概要设计多规合一Word格式.docx

概要设计多规合一Word格式.docx

《概要设计多规合一Word格式.docx》由会员分享，可在线阅读，更多相关《概要设计多规合一Word格式.docx（11页珍藏版）》请在冰豆网上搜索。

“多规合一”，是融合国民经济和社会发展规划、城乡规划、土地利用规划、生态环境保护规划等内容，集成到统一的区域基础地理信息数据上，实现区域一本规划、一个蓝图，推动彼此数据对接、信息共享、决策协同。

2.2建设目标

建立智慧沧州“多规合一”一张蓝图，将打破传统GIS建设模式，基于沧州智慧城市大数据中心，转变为“云GIS”平台服务模式，平台基于大比例电子地图、地形图、高清影像图，集成丰富的POI数据，构建了地名地址、地理实体数据库，并将国土局、规划局、发改委、环保局等多个部门多源异构、多尺度、多时相、不同分辨率的规划空间资源有机地组织起来，实现海量存储、高效管理与持续更新。

3概要设计

3.1系统功能架构

智慧沧州“多规合一”一张蓝图由四个层次构成，包含基础设施层、数据层、平台服务层和应用层，其总体架构如下图所示：

（1）基础层。

基础层为平台运行提供环境支撑，包括网络、计算机、存储备份系统、安全保密系统和环境设施等。

（2）数据层。

平台数据层数平台的数据基础，主要内容为地理实体数据、地名地址数据、影像数据、空间规划数据等等。

（3）平台服务层。

服务层是平台建设的核心内容，服务层以平台门户系统为统一访问界面，对外提供数据服务接口和功能服务接口，用户既可通过门户网站使用平台提供的在线地理信息服务。

（4）应用层。

基于平台服务建立的应用系统，用户通过应用系统完成对平台所提供各类信息服务的使用。

3.2系统技术架构

智慧沧州“多规合一”一张蓝图的技术框架如下：

（1）基础设施

考虑到系统的外围环境包括各种服务商和政府部门，网络层的设计支持互联网、移动互联网和专网的接入模式。

硬件层采用云计算IAAS的架构，将主机和存储作为资源池管理，应用虚拟化技术动态地创建虚拟主机环境支撑软件系统运行，使系统具有高度的可扩展性。

（2）数据存储

信息资源涵盖所有的结构化和非结构化数据。

平台采用关系型数据库和NOSQL技术实现各类数据的存储和访问。

平台通过对用户在平台上的数据以及活动信息的记录、梳理和抽象，利用建模技术形成整个城市的数字化映像。

（3）基础服务

平台为运行于其上的应用和服务提供底层的平台服务，通过这些服务，应用和服务可以完成复杂的逻辑。

基础服务包括缓存、消息和任务调度等。

平台基于Spark和Flume实现对用户访问的大数据处理计算。

（4）服务运行引擎

在服务运行引擎的设计中，平台采用稳定高效的Linux作为操作系统，通过docker技术实现系统资源（CPU、内存、硬盘）的应用隔离，提高资源利用率，降低TCO（整体IT投入成本）；

