巴中恩阳区纪委信息化系统解决方案v3.0

纪委信息化系统 建议方案书 深圳市华捷科技有限公司 2014 年 4 月 纪委信息化系统解决方案 I 目 录 第一章 概 述 .2 1.1 项目背景 2 1.2 纪委工作中的困难 2 1.3 系统建设意义 3 第二章 巴中恩阳区纪委监察系统信息化指挥中心 .4 2.1 整体功能介绍 4 2.2 软件环境 5 2.3 硬件环境 6 2.4 统一认证过程描述 11 2.5 单点登录过程描述 12 2.6 统一用户管理 13 2.7 单点登录技术 15 2.8 单点登录通用设计模型 17 2.9 SAML18 第三章 语音信访系统 .19 3.1 平台建设意义 19 3.2 手机端 20 3.3 后台端 20 第四章 党风廉政建设短信平台 .22 4.1 系统建设意义 22 4.2 系统功能 23 第五章 结束语 .25 第一章 概 述 1.1 项目背景 2014 年是全面深化改革的起航之年，也是我市纪委着力次级突破的重要一年。 目前，巴中纪委正着力打造“一心双七”的反腐倡廉信息化高地：一方面建设 市纪检监察信息化指挥中心；一方面建设了纪检监察视频会议、远程接访、办案指 挥、案件管理、舆情监测、社会评价、风险防控 7 大系统，以及全市公共资源交易、 政府投资项目监管、行政效能电子监察、政府信息公开、政风行风热线、金财联网 审计、政法信息专网等 7 大平台。七大系统各司所能，一个强大的反腐昌廉平台已 经初具规模。 但在看到诸多成果的同时，也不得不重视到目前工作中的欠缺和不足之处，目 前，7 大系统已经初步建立，但如何在区（县）级实现权力运行监督的力量的深度整 合和信息共享，进而实现成果应用的进一步深化；如何进一步优化信访举报工作的 流程化制度等等一系列问题，仍然是今后纪委工作中不得不解决的障碍。 1.2 纪委工作中的困难 党风廉政建设责任制有待进一步落实，权力运行监督的力量整合，信息共享、成 果应用有待进一步深化。 优化经济发展环境监督力度还需进一步加大，纪委检查队伍管理程序化、制度化 还需进一步加强。 案件办理工作机制有待进一步完善。 党风廉政教育宣传手段还未实现多元化、网络化。 1.3 系统建设意义 建成后的巴中恩阳区纪委信息系统，主要包含了巴中恩阳区纪委监察系统信息 化指挥中心、语音信访系统和党风廉政建设短信平台。 纪委信息化系统解决方案 3 巴中恩阳区纪委监察系统信息化指挥中心的建设着力于权力运行监督的力量整 合，信息共享、已经信息化建设成果应用的进一步深化。建成后的系统可以将一心 双七平台通过一个统一的门户连接起来，让用户通过统一门户登录后，就可畅通无 阻的使用一心双七平台的系统功能，实现操作流程上的极大简化。在硬件上配备了 LDC 大屏展示，以及移动控制终端，实现了多平台控制的集中化和无线化。 信访案件信息处理系统则可以通过网站，手机客户端，短信等多种通道，实现 了举报渠道的多元化和接访工作的远程化。信访工作专用手机的使用则可以使地方 信访工作实现数据留痕；通过该系统的实施，将促进信访案件的提交、审批、处理 工作设计标准化的流程，而为健全信访举报受理机制作出贡献。 党风廉政建设短彩信平台具备廉政短信、政策宣传、群众关怀、意见收集等多 项具有针对性的功能设计，使纪委监察工作充分深入到群众中去。该系统的建设将 为纪委工作带来以下优势：1、实现廉政信息定时定人投放，加强反腐倡廉宣传力度； 2、拓展民众沟通渠道，解决民意民情收集难题。3、随时发布纪委动态，提高纪检 工作透明度。4、内部通知群体发送，提升内部管理效率。 第二章 巴中恩阳区纪委监察系统信息化指挥中心 2.1 整体功能介绍 23 SD 巴中市恩阳区纪委检查系统信息化指挥中心系统将一心双七平台通过一个统一 的门户连接起来，让用户通过统一门户登录后，就可畅通无阻的使用一心双七平台 的系统功能。 纪委单位内异构系统间实施主数据管理方案后，所有系统中的用户数据都来源 于“用户主数据”源，且每个系统的用户 ID，用户名称及用户密码都是相同的。