【正文】 。我們建議選用一些穩(wěn)定可靠的商用中間件平臺。 主流的應(yīng)用集成技術(shù)體系有兩類，一是 Microsoft 主推的 COM/DCOM 技術(shù)及其 Windows DNA/COM+技術(shù)，現(xiàn)在通稱 .Net 技術(shù)；二是以 Sun 等多家 廠商為主體的 Java、 J2EE、 Jini 技術(shù)以及 Corba 體系、中間件技術(shù)等。 ? 能提供系統(tǒng)中應(yīng)用分布的透明性：分布的透明性屏蔽了由系統(tǒng)的分布所帶來的復(fù)雜性。 ? 能提供分布式 環(huán)境中應(yīng)用的可移植性：提供應(yīng)用程序在系統(tǒng)中遷移的潛力并且不破壞應(yīng)用所提供的或正在使用的服務(wù)。 應(yīng)用集成，從技術(shù)要求角度，主要應(yīng)滿足以下三點： ? 能提供應(yīng)用間的互操作性：應(yīng)用的互操作性提供不同系統(tǒng)間信息的有意義交換，及信息的語用交換，而不僅僅限于語法交換和語義交換。要實現(xiàn)在異構(gòu)環(huán)境下的應(yīng)用交互，實現(xiàn)系統(tǒng)在應(yīng)用層的集成顯得尤為關(guān)鍵。 應(yīng)用集成設(shè)計 應(yīng)用集成是指應(yīng)用軟件的集成，它實現(xiàn)應(yīng)用軟件的邏輯上的統(tǒng)一和整合，實現(xiàn)子系統(tǒng)之間的互操作。 使用 XML 作為數(shù)據(jù)交換工具還可以解決異構(gòu)數(shù)據(jù)庫之間的集成問題。 XML 文檔結(jié)構(gòu)在很多方面可以方便地反映對象的結(jié)構(gòu)，這也是其適合面向?qū)ο蟮能浖夹g(shù)的一個關(guān)鍵點。可以說， XML 的出現(xiàn)導(dǎo)致了新一代的數(shù)據(jù)集成方案的誕生。另外一方面，在交換時 需要一定的表式工具，在數(shù)據(jù)展示層更加需要一個統(tǒng)一的數(shù)據(jù)表達工具。不管是那一級的交換，都需要定義接口數(shù)據(jù)的結(jié)構(gòu)、格式、語義，以確保參與交換的各個子系統(tǒng)以統(tǒng)一的語義理解來發(fā)送和接收數(shù)據(jù)。市民一卡通系統(tǒng)涉及到多個業(yè)務(wù)分系統(tǒng)，邏輯上每個業(yè)務(wù)分系統(tǒng)都有自己的數(shù)據(jù)庫，相互之間的數(shù)據(jù)交互比較頻繁的，需要建立統(tǒng)一的數(shù)據(jù)接口。 所有這類數(shù)據(jù)都要建立一個統(tǒng)一的代碼表，并在各分系統(tǒng)開發(fā)中嚴格執(zhí)行。 統(tǒng)一數(shù)據(jù)編碼 統(tǒng)一數(shù)據(jù)編碼是指統(tǒng)一市民一卡通系統(tǒng)中所使用的各類代碼，特別是各類公用類代碼，有國家規(guī)范的要使用國家規(guī)范，無國家規(guī)范要建立一個統(tǒng)一的本系統(tǒng)所用規(guī)范。 統(tǒng)一數(shù)據(jù)結(jié)構(gòu) 所謂統(tǒng)一數(shù)據(jù)結(jié)構(gòu)是指統(tǒng)一市民一卡通系統(tǒng)中的數(shù)據(jù)庫表結(jié)構(gòu)（數(shù)據(jù)庫模式），但是對于市民一卡通系統(tǒng)來說，其系統(tǒng)規(guī)模是比較大的，涉及到多個分系統(tǒng)，開發(fā)的時間、周期較長，甚至于開發(fā)商都是多家，建立一個 全局統(tǒng)一的數(shù)據(jù)庫表結(jié)構(gòu)是不現(xiàn)實的。