1、目 录1概述211 背景212 系统目标213 应用需求32电子政务系统总体解决方案421 总体框架422 多层隔离结构的网络解决方案423 电子政务系统的安全风险分析与对策524 面向电子政务系统的应用领域框架63中国科学院软件研究所万里红电子政务平台731 万里红电子政务平台 v 1.07311 综述7312 安全体系7313 网络、系统层8314 数据访问层9315 信息交换层10316 应用层1232 关键平台部件13321 安全支撑平台13322 自主操作系统15323 WEB应用服务器16324 分布数据资源访问17325 消息队列18326 多语种中文平台1833 应用实例193
2、31 政府(某国家部委政务信息系统)19332 行业(邮政综合管理系统)204电子政务应用系统的构建2141 电子政务系统的建设策略2142 应用体系与技术体系2143 先进性与技术自主性的关系2244 建设电子政务系统的规范221概述11背景政府的信息化建设是国民经济信息化建设的重要组成部分。随着技术进步的加快,尤其是国际互联网的出现和迅速发展,一个全球性的信息社会正在逐步形成,推进政府部门政务工作的自动化、网络化、电子化,已是大势所趋。联合国经济社会事务部把推进发展中国家政府信息化作为近几年的工作重点,目的是通过信息技术的应用改进政府组织,重组公共管理,最终实现办公自动化和信息资源的共享。
3、在世界各国积极倡导的“信息高速公路”的五个领域中,“电子政府”被列在第一位,可见政府信息化是社会信息化的基础。在这方面,一些发达国家已先行一步。近年来,欧美日等发达国家为提高国际竞争优势,相继推出国家信息基础建设,并规划网络构建“电子政府”,作为提高政府效率及为公众服务的重点,建立一个反映人民需求为导向的政府,以更有效率的行政流程,为人民提供更广泛、更便捷、更友好的信息和服务。 在我国,政府部门的管理观念也在逐步发生变化,其职能正从管理型转向管理服务型,如何更好地发挥政府部门宏观管理、综合协调的职能,如何更加有效地向公众提供服务,提高工作效率、打破信息盲区、加强廉政建设已成为当前各级政府部门普
4、遍关注和亟待解决的问题。国家“十五”计划纲要要求“政府行政管理要积极运用数字化、网络化技术,加快信息化进程”。各级政府、行政管理部门都面临着利用信息技术推动政务工作科学化、高效率的新局面。如何选择、运用一套有效的电子政务平台、如何培养一支高素质的政务队伍,已提到各级政府、行政部门的议事日程中。中国科学院软件研究所积十余年为政府、各行业实施信息化的经验,结合信息技术发展的最新成果,推出新一代电子政务解决方案 中国科学院软件研究所万里红电子政务平台。该平台符合现行的政务标准,是一个安全性高、可用性强、跨地区、跨部门、跨平台的协同工作通用系统,并可根据实际需求快速定制应用系统。12系统目标 中国科学
5、院软件研究所万里红电子政务平台采用先进的网络及软件技术,支持中国电子政务系统的快速开发、灵活部署和高效安全运行,可以实现政府内部、政府部门之间以及面向社会的信息共享、业务联动、科学决策。平台遵照中国政府信息系统建设的相关规定,针对中国国情和政府信息化建设的现状,基于统一的安全策略,能够集成各类政务信息管理系统、业务信息管理系统和辅助办公系统,并提供高效、安全、完备的综合电子政务应用体系的构造方案。13应用需求根据当前我国各级、各类政府机构及管理部门的工作特点,电子政务系统的应用需求主要包括以下几类:第一类,政府部门面向社会提供的应用服务及信息发布,包括:n 基于政府互联网网站的信息发布及查询。
6、n 面向全社会的各类信访、建议、反馈及数据收集和统计系统。n 面向全社会的各类项目计划的申报、申请。n 相关文件、法规的发布及查询。n 各类公用服务性业务的信息发布和实施,如工商管理、税务管理、保险管理等。第二类,政府部门之间的应用,包括:n 从中央政府到地方各级政府间的公文信息审核、传递系统。n 从中央政府到地方各级政府间的多媒体信息应用平台,主要包括:视频会议、多媒体数据交换等。n 同级政府之间的公文传递、信息交换。第三类,政府部门内部的各类应用系统,包括:n 政府内部的公文流转、审核、处理系统。n 政府内部的各类专项业务管理系统,例如:各类计划管理、项目管理、经费管理、人事管理等。n 政
