1. 工程管理软件

1.1 概述

工程项目是企业经济效益的主要源泉所在。面对国内经济的高速发展，投资规模的不断扩大，工程项目的大量增加，企业正面临者前所未有的机遇和挑战。

工程项目管理系统依据企业生产与管理的特点，以系统工程学、控制论和信息论为理论基础，采用信息集成技术和矩阵式管理结构，以高度专业化、科学化、市场化的手段，对项目实施的进度、成本、质量、合同、资源、财务、安全等工程全过程实行动态、量化管理和有效控制。

1.2 系统总体功能结构

功能说明

一、 系统管理

1. 人员管理

人员信息的登记、维护和查询。

2. 权限管理

权限管理采用角色对功能进行管理。每个用户拥有一个或多个角色，用户登录时，系统根据用户的角色，决定用户的功能权限。

3. 系统配置

进行系统各种运行参数的配置，这些参数包括系统运行参数和各种系统管理参数等。

4. 流程管理

主要进行业务流程的管理，可以根据用户的业务需求对系统的各功能节点进行配置，从而达到业务流程管理的可扩展性和可配置性。

二、 项目管理

1. 项目规划

规划管理就是构造工程项目管理系统的基础数据体系，建立一个以范围、工程分解（PBS）、项目组织（OBS）、工作分解（WBS）、资源分解（RBS）、成本分解（CBS）为核心的数据支撑环境。

2. 进度管理

系统的进度计划是项目计划的重要组成部分，资源计划、物资计划及费用计划的编制都是以进度计划为基础的，因此项目进度计划是项目计划编制中的一项重要工作，也是项目计划的主要内容，可同时派生出不同组织与管理职能、不同资源（人工、材料、机械、设备）、不同费用类别的系统的、全方位的项目实施计划。

3. 成本管理

工程项目在施工过程中状况的随时掌控，是项目是否赢利的关键。系统建立成本管理体系，贯穿于项目管理活动的全过程和每个方面，从项目中标签约开始到施工准备、现场施工、直至竣工验收，在整个工程建设过程中进行实时动态的成本监控与分析。

4. 合同管理

系统对各类承包合同、劳务合同、采购合同、租赁合同、技术服务合同以及其他一般性合同的原始信息（包括评标文件、工程量清单、合同价格信息）、过程信息（如：合同变更信息、补充信息、执行状态等）进行统一管理，并对合同计量、合同支付、合同计算、合同变更、合同索赔进行实时监控。

5. 材料管理

材料管理费用在项目投资中，一般占有最大比重，因此材料成本是项目成本控制的重要内容。系统可以从三个方面对材料成本实施控制：材料计划的制定、材料采购价格和材料现场的耗用管理。

6. 设备管理

设备管理同施工企业的经营管理结合，可以反映出企业经营过程中与设备有关的人、财、物的消耗，进行设备运行成本核算与效率分析；同项目管理结合，可以反映出每项项目中的设备使用状况以及设备使用成本。

7. 人工管理

以控制成本和赢取利润为核心，依照按劳分配的原则，把工资和奖金作为表现方式，连接工程项目和人力的管理支点。

8. 资金管理

通过资金管理系统，企业领导层可随时准确掌握各部门或单位的资金流向，提高资金的利用效率，降低资金的使用成本，有效缓解垫资压力、规避资金风险。

9. 质量管理

施工项目的质量控制是从工序质量到分项工程质量、分部工程质量、单位工程质量的系统控制过程。包括质量规范、质量目标、质检评定、质量事务等方面的管理。

三、 企业管理

1. 项目中心

项目中心可协助企业建立多项目资源协调机制，提供各类资源分配分析数据,（如多项目的采购、多项目人力资源协调、多项目资金、人工、材料、机械等资源的协调）；实现企业管理层与项目管理层在同一平台上协同工作，为其提供方便、快捷、准确的数据归集和分析平台，切实地辅助企业决策层和各业务部门提高科学决策能力。

2. 经营中心

经营中心为工程项目的投标、报价、顾客信息、经营计划、合同立项、合同分承包、工作设计协同等提供了一套灵活、有效的控制手段，可有效分析企业经营运行情况；收集、分析同行业信息，制订或修订企业发展战略目标，建立工程投标基础资料库和专家库，实现对项目全过程的有效控制和科学管理。

