电子政务之门户建设
電子政務之門戶建設
彭兆軍
135 3986 5584
pengzhaojun@126.com
?
1 引言... 4
2 背景... 4
3 電子政務概述... 5
3.1 電子政務系統劃分... 6
3.2 一般電子政務的發展歷程... 7
3.3 電子政務發展趨勢... 8
4 政府信息化建設架構... 9
5 門戶建設在電子政務中的作用... 10
6 外門戶建設方案... 11
6.1 數據交換與集成... 12
6.2 統一數據展現平臺... 14
6.3 門戶應用服務器群集... 17
6.4 數據庫... 17
6.5 防火墻... 17
6.6 防篡改... 18
6.6.1 InfoGuard防纂改解決方案... 19
6.6.2 InfoGuard防纂改功能... 19
6.6.3 顯著特點... 24
6.7 VPN建設... 30
6.8 硬件建設... 31
7 內門戶建設方案... 32
7.1 單點登陸... 33
7.2 數據交換與集成... 35
7.3 統一數據展現平臺... 35
7.4 統一查詢... 35
7.5 統一業務辦理... 35
7.6 頁面集成... 36
8 實施案例... 38
8.1 廣州市林業局外門戶建設項目... 38
8.2 廣州市城市管理委員會內門戶建設項目... 39
1 引言
此文主要說明電子政務建設中政府門戶建設方案。包括以下內容:
(1). 電子政務概述,主要說明電子政務的發展,進而說明門戶建設在電子政務中的作用。
(2). 外門戶建設方案。主要說明政府外門戶建設的思路及要點。
(3). 內門戶建設方案。主要說明政府內門戶建設的思路及要點。
(4). 以實際案例進行說明政府的外、內門戶建設。
2 背景
目前政府正向著服務型政府轉型,其中一個很大的方向就是政務信息化。電子政務在全國興起,也在不斷的發展。
對外,民眾政務信息的公開有更高的要求,也要求很多事項進行網上辦理,并要求統一入口,在這方面政府外門戶起著重要作用。
政府內部隨著信息化的發展業務系統越來越多、信息越來越多,給日常辦公帶來一定麻煩。無論是領導還是辦事人員都要求對內部系統統一入口、統一帳號,對信息進行篩選顯示。
3 電子政務概述
電子政務作為電子信息技術與管理的有機結合,成為當代信息化的最重要的領域之一。所謂電子政務,就是應用現代信息和通信技術,將管理和服務通過網絡技術進行集成,在互聯網上實現組織結構和工作流程的優化重組,超越時間和空間及部門之間的分隔限制,向社會提供優質和全方位的、規范而透明的、符合國際水準的管理和服務。
類別
G2G:政府間電子政務
G2B:政府-商業機構間電子政務
G2C:政府-公民間電子政務
G2E:政府-雇員間電子政務
3.1 電子政務系統劃分
3.2 一般電子政務的發展歷程
3.3 電子政務發展趨勢
4 政府信息化建設架構
5 門戶建設在電子政務中的作用
從上述介紹可以看出,門戶建設在電子政務建設中起著重要作用。
外門戶作用一般包括如下:
(1). 展現機關形象、宣傳
(2). 對外發布新聞、政務信息
(3). 提供與機關相關的業務信息,如:交通、林業
(4). 機關網上業務的統一辦理入口
內門戶作用一般包括如下:
(1). 內部消息發布
(2). 業務數據綜合查詢、展現
(3). 單點登陸及功能集成。方便內部用戶辦公單一入口。
(4). 集成簡單的內部辦公功能。如:郵件、通信錄等。
6 外門戶建設方案
外門戶建設是一般會考慮以下需求:
(1). 界面需求
外門戶關系到機關的形象,不同的機關對界面一般會有不同的要求。
(2). 欄目建設需求
外門戶其中的一個作用就政務公開、新聞發布。同時要根據機關的業務特性進行相關業務信息公開。所以欄目設置要規范、合理,才能方便信息的發布以及民眾瀏覽信息。
(3). 業務需求
根據本機關的業務需要,進行特色模塊的建設。如:林業單位一般會建設“生態旅游”模塊。
(4). 性能需求
根據本機關的實際需要,進行性能的設計。如:市政府一級的網站,并發訪問量及日訪問量較大,對性能要求很高。這對門戶程序的架構、硬件均有一定的要求。
(5). 安全需求
外門戶對安全要求一般很高。對門戶程序、網絡硬件配置、第三方軟件防范均有要求。
(6). 硬件需求
根據性能需求、安全需求、數據量需求、業務需求,需要一定的硬件配置。
注:具體需求可參考具體案例
下圖反映的是外門戶建設的應用視圖:
6.1 數據交換與集成
數據交換與集成是外門戶綜合展現數據的前提。需要與其它系統、數據中心進行數據交換,甚至把數據集成進行梳理,才能進行應用。
