電子政務(wù)協(xié)同辦公及門戶網(wǎng)站集成系統(tǒng)建設(shè)項目總體方案設(shè)計

電子政務(wù)協(xié)同辦公及門戶網(wǎng)站集成系統(tǒng)建設(shè)項目總體方案設(shè)計設(shè)計思路以一體化系統(tǒng)建設(shè)，實現(xiàn)市辦公部門的縱橫互聯(lián)互通、信息共享和業(yè)務(wù)協(xié)同為目標，進行系統(tǒng)化設(shè)計：對門戶網(wǎng)站、辦公系統(tǒng)、事務(wù)管理系統(tǒng)進行一體化設(shè)計，使各子系統(tǒng)功能協(xié)調(diào)、共享信息、運行流暢，支持政府整體工作效能的提高；將功能與信息資源的設(shè)計綜合考慮，以形成包括信息資源庫和相關(guān)應(yīng)用系統(tǒng)在內(nèi)的信息資源共建共享體系，以保持共享信息資源鮮活性和使用價值。以發(fā)展的觀點設(shè)計系統(tǒng)。本系統(tǒng)從用戶范圍和功能涵蓋上看其規(guī)模很龐大，但這種規(guī)模是逐漸地、階段性地擴大的，無論在系統(tǒng)架構(gòu)上，還是在設(shè)備選型決策上，都應(yīng)該充分地考慮到這一點，才能使系統(tǒng)建設(shè)很好兼顧經(jīng)濟性、實用性、可擴展性和先進性。將系統(tǒng)的可靠性、實用性、易用性放在第一位。無論在技術(shù)架構(gòu)、產(chǎn)品選型、系統(tǒng)設(shè)計和技術(shù)支持上都將給以充分重視。系統(tǒng)總體架構(gòu)業(yè)務(wù)體系結(jié)構(gòu)公務(wù)員辦公門戶及集成系統(tǒng)是建設(shè)在政務(wù)外網(wǎng)上的、用于政府及各部門之間協(xié)同辦公各項功能的集成系統(tǒng)。該系統(tǒng)的用戶為全市公務(wù)員，含縣鄉(xiāng)。對于已建有內(nèi)部辦公系統(tǒng)的部門，該系統(tǒng)提供在數(shù)據(jù)和應(yīng)用層面進行整合，對于未建內(nèi)部辦公系統(tǒng)的部門，則直接使用該系統(tǒng)處理日常事務(wù)。按照招標要求，系統(tǒng)依托市電子政務(wù)支撐平臺建設(shè)，基于應(yīng)用支撐平臺提供的數(shù)據(jù)交換平臺、工作流平臺、交流協(xié)作平臺，實現(xiàn)其各項功能服務(wù)和對應(yīng)用系統(tǒng)的整合。以下通過描述公務(wù)員辦公門戶及集成系統(tǒng)與周邊環(huán)境的關(guān)系，進行了自身定位。圖3-1公務(wù)員辦公門戶及集成系統(tǒng)的業(yè)務(wù)體系結(jié)構(gòu)與中國門戶網(wǎng)站的互動公務(wù)員辦公門戶與中國門戶網(wǎng)站的互動關(guān)系：公務(wù)員可直接在辦公平臺受理中國門戶網(wǎng)站上市民的投訴，并反饋處理結(jié)果。行政審批事項的受理也可以通過辦公門戶辦理，但需要在行政審批項目中進行具體的設(shè)計。能將公務(wù)員辦公門戶上可對外公布的信息及資源發(fā)送到中國門戶網(wǎng)站，使公務(wù)員辦公門戶成為中國門戶網(wǎng)站的重要信息來源。與應(yīng)用支撐平臺的關(guān)系在建的應(yīng)用支撐平臺是市電子政務(wù)的核心基礎(chǔ)設(shè)施，可歸納為四個方面：應(yīng)用支撐平臺為辦公門戶及集成系統(tǒng)提供技術(shù)基礎(chǔ)支撐。應(yīng)用支撐平臺為辦公門戶及集成系統(tǒng)提供電子郵件、搜索引擎、短信、即時消息、視頻等功能支持服務(wù)。既避免了這些功能產(chǎn)品的重復采購，更有利于全市電子政務(wù)的標準化規(guī)范化運行。應(yīng)用支撐平臺為辦公門戶及集成系統(tǒng)提供統(tǒng)一的用戶管理服務(wù)，避免了用戶信息因分頭管理而造成的重復和錯誤，可保證用戶信息的一致性和唯一性。應(yīng)用支撐平臺是市電子政務(wù)數(shù)據(jù)交換的樞紐和業(yè)務(wù)協(xié)同的中心。應(yīng)用支撐平臺為市眾多已有的和新建的分布式應(yīng)用系統(tǒng)提供跨部門、跨應(yīng)用系統(tǒng)的數(shù)據(jù)交換服務(wù)和業(yè)務(wù)協(xié)同管理?？蔀楫悩?gòu)應(yīng)用系統(tǒng)的集成提供良好支持。與各分布式應(yīng)用系統(tǒng)的關(guān)系通過市公務(wù)員辦公門戶及集成系統(tǒng)具有集成功能。有跨部門信息共享和業(yè)務(wù)系統(tǒng)的分布式應(yīng)用系統(tǒng)，可通過應(yīng)用支撐平臺和辦公門戶實現(xiàn)集成。與省、縣區(qū)、部門辦公系統(tǒng)的關(guān)系縣區(qū)可建設(shè)本縣區(qū)公務(wù)員辦公平臺。沒有建設(shè)縣區(qū)辦公平臺的縣區(qū)公務(wù)員可登錄市辦公平臺上工作。建有部門辦公系統(tǒng)的部門公務(wù)員登錄本部門辦公門戶工作。沒有辦公系統(tǒng)的部門公務(wù)員可登錄市辦公平臺上工作。本系統(tǒng)將通過應(yīng)用支撐平臺實現(xiàn)與省辦公系統(tǒng)、部門辦公系統(tǒng)、縣區(qū)辦公平臺的信息交換，滿足三級互聯(lián)的需求。系統(tǒng)總體框架圖3-2公務(wù)員門戶及集成系統(tǒng)總體框架系統(tǒng)呈四橫兩縱結(jié)構(gòu)，即基礎(chǔ)平臺、應(yīng)用支撐平臺、應(yīng)用系統(tǒng)、門戶，安全體系、標準規(guī)范體系。其中基礎(chǔ)平臺、應(yīng)用支撐平臺的建設(shè)市已有安排?？傮w框架中的標準化體系包含了基礎(chǔ)平臺、信息資源、支撐平臺、應(yīng)用和門戶展現(xiàn)等5個層面。其中基礎(chǔ)平臺、應(yīng)用支撐平臺外，其他三個層面都屬于本項目建設(shè)范圍。本系統(tǒng)基于SOA架構(gòu)建立，系統(tǒng)的標準規(guī)范體系在第7章中描述。同樣，總體框架中的安全體系也概括了上述5個層面。本項目范圍內(nèi)最重要的安全建設(shè)內(nèi)容包括“用戶管理與身份認證、權(quán)限管理、IP控制、備份/恢復等”，在系統(tǒng)管理模式一節(jié)做了描述。同時在第8章提出了對環(huán)境的安全要求。公務(wù)員辦公門戶系統(tǒng)建立在市電子政務(wù)應(yīng)用支撐平臺之上，由電子政務(wù)應(yīng)用支撐平臺對系統(tǒng)提供底層支持。電子政務(wù)應(yīng)用支撐平臺為電子政務(wù)提供統(tǒng)一的用戶管理，其用戶和組織結(jié)構(gòu)信息保持一致性，避免冗余、錯誤和不一致。統(tǒng)一用戶管理系統(tǒng)應(yīng)用支撐平臺負責建立與維護，并為公務(wù)員辦公門戶系統(tǒng)提供接口支持。