政务公共平台资源综合管理与服务交付系统设计书

1 政务 公共平台资源综合管理与服务交付系统 设计书 1 主要建设内容 务目录标体系建设 按 础设施建设实际情况，结合 共平台顶层设计书 ，设计 符合 共平台发展 和 应用 的 公共平台资源 服务 目录 ， 制定 电公共平台资源 服务 目录 ，逐步构建一整套 完善的 资源 服务目录 建立 、维护 、 管理和 使用 机制 ，最终 实现公共平台建设 以 服务目录为导向 ，建设 共 平台。 务 和管理体系 建设 按建设 、管理、使用 三 分离原则，构建 共平台服务和管理体系， 从 公共平台各设施系统的 建设、 管理 、 使用 等 三个方面进行规范 ，用于 规范公 共平台各子系统建设、 管理 运维和 资源 使用。 出台 共平台建设 管理 办法 。 完善 平台 建设 标准 以 共平台资源服务 为 核心， 按 共平台资源服务 目录内容，制定服务资源建设 、 运维、服务标准 和 规范， 并根据 服务标准和 规范开展平台各资源的建设 。 2 完善 服务管理 规范 建立完善 的 共平台管理规范， 从服务队伍、服务资源、服务技术、平台资产、服务边界、服务评价等方面进行 规范 管理，制定相应的管理制度和办法，做到以制度约束服务行为。 完善平台 使用规范 建立 完善的 共平台 资源 和 服务 规范， 对 共平台的使用 范围 、使用流程 、 使用要求进行明确定义， 编制 共平台资源使用 标准和服务指南。 统 总统 设计 以 共平台资源综合管理与服务交付系统为 中心 ， 将目前 已建成 的 政务 机房、 网、政务云计算 、政务 数据存储 、政务 数据灾备 、 政务短信、政务邮箱、 政务资源 系统进行整合 和管理，形成 标准统一 的 共资源池，并以标准化服务目录的 方式 ， 向 部门提供 “ 一站式 ”公共政务 资源服务，并为经信委提供 “一站式” 系统 总体框架 共平台服务管理与交付设计为“ 6+2”架构，“ 6”是指基础设施 层、 服务 层、 数据层、 资源综合管理 层、 交付 服务 管理层 、访问层 ，“ 2”是指信息安全和运维保障。具体如 错误 !未找到引 3 用源。 所示： 支撑 层： 是运行环境支撑，同时也是服务管理与交付系统资源和动态分配资源的基础服务。 数据层： 是服务管理与交付系统的数据支撑，主要包括 目录库、资源库、工单 库 和 供应商库。 服务层： 是为服务管理与交付系统提供基础服务， 主要包括日志管理、工作流管理、短信服务、邮件服务 。 资源综合管理 层： 是为整个 共平台进行服务管 理与交付的核心，提供对服务提供商、服务产品全生命周期的管理，并提供服务的统计分析等功能。 服务交付管理 层： 是 为市级政务部门和区县级政务部门提供一个统一的门户入口，可在统一门户上浏览服务目录、服务资源的申请、申请资源的管理等功能 。 4 访问 层： 系统的访问用户是 市级政务部门和区县级政务部门 。 通过 服务管理与交付，服务使用者可 通过门户 网站一站式申请所需的各类服务 ； 服务管理者可 通过 服务管理与交付系统实时查看服务使用情况及服务容量 ， 从而制定各类服务计划 ；服务 提供者可根据服务运行状态进行服务维护及扩容 ， 确保服务稳定 运营， 最 终实现服务集中式管理 和 一站式服务。 系统部署 设计 系统需要五种不同的服务器，即对外接口服务器、数据库服务器、应用及管理系统服务器、大数据分析服务器，以及 务器。这五种服务器可以根据系统容量的规模选择部署在单个或者多个服务器上。每一种服务器至少需要两台物理（或虚拟）主机，以确保设备的冗余备份。如果系统规模不大，为了节约资源，可以将多个服务部署在同一个服务器集群上。