在之上支持Java、PHP和Ruby等主流开发语言的应用运行环境，实现对各种类型应用的统一运行管理和动态弹性伸缩特性。

在应用框架方面，平台支持Spring、iBatis/Hibernate、ThinkPHP和Rails等框架的应用开发和运行。

应用的运行容器，平台支持Tomcat、Equinox（OSGi容器）和Apache/Nginx。

（5）渠道平台

渠道管理平台采用了以下技术：

负载均衡：

采用DNS、LVS和Nginx实现应用系统访问的负载均衡，提高系统的负载能力和可靠性。

缓存系统和CDN系统：

通过对静态内容的缓存，提高系统的性能和处理能力，并可大幅节约系统网络带宽。

单点登录：

采用CAS单点登录系统，实现平台内部系统间以及平台与外部系统的单点登录，提高用户体验。

（6）终端

平台采用两种终端实现技术：

基于浏览器的终端和基于本地客户端的终端。

基于浏览器的终端采用HTML5/CSS3技术，运用响应式布局设计，实现多种终端的自适应。

（7）安全

平台在各层都采用了相应的安全技术。

云基础设施安全：

采用防火墙、入侵检测和防病毒等技术保障基础设施安全；

数据安全：

采用数字签名和加密技术保障数据存储和访问的安全与隐私保护；

应用安全：

采用RBAC授权模型实现对用户权限的控制，保障应用访问安全；

客户端安全：

采用U盾、证书和令牌等技术，提高用户认证的安全性。

3.3项目部署设计

系统硬件环境

在大数据的硬件环境建设基础上，服务器应满足以下要求：

CPU：

Intel5核处理器，主频2.5GHz；

内存16GB以上；

硬盘：

硬盘1T。

系统软件环境

（1）操作系统：

64位Win7及以上。

（2）GIS平台：

GlobalGIS

GlobalGIS系列产品是江苏智途科技股份有限公司研发，拥有完全自主知识产权的专业地理信息系统平台，包括GlobalGISMap、GlobalGISEarth、GlobalGISMobile、GlobalGISPano、GlobalGISCloud，具备二三维空间数据数据生产、编辑、更新、管理与服务发布等功能，能够满足多领域、多层次应用需求，建设各行业大型GIS应用系统。

（3）数据库：

PostgreSQL

PostgreSQL是最先进的开放源码的数据库系统，它提供了多版本并行控制，支持几乎所有SQL构件（包括子查询，事务和用户定义类型和函数），并且可以获得非常广阔范围的（开发）语言绑定（包括C，C++，Java，perl，tcl，和python）。

PostgreSQL稳定性极强，并且在由于其丰富的集合类型，在GIS领域处于优势地位，在保证数据可靠性和完整性方面表现出色，支持地理位置应用系统、复杂数据对象处理等应用场景。