各應(yīng)用系統(tǒng)可構(gòu)建自身的用戶管理模塊，其用戶信息從統(tǒng)一的用戶管理庫中揀選。OA系統(tǒng)中的即時通訊、短信利用市電子政務(wù)統(tǒng)一協(xié)同交流平臺提供的相關(guān)功能實現(xiàn)。OA系統(tǒng)中的電子郵件為面向公務(wù)員的郵件客戶端，后臺郵件服務(wù)器利用市電子政務(wù)統(tǒng)一協(xié)同交流平臺提供的郵件服務(wù)。OA系統(tǒng)通過應(yīng)用支撐平臺實現(xiàn)與其它系統(tǒng)的數(shù)據(jù)集成、應(yīng)用集成。具體描述詳見以下章節(jié)。技術(shù)路線選擇采用面向服務(wù)的架構(gòu)（SOA）；多層架構(gòu)；中間件技術(shù)；XML標準；采用J2EE結(jié)構(gòu)，門戶和中間件采用與省電子政務(wù)一致的SharePoint和東方通產(chǎn)品支持WebServices；采用Portal技術(shù)和產(chǎn)品；技術(shù)體系結(jié)構(gòu)面向服務(wù)的架構(gòu)(SOA)本質(zhì)上說，電子政務(wù)系統(tǒng)與其他應(yīng)用系統(tǒng)對中間件的要求基本上是一致的：能提供一個統(tǒng)一的IT架構(gòu)，使信息、IT資產(chǎn)和業(yè)務(wù)流程能夠自由、安全地流動，為業(yè)務(wù)提供最佳支持。要實現(xiàn)這一目標，需要從兩個方面著手：首先要建立一種戰(zhàn)略，來簡化企業(yè)IT并使企業(yè)的IT資產(chǎn)能夠自由、安全地流動，從而從基礎(chǔ)架構(gòu)上保證企業(yè)IT的靈活性和適應(yīng)性，而不是被動地響應(yīng)業(yè)務(wù)的需求；其次是要采用相應(yīng)的技術(shù)手段，為企業(yè)信息系統(tǒng)構(gòu)建起一個完善的服務(wù)基礎(chǔ)架構(gòu)平臺，使信息、企業(yè)IT資產(chǎn)、業(yè)務(wù)流程都能實現(xiàn)共享和重用。面向服務(wù)的架構(gòu)(SOA)是實現(xiàn)上述目標的最佳途徑，它可以將原來各自為政的IT系統(tǒng)有機地整合起來，實現(xiàn)信息、IT資產(chǎn)的共享和重用。傳統(tǒng)的應(yīng)用集成方法（點對點集成、企業(yè)消息總線或中間件的集成（EAI）、基于業(yè)務(wù)流程的集成）都很復雜、昂貴，并且不靈活。這些集成方法難于快速適應(yīng)基于企業(yè)現(xiàn)代業(yè)務(wù)變化不斷產(chǎn)生的需求。基于面向服務(wù)架構(gòu)(SOA)的應(yīng)用開發(fā)和集成可以很好的解決其中的許多問題。三層結(jié)構(gòu)采用三層式結(jié)構(gòu)和集中式數(shù)據(jù)管理能通過動態(tài)伸縮更好地平衡客戶機和服務(wù)器上的負載，減少網(wǎng)絡(luò)上的信息流量，從而提高系統(tǒng)的吞吐量；在連接的客戶機數(shù)量較多時，三層模型將以較少的數(shù)據(jù)庫連接數(shù)，降低主機的資源消耗；同時，由于在客戶機和數(shù)據(jù)庫服務(wù)器中間有應(yīng)用服務(wù)器層，可提高數(shù)據(jù)庫中數(shù)據(jù)的安全性；另外，主要業(yè)務(wù)數(shù)據(jù)集中管理，可減輕系統(tǒng)的日常維護工作。數(shù)據(jù)庫層是網(wǎng)站業(yè)務(wù)系統(tǒng)的中心，是整個網(wǎng)站的集散地?；谥饕獦I(yè)務(wù)數(shù)據(jù)集中儲存的原則，在數(shù)據(jù)庫層集中了系統(tǒng)的主要數(shù)據(jù)。應(yīng)用服務(wù)器是三層結(jié)構(gòu)中承擔事物處理的中間環(huán)節(jié)；負責數(shù)據(jù)庫操作，接受處理客戶端的親請求，負責系統(tǒng)的業(yè)務(wù)邏輯處理以及提供各類應(yīng)用服務(wù)?？蛻魴C層提供系統(tǒng)的入口，位于系統(tǒng)的最前端。采用以上的三層結(jié)構(gòu)體系和數(shù)據(jù)庫集中管理的設(shè)計思想，主要有以下優(yōu)點：使一個數(shù)據(jù)庫服務(wù)器通過應(yīng)用服務(wù)器能夠接受更多的數(shù)據(jù)操作請求。由于在廣域網(wǎng)上傳輸?shù)闹皇强蛻舳讼驊?yīng)用服務(wù)器的請求及應(yīng)答，而不是數(shù)據(jù)庫的連接，加上應(yīng)用服務(wù)器的負載平衡和動態(tài)伸縮的調(diào)度功能，使應(yīng)用服務(wù)器只需要少量的數(shù)據(jù)庫連接（而且是在局域網(wǎng)上）就能夠接受大量的客戶機端的請求。使數(shù)據(jù)庫的安全性大大提高。由于在客戶機端的Web服務(wù)器是通過向應(yīng)用服務(wù)器提交請求來獲得數(shù)據(jù)，而其本身并沒有與數(shù)據(jù)庫的接口，即它是無法對數(shù)據(jù)庫進行操作的，任何對數(shù)據(jù)庫的操作必須通過應(yīng)用服務(wù)器（也就是通過應(yīng)用程序）才能對數(shù)據(jù)庫進行修改，這和用二層結(jié)構(gòu)時客戶端可以直接操作數(shù)據(jù)庫相比，其數(shù)據(jù)庫的安全性以及其中數(shù)據(jù)的有效性有很大的提高。集中式數(shù)據(jù)庫能夠使管理和維護的工作量大大減輕。由于采用三層結(jié)構(gòu)，使數(shù)據(jù)庫的集中式管理成為可能，從而大大減輕了各個子系統(tǒng)的維護工作量；雖然使系統(tǒng)數(shù)據(jù)庫層的維護工作量有所增加，但是從總體上看，系統(tǒng)的維護成本有較大程度的下降。中間件技術(shù)中間件具有以下的一些特點：滿足大量應(yīng)用的需要；運行于多種硬件和OS平臺；支持分布式計算，提供跨網(wǎng)絡(luò)、硬件和OS平臺的透明性的應(yīng)用或服務(wù)的交互功能；支持標準的協(xié)議；支持標準的接口。程序員通過調(diào)用中間件提供的大量API，實現(xiàn)異構(gòu)環(huán)境的通訊，從而屏蔽異構(gòu)系統(tǒng)中復雜的操作系統(tǒng)和網(wǎng)絡(luò)協(xié)議。針對不同的操作系統(tǒng)和硬件平臺，它們可以有符合接口和協(xié)議規(guī)范的多種實現(xiàn)。由于標準接口對于可移植性和標準協(xié)議對于互操作性的重要性，中間件已成為許多標準化工作的主要部分。