【文章內(nèi)容簡(jiǎn)介】 應(yīng)用系統(tǒng)設(shè)計(jì)應(yīng)遵循物流行業(yè)的相關(guān)標(biāo)準(zhǔn)。 9. 可維護(hù)性 工程建設(shè)是一個(gè)長(zhǎng)期的過程，系統(tǒng)建成后仍需不斷修正和完善，所以設(shè)計(jì)中應(yīng)充分考慮系統(tǒng)的可維護(hù)性，系統(tǒng)的文檔資料應(yīng)規(guī)范齊全。 10. 可靠性、安全性、保密性 物流公共 信息平臺(tái)涉及面廣，設(shè)計(jì)上要充分考慮其大量硬件設(shè)備、軟件系統(tǒng)和數(shù)據(jù)信息資源的實(shí)時(shí)服務(wù)特點(diǎn)，要保證網(wǎng)絡(luò)、系統(tǒng)、數(shù)據(jù)的安全，保證系統(tǒng)運(yùn)行的可靠，防止單點(diǎn)故障，對(duì)涉密信息應(yīng)充分保證其安全。對(duì)物流公共信息平臺(tái)的安全管理要充分考慮安全、成本、效率三者的權(quán)重，并求得適度的平衡。對(duì)整個(gè)系統(tǒng)要有周密的關(guān)鍵業(yè)務(wù)系統(tǒng)不間斷運(yùn)行和系統(tǒng)備份方案設(shè)計(jì)。對(duì)系統(tǒng)主要的信息實(shí)行自動(dòng)備份，以保證系統(tǒng)的異常情況的補(bǔ)救，并設(shè)有系統(tǒng)自動(dòng)恢復(fù)機(jī)制。采取必要措施防止數(shù)據(jù)丟失，保證數(shù)據(jù)的一致性，保證系統(tǒng)運(yùn)行過程中的高可靠性。 11. 易用性 為了確保保稅區(qū)相關(guān)管 理部門及區(qū)內(nèi)企業(yè)中具有不同計(jì)算機(jī)應(yīng)用水平的人員均能夠?qū)ζ脚_(tái)中應(yīng)用系統(tǒng)快速地掌握并進(jìn)行方便地使用，要重視用戶界面的友好性和方便性，易于上手，便于使用。重點(diǎn)考慮用戶使用上的接受程度、企業(yè)上網(wǎng)辦事的效率及上網(wǎng)成本等各種因素。 . 平臺(tái)總體架構(gòu)設(shè)計(jì) 為了滿足平臺(tái)的應(yīng)用功能需求，我們?yōu)樘旖虮６悈^(qū)設(shè)計(jì)了如下的應(yīng)用架構(gòu)，如下圖所示： 北京軟通動(dòng)力科技有限公司 內(nèi)部保密資料 第 8頁(yè) 共 260 頁(yè) 天津港保稅區(qū)公共物流信息平臺(tái)方案建議書 圖 平臺(tái)總體架構(gòu)圖 其中，公共信息平臺(tái)包括以下模塊： ? 門戶系統(tǒng)： 向用戶提供面向保稅區(qū)物流業(yè)務(wù)的整合信息發(fā)布、信息檢索服務(wù)。由于保稅物流業(yè)務(wù)中涉及政府、行業(yè)監(jiān)管、駐區(qū)機(jī)構(gòu)、企業(yè) 等多種主體，各種信息分布在不同網(wǎng)站上，信息割裂問題突出，因此，需要通過物流公共信息平臺(tái)將各種相關(guān)信息進(jìn)行梳理、集成，并提供一攬子信息服務(wù)。 ? 安全訪問控制系統(tǒng)： 需要解決這些待整合系統(tǒng)的統(tǒng)一身份認(rèn)證問題，實(shí)現(xiàn)多個(gè)系統(tǒng)的單點(diǎn)登錄，并且能夠支持多種認(rèn)證技術(shù) ,如電子鑰匙技術(shù)、 IC 卡認(rèn)證技術(shù)等。 ? 身份管理系統(tǒng)及權(quán)限管理： 提供使用信息工作平臺(tái)的用戶及組織的全生命周期的管理為維護(hù)，例如用戶及組織的創(chuàng)建、人員及組織變更等等，直至用戶聲明周期的結(jié)束。 ? 輔助決策支持系統(tǒng)： 提供報(bào)表設(shè)置功能，通過完善的 OLAP 交互分析功能 ，可對(duì)數(shù)據(jù)進(jìn)行全面的挖掘、切片、分析處理，從而能簡(jiǎn)便的揭示數(shù)據(jù)間的內(nèi)在聯(lián)系。 ? 短信及郵件服務(wù)平臺(tái)： 北京軟通動(dòng)力科技有限公司 內(nèi)部保密資料 第 9頁(yè) 共 260 頁(yè) 天津港保稅區(qū)公共物流信息平臺(tái)方案建議書 為公共信息平臺(tái)的各個(gè)應(yīng)用提供短信及郵件接口。 ? 應(yīng)用服務(wù)器： 提供 J2EE 運(yùn)行環(huán)境，保稅物流服務(wù)系統(tǒng)、物流監(jiān)管系統(tǒng)、電子物流商務(wù)、供應(yīng)鏈可視化等系統(tǒng)均需要在 J2EE 運(yùn)行環(huán)境中運(yùn)行。 ? 數(shù)據(jù)交換中心 ： 提供數(shù)據(jù)交換的核心功能，利用 數(shù)據(jù)交換中心 提供的接口，主要包括公共平臺(tái)與外部系統(tǒng)的數(shù)據(jù)采集、數(shù)據(jù)發(fā)布、數(shù)據(jù)交換；并提供公共平臺(tái)內(nèi)部各個(gè)系統(tǒng)之間的數(shù)據(jù)集成。其中， 數(shù)據(jù)交換中心 與外圍其他應(yīng)用做數(shù)據(jù)交換，主要包括： ? 電子口 岸 ? 海關(guān)監(jiān)管系統(tǒng) ? 檢驗(yàn)檢疫系統(tǒng) ? 企業(yè) ERP 系統(tǒng) 在 數(shù)據(jù)交換中心 的建設(shè)中，我們充分考慮了公共信息平臺(tái)未來的可擴(kuò)展性和兼容性，預(yù)留了平臺(tái)對(duì)下列系統(tǒng)的訪問接口： ? 港區(qū) EDI ? 銀行 ? 稅務(wù) ? 相關(guān)行業(yè)平臺(tái) ? 空港海關(guān)監(jiān)管 ? 統(tǒng)一用戶管理系統(tǒng)： 基于 LDAP 標(biāo)準(zhǔn)的目錄服務(wù)器，存儲(chǔ)公共平臺(tái)的組織和用戶數(shù)據(jù)。它能提供比關(guān)系型數(shù)據(jù)庫(kù)更快的檢索和查詢能力。 北京軟通動(dòng)力科技有限公司 內(nèi)部保密資料 第 10 頁(yè) 共 260 頁(yè) 天津港保稅區(qū)公共物流信息平臺(tái)方案建議書 . 網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì) 圖 平臺(tái)網(wǎng)絡(luò)結(jié)構(gòu)圖 說明： 在保稅區(qū)網(wǎng)絡(luò)中的核心交換機(jī)上劃分 VLAN，使內(nèi)部服務(wù)器（認(rèn)證系統(tǒng)、漏洞掃描系統(tǒng)、郵件系統(tǒng)、入侵檢測(cè)系統(tǒng)、入侵監(jiān)測(cè)系統(tǒng)、 OA、防病毒系統(tǒng)等）、業(yè)務(wù)應(yīng)用服務(wù)器、業(yè)務(wù)數(shù)據(jù)庫(kù)服務(wù)器、內(nèi)部桌面系統(tǒng)等連接到相應(yīng)的 VLAN，并設(shè)置相應(yīng)的訪問控制列表，以保證系統(tǒng)的安全。 