電子政務(wù)協(xié)同辦公及門戶網(wǎng)站集成系統(tǒng)建設(shè)項(xiàng)目總體方案設(shè)計(jì)

電子政務(wù)協(xié)同辦公及門戶網(wǎng)站集成系統(tǒng)建設(shè)項(xiàng)目總體方案設(shè)計(jì)設(shè)計(jì)思路以一體化系統(tǒng)建設(shè)，實(shí)現(xiàn)市辦公部門的縱橫互聯(lián)互通、信息共享和業(yè)務(wù)協(xié)同為目標(biāo)，進(jìn)行系統(tǒng)化設(shè)計(jì)：對門戶網(wǎng)站、辦公系統(tǒng)、事務(wù)管理系統(tǒng)進(jìn)行一體化設(shè)計(jì)，使各子系統(tǒng)功能協(xié)調(diào)、共享信息、運(yùn)行流暢，支持政府整體工作效能的提高；將功能與信息資源的設(shè)計(jì)綜合考慮，以形成包括信息資源庫和相關(guān)應(yīng)用系統(tǒng)在內(nèi)的信息資源共建共享體系，以保持共享信息資源鮮活性和使用價(jià)值。以發(fā)展的觀點(diǎn)設(shè)計(jì)系統(tǒng)。本系統(tǒng)從用戶范圍和功能涵蓋上看其規(guī)模很龐大，但這種規(guī)模是逐漸地、階段性地?cái)U(kuò)大的，無論在系統(tǒng)架構(gòu)上，還是在設(shè)備選型決策上，都應(yīng)該充分地考慮到這一點(diǎn)，才能使系統(tǒng)建設(shè)很好兼顧經(jīng)濟(jì)性、實(shí)用性、可擴(kuò)展性和先進(jìn)性。將系統(tǒng)的可靠性、實(shí)用性、易用性放在第一位。無論在技術(shù)架構(gòu)、產(chǎn)品選型、系統(tǒng)設(shè)計(jì)和技術(shù)支持上都將給以充分重視。系統(tǒng)總體架構(gòu)業(yè)務(wù)體系結(jié)構(gòu)公務(wù)員辦公門戶及集成系統(tǒng)是建設(shè)在政務(wù)外網(wǎng)上的、用于政府及各部門之間協(xié)同辦公各項(xiàng)功能的集成系統(tǒng)。該系統(tǒng)的用戶為全市公務(wù)員，含縣鄉(xiāng)。對于已建有內(nèi)部辦公系統(tǒng)的部門，該系統(tǒng)提供在數(shù)據(jù)和應(yīng)用層面進(jìn)行整合，對于未建內(nèi)部辦公系統(tǒng)的部門，則直接使用該系統(tǒng)處理日常事務(wù)。按照招標(biāo)要求，系統(tǒng)依托市電子政務(wù)支撐平臺建設(shè)，基于應(yīng)用支撐平臺提供的數(shù)據(jù)交換平臺、工作流平臺、交流協(xié)作平臺，實(shí)現(xiàn)其各項(xiàng)功能服務(wù)和對應(yīng)用系統(tǒng)的整合。以下通過描述公務(wù)員辦公門戶及集成系統(tǒng)與周邊環(huán)境的關(guān)系，進(jìn)行了自身定位。圖3-1公務(wù)員辦公門戶及集成系統(tǒng)的業(yè)務(wù)體系結(jié)構(gòu)與中國門戶網(wǎng)站的互動(dòng)公務(wù)員辦公門戶與中國門戶網(wǎng)站的互動(dòng)關(guān)系：公務(wù)員可直接在辦公平臺受理中國門戶網(wǎng)站上市民的投訴，并反饋處理結(jié)果。行政審批事項(xiàng)的受理也可以通過辦公門戶辦理，但需要在行政審批項(xiàng)目中進(jìn)行具體的設(shè)計(jì)。能將公務(wù)員辦公門戶上可對外公布的信息及資源發(fā)送到中國門戶網(wǎng)站，使公務(wù)員辦公門戶成為中國門戶網(wǎng)站的重要信息來源。與應(yīng)用支撐平臺的關(guān)系在建的應(yīng)用支撐平臺是市電子政務(wù)的核心基礎(chǔ)設(shè)施，可歸納為四個(gè)方面：應(yīng)用支撐平臺為辦公門戶及集成系統(tǒng)提供技術(shù)基礎(chǔ)支撐。應(yīng)用支撐平臺為辦公門戶及集成系統(tǒng)提供電子郵件、搜索引擎、短信、即時(shí)消息、視頻等功能支持服務(wù)。既避免了這些功能產(chǎn)品的重復(fù)采購，更有利于全市電子政務(wù)的標(biāo)準(zhǔn)化規(guī)范化運(yùn)行。應(yīng)用支撐平臺為辦公門戶及集成系統(tǒng)提供統(tǒng)一的用戶管理服務(wù)，避免了用戶信息因分頭管理而造成的重復(fù)和錯(cuò)誤，可保證用戶信息的一致性和唯一性。應(yīng)用支撐平臺是市電子政務(wù)數(shù)據(jù)交換的樞紐和業(yè)務(wù)協(xié)同的中心。應(yīng)用支撐平臺為市眾多已有的和新建的分布式應(yīng)用系統(tǒng)提供跨部門、跨應(yīng)用系統(tǒng)的數(shù)據(jù)交換服務(wù)和業(yè)務(wù)協(xié)同管理?？蔀楫悩?gòu)應(yīng)用系統(tǒng)的集成提供良好支持。與各分布式應(yīng)用系統(tǒng)的關(guān)系通過市公務(wù)員辦公門戶及集成系統(tǒng)具有集成功能。有跨部門信息共享和業(yè)務(wù)系統(tǒng)的分布式應(yīng)用系統(tǒng)，可通過應(yīng)用支撐平臺和辦公門戶實(shí)現(xiàn)集成。與省、縣區(qū)、部門辦公系統(tǒng)的關(guān)系縣區(qū)可建設(shè)本縣區(qū)公務(wù)員辦公平臺。沒有建設(shè)縣區(qū)辦公平臺的縣區(qū)公務(wù)員可登錄市辦公平臺上工作。建有部門辦公系統(tǒng)的部門公務(wù)員登錄本部門辦公門戶工作。沒有辦公系統(tǒng)的部門公務(wù)員可登錄市辦公平臺上工作。本系統(tǒng)將通過應(yīng)用支撐平臺實(shí)現(xiàn)與省辦公系統(tǒng)、部門辦公系統(tǒng)、縣區(qū)辦公平臺的信息交換，滿足三級互聯(lián)的需求。系統(tǒng)總體框架圖3-2公務(wù)員門戶及集成系統(tǒng)總體框架系統(tǒng)呈四橫兩縱結(jié)構(gòu)，即基礎(chǔ)平臺、應(yīng)用支撐平臺、應(yīng)用系統(tǒng)、門戶，安全體系、標(biāo)準(zhǔn)規(guī)范體系。其中基礎(chǔ)平臺、應(yīng)用支撐平臺的建設(shè)市已有安排?？傮w框架中的標(biāo)準(zhǔn)化體系包含了基礎(chǔ)平臺、信息資源、支撐平臺、應(yīng)用和門戶展現(xiàn)等5個(gè)層面。其中基礎(chǔ)平臺、應(yīng)用支撐平臺外，其他三個(gè)層面都屬于本項(xiàng)目建設(shè)范圍。本系統(tǒng)基于SOA架構(gòu)建立，系統(tǒng)的標(biāo)準(zhǔn)規(guī)范體系在第7章中描述。同樣，總體框架中的安全體系也概括了上述5個(gè)層面。本項(xiàng)目范圍內(nèi)最重要的安全建設(shè)內(nèi)容包括“用戶管理與身份認(rèn)證、權(quán)限管理、IP控制、備份/恢復(fù)等”，在系統(tǒng)管理模式一節(jié)做了描述。同時(shí)在第8章提出了對環(huán)境的安全要求。公務(wù)員辦公門戶系統(tǒng)建立在市電子政務(wù)應(yīng)用支撐平臺之上，由電子政務(wù)應(yīng)用支撐平臺對系統(tǒng)提供底層支持。電子政務(wù)應(yīng)用支撐平臺為電子政務(wù)提供統(tǒng)一的用戶管理，其用戶和組織結(jié)構(gòu)信息保持一致性，避免冗余、錯(cuò)誤和不一致。統(tǒng)一用戶管理系統(tǒng)應(yīng)用支撐平臺負(fù)責(zé)建立與維護(hù)，并為公務(wù)員辦公門戶系統(tǒng)提供接口支持。各應(yīng)用系統(tǒng)可構(gòu)建自身的用戶管理模塊，其用戶信息從統(tǒng)一的用戶管理庫中揀選。