1、资金归集系统技术方案资金归集系统技术方案1.1项目建设目标开发符合“规范化、信息化、网络化”原则并涵盖机关房产管理、地产管理 及全部房改工作的房地产综合信息网络管理系统平台,应用与房地产处及机关各 大院房管部门。实现高速的数据共享,保证数据的完整性、统一性和准确性;管 理部门能够快速、及时的掌握所有房地产相关信息;使各级领导直观、形象地了 解机关房产、地产相关情况,并通过综合统计分析,为各级领导决策提供科学依 据总体方案概述1.2方案设计原则该系统设计必须既适应当前应用考虑,乂要面向未来信息化发展需要。因此 在设计方案时,遵循了以下设计原则:1.2.1实用性和先进性采用先进成熟的技术满足当前的
2、业务需求, 兼顾其他相关的业务需求,尽可 能采用先进的网络技术以适应更高的数据, 多媒体信息的传输需要,使整个系统 在一段时期内保持技术的先进性,并具有良好的发展潜力,以适应未来业务的发 展和技术升级的需要。1.2.2安全性和可靠性为保证将来的业务应用,网络必须具有高可靠性。要对网络结构、网络设备、 服务器等各个方面进行高可靠性的设计和建设。在采用硬件备份、冗余等可靠性 技术的基础上,采用相关的软件技术提供较强的管理机制、控制手段和事故监控 和信息安全保密等技术措施提高系统的安全可靠性。1.2.3灵活性与扩展性业务是在不断的发展和变化,因此该系统也是一个不断发展的系统, 所以它 必须具有良好的
3、扩展性。能够根据将来信息化的不断深入发展的需要, 方便的扩 展网络覆盖范围、扩大网络容量和提高网络各层次节点的功能。 具备支持多种通 信媒体、多种物理接口的能力,提供技术升级、设备更新的灵活性。1.2.4开放性和互连性具备与多种协议计算机通信网络互连互通的特性,确保网络系统基础设施的 作用可以充分发挥。在确保安全等级的基础上,做到结构真正实现开放,坚持全 国统一或业内统一规范的原则,从而为未来的业务发展奠定基础。1.3系统体系结构为体现便于操作、业务处理简单、数据安全保密、降低维护难度和复杂度的 特点,整个三套系统拟采用分布式采集、集中处理、存储的管理模式。这种模式适合大规模数据采集集中处理和
4、具体的房屋资金管理的特点, 所有 的管理和业务操作都在固定的范围内进行, 数据管理和业务管理相对集中,而部 分业务的处理可以分布在各个不同的单位机构, 确保数据安全可靠。中心版在资 金中心网络能到达的地方就可以进行操作、实施管理。系统各模块既可单独使用,乂能灵活协同工作,作到信息充分、准确、及时 共享,保证各项业务数据的完整性和一致性。1.3.1单位版根据单位版的业务特点,系统力求操作简单、系统坚固和数据安全,因此采 用单机系统架构。操作系统:W交换介质:软盘/USB移动盘/光盘/电子邮件;加密策略:SSL + MD备份策略:本地循环备份、手动备份1.3.2中心版中心版包括资金归集系统和帐务管
5、理系统,根据中心版的业务特点,两套系 统问有部分数据需要共享,为了使操作简单、便于管理、系统坚固和数据安全, 系统设计为多用户架构,采用中心数据库的方案,使两套系统公用一个数据库数 据服务器,分库管理的模型。服务器操作系统:Windows 2003;工作站操作系统: Windwows98/2000/XP系列;开发工具:Microsoft Visual Studio .NET 2005数据库:Microsoft SQL Server 2000 ;网络:以太网;交换介质:软盘/USB移动盘/光盘/电子邮件;加密策略:SSL + MD5安全策略:身份认证、漏洞扫描、病蠹查杀;备份策略:本地自动循环备
