中国科学院软件研究所电子政务应用系统的构建

1、目 录TOC o 1-31概述 PAGEREF _Toc519332379 h 211 背背景 PAGEREF _Toc519332380 h 212 系系统目标 PAGEREF _Toc519332381 h 213 应应用需求 PAGEREF _Toc519332382 h 32电子政政务系统总总体解决方方案 PAGEREF _Toc519332383 h 421 总总体框架 PAGEREF _Toc519332384 h 422 多多层隔离结结构的网络络解决方案案 PAGEREF _Toc519332385 h 423 电电子政务系系统的安全全风险分析析与对策 PAGEREF _Toc5

2、19332386 h 524 面面向电子政政务系统的的应用领域域框架 PAGEREF _Toc519332387 h 63中国科科学院软件件研究所万万里红电子子政务平台台 PAGEREF _Toc519332388 h 731 万万里红电子子政务平台台 v 11.0 PAGEREF _Toc519332389 h 73111 综述 PAGEREF _Toc519332390 h 73122 安全体体系 PAGEREF _Toc519332391 h 73133 网络、系统层 PAGEREF _Toc519332392 h 83144 数据访访问层 PAGEREF _Toc519332393 h

3、 93155 信息交交换层 PAGEREF _Toc519332394 h 103166 应用层层 PAGEREF _Toc519332395 h 1232 关关键平台部部件 PAGEREF _Toc519332396 h 133211 安全支支撑平台 PAGEREF _Toc519332397 h 133222 自主操操作系统 PAGEREF _Toc519332398 h 153233 WEBB应用服务务器 PAGEREF _Toc519332399 h 163244 分布数数据资源访访问173255 消息队队列 PAGEREF _Toc519332401 h 183266 多语种种中文平

4、台台 PAGEREF _Toc519332402 h 1833 应应用实例 PAGEREF _Toc519332403 h 193311 政府（某某国家部委委政务信息息系统） PAGEREF _Toc519332404 h 193322 行业（邮邮政综合管管理系统） PAGEREF _Toc519332405 h 204电子政政务应用系系统的构建建 PAGEREF _Toc519332406 h 2141 电电子政务系系统的建设设策略 PAGEREF _Toc519332407 h 2142 应应用体系与与技术体系系 PAGEREF _Toc519332408 h 2143 先先进性与技技术自

5、主性性的关系 PAGEREF _Toc519332409 h 2244 建建设电子政政务系统的的规范 PAGEREF _Toc519332410 h 221概述11背景景政府的信息息化建设是是国民经济济信息化建建设的重要要组成部分分。随着技技术进步的的加快，尤尤其是国际际互联网的的出现和迅迅速发展，一一个全球性性的信息社社会正在逐逐步形成，推推进政府部部门政务工工作的自动动化、网络络化、电子子化，已是是大势所趋趋。联合国国经济社会会事务部把把推进发展展中国家政政府信息化化作为近几几年的工作作重点，目目的是通过过信息技术术的应用改改进政府组组织，重组组公共管理理，最终实实现办公自自动化和信信息资

6、源的的共享。在在世界各国国积极倡导导的“信息高速速公路”的五个领领域中，“电子政府府”被列在第第一位，可可见政府信信息化是社社会信息化化的基础。在这方面面，一些发发达国家已已先行一步步。近年来来，欧美日日等发达国国家为提高高国际竞争争优势，相相继推出国国家信息基基础建设，并并规划网络络构建“电子政府府”，作为提提高政府效效率及为公公众服务的的重点，建建立一个反反映人民需需求为导向向的政府，以以更有效率率的行政流流程，为人人民提供更更广泛、更更便捷、更更友好的信信息和服务务。 在在我国，政政府部门的的管理观念念也在逐步步发生变化化，其职能能正从管理理型转向管管理服务型型，如何更更好地发挥挥政府部

7、门门宏观管理理、综合协协调的职能能，如何更更加有效地地向公众提提供服务，提高工作效率、打破信息盲区、加强廉政建设已成为当前各级政府部门普遍关注和亟待解决的问题。国家“十五”计划纲要要求“政府行政管理要积极运用数字化、网络化技术，加快信息化进程”。各级政府、行政管理部门都面临着利用信息技术推动政务工作科学化、高效率的新局面。如何选择、运用一套有效的电子政务平台、如何培养一支高素质的政务队伍，已提到各级政府、行政部门的议事日程中。中国科学学院软件研研究所积十十余年为政政府、各行行业实施信信息化的经经验，结合合信息技术术发展的最最新成果，推推出新一代代电子政务务解决方案案 中国国科学院软软件研究所所

8、万里红电电子政务平平台。该平平台符合现现行的政务务标准，是是一个安全全性高、可可用性强、跨地区、跨部门、跨平台的的协同工作作通用系统统，并可根根据实际需需求快速定定制应用系系统。12系统统目标 中中国科学院院软件研究究所万里红红电子政务务平台采用用先进的网网络及软件件技术，支支持中国电电子政务系系统的快速速开发、灵灵活部署和和高效安全全运行，可可以实现政政府内部、政府部门门之间以及及面向社会会的信息共共享、业务务联动、科科学决策。平台遵照照中国政府府信息系统统建设的相相关规定，针针对中国国国情和政府府信息化建建设的现状状，基于统统一的安全全策略，能能够集成各各类政务信信息管理系系统、业务务信息