3. 物流中心

物流中心以最前沿的物流管理技术，物流供应链一体化理论为基础，结合目前我国建筑行业材料管理特点和状况，为施工企业提供了供应链管理整体解决方案：施工企业从上游合作伙伴获得所需的生产、运营的物资，保证企业生产经营需要，支持企业的持续经营，同时，控制供应链上的物流速度，杜绝暗箱操作，有效的降低采购成本，并最大限度地减少库存和资金占用。

4. 人力资源

结合施工企业实际管理中面临的问题，动态适应项目与企业组织的多变性、地域的广泛性，支持处理资源配置优化组合、激励考核等核心业务，实现人力资源规划与发展管理，创造企业整体人力资源优势。

5. 预警中心

预警管理系统是对企业在发展过程中针对可能发生的危机而进行的事先预测和防范的一种战略管理手段。对系统中敏感的数据，按用户自定义的参数进行处理，供企业领导人及时发现问题并纠正问题。如：进度延期，成本超支，库存报警、合同履约基准（合同变更、支付、过期预警）人工、材料、机械支付的临界点，质量和安全指标等。一旦有发生超过预定目标的情况时，系统给予及时的反馈。

四、 服务接口

根据企业对项目管理和其他系统进行数据交换和业务的各种需求，定制开发一系列的数据服务接口和业务接口。

五、 企业决策

面向企业决策人员，分析、监控企业的产值、资金、人力、采购、库存、项目各个业务的经营状况。通过挖掘数据、分析信息，帮助决策者做出科学的决策。

六、 数据中心

进行统一的数据收集和管理，为日常的业务办理和企业的决策分析提供强有力的数据保障功能，也是其他系统数据和系统数据进行交换和通讯的中心。

2. 数据库

2.1 概述

数据库和信息系统

(1)数据库是信息系统的核心和基础，把信息系统中大量的数据按一定的模型组织起来，提供存储、维护、检索数据的功能，使信息系统可以方便、及时、准确地从数据库中获得所需的信息。

(2)数据库是信息系统的各个部分能否紧密地结合在一起以及如何结合的关键所在。

(3)数据库设计是信息系统开发和建设的重要组成部分。

(4)数据库设计人员应该具备的技术和知识：

 数据库的基本知识和数据库设计技术

 计算机科学的基础知识和程序设计的方法和技巧

 软件工程的原理和方法

 应用领域的知识

数据库设计的特点

 数据库建设是硬件、软件和干件的结合

 三分技术，七分管理，十二分基础数据

 技术与管理的界面称之为“干件”

 数据库设计应该与应用系统设计相结合

 结构(数据)设计：设计数据库框架或数据库结构

 行为(处理)设计：设计应用程序、事务处理等

 结构和行为分离的设计

传统的软件工程忽视对应用中数据语义的分析和抽象，只要有可能就尽量推迟数据结构设计的决策早期的数据库设计致力于数据模型和建模方法研究，忽视了对行为的设计。

2.2 数据库设计

基本表设计

在基于表驱动的信息管理系统（MIS）中，基本表的设计规范是第三范式（3NF）。第三范式的基本特征是非主键属性只依赖于主键属性。基于第三范式的数据库表设计具有很多优点：一是消除了冗余数据，节省了磁盘存储空间；二是有良好的数据完整性限制，即基于主外键的参照完整限制和基于主键的实体完整性限制，这使得数据容易维护，也容易移植和更新；三是数据的可逆性好，在做连接（Join）查询或者合并表时不遗漏、也不重复；四是因消除了冗余数据（冗余列）， 在查询（Select）时每个数据页存的数据行就多，这样就有效地减少了逻辑I/O，每个Cash存的页面就多，也减少物理I/O；五是对大多数事务(Transaction)而言，运行性能好；六是物理设计(Physical Design)的机动性较大，能满足日益增长的用户需求。

在基本表设计中，表的主键、外键、索引设计占有非常重要的地位，但系统设计人员往往只注重于满足用户要求，而没有从系统优化的高度来认识和重视它们。实际上，它们与系统的运行性能密切相关。