對于應(yīng)用軟件開發(fā)，中間件遠比操作系統(tǒng)和網(wǎng)絡(luò)服務(wù)更為重要，中間件提供的程序接口定義了一個相對穩(wěn)定的高層應(yīng)用環(huán)境，不管底層的計算機硬件和系統(tǒng)軟件怎樣更新?lián)Q代，只要將中間件升級更新，并保持中間件對外的接口定義不變，應(yīng)用軟件幾乎不需任何修改，從而保護了企業(yè)在應(yīng)用軟件開發(fā)和維護中的重大投資。中間件是一種獨立的系統(tǒng)軟件或服務(wù)程序，分布式應(yīng)用軟件借助這種軟件在不同的技術(shù)之間共享資源。中間件軟件管理著客戶端程序和數(shù)據(jù)庫或者早期應(yīng)用軟件之間的通訊。中間件在分布式的客戶和服務(wù)之間扮演著承上啟下的角色，如事務(wù)管理、負載均衡以及基于Web的計算等。利用這些技術(shù)有助于減輕開發(fā)者的負擔，使他們利用現(xiàn)有的硬件設(shè)備、操作系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫管理系統(tǒng)以及對象模型創(chuàng)建分布式應(yīng)用軟件時更加得心應(yīng)手。由于中間件能夠保護企業(yè)的投資，保證應(yīng)用軟件的相對穩(wěn)定，實現(xiàn)應(yīng)用軟件的功能擴展；同時中間件產(chǎn)品在很大程度上簡化了一個由不同硬件構(gòu)成的分布式處理環(huán)境的復雜性，所以它的出現(xiàn)正日益引起用戶的關(guān)注，總結(jié)中間件在電子政務(wù)應(yīng)用中的特點如下：1）異構(gòu)系統(tǒng)整合在電子政務(wù)系統(tǒng)建設(shè)中，由于部門比較多，必然會遇到大量不同硬件平臺、操作系統(tǒng)和應(yīng)用之間互聯(lián)互通的問題。中間件為應(yīng)用屏蔽掉操作系統(tǒng)的處理細節(jié)，對不同的網(wǎng)絡(luò)環(huán)境具有極強的適應(yīng)能力，負責處理異構(gòu)系統(tǒng)間的數(shù)據(jù)格式轉(zhuǎn)換，使不同應(yīng)用間的互連、互通、互操作成為可能。為應(yīng)用提供統(tǒng)一一致的接口模式，使開發(fā)人員不必關(guān)心異構(gòu)系統(tǒng)所帶來的問題。經(jīng)濟上保護原有的設(shè)備投資。2）通訊可靠性保障電子政務(wù)中的公文流轉(zhuǎn)、信息共享等業(yè)務(wù)都涉及大量的網(wǎng)絡(luò)數(shù)據(jù)通訊。中間件負責應(yīng)用通訊的通道建立和維護、數(shù)據(jù)的傳輸和校驗、故障恢復、斷點續(xù)傳等工作以保障應(yīng)用數(shù)據(jù)傳輸?shù)目煽啃浴?）應(yīng)用系統(tǒng)運行效率電子政務(wù)系統(tǒng)的正常運轉(zhuǎn)必須保障其通訊和處理的性能和效率，這一方面依賴于網(wǎng)絡(luò)帶寬和主機系統(tǒng)的處理能力，另一方面依賴于對網(wǎng)絡(luò)帶寬和主機系統(tǒng)的處理能力的有效調(diào)度和控制能力。中間件在以下兩個方面保障應(yīng)用系統(tǒng)的運行效率，降低對系統(tǒng)的硬件要求：通訊效率無論在何種業(yè)務(wù)模式下，保障通訊的效率對提高整個業(yè)務(wù)系統(tǒng)的性能都具有特別的意義。中間件在通訊時針對不同的網(wǎng)絡(luò)狀況采用相應(yīng)的流量控制策略，提供壓縮功能以保障數(shù)據(jù)在不同網(wǎng)絡(luò)帶寬下的通訊效率。業(yè)務(wù)處理效率業(yè)務(wù)系統(tǒng)的處理效率取決與通訊的效率、主機處理的效率和數(shù)據(jù)庫處理的效率。在高并發(fā)性業(yè)務(wù)中，多個客戶前端可能會同時訪問同一個主機或數(shù)據(jù)庫，由于其業(yè)務(wù)突發(fā)性，過多的業(yè)務(wù)并發(fā)量會導致對主機資源和數(shù)據(jù)庫資源的過度占用從而引發(fā)整個業(yè)務(wù)系統(tǒng)的運行效率下降。中間件通過對業(yè)務(wù)占用主機資源和數(shù)據(jù)庫資源的有效控制，可以防止低效系統(tǒng)的出現(xiàn)。4）系統(tǒng)可用性電子政務(wù)系統(tǒng)需要避免硬件故障帶來的不利影響，提供7X24小時的服務(wù)支持。中間件的智能路由能力可以在某點網(wǎng)絡(luò)線路故障發(fā)生時自動切換到其它路徑進行通訊傳輸；在某服務(wù)主機故障發(fā)生時業(yè)務(wù)處理自動交由集群服務(wù)器組的其它主機來完成。在突發(fā)異常大的業(yè)務(wù)量下不會導致應(yīng)用系統(tǒng)癱瘓。5）系統(tǒng)伸縮性電子政務(wù)系統(tǒng)不是一成不變的。中間件支持應(yīng)用系統(tǒng)正常運行下的應(yīng)用、部門的動態(tài)增減、變更。隨著業(yè)務(wù)數(shù)據(jù)量的不斷增加，將面對不斷增加的業(yè)務(wù)壓力。中間件提供了一種簡單快捷的解決方案，只要將多臺機器配成服務(wù)器組，增加業(yè)務(wù)處理能力，中間件就可以在多臺機器間進行均衡負載的工作以適應(yīng)不斷變化的業(yè)務(wù)需要6）開發(fā)標準、簡單要保障電子政務(wù)項目得以順利進行，需要使開發(fā)工作標準、清晰、簡單有層次，把應(yīng)用開發(fā)從煩瑣的異構(gòu)處理、故障恢復、效率保障等等工作中解放出來，專注于業(yè)務(wù)的開發(fā)。中間件正是這種能夠使應(yīng)用程序?qū)Ｂ氂跇I(yè)務(wù)，而自身把其它應(yīng)用系統(tǒng)的需求獨立承擔起來的產(chǎn)品。7）安全性中間件提供多個層面的安全功能。在通訊雙方可以進行合法性的認證防止非法訪問；可以對服務(wù)程序和客戶程序進行合法性認證以防止非法程序使用；可以對用戶進行合法性檢查；對傳輸數(shù)據(jù)可以進行加密以防止數(shù)據(jù)失竊。如果與東方通科技公司的安全中間件產(chǎn)品TongSEC配合使用還可以做到數(shù)字簽名起到防抵賴的功能。8）維護管理簡單方便電子政務(wù)系統(tǒng)涉及的地理范圍廣，為了方便對應(yīng)用和系統(tǒng)的監(jiān)控管理，可以采用中間件的統(tǒng)一管理工具，可以在專門的管理機上由專人來進行統(tǒng)一的管理和維護。整個管理工作非常簡單，有中文界面。統(tǒng)一管理工具還可以同其它的網(wǎng)管工具（如OpenView）相集成使用。J2EE體系為了保證系統(tǒng)的高可用性、高可靠性和可擴展性，系統(tǒng)必須要選擇支持強大的企業(yè)級計算的成熟的技術(shù)路線。當前能夠滿足這些條件的計算平臺首推J2EE的企業(yè)標準。J2EE是主流的技術(shù)體系，J2EE已成為一個工業(yè)標準，圍繞著J2EE有眾多的廠家和產(chǎn)品，其中不乏優(yōu)秀的軟件產(chǎn)品，合理集成以J2EE為標準的軟件產(chǎn)品構(gòu)建信息集成平臺，可以得到較好的穩(wěn)定性、高可靠性和擴展性。