9、管理理系统和辅辅助办公系系统，并提提供高效、安全、完完备的综合合电子政务务应用体系系的构造方方案。13应用用需求根据当前我我国各级、各类政府府机构及管管理部门的的工作特点点，电子政政务系统的的应用需求求主要包括括以下几类类：第一类，政政府部门面面向社会提提供的应用用服务及信信息发布，包包括：基于政府互互联网网站站的信息发发布及查询询。面向全社会会的各类信信访、建议议、反馈及及数据收集集和统计系系统。面向全社会会的各类项项目计划的的申报、申申请。相关文件、法规的发发布及查询询。各类公用服服务性业务务的信息发发布和实施施，如工商商管理、税税务管理、保险管理理等。第二类，政政府部门之之间的应用用，包

10、括：从中央政府府到地方各各级政府间间的公文信信息审核、传递系统统。从中央政府府到地方各各级政府间间的多媒体体信息应用用平台，主主要包括：视频会议议、多媒体体数据交换换等。同级政府之之间的公文文传递、信信息交换。第三类，政政府部门内内部的各类类应用系统统，包括：政府内部的的公文流转转、审核、处理系统统。政府内部的的各类专项项业务管理理系统，例例如：各类类计划管理理、项目管管理、经费费管理、人人事管理等等。政府内部的的各类事务务管理系统统，例如：日程安全全、会议管管理、机关关事务管理理等。政府内部的的面向不同同管理层的的统计、分分析系统。第四类，涉涉及政府部部门内部的的各类核心心数据的应应用系统，

11、包包括：机要、秘密密文件及相相关管理系系统。领导事务管管理系统，包包括：日程程安排，个个人信息等等。涉及重大事事件的决策策分析、决决策处理系系统。涉及国家重重大事务的的数据分析析、处理系系统。2电子政政务系统总总体解决方方案21 总总体框架面向电子政务的安全体系协同工作、决策支持业务管理系统政务应用系统应用层面向政务工作的领域应用框架信息交换层跨平台的消息通信、事件管理、流程控制等数据访问、转换、提取、过滤、综合数据访问层数据资源信息、服务发布网内部安全网核心安全网网络、系统层软硬件基础设施图 SEQ 图 * ARAABIC 1 电子政政务系统总总体框架网络、系统统层：提供供电子政务务系统网络

12、络通信和系系统服务，包包括面向核核心应用的的安全操作作系统，以以及符合国国家信息安安全、应用用系统建设设的相关政政策法规的的多层隔离离网络系统统。数据访问层层：集成各各类数据资资源、提供供跨平台异异构分布数数据资源访访问及处理理服务。信息交换层层：支持跨跨平台应用用集成的解解决方案，同同时提出适适应中国电电子政务特特色，面向向中国政务务信息及相相关数据的的共享和交交换标准。 应用层层：基于构构件技术构构造面向政政务信息系系统的应用用领域框架架，提供快快速构建、部署政务务应用系统统的方案。22 多多层隔离结结构的网络络解决方案案根据国家有有关管理部部门对政务务信息系统统的建设要要求和国家家相关安

13、全全保密规定定。电子政政务系统的的网络构造造应基于所所承载的信信息和应用用系统的密密级、安全全级别分为为多层，并并采用适当当的物理隔隔离。图2 多层隔离的电子政务系统网络结构示意图第一层，与与互联网连连通，面向向社会提供供的一般应应用服务及及信息发布布，包括各各类公开信信息和一般般的、非敏敏感的社会会服务。例例如：基于于政府互联联网网站的的信息发布布及查询；面向全社社会的各类类信访、建建议、反馈馈及数据收收集和统计计系统；面面向全社会会的各类计计划、项目目的申报、申请；各各类公共服服务性业务务的信息发发布和实施施（如工商商管理、税税务管理、保险管理理等）。第二层，政政府部门内内部、以及及部门之

14、间间的各类非非公开应用用系统，其其中所涉及及的各类信信息应在政政务专网上上传输。主主要包括各各类公文、一般涉密密数据以及及政府部门门之间的各各类交换信信息，这些些信息必须须依据政府府内部的各各类管理权权限传输，防防止来自内内部或外部部的非法入入侵。例如如：政府内内部的公文文流转、审审核、处理理系统；政政府内部的的各类专项项业务管理理系统；政政府内部的的各类事务务管理系统统等。第三层，政政府部门内内部的各类类关键业务务管理系统统及核心数数据应用系系统，包括括：机要、秘密文件件及相关管管理系统；领导事务务管理系统统；涉及各各类重大事事件的决策策分析、决决策处理系系统；涉及及国家重大大事务的数数据分

15、析、处理系统统等。这些些信息和应应用系统往往往关系到到国家重大大事务和机机密，必须须严格在物物理隔离的的网络中运运行，其中中的操作系系统应尽量量采用自主主安全操作作系统。各层网络应应采取隔离离措施，必必需的数据据转接应采采用安全数数据网关，并并确保不存存在信息泄泄漏的可能能性。23 电电子政务系系统的安全全风险分析析与对策由于电子政政务系统服服务发布层层、内部安安全应用层层、核心安安全应用层层等网络之之间存在着着信息资源源、服务对对象、数据据通信方式式等方面的的不同，因因此，这三三类政府信信息网络所所面临的安安全风险也也有一定差差异。应用层次安全风险安全对策信息及服务务发布层WWW信息息篡改、