OA系統(tǒng)中的即時(shí)通訊、短信利用市電子政務(wù)統(tǒng)一協(xié)同交流平臺提供的相關(guān)功能實(shí)現(xiàn)。OA系統(tǒng)中的電子郵件為面向公務(wù)員的郵件客戶端，后臺郵件服務(wù)器利用市電子政務(wù)統(tǒng)一協(xié)同交流平臺提供的郵件服務(wù)。OA系統(tǒng)通過應(yīng)用支撐平臺實(shí)現(xiàn)與其它系統(tǒng)的數(shù)據(jù)集成、應(yīng)用集成。具體描述詳見以下章節(jié)。技術(shù)路線選擇采用面向服務(wù)的架構(gòu)（SOA）；多層架構(gòu)；中間件技術(shù)；XML標(biāo)準(zhǔn)；采用J2EE結(jié)構(gòu)，門戶和中間件采用與省電子政務(wù)一致的SharePoint和東方通產(chǎn)品支持WebServices；采用Portal技術(shù)和產(chǎn)品；技術(shù)體系結(jié)構(gòu)面向服務(wù)的架構(gòu)(SOA)本質(zhì)上說，電子政務(wù)系統(tǒng)與其他應(yīng)用系統(tǒng)對中間件的要求基本上是一致的：能提供一個(gè)統(tǒng)一的IT架構(gòu)，使信息、IT資產(chǎn)和業(yè)務(wù)流程能夠自由、安全地流動(dòng)，為業(yè)務(wù)提供最佳支持。要實(shí)現(xiàn)這一目標(biāo)，需要從兩個(gè)方面著手：首先要建立一種戰(zhàn)略，來簡化企業(yè)IT并使企業(yè)的IT資產(chǎn)能夠自由、安全地流動(dòng)，從而從基礎(chǔ)架構(gòu)上保證企業(yè)IT的靈活性和適應(yīng)性，而不是被動(dòng)地響應(yīng)業(yè)務(wù)的需求；其次是要采用相應(yīng)的技術(shù)手段，為企業(yè)信息系統(tǒng)構(gòu)建起一個(gè)完善的服務(wù)基礎(chǔ)架構(gòu)平臺，使信息、企業(yè)IT資產(chǎn)、業(yè)務(wù)流程都能實(shí)現(xiàn)共享和重用。面向服務(wù)的架構(gòu)(SOA)是實(shí)現(xiàn)上述目標(biāo)的最佳途徑，它可以將原來各自為政的IT系統(tǒng)有機(jī)地整合起來，實(shí)現(xiàn)信息、IT資產(chǎn)的共享和重用。傳統(tǒng)的應(yīng)用集成方法（點(diǎn)對點(diǎn)集成、企業(yè)消息總線或中間件的集成（EAI）、基于業(yè)務(wù)流程的集成）都很復(fù)雜、昂貴，并且不靈活。這些集成方法難于快速適應(yīng)基于企業(yè)現(xiàn)代業(yè)務(wù)變化不斷產(chǎn)生的需求?；诿嫦蚍?wù)架構(gòu)(SOA)的應(yīng)用開發(fā)和集成可以很好的解決其中的許多問題。三層結(jié)構(gòu)采用三層式結(jié)構(gòu)和集中式數(shù)據(jù)管理能通過動(dòng)態(tài)伸縮更好地平衡客戶機(jī)和服務(wù)器上的負(fù)載，減少網(wǎng)絡(luò)上的信息流量，從而提高系統(tǒng)的吞吐量；在連接的客戶機(jī)數(shù)量較多時(shí)，三層模型將以較少的數(shù)據(jù)庫連接數(shù)，降低主機(jī)的資源消耗；同時(shí)，由于在客戶機(jī)和數(shù)據(jù)庫服務(wù)器中間有應(yīng)用服務(wù)器層，可提高數(shù)據(jù)庫中數(shù)據(jù)的安全性；另外，主要業(yè)務(wù)數(shù)據(jù)集中管理，可減輕系統(tǒng)的日常維護(hù)工作。數(shù)據(jù)庫層是網(wǎng)站業(yè)務(wù)系統(tǒng)的中心，是整個(gè)網(wǎng)站的集散地?；谥饕獦I(yè)務(wù)數(shù)據(jù)集中儲(chǔ)存的原則，在數(shù)據(jù)庫層集中了系統(tǒng)的主要數(shù)據(jù)。應(yīng)用服務(wù)器是三層結(jié)構(gòu)中承擔(dān)事物處理的中間環(huán)節(jié)；負(fù)責(zé)數(shù)據(jù)庫操作，接受處理客戶端的親請求，負(fù)責(zé)系統(tǒng)的業(yè)務(wù)邏輯處理以及提供各類應(yīng)用服務(wù)。客戶機(jī)層提供系統(tǒng)的入口，位于系統(tǒng)的最前端。采用以上的三層結(jié)構(gòu)體系和數(shù)據(jù)庫集中管理的設(shè)計(jì)思想，主要有以下優(yōu)點(diǎn)：使一個(gè)數(shù)據(jù)庫服務(wù)器通過應(yīng)用服務(wù)器能夠接受更多的數(shù)據(jù)操作請求。由于在廣域網(wǎng)上傳輸?shù)闹皇强蛻舳讼驊?yīng)用服務(wù)器的請求及應(yīng)答，而不是數(shù)據(jù)庫的連接，加上應(yīng)用服務(wù)器的負(fù)載平衡和動(dòng)態(tài)伸縮的調(diào)度功能，使應(yīng)用服務(wù)器只需要少量的數(shù)據(jù)庫連接（而且是在局域網(wǎng)上）就能夠接受大量的客戶機(jī)端的請求。使數(shù)據(jù)庫的安全性大大提高。由于在客戶機(jī)端的Web服務(wù)器是通過向應(yīng)用服務(wù)器提交請求來獲得數(shù)據(jù)，而其本身并沒有與數(shù)據(jù)庫的接口，即它是無法對數(shù)據(jù)庫進(jìn)行操作的，任何對數(shù)據(jù)庫的操作必須通過應(yīng)用服務(wù)器（也就是通過應(yīng)用程序）才能對數(shù)據(jù)庫進(jìn)行修改，這和用二層結(jié)構(gòu)時(shí)客戶端可以直接操作數(shù)據(jù)庫相比，其數(shù)據(jù)庫的安全性以及其中數(shù)據(jù)的有效性有很大的提高。集中式數(shù)據(jù)庫能夠使管理和維護(hù)的工作量大大減輕。由于采用三層結(jié)構(gòu)，使數(shù)據(jù)庫的集中式管理成為可能，從而大大減輕了各個(gè)子系統(tǒng)的維護(hù)工作量；雖然使系統(tǒng)數(shù)據(jù)庫層的維護(hù)工作量有所增加，但是從總體上看，系統(tǒng)的維護(hù)成本有較大程度的下降。中間件技術(shù)中間件具有以下的一些特點(diǎn)：滿足大量應(yīng)用的需要；運(yùn)行于多種硬件和OS平臺；支持分布式計(jì)算，提供跨網(wǎng)絡(luò)、硬件和OS平臺的透明性的應(yīng)用或服務(wù)的交互功能；支持標(biāo)準(zhǔn)的協(xié)議；支持標(biāo)準(zhǔn)的接口。程序員通過調(diào)用中間件提供的大量API，實(shí)現(xiàn)異構(gòu)環(huán)境的通訊，從而屏蔽異構(gòu)系統(tǒng)中復(fù)雜的操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議。針對不同的操作系統(tǒng)和硬件平臺，它們可以有符合接口和協(xié)議規(guī)范的多種實(shí)現(xiàn)。由于標(biāo)準(zhǔn)接口對于可移植性和標(biāo)準(zhǔn)協(xié)議對于互操作性的重要性，中間件已成為許多標(biāo)準(zhǔn)化工作的主要部分。對于應(yīng)用軟件開發(fā)，中間件遠(yuǎn)比操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)更為重要，中間件提供的程序接口定義了一個(gè)相對穩(wěn)定的高層應(yīng)用環(huán)境，不管底層的計(jì)算機(jī)硬件和系統(tǒng)軟件怎樣更新?lián)Q代，只要將中間件升級更新，并保持中間件對外的接口定義不變，應(yīng)用軟件幾乎不需任何修改，從而保護(hù)了企業(yè)在應(yīng)用軟件開發(fā)和維護(hù)中的重大投資。