某某管理信息系统标书文件.docx

某某安全管理信息系统二一四年六月目录1.概述51.1项目背景51.2建设目标、建设内容51.2.1建设目标51.2.2建设内容51.3项目依据72.总体建设方案72.1总体架构72.1.1系统总体结构72.2建设原则82.2.1流程规范、功能完善82.2.2技术领先、易用直观102.2.3稳定高效、安全可靠102.3设计思路112.3.1以数据为核心、对数据进行统一管理112.3.2组件化结构，促进多种技术集成112.3.3借鉴成功的案例，采用成熟的主流开源产品122.4建设方案133.应用支撑层建设153.1建设目标153.2建设方案153.2.1建设原则153.2.2建设模式163.2.3建设步骤173.2.4统计报表（中间件）173.2.5关键技术应用203.2.6CA认证功能设计243.2.7USBKEY293.2.8报表管理服务功能设计393.2.9地理信息服务功能设计413.2.10遥感信息服务功能设计433.2.11流程服务功能设计443.2.12缓存服务功能设计443.2.13平台接口设计454.数据资源中心建设461.1.1数据总体架构461.1.2ETL数据处理481.1.3资源目录设计495.信息交换与信息共享建设505.1交换与共享框架505.2建设内容526.信息化系统建设536.1水利信息采集与监控软件536.1.1数据交换系统536.1.2水厂水质化验信息直报系统536.1.3水厂运行监测信息采集系统536.1.4模型信息采集与建模536.1.5视频监控信息采集系统556.1.6供水设施数字巡检信息采集系统556.1.7某某安全舆情信息采集系统556.1.8供水服务热线信息采集系统556.2业务应用系统建设556.2.1某某安全工程门户网站556.2.2某某安全信息短信服务566.2.3基础信息库管理566.2.4水厂监测数据管理566.2.5流媒体信息管理566.2.6手机客户端查询566.2.7地理信息管理566.2.8统计分析576.2.9决策支持576.2.10应急管理576.2.11综合展示577.人员配置与培训计划577.1人员配置方案577.2人员培训方案587.3培训考核587.4意见反馈587.5效果跟踪598.质量保障598.1质量目标598.2人员618.3组织结构628.4职责628.5质量保证工作提交的产物638.6变更管理638.7评价标准638.8形成的记录649.系统测试649.1性能测试649.1.1压力测试659.1.2正确性测试659.1.3容错性（健壮性）测试659.1.4完整（安全）性测试659.2测试规程659.3测试工作报告6710.项目验收6710.1项目验收及验收步骤6710.1.1项目验收6710.1.2验收步骤6710.1.3验收内容6810.1.4报告总结7011.售后服务7111.1故障处理7111.2服务方式及内容7111.2.1电话热线支持服务7111.2.2定期巡检服务7211.2.3远程维护7211.2.4电子邮件服务7211.2.5现场支持服务721. 概述1.1 项目背景以科学发展观为指导，坚持以人为本，以加强农村供水基础设施建设、提高农村饮用水质量、完善农村供水社会化服务体系、保障某某安全为目标，结合某某安全工程“十二五”规划和美好乡村建设，加强工程建设管理与监督，按照全面、科学、合理、可持续发展的要求，积极落实配套资金，广泛动员社会各方力量，积极运用市场机制，吸引各类社会资金投入某某工程建设，为全面建设美好某某奠定基础。1.2 建设目标、建设内容1.2.1 建设目标某某市某某安全管理信息系统建设目标为：结合某某安全工程“十二五”规划，根据省下达的年度投资计划，确定市级年度建设任务。积极推进规模供水工程建设，延伸集中供水管网，提高农村自来水普及率，有条件的地方发展城乡一体化供水。进一步完善市级某某安全工程运行管理机构、水质检验监测中心、财政运行维护基金和社会化长效服务体系建设，加强工程运行管理，加强水源保护和水质监测，确保工程长期发挥效益。为此提出了一整套以基础数据采集为整个系统的数据基础，以网络信息交换、协作平台为业务支撑，可实现农村供水实时信息的接收处理、视频监控采集、水质监测预警、实时险情预警、农村供水信息综合分析和决策支持等功能的综合解决方案。1.2.2 建设内容某某市市级某某安全管理信息系统建设的主要任务包括: 市级某某安全信息调度中心、某某安全数据资源中心、某某安全信息网络系统、某某安全信息采集与视频监控系统、某某安全综合业务应用系统和安全体系建设等内容。（1）市级某某安全信息调度中心主要包括某某安全信息管理系统运行需要的机房环境、会商室等。某某市已初步建成阳光大厦数据中心机房，可以满足某某市水利综合信息化系统需要的机房环境，本次某某市市级某某安全管理信息系统将与某某市阳光大厦共用一个机房，不单独进行机房及其环境的建设。某某市某某安全管理信息系统，将利用某某市水利局已建成的会商室及会商设施，不单独进行会商室的建设。