16、删删除、替换换动态内容监监控和自动动更新，确确保信息的的完整性和和准确性。服务响应缓缓慢或拒绝绝服务实时入侵检检测、系统统监控，及及时发现入入侵事件，阻阻断攻击通通道。信息泄露访问控制以以及信道加加密、通信信内容加密密。内部应用层层信息泄露对内部网络络信息资源源进行严格格的密级划划分；建立立统一的用用户授权机机制；建立立统一的高高强度的网网络传输加加密通道和和网络数据据包的加密密机制数据被篡改改、删除、替换建立统一的的网络资源源访问控制制规则；建建立完善的的网络监测测和审计机机制。数据在应用用系统中被被篡改、删删除、替换换建立各个应应用系统内内部的访问问控制规则则；建立完完善的业务务流程监测测

17、和审计机机制计算机病毒毒建立覆盖整整个网络的的动态计算算机病毒监监测、预防防机制。核心应用层层信息泄露对内部网络络信息资源源进行严格格的密级划划分；建立立统一的用用户授权机机制；建立立统一的高高强度的网网络传输加加密通道和和网络数据据包的加密密机制数据被篡改改、删除、替换建立统一的的网络资源源访问控制制规则；建建立完善的的网络监测测和审计机机制。计算机病毒毒建立覆盖整整个网络的的动态计算算机病毒监监测、预防防机制。24 面面向电子政政务系统的的应用领域域框架针对各类政政务应用领领域（如政政务信息应应用领域、政府计划划及项目管管理领域、政府资源源管理领域域、政府事事务管理领领域及各类类政府业务务

18、管理领域域），建立立相应的应应用领域框框架。主要要包括：（1）相应领域的应用软件系统结构。框架定义了应用的结构，反映领域的业务模型。框架可以对用户透明地更换其结构，以适应新的软、硬件环境，从而能够保证复杂系统开发的更高层的代码和设计复用；（2）通用标准构件。框架提供相应领域的标准通用构件和构件层次结构，具有很强的可塑性，如果用户不喜欢子系统的某一部分，可以简单地替换之。（3）构件相互作用和连接机制。框架提供该框架内构件的连接和相互作用机制，包括与外部构件的相互作用。（4）框架的服务接口。为了同其他框架或系统集成，框架提供服务接口API，这些API是其所提供的服务的抽象，它们位于框架的顶层。（5

19、）工具。框架提供相应的组合构造工具和管理维护工具等。3中国科科学院软件件研究所万万里红电子子政务平台台3 1万万里红电子子政务平台台 v1.03111综述电子政务系系统的实施施涉及多类类计算机软软硬件技术术及网络通通信技术，在在实施过程程中如何解解决以下环环节成为电电子政务建建设的技术术重点：应用模块的的快速开发发和灵活部部署对异构数据据资源和异异构操作系系统的支持持对分布式应应用的支持持系统各层次次的标准化化对建立统一一安全体系系的支持日志分析自动预警系统攻击检测其他应用系统安全策略管理分析 监控系统WEB监控、保护身份认证、访问控制应用支撑平台数字证书应用管理系统端到端的加密模块网络防火墙

20、， IP信道加密模块链路加密模块中国科学院院软件研究究所针对上上述技术环环节构造了了万里红电电子政务平平台。该平平台由多类类支撑部件件构成，这这些支撑部部件既可组组成一个完完整的应用用体系支撑撑平台，又又可以根据据各类政务务信息系统统的实际应应用情况作作为独立的的功能部件件单独应用用。3122安全体系系图3 万里红电子政务平台的安全体系万里红电子子政务平台台的安全体体系是在对对电子政务务系统各层层次的安全全风险充分分分析的基基础上，结结合成熟、先进的安安全技术所所构建的。其主要功功能模块包包括：位于数据链链路层及网网络层的信信道加密及及管理模块块网络防火墙墙、访问代代理、攻击击检测等模模块数字

21、证书应应用管理系系统身份认证、访问控制制应用支撑撑平台系统监控、日志分析析、系统管管理模块WEB监控控和在线保保护模块3133 网络、系统层电子政务系系统系统层层软件主要要包括操作作系统、数数据库管理理系统和基基本网络协协议实现等等。万里红红电子政务务平台支持持多种操作作系统，并并可根据应应用需求各各类集成自自主操作系系统。这些些操作系统统包括服务务器操作系系统、桌面面操作系统统以及可应应用于核心心应用的安安全操作系系统。安全操作系系统主要通通过增强的的身份标识识与验证、细化的自自主访问控控制、特权权用户职责责划分、强强制访问控控制、审计计跟踪、以以及安全管管理等方面面措施增强强对基本安安全功

22、能的的支持。图4 系统层增强的安全性能3144 数据访访问层1数据的的提取、转转换和集成成将多个异构构数据源中中的数据集集成到一个个统一的数数据中心(数据仓库库)中，是是一个复杂杂的过程。该过程在在元数据的的监控下，历历经数据提提取、净化化、转换、集成以及及加载/刷刷新等五个个步骤。如如图所示。元数据提取净化转换提取净化转换加载/刷新数据中心/数据仓库数据源集成图5 数据据集成过程程2数据传传送工具发送向导发送服务器ODBC接口日志RDB接收向导接收接口接收服务器ODBC接口日志RDB发送接口图6 数据传送工具数据传送工工具为异构构数据源之之间提供可可基于消息息通信/FFtp/EEmaill的