6、份、计划备份、远程备份(需求未定) 。1.4系统拓扑结构后台维护工作站a |-| II 富身资予中心网数据库服务器应用服务器数据机群服务器帐务工作站 资金归集工作站远程数据交换柜面工作站介质交换单位工作站资金中心的数据库服务器采用镜像设备管理,提高设备和数据的安全性;数据库服务器与远程存储IP问通过数据交换进行远程数据备份;单位使用的工作站与中心内网物理隔离,采用存储介质交换数据;管理客户端资金中心远程备份中心资金中心的各种关系型数据均在此服务器中集中存储;数据库服务器存储所有业务数据和本地备份数据;应用服务器存放系统备份和部署内网防病蠹、漏洞扫描和文档信息; 各个工作站为用户使用,没有特殊要
7、求;1.6系统功能架构第二章系统安全方案2.1女全体系的结构框架可靠性 可用性 审计管理 防止否认 数据完整 数据保密 访问控制 身份识别用户层 应用层 表示层 会话层 传输层 网络层 链路层 物理层物理单元信息处理单元通信网络 安全管理物理环境安全特疗信息系统安全体系结构框架上图为三维安全体系结构的框架图,通过安全体系的结构框架反映了信息系 统安全需求和体系结构的共性,其构成要素是安全特性、物理单元及OSI模型层 次。2.1.1安全体系的内容2.1.1.1访问控制通过对特定数据、服务建立的访问控制体系,将绝大多数泄密阻止在到达泄 密目标之前;2.1.1.2检查安全漏洞通过对安全漏洞的周期检查
8、,即使泄密可到达泄密目标,也可使绝大多数泄 密无效;主动的加密通讯,可使攻击者不能了解、修改敏感信息;2.1.1.4身份认证良好的身份认证体系可防止窃密者假冒合法用户;2.1.1.5备份和恢复良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务2.2系统安全2.2.1安全漏洞2.2.1.1漏洞扫描的布署意义漏洞扫描可以发现大众化的安全漏洞和非大众化的漏洞。 不但可以利用系统预制的数千种方案进行系统探测,而且还允许用户用自己定制的数据包检测, 使用非常灵活。漏洞扫描可以确定防火墙的每一条防护规则是否起作用, 用独特的定制审计包引擎(CAP技术完成协议级Spoofing和攻击模拟。同
9、时可以验证 存取路由器、过滤防火墙的完整性,也可以用来检查各种混合配置。应用漏洞扫描技术主动扫描网络安全漏洞, 管理员可以了解网络的安全配置 和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。管理员可以根 据扫描的结果更正安全漏洞和系统中的错误配置,在攻击前进行防范。如果说防 火墙是被动的防御手段,那么漏洞扫描就是一种主动的防范措施, 可以有效避免攻击的发生,做到防患于未然。通过漏洞扫描技术与防火墙互相配合, 保障系统 安全的完整性。漏洞扫描工具分为基于服务器和基于网络的扫描器。1) 基于服务器的扫描器基于服务器的扫描器主要扫描与服务器相关的安全漏洞, 如password文件,目录和文
10、件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的 解决办法建议。它与相应的服务器操作系统紧密相关。2) 基于网络的扫描器基于网络的漏洞扫描主要扫描特定网络内的路由器、 网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。2.2.2身份认证2.2.2.1身份认证技术部署意义身份认证技术直接关系到网络资源的访问控制问题, 从安全的网络系统来考虑,只允许持有合法身份的用户访问允许被访问的资源。如:对数据库的访问, 对操作系统的资源的访问。身份认证作为资源控制的第一道门,其布署至关重要。身份认证技术
