概要设计精准扶贫.docx
《概要设计精准扶贫.docx》由会员分享,可在线阅读,更多相关《概要设计精准扶贫.docx(16页珍藏版)》请在冰豆网上搜索。
概要设计精准扶贫
沧州智慧城市建设办公室城市大数据中心建设项目
-精准扶贫系统概要设计文档
V1.0
版本修订历史
日期
作者/修订人
章节
修改内容
版本
2018.05.20
孙长成
V1.0
1引言
1.1文档概述
本概要设计说明书编写的目的是为设计系统提供技术理论以及框架设计支持。
本说明书的预期读者为系统设计人员、软件开发人员、软件测试人员和项目评审人员。
2项目概述
2.1项目背景
2013年,沧州市政府就已明确“智慧城市”发展方向和信息化需求,通过完善城市规划,为“智慧城市”的基础建设预留空间;协调各信息化主体关系,化解信息化推进过程的管理障碍;通过进一步加强“智慧城市”信息化基础建设,为智慧城市建设奠定了坚实的基础。
2015年10月,沧州市政府委托国内知名专家规划制定了《沧州市智慧城市建设顶层设计》,以国家智慧城市试点建设为契机,综合运用物联网、云计算、大数据等现代科学技术手段,发挥沧州市资源、港口、交通、特色文化及产业经济优势,通过3-5年努力,完善城乡基础设施,促进资源共享,实现基础设施智能化;建立完善的现代城市管理、产业融合发展体系,创新城市管理与发展,提升城市管理水平;以人为本,提升公共服务水平,促进社会事业进步与发展,城乡人民物质文化生活水平显著提高;遵循“优一强二增三”的产业发展思路,做强支柱产业,培育发展战略性新兴产业和现代服务业,促进产业结构调整,提升提高经济发展水平;形成智慧城市运营和服务体系,保障城市人口、经济、资源、环境和社会全面协调可持续发展。
2017年9月,沧州市委、市政府成立了沧州市统筹推进信息化建设领导小组,统筹推进全市信息化建设工作,促进数据资源整合、共享、开放,提高社会治理能力和公共服务水平,同时推进我市实体经济数字化、网格化、智能化,推动网络信息技术产业健康快速发展。
2017年,沧州市委市政府先后出台一系列政策文件,推动全市信息化建设和信息产业发展,加快沧州市城市大数据中心建设正是进一步推进新型智慧城市建设,落实市委市政府决策的有力抓手。
2.2建设目标
本项目要实现以下两个目标:
一是通过沧州市城市大数据中心统筹沧州市信息资源管理,实现城市信息资源的有效整合与集成,推进沧州市信息资源交换、共享、整合及服务,为各行业智慧应用系统提供全面、及时、准确的信息服务,满足政府管理、企业生产经营和居民生活对信息资源的要求。
同时,将满足各业务垂直部门与上级主管部门系统间的互联互通要求。
二是智慧城市与共享交换平台将全面整合与之相关的各行业的智慧化应用系统,将其业务、数据、流程进行全面的融合,为企业和市民提供融合、专业化的政务与智慧城市应用服务。
沧州云计算产业定位为沧州市人民政府重点投入和发展的战略新产业,致力于构建和打造云计算产业可研投入、运营服务、基础设施配套三位一体的产业集群。
本项目建设内容依托于沧州市云计算产业基地,充分利用已有的云环境部署沧州城市大数据中心的各平台、各系统,实现统一规划,统一指导;统一协同,资源共享;安全可靠,高效易用;并存过度,逐步整合的建设原则和策略。
3概要设计
3.1系统功能架构
从平台内部视角看,沧州市智慧城市精准扶贫有用户界面、支撑平台、数据资源、云基础设施部分,其总体架构如下图所示:
云基础设施:
包括虚拟化的网络环境、主机、存储、安全设备以及系统软件、监控调度等基础服务环境,通过对基础设施的云化技术为服务提供透明的运行环境。
数据资源:
基于数据管理及交换,人口、空间地理信息库和数据交换平台得到前置库,通过数据开放平台进行数据流通。
支撑平台:
数据共享交换服务、用户认证、开发平台和配置中心来支撑沧州市智慧城市大数据。
应用层:
扶贫政策、贫困分布、贫困数据统计等。
3.2系统技术架构
沧州市智慧城市精准扶贫架构由以下几部分组成:
Web交互:
web交互主要采用spring框架,通过Spring提供的IoC容器,我们可以将对象之间的依赖关系交由Spring进行控制,避免硬编码所造成的过度程序耦合。
Spring框架可以被看做是一个企业解决方案级别的框架。
客户端发送请求,服务器控制器(由DispatcherServlet实现的)完成请求的转发,控制器调用一个用于映射的类HandlerMapping,该类用于将请求映射到对应的处理器来处理请求。