23、、传送送双方彼此此独立的、用户界面面友好的数数据传送功功能。数据传送工工具主要由由发送向导导、发送服服务器、接接收向导、接收服务务器和传输输接口等部部分组成。发送向导导、发送服服务器和发发送接口构构成了源数数据导出端端，与此类类似，接收收向导、接接收服务器器和接收接接口构成了了目的数据据导入端。3异构数数据访问系系统异构数据访访问系统是是一个分布布数据资源源访问中间间件，其目目标是使应应用系统能能够统一、透明、高高效地访问问和操纵位位于局域网网、Inttraneet或Inteernett环境中的的各种分布布、异构的的数据资源源，使应用用系统能够够方便地管管理和访问问位于不同同硬件平台台、操作系

24、系统、网络络协议和数数据管理系系统中的数数据。App.DataClientMOM etc.MOM etc.DataServerDataAccessfor OracleSQL ServerDataAccessfor OracleDataAccessfor Oracle. .SybaseOracle OtherDB Internet /Intranet 图7 异构数据访问系统3155 信息交交换层1跨平台台的信息交交换考虑到政务务系统本身身的特点，其其应用系统统的集成应应该采取一一种通用的的松散耦合合的交互模模式。在这这种模式下下，各个应应用在保持持原有工作作方式和条条件的同时时，能够进进行可靠的

25、的数据和业业务逻辑的的交流，它它的应用开开发和维护护工作要相相对简单。面向消息息的中间件件(Messsagee-Oriienteed Miiddleewaree)能够很很好地满足足上述要求求。 应用A消息队列接口应用B消息队列接口队列二队列一队列管理器队列管理器网络环境基于消息队队列的应用用集成如图图所示。分分布在网络络结点上的的应用使用用消息队列列进行通信信，应用程程序A通过过消息队列列接口将消消息放入队队列，而应应用B则从从队列中取取出消息。A和B可可以在同一一机器上，也也可分布在在不同的机机器上，且且它们的运运行相互独独立。基于于消息队列列的跨平台台信息交换换具有以下下优点：提提供可靠的

26、的信息传送送(单次可可达、故障障恢复)；通信软件件可以在不不同时刻运运行(松散散耦合)；可支持复复杂的分布布式软件结结构；在应应用系统开开发中可以以避免复杂杂的网络通通信和故障障恢复代码码。图8 采用MOM的应用集成2政务数数据交换中中心政务数据交交换中心基基于XMLL技术，实实现文档的的接收、转转换、转发发和管理，屏屏蔽各政府府部门之间间的通信方方式和数据据格式的差差异。它一一方面在政政府部门之之间充当一一个中介，使使具有不同同通信方式式和不同格格式信息的的政府部门门之间可以以方便地进进行交流，另另一方面，它它提供一个个文档管理理机制，以以XML格式式集中存放放进行政务务活动的各各种文档。政

27、务数据交交换中心主主要分为通通信接口层层、文档转转换层和文文档管理层层三个部分分。通信接口层层负责与FFTP sserveer、Maill serrver、EDI servver和Fax servver的连连接，定期期地通过FFTP接口口、Maiil接口、EDI接口口和Faxx接口检查查各服务器器，获取各各服务器中中的文档，进进行识别分分类后送入入相应的输输入消息处处理队列中中；同时检检查输出消消息队列，对对获取到的的消息进行行处理，从从消息中得得到发送的的方式和地地址，通过过相应的接接口发送出出去。文档转换层层负责将接接收到的各各种类型文文档（包括括EDI、关系数据据库数据、文本文件件和其它

28、格格式的XMML文档等等）统一转转换为XMML格式，并并保存于文文档管理系系统中，同同时根据请请求将XMML文档转转换为其它它格式。文档管理系系统负责对对所有的XXML文档档进行存储储和管理，并并在此基础础上提供文文档的查询询、检索和和其它服务务。通信接口层EDI MessageXMLFax/Email/TextRDB DataXML文档管理系统EDITranslatorXMLTagger/DecoderRDBWrapperFTP接口Email接口Fax接口EDI接口XMLMapping文档转换层文档管理层XML图9 政务数据交换中心3166 应用层层1政务信信息应用管管理领域（1）、公公文管

29、理：收文管理理、发文管管理、数据据交换、在在线交流、文档管理理等。（2）、报报表输出管管理：设计计器报告管管理、聚合合表管理，分分析器文件件处理、操操作处理等等。（3）、统统计决策管管理：数据据挖掘、统计分析析、预测分析、决策模型型管理等。（4）、信信息发布：信息收集集、信息过过滤、信息息审核、信信息加工等等。（5）、信信息服务：信访管理理、人大建建议、信息息反馈管理理等2政府计计划及项目目管理领域域（1）、计计划管理：计划建议议、计划立立项、经费费管理、实实施管理、计划检查查、计划调调整、计划划总结、审审计、考核核等。（2）、项项目管理：项目范围围管理、进进度管理、费用管理理、质量管管理、人