方欣公司為那些面臨著有很多的分布在不同地方的復雜業務數據的企業提供一整套的解決方案,我們的解決方案是基于ESB(Enterprise Service Bus)架構的,通過定義一個虛擬的服務總線,將各種異構數據整合進來,并且按照業界標準定義這些數據的對外接口,降低外部系統訪問信息數據的復雜性,并可重用或者組合基礎服務來快速響應業務流程變化,節省運營成本,提高ROI(Return On Investment,投資回報)。
方欣公司的解決方案已消除或減少了因異構數據分布在不同地方的所帶來的問題,主要是以下幾個方面:
在企業中,“黑盒”的存在使得業務流程改變很難。(“黑盒”是指數據轉換和應用是用代碼寫死在系統中,或者指數據處理流程隱藏在業務系統中)。
作為一個基于ESB的解決方案,方欣的產品套件給用戶提供了一個快速實時訪問企業中各種數據資源的能力,這些數據資源也可以稱為業務信息資源,一個業務信息資源代表一個著一個企業內的業務數據實體,比如文件,數據庫,或者是一些數據的集合,如客戶,訂單,發票等等。
下圖展現了方欣產品的總體架構:
技術架構圖
從圖中所示,我們產品是基于ESB的理念,在內部,它提供一個容器(或者成為服務總線)處理接入的各種數據,這些數據由交換平臺自身提供的組件接入,然后將這些數據轉換成內部統一的消息對象,經過內部邏輯處理后,再轉換成適合業務系統使用的數據。產品核心引擎在與不同的后臺系統或數據源做處理,減少前端用戶的接口復雜程度。
6.2 統一數據展現平臺
基于Portal 平臺的政府信息集成框架,試圖以最小的代價在企業應用系統的構架層次上,為政府提供了一個跨越多種分散的、內部和外部的信息處理過程的集成紐帶,把這些信息整合到一起。
Foresee iPSF(Intelligence Portal Service Framework)門戶平臺是方欣科技自主研發的基于SOA的信息門戶平臺,提供一套基于瀏覽器的門戶管理工具,采用圖形化工具來指定Portlet在頁面內的缺省布局以及門戶內的頁面次序等,通過門戶功能模塊設定的信息采用XML格式并部署到門戶服務器。門戶一旦部署以后,就能夠利用基于瀏覽器的管理工具對它進行管理和定制。
通過門戶管理工具的功能菜單,用戶可以進行新增站點、復制模板、粘貼模板、站點風格修改、站點框架修改、內容框架修改、收展外框、預覽站點、保存、取消等動作。
Foresee Portal基于標準、利用控件體系結構進行應用開發。這種開發集J2EE、門戶等開發為一體化。即在一個IDE中完成所有的開發。
Foresee Portal Server簡單易用、功能強大,為web應用開發者提高web應用系統的開發效率,并降低采購和使用管理成本。具有方便應用系統集成,允許客戶以最小代價將開發完成的web應用系統轉變為portlet組件以便插入門戶服務器。
主要功能特性:
方欣Portal平臺主要是為網站后臺提供管理和維護的工具,實現網站頁面、欄目的布局、外觀顯示和樣式可根據需要靈活的模板定制。
頁面版式設計提供“所見即所得”的圖形化方式實現,支持拖放、粘貼復制等操作。頁面管理、欄目管理和模板管理要清晰,頁面管理實現自定義頁面布局和欄目配置,包括首頁、次頁、三級、四級頁面都可以在后臺定制和管理;欄目管理實現靈活方便的定義欄目模板,使頁面風格多元化,輕松方便的定義頁面欄目的名稱,位置順序,無需代碼開發即可編輯、插入、修改和刪除一般頁面元素;模板管理主要實現上傳下載的功能,并可以在線進行鼠標拖放、增加、刪除、修改,為不同頁面選擇相同或不同模板。網站的變更或升級,當網站需要改版時,原有的網站結構仍可以保留,按照新的網站策劃,在根目錄下創建新的欄目結構。
維護工具提供個性化的、結構化的信息訪問和應用程序的無縫集成功能,提供基于web的可視化桌面工作環境。Portal平臺通過后臺構建維護工具可對一些保障系統正常運行的基本信息和一些個性化的要求進行靈活配置。采用后臺數據維護方式即可實現網頁信息的更新發布,也就是網頁可從后臺數據庫中提取所需的信息內容,動態生成頁面,并且可定制從后臺數據庫提取的字段、處理邏輯、顯示方式及可查詢字段等。
方欣Portal平臺具有以下功能特性:
? 支持業內標準的門戶平臺框架(JSR168/JSR268);
? 個性化服務針對不同的用戶提供不同的服務內容與接口;
? 支持智能建站,提供站點復制、粘貼等功能,能創建自定義的門戶布局,并能對框架、版式、布局、素材進行靈活調整;支持多級站點的管理,各級子站資助管理本級站點的用戶、權限、模板和信息,上級站點可控制下級站點的權限和功能;
? 支持跨平臺運行,如Windows, Linux, Unix等;
? 頁面管理支持站點首頁、次頁、三級、四級的頁面都是通過Portal進行定制和管理;
? 欄目管理支持欄目的復制、粘貼、剪切等功能,欄目復制時,欄目下的子欄目能一起被復制;
? 模板管理支持在線進行鼠標拖放、增加、刪除、修改Portlet的能力,版式也可以個性化修改和自定義模版;Portlet具有樣式、外觀等個性化定制能力,所見即所得的模板編輯功能;