在 此基础之上，需要建立用户认证服务，即用户登录系统时，不仅仅需要通过本系统 的认证而是要通过统一认证中心的认证，用户认证中心认证后为本次认证颁发一个 令牌，令牌是一个随机的字符串，标志着本次认证成功，用户获取令牌后就能够通 过其他系统提供的页面接口进入其他系统而无需二次认证。 本方案的实施有以下特点： 基于用户数据的主数据管理 首先需要将所有系统中的用户数据统一，并且做到入口唯一和统一共享数据； 需要建立用户认证中心 纪委信息化系统解决方案 5 需要提供统一的用户认证服务，有用户认证中心或者用户主数据数据源能够提供 用户认证功能。 理论上所有系统中，只要登录一个系统就能够从这个系统进入任一其他系统 通过令牌方式，只要每个系统适当改造就能够在任一系统间切换； 认证过程从服务端发起，不在系统跳转过程中直接传递用户名和密码 通过认证服务在服务器端进行用户认证和数据传递，不会通过页面直接传递用户 名和密码，安全性较高； 为系统页面间跳转和业务数据联查建立基础。 单点登录的认证体系可以有效的支撑业务数据联查（本次建设暂不会包含数据联 查，但可以打下坚实基础）。 2.2 软件环境 本方案中单点登录功能的实现，需要用户购置一些集成系统。第一是用户身份认 证系统。这个系统可以为应用系统的用户提供统一的认证功能。第二是门户系统， 门户系统在用户应用中一般是全员使用并且作为所有系统的公共入口。 下面就介绍一下单点登录方案实施前用户的软件环境准备。 用户认证系统 提供用户认证服务。可以在用户主数据管理源上再增用户认证功能。当前最为通 用的是用户名/密码认证模式。该模块具备的基本功能为：当其他系统向认证系 统提出认证请求时（传递用户名和密码），认证系统能够校验用户名和密码的真 伪性。如果用户名和密码正确，告知提出认证的系统认证成功，并为这次认证生 成一个令牌（一个随机字符串）标志认证成功。每个认证的系统可以随时使用令 牌信息获取该令牌对应的认证信息，如用户名信息，认证时间信息等等。用户认 证系统还需要维护认证令牌的生命周期，其中当认证令牌在一段时间内如果没有 使用，需要让令牌失效。 用户服务总线 在用户应用集成工作中，最好是选购一款合适的用户服务总线产品。用户服务总 线保证了用户服务规范的持续性，即用户服务总线能够将每个系统不规范的接口 适配成用户标准服务规范，这样每个系统都只与用户服务总线交互，而服务总线 屏蔽了不规范的接口，不规范的数据。当前如果用户当前没有采购用户服务总线， 每个异构的应用系统也可以通过接口直连，但是这种方式的衔接比较脆弱，不便 于以后的升级和维护工作。 门户系统 单点登录功能实现后，用户能够从任一应用系统直接登录到其他应用系统中，但 是往往在应用集成实施过程中，用户习惯选择一个公共入口，所有的用户都从公 共入口进入后，然后再进入其他业务系统。我们称这个提供入口的系统为“入口 系统”。门户系统都适合成为入口系统。这种应用的方式减少了每个异构系统的 更改工作量，即使以后有新采购的系统也只需要在入口系统中添加单点登录的链 接，而不需要所有系统都添加链接。 数个业务系统 一心双七平台包含了多套存在的异构业务系统。而所谓异构系统主要是指这些系 统不能够互联互通。当前主流系统为 BS 系统和 CS 系统。BS 系统通过 IE 传递参 数实现单点登录功能。 服务规范 用户最好将方案中要求每个系统提供的接口标准化，形成服务规范。这些服务规 范最好能够在用户服务总线上调用。这样软件系统的改造将是一次性的和稳定的。 其他系统改造方案 根据本方案的要求，每个系统指定出改造方案，用户审核后进行改造。 2.3 硬件环境 2.3.1 系统介绍 LCD 拼接显示屏 纪委信息化系统解决方案 7 LCD 拼接显示屏是公司最新技术产品。它以单屏高分辨率（1366X768 ）整屏分 辨率累加的方式为客户提供了一个超高分辨率、超大显示面积的液晶显示屏，通过 内置图像处理器可以实现多路高速视频信号的实时显示、多种类型信号混合显示等 功能，从根本上解决了老式的 CRT 监视器墙无法灵活选择切换信号、不能拼接成大 屏幕显示屏、不能显示计算机等高清信号、不支持网络视频信号等难题。高清晰 DID 液晶拼接显示屏将目前最卓越的 DID 高清晰度、高亮度与高色域的液晶显示技 术、先进的硬件拼接技术、多屏图像处理技术、信号切换技术等合为一体，形成一 个拥有高亮度、高清晰度、低功耗、高寿命，先进的 DID 液晶拼接显示系统。 