四川省美术馆信息化建设实施方案深化版

范文范文范文.四川省美术馆数字化信息平台建设设计方案(深化版)单位：四川盛邦润达建筑智能化工程有限公司2012年5月10日.目录1概述................................................41.1项目背景.............................................................41.2设计依据.............................................................51.3参考文件.............................................................51.4关键术语定义与说明...................................................72建设目标与任务.......................................82.1建设目标.............................................................82.2建设任务.............................................................92.3建设原则.............................................................93总体设计...........................................123.1系统总体架构........................................................123.2系统概要描述........................................................134应用系统设计.......................................144.1基于RFID的藏品管理信息系统.........................................144.1.1系统介绍......................................................144.1.2系统功能......................................................164.1.3RFID标签的选择...............................................184.2基于VR的虚拟美术馆系统.............................................194.2.1系统介绍......................................................194.2.2系统功能......................................................204.3美术馆门户网站系统..................................................214.3.1网站功能......................................................214.3.2网站栏目设计..................................................244.3.3网站管理平台（后台）设计......................................254.4协同办公(OA)系统....................................................274.4.1系统介绍....................................................274.4.2系统功能......................................................284.5智能决策分析系统....................................................324.5.1系统介绍......................................................324.5.2系统功能......................................................34网络系统设计.......................................395.1网络系统架构........................................................395.2网络系统功能........................................................405.3网络核心区域........................................................405.4网络接入区域........................................................41安全系统设计.......................................41.6.1安全系统模型........................................................416.2安全系统总体架构....................................................436.3安全技术防护框架....................................................446.4安全管理策略框架....................................................486.5安全措施............................................................536.5.1用户认证与权限管理............................................536.5.2数据备份体系..................................................536.5.3应急响应体系..................................................546.5.4网络安全防护体系..............................................547服务器系统的设计....................................588存储系统的设计......................................599中心机房的设计......................................609.1建设内容............................................................609.2引用标准............................................................619.3机房面积和