安康市汉滨区电子政务统一平台建设实施方案

#机房计算机设备包括计算机主机、服务器、网络设备、通讯设备等，由于这些设备进行数据的实时处理与实时传递，关系重大，所以对电源的质量与可靠性的要求最高。使用30KVA配置UPS电源一台，延时2小时。照明系统1、照明系统照明灯具：选用条形格栅灯，光色柔和不刺眼、美观大方，又满足了机房照度的要求。2、应急照明主要出入口设置应急安全出口筒灯，电源由配电柜供给，停电时由自带蓄电池供电。防雷接地1、防雷系统对计算机网络中心机房电源系统采用两级防雷设计。一、二级电源防雷：在机房总配电处和UPS输入端分别选用防雷器在L-N、N-PE间进行保护。2、接地系统机房为了防止干扰和抑制噪声，保证设备稳定可靠的工作和安全，需新建良好的接地系统。采用综合接地，接地电阻小于1欧姆。保护接地与防雷接地等共用接地系统，汇总到中心机房等电位接地母排。根据实际情况，可从大楼接地体引出，用25MM2电缆引入机房。3、直流工作地网在机房内的布局是采用铜排敷设在活动地板下，配有专用接地端子，用编织软铜线以最短的长度与计算机设备相连。4、防静电地网采用紫铜带布成网格状的泄露网，敷设在地面上用铜铆钉固定，防静电地板支架压接在紫铜带相交处。

对金属材质的天棚、地板、墙面及其他金属材料，实现将棚、墙、地、相连接，构成一个等电位的六面体，达到初级屏蔽的效应。当当当各当当匕°口口口口口口口EJ紧黜制并关图表1消防系统结构示意图bducddaac-Q当当当各当当匕°口口口口口口口EJ紧黜制并关图表1消防系统结构示意图bducddaac-QQQQQQQiQQ口口口口口口口口口系统指示牌,去梢防中心消防系统汉滨区政府现有机房，只配备了2个二氧化碳灭火器设备。在消防方面需要改造。按照以下要求进行改造。1、灭火系统：选用气体灭火剂，如七氟炳烷、卤代烷、气熔胶灭火系统。在机房内重要部位安装火灾报警控制器。火灾报警控制器由火灾自动探测器、区域报警器和控制器组成。火灾报警采用烟感探测器和温感探测器，探测器安装在吊顶上和活动地板下，两者联合使用提高报警的可靠性，火灾自动探测器即能发出警报信号，控制器显示报警的探测器所在位置。空调系统新购置机房精密空调一台，替换机房内现有已使用多年的两台空调。门禁和监控门禁改造按照以下要求进行：1、门禁系统I进门.卡/I 1.据1储控.器I 1电动锁II出门卷卡器I 双向感应单门门禁控制单元一I.r.卡器］h出门按钮一］।♦门.控锁］ 1.据彳-控制彳n :6门读卡器L出门按钮 B门电控锁 单向感应单门门禁控制单元一 485总线结构可以对接最多255台门禁控制单元 485/232信号转换器-——图表1门禁系统结构示意图通过门禁系统，在一些要害部位，安装出入口控制装置，只有有效登录才允许通过。系统应提供如下功能：通过个人识别卡感应后，通过系统确认其身份和使用时段后,方能开门；可以设置感应卡的使用权限。可以禁用挂失一张个人识别卡或一批识别卡；多级系统操作密码。系统实时显示当前所有门的开关情况；进出情况。可以对以前时间内所有门和卡的进出情况进行统计查询；进出人员均有相片显示。并随时可查阅其人事档案。系统对设备的故障进行自检和跟踪监测,以便维护人员及时维修。2、视频监控系统进入信息中心机房通道的全天候监控，安装监控设备。综合布线系统遵循EIA/TIA-568A标准，即《CommercialBuildingTelecommunicationsWiringStandard》、ISO/IEC11801、EN50173。综合布线系统分为六个子系统：建筑群主干子系统、设备间子系统、垂直干线子系统、管理子系统、水平子系统和工作区子系统。综合布线系统必须满足以下要求：1、支持10M以太网、100M快速以太网与1000M快速以太网技术等。2、整套产品应该具有以下特性：兼容性、灵活性、可靠性、先进性。信息安全基础设施信息安全建设是汉滨区电子政务建设的重要组成部分，是保证我区电子政务安全高效运行的必要条件。本次建设中，将充分利用原有安全设备，在此基础上，按照《规范》和《方案》要求进行完善。电子政务内网安全汉滨区电子政务内网由全区六大系统组成，汉滨区电子政务内网与上级政府电子政务内网互联互通。汉滨区电子政务内网主要是省级、市级电子政务应用系统在汉滨区的延伸，其身份认证和电子签名等安全服务体系应根据所建设系统的需求由市电子政务办供，汉滨区不再建设网的CA需求由市电子政务办供，汉滨区不再建设网的CA安全支撑平统一平台提电子政务内台。图表2汉滨区电子政务内网CA安全体系部署图电子政务外网安全根据《规范》要求，汉滨区电子政务外网安全建设，身份认证及电子签名等基于CA的安全服务由省、市两级CA安全支撑平台的安全设施共同完成。电子政务外网的应用单位、应用系统及硬件运行环境需由市级CA安全支撑平台颁发机构证书、服务器证书和个人证书。汉滨区电子政务外网CA安全体系由商密密码机、单点登录（SSO）服务器、统一用户管理（UUM）服务器及安全中间件组成。商密密码机用于产生及存放服务器密钥/证书；SSO服务器、UUM服务器及安全中间件完成基于CA证书的身份认证及数字签名。SSO服务器是整个身份认证过程的调度枢纽，由它发起签名、验签、验证等操作；UUM服务器主要进行全局用户管理以及用户授权管理；安全中间件具体执行身份认证过程中的签名、验签、加密、解密和OCSP查询等操作。实现方式1、统一用户与授权管理、单点登录系统实现方式使用者直接登录具体的应用系统，由应用系统向认证服务器转发登录请求完成登录过程，也可直接登录身份认证服务器，通过身份认证服务器的单点登录功能访问任一应用系统。统一用户与授权管理系统为各类应用系统提供集中的机构、用户、角色、权限的管理，对操作人、操作行为、操作时间、操作地点、信息资源等授权要素进行统一管理，结合安全中间件提供接口，可提供基于数字证书或用户名口令等多种身份认证方式。与单点登录系统相互配合，可实现“一次登录，随处访问”的操作体验。认证流程采用三次握手方式实现双向身份验证机制。以用户直接登录应用服

务器为例，身份认证流程如下图所示。图表3用户与应用服务器之间双向认证流程图使用者在与应用系统完成双向认证后，应用系统需要向SSO服务提交用户证书进行用户数字证书的签名验签和授权属性的认证。签名验签由SSO服务调用安全中间件完成，并再次通过安全中间件向OCSP验证数字证书的有效性合法性。授权属性的认证是通过SSO服务调用UUM（统一用户授权管理服务）进行用户属性授权信息的验证。授权结果将由SSO服务返回至应用系统服务。身份认证过程如下图所示：