7、府内部的各类事务管理系统,例如:日程安全、会议管理、机关事务管理等。n 政府内部的面向不同管理层的统计、分析系统。第四类,涉及政府部门内部的各类核心数据的应用系统,包括:n 机要、秘密文件及相关管理系统。n 领导事务管理系统,包括:日程安排,个人信息等。n 涉及重大事件的决策分析、决策处理系统。n 涉及国家重大事务的数据分析、处理系统。2电子政务系统总体解决方案21 总体框架面向电子政务的安全体系协同工作、决策支持业务管理系统政务应用系统应用层面向政务工作的领域应用框架信息交换层跨平台的消息通信、事件管理、流程控制等数据访问、转换、提取、过滤、综合数据访问层数据资源信息、服务发布网内部安全网核
8、心安全网网络、系统层软硬件基础设施图1 电子政务系统总体框架网络、系统层:提供电子政务系统网络通信和系统服务,包括面向核心应用的安全操作系统,以及符合国家信息安全、应用系统建设的相关政策法规的多层隔离网络系统。数据访问层:集成各类数据资源、提供跨平台异构分布数据资源访问及处理服务。信息交换层:支持跨平台应用集成的解决方案,同时提出适应中国电子政务特色,面向中国政务信息及相关数据的共享和交换标准。 应用层:基于构件技术构造面向政务信息系统的应用领域框架,提供快速构建、部署政务应用系统的方案。22 多层隔离结构的网络解决方案根据国家有关管理部门对政务信息系统的建设要求和国家相关安全保密规定。电子政
9、务系统的网络构造应基于所承载的信息和应用系统的密级、安全级别分为多层,并采用适当的物理隔离。图2 多层隔离的电子政务系统网络结构示意图第一层,与互联网连通,面向社会提供的一般应用服务及信息发布,包括各类公开信息和一般的、非敏感的社会服务。例如:基于政府互联网网站的信息发布及查询;面向全社会的各类信访、建议、反馈及数据收集和统计系统;面向全社会的各类计划、项目的申报、申请;各类公共服务性业务的信息发布和实施(如工商管理、税务管理、保险管理等)。第二层,政府部门内部、以及部门之间的各类非公开应用系统,其中所涉及的各类信息应在政务专网上传输。主要包括各类公文、一般涉密数据以及政府部门之间的各类交换信
10、息,这些信息必须依据政府内部的各类管理权限传输,防止来自内部或外部的非法入侵。例如:政府内部的公文流转、审核、处理系统;政府内部的各类专项业务管理系统;政府内部的各类事务管理系统等。第三层,政府部门内部的各类关键业务管理系统及核心数据应用系统,包括:机要、秘密文件及相关管理系统;领导事务管理系统;涉及各类重大事件的决策分析、决策处理系统;涉及国家重大事务的数据分析、处理系统等。这些信息和应用系统往往关系到国家重大事务和机密,必须严格在物理隔离的网络中运行,其中的操作系统应尽量采用自主安全操作系统。各层网络应采取隔离措施,必需的数据转接应采用安全数据网关,并确保不存在信息泄漏的可能性。23 电子
11、政务系统的安全风险分析与对策由于电子政务系统服务发布层、内部安全应用层、核心安全应用层等网络之间存在着信息资源、服务对象、数据通信方式等方面的不同,因此,这三类政府信息网络所面临的安全风险也有一定差异。应用层次安全风险安全对策信息及服务发布层WWW信息篡改、删除、替换动态内容监控和自动更新,确保信息的完整性和准确性。服务响应缓慢或拒绝服务实时入侵检测、系统监控,及时发现入侵事件,阻断攻击通道。信息泄露访问控制以及信道加密、通信内容加密。内部应用层信息泄露对内部网络信息资源进行严格的密级划分;建立统一的用户授权机制;建立统一的高强度的网络传输加密通道和网络数据包的加密机制数据被篡改、删除、替换建
12、立统一的网络资源访问控制规则;建立完善的网络监测和审计机制。数据在应用系统中被篡改、删除、替换建立各个应用系统内部的访问控制规则;建立完善的业务流程监测和审计机制计算机病毒建立覆盖整个网络的动态计算机病毒监测、预防机制。核心应用层信息泄露对内部网络信息资源进行严格的密级划分;建立统一的用户授权机制;建立统一的高强度的网络传输加密通道和网络数据包的加密机制数据被篡改、删除、替换建立统一的网络资源访问控制规则;建立完善的网络监测和审计机制。计算机病毒建立覆盖整个网络的动态计算机病毒监测、预防机制。24 面向电子政务系统的应用领域框架针对各类政务应用领域(如政务信息应用领域、政府计划及项目管理领域、
