中国科学院软件研究所电子政务应用系统的构建.doc

目目 录录 1 概述 概述 2 1 1 背景 2 1 2 系统目标 2 1 3 应用需求 3 2 电子政务系统总体解决方案 电子政务系统总体解决方案 4 2 1 总体框架 4 2 2 多层隔离结构的网络解决方案 4 2 3 电子政务系统的安全风险分析与对策 5 2 4 面向电子政务系统的应用领域框架 6 3 中国科学院软件研究所万里红电子政务平台 中国科学院软件研究所万里红电子政务平台 7 3 1 万里红电子政务平台 V 1 0 7 3 1 1 综述 7 3 1 2 安全体系 7 3 1 3 网络 系统层 8 3 1 4 数据访问层 9 3 1 5 信息交换层 10 3 1 6 应用层 12 3 2 关键平台部件 13 3 2 1 安全支撑平台 13 3 2 2 自主操作系统 15 3 2 3 WEB 应用服务器 16 3 2 4 分布数据资源访问 17 3 2 5 消息队列 18 3 2 6 多语种中文平台 18 3 3 应用实例 19 3 3 1 政府 某国家部委政务信息系统 19 3 3 2 行业 邮政综合管理系统 20 4 电子政务应用系统的构建 电子政务应用系统的构建 21 4 1 电子政务系统的建设策略 21 4 2 应用体系与技术体系 21 4 3 先进性与技术自主性的关系 22 4 4 建设电子政务系统的规范 22 1 1 概述 概述 1 1 1 1 背景背景 政府的信息化建设是国民经济信息化建设的重要组成部分 随着技术进步的加快 尤 其是国际互联网的出现和迅速发展 一个全球性的信息社会正在逐步形成 推进政府部门 政务工作的自动化 网络化 电子化 已是大势所趋 联合国经济社会事务部把推进发展 中国家政府信息化作为近几年的工作重点 目的是通过信息技术的应用改进政府组织 重 组公共管理 最终实现办公自动化和信息资源的共享 在世界各国积极倡导的 信息高速 公路 的五个领域中 电子政府 被列在第一位 可见政府信息化是社会信息化的基础 在这方面 一些发达国家已先行一步 近年来 欧美日等发达国家为提高国际竞争优势 相继推出国家信息基础建设 并规划网络构建 电子政府 作为提高政府效率及为公众 服务的重点 建立一个反映人民需求为导向的政府 以更有效率的行政流程 为人民提供 更广泛 更便捷 更友好的信息和服务 在我国 政府部门的管理观念也在逐步发生变化 其职能正从管理型转向管理服务型 如何更好地发挥政府部门宏观管理 综合协调的职能 如何更加有效地向公众提供服务 提高工作效率 打破信息盲区 加强廉政建设已成为当前各级政府部门普遍关注和亟待解 决的问题 国家 十五 计划纲要要求 政府行政管理要积极运用数字化 网络化技术 加快信息化进程 各级政府 行政管理部门都面临着利用信息技术推动政务工作科学化 高效率的新局面 如何选择 运用一套有效的电子政务平台 如何培养一支高素质的政务 队伍 已提到各级政府 行政部门的议事日程中 中国科学院软件研究所积十余年为政府 各行业实施信息化的经验 结合信息技术发 展的最新成果 推出新一代电子政务解决方案 中国科学院软件研究所万里红电子政 务平台 该平台符合现行的政务标准 是一个安全性高 可用性强 跨地区 跨部门 跨 平台的协同工作通用系统 并可根据实际需求快速定制应用系统 1 1 2 2 系统目标系统目标 中国科学院软件研究所万里红电子政务平台采用先进的网络及软件技术 支持中国电 子政务系统的快速开发 灵活部署和高效安全运行 可以实现政府内部 政府部门之间以 及面向社会的信息共享 业务联动 科学决策 平台遵照中国政府信息系统建设的相关规 定 针对中国国情和政府信息化建设的现状 基于统一的安全策略 能够集成各类政务信 息管理系统 业务信息管理系统和辅助办公系统 并提供高效 安全 完备的综合电子政 务应用体系的构造方案 1 3 应用需求应用需求 根据当前我国各级 各类政府机构及管理部门的工作特点 电子政务系统的应用需求 主要包括以下几类 第一类 政府部门面向社会提供的应用服务及信息发布 包括 基于政府互联网网站的信息发布及查询 面向全社会的各类信访 建议 反馈及数据收集和统计系统 面向全社会的各类项目计划的申报 申请 相关文件 法规的发布及查询 各类公用服务性业务的信息发布和实施 如工商管理 税务管理 保险管理等 第二类 政府部门之间的应用 包括 从中央政府到地方各级政府间的公文信息审核 传递系统 从中央政府到地方各级政府间的多媒体信息应用平台 主要包括 视频会议 多 媒体数据交换等 同级政府之间的公文传递 