【正文】 。防止多次發(fā)出相同業(yè)務(wù)操作請求，導(dǎo)致對應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器資源的過度請求；? 對于傳輸敏感類業(yè)務(wù)應(yīng)限制必須通過 HTTPS 協(xié)議訪問，應(yīng)用軟件支持通過修改系統(tǒng)配置指定哪些業(yè)務(wù)訪問必須采用 CA 證書認證，并通過 HTTPS 通信。 用戶會話管理? 用戶會話超時，對一定時間內(nèi)沒有和系統(tǒng)交互的用戶會話設(shè)置為失效；? 用戶登出(logout)后清除 HTTP 會話。應(yīng)用系統(tǒng)應(yīng)從以下幾個方面防御：? 關(guān)鍵敏感操作登錄請求處理過程必須通過 HTTPS 連接使用，防止密碼被從網(wǎng)絡(luò)上竊聽；? 登錄頁面要求輸入隨機生產(chǎn)的請求驗證碼，防止密碼猜測機器人攻擊；? 設(shè)置登錄重試次數(shù)限制，越限用戶被鎖定；? 限制用戶登錄時間；? 限制用戶登錄終端；? 密碼具有有效期；? 用戶密碼強度：位數(shù)，混合數(shù)字、字母、特殊字符等；? 加密算法應(yīng)采用單向加密運算；四川省水電集團38? Web 應(yīng)用系統(tǒng)的受保護 URL 資源必須登錄后才能訪問，不能存在訪問路徑繞過資源保護體系。 終端訪問控制本設(shè)計中的終端包括業(yè)務(wù)終端、管理終端以及維護終端。公開數(shù)據(jù)公開數(shù)據(jù)是指停電通知、電力法規(guī)等公開發(fā)布的數(shù)據(jù)。普通業(yè)務(wù)數(shù)據(jù)對于普通業(yè)務(wù)數(shù)據(jù)，原則上這些信息應(yīng)該在公司內(nèi)部安全保管，如果它需要在公共媒體上傳輸（如互聯(lián)網(wǎng)上傳輸） ，應(yīng)該先進行加密，然后再傳輸。? 能夠檢測到營銷業(yè)務(wù)數(shù)據(jù)在處理、傳輸、存儲過程中完整性是否受到破壞。? 對關(guān)鍵業(yè)務(wù)數(shù)據(jù)的每一步操作（如電價表維護）都要記錄操作日志，以四川省水電集團37備安全檢查。我們可以將其分為三類：? 關(guān)鍵敏感數(shù)據(jù)數(shù)據(jù)，與重要客戶的信息、資金流、資產(chǎn)流相關(guān)的數(shù)據(jù)? 普通業(yè)務(wù)數(shù)據(jù)，普通用戶一般業(yè)務(wù)處理的數(shù)據(jù)? 公開數(shù)據(jù)，停電通知、電力法規(guī)等公開發(fā)布的數(shù)據(jù)針對上述業(yè)務(wù)數(shù)據(jù)及其分類情況，具體保護措施如下：關(guān)鍵敏感數(shù)據(jù)? 關(guān)鍵敏感數(shù)據(jù)是應(yīng)該做到：登錄認證、嚴格授權(quán)、傳輸加密、數(shù)據(jù)實時備份；? 認證必須采用強認證方式，如數(shù)字證書、一次性口令、生物設(shè)備等；? 采用嚴格授權(quán)管理，使數(shù)據(jù)和程序免受無權(quán)用戶的恣意篡改；? 此類數(shù)據(jù)在傳輸時一定要加密，加密算法要選擇具有一定強度的；? 數(shù)據(jù)不在需要時要安全的刪除，銷毀或處置，不能因為數(shù)據(jù)為過時數(shù)據(jù)就隨意放置。 數(shù)據(jù)安全 數(shù)據(jù)備份與容災(zāi)數(shù)據(jù)物理備份與容災(zāi)部分，由阿里云平臺負責(zé)輔助完成，實現(xiàn)數(shù)據(jù)的定時備份。