連接 Inter 使用兩層防火墻，來自 Inter 的訪問只能連接到第一層防火墻，從而充分保證第二層防火墻內(nèi)的數(shù)據(jù)安全。 內(nèi)部桌面系統(tǒng)用戶通過核心交換機(jī)訪問業(yè)務(wù)系統(tǒng)、郵件系統(tǒng)、 OA等系統(tǒng)。 海關(guān)、口岸、國(guó)檢、港區(qū) EDI 計(jì)劃 通過 專網(wǎng) 進(jìn)行訪問業(yè)務(wù)系統(tǒng)。 北京軟通動(dòng)力科技有限公司 內(nèi)部保密資料 第 11 頁(yè) 共 260 頁(yè) 天津港保稅區(qū)公共物流信息平臺(tái)方案建議書 . 數(shù)據(jù)交換中心 設(shè)計(jì) 圖 數(shù)據(jù)交換中心架構(gòu)圖 如上圖所示， 數(shù)據(jù)交換中心 主要提供三方面的系統(tǒng)功能： 1) 數(shù)據(jù)交換 ：與天津電子口岸，海關(guān)監(jiān)管系統(tǒng)、檢驗(yàn)檢疫系統(tǒng)、企業(yè) ERP 等進(jìn)行數(shù)據(jù)交換，系統(tǒng)在未來規(guī)劃了港區(qū) EDI、銀行、稅務(wù)、外管局等相關(guān)行業(yè)平臺(tái)的數(shù)據(jù)交換。從而在數(shù)據(jù)的層面上支持了“一站式通關(guān)支持系統(tǒng)”、“貨況跟蹤系統(tǒng)”等業(yè)務(wù)系統(tǒng)。 2) 數(shù)據(jù)存儲(chǔ)：公共信息平臺(tái)與外部系統(tǒng)交換所得的數(shù)據(jù)，需要存儲(chǔ)在本地?cái)?shù)據(jù)庫(kù)當(dāng)中，把報(bào)關(guān)、報(bào)檢、港口作業(yè)申請(qǐng)、相關(guān)審批信息以及企業(yè) ERP 信息通過交換過程中的“落地”存儲(chǔ)和信息的采集整合，形成保稅區(qū)內(nèi)物流信的較為完整的集合，供門戶網(wǎng)站和數(shù)據(jù)分析和挖掘使用。 3) 數(shù)據(jù)共享：交換系統(tǒng)對(duì)外部相關(guān)系統(tǒng)提供的信息 進(jìn)行格式處理和數(shù)據(jù)整合，利用門戶系統(tǒng)對(duì)保稅物流公共信息平臺(tái)的用戶進(jìn)行授權(quán)發(fā)布；用戶可根據(jù)授權(quán)瀏覽或下載。 在提供以上三方面的系統(tǒng)功能之外， 數(shù)據(jù)交換中心 依靠成熟的軟件產(chǎn)品，同時(shí)保證了數(shù) 北京軟通動(dòng)力科技有限公司 內(nèi)部保密資料 第 12 頁(yè) 共 260 頁(yè) 天津港保稅區(qū)公共物流信息平臺(tái)方案建議書 據(jù)傳輸?shù)陌踩院蛿?shù)據(jù)認(rèn)證和授權(quán)要求。 . 安全體系結(jié)構(gòu)設(shè)計(jì) 圖 平臺(tái)安全體系結(jié)構(gòu)圖 1) Inter 區(qū)域 移動(dòng)用戶、企業(yè)用戶和其他的 Web 申報(bào)終端分布在 Inter 區(qū)域，這類用戶通過 SSL VPN 方式建立到保稅區(qū) SSL VPN 網(wǎng)關(guān)的通訊加密連接，嚴(yán)格的用戶、密碼認(rèn)證、 CA認(rèn) 證等有效措施，防止非法的撥入訪問，保證用 戶身份的驗(yàn)證和授權(quán)，企業(yè)用戶建議 在自己的出口部署防火墻等安全產(chǎn)品。 