布局......................................................619.4机房装修............................................................629.5机房供配电系统......................................................649.6机房接地防雷系统....................................................689.7机房环境系统........................................................709.8机房综合布线系统....................................................7110培训方案..........................................7410.1培训目的...........................................................7410.2培训效果...........................................................7410.3培训项目...........................................................7510详细技术指标及预算................................7610.1硬件设备...........................................................7610.2软件产品...........................................................9210.5项目整体预算.......................................................98.1概述1.1项目背景随着现代科技的进步，网络技术的飞速发展，网上信息源迅速增加，网络已成为人们获取信息的重要渠道之一。网络提供的全面信息新颖、快捷，具有其他传播工具所无法比拟的优势。网络不仅信息源丰富，而且各种服务也日渐完善。国际互联网的用户正在迅猛地增长。中国上网用户由1995年的一万户速增至2007年的近1.8亿用户。中国及全世界的上网用户在未来数年还会迅速增加。随着网络文化快速发展，网络已成为传播先进文化的新途径，公共文化服务的新平台，人们精神文化生活的新空间。加强对美术馆数字化信息化建设与管理，推进文明与文化建设相结合，充分发挥数字化信息化在美术馆建设中的重要作用，有利于提高公众的思想道德素质和文化素质，有利于扩大宣传文艺工作的阵地，有利于扩大精神文化的辐射力和感染力。我们应该以积极的态度、创新的精神，大力发展和传播健康向上的网络文化，把美术馆数字化信息化建设好、利用好、管理好，按照发展社会主义先进文化的要求，坚持积极利用、大力发展、科学管理，以先进技术传播先进文化，促进和谐文化建设，更好地满足广大公众日益增长的精神文化需要。四川省美术馆以搜集、收藏近现代优秀美术作品和民间美术作品，并对它们进行研究、保管、保护、陈列展示和宣传推广为主。同.时，四川省美术馆举办短期的各种艺术门类的中外美术作品展览、进行国内外美术交流、建立近现代美术史及美术家艺术档案、编辑出版藏品画集及研究著述并开展相关的学术研讨及交流活动。互联网的迅猛发展给美术馆工作带来新的机遇，同时也带来了新的挑战。因此，四川省美术馆进行信息化建设，从而使美术馆工作跟上信息时代的发展步伐，适应社会经济发展的需要，建立先进、文明的数字美术馆，继续为我国的经济发展增添动力和充分的信息资源。1.2设计依据四川省美术馆数字化信息平台建设设计依据：1、四川省美术馆的具体需求；2、根据四川省美术馆提供的《四川美术馆数字化信息平台建设要求》；1.3参考文件[1]2001年1月《四川省人民政府关于进一步推进全省政府系统信息化建设的通知》（川府发[2001]3号）；[2]标准化工作导则标准编写的基本规定GB1.1；[3]信息处理程序构造及其表示的约定GB/T13502-1992；[4]信息处理系统计算机系统配置图符号及约定GB/T14085-1993；[5]计算机信息系统安全保护等级划分准则GB/T17859-1999；[6]信息技术安全技术信息技术安全性评估准则GB/T.18336-2001；[7]信息技术开放系统互联高层安全模型GB/T17965-2000；[8]信息技术开放系统互联基本参考模型GB/T9387；[9]信息技术开放系统互联应用层结构GB/T17176-1997；[10]信息技术开放系统互联开放系统安全框架GB/T18794；[11]信息技术开放系统互联通用高层安全GB/T18237；[12]建筑与建筑群综合布线系统工程设计规范GB/T50311-2000；[13]建筑与建筑群综合布线系统工程验收规范GB/T50312-2000；[14]计算机软件工程术语GB/T11457-1995；[15]计算机软件产品开发文件编制指南GB/T8567-1988；[16]计算机软件需求说明编制指南GB/T9385-1988；[17]计算机软件配置管理计划规范GB/T12505-1990；[18]软件维护指南GB/T14079-1993；[19]软件文档管理指南GB/T16680-1996；[20]计算机软件质量保证计划规范GB/T12504-1990；[21]数据流程图、程序流程图、系统流程图、程序网络图和系统资源图的文件编制符号及约定GB/T1526-1989；[22]计算机场地通用规范GB/T2887-2000；[23]计算机场地安全要求GB9361-1988；[24]电子计算机机房设计规范GB50174-93；[25]电子计算机机房施工及验收规范SJ/T30003-93；[26]计算机信息系统防雷保安器GA173-98；.[27]建筑设计防火规范GBJ16-87；[28]建筑室内装修防火规范GB50222-95；[29]建筑物防雷设计规范GB50057-94；[30]商业建筑电信接地和接线要求J-STD-607-A；[31]计算机信息系统设备电磁泄漏发射限值GGBB1-1999；[32]计算机信息系统设备电磁泄漏发射测试方法GGBB2-1999；[33]涉及国家秘密的信息系统分级保护技术要求BMB17-2006。1.4关键术语定义与说明[1]信息系统(InformationSystem):基于计算机或计算机网络，按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索和服务的人机系统。[2]互联网（Internet）也称因特网，是将不同地区、不同规模的网络互相联接，以广泛的发布和获取信息。基于互联网的应用有信息查询、电子邮件、网上交易、网络电话、远程主机登录、远程文件传输等。[3]IP地址称作网络协议地址，是分配给主机的一个32位地址，由4个字节组成，包括动态IP地址和静态IP地址两种方式。[4]DNS（DomainNameService），称为域名管理系统，是Internet上解决网上机器命名的一种系统，采用分层管理模式。[5]域名是以文字表达的入网计算机或设备的名字，域名结构包含计.算机主机名、机构名、网络名、最高层域名等项目。各级网络依照DNS命名规则对本网内的计算机命名，并负责完成通讯时域名到IP地址的转换。