B2C电商平台项目技术支撑方案

B2C电商平台项目技术支撑方案设计原则安全性原则安全保密是企业信息化建设的关键。电商平台涉及到企业中重要或机密信息，因此安全性需要放在首位进行考虑。系统要有完善、周密的安全体系和信息安全支撑平台紧密配合，从物理、传输、网络、应用，采用多层次的安全保障措施。本次项目从分析到设计，安全性的原则贯穿始终。系统的安全性主要应该考虑：系统具备严格的等级访问及授权机制；对于认定的关键及敏感数据，只有经过授权的合法用户才能使用访问及修改，并具有完备的日志及审核功能。系统应该有一套完整的安全机制，保证系统能够抵抗内部和外部的黑客性质的攻击。完整的身份认证与授权，对关键用户、领导的身份确认进行数字签名，并支持对敏感数据的加密传输。确保数据的安全性。系统中存在大量的数据，要确保用户不能够直接存取关键数据，而只能通过相关的功能模块对数据进行操作，建立完备的数据备份与灾难恢复机制及策略。在华舜提供的电商平台解决方案中，提供了标准的CA认证接口，在以往的多个项目中成功的实现了与多个第三方CA提供商的集成等。电商平台将提供有效的、严格的分级管理模式，把系统管理员和各级单位的应用管理员的权限分开，按照各自的职责范围划定管理权限，除了系统管理员以外，分别设置平台网站管理员、公文管理员、档案管理员以及其它功能模块的专门管理人员，在保证各施其责的基础上，保证数据的安全性。成熟性原则作为一套庞大而复杂的应用系统开发项目，如何降低项目开发实施风险，避免出现项目失败是在项目分析阶段所必须关注的重要环节。而电商平台产品、系统平台和使用技术是否成熟，往往会直接影响到项目的结果。实践证明，过分强调采用先进的平台和技术，是系统不稳定的重要因素。因此，应该选用经过市场考验和用户实际应用验证，在系统稳定性、运行效率和可维护性上都达到了国际先进水平的成熟操作系统平台和应用系统平台。本次项目采用的技术路线、操作系统平台、数据库系统、应用服务器等都遵循了这一原则。标准化原则在系统平台、技术等选型时，应符合国际标准、工业标准、行业标准，特别是国家、行业发布的标准和规范。使系统的通信环境、软件环境相互间依赖减至最小，使其各自发挥自身优势。另一方面也要强调各种系统之间的通信和信息交换，以信息资源共享为有效的基本出发点。易用性原则企业信息化是为了帮助企业提高管理水平，因此在电商平台的操作上，需要尽量的直观，简洁，操作步骤不能太复杂，广大用户可以通过主流的Internet浏览器访问电商平台，操作与上网类似。在本解决方案中，根据华舜多年的经验，我们将吸取以往用户所提出的意见，秉承”把复杂的事情简单化、简单的事情规范化”的设计原则，从用户的实际工作出发设计整个系统。电商平台要彻底改变传统软件单调、繁琐的计算机操作方式，功能要清晰、简洁、友好、易用和一致，注重整体风格布局，精心设计界面中诸如按钮位置、数据表现方式等细节，使操作者能够方便地操作和比较容易地理解界面所表达的信息和内容，便于用户快速掌握系统的使用。各功能模块本身要最大限度地简化操作，用户应无需长时间的训练和磨合，在相当短的周期内就可以熟悉操作，迅速为广大工作人员接受和乐于使用。同时，系统将改变以往电商平台单一按照功能进行组织的设计模式，采取”事务联动”的设计模式，把一个事务中的多个任务有机的组织在一起，用统一的界面反应给用户，以符合用户的日常事务处理习惯。开放性原则系统开放程度直接影响到系统的生命周期。系统真正符合三层浏览器/服务器(B/S)体系结构，随着应用水平的提高、规模的扩大和需求的增加，无须对系统的体系结构做较大的改变就可以对系统的功能实现扩展。为保证系统稳定性，我们将采用优秀的框架结构设计本系统，以华舜的成熟的的管理平台作为主框架，基于“平台＋应用”的架构，采用“构件模式”来安装各种电商平台功能模块，所有模块的用户都由应用支撑平台来管理，个别模块的添加删除不影响其它模块的运行。这与电脑的“主板－功能卡”原理类似。