HandlerMapping将请求映射到对应的处理器Controller(相当于Action)在Spring当中如果写一些处理器组件,一般实现Controller接口,在Controller中就可以调用一些Service或DAO来进行数据操作ModelAndView用于存放从DAO中取出的数据,还可以存放响应视图的一些数据。
如果想将处理结果返回给用户,那么在Spring框架中还提供一个视图组件ViewResolver,该组件根据Controller返回的标示,找到对应的视图,将响应response返回给用户。
数据库交互:
数据库交互主要采用Mybatis框架。
主要有三层:
(1)API接口层:
提供给外部使用的接口API,开发人员通过这些本地API来操纵数据库。
接口层一接收到调用请求就会调用数据处理层来完成具体的数据处理。
(2)数据处理层:
负责具体的SQL查找、SQL解析、SQL执行和执行结果映射处理等。
它主要的目的是根据调用的请求完成一次数据库操作。
(3)基础支撑层:
负责最基础的功能支撑,包括连接管理、事务管理、配置加载和缓存处理,这些都是共用的东西,将他们抽取出来作为最基础的组件。
为上层的数据处理层提供最基础的支撑。
3.3项目部署设计
3.3.1.1系统硬件环境
机型
CPU信息
内存信息
硬盘信息
虚拟服务器
8CPU
16G
1T
3.3.1.2系统软件环境
序号
软件类型
软件名称
版本号
1
操作系统
Linux
CentOS6.5
2
Javaruntime
JavaRuntimeEnvironment
1.7
3
数据库
mysql
5.6
4
中间件
Tomcat
7.0
3.3.1.3系统部署说明
3.3.1.4数据库安装
1、mysqltar文件下载:
根据服务器下载对应的mysql数据库
2、进入安装包所在目录
执行命令:
tarmysql-5.6.17-linux-glibc2.5-i686.tar.gz。
3、复制解压后的mysql目录到系统的本地软件目录
执行命令:
cpmysql-5.6.17-linux-glibc2.5-i686/usr/local/mysql-r。
4、添加系统mysql组和mysql用户
执行命令:
groupaddmysql和useradd-r-gmysqlmysql。
5、安装数据库
进入安装mysql软件目录:
执行命令cd/usr/local/mysql;
修改当前目录拥有者为mysql用户:
执行命令chown-Rmysql:
mysql./;
安装数据库:
执行命令./scripts/mysql_install_db--user=mysql;
修改当前目录拥有者为root用户:
执行命令chown-Rroot:
root./;
修改当前data目录拥有者为mysql用户:
执行命令chown-Rmysql:
mysqldata。
6、启动mysql服务和添加开机启动mysql服务
添加开机启动:
执行命令cpsupport-files/mysql.server/etc/init.d/mysql,把启动脚本放到开机初始化目录
启动mysql服务:
执行命令servicemysqlstart
执行命令:
ps-ef|grepmysql看到mysql服务说明启动成功
7、修改mysql的root用户密码,root初始密码为空的
执行命令:
./bin/mysqladmin-urootpassword'密码'。
8、把mysql客户端放到默认路径
ln-s/usr/local/mysql/bin/mysql/usr/local/bin/mysql。
3.4性能设计
3.4.1.1性能需求
系统平均响应时间能够满足系统并发压力负载性能需要。
在中等负载及网络环境许可下,各种操作的响应时间要求如下:
(1)平台要求提供标准的API接口规范和消息接口规范,支撑外部业务应用系统的统一接入;
(2)查询基础数据库(精确匹配)的响应时间不大于5秒;
(3)查询单个数据主题(百万级)的响应时间不大于5秒;
(4)目录数据的本地查询响应时间不大于3秒;
(5)查询统计报表(非实时统计)的响应时间不大于5秒;
(6)数据服务系统的本地响应时间不应超过4s,应用服务系统的响应时间不应超过10s。
3.4.1.2事件的处理顺序
3.4.1.3响应时间
当一个事件到达时,它要么被处理,要么因为某些原因被阻塞。
3.4.1.4阻塞原因
3.4.1.5系统性能策略
3.4.1.6资源需求
3.4.1.7资源管理
3.4.1.8资源调度
当存在资源竞争时,就必须对资源进行调度。
