智慧檢察院建設(shè)方案

智慧檢察院建設(shè)方案智慧檢察院建設(shè)方案聯(lián)通（山東）產(chǎn)業(yè)互聯(lián)網(wǎng)派出辦事處2019年11月目錄TOC\o"1-2"\h\u1228一、項目背景 項目背景為實現(xiàn)信息化引領(lǐng)檢察工作科學(xué)發(fā)展的目標，深化移動互聯(lián)技術(shù)在辦公檢察中的應(yīng)用，根據(jù)《山東檢察大數(shù)據(jù)實施綱要》等文件精神，人民檢察院通過采購信息化服務(wù)平臺，結(jié)合應(yīng)用軟件、信息安全、信息服務(wù)等信息化技術(shù)，建設(shè)人民檢察院檢務(wù)通平臺，實現(xiàn)檢察院智慧辦公，為檢察院的各項業(yè)務(wù)開展提供全面的信息化支撐。目前檢察院內(nèi)部業(yè)務(wù)應(yīng)用系統(tǒng)眾多，每個系統(tǒng)均擁有大量的數(shù)據(jù)信息，同時，這些系統(tǒng)大部分只能在單位的內(nèi)部網(wǎng)中訪問，即使有些系統(tǒng)可以在單位外部訪問，一般也是通過有線互聯(lián)網(wǎng)的形式，當人員離開辦公室或處在沒有互聯(lián)網(wǎng)接入點、沒有計算機的情況下，就沒有辦法使用這些系統(tǒng)和數(shù)據(jù)，進而無法保證信息資源獲取的時效性。其次，這些系統(tǒng)之間往往相互獨立，數(shù)據(jù)分布在孤立的各個系統(tǒng)中，沒有統(tǒng)一的展現(xiàn)形式，無形中限制了數(shù)據(jù)的進一步統(tǒng)一使用和統(tǒng)計分析。另外，目前現(xiàn)有應(yīng)用系統(tǒng)的使用模式，基本上是由使用人員發(fā)起與系統(tǒng)之間的交互過程，而很少能夠由系統(tǒng)主動發(fā)起與使用人員的交互，以完成信息的及時推送。如對企業(yè)領(lǐng)導(dǎo)關(guān)心的每日業(yè)務(wù)簡要，在每天下班后需要其登入系統(tǒng)才能及時獲取，而不是系統(tǒng)主動發(fā)送。檢察院檢務(wù)通平臺項目將建設(shè)一個運行穩(wěn)定、適應(yīng)長遠發(fā)展的網(wǎng)絡(luò)和辦公系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)辦公、網(wǎng)絡(luò)溝通、網(wǎng)絡(luò)審批、知識管理、網(wǎng)絡(luò)決策的信息化建設(shè)思路，實現(xiàn)信息高效傳遞、無紙化協(xié)同辦公、遠程移動辦公，科學(xué)規(guī)范管理，使各級部門的工作效率明顯提高，使法制工作更加簡化，使信息獲取更加容易，使決策制定更加準確；使得管理應(yīng)得更加靈活、更加科學(xué)，從而最終提高網(wǎng)絡(luò)辦公信息化、高效化、智能化、規(guī)范化。

需求分析根據(jù)前期走訪調(diào)研，溝通交流人民檢察院系統(tǒng)在自動化辦公及信息化平臺建設(shè)方面的需求。目前在檢察院系統(tǒng)中，信息化平臺的建設(shè)是解決問題的關(guān)鍵，對于信息化平臺功能的具體功能，做如下梳理：通知公告。公告通知功能可根據(jù)單位要求，可后臺設(shè)置人員發(fā)布權(quán)限，支持按部門、崗位、人員等多范圍發(fā)布，相關(guān)人員也可通過后臺查看通知公告的查閱情況，哪些人已讀，哪些人未讀，對于未讀人員可以發(fā)送二次提醒。發(fā)布內(nèi)容支持超級鏈接、附件上傳等。即時通訊。軟件提供IM即時通訊工具，可實現(xiàn)開機自動登錄，任務(wù)自動提醒，支持文件/消息的即時與離線傳送，語音交流等功能；IM交流的內(nèi)容在服務(wù)器端有數(shù)據(jù)備份，有權(quán)限的人可以進行查詢。移動端即時通訊聊天工具同電腦端是同步的?；跈z察院組織架構(gòu)，為檢察院內(nèi)部員工提供了微信、qq式溝通。即時通訊支持單聊，群聊（群組、討論組）同時支持普通消息和文件消息的撤回功能，提升組織溝通效率。OA精靈群聊窗口中群發(fā)郵件功能，打開郵件發(fā)送窗口，將群用戶列表中的人員自動添加到接收人中。辦公用品。辦公用品信息維護，如辦公電腦、電話、紙張、筆記本、圓珠筆、打印耗材等這些物品信息維護、采購入庫、申請使用或領(lǐng)用審批等，可與辦公用品申請流程業(yè)務(wù)引擎完美結(jié)合，發(fā)起辦公用品申請，通過流程多級審批，審批通過后數(shù)據(jù)寫到辦公用品模塊，方便對辦公使用情況統(tǒng)計分析，形成辦公用品管理臺賬。車輛管理。車輛信息管理、車輛保養(yǎng)維護、車輛維護提醒、車輛保險提醒設(shè)置、車輛合理調(diào)配、充分利用，車輛使用沖突協(xié)調(diào)、車輛使用記錄等，可與車輛使用申請流程引擎結(jié)合使用，發(fā)起車輛申請，通過流程多級審批，審批通過后數(shù)據(jù)回寫到車輛模塊，方便根據(jù)車輛、申請人、部門多維度的用車分析。文檔管理。發(fā)布可以公開的通知、文件、學(xué)習(xí)材料等。共享時代，文檔作為見證檢察院歷程的“年輪”，成為檢察院協(xié)作、價值沉淀越來越重要的一環(huán)。通過聚集碎片化知識，網(wǎng)絡(luò)檢察院無形財富，讓檢察院的“年輪”健康“生長”，守護檢察院的智慧結(jié)晶，構(gòu)建檢察院知識庫，形成檢察院知識積累、共享、利用、創(chuàng)新平臺，例如：各項制度、檢察院發(fā)展文件、各類模板、各部門報告計劃、新職工知識地圖、人才培訓(xùn)知識地圖等，知識庫需滿足后臺可根據(jù)實際情況批量給相關(guān)人員開放對應(yīng)權(quán)限。事項申請（請假）網(wǎng)上考勤。管理員可設(shè)置不同事項，系統(tǒng)根據(jù)不同事項產(chǎn)生具體流程，并最后匯總為流程圖。支持在PC端連接打印機打印流程圖、匯總表等。應(yīng)用價值：流程管理是OA系統(tǒng)核心功能，可設(shè)置多類別多節(jié)點審批，如行政類流程、人事類流程、財務(wù)費用流程、日常辦公類、訂單合同類流程、業(yè)務(wù)類相關(guān)流程等，加上移動版隨時隨地審批和消息推送提醒，實現(xiàn)檢察院智能化規(guī)范化移動化流程審批，同時提高辦公速度和效率，節(jié)省辦公時間和成本。流程的設(shè)置操作必須要簡單易上手，方便后期的流程增加及修改完善。PC端考勤、移動考勤定位拍照上傳，滿足辦公室用戶和在外做業(yè)務(wù)用戶不同簽到需求，可以導(dǎo)入傳統(tǒng)的考勤機數(shù)據(jù)或集成考勤機數(shù)據(jù)等，實現(xiàn)現(xiàn)代與傳統(tǒng)方式考勤數(shù)據(jù)融合統(tǒng)一，同時結(jié)合假期管理和流程審批應(yīng)用，實現(xiàn)請假、出差、外出、加班、調(diào)休多級審批需求，審批通過后流程數(shù)據(jù)回寫到考勤模塊，實現(xiàn)考勤數(shù)據(jù)統(tǒng)一完整，方便人事管理考勤統(tǒng)計和用戶查看自己考勤信息。