图表4身份认证过程在通过OCSP进行证书有效性验证时，安全中间件首先通过上级市级CA平台部署的OCSP服务器进行查询；如果市级不提供OCSP查询服务，安全中间件则自动向省级OCSP服务器查询；如果省级OCSP未提供本级证书的查询服务，安全中间件则自动向省CA中心的OCSP进行查询。2、服务器证书的产生与存放通过密码机的管理端为每个服务器（包括应用服务器和认证服务器）进行配置，为每个服务器设定一个唯一标识符（ID）。该ID即为该服务器在密码机的密钥对ID号，也是密码机中存放服务器密钥对的目录的ID。各服务器调用密码机提供的产生密钥对接口，根据服务器密钥对ID产生服务器签名密钥对，并将产生的私钥存放在该ID的目录下。服务器公钥经CA中心签发后，也保存在同一目录下。至此服务器证书产生并存放完毕。服务器证书产生和存放过程中，私钥始终保留在密码机中，保证在密码实体中进行服务器签名验签运算，防止通过木马或其他非正常手段窃取签名私钥。电子政务统一平台汉滨区电子政务统一平台是基于互联网而建设的，统一平台建设是汉滨区电子政务建设的核心。它是在网络设施、信息安全设施、服务器存储设施的基础上，由支撑网络汇接、数据存储、信息交换、应用支撑、应用服务功能的软、硬件搭建的综合平台。平台以集成创新的方式，融网络、安全、存储设施及其它组成部分为一体，相互关联与依托，使得流经统一平台的政务信息实现交换、共享和业务协同。汉滨区电子政务统一平台功能模型见下图。应用服务办公业务系SYSLOGV：JMX=HTTPSNMP监控代理身份认证SSO务接＞门户网站视频会议SOA接口幺春 田亡I电子邮件统应急指挥政务公开统用户授权管理安全中间件USAP网山上审批类业构件接口应用支撑USAP办公类业务建模USAP门户类业务建模工作流公文模版务建模表单。。。数字签名安全月■■■口信息交换加密解密消息总线应用适配器运行环境应用集成BPMDBMS接口应用适配器组件应用适配器组件。。。网页防篡改数据存储防病毒数据访问数据挖掘数据分析网络接口存储交换机磁盘阵列数据备份入侵检测入侵保护网络汇接接入层汇聚层ADSL防火墙WiFi3GVPN综合管理服务图表5汉滨区电子政务统一平台功能模型电子政务统一平台是我省电子政务建设的核心。我省电子政务总体框架是基

于统一平台构建的，它包含了省、市、县三级电子政务统一平台进行互联互通。汉滨区电子政务统一平台既是本级政府的电子政务数据中心，具有相对的独立性；同时它又是全省电子政务的组成部分，与省、市两级电子政务统一平台保持互联互通。为保证全省电子政务统一平台体系的完整性和互联互通，汉滨区电子政务统一平台的建设所选设备，采用与省级、市级电子政务统一平台相一致的核心产品。数据存储中心汉滨区数据存储中心主要为各个基础性、公共性政务信息资源提供统一、集中存储及管理。结合汉滨区实际情况，数据存储中心建设将采用存储局域网IPSAN(IPStorageAreaNetwork)的解决方案来实现。IPSAN存储模式说明汉滨区数据存储中心，通过一套完整的数据存储系统来实现对所有服务器的数据存储备份。其存IPSAN存储备份拓扑图如下图：于在主机层数据库服势器数据库服务器图表借殿滨区数据中心存网络层 厂存储管理层份拓扑图构分为存储层、网络层、主机层、存储管理层。

能、可扩展的智能存储设备存储数据信息，由IPSAN存储备份模式总彳存储层主要提供高可靠、SAN中资源是完全的共享，但同时要保证数据访问的安全性，因此必须保于在主机层数据库服势器数据库服务器图表借殿滨区数据中心存网络层 厂存储管理层份拓扑图构分为存储层、网络层、主机层、存储管理层。

能、可扩展的智能存储设备存储数据信息，由IPSAN存储备份模式总彳存储层主要提供高可靠、SAN中资源是完全的共享，但同时要保证数据访问的安全性，因此必须保■I■■■■w■■■■!(■■■■■■■■■■■■■■■■,r■■■■n・•■!・■■■■■n■■■■■■■-r■■■■n■■■■■■■■■n■■■■■■■-r■■■■■■■■■■■■■■n■ ・■■■■■■■■■・■■■n■>■!■■■・，・■■■!■■■■■■¥■mh■证使每个应用系统既能共享资源又能互不干扰。本次采用磁盘阵列来作为备份介质。网络层是通过传输介质IP网来实现数据库与存储设备的链接主机层提供数据处理和应用服务。通过在主机上安装两块千兆以太网卡绑定后与磁盘阵列相连，形成一个全冗余的连接结构，同时通过在主机上安装与存储兼容的管理软件，实现通路的错误冗余和负载均衡，在提高主机访问带宽的同时保证了可用性。存储管理层是SAN存储整合的另一个需要重点考虑的部分，即存储管理整合。直观管理SAN中的存储资源。进行统一资源保护、分配和管理，存储系统配置和状态监控、性能分析、故障预警和报考等功能；同时存储安全管理、数据异地容灾功能管理和数据快速复制功能管理都能够集中进行。减少系统管理员的工作量，简化IT的管理流程。存储备份管理系统主要是由备份管理软件、存储设备和备份设备构成。存储量需求量分析为了更好更贴切的选择适合汉滨区政府存储的设备，首先需要对汉滨区的数据量进行一个测算。数据量主要分以下三类。1、办公业务资源类数据，用于日常文件及公文数据的存储，每年存储量按25GB，按照档案管理的20年保管期计算，总计500GB。2、统一门户网站，按照每日更新100条信息，每条占用100K存储空间，合计每天10乂8；每日更新视频5条，每条播放约8分钟，合计30M；计算得每年预计50GB，按照3年的存储量，共计150GB。3、图片、声音、视频多媒体数据虽然本次未把视频会议作为建设内容，但为了以后数据的考虑，很有必要把未来要建设的视频会议、应急指挥系统、多媒体系统数据量也核算。视频类数据以每秒25帧，计算得每分钟15M。如果每天开会平均2小时，每月20天，存储3个月，总计108GB。应急指挥系统：应急指挥占用空间同视频会议系统，计108G。根据以上计算，得出汉滨区电子政务统一平台存储系统的容量为大约为0.9TTB。考虑到未来3到5年的业务增长，汉滨区数据中心的存储容量可按照5TB进行预留。备份模式汉滨区电子政务统一平台的数据备份包括本地和异地两种备份方式。本次只限对数据信息本地化备份建设思路，采用千兆以太网技术接口，最大可支持8个虚拟磁带库，16个虚拟磁带驱动器，128个虚拟磁带的虚拟带库进行备份，备份容量不小于20T。待条件成熟后，可以将汉滨区数据中心的核心数据统一异地备份到省电子政务数据中心。设备配置其建设过程所有设备清单见附件汉滨区电子政务建设投资概算表。信息交换中心信息交换中心（又称为“信息共享与交换平台"）是基于SOA的架构开发的，它是汉滨区电子政务统一平台的核心内容。信息共享与交换平台：包括应用适配服务层、共享交换服务层、跨域交换服务层、流程管理服务层四层组成。通过在汉滨区中心机房部署信息共享交换平台实现全区的政务信息资源的安全可信交换和共享。信息交换中心采用“国办秘函技术指南”要求的“三横两纵”总体框架结构。“三横”为流程层的流程管理系统，应用层的应用集成系统，数据层的应用适配器系统。“两纵”为支撑“三横”的管理和监控系统及安全支撑系统。功能设计信息交换中心主要划分为既相互独立又分工协作的五个层次：应用适配服务层、共享交换服务层、跨域交换服务层、流程管理服务层、智能数据浏览服务层。信息交换中心功能模型图如下：