（2）市级某某安全数据资源中心以某某市“智慧城市”建设为契机，在充分共享“智慧城市”数据中心软硬件支撑平台的基础上，根据需要增购部分设备和平台软件，建设某某市市级某某安全数据资源中心。主要包括支撑软件资源配置、应用支撑服务平台、数据存储管理平台、水利信息综合数据库和饮水安全专业数据库建设等内容。（3）市级某某安全信息网络系统充分利用某某市水利局已有的各类网络，并根据本项目建设的实际需求，接入业务内网、互联网和政府办公网，实现市水利局与省水利厅数据中心以及某某市各县市区的网络连接，为三维地理信息系统数据的共享和实时监测数据的传输提供通道。（4）市级某某安全信息采集与视频监控平台包括基础数据库信息交换系统、水厂水质化验信息直报系统、水厂运行监测信息采集系统、模型信息采集、视频监控信息采集系统、供水设施数字巡检系统、民情民意信息采集系统和供水服务热线系统。（5）某某安全综合业务应用系统以省水利厅数据中心的三维地理信息系统平台为基础，调用国土资源厅的三维地图数据，并加载某某市水利空间数据，实现对全市某某安全基础信息、监测信息、视频信息及运行信息的管理，进行水厂及管线三维建模和360度全景演示，方便直观的查询某某市某某安全工程情况，并提供对农饮信息的多维深度分析和辅助决策支持功能。（6）安全体系基于安全基础设施，以安全策略为指导，提供全面的安全服务内容，覆盖从物理、网络、系统、直至数据和应用平台各个层面，以及保护、检测、响应、恢复等各个环节，构建全面、完整、高效的信息安全体系，从而提高业务系统的整体安全等级，为水利业务发展提供坚实的信息安全保障。1.3 项目依据中华人民共和国水法山东省水利工程建设管理办法鲁水建【2008】14号水利工程代码编制规范（SL 213-2012）中华人民共和国计算机信息系统安全保护条例(国务院令第147号)中华人民共和国计算机信息网络国际联网管理暂行规定（国务院令第195号）计算机信息网络国际联网安全保护管理办法（公安部令第33号）计算机信息系统安全保护等级划分准则GB17859-1999软件工程术语GB/T 11457-1995 信息处理-流程图编辑符号GB/T 15538-1995信息处理-按记录组处理顺序文卷的程序流程GB-T 15697-1995 信息处理 数据流程图、程序流程图、系统流程图、程序网络图和系统资源图的文件编制符号及约定GB/T 1526-1989计算机应用系统文件编制指南SJ/Z 9060-1987计算机信息系统安全保护等级划准则GB 17859-1999信息技术设备的安全GB 4943.1 20112. 总体建设方案2.1 总体架构2.1.1 系统总体结构系统总体框架采用成熟的JAVA多层技术架构，存储、服务器系统采用集中式部署，应用功能仅部署在服务器端的纯B/S运用方式。（1） 数据资源层数据资源层主要实现对本系统所有数据的存储和管理。根据业务需求和数据关联性，将数据资源层分为综合管理业务数据库、基本资料数据库、基础信息数据库和系统管理数据库四大部分。（2） 应用支撑层应用支撑层主要实现数据资源层与业务应用层之间的标准化接口。业务应用系统对数据直接操作，往往造成权限管理复杂、业务逻辑混乱、代码冗余度高等问题。为避免此类问题发生，应将基础功能模块从业务系统中抽离出来，按功能分类并统一开发，保证业务应用层与数据资源层的隔离和透明调用。（3） 业务应用层业务应用层在应用支撑层的基础上，根据业务需求完善系统功能，确保业务流程的完整性。根据业务功能和用户群将业务应用层分为基本资料管理、基础信息管理、规划实施管理和综合管理等。（4） 表现层表现层实现人机交互功能，通过友好的软件界面和操控方式，使各类用户群均能较快的适应信息化管理的办公模式。本系统的表现层统一采用Web界面，通过脚本和插件等方式实现界面排版和高级操作，用户通过浏览器即可访问。2.2 建设原则2.2.1 流程规范、功能完善在充分利用现有设施和资源的条件下，力求高起点的设计，既满足近期需求，又适应长远发展需要，以实现信息互通、资源共享、服务协同的建设目标，确保某某市水利业务整合和水利信息化的可持续发展。1、以人为本原则水利信息化建设必须坚持以和谐水政为中心，紧密结合人民群众日益增长的水利服务需求，重视解决实际问题，提高服务效率和质量，方便人民群众。2、顶层设计与地区统筹相协调原则水利信息化建设要按照国家水利信息化建设的总体部署和要求，结合某某市的实际省情，进行信息资源统筹规划，遵循统一的建设规范、标准，明确各级水利行政部门、各级各类水利卫生机构的信息化建设目标和任务，综合不同机制和措施，因地制宜、分类指导、分步推进，促进水利信息化工作协调发展。 3、先进性与实用性原则系统技术水平在保证其成熟性的前提下，充分考虑到其先进性。宜采用业界先进系统架构理念和技术，为方案升级和迁移打下扎实基础。各系统确保可持续性开发，可以保证使用的技术不断地更新并可顺利升级以维持系统的先进性。