中間件是一種獨(dú)立的系統(tǒng)軟件或服務(wù)程序，分布式應(yīng)用軟件借助這種軟件在不同的技術(shù)之間共享資源。中間件軟件管理著客戶端程序和數(shù)據(jù)庫或者早期應(yīng)用軟件之間的通訊。中間件在分布式的客戶和服務(wù)之間扮演著承上啟下的角色，如事務(wù)管理、負(fù)載均衡以及基于Web的計(jì)算等。利用這些技術(shù)有助于減輕開發(fā)者的負(fù)擔(dān)，使他們利用現(xiàn)有的硬件設(shè)備、操作系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫管理系統(tǒng)以及對象模型創(chuàng)建分布式應(yīng)用軟件時(shí)更加得心應(yīng)手。由于中間件能夠保護(hù)企業(yè)的投資，保證應(yīng)用軟件的相對穩(wěn)定，實(shí)現(xiàn)應(yīng)用軟件的功能擴(kuò)展；同時(shí)中間件產(chǎn)品在很大程度上簡化了一個(gè)由不同硬件構(gòu)成的分布式處理環(huán)境的復(fù)雜性，所以它的出現(xiàn)正日益引起用戶的關(guān)注，總結(jié)中間件在電子政務(wù)應(yīng)用中的特點(diǎn)如下：1）異構(gòu)系統(tǒng)整合在電子政務(wù)系統(tǒng)建設(shè)中，由于部門比較多，必然會(huì)遇到大量不同硬件平臺、操作系統(tǒng)和應(yīng)用之間互聯(lián)互通的問題。中間件為應(yīng)用屏蔽掉操作系統(tǒng)的處理細(xì)節(jié)，對不同的網(wǎng)絡(luò)環(huán)境具有極強(qiáng)的適應(yīng)能力，負(fù)責(zé)處理異構(gòu)系統(tǒng)間的數(shù)據(jù)格式轉(zhuǎn)換，使不同應(yīng)用間的互連、互通、互操作成為可能。為應(yīng)用提供統(tǒng)一一致的接口模式，使開發(fā)人員不必關(guān)心異構(gòu)系統(tǒng)所帶來的問題。經(jīng)濟(jì)上保護(hù)原有的設(shè)備投資。2）通訊可靠性保障電子政務(wù)中的公文流轉(zhuǎn)、信息共享等業(yè)務(wù)都涉及大量的網(wǎng)絡(luò)數(shù)據(jù)通訊。中間件負(fù)責(zé)應(yīng)用通訊的通道建立和維護(hù)、數(shù)據(jù)的傳輸和校驗(yàn)、故障恢復(fù)、斷點(diǎn)續(xù)傳等工作以保障應(yīng)用數(shù)據(jù)傳輸?shù)目煽啃浴?）應(yīng)用系統(tǒng)運(yùn)行效率電子政務(wù)系統(tǒng)的正常運(yùn)轉(zhuǎn)必須保障其通訊和處理的性能和效率，這一方面依賴于網(wǎng)絡(luò)帶寬和主機(jī)系統(tǒng)的處理能力，另一方面依賴于對網(wǎng)絡(luò)帶寬和主機(jī)系統(tǒng)的處理能力的有效調(diào)度和控制能力。中間件在以下兩個(gè)方面保障應(yīng)用系統(tǒng)的運(yùn)行效率，降低對系統(tǒng)的硬件要求：通訊效率無論在何種業(yè)務(wù)模式下，保障通訊的效率對提高整個(gè)業(yè)務(wù)系統(tǒng)的性能都具有特別的意義。中間件在通訊時(shí)針對不同的網(wǎng)絡(luò)狀況采用相應(yīng)的流量控制策略，提供壓縮功能以保障數(shù)據(jù)在不同網(wǎng)絡(luò)帶寬下的通訊效率。業(yè)務(wù)處理效率業(yè)務(wù)系統(tǒng)的處理效率取決與通訊的效率、主機(jī)處理的效率和數(shù)據(jù)庫處理的效率。在高并發(fā)性業(yè)務(wù)中，多個(gè)客戶前端可能會(huì)同時(shí)訪問同一個(gè)主機(jī)或數(shù)據(jù)庫，由于其業(yè)務(wù)突發(fā)性，過多的業(yè)務(wù)并發(fā)量會(huì)導(dǎo)致對主機(jī)資源和數(shù)據(jù)庫資源的過度占用從而引發(fā)整個(gè)業(yè)務(wù)系統(tǒng)的運(yùn)行效率下降。中間件通過對業(yè)務(wù)占用主機(jī)資源和數(shù)據(jù)庫資源的有效控制，可以防止低效系統(tǒng)的出現(xiàn)。4）系統(tǒng)可用性電子政務(wù)系統(tǒng)需要避免硬件故障帶來的不利影響，提供7X24小時(shí)的服務(wù)支持。中間件的智能路由能力可以在某點(diǎn)網(wǎng)絡(luò)線路故障發(fā)生時(shí)自動(dòng)切換到其它路徑進(jìn)行通訊傳輸；在某服務(wù)主機(jī)故障發(fā)生時(shí)業(yè)務(wù)處理自動(dòng)交由集群服務(wù)器組的其它主機(jī)來完成。在突發(fā)異常大的業(yè)務(wù)量下不會(huì)導(dǎo)致應(yīng)用系統(tǒng)癱瘓。5）系統(tǒng)伸縮性電子政務(wù)系統(tǒng)不是一成不變的。中間件支持應(yīng)用系統(tǒng)正常運(yùn)行下的應(yīng)用、部門的動(dòng)態(tài)增減、變更。隨著業(yè)務(wù)數(shù)據(jù)量的不斷增加，將面對不斷增加的業(yè)務(wù)壓力。中間件提供了一種簡單快捷的解決方案，只要將多臺機(jī)器配成服務(wù)器組，增加業(yè)務(wù)處理能力，中間件就可以在多臺機(jī)器間進(jìn)行均衡負(fù)載的工作以適應(yīng)不斷變化的業(yè)務(wù)需要6）開發(fā)標(biāo)準(zhǔn)、簡單要保障電子政務(wù)項(xiàng)目得以順利進(jìn)行，需要使開發(fā)工作標(biāo)準(zhǔn)、清晰、簡單有層次，把應(yīng)用開發(fā)從煩瑣的異構(gòu)處理、故障恢復(fù)、效率保障等等工作中解放出來，專注于業(yè)務(wù)的開發(fā)。中間件正是這種能夠使應(yīng)用程序?qū)Ｂ氂跇I(yè)務(wù)，而自身把其它應(yīng)用系統(tǒng)的需求獨(dú)立承擔(dān)起來的產(chǎn)品。7）安全性中間件提供多個(gè)層面的安全功能。在通訊雙方可以進(jìn)行合法性的認(rèn)證防止非法訪問；可以對服務(wù)程序和客戶程序進(jìn)行合法性認(rèn)證以防止非法程序使用；可以對用戶進(jìn)行合法性檢查；對傳輸數(shù)據(jù)可以進(jìn)行加密以防止數(shù)據(jù)失竊。如果與東方通科技公司的安全中間件產(chǎn)品TongSEC配合使用還可以做到數(shù)字簽名起到防抵賴的功能。8）維護(hù)管理簡單方便電子政務(wù)系統(tǒng)涉及的地理范圍廣，為了方便對應(yīng)用和系統(tǒng)的監(jiān)控管理，可以采用中間件的統(tǒng)一管理工具，可以在專門的管理機(jī)上由專人來進(jìn)行統(tǒng)一的管理和維護(hù)。整個(gè)管理工作非常簡單，有中文界面。統(tǒng)一管理工具還可以同其它的網(wǎng)管工具（如OpenView）相集成使用。J2EE體系為了保證系統(tǒng)的高可用性、高可靠性和可擴(kuò)展性，系統(tǒng)必須要選擇支持強(qiáng)大的企業(yè)級計(jì)算的成熟的技術(shù)路線。當(dāng)前能夠滿足這些條件的計(jì)算平臺首推J2EE的企業(yè)標(biāo)準(zhǔn)。J2EE是主流的技術(shù)體系，J2EE已成為一個(gè)工業(yè)標(biāo)準(zhǔn)，圍繞著J2EE有眾多的廠家和產(chǎn)品，其中不乏優(yōu)秀的軟件產(chǎn)品，合理集成以J2EE為標(biāo)準(zhǔn)的軟件產(chǎn)品構(gòu)建信息集成平臺，可以得到較好的穩(wěn)定性、高可靠性和擴(kuò)展性。