2020年智慧城市展览展示数据综合管理系统(二期)项目建设的核心内容体现在三个方面:公众服务、运营管理和基础支撑,具体参考如下图:
1)公众服务
为进一步提升观众的观展体验,提高展览中心的公众服务水平,在展览展示能力、观众参观体验等方面进行功能建设,具体内容包括展厅地图导览互动、车位预约、临展720°虚拟展览、实物展项数字化(中轴线)、环境监测深化。
2)运营管理
为进一步提升运营管理水平,提高工作效率,需要在一期项目建设基础上对系统功能进行功能拓展,新增临展特展管理、活动项目管理、讲解员管理等业务模块,同时提供基于移动端的管理功能和信息浏览功能支持。
3)基础支撑
2.详细需求
1)展厅分布浏览
以大图的形式展示各个展厅,通过点击图标,可以查看展厅的详细信息。
2)公共设施浏览
按照类别对公共设施进行分类,如前台、存包柜、洗手间、母婴室等以大图的形式展示,通过点击图标,可以查看公共设施的详细信息。
3)热点导览互动
在展厅轴测图中,通过气泡形式,设置若干热点信息,点击热点,即可查看该展品的介绍和播放信息等。
4)参观路线推荐
通过分析观众的兴趣和特点,推荐有代表性典型的参观路线,并提供路线简介。当观众选择需要前往的具体位置后,程序可根据展项的位置,自动计算从该位置出发前往目的地的指引路线。
1)移动端车位预约
1)数据分析
结合各项业务所形成的数据进行有效的数据统计分析,形成饼状图、柱状图、曲线图等不同图形作为分析报表,为城市规划展览中心各项工作开展、完善提供有力佐证。
1)临展720°虚拟展览
在网页上采用全景显示方式展示数字博物馆全景,可以通过鼠标或键盘控制全景的方向、位置等进行查看数字博物馆中不同地方的全景。
通过多种方式,引导观众进一步浏览展览详细信息,包括文字、图版、音频、视频、三维等数据的展示。
将城市规划展览中心已举办的各类展览向观众重点推荐,观众可以选择感兴趣的虚拟展览进行浏览及展品欣赏。
2)“穿越中轴线”互动展项
以建模为基础,设计穿越中轴线互动展项,为观众提供“穿越古代城市中轴线”和“穿越近代城市中轴线”两种互动模式,让观众一睹历史文化遗迹的风采,并通过设计过的互动形式和展示手法来了解它们。观众点击“部分有热点信息”的建筑时,可以显示具体的信息和历史知识;并结合一些问答或猜谜类的互动,增加互动展示的趣味性。
互动分为“穿越古代城市中轴线”和“穿越近代城市中轴线”两种模式,两种模式除了素材不一样之外,互动方式是一样的。无论是广州古代城市中轴线,还是广州近代城市中轴线,中轴线上及其旁边都分布着一些建筑、设施或遗址,将中轴线及其周围的场景以三维的形式呈现,作为互动场景。观众的任务是从中轴线的起点出发,最终到达中轴线的终点,而且达到后,还要确认达到过的地点。
在这个穿越的过程中,观众会遇到一些建筑、设施或遗址,通过设计场景类的互动,让观众积极参与到穿越的过程中,达到科普城市、建筑和历史的目的,寓教于乐,更直观的达到科普效果。
通过在展厅中布设噪声和空气质量监测传感设备,获取并监测各展厅的噪声和空气质量情况。当噪声超过限定阈值时,给工作人员推送提醒,为营造舒适的观展环境提供控制手段。当部分展厅空气质量不达标时,提示运营管理人员采取有效控制措施,以为观众提供良好的观展环境。功能如下
1)噪声监测
利用噪声传感器,实时接收城市规划展览中心内的噪声数据,并将现场噪声数据上传到管理系统,当展厅噪声过高时候,能够触发系统的报障功能,发送给工作人员,让工作人员提示观众保持安静,营造良好参观环境。
2)空气质量监测
从各类传感器获取监测数据并显示,包括监测二氧化碳、甲醛等环境因子,显示城市规划展览中心环境监控数据。主要用于临展、特展等空间,当布展完成时,检测空气质量,空气质量达标后才对观众开放展览。
