项目技术优势

项目技术优势①良好的效率开放语言含有与生俱来的执行高效率特性，同时在系统设计之初就把效率作为一种重要指标。②人性化设计系统采用“胖客户端”(RichClient)技术，在减轻服务器压力的同时，达成良好的顾客体验。在操作上极力符合顾客使用习惯，提供菜单、快捷键、右键和拖拽等多个操作方式，满足不同使用习惯的顾客；在布局上划分成不同的区域，并且对重要操作区域均可全屏操作，即简洁又实用。对于顾客近来操作的功效，系统会智能保存，减少顾客的重复操作提高效率。③统一身份认证基于PKI技术的统一登录及统一身份认证系统，将各信息资源或系统集成为一种有机的整体，实现统一的内联网、外联网及移动办公身份认证识别及安全登录服务，最后以一种统一登录认证门户界面予以呈现。④扩展性强设计良好的代码允许更多的功效在必要时能够被插入到适宜的位置中，即预留下将来需要的功效接口。同时，能够通过软件框架来实现：动态加载的插件、顶端有抽象接口的层级设计的类层次构造、有用的回调函数构造以及功效很有逻辑并且可塑性很强的代码构造。⑤开放的接口业务系统分层设计,将多个功效按照分类，分别封装在不同的库中，提供开放的API调用接口，加之系统底层虚拟机的平台开放性，系统各模块或外部系统能够很容易的与本系统进行无缝整合。本平台建设项目构建时着重考虑下列因素：采用三层体系构造；必须确保系统含有高可用性，即容错能力;系统应当含有负载均衡能力;系统应当能够实现数据的集中存储和备份;系统必须含有在线扩展能力，涉及存储能力和解决能力;必须考虑数据业务的安全问题。A.系统分层设计概要业务系统分层示意图体现层体现层重要负责数据展示，重要是WebServer。WebServer负责接受顾客请求，根据请求类型将请求转发给应用服务器，同时将应用服务器解决的成果返回给顾客中间件层中间层隔离了客户直接对数据服务器的访问，保护了数据库的安全。中间层完毕业务逻辑，实现客户与数据库对话的桥梁。同时，在这一层中，还应实现分布式管理、负载均衡、Fail/Recover、安全隔离等。在中间件层布署多台应用服务器，通过集群方式提供客户访问速度。后端数据层后端数据层是数据库系统和数据集中存储系统。数据集中存储实现了多个数据集中在一种数据存储设备当中，多台服务器同时读写并确保数据一致性。它含有很高的带宽，比传统的SCSI设备含有更强的数据传输能力；数据库数据解决并行化，在后端数据层，大部分服务器将会逐步由传统的单机应用模式转化为并行解决模式，由原来单机四个或八个CPU承当任务逐步演变成为多台机器多个CPU同时承当解决任务，实现并行解决。后端数据层还含有数据存储和解决的无限扩展能力，集中存储能够实现扩展，由于它把数据集中存储在一种存储设备群中，只要把存储设备进行叠加，就能够实现存储能力的线性增加。数据库通过并行解决技术，不停增加服务器节点的数量，就能够实现解决能力的线性增加。B.分层设计重要特点和优势多层分布式体系重要含有以下特点：安全性：中间层隔离了客户直接对数据服务器的访问，保护了数据库的安全；稳定性：对于规定24*7工作的业务系统，多层分布式体系提供了更可靠的稳定性：a.中间层缓冲Client与数据库的实际连接，使数据库的实际连接数量远不大于Client应用数量。固然，连接数越少，我们的数据库系统就越稳定。b.Fail/Recover机制能够在一台服务器当机的状况下，透明地把客户端工作转移到其它含有同样业务功效的服务上。易维护：由于业务逻辑在中间服务器，当业务规则变化后，客户端程序基本不做改动；快速响应：通过负载均衡以及中间层缓存数据能力，能够提高对客户端的响应速度；系统扩展灵活：基于多层分布体系，当业务增大时，能够在中间层布署更多的应用服务器，提高对客户端的响应，而全部变化对客户端透明。