? 多站點與虛擬門戶支持。支持在同一平臺上創建和管理多個虛擬門戶,每個虛擬門戶站點有自己的URL、外觀、頁面、用戶和用戶組、以及搜索索引等,每個虛擬門戶網站都由各自的管理員進行管理。對于現有的門戶系統,提供簡便快捷的方式來進行擴充創建更多個虛擬門戶;
? 預置Portlets。通過產品包及網站提供大量預置的實現各種功能的Portlets組件,實現快速配置及高效益時間比;
? 能按照組織機構進行分級權限管理,系統中的權限基于角色定義、分配與管理,支持與 CA的銜接。包括用戶管理、組織管理、角色管理和權限數據的管理;
? 方便易用的Portlets構建工具。提供方便快速的Portlets構建工具,能夠給予向導式的開發方式,快速開發服務組件,并能通過重用現有組件的方式,基于后端系統快速建立起符合SOA架構的聚合應用;
? 支持異構的門戶群集(門戶群集中的各個節點,可以分別安裝到不同的操作系統平臺上)門戶管理;
? 提供統一的基于WEB的管理工具。可以進行頁面、頁面風格、頁面布局管理。支持遠程portlet安裝、卸載、部署。支持應用聯機部署。管理過程提供詳細的日志記錄;
? 提供審計日志,監控使用人員,管理人員對門戶的各種操作。同時提供在線性能分析工具;
? 支持快速建站工具。通過向導即可以創建站點。提供豐富的內外網站點模板;
? 支持SSL協議;
? 支持不同粒度的訪問控制,如門戶級、頁面級、portlet級等。
? 支持動態概要表。這種機制幫助開發人員快速、容易地從一份基礎代碼中創建多樣的高度定制的應用而不需要額外的代碼更改、重新部署文件或者發布HTML和JSP。開發人員只需要為構建器申請不同的概要表來產生多變的應用以適應變化的外觀、業務邏輯、數據源和工作流。
? 提供Porlet性能分析功能。
支持短信、郵件等多種渠道提醒功能接口。
6.3 門戶應用服務器群集
就像冗余部件可以使你免于硬件故障一樣,群集技術則可以使你免于整個系統的癱瘓以及操作系統和應用層次的故障。一臺服務器集群包含多臺擁有共享數據存儲空間的服務器,各服務器之間通過內部局域網進行互相連接;當其中一臺服務器發生故障時,它所運行的應用程序將與之相連的服務器自動接管;
也正因為多臺服務器互相連接,通過負載均衡技術,也可大大提高了系統的性能。
6.4 數據庫
政府門戶的數據庫一般采用Oracle產品。一方面是政府采購方面的限制,另一方面Oralce產品在功能、平臺兼容性、性能、安全等方面均有出色的表現。
目前Oralce 10g在政府單位中廣泛應用。
6.5 防火墻
所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法,它是一種計算機硬件和軟件的結合,使Interne 防火墻與Intranet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成,
防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件。該計算機流入流出的所有網絡通信和數據包均要經過此防火墻。
在網絡中,所謂“防火墻”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說,如果不通過防火墻,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
防火墻的作用可概括如下:
(1). 防火墻能強化安全策略。
(2). 防火墻能有效地記錄Internet上的活動。
(3). 防火墻限制暴露用戶點。防火墻能夠用來隔開網絡中一個網段與另一個網段。這樣,能夠防止影響一個網段的問題通過整個網絡傳播。
(4). 防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點,使可疑的訪問被拒絕于門外。
注:防火墻產品很多,客戶可根據實際需要進行購買。如:天融信防火墻。
6.6 防篡改
目前,網站安全建設主要是由防火墻、入侵檢測/漏洞掃描構成的兩層防護體系。該體系對于網站攻擊防范具有局限性,以下從技術方面進行闡述:
(1)從設計思想的角度分析,防火墻、入侵檢測/漏洞掃描等安全類產品都需要依賴于特定的規則庫來識別威脅,由于規則的形成或升級必然落后于攻擊手段的變更,這在一定程度上為網站攻擊提供了時間的空隙,從目前發生的大多數網站/網頁被篡改的案例分析,主要是借助這個時間差進行的。因此,基于特征庫的進行安全防范的產品或系統是無法確保網站內容安全的。
(2)從技術實現的角度分析,防火墻、入侵檢測/漏洞掃描等安全類產品主要是針對鏈路層、網絡層信息進行威脅識別,然而,從近幾年網站篡改的大量案例來看,攻擊過程所包含的信息內容在鏈路層、網絡層都是合法的,問題其實主要出現在應用層面,因此傳統的安全防護體系對此類攻擊的防范效果不甚理想。
