等其他类型的数据。 A公司现有的需求既包括管理方面的办公需求,也包括业务需求,如公告、交流方面的需求。应用集成主要体现在对系统接口的需求,具体表现在以下方面: 以下便以BPM协同应用系统集成微软Project的应用为例,阐述协达灵活、易用的应用集成功能。 协达具有成熟的EAI(Enterprise Application Integration 企业应用集成)功能,通过内嵌的ETL(数据加载工具Extract Transform Load)建立起与异构软件系统的输入输出关联,从而实现多种管理软件之间的集成应用。 一、数据同步设置 微软的Project软件默认的保存项目数据文件是MPP格式,但在该软件“工具-选项”中提供了自动与SQL Server 数据库接口的功能。该接口通过ODBC予以实现,并且可以设置为数据自动保存,保存的间隔期任意设定(最短为1分钟)。 二、输入项目信息 设置完成后,可直接通过协达“信息采集”功能,直接启用微软Project软件,进行日常项目管理工作。对于局域网以外的调用,可以通过设置远程端口,或者加载VPN等工具程序实现。 微软Project软件的数据,可以在最短1分钟之内实时保存在SQL Server数据库里。见下图: 三、项目查阅 通过协达数据采集功能的ETL,可以在协达里查阅与微软Project软件数据一致并且同步的信息。协达数据采集设置方法如下图示: 查询语句设置内容如下: select TASK_NAME as 任务名称,TASK_PCT_COMP as 完成百分比,TASK_PRIORITY as 优先级,TASK_EARLY_START as 开始日期,TASK_LATE_FINISH as 完成日期 from MSP_TASKS where TASK_IS_EFFORT_DRIVEN=1 通过协达的数据采集功能,获得的微软Project项目管理示例的任务信息如下: 参考微软Project软件中的任务信息,与协达中显示的任务信息完全一致,如下图示: 1.2. 协同办公应用 1.2.1.办公门户 办公门户是日常事务管理进入口。 1.2.1.1我的桌面 “我的桌面”是系统中信息显示的平台。系统中的新闻、公告、共享知识、待办事宜、值班提醒、人事系统等信息都将在我的桌面显示,并且可以定义个人桌面、部门桌面、群组桌面、角色桌面、单位桌面,实现了桌面重组。界面如下图所示。 1.2.1.2个人日程 个人日程管理即行事历,是用来对我们将要做的事项做一个日程的计划安排.日程安排的好处在于,在繁忙的工作中,我们对于一些将需要处理的事项做到一个合理的安排。同时具有提醒功能,具体包括有:今日安排、本周安排、下周安排、本月安排,以及整个日程安排、过期安排的统计和按一定规律进行查询的功能。同时,工作计划还可以进行共享,被授权的用户可以通过用户进行查询。 工作日志管理,是对我们一天所做工作的一个总结和备忘。同时还设有按时间、按标题、按关键字查询功能,创建个人工作日志时可以填写时间、标题、关键字和内容各项。 1.2.1.3电子考勤 在协同办公网络平台上,以电子化的方式记录考勤,并自动记录上下班IP地址,自动计算迟到、早退时间。 1.2.1.4网络硬盘 可以实现A公司内部网络中的网络资源共享。创建目录是指上传文件时所保存的文件夹名称,而上传文件就是指将本地文件上传。真正的原始文件的硬盘存储方式,方便灵活地存储一些相对开放的文档。 A公司也可以从管理的需要出发,将所有的知识文档都集中在知识管理和档案管理中进行,而取消网络硬盘,系统在控制面板中支持这一功能。 1.2.1.5个人设定 设置登录用户的一些基本信息,如登录密码,初始化角色桌面,初始化群组桌面。 委托人:设置当用户因某种原因长时间不能登录系统时(如出差),可以委托其他人代办自己的事情,主要是指处理流程中心的代办任务。 人员状态:设置当前用户是否已经不在自己的岗位。一般与委托人一起设置。 