客户介绍
浙江省省级机关事务管理局是浙江省省级事业单位,其主要职责是研究制订省级机关行政事务工作的具体政策和规章制度,并组织实施;会同有关部门研究制定并组织实施省级机关后勤体制改革的政策和办法,对省级机关后勤服务单位进行宏观管理和业务指导,推动机关后勤服务单位的改革和发展。
系统功能概要
浙江省省级机关事务管理局电子政务系统平台是围绕"功能集成于一身,操作简便胜一筹,信息中心为基础,协同工作当帮手"的设计思路来展开建设的。希望达到的功能如下:
一、功能集成靠功能栏实现,即要将政务电子化的大多数应用系统无缝地集成到此平台中,使公务员能够借助此平台完成大多数公务任务。主要有八大栏目:⒈公文管理,⒉档案管理,⒊审批管理,⒋内部管理,⒌分级管理,⒍职能管理,⒎后勤服务,⒏业务链接。
二、操作简便靠个人办公栏目来体现,即以虚拟现实、简化功能、智能导向的手法,来实现操作界面的设计和相关功能模块的智能链接,以便操作者尽快掌握和快捷使用此平台。
三、信息中心由专门的信息中心栏目解决,使信息的来源、加工、传输、利用、挖掘等先进手段很好地集成到一起,提高辅助政务活动的服务水准。
四、协同工作也有专门的协同工作栏目配合,主要针对某些需要团队来共同完成的项目、工作、活动等,真正体现政务工作的协调性特点。
两个实例
在使用国产的金蝶Apusic中间件之前,浙江省机关事务管理局过去一直采用国外中间件产品作为该局信息化系统的底层平台。
一、2007年1月6日,浙江省机关单位进行住房分配,共计918套住房,省级机关事务管理局将此项工作作为政务公开的内容,在官方网站上进行了公告。住房问题一直是每个中国公民的心头大事。这次公告引起了浙江数万政府工作人员的关注。而随着点击量的不断上升,网站服务变的越来越慢。到1月16日下午,网站当日点击量攀升到65万次。这时系统发生了宕机现象。
据了解,官方网站采用的是四路八合、内存16G的AMD服务器,按常理完全可以支持每日过百万次的请求服务。经过管理局信息处调查分析,宕机前服务器CUP占用率仅8%,内存使用仅占用5%。远不到负载饱和状态。所以造成崩溃的并不是服务器处理不过来,而是软件本身出了问题。发现了症结之后,在1月16日之后十多天时间里,管理局信息处联系了几家中间件厂商,寻求解决方法。其中金蝶中间件在了解情况之后,承诺能够在短时间里解决目前的问题。
在更换了中间件产品并重新上线之后,宕机问题立刻迎刃而解。同时Apusic工程师还对管理局电子政务软件平台进行了优化,优化之后经过实测,每天的访问量可以达到180万次。如果使用Apusic集群技术,每天的访问量可达几百万次。
二、同年6月,管理局信息处着手对省直单位公积金网上业务系统进行改造,这项业务在官方网站上开放已经有3年时间,一直用的很不理想。随着今年访问量开始变大,系统变的越来越不稳定。进入7月份之后,系统每天都会出现不同程度的问题,时而报错,时而宕机。为改善现状,系统的开发商连续四天上门调试,但都未能解决。有了1月份住房分配系统成功改造的经验,管理局信息处的工作人员主动提议更换应用服务器中间件。
Apusic工程师到场迅速完成了安装、调试工作,并根据自己对类似应用系统架构的丰富处理经验,对系统进行了访问上的优化。整个过程在两个小时内完成。上线之后一访问发现,目测反应速度比原来快了至少一倍以上。过去在网页上请求一个查询服务需要2~7秒钟的时间等待响应,有时甚至长达10秒。现在无论请求哪种服务,网页都能在1秒钟内出现。并且系统自上线以后直到现在都保持稳定状态。用户使用的效率大大提升,网络体验也得到了改善。
系统分析
在分析浙江省省级机关事务管理局的系统之前,我们先对常见的中小型电子政务平台架构做一个了解:它们通常采用的这样的构建方式(如图一):