在展览展示数据综管理平台(一期)已有功能的基础上,结合展览中心的实际需求,对各项日常事务提供信息化协同管理工具,提高办公效率,减轻工作负担,节省办公成本。同时提供全面的、科学的、精细的讲解员、展厅管理员的管理功能,对临展、特展、活动、大型会议以项目的形式进行管理,为内部人员提供便利的资源的存储、管理、查询和共享等功能。具体包括临展特展管理、活动项目管理、讲解员管理、展厅管理员管理、耗材管理和数据资源管理。功能如下:
1)临展特展管理
将临时展览、特展从最初的策划到最后展览结束过程中所有产生的文档、图片、视频、音频等大量的展览素材及资料进行归档,方便工作人员查看和再利用。
1.费用管理
提供预算费用设置功能
2.活动管理
对城市规划展览中心举办的科普活动、大型会议、特展进行管理,提供增删查改功能。
3.进度计划管理
提供活动季度计划设置、导入、导出和打印功能。
4.任务排布管理
5.项目资源管理
对活动场所、设备进行管理,提供增加、修改、删除、查看等功能。
6.活动日报展现
以列表的形式展示当天的活动安排,提供增加、修改、删除、查看等功能。
7.统计分析
2)讲解员管理
1.信息管理
2.排班管理
支持查看讲解员的排班情况,分派任务。
3.绩效考核
根据讲解员工作量统计,快速生成讲解员绩效考核表,便于管理部门考核,考核表以表格、饼图、柱状图、折线图等形式表示。
4.预约管理
从长期规划,提供讲解员预约服务。
3)展厅管理员管理
支持查看展厅管理员的排班情况,分派任务。
绩效考核
根据展厅管理员工作量统计,快速生成展厅管理员绩效考核表,便于管理部门考核,考核表以表格、饼图、柱状图、折线图等形式表示。
4)消耗品管理
对涉及到宣传部的消耗品、设备消耗品,实现对其的登记领用管理,并提供查询统计功能。
5)办公用品管理
对办公用品从入库、盘点、领用、变更、维修、调拨、清理全生命周期进行管理。通过为办公用品配置自定义字段,提供高级搜索功能。同时支持录入、导出功能,可批量导入或自助填写。
6)数据资源管理
为实现运营管理过程中形成的大量电子文档、专题文件资料的规范管理,特别是临展特展、重大活动中形成的资料,在建立资料建档标准的基础上,对资料的分类、整理、归档进行管理。
1.分类建档
将各部门办理完毕的文件、资料经过挑选,分项或分类立卷、编号归档,便于以后查阅。
2.非标文档管理
对非标文档进行转化,将对实体文档的操作全部转移到平台上来,包括查询,更新,预览等。也可实现用户对业务工作的全面管控,妥善保护好非标文档的安全。
3.影像资料管理
对影像资料进行管理维护,用户可上传影像资源成果文件,查看其他用户共享的文件,同时也可共享资源文件给其他用户查看,且可对资源进行编目。
4.文档库权限控制
设置用户和角色的文档库功能权限、数据权限,包括权限选择、权限复制等功能。
5.查询和统计分析
数字资源查询包括对结构化内容检索以及非结构内容检索。结构化内容检索以关系型数据库内存放的内容为主,非结构化内容检索以网站发布的内容、展项多媒体信息资源为主。
同时,对系统录入的数字资源,按类型、年份、下载量、使用方式等多个指标项进行统计分析,以表格、柱状图、折线图、饼图展示。
6.版本管理
有效记录各个文档不同版本的演变过程及对不同版本进行有效管理,统一、协调管理各个版本。
7.建议的建档标准
为实现城市规划展览中心运营管理过程中形成的大量电子文档、专题文件资料的规范管理,须制定针对运营管理资料的建档标准,对资料分类、整理、归档等全过程提供规范性指导。