建設(shè)方案檢務(wù)通平臺依托于阿里云服務(wù)器，建設(shè)一個運行穩(wěn)定、適應(yīng)長遠發(fā)展的網(wǎng)絡(luò)和辦公系統(tǒng)，實現(xiàn)網(wǎng)絡(luò)辦公、網(wǎng)絡(luò)溝通、網(wǎng)絡(luò)審批、知識管理、網(wǎng)絡(luò)決策的信息化建設(shè)思路，實現(xiàn)信息高效傳遞、無紙化協(xié)同辦公、遠程移動辦公，科學(xué)規(guī)范管理，使各級部門的工作效率明顯提高，使法制工作更加簡化，使信息獲取更加容易，使決策制定更加準確；使得管理應(yīng)得更加靈活、更加科學(xué)，從而最終提高網(wǎng)絡(luò)辦公信息化、高效化、智能化、規(guī)范化。平臺架構(gòu)根據(jù)辦公自動化的要求和信息化服務(wù)平臺的特征，認真分析人民檢察院單位現(xiàn)有的IT應(yīng)用和將來的應(yīng)用基礎(chǔ)，以流程為導(dǎo)航，表單為呈現(xiàn)，提升公文的流轉(zhuǎn)效率，實現(xiàn)辦公自動化的大規(guī)模應(yīng)用，通過“產(chǎn)品+定制”的方式完成貴單位檢務(wù)通平臺信息化建設(shè)。檢務(wù)通平臺是以開放、先進的Internet/Web技術(shù)為核心的新一代信息處理集成系統(tǒng)，以成熟的計算機技術(shù)為依托，通過平臺建設(shè)，在單位內(nèi)部實現(xiàn)信息資源共享和流通，提高單位信息化水平。檢務(wù)通平臺網(wǎng)絡(luò)辦公系統(tǒng)技術(shù)平臺構(gòu)架如下。檢務(wù)通平臺客戶端采用B/S（瀏覽器/服務(wù)器）操作方式，操作系統(tǒng)支持WindowsXP、Win7、Win10等常見操作系統(tǒng)，瀏覽器支持IE、360瀏覽器、谷歌瀏覽器等。PC客戶端包括OA功能和即時通訊工具，手機端支持安卓系統(tǒng)和蘋果系統(tǒng)。檢務(wù)通平臺網(wǎng)絡(luò)架構(gòu)圖如下。平臺功能性能檢務(wù)通平臺網(wǎng)絡(luò)智能辦公系統(tǒng)采用基于WEB的單位計算，主HTTP服務(wù)器采用先進的Apache服務(wù)器，性能穩(wěn)定可靠。平臺網(wǎng)絡(luò)智能辦公系統(tǒng)采用領(lǐng)先的B/S(瀏覽器/服務(wù)器)操作方式，使得網(wǎng)絡(luò)辦公不受地域限制。檢務(wù)通平臺網(wǎng)絡(luò)智能辦公系統(tǒng)集成了包括電子郵件、短信息、公告通知、個人考勤、日程安排、工作日志、通訊簿、工作流、公告通知管理、投票管理、人力資源管理、考勤管理、工作計劃、工資上報、績效考核、會議管理、車輛管理、圖書管理、討論區(qū)、文件柜、網(wǎng)絡(luò)硬盤、系統(tǒng)日志、電話區(qū)號查詢、郵政編碼查詢等60余個極具實用價值的功能模塊，充分滿足貴單位在日常辦公中的需求。（1）通知公告。公告通知功能可根據(jù)單位要求，可后臺設(shè)置人員發(fā)布權(quán)限，支持按部門、崗位、人員等多范圍發(fā)布，相關(guān)人員也可通過后臺查看通知公告的查閱情況，哪些人已讀，哪些人未讀，對于未讀人員可以發(fā)送二次提醒。發(fā)布內(nèi)容支持超級鏈接、附件上傳等。通達OA提供的公告通知功能可根據(jù)單位要求，可后臺設(shè)置權(quán)限哪些人員可發(fā)布，支持按部門、崗位、人員等多種范圍發(fā)布，相關(guān)人員也可通過后臺查看通知公告的查閱情況，發(fā)布內(nèi)容支持超級鏈接、附件上傳等。（2）即時通訊。軟件提供IM即時通訊工具，可實現(xiàn)開機自動登錄，任務(wù)自動提醒，支持文件/消息的即時與離線傳送，語音交流等功能；IM交流的內(nèi)容在服務(wù)器端有數(shù)據(jù)備份，有權(quán)限的人可以進行查詢。移動端即時通訊聊天工具同電腦端是同步的。基于檢察院組織架構(gòu)，為檢察院內(nèi)部員工提供了微信、qq式溝通。即時通訊支持單聊，群聊（群組、討論組）同時支持普通消息和文件消息的撤回功能，提升組織溝通效率。OA精靈群聊窗口中群發(fā)郵件功能，打開郵件發(fā)送窗口，將群用戶列表中的人員自動添加到接收人中。電腦端：發(fā)送信息、語音、圖片、文件、建群、建討論組、群發(fā)郵件、信息撤回、信息已讀未讀提醒等等均可以。移動端：發(fā)送信息、語音、圖片、文件、信息撤回、信息已讀未讀提醒等均可以。（3）辦公用品。辦公用品信息維護，如辦公電腦、電話、紙張、筆記本、圓珠筆、打印耗材等這些物品信息維護、采購入庫、申請使用或領(lǐng)用審批等，可與辦公用品申請流程業(yè)務(wù)引擎完美結(jié)合，發(fā)起辦公用品申請，通過流程多級審批，審批通過后數(shù)據(jù)寫到辦公用品模塊，方便對辦公使用情況統(tǒng)計分析，形成辦公用品管理臺賬。（4）車輛管理。車輛信息管理、車輛保養(yǎng)維護、車輛維護提醒、車輛保險提醒設(shè)置、車輛合理調(diào)配、充分利用，車輛使用沖突協(xié)調(diào)、車輛使用記錄等，可與車輛使用申請流程引擎結(jié)合使用，發(fā)起車輛申請，通過流程多級審批，審批通過后數(shù)據(jù)回寫到車輛模塊，方便根據(jù)車輛、申請人、部門多維度的用車分析。（5）文檔管理。發(fā)布可以公開的通知、文件、學(xué)習(xí)材料等。共享時代，文檔作為見證檢察院歷程的“年輪”，成為檢察院協(xié)作、價值沉淀越來越重要的一環(huán)。通過聚集碎片化知識，網(wǎng)絡(luò)檢察院無形財富，讓檢察院的“年輪”健康“生長”，守護檢察院的智慧結(jié)晶，構(gòu)建檢察院知識庫，形成檢察院知識積累、共享、利用、創(chuàng)新平臺，例如：各項制度、檢察院發(fā)展文件、各類模板、各部門報告計劃、新職工知識地圖、人才培訓(xùn)知識地圖等，知識庫需滿足后臺可根據(jù)實際情況批量給相關(guān)人員開放對應(yīng)權(quán)限。后臺按照類別創(chuàng)建不同的文件夾，先對文件夾資料根據(jù)實際情況分配對應(yīng)權(quán)限，可以批量設(shè)置對應(yīng)的訪問、編輯、刪除、下載、評論等。（6）事項申請（請假）網(wǎng)上考勤。管理員可設(shè)置不同事項，系統(tǒng)根據(jù)不同事項產(chǎn)生具體流程，并最后匯總為流程圖。支持在PC端連接打印機打印流程圖、匯總表等。應(yīng)用價值：流程管理是OA系統(tǒng)核心功能，可設(shè)置多類別多節(jié)點審批，如行政類流程、人事類流程、財務(wù)費用流程、日常辦公類、訂單合同類流程、業(yè)務(wù)類相關(guān)流程等，加上移動版隨時隨地審批和消息推送提醒，實現(xiàn)檢察院智能化規(guī)范化移動化流程審批，同時提高辦公速度和效率，節(jié)省辦公時間和成本。流程的設(shè)置操作必須要簡單易上手，方便后期的流程增加及修改完善。工作流是通達OA最強大的功能之一，常見的功能有智能表單設(shè)計，支持在線設(shè)計表單，包含十八種表單控件，實現(xiàn)復(fù)雜數(shù)據(jù)的錄入，設(shè)計思想處于國內(nèi)領(lǐng)先地位；支持表單復(fù)制功能，簡化表單制作程序；支持外部數(shù)據(jù)源；支持表單網(wǎng)頁手寫簽章，一經(jīng)授權(quán)，不限點數(shù)；支持表單版本管理；支持表單排序，管理操作一步到位；支持表單與流程的分類管理；支持表單與流程的導(dǎo)入導(dǎo)出操作；支持自由流程、固定流程和柔性流程；支持自動生成工作名稱/文號，支持自定義工作名稱/文號的生成規(guī)則；設(shè)計向?qū)Ｊ?，提供設(shè)計思路，簡化工作流設(shè)計過程；圖形化流程制作頁面，無需代碼基礎(chǔ)，即可完成流程制作；支持流程分支設(shè)置，支持通過條件自由控制流程走向；支持子流程設(shè)置包含流程數(shù)據(jù)校驗功能；支持流程附帶公共附件，并允許設(shè)置對公共附件的詳細權(quán)限；支持流程權(quán)限設(shè)置，包括管理權(quán)限、監(jiān)控權(quán)限、查詢權(quán)限、點評權(quán)限支持流程查詢模板定義；支持版式文件應(yīng)用，可實現(xiàn)精確打印與套打；支持流程定時發(fā)起；允許按人員、部門、角色設(shè)定經(jīng)辦權(quán)限；允許針對每個步驟設(shè)置可寫字段；支持流程自動選人支持流程插件，為工作流與其他模塊的數(shù)據(jù)交互提供平臺；支持會簽，會簽人可以填寫各自的會簽意見和上傳私有附件；可監(jiān)控流程的辦理過程，查看各步驟辦理狀態(tài)和辦理時間；傳遞流程，支持由首先接收者辦理；添加重要級別的概念，辦理人可以根據(jù)級別進行流程的優(yōu)先辦理；流轉(zhuǎn)過程可通過內(nèi)部事務(wù)提醒、手機短信，internet郵件提醒辦理人；全面的流程數(shù)據(jù)管理，支持表單與數(shù)據(jù)同步調(diào)整，適應(yīng)發(fā)展變化；允許將某一工作流程定義為獨立的系統(tǒng)菜單，便于操作；支持工作流超時提示與催辦提醒；支持超時工作統(tǒng)計分析；支持非超時執(zhí)行中的工作的催辦提醒；支持工作流數(shù)據(jù)歸檔與歸檔流程查詢，提升操作速度；業(yè)務(wù)引擎實現(xiàn)工作流與系統(tǒng)內(nèi)置部分模塊數(shù)據(jù)的整合；數(shù)據(jù)源為提取常用數(shù)據(jù)開放了便捷的通道；所有對流程的操作都寫入日志記錄。流程流轉(zhuǎn)的可視化避免普通OA系統(tǒng)中審批流程的不可追蹤、不可監(jiān)控。提供圖形化表單設(shè)計器，快速建立各種業(yè)務(wù)表單。圖形化流程設(shè)計器，快速對復(fù)雜業(yè)務(wù)流程建模。PC端考勤、移動考勤定位拍照上傳，滿足辦公室用戶和在外做業(yè)務(wù)用戶不同簽到需求，可以導(dǎo)入傳統(tǒng)的考勤機數(shù)據(jù)或集成考勤機數(shù)據(jù)等，實現(xiàn)現(xiàn)代與傳統(tǒng)方式考勤數(shù)據(jù)融合統(tǒng)一，同時結(jié)合假期管理和流程審批應(yīng)用，實現(xiàn)請假、出差、外出、加班、調(diào)休多級審批需求，審批通過后流程數(shù)據(jù)回寫到考勤模塊，實現(xiàn)考勤數(shù)據(jù)統(tǒng)一完整，方便人事管理考勤統(tǒng)計和用戶查看自己考勤信息。外勤員工可以在手機上進行打卡、考勤，還可以查看自己的考勤、請假記錄。支持設(shè)置考勤地點和辦公Wifi，精細化管理?？梢灶A(yù)設(shè)有效的考勤范圍100米~3000米?？梢酝瑫r設(shè)置不同的考勤地點。可以根據(jù)WiFi進行考勤，并且支持關(guān)聯(lián)多個WiFi，并且添加WiFi的MAC地址。如果檢察院有同名的WiFi，通達OA打開是以MAC地址作為考勤條件。平臺的安全性檢務(wù)通平臺采用基于WEB的單位計算，技術(shù)上采用PHP+MYSQL+JAVA，屬于完全自主開發(fā)，其主HTTP服務(wù)器采用Apache服務(wù)器，性能穩(wěn)定可靠。數(shù)據(jù)存取集中控制，避免了數(shù)據(jù)泄漏的可能。另外，檢務(wù)通平臺內(nèi)置的NTKO安全簽名印章組件，能有效提高文檔安全性檢務(wù)通平臺采用多層次的安全體系結(jié)構(gòu)，保證數(shù)據(jù)和應(yīng)用的安全性。數(shù)據(jù)和文件采用加密傳輸和存儲，保證了數(shù)據(jù)訪問和存儲安全。產(chǎn)品采用了多種防范技術(shù)，有效防止頁面緩存、URLGET請求、Cookies等方式的數(shù)據(jù)泄露以及腳本注入、SQL注入、SQLUnion攻擊等方式的代碼攻擊，最大限度的保證了系統(tǒng)數(shù)據(jù)的安全。系統(tǒng)應(yīng)用層采用多級權(quán)限控制機制、完善的登陸驗證機制、完備的日志審計等功能保證了應(yīng)用的安全性。具體分以下幾方面：1、密碼單向加密存儲，不會發(fā)生泄漏檢務(wù)通平臺的登錄密碼采用UNIX系統(tǒng)安全的單向加密算法加密存儲，不支持反向解密，即便是數(shù)據(jù)庫管理員也無法獲取登錄密碼的明文。2、登錄賬號支持和Windows域用戶綁定檢務(wù)通平臺的賬號和域用戶綁定，在登錄時使用域賬號和密碼進行身份驗證，由Windows系統(tǒng)保障用戶賬號和登錄密碼的安全。3、輸入數(shù)據(jù)嚴格校驗，防止SQL注入的發(fā)生檢務(wù)通平臺通過升級系統(tǒng)架構(gòu)，將所有輸入數(shù)據(jù)進行嚴格校驗和過濾，阻止SQL注入和XSS攻擊的發(fā)生。4、附件文件支持加密存儲,內(nèi)部員工也無法泄漏經(jīng)過加密的文件只能在登錄檢務(wù)通平臺后進行查閱，內(nèi)部員工直接從服務(wù)器上拷貝泄露出去的文件是無法打開的，這樣就保證了文件存儲的安全。5、數(shù)據(jù)在網(wǎng)絡(luò)中的傳輸支持https加密協(xié)議除了系統(tǒng)自身安全外，數(shù)據(jù)在服務(wù)器與客戶端之間網(wǎng)絡(luò)傳輸?shù)陌踩仓陵P(guān)重要。檢務(wù)通平臺使用符合國家標準和國際標準的數(shù)字證書對網(wǎng)絡(luò)傳輸數(shù)據(jù)進行加密和解密，確保傳輸過程的安全。平臺的兼容性檢務(wù)通平臺采用當代最新技術(shù)，建立一種新概念的、開放的現(xiàn)代管理和辦公環(huán)境，它以TCP/IP、廣域網(wǎng)互連、路由、防火墻和網(wǎng)絡(luò)管理技術(shù)為核心，建立一個安全可靠的網(wǎng)絡(luò)應(yīng)用平臺。檢務(wù)通平臺經(jīng)過多年的改進，客戶端支持各類操作系統(tǒng)，兼容各種應(yīng)用程序和殺毒軟件。同時，采用國際標準的技術(shù)，包括標準安全算法和通信協(xié)議、標準軟硬件接口等保證系統(tǒng)和其他產(chǎn)品的兼容性，能夠適應(yīng)在不同軟硬件環(huán)境之下都能夠正常運行。平臺的WEB服務(wù)器采用Apache+Nginx的雙引擎，系統(tǒng)運行高速、穩(wěn)定、可靠；數(shù)據(jù)庫采用Oracle提供的Mysql企業(yè)級數(shù)據(jù)庫，令數(shù)據(jù)存儲和訪問更高效。其次，平臺支持目前所有的主流瀏覽器（IE9及以上、搜狗、谷歌、360、火狐等等），無需進行單獨配置即可在web直接進行操作。同時，平臺采用先進的NTKO插件，可以實現(xiàn)和OFFICE軟件的無縫對接，可以直接在線編輯officeword文檔、excel文檔和ppt文檔，并可留痕以備查詢。另外，檢務(wù)通平臺采用先進的即時通訊極光推送功能，在客戶端可以實現(xiàn)和任意瀏覽器的兼容效果，保證審批通知、消息提醒及時的推送給相關(guān)人員審批查閱，大大的提高工作效率和體驗的舒適度。檢務(wù)通平臺有一個重要的思想是安全技術(shù)的兼容性，由于不同的實施單位或多或少都有一定的安全防范措施，因此，檢務(wù)通平臺在設(shè)計過程中，注重和主流安全產(chǎn)品的兼容性。目前檢務(wù)通平臺的安全措施都能夠和目前主流、標準的安全技術(shù)和產(chǎn)品兼容。平臺的可擴展性檢務(wù)通平臺采用開放的系統(tǒng)平臺構(gòu)架，30~70%的源代碼開放，柔性化的二次開發(fā)平臺，完善的二次開發(fā)技術(shù)支持，支持企業(yè)個性化需求，提供應(yīng)用擴展的無限可能，支持企業(yè)私有云的部署。1、在本地有項目實施及二次開發(fā)的技術(shù)團隊，能根據(jù)用戶需求進行個性化二次開發(fā)；2、提供二次開發(fā)的標準文檔，并提供二次開發(fā)深入培訓(xùn)，方便用戶自行二次開發(fā)；3、在對方系統(tǒng)開放數(shù)據(jù)接口并提供技術(shù)支持的情況下，支持與其它業(yè)務(wù)系統(tǒng)整合，實現(xiàn)單點登陸應(yīng)用；4、在對方系統(tǒng)開放數(shù)據(jù)接口或開放數(shù)據(jù)字典的情況下，支持從其它系統(tǒng)提取數(shù)據(jù)，并在檢務(wù)通平臺系統(tǒng)模塊中呈現(xiàn)；5、遵循通用的國際或行業(yè)標準，開放的系統(tǒng)平臺設(shè)計需具有良好的擴展性，允許擴充新的功能模塊，能夠方便集成不同系統(tǒng)的數(shù)據(jù)至本系統(tǒng)中，以適應(yīng)未來發(fā)展；6、在系統(tǒng)管理模塊中，系統(tǒng)將會提供工作流定制工具、報表定制工具等多種系統(tǒng)自定義工具，通過這些自定義工具，單位內(nèi)的工作人員能夠自行對系統(tǒng)進行擴展和增加應(yīng)用功能，從而使系統(tǒng)保持強大的系統(tǒng)擴展性和靈活性。其中的流程管理基于流轉(zhuǎn)引擎，完全可以根據(jù)客戶的需要定義出各種流程，并且完全不需要編寫代碼。