1.2.2.流程中心 流程中心包括定义流程种类、流程启动、待办任务、历史纪录、流程跟踪。 1.2.3.知识管理 随着公司的发展,知识管理显得越来越重要。系统的知识管理包括有知识的分类、共享、修改、删除等。 1.2.4.电子邮件 随着网络的发展,邮件的使用越来越广泛。为了方便用户的使用,本系统加入了电子邮件模块,该模块实现了在局域网,广域网中收发邮件。 1.2.5.公共信息 公共信息包括电子公告、投票管理和值班提醒。 1.2.6.公文管理 根据我国企业及政府办公的特点,并以工作流为基础应用理念,可以管理公文中的发文、收文、签报、传阅等各种流程。针对不同的公文流程,提供了不同的处理动作,比如撰写、登记、流转、传阅、审批、归档等。结合系统提供的多单位应用功能,能够实现各组织单位之间公文的全电子化网络流转,真正实现用户单位公文处理的电子化、实时化要求。公文管理是用户单位内网核心业务平台,收文、发文、请示报告、领导督办、信访管理都可以通过公文管理平台实现。 1.2.7.会议管理 对会议的全过程实现智能化管理,适用于企业办公室对于会议进行统一组织、管理的所有会议,并可灵活地通过公告栏、即时消息、手机短信等方式进行通知,使会议计划以快捷的方式传播给与会人员。 1.2.8.资源管理 办公用品:主要对企业的办公易耗品进行管理,可以对消耗品的分类定义、采购、领用、损耗、库存等进行管理。 车辆管理:对车辆的登记、使用、维护等工作进行科学、有效地管理 图书管理:图书管理模块是企业的电子图书馆,是图书馆管理人员的好帮手,可以为员工提供图书借阅、归还、图书借阅分析、图书管理以及强大的查询功能。 1.3. 动态业务建模 1.3.1.表单建模 这里主要对表单的自定义进行操作。 1.3.1.1表单类别 用于添加表单的管理分类。 1.3.1.2表单定制 表单定制:可任意的出差、请假、报销、借支、物品零用等表单,表单的定制采用向导式,普通人员即能完成表单定制工作,而无须专业的计算机知识。 1.3.1.3代码管理 把一些常用的代码集中起来,方便重用。 1.3.2.流程定义 工作流管理人与计算机共同工作的自动化协调、控制和通讯,在计算机化的业务过程上,通过在网络上运行软件,使所有命令的执行都处于受控状态。在工作流管理下,工作量可以被监督,分派工作到不同的用户达成平衡。工作流管理有时被称为业务流程管理(BPM,Business Process Management),为了与企业绩效管理(BPM)管理区分,这里将业务流程管理划入工作流管理范畴。 据工作流管理联盟(Workflow Management Coalition,WFMC)的定义,工作流管理系统(Workflow Management System, WFMS)通过软件定义、创建工作流并管理其执行。它运行在一个或多个工作流引擎上,这些引擎解释对过程的定义,与工作流的参与者(包括人或软件)相互作用,并根据需要调用其他的软件工具或应用。 总的来说,实际运作的工作流管理系统,是一个人机结合的系统。它的基本功能体现在几个方面: 与以往已经被采用的 IT 应用体系,例如 MRPII 或 ERP 相比,WFMS是一个相当重要的里程碑。从用户的角度,WFMS带来(或将要带来)的变化是极其强烈的,甚至可以形容为一种用户“梦想”的实现。 工作流管理 WFM 系统是一个真正的“人-机”系统,用户是系统中的基本角色,是直接的任务分派对象,他或她可以直接看到电脑针对自己列出的“任务清单”,跟踪每一项任务的状态,或继续一项任务,而不必从一个模块退出,进入另一个模块,搜索相应任务的线索。前者是面向功能或对象的,而后者是直接面向用户的。这样,用户的任务分派和任务的完成状态,可以被最大程度地电脑化和受到控制。 BPM工作流管理WFM 系统是BPM协同软件系统的血脉和经络,是调合BPM协同软件系统各功能模块的重要应用部分,是BPM协同软件实现协同管理的基础。 