流程管理服务层（ 、接口）\\流程建模流程仿真应用程序接口JMS接口工作流引擎（BPM）\.跨域交换服务层\\全局解析机构\全局模式代理全局认证中心数据共享交换中心域（域1、域2、域3。。。）\.共享交换服务层\\\消息队列消息排队消息路由点对点传输发布订阅传输消息服务器、JMS代理、模式（元数据）管理\.\应用适配服务层\\\关系数据库组件Domino组件\加解密组件数字签名组件文件传输组件XML映射转换组件适配器运行环境（运行容器、事件管理、数据接口）（适配器运行环境监控代理、数据交换中心监控代理）安全服务协议支撑1讨H必!|.密cA管''图表7信息交换层功能模型汉滨区政府可以在每一层上进行不同的开发、部署和管理工具集，每个层次上的工具集又可以独立部署和运行或者协同运行，完成不同的功能。另外，安全服务支撑和系统运行监控管理服务支撑分别为智能数据浏览服务层、流程管理服务层、共享交换服务层和应用适配服务层提供系统的安全和监控管理服务。按照面向电子政务应用系统的不同集成层面（数据集成层，应用集成层和流程集成层），由底向上，各个服务层次介绍如下：1、应用适配服务层：应用适配服务层是指可以与具体应用系统便捷连接的模块化软件，主要解决应用系统与应用集成系统之间的连接与信息交换等问题，实现信息的提取、封装、打包、分类、加密、压缩和传送等功能。同时，提供应用适配器开发框架，以适应不同应用系统的连接。应用适配器系统通过配置、定义的方式实现和应用系统的连接，以提高部署效率，降低实施成本。2、共享交换服务层：共享交换服务层是整个平台的核心，它是基于JMS、LDAP和XMLSchema,由一系列中间件、服务、WebService接口以及数据库组成，采用支持WebService的XML消息软总线的消息通讯技术，提供功能强大的消息订阅/发布（Publish-and-subscribe）和消息队列（MessageQueue）功能，提供基于WebService的数据传输、数据转换和规则化的数据移动。支持点到点的异步传输模式。数据交换中心对数据传输进行集中控制和管理。3、跨域交换服务层：跨域交换服务层的功能需求来自业务系统存在于不同的行政管理域和地域，即政府中存在着省、市、县等行政级别和区域的划分。不同级别的数据交换所涉及到的机构部门也处于不同的级别，这通过一个交换中心往往不能很好的解决这样一个庞大体系中的复杂交换，相反，若通过将多个可信的数据共享和交换中心按照行政层次和区域进行级联则可以较好的解决这个问题。跨域交换服务提供以下功能：（1）用户和资源的协同。同一用户或者资源可能在不同的交换中心都有注册信息，这就需要在多个交换中心之间统一用户和资源的定义和描述，必要的时候需要建立相互之间的映射关系。（2）路由功能。用户所需要的数据可能途经多个交换中心，这需要数据传递过程中根据数据的目的地来确定数据的路由，交换中心应该具有这样的路由模块来负责计算数据的路由，通信协议也应支持这样的路由。（3）安全协同。首先，每个交换中心都具有自身的一套安全体系确保自身的安全；其次，通过数据交换中心间的安全通信和用户访问控制的协同来建立交换中心间的整体安全；此外，通信协议具备足够的能力以支持通信安全和系统审计。4、流程管理服务层：流程管理服务是信息交互与管理的中枢，是应用系统间业务流程整合和信息纵横传输的控制中心。流程管理系统基于应用集成技术和WebService技术，独立于具体应用之外，提供流程设计、重组、部署、管理、监控、审计、优化的环境。流程管理系统提供一系列工具以便设计、修改、监控与管理业务流程及各流程节点对应的服务。流程管理系统支持面向服务、流程驱动的体系结构，既可以将现有不同应用系统的流程协同起来，也可以将新应用系统的流程统一起来，最终将业务流程调整、管理、设置的权力从IT技术人员手中移交给业务人员。信息安全保障汉滨区电子政务统一平台中的信息交换中心采用以下措施来实现对信息安全的保障：数据保密技术：信息交换层在数据交换过程中保证数据不能失密；其次，在数据中心和客户端Adaptor的缓存数据应该保证安全。密钥和证书管理：系统的数据安全主要通过加密实现，因此系统需要保证对密钥和证书妥善的安全的管理，保证这些信息不能失密并且可用。数据完整性：为了防止数据交换过程中，以及数据缓存中的数据被恶意攻击篡改或者意外破坏，应该提供安全措施保证其完整性。不可抵赖性：通过引入可信的第三方和数字签名技术加以实现。可信的第三方捕捉和存储足够证据以支持解决未来有关数据的起源的争执，这种证据主要包括数据的副本和时戳。在具体的实现中，可信的第三方可以由信息交换层担当。身份认证：身份认证通过一种严密和坚固的机制来保证访问系统的实体身份真实可信，从而保证系统不会被非法用户非法入侵。访问控制：与身份认证相对应，系统同样需要提供访问控制来保证敏感信息不能被用户非法访问，在信息交换层中主要体现在对用户的订阅发布权限通过严格的安全机制进行管理，保证用户只能访问权限以内的资源。安全审计：数据交换中心负责提供大量的面向政务的数据交换服务，这个过程中的交换纪录需要由系统保存下来以进行审计，保证每一笔交换有据可查。审计记录应该提供数据交换的详细信息以保证能对历史操作进行详细全面考察。8)管理服务支撑：管理和监控系统为各个层提供以下服务的支撑：提供系统运行监控工具，实现对系统运行状况、资源占用状况、系统性能状况、系统异常状况的监控；提供系统资源配置工具，实现对业务流程系统、应用集成系统、应用适配器系统的动态配置；提供远程日志管理和维护；