2) 政府外網(wǎng)區(qū)域 在政府外網(wǎng)部署千兆防火墻，并在防火墻劃分 4 個(gè)區(qū)域 1， Inter 區(qū)域，同 Inter 直接連接。 2， SSl VPN 區(qū)域，部署 SSl VPN 網(wǎng)關(guān)，通過前置機(jī)建立業(yè)務(wù)平臺(tái)對(duì)外的安全區(qū)域。 北京軟通動(dòng)力科技有限公司 內(nèi)部保密資料 第 13 頁(yè) 共 260 頁(yè) 天津港保稅區(qū)公共物流信息平臺(tái)方案建議書 3，政府外網(wǎng) DMZ 區(qū)域，政府對(duì)外宣傳的門戶放置在此區(qū)域，實(shí)現(xiàn)同其它區(qū)域的邏輯 隔離，保障門戶主機(jī)的安全，門戶主機(jī)還采用了用雙機(jī)熱備方式保證關(guān)鍵業(yè)務(wù)的高 可靠性和高可用性。 4，連接內(nèi)網(wǎng)防火墻區(qū)域，實(shí)現(xiàn)到內(nèi)網(wǎng)的雙層防火墻保護(hù)。 3) 政府內(nèi) 網(wǎng)區(qū)域 通過國(guó)產(chǎn)防火墻實(shí)現(xiàn)同政府外網(wǎng)的隔離。政府內(nèi)網(wǎng)劃分 3 個(gè)區(qū)域： 1，同政府外網(wǎng)連 接區(qū)域； 2， DMZ 區(qū)域，平臺(tái)應(yīng)用系統(tǒng)在 DMZ 區(qū)域，防止其它區(qū)域的非法攻擊。 3 政 府內(nèi)網(wǎng)辦公區(qū)域，為政府內(nèi)網(wǎng)用戶區(qū)域 。 4,政府業(yè)務(wù)平臺(tái)同其它政府職能部門對(duì)接 區(qū)域。 4) 4 政府網(wǎng)間對(duì)接區(qū)域 該區(qū)域部署業(yè)務(wù)前置機(jī)、網(wǎng)閘，防火墻，并通過網(wǎng)閘實(shí)現(xiàn)數(shù)據(jù)交換，充分保證數(shù)據(jù) 安全交換，保障對(duì)接網(wǎng)絡(luò)的安全性。 . 方案的優(yōu)勢(shì) ? 利用公共信息平臺(tái)，為企業(yè)提供跨區(qū)域的“一站式、一號(hào)式、一證式”服務(wù)，實(shí)現(xiàn)執(zhí)法 /職能單位相關(guān)業(yè)務(wù)流程整合，提高服務(wù)企業(yè)效 率。 ? 系統(tǒng)設(shè)計(jì)應(yīng)采用新型的 Inter/Extra/Intra 技術(shù)，多層、集中與分布式相結(jié)合的 B/S/D 三層體系結(jié)構(gòu)；采用 J2EE 應(yīng)用服務(wù)器、 數(shù)據(jù)交換中間件 。符合J2EE、 XML、 Web Service、 SOA 等先進(jìn)的國(guó)際技術(shù)標(biāo)準(zhǔn)。 ? 對(duì)業(yè)務(wù)可持續(xù)擴(kuò)展的支撐架構(gòu)，可以靈活的適應(yīng)天津保稅區(qū)未來的業(yè)務(wù)發(fā)展。 ? 