[6]元数据是“关于数据的数据”，如在传统数据库中的数据字典就是一种元数据。在数据仓库环境下，主要有两种元数据：第一种是为了从操作性环境向数据仓库转化而建立的元数据，包含了所有源数据项名、属性及其在数据仓库中的转化；第二种元数据在数据仓库中是用来和终端用户的多维事务处理模型/前端工具之间建立映射，被称为DSS（决策支持系统）元数据，常用来开发更先进的决策支持工具。[7]数据存储技术数据存储是数据流在加工过程中产生的临时文件或加工过程中需要查找的信息。数据以某种格式记录在计算机内部或外部存储介质上。数据存储要命名，这种命名要反映信息特征的组成含义。[8]网络平台是运营商等部门提供的，使用户进行网络操作和为用户提供网络服务的网络基础设施，是实现现代社会信息化的基础。2建设目标与任务2.1建设目标[9]展现四川省美术馆的特色，为广大公众日益增长的精神文化需求.提供便捷服务的公共文化网络平台。[10]实现美术馆藏品的数字化管理,从而有效地提高美术馆管理的效率、简化美术馆管理的流程、降低管理人员的劳动强度。[11]建立内部办公系统，内部的公文流转、信息发布、核查审批等业务实现了自动化、网络化；以网络为依托，在内部进行畅通的信息交流，实现各个部门在信息共享的基础上进行协作，使各个部门甚至每个员工的责任更加明确。2.2建设任务四川省美术馆数字化信息平台主要建设内容包括应用软件系统建设、网络系统建设、系统安全建设、服务器系统建设、机房建设、综合布线系统建设。2.3建设原则1、统一性为保障和协调系统整体建设的步伐、兼容性及发挥综合效能优势，应遵循"统一规划、统一标准、分级管理"的原则，坚持以点带面、稳中求快地推进美术馆计算机通信网络和数字化信息平台系统建设。网络通信协议、数据标准和各类技术规范必须遵循国际、国内和行业有关的技术标准，能够兼容不同厂家的产品，具有开放性。2、先进性.系统建设要符合当今计算机及通信技术发展潮流，保证系统技术的先进性。采用技术领先且成熟的产品和方案，保证系统的高性能和高效率。3、拓展性系统建设既要充分利用现有资源(包括现有网络、计算机、应用系统及数据)，保护现有的建设投入，避免浪费，同时又要充分考虑今后如何向更新的网络技术过渡，具有可扩充性和可发展性。业务应用系统应不仅能够满足目前业务工作的实际需要，还要充分考虑业务和数据量的增长，使其具有相应的适应性和拓展能力。4、实用性坚持"应用为魂"的指导思想，系统设计应以业务需求为出发点，紧紧围绕美术馆中心工作，力争全面而重点突出。应用过程中坚持以应用带发展，以效益促应用；建设过程应充分利用现有各种系统资源和成功经验，并充分考虑当地实际情况，保证以业务应用和技术可行为前提，选择易于使用和维护的软件和设备。5、经济性在考虑美术馆业务需求和投资规模的基础上，力求节约经费，以达到最佳性能价格比和最优的平衡点。6、可靠性系统应具有备份、冗余等功能，选用高可靠性设备，采用高可靠性技术和备份技术。7、安全保密.系统建设的各个环节都应充分重视网络安全和信息保密工作，切实保障网络安全、系统稳定，信息存贮、交换安全。8、开放性在网络、主机、数据库和软件开发等方面选择基于国际开放标准的系统，保证系统之间的连通性和互操作性，能够兼容不同厂家的产品。9、可管理性系统应具备统一的管理平台，对应用系统提供不同层次的管理手段，便于全方位监控，保证整个系统灵活、稳定和运行可靠。.3总体设计3.1系统总体架构系统总体框架如图表1所示：系统总体结构图如图表，整个系统由应用系统平台、数据库平台、软件平台、硬件平台、网络平台及保障体系（安全保障体系、运行保障体系、技术标准及规范）共同构成。应用系统平台由基于RFID的藏品管理信息系统、基于VR的虚拟.美术馆系统、美术馆门户网站系统、办公自动化系统、智能决策分析系统等组成。它们是最终功能的直接体现，满足了用户的各种需求。数据库平台包括藏品信息数据库、网站信息数据库、三维影像数据库、展览会议数据库、出版物信息数据库、美术家信息数据库，用以满足四川省美术馆数字化信息平台的功能要求。软件平台和硬件平台是系统运行的基础设施。软件平台包括系统软件、数据库软件、应用服务器软件（中间件软件）；硬件平台包括服务器设备、安全设备、网络设备、存储设备。本平台所依托的网络平台主要指互联网和四川省美术馆局域网。建设运营、信息安全、信息标准三大保障体系是系统建设及应用取得成功的重要保障，工程应按照国家及行业规定的信息标准进行建设，并开展建设运营及信息安全体系的建设工作，充分发挥三大体系的保障作用。3.2系统概要描述四川省美术馆数字化信息平台总体架构：五个系统（应用系统、安全系统、服务器系统、网络系统、存储备份系统）、一个数据中心机房的建设。.4应用系统设计应用系统设计包括，基于RFID的藏品管理信息系统、基于VR的虚拟美术馆系统、美术馆门户网站系统、办公自动化系统、智能决策分析系统。系统设计开发、运行环境等要求：1、系统必须采用跨平台的技术架构，能在不同操作系统平台上部署，支持异构环境集成，支持Linux、Unix和MicrosoftWindows操作系统。2、数据库系统：数据库系统建议采用SQLserver2008或以上版本和虚谷DBMS6.0标准版或以上版本。基于RFID的藏品管理信息系统、美术馆门户网站系统、协同办公(OA)系统、智能决策分析系统采用SQLserver2008数据库；由于基于VR的虚拟美术馆系统采用独立部署采用虚谷DBMS6.0数据库。3、中间件：J2EE应用服务器中间件。4.1基于RFID的藏品管理信息系统4.1.1系统介绍RFID射频识别是一种非接触式的自动识别技术，它通过射频信号自动识别目标对象并获取相关数据，识别工作无须人工干预，可工作于各种恶劣环境。RFID技术可识别高速运动物体并可同时识别多个标签，操作快捷方便。.RFID是一种简单的无线系统，只有两个基本器件，该系统用于控制、检测和跟踪物体。系统由一个询问器（或阅读器）和很多应答器（或标签）组成。最近几年，RFID快速而广泛的利用在各方面，其中应用最多的是在物流追踪，图书管理、仓库管理等方面。将RFID用于美术馆艺术品馆藏可谓未来发展的一个重大趋势。RFID可以定时对藏品进行扫描，确定仓库中艺术品的安全性，同时在入馆时对艺术品信息进行采集，与相应标签对应，就能通过RFID扫描设备随时查阅艺术品的相关信息，包括作者、年代等信息读取出来，以便随时查阅，也能通过RIFD进行防盗防伪的查阅，确保艺术品的安全性。.4.1.2系统功能入库登记数据库服务器艺术品工作人员出库登记位置检测加密无线网络Web服务器保养提示查阅基本信息查阅防伪信息业务流程入库登记艺术品在进行仓库时，首先要对艺术品进行标签贴放，并通过扫描枪扫描入库，将该标签与其艺术品的各类信息（包括作者、创作年代、艺术品背景、相关历史、入库时间等信息记录下来）对应起来存入数据库，便于以后随时对艺术品进行查阅。标签由于具有安全加密功能，因此数据在存入数据库之前，需要对艺术品的信息进行加密处理，防止信息的扩散与外流。同时，艺术品在入库时还需要对其摆放位置进行存储，便于以后在需要某幅艺术品时能通过系统有效的查阅.到，进行艺术品的取出。智能检测智能检测设备可以随时对艺术品进行检测。在艺术品入库采集完成之后，随机启动智能检测。智能检测定期对仓库中的艺术品进行一次扫描，扫描标准根据入库时艺术品的位置来确定，如果发现艺术品位置发生变化，即发出暗示警报通知工作人员，赶赴仓库进行艺术品查阅，防止发生意外；如果发现艺术品标签缺失，随之发出安全警报，通知各个部门立即进行封锁，防止不法分子入库盗窃。智能信息查阅系统可以自动对艺术品信息进行查阅。在艺术品入库登记以后，系统即将藏品信息存入数据库。