施　松

目前，黑龍江省大多數(shù)地市和部門具備了良好的信息化建設(shè)環(huán)境。如工商、統(tǒng)計、審計、公安、地稅等部門已經(jīng)擁有了大量的企業(yè)信息、個人信息、行業(yè)信息等寶貴的信息資源。但是由于各種原因，各部門的數(shù)據(jù)相對封閉，存在大量的重復(fù)信息資源以及同類的信息資源內(nèi)容不統(tǒng)一、標(biāo)準(zhǔn)不統(tǒng)一的問題。如同樣的企業(yè)信息，工商、稅務(wù)、技術(shù)監(jiān)督局各自擁有各自的企業(yè)信息庫，同時沒有統(tǒng)一標(biāo)準(zhǔn)的企業(yè)信息代碼，導(dǎo)致數(shù)據(jù)查詢和核對的時候有一定困難。而其他部門或公眾如果想了解可公開的部分企業(yè)信息時，相對無法確定信息的準(zhǔn)確性，同時還導(dǎo)致在數(shù)據(jù)統(tǒng)計和分析上出現(xiàn)偏差。產(chǎn)生上述問題的主要原因是由于國家政策以及各部委的不同指令所致，最好的解決辦法是在不違反國家政策和各行業(yè)規(guī)定的基礎(chǔ)上，邏輯構(gòu)建出省級的規(guī)范標(biāo)準(zhǔn)，建立綜合數(shù)據(jù)庫平臺，通過安全保障措施來實現(xiàn)數(shù)據(jù)信息的綜合管理。下面從三個方面闡述黑龍江省綜合數(shù)據(jù)庫平臺的總體框架設(shè)計。

一、框架設(shè)計

系統(tǒng)按照角色進行劃分，分別為：政府各職能機構(gòu)，相關(guān)領(lǐng)導(dǎo)，社會各企業(yè)，社會公眾。通過綜合數(shù)據(jù)庫平臺為以上的四種角色提供相應(yīng)的信息，信息的通道利用服務(wù)流程管理系統(tǒng)進行管理，即不同的角色所訪問的信息深入程度是不同的，在安全體系保障前提下為各角色提供信息；同時，政府各職能機構(gòu)也是信息來源的提供者，通過每個機構(gòu)與綜合數(shù)據(jù)庫的接口，利用數(shù)據(jù)封裝的形式將信息傳遞到綜合數(shù)據(jù)庫平臺上。綜合數(shù)據(jù)庫平臺通過業(yè)務(wù)數(shù)據(jù)采集與管理，來分門別類地進行物理或邏輯形式的存儲。信息的存儲方式將通過業(yè)務(wù)信息管理系統(tǒng)按不同的業(yè)務(wù)模板進行管理。對綜合數(shù)據(jù)庫平臺的展示也將通過門戶或其他形式展現(xiàn)出來。按照以上的模式，形成統(tǒng)一的綜合數(shù)據(jù)庫平臺，為全省各界服務(wù)。

按照此種設(shè)計框架，承接在框架模式下的業(yè)務(wù)系統(tǒng)可以任意地增減，對服務(wù)者角色的變化可以進行隨時調(diào)整，系統(tǒng)的分布也可以任意地調(diào)整，對系統(tǒng)的擴展性和分布性提供了強大的保證。

二、設(shè)計細節(jié)

系統(tǒng)總體結(jié)構(gòu)可考慮基于B/S方式的“客戶/WWW服務(wù)器／應(yīng)用服務(wù)器／數(shù)據(jù)庫存儲服務(wù)器”的四層結(jié)構(gòu)，系統(tǒng)總體在電子政務(wù)外網(wǎng)上運行。

在因特網(wǎng)上，職能單位將可公開信息按一定標(biāo)準(zhǔn)發(fā)布，供其他各職能單位、企業(yè)以及公眾進行查看。同時信息的來源不需要重復(fù)提交，通過電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)交互的中間系統(tǒng)，來實現(xiàn)電子政務(wù)信息向互聯(lián)網(wǎng)發(fā)布。在電子政務(wù)外網(wǎng)上，各職能部門同樣通過信息交換系統(tǒng)將各自的業(yè)務(wù)信息進行交互，提供給其他單位有效信息，同時收集本單位業(yè)務(wù)辦理需要的信息。

