【文章內(nèi)容簡介】 、統(tǒng)一的開發(fā)環(huán)境，在這個環(huán)境中，面向服務架構(gòu)（SOA）所需要的分布式事務、組件服務、消息服務、Web Services等關鍵技術(shù)的實現(xiàn)變得便捷、高效。 工作流技術(shù)系統(tǒng)中采用公司自行開發(fā)的工作流系統(tǒng)來支持單據(jù)、公文的流轉(zhuǎn)。工作流系統(tǒng)遵循工作流管理聯(lián)盟（Workflow Managemen Coalition，WFMC）制定的相關規(guī)范，體系結(jié)構(gòu)如下：工作流體系結(jié)構(gòu)圖流程定義工具實現(xiàn)圖形、拖曳方式定義，支持分支、循環(huán)、回退等特性。流程管理實現(xiàn)監(jiān)控、強制操作等功能。流程接口通過提供API和控件實現(xiàn)和業(yè)務系統(tǒng)的銜接。流程服務則通過系統(tǒng)服務方式完成如路由、任務催辦等工作。工作流引擎則是工作流程系統(tǒng)的心裝，它的主要職責就是驅(qū)動流程的運轉(zhuǎn)。 數(shù)字證書與電子簽名系統(tǒng)中應用考慮采用自建CA、第三方提供證書的模式搭建CA認證中心數(shù)字證書，來確保系統(tǒng)用戶訪問的合法性、數(shù)據(jù)傳輸?shù)陌踩院碗娮雍灻挠行浴Ｓ脩粼L問的合法性：系統(tǒng)首先把用戶與數(shù)字證書綁定，客戶端登錄時，要求用戶插入USB盤，再輸入用戶名和密碼。該方式，實現(xiàn)了用戶密碼和數(shù)字證書雙因素驗證，確保了用戶訪問的合法性。數(shù)據(jù)加密：系統(tǒng)對一些敏感的數(shù)據(jù)進行加密存儲與傳輸。通過數(shù)字證書的公鑰進行加密，再通過私鑰解密。數(shù)據(jù)在傳輸過程即使被截取，由于沒有私鑰，也沒辦法解密。電子簽名：電子簽名關鍵是要保證其有效性，防偽造、防篡改、防抵賴。系統(tǒng)應用的電子簽名組件和數(shù)字證書綁定在一起，從物理角度保證了電子簽名的安全性。 數(shù)據(jù)倉庫技術(shù)隨著工程業(yè)務應用不斷深入，積累了大量的信息，這些數(shù)據(jù)通過幾年的積累，已構(gòu)成海量級信息，并且企業(yè)管理者也開始逐步考慮如何利用這些信息海洋對企業(yè)的管理決策提供支持，傳統(tǒng)的簡單的報表技術(shù)已不能滿足應用，需要從海量數(shù)據(jù)中提取、存儲、挖掘、展現(xiàn)，為企業(yè)的經(jīng)營分析提供科學依據(jù)。系統(tǒng)采用數(shù)據(jù)倉庫技術(shù)，利用其提供的ETL工具、OLAP分析開發(fā)工具和數(shù)據(jù)挖掘工具（Oracle Data Miner)構(gòu)建與傳統(tǒng)數(shù)據(jù)庫有很大差異的數(shù)據(jù)倉庫環(huán)境，對相關業(yè)務數(shù)據(jù)進行智能分析，為輔助企業(yè)的決策分析提供支持。 采用MVC方式開發(fā)系統(tǒng)系統(tǒng)的開發(fā)采用MVC分層開發(fā)的方式，MVC的結(jié)構(gòu)如下圖所示：將系統(tǒng)的表現(xiàn)層（V）,控制層（C ）和模型層(M)有效分割，可以保證系統(tǒng)高度的可擴展性和可配置性。基于此架構(gòu)，系統(tǒng)各層次間有統(tǒng)一的入口，構(gòu)件有風格一致的入口，保證了個層次間，各構(gòu)件間耦合程度最低。