专利名称:一种基于云计算的企业信息系统的制作方法
技术领域:
本发明涉及信息技术领域,特别是涉及一种基于云计算的企业信息系统。
背景技术:
在企业信息化领域,传统企业信息化系统的架构主要是分成相对独立的两部分,一部分是硬件基础设施架构,一部分是软件应用部分。在这种架构下,硬件基础设施部分一般包括物理网络、主机、安全设备、存储设备、桌面计算机等物理设施,软件应用部分包括系统软件、应用软件等部分。由于这种架构采用一对一响应的方式,因此传统的架构方式存在资源利用率低、不易扩展、安全性差等缺点。随着云计算技术的发展,基于云计算的云架构得到了更多的应用。云计算的主 要思想是将资源集中起来通过“云”的方式提供,使之像水电等资源一样提供给用户,使得用户能够通过网络以按需、易扩展的方式获取所需的服务,这种服务可以是与IT资源、软件、互联网相关,也可以是其他服务。目前的云架构主要包含三个层次基础设施即服务(Infrastructure as aService, IaaS),平台即服务(Platform as a Service, PaaS)和软件即服务(Software as a Service, SaaS)。现有技术中,这三个部分是相对独立的,各自独立发展,在各部分由应用提供商提供对应层次的资源服务,私有云用户也是针对不同的层次进行分别部署,无法提供统一的服务能力。而且在Paas、Saas这两层,在私有云应用上现有技术还处于概念发展阶段,目前还没有实际应用到企业自有信息系统中。
发明内容
为解决上述技术问题,本发明实施例提供了一种基于云计算的企业信息系统,提出了融合物理层、系统层、应用层、业务层的四层云架构的企业信息系统,提供了统一的服务功能。技术方案如下本发明提供了一种基于云计算的企业信息系统,所述系统包括物理层、系统层、应用层和业务层,其中所述物理层用于为系统层、应用层、业务层提供基础设施服务,将物理硬件资源虚拟化,提供统一的物理资源池,所述物理资源池包括计算资源、存储资源、网络资源、安全资源;所述系统层位于所述物理层之上,用于为所述应用层和所述业务层提供系统环境;所述应用层位于所述系统层之上,用于提供统一的应用资源池以提供应用环境服务,所述应用环境服务包括应用软件的发布及管理、应用数据的管理、应用资源的配置;所述业务层位于所述系统层和应用层之上,用于提供业务资源服务,用于根据业务逻辑,为企业业务应用提供统一的业务应用池。 较佳地,所述物理层包括
硬件设备模块,用于提供硬件设备资源,包括网络设备、服务器、存储设备、安全设备;硬件虚拟化模块,用于将硬件设备资源虚拟化,以提供物理资源池;硬件资源管理模块,用于为硬件设备模块提供管理服务,用于检测、监控、报警、调试、分析所述硬件设备资源。较佳地,所述系统层包括系统发布模块,用于提供系统发布服务,将服务器系统环境、 桌面系统环境通过发布推送到用户端,以使得用户端接入系统环境;系统服务模块,用于提供系统应用服务,为数据传输服务应用、文件服务应用、安全服务应用、智能工控服务应用提供应用服务器环境支持。较佳地,所述应用层包括应用发布模块,用于建立应用资源池,将各种应用软件通过应用资源池统一管理及发布,以提供应用环境服务;应用服务模块,用于将基础应用资源进行分类统一管理,并以服务化方式交付,按照信息资源的类别提供统一的基础应用服务;云服务管理模块,用于提供物理资源、系统环境、应用资源的管理、配置以及响应。较佳地,所述业务层包括业务应用模块,包括多个业务应用子模块,用于提供各业务应用;业务逻辑模块,用于根据业务逻辑,配置业务资源池的单元分布;业务总线模块,用于根据业务逻辑连接所述业务应用模块中的各业务应用子模块;业务数据模块,用于提供业务数据仓库,提供统一的数据管理服务;业务门户模块,用于提供统一的业务资源入口,用于统一展示各业务应用以及提供统一的认证、接入接口。较佳地,所述系统还包括安全服务模块,用于提供统一的安全服务资源以及安全服务资源发布,所述安全服务资源包括数据传输、认证、数据保护资源。较佳地,所述安全服务模块包括基础架构保护模块、信息保护模块、身份保护模块,其中,所述基础架构保护模块设置在物理层上,用于提供基础设施资源的安全保护;所述信息保护模块在应用层和业务层上分别设置,用于提供数据和应用安全保护;所述身份保护模块在系统层、应用层、业务层上分别设置,用于进行身份鉴别、授权管理,以提供用户准入、权限管理。较佳地,所述安全服务模块还包括安全资源池,所述安全资源池设置在系统层,用于将安全资源集中在安全资源池中,通过应用层将安全资源发布出来,所述安全资源包括身份鉴别单元、生物识别单元、CA认证单元、策略控制单元、审计单元、加密单元。较佳地,所述安全服务模块还包括设置在应用层的接入安全模块、数据安全模块、应用保护模块,其中,
所述接入安全模块用于应用的发布、传输及接入的安全控制;所述数据安全模块,用于进行数据存储、处理、维护过程的安全控制,包括数据备份子单元、高可用及冗余子单元、缓存优化子单元、数字证书保护子单元;所述应用保护模块,用于进行应用管理风险、操作风险、应用发布的风险控制。较佳地,所述安全服务模块还包括组件权限管理模块,用于整合各应用子模块权限,按模块化方式提供统一权限管理;业务逻辑驱动模块,用于提供应用安全流程逻辑,根据业务逻辑发布安全资源及
