1、XXX交通公众出行服务管理系统初步设计方案目 录1概述11.1编制目的11.2文档专业术语解释11.3引用文档和标准22系统范围与目标33现状描述43.1国内公众出行服务系统分析描述4浙江省公众出行服务系统4江苏省公众出行服务系统6山东省公众出行服务系统7北京市和成都市公众出行服务系统83.2国外公众出行服务系统分析描述10日本VICS系统10美国Traffic交通数据网10欧洲的Ali-Scout12新加坡的智能化交通服务建设133.3本应用系统的现状134系统功能144.1功能描述14数据交换与共享15交通信息采集15数据处理与加工应用16信息发布服务18远程维护和更新21安全管理244.2、2业务流程254.3信息描述26表格26文本26多媒体数据27其他数据275系统用户描述276业务数据分类描述296.1自用数据296.2交换数据30接受其他部门的数据30提供给其他部门的数据316.3共享数据(附详细的数据元名称)327数据库部署347.1数据库特点357.2数据存储架构设计367.3数据管理运行模式368应用系统在网络平台上的配置描述398.1应用系统逻辑结构40硬件支撑层40系统软件支撑层42应用软件支撑层43数据交换层47应用层508.2设备部署508.3软件部署529系统安全539.1安全过滤53入侵检测系统54漏洞扫描系统55病毒防治系统55产品配置569.2数据安3、全59数据安全模式59数据备份要求599.3安全维护60访问控制策略60访问控制要求61安全审计619.4可信路径/信道629.4.1 VPN技术629.4.2 IPSec6310实施计划6311项目影响因素控制6412培训计划6512.1培训内容6512.2培训方式6613项目经费估算6613.1硬件设备采购费投入6613.2软件购置及开发费投入6713.3运行维护投入6814项目效益分析681概述1.1编制目的本项目编制XXX交通公众出行服务管理系统初步设计方案的目的,主要是在调查分析省交通厅“十五”期间建设的厅内局域网及“湖北交通”政府门户网站的基础上,为省厅领导交通行业部门人员交通企事4、业单位和社会公众开发建设省交通公众出行服务管理系统采用Internet可变情报板无线广播等方式向公众发布如交通流突发事件施工维修天气交通诱导等实时路况信息,在互联网上显示高速公路视频监控图像公(水)路沿途气象旅游景点等信息,提供交通规费通行费路径选择公路客运水路货运等信息查询,具有远程维护更新和网上投诉在线处理等功能本方案的编制遵照XXX电子政务一期工程应用系统(省交通公众出行服务管理系统)建设任务书,用于定义XXX交通公众出行信息服务管理系统业务覆盖范围系统目标国内外同类系统的现状分析本项目目前的现状建设情况系统功能软硬件结构系统安全考虑和投资预算等方案可以保证系统建设按照XXX电子政务建设5、的总体要求进行,作为评审本项目应用系统建设实施的主要依据项目方案由XXX交通厅通信信息中心编制并且是用于评审本项目应用系统建设的主要材料项目方案由XXX交通厅通信信息中心负责编制1.2文档专业术语解释GIS:英文Geographic Information System,中文指地理信息系统;VICS:英文Vehicle Information and Communication System,中文指道路交通信息通信系统;公路网:一定区域内相互连通交织成网状分布的公路系统;高速公路:具有四个或四个以上车道,并设有中央分隔带,全部立体交叉并具有完善的交通安全设施与管理设施服务设施,全部控制出入,专6、供汽车高速度行驶的公路;地理数据:指表征地理圈或地理环境固有要素或物质的数量质量分布特征联系和规律的数字文字图像和图形等的总称;地理信息:有关地理实体的性质特征和运动状态的表征和一切有用的知识,它是对地理数据的解释;信息系统:具有数据采集管理分析和表达数据能力的系统,它能够为单一的或有组织的决策过程提供有用的信息1.3引用文档和标准如表1-1:参考的内部文件政策法规序号内部文件法律法规名称编写单位1公路水路交通“十-五”发展规划交通部2交通部公路水路交通信息化“十一五”发展规划交通部3十五交通行业信息化实施方案交通部4关于加强公路数据库建设与管理工作的若干意见交通部5交通信息化建设指南交通部67、交通电子政务建设标准化指导意见交通部7中国交通电子政务建设总体方案交通部8XXX电子政务应用系统项目编制规范XXX电子政务办9中华人民共和国计算机信息网络国际互连网管理暂行规定(国务院令195号)10中华人民共和国保守国家秘密法11计算机病毒防治管理办法表1-2:参阅的标准序号标准名称现行标准级别1计算机软件需求说明编制指南GB 9385-19882计算机软件开发规范GB 8566-19883计算机软件产品开发文件编制指南GB 8567-19884计算机软件质量保证计划规范GB/T 12504-19905计算机软件配置管理计划规范GB/T 12505-19906计算机软件文档编制规范国标7计算8、机软件测试文件编制指南GB 9368-19888地理信息系统软件产品测试文件国标9计算机软件维护指南国标10数据通信规范国标11计算机网络规范国标12计算机网络互连规范国标13技术文档管理规范行标14计算机应用安全准则国标15计算机安全场地要求行标16城市地理信息系统软件开发规范行标17城市地理信息系统总体设计规范行标18城市地理信息系统子系统设计规范行标2系统范围与目标XXX交通公众出行服务系统服务范围涉及省领导行政管理和行业主管部门交通企事业单位和普通社会公众系统数据及信息主要来源于XXX交通厅及下属二级单位,包括厅信息中心省公路局省运管局省港航局省高路集团公司等的营运和管理部门,以及公安9、气象旅游等省直相关部门考虑XXX交通信息化建设的现状和系统时间要求,本设计方案的建设目标是以全省运营高速公路为重点,充分整合和利用各类交通信息资源,提供以高速公路为主的动静态信息和综合性服务,今年年底实现以高速公路为主的公众出行服务管理系统并试运行在互联网上发布高速公路道路信息(里程道路设施行驶限制沿路站点服务设施等)实时路况(车流量公路气象施工封路临时管制等),提供交通电子地图高速公路出行路线规划路径选择公(水)路交通规费查询高速公路通行费查询汽车维修和租赁信息查询省长途汽车客运站和省公路客运长途线路查询水运客运船舶和滚装船舶水运重点企业查询旅游信息查询等服务系统提供良好的用户界面,根据不同10、用户角色分配不同的操作权限,建立切实可行的系统远程维护数据更新和动态信息发布机制与此同时,系统设计考虑总体环境,提供与各类已有应用系统(包括客运管理系统高速公路运营管理系统等)的接口策略,并且为今后的功能扩展预留接口,以最大限度地整合各系统功能优势,提升实际系统效能,以服务公众出行3现状描述3.1国内公众出行服务系统分析描述 近年来,信息技术得到了较快发展,尤其在2004年到2006年,我国的公众出行服务有了飞速的发展在中国的大部分城市实现了部分开发的城市地图网上地理信息系统同时,在国内的部分城市和省份,也相继研发出了一批综合运用信息网络技术建设相对完善的省市交通信息系统的示范工程,如北京成都11、浙江山东和江苏等省市随着十一五计划的推进,我国将有越来越多的省市交通管理部门将着手建设公众出行服务系统3.1.1浙江省公众出行服务系统图3-1:浙江省公众出行主页面浙江省公众出行服务系统(浙江公众出行服务系统提供的信息服务有:(1) 实时交通信息:浙江省公众出行服务系统采用了监测站实时监测技术,实时将浙江省主要道路交通事故信息临时管制信息道路维护和关闭信息车流量信息等(2) 针对自驾车出行者的信息:浙江公众出行服务系统中,提供了针对驾驶员的一些信息,主要包括时间敏感信息,天气信息维修信息驾驶培训信息交通规费信息加油站信息租赁信息服务区信息景点和酒店信息等(3) 路径选择及行程规划:用户可以向系12、统输入出发地和目的地,系统将给出从出发地位置到达目的地的位置的可使用的交通工具各种交通工具所需的时间出行费用,以及每天各类出行的方式的其它信息(4) 地图查询服务信息:浙江省公众出行服务系统还利用先进的GIS技术,为公众提供路网地图查询服务,包括目的地查询主要道路查询以及高速省国道设施查询等信息(5) 从业者及电子政务服务:除了提供公众出行信息服务外,浙江公众出行服务系统还结合从业者的需求和政府的管理职能,为公众提供针对从业者的招标公告中标公示行政许可曝光台建设市场交通运输质监造价交通规费的行业信息,以及针对政府管理需求的电子政务:组织机构 政务公开最新文件领导讲话交通概览六大工程交通法规交通13、科技网站特点:(1) 与各管理部门及相关单位合作,将相关行业信息实现合作共享,为公众出行服务提供了有力的保证(2) GIS地图系统的使用,为公众出行的地图查询提供了详细而有力的保证(3) 将行业者及电子政务与公众出行相结合,在为公众服务的同时,也为行业管理,政务管理打造了一个信息沟通传替平台(4) 视频监控系统的应用,为服务系统增加亮点(5) 采用互联网呼叫中心移动终端无线广播视频和电子显示屏等方式进行交通静动态信息发布3.1.2江苏省公众出行服务系统江苏省道路客运综合信息服务系统(图3-2:江苏省公众出行主页面江苏省道路客运综合信息服务系统提供的信息服务有:(1) 交通状况信息:依托江苏交通14、网,为公众提供江苏省主要公路路网信息,主要包括:管制信息施工信息封闭信息等(2) 针对自驾车用户的服务信息:在江苏省道路客运综合信息服务系统中,也为自驾车用户提供了较多的服务信息,如违章信息中里提供的车辆违章查询信息业户违章查询信息车辆违章信息公告业户违章信息公告外省违章车辆查询的服务,高速路沿线设施信息车辆查询信息天气信息等(3) 公交客运信息:在其系统中,依托各城市的公交服务体系,为公众提供了各主要城市的公交查询报务,从江苏各地到达全国的客运服务查询系统等(4) 其它服务信息:江苏省道路客运综合信息服务系统还为公众提供了交通黄页信息交通地图查询电子政务等服务信息网站特点:(1) 充分发挥政15、府职能部门的优势,将其它部门的网站服务信息充分综合并进行整理,形成了一套自身的出行服务系统(2) 违章信息的加入,为所有自驾车用户的违章信息查询提供了服务平台,同时也将使网站的服务提升到一个更高的高度(3) 以江苏为核心,向全国发散的城际出行行程规划系统的提出,为用户的出行选择提供了指导3.1.3山东省公众出行服务系统山东省公众出行服务系统是山东省交通厅打造的一个以门户网站()出行咨询中心(96669)手机短信交通广播可变情报板警示标志出行服务手册等手段的系统工程,“出行服务系统”可为公众提供较为完善的出行信息服务可以为驾车出行者提供路况道路通行量施工沿途气象环境等信息;可以为乘车出行者提供票16、务营运站务转乘等信息图3-3:山东省公众出行主页面山东省公众出行服务系统提供的信息有:(1) 