提供远程部署和远程系统维护功能。上述功能的实现需要采用加密机设备、密码服务系统、密码设备管理系统、密钥管理中心、PKI/PMI/OCSP基础设施、责任认定系统、安全中间件、身份认证系统、资源管理系统等软硬件集成的安全支撑产品来实现。接口实现信息共享与交换平台为办公业务系统、电子公文传输系统、政务信息报送系统、督察督办系统、便民服务系统等应用系统提供文件交换接口以及关系型数据交换接口。汉滨区信息交换平台的实现方式是在中心机房部署一个交换中心，作为全区交换平台的数据交换中心，为了保证其性能的可靠性，可以将其部署在一台单独的服务器上，实现交换平台的双机设备和负载均衡。汉滨区各连接部门部署各自的前置机，各前置机与中心机房交换中心连接，实现全区政务部门的数据资源共享。交换平台通过适配技术适配应用系统不同类型的数据，应用系统通过适配器接口将数据放入发布适配器发送端，发布适配器从发送端取出数据进行适配、封装、加密、签名、压缩并添加路由信息之后放入前置机数据总线代理，数据总线代理将数据发送到交换中心，交换中心根据路由信息将数据发送到接收前置机，接收前置机对数据进行解压缩、验证、解密之后通过订阅适配器将数据解析成不同类型的数据，应用系统通过适配器接口取出数据进行应用。平台向应用系统提供两种类型接口，文件交换接口和关系型数据交换接口。文件交换接口前置机发布适配器的发送目录中，文件以及路由文件经交换中心传送的接收前置机的接收目录，应用系统从接收目录中取走接收到的文件。应用系统铮Am部前置机发送目录交换中心前置机应用系统应用系统铮Am部前置机发送目录交换中心前置机应用系统接收目录图表8文件交换接口拓扑图文件交换接口向应用提供文件交换的功能，应用将文件和路由文件放入发送其实现方式是开发文件发布适配器和文件订阅适配器，然后通过连线在交换中心建立两个适配器的路由关系，这样便建立了两个适配器之间的逻辑连接。关系型数据交换接口关系型数据接口向应用提供关系型数据交换的功能，发送表和接收表通过连线在交换中心建立路由关系，应用系统在发送表里增加、删除、修改数据，其操作记录由交换中心发送的接收表，在接收表执行相应的操作。目前关系型数据接口支持在Sqlserver、Oracle、DB2等异构数据库之间交换数据。其实现方式和文件适配器类似。扩展功能实现信息共享与交换平台不仅可以实现以上功能，同时还可以实现跨域数据交换：该平台逻辑上将以一个交换中心为中心节点的范围称为一个域，实现数据的跨域交换即两个交换中心之间的数据交换。跨域通信代理实现了数据的跨域交换。其拓扑图如下：

图表9数据跨域交换拓扑图图表9数据跨域交换拓扑图前置机2其实现方式是在两个域上分别部署一个跨域通信代理，跨域通信代理部署在单独的服务器上，跨域通信代理通过通道互联，数据经过通到实现了跨域交换，通道是双向互联，通过通道域之间可以互发数据。全局监控管理中心对各个域的跨域通信代理进行管理，实现通道的注册和部署。性能指标结合《规范》要求，根据汉滨区政府接入单位的实际情况，汉滨区建设交换中心及设备选型上需要按照以下性能指标进行建设。适配器运行用户数：在同一台前置机的适配器运行环境中能够部署的最大适配器实例数量，其数量不小于150个。信息总线接入接出用户数（连接数）：数据交换中心在运行时能够连接的最大数量的前置机数量,其数量不小于100个。消息吞吐量：单位时间内交换中心接收的消息总数，其数量不小于500条/秒。消息总线带宽：单次数据交换通过交换中心的数据量，其数量不小于500M。安全等级强度：采用不小于128位密钥长度的数据加密和解密算法，统一数字认证管理。数据压缩率：采用文本格式数据文件，数据压缩率优于10%。动态运行参数刷新指数：应用适配器运行环境的状态属性在监控和管理中心之间的信息交换频率，峰值不大于5秒。数据交换传输可靠率：从发布型适配器发布一条数据，到订阅型适配器接收到该条数据的可靠程度不小于99.9999%。部署方案信息交换的各个子系统（交换中心子系统，应用适配器子系统，监控管理中心子系统，元数据管理子系统）部署在同一台服务器的不同虚拟服务器上，数据库单独部署。应用服务器部署Tomcat中间件，数据库服务器部署MySQL数据库。其部署图如下所示：

2.7.3应用支撑平台应用支撑平台是集面向构件应用的开发、毅据交换中心:一系统（部署在里拉朋务器」监控管理中凸干系箫2.7.3应用支撑平台应用支撑平台是集面向构件应用的开发、毅据交换中心:一系统（部署在里拉朋务器」监控管理中凸干系箫1瞬在ifi报版务翳I$适配世运用环布「累铳

（部署在虚拟携舞器上1S 后舱据管刊子奈子邯署在虚拟眼务芥I.）图表10信息交换中心部署图、维护、部署、管理和发布于一体的集成开发环境，提供对应用整个生命周期的维护。汉滨区电子政务统一平台不单独部署应用支撑平台，仅将县级电子政务应用系统所需的相关组件直接与应用系统集成，与应用系统共同部署。这样会大大节约信息化投入的成本。2.7.4安全支撑安全支撑体系基于网络与信息安全基础设施，为汉滨区电子政务系统提供从物理、网络、主机到应用系统等全方位的安全支撑服务。其体系结构图如下：

安全管理体系符合性：标准、法神.法规用统息全

俄系信安业务持线性，冗余笛粉及防灾措旅用统息全

俄系信安基于弼性证书的权限授予基于数字证书的身份认证基于弼性证书的权限授予筑-的时间服分

基于PKI\PMI的统裱源访问捽制主机安全网络安全物理安全图表11安全体系结构示意图汉滨区电子政务安全支撑按照等级保护的要求进行设计，以下简要说明应用层安全支撑措施：应用层安全支撑服务由3个系统组成：统一用户和授权管理系统（UUM）、单点登录系统（SSO）、安全中间件系统。统一用户与权限管理系统：针对统一资源目录中的用户、角色、权限等进行管理。单点登录系统：为用户提供多应用之间的单点登录服务。安全中间件：安全中间件向应用系统及安全控制系统提供标准的安全接口，是一个建立在一系列国际安全标准之上的开放式应用安全开发平台。安全中间件是安全控制系统与安全基础设施、安全控制系统与应用系统之间的桥梁，实现安全控制系统与安全基础设施、安全控制系统与应用系统之间的松耦合。安全中间件基于它的各个系统提供稳定的、透明的功能接口，当安全基础设施或安全控制系统的实现发生更改和变化时，用户业务系统不会因此而进行修改，同时，安全中间件屏蔽了安全技术的复杂性，使设计、开发工作大大减轻。汉滨区统一用户单点登录系统和安全中间件采用集中式部署方式，与应用系