配置管理; 分布式交付服务模块,用于提供多层次安全服务交付方式,提供标准接口以实现业务应用调用。本发明实施例能够达到的有益效果为本发明实施例提供了一种基于云计算的企业信息系统,所述系统包括物理层、系统层、应用层和业务层,其中,所述物理层用于为系统层、应用层、业务层提供基础设施服务,将物理硬件资源虚拟化,提供统一的物理资源池,所述物理资源池包括计算资源、存储资源、网络资源、安全资源;所述系统层位于所述物理层之上,用于为所述应用层和所述业务层提供系统环境,实现系统服务的实时获取、按需使用和实时扩展;所述应用层位于所述系统层之上,用于提供统一的应用资源池以提供应用环境服务,所述应用环境服务包括应用软件的发布及管理、应用数据的管理、应用资源的配置;所述业务层位于所述系统层和应用层之上,用于提供业务资源服务,用于根据业务逻辑,为企业业务应用提供统一的业务应用池。在本发明中,物理层、系统层、应用层、业务层四层架构可以提供统一的服务功能,也可分别独立提供服务能力,将物理硬件资源、系统资源、应用资源、业务资源以资源池的方式提供给用户,以达到按需使用、随时获取、随时扩展的效果。另外,本发明将系统环境与业务资源分层独立设立,以服务化的方式提供资源供给,提高了资源利用效率。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本发明实施例提供的企业信息系统第一实施例示意图;图2为本发明实施例提供的企业信息系统第二实施例示意图;图3为本发明实施例安全服务架构示意图。
具体实施例方式本发明实施例提供了一种基于云计算的企业信息系统,提出了融合物理层、系统层、应用层、业务层的四层云架构的企业信息系统,提供了统一的服务功能。为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。参见图1,为本发明提供的企业信息系统第一实施例示意图。本发明提出了一种基于云计算的企业信息系统,所述系统包括物理层100、系统层200、应用层300及业务层400。所述物理层100用于为系统层200、应用层300、业务层400提供基础设施服务,将物理硬件资源虚拟化,提供统一的物理资源池,所述物理资源池包括计算资源、存储资源、网络资源、安全资源。所述系统层200位于所述物理层100之上,用于为所述应用层300和所述业务层400提供系统环境,实现系统服务的实时获取、按需使用和实时扩展。所述应用层300位于所述系统层200之上,用于提供统一的应用资源池以提供应用环境服务,所述应用环境服务包括应用软件的发布及管理、应用数据的管理、应用资源的配置。所述业务层400位于所述系统层200和应用层300之上,用于提供业务资源服务,用于根据业务逻辑,为企业业务应用提供统一的业务资源池。在本发明第一实施例中,物理层、系统层、应用层、业务层四层架构相互融合,可以提供统一的服务功能。在本发明中,将物理硬件资源、系统资源、应用资源、业务资源以资源池的方式提供给用户,以达到按需使用、随时获取、随时扩展的效果。另外,本发明将系统环境与业务资源分层独立设立,以服务化的方式提供资源供给,提高了资源利用效率。参见图2,为本发明提供的企业信息系统第二实施例示意图。在云计算领域当中,可以将云分为三种公有云、私有云、混合云。对于大型企业而言,由于其业务数据具有私密性,往往会选择搭建企业内部的私有云来保护数据安全。简单来说,私有云(Private Clouds)是为一个客户单独使用而构建的云,以提供对数据、安全性和服务质量的有效控制。本发明实施例提供的基于云计算的企业信息系统,正是一种基于 私有云的企业信息系统。本发明提供的企业信息系统包括物理层、系统层、应用层、业务层以及统一的安全服务模块。下面将结合具体的实施例对本发明提供的企业信息系统进行详细的介绍。在企业信息系统设置中,基础设施设置(对应物理层)是实现融合信息平台的基础。在本发明中,物理层100用于提供基础设施服务,包含服务器、网络设备、存储设备、安全设备等物理硬件设施,以及提供物理资源的云服务,包括计算、内存、存储、网络、安全等物理资源的“云”设置,提供高度统一、高度融合的物理资源池,实现按需使用、随时获取、随时扩展。物理层100主要可以包含融合网络、云存储、服务器、智能系统设施等,在本发明实施例中,物理层100主要分成三个模块硬件设备模块101、硬件虚拟化模块102以及硬件资源管理模块103。其中,硬件设备模块101,用于提供硬件设备资源,特别是计算资源,包括网络设备、服务器、存储设备、安全设备等;硬件虚拟化模块102,用于将硬件设备资源虚拟化,以提供物理资源池;硬件资源管理模块103,用于为硬件设备模块提供管理服务,用于检测、监控、报警、调试、分析所述硬件设备资源。在硬件设备模块101中,其最重要的功能之一是通过网络设备实现网络的融合统一。网络是实现私有云的基础,为了实现云应用,在物理层必须要求融合网络,即将所有物理网络和数据网实现统一、融合。在本发明实施例中,通过设置IP网络,实现对数据网、存储网、监控网、安防网、语音网、视频会议网、物联网、智能工程网络等的融合,即全部通过IP网络融入统一的数据网。在硬件设备模块101中,另外一个重要的功能是实现存储功能。在硬件设备模块中,为了实现存储资源的“云”服务功能及对系统层、应用层、业务层的支持,将云存储模块分为存储层、基础管理层、应用接口层、访问层,通过集群应用、网格技术或分布式文件系统等功能,将网络中的存储设备通过应用软件集合起来协同工作,统一对外提供数据存储和业务访问功能。