解決方案云主機人民檢察院檢務(wù)通平臺建設(shè)依托于阿里云服務(wù)器，阿里云服務(wù)器是一種簡單高效、安全可靠、處理能力可彈性伸縮的計算服務(wù)。其管理方式比物理服務(wù)器更簡單高效。用戶無需提前購買硬件，即可迅速創(chuàng)建或釋放任意多臺云服務(wù)器。云服務(wù)器能夠快速構(gòu)建更穩(wěn)定、安全的應(yīng)用，降低開發(fā)運維的難度和整體IT成本。基于一般業(yè)務(wù)下的法務(wù)通平臺建設(shè)，云服務(wù)器的具體參數(shù)如下：vCpu8核系統(tǒng)內(nèi)存32G數(shù)據(jù)盤1T操作系統(tǒng)Windowsserver2012或2016數(shù)據(jù)庫MYSQL寬帶10M終端APP檢務(wù)通平臺系統(tǒng)支持移動端和PC端操作使用，其中，終端APP支持安卓及ios系統(tǒng)使用。終端APP具體參數(shù)如下：硬件配置操作系統(tǒng)版本安卓系統(tǒng)7.0以上版本，ios支持9.0以上版本內(nèi)存安卓4G內(nèi)存以上，ios系統(tǒng)不限。存儲無要求，存儲不滿即可操作系統(tǒng)安卓系統(tǒng)、IOS系統(tǒng)網(wǎng)路環(huán)境1M獨享帶寬或10M共享帶寬、4G信號OA在現(xiàn)有綜合辦公平臺的基礎(chǔ)上在業(yè)界率先推出支持Android,iphone等移動設(shè)備的OA精靈客戶端，通過PC版OA與手機版OA相結(jié)合的做法，實現(xiàn)PC與手機的優(yōu)勢互補，極大的方便用戶。手機客戶端支持安卓、IOS版本。手機客戶端支持消息離線推送、郵件收發(fā)、公告通知及內(nèi)部新聞查看工作流新建、辦理及轉(zhuǎn)交等工作，支持WORD及PDF文檔在線閱讀，支持各種數(shù)據(jù)統(tǒng)計分析報表查閱等功能。終端APP具有豐富的移動辦公功能，統(tǒng)一即時通訊、群組聊天、消息回執(zhí)、消息漫游，手機填報和查看報表，定位考勤、手機簽章等。終端設(shè)備法務(wù)通平臺終端設(shè)備支持安卓、ios等系統(tǒng)，可參考以下終端設(shè)備參數(shù)：華為Mate20規(guī)格參數(shù)品牌華為型號Mate20屏幕尺寸6.53英寸CPU主頻2×CortexA762.6GHz+2×CortexA761.92GHz+4×CortexA551.8GHz運行內(nèi)存6GB設(shè)備內(nèi)存128G電池容量4000mAh前置攝像頭2400萬像素后置攝像頭（3個）1200萬+1600萬+800萬像素是否支持全網(wǎng)通支持全網(wǎng)通通信流量套餐檢務(wù)通平臺支持移動終端使用，需要購買國內(nèi)通用4G流量套餐。為了使客戶享受更優(yōu)質(zhì)的服務(wù)，中國聯(lián)通將為客戶提供國內(nèi)流量放心用的服務(wù)，同時，包含國內(nèi)通話時間及短信服務(wù)。目前聯(lián)通現(xiàn)網(wǎng)具備1800MHz、2100MHz多頻建網(wǎng)能力，且在密集城區(qū)、郊區(qū)進行全方位覆蓋。經(jīng)過測試，終端數(shù)據(jù)傳輸?shù)那袚Q成功率達到99.6%以上，截至目前，山東聯(lián)通公司共建設(shè)有LTEFDD室外基站5.1萬個，室內(nèi)覆蓋1.6萬棟建筑物，市區(qū)、縣城、鄉(xiāng)鎮(zhèn)鎮(zhèn)區(qū)實現(xiàn)了連續(xù)面覆蓋，高鐵、動車線、高速公路基本實現(xiàn)了全程連續(xù)覆蓋，行政村覆蓋率達到83%，面積覆蓋率達到86%，人口覆蓋率達到94%。全國：2018年底將達4G

95萬站，4G人口覆蓋率86%，口碑場景整體覆蓋達標率75%，城區(qū)路面及淺層覆蓋基本完善，所有鄉(xiāng)鎮(zhèn)實現(xiàn)標志性覆蓋，行政村覆蓋率62%，3A以上景區(qū)，跨省高鐵、機場高速等重要交通線基本實現(xiàn)連續(xù)覆蓋，3A以上景區(qū)，跨省高鐵、機場高速等重要交通線基本實現(xiàn)連續(xù)覆蓋。山東省城市道路測試平均下載速率65Mbps以上，可以確保網(wǎng)絡(luò)覆蓋和網(wǎng)絡(luò)下載速率達到客戶要求。除了強大的4G網(wǎng)絡(luò)外，截至目前，聯(lián)通山東省內(nèi)共建設(shè)有WCDMA室外基站4.5萬個，室內(nèi)覆蓋2.3萬棟建筑物，市區(qū)、縣城、鄉(xiāng)鎮(zhèn)鎮(zhèn)區(qū)實現(xiàn)了連續(xù)面覆蓋，高鐵、動車線、高速公路基本實現(xiàn)了全程連續(xù)覆蓋，行政村覆蓋率達到87%，面積覆蓋率達到86%，人口覆蓋率達到92%。全國：3G

85萬站，3G人口覆蓋率90%，行政村覆蓋率87%。目前，聯(lián)通3G的下載速率峰值可達42M。因此在3G的網(wǎng)絡(luò)狀態(tài)下也能滿足貴單位工作使用要求。

主要技術(shù)指標軟件提供IM即時通訊工具，可實現(xiàn)開機自動登陸，任務(wù)自動提醒，支持文件/消息的即時與離線傳送，語音交流等功能；IM交流的內(nèi)容在服務(wù)器端有數(shù)據(jù)備份，有權(quán)限的人可以進行查詢。免費提供手機移動辦公，手機客戶端支持安卓、IOS版本。手機客戶端支持消息離線推送、郵件收發(fā)、公告通知及內(nèi)部新聞查看工作流新建、辦理及轉(zhuǎn)交等工作，支持WORD及PDF文檔在線閱讀，支持各種數(shù)據(jù)統(tǒng)計分析報表查閱等功能。移動端即時通訊移動端即時通訊聊天工具同電腦端是同步的，可以進行聊天、語音、圖片、文件的傳送，極大的方便同事之間交流和溝通。

移動考勤所有人員可以在手機上進行打卡、考勤，還可以查看自己的考勤、請假記錄。移動審批手機表單設(shè)計器，自己定制更易用的移動審批體驗；一鍵轉(zhuǎn)交，移動審批新標桿；豐富的表單控件和流程條件，易用性與專業(yè)性兼顧；工作流程不再因出差而耽擱；

