信息服务站系统二期总体技术方案

1、信息服务站系统一期总体技术方案信息站二期项目需求组二OO一年十月目录第一章前言 21. 1编写目的 21. 2项目背景 21. 3系统名称 21. 4系统使用者 21.5参考资料 31.6业务所涉及的标准 31.7业务所涉及的制度 3第二章现状、需求和目标 42.1信息服务站目前实现的功能 42.2我行工作站目前所采用的技术实现手段 52.3需求分析 82. 3. 1功能要求 82. 3. 2性能要求 92. 3. 3安全防御需求 92. 3. 4防病毒攻击 92.4系统的设计原则 9第三章信息服务站的技术实现方案| 113. 1信息服务站系统互联的技术实现 113. 2灵活数据查询的技术实现

2、 143. 3与办公自动化系统进行信息共享的技术实现 173. 4信息检索的技术实现 183.5信息服务站的流量统计与分析 203. 6提高信息服务站并发性能的技术实现 213.7信息服务站的安全体系建立 29第一章前言1 . 1编写目的本文根据信息服务器站系统二期需求说明书中提出的系统功能需求和 性能需求，提出系统的技术实现方案，以此作为项目进行技术可行性论证的依据 和项目开发中进行技术设计和实现的基础。1 . 2项目背景目前，在我行总行，大部分一级分行上都已建立起各自的信息服务站系统， 并且系统已经基本上可以实现各类公共信息的实时发布，账务信息的查询等功 能。为我行各级部门实现信息共享，力

3、卩强各部门间的交流起到了很大的作用。但 是，随着信息站所负担任务的多样化、数据量的不断增加、访问用户的大量增长, 使得信息站无论是在日常运行还是在系统管理上均已经无法满足日益增长的用 户需要，同时，由于当时技术条件的限制，目前工作站在技术实现的方式上，也 存在着一些影响系统性能和功能的缺陷。为了更好地适应和满足业务发展的需要，提高我行信息共享的程度，以下 提出信息服务站的改造方案。1 . 3系统名称中国建设银行信息服务站系统二期1 . 4系统使用者系统的使用者包括总行、一级分行、二级分行在内的我行系统内全部部门 与员工1 5 参考资料信息服务站系统二期需求说明书1 6 业务所涉及的标准依据我行

4、科技项目建设标准和国际先进的信息技术。1 7 业务所涉及的制度本系统的建设遵照 关于印发 中国建设银行信息服务站管理办法 （试行） 的通知建总发200016 号、关于印发 中国建设银行信息服务站建设规范 的通知建电字 2000 10 号和关于印发中国建设银行总行信息服务站运 行管理暂行规定的通知建总函（ 2001）870 号文件中的相关规定。第二章现状、需求和目标2.1信息服务站目前实现的功能作为管理信息系统信息发布窗口，信息服务站力求为我行各级员工及时地提 供各种信息服务，其中包括采集自我行各管理信息子系统的管理经营信息，由各业务部门提供的部分资讯以及由各大信息机构、 专业公司提供的各种经济

5、信息等 我行各级员工在管理经营工作中所需要的不同层次、不同方面信息服务。站自九八年底开始试运行至今，得到了各级领导与各业务部门的大力支持，同时也促进的我行管理信息工作的发展，获得了好评。目前，信息服务站推出了如下八大栏目：账务信息：提供包括新老会计制度下的本、外币总账查询、行长报表查 询、政策性房贷总账查询、信用卡指标数据查询、金融机构占比查询以 及综合统计数据查询等我行各类账务数据信息。本栏目向我行各级管理 与业务人员第一时间提供反映我行经营情况的各类会计与统计报表，其 中行长报表与本、外币总账数据均为每日传输。综合文档：提供建设银行内部最新工作动态、我行和金融规章制度选编、 我行内部刊物以

6、及各类事件专题报道等信息。本拦目为我行员工的日常 办公提供了通用性信息服务。部门资讯：为总行各业务部门建立部门主页，集中反映各部门工作情况。 本栏目不但促进了各部门间的交流， 同时大大加强了上级行各业务部门 与下级行对口部门的信息沟通。分行天地：提供了分行信息服务站的网址连接。我行各级员工不但可以 通过信息站了解本行发生的各类信息， 还可以通过本栏目及时地了解到 下级分行或同级兄弟分行的经营运行情况。客户信息：向我行员工及时提供由信贷管理信息系统采集到的我行贷款客户的贷款信息与其经营信息。 本栏目为我行员工提供了多种查询 方式来检索相关的客户信息。夕卜部资源：本栏目与中国国家信息中心、中银网、

