某某管理信息系統(tǒng)標書文件.docx

某某安全管理信息系統(tǒng)二一四年六月目錄1.概述51.1項目背景51.2建設目標、建設內(nèi)容51.2.1建設目標51.2.2建設內(nèi)容51.3項目依據(jù)72.總體建設方案72.1總體架構72.1.1系統(tǒng)總體結構72.2建設原則82.2.1流程規(guī)范、功能完善82.2.2技術領先、易用直觀102.2.3穩(wěn)定高效、安全可靠102.3設計思路112.3.1以數(shù)據(jù)為核心、對數(shù)據(jù)進行統(tǒng)一管理112.3.2組件化結構，促進多種技術集成112.3.3借鑒成功的案例，采用成熟的主流開源產(chǎn)品122.4建設方案133.應用支撐層建設153.1建設目標153.2建設方案153.2.1建設原則153.2.2建設模式163.2.3建設步驟173.2.4統(tǒng)計報表（中間件）173.2.5關鍵技術應用203.2.6CA認證功能設計243.2.7USBKEY293.2.8報表管理服務功能設計393.2.9地理信息服務功能設計413.2.10遙感信息服務功能設計433.2.11流程服務功能設計443.2.12緩存服務功能設計443.2.13平臺接口設計454.數(shù)據(jù)資源中心建設461.1.1數(shù)據(jù)總體架構461.1.2ETL數(shù)據(jù)處理481.1.3資源目錄設計495.信息交換與信息共享建設505.1交換與共享框架505.2建設內(nèi)容526.信息化系統(tǒng)建設536.1水利信息采集與監(jiān)控軟件536.1.1數(shù)據(jù)交換系統(tǒng)536.1.2水廠水質(zhì)化驗信息直報系統(tǒng)536.1.3水廠運行監(jiān)測信息采集系統(tǒng)536.1.4模型信息采集與建模536.1.5視頻監(jiān)控信息采集系統(tǒng)556.1.6供水設施數(shù)字巡檢信息采集系統(tǒng)556.1.7某某安全輿情信息采集系統(tǒng)556.1.8供水服務熱線信息采集系統(tǒng)556.2業(yè)務應用系統(tǒng)建設556.2.1某某安全工程門戶網(wǎng)站556.2.2某某安全信息短信服務566.2.3基礎信息庫管理566.2.4水廠監(jiān)測數(shù)據(jù)管理566.2.5流媒體信息管理566.2.6手機客戶端查詢566.2.7地理信息管理566.2.8統(tǒng)計分析576.2.9決策支持576.2.10應急管理576.2.11綜合展示577.人員配置與培訓計劃577.1人員配置方案577.2人員培訓方案587.3培訓考核587.4意見反饋587.5效果跟蹤598.質(zhì)量保障598.1質(zhì)量目標598.2人員618.3組織結構628.4職責628.5質(zhì)量保證工作提交的產(chǎn)物638.6變更管理638.7評價標準638.8形成的記錄649.系統(tǒng)測試649.1性能測試649.1.1壓力測試659.1.2正確性測試659.1.3容錯性（健壯性）測試659.1.4完整（安全）性測試659.2測試規(guī)程659.3測試工作報告6710.項目驗收6710.1項目驗收及驗收步驟6710.1.1項目驗收6710.1.2驗收步驟6710.1.3驗收內(nèi)容6810.1.4報告總結7011.售后服務7111.1故障處理7111.2服務方式及內(nèi)容7111.2.1電話熱線支持服務7111.2.2定期巡檢服務7211.2.3遠程維護7211.2.4電子郵件服務7211.2.5現(xiàn)場支持服務721. 概述1.1 項目背景以科學發(fā)展觀為指導，堅持以人為本，以加強農(nóng)村供水基礎設施建設、提高農(nóng)村飲用水質(zhì)量、完善農(nóng)村供水社會化服務體系、保障某某安全為目標，結合某某安全工程“十二五”規(guī)劃和美好鄉(xiāng)村建設，加強工程建設管理與監(jiān)督，按照全面、科學、合理、可持續(xù)發(fā)展的要求，積極落實配套資金，廣泛動員社會各方力量，積極運用市場機制，吸引各類社會資金投入某某工程建設，為全面建設美好某某奠定基礎。1.2 建設目標、建設內(nèi)容1.2.1 建設目標某某市某某安全管理信息系統(tǒng)建設目標為：結合某某安全工程“十二五”規(guī)劃，根據(jù)省下達的年度投資計劃，確定市級年度建設任務。積極推進規(guī)模供水工程建設，延伸集中供水管網(wǎng)，提高農(nóng)村自來水普及率，有條件的地方發(fā)展城鄉(xiāng)一體化供水。進一步完善市級某某安全工程運行管理機構、水質(zhì)檢驗監(jiān)測中心、財政運行維護基金和社會化長效服務體系建設，加強工程運行管理，加強水源保護和水質(zhì)監(jiān)測，確保工程長期發(fā)揮效益。為此提出了一整套以基礎數(shù)據(jù)采集為整個系統(tǒng)的數(shù)據(jù)基礎，以網(wǎng)絡信息交換、協(xié)作平臺為業(yè)務支撐，可實現(xiàn)農(nóng)村供水實時信息的接收處理、視頻監(jiān)控采集、水質(zhì)監(jiān)測預警、實時險情預警、農(nóng)村供水信息綜合分析和決策支持等功能的綜合解決方案。1.2.2 建設內(nèi)容某某市市級某某安全管理信息系統(tǒng)建設的主要任務包括: 市級某某安全信息調(diào)度中心、某某安全數(shù)據(jù)資源中心、某某安全信息網(wǎng)絡系統(tǒng)、某某安全信息采集與視頻監(jiān)控系統(tǒng)、某某安全綜合業(yè)務應用系統(tǒng)和安全體系建設等內(nèi)容。（1）市級某某安全信息調(diào)度中心主要包括某某安全信息管理系統(tǒng)運行需要的機房環(huán)境、會商室等。某某市已初步建成陽光大廈數(shù)據(jù)中心機房，可以滿足某某市水利綜合信息化系統(tǒng)需要的機房環(huán)境，本次某某市市級某某安全管理信息系統(tǒng)將與某某市陽光大廈共用一個機房，不單獨進行機房及其環(huán)境的建設。某某市某某安全管理信息系統(tǒng)，將利用某某市水利局已建成的會商室及會商設施，不單獨進行會商室的建設。（2）市級某某安全數(shù)據(jù)資源中心以某某市“智慧城市”建設為契機，在充分共享“智慧城市”數(shù)據(jù)中心軟硬件支撐平臺的基礎上，根據(jù)需要增購部分設備和平臺軟件，建設某某市市級某某安全數(shù)據(jù)資源中心。