11、的类型身份认证技术主要包括以下两种:1) 非对等的身份认证采用非PKI技术,通常用于操作系统的身份认证, 在服务器提供服务之前, 服务器采用用户名和口令的方式来对用户的身份进行确认。 但用户并不需要确认服务器的身份; 如:WINNTWIN200Q UNIX等操作系统的身份认证。2) 对等的身份认证采用PKI技术,通常用于电子商务中交易的双方的身份认证, 电子交易双方 的身份认证采用第三方认证机构的电子签证中心的数字签名来确认双方的身份。如电子商务中用到的SSL安全通信协议的身份认证、Kerberos等身份认证等。2.2.2.2身份认证技术方案设计分析以上的身份认证技术并结合系统的安全需求,对于
12、一些安全要求非常突 出的用户可以设计使用PKI的数字签名认证机制,来保证数据的完整性和防抵赖 性;并引入增强的CHA初议,将系统安全判别因子分离成两部分,即“用户口 令” + “存于IC卡、Skey或软盘中的用户个人秘密信息”。当需要用户与服务器 在网络上交换信息时,利用 CHA初议保证了用户的口令信息不在网上传输,并 针对每次身份认证采用一次性加密口令, 保证信息的安全性。同时,为了防止系 统内部的泄密发生,我们对 CHA初议进行了增强,将传统的由服务器保存用户 口令方式改变为服务器仅存储用户的加密口令,而加密口令的密钥存在用户的 Skey或Smart Card中,由用户掌握。完全杜绝了传统
13、身份认证方式下用户口令 被Hack截取和破解的危险,保证了用户信息的安全性。并从而解决多系统用户 账号管理和用户进入各种系统上的问题。2.2.3病毒查杀在所有的安全威胁中,计算机病蠹是最为严重的,它不仅发生的频率高、损 失大,而且潜伏性强、覆盖面广。因此部署安全高效的防病蠹系统是必不可缺的。为了正确选择、配置和维护病蠹防护解决方案,系统必须明确地规定保护的 级别和所需采取的对策。2.2.3.1部署多层防御体系伴随着信息技术的发展,病蠹可从多种渠道进入系统,因此在尽可能多的点 采取病蠹防护措施是至关重要的。其中包括网关防病蠹、服务器及群件防病蠹、 个人桌面计算机防病蠹以及所有防病蠹产品的统一管理
14、等。2.2.3.2定期更新防病毒库在大多数系统了解到使其病蠹定义文件保持最新版本的重要性的同时, 并不 的,但更重要的是应定期检查日志文件以确保正确地执行了更新。是人人都了解确保检测引擎为最新版本同等重要。股情况下,更新是自动进行基于服务器的病蠹防护是提供系统内部保护的最有效方式,但是根据系统安 全保护策略的细节不同,它不能对所有类型的信息(如加密信息)都提供防护。 因此还应定期更新桌面计算机中的防病蠹软件。2.2.4可信时间戳(抗抵赖)2.2.4.1可信时间功能可信时间戳服务系统提供在特定时间内数据存在的证明服务。 该服务由可信任第三方提供,提供该服务的第三方称之为“时间戳权威( TSJ T
15、ime StampAuthority )”。抗抵赖服务需要有提供某份文件(或某条信息)在某个时间(或 以前)存在的证据的能力,可信时间戳功能就是提供该服务的系统。 最典型的用例就是证明一张公钥证书在有效期内其签名产生的时间。2.2.4.2可信时间作用可信时间戳服务系统的主要功能是提供可靠的时间信息, 证明某份文件(或某条信息)在某个时间(或以前)存在,防止用户在这个时间前或时间后伪造数 据进行欺骗活动。2.3双机镜像目前自动化成度高,各单位对服务的安全性,可用性,依赖性变大。2 4小 时不允许停机,在这种情况下,服务器的双机热备就显的非常必要及迫切。双机热备是近年来服务器端的安全性, 可用性的
16、一次重大的革命。从以前加 大的硬件可用性,到现在的双机要备用,来保证服务器的不停机运行,是高可用 性的一次重大的进步。2.3.1双机镜像(热备)的原理当一台服务器在工作时(称为主机)。另一台服务器作备用状态(称为备机)。 当主机因为某种原因出现故障,如死机,主机断电,病蠹发作,硬盘损坏等,不 能继续提供服务时,备用机能够在规定的时间内接替主机的服务, 继续提供服务,从而达到不停机的服务。2.3.2全故障检测功能磁盘卷:在共享磁盘阵歹0的双机方式下,系统可以对磁盘阵歹U的卷资源进行 保护,防止因双机共同写同一个文件造成的故障。共享文件:服务器名字:可以对服务器名做集群热备。数据库:可以对 Ora