J2EE技術(shù)的基礎(chǔ)是JAVA語言，JAVA語言的與平臺無關(guān)性，保證了基于J2EE平臺開發(fā)的應(yīng)用系統(tǒng)和支撐環(huán)境可以跨平臺運行。XML1)XML概念XML是ExtensibleMarkupLanguage（eXtensibleMarkupLanguage的縮寫，解釋為可擴展的標記語言）。XML是一套定義語義標記的規(guī)則，這些標記將文檔分成許多部分并對這部件加以標識。它也是元標記語言，即定義了用于定義其他與特定領(lǐng)域有關(guān)的、語義的、結(jié)構(gòu)化的標記語言的句法語言。通過將結(jié)構(gòu)，內(nèi)容和表現(xiàn)分離，同一個XML源文檔只寫一次，可以用不同的方法表現(xiàn)出來：在計算機屏幕上，在手提電話顯示屏上，在為盲人服務(wù)的設(shè)備上翻譯成語音等等。2)XML的優(yōu)勢天生的跨平臺性。在異構(gòu)系統(tǒng)之間，可以很方便的使用XML來作為交流媒介，XML式簡單易讀，對于各類資料，例如：文章、RDBMS中的信息、圖形和媒介信息等，無論文本信息還是兒進制信息，都可以進行標注和描述。參與信息交換的各個系統(tǒng)只需要裝有XML解釋器，便可以解讀它系統(tǒng)傳遞過來的信息。XML解釋器可以方便的從Internet上免費下載，而且許多XML解釋器采用Java編寫，可以運行在各種裝有Java虛擬機的系統(tǒng)平臺上。采用XML表示的信息具有良好的生命力。SGML是一套有幾十年歷史的國際標準。HTML便是一項SGML的應(yīng)用實例，Adobe的文字排版工具FrameMaker所用的內(nèi)部格式就是SGML。SGML設(shè)計的有大目標就是提供文檔50年以上的壽命——50年后系統(tǒng)仍然可以方便的訪問該文檔而不要額外的兼容考慮。由于SGML非常復雜，所以只在一些大型系統(tǒng)中得到了應(yīng)用。XML是SGML精簡后的網(wǎng)絡(luò)版，繼承了SGML的特性，也具有良好的生命力。結(jié)構(gòu)化文檔。XML文檔本身是結(jié)構(gòu)化和自描述的，具有強大的描述能力。使用XML技術(shù)將數(shù)據(jù)和表現(xiàn)進行完全的分離，這樣，核心應(yīng)用系統(tǒng)就可以只關(guān)心數(shù)據(jù)而不需要關(guān)心數(shù)據(jù)的表現(xiàn)形式，從而為實現(xiàn)各種數(shù)據(jù)的自動化流轉(zhuǎn)和處理提供了方便的實現(xiàn)途徑。WebServicesWebServices的出現(xiàn)標志著人類已經(jīng)邁入應(yīng)用程序開發(fā)技術(shù)的新紀元。Web服務(wù)是一種應(yīng)用程序，它可以使用標準的互聯(lián)網(wǎng)協(xié)議，像超文本傳輸協(xié)議(HTTP)和XML，將功能綱領(lǐng)性地體現(xiàn)在互聯(lián)網(wǎng)和企業(yè)內(nèi)部網(wǎng)上?？蓪eb服務(wù)視作Web上的組件編程。實現(xiàn)Web服務(wù)的異類基本結(jié)構(gòu)以及在整個Web中實現(xiàn)Web服務(wù)的關(guān)鍵，是實現(xiàn)支持簡單數(shù)據(jù)描述格式的技術(shù)。這種格式就是XML。Web服務(wù)必須使用XML來完成三件事情：基本的纜線格式、服務(wù)描述以及“服務(wù)發(fā)現(xiàn)”。SOAP：在通信的最低級別，系統(tǒng)需要使用同一語言。特別，作為通信雙方的應(yīng)用程序需要遵守同一套通信規(guī)則：如何表示不同的數(shù)據(jù)類型（例如：是整數(shù)還是數(shù)組），以及如何表示命令（即：需要對數(shù)據(jù)進行何種操作）。另外，在必要的時候應(yīng)用程序還需對該語言適當?shù)臄U展。簡單對象訪問協(xié)議(SOAP)是XML的實施工具，它提供了一套公共規(guī)則集，該規(guī)則集說明了如何表示并擴展數(shù)據(jù)和命令。Web服務(wù)描述語言(WSDL)。雙方應(yīng)用程序在得到了如何表示數(shù)據(jù)類型和命令的規(guī)則后，需要對所接收的特定數(shù)據(jù)和命令進行有效的描述。僅僅說已接收到整數(shù)是不夠的；比如，在接收到兩個整數(shù)后，應(yīng)用程序必須明確表述它可以對這兩個整數(shù)執(zhí)行乘法運算操作。Web服務(wù)描述語言(WSDL)是一種XML語法，開發(fā)人員和開發(fā)工具可使用它來表述Web服務(wù)的具體功能?！癝OAP發(fā)現(xiàn)”：在最高層，還需制定一套如何定位服務(wù)描述的規(guī)則：默認情況下，用戶或工具能在什么地方找到服務(wù)的功能描述？依據(jù)“SOAP發(fā)現(xiàn)”規(guī)格說明中提供的規(guī)則集，用戶或開發(fā)工具可以自動找到服務(wù)的WSDL描述。一旦實現(xiàn)了這三種功能層，開發(fā)人員便可容易地找到Web服務(wù)，將它例示成一個對象后再集成進應(yīng)用程序中，繼而構(gòu)建出一個具有豐富功能的基本結(jié)構(gòu)。這樣，得到的應(yīng)用程序便能與Web服務(wù)進行反向通信了。采用Portal技術(shù)門戶的概念信息門戶提供統(tǒng)一的標準方式，使得這些必需的信息可以從其不同的存在地點、不同的表現(xiàn)形式中方便地提供給需要這些信息的人，成為用戶快速方便獲取信息的大門。信息門戶表現(xiàn)在用戶面前的，就是一個簡單的、個性化的、集成的和統(tǒng)一的界面和環(huán)境。一個好的信息門戶，它的價值在于能夠釋放存儲在內(nèi)部的各種信息，使員工、公眾、企業(yè)用戶和合作伙伴能夠利用單一的渠道訪問其所需的個性化信息。門戶(Portal)本身并不是最終的目的地，而僅僅是通往其它地方的通道。對于不同的人，對門戶內(nèi)涵的理解不盡相同，因此，必須從不同的角度來認識。門戶建設(shè)原則信息門戶的設(shè)計與建設(shè)應(yīng)遵循以下原則：(1)統(tǒng)一考慮，系統(tǒng)可重用。不是簡單的一個網(wǎng)站，它更多的是一個體系架構(gòu)，以及為實施這個體系架構(gòu)的一套規(guī)范、方法和工具。(2)可用和實用性。建立信息門戶并不是使用一個包羅萬象的大應(yīng)用將政府所有現(xiàn)有的應(yīng)用替換，它是建立一個信息、服務(wù)的集散地。在這個集散地，將現(xiàn)有的應(yīng)用可以集中展現(xiàn)出來，同時，用戶可以在這里方便地找到自己需要的信息和服務(wù)。(3)利用成熟的技術(shù)和方法，重在整合。