信息交换 第三类 政府部门内部的各类应用系统 包括 政府内部的公文流转 审核 处理系统 政府内部的各类专项业务管理系统 例如 各类计划管理 项目管理 经费管理 人事管理等 政府内部的各类事务管理系统 例如 日程安全 会议管理 机关事务管理等 政府内部的面向不同管理层的统计 分析系统 第四类 涉及政府部门内部的各类核心数据的应用系统 包括 机要 秘密文件及相关管理系统 领导事务管理系统 包括 日程安排 个人信息等 涉及重大事件的决策分析 决策处理系统 涉及国家重大事务的数据分析 处理系统 2 2 电子政务系统总体解决方案 电子政务系统总体解决方案 2 2 1 1 总体框架总体框架 图 1 电子政务系统总体框架 网络 系统层网络 系统层 提供电子政务系统网络通信和系统服务 包括面向核心应用的安全操 作系统 以及符合国家信息安全 应用系统建设的相关政策法规的多层隔离网络系统 数据访问层数据访问层 集成各类数据资源 提供跨平台异构分布数据资源访问及处理服务 信息交换层信息交换层 支持跨平台应用集成的解决方案 同时提出适应中国电子政务特色 面 向中国政务信息及相关数据的共享和交换标准 应用层应用层 基于构件技术构造面向政务信息系统的应用领域框架 提供快速构建 部署 政务应用系统的方案 2 2 2 2 多层隔离结构的网络解决方案多层隔离结构的网络解决方案 根据国家有关管理部门对政务信息系统的建设要求和国家相关安全保密规定 电子政 务系统的网络构造应基于所承载的信息和应用系统的密级 安全级别分为多层 并采用适 当的物理隔离 应用层应用层 信息交信息交 换层换层 数据访数据访 问层问层 网络 网络 系统层系统层 数据资源 数据访问 转换 提取 过滤 综合 跨平台的消息通信 事件管理 流程控制等 面向政务工作的领域应用框架 软硬件基础设施 政务应用系 统 信息 服务发布网 业务管理系 统 协同工作 决 策支持 内部安全网核心安全网 面 向 电 子 政 务 的 安 全 体 系 第一层 与互联网连通 面向社会提供的一般应用服务及信息发布 包括各类公开信 息和一般的 非敏感的社会服务 例如 基于政府互联网网站的信息发布及查询 面向全 社会的各类信访 建议 反馈及数据收集和统计系统 面向全社会的各类计划 项目的申 报 申请 各类公共服务性业务的信息发布和实施 如工商管理 税务管理 保险管理等 第二层 政府部门内部 以及部门之间的各类非公开应用系统 其中所涉及的各类信 息应在政务专网上传输 主要包括各类公文 一般涉密数据以及政府部门之间的各类交换 信息 这些信息必须依据政府内部的各类管理权限传输 防止来自内部或外部的非法入侵 例如 政府内部的公文流转 审核 处理系统 政府内部的各类专项业务管理系统 政府 内部的各类事务管理系统等 第三层 政府部门内部的各类关键业务管理系统及核心数据应用系统 包括 机要 秘密文件及相关管理系统 领导事务管理系统 涉及各类重大事件的决策分析 决策处理 系统 涉及国家重大事务的数据分析 处理系统等 这些信息和应用系统往往关系到国家 重大事务和机密 必须严格在物理隔离的网络中运行 其中的操作系统应尽量采用自主安 全操作系统 各层网络应采取隔离措施 必需的数据转接应采用安全数据网关 并确保不存在信息 泄漏的可能性 图 2 多层隔离的电子政务系统网络结构示意图 2 2 3 3 电子政务系统的安全风险分析与对策电子政务系统的安全风险分析与对策 由于电子政务系统服务发布层 内部安全应用层 核心安全应用层等网络之间存在着 信息资源 服务对象 数据通信方式等方面的不同 因此 这三类政府信息网络所面临的 安全风险也有一定差异 应应应应用用用用层层层层次次次次安安安安全全全全风风风风险险险险安安安安全全全全对对对对策策策策 信息及服务 发布层 WWW 信息篡改 删除 替换 动态内容监控和自动更新 确保信息的完整性和准 确性 服务响应缓慢或 拒绝服务 实时入侵检测 系统监控 及时发现入侵事件 阻 断攻击通道 信息泄露访问控制以及信道加密 通信内容加密 内部应用层信息泄露对内部网络信息资源进行严格的密级划分 建立统 一的用户授权机制 建立统一的高强度的网络传输 加密通道和网络数据包的加密机制 数据被篡改 删 除 替换 建立统一的网络资源访问控制规则 建立完善的网 络监测和审计机制 数据在应用系统 中被篡改 删除 替换 建立各个应用系统内部的访问控制规则 建立完善 的业务流程监测和审计机制 计算机病毒建立覆盖整个网络的动态计算机病毒监测 预防机 制 核心应用层信息泄露对内部网络信息资源进行严格的密级划分 