【正文】 XX公司公司是中國最早的系統(tǒng)集成商和軟件開發(fā)商之一，在系統(tǒng)集成和軟件開發(fā)兩方面都處于業(yè)。一個較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。如何保障互聯(lián)網(wǎng)安全運(yùn)行，是企業(yè)信息化建設(shè)中的首要課題。所謂安全性，即如何防止電腦恐怖活動，有組織的和個人的電腦犯罪、病毒的侵襲、破壞以及黑客活動。這個過程可以使用可信SOAP消息傳遞數(shù)據(jù)。注冊過程實(shí)際上也是調(diào)用一個特殊可信Web Service的過程，因此調(diào)用信息可以通過可信SOAP消息來傳遞；n 服務(wù)發(fā)現(xiàn)：服務(wù)請求者根據(jù)自己的需要訪問可信UDDI的查詢服務(wù)。服務(wù)描述是一個標(biāo)準(zhǔn)的或者經(jīng)過擴(kuò)展的可信WSDL文檔。WSEL是用來描述非操作性的服務(wù)特征(如服務(wù)質(zhì)量等)的一種語言。WSFL(Web Services Flow Language)。也可以查詢特定服務(wù)的描述信息,并動態(tài)綁定到該服務(wù)上。UDDI規(guī)范描述了Web Services的概念,同時也定義了一種編程接口。它是在原有Microsoft提出的DISCO(Discovery of Web Services)和IBM的ADS(Advertisement and Discovery of Services)的基礎(chǔ)上發(fā)展而來的。UDDI (Universal Discovery, Description, Integration)。它是Microsoft公司的SDL（Services Description Language）、IBM公司的NASSL（NetworkAccessible Services Specification Language）合并后被Ｗ３Ｃ接納所形成的標(biāo)準(zhǔn)。WSDL(Web Service Description Language)。SOAP用XML來格式化消息,用HTTP來承載消息。SOAP協(xié)議最先由Microsoft公司提交給W3C組織,。Web Services的其它協(xié)議規(guī)范都是以XML形式來描述和表達(dá)的。HTTP是一個在Internet上廣泛使用的協(xié)議,為Web Services部件通過Internet交互奠定了協(xié)議基礎(chǔ)，并具有穿透防火墻的良好特性。 Work Flow WSFLUniversal Description, Discovery, and Integration UDDIServices DescriptionWSDLMessaging SOAPExtensible Markup Language XMLTransport ProtocolsHTTP and othersXML和HTTP。可信Web Service體系框架包含以下部分：可信的Web Service運(yùn)行環(huán)境：提供可信Web Service的運(yùn)行管理機(jī)制；UDDI注冊表和可信Web Service的安全管理服務(wù)；基于可信Web Service運(yùn)行環(huán)境的面向行業(yè)共性特性的Web Service構(gòu)件。與工作流控制數(shù)據(jù)和相關(guān)數(shù)據(jù)不同，應(yīng)用數(shù)據(jù)對應(yīng)用程序來講是局部數(shù)據(jù)，對WfMS 的其他部件來說是不可見的。n 應(yīng)用程序和應(yīng)用數(shù)據(jù)應(yīng)用程序可以直接被WfMS 調(diào)用或通過應(yīng)用程序代理被間接調(diào)用。n 工作表和工作表處理程序工作表列出了與業(yè)務(wù)過程的參與者相關(guān)的一系列工作項(xiàng)，工作表處理程序則對用戶和工作表之間的交互進(jìn)行管理。