13、政府资源管理领域、政府事务管理领域及各类政府业务管理领域),建立相应的应用领域框架。主要包括:(1)相应领域的应用软件系统结构。框架定义了应用的结构,反映领域的业务模型。框架可以对用户透明地更换其结构,以适应新的软、硬件环境,从而能够保证复杂系统开发的更高层的代码和设计复用;(2)通用标准构件。框架提供相应领域的标准通用构件和构件层次结构,具有很强的可塑性,如果用户不喜欢子系统的某一部分,可以简单地替换之。(3)构件相互作用和连接机制。框架提供该框架内构件的连接和相互作用机制,包括与外部构件的相互作用。(4)框架的服务接口。为了同其他框架或系统集成,框架提供服务接口API,这些API是其所提供
14、的服务的抽象,它们位于框架的顶层。(5)工具。框架提供相应的组合构造工具和管理维护工具等。3中国科学院软件研究所万里红电子政务平台3 1万里红电子政务平台 v1.0311综述电子政务系统的实施涉及多类计算机软硬件技术及网络通信技术,在实施过程中如何解决以下环节成为电子政务建设的技术重点:n 应用模块的快速开发和灵活部署n 对异构数据资源和异构操作系统的支持n 对分布式应用的支持n 系统各层次的标准化n 对建立统一安全体系的支持日志分析自动预警系统攻击检测其他应用系统安全策略管理分析 监控系统WEB监控、保护身份认证、访问控制应用支撑平台数字证书应用管理系统端到端的加密模块网络防火墙, IP信道
15、加密模块链路加密模块中国科学院软件研究所针对上述技术环节构造了万里红电子政务平台。该平台由多类支撑部件构成,这些支撑部件既可组成一个完整的应用体系支撑平台,又可以根据各类政务信息系统的实际应用情况作为独立的功能部件单独应用。312安全体系图3 万里红电子政务平台的安全体系万里红电子政务平台的安全体系是在对电子政务系统各层次的安全风险充分分析的基础上,结合成熟、先进的安全技术所构建的。其主要功能模块包括:n 位于数据链路层及网络层的信道加密及管理模块n 网络防火墙、访问代理、攻击检测等模块n 数字证书应用管理系统n 身份认证、访问控制应用支撑平台n 系统监控、日志分析、系统管理模块n WEB监控
16、和在线保护模块313 网络、系统层电子政务系统系统层软件主要包括操作系统、数据库管理系统和基本网络协议实现等。万里红电子政务平台支持多种操作系统,并可根据应用需求各类集成自主操作系统。这些操作系统包括服务器操作系统、桌面操作系统以及可应用于核心应用的安全操作系统。安全操作系统主要通过增强的身份标识与验证、细化的自主访问控制、特权用户职责划分、强制访问控制、审计跟踪、以及安全管理等方面措施增强对基本安全功能的支持。图4 系统层增强的安全性能314 数据访问层1数据的提取、转换和集成将多个异构数据源中的数据集成到一个统一的数据中心(数据仓库)中,是一个复杂的过程。该过程在元数据的监控下,历经数据提
17、取、净化、转换、集成以及加载/刷新等五个步骤。如图所示。元数据提取净化转换提取净化转换加载/刷新数据中心/数据仓库数据源集成图5 数据集成过程2数据传送工具发送向导发送服务器ODBC接口日志RDB接收向导接收接口接收服务器ODBC接口日志RDB发送接口图6 数据传送工具数据传送工具为异构数据源之间提供可基于消息通信/Ftp/Email的、传送双方彼此独立的、用户界面友好的数据传送功能。数据传送工具主要由发送向导、发送服务器、接收向导、接收服务器和传输接口等部分组成。发送向导、发送服务器和发送接口构成了源数据导出端,与此类似,接收向导、接收服务器和接收接口构成了目的数据导入端。3异构数据访问系统