而且该系统具备无线终端接口，可以实现通过移动设备控制大屏的所有显示功 能。 DID LCD 的特征 1）高亮度 与 TV 和 PC 液晶屏相比，DID 液晶屏拥有更高的亮度。TV 或 PC 液晶屏的亮度一般只 有 250300cd/，而 DID 液晶屏的亮度可以达到 700 cd/(40)。 2）高对比度 DID 液晶屏具有 1500：1（46 ）对比度，比传统 PC 或 TV 液晶屏要高出一倍以上， 是一般背投的三倍。 3）更好的彩色饱和度 目前普通 CRT 的彩色饱和度只有 50左右，而 DID LCD 可以达到 92%的高彩色饱和 度，这得益于为 DID 产品专业开发的色彩校准技术，通过这个技术，除了对静止画 面进行色彩校准外，还能对动态画面进行色彩的校准，这样才能确保画面输出的精 确和稳定。 4)更宽的视角 PVA（Patterned Vertical Alignment）技术即“图像垂直调整技术”，利用这种技 术，可视角度可达双 178以上(横向和纵向)。 5)可靠性更好 普通液晶屏为电视，PC 显示器设计，不支持日夜连续使用，DID 液晶屏为监控中心、 展示中心设计，支持在 7x24 小时连续使用。 7)纯平面显示 LCD 是平板显示设备的代表，是真正的纯平显示器，完全无曲率大画面，无变形失真。 8)超薄窄边设计 DID 产品在拥有超大显示面积的同时，还有厚度薄，重量轻等优势，可以方便地拼接、 安装。46 英寸拼接专用的液晶屏，其优秀的窄边设计，已做到了物理拼缝 6.7mm， 使其单片的边缘不到 1 公分。不会影响整个显示屏的整体显示效果。 9)亮度均匀，影像稳定不闪烁 由于 LCD 每一个点在接收到信号后就一直保持那种色彩和亮度，而不像 CRT 那样 需要不断刷新象素点。因此，LCD 亮度均匀、画质高而且绝对无闪烁 纪委信息化系统解决方案 9 10)120HZ 倍频刷新频率 DID 产品的 120Hz 倍频液晶显示技术，能有效解决图像快速运动过程中的拖尾 和模糊，增强图像的清晰度和对比度，使画面更清澈，人眼长时间观看也不易疲劳。 11)更长使用寿命 普通的 NB、PC 及 TV 使用的 LCD 液晶屏其背光源的使用寿命为 1 万至 3 万小时， 而 DID LCD 液晶屏背光源的使用寿命均可达 6 万小时以上，这就确保了拼接显示屏 使用的每片液晶屏在长时间使用后的亮度、对比度和色度的一致性，并且确保显示 屏的使用寿命不低于 6 万小时。 2.3.2 拼接单元的主要特点 LCD 窄边拼接单元的主要特点如下： 1. 采用 DID 面板 DID（Digital Information Display）面板技术成为显示产业瞩目的焦点。 DID 面板的革命性突破在于超高亮度、超高对比度、超耐用性以及超窄边 应用，解决了液晶显示应用于公共显示和数字广告标牌的技术障碍。一般 来说，电视或电脑所用液晶屏的亮度只有 250300cd/m2，采用 DID 面板 的液晶屏幕亮度则高达 1500 cd/m2，对比度高达 10000:1，比传统电脑或 电视液晶屏要高出一倍，是一般背投的三倍。因此，采用 DID 面板的专业 液晶显示器即使是在户外的强光照射下也清晰可见。目前，广州数字芯王 牌科技的专业显示解决方案大多是基于该技术的延展应用。 2. 数字芯王牌 DID LCD 自然影像技术 DID 可以创建生动画面、精致细节和高对比度自然影响，其具有以下特性： 3D 动态优化消除噪波 普通技术 数字芯王牌技术 3D 动态优化的作用是画质改善和降噪。 无论是动态或是静态画面，均能保证 画面清晰明丽。 色彩优化展现自然色调 普通技术 数字芯王牌技术 对于每一个画面和场景，色彩优化功 能均分别计算红、绿、蓝三原色的饱 和度，并确定其亮度标准，画面整体 亮度被完好保存，屏幕呈现出逼真、 自然的画面。 对比度增强强化明暗对比 普通技术 数字芯王牌技术 数字芯王牌 DID LCD 解决了普通 技术在增强对比度时将干扰信号和 闪烁也同时放大的问题，它把对比 度分为百万个标准，对任何信号均 能自动匹配最合适的对比度。 