在需要对产品进行校验时，可通过手持设备，扫描读取UHFRFID标签，随即扫描枪通过无线网络，采用web服务方式访问数据库，通过返回扫描到的标签信息从数据库中获取对应的加密信息，并通过对称解密方式将信息解密，显示艺术品的基本信息。系统由于具有加密解密功能，可以有效的进行防伪，赝品所采用的标签则无法从数据库中获取对应信息。同时，工作人员需要通过输入艺术品信息对艺术品所存放的位置和仓库进行查阅，便于随时根据需要取出对应艺术品。保养提醒由于艺术品需要干燥适宜的温度，才能进行长期的保养，因此系统已经随时检测仓库的温度和湿度，如果湿度过大或温度过高，因随时提示工作人员，进行保养处理。同时对于入库时间过长的画册，要.提醒工作人员进行保养，保证画册的清洁与干爽。出库登记如果由于画展或者其他方面的需要，要将艺术品取出仓库，则需要通过扫描枪对画进行扫描，读取相关信息，并将艺术品信息存入临时借调信息中，便于对艺术品的管理，防止流失。同时可以随时提醒工作人员，对外借的艺术品要随时跟踪，防止艺术品丢失。4.1.3RFID标签的选择系统可采用目前国际较为领先的UHFRFID技术。可采用基MAGICSTRAP芯片模块的产品，频率：860-960MHz，这种芯片尺寸在尺寸为1.6×1.2×0.25mm，非常细小，适用于艺术品典藏领域。其薄若纸片的标签上有存储空间，经过加密存储诸如艺术家的姓名、物品描述、成本和销售价等流通信息或者作品笔墨大小、位置、深浅、色彩差异等特征信息。该标签一个特点是UHF的远距离读写，其阅读器不用靠近作品，能在3-5米处自动从标签上读取作品信息，其容量大（长达96位产品编码），体积小，厚度不及70K复印纸，可以无痕迹地装裱进画作中，或者黏贴于画作背面，防伪性能强，加密存储、隐藏安装、专用设备读取，不可复制。读写器具有对标签读、写、灭活的三重口令。标签具有了更好的安全加密功能，保证了在读写器读取信息的过程中不会把数据扩散出去。将此标签用于美术艺术品，可以不拆卸不破坏实现美术作品的管理。.4.2基于VR的虚拟美术馆系统4.2.1系统介绍VR(VirtualReality)简称虚拟现实,它通过虚拟技术，整合图像、声音、动画等，将三维的现实环境、物体等模拟成二维形式表现的虚拟现实，再由数字媒介作为载体传播给人们。当人们通过该媒体浏览、观赏时就如身临其境一般，并且可以选择任一角度，观看任一范围内的场景或选择观看物体的任一角度。虚拟美术馆系统的建设以藏品信息数字化为核心，以虚拟三维美术馆为表现形式。数字虚拟美术馆是一个复杂的分布式海量数据管理系统，它利用当今先进的多媒体和网络技术，将美术作品及相关美术信息资源以数字化的形式存储，形成有组织的数据库和知识库，对外提供高性能的检索服务和浏览、欣赏服务，以数字化的形式实现美术馆的保存、展示、研究和教育功能。数字虚拟美术馆是以实体美术馆为依托，将美术馆馆藏数字化后建成数字虚拟美术馆。数字虚拟美术馆由美术作品数据库、艺术家数据库、美术文献数据库等内容构成。其中，美术作品数据库是数字美术馆的主体和核心。数字虚拟美术馆应该通过360°/6自由度全景照片、3D模型、多媒体等元素，构成一个经济、高效、虚拟效果优秀，并可以通过视频、触摸屏、光盘、互联网（网页浏览器）等各种媒介传播的虚拟现实场景。数字虚拟美术馆的观赏者可以身临其境的、全方位的美术馆的游.览体验。比如：欣赏美术馆的场馆建设、藏品的360度观赏、藏品的多方面（不限于视频、文字、图片，等）详细介绍，观赏者之间的技术交流和评论。数字虚拟美术馆以VR技术为核心创建，它将使观赏者如身处真实世界，在一个三维环境里随意探究美术馆无比丰富的巨大信息资源。每个人都可以从不同的路线进入虚拟世界，和虚拟物体交互，这样控制感受的就不再是计算机，而是观赏者自己，人们可以以习惯的自然方式访问各种场所，在虚拟环境中“直接”交谈和交往。4.2.2系统功能场馆的展示美术馆场馆本身也是一件艺术作品，数字虚拟美术馆应该让观赏者能够身临其境的感受和了解美术馆场馆的建筑风格、建筑样式、布局结构，等相关信息。藏品的展示数字虚拟美术馆应该包括所有的收藏藏品，观赏者可以对所有藏品进行一定比例和精细度的观赏。可以围绕藏品移动视点对藏品进行全方位的观赏。在观赏的过程中，观赏者还可以对藏品的相关内容（如：藏品的作者信息、藏品的创作信息、藏品的历史和藏品的其他.相关信息）进行查询和了解。藏品的介绍观赏者在观赏藏品的时候，可以了解与该藏品相关的其他图片、文字、视频和动画内容，可以对作者的相关情况、藏品的创作经历、藏品的历史等相关信息了解。观赏者之间的交流观赏者在观赏过程中可以和同时在观赏的其他观赏者进行文字（不仅限于文字）的交流和评论。藏品信息应该有动态维护功能管理员可以定时对虚拟藏品进行更新维护，能增加新的藏品，删除过时的藏品。4.3美术馆门户网站系统4.3.1网站功能网站框架可以自由定制用户的耐心是有限的，长期不变的网站结构会引起用户的厌烦心理，所以，网站框架能根据需要随时做修改、定制，另外，如果对已经做好的框架结构不满意，则可以容易地做出相应的调整，而不至于重做整个系统。能满足如下要求：（1）根据需要定制总框架。.（2）各个小框架可以任意调整、修改。功能模块可以任意定制由于现实需求的不断变化，导致新的功能要求出现，或原有的功能需要更新，废止。我们提出能满足如下要求：（1）功能模块可以随时方便快捷地添加。（2）功能模块可以随时方便快捷地修改、更新。（3）功能模块可以随时方便快捷地废除、停止。信息可以动态发布各部门有大量的信息需要发布，如果采用原始的静态发布，则工作量大，修改困难，容易出错。同时，全部由一个部门承担发布任务存在信息发布不及时、内容准确性不易保证等缺点，所以，需要对信息进行动态的处理。我们提出能满足如下要求：（1）新信息能及时、准确地发布。（2）信息能及时、准确地修改、更新、删除。（3）信息能安全、方便地导出、存储。信息发布内容审批信息分散发布就带来内容审核的问题，要对发布的信息进行审查，避免出现不利影响。各部门准备发布的信息都将经过审批后，才能对外发布。角色权限管理丰富，严谨丰富角色权限管理是指针对不同的用户定义不同的权限去浏览或管理网站。这样网站便易于管理，我们把用户分成以下两种情况：（1）普通用户.普通用户是指除系统管理员以外，使用网站的人员。他们拥有浏览网站信息，使用网站提供的功能，查询其感兴趣的信息。（2）网站管理员网站管理员是指负责网站维护，信息发布、网站管理的工作人员。根据需要，我们又把网站管理人员分成编辑员、审核员、管理员，他们拥有不同的权限，负责不同的事务。根据实际情况的变化，我们可以对管理员级次增加或减少。目的是分工明确、权限明确，方便于维护，管理。.4.3.2网站栏目设计首页美术馆介绍藏品展示最新动态最新展览通知公告组织结构历任领导国内藏品国外藏品……大事记出版刊物公共教育学术讲座媒体报道专题栏目艺术家介绍站内调查站内搜索馆长信箱友情链接.4.3.3网站管理平台（后台）设计网站内容管理对网站各个栏目的内容如要闻，信箱，论坛等数据进行管理，主要包括如下几个方面。内容管理的目的是为用户提供一个管理内容的操作平台。依据内容在系统中所处的不同阶段，分为草稿夹、发布夹。（1）内容编辑对网站的内容所需要的文字、图片等资料进行编辑，整理。（2）内容审核对网站的内容进行审核，查看其是否正确，合法，规范。（3）内容发布设置系统管理员可以定期或不定期的维护网站内容，包括内容备份与删除，过期内容的处理，并且能够依据数据库中内容重建网站。（4）内容查询与统计查询功能包括有效内容和过期内容的查询；统计功能根据统计时间间隔的设置绘制各栏目内容数量的直方图。