WfMS 使用這些數(shù)據(jù)確定工作流實(shí)例的狀態(tài)轉(zhuǎn)移，例如過程調(diào)度決策數(shù)據(jù)、活動間的傳輸數(shù)據(jù)等。n 工作流控制數(shù)據(jù)指被工作流執(zhí)行子系統(tǒng)和工作流引擎管理的系統(tǒng)數(shù)據(jù)，例如工作流實(shí)例的狀態(tài)信息、每一活動的狀態(tài)信息等。工作流引擎是WfMS 的核心軟件組元。這些信息包括起始和終止條件、各個組成活動、活動調(diào)度規(guī)則、各業(yè)務(wù)的參與者需要做的工作、相關(guān)應(yīng)用程序和數(shù)據(jù)的調(diào)用信息等。它可以是形式化的過程定義語言或?qū)ο箨P(guān)系模型，也可以是簡單地規(guī)定用戶間信息傳輸?shù)囊唤M路由命令。其中主要包括如下七個部分的部件和數(shù)據(jù)。由于Portlet 的開發(fā)和Servlet 的開發(fā)非常相似，開發(fā)簡單易學(xué)，擴(kuò)展性強(qiáng)，所以各個主流應(yīng)用廠已經(jīng)全面接受該標(biāo)準(zhǔn)，現(xiàn)有的Portlet 已有數(shù)百個，充分的保證了系統(tǒng)功能的可擴(kuò)展性。提供方便的Portlet 部署和管理界面。Portlet 是國際標(biāo)準(zhǔn)的門戶組件標(biāo)準(zhǔn)，為Portlet 提供了運(yùn)行的容器，可以運(yùn)行標(biāo)準(zhǔn)的Portlet 應(yīng)用程序，充分利用已有的資源并提供開放的二次開發(fā)接口。Portlet 只有在生成了適合在Web 頁面中顯示的內(nèi)容之后，才會在Portal 環(huán)境中適當(dāng)運(yùn)行。Portlet 用Portlet API 來編寫，就象Servlet 用Servlet API來編寫一樣，不同的是Portlet 運(yùn)行在Portal 環(huán)境中，而Servlet 運(yùn)行在服務(wù)器端的Servlet 容器（Container）中。根據(jù)我國信息化建設(shè)的需求與實(shí)際情況，本項(xiàng)目將選擇基于服務(wù)的框架結(jié)構(gòu)——SOA，在整個系統(tǒng)的總體架構(gòu)上融入了SOA理念。這些服務(wù)，以及規(guī)定它們應(yīng)如何組合來構(gòu)成一個完整應(yīng)用程序的指導(dǎo)原則，由此構(gòu)成了一個SOA。下一次他登錄時，他就自動地被關(guān)閉在他的老部門系統(tǒng)之外，并賦予他訪問新部門系統(tǒng)的權(quán)力. SOA技術(shù)SOA（ServiceOriented Architecture）——基于服務(wù)的框架結(jié)構(gòu)是一種應(yīng)用技術(shù)，應(yīng)用的業(yè)務(wù)邏輯被組織成模型（服務(wù)），訪問接口、服務(wù)成為一個黑盒。例如，一位程序人員將被授予與其職位、部門和當(dāng)前工程相適應(yīng)的訪問權(quán)。 當(dāng)用戶登錄時，SSO確定對這個特定用戶ID實(shí)行什么策略。 管理人員為個人和用戶組規(guī)定允許對網(wǎng)絡(luò)資源進(jìn)行恰當(dāng)訪問的策略。 一種實(shí)現(xiàn)SSO的更好的方式是允許IT管理人員在方便用戶的同時，增強(qiáng)安全性，減少管理費(fèi)用。這種方式簡化了用戶的工作，用戶只需要記住一個口令。 SSO最簡單的實(shí)現(xiàn)形式是使每個用戶在認(rèn)證服務(wù)器上都擁有一個賬戶，認(rèn)證服務(wù)器保存所有用戶ID、口令和賬戶信息。當(dāng)用戶登錄到這個SSO主域時，他提供在登錄到任何次級域時所需要的所有證明。在多登錄環(huán)境中的正常環(huán)境下，用戶必須分別登錄到每個次級域。 