此架構(gòu)中，在模型層（M層），構(gòu)件外部表現(xiàn)均為會話Bean, 對其他構(gòu)件內(nèi)EJB的調(diào)用可以采用本次接口方法。由于采用了類工廠和DAO抽象等設計模式，對不同大型數(shù)據(jù)庫的適應僅需要通過簡單配置即可。在控制層，通過事件傳遞和代理的方式遞交請求和獲取結(jié)果，確保各層間耦合度最低。在表現(xiàn)層，采用模塊組合的方式構(gòu)成頁面，采用TagLib的方式展現(xiàn)數(shù)據(jù)，保證可定制性和可管理性。 采用XML開放標準傳輸數(shù)據(jù)XML是eXtensible Markup Language （可擴展標記語言）的縮寫。是W3C組織于1998年2月發(fā)布的標準。W3C組織制定XML標準的用意是，定義一種互聯(lián)網(wǎng)上交換數(shù)據(jù)的標準。XML是在SGML基礎上，去掉語法定義部分，適當簡化DTD部分，并增加了部分互聯(lián)網(wǎng)特殊成分。因為XML具備DTD定義，所以XML可以所謂派生其他標記語言的元語言。在本系統(tǒng)中，我們完全采用這種符合國際國內(nèi)開放標準的方式進行數(shù)據(jù)的傳輸交換。這樣，可以有效保證各個不同公司的產(chǎn)品，各種不同的系統(tǒng)件可以無縫的互相傳遞數(shù)據(jù)，交換信息。 架構(gòu)設計 系統(tǒng)分層架構(gòu) 服務層“平安工地”安全管理服務層具有資源共享、開放性等特性。通過Portal方式進行服務和資源的訪問和使用。 資源管理和負載均衡管理層“平安工地”安全管理采取負載均衡設計，分軟件、硬件、數(shù)據(jù)緩存等三個層面；采用負載均衡器來實現(xiàn)硬件級的四層交換實現(xiàn)?；蛘卟庞蠽S實現(xiàn)軟件的四層交換負載均衡和資源管理的功能。 虛擬應用層“平安工地”安全管理服務通過應用服務器集群，實現(xiàn)負載均衡，達到性能優(yōu)化目的。整個系統(tǒng)設計，采用MVC的分層設計模式。“平安工地”安全管理應用級采取緩存技術(shù)，采用數(shù)據(jù)緩存、頁面緩存機制兩種緩存方法，達到數(shù)據(jù)訪問效率。 數(shù)據(jù)存儲、網(wǎng)絡安全、云計算 “平安工地”安全管理采取數(shù)據(jù)庫層級，兩種數(shù)據(jù)模式，一個是關系型數(shù)據(jù)庫，另外采用NoSQL的數(shù)據(jù)存儲方式。確保云存儲、云計算的安全。 系統(tǒng)物理架構(gòu) 總體設計原則物理設備的安全：采用高性能的網(wǎng)絡設備和服務器，使設備的故障率降低；對關鍵網(wǎng)絡及網(wǎng)絡設備的關鍵部件進行容錯、冗余備份。網(wǎng)絡數(shù)據(jù)安全：采用先進的技術(shù)手段，如加密技術(shù)、RAID技術(shù)、數(shù)據(jù)備份等，使數(shù)據(jù)的真實性、完整性得到安全保障。資源訪問安全：采用防火墻、認證、權(quán)限等技術(shù)手段，防止黑客的攻擊，確保在進行資源訪問時系統(tǒng)數(shù)據(jù)的安全。建立可靠的防病毒體系：使數(shù)據(jù)免受病毒的侵害，保證應用系統(tǒng)和數(shù)據(jù)的安全。 網(wǎng)絡出口設計根據(jù)網(wǎng)絡規(guī)劃，在網(wǎng)絡出口處部署一臺路由器，通過光纖為公司全網(wǎng)用戶提供高速上網(wǎng)服務，同時連接一臺防火墻隔離來自Internet外網(wǎng)的攻擊。