信息中心建设方案标准.docx

1、信息中心建设方案标准一、前言：目前各地公安局已建成的网络系统主要有户政人口管理系统以及刑警或交警的管理系统，但是彼此并没有实现互联，而是相对独立，信息彼此不能共享，形成了信息孤岛，极大地降低了数据的使用效率，给公安工作带来了许多不便。 为了更好地发挥这些专业化的网络和信息数据的效能，通过信息共享提高信息的利用率，避免数据的重复采集与不一致问题的出现，同时实现公安日常工作的网络化，在市局本部很有必要成立信息中心，集中数据进行共享，使各职能部门能够更及时、更方便地得到所需的信息，同时能够协调各职能部门的工作，发挥整体优势。二、系统总体目标与设计原则： 2.1、总体目标：公安信息中心系统建设要以“金

2、盾工程”为指导方针，以公安综合信息为载体、以网络和数据库技术为依托、以派出所、业务管理部门和各基层办案单位为信息采集点、以信息中心为集中数据中心的各单位联机事物处理的综合信息系统，真正实现跨部门、跨平台、跨系统的信息共享，最终达到作业决策、管理决策、战略决策的应用目标。2.2、系统建设原则：公安信息中心系统是一个高度复杂的大型信息系统工程，必须遵循以下建设原则：实用性：充分满足用户当前的工作需求，并考虑今后业务的扩展及数据量增大后的各种应用，实现系统功能的高效运转。易操作性与易维护性：系统的操作要简单易懂，方便非专业人员的操作，使系统真正地被广大用户有效地使用。此外，系统还要具有易维护性，在系

3、统出现问题的时候能够得到快速，有效的解决。先进性：在满足现有需求情况下，设计应立足采用先进技术，采用最新科技，以适应大量数据传输以及未来多媒体信息的传输。使整个系统在国内五年内保持领先的水平。可靠性：主机系统的设计上，应特别注意如何保证主机系统的可靠性及系统的可用性。标推性和开放性：网络环境应遵循现有的国际标准以及公安部金盾工程总体设计方案中制定的标准，同时具备高开放性、可支持多种网络操作平台。可升级性和可伸缩性：确保原有系统的设备投资得到保护，同时新系统保持良好的可扩展性，主机系统应该可以在应用系统扩大后进行技术升级和结构扩展，并保证用户软件正常运行。2.3、系统建设总体思路：在信息中心工程

4、建设中网络是基础，管理是保障，应用是灵魂，在公安综合信息系统的建设已初具规模，网络建设已经有了很好的基础上，要制定一系列的管理机制来保障系统的高效、正常的运行，以提高信息化的应用程度，真正实现从传统警务到电子警务的转变。同时，根据“金盾工程”的整体建设思路，即业务管理应用系统和综合查询分析系统相结合建设，按照上级各业务部门的总体部署，积极开展各业务管理系统的建设，从目前的末态信息的采集录入发展到对各类信息的动态发展的管理即从信息管理到管理信息的跨越。真正为公安机关的决策分析和快速反应提供强有力的信息和科学的保障。三、系统体系结构：公安综合信息系统由系统网络平台、安全平台和统一消息平台支撑，各处

5、或分局业务系统、数据交换平台、综合业务应用、综合关联查询等系统为业务应用系统，在各种平台和业务应用的基础上构建市公安局内部个性化门户平台。如图所示：在系统体系结构的最底层是系统网络平台，这是整个系统运行的平台，它由多台运行不同或相同操作系统的主机、存储设备，以及连接这些主机的网络设备组成。除了网络平台的支持，市公安局系统有自己的安全平台和统一消息平台，安全平台主要负责网络和系统的安全，用户的身份验证以及应用信息的加密和安全管理。统一消息平台（中心邮局）主要负责邮件、及时消息和工作流协调与管理。在支撑平台的上面是各处或各分局已经建立的各种业务系统，为了建立一个统一的综合业务应用系统，还必须有一个