随着移动办公需求的不断增长,以及移动终端的普及和进步,移动办公成为当前办公自动化领域的重要发展方向,通过开发运营管理移动端,为展览中心运营和管理人员提供公文审批、考勤、请假、外出、出差等移动办公业务,为展厅的临展特展、活动项目、讲解员和展厅管理员的管理提供辅助手段,能够极大的提高工作效率,提升运营管理水平。运营管理移动端具体包括通知公告、移动办公、展览运营管理和展厅运营信息浏览。功能如下:
1)通知公告
2)展厅运营管理
1.临展特展管理
可通过移动端查看临展特展计划表,针对临展特展的重要节点进行及时提醒;实现临展、特展的进度追踪、任务分配、人员物资调配。
2.活动项目管理
可通过移动端查看城市规划展览中心举办的科普活动、大型会议、特展信息,提供增删查改功能。
3.讲解员管理
4.展厅管理员管理
可通过移动端查看城市规划展览中心所有展厅管理员的基础信息,包括展厅管理员姓名、岗位、联系方式、照片、排班、分组等。
3)展厅运营信息浏览
1.展项运行状态浏览
2.客流浏览
提供实时展馆、展厅的游客出入数量汇总信息,并按展厅或展项进行浏览。
3.车位浏览
提供停车场信息概况,包括预约车位、总车位数和利用率统计分析。
基础应用总线设计规范是开展运营管理子系统中基础应用总线设计和开发的前提,提供设计标准和依据,具体包括数据交换接口规范和业务流程建模标准。
基础应用总线功能结构如下:
拟采用的技术路线建议如下:
1)开发框架
总线规范深化前端采用基于MVVM的Angular前端框架开发,后端在微服务SpringCloud框架上进行定制。其提供一系列的前端框架、后端服务和组件等给上层系统和第三方系统应用,也通过相应的管理系统,给管理员使用。
3)日志管理
提供业务日志的记录、业务系统日志聚合、日志查看等功能。
4)异常处理
对系统操作中出现的异常情况进行报警,以便及时处理。
5)工作流引擎
6)配置中心
部署SpringCloudConfig,用于记录系统本身的配置和业务应用系统的配置。
7)消息总线
基于面向服务体系结构(SOA)的方式搭建,为提升系统的兼容性和扩展性,引入ESB服务总线,实现支持异构环境中的服务、消息,以及基于事件的交互,整合现在和未来城市规划展览中心建设的各类业务系统。总线规范深化的功能体现在通信、服务交互、应用集成、服务质量、安全性以及管理和监控等方面。
8)安全审计
安全审计通过集中采集信息系统中的系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息,经过规范化、过滤、归并和告警分析等处理后,以统一格式的日志形式进行集中存储和管理,结合丰富的日志统计汇总及关联分析功能,实现对信息系统日志的全面审计。
为落实国家信息安全自主可控的战略,对展览展示数据综合管理系统的关系数据库进行国产化改造,基于达梦数据库,对系统的基础支撑和业务模块进行改造,完成数据迁移和功能验证。
3.数据资源采集需求
本项目利用各种数据采集手段,建立数据资源库,逐步推动建设“物理集中、逻辑互联、交互共享”的数据中心。根据成果类型,需要采集数据资源详情见下表:
1)基于3DMAX对展览中心各楼层进行建模,生成FBX模型文件;基于模型进行轴测图绘制,制作JPG格式轴测图文件;
2)轴测图需接近于人们的视觉习惯,形象、逼真,富有立体感;
3)相互平行的两直线,其投影仍保持平行;
4)空间平行于某坐标轴的线段,其投影长度等于该坐标轴的轴向伸缩系数与线段长度的乘积;
5)轴测图需具备平行性、定比性、实形性等特性。
对6项临展进行全景采集,共采集不少于120站数据,为打造线上“永不落幕的临展”提供基础数据。其成果要求如下:
1)单张全景图分辨率不低于14000×7000;
2)全景采用3组或以上曝光合成;
3)成果格式为*.jpg,全景图像画质清晰,无明显色差;