30、力力资源管理理、风险管管理、采购购管理等。3政府资资源管理领领域（1）、人人事管理：TOC o 1-3代码维护护、信息维维护、查询询统计、统统计分析、工资管理理等。（2）、财财务管理（财财务会计/管理会计计）：总账账、应收款款管理、应应付款管理理、报账中中心、固定定资产、预预算管理、成本管理理、资金管管理等。4政府事事务管理领领域资产管理、行政管理理、后勤管管理、安全全事务管理理等。5政府业业务管理领领域工商、税务务、财政、海关、司司法、邮政政等。32 关关键平台部部件3211 安全支支撑平台安全支撑平平台由两部部分构成，其其中部分产产品已覆盖盖22个国国家部委机机关、311个省级政政府。1网

31、络层层及应用层层的安全产产品集以中国科学学院软件研研究所ERRCISTT防火墙为为核心，应应用ERCCIST攻攻击检测系系统、ERRCISTT弱点扫描描系统、EERCISST网络安安全监视器器等辅助安安全工具可可以有效地地监控、保保护电子政政务系统各各层网络内内部的安全全。ERCISST（安胜胜）防火墙墙是网络安安全系统的的组合套件件，由包过过滤路由器器、代理服服务器以及及虚拟专用用网VPNN三部分组组成。完成成的功能还还包括地址址转换、安安全审计等等。为保护护防火墙自自身的安全全，在防火火墙的底座座架构上采采用安全操操作系统，在在使用中加加强认证、加密传输输等安全措措施。根据据安全需求求和投

32、资情情况，提供供多种版本本，使这些些功能在各各自独立的的设备中单单独或配合合使用，也也可组合在在一个设备备中使用。 ERCISST（安胜胜）防火墙墙可以有效效地隔离内内外网络的的直接连接接，限制内内外网之间间信息的流流入和流出出，隐蔽内内部网的组组成情况，对对访问的用用户进行身身份识别，并并防止源路路由的攻击击，IP地地址欺骗攻攻击，R命命令攻击， 拒绝服务务攻击，同同时能自动动发现类似似ISS进进行的扫描描，提出安安全警告，进进行安全的的远程数据据传送，同同时提供日日志审计和和报警功能能。图10 网网络安全系系统结构ERCISST（安胜胜）防火墙墙已通过公公安部计算算机信息安安全系统安安全产

33、品质质量监督检检验中心的的检验，取取得了公安安部的销售售许可证（证证书编号：XKC3330044），也经经过了国家家信息安全全认证中心心的检测认认证，产品品型号证书书为19999TYPP006，系系统中所用用密码算法法经国家密密码管理委委员会的审审核批准（国国密办发11998年年53号文文），并列列入科技部部国家科技技成果重点点推广项目目（编号为为：9900302226A）。 ERCISST检测系系统由多个个功能模块块组成，对对Intrranett系统中各各个目标系系统进行全全面和综合合性的测试试，找出目目标系统在在系统自身身内和在网网络上可能能面临的安安全性威胁胁，指出其其中的漏洞洞和问题，

34、以以及可能遭遭受各种安安全性攻击击的薄弱环环节，提醒醒安全管理理员重新设设置系统安安全的策略略。系统采用可可插型附件件的新型体体系结构，用用户可自行行地进行功功能扩展，即即用户可以以把开发单单位最新发发布的网络络或系统探探测工具（通通过在销售售单位购买买或从万维维网(Woorld Widee Webb）上直接接下载)，方便地地集成到已已有的系统统版本中。对于攻击击和反攻击击技术手段段日新月异异的信息安安全行业而而言，这是是保证软件件具有实用用性和可扩扩充性的重重要一环。安全检测系系统已通过过了公安部部计算机信信息安全系系统安全产产品质量监监督检验中中心的检验验，获得公公安部销售售许可（证证书编

35、号：XKC3310088）。2数字证证书管理应应用支撑平平台基于PKII/CA技技术而研制制的数字证证书管理应应用支撑平平台可以有有效的解决决电子政务务应用系统统中信息的的保密性、信息的完完整性、身身份认证与与访问授权权、以及抗抗抵赖的问问题。数字字证书管理理应用支撑撑平台G_Trusst由G_RAA、G_MNNG、G_CAA三部分组组成，并可可据此构建建出易扩展展的、高度度安全的公公钥基础设设施（PKKI）应用用支撑平台台。G_RA类类似一个注注册机构（Registration Authority, RA）,可用于为电子政务系统提供多样性的认证服务。其特点包括：1）政府部门内部的独立证书注册

36、系统；2）使用政府内部数据来自动鉴别证书用户；3）与发证中心相联系签发证书。通过G_RRA，政府府各级别部部门均能自自主地负责责对它的各各类基本成成员、相关关用户的证证书申请进进行审批，负负责证书的的管理以及及证书的废废除。通过过G_RAA还可以为为设备（如如VPN）和和Web服务务器发放证证书。 G_RAA所处理的的证书包括括以下几类类： 个体用户证证书（专用用或公用个个人证书） 安全服务器器证书（公公用40 bit服服务器证书书） 全球服务器器证书（公公用1288 bitt服务器证证书） IPSecc证书（专专用IPSSec证书书）服务中心GG_MNGG可以提供供类似发证证中心的服服务，并