7、路透社等单位合作， 向全行员工及时提供来自权威机构的各类政治、经济、金融时事信息。 服务天地：提供员工地址电话查询、常用办公软件下载、读书网等办公 辅助性信息。本栏目有助于提高我行员工的工作效率。建设银行报：建设银行报网络版。与建设银行报实物版同步发 行。通过此栏目，我行员工可以及时地了解到我行最新发生的重大事件、 行领导的最新指示、重要改革方针等一系列与我行的经营管理息息相关 的重要信息。2.2我行工作站目前所采用的技术实现手段目前，在我行信息服务站的技术实现上，WEB服务器基本上采用IIS与DOMINOS混合方案。由于IIS的文档管理功能和不够强大，权限管理过于繁杂； 而DOMIN虽然在这

8、两方面非常强大，可又不提供FTP服务，动态HTML功能和灵 活的站点管理，所以把两者结合在一起，提供一套完整的信息网站服务。Domi no允许使用IIS来处理浏览器客户机对 Domi no数据库的HTTP请求， 可以将Domi no服务器配置为IIS 的一个ISAPI扩展。ISAPI（I nternet Server Applicati on Programmi ng In terface）是由 IIS 支持的 In ternet 服务器应用 程序接口。Domi no服务器使用此接口创建程序（称为扩展）来扩展IIS 的功能。系统流程图如下图所示：从图中可以看出，采用该方案的各种信息发布办法如下

9、： 文档信息的管理：IIS接收所有浏览器用户的 URL请求并把包含文件扩展名.NSF的请求 传递给Domi no，这样信息网站就可以使用 Domi no处理所有与文档信息相关的 内容。业务数据的查询：由Domi no通过代理（Age nt）调用ODB（完成对后端数据库INFORMIX实时 连接，来完成客户端的查询请求，如下图所示：与关系数据库的访问权限 ：由Domi no进行控制，通过Domi no来控制每个用户可查看的数据库表格内 容，Domi no仅仅把符合权限要求的数据库访问请求发送给 Age nt进行进一步的 处理。2.3 需求分析2 31 功能要求实现全国信息服务器站系统的互联： 将

10、各信息分站与总行信息站有机地连为 一体。对于各信息站的有机连接则分为整个用户验证体系的一体化与信息站 应用的一体化两部分。其中，对于用户验证体系的一体化要求建立全国统一 的用户验证机制，实现全国用户的带权限漫游功能。对于信息服务站整个应 用的一体化又分为三种方式：远程连接方式、单点自动分发方式和多点自动 采集方式。灵活的数据查询方式：改变目前账务信息和客户信息查询中的“有什么，查 什么”的方式，向我行高级业务人员提供一种更加灵活、更加主动的查询方 式：“查什么，有什么”的高级查询方式。与我行办公自动化系统实现信息共享： 将办公自动化系统中的通用性信息在 信息服务站上以WE即式进行发布完成与信贷

11、信息系统的查询接口： 目前信贷客户信息系统正在进行二期升级 改造，数据库结构发生了一定的变化，因此，需要根据新的信贷系统的数据 结构，完成与信贷信息系统的查询接口实现单个信息站和全国整个信息站体系的信息检索功能：目前，在信息站中 可以提供同种类型文档的全文检索功能， 随着信息站内容的不断丰富及信息 量的不断增加，视图范围的检索功能已不再能满足用户需要，为加强用户对 信息的检索功能，需要实现三种级别的信息检索功能：数据库级、信息站级 和整个信息站体系级。信息访问的统计与分析功能： 通过对工作站中各类信息被访问次数的统计和分析，对各栏目进行改进，以便更好地为用户服务。2 32 性能要求 目前，可以

12、通过信息服务站查询的账务信息包括：行长报表数据，本币、 外币、外币折本币、本外币并账总账数据，政策性房贷总账数据，信用卡指标数 据，金融机构占比查询， 综合统计报表数据以及信贷客户信息数据等。 经过尽三 年的运行过程，随着各种外部条件的不断的变化和限于工作站技术实现手段的局 限性，信息工作站在业务信息查询的性能表现上已越来越无法适应我行业务发展 的需要， 尤其是在大用户量并发访问的效率方面，矛盾尤为突出， 已经成为制约 工作站发展的主要瓶颈之一。因此，此次信息工作站改造中，一个重点就是要改进目前对关系数据库的 查询机制， 提高大用户量并发查询的性能， 要求在百人并发查询的情况下响应时 间控制在