可维护性原则对于电商平台这样一个涉及范围广、用户数量大的系统，对其可维护性具有很高要求。因此，系统在设计时就充分考虑到了系统的部署与配置、业务管理、性能管理等多方面的要求，提供灵活易用的流程设计、公文格式设计、配置管理、实时监控和详细的日志、审计功能。对于管理和维护人员具有可管理和易于维护的特点，能够实现各子公司、各部门的分级管理，力求以最少的人力资源和技术要求，就能够很好零代码地维护和管理，并能正常运行。高效性原则电商平台建设的基本意义是提高工作效率，因此系统自身的性能与效率必须非常高与稳定。华舜应用支撑平台系统的强大适应能力和简便实现能力使高效性得以体现。首先，华舜应用支撑平台系统利用了强大的工作流引擎EFlow机制，并将其处理放在安全可靠的服务器上，系统可以充分利用服务器的先进特性使得系统能够高效运作；第二，华舜应用支撑平台系统利用了先进可靠的三层次开发模式，所有的信息都由中间层来处理，而且信息的处理也都在服务器上；第三，系统具有强大的自定义功能，包括多个自定义的工具和功能，这使得系统的使用、实施和推广具有高效性。先进性原则当前的信息技术日新月异，如果只着眼于当前需求而忽视系统技术和体系的前瞻性，系统将不能满足企业日益增长的需求，导致系统的生命周期缩短，从而增加企业在信息化建设上的投资。本方案采用业界公认先进的和标准的软件技术，符合信息技术发展的趋势，保证系统在可预见的阶段内有相当强大的生命力。我们将在以下两个方面满足先进性要求：技术先进性技术先进性是保证整个系统生命周期的重要环节。在本方案中，我们将使用诸如J2EE、XML等比较成熟而又有发展前途的先进技术，保证整套系统在一段时间内的整体技术领先。结构先进性结构先进性是保证系统生命周期的基础。根据我们以往的项目经验，一般一套庞大的系统不可能在短时间内就能开发完善，它往往必须经过一段”使用－修改”的循环过程才能够比较好的满足用户的需要，这个循环过程就需要灵活、利于扩展的系统结构与科学合理的数据结构。结构不合理正是导致出现所谓”信息孤岛”现象的关键。为了避免这种现象的产生，我们在设计这套系统时，将充分理解需求，并在此基础上对需求进行整合分析，再利用先进的数据建模的方法对系统进行规范设计，保证整个系统的有机完整。系统结构设计数据支撑平台数据支撑平台提供标准的数据交换与共享接口，包括了封装的数据访问服务，数据管理、数据交换和信息注册服务，同时包括了数据接口平台，即基于XML为基础的数据层交换管理，WebService的应用接口及交换管理。特别地，数据支撑平台将与下属企业各种业务管理系统的业务数据库进行数据交换，进行业务信息自动采集汇总。总部数据交换中心起到汇总各个下属企业的文件、数据与信息的作用，同时向各下属企业分发总部的文件、数据与信息。应用支撑平台应用支撑平台提供以下四大类组件，为各类协同功能的实现提供支撑：(1)应用服务：包括能够为审批过程、业务过程提供相关知识参考资料的知识服务；能够遍历数据、文档、多媒体信息等数据库的检索服务；能够自动生成各种数据信息统计报表的报表中心；为全部办公应用提供操作使用指南与帮助的帮助中心。(2)通信服务：包括提供短信提醒与短信收发功能的企业短信中心；提供邮件提醒与邮件收发的电子邮件系统；实现全企业收发传真无纸化的传真系统；实现全企业职工的即时沟通、网上视频语音交流等功能的即时通信系统。(3)核心技术引擎：包括支持统一门户界面管理的门户服务；实现各大业务管理系统单点登录；沉淀审批过程与业务过程中的各种知识经验的知识库；为各种行政、业务流程的全企业一体化运转提供支持的工作流引擎。(4)安全服务：实现用户管理、权限管理、日志监控等安全保障。四个网络四个网络是企业本部局域网、各下属子公司局域网、国际互联网与电信GSM/CDMA网。本系统部署在局域网内的机房中，内部用户通过个性化门户访问本系统，位于互联网的在家办公用户、出差用户访问使用本系统，通过VPN(IpsecVPN或者SSLVPN)保护链路安全。