信息門戶和現(xiàn)有系統(tǒng)與網(wǎng)站之間是一個整合的關(guān)系，已經(jīng)建設(shè)成的信息服務(wù)被納入信息門戶，這是通過向信息門戶提供必要的入口信息，從而通過信息門戶在更廣泛的范圍內(nèi)發(fā)布其服務(wù)，但服務(wù)的內(nèi)容完全由現(xiàn)有的系統(tǒng)提供。這樣，可以最大限度的保護信息投資和經(jīng)驗。(4)可擴展性。信息門戶不僅需要將現(xiàn)有的應(yīng)用集成起來，還必須具有良好的可擴展性，在新的應(yīng)用，新的需求被提出和完成后，可以比較方便的將其納入整體體系。(5)安全性。信息門戶集中了多方面的信息，但信息并不是對所有人都開放的，安全性就是指必須能夠控制可以利用的信息門戶框架下提供的服務(wù)。并將這種安全性和整個基礎(chǔ)網(wǎng)絡(luò)架構(gòu)統(tǒng)一起來。使得服務(wù)只能被授權(quán)的用戶獲取。(6)個性化。信息門戶的個性化有兩個層次的意義，首先是內(nèi)容的個性化，這一點必須由提供服務(wù)的應(yīng)用系統(tǒng)保證，另一個就是獲取方式的個性化，信息門戶集中整個范圍內(nèi)的各種信息和服務(wù)，而每一個人對信息和服務(wù)的需求是不同的，為了使每一個人都能從信息門戶中最有效的獲取信息，信息門戶必須具有可由用戶訂制自己所需要服務(wù)的能力。(7)應(yīng)具有強大的搜索功能。企業(yè)信息門戶集成的各類信息非常多，所以，要求搜索引擎可以同時檢索各類不同的信息。系統(tǒng)管理模式系統(tǒng)管理的主要任務(wù)是保證整個系統(tǒng)信息安全。信息安全主要分為訪問控制和信息傳輸安全。信息傳輸?shù)陌踩趹?yīng)用支撐平臺實現(xiàn)，本系統(tǒng)支持信息的加密傳輸和數(shù)字簽名，以信息的機密性、完整性和操作的不可否認性。訪問控制涉及身份認證、權(quán)限管理。用戶管理采用集中與分布相結(jié)合的模式實現(xiàn)。用戶信息、ip地址、數(shù)據(jù)備份、日志統(tǒng)一管理，權(quán)限則由應(yīng)用系統(tǒng)分別管理。用戶與權(quán)限管理模式本系統(tǒng)的用戶和權(quán)限管理采取“用戶信息統(tǒng)一管理、權(quán)限分別授予”模式。統(tǒng)一用戶管理服務(wù)由“市電子政務(wù)應(yīng)用支撐平臺”提供，用戶數(shù)據(jù)庫為各個應(yīng)用系統(tǒng)共享；每個應(yīng)用系統(tǒng)從“用戶數(shù)據(jù)庫”選入本應(yīng)用的用戶，給以授權(quán)。這種模式一是可以保證全市用戶數(shù)據(jù)的一致性和唯一性，有利于安全管理；二是避免了功能的重復；三是為用戶身份的統(tǒng)一認證提供了基礎(chǔ)數(shù)據(jù)。統(tǒng)一用戶和組織機構(gòu)管理提供了用戶和部門的管理，可以方便地調(diào)整部門之間的關(guān)系、用戶與部門之間的從屬關(guān)系；支持角色，并且將角色與部門和個人相關(guān)聯(lián)；支持部門、角色、人員間的各種關(guān)系，如經(jīng)理、工作代理、角色的協(xié)調(diào)者等。在本系統(tǒng)中可以建立全局的地址簿，但由每個單位維護自己的用戶信息。系統(tǒng)可以在全局范圍內(nèi)收發(fā)信息。例如，在發(fā)送公文時，按照系統(tǒng)的配置，公文發(fā)送給對方的“公文接收者”角色。其它處室可以把外單位的某個用戶加入自己單位中定義的一個角色，用于執(zhí)行特定的業(yè)務(wù)操作。由于本系統(tǒng)存在多級單位，并且每個單位都有多個處室，因此我們在系統(tǒng)管理上引入了“域”的概念。一個域是一組資源及其使用者的總稱。系統(tǒng)的管理員可以把整個系統(tǒng)劃分成多個域，每個域指定單獨的管理員。每個域的管理員能夠?qū)ψ约河騼?nèi)的資源分配權(quán)限。支持多級部門及人員組織結(jié)構(gòu)。支持一個部門多個領(lǐng)導或一個用戶多個部門，自動處理用戶關(guān)系。提供角色處理功能。支持部門分管領(lǐng)導設(shè)置。支持領(lǐng)導秘書功能。權(quán)限管理具體的角色和權(quán)限因業(yè)務(wù)不同而異，所以權(quán)限管理采取分布模式，由各應(yīng)用系統(tǒng)分別管理。以下是權(quán)限管理模式。有限授權(quán)最多達5維的用戶權(quán)限定位。角色、部門、關(guān)系等多種身份的用戶組交、并、與或處理滿足任意復雜的組合。允許通過人員、部門、角色等多種方式進行授權(quán)，并支持動態(tài)解析。系統(tǒng)屏蔽所有未登錄系統(tǒng)的頁面請求。通過部門、角色、用戶等方式靈活設(shè)置業(yè)務(wù)和工作流的處理權(quán)限。通過工作流引擎的處理動態(tài)確定流轉(zhuǎn)實例針對每一個用戶的操作權(quán)限。統(tǒng)一的數(shù)據(jù)鏈接訪問，通過數(shù)據(jù)庫平臺提供的安全性保證數(shù)據(jù)安全。分級權(quán)限管理系統(tǒng)可以自由定義二級、三級系統(tǒng)管理員，下級管理員權(quán)限可由上級系統(tǒng)管理人員分配。對管理工作，系統(tǒng)管理員負責所管理辦公系統(tǒng)的整體系統(tǒng)管理工作；其他系統(tǒng)功能的管理則由相應(yīng)的各級管理員負責，實現(xiàn)管理工作的分級管理控制。日志管理日志配置模塊提供以下功能：1、新建、修改和刪除新日志信息。2、為系統(tǒng)記錄日志,可作系統(tǒng)日志，記錄系統(tǒng)的訪問人員的IP、時間、操作等；也可以添加模塊級日志，可查詢定制模塊的訪問記操作。圖：日志設(shè)定用戶根據(jù)權(quán)限可以在前臺隨時查看系統(tǒng)日志分析圖標或者模塊級的日志分析。備份管理數(shù)據(jù)庫的備份，采用數(shù)據(jù)庫管理系統(tǒng)的備份功能實現(xiàn)。通過設(shè)置備份策略，完成對系統(tǒng)數(shù)據(jù)的備份。IP安全控制系統(tǒng)能夠設(shè)置一定IP地址段范圍內(nèi)的機器訪問系統(tǒng)，對不在IP地址范圍內(nèi)的無法登陸系統(tǒng)。遠程辦公身份驗證的安全性由網(wǎng)絡(luò)和應(yīng)用同時提供。同時系統(tǒng)提供基于IP的敏感性分析功能；如果有人利用系統(tǒng)登陸名稱作嘗試性登陸或者暴力破解密碼，系統(tǒng)會將該IP的該用戶訪問暫時屏蔽，由管理員開通后可再次登陸系統(tǒng)。網(wǎng)絡(luò)安全保障設(shè)計以下從網(wǎng)站環(huán)境安全和可靠性保障設(shè)計二方面闡述網(wǎng)站安全保障設(shè)計。網(wǎng)站環(huán)境安全包括網(wǎng)站安全域邊界控制、域內(nèi)安全和安全管理三個方面。