主要包括支撐軟件資源配置、應用支撐服務平臺、數(shù)據(jù)存儲管理平臺、水利信息綜合數(shù)據(jù)庫和飲水安全專業(yè)數(shù)據(jù)庫建設等內(nèi)容。（3）市級某某安全信息網(wǎng)絡系統(tǒng)充分利用某某市水利局已有的各類網(wǎng)絡，并根據(jù)本項目建設的實際需求，接入業(yè)務內(nèi)網(wǎng)、互聯(lián)網(wǎng)和政府辦公網(wǎng)，實現(xiàn)市水利局與省水利廳數(shù)據(jù)中心以及某某市各縣市區(qū)的網(wǎng)絡連接，為三維地理信息系統(tǒng)數(shù)據(jù)的共享和實時監(jiān)測數(shù)據(jù)的傳輸提供通道。（4）市級某某安全信息采集與視頻監(jiān)控平臺包括基礎數(shù)據(jù)庫信息交換系統(tǒng)、水廠水質(zhì)化驗信息直報系統(tǒng)、水廠運行監(jiān)測信息采集系統(tǒng)、模型信息采集、視頻監(jiān)控信息采集系統(tǒng)、供水設施數(shù)字巡檢系統(tǒng)、民情民意信息采集系統(tǒng)和供水服務熱線系統(tǒng)。（5）某某安全綜合業(yè)務應用系統(tǒng)以省水利廳數(shù)據(jù)中心的三維地理信息系統(tǒng)平臺為基礎，調(diào)用國土資源廳的三維地圖數(shù)據(jù)，并加載某某市水利空間數(shù)據(jù)，實現(xiàn)對全市某某安全基礎信息、監(jiān)測信息、視頻信息及運行信息的管理，進行水廠及管線三維建模和360度全景演示，方便直觀的查詢某某市某某安全工程情況，并提供對農(nóng)飲信息的多維深度分析和輔助決策支持功能。（6）安全體系基于安全基礎設施，以安全策略為指導，提供全面的安全服務內(nèi)容，覆蓋從物理、網(wǎng)絡、系統(tǒng)、直至數(shù)據(jù)和應用平臺各個層面，以及保護、檢測、響應、恢復等各個環(huán)節(jié)，構建全面、完整、高效的信息安全體系，從而提高業(yè)務系統(tǒng)的整體安全等級，為水利業(yè)務發(fā)展提供堅實的信息安全保障。1.3 項目依據(jù)中華人民共和國水法山東省水利工程建設管理辦法魯水建【2008】14號水利工程代碼編制規(guī)范（SL 213-2012）中華人民共和國計算機信息系統(tǒng)安全保護條例(國務院令第147號)中華人民共和國計算機信息網(wǎng)絡國際聯(lián)網(wǎng)管理暫行規(guī)定（國務院令第195號）計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法（公安部令第33號）計算機信息系統(tǒng)安全保護等級劃分準則GB17859-1999軟件工程術語GB/T 11457-1995 信息處理-流程圖編輯符號GB/T 15538-1995信息處理-按記錄組處理順序文卷的程序流程GB-T 15697-1995 信息處理 數(shù)據(jù)流程圖、程序流程圖、系統(tǒng)流程圖、程序網(wǎng)絡圖和系統(tǒng)資源圖的文件編制符號及約定GB/T 1526-1989計算機應用系統(tǒng)文件編制指南SJ/Z 9060-1987計算機信息系統(tǒng)安全保護等級劃準則GB 17859-1999信息技術設備的安全GB 4943.1 20112. 總體建設方案2.1 總體架構2.1.1 系統(tǒng)總體結構系統(tǒng)總體框架采用成熟的JAVA多層技術架構，存儲、服務器系統(tǒng)采用集中式部署，應用功能僅部署在服務器端的純B/S運用方式。（1） 數(shù)據(jù)資源層數(shù)據(jù)資源層主要實現(xiàn)對本系統(tǒng)所有數(shù)據(jù)的存儲和管理。根據(jù)業(yè)務需求和數(shù)據(jù)關聯(lián)性，將數(shù)據(jù)資源層分為綜合管理業(yè)務數(shù)據(jù)庫、基本資料數(shù)據(jù)庫、基礎信息數(shù)據(jù)庫和系統(tǒng)管理數(shù)據(jù)庫四大部分。（2） 應用支撐層應用支撐層主要實現(xiàn)數(shù)據(jù)資源層與業(yè)務應用層之間的標準化接口。業(yè)務應用系統(tǒng)對數(shù)據(jù)直接操作，往往造成權限管理復雜、業(yè)務邏輯混亂、代碼冗余度高等問題。為避免此類問題發(fā)生，應將基礎功能模塊從業(yè)務系統(tǒng)中抽離出來，按功能分類并統(tǒng)一開發(fā)，保證業(yè)務應用層與數(shù)據(jù)資源層的隔離和透明調(diào)用。（3） 業(yè)務應用層業(yè)務應用層在應用支撐層的基礎上，根據(jù)業(yè)務需求完善系統(tǒng)功能，確保業(yè)務流程的完整性。根據(jù)業(yè)務功能和用戶群將業(yè)務應用層分為基本資料管理、基礎信息管理、規(guī)劃實施管理和綜合管理等。（4） 表現(xiàn)層表現(xiàn)層實現(xiàn)人機交互功能，通過友好的軟件界面和操控方式，使各類用戶群均能較快的適應信息化管理的辦公模式。本系統(tǒng)的表現(xiàn)層統(tǒng)一采用Web界面，通過腳本和插件等方式實現(xiàn)界面排版和高級操作，用戶通過瀏覽器即可訪問。2.2 建設原則2.2.1 流程規(guī)范、功能完善在充分利用現(xiàn)有設施和資源的條件下，力求高起點的設計，既滿足近期需求，又適應長遠發(fā)展需要，以實現(xiàn)信息互通、資源共享、服務協(xié)同的建設目標，確保某某市水利業(yè)務整合和水利信息化的可持續(xù)發(fā)展。1、以人為本原則水利信息化建設必須堅持以和諧水政為中心，緊密結合人民群眾日益增長的水利服務需求，重視解決實際問題，提高服務效率和質(zhì)量，方便人民群眾。2、頂層設計與地區(qū)統(tǒng)籌相協(xié)調(diào)原則水利信息化建設要按照國家水利信息化建設的總體部署和要求，結合某某市的實際省情，進行信息資源統(tǒng)籌規(guī)劃，遵循統(tǒng)一的建設規(guī)范、標準，明確各級水利行政部門、各級各類水利衛(wèi)生機構的信息化建設目標和任務，綜合不同機制和措施，因地制宜、分類指導、分步推進，促進水利信息化工作協(xié)調(diào)發(fā)展。 3、先進性與實用性原則系統(tǒng)技術水平在保證其成熟性的前提下，充分考慮到其先進性。宜采用業(yè)界先進系統(tǒng)架構理念和技術，為方案升級和遷移打下扎實基礎。各系統(tǒng)確?？沙掷m(xù)性開發(fā)，可以保證使用的技術不斷地更新并可順利升級以維持系統(tǒng)的先進性。