【正文】 一致性原則這主要是指安全問題應與整個系統(tǒng)的工作周期（或生命周期）同時存在，制。XX公司公司是中國最早的系統(tǒng)集成商和軟件開發(fā)商之一，在系統(tǒng)集成和軟件開發(fā)兩方面都處于業(yè)界領先的水平。一個較好的安全措施往往是多種方法適當綜合的應用結果。如何保障互聯(lián)網(wǎng)安全運行，是企業(yè)信息化建設中的首要課題。所謂安全性，即如何防止電腦恐怖活動，有組織的和個人的電腦犯罪、病毒的侵襲、破壞以及黑客活動。這個過程可以使用可信SOAP消息傳遞數(shù)據(jù)。注冊過程實際上也是調(diào)用一個特殊可信Web Service的過程，因此調(diào)用信息可以通過可信SOAP消息來傳遞；n 服務發(fā)現(xiàn)：服務請求者根據(jù)自己的需要訪問可信UDDI的查詢服務。服務描述是一個標準的或者經(jīng)過擴展的可信WSDL文檔。WSEL是用來描述非操作性的服務特征(如服務質量等)的一種語言。WSFL(Web Services Flow Language)。也可以查詢特定服務的描述信息,并動態(tài)綁定到該服務上。UDDI規(guī)范描述了Web Services的概念,同時也定義了一種編程接口。它是在原有Microsoft提出的DISCO(Discovery of Web Services)和IBM的ADS(Advertisement and Discovery of Services)的基礎上發(fā)展而來的。UDDI (Universal Discovery, Description, Integration)。它是Microsoft公司的SDL（Services Description Language）、IBM公司的NASSL（NetworkAccessible Services Specification Language）合并后被Ｗ３Ｃ接納所形成的標準。WSDL(Web Service Description Language)。SOAP用XML來格式化消息,用HTTP來承載消息。SOAP協(xié)議最先由Microsoft公司提交給W3C組織,。Web Services的其它協(xié)議規(guī)范都是以XML形式來描述和表達的。HTTP是一個在Internet上廣泛使用的協(xié)議,為Web Services部件通過Internet交互奠定了協(xié)議基礎，并具有穿透防火墻的良好特性。 Work Flow WSFLUniversal Description, Discovery, and Integration UDDIServices DescriptionWSDLMessaging SOAPExtensible Markup Language XMLTransport ProtocolsHTTP and othersXML和HTTP?？尚臰eb Service體系框架包含以下部分：可信的Web Service運行環(huán)境：提供可信Web Service的運行管理機制；UDDI注冊表和可信Web Service的安全管理服務；基于可信Web Service運行環(huán)境的面向行業(yè)共性特性的Web Service構件。與工作流控制數(shù)據(jù)和相關數(shù)據(jù)不同，應用數(shù)據(jù)對應用程序來講是局部數(shù)據(jù)，對WfMS 的其他部件來說是不可見的。n 應用程序和應用數(shù)據(jù)應用程序可以直接被WfMS 調(diào)用或通過應用程序代理被間接調(diào)用。n 工作表和工作表處理程序工作表列出了與業(yè)務過程的參與者相關的一系列工作項，工作表處理程序則對用戶和工作表之間的交互進行管理。WfMS 使用這些數(shù)據(jù)確定工作流實例的狀態(tài)轉移，例如過程調(diào)度決策數(shù)據(jù)、活動間的傳輸數(shù)據(jù)等。