全国建筑市场监督管理信息系统.docx

1、全国建筑市场监督管理信息系统全国建筑市场监督管理信息系统技术实施方案（简本）建设部信息中心第一章 概述.3第二章 系统规划设计方案.61建筑市场监管系统系统框架.62具体实现.7第三章 软件系统技术设计方案101建筑市场监管系统数据的分布.102建筑市场监管系统应用软件组成、平台及部署1121监管系统软件.1122系统平台、应用软件部署示意图.12第四章 安全保障体系131网络系统的安全保障1311链路层的安全防护 1312网络层的安全防护.132系统平台的安全保障1321操作系统的安全优化配置.1322数据库系统的安全优化配置.143应用系统的安全保障1431部、省级监管系统的数据安全.14

2、32市级业务系统数据的安全访问.1533各级数据传输过程中的数据安全性.15第五章 主机平台技术设计方案161技术方案162建筑市场监管系统平台设备配置要求16第六章 省级、市级建筑市场监管系统建设的相关内容19第一章 概述全国建筑市场监管信息系统（以下简称建筑市场监管系统）的建设目标是用先进的信息化技术实现对全国范围内工程项目建设流程中施工图设计文件审查、招标投标、施工许可、质量监督、安全监督、工程监理、合同监管、竣工验收备案等主要环节及其有关企业和专业技术人员的监管。包括：1、监管工程项目建设流程中的施工图设计文件审查、招标投标、施工许可、工程监理、质量监督、安全监督、合同监管、竣工验收备

3、案等几个主要环节。2、监管建筑市场有关企业的基本情况、资质情况、业绩和违法违规情况等，同时对企业变更信息及市场行为随时跟踪载入相应的企业数据库中，形成企业的信用档案。3、监管专业技术人员的基本情况、资格情况、获奖情况和违法违规情况等，同时对人员变更信息及市场行为随时跟踪载入相应的人员数据库中，形成专业技术人员信用档案。系统建设大致分两个时期具体实施：近期目标主要是初步建立建筑市场监督管理信息系统，实现对工程项目建设流程中的招标投标、施工许可、工程监理、质量安全监督、竣工验收备案等环节及其有关企业和专业技术人员的监管查询、统计报表等功能（2002年10月份系统正式运行）；远期目标在近期成果的基础

4、上对系统进行进一步的完善和深化，实现对工程项目建设流程全部环节以及相关的企业和专业技术人员的监管，通过数据挖掘、比较分析、跟踪报警等手段，建立建筑市场决策支持系统、监管预警报警系统等，并实现全国范围的建筑市场监管。建筑市场监管系统实现的是三级监管体系，也实现三级数据交换体系。监管系统所需的数据将通过地市建设行政主管部门的业务管理系统进行采集，并通过省级系统上传到建设部数据中心。监管体系总体结构示意图如下：建筑市场监管系统监管的方式主要为通过监管平台实现对工程项目建设流程中重要环节及其有关企业和专业技术人员的静态监管和动态监管。静态监管主要是查询各业务主管部门定期汇总分析各类报表，了解各地业务管

5、理的基本情况。动态监管主要是通过查询各级动态传输上来的数据实现的。市级各业务系统的数据通过建筑市场监管系统的数据传输平台和数据整合平台处理后自动传输到省级主管部门的监管数据库中。省级监管数据库中的数据可自动通过数据传输平台传输到建设部监管数据库中。上级主管部门可以通过监管平台查询工程项目及其有关企业和专业技术人员的详细情况。建筑市场监管系统部、省、市三级网络互联，连接方式采用VPN（Virtual Private Network）方式，以保证数据的安全、高效传输。整体实现网络拓扑图如下：第二章 系统规划设计方案1建筑市场监管系统系统框架建筑市场监管系统分为部、省、市三级。系统框架图如下：注：中

6、介机构包括造价咨询机构、招标代理机构；执业人员包括：注册结构工程师、注册建筑师、注册监理工程师、注册造价师、项目经理。2具体实现部级：各省依据全国建筑市场监督管理信息系统数据标准，将数据整合后通过数据传输平台将传到建设部监管数据库中。此数据库成为部级实现对全国范围内业务监管的基础，在此基础上搭建建筑市场监管平台，同时对一些必要的信息通过公众信息网对外发布。整个系统建立后可以监管全国范围内的业务，实现对工程项目建设流程中的招标投标、质量安全监督、工程监理、施工许可、竣工验收备案等主要环节及有关企业和专业技术人员的监管。部级的监管平台和数据传输平台开发完毕后，经过调整后可以直接在省一级去直接部署。