4、開放性與擴充性原則水利信息化建設是一個系統(tǒng)工程，除了與各類水利機構內(nèi)的有關信息系統(tǒng)互聯(lián)互通外，有很多基礎數(shù)據(jù)還需要從政府的其它信息系統(tǒng)如公安、社保、環(huán)境、民政、教育等信息系統(tǒng)中獲取，與這些系統(tǒng)均需要保持雙向的信息交互能力，因此系統(tǒng)設計必須保持開發(fā)性、具有良好的互連、互操作能力，必須遵循最新的國際標準、國家標準和行業(yè)標準，必須遵循開放的原則。在各系統(tǒng)實際使用過程中，用戶的需求是會不斷變化的，因此各系統(tǒng)應當具有良好的可擴充性，便于用戶根據(jù)自己的需要進行二次開發(fā)來滿足用戶不斷變化的實際需要，使應用可以根據(jù)業(yè)務的發(fā)展和變化而平滑擴展。5、可靠性和安全性原則各系統(tǒng)建設涉及多部門、多機構的業(yè)務信息，應符合國家有關信息安全的法律法規(guī)的要求，一方面要保障網(wǎng)絡安全，另一方面要保障信息安全，還應保障系統(tǒng)可靠地運行。設計應從系統(tǒng)架構和網(wǎng)絡結構上首先考慮安全性，并充分考慮大規(guī)模并發(fā)、長期運行條件下系統(tǒng)的可靠性、滿足各水利機構7X24小時的服務要求。在各系統(tǒng)中，應保證數(shù)據(jù)的原始性和完整性，以及數(shù)據(jù)訪問和修改的可追蹤性，系統(tǒng)設計時，既要考慮系統(tǒng)級的安全性、又要考慮應用級的安全性，采用多級用戶認證、數(shù)據(jù)加密、災容備份等多種手段保證數(shù)據(jù)安全，同時應綜合運用技術、制度、法律等手段，強化網(wǎng)絡和數(shù)據(jù)的安全管理。6、規(guī)范化和標準性原則水利信息化建設應考慮其完整性和對全省的普適性，須在全面了解需求的前提下，進行整體規(guī)劃,按照“統(tǒng)一規(guī)范、統(tǒng)一代碼、統(tǒng)一接口”的要求，加強指導和組織協(xié)調(diào)，規(guī)范水利各領域信息化建設的基本功能、業(yè)務流程、數(shù)據(jù)模型和數(shù)據(jù)編碼等標準，以滿足信息化建設的需要。標準化是系統(tǒng)建設的基礎保障，系統(tǒng)建設必須在安全體系和安全技術、信息表示和信息交換、網(wǎng)絡協(xié)議、軟件結構、軟件平臺等標準方面遵循SOAP、WebServices、XML等技術標準達到“互連、互通、互操作”要求，實現(xiàn)“信息交換、資源共享”。7、信息全面與實時性原則各系統(tǒng)需提供給水利服務機構和人員及時、完整和準確的信息，以支持水利行政活動。因此，各系統(tǒng)的體系架構必須是全面的，能覆蓋業(yè)務流程、信息、系統(tǒng)服務和技術的所有范圍。8、集成性原則水利信息化建沒是一個復雜的系統(tǒng)工程，涉及范圍廣、實施周期長，其開發(fā)和實施的難度非常大，因此必須緊緊圍繞水利信息化建設的總體目標。汲取多種、多個已建系統(tǒng)所長，把多家各有特色的產(chǎn)品和功能集成在一起。通過合理的服務劃分、服務編排，實現(xiàn)應用軟件對業(yè)務變更或軟件技術發(fā)展的靈活適應能力。2.2.2 技術領先、易用直觀技術領先是指在管理手段和軟件開發(fā)兩個方面均達到行業(yè)領先水平。系統(tǒng)開發(fā)則采用目前主流的JAVA技術和B/S架構，結合Oracle數(shù)據(jù)庫管理系統(tǒng)，實現(xiàn)集數(shù)據(jù)管理和實景模式管理于一體的立體化管理平臺。易用直觀是指在系統(tǒng)的用戶界面設計和操控方式上做到界面友好，窗口和控件分布合理，視圖操控方式簡單，容易理解和記憶。本系統(tǒng)采用B/S架構，所有應用部署和升級均在服務器端進行，用戶無需安裝客戶端，僅用網(wǎng)頁瀏覽器就能夠訪問系統(tǒng)，大大減少了系統(tǒng)對終端設備的依賴，也降低了系統(tǒng)維護難度。系統(tǒng)的用戶界面設計參考全國管理信息系統(tǒng)進行，保留原有菜單和標簽風格，同時對功能按鍵進行統(tǒng)一設計，使功能圖標能夠明確展示其含義。完善系統(tǒng)提示和用戶幫助功能，確保大部分用戶在操作遇到問題時能夠通過自助查詢的方式解決。2.2.3 穩(wěn)定高效、安全可靠穩(wěn)定高效、安全可靠是信息化服務的基本要求，也是本系統(tǒng)投入運行。穩(wěn)定高效是指系統(tǒng)必須提供724小時不間斷服務，服務響應速度必須達到業(yè)務需求。安全可靠是指系統(tǒng)不存在數(shù)據(jù)丟失、損壞或者網(wǎng)絡受到攻擊導致服務癱瘓、數(shù)據(jù)泄密、信息篡改等隱患。因此，本系統(tǒng)的硬件設備和軟件開發(fā)均要考慮到數(shù)據(jù)備份和網(wǎng)絡安全，同時要建立起配套的安全管理體系，防患于未然。2.3 設計思路根據(jù)本項目的建設目標，在系統(tǒng)總的指導思想和建設原則的基礎上，我們認為本項目的系統(tǒng)建設可以從以下幾個方面入手：2.3.1 以數(shù)據(jù)為核心、對數(shù)據(jù)進行統(tǒng)一管理數(shù)據(jù)是系統(tǒng)生存的基礎，是系統(tǒng)具有有生命力的保證。在系統(tǒng)建設與實施過程中只有充分重視和考慮業(yè)務數(shù)據(jù)的標準和規(guī)范性，建立起業(yè)務數(shù)據(jù)生產(chǎn)、更新和維護的規(guī)范機制，才能保證數(shù)據(jù)的開放性和交互共享性。因此整個設計將圍繞數(shù)據(jù)進行數(shù)據(jù)標準、數(shù)據(jù)存儲、數(shù)據(jù)交換、數(shù)據(jù)處理等等。由于系統(tǒng)數(shù)據(jù)是海量的，涉及到多媒體數(shù)據(jù)、空間數(shù)據(jù)等文本與非文本數(shù)據(jù)信息，這些數(shù)據(jù)具有不同特點，其中的關系十分復雜，數(shù)據(jù)在系統(tǒng)建設的過程還將不斷的擴充、變化，因此必須建立有效的一體化數(shù)據(jù)模型，對數(shù)據(jù)進行統(tǒng)一管理，才能保證框架的穩(wěn)定性和系統(tǒng)的可擴展性。這樣即可以幫助劃清不同業(yè)務之間的邊界，又可以方便業(yè)務之間的數(shù)據(jù)共享與系統(tǒng)集成。另外，一體化的數(shù)據(jù)管理還有助于數(shù)據(jù)的維護與更新，分發(fā)與共享。2.3.2 組件化結構，促進多種技術集成系統(tǒng)建設需要將多種技術融為一體，共同完成系統(tǒng)的建設目標。