另外通过电信GSM/CDMA网可以实现手机短信的提醒与回复操作。系统性能设计考虑到本项目的内容是企业的基础管理平台，面向几乎所有内部工作人员，所以在系统设计时必须要考虑到性能问题，以下将通过几个方面描述系统在性能方面的设计：支持用户访问系统将按照1000个用户在线的访问进行设计，20万条数据环境下，单页面打开的速度在1.5秒，流程打开速度3秒。支持365*24的平台运作要求考虑到系统是企业业务的核心应用，系统将保证以365*24模式进行运作，在满足备份要求的情况下，故障恢复的时间在30分钟之内。支持每分钟100个事务的触发运作系统设计考虑到内部用户的访问数量，因此，需要实现每分钟100个事务实例的触发要求，即每分钟支持100个业务流程和事务的处理并发要求。技术实现路径本部份描述了设计中使用的关键技术，其中部分技术尽量利用成熟的技术和产品来实现，比如：构件技术、UI技术、工作流技术等。基于J2EE的分布式计算技术适用于创建服务器应用程序和服务的企业版J2EE(Java2EntQADriseEdition)是一种利用Java平台来简化诸多与多级企业级解决方案的开发、部署和管理相关的复杂问题的体系结构。J2EE技术还为这些组件提供一整套企业级服务，通过自动化的方式完成应用程序开发中的诸多耗时且费力的艰难工作，为用户提供一种可创建广泛兼容的企业级解决方案而无需进行复杂编程的平台。利用这一优势可以方便地开发出高质量的、适合企业级使用的应用程序，还可极大地减少产品研发上市时间、成本和风险。J2EE中提供了分布式计算环境中组件需要的所有服务，例如组件生命周期的管理、数据库连接的管理、分布式事务的支持、组件的命名服务等等，可以提供程序更加高效地运行于应用服务器中，支持多种客户端的访问。基于J2EE的分布式计算技术可以实现以下三个目标：集成性：集成性主要反映在对应用程序互操作能力的支持上。它要求分布在不同机器平台和操作系统上、采用不同的语言或者开发工具生成的各类商业应用必须能集成在一起，构成一个统一的计算框架。这一集成框架必须建立在网络的基础之上，并且具备对于遗留应用的集成能力；可用性：要求所采用的软件构件技术必须是成熟的技术，相应的产品也必须是成熟的产品，在至关重要的应用中能够稳定、安全、可靠地运行。另外，由于数据库在企业中扮演着重要角色，软件构件技术应能与数据库技术紧密集成；可扩展性：集成框架必须是可扩展的，能够协调不同的设计模式和实现策略，可以根据企业的需求进行裁剪，并能迅速反应市场的变化和技术的发展趋势。通过保证当前应用的可重用性，最大程度地保护企业的投资。构件技术通过构件技术实现业务模型的设计和实现，并可重用。构件(Component，也译为组件)，可复用的软件组成成份，可被用来构造其他软件。它可以是被封装的对象类、类树、一些功能模块、软件框架(framwork)、软件构架(或体系结构Architectural)、文档、分析件、设计模式(Pattern)等。构件分为构件类和构件实例，通过给出构件类的参数，生成实例，通过实例的组装和控制来构造相应的应用软件，这不仅大大提高了软件开发者的开发效率，也大大提高了软件的质量。构件库构件库基础构件工具构件角色构件行业构件<Demo>业务构件<Product>产品构件保险客户构件<Package><Package><Package>图：构件应用层次图构件按照应用层次多层抽象，根据业务需求组装。基础构件库：面向技术的，较低层的构件，解决具体的技术问题，例如：日期类型的转换函数、下拉框等。业务构件库：面向企业某类业务的，具有业务的特性，但可应用于多个业务类型中。行业构件库：根据企业原有业务管理系统的功能，将部分可以重用的组件进行封装和改造，具有一定的业务的特性。图：构件化的多层体系图面向构件的实现多层体系，采用数据总线的技术，各层之间松散耦合，如有变化影响较小，构件相对稳定，灵活多变又能保证系统稳定性。