统共用应用服务器和数据库服务器。接口实现单点登录和统一用户授权管理系统是将办公业务系统、电子公文传输系统、政务信息报送系统、便民服务系统等应用系统集成起来，对这些应用系统中机构、用户、职务等信息进行集中管理并实现这些应用系统的集中身份认证分布授权和单点登录功能，并实现应用系统与单点登录和统一用户授权管理系统之间的机构、用户、职务数据的同步功能，以及实现省、市、县之间的数据同步。应用系统与单点登录和统一用户授权管理系统之间的集成分为三种集成方式如下图：■，认证接口新开发应用系统无须改造应用系统/ ,统共用应用服务器和数据库服务器。接口实现单点登录和统一用户授权管理系统是将办公业务系统、电子公文传输系统、政务信息报送系统、便民服务系统等应用系统集成起来，对这些应用系统中机构、用户、职务等信息进行集中管理并实现这些应用系统的集中身份认证分布授权和单点登录功能，并实现应用系统与单点登录和统一用户授权管理系统之间的机构、用户、职务数据的同步功能，以及实现省、市、县之间的数据同步。应用系统与单点登录和统一用户授权管理系统之间的集成分为三种集成方式如下图：■，认证接口新开发应用系统无须改造应用系统/ ,授权接口单点登录统

一用户授权

管理系统:认证接口可改造的应

用系统口接据数

口接据数图表12应用系统与单点登录和统一用户管理集成拓扑图第一种，新开发的应用系统的集成，将采用统一的身份认证和授权管理方式，应用系统不用实现身份认证和授权管理只实现应用系统内部的业务功能，身份认证和授权管理由单点登录和统一用户授权管理来实现，并为应用系统提供机构、用户、职务数据同步接口；第二种，可改造的应用系统的集成，将采用统一身份认证，授权分布管理的方式。也就是应用系统身份认证调用统一用户和授权管理系统提供的身份认证接口，授权等操作则由各应用系统完成。这种方式既可以保证用户的统一身份认证，又可以降低应用系统整合的复杂度，推荐采用。第三种，无须改造的应用系统的集成，将采用用户身份映射的方式。也就是应用系统基本不需要做改动，在统一用户和授权管理系统中把统一的用户身份和应用系统的用户身份进行映射，进而完成用户身份的统一性。这种方式主要针对一些已经存在的老应用系统，并无法改造，可以采用用户映射的方式进行身份认证的整合集成。基础数据的数据同步，机构用户数据同步从同步方向上分为横向应用数据同步和纵向LDAP同步，从同步的机制上分为定时同步和实时同步。如图：应用系统 应用系统图表13数据同步架构图横向应用数据同步：统一用户系统实现了机构、用户、岗位信息的统一管理和存贮，集成的应用系统在实际的业务处理中需要以这些基础信息为依撑；上面的应用模型展现了统一用户系统和集成的应用系统间数据流向图，系统管理员更新的数据会实时的通过数据共享交换中（基于MQ的用户信息消息订阅/发布系统）发布到相应的应用系统中，统一用户的基础数据（组织机构、人员、岗位）需要和应用系统数据库中的基础数据（组织机构、人员、岗位）进行同步，保证应用系统的用户数据与统一用户授权管理系统的用户数据一致。如图：

A县级系统管理员 B县级系统管理员 C县级系统管理员A县级系统管理员 B县级系统管理员 C县级系统管理员..县级系统管理员A市级系统管理员数据同步数据同步图表14数据同步示意图纵向数据同步：体现省、市、县三级统一用户系统间复杂的数据流向以及部署模式，各市级统一用户系统在系统管理员操作时会将变化的数据（机构数据）经过数据共享交换中心实时的汇总到省级系统中，来实现省级对各地市机构信息的集中式管理集中部署的统一用户授权管理系统和分布部署的统一用户授权管理系统之间的统一用户基础数据同步（组织机构、人员、岗位）。由于企业应用系统的复杂性，有些应用系统需要集中部署，有些应用系统需要分布部署，而这些应用系统之间要完成统一身份认证，所以需要进行集中部署的统一用户与分布部署的统一用户之间的同步。定时同步：系统在管理员指定的时间根据数据操作的状态位（增加、修改、删除、是否同步、操作时间）进行数据差异性比较同步，管理员在一定时间以后手动执行一次强制同步，以确保数据的完整性，并且在同步完成以后统计同步信息（包括：冲突表，冲突条数，冲突内容，同步开始时间，同步结束时间，不能解决的冲突记录即需要管理员手动操作数据库解决的冲突）。实时同步：统一用户系统中对组织机构、人员和岗位的操作都产生一个标准的XML文件，利用消息机制，把这些标准的XML文件发送到应用系统，应用系统对这些XML文件进行解析，把所需要的数据添加到应用系统的数据库中，从而实现数据的实时同步。图表15单点登录系统与业务系统基本架构图要实现SSO，需要以下主要的功能：1）所有应用系统共享一个身份认证系统。统一的认证系统是SSO的前提之一。认证系统的主要功能是将用户的登录信息和用户信息库相比较，对用户进行登录认证；认证成功后，认证系统应该生成统一的认证标志（Ticket），返还给用户。另外，认证系统还应该对Ticket进行效验，判断其有效性。2）所有应用系统能够识别和提取Ticket信息要实现SSO的功能，让用户只登录一次，就必须让应用系统能够识别已经登录过的用户。应用系统应该能对Ticket进行识别和提取，通过与认证系统的通讯，能自动判断当前用户是否登录过，从而完成单点登录的功能。扩展实现