17、cle , Sybase, Informix , DB2 MSSQLServe等数据库 进行保护及检测功能。用户自定义程序:对用户自有程序做到实时检测及热备功能。2.4数据安全2.4.1常规备份2.4.1.1数据库维护数据库维护的功能是实现数据库的备份、 恢复和优化。在日常使用数据库过程中,对数据库进行备份可以保留当前数据, 以便今后查看并且防止数据遭到丢 失或损坏,而利用数据库恢复就可以使数据恢复到备份时的状态。 数据库优化可以删除一定时期内已经结报的日志信息, 从数据库中删除这些过期数据,避免数据冗余。2.4.1.2数据库备份该系统数据库应在创建之后卸出,从而提供一个装入基点。在此之后按照
18、排 定的备份计划,周期性的做数据库卸出。如果事务日志与数据库放在同一个设备上,则事务日志不应与数据库分开备 份。2.4.1.3数据库恢复如果用户数据库存储的设备失效,从而数据库被破坏或不可存取,通过装入 最新的数据库备份以及后来的事务日志备份可以恢复数据库。2.4.1.4数据库监视系统管理员可以在日常工作中监视系统运行情况, 日常要监视的主要目标有用户数据库、数据库日志表以及原始数据表等。 如果发现占用空间过大,对日志 表要进行转储;对其他目标则应扩充空间或活楚垃圾数据。2.4.2数据灾难备份及恢复数据备份及灾难恢复系统是在线备份的有力补充, 同时结合备份软件,通过异地备份数据得到了进一步保护
19、,无论遇到多么严重的险情系统数据也可安然无 恙,并且可快速恢复系统。以数据库服务器为备份核心,备份系统的所有信息的数据库,由于数据库服 务器的采用一主机一备份机的方式,因此备份数据库服务器的系统负荷并不大, 因此将其同时作为备份服务器,并可选择安装磁带库,同时它还可以对网络中的 应用服务器和文件服务器进行备份, 必要时做网络恢复。当某一台服务器出现故 障无法正常运转时,通过备份服务器或数据磁带进行灾难恢复。磁带机/光盘库的选择可根据实际的备份数据量来决定。自动加载磁带机 / 光盘库的采用免去了管理员更换磁带/光盘的工作,同时也避免了可能引发的人 为失误。第三章应用系统方案3.1单位(机)版住房
20、资金管理子系统3.1.1基本信息管理3.1.1.1单位信息管理1.单位登记单位(部门)登记功能模块就是完成单位信息的初次记录操作, 登记完成后才 可以给此单位(部门)开设相应的住房资金账户和维修基金帐户,然后为此单位 (部门)中的个人开设个人账户,开设完成后才可以进行房资金账户和维修基金帐 户的缴存、支取、核算等业务。其中包括:单位全称、单位性质、单位地址、管理信息、联系信息,登记日 期等。同时包括修改,删除等功能。2.单位开户单位基本信息登记后,要为本单位建立中心和银行的帐户信息, 这些信息为 业务处理提供基本的帐户基础。其中包括:住房资金本金帐号、维修基金本金帐号、住房资金利息帐号、维 修
21、基金利息帐号、开户时间等。3.单位变更当单位基本信息发生变化时(如:单位信息、帐户信息等),为了保证原有 单位信息不丢失,并且能够为中心版管理提供单位历史信息查询, 跟踪变更过程, 用此功能完成。当单位基本信息发生变化后,在下一次业务周期后,向中心报送数据时,该 变更信息会自动报送中心版系统,为中心版系统提供历史数据查询依据。4.单位销户当出现单位合并或单位撤消等情况时,使用该功能模块,通过单位销户处理,记录销户信息、处理帐面余额等业务。3.1.1.2房屋信息管理1.房屋开户建立单位信息后,需要对单位所管房屋进行开户处理,房屋开户建立每栋房 屋的详细信息,包括房屋性质、地理信息、单元信息、住户