实时路况信息:山东省公众出行服务系统采用收费站监测系统,以全省的高速公路和国道省道为主,提供包括交通管制施工占路和交通事故的实时信息服务;(2) 特色路网示意图:依靠详细的地图系统,山东省公众出行服务系统为公众提供了包括全省路网图区域路网图重点城市路网图以及主要线路图信息查询服务同时,依托各收费点的监测系统,向公众提供主要道路的相关路况情况;(3) 多方式行出行规划信息:以山东为中心,提供了包括长途客运飞机火车轮渡等多种方式出行的规划信息查询服务;(4) 其它服务信息如天气情况交通常识旅游景点信息酒店17、信息等网站特点:(1) 特色的电子地图查询系统网站电子地图划分细致,让用户能根据自己的需求迅速在地图中找到相应的信息(2) 多方式的出行路线规划,提供交通换乘及城际或省际间的交通线路信息3.1.4北京市和成都市公众出行服务系统北京市和成都市公众出行服务系统与浙江江苏和山东不同,它是以城市路网为基础,为公众提供交通出行信息服务l 北京市公众出行服务系统北京市公众出行服务系统推出的交通眼实时交通路况信息发布系统提供了快速直观查询北京交通状况的服务,此系统采用完全自主知识产权的数据采集处理和发布技术,路况信息每5分钟全面更新一次,以地图形式实时展示北京市五环以内几乎所有道路的交通状况,公众可据此选择18、出行线路,避开拥堵路段同时,根据北京城市交通的特点,北京市公众出行服务系统还专门为自驾用户提供了包括汽车维修汽车租赁停车场等行业数据库,并利用文字,图片,动画等形式为公众提供包括立交桥行车示意,拥堵路段绕行示意,重要路段行车示意等行车导航服务,为缓解北京紧张的交通压力提供了有新的渠道图3-4:北京市公众出行主页面l 成都公众出行交通信息服务系统图3-5:成都市公众出行主页面成都公众出行交通信息服务系统是成都市交通委承办的,将办公自动化网络办证路政管理联网售票等11个系统的数据库资源整合的服务系统,系统建完后,市民可以通过网站()热线(114和962999)触摸屏等多种方式,全天候查询到我市的城19、市综合交通公众信息,包括高速公路信息长途客运信息维修救援信息交通路况信息等系统重点为自驾车出行的用户提供了各类服务外,还将成都旅游景点作了详细介绍,同时推出了农家乐特色服务,为网站服务增色不少3.2国外公众出行服务系统分析描述许多发达国家近年来投入了大量的人力物力和财力对先进的交通信息系统进行研究试验和开发目前,国外基于Internet的交通信息发布现已相当普及,如日本的VICS系统美国Traffic交通数据网等,发布的信息包括:新闻交通事故道路情况反馈意见电子地图视频实时路况信息查询等3.2.1日本VICS系统VICS是一种动态交通数字数据通讯系统,由四个方面组成,即信息的收集;信息的处理编20、辑;信息的提供;信息的利用它将及时的交通流量信息交通事故信息交通管制信息(包括路段时间和管制措施)道路施工信息停车场及高速公路服务区等停车区域的车位状况信息车辆旅行时间和紧急提示警戒等信息通过文字图片和视频等方式发布给公众其目的是使道路管理者和使用者方便地获得所需的交通信息,帮助驾驶员选择行动路线,疏散交通流量,将整个交通状况向理想的状态引导,使交通顺畅和安全截止2000年10月,在日本有28个地区可以提供VICS服务其中规模较大的是东京圈爱知地区关西圈福冈圈3.2.2美国Traffic交通数据网T网站是为公众提供实时交通信息服务的网站,其拥有美国主要干线道路的独立感应网络,收集全美各州路况信21、息的数据在网站上,所有感应器网收集了的路况信息通过TIMS系统 (TrafficInfomation Management System)合并目前,TRAFFIC.com能提供美国35个城市的交通讯息,包括车流事故实时图片等信息所有的路况信息可以在网站以及其他载体上看到,还能通过50家以上的电视台和广播电台传送同时,T公司为美国最大的大城市地区的电台和电视台提供全天24小时的交通信息通过这些信息,用户能了解哪一条街有塞车,而哪一条街行使通畅,甚至能知道哪里发生了车祸,以及情况的严重程度,同时,35个城市的数据,为用户城际出行提供最详细实时交通信息图3-6:Traffic数据网主页面T网站服务有22、:(1)通过各种渠道向用户提供准确的及时的动态的交通信息: 动态的城市路况信息 各城市动态事件信息(包括施工占路事故信息等) 35个城市的交通路况报告 主要干道连接信息 主要路段影像实时监控信息 (2)针对自驾用户,网站还专门提供了行车导航服务 自驾出行路线设计 自驾出行路况提示 自定义路线路况报告 路卡收费站报告 重要桥区行车导航信息 (3)多渠道服务方式: 电话路况提示服务 PDA路况提示 邮件路况提示 手机提醒(个人数字助理) (4)实时交通地图查询 城市交通状况地图查询 主要道路交通情况查询 实时路况地图查询3.2.3欧洲的Ali-ScoutAli-Scout是由德国西门子公司开发的交23、通信息系统(ATIS),主要是以红外通信方式完成交通信息的交换ALI-Scout由三大部分组成:(1) 道路上红外线信标设施(2) 车载导航装置(3) 信息处理中心欧洲的ATIS项目的目标是向出行者提供及时的信息信息内容主要包括:(1) 当前和预报的交通状况信息(2) 天气状况信息(3) 可替换的交通方式信息(如:公交(4) 停车场停车车位信息(5) 旅馆和饭店的位置信息等(6) 交通事故(7) 道路施工信息3.2.4新加坡的智能化交通服务建设新加坡于九十年代便开始发展出自己的GLIDE(Green Link Determining System)系统来监视各主要公路交叉口的交通流量,从而控制24、各交通灯讯号以疏导繁忙的行车线在高速公路上,新加坡建立了EMAS系统(Expressway Monitoring and Advisory System快速道监视与指挥系统),就是在高速公路上安装了一连串名为J-EYES(Junction Electronic Eyes)的摄像机,如有交通意外事故,EMAS会通过公路上的VMS电子信息板(Variable Message Sign)告知驾驶者路面情况此外,所有的摄像机也会连接GLIDE系统以协作完成路口交通讯号管理此外,新加坡利用装有全球卫星定位系统(GPS)的出租车来采集交通动态信息和监测道路交通情况通过网采用文字地图和图片等方式将交通信息及25、时发放给道路使用者发布信息包括道路施工信息停车场信息实时路况信息交通旅行时间计算等3.3本应用系统的现状“十五”期间,湖北交通系统包括厅机关直属单位和市州交通局(委)全部建成了局域网,并通过光钎传输或拨号与厅信息网实现了互联互通,为建立省交通公众出行服务管理系统数据采信和共享传输提供了良好的软硬件条件1998年建成“湖北交通”政府网站,几年来进行了七次改版和技术升级同时,厅下属各单位都建设了自己的网站,公众通过“湖北交通”政府门户网站可以任意访问这些网站通过这些网站为公众提供公交线路查询公路客运信息路况信息路线指引行车常识路况信息和天气预报2002年12月,全省高速公路实现联网收费,高路集团公26、司2004年开通了“96576”服务热线电话,24小时为公众提供救援投诉和咨询等服务与此同时,省交通厅正在建设全省高速公路监控系统,实时对高速公路的车流量路况等信息进行监控所有这些,为顺利开展本项目的设计和方案实施奠定了坚定的基础省交通公众出行服系统项目已经完成了需求分析和大纲编写工作,目前,系统建设处于设计方案编写阶段,为系统实施提供详细的设计文档系统按计划将在年底完成以高速公路为重点的公众出行服务系统并试运行4系统功能4.1功能描述XXX交通公众出行服务管理系统是一个面向社会公众,为政府相关部门企事业单位普通社会公众提供综合交通信息服务,提供网上办事信息交换的渠道,向交通管理者提供一个综合27、交通管理的业务平台,同时又也是公众获取动静态交通信息的主要方式之一系统的建立对于构架道路交通管理者与交通参与者的桥梁提升交通信息服务能力,使交通管理更上一个台阶,促进交通管理现代化信息化的发展省交通公众出行服务管理系统由数据交换与共享交通信息采集数据处理与加工应用信息发布服务远程维护和更新安全管理六个子系统组成,组成结构如图所示:图4-1:省交通公众出行服务管理系统4.1.1数据交换与共享作为交通行业的主管部门,省交通厅自身拥有大量权威准确的交通信息,包括交通规费长途客运汽车维修和租赁高速公路通行费公路气象和动态路况信息等,这些信息来自厅下属的公路局运管局港航局高路集团公司等交通管理部门的各类28、系统,目前各个应用系统的接口和协议不尽相同,所以需要对不同的应用系统进行集成,也就是消除接口的不兼容性,这样才能使不同系统产生的数据可以互相进行访问和利用因此,需要采用数据交换平台通过厅内部专网或其它传输手段进行交换并实现共享,在此基础上可以将数据以统一的格式在门户上对外发布,为公众提供交通信息服务数据交换平台基于XML的信息封装技术实现提供推和拉的处理模式该平台通过使用一种可视化界面的映射程序,建立异构系统的数据格式间的转换映射程序专为包括简单的父子树型关系以及繁琐复杂的记录循环与层次型结构在内的各种映射情况而提供的,不仅允许以XML数据格式进行开放式规范转换,同时还允许将XMLEDI以及平29、面文件型商务文档转换为其他格式4.1.2交通信息采集XXX公众出行服务管理系统涉及的信息种类主要有两部分组成:(1)静态交通信息:是指具有相对稳定性的,在一段时间内可以在各项管理任务中重复使用,不发生质的变化的交通相关信息这类信息主要包含:l 高速公路信息(服务区收费站加油站互通立交桥梁隧道);l 高速公路通行费数据;l 省运管局数据(公路交通规费驾驶培训省长途汽车客运站省公路客运长途线路);l 省港航局数据(水路交通规费水运重点企业等);l 旅游景点数据等这类数据改动量相对较小,对实时性要求相对较低(2)动态交通信息:是反应活动中实际进程和实际状态的交通信息随活动的进展不断更新,因此时间性较30、强,一般只具有一次性使用价值动态信息采集主要有通过高速路视频监控系统进行交通状况的视频信息采集通过高速公路已有或即将建立的交通流检测设施进行交通状况信息的采集采集的信息包括:l 高速路交通事故交通管制临时封闭信息l 高速路交通堵塞和车流量等信息l 