⑥高度的可伸缩性除基础功效外，其它模块均采用“即插即用”方式设计，动态加载动态删除，增加系统灵活性同时利于释放无用资源，提高系统的响应速度。⑦良好的可移植性系统采用平台无关性的语言开发，因此与具体的操作系统无关，能够轻松移植到其它操作系统下运行，方便运用现有资源及与现有系统集成。同时，系统在设计上综合考虑不同服务器特性、不同客户系统及浏览器等因素，在充足发挥各系统性能的同时，达成一致的顾客体验。4、项目安全系统（1）授权体系和数据安全:实现信息的保密性、完整性和一致性、身份的真实性和不可抵赖性，确保网上信息流的正常进行。①认证安全性为避免顾客信息被非法窃取，本系统采用SNCA-PKI-CA认证安全支撑平台遵照国家密码管理局颁发的《证书认证系统密码及有关安全技术规范》，同时兼容国际国内其它有关安全原则，结合安全产品和安全服务，以应用系统安全开发、应用系统信息安全布署、应用系统安全运行为目的而构建的一种完整的PKI架构。第一，SNCA-PKICA认证安全支撑平台架构。基于公钥基础设施(PKI：PublicKeyInfrastructure）技术的信息安全解决方案，提供了现在业内公认的网络信息安全最佳保障体系，为网络应用提供可靠的安全保障。在整个架构中，PKI安全中间件是整个平台的核心，它将支撑平台各层有机地组合成一种有效整体，使整个平台既是业务开发平台，又是安全运行平台。第二，数字证书服务层。实现数字证书的签发、管理、证书源目录、密钥生产与存储、司法取证服务等。证书服务层由CA中心及其分支机构负责建设和维护。第三，安全支撑层。是基于数字证书的应用系统开公布署完毕后，正常运行所需要的PKI各项安全服务的支持，应用支撑层是由应用系统所属业务单位在系统环境中作为基础设施构建。第四，安全实现层。是与具体应用系统紧密结合的部分，通过对具体应用系统的配备或集成开发，实现CA认证的各项功效，实现PKI的各项安全机制。第五，安全应用层。根据应用系统安全需求层次的不同，应用实现层有多个搭配模式。SNCA-PKICA安全支撑平台是基于PKI数字认证构建安全可信业务系统的开发平台和运行支撑平台，是一种完整的PKI架构实现。应用PKI技术的重要目的是能够在网络环境下安全模拟传统的人工交易过程。PKI技术重要解决五个核心的安全问题：数据机密性、数据完整性、身份识别、数据防抵赖、访问控制。数据机密性。确保数据在网络传输过程中不被非授权人员（例如黑客）偷看，在传统的人工交易过程中，由于交易双方是面对面的进行交易，因此其交易数据不会被别人偷看，在网络环境下，就要靠基于PKI技术的高强度的加密技术来实现。数据完整性。确保数据不被偷看还是不够的，数据完整性的作用就是确保数据在传输过程中不能被篡改。在传统的人工交易过程中，由于交易双方是面对面的进行交易，因此其交易数据不会被篡改，在网络环境下，就要靠基于PKI技术的高强度的加密技术来实现。身份识别。精确识别和验证对方的真实身份，是进行交易的前提和基础，在传统的人工交易过程中，是通过验证对方的多个有效证件来达成身份识别的目的，在网络环境下，就要靠基于PKI技术的数字证书来识别和验证身份，数字证书由可信赖的第三方CA（数字证书认证中心）来签发。数据防抵赖。数据防抵赖用来避免交易双方事后否认已经进行的交易，在传统的人工交易过程中，通过手写签名和加盖公章来避免抵赖，在网络环境下，通过基于PKI技术的数字签名技术来实现，这也就是我们所说的电子签章，现在国家已经制订了签章法，电子签章同样含有法律效用。访问控制。基于PKI技术的访问控制技术在信息系统中有着广泛的应用，例如在一种单位中，需要根据级别来拟定其能够访问的资源等。归纳起来体现为七个有关功效：涉及身份认证、数字签名、可信时间戳、数据加密、访问控制、数字证书应用开发环境、数字证书应用支持、基于PKI的安全服务提供。