（5）远程发布及管理采用流行的B/S结构，操作地点不受工作地域限制，只要能够上网即可工作。可以异地工作，包括信息发布、页面编辑等等都可以实现远程办公。（6）稿件审批系统对于网站中发布的信息，不同的内容会拥有不同的重要度，如果出现差错也会造成不同程度的影响，所以要对发布的信息进行审核，.并可以对审核的状态进行定制。如不同的栏目需要不同的审批权限，对于政策性较高的栏目，如政策法规等就需要较高的审批权限，而有些重要度不高的栏目可以不要审批。也可以根据实际的工作流程来进行审核权限的分配，如某些信息需要多级领导的审核，就可以将该栏目信息设置成多级审批。本发布系统提供三种审批状态：不需审批一级审批二级审批网站用户管理主要包括角色管理、用户管理、审计。（1）角色管理网站用户权限管理，网站维护是一个繁复的过程，如果一个管理员维护，工作量会很大，所以我们安排了角色管理，分多少级别的用户，各个级别的权限，工作范围，都可以由最高级别管理用户指定，然后，具体体的工作由具有相应权限的管理人员进行管理。比如，我们可以设置四种角色：普通浏览者，编辑员，审核员，管理员。分配各个角色的权限，职责如下表：普通浏览者编辑员审核员管理员网站内容浏览浏览网站网站内容管理内容编辑内容审核内容发布发布设置.查询统计网站管理结构管理模板管理安全管理角色管理用户管理审计（2）用户管理对普通用户、管理人员进行管理，主要包括：增加用户编辑用户：设置口令，修改角色删除用户登入：用户可修改口令登出（3）审计管理员可详细的查看到所有用户的所有操作记录。4.4协同办公(OA)系统4.4.1系统介绍办公自动化(OA－OfficeAutomation)是将现代化办公和计算机网路功能结合起来的一种新型的办公方式，是信息化社会的产物。通过网络，组织机构内部的人员可跨越时间、地点协同工作。通过OA系统所实施的交换式网络应用，使信息的传递更加快捷和方便，从而极大地扩展了办公手段，实现了办公的高效率。应用于四川省美术馆的OA系统是以网络为依托，使馆内的内部.信息交流畅通。在这种模式下，将馆内的组织变为一个大办公室，馆内的各个部门都成为其信息流中的一个环节。依靠这种模式，组织的结构能够得到简化，各个部门在信息共享的基础上进行协作，便于明确各个部门甚至每个员工的责任，而决策层可以迅速综合来自各个方面的信息，并以此为依据制定相应的战略决策。4.4.2系统功能公文管理公文管理系统主要就企业的日常事务进行管理，例如公文管理（包括收文管理，发文管理，文件催办，电子审批，文件归档，文件统计，文件查询）。从而作到日常事务管理工作的制度化，标准化，规范化和网络化，保证办公自动化和工作流自动化。灵活机动地处理日常办公中的一些特殊情况，对这些情况处理的意见及时有效地进行信息反馈。（1）发文管理发文管理是用来实现机关内部文件的计算机全程自动化控制，达到发文计算机化，此应用可进行文件的输入、部门领导审稿、相关处室会签、办公室核稿、领导签发、办公室编号打印等操作。通过本应用可以实现机关内部文件的自动流转、快速批阅和分送传阅。同时记录了各相关审稿、会签、核稿、签发人的修改情况和批示。具备领导签名和批阅迹保留功能。发文办理指以局级机关定制发文的过程，包括：起草、审稿、核.稿、审核、审签、签发、复核、善印、用印、登记、分发等程序。（2）收文管理收文办理指对收到公文的办理过程，包括签收、登记、审核、拟办、批办、传阅、承办、崔办、整理、归档等程工作任务管理工作任务模块实现上级对下级工作任务的安排、下级对任务的提交情况。由于现阶段工作任务安排比较混乱，为了统一规范单位对工作安排的，需要对所有工作安排进行统一管理、调配、查询。尤其是对行政人员的临时任务、不定时的突发性任务进行明文安排和通知，便于行政管理和责任追究。只有直接上级可以对直接下级进行工作安排，同级、越级、不同部门人员均不得进行工作安排。安排工作时需要填写任务工作安排表格，内容包括：1)、任务安排时间：系统将自动记录当前填写表格的日期、时间。即：任务安排时间；2)、任务安排人：任务执行人的直接上级，当系统登录时，用户即为任务安排人；3)、任务执行人：任务安排人的直接下级，由任务安排人指明；4)、任务主题：简明扼要的写出工作任务，10个中文字以内；5)、任务内容：工作任务的具体细节和要求，100个中文字以内；6)、任务预期提交时间：任务安排人确定的计划完成时间；.日常办公管理（1）车辆管理车辆管理子系统包括车辆台帐管理、驾驶员台帐管理、车辆的日常管理和保养、车辆的调度和跟踪、车辆查询和统计等几个部分。其中车辆的调度和跟踪实现用车申请、审核和车队审批以及派车的全过程的电子化管理和跟踪。用户可通过各种条件查询所有车辆的基本情况、使用记录和动向。主要作用是将单位车辆的具体资料保存在本数据库中。利用数据库对车辆进行各种情况的记录，查询，包括：车辆信息、司机信息、维修保养、领用汽油等。（2）办公用品管理办公用品管理实现单位各种办公用品、低值易耗品等的入库、领用和管理，对于控制办公费用、节约开支和加强管理起到积极的作用。系统能自动对库存和各单位的物品使用情况进行统计。用户也可查询物品的库存情况和各单位或个人的领用情况。（3）规章制度管理规章制度纪录了日常工作中经常用到的法规制度条文，也包括了本单位所发布的规章制度等。法信息由管理员（由系统管理员指定）登记和管理，并由系统管理员设定权限，进行维护。.（4）值班管理值班管理系统实现：值班信息（电话、传真、网络）的接收、登记和管理值班重要情况呈报件的编辑、呈批、管理值班信息呈阅件的编辑、呈阅、管理值班日记的登记、处理迟报漏报瞒报登记重大情况处理登记非工作日文件的收发登记值班室文件规章库查询值班信息的查询与统计（5）会议管理会议管理实现机关内部会议的预订、安排、发布、查询、统计等全过程管理，通过计算机和网络实现人员、时间、会议室资源的统一调度。（6）领导日程管理领导日程管理主要反映出领导日常的活动安排，可以根据领导姓名和活动日期进行查询。（7）文档管理.用于处理日常工作中的单位内外部的各种文件，系统提供了在线编辑、显示查看流程、附件上传功能，操作简便。所有用户对文件所做的修改均能以不同版本的形式被保留下来，所做的操作将在日志中被记录。（8）共享管理提供了用户之间的常用文档共享，实现了资源整合，提高了工作效率。此模块实现了用户通过网络上传文件，共享数据库中提交一些有用的信息，如一些常用的文件模板、样表、文档，所有登录的用户都可以在此下载所需要的文档，起到一个内部的资料交换中心的作用。（9）邮件系统管理实现了邮件系统传输功能，支持SMTP(SMTPS),POP3(POP3S)等服务协议。为每个用户分配一个专用邮箱，相关的通知、文件或者其他信息可以通过该系统发布到指定人，可以实现群发操作，也可以单独发送。4.5智能决策分析系统4.5.1系统介绍决策支持系统(DecisionSupportSystem,DSS)是一个融计算机技术、信息技术、人工智能、管理科学、决策科学等学科与技术于一体的技术集成系统。DSS是管理决策科学、运筹学、计算机科学与.人工智能相结合的产物。利用专家系统(ES)技术,预先把专家(决策者)的建模经验整理成计算机表示的知识,组织在知识库中,并用称为推理机的一组程序来模拟决策专家的思维推理,形成一个智能的部件；在经典DSS中需要决策者干预时,就先访问此智能部件,只有当它也无能为力时,才请求人工干预,这样就可以大大提高决策效率并减轻管理决策人员的负担。DSS发展至今大家比较公认的一种为“三部件”结构。它主要由数据部件、模型部件和对话部件组成。具体表现为以下四个系统:(1)数据管理子系统；(2)模型管理子系统；(3)知识管理子系统；(4)对话子系统。