18、异构数据访问系统是一个分布数据资源访问中间件,其目标是使应用系统能够统一、透明、高效地访问和操纵位于局域网、Intranet或Internet环境中的各种分布、异构的数据资源,使应用系统能够方便地管理和访问位于不同硬件平台、操作系统、网络协议和数据管理系统中的数据。App.DataClientMOM etc.MOM etc.DataServerDataAccessfor OracleSQL ServerDataAccessfor OracleDataAccessfor Oracle. .SybaseOracle OtherDB Internet /Intranet 图7 异构数据访问系统315
19、 信息交换层1跨平台的信息交换考虑到政务系统本身的特点,其应用系统的集成应该采取一种通用的松散耦合的交互模式。在这种模式下,各个应用在保持原有工作方式和条件的同时,能够进行可靠的数据和业务逻辑的交流,它的应用开发和维护工作要相对简单。面向消息的中间件(Message-Oriented Middleware)能够很好地满足上述要求。 应用A消息队列接口应用B消息队列接口队列二队列一队列管理器队列管理器网络环境基于消息队列的应用集成如图所示。分布在网络结点上的应用使用消息队列进行通信,应用程序A通过消息队列接口将消息放入队列,而应用B则从队列中取出消息。A和B可以在同一机器上,也可分布在不同的机器
20、上,且它们的运行相互独立。基于消息队列的跨平台信息交换具有以下优点:提供可靠的信息传送(单次可达、故障恢复);通信软件可以在不同时刻运行(松散耦合);可支持复杂的分布式软件结构;在应用系统开发中可以避免复杂的网络通信和故障恢复代码。图8 采用MOM的应用集成2政务数据交换中心政务数据交换中心基于XML技术,实现文档的接收、转换、转发和管理,屏蔽各政府部门之间的通信方式和数据格式的差异。它一方面在政府部门之间充当一个中介,使具有不同通信方式和不同格式信息的政府部门之间可以方便地进行交流,另一方面,它提供一个文档管理机制,以XML格式集中存放进行政务活动的各种文档。政务数据交换中心主要分为通信接口
21、层、文档转换层和文档管理层三个部分。通信接口层负责与FTP server、Mail server、EDI server和Fax server的连接,定期地通过FTP接口、Mail接口、EDI接口和Fax接口检查各服务器,获取各服务器中的文档,进行识别分类后送入相应的输入消息处理队列中;同时检查输出消息队列,对获取到的消息进行处理,从消息中得到发送的方式和地址,通过相应的接口发送出去。文档转换层负责将接收到的各种类型文档(包括EDI、关系数据库数据、文本文件和其它格式的XML文档等)统一转换为XML格式,并保存于文档管理系统中,同时根据请求将XML文档转换为其它格式。文档管理系统负责对所有的XM
22、L文档进行存储和管理,并在此基础上提供文档的查询、检索和其它服务。通信接口层EDI MessageXMLFax/Email/TextRDB DataXML文档管理系统EDITranslatorXMLTagger/DecoderRDBWrapperFTP接口Email接口Fax接口EDI接口XMLMapping文档转换层文档管理层XML图9 政务数据交换中心316 应用层1政务信息应用管理领域(1)、公文管理:收文管理、发文管理、数据交换、在线交流、文档管理等。(2)、报表输出管理:设计器报告管理、聚合表管理,分析器文件处理、操作处理等。(3)、统计决策管理:数据挖掘、统计分析、预测分析、决策模
23、型管理等。(4)、信息发布:信息收集、信息过滤、信息审核、信息加工等。(5)、信息服务:信访管理、人大建议、信息反馈管理等2政府计划及项目管理领域(1)、计划管理:计划建议、计划立项、经费管理、实施管理、计划检查、计划调整、计划总结、审计、考核等。(2)、项目管理:项目范围管理、进度管理、费用管理、质量管理、人力资源管理、风险管理、采购管理等。3政府资源管理领域(1)、人事管理:代码维护、信息维护、查询统计、统计分析、工资管理等。(2)、财务管理(财务会计/管理会计):总账、应收款管理、应付款管理、报账中心、固定资产、预算管理、成本管理、资金管理等。4政府事务管理领域资产管理、行政管理、后勤管