網站安全形勢嚴峻,如何應對網站安全威脅,構建一個完善的網站安全體系成為了近些年內容安全領域的重要課題之一。在這樣的背景下,網頁防篡改系統應運而生,此類系統解決了傳統的兩層防護體系中存在的安全漏洞,采用“容災為主、預防為輔”的設計思想,從應用層面解決網站內容安全的問題。
此類系統主要的防護功能不依賴于特征庫,采用“強認證”機制確保內容正確性。因此,該系統不受網站攻擊手段變化帶來的負面影響,是一款充分體現“以不變應萬變”設計思想的安全類軟件。
此類系統在技術實現方面也完全不同于防火墻、入侵檢測等產品,其主要關注應用層信息的合法性。該系統以嵌入式過濾技術為核心,輔以其他預防性保護技術,從而形成針對網站文件的多層次縱深防御體系。
6.6.1 InfoGuard防纂改解決方案
InforGuard網頁防篡改系統(以下簡稱InforGuard)是目前國內唯一采用四重防護技術、既完全保護網站不發送被篡改的頁面內容又保證網站內無被篡改頁面滯留的Web頁面保護軟件。InforGuard的四重防護技術使其在防篡改理念、安全性及性能等諸多方面遠遠領先于同類產品。
InforGuard的主要功能是實時監控用戶的Web站點,洞察黑客、病毒等對網站的網頁、電子文檔、圖片等文件進行破壞或非法修改。一旦文件遭到破壞,系統會立即恢復被破壞的文件,并向管理人員報警。它支持Windows、Linux和Solaris、HP-UX、AIX等多種Unix操作系統,支持IIS、Apache、Weblogic、WebSphere等主流的Web服務器軟件。
6.6.2 InfoGuard防纂改功能
| 類別 | 功能點 | 描述 |
| 監控與恢復功能 | 支持Web核心內嵌機制 | 產品使用核心內嵌技術,處理網絡異常、斷線恢復等情況,確保每個對外發送網頁的正確性 |
| 支持事件觸發機制 | 產品使用事件觸發,實時恢復被非法篡改的文件 | |
| 支持數字水印檢測機制 | 產品對網頁的合法性采用數字水印檢測機制 | |
| 網頁發送時比較網頁和數字水印,確保網頁文件合法性 | 產品采用了核心內嵌技術,支持網頁發送時的水印比較,確保用戶在客戶端看到網頁的真實性和合法性 | |
| 支持多Web/應用服務器的并發驗證 | 產品支持多Web/應用服務器的并發驗證,支持多虛擬主機及虛擬目錄。 | |
| 支持所有類型文件的監控與恢復 | 能夠有效保護任何類型的文件,支持所有類型文件的自動恢復 | |
| 支持所有操作事件的監控與恢復,包括增加/刪除/修改/重命名 | 產品監控所有對保護目錄的操作事件,包括增加/刪除/修改/重命名等操作并能夠實時恢復。 | |
| 檢測與恢復可以不依賴于網站請求 | 產品確保一旦文件被篡改能夠在第一時間迅速恢復,且可以不依賴于網頁請求 | |
| 監控恢復具備實時特性,不存在非法文件存活期 | 文件的監控及實時恢復操作均在毫秒內完成,實時恢復被篡改的頁面,不存在非法文件存活期 | |
| 支持斷線/連線狀態下的自動監控 | 支持斷線狀態下的自動監控與保護,確保網站內沒有非法文件存留 | |
| 支持文件驅動保護 | 產品的實時阻斷技術可以預先禁止非法程序對備份目錄的添加/刪除/修改/更名/屬性變更等操作 | |
| 支持程序自我保護 | 產品的自我保護功能可以預先禁止非法程序對備份目錄及產品安裝目錄的添加/刪除/修改/更名/屬性變更等操作 | |
| 支持斷線狀態下部分非法行為的恢復操作 | 產品在斷線狀態下的自動監控與保護,確保網站內沒有非法文件存留,同時可以恢復部分非法行為網頁的操作,包括新建/重命名等非法操作 | |
| 支持連線狀態下所有非法行為的恢復操作 | 支持斷線狀態下的自動監控與保護,確保網站內沒有非法文件存留,實時恢復被非法篡改的網頁 | |
| 可以按不同容器選擇待檢測的網頁 | 產品可以按不同容器選擇待檢測的網頁,靈活制定相應的監控策略 | |
| 支持完善的監控策略、恢復策略定制,包括文件過濾、目錄過濾、類型過濾、模糊過濾等 | 產品的監控策略、恢復策略可以靈活定制,包括文件過濾、目錄過濾、類型過濾、模糊過濾等 | |
| 支持非法篡改事件的證據留存 | 一旦網頁文件被篡改,則系統在自動恢復之前先將被篡改的文件備份起來,以供日后對攻擊事件調查取證。 | |
| 發發布與同步功能 | 支持自動/手動精確同步 | 產品支持自動/手動兩種方式的精確同步。 |
| 支持自動/手動增量同步 | 產品支持自動/手動增量同步 | |
| 產品支持事件觸發方式的自動同步與更新 | 產品支持事件觸發方式的自動同步與更新,可以實時更新網站文件 | |
| 產品支持自動周期性掃描對比進行非法篡改文件的同步和更新 | 產品支持自動周期性掃描對比進行非法篡改文件的同步和更新,可以按照預先設定的掃描周期更新網站文件 | |