4安全设计
4.1数据安全
1、数据完整性
能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。
能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。
2、数据保密性
采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性。
采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。
3、数据备份与恢复
1)提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放。
2)提供异地数据备份功能,利用通信网络将关键数据定时批量传送至备用场地。
3)采用冗余技术设计网络拓扑结构,避免关键节点存在单点故障。
4)提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。
4.2应用安全
1、身份鉴别
1)提供专用的登录控制模块对登录用户进行身份标识和鉴别。
2)对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。
3)提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。
4)提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。
5)启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。
2、访问控制
1)提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问。
2)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。
3)由授权主体配置访问控制策略,并严格限制默认帐户的访问权限。
4)授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
5)具有对重要信息资源设置敏感标记的功能。
6)依据安全策略严格控制用户对有敏感标记重要信息资源的操作。
3、安全审计
1)提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计。
2)保证无法单独中断审计进程,无法删除、修改或覆盖审计记录。
3)审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等。
4)提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。
4、剩余信息保护
1)保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。
2)保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
5、通信完整性
采用密码技术保证通信过程中数据的完整性。
6、通信保密性
1)在通信双方建立连接之前,应用系统应利用密码技术进行会话初始化验证。
2)对通信过程中的整个报文或会话过程进行加密。
7、抗抵赖
1)具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能。
2)具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
8、软件容错
提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。
提供自动保护功能,当故障发生时自动保护当前所有状态,保证系统能够进行恢复。
当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话。
能够对系统的最大并发会话连接数进行限制。
能够对单个帐户的多重并发会话进行限制。
能够对一个时间段内可能的并发会话连接数进行限制。
能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额。
能够对系统服务水平降低到预先规定的最小值进行检测和报警。
提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。