13、 3 分钟以内。233 安全防御需求 目前，在总行信息服务站每天都会遭到各类攻击多达几十起，而信息站目 前的防御措施尽限于操作系统和数据库自身提供的各种安全策略， 因此，为了保 证信息站安全可靠， 24 小时不间断的提供信息服务，必须采取一定的安全措施 抵御来自各方面的各种类型的攻击， 根据信息工作站的自身特点， 建立的安全措 施应能防御基于口令的攻击、 拒绝服务攻击、 利用扫描器进行的弱点攻击， 同时， 应有完善的审计措施，对各种攻击进行完整的记录。2 34 防病毒攻击建立企业级的防病毒体系，防止病毒在整个系统内的蔓延。2.4 系统的设计原则1、规范性、开放性和互联性 应用开发须遵循 ISO

14、、GB 和行业标准、规范，系统应能支持多种平台、多 种网络协议，实现与主要业务系统有效地交换数据和信息。2、可用性和可靠性整体系统运行稳定， 有很强的防错、抗错能力；具有很强的故障恢复和应急 措施，保证日常事务不间断地正常运行。3、先进性和成熟性系统建设应符合当前的技术发展方向， 尽量减少系统的实施和运行风险， 保 证优质、长期、稳定的技术服务和技术支持。4、安全性和保密性系统安全设计须防止超越权限操作现象发生； 保证信息的安全和保密； 充分 考虑在网络、 操作系统、数据库、应用等方面的安全性； 合理的日志和规章制度。5、易操作性良好的人机操作界面，易学、易用、易维护。6、易于维护和扩充 应尽

15、可能保护现有投资、人力资源，充分利用和保护已有设备、系统、已有 数据资源。应用系统模块化设计，可根据需要拆挂、组合。各个应用系统应该在 充分满足当前需求的情况下考虑其可配置性， 使之在一定程度上可以满足将来的 变化。第三章信息服务站的技术实现方案本章将根据信息服务站系统二期需求说明书中的功能、性能、安全等需求，对信息站二期的主要技术实现方案进行展开描述。3 .1信息服务站系统互联的技术实现目前，在我行的一级分行中，绝大部分已经开通了信息服务站，但各信息站之间的连接也只是简单地通过地址链接的方式实现，如：“分行天地”和“友情连接”，并没有真正实现系统级的互联，因而形成一个个信息孤岛，信息不能 共

16、享。为了将总行和各分行信息服务站有机地连为一体，在此次信息站系统二期中，将从用户验证体系一体化和信息站应用一体化两个方面来实现信息站系统的 互联。信息服务站用户验证体系的一体化用户验证体系一体化，主要是实现用户在总行和各分行信息服务站的带权限漫游，我行任何一个用户在任何一级信息服务站上都可以享受到应有的信息服 务。按照信息服务站目前的体系架构， 并考虑技术实现的可行性和复杂性， 信息 站二期将采用Domi no目录管理和权限控制建立全行范围内的用户验证体系，将 各分行信息工作站Domi no连成单一网络。完成以上工作，需要将目前我行所有信息服务站网络重新规划，将所有的信息工作站Domi no服

17、务器建立在一个单一的网络域内，网络拓扑为星形结构， 所有服务器共享一个统一的目录服务， 这种方式结构简单清晰，整个系统内用户 唯一，且由于主要服务器系统 Domi no是相互连接的，管理非常容易，可以充分 利用Domi no系统的通讯和复制功能。当然，由于这种方式需要对整个网络做重 新的规划和配置，初期的工作量将较大，可能会对现有的系统造成一定的影响， 但是从长远来看应该是比较可取的一种方案。信息服务站应用一体化信息服务站应用一体化主要是实现各信息站的信息共享，避免各自维护所 造成的信息重复录入或是从外部信息源获取的有偿服务的信息重复的采集和资 金、人力的浪费，避免用户查询远程信息时，过多的占

18、用网络资源。由于目前信息服务站采用 Domino 进行文档信息的处理，因此，同样需要 Domi no的复制技术来实现各信息站的数据共享。信息服务站的数据复制与共享主要有以下两种方式，单点自动分发和多点 自动采集，针对每一种方式可以采取不同的复制策略。单点自动分发方式 将各种静态或者动态的访问量很大、信息量也很大的通用信息在信息服务 站之间进行一对多的复制，在我行表现为总行向各一级分行定时复制信息，如： 各种公用信息与外部资源信息等， 这是一种典型的星形复制， 具体的复制策略是： 确定需要复制的文档在总行Domi no到各分行Domi no的连接文档中加入复制服务 在各级分行建立通用信息数据库的