安全通過以下措施解決：利用防火墻解決安全域劃分及安全域邊界控制問題。利用入侵檢測和放病毒解決域內(nèi)環(huán)境安全問題。利用安全管理軟件解決網(wǎng)站安全管理問題。利用雙機系統(tǒng)提高網(wǎng)站系統(tǒng)的可靠性與可用性。網(wǎng)站應(yīng)用系統(tǒng)安全通過應(yīng)用系統(tǒng)的用戶管理、授權(quán)管理和日志審計來解決，具體安全措施見“第4章網(wǎng)站技術(shù)實現(xiàn)”相關(guān)內(nèi)容。利用防火墻解決安全域劃分域邊界控制問題根據(jù)信任域差異，通過一臺防火墻將網(wǎng)站劃分為兩個不同的網(wǎng)絡(luò)安全域。即政務(wù)外網(wǎng)區(qū)域和局域網(wǎng)域。通過制定嚴格的安全策略可以很方便地實現(xiàn)對外網(wǎng)辦公區(qū)、局域網(wǎng)區(qū)域進行隔離與訪問控制，并且可以實現(xiàn)單向或雙向控制，可以有效保障網(wǎng)絡(luò)安全。自適應(yīng)的網(wǎng)絡(luò)接入模式防火墻支持透明橋接、路由、混合接入模式。當工作在透明模式時，防火墻類似于一個網(wǎng)橋，不需要用戶對網(wǎng)絡(luò)的拓撲做出任何調(diào)整；當工作在路由模式時，防火墻類似于一個路由器，可以提供策略路由功能；防火墻還可以工作在自適應(yīng)的混合模式下，即防火墻的不同端口有的在同一網(wǎng)段上（透明），有的在不同網(wǎng)段上（路由），這樣更方便用戶在各種網(wǎng)絡(luò)環(huán)境的接入。狀態(tài)包過濾防火墻根據(jù)數(shù)據(jù)包的源地址、目標地址、協(xié)議類型、源端口、目標端口以及網(wǎng)絡(luò)接口等對數(shù)據(jù)包進行訪問控制，而且能夠記錄通過防火墻的連接狀態(tài)，直接對分組里的數(shù)據(jù)進行處理；具有完備的狀態(tài)檢測表追蹤連接會話狀態(tài)，并且結(jié)合前后分組里的關(guān)系進行綜合判斷決定是否允許該數(shù)據(jù)包通過，通過連接狀態(tài)進行更迅速更安全的過濾。支持復雜動態(tài)協(xié)議的狀態(tài)包過濾，通過對協(xié)議內(nèi)容的實時分析，動態(tài)開放所需的端口，傳輸結(jié)束后實時關(guān)閉端口，確保內(nèi)網(wǎng)安全。NAT地址轉(zhuǎn)換支持動態(tài)地址轉(zhuǎn)換，支持地址池，即一對一，一對多，多對多；支持靜態(tài)地址轉(zhuǎn)換；支持端口轉(zhuǎn)換，支持動態(tài)服務(wù)的映射，允許用戶內(nèi)部服務(wù)對外開放；支持反向IP映射，允許用戶內(nèi)部IP主機對外開放；支持雙向地址轉(zhuǎn)換（一般應(yīng)用于兩邊權(quán)限對等網(wǎng)絡(luò)中），即源地址和目的地址的同時轉(zhuǎn)換；支持基于策略（基于協(xié)議、目的地址）的地址轉(zhuǎn)換。預定義代理和自定義代理防火墻提供豐富的代理功能。預定義代理包括：HTTP代理能夠?qū)ava、JavaScript、ActiveX進行過濾；FTP代理能夠?qū)Χ嗑€程、put和get命令過濾；SMTP代理能夠?qū)︵]件大小、接收人數(shù)限制，并按關(guān)鍵字對郵件主題、郵件正文和附件內(nèi)容、附件名過濾；POP3代理能夠?qū)︵]件大小限制，并按關(guān)鍵字對郵件主題、附件名過濾；支持基于TCP協(xié)議的用戶自定義代理，方便管理員使用。連接限制防火墻提供了四種連接限制：保護主機、保護服務(wù)、限制主機、限制服務(wù)。連接限制可以保護服務(wù)器或服務(wù)器上提供的某項服務(wù)，限制對服務(wù)器過于頻繁的訪問。在規(guī)定的時間內(nèi)，如果某臺主機訪問服務(wù)器超過了所限制的次數(shù)，則會對該主機實行阻斷，在阻斷時間段內(nèi)，拒絕其對服務(wù)器的所有訪問。也可以應(yīng)用此功能對使用BT/電驢等連接數(shù)目過大嚴重影響網(wǎng)絡(luò)流量的用戶加以限制。深度內(nèi)容過濾防火墻具備HTTP、FTP、SMTP、POP3協(xié)議的內(nèi)容過濾功能，保護終端用戶合法有效地使用各種網(wǎng)絡(luò)資源；支持對網(wǎng)頁中的java、javascrip、activeX等小程序的過濾；支持對郵件的發(fā)收信人地址、人數(shù)、文件大小過濾，及對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等的關(guān)鍵字匹配過濾；支持URL過濾，并支持黑/白名單過濾策略。用戶認證防火墻提供協(xié)議層用戶認證系統(tǒng)，突破認證的服務(wù)種類限制，為包過濾、雙向NAT、代理等訪問控制提供用戶認證功能；支持用戶和組管理，支持用戶策略（源IP綁定、可訪問目的IP和服務(wù)），支持對用戶帳號的流量控制和時間控制；提供與標準的radius服務(wù)器（PAP）聯(lián)動的用戶認證；提供本地認證庫：提供基于角色的用戶策略，并與安全規(guī)則策略配合完成強訪問控制，支持對用戶帳號的流量控制和時間控制，客戶端可以修改密碼，服務(wù)器端檢查用戶在線狀態(tài)，支持PAP和S/Key認證協(xié)議。IP/MAC地址綁定防火墻提供IP/MAC地址綁定檢查功能，防止IP地址盜用，可以設(shè)置綁定的默認策略，提供IP/MAC對的唯一性檢查。此外還提供地址對與網(wǎng)口的綁定功能，可以及時定位盜用合法IP/MAC地址對的非法用戶。防火墻提供IP/MAC自動探測功能，可以大大減輕管理員手工收集IP/MAC對的工作量。時間調(diào)度防火墻可設(shè)定一次性或周期性的調(diào)度規(guī)則，對安全規(guī)則、用戶安全策略等進行調(diào)度，給安全管理帶來方便。防火墻的系統(tǒng)時間可以設(shè)置為與時鐘服務(wù)器的時間同步，也可以設(shè)置為與管理主機的時間同步?？构裟芰χС謱ΤＲ姽舻臋z測和阻斷，并可以實現(xiàn)針對ICMP、UDP、TCP的Flood攻擊提交頻度檢查與閾值分析，如針對ICMPFlood完成過濾類型與代碼、頻度、包長檢查，針對UDPFlood完成頻度、包長檢查，針對Synfloood完成頻度檢查。針對最常見的SynFlood攻擊，設(shè)置了SYNproxy以保護內(nèi)部網(wǎng)絡(luò)和防火墻本身免受此類的拒絕服務(wù)攻擊，提供高安全性和高可用性。與IDS聯(lián)動當IDS聯(lián)動產(chǎn)品發(fā)現(xiàn)入侵攻擊行為時，會通知防火墻。如果防火墻相應(yīng)網(wǎng)口啟用了IDS自動阻斷功能，則防火墻會按IDS通知的阻斷方式、阻斷時間和入侵主機的相關(guān)信息，對入侵主機進行阻斷。