從數(shù)據(jù)集成的角度看，主要涉及以下一些技術(shù)要點。由于集成平臺的出現(xiàn)，這里把 DBMS 納入平臺范疇，并稱之為數(shù)據(jù)平臺。數(shù)據(jù)集成處理的主要對象是系統(tǒng)中各種數(shù)據(jù)庫中的數(shù)據(jù)，對于市民一卡通系統(tǒng)的數(shù)據(jù)集成來說，主要是數(shù)據(jù)庫各類應(yīng)用技術(shù)的有效使用。圖 給出了計算機網(wǎng)絡(luò)集成的一般體系框架。從技術(shù)的角度講，不僅涉及到不同廠家的網(wǎng)絡(luò)設(shè)備和管理軟件，也可能會涉及到異構(gòu)和異質(zhì)網(wǎng)絡(luò)系統(tǒng)的互聯(lián)問題；從管理的角度講，市民一卡通系統(tǒng)的管理方式和管理思想有其自己的特色，集成時應(yīng)充分考慮管理上的需求。為數(shù)據(jù)庫系統(tǒng)、應(yīng)用服務(wù)器系統(tǒng)、客戶端計算機等相互之間進行服務(wù)請求提供通信支持。網(wǎng)絡(luò) /設(shè)備系統(tǒng)集成就是通過標準的技術(shù)手段，將物理上各自分離的設(shè)備、系統(tǒng)通過網(wǎng)絡(luò)建立邏輯上互聯(lián)互通的統(tǒng)一體。 系統(tǒng)集成分為三個層面：網(wǎng)絡(luò) /設(shè)備集成，數(shù)據(jù)集成，應(yīng)用集成。 應(yīng)用系統(tǒng)集成技術(shù)和方法 在我們的市民一卡通系統(tǒng)中，存在很多業(yè)務(wù)分系統(tǒng)，而且每個業(yè)務(wù)分系統(tǒng)不是孤立的，它們互相之間有數(shù)據(jù)的共享交互、有流程的整合。 5）系統(tǒng)優(yōu)化和管理：和數(shù)據(jù)庫類似，主機系統(tǒng)也需要進行監(jiān)控和優(yōu)化。有許多優(yōu)化軟件產(chǎn)品可以使用，但是最終都依賴有豐富經(jīng)驗的 DBA。另外，網(wǎng)絡(luò)設(shè)計中盡可能使用第三層交換技術(shù)，使用交換、路由相結(jié)合的技術(shù)，這能夠大大提升網(wǎng)絡(luò)性能。所以我們建議使用專門的 SAN，它的光通道可以滿足大量的數(shù)據(jù)傳輸需求。 2）存貯系統(tǒng)：存貯系統(tǒng)很容易成為系統(tǒng)的瓶頸，該系統(tǒng)中的數(shù)據(jù)訪問量是比較大的。當訪問量增加時，可以把一些負載均衡到備份機上。 從系統(tǒng)的角度，影響系統(tǒng)性能的要素有主機系統(tǒng)、存貯系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用程序系統(tǒng)等，而我們設(shè)計的運行性能是從整體上來說的 ，根據(jù)木桶原理，設(shè)計時需要詳細分析各個部分的瓶頸，進行詳細的有針對性的設(shè)計，這里只能給出一些大致的建議考慮。 我們這里對社?？ㄖ行牡男阅芤筮M行初步測算，其它業(yè)務(wù)分系統(tǒng)由各部門分析確定。 7. 完備的安全策略：安全和可靠性也具有重合的內(nèi)容，具體見安全一節(jié)。 5. 建議使用 SAN 通道存儲器來存貯數(shù)據(jù)，它是目前可靠性較高、同時也是性能較優(yōu)的一種存儲系統(tǒng)解決方案。這樣就算卡中出現(xiàn)了數(shù)據(jù)丟失的情況，如火災(zāi)、地震，也可以保證數(shù)據(jù)不丟。 3. 數(shù)據(jù)庫的備份和恢復(fù)：整個應(yīng)用系統(tǒng)的核心就是數(shù)據(jù)，數(shù)據(jù)的安全是最重要的。