19、复本 总行通用数据库复制方式为推出不拉入复制 复制的时间设置在午夜访问量最小的时候进行多点自动采集方式 信息从多点采集到一点，然后直接发布或者再自动分发。在我行表现为总 行从各分行信息站采集信息， 汇总后再反馈至各分行。 这里可以有多种实现方法， 应视具体应用而定：对于采集的信息量较少的应用，各分行信息站只要通过远程访问方式直接 访问总站站点，录入信息，总行信息站经过处理后再以适当的形式发布出来即可。而对于信息量较大，录入频繁的应用，为提高访问效率，尽量平衡网络带 宽使用，应通过建立各分行到总行间的复制策略将数据采集上来，经过处理， 再 由总行将处理结果复制回各分行，即先采集，再处理，最后分发

20、。具体的复制策 略如下：在总行Domi no和分行Domi no的连接文档中加入复制服务。 在各级分行建立信息采集数据库的复本和信息发布数据库的复本 总行信息采集数据库复制方式为拉入不推出复制 分行信息发布数据库复制方式为推出不拉入复制复制的时间最好是午夜访问量最小的时候进行3 2 灵活数据查询的技术实现我行信息工作站系统经过一期工程的建设实施，在账务信息和信贷客户信 息的查询分析方面， 现已基本上能够满足一般业务人员的相对固定的报表查询功 能。但是，随着我行业务的不断发展，目前的查询方式已经无法满足高级业务人 员对账务数据的查询要求，这主要表现在：(1) 原有系统比较死板，不能适应高级业务人

21、员对账务数据的灵活多样的 查询方式。(2) OLAP分析的功能很弱，对即席数据信息的多角度深层次的挖掘分析工 作的支持很弱。(3) 原有系统的效率较低。尤其是在访问高峰时段，系统响应很慢。 基于以上的原因，需要重新考虑我行信息工作站数据查询与分析的技术实现，以便满足新的业务要求。在此次信息服务站二期的改造中，灵活报表分析将由成型的第三方统计分析软件来完成， 与通常的数据查询、OLAP分析、报表生成系统类似，系统的实 施主要包括：数据提取加载、报表控制、OLAP分析、网上发布四部分。具体来说，本系统解决方案主要思路描述如下： 将我行相应账务数据库中的相关数据提取并转换到相应的多维Cube 中，开

22、发信息工作站数据查询与其他业务系统如账务系统的数据接口以完成数据 提取及转换、数据整合、数据加载工作。从而进行灵活的、面向主题、连接 异构数据源的BI多维Cube的创建。将提取上来的数据经整合后进行统计、汇总，利用统计汇总工具汇总成我行 所需的报表和相应的图形。可以提供完善的查询、固定报表、自定义报表、 统计分析等功能。可以进行即席数据报表的制作。同时满足用户的各种查询 功能和灵活的报表分发功能。对相应的业务数据使用统计分析工具进行分析、预测，从而为管理决策提供相应的依据。进行在线多维数据分析(OLAP。在分析多维汇总信息的同时， 挖掘深层次的详细信息。同时，通过 WE方式发布数据报表，用户端

23、不需要 嵌入任何组件，可满足我行各级各部门相应用户的同时访问。进行专业的、 各类应用趋势的分析，并自动提供相关分析报告。进行动态、多度量数据视 图操作，以便做出最佳决策。几种常见的BI报表与OLAP分析软件的对比选型目前，国内市场上几种比较常见的 BI （商业智能软件）有Cog nos BO Brio 三家厂商的产品，其他许多国内外的软件公司和机构也开发有自己的报表软件， 但是功能大都比较单一，对灵活报表、即席查询、OLAP分析、报表的网上发布等功能的支持也较弱，产品的成熟性有待进一步提高。评价一个BI软件，主要从OLAP查询分析灵活性、报表灵活性、对 WE商 式的支持、价格、安全访问管理、易

24、用性（包括建模、访问使用、管理等方面的 易用性）、并发访问响应效率等几个角度来考虑。而就我行目前的统计分析需求 以及在可预见的将来的业务功能扩展情况来看， 这三家产品在功能方面都可以满 足我行的需求。所以， 部署实施难易、 价格和性能将是此次软件评价选型中需主 要考虑的三个因素。在部署实施方面，三个系统差别不大，但以 Cog nos最为简单易用，Cog nos 提供了专门的可视化的多维 Cube生成工具，模型建立、数据抽取、加载等都比 较简单，可以很快地根据用户的实际需求部署实施， 而且以后对于可能的需求变 动也能很容易的重新建模。在多用户并发访问响应方面， Brio 的性能略胜一筹，但是差别