公路气象信息这类数据改动量相对较大,对实时性要求相对较高以上信息主要来源于XXX交通厅及下属二级单位,包括厅信息中心省公路局省运管局省港航局省高路集团公司等的营运和管理部门,以及公安气象旅游等省直相关部门因此数据的采集工作主要由各个中心整理自己本部分的数据,初步整理后提交给本系统的管理人员由系统管理人员对数据内容进行审核和提交4.1.3数据处理与加工31、应用XXX公众出行服务管理系统数据信息的特点有:(1)原始数据来源的分散性(2)信息资源的非消耗性(3)信息量大(4)信息处理方法的多样性(5)信息的发生加工应用在空间时间上的不一致性这些特点决定了必须对数据进行相应的处理才能应用到系统中,从而实现数据的访问和交换共享的目的数据处理与加工,主要是对各类数据经过数据处理,进行数据整合与关联,实现对不通信息需求的数据抽取,适应本系统或其它系统不同交通管理业务的需求针对数据处理,系统采用的方法有以下几种:(1)提交数据的电子文档如记事本word格式 此方法各部门中心要参与的工作量较少,主要有系统管理员对数据进行分析,然后采用数据这样就增加了系统的管理32、成本,不过产生的数据信息正确性相对好一些(2)由各个部门中心自行录入 此方法是由系统开发人员开发相应的管理系统,对各个部门中心开通自己的上传管理权限,比较适合数据量不大的时候,可能需要对部门中心的人进行简单的培训这样新的数据的移交相对比较快,而且把数据的移交工作分散到各个部门中心,减少了系统管理人员的工作主要适用于流动数据的提交(3)采用批量数据倒入此方法比较适合大量固定数据的提交,需要对数据要求有一定的格式,或者数据是ExcelAccess等数据格式,批量倒入由系统开发人员完成,是效率比较高的一种方式(4)跨库倒入 如果已有的数据已经存放到数据库中,而且有专门的人员对数据库进行维护,可以通过33、系统开发人员开发的程序周期性的读取数据库表格中的数据,这样一个人的工作就可以得到多次利用,提高效率,主要适用于流动数据的提交(5)数据共享 如果有部门中心要读取系统数据库中的数据可以通过web service技术实现数据的共享读取XXX公众出行服务管理系统数据加工应该遵行的原则:(1)及时:一是对一些时过境迁并且不能追忆的数据要及时记录;二是数据检索传输要快(2)准确:数据不仅要及时,而且要求准确地反映实际情况(3)适用(4)经济:数据的及时性准确性和适用性必须建立在经济性的基础上 结合以上原则和XXX公众出行服务管理系统数据信息的特点,对于不同的数据转移应结合实际情况作出规划和选择,以满足公34、众出行服务系统用户访问的需要信息发布服务公众交通信息可以通过门户网站可变情报板语音短信等多种方式进行发布,系统暂且以互联网发布为主,但预留其余发布方式的接口,不需做任何改动即可随时增加新的信息发布方式通过建立省交通公众出行服务管理系统门户网站,提供公路客运信息航通及水运信息沿途旅游信息交通规费信息等,将高速公路施工封路交通事故公路气象等信息及时发布,实现对公众交通信息的发布服务门户网站功能结构图如下:图4-2:XXX公众出行服务管理系统门户网功能结构网站功能包括:(1)交通地图:在WebGIS的呈现界面上显示XXX交通路网高速公路服务设施及其附属设施以及交通图册等各种地理信息数据,通过GIS引35、擎实现相关目标图形数据及属性数据的双向查询;(2)出行导航:利用WebGIS给公众提供从出发地到目的地的最短(优)行程里程费用,综合多因素的行程规划客运查询等,其中客运查询包括火车(飞机)长途汽车客运等信息的查询;(3)动态路况:利用电子监控设备,以全省运营高速公路为重点,建立动态路况发布播报系统,可以及时向公众提供包括交通事故信息交通管制信息施工占路信息重要路段流量信息交通气象信息以及固定路段定时影像监控信息,同时还可以以图片的形式向公众发布重要路段的实时监控图像信息(4)出行参考:为公众出行提供汽车维修点加油站汽车租赁等出行信息查询,还包括火车飞机时刻表交通常识和交通法规及交通黄页信息;(36、5)休闲旅游:将本省的旅游资源及推荐的旅行景点和线路通过地图文字多媒体等形式进行展现,供公众查询使用;(6)费用查询:提供公路水运方面的交通规费查询,以及高速公路通行费查询,可以根据行驶路线车型车重等信息查询通行里程通信费用等,包括按车型查询和计重查询;(7)其他服务:提供网上投诉业务,可以对省内交通行业企业的服务质量向政府各级管理机关提出意见或建议,也可向上级机关投诉,维护公民的合法权益同时,相关管理部门针对用户提出的意见,进行在线处理,并将相关的处理结果向公众公示此外还可以进行网站导航,并与省下属可市州运管理港航局等网站相链接,最大限度的满足公众出行要求,为公众提供周到的交通信息服务(8)37、远程管理:通过门户网站,系统管理员或被授权的用户可以远程维护更新,及时发布最新交通信息根据用户权限,为各类用户分别提供不同权限的内容检索和统计分析查询功能包括数据库检索网站检索各种方式的数据库分类统计等功能,为用户的决策和管理提供参考信息作为在政务外网或互联网上发布交通信息的网站,其首先的设计如图所示Web首页包括以下内容:1)出行提示:最新的交通管制信息施工占道信息,最新的政策信息重大活动信息,重要突发交通事件 2)公路地图:GIS地图,点击进入地图主界面3)高速公路路况动态:实时播报各主要分段的准确路况信息4)高速天气:主要高速公路的天气情况5)服务导航:列出与公众出行比较紧密的企事业信息38、如省长途汽车客运站等6)提供公路信息检索:含出行起止点路线地点等搜索7)提供服务导航检索:含租赁维修驾驶培训等信息检索8)提供高速公路通行费用查询9)高速公路出行预警10)友情连接 远程维护和更新XXX交通公众出行服务管理系统数据以地理信息数据和交通信息数据为主,其中地理信息数据包括XXX公路交通地图XXX公路电子地图XXX公路规划地图XXX境内国道省道干线公路分布图等以图形形式展示的数据,其中XXX公路电子地图包含详细的全省运营高速公路路网图交通信息数据包括静动态交通信息静态交通数据包括高整公路沿线电话亭加油站服务区桥梁隧道以及从其它系统获取的公路客运水运等信息,动态交通数据包括高速公路各路39、段的车流量拥堵情况施工维修封闭临时管制封闭后的路线等对于本系统来说,必须保证数据的准确现势性,才能切实为公众提供良好服务,因此就存在数据维护和更新的问题系统提供良好的远程维护和数据更新机制,采用基于角色的权限管理方法,对出行者进行权限管理身份认证等,使出行者只能获取指定的服务,看到指定的内容,同时对不同的系统维护人员进行管理,赋予不同的维护人员,创建服务信息,修改服务信息,删除服务信息等的不同的操作权限,并对操作进行审核如运管局进行公路交通规费省长途汽车客运站公路客运长途线路等信息的维护和更新;省港航局进行水路交通规费水运重点企业等信息维护和更新;省高路集团公司进行高速公路动态路况信息的发布等40、,从而保证系统发布公众交通信息的现势性和可靠性,更好的为公众出行服务并且保证系统数据不被非法修改,并能得到及时更新远程维护和更新子系统可分为系统管理模块日志管理模块用户管理模块数据管理模块实时信息模块其他管理模块4.1.5.1系统管理模块该模块用于增加管理员,并对管理员分配权限授权后的管理员能够对赋予权限的模块进行管理,其操作内容记录日志管理模块中,供更高级别的管理员查看主要包含的功能:(1)添加管理员权限组,并对组进行管理(2)添加管理员,并对管理员进行权限分配和管理(3)得到分配修改管理员权限(4)管理员登录启用停用4.1.5.2日志管理模块该模块用于查看管理员对其赋予权限管理模块的操作日41、志,以及对日志进行备份等操作具有该模块管理权限需要通过系统管理模块授权,操作内容记录到日志管理模块中主要包含的功能:(1)日志的添加(2)日志的备份(3)日志的列表4.1.5.3数据管理模块该模块用于系统基础静态信息的管理,包含有交通地图省运管局数据管理省港航局数据管理高速公路信息管理高速公路通行费管理旅游景点等各个频道内容的管理,该模块为系统前台用户提供内容服务,提供信息的浏览和下载具有该模块管理权限需要通过系统管理模块授权,操作内容记录到日志管理模块中主要包含的功能:(1)各个频道数据的添加修改删除(2)各个频道数据的列表(3)各个频道数据推荐审核(4)各个频道数据的统计4.1.5.4实时42、信息模块该模块用于系统实时动态信息的管理,包含有公路气象数据管理高速公路路况动态信息数据管理等内容的管理,该模块为系统前台用户提供实时内容服务,提供信息的浏览和下载具有该模块管理权限需要通过系统管理模块授权,操作内容记录到日志管理模块中主要包含的功能:(1)动态信息数据的添加修改删除(2)动态信息数据的列表 (3)动态信息数据的统计4.1.5.5用户管理模块该模块用于对系统注册用户的管理,查看用户的注册信息以及用户的属性,能对用户属性进行少量的操作具有该模块管理权限需要通过系统管理模块授权,操作内容记录到日志管理模块中主要包含的功能:(1)用户的注册,用户身份的验证(2)用户的个性服务(3)用43、户的初始化密码修改密码(4)用户信息的修改登录4.1.5.6其他管理模块该模块包含调查管理公告管理友情连接管理个人管理等管理内容,主要为系统提供必要的可选服务,具有该模块管理权限需要通过系统管理模块授权,操作内容记录到日志管理模块中主要包含的功能:(1)调查选项结果管理(2)系统公告管理接口(3)友情连接管理接口(4)个人修改自己信息密码4.1.6安全管理安全管理子系统主要包括用户访问权限系统安全数据备份与恢复三项内容访问权限是定义用户访问有关资源能力的权利,网站资源包括:数据内容日志内容权限控制等访问权限由系统管理员超级用户或部门经理根据管理结构赋予用户,包括:l 登录权:规定有权限的用户在44、激活状态下能登录系统的后台管理内容 l 访问权:控制已登录用户对系统资源的使用 l 执行权:定义已登录用户对数据的读修改删除等权力,没有适当权限(或允许)的用户不能更改或删除数据信息 l 