車輛、會議室、辦公用品的申請手機上就可以完成會議、車輛和辦公用品的管理和申請

電子郵件可隨時隨地查看內(nèi)外部郵件，寫郵件更加方便快捷，支持圖片和附件的上傳下載，文檔圖片的在線瀏覽及保存。

性能詳細說明云主機云主機服務(wù)允許用戶自由選擇不同標準規(guī)格云主機，可根據(jù)需要選擇操作系統(tǒng)種類、VCPU數(shù)量、內(nèi)存容量、系統(tǒng)盤容量，實現(xiàn)對云主機的靈活定制和動態(tài)創(chuàng)建；可以通過Web控制臺對云主機進行創(chuàng)建、開機、關(guān)機、重啟、續(xù)訂、退訂等操作；允許根據(jù)需要對云主機彈性擴展內(nèi)存和系統(tǒng)盤容量；可實時查看VCPU使用率、內(nèi)存使用率、磁盤讀寫、網(wǎng)絡(luò)流量等云主機重點性能指標情況。彈性云主機Web控制臺支持多種操作系統(tǒng)彈性云主機支持主流的Windows和Linux操作系統(tǒng)，允許自定義個性化模板，部分操作系統(tǒng)列表下圖所示：支持多種規(guī)格云主機規(guī)格為虛擬機的配置模板，定義了虛擬機的CPU數(shù)量（vCPUs）、內(nèi)存容量（Memory_MB）、磁盤容量（Disk）及臨時磁盤（Ephemeral）、Swap分區(qū)等一些參數(shù)。彈性云主機允許根據(jù)不同需求選擇標準配置或自定義配置，動態(tài)升級vCPU和內(nèi)存配置。也允許從兩個維度擴展業(yè)務(wù)服務(wù)能力，一個維度是在現(xiàn)有彈性云主機上擴展vCPU、內(nèi)存、磁盤，另一個維度是在彈性負載均衡支持下按現(xiàn)有彈性云主機規(guī)格擴展彈性云主機數(shù)量，快速提升業(yè)務(wù)服務(wù)能力，其中標準的云主機規(guī)格下圖所示：彈性云主機配置可以在web控制臺上可以通過下圖所示界面進行云主機規(guī)格的選擇和定制。彈性云主機配置選擇支持快照功能快照用于捕捉硬盤在某一個時刻的狀態(tài)，未來可以隨時恢復(fù)到這個狀態(tài)?？梢圆捎每煺辗绞絺浞莓斍笆褂玫膹椥栽浦鳈C。備份方式支持全量快照和增量快照，同時還支持定義周期性自動快照?？煺展δ茉恚旱讓釉趧?chuàng)建虛擬機時，會根據(jù)其選用的鏡像，創(chuàng)建一個基礎(chǔ)緩存鏡像文件，以便于讓所有使用同一鏡像的虛擬機不必多次全量拷貝源鏡像；之后在基礎(chǔ)緩存鏡像文件的基礎(chǔ)上，創(chuàng)建增量鏡像文件，即虛擬機的系統(tǒng)磁盤。增量快照：通過對增量鏡像文件做快照及備份，即完成了對虛擬機的增量快照及備份，因為增量鏡像文件相對源鏡像文件要小得多，所以增量快照功能完成的速度較快，但是不可獨立恢復(fù)。全量快照：將增量快照及備份與基礎(chǔ)緩存鏡像文件轉(zhuǎn)換合并起來，就完成了對虛擬機的全量快照及備份，因為基礎(chǔ)緩存鏡像文件較大，所以全量快照功能完成的速度較慢，但是可以獨立恢復(fù)。支持自定義鏡像鏡像，是指云主機所使用的根分區(qū)或系統(tǒng)盤，可以快速地通過鏡像復(fù)制出一臺云主機，免除傳統(tǒng)冗長的裝機過程。同時還支持制作鏡像快照，對云主機進行備份快照，該快照還能像普通鏡像一樣隨時創(chuàng)建新的云主機使用。云平臺允許自行制作標準格式的系統(tǒng)鏡像，上傳到云平臺后，經(jīng)過簡單配置即可以展示在網(wǎng)站上供選擇創(chuàng)建基于自定義個性化模板的彈性云主機。目前支持的鏡像格式有iso、qcow2、qcow、raw、vmdk等多種模式，常用為qcow2格式的鏡像。當鏡像制作完成后，將上傳到鏡像庫中，由鏡像管理服務(wù)模塊來管理所有的鏡像。支持配置動態(tài)伸縮平臺支持對云主機配置的動態(tài)伸縮，通過修改云主機初始的規(guī)格來修改云主機的當前配置，可以修改的主要項包括：內(nèi)存容量（可增減）、VCPU數(shù)量（可增減）、磁盤容量（僅增）。動態(tài)升級時先關(guān)閉虛擬機，之后在啟動時將應(yīng)用新的規(guī)格作為配置模板。支持故障切換系統(tǒng)支持當一個計算節(jié)點發(fā)生故障時，將其上的虛擬機資源自動/手動遷移至安全的計算節(jié)點上。故障切換是虛擬機在宿主機崩潰時，因為使用的分布式存儲，虛擬機的跟分區(qū)/系統(tǒng)盤及塊存儲設(shè)備在安全的節(jié)點可用，可以將虛擬機在安全節(jié)點重新啟動并恢復(fù)。云主機故障遷移示意圖云存儲沃云整體存儲架構(gòu)系統(tǒng)概述沃云分布式云存儲是為企業(yè)提供革命性符合成本效益的高性能存儲平臺。本系統(tǒng)的設(shè)計原則如下：必須考慮到支持TB、PB、EB級的容量無縫擴展；必須考慮到支持線性的擴展；必須考慮到存儲的可靠性和容錯性；必須考慮到存儲分層和自動負載均衡；必須考慮到存儲的初建成本和擴容成本；必須考慮到異地數(shù)據(jù)容災(zāi)，保證最終用戶數(shù)據(jù)的安全性；必須考慮到不被硬件廠商鎖定；必須考慮到運維人員的維護復(fù)雜度，降低運維成本；必須考慮到同既有的應(yīng)用程序集成，降低集成復(fù)雜度；基于上述設(shè)計原則，沃云分布式云存儲系統(tǒng)采用先進的分布式對象存儲設(shè)計，同時整合文件存儲、塊存儲和對象存儲三種技術(shù)，為各種不同類型的客戶應(yīng)用提供適合其需求的存儲服務(wù)。系統(tǒng)整體架構(gòu)如下圖所示：沃云分布式云存儲系統(tǒng)整體架構(gòu)3種類型訪問接口該套分布式對象存儲系統(tǒng)為訪問提供3種類型的接口，即S3存儲接口、iSCSI/FC接口、NFS/CIFS接口?？梢愿鶕?jù)需要使用3種接口的任意一種進行訪問。豐富的管理分發(fā)功能支持策略管理，如分發(fā)、QoS和存儲分層；提供詳盡的監(jiān)控和報告；數(shù)據(jù)監(jiān)控和自動修復(fù)功能；根據(jù)策略進行對象分發(fā)、對象復(fù)制和對象再平衡。高可用性多層級的可用性設(shè)計。每臺節(jié)點均可支持RAID陣列，確保節(jié)點內(nèi)部數(shù)據(jù)安全和高可用。同時分布式存儲集群支持實時多副本功能。數(shù)據(jù)在集群中實時保存n份副本，可確保任意(n-1)臺節(jié)點出現(xiàn)故障，數(shù)據(jù)依舊安全且可訪問。多數(shù)據(jù)中心的不同云存儲集群間支持數(shù)據(jù)互備互援，確保發(fā)生人力不可控的災(zāi)難時，數(shù)據(jù)依舊安全。卓越的存儲性價比支持數(shù)據(jù)去重、數(shù)據(jù)壓縮和SSD加速功能?？捎行Ч?jié)省存儲空間，提高存儲服務(wù)的成本優(yōu)勢，同時在可控的成本范圍內(nèi)大幅提升存儲性能。開放的存儲硬件選擇底層采用開發(fā)式的X86系統(tǒng)構(gòu)架，用戶可根據(jù)情況選擇適合自己的X86硬件架構(gòu)。沃云存儲部署架構(gòu)如下圖所示：沃云存儲部署架構(gòu)圖存儲網(wǎng)絡(luò)：用于OSD節(jié)點間的存儲數(shù)據(jù)的副本復(fù)制，數(shù)據(jù)修復(fù)和群集狀態(tài)監(jiān)測。業(yè)務(wù)網(wǎng)絡(luò)：用于對存儲的請求，如創(chuàng)建數(shù)據(jù)，修改數(shù)據(jù)、查詢數(shù)據(jù)和刪除數(shù)據(jù)。OSD群集：根據(jù)對業(yè)務(wù)和性能的需求不同，設(shè)計劃分為3個存儲池，即對象存儲池、塊存儲池和文件存儲池。網(wǎng)關(guān)群集：根據(jù)服務(wù)的對象不同，設(shè)計劃分為2個存儲網(wǎng)關(guān)群集，即對象存儲網(wǎng)關(guān)群集、塊\文件存儲網(wǎng)關(guān)群集。系統(tǒng)組成沃云分布式對象存儲主要分為三大組件：對象存儲設(shè)備（OSD）：可以支持PB級數(shù)據(jù)對象的池和統(tǒng)一存儲資源。存儲網(wǎng)關(guān)（Gateway）：為其他應(yīng)用程序或設(shè)備提供一個支持標準的文件系統(tǒng)協(xié)議的掛接點，以支持iSCSI、CIFS和NFS標準傳輸協(xié)議。遠程復(fù)制服務(wù)器（RRS）：將數(shù)據(jù)從一個群集復(fù)制到另一個群集。系統(tǒng)功能特點去中心化采用去中心化的設(shè)計。無需特定管理節(jié)點。此設(shè)計不但大幅降低了存儲集群管理的復(fù)雜度更大大的提高了可用性及可擴充性。節(jié)點與節(jié)點中間采用端到端的通訊協(xié)議，借此能達到幾乎無限的節(jié)點擴充性。元數(shù)據(jù)也是分布到每個節(jié)點中并被數(shù)據(jù)實時復(fù)制給保護，無元數(shù)據(jù)單一節(jié)點失效的問題。這樣的設(shè)計可以讓單一集群的最大存儲容量可以在單一命名空間里擴充到百PB級。存儲節(jié)點和存取節(jié)點可分離式設(shè)計在使用網(wǎng)絡(luò)共享存儲時，常遇到的一個場景是存儲資源還夠用但是網(wǎng)絡(luò)資源不夠了而導(dǎo)致整體效能遭遇瓶頸，這在傳統(tǒng)存儲常見到的就是機頭(controller)的網(wǎng)絡(luò)資源有限制。存儲采用了存儲節(jié)點和存取節(jié)點可分離設(shè)計。在需要時可以單獨擴充存取節(jié)點以提高存儲傳輸效能。此一設(shè)計讓分布式云存儲系統(tǒng)可以更彈性，更有效的使用預(yù)算，達到綠色IT。沃云分布式存儲技術(shù)原理如下：沃云分布式存儲技術(shù)原理任何時刻，任意節(jié)點失效皆不會影響資料安全及一致性動態(tài)副本機制，自我修復(fù)確保資料安全性熱點數(shù)據(jù)加速存儲可以使用SSD支持熱點數(shù)據(jù)加速的功能。在許多的應(yīng)用場景如流媒體，或虛擬化，有些熱點數(shù)據(jù)會一再的被讀取。這些熱點數(shù)據(jù)通常是一個文件中的某些特定區(qū)塊，或是某些卷的特定區(qū)塊。存儲可以將常被存取的區(qū)塊使用快速的存儲設(shè)備像是SSD來做數(shù)據(jù)快取。讓這些熱點數(shù)據(jù)可以快速的從SSD被讀取而無需到傳統(tǒng)的磁盤中重復(fù)的讀取。此一熱點數(shù)據(jù)加速功能還可以搭配分離式存取節(jié)點，將熱點數(shù)據(jù)放在離客戶端最近的存取節(jié)點，進而增加數(shù)據(jù)讀取的效率。存儲分層隨著集群的陸續(xù)擴充，集群中可能混雜了各個不同性能的節(jié)點或是單個節(jié)點中也會有不同效能的存儲設(shè)備。一般常見的分布式存儲會將數(shù)據(jù)平均的分布在每個節(jié)點上，如此整體的存儲效能會被較慢的存儲節(jié)點給拖慢。存儲能夠讓管理者將不同效能的存儲做分層，讓需要高效能存儲性能的數(shù)據(jù)存在高效能的節(jié)點上。如此可以有效率的使用不同性能的存儲在不同的應(yīng)用場景上。存儲分層原理圖實時副本及自我修復(fù)當數(shù)據(jù)被分布到許多的存儲節(jié)點時，數(shù)據(jù)的安全性及可用性會隨著節(jié)點的增加而降低。因此實時數(shù)據(jù)的副本抄寫是一個分布式存儲的必要功能。本系統(tǒng)采用強一致性的寫入策略，即只有當所有的副本寫入完成，客戶端才會受到寫入成功的響應(yīng)，如下圖。這一策略確保寫入數(shù)據(jù)的一致性和完整性。實時副本及自我修復(fù)原理圖存儲在實時數(shù)據(jù)副本上提供了更多的管理彈性，可讓管理者根據(jù)數(shù)據(jù)的重要性配置不同的副本數(shù)。而且此副本數(shù)還可以在線動態(tài)的調(diào)整。讓管理者可以有效的利用存儲資源來保護重要的資料。當集群中有節(jié)點失效時存儲特有的自我修復(fù)功能可以把失效節(jié)點中的數(shù)據(jù)再其他節(jié)點上再生成另一個副本，以維持管理者希望的副本數(shù)目。此一自我修復(fù)功能不但減少管理者的負擔，更可以大幅提高整體SLA確保數(shù)據(jù)不會因為連續(xù)的硬件故障而丟失。實時副本彈性管理圖標準存儲協(xié)議存儲支持標準SAN和NAS協(xié)議，無需安裝客戶端，無兼容性問題?？梢灾苯邮褂肅IFS／NFS實現(xiàn)海量共享存儲。另外也支持RESTfulAPI如AmazonS3,OpenStackswift跟WebDAV。安全機制數(shù)據(jù)隔離機制：沃云分布式云存儲提供多的數(shù)據(jù)隔離機制。系統(tǒng)可為每位用戶創(chuàng)建相互獨立的存儲池。存儲于不同存儲池中的數(shù)據(jù)彼此不會產(chǎn)生任何交疊。同時可為用戶的存儲池配置專用的存儲網(wǎng)關(guān)，即用戶僅可以通過配置的專用網(wǎng)關(guān)才可以訪問相應(yīng)的數(shù)據(jù)存儲池中的數(shù)據(jù)。確保不同用戶從數(shù)據(jù)訪問通路以及數(shù)據(jù)底層存儲都完全做到數(shù)據(jù)安全隔離。多級訪問安全機制：使能夠靈活的控制訪問自己數(shù)據(jù)的人員、方式、時間以及位置。四種安全訪問機制：四種安全訪問機制圖通道安全：使用HTTPS協(xié)議通過SSL加密終端節(jié)點將數(shù)據(jù)安全地上傳/下載。在用戶檢索數(shù)據(jù)時，將自動進行解密。提供對靜態(tài)數(shù)據(jù)加密的多種選項：如果您希望管理自己的加密密鑰，則可以使用加密客戶端等客戶端加密庫先對數(shù)據(jù)加密，再將其上傳到存儲。如果讓資源池平臺為您管理加密密鑰，則可以使用服務(wù)器端加密(SE)。使用SE，您只需在寫入數(shù)據(jù)元時另外添加一個請求標頭，即可對上傳數(shù)據(jù)加密。審計：能夠記錄對資源所做的請求。讓對自己的存儲資源本身，或者在其中的數(shù)據(jù)進行監(jiān)控和審計。針對用戶的沃云存儲段提出的相關(guān)請求，創(chuàng)建相應(yīng)訪問日志記錄。服務(wù)器訪問日志可捕獲對存儲段或其中的數(shù)據(jù)元發(fā)出的所有請求。易于管理無需另外安裝管理服務(wù)器，即可提供容易使用的Web管理界面。提供圖形化的管理界面監(jiān)控各節(jié)點的使用狀態(tài)并在偵測到異常時采用email警示。系統(tǒng)會在偵測下列情況并且提供email警示。沃云存儲服務(wù)支持主流的開源數(shù)據(jù)庫，同時支持Oracle等關(guān)系型數(shù)據(jù)庫的數(shù)據(jù)遷移，提供完整的存儲協(xié)議支持：提供AmazonS3,OpenStackswift,Webdav,CIFS,NFS,iSCSI,FC等標準存儲協(xié)議，讓使用者現(xiàn)有應(yīng)用能完整且無接縫遷移?？杀４娓鞣N類型的數(shù)據(jù)對象，不限文件數(shù)目和大小，通過分布式架構(gòu)支持大規(guī)模的請求處理與數(shù)據(jù)傳輸，存儲容量無限制。通過分布式架構(gòu)支持大規(guī)模的請求處理與數(shù)據(jù)傳輸，確保對象存儲服務(wù)的高可用性，存儲容量和服務(wù)規(guī)模沒有任何限制，系統(tǒng)規(guī)?？梢运綌U展。沃云存儲服務(wù)性能數(shù)據(jù)安全隔離沃云分布式云存儲提供多的數(shù)據(jù)隔離機制。系統(tǒng)可為每位用戶創(chuàng)建相互獨立的存儲池，存儲于不同存儲池中的數(shù)據(jù)彼此不會產(chǎn)生任何交疊。同時可為用戶的存儲池配置專用的存儲網(wǎng)關(guān)，即用戶僅可以通過配置的專用網(wǎng)關(guān)才可以訪問相應(yīng)的數(shù)據(jù)存儲池中的數(shù)據(jù)，確保不同用戶從數(shù)據(jù)訪問通路以及數(shù)據(jù)底層存儲都完全做到數(shù)據(jù)安全隔離，實現(xiàn)針對IP地址、用戶、用戶組等設(shè)置訪問權(quán)限的控制。分布式存儲性能以下性能測試報告是4節(jié)點分布式存儲集群上用以下硬件測試出來的效能。SuperMicro2U12BayCPU:

SandyB.R6CE5-26302.3G15M7.2GT95Wx2RAM:

16GBDDR3-16002Rx4ECCREGDIMMx9HDD:

Seagate3.5"3.0TBSATAIII,7.2KRPMx12NIC:

STDDual-port10GEthernetwithSFP+W/CDRx2SSD:PCI-basedSSD(FusionIO)Raid6IOPS測試性能使用8臺虛機，在虛機內(nèi)執(zhí)行IOMeter做IOPS的測試：Throughput測試性能ParametersResultVM1100%read1MBsequential10GBdisksize235MB/sVM2100%read1MBsequential10GBdisksize248MB/sVM3100%read1MBsequential10GBdisksize49MB/sVM4100%read1MBsequential10GBdisksize221MB/sVM5100%read1MBsequential10GBdisksize233MB/sVM6100%read1MBsequential10GBdisksize212MB/sVM7100%read1MBsequential10GBdisksize244MB/sVM8100%read1MBsequential10GBdisksize234MB/s平均值：234.5MB/sParametersResultVM1100%write1MBsequential10GBdisksize211MB/sVM2100%write1MBsequential10GBdisksize206MB/sVM3100%write1MBsequential10GBdisksize203MB/sVM4100%write1MBsequential10GBdisksize214MB/sVM5100%write1MBsequential10GBdisksize200MB/sVM6100%write1MBsequential10GBdisksize207MB/sVM7100%write1MBsequential10GBdisksize219MB/sVM8100%write1MBsequential10GBdisksize208MB/s平均值：208.5MB/s沃云存儲服務(wù)特性數(shù)據(jù)存儲備份分布式存儲集群支持實時多副本功能。數(shù)據(jù)在集群中實時保存n份副本，可確保任意(n-1)臺節(jié)點出現(xiàn)故障時數(shù)據(jù)依舊安全且可訪問，多數(shù)據(jù)中心的不同云存儲集群間支持數(shù)據(jù)互備互援，確保發(fā)生人力不可控的災(zāi)難時數(shù)據(jù)依舊安全。例如聯(lián)通沃云呼和浩特云數(shù)據(jù)中心存儲池配置3個副本。沃云存儲數(shù)據(jù)會自動生成數(shù)據(jù)副本，保障由于意外的硬件設(shè)備故障導(dǎo)致數(shù)據(jù)丟失。如果數(shù)據(jù)出現(xiàn)損壞，沃云存儲會根據(jù)數(shù)據(jù)副本對數(shù)據(jù)自我修復(fù)。沃云存儲為用戶提供快照功能，以便根據(jù)需要，對自己的數(shù)據(jù)進行快照，并根據(jù)需要進行快照數(shù)據(jù)還原。沃云存儲通過遠程數(shù)據(jù)備份機制來實現(xiàn)靈活可靠的災(zāi)難備份和恢復(fù)，保障數(shù)據(jù)安全。沃云三種云存儲產(chǎn)品比較：存儲類型彈性塊存儲文件存儲對象存儲訪問方式本地虛擬磁盤遠程文件系統(tǒng)HTTP訪問，通過標準AmazonS3接口與云主機綁定綁定不綁定不綁定性能情況帶寬高、延時小、I/O高帶寬高、延時較大,隨機小I/O低-易擴充性低高高應(yīng)用場景局域網(wǎng)、對性能要求高，頻繁的數(shù)據(jù)修改和讀取，如數(shù)據(jù)庫。局域網(wǎng)，文件共享程度高，對性能要求不高，海量數(shù)據(jù)存儲。廣域網(wǎng)，可隨時通過Internet直接訪問和修改存儲數(shù)據(jù)。沃云三種云存儲產(chǎn)品對比圖支持多主機訪問文件存儲技術(shù)是將分布獨立的數(shù)據(jù)整合為大型集中化管理的數(shù)據(jù)中心，以面向多個不同彈性云主機提供訪問。文件存儲類似于一個專用的文件服務(wù)器，為數(shù)據(jù)存檔和備份提供安全耐用的大規(guī)模數(shù)據(jù)存儲服務(wù)，且可以無限擴容。低成本文件存儲沒有前期投資負擔，無需自己部署和維護自己的文件存儲系統(tǒng)，只需按已使用的容量付費，因而節(jié)省了資金。安全性文件以多副本方式存儲，可防止文件因單點故障導(dǎo)致無法及時訪問或丟失損壞，同時也存儲在一個設(shè)施內(nèi)的多個設(shè)備上。無限擴展文件存儲提供基于分布式架構(gòu)的大規(guī)模數(shù)據(jù)存儲服務(wù)，可進行擴展以滿足的不斷增長且通常無法預(yù)測的存儲要求，文件存儲會根據(jù)客戶的存儲容量自動擴展，文件存儲的容量沒有上限。掛載多個存儲實例彈性塊存儲提供了持久化的、獨立于主機生命周期的、高可用的塊存儲設(shè)備服務(wù)，彈性塊存儲可以掛載在任意一個運行中的主機上，彈性塊存儲結(jié)合彈性云主機使用，使數(shù)據(jù)更安全、更具靈活性，特別適合需要建立數(shù)據(jù)庫、文件系統(tǒng)或可訪問原始數(shù)據(jù)塊級存儲的應(yīng)用，節(jié)約成本無需采購存儲設(shè)備，存儲空間可自由定制，產(chǎn)生的費用按彈性塊存儲的使用時間和使用容量來計算。靈活部署創(chuàng)建后即可對彈性塊存儲進行掛載實現(xiàn)快速部署，每塊彈性塊存儲可以掛載到任意一臺云主機上，兩者具有不同的生命周期，當云主機被刪除時，彈性塊存儲數(shù)據(jù)仍然存在，并可以掛載到其它的云主機上繼續(xù)使用。按需使用可申請多個彈性塊存儲，每塊彈性塊存儲申請的最大空間可至2T，可以隨著業(yè)務(wù)的增大對塊存儲彈性擴展存儲空間，也可以為主機掛載更多的彈性塊存儲，不再使用時可通過簡單的web操作進行刪除。安全可靠7x24小時貼心服務(wù)，每份彈性塊存儲數(shù)據(jù)在后臺都存有多分冗余并實時同步，保證安全及傳輸效率。云安全虛擬化安全產(chǎn)品虛擬安全網(wǎng)關(guān)虛擬安全網(wǎng)關(guān)的設(shè)計是基于成熟的安全操作系統(tǒng)TOS,可以為用戶提供TOS硬件網(wǎng)關(guān)產(chǎn)品所有的安全功能，包括訪問控制、攻擊防御、病毒防御、應(yīng)用控制、身份認證、日志審計等，同時對系統(tǒng)進行深度優(yōu)化和改造以減少開啟各安全引擎后帶來的性能降低，保證用戶網(wǎng)絡(luò)的安全性。虛擬安全網(wǎng)關(guān)核心技術(shù)及實現(xiàn)此解決方案是將TOS系統(tǒng)軟件作為一個虛擬機來運行，通過對Vswitch的配置調(diào)整將需要進行安全檢查的流量指向虛擬安全網(wǎng)關(guān)來完成相應(yīng)的安全檢查和流量監(jiān)控審計等；并針對vmware的虛擬網(wǎng)卡驅(qū)動進行優(yōu)化，使TOS系統(tǒng)在虛擬化平臺上依然具有硬件防火墻的性能。VEB解決方案采用此方案的優(yōu)勢主要有：基于主機安裝和管理，虛擬機無需安裝代理多層次分級別的安全防護實現(xiàn)網(wǎng)絡(luò)流量可視化和可審計化各虛擬機間報文轉(zhuǎn)發(fā)性能高，延遲低節(jié)省接入層物理交換設(shè)備與現(xiàn)有標準兼容性好集中管理在虛擬化產(chǎn)品和技術(shù)廣泛部署和使用后，各種設(shè)備的管理和狀態(tài)監(jiān)控問題也日益突出，沃云虛擬安全網(wǎng)關(guān)產(chǎn)品的推出，使得集中管理對于虛擬機的數(shù)據(jù)訪問和運行狀態(tài)的監(jiān)控也變?yōu)榭尚小＜泄芾聿粌H可以對傳統(tǒng)的網(wǎng)絡(luò)設(shè)備、安全設(shè)備進行統(tǒng)一管理和監(jiān)控，對的虛擬安全網(wǎng)關(guān)產(chǎn)品也可以進行統(tǒng)一管理、部署、監(jiān)控和策略下發(fā)。另外通過對全網(wǎng)設(shè)備集中的管理和監(jiān)控、攻擊行為的分析后，找出安全威脅和漏洞，發(fā)現(xiàn)網(wǎng)絡(luò)脆弱點和安全短板，加強安全策略的應(yīng)用并檢驗安全策略應(yīng)用效果，從而構(gòu)成安全閉環(huán)。集中審計同樣由于虛擬安全網(wǎng)關(guān)產(chǎn)品的推出，使得安全審計也成為可能，虛擬機之間的所有訪問日志和安全性問題都可以通過虛擬安全網(wǎng)關(guān)以日志形式發(fā)送到外部服務(wù)器，由外部的集中審計產(chǎn)品來完相關(guān)的審計和報表的生成處理。集中授權(quán)對于來自虛擬機外部和內(nèi)部的訪問授權(quán)也是虛擬安全網(wǎng)關(guān)產(chǎn)品的一個重要功能，未經(jīng)認證的用戶訪問不同虛擬機資源時必須經(jīng)過虛擬安全網(wǎng)關(guān)的認證后才可以訪問相關(guān)指定資源，認證服務(wù)器可以統(tǒng)一部署、集中認證。隨著云計算和虛擬化普及，越來越多的企業(yè)和用戶開始將云定義為IT系統(tǒng)面向未來轉(zhuǎn)型的重要方向，隨之而來的虛擬化安全也面臨著嚴峻的考驗。中國聯(lián)通憑借著敏銳的市場洞察力和深厚的技術(shù)積累，推出的虛擬化整體安全解決方案，使用戶在充分發(fā)揮虛擬化所帶來的優(yōu)勢，實現(xiàn)經(jīng)營成本的降低的同時，為用戶保障各業(yè)務(wù)系統(tǒng)的安全穩(wěn)定運行。其他安全產(chǎn)品網(wǎng)絡(luò)安全審計沃云平臺提供完善的日志審計體系，不論是四川省政務(wù)云外部應(yīng)用云平臺還是內(nèi)部應(yīng)用云平臺在核心區(qū)均配置日志審計服務(wù)器，日志審計的范圍包括通訊日志、訪問日志、內(nèi)容日志等。 沃云平臺日志的收集審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信息，通過系統(tǒng)中獨立的的監(jiān)控日志系統(tǒng)實現(xiàn)。