细节表现增强消除锯齿边 缘 普通技术 数字芯王牌技术 数字芯王牌 DID LCD 能自动分析 并有选择性的增强需要增强的细节， 同时能有效地消除可能影响画质的 细微噪波和干扰，展现出的画面生 动逼真，栩栩如生。 3. 超高对比度 超高对比度 普通技术 数字芯王牌 DID LCD1200：1 数字芯王牌液晶显示 器都具有 1000/1200：1 的超高对比度，这 将大大增强色彩表现力，从而保证 画面层次的理想呈现，创造引人注 目的靓丽画质。 4. 高亮度 高亮度 普通技术 数字芯王牌 DID LCD1200：1 提供 700cd/m2 的超 高亮度，保证了画面 的清晰明亮，即使远距离观看也可 以感受到鲜明亮丽的色彩。 5. 8ms 极速响应时间 8ms 极速响应时间 普通技术 数字芯王牌 DID LCD8ms 8ms 极速响应时间有效 的消除了画面的拖尾现 象，使得动画更加流畅。尤其是在 显示动态视频，WEB 及 3D 动画 显示的时候，画面表现更加出众。 6. 超宽视角 超宽视角 纪委信息化系统解决方案 11 普通技术 S-PVA 无论从上下左右哪个 角度观看，三星 DID 的宽视角解决 方案都能让您看到清晰的高质量图 像。 7. 超窄边框结构 数字芯王牌 DID LCD 拼接单元凭借独特的设计和精湛的制造工艺，其 边框结构与以往的 DID 拼接单元产生了质的飞跃： WP-MM46PJ 系列屏综 合拼接边框物理厚度仅仅 6.7mm 左右！能为拼接用户带来完美的视觉享受。 2.4 统一认证过程描述 用户认证流程图 认证系统 认证系统 门户系统 门户系统 输入 ( A ) 输入 ( A ) 业务系统一 业务系统一 开始 登录门户 获得令牌 、 进入系 统 提示失败 登录门户 ， 输入用 户名密码 认证 成功 不成功 统一身份认证流程 1、 用户登录入口系统（门户） 2、 入口系统获取用户名和密码后，调用认证系统的认证接口（或者调用用户服 务总线上的认证接口，再由总线调用认证系统） 3、 如果认证成功，认证系统系统返回认证令牌（token，一个随机字符串）。 如果认证失败，提示失败信息； 4、 如果入口系统接收到令牌信息，说明用户认证成功，引导用户进入系统 5、 如果用户认证失败，提示失败信息 2.5 单点登录过程描述 用户认证流程图 认证系统 认证系统 门户系统 门户系统 输入 ( A ) 输入 ( A ) 业务系统一 业务系统一 开始 进入业务系统一 获取用户信息 登录门户 ， 输入用 户名密码 获取令牌 获得令牌 、 进入系 统 提示失败 获取用户信息失败 登录系统 纪委信息化系统解决方案 13 1、 用户在入口系统认证成功后，用户系统提供进入其他系统的 http 链接，在 连接中以 post 方式传递立派数据； 2、 用户点击入口系统提供的其他系统链接，请求进入其他应用系统； 3、 应用系统接收到用户进入请求，获取令牌数据 4、 系统调用认证系统接口，接口输入令牌数据，如果令牌数据有效则返回用户 数据，失效则返回失败信息 5、 如果应用系统接收到用户数据，则引导用户进入系统中； 6、 如果应用系统没有收到用户数据，则提示认证失败或者直接引导用户进入登 陆页面 2.6 统一用户管理 一般来说，每个应用系统都拥有独立的用户信息管理功能，用户信息的格式、 命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同 步问题。用户信息同步会增加系统的复杂性，增加管理的成本。 例如，用户 X 需要同时使用 A 系统与 B 系统，就必须在 A 系统与 B 系统中都创 建用户 X，这样在 A、B 任一系统中用户 X 的信息更改后就必须同步至另一系统。如 果用户 X 需要同时使用 10 个应用系统，用户信息在任何一个系统中做出更改后就必 须同步至其他 9 个系统。用户同步时如果系统出现意外，还要保证数据的完整性， 因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统（UUMS）。UUMS 统一存 储所有应用系统的用户信息，应用系统对用户的相关操作全部通过 UUMS 完成，而授 权等操作则由各应用系统完成，即统一存储、分布授权。