本项目设计中，将采用页面展现层、业务逻辑层、工作流层分别进行设计开发，利用构件技术进行组装，提高软件开发的效率，提高系统的扩展性。UI技术面向用户的界面设计(UI设计)，突出以人为本。软件除了实用外，人们的着眼点更在于软件的易用性和美观性，而易用与美观主要取决于人机界面的优劣。众所周知，在当今的硬件与软件环境下，一个软件系统没有很好的界面设计就不能算是成功。因为不管它内部有多么精巧的技术，只要用户不愿意使用它，它的优越性就得不到发挥，它的价值和作用也无从谈起。于是一个不涉及技术而着眼于易用和美观的行业越来越显得重要——这就是软件UI设计。软件设计可分为两个部分：编码设计与UI设计。编码设计大家都很熟悉，但是UI设计还是一个很陌生的词，即使一些专门从事平台网站与多媒体设计的人也不完全理解UI的意思。UI的本意是用户界面，是英文“User”和“Interface”的缩写。从字面上看是“用户”与“界面”两个词组，但实际上还包括用户与界面之间的交互关系。以用户为中心的关键原则：理解用户的任务需求：包括在整个产品生命周期中各方面的需求设定量化的目标：建立基于用户或基于业务的标准。设计一个完备的用户体验过程：一个用户对一个产品的完备的体验过程包括包装、销售、培训、硬拷贝文档、设置、安装、屏幕、图形、帮助、其他性能支持、升级和卸载评测：让用户参与测试，借些判断是否达到了目标或是否存在问题迭代：如果没有达到目标或存在问题，就要进行修改，并使之重新生效。第一次不可能做得很完美，认识到这一点是非常重要的。要知道需求可能会扩展和延伸到产品的设计和实现阶段。设计和开发的实践与技术有很多，结合使用以用户为中心的设计原则时，在软件系统开发上成功实现业务目标有很大帮助。单点登录技术SSO(SingleSign-On)是介于Portal和集成的应用系统之间的认证服务，用户登陆Portal之后，只需要做一次身份验证，就可以对所有被授权的网络资源进行无缝的访问，不需要再次输入其他应用系统的验证信息(用户名、密码)，从而可以提高用户的工作效率，降低系统出错的机率。尽管登录到一个系统的过程很简单：输入用户身份名，然后再输入口令，但是它实际上采取了多个动作。首先是认证，认证发生在系统验证登录的实体(人或程序)是否是与这个用户身份相关的实体时，认证通常通过将口令与用户的ID匹配来实现。在用户通过认证后并试图访问系统资源时，需要进行授权。用户可以被授权查看文件，但不能删除或修改文件。系统利用错误信息回答非授权请求，并通过允许访问来响应授权的请求。实际的授权可以在认证后立即进行，使客户得到授权资源的清单。授权也可以是交互式的，当用户试图访问不同资源时服务器拒绝或同意访问这些资源。从技术上看，SSO使用户可以登录到一个主域上，但可以访问其他次级域。例如，NovellNetWare网络代表着一个域，WindowsNT代表着一个域，IBM也代表着一个域，如此等等。在多登录环境中的正常环境下，用户必须分别登录到每个次级域。在使用SSO时，IT经理指定特定平台作为主认证域来控制对所有域的访问。当用户登录到这个SSO主域时，他提供在登录到任何次级域时所需要的所有证明。然后主域负责为次级域完成对用户的认证。SSO最简单的实现形式是使每个用户在认证服务器上都拥有一个账户，认证服务器保存所有用户ID、口令和账户信息。这台服务器对用户进行一次认证，然后按照需要将用户ID和口令信息传送给其他域。这种方式简化了用户的工作，用户只需要记住一个口令。可惜的是，它不能给管理人员太大的帮助，因为他们仍必须在每一个授权域上为每一位用户建立独立的账户，必须分别地管理每个域的认证信息。一种实现SSO的更好的方式是允许IT管理人员在方便用户的同时，增强安全性，减少管理费用。更先进的SSO不是将复杂的多次登录环境隐藏在一台认证服务器上的单一账户之后，而是通过规定用户访问不同域的策略实现安全性。管理人员为个人和用户组规定允许对网络资源进行恰当访问的策略。