J2EE技術(shù)的基礎(chǔ)是JAVA語言，JAVA語言的與平臺無關(guān)性，保證了基于J2EE平臺開發(fā)的應(yīng)用系統(tǒng)和支撐環(huán)境可以跨平臺運(yùn)行。XML1)XML概念XML是ExtensibleMarkupLanguage（eXtensibleMarkupLanguage的縮寫，解釋為可擴(kuò)展的標(biāo)記語言）。XML是一套定義語義標(biāo)記的規(guī)則，這些標(biāo)記將文檔分成許多部分并對這部件加以標(biāo)識。它也是元標(biāo)記語言，即定義了用于定義其他與特定領(lǐng)域有關(guān)的、語義的、結(jié)構(gòu)化的標(biāo)記語言的句法語言。通過將結(jié)構(gòu)，內(nèi)容和表現(xiàn)分離，同一個(gè)XML源文檔只寫一次，可以用不同的方法表現(xiàn)出來：在計(jì)算機(jī)屏幕上，在手提電話顯示屏上，在為盲人服務(wù)的設(shè)備上翻譯成語音等等。2)XML的優(yōu)勢天生的跨平臺性。在異構(gòu)系統(tǒng)之間，可以很方便的使用XML來作為交流媒介，XML式簡單易讀，對于各類資料，例如：文章、RDBMS中的信息、圖形和媒介信息等，無論文本信息還是兒進(jìn)制信息，都可以進(jìn)行標(biāo)注和描述。參與信息交換的各個(gè)系統(tǒng)只需要裝有XML解釋器，便可以解讀它系統(tǒng)傳遞過來的信息。XML解釋器可以方便的從Internet上免費(fèi)下載，而且許多XML解釋器采用Java編寫，可以運(yùn)行在各種裝有Java虛擬機(jī)的系統(tǒng)平臺上。采用XML表示的信息具有良好的生命力。SGML是一套有幾十年歷史的國際標(biāo)準(zhǔn)。HTML便是一項(xiàng)SGML的應(yīng)用實(shí)例，Adobe的文字排版工具FrameMaker所用的內(nèi)部格式就是SGML。SGML設(shè)計(jì)的有大目標(biāo)就是提供文檔50年以上的壽命——50年后系統(tǒng)仍然可以方便的訪問該文檔而不要額外的兼容考慮。由于SGML非常復(fù)雜，所以只在一些大型系統(tǒng)中得到了應(yīng)用。XML是SGML精簡后的網(wǎng)絡(luò)版，繼承了SGML的特性，也具有良好的生命力。結(jié)構(gòu)化文檔。XML文檔本身是結(jié)構(gòu)化和自描述的，具有強(qiáng)大的描述能力。使用XML技術(shù)將數(shù)據(jù)和表現(xiàn)進(jìn)行完全的分離，這樣，核心應(yīng)用系統(tǒng)就可以只關(guān)心數(shù)據(jù)而不需要關(guān)心數(shù)據(jù)的表現(xiàn)形式，從而為實(shí)現(xiàn)各種數(shù)據(jù)的自動(dòng)化流轉(zhuǎn)和處理提供了方便的實(shí)現(xiàn)途徑。WebServicesWebServices的出現(xiàn)標(biāo)志著人類已經(jīng)邁入應(yīng)用程序開發(fā)技術(shù)的新紀(jì)元。Web服務(wù)是一種應(yīng)用程序，它可以使用標(biāo)準(zhǔn)的互聯(lián)網(wǎng)協(xié)議，像超文本傳輸協(xié)議(HTTP)和XML，將功能綱領(lǐng)性地體現(xiàn)在互聯(lián)網(wǎng)和企業(yè)內(nèi)部網(wǎng)上?？蓪eb服務(wù)視作Web上的組件編程。實(shí)現(xiàn)Web服務(wù)的異類基本結(jié)構(gòu)以及在整個(gè)Web中實(shí)現(xiàn)Web服務(wù)的關(guān)鍵，是實(shí)現(xiàn)支持簡單數(shù)據(jù)描述格式的技術(shù)。這種格式就是XML。Web服務(wù)必須使用XML來完成三件事情：基本的纜線格式、服務(wù)描述以及“服務(wù)發(fā)現(xiàn)”。SOAP：在通信的最低級別，系統(tǒng)需要使用同一語言。特別，作為通信雙方的應(yīng)用程序需要遵守同一套通信規(guī)則：如何表示不同的數(shù)據(jù)類型（例如：是整數(shù)還是數(shù)組），以及如何表示命令（即：需要對數(shù)據(jù)進(jìn)行何種操作）。另外，在必要的時(shí)候應(yīng)用程序還需對該語言適當(dāng)?shù)臄U(kuò)展。簡單對象訪問協(xié)議(SOAP)是XML的實(shí)施工具，它提供了一套公共規(guī)則集，該規(guī)則集說明了如何表示并擴(kuò)展數(shù)據(jù)和命令。Web服務(wù)描述語言(WSDL)。雙方應(yīng)用程序在得到了如何表示數(shù)據(jù)類型和命令的規(guī)則后，需要對所接收的特定數(shù)據(jù)和命令進(jìn)行有效的描述。僅僅說已接收到整數(shù)是不夠的；比如，在接收到兩個(gè)整數(shù)后，應(yīng)用程序必須明確表述它可以對這兩個(gè)整數(shù)執(zhí)行乘法運(yùn)算操作。Web服務(wù)描述語言(WSDL)是一種XML語法，開發(fā)人員和開發(fā)工具可使用它來表述Web服務(wù)的具體功能?！癝OAP發(fā)現(xiàn)”：在最高層，還需制定一套如何定位服務(wù)描述的規(guī)則：默認(rèn)情況下，用戶或工具能在什么地方找到服務(wù)的功能描述？依據(jù)“SOAP發(fā)現(xiàn)”規(guī)格說明中提供的規(guī)則集，用戶或開發(fā)工具可以自動(dòng)找到服務(wù)的WSDL描述。一旦實(shí)現(xiàn)了這三種功能層，開發(fā)人員便可容易地找到Web服務(wù)，將它例示成一個(gè)對象后再集成進(jìn)應(yīng)用程序中，繼而構(gòu)建出一個(gè)具有豐富功能的基本結(jié)構(gòu)。這樣，得到的應(yīng)用程序便能與Web服務(wù)進(jìn)行反向通信了。采用Portal技術(shù)門戶的概念信息門戶提供統(tǒng)一的標(biāo)準(zhǔn)方式，使得這些必需的信息可以從其不同的存在地點(diǎn)、不同的表現(xiàn)形式中方便地提供給需要這些信息的人，成為用戶快速方便獲取信息的大門。信息門戶表現(xiàn)在用戶面前的，就是一個(gè)簡單的、個(gè)性化的、集成的和統(tǒng)一的界面和環(huán)境。一個(gè)好的信息門戶，它的價(jià)值在于能夠釋放存儲(chǔ)在內(nèi)部的各種信息，使員工、公眾、企業(yè)用戶和合作伙伴能夠利用單一的渠道訪問其所需的個(gè)性化信息。門戶(Portal)本身并不是最終的目的地，而僅僅是通往其它地方的通道。對于不同的人，對門戶內(nèi)涵的理解不盡相同，因此，必須從不同的角度來認(rèn)識。門戶建設(shè)原則信息門戶的設(shè)計(jì)與建設(shè)應(yīng)遵循以下原則：(1)統(tǒng)一考慮，系統(tǒng)可重用。不是簡單的一個(gè)網(wǎng)站，它更多的是一個(gè)體系架構(gòu)，以及為實(shí)施這個(gè)體系架構(gòu)的一套規(guī)范、方法和工具。(2)可用和實(shí)用性。建立信息門戶并不是使用一個(gè)包羅萬象的大應(yīng)用將政府所有現(xiàn)有的應(yīng)用替換，它是建立一個(gè)信息、服務(wù)的集散地。在這個(gè)集散地，將現(xiàn)有的應(yīng)用可以集中展現(xiàn)出來，同時(shí)，用戶可以在這里方便地找到自己需要的信息和服務(wù)。(3)利用成熟的技術(shù)和方法，重在整合。