其中数字证书是核心部件，基于数字证书的CA身份认证是全部功效实现的基础，数字签名是核心要素，密码技术是核心技术，数字认证的安全方略规则是确保各项安全功效实现的核心机制。而各项功效及其机制互有关联，协调发挥，才干够实现各项功效，也才干满足安全目的。②数据安全性为确保数据完整性，交易过程中毫秒级上的数据安全性，系统对核心数据包采用原子操作机制（数据库中采用存储过程，程序设计中采用原子操作，避免核心数据上的操作被更高级中断抢夺），交易要么全部成功，要么全部不成功，避免部分成功部分失败造成数据的混乱，确保数据的绝对安全。③加密数据传输平台对于敏感信息的操作采用高强度加密技术保障数据的安全性。④完善的同时机制平台采用多服务器负载均衡的方式来提高安全性及负载量，对于各组内的负载主机数据，采用专业软件动态同时数据。（2）防御网络攻击体系：通过使用防火墙及入侵检测系统，建立完善的网络安全防控体系。（3）负载均衡系统：将网络访问量合理的分担到多台服务器上，避免出现因访问量过大而造成系统无法提供服务的状况发生。（4）数据备份和恢复：由于平台数据库中存储的公司、银行、服务机构的业务信息属于机密数据，因此对于数据库的安全性规定极高，为此，我们采用物理隔离的方式，在web服务器与数据库服务器之间，增设一层数据网关服务器，这台服务器使用特定端口与应用服务器连接，将全部的数据库查询、操作模块化，只接受预先定义的语法执行，而与之相连的数据库服务器则存在于内网，只接受来自数据网关服务器的请求。同时，建立远程容灾系统，确保出现自然灾害、系统崩溃、网络攻击或硬件故障状况时能快速恢复中小公司商务与信息一体化服务平台的工作。（5）安全管理与法规：重要涉及安全组织体系、安全管理制度、安全管理手段、考核评价及人员定时培训等。5、支撑系统设计（1）数据中心和远程灾备中心设计数据中心作为整个中小公司商务与信息一体化服务平台的核心并提供核心服务，因此数据中心的高安全性、高可靠性和高性能成为设计的核心。在数据中心区应用双核心交换机、双链路方式保障整个交换网络的高可靠性。两台汇聚交换机之间通过两个千兆链路连接。IDC服务器应用双网卡分别与两汇聚交换机连接；汇聚层交换机通过千兆链路上联至防火墙。数据中心的安全访问控制通过两个冗余备份的千兆防火墙实现，根据安全方略不同可划为内部公用系统和内部私用系统两个不同的安全域。数据中心及远程灾备中心示意图以下：远程灾备中心根据实际状况，可放置在西安市，远程灾备中心重要涉及服务器、存储及备份方法，远程灾备中心与数据中心之间通过租用运行商百兆专网连接，确保数据备份的实时性和可靠性。（2）服务器负载均衡与集群设计服务器集群器系统重要应用于提供WEB服务和数据库服务。作为中小公司商务与信息一体化服务平台系统的核心，平台运行的硬件基础规定含有优良的系统稳定性和可靠性，以及可扩展的布署能力，能够通过为集群增加更强大的解决器与计算机以提高计算能力；含有负载均衡的功效，确保能够承受大并发顾客量的持续在线并高速响应；含有冗余能力，一台节点机出现故障时不会影响整个系统的功效。根据中小公司商务与信息一体化服务平台的实际状况，可选择双机热备+SAN存储+硬件应用负载均衡器的方式实现重要应用的布署。这里双机热备指商务与信息数据库系统双机热备，SAN存储指双机数据库系统使用SAN存储架构，应用负载均衡器指采用硬件负载均衡器来挂接多台应用服务器。在后端数据层，数据库系统双机热备，配备HA双机软件系统，当侦测到某台节点当机时，能在极短的时间将数据转交另一台节点机，由它执行对网络响应，并对故障机及时恢复或报警。在系统应用早期，可将全部业务系统的数据都由数据库服务器HA双机集群1解决，随着信息系统的发展，各类业务不停开展，数据量不停增大，对服务器的解决能力规定也越来越高，这时，能够扩展服务器集群，将多个业务分门别类，放在不同的服务器集群上，提高服务器解决能力。