系统部署说明

平台考虑到网络安全和数据安全的问题，为了防止敏感信息泄露，将系统部署在政务专网和互联网上。

为了防止敏感信息泄露，政务版和互联网版采取物理隔离。

部署在政务网上的平台，在基础地理框架基础上，提供比较全面的空间规划信息数据和功能服务，满足各部门对规划信息共享应用需求。

部署在互联网上的平台上，主要是面向企业和普通市民对规划信息的应用需求，提供经过保密处理的的电子地图、地理实体数据等地理信息服务。

3.4性能设计

（1）可靠性指标

1）保证7×

24小时不间断稳定运行；

2）系统平均无故障率>

99.6%；

3）软件系统应具备手动或自动恢复措施；

4）自动生成工作日志，保留至少一年以上。

（2）容错性指标

1）网站应采取容错或容灾设计；

2）软件产品出现故障时，确保业务数据一致性。

（3）扩展性指标

考虑未来系统的业务扩展，系统建设规模可扩展容量和性能应能满足持续发展需要，方便地进行扩展和升级以支持更多的应用和用户。

3.5功能设计

提供大比例电子地图、地形图、高清影像图，集成了多时相历年影像图、丰富的POI数据，构建了地名地址、地理实体数据库。

可以规划单位的数据进行叠加分析，部门专题展示、专题图层分类以及常用地图测量和打印的功能使用。

可在地图上点击右上角的视图切换工具（矢量、影像、地球），选择以不同的方式来查看地图。

对不同规划单位的数据进行叠加分析，可以准确定位该项目地块选址的现状。

还提供了快速入门城市热门POI点快速查看查询功能，点击后能快速定位到地图上的点及点位分布情况。

（1）图层列表

提供图层列表功能，用户可根据需求，选择需要显示的图层，在地图上叠加展示。

（2）地图查看

提供对地图数据常规的浏览，支持二维矢量数据、影像数据和空间规划数据的加载、浏览、放大、缩小、漫游等。

用户可根据输入的关键字搜索兴趣点，也可以根据兴趣点类型搜索，提供兴趣点地图地位，并可查看其详细信息。

（3）资源展示

规划数据资源按照一定顺序以列表的形式分条展示，支持关键字搜索，查找用户关心的规划资源，可查看规划资源信息的名称等基本信息

（4）测量工具

测量工具包括面积测量和距离测量。

（5）打印功能

系统支持打印页面地图

（6）规划专题查询

系统提供依据规划专题进行资源查询，快速浏览某专题类型下的数据资源，可查看规划数据的基本信息。

（7）专题列表

规划数据专题按照专题和部门进行分类梳理，并以列表形式展示。

4安全设计

4.1数据安全

1、数据完整性

能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。

能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施。

2、数据保密性

采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性。

采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。

3、数据备份与恢复

1）提供本地数据备份与恢复功能，完全数据备份至少每天一次，备份介质场外存放。

2）提供异地数据备份功能，利用通信网络将关键数据定时批量传送至备用场地。

3）采用冗余技术设计网络拓扑结构，避免关键节点存在单点故障。

4）提供主要网络设备、通信线路和数据处理系统的硬件冗余，保证系统的高可用性。

4.2应用安全

1、身份鉴别

1）提供专用的登录控制模块对登录用户进行身份标识和鉴别。

2）对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别。

3）提供用户身份标识唯一和鉴别信息复杂度检查功能，保证应用系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。

4）提供登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施。

5）启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能，并根据安全策略配置相关参数。

2、访问控制

1）提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问。

2）访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作。

3）由授权主体配置访问控制策略，并严格限制默认帐户的访问权限。

4）授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系。

5）具有对重要信息资源设置敏感标记的功能。

6）依据安全策略严格控制用户对有敏感标记重要信息资源的操作。

3、安全审计

1）提供覆盖到每个用户的安全审计功能，对应用系统重要安全事件进行审计。

2）保证无法单独中断审计进程，无法删除、修改或覆盖审计记录。

3）审计记录的内容至少应包括事件的日期、时间、发起者信息、类型、描述和结果等。

4）提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。

4、剩余信息保护

1）保证用户鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除，无论这些信息是存放在硬盘上还是在内存中。