操作权:操作权力往往被赋于组,组内的用户具有该组所有的权力组包括管理员组高级用户(助理管理员)组用户组(普通用户)备份操作员组具有备份和重存的操作权省公众出行服务管理系统由于设计到多个部门中心的数据,所以管理权限要明晰,并且有相关的管理操作日志供查询管理权限按照访问权限的定义可按不同的部门中心划成不同的权限组,每个权限组可以具有一个或多个不同的管理权限,每个管理权限有着多个不同的可操作权限供分配,每个权限组中45、的权限可以有交叉也可无交叉其中系统管理员组具有系统的最高权限,其中可以操作的主要内容包含(1)设定管理员权限组(2)开通添加管理员,并赋予相应的组权限(3)管理系统的日志(4)后台各个栏目的所有可操作权限系统安全数据备份与恢复主要保证系统安全可靠运行,以防宕机病毒攻击等原因导致系统瘫痪或数据丢失等严重后果在系统数据发生错误或数据丢失的时候,通过远程维护能够快速恢复4.2业务流程根据系统的功能划分,系统的业务流程如下图所示:图4-3:省交通公众出行服务管理系统业务流程通过数据传输与共享子系统,采用数据交换方式,将公路局运管局港航局高路集团公司等交通管理部门的各类系统存储的公众出行相关数据向系统数46、据管理子系统提供,与此同时,交通信息采集子系统将高速公路实时获取的车流量交通管制临时封闭视频监控图像等数据也向系统数据管理子系统提供,所有与公众出行相关的数据统一保存到由交通地理信息库交通综合信息库动态交通管理信息库公众出行服务信息库组成的公众交通数据仓库里,其中交通地理信息库主要存储公路电子地图高速公路出口分布高速公路服务设施情况等地理信息数据;综合信息库存储系统用户信息安全日志信息等;动态交通管理信息库存储高速公路的实时路况车流量视频监控等信息;公众出行服务信息库主要存储休闲旅游信息路线选择出行方案长途客运站点等与公众服务相关的信息本系统或其它系统与公众出行相关的数据经过数据处理加工(包括47、格式转换等)及与其它系统的数据进行关联整合,生成满足本系统或其它系统应用业务要求的数据,从而可以通过信息发布服务子系统向公众发布同时远程维护和更新子系统负责系统数据管理和更新,保证系统数据不被非法修改,并能得到及时更新在整个系统业务流程中,安全管理子系统始终扮演重要角色,公众出行者或系统各类维护人员根据自身的权限进行相应的操作,同时具备系统安全及数据备份与恢复功能,为公众出行提供稳定服务4.3信息描述表格序号表格名称表格种类表格说明备注1动态路况信息采集表.xls省高路集团公司及各路段公司采集动态路况信息填写的表格2公路路况信息采集表.xls省高路集团公司及各路段公司采集公路路况信息填写的表格48、3交通气象数据交换表.xls和气象部门进行气象数据交换的表格4旅游信息交换表.xls和旅游部门进行旅游信息交换的表格5客运班次信息表.xls和客运公司进行客运信息交换的表格文本序号文本名称文本种类文本说明备注1网站管理维护规定.doc关于出行网站的管理维护的规定2动态路况信息采集发布规范.doc关于动态路况信息采集发布的规定3公路路况信息采集发布规范.doc关于公路路况信息采集发布的规定多媒体数据序号数据名称数据种类数据说明备注1电子地图语音提示.mp3进行路线规划导航时进行语音提示2监控视频.MPG监控仪器的监控录像3路况图片.JPG公路桥梁等图片信息4动态信息图片.JPG动态事件的图片信息49、其他数据序号数据名称数据种类数据说明备注1公路基础数据关于公路属性的各项基本数据2公路环境信息关于公路环境的各项数据3附属设施信息关于公路附属设施的各项数据4加油站位置信息关于加油站的各项数据5动态路况信息关于动态路况的各项数据6气象信息关于公路沿途气象的各项数据5系统用户描述交通信息服务的用户可以分为省领导决策部门交通管理相关业务部门企事业单位普通社会公众等,不同用户对交通信息的需求不同,因为系统分给不同用户的访问权限也相应用所不同,如普通社会公众只能对交通信息进行浏览查询,交通管理业务部门则可以编辑修改进行数据维护更新和信息发布为了较全面的了解公众的出行需求,我们根据不同的用户分别进行了分50、析,如表5-1所示表5-1:系统用户分析序号用户名称用户类别用户分布用户权限1省领导决策部门(省委省政府)高级用户政务外网综合查询检查省交通公众出行服务管理系统运行情况影响交通的特殊情况报告的接收;提供相关应用系统数据接口,为领导部门在制定政策实施管理等方面提供决策参考2系统的维护管理人员系统管理员互联网对系统进行整体的测试维护,监督矫正被授权管理维护人员的数据处理,保证系统的安全运行3交通管理相关部门(省交通厅省运管理局高路集团等)系统管理员或被管理员授权的系统维护人员或管理员组政务外网按照系统管理员赋予的权限对系统进行相应的权限管理如高路集团可发布和查询交通状况信息,包括道路施工交通事故重51、大活动安排信息交通管制信息等同时可对数据进行远程维护和数据更新,为系统的使用提出意见,由技术人员进行修改4一般企事业单位科研机构注册用户/普通管理员互联网查阅实时的交通运行状况信息,获取道路交通流的长期历史数据,为企事业单位车辆管理调度及研究开发提供数据支持和决策依据5自驾车出行者普通用户互联网出行路线规划路径优选查询加油站高速公路出入口交通规费高速公路通行费交通法规等信息6旅游出行者普通用户互联网查阅旅游景点推荐旅游路线沿途气象交通常识交通黄页等信息7一般出行者普通用户互联网查阅公路客运水运信息火车(飞机)时刻表客运线路途经站点等信息6业务数据分类描述6.1自用数据序号数据目录分类数据元名称52、数据用途备注1公路属性信息管养单位名称/路线代码/路线简称/路线地方名称/路段起点桩号/路段止点桩号/路段起点名称/路段止点名称/里程/路段编号/晴雨通车里程/已实施GBM里程/已实施文明样板路的里程/平交口/平交口中公铁交叉/涵洞/渡口数/机动渡口数/养护里程/道班/道班工人/可绿化里程/已绿化里程/通车日期/变更日期/是否城管路段/是否断头路路段/重复路线代码/是否为匝道/是否超期服役/养护类型(按时间分)/养护类型(按资金来源分)/所在地名/技术等级/车道分类/最小平曲线半径/最大纵坡/管养单位所属行业类别/路基宽度/面层类型/路面宽度/地形/开工日期/竣工日期基本业务数据2桥梁信息桥梁53、编号/桥梁名称/桥梁中心桩号/按使用年限分/跨越地物名称/桥梁跨径分类/桥梁全长(米)/桥面净宽(米)/主桥孔数(孔)/主桥主跨(米)/主桥边跨(米)/前引桥长(米)/后引桥长(米)/桥下净高(米)/桥墩类型/桥台类型/桥面铺装类型/伸缩缝类型/支座类型/设计荷载等级/抗震等级/通航等级/弯坡斜特征/总造价(万元)/设计单位名称/施工单位名称/监理单位名称/桥梁验算荷载/跨越地物类型/上部结构形式/技术状况评定/设计洪水频率(年)/立交桥类别/单孔最大跨径(米)/桥梁跨径组合(米*孔)/跨径总长(米)/桥梁全宽(米)/下部结构形式/人行道宽(米)/立交桥跨越各路线/立交桥连通各路线/建设单位名54、称/桥梁用途分类/桥梁高度(米)/桥面标高(米)/基础结构型式/引桥结构型式/拱桥矢跨比/桥面纵坡/桥面线型/桥位地形/上部材料类型/下部材料类型/主桥截面型式/引桥截面型式/河床地质及纵坡/河床最低标高(米)/设计洪水位/常年水位/历史最高洪水位/河床变迁/寻常洪水位/匝道(平米)/匝道(公里)/建设性质/路线代码/路线简称/通车日期/变更日期/所在地名/工程号/管养单位分类/管养单位所属行业类别/养护单位/开工日期/竣工日期基本业务数据3隧道信息管理单位名称/行政区划/建设性质/路线代码/路线简称/通车日期/变更日期/所在地名/工程号/管养单位所属行业类别/养护单位/总造价(万元)/设计单55、位名称/施工单位名称/监理单位名称/人行道宽(米)/建设单位名称/隧道编号/隧道名称/隧道入口桩号/隧道长度(米)/隧道净宽(米)/隧道净高(米)/洞口形式/断面形式/隧道排水类型/安全通道数量/隧道照明/隧道电子设备/消防设施/隧道中心桩号/隧道全宽(米)/修建日期/隧道按长度分类/衬砌材料/路面面层类型/隧道通风基本业务数据4动态路况信息管理单位名称/行政区划/路线代码/路线简称/施工起止点桩号/施工长度/作业面宽度/行车方向/影响车道数/施工开始结束时间/施工通行等级/绕行方案/现场联系人/现场联系电话/事故地点/事故原因/阻断地点/阻断原因/预计恢复时间信息发布与交换5多媒体信息交通道56、路媒体信息/相关建筑物媒体信息/周边环境状况媒体信息/工程实施状况媒体信息基本业务数据6.2交换数据接受其他部门的数据序号数据目录分类数据元名称数据用途数据来源交换频率交换数据流量备注1XXX公路地图等级公路1:50000基础地理信息数据及更新数据政务协同测绘部门每年1次100M/年2交通气象信息所在区划/气象状况/影响范围/覆盖路段信息/时间/预计气象信息/出行建议政务协同气象部门每天1次20M/天3旅游信息旅游景点名称/地理位置/基本介绍/特色/适宜旅游季节政务协同旅游部门与旅游部门信息保持同步更新10M/次4火车飞机时刻表名称/代号/起始站/终到站/途经站点/到各站点时间政务协同铁路民航57、部门与铁路民航部门保持同步更新5M/次5客运信息客运站名/车次/站名/政务协同客运站实时1M/次提供给其他部门的数据序号数据目录分类数据元名称数据用途数据来源交换频率交换数据流量备注1公路规划地图XXX公路规划地图名称等级政务协同规划部门每年1次20M/年2高速公路路网已建在建规划的高速公路名称/位置/途径县市/出入车道数量/邻接干线道路政务协同省委省政府规划部门时时10M/次3动态路况信息高速公路施工维修封闭交通事故及其它突发事件等政务协同省委省政府实时动态1M/次6.3共享数据(附详细的数据元名称)序号数据目录分类数据元名称使用者共享存储位置更新频率备注1公路基础信息管理单位/路线代码/路58、线名称/里程/技术等级/面层类型省电子政务网交通地理信息库每天2高速公路收费站名称/位置/出入车道数/邻近干线道路/可达县市/性质/收费年限/收费标准/所属区域/备注说明省电子政务网交通地理信息库定期3高速公路服务区名称/位置/所属区域/联系电话/服务设施/服务内容/备注说明省电子政务网交通地理信息库定期4高速公路互通立交名称/位置/连接高速公路名称/备注说明省电子政务网交通地理信息库定期5高速公路桥梁隧道名称/位置/行驶限制/所属区域/备注说明省电子政务网交通地理信息库定期6高速公路通行费车辆分类标准/各路段高速公路计重收费标准/各路段高速公路公路车型收费标准省电子政务网交通地理信息库定期759、动态路况信息车流量/拥堵情况/平均车速/路线名称/路面状况/施工信息/事故信息/水毁信息省电子政务网动态交通管理信息库实时8客运线路线路名称/途径走向/起止站点/终点站/总行程/经营单位名称/地址/联系电话/沿途依靠站点/发车时间/票价等级/备注说明省电子政务网公众交通服务信息库定期9公路交通规费征收机构/征收项目/范围/标准/依据/缴费方式/规范缴费状况(养路客附货附运管)省电子政务网公众交通服务信息库定期10驾驶培训驾校名称/地址/等级/所属区域/电话/基本介绍/主办单位/备注说明省电子政务网公众交通服务信息库定期11汽车租赁公司名称/地址/电话/租赁车类型/网址/相关信息/收费情况省电子60、政务网公众交通服务信息库定期12汽车维修企业名称/企业级别/营业执照/法人/简介/地址/邮编/联系方式/运营类型123/特约维修汽车品牌/三位一体/四位一体省电子政务网公众交通服务信息库定期13长途客运站全省二级以上的客运站名称/地址/所属区域/到达的公交/主要班车路线/首发班车/末发班车/咨询电话/订票电话/监督电话/备注说明省电子政务网公众交通服务信息库定期14水路交通规费征收机构/征收项目/征