防火墻阻斷方式包括：對“源IP地址”阻斷；對“源IP地址、目的IP地址、目的端口、協(xié)議”阻斷；對“源IP地址、目的IP地址、協(xié)議、方向（單向、雙向、反向）”阻斷；防火墻阻斷協(xié)議包括：TCP/UDP/ICMP和所有協(xié)議（any）。流量整形和帶寬管理防火墻根據(jù)用戶定義的帶寬策略（最大峰值帶寬，最小保證帶寬和優(yōu)先級），動態(tài)實現(xiàn)帶寬分配的實時控制。系統(tǒng)監(jiān)控防火墻提供全面的系統(tǒng)狀態(tài)監(jiān)控，可以讓管理員清楚地了解網(wǎng)絡(luò)中接口流量統(tǒng)計、最大連接數(shù)量的IP等信息，并且能夠及時發(fā)現(xiàn)被網(wǎng)絡(luò)蠕蟲病毒感染的主機，配合連接限制，進行實時阻斷。利用入侵檢測和放病毒解決域內(nèi)環(huán)境安全問題入侵檢測目的入侵保護系統(tǒng)具有協(xié)議識別、協(xié)議異常檢測、關(guān)聯(lián)分析能力，能夠協(xié)助客戶實現(xiàn)：網(wǎng)絡(luò)防護：具有實時的、主動的網(wǎng)絡(luò)防護功能，內(nèi)置基于狀態(tài)檢測的防火墻，保護網(wǎng)絡(luò)邊界和內(nèi)部網(wǎng)絡(luò)，同時為網(wǎng)絡(luò)設(shè)備的漏洞提供防護，具有流量管理功能，對于可能出現(xiàn)的異常流量，提供抗拒絕服務(wù)攻擊功能。應(yīng)用防護：提供對應(yīng)用層的防護功能，針對操作系統(tǒng)，應(yīng)用軟件以及數(shù)據(jù)庫，提供深度的內(nèi)容檢測技術(shù),過濾報文里的惡意流量和攻擊行為，保護存在的漏洞，防止操作系統(tǒng)和應(yīng)用程序損壞或宕機。內(nèi)容管理：對企業(yè)內(nèi)部網(wǎng)絡(luò)資源提供內(nèi)容管理，可以有效檢測并阻斷間諜軟件，包括木馬后門、惡意程序和廣告軟件等，并可以對即時通訊、P2P下載、網(wǎng)絡(luò)游戲、在線視頻、網(wǎng)絡(luò)流媒體等內(nèi)容進行監(jiān)控并阻斷。入侵檢測保護手段入侵保護技術(shù)：支持IP碎片重組、TCP流匯聚、TCP狀態(tài)跟蹤、協(xié)議識別、協(xié)議分析、協(xié)議異常檢測、特征檢測、關(guān)聯(lián)分析、流量異常檢測、拒絕服務(wù)攻擊檢測。入侵保護類型：緩沖區(qū)溢出、SQL注入、暴力猜測、拒絕服務(wù)、掃描探測、非授權(quán)訪問、蠕蟲病毒，木馬后門、間諜軟件，僵尸網(wǎng)絡(luò)、IM即時通訊，網(wǎng)絡(luò)在線游戲，在線視頻，P2P下載、網(wǎng)絡(luò)流媒體響應(yīng)方式：丟棄數(shù)據(jù)包、丟棄會話、防火墻聯(lián)動、TCPKiller、發(fā)送郵件、控制臺顯示、日志數(shù)據(jù)庫記錄、打印機輸出、運行用戶自定義命令、寫入XML文件、snmptrap（V1、V2、V3）入侵檢測部署方案入侵檢測設(shè)備類似二層交換機一樣，采用一進多出或多進多出的方式，同時與不同網(wǎng)段相連接，進行數(shù)據(jù)交換；實時監(jiān)測各網(wǎng)段之間的各種流量，提供從網(wǎng)絡(luò)層、應(yīng)用層到內(nèi)容層的深度安全防護。圖STYLEREF1\s3SEQ圖\*ARABIC\s11入侵檢測系統(tǒng)部署方案部署防病毒系統(tǒng)門戶網(wǎng)站應(yīng)部署放病毒系統(tǒng)。利用安全管理軟件解決網(wǎng)站安全管理問題防火墻是網(wǎng)站安全管理的重點，利用防火墻系統(tǒng)提供的安全管理軟件，可以方便的實現(xiàn)以下功能。網(wǎng)站安全管理方案防火墻提供Web管理方式（通過網(wǎng)口）、CLI命令行管理方式（通過串口），同時還支持遠程撥號（PPP）管理方式。上述三種管理方式是一直打開的。另外，防火墻還提供通過SSH登錄對防火墻以命令行方式進行遠程管理的功能，此管理方式管理員有權(quán)進行添加和刪除。分級權(quán)限的安全管理防火墻提供分級安全管理機制，系統(tǒng)分為超級管理員、配置管理員、策略管理員、審計管理員四個等級。通過管理員身份認證（電子鑰匙認證或證書認證）、管理主機限制、防火墻管理IP限制、防火墻管理方式定義（web管理/命令行管理/SSH方式/PPP+SSH連接）、配置信息加密（支持SSL協(xié)議和SSH協(xié)議），提供方便且安全的配置管理。日志審計和日志服務(wù)器防火墻各功能模塊都可以提供標準格式的日志記錄。默認情況下，日志存儲在防火墻本地，也可以將日志直接發(fā)往日志服務(wù)器。隨機提供的日志服務(wù)器軟件可以實現(xiàn)強大的存儲和審計功能，方便管理員對日志進行查詢和管理。流量整形和帶寬管理防火墻采用先進的擁塞控制算法、流量調(diào)度算法以及優(yōu)先級排隊機制，根據(jù)用戶定義的帶寬策略（最大峰值帶寬，最小保證帶寬和優(yōu)先級），動態(tài)實現(xiàn)帶寬分配的實時控制。具有以下特點：最大限制帶寬：可以對用戶IP地址、服務(wù)等通過防火墻的帶寬進行限制，例如：限制某個用戶對外訪問最大帶寬，或者訪問某種服務(wù)的最大帶寬。最小保證帶寬：保證網(wǎng)絡(luò)中重要服務(wù)或者重要用戶的帶寬不被其他服務(wù)或者用戶占用，從而保證了重要數(shù)據(jù)優(yōu)先通過網(wǎng)絡(luò)。優(yōu)先級控制：防火墻可以設(shè)定4個優(yōu)先級（0-3），在擁塞情況下，可以進行更加細致的流量控制。全面的系統(tǒng)監(jiān)控防火墻提供全面的系統(tǒng)狀態(tài)監(jiān)控，可以讓管理員清楚地了解網(wǎng)絡(luò)中接口流量統(tǒng)計、最大連接數(shù)量的IP等信息，并且能夠及時發(fā)現(xiàn)被網(wǎng)絡(luò)蠕蟲病毒感染的主機，配合連接限制，進行實時阻斷。系統(tǒng)部署市公務(wù)員辦公門戶及集成系統(tǒng)功能眾多，用戶量龐大，系統(tǒng)的部署必須認真考慮。考慮到系統(tǒng)用戶量在起初階段較少，以后則從少到多逐漸增加，系統(tǒng)的并發(fā)訪問量也有個逐漸增加的過程，因此在起初階段可集中部署，以后隨著實際運行規(guī)模的擴大，可考慮適當分布式部署。所謂集中式部署，就是全部應(yīng)用系統(tǒng)和數(shù)據(jù)庫都部署在市中心；分布式部署則是多套同構(gòu)系統(tǒng)分別部署到市級各個部門和縣區(qū)。集中式部署優(yōu)勢是總投資相對較小，統(tǒng)一設(shè)立系統(tǒng)管理部門，減少了各個部門系統(tǒng)管理人員。但集中式部署的并發(fā)壓力很大，尤其是每日早上一上班的高峰時段。部署方案起初階段采取集中部署方案。