n 工作流控制數(shù)據(jù)指被工作流執(zhí)行子系統(tǒng)和工作流引擎管理的系統(tǒng)數(shù)據(jù)，例如工作流實例的狀態(tài)信息、每一活動的狀態(tài)信息等。工作流引擎是WfMS 的核心軟件組元。這些信息包括起始和終止條件、各個組成活動、活動調(diào)度規(guī)則、各業(yè)務的參與者需要做的工作、相關應用程序和數(shù)據(jù)的調(diào)用信息等。它可以是形式化的過程定義語言或對象關系模型，也可以是簡單地規(guī)定用戶間信息傳輸?shù)囊唤M路由命令。其中主要包括如下七個部分的部件和數(shù)據(jù)。由于Portlet 的開發(fā)和Servlet 的開發(fā)非常相似，開發(fā)簡單易學，擴展性強，所以各個主流應用廠已經(jīng)全面接受該標準，現(xiàn)有的Portlet 已有數(shù)百個，充分的保證了系統(tǒng)功能的可擴展性。提供方便的Portlet 部署和管理界面。Portlet 是國際標準的門戶組件標準，為Portlet 提供了運行的容器，可以運行標準的Portlet 應用程序，充分利用已有的資源并提供開放的二次開發(fā)接口。Portlet 只有在生成了適合在Web 頁面中顯示的內(nèi)容之后，才會在Portal 環(huán)境中適當運行。Portlet 用Portlet API 來編寫，就象Servlet 用Servlet API來編寫一樣，不同的是Portlet 運行在Portal 環(huán)境中，而Servlet 運行在服務器端的Servlet 容器（Container）中。根據(jù)我國信息化建設的需求與實際情況，本項目將選擇基于服務的框架結構——SOA，在整個系統(tǒng)的總體架構上融入了SOA理念。這些服務，以及規(guī)定它們應如何組合來構成一個完整應用程序的指導原則，由此構成了一個SOA。下一次他登錄時，他就自動地被關閉在他的老部門系統(tǒng)之外，并賦予他訪問新部門系統(tǒng)的權力. SOA技術SOA（ServiceOriented Architecture）——基于服務的框架結構是一種應用技術，應用的業(yè)務邏輯被組織成模型（服務），訪問接口、服務成為一個黑盒。例如，一位程序人員將被授予與其職位、部門和當前工程相適應的訪問權。 當用戶登錄時，SSO確定對這個特定用戶ID實行什么策略。 管理人員為個人和用戶組規(guī)定允許對網(wǎng)絡資源進行恰當訪問的策略。 一種實現(xiàn)SSO的更好的方式是允許IT管理人員在方便用戶的同時，增強安全性，減少管理費用。這種方式簡化了用戶的工作，用戶只需要記住一個口令。 SSO最簡單的實現(xiàn)形式是使每個用戶在認證服務器上都擁有一個賬戶，認證服務器保存所有用戶ID、口令和賬戶信息。當用戶登錄到這個SSO主域時，他提供在登錄到任何次級域時所需要的所有證明。在多登錄環(huán)境中的正常環(huán)境下，用戶必須分別登錄到每個次級域。 從技術上看，SSO使用戶可以登錄到一個主域上，但可以訪問其他次級域。 實際的授權可以在認證后立即進行，使客戶得到授權資源的清單。用戶可以被授權查看文件，但不能刪除或修改文件。首先是認證，認證發(fā)生在系統(tǒng)驗證登錄的實體（人或程序）是否是與這個用戶身份相關的實體時，認證通常通過將口令與用戶的ID匹配來實現(xiàn)。 單點登錄技術SSO（Single SignOn）是介于Portal和集成的應用系統(tǒng)之間的認證服務，用戶登陸Portal之后，只需要做一次身份驗證，就可以對所有被授權的網(wǎng)絡資源進行無縫的訪問，不需要再次輸入其他應用系統(tǒng)的驗證信息（用戶名、密碼），從而可以提高用戶的工作效率，降低系統(tǒng)出錯的機率。要知道需求可能會擴展和延伸到產(chǎn)品的設計和實現(xiàn)階段。n 設計一個完備的用戶體驗過程：一個用戶對一個產(chǎn)品的完備的體驗過程包括包裝、銷售、培訓、硬拷貝文檔、設置、安裝、屏幕、圖形、幫助、其他性能支持、升級和卸載n 評測：讓用戶參與測試，借些判斷是否達到了目標或是否存在問題n 迭代：如果沒有達到目標或存在問題，就要進行修改，并使之重新生效。