收范围/征收标准/征收依据/缴费方式/缴费状况省电子政务网公众交通服务信息库定期17水路客运船舶和滚装舶客运站及滚装码头名称/登记号/地址/所属地市/船舶所有权登记证号/船舶运输证号/航线/航班/订61、票电话/咨询电话/备注说明省电子政务网公众交通服务信息库定期18交通黄页交通重点企业名称/级别/简介/地址/联系方式/网址/主营业务/相关信息省电子政务网公众交通服务信息库定期19交通常识常识主题/简介省电子政务网公众交通服务信息库定期20交通法规名称/简介/颁布时间省电子政务网公众交通服务信息库定期21加油站名称/位置/联系电话/加油种类/所属区域/备注说明省电子政务网公众交通服务信息库定期7数据库部署考虑到本项目为一期建设工程,数据库逐级考虑其层次部署:首先,建立省级出行服务核心数据库节点,包括交通地理信息库综合信息库动态交通管理信息库公众交通服务信息库等,承担所有信息处理和数据备份过程考62、虑数据库分布实现机制,增加辅助决策功能,考察用户行为数据特征,必要时增加二级库交通地理信息库的地理信息主要是面向出行者的,主要包括的内容有:(1)道路基础数据:主要是XXX国道省路全省已建在建或规划的高速公路;(2)高速公路沿线服务设施分布数据,包括加油站收费站桥梁隧道服务区等空间分布;(3)行政区域数据:全省的行政区划图城市分布图;(4)旅游景点数据:全省的主要景点分布数据;(5)其它与交通相关的带有位置信息的数据综合信息库主要保存与公众及系统运行相关的数据,包括注册用户基本信息系统安全日志信息网上投诉和在线处理结果等信息动态交通管理信息库主要保存高速公路各路段车流量拥堵施工维修临时管制交通63、事故等交通状况路况以及交通气象等信息公众出行服务信息库主要保存与公众出行的交通业务数据,包括高速公路服务设施信息公路(水运)交通规费高速公路通行费火车(飞机)时刻表长途客运线路停靠车站驾驶培训汽车维修汽车租赁交通黄页交通常识和法规等信息针对数据库维护和更新,系统提供远程管理功能,可实现对系统数据库的远程维护和更新其操作简便扩展性好,减少系统维护成本,实现实时更新,快速访问7.1数据库特点本系统的数据具有以下几大特点:(1)存储效率要求高;要求系统具有较高的并发处理事务能力(2)集中管理TB级数据和超大表;出行服务信息系统所涵盖的服务记录和地图数据的信息量非常大(3)可靠性要求高;要满足系统提供64、7*24小时不间断的数据存储访问能力(4)系统外部数据接口复杂;与电子政务的其它系统均存在数据接口关系的可能,数据来源多数据种类多数据接口关系复杂,如何处理好这些数据接口关系以保证本系统实时接收处理工作的高效性,这就对系统提出了较高的外部数据接口处理能力要求由以上特点可知,海量数据的实时接收存储与管理是本系统的一项关键技术7.2数据存储架构设计目前的存储技术可以分为DAS和网络存储两种,而网络存储又分为存储区域网(SAN)和网络附加存储(NAS)两种简单地说,DAS即磁盘驱动器和服务器直接相连在这种传统的存储结构中,存储被视为“外围”设备DAS适用于一个或有限的几个服务器环境,但在较复杂的环境65、中就会碰到一些棘手的问题,比如其存储效率变得越来越低,其可升级性也受到很大限制,同时存储资源和数据也无法共享,因此本系统中不宜采用这种存储方式NAS和SAN在本质上有一个很明显的区别,这并不是价格或容量的问题,而是结构和底层操作方式的本质差别NAS是一个以文件(File)为操作方式的网络存储技术,而SAN则是一个以数据块(Block)为操作方式的网络存储技术一般来说文件级的信息访问可以采用NAS方式,而数据库的访问则适合采用以数据块为单位的SAN方式本系统中,其它系统会向数据管理分系统索取系统恢复数据,这部分数据多是以文件方式传送,本系统中的应用则会以数据库的方式访问数据,因此本系统中既有文件66、方式的访问又有数据库的访问,SAN方式对文件访问也能提供较好的支持(磁盘阵列可以提供4GB/s的吞吐量)因此,在系统中采用SAN方式来存储数据7.3数据管理运行模式本系统数据管理要能够提供长期可靠快速的连续服务要在数据库环境下实现系统高可用,有三种实现途径第一种如图7-1所示,构建完全相同的两个数据存储与管理系统,两台服务器同时接收到来的备案数据,分别存储到各自独立的数据库中,对外数据服务及数据存储工作则由主机承担,主备两台服务器通过双工管理软件进行通信,一旦主机出现故障,则由备机承担所有工作此方案优势是系统实现简单,双机不存在切换问题,能够满足系统提出的高可用高实时要求,劣势是存储空间需要翻67、一倍,代价较高 光纤交换机1光纤交换机2数据收发与管理服务器全光纤盘阵接入网专用通信线1、2主机备机图7-1 数据管理运行模式-1第二种如图7-2所示,两台主处理机以主备工作方式工作,正常状态下由主机负责数据接收存储并向外提供数据服务,主机出现故障后,通过集群管理软件实现主备机的切换,由备用机接管主机原来的所有工作,数据库创建在磁盘阵列上,同一时刻只能由一台服务器使用此方案的的优势也是系统实现简单,便于管理,劣势是双机需要切换且切换需要十几秒或几十秒的时间,系统切换期限内,会造成数据丢失,不能满足系统的高可用高实时需求,且系统运行期间有一台服务器闲置,资源不能得到很好的利用 光纤交换机1光纤交68、换机2数据收发与管理服务器全光纤盘阵接入网心跳线主机备机图7-2 数据管理运行模式-2第三种如图7-3所示,有些类似于第二种方式,两台服务器以双机双工方式工作,采用Oracle RAC机制来实现系统高可用系统正常工作状态下,两台服务器同时接收并处理待备案的数据,由主服务器负责数据存储及向外提供数据服务等工作,RAC负责数据库本身负载均衡;当某台服务器出现故障时,所有任务由另一台服务器承担,实现数据服务的连续运行此方案优势双机没有切换的数据丢失问题,能够满足系统高可用高实时需求,系统开发管理方便,劣势是RAC配置过程对数据库管理员要求较高 光纤交换机1光纤交换机2数据收发与管理服务器全光纤盘阵S69、AN接入网专用通信线1、2RAC用交换机主机备机图7-3 数据管理运行模式-3Oracle RAC 10g提供一套完整的集群管理解决方案,用户无需购买第三方软件来支持集群,进而减少了由于产品兼容性所导致的问题,产品安装配置和持续维护更简单,维护费用降低;另外对于RAC来说,双机没有主备概念,系统正常工作时,双机能够实现数据库负载均衡,某台服务器故障后,另外一台接管所有工作,系统没有切换时间;对于我们自己的业务应用可以通过双工管理软件进行主备机的逻辑区分是为了将数据接收存储操作及对外提供数据恢复服务等工作放在一台服务器上去做,否则会出现不一致问题双工管理软件实时做系统状态检测,故障时的系统切换实70、际上是改变服务器的状态,它上并不作象其它集群管理软件那样进行各种服务的起停在双工工作方式下,双机是在同时工作的,只是主机有输出,备机没有输出,由于数据业务处理任务在出现故障时要由正常的服务器接管,只要提供合理的缓存机制缓和双机同步处理,就能够保障接收数据不丢失,且双机还可以通过双工管理提供的接口实时对业务处理流的节点信息进行交互,它能够保障接管后业务处理现场的恢复本系统选择第三种运行模式实现对系统高可用的要求8应用系统在网络平台上的配置描述本系统具有一定的独立业务处理能力,完成用户出行服务功能同时,通过不同的网络连接形式或要求与其它系统融合:通过专网连接政府外网,依赖前置服务器与政府外网进行数71、据交互,并通过政府外网与其它系统进行数据共享实现对交通部数据中心的信息交互在一期工程建设中,主要考虑与高速公路指挥监控中心的数据采集实现Internet/内部专网/政务外网等多通道链接与数据交换8.1应用系统逻辑结构图8-1 出行服务系统逻辑结构硬件支撑层硬件支撑层是整个系统运行的硬件基础,包括主机及外设资源存储介质网络资源和数据终端系统硬件设备选型应满足以下标准:(1) 按照统一技术体制,遵守系统的系列化标准化的原则,减少设备种类和数量;(2) 选择具有较好的可维护性兼容性扩展性的成熟产品;(3) 选择具有高可靠性和实时性的成熟产品;(4) 满足系统的功能和性能的要求,并留有一定的余量;(572、) 尽可能选择业界著名品牌,具有规格齐全的产品线和长期发展策略;(6) 被选厂商应具有完善售后服务和技术支持体系主要的硬件设备有:1) 服务器为了完成系统的功能和技术指标要求,根据开发经验民用用户管理系统的核心处理设备应选用服务器,且满足如下要求:系统特性: 支持多处理器交换式连接;具有高可伸缩性等;性能要求: SPECint2000600 SPECfp2000900可靠性和高可用性: MTBF14000小时,MTTR30Gbps;接入交换机应具备各种100/1000M以太网接口,满足不同系统接入设备的需求,背板带宽15Gbps;防火墙具有100/1000M及IDSIPS防病毒反垃圾邮件等功能73、;安全网闸具有100/1000M及支持单向/双向控制网络层数据过滤信息过滤和信息检测等功能5) 数据终端负责对交通信息的动态信息采集和发播系统软件支撑层系统软件支撑层由操作系统网络管理系统数据库系统软件开发环境等组成本系统的操作系统选用UnixWindows嵌入式操作系统等,数据库管理系统选用当今成熟的商用数据库软件,软件开发语言选用C+Java等服务器端操作系统系统软件的运行平台应该能支持POSIX标准对大容量内存锁定处理器绑定等实时性要求,根据所选用的硬件平台,通过对HP-UX操作系统不同版本的分析和比较,决定选用HP-UX11i V2及其以上版本该操作系统支持POSIX1003.1b的实74、时扩充功能标准和POSIX1003.1c的多线程功能标准实时扩充功能包括具有剥夺机制的内核固定优先级调度策略实时时钟和计数器内存锁定异步输入输出文件同步排队的实时信号和进程间通信机制多线程功能支持多种线程模型根据所选用的硬件和业务应用的需要,还采用了HP公司的PRM软件和WLM软件,分别用于管理服务器进程资源和服务器工作负载PRM(Process Resource Manager,进程资源管理器)是在HP-UX环境下使用的一个资源管理工具,它将控制系统满负载时(即CPU内存磁盘带宽的使用率都为100%的情况),进程所能使用的系统资源PRM以组的形式把用户应用组织起来,称为PRM组,每个PRM组75、定义了一定的CPU内存和磁盘带宽使用量,PRM将根据这一定义确保满负载情况下进程能够分配到一定的系统资源WLM(Workload Manager,工作负载管理器)提供了资源的自动分配以及应用的性能管理WLM把应用和用户组织到多个工作负载组中,每个工作负载组定义了自己的服务等级目标(service-level