“部门间信息共享与服务平台”建设方案

低
•共享平台通过防火墙、 网关与其隔离
闸与其隔离
专线
电子政 务外网
互联网
建设需求
• 对外应用服务种类包括：
•
身份信息核查比对
•
车辆信息核查比对
当前应用服务的方式
• 当前应用服务的方式包括：
序号 手段 适用场景
1
2 3
接口调用
WEB访问 批量比对
其他部门调用XX提供的请求服务接口
访问共享平台门户 通过文件同步方式得到批量比对结果
入侵检测系统
公安内网 业务系统
对外共享应用服务
对内共享应用服务
查询比对终端 （终端访问）
集控探针
Hale Waihona Puke Baidu
外网门户系统
外网云服务总线系统
(应用服务中间件及相应服务)
内网门户系统 内网云服务总线系统
(应用服务中间件及相应服务)
外部门接入
边界接入平台边界保护区
边界接入平台应用服务区
边界接入平台安全隔离区
公安信息通信网
– 满足XX机关对工商、税务、国土、银行、民政、社保、电信、 民航、交通、医院等外部门的数据采集需求
• 安全地实现XX信息资源对外共享
– 对外提供常住人口、二代证核查比对功能，可以采用接口调用和
请求服务方式
建设需求
• 对外数据采集种类包括：
•
通过文件采集批量数据
通过文件采集其他部门 非格式化数据
•
•
通过数据库采集实时数据
通过服务接口调用访问 其他部门实时数据
•
当前数据采集的方式
• 当前数据采集的方式包括：
序号 手段 适用场景
1
2 3
文件同步
交换库同步 生产库同步
采用文件同步方式采集批量数据或者非格式化数据
采用触发器或者时间戳方式采集其他部门交换库的数 据 采用数据库日志方式采集其他部门生产库的数据
共享平台
边界接入平台
公安信息网
业务流程-跨XX内外网请求服务业务流程
服务 请求 服务 应答 XML 文件 请求 跨网络请 交换 安全隔离区 求服务系 返回 统外主机 数据交换系统 XML文件 交换
外部 用户
业务 系统
数据库 跨网络请 请求 业务 操作 求服务系 统内主机 返回 系统
业务数 据库
外部门
服务管理
访问控制
安全审计
…
服务路由
协议转换适配
流程编排 服务总线
质量控制
…
应 用 服 务 层
资源库
共享数据库
共享交换区 人口批量 … 比对结果 对外服务数据
边 界 接 入 平 台 安 全 隔 离 区
情报库
人口 在逃 出入境 … 对外服务数据
核查记录
…
航空信息
…
对内服务数据
对内服务数据
数 据 层
业务库
外网云服 务总线
查询 比对
共享 数据库
安全隔离区 数据 公安内 数据 安全数据交 交换 网数据 交换 换系统 库
外部门
边界接入平台
共享平台
边界接入平台
公安信息网
业务流程-内外网数据同步整合业务流程
ETL工具
数据 处理
共享 数据库
数据 交换
安全隔离区 安全数据交 换系统
数据 交换
公安内 网相关 数据库
外部门接入
外部单位 共享接入 防火墙 单向光闸 （单向入）
安全数据交换系统
公安内网 相关数据库
数据交换前置机 （数据交换）
共享数据库
专 线
防火墙 可信边界 安全网关 三层 交换机 外网数 据交换 服务器 网闸 内网数 据交换 服务器 内网交换机 原有集中监控与管理系统 （增加平台管理系统模块）
专网
外部门应用系统 （服务接口）
提供服务接口 统计|查询|比对|批量导 入等
应用接口
内部用户
应用服务层
应用服务层
公 安 内 网 应 用 系 统
外部用户
外 部 门 前 置 机
数据 采集
数据采集系统/ 实时数据同步 系统/单向光闸
数据处理
共享数据库 数据交换
数据处理
数据交换
公安内网相 关数据库
内部用户
数据接口
外 部 门 应 用 系 统
主要产品介绍
XX云服务总线系统（CSB）还包括：
• • • • • • • • • 法院刑事类信息查询 工商局纳税人信息查询 民政局结婚登记信息查询 民政局离婚登记信息查询 计生信息查询 劳动力资源信息查询 流动人口信息查询 社会保险信息查询 社会组织详细信息查询