认证接口认证授权模块外部访问接口授权接口 用户同步接口内部控制模块认证接口认证授权模块外部访问接口授权接口 用户同步接口组织机构管理模块应用系统管理模块用户授权模块一系统维护模块数据存储目录服务器（机构）关系型数据库（应用）图表16统一用户授权管理系统逻辑结构图该系统机构用户数据采用目录服务器存储，应用系统数据采用关系型数据库存储。系统主要模块由组织机构管理、应用系统管理、用户授权管理、系统维护模块组成。对外提供认证接口、授权接口、用户同步接口。由于目录服务器（LDAP）具有以下优点：LDAP对于存储用户数据这样的信息最为有用，也就是数据需要从不同的地点读取，但是不需要经常更新。LDAP专门为读取操作做出了优化，对于用户数据的存储极为有利。LDAP以树状的层次结构来存储数据。有利于大型企业对全体员工的组织和管理。所有员工都可以按所在部门层层划分，更好地结合访问控制和授权操作。因此，机构用户数据比较适合采用LDAP存储,而应用系统数据适合采用常规的关系型数据库存储。组织机构管理包含机构管理、用户管理、岗位管理，应用系统管理包含应用系统基本信息管理、角色管理、资源管理、资源类型、资源对应的操作。角色是与具体应用相关，资源是系统需要进行访问控制的资源信息，为了便于分类管理，增加资源类型，操作是对资源更细粒度的控制。用户授权模块是对用户、角色、资源之间的关系进行管理。系统维护模块是对本系统自身的用户、权限和基本数据进行配置维护。统一用户授权管理系统对外提供认证接口、授权接口、数据同步接口。认证接口、授权接口主要是供单点登录系统调用，数据同步接口是为了解决统一用户授权管理系统用户数据与应用系统用户数据之间的同步问题。单点登录系统单一的用户信息数据库并不是必须的，有许多系统不能将所有的用户信息都集中存储，应该允许用户信息放置在不同的存储中，如下图所示。事实上，只要统一认证系统，统一Ticket的产生和效验，无论用户信息存储在什么地方，都能实现单点登录。统一的认证系统并不是说只有单个的认证服务器多服务器之间互信任要通过标准的通讯协议，互相交换认证信息，就能完成更高级别的单点登录。如：当用户在访问应用系统1时，由第一个认证服务器进行认证后，得到由此服务器产生的Ticket。当他访问应用系统2的时候，认证服务器2能够识别此ticket是由第一个服务器产生的，通过认证服务器之间标准的通讯协议（例如SAML）来交换认证信息，仍然能够完成SSO的功能。登出的逻辑：用户确定登出系统，或者用户登入的所有的子系统的Session都超时。只要有任意个子系统中的用户Session没有过期，当前用户的登录信息就将继续存储，用户的身份就将继续维护下去直到用户确定退出。统一身份认证平台单点登录系统650）目前身份认证及授权以统一用户管理系统提供的数据为依据，其中主要功能包括：统一的身份认证，统一授权，权限分发，访问控制，安全审计，统一日志，策略文件审计，单点注销等，为C/S应用定制了集成规范，同时提供了全面的集成接口。其中登录认证方式分为普通和证书两种，服务系统分为SSOServer和SSOClient两大部分，另外对多服务器认证互信任的使用增加了全局身份服务票据签发服务中心SSOTO,针对管理员提供了安全审计管理系统Audit进行审计管理，部署提供了统一管理控制台进行服务配置。性能指标统一用户授权管理系统性能指标：用户普通登录、注销响应时间在正常访问量时不超过3000毫秒；用户证书方式登录响应时间在正常访问量时不超过5000毫秒；管理员操作响应在网络正常时不超过3000毫秒；应用系统接口响应不超过5000毫秒；安全审计模块的检索查询响应时间不超过3000毫秒。单点登录系统性能指标：如果在基于统一用户管理系统UUM的身份认证集成中引入用户身份证书，证书的验证、在线状态查询（OCSP）、时间戳查询（TSP）等通过安全中间件与CA中心的交互，可能影响系统的响应速度，以下假设相关服务正常的情况下系统的性能规定：用户普通登录、注销响应时间在正常访问量时不超过3000毫秒；用户证书方式登录响应时间在正常访问量时不超过5000毫秒；管理员操作响应在网络正常时不超过3000毫秒；应用系统接口响应不超过5000毫秒；安全审计模块的检索查询响应时间不超过3000毫秒。在与其他用户管理系统的认证集成中，如果是基于RDB的身份认证，此时是在数据库中检索一条用户名信息，从常规来看性能是要更进一步，如果是其他情况其性能会有所差异，以下假设这些相关服务工作正常的情况下系统的性能规定：用户普通登录、注销响应时间在正常访问量时不超过4000毫秒；数字证书方式或其他密钥文件等的身份认证响应时间在正常访问量时不超过6000毫秒；应用系统接口响应不超过5000毫秒；安全审计模块的检索查询响应时间不超过3000毫秒。部署方案统一用户单点登录系统和安全中间件采用集中式部署方式，与应用系统共用应用服务器和数据库服务器。综合管理按照全省运维规划要求，汉滨区电子政务不再建运维管理平台，只提供应用系统与电子政务运维服务的系统接口。以方便条件成熟的时候直接将运维服务托管到市或省电子政务运维中心，实现全省电子政务集中运维服务。应用系统应用系统的建设，是本次汉滨区电子政务建设的落脚点，也是最能体现本次电子政务建设成果的重要部分。遵照《规范》的要求，根据汉滨区电子政务建设的实际情况，同时考虑政府各部门对有关应用系统需求的紧迫层度，从整体上规划汉滨区电子政务有关的应用系统建设。所有应用系统都要围绕以下3点进行建设：要以促进党政机关工作流程优化，提高政务部门的办事效率、服务能力、政府应对公共危机的能力为前提；要以实现党政机关部门之间协作办公、互联互通和信息共享，最终实现无纸化办公，增强政府的宏观调控和决策能力为目标；要以服务广大人民群众，为群众提高更多更好的信息服务为核心。紧紧围绕上述3个方面，汉滨区电子政务应用系统主要包括两个方面的内容：一是面向公共服务的应用系统建设；二是面向政府内部办公业务应用系统建设。面向公共服务的应用系统建设主要包括：汉滨区政府门户网站（需集成信息公开、网上办事、交流互动、便民服务等功能）。面向政府内部办公业务应用系统建设主要包括：综合办公业务系统、公文传输系统。办公业务需求办公业务系统是提高政务部门的办事效率和服务能力，促进党政机关工作流程优化。实现部门之间协作办公、互联互通和信息共享，最终实现无纸化办公，以增强政府的宏观调控和决策能力为目标。综合办公业务系统结合《规范》要求和汉滨区电子政务建设的实际，汉滨区政府迫切需要建设一套适合自己需要的综合办公业务系统，来满足政府各部门之间的日常办公。本次通过建设集成化的综合办公业务系统，实现综合办公与电子公文传输无缝集成，达到日常办公与收发文一体化，应用范围先延伸至6大系统和其它核心机关单位，后期使用范围争取达到全区所有党政机关。汉滨区新建的办公业务系统在技术路线、功能框架、系统接口、部署方案等方面与《规范》里技术要求保持一致。技术线路综合办公业务系统B/S架构，采用开放的JEE技术线路。系统采用JEE标准构建系统，可以得到较好的稳定性、高可靠性和扩展性，同时，应用JEE标准的应用服务器和中间件技术，能实现事务性处理的开发、运行、部署与管理，并能很好地支持跨平台运行。系统采用分布式组件技术，使系统能方便灵活地分布、配置、和升级维护。