objectives, SLOs),即想要得到的服务等级,WLM将根据各个组的SLOs来自动分配它们的系统资源,包括CPU内存和磁盘带宽资源,确保应用的性能客户端操作系统Microsoft Windows 2000 Professional 及以上版本数据库管理系统国内外主流的关系型数据库76、管理系统有OracleSybaseSQL ServerInformixDB2等,Oracle数据库在可用性性能安全性和可靠性方面一直被视为业界的先驱,保持着多项TPC-D和TPC-C的世界纪录,获得最高级别的ISO标准认证,在各个领域得到广泛的应用在性能方面,Oracle 10g可以自动并动态管理大部分配置并调整可用资源,使内存使用最为合理;重新编写了PL/SQL编译器,对于单纯的PL/SQL程序而言,其性能比Oracle 9i超出了大约2倍;显著改进了全表扫描性能,CPU利用率提高了1倍;使用基于成本的优化策略,对于一个给定查询可以生成多个执行计划,并对每个计划进行成本估算,选择最佳计划执行77、在可用性方面,Oracle利用自动节点故障切换和负载重新分配来防止节点故障;自动存储管理使用低成本磁盘镜像,预防存储系统的任何单点故障;增强的闪回功能,允许管理员在数据库上进行“回退”操作,可轻松撤销对数据所作的任何更改;硬件辅助恢复数据(HARD)特性,防止数据库和存储器之间IO路径的损坏;支持硬件操作系统或数据库版本的滚动升级因此数据库管理系统选用Oracle 10g8.1.3应用软件支撑层应用软件支撑层提供了系统运行的基础功能,包括用户管理消息派发运维管理安全管理存储管理GIS服务等8.1.3.1用户管理用户管理包括如下功能:(1)客户注册客户注册信息的建立浏览查询修改和删除区分普遍用户78、与管理用户,普通用户与管理用户监管关系的设立修改删除各类用户区分管理员与操作员,给定不同的操作权限客户帐号操作权限的设定,规定某帐号可作的操作(2)业务权限管理将各种业务分门别类定义出业务代码,以便用户设定操作权限8.1.3.2消息派发消息派发是一种消息传输服务消息派发包括两种消息传输方式:点对点传输方式发布-订阅传输方式点对点传输方式应用于两个节点之间的消息传输节点A将自己队列中的消息通过网络协议内存共享方式传输到节点B的队列中节点B从自己队列中取出消息进行处理发布-订阅方式应用于一对多或多对多之间的消息传输发布-订阅方式能够解除客户与服务器的耦合在本质上,消息服务充当的是消息分发交换机发布79、者将消息发给这个服务,由它发给订阅者发布的消息按照主题进行分类,订阅者会指定它们感兴趣的主题只有那些与订阅者感兴趣的主题相吻合的主题才会发给这个订阅者这个服务允许指定服务质量标准,让应用在可靠性和性能之间进行适当的折衷此外,消息服务还可以作为联盟服务运行,也就是说,服务的多个实例可以在不同的机器上运行,使处理负载分摊到许多CPU 上8.1.3.3运维管理运维管理是保障系统正常运行的模块,具有监视功能,控制功能,管理功能,并以图形化方式实现友好的人机界面主要功能包括:(1)监视各进程运行状况,进程占有的资源量,如CPU时间内存使用量和通信端口吞吐量等(2)监视各业务进程接收处理输出的数据内容处理80、流程和执行结果(3)对被监视的进程发送启动中止命令(4)修改各进程的配置参数(5)实现主备设备的手工切换(6)显示系统告警信息,执行告警确认告警删除等操作(7)对业务数据进行统计分析8.1.3.4安全管理(1)系统安全对所有用户的操作进行权限认证,确定该用户是否具有该操作的权限,决定继续操作还是拒绝操作(2)进程监护为了提高系统中的应用服务器运行的安全性和可靠性,每台应用服务器均使用进程监护来管理各业务进程服务器开机时,进程监护作为系统服务首先启动,然后根据进程表顺序启动其它进程,如业务调度进程双机热备管理进程消息服务校时模块协议转换与发送进程等在系统运行期间,进程监护定时轮询各进程的运行状态81、,一旦发现异常,则向监控分系统发出告警,向双机热备管理发出热备切换命令,同时重启该进程(3)双工管理图8-2 双工管理机制8.1.3.5存储管理数据存储服务提供系统对于数据库的操作手段,并对系统所涉及的各类数据进行管理和维护,以保证系统安全可靠运行系统中的用户都只是使用系统某一部分功能,如果越权使用系统,将造成系统的混乱另外,通过各岗位的职责将建立不同的信用等级,如何针对这些具体情况来区别对待它们在系统中的权限,这也是一个必须考虑的问题有鉴于以上所列关于权限控制方面的需求,在系统中将采用基于角色的权限控制机制,并且允许系统管理员对具有特殊要求的资源(数据业务操作或者其它资源)定义资源访问策略,82、以实现灵活实用的权限控制基于角色的权限控制,该系统将采用了模块化的系统功能设计和基于角色的用户权限管理本系统中,将继续采用这种设计模式首先,由系统管理员定义每种角色的业务操作集合,这将由友好的用户界面来完成系统中的用户属于一个或几个角色,该用户继承角色的权限当用户登录系统后,所见到的只是它有权访问的模块8.1.3.6GIS服务建立覆盖XXX交通导航电子地图数据库,实现应用信息与数据处理通用技术和方法,向应用系统提供相关的电子地图数据库规范和接口标准;在GIS应用平台上显示相关目标和属性8.1.4数据交换层数据交换的原理就是将不同用户通过不同通信线路和通信协议所发送服务请求与服务应答信息转换为统83、一信息格式,同时将服务端的请求与应答信息也转换为统一信息格式,这样,如果对用户端和服务端之间的服务请求与应答信息通过一个信息交换机制来实现用户与服务端的匹配的话,在不直接提供用户终端到服务端错综复杂的网络连接和通信昔日得以前提下,可以实现用户终端通过单一网络访问不同服务系统的功能,同时也实现了服务系统通过单一网络为不同用户提供服务,实现用户到服务端的Any-to-Any的综合应用服务为了满足多系统的信息应用服务,省交通公众出行服务系统将提供一套行之有效的数据交换平台,实现与其它部门不同业务系统统一交换和服务数据交换平台框架如图所示图 数据交换服务平台框架从图中可以看出,数据交换平台增加了数据接84、入网关和服务网关,由外部业务 统终端接入数据交换应用代理公众出行服务系统组成,使得本系统只需要通过一条统一的线路按照一种统一的通信协议接入数据交换服务平台,就能够为实现本系统与其它系统之间的数据交换本系统采用基于XML的信息封装方式进行数据交换它将与公众出行相关的业务系统存储的数据转换为统一的标准的XML信息格式,提供给公众出行服务系统,同时也把公众出行服务系统的数据转化为XML信息格式,供其它系统应用,从而完成各系统之间的数据交换从而根本上解决了各种信息服务单位与各个信息服务系统之间非常复杂的接入问题,使各个信息服务系统之间在同一个平台上按照统一的标准进行信息交易基于XML的信息封装通过XM85、L进行描述的数据可以形成通用的格式和统一的接口进行交换和表示:不同源的数据被封装到XML数据包中,这些数据包有统一的数据包头,它们包含了很多的处理参数和为了进行安全和事务处理所准备的特殊字段的描述基于XML描述的数据包(iSML)的由两部分组成,即信息信封和业务数据一信息信封Envelopl 描述Envelope数据单元是所有iSML数据包中均包含的信息头部,称之为信息信封它表示每个在信息交换平台中传递的信息的属性信息交换平台的信息交换主要是根据iSML数据包中的信息信封来确定信息的来源和目的,并进行信息交换处理l 信息信封的结构图示 l l内容说明信息交换平台信封表示在信息交换平台进行信息传86、输时的信息属性它包括以下信息内容:信息类型(ActivityType)信息类型分为三类:管理类(Administration)查询类(Inquery)交易类(Transaction)信息信息交换平台在对信息处理的时候,根据不同的信息类型进行处理源服务ID(SourceID)SourceID是请求信息发送方的平台ID号宿服务ID(DestinationID)DestinationID为请求信息的最终接受方的平台ID号服务流水号(TransmissionID)服务流水号用于标志一个服务的请求和应答在一对服务请求和应答中,服务流水号应该是相同的也就是说,服务端在应答服务请求时,应该按照请求方的服务流87、水号来进行应答版本号(Version)表示当前所使用的数据定义(DTD)文件的版本会话号(SessionID)表示在面向会话的服务处理中的会话标志服务发起日期(DateOfService)表示服务产生日期服务发起时间(TimeOfService)表示服务产生时间服务类别(ServiceType)表示服务的类型,包括交换管理服务报警服务信息服务管理系统信息等功能类别(CommandType)表示某类服务中的不同的业务功能,例如定位信息,短信通知,GIS查询等Envelope在整个信息交换中起到关键性的作用二业务数据描述在数据交换时,不同系统所需要的业务数据是不同的,不同的应用业务在XML中具有不88、同的业务数据单元不同行业的业务数据与XML中的Envelope是并列的,Envelope与具体的业务无关,不同的业务数据才与具体的业务相关可以根据需要将定义不同的业务数据标记(TAG),根据业务的增加,只需要增加相应的业务标记定义,可以方便的扩充交换平台系统的业务处理能力8.1.5应用层应用层主要包括二个管理二个服务,即地理信息管理系统交通信息管理系统动态交通服务系统出行规划服务系统这四个系统体现了出行服务的几个重要方面,每个系统行为各有侧重地理信息管理系统主要负责交通地图的更新与维护交通信息管理系统负责与政府外网以及其它系统的数据交换与共享,为用户获取静态或者动态数据资源动态交通服务系统负责89、向用户发布实时路况道路管制等内容出行规划服务系统为用户提供导航旅游信息气象信息诸多出行关注信息8.2设备部署图8-3 系统网络拓扑8.3软件部署图 8-4 