| 產品支持手動掃描對比進行非法篡改文件的同步和更新 | 產品支持手動掃描對比進行非法篡改文件的同步和更新,可以按照預先設定的掃描周期掃描對比網站文件,恢復和更新網站文件 | |
| 產品支持同步過濾規則可配置,包括文件過濾、目錄過濾、類型過濾、模糊過濾等 | 產品支持同步過濾規則可配置,包括文件過濾、目錄過濾、類型過濾、模糊過濾等 | |
| 自動執行發布端向多臺網站服務器的文件同步 | 產品支持集群、多機熱備,自動執行多個Web/應用服務器的同步 | |
| 支持多虛擬主機/目錄的并發同步 | InforGuard網頁防篡改系統對并發監控網站數量沒有限制。InforGuard支持多虛擬主機,可自動實時監控多個網站或文件系統;支持多虛擬目錄,可自動實時監控多個文件目錄。通過這兩項功能,從而達到并發實時監控與效率的完美結合。 | |
| 支持內容管理系統CMS | 產品支持CMS等內容管理系統 | |
| 支持文件/目錄的增加/刪除/修改/重命名 | 產品支持文件/目錄的增加/刪除/修改/重命名 | |
| 支持網絡異常的自動恢復 | 產品支持網絡異常的自動恢復 | |
| 支持發布失敗的自動重試 | 產品支持發布失敗的自動重試 | |
| 支持跨防火墻、網閘等安全或隔離設備的通信 | 產品支持跨防火墻、網閘等安全或隔離設備的通信,可以通過相關策略的配置實現 | |
| 報報警功能 | 支持報警級別設置,并根據不同設置并進行聲光告警,支持故障恢復后告警狀態自動消除或者人工手動消除告警 | 產品支持各種報警方式,報警級別可以根據需要靈活設置,支持故障恢復后告警狀態自動消除或者人工手動消除告警 |
| 支持常規報警模式(聲音、電子郵件) | 提供監控日志、頁面恢復日志、訪問控制日志等多樣化的日志記錄,提供日志的導入,導出,下載,查詢,審計等功能。 | |
| 支持兩種高級報警模式(手機短信、電話鈴聲) | 產品支持手機短信、電話鈴聲等報警模式 | |
| 支持網站集中拓撲監控,并支持多種展示方式(全部、分級、分組等) | 支持網站集中拓撲監控,并支持多種展示方式包括全部、分級、分組等 | |
| 支持服務(WEB和自身保護進程)停止告警 | 產品支持服務停止告警,包括web和自身保護進程 | |
| 審審計功能 | 支持網站更新維護的日志查詢、統計、保存等功能 | 產品支持日志查詢(按網站查詢、日期查詢、復合查詢等);支持日志統計(圖形顯示、列表顯示等);產品支持日志保存(excel格式)。 |
| 支持系統自身管理維護和告警日志的查詢、統計、保存等功能 | 產品系統自身管理維護和告警日志查詢(按網站查詢、日期查詢、復合查詢等);支持系統自身管理維護和告警日志統計(圖形顯示、列表顯示等);支持系統自身管理維護和告警日志保存(excel格式)。。 | |
| 具備圖形、列表等多種展示方式 | 產品日志分析具備圖形、列表等多種展示方式。 | |
| 支持多種條件的復合查詢、統計 | 產品支持多種組合方式的日志查詢,包括按網站查詢、日期查詢、復合查詢等 | |
| 備備份功能 | 產品支持在遠程手動對監控網站進行全部或增量備份 | 產品支持在遠程手動對監控網站進行全部或增量備份 |
| 產品支持運行過程中的自動化增量備份,即在發布的同時進行備份 | 產品支持運行過程中的自動化增量備份,即在發布的同時進行備份 | |
| 產品支持多級增量備份,包括所有網站備份、單一網站備份、特定目錄備份、特定文件備份等 | 產品支持多級增量備份,包括所有網站備份、單一網站備份、特定目錄備份、特定文件備份等 | |
| 產品支持手動備份的規則設置,包括文件過濾、目錄過濾、類型過濾、模糊過濾、時間范圍過濾、文件長度范圍過濾等 | 產品支持手動備份的規則設置,包括文件過濾、目錄過濾、類型過濾、模糊過濾、時間范圍過濾、文件長度范圍過濾等 | |
| 產品支持自動備份的規則設置,包括文件過濾、目錄過濾、類型過濾、模糊過濾等 | 產品支持自動備份的規則設置,包括文件過濾、目錄過濾、類型過濾、模糊過濾等 |
6.6.3 顯著特點
6.6.3.1 四重保護,縱深防御
實時阻斷:阻斷所有非法進程對受保護文件的寫操作,將篡改直接拒之于門外。
事件觸發:實時發現受保護文件的任何變更,并依據判斷結果觸發相應的后續保護性處理。
核心內嵌:依據數字指紋技術,驗證所有對外發布文件的合法性,確保無法瀏覽到被篡改網頁。
防SQL注入:屏蔽網站惡意掃描,有效地抵御針對網站數據庫資源的注入式攻擊。
圖20 四重防護示意圖
6.6.3.2 環境普適,全面支持
隨著網站應用的深入,基于安全性、穩定性等方面的考慮,越來越多的高端網站在保留原有windows環境的基礎上,新系統逐步向linux/unix平臺遷移。因此,很多網站目前往往同時具備了windows、linux、unix等多種平臺環境,除此之外,采用的Web/應用服務器軟件、發布軟件更是種類繁多。在這種情況下,防篡改產品的環境兼容性就顯得格外重要,InforGuard網頁防篡改系統是目前國內同類產品中支持環境最全面、兼容性最完善的一款產品。