4)可用于VR全景,实现前进、后退及旋转等浏览体验效果。
对1件中轴线沙盘模型进行三维采集,其成果要求如下:
三维点云数据标准:
1)三维扫描设备的平均精度优于0.05mm;
2)扫描物体可见外表面点云覆盖率≥90%;
3)扫描数据完整,根据扫描数据,校准拼合出完整的三维物体;
4)点云噪音低于15%;
5)点云数据格式为*.xyz。
三维素模数据标准:
1)单件展项三维素模,模型面数量不超过4000万;
2)三维素模数据文件不大于5GB;
3)三维素模数据存储格式*.obj。
纹理影像数据标准:
1)纹理拍摄需要在固定光环境下正摄拍摄,相邻分段图像重合度不低于35%;
2)纹理拍摄应采用标准24色色卡校色;
3)单张纹理照片像素分辨率不低于2200万;
4)单件展项不低于150张原始纹理照片;
5)纹理照片数据存储格式为无损raw格式,校色输出格式为*.jpg。
三维模型数据标准
1)三维模型,模型面数不超过500万;
2)材质贴图数量不低于8张,贴图分辨率4096×4096(像素);
3)贴图数据格式*.jpg/*.png;
4)三维原真模型数据存储格式*.fbx;
5)需要对模型中的重要建筑物进行贴图,并保证显示效果。
自建馆以来,展览中心累积了大量的运营管理数据资源,包括DOC、JPG、PDF、MP4、AVI等格式类型的数据。这些数据是展览中心信息化的重要对象,同时也是后续展览中心构建智慧化运营管理和公众服务体系的重要基础。因此,为更好的展示城市规划展览中心的风采,需要将城市规划展览中心提供的上述类别资源数据迁移入库,作为数字资源管理和公众服务的重要素材。成果要求:资料完整、全面,信息匹配准确。
随着展览展示数据综合管理系统的运行,各种交互数据、决策数据以及补充或者新增的原生数据,都会对未来的存储空间产生更大的需求。初步估算目前所需的空间容量约420G,考虑到未来3-5年的数据增量及备份空间的需要,需要总容量2T。同时,系统数据存储空间应能随着数据量的增多灵活安全的进行扩容。
4.系统非功能需求
4.1总体技术架构
综合管理系统总体逻辑架构自下而上可以分为运行支撑环境、数据层(数据平台)、系统应用层(包括应用支撑技术、各业务应用系统)、表现层(服务平台)几个逻辑层面。同时,安全支撑体系与建设标准规范体系贯穿整个系统。
4.2技术路线
拟采用以下技术路线,建设方可根据实际情况进行优化提升。
(1)WEB系统的开发采用ASP.NET或J2EE技术框架体系,WEB服务支持MSIIS或Tomcat等主流的Web容器;
(2)平台能够支持目前通用的各类操作系统环境,服务端需支持WINDOWSSERVER2012及以上;客户端需支持WIN7、WIN10操作系统,浏览器应支持CHROME和IE10以上版本。
4.3安全设计
依据《计算机信息系统安全等级保护通用技术要求》(GA/T390-2002),项目所涉及软件系统需通过计算机信息系统安全等级(二级)保护测评。
需分析系统安全风险,对信息系统安全等级给予准确定位,根据安全等级的要求进行系统安全保障体系建设,编制系统安全体系方案。
4.3.1信息系统安全等级定级
安全性是展览展示数据综合管理系统二期建设需要着重考虑的内容,层层设防、御敌于外是本次安全防护建设的指导思想。根据《网络安全等级保护定级指南》(GA/T1389-2017)中信息系统安全保护等级定义和定级标准,展览展示数据综合管理系统的业务信息安全和服务安全受到破环时,可能会对城市规划展览中心造成严重损害,同时会对社会秩序、公共利益造成一般损害,但不会损害国家安全,因此,确定展览展示数据综合管理系统为第二等级安全保护,即二级等保。