市民一卡通系統(tǒng)計劃使用多層的組件式開發(fā)，架構(gòu)在中間件平臺上，我們建議選擇當前業(yè)界最成熟的中間件以保證系統(tǒng)的可靠性。同時多臺機器出現(xiàn)故障的概率是非常低的，除非出現(xiàn)了不可抗力因素，如火災(zāi)、地震等。如果一臺機器出現(xiàn)了故障，那么它承擔的工作可以轉(zhuǎn)移到其它機器中進行。我們在設(shè)計時主要從以下方面進行： 1. 主機集群：主機系統(tǒng)是整個系統(tǒng)的核心，所有的業(yè)務(wù)處理都依賴主機進行，如果主機出現(xiàn)了故障，那么整個系統(tǒng)就癱瘓了。 系統(tǒng)可靠性分析和設(shè)計 系統(tǒng)的可靠性指系統(tǒng)在運行中的可靠程度，一般用平均無故障時間（ MTBF）來衡量，包括整個系統(tǒng)的 MTBF，各個分系統(tǒng)的 MTBF 等，由于還沒有進行詳細的需求分析調(diào)研，目前還很難給出 具體的 MTBF 參數(shù)要求。 在安全策略上，采用三級的不斷完善的策略： ? 漏洞掃描：不斷的進行漏洞掃描，發(fā)現(xiàn)存在的安全漏洞 ? 訪問控制：根據(jù) 發(fā)現(xiàn) 的安全漏洞，采取相應(yīng)的措施進行訪問控制 ? 安全審計：對前面的工作進行審計，采取更加進一步的安全策略 3） 設(shè)備安全 設(shè)備安全主要指 市民一卡通系統(tǒng) 各種硬件設(shè)備管理，包括主機房管理，制卡車間 管理，網(wǎng)絡(luò)設(shè)備等，在建設(shè)時候需要按照一定的規(guī)范制度，運行時候進行監(jiān)控和遵從管理制度。 采用用戶身份認證措施來驗證用戶的身份，防止非法用戶訪問。 在每天應(yīng)用的客戶機上，需要安裝防病毒軟件來防止病毒攻擊。我們建立的網(wǎng)絡(luò)安全模型如下圖： I B MI B MI B M服務(wù)器集群入侵檢測線路加密機線路加密機安全服務(wù)器下級網(wǎng)點各個業(yè)務(wù)局客戶端防病毒防火墻客戶端防病毒線路加密機圖 網(wǎng)絡(luò)安全示意圖 在卡中心和下級 各個 網(wǎng)點和各個業(yè)務(wù)局進行數(shù)據(jù)交換時，都有數(shù)據(jù)線路加密機對傳輸?shù)臄?shù)據(jù)進行加密，確保在線路傳輸中的安全。這樣可以最大程度上避免事故發(fā)生。 日志 分析 功能，根據(jù)日志分析功能可以分析出每一步的數(shù)據(jù)庫操作，這樣當出現(xiàn)了安全事故后可以進行相應(yīng)的補救措施和責任追查。 杜絕非法訪問，使用數(shù)據(jù)庫權(quán)限管理和身份認證的技術(shù)使得用戶只能做應(yīng)該做的事情。數(shù)據(jù)庫的安全與否，直接關(guān)系到整個系統(tǒng)的安全性。 1） 數(shù)據(jù)安全 數(shù)據(jù)是市民一卡通系統(tǒng)的基礎(chǔ)，一切業(yè)務(wù)活動都是圍繞數(shù)據(jù)進行的。 以上部分 簡單 定義了非技術(shù)因素的一些內(nèi)容，在具體制定安全策略時需要根據(jù)具體情況進行細化。 5． 用戶的權(quán)利和責任 這一部分 非常 重要，包括： ? 口令選擇的指導(dǎo)和限制 ? 在工作時間恰當使用計算機 ? 用戶有責任對資源信息保密 ? 對網(wǎng)絡(luò)工具（如電子郵件、 FTP 等）的使用指南 ? 對于員工通過內(nèi)部所有設(shè)備系統(tǒng)進行交流時的隱私策略的聲明 ? 社區(qū)撥號接入或?qū)＞€接入訪問的使用指南 ? 用戶對數(shù)據(jù)后備支持的責任（如果適用的話） 6． 