從技術(shù)上看，SSO使用戶可以登錄到一個主域上，但可以訪問其他次級域。 實(shí)際的授權(quán)可以在認(rèn)證后立即進(jìn)行，使客戶得到授權(quán)資源的清單。用戶可以被授權(quán)查看文件，但不能刪除或修改文件。首先是認(rèn)證，認(rèn)證發(fā)生在系統(tǒng)驗(yàn)證登錄的實(shí)體（人或程序）是否是與這個用戶身份相關(guān)的實(shí)體時，認(rèn)證通常通過將口令與用戶的ID匹配來實(shí)現(xiàn)。 單點(diǎn)登錄技術(shù)SSO（Single SignOn）是介于Portal和集成的應(yīng)用系統(tǒng)之間的認(rèn)證服務(wù)，用戶登陸Portal之后，只需要做一次身份驗(yàn)證，就可以對所有被授權(quán)的網(wǎng)絡(luò)資源進(jìn)行無縫的訪問，不需要再次輸入其他應(yīng)用系統(tǒng)的驗(yàn)證信息（用戶名、密碼），從而可以提高用戶的工作效率，降低系統(tǒng)出錯的機(jī)率。要知道需求可能會擴(kuò)展和延伸到產(chǎn)品的設(shè)計(jì)和實(shí)現(xiàn)階段。n 設(shè)計(jì)一個完備的用戶體驗(yàn)過程：一個用戶對一個產(chǎn)品的完備的體驗(yàn)過程包括包裝、銷售、培訓(xùn)、硬拷貝文檔、設(shè)置、安裝、屏幕、圖形、幫助、其他性能支持、升級和卸載n 評測：讓用戶參與測試，借些判斷是否達(dá)到了目標(biāo)或是否存在問題n 迭代：如果沒有達(dá)到目標(biāo)或存在問題，就要進(jìn)行修改，并使之重新生效。從字面上看是“用戶”與“界面”兩個詞組，但實(shí)際上還包括用戶與界面之間的交互關(guān)系。編碼設(shè)計(jì)大家都很熟悉，但是 UI設(shè)計(jì)還是一個很陌生的詞，即使一些專門從事網(wǎng)站與多媒體設(shè)計(jì)的人也不完全理解UI的意思。于是一個不涉及技術(shù)而著眼于易用和美觀的行業(yè)越來越顯得重要——這就是軟件UI設(shè)計(jì)。眾所周知，在當(dāng)今的硬件與軟件環(huán)境下，一個軟件系統(tǒng)沒有很好的界面設(shè)計(jì)就不能算是成功。 UI技術(shù)面向用戶的界面設(shè)計(jì)（UI設(shè)計(jì)），突出以人為本。圖：構(gòu)件化的多層體系圖面向構(gòu)件的實(shí)現(xiàn)多層體系，采用數(shù)據(jù)總線的技術(shù)，各層之間松散耦合，如有變化影響較小，構(gòu)件相對穩(wěn)定，靈活多變又能保證系統(tǒng)穩(wěn)定性。n 業(yè)務(wù)構(gòu)件庫：面向企業(yè)某類業(yè)務(wù)的，具有業(yè)務(wù)的特性，但可應(yīng)用于多個業(yè)務(wù)類型中。構(gòu)件庫基礎(chǔ)構(gòu)件工具構(gòu)件角色構(gòu)件行業(yè)構(gòu)件Demo業(yè)務(wù)構(gòu)件Product產(chǎn)品構(gòu)件電子客戶構(gòu)件PackagePackagePackage圖：構(gòu)件應(yīng)用層次圖構(gòu)件按照應(yīng)用層次多層抽象，根據(jù)業(yè)務(wù)需求組裝。它可以是被封裝的對象類、類樹、一些功能模塊、軟件框架（framwork）、軟件構(gòu)架（或體系結(jié)構(gòu)Architectural）、文檔、分析件、設(shè)計(jì)模式（Pattern）等。 構(gòu)件技術(shù)通過構(gòu)件技術(shù)實(shí)現(xiàn)業(yè)務(wù)模型的設(shè)計(jì)和實(shí)現(xiàn)，并可重用。另外，由于數(shù)據(jù)庫在企業(yè)中扮演著重要角色，軟件構(gòu)件技術(shù)應(yīng)能與數(shù)據(jù)庫技術(shù)緊密集成；可擴(kuò)展性：集成框架必須是可擴(kuò)展的，能夠協(xié)調(diào)不同的設(shè)計(jì)模式和實(shí)現(xiàn)策略，可以根據(jù)企業(yè)的需求進(jìn)行裁剪，并能迅速反應(yīng)市場的變化和技術(shù)的發(fā)展趨勢。