依据《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)中关于二级等保的安全保护能力要求,本项目应在安全通用性设计、云计算安全设计等方面进行安全防护能力建设,达到二级要求。
展览展示数据综合管理系统(二期)项目的建设,需要考虑应用系统层、数据库层、操作系统,以及云计算服务资源方面的安全。
1)应用系统层安全
应用系统层安全机制与功能将包括:身份认证机制、访问控制功能、基于表单的认证、编程性安全、数据加密、系统日志等。
2)身份认证机制
3)访问控制功能
4)基于表单的认证
5)编程性安全
6)使用SSL加密
SSL协议集合了若干加密技术,其中包括数字证书,标准对称加密技术和公共密钥加密技术。受SSL保护的的数据传送连接使用所有这三种技术:
首先,客户机请求来自服务器数字证书的公共密钥。
然后,客户机使用公共密钥加密发送到服务器的消息。消息包含用于SSL连接的客户机信息和引导程序信息。
最后,服务器和客户机使用相互的公共密钥来协调对称密钥,而对称密钥用于加密他们共享的所有数据。
一旦安全连接得到验证,SSL即使用对称加密技术,因为从计算的观点来看,对称加密技术是非常有效的。公共密钥加密技术的CPU利用率非常高,如果用户试图只用公共密钥加密技术实现“方丹”安全,则少数的同时连接就会使系统不堪重负。
7)系统日志
8)数据库层安全
为了使数据库管理系统有效地运行,同时保护数据库的安全,需要一系列的安全控制措施。而这些安全措施的实现是否充分、是否得当,就要对它们进行安全审核,以确定其充分件和适用性。
9)数据库国产化
近年来,信息安全事件频发,我国的信息安全正面临前所未有的严峻挑战。因此,国家愈发强调信息安全的重要性,愈发重视IT环境的自主可控。其中,国产化是构建自主可控的信息安全系统的关键。
基于通用性、稳定性、兼容性等因素的考虑,展览展示数据综合管理系统一期项目建设所使用的数据库及其他基础支撑软件均为国外产品,未将国产基础支撑软件纳入到技术选型,数据库采用了占据市场主体地位的MySQL标准版数据库。
为响应国家信息安全自主可控、安全可靠的战略,城市规划展览中心展览展示数据综合管理系统(二期)的建设,必须基于安全可靠的国产化数据库软件进行建设。考虑到二期项目的开发建设基于一期项目之上,故数据库国产化改造必须统筹考虑,一是对一期项目进行数据库国产化改造,然后在此基础上,进行二期项目的开发建设,实现系统能够完全基于国产数据库软件运行。数据库的国产化改造将为系统的完全国产化打下坚实基础。
在大型企业信息化的过程中,国产化不是一个新话题。有权威的调研表明,83%的企业曾应用过国产软件产品或解决方案。根据各行业大型企业信息系统成功实施国产化的经验,结合展览展示数据综合管理系统本身的特点分析,国产化改造工作应遵从分阶段、应用牵引和平台重构三个原则。
1)分阶段
目前在大型企业信息化中,虽然已有83%的企业在信息化过程中使用(或曾经使用过)国产产品,但是在整体信息系统中,完全使用国产产品的案例并不多。造成这种情况的主要原因是,这些企业在信息化的一些关键环节上使用了国外信息化产品,而国外产品往往对上下游产品进行了严格限制,对国内产品具有很大的排斥性,这也导致了信息系统的国产化推进困难。因此,分阶段推进国产化是应对这种状况的重要原则。
展览展示数据综合管理系统建设的一期项目目前已进入项目收尾阶段,基于通用性、稳定性、兼容性等因素的考虑,系统所使用的数据库均为国外产品,为保证项目实施工作的连续性,降低基础支撑软件国产化技术改造带来的系统不稳定等风险,也需要分阶段推进。
数据库是展览展示数据综合管理系统运行的基础,同时也与系统技术架构结合最紧密的基础支撑软件,尽早完成国产化数据库软件的改造,可为下一步国产化改造打下坚实基础。