UUMS 应具备以下基本功能: 1用户信息规范命名、统一存储，用户 ID 全局惟一。用户 ID 犹如身份证，区 分和标识了不同的个体。 2UUMS 向各应用系统提供用户属性列表，如姓名、电话、地址、邮件等属性， 各应用系统可以选择本系统所需要的部分或全部属性。 3应用系统对用户基本信息的增加、修改、删除和查询等请求由 UUMS 处理。 4应用系统保留用户管理功能，如用户分组、用户授权等功能。 5UUMS 应具有完善的日志功能，详细记录各应用系统对 UUMS 的操作。 统一用户认证是以 UUMS 为基础，对所有应用系统提供统一的认证方式和认证策 略，以识别用户身份的合法性。统一用户认证应支持以下几种认证方式: 1. 匿名认证方式: 用户不需要任何认证，可以匿名的方式登录系统。 2. 用户名/密码认证: 这是最基本的认证方式。 3. PKI/CA 数字证书认证: 通过数字证书的方式认证用户的身份。 4. IP 地址认证: 用户只能从指定的 IP 地址或者 IP 地址段访问系统。 5. 时间段认证: 用户只能在某个指定的时间段访问系统。 6. 访问次数认证: 累计用户的访问次数，使用户的访问次数在一定的数值范围 之内。 以上认证方式应采用模块化设计，管理员可灵活地进行装载和卸载，同时还可 按照用户的要求方便地扩展新的认证模块。 认证策略是指认证方式通过与、或、非等逻辑关系组合后的认证方式。管理员 可以根据认证策略对认证方式进行增、删或组合，以满足各种认证的要求。比如， 某集团用户多人共用一个账户，用户通过用户名密码访问系统，访问必须限制在某 个 IP 地址段上。该认证策略可表示为: 用户名/密码“与”IP 地址认证。 PKI/CA 数字证书认证虽不常用，但却很有用，通常应用在安全级别要求较高的 环境中。PKI（Public Key Infrastructure）即公钥基础设施是利用公钥理论和数 字证书来确保系统信息安全的一种体系。 在公钥体制中，密钥成对生成，每对密钥由一个公钥和一个私钥组成，公钥公 布于众，私钥为所用者私有。发送者利用接收者的公钥发送信息，称为数字加密， 接收者利用自己的私钥解密; 发送者利用自己的私钥发送信息，称为数字签名，接 收者利用发送者的公钥解密。PKI 通过使用数字加密和数字签名技术，保证了数据在 传输过程中的机密性（不被非法授权者偷看）、完整性（不能被非法篡改）和有效 性（数据不能被签发者否认）。 数字证书有时被称为数字身份证，数字证书是一段包含用户身份信息、用户公 钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书 信息的真实性。 纪委信息化系统解决方案 15 完整的 PKI 系统应具有权威认证机构 CA（Certificate Authority）、证书注册 系统 RA（Registration Authority）、密钥管理中心 KMC（Key Manage Center）、 证书发布查询系统和备份恢复系统。CA 是 PKI 的核心，负责所有数字证书的签发和 注销; RA 接受用户的证书申请或证书注销、恢复等申请，并对其进行审核; KMC 负 责加密密钥的产生、存贮、管理、备份以及恢复; 证书发布查询系统通常采用 OCSP（Online Certificate Status Protocol，在线证书状态协议）协议提供查询 用户证书的服务，用来验证用户签名的合法性; 备份恢复系统负责数字证书、密钥 和系统数据的备份与恢复。 2.7 单点登录技术 单点登录（SSO，Single Sign-on）是一种方便用户访问多个系统的技术，用户 只需在登录时进行一次注册，就可以在多个系统间自由穿梭，不必重复输入用户名 和密码来确定身份。单点登录的实质就是安全上下文（Security Context）或凭证 （Credential）在多个应用系统之间的传递或共享。当用户登录系统时，客户端软 件根据用户的凭证（例如用户名和密码）为用户建立一个安全上下文，安全上下文 包含用于验证用户的安全信息，系统用这个安全上下文和安全策略来判断用户是否 具有访问系统资源的权限。