这样就实现了集中式和分布式两种不同需要的部署方式。 系统的部署架构如下图所示，可以分为三层：接口层、应用层，以及服务层。 5 口 层 由一个或多个接口服务器组成集群，用于接收或者获取被管理资源服务系统的数据，同时也负责与其他认证或审核系统进行对接。接口服务器可支持多种标准接口协议，通过 放 多种方式实现数据的对接。 6 用层 应用层有应用及管理服务器集群、数据库服务器集群，以及大数据分析服务器集群三红服务器组成，用于完成整个系统的所有核心业务逻辑的处理，并未前端的 务器 层提供支撑。 应用及管理服务器用于部署资源服务器管理系统、资源服务全生命周期管理系统、统一运维监控系统，以及系统维护管理系统。 数据库服务器则为整个系统提供数据的统一存储和管理，同时通过双机备份的方式避免系统出现单点故障。 数据分析服务器则用于完成大数据分析系统的所有功能，位系统提供大数据智能化分析挖掘能力。 务层 服务层运用了先进的 术，为客户提供分角色、可视化的数据展现和管理功能。 技术路线 选择 对系统的特点，我们 在系统技术架构的选取上严格遵循低耦合高聚类的原则，选取了多种技术相结合的技术架构，从而做到各个子系统的相对独立，最终形成高稳定性、高扩展性、高并发及高性能的分布式综合系统。 7 端业务系统的技术架构 前端系统使用业界成熟的 构，将模型、视图、逻辑进行分离的模式，整个系统结构清晰分层明确。 构如下图： 前端系统使用 B/S 模式实现， B/S 模式下用户仅需通过浏览器访问服务器地址即可进入系统，无需安装客户端服务端部署仅需一次。升级维护也仅 需要对服务端进行维护，是交互式应用系统的理想选择。 B/S 架构的系统如下优点： 耦合性 低 视图层和业务层分离，这样就允许更改视图层代码而不用重新编译模型和控制器代码，同样，一个应用的业务流程或者业务规则的改变只需要改动 模型层即可。因为模型与控制器和视图相分离，eb 8 所以很容易改变应用程序的数据层和业务规则。 模型是自包含的，并且与控制器和视图相分离，所以很容易改变应用程序的 数据层和业务规则。如果把 进行 数据库移植，只需改变模型即可。一旦正确的实现了模型，不管数据来自数据库或是 务器，视图将会正确的显示它们。由于运用 应用程序的三个部件是相互独立，改变其中一个不会影响其它两个，所以依据这种设计思想能构造良好的 松耦合 的构件。 重用性高 随着技术的不断进步，需要用越来越多的方式来访问应用程序。式 允许使用各种不同样式的视图来访问同一个服务器端的代码，因为多个视图能共享一个模型，它包括任何 览器或者无线浏览器（ 由于模型返回的数据没有进行格式化，所以同样的构件能被不同的界面使用。 生命周期 成本低 开发和维护用户 接口 的技术含量降低。 部署快 使用 式使开发时间得到相当大的缩减，它使程序员集中精力于业务逻辑，界面程序员集中精力于表现形式上。 可维护性高 分离视图层和业务逻辑层也使得 用更易于维护和修改。 有利软件工程化管理 由于不同的层各司其职，每一层不同的应用具有某些相同的特 9 征，有利于通过工程化、工具化管理程序代码。控制器也提供了一个好处，就是可以使用控制器来联接不同的模型和视图去完成用户的需求，这 样控制器可以为构造应用程序提供强有力的手段。给定一些可重用的模型和视图，控制器可以根据用户的需求选择模型进行处理，然后选择视图将处理结果显示给用户。 台支撑系统的技术架构 后台支撑系统采用了分布式子系统的技术架构，将整个系统分为了几个相对独立的子系统。各个子系统之间全部采用标准的接口方式进行通信和交互，从而保证了系统具有很强的可扩展性和很高的性能。 系统基于 面向服务的体系结构（ 行设计，采用了接口即服务的设计理念，提供基于 议的 及 议的口， 实现了通过接口方式对外提供标准规范的服务。 