4.3物理安全
1、环境安全:
场地、机房的温度、湿度、照明应满足一定条件,供电系统24小时运转,并有防盗系统、防静电、防辐射的相关保护。
2、设备安全:
设备防火、防水、物理损害措施;设备防火灭火正常检查;设备定期检查火灾隐患;供暖系统、空调等保障;设备电源保障;数据传输线路维护与保障;主机等设备保障;可移动数据保障;存储介质维护;磁盘磁带库访问的介质的维护等。
3、媒体安全:
信息消除技术、介质的消毁技术需达到国家相关标准。
4、容灾备份:
计算机系统分布在不同的地理位置,当灾难发生时,不会使整个系统失效。
4.4网络安全
1、内网和外网间的边界防护
在条件允许的情况下,实现保密内网与外网的物理隔离,从而将攻击者、攻击途径彻底隔断。
即使在部分单位,内网、外网有交换数据的需求,也必须部署安全隔离和信息交换系统,从而实现单向信息交换,即只允许外网数据传输到内网,禁止内网信息流出到外网。
2、对核心内部服务器的边界防护
内网中常包括核心服务器群、内网终端两大部分,核心服务器保存着大部分保密信息。
为避免内网终端非法外联、窃密者非法获取核心服务器上的保密数据,就要实现核心服务器与内网终端间的边界防护。
感染木马时,核心服务器的边界安全网关能够阻止终端的越权访问,并检查是否含有木马,然后进行清除。
3、防止不安全的在线非法外联
内网与外网的连接点必须做到可管、可控,必须有效监控内网是否存在违规拨号行为、无线上网行为、搭线上网行为,避免内用户采取私自拨号等方式的访问互联网而造成的安全风险。
4、防止离线非法外联或不安全的接入行为
要限制终端设备,如PC机、笔记本,直接接入并访问内网区域,对于不符合安全条件的设备(比如没有安装防病毒软件,操作系统没有及时升级补丁,没有获得合法分配的IP地址或离线外联过),则必须禁止进入。
5、木马病毒的查杀和检测能力
由于内部网络中的计算机数量很多,要确保网络中所有计算机都安装防木马软件,并实施实施统一的防木马策略。
防木马软件至少应能扫描内存、驱动器、目录、文件和Lotusotes数据库和邮件系统;具备良好的检测和清除能力;支持网络远程自动安装功能和自动升级功能。
6、系统自身安全防护
木马在主机中的隐藏、执行和攻击最后都是体现在操作系统层面。
要确保操作系统及时升级,防止漏洞被木马和病毒利用。
在及时升级操作系统的基础上,要实时对计算机进程、访问端口的进行监控,以及时发现异常与木马;同时要有注册表防护手段,保障木马不能修改系统信息,从而使木马不能隐藏与自动运行。
4.5平台安全
系统将应用于多种平台系统,需对不同的操作系统具备可运行性和可兼容性。
系统需建立安全机制,采用安全技术建立防火墙、防止网页篡改、防止病毒入侵。
4.6终端安全
为了防止不安全的在线非法外联、离线非法外联或不安全的接入行为,必须把终端防护系统与其它网关防护技术结合起来。
1、通过终端防护系统的统一策略配置的主机防火墙和主机IDS,能实现对桌面系统的网络安全检测和防护,当IDS检测到威胁后,能与主机防火墙进行联动,自动阻断外部攻击行为。
2、通过终端防护系统,可对桌面系统的远程拨号行为、无线上网行为、搭线上网行为进行控制,发现存在违规外联的主机,给出报警,通过防火墙切断该主机与网络的连接,避免导致内网遭到更大的破坏。
3、通过终端防护系统的安全状态检测策略,可监测进入内网的终端设备,对于不符合安全条件的设备,可不允许其接入内网。
4、通过终端管理系统监管桌面行为,对桌面系统上拨号行为、打印行为、外存使用行为、文件操作行为的监控,通过策略定制限制主机是否允许使用外存设备,确保机密数据的安全,避免了内部保密数据的泄漏。
5、通过终端管理系统,收集的事件进行详尽的分析和统计,支持报表功能,实现分析结果可视化,以满足安全审计的需求。
4.7管理安全
制定运行维护管理制度,依据制度对人员、物理环境与设施、设备与介质、信息安全保密等方面进行规范。
人员管理包括:
系统维护、人员授权、自身行为受控。
系统管理人员管理,系统使用人员管理。
防止非授权使用、非法自主访问知悉系统信息的系统受控等。
建立规范的运维体系,建立不同的运维小组,在发现问题故障按运维体系,第一时间处理,并记录;定期巡检,做好汇报。
建立日常标准运维流程,系统用户遇到问题请求支持时,判断事件等级,评定分析事故原因,由工程师现场或远程解决。
系统运维方需提供7×24小时电话支持和响应,在1小时内对提出的维护要求做出实质性反应,提供应急策略。
维护方式包括电话咨询、远程在线诊断和故障排除、现场响应等。
升级会员 