業(yè)務(wù)組件是業(yè)務(wù)操作權(quán)限的授權(quán)單元，為角色賦予業(yè)務(wù)操作權(quán)限就是建立業(yè)務(wù)操作和角色之間的關(guān)系。四川省水電集團36業(yè)務(wù)授權(quán)管理由具有授權(quán)權(quán)限的系統(tǒng)用戶完成對具體系統(tǒng)用戶或角色組的業(yè)務(wù)訪問權(quán)限地分配管理。授權(quán)權(quán)限管理授權(quán)權(quán)限管理實現(xiàn)了自上向下的逐級系統(tǒng)應(yīng)用功能授權(quán)權(quán)限分配，授權(quán)權(quán)限管理的操作對象為具有授權(quán)權(quán)限分配權(quán)限的系統(tǒng)用戶，即各級權(quán)限管理人員，授權(quán)權(quán)限可以分配給指定的系統(tǒng)用戶或角色組。業(yè)務(wù)組件管理采用插件化、組件式設(shè)計進行系統(tǒng)功能組織，通過對營銷應(yīng)用的分析構(gòu)造功能樹，業(yè)務(wù)管理就是對系統(tǒng)提供的功能組件進行維護。? 組內(nèi)系統(tǒng)用戶管理：由具有系統(tǒng)管理權(quán)限的系統(tǒng)用戶（組管理員）完成對組內(nèi)用戶的分配。角色管理具體功能如下：? 角色維護管理：實現(xiàn)了對角色的增加、名稱修改、刪除管理。 權(quán)限管理部門管理通過樹狀層次化描述實現(xiàn)各業(yè)務(wù)、管理部門的維護功能，部門在權(quán)限管理體系中只是用戶的組織方式描述手段，即系統(tǒng)用戶的固有屬性之一，其主要用途是用來進行業(yè)務(wù)劃分及統(tǒng)計分析類應(yīng)用。8．安全管理員角色負責(zé)對安全、審計信息的管理。6．權(quán)限設(shè)置必須由被授權(quán)的管理人員完成，管理員不能設(shè)置大于自身權(quán)限的權(quán)限。4．按照組織結(jié)構(gòu)對各屬地單位、部門、營業(yè)所（班）和操作員進行統(tǒng)一編碼，用戶號原則上不能刪除。在部門管理員層，可以根據(jù)部門的層次關(guān)系，形成分級管理，即上級部門通過授權(quán)給下級部門的管理員，下級部門的管理員可以針對下級部門的人員進行權(quán)限管理。系統(tǒng)角色劃分設(shè)計如下圖： 角 色 部 門 管 理 員業(yè) 務(wù) 用 戶安 全 管 理 員業(yè) 務(wù) 管 理 員 添 加 用 戶分 配 業(yè) 務(wù) 授 權(quán) 權(quán) 限審 計 安 全 管 理 日 志審 計 業(yè) 務(wù) 操 作 日 志增 加 部 門 用 戶分 配 業(yè) 務(wù) 授 權(quán) 權(quán) 限分 配 業(yè) 務(wù) 授 權(quán) 權(quán) 限執(zhí) 行 業(yè) 務(wù) 操 作系 統(tǒng) 管 理 員圖表 1：基本角色規(guī)劃2．權(quán)限分配支持多級授權(quán)。用戶的業(yè)務(wù)操作權(quán)限是依附于角色的，這樣當人員變動時或增加業(yè)務(wù)功能時，只需對人員重新賦予角色或者改變角色對應(yīng)的權(quán)限即可，角色作為業(yè)務(wù)運行權(quán)限分配的基礎(chǔ)。 權(quán)限體系模型體系模型中的對象包括：? 用戶：系統(tǒng)的使用者；? 部門：企業(yè)組織機構(gòu)；? 