相對于用戶權(quán)力而言系統(tǒng)管理員的權(quán)力 規(guī)定了用戶的權(quán)力和責任，將須定好系統(tǒng)管理員的責任，定義好系統(tǒng)管理員能做什么，不能做什么?？赡苡卸嗳擞屑夹g(shù)手段能使某人訪問資源，但當沒有賦予他（她）該權(quán)力時，他（她）無權(quán)這么做。 3． 誰有權(quán)準許訪問和同意使用 一旦決定誰能使用資源以及他們怎樣使用資源，則需定義誰有權(quán)給予 用戶訪問權(quán)，一個明確的對于誰有權(quán)給予訪問和同意使用的定義將消除一切相關(guān)誤解。 安全手冊一般應(yīng) 包括 以下七個方面內(nèi)容： 1． 允許誰使用資源 應(yīng)當規(guī)定那些角色的人員，如系統(tǒng)管理員、數(shù)據(jù)庫管理員、社區(qū)網(wǎng)點操作員、卡車間操作員等不同工作職能的人，它們有權(quán)訪問不同資源，這些都需要明確規(guī)定。 安全用戶手冊以正規(guī)的書面形式（紙質(zhì)的、電子的）發(fā)布到每個人，能讓內(nèi)部任何計算 機使用人員閱讀。 這是一項最基本的但是很重要的 措施，在這里可以告訴用戶如何使用計算機和其它設(shè)備，為什么他們需按這種方式使用，以及誰將對用他們所做的事情負責，應(yīng)該寫的簡潔，但應(yīng)全面且覆蓋所有重要的方面。在某些方面，技術(shù)措施和非技術(shù)措施是有一些重合的。 安全體系的關(guān)鍵內(nèi)容是建立一個完善、可靠的安全策略，應(yīng)該對整個系統(tǒng)中的各種網(wǎng)絡(luò)服務(wù)的安全、檔次、地位和用戶的權(quán)限、分類、安全故障處理、網(wǎng)絡(luò)拓撲結(jié)構(gòu)、管理員的職責、入侵和攻擊的防御和檢測、備份和災(zāi)難恢復(fù)計劃等內(nèi)容做出統(tǒng)一的計劃 和規(guī)定，在市民一卡通工程的詳細設(shè)計中應(yīng)該有一個完整的系統(tǒng)安全策略實施方案。技術(shù)類措施是指使用技術(shù)手段防止安全事故的發(fā)生；非技術(shù)措施是指管理制度、行政法規(guī)和其它物理措施來防止安全事故。市民一卡通系統(tǒng)也 需要一套完善的安全保護措施，從國內(nèi)其它城市的情況來看，安全系統(tǒng)的投資占整個投資的 10%以上，可見其重要性。 從系統(tǒng)體系結(jié)構(gòu)上分析，信息交換平臺的體系結(jié)構(gòu)如下圖所示。批處理模式必須采用異步模式進行處理，因為批處理模式對接口機處理性能要求較高，應(yīng) 由接收方根據(jù)自身工作狀態(tài)決定如何并發(fā)執(zhí)行調(diào)度請求。如果需要回 告，接收方根據(jù)自身情況調(diào)度工作隊列，一旦該請求執(zhí)行完成，通過發(fā)起另一次 Response 應(yīng)答給上次消息發(fā)起方（通過回告的 URI路 徑 決 定 ） 告 之本 次 消 息 處理 完 成 ， 并等 待 本 次 Response 請求的Acknowledgement 消息，一旦接收到 Acknowledgement 消息，表明本次消息處理結(jié)果被正確接收，即上次消息發(fā)起方已被告之。 在異步處理模式中，消息發(fā)起方發(fā)起請求 Request，接收方接收到該請求，將其寫入工作隊列，并回送 Acknowledgement 消息給消息發(fā)起方，此時消息發(fā)起方認為該 Request 請求已被正確接收，一次交互過程結(jié)束（但本次消息交互還未結(jié)束）。我們設(shè)計系統(tǒng)支持同步處理模式、異步處理模式、批處理模式等三種模式。 