4、开放性与扩充性原则水利信息化建设是一个系统工程，除了与各类水利机构内的有关信息系统互联互通外，有很多基础数据还需要从政府的其它信息系统如公安、社保、环境、民政、教育等信息系统中获取，与这些系统均需要保持双向的信息交互能力，因此系统设计必须保持开发性、具有良好的互连、互操作能力，必须遵循最新的国际标准、国家标准和行业标准，必须遵循开放的原则。在各系统实际使用过程中，用户的需求是会不断变化的，因此各系统应当具有良好的可扩充性，便于用户根据自己的需要进行二次开发来满足用户不断变化的实际需要，使应用可以根据业务的发展和变化而平滑扩展。5、可靠性和安全性原则各系统建设涉及多部门、多机构的业务信息，应符合国家有关信息安全的法律法规的要求，一方面要保障网络安全，另一方面要保障信息安全，还应保障系统可靠地运行。设计应从系统架构和网络结构上首先考虑安全性，并充分考虑大规模并发、长期运行条件下系统的可靠性、满足各水利机构7X24小时的服务要求。在各系统中，应保证数据的原始性和完整性，以及数据访问和修改的可追踪性，系统设计时，既要考虑系统级的安全性、又要考虑应用级的安全性，采用多级用户认证、数据加密、灾容备份等多种手段保证数据安全，同时应综合运用技术、制度、法律等手段，强化网络和数据的安全管理。6、规范化和标准性原则水利信息化建设应考虑其完整性和对全省的普适性，须在全面了解需求的前提下，进行整体规划,按照“统一规范、统一代码、统一接口”的要求，加强指导和组织协调，规范水利各领域信息化建设的基本功能、业务流程、数据模型和数据编码等标准，以满足信息化建设的需要。标准化是系统建设的基础保障，系统建设必须在安全体系和安全技术、信息表示和信息交换、网络协议、软件结构、软件平台等标准方面遵循SOAP、WebServices、XML等技术标准达到“互连、互通、互操作”要求，实现“信息交换、资源共享”。7、信息全面与实时性原则各系统需提供给水利服务机构和人员及时、完整和准确的信息，以支持水利行政活动。因此，各系统的体系架构必须是全面的，能覆盖业务流程、信息、系统服务和技术的所有范围。8、集成性原则水利信息化建没是一个复杂的系统工程，涉及范围广、实施周期长，其开发和实施的难度非常大，因此必须紧紧围绕水利信息化建设的总体目标。汲取多种、多个已建系统所长，把多家各有特色的产品和功能集成在一起。通过合理的服务划分、服务编排，实现应用软件对业务变更或软件技术发展的灵活适应能力。2.2.2 技术领先、易用直观技术领先是指在管理手段和软件开发两个方面均达到行业领先水平。系统开发则采用目前主流的JAVA技术和B/S架构，结合Oracle数据库管理系统，实现集数据管理和实景模式管理于一体的立体化管理平台。易用直观是指在系统的用户界面设计和操控方式上做到界面友好，窗口和控件分布合理，视图操控方式简单，容易理解和记忆。本系统采用B/S架构，所有应用部署和升级均在服务器端进行，用户无需安装客户端，仅用网页浏览器就能够访问系统，大大减少了系统对终端设备的依赖，也降低了系统维护难度。系统的用户界面设计参考全国管理信息系统进行，保留原有菜单和标签风格，同时对功能按键进行统一设计，使功能图标能够明确展示其含义。完善系统提示和用户帮助功能，确保大部分用户在操作遇到问题时能够通过自助查询的方式解决。2.2.3 稳定高效、安全可靠稳定高效、安全可靠是信息化服务的基本要求，也是本系统投入运行。稳定高效是指系统必须提供724小时不间断服务，服务响应速度必须达到业务需求。安全可靠是指系统不存在数据丢失、损坏或者网络受到攻击导致服务瘫痪、数据泄密、信息篡改等隐患。因此，本系统的硬件设备和软件开发均要考虑到数据备份和网络安全，同时要建立起配套的安全管理体系，防患于未然。2.3 设计思路根据本项目的建设目标，在系统总的指导思想和建设原则的基础上，我们认为本项目的系统建设可以从以下几个方面入手：2.3.1 以数据为核心、对数据进行统一管理数据是系统生存的基础，是系统具有有生命力的保证。在系统建设与实施过程中只有充分重视和考虑业务数据的标准和规范性，建立起业务数据生产、更新和维护的规范机制，才能保证数据的开放性和交互共享性。因此整个设计将围绕数据进行数据标准、数据存储、数据交换、数据处理等等。由于系统数据是海量的，涉及到多媒体数据、空间数据等文本与非文本数据信息，这些数据具有不同特点，其中的关系十分复杂，数据在系统建设的过程还将不断的扩充、变化，因此必须建立有效的一体化数据模型，对数据进行统一管理，才能保证框架的稳定性和系统的可扩展性。这样即可以帮助划清不同业务之间的边界，又可以方便业务之间的数据共享与系统集成。另外，一体化的数据管理还有助于数据的维护与更新，分发与共享。2.3.2 组件化结构，促进多种技术集成系统建设需要将多种技术融为一体，共同完成系统的建设目标。系统设计不仅要考虑不同业务不同功能间的集成之外，还应该考虑不同技术间的集成。系统框架采用“微内核”“插件”的结构，将绝对必要的功能封装为系统的内核，其他功能则依据扩展接口核规则，通过插件的方式提供，降低组件间的耦合度，在更高的层次上实现软件复用，有助于提高系统的兼容性、扩展性、灵活性、可靠性和网络支持，实现软件的无缝集成。