它要求分布在不同機(jī)器平臺和操作系統(tǒng)上、采用不同的語言或者開發(fā)工具生成的各類商業(yè)應(yīng)用必須能集成在一起，構(gòu)成一個統(tǒng)一的計(jì)算框架。J2EE中提供了分布式計(jì)算環(huán)境中組件需要的所有服務(wù)，例如組件生命周期的管理、數(shù)據(jù)庫連接的管理、分布式事務(wù)的支持、組件的命名服務(wù)等等，可以提供程序更加高效地運(yùn)行于應(yīng)用服務(wù)器中，支持多種客戶端的訪問。J2EE技術(shù)還為這些組件提供一整套企業(yè)級服務(wù)，通過自動化的方式完成應(yīng)用程序開發(fā)中的諸多耗時且費(fèi)力的艱難工作，為用戶提供一種可創(chuàng)建廣泛兼容的企業(yè)級解決方案而無需進(jìn)行復(fù)雜編程的平臺。 多視圖網(wǎng)絡(luò)結(jié)構(gòu)圖，遠(yuǎn)程獲取豐富病毒監(jiān)控信息，實(shí)時監(jiān)控網(wǎng)絡(luò)及客戶端狀態(tài)； 全網(wǎng)系統(tǒng)漏洞檢測：修補(bǔ)系統(tǒng)漏洞，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)的整體防范能力，保障系統(tǒng)安全； 第五章 支撐平臺設(shè)計(jì) 技術(shù)實(shí)現(xiàn)路徑本部份描述了設(shè)計(jì)中使用的關(guān)鍵技術(shù)，其中部分技術(shù)盡量利用成熟的技術(shù)和產(chǎn)品來實(shí)現(xiàn)，比如：構(gòu)件技術(shù)、UI技術(shù)、工作流技術(shù)等。 遠(yuǎn)程升級：管控中心通知遠(yuǎn)程主機(jī)啟動升級程序，保證全網(wǎng)的防御最新。 遠(yuǎn)程安裝 /卸載：采用Windows server對域成員計(jì)算機(jī)和用戶的軟件管理方案，是更安全，穩(wěn)定的，更便利的遠(yuǎn)程安裝管理模式。 增強(qiáng)并優(yōu)化郵件服務(wù)保護(hù)，過濾攔截未知郵件病毒； 基于 IP/netbios選通技術(shù)的訪問控制模塊； 全面支持網(wǎng)絡(luò)協(xié)議； 高速網(wǎng)絡(luò)未知病毒探測能力； 增強(qiáng)系統(tǒng)穩(wěn)定性，保護(hù)服務(wù)器工作連續(xù)性； 管控中心 ： 集中化病毒防御管理控制平臺 協(xié)同殺毒：防止病毒在局域網(wǎng)內(nèi)交叉感染； 全網(wǎng)升級：通知并啟動全網(wǎng)更新，保持最新最強(qiáng)保護(hù)狀態(tài)； 遠(yuǎn)程配置：從管控中心將配置應(yīng)用到全網(wǎng)，保證整體安全防御的一致性。 網(wǎng)絡(luò)版防病毒軟件是怎么進(jìn)行工作的：網(wǎng)絡(luò)版的病毒防御體系由工作站端、服務(wù)器端以及管控中心三部分構(gòu)成。實(shí)現(xiàn)了防止病毒交叉感染，將疫情置于可控范圍內(nèi)，杜絕病毒造成機(jī)構(gòu)大面積停止作業(yè)的最終目的。根據(jù)對國際、國內(nèi)計(jì)算機(jī)病毒的發(fā)展歷史和現(xiàn)狀及對各類計(jì)算機(jī)病毒的危害程度的分析，目前業(yè)界公認(rèn)，使用病毒檢出率最高的產(chǎn)品、使用對高危害度病毒能最快發(fā)布解藥的產(chǎn)品、使用對郵件等所有病毒的可能的入侵通道都有可靠防護(hù)的產(chǎn)品、以及正確地部署使用和維護(hù)產(chǎn)品是保障計(jì)算機(jī)系統(tǒng)免遭病毒侵害的關(guān)鍵。