建立统 一的用户授权机制 建立统一的高强度的网络传输 加密通道和网络数据包的加密机制 数据被篡改 删 除 替换 建立统一的网络资源访问控制规则 建立完善的网 络监测和审计机制 计算机病毒建立覆盖整个网络的动态计算机病毒监测 预防机 制 2 2 4 4 面向电子政务系统的应用领域框架面向电子政务系统的应用领域框架 针对各类政务应用领域 如政务信息应用领域 政府计划及项目管理领域 政府资源 管理领域 政府事务管理领域及各类政府业务管理领域 建立相应的应用领域框架 主 要包括 1 相应领域的应用软件系统结构 框架定义了应用的结构 反映领域的业务 模型 框架可以对用户透明地更换其结构 以适应新的软 硬件环境 从而能够保证复杂 系统开发的更高层的代码和设计复用 2 通用标准构件 框架提供相应领域的标准通 用构件和构件层次结构 具有很强的可塑性 如果用户不喜欢子系统的某一部分 可以简 单地替换之 3 构件相互作用和连接机制 框架提供该框架内构件的连接和相互作用 机制 包括与外部构件的相互作用 4 框架的服务接口 为了同其他框架或系统集成 框架提供服务接口 API 这些 API 是其所提供的服务的抽象 它们位于框架的顶层 5 工具 框架提供相应的组合构造工具和管理维护工具等 3 3 中国科学院软件研究所万里红电子政务平台 中国科学院软件研究所万里红电子政务平台 3 3 1 1 万里红电子政务平台万里红电子政务平台 v1 0v1 0 3 1 1 综述综述 电子政务系统的实施涉及多类计算机软硬件技术及网络通信技术 在实施过程中如何 解决以下环节成为电子政务建设的技术重点 应用模块的快速开发和灵活部署 对异构数据资源和异构操作系统的支持 对分布式应用的支持 系统各层次的标准化 对建立统一安全体系的支持 中国科学院软件研究所针对上述技术环节构造了万里红电子政务平台 该平台由多类 支撑部件构成 这些支撑部件既可组成一个完整的应用体系支撑平台 又可以根据各类政 务信息系统的实际应用情况作为独立的功能部件单独应用 3 1 2 安全体系安全体系 万里红电子政务平台的安全体系是在对电子政务系统各层次的安全风险充分分析的基 础上 结合成熟 先进的安全技术所构建的 其主要功能模块包括 图 3 万里红电子政务平台的安全体系 安全安全安全安全 策略策略策略策略 管理管理管理管理 分析分析分析分析 监控监控监控监控 系统系统系统系统 链路加密模块链路加密模块链路加密模块链路加密模块 网络防火墙 网络防火墙 网络防火墙 网络防火墙 IPIPIP 信道加密模块信道加密模块信道加密模块信道加密模块 端到端的加密模块端到端的加密模块端到端的加密模块端到端的加密模块 数字证书应用管理系统数字证书应用管理系统数字证书应用管理系统数字证书应用管理系统 身份认证 访问控制应用支撑平台身份认证 访问控制应用支撑平台身份认证 访问控制应用支撑平台身份认证 访问控制应用支撑平台 其他应用系统其他应用系统其他应用系统其他应用系统WEBWEB WEB 监控 保护监控 保护监控 保护监控 保护日志日志日志日志 分析分析分析分析 自动自动自动自动 预警预警预警预警 系统系统系统系统 攻击攻击攻击攻击 检测检测检测检测 位于数据链路层及网络层的信道加密及管理模块 网络防火墙 访问代理 攻击检测等模块 数字证书应用管理系统 身份认证 访问控制应用支撑平台 系统监控 日志分析 系统管理模块 WEB 监控和在线保护模块 3 1 3 网络 系统层网络 系统层 电子政务系统系统层软件主要包括操作系统 数据库管理系统和基本网络协议实现等 万里红电子政务平台支持多种操作系统 并可根据应用需求各类集成自主操作系统 这些 操作系统包括服务器操作系统 桌面操作系统以及可应用于核心应用的安全操作系统 安全操作系统主要通过增强的身份标识与验证 细化的自主访问控制 特权用户职责 划分 强制访问控制 审计跟踪 以及安全管理等方面措施增强对基本安全功能的支持 图 4 系统层增强的安全性能 3 1 4 数据访问层数据访问层 1 数据的提取 转换和集成 数据的提取 转换和集成 将多个异构数据源中的数据集成到一个统一的数据中心 数据仓库 中 是一个复杂的 过程 该过程在元数据的监控下 历经数据提取 净化 转换 集成以及加载 刷新等五个 步骤 如图所示 图 5 数据集成过程 2 数据传送工具 数据传送工具 数据传送工具为异构数据源之间提供可基于消息通信 Ftp Email 的 传送双方彼此独立 的 用户界面友好的数据传送功能 数据传送工具主要由发送向导 发送服务器 接收向导 