系統(tǒng)設計不僅要考慮不同業(yè)務不同功能間的集成之外，還應該考慮不同技術間的集成。系統(tǒng)框架采用“微內(nèi)核”“插件”的結構，將絕對必要的功能封裝為系統(tǒng)的內(nèi)核，其他功能則依據(jù)擴展接口核規(guī)則，通過插件的方式提供，降低組件間的耦合度，在更高的層次上實現(xiàn)軟件復用，有助于提高系統(tǒng)的兼容性、擴展性、靈活性、可靠性和網(wǎng)絡支持，實現(xiàn)軟件的無縫集成。兼容性：微內(nèi)核中只包含絕對必要的功能，這些是通用的和最基本的，具體功能的實現(xiàn)必然要利用已有的產(chǎn)品和研發(fā)成果，一個好的產(chǎn)品必然是建立在這些通用和最基本的東西之上的，這種結構能夠兼容更多的產(chǎn)品。擴展性：內(nèi)核只提供機制，而把實現(xiàn)策略留給插件。可以根據(jù)接口，通過開發(fā)插件的方式來解決操作上的不便或增加一些功能。實現(xiàn)真正意義的“即插即用”的軟件開發(fā)。靈活性：系統(tǒng)更容易通過插件組裝進行功能定制，根據(jù)需要選夠功能插件，定制軟件的界面、操作流程，使系統(tǒng)具有伸縮性，滿足用戶的個性化需求。可靠性：體積較小的內(nèi)核可以得到更多的測試，使系統(tǒng)骨架更加穩(wěn)定、健壯。大部分功能都是采用插件實現(xiàn)的，插件與內(nèi)核之間有隔離，所以一旦發(fā)生故障不至于導致系統(tǒng)的崩潰，避免出現(xiàn)“牽一發(fā)而動全身”。網(wǎng)絡支持：微內(nèi)核設計基于消息傳送機制，所以能更容易支持網(wǎng)絡通信，適應分布式的應用環(huán)境。另外，采用這種“微內(nèi)核”“插件”的結構，也有助于實現(xiàn)系統(tǒng)的分階段實施，在第一階段開發(fā)出來框架和接口機制，后續(xù)階段需要對功能進行完善或增加新的功能，只需要通過對插件的局部修改和開發(fā)新的插件就可以實現(xiàn)，而且，插件提供的標準化接口，也能幫助用戶進行二次開發(fā)。2.3.3 借鑒成功的案例，采用成熟的主流開源產(chǎn)品系統(tǒng)建設應該以成熟的應用和技術為基礎，緊跟主流的信息技術，這樣才能保證系統(tǒng)的穩(wěn)定性、先進性和成熟性。系統(tǒng)采用的許多技術，如：工作流引擎、ESB、XML、SOA等都是基于工業(yè)標準，在業(yè)內(nèi)得到廣泛的應用，技術上已經(jīng)非常成熟，資料齊全，隊伍龐大，有較多的成功案例可供參考，保證了技術的先進性和穩(wěn)定性的有機結合。系統(tǒng)選用的服務器、網(wǎng)絡設備等硬件，以及應用服務器、數(shù)據(jù)庫管理平臺、中間件平臺以等軟件皆為業(yè)內(nèi)主流的平臺。這些成熟的產(chǎn)品經(jīng)過市場的檢驗，在性能、接口、技術上都經(jīng)過實際應用的測試，有許多經(jīng)驗可以借鑒，可以縮短系統(tǒng)開發(fā)的時間，降低開發(fā)風險。充分利用我公司已有相關案例的成功經(jīng)驗，總結和深化了許多業(yè)務及關鍵技術，通過多方案的比較和中和分析，在充分認證的基礎上來進行系統(tǒng)設計?？傊?，充分借鑒現(xiàn)有的成功案例，采用工業(yè)標準、標準和成熟的開源主流產(chǎn)品及我公司自主研發(fā)產(chǎn)品，系統(tǒng)建設將不存在關鍵技術上的風險，為系統(tǒng)實現(xiàn)建設目標提供有力的保障數(shù)據(jù)庫建設。2.4 建設方案數(shù)據(jù)資源平臺建設包括數(shù)據(jù)庫建設、存儲系統(tǒng)建設和備份恢復策略，用以實現(xiàn)對信息的存儲和管理。數(shù)據(jù)庫軟件選用與國家級中心一致的數(shù)據(jù)庫（Oracle Database Enterprise Edition 11g），庫標準參照標準執(zhí)行，并且需交換的數(shù)據(jù)庫表結構也要與國家級中心一致。3. 應用支撐層建設3.1 建設目標本項目建設目標可以概括為：以促進某某市某某安全工作的科學管理和高效服務為驅(qū)動力，以物聯(lián)網(wǎng)、云計算和地理空間信息平臺為技術支撐，依托各縣市區(qū)已建的某某安全信息采集系統(tǒng)，建設某某市某某安全資源共享服務體系和綜合業(yè)務應用系統(tǒng)，實現(xiàn)對規(guī)模以上工程的三維和全景建模以及監(jiān)測信息的自動采集，完成某某市某某安全基礎數(shù)據(jù)庫數(shù)據(jù)的核查、補充和完善，使得基礎數(shù)據(jù)庫的數(shù)據(jù)完整程度達到100%，數(shù)據(jù)準確率達到95%以上。全面提升某某安全主管部門的管理水平、服務水平和工作效率，使某某市某某安全信息化建設走在全國前列，處于領先水平。3.2 建設方案3.2.1 建設原則應用支撐平臺在建設標準上應遵循國家和行業(yè)信息化建設有關標準及要求，原則如下：（1）標準性、開放性所采用的相關標準必須是當前主流的SOA技術標準，確保系統(tǒng)具有良好的開放性，能夠?qū)崿F(xiàn)與多種技術和軟硬件平臺的有機集成。（2）穩(wěn)定性、可靠性應用支撐平臺必須具備運行穩(wěn)定、可靠性高的特點，保證7*24小時不停機運行。（3）可擴展性應用支撐平臺采用可擴展的SOA體系架構，以適應信息化建設和應用系統(tǒng)快速發(fā)展的要求。接口采用中立的方式進行定義，獨立于實現(xiàn)服務的硬件平臺、操作系統(tǒng)和編程語言，便于系統(tǒng)升級和系統(tǒng)擴容。在保證當前應用的同時，充分考慮未來發(fā)展需要，搭建的硬件平臺要具備擴展能力，滿足開放性需求。（4）安全性應用支撐平臺必須具備相應的安全策略來保證數(shù)據(jù)交換的安全可靠。系統(tǒng)設計中首要考慮如何建立整個系統(tǒng)的安全性、保密性，而且這種考慮必須是整體的、全面的。系統(tǒng)必須要提供數(shù)據(jù)的機密性、數(shù)據(jù)完整性、身份識別和認證、訪問控制、時間戳服務、防抵賴性、網(wǎng)間數(shù)據(jù)傳輸安全（支持雙網(wǎng)隔離狀況下的數(shù)據(jù)傳輸和同步）等安全保障措施。（5）可管理性應用支撐平臺應具有良好的可管理性，允許管理人員通過管理工具實現(xiàn)系統(tǒng)的監(jiān)控、管理和配置。（6）松耦合性通過應用支撐平臺連接起來的多個應用系統(tǒng)之間是一種松耦合的關系，其中任何系統(tǒng)的應用都不會受其他系統(tǒng)造成直接的危害和影響。