24、理、安全事务管理等。5政府业务管理领域工商、税务、财政、海关、司法、邮政等。32 关键平台部件321 安全支撑平台安全支撑平台由两部分构成,其中部分产品已覆盖22个国家部委机关、31个省级政府。1网络层及应用层的安全产品集以中国科学院软件研究所ERCIST防火墙为核心,应用ERCIST攻击检测系统、ERCIST弱点扫描系统、ERCIST网络安全监视器等辅助安全工具可以有效地监控、保护电子政务系统各层网络内部的安全。ERCIST(安胜)防火墙是网络安全系统的组合套件,由包过滤路由器、代理服务器以及虚拟专用网VPN三部分组成。完成的功能还包括地址转换、安全审计等。为保护防火墙自身的安全,在防火墙的
25、底座架构上采用安全操作系统,在使用中加强认证、加密传输等安全措施。根据安全需求和投资情况,提供多种版本,使这些功能在各自独立的设备中单独或配合使用,也可组合在一个设备中使用。 ERCIST(安胜)防火墙可以有效地隔离内外网络的直接连接,限制内外网之间信息的流入和流出,隐蔽内部网的组成情况,对访问的用户进行身份识别,并防止源路由的攻击,IP地址欺骗攻击,R命令攻击, 拒绝服务攻击,同时能自动发现类似ISS进行的扫描,提出安全警告,进行安全的远程数据传送,同时提供日志审计和报警功能。图10 网络安全系统结构ERCIST(安胜)防火墙已通过公安部计算机信息安全系统安全产品质量监督检验中心的检验,取得
26、了公安部的销售许可证(证书编号:XKC33004),也经过了国家信息安全认证中心的检测认证,产品型号证书为1999TYP006,系统中所用密码算法经国家密码管理委员会的审核批准(国密办发1998年53号文),并列入科技部国家科技成果重点推广项目(编号为:99030226A)。 ERCIST检测系统由多个功能模块组成,对Intranet系统中各个目标系统进行全面和综合性的测试,找出目标系统在系统自身内和在网络上可能面临的安全性威胁,指出其中的漏洞和问题,以及可能遭受各种安全性攻击的薄弱环节,提醒安全管理员重新设置系统安全的策略。系统采用可插型附件的新型体系结构,用户可自行地进行功能扩展,即用户可
27、以把开发单位最新发布的网络或系统探测工具(通过在销售单位购买或从万维网(World Wide Web)上直接下载),方便地集成到已有的系统版本中。对于攻击和反攻击技术手段日新月异的信息安全行业而言,这是保证软件具有实用性和可扩充性的重要一环。安全检测系统已通过了公安部计算机信息安全系统安全产品质量监督检验中心的检验,获得公安部销售许可(证书编号:XKC31008)。2数字证书管理应用支撑平台基于PKI/CA技术而研制的数字证书管理应用支撑平台可以有效的解决电子政务应用系统中信息的保密性、信息的完整性、身份认证与访问授权、以及抗抵赖的问题。数字证书管理应用支撑平台G_Trust由G_RA、G_M
28、NG、G_CA三部分组成,并可据此构建出易扩展的、高度安全的公钥基础设施(PKI)应用支撑平台。G_RA类似一个注册机构(Registration Authority, RA),可用于为电子政务系统提供多样性的认证服务。其特点包括:1)政府部门内部的独立证书注册系统;2)使用政府内部数据来自动鉴别证书用户;3)与发证中心相联系签发证书。通过G_RA,政府各级别部门均能自主地负责对它的各类基本成员、相关用户的证书申请进行审批,负责证书的管理以及证书的废除。通过G_RA还可以为设备(如VPN)和Web服务器发放证书。 G_RA所处理的证书包括以下几类: n 个体用户证书(专用或公用个人证书) n
29、安全服务器证书(公用40 bit服务器证书) n 全球服务器证书(公用128 bit服务器证书) n IPSec证书(专用IPSec证书)服务中心G_MNG可以提供类似发证中心的服务,并提供针对特定应用系统、特定用户群的PKI服务。服务中心支持各类证书及G_RA的本地注册,并通过发证中心签发证书。在必要的时候,服务中心可升级为发证中心。服务中心的这种模式降低了认证中心初期建设费用和时间。发证中心G_CA不但提供了面向客户的证书服务(如G_RA认证服务的注册申请、操作等),而且还提供了这些服务的后台的处理功能。发证中心是一个完整的认证中心,它为G_RA和G_MNG提供核心的后台支持。322自主操