接收服务器和传输接口等部 分组成 发送向导 发送服务器和发送接口构成了源数据导出端 与此类似 接收向导 元数据 提取净化转换 提取净化转换 加载 刷新 数据中心 数据仓库 数据源 集成 图 6 数据传送工具 发送向导 发送服务器 ODBC 接口 日志 RDB 接收向导 接收接口 接收服务器 ODBC 接口 日志 RDB 发送接口 接收服务器和接收接口构成了目的数据导入端 3 异构数据访问系统 异构数据访问系统 异构数据访问系统是一个分布数据资源访问中间件 其目标是使应用系统能够统一 透明 高效地访问和操纵位于局域网 Intranet 或 Internet 环境中的各种分布 异构的数据 资源 使应用系统能够方便地管理和访问位于不同硬件平台 操作系统 网络协议和数据 管理系统中的数据 3 1 5 信息交换层信息交换层 1 跨平台的信息交换 跨平台的信息交换 考虑到政务系统本身的特点 其应用系统的集成应该采取一种通用的松散耦合的交互 模式 在这种模式下 各个应用在保持原有工作方式和条件的同时 能够进行可靠的数据 和业务逻辑的交流 它的应用开发和维护工作要相对简单 面向消息的中间件 Message Oriented Middleware 能够很好地满足上述要求 App DataClient MOM etc MOM etc DataServer DataAccess for Oracle SQL Server DataAccess for Oracle DataAccess for Oracle Sybase Oracle OtherDB Internet Intranet 图 7 异构数据访问系统 基于消息队列的应用集成如图所示 分布在网络结点上的应用使用消息队列进行通信 应用程序 A 通过消息队列接口将消息放入队列 而应用 B 则从队列中取出消息 A 和 B 可 以在同一机器上 也可分布在不同的机器上 且它们的运行相互独立 基于消息队列的跨 平台信息交换具有以下优点 提供可靠的信息传送 单次可达 故障恢复 通信软件可以 在不同时刻运行 松散耦合 可支持复杂的分布式软件结构 在应用系统开发中可以避免 复杂的网络通信和故障恢复代码 2 政务数据交换中心 政务数据交换中心 政务数据交换中心基于 XML 技术 实现文档的接收 转换 转发和管理 屏蔽各政 府部门之间的通信方式和数据格式的差异 它一方面在政府部门之间充当一个中介 使具 有不同通信方式和不同格式信息的政府部门之间可以方便地进行交流 另一方面 它提供 一个文档管理机制 以 XML 格式集中存放进行政务活动的各种文档 政务数据交换中心主要分为通信接口层 文档转换层和文档管理层三个部分 通信接口层负责与 FTP server Mail server EDI server 和 Fax server 的连接 定期地 通过 FTP 接口 Mail 接口 EDI 接口和 Fax 接口检查各服务器 获取各服务器中的文档 进行识别分类后送入相应的输入消息处理队列中 同时检查输出消息队列 对获取到的消 息进行处理 从消息中得到发送的方式和地址 通过相应的接口发送出去 文档转换层负责将接收到的各种类型文档 包括 EDI 关系数据库数据 文本文件和 其它格式的 XML 文档等 统一转换为 XML 格式 并保存于文档管理系统中 同时根据请 求将 XML 文档转换为其它格式 文档管理系统负责对所有的 XML 文档进行存储和管理 并在此基础上提供文档的查 应用 A 消息队列接口 应用 B 消息队列接口 队列二队列一 队列 管理器 队列 管理器 网络环境 图 8 采用 MOM 的应用集成 询 检索和其它服务 3 1 6 应用层应用层 1 政务信息应用管理领域 政务信息应用管理领域 1 公文管理 公文管理 收文管理 发文管理 数据交换 在线交流 文档管理等 2 报表输出管理 报表输出管理 设计器报告管理 聚合表管理 分析器文件处理 操作处理等 3 统计决策管理 统计决策管理 数据挖掘 统计分析 预测分析 决策模型管理等 4 信息发布 信息发布 信息收集 信息过滤 信息审核 信息加工等 5 信息服务 信息服务 信访管理 人大建议 信息反馈管理等 2 政府计划及项目管理领域 政府计划及项目管理领域 1 计划管理 计划管理 计划建议 计划立项 经费管理 实施管理 计划检查 计划调整 计 划总结 审计 考核等 图 9 政务数据交换中心 通信接口层 EDI Message XMLFax Email TextRDB Data XML 文档管理系统 EDI Translator XMLTagger