例如，一项策略可能授权客户服务人员对部门级WindowsNT网络进行只读访问，而另一项策略可能赋予IT部门的高级系统管理人员在企业Unix系统上的根目录权限。当用户登录时，SSO确定对这个特定用户ID实行什么策略。此后，SSO为用户提供访问其他系统的证明。例如，一位程序人员将被授予与其职位、部门和当前工程相适应的访问权。如果某一属性改变的话，比如这位程序员进行横向调动，那么只需要更新SSO系统。下一次他登录时，他就自动地被关闭在他的老部门系统之外，并赋予他访问新部门系统的权力.Portlet技术Portlet是运行在Portal的Portlet容器(Container)中的插件，在许多方面都类似于Servlets。Portlet用PortletAPI来编写，就象Servlet用ServletAPI来编写一样，不同的是Portlet运行在Portal环境中，而Servlet运行在服务器端的Servlet容器(Container)中。另外，Servlet直接与客户端通讯，而Portlet则通过Portal的应用来调用。Portlet只有在生成了适合在Web页面中显示的内容之后，才会在Portal环境中适当运行。门户组件运行容器(Portlet)即在门户中运行的为门户提供内容的构件。Portlet是国际标准的门户组件标准，为Portlet提供了运行的容器，可以运行标准的Portlet应用程序，充分利用已有的资源并提供开放的二次开发接口。Portlet容器主要负责提供Portlet运行时的基础服务包括：生命周期管理、数据持久化、会话状态保持、事件和消息机制、Portlet定制服务等。提供方便的Portlet部署和管理界面。通过开发符合Portlet标准的门户构件，可以方便的扩展门户的功能，集成已有的应用，或者通过集成第三方厂商的Portlet，直接扩展门户功能。由于Portlet的开发和Servlet的开发非常相似，开发简单易学，扩展性强，所以各个主流应用厂已经全面接受该标准，现有的Portlet已有数百个，充分的保证了系统功能的可扩展性。自定义工作流技术在本项目中采用的工作流技术，将采用EFlow工作流技术，该技术已成功应用在大量的政府、企业单位，成熟而稳定。其中主要包括如下七个部分的部件和数据。过程定义工具过程定义工具被用来创建计算机可处理的业务过程描述。它可以是形式化的过程定义语言或对象关系模型，也可以是简单地规定用户间信息传输的一组路由命令。过程定义过程定义(数据)包含了所有使业务过程能被工作流执行子系统执行的必要信息。这些信息包括起始和终止条件、各个组成活动、活动调度规则、各业务的参与者需要做的工作、相关应用程序和数据的调用信息等。工作流执行子系统和工作流引擎工作流执行子系统也称为(业务)过程执行环境，包括一个或多个工作流引擎。工作流引擎是WfMS的核心软件组元。它的功能包括：解释过程定义，创建过程实例并控制其执行，调度各项活动，为用户工作表添加工作项，通过应用程序接口(API，ApplicationProgramInterface)调用应用程序，提供监督和管理功能等。工作流控制数据指被工作流执行子系统和工作流引擎管理的系统数据，例如工作流实例的状态信息、每一活动的状态信息等。工作流相关数据指与业务过程相关的数据。WFMS使用这些数据确定工作流实例的状态转移，例如过程调度决策数据、活动间的传输数据等。工作流相关数据既可以被工作流引擎使用，也可以被应用程序调用。工作表和工作表处理程序工作表列出了与业务过程的参与者相关的一系列工作项，工作表处理程序则对用户和工作表之间的交互进行管理。工作表处理程序完成的功能有：支持用户在工作表中选取一个工作项，重新分配工作项，通报工作项的完成，在工作项被处理的过程中调用相应的应用程序等。应用程序和应用数据应用程序可以直接被WFMS调用或通过应用程序代理被间接调用。