具体的,在物理层100设置统一的存储池,所有存储应用均从存储池中获取,并接受统一管理。具体实现时,可以使用多台专用存储交换机互为冗余构建专用存储区域网络(SAN, Storage Area Network),并根据策略要求分别设置虚拟化专 用存储设备,分别提供存储、容灾空间及高可用带宽。为提供更好的数据服务,按服务层次建立数据分类管理的策略,将数据服务分为系统镜像及缓存数据、应用服务数据(结构化数据)及文件服务数据(非结构化数据),并分别提供不同的数据服务,如文件服务通过NAS (Network AttachedStorage :网络附属存储)协议、应用服务通过 ISCSI (InternetSmall ComputerSystem Interface,小型计算机通用接口)协议,还包括磁盘阵列(RAID,Redundant Arrays of Inexpensive Disks)、MPIO (Mult1-Path I/O)多路径管理等数据管理机制等。在系统及应用层的管理上,通过虚拟系统的存储应用服务的部署及设置,实现存储资源的随时获取,按需使用,随时扩展。物理层100的另一个主要模块是硬件虚拟化模块102,其利用独立的专业硬件虚拟化系统软件以及分散设置在各物理设备内的虚拟化系统软件,为硬件设备的应用及管理提供资源虚拟化功能。以服务器虚拟化为例进行说明,利用虚拟化系统建立主机池,将服务器物理资源抽象成逻辑资源,使所有CPU、内存、磁盘、1/0等硬件变成可以动态管理的“资源池”,实现计算资源高利用率、高可管理性、高可用性。所有的物理硬件资源被虚拟化为资源池,实现硬件资源的随时获取,按需使用,随时扩展,所述硬件资源包括计算资源、数据资源、存储资源、网络资源、安全资源等。物理层100的另一个重要模块是硬件资源管理模块103,用于为硬件设备模块提供管理服务,用于检测、监控、报警、调试、分析所述硬件设备资源,以管理所述硬件资源。通过对物理层100的设置,使得物理层100具备基础设施(物理硬件资源)虚拟化和云发布功能,使其实现如下功能(1)统一网络功能企业信息系统的网络按照分层、模块化的思想进行设计,建立统一融合的网络平台,具备各类应用一体化网络总体架构及灵活的接入功能。(2)统一安全功能通过将各基础设施(物理硬件资源)应用集成,将各系统安全保障也纳入统一体系里,通过IP架构安全体系,可有效发布安全策略以保护各基础设施安全。(3)统一管理功能,企业信息系统中通信、计算、监控、安防等各类业务应用和网络的融合,提供更好的管理功能。(4)端到端服务功能传统数据网所承载的各种割裂的系统和资源被纳入到一个统一的平台体系,通过虚拟化技术支撑使之向水电一样提供便捷的基础设施服务。
系统层200主要提供平台服务,它是建立在物理层100硬件虚拟化基础之上,为应用层300与业务层400提供系统环境,以实现系统服务的随时获取、按需使用、随时扩展。系统层主要包括系统发布模块201和系统服务模块202。其中,系统发布模块201用于提供系统发布服务,将服务器系统环境、桌面系统环境通过发布推送到用户端,以使得用户端接入系统环境。系统发布模块主要包含两部分,一是发布内容,包括服务器系统及桌面系统;二是发布架构,其中服务器系统发布由服务器虚拟化系统提供,桌面系统由桌面虚拟化系统实现。系统发布模块201的一个重要功能是实现服务器系统发布。具体实现时,通过服务器虚拟化设置,建立虚拟服务器池,这种设置不仅实现了计算资源的云应用,同时在系统应用上也带来了质的改变。通过将物理服务器虚拟出独立系统,为实现异构环境、分布环境、高可用环境及高可管理性提供了可能。通过快照、集群HA、Vmotion(—种虚拟机迁移技术,可以将服务器、存储和网络设备完全虚拟化,使得正在运行的整个虚拟机能够在瞬间从一台服务器移到另一台服务器上的技术)等高级管理功能的设置实现为服务器系统环境发 布提供了更高效的保障。桌面系统发布是系统发布模块重要的组成部分,常见桌面发布方式基于分布式、离线设置应用,发布成本较高、可管理性差。在本发明中,实现了桌面系统的云应用,构建了桌面虚拟化架构。通过与安全服务模块结合,在虚拟桌面系统中集成认证技术,通过增强安全接入桌面系统,实现桌面环境的定制化发布。另外,针对桌面图形应用的特殊需求,应用显卡穿透技术在虚机中直接调用物理显示处理设备(GPU),满足桌面图形的高性能要求。传统系统应用架构一般为服务器一PC机的应用模式,计算资源分散。而在本发明中,通过设置系统层提供完整的系统化服务环境,并根据现实需要应用各种传输协议和多种发布技术将系统环境推送到桌面硬件终端(例如零客户机、瘦客户机、PC等)。在本发明实施例中,系统层200通过与安全服务模块结合,在桌面终端设置硬件认证接入设备支持,通过推送的虚拟环境支持本地化安全接入。同时,基于云网络及安全体系的完整设置,还实现移动终端设备(智能手机、平版电脑等)、基于桌面同步服务器的离线笔记本等实现桌面的移动及离线发布应用。系统服务模块202,用于提供系统应用服务,为数据传输服务应用、文件服务应用、安全服务应用、智能工控服务等应用提供应用服务器支持。