三、安全架構(gòu)

1物理安全性：在物理上保護服務(wù)器和數(shù)據(jù)庫的安全性，無論是采用集中式管理，由省政府統(tǒng)一對綜合數(shù)據(jù)庫平臺進行管理，還是采用分布式管理，由各職能部門管理實際存儲數(shù)據(jù)的方式。都要保證服務(wù)器物理安全性，如：機房的保證，管理人員的保證等。

2網(wǎng)絡(luò)安全性：是指防止未授權(quán)用戶闖入網(wǎng)絡(luò)并假扮授權(quán)用戶，以及防止他們偵聽系統(tǒng)所在的網(wǎng)絡(luò)。通常使用網(wǎng)絡(luò)硬件和軟件或通過加密控制網(wǎng)絡(luò)訪問。偵聽僅在事務(wù)未被加密時發(fā)生。因此要防止偵聽，加密所有綜合數(shù)據(jù)庫中的數(shù)據(jù)事務(wù)。加密網(wǎng)絡(luò)端口防止未授權(quán)的用戶使用網(wǎng)絡(luò)協(xié)議分析器讀取數(shù)據(jù)。使用加密功能加密網(wǎng)絡(luò)傳輸，如果使用Internet協(xié)議，則通過SSL進行加密。

3服務(wù)器安全性：這是用戶或服務(wù)器獲得對網(wǎng)絡(luò)上服務(wù)器的訪問后執(zhí)行的安全性的第一個層次?？梢灾付男┯脩艉头?wù)器可以訪問服務(wù)器，并限制他們在服務(wù)器上的活動。如果為互聯(lián)網(wǎng)訪問設(shè)置服務(wù)器，則應(yīng)設(shè)置SSL、名稱和口令驗證來保護在網(wǎng)絡(luò)上傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)，并驗證服務(wù)器和客戶機。此外，可設(shè)置防火墻服務(wù)器，防止互聯(lián)網(wǎng)服務(wù)器受到來自外部的未經(jīng)授權(quán)的訪問。

4應(yīng)用程序安全性：用戶和服務(wù)器獲得訪問其他服務(wù)器的權(quán)限后，可以使用數(shù)據(jù)庫存取控制列表，來限制特定用戶和服務(wù)器對服務(wù)器上單個應(yīng)用程序的存取權(quán)限。此外，要提供數(shù)據(jù)的保密性，使用標(biāo)識符加密數(shù)據(jù)庫，使得未授權(quán)用戶不能訪問本地存儲的數(shù)據(jù)庫拷貝、簽名或加密用戶收發(fā)的郵件消息。

5安全體系：通過采用由RSA DATA SECURITY公司授權(quán)的證書來進行用戶身份驗證，用戶和服務(wù)器之間可以定期并自動地建立彼此的正確身份。所有CA認(rèn)證中心頒發(fā)的數(shù)字證書都必須符合ITUT×509國際標(biāo)準(zhǔn)，支持?jǐn)?shù)字簽名技術(shù)，支持CA證書認(rèn)證以及其他軟、硬件加密方式，支持在數(shù)據(jù)的傳輸過程中進行加密處理。

6權(quán)限分配：在權(quán)限劃分上，省政府各相關(guān)職能部門可根據(jù)實際情況對信息訪問進行權(quán)限劃分，并且可以針對不同文件、信息規(guī)定權(quán)限來保證數(shù)據(jù)傳輸?shù)陌踩拖到y(tǒng)運行的安全性。

綜合數(shù)據(jù)庫平臺的建設(shè)是一個系統(tǒng)工程，是一個不斷建設(shè)、發(fā)展、完善的過程，通常需要較長的時間。這就要求對整個系統(tǒng)的建設(shè)提出一個全面、清晰的遠景規(guī)劃及技術(shù)實施藍圖，將整個項目的實施分成若干個階段，以“總體規(guī)劃、分步實施、步步見效”為原則，在已有的的業(yè)務(wù)系統(tǒng)基礎(chǔ)上，逐步構(gòu)建起完整、健壯的綜合數(shù)據(jù)庫平臺。