權(quán)限項：系統(tǒng)中實現(xiàn)的各項業(yè)務(wù)功能；? 角色：執(zhí)行權(quán)限項的集合，業(yè)務(wù)權(quán)限授權(quán)對象。 認證策略營銷業(yè)務(wù)應(yīng)用的使用者和維護者，根據(jù)職責(zé)的不同進行分類，并采用不同的認證方式：人員層次 人員角色 職責(zé)說明 認證方式?jīng)Q策分析層 領(lǐng)導(dǎo) 審批、考核、決策 用戶名＋口令；工作管理層 專責(zé) 工作計劃制定、任務(wù)分派、質(zhì)量考核、部分業(yè)務(wù)審批用戶名＋口令；營銷業(yè)務(wù)層 業(yè)務(wù)處理人員 營銷業(yè)務(wù)受理 用戶名＋口令；第三方 社會化代收、抄表公司代收費、抄表 數(shù)字證書； 用戶名＋口令；人員層次 人員角色 職責(zé)說明 認證方式運維負責(zé)人 領(lǐng)導(dǎo) 審批、考核、決策用戶名＋口令；服務(wù)器管理員 用戶名＋口令；數(shù)據(jù)庫管理員 用戶名＋口令；技術(shù)支持人員網(wǎng)絡(luò)（安全）管理員基礎(chǔ)設(shè)施運行維護操作用戶名＋口令；業(yè)務(wù)支持人員 專責(zé) 軟件變更、發(fā)布，權(quán)限用戶名＋口令；四川省水電集團33軟件開發(fā)商 開發(fā)人員 軟件開發(fā) 臨時口令 權(quán)限管理與授權(quán)營銷業(yè)務(wù)應(yīng)用的業(yè)務(wù)權(quán)限管理設(shè)計思想是“系統(tǒng)管理和業(yè)務(wù)管理權(quán)限分開，分級授權(quán)，逐級管理” 。 用戶維護通過部門樹實現(xiàn)了對系統(tǒng)用戶的維護管理，包括：增加、系統(tǒng)登錄名稱修改、名稱修改、管理崗位設(shè)定、初始密碼設(shè)定、系統(tǒng)用戶刪除、部門調(diào)轉(zhuǎn)等。 用戶屬性用戶具有的屬性包括：系統(tǒng)訪問口令、從屬的部門、從屬的角色組、系統(tǒng)的訪問權(quán)限、當前狀態(tài)等。營銷業(yè)務(wù)應(yīng)用除具備支持身份認證系統(tǒng)的集成外，自身也應(yīng)該具備用戶管理的能力，認證策略不變。、數(shù)據(jù)安全和管理安全等方面的內(nèi)容，基礎(chǔ)環(huán)境的安全在建設(shè)中需要其他部門協(xié)助和配合，這里僅提出安全要求。：針對不同的安全威脅和安全隱患，采用多種防護措施，多層次的加以保護，并加強不同層次之間的協(xié)同，建立一個完整的、縱深安全防護體系。：營銷業(yè)務(wù)應(yīng)用的安全不能完全依賴基礎(chǔ)環(huán)境和外圍安全設(shè)備的安全來保證。加強對部署在信息外網(wǎng)應(yīng)用的安全防護，避免營銷業(yè)務(wù)敏感信息的泄漏，以及成為黑客、計算機病毒的攻擊目標和跳板。如果應(yīng)用不能正常運行，會造成很大的企業(yè)經(jīng)濟損失和社會效益影響。將網(wǎng)絡(luò)、數(shù)據(jù)庫、服務(wù)器、應(yīng)用服務(wù)器的日志信息遠程存儲，避免日志數(shù)據(jù)被系統(tǒng)管理員、DBA 以及攻擊者修改、刪除，日志服務(wù)器要求具有一定安全強度，并重點保護。：實現(xiàn)系統(tǒng)用戶對系統(tǒng)不同層面關(guān)鍵應(yīng)用訪問的過程記錄，包括應(yīng)用訪問的請求類型、開始結(jié)束時間、訪問終端 IP、具體執(zhí)行的組件名稱或SQL 語句等，同時針對此功能可通過對時間的過濾提供對系統(tǒng)的性能分析。