虚拟服务器池的设置为大规模服务器应用系统的设置提供了可能,基于高度融合的基础设施及其他应用需求,为不同层次提供服务的服务器系统实现规模化设置,为支持系统服务的云化应用,在物理层100融合网络等支持下,将各系统服务分离设置在不同的应用服务器之上,提供系统服务的资源池,各系统环境及应用层、业务层应用环境均可实现对系统服务的随时随地自主调用,如为基础设施融合提供服务的考勤服务器、报警服务器、一卡通服务器、视频处理服务器、监控服务器、门禁服务器等应用服务器,为系统层及应用层实现服务的镜像服务器、缓存服务器、应用发布服务器、域控服务器、文件服务器等系统应用服务器,为安全服务模块服务的身份鉴别服务器、生物识别服务器、数字证书服务器、加密服务器及审计服务器等安全应用服务器。在本发明实施例中,在系统层200之上,设置了应用层300用于提供统一的应用资源池以提供应用环境服务,所述应用环境服务包括应用软件的发布及管理、应用数据的管理、应用资源的配置。具体实现时,在系统层200提供系统环境基础上,为了提供应用环境服务,设置了应用层300,提供如应用软件的发布及管理、应用数据的管理及应用策略配置升级及安全性管理等应用环境。现有技术中,应用环境设置一般为分散自助式,或采用专用桌面策略产品以实现集中管控,但管理成本较高且效率较低。在本发明实施例中,通过应用层分离设置,实施应用虚拟化,实现应用池的设置及应用,可大大提供应用资源利用率,降低应用成本。在本发明实时中,应用层300主要分三部分1、应用发布模块301,用于建立应用资源池,将各种应用软件通过应用资源池统一管理、发布,以提供应用环境服务。具体的,应用发布模块提供应用环境服务,建立应用资源池并将其推送到用户端,企业用户可随时随地接入到推送或 自主选择的系统环境。具体实现时,通过应用程序的虚拟化,实现IT应用客户端集中设置,以对用户透明的方式完全使用户的应用和数据在平台上统一计算和运行,可以显著提高设置的简易性、通过集中化应用管理来降低应用管理成本和保证业务连续性,同时,利用对数据和应用的集中化控制和安全访问来增强安全性;通过应用发布工具建立应用发布池,将企业内部所有应用整合起来,并按需配给,大大提高了应用效率并降低了应用投入及管理成本,实现了统一调配及管理应用资源,自动设置应用环境及按需个性化自助式应用配置。2、应用服务模块302,用于将基础应用资源进行分类、统一管理,并以服务化方式交付,按照信息资源的类别提供统一的基础应用服务。具体的,应用服务模块提供各种信息应用服务,将各种信息资源按性质分类整合全面管理,统一提供服务,如统一打印服务、统一通信服务、统一门户服务等,使企业信息资源的应用服务化,更高效的被用户应用。下面对应用服务模块几个子单元进行介绍,以下仅是本发明的几个示例,并不限制其他实施方式。(I)统一打印单元。打印服务是基础应用服务中最常见的需求之一,要实现打印“云“服务,需要在多个层次设置支持,具体实现时,将所有物理打印机根据物理特性按物理位置分别设置并融入数据网络,例如网络打印机,不是网络打印机的添加物理打印服务器。在系统层设置应用打印服务器,具体实现时根据驱动需求设置多台异构打印服务器并实现集群设置,以实现打印服务统一设置及管理。同时,通过镜像发布、安全策略中心及云服务管理工具将打印资源按需自动配置。在应用层,应用虚拟化打印发布技术设置打印服务池,将打印机、打印策略等资源灵活发布,同时,通过后端的云服务管理模块及前端业务层业务门户模块实现打印服务自助式配置,实现打印服务云应用。(2)文件服务单元。由于在本发明实施例中,采用瘦终端的桌面系统发布架构,本地无存储资源,因此需要提供灵活的文件服务,由于采取数据分类管理策略,除系统数据(包含镜像数据及缓存数据)与业务数据(数据库)外,配置信息数据与应用环境数据通过文件服务器提供存储服务。其中配置数据由虚拟化系统专用配置工具及WINDOWS漫游配置服务共同完成,以实现各种个人配置信息如浏览器配置、输入法配置、打印配置、CAD应用配置等。其中,配置信息与应用数据分离,实现应用环境的系统环境、设备、位置接入方式的无关性,即无论更换桌面操作系统、更换桌面接入设备在任何地点以任何方式接入都保持个人配置环境的不变。在应用数据存储服务方面,通过统一的安全策略及发布,实现对容量、显示、安全策略的统一管理。
(3)统一通信服务单元。统一通信服务最早的需求来源是企业信息系统内部各应用消息系统整合的需求。现有技术中,各业务应用系统均有自己的消息系统,在业务操作及管理应用提醒上发挥了重要作用,但各消息系统间未能实现互联互通,以导致信息孤岛的产生。因此,实现统一数据通信是支撑业务应用的重要部分。在本发明实施例中,为了实现统一数据通信,从物理层100到业务层设置了统一的通信路径。其中,在物理层100设置了提供语音服务的PBX (程控交换)/El (30路脉码调制PCM,一种欧洲的通信标准)线路、VoIP (Voice over InternetProtocol)网关设备、本地PBX/IAD (综合接入设备)设备等语音通信单元。通过模拟与数字语音通信混合的通信方式最大化的保留了传统语音使用习惯,同时又实现语音与IP数据网的融合。为了实现统一视频服务功能,将中控系统、视频会议终端、会议发声系统、监控系统通过网络进行互联,形成统一、融合的音视频服务系统。在系统层200为数据、语音、视频通信服务提供了广泛支持,在数据融合服务上,分别设置手机短信服务器、邮件集群服务、即时通讯服务、消息中心服务器等,在语音及视频方面设置了统一通信服务器、语音网关服务器、视频服务器(DVS)、流媒体服务器等提供了语音视频信息的采集、处理、发布及集成等服务。