Deco der RDB Wrapper FTP 接口 Email 接口 Fax 接口 EDI 接口 XML Mapping 文档转换层 文档管理层 XML 2 项目管理 项目管理 项目范围管理 进度管理 费用管理 质量管理 人力资源管理 风险 管理 采购管理等 3 政府资源管理领域 政府资源管理领域 1 人事管理 人事管理 代码维护 信息维护 查询统计 统计分析 工资管理等 2 财务管理 财务会计 财务管理 财务会计 管理会计 管理会计 总账 应收款管理 应付款管理 报账中心 固 定资产 预算管理 成本管理 资金管理等 4 政府事务管理领域 政府事务管理领域 资产管理 行政管理 后勤管理 安全事务管理等 5 5 政府业务管理领域 政府业务管理领域 工商 税务 财政 海关 司法 邮政等 3 3 2 2 关键平台部件关键平台部件 3 2 1 安全支撑平台安全支撑平台 安全支撑平台由两部分构成 其中部分产品已覆盖 22 个国家部委机关 31 个省级政 府 1 网络层及应用层的安全产品集 网络层及应用层的安全产品集 以中国科学院软件研究所 ERCIST 防火墙为核心 应用 ERCIST 攻击检测系统 ERCIST 弱点扫描系统 ERCIST 网络安全监视器等辅助安全工具可以有效地监控 保护电 子政务系统各层网络内部的安全 ERCIST 安胜 防火墙是网络安全系统的组合套件 由包过滤路由器 代理服务器 以及虚拟专用网 VPN 三部分组成 完成的功能还包括地址转换 安全审计等 为保护防火 墙自身的安全 在防火墙的底座架构上采用安全操作系统 在使用中加强认证 加密传输 等安全措施 根据安全需求和投资情况 提供多种版本 使这些功能在各自独立的设备中 单独或配合使用 也可组合在一个设备中使用 ERCIST 安胜 防火墙可以有效地隔离内外网络的直接连接 限制内外网之间信息的 流入和流出 隐蔽内部网的组成情况 对访问的用户进行身份识别 并防止源路由的攻击 IP 地址欺骗攻击 R 命令攻击 拒绝服务攻击 同时能自动发现类似 ISS 进行的扫描 提 出安全警告 进行安全的远程数据传送 同时提供日志审计和报警功能 图 10 网络安全系统结构 ERCIST 安胜 防火墙已通过公安部计算机信息安全系统安全产品质量监督检验中 心的检验 取得了公安部的销售许可证 证书编号 XKC33004 也经过了国家信息安全 认证中心的检测认证 产品型号证书为 1999TYP006 系统中所用密码算法经国家密码管 理委员会的审核批准 国密办发 1998 年 53 号文 并列入科技部国家科技成果重点推广项 目 编号为 99030226A ERCIST 检测系统由多个功能模块组成 对 Intranet 系统中各个目标系统进行全面和综 合性的测试 找出目标系统在系统自身内和在网络上可能面临的安全性威胁 指出其中的 漏洞和问题 以及可能遭受各种安全性攻击的薄弱环节 提醒安全管理员重新设置系统安 全的策略 系统采用可插型附件的新型体系结构 用户可自行地进行功能扩展 即用户可以把开 发单位最新发布的网络或系统探测工具 通过在销售单位购买或从万维网 World Wide Web 上直接下载 方便地集成到已有的系统版本中 对于攻击和反攻击技术手段日新月 异的信息安全行业而言 这是保证软件具有实用性和可扩充性的重要一环 安全检测系统已通过了公安部计算机信息安全系统安全产品质量监督检验中心的检验 获得公安部销售许可 证书编号 XKC31008 2 数字证书管理应用支撑平台数字证书管理应用支撑平台 基于 PKI CA 技术而研制的数字证书管理应用支撑平台可以有效的解决电子政务应用 系统中信息的保密性 信息的完整性 身份认证与访问授权 以及抗抵赖的问题 数字证 书管理应用支撑平台 G Trust 由 G RA G MNG G CA 三部分组成 并可据此构建出易 扩展的 高度安全的公钥基础设施 PKI 应用支撑平台 G RA 类似一个注册机构 Registration Authority RA 可用于为电子政务系统提供多 样性的认证服务 其特点包括 1 政府部门内部的独立证书注册系统 2 使用政府内部 数据来自动鉴别证书用户 3 与发证中心相联系签发证书 通过 G RA 政府各级别部门均能自主地负责对它的各类基本成员 相关用户的证书 申请进行审批 负责证书的管理以及证书的废除 通过 G RA 还可以为设备 如 VPN 和 Web 服务器发放证书 G RA 所处理的证书包括以下几类 个体用户证书 专用或公用个人证书 安全服务器证书 公用 40 bit 