1.3.2.1强大的工作流引擎 工作流引擎是BPM协同软件工作流管理系统软件的核心功能,主要用于负责解释、执行各种工作流程,调度、分发和管理任务。 1.3.2.2工作流程的自由定义 工作流管理 WFM 可以任意定义单个员工、部门、事务的工作流程,也可以定义群组的工作流程。采用流程代码的设定方式,使系统的灵活性和扩展性大大加强。工作流程步骤不受限制,工作流程的事务不受限制。 1.3.2.3灵活的组织、员工设定和权限管理 工作流管理 WFM 结合用户管理模块,可以快速定义和修改用户单位的组织结构、人员协作关系,并设定用户的角色和权限。 1.3.2.4以任务为管理线索 所有的工作,都可以分解为单项或者组合任务,每一任务可以自由设定内容。工作流管理 WFM 用户只需打开事件任务中心,就可以查看、管理所有的待办事宜。根据任务的执行情况,可以对任务的责任部分和个人,进行绩效考评和过程改进建议。 1.3.2.5多种消息提醒方式 工作流管理 WFM 中的相关消息,包括待办任务、请示批复等消息,可以采用Email、系统短消息、手机短讯、多媒体语音等方式提醒,并将提醒和处理结果自动反馈到工作流管理数据中去。 1.3.3.数据分析 1.3.3.1表单数据分析 1.3.4.应用集成 1.3.5.系统管理 系统管理功能模块是用于对整个系统进行设置和维护的。系统管理员要完成用户添加、部门设置、单位设置、用户权限的更改等工作都可在这里实现。 1.3.5.1基础设置 基础设置包括单位管理、部门管理、用户管理、角色管理、群组管理、菜单管理。 1.3.5.1.1 单位管理 1.3.5.1.2部门管理 1.3.5.1.5 群组管理 1.3.5.1.6 菜单管理 1.3.5.2模板管理 模板管理是用于对系统中各种模板统一管理。包括公文、签稿、计划、日志、新闻、公告、知识、邮件模版设置。 1.3.5.3知识分类 1.3.5.4安全管理 安全管理,用于管理当前允许访问本服务器的电脑。 2.BPM协同平台技术 2.1系统技术架构 2.1.1 基于SOA架构 协达BPM在协同系统的开发过程中采用了SOA (Service-Oriented Architecture 面向服务架构)架构,基于SOA 的协同系统在应用上有两个特点:“所见即所得” 和“即插即用”。 “即插即用”,是一种与其他软件自动接口的技术。BPMSOA 协同系统通过EAI 功能,与HR、CRM 、ERP 等专业应用软件接口,在统一的协同平台上查看人事、客户、资源等相关数据,免去重复登录各个应用软件的麻烦。同时还可以与酒店、餐饮、外贸、金融等行业性软件建立数据通道,与这些软件建立起协同互动的应用关联(需要对方软件支持)。 BPM协同平台基于SOA,在应用平台上建立了抽象、松散耦合和粗粒度的软件服务组件,可以根据服务请求通过分布式网络对松散耦合的应用群件进行部署、组合和使用。主要包含了:四层B/S 结构、应用集成EAI、CAP协同应用平台等核心技术。 2.1.2 四层应用架构 软件采用目前最为先进的Brower-Server架构,整个系统可以分为四个层次,可以最大限度地满足各方面使用者的需求。四个层次如下: 四层架构是三层架构在Internet上的实现,它将应用逻辑从数据源的管理(数据库)和客户端中分离出来。它的好处主要是: 四层结构技术示意图: 2.1.3 采用EAI技术 软件通过元模型方式,使用统一建模语言(UML)以提供各松散应用系统的耦合,使得应用易于集成和改进,可以连接异构系统和操作环境,大大增强了软件系统的健壮性。 第一阶层:连接各应用程序 在这一阶层,应用程序之间进行同步或者异步的通信来提供集成功能。 不同的应用系统,能够共享在软件提供的公共应用架构平台上,各应用程序共用通讯数据模型,并激活相应应用程序,以获得相关服务。 第二阶层:数据集中 通过ETL数据仓库整理工具,结合元数据管理模式,对不同数据源的数据进行抽取、转换、清洗,并重新加载。