决策分析支持系统架构如图3所示：中央数据库其它数据资源数据抽取和转换工具数据建模工具数据仓库数据元数据报表分析数据挖掘决策支持决策支持模块分析工具集数据管理子系统模型管理子系统知识管理管理子系统对话子系统.决策分析支持系统架构决策分析一般分4个步骤，如图2所示：①形成决策问题，包括提出方案和确定目标及其效果量度。②用概率来定量地描述每个方案所产生的各种结局的可能性。③决策者对各种结局的价值定量化,一般用效用来表示,效用可用效用值来定量。效用值是各决策人根据个人的意志和经验及其所处环境条件等因素，对各种结局的价值所作的定量估计。有了效用就能给出偏好。④综合分析和评价各方面信息，以最后决定方案的取舍；有时还要对所取方案作灵敏度分析。图2中示出这4个步骤的相互间关系。4.5.2系统功能决策分析支持系统为用户提供了全面的报表管理平台，为省美术馆数据整合和面向全局的数据分析工作提供了方便，解决了机构内部存在的信息关联和信息共享难题。决策分析系统主要针对省美术馆的各相关业务数据进行挖掘、分析，为省美术馆的发展和各项决策的制定提供数据支持。其所涉及的美术馆业务数据包括：藏品的收藏数据分析：包括古今中外美术作品及与美术有关的实物、资料等数据信息，以及藏品状态、来源等。藏品征集数据分析：包括美术馆通过收购、专题征集、接受捐赠和调拨等方式征集藏品，以及各馆之间经上级部门批准，可以调剂有无，交换藏品的相关数据信息。.美术馆与其它兄弟单位之间的合作数据分析：包括美术馆与其他各类博物馆，美术家协会，美术创作、研究、出版机构、美术院校等兄弟单位之间的业务来往数据信息。美术家及各美术流派资料数据分析：根据艺术档案室相关数据，系统收集、整理、科学管理有关美术家、各美术流派，特别是成绩卓著的老一辈美术家的资料。研究工作数据分析：包括对美术馆开展的美术馆学的研究，美术史论、美术思潮的研究，审美教育的研究，藏品及其作者和收藏对象的研究，展览、陈列艺术的研究和保管、陈列有关的科技研究等相关数据信息的分析。出版刊物数据分析：包括对美术馆编辑、出版馆藏作品选集和图录，出版馆刊、年鉴或有关刊物的数据信息的分析。展览数据分析：包括对美术馆所开展的各陈列、展览数据，以及各馆之间举办的藏品交换陈列等数据信息的分析。交流活动数据分析：包括对美术馆对外艺术交流活动相关数据信息的分析。社会服务数据分析：包括为培养青少年观众对美术的兴趣、爱好、扩大为美术家服务的项目等社会活动的相关数据分析。基于以上数据分析结果，决策分析支持系统平台提供了机构设置、角色管理、用户设定、报表发布、权限设定等基本报表系统功能，还集成了收藏夹、订阅栏、报表搜索、定时推送、邮件通知、系统公告等多层次的辅助功能，方便美术馆报表应用者及决策领导迅速找到.自己需要的数据报表，有效提高业务人员及决策管理工作的效率。资源中心资源中心是决策分析支持系统中用来集中管理所有图表元素（统计图、报表、页面、OLAP等等）的模块，它为分析决策者提供了一个统一的、灵活定制的、易于管理的BI功能访问中心。决策分析系统资源中心功能点：方便的目录管理功能简洁的报表管理功能快捷的查看数据分析报表功能高效的数据填报功能快速搜索快速搜索功能通过对关键字进行模糊匹配，快速定位资源中心和收藏夹内的符合条件的元素，给出搜索结果。用户可以直接对结果报表进行查阅、修改、移至、删除、授权、通用查询、查看用户列表等操作。决策分析系统快速搜索功能点：方便快捷的搜索体验，迅速查找到需要结果名称、描述、参数多种关键字匹配模式直接对搜索结果进行操作，省时高效权限控制权限控制模块采用基于角色进行访问控制，一个用户可以被赋.予多个角色，一个角色同时也可以包含多个用户，方便地实现灵活、细致、方便的权限管理。决策分析系统权限控制功能点：管理系统操作功能权限管理报表及目录的浏览、修改、删除等权限不同角色用户可以使用同一张报表来采集展现不同的数据报表的权限控制可以细化到单元格订阅功能订阅功能能够使用户根据自己的需要从系统中订阅需要的图表。系统以电子邮件或短信的方式，发送到订阅人。决策分析系统订阅功能功能点：支持按时间周期与单次时间点的订阅。订阅任务发出的文件格式支持html、Excel、word、pdf、txt等多种格式。支持电子邮件与短信两种任务发送方式任务类型包括：单次任务、每年任务、半年任务、季度任务、每月任务、每天任务、小时任务、分钟任务。收藏夹收藏夹功能则让每个用户都可以根据自己的喜好，将常用图表添加入收藏夹，从而简化以后的操作过程、提高工作效率。决策分析系统收藏夹功能功能点：.自定义收藏目录，目录支持多级结构。收藏模板，将常用的报表模板单独收藏在特定目录中，方便日常快速查看。收藏结果，将浏览的报表保存为报表结果，存为历史数据以便以后随时查阅。个人首页个人首页是该决策分析平台为系统用户提供的个性化功能之一，它帮助系统使用者缩短常用报表的访问路径，提高关键数据和可视化数据的获取效率。决策分析系统除了上面所述的常用功能外，还可以根据实际需要，定制各应用服务组件来进行平台功能的扩充和完善，各项功能组件既可以独立完成特定的功能，也可以根据省美术馆的需要集成为随需而动的整体解决方案。.5网络系统设计5.1网络系统架构外部网络安全网关PC机PC机PC机上网行为管理设备接入交换机数据库服务器数据库服务器网页防篡改设备藏品管理OA系统决策分析虚拟美术馆存储设备负载均衡设备网络系统结构图.5.2网络系统功能A.具有良好的互通性与兼容性，支持多种网络协议，便于在建系统能与其它网络、现有网络互联；B.网络具有容错能力和故障恢复能力；C.网络系统具有良好的可管理性、可靠性和可扩展能力；D.采用技术成熟、运行稳定的网络产品；E.具有良好的安全性，保证数据传输安全，防止非法用户接触系统；F.统一的网络管理能力；G.系统应该具备互联网和政务专网的访问接口；H.为各节点提供多媒体业务，不同业务之间可动态分配带宽；I.系统规划细致准确，具有良好的可操作性与可升级性。5.3网络核心区域集中处理各业务上传数据的区域就是网络核心区域，作为核心区域应该满足以下性能要求：A.处理所有分支节点对互联网和内网的访问，以及外部公众用户访问美术馆网页B.保证集团内部网络和外部访问边界的安全；C.具备处理包括视频、语音在内的多媒体数据能力；D.具备处理各部门之间的数据共享能力；E.支持服务器访问能力、数据共享能力达到1000Mbps；F.在满足以上处理性能要求基础上，充分考虑现有网络系统设备性.能，采用合理的设备配置。5.4网络接入区域内部局域网的接入网络设备构成网络平台的接入区域。具体功能包括：A.处理终端用户对于网络平台的连接要求；B.支持数据接入能力达到1000bps；C.在满足以上处理性能要求基础上，充分考虑现有网络系统设备性能，采用合理的设备配置。6安全系统设计6.1安全系统模型四川省美术馆数字化信息平台是涉及重要安全的信息系统，其受到破坏后，会对社会秩序、公共利益造成较大损害。针对该项目整体安全要求，其安全等级参照第3级（即监督保护级）进行设计。实现基本安全保护能力将通过选用合适的安全措施或安全控制来保证，在本文件中可以使用的安全措施或安全控制表现为安全基本要求，依据实现方式的不同，信息系统等级保护的安全基本要求分为技术要求和管理要求两大类。技术类安全要求通常与信息系统提供的技术安全机制有关，主要是通过在信息系统中部署软硬件并正确的配置其安全功能来实现；管理类安全要求通常与信息系统中各种角色参与的活动有关，主要是通过控制各种角色的活动，从政策、制度、规范、流程以及记录等方面.做出规定来实现。