7、部级监管系统框架图如下：监管系统的数据归集归纳为企业状况数据库、专业技术人员数据库和工程项目监管数据库三大数据库，三大数据库集中在数据中心，采用先进的Oracle 9i数据库管理系统管理维护其数据。部信息中心将通过对各业务系统的功能模型进行分析，并结合各业务部门新的业务需求和业务发展的趋势，制订标准的监管系统数据标准（见全国建筑市场监督管理信息系统数据标准）。监管平台的建立采用微软的.Net技术架构，技术先进，开发快捷，能够实现友好的人机交互界面。数据传输采用基于TCP/IP协议的Socket技术，做到数据安全稳定地传输。传输方式可以分为同步传输和异步传输两类，更增强了传输对不同网络条件的适应

8、性。数据传输时，网络连接通过VPN（Virtual Private Network）连接方式，不但可以大大提高了传输的安全性，还提高了传输效率。全国建筑市场监督管理信息系统数据标准在整个系统中起到关键性的作用，整个系统的数据交互和数据发布都是基于此标准之上进行的，所以说标准的制定是整个系统成败的关键。企业、人员及工程项目的唯一编码在监管系统中起到一个关联各个业务的作用，必须用一个固定的、统一的编码，整个系统才能整合到一起，各个业务才能完美的结合起来。标准的制定需要相关业务部门的足够重视和积极配合，一定要尽快确定系统数据标准及企业、人员及工程项目的唯一编码规则。本标准出台后将编成数据字典对外公布

9、，做为地方建立建筑建筑市场监管系统的首要依据。省级：省级监管系统是整个监管系统最关键的一层，其监管数据库的数据来源是从数据整合平台获取的，而数据整合平台将地市级上传的数据和省级业务部门的业务数据库数据进行分析整合，形成数据中心的符合标准数据库规范的数据。最后，省级监管系统对数据中心的数据进行分析监管后，将数据上传到部级标准数据库进行部级的监管。所以省一级监管系统分为三部分：省级、地市级业务数据的传输（数据传输平台）和整合（数据整合平台），省级监管数据向建设部监管数据库的传输（数据传输平台），省级监管系统的监管平台。省级建筑市场监管系统还留有供部级监管部门直接查询的接口，以满足部级监管部门主动查

10、询信息的需要。省级监管系统框架图如下：省级监管数据的上传：由于省级数据库是符合全国建筑市场监督管理信息系统数据标准的，所以不需要进行重新加工，直接上传到部一级即可。省级、地市级数据的上传和整合：在省级系统中，数据整合平台起到了非常重要地作用，它不但完成了地市级各业务部门分离的数据之间有机的整合，为省的监管系统奠定基础，同时整合后的数据直接上传到部数据中心，为部一级的监管提供数据源。它实现了地市级业务数据同省级业务数据的整合，负责从业务数据中抽取符合监管系统数据规范的数据，并完成整合后数据进入省级数据中心的过程。省级各业务部门业务系统可看成和市级业务数据具有同样的地位，由于它和省级监管系统在同一

11、局域网内，所以业务数据只需经过整合后就可以直接导入到省级监管数据库中。市级：地市级系统主要的功能是管理业务数据并按接口标准生成省级监管所需要的数据，各地市级业务部门的子系统之间可以是物理上连接的（在一个局域网内），也可以是物理上独立的部分（需要通过城域网连接），但由于各部门都是对省级中心节点，所以各部门的业务数据都可以通过省级的数据整合平台进行数据的交换，完成各部门之间必要数据的共享。如果地市级各业务部门已有管理系统，则可以在原有系统基础上进行必要的调整，以符合整个系统的数据库规范，并在省级数据整合平台公布的数据库接口上完成数据的转换和上传。有条件的地市级也可以将各业务子系统进行整合再上传到省

12、级，这是最理想的状态。（可以直接使用一套由建设部信息中心编制的标准业务管理系统完成地市级业务部门管理功能并方便快捷的实现数据的上传和整合）。第三章 软件系统技术设计方案1建筑市场监管系统数据的分布建筑市场监管系统数据采取三级分布存储的方式，分布存储情况示意图如下： 2建筑市场监管系统应用软件组成、平台及部署21监管系统软件22系统平台、应用软件部署示意图第四章 安全保障体系1网络系统的安全保障11链路层的安全防护采用虚拟专网VPN（Virtual Private Network）技术。VPN是指在共用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个结点之间的连接并没