25、不大。就我 行的访问量来讲，三者都可以满足。在价格方面，通过调查对比，三家产品的价格差异主要表现在三个方面：（1）计价方式不同，（2）WE支持服务器的价格（ 3）培训维护费用最终的报价如下：Cog nos （含开发管理环境、企业级服务器，25用户Lice nse）:公开报价近 80万元人民币，折扣后报价 25万元人民币。BO（31 用户，含开发环境、企业级服务器） ：公开报价 125.95 万元，折扣报价 78.76 万元而 Brio 的报价则更高。 综合考虑以上性能、功能、价格、易用性等各种因素考虑，建议我行此次采 用 Cognos 产品。3 3 与办公自动化系统进行信息共享的技术实现目前，

26、在我行办公自动化系统中，存放有我行大量的重要文档信息，如： 每日动态、各类发文、制度等，目前，用户仅能通过 Notes 客户端来访问这些信 息，为了便于总行和各级分行员工对办公系统中各类信息的获取， 需要将办公自 动化系统中的重要信息通过信息工作站以 WEB勺形式进行发布。办公自动化系统是基于 Donino/Notes 搭建的，而信息工作站对文档信息的处理也是采用Domi no实现的，因此，为了实现二者的信息共享，同样可以利用Domi no的数据库复制技术来实现，具体的复制策略如下：确定需要复制的文档信息在信息服务站 Domino 到办公自动化系统 Domino 的连接文档中加入复制服 务。在

27、总行信息服务站建立通用信息数据库的复本 总行通用数据库复制方式为拉入不推出复制复制的时间设置在午夜访问量最小的时候进行3 4 信息检索的技术实现全文检索功能可以使我行用户在最短的时间内找到自己最需要的信息和数据，这些信息主要是存放在一个或多个信息服务站上各种文档，除了Domi no数据库的文档外，还应包括 HTML TXT, DOC等多种类型的文本数据。目前，我行 信息服务站只提供了同一类型文档的全文检索功能， 无法满足用户的需要，因此， 为了加强用户对信息的检索功能，需要实现三种级别的信息检索功能： 数据库级的信息检索功能：目前，我行几乎所有的部门都已经建立了部门咨询栏目，存放在Domi n

28、o的不同的数据库中，数据库级别的全文检索功能是在指定的单个或多个Domi no数 据库中检索包含关键字的文档信息。 实现此级别的检索功能， 可以通过建立整个 数据库级别的全文索引来实现。利用该索引可以在信息工作站内部，对某个确定的模块通过 Domino 的全文 检索工具检索存储在 Domino 数据库中的文档数据，甚至可以搜索文档内的附件 信息，只要建立整个数据库级别的全文索引即可。信息站级的信息检索功能信息站级的全文检索是针对整个信息服务站内的全部文档信息 （ .nsf 、.html. 、txt. 、doc 等）或某一类型的文档进行检索。 如果仅仅搜索 Notes 文档数据，则完全可以采用D

29、omi no自带的站点搜索工具来检索整个服务器站点， 但是一个信息工作站中除了具有文档型数据之外， 还有很多其他类型的文档和链 接，要更加全面的检索信息，还需要辅于专门的文本检索工具。 整个信息站体系级的信息检索毫无疑问，整个信息服务站体系的信息肯定纷繁复杂，其数据量会达到一 个很大的级别，在如此海量的信息中，如果仅仅采用Domi no全文搜索引擎将不能很好的满足要求， 因此需要借助于专门的全文检索工具。 用这种专门的全文检 索工具来弥补Domi no全文检索在检索非Domi no文档类型信息方面的弱点，以便 能够检索其他各种不同类型的信息， 并且可以提供非常智能化的检索手段， 全文 检索工具

30、和Domi no全文检索的联合使用，将使用户、维护人员在整个信息站体 系内能够更快速、更准确的查找信息。检索方案的权限分析 无论是对哪种级别的检索，实际上都存在一个权限的问题，如果发布出来 的数据有权限方面的要求， 检索工具应该尽量避免检索到当前用户无权查看的内 容，但有时候这种权限的限制需要牺牲检索的性能来换取。 一方面要求检索的速 度和灵活性，一方面又要考虑页面权限的问题， 这实际上是很困难的。 只有通过 对权限问题更加详细的分析， 将权限至少设置到页面一级才能较好地解决此类问 题。对检索工具的选择 全文检索系统主要用来弥补传统数据库字段检索的不足，它采用特别的索 引技术，以非结构化的文本

