【文章內(nèi)容簡介】 應(yīng)用系統(tǒng)設(shè)計應(yīng)遵循物流行業(yè)的相關(guān)標(biāo)準(zhǔn)。 9. 可維護性 工程建設(shè)是一個長期的過程，系統(tǒng)建成后仍需不斷修正和完善，所以設(shè)計中應(yīng)充分考慮系統(tǒng)的可維護性，系統(tǒng)的文檔資料應(yīng)規(guī)范齊全。 10. 可靠性、安全性、保密性 物流公共 信息平臺涉及面廣，設(shè)計上要充分考慮其大量硬件設(shè)備、軟件系統(tǒng)和數(shù)據(jù)信息資源的實時服務(wù)特點，要保證網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)的安全，保證系統(tǒng)運行的可靠，防止單點故障，對涉密信息應(yīng)充分保證其安全。對物流公共信息平臺的安全管理要充分考慮安全、成本、效率三者的權(quán)重，并求得適度的平衡。對整個系統(tǒng)要有周密的關(guān)鍵業(yè)務(wù)系統(tǒng)不間斷運行和系統(tǒng)備份方案設(shè)計。對系統(tǒng)主要的信息實行自動備份，以保證系統(tǒng)的異常情況的補救，并設(shè)有系統(tǒng)自動恢復(fù)機制。采取必要措施防止數(shù)據(jù)丟失，保證數(shù)據(jù)的一致性，保證系統(tǒng)運行過程中的高可靠性。 11. 易用性 為了確保保稅區(qū)相關(guān)管 理部門及區(qū)內(nèi)企業(yè)中具有不同計算機應(yīng)用水平的人員均能夠?qū)ζ脚_中應(yīng)用系統(tǒng)快速地掌握并進行方便地使用，要重視用戶界面的友好性和方便性，易于上手，便于使用。重點考慮用戶使用上的接受程度、企業(yè)上網(wǎng)辦事的效率及上網(wǎng)成本等各種因素。 . 平臺總體架構(gòu)設(shè)計 為了滿足平臺的應(yīng)用功能需求，我們?yōu)樘旖虮６悈^(qū)設(shè)計了如下的應(yīng)用架構(gòu)，如下圖所示： 北京軟通動力科技有限公司 內(nèi)部保密資料 第 8頁 共 260 頁 天津港保稅區(qū)公共物流信息平臺方案建議書 圖 平臺總體架構(gòu)圖 其中，公共信息平臺包括以下模塊： ? 門戶系統(tǒng)： 向用戶提供面向保稅區(qū)物流業(yè)務(wù)的整合信息發(fā)布、信息檢索服務(wù)。由于保稅物流業(yè)務(wù)中涉及政府、行業(yè)監(jiān)管、駐區(qū)機構(gòu)、企業(yè) 等多種主體，各種信息分布在不同網(wǎng)站上，信息割裂問題突出，因此，需要通過物流公共信息平臺將各種相關(guān)信息進行梳理、集成，并提供一攬子信息服務(wù)。 ? 安全訪問控制系統(tǒng)： 需要解決這些待整合系統(tǒng)的統(tǒng)一身份認(rèn)證問題，實現(xiàn)多個系統(tǒng)的單點登錄，并且能夠支持多種認(rèn)證技術(shù) ,如電子鑰匙技術(shù)、 IC 卡認(rèn)證技術(shù)等。 ? 身份管理系統(tǒng)及權(quán)限管理： 提供使用信息工作平臺的用戶及組織的全生命周期的管理為維護，例如用戶及組織的創(chuàng)建、人員及組織變更等等，直至用戶聲明周期的結(jié)束。 ? 輔助決策支持系統(tǒng)： 提供報表設(shè)置功能，通過完善的 OLAP 交互分析功能 ，可對數(shù)據(jù)進行全面的挖掘、切片、分析處理，從而能簡便的揭示數(shù)據(jù)間的內(nèi)在聯(lián)系。 ? 短信及郵件服務(wù)平臺： 北京軟通動力科技有限公司 內(nèi)部保密資料 第 9頁 共 260 頁 天津港保稅區(qū)公共物流信息平臺方案建議書 為公共信息平臺的各個應(yīng)用提供短信及郵件接口。 ? 應(yīng)用服務(wù)器： 提供 J2EE 運行環(huán)境，保稅物流服務(wù)系統(tǒng)、物流監(jiān)管系統(tǒng)、電子物流商務(wù)、供應(yīng)鏈可視化等系統(tǒng)均需要在 J2EE 運行環(huán)境中運行。 ? 數(shù)據(jù)交換中心 ： 提供數(shù)據(jù)交換的核心功能，利用 數(shù)據(jù)交換中心 提供的接口，主要包括公共平臺與外部系統(tǒng)的數(shù)據(jù)采集、數(shù)據(jù)發(fā)布、數(shù)據(jù)交換；并提供公共平臺內(nèi)部各個系統(tǒng)之間的數(shù)據(jù)集成。其中， 數(shù)據(jù)交換中心 與外圍其他應(yīng)用做數(shù)據(jù)交換，主要包括： ? 電子口 岸 ? 海關(guān)監(jiān)管系統(tǒng) ? 檢驗檢疫系統(tǒng) ? 企業(yè) ERP 系統(tǒng) 在 數(shù)據(jù)交換中心 的建設(shè)中，我們充分考慮了公共信息平臺未來的可擴展性和兼容性，預(yù)留了平臺對下列系統(tǒng)的訪問接口： ? 港區(qū) EDI ? 銀行 ? 稅務(wù) ? 相關(guān)行業(yè)平臺 ? 空港海關(guān)監(jiān)管 ? 統(tǒng)一用戶管理系統(tǒng)： 基于 LDAP 標(biāo)準(zhǔn)的目錄服務(wù)器，存儲公共平臺的組織和用戶數(shù)據(jù)。它能提供比關(guān)系型數(shù)據(jù)庫更快的檢索和查詢能力。 北京軟通動力科技有限公司 內(nèi)部保密資料 第 10 頁 共 260 頁 天津港保稅區(qū)公共物流信息平臺方案建議書 . 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計 圖 平臺網(wǎng)絡(luò)結(jié)構(gòu)圖 說明： 在保稅區(qū)網(wǎng)絡(luò)中的核心交換機上劃分 VLAN，使內(nèi)部服務(wù)器（認(rèn)證系統(tǒng)、漏洞掃描系統(tǒng)、郵件系統(tǒng)、入侵檢測系統(tǒng)、入侵監(jiān)測系統(tǒng)、 OA、防病毒系統(tǒng)等）、業(yè)務(wù)應(yīng)用服務(wù)器、業(yè)務(wù)數(shù)據(jù)庫服務(wù)器、內(nèi)部桌面系統(tǒng)等連接到相應(yīng)的 VLAN，并設(shè)置相應(yīng)的訪問控制列表，以保證系統(tǒng)的安全。 連接 Inter 使用兩層防火墻，來自 Inter 的訪問只能連接到第一層防火墻，從而充分保證第二層防火墻內(nèi)的數(shù)據(jù)安全。 內(nèi)部桌面系統(tǒng)用戶通過核心交換機訪問業(yè)務(wù)系統(tǒng)、郵件系統(tǒng)、 OA等系統(tǒng)。 海關(guān)、口岸、國檢、港區(qū) EDI 計劃 通過 專網(wǎng) 進行訪問業(yè)務(wù)系統(tǒng)。 北京軟通動力科技有限公司 內(nèi)部保密資料 第 11 頁 共 260 頁 天津港保稅區(qū)公共物流信息平臺方案建議書 . 數(shù)據(jù)交換中心 設(shè)計 圖 數(shù)據(jù)交換中心架構(gòu)圖 如上圖所示， 數(shù)據(jù)交換中心 主要提供三方面的系統(tǒng)功能： 1) 數(shù)據(jù)交換 ：與天津電子口岸，海關(guān)監(jiān)管系統(tǒng)、檢驗檢疫系統(tǒng)、企業(yè) ERP 等進行數(shù)據(jù)交換，系統(tǒng)在未來規(guī)劃了港區(qū) EDI、銀行、稅務(wù)、外管局等相關(guān)行業(yè)平臺的數(shù)據(jù)交換。