門戶服務(wù)器作為展現(xiàn)層集成框架，可以實(shí)現(xiàn)保稅區(qū)內(nèi)部應(yīng)用和外部應(yīng)用的界面集成；不僅在本期實(shí)現(xiàn)“一站式通關(guān)支持系統(tǒng)”、“貨況跟蹤系統(tǒng)”、“內(nèi)容發(fā)布系統(tǒng)”的界面集成，而且對(duì)于天津保稅區(qū)未來規(guī)劃的應(yīng)用也 可以輕松集成。 ? 數(shù)據(jù)交換中間件 作為應(yīng)用和數(shù)據(jù)的集成框架，保證安全、可靠的進(jìn)行數(shù)據(jù)交換和數(shù)據(jù)共享，作為瘦客戶端的集中式交換平臺(tái)，軟通推薦的方案更具備擴(kuò)展性，大大減少了集成的開發(fā)工作量。 北京軟通動(dòng)力科技有限公司 內(nèi)部保密資料 第 14 頁(yè) 共 260 頁(yè) 天津港保稅區(qū)公共物流信息平臺(tái)方案建議書 ? 安全訪問控制系統(tǒng)獨(dú)立于任何應(yīng)用，能夠提供針對(duì)保稅區(qū)所有系統(tǒng)的安全訪問控制認(rèn)證機(jī)制，大大提高了政府行業(yè)的系統(tǒng)安全級(jí)別。 . 關(guān)鍵問題及解決方案 . 平臺(tái)與其他系統(tǒng)對(duì)接的網(wǎng)絡(luò)安全 公共信息平臺(tái)的安全保障 業(yè)務(wù)平臺(tái)同企業(yè)的連接，企業(yè)通過 VPN 同放置在政府外網(wǎng)的業(yè)務(wù)平臺(tái)前置機(jī)連接，企業(yè)通過前置機(jī)同業(yè)務(wù)平臺(tái)交換數(shù)據(jù)，數(shù)據(jù)交換都在前置機(jī)終結(jié)，前置 機(jī)在將業(yè)務(wù)數(shù)據(jù)傳遞到政府內(nèi)網(wǎng)的應(yīng)用平臺(tái)完成數(shù)據(jù)交換。 前置機(jī)連接安全性： 企業(yè)通過 VPN 連接政府外網(wǎng)的應(yīng)用平臺(tái)前置機(jī)， VPN 保證數(shù)據(jù)鏈路安全和通過 CA 證書保證身份驗(yàn)證，通過前置機(jī)應(yīng)用保證數(shù)字簽名和數(shù)據(jù)的可靠性和可確認(rèn)性。 前置機(jī)安全性： 部署在政府外網(wǎng)的應(yīng)用平臺(tái)前置機(jī)應(yīng)放置在防火墻的專用區(qū)域保證前置機(jī)的安全性，在防火墻和 VPN 上配置嚴(yán)格的訪問控制策略，并在管理上制訂嚴(yán)格的安全策略。 前置機(jī)到政府內(nèi)網(wǎng)安全性： 前置機(jī)需要通過政府內(nèi)網(wǎng)防火墻到達(dá)業(yè)務(wù)平臺(tái)，在政府內(nèi)網(wǎng)防火墻上配置安全策略和訪問控制，并在應(yīng)用上配置最小權(quán) 限等，實(shí)現(xiàn)對(duì)政府內(nèi)外應(yīng)用平臺(tái)的安全訪問。 企業(yè)平臺(tái)的安全保障 企業(yè)需要通過前置機(jī)同政府應(yīng)用平臺(tái)前置機(jī)交換數(shù)據(jù)，主要面臨如下安全問題： 前置機(jī)連接安全性： 企業(yè)通過 VPN 連接政府外網(wǎng)的應(yīng)用平臺(tái)前置機(jī)， VPN 保證數(shù)據(jù)鏈路安全和通過 CA 證書保證身份驗(yàn)證，通過前置機(jī)應(yīng)用保證數(shù)字簽名和數(shù)據(jù)的可靠性和可確認(rèn)性。 