一种粗粒度、松耦合服务架构，服务之间通过简单、精确定义接口进行通讯，不涉及底层编程接口和通讯模型。 以看作是 B/S 模型、 标准通用标记语言 的子集） /术之后的自然延 伸。 署形式，它将帮助企业系统架构者以更迅速、更可靠、更具重用性架构整个业务系统。较之以往，以 构的系统能够更加从容地面对业务的急剧变化。 10 构具有如下优势： 过 网络 服务器发布，从而 可以 突破 网络端口 的限制。 平台无关，减少了业务应用实现的限制。 有低耦合性特点，增加和减少业务 使用对象 对整个业务系统的影响较低。 有可按模块分阶段进行实施的优势。 系统 对接 设计 目标 系统名称 根据 前期调研情 况 ， 初步 确定需对接的系统包括： （一） 基础 设施 运维 系统 （ 1） 云 计算中心：网神运维管理系统、虚拟化管理中心系统 （ 2） 机房 设施： 综合 运维管理信息系统 （ 3） 数据 存储和灾备 ：统一 运维和管理系统 （ 4） 信息 安全 ： 信息安全 监测 平台 （二） 综合 管理系统 （ 1） 综合 管理平台系统 （ 2） 服务 交付和运维监督系统 （三） 公共 应用管理模块 （ 1） 理信息公共服务平台 （ 2） 移动政务应用支撑平台 （ 3） 信息安全监测与应急响应平台 11 （ 4） 移动政务应用支撑平台 （ 5） 政务数据交换平台 （ 6） 政务短信 系统 （ 7） 政务邮箱 /市民 邮箱服务 系统 对接方案 设计 系统 对接所传输的信息为数据和请求，根据大数据数据采集原则是通过数据采集接口收集各类数据，并将原始数据进行存储、整理、清洗后使用。 接口可为不同的数据库系统、应用系统、专用中间件系统提供接入组件，通过对接口协议需求进行抽象，就可以和特定系统的交互。另外提供组件定制接口，可以方便、快速地添加具有新的功能的组件。 接口需符合以下要求： 数据加密，提高系统安全性； 异常处理，创建和维持一个“消息异常处理器”的接口，它可以保存因为某种原因不能处理的消息，这些“异常”消息还可以被送回重新加以处理 易于维护，通过使应用松耦合 或分离，使系统环境中的接口更容易维护。同时通过数据交换平台对外提供统一接口，屏蔽了单个系统内部的改变，可以很容易替换过时的应用。 可扩展，数据交换平台提供了大量的扩展接口，方便用户进行功能扩展。 12 平台接口 标准规范建设 共平台资源综合管理与服务交付系统的核心服务的集中管理和集中服务，需要与众多系统和平台进行对接和交互，同时也为大量的不同角色的用户提供服务，因此建设一套统一的标准 规范体系，对平台的规范管理和长足发展都至关重要。 统一 管理接口 通过 与各 基础 设施 源自有 的管理接口和管理功能 ，自动 获取资源及其支撑系统运行 和 管理情况 。 用 功能 设计 主要 应用功能包括：资源综合管理子系统、服务交付子 系统 和 系统 管理 三个部分组成。 源综合管理 通过 建立标准服务目录管理、统一 服务资源 管理、统一运维 监控管理、 智能分析 和服务、 资源 服务管理 等 ， 实现 对现有各类 施资源 总量 、 状态 、分配情况、使用情况 、 运维情况 的 可视化 管理， 同时 对 各资源 服务进行全过程管理 和监控，并 对资源 运行 、管理、 应用和 监控 等 信息进行智能化分析 。 13 源 服务目录管理 根据 资源服务目录体系建设要求，对 资源 服务 进行 体系化 、 规范化 、可视化 管理 ， 建成 标准规范 且 满足 共平台管理和 资源 服务交付需求的 资源 服务目录 。 主要 功能包括： 资源 目录树 管理 、服务目录项管理 等 。 