• • • • • • • • • • 社区人口管理信息查询 私营企业信息查询 疾控中心体检信息查询 外来务工人员信息查询 在建工地信息查询 医疗保险参保人员查询 娱乐场所信息查询 高危管控人群购车信息查询 旅馆信息查询 旅客信息查询
共享平台
边界接入平台
公安信息网
业务流程-内网数据应用流程
ETL工具
数据 清洗
服务接口
内网门 户网站
内部用户 HTTP/SSL 终端
共享 数据库
安全隔离区 数据 公安内 查询 数据 安全数据交 交换 网数据 比对 交换 换系统 库
内网云服 务总线
服务接口 内部应用 HTTP/SSL 内部用户 系统 终端
业务查询库
合众实时数据同步系统 RDS
主要产品介绍
XX实时数据同步系统（RDS）
用于生产库数据采集
基于数据库日志解析获取实时增量数据
支持各种主流数据库同步
对源生产库影响最小
支持数据库异构
主要产品介绍
XX跨网络请求服务系统
访问终端 应答服务器 请求服务器
防火墙
三层交换机
外交 换服 务器
支持实时调度、定时调度、手工调度等多种调度功能
支持文件批量数据导入
主要产品介绍
XX单向光闸
主要产品介绍
XX单向光闸
用于互联网数据单向导入
支持文件单向导入
支持各种主流数据库单向导入
主要产品介绍
XX实时数据同步系统
交易数据 交易数据 查询系统 报表系统 分析系统
捕捉日志
装载
源数据库
共享平台
边界接入平台
公安内网
主要产品介绍
XX数据采集系统
数据采集系统
外部门 数据交换前置机
外部门 数据交换前置机
防火墙
三层交换机
共享平台 共享信息数据库
外部门 数据交换前置机
主要产品介绍
XX数据采集系统
支持文件交换及各种主流数据库同步
支持数据库异构
支持触发器、快照、时间戳、自增量字段、全表等多种获取方式
数据处理
数据处理 数据整合 运行环境
数据整合
数据加载
…
边界接入平台安全监管区
平台组成
终端访问 防火 墙 /IDS /边 界网 关
数据 采集
数据采集系统 单向光闸 跨网络请求服务系统 外主机 实时数据同步系统 安全数 据交换 系统和 网闸
内网门户网站 内网云服务总线 跨网络请求服务系统 内主机 业务数据库
网闸
内交 换服 务器
内网交换机
合众请求服务 系统外主机
在内外网部署一套合众请 求服务系统
合众请求服务 系统内主机
其他部门
边界保护区
应用服务区
安全隔离区
安全监测与管理区
主要产品介绍
XX跨网络请求服务系统（AS）
支持对其他部门发布的服务接口的调用
在内外网之间转换为文件交换
与安全数据交换系统采用的UDD（触发式）文件同步通道，同
实时数据同步 数据 系统 装载
数据 清洗
共享信息 数据库
公安内网 数据库
外部门 业务系统
服务 接口
外网应用 服务系统
数据 提交
外部门接入
共享平台
边界接入平台
公安内网
业务流程-安全风险较大网络的数据采集流程
安全风险 较大网络
ETL工具
数据 清洗
外部门生产 库/数据交 换前置机
数据抽取
单向光闸
数据装载
共享平台的安全设计
共享平台自身安全保护
数据采集安全
对外服务安全 内外网数据同步安全
平台总体架构
共享平台 平台门户网站 公安信息网
展 现 层
…
公民身份核查
交警信息共享
航空数据接收 平台应用
边 界 接 入 平 台 边 界 保 护 区
平 台 管 理 监 控 系 统
数据核查
数据查询
数据交换
对比分析 服务
逻辑结构图
外部接入 共享平台
外网门户系统
公安信息网
内网门户系统
Web访问 外部用户
Web访问
内部用户
展现层
共 享 平 台 管 理
展现层
外部用户
外 部 门 应 用 系 统
应用接口
内网云服务总线系统
(应用服务中间件及相应服务)
外网云服务总线系统
(应用服务中间件及相应服务)
提供服务接口 核查|查询|批量比对等 数据交换
平台建设
平台误区
将共享平台看成是一个资源整合平台
• 共享平台采集其他部门的数据，是XX的一个重要数据来源，但它不是XX内
部数据整合平台，综合查询、数据比对、情报分析不是共享平台的建设范 围
平台误区
将共享平台看成仅仅是一个应用平台
• 共享平台负责采集和服务，但是它是依托在边界接入平台上工作的一个平
