【導(dǎo)讀】六安市商務(wù)局綜合管理平臺。謙通(合肥)信息科技有限公司。六安市外資業(yè)務(wù)綜合管理平臺設(shè)計方案

　　

【正文】 它探索復(fù)雜的數(shù)據(jù)結(jié)構(gòu)并以一種優(yōu)雅且容易理解的方式呈現(xiàn)信息。 服務(wù)概念 Online Analytical Processing（ OLAP）是一類軟件技術(shù)，它們使用戶（業(yè)務(wù)分析師、經(jīng)理和執(zhí)行官）能夠以交互形式快速、一致地探查數(shù)據(jù)，用戶看到的是經(jīng)過轉(zhuǎn)換后的原始數(shù)據(jù)的各種信息視圖，它們可以反映業(yè)務(wù)的真實維數(shù)。 OLAP 的功能 多維的 : OLAP 服務(wù)通過支持空間聚合路徑（ dimensional aggregation path）六安市外資業(yè)務(wù)綜合管理平臺設(shè)計方案 － 30 ― 或?qū)哟谓Y(jié)構(gòu)和 /或多重層次結(jié)構(gòu)，提供了大量數(shù)據(jù)視圖或多維的概念性視圖。 容易理解 : 為 OLAP 分析設(shè)計的數(shù)據(jù)市場可以處理與應(yīng)用程序和開發(fā)人員相關(guān)的任何業(yè)務(wù)邏輯和統(tǒng)計分析，同時使它對于目標(biāo)用戶而言足夠簡單。 交互性 : OLAP 幫助用戶通過對比性的個性化查看方式，以及對各種 “ whatif” 數(shù)據(jù)模型場景中的歷史數(shù)據(jù)和預(yù)計數(shù)據(jù)進(jìn)行分析，將業(yè)務(wù)信息綜合起來。用戶可以在分析中定義新的專用 計算，并可以以任何希望的方式報告數(shù)據(jù)。 快速 :OLAP 服務(wù)常常以多用戶的 客戶機(jī) /服務(wù)器模式實現(xiàn)，而且無論數(shù)據(jù)庫的規(guī)模和復(fù)雜性有多大，都能夠?qū)Σ樵兲峁┮恢碌目焖夙憫?yīng)。合并的業(yè)務(wù)數(shù)據(jù)可以沿著所有維度中的層次結(jié)構(gòu)預(yù)先進(jìn)行聚合，從而減少構(gòu)建 OLAP 報告所需的運行時計算。 報告 傳統(tǒng)的（ SQL 或其他）基于腳本的數(shù)據(jù)分析報告的構(gòu)建方式常常是從兩維關(guān)系數(shù)據(jù)庫表中獲取數(shù)據(jù)。先對這些報告進(jìn)行格式化，然后將它們呈現(xiàn)給用戶。 兩維報告的缺點： 報告是預(yù)定義的，內(nèi)置在制作報告的應(yīng)用程序中。 在許多情況下，無法輕松地修改它們來適應(yīng)業(yè)務(wù)報告需求的變化。 修改報告或建立新的報告需要 IT 專業(yè)人員。 報告用戶與業(yè)務(wù)數(shù)據(jù)是分離的。 另一方面， OLAP 報告將業(yè)務(wù)數(shù)據(jù)結(jié)構(gòu)、過程、算法和邏輯的復(fù)雜性集成到了它的多維數(shù)據(jù)結(jié)構(gòu)中，然后向最終用戶呈現(xiàn)容易理解的維信息視圖，讓他們能夠以非常自然的方式探索業(yè)務(wù)數(shù)據(jù)。多維結(jié)構(gòu)聽起來非常復(fù)雜，其實不然。 OLAP 并不在業(yè)務(wù)數(shù)據(jù)上添加額外的數(shù)據(jù)結(jié)構(gòu)或維。它只是以維的方式識別復(fù)雜數(shù)據(jù)，并以非常容易理解的方式向數(shù)據(jù)消費者呈現(xiàn)數(shù)據(jù)。 利用 OLAP 服務(wù)，用戶可以輕松地找到預(yù)定義的報告并探索業(yè)務(wù)數(shù)據(jù)，以建立新的專用 業(yè)務(wù)報告，而這些都不需要 IT 專業(yè)人員的 幫助。 OLAP 報告使用戶非常接近業(yè)務(wù)數(shù)據(jù)，使他們能夠認(rèn)識到業(yè)務(wù)數(shù)據(jù)維的存在并理解哪些業(yè)務(wù)問題可以得到回答。 六安市外資業(yè)務(wù)綜合管理平臺設(shè)計方案 － 31 ― 數(shù)據(jù)市場 在談到數(shù)據(jù)市場時，許多人可能會立即想到多維或 OLAP 分析。