論瀘州市廣播電視發射和監測臺OA協同辦公系統

何 濤

（作者單位：瀘州市廣播電視發射和監測臺）

1 項目建設背景

隨著計算機網絡技術和移動通信技術的高速發展，各種智能手機、平板電腦以及網絡的普及，人們越來越多地傾向于利用計算機和移動終端（手機、平板電腦等）處理日常工作、參加日常社交活動等。與此同時，隨著四川省瀘州市宣傳部和瀘州市廣電局對宣傳工作的要求不斷提高，瀘州市廣播電視發射和監測臺的電視媒體宣傳事業不斷發展壯大，對全臺辦公業務處理的要求也越來越嚴格。應用現代化信息技術構建全臺協同辦公平臺，實現隨時隨地處理辦公業務，縮短辦公進程，提升事務處理能力，提高工作效率和工作質量，已是大勢所趨。目前，瀘州市廣播電視發射和監測臺廣電中心共有400多臺辦公電腦，100 M電信光纖網絡，每個部門的辦公室都具備以太網接口，可利用現有的設備和網絡條件組建辦公局域網絡。同時，工作人員都具備基本的計算機操作能力，因此，瀘州市廣播電視發射和監測臺辦公自動化（Office Automation，OA）系統建設條件業已成熟。

2 系統設計方案和總體建設原則

2.1 易用性、實用性原則

系統應滿足瀘州市廣播電視發射和監測臺實際工作需要，充分考慮多個業務層次和各管理環節數據處理的實用性，以用戶對業務的操作和管理的滿意度為第一要素。用戶界面和操作界面的設計盡可能考慮到易用性、實用性原則[1]。

2.2 安全性、可靠性原則

系統的安全性包括網絡安全、主機安全、應用安全等多個方面的多個層次。除硬件措施外，應用軟件層面和數據庫系統的設計要安全可靠，達到中國網絡安全等級保護三級水平，防止非法用戶的入侵。系統采用電子狗、密碼等多級認證（系統級認證、模塊級認證、數據庫認證和表級認證），并采用多種加密技術防止用戶密碼被破解[2]。在發生災難時，數據庫備份策略采用異地備份、熱備份等多種手段。

2.3 成熟性、先進性原則

在技術上采用業界成熟、先進的軟件開發架構，面向對象的設計方法，可視化的、面向對象的開發工具，支持Internet/Intranet網絡環境下的分布式應用。

2.4 可擴展性原則

為了適應未來的發展和需求，OA系統必須具有良好的可維護性和可擴展性。軟件設計盡可能采用模塊化和面向組件的設計，并提供配置模塊和專業的定制工具，使系統方便配置[3]，以適應瀘州市廣播電視發射和監測臺不同的業務需求。根據單位的實際情況，決定采用SQL Server數據庫，數據庫的設計盡可能考慮到瀘州廣播電視發射和監測臺未來的需求，為業務擴展留出二次開發接口。

3 系統功能設置

筆者根據OA系統功能需求調查表的統計分析結果，結合瀘州市廣播電視發射和監測臺各部門業務辦公流程設計，初步確定臺OA系統的功能設計，如表1所示。

表1 功能設計表

3.1 公文處理

公文處理模塊將發文、收文、簽報、部門文件處理、文件、文庫等有機整合為一體，并可追溯文件的歷史淵源。每一份文件都有自己完整而獨立的發送、接收和簽名過程，并且許多處理方式，如組織、協助和閱讀，是相互結合的。

3.1.1 文件管理

文件管理模塊主要實現文件發放的一系列工作：起草文件、批閱（批示）文件、會簽、制作文件、印刷、發放文件、部門流通等。該系統將提醒和跟蹤發布的整個過程，并記錄文件的當前狀態，發布審查和評論的過程，會簽和簽署[4]。正式文件可送交部門逐級傳閱，也可直接發放到正式文件發放區的首頁。另外，該模塊還提供搜索關鍵詞自動檢索相關公文。

3.1.2 收文管理

收文管理模塊實現接收單據的登記、準備、審批（批準）、部門處理等功能。該系統提醒和跟蹤接收過程，記錄文件的當前狀態、接收和審計過程，提供相關建議,并根據實際業務流程定義收據流程。收文系統的主要功能：將文件發送給部門（包括保薦部門、助理部門和流通部門）、領導和個人。各部門和人員接收后可同時對文件進行處理，大大提高了文件流通效率[4]。收發文件的人員在收發文件的過程中了解各部門處理文件的情況，能夠更方便地對辦公室文件進行綜合管理。保薦部門與共同保薦部門（包括部門主管或承辦商）均可向收件及處理表格提供意見，并可即時查看處理狀況。主辦部門可在中途轉而起草簽報，部門發文。這些文件都會對部門收文中的附件以及其他信息自動進行填寫，并可在流轉時隨時查看原收文處理單。在公文系統中，可直接接收來自系統中其他單位發來的發文文件，并自動產生待辦事宜給本單位的收文登記人員，同檔案系統無縫連接。收文辦理結束后，系統自動將收到的文件歸入檔案庫中。支持流程引擎可以實現多種靈活的循環方式，如回憶、反饋、會簽等，支持上會討論，并自動發送到上會討論人員的郵箱中進行自動編號。