软件部署9系统安全公众出行服务系统由于其发布信息的高效和及时性,将为人类生活带来了巨大的方便,但是在另一方面,一旦遭到人为或其他因素的破坏,又会带来巨大的损失,包括系统硬件或数据破坏带来的经济损失,以及用户无法再访问该信息系统带来的服务不便和不利影响由于本系统建立起来后,需要直接放到政务外网及互联网上提供服务,因此更需要在系统建设和运行过程中必须充分考虑到系统的安全因素本系统安全分为以下3个层次,即安全过滤数据安全安全维护对于这三种安全层次90、,无论哪一种发生,都会给系统带来巨大的损失9.1安全过滤本系统建立通过建设DMZ来完成整个环境的二级安全过滤架构,并建立合理的安全管理模型和安全管理机制,使整个网络应用支持系统配置一致的安全策略;安全技术建设与安全管理建设相互配套,保证所有可能的攻击能够被检测监控和及时的以适当方式予以响应;提供实时监控并识别攻击者的路径;提供及时的安全报警;提供准确的安全审计和趋势分析数据,支持安全步骤的计划和评估等安全策略配置和管理:根据系统的实际情况设置安全策略,如管理与配置系统安全事件通报及实时反应策略管理与配置病毒防治入侵检测漏洞扫描等策略的管理与配置等入侵检测和快速反应:实时识别入侵特征提供快速检测91、黑客行为并采取对抗措施的能力病毒检测和快速反应:实时检测病毒的感染行为和特征,并及时采取告警对抗消毒等响应漏洞监测和快速反应:漏洞监测和响应是指周期性自动扫描系统,找出可能引起安全问题的漏洞并提供解决建议快速反应包括自动更正告警等风险趋势分析和快速反应:定期自动扫描配置信息,分析各个方面的大量信息,如情况变化导致的潜在风险的增减和不断出现的新漏洞和攻击技术快速反应包括重新进行风险分析策略调整等入侵检测系统入侵检测系统一般采用安全监测控制器和探测器两级的分布式结构,探测器配置在网络的敏感部位进行信息采集,而安全监测控制器则对所收集到的信息进行分析处理,判断网络是否遭到入侵攻击入侵检测系统的主要功92、能包括:l 监视分析用户及系统活动l 系统结构和安全漏洞的审计l 识别网络入侵攻击的活动模式并提出告警l 异常行为模式的统计分析l 重要系统和数据文件的完整性评估l 操作系统的审计跟踪管理与违反安全策略行为的识别对所采集到的有关系统网络数据及用户活动的状态和行为等特征信息,可通过以下三种技术方法进行分析:模式匹配:将采集到的信息与已知的网络入侵和系统误用模式进行匹配,从而发现违背安全策略的行为该方法只需要收集与模式相关的特征信息集合,可显著减少系统负荷且技术已相当成熟,检测准确率和效率都较高,但需要不断对模式信息进行更新统计分析:对系统对象(用户文件目录和设备等)创建若干特征属性,并通过对这些93、属性值的观测,将属性值的显著偏离界定为网络入侵事件的发生该方法能检测未知的和复杂的入侵活动,但误报漏报率较高,且无法适应用户正常行为模式的突然改变完整性分析:重点检测特定文件或对象是否被更改(包括文件和目录的内容和属性),这种方法对于被更改或特洛伊化应用程序的检测方面特别有效,缺点是一般是批处理方法实现,不能用于实时响应9.1.2漏洞扫描系统漏洞检测系统负责定期或不定期地调用网络安全性分析操作系统安全性分析和数据库管理安全分析软件对整个内部系统进行安全扫描和检测,及时发现网络新的安全漏洞并予以补救l 网络安全性检测网络的安全性分析重点对网络中的关键系统部件进行实践性的扫描分析和评估,发现并报告94、系统存在的弱点和漏洞,评估安全风险,并提出建议的补救措施l 操作系统安全性监测操作系统安全性分析需要以管理员的身份从系统内部对操作系统进行全面的扫描分析和定期继承性检测分析,发现并报告系统的弱点漏洞不安全的系统配置,不明的系统修改和黑客攻击迹象,评估操作系统的安全风险,建议补救措施和安全策略l 数据库系统安全性监测数据库系统安全性分析重点对被扫描的数据库管理系统的系统认证系统授权系统完整性等核心过程安全规则设备等进行安全审计,发现安全弱点漏洞等,生成安全报告,评估安全风险,并提出建议的补救措施和安全策略9.1.3病毒防治系统病毒防治系统部分专门提供完整的全面的防病毒保护,负责对各类计算机病毒的95、检测与杀灭,其主要功能包括:系统病毒预防:预防系统自身常驻系统内存,优先获得系统的控制权,监视和检测系统中计算机病毒,并阻止病毒进入系统和对系统进行破坏预防手段包括加密可执行程序系统引导区保护系统监控与读写控制病毒诊断:根据计算机病毒的特征来判断病毒的种类为实现有效的病毒诊断,必须对病毒特征信息进行定期更新,并提高系统预测新病毒种类的能力病毒杀灭:对计算机资源进行分析和检测,并对发现的病毒予以杀灭处理,恢复原文件网络病毒检测:对网络上常见的应用的信息流进行检测,防止计算机病毒通过网络途径传播产品配置9.1.4.1防火墙防火墙主要用于网络边界是INTERNET到访问隔离区之间的边界防护,应具有包96、过滤IDS防病毒等功能所面临的主要安全风险包括:黑客攻击病毒的传播访问控制内容过滤等,传统方式部署多种安全设备:防火墙IDS等等,同时只能采用串接的部署方式,容易造成更多的故障点,网络的延迟与故障几率都会大大增加;各种安全设备会产生大量的时间报告,容易造成管理员的管理难度,并且各种设备的管理界面和方法不同,管理员会浪费大量精力在学习产品的部署及管理熟悉上,管理难度大大增加系统外联链路的带宽100M级产品可满足要求,但是百兆产品功能相关独立,单独部署防火墙IDS防病毒等百兆产品后价格高于千兆多功能防火墙产品,同时减少了高可靠性(HA)等功能,降低了系统扩展性,增加了管理工作量及故障点,因此本系统97、采用千兆产品典型主要功能如表9-1所示表9-1主要功能表功能详细描述防火墙工作模式:路由,透明,混合包过滤:支持状态检测身份认证:支持内置的认证数据库,支持Radius和LDAP认证服务器服务:提供几十种标准服务,并且支持用户自定义服务和服务组虚拟IP映射:通过将公用IP地址映射到内部或DMZ区的私有IP地址,提供安全的外部访问,使公网用户能够访问内网资源VLAN:支持802.1Q,支持VLAN TRUNK持透明路由模式NAT功能IPV6:支持IPV6地址,支持IPV6 隧道NAT:支持动态地址转换和静态地址转换双向地址转换端口转换内容过滤:基于启发式检测和异常检测,支持多种协议的重组时间策略98、控制:根据自定义时间周期,进行安全策略控制组播:支持组播协议非IP 协议支持:支持对非IP 协议的传输与控制带宽管理:支持设置优先级和DSCP控制,支持最大和最小带宽控制 动态入侵检测/保护支持基于网络的IDS和实时阻断系统攻击特征库:拥有覆盖广泛的攻击特征库,支持用户配置消息阻断:支持MSNQQ雅虎通等多种即时消息的阻断攻击阻断:支持多种网络攻击的阻断报警:支持多邮件报警防病毒病毒扫描:应用启发式高速扫描技术,支持网络病毒和蠕虫的实时扫描协议扫描:支持HTTPFTPPOP3SMTPIMAP协议的病毒扫描VPN扫描:支持在VPN加密隧道中扫描病毒反垃圾邮件邮件服务器过滤:支持基于邮件服务器黑名99、单的过滤邮件过滤:支持邮件地址过滤MIME头的检测邮件内容过滤邮件附件的扫描DNS:支持反向DNS查找功能RBL:可指定RBL服务器进行垃圾邮件拦截内容过滤Web内容过滤:支持URL过滤,支持关键字过滤邮件过滤:支持邮件地址过滤关键字匹配过滤MIME头过滤邮件附件过滤移动代码的过滤:支持对Java appletActive-XJscriptJava scriptCookies的过滤高可靠性(HA)支持负载均衡支持主从热备接口:支持接口监控,支持将任意接口设置为HA接口HA接口冗余电源:支持电源冗余管理功能图形管理:支持WebUI图形配置CLI管理:支持命令行接口远程管理:支持SSHTelnet100、远程命令行管理及HTTPS的远程图形管理配置向导:提供快速配置向导模板语言:提供中文英文等多语言支持日志:支持图形化报表,支持日志关键字搜索支持日志分类监控:支持SNMP,支持VPN监控,报警:通过E-mail发送病毒攻击报警安全网闸安全网闸主要用于访问隔离区到内网之间的边界防护,由于系统保存着众多的敏感信息,用户是不允许直接访问内部网络的,所有访问都必须通过WEB服务器进行格式转换因此必须严格限定访问身份以及所能访问到的信息和范围网闸技术就是基于原始的网络之间物理隔离进行信息交换时人工拷盘的方式机理实现安全信息交换的技术在物理隔离状态下人的作用是在两个网络之间进行低速的手工交换数据,而在网闸101、中,用隔离交换模块中的开关控制子系统和交换控制子系统来实现这一功能;用做数据交换的存储介质,在网闸技术中则用隔离交换模块中的存储介质来代替在某一时刻,开关控制系统只能连接到其中的一个网络,其它的硬件和软件实施则类似于人工拷盘传输信息的装置因此,通过网闸产品可以创建一个这样的环境,即两个网络访问连接断开网闸技术在这两个网络之间创建了一个接近于物理隔断,这意味着网络数据包不能从一个网络流向另外一个网络,并且WEB服务器和内网主机从不会有实际的连接,从而杜绝黑客控制内网的情况发生同人工拷盘信息传递类似,网闸产品除可以实现访问连接断开外,还可以允许WEB服务器网络和内网之间的数据信息的安全交换网闸产品102、的突出优点在于,接近于物理隔断使内网安全,而安全交换数据使我们可以在线式提供数据传输服务通过网闸产品,保护内网免受各类已知甚至未知的网络威胁和攻击网闸产品的关键技术要点如表9-2所示表9-2 网闸产品的关键技术要点表要点详细描述接近于物理隔离与网闸相连的两个网络之间实现接近于物理隔断(隔离交换模块应为非通用硬件) 可选择数据交换与网闸相连的两个网络能够有选择的交换数据,只有满足要求的数据可以通过网闸数据传输在网闸的内部交换数据过程中,数据是以特定数据块的方式传输(专有协议,非TCP/IP协议)策略管理网闸的策略应在内外网分别下达,通过特定规则实现对应只下达一个网络的安全策略时无法实现数据的传输103、支持文件和命令交换数据可以包含文件和命令高性能上述所有工作实时进行,实现最大吞吐量和最小延时9.2数据安全数据安全模式系统具有完善的故障恢复和业务应急功能对于核心系统,采用双机热备机制,当某一台主机发生故障时,另外一台主机能够自动接管,无需人工干预对于关键数据和程序都存储在共享的磁盘阵列上,并通过对磁盘系统作RAID5RAID0+1镜像方式进行备份某一块物理硬盘的损坏不会对系统的正常运行造成影响磁盘阵列支持热插拔,可以在不用shutdown系统,就可以更换出现故障的磁盘,继续保证数据的冗余存储数据备份要求系统数据可按时效分为当前数据和历史数据当前数据(on-current data)指系统目前104、最频繁使用的数据当前数据的存档属于比较传统的数据备份的概念,也就是说通过备份来保证一旦系统发生崩溃或意外,可以用最近的一次备份数据来弥补损失,此类备份一般可以用数据库软件自身提供的功能来进行,可以有全部备份或增量备份等备份的媒介可以是磁盘可擦写光盘等,备份的频率一般每天一次历史数据指系统中发生过的但已经很少使用的数据随着系统运行时间的不断推移,这一类数据的会不断增长这类数据一旦备份就无需修改,所以一般可以按一定的周期(按月或按年)从当前数据中根据一定条件归档相关数据到历史数据中,同时从当前数据库中删除这些数据而归档后的历史数据因为是不能更改的,所以一般只要保持几份硬拷贝就可以,无需每天备份或在105、线备份比较近的历史数据还应该存放在硬盘上,可根据用户硬盘存储量的不同存放相当数量的历史数据,用于系统对历史数据查询的要求时间较久的数据可以进一步转储到大容量存储设备上,如磁带机光柜等对历史数据的备份和恢复通常采用专门的网络备份软件进行,以提供备份效率和质量9.3安全维护安全维护主要保证使用者的权限访问控制策略XXX交通公众出行服务管理系统的用户包括互联网公众交通行业部门人员企事业单位省政府部门主管领导系统管理员等所有用户访问系统必须通过身份认证(普通公众浏览除外)策略的制订,主要明确在整个核心系统不同层次中划分的主体客体的定义,以及主体与客体的关系根据主体客体之间的行为以及现行的业务管理制度来106、定义访问控制策略在本项目中,核心系统的层次可划分为:l 