在应用层300上,设置了统一的前端通信平台,用户只需使用统一的通信客户端平台即可使用包含数据、语音、视频的所有通信服务。在业务层400,通过提供开放式集成接口,可快速与各业务应用结合,实现业务应用自助式通信集成,如在业务组件开发设计上可快速实现邮件或消息调用或电话留言功能,在融合门户使用上,可自助式申请各业务板块的消息使用功能。通信服务单元可以实现内部邮件、外部邮件、手机短信、各应用消息系统、会议系统、电话、即时消息等通信实现融合,用户可通过统一通信服务单元随时随地进行视频会议、电话、短信沟通,同时也可使用手机、固定电话、移动终端等享受统一通信的便利。3、云服务管理模块303,用于提供物理资源、系统环境、应用资源的管理、配置以及响应。具体实现时,通过云端管理工具,提供物理资源、系统环境及应用环境资源的管理、配置及需求响应,为企业用户提供内部资源的自助服务提供支持。在物理层100、系统层200、应用层300之上,设置了业务层400。业务层400在企业信息系统的顶端,用于提供业务资源服务,用于根据业务逻辑,为企业业务应用提供统一的业务应用池。为了实现业务云应用,使业务虚拟化,在业务层依据业务逻辑设置业务应用池,实现业务需求资源的随时获取,按需使用,随时扩展。其中,业务层400包括业务数据模块401,用于提供业务数据仓库,提供统一的数据管理服务;业务逻辑模块402,用于根据业务逻辑,配置业务资源池的单元分布;业务应用模块403,包括多个业务应用子模块,用于提供各业务应用;业务总线模块404,用于根据业务逻辑连接所述业务应用模块401中的各业务应用子模块;业务门户模块405,用于提供统一的业务资源入口,用于统一展示各业务应用以及提供统一的认证、接入接口。其中,业务数据模块401,用于提供业务数据仓库,提供统一的数据管理服务。设置企业应用数据仓库为决策支持和商务智能业务系统提供了数据来源,更是实现业务云的基础,是业务池承载的物理基础。具体实现时,通过云技术建立企业数据云,搭建各业务系统与决策支持系统的桥梁,通过集成组件完成系统个性化定制。运用企业数据云可以高效、透明、无缝、灵活地连接企业各种应用系统,还可以为决策支持商务智能等业务提供统一的数据接口和可靠的数据来源。在逻辑架构设计上,把各分散的数据模块重新抽象化,根据决策原则和需求进行数据仓库的建立,对数据进行集中化管理,包括系统功能模块的重新划分、数据分析与数据挖掘工具的逻辑设置;主要分三大模块实体数据集市、虚拟数据集市和云管控引擎。业务应用以数据云为基础建立各指标体系,并实现面向对象决策主题数据的存储和管理。业务数据模块支持元数据管理、ETL (Extraction-Transfo·rmation-Loading)抽取管理、ODS (Operational Data Store)监控、外部数据导入及数据抽取、数据清洗、数据转换、数据汇总等功能。业务逻辑模块402,用于根据业务逻辑,分布设置与业务资源对应的业务资源池,具体实现时,业务逻辑模块用于根据业务逻辑,配置业务资源池的分布。业务资源是指可使用信息化供给进行管理并可实现融合的数字化资产,可以覆盖企业运营的各个环节,例如市场销售、物理生产、资本运营、物流、策略管理等各方面,其是一种可以数字化的资产,可以数字化的形式被处理、使用。在本发明实施例中,业务云与现有技术中基础架构的不同之处在于其并非由技术架构串接,而是由业务逻辑分布组成,在业务池的设置中,应用以逻辑线串接分层分块布局设置。在业务逻辑规范下分别考虑物流、信息流、资金流等驱动具体需求流向来设置业务资源池。如同为项目管理,其对项目投入、项目进度控制、项目考核等方面的诉求不一,在业务池设置中需要将其纳入不同层次之中。业务应用模块403,包括多个业务应用子模块,用于提供各业务应用,构建业务应用池。根据企业在生产、销售、物流、管理等应用需求,建立各应用模块,构建业务应用池,在业务应用池中发布各业务应用模块。业务总线模块404,用于根据业务逻辑连接所述业务应用模块中的各业务应用子模块。具体实现时,业务总线模块具体用于将多个业务应用子模块串接起来,按照业务逻辑提供统一的通信服务。业务门户模块405,用于提供统一的业务资源入口,用于统一展示各业务应用以及提供统一的认证、接入接口。为了有效地利用企业的数据资源和信息资产,保证内部和外部的每一个用户都能随时访问到信息,在本发明实施例中,在业务层设置了业务门户模块。在云计算架构之上,对业务门户模块有了更多要求,除支持业务层展示外,对其他层云应用资源发布及管理也融入到自助式门户模块中。具体实现时,在业务门户模块上为业务部门提供一个浏览器图形界面,在统一门户模块之上可直接申请、管理、跟踪和撤销私有云资源及服务,进而满足个性化业务需求。同时,所有应用在用户验证方面实现集成,与AD(activedirectory,活动目录)集成使得AD域中的账号与所有应用的账户直接打通,从而让用户一次登陆之后,无障碍的访问所有应用。当用户通过自己原有的AD域账户登陆后,不需要再次输入任何密码,可以在用户虚拟桌面直接加载和使用管理员授权使用的所有应用,以实现多平台/多设备支持、云身份识别、基于标准的安全验证、基于角色的访问和报告等功能。在传统信息架构中,存在安全性差的缺陷,在设置企业私有云时,如何保证数据安全是一个重要的问题。在本发明实施例中,企业信息系统还包括安全服务模块,其用于提供统一的安全服务资源以及安全服务资源发布,所述安全服务资源包括数据传输、认证、数据保护资源。