13、有传统专网建设所需的点到点的物理链路，而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络（Internet）中建立的逻辑隧道（Tunnel），即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输，从而真正实现网络数据的专有性。1 2网络层的安全防护网络层的安全防护通过防火墙技术来实现。防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入，它是通过限源、目的IP地址和源、目的端口来达到访问控制的目的。同时，还可以采取防火墙技术与入侵检测（IDS ）技术相结合，以加强系统的安全防

14、范能力。鉴于IDS设备的投资过大，建议在系统完善阶段，作为系统标准方案设计。2系统平台的安全保障2 1操作系统的安全优化配置安全策略安全方法制定严格的口令策略口令策略应该符合以下原则：1口令尽可能复杂2口令是有生命周期的，在一段时间后应该改变口令开放服务的管理开放服务的原则就是：禁止一切不需要的服务，只开放需要提供的服务不显示系统的提示信息通过屏蔽系统提示信息来保护系统本身，防止黑客获取更多的信息资源系统漏洞的修复修复所有已知的漏洞，并及时跟踪最新的漏洞，确保系统安全高效的运行。对DOS的防止配置TCP SYN Cookie保护生效，防止黑客可能的DOS攻击。22数据库系统的安全优化配置建筑市

15、场监管系统需要充分利用数据库自身的健壮的安全机制，进一步提升对业务数据库数据的安全度。任何用户对数据库执行的任何操作，都必须得到一个数据库系统级的权限。在经过了监管软件第一层安全检验后，还必须通过底层数据库系统级的安全检验，才能获得对数据库操作的权限。3应用系统的安全保障31部、省级监管系统的数据安全 用户权限机制除了采用操作系统级和网络层的常规安全措施外，在应用系统级通过建立一套严格的用户权限管理机制为所有的监管系统用户分配合法的用户名和对应的登录密码以及相应的操作权限来保证数据的安全，并保证系统不被非法用户访问。 数据库的安全机制对所有使用监管系统的用户，建立一套严格的权限管理机制，为每个

16、授权用户设置用户名和口令，并赋予不同的访问权限，使其只能使用与该访问权限相符的功能模块。保证监管系统不被非法用户访问。部、省级监管系统内网用户访问部、省级监管数据库时，监管系统会为其分配对应的数据访问权限。监管系统通过为不同的数据访问操作建立角色，为每一个合法用户赋予一定的符合其身份的使用权限，即经检测通过身份验证的合法用户进入系统后，并不意味着可随意访问系统的所有数据，只有在欲访问的数据上拥有系统授予了其权限即获得对应访问角色，才能对数据进行访问。另外，对于数据库所有的重要操作都有详细、准确的日志记录，以备查询。 监管平台的安全机制监管平台中的各个职能模块的访问必须经过硬件身份认证锁来验证，

17、通过后才能分配访问允许访问数据的权限。在身份认证锁内部，在存储器的管理上实现的是一种类似于磁盘文件体系的分层管理结构，但身份认证锁的文件管理对权限的划分更为具体。除了存储器外，身份认证锁本身还有一个独一无二的硬件序列号，这是每把身份认证锁保证唯一性的标识。另外身份认证锁内部实现了MD5 Hash算法，当利用身份认证锁在进行身份认证时，其并不是直接读出存入其硬件内的证书文件来进行比较，而是输入一个可变因子，在身份认证锁硬件内部利用输入因子与密钥文件进行计算，而最终以计算所得结果作为认证的依据，所以其能保证密钥不被暴露。安全性更好。32市级业务系统数据的安全访问市级各业务系统都是通过一个前置应用服

18、务器来实现与internet相连，通过网段隔离，实现业务系统与监管系统的分开。数据的交换和传输通过数据整合和传输平台来完成。数据进行整合和传输时都必须通过安全认证，从而保证数据的安全。33各级数据传输过程中的数据安全性各级之间数据的传输都是通过安装在应用服务器上的数据传输平台来完成的，按照约定的协议进行数据的传输和接收，因为各级数据传输的安全由链路层和网络层的安全机制来保证。如果在传输过程中出现数据掉包现象，传输协议自动进行第二次握手，重新进行数据的传输。第五章 主机平台技术设计方案1技术方案建筑市场监管系统的主机平台技术方案如下：11建筑市场监管系统是采用.Net技术编写的三层结构，即客户端