30、作系统在计算机系统中,从最底端的硬件层到最顶端的应用软件层,各个层次都必须采取相应的安全措施,这些安全措施构成了系统的整体安全体系,其中极其重要的一个环节就是操作系统的安全性。在电子政务系统的实际开发、构建过程中,应根据具体运行环境、安全级别,分别采用不同类别的自主操作系统。在一般的应用环境中,除使用其他主流操作系统外,还可选择使用中国科学院软件研究所红旗LINUX SERVER 或红旗LINUX DESKTOP,以及中国科学院软件研究所Penguin 64 LINUX。这些操作系统均能满足电子政务系统中各类应用系统的基本需求。对安全性要求较高的关键业务系统应采用安全操作系统。中国科学院软件研
31、究所安胜安全操作系统(SecLinux)是参照美国国防部可信计算机系统评测准则B2级安全需求和我国新颁布的计算机信息系统安全保护等级划分准则,结合我国国情和实际需求,自行开发的高级别安全操作系统,并通过国家信息安全测评认证中心认证,同时获得公安部的销售许可(证书编号:XKC30095),此系统为数据库的安全、以及网络设备,如网络服务器、网络加密设备的安全和网络中心设备的安全管理提供坚实的底座,可防止饶过安全设备而进行的攻击,为应用软件的运行提供可靠的环境。323 WEB应用服务器WebFrame是中国科学院软件研究所设计和开发的Web应用服务器框架,作为一种中间件产品,能够提供系统安全服务、历
32、史记录和计费、WWW数据发布服务以及连接管理等服务。基于这些服务,可以快速开发高性能的Web应用。WebFrame具有以下基本功能:1)系统安全:控制用户对应用服务器及其上的信息资源的访问;2)历史记录和计费:对应用服务器提供的服务进行访问记录,从而可对用户访问资源进行收费并进行系统审计;3)数据发布服务:将数据的产生和结果的显示分离开,提高Web数据发布的效率和简易性;4)连接管理:通过连接管理解决HTTP无状态协议所带来的问题,同时通过连接池管理Web应用服务器与其他应用服务器之间的连接,提高系统的吞吐量。http浏览器WWW服务器WebFrame网络数据库服务器1ODBC,JDBC等数据
33、库服务器2其他服务器WebFrame应用服务器的网络结构如图所示。其中WWW服务器和客户浏览器之间采用http协议进行通讯;WebFrame和WWW服务器既可位于同一台机器上,也可位于不同的机器上,可以根据系统的负载情况进行相应的调整;WebFrame和数据库服务器之间通过ODBC或其他接口进行通讯;WWW服务器和数据库服务器一般位于不同的机器上。通过服务注册,WebFrame还可以请求其他服务器所提供的服务。图11 WebFrame应用服务器的网络结构图 WebFrame具有以下特点:基于Session的管理;完善的会话管理功能;支持快速开发;运行效率高;提供界面友好的服务管理器;有效的负载
34、平衡;良好的可扩展性;支持历史记录和计费等。324分布数据资源访问中国科学院软件研究所数据访问中间件产品DataAccess提供分布数据的位置透明和平台透明性,使应用系统能够统一、高效的对各种分布数据资源进行访问和管理。SybaseOracleAccessInternet/IntranetInternet/IntranetODBCApplicationDataAccessODBC DriverActiveX controlDataAccessOLE DB ProviderApplet/JavaBeansDataAccessJDBC DriverDataAccessServerDataAcces
35、s由DataAccess客户端驱动器、DataAccess服务器和若干个局部数据源组成。应用程序(ODBC Applications、Applet/JavaBeans、ActiveX等)向DataAccess客户端驱动器发出数据访问请求,客户端驱动器对请求进行简单的分析处理,对于那些可以由客户端处理的请求,由客户端直接返回处理结果,对于那些必须由服务器处理的访问请求,客户端通过底层通信系统将请求信息发给DataAccess服务器。DataAccess服务器接收到请求后,进行分析处理并访问局部数据源或全局数据字典,处理结果再经客户端驱动器返回给应用程序。图12 DataAccess 应用体系Da