22、信息、登记日期等。为了核算准确,降低核算误差和方便数据统计,所有房屋统一按住户登记。对于房改房可自动产生虚拟住户信息。在该功能模块下,加入Execl表导入功能,通过按照统一棋板格式可一次导 入全单位的所有房屋的开户信息,其中包括售房缴存和维修基金缴存信息。2.房屋变更当房屋性质或其他信息发生变化时, 使用该功能,与单位变更管理相似,该 功能记录历史信息,在下一个业务周期后,向中心报送数据时,该变更信息会自 动报送中心版系统,为中心版系统提供历史数据查询依据。3.房屋销户(灭失)房屋产权人(非住户)因产权转让、拆迁或其他原因造成原房屋销户或灭失 的,可办理销户手续,登记销户证明,销户原因等信息。
23、如果是房屋灭失,单位按维修基金明细账户账面提取余额。 其中,届于公有住房售后维修基金的,应按售房单位和个人累计交纳的比例分别退还。3.1.1.3资金证明管理1.固定格式证明管理建立证明申请登记、索引等,随时可查阅登记信息。固定申请格式(甲方提供固定格式):关于办理售房款资金证明的申请;关于办理售房款资金封存证明的申请;关于解除售房款资金封存的申请;关于划转维修基金的申请;2.电子文档证明管理业务流程如下图所小:单位记帐1.缴存业务处理缴存管理主要是完成售房资金的缴存和补缴、变更等业务的处理,缴存管理 功能包括了 “汇缴”、“单缴”、“补缴”、“份期补缴”、“变更处理”、“封存”和“启 封”等功
24、能模块。所有缴存业务处理最终按户核算, 但在管理上可以分别进行按 单位、房屋、单元、住户等不同级别的管理。批量汇缴:主要适用与批量缴存业务处理。对于初次批量缴存,快速便捷。并设有Execl 导入功能,通过统一棋板批量导入缴存数据。如果在基本信息管理- 房屋信息管理- 房屋开户中通过Execl统一导入功 能批量导入了数据后,在此出可以浏览或更改缴存信息;单独缴存:用于单独住户缴存业务的处理;分期补缴:对于分期付款等业务可以用此功能处理, 通过设置分期周期,按期补缴,系 统自动将每笔补缴信息标记后追加到对应住户的缴存记录中。单独补缴:功能与单独缴存相同,但缴存标记为“补缴”,在记账时,数据为加到原
25、住 户的缴存记录中。封存启封:根据业务需要,对某一帐户资金进行封存,记录封存证明,封存原因,以及 相关信息等。收到资金中心启封证明后,对某一帐户资金进行启封,记录启封证明,启封 原因,以及相关信息等。2.支取业务处理支取业务包括“部分支取”、“销户支取”和“转出支取”等业务,当发生的 支取业务符合售房资金管理规定时, 所发生的费用由本模块进行记录、 管理,核 算到户。不同支取业务分别记录相应的业务原因。部分支取当发生多缴、补贴等业务时,本模块负责对这些情况发生时已帐户金进行相应处理。销户支取当发生退房、灭失等业务时,本模块负责对这些情况发生时帐户资金进行相 应处理。转出支取当发生产权过户、退房
26、等业务时,本模块负责对这些情况发生时帐户资金进 行相应处理。3.1.2.2台帐管理1.利息管理通过接收资金中心的利息数据,将利息数据到入该系统。该模块自动将利息 数据与房屋信息绑定,记入本金,并核算到户。2.业务对帐通过接收资金中心的业务数据和记帐数据, 与系统中的业务、数据和记帐数据进行自动对帐或手动对帐3.记帐管理当缴存、支取等业务发生后,单位报送数据到资金中心。在资金中心批复通 过后,单位通过该模块对所发生的业务记帐。如果在记帐后发现有数据错误,可以允许调帐。3.1.2.3查询统计查询功能可以用来对单位信息、住户信息、缴存信息、支取信息、结息对帐 信息、单位台帐、单位台帐明细等信息进行查
