天津保税区公共物流信息平台方案建议书--软通动力(编辑修改稿)

天津保税区公共物流信息平台方案建议书--软通动力(编辑修改稿)内容摘要：

应用系统设计应遵循物流行业的相关标准。 9. 可维护性 工程建设是一个长期的过程，系统建成后仍需不断修正和完善，所以设计中应充分考虑系统的可维护性，系统的文档资料应规范齐全。 10. 可靠性、安全性、保密性 物流公共 信息平台涉及面广，设计上要充分考虑其大量硬件设备、软件系统和数据信息资源的实时服务特点，要保证网络、系统、数据的安全，保证系统运行的可靠，防止单点故障，对涉密信息应充分保证其安全。 对物流公共信息平台的安全管理要充分考虑安全、成本、效率三者的权重，并求得适度的平衡。 对整个系统要有周密的关键业务系统不间断运行和系统备份方案设计。 对系统主要的信息实行自动备份，以保证系统的异常情况的补救，并设有系统自动恢复机制。 采取必要措施防止数据丢失，保证数据的一致性，保证系统运行过程中的高可靠性。 11. 易用性 为了确保保税区相关管 理部门及区内企业中具有不同计算机应用水平的人员均能够对平台中应用系统快速地掌握并进行方便地使用，要重视用户界面的友好性和方便性，易于上手，便于使用。 重点考虑用户使用上的接受程度、企业上网办事的效率及上网成本等各种因素。 . 平台总体架构设计 为了满足平台的应用功能需求，我们为天津保税区设计了如下的应用架构，如下图所示： 北京软通动力科技有限公司 内部保密资料 第 8页 共 260 页 天津港保税区公共物流信息平台方案建议书 图 平台总体架构图 其中，公共信息平台包括以下模块：  门户系统： 向用户提供面向保税区物流业务的整合信息发布、信息检索服务。 由于保税物流业务中涉及政府、行业监管、驻区机构、企业 等多种主体，各种信息分布在不同网站上，信息割裂问题突出，因此，需要通过物流公共信息平台将各种相关信息进行梳理、集成，并提供一揽子信息服务。  安全访问控制系统： 需要解决这些待整合系统的统一身份认证问题，实现多个系统的单点登录，并且能够支持多种认证技术 ,如电子钥匙技术、 IC 卡认证技术等。  身份管理系统及权限管理： 提供使用信息工作平台的用户及组织的全生命周期的管理为维护，例如用户及组织的创建、人员及组织变更等等，直至用户声明周期的结束。  辅助决策支持系统： 提供报表设置功能，通过完善的 OLAP 交互分析功能 ，可对数据进行全面的挖掘、切片、分析处理，从而能简便的揭示数据间的内在联系。  短信及邮件服务平台： 北京软通动力科技有限公司 内部保密资料 第 9页 共 260 页 天津港保税区公共物流信息平台方案建议书 为公共信息平台的各个应用提供短信及邮件接口。  应用服务器： 提供 J2EE 运行环境，保税物流服务系统、物流监管系统、电子物流商务、供应链可视化等系统均需要在 J2EE 运行环境中运行。  数据交换中心 ： 提供数据交换的核心功能，利用 数据交换中心 提供的接口，主要包括公共平台与外部系统的数据采集、数据发布、数据交换；并提供公共平台内部各个系统之间的数据集成。 其中， 数据交换中心 与外围其他应用做数据交换，主要包括：  电子口 岸  海关监管系统  检验检疫系统  企业 ERP 系统 在 数据交换中心 的建设中，我们充分考虑了公共信息平台未来的可扩展性和兼容性，预留了平台对下列系统的访问接口：  港区 EDI  银行  税务  相关行业平台  空港海关监管  统一用户管理系统： 基于 LDAP 标准的目录服务器，存储公共平台的组织和用户数据。 它能提供比关系型数据库更快的检索和查询能力。 北京软通动力科技有限公司 内部保密资料 第 10 页 共 260 页 天津港保税区公共物流信息平台方案建议书 . 网络结构设计 图 平台网络结构图 说明： 在保税区网络中的核心交换机上划分 VLAN，使内部服务器（认证系统、漏洞扫描系统、邮件系统、入侵检测系统、入侵监测系统、 OA、防病毒系统等）、业务应用服务器、业务数据库服务器、内部桌面系统等连接到相应的 VLAN，并设置相应的访问控制列表，以保证系统的安全。 