沃云平臺的日志分析體系也通過日志審計服務(wù)器來進行，并生成審計報表，通過系統(tǒng)中獨立的的安全審計系統(tǒng)實現(xiàn)。 沃云平臺通過邊界防火墻、入侵檢測和VPN通道，確保日志審計服務(wù)器不會被侵入，并規(guī)定日志審計服務(wù)器操作權(quán)限實施必須經(jīng)兩個崗位確認，確保單人的誤操作導(dǎo)致數(shù)據(jù)損壞或丟失。VPN安全接入沃云平臺會對非授權(quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進行排查，并通過端口控制來準確定出位置，并依據(jù)云平臺安全管理機制對非授權(quán)接入設(shè)備的通訊進行有效阻斷；為四川省政務(wù)云提供服務(wù)的機房本身只有指定機房維護人員可以進入；而四川省政務(wù)云各辦公地點訪問請求，則通過部署MAC地址綁定和防止ARP欺騙的安全設(shè)備進行接入控制；VPN接入的遠程終端，通過物理的動態(tài)密碼口令卡限制其訪問。沃云平臺通過云內(nèi)提供的SSLVPN集中器為遠程VPN撥入終端用戶提供SSLVPN通道，實現(xiàn)對內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)的訪問控制。通信保密性，通過網(wǎng)絡(luò)分區(qū)設(shè)計和各個專線的接入實現(xiàn)。云提供遠程專線接入，四川省政務(wù)云及其下屬各級機構(gòu)的終端用戶采用四川省政務(wù)云內(nèi)網(wǎng)接入實現(xiàn)對內(nèi)網(wǎng)的訪問，同時配合本項目軟件開發(fā)部分開發(fā)的系統(tǒng)進行通信完整性、保密性的保證。此外，通信完整性和應(yīng)用系統(tǒng)關(guān)系密切，應(yīng)用系統(tǒng)的服務(wù)器端和客戶間的通信在應(yīng)用系統(tǒng)開發(fā)中采用SSL通訊加密和數(shù)字證書技術(shù)，實現(xiàn)通信保密和抗抵賴能力。入侵防御系統(tǒng)沃云平臺在網(wǎng)絡(luò)邊界處通過部署在內(nèi)外部核心區(qū)的入侵檢測系統(tǒng)監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲攻擊等；當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目的、攻擊時間，在發(fā)生嚴重入侵事件時應(yīng)提供報警。通過在網(wǎng)絡(luò)邊界部署入侵防護系統(tǒng)來實現(xiàn)對網(wǎng)絡(luò)攻擊的防范；為安全管理中心提供重要的安全事件數(shù)據(jù)，為整體的安全態(tài)勢分析和安全事件的事后取證和定位提供重要依據(jù)。這里針對業(yè)務(wù)服務(wù)器區(qū)域邊界，入侵防護系統(tǒng)將執(zhí)行以下的安全策略：1、防范網(wǎng)絡(luò)攻擊事件：入侵防護系統(tǒng)采用細粒度檢測技術(shù)，協(xié)議分析技術(shù)，誤用檢測技術(shù)，協(xié)議異常檢測，可有效防止各種攻擊和欺騙。針對端口掃描類、木馬后門、緩沖區(qū)溢出、IP碎片攻擊等，入侵防護系統(tǒng)可在網(wǎng)絡(luò)邊界處進行監(jiān)控和阻斷。2、防范拒絕服務(wù)攻擊：入侵防護系統(tǒng)在防火墻進行邊界防范的基礎(chǔ)上，工作在網(wǎng)絡(luò)的關(guān)鍵環(huán)節(jié)，能夠應(yīng)付各種SNA類型和應(yīng)用層的強力攻擊行為,包括消耗目的端的各種資源如網(wǎng)絡(luò)帶寬、系統(tǒng)性能等攻擊，主要防范的攻擊類型有TCPFlood，UDPFlood，SYNFlood，PingAbuse等；3、審計、查詢策略：入侵防護系統(tǒng)能夠完整記錄多種應(yīng)用協(xié)議（HTTP、FTP、SMTP、POP3、TELNET等）的內(nèi)容。記錄內(nèi)容包括，攻擊源IP、攻擊類型、攻擊目標、攻擊時間等信息，并按照相應(yīng)的協(xié)議格式進行回放，清楚再現(xiàn)入侵者的攻擊過程，重現(xiàn)內(nèi)部網(wǎng)絡(luò)資源濫用時泄漏的保密信息內(nèi)容。同時必須對重要安全事件提供多種報警機制。4、網(wǎng)絡(luò)檢測策略：在檢測過程中入侵防護系統(tǒng)綜合運用多種檢測手段，在檢測的各個部分使用合適的檢測方式，采取基于特征和基于行為的檢測，對數(shù)據(jù)包的特征進行分析，有效發(fā)現(xiàn)網(wǎng)絡(luò)中異常的訪問行為和數(shù)據(jù)包；5、監(jiān)控管理策略：入侵防護系統(tǒng)提供人性化的控制臺，提供初次安裝探測器向?qū)?、探測器高級配置向?qū)?、報表定制向?qū)У?，易于用戶使用。一站式管理結(jié)構(gòu)，簡化了配置流程。強大的日志報表功能，用戶可定制查詢和報表。6、異常報警策略：入侵防護系統(tǒng)通過報警類型的制定，明確哪類事件，通過什么樣的方式，進行報警，可以選擇的包括聲音、電子郵件、消息。7、阻斷策略：由于入侵防護系統(tǒng)串聯(lián)在保護區(qū)域的邊界上，系統(tǒng)在檢測到攻擊行為后，能夠主動進行阻斷，將攻擊來源阻斷在安全區(qū)域之外，有效保障各類業(yè)務(wù)應(yīng)用的正常開展，這里包括數(shù)據(jù)采集業(yè)務(wù)和信息發(fā)布業(yè)務(wù)；邊界防護系統(tǒng)部署效果：通過在網(wǎng)站發(fā)布服務(wù)器區(qū)域邊界部署防火墻、入侵防護系統(tǒng)、防病毒網(wǎng)關(guān)系統(tǒng)來實現(xiàn)對網(wǎng)絡(luò)攻擊的防范，即可以有效檢測并實時阻斷隱藏在海量網(wǎng)絡(luò)中的病毒、攻擊與濫用行為，也可以對分布在網(wǎng)絡(luò)中的各種流量進行有效管理，從而達到對網(wǎng)絡(luò)架構(gòu)防護、網(wǎng)絡(luò)性能保護和核心應(yīng)用防護。數(shù)據(jù)庫安全審計沃云平臺通過在內(nèi)部應(yīng)用云平臺及外部應(yīng)用云平臺部署專門的日志審計服務(wù)器和數(shù)據(jù)庫審計服務(wù)器為應(yīng)用系統(tǒng)提供覆蓋到每個用戶的安全審計功能，配合本項目第一包的軟件開發(fā)部分，對應(yīng)用系統(tǒng)重要安全事件進行審計。通過專門部署在安全管理區(qū)內(nèi)的上述日志審計服務(wù)器和數(shù)據(jù)庫審計服務(wù)器，保證公眾用戶或一般內(nèi)網(wǎng)用戶（信任用戶）無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄。上述日志審計服務(wù)器和數(shù)據(jù)庫審計服務(wù)器負責的審計記錄的內(nèi)容包括事件的日期、時間、發(fā)起者信息、類型、描述和結(jié)果等。通過上述日志審計服務(wù)器和數(shù)據(jù)庫審計服務(wù)器可提供對審計記錄數(shù)據(jù)進行統(tǒng)計、查詢、分析及生成審計報表的功能。堡壘機網(wǎng)絡(luò)審計系統(tǒng)是安全管理體系的重要組成部分，部署在單位的內(nèi)部網(wǎng)絡(luò)中，用于保護單位內(nèi)部資源和網(wǎng)絡(luò)的安全性。網(wǎng)絡(luò)審計系統(tǒng)應(yīng)用了目前先進的技術(shù)作為支持，針對企業(yè)內(nèi)部核心服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用進行保護，對此類資產(chǎn)的常用訪問方式進行監(jiān)控和審計，例如對字符終端、圖形終端等訪問方式進行監(jiān)控和審計，實現(xiàn)對用戶行為的控制、追蹤、判定，滿足四川省政務(wù)云網(wǎng)絡(luò)對安全性的要求。防火墻通過在門戶網(wǎng)站網(wǎng)絡(luò)各個節(jié)點執(zhí)行隔離和訪問控制措施，將大大提升計算環(huán)境的安全性，有效防范非法的訪問。采用防火墻實現(xiàn)基于數(shù)據(jù)包的源地址、目的地址、通信協(xié)議、端口、流量、用戶、通信時間等信息，執(zhí)行嚴格的訪問控制。功能及策略1、安全域隔離：防火墻部署接入交換機之后，并提供多個端口，分別連接在DMZ區(qū)和內(nèi)部局域網(wǎng)核心交換機上。2、訪問控制策略：防火墻工作在不同安全區(qū)域之間，對各個安全區(qū)域之間流轉(zhuǎn)的數(shù)據(jù)進行深度分析，依據(jù)數(shù)據(jù)包的源地址、目的地址、通信協(xié)議、端口，進行判斷，確定是否存在非法或違規(guī)的操作，并進行阻斷，從而有效保障了各個重要的計算環(huán)境。3、會話監(jiān)控策略：在防火墻配置會話監(jiān)控策略，當會話處于非活躍一定時間或會話結(jié)束后，防火墻自動將會話丟棄，訪問來源必須重新建立會話才能繼續(xù)訪問資源。4、網(wǎng)絡(luò)防攻擊控制策略：防止ARP欺騙，防沖擊波等。實現(xiàn)效果：滿足等級保護的訪問控制，結(jié)構(gòu)安全等基本要求。防病毒網(wǎng)關(guān)與主機、服務(wù)器防病毒軟件不同，防病毒網(wǎng)關(guān)運行在區(qū)域邊界上，分析進入網(wǎng)絡(luò)的來自互聯(lián)網(wǎng)和內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，對其中的惡意代碼進行查殺，防止病毒在網(wǎng)絡(luò)中的傳播。有些病毒在網(wǎng)絡(luò)中傳播（比如蠕蟲病毒），在沒有感染到主機時，對網(wǎng)絡(luò)已經(jīng)造成危害，而病毒過濾模塊針對這些病毒產(chǎn)生的掃描數(shù)據(jù)包，在邊界處就過濾了這些無用的數(shù)據(jù)包，從而為網(wǎng)絡(luò)創(chuàng)造一個安全的環(huán)境。防病毒網(wǎng)關(guān)與部署在網(wǎng)站服務(wù)器上的防病毒軟件相配合，從而形成覆蓋全面，分層防護的多級病毒過濾系統(tǒng)，防病毒網(wǎng)關(guān)執(zhí)行以下的安全策略：功能及策略1、病毒過濾策略：防病毒網(wǎng)關(guān)對SMTP、POP3、IMAP、HTTP和FTP等應(yīng)用協(xié)議進行病毒掃描和過濾，通過惡意代碼特征過濾，對病毒、木馬、蠕蟲以及移動代碼進行過濾、清除和隔離，有效地防止可能的病毒威脅，將病毒阻斷在敏感數(shù)據(jù)處理區(qū)域之外。