支持所有主流操作系統,包括windows、linux、unix等;
圖21 產品支持操作系統環境
支持所有主流的Web/應用服務器軟件,包括IIS、Apache、IBM Http Server、iPlanet、WebSphere、WebLogic、SunOne、Oracle IAS 、Resin、Tomcat、JBoss、InforSuite AS、TongWeb、Apusic等。
圖22 產品支持Web/應用服務器軟件
支持諸多廠商的CMS發布系統,如TRS、方正翔宇、TurboCMS、PowerEasy CMS、大漢、南華中天、網達、穎源、ActiveContent、新銳開元KYCMS、風訊、FesendCMS、GPowerCMS、天創等。
6.6.3.3 分布部署,集中監管
隨著網站應用的不斷深入,網站建設及運維有了新的特點:
(1). 越來越多的網站呈現了分布部署的局面,即網站由多個子網站構成,且各子網站部署在跨互聯網的多個網絡節點上。為了保證網站維護效率,各子網站的發布更新服務也呈現分布部署的狀況,但是管理上卻希望能夠集中進行,以降低管理成本。
(2). 某些超大規模網站運營管理行業,如電信、網通等,維護著大量的網站設備,且有可能分布在多個IDC機房。考慮到運維效率,用戶往往需要進行統一的管理。
在充分研究網站運維發展趨勢的基礎上,InforGuard前瞻性地提出了分布部署、遠程集中監管的概念。首先,在分布于互聯網上的區域單位內部署防篡改系統,支持本地化的網站監控及管理維護能力。其次,還支持在上級中心部署監管平臺SP,通過該平臺以B/S方式對部署于互聯網上各個區域單位的防篡改系統進行統一的監控管理。
圖23 集中管理示意圖
6.6.3.4 產品遵循規范及標準
InforGuard遵循的相關工業標準、規范如下:
網絡相關協議及標準
l TCP/IP protocol family
l HTTP 1.0/1.1
l SSL 3.0
l CORBA
JEE?相關規范
InforGuard全面遵循了JEE5.0的規范,實現的規范包括:
l Enterprise Java Beans3.0
l Java Servlet 2.5
l JavaServer Pages 2.1
l JSP Debugging1.0
l JavaServer Pages Standard Tag Library1.2
l Java Naming and Directory Interface 1.2 Specification
l Java Transaction API (JTA)1.1
l Java Transaction Service(JTS) 1.0
l Java Authorization Contract for Containers (JACC)1.1
l Java Authentication and Authorization Service (JAAS) 1.0
l JavaMail 1.4
l JDBC 3.0 API (JDBC specification)
l J2EE Connector Architecture 1.5
l J2EE Application Deployment
l J2EE Management
l Java Management Extensions1.2
l Java Business Integration(JBI) 1.0 Specification
Web Services相關規范
InforGuard實現和支持以下Web Services相關規范:
l Implementing Enterprise Web Services
l Java API for XML-Based Web Services (JAX-WS) 2.0
l Java API for XML-Based RPC (JAX-RPC) 1.1
l Java Architecture for XML Binding (JAXB) 2.0
l Simple Object Access Protocol (SOAP) 1.1
l Simple Object Access Protocol (SOAP) 1.2
l SOAP with Attachments API for Java (SAAJ)
l WSDL1.1
l Streaming API for XML
l Web Services Metadata for the Java Platform
XML相關規范
l XML1.0
l XML Namespaces 1.0
l SAX 2.0 API
l DOM Level 2 Core Recommendation