6、数据交换和请求管理平台。数据交换将各处或分局的数据进行转换，转换成一个标准格式，统一进入到综合业务数据库；请求管理则需要建立对应各数据库的代理，关联查询系统通过广播请求给各数据库的代理，各代理接收到请求后，根据请求的主题和信息，并参照访问权限规则，给出对请求的响应，从而关联查询系统可以同时支持同时对多个数据库的综合查询。通过综合业务应用系统和综合查询系统可以对综合业务数据库进行访问，进行综合业务查询和科学决策。从应用层次的角度出发，公安综合信息系统分为基础业务层，综合应用层，辅助决策层三个应用层次。在基础业务层由业务系统和业务数据库组成，负责业务数据处理，提供数据来源，实现业务管理的计算机化；

7、综合应用层由综合应用系统和综合数据库组成，负责数据、各项业务以及工作过程的重新整合，为广大干警提供综合查询和统计分析；而辅助决策层提供辅助分析和决策数据，为公安机关领导提供决策支持服务。3.1、网络系统平台：网络系统平台提供了整个公安局内部电脑的网络连接，包括了各分局、各警种单位、派出所以及同地区局或其他有连接需求的连接。网络系统平台采用INTRANET内联网络结构，以100M的交换式快速以太网作为主干网；广域网的通信信道选择原则：开通DDN数据专线的地方采用DDN，未开通DDN的采用点对点的电话专线拨号方式上网，网络中的节点IP地址根据公安部的统一分配来划分。3.2、应用系统平台：应用系统平

8、台是由公安各业务应用软件系统及整个系统运行环境组成。1、公安各业务应用软件系统： 派出所、分局业务管理系统； 特种行业管理系统； 后勤保障管理系统； 两所管理系统； 考评考核管理系统； 办公自动化管理（OA）系统等等。2、系统运行环境：1、共享信息集中存储在信息中心数据库服务器中，数据库系统采用目前国际主流市场上先进而流行的ORACLE大型关系数据库技术实现高效安全的数据处理。2、采用多层CS体系结构及结构组合运用，充分发挥客户机及应用服务器的处理能力，降低网络数据流量，提高系统的效率及安全性、可伸缩性。3、应用Intranet技术实现全局范围的信息共享。采用GUI（图形）技术实现系统的友好界

9、面和易操作性。4、采用（面向对象）技术及原型解释技术，提高程序的可维护性和可扩充性。面向业务和管理在设计时考虑功能模块的灵活性，以适应不同的业务需求。系统设计具有良好的开放性和扩充性，以适应不断变化的业务需求。 3.3、综合信息平台：综合信息平台是基于上述两个平台之上运行的综合信息共享、查询、分析软件系统，以B/S模式为用户提供信息服务。综合信息平台主要由以下三个模块构成：1、数据交换与业务集成系统；2、综合业务数据库3、辅助决策支持、综合业务应用与关联查询比对；在数据交换与业务集成系统中主要通过信息采集技术和中间件接口技术将各种数据转入综合业务数据库，然后通过信息共享系统为全局各部门提供信息

10、，同时建立数据仓库，为决策分析系统提供快速有效的各种统计数据。3.4、系统安全保障体系：在公安局信息中心系统中，数据的安全是关键，一旦数据发生丢失、被破坏、篡改或泄露等，都将带来极其严重的后果。因此，对建立系统、全面的安全保障体系对系统安全显得尤为重要。系统安全包括五个基本要素：完整性、机密性、可用性、可控性以及可审查性。1、完整性：即信息在存储或传输过程中保持不被修改、不被破坏和不丢失的特性。信息完整性是信息安全的基本要求。破坏信息的完整性是影响信息安全的常用手段。2、机密性：即信息不泄露给非授权的个人和实体、或供其利用的特性。3、可用性：指信息可被合法用户访问并按要求的特性使用，即当需要时

