项目技术优势

项目技术优势①良好的效率开放语言具有与生俱来的执行高效率特性，同时在系统设计之初就把效率作为一个重要指标。②人性化设计系统采用“胖客户端”(RichClient)技术，在减轻服务器压力的同时，达到良好的用户体验。在操作上尽力符合用户使用习惯，提供菜单、快捷键、右键和拖拽等多种操作方式，满足不同使用习惯的用户；在布局上划分成不同的区域，并且对主要操作区域均可全屏操作，即简洁又实用。对于用户最近操作的功能，系统会智能保存，减少用户的重复操作提高效率。③统一身份认证基于PKI技术的统一登录及统一身份认证系统，将各信息资源或系统集成为一个有机的整体，实现统一的内联网、外联网及移动办公身份认证识别及安全登录服务，最终以一个统一登录认证门户界面予以展现。④扩展性强设计良好的代码允许更多的功能在必要时可以被插入到适当的位置中，即预留下将来需要的功能接口。同时，可以通过软件框架来实现：动态加载的插件、顶端有抽象接口的层级设计的类层次结构、有用的回调函数构造以及功能很有逻辑并且可塑性很强的代码结构。⑤开放的接口业务系统分层设计,将各种功能按照分类，分别封装在不同的库中，提供开放的API调用接口，加之系统底层虚拟机的平台开放性，系统各模块或外部系统可以很容易的与本系统进行无缝整合。本平台建设项目构建时着重考虑以下因素：采用三层体系结构；必须保证系统具有高可用性，即容错能力;系统应该具备负载均衡能力;系统应该可以实现数据的集中存储和备份;系统必须具备在线扩展能力，包括存储能力和处理能力;必须考虑数据业务的安全问题。A.系统分层设计概要业务系统分层示意图表现层表现层主要负责数据展示，主要是WebServer。WebServer负责接收用户请求，根据请求类型将请求转发给应用服务器，同时将应用服务器处理的结果返回给用户中间件层中间层隔离了客户直接对数据服务器的访问，保护了数据库的安全。中间层完成业务逻辑，实现客户与数据库对话的桥梁。同时，在这一层中，还应实现分布式管理、负载均衡、Fail/Recover、安全隔离等。在中间件层部署多台应用服务器，通过集群方式提供客户访问速度。后端数据层后端数据层是数据库系统和数据集中存储系统。数据集中存储实现了多种数据集中在一个数据存储设备当中，多台服务器同时读写并保证数据一致性。它具有很高的带宽，比传统的SCSI设备具有更强的数据传输能力；数据库数据处理并行化，在后端数据层，大部分服务器将会逐渐由传统的单机应用模式转化为并行处理模式，由原来单机四个或八个CPU承担任务逐渐演变成为多台机器多个CPU同时承担处理任务，实现并行处理。后端数据层还具有数据存储和处理的无限扩展能力，集中存储能够实现扩展，因为它把数据集中存储在一个存储设备群中，只要把存储设备进行叠加，就能够实现存储能力的线性增长。数据库通过并行处理技术，不断增加服务器节点的数量，就能够实现处理能力的线性增长。B.分层设计主要特点和优势多层分布式体系主要具有如下特点：安全性：中间层隔离了客户直接对数据服务器的访问，保护了数据库的安全；稳定性：对于要求24*7工作的业务系统，多层分布式体系提供了更可靠的稳定性：a.中间层缓冲Client与数据库的实际连接，使数据库的实际连接数量远小于Client应用数量。当然，连接数越少，我们的数据库系统就越稳定。b.Fail/Recover机制能够在一台服务器当机的情况下，透明地把客户端工作转移到其他具有同样业务功能的服务上。易维护：由于业务逻辑在中间服务器，当业务规则变化后，客户端程序基本不做改动；快速响应：通过负载均衡以及中间层缓存数据能力，可以提高对客户端的响应速度；系统扩展灵活：基于多层分布体系，当业务增大时，可以在中间层部署更多的应用服务器，提高对客户端的响应，而所有变化对客户端透明。⑥高度的可伸缩性除基础功能外，其他模块均采用“即插即用”方式设计，动态加载动态删除，增加系统灵活性同时利于释放无用资源，提高系统的响应速度。