31、数据为主要处理对象， 将欲查询的文件资料及资料源， 经过索引产生器的浏览而建立成所谓的索引数据库。 在进行查询时， 系统透过使 用者输入的关键词， 迅速的从索引数据库中找到所需的资料， 并且以一定的方式 显示出来在检索工具的选择上应该重点考虑以下几点： 应具有非常强大的智能检索功能，检索速度快 能够实现和各种关系型数据库和 Domino 数据库的无缝对接 在部署方式上，支持分布式信息处理，允许对网络内每一个站点的多个数据 服务器上的数据库同时检索 可以采用分页方式来显示数据，以提高响应的速度。3 5 信息服务站的流量统计与分析对于我行内部的信息服务站，其服务对象主要是我行内部各级业务管理部 门

32、，如何最大程度地关注和满足用户的需要， 为其提供各种个性化的服务， 使之 能够感到每一次的登录都有所收获， 建立起信息站和用户之间的良好关系， 这也 是这次信息服务站系统二期改造的一项内容。目前，信息工作站的用户日志中记载着丰富的用户信息，通过这些资料可 以统计出各类信息资源的访问次数， 判别出那些资料是所有客户都关心的， 那些 资料只有特定的用户需要， 这种判别和分析应由系统自动分析和人工判别相结合 的方式来完成。要完成这种判别和分析，首先需要建立一套分析的规则，例如：判别一个 用户对某栏目的喜好， 可以根据用户对该栏目的点击次数来判别， 也可以根据用 户在该栏目驻留的时间长短来判别， 因此

33、这种规则的制定要综合考虑各个方面的 因素，既合理可靠同时又便于计算和实施规则指定后，便可以根据这种规则由系统自动来完成各项统计工作，同时， 需要一定的手工干预， 去除一些偶然和用户有意为之的因素， 确保统计结果公正、 合理。统计完成后，统计结果可以以各种形式提交，信息服务站根据统计结果来 不断地改进和完善栏目的内容和设置，更好地为我行各级工作人员服务。3 6 提高信息服务站并发性能的技术实现目前，可以通过信息服务站查询的账务信息包括：行长报表数据，本币、 外币、外币折本币、本外币并账总账数据，政策性房贷总账数据，信用卡指标数 据，金融机构占比查询， 综合统计报表数据以及信贷客户信息数据等。 经

34、过尽三 年的运行过程，随着各种外部条件的不断的变化和限于工作站技术实现手段的局 限性，信息工作站在业务信息查询的性能表现上已越来越无法适应我行业务发展 的需要， 尤其是在大用户量并发访问的效率方面，矛盾尤为突出， 已经成为制约 工作站发展的主要瓶颈之一。并发性能低下的主要原因： 经过认真分析，目前，造成信息工作站并发性能低下的原因主要有以下几 个方面：业务数据量的不断增长： 随着我行业务的快速发展，特别是行长日月报数据 的采集处理以及新会计核算制度的启用， 目前新总账数据量已经远远大于旧 总账系统的数据，而且新总账系统数据量将会迅速增长。加之目前信息工作 站的信息查询仅仅主要集中在账务数据和信

35、贷客户的查询上，今后，随着其 他业务系统数据在工作站上的展现和查询，工作站将不堪重负。 工作站用户数量的不断增长： 为了方便、快速、高效地获取所需的数据，越 来越多的用户希望通过我行工作站来查找所需数据，众多的用户，不断增加 的数据量对系统的并发性和实时性提出更高的要求，如果并发性的要求无法 得到较好的解决，那么，将有可能影响到用户使用工作站的工作效率。 技术实现手段的局限性： 目前，工作站实现数据查询的技术实现方式主要是由Domi no通过代理方式（Age nt）调用ODB（完成对后端数据库INFORMIX勺 连接，提交SQL请求，完成客户端的查询。这种技术方案综合考虑了我行开 发运行平台统

36、一和技术实现勺先进性，从当时来看，不失为一种较好勺解决 方案，但随着业务的发展和技术手段的更新，这种技术实现方式也逐渐暴露 出其各种固有的缺陷，其中有些对于信息工作站的发展来看是比较致命的。 这些缺陷主要表现在：在目前的数据查询方式下，系统通过一个代理（Age nt） 来调用INFORMIX勺ODB（接口，来访问数据库，获得所需的结果数据。一方 面，这种基于DOMINO代理方式来调用 ODB（并不是DOMINO勺特长所在，这 种对结构化的数据处理对于 DOMING在勉为其难，在数据量不大，用户数 不多的情况下，表现尚可，一旦数据量或用户数达到一定程度，不可避免会 引起效率的急剧下降。另一方面，