l XSL 1.0
l XML Schema Part 1: Structures Second Edition
XML Schema Part 2: Datatypes Second Edition
6.7 VPN建設
虛擬專用網絡(Virtual Private Network ,簡稱VPN)指的是在公用網絡上建立專用網絡的技術。其之所以稱為虛擬網,主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網絡服務商所提供的網絡平臺,如Internet、ATM(異步傳輸模式〉、Frame Relay (幀中繼)等之上的邏輯網絡,用戶數據在邏輯鏈路中傳輸。它涵蓋了跨共享網絡或公共網絡的封裝、加密和身份驗證鏈接的專用網絡的擴展。VPN主要采用了彩隧道技術、加解密技術、密鑰管理技術和使用者與設備身份認證技術。
VPN屬于遠程訪問技術,簡單地說就是利用公網鏈路架設私有網絡。例如公司員工出差到外地,他想訪問企業內網的服務器資源,這種訪問就屬于遠程訪問。怎么才能讓外地員工訪問到內網資源呢?VPN的解決方法是在內網中架設一臺VPN服務器,VPN服務器有兩塊網卡,一塊連接內網,一塊連接公網。外地員工在當地連上互聯網后,通過互聯網找到VPN服務器,然后利用VPN服務器作為跳板進入企業內網。為了保證數據安全,VPN服務器和客戶機之間的通訊數據都進行了加密處理。有了數據加密,就可以認為數據是在一條專用的數據鏈路上進行安全傳輸,就如同專門架設了一個專用網絡一樣。但實際上VPN使用的是互聯網上的公用鏈路,因此只能稱為虛擬專用網。即:VPN實質上就是利用加密技術在公網上封裝出一個數據通訊隧道。有了VPN技術,用戶無論是在外地出差還是在家中辦公,只要能上互聯網就能利用VPN非常方便地訪問內網資源,這就是為什么VPN在企業中應用得如此廣泛。
也就是說,虛擬專用網的應用可解決這些問題:
(1)使用VPN可降低成本——通過公用網來建立VPN,就可以節省大量的通信費用,而不必投入大量的人力和物力去安裝和維護WAN(廣域網)設備和遠程訪問設備。
(2)傳輸數據安全可靠——虛擬專用網產品均采用加密及身份驗證等安全技術,保證連接用戶的可靠性及傳輸數據的安全和保密性。
(3)連接方便靈活——用戶如果想與合作伙伴聯網,如果沒有虛擬專用網,雙方的信息技術部門就必須協商如何在雙方之間建立租用線路或幀中繼線路,有了虛擬專用網之后,只需雙方配置安全連接信息即可。
(4)完全控制——虛擬專用網使用戶可以利用ISP的設施和服務,同時又完全掌握著自己網絡的控制權。用戶只利用ISP提供的網絡資源,對于其它的安全設置、網絡管理變化可由自己管理。在企業內部也可以自己建立虛擬專用網。
6.8 硬件建設
外門戶建設的硬件一般根據性能需求、安全需求、數據量需求、業務需求而定。下面羅列的是外門戶建設中的通用性硬件:
| 硬件設備 | 說明 |
| 防火墻 | 一個機房只需要配置一臺防火墻即可 |
| 負載均衡器 | 負載均衡器一般非單一系統使用 |
| 應用服務器群 | 根據需要部署多臺應用服務器 |
| 后臺管理服務器 | 性能一般即可 |
| 數據庫服務器 | 一般需要高性能 |
| 防篡改服務器 | 非單一系統使用,性能要求一般 |
7 內門戶建設方案
內門戶建設一般會考慮以下需求:
(1). 單點登陸。通過內門戶可以直接使用其它系統,避免使用不同系統時的復雜過程。
(2). 數據綜合查詢。通過內門戶直接查詢綜合數據,避免登陸不同系統或使用不同系統功能進行數據查詢。
(3). 統一業務辦事。把其它系統的待辦事項集中在內門戶顯示,然后可以點擊鏈接到其它系統進行具體辦理。避免登陸不同系統查看待辦事項。
(4). 頁面集成。又稱為“功能集成”,把其它系統的功能頁面直接集成到內門戶中,登陸內門戶后就好像直接登陸了其它系統一樣,可以直接使用其它系統的功能。
下圖是內門戶建設的應用視圖:
7.1 單點登陸
單點登錄(SSO,SingleSign-on)是一種方便用戶訪問多個系統的技術,用戶只需在登錄時進行一次注冊,就可以在多個系統間自由穿梭,不必重復輸入用戶名和密碼來確定身份。單點登錄的實質就是安全上下文(SecurityContext)或憑證(Credential)在多個應用系統之間的傳遞或共享。當用戶登錄系統時,客戶端軟件根據用戶的憑證(例如用戶名和密碼)為用戶建立一個安全上下文,安全上下文包含用于驗證用戶的安全信息,系統用這個安全上下文和安全策略來判斷用戶是否具有訪問系統資源的權限。
這樣做有以下主要的優點:
(1). 更方便——用戶只需記住一個口令;
(2). 增強了安全性——用戶名和口令的組合越少,它們被盜用(獲取對用戶受限信息的訪問權)的可能性就越小。
(3). 易于管理——管理員只需要管理較少的口令。