根據(jù)定義，數(shù)據(jù)市場是數(shù)據(jù)倉庫的一個子集，是專門針對特定的用戶群或特定的主題領(lǐng)域設(shè)計的。 OLAP 是對數(shù)據(jù)市場中的數(shù)據(jù)進(jìn)行分析的方法之一。 數(shù)據(jù)市場是一種具有以下性質(zhì)的數(shù)據(jù)庫： 它具有星形或雪花形的維數(shù)據(jù)庫模式設(shè)計。 數(shù)據(jù)庫可以存儲 OLAP 元數(shù)據(jù)，包括 OLAP 模型和多維數(shù)據(jù)集。 數(shù)據(jù)庫可以包含物化查詢表 （ MQT），即用于 DWE OLAP 模型和多維數(shù)據(jù)集的預(yù)聯(lián)結(jié)和預(yù)聚合的表。 和數(shù)據(jù)倉庫 OLAP 是大多數(shù)數(shù)據(jù)倉庫解決方案中使用的報告實現(xiàn)之一。 OLAP 解決方案有時候被錯誤地稱為數(shù)據(jù)倉庫解決方案。在為某個部門或有限的用戶群開發(fā) OLAP 解決方案時，這種說法尤其容易引起誤解。 數(shù)據(jù)倉庫最重要的特性是數(shù)據(jù)集成，而數(shù)據(jù)倉庫最重要的用途是信息數(shù)據(jù)呈現(xiàn)。 OLAP 服務(wù)并不是主要針對數(shù)據(jù)集成而設(shè)計的；但是，它是一種強(qiáng)大的數(shù)據(jù)呈現(xiàn)方法，在大多數(shù)數(shù)據(jù)倉庫解決方案中都使用 OLAP。 典型的 OLAP 服務(wù)常常源自一個或多個專門設(shè)計的數(shù)據(jù)市場。 OLAP 服務(wù)應(yīng)該被看作數(shù)據(jù)倉庫解決方案的一部分，參見下圖。 六安市外資業(yè)務(wù)綜合管理平臺設(shè)計方案 － 32 ― 維和層次結(jié)構(gòu) OLAP 維（ dimension） 能夠?qū)γ枋鰳I(yè)務(wù)度量的某一方面的一組相關(guān)數(shù)據(jù)屬性進(jìn)行分類。維根據(jù)區(qū)域 、產(chǎn)品或時間等邏輯類別對事實對象中的數(shù)據(jù)進(jìn)行組織。 OLAP 維引用零個或更多的層次結(jié)構(gòu)（ hierarchy）。層次結(jié)構(gòu)描述引用的數(shù)據(jù)屬性的關(guān)系和結(jié)構(gòu)，這些數(shù)據(jù)屬性被劃分為幾個級別（比如時間維中的年、月和日），從而提供一種在維中進(jìn)行移動的可導(dǎo)航且可計算的方式。 模型和 OLAP 多維數(shù)據(jù)集 OLAP 模型和 OLAP 多維數(shù)據(jù)集是 OLAP 服務(wù)中的兩個重要概念。多維數(shù)據(jù)集模型代表 OLAP 數(shù)據(jù)市場中的數(shù)據(jù)結(jié)構(gòu)和關(guān)系。多維數(shù)據(jù)集模型包含元數(shù)據(jù)對象，這些對象描述基表數(shù)據(jù)中的關(guān)系以及相關(guān)數(shù)據(jù) 位于什么地方。多維數(shù)據(jù)集模型讓信息消費者能夠從一個新的視角理解數(shù)據(jù)。 六安市外資業(yè)務(wù)綜合管理平臺設(shè)計方案 － 33 ― OLAP 模型對象 OLAP 多維數(shù)據(jù)集具有一組特定的、類似但卻更多限制性的、衍生自父多維數(shù)據(jù)集模型的元數(shù)據(jù)對象，這些對象包括多維數(shù)據(jù)集維、多維數(shù)據(jù)集層次結(jié)構(gòu)、多維數(shù)據(jù)集 層和一個多維數(shù)據(jù)集事實對象。對于每個多維數(shù)據(jù)集維，一個多維數(shù)據(jù)集只能定義一個多維數(shù)據(jù)集層次結(jié)構(gòu)；但是在多維數(shù)據(jù)集模型中，一個維可以有多個層次結(jié)構(gòu)。 可以使用多維數(shù)據(jù)集對多維數(shù)據(jù)集模型進(jìn)行優(yōu)化，使它更適應(yīng)最活躍、最重要的多維數(shù)據(jù)集模型區(qū)域?？