3.1.3 內部簽報

內部簽報模塊用于處理各類文件的日常簽發、接收以及文件正式批準，主要完成報告的簽署、報批、審核（批準）、會簽、印刷、部門流通等一系列工作。該系統可以提醒并跟蹤文件的整個過程，記錄文件的當前狀態以及簽署和審核的過程和意見。系統可以根據實際業務流程自行定義計算機文件處理流程。

3.1.4 公文歸檔

公文歸檔模塊供檔案人員歸檔后直接使用，減輕了檔案人員的工作量，減少了重復投入，提高了工作效率，與公文管理相結合，實現了公文管理的一體化。

3.1.5 公文查詢統計

利用公文查詢統計功能能對文件進行檢索，快速定位自己想要的文件，并對公文辦理情況、辦理份數、辦理時間等進行統計。對于那些未歸檔的公文直接檢索，對于已經歸檔的公文提醒查詢人員到檔案管理系統中查詢。

3.1.6 公文配置

公文配置模塊提供給用戶一些可自行配置的信息，以滿足不同部門、不同公文所需關鍵字信息的不同。通過這些可配置的內容，不需要額外的程序開發，就可基本滿足公文處理的需要。

3.2 人事管理

根據臺人力資源部對提高人力資源管理效率的要求，系統中人事管理部分主要包括組織機構管理、職工信息管理、人事檔案管理、考勤管理、出差管理、工資管理、培訓管理、精細考評等子模塊。

3.3 財務管理

財務管理模塊實現預算管理、報表查看、固定資產管理、報賬審批、財務公告等功能。用戶具有指定權限，用戶根據自身賬戶權限查詢相應權限報表。

3.4 車輛管理

車輛管理模塊實現車輛詳細信息、狀態維護、使用信息的錄入及管理，實現車輛使用的在線預定及審批，車輛使用費用的管理，并包括根據用車信息產生的駕駛員工作情況統計表，臺內車輛月度、季度、年度費用報表，分部門的車輛月度費用報表等。

3.5 行政后勤管理

行政后勤管理模塊實現資源使用管理、車輛管理、資料管理、檔案管理、物品管理、網上調查、會議管理、問卷調查、設備管理等功能。

3.6 一卡通管理

一卡通管理模塊實現門禁、用餐、書吧圖書借閱、設備使用、磁帶使用等一卡通用功能。借閱書籍、借用設備、借用磁帶、使用設備等均實現刷卡管理，相關部門可在OA系統后臺對全臺職工一卡通賬戶信息進行管理（見圖1）。

圖1 一卡通系統

通過一卡通系統與OA系統的集成進行數據集中管理，對不同用戶進行分級、分類等多種角色授權操作管理。

3.7 磁帶資料管理

磁帶資料管理模塊實現磁帶管理、視音頻資料管理等功能，在該功能區可查詢空白磁帶庫存、現有視音頻資料信息等。磁帶編碼主要采用條形碼管理。

3.8 食堂管理

食堂管理模塊實現食堂物資進銷存管理，食堂遠程點餐、退餐管理，食堂賬單管理，餐品打分和意見建議等功能。

3.9 書吧管理

書吧管理模塊包含圖書借閱管理和刷卡消費管理。在該功能區可查詢可借圖書、已借圖書歸還期限等。圖書編碼主要采用條形碼管理。

3.10 前后期設備、演播室使用管理

前后期設備、演播室使用管理模塊可實現前期設備借用管理、后期設備使用管理、演播室使用管理等功能。對設備使用采取刷卡方式進行管理。

4 系統設計方案

4.1 系統功能架構（見圖2）和網絡拓撲圖（見圖3）

圖2 系統功能架構

圖3 系統網絡拓撲圖

4.2 系統安全設計

由于協同辦公系統是重要的內部業務和數據交換中心，主要面臨的威脅如下：第一，來自應用層的威脅，如文件被盜、數據傳輸被劫、頁面被SQL注入式攻擊、存在登錄安全隱患、非法操作等。第二，來自網絡層安全威脅，如黑客遠程攻擊、病毒攻擊、遠程訪問等。第三，來自數據層安全威脅，如非法遠程控制、秘法盜取等。