2）保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。

5、通信完整性

采用密码技术保证通信过程中数据的完整性。

6、通信保密性

1）在通信双方建立连接之前，应用系统应利用密码技术进行会话初始化验证。

2）对通信过程中的整个报文或会话过程进行加密。

7、抗抵赖

1）具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能。

2）具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。

8、软件容错

提供数据有效性检验功能，保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。

提供自动保护功能，当故障发生时自动保护当前所有状态，保证系统能够进行恢复。

当应用系统的通信双方中的一方在一段时间内未作任何响应，另一方应能够自动结束会话。

能够对系统的最大并发会话连接数进行限制。

能够对单个帐户的多重并发会话进行限制。

能够对一个时间段内可能的并发会话连接数进行限制。

能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额。

能够对系统服务水平降低到预先规定的最小值进行检测和报警。

提供服务优先级设定功能，并在安装后根据安全策略设定访问帐户或请求进程的优先级，根据优先级分配系统资源。

4.3物理安全

1、环境安全：

场地、机房的温度、湿度、照明应满足一定条件，供电系统24小时运转，并有防盗系统、防静电、防辐射的相关保护。

2、设备安全：

设备防火、防水、物理损害措施；

设备防火灭火正常检查；

设备定期检查火灾隐患；

供暖系统、空调等保障；

设备电源保障；

数据传输线路维护与保障；

主机等设备保障；

可移动数据保障；

存储介质维护；

磁盘磁带库访问的介质的维护等。

3、媒体安全：

信息消除技术、介质的消毁技术需达到国家相关标准。

4、容灾备份：

计算机系统分布在不同的地理位置，当灾难发生时，不会使整个系统失效。

4.4网络安全

1、内网和外网间的边界防护

在条件允许的情况下，实现保密内网与外网的物理隔离，从而将攻击者、攻击途径彻底隔断。

即使在部分单位，内网、外网有交换数据的需求，也必须部署安全隔离和信息交换系统，从而实现单向信息交换，即只允许外网数据传输到内网，禁止内网信息流出到外网。

2、对核心内部服务器的边界防护

内网中常包括核心服务器群、内网终端两大部分，核心服务器保存着大部分保密信息。

为避免内网终端非法外联、窃密者非法获取核心服务器上的保密数据，就要实现核心服务器与内网终端间的边界防护。

感染木马时，核心服务器的边界安全网关能够阻止终端的越权访问，并检查是否含有木马，然后进行清除。

3、防止不安全的在线非法外联

内网与外网的连接点必须做到可管、可控，必须有效监控内网是否存在违规拨号行为、无线上网行为、搭线上网行为，避免内用户采取私自拨号等方式的访问互联网而造成的安全风险。

4、防止离线非法外联或不安全的接入行为

要限制终端设备，如PC机、笔记本，直接接入并访问内网区域，对于不符合安全条件的设备（比如没有安装防病毒软件，操作系统没有及时升级补丁，没有获得合法分配的IP地址或离线外联过），则必须禁止进入。

5、木马病毒的查杀和检测能力

由于内部网络中的计算机数量很多，要确保网络中所有计算机都安装防木马软件，并实施实施统一的防木马策略。

防木马软件至少应能扫描内存、驱动器、目录、文件和Lotusotes数据库和邮件系统；

具备良好的检测和清除能力；

支持网络远程自动安装功能和自动升级功能。

6、系统自身安全防护

木马在主机中的隐藏、执行和攻击最后都是体现在操作系统层面。

要确保操作系统及时升级，防止漏洞被木马和病毒利用。

在及时升级操作系统的基础上，要实时对计算机进程、访问端口的进行监控，以及时发现异常与木马；

同时要有注册表防护手段，保障木马不能修改系统信息，从而使木马不能隐藏与自动运行。

4.5平台安全

系统将应用于多种平台系统，需对不同的操作系统具备可运行性和可兼容性。

系统需建立安全机制，采用安全技术建立防火墙、防止网页篡改、防止病毒入侵。

4.6终端安全

为了防止不安全的在线非法外联、离线非法外联或不安全的接入行为，必须把终端防护系统与其它网关防护技术结合起来。

1、通过终端防护系统的统一策略配置的主机防火墙和主机IDS，能实现对桌面系统的网络安全检测和防护，当IDS检测到威胁后，能与主机防火墙进行联动，自动阻断外部攻击行为。

2、通过终端防护系统，可对桌面系统的远程拨号行为、无线上网行为、搭线上网行为进行控制，发现存在违规外联的主机，给出报警，通过防火墙切断该主机与网络的连接，避免导致内网遭到更大的破坏。

3、通过终端防护系统的安全状态检测策略，可监测进入内网的终端设备，对于不符合安全条件的设备，可不允许其接入内网。

4、通过终端管理系统监管桌面行为，对桌面系统上拨号行为、打印行为、外存使用行为、文件操作行为的监控，通过策略定制限制主机是否允许使用外存设备，确保机密数据的安全，避免了内部保密数据的泄漏。

5、通过终端管理系统，收集的事件进行详尽的分析和统计，支持报表功能，实现分析结果可视化，以满足安全审计的需求。

4.7管理安全

制定运行维护管理制度，依据制度对人员、物理环境与设施、设备与介质、信息安全保密等方面进行规范。

人员管理包括：

系统维护、人员授权、自身行为受控。

系统管理人员管理，系统使用人员管理。

防止非授权使用、非法自主访问知悉系统信息的系统受控等。

建立规范的运维体系，建立不同的运维小组，在发现问题故障按运维体系，第一时间处理，并记录；

定期巡检，做好汇报。

建立日常标准运维流程，系统用户遇到问题请求支持时，判断事件等级，评定分析事故原因，由工程师现场或远程解决。

系统运维方需提供7×

24小时电话支持和响应，在1小时内对提出的维护要求做出实质性反应，提供应急策略。

维护方式包括电话咨询、远程在线诊断和故障排除、现场响应等。