基于第三范式设计的库表虽然有其优越性（见本文第一部分），然而在实际应用中有时不利于系统运行性能的优化：如需要部分数据时而要扫描整表，许多过程同时竞争同一数据，反复用相同行计算相同的结果，过程从多表获取数据时引发大量的连接*作，当数据来源于多表时的连接*作；这都消耗了磁盘I/O和CPU时间。

尤其在遇到下列情形时，我们要对基本表进行扩展设计：许多过程要频繁访问一个表、子集数据访问、重复计算和冗余数据，有时用户要求一些过程优先或低的响应时间。

如何避免这些不利因素呢？根据访问的频繁程度对相关表进行分割处理、存储冗余数据、存储衍生列、合并相关表处理，这些都是克服这些不利因素和优化系统运行的有效途径。

数据库设计策略

数据库对象的放置策略是均匀地把数据分布在系统的磁盘中，平衡I/O访问，避免I/O瓶颈。

1) 访问分散到不同的磁盘，即使用户数据尽可能跨越多个设备，多个I/O运转，避免I/O竞争，克服访问瓶颈；分别放置随机访问和连续访问数据。

2) 分离系统数据库I/O和应用数据库I/O。把系统审计表和临时库表放在不忙的磁盘上。

3) 把事务日志放在单独的磁盘上，减少磁盘I/O开销，这还有利于在障碍后恢复，提高了系统的安全性。

4) 把频繁访问的“活性”表放在不同的磁盘上；把频繁用的表、频繁做Join*作的表分别放在单独的磁盘上，甚至把把频繁访问的表的字段放在不同的磁盘上，把访问分散到不同的磁盘上，避免I/O争夺；

5) 利用段分离频繁访问的表及其索引（非聚族的）、分离文本和图像数据。段的目的是平衡I/O，避免瓶颈，增加吞吐量，实现并行扫描，提高并发度，最大化磁盘的吞吐量。利用逻辑段功能，分别放置“活性”表及其非聚族索引以平衡I/O。当然最好利用系统的默认段。另外，利用段可以使备份和恢复数据更加灵活，使系统授权更加灵活。

3. 数据存储

3.1 概述

早期的存储系统是计算机系统的一部分，大多以存储设备形式出现。随着网络的发展，数据的存储也逐渐由单机向多机方式和专用机发展，数据的共享与传递也逐渐从依赖主机系统向依赖网络系统发展。当前，在大型企业应用安装数十台服务器已经很常见。但过于分散的数据资源，会给访问和管理带来困难。

在DAS中，应用与存储是一体化的，通过系统总线访问存储设备；NAS是应用与存储分离的系统，应用服务器通过局域网（LAN访问文件存储系统，通常NAS以标准化访问协议（如NFS提供服务；在SAN中，文件系统与存储系统完全分离，存储系统实际上成为运行应用程序的服务器设备，二者以高速FC连接。中心化数据存储系统是企业信息资源建设的发展趋势。而集中化管理助于减少维护费用并提高效率。

3.2 数据处理和存储系统设计

1. SAN的安全性设计

在SAN存储区域网中的存储设备通常会被多台主机设备所共享，这样，就存在着数据可能会被非法访问的危险。所以，用户在SAN环境下应使用一个绝对可靠的安全管理器，以防止数据的非法访问，达到光纤通道或存储区域网（SAN环境中最大的数据安全性和完整性。EVA磁盘阵列控制器内含的 Secure Manager可以对用户的数据提供可靠的保障。它控制不同主机对不同LUN的访问，可以在阵列内设置LUN许可，以保护敏感的数据。作为一个附加特性，它还可以保护LUN不被未经授权的服务器或用户删除，不管是意外删除还是故意删除。

同时在本方案中的SAN中的核心部件－光纤交换机，也可以通过交换机分区功能实现存储空间的屏蔽功能。即对交换机端口进行分区，保证同一分区间的端口间可以实现数据的传输，不同区的端口相互隔离，即Zoning技术，这也实现了各应用系统的数据访问的隔离，保证了更高的安全性。

2. 存储系统的可靠性设计

作为关键性应用中，设备的可靠性是必须考虑的。在SAN架构中，主机和光纤交换机，和存储设备之间的连接均是冗余的，在带宽扩充基础上，冗余路径间还可实现负载均衡，如果某一通路出现问题，还存在其他路径可供选择，保证系统的可用性。