從字面上看是“用戶”與“界面”兩個詞組，但實際上還包括用戶與界面之間的交互關系。編碼設計大家都很熟悉，但是 UI設計還是一個很陌生的詞，即使一些專門從事網(wǎng)站與多媒體設計的人也不完全理解UI的意思。于是一個不涉及技術而著眼于易用和美觀的行業(yè)越來越顯得重要——這就是軟件UI設計。眾所周知，在當今的硬件與軟件環(huán)境下，一個軟件系統(tǒng)沒有很好的界面設計就不能算是成功。 UI技術面向用戶的界面設計（UI設計），突出以人為本。圖：構件化的多層體系圖面向構件的實現(xiàn)多層體系，采用數(shù)據(jù)總線的技術，各層之間松散耦合，如有變化影響較小，構件相對穩(wěn)定，靈活多變又能保證系統(tǒng)穩(wěn)定性。n 業(yè)務構件庫：面向企業(yè)某類業(yè)務的，具有業(yè)務的特性，但可應用于多個業(yè)務類型中。構件庫基礎構件工具構件角色構件行業(yè)構件Demo業(yè)務構件Product產(chǎn)品構件電子客戶構件PackagePackagePackage圖：構件應用層次圖構件按照應用層次多層抽象，根據(jù)業(yè)務需求組裝。它可以是被封裝的對象類、類樹、一些功能模塊、軟件框架（framwork）、軟件構架（或體系結構Architectural）、文檔、分析件、設計模式（Pattern）等。 構件技術通過構件技術實現(xiàn)業(yè)務模型的設計和實現(xiàn)，并可重用。另外，由于數(shù)據(jù)庫在企業(yè)中扮演著重要角色，軟件構件技術應能與數(shù)據(jù)庫技術緊密集成；可擴展性：集成框架必須是可擴展的，能夠協(xié)調(diào)不同的設計模式和實現(xiàn)策略，可以根據(jù)企業(yè)的需求進行裁剪，并能迅速反應市場的變化和技術的發(fā)展趨勢。它要求分布在不同機器平臺和操作系統(tǒng)上、采用不同的語言或者開發(fā)工具生成的各類商業(yè)應用必須能集成在一起，構成一個統(tǒng)一的計算框架。J2EE中提供了分布式計算環(huán)境中組件需要的所有服務，例如組件生命周期的管理、數(shù)據(jù)庫連接的管理、分布式事務的支持、組件的命名服務等等，可以提供程序更加高效地運行于應用服務器中，支持多種客戶端的訪問。J2EE技術還為這些組件提供一整套企業(yè)級服務，通過自動化的方式完成應用程序開發(fā)中的諸多耗時且費力的艱難工作，為用戶提供一種可創(chuàng)建廣泛兼容的企業(yè)級解決方案而無需進行復雜編程的平臺。 多視圖網(wǎng)絡結構圖，遠程獲取豐富病毒監(jiān)控信息，實時監(jiān)控網(wǎng)絡及客戶端狀態(tài)； 全網(wǎng)系統(tǒng)漏洞檢測：修補系統(tǒng)漏洞，提高企業(yè)網(wǎng)絡系統(tǒng)的整體防范能力，保障系統(tǒng)安全； 第五章 支撐平臺設計 技術實現(xiàn)路徑本部份描述了設計中使用的關鍵技術，其中部分技術盡量利用成熟的技術和產(chǎn)品來實現(xiàn)，比如：構件技術、UI技術、工作流技術等。 遠程升級：管控中心通知遠程主機啟動升級程序，保證全網(wǎng)的防御最新。 遠程安裝 /卸載：采用Windows server對域成員計算機和用戶的軟件管理方案，是更安全，穩(wěn)定的，更便利的遠程安裝管理模式。 增強并優(yōu)化郵件服務保護，過濾攔截未知郵件病毒； 基于 IP/netbios選通技術的訪問控制模塊； 全面支持網(wǎng)絡協(xié)議； 高速網(wǎng)絡未知病毒探測能力； 增強系統(tǒng)穩(wěn)定性，保護服務器工作連續(xù)性； 管控中心 ： 集中化病毒防御管理控制平臺 協(xié)同殺毒：防止病毒在局域網(wǎng)內(nèi)交叉感染； 全網(wǎng)升級：通知并啟動全網(wǎng)更新，保持最新最強保護狀態(tài)； 遠程配置：從管控中心將配置應用到全網(wǎng)，保證整體安全防御的一致性。 