并且采用了“消息/事件”技术进行通信,实现实时应用集成,真正做到“零延迟信息共享”。 第三阶层:应用协同 采用OLAP 工具,对整理过的数据重新加载,并结合XML、B2B 等语义媒介(Semantic Mediation),对于组织内部流程和外部流程进行整合。外部的信息能够顺利传输到内部,并转换成数据语义。外部事件的触发,会自动转换成内部各类协作事件,内部的事件和流程进行自动分配。当组织内部流程发生变化后,也不会影响到外部的往来单位及商业合作伙伴。 BPM协同平台所采用EAI技术,其“元模型”是遵循如下规范来文档化的: 2.1.4 CAP平台 BPM协同平台基于架构式协同应用平台CAP(Collaboration Application Platform)技术开发,并且随软件向用户提供了一体化的功能架构,实现互联网应用的管理、运行和维护,更好地适应不断变化的应用环境和业务需求。所有软件系统全部在业务架构平台的基础上,用软件构件组装而成,使一个互联网应用系统能够在统一的数据模型支撑下,有机地分解为一组松散耦合的页面构件、展现流构件、服务构件、对象构件和数据构件。 软件提供了可视化的集成环境,不仅可以快速地启用由构件组装成型的软件应用系统,还可以利用软件自带提供的不同层次、不同粒度的通用构件,可视化地组装出新的应用系统。 ● CAP平台基础构件库中主要构件 信息门户构件库: 网络加速器构件、网络消息传输构件、WEB手机短讯构件、邮件收发构件 项目及事务管理构件库: 事务权限控制构件、项目进程控制构件、资源图管理构件 工作流构件库: 动态流程构件、流程智能优化构件 知识及文档构件库: WEB文档管理构件、手写批注构件、电子印件管理构件 商务协作构件库: 事务督办构件、工作任务绑定构件 智能决策构件库: WEB报表构件、OLAP构件、数据加载清洗构件 2.1.5.1 二次开发结构 BPM协同平台提供免代码或者少量代码方式的二次开发平台,用户可以通过此平台构建新的业务管理系统或者修改原已完成的业务系统。二次开发面向的对象包括流程、模块等,开发的颗粒度可以到字段级。 2.1.5.2 JAVA类无关性设计 BPM协同平台 产品的“类”无关性指的是开发人员在实现具体的流程或表单的模块功能时,无须按照数据库的结构进行对应的代码编写工作,只需要在产品提供的定制工具中对数据表的结构进行定义描述,系统将根据工具中对数据表的结构进行定义描述,系统将根据定制内容动态的解析,生成与定义描述相匹配的可操作类。 首先,通过定制工具对数据表的结构和数据类型进行关系的映射,将映射信息定义存储在定义库中。 其次,对应用端提供数据引擎,完成对数据库的存取操作,并根据定义库中的结构描述信息进行解析,对具体的数据进行类封装。 当应用程序需要进行数据操作时,通常只需要提供数据标的类型标识和数据的关键字,数据引擎将自动的进行规则解析,生成动态的数据类。 通过以上的过程就实现了对数据的动态类操作,通过实现类无关性,不仅可以极大地减少程序的代码量,而且统一了数据的存储操作,实现了数据逻辑结构和存储结构的透明处理。 2.1.5.3 强大的WEB 文本编辑技术 BPM协同平台公文编辑集成了具有自主版权的文件编辑控件,功能类似于微软的WORD文档编辑器。如指定字体、字号、字色、背景等,支持HTML 文档模式,可以制作红头文件,可以嵌入网页文件作为公文的一部分。同时,集成了流行的WEB OFFICE功能,能够将微软的OFFICE套件予以WEB化,提供手写签名、全文批注、电子印章、痕迹保留等功能。 BPM协同平台除了具有和WORD功能相同的格式、字体等设置功能外,还支持HTML格式,用户可以将HTML文档直接引入或者引入原代码。BPM协同平台的WEB文本编辑框,同时又是BPM协同平台的表单和页面模版等内容编辑和开发工具。 