11、能否存取所需信息。例如网络环境下破坏网络和有关系统的正常运行就属于对可用性的攻击。4、可控性；对信息的传播及内容具有控制能力。任何信息都要在一定传输范围内可控，如密码的托管政策。托管政策即将加密算法（或后门）交由第三方或第四方管理，在使用时要严格按有关管理规定执行。5、可审查性；对信息的使用或处理均是可以事后查验的，是为网络出现的安全问题提供调查的依据和手段。具体地我们从1、物理安全；2、网络安全；3、软件安全；4、安全管理机制等四个方面提出全面而有效的安全保障措施。详细设计见第七大点“系统安全保障体系”。3.5、综合数据库由于目前公安局已经有各种的数据库，并且基于这些数据库有各种业务应用系统

12、，因此综合数据库的建设可以采用两种模式。第一种模式综合数据综合考虑各数据库，整体重新设计第二种模式综合数据库只是将各业务数据库进行物理复制和集中，并不改变数据库存的逻辑结构。采用第一种方式的好处在于，可以总体优化综合数据库设计，降低数据冗余，程序开发容易；缺点在于，应用系统需要重新开发，数据迁移工作复杂且难度大，数据耦合非常紧密，不易于扩展。采用第二种方式的好处在于，系统迁简单平滑，数据松耦合，易于扩展，不影响现有应用系统的开发，对于现在已有的系统投资是一个保护，另外对现有业务系统影响不大，可以继续运行；缺点在于保留了数据冗余。考虑到目前已有的业务应用系统，同时考虑到从新设计和开发现有数据库和

13、提高系统实施的可行性，减少复杂性，降低风险。数据交换与请求代理（关联查询）数据同步功能将现有的各独立查询系统的移植到Unix小型机，并基于J2EE平台，未来既保留各数据库独立的查询系统，同时实现基于请求管理的综合关联查询系统。四、网络系统平台的设计： 4.1、网络设计目标：在此次的网络系统平台建设中，我们将建立一个网络交换中心，提供整个公安局内部电脑的网络连接，包括了各分局、各警种单位、派出所以及同地区局或其他有连接需求的连接。网络系统平台采用INTRANET内联网络结构，以100M的交换式快速以太网作为主干网；广域网的连接通过一台CISCO3600系列路由器来实现，线路的连接方式主要以DDN

14、、ISDN以及PSTN为主，各警种单位、派出所可根据自身不同的条件采用不同的连接方式。4.2、网络拓扑图：4.3、网络设计说明： 4.3.1、主服务器：主服务器是全局网络的核心，其性能的高低直接影响到整个网络的速度。其主要考察要素有：内存、硬盘、总线，CPU四个要素。内存要大，以便能承受更多用户的访问，并有利于整体运算速度的提高。硬盘容量要大，以便能存放更多的信息。总线速度要快，以获得更大的吞吐量，提高用户访问速度。CPU速度要快，以加快用户访问速度。由于整个系统的数据集中在主服务器上管理，所以主服务器的安全性及可靠性至关重要，若主服务器停机将导至整个系统瘫痪。因此我们还必须为主服务器建立双机

15、热备份系统。考虑到上述情况，在本方案设计中我们选择了两台HP LH6000作为系统主服务器，并通过热备份实现两台服务器的数据备份，但考虑到资金问题，也可以暂时先购买一台服务器，通过备份软件将数据备份到网管机上。HP LH6000的主要性能技术指标见附录一。由于信息中心的数据主要是文本内容，空间占用不是太大，因此在服务器上我们选择配两块18G的热拔插硬盘并作成镜象，使系统数据库在两块硬盘之间进行相互备份，今后如过再上新系统而使数据量加大时，我们也可以很方便地加入新的热拔插硬盘以扩大数据存储容量，并将他们作成阵列系统，保护数据不会因为某个硬盘的损坏而丢失。 4.3.2、中心路由器：路由器是市局同各

16、职能部门、市直机关、地区公安局实现互联的必不可少的设备，考虑到目前的网络应用及将来的需求，我们选用了性价比较高的CISCO3600系列路由器作为网络的中心路由器。CISCO3600有46个模块化插槽，我们可以选用不同的机型配置不同的模块十分灵活地实现各种连接要求。在CISCO3600路由器中我们可以选插NM-8A/S或NM-16AM。NM-8A/S是8口同/异步模块，通过NTU可实现DDN的连接需求，NM-16AM是16口的MODEM模块，可同时提供16路的拨号访问服务。五、应用系统平台的设计：应用系统平台包括公安各业务应用软件系统和系统应用环境两个方面，系统应用环境在上文已有较为详细的描述，