兼容性：微内核中只包含绝对必要的功能，这些是通用的和最基本的，具体功能的实现必然要利用已有的产品和研发成果，一个好的产品必然是建立在这些通用和最基本的东西之上的，这种结构能够兼容更多的产品。扩展性：内核只提供机制，而把实现策略留给插件。可以根据接口，通过开发插件的方式来解决操作上的不便或增加一些功能。实现真正意义的“即插即用”的软件开发。灵活性：系统更容易通过插件组装进行功能定制，根据需要选够功能插件，定制软件的界面、操作流程，使系统具有伸缩性，满足用户的个性化需求。可靠性：体积较小的内核可以得到更多的测试，使系统骨架更加稳定、健壮。大部分功能都是采用插件实现的，插件与内核之间有隔离，所以一旦发生故障不至于导致系统的崩溃，避免出现“牵一发而动全身”。网络支持：微内核设计基于消息传送机制，所以能更容易支持网络通信，适应分布式的应用环境。另外，采用这种“微内核”“插件”的结构，也有助于实现系统的分阶段实施，在第一阶段开发出来框架和接口机制，后续阶段需要对功能进行完善或增加新的功能，只需要通过对插件的局部修改和开发新的插件就可以实现，而且，插件提供的标准化接口，也能帮助用户进行二次开发。2.3.3 借鉴成功的案例，采用成熟的主流开源产品系统建设应该以成熟的应用和技术为基础，紧跟主流的信息技术，这样才能保证系统的稳定性、先进性和成熟性。系统采用的许多技术，如：工作流引擎、ESB、XML、SOA等都是基于工业标准，在业内得到广泛的应用，技术上已经非常成熟，资料齐全，队伍庞大，有较多的成功案例可供参考，保证了技术的先进性和稳定性的有机结合。系统选用的服务器、网络设备等硬件，以及应用服务器、数据库管理平台、中间件平台以等软件皆为业内主流的平台。这些成熟的产品经过市场的检验，在性能、接口、技术上都经过实际应用的测试，有许多经验可以借鉴，可以缩短系统开发的时间，降低开发风险。充分利用我公司已有相关案例的成功经验，总结和深化了许多业务及关键技术，通过多方案的比较和中和分析，在充分认证的基础上来进行系统设计。总之，充分借鉴现有的成功案例，采用工业标准、标准和成熟的开源主流产品及我公司自主研发产品，系统建设将不存在关键技术上的风险，为系统实现建设目标提供有力的保障数据库建设。2.4 建设方案数据资源平台建设包括数据库建设、存储系统建设和备份恢复策略，用以实现对信息的存储和管理。数据库软件选用与国家级中心一致的数据库（Oracle Database Enterprise Edition 11g），库标准参照标准执行，并且需交换的数据库表结构也要与国家级中心一致。3. 应用支撑层建设3.1 建设目标本项目建设目标可以概括为：以促进某某市某某安全工作的科学管理和高效服务为驱动力，以物联网、云计算和地理空间信息平台为技术支撑，依托各县市区已建的某某安全信息采集系统，建设某某市某某安全资源共享服务体系和综合业务应用系统，实现对规模以上工程的三维和全景建模以及监测信息的自动采集，完成某某市某某安全基础数据库数据的核查、补充和完善，使得基础数据库的数据完整程度达到100%，数据准确率达到95%以上。全面提升某某安全主管部门的管理水平、服务水平和工作效率，使某某市某某安全信息化建设走在全国前列，处于领先水平。3.2 建设方案3.2.1 建设原则应用支撑平台在建设标准上应遵循国家和行业信息化建设有关标准及要求，原则如下：（1）标准性、开放性所采用的相关标准必须是当前主流的SOA技术标准，确保系统具有良好的开放性，能够实现与多种技术和软硬件平台的有机集成。（2）稳定性、可靠性应用支撑平台必须具备运行稳定、可靠性高的特点，保证7*24小时不停机运行。（3）可扩展性应用支撑平台采用可扩展的SOA体系架构，以适应信息化建设和应用系统快速发展的要求。接口采用中立的方式进行定义，独立于实现服务的硬件平台、操作系统和编程语言，便于系统升级和系统扩容。在保证当前应用的同时，充分考虑未来发展需要，搭建的硬件平台要具备扩展能力，满足开放性需求。（4）安全性应用支撑平台必须具备相应的安全策略来保证数据交换的安全可靠。系统设计中首要考虑如何建立整个系统的安全性、保密性，而且这种考虑必须是整体的、全面的。系统必须要提供数据的机密性、数据完整性、身份识别和认证、访问控制、时间戳服务、防抵赖性、网间数据传输安全（支持双网隔离状况下的数据传输和同步）等安全保障措施。（5）可管理性应用支撑平台应具有良好的可管理性，允许管理人员通过管理工具实现系统的监控、管理和配置。（6）松耦合性通过应用支撑平台连接起来的多个应用系统之间是一种松耦合的关系，其中任何系统的应用都不会受其他系统造成直接的危害和影响。3.2.2 建设模式应用支撑平台采用以下建设模式：（1）选择的体系结构、支撑平台系统软件及开发运行环境应与国家系统保持一致，并注意与其共享相关的数据资源和软件资源，避免产生重复建设的内容。（2）在充分分析后期管理业务需求的基础上，应明确相应层次和各部分的建设内容，特别是要明确平台内各部分的关系与相互间的数据接口和控制接口。