2.1.5.4 采用CSS技术使界面多样化、个性化 CSS(Cascading Style Sheet,样式单)是对以前的HTML方法的一次重大革新,把某些标记属性化,利用样式单,可以把对象引入了HTML,使得可以使用脚本程序调用对象属性,并且可以改变对象属性,达到动态的目的。CSS的特点就是简化了HTML中各种繁锁的标记,使得各个标记的属性更具一般性和通用性,并且CSS扩展了原先的标记功能,能够实现更多的效果,CSS甚至可以超越WEB页面的本身显示功能,而把样式扩展到多种媒体上。 BPM协同平台利用CSS技术,实现了BPM协同平台的多页面,多显示的个性化界面风格,并且罗列出样式,供用户选择 2.2系统安全策略 A公司BPM协同平台安全涉及以下各部分的安全问题: 网络安全建议方案:为确保全公司管理系统在可依赖的网络环境中稳定运行,根据A公司系统安全要求,制定网络安全方案; BPM系统安全:介绍BPM协同平台安全管理策略如何帮助A公司构建安全的公司管理系统。 2.2.1网络安全建议方案 网络安全是整个系统安全运行的基础,是保证系统安全运行的关键。网络系统的安全需求包括以下几个方面: 这些需求在各个应用系统上的不同组合就要求把网络分成不同的安全层次。 我们针对网络层的安全策略采用硬件保护与软件保护,静态防护与动态防护相结合,由外向内多级防护的总体策略。 根据安全需求和应用系统的目的,整个网络可划分为六个不同的安全层次。具体是: 具体的安全策略如下: 核心数据库采用物理隔离:实现最大可能的网络安全:BPM系统采用分层架构方式,客户端只需要访问中间件服务器即可进行日常业务处理,从物理上不能直接访问数据库服务器,保障了核心层数据的高度安全。 BPM中间件服务器采取综合安全策略:BPM中间件的安全隐患主要来自局域网内部,为了保障BPM系统中间件服务的安全,在局域网中可通过划分虚拟子网对各安全区域、用户和安全域间实施安全隔离,提供子网间的访问控制能力。同时,中间件服务器本身可以通过配置相应的安全策略,限定经过授权的工作站、用户方能访问系统服务,保障了中间件服务器的安全性; 内部局域网采取信息安全策略:内部局域网处于基本安全层的网络,主要是对于安全防护能力较弱的终端用户在使用,因此考虑的重点在于两个方面,一个是客户端的病毒防护,另一个是防止内部敏感信息的对外泄露。因此,通过选用网络杀毒软件达到内部局域网的病毒防护,同时,使用专用网络安全设备(如硬件防火墙)建立起有效的安全防护,通过访问控制ACL等安全策略的配置,有效地控制内部终端用户和外部网络的信息交换,实现内部局域网的信息安全。 Internet采取通讯加密策略:Internet属于非安全层和危险层,由于Internet存在着大量的恶意攻击,因此考虑的重点是要避免涉密信息在该层次中的流动。通过硬件防火墙提供专业的网络防护能力,并对所有访问请求进行严格控制,对所有的数据通讯进行加密后传输。 同时,我们建议设置严格的机房管理制度,严禁非授权的人员进入机房,也能够进一步提升整个网络系统的安全。 2.2.2系统安全管理 企业管理信息系统运用于企业业务的方方面面,各种角色都参与其中,信息的安全管理显得尤为重要。对于信息安全来说,[能做什么]和[能做到什么程度]是非常重要的两个方面。 下面我们将分别进行详细介绍。 2.2.3统一安全管理平台 系统提供统一、完善的安全控制管理平台,提供以下安全管理功能: 与第三方安全的集成;支持各种LDAP、CA体系完整的集成 权限管理:通过用户权限管理,按照企业管理要求进行业务权限的授权控制; License监控:提供BPM软件授权的统一管理; 网络控制:提供网络用户访问的监控,对于网络异常访问能够通过警报、声音、邮件等形式通知系统管理员,并自动采取相应的安全处理措施; 上机日志:实时记录整个系统的用户访问、业务操作、系统运行等日志,提供查询、过滤、打印等多种日志管理功能; 用户监控:实时监控BPM用户的当前操作情况,对于异常的功能操作、越权访问等行为通过警报、声音、邮件等形式通知系统管理员,并自动采取相应的安全处理措施。 