37、提提供针对特特定应用系系统、特定定用户群的的PKI服务务。服务中中心支持各各类证书及及G_RAA的本地注注册，并通通过发证中中心签发证证书。在必必要的时候候，服务中中心可升级级为发证中中心。服务务中心的这这种模式降降低了认证证中心初期期建设费用用和时间。发证中心GG_CA不不但提供了了面向客户户的证书服服务(如G_RRA认证服服务的注册册申请、操操作等)，而且还还提供了这这些服务的的后台的处处理功能。发证中心心是一个完完整的认证证中心，它它为G_RRA和G_MNG提提供核心的的后台支持持。3222自主操作作系统在计算机系系统中，从从最底端的的硬件层到到最顶端的的应用软件件层，各个个层次都必必须

38、采取相相应的安全全措施，这这些安全措措施构成了了系统的整整体安全体体系，其中中极其重要要的一个环环节就是操操作系统的的安全性。在电子政政务系统的的实际开发发、构建过过程中，应应根据具体体运行环境境、安全级级别，分别别采用不同同类别的自自主操作系系统。在一般的应应用环境中中，除使用用其他主流流操作系统统外，还可可选择使用用中国科学学院软件研研究所红旗旗LINUUX SEERVERR 或红旗旗LINUUX DEESKTOOP，以及及中国科学学院软件研研究所Peenguiin 644 LINNUX。这这些操作系系统均能满满足电子政政务系统中中各类应用用系统的基基本需求。对安全性要要求较高的的关键业务

39、务系统应采采用安全操操作系统。中国科学学院软件研研究所安胜胜安全操作作系统（SSecLiinux）是是参照美国国国防部可信计算算机系统评评测准则B2级安全全需求和我我国新颁布布的计算算机信息系系统安全保保护等级划划分准则，结合我我国国情和和实际需求求，自行开开发的高级级别安全操操作系统，并并通过国家家信息安全全测评认证证中心认证证，同时获获得公安部部的销售许许可（证书书编号：XXKC300095），此此系统为数数据库的安安全、以及及网络设备备，如网络络服务器、网络加密密设备的安安全和网络络中心设备备的安全管管理提供坚坚实的底座座，可防止止饶过安全全设备而进进行的攻击击，为应用用软件的运运行提供

40、可可靠的环境境。3233 WEBB应用服务务器WebFrrame是是中国科学学院软件研研究所设计计和开发的的Web应应用服务器器框架，作作为一种中中间件产品品，能够提提供系统安安全服务、历史记录录和计费、WWW数据据发布服务务以及连接接管理等服服务。基于于这些服务务，可以快快速开发高高性能的WWeb应用用。WebbFramme具有以以下基本功功能：1）系统安安全：控制制用户对应应用服务器器及其上的的信息资源源的访问；2）历史记记录和计费费：对应用服服务器提供供的服务进进行访问记记录，从而而可对用户户访问资源源进行收费费并进行系系统审计；3）数据发发布服务：将数据的的产生和结结果的显示示分离开，

41、提提高Webb数据发布布的效率和和简易性；4）连接管管理：通过过连接管理理解决HTTTP无状状态协议所所带来的问问题，同时时通过连接接池管理WWeb应用用服务器与与其他应用用服务器之之间的连接接，提高系系统的吞吐吐量。http浏览器WWW服务器WebFrame网络数据库服务器1ODBC，JDBC等数据库服务器2其他服务器WebFrrame应应用服务器器的网络结结构如图所所示。其中中WWW服服务器和客客户浏览器器之间采用用httpp协议进行行通讯；WWebFrrame和和WWW服服务器既可可位于同一一台机器上上，也可位位于不同的的机器上，可可以根据系系统的负载载情况进行行相应的调调整；WeebF

42、raame和数数据库服务务器之间通通过ODBBC或其他他接口进行行通讯；WWWW服务务器和数据据库服务器器一般位于于不同的机机器上。通通过服务注注册，WeebFraame还可可以请求其其他服务器器所提供的的服务。图11 WebFrame应用服务器的网络结构图 WWebFrrame具具有以下特特点：基于于Sesssion的的管理；完完善的会话话管理功能能；支持快快速开发；运行效率率高；提供供界面友好好的服务管管理器；有有效的负载载平衡；良良好的可扩扩展性；支支持历史记记录和计费费等。3244分布数据据资源访问问中国科学院院软件研究究所数据访访问中间件件产品DaataAcccesss提供分布布数据

43、的位位置透明和和平台透明明性，使应应用系统能能够统一、高效的对对各种分布布数据资源源进行访问问和管理。SybaseOracleAccessInternet/IntranetInternet/IntranetODBCApplicationDataAccessODBC DriverActiveX controlDataAccessOLE DB ProviderApplet/JavaBeansDataAccessJDBC DriverDataAccessServerDataAAccesss由DaataAcccesss客户端驱驱动器、DDataAAccesss服务器器和若干个个局部数据据源组成。应用程

44、序序（ODBBC Apppliccatioons、Appllet/JJavaBBeanss、ActiiveX等等）向DaataAcccesss客户端驱驱动器发出出数据访问问请求，客客户端驱动动器对请求求进行简单单的分析处处理，对于于那些可以以由客户端端处理的请请求，由客客户端直接接返回处理理结果，对对于那些必必须由服务务器处理的的访问请求求，客户端端通过底层层通信系统统将请求信信息发给DDataAAccesss服务器器。DattaAcccess服服务器接收收到请求后后，进行分分析处理并并访问局部部数据源或或全局数据据字典，处处理结果再再经客户端端驱动器返返回给应用用程序。图12 DataaAc