梢灾付▋?yōu)化切片，切片定義多維數(shù)據(jù)集中最常被查詢的特定部分。在為多維數(shù)據(jù)集模型創(chuàng)建了優(yōu)化（比如 MQT）之后，從這個模型派生的所有多維數(shù)據(jù)集都會因此受益。 系統(tǒng)的安全措施包括兩個層面上的含義，一是與系統(tǒng)應(yīng)用有關(guān)的安全措施，六安市外資業(yè)務(wù)綜合管理平臺設(shè)計方案 － 34 ― 如用戶的業(yè)務(wù)操作是否安全等；二是系統(tǒng)本身的 安全措施，網(wǎng)絡(luò)系統(tǒng)的安全、防病毒、入侵檢測、主機(jī)安全、數(shù)據(jù)庫安全等等。本篇將從這兩個方面，設(shè)計保證系統(tǒng)安全的方案。 應(yīng)用安全措施 本系統(tǒng)是基于互聯(lián)網(wǎng)建設(shè)，由于互聯(lián)網(wǎng)的廣泛性和開放性，使得系統(tǒng)存在很多安全隱患，包括如何實現(xiàn)對用戶的身份認(rèn)證和訪問控制，如何保證在互聯(lián)網(wǎng)上傳輸?shù)拿舾袛?shù)據(jù)的機(jī)密性和完整性，如何實現(xiàn)對各業(yè)務(wù)操作的抗抵賴，等等。在我們系統(tǒng)中，采用了 Inter 信息服務(wù) (IIS) 服務(wù)器創(chuàng)建自己的 CSR 證書進(jìn)行 SSL 加密認(rèn)證方式，考慮到 SSL 加密非常占用服務(wù)器資源，我們采用了對系統(tǒng)關(guān)鍵部分的 敏感數(shù)據(jù)進(jìn)行加密傳輸。這樣一方面保證了系統(tǒng)關(guān)鍵數(shù)據(jù)的安全性，另一方面也節(jié)約了服務(wù)器的資源。 一般來說，啟用 SSL 服務(wù)器證書驗證，提供用戶他們希望的安全級別，應(yīng)該從第三方證書頒發(fā)機(jī)構(gòu)獲得證書。由第三方證書頒發(fā)機(jī)構(gòu)頒發(fā)給系統(tǒng)用戶的證書通常是與 Web 服務(wù)器密切關(guān)聯(lián)的，更具體地說，就是與我們系統(tǒng)的要綁定 SSL 的 Web 站點關(guān)聯(lián)的。但是第三方證書需要增加項目的建設(shè)成本，結(jié)合平臺實際的業(yè)務(wù)需要，其數(shù)據(jù)安全級別并沒有銀行、證券等金融單位要求高，采用 IIS 自建 CSR 證書已經(jīng)能滿足系統(tǒng)的需求。 認(rèn)證和訪問控制的實現(xiàn) 本系統(tǒng)的用戶，必須首先申請獲得數(shù)字證書，才能登錄業(yè)務(wù)系統(tǒng)。在用戶訪問業(yè)務(wù)系統(tǒng)時，需要用戶出示數(shù)字證書，業(yè)務(wù)系統(tǒng)完成對證書的驗證（包括是否可信、是否有效和是否被吊銷等驗證），來實現(xiàn)對用戶的身份認(rèn)證。身份認(rèn)證之后，系統(tǒng)解析用戶證書，從證書上獲取用戶信息，然后查詢訪問控制列表，獲取用戶的訪問授權(quán)，實現(xiàn)對用戶的訪問控制。 用戶使用證書成功登錄本系統(tǒng)之后，用戶瀏覽器和系統(tǒng)服務(wù)器之間，將建立六安市外資業(yè)務(wù)綜合管理平臺設(shè)計方案 － 35 ― 安全的 SSL 連接，會協(xié)商出一個對稱密鑰。此時，用戶瀏覽器和系統(tǒng)服務(wù)器之間的所有的 數(shù)據(jù)傳輸都是使用該對稱密鑰加密傳輸?shù)?，保證了數(shù)據(jù)機(jī)密性需求。 用戶訪問本系統(tǒng)，向系統(tǒng)提交數(shù)據(jù)時，使用用戶的證書（私鑰）對提交的數(shù)據(jù)進(jìn)行數(shù)據(jù)數(shù)字簽名，系統(tǒng)驗證提交數(shù)據(jù)的數(shù)字簽名，確認(rèn)提交數(shù)據(jù)的真實性和完整性，保證了數(shù)據(jù)傳輸?shù)耐暾院涂沟仲囆孕枨蟆? 本系統(tǒng)將面向多個部門用戶，因此，整個系統(tǒng)的安全性至關(guān)重要，需要設(shè)計整個系統(tǒng)的安全措施。 