2.2.3.1BPM用户管理机制 用户分组管理: 系统支持多级用户组管理,能够根据企业组织架构进行分级管理,也能够按照企业的岗位设置进行分组管理,详见下图所示。 用户的系统定义: 系统中将用户分为系统管理员及普通用户两类,系统管理员属于系统内置用户,用于普通用户权限的管理工作,不参与业务; 普通用户是真正的业务操作者,不限于公司职员可以是外部的供应商客户等,可以禁用和锁定的,并可以选择不同的安全策略,如密码策略、账号失效日期等。 通过将系统管理员和普通用户的分离,避免了系统管理员可以参与业务处理所带来的安全隐患。 2.2.3.2用户权限控制 用户权限控制支持基于业务模块功能的权限控制,以及基于数据访问权限的控制两大类: 业务模块权限功能: 功能权限控制业务模块进行对应分级设置,每个业务功能均提供两类权限控制手段: 标准权限控制:查看、新增、修改、删除等; 特定权限控制:根据功能模块的特殊性,提供相应的特定权限控制。 以凭证处理功能模块为例: 凭证标准权限控制:查看、新增、修改、删除、打印; 凭证特定权限控制:审核、反审核、凭证维护、凭证过账、凭证反过账、冲销凭证、标准凭证引入、标准凭证引出、模式凭证定义……。 数据权限控制: 系统提供基于数据的权限控制功能,能够灵活定义用户访问数据的规则,实现以下功能: 控制用户在凭证处理时能够访问哪些科目:控制用户在凭证处理时,特定凭证类型情况下,能够访问的特定科目的数量金额大小; 其他:BPM基于数据访问规则的自定义实现上述功能,此功能完善、控制方式灵活。 用户角色权限控制: 系统提供大量的权限控制,为了便于用户权限控制,BPM支持基于角色的用户权限管理功能。 由于具有相同操作权限、相同职位、相同职责的用户很多,逐一授权工作量大,所以将具有上述特征的用户抽象成一个角色。 用户角色可通过以下方式进行用户权限的控制: 一个角色分配给多个用户:比如将出纳角色同时分配给所有出纳人员。 一个用户分配多个角色:比如将某一用户同时赋予报表管理、预算管理等角色。 用户权限转授权控制: 系统提供用户权限的转授权控制功能,通过用户将自身的权限进行向下授权,极大的提高了大型企业中的授权灵活程度,同时也可以减轻系统管理员的授权负担。 系统可定义用户是否能够进行权限转授,并且能够控制转授的权限范围、转授的权限是否能够再次转授等。 系统提供完善的转授控制机制,通过系统定义,实现以下功能: 系统提供用户权限禁止控制,从而为企业提供了完善的越权控制保护。通过用户权限禁止控制,我们可以实现如下功能: 综上所述,系统自身提供了严密、完善的安全保障措施,能确保A公司系统安全、可靠的运行。 2.3系统技术特点 2.3.1扩展性 充分考虑A公司现有业务发展的需要,本解决方案具有良好的可扩展性,利用协达CAP保证系统可以快速扩展新的功能以满足业务需求。可扩展的平台能够随着最终用户、数据、复杂性和功能性的增长而增长,在增长的同时维持现有的性能水平。能够支持软硬件平台的平滑升级和扩展。 2.3.2易用性 系统提供方便的全中文操作界面,并提供详细的用户手册和在线帮助,系统版本升级时,用户手册和在线帮助都会及时同步升级。 用户操作界面友好,交互性强,在出现错误时,显示友好的错误提示信息,并且错误信息能够被用户取消,并恢复界面正常显示。 2.3.3稳定性 系统能保证稳定可靠的运行 核心系统(软件、硬件和操作系统)平均无故障连续工作时间(MTBF)大于10年,可用性大于99.9%。系统故障平均恢复时间(MTTR)小于1小时,对于采用双机热备的系统,系统切换后在不需要人工干预的情况下,所有业务功能正常使用。系统应支持集群技术,能够进行负载均衡、分布式运行,支持插件技术。系统不存在因为单点故障而导致系统全面瘫痪的可能性。 