3.2.2 建設模式應用支撐平臺采用以下建設模式：（1）選擇的體系結構、支撐平臺系統(tǒng)軟件及開發(fā)運行環(huán)境應與國家系統(tǒng)保持一致，并注意與其共享相關的數(shù)據(jù)資源和軟件資源，避免產(chǎn)生重復建設的內(nèi)容。（2）在充分分析后期管理業(yè)務需求的基礎上，應明確相應層次和各部分的建設內(nèi)容，特別是要明確平臺內(nèi)各部分的關系與相互間的數(shù)據(jù)接口和控制接口。（3）考慮到可能進行建設的需要，支撐平臺的實施方案，應在完整描述平臺整體框架基礎上，梳理各項建設內(nèi)容的相互關系。（4）應用支撐平臺與業(yè)務應用間的關系，是實施方案的重點內(nèi)容之一。應在充分分析業(yè)務應用需求和建模時，注意支撐平臺的要求，給出各業(yè)務間的數(shù)據(jù)關聯(lián)和控制關聯(lián)關系，提出業(yè)務應用功能與支撐平臺間的相互關系，提出業(yè)務應用功能與支撐平臺間的劃分與接口。（5）應用支撐平臺應支持水利系統(tǒng)統(tǒng)一的CA認證。（6）應用支撐平臺應支持信息系統(tǒng)的應用。（7）在滿足數(shù)據(jù)與處理分離的基本要求的同時，應用支撐平臺應充分考慮實時信息和大數(shù)據(jù)量數(shù)據(jù)流應用的特殊要求。3.2.3 建設步驟應用支撐層建設步驟如下：（1） 分析并確定系統(tǒng)底層服務，如用戶認證授權、數(shù)據(jù)交換、數(shù)據(jù)庫訪問、目錄訪問等；（2） 深入分析業(yè)務應用系統(tǒng)中各業(yè)務應用共有的基礎應用模塊，如報表生成、匯總統(tǒng)計、打印輸出、Excel導入/導出等；（3） 分析系統(tǒng)信息流向和觸發(fā)機制，完善系統(tǒng)自動化流程；（4） 結合以上分析工作，通過購買中間件或自行開發(fā)方式建立應用支撐平臺；（5） 自行開發(fā)應采用統(tǒng)一標準和技術，做到易擴展及平臺無關。3.2.4 統(tǒng)計報表（中間件）統(tǒng)計報表（中間件）是采用統(tǒng)計報表制作及報表及數(shù)據(jù)填報的企業(yè)級工具軟件，解決報表單元格與關系數(shù)據(jù)庫之間的關聯(lián)規(guī)律性，適合于報表的填報和統(tǒng)計。 功能特點（1）繪制方便統(tǒng)計報表采用類EXCEL的繪制方式，做到所見即所得，極大的提高的表格繪制的方便度和效率，產(chǎn)品特有的EXCEL導入功能（包括格式）可充分利用業(yè)務人員原有積累。（2）數(shù)據(jù)模型先進統(tǒng)計報表的數(shù)據(jù)模型解決了報表中單元格與數(shù)據(jù)字段之間的弱關聯(lián)性，徹底打破傳統(tǒng)行式報表方案，報表行列完全對稱，特有的層次擴展機制使多層分組及交叉報表制作非常簡單，提供針對關聯(lián)格的跨行跨組運算，很容易計算小計、同期比等數(shù)據(jù)。同一報表中支持多個異構的數(shù)據(jù)源，允許報表各片之間無關，可用多個簡單的數(shù)據(jù)集成組合出復雜報表，程序員無須再為每張報表編程（腳本或存儲過程）或?qū)憦碗s的SQL查詢語句準備數(shù)據(jù)。（3）輸出能力豐富統(tǒng)計報表每個單元格屬性均提供條件控制，如顏色、行高、是否可見等均可與格內(nèi)數(shù)據(jù)相關；支持代碼顯示值對應、多種數(shù)據(jù)格式、圖片文件和圖片字段的處理。提供十幾種各類統(tǒng)計圖，支持PNG/GIF/JPG三種格式。每張報表均可生成HTML、EXCEL、PDF三種輸出格式（輸出結果完全不失真，包括其內(nèi)的統(tǒng)計圖）。單元格與統(tǒng)計圖例均可加帶參數(shù)的鏈接從而實現(xiàn)數(shù)據(jù)提取功能，多層報表可在線收縮展開。（4）打印控制強大統(tǒng)計報表提供強大的打印控制功能，按行數(shù)和紙張大小分頁分欄或強制分頁，表頭自動重復（包括左表頭），允許一張紙上打多個報表，提供末頁補足空行?？刹捎孟袼睾秃撩變煞N計量單位，底圖描繪功能以支持套打；（5）集成性好統(tǒng)計報表采用純C#開發(fā)，利用服務器端提供豐富的API調(diào)用和標記可完全無縫地嵌入到基于JAVA的應用程序中（可看作應用程序員自己寫的代碼），程序員可更換報表的數(shù)據(jù)庫連接和數(shù)據(jù)源、采用應用服務器的連接池管理；設計器也提供外置的數(shù)據(jù)源和數(shù)據(jù)字典定義，可由應用程序員提供這些信息。（6）特色填報功能統(tǒng)計報表還提供數(shù)據(jù)填報功能，填報表中可加入跨行跨表的合法性檢查規(guī)則，支持自動計算，與數(shù)據(jù)庫表關系定義靈活，可同時寫入多表，支持自由式填報（每表一條記錄）、行式填報（每行一條記錄）和交叉表填報（每格一條記錄），支持多級填報（填報表部分數(shù)據(jù)可來自其它數(shù)據(jù)庫的匯總表）。 構成與應用方案統(tǒng)計報表由三個部分構成：l 報表設計器：設計編輯報表，自帶報表運算引擎，連接數(shù)據(jù)庫后可預覽打印報表，并可生成其它格式保存。設計器不依賴于其它部分，可獨立運行；l 報表服務器：在后臺提供報表統(tǒng)計運算和填報處理服務，開放各層次的API接口調(diào)用，由其它程序員調(diào)用生成結果報表；報表服務器只能運算設計器編輯的報表，但運行時不再依賴設計器；l 報表調(diào)度器：作為服務程序運行，在設定的時刻自動計算報表并將結果保存或推送到指定目的地；調(diào)度器運行時依賴于報表服務器；統(tǒng)計報表采用純JAVA開發(fā)，對操作系統(tǒng)、數(shù)據(jù)庫、Web服務器均無特別要求，只要能支持Java即可；設計器需要JDK1.4.1以上，其它部分需要JDK1.3.1以上，可采用應用服務器的連接池。（1）報表制作與調(diào)度報表設計器報表服務器報表調(diào)度器數(shù)據(jù)庫打印或輸出結果文檔輸出結果文檔到指定目錄或EMAIL推送報表文件統(tǒng)計報表可直接提供給終端用戶進行報表制作，其應用結構如下圖：用戶可采用報表設計器制表，連上數(shù)據(jù)庫后即可打印或生成其它格式的文件（HTML/EXCEL/PDF）；配合以報表服務器與調(diào)度器，用戶還可設置定時生成規(guī)則，調(diào)度器會調(diào)用服務器按時生成報表并存儲到指定目錄或EMAIL發(fā)送給指定郵箱。