網(wǎng)絡版防病毒軟件是怎么進行工作的：網(wǎng)絡版的病毒防御體系由工作站端、服務器端以及管控中心三部分構成。實現(xiàn)了防止病毒交叉感染，將疫情置于可控范圍內(nèi)，杜絕病毒造成機構大面積停止作業(yè)的最終目的。根據(jù)對國際、國內(nèi)計算機病毒的發(fā)展歷史和現(xiàn)狀及對各類計算機病毒的危害程度的分析，目前業(yè)界公認，使用病毒檢出率最高的產(chǎn)品、使用對高危害度病毒能最快發(fā)布解藥的產(chǎn)品、使用對郵件等所有病毒的可能的入侵通道都有可靠防護的產(chǎn)品、以及正確地部署使用和維護產(chǎn)品是保障計算機系統(tǒng)免遭病毒侵害的關鍵。技術的進步為企業(yè)信息化運作，提供了前所未有的動力，同時網(wǎng)絡將越來越多的數(shù)據(jù)暴露在安全的威脅之下，病毒的發(fā)展同時也進入了多元化的時代，混合型病毒攻擊采取多渠道的傳播方式，更快速的感染全球網(wǎng)絡。郵件服務器，Web服務器和DNS服務器一般放在DMZ區(qū)，我們將采用各種安全策略，并制定訪問控制原則：非經(jīng)過容許的服務和通信都將拒絕通過。從上面的圖上我們可以看到，通過使用防火墻，就將網(wǎng)絡分成了三個區(qū)域，Trust(可信任區(qū)，連接內(nèi)部局域網(wǎng))，Untrust(不信任區(qū)，連接Internet ),DMZ（中立區(qū)，連接公司對外發(fā)布的WEB Server、DNS Server和eMail Server 等）。 基于防火墻的典型數(shù)據(jù)安全解決方案常見的防火墻一般我們按照具體應用連接的不同，將其劃分為連接Trust區(qū)域，UnTrust區(qū)域和DMZ區(qū)域的端口。網(wǎng)絡內(nèi)部安全一般采用安裝防病毒軟件系統(tǒng)、定期查殺病毒解決。2) 系統(tǒng)管理員：管理和修改業(yè)務數(shù)據(jù)、.在線增加和刪除業(yè)務模塊、配置信令參數(shù)、呼叫設置、電路阻塞和釋放。在系統(tǒng)軟件級別上，通過實施權限管理、口令加密、安全事務日志、安全審計等多種措施可防止對數(shù)據(jù)和應用軟件的非法訪問。2) 數(shù)據(jù)庫服務器中配有磁帶機，系統(tǒng)定期將數(shù)據(jù)庫中數(shù)據(jù)備份到磁帶，保證出現(xiàn)數(shù)據(jù)被破壞后可快速恢復。 數(shù)據(jù)存儲的可靠性1) 數(shù)據(jù)存儲設備可采用RAID1（磁盤鏡像）或/RAID5方式。磁盤陣列柜 服務器的可靠性1) 主機采用高可靠性的IBM或者HP 服務器，以易于接受的價格提供同檔最佳的可靠運行保障功能。當工作機出現(xiàn)異常，不能支持信息系統(tǒng)運營時，備份機主動接管(Take Over)工作機的工作，繼續(xù)支持信息的運營，從而保證信息系統(tǒng)能夠不間斷地運行(NonStop)。配置四臺PC服務器作為Web處理機及應用處理服務器，安裝兩套雙機熱備份的系統(tǒng)軟件，做到兩臺機器互相熱備份。 雙機方案的簡單描述該雙機容錯系統(tǒng)方案目的在于保證系統(tǒng)永不停機和數(shù)據(jù)永不丟失，采用磁盤陣列柜解決了數(shù)據(jù)永不丟失的問題、采用雙機容錯軟件解決了系統(tǒng)永不停機的問題。服務器分為數(shù)據(jù)庫服務器、應用服務器、Web 服務器等。相對于普通 PC 來說，服務器穩(wěn)定性、安全性 等方面都要求更高。集中式網(wǎng)絡拓撲具體方案見下圖。n 支持每分鐘100個事務的觸發(fā)運作系統(tǒng)設計考慮到內(nèi)部用戶的訪問數(shù)量，因此，需要實現(xiàn)每分鐘100個事務實例的觸發(fā)要求，即每分鐘支持100個業(yè)務流程和事務的處理并發(fā)要求。 系統(tǒng)性能設計考慮到本項目的內(nèi)容是公司的核心系統(tǒng)，面向幾乎所有內(nèi)