19、、应用服务器、数据库服务器。部级和省级的主机平台结构相同，结构图如下：12市级各个业务系统必须有一个前置应用服务器通过防火墙和路由器连接到internet，与系统互联。2建筑市场监管系统平台设备配置要求省级建筑市场监管系统平台配置要求序号名称数量配置要求推荐选型数据库服务器1数据库服务器1志强PC服务器1、CPU：2路，PIII XEON，1G以上2、内存：2G3、磁盘容量：4*36.4G4、带RAIN5磁盘阵列卡5、10M100M以太网端口2操作系统1Windows2000 Server3数据库软件1SQL Server2000应用服务器1应用服务器1志强PC服务器1、CPU：2路，PIII

20、 XEON，1G以上2、内存：1G3、磁盘容量：1*36.4G4、10M100M以太网端口2操作系统1Windows2000 Server网络设备1交换机1基本配置要求：1、12个10/100M以太网端口2、支持802.1Q3、支持SNMP2路由器1基本配置要求：1、1个广域网口2、10/100M局域网网卡3、1个网络模块4、16口端口拨号接入模块5、远程管理功能3防火墙11、34个10/100M接口卡2、带VPN功能模块3、远程管理功能市级各业务系统设备配置要求序号名称数量配置要求推荐选型应用服务器1应用服务器1PIII PC服务器：1、CPU：12路，PIII，1G以上2、内存：512M3

21、、磁盘容量：1*3.6G4、双10/100M以太网端口2操作系统1Windows2000 Server网络设备1路由器1基本配置要求：1、1个广域网口2、10/100M局域网网卡3、1个网络模块4、远程管理功能2防火墙11、34个10/100M接口卡2、带VPN功能模块3、远程管理功能第六章 省级、市级建筑市场监管系统建设的相关内容一、省级1工作内容11组织本省行政区域内的建筑市场监管系统实施工作。根据建设部有关文件要求，制定本省行政区域内的具体实施方案；12组织本省行政区域内建筑市场监管系统管理人员和使用人员的操作培训。培训的内容包括建筑市场监管系统应用软件的使用、维护等；1 3本省行政区域

22、内系统联网调试 省级建筑市场监管系统与部级建筑市场监管系统的VPN网络安装调试；交换机、路由器、防火墙等网络设备相关参数设置； 部、省级建筑市场监管系统软件联网功能测试；安装省级建筑市场监管系统软件，参数设置与初始化、与硬件环境的匹配测试； 进行系统安全优化设置；操作系统级安全优化设置、数据库系统的安全优化设置、应用软件系统的安全优化设置； 组织本省（区）行政区域内系统联网测试1 4设备采购、系统集成、网络专线申请省级监管部门按照技术要求，在计划时间内，完成所需主机、网络设备、操作系统、数据库软件的购置及运行环境的安装，完成数据专线的申请和互联网的接入。2工作进度 2002年8月25日前，省级

23、监管部门按照技术要求，在计划时间内，完成所需主机、网络设备、操作系统、数据库软件的购置及运行环境的安装、完成数据专线的申请和互联网的接入。 2002年9月10日前，完成建筑市场监管系统应用软件的安装调试。 2002年9月25日前，完成试点省份城市的VPN联网应用测试，部级建筑市场监管系统及通过测试的省级监管系统开始运行。 2002年10月份，系统正式运行。3建设费用估算省级建筑市场监管系统建设费用估算：75万元左右（不含专线年使用费用），包括：系统软硬件平台、系统实施、监管软件（数据传输平台、数据整合平台、监管平台）、数据线路初装费、人员培训等。其中监管软件：数据传输平台（8万元）、数据整合平台（11万元）、监管平台（10万元）， 费用为29万元。二、市级市级建设行政主管部门应按照部里和省里的提出的要求完成市级建筑市场监管系统的建设。在省级建设行政主管部门的统一部署下，负责配合省级建设行政主管部门完成数据的采集工作，不同的业务管理部门通过使用各自的业务管理系统生成相应的业务数据库，这些数据通过数据传输平台上传到省级建设行政主管部门。负责完成各业务系统运行所需的软硬件环境以及数据传输的实现。