服务器证书 全球服务器证书 公用 128 bit 服务器证书 IPSec 证书 专用 IPSec 证书 服务中心 G MNG 可以提供类似发证中心的服务 并提供针对特定应用系统 特定用 户群的 PKI 服务 服务中心支持各类证书及 G RA 的本地注册 并通过发证中心签发证书 在必要的时候 服务中心可升级为发证中心 服务中心的这种模式降低了认证中心初期建 设费用和时间 发证中心 G CA 不但提供了面向客户的证书服务 如 G RA 认证服务的注册申请 操 作等 而且还提供了这些服务的后台的处理功能 发证中心是一个完整的认证中心 它为 G RA 和 G MNG 提供核心的后台支持 3 2 2 自主操作系统自主操作系统 在计算机系统中 从最底端的硬件层到最顶端的应用软件层 各个层次都必须采取相 应的安全措施 这些安全措施构成了系统的整体安全体系 其中极其重要的一个环节就是 操作系统的安全性 在电子政务系统的实际开发 构建过程中 应根据具体运行环境 安 全级别 分别采用不同类别的自主操作系统 在一般的应用环境中 除使用其他主流操作系统外 还可选择使用中国科学院软件研 究所红旗 LINUX SERVER 或红旗 LINUX DESKTOP 以及中国科学院软件研究所 Penguin 64 LINUX 这些操作系统均能满足电子政务系统中各类应用系统的基本需求 对安全性要求较高的关键业务系统应采用安全操作系统 中国科学院软件研究所安胜 安全操作系统 SecLinux 是参照美国国防部 可信计算机系统评测准则 B2 级安全需求 和我国新颁布的 计算机信息系统安全保护等级划分准则 结合我国国情和实际需求 自 行开发的高级别安全操作系统 并通过国家信息安全测评认证中心认证 同时获得公安部 的销售许可 证书编号 XKC30095 此系统为数据库的安全 以及网络设备 如网络服 务器 网络加密设备的安全和网络中心设备的安全管理提供坚实的底座 可防止饶过安全 设备而进行的攻击 为应用软件的运行提供可靠的环境 3 2 3 WEB 应用服务器应用服务器 WebFrame 是中国科学院软件研究所设计和开发的 Web 应用服务器框架 作为一种中 间件产品 能够提供系统安全服务 历史记录和计费 WWW 数据发布服务以及连接管理 等服务 基于这些服务 可以快速开发高性能的 Web 应用 WebFrame 具有以下基本功能 1 系统安全 系统安全 控制用户对应用服务器及其上的信息资源的访问 2 历史记录和计费 历史记录和计费 对应用服务器提供的服务进行访问记录 从而可对用户访问资源 进行收费并进行系统审计 3 3 数据发布服务 数据发布服务 将数据的产生和结果的显示分离开 提高 Web 数据发布的效率和 简易性 4 连接管理 连接管理 通过连接管理解决 HTTP 无状态协议所带来的问题 同时通过连接池管 理 Web 应用服务器与其他应用服务器之间的连接 提高系统的吞吐量 WebFrame 应用服务器的网络结构如图所示 其中 WWW 服务器和客户浏览器之间采 用 http 协议进行通讯 WebFrame 和 WWW 服务器既可位于同一台机器上 也可位于不同 的机器上 可以根据系统的负载情况进行相应的调整 WebFrame 和数据库服务器之间通 过 ODBC 或其他接口进行通讯 WWW 服务器和数据库服务器一般位于不同的机器上 通 过服务注册 WebFrame 还可以请求其他服务器所提供的服务 WebFrame 具有以下特点 基于 Session 的管理 完善的会话管理功能 支持快速开发 运行效率高 提供界面友好的服务管理器 有效的负载平衡 良好的可扩展性 支持历史 记录和计费等 http 浏览器 WWW 服务器服务器WebFrame 网络 数据库 服务器 1 ODBC JDBC 等 数据库 服务器 2 其他 服务器 图 11 WebFrame 应用服务器的网络结构图 3 2 4 分布数据资源访问分布数据资源访问 中国科学院软件研究所数据访问中间件产品 DataAccess 提供分布数据的位置透明和平 台透明性 使应用系统能够统一 高效的对各种分布数据资源进行访问和管理 DataAccess 由 DataAccess 客户端驱动器 DataAccess 服务器和若干个局部数据源组 成 应用程序 ODBC Applications Applet JavaBeans ActiveX 等 向 DataAccess 客 户端驱动器发出数据访问请求 客户端驱动器对请求进行简单的分析处理 对于那些可以 由客户端处理的请求 