17、下面主要分模块讲述公安各业务应用系统。 5.1、派出所、分局业务管理系统：1、案件管理：接警信息的录入，对接警信息进行治安立案或刑事立案处理，对治安立案进行暂扣物品管理，对刑事立案进行涉案人员管理。2、安全防范：对各处受到特别安全保护的单位的信息进行录入与查询。3、政保管理：指宗教、集会等信息的录入与查询。4、内务管理：分为收入和支出两部分，对收入和支出的录入与查询。 5.2、特种行业管理系统：特种行业管理系统主要是将各个特种行业的单位信息，从业人员信息以及该单位的年内年审及治安查处情况输入到系统数据库中并进行及时的数据更新，为需要该信息的各相关部门提供及时，准确而详细的信息。具体有：1、特种

18、行业信息登记；2、从业人员信息登记；3、各种的统计数据查询； 5.3、后勤保障管理系统：后勤保障管理系统主要是提供了对后勤相关物品的登记，派发使用的电子化管理。具体有如下主要功能：1、内务管理：内务管理提供了有关资产的收支结算、工作人员的管理、个人配枪的管理、干警被装的管理、财产装备管理以及人员工资管理等公安局内部需要登记管理的部分。2、枪库管理：枪械是公安局重点管理的对象，我们单独设置了该模块以便更加准确有效地对枪械的基础信息，枪械的出、入库进行管理。 5.4、两所管理系统：两所管理系统主要是提供看守所和拘留所管理：1、本局看守人员管理：通过网上审批自动获得本局看守人员信息。2、外局看守人员

19、管理：通过网上审批自动获得外局看守人员信息。3、本局出所人员管理；4、看守值班人员管理；5、拘留人员管理；6、报捕管理；7、报劳教管理；5.5、考评考核管理系统：考核考评系统主要实现了在网上对局内职工的考核考评工作，考核考评的操作一般应有以下几个过程。先登记考核办法（考核办法、考核项目、考核内容），然后针对某一次考核进行考核记录的登记，最后根据某一次考核进行具体的评分操作。以上操作完成后就可通过统计查询统计最后分数。通过网上的考核考评系统，能够及时、准确、有效地记录各人员的行为表现，给其工作予与较为客观、公正的评价。具体有如下模块：1、考核办法管理：制定的考核办法，规定该办法的适用对象，得扣分

20、具体原则及考核办法名称。2、考核记录登记：对某一项目选择具体考核办法进行考核。3、考核评分登记：对某一人利用以上的办法中的考核内容进行考核。4、考核统计查询：查询考核结果、名次、具体在哪一项上的得、扣分情况。5.6、办公自动化管理（OA）系统：办公管理（OA）系统主要是实现了网上审批与文件传阅管理，网上审批实现了对各项需要领导进行审批的文件、报告、申请表等进行网上的审核、批准，从而有效地提高了审批效率，缩短了审批时间周期。主要包括以下几方面的内容：1、审批管理：由审批申请人将需要领导审批的相关信息输入程序，包括开业申请表、干警请休假申请表、呈请拘留、呈请监视居住等等。接着由领导通过审批程序在网

21、上直接对申请作出批复。同样，审批申请人在网上也可以及时地查询到相关的申请是否已得到了领导的批示。2、会议管理：可查询历史的一些会议记录，包括会议的时间、地点、主持人、会议的内容和会议的方针。3、传阅管理：指对通知和简报不经过审批直接通过传阅功能，传到主页中，且可随时从主页中收回该通知或简报的信息。 六、综合信息平台的设计：综合信息平台是基于网络系统平台和应用系统平台之上运行的综合信息共享、查询、分析软件系统，以浏览器/服务器（B/S）模式为用户提供信息服务。综合信息平台主要由以下三个模块构成：1、数据交换与业务集成系统；2、综合业务数据库3、辅助决策支持、综合业务应用与关联查询比对；6.1、数