將防火墻劃分為三大區(qū)域，分別為信任區(qū)、非信任區(qū)、DMZ區(qū)，信任區(qū)連接內(nèi)部局域網(wǎng)，可以訪問非信任區(qū)和DMZ區(qū)；非信任區(qū)連接到Internet，只可訪問DMZ區(qū)對外公開服務器的某些服務（如WWW、FTP等）。 核心層設計核心層負責整個辦公局域網(wǎng)絡的數(shù)據(jù)交換，同時也是辦公局域網(wǎng)的路由中心，全網(wǎng)絕大部分第三層、第四層操作都通過核心節(jié)點集中進行，配置一臺三層交換機，千兆電口分別下連至接入層交換機。增強型IPv6強三層萬兆以太網(wǎng)交換機產(chǎn)品，支持最多4個萬兆擴展接口，可以滿足用戶今后帶寬擴容的需求；支持IPv4/IPv6硬件雙棧及線速轉(zhuǎn)發(fā)，使客戶能夠從容應對即將到來的IPv6時代；支持多臺交換機堆疊，可提供良好地彈性擴展能力。 接入層設計 在安全可靠、多業(yè)務融合、易管理和維護等方面為用戶提供全新的技術(shù)特性和解決方案?？稍诮尤雽咏粨Q機進行IPMAC地址綁定、ARP防欺騙等功能，提高網(wǎng)絡的安全性。 系統(tǒng)開發(fā)架構(gòu) 自定義平臺架構(gòu) 設計思想自定義的平臺，讓用戶快速構(gòu)筑自己相關業(yè)務應用和服務，把業(yè)務分析和設計的權(quán)限交給用戶自己，讓用戶真正把握自己真實的業(yè)務。讓用戶真正的關注客戶需求，實現(xiàn)按需定制。具體設計思路，第一：技術(shù)無關性。技術(shù)無關性不是指業(yè)務基礎平臺和實現(xiàn)技術(shù)沒有關系，而是指業(yè)務基礎平臺“屏蔽”了操作系統(tǒng)、軟件基礎架平臺的技術(shù)細節(jié)，開發(fā)人員在利用業(yè)務基礎平臺開發(fā)管理軟件應用系統(tǒng)時，關注的焦點在于企業(yè)業(yè)務邏輯、企業(yè)的運營管理模式，而不用關心采用何種技術(shù)來實現(xiàn)。簡單地說，這種技術(shù)無關性其實也就是跨平臺，即通過業(yè)務基礎平臺開發(fā)的軟件能夠順利地在各種下層異構(gòu)環(huán)境下運行。第二：面向管理業(yè)務。面向業(yè)務人員的設計思路，它使用的更多是業(yè)務人員就能理解的“業(yè)務語言”。消除業(yè)務人員和技術(shù)人員的溝通壁壘，減少溝通障礙，提升溝通效率。為解決管理軟件產(chǎn)業(yè)的業(yè)務人員不懂技術(shù)實現(xiàn)和技術(shù)人員不懂業(yè)務提供了平臺和基礎。讓業(yè)務人員專注業(yè)務管理。 架構(gòu)設計u 界面設計 靈活的界面設計器，讓用戶可以自己靈活的根據(jù)自己的業(yè)務需求和使用習慣，設計自己喜歡的、符合業(yè)務習慣的系統(tǒng)界面。把業(yè)務權(quán)限交給內(nèi)行的用戶。u 業(yè)務規(guī)則定義根據(jù)界面設計器，定義業(yè)務之間的邏輯。定義業(yè)務對象之間的關系和對應對象的屬性。根據(jù)業(yè)務關系，方便的定義，靈活的修改。u 數(shù)據(jù)存儲設計系統(tǒng)根據(jù)用戶的設計的業(yè)務和業(yè)務規(guī)則，自動的進行數(shù)據(jù)存儲設計和存儲實現(xiàn)。首先識別業(yè)務對象，對業(yè)務對象進行邏輯分析，確定業(yè)務對象之間的業(yè)務關系，獲取對象之間的邏輯關系，自動產(chǎn)生業(yè)務存儲對象，同時保存對象關系。 