连接 Inter 使用两层防火墙，来自 Inter 的访问只能连接到第一层防火墙，从而充分保证第二层防火墙内的数据安全。 内部桌面系统用户通过核心交换机访问业务系统、邮件系统、 OA等系统。 海关、口岸、国检、港区 EDI 计划 通过 专网 进行访问业务系统。 北京软通动力科技有限公司 内部保密资料 第 11 页 共 260 页 天津港保税区公共物流信息平台方案建议书 . 数据交换中心 设计 图 数据交换中心架构图 如上图所示， 数据交换中心 主要提供三方面的系统功能： 1) 数据交换 ：与天津电子口岸，海关监管系统、检验检疫系统、企业 ERP 等进行数据交换，系统在未来规划了港区 EDI、银行、税务、外管局等相关行业平台的数据交换。 从而在数据的层面上支持了“一站式通关支持系统”、“货况跟踪系统”等业务系统。 2) 数据存储：公共信息平台与外部系统交换所得的数据，需要存储在本地数据库当中，把报关、报检、港口作业申请、相关审批信息以及企业 ERP 信息通过交换过程中的“落地”存储和信息的采集整合，形成保税区内物流信的较为完整的集合，供门户网站和数据分析和挖掘使用。 3) 数据共享：交换系统对外部相关系统提供的信息 进行格式处理和数据整合，利用门户系统对保税物流公共信息平台的用户进行授权发布；用户可根据授权浏览或下载。 在提供以上三方面的系统功能之外， 数据交换中心 依靠成熟的软件产品，同时保证了数 北京软通动力科技有限公司 内部保密资料 第 12 页 共 260 页 天津港保税区公共物流信息平台方案建议书 据传输的安全性和数据认证和授权要求。 . 安全体系结构设计 图 平台安全体系结构图 1) Inter 区域 移动用户、企业用户和其他的 Web 申报终端分布在 Inter 区域，这类用户通过 SSL VPN 方式建立到保税区 SSL VPN 网关的通讯加密连接，严格的用户、密码认证、 CA认 证等有效措施，防止非法的拨入访问，保证用 户身份的验证和授权，企业用户建议 在自己的出口部署防火墙等安全产品。 2) 政府外网区域 在政府外网部署千兆防火墙，并在防火墙划分 4 个区域 1， Inter 区域，同 Inter 直接连接。 2， SSl VPN 区域，部署 SSl VPN 网关，通过前置机建立业务平台对外的安全区域。 北京软通动力科技有限公司 内部保密资料 第 13 页 共 260 页 天津港保税区公共物流信息平台方案建议书 3，政府外网 DMZ 区域，政府对外宣传的门户放置在此区域，实现同其它区域的逻辑 隔离，保障门户主机的安全，门户主机还采用了用双机热备方式保证关键业务的高 可靠性和高可用性。 4，连接内网防火墙区域，实现到内网的双层防火墙保护。 3) 政府内 网区域 通过国产防火墙实现同政府外网的隔离。 政府内网划分 3 个区域： 1，同政府外网连 接区域； 2， DMZ 区域，平台应用系统在 DMZ 区域，防止其它区域的非法攻击。 3 政 府内网办公区域，为政府内网用户区域。 4,政府业务平台同其它政府职能部门对接 区域。 4) 4 政府网间对接区域 该区域部署业务前置机、网闸，防火墙，并通过网闸实现数据交换，充分保证数据 安全交换，保障对接网络的安全性。 . 方案的优势  利用公共信息平台，为企业提供跨区域的“一站式、一号式、一证式”服务，实现执法 /职能单位相关业务流程整合，提高服务企业效 率。  系统设计应采用新型的 Inter/Extra/Intra 技术，多层、集中与分布式相结合的 B/S/D 三层体系结构；采用 J2EE 应用服务器、 数据交换中间件。 符合J2EE、 XML、 Web Service、 SOA 等先进的国际技术标准。  对业务可持续扩展的支撑架构，可以灵活的适应天津保税区未来的业务发展。  门户服务器作为展现层集成框架，可以实现保税区内部应用和外部应用的界面集成；不仅在本期实现“一站式通关支持系统”、“货况跟踪系统”、“内容发布系统”的界面集成，而且对于天津保税区未来规划的应用也 可以轻松集成。  