（3）考虑到可能进行建设的需要，支撑平台的实施方案，应在完整描述平台整体框架基础上，梳理各项建设内容的相互关系。（4）应用支撑平台与业务应用间的关系，是实施方案的重点内容之一。应在充分分析业务应用需求和建模时，注意支撑平台的要求，给出各业务间的数据关联和控制关联关系，提出业务应用功能与支撑平台间的相互关系，提出业务应用功能与支撑平台间的划分与接口。（5）应用支撑平台应支持水利系统统一的CA认证。（6）应用支撑平台应支持信息系统的应用。（7）在满足数据与处理分离的基本要求的同时，应用支撑平台应充分考虑实时信息和大数据量数据流应用的特殊要求。3.2.3 建设步骤应用支撑层建设步骤如下：（1） 分析并确定系统底层服务，如用户认证授权、数据交换、数据库访问、目录访问等；（2） 深入分析业务应用系统中各业务应用共有的基础应用模块，如报表生成、汇总统计、打印输出、Excel导入/导出等；（3） 分析系统信息流向和触发机制，完善系统自动化流程；（4） 结合以上分析工作，通过购买中间件或自行开发方式建立应用支撑平台；（5） 自行开发应采用统一标准和技术，做到易扩展及平台无关。3.2.4 统计报表（中间件）统计报表（中间件）是采用统计报表制作及报表及数据填报的企业级工具软件，解决报表单元格与关系数据库之间的关联规律性，适合于报表的填报和统计。 功能特点（1）绘制方便统计报表采用类EXCEL的绘制方式，做到所见即所得，极大的提高的表格绘制的方便度和效率，产品特有的EXCEL导入功能（包括格式）可充分利用业务人员原有积累。（2）数据模型先进统计报表的数据模型解决了报表中单元格与数据字段之间的弱关联性，彻底打破传统行式报表方案，报表行列完全对称，特有的层次扩展机制使多层分组及交叉报表制作非常简单，提供针对关联格的跨行跨组运算，很容易计算小计、同期比等数据。同一报表中支持多个异构的数据源，允许报表各片之间无关，可用多个简单的数据集成组合出复杂报表，程序员无须再为每张报表编程（脚本或存储过程）或写复杂的SQL查询语句准备数据。（3）输出能力丰富统计报表每个单元格属性均提供条件控制，如颜色、行高、是否可见等均可与格内数据相关；支持代码显示值对应、多种数据格式、图片文件和图片字段的处理。提供十几种各类统计图，支持PNG/GIF/JPG三种格式。每张报表均可生成HTML、EXCEL、PDF三种输出格式（输出结果完全不失真，包括其内的统计图）。单元格与统计图例均可加带参数的链接从而实现数据提取功能，多层报表可在线收缩展开。（4）打印控制强大统计报表提供强大的打印控制功能，按行数和纸张大小分页分栏或强制分页，表头自动重复（包括左表头），允许一张纸上打多个报表，提供末页补足空行。可采用像素和毫米两种计量单位，底图描绘功能以支持套打；（5）集成性好统计报表采用纯C#开发，利用服务器端提供丰富的API调用和标记可完全无缝地嵌入到基于JAVA的应用程序中（可看作应用程序员自己写的代码），程序员可更换报表的数据库连接和数据源、采用应用服务器的连接池管理；设计器也提供外置的数据源和数据字典定义，可由应用程序员提供这些信息。（6）特色填报功能统计报表还提供数据填报功能，填报表中可加入跨行跨表的合法性检查规则，支持自动计算，与数据库表关系定义灵活，可同时写入多表，支持自由式填报（每表一条记录）、行式填报（每行一条记录）和交叉表填报（每格一条记录），支持多级填报（填报表部分数据可来自其它数据库的汇总表）。 构成与应用方案统计报表由三个部分构成：l 报表设计器：设计编辑报表，自带报表运算引擎，连接数据库后可预览打印报表，并可生成其它格式保存。设计器不依赖于其它部分，可独立运行；l 报表服务器：在后台提供报表统计运算和填报处理服务，开放各层次的API接口调用，由其它程序员调用生成结果报表；报表服务器只能运算设计器编辑的报表，但运行时不再依赖设计器；l 报表调度器：作为服务程序运行，在设定的时刻自动计算报表并将结果保存或推送到指定目的地；调度器运行时依赖于报表服务器；统计报表采用纯JAVA开发，对操作系统、数据库、Web服务器均无特别要求，只要能支持Java即可；设计器需要JDK1.4.1以上，其它部分需要JDK1.3.1以上，可采用应用服务器的连接池。（1）报表制作与调度报表设计器报表服务器报表调度器数据库打印或输出结果文档输出结果文档到指定目录或EMAIL推送报表文件统计报表可直接提供给终端用户进行报表制作，其应用结构如下图：用户可采用报表设计器制表，连上数据库后即可打印或生成其它格式的文件（HTML/EXCEL/PDF）；配合以报表服务器与调度器，用户还可设置定时生成规则，调度器会调用服务器按时生成报表并存储到指定目录或EMAIL发送给指定邮箱。