系統(tǒng)模型 “平安工地”分布式架構(gòu) 總體思路資源共享、開發(fā)性、并發(fā)性、可伸縮性、容錯性。 負載均衡設計負載均衡設計是分軟件、硬件、數(shù)據(jù)緩存等三個層面；采用負載均衡器來實現(xiàn)硬件級的四層交換實現(xiàn)。或者才有LVS實現(xiàn)軟件的四層交換負載均衡。通過第三方軟件實現(xiàn)負債均衡，同時也實現(xiàn)頁面緩存。如通過NignX實現(xiàn)反向代理服務器集群，同時也搭建squid集群進行頁面緩存和圖片緩存。 應用架構(gòu)通過應用服務器集群，實現(xiàn)負載均衡，達到性能優(yōu)化目的。整個系統(tǒng)設計，采用MVC的分層設計模式。應用級的緩存技術(shù)，采用數(shù)據(jù)緩存、頁面緩存機制兩種緩存方法，達到數(shù)據(jù)訪問效率。 數(shù)據(jù)存儲設計數(shù)據(jù)庫層級，有兩種數(shù)據(jù)模式，一個是關系型數(shù)據(jù)庫，另外采用NoSQL的數(shù)據(jù)存儲方式。采用No SQL（Not Only SQL）能解決如下問題和情況。 High performance 對數(shù)據(jù)庫高并發(fā)讀寫的需求 Huge Storage 對海量數(shù)據(jù)的高效率存儲和訪問的需求 High Scalability amp。amp。 High Availability 對數(shù)據(jù)庫的高可擴展性和高可用性的需求 “平安工地”云架構(gòu)模式 “平安工地” 安全管理云計算 “平安工地” 安全管理，通過移動互聯(lián)網(wǎng)模式，借助云計算是虛擬化信息服。通過云計算架構(gòu)模式，進行系統(tǒng)服務和數(shù)據(jù)的采集、交互。云計算架構(gòu)主要可分為顯示層、中間層、基礎設施層、管理層四層模式。移動互聯(lián)網(wǎng)，為“平安工地”安全管理的現(xiàn)場管理、現(xiàn)場監(jiān)控提供了技術(shù)解決方案，通過移動終端，對現(xiàn)場數(shù)據(jù)和視頻媒體文件，進行采集上傳，發(fā)布到服務器，可以按照應用要求和模式，進行數(shù)據(jù)查閱和全面監(jiān)控。 “平安工地” 安全管理云計算體系 “平安工地” 安全管理的云架構(gòu)模式分為三個層面，云服務、云平臺、云資源。軟件即服務（SaaS），為“平安工地” 安全管理提供軟件服務，我們規(guī)劃將門戶、工程項目管理、GIS、BIM構(gòu)件等應用和服務。通過互聯(lián)網(wǎng)技術(shù)，讓用戶通過Web或者APP，訪問API、應用或服務。云架構(gòu)模式的應用服務為“平安工地” 安全管理人員提供遠程、便捷的服務，使安全數(shù)據(jù)唾手可得。真正的讓行政主管單位隨時隨地的監(jiān)測和關注各個項目的狀況，出現(xiàn)應急預案進行快速響應，同時通過移動互聯(lián)網(wǎng)，快速定位和響應。 “平安工地”網(wǎng)絡安全架構(gòu) “平安工地”網(wǎng)絡安全體系 基于系統(tǒng)軟硬件平臺的安全保障 服務器的硬件安全保障措施u 機房環(huán)境：u 備份冗余u 雙機容錯： 服務器操作系統(tǒng)的選擇和安全保障措施u 域安全模型規(guī)劃方案；u 用戶/用戶組管理策略；u 目錄管理（共享資源管理）策略；u 服務/端口的管理策略；u 審計策略；u 補丁/升級策略。 