前置機(jī)安全性： 部署在企業(yè)的前置機(jī)有一些不確定因素，如企業(yè)是否有防火墻等安全產(chǎn)品，我們需要制訂企業(yè)前置機(jī)連接和管理規(guī)范，要求企業(yè)將前置機(jī)部署在防火墻的專用區(qū)域，采取嚴(yán)格的訪問控制策略，如外網(wǎng)禁止訪問前置機(jī)，前置機(jī)只 允許建立到政府應(yīng)用平臺(tái)的 VPN 連接，前置機(jī)訪問企業(yè)內(nèi)網(wǎng)指定的服務(wù)器等。 前置機(jī)到企業(yè)內(nèi)網(wǎng)安全性： 前置機(jī)需要到企業(yè)內(nèi)網(wǎng)取數(shù)據(jù)，我們應(yīng)同企業(yè)共同定 北京軟通動(dòng)力科技有限公司 內(nèi)部保密資料 第 15 頁(yè) 共 260 頁(yè) 天津港保稅區(qū)公共物流信息平臺(tái)方案建議書 義所取數(shù)據(jù)格式和內(nèi)容，所取數(shù)據(jù)應(yīng)對(duì)企業(yè)透明，并有記錄可查，保證企業(yè)私有信息安全。 海關(guān)業(yè)務(wù)專網(wǎng)間對(duì)接的安全保障 政府內(nèi)網(wǎng)需要同海關(guān)、電子口岸等其它政府專網(wǎng)交換數(shù)據(jù)，主要面臨如下安全問題： 前置機(jī)連接安全性： 政府內(nèi)網(wǎng)的應(yīng)用平臺(tái)前置機(jī)通過網(wǎng)閘實(shí)現(xiàn)其它政府專網(wǎng)前置機(jī)的連接，通過防火墻、網(wǎng)閘和專有線路保證網(wǎng)絡(luò)連接上的安全，同時(shí)網(wǎng)閘起到網(wǎng)絡(luò)的物理隔離和應(yīng)用數(shù)據(jù)的信息交換作用 ，保證同一時(shí)刻只有單向的數(shù)據(jù)通道。 前置機(jī)安全性： 前置機(jī)部署在防火墻的專用區(qū)域在都在網(wǎng)閘的后面，制訂嚴(yán)格的訪問控制策略，保證政府信息系統(tǒng)的安全性。 前置機(jī)到政府內(nèi)網(wǎng)安全性： 前置機(jī)需要到其它政府職能部門內(nèi)網(wǎng)進(jìn)行數(shù)據(jù)交換，我們應(yīng)同其它政府職能部門共同定義所取數(shù)據(jù)格式和內(nèi)容，所取數(shù)據(jù)應(yīng)對(duì)其它政府職能部門透明，并有記錄可查，保證企業(yè)私有信息安全。 . 平臺(tái)授權(quán)與訪問控制 授權(quán)與訪問控制系統(tǒng)邏輯結(jié)構(gòu) 北京軟通動(dòng)力科技有限公司 內(nèi)部保密資料 第 16 頁(yè) 共 260 頁(yè) 天津港保稅區(qū)公共物流信息平臺(tái)方案建議書 圖 平臺(tái)授權(quán)與訪問控制示意圖 具體說明如下： ? 客戶端 ︰這包括各種不同類型的終端設(shè)備。 ? 安全層 ︰此層面提供 與 Web 用戶安全管理有關(guān)的主要服務(wù)，建立統(tǒng)一的用戶目錄服務(wù)，提供論證反向代理，集中論證用戶的各種訪問方式。同時(shí)，根據(jù)用戶的身份，提供用戶論證 /授權(quán)的基于策略的服務(wù)。為了提供用戶高效的 WEB 訪問服務(wù)，建議采用高速緩沖功能，與應(yīng)用服務(wù)層的門戶服務(wù)器集群一起提供服務(wù)，一方面，利用門戶服務(wù)器集群提供容錯(cuò)和負(fù)載均衡的 Web 服務(wù)；另一方面，也利用門戶服務(wù)器的集群功能，無縫支