36、taAccess客户端驱动器包括ODBC驱动器、JDBC驱动器、OLE DB驱动器、底层通讯系统和加密/压缩等功能模块。DataAccess服务器包括数据请求代理、全局查询处理、全局模式管理、系统配置管理、用户管理、连接管理、DB Gateway、底层通讯系统、加密/压缩和全局数据字典等功能模块。DataAccess提供基于标准的访问接口,包括ODBC、JDBC和OLE DB。系统管理工具负责对全局数据模式、用户和用户组等信息进行配置和管理,并包括其他提供给DataAccess系统管理员的管理维护工具。DataAccess具有以下特点:提供灵活的多层数据访问结构;简化客户端管理,实现瘦客户体系
37、;提供基于标准的数据访问接口;支持各种关系型数据资源;支持全局模式和全局查询操作;支持快速应用程序开发;能够实现高效率的访问;具有完善和灵活的用户管理、身份认证等安全控制机制;提供简捷的图形管理界面;适用于多类主流系统平台。325消息队列ISMQ 是中国科学院软件研究所设计和开发的一种面向分布式应用的消息队列中间件产品,它通过消息队列为分布式应用提供了一种可靠的信息交换的机制,能够为各类应用程序提供一种通用的松散耦合的交互模式。在这种模式下,各个应用在保持原有工作方式和条件的同时,能够进行可靠的数据和业务逻辑的交流。目前ISMQ已经在国家科技文献服务网、中国石化成品油销售系统等大型应用系统中获
38、得成功的应用。在ISMQ系统中,应用程序之间交流的信息单位是消息。它分为两个部分:消息描述头和消息内容。消息描述头给出了消息的标识、消息的系统属性和目的队列等,而消息内容则是由应用程序定义的数据流。ISMQ在消息的存储和发送、接收过程中对消息内容不做任何处理。消息队列是消息存放的缓冲。消息按一定的次序在消息队列中排队。在每个提供消息队列服务的ISMQ节点上由消息队列管理器负责消息队列的管理以及消息的发送和接收,不同的消息队列管理器之间可以通过底层的网络平台进行消息交换。基于ISMQ的应用程序可以通过消息队列接口(ISMQ API Library)与消息队列管理器通信,完成消息的发送和接收。IS
39、MQ具有以下特点:提供端端(peer-to-peer)的消息通讯功能;消息发送单次可达;能够提供多种消息缓存机制;基于分页的消息队列存储结构;支持消息操作的事务特性;提供消息队列访问的同步、异步接口;支持单向和双向通讯以及应用服务请求的并发处理;支持订阅发布服务,有效降低网络流量负载;提供简洁API编程接口支持;支持主流操作系统平台;提供完善的监控工具。326多语种中文平台图13 多语种中文平台中国科学院软件研究所多语种中文平台充分考虑了系统的兼容性和可扩展性,不仅能够处理CJK基本字符集,而且能够有效处理Extension A、Extension B的字符集,同时能够有效处理各少数民族语言;
40、克服大字符集处理对系统资源的庞大需求;并能提供方便、快捷的智能输入方法;提供高精度大字符集字型输出。主要特点如下:n 提供多通道智能化超大字符集汉字输入技术,方便普通用户使用; n 克服超大字符集处理过程对计算机系统资源的过分消耗;n 针对服务器、桌面、嵌入式等不同应用领域的中文平台实现技术;n 自动进行汉字编码和汉语术语的自动智能转换,实现世界各地不同华人之间的无障碍汉语信息交流;n 支持少数民族语言处理。系统不仅能够处理大字符集汉字信息,同时能够有效处理各少数民族语言,并进行相关处理、应用。33应用实例331政府(某部委政务信息系统)某部的电子政务建设工作始于早期的办公自动化系统的建设,直