（2）報表集成統(tǒng)計報表還可由開發(fā)人員通過報表服務器的API集成到應用系統(tǒng)中，結構如下：用戶應用系統(tǒng)(JSP或servlet)報表設計器報表服務器數(shù)據(jù)庫報表文件WebServer瀏覽器或文件系統(tǒng)報表服務器提供豐富的API接口（Java類調(diào)用/JSP中tag）供程序員將報表嵌入到用戶自己的應用程序中（原則應當是基于JAVA機制的B/S應用系統(tǒng)），服務器可與用戶程序無縫結合，并可使用WebServer的連接池，程序員還可以通過API替換數(shù)據(jù)源（如采用XML數(shù)據(jù)源或其它文件甚至API數(shù)據(jù)源等）。除在線填報外，統(tǒng)計報表支持離線填報，報表服務器可生成帶計算公式和合法性檢查的HTML文件，用戶可離線填寫這些HTML文件，填寫完畢再提交給填報服務器入庫。3.2.5 關鍵技術應用 中間件技術中間件具有以下的一些特點：滿足大量應用的需要；運行于多種硬件和OS平臺；支持分布式計算，提供跨網(wǎng)絡、硬件和OS平臺的透明性的應用或服務的交互功能；支持標準的協(xié)議；支持標準的接口。程序員通過調(diào)用中間件提供的大量API，實現(xiàn)異構環(huán)境的通訊，從而屏蔽異構系統(tǒng)中復雜的操作系統(tǒng)和網(wǎng)絡協(xié)議。針對不同的操作系統(tǒng)和硬件平臺，它們可以有符合接口和協(xié)議規(guī)范的多種實現(xiàn)。由于標準接口對于可移植性和標準協(xié)議對于互操作性的重要性，中間件已成為許多標準化工作的主要部分。對于應用軟件開發(fā)，中間件遠比操作系統(tǒng)和網(wǎng)絡服務更為重要，中間件提供的程序接口定義了一個相對穩(wěn)定的高層應用環(huán)境，不管底層的計算機硬件和系統(tǒng)軟件怎樣更新?lián)Q代，只要將中間件升級更新，并保持中間件對外的接口定義不變，應用軟件幾乎不需任何修改，從而保護了企業(yè)在應用軟件開發(fā)和維護中的重大投資。中間件是一種獨立的系統(tǒng)軟件或服務程序，分布式應用軟件借助這種軟件在不同的技術之間共享資源。中間件軟件管理著客戶端程序和數(shù)據(jù)庫或者早期應用軟件之間的通訊。中間件在分布式的客戶和服務之間扮演著承上啟下的角色，如事務管理、負載均衡以及基于Web的計算等。利用這些技術有助于減輕開發(fā)者的負擔，使他們利用現(xiàn)有的硬件設備、操作系統(tǒng)、網(wǎng)絡、數(shù)據(jù)庫管理系統(tǒng)以及對象模型創(chuàng)建分布式應用軟件時更加得心應手。由于中間件能夠保護企業(yè)的投資，保證應用軟件的相對穩(wěn)定，實現(xiàn)應用軟件的功能擴展；同時中間件產(chǎn)品在很大程度上簡化了一個由不同硬件構成的分布式處理環(huán)境的復雜性，所以它的出現(xiàn)正日益引起用戶的關注，總結中間件在業(yè)務應用中的特點如下：（1）異構系統(tǒng)整合在應用支撐平臺的建設中，由于應用系統(tǒng)比較多，必然會遇到大量不同硬件平臺、操作系統(tǒng)和應用之間互聯(lián)互通的問題。中間件為應用屏蔽掉操作系統(tǒng)的處理細節(jié)，對不同的網(wǎng)絡環(huán)境具有極強的適應能力，負責處理異構系統(tǒng)間的數(shù)據(jù)格式轉換，使不同應用間的互連、互通、互操作成為可能。為應用提供統(tǒng)一一致的接口模式，使開發(fā)人員不必關心異構系統(tǒng)所帶來的問題。經(jīng)濟上保護原有的設備投資。（2）通訊可靠性保障在應用支撐平臺系統(tǒng)網(wǎng)絡數(shù)據(jù)通訊過程中，中間件負責應用通訊的通道建立和維護、數(shù)據(jù)的傳輸和校驗、故障恢復、斷點續(xù)傳等工作以保障應用數(shù)據(jù)傳輸?shù)目煽啃浴＃?）應用系統(tǒng)運行效率業(yè)務應用系統(tǒng)的正常運轉必須保障其通訊和處理的性能和效率，這一方面依賴于網(wǎng)絡帶寬和主機系統(tǒng)的處理能力，另一方面依賴于對網(wǎng)絡帶寬和主機系統(tǒng)的處理能力的有效調(diào)度和控制能力。中間件在以下兩個方面保障應用系統(tǒng)的運行效率，降低對系統(tǒng)的硬件要求：無論在何種業(yè)務模式下，保障通訊的效率對提高整個業(yè)務系統(tǒng)的性能都具有特別的意義。中間件在通訊時針對不同的網(wǎng)絡狀況采用相應的流量控制策略，提供壓縮功能以保障數(shù)據(jù)在不同網(wǎng)絡帶寬下的通訊效率。業(yè)務系統(tǒng)的處理效率取決于通訊的效率、主機處理的效率和數(shù)據(jù)庫處理的效率。在高并發(fā)性業(yè)務中，多個客戶前端可能會同時訪問同一個主機或數(shù)據(jù)庫，由于其業(yè)務突發(fā)性，過多的業(yè)務并發(fā)量會導致對主機資源和數(shù)據(jù)庫資源的過度占用從而引發(fā)整個業(yè)務系統(tǒng)的運行效率下降。中間件通過對業(yè)務占用主機資源和數(shù)據(jù)庫資源的有效控制，可以防止低效系統(tǒng)的出現(xiàn)。（4）系統(tǒng)可用性業(yè)務應用系統(tǒng)需要避免硬件故障帶來的不利影響，提供724小時的服務支持。中間件的智能路由能力可以在某點網(wǎng)絡線路故障發(fā)生時自動切換到其它路徑進行通訊傳輸；在某服務主機故障發(fā)生時業(yè)務處理自動交由集群服務器組的其它主機來完成。在突發(fā)異常大的業(yè)務量下不會導致應用系統(tǒng)癱瘓。（5）系統(tǒng)伸縮性業(yè)務應用系統(tǒng)不是一成不變的。中間件支持應用系統(tǒng)正常運行下的應用、部門的動態(tài)增減、變更。隨著業(yè)務數(shù)據(jù)量的不斷增加，將面對不斷增加的業(yè)務壓力。中間件提供了一種簡單快捷的解決方案，只要將多臺機器配成服務器組，增加業(yè)務處理能力，中間件就可以在多臺機器間進行均衡負載的工作以適應不斷變化的業(yè)務需要。（6）開發(fā)標準、簡單要保障項目得以順利進行，需要使開發(fā)工作標準、清晰、簡單有層次，把應用開發(fā)從煩瑣的異構處理、故障恢復、效率保障等等工作中解放出來，專注于業(yè)務的開發(fā)。中間件正是這種能夠使應用程序?qū)Ｂ氂跇I(yè)務，而自身把其它應用系統(tǒng)的需求獨立承擔起來的產(chǎn)品。（7）安全性中間件提供多個層面的安全功能。