系統(tǒng)安全措施是保證本系統(tǒng)安全、可靠地運行，包括 CA 認(rèn)證系統(tǒng)安全、可靠的提供安全認(rèn)證服務(wù)。本節(jié)將從網(wǎng)絡(luò)基礎(chǔ)設(shè)施、服務(wù)器 及數(shù)據(jù)庫等三個方面來防范攻擊。 網(wǎng)絡(luò)基礎(chǔ)設(shè)施涉及到通信線路、網(wǎng)卡及調(diào)制解調(diào)器、網(wǎng)絡(luò)協(xié)議、服務(wù)器和諸如路由器、防火墻、集線器和交換機(jī)等網(wǎng)絡(luò)設(shè)備。系統(tǒng)在該部分的安全實現(xiàn)包括設(shè)備自身安全和設(shè)備的正確使用和配置。 由于本系統(tǒng)面向多種用戶提供服務(wù)，所以存在遭受來自 Inter 上的黑客攻擊的危險。為了保證業(yè)務(wù)系統(tǒng)安全，最重要的是配置防火墻，從網(wǎng)絡(luò)上堵住黑客進(jìn)攻，同時針對關(guān)鍵業(yè)務(wù)系統(tǒng)不僅需要確保外部入侵，也要保障內(nèi)部不當(dāng)操作造成的損失。 另一方面，由于防火墻提供日志管理功能，所以即使發(fā)生了安 全事件，我們也可以根據(jù)收集的日志，對入侵行為和非法操作進(jìn)行跟蹤，收集相應(yīng)證據(jù)，以減少損失。 根據(jù)本系統(tǒng)的網(wǎng)絡(luò)架構(gòu)設(shè)計，至少需要配置一層防火墻。如果允許，可以在網(wǎng)絡(luò)架構(gòu)上設(shè)計兩層防火墻，在前臺 Inter 接入，即 Web 服務(wù)器之前，需要六安市外資業(yè)務(wù)綜合管理平臺設(shè)計方案 － 36 ― 配置一層防火墻，在應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器之前，可以配置一層防火墻，將應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器放在更加安全的位置。 安全掃描系統(tǒng) 風(fēng)險評估（ Vulnerability Assessment）是網(wǎng)絡(luò)安全防御中的一項重要技術(shù)，其原理是根據(jù)已知的安全漏洞知識庫，對目標(biāo)可能 存在的安全隱患進(jìn)行逐項檢查。目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫應(yīng)用等各種對象。然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。在網(wǎng)絡(luò)安全體系的建設(shè)中， 安全掃描工具花費低、效果好、見效快、與網(wǎng)絡(luò)的運行相對對立、安裝運行簡單，可以大規(guī)模減少安全管理員的手工勞動，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。 風(fēng)險評估技術(shù)基本上也可分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種，前者主要關(guān)注軟件所在主機(jī)上面的風(fēng)險漏洞，而后者則是通過網(wǎng)絡(luò)遠(yuǎn)程探測其它主機(jī)的安全風(fēng)險漏洞。 由于網(wǎng)絡(luò)采用的通 信協(xié)議并不是為安全通信而設(shè)計的，這些協(xié)議和網(wǎng)絡(luò)設(shè)備存在一些固有的安全隱患，入侵者可利用這些漏洞，通過網(wǎng)絡(luò)實施攻擊。基于網(wǎng)絡(luò)的風(fēng)險評估技術(shù)，主要是模擬黑客攻擊的方法，檢測網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)、網(wǎng)絡(luò)設(shè)備等方面的漏洞。 系統(tǒng)安全漏洞涉及口令設(shè)置、文件權(quán)限、賬戶管理、組管理、系統(tǒng)配置等?