信息門戶和現(xiàn)有系統(tǒng)與網(wǎng)站之間是一個(gè)整合的關(guān)系，已經(jīng)建設(shè)成的信息服務(wù)被納入信息門戶，這是通過向信息門戶提供必要的入口信息，從而通過信息門戶在更廣泛的范圍內(nèi)發(fā)布其服務(wù)，但服務(wù)的內(nèi)容完全由現(xiàn)有的系統(tǒng)提供。這樣，可以最大限度的保護(hù)信息投資和經(jīng)驗(yàn)。(4)可擴(kuò)展性。信息門戶不僅需要將現(xiàn)有的應(yīng)用集成起來，還必須具有良好的可擴(kuò)展性，在新的應(yīng)用，新的需求被提出和完成后，可以比較方便的將其納入整體體系。(5)安全性。信息門戶集中了多方面的信息，但信息并不是對所有人都開放的，安全性就是指必須能夠控制可以利用的信息門戶框架下提供的服務(wù)。并將這種安全性和整個(gè)基礎(chǔ)網(wǎng)絡(luò)架構(gòu)統(tǒng)一起來。使得服務(wù)只能被授權(quán)的用戶獲取。(6)個(gè)性化。信息門戶的個(gè)性化有兩個(gè)層次的意義，首先是內(nèi)容的個(gè)性化，這一點(diǎn)必須由提供服務(wù)的應(yīng)用系統(tǒng)保證，另一個(gè)就是獲取方式的個(gè)性化，信息門戶集中整個(gè)范圍內(nèi)的各種信息和服務(wù)，而每一個(gè)人對信息和服務(wù)的需求是不同的，為了使每一個(gè)人都能從信息門戶中最有效的獲取信息，信息門戶必須具有可由用戶訂制自己所需要服務(wù)的能力。(7)應(yīng)具有強(qiáng)大的搜索功能。企業(yè)信息門戶集成的各類信息非常多，所以，要求搜索引擎可以同時(shí)檢索各類不同的信息。系統(tǒng)管理模式系統(tǒng)管理的主要任務(wù)是保證整個(gè)系統(tǒng)信息安全。信息安全主要分為訪問控制和信息傳輸安全。信息傳輸?shù)陌踩趹?yīng)用支撐平臺實(shí)現(xiàn)，本系統(tǒng)支持信息的加密傳輸和數(shù)字簽名，以信息的機(jī)密性、完整性和操作的不可否認(rèn)性。訪問控制涉及身份認(rèn)證、權(quán)限管理。用戶管理采用集中與分布相結(jié)合的模式實(shí)現(xiàn)。用戶信息、ip地址、數(shù)據(jù)備份、日志統(tǒng)一管理，權(quán)限則由應(yīng)用系統(tǒng)分別管理。用戶與權(quán)限管理模式本系統(tǒng)的用戶和權(quán)限管理采取“用戶信息統(tǒng)一管理、權(quán)限分別授予”模式。統(tǒng)一用戶管理服務(wù)由“市電子政務(wù)應(yīng)用支撐平臺”提供，用戶數(shù)據(jù)庫為各個(gè)應(yīng)用系統(tǒng)共享；每個(gè)應(yīng)用系統(tǒng)從“用戶數(shù)據(jù)庫”選入本應(yīng)用的用戶，給以授權(quán)。這種模式一是可以保證全市用戶數(shù)據(jù)的一致性和唯一性，有利于安全管理；二是避免了功能的重復(fù)；三是為用戶身份的統(tǒng)一認(rèn)證提供了基礎(chǔ)數(shù)據(jù)。統(tǒng)一用戶和組織機(jī)構(gòu)管理提供了用戶和部門的管理，可以方便地調(diào)整部門之間的關(guān)系、用戶與部門之間的從屬關(guān)系；支持角色，并且將角色與部門和個(gè)人相關(guān)聯(lián)；支持部門、角色、人員間的各種關(guān)系，如經(jīng)理、工作代理、角色的協(xié)調(diào)者等。在本系統(tǒng)中可以建立全局的地址簿，但由每個(gè)單位維護(hù)自己的用戶信息。系統(tǒng)可以在全局范圍內(nèi)收發(fā)信息。例如，在發(fā)送公文時(shí)，按照系統(tǒng)的配置，公文發(fā)送給對方的“公文接收者”角色。其它處室可以把外單位的某個(gè)用戶加入自己單位中定義的一個(gè)角色，用于執(zhí)行特定的業(yè)務(wù)操作。由于本系統(tǒng)存在多級單位，并且每個(gè)單位都有多個(gè)處室，因此我們在系統(tǒng)管理上引入了“域”的概念。一個(gè)域是一組資源及其使用者的總稱。系統(tǒng)的管理員可以把整個(gè)系統(tǒng)劃分成多個(gè)域，每個(gè)域指定單獨(dú)的管理員。每個(gè)域的管理員能夠?qū)ψ约河騼?nèi)的資源分配權(quán)限。支持多級部門及人員組織結(jié)構(gòu)。支持一個(gè)部門多個(gè)領(lǐng)導(dǎo)或一個(gè)用戶多個(gè)部門，自動(dòng)處理用戶關(guān)系。提供角色處理功能。支持部門分管領(lǐng)導(dǎo)設(shè)置。支持領(lǐng)導(dǎo)秘書功能。權(quán)限管理具體的角色和權(quán)限因業(yè)務(wù)不同而異，所以權(quán)限管理采取分布模式，由各應(yīng)用系統(tǒng)分別管理。以下是權(quán)限管理模式。有限授權(quán)最多達(dá)5維的用戶權(quán)限定位。角色、部門、關(guān)系等多種身份的用戶組交、并、與或處理滿足任意復(fù)雜的組合。允許通過人員、部門、角色等多種方式進(jìn)行授權(quán)，并支持動(dòng)態(tài)解析。系統(tǒng)屏蔽所有未登錄系統(tǒng)的頁面請求。通過部門、角色、用戶等方式靈活設(shè)置業(yè)務(wù)和工作流的處理權(quán)限。通過工作流引擎的處理動(dòng)態(tài)確定流轉(zhuǎn)實(shí)例針對每一個(gè)用戶的操作權(quán)限。統(tǒng)一的數(shù)據(jù)鏈接訪問，通過數(shù)據(jù)庫平臺提供的安全性保證數(shù)據(jù)安全。分級權(quán)限管理系統(tǒng)可以自由定義二級、三級系統(tǒng)管理員，下級管理員權(quán)限可由上級系統(tǒng)管理人員分配。對管理工作，系統(tǒng)管理員負(fù)責(zé)所管理辦公系統(tǒng)的整體系統(tǒng)管理工作；其他系統(tǒng)功能的管理則由相應(yīng)的各級管理員負(fù)責(zé)，實(shí)現(xiàn)管理工作的分級管理控制。日志管理日志配置模塊提供以下功能：1、新建、修改和刪除新日志信息。2、為系統(tǒng)記錄日志,可作系統(tǒng)日志，記錄系統(tǒng)的訪問人員的IP、時(shí)間、操作等；也可以添加模塊級日志，可查詢定制模塊的訪問記操作。圖：日志設(shè)定用戶根據(jù)權(quán)限可以在前臺隨時(shí)查看系統(tǒng)日志分析圖標(biāo)或者模塊級的日志分析。備份管理數(shù)據(jù)庫的備份，采用數(shù)據(jù)庫管理系統(tǒng)的備份功能實(shí)現(xiàn)。通過設(shè)置備份策略，完成對系統(tǒng)數(shù)據(jù)的備份。IP安全控制系統(tǒng)能夠設(shè)置一定IP地址段范圍內(nèi)的機(jī)器訪問系統(tǒng)，對不在IP地址范圍內(nèi)的無法登陸系統(tǒng)。遠(yuǎn)程辦公身份驗(yàn)證的安全性由網(wǎng)絡(luò)和應(yīng)用同時(shí)提供。同時(shí)系統(tǒng)提供基于IP的敏感性分析功能；如果有人利用系統(tǒng)登陸名稱作嘗試性登陸或者暴力破解密碼，系統(tǒng)會(huì)將該IP的該用戶訪問暫時(shí)屏蔽，由管理員開通后可再次登陸系統(tǒng)。網(wǎng)絡(luò)安全保障設(shè)計(jì)以下從網(wǎng)站環(huán)境安全和可靠性保障設(shè)計(jì)二方面闡述網(wǎng)站安全保障設(shè)計(jì)。網(wǎng)站環(huán)境安全包括網(wǎng)站安全域邊界控制、域內(nèi)安全和安全管理三個(gè)方面。安全通過以下措施解決：利用防火墻解決安全域劃分及安全域邊界控制問題。利用入侵檢測和放病毒解決域內(nèi)環(huán)境安全問題。