基于系統(tǒng)整體可靠性、經(jīng)濟性考慮，推薦基于PC服務(wù)器系統(tǒng)的群集和負載均衡系統(tǒng)解決方案。部署圖如下所示：上述的部署方案中，應(yīng)用層分別形成以辦公門戶和事務(wù)管理及集成為核心的二個集群系統(tǒng)，由二臺F5構(gòu)成負載均衡系統(tǒng)，將負載均衡系統(tǒng)配置集群來支持辦公和事務(wù)管理的負載均衡，在系統(tǒng)進程級解決Web服務(wù)器和應(yīng)用服務(wù)器的高可用性和負載均衡。在集群部署中，在2個Web服務(wù)器安裝httpplugin來進行Web層面的負載均衡，2個辦公應(yīng)用服務(wù)器之間配置Cluster。數(shù)據(jù)庫服務(wù)器2臺，可構(gòu)成雙機熱備結(jié)構(gòu)。部署Oracle或SQLServer。系統(tǒng)管理服務(wù)器1臺。這種部署策略的優(yōu)勢是，一不會形成信息孤島，可根據(jù)實際負載的增長情況分別增加服務(wù)器數(shù)量，分別集群，有效、經(jīng)濟、發(fā)展地適應(yīng)業(yè)務(wù)增長帶來的負載變化。負載均衡隨著接入應(yīng)用和用戶的增多，服務(wù)器的處理能力和I/O能力將會成為提供服務(wù)的瓶頸，單臺服務(wù)器的性能有限，多臺服務(wù)器的群集可以提供大量并發(fā)訪問服務(wù)的能力。通過增加服務(wù)器，來分散應(yīng)用和存儲的壓力；通過F5-BIG-LTM-3400BIG-IPLocalTrafficManager來實現(xiàn)應(yīng)用負載均衡。負載均衡建立在和現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)上，網(wǎng)絡(luò)負載平衡器主要處理客戶的HTTP請求。用戶發(fā)來請求后，通過確定的調(diào)度算法，分配給不同的應(yīng)用服務(wù)器，由多個應(yīng)用服務(wù)器分別負擔系統(tǒng)的負載，從而實現(xiàn)系統(tǒng)的可擴展性。負載均衡主要完成以下任務(wù)：解決網(wǎng)絡(luò)擁塞問題，服務(wù)就近提供，實現(xiàn)地理位置無關(guān)性；為用戶提供更好的訪問質(zhì)量；提高服務(wù)器響應(yīng)速度；提高服務(wù)器和其他資源的利用效率；避免網(wǎng)絡(luò)關(guān)鍵部位出現(xiàn)單點失效。負載均衡服務(wù)應(yīng)該是交換平臺的內(nèi)部實現(xiàn)的核心機制。系統(tǒng)通過負載均衡來平衡活動適配器的個數(shù)和使用的消息以及轉(zhuǎn)換集成數(shù)據(jù)流中的數(shù)據(jù)的速度，從而可以平衡多個節(jié)點和機器數(shù)據(jù)消息的速度，也就是說在一個機器或節(jié)點失敗還能自動路由消息。所以通過負載均衡服務(wù)可以對集成數(shù)據(jù)流消除瓶頸和優(yōu)化數(shù)據(jù)流通道。產(chǎn)品選型平臺產(chǎn)品選型原則平臺產(chǎn)品選型符合以下原則：先進性：采用目前先進的開發(fā)技術(shù)和架構(gòu)（基于組件或面向服務(wù)的架構(gòu)），以保證系統(tǒng)的先進性和可擴展性、延長平臺的生命周期?？膳渲眯裕禾峁┖啽愕牟僮鞣绞郊翱梢暬僮鹘缑妫子诓渴鹋c操作。提供清晰的二次開發(fā)環(huán)境與接口。開放性：具備跨平臺運行支持能力，可以運行在多種硬件平臺和操作系統(tǒng)平臺上。支持多平臺操作系統(tǒng)（Linux、Windows、Unix等）和多種數(shù)據(jù)庫（Oracle、SQLServer等）環(huán)境下運行。保護用戶已有投資。穩(wěn)定性：具備良好的系統(tǒng)穩(wěn)定性，確保系統(tǒng)穩(wěn)定、可靠的運行。安全性：提供完備的安全保障體系，以確保系統(tǒng)數(shù)據(jù)和系統(tǒng)的安全性。符合標準：遵循國家及相關(guān)行業(yè)標準。軟件選型建議序號名稱型號數(shù)量（套）選型說明1數(shù)據(jù)庫管理系統(tǒng)主流數(shù)據(jù)庫產(chǎn)品1(雙機)本系統(tǒng)支持主流的RDBM產(chǎn)品，如ORACLE、SQLServer、MySQL、達夢等等2J2EE應(yīng)用服務(wù)器TongWeb4.61(集群)1、國產(chǎn)優(yōu)秀中間件廠商東方通科技公司的優(yōu)秀應(yīng)用服務(wù)器產(chǎn)品。2、與省電子政務(wù)系統(tǒng)保持一致。3內(nèi)容管理系統(tǒng)Co-CMS內(nèi)容管理系統(tǒng)1我公司公司的成熟產(chǎn)品，功能強大，運行穩(wěn)定。基于此產(chǎn)品建立網(wǎng)站，效率高、可快速應(yīng)變。產(chǎn)品成功案例眾多，深受用戶歡迎。產(chǎn)品介紹見附錄。4OA產(chǎn)品公司辦公自動化產(chǎn)品1我公司公司的平臺型產(chǎn)品，功能強大，內(nèi)含功能強大的工作流系統(tǒng),產(chǎn)品成熟\運行穩(wěn)定?；诖水a(chǎn)品建立OA系統(tǒng)，效率高、可快速應(yīng)變。產(chǎn)品成功案例眾多，深受用戶歡迎。產(chǎn)品介紹見附錄。5門戶產(chǎn)品MicrosoftOfficeSharePointServer2007（MOSS2007）1與省電子政務(wù)系統(tǒng)保持一致。6操作系統(tǒng)Linux2數(shù)據(jù)庫服務(wù)器用windowsxp1系統(tǒng)管理服務(wù)器用Linux或windowsxp2應(yīng)用服務(wù)器用硬件選型建議1、服務(wù)器和存儲設(shè)備選型建議服務(wù)器6臺2臺用于數(shù)據(jù)庫2臺用于應(yīng)用服務(wù)器組成的集群系統(tǒng)。1臺用于Web服務(wù)器、郵件、DNS等應(yīng)用1臺用于系統(tǒng)管理服務(wù)器磁盤柜1臺、磁帶機1臺編號設(shè)備設(shè)備配置數(shù)量1PC服務(wù)器（數(shù)據(jù)庫服務(wù)器）2*CPU3.2GHz/1MB，5*73.3G硬盤4G內(nèi)存2*HBA卡1*RAID卡22PC服務(wù)器（集群服務(wù)器）2*CPU2*146G硬盤4G內(nèi)存2*HBA卡23PC服務(wù)器（系統(tǒng)管理服務(wù)器）1*CPU160G硬盤2G內(nèi)存2*HBA卡14磁盤陣列4塊146GB10K3.5"SASHot-SwapHDD，最大支持8快以上；2塊FC4GbPCI-E單端口HBA卡；2套4GB短波SFP,根據(jù)需求可選２GBSFP；2條5米光纖線纜LC-LCDS4300MidrangeDisk2T存儲8分區(qū)License15