技術(shù)的進(jìn)步為企業(yè)信息化運(yùn)作，提供了前所未有的動力，同時網(wǎng)絡(luò)將越來越多的數(shù)據(jù)暴露在安全的威脅之下，病毒的發(fā)展同時也進(jìn)入了多元化的時代，混合型病毒攻擊采取多渠道的傳播方式，更快速的感染全球網(wǎng)絡(luò)。郵件服務(wù)器，Web服務(wù)器和DNS服務(wù)器一般放在DMZ區(qū)，我們將采用各種安全策略，并制定訪問控制原則：非經(jīng)過容許的服務(wù)和通信都將拒絕通過。從上面的圖上我們可以看到，通過使用防火墻，就將網(wǎng)絡(luò)分成了三個區(qū)域，Trust(可信任區(qū)，連接內(nèi)部局域網(wǎng))，Untrust(不信任區(qū)，連接Internet ),DMZ（中立區(qū)，連接公司對外發(fā)布的WEB Server、DNS Server和eMail Server 等）。 基于防火墻的典型數(shù)據(jù)安全解決方案常見的防火墻一般我們按照具體應(yīng)用連接的不同，將其劃分為連接Trust區(qū)域，UnTrust區(qū)域和DMZ區(qū)域的端口。網(wǎng)絡(luò)內(nèi)部安全一般采用安裝防病毒軟件系統(tǒng)、定期查殺病毒解決。2) 系統(tǒng)管理員：管理和修改業(yè)務(wù)數(shù)據(jù)、.在線增加和刪除業(yè)務(wù)模塊、配置信令參數(shù)、呼叫設(shè)置、電路阻塞和釋放。在系統(tǒng)軟件級別上，通過實(shí)施權(quán)限管理、口令加密、安全事務(wù)日志、安全審計(jì)等多種措施可防止對數(shù)據(jù)和應(yīng)用軟件的非法訪問。2) 數(shù)據(jù)庫服務(wù)器中配有磁帶機(jī)，系統(tǒng)定期將數(shù)據(jù)庫中數(shù)據(jù)備份到磁帶，保證出現(xiàn)數(shù)據(jù)被破壞后可快速恢復(fù)。 數(shù)據(jù)存儲的可靠性1) 數(shù)據(jù)存儲設(shè)備可采用RAID1（磁盤鏡像）或/RAID5方式。磁盤陣列柜 服務(wù)器的可靠性1) 主機(jī)采用高可靠性的IBM或者HP 服務(wù)器，以易于接受的價格提供同檔最佳的可靠運(yùn)行保障功能。當(dāng)工作機(jī)出現(xiàn)異常，不能支持信息系統(tǒng)運(yùn)營時，備份機(jī)主動接管(Take Over)工作機(jī)的工作，繼續(xù)支持信息的運(yùn)營，從而保證信息系統(tǒng)能夠不間斷地運(yùn)行(NonStop)。配置四臺PC服務(wù)器作為Web處理機(jī)及應(yīng)用處理服務(wù)器，安裝兩套雙機(jī)熱備份的系統(tǒng)軟件，做到兩臺機(jī)器互相熱備份。 雙機(jī)方案的簡單描述該雙機(jī)容錯系統(tǒng)方案目的在于保證系統(tǒng)永不停機(jī)和數(shù)據(jù)永不丟失，采用磁盤陣列柜解決了數(shù)據(jù)永不丟失的問題、采用雙機(jī)容錯軟件解決了系統(tǒng)永不停機(jī)的問題。服務(wù)器分為數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器、Web 服務(wù)器等。相對于普通 PC 來說，服務(wù)器穩(wěn)定性、安全性 等方面都要求更高。集中式網(wǎng)絡(luò)拓?fù)渚唧w方案見下圖。n 支持每分鐘100個事務(wù)的觸發(fā)運(yùn)作系統(tǒng)設(shè)計(jì)考慮到內(nèi)部用戶的訪問數(shù)量，因此，需要實(shí)現(xiàn)每分鐘100個事務(wù)實(shí)例的觸發(fā)要求，即每分鐘支持100個業(yè)務(wù)流程和事務(wù)的處理并發(fā)要求。 系統(tǒng)性能設(shè)計(jì)考慮到本項(xiàng)目的內(nèi)容是公司的核心系統(tǒng)，面向幾乎所有內(nèi)部工作人員，所以在系統(tǒng)設(shè)計(jì)時必須要考慮到性能問題，以下將通過幾個方面描述系統(tǒng)在性能方面的設(shè)計(jì)：n