数据交换中间件 作为应用和数据的集成框架，保证安全、可靠的进行数据交换和数据共享，作为瘦客户端的集中式交换平台，软通推荐的方案更具备扩展性，大大减少了集成的开发工作量。 北京软通动力科技有限公司 内部保密资料 第 14 页 共 260 页 天津港保税区公共物流信息平台方案建议书  安全访问控制系统独立于任何应用，能够提供针对保税区所有系统的安全访问控制认证机制，大大提高了政府行业的系统安全级别。 . 关键问题及解决方案 . 平台与其他系统对接的网络安全 公共信息平台的安全保障 业务平台同企业的连接，企业通过 VPN 同放置在政府外网的业务平台前置机连接，企业通过前置机同业务平台交换数据，数据交换都在前置机终结，前置 机在将业务数据传递到政府内网的应用平台完成数据交换。 前置机连接安全性： 企业通过 VPN 连接政府外网的应用平台前置机， VPN 保证数据链路安全和通过 CA 证书保证身份验证，通过前置机应用保证数字签名和数据的可靠性和可确认性。 前置机安全性： 部署在政府外网的应用平台前置机应放置在防火墙的专用区域保证前置机的安全性，在防火墙和 VPN 上配置严格的访问控制策略，并在管理上制订严格的安全策略。 前置机到政府内网安全性： 前置机需要通过政府内网防火墙到达业务平台，在政府内网防火墙上配置安全策略和访问控制，并在应用上配置最小权 限等，实现对政府内外应用平台的安全访问。 企业平台的安全保障 企业需要通过前置机同政府应用平台前置机交换数据，主要面临如下安全问题： 前置机连接安全性： 企业通过 VPN 连接政府外网的应用平台前置机， VPN 保证数据链路安全和通过 CA 证书保证身份验证，通过前置机应用保证数字签名和数据的可靠性和可确认性。 前置机安全性： 部署在企业的前置机有一些不确定因素，如企业是否有防火墙等安全产品，我们需要制订企业前置机连接和管理规范，要求企业将前置机部署在防火墙的专用区域，采取严格的访问控制策略，如外网禁止访问前置机，前置机只 允许建立到政府应用平台的 VPN 连接，前置机访问企业内网指定的服务器等。 前置机到企业内网安全性： 前置机需要到企业内网取数据，我们应同企业共同定 北京软通动力科技有限公司 内部保密资料 第 15 页 共 260 页 天津港保税区公共物流信息平台方案建议书 义所取数据格式和内容，所取数据应对企业透明，并有记录可查，保证企业私有信息安全。 海关业务专网间对接的安全保障 政府内网需要同海关、电子口岸等其它政府专网交换数据，主要面临如下安全问题： 前置机连接安全性： 政府内网的应用平台前置机通过网闸实现其它政府专网前置机的连接，通过防火墙、网闸和专有线路保证网络连接上的安全，同时网闸起到网络的物理隔离和应用数据的信息交换作用 ，保证同一时刻只有单向的数据通道。 前置机安全性： 前置机部署在防火墙的专用区域在都在网闸的后面，制订严格的访问控制策略，保证政府信息系统的安全性。 前置机到政府内网安全性： 前置机需要到其它政府职能部门内网进行数据交换，我们应同其它政府职能部门共同定义所取数据格式和内容，所取数据应对其它政府职能部门透明，并有记录可查，保证企业私有信息安全。 . 平台授权与访问控制 授权与访问控制系统逻辑结构 北京软通动力科技有限公司 内部保密资料 第 16 页 共 260 页 天津港保税区公共物流信息平台方案建议书 图 平台授权与访问控制示意图 具体说明如下：  客户端 ︰这包括各种不同类型的终端设备。  安全层 ︰此层面提供 与 Web 用户安全管理有关的主要服务，建立统一的用户目录服务，提供论证反向代理，集中论证用户的各种访问方式。 同时，根据用户的身份，提供用户论证 /授权的基于策略的服务。 为了提供用户高效的 WEB 访问服务，建议采用高速缓冲功能，与应用服务层的门户服务器集群一起提供服务，一方面，利用门户服务器集群提供容错和负载均衡的 Web 服务；另一方面，也利用门户服务器的集群功能，无缝支。