通过应用程序调用，WFMS部分或完全自动地完成一个活动，或者对业务参与者的工作提供支持。与工作流控制数据和相关数据不同，应用数据对应用程序来讲是局部数据，对WFMS的其他部件来说是不可见的。消息中间件(JMS)技术本项目将采用基于通信中间件平台的应用集成策略和业界领先的基于主题的消息路由传送机制，遵循国际标准和规范，为不同应用系统的互通提供了统一可靠的实时消息通信平台，突破了横亘于异构不兼容应用或数据库之间的障碍，实现不同应用间的松散耦合联接。具有以下功能特点：确保消息传送(GuaranteedDelivery)由于一些应用是数据敏感的，消息通信平台必须要保证传送的消息不能丢失，无论是发生网络故障还是主机故障。一旦消息中心接受上层应用的一个信息发送任务，会确保信息被传送到合适的目标应用系统。信息的传输是一次且仅一次。强健的消息中心保证信息数据一致性，并可屏蔽各种系统故障(如网络故障、宕机等等)，保证信息数据不会受到影响。支持多种通信模式支持发布/订阅(Publish/Subscribe)，请求/应答(Request/Response)以及多播请求/应答等通信模式。全面支持一对一、一对多、多对一以及多对多的通信。完备的可定制消息安全机制消息传输安全是信息传递的关键，主要包含两方面内容：消息内容安全和消息通道安全。实时消息传送(ReliableDelivery)实现可靠多播协议(ReliableMulticasting)，实时传送消息，并尽可能保证消息在传输过程中不出现丢失。这种传送模式更强调消息的实时性。虚拟数据库技术(联合数据对象技术)虚拟数据库的技术联合数据对象技术，就是根据跨不同数据和内容的可扩展的读写访问定义跨各种各样、分布式数据的集成视图，将多种数据类型和来源当作单一数据源查询。虚拟数据库的技术具有以下特点：透明：对之上的应用来说是完全透明的，所有数据如同在同一数据库中；异构集成各类数据源的数据，包括关系型数据、结构化数据、XML、消息队列、Web等；可扩展几乎可扩展到所有数据源，基于开放式的Wrapper框架，提供Wrapper开发接口和工具；自治几乎对原有系统应用没有影响，无需在原系统上安装程序或软件，无需特有的接口。系统安全保障设计由于企业信息系统本身的重要性和特殊性，安全性问题便成了人们解析企业信息化时的首要话题。所谓安全性，即如何防止电脑恐怖活动，有组织的和个人的电脑犯罪、病毒的侵袭、破坏以及黑客活动。电脑恐怖、电脑犯罪、病毒和黑客并称IT革命的四大公害，每天每时都有可能发生。如何保障互联网安全运行，是企业信息化建设中的首要课题。安全体系设计原则综合性、整体性原则运用系统工程的观点、方法，分析网络和应用的安全问题，并制定具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机系统包括个人、设备、软件、数据等环节，它们在网络安全中的地位和影响作用，只有从系统综合的整体角度去看待和分析，才可能获得有效、可行的措施。华舜公司是中国最早的系统集成商和软件开发商之一，在系统集成和软件开发两方面都处于业界领先的水平。因此在所有软件产品的开发都是同时基于硬件设备和软件两方面的安全需求进行的，从而带动了华舜电商平台在综合性和整体性方面的优势，基本上覆盖了一个系统在各个软硬件和网络方面安全性因素。一致性原则这主要是指安全问题应与整个系统的工作周期(或生命周期)同时存在，制定的安全体系结构必须与安全需求相一致。实际上，在系统建设之初就考虑安全对策，比等系统建设好后再考虑，不但容易，而且花费也少得多。在软件开发过程中，从需求分析阶段开始，就一直把安全作为需求最重要的部分考虑；并且在长达10年软件改进过程中，从未间断地根据大量典型用户的需求和意见，把新的安全技术融入产品之中，因此不存在因为软件产品在一开始没有考虑安全问题，导致缺乏一致性的问题。易操作性原则安全措施要由人来完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，采用的措施不能影响系统正常运行。