如图3所示,为本发明实施例安全架构示意图。本发明实施例中的安全服务模块在各层次上分层设置。其中,安全服务模块包括基础架构保护模块、信息保护模块、身份保护模块,其中,所述基础架构保护模块设置在物理层上,用于提供基础设施资源的安全保护;所述信息保护模块在应用层和业务层上分层设置,用于提供数据和应用安全保护;所述身份保护模块在系统层、应用层、业务层上分层设置,用于进行身份鉴别、授权管理,以提供用户准入、权限管理服务。在本发明实施例中,实现了安全资源的服务化。现有技术中的安全保护机制均遵守提供-接收一一对应的模式,即部署方式为强制及独立部署模式。以接入安全为例,一般会通过设置安全网关设备、VPN设备或认证设备等实现,即后端部署什么,前端被动接收,安全资源是分散且独立工作的。而在本发明实施例中,在物理层、系统层、应用层、业务层分层设置安全服务模块,每一层次的安全服务模块可以独立应用,也可以与其他层的安全服务模块协同应用。这样,通过分层构建安全模块,对各层安全资源实现整合、池化,可有效提供安全资源的利用率。同时,为安全交付提供了更高的灵活性及较低的交付成本。如在接入安全交付上,可针对不同类型的接入及不同接入方式上,可随机搭配不同的安全服务模式及内容,如选择不同的认证方式或组合认证,选择不同的安全设备接入等。在本发明中,不 同于现有技术的实现方式,将安全资源以服务的形式提供,提供了资源的利用率,为用户提供了更灵活的安全保护。可以实现各层安全资源的整合、池化,有效提供安全资源的利用效率。下面,分别从物理层、系统层、应用层、业务层的设置对安全服务模块的设置、功能进行详细介绍。物理层的安全服务模块主要包括物理安全模块和网络安全模块。其中,物理安全模块主要包括门禁、防雷、防火、防水防潮、防静电、温湿度控制、电力供应、电磁防护等安全基础设施设置。网络安全模块主要设置了网络结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备防护等子单元,主要应用物理设备有内网防火墙外网防火墙、SSLVPN (安全套接层虚拟专用网络,Security Socket Layer Virtual Private Network)设备、IPSECVPN设备、入侵检测设备、上网行为管理、网闸设备、身份鉴别设备、终端访问控制系统、指纹认证终端设备、人脸识别终端设备等。系统层的安全服务模块将安全资源以安全资源池的形式集中起来,并通过应用层发布。安全资源池主要包括身份鉴别单元、生物识别单元、CA认证单元、策略控制单元、审计单元、加密单元等。其中,身份鉴别单元主要满足用户身份合法性的检测与验证需求,确保未授权用户无法使用受保护的信息资源,主要实现方式有密码、智能卡、KEY等,并可实现多种认证方式的组合。生物识别单元是身份鉴别单元的其中一种,即通过生物识别的技术手段实现身份认证,通过可测量的身体或行为等生物特征进行身份认证,常见一般有指纹识别、人脸识另1J、声首识别等。CA认证单元主要是建立一种信任及信任验证机制,使得应用各方必须有一个可以被验证的标识。主要包含ca (负责产生和确定用户实体的数字证书)RA审核授权部门、CP(证书操作部门)、KM(密钥管理部门)、DIR(证书存储地);策略控制单元主要提供安全策略的管理及维护,为系统环境及应用环境制定、下发安全规则,主要包含操作系统策略(组策略、域策略等)及独立安全应用策略审计单元主要提供安全审计服务,对网络系统中的安全设备和网络设备、应用系统和运行状况进行全面的监测、分析、评估是保障网络安全的重要手段。一般针对网络设备、安全设备、服务器、桌面、数据库及应用系统等满足日志审计、主机审计及网络审计需求。加密单元,主要提供数据加密及解密服务,包含网络传输加密、磁盘加密、文件加密及应用(数据库)加密等,数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理,使其成为不可读的一段代码,通常称为“密文”,使其只能在输入相应的密钥之后才能显示出本来内容,通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。各个单元既相互独立又相互融合,以适应云安全应用需求,可随时响应应用及业务层灵活定制的安全需求。通过与AD域安全集成、虚拟桌面集成、远程接入物理层100与系统层集成等集成技术,实现系统安全整体服务功能,即可独立应用也可自主实现多安全 服务整体发布应用。在系统层安全服务模块之上,在应用层上建立了接入安全模块、数据安全模块、应用保护模块,其中接入安全模块用于应用的发布、传输及接入的安全控制,具体的,采用统一的接口发布应用,并配置接入认证功能。具体实现时,通过配置应用接入认证、应用发布方式、应用传输方式,实现接入安全。采用统一的web接口发布web应用,基于应用虚拟化按需推送应用。数据安全模块用于进行数据存储、处理、维护过程的安全控制,包括数据备份子单元、高可用及冗余子单元、缓存优化子单元、数字证书保护子单元。其中,数据备份子单元主要用于提供数据备份容灾及恢复服务;高可用及冗余子单元主要通过集群等技术手段实现应用及数据高可用性;缓存优化子单元主要通过对磁盘、操作系统及应用软件缓存机制的优化提高数据应用效率,保证数据正常应用;数据证书保护子单元主要用于对信息进行加密和解密、数字签名和签名验证,确保网上传递信息的机密性、完整性。