⑦良好的可移植性系统采用平台无关性的语言开发，所以与具体的操作系统无关，可以轻松移植到其他操作系统下运行，方便利用现有资源及与现有系统集成。同时，系统在设计上综合考虑不同服务器特性、不同客户系统及浏览器等因素，在充分发挥各系统性能的同时，达到一致的用户体验。4、项目安全系统（1）授权体系和数据安全:实现信息的保密性、完整性和一致性、身份的真实性和不可抵赖性，保证网上信息流的正常进行。①认证安全性为防止用户信息被非法窃取，本系统采用SNCA-PKI-CA认证安全支撑平台遵照国家密码管理局颁发的《证书认证系统密码及相关安全技术规范》，同时兼容国际国内其它相关安全标准，结合安全产品和安全服务，以应用系统安全开发、应用系统信息安全部署、应用系统安全运行为目的而构建的一个完整的PKI架构。第一，SNCA-PKICA认证安全支撑平台架构。基于公钥基础设施(PKI：PublicKeyInfrastructure）技术的信息安全解决方案，提供了目前业内公认的网络信息安全最佳保障体系，为网络应用提供可靠的安全保障。在整个架构中，PKI安全中间件是整个平台的核心，它将支撑平台各层有机地组合成一个有效整体，使整个平台既是业务开发平台，又是安全运行平台。第二，数字证书服务层。实现数字证书的签发、管理、证书源目录、密钥生产与存储、司法取证服务等。证书服务层由CA中心及其分支机构负责建设和维护。第三，安全支撑层。是基于数字证书的应用系统开发部署完成后，正常运行所需要的PKI各项安全服务的支持，应用支撑层是由应用系统所属业务单位在系统环境中作为基础设施构建。第四，安全实现层。是与具体应用系统紧密结合的部分，通过对具体应用系统的配置或集成开发，实现CA认证的各项功能，实现PKI的各项安全机制。第五，安全应用层。根据应用系统安全需求层次的不同，应用实现层有多种搭配模式。SNCA-PKICA安全支撑平台是基于PKI数字认证构建安全可信业务系统的开发平台和运行支撑平台，是一个完整的PKI架构实现。应用PKI技术的主要目的是能够在网络环境下安全模拟传统的人工交易过程。PKI技术主要解决五个关键的安全问题：数据机密性、数据完整性、身份识别、数据防抵赖、访问控制。数据机密性。保证数据在网络传输过程中不被非授权人员（例如黑客）偷看，在传统的人工交易过程中，由于交易双方是面对面的进行交易，所以其交易数据不会被别人偷看，在网络环境下，就要靠基于PKI技术的高强度的加密技术来实现。数据完整性。保证数据不被偷看还是不够的，数据完整性的作用就是保证数据在传输过程中不能被篡改。在传统的人工交易过程中，由于交易双方是面对面的进行交易，所以其交易数据不会被篡改，在网络环境下，就要靠基于PKI技术的高强度的加密技术来实现。身份识别。准确识别和验证对方的真实身份，是进行交易的前提和基础，在传统的人工交易过程中，是通过验证对方的各种有效证件来达到身份识别的目的，在网络环境下，就要靠基于PKI技术的数字证书来识别和验证身份，数字证书由可信赖的第三方CA（数字证书认证中心）来签发。数据防抵赖。数据防抵赖用来防止交易双方事后否认已经进行的交易，在传统的人工交易过程中，通过手写签名和加盖公章来防止抵赖，在网络环境下，通过基于PKI技术的数字签名技术来实现，这也就是我们所说的电子签章，目前国家已经制定了签章法，电子签章同样具有法律效用。访问控制。基于PKI技术的访问控制技术在信息系统中有着广泛的应用，例如在一个单位中，需要根据级别来确定其可以访问的资源等。归纳起来表现为七个相关功能：包括身份认证、数字签名、可信时间戳、数据加密、访问控制、数字证书应用开发环境、数字证书应用支持、基于PKI的安全服务提供。其中数字证书是关键部件，基于数字证书的CA身份认证是所有功能实现的基础，数字签名是核心要素，密码技术是关键技术，数字认证的安全策略规则是保证各项安全功能实现的核心机制。而各项功能及其机制相互关联，协调发挥，才能够实现各项功能，也才能满足安全目标。