在通訊雙方可以進行合法性的認證防止非法訪問；可以對服務程序和客戶程序進行合法性認證以防止非法程序使用；可以對用戶進行合法性檢查；對傳輸數(shù)據(jù)可以進行加密以防止數(shù)據(jù)失竊。（8）維護管理簡單方便為了方便對應用和系統(tǒng)的監(jiān)控管理，可以采用中間件的統(tǒng)一管理工具，可以在專門的管理機上由專人來進行統(tǒng)一的管理和維護。整個管理工作非常簡單，有中文界面。 消息服務隨著運行在支撐平臺上的業(yè)務系統(tǒng)越來越多，并且業(yè)務系統(tǒng)是分布的部署在不同的地域，為不同的部門服務。不同系統(tǒng)或不同部門之間存在著強烈的數(shù)據(jù)交換需求，并且需要在數(shù)據(jù)傳輸?shù)倪^程中確保消息的可靠性，不允許丟失消息。即使在傳輸過程中出現(xiàn)機器宕機或網(wǎng)絡斷開的故障，也要求能夠?qū)鬏數(shù)臄?shù)據(jù)進行保存，等待故障排除后，能夠續(xù)傳，而不是丟棄出現(xiàn)故障前已經(jīng)傳輸?shù)臄?shù)據(jù)，讓用戶重新進行傳輸。因此，使用消息中間件構件構建應用支撐平臺的消息服務。消息中間件先進的隊列、消息及路由等處理機制，使其能夠為應用系統(tǒng)提供高效、靈活的同步和異步傳輸處理、存儲轉發(fā)、消息路由等技術支持，確保消息在任何情況下都能夠安全、可靠的送達。通過使用消息中間件，應用系統(tǒng)完全不需要擔心消息傳遞過程中可能遇到的各種障礙（機器故障、網(wǎng)絡故障等）和異常。消息中間件提供點對點、發(fā)布訂閱、路由、集群等多種方式的消息傳遞模式，極大方便了企業(yè)應用的靈活構建，同時消息中間件通過對核心、進程管理、隊列管理等各層面的優(yōu)化和改進，能夠更加充分地利用硬件和網(wǎng)絡資源，極大地提高了傳輸效率，為各種不同應用模式、不同系統(tǒng)規(guī)模、不同消息傳輸量的系統(tǒng)提供了強有力的后臺支撐。 面向服務的架構（SOA） 面向服務的架構（SOA）可以將原來各自為政的IT系統(tǒng)有機整合起來，實現(xiàn)信息、IT資產(chǎn)的共享和重用。采用成熟的SOA技術架構建設應用支撐平臺，實現(xiàn)系統(tǒng)之間的松耦合，實現(xiàn)系統(tǒng)之間的整合與協(xié)同，便于用戶對后勤信息服務中心系統(tǒng)的管控和積累。 面向服務的架構（SOA）是目前最領先的IT架構。在這種架構下，應用系統(tǒng)的接口被發(fā)布成“服務”，部署在應用支撐平臺系統(tǒng)上。任何一個應用要訪問其他應用可以通過對應用支撐平臺系統(tǒng)上的服務進行發(fā)現(xiàn)和服務的表述來確定被訪問服務的屬性和調(diào)用格式，從而實現(xiàn)標準化的應用之間的協(xié)作，達到應用系統(tǒng)之間的松散耦合。 Web服務（Web Services）Web服務是為了讓地理上分布在不同區(qū)域的計算機和設備一起工作，以便為用戶提供各種各樣的服務。用戶可以控制要獲取信息的內(nèi)容、時間、方式，而不必在無數(shù)個信息孤島中瀏覽，去尋找自己所需要的信息。隨著Web服務技術的發(fā)展和運用，我們目前所進行的開發(fā)和使用應用程序的信息處理活動將過渡到開發(fā)和使用Web服務。將來，Web服務將取代應用程序成為Web上的基本開發(fā)和應用實體。Web Services可以通過web描述、發(fā)布、定位和調(diào)用的模塊化應用。Web Services通過簡單對象訪問協(xié)議 （Simple Object Access Protocol，SOAP）來調(diào)用。SOAP是一種輕量級的消息協(xié)議，它允許用任何語言編寫的任何類型的對象在任何平臺之上相互通信。SOAP消息采用可擴展標記語言（XML）進行編碼，一般通過HTTP進行傳輸。與其它的分布式計算技術不同，Web Services是松耦合的，而且能夠動態(tài)地定位其他在internet上提供服務的組件，并且與它們交互。3.2.6 CA認證功能設計為保障用戶賬戶安全，杜絕密碼泄露、暴力破解等情況造成的安全隱患，系統(tǒng)采用硬件加密認證方式驗證用戶。CA（Certificate Authority）認證中心，它是采用PKI（Public Key Infrastructure）公開密鑰基礎架構技術，專門提供網(wǎng)絡身份認證服務，負責簽發(fā)和管理數(shù)字證書。根據(jù)建設和使用方式不同，CA分為第三方CA與自建CA：第三方CA自建CA建設/使用成本一般由第三方CA按用戶收取年費，建設投入和證書使用成本較高一次投入建設成本，建成后可為用戶免費發(fā)放證書，成本較低證書有效性檢查由第三方提供的CRL（證書撤銷列表，時效性較差）或者OCSP（在線證書狀態(tài)查詢，依賴于外部系統(tǒng)，已形成性能瓶頸）與業(yè)務系統(tǒng)緊密結合，對證書有效性的控制和檢查實時準確定制化/靈活性按第三方規(guī)定的流程申請證書，受制于第三方的系統(tǒng)，還需要將用戶證書導入業(yè)務系統(tǒng)中，靈活性較差可以與業(yè)務系統(tǒng)緊密結合，滿足業(yè)務系統(tǒng)的定制化需求，靈活性高故障響應時間故障解決依賴于第三方故障響應及時認證資質(zhì)已通過相關單位審批，有電子認證服務資質(zhì)，權威性強建成后，對外提供電子認證服務時，需要通過相關單位審批由于本系統(tǒng)采用CA認證僅用于系統(tǒng)內(nèi)部身份驗證，不參與對外發(fā)放CA認證證書，無需申請相關資質(zhì)。同時，本系統(tǒng)用戶眾多，認證發(fā)放和管理需具有較強的自主權、具有較快的反應時間、具備較高的安全性，因此本系統(tǒng)采用自建CA模式。 邏輯結構在CA系統(tǒng)、目錄服務器、身份認證網(wǎng)關建設完成后，與各個應用系統(tǒng)的邏輯結構圖如下所示：圖5-2 邏輯結構圖如圖5-2所示，在某某市水利局內(nèi)部建立統(tǒng)一的數(shù)字認證中心，為內(nèi)部用戶發(fā)放數(shù)字證書，并且通過與后臺應用系統(tǒng)的結合，實現(xiàn)數(shù)字證書與應用系統(tǒng)的無縫對接。CA系統(tǒng)采用目錄服務器作為存儲服務器，向目錄服務器添加、刪除用戶信息和證書，并為客戶實現(xiàn)查詢證書、下載證書信息，以及CRL（證書作廢列表，也稱黑名單）等功能。在與應用系統(tǒng)的整合過程中，某某市水利局數(shù)字證書中心提供根證書及CRL（證書作廢列表，也稱黑名單）驗證服務，確保此數(shù)字認證中心所發(fā)放數(shù)字證書的有效性，并且通過應用客戶端的數(shù)字證書、USB KEY及身份認證接口的部署，實現(xiàn)客戶端的數(shù)字證書部署和應用。 