本方案所采取的所有安全措施，都基于尽量对普通用户透明的原则实现。用户只需要进行必要的密码输入和实体鉴别设备的插拔以外，无需任何地附加工作即可在安全的环境下工作，最大限度减少了用户在兼顾安全性的同时，带来的操作难度。适应性、灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化，容易适应、容易修改。本方案采用安全技术的适应性和灵活性，是通过技术的标准性和可扩展性实现的。首先重要的原则是采用国际标准的技术，包括标准安全算法和通信协议、标准软硬件接口等保证系统和其他产品的兼容性，能够适应在不同软硬件环境之下都能够正常运行；同时在技术的选择和实现上，都遵循可扩展的原则，提供必要的扩展接口，保证可以根据业务的需要进行扩展或者二次开发。多重保护原则任何安全保护措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。华舜的多重保护原则体现在硬件设备接口、网络通信、软件采用的体系架构、应用系统的安全控制模型以及软件产品的业务功能上都采取了相应的安全技术，以多种不同层面的安全技术构成一个安全的应用环境。需求、风险、代价平衡分析的原则无论何种网络，绝对安全难以达到，而随着安全需求和技术的不断发展，系统的安全性等级也会随之不断提高。在新产品、新技术不断投入市场的情况下，价格和风险随之不断增加，把握好需求、实现风险和成本代价的平衡点，将会是非常重要的考虑因素。华舜在十多年的历程中，积累了在大量企业机关和企事业单位实施软硬件系统开发的经验，从而总结出有代表性的安全需求和策略；利用业界公认标准和成熟的技术，在技术先进的同时保证在实现上没有任何风险，并且可以获得众多厂商的支持；同时技术的成熟性保证了产品在实现成本、周期，以及价格上能够为国内的用户所接受。这三点要素合在一起，保证了华舜在需求、实现风险和成本代价三者平衡点的把握能力。系统安全体系设计图：华舜的安全解决方案体系安全体系兼容性本方案安全体系有一个重要的思想是安全技术的兼容性，由于不同的实施单位或多或少都有一定的安全防范措施，因此和主流安全产品的兼容性是非常重要的。电商平台所有的安全措施都能够和目前主流、标准的安全技术和产品兼容，都得到全面支持。系统体系架构安全性应用系统的系统架构已经成为保护系统安全的重要防线，一个优秀的系统体系架构除了能够保证系统的稳定性以外，还能够封装不同层次的业务逻辑。各种业务组件之间的”黑盒子”操作，能够有效地保护系统逻辑隐蔽性和独立性。本方案采用的n-tier多层次体系架构(具体应用中可以简称为三层体系架构)，把一般用户没必要看到的业务逻辑运算和控制都封装到系统后台的服务器上面运行，用户的客户端只是一个简单的浏览器以及系统最终的内容表现。利用这种业务实现逻辑对用户不可见隔离的系统架构，使恶意访问者连业务逻辑都看不到，更不用说恶意篡改，从而保证了系统逻辑的安全性和正确性。传输安全性由于办公网络涉及很多用户的接入访问，因此如何保护公文对象在传输过程中不被窃听和篡改就成为本方案重点考虑在内的问题之一。采用两种手段保护公文对象的安全性：数据对象的加密保护支持对数据对象本身进行加密处理，在数据的上传和下载的过程中，数据都是通过”加密－传输－界面－处理”的过程进行的，因此恶意访问者即使截取了数据的内容，得到的只是一堆对其毫无意义的数据，从而保护了数据对象的安全性。传输协议的加密保护支持通过WebServer提供的标准安全加密传输协议，如最为主流的SSL(安全套接字)协议。通过传输协议一级的加密保护，进一步增强了公文传输的安全。应用模型安全性在本方案的原型电商平台除了在国内首创了自定义工作流以外，还最早设计和实现了工作流应用的安全模型，保证所有业务流程都是按照预先设定的权限控制下进行的。