終端工作站的安全保障措施 基于數(shù)字證書的安全建設和應用 數(shù)字簽名設計原則u 信息的安全保密性u 行為的不可抵賴性u 實體的可鑒別性u 信息的完整性 設計內(nèi)容u 證書審核注冊服務系統(tǒng)（RA中心）；u 證書查詢驗證服務系統(tǒng)（LDAP/OCSP）；u 可信時間戳服務系統(tǒng)；u 密碼服務系統(tǒng)。u 電子印章服務器 主要功能u 數(shù)字證書審核注冊系統(tǒng)u 證書查詢驗證系統(tǒng)u 可信時間戳服務系統(tǒng)u 密碼服務系統(tǒng)u 電子印章管理系統(tǒng) 基于應用系統(tǒng)的安全訪問策略 數(shù)據(jù)庫的訪問控制 應用服務器的訪問控制 網(wǎng)絡訪問控制 虛擬網(wǎng)絡技術(shù) 防火墻技術(shù) “平安工地” Web服務平臺安全體系設計 統(tǒng)一安全認證和授權(quán) 系統(tǒng)安全性分析 WEB資源訪問的安全 Servlet/JSP組件訪問的安全 EJB組件訪問的安全 門戶服務和安全體系結(jié)構(gòu)的關系 J2EE應用服務和安全體系結(jié)構(gòu)的關系 工作流應用和安全體系結(jié)構(gòu)的關系 Portal門戶和安全體系結(jié)構(gòu)的關系 基于LDAP的安全體系結(jié)構(gòu) 安全代理 策略服務 用戶注冊和授權(quán) LDAP安全體系實現(xiàn) LDAP保護靜態(tài)頁面 LDAP保護web組件 LDAP保護EJB組件 系統(tǒng)單點登錄的實現(xiàn) 用戶請求訪問系統(tǒng)資源 LDAP安全代理截取用戶請求，要求用戶登錄 用戶輸入用戶名和口令，請求驗證 LDAP策略服務依賴LDAP驗證用戶 用戶驗證通過，策略服務生成和該用戶相關的LDAP Token 用戶訪問其他的資源 安全代理截取用戶請求，查詢策略服務中是否該用戶驗證通過，如果通過在該請求中插入LDAP Token 與門戶產(chǎn)品統(tǒng)一安全認證及授權(quán)的實現(xiàn) 與應用服務器產(chǎn)品的統(tǒng)一安全認證及授權(quán) 安全體系與其它產(chǎn)品的集成 與工作流產(chǎn)品的集成； 與組織機構(gòu)的集成； “平安工地”安全管理制度 常規(guī)管理制度u 系統(tǒng)值班及值班工作規(guī)范；u 系統(tǒng)主機房出入制度；u 網(wǎng)絡系統(tǒng)（網(wǎng)絡設備、網(wǎng)絡拓撲結(jié)構(gòu)、網(wǎng)址分配等）的管理制度；u 系統(tǒng)關鍵硬設備配件及系統(tǒng)軟件備份的管理規(guī)定。 安全管理制度u 系統(tǒng)崩潰及非常故障、非常事故的預防、處理及恢復的規(guī)定；u 磁盤陣列、磁帶機及防火墻等安全設備的管理；u 抗病毒、防病毒的措施及規(guī)定；u 防火、防雷、防盜及UPS的管理制度。 技術(shù)管理制度u 設備、技術(shù)文檔保管與查閱制度；u 數(shù)據(jù)庫系統(tǒng)維護制度；u 應用程序維護與升級制度；u 軟件系統(tǒng)復制（拷貝）的權(quán)限及管理規(guī)定。 “平安工地”安全管理GIS應用采用GIS處理項目管理的實施“平安工地”安全管理，由于項目地域的分布，GIS系統(tǒng)提供可視化，快速定位項目，方便查詢和定位工程安全管理的相關現(xiàn)場數(shù)據(jù)、安全臺帳等信息。 數(shù)據(jù)的編輯與轉(zhuǎn)化通過GIS圖形表現(xiàn)，將“平安工地”安全