網(wǎng)絡結構某某市水利局PKI應用安全建設網(wǎng)絡拓撲圖如下：圖5-3 網(wǎng)絡拓撲圖如圖5-3所示，在某某市水利局內(nèi)部局域網(wǎng)中部署身份認證系統(tǒng)（CA）、目錄服務器、身份認證網(wǎng)關，并連接核心交換機，以實現(xiàn)內(nèi)部的網(wǎng)絡部署和互聯(lián)。通過某某市水利局的內(nèi)部網(wǎng)絡，實現(xiàn)基于內(nèi)部、遠程授權用戶互聯(lián)，并為其發(fā)放數(shù)字證書。同時，基于某某市水利局的內(nèi)部網(wǎng)絡，可實現(xiàn)各應用系統(tǒng)的統(tǒng)一身份認證，實現(xiàn)“一證通”，即一套數(shù)字證書系統(tǒng)實現(xiàn)多應用的統(tǒng)一認證、管理。用戶證書的查詢、管理可通過目錄服務器來完成。針對數(shù)字證書的管理，可通過內(nèi)部網(wǎng)絡的管理客戶端，采用B/S模式直接訪問身份認證系統(tǒng)（CA），實現(xiàn)數(shù)字證書的申請、審核、發(fā)放、注銷等管理操作。 建設內(nèi)容身份認證系統(tǒng)（CA）身份認證系統(tǒng)由密鑰管理中心（KMC）、CA管理中心、簽發(fā)服務器等部分組成，其結構如圖5-4所示：圖5-4 CA系統(tǒng)構成圖身份認證網(wǎng)關身份認證網(wǎng)關是一款利用PKI技術來驗證用戶身份的安全產(chǎn)品，支持硬件密碼卡、國際/國內(nèi)標準密碼算法，通過開發(fā)接口將應用系統(tǒng)與網(wǎng)關進行無縫結合，保證了用戶身份的合法性和有效性。身份認證網(wǎng)關底層依托于安全操作系統(tǒng)及密碼卡、加速卡設計，通過管理系統(tǒng)、服務端通信系統(tǒng)和客戶端API接口保障了身份認證的安全、可靠。身份認證網(wǎng)關具備以下功能：1、實現(xiàn)基于數(shù)字證書的身份認證，支持不同CA的用戶證書驗證，提供CRL/OCSP/LDAP/AD 等多種方式的證書有效性驗證。2、支持黑名單、白名單功能。3、系統(tǒng)可以備份當前所有配置信息，保證系統(tǒng)癱瘓時的快速恢復。4、系統(tǒng)可以自行記錄日志，也可以將日志以SYSLOG 的方式發(fā)送到指定服務器，并提供對日志審計功能。5、可同時配置多條證書鏈，驗證不同CA的用戶證書。6、支持雙機熱備、負載均衡方式部署，保證了業(yè)務系統(tǒng)身份認證的不間斷應用。3.2.7 USBKEY智能密碼鑰匙USB KEY是通過國家密碼管理委員會辦公室安全性審查的客戶端密碼產(chǎn)品?？纱鎯酥境钟姓呱矸?、持有者權限等敏感、重要、保密的信息如數(shù)字證書的公/私鑰對。帶有密碼運算的加密協(xié)處理器，保證密碼運算的安全性和高效性。USBKEY內(nèi)置COS（Card Operate System）系統(tǒng)，可根據(jù)應用的需要，提供加解密、數(shù)字簽名、驗證簽名等安全服務，從而保證敏感信息在網(wǎng)絡傳輸中的機密性、完整性、有效性和不可否認性。某某市水利局的數(shù)字證書中心簽發(fā)的數(shù)字證書和密鑰信息存儲在USBKEY中。 目錄服務目錄服務是用于在全球范圍內(nèi)查找用戶和商業(yè)伙伴的強大的搜索工具。近幾年，隨著LDAP（Light Directory Access Protocol，輕量級目錄訪問協(xié)議）技術的興起和應用領域的不斷擴展，目錄服務技術成為許多新型技術實現(xiàn)信息存儲、管理和查詢的首選方案，特別是在網(wǎng)絡資源查找、用戶訪問控制與認證信息的查詢、新型網(wǎng)絡服務、網(wǎng)絡安全、商務網(wǎng)的通用數(shù)據(jù)庫服務和安全服務等方面，都需要應用目錄服務技術來實現(xiàn)一個通用、完善、應用簡單和可以擴展的系統(tǒng)。LDAP（Lightweight Directory Access Protocol），輕量級目錄訪問協(xié)議。它是目錄訪問協(xié)議一個標準。它是基于X.500標準的，可以根據(jù)需要定制。輕量級目錄訪問協(xié)議以信息目錄的形式存在，在該目錄中可只定義一次用戶和組，而在多臺機器和多個應用程序間共享它們。LDAP定義與目錄服務進行通信所使用的操作，如何找到目錄中的實體，如何描述實體屬性，以及許多安全特性。這些安全特性可用于對目錄進行身份驗證，控制對目錄中的實體的訪問。LDAP標準中沒有定義在目錄服務器上存儲信息的方式。為實施LDAP服務器，使用了許多不同的技術。這些技術包括簡單的平面文件、索引文件和相關數(shù)據(jù)庫。無論使用什么技術來實施目錄，從LDAP客戶端對目錄的所有訪問都使用相同的標準協(xié)議：LDAP。為此，盡管存在不同的內(nèi)容結構，這些目錄都被稱為LDAP目錄服務器。在企業(yè)范圍內(nèi)實現(xiàn)LDAP可以讓運行在幾乎所有計算機平臺上的所有的應用程序從LDAP目錄中獲取信息LDAP目錄中可以存儲各種類型的數(shù)據(jù)：電子郵件地址、郵件路由信息、人力資源數(shù)據(jù)、公用密匙、聯(lián)系人列表，等等。通過把LDAP目錄作為系統(tǒng)集成中的一個重要環(huán)節(jié)，可以簡化員工在企業(yè)內(nèi)部查詢信息的步驟，甚至連主要的數(shù)據(jù)源都可以放在任何地方。 數(shù)據(jù)交換功能設計數(shù)據(jù)交換子系統(tǒng)分為兩個方面，一是通過數(shù)據(jù)抽取服務將省級分中心的數(shù)據(jù)抽取并發(fā)送至全國移民管理信息系統(tǒng)國家級中心數(shù)據(jù)庫，二是通過數(shù)據(jù)導入服務將國家級系統(tǒng)的共享數(shù)據(jù)導入到省級移民系統(tǒng)數(shù)據(jù)庫。其中，需交換的數(shù)據(jù)主要包括地理信息數(shù)據(jù)、基本資料數(shù)據(jù)、規(guī)劃管理數(shù)據(jù)、資金管理數(shù)據(jù)、匯總分析數(shù)據(jù)、報表數(shù)據(jù)、綜合管理數(shù)據(jù)等。數(shù)據(jù)交換子系統(tǒng)的建設內(nèi)容包括：n 開發(fā)數(shù)據(jù)交換平臺，以提供穩(wěn)定、可靠的數(shù)據(jù)傳輸功能；n 負責提供標準化的統(tǒng)一數(shù)據(jù)傳