SAN的存储设备内部，本身也考虑很多系统的高可用性，如EVA磁盘阵列的两个控制器间采用无背板设计，而采用高速冗余链路连接，可完全避免单点故障；EVA磁盘阵列内的磁盘通常是连接到两台光纤环路上或两个控制器上，任一控制器故障不会导致数据无法访问；此外，电源，风扇等也均是冗余的。

3. 存储系统的高可用性设计

保持业务的持续性是当今企业用户进行数据处理需要考虑的一个重要方面，也是企业用户在选择存储系统的重要指标。究其根本，保护业务持续性的重要手段就是提高存储系统的高可用性。高可用性系统必须能够解决各种导致系统失效的意外情况，保护业务应用在7x24小时的时间内的连续运行。

4. 高度的可扩充性设计

基于SAN架构的存储设备，本身具可扩充性，公司的EVA系列可以在线扩充存储容量和处理速度，升级到下一代产品。而且一旦SAN架构构建以后，可以很容易增加存储设备，并且这些存储设备均可以作为一个整体来共享，它们可以作为一个卷或多个卷来共享。在SAN的架构下，存储是独立于应用的。

4. 合同管理

4.1 概述

合同管理（Contract Management），企业的经济往来，主要是通过合同形式进行的。一个企业的经营成败和合同及合同管理有密切关系。企业合同管理是指企业对以自身为当事人的合同依法进行订立、履行、变更、解除、转让、终止以及审查、监督、控制等一系列行为的总称。其中订立、履行、变更、解除、转让、终止是合同管理的内容；审查、监督、控制是合同管理的手段。合同管理必须是全过程的、系统性的、动态性的。

系统将合同文档进行统一管理，统一存储合同的模板和制作规范,按事先约定的规则自动生成合同编号；可以作精确的查询和生成统计报告；可以发起合同的串、并行审批流程；可以设定合同的付款提醒；可以作合同的执行分析和付款分析；支持对合同的借阅情况进行管理；只有具备相应权限的人才可以查看或修改合同文档，在确保企业商务数据完整性的同时，也可以避免因个别员工的工作失误或离职造成企业商业信息丢失或泄漏。