遗憾的是 J2EE 规范并没有规定安全上下文的格式，因此 不能在不同厂商的 J2EE 产品之间传递安全上下文。 图 1 SSO 原理示意图 目前业界已有很多产品支持 SSO，如 IBM 的 WebSphere 和 BEA 的 WebLogic，但 各家 SSO 产品的实现方式也不尽相同。WebSphere 通过 Cookie 记录认证信息， WebLogic 则是通过 Session 共享认证信息。Cookie 是一种客户端机制，它存储的内 容主要包括: 名字、值、过期时间、路径和域，路径与域合在一起就构成了 Cookie 的作用范围，因此用 Cookie 方式可实现 SSO，但域名必须相同; Session 是一种服 务器端机制，当客户端访问服务器时，服务器为客户端创建一个惟一的 SessionID， 以使在整个交互过程中始终保持状态，而交互的信息则可由应用自行指定，因此用 Session 方式实现 SSO，不能在多个浏览器之间实现单点登录，但却可以跨域。 实现 SSO 有无标准可寻？如何使业界产品之间、产品内部之间信息交互更标准、 更安全呢？基于此目的，OASIS（结构化信息标准促进组织）提出了 SAML 解决方案 （有关 SAML 的知识参看链接）。 用户认证中心实际上就是将以上所有功能、所有概念形成一个整体，为用户提 供一套完整的用户认证和单点登录解决方案。一个完整的用户认证中心应具备以下 功能: 1. 统一用户管理。实现用户信息的集中管理，并提供标准接口。 2. 统一认证。用户认证是集中统一的，支持 PKI、用户名/密码、B/S 和 C/S 等 多种身份认证方式。 纪委信息化系统解决方案 17 图 2 统一用户认证与单点登录设计模型 3. 单点登录。支持不同域内多个应用系统间的单点登录。 用户认证中心提供了统一认证的功能，那么用户认证中心如何提供统一授权的 功能呢？这就是授权管理中，其中应用最多的就是 PMI。 PMI（Privilege Management Infrastructure，授权管理基础设施）的目标是 向用户和应用程序提供授权管理服务，提供用户身份到应用授权的映射功能，提供 与实际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制 机制，简化具体应用系统的开发与维护。PMI 是属性证书（Attribute Certificate）、属性权威（Attribute Authority）、属性证书库等部件的集合体， 用来实现权限和证书的产生、管理、存储、分发和撤销等功能。 PMI 以资源管理为核心，对资源的访问控制权统一交由授权机构统一处理，即由 资源的所有者来进行访问控制。同公钥基础设施 PKI 相比，两者主要区别在于: PKI 证明用户是谁，而 PMI 证明这个用户有什么权限，能干什么，而且 PMI 可以利用 PKI 为其提供身份认证。 2.8 单点登录通用设计模型 图 2 是统一用户认证和单点登录通用设计模型，它由以下产品组成: 1. PKI 体系: 包括 CA 服务器、RA 服务器、KMC 和 OCSP 服务器。 2. AA 管理服务器: 即认证（Authentication）和授权（Authorization）服务 器，它为系统管理员提供用户信息、认证和授权的管理。 3. UUMS 模块: 为各应用系统提供 UUMS 接口。 4. SSO: 包括 SSO 代理和 SSO 服务器。SSO 代理部署在各应用系统的服务器端， 负责截获客户端的 SSO 请求，并转发给 SSO 服务器，如果转发的是 OCSP 请求，则 SSO 服务器将其转发给 OCSP 服务器。在 C/S 方式中，SSO 代理通常部署在客户端。 5. PMI: 包括 PMI 代理和 PMI 服务器。PMI 代理部署在各应用系统的服务器端， 负责截获客户端的 PMI 请求，并转发给 PMI 服务器。 6. LDAP 服务器: 统一存储用户信息、证书和授权信息。 为判断用户是否已经登录系统，SSO 服务器需要存储一张用户会话（Session） 表，以记录用户登录和登出的时间，SSO 服务器通过检索会话表就能够知道用户的登 录情况，该表通常存储在数据库中。