27、询。统计功能可以用来对房屋信息、住户信息、缴存信息、支取信息、结息对帐 信息、单位台帐、单位台帐明细等信息进行统计。所有查询统计结果,均可导出到 Execl表中。3.1.3维修基金管理主要功能是为用户的公共维修基金的使用、收集等业务进行管理。其业务流 程如下图所示:业务处理3.1.3.1项目管理1.项目基本信息按年、季、月等时间粒度进行项目预算的信息登记;2.项目申报相关报表项目基本信息建立后,通过信息上报将项目相关信息上报的资金中心, 输出报表按甲方需求确定格式。3.公示信息提交的目基本信息,经资金中心审核批复后,可以进行公示,输出公示报表。4.项目分摊情况提交的目基本信息,经资金中心审核批
28、复后,将项目款分摊到楼、单元和住 户。3.1.3.2业务处理1.缴存业务处理缴存管理主要是完成售房资金的缴存和补缴、变更等业务的处理,缴存管理 功能包括了 “汇缴”、“单缴”、“补缴”、“份期补缴”、“变更处理”、等功能模块。 所有缴存业务处理最终按户核算,但在管理上可以分别进行按单位、房屋、单元、 住户等不同级别的管理。批量汇缴:主要适用与批量缴存业务处理。对于初次批量缴存,快速便捷。并设有Execl 导入功能,通过统一棋板批量导入缴存数据。如果在基本信息管理- 房屋信息管理- 房屋开户中通过Execl统一导入功 能批量导入了数据后,在此出可以浏览或更改缴存信息;单独缴存:用于单独住户缴存业
29、务的处理;分期补缴:对于分期付款等业务可以用此功能处理, 通过设置分期周期,按期补缴,系 统自动将每笔补缴信息标记后追加到对应住户的缴存记录中。单独补缴:功能与单独缴存相同,但缴存标记为“补缴”,在记账时,数据为加到原住 户的缴存记录中。2.支取业务处理支取业务包括“部分支取”、“销户支取”和“转出支取”等业务,当发生的 支取业务符合售房资金管理规定时, 所发生的费用由本模块进行记录、 管理,核 算到户。不同支取业务分别记录相应的业务原因。部分支取当发生多缴、补贴等业务时,本模块负责对这些情况发生时已帐户金进行相 应处理。单位可使用的资金只占单位缴存部分的 40%即单位支取额度总额。其中只 有
30、在单位审批额度不足以支付本次支出的情况下,单位才可以使用上级审批额 度。无论单位审批额度还是上级审批额度均需要审批部门审批后才可以划款、 记帐。销户支取当发生退房、灭失等业务时,本模块负责对这些情况发生时帐户资金进行相 应处理。转出支取当发生产权过户、退房等业务时,本模块负责对这些情况发生时帐户资金进 行相应处理。3.1.3.3台帐管理1.利息管理通过接收资金中心的利息数据,将利息数据到入该系统。该模块自动将利息 数据与房屋信息绑定,记入本金,并核算到户。2.业务对帐通过接收资金中心的业务数据和记帐数据, 与系统中的业务、数据和记帐数 据进行自动对帐或手动对帐。3.记帐管理当缴存、支取等业务发
31、生后,单位报送数据到资金中心。在资金中心批复通 过后,单位通过该模块对所发生的业务记帐。如果在记帐后发现有数据错误,可以允许调帐3.1.3.4查询统计查询功能可以用来对单位信息、住户信息、缴存信息、支取信息、结息对帐 信息、单位台帐、单位台帐明细等信息进行查询。统计功能可以用来对房屋信息、住户信息、缴存信息、支取信息、结息对帐 信息、单位台帐、单位台帐明细等信息进行统计。所有查询统计结果,均可导出到 Execl表中。3.1.4数据交换管理3.1.4.1数据上报内报内容分为基础信息部分和业务信息两个部分。基本信息部分,上报时将变动部分的信息上报,如果未发生变化,则上报原 信息;业务部分分售房资金和维修基金两部分,上报信息主要包括未记帐缴存、支 取、销户、封存、启封等信息,以及自定义的业务原因。上
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 