從而在數(shù)據(jù)的層面上支持了“一站式通關(guān)支持系統(tǒng)”、“貨況跟蹤系統(tǒng)”等業(yè)務(wù)系統(tǒng)。 2) 數(shù)據(jù)存儲：公共信息平臺與外部系統(tǒng)交換所得的數(shù)據(jù)，需要存儲在本地數(shù)據(jù)庫當(dāng)中，把報關(guān)、報檢、港口作業(yè)申請、相關(guān)審批信息以及企業(yè) ERP 信息通過交換過程中的“落地”存儲和信息的采集整合，形成保稅區(qū)內(nèi)物流信的較為完整的集合，供門戶網(wǎng)站和數(shù)據(jù)分析和挖掘使用。 3) 數(shù)據(jù)共享：交換系統(tǒng)對外部相關(guān)系統(tǒng)提供的信息 進行格式處理和數(shù)據(jù)整合，利用門戶系統(tǒng)對保稅物流公共信息平臺的用戶進行授權(quán)發(fā)布；用戶可根據(jù)授權(quán)瀏覽或下載。 在提供以上三方面的系統(tǒng)功能之外， 數(shù)據(jù)交換中心 依靠成熟的軟件產(chǎn)品，同時保證了數(shù) 北京軟通動力科技有限公司 內(nèi)部保密資料 第 12 頁 共 260 頁 天津港保稅區(qū)公共物流信息平臺方案建議書 據(jù)傳輸?shù)陌踩院蛿?shù)據(jù)認(rèn)證和授權(quán)要求。 . 安全體系結(jié)構(gòu)設(shè)計 圖 平臺安全體系結(jié)構(gòu)圖 1) Inter 區(qū)域 移動用戶、企業(yè)用戶和其他的 Web 申報終端分布在 Inter 區(qū)域，這類用戶通過 SSL VPN 方式建立到保稅區(qū) SSL VPN 網(wǎng)關(guān)的通訊加密連接，嚴(yán)格的用戶、密碼認(rèn)證、 CA認(rèn) 證等有效措施，防止非法的撥入訪問，保證用 戶身份的驗證和授權(quán)，企業(yè)用戶建議 在自己的出口部署防火墻等安全產(chǎn)品。 2) 政府外網(wǎng)區(qū)域 在政府外網(wǎng)部署千兆防火墻，并在防火墻劃分 4 個區(qū)域 1， Inter 區(qū)域，同 Inter 直接連接。 2， SSl VPN 區(qū)域，部署 SSl VPN 網(wǎng)關(guān)，通過前置機建立業(yè)務(wù)平臺對外的安全區(qū)域。 北京軟通動力科技有限公司 內(nèi)部保密資料 第 13 頁 共 260 頁 天津港保稅區(qū)公共物流信息平臺方案建議書 3，政府外網(wǎng) DMZ 區(qū)域，政府對外宣傳的門戶放置在此區(qū)域，實現(xiàn)同其它區(qū)域的邏輯 隔離，保障門戶主機的安全，門戶主機還采用了用雙機熱備方式保證關(guān)鍵業(yè)務(wù)的高 可靠性和高可用性。 4，連接內(nèi)網(wǎng)防火墻區(qū)域，實現(xiàn)到內(nèi)網(wǎng)的雙層防火墻保護。 3) 政府內(nèi) 網(wǎng)區(qū)域 通過國產(chǎn)防火墻實現(xiàn)同政府外網(wǎng)的隔離。政府內(nèi)網(wǎng)劃分 3 個區(qū)域： 1，同政府外網(wǎng)連 接區(qū)域； 2， DMZ 區(qū)域，平臺應(yīng)用系統(tǒng)在 DMZ 區(qū)域，防止其它區(qū)域的非法攻擊。 3 政 府內(nèi)網(wǎng)辦公區(qū)域，為政府內(nèi)網(wǎng)用戶區(qū)域 。 4,政府業(yè)務(wù)平臺同其它政府職能部門對接 區(qū)域。 