45、ceess 应应用体系DataAAccesss客户端端驱动器包包括ODBBC驱动器器、JDBBC驱动器器、OLEE DB驱驱动器、底底层通讯系系统和加密密/压缩等等功能模块块。DattaAcccess服服务器包括括数据请求求代理、全全局查询处处理、全局局模式管理理、系统配配置管理、用户管理理、连接管管理、DBB Gattewayy、底层通通讯系统、加密/压压缩和全局局数据字典典等功能模模块。DaataAcccess提供基于于标准的访访问接口，包包括ODBBC、JDBCC和OLE DB。系系统管理工工具负责对对全局数据据模式、用用户和用户户组等信息息进行配置置和管理，并并包括其他他提供给DDat

46、aAAccesss系统管管理员的管管理维护工工具。DataAAccesss具有以以下特点：提供灵活活的多层数数据访问结结构；简化化客户端管管理，实现现瘦客户体体系；提供供基于标准准的数据访访问接口；支持各种种关系型数数据资源；支持全局局模式和全全局查询操操作；支持持快速应用用程序开发发；能够实实现高效率率的访问；具有完善善和灵活的的用户管理理、身份认认证等安全全控制机制制；提供简简捷的图形形管理界面面；适用于于多类主流流系统平台台。3255消息队列列ISMQ 是中国科科学院软件件研究所设设计和开发发的一种面面向分布式式应用的消消息队列中中间件产品品，它通过过消息队列列为分布式式应用提供供了一种

47、可可靠的信息息交换的机机制，能够够为各类应应用程序提提供一种通通用的松散散耦合的交交互模式。在这种模模式下，各各个应用在在保持原有有工作方式式和条件的的同时，能能够进行可可靠的数据据和业务逻逻辑的交流流。目前IISMQ已已经在国家家科技文献献服务网、中国石化化成品油销销售系统等等大型应用用系统中获获得成功的的应用。在ISMQQ系统中，应应用程序之之间交流的的信息单位位是消息。它分为两两个部分：消息描述述头和消息息内容。消消息描述头头给出了消消息的标识识、消息的的系统属性性和目的队队列等，而而消息内容容则是由应应用程序定定义的数据据流。ISSMQ在消消息的存储储和发送、接收过程程中对消息息内容不

48、做做任何处理理。消息队队列是消息息存放的缓缓冲。消息息按一定的的次序在消消息队列中中排队。在每个提供供消息队列列服务的IISMQ节节点上由消消息队列管管理器负责责消息队列列的管理以以及消息的的发送和接接收，不同同的消息队队列管理器器之间可以以通过底层层的网络平平台进行消消息交换。基于ISSMQ的应应用程序可可以通过消消息队列接接口(ISMQQ APII Librrary)与消息队队列管理器器通信，完完成消息的的发送和接接收。ISMQ具具有以下特特点：提供供端端(ppeer-to-ppeer)的消息通通讯功能；消息发送送单次可达达；能够提提供多种消消息缓存机机制；基于于分页的消消息队列存存储结构

49、；支持消息息操作的事事务特性；提供消息息队列访问问的同步、异步接口口；支持单单向和双向向通讯以及及应用服务务请求的并并发处理；支持订阅阅发布服务务，有效降降低网络流流量负载；提供简洁洁API编编程接口支支持；支持持主流操作作系统平台台；提供完完善的监控控工具。3266多语种中中文平台图13 多语种中中文平台中国科学院院软件研究究所多语种种中文平台台充分考虑虑了系统的的兼容性和和可扩展性性，不仅能能够处理CCJK基本本字符集，而而且能够有有效处理EExtennsionn A、Exteensioon B的的字符集，同同时能够有有效处理各各少数民族族语言；克克服大字符符集处理对对系统资源源的庞大需需

50、求；并能能提供方便便、快捷的的智能输入入方法；提提供高精度度大字符集集字型输出出。主要特特点如下：提供多通道道智能化超超大字符集集汉字输入入技术，方方便普通用用户使用； 克服超大字字符集处理理过程对计计算机系统统资源的过过分消耗；针对服务器器、桌面、嵌入式等等不同应用用领域的中中文平台实实现技术；自动进行汉汉字编码和和汉语术语语的自动智智能转换，实实现世界各各地不同华华人之间的的无障碍汉汉语信息交交流；支持少数民民族语言处处理。系统统不仅能够够处理大字字符集汉字字信息，同同时能够有有效处理各各少数民族族语言，并并进行相关关处理、应应用。33应用用实例3311政府（某某部委政务务信息系统统）某部

51、的电子子政务建设设工作始于于早期的办办公自动化化系统的建建设，直至至19922年以前一一直局限于于单机管理理的水平。随着计算算机技术及及网络通信信设施的发发展，于11993年年建成部办办公大楼局局域网络系系统，19995年底底联通国际际互联网。19999年在国家家有关管理理部门的的的统一安排排和部署下下完成政务务信息专网网连接和相相关应用系系统的建设设。在整个应用用体系中，各各类应用系系统的建设设时间跨度度较大、应应用目的不不一致，涉涉及多种开开发及应用用平台以及及异构数据据资源。为为了保证该该部电子政政务信息系系统建设的的整体性、先进性，适适应政府工工作改革的的需要，需需要依据新新的建设规规