2.3.4开放性 系统配置的软件和硬件设备具有很好开放性,BPM协同平台标准应用提供开放的应用接口,可以方便地与其他厂家同类型应用系统进行互连,便于系统未来的扩展。 BPM协同平台各模块中的数据能够方便的导出成电子表格和文本格式,报表系统和其他第三方提供的BI工具系统中能够方便的导出成久其格式,且实业公司总部一次设置对应关系后,实业内所有单位都能共享使用。 2.3.5安全性 本系统的安全解决方案,必须包括以下几方面的要求。 网络安全管理:本系统充分利用防火墙、安全证书、SSL等数据加密技术并与协达自主知识产权的ORM-RPC(128位加密)相结合保证系统与数据安全。 系统安全管理:BPM协同平台提供全面完善的安全管理,并与第三方的安全产品能够很好的集成。 2.3.6可移植性 软硬件都遵循主流标准。完全实现了跨平台,对目前主流操作系统和应用服务器提供支持。 3实施 3.1立体解析法 “立体解析实施法”是协达针对传统管理软件实施方法成功率低的情况,而提出来的一种有效实施方法,它强调实施前的“立体建模”,实施中的“分部解析”,以及“过程评估”,确保BPM协同平台成功应用。 ★ 问题提出 传统静态管理软件在实施服务过程中存在以下问题: 这些都给项目成功带来了不确定的因素。对处于成长阶段的中国用户单位来说,由于规模不断扩大,组织结构不断调整,业务流程需要优化,因而实施的解决方案必须能够支持不断变化的业务模型,并能支持业务流程的持续改进。 “立体解析实施法”就是BPM协同平台公司针对传统管理软件实施方法成功率低的情况,而提出来的一种有效实施方法,它强调实施前的“立体建模”,实施中的“分部解析”,以及“过程评估”,确保BPM协同平台协同管理套件成功应用。 ★ 立体建模 单位组织是一个非常复杂的社会、经济和物理动态系统。建模方法是人类对客观世界和抽象事物本身及其间联系的具体描述,建模方法是为了描述用户单位的所有特征(属性、功能、交互等)而采取的途径、步骤和手段。 “立体建模”是由生命周期维、视图模型维、通用性层次维组成的一个三维体系结构,描述应用建模关注的不同阶段、不同视图和不同的建模构件的通用性程度。 视图模型维:过程视图、功能视图、信息视图、组织视图、资源视图 通用性层次维:通用基本构件、领域共性构件、应用专用构件 “立体建模”是用户信息化诊断、优化和集成的基础;为分析用户单位现有问题,找出差距,提供描述和分析手段,并支持进行具体实现;帮助用户单位优化业务流程,降低成本;有效地支持了用户单位经营过程重组和满足建立具有高度柔性用户单位信息系统需求。 ★ 解析实施 解析实施,以“立体建模”技术为基础,基于视图模型维对功能领域中的关键业务过程进行解析,针对具体的关键问题,制定不同的实施策略和方案。在视图模型维中,以过程模型为核心,功能、信息、组织、资源等模型为辅助,不同视图模型之间构成关联和引用关系。 组织单位的经营或管理过程是由一系列的业务过程组成的,活动是组成业务过程最基本的单元,一个用户单位所有活动的集合覆盖了用户单位中各类业务流程的全部细节。传统按职能划分的单位组织方式,使活动分属于不同的部门,业务过程被割裂。解析实施实现了按流程对组织单位经营过程的过程分析、过程重组和过程优化,打破了部门的边界,完成了管理创新,最终确立适合本单位的管理模型和管理模式。 ★ 过程评估 国内管理软件实施成功率不高的一个重要原因是软件厂商在实施中缺乏科学规范的评估。“立体解析实施法”为用户提供了一套基于过程改进的实施评估体系─过程评估;它包括定期阶段评估和终审评估,评估贯穿项目规划、准备、实施到系统运行的整个过程;旨在加强对关键活动领域的关键活动的质量控制,控制风险。实施是软件开发、管理咨询、组织变革等智力活动的生产,通过过程评估可以将实施过程透明化、规范化和标准化,从而加强对项目和风险的管理,保证实施效果。 过程评估的意义在于: 控制项目实施风险 实施中存在问题放大的喇叭效应,即前期工作中一点小小的失误和缺陷,在工作后期将会被放大到无法弥补,甚至要推倒重来。