4) 4 政府網(wǎng)間對接區(qū)域 該區(qū)域部署業(yè)務(wù)前置機、網(wǎng)閘，防火墻，并通過網(wǎng)閘實現(xiàn)數(shù)據(jù)交換，充分保證數(shù)據(jù) 安全交換，保障對接網(wǎng)絡(luò)的安全性。 . 方案的優(yōu)勢 ? 利用公共信息平臺，為企業(yè)提供跨區(qū)域的“一站式、一號式、一證式”服務(wù)，實現(xiàn)執(zhí)法 /職能單位相關(guān)業(yè)務(wù)流程整合，提高服務(wù)企業(yè)效 率。 ? 系統(tǒng)設(shè)計應(yīng)采用新型的 Inter/Extra/Intra 技術(shù)，多層、集中與分布式相結(jié)合的 B/S/D 三層體系結(jié)構(gòu)；采用 J2EE 應(yīng)用服務(wù)器、 數(shù)據(jù)交換中間件 。符合J2EE、 XML、 Web Service、 SOA 等先進的國際技術(shù)標(biāo)準(zhǔn)。 ? 對業(yè)務(wù)可持續(xù)擴展的支撐架構(gòu)，可以靈活的適應(yīng)天津保稅區(qū)未來的業(yè)務(wù)發(fā)展。 ? 門戶服務(wù)器作為展現(xiàn)層集成框架，可以實現(xiàn)保稅區(qū)內(nèi)部應(yīng)用和外部應(yīng)用的界面集成；不僅在本期實現(xiàn)“一站式通關(guān)支持系統(tǒng)”、“貨況跟蹤系統(tǒng)”、“內(nèi)容發(fā)布系統(tǒng)”的界面集成，而且對于天津保稅區(qū)未來規(guī)劃的應(yīng)用也 可以輕松集成。 ? 數(shù)據(jù)交換中間件 作為應(yīng)用和數(shù)據(jù)的集成框架，保證安全、可靠的進行數(shù)據(jù)交換和數(shù)據(jù)共享，作為瘦客戶端的集中式交換平臺，軟通推薦的方案更具備擴展性，大大減少了集成的開發(fā)工作量。 北京軟通動力科技有限公司 內(nèi)部保密資料 第 14 頁 共 260 頁 天津港保稅區(qū)公共物流信息平臺方案建議書 ? 安全訪問控制系統(tǒng)獨立于任何應(yīng)用，能夠提供針對保稅區(qū)所有系統(tǒng)的安全訪問控制認(rèn)證機制，大大提高了政府行業(yè)的系統(tǒng)安全級別。 . 關(guān)鍵問題及解決方案 . 平臺與其他系統(tǒng)對接的網(wǎng)絡(luò)安全 公共信息平臺的安全保障 業(yè)務(wù)平臺同企業(yè)的連接，企業(yè)通過 VPN 同放置在政府外網(wǎng)的業(yè)務(wù)平臺前置機連接，企業(yè)通過前置機同業(yè)務(wù)平臺交換數(shù)據(jù)，數(shù)據(jù)交換都在前置機終結(jié)，前置 機在將業(yè)務(wù)數(shù)據(jù)傳遞到政府內(nèi)網(wǎng)的應(yīng)用平臺完成數(shù)據(jù)交換。 前置機連接安全性： 企業(yè)通過 VPN 連接政府外網(wǎng)的應(yīng)用平臺前置機， VPN 保證數(shù)據(jù)鏈路安全和通過 CA 證書保證身份驗證，通過前置機應(yīng)用保證數(shù)字簽名和數(shù)據(jù)的可靠性和可確認(rèn)性。 前置機安全性： 部署在政府外網(wǎng)的應(yīng)用平臺前置機應(yīng)放置在防火墻的專用區(qū)域保證前置機的安全性，在防火墻和 VPN 上配置嚴(yán)格的訪問控制策略，并在管理上制訂嚴(yán)格的安全策略。 前置機到政府內(nèi)網(wǎng)安全性： 前置機需要通過政府內(nèi)網(wǎng)防火墻到達業(yè)務(wù)平臺，在政府內(nèi)網(wǎng)防火墻上配置安全策略和訪問控制，并在應(yīng)用上配置最小權(quán) 限等，實現(xiàn)對政府內(nèi)外應(yīng)用平臺的安全訪問。 