在前端中间件层，配备硬件应用负载均衡器，实现多台应用服务器的负载均衡。硬件应用负载均衡器是一种智能化的数据中心应用交付控制器，为IT基础构造优化、容错和冗余提供可扩展性及应用级安全性。硬件应用负载均衡器可通过集成的入侵防御和回绝服务攻击保护确保本地与全局服务器可用性，加紧应用程序性能，保护应用程序，从而实现快速、可靠、安全的应用交付。硬件应用负载均衡器采用先进的Layer4-7方略和粒度级应用智能来实现端到端的应用智能联网，使服务器基础构造运行与应用前端的需求保持一致，可消除流量浪涌、服务器瓶颈、连接断开和当机，从而确保应用访问、完整的应用持续性和冗余。硬件应用负载均衡器支持根据应用特定的粒度级数据包分类在全部核心点对网络行为进行端到端微调，从而优化多个公司应用的数据流，例如SAP、Oracle、BEA、Citrix和其它基于web的应用，涉及对VoIP、流媒体和安全LDAP应用的支持。通过硬件应用负载均衡器的完全集成的入侵防御和回绝服务攻击保护，数据中心应用程序和服务器资源能够与应用级攻击实现隔离。控制多环节SSL解决的功效可增强HTTP、FTP、SMTP和SIPoverSSL的安全性。硬件应用负载均衡器通过最大程度地提高服务器基础构造资源的运用率以及支持无缝整合和高可扩展性，可让顾客从IT投资中获取最大收益。借助硬件应用负载均衡器的完全集成的流量分类与流管理、运行状况监控与故障旁路、流量重定向、带宽管理、入侵防御以及DoS保护，使网络适应并更快地响应动态的应用与业务需求。（3）远程灾备系统设计尽管理论上发生灾难的概率很低，但在中小公司商务与信息一体化服务平台建设完毕，并且应用系统稳定的状况下，为确保核心的应用系统能够实现7x24x365的不间断正常运行，确保客户商务与信息数据绝对安全，必须构建异地容灾系统，保护系统存储的最核心、最核心的数据，从而抵抗多个灾难，能够在灾难中确保系统的继续运行。实时远程备份技术产品是用来进行两个不同地点之间的数据备份，故当第一种地点（源端）发生数据丢失时，第二点（目的端）的数据可用于灾难恢复。尽管数据的远程备份听起来很简朴，但是灾难恢复的实现却是一件很复杂的工作，复杂的因素重要基于下列三点：确保灾难发生后数据的可用性并恢复写次序的确保，即实时备份数据的逻辑性和完整性的确保灾难发生后紧急重启动的能力上述三个问题是灾难恢复解决方案都必须面对的。中小公司商务与信息一体化服务平台远程灾备设计图在灾难恢复中有两个时间点必须拟定，即灾难何时开始、何时结束。灾难的发生可能持续数秒钟或数分钟。从灾难开始到结束之间发生的事情称为“rollingdisaster”。如何从“rollingdisaster”中恢复是灾难恢复解决方案的目的，由于数据的破坏正是在这一期间发生的，如果保护不好，则很可能备份的数据不可用或失真。换句话说灾难恢复解决方案的目的是，要能够在第二地点得到一份完整的灾难发生前一时刻的备份（注意：一定不能是灾难发生期间的备份）。如果在灾难发生期间，数据远程实时备份仍在进行，则得到的备份数据很可能是已经破坏了的数据（如果有特殊规定，另当别论）。远程灾备系统的数据复制模式要多样化，对于核心数据，采用实时数据同时模式，确保数据的完整性和实时性；对于非核心数据，能够采用间歇式数据复制模式，即在业务繁忙时，暂停数据复制，等业务系统空闲时，批量传输复制数据；对任何数据同时方式，灾备系统启用后应确保数据、系统及应用的可用性和一致性。（4）机房设计为确保数据中心设备正常运行，需要提供一种原则化机房以及必需的附属设施，机房建设应遵照机房建设的全部国家规范和行业原则进行设计和施工，在简洁、实用和经济的前提下，满足现在业务需求和将来发展的需要。A.机房设计目的采用质地优良的材料、性能优越的设备及规范的施工工艺技术。严格按国家技术场地的有关原则设计，图纸文献规范齐全，采用国际通用的符号、标记，力求通用性、可调节性、并含有具体的文档资料。