41、至1992年以前一直局限于单机管理的水平。随着计算机技术及网络通信设施的发展,于1993年建成部办公大楼局域网络系统,1995年底联通国际互联网。1999年在国家有关管理部门的的统一安排和部署下完成政务信息专网连接和相关应用系统的建设。在整个应用体系中,各类应用系统的建设时间跨度较大、应用目的不一致,涉及多种开发及应用平台以及异构数据资源。为了保证该部电子政务信息系统建设的整体性、先进性,适应政府工作改革的需要,需要依据新的建设规范,利用当前先进的计算机及通信技术,整合原有的政务信息管理系统,构建新型的电子政务应用。在系统建设中,首先根据实际应用情况,重新构建了网络分层,并根据相关部门的要求对
42、不同网络分层采取了隔离措施。针对整个政务应用体系中各类数据及应用系统的密级和安全风险,重新设置、构建了防火墙、IDS、系统安全监控环节。同时基于部内实际组织结构和应用管理特点构建了基于PKI技术的数字证书分发、管理及技术支撑平台。对于各类异构数据资源,基于数据中间件和消息中间件构建了统一的数据交换中心,满足了在统一安全框架内的数据资源访问控制和共享。目前该系统包括四个子系统:n 安全管理平台:包括人员、机构管理及权限设置;文件、档案管理及权限设置、网络安全管理;n 公文流转平台:包括部内各类发文、办文的流转和审批,以及面向政务专网的公文信息申报、传达。n 信息发布平台:包括对外信息发布、对内信
43、息发布、会议管理、文件资料查询等。n 业务管理平台:包括部分计划管理系统、项目管理系统。332行业(邮政综合管理系统)在邮政综合管理系统中,利用各类公网及邮政专网传送数据,实现了邮局业务管理的计算机处理。其中包括速递管理系统、报刊发行系统、支局营业系统和邮政综合业务系统等。目前该系统基本覆盖了邮政业务管理全部流程,包括速递、支局营业、邮政综合、报刊业务、内部业务处理、分发投递、零售处理、档案和信息管理等。 该系统已在北京市邮政局、上海市邮政局推广应用,并基于上海市邮政计算机网络系统建立了综合业务管理应用体系,实现了全系统从全市信息中心到72个支局和下属营业所的配置管理、性能管理、故障管理、安全
44、管理、计费管理应用子系统与数据库管理、统计分析管理、用户管理和系统维护管理等全套功能。此系统在开发过程中所制定的一系列规范已成为制定全国邮政网建设规范的重要依据。所开发的上海邮政综合业务数据通信与管理系统已被列为全国邮政综合网中的样板工程。 4电子政务应用系统的构建41 电子政务系统的建设策略目前很多政府部门、企事业单位都在进行着自己的信息化建设,这些信息化建设综合到一起有力地促进了信息化社会的发展。电子政务系统作为整个信息社会的重要组成部分,它的最终目标和内容都依赖于全社会信息化的发展,而整个社会信息化发展的层次和环节在目前都难以确定。故此电子政务系统的最终目标和详细内容也是很难确定的。例如
45、,公文的流程,各类申报、申请系统的评估、决策模型等,这些事务本身都是不断变化的,很难在一定时期内明确下来。实际上,电子政务系统要管理的内容、达到的效果及运行后的状态等涉及的内容相当广泛。任何电子政务系统的规划者都难以通过调研、分析完全确定所有内涵。电子政务系统的建设和一般信息系统的一个重要区别就是难以在规划、设计、开发、实施前完全确定系统详细目标和内容,也难以通过一个详尽的设计去简单的、全方位的组织和控制电子政务系统的建设。因此,简单的采用一般信息系统的建设方式是无法建设电子政务系统的。 电子政务系统的建设是一个随着社会发展和政府功能转变而持续进行的过程,在建设电子政务系统的过程中,应以建设关
46、键支撑体系为核心,以建设各个应用功能系统为阶段目标,在长期的建设过程逐渐与其他各个分立的政务系统及各类信息化支撑体系融合并最终形成比较完整政务体系。42 应用体系与技术体系作为一个复杂的信息系统,电子政务系统是和信息技术密切相关的。近年来,信息技术发展十分迅速,各类新标准、新技术不断出现。故此,在构建电子政务系统时必须处理好应用体系与技术体系的关系。所谓应用体系就是在电子政务系统运转过程中由各级管理者和使用者所构成的管理体系以及其中的各类工作模型和处理流程,应用体系实际上也是推动整个电子政务系统正常运转并发挥效能的动力源泉。而技术体系则是实现电子政务系统的手段和依据,其中包含实现电子政务系统所必须的各类网络系统、计算机软硬件系统、各类协议和接口标准等。分析以往各类应用系统的应用实施过程可以看出,人们往往错误地认为只要采