企業(yè)平臺的安全保障 企業(yè)需要通過前置機同政府應(yīng)用平臺前置機交換數(shù)據(jù)，主要面臨如下安全問題： 前置機連接安全性： 企業(yè)通過 VPN 連接政府外網(wǎng)的應(yīng)用平臺前置機， VPN 保證數(shù)據(jù)鏈路安全和通過 CA 證書保證身份驗證，通過前置機應(yīng)用保證數(shù)字簽名和數(shù)據(jù)的可靠性和可確認(rèn)性。 前置機安全性： 部署在企業(yè)的前置機有一些不確定因素，如企業(yè)是否有防火墻等安全產(chǎn)品，我們需要制訂企業(yè)前置機連接和管理規(guī)范，要求企業(yè)將前置機部署在防火墻的專用區(qū)域，采取嚴(yán)格的訪問控制策略，如外網(wǎng)禁止訪問前置機，前置機只 允許建立到政府應(yīng)用平臺的 VPN 連接，前置機訪問企業(yè)內(nèi)網(wǎng)指定的服務(wù)器等。 前置機到企業(yè)內(nèi)網(wǎng)安全性： 前置機需要到企業(yè)內(nèi)網(wǎng)取數(shù)據(jù)，我們應(yīng)同企業(yè)共同定 北京軟通動力科技有限公司 內(nèi)部保密資料 第 15 頁 共 260 頁 天津港保稅區(qū)公共物流信息平臺方案建議書 義所取數(shù)據(jù)格式和內(nèi)容，所取數(shù)據(jù)應(yīng)對企業(yè)透明，并有記錄可查，保證企業(yè)私有信息安全。 海關(guān)業(yè)務(wù)專網(wǎng)間對接的安全保障 政府內(nèi)網(wǎng)需要同海關(guān)、電子口岸等其它政府專網(wǎng)交換數(shù)據(jù)，主要面臨如下安全問題： 前置機連接安全性： 政府內(nèi)網(wǎng)的應(yīng)用平臺前置機通過網(wǎng)閘實現(xiàn)其它政府專網(wǎng)前置機的連接，通過防火墻、網(wǎng)閘和專有線路保證網(wǎng)絡(luò)連接上的安全，同時網(wǎng)閘起到網(wǎng)絡(luò)的物理隔離和應(yīng)用數(shù)據(jù)的信息交換作用 ，保證同一時刻只有單向的數(shù)據(jù)通道。 前置機安全性： 前置機部署在防火墻的專用區(qū)域在都在網(wǎng)閘的后面，制訂嚴(yán)格的訪問控制策略，保證政府信息系統(tǒng)的安全性。 前置機到政府內(nèi)網(wǎng)安全性： 前置機需要到其它政府職能部門內(nèi)網(wǎng)進行數(shù)據(jù)交換，我們應(yīng)同其它政府職能部門共同定義所取數(shù)據(jù)格式和內(nèi)容，所取數(shù)據(jù)應(yīng)對其它政府職能部門透明，并有記錄可查，保證企業(yè)私有信息安全。 . 平臺授權(quán)與訪問控制 授權(quán)與訪問控制系統(tǒng)邏輯結(jié)構(gòu) 北京軟通動力科技有限公司 內(nèi)部保密資料 第 16 頁 共 260 頁 天津港保稅區(qū)公共物流信息平臺方案建議書 圖 平臺授權(quán)與訪問控制示意圖 具體說明如下： ? 客戶端 ︰這包括各種不同類型的終端設(shè)備。 ? 安全層 ︰此層面提供 與 Web 用戶安全管理有關(guān)的主要服務(wù)，建立統(tǒng)一的用戶目錄服務(wù)，提供論證反向代理，集中論證用戶的各種訪問方式。同時，根據(jù)用戶的身份，提供用戶論證 /授權(quán)的基于策略的服務(wù)。為了提供用戶高效的 WEB 訪問服務(wù)，建議采用高速緩沖功能，與應(yīng)用服務(wù)層的門戶服務(wù)器集群一起提供服務(wù)，一方面，利用門戶服務(wù)器集群提供容錯和負載均衡的 Web 服務(wù)；另一方面，也利用門戶服務(wù)器的集群功能，無縫支