图 ： 源 目录树管理 能够 根据 共平台建设 和管理 实际 情况 ， 随时 对 服务目录树 进行 动态 调整 ，包括 新增、修改、停止、删除等 功能 ，对目录树操作不影响目录树下的 具体服务 项。 （ 1） 目录 树 设计 按 树形 结构，构建服务目录树，目录树主要包括： 服务 类型 （ 基础 设施 类 、 软件 类 、 咨询 服务类 ）、 服务子 类 政务机房、云计算、存储、灾备 等 ） （ 2） 目录 树 维护 能够 对目录数据进行可视化、拖拽式管理，随时对目录树 结构 、内容进行调整 ， 可根据需要对目录树各项内容进行新增、修改、停止、删除等操作。 （ 2） 目录 树 发布 任何 目录树的新增、维护操作都需经过 经信委 主管 处室 审核后方可发布 。 14 务 子 项 管理 能够 根据 共平台建设 和管理 实际 情况 ，在 服务目录树的框架下， 随时 对 具体 服务项进行 调整 和维护。 主要包括服务 项录入 /新增、 服务项 审核 、 服务 项维护、服务项 停用 。 （ 1） 服务 项 录入 按 服务项规范格式， 实现 新增服务项 及其相关 要素的 录入 。 （ 2） 服务 项 修改 能够 随时 对 各 服务项 名称、内容 描述 、服务水平 、应用 范围等 内容 进行修改 ， 实现服务项动态管理。 （ 3） 服务 项 停用 能够 对 任意 服务项进行 停用。 一服务资源管理 通过 建立标准、统一的政务 资源管理 中心， 实现各服务资源 集中化 、可视化管理和监控 。 务 资源 池分类 按 共平台服务和建设特点，将公共平台资源池分基础物理资源池、计算资源池、存储资源池、 灾备 资源池、网络资源池、支撑软件资源池、公共应用资源池、 技术 服务资源池等 。 15 务 资源 池管理 将 云计算、数据存储 和 灾备 以及机房 、 网、 政务数据交换、 政务 短信 、政务邮箱等 资源 进行 集中 管理 和监控， 提供一站式资源管理和监控服务，随时掌握 共平台各类资源情况。 务 资源 整合 根据当前 各 类 资源建设情况和 特点 ， 服务 资源整合拟 按 两种类型进行整合 ， 形成各类资源池 。 （一） 针对 云计算 平台 、政务数据存储与灾备平台 等具备 在线资源监控的基础设施， 以 数据 接口 的方式直接从 其 管理 中心 系统或 运维 管理系统中 资源 总量 、设备 清单 、运行 状态 、使用情况等信息。 （ 二 ） 针对 机房 、 网、 政务数据交换、 政务 短信 、政务邮箱 等 资源， 由 管理单位对资源 使用 情况 及时 录入系统 ， 资源状态通过 对口 的方式 直接 读取 该 系统 运行 情况数据 。 通过 以上两种方式，将各类资源池总量、 使用 情况、运行状态等信息进行统一 整合 ，构建虚拟 的 共平台资源池 ， 让 平台各方能够及时了解平台 资源 池 建设 、使用和运行情况 。 务 资源管理 将 整合的各类资源 进行 分类管理，形成不同的资源池， 并 能够实时 监控各资源池里面的资源情况。 16 务 资源 调度 通过 政务 计算 系统 对接， 试点 实施 政务 云计算标准服务单位 自助交付 以及 资源 在线 、 自动 调度。 （ 1） 标准 计算单位调度。 通过 云计算虚拟机主机 模板，实现 主机 自动生成 、自动 配置， 并动态 新增 存 、存储等资源； （ 2） 根据 应用 实际 资源使用 情况，能够实现自动资源调度功能。 务 资源 池监控 能够 对资源池 及 其相关 支撑 系统进行全面监控，包括资源池总量、资源分配 情况 、资源实际使用情况以及 各 资源相关支撑系统设备 运行 情况。 （ 1） 资源池 监控 。 