（2）报表集成统计报表还可由开发人员通过报表服务器的API集成到应用系统中，结构如下：用户应用系统(JSP或servlet)报表设计器报表服务器数据库报表文件WebServer浏览器或文件系统报表服务器提供丰富的API接口（Java类调用/JSP中tag）供程序员将报表嵌入到用户自己的应用程序中（原则应当是基于JAVA机制的B/S应用系统），服务器可与用户程序无缝结合，并可使用WebServer的连接池，程序员还可以通过API替换数据源（如采用XML数据源或其它文件甚至API数据源等）。除在线填报外，统计报表支持离线填报，报表服务器可生成带计算公式和合法性检查的HTML文件，用户可离线填写这些HTML文件，填写完毕再提交给填报服务器入库。3.2.5 关键技术应用 中间件技术中间件具有以下的一些特点：满足大量应用的需要；运行于多种硬件和OS平台；支持分布式计算，提供跨网络、硬件和OS平台的透明性的应用或服务的交互功能；支持标准的协议；支持标准的接口。程序员通过调用中间件提供的大量API，实现异构环境的通讯，从而屏蔽异构系统中复杂的操作系统和网络协议。针对不同的操作系统和硬件平台，它们可以有符合接口和协议规范的多种实现。由于标准接口对于可移植性和标准协议对于互操作性的重要性，中间件已成为许多标准化工作的主要部分。对于应用软件开发，中间件远比操作系统和网络服务更为重要，中间件提供的程序接口定义了一个相对稳定的高层应用环境，不管底层的计算机硬件和系统软件怎样更新换代，只要将中间件升级更新，并保持中间件对外的接口定义不变，应用软件几乎不需任何修改，从而保护了企业在应用软件开发和维护中的重大投资。中间件是一种独立的系统软件或服务程序，分布式应用软件借助这种软件在不同的技术之间共享资源。中间件软件管理着客户端程序和数据库或者早期应用软件之间的通讯。中间件在分布式的客户和服务之间扮演着承上启下的角色，如事务管理、负载均衡以及基于Web的计算等。利用这些技术有助于减轻开发者的负担，使他们利用现有的硬件设备、操作系统、网络、数据库管理系统以及对象模型创建分布式应用软件时更加得心应手。由于中间件能够保护企业的投资，保证应用软件的相对稳定，实现应用软件的功能扩展；同时中间件产品在很大程度上简化了一个由不同硬件构成的分布式处理环境的复杂性，所以它的出现正日益引起用户的关注，总结中间件在业务应用中的特点如下：（1）异构系统整合在应用支撑平台的建设中，由于应用系统比较多，必然会遇到大量不同硬件平台、操作系统和应用之间互联互通的问题。中间件为应用屏蔽掉操作系统的处理细节，对不同的网络环境具有极强的适应能力，负责处理异构系统间的数据格式转换，使不同应用间的互连、互通、互操作成为可能。为应用提供统一一致的接口模式，使开发人员不必关心异构系统所带来的问题。经济上保护原有的设备投资。（2）通讯可靠性保障在应用支撑平台系统网络数据通讯过程中，中间件负责应用通讯的通道建立和维护、数据的传输和校验、故障恢复、断点续传等工作以保障应用数据传输的可靠性。（3）应用系统运行效率业务应用系统的正常运转必须保障其通讯和处理的性能和效率，这一方面依赖于网络带宽和主机系统的处理能力，另一方面依赖于对网络带宽和主机系统的处理能力的有效调度和控制能力。中间件在以下两个方面保障应用系统的运行效率，降低对系统的硬件要求：无论在何种业务模式下，保障通讯的效率对提高整个业务系统的性能都具有特别的意义。中间件在通讯时针对不同的网络状况采用相应的流量控制策略，提供压缩功能以保障数据在不同网络带宽下的通讯效率。业务系统的处理效率取决于通讯的效率、主机处理的效率和数据库处理的效率。在高并发性业务中，多个客户前端可能会同时访问同一个主机或数据库，由于其业务突发性，过多的业务并发量会导致对主机资源和数据库资源的过度占用从而引发整个业务系统的运行效率下降。中间件通过对业务占用主机资源和数据库资源的有效控制，可以防止低效系统的出现。（4）系统可用性业务应用系统需要避免硬件故障带来的不利影响，提供724小时的服务支持。中间件的智能路由能力可以在某点网络线路故障发生时自动切换到其它路径进行通讯传输；在某服务主机故障发生时业务处理自动交由集群服务器组的其它主机来完成。在突发异常大的业务量下不会导致应用系统瘫痪。（5）系统伸缩性业务应用系统不是一成不变的。中间件支持应用系统正常运行下的应用、部门的动态增减、变更。随着业务数据量的不断增加，将面对不断增加的业务压力。中间件提供了一种简单快捷的解决方案，只要将多台机器配成服务器组，增加业务处理能力，中间件就可以在多台机器间进行均衡负载的工作以适应不断变化的业务需要。（6）开发标准、简单要保障项目得以顺利进行，需要使开发工作标准、清晰、简单有层次，把应用开发从烦琐的异构处理、故障恢复、效率保障等等工作中解放出来，专注于业务的开发。中间件正是这种能够使应用程序专职于业务，而自身把其它应用系统的需求独立承担起来的产品。（7）安全性中间件提供多个层面的安全功能。在通讯双方可以进行合法性的认证防止非法访问；可以对服务程序和客户程序进行合法性认证以防止非法程序使用；可以对用户进行合法性检查；对传输数据可以进行加密以防止数据失窃。（8）维护管理简单方便为了方便对应用和系统的监控管理，可以采用中间件的统一管理工具，可以在专门的管理机上由专人来进行统一的管理和维护。