公文流转通过”公文表头属性”、”步骤”和”角色”三个重要的概念的结合，保证了公文在流转的过程中，各种操作都是由有相应处理权利的用户进行的。软硬件结合的防护体系本方案中电商平台支持和多种软硬件安全设备结合，构成一个立体防护体系。目前除了支持所有主流的软件安全验证解决方案，如CA的eTrust等产品以外，还能够兼容所有采用PKI安全框架下标准技术的安全硬件，包括各种保存个人数字证书的硬件验证设备USBKey，基于PKI体系的VPN远程接入网关和SSL加解密加速器等等，支持手机短信的动态密码身份验证功能，因此基本上能够和各种现有的和将来配备的安全设施协同工作，一起构筑有效的安全防线。可跟踪审计本方案中电商平台内置多粒度的日志系统，能够按照需要把各种不同操作粒度的动作都记录在日志中，用于跟踪和审计用户的历史操作。多粒度的日志系统优势在于不仅仅流水式地进行记录，还可以按照安全级别的要求，记录更为细节的历史动作；或者简化和忽略某些安全要求不高的登记，使跟踪审计工作得以简化和提高效率。身份确认及操作不可抵赖身份确认对于电商平台来说有两重含义，一是用户身份的确认，二是服务器身份的确认。用户身份确认是通过个人数字证书和密码得以保证，使系统确认用户没有被冒认。同时通过和公文内部记录以及日志功能的结合，实现操作的不可抵赖性。而服务器的身份认证也是非常重要的技术之一，这是因为已经出现很多利用冒认服务器身份骗取用户密码和投放木马程序的黑客技术。通过PKI结构下的服务器认证技术，确保服务器的身份也是确认无误的，同时在该服务器下载的各种控件也是通过该服务器签名，为用户和机器双方都建立起了良好的信任关系，这对于协同工作会有有非常重要的意义。数据存储的安全性本方案中数据存储方面采取两道机制进行的保护，一是系统提供的访问权限控制，二是数据的加密存放。而在本方案中采取了更高级别的安全防护，就是数据的加密保存。所有文件在数据库里面都是经过64位加密再存储的，即使恶意访问者窃取了数据库管理员的密码，但是他看到的只是加密后产生的乱码。数据存取范围控制，关键保密信息细化到记录(Record)一级，涉及金额保密则细化到字段(Field)一级。数据发布到网页上以后能确保完整性，网页的信息内容可以具有防打印、防复制、防另存的控制。CA的建设与接口行业数字认证中心(CA)认证体系遵循国家的有关规定和国际通用标准统一规划建设，各单位的CA认证系统须纳入行业统一的CA认证体系，实现互信互认。系统技术特点采用XML数据总线的构件开发模式通过构件化、业务化、可视化的成熟技术，提供简单、完整、可扩展的应用开发、管理和运行的平台，提高应用集成及整合的能力，以及软件开发能力、快速适应业务变化。使复杂的业务简单化，简单的业务规范化。基于人员、流程和信息的整合本项目中我们将考虑通过三个层面来实现整合：“人员”、“流程”、“信息”，即对应现在的操作、界面、技术，现有应用及流程，现有业务数据。着三个层面的整合方式，考虑通过界面、安全、信息整合，流程整合，业务重组等方法来进行。对应的整合技术包括：基于信息门户(Portal)的Portlet技术、SSO技术，构件技术、工作流技术，JMS消息驱动、WebService、数据交换等技术。松散耦合的应用本项目将采用基于JMS消息中间件、WebService和EJB等模式，通过构件技术来实现应用集成。在遵循国际标准和规范下，为不同应用系统的互通提供了统一可靠的实时消息通信平台，突破了横亘于异构不兼容应用或数据库之间的障碍，实现不同应用间的松散耦合联接。基于成熟平台和技术本项目中我们将尽量考虑使用华舜成熟的技术和平台来搭建各系统和平台，例如：华舜应用支撑平台产品、华舜工作流技术、华舜信息门户产品等。通过这些在国家认可和众多项目中考验过的成熟技术和产品，能最大程度上保证项目在短期内顺利实施，同时降低项目的实施风险，提高整个系统的扩展性。自定义的柔性设计在本项目中我们将通过自有成熟、及大量的自定义工具，比如华舜的EFlo