；谥鳈C(jī)的風(fēng)險評估技術(shù)，主要檢查操作系統(tǒng)本身固有的安全漏洞和系統(tǒng)文件的不安全配置 , 并指示用戶如何修補漏洞以使操作系統(tǒng)安全風(fēng)險降到最小，也就增加了整個網(wǎng)絡(luò)系統(tǒng)的安全性。 數(shù)據(jù)庫本身的漏洞和錯誤配置同樣會引起嚴(yán)重的安全問題。數(shù)據(jù)庫風(fēng)險 評估技術(shù)主要針對數(shù)據(jù)庫系統(tǒng)的授權(quán)、認(rèn)證和完整性方面進(jìn)行安全漏洞檢測。 要防止內(nèi)外入侵者的入侵，首先我們要對自己系統(tǒng)的安全性存在的漏洞作一個全面的漏洞評估，這樣才能從系統(tǒng)自身開始加強(qiáng)整體的安全性。 為了保證本系統(tǒng)的安全，建議在系統(tǒng)中安裝硬件掃描系統(tǒng)，對于所有 Web 服務(wù)器使用基于瀏覽器遠(yuǎn)程 HTTPS 連接的管理，可最大限度地滿足業(yè)務(wù)系統(tǒng)的安全評估需求。 六安市外資業(yè)務(wù)綜合管理平臺設(shè)計方案 － 37 ― 一方面通過對整個網(wǎng)絡(luò)定期進(jìn)行漏洞評估，另一方面采用入侵檢測系統(tǒng)（ IDS）來對網(wǎng)絡(luò)中的突發(fā)事件進(jìn)行實時的監(jiān)控并做出實時的響應(yīng)。在整個業(yè)務(wù)系統(tǒng)的 入侵檢測系統(tǒng)的設(shè)計中，采取了一級監(jiān)控的方式，在中心部署控制中心，可以為管轄的整個網(wǎng)絡(luò)環(huán)境制定統(tǒng)一策略，增加安全監(jiān)測事件，同時接受報警事件報告，這樣可以有效全面的對系統(tǒng)的安全隱患、黑客入侵、安全事故進(jìn)行很好的監(jiān)視控制，同時可以對全網(wǎng)的安全進(jìn)行集中的管理和控制。 在系統(tǒng)入侵檢測系統(tǒng)的設(shè)計中，入侵檢測系統(tǒng)采取了一級監(jiān)控的方式，部署控制中心，可以為管轄的整個網(wǎng)絡(luò)環(huán)境制定統(tǒng)一策略，增加安全監(jiān)測事件，同時接受報警事件報告，這樣可以有效全面的對系統(tǒng)的安全隱患、黑客入侵、安全事故進(jìn)行很好的監(jiān)視控制，同時可以對全網(wǎng)的安全進(jìn)行 集中的管理和控制。 為了保證本系統(tǒng)的安全，建議業(yè)務(wù)系統(tǒng)中安裝入侵檢測系統(tǒng)。 目前，計算機(jī)病毒的種類與傳播媒介日益繁多，病毒更主要是通過網(wǎng)絡(luò)共享文件、電子郵件及 Inter/Intra 進(jìn)行傳播。計算機(jī)病毒防護(hù)已經(jīng)成為計算機(jī)系統(tǒng)安全策略中的重要內(nèi)容。 隨著近年 Inter 的發(fā)展， EMAIL 和一批網(wǎng)絡(luò)工具的出現(xiàn)改變了人類信息的傳播方式和生活，同時也使計算機(jī)病毒的種類迅速增加，擴(kuò)散速度大大加快，出現(xiàn)了一批新的傳播方式和表現(xiàn)方式的病毒，對企業(yè)及個人用戶的破壞性和傳染力是以往的病毒類 型所不可比擬的。病毒的主發(fā)地點和傳播方式已經(jīng)由以往的單機(jī)之間的介質(zhì)傳染完成了向網(wǎng)絡(luò)系統(tǒng)的轉(zhuǎn)化，類似于“ CIH”、“ Melisa”、“ Exploer”網(wǎng)絡(luò)傳染性質(zhì)的病毒大量出現(xiàn)，一旦企業(yè)被病毒侵入并發(fā)作，造成的損失和責(zé)任是難以承受的。病毒和防病毒之間的斗爭已經(jīng)進(jìn)入了由“殺”病毒到“防”病毒的時代。企業(yè)只有拒病毒于網(wǎng)絡(luò)之外，才能保證企業(yè)數(shù)據(jù)的真正安全。 為了保證本系統(tǒng)的安全，建議業(yè)務(wù)系統(tǒng)中安裝防病毒系統(tǒng)。 六安市外資業(yè)務(wù)綜合管理平臺設(shè)計方案 － 38 ― 服務(wù)器的安全涉及系統(tǒng)管理員的賬戶安全和口令安全。 （ 1）系統(tǒng)管理員帳戶的安全 系 統(tǒng)管理員帳戶是在系統(tǒng)管理員使用服務(wù)器之前提供給系統(tǒng)管理員