主要 对 资源池 内 的各类资源进行实时 监控 ，实时了解资源池内 各 资源总量、 资源 状态 等 情况 ； （ 2） 资源 状态监控。 对 用户 单位 申请 的资源进行动态监控，实时了解 其 资源实际使用情况 。 一运维监控管理 将 目前已建成的 机房 、 网、云计算、数据存储和灾备以及公共应用等 分散 在不同建设单位或不同服务提供商的运维监控系统 进行 整合， 构建 虚拟 共平台统一运维监控系统 ，实现 对公共平台所有设备设施以及系统运行状态和运维情况 监控， 及时全面掌握共平台 运行 和维护情况 ，健全 公共平台各设备设施服务和管理 17 水平。 主要 功能包括： 设备设施 运维 监控 、 公 共 应用 、 运维 管理监控 、资产管理、配置管理、 机房 定位管理 、 服务级别管理、运维辅助决策、综合分析报表 等 。 一 运行 监控 将 目前 政务 机房、 网、政务云计算中心、政务数据存储与灾备 等 基础设施以及各类公共应用系统管理、运维系统等 运行 监控信息进行 汇集 ， 实现 共平台统一 运行 监控 ， 全面掌握整个平台各子系统运行情况 。 主要 功能 包括 ： 数据 采集引擎 （ 1） 数据 采集引擎 通过 志 、 多种 方式 和 手段 ， 对 各类设备设施 运维和 管理系统 对接 ， 对 数 据格式进行标准化 转换 ， 采集 相关 设备设施及系统运行数据 。 （ 2） 关联 分析引擎 将 从各方 动态 采集的 运行 监控数据进行关联分析， 及时 对相关事件、资源进行预测预警 ， 方便做出提前准备 。 （ 3） 统一 监控 管理 将 公共 平台各 子 系统运行 监控 情况 进行 集中 管理 ， 对平台机房 、网络、计算、存储、灾备 、 公共应用以及部门托管或 部署 的各类应用系统 以拓扑图 、 机房 地图、 仪表盘等 多种 可视化 管理 方式 ， 实现 对各 18 类设施资源统一监控管理 。 维管理监控 将 共 平台各资源建设 单位 或服务提供的 单位 运维管理信息 进行 整合， 动态 监测运维管理 过程 及情况，包括事件、资产、配置等 件中心管理 将 平台 各 资源 系统 运维信息进行 汇集 ， 实现 共平台所有 事件 集中管理 ， 使平台管理方能够及时对整个平台运维 事件 情况 了解 和掌握，并为后期 提升 运维 水平提供 趋势 分析决策 。 一 资产管理 将平台 各 资源支撑 系统资源进行 统一 管理， 为运行 监控、 服务资源等 提供支撑 。 一 配置管理 将 所有 设备设施以及软件系统配置信息进行统一管理， 为 日常运维工作提供配置管理工具 ，为 应急处置、 服务 变更等提供决策。 房 定位管理 将 政务机房 服务 资源进行可视化管理， 以机房 、机柜为单位，对 机房内部署的设备设施进行精确定位和可视化管理。 采用 三维机房或 2 维 机柜模拟图等方式 展展现 。 19 务 级别 管理 将 平台 各资源运维服务级别 信息 进行 整合 ，实现运维级别的 管理 和维护，及时 掌握各项 运维工作的服务级别。 维辅助决策 将 平台事件 、 运行 监控、运维 管理、 服务级别等信息进行综合分析， 为完善 和提升运维 水平 提高决策依据，为 管 理 单位或 用户单位提供 有 价值的预测分析报告。 合分析报表 能够 按 标准 报告 或自定义等多种方式，对平台运维情况进行多维度、多角度统计分析。 能 分析和服务 将 公共平台运维监控、运维管理 、 信息安全 以及系统运行 等 信息数据 进行综合 关联 分析， 对 各类运维和安全事件提前预警 预测 ，为提升公共平台建设、管理和服务 的 提升提供决策依据。 