整个管理工作非常简单，有中文界面。 消息服务随着运行在支撑平台上的业务系统越来越多，并且业务系统是分布的部署在不同的地域，为不同的部门服务。不同系统或不同部门之间存在着强烈的数据交换需求，并且需要在数据传输的过程中确保消息的可靠性，不允许丢失消息。即使在传输过程中出现机器宕机或网络断开的故障，也要求能够对传输的数据进行保存，等待故障排除后，能够续传，而不是丢弃出现故障前已经传输的数据，让用户重新进行传输。因此，使用消息中间件构件构建应用支撑平台的消息服务。消息中间件先进的队列、消息及路由等处理机制，使其能够为应用系统提供高效、灵活的同步和异步传输处理、存储转发、消息路由等技术支持，确保消息在任何情况下都能够安全、可靠的送达。通过使用消息中间件，应用系统完全不需要担心消息传递过程中可能遇到的各种障碍（机器故障、网络故障等）和异常。消息中间件提供点对点、发布订阅、路由、集群等多种方式的消息传递模式，极大方便了企业应用的灵活构建，同时消息中间件通过对核心、进程管理、队列管理等各层面的优化和改进，能够更加充分地利用硬件和网络资源，极大地提高了传输效率，为各种不同应用模式、不同系统规模、不同消息传输量的系统提供了强有力的后台支撑。 面向服务的架构（SOA） 面向服务的架构（SOA）可以将原来各自为政的IT系统有机整合起来，实现信息、IT资产的共享和重用。采用成熟的SOA技术架构建设应用支撑平台，实现系统之间的松耦合，实现系统之间的整合与协同，便于用户对后勤信息服务中心系统的管控和积累。 面向服务的架构（SOA）是目前最领先的IT架构。在这种架构下，应用系统的接口被发布成“服务”，部署在应用支撑平台系统上。任何一个应用要访问其他应用可以通过对应用支撑平台系统上的服务进行发现和服务的表述来确定被访问服务的属性和调用格式，从而实现标准化的应用之间的协作，达到应用系统之间的松散耦合。 Web服务（Web Services）Web服务是为了让地理上分布在不同区域的计算机和设备一起工作，以便为用户提供各种各样的服务。用户可以控制要获取信息的内容、时间、方式，而不必在无数个信息孤岛中浏览，去寻找自己所需要的信息。随着Web服务技术的发展和运用，我们目前所进行的开发和使用应用程序的信息处理活动将过渡到开发和使用Web服务。将来，Web服务将取代应用程序成为Web上的基本开发和应用实体。Web Services可以通过web描述、发布、定位和调用的模块化应用。Web Services通过简单对象访问协议 （Simple Object Access Protocol，SOAP）来调用。SOAP是一种轻量级的消息协议，它允许用任何语言编写的任何类型的对象在任何平台之上相互通信。SOAP消息采用可扩展标记语言（XML）进行编码，一般通过HTTP进行传输。与其它的分布式计算技术不同，Web Services是松耦合的，而且能够动态地定位其他在internet上提供服务的组件，并且与它们交互。3.2.6 CA认证功能设计为保障用户账户安全，杜绝密码泄露、暴力破解等情况造成的安全隐患，系统采用硬件加密认证方式验证用户。CA（Certificate Authority）认证中心，它是采用PKI（Public Key Infrastructure）公开密钥基础架构技术，专门提供网络身份认证服务，负责签发和管理数字证书。根据建设和使用方式不同，CA分为第三方CA与自建CA：第三方CA自建CA建设/使用成本一般由第三方CA按用户收取年费，建设投入和证书使用成本较高一次投入建设成本，建成后可为用户免费发放证书，成本较低证书有效性检查由第三方提供的CRL（证书撤销列表，时效性较差）或者OCSP（在线证书状态查询，依赖于外部系统，已形成性能瓶颈）与业务系统紧密结合，对证书有效性的控制和检查实时准确定制化/灵活性按第三方规定的流程申请证书，受制于第三方的系统，还需要将用户证书导入业务系统中，灵活性较差可以与业务系统紧密结合，满足业务系统的定制化需求，灵活性高故障响应时间故障解决依赖于第三方故障响应及时认证资质已通过相关单位审批，有电子认证服务资质，权威性强建成后，对外提供电子认证服务时，需要通过相关单位审批由于本系统采用CA认证仅用于系统内部身份验证，不参与对外发放CA认证证书，无需申请相关资质。同时，本系统用户众多，认证发放和管理需具有较强的自主权、具有较快的反应时间、具备较高的安全性，因此本系统采用自建CA模式。 逻辑结构在CA系统、目录服务器、身份认证网关建设完成后，与各个应用系统的逻辑结构图如下所示：图5-2 逻辑结构图如图5-2所示，在某某市水利局内部建立统一的数字认证中心，为内部用户发放数字证书，并且通过与后台应用系统的结合，实现数字证书与应用系统的无缝对接。CA系统采用目录服务器作为存储服务器，向目录服务器添加、删除用户信息和证书，并为客户实现查询证书、下载证书信息，以及CRL（证书作废列表，也称黑名单）等功能。