2、惡意代碼防護策略：防病毒網(wǎng)關(guān)支持對數(shù)據(jù)內(nèi)容進行檢查，可以采用關(guān)鍵字過濾，URL過濾等方式來阻止非法數(shù)據(jù)進入敏感數(shù)據(jù)處理區(qū)域，同時支持對Java等小程序進行過濾等，防止可能的惡意代碼進入敏感數(shù)據(jù)處理區(qū)；此外，防火墻也支持對移動代碼如Vbscript、JAVAscript、ActiveX、Applet的過濾，能夠防范利用上述代碼編寫的惡意腳本。3、蠕蟲防范策略：防病毒網(wǎng)關(guān)可以實時檢測到日益泛濫的蠕蟲攻擊，并對其進行實時阻斷，從而有效防止信息網(wǎng)絡(luò)因遭受蠕蟲攻擊而陷于癱瘓。4、病毒庫升級策略：防病毒網(wǎng)關(guān)支持自動和手動兩種升級方式，在自動方式下，系統(tǒng)可自動到互聯(lián)網(wǎng)上的廠家網(wǎng)站搜索最新的病毒庫和病毒引擎，進行及時的升級。5、日志策略：防病毒網(wǎng)關(guān)提供完整的病毒日志、訪問日志和系統(tǒng)日志等記錄，這些記錄能夠被部署在三級計算環(huán)境中的日志審計系統(tǒng)所收集。實現(xiàn)效果滿足等級保護惡意代碼防護的基本要求。Web應(yīng)用防火墻Web服務(wù)還是要對外開放的，也就是說HTTP及HTTP服務(wù)的端口需要開放，只要WEB服務(wù)開放，WEB系統(tǒng)就會出現(xiàn)諸多WEB層面的安全問題。Web應(yīng)用防火墻的就是解決這方面的難題，從應(yīng)用層面阻止web攻擊行為。在網(wǎng)站前端邊界部署web應(yīng)用防火墻，它能阻止的攻擊包括：SQL注入攻擊XSS攻擊盜鏈攻擊爬蟲惡意掃描保護Web服務(wù)器的相關(guān)重要配置文件不被篡改；防止掛馬攻擊或后門程序運行。網(wǎng)閘按照等級保護基本要求應(yīng)按照信息系統(tǒng)的業(yè)務(wù)類別、安全等級保護等因素，劃分為不同的安全域；在本方案中，網(wǎng)閘采用雙機熱備的方式部署于托管云域與私有云域的邊界連接處，將整個網(wǎng)絡(luò)有效地進行安全域隔離，可以實現(xiàn)所需要的安全控制、防病毒、抗拒絕服務(wù)攻擊。網(wǎng)閘的主要功能包括安全Web瀏覽功能網(wǎng)閘的Web瀏覽有兩種工作狀態(tài)：客戶端保護狀態(tài)和服務(wù)端保護狀態(tài)。Web客戶端保護狀態(tài)的主要目的是保護內(nèi)網(wǎng)用戶不受到外網(wǎng)Web站點上有害內(nèi)容的侵擾，本工作狀態(tài)對應(yīng)于受控通道的代理工作模式；而服務(wù)端保護狀態(tài)的主要目的是保護內(nèi)網(wǎng)Web服務(wù)器不受外來訪問的惡意攻擊，本工作狀態(tài)對應(yīng)于受控通道的轉(zhuǎn)發(fā)工作模式。除了基本的配置之外，網(wǎng)閘的該業(yè)務(wù)功能加入了多種安全策略供管理員配置，具體包括：支持Http和Https協(xié)議；支持訪問控制對象：源地址、目標地址、源端口、目的端目、域名、URL、訪問方式、時間等；支持腳本過濾，如Javascript、Applet、Activex等；支持基于用戶名、口令的認證機制；支持關(guān)鍵字過濾（采用自主研發(fā)的下推自動機的高效過濾算法）；支持網(wǎng)頁獲取方式和提交方式控制。安全郵件收發(fā)功能網(wǎng)閘在處理郵件相關(guān)協(xié)議時，可將其看作一個安全的郵件信息交換平臺，用戶可以使用常見的郵件客戶端工具（如outlook和foxmail）來設(shè)置在互聯(lián)網(wǎng)上的公共郵箱，以便實現(xiàn)郵件信息交換。網(wǎng)閘的業(yè)務(wù)功能的處理中加入了多種保護郵件的策略設(shè)置，具體包括：支持POP3、SMTP協(xié)議；支持郵件的主題及內(nèi)容過濾，可以有效地防止內(nèi)部機密信息的泄漏；支持郵件大小控制，可限制大附件的郵件；支持郵件附件類型的控制；支持郵件中可執(zhí)行的腳本過濾；支持發(fā)送地址、收件地址過濾；限制垃圾郵件，保護用戶不受垃圾郵件的干擾；支持IP、MAC等地址過濾；支持郵件病毒查殺功能。FTP文件交換功能網(wǎng)閘提供的FTP協(xié)議通道主要保護內(nèi)網(wǎng)FTP服務(wù)器不受攻擊。除受控通道的基本安全支持外，F(xiàn)TP協(xié)議還可對使用FTP通道傳輸?shù)膬?nèi)容進行過濾，包括病毒等惡意代碼的查殺。支持主動模式和被動模式；支持FTP命令過濾；支持文件類型、文件大小的控制；支持文件內(nèi)容過濾；支持病毒查殺；IP地址、MAC等地址過濾。數(shù)據(jù)庫訪問功能網(wǎng)閘的數(shù)據(jù)庫訪問功能提供在內(nèi)外網(wǎng)隔離的環(huán)境下，實現(xiàn)內(nèi)外網(wǎng)之間的數(shù)據(jù)庫訪問。支持常見數(shù)據(jù)庫的訪問，如Oracle、SqlServer、DB2、SyBase、MySql等；支持Sql語句控制；支持IP地址、MAC等地址過濾；支持操作時間限制，設(shè)定特定時間訪問數(shù)據(jù)庫操作。文件同步功能網(wǎng)閘的文件同步功能能夠?qū)崿F(xiàn)兩個網(wǎng)絡(luò)間的文件實時交換功能，可跨平臺部署?；趯Ｓ每蛻舳颂峁┌踩奈募焦δ?，占用系統(tǒng)資源少，文件交換效率高，不會頻繁的進行磁盤掃描；支持windows平臺和linux平臺；同步傳輸方向可控，雙向或單向；支持實時掃描傳輸；支持一對多或多對一傳輸；支持目錄內(nèi)子目錄同步，至多支持32級目錄；支持中文文件名或目錄同步；支持文件類型控制；文件大小過濾；文件內(nèi)容過濾；支持病毒查殺。數(shù)據(jù)庫同步功能網(wǎng)閘的數(shù)據(jù)庫同步功能通過靈活的同步機制，保證不同安全等級網(wǎng)絡(luò)中的數(shù)據(jù)庫中數(shù)據(jù)的實時同步更新，具體包括：支持各種同構(gòu)或異構(gòu)的關(guān)系數(shù)據(jù)庫之間的數(shù)據(jù)交換，如Oracle、Sybase、SQLServer、DB2等，另外，還支持數(shù)據(jù)庫到文件、文件到數(shù)據(jù)庫、文件到文件的數(shù)據(jù)交換；支持異構(gòu)數(shù)據(jù)結(jié)構(gòu)以及代碼語義的轉(zhuǎn)換規(guī)則定義，并實現(xiàn)源數(shù)據(jù)到目標數(shù)據(jù)之間的實時數(shù)據(jù)交換，支持數(shù)據(jù)整合業(yè)務(wù)；支持數(shù)據(jù)一對一、一對多、多對多的單向或雙向交換和同步，支持實時交換或定時同步的策略定義；支持數(shù)據(jù)庫記錄以增量方式、全表復(fù)制方式、標識方式同步；支持二進制普通文件、圖片、文本文件等大字段同步；采用XML技術(shù)，具有可配置性。可以通過標準定義、規(guī)則定義、通道定義和路由定義進行個性化的數(shù)據(jù)交換策略定義。網(wǎng)頁防篡改系統(tǒng)針對系統(tǒng)需要對眾多用戶提供訪問服務(wù)，這類系統(tǒng)均為web系統(tǒng)。由于這些系統(tǒng)會連接互聯(lián)網(wǎng)，自然帶來很多的不安全隱患，為了保障WEB系統(tǒng)的安全性，需要部署主頁防篡改系統(tǒng)，實現(xiàn)對發(fā)布網(wǎng)站的實時監(jiān)控，一旦發(fā)現(xiàn)網(wǎng)站內(nèi)容被非法更改，可立即恢復(fù)。部署位置為門戶網(wǎng)站及所有的web應(yīng)用系統(tǒng)上。采用管理區(qū)域的一個虛擬主機安裝安理中心。在服務(wù)器上安裝監(jiān)控Agent。在虛擬主機安裝管理客戶端防篡改管理客戶端實現(xiàn)對網(wǎng)站的管理，包括手工同步、刪除文件、上傳文件、下載文件。將可信備份目錄與監(jiān)控發(fā)布端目錄進行同步，此后所有的網(wǎng)站內(nèi)容更新和維護均在備份端實現(xiàn)，系統(tǒng)將會自動將備份端內(nèi)容自動增量同步至發(fā)布目錄。被保護目錄的下面某個子文件夾需要進行日常維護，或網(wǎng)站日志文件，這部分被認為是動態(tài)變化的，需要在被保護目錄里面加以排除。流量控制系統(tǒng)聯(lián)通沃云流量控制系統(tǒng)主要功能是應(yīng)用流量監(jiān)控分析，通過透明部署后，能夠?qū)崟r顯示整網(wǎng)的網(wǎng)絡(luò)應(yīng)用情況，并能夠根據(jù)網(wǎng)絡(luò)應(yīng)用做多層次應(yīng)用的帶寬管理，其中包括帶寬限制、帶寬預(yù)留、帶寬保證三種機制，是新一代應(yīng)用層流量管理系統(tǒng)。聯(lián)通沃云流量控制系統(tǒng)在實際應(yīng)用中，對大流量環(huán)境，著力表現(xiàn)為P2P流量的精細化管理；而對于政府網(wǎng)絡(luò)，更偏重于流量的優(yōu)先級分配及對視頻、P2P的限制，同時兼顧對各種事件進行關(guān)聯(lián)管理；對于有少量P2P控制需求的企業(yè)應(yīng)用來說，對P2P的控制精度要求不是很高，更強調(diào)帶寬保證及業(yè)務(wù)的優(yōu)先級保證。聯(lián)通沃云流量控制系統(tǒng)不但能準確識別各種應(yīng)用及流量，而且對流量可進行精細化的管理，為用戶提供了應(yīng)用監(jiān)視、流量分析、流量管理、流量統(tǒng)計、流量管理控制等功能，是一套真正改善用戶網(wǎng)絡(luò)性能的整體解決方案。漏洞掃描系統(tǒng)聯(lián)通沃云脆弱性掃描與管理系統(tǒng)是四川聯(lián)通基于多年網(wǎng)絡(luò)安全產(chǎn)品研發(fā)經(jīng)驗推出的包括應(yīng)用檢測、漏洞掃描、弱點識別、風(fēng)險分析、綜合評估的脆弱性掃描與管理評估產(chǎn)品。漏洞掃描系統(tǒng)不但可分析和指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測系統(tǒng)的薄弱環(huán)節(jié)，給出詳細的檢測報告，并針對檢測到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補措施和安全建議。