②数据安全性为保证数据完整性，交易过程中毫秒级上的数据安全性，系统对关键数据包采用原子操作机制（数据库中采用存储过程，程序设计中采用原子操作，防止关键数据上的操作被更高级中断抢夺），交易要么全部成功，要么全部不成功，防止部分成功部分失败造成数据的混乱，确保数据的绝对安全。③加密数据传输平台对于敏感信息的操作采用高强度加密技术保障数据的安全性。④完善的同步机制平台采用多服务器负载均衡的方式来提高安全性及负载量，对于各组内的负载主机数据，采用专业软件动态同步数据。（2）防御网络攻击体系：通过使用防火墙及入侵检测系统，建立完善的网络安全防控体系。（3）负载均衡系统：将网络访问量合理的分担到多台服务器上，避免出现因访问量过大而导致系统无法提供服务的情况发生。（4）数据备份和恢复：因为平台数据库中存储的企业、银行、服务机构的业务信息属于机密数据，所以对于数据库的安全性要求极高，为此，我们采用物理隔离的方式，在web服务器与数据库服务器之间，增设一层数据网关服务器，这台服务器使用特定端口与应用服务器连接，将所有的数据库查询、操作模块化，只接受预先定义的语法执行，而与之相连的数据库服务器则存在于内网，只接受来自数据网关服务器的请求。同时，建立远程容灾系统，确保出现自然灾害、系统崩溃、网络攻击或硬件故障情况时能迅速恢复中小企业商务与信息一体化服务平台的工作。（5）安全管理与法规：主要包括安全组织体系、安全管理制度、安全管理手段、考核评价及人员定期培训等。5、支撑系统设计（1）数据中心和远程灾备中心设计数据中心作为整个中小企业商务与信息一体化服务平台的核心并提供关键服务，因此数据中心的高安全性、高可靠性和高性能成为设计的关键。在数据中心区应用双核心交换机、双链路方式保障整个交换网络的高可靠性。两台汇聚交换机之间通过两个千兆链路连接。IDC服务器应用双网卡分别与两汇聚交换机连接；汇聚层交换机通过千兆链路上联至防火墙。数据中心的安全访问控制通过两个冗余备份的千兆防火墙实现，根据安全策略不同可划为内部公用系统和内部私用系统两个不同的安全域。数据中心及远程灾备中心示意图如下：远程灾备中心根据实际情况，可放置在西安市，远程灾备中心主要包括服务器、存储及备份措施，远程灾备中心与数据中心之间通过租用运营商百兆专网连接，确保数据备份的实时性和可靠性。（2）服务器负载均衡与集群设计服务器集群器系统主要应用于提供WEB服务和数据库服务。作为中小企业商务与信息一体化服务平台系统的核心，平台运行的硬件基础要求具有优良的系统稳定性和可靠性，以及可扩展的部署能力，可以通过为集群增加更强大的处理器与计算机以提高计算能力；具备负载均衡的功能，保证可以承受大并发用户量的持续在线并高速响应；具备冗余能力，一台节点机出现故障时不会影响整个系统的功能。根据中小企业商务与信息一体化服务平台的实际情况，可选择双机热备+SAN存储+硬件应用负载均衡器的方式实现重要应用的部署。这里双机热备指商务与信息数据库系统双机热备，SAN存储指双机数据库系统使用SAN存储架构，应用负载均衡器指采用硬件负载均衡器来挂接多台应用服务器。在后端数据层，数据库系统双机热备，配置HA双机软件系统，当侦测到某台节点当机时，能在极短的时间将数据转交另一台节点机，由它执行对网络响应，并对故障机及时恢复或报警。在系统应用早期，可将所有业务系统的数据都由数据库服务器HA双机集群1处理，随着信息系统的发展，各类业务不断开展，数据量不断增大，对服务器的处理能力要求也越来越高，这时，可以扩展服务器集群，将各种业务分门别类，放在不同的服务器集群上，提高服务器处理能力。在前端中间件层，配置硬件应用负载均衡器，实现多台应用服务器的负载均衡。硬件应用负载均衡器是一种智能化的数据中心应用交付控制器，为IT基础结构优化、容错和冗余提供可扩展性及应用级安全性。硬件应用负载均衡器可通过集成的入侵防御和拒绝服务攻击保护确保本地与全局服务器可用性，加快应用程序性能，保护应用程序，从而实现快速、可靠、安全的应