过程评估能够及时发现问题,避免风险或将风险控制到最小。 提高用户主观能动性 现在实施中有一个误区,不是以用户为主而是以实施顾问为主。系统上线后,用户也没有完全理解,顾问一旦离开,问题就一大堆。过程评估能够充分调动用户的主观能动性,让用户积极参与到实施中来,为用户单位培养了一批真正的复合型人才。 3.2实施八步法 协达公司经过多年的实践总结出来一套科学全面的实施方法:实施八步法,该方法阐述了实施从启动到最后的项目验收的全过程。 项目启动尤其要注意 BPM系统项目实施是一项系统工程。该项目的实施将使公司快速利用先进技术手段和管理思想把行政办公、知识管理与工作流、信息流有机集成,从而赢得市场、赢得竞争。但是,本项目的实施将牵涉到被实施方的方方面面,可能会涉及业务流程和日常管理的优化过程。为确保项目实施按计划、进度、目标、质量进行,所以我们将项目启动,明确人员与任务放在了实施的第一步。明确人员与任务时双方需要签署项目公约,项目公约中包括项目目标、组织机构和要求、成员职责和项目公约认可等内容。同时要求项目组织机构认真履行其职责,各部门密切配合,保证该项目圆满成功,并在实施中不断优化管理程序和组织结构,为公司长远发展打好坚实的基础。 4协达专业建议---注意事项 明确的需求分析 用户单位并不一定对自己存在的问题和需求了如指掌,他们需要咨询顾问提供有价值的参考建议,而BPM协同平台的实施过程本身就充当了咨询顾问的角色,基于对初期调研的指导,有助于帮助它从诸多的问题中归结出亟待解决的问题作为事件的驱动点,使实施目标更明确。应注意的是,用户的需求不是一成不变的固定值,而是动态的。耐心听取基层操作人员的疑惑、困难和要求,建立彼此间的信任与合作关系,项目的实施才容易成功。 制订实施方案 要确保实施的成功,优秀的实施方案非常重要。该项目的实施方案结合了用户单位的现状与发展,以整体规划、分步实施为原则来确定。 在实施过程中,前期的基础数据准备是保证系统正确运行的关键。对于要录入计算机进行管理的每个数据都要进行分类和编码。编码体系将结合用户单位的行业特点和实际并且考虑到今后的发展来制订。 实施过程中的培训 系统的实施和应用对于内部工作人员意味着原有工作思维、方式的信息化提升。基于员工实际情况的差别,需要加强相关培训,并在实际工作中不断发现、解决问题和疑问。 规章制度的更新 在实施的同时,用户单位将会对以往的制度做合理的调整和修改,使它能够对项目的实施起到推动作用。除了由计算机技术人员对系统的维护外,各个部门操作人员的数据及时更新尤为重要。BPM协同平台的应用将促进相关部门对主管的各项信息进行实时改进与更新。 对BPM协同平台的实施和应用有持久性的认识和准备 用户单位除了在网络维护方面拥有自己的技术人才外,还应该重视培养自己的协同办公专家。特别对于一些规模较大的用户单位,通过局部的实施应用培养出自己的实施顾问后,对今后以点带面的推广可以起到事半功倍的效果。 客户自主性强 现在实施中有一个误区,不是以用户为主而是以实施顾问为主。系统上线后,用户短期内没有完全理解,顾问一旦离开,问题就一大堆。BPM协同平台的实施过程是一个授人以“渔”的过程,这种实施方法的目的是在于要最大限度地发挥用户的主观能动性,让用户积极参与到实施中来,为用户单位培养了一批真正的复合型人才。 BPM协同平台的系统定制简单易学,流程和表单的定制图形化、通俗化,不再局限于专业计算机人员才可定制的模式,用户完全可以按照自己单位的实际情况进行自主定制。 责编:李华星 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:kaiyun体育官方人口
文章著作权分属kaiyun体育官方人口
、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
|
|