基本技术要求从物理安全、网络安全、主机系统安全、应用安全和数据安全几个层面提出安全要求；基本管理要求从安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理几个方面提出安全要求。第3级安全保护能力总要求：应具有能够对抗来自大型的、有组织的团体（如一个商业情报组织或犯罪组织等），拥有较为丰富资源（包括人员能力、计算能力等）的威胁源发起的恶意攻击、较为严重的自然灾难（灾难发生的强度较大、持续时间较长、覆盖范围较广（地区性）等）以及其他相当危害程度（内部人员的恶意威胁、设备的较严重故障等）威胁的能力，并在威胁发生后，能够较快恢复绝大部分功能。安全系统建设以技术为支撑，以服务为保障，实行全面的安全管理。系统模型如下：物理层安全技术应用层系统层安全管理安全保障服务其它系统接入.整个系统可分为物理层，系统层和应用层。在每层都采用相应的安全技术手段，通过安全保障服务对各部分进行安全支持。各部分按照统一的安全管理标准建设并接受安全管理。尤其对其它接入的系统在技术上，服务上，安全管理上都要与现有系统安全体系相一致。6.2安全系统总体架构安全技术方面的内容：物理安全：物理位置的选择，物理访问控制，防盗窃和防破坏，防雷击，防火，防水和防潮，防静电，温湿度控制，电力供应，电磁防护。网络安全：结构划分与网段划分，网络访问控制，拨号访问控制，网络安全审计，边界完整性检查，网络入侵防范，恶意代码防范，网络设备防护。主机系统安全：身份鉴别，自主访问控制，强制访问控制，安全审计，系统保护，剩余信息保护，入侵防范，恶意代码防范，资源控制。应用安全：身份鉴别，访问控制，安全审计，剩余信息保护，通信完整性，通信保密性，抗抵赖，软件容错，资源控制，代码安全。数据安全:数据完整性,数据保密性,数据备份和恢复。安全管理方面的内容：安全管理机构：岗位设置，人员配备，授权和审批，沟通和合作，审核和检查。.安全管理制度：管理制度，制定和发布，审定和修订。人员安全管理：人员录用，人员离岗，安全意识教育和培训，第三方人员访问管理。系统建设管理：系统定级，安全方案设计，产品采购，自行软件开发，外包软件开发，工程实施，测试验收，系统交付，安全服务商选择。系统运维管理：环境管理，资产管理，介质管理，设备管理，监控管理，网络安全管理，系统安全管理，恶意代码防范管理，密码管理，变更管理，备份与恢复管理，安全事件处理，应急预案管理。6.3安全技术防护框架安全技术防护框架包括物理安全，网络安全，主机系统安全，应.用安全和数据安全。物理安全物理位置的选择，物理访问控制，防盗窃和防破坏，防雷击，防火，防水和防潮，防静电，温湿度控制，电力供应，电磁防护。物理位置选择放置信息处理设备的楼房或场所的防御带从物理角度应当非常可靠。在通往场所或楼房的通道上还应当配备值班接待台或其它类似机构，确保只有经过授权的人员才能得以靠近通往上述场所的通道。安全防御带内所有的防火门都应安装报警器，并随时处于紧闭状态。物理访问控制监视或禁止来安全区域的访问者。访问者的进入和离开数据及其时间要有记录。来访者只有在有明确经过授权的任务时才允许访问安全区，并要被告知安全区内的安全要求及紧急流程。对敏感信息和信息处理设备的通路进行管制，只有经过授权的人员才得以进入。所有人员都要求佩戴清晰可见的身份辨认标志，并鼓励对未经陪伴陌生人或任何未佩戴标志的人员进行盘问。.对进入安全区域的权限要定期进行审核和更新。设备安全设备座落要做到尽量减少不必要进入工作区的次数。处理敏感数据的信息处理和存储设备的座落要使其在使用时不被遗漏。需要特别保护的物品要分开放置，以节省额外的保护措施。电力供应使设备避免断电或其它供电方面的问题。供电要符合设备制造商对供电的规定和要求。保持供电不中断的措施包括：多条供电线路以防某条供电线路出现故障、UPS、备用发电机等。支持关键运行的设备要特别考虑使用UPS，可保证其能正常关机或持续运转。同时，要制定UPS发生故障时的应急计划。对UPS要定期检查其储电量，并按制造商的指导对其进行测试。备用发电机主要用作应付长时间的断电。如安装了发电机，应当按制造商的要求对其进行定期检测。同时，要储备充足的燃料，确保发电机能长时间地发电。此外，要在设备室的紧急出口处安装紧急电源开关，用作紧急情况下迅速关闭电源。还要安装紧急照明灯以防紧急断电。所有的楼房都要实施照明保护措施，并给所有外部通讯线路安装照明保护滤光器。.传输设备安全性如可能信息处理设备的电源线和通讯线都要铺在地下并提供充足的备用保护措施。防止网络电缆被非法截断或破坏，例如通过安装电缆保护导管或避开公众区等措施。电源线和通讯线要分开铺设，避免互相干扰。对敏感或关键设备，可考虑进一步的管制措施，如：1）在检测或终点端安装装甲防护电缆导管或上锁房间或盒子；2）使用备用路径或传输媒介；3）使用光纤电缆；4）对非法挂置在电缆上的物件进行定期扫除。网络安全网络安全是整个系统安全运行的基础，是保证系统安全运行的关键。网络系统的安全需求包括网络边界安全需求、入侵防御系统与实时监控需求、安全事件的响应和处理需求分析等几方面。这些需求在各个应用系统上的不同组合就要求把网络分成不同的安全层次。该项目中网络层的安全策略采用硬件保护与软件保护，静态防护与动态防护相结合，由外向内多级防护的总体策略。数据安全数据安全根据数据的产生，传输，存储，消亡环节，对数据采用相应的安全保护措施。并根据数据的重要性采用合适的保护手段。确.保数据的完整性，保密性，并做系统数据备份和恢复，保障系统的整体安全要求。数据完整性包括数据产生传输的机制，数据加解密的一致性，备份数据恢复的一致性等。数据保密性根据数据的重要性采用不同的加密技术，硬件加密、加密算法等。数据备份和恢复包括建立本地数据备份机制和异地容灾备份机制等。6.4安全管理策略框架安全管理框架包括安全管理机构，安全管理制度，人员安全管理，系统建设管理，系统运维管理。安全管理机构建立信息系统安全组织的基本要求：信息安全组织应当由单位安全负责人领导，绝对不能隶属于计算机运行或计算机应用部门。该安全组织是本单位的常设工作职能机构，其具体工作应当由专门的安全负责人负责，安全组织的成员类型主要有：硬件、软件、系统分析、人事、保卫等本单位应用业务，以及其他所需要的业务技术专家等人员。该组织一般有着双重的组织联系：接受当地公安机关计算机安全监察部门的管理、指导，以及与本业务系统上下级安全.管理工作联系。安全组织的基本标准：由主管领导负责的逐级计算机安全防范责任制，各级的职责划分明确，并能有效地开展工作。明确计算机使用部门或岗位的安全责任制。有专职或兼职的安全员，各部门或机构应确立计算机委员会、安全组织等逐级的安全管理机制，安全组织人员构成要合理，并能切实发挥职能作用。有健全的安全管理规章制度。按照国家有关法律法规的规定，建立、完善各项计算机安全管理规章制度，并落到实处。在职工中普及安全知识，提高信息安全意识，对重点岗位的职工进行专门的培训和考核，持证上岗。定期进行计算机信息系统风险分析，并对信息安全实行等级保护制度，本着保障安全、有利于工作和节约的原则，制定安全政策。在实体安全、信息安全、运行安全和网络安全等方面采取必要的安全措施。对本部门计算机信息系统安全保护工作有档案记录和应急计划。严格执行计算机信息系统案件上报制度，对信息系统安全隐患能及时发现并及时采取整改措施。对信息系统安全保护工作定期总结评比，奖惩严明。.安全管理至少有九个主要环节：领导重视，组织落实，采取等级保护体制，责任分解明确并落实到人，具体措施到位，各类安全管理制度健全，建立安全技术保障，周到细致的信心安全工作，严格周详的审计应急计划。安全职能包括以下内容：1.