22、据交换与业务集成系统：如上图，在数据交换与业务集成中包括两个部分：1、信息采集技术：在各个信息采集点，如各派出所、各警种单位等，通过信息采集软件将原始的数据录入到信息中心数据库中。2、中间件接口技术：通过编写中间件程序，将现成已有的数据转换到信息中心数据库中，例如，我们可以通过接口技术编写一些中间件将户政管理的人口信息转换到信息中心数据库中，让其他部门也可以查询到相关人口信息。此外，我们还开发了系列软件应用系统，能够同现有平台实现无逢链接。6.2、辅助决策支持、综合业务应用与关联查询比对在信息共享系统中，我们是通过建立了信息中心网站，将各种共享信息在网站上作了查询链接，同时为了公安局内部人员间

23、的学习与交流设立的各种学习交流栏目。具体有以下几方面：1、最新导航：在最新导航栏目中提供了连接各地公安网络的连接，包括到全国、全省以及本地区等。2、治安动态：在治安动态中提供了最新的情报信息、报警信息以及每日要况等内容。3、综合查询：在综合查询中提供了对各种信息的查询，包括CCIC信息查询、治安信息查询、人口信息查询、监所管理信息查询、人事档案信息查询、审批表查询、交管消防信息查询等等；4、辅助决策：在辅助决策栏中提供了各种数据的统计报表，包括报警分析、治安案件分析、刑事案件分析、违法犯罪人员分析、发案破案分析、报警、立案月报表、网站访问分析、签名/报文/开机统计等等，为局领导对各项问题进行决

24、策是提供数据依据。同时我们还可以根据局方的具体要求提供一些特别定制的统计报表。5、法制建设：在法制建设栏中提供了与法制建设相关的信息，具体包括：常用法律法规、立案处查信息、拘留人员状态分析、在押人员状态分析、执法监督以及法制公文等。6、信息交流：本栏目主要是为公安人员的内部学习与交流而设，主要包括：政治文件学习、专题教育、经验论坛、意见与建议、网络会议、征文启事等。例如，在专题教育中，我们可以将各期的文档、专题按时间、主题等方式进行归类整理，同时还可很方便地查到组织人员和学习人员所发表的见解与意见等。7、办公自动化：在本网站中我们还提供了办公自动化当中能够让大家共享的部分内容在里面，包括通知通

25、报、会议查询、领导传阅、收发报文、上传下载等。8、网上学校：在网上学校栏目中，主要是提供了与计算机信息化管理相关的知识介绍，以及相关的软件下载等。9、布告栏：在布告栏中罗列了近期所发布的通知、通报以及相关新闻等内容，并且在“更多”信息栏中可查到历史的归库文档。布告栏的内容是通过WEB网站自动进行更新的。所有的信息都存入数据库中以备将来查询。10、每日公告：在本栏目可发布每日的最新公告。11、信息公布：在本栏目中显示了近期的通知信息。12、E-MAIL：在网站建设中我们还同时建立了内部邮件系统，用户可以很方便通过网站提出申请，建立自己的邮箱，方便了内部人员之间的交流。6.3、决策分析系统：在决策

26、分析系统中，通过建立数据仓库，我们提供了各种统计报表以供领导对工作进行决策分析时作为参考。具体报表有：1、报警分析；2、治安案件分析；3、刑事案件分析；4、违法犯罪人员分析；5、发案破案分析；6、报警、立案月报表；7、网站访问分析；8、签名/报文/开机统计；七、系统安全保障体系：对系统安全保障体系的具体措施有：1、物理安全保护；2、网络安全保护；3、软件安全保护；4、安全管理机制，下面进行分点详述。7.1、物理安全保护系统：保护数据，首先我们要考虑的就是如何保护数据存放介质的物理安全问题，同时我们还必须保证数据能够被使用。这样我们的焦点就集中在对信息中心机房的物理安全防范上，物理安全包括1、环