利用安全管理軟件解決網(wǎng)站安全管理問題。利用雙機(jī)系統(tǒng)提高網(wǎng)站系統(tǒng)的可靠性與可用性。網(wǎng)站應(yīng)用系統(tǒng)安全通過應(yīng)用系統(tǒng)的用戶管理、授權(quán)管理和日志審計(jì)來解決，具體安全措施見“第4章網(wǎng)站技術(shù)實(shí)現(xiàn)”相關(guān)內(nèi)容。利用防火墻解決安全域劃分域邊界控制問題根據(jù)信任域差異，通過一臺防火墻將網(wǎng)站劃分為兩個(gè)不同的網(wǎng)絡(luò)安全域。即政務(wù)外網(wǎng)區(qū)域和局域網(wǎng)域。通過制定嚴(yán)格的安全策略可以很方便地實(shí)現(xiàn)對外網(wǎng)辦公區(qū)、局域網(wǎng)區(qū)域進(jìn)行隔離與訪問控制，并且可以實(shí)現(xiàn)單向或雙向控制，可以有效保障網(wǎng)絡(luò)安全。自適應(yīng)的網(wǎng)絡(luò)接入模式防火墻支持透明橋接、路由、混合接入模式。當(dāng)工作在透明模式時(shí)，防火墻類似于一個(gè)網(wǎng)橋，不需要用戶對網(wǎng)絡(luò)的拓?fù)渥龀鋈魏握{(diào)整；當(dāng)工作在路由模式時(shí)，防火墻類似于一個(gè)路由器，可以提供策略路由功能；防火墻還可以工作在自適應(yīng)的混合模式下，即防火墻的不同端口有的在同一網(wǎng)段上（透明），有的在不同網(wǎng)段上（路由），這樣更方便用戶在各種網(wǎng)絡(luò)環(huán)境的接入。狀態(tài)包過濾防火墻根據(jù)數(shù)據(jù)包的源地址、目標(biāo)地址、協(xié)議類型、源端口、目標(biāo)端口以及網(wǎng)絡(luò)接口等對數(shù)據(jù)包進(jìn)行訪問控制，而且能夠記錄通過防火墻的連接狀態(tài)，直接對分組里的數(shù)據(jù)進(jìn)行處理；具有完備的狀態(tài)檢測表追蹤連接會(huì)話狀態(tài)，并且結(jié)合前后分組里的關(guān)系進(jìn)行綜合判斷決定是否允許該數(shù)據(jù)包通過，通過連接狀態(tài)進(jìn)行更迅速更安全的過濾。支持復(fù)雜動(dòng)態(tài)協(xié)議的狀態(tài)包過濾，通過對協(xié)議內(nèi)容的實(shí)時(shí)分析，動(dòng)態(tài)開放所需的端口，傳輸結(jié)束后實(shí)時(shí)關(guān)閉端口，確保內(nèi)網(wǎng)安全。NAT地址轉(zhuǎn)換支持動(dòng)態(tài)地址轉(zhuǎn)換，支持地址池，即一對一，一對多，多對多；支持靜態(tài)地址轉(zhuǎn)換；支持端口轉(zhuǎn)換，支持動(dòng)態(tài)服務(wù)的映射，允許用戶內(nèi)部服務(wù)對外開放；支持反向IP映射，允許用戶內(nèi)部IP主機(jī)對外開放；支持雙向地址轉(zhuǎn)換（一般應(yīng)用于兩邊權(quán)限對等網(wǎng)絡(luò)中），即源地址和目的地址的同時(shí)轉(zhuǎn)換；支持基于策略（基于協(xié)議、目的地址）的地址轉(zhuǎn)換。預(yù)定義代理和自定義代理防火墻提供豐富的代理功能。預(yù)定義代理包括：HTTP代理能夠?qū)ava、JavaScript、ActiveX進(jìn)行過濾；FTP代理能夠?qū)Χ嗑€程、put和get命令過濾；SMTP代理能夠?qū)︵]件大小、接收人數(shù)限制，并按關(guān)鍵字對郵件主題、郵件正文和附件內(nèi)容、附件名過濾；POP3代理能夠?qū)︵]件大小限制，并按關(guān)鍵字對郵件主題、附件名過濾；支持基于TCP協(xié)議的用戶自定義代理，方便管理員使用。連接限制防火墻提供了四種連接限制：保護(hù)主機(jī)、保護(hù)服務(wù)、限制主機(jī)、限制服務(wù)。連接限制可以保護(hù)服務(wù)器或服務(wù)器上提供的某項(xiàng)服務(wù)，限制對服務(wù)器過于頻繁的訪問。在規(guī)定的時(shí)間內(nèi)，如果某臺主機(jī)訪問服務(wù)器超過了所限制的次數(shù)，則會(huì)對該主機(jī)實(shí)行阻斷，在阻斷時(shí)間段內(nèi)，拒絕其對服務(wù)器的所有訪問。也可以應(yīng)用此功能對使用BT/電驢等連接數(shù)目過大嚴(yán)重影響網(wǎng)絡(luò)流量的用戶加以限制。深度內(nèi)容過濾防火墻具備HTTP、FTP、SMTP、POP3協(xié)議的內(nèi)容過濾功能，保護(hù)終端用戶合法有效地使用各種網(wǎng)絡(luò)資源；支持對網(wǎng)頁中的java、javascrip、activeX等小程序的過濾；支持對郵件的發(fā)收信人地址、人數(shù)、文件大小過濾，及對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等的關(guān)鍵字匹配過濾；支持URL過濾，并支持黑/白名單過濾策略。用戶認(rèn)證防火墻提供協(xié)議層用戶認(rèn)證系統(tǒng)，突破認(rèn)證的服務(wù)種類限制，為包過濾、雙向NAT、代理等訪問控制提供用戶認(rèn)證功能；支持用戶和組管理，支持用戶策略（源IP綁定、可訪問目的IP和服務(wù)），支持對用戶帳號的流量控制和時(shí)間控制；提供與標(biāo)準(zhǔn)的radius服務(wù)器（PAP）聯(lián)動(dòng)的用戶認(rèn)證；提供本地認(rèn)證庫：提供基于角色的用戶策略，并與安全規(guī)則策略配合完成強(qiáng)訪問控制，支持對用戶帳號的流量控制和時(shí)間控制，客戶端可以修改密碼，服務(wù)器端檢查用戶在線狀態(tài)，支持PAP和S/Key認(rèn)證協(xié)議。IP/MAC地址綁定防火墻提供IP/MAC地址綁定檢查功能，防止IP地址盜用，可以設(shè)置綁定的默認(rèn)策略，提供IP/MAC對的唯一性檢查。此外還提供地址對與網(wǎng)口的綁定功能，可以及時(shí)定位盜用合法IP/MAC地址對的非法用戶。防火墻提供IP/MAC自動(dòng)探測功能，可以大大減輕管理員手工收集IP/MAC對的工作量。時(shí)間調(diào)度防火墻可設(shè)定一次性或周期性的調(diào)度規(guī)則，對安全規(guī)則、用戶安全策略等進(jìn)行調(diào)度，給安全管理帶來方便。防火墻的系統(tǒng)時(shí)間可以設(shè)置為與時(shí)鐘服務(wù)器的時(shí)間同步，也可以設(shè)置為與管理主機(jī)的時(shí)間同步?？构裟芰χС謱ΤＲ姽舻臋z測和阻斷，并可以實(shí)現(xiàn)針對ICMP、UDP、TCP的Flood攻擊提交頻度檢查與閾值分析，如針對ICMPFlood完成過濾類型與代碼、頻度、包長檢查，針對UDPFlood完成頻度、包長檢查，針對Synfloood完成頻度檢查。針對最常見的SynFlood攻擊，設(shè)置了SYNproxy以保護(hù)內(nèi)部網(wǎng)絡(luò)和防火墻本身免受此類的拒絕服務(wù)攻擊，提供高安全性和高可用性。與IDS聯(lián)動(dòng)當(dāng)IDS聯(lián)動(dòng)產(chǎn)品發(fā)現(xiàn)入侵攻擊行為時(shí)，會(huì)通知防火墻。如果防火墻相應(yīng)網(wǎng)口啟用了IDS自動(dòng)阻斷功能，則防火墻會(huì)按IDS通知的阻斷方式、阻斷時(shí)間和入侵主機(jī)的相關(guān)信息，對入侵主機(jī)進(jìn)行阻斷。