2)应用牵引
从应用系统入手、以应用系统来牵引国产化信息系统的落地与建设,是大型企业信息系统国产化的重要原则。部分国产化效果不好的大型企业有一个共同的特点:直接从基础软件入手进行国产化,而忽略应用系统。如果仅仅更换基础软件而应用系统不做变动,将会出现应用系统不支持的情况,必然会导致应用效果不好。
展览展示数据综合管理系统项目二期建设中充分考虑国产化的技术改造,正是采用应用牵引的思路,从业务需求出发,从应用系统着手,来带动展览中心整个信息系统的国产化。通过实现与国产基础软件之间的适配,为未来其他软件系统的国产化改造积累宝贵的经验,确保展览中心各系统的流畅运行和安全可靠。
3)平台重构
平台化是当前大型企业信息化的一个重点。93%的大型企业都已或正在、准备构建信息化的统一平台。伴随信息化建设单位业务的多样性和多变性,为业务服务的信息系统也需要不断变化、不断扩展,平台化是适应这种变化的最好方法。构建一个统一的、弹性的、高内聚、松耦合、能对所有业务系统进行全面支撑的信息化平台,能够打破信息孤岛,实现信息共享、多系统协作,对企业或单位的信息化建设具有重要意义。
展览展示数据综合管理系统的建设也将按照平台化的思路,更加强调松耦合架构,可以在不同功能系统、模块之间实现自由搭配,支持新业务模块或业务系统的研发,既能满足定制开发的需求,又能实现与第三方应用软件的对接。平台重构,为替换国外应用系统奠定了基础,进而推动后续的基础软件替代。
4.4.2数据库软件选型
数据库软件选型的核心内容是为展览展示数据综合管理系统选择合适的国产数据库软件,为管理系统的运行提供基础支撑。结合本项目的实际开发运行环境,通过综合比较,达梦数据库在通用性、兼容性和高性能等方面适配性更高,技术可行性和可操作性更高,更加符合本项目的建设需求。本项目拟选择达梦作为展览展示数据综合管理系统的数据库软件。
原系统采用SpringCloud微服务架构,通过Mybatis访问MySQL数据库,用到了Activiti等第三方组件。为将MySQL数据库迁移到达梦数据库,需要在深入理解原有代码的基础上,进行如下工作:
修改第三方组件程序和配置
包括工作流引擎Activiti组件、配置组件SpringConfig、日志组件Logback。修改这些组件的数据源,使其指向达梦数据库,修改调试组件源程序,使其通过达梦的JDBC数据访问接口来读写达梦数据库。
数据综合管理系统基础平台重构
原有数据综合管理系统基础平台是基于MySQL数据,需要修改其数据源,以及Mybatis的设置和Mapper及对应SQL语句,按照达梦数据库的SQL写法改写原有所有的SQL语句。
应用子系统程序修改
应用子系统的修改和基础平台的修改也是一样,需要修改其数据源,以及Mybatis的设置和Mapper及对应SQL语句,按照达梦数据库的SQL写法改写原有所有的SQL语句。
在完成这些修改后,需要对系统所有功能进行回归测试,发现问题并修改。需重构的应用子系统包括一期项目中已经建立的所有模块,列表如下:
达梦数据库和MySQL结构存在差异,TSQL语法也存在差异。达梦数据库针对MySQL做了部分兼容性。但由于有根本性的差异,兼容度不高。从MySQL迁移到达梦数据库,达梦数据库提供了自动迁移工具,但在开发级别还需要人工干预进行同步。
数据库是系统的关键,数据的错误会严重影响业务的正常进行,在迁移过程中必须仔细严谨。因此从MySQL向达梦数据库的迁移分为七个步骤,如下所示:
分析待迁移系统
分析内容主要包括现有数据库的基本参数和迁移对象的分析统计,用于目标数据库的设置和迁移后的检查等。主要内容包括:统计MySQL的基本参数,例如数据排序规则、字符编码标准等信息,用于在达梦数据中设置参考;统计MySQL数据库中的对象及每个表的数据量。