主要分為安全日志和業(yè)務(wù)操作日志：1．系統(tǒng)登錄日志：提供了系統(tǒng)用戶對系統(tǒng)的登錄、注銷時間、訪問終端 IP等。 其他外部應(yīng)用營銷業(yè)務(wù)應(yīng)用除需要與銀行進行集成外，還需要與其它企業(yè)的相關(guān)業(yè)務(wù)系統(tǒng)進行集成，如供支付寶、微信、系統(tǒng)等。具體技術(shù)措施和管理措施，詳見“安全架構(gòu)設(shè)計” 。為實現(xiàn)與多家銀行的交易功能，可以通過不同的前置機與對應(yīng)銀行單獨連接，也可以通過共用一臺前置機與多家銀行連接。2．Socket 數(shù)據(jù)交換方式四川省水電集團29對于銀行發(fā)起的業(yè)務(wù)，供電方前置機負責(zé)接收由銀行發(fā)來的交易請求并將其解包解碼之后調(diào)用業(yè)務(wù)（應(yīng)用） ，待業(yè)務(wù)（應(yīng)用）返回結(jié)果之后，電力企業(yè)方前置機將其編碼打包后通過網(wǎng)絡(luò)發(fā)給銀行方前置機；當然也可以在電力企業(yè)方前置機負責(zé)接收由銀行發(fā)來的交易請求并將其解包解碼之后，直接連接營銷業(yè)務(wù)應(yīng)用數(shù)據(jù)庫，完成業(yè)務(wù)操作，然后返回結(jié)果給銀行方前置機。對于電力企業(yè)方發(fā)起的業(yè)務(wù)，業(yè)務(wù)應(yīng)用向電力企業(yè)方前置機提出業(yè)務(wù)請求，電力企業(yè)方前置機將業(yè)務(wù)數(shù)據(jù)通過中間件發(fā)給銀行方前置機，待銀行返回交易之后，電力企業(yè)方前置機將根據(jù)交易結(jié)果完成業(yè)務(wù)請求，并通知前臺操作結(jié)果。下面將詳細介紹兩種方式：1．交易中間件方式為了滿足交易需要，需要在供電方和銀行方前置機上分別安裝中間件服務(wù)器端軟件和客戶端軟件，一般電力企業(yè)方安裝服務(wù)端。依照銀行方支持的連接方式可能有不同的情況，與銀行連接存在交易中間件和 socket 通訊兩種方式。并需要提供自動錯誤恢復(fù)機制，保證系統(tǒng)異常狀態(tài)下自動恢復(fù)；還需要提供事務(wù)處理的全過程記錄追蹤能力，保證系統(tǒng)出現(xiàn)交易異常后，能夠有效識別錯誤場景，從而使異常得到正確的處理。此通信平臺在整個聯(lián)機事務(wù)處理業(yè)務(wù)中的任務(wù)是進行通信管理和交易管理，向電力企業(yè)及銀行方的應(yīng)用程序提供接口。 實現(xiàn)方式營銷業(yè)務(wù)應(yīng)用與銀行間的實時聯(lián)網(wǎng)收費是典型的聯(lián)機事務(wù)處理業(yè)務(wù)。四川省水電集團282．批量業(yè)務(wù)每次批量業(yè)務(wù)交易涉及的是成千上萬戶的業(yè)務(wù)操作。 處理方式按照業(yè)務(wù)處理時涉及的數(shù)據(jù)量大小存在兩種方式：1．單筆業(yè)務(wù)每次單筆交易涉及的只是一戶或幾戶的業(yè)務(wù)操作。具體的網(wǎng)絡(luò)結(jié)構(gòu)見下圖： 四川省水電集團27 處理流程電力企業(yè)和銀行之間的集成主要考慮雙方間的數(shù)據(jù)交換和應(yīng)用的交互，可根據(jù)業(yè)務(wù)發(fā)起方的不同分成兩類：1．