由客户端直接返回处理结果 对于那些必须由服务器处理的访问请 求 客户端通过底层通信系统将请求信息发给 DataAccess 服务器 DataAccess 服务器接 收到请求后 进行分析处理并访问局部数据源或全局数据字典 处理结果再经客户端驱动 器返回给应用程序 图 12 DataAccess 应用体系 DataAccess 客户端驱动器包括 ODBC 驱动器 JDBC 驱动器 OLE DB 驱动器 底层通讯 系统和加密 压缩等功能模块 DataAccess 服务器包括数据请求代理 全局查询处理 全局 模式管理 系统配置管理 用户管理 连接管理 DB Gateway 底层通讯系统 加密 压缩 和全局数据字典等功能模块 DataAccess 提供基于标准的访问接口 包括 ODBC JDBC 和 OLE DB 系统管理工具负责对全局数据模式 用户和用户组等信息进行配置和管理 并包括其他提供给 DataAccess 系统管理员的管理维护工具 DataAccess 具有以下特点 提供灵活的多层数据访问结构 简化客户端管理 实现瘦 客户体系 提供基于标准的数据访问接口 支持各种关系型数据资源 支持全局模式和全 局查询操作 支持快速应用程序开发 能够实现高效率的访问 具有完善和灵活的用户管 理 身份认证等安全控制机制 提供简捷的图形管理界面 适用于多类主流系统平台 SybaseOracleAccess Internet Intranet Internet Intranet ODBCApplication DataAccess ODBC Driver ActiveX control DataAccess OLE DB Provider Applet JavaBeans DataAccess JDBC Driver DataAccess Server 3 2 5 消息队列消息队列 ISMQ 是中国科学院软件研究所设计和开发的一种面向分布式应用的消息队列中间件 产品 它通过消息队列为分布式应用提供了一种可靠的信息交换的机制 能够为各类应用 程序提供一种通用的松散耦合的交互模式 在这种模式下 各个应用在保持原有工作方式 和条件的同时 能够进行可靠的数据和业务逻辑的交流 目前 ISMQ 已经在国家科技文献 服务网 中国石化成品油销售系统等大型应用系统中获得成功的应用 在 ISMQ 系统中 应用程序之间交流的信息单位是消息 它分为两个部分 消息描述 头和消息内容 消息描述头给出了消息的标识 消息的系统属性和目的队列等 而消息内 容则是由应用程序定义的数据流 ISMQ 在消息的存储和发送 接收过程中对消息内容不做 任何处理 消息队列是消息存放的缓冲 消息按一定的次序在消息队列中排队 在每个提供消息队列服务的 ISMQ 节点上由消息队列管理器负责消息队列的管理以及 消息的发送和接收 不同的消息队列管理器之间可以通过底层的网络平台进行消息交换 基于 ISMQ 的应用程序可以通过消息队列接口 ISMQ API Library 与消息队列管理器通信 完成消息的发送和接收 ISMQ 具有以下特点 提供端端 peer to peer 的消息通讯功能 消息发送单次可达 能 够提供多种消息缓存机制 基于分页的消息队列存储结构 支持消息操作的事务特性 提 供消息队列访问的同步 异步接口 支持单向和双向通讯以及应用服务请求的并发处理 支持订阅发布服务 有效降低网络流量负载 提供简洁 API 编程接口支持 支持主流操作 系统平台 提供完善的监控工具 3 2 6 多语种中文平台多语种中文平台 图 13 多语种中文平台 中国科学院软件研究所多语种中文平台充分考虑了系统的兼容性和可扩展性 不仅能 够处理 CJK 基本字符集 而且能够有效处理 Extension A Extension B 的字符集 同时能 够有效处理各少数民族语言 克服大字符集处理对系统资源的庞大需求 并能提供方便 快捷的智能输入方法 提供高精度大字符集字型输出 主要特点如下 提供多通道智能化超大字符集汉字输入技术 方便普通用户使用 克服超大字符集处理过程对计算机系统资源的过分消耗 针对服务器 桌面 嵌入式等不同应用领域的中文平台实现技术 自动进行汉字编码和汉语术语的自动智能转换 实现世界各地不同华人之间的无障 碍汉语信息交流 支持少数民族语言处理 系统不仅能够处理大字符集汉字信息 同时能够有效处理 各少数民族语言 并进行相关处理 应用 3 3 3 3 应用实例应用实例 3 3 1 政府 某部委政务信息系统政府 某部委政务信息系统 某部的电子政务建设工作始于早期的办公自动化系统的建设 