Process Instance 為接口處理實例，實現(xiàn)具體的數(shù)據(jù)訪問接口、應(yīng)用 API 接口、 XML 數(shù)據(jù)包解釋和轉(zhuǎn)換等功能。 我們設(shè)計的數(shù)據(jù)交換平臺結(jié)構(gòu)示意圖見圖 ，在市民一卡通中心建設(shè)信息交換中心，公安、社保、民政等參與交換的單位各自建設(shè)交換所用的前置接口機、數(shù)據(jù)加解密機以 及防火墻等，整個交換平臺包括網(wǎng)絡(luò)鏈路、交換設(shè)備、路由設(shè)備、安全設(shè)備、數(shù)據(jù)加解密設(shè)備、前置接口機等硬件系統(tǒng)，以及數(shù)據(jù)表達翻譯、數(shù)據(jù)接口、應(yīng)用接口、安全管理、調(diào)度監(jiān)控等軟件模塊。 3. 高度安全性和可靠性：顯然數(shù)據(jù)交換平臺是整個系統(tǒng)的一個中樞，可靠性要求是很高的，必須充分考慮好鏈路、端口、電源、核心交換模塊等部件的冗余；要求保證信息交換過程中的安全性，要求安全模塊具有模塊獨立性，支持第三方加解密算法，以利于加解密模塊的升級。交換機的進一步發(fā)展，使其能在第 4 層識別數(shù)據(jù)流，兼顧數(shù)據(jù)包的轉(zhuǎn)發(fā)性能和數(shù)據(jù)流的控制功能，即所謂的第 4 層交換。這就要求數(shù)據(jù)交換平臺能支持在 TCP/IP 基礎(chǔ)上運行的最常用協(xié)議，例如：FTP、 TFTP、 MQ Service、 ASYNC、 HTTP、 Email（ SMTP/POP3）等。 信息交換平臺設(shè)計 信息交換平臺是本項目建設(shè)的重點之一，它是實現(xiàn)信息資源共享互通、實現(xiàn)部門之間協(xié)同工作的基礎(chǔ)，根據(jù)本項目的內(nèi)容，目前主要設(shè)計用于社 會保障與市民服務(wù)業(yè)務(wù)系統(tǒng)中的信息資源交換，基于信息資源交換平臺的通用性，將來完全可以拓展用于其它政府業(yè)務(wù)的信息交換，并最終擴展為適用于全市政府部門的綜合信息資源交換平臺。安全管理是市民一卡通工程 必須考慮的一個基本問題，對此 市民一卡通系統(tǒng) 的各個參建單位應(yīng)有足夠的重視。 2) 系統(tǒng)中的安全設(shè)備本身必須安全穩(wěn)定地運行； 3) 在具體確定系統(tǒng)中使用的安全產(chǎn)品時，應(yīng)盡可能選擇那些已經(jīng)過實踐證明是可靠實用 的產(chǎn)品，以確保 市民一卡通系統(tǒng) 的建設(shè)進度。這樣，可以確保各個應(yīng)用的安全性和獨立性。此外，為 提高社會保障卡的抗攻擊能力，以“一卡一密、一次一密、一區(qū)一密”的原則來生成和使用社會保障卡中所有的密鑰。 1) 社會保障卡與終端間的數(shù)據(jù)傳輸保密性； 2) 社會保障卡與終端間的數(shù)據(jù)完整性； 3) 社會保障卡與終端間的相互鑒別。 安全目標 市民一卡通系統(tǒng)的 安全目標為： 1) 安全管理制度及安全操作系統(tǒng)； 2) 物理安全； 3) 運行安全與災(zāi)難恢復(fù)； 4) 防病毒； 5) 防黑客攻擊、泄密、非法篡改、非法訪問、非法復(fù)制、抵賴及身份鑒別等。 安全要求 市民一卡通系統(tǒng)的安全涉及卡、終端、局域網(wǎng)、廣域網(wǎng)、數(shù)據(jù)庫等多個方面的安全問題。 黑名單管理 終端應(yīng)具有黑名單存儲和檢索功能，以實現(xiàn)社會保障卡交易的安全處理。 3) 應(yīng)用管理 IC 卡與終端必須配合使用以保證交易安全、有效地進行。 2) 終端配置 必備配置：顯示器、 IC 卡接口設(shè)備、鍵盤、安全存取模塊、存儲設(shè)備、實