准备迁移环境
首先根据规划准备并配置好相应的服务器、网络、磁盘阵列等硬件设施。其次是安装达梦数据库,并根据现有数据的分析统计情况计算和设置初始化参数,包括PAGE_SIZE、EXTENT_SIZE、CHARSET等。再次是创建对应用户和表空间。
常规对象迁移
常规对象指的是表和视图,都可以通过达梦提供的数据迁移工具从MySQL完整的迁移到达梦数据库。在迁移前需要制定迁移计划,遵循先迁移序列、在迁移表、最后迁移视图的顺序,对数据量大的表单独迁移,对超大数据表采用分批迁移的方式。
在常规对象迁移过程中,可能会出现字符串截断、违反唯一性约束等异常,需要根据异常提示修改目标表的设置、字段类型等解决。
TSQL迁移
对自定义类型、存储过程、函数、触发器等进行移植,可以使用达梦DTS工具进行迁移,由于MySQL与DM的语法差异较大,都需要进行手工移植。
首先是通过NaviCat等工具导出MySQL中的自定义类型、存储过程、函数、触发器的SQL脚本。其次是在但数据库中导入对应SQL脚本,并对不兼容的语法进行分析和修改,MySQL和DM有语法不一致的地方,需要根据具体问题具体分析。
核对数据库迁移结果
通过统计迁移后达梦数据库的内容,包括字符集设置等基础信息、数据库中的对象、表及表中数据量,和在MySQL数据库中的统计数据进行比对,如果发现不一致的地方,例如遗漏数据库对象等,需要进行补充处理。
数据库更新与备份
迁移后还需进行一些工作,包括数据核对无问题后,进行一次全库的统计信息更新工作;对全库进行备份;整理导出所有数据库对象脚本,包括序列定义及当前值、表定义、索引定义、视图定义、函数定义、存储过程定义、包及包体定义、自定义类型和同义词定义。
系统测试与优化
5.其他安全需求
首先,对数据库管理系统本身而言,要审核其在对共享数据的组织和存取方面所报供的控制,看是否能充分的保证数据的完整性。
对数据库环境的各个部分,应该指定专人负责。总的原则是利用分工负责来确保一定程度的安全。例如,对数据库进行的任何存取,规定要由该数据库的所有拥有者(或大多数拥有者、或某个指定的拥有者,通过资源控制文件实现)同意后,方可进行,这样就防止了对数据库作某些未经许可的存取。
资源控制文件就像角色一样,能够简化数据库管理员和安全主管的工作。一个资源控制文件是一组权限的集合,有一个名字,并且被赋给一个或者多个数据库用户。
通过资源控制文件限制系统资源,而只让特定的一组用户使用。例如,可以让数据库终止一个已经运行了一个多小时的查询。从而有效的减轻负债,保护资源。
对数据所进行的描述、修改和数按字典所进行的维护,也应创定出统一的规范,并以书面的形式给出。例如,对数据描述的修改要用书面形式提出,并经该数据描述的所有共享用户共同同意以及数据管理员的批准,还要将修改的结果通知所有共享用户。
为了数据恢复的需要(如构造出某个过去事务的细节),以及在有违犯安全的事件发生时,能追踪出有关线索来,数据库系统要记录有关远行时的情况,这些情况包括:
操作类型:对数据库进行的何种操作;
发生成间:操作发生的年、月、日等;
应用程序名:该操作所在的应用程序的名字;
事务顺序号:该操作所在的事务的顺序编号;
用户名:实施该操作的用户的标识名;
终端号;该操作是在哪台终端上发生的;
客体名:被操作的客体的名字;
旧值:实施操作之前的客体值;
新值:实施操作之后的客体值。
操作系统安全
操作系统是管理计算机资源的核心系统负责信息发送、管理设备存储空间和各种系统资源的调度,它作为应用系统的软件平台具有通用性和易用性,操作系统安全性直接关系到应用系统的安全,操作系统安全分为应用安全和安全漏洞扫描。符合C2级安全标准,提供完善的操作系统监控、报警和故障处理。