直至 1992 年以前一直 局限于单机管理的水平 随着计算机技术及网络通信设施的发展 于 1993 年建成部办公大 楼局域网络系统 1995 年底联通国际互联网 1999 年在国家有关管理部门的的统一安排和 部署下完成政务信息专网连接和相关应用系统的建设 在整个应用体系中 各类应用系统的建设时间跨度较大 应用目的不一致 涉及多种 开发及应用平台以及异构数据资源 为了保证该部电子政务信息系统建设的整体性 先进 性 适应政府工作改革的需要 需要依据新的建设规范 利用当前先进的计算机及通信技 术 整合原有的政务信息管理系统 构建新型的电子政务应用 在系统建设中 首先根据实际应用情况 重新构建了网络分层 并根据相关部门的要 求对不同网络分层采取了隔离措施 针对整个政务应用体系中各类数据及应用系统的密级和安全风险 重新设置 构建了 防火墙 IDS 系统安全监控环节 同时基于部内实际组织结构和应用管理特点构建了基 于 PKI 技术的数字证书分发 管理及技术支撑平台 对于各类异构数据资源 基于数据中间件和消息中间件构建了统一的数据交换中心 满足了在统一安全框架内的数据资源访问控制和共享 目前该系统包括四个子系统 安全管理平台 包括人员 机构管理及权限设置 文件 档案管理及权限设置 网络安全管理 公文流转平台 包括部内各类发文 办文的流转和审批 以及面向政务专网的公 文信息申报 传达 信息发布平台 包括对外信息发布 对内信息发布 会议管理 文件资料查询等 业务管理平台 包括部分计划管理系统 项目管理系统 3 3 2 行业 行业 邮政综合管理系统 邮政综合管理系统 在邮政综合管理系统中 利用各类公网及邮政专网传送数据 实现了邮局业务管理的 计算机处理 其中包括速递管理系统 报刊发行系统 支局营业系统和邮政综合业务系统 等 目前该系统基本覆盖了邮政业务管理全部流程 包括速递 支局营业 邮政综合 报 刊业务 内部业务处理 分发投递 零售处理 档案和信息管理等 该系统已在北京市邮 政局 上海市邮政局推广应用 并基于上海市邮政计算机网络系统建立了综合业务管理应 用体系 实现了全系统从全市信息中心到 72 个支局和下属营业所的配置管理 性能管理 故障管理 安全管理 计费管理应用子系统与数据库管理 统计分析管理 用户管理和系 统维护管理等全套功能 此系统在开发过程中所制定的一系列规范已成为制定全国邮政网建设规范的重要依据 所开发的上海邮政综合业务数据通信与管理系统已被列为全国邮政综合网中的样板工程 4 4 电子政务应用系统 电子政务应用系统的构建的构建 4 1 电子政务系统的建设策略电子政务系统的建设策略 目前很多政府部门 企事业单位都在进行着自己的信息化建设 这些信息化建设综合 到一起有力地促进了信息化社会的发展 电子政务系统作为整个信息社会的重要组成部分 它的最终目标和内容都依赖于全社会信息化的发展 而整个社会信息化发展的层次和环节 在目前都难以确定 故此电子政务系统的最终目标和详细内容也是很难确定的 例如 公 文的流程 各类申报 申请系统的评估 决策模型等 这些事务本身都是不断变化的 很 难在一定时期内明确下来 实际上 电子政务系统要管理的内容 达到的效果及运行后的 状态等涉及的内容相当广泛 任何电子政务系统的规划者都难以通过调研 分析完全确定 所有内涵 电子政务系统的建设和一般信息系统的一个重要区别就是难以在规划 设计 开发 实施前完全确定系统详细目标和内容 也难以通过一个详尽的设计去简单的 全方 位的组织和控制电子政务系统的建设 因此 简单的采用一般信息系统的建设方式是无法 建设电子政务系统的 电子政务系统的建设是一个随着社会发展和政府功能转变而持续进行的过程 在建设 电子政务系统的过程中 应以建设关键支撑体系为核心 以建设各个应用功能系统为阶段 目标 在长期的建设过程逐渐与其他各个分立的政务系统及各类信息化支撑体系融合并最 终形成比较完整政务体系 4 4 2 2 应用体系与技术体系应用体系与技术体系 作为一个复杂的信息系统 电子政务系统是和信息技术密切相关的 近年来 信息技 术发展十分迅速 各类新标准 新技术不断出现 故此 在构建电子政务系统时必须处理 好应用体系与技术体系的关系 所谓应用体系就是在电子政务系统运转过程中由各级管理者和使用者所构成的管理体 系以及其中的各类工作模型和处理流程 应用体系实际上也是推动整个电子政务系统正常 运转并发挥效能的动力源泉 而技术体系则是实现电子政务系统的手段和依据 其中包含 实现电子政务系统所必须的各类网络系统 计算机软硬件系统 各类协议和接口标准等 分析