為了保證辦公自動化系統的安全，可以采用 CA認證、動態口令卡認證、 安全套接層（Secure Socket Layer，SSL）加密訪問、有限授權、完全確認、功能分層控制、安全跟蹤、 IP 安全控制、安全審計和日志、基于角色的訪問管理、系統操作日志等方法來防止安全漏洞。系統安全方面，可采用雙機熱備、網絡防火墻、虛擬專用網絡（Virtual Private Network，VPN）、入侵檢測等網絡安全策略。數據安全方面，可采用權限控制、IP權限工作、存儲加密、超文本傳輸安全協議（Hypertext Transfer Protocol Secure，HTTPS）加密等安全手段，保障協同辦公平臺安全。圖4為OA系統安全保障體系架構圖。

圖4 跳轉區域

圖4 OA系統安全保障體系架構圖

在人員安全方面，可通過制定職工安全制度、普及安全管理知識、舉辦安全培訓講座等方式來強化職工安全工作意識，保障系統的安全。

4.2.1 采用SSL VPN接入OA系統

SSL協議是一種在Internet上保證發送信息安全的通用協議，采用瀏覽器/服務器模式（Browser/Server，B/S）。在應用層，SSL使用公鑰，在SSL 連接上加密數據，SSL為應用程序協議和傳輸控制協議/網際協議（Transmission Control Protocol/Internet Protocol，TCP/IP） 之間的數據交換指定了一種安全機制，為 TCP/IP 連接提供數據加密、服務器身份驗證和可選的客戶端身份驗證[5]。

VPN 被定義為通過公共網絡（通常是互聯網）建立安全的專用網絡，其實質是利用加密技術在公網上封裝出一個數據通信隧道[6]。VPN為企業分支機構、業務伙伴和供應商之間建立可靠和安全的連接到企業單位內部的網，并確保數據的安全傳輸[7]。從臺外登錄OA系統，就必須采用安全可靠的VPN技術。

SSL VPN是指采用了SSL安全協議建立的虛擬專用網絡，可以解決移動辦公和彩電中心以外的辦公區訪問使用全臺OA系統的安全問題。SSL VPN是解決遠程用戶訪問系統敏感數據最簡單最安全的解決技術。SSL VPN通過簡單易用的方法實現信息遠程連通。由于SSL 內嵌在瀏覽器中，所以任何安裝瀏覽器的機器都可以使用SSL VPN，不需要為每一臺客戶機安裝VPN客戶端軟件，使用標準的瀏覽器（如IE）即可接入SSL VPN訪問OA系統。另外，SSL VPN可以成功地穿越防火墻，處理網絡地址轉換的問題。針對不同的用戶或用戶所屬的組，SSL VPN可以按單位 OA系統預定義的規則來對用戶的訪問權限進行設定。

4.2.2 科學的授權管理

瀘州市廣播電視發射和監測臺OA系統采用分散式權限管理模型，系統管理員可以下設一般管理員，一般管理員可以再設模塊管理員，從而實現分層管理。管理員管理系統的基本設置、各功能模塊的設置交由模塊管理員實現分塊管理。同時，對相應的權限管理員，應設定數據范圍，以保證對應的用戶所具有的功能權限在特定的數據范圍之內，確保數據安全。

4.2.3 數據庫備份及還原

OA系統應具備科學、合理、嚴密的數據庫備份及還原功能，具有完善的數據安全性解決方案。

4.2.3.1 完全備份

安全備份是指備份整個數據庫，包括所有數據庫對象，如用戶表、系統表、索引、視圖和存儲過程。事務日志備份事務日志是一個單獨的文件，它記錄對數據庫的更改，對于數據庫的日常維護非常重要。OA系統應該能復制上次備份后對數據庫所做的更改，但這種備份需要較大的空間，并且恢復數據庫需要的時間比較長。

4.2.3.2 增量備份

增量備份意味著在完全備份或先前的增量備份之后，每個后續備份只需要備份與先前備份相比的其他或修改的文件。這意味著第一次增量備份的對象是在完全備份之后添加、刪除和修改的文件，第二次增量備份的對象是在第一次增量備份之后添加、刪除和修改的文件，以此類推。這種備份方法最明顯的優點是不需要重復備份整個數據，因此備份的數據量很小，備份和恢復所需的時間也很短。OA系統應該有增量備份功能。

4.2.4 IP安全控制

為保障OA系統安全，系統應具備IP安全控制功能，能夠設置一定IP地址段范圍內的機器訪問系統。如果有人使用不在IP地址范圍內的機器，就無法登錄系統。

5 結語

瀘州市廣播電視和監測臺OA辦公協同系統運行至今，已基本上代替了傳統化的紙質化辦公，成為瀘州市廣播電視和監測臺日常辦公的重要系統，對瀘州市廣播電視和監測臺的日常運行發揮著重要的作用。