实施后的计算机房分区合理，工艺流程最简；系统配备周到、全方面、方便、灵活，根据机房的功效规定选择合理的材料，在充足考虑机房系统功效完善的基础上，使其性价比达成最优。不仅能支持现有的系统需要，还在空间布局、系统电网容量、网络设备端口等方面留有充足的扩展余地，便于系统进一步开发以及适应将来系统更新换代。采用先进的通道管理、安防监控、泄漏检测、空调和新风智能控制、消防联动、场地监控等管理手段，使机房系统含有一定的超前性，确保机房系统长久高效运行。采用先进的机房集中监控系统，实现对机房内全部设备及环境进行实时、集中的管理控制，从而提高的机房工作人员的工作效率，减轻了管理人员的工作压力，提高了机房设备和系统的安全性。B.机房供电系统计算机设备供配电系统提供电源的质量好坏直接影响着计算机系统所工作的稳定性和可靠性。机房供配电系统经机房配电柜向主机电源、外部设备、辅助设备、空调、照明、新风设备等提供线制、电压、频率及额定容量符合规定的交流电。本系统机房采用三相五线制，其三相额定电压为380V，单相额定电压为220V，供电频率为50Hz。主机房供电设计为由低压配电室引电源至机房辅助设备间，送至机房配电柜，供插座、空调、照明等用电。机房配电柜同时供应UPS不间断电源用电，通过UPS后再由各分路开关分派给计算机设备、外围设备及其它需要不间断电源供电的设备等。机房配电柜分为辅助设备配电柜、UPS设备专用配电柜。UPS与动力柜分别独立电缆供电，三相五线制供电。C.机房照明系统机房区内的照明系统是一种独立的系统，与大楼的照明系统分开，设有独立的照明配电箱，由机房内的动力配电柜供电，主机房区照度设计不不大于400Lx，辅助机房区照度设计不不大于300Lx。照明灯具采用全不锈钢灯架电子整流装置，3*18W飞利浦灯管的高效无眩电子荧光灯光角度为横向75度纵向75度符合国标规格。机房照明规定不闪烁，照明度大，光线分布均匀，不直接照射光照面。规定选用不锈钢三管格珊灯组并带电容赔偿，形成荧光灯光带。每条光带及光带中每排荧光灯应分别有开关控制，以减少浪费，避免同时开灯对电源的冲击。照明、配电线路应全部穿钢管沿吊顶内暗敷。机房事故照明采用照明的其中一支灯管做事故照明灯，平时市电供照明，市电断电时，自动切换UPS供电做事故照明，线路单独敷设。D.空调和新风系统为确保室内的温度和相对湿度全年内都满足设备运行规定，设恒温恒湿机房专用空调机，并规定机房在任何状况下均不得出现结露状态。需要在机房配备1台下送风型恒温恒湿机房专用空调机。其产品能通过检测回风温度，机组自动控制压缩机运行。机组通过冷却系统后产生15—190C的冷风，通过静电地板与楼地面这间的空间作为送风通道，将冷风送到需要的位置，通过热交换后，由吊顶的微孔方板回到吊顶与楼顶面这间的回风通道，回到机组的回风口。加热功效由机组配备的两组电加热器完毕。通过检测回风温度，机组自动控制电加热运行的数量。机组通过加热系统后产生20—250C的热风，通过静电地板与楼地面这间的空间作为送风通道，将热风送到需要的位置，通过热交换后，由吊顶的微孔方板回到吊顶与楼顶面这间的回风通道，回到机组的回风口。空调机组下方安装地湿报警装置，其通机房管理系统进行统一管理，当出现漏水时及过告知有关人员。全部机房的新风补给系统是通过设于吊顶上的新风机组送风到精密空调，经精密空调调温、调湿送入机房区。污风通过新风机污风管道排出机房。由于机房有干净度的规定，新风解决加中效过滤器层，过滤空气中的灰尘。E.接地、防雷系统计算机房应安装一种良好的接地系统，使电源系统中有一种稳定的零电位，作为供电系统电压的参考电压。有一种良好接地线，计算机传输电中的电源电压及信号碰到或产生多个干扰时，就能够通过高、低频率波或电容将其滤掉。另外，当碰到雷电、机柜