安全管理机构负责与信息安全有关的规划、建设、投资、人事、安全政策、资源利用和事故处理等方面的决策和实施。2.系统安全管理机构应根据安全需求建立各自信息系统的安全策略、安全目标。3.根据国家信息安全管理部门的有关法律、制度、规范建立和健全有关的实施细则，并负责贯彻实施。4.负责与信息安全主管机关、技术保卫机构建立日常工作关系。5.参与本单位及其下属单位的计算机信息系统的规划、设计、引进、改建、研究、开发等安全管理工作。6.建立和健全本系统的系统安全操作规程、制度。7.确定信息安全各岗位人员的职责和权限，建立岗位责任制。审议并通过安全规划，年度安全报告，有关安全的宣传、教育、培训计划。8.对已证实的重大的安全违规、违纪事件及泄密事件进行处理，对情节严重的追究其法律责任。9.对计算机信息安全工作表现优秀的给予表彰。10.认真执行计算机安全时间报告制度，定期向当地安全机关计.算机安全检查部门报告本单位信息安全保护管理情况。11.各种各样的防护措施均离不开人的掌握和控制，因此系统的安全最终是由人来控制的。安全离不开人员的审查、控制和管理，要通过制定、执行和实施各种管理制度及各种安全保护条例来实现。因而在安全组织中人员职能划分尤为重要。安全管理制度安全管理制度包括管理制度，制定和发布，审定和修订。在政府主管部门的管理指导下，由与系统有关的各方面的专家，定期或适时进行风险分析，根据本单位的实际情况和需要，确定计算机信息系统的安全等级管理总体目标，提出相应的对策并监督实施，使得工程的应用发展建设，能够与计算机安全保护工作同步前进。人员安全管理人员安全管理包括人员录用，人员离岗，安全意识教育和培训，第三方人员访问管理。人员安全审查安全管理的核心是管好有关计算机业务人员的思想素质、职业道德和业务素质。人员安全审查从几方面考虑：从人员的安全意识、法律意识、安全技能等方面进行审查。岗位安全考核.安全部门要定期组织对信息系统所有的工作人员业务及品质两方面进行考核。对指导思想、业务水平、工作表现、遵守安全规程等方面进行考核。对于考核中发现有违反安全法规行为的人员或发现不适于接触信息系统的人员要及时调离岗位，不应让其在接触系统。制定各岗位的考核制度，定期对不同岗位的人员进行考核，从政治思想、保密观念、业务技术的考核等方面。应定期对系统所有工作人员从思想业务水平、工作表现等方面进行考核，对不适于接触信息系统的人员要适时调离。人员安全培训在系统中，人通过接收各种信息、在规定的条件下做出决策、指导和控制，使各个环节协调一致，保证系统的正常运行。然而，人受到自身生理和心理因素的影响，此外还受到技术熟练程度、责任心和品德等素质方面的影响。因此，人员的教育、培养、训练以及合理的人机界面都与网络的安全相关。系统运维管理系统运维管理内容包括环境管理，资产管理，介质管理，设备管理，监控管理，网络安全管理，系统安全管理，恶意代码防范管理，密码管理，变更管理，备份与恢复管理，安全事件处理，应急预案管理等内容。系统运行管理严格按照国家信息系统等级标准规定管理环境、资产、介质、设备等物理硬件管理。对系统运行的管理制订明确的工作手册和规章制度。制订网络管.理规定，密码管理规定，系统备份和恢复制度，安全事件处理制度，应急预案制度等完善的制度，保障整个安全系统规范、稳定的运行。对于系统中事件的修改、变更和作废严格按照安全管理制度执行。6.5安全措施6.5.1用户认证与权限管理信息安全访问授权信息安全访问权限分为系统权限和应用权限。系统权限用于系统文件及相关信息的访问控制，包括读取、新建、修改、删除等；应用权限用于内容及相关信息的访问控制，可根据业务逻辑灵活定义。用户管理服务用户管理服务负责完成用户、角色的管理维护及用户安全访问授权。系统把每个用户、角色都作为对象处理，为每个对象指定相应的安全文件，在安全文件中描述用户、角色对该对象拥有的权限。安全管理服务用户在访问信息系统数据、查询信息、进行系统功能操作时一定要经过安全审核。系统把每个信息、每个数据访问、每项系统功能操作都作为对象处理，为每个对象指定相应的安全文件，在安全文件中描述用户、角色对该对象拥有的权限。6.5.2数据备份体系建立网络自动化数据备份体系，保证系统数据丢失后可以自动恢.复，同时对资源中心的所有关键性服务系统进行备份，确保在系统发生意外时可快速裸机恢复系统，缩短宕机时间。6.5.3应急响应体系制定安全事件响应流程，在发生安全事件后，系统维护人员按照工作流程进行紧急事件处理。6.5.4网络安全防护体系6.5.4.1防火墙在相关部门的各网络节点的出入口处和局域网内部不同安全域之间布置防火墙设备。具体地，Internet到公共信息服务应用区之间、业务相关单位到相关单位资源区的网络边界、安全应用支撑服务区与内部业务网间部署防火墙，实现不同安全域之间的逻辑隔离、访问控制及审计。对于纵向业务专网采用主备线路和路由器的冗余设计的，在边界防火墙配置上也相应地采用主备方式。防火墙主要利用IP和TCP包的头信息对进出被保护网络的IP包信息进行过滤，根据在其上配置的安全策略来控制（允许、拒绝、监测）出入网络的信息流。同时实现网络地址转换（NAT）、审计和实时报警功能。通过防火墙的包过滤，实现基于地址的粗粒度访问控制，通过口令认证对用户身份进行鉴别，实现基于用户的细粒度的访问控制。（1）防火墙工作模式.防火墙主要工作在交换和路由两种模式下：①对于交换模式：3个接口构成一个以太网交换机，本身没有IP地址，在IP层透明。可以将任意三个物理网络连接起来构成一个互通的物理网络。②路由模式：防火墙本身构成3个网络间的路由器，3个接口分别具有不同的IP地址。三个网络中的主机通过该路由进行通信，因此就防火墙系统的配置而言，可以根据实际的网络情况和实际的安全需要来配置工作模式。当防火墙工作在交换模式时，内网、DMZ区和路由器的内部端口构成一个统一的交换式物理子网，内网和DMZ区还可以有自己的第二级路由器，这种模式不需要改变原有的网络拓扑结构和各主机和设备的网络设置；当防火墙工作在路由模式时，可以作为三个区之间的路由器，同时提供内网到外网、DMZ到外网的网络地址转换，也就是说，内网和DMZ都可以使用保留地址，内网用户通过地址转换访问Internet。内部网、DMZ区通过反向地址转换对Internet提供服务。如对于Internet到公共信息服务应用区之间和网络边界的防火墙配置成路由模式。6.5.4.2入侵防护系统入侵监测系统基于网络和系统的实时安全监控，运行于敏感数据需要保护的网络上，对来自内部和外部的非法入侵行为做到及时响应、告警和记录日志，可弥补防火墙的不足。入侵监测系统通过实时监听网络数据流，识别、记录入侵和破坏.性代码流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问尝试时，网络信息安全检测系统预警系统能够根据系统安全策略作出反应。入侵监测报警日志的功能时通过对所有对网络系统有可能造成危害的数据流进行报警和响应，作为受到网络攻击的主要证据。入侵监测系统主要安装在易受到攻击的服务器或防火墙附近，对于数据中心局域网络，在防火墙和内部网主干交换机附近部署入侵监测系统，以检测关键部位的数据流，防范非法访问行为，对非法网络行为的审计、监控及安全监控，并实现与防火墙的联动进行动态防护。即在业务专网的各网络边界的防火墙内，Internet到公共信息服务应用区的边界防火墙外，以及内部业务局域网主干交换机重要服务器网段的监控端口部署入侵监测系统，以监控网络出入口和重要服务器进行访问的数据流，并对攻击行为作出响应。入侵监测系统由控制中心和探测引擎（网络、主机）组成，控制中心作为入侵监测系统的管理和配置工具，可以编辑