防火墻阻斷方式包括：對“源IP地址”阻斷；對“源IP地址、目的IP地址、目的端口、協(xié)議”阻斷；對“源IP地址、目的IP地址、協(xié)議、方向（單向、雙向、反向）”阻斷；防火墻阻斷協(xié)議包括：TCP/UDP/ICMP和所有協(xié)議（any）。流量整形和帶寬管理防火墻根據(jù)用戶定義的帶寬策略（最大峰值帶寬，最小保證帶寬和優(yōu)先級），動(dòng)態(tài)實(shí)現(xiàn)帶寬分配的實(shí)時(shí)控制。系統(tǒng)監(jiān)控防火墻提供全面的系統(tǒng)狀態(tài)監(jiān)控，可以讓管理員清楚地了解網(wǎng)絡(luò)中接口流量統(tǒng)計(jì)、最大連接數(shù)量的IP等信息，并且能夠及時(shí)發(fā)現(xiàn)被網(wǎng)絡(luò)蠕蟲病毒感染的主機(jī)，配合連接限制，進(jìn)行實(shí)時(shí)阻斷。利用入侵檢測和放病毒解決域內(nèi)環(huán)境安全問題入侵檢測目的入侵保護(hù)系統(tǒng)具有協(xié)議識別、協(xié)議異常檢測、關(guān)聯(lián)分析能力，能夠協(xié)助客戶實(shí)現(xiàn)：網(wǎng)絡(luò)防護(hù)：具有實(shí)時(shí)的、主動(dòng)的網(wǎng)絡(luò)防護(hù)功能，內(nèi)置基于狀態(tài)檢測的防火墻，保護(hù)網(wǎng)絡(luò)邊界和內(nèi)部網(wǎng)絡(luò)，同時(shí)為網(wǎng)絡(luò)設(shè)備的漏洞提供防護(hù)，具有流量管理功能，對于可能出現(xiàn)的異常流量，提供抗拒絕服務(wù)攻擊功能。應(yīng)用防護(hù)：提供對應(yīng)用層的防護(hù)功能，針對操作系統(tǒng)，應(yīng)用軟件以及數(shù)據(jù)庫，提供深度的內(nèi)容檢測技術(shù),過濾報(bào)文里的惡意流量和攻擊行為，保護(hù)存在的漏洞，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機(jī)。內(nèi)容管理：對企業(yè)內(nèi)部網(wǎng)絡(luò)資源提供內(nèi)容管理，可以有效檢測并阻斷間諜軟件，包括木馬后門、惡意程序和廣告軟件等，并可以對即時(shí)通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻、網(wǎng)絡(luò)流媒體等內(nèi)容進(jìn)行監(jiān)控并阻斷。入侵檢測保護(hù)手段入侵保護(hù)技術(shù)：支持IP碎片重組、TCP流匯聚、TCP狀態(tài)跟蹤、協(xié)議識別、協(xié)議分析、協(xié)議異常檢測、特征檢測、關(guān)聯(lián)分析、流量異常檢測、拒絕服務(wù)攻擊檢測。入侵保護(hù)類型：緩沖區(qū)溢出、SQL注入、暴力猜測、拒絕服務(wù)、掃描探測、非授權(quán)訪問、蠕蟲病毒，木馬后門、間諜軟件，僵尸網(wǎng)絡(luò)、IM即時(shí)通訊，網(wǎng)絡(luò)在線游戲，在線視頻，P2P下載、網(wǎng)絡(luò)流媒體響應(yīng)方式：丟棄數(shù)據(jù)包、丟棄會(huì)話、防火墻聯(lián)動(dòng)、TCPKiller、發(fā)送郵件、控制臺顯示、日志數(shù)據(jù)庫記錄、打印機(jī)輸出、運(yùn)行用戶自定義命令、寫入XML文件、snmptrap（V1、V2、V3）入侵檢測部署方案入侵檢測設(shè)備類似二層交換機(jī)一樣，采用一進(jìn)多出或多進(jìn)多出的方式，同時(shí)與不同網(wǎng)段相連接，進(jìn)行數(shù)據(jù)交換；實(shí)時(shí)監(jiān)測各網(wǎng)段之間的各種流量，提供從網(wǎng)絡(luò)層、應(yīng)用層到內(nèi)容層的深度安全防護(hù)。圖STYLEREF1\s3SEQ圖\*ARABIC\s11入侵檢測系統(tǒng)部署方案部署防病毒系統(tǒng)門戶網(wǎng)站應(yīng)部署放病毒系統(tǒng)。利用安全管理軟件解決網(wǎng)站安全管理問題防火墻是網(wǎng)站安全管理的重點(diǎn)，利用防火墻系統(tǒng)提供的安全管理軟件，可以方便的實(shí)現(xiàn)以下功能。網(wǎng)站安全管理方案防火墻提供Web管理方式（通過網(wǎng)口）、CLI命令行管理方式（通過串口），同時(shí)還支持遠(yuǎn)程撥號（PPP）管理方式。上述三種管理方式是一直打開的。另外，防火墻還提供通過SSH登錄對防火墻以命令行方式進(jìn)行遠(yuǎn)程管理的功能，此管理方式管理員有權(quán)進(jìn)行添加和刪除。分級權(quán)限的安全管理防火墻提供分級安全管理機(jī)制，系統(tǒng)分為超級管理員、配置管理員、策略管理員、審計(jì)管理員四個(gè)等級。通過管理員身份認(rèn)證（電子鑰匙認(rèn)證或證書認(rèn)證）、管理主機(jī)限制、防火墻管理IP限制、防火墻管理方式定義（web管理/命令行管理/SSH方式/PPP+SSH連接）、配置信息加密（支持SSL協(xié)議和SSH協(xié)議），提供方便且安全的配置管理。日志審計(jì)和日志服務(wù)器防火墻各功能模塊都可以提供標(biāo)準(zhǔn)格式的日志記錄。默認(rèn)情況下，日志存儲(chǔ)在防火墻本地，也可以將日志直接發(fā)往日志服務(wù)器。隨機(jī)提供的日志服務(wù)器軟件可以實(shí)現(xiàn)強(qiáng)大的存儲(chǔ)和審計(jì)功能，方便管理員對日志進(jìn)行查詢和管理。流量整形和帶寬管理防火墻采用先進(jìn)的擁塞控制算法、流量調(diào)度算法以及優(yōu)先級排隊(duì)機(jī)制，根據(jù)用戶定義的帶寬策略（最大峰值帶寬，最小保證帶寬和優(yōu)先級），動(dòng)態(tài)實(shí)現(xiàn)帶寬分配的實(shí)時(shí)控制。具有以下特點(diǎn)：最大限制帶寬：可以對用戶IP地址、服務(wù)等通過防火墻的帶寬進(jìn)行限制，例如：限制某個(gè)用戶對外訪問最大帶寬，或者訪問某種服務(wù)的最大帶寬。最小保證帶寬：保證網(wǎng)絡(luò)中重要服務(wù)或者重要用戶的帶寬不被其他服務(wù)或者用戶占用，從而保證了重要數(shù)據(jù)優(yōu)先通過網(wǎng)絡(luò)。優(yōu)先級控制：防火墻可以設(shè)定4個(gè)優(yōu)先級（0-3），在擁塞情況下，可以進(jìn)行更加細(xì)致的流量控制。全面的系統(tǒng)監(jiān)控防火墻提供全面的系統(tǒng)狀態(tài)監(jiān)控，可以讓管理員清楚地了解網(wǎng)絡(luò)中接口流量統(tǒng)計(jì)、最大連接數(shù)量的IP等信息，并且能夠及時(shí)發(fā)現(xiàn)被網(wǎng)絡(luò)蠕蟲病毒感染的主機(jī)，配合連接限制，進(jìn)行實(shí)時(shí)阻斷。系統(tǒng)部署市公務(wù)員辦公門戶及集成系統(tǒng)功能眾多，用戶量龐大，系統(tǒng)的部署必須認(rèn)真考慮?？紤]到系統(tǒng)用戶量在起初階段較少，以后則從少到多逐漸增加，系統(tǒng)的并發(fā)訪問量也有個(gè)逐漸增加的過程，因此在起初階段可集中部署，以后隨著實(shí)際運(yùn)行規(guī)模的擴(kuò)大，可考慮適當(dāng)分布式部署。所謂集中式部署，就是全部應(yīng)用系統(tǒng)和數(shù)據(jù)庫都部署在市中心；分布式部署則是多套同構(gòu)系統(tǒng)分別部署到市級各個(gè)部門和縣區(qū)。集中式部署優(yōu)勢是總投資相對較小，統(tǒng)一設(shè)立系統(tǒng)管理部門，減少了各個(gè)部門系統(tǒng)管理人員。