37、目前系统中，ODBC勺数据库连接方式没有 实现数据库连接缓冲池功能，每一次对数据库的访问请求，都要创建一个数 据库连接对象，而数据库的连接又是在对数据库的访问操作中最为耗时和消 耗资源的操作（每一次的连接都要完成用户身份认证、授权，资源分配和各 种数据库的初始化工作），对于数据库的性能影响极大。通过以上的分析，可以看出，为了有效提高信息工作站的查询性能，必须 有一种机制或产品，一方面，可以与DOMINO!密结合，充分利用DOMINOS活的 权限管理机制和文档管理功能，另一方面，在海量数据和大用户量并发查询的情 况下，能够完全满足对各类结构化业务数据的查询和汇总的性能要求，并充分考虑到今后 业务

38、的不断增长需要。这种 产品就是应用 服务器（Application Server）。Domi no/Applicatio n Server结合方案的构架目前，在信息工作站中，处理的信息有结构化的（如：存储在数据库中的 账务信息），也有非结构化和半结构化的（如新闻、工作动态、日常通用的综合 文档），对于这种多类型信息的处理如果采用单一的信息处理平台，如（ Lotus Domi nc）则无法获得一个有效的解决方法。而将 Application Server和Domi no相结合，在这些方面具有非常大的优势，也完全符合信息工作站和业务系统将结合的发展趋势，因此它已经日益成为国际流行的信息工作站架设的

39、基本框架。在此次我行信息工作站的改造中，我们提出了 Domi no/Applicatio n Server 相结合的方案。其系统构架如下图所示：据）的管理，适合于大数据量的读取、存储、发布、和在线分析处理， 是建立 大量事务处理和数据分析的理想工具。Domino/Application Server 结合方案的优势通过以上分析，可以看出这种 Domino/Application Server 相结合方案具 有以下的优势：结构 化数 据和 非结构化数据的有效管 理， 方案 充分 利用了 Lotus Domi no/Notes R5对非结构化和半结构化数据的强大管理功能，实现了数据在Domi no

40、和In formix数据库的分别管理，大大提高了对数据的存取和查询性能； 工作站查询性能获得显着提高，在此方案中，对业务系统数据的查询是通过 APPSERVE利用JSP技术实现的。借此解决诸如高效响应多用户的大并发访 问，业务需求的多样化和多变性所带来的系统需要不断地扩展和更新等问 题。灵活的权限设置，整个系统的权限管理充分利用了Domi no R5在此方面的优异特性， 实现了工作站内各类栏目权限设置的统一，无论用户访问的是 Domi no数据库或是In formix数据库。统一的全部基于浏览器的客户工作方式， Domino 和 Application Server 均 具有强大的 Web功能

41、，同 时二者之间具有良好的互连能力（在下面的章节 中详细描述）， 因此方案中实现了用户端到管理端的完全浏览器方式， 用 户的统一身份认证和统一界面下 Domi no和Applicati on Server 应用之间的 自由切换；Domino/Application Server 结合方案的关键技术 在此方案下，有两个关键的技术需要解决：第一， Application Server 与 Domi no与 WEBSERVER者之间在结构上的集成；第二，Domi no与Applicati onServer之间的交互的问题，典型地 Application Server 需要从Domi no读取必 要的

42、用户权限信息，以此来获得统一的权限控制。Domino/Application Server/WEB Server 之间的集成在目前的信息工作站技术实现中，采用IIS作为WEBSERVER而Domi no是 作为IIS的插件，通过ISAPI来扩展IIS的功能，实现对Domi no数据库的访问，在此次改造中，为了保证与原有技术体系的兼容性，同样可以采用ISAPI的方式,使Application Server与 WEB SERVE集成，如下图所示：r从上图可以看出，在一个完整的工作流程中:1.客户端向IIS服务器提交操作请求2. DlOm分析客户端的请求操作，如果是对静态、HTML页面1的访问，由I

43、IS直接将客户mino的nsf数据库请求页面返回给客户端，如果是对锂p)0tio处理。广 的访问，则提交给 mi no 处理，如Application Serverservlet/jspservDospino 的访问，则提交给 Application Server丿V3. Domi no 或 Applicatio n Server对请求进行处理。4. IIS将处理结果返回给客户端。Domi no 与 Applicati on Server的信息交互为了实现Domi no与Application Server的统一的权限控制，需要在Domi no与Application Server之间进行一定