我們選用開源的CAS產品來實現SS0,CAS的原理如下圖:
圖 CAS原理圖
上圖是一個最基礎的 CAS 協議,下面說明單點登陸的過程:
(1). 請求過程。CAS Client 以 Filter 方式保護 Web 應用的受保護資源,過濾從客戶端過來的每一個 Web 請求,同時, CAS Client 會分析 HTTP 請求中是否包請求 Service Ticket( 上圖中的 Ticket) ,如果沒有,則說明該用戶是沒有經過認證的,于是, CAS Client 會重定向用戶請求到 CAS Server
(2). 用戶認證過程。如果用戶提供了正確的 Credentials , CAS Server 會產生一個隨機的 Service Ticket ,然后,緩存該 Ticket ,并且重定向用戶到 CAS Client (附帶剛才產生的 Service Ticket ), Service Ticket 是不可以偽造的,CAS Client 和 CAS Server 之間完成了一個對用戶的身份核實,用 Ticket 查到 Username ,因為 Ticket 是 CAS Server 產生的,因此,所以 CAS Server 的判斷是毋庸置疑的。
(3). 登陸過程。如果認證通過,則可以登陸相關的應用系統。
此功能已經集成到我公司portal平臺,登陸內門戶即可實現所有集成應用系統的登陸,從而實現單點登陸,下圖是內門戶登陸界面。
7.2 數據交換與集成
數據交換與集成是內門戶應用的基礎。需要與其它系統、數據中心進行數據交換,甚至把數據集成進行梳理,才能進行應用。
具體介紹可參考:6.1數據交換與集成
7.3 統一數據展現平臺
具體參見:6.2統一數據展現平臺
7.4 統一查詢
內門戶為方便用戶辦公、查詢所需要數據,會提供統一的查詢界面。這樣,用戶不需要使用其它系統,直接在內門戶中即可查詢數據。
統一查詢基于數據交換與集成,應用如下圖所示:
7.5 統一業務辦理
這樣,用戶不需要進入不同的系統查看待辦事項,也不需要記住辦事哪些業務需要進入哪個系統。
7.6 頁面集成
又稱為“功能集成”,把其它系統的功能頁面直接集成到內門戶中,登陸內門戶后就好像直接登陸了其它系統一樣,可以直接使用其它系統的功能。
8 實施案例
8.1 廣州市XXX局外門戶建設項目
??? 隨著信息化的發展,局機關信息化辦公系統越來越多,越來越復雜。也導致了信息量越來越多,越來越分散,導致對外發布信息時更困難。
公??? 眾對局機關業務辦理要求越來越高。局機關需要利用信息網絡技術,整合政府資源,形成跨部門的“一站式”服務,使公眾可以在任何地點、任何時間均可獲得政府的公共服務,形成了所謂“無時不在、無處不在”的“全天候”政府。同時,利用信息網絡技術,與公眾越來越廣泛和深入地實現互動,使工作透明度和公眾參與度空前提高。
外門戶的建設視圖如下:
8.2 廣州市XXX內門戶建設項目
項目的建設目標如下所述:
1. 交換平臺開發。基于SOA架構交換體系構建一個強大的數據交換基礎平臺,使各部門應用系統在統一的授權管理下,實現互聯互通、資源共享;實現對分散異構信息資源的無縫整合,實現信息資源的最大增值。
2. 數據及業務整合。制定統一的數據交換標準和業務數據交換規范,并在此基礎上構建高效的數據交換平臺。通過數據交換平臺實現與網站、OA辦公自動化系統、行政審批系統、數字化城市管理系統、郵件系統等信息系統的數據交換和共享。建立廣州市城市管理委員會內部門戶,基于數據交換平臺集成業務系統待辦、已辦任務,為各類用戶提供統一的信息訪問入口和一站式的服務,實現OA系統、網站系統、行政審批系統、數字化城市管理系統、郵件系統和其他業務系統的全面集成,以統一的內門戶展現各系統數據。
3. 單點登陸。基于數據交換平臺建立統一用戶管理認證庫,實現各系統統一用戶管理;實現從內部門戶可以單點登錄其他業務系統。
4. 接口開發。基于交換平臺及數據與業務的整合,設計開發行政審批系統、OA系統、短信平臺、郵件系統、數字化城市管理系統接口。如將網站上受理的主任/局長信箱、咨詢建議等政民互動欄目信息通過數據交換平臺轉至數字化城市管理系統處理,處理完成后的結果能在網站上進行顯示;通過交換系統將網站上受理的在線申請轉至行政審批系統進行處理,處理完成后的結果能在網站上進行顯示。
5. 內門戶綜合展現。搭建統一的內部門戶工作平臺,實現各信息系統的用戶、組織和權限的統一管理;實現單點登錄功能;實現各信息系統待辦事項的整合;實現對在線消息、郵件、短信等溝通手段的有效整合。
下圖反映的是內門戶的整體結構:
轉載于:https://www.cnblogs.com/pengzhaojun/articles/2286388.html
總結
- 上一篇: 工作108:vue里面wangEdit编
- 下一篇: 前端学习(2744):重读vue电商网站