銀行方發(fā)起銀行方前置機將接收到的前臺業(yè)務(wù)請求按照協(xié)議編碼為交易包之后傳遞給供電方的前置機，然后由供電方前置機將交易包按照協(xié)議解碼并解析后調(diào)用業(yè)務(wù)服務(wù)器上的服務(wù)，接著業(yè)務(wù)服務(wù)器返回交易結(jié)果給供電方前置機，最后供電方前置機按照協(xié)議將交易結(jié)果編碼為交易包發(fā)送給銀行方前置機。通過光纖（或?qū)＞€） ，保證數(shù)據(jù)的實時傳遞。在進行與銀行的集成設(shè)計時，需要考慮網(wǎng)絡(luò)結(jié)構(gòu)、處理流程、處理方式、實現(xiàn)方式、安全保證幾方面的內(nèi)容。其業(yè)務(wù)關(guān)聯(lián)如下：四川省水電集團26自動化抄表數(shù)據(jù)采集管理12序 關(guān)聯(lián)業(yè)務(wù)項名稱 關(guān)聯(lián)方向 關(guān)聯(lián)觸發(fā)條件 關(guān)聯(lián)內(nèi)容1 營銷自動化抄表計劃 輸出 自動化抄表時 遠程抄表任務(wù)編號、遠程抄表任務(wù)類型、抄表段、抄表例日、抄表周期、客戶編號、遠程抄表數(shù)據(jù)2 采集數(shù)據(jù)上傳 輸入 采集任務(wù)完成時 遠程抄表任務(wù)編號、遠程抄表任務(wù)完成情況 與企業(yè)外部應(yīng)用集成方案 銀電聯(lián)網(wǎng)目前，營銷業(yè)務(wù)應(yīng)用委托銀行收費的方式有多種，如托收、特約委托、代收、代扣等；與銀行進行數(shù)據(jù)交換的方式、業(yè)務(wù)處理流程也存在多種方式。GIS 業(yè)務(wù)應(yīng)用通過電網(wǎng)資源生產(chǎn)庫將調(diào)用專變、專線等相關(guān)信息。四川省水電集團23圖數(shù)臺賬維護營 銷 業(yè) 務(wù) 應(yīng) 用數(shù) 據(jù) 同 步 服 務(wù)調(diào)用配網(wǎng)設(shè)備信息（ 公用 ） 通知服務(wù)獲取電網(wǎng)資源數(shù)據(jù)調(diào)用數(shù)據(jù)同步服務(wù)調(diào)用配網(wǎng)設(shè)備信息 （ 公用 ） 通知服務(wù)返回成功失敗信息 生 產(chǎn) 業(yè) 務(wù) 應(yīng) 用電網(wǎng)資源生產(chǎn)庫 營銷臺賬集成營銷臺賬（專用配變、專用線路、用戶信息）新增、變更統(tǒng)一由營銷業(yè)務(wù)應(yīng)用發(fā)起，將變更的營銷圖形和臺賬數(shù)據(jù)維護到電網(wǎng)資源生產(chǎn)庫中，通過營銷臺賬信息（專用）通知服務(wù)通知生產(chǎn)業(yè)務(wù)應(yīng)用，生產(chǎn)業(yè)務(wù)應(yīng)用接到通知后，通過圖形服務(wù)組件獲取營銷設(shè)備的圖形和臺賬信息，實現(xiàn)營銷設(shè)備數(shù)據(jù)的共享。營銷業(yè)務(wù)應(yīng)用：專用配變、專用線路、用戶信息。（2）當生產(chǎn)中心 A 不可用的時候，生產(chǎn)中心 B 的從生產(chǎn)數(shù)據(jù)庫進行接管即支撐交易又支撐查詢（3）均衡負載器需要進行判斷進行分離（4）對網(wǎng)絡(luò)要求較高、大二層3．數(shù)據(jù)雙活：非結(jié)構(gòu)化內(nèi)容庫雙活四川省水電集團21生產(chǎn)中心 A同城對象存儲庫O S S生產(chǎn)中心 B非 結(jié) 構(gòu) 化 內(nèi) 容 存 取中間件 集群 ( P a a s容器 )S L B 負載均衡G S L B （ D N S ）： F 5 等業(yè) 務(wù) 請 求