系统级主体:系统管理员数据库管理员客体:系统资源行为及策略:系统维护优化配置开关系统控制机器设备资源;对用户进行统一的用户权限管理; 划分用户组及不同权限的用户,将数据库schema的对象(table, alias, index, package)的创建存取等权限依据业务需求进行合理的划分,从而控制用户对数据库各种对象的使用权限,完成对数据的操作控制,保证系统的安全性l 应用级主体:整个应用程序,划分为不同的模块客体:数据库资源行为及策略:通过应用程序对数据库进行操作;根据客户需求制定应用设计方案l 用户级主体:系统的使用人员,包括业务操107、作人员以及最终用户客体:应用程序行为以及策略:根据业务要求,通过菜单权限安全设置操作限制几个方面来控制柜员及客户的使用权限9.3.2访问控制要求系统采用基于角色的权限管理方法,对用户进行权限管理,使系统用户只能获取指定的服务,看到指定的内容,同时对不同的系统维护人员进行管理,赋予不同的维护人员,创建服务信息,修改服务信息,删除服务信息等的不同的操作权限,并对操作进行审核9.3.3安全审计审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要同时,系统事件的108、记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据为了系统的安全性,我们一方面通过利用防火墙记录下用户对网络的访问并做出的日志记录,对安全事件的不断收集与积累并加以分析审计,以便对发生过的破坏行为提供有力的证据另一方面,我们通过在操作系统层记录的日志进行分析,发现潜在的攻击行为9.4可信路径/信道由于数据在公共网络上传输,信息在进行传输时可能会被不法分子截取因此在广域网上发送和接收信息时要保证:l 除了发送方和接收方外,其他人是不可知悉的109、(隐私性);l 传送过程中不被篡改(真实性);l 发送方能确信接收方不是假冒的(非伪装性);l 发送方不能否认自己的发送行为(非否认)如果没有专门的软件对数据进行控制,所有的通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取对付这类攻击的办法就是对传输的信息进行加密,或者是至少要对包含敏感数据的部分信息进行加密9.4.1 VPN技术VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听其处理过程大体是这样:l 要保护的主机发送明文信息到连接公共网络的VPN设备;l VPN设备根据网管设置的规110、则,确定是否需要对数据进行加密或让数据直接通过l 对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名l VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数l VPN 设备对加密后的数据鉴别包以及源IP地址目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输l 当数据包到达目标VPN设备时,数据包被解封装,数字签名被核对无误后,数据包被解密9.4.2 IPSecIPSec作为在IPv4及IPv6上的加密通讯框架,已为大多数厂商所支持IPSec主要提供IP网络层上的加密通讯能力该标准为每个IP包增加了新的包头格式,Authent111、ication Header(AH)及encapsulating security payload(ESP)IPSec使用ISAKMP/Oakley及SKIP进行密钥交换管理及加密通讯协商(Security Association)IPSec包含两个部分:l IP security Protocol proper,定义IPSec报头格式l ISAKMP/Oakley,负责加密通讯协商IPSec提供了两种加密通讯手段:l IPSec Tunnel:整个IP封装在IPSec-gateway之间的通讯l IPSec transport:对IP包内的数据进行加密,使用原来的源地址和目的地址IPSec 112、Tunnel 不要求修改已配备好的设备和应用,网络黑客不能看到实际的通讯源地址和目的地址,并且能够提供专用网络通过Internet加密传输的通道,因此,绝大多数厂商均使用该模式10实施计划省交通公众出行服务管理系统具体实施计划如下表所示:阶段任务名称开始日期结束日期工期备注XXX公众出行服务系统1确定合作意向项目开始2006-9-12006-9-11已完成2需求调研2006-9-22006-9-2018天已完成3初步设计方案2006-9-212006-9-309天4设计方案修改完善2006-10-12006-10-109天5数据整理收集加工数据库结构设计2006-10-102006-10-31113、21天6数据交换与共享系统开发2006-11-12006-11-109天7动态数据采集系统开发2006-11-112006-11-209天8系统数据管理及安全管理2006-11-212006-11-309天5公众出行服务网站2006-12-12006-12-1514天6网路环境搭建2006-12-102006-12-2015天7系统联调测试2006-12-212006-12-309天8网站试运行2006-12-312006-12-3111项目影响因素控制(1)数据采集与管理的风险本交通服务系统所需的数据来自多个数据源,对这些数据源管理的各种变化,以及数据格式的变化会增加数据的统一采集与管理的难114、度(2)交通流分析中的风险分析动态交通信息要素的专业性不稳定性,由于动态交通的指标分类指标描述等级标准等目前还缺乏国家标准,这为制订动态交通信息标准增添了难度;同时,目前航运数据标准尚在讨论中,这也为标准兼容性增加了不确定因素现代交通流理论在应用中的风险,交通流模型是十分复杂的,目前的交通流理论都只能做到在某种理想假设下的对交通流状况的分析预测,这为基于交通流理论的实时路况分析预测的准确度增加了不确定因素(3)动态信息采集发布的风险分析路况采集完整性及时性的风险,路况采集目前要依靠现有的交通监管系统,在监视点的设置监视设备的升级监视网络等方面都可能存在未知因素;此外,视频监视GPS监视都有其一115、定的技术限制,这些都为路况采集的及时完整准确增加了不确定因素(4)系统安全方面的风险分析Web Service方式的服务的安全性,目前WS-Security是尚在发展完善的标准,虽然有了商业开发包的支持,且底层的安全技术都是成熟的,但也存在着一定的风险;这类风险包括身份假冒加密信息的泄漏遭篡改等(5)部门级数据整合中的风险分析为了实现全方位的交通信息服务,本服务系统将要获取其他部门的数据如旅游部门气象部门铁路民航部门,同时要与电信服务商GPS网点运营商打交道,如何处理好与他们之间的关系,是获取必要信息的重要保障不同部门之间管理的不同,以及管理方面的变化构成部门级数据整合中的风险(6)需求分析方116、面的风险分析技术的发展,社会的进步都会引起需求的变化,这些变化构成了需求分析方面的风险12培训计划12.1培训内容(1)电脑基础知识培训培训学员掌握电脑基础理论与基本操作,熟悉常用操作系统和应用软件(2)系统操作使用培训培训学员熟练地操作应用系统(包括安装环境适配功能应用等)(3)公路信息化与管理制度培训培训学员掌握公路信息化知识和一般理论,指导学员熟悉交通部门制定的各种管理制度,并依据交通部门的基层工作规范规定本单位的内部管理制度(4)系统维护培训培训学员掌握系统维护,提高用户对系统日常应用的维护能力(5)系统高级应用培训提高学员对系统的功能特征的熟练程度及其与实际应用结合的水平12.2培训117、方式(1)采取统一组织集中培训方式,提供系统及其相关知识的培训(2)采用多媒体教学光盘的形式,由目标用户自行学习(3)网上视频会议的形式分散统一培训,可以减少组织会议的精力与费用(4)提供培训教程帮助文档等13项目经费估算项目名称XXX交通公众出行管理系统责任单位XXX交通厅估算项目费用金额(万元)备注设计费用30项目论证费20项目集成费40硬件设备采购费300软件购置及开发费网络使用流量费10监理费用20人员培训费用30运行维护费30方案评审和验收费用10其他费用10合计13.1硬件设备采购费投入编号设备名称用途说明数量预算(万元)1前置服务器负责进行数据转换,与外部信息源间的消息传递管理1118、省政务办提供2Web服务器公众信息服务的主应用服务器1503数据管理服务器访问负载均衡数据库服务器,两台小型机组成HA作为数据库服务器21004地理信息服务器地理空间数据访问和空间分析地理信息发布等应用服务器1305应用管理服务器交通公众出行服务管理系统门户网站信息内容组织存放检索等1306流媒体服务器流媒体数据的系统运行服务器1307SAN磁盘阵列容量在5T以上1508PC设备管理终端5109总计30013.2软件购置及开发费投入编号软件名称用途说明数量预算(万元)1ARCGIS地理信息服务软件负责地理空间信息的管理编辑处理发布和GIS引擎1602通信中间件负责数据的通讯传递1103Kill119、安全软件公众信息服务的主应用服务器1104数据库管理软件Oracle10g负责数据的存储管理2805系统开发数据传输与共享动态数据采集系统数据管理和安全管理及交通公众出行服务门户网站的开发6总计13.3运行维护投入本项目的后期运行投入,包括交通信息采集管理系统日常运行维护设备和软件升等相关的人财物投入,主要通过后期在该系统的基础上进行增值业务的开发运营产生的收益解决14项目效益分析交通公众出行信息服务管理系统的建设将极大的促进公路领域科技和管理水平的提高通过公路信息资源的整合,促进数据资源共享信息交流;各方面公路业务的管理工作的信息化和协同化,将进一步提高工作效率,提升政府和公路职能部门的服务形象;提供的全面及时准确的数据将为领导及时准确做出宏观性的调整和决策提供支撑,指导公路行业的管理和建设规范化需要重点增加的内容:(1)数据交换平台的描述;(2)数据采集;(3)远程维护更新(4)公众出行主页面的设计;