4.2 系统总体功能结构

功能说明

一、 系统管理

1. 人员管理

人员信息的登记、维护和查询。

2. 权限管理

权限管理采用角色对功能进行管理。每个用户拥有一个或多个角色，用户登录时，系统根据用户的角色，决定用户的功能权限。

3. 系统配置

进行系统各种运行参数的配置，这些参数包括系统运行参数和各种系统管理参数等。

4. 流程管理

主要进行业务流程的管理，可以根据用户的业务需求对系统的各功能节点进行配置，从而达到业务流程管理的可扩展性和可配置性。

二、 合同管理

1. 合同登记

记录合同的详细资料，主要信息和付款条件等。系统根据用户需要对合同进行自动编号，方便用户查找合同。

2. 合同模版

集中存储所有类型的标准合同模版。

3. 合同拟定

进行合同的拟定。

4. 合同审核

拟定后的合同提交后，具有审核权限的人对合同进行审核，合同审核通过后，合同生效。

5. 合同归档

将合同原件扫描，索引，并上传到系统里。对合同文档原件提供建档管理。

6. 档案管理

系统能够将合同与相关文档进行连接管理，比如将合同与报价单、预算之间建立连接。

7. 合同借阅

对合同的借阅情况进行登记、管理。

8. 合同变更

系统可将合同执行过程中所发生的各种变更的详细资料集中存储，并建立链接。

三、 企业管理

1. 合同查询

可按照项目、合同、时间等多种方式进行批量查询，并可通过流程，进行相关的“付款计划”和“付款审核”操作。

2. 结款信息

 分部门、分时间、项目分支出类别查看项目、合同主数据清单。

 查看所有结款情况清单。

 统计项目、合同总金额、已付款总额、未付款总额。

 按完成标志查看所有完成和未完成的项目、合同清单和金额汇总。

3. 合同分析

对合同生成索引卡报告，报告内容可以包括：业主、合同金额、是否结算、项目代码等内容。报告可以定期送到管理层手中，从而极大的提高了管理多项目的能力。

4. 企业决策

通过挖掘数据、分析信息，帮助决策者做出科学的决策。

5. 预警管理

通过设置文档提醒，提示用户在指定的时间进行合同付款。

四、 服务接口

根据企业对项目管理和其他系统进行数据交换和业务的各种需求，定制开发一系列的数据服务接口和业务接口。

五、 数据中心

进行统一的数据收集和管理，为日常的业务办理和企业的决策分析提供强有力的数据保障功能，也是其他系统数据和系统数据进行交换和通讯的中心。

5. 系统安全

5.1 概述

信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。信息安全是指信息系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是信息安全的研究领域。

广义的计算机系统安全的范围很广，它不仅包括计算机系统本身，还包括自然灾害（如雷电、地震、火灾等），物理损坏（如硬盘损坏、设备使用寿命到期等），设备故障（如停电、电磁干扰等），意外事故等。

狭义的系统安全包括计算机主机系统和网络系统上的主机、网络设备和某些终端设备的安全问题，主要针对对这些系统的攻击、侦听、欺骗等非法手段的防护。以下所有的计算机系统安全均是狭义的系统安全范畴。

国际互联网络是跨越时空的，所以安全问题也是跨越时空的。虽然我们国家的网络不发达，但是我们遭到的安全危险却是同国外一样的，这是一个很严重的问题。

Internet的不安全因素，来自几个方面。一方面，Internet做为一种技术，是面向所有用户的，所有资源均通过网络共享；另一方面，Internet是开放和标准的。Internet过去主要用于科研和学术，现在已发展为商用阶段，但是它的技术基础是不安全的。在不同的行业，所遭受的攻击因行业和网络服务的不同而不同。在电信或者 ICP市场，进攻服务系统比较多；而在银行业，对数据系统的进攻相对更频繁。

5.2 总体结构

5.3 安全系统设计

网络安全

在企业专网的网关处，安装防火墙系统。通过细化网络信息系统之间的数据交互以及与外部网络的访问服务等具体需求，制定网络信息资源的访问、限制或禁止来自外部网络的非法访问。将网络资源根据安全等级的高低分组，针对组的安全等级制定相应的安全策略，将对外服务器放置于防火墙的DMZ区，实现服务器与内部网络和外部网络的安全隔离等安全策略。总而言之，对内部网络信息系统而言，防火墙主要是实现以下几方面的功能：

控制外部合法用户对内部网络的网络访问；

控制外部合法用户对服务器的访问；

禁止外部非法用户对内部网络的访问；

控制内部用户对外部网络的访问；

阻止外部用户对内部的网络攻击；

防止内部主机的IP欺骗；

对外隐藏内部IP地址和网络拓扑结构；

网络监控；

网络日志审计；

内容过滤；

基于时间的访问控制策略；

安全管理。

防火墙是解决子网的边界安全问题、实现网络访问控制的有效解决方法。防火墙的主要功能包括包过滤和网络地址翻译等。

1. 包过滤

包过滤（Packet Filtering）防火墙是出现最早的一类防火墙。事实上，路由器本身就具有包过滤防火墙的功能。理论上，包过滤器可以配置为根据协议报头的任何部分进行判断，但实际上，大多数的包过滤实现都针对最为有用的数据域：协议类型、IP地址、端口号等。通常源地址、目的地址、协议类型、源端口、目的端口以及包到达或发出的接口等构成包过滤防火墙的基本安全控制和审计手段。

由于简单的包过滤防火墙在安全性方面的缺陷，当前基本上已经被基于状态检查的包过滤防火墙所取代。

状态检查（Stateful Inspection）是介于简单包过滤和应用级代理

之间的一种中间方式，它使用基于维持连接状态和协议信息的复杂过滤器来阻断或通过数据包，成为当前主流防火墙优先采用的工作方式。

2. 网络地址翻译

网络地址翻译（Network Address Translation），又称 IP伪装（IP Masquerade），它通过将内部主机的 IP地址翻译到外部网络的 IP地址，从而达到隐藏内部主机 TCP/IP层次信息的目的。NAT允许在内部网络中使用任何网络运行者希望的 IP网络地址。NAT技术的出现带来网络安全的同时，在很大程度也缓解了当前 Internet中 IP地址匮乏的问题，为网络设计和建设带来了巨大的方便。