52、范，利用用当前先进进的计算机机及通信技技术，整合合原有的政政务信息管管理系统，构构建新型的的电子政务务应用。在系统建设设中，首先先根据实际际应用情况况，重新构构建了网络络分层，并并根据相关关部门的要要求对不同同网络分层层采取了隔隔离措施。针对整个政政务应用体体系中各类类数据及应应用系统的的密级和安安全风险，重重新设置、构建了防防火墙、IIDS、系系统安全监监控环节。同时基于于部内实际际组织结构构和应用管管理特点构构建了基于于PKI技技术的数字字证书分发发、管理及及技术支撑撑平台。对于各类异异构数据资资源，基于于数据中间间件和消息息中间件构构建了统一一的数据交交换中心，满满足了在统统一安全框框架

53、内的数数据资源访访问控制和和共享。目前该系统统包括四个个子系统：安全管理平平台：包括括人员、机机构管理及及权限设置置；文件、档案管理理及权限设设置、网络络安全管理理；公文流转平平台：包括括部内各类类发文、办办文的流转转和审批，以以及面向政政务专网的的公文信息息申报、传传达。信息发布平平台：包括括对外信息息发布、对对内信息发发布、会议议管理、文文件资料查查询等。业务管理平平台：包括括部分计划划管理系统统、项目管管理系统。3322行业（邮邮政综合管管理系统）在邮政综合合管理系统统中，利用用各类公网网及邮政专专网传送数数据，实现现了邮局业业务管理的的计算机处处理。其中中包括速递递管理系统统、报刊发发

54、行系统、支局营业业系统和邮邮政综合业业务系统等等。目前该该系统基本本覆盖了邮邮政业务管管理全部流流程，包括括速递、支支局营业、邮政综合合、报刊业业务、内部部业务处理理、分发投投递、零售售处理、档档案和信息息管理等。 该系统已已在北京市市邮政局、上海市邮邮政局推广广应用，并并基于上海海市邮政计计算机网络络系统建立立了综合业业务管理应应用体系，实实现了全系系统从全市市信息中心心到72个支局局和下属营营业所的配配置管理、性能管理理、故障管管理、安全全管理、计计费管理应应用子系统统与数据库库管理、统统计分析管管理、用户户管理和系系统维护管管理等全套套功能。此系统在开开发过程中中所制定的的一系列规规范已

55、成为为制定全国国邮政网建建设规范的的重要依据据。所开发发的上海邮邮政综合业业务数据通通信与管理理系统已被被列为全国国邮政综合合网中的样样板工程。 4电子政政务应用系系统的构建建41 电电子政务系系统的建设设策略目前很多政政府部门、企事业单单位都在进进行着自己己的信息化化建设，这这些信息化化建设综合合到一起有有力地促进进了信息化化社会的发发展。电子子政务系统统作为整个个信息社会会的重要组组成部分，它它的最终目目标和内容容都依赖于于全社会信信息化的发发展，而整整个社会信信息化发展展的层次和和环节在目目前都难以以确定。故故此电子政政务系统的的最终目标标和详细内内容也是很很难确定的的。例如，公公文的流

56、程程，各类申申报、申请请系统的评评估、决策策模型等，这这些事务本本身都是不不断变化的的，很难在在一定时期期内明确下下来。实际际上，电子子政务系统统要管理的的内容、达达到的效果果及运行后后的状态等等涉及的内内容相当广广泛。任何何电子政务务系统的规规划者都难难以通过调调研、分析析完全确定定所有内涵涵。电子政政务系统的的建设和一一般信息系系统的一个个重要区别别就是难以以在规划、设计、开开发、实施施前完全确确定系统详详细目标和和内容，也也难以通过过一个详尽尽的设计去去简单的、全方位的的组织和控控制电子政政务系统的的建设。因因此，简单单的采用一一般信息系系统的建设设方式是无无法建设电电子政务系系统的。

57、电电子政务系系统的建设设是一个随随着社会发发展和政府府功能转变变而持续进进行的过程程，在建设设电子政务务系统的过过程中，应应以建设关关键支撑体体系为核心心，以建设设各个应用用功能系统统为阶段目目标，在长长期的建设设过程逐渐渐与其他各各个分立的的政务系统统及各类信信息化支撑撑体系融合合并最终形形成比较完完整政务体体系。42 应应用体系与与技术体系系作为一个复复杂的信息息系统，电电子政务系系统是和信信息技术密密切相关的的。近年来来，信息技技术发展十十分迅速，各各类新标准准、新技术术不断出现现。故此，在在构建电子子政务系统统时必须处处理好应用用体系与技技术体系的的关系。所谓应用体体系就是在在电子政务务系统运转转过程中由由各级管理理者和使用用者所构成成的管理体体系以及其其中的各类类工作模型型和处理流流程，应用用体系实际际上也是推推动整个电电子政务系系统正常运运转并发挥挥效能的动动力源泉。而技术体体系则是实实现电子政政务系统的的手段和依依据，其中中包含实现现电子政务务系统所必必须的各类类网络系统统、计算机机软硬件系系统、各类类协议和接接口标准等等。分析以往各各类应用系系统的应用用实施过程程可以看出出，人们往往往错误地地认为只要要采用最先先进的设备备和技术实实现手段就就能成功地地实施一个个信息系统统，但从长长期应用效效果来看，基基于这些观观点所建