AA 系统提供了对会话的记录、监控和撤消等管 理功能。为保证稳定与高效，SSO、PMI 和 OCSP 可部署两套或多套应用，同时提供服 务。 2.9 SAML SAML（Security Assertion Markup Language，安全性断言标记语言）是一种 基于 XML 的框架，主要用于在各安全系统之间交换认证、授权和属性信息，它的主 要目标之一就是 SSO。在 SAML 框架下，无论用户使用哪种信任机制，只要满足 SAML 的接口、信息交互定义和流程规范，相互之间都可以无缝集成。SAML 规范的完整框 架及有关信息交互格式与协议使得现有的各种身份鉴别机制（PKI、Kerberos 和口令） 、各种授权机制（基于属性证书的 PMI、ACL、Kerberos 的访问控制）通过使用统一 接口实现跨信任域的互操作，便于分布式应用系统的信任和授权的统一管理。 纪委信息化系统解决方案 19 SAML 并不是一项新技术。确切地说，它是一种语言，是一种 XML 描述，目的是 允许不同安全系统产生的信息进行交换。SAML 规范由以下部分组成: 1. 断言与协议: 定义 XML 格式的断言的语法语义以及请求和响应协议。SMAL 主 要有三种断言: 身份认证断言、属性断言和访问授权断言。 2. 绑定与配置文件: 从 SAML 请求和响应消息到底层通信协议如 SOAP 或 SMTP 的映射。 3. 一致性规范: 一致性规范设置了一种基本标准，必须满足这一 SAML 标准的 实现才能够称为一致性实现。这样有助于提高互操作性和兼容性。 4. 安全和保密的问题: SAML 体系结构中的安全风险，具体而言就是 SAML 如何 应对这些风险以及无法解决的风险。 要注意的是，SAML 并不是专为 SSO 设计，但它却为 SSO 的标准化提供了可行的 框架。 第三章 语音信访系统 为了畅通群众诉求表达渠道，搭建多种形式的沟通对话平台，整合各类公共宣 传资源，深入开展法制宣传教育和依法治理工作，进一步密切党群关系，不断提升 全体公民的法律意识和法律素质，在畅通网络、热线电话等渠道的基础上，进一步 拓展诉求传递渠道，建立开通电话信访平台服务群众是促进纪委工作的一大方向。 3.1 平台建设意义 3.1.1 开通电话信访平台是做好新形势下群众工作的有效手段 当前，移动电话普及率达到 80%以上，利用现代通讯手段加强党委、政府同人 民群众之间的联系是适应形势变化的需要。开通电话信访平台让群众的诉求直达当 地党政领导手中，有利于各级党政领导及时了解民情、化解矛盾、帮助群众解决困 难；有利于提高全民法律意识，增强法治观念，拉近干部与群众的距离，密切党群 干群关系，维护社会和谐稳定。开通电话信访平台是转变作风，提高行政效率的有 效途径。系统建设将依法办事、转变作风落实到服务群众的具体行动中。人民群众 通过短信对政府工作提出意见和建议，对工作人员的工作作风、违法行政和办事效 率进行举报和监督，有利于党政机关依法决策、依法行政、依法办事，提高工作效 率，转变工作作风。 3.1.2 开通电话信访平台是化解矛盾、降低群众诉求成本的有效方式 以最简单、最方便、最快捷、最有效的方式降低群众反映诉求的成本，是落实 以人为本、执政为民、执法为民的根本要求。通过短信方式将群众反映的最急、最 怨、最难的问题建议、意见和对法律知识的需求渴望直达各级党委政府，让群众的 呼声能在第一时间向党委政府传递，有助于将问题反映在当地、解决在基层。 纪委信息化系统解决方案 21 3.2 手机端 手机端功能包括了对用户透明的录音和回传功能，也包含了 APP 应用模块。 3.2.1 自动通话录音及信访数据条目打包 手机开机自启动系统应用服务，实现接听电话时自动启动录音功能，并在挂断 电话后，获取电话中的通话记录信息（包括通话起止时间、来电号码等）， 连带通 话录音的语音文件作为一个完整的信访数据条目一并存储到手机的存储设备（存储 的音频文件是否分段分块视具体情况而定），该过程完全自动实现，对用户透明。 3.2.2 信访数据条目自动回传 电话挂断后手机端将自动向后台端传送手机存储设备上的信访数据条目，因传 输过程中有电话接入时会导致文件传输中断，因此系统将支持断点续传。