务 过程 管理 以 平台各资源建设项目为基础，对 平台 类各资源服务进行全过程管理，实现项目管理、服务内容管理、经费管理、文档管理 等全 过 程自动化、智能化管理 ， 提升服务项目管理水平和效率， 更好 的 为 部门 20 提供服务做好决策支撑 。 包括 项目管理、服务 过程 管理、 经费 管理 、 文档管理 等 （ 1） 项目管理 通过 与 经信委综合 管理平台 中 的 项目 管理进行 对接 ， 将 公共平台相关 项目进行导入本系统， 实现 项目管理 信息 同步 管理 。 （ 2） 服务 过程 管理 按 项目 分类 ，将各项目中向部门提供的资源服务全过程 信息 进行管理，包括服务申报、审核、 资源 准备、实施、测试、 交付 、运行、变更、终止等 服务 全生命周期进行管理。 （ 3） 服务 经费 管理 以 项目 为 基础，将项目中 向 部门提供的资源按照费用结算方式，结 合服务 过程 管理 ，实现 第三方 服务 商 费用自动 计算 和管理。 （ 4） 服务 文档管理 将 项目 管理 及服务过程管理全过程文档 按响应 节点进行管理 。 务交付 管理 服务交付管理是为市级政务部门和区县级政务部门提供统一的问门户，系统提供的标准服务目录、服务解决方案、咨询服务等，政务部门注册用户后可申请服务资源，对申请成功的资源可以进行管理及监控。 21 一门户 务 资源 将 共平台提供的 各类 资源， 以 服务目录 形势 集中展示， 各服务使用单位 能够 清晰、及时、全面的 了解 共平台能 够提供哪些资源 服务 。 闻 动态 向 平台 建设 、 管理、使用单位和部门提供统一 平台 建设、应用等动态信息发布、查阅通道， 及时 向各单体提供 各类 动态信息发布， 起到了解 。 通交流 提供服务资源申请相关的问题电话咨询服务、在线咨询服务，后台管理人员对咨询问题进行即时答复。 术支持 提供帮助文档下载、技术论坛支撑、一般技术问题解答案例等帮助信息。 册登陆 政务部门可在门户网站注册账号，审核通过后 可进行服务资源的 22 申请、管理等操作 。 知通告 在网站发布平台的通知通告，并以短信、邮件等形式通知平台用户 。 障申报 平台用户申请的服务资源出现故障问题时，可发起故障申报，后台管理人员对故障进行排查及及时回复处置结果 或以短信形式通知故障排除结果 。 理 控制台 号管理 注册用户可以对自己账号的基本信息进行维护，如联系人、手机号码 （该手机号码用户接收平台推送的提醒信息） 、邮件 、登陆密码等相关信息。 行 管理 用户可 在控制台中 实时 查看 从 公共平台中获取的各类 资源运行情况， 包括 资源 /服务 数量、 运行 情况、使用情况 、 预警信息 以及 安全信息情况 ， 并可就 具体 服务 进行故障 申报、 技术 咨询 等 。 23 单管理 工单 包括 资源 申请单 、 故障申报单、咨询服务单等 ， 主要 包括申请的 状态 、审核进度等情况（ 审核 流程在经信委综 管平台 进行） 。 息中心 平台 推送 给 用户 单位的各类通知通告、预警 告警 、 问卷 调查等信息 ， 并能通过短信提醒用户 。 务评价 用户 可对 每 一项服务进行评价 。 务 交付 付 资源管理 用 户 能够对公共平台提供的各类资源服务的全 生命 周期管理 ，包括 申请、实施、 测试 、交付、变更、 状态等 过程、资源、文档等进行管理。 付 资源 监控 用户能够实时 查看公共平台提供的各项服务运行及使用情况。 程 管理 通过 构建 可 配置、可 自 定义的 流程管理工具， 实现 配置管理、事 24 件管理、问题管理、变更管理、服务级别管理 等 管理流程。 常 工作管理 包括 文档管理、配置管理、系统管理（ 包括用户管理、功能管理、内容维护等功能。 ）、安全管理、用户单位管理 、供应商 管理 、 预案 管理 、值班管 理 、接口管理（统一管理与各服务供应商相关管理、运维、监控系统的对接接口管理） 统 管理 （ 1） 用户 及 权限 管理 对 系统 用户 进行 管理，包括新增、 修改 密码 等 ，同时配置 权限 ； （ 2） 接口管理 统一管理与各服务供应商相关管理、运维、监控系统的对接接口管理 ， 能够对 接口进行后台配置。 （ 3） 功能 管理 对 系统各项 功能 进行管理 （ 4） 网站 版面管理 对 网站版面进行 管理和 维护 （ 5） 网站内容 管理 对 网站内容进行更新和维护 （ 6）流程 配置 对 系统 中的各类流程进行配置管理 25 务 商 信息 管理 将 公共平台各 服务建设 单位 、服务供应商、运维单位信息录入系统，进行 统一 管理 。包括 新增、修改、 删除 等 ， 户 单位信息 管理 将 平台 各 用户进行分级、分类管理 。 班 管理 将 各 值班人员安排 信息录入系统 进行 管理 。 急 管理 包括 电子 应急 预案 、应急资源管理 、应急 处置管理 、应急 事件管理等。 撑 系统 设计 本 系统作为 公共 平台 管理 和服务中心 系统 ， 需 确保系统稳定、可靠 且、 安全 且 具备 能够 访问各类基础设施以及各服务供应单位、托管至政务机房的各类 信息 系统。 础 物理环境 基础 物理环境拟 利用 政务集 中机房核心网络管理区 构建 ， 满足 平台各设备设施运行所需的物理环境 26 础 支撑 环境 基础 支撑环境主要包括服务器主机、 数据 存储、数据 备份 、基础网络 等 务器 主机 考虑 本系统 为 共平台中心管理 和 服务系统， 系统 需对接各类网络管理、 机房 设施管理 、托管至 机房的信息系统 、 其他服务提供商的专网系统 ， 以及系统本身安全性需求， 因此 拟通过 建立 独立 计算支撑平台 ， 运维本系统各类应用。 服务器 主机主要包括：数据库 服务器 、应用服务器 和前置 交换服务器 种类型 。 （ 1） 数据库 服务器 。 拟 采购 4 台 高性能数据库 服务器 ， 用于 系统 数据库 运行和数据分析 服务 。 建议 配置如下： 4 颗 7 128600存 / 3 块 3000K 寸 盘 / 730P ， 2存 / 双端口千兆 +双端口万兆网卡 / 驱 / 冗余电源 / 导轨 / 3 年 品质 保证 。 （ 2） 应用服务器 。 拟 采购 4 台 应用 服务器 ， 其中 2 台 用于门户网站 应用 部署， 2 台用于资源管理监控和交付应用部署 ， 均采用 集群 方式部署 。 建议 配置如下： 27 4 颗 5 32600存 / 3 块 3000K 寸 盘 / 710 ， 512存 / 四端口千兆网卡 / 驱 / 冗余电源 / 导轨 / 3 年品质 保证 。 （ 3） 前置 交换 服务器 。 拟 采购 2 台 普通 服务器 ， 用于 与各 运维系统以及服务提供方管理系统进行实时数据交换 。 建议 配置如下： 2 颗 5 16600存 / 4 块 2寸 盘 / 730P ， 2存 / 四端口千兆网卡 / 驱 / 冗余电源 / 导轨 导轨 / 3 年品质 保证 。 据 存储与 备份 拟采用 存储区域 专网（ 的 方式 ， 利用现有存储与灾备设备，实现数据集中存储和备份。 撑网络 系统 充分 利用政务 集中 机房内的网络设备，通过 网虚拟机专网，构建专用管理网络， 与基础管理 系统、设备以及其他服务 提供 商的运维、管理系统 对接 。 28 息 安全 系统 充分 利用 网已有安全，配套 信息安全 监测 平台 远程 检测 、安全 服务 等 构建 本系统安全体系 ， 按等级 保护 三级构建。 