按照地址翻译的工作方式， NAT又可分为以下几种：静态翻译（Static NAT），每一个内部地址对应一个外部地址，也简称为 1:1 NAT。此时，地址翻译带来的安全性、节约地址方面的优点全部消失。但是，在内部网络存在对外提供服务的服务器主机时，静态翻译非常必要。

物流交易动态翻译（Dynamic NAT），大段的内部网络地址对应于一个或者一小段外部网络地址。根据实施的细节又可分为 N:1和 N:M(N>M)两种方式。

3. 应用代理

应用代理（Application Proxy）防火墙的工作方式不同于包过滤防火墙，它首先对带有代理并且按照策略规则允许通过的数据包接收并重新产生，然后忽略掉那些没有相应代理的数据包。因为它阻断了内外的直接网络连接，在应用层，所以应用代理可以提供比包过滤防火墙更为细致的网络安全策略和更好的安全水平。

通常，最为常用的应用代理是 Telnet,FTP,SMTP,HTTP等。

4. 身份认证

身份认证（Authentication）技术能够识别从外部网进来访问的用户的身份，从而决定是否运行它们访问内部网络，达到在用户级进行访问控制、对安全策略进行细化的目的。

5. 虚拟专网

虚拟专网（ VPN）帮助用户在不安全的公网上面建设一个相对安全的、接近于专用网络的通信环境。虚拟专网使用以下几个基本安全功能来实现：IP封装、加密的身份认证、数据包净荷加密等。

一般来说，局域网之间的虚拟专网可以通过服务器计算机、防火墙、路由器等来建立。单纯的虚拟专网并不能提供有效的保护，与防火墙的结合可以很大程度上提高虚拟专网的安全性。所以，虚拟专网成为当代防火墙的一个重要功能。

6. 主机安全

主机是整个安全防护的承载体。对主机系统的保护成为网络安全防御中的重中之重。多数的网络攻击和入侵目标是网络中的主机系统。本建议书中的主机系统是指企业网中用以内部办公、提供平台服务以及辅助服务的 UNIX类、WINDOWS 9X/NT/2000类服务器、工作站以及个人 PC机。结合业界丰富的电信网络安全经验，认为经过安全加固配置的主机操作系统构成了保护主机系统的基础。通常缺省安装配置下的主机网络操作系统面临着来自网络和内部恶意用户的收集信息攻击、猜测口令攻击、拒绝服务攻击、（远程和本地）缓冲区溢出攻击等巨大威胁，缺省配置下的操作系统服务无法有效识别系统中的特洛异木马程序和入侵者安装的黑客后门程序等，无法准确记录和定位攻击和入侵者的“足迹”。

数据传输安全

企业数据传输需要通过有必要充分考虑数据在传输中的安全性，保障数据在公共网络传输中的机密性、可用性以及完整性。

企业网络系统由数据库服务器、web服务器、资源管理等构成，提供自动传输与监控、文件加密/解密、带宽限制、断点续传、完整性校验、传输前后文件内容规则校验等各项技术和管理机制，实现对跨平台的各类大文件、批量文件、文件夹数据的安全、可靠、高效、统一、可管控传输。主要包括以下几个部分组成：

一、 基础平台

提供数据传输平台的所有基础服务功能，它是整个平台的核心。

 传输服务：由传输服务器和传输终端组成，对所有的数据提供落地、非落地的SOCKET数据传输功能。

 支持服务：由web服务器提供服务，web终端进行操作来定制、保存及控制传输流程。

 认证服务：由web服务器、管理服务器和传输服务器共同组成，提供节点认证、数据加密解密传输等功能。

二、 安全传输策略

由web服务器提供数据传输过程中的所有安全策略的制定功能。包括用户的身份认证、访问策略（粗粒度的菜单控制及细粒度的目录及文件控制策略）、传输协议（SSL）、应用层的加密解密等。

三、 资源管理

提供对数据传输过程中各种系统资源分配策略的功能。

四、 系统管理

系统角色的设定、系统权限的分配及系统配置信息的设定、解析等功能，由web服务器提供。