遵循Web服务规范和面向服务的架构（SOA），使系统具有标准、开放的应用接口，支持与遗留系统以及第三方系统的应用整合。提供统一的信息交换平台，以XML规范文档作为中介，通过可挂接的适配器，提供异构数据格式与标准XML格式间的转换，实现异构系统和异构数据源的集成和数据交换。使用统一的基于PKI设施的身份认证和基于PMI设施的授权服务平台，提供内部网上办公的信息安全保障。将办公业务应用的共性功能提取出来，以EJB和Web服务两种形式提供功能丰富的行业应用中间件（业务中间件），以支持应用系统的快速开发和定制。系统开发是基于陕西省电子政务统一平台，实现各政府部门间的协同办公、互连互通和资源共享。以工作流为核心，构建办公业务系统，实现系统业务一体化；提供图形化的流程定义、流程维护、权限管理、时限管理、流程跟踪、催办管理；提供工作流统计、工作流模拟，支持多工作流之间的协同作业及任务重新指派；提供运行时的工作流监督和管理。安全管理将贯穿系统的始终。由汉滨区电子政务统一平台提供统一的安全保障体系，包括以下几个层面的安全管理：网络安全，通过防火墙、杀毒软件、入侵监测系统等网络安全产品实现；存储安全，通过建立软、硬件的备份机制来实现；操作安全，通过统一身份认证，以及痕迹保留、流程跟踪和权限控制等机制来实现；传输安全，通过加密传输手段予以实现。综合运用以上所提出的安全管理手段，可以充分的保障电子政务系统在其整个生命周期中的安全。所有的应用均需要登记，包括注册应用相关程序、数据库设计、应用涉及的角色及角色说明的注册等等。这样就实现了系统安全管理框架中对功能模块的定义，采用应用登记功能注册的应用将自动和已有应用整合，系统整体框架将自动对其发生作用。系统应用平台具备跨平台、支持多种数据库环境的能力，采用构件化设计方式，易于扩展和维护。其软件体系机构如下图应用眼各图We曲户 SmartPhon^P P口限户内却门户接入SfiRgS1 应用眼各图We曲户 SmartPhon^P P口限户内却门户接入SfiRgS1 Sffl麒it一二fif魏当・ 安合用之空* 安士金短妾当*.安—京t空・ 希省声羁修直帮会算过怜..及存禽层+应用层,用尸层图表17办公业务系统软件体系图用户层：用户通过各种可接入设备访问系统。应用层：为用户提供应用功能模块。基础应用支撑平台层：对上层的各种应用中共用的功能提供统一的服务应用服务器层：使用目前流行的应用服务器对上层的应用进行管理并提供底层的支持。数据层：通过关系型数据库系统或其它数据资源系统，提供系统和应用数据的管理与使用。采用统一的方法访问后台数据。功能介绍各功能模块功能介绍如下：收发文管理收文管理对各级及其它单位电子公文的处理。实现对外单位来文的登记、拟办、批示、传阅、办理等操作。支持收文办理的痕迹保留。(2)发文管理内部发文处理，用于起草、审批、签发、盖章、打印、归档本单位及各级部门的发文。支持发文审批的痕迹保留。会议管理会议议题管理：起草人起草会议议题提交到会议议题数据库中并接受相关部门的审核及提交意见。会议计划：根据指定的主题和需要，发起一个会议计划，安排参加人员、时间、会议资源、会议材料等内容，形成会议申请，呈请相关领导审批。会议通知：根据审批通过后的会议申请，自动生成会议通知，发送给与会人员。会议室管理：管理会议室资源。由会议室管理人员负责会议室信息的维护、并根据各个会议通知内容合理分配会议室资源。档案管理档案管理模块依据中华人民共和国2001-01-01批准实施的档案行业归档文件整理规则，对各种重要文献进行统一、高效、标准的管理。归档管理：按照现行的档案管理方式，对纸张或电子文档以件进行管理；对盒进行管理；对盒内目录进行录入与打印管理；档案借阅管理：实现电子档案及实物档案借阅的网上申请、审批、借阅等管理；档案检索：过条件设置可实现对档案文件的检索，方便用户对档案资料的使用。日常办公名片夹：对个人或公共名片夹，可以进行添加，修改，删除等功能，支持对名片本联系人进行分组。个人信息管理：对系统中个人信息的浏览和管理，包括修改自己的密码等功能。单位通讯录：按照部门结构创建通讯录；可以查询、翻页、修改，通讯录共享管理。在通讯录中可以对部门或对应人员群发短信。公告栏：单位内部的公告信息。由拥有权限的用户添加、发布、删除公告信息，发布出来的公告界面上，可以点击主页面上方“公告栏”来查看所有已发布的公告；政策法规：提供国家相关政策法规，内部规章制度的发布、查询。短消息：提供点对点的在线短消息发送、回复、删除功能。委托办理：用户可以在自己长期出差或外出时，将自己的公文办理权限委托给他人，确保需要自己办理的公文不被积压。文档管理提供对在线文档的智能化管理。面对浩瀚如烟的文档资料，本系统为您提供了一套简单易用、功能全面、文档管理解决方案，帮助您全面的管理、存储、调用这些文档，并将文档资料转换为可随时获取的知识资源。文档资源分类管理：用户可根据实际情况，先制定文档资源分类信息，然后将需要上传的文档指定到某个资源下，方便管理。便捷的文档查询：提供按照文档分类、名称等的查询日志管理：记录每个用户在系统中的所有操作，并可根据用户ID、操作内容、起始时间和终止时间等进行组合查询。公文分类：维护公文分类信息，细化公文类型。模板管理：维护发文、收文、会议纪要中需要的所有模板，并可以在模板中增加所需的标签。标签管理：维护模板中引用的标签信息。当用户草拟发文、收文或会议纪要时，填写的页面要素值将被自动加载到办文单的相应标签上，简化用户操作。流程管理流程分类：维护流程分类信息，细化系统中的流程类型，方便管理。流程定义：用户可自由定义符合本单位业务的文件办理流程，并在文件起草后进行引用。引用某个流程的文件将按照被引用的流程完成其办理。流程监控：记录文件办理过程中的每一个活动，及该活动的执行者、完成时间、内容等，并可按照文件状态、办理时间等进行查询。系统接口1）数据存储接口：系统数据主要存储在关系数据库中，支持Mysql、DB2、Oracle、SqlServer等主流数据库。2）与公文传输的接口：为省、市两级公文传输系统提供电子公文接口，接口中包含电子公文信息、交换格式XML说明文件以及附件包，实现与上级单位的互联互通。3）和UUM的接口：采用Webservice的方式。其中包括两个方面：一数据同步（机构、用户同步、职务的同步），二登录验证（普通用户登陆，Key登陆）。性能指标1）系统能迅速的对用户响应，在正常网络连接情况下，响应时间要求在5秒以内。2）系统支持用户同时在线数大于1000，并发数大于500。3）数据记录数＞1万条时，信息的检索速度W10秒。设备配置根据汉滨区实际情况计划采用WEB应用服务器和数据库服务器各一台，独立部署用于本系统的部署。其服务器具体参数请查看预算表。部署方案综合办公应用系统采取集中式部署的方式，依托汉滨区电子政务统一平台为汉滨区六大系统提供服务。本系统主要硬件设备包括：Web应用服务器一台，数据库服务器一台。2.8.2公众服务业务系统建设汉滨区政府已有自己的门户网站，本次根据国家要求及省、市电子政务建设的相关规范进行优化升级，扩大门户网站的涉及面，增强其作为一个县政府窗口的各项功能。县政府门户网站优化升级行政体制改革、政府职能转变与管理方式创新，进一步推动我国政府网站发展。