44、的信息交互，如下图所示：的访问功能。严jno5.0 中, Dominomno包所提供的)提供了新的f Java编程接口，包名为iotus.dom.ino 类库，Applicatio n Server可以实现客户端应用畀信息工作站的用户在访问pl务数据时即在访问Applicationo$ieirtvorserv|e的servlet/jsp 时，servlet/jsp首先通过 lotus.domi no 包访问 Domino Server 来获取相应的权限信息，Servlet在这相当于一个代理，它通过 Domi no获得客户的权限，再通过 Application Server 访问Informix

45、 数据库，完成客户的请求。动态网页技术的选择在此次工作站的改造中，将选用 JSP技术建立动态查询页面。JSP(Java Server Pages)技术是被设计为一个开放的、可扩展的建立动态WEBS面的标准。 JSP的编程语言使用的是JAVA JAVA作为一种程序设计语言，它简单、面向对 象、不依赖机器结构，具有可移植性、鲁棒性和安全性，并且提供了并发机制， 具有很高的性能。SUN的JSP规范和JAVA样是开放和可移植的，可以使用任 何客户机和服务器平台，在任何地方编写和部署JSP。这使得开发人员可使用JSP 页面来创建可移植的WEB应用，在不同的WE曲艮务器和应用服务器上为不同的场 合运行，而

46、不必关心操作平台的区别。另外在JSP下，代码被编译成Servlet并 由JAVA虚拟机执行，这种编译操作仅在对 JSP页面的第一次请求时发生，这样 就大大提高了服务器的运行速率。Applicati on Server的产品选择目前，在市场上，有多类应用服务器产品可供选择，国外产品主要有IBM的 WEBSPHERBEA的 WEBLOGQ国内产品主要有清华紫光的 WEBFIRS等，上 述产品在性能表现上基本上处于同一档次，但在价格上，国内产品则具有较大的优势，经过有关的比较，在信息服务站中建议采用WEBFIRST相关产品的报价情况如下表所示产品名称每套报价总点数总价优惠后报价WEBFIRST V4

47、.0(RMB)200,00038(RMB)7,600,000(RMB)2,000,000WEBSPHERE.0(USD$)57,40038(USD$)2,181,200(USD$)1,308,720注：上述 WEBSPHERE报价为单CPU勺报价3 . 7信息服务站的安全体系建立我行信息工作站系统运行在我行的企业网网上，相对来说，要承受的可能 的攻击种类和强度要小于运行在公网上的系统。但由于我行信息工作站系统对于 建行工作的重要性，仍需要对其进行有效的安全防护。目前信息服务站面临的主 要攻击方式有：基于口令的攻击、拒绝服务、特洛伊木马、利用扫描器进行弱点 攻击、电子欺骗等。为了实现信息工作站的

48、系统安全，建立防御黑客攻击的安全体系，我们建 议采用入侵检测技术并结合操作系统和数据库的安全设置来建立信息服务站的 安全体系。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发 现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安 全策略行为的技术。违反安全策略的行为有： 入侵一非法用户的违规行为；滥用 用户的违规行为。利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到 限制这些活动，以保护系统的安全。 入侵检测系统的应用， 能使在入侵攻击对系 统发生危害前，检测到入侵攻击， 并利用报警与防护系统驱逐入侵攻击。 在入侵 攻击过程中，能减少入侵攻击所

49、造成的损失。 在被入侵攻击后， 收集入侵攻击的 相关信息，作为防范系统的知识，添加入知识库内，以增强系统的防范能力。网络入侵检测系统（IDS）可以分为基于网络数据包分析的和基于主机的两 种基本方式。简单说， 前者在网络通信中寻找符合网络入侵模版的数据包， 并立 即作出相应反应； 后者在宿主系统审计日志文件中寻找攻击特征， 然后给出统计 分析报告。它们各有优缺点，互相作为补充。基于网络的入侵检测系统基于网络的入侵检测系统使用原始的裸网络包作为源。 利用工作在混杂模式 下的网卡实时监视和分析所有的通过共享式网络的传输。 一旦攻击被检测到， 响 应模块按照配置对攻击做出反应。通常这些反应通常包括发送电子邮件、寻呼、 记录日志、切断网络连接等。他的优势体现在优势：基于网络的 IDS 技术不要求在大量的主机上安装和管理软件，允许在重要的 访问端口检查面向多个网络系统的流量。在一个网段只需要安装一套系统， 则可以监视整个网段的通信。因而花费较低。基于主机的IDS不查看包头，因而会遗漏一些关键信息，而基于网络的IDS检查所有的包头来识别恶意和可疑行为。例如，许多拒绝服务攻击（DoS）只能在它们通过网络传输时检查包头信息才能识别。基于网络IDS的宿主机通常处于比