撑 软件 选型 （ 1） 操作 系统： 拟 采用 国产安全 可靠 统（服务器 版） （ 2） 数据库 :拟 采用 务器 版） （ 3）中间件 :东方通 支撑 应用环境 拟 采用政务邮箱、政务短信、 份 认证等系统 实现 与用户之间交付，以及系统 通知 等功能。 全保障设计 系统 拟参照等 保 三级系统，构建信息安全防护体系，从技术、运维和管理三个层面对本系统 进行综合 的安全体系构建 。 础 安全 本系统拟利用 现本系统安全建设和管理服务。 29 理安全防护 系统 部署 拟 部署在政务集中机房内人， 依托目前 机房现有的物理环境 实现 系统物理安全防护 。 络安全防护 系统 部署在 网，利用目前已有的 网络 防火墙、 应用 防火墙、抗 病毒 防御系统、入侵检测系统等网络安全 设备 和信息 安全 监测平台服务，实现本系统 网络 安全防护。 机安全防护 充分 利用 已 有的堡垒 机 、防病毒软 件 和 信息安全 监测 平台检查和监测服务，实现本系统主机安全 据安全防护 利用 已有的数据库审计系统、数据备份服务，对本系统数据库和重要数据信息进行安全保护， 确保 数据 信息 安全。 用安全 应用级安全是指在应用层上保证本系统各应用子系统的信息安全。应用层的信息安全是面向用户和应用程序的，采用身份认证、授权管理、应用审计以及信息加解密作为基本手段，并可根据具体应用系统的实际需求提供灵活而可靠的信息安全。 30 全 权限 （ 1） 数据安全管理 系统内部 的数据 均需要 设定安全 访问级别 ， 数据中间件 层 通过数据请求的安全属性决定是否 符合 数据的安全级别，同时应用层也针对数据的安全级别制定对应的展示安全控制，确保数据的安全性从存储到访问 ， 再到 展示 都有严格管理。 系统应该支持 数据安全性不符 时 的告警 功能 。 （ 2） 授权管理 提供对平台资源服务的访问权限管理，实现对不同的业务开放不同的权限控制，提高系统对资源的安全性和可控制性。资源授权管理支持按照委办局组织机构、用户账号、角色等多种方式进行授权管理。 （ 3） 认证管理 提供对系统访问的统一认证管理，支持 点登录方式。对访问的账号信息、集成对接的政务信息化系统的服 务器信息、证书信息等方式进行认证，提高政务信息资源的访问安全性。 份识别 身份识别指提供专用的登录控制模块对登录用户进行身份标识和鉴别，确认用户 身份唯一性，提供登录失败处理机制，并可根据不同策略配置安全参数。 拟复用四川 证 管理中心为 会议管理信息 系统 发放的259 个 现 部门用户安全认证。 31 问控制 访问控制 指根据安全策略，控制用户对系统功能、文件、数据库表的访问，可根据不同用户授予不同级别的权限。 输加密 加密传输 是指 利用加密传输系统 提供 可靠 的端到端加密服务 ， 以保证数据的完整性、防窃取、防抵赖。具体涉及到诸如加密、解密、数字签名、密钥对产生、信息摘要、随机数产生等基本安全服务。 用审计 应用系统和数据的安全是重中之重，而通过应用系统直接进行入侵，对数据进行窃取、破坏，造成的影响可能比其他都要严重，因此，确保应用系统及数据的安全是本整个应用安全平台必须考虑的问题。 应用审计系统负责应用级行为的记录、分析和管理，它可以使系统管理员更好、更准确地了解和掌握应用系统运行情况，及时发现并解决出现的异常情况。 全加固 建立整 体的安全威胁模型，对 问存在的溢出漏洞、信息泄漏、错误处理、跨站漏洞、 入等安全漏洞进行及时更新处理。 通过加载安全组件包，对 问的非法连接、恶意扫描、注入信息等按照安全规则进行有效拦截，保障应用平台安全稳定运行。 32 据库安全 系统的数据库安全保护除尽量避免由于客观因素，如断电、火灾所造成的物理整性破坏外，设计一个好的数据库结构也是一个重要的关键，如对一个字段的修改