漏洞掃描系統(tǒng)為提高內(nèi)部網(wǎng)絡(luò)安全防護性能和抗破壞能力，檢測評估已運行網(wǎng)絡(luò)的安全性能，為網(wǎng)絡(luò)系統(tǒng)管理員提供實時安全建議提供一種有效實用的脆弱性評估工具。漏洞掃描系統(tǒng)采用B/S設(shè)計架構(gòu)，支持以獨立或以分布的方式靈活的部署在客戶的網(wǎng)絡(luò)內(nèi)。分布式部署支持兩級和兩級以上的分布式、分層部署，能夠同時管理多個掃描引擎，并對掃描引擎的掃描結(jié)果信息可以集中查詢、分析；支持上下級單位消息發(fā)布、接收，補丁發(fā)布，補丁下載等，漏洞掃描系統(tǒng)有利于網(wǎng)絡(luò)管理員交流，共享補丁庫，共享信息，保障整體安全。漏洞掃描系統(tǒng)采用先進的掃描引擎，集合了智能服務(wù)識別、多重服務(wù)檢測、腳本依賴、腳本智能調(diào)度、信息動態(tài)拋出、安全掃描、優(yōu)化掃描、拒絕服務(wù)腳本順序掃描、斷點恢復(fù)等先進技術(shù)，確保了掃描的高準確性、高速度。漏洞掃描系統(tǒng)的掃描引擎采用基于主機、目標的漏洞、網(wǎng)絡(luò)、應(yīng)用的檢測技術(shù)，最大限度的增強漏洞識別的精度。漏洞掃描系統(tǒng)采用基于應(yīng)用的檢測技術(shù)，被動的非破壞性的辦法檢查應(yīng)用軟件包的設(shè)置，發(fā)現(xiàn)安全漏洞。采用基于主機的檢測技術(shù)，被動的非破壞性的辦法檢測系統(tǒng)的內(nèi)核，文件的屬性，操作系統(tǒng)的補丁等問題。這種技術(shù)還包括口令解密，把一些簡單的口令剔除。因此，這種技術(shù)可以非常準確的定位系統(tǒng)的問題，發(fā)現(xiàn)系統(tǒng)的漏洞。采用基于目標的漏洞檢測技術(shù)，被動的非破壞性的辦法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫，注冊號等。通過消息文摘算法，對文件的加密數(shù)進行檢驗。技術(shù)實現(xiàn)通過在一個運行的閉環(huán)上，不斷地處理文件，系統(tǒng)目標，系統(tǒng)目標屬性，然后產(chǎn)生檢驗數(shù)，把這些檢驗數(shù)同原來的檢驗數(shù)相比較，發(fā)現(xiàn)改變即通知管理員。采用基于網(wǎng)絡(luò)的檢測技術(shù)，積極的非破壞性的辦法來檢驗系統(tǒng)被攻擊崩潰的可能性。利用一系列的腳本模擬對系統(tǒng)進行攻擊的行為，然后對結(jié)果進行分析，針對已知的網(wǎng)絡(luò)漏洞進行檢驗。網(wǎng)絡(luò)檢測技術(shù)常被用于發(fā)現(xiàn)一系列平臺的漏洞，穿透實驗和安全審計，使漏洞掃描系統(tǒng)成為輔助網(wǎng)絡(luò)系統(tǒng)管理員進行穿透實驗，安全審計，提供實時安全建議的有效脆弱性評估工具。安全管理平臺聯(lián)通沃云安全管理系統(tǒng)是針對新興市場推出的一款全新產(chǎn)品。系統(tǒng)采用全新的架構(gòu)設(shè)計，功能簡潔、部署方便、使用簡單。平臺能夠?qū)崟r不間斷的采集來自不同廠商的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機、操作系統(tǒng)、數(shù)據(jù)庫以及各類業(yè)務(wù)系統(tǒng)的包括日志、運行狀態(tài)等各類海量安全信息數(shù)據(jù)，并對海量原始數(shù)據(jù)進行高效存儲，是一款針對政府、公安、金融、教育、能源、軍工、醫(yī)療、大中小型企業(yè)等用戶提供符合國家等保以及各種行業(yè)法律法規(guī)要求而量身打造的一款簡單、易用的針對IT設(shè)備與系統(tǒng)的綜合監(jiān)控與審計系統(tǒng)。聯(lián)通沃云安全管理系統(tǒng)采用全新的架構(gòu)設(shè)計，功能簡潔、部署方便、使用簡單。此外，系統(tǒng)還提供強大的可擴展接口，不斷擴展系統(tǒng)的安全信息收集與安全事件分析能力，實現(xiàn)了可持續(xù)發(fā)展，保障客戶投資，是目前國內(nèi)信息安全管理最佳輕量級解決方案。聯(lián)通沃云安全管理系統(tǒng)基于SOA架構(gòu)設(shè)計，采用B/S管理模式。整個系統(tǒng)由設(shè)備狀態(tài)實時監(jiān)視、數(shù)據(jù)采集與處理、海量數(shù)據(jù)高效數(shù)據(jù)存儲、安全事件實時關(guān)聯(lián)分析、安全事件告警響應(yīng)、綜合報表統(tǒng)計分析以及系統(tǒng)管理等子系統(tǒng)構(gòu)成。災(zāi)備系統(tǒng)介紹沃云災(zāi)備軟件系統(tǒng)共分為三部分：工作機模塊、災(zāi)備機模塊、控制機模塊。工作機(Worknode)指的是用戶的生產(chǎn)機，即常說的源端(Source)；災(zāi)備機(Backnode)指的是存放災(zāi)備數(shù)據(jù)的遠程服務(wù)器，即常說的目標端(Target)；控制機(Ctrcenter)則指的是災(zāi)備軟件系統(tǒng)的控制平臺所屬的服務(wù)器，在控制機上部署完災(zāi)備軟件的控制模塊后，由于災(zāi)備軟件的控制模塊是通過Web界面實現(xiàn)配置和管理的，所以任何一臺主機只要能通過瀏覽器連接到控制機，則可進行相關(guān)的管理工作。核心功能鏡像（Mirror）--初始化拷貝數(shù)據(jù)到災(zāi)備機/選擇時間校驗或嚴格校驗方式比較兩端數(shù)據(jù)，將剩余數(shù)據(jù)同步到災(zāi)備機。實時復(fù)制（Replication）--實時捕捉工作機監(jiān)控目錄的數(shù)據(jù)變化，將變化的數(shù)據(jù)以字節(jié)級同步到災(zāi)備機。定時備份（Backup）--在某個固定的時間定時備份需要保護的數(shù)據(jù)，如每天晚上12:00，每周五17：00對需要保護的數(shù)據(jù)進行備份，其他時間則不做備份。整機備份及恢復(fù)（FullServerBackup）--對整個生產(chǎn)系統(tǒng)進行備份保護，包括應(yīng)用程序，數(shù)據(jù)，以及相關(guān)的所有配置信息等，異常時將備份恢復(fù)成一臺新的服務(wù)器對外提供服務(wù)?；謴?fù)（Recovery）--恢復(fù)災(zāi)備機上的備份數(shù)據(jù)到任意一臺工作機上，并支持CDP數(shù)據(jù)恢復(fù)，快照恢復(fù)。整機遷移恢復(fù)--i2利用實時數(shù)據(jù)移動和硬件無關(guān)的轉(zhuǎn)換技術(shù)提供獨創(chuàng)的遷移流程，操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)都可以在不同廠商、型號和配置的服務(wù)器輕松移動，可遷移恢復(fù)到驅(qū)動、CPU和內(nèi)存和生產(chǎn)服務(wù)器完全不同的物理或虛擬服務(wù)器上。I2在遷移過程中生產(chǎn)系統(tǒng)無需停機，且將數(shù)據(jù)從生產(chǎn)服務(wù)器鏡像到新服務(wù)器過程中，對生產(chǎn)系統(tǒng)的正常操作無任何影響，且可在不影響生產(chǎn)系統(tǒng)正常運行的情況下，實時驗證遷移是否成功。技術(shù)原理軟件通過旁路式監(jiān)聽源端的數(shù)據(jù)變化，以字節(jié)級增量數(shù)據(jù)捕捉方式，將生產(chǎn)端變化的數(shù)據(jù)復(fù)制到災(zāi)備中心并將變化的數(shù)據(jù)實時地傳輸?shù)饺我饩嚯x外的災(zāi)備站點，且通過特有的數(shù)據(jù)序列化傳輸技術(shù)（DataOrderTransfer），嚴格保證生產(chǎn)系統(tǒng)和災(zāi)備中心數(shù)據(jù)的一致性和完整性。其具體實現(xiàn)原理如下圖：相關(guān)技術(shù)特點打開文件的復(fù)制無需系統(tǒng)停機重啟或應(yīng)用暫停，i2也可部署，即在應(yīng)用運行時在線部署i2軟件。為此，i2專門研發(fā)了針對打開文件的災(zāi)備保護功能，通過該功能，災(zāi)備代理可隨時部署，對生產(chǎn)系統(tǒng)無任何影響，保證了應(yīng)用運行的連續(xù)性。如某些應(yīng)用程序在使用其數(shù)據(jù)文件時，通常會以獨占方式打開該文件，如Outlook、DB2等類型的應(yīng)用均存在這種對文件的獨占訪問方式，在這種情況下，常規(guī)的備份程序（如系統(tǒng)自帶備份工具）就無法打開該文件進行日常備份，i2則能透明地對打開文件進行災(zāi)備保護。數(shù)據(jù)DoT同步技術(shù)文件系統(tǒng)的I/O操作通常是要求序列化的，因此這些操作日志也必須保持它原有的操作次序，尤其針對特殊類型的數(shù)據(jù)文件，如數(shù)據(jù)庫文件等，要求對數(shù)據(jù)的截獲、傳輸、存儲進行嚴格的按源序處理，否則將導(dǎo)致災(zāi)備后的數(shù)據(jù)庫不可用，i2采用獨有的DoT（DataOrderTransfer）技術(shù)，嚴格保證數(shù)據(jù)各個環(huán)節(jié)的按序傳輸和處理，從而保證數(shù)據(jù)的一致性。截獲模塊在I/O操作被截獲時的次序是序列化的，在內(nèi)核態(tài)的截獲模塊向用戶態(tài)拷貝過程中或在網(wǎng)絡(luò)傳輸?shù)倪^程中由于拷貝的機制和線程調(diào)度的原因有可能導(dǎo)致這種次序被打亂，這種次序被打亂會破壞數(shù)據(jù)的一致性。源端工作機為保證I/O操作被截獲時的次序真實正確地提供給災(zāi)備機，就需要在I/O操作被截獲時為每個操作日志進行序列化排序，災(zāi)備機收到I/O操作日志后對個別亂序通過日志記錄中的數(shù)字序號重新將I/O操作序列化，在和源端序列嚴格一致后再提交到災(zāi)備端寫入。系統(tǒng)在線備份恢復(fù)與遷移系統(tǒng)在線備份是指在操作系統(tǒng)正在運行時將系統(tǒng)（包括應(yīng)用及