整个传输 过程均为自动实现，对用户透明。 3.2.3 APP 应用 APP 对手机用户的可视功能包括用户登录（实现身份认证及鉴权），查看权限 范围内的通话数据条目（包括收听通话录音、查看通话时间和来电号码、信访群众 回复的满意度调查信息或自由回复信息），以及查看统计报表。 3.3 后台端 3.3.1 信访数据条目统一存储 后台端将统一存储各手机端传回的信访数据条目，根据回传的手机信息，按区 域、身份统一存储，便于系统综合调用。所有回传的信访数据条目存储期至少半年。 系统还提供特别保存功能，对于用户人工筛选出的重要数据，将被系统无限期 保存。 3.3.2 Web 端应用 Web 端对 PC 用户的开放可视功能包括用户登录（实现身份认证及鉴权），查 看权限范围内的通话数据条目（包括收听通话录音、查看通话时间和来电号码、信 访群众回复的满意度调查信息或自由回复信息），以及查看统计报表。 3.3.3 满意度调查回访 满意度回访，分为两种方式： 1.短信回访方式，如果信访来电为移动手机号码，则通过 MAS 通道发送满意度 调查问卷，并支持短信回复结果接收。当信访来电为移动手机号码，系统将通过 MAS 通道向其发送满意度调查问卷，并接收回馈选项或自由回复信息（如短信问卷：这 里是巴中市纪委，感谢您的来电，您的问题已实时收到，我们将全力处理，请耐心 等待回复。请对刚才的信访服务作出评价，非常满意请回复 1，一般满意回复 2，不 满意回复 3，非常不满意回复 4，留言请回复您的描述信息）。 2.语音自动回访：如果信访来电为非移动手机号码或座机号码，则通过呼叫中 心自动语音系统向信访来电号码发起语音满意度调查。当信访来电号码为非移动手 机号码或座机号码，系统则通过呼叫中心向其发起自动语音满意度调查，并接收回 馈信息（呼叫中心播通被叫用户手机，播放自动语音：这里是巴中市纪委，感谢您 的来电，您的问题已实时收到，我们将全力处理，请耐心等待回复。请对刚才的信 访服务作出评价，满意请按 1，一般满意请按 2，不满意请按 3，非常不满意请按 4，留言请按 5）。 3.3.4 统计分析 系统提供图形化的界面，便于用户基于多种条件（如按区域、按单个手机、按 时间段等）查询和统计信访数目、满意度回复（此处将包含短信和语音两种回访的 结果统计）等，并形成统计图表。 3.3.5 系统连接心跳检测 引入手机端与系统端的心跳机制，手机端与后台端将定期以心跳方式测试连接， 一方面监督信访手机是否开机，一方面检测后台端运转是否正常。 若信访手机超时无响应，则该行为将被后台端记录，为纪委提供考核依据。 纪委信息化系统解决方案 23 若后台端超时无响应，则手机端将自动连接备用服务器，保证系统不间断运行。 同时，将触发一条推送信息发送到系统管理员手机，提醒其处理主服务器故障。 3.3.6 系统管理 参数配置 操作员可以各种系统参数进行配置，如心跳超时时限。 组织结构管理 具有权限的管理员可以创建群组，以便在系统中形成虚拟组织结构。 角色管理 定义系统角色，所有系统用户都拥有自己的角色。可分为系统管理员、市级用 户、县区级用户、乡镇级用户、村级用户。 权限管理 系统所有的功能模块均可以单独授权给用户，以达到限制用户使用功能使用的 目的。而配合组织机构管理模块，还可实现用户查看数据权限的功能。比如市级用 户可以查看下属所有机构的数据条目，而下属机构则只能查看自己区域内的数据条 目。 日志管理 系统提供详细的操作日志，包括用户的登录、操作，心跳离线等信息，供管理 员进行查询。 第四章 党风廉政建设短信平台 4.1 系统建设意义 党风廉政建设短信平台是一套集，廉政短信，民意民情调研，短信投票，短信 学等多种功能呢为一体的的基于手机短信的信息系统。 为了充分发挥集团通信短信平台作用，制定廉政短信发送计划，势在必行。定 期向全院市领导干部送一条廉政短信，适逢重大节日期间，还可组织开展“廉政短 信提醒教育周”活动。此项制度的建立，将改变该院短信提醒教育由过去临时性、 突击性变为经常性、长期性。 于此同时，该系统具备的政策宣传、群众关怀、意见收集等多项具有针对