27、境安全：对系统所在环境的安全保护，如区域保护和灾难保护；2、设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护等；3、媒体安全：包括媒体数据的安全及媒体本身的安全。在系统安全方面，系统越安全那所付出的代价也越高昂，考虑安全的现实要求以及公安局的资金情况，在本方案中我们考虑以下几点安全建设：1、提供不间断电源系统：在中心机房中配一套不间断电源（UPS）系统，这样使设备在突然停电的情况下系统能够继续使用一段时间，保证让访问用户对数据的操作都能够顺利完成。2、建立双机热备份系统：由于系统的数据都是存放在主服务器中，为了预防主机出现错误是能够继续提供服务，并保证

28、数据不丢失，因此我们建议建立双机热备份系统，在主服务器发生问题时，备份服务器能够在几秒钟内接管所有的服务。如果在前期经费较为紧张的情况下，也可以考虑先将数据实时备份到网管机上。3、配备光盘刻入机和磁带机：配备光盘刻入机和磁带机可以将历史数据存进光盘或磁带中，既是数据得到更好的保护，又为现行的数据服务腾出了空间，提高了服务速度。4、作好防雷、防静电措施。即在通过架空外接线缆进入中心机房的入口处安设防雷保护装置，中心机房采用防静电地板，机房电源单独架设，保证地线有良好的接地效果。7.2、网络安全保护系统：1、Windows NT域用名管理在Windows NT的安全模式中，提供了多层次的安全措施，

29、其安全层次如下：第一层 物理安全保护层提供第一道防止损失的屏障；第二层 设计在网络操作系统中的机制提供了第二层保护；第三层 管理策略和程序提供第三层保护；第四层 登录ID提供第四层保护；第五层 资源访问许可提供第五层保护；第六层 冗余以物理安全的形式为系统提供了第六层保护。相对于外部的因特网来讲，企业内部的局域网相对较安全，我们所应当考虑的主要是如何控制域内的用户对网络资源的访问权限。对于用户来讲主要应当做的应当是在制度管理条例上对系统管理员和普通用户的工作职责和权利作出具体的规定。考虑到实用，在Windows NT安全层次中我们只考虑3、4、5层的安全。第三层管理层安全措施域利用管理能力，造

30、反策略和操作步骤，把服务器和工作站组成逻辑组便于更好地管理帐户政策能具体规定口令限制和帐户锁定参数帐户属性能具体规定用户帐户或组允许拥有的系统访问权委托关系允许建立两个以上逻辑计算机组或域之间的安全链路用户配置文件允许你为任何网络用户具体规定用户环境变量登录脚本用户登录到时网络上之后可以用来运行应用程序，设值环境变量主目录可以分配用户，可以与配置文件一起用来定制用户环境定期备份作为容错的补充，用来确保信息安全第四层Windows登录ID用户ID与口令要求系统的所有用户访问系统资源之前必须要有用户帐户和口令用户组可以创建Windows NT的本地和全局用户组，将拥有同样访问权限或受同样约束的用户

31、组合在一起本地帐户和全局帐户使你能具体规定用户帐户如何同网络进行交互操作远程访问安全性让理具体规定某个用户是否可以使用Windows NT的远程访问我来访问网络资源第五层Windows资源访问权共享级访问保护允许你设值参数，具体规定网络用户讯问和使用共享网络资源的方法NTFS层上的保护附加的安全保护措施，使你进一步限制用户对NTFS分区上目录和文件的访问2、病毒防护系统病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。 我们将病毒的传播途径分为：通过ftp，电子邮件传播；通过软盘、光盘、磁带传播；通过Web浏览传播，主要制恶意的Java控件及ActiveX控件网站；通过群件系统传播。病毒防止的主要技术如下：阻止病毒的传播在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。检查和清除病毒使用防病毒软件检查和清除病毒。病毒数据库的升级病毒数据库应不断更新，并下发到桌面系统。在防火墙、代理服务器及PC上安装Java及ActiveX控件扫描软件。KILL2000 for NT是Windows NT网络中完善的防病毒