应用保护模块用于进行应用管理风险、操作风险及应用发布等风险控制,如通过应用虚拟化安全机制提供应用发布审计及监控系统。应用保护模块主要针对应用软件的操作、管理及发布过程进行安全控制,包含独立权限管理系统、应用数据加密系统、应用审计系统、应用发布监控及录像系统等。在业务层安全服务模块中,提供了统一业务模型及统一认证功能,将所有业务需求纳入统一业务池中,按业务逻辑关系组合建立整体模型,提供统一业务入口,采用统一的认证体系,即联合认证。具体的,在业务层设置了组件权限管理模块、业务逻辑驱动模块以及分布式交付服务模块。其中,组件权限管理模块,用于整合各应用子模块权限,按模块化方式提供统一权限管理;业务逻辑驱动模块,用于提供应用安全流程整合服务,根据业务逻辑发布安全需求及配置管理;分布式交付服务模块,用于提供多层次安全服务交付方式,提供标准接口满足业务应用调用需求。具体实现时,整合各业务系统权限,将原业务系统权限认证部分纳入统一管理,在SOA架构基础上实现整体模块化权限发布。另外,权限认证不仅再以应用系统架构分布,而是按业务逻辑分布,如一个业务需求在多个模块分布,则其权限受业务流驱动实现自动配置管理。在本发明实施例中,安全设置及请求不仅限于中心控制,在云架构需求下能实现分布式提交以实现自助式服务,如密码管理、业务权限申请可在门户安全配置页面实现提交与自动响应。具体实现时,为了保证业务层的安全,提供了从业务资源各单元的信息安全需求及供给,从统一认证、模块化分布式权限管理、业务逻辑线性分布安全自助服务,与业务层深度融合,提供全面的业务安全服务。这改变了传统应用安全供应模式,传统上各应用间安全服务相互独立,如ERP系统的供应链管理模块是受ERP系统的安全策略限制,但是MES(制造执行系统)的车间管理系统只接受MES系统的安全策略。即使这两个系统通过集成开发,也很难实现安全控制的完整统一,只能针对不同的业务需求针对性的开发,如对具体单据流转的安全控制。而在本发明实施例中,业务层的安全服务模块将安全资源剥离出来,通过独立的安全资源管理,分布式部署及应用,将安全管理按业务逻辑线性分布,不再受制于各应用系统的安全控制。例如,在市场销售业务运营单元中,分布着客户关系、合同管理、销售管理等应用,根据业务层部署及分布,其核心以订单管理逻辑串接,实现多应用协同。为响应此业务的安全需求,在本发明实施例中,不再遵循各应用系统权限控制的模式,而是整理出业务逻辑对应业务流客户信息流、订单信息流、资金流、控制流(成本等),然后分别对应各系统流转节点(包含单据、流程及报表等),依业务总线通过数据控制实现统一权限管 理。例如授权查询或编辑部分客户信息,则一次授权之后,可在所有应用系统中或业务单元内均可对这部分授权的客户做查询或其他数据操作,而无需重复授权。在具体实现上,通过各层次的配合,可以完整的实现安全需求响应。以远程接入系统为例,其需要保证数据传输、身份认证及内部数据保护等多方面的安全需求,基于云安全体系的设置,满足并设置这些需求非常容易实现。具体实现时,通过调用系统层的身份鉴别服务器、生物识别服务器及数字证书服务器等,利用应用层将这些多种安全服务发布,再在终端结合物理层100接入设备及身份识别设备可快速实现用户多重安全机制的安全接入,用户只需插入指纹密钥设备、通过密钥内的证书验证和/或证书与指纹的匹配验证、和/或内部身份鉴别系统的生物识别认证,以实现安全接入。本领域技术人员可以理解的是,这些认证级别可以预先设置和选择,即可要求其通过一重认证,也可即时变更为任意重认证,真正实现了安全服务的云应用。在本发明第二实施例中,将各种IT资源服务化,以服务方式交付给用户,与现有云架构相比,更强调了对用户的适应性,扩展了计算资源的范畴,将传统的资源分为物理层、系统层、业务层、应用层四层分层建设,特别地,将系统服务环境提供和业务资源提供分别独立设置为系统层和业务层,以服务化方式提供资源供给,大大提高了资源利用效率。另一方面,在本发明实施例的企业信息系统还包括安全服务模块,具体可以“安全云”的形式实现。安全服务模块创造性的将企业IT安全服务化,并融合到整体IT分层架构中,在物理层、系统层、应用层、业务层分层部署。特别是在系统层提供安全系统服务,将传统安全资源以服务方式部署在系统层,组成安全资源池,并通过应用层发布出来,实现业务应用的安全自助服务,这颠覆了传统安全架构的提供方式,在增强了安全等级的同时,也有效降低了整体部署成本。另一方面,在物理层、系统层、应用层、业务层分层设置的安全服务模块可以独立应用,也可以与其他层的安全服务模块协同应用。这样,通过分层构建安全模块,对各层安全资源实现整合、池化,可有效提供安全资源的利用率。同时,为安全交付提供了更高的灵活性及较低的交付成本。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。本发明可以在由计算机执行的计算机可执行指令的一般上下文中描述,例如程序模块。一般地,程序模块包括执行特定任务或实现特定抽象数据类型的例程、程序、对象、组件、数据结构等。也可以在分布式计算环境中实践本发明,在这些分布式计算环境中,由通过通信网络而被连接的远程处理设备来执行任务。在分布式计算环境中,程序模块可以位于包括存储设备在内的本地和远程计算机存储介质中。以上所述仅是本发明的具体实施方式