在与应用系统的整合过程中，某某市水利局数字证书中心提供根证书及CRL（证书作废列表，也称黑名单）验证服务，确保此数字认证中心所发放数字证书的有效性，并且通过应用客户端的数字证书、USB KEY及身份认证接口的部署，实现客户端的数字证书部署和应用。 网络结构某某市水利局PKI应用安全建设网络拓扑图如下：图5-3 网络拓扑图如图5-3所示，在某某市水利局内部局域网中部署身份认证系统（CA）、目录服务器、身份认证网关，并连接核心交换机，以实现内部的网络部署和互联。通过某某市水利局的内部网络，实现基于内部、远程授权用户互联，并为其发放数字证书。同时，基于某某市水利局的内部网络，可实现各应用系统的统一身份认证，实现“一证通”，即一套数字证书系统实现多应用的统一认证、管理。用户证书的查询、管理可通过目录服务器来完成。针对数字证书的管理，可通过内部网络的管理客户端，采用B/S模式直接访问身份认证系统（CA），实现数字证书的申请、审核、发放、注销等管理操作。 建设内容身份认证系统（CA）身份认证系统由密钥管理中心（KMC）、CA管理中心、签发服务器等部分组成，其结构如图5-4所示：图5-4 CA系统构成图身份认证网关身份认证网关是一款利用PKI技术来验证用户身份的安全产品，支持硬件密码卡、国际/国内标准密码算法，通过开发接口将应用系统与网关进行无缝结合，保证了用户身份的合法性和有效性。身份认证网关底层依托于安全操作系统及密码卡、加速卡设计，通过管理系统、服务端通信系统和客户端API接口保障了身份认证的安全、可靠。身份认证网关具备以下功能：1、实现基于数字证书的身份认证，支持不同CA的用户证书验证，提供CRL/OCSP/LDAP/AD 等多种方式的证书有效性验证。2、支持黑名单、白名单功能。3、系统可以备份当前所有配置信息，保证系统瘫痪时的快速恢复。4、系统可以自行记录日志，也可以将日志以SYSLOG 的方式发送到指定服务器，并提供对日志审计功能。5、可同时配置多条证书链，验证不同CA的用户证书。6、支持双机热备、负载均衡方式部署，保证了业务系统身份认证的不间断应用。3.2.7 USBKEY智能密码钥匙USB KEY是通过国家密码管理委员会办公室安全性审查的客户端密码产品。可存储标志持有者身份、持有者权限等敏感、重要、保密的信息如数字证书的公/私钥对。带有密码运算的加密协处理器，保证密码运算的安全性和高效性。USBKEY内置COS（Card Operate System）系统，可根据应用的需要，提供加解密、数字签名、验证签名等安全服务，从而保证敏感信息在网络传输中的机密性、完整性、有效性和不可否认性。某某市水利局的数字证书中心签发的数字证书和密钥信息存储在USBKEY中。 目录服务目录服务是用于在全球范围内查找用户和商业伙伴的强大的搜索工具。近几年，随着LDAP（Light Directory Access Protocol，轻量级目录访问协议）技术的兴起和应用领域的不断扩展，目录服务技术成为许多新型技术实现信息存储、管理和查询的首选方案，特别是在网络资源查找、用户访问控制与认证信息的查询、新型网络服务、网络安全、商务网的通用数据库服务和安全服务等方面，都需要应用目录服务技术来实现一个通用、完善、应用简单和可以扩展的系统。LDAP（Lightweight Directory Access Protocol），轻量级目录访问协议。它是目录访问协议一个标准。它是基于X.500标准的，可以根据需要定制。轻量级目录访问协议以信息目录的形式存在，在该目录中可只定义一次用户和组，而在多台机器和多个应用程序间共享它们。LDAP定义与目录服务进行通信所使用的操作，如何找到目录中的实体，如何描述实体属性，以及许多安全特性。这些安全特性可用于对目录进行身份验证，控制对目录中的实体的访问。LDAP标准中没有定义在目录服务器上存储信息的方式。为实施LDAP服务器，使用了许多不同的技术。这些技术包括简单的平面文件、索引文件和相关数据库。无论使用什么技术来实施目录，从LDAP客户端对目录的所有访问都使用相同的标准协议：LDAP。为此，尽管存在不同的内容结构，这些目录都被称为LDAP目录服务器。在企业范围内实现LDAP可以让运行在几乎所有计算机平台上的所有的应用程序从LDAP目录中获取信息LDAP目录中可以存储各种类型的数据：电子邮件地址、邮件路由信息、人力资源数据、公用密匙、联系人列表，等等。通过把LDAP目录作为系统集成中的一个重要环节，可以简化员工在企业内部查询信息的步骤，甚至连主要的数据源都可以放在任何地方。 数据交换功能设计数据交换子系统分为两个方面，一是通过数据抽取服务将省级分中心的数据抽取并发送至全国移民管理信息系统国家级中心数据库，二是通过数据导入服务将国家级系统的共享数据导入到省级移民系统数据库。其中，需交换的数据主要包括地理信息数据、基本资料数据、规划管理数据、资金管理数据、汇总分析数据、报表数据、综合管理数据等。数据交换子系统的建设内容包括：n 开发数据交换平台，以提供稳定、可靠的数据传输功能；n 负责提供标准化的统一数据传