但集中式部署的并發(fā)壓力很大，尤其是每日早上一上班的高峰時(shí)段。部署方案起初階段采取集中部署方案。基于系統(tǒng)整體可靠性、經(jīng)濟(jì)性考慮，推薦基于PC服務(wù)器系統(tǒng)的群集和負(fù)載均衡系統(tǒng)解決方案。部署圖如下所示：上述的部署方案中，應(yīng)用層分別形成以辦公門戶和事務(wù)管理及集成為核心的二個(gè)集群系統(tǒng)，由二臺F5構(gòu)成負(fù)載均衡系統(tǒng)，將負(fù)載均衡系統(tǒng)配置集群來支持辦公和事務(wù)管理的負(fù)載均衡，在系統(tǒng)進(jìn)程級解決Web服務(wù)器和應(yīng)用服務(wù)器的高可用性和負(fù)載均衡。在集群部署中，在2個(gè)Web服務(wù)器安裝httpplugin來進(jìn)行Web層面的負(fù)載均衡，2個(gè)辦公應(yīng)用服務(wù)器之間配置Cluster。數(shù)據(jù)庫服務(wù)器2臺，可構(gòu)成雙機(jī)熱備結(jié)構(gòu)。部署Oracle或SQLServer。系統(tǒng)管理服務(wù)器1臺。這種部署策略的優(yōu)勢是，一不會(huì)形成信息孤島，可根據(jù)實(shí)際負(fù)載的增長情況分別增加服務(wù)器數(shù)量，分別集群，有效、經(jīng)濟(jì)、發(fā)展地適應(yīng)業(yè)務(wù)增長帶來的負(fù)載變化。負(fù)載均衡隨著接入應(yīng)用和用戶的增多，服務(wù)器的處理能力和I/O能力將會(huì)成為提供服務(wù)的瓶頸，單臺服務(wù)器的性能有限，多臺服務(wù)器的群集可以提供大量并發(fā)訪問服務(wù)的能力。通過增加服務(wù)器，來分散應(yīng)用和存儲(chǔ)的壓力；通過F5-BIG-LTM-3400BIG-IPLocalTrafficManager來實(shí)現(xiàn)應(yīng)用負(fù)載均衡。負(fù)載均衡建立在和現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)上，網(wǎng)絡(luò)負(fù)載平衡器主要處理客戶的HTTP請求。用戶發(fā)來請求后，通過確定的調(diào)度算法，分配給不同的應(yīng)用服務(wù)器，由多個(gè)應(yīng)用服務(wù)器分別負(fù)擔(dān)系統(tǒng)的負(fù)載，從而實(shí)現(xiàn)系統(tǒng)的可擴(kuò)展性。負(fù)載均衡主要完成以下任務(wù)：解決網(wǎng)絡(luò)擁塞問題，服務(wù)就近提供，實(shí)現(xiàn)地理位置無關(guān)性；為用戶提供更好的訪問質(zhì)量；提高服務(wù)器響應(yīng)速度；提高服務(wù)器和其他資源的利用效率；避免網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點(diǎn)失效。負(fù)載均衡服務(wù)應(yīng)該是交換平臺的內(nèi)部實(shí)現(xiàn)的核心機(jī)制。系統(tǒng)通過負(fù)載均衡來平衡活動(dòng)適配器的個(gè)數(shù)和使用的消息以及轉(zhuǎn)換集成數(shù)據(jù)流中的數(shù)據(jù)的速度，從而可以平衡多個(gè)節(jié)點(diǎn)和機(jī)器數(shù)據(jù)消息的速度，也就是說在一個(gè)機(jī)器或節(jié)點(diǎn)失敗還能自動(dòng)路由消息。所以通過負(fù)載均衡服務(wù)可以對集成數(shù)據(jù)流消除瓶頸和優(yōu)化數(shù)據(jù)流通道。產(chǎn)品選型平臺產(chǎn)品選型原則平臺產(chǎn)品選型符合以下原則：先進(jìn)性：采用目前先進(jìn)的開發(fā)技術(shù)和架構(gòu)（基于組件或面向服務(wù)的架構(gòu)），以保證系統(tǒng)的先進(jìn)性和可擴(kuò)展性、延長平臺的生命周期?？膳渲眯裕禾峁┖啽愕牟僮鞣绞郊翱梢暬僮鹘缑妫子诓渴鹋c操作。提供清晰的二次開發(fā)環(huán)境與接口。開放性：具備跨平臺運(yùn)行支持能力，可以運(yùn)行在多種硬件平臺和操作系統(tǒng)平臺上。支持多平臺操作系統(tǒng)（Linux、Windows、Unix等）和多種數(shù)據(jù)庫（Oracle、SQLServer等）環(huán)境下運(yùn)行。保護(hù)用戶已有投資。穩(wěn)定性：具備良好的系統(tǒng)穩(wěn)定性，確保系統(tǒng)穩(wěn)定、可靠的運(yùn)行。安全性：提供完備的安全保障體系，以確保系統(tǒng)數(shù)據(jù)和系統(tǒng)的安全性。符合標(biāo)準(zhǔn)：遵循國家及相關(guān)行業(yè)標(biāo)準(zhǔn)。軟件選型建議序號名稱型號數(shù)量（套）選型說明1數(shù)據(jù)庫管理系統(tǒng)主流數(shù)據(jù)庫產(chǎn)品1(雙機(jī))本系統(tǒng)支持主流的RDBM產(chǎn)品，如ORACLE、SQLServer、MySQL、達(dá)夢等等2J2EE應(yīng)用服務(wù)器TongWeb4.61(集群)1、國產(chǎn)優(yōu)秀中間件廠商東方通科技公司的優(yōu)秀應(yīng)用服務(wù)器產(chǎn)品。2、與省電子政務(wù)系統(tǒng)保持一致。3內(nèi)容管理系統(tǒng)Co-CMS內(nèi)容管理系統(tǒng)1我公司公司的成熟產(chǎn)品，功能強(qiáng)大，運(yùn)行穩(wěn)定?；诖水a(chǎn)品建立網(wǎng)站，效率高、可快速應(yīng)變。產(chǎn)品成功案例眾多，深受用戶歡迎。產(chǎn)品介紹見附錄。4OA產(chǎn)品公司辦公自動(dòng)化產(chǎn)品1我公司公司的平臺型產(chǎn)品，功能強(qiáng)大，內(nèi)含功能強(qiáng)大的工作流系統(tǒng),產(chǎn)品成熟\運(yùn)行穩(wěn)定?；诖水a(chǎn)品建立OA系統(tǒng)，效率高、可快速應(yīng)變。產(chǎn)品成功案例眾多，深受用戶歡迎。產(chǎn)品介紹見附錄。5門戶產(chǎn)品MicrosoftOfficeSharePointServer2007（MOSS2007）1與省電子政務(wù)系統(tǒng)保持一致。6操作系統(tǒng)Linux2數(shù)據(jù)庫服務(wù)器用windowsxp1系統(tǒng)管理服務(wù)器用Linux或windowsxp2應(yīng)用服務(wù)器用硬件選型建議1、服務(wù)器和存儲(chǔ)設(shè)備選型建議服務(wù)器6臺2臺用于數(shù)據(jù)庫2臺用于應(yīng)用服務(wù)器組成的集群系統(tǒng)。1臺用于Web服務(wù)器、郵件、DNS等應(yīng)用1臺用于系統(tǒng)管理服務(wù)器磁盤柜1臺、磁帶機(jī)1臺編號設(shè)備設(shè)備配置數(shù)量1PC服務(wù)器（數(shù)據(jù)庫服務(wù)器）2*CPU3.2GHz/1MB，5*73.3G硬盤4G內(nèi)存2*HBA卡1*RAID卡22PC服務(wù)器（集群服務(wù)器）2*CPU2*146G硬盤4G內(nèi)存2*HBA卡23PC服務(wù)器（系統(tǒng)管理服務(wù)器）1*CPU160G硬盤2G內(nèi)存2*HBA卡14磁盤陣列4塊146GB10K3.5"SASHot-SwapHDD，最大支持8快以上；2塊FC4GbPCI-E單端口HBA卡；2套4GB短波SFP,根據(jù)需求可選２GBSFP；2條5米光纖線纜LC-LCDS4300MidrangeDisk2T存儲(chǔ)8分區(qū)License15