如图所示,内外网间用防火墙直接隔离,而根据提供服务的不同,内外网各配置一台Web服务器。外网Web服务器与防火墙之间则为"停战区",这个区域受到防火墙的部分保护,能够开放却可以抵御外部网络的攻击。为避免"信息孤岛",外网的网站提供的服务跟后台系统(政务系统、管理系统等)往往是相连的,也就是数据可以交换。但随之带来的问题是:内部网络间接暴露在互联网上,出于不安全的状态中。黑客可以通过停战区绕过防火墙到达内网(如图二):
为了防止这种情况发生,很多单位采用一种处理方法是,在外网Web服务器与内网Web服务器之间使用隔离网闸技术(GAP)。
如上图,隔离网闸设备如同一个高速开关在内外网间来回切换,同一时刻内外网间没有连接,处于物理隔离状态。从而有效防止已知或未知的针对网络层和操作系统层的攻击,并在内网与外网物理隔断的同时,提供网络间安全实时的数据交换。采用这种方式虽然可以起到安全保护内网的效果,但其缺点也很明显:
网闸产品价格不菲,成本极高;
目前电子政务的常用架构,外网的数据库是放在后台的,以起到简化应用的效果。随之带来大量的数据交互请求。如果采用网闸技术,内、外网数据交互的速率会受到严重影响。对此业界的共识是:网闸适合定期的批量数据交换,但不适合多应用的穿透;
网闸处于涉密网与非涉密网的网关的特殊位置,又是网络安全的最后一道防线,所以网闸本身的安全问题同样是一个隐患。用户对产品研发人员和研发单位的 背景了解也是选择产品的重要条件,能在市场上站住脚的产品是极为有限的几种。
网闸技术的优缺点都很突出,如何才能用更好的方法代替它?浙江省省级机关事务管理局信息处的刘兆平处长向我们展示了该局电子政务系统的结构特点--使用防火墙配合Apusic应用服务器实现安全防护的效果(如图四):
如果仅使用防火墙技术,性能上虽然提高了,但安全性的理论效果不如网闸,为弥补这个缺陷,中间件起到的作用不可或缺。Apusic应用服务器5.0是通过JavaEE 5兼容认证的JavaEE应用服务器产品,构建于金蝶中间件特有的Apusic Core微内核体系之上,图五展示了Apusic应用服务器5.0的体系结构。
刘兆平处长介绍了这套方案的三大优势:
(一)应用级安全:如图二,Apusic应用服务器分别部署在外网和内网的Web服务器上,我们设为Apusic1和Apusic2,其中1为2的前置机,两者之间形成一个保密通道。如果一个请求需要访问数据库,先要通过Apusic2的认证,得到认证信息之后,才能获取访问数据库的资格。这样弥补了防火墙安全性能的不足,达到应用级安全。这个技术若使用国外中间件产品也能做到,但成本很高。而使用金蝶中间件实现起来几乎没有代价。
(二)内、外网文件同步:内部Web服务器通过中间件B可以随时监控外部服务器的状态,一旦发现有文件被改动或网站被"黑掉"等异常情况,内部服务器可以将备份的文件上传到外部服务器上进行覆盖。保证了公开信息发布的可靠行。
(三)捆绑CA认证机制:CA即Certificate Authority,这一点最能体现国产软件的优势,Apusic应用服务器完整实现了Java安全框架,加密位数不再受任何限制,极大缓解了由于漏洞或后门可能造成的CA证书无效的状况。而国外产品通常只能提供64位的加密位数。
现在很多单位的网络架构比较复杂,有的系统延伸到县、乡、镇,若使用专线互联则成本太高。为了方便偏远地区工作站的访问,通常将OA系统或者电子政务系统部署在外网上,直接通过Internet访问。这使得系统处于不安全的状态中。使用金蝶中间件进行CA认证捆绑机制,就能妥善解决这个问题。
刘处长说:"省里领导对我们电子政务平台的要求很高。我们也一向选择最优秀的产品,最适合我们需求的软件。我是搞信息化的,讲的就是技术,不讲名气,你国外产品牌子再大吓不倒我的,我只看你产品是不是实用,能不能达到我的要求。通过今年金蝶中间件两次应用实例,我们发现确实是个好产品,质量过硬、技术领先,我认为这是目前最适合构建国内电子政务系统和企业业务平台的产品。值得向所有事、企业单位推广。
刚才讲的三点优势,可以归纳为高安全、高可靠,这是金蝶中间件的特性,国外软件要么做不到,要么实现的成本很高,这是推广国产软件的价值之所在。"