应用安全:面向应用选择可靠的操作系统并按正确的操作流程使用计算机系统,杜绝使用来历不明的软件,安装操作系统保护与恢复软件并作相应的备份。
系统扫描:基于主机的安全评估系统是在严格的基础上对系统的安全风险级别进行划分,并提供完整的安全漏洞检查列表,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保护应用程序、数据免受盗用、破坏。
云计算服务资源安全
安全架构
根据对展览展示数据综合管理系统运行环境,其所属网络环境的详细了解,按照安全体系建设依据,系统地对用户网络进行梳理与规划,并结合国家信息系统安全等级保护二级建设要求。
安全域划分
根据在用户网络现状分析,并根据等级保护的要求,对用户信息系统进行安全域的划分,安全域是具有相同或相似安全要求和策略的IT要素的集合,是同一系统内根据信息的性质、使用主体、安全目标和策略等元素的不同来划分的不同逻辑子网或网络,每一个逻辑区域有相同的安全保护需求,具有相同的安全访问控制和边界控制策略,区域间具有相互信任关系,而且相同的网络安全域共享同样的安全策略。
在整个安全体系设计中,首先参考网络的数据流向、物理位置、策略共性等因素进行了安全区域的划分,划分的结果为边界出口防护区、安全管理区、核心业务防护区。
在安全产品的选择、部署位置上做详尽周密的考虑,下面是对产品部署详细说明。
安全域防护设计
(1)边界出口防护区
互联网出口安全域逻辑隔离了Internet外网互联区以及用户办公内网区,该安全域既是信息安全风险进入的第一个入口点,也是用户敏感数据泄露窃取的最后一个出口点,是当前信息系统安全防护措施保护的重点安全域,安全产品功能说明如下:
出口网络防火墙
出口网络防火墙系统采用三层路由模式部署在互联网出口,开通功能模块包括:IOC(未知威胁检测模块)、AV(防病毒模块)等。在互联网出口进行区域内外网的逻辑隔离,划分内外网安全域;依据云端威胁情报进行内网未知威胁的感知、响应、分析及处置;在互联网出口基于HTTP,TFP,SMTP,POP,TELENT等协议检测病毒木马并及时拦截阻断,同时和内网天擎终端安全管理系统进行联动,自动发现内网高危终端,并生成动态安全策略进行阻断,有效降低安全风险的发生,实现云管端的协同防护,提高用户互联网出口安全防护能力。
(2)核心业务防护区
核心业务防护区是核心业务系统的接入防护区域,该区域保护了用户的核心物理设施、核心应用资源以及核心数据资源,是用户信息系统保护的重点,安全产品功能说明如下:
应用防火墙
在网络中串联部署应用防火墙系统,负责针对web应用访问流量进行拦截各种web应用层攻击,保障web应用的安全访问。可以做到事前漏洞扫描,使用户提前知道web应用中存在的高危漏洞并提示引导用户修复;事中应用防护能力,可以拦截各种SQL注入、跨站脚本CSS、上传漏洞、最新应用漏洞等应用层的web攻击;事后网页篡改防护能力,可以保障网页真实性,防止网页被恶意软件或恶意方式的篡改功能。
(3)安全管理区
安全管理区主要用于安全设备的统一管理,是旁路审计等安全设备接入统一管理的区域,各安全产品功能说明如下:
IDS入侵检测系统
日志审计系统
日志审计系统旁路部署在安全管理区,可以将用户所有的网络设备上的运行日志、操作日志、流量日志等进行统一存储管理,并可将不易读的原始日志文件进行解析归并为方便读的统一日志格式;同时包含系统内置的丰富告警规则,包括:系统暴力破解报警、系统登陆注销告警等等,也可以自定义告警规则,依据设备名称、设备源地址、目的地址、端口、日志关键字等等,可根据实际业务特性进行自定义告警规则告警。