,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应 视为本发明的保护范围。
权利要求
1.一种基于云计算的企业信息系统,其特征在于,所述系统包括物理层、系统层、应用层和业务层,其中 所述物理层用于为系统层、应用层、业务层提供基础设施服务,将物理硬件资源虚拟化,提供统一的物理资源池,所述物理资源池包括计算资源、存储资源、网络资源、安全资源; 所述系统层位于所述物理层之上,用于为所述应用层和所述业务层提供系统环境;所述应用层位于所述系统层之上,用于提供统一的应用资源池以提供应用环境服务,所述应用环境服务包括应用软件的发布及管理、应用数据的管理、应用资源的配置; 所述业务层位于所述系统层和应用层之上,用于提供业务资源服务,用于根据业务逻辑,为企业业务应用提供统一的业务应用池。
2.根据权利要求1所述的系统,其特征在于,所述物理层包括 硬件设备模块,用于提供硬件设备资源,包括网络设备、服务器、存储设备、安全设备; 硬件虚拟化模块,用于将硬件设备资源虚拟化,以提供物理资源池; 硬件资源管理模块,用于为硬件设备模块提供管理服务,用于检测、监控、报警、调试、分析所述硬件设备资源。
3.根据权利要求1所述的系统,其特征在于,所述系统层包括 系统发布模块,用于提供系统发布服务,将服务器系统环境、桌面系统环境通过发布推送到用户端,以使得用户端接入系统环境; 系统服务模块,用于提供系统应用服务,为数据传输服务应用、文件服务应用、安全服务应用、智能工控服务应用提供应用服务器环境支持。
4.根据权利要求1所述的系统,其特征在于,所述应用层包括 应用发布模块,用于建立应用资源池,将各种应用软件通过应用资源池统一管理及发布,以提供应用环境服务; 应用服务模块,用于将基础应用资源进行分类统一管理,并以服务化方式交付,按照信息资源的类别提供统一的基础应用服务; 云服务管理模块,用于提供物理资源、系统环境、应用资源的管理、配置以及响应。
5.根据权利要求1所述的系统,其特征在于,所述业务层包括 业务应用模块,包括多个业务应用子模块,用于提供各业务应用; 业务逻辑模块,用于根据业务逻辑,配置业务资源池的单元分布; 业务总线模块,用于根据业务逻辑连接所述业务应用模块中的各业务应用子模块; 业务数据模块,用于提供业务数据仓库,提供统一的数据管理服务; 业务门户模块,用于提供统一的业务资源入口,用于统一展示各业务应用以及提供统一的认证、接入接口。
6.根据权利要求1所述的系统,其特征在于,所述系统还包括 安全服务模块,用于提供统一的安全服务资源以及安全服务资源发布,所述安全服务资源包括数据传输、认证、数据保护资源。
7.根据权利要求6所述的系统,其特征在于,所述安全服务模块包括基础架构保护模块、信息保护模块、身份保护模块,其中, 所述基础架构保护模块设置在物理层上,用于提供基础设施资源的安全保护;所述信息保护模块在应用层和业务层上分别设置,用于提供数据和应用安全保护; 所述身份保护模块在系统层、应用层、业务层上分别设置,用于进行身份鉴别、授权管理,以提供用户准入、权限管理。
8.根据权利要求6所述的系统,其特征在于,所述安全服务模块还包括安全资源池,所述安全资源池设置在系统层,用于将安全资源集中在安全资源池中,通过应用层将安全资源发布出来,所述安全资源包括身份鉴别单元、生物识别单元、CA认证单元、策略控制单元、审计单元、加密单元。
9.根据权利6所述的系统,其特征在于,所述安全服务模块还包括设置在应用层的接入安全模块、数据安全模块、应用保护模块,其中, 所述接入安全模块用于应用的发布、传输及接入的安全控制; 所述数据安全模块,用于进行数据存储、处理、维护过程的安全控制,包括数据备份子单元、高可用及冗余子单元、缓存优化子单元、数字证书保护子单元; 所述应用保护模块,用于进行应用管理风险、操作风险、应用发布的风险控制。
10.根据权利要求6所述的系统,其特征在于,所述安全服务模块还包括 组件权限管理模块,用于整合各应用子模块权限,按模块化方式提供统一权限管理; 业务逻辑驱动模块,用于提供应用安全流程逻辑,根据业务逻辑发布安全资源及配置管理; 分布式交付服务模块,用于提供多层次安全服务交付方式,提供标准接口以实现业务应用调用。
全文摘要
本发明涉及信息技术领域,特别是一种基于云计算的企业信息系统,所述系统包括物理层、系统层、应用层和业务层,所述物理层用于为系统层、应用层、业务层提供基础设施服务,将物理硬件资源虚拟化,提供统一的物理资源池,所述物理资源池包括计算资源、存储资源、网络资源、安全资源;所述系统层位于所述物理层之上,用于为所述应用层和所述业务层提供系统环境服务;所述应用层位于所述系统层之上,用于提供统一的应用资源池及交付服务以提供应用环境服务,所述应用环境服务包括应用软件的发布及管理、应用数据的管理、应用资源的配置;所述业务层位于系统层和应用层之上,用于提供业务资源服务,根据业务逻辑为企业业务应用提供统一的业务应用池。
文档编号H04L29/08GK103023993SQ201210495549
公开日2013年4月3日 申请日期2012年11月28日 优先权日2012年11月28日
发明者吴华新 申请人:青岛双瑞海洋环境工程股份有限公司