党中央和我省大力推进政府职能转变进程，提出建设“透明、服务、民主”型政府的要求。我国各级政府纷纷将政府网站建设作为政府职能转变与公共管理和服务方式创新的重要举措，“信息公开、在线办事和交流互动”的政府网站三大功能定位形成普遍共识，政府网站的发展重点开始解决信息和服务数量多与少的问题。汉滨区政府门户网站建设按照省级政府门户网站建设的总要求，在满足政府门户网站三大功能定位的基础上，为公众和企业提供更多在线办事和互动交流服务。同时，汉滨区政府网站为公众提供人性化服务，提供基于网站的“一站式”公共服务和整合发布政务信息的窗口，网站建设依托县级政府各职能部门，并进一步实现信息资源整合。门户网站系统分为前台展现系统和后台管理系统两部分，其中后台管理系统是汉滨区政府门户网站建设重点。后台管理系统具体功能介绍如下：网站后台管理系统网站后台管理系统包括以下功能：1、信息管理信息录入：统一数据库构建，有效实现信息安全存储、有效分类、数据信息资源共享；信息审核：提供对已添加内容的审核、发布、查找和内容详细查看操作。提供对内容信息的灵活审批，实现多级审核。信息发布：信息管理：以列表形式显示所有已发布或是未发布内容的简要信息，提供了对内容的查找和内容详细的查看操作。可以通过该模块中的详细操作查看内容的详细信息。分栏目发布：相同的稿件可以同时发布到网站上不同的栏目，最大范围的推送信息。信息便捷操作：信息移动可将信息从某一栏目下移动到另一栏目下，多栏目发布信息、信息排序、信息置顶管理等。内容操作：内容管理：提供对内容的增、删、改、查和内容信息查看操作。通过栏目树展开栏目目录，在选中的栏目下可以方便的创建新内容，新创建的内容将存放在该栏目下。内容类型管理：提供对内容类型的增、删、改、查和内容类型信息查看操作。在增加或修改内容类型时对内容类型指定内容模板。2、统一用户授权管理认证用户管理：提供对用户的增、删、改、查和用户信息查看操作。角色管理：通过具体功能需要，定制不同的系统角色。在创建或修改角色时可以为系统中已存在的用户分配角色。实现以角色方式管理用户的功能。权限管理：提供了为不同角色分配不同权限的操作。通过权限管理方便地实现了角色权限的授予和解除功能，用户具有自己所属角色的权限。通过授予或解除权限，来决定角色操作系统功能模块的权限。账号管理：提供对用户账号的增、删、改和账号信息查看操作。3、无限级栏目设置管理提供对栏目的增、删、改、查及栏目信息查看操作可以在该模块灵活创建新的栏目，根据栏目的层级关系，系统以树型目录的方式展现有效站点内的所有栏目。可以在创建、修改栏目的同时将该栏目分配给系统中已存在的部门，一个栏目可以分配给多个部门。该栏目只能由分配到的部门对其进行相关操作。栏目级别设置在增加或修改栏目时可以通过设置栏目优先级、栏目内容数、显示级别来控制该栏目在门户网站前台页面中的显示形式。4、工作流管理功能流程管理：提供对流程的增、删、改、查和流程及其节点信息查看操作。这里所指的流程是内容的审核流程，用户可以根据自己的实际情况可以订制不同的审核流程。(2)流程节点管理：提供对流程节点的增、删、改、查和流程及其节点信息查看操作。流程节点是指在某个已创建的流程上添加的内容审核的节点。该节点可以关联到用户角色上。每个节点关联的角色对内容进行审核后才可以将内容发布到网站前台页面中。5、在线编辑与排版(1)在线编辑功能：系统对流媒体视音频文件、图片、flash、文字等进行统一管理与发布，流媒体视音频内容作为稿件的素材进行处理，视音频信息与文字、图片的发布变得一样简单；模板编辑功能：系统采用模板和稿件内容合成页面的思想，实现了模板的可视化编辑生成，进行模板编辑后，直接插入发布系统合成最终发布的网站页面。替换模板即可轻松完成网站的改版等；(3)可视化在线编辑器：系统提供了基于HTML的可视化稿件编辑器，可以随意调整网站页面内文字、图片等布局及环绕效果，实现了网站页面设计的所见即所得。6、授权部门栏目管理网站管理员通过对帐号、IP地址的设置来指定栏目、文章的授权管理，保证不同权限的人能处理不同的内容。7、统计操作内容统计：可以对已发布和未发布内容按不同统计类型进行统计。统计类型有按部门统计、按用户统计、按内容类型统计、按栏目统计，同时可以指定时间段进行统计。或对系统中所有已发布信息和未发布信息进行统计。并将统计的结果以图表的方式显示出来。公共统计：实现某站点下内容访问量的统计，根据输入的内容名称进行统计内容的访问量。公共统计按浏览数统计内容的热门程度，依据网站浏览者对于网站内容的关注程度，统计出发布内容的热门程度。网站前台功能门户网站前台栏目和内容应包含本级政府部门的职责、权限范围和相应延伸，符合本级政府部门的特点，覆盖公民、企业、相关政府部门和机构对本级部门的实际信息需求。网站前台主要包含五大类栏目：信息公开栏目便民服务栏目交流互动栏目社会服务类栏目其它栏目这五大类栏目主要包含以下功能：1）信息公开信息公开将政府信息公开指南和目录编制、政府文件发布、依申请公开受理、政府信息公开意见反馈处理等进行集中整合，构建汉滨区统一的政府信息公开数据库，形成县级政府信息管理统一平台。信息公开必须提供信息公开目录管理、信息填报、依申请公开受理及反馈意见处理功能。2）便民服务在线服务平台功能：用户注册、办事指南、审批状态查询、社会监督，表格的下载、意见处理结果查询、审批事项检索。3）网上办事汉滨区政府提供一站式网站办事服务指南，办事引导，办事注意事项，办事流程说明等功能。4）交流互动具备公网信箱、网上信访、投诉举报、网上调查、在线访谈、意见和建议、内容纠错、网上论坛等服务功能。5）信息检索必须支持关键字检索、标题、正文等逻辑关系组合、分类检索；具备站内信息全文检索功能；支持word、excel、ppt等附件检索功能，支持检索快照功能。支持匹配度/近似值排序以及发布日期排序功能。6）多语种支持网站提供中文简体、中文繁体语言支持。提供支持外文版集成的接口。系统接口1）与UUM接口采用Webservice的方式。其中包括两个方面：一是数据同步（机构、用户同步、职务的同步），二是登录验证（普通用户登陆，Key登陆）。2）与邮件系统接口基于邮件系统Webmail服务，在网站系统页面做一个邮件系统入口，该入口只需要帐号和密码登录，在用户认证部分做一个接口，将来自网站入口的用户和密码直接链接到邮件系统默认的域当中去，实现邮件系统与网站的链接。性能指标1）日访问量：不低于2万次2）网站网页正确性要求链接率达99%3）页、内容页及重要页面加载10秒内完成（512kModem）4）系统支持UNIX、Linux、WindowsXP、Windows2003、Windows2008等平台5）应用中间件支持Tomcat、Weblogic、WebSphere等应用服务器6）数据库支持MySQL、Oracle，MicrosoftSQLServer，DB2,Informix，Sysbase7）提供页面防篡改集成功能设备配置服务器数量：2台（使用现有的两台门户网站服务器）。部署方案汉滨区政府门户网站部署于电子政务外网平台，采用两台PCServer服务器，将公网应用服务、网页防篡改系统、繁简通转换系统部署于一台服务器中，网站数据库服务部署于一台服务器中。考虑到网站的并发访问量，