步速度在1-2秒左右
支持最大3000个并发用户请求
主要产品介绍
XX云服务总线系统
主要产品介绍
XX云服务总线系统（CSB）
支持简项查询服务自动配置
支持核查比对服务自动配置
支持批量比对服务自动配置
支持多库组合查询服务自动配置
支持批量导入服务自动配置
支持信息提交服务自动配置
背景介绍
2012年4月，XX部下发了《关于“部门间信息共享与服务平台”建
设应用的指导意见》，进一步明确了共享平台的核心功能、总体架
构和建设任务
2012年9月，XX部下发了《<全国XX装备建设“十二五”规划>重
点项目建设任务书（第一册）》对共享平台建设的具体内容和具体
进度安排进行了细化，要求各省市XX机关按照任务书要求抓紧启动
共享信息 数据库
安全隔离区 数据 数据 安全数据交 公安内网 交换 交换 换系统 数据库
外部门接入
共享平台
边界接入平台
公安内网
业务流程-对外信息共享服务业务流程
ETL工具
数据 清洗
外部门用 SSL 户终端
外部门应 SSL 用系统
边界保 HTTP 外网门 服务 户网站 接口 护区防 火墙、 可信边 界安全 网关 服务接口
安全需求
边界接入平台是保护共享平台安全运行的基础防护设施，共享平台 必须通过边界接入平台实现内外网数据交换
1
背景介绍
2
3 4 5
需求分析
方案介绍 方案优势 案例介绍
共享平台的功能
数据采集
将外部门数据通 过各种方式采集 到共享平台数据 库，并通过接入 平台同步到内网
应用服务 通过服务接口、 WEB门户、批量比 对等方式提供外部 门对XX数据的核查 比对服务，并及时 登记审计记录
• 共享平台不仅是承担对外服务一项功能，由于当前XX对外服务的范围还很
有限，服务内容也比较单一。共享平台当前承担更多的是数据采集功能， 也就是尽可能多的采集其他部门的数据为XX大情报战略服务 • 因此共享平台的重点还在数据采集上
1
背景介绍
2
3 4 5
需求分析
方案介绍 方案优势 案例介绍
建设需求
• 扩大XX对外部数据的采集范围和采集能力
主要产品介绍
XX云服务总线系统（CSB）
内置了标准服务25个，其中对内服务19个，对外服务6个
主要产品介绍
XX云服务总线系统（CSB）举例
地税纳税人信息查询：是查询地税局纳税人纳税具体登记
情况的信息查询服务，可以用纳税人全称来作为查询条件
主要产品介绍
XX云服务总线系统（CSB）举例 法院民商事类信息查询：是查询法院民商事类案件基本信 息的查询服务，可以用姓名/名称作为查询条件
数据交换
请求服务
应用 服务
外网门户网站 外网云服务总线 共享平台数据库
平台管理系统
内网业务系统
外部门
边界 保护区
共享平台
安全 隔离区
共享平台
公安信息通信网
总体拓扑图
安全风险较大的网络
共享平台各系统 多维数据采集
专
数据交换前置机 （数据交换）
线
数据采集系统 实时数据 同步系统 跨网络请求服务 系统外主机 跨网络请求服务 系统内主机
XX部门间共享平台 解决方案介绍
2013年5月
1
背景介绍
2
3 4 5
需求分析
方案介绍 方案优势 案例介绍
背景介绍
共享平台是XX机关与其他政府部门之间实现双向信息交换
、访问与共享应用的计算机软硬件系统
2007 年9 月，XX部颁布了《关于稳步开展XX信息资源共 享服务工作的通知》,对XX机关建立部门间信息共享与服务 平台（以下简称共享平台）提出了总体要求
边界接入平台 安全隔离区 数据交换系统
数据交换
应用接口
跨网络请求服务 系统外主机
数据交换
跨网络请求服务 系统内主机
应用接口
数据层
数据层
业务流程-对外数据采集业务流程
ETL工具
外部门生产 库/数据交 换前置机
数据 交换 日志 分析
数据采集系统
数据 交换 安全隔离区 数据 安全数据交 交换 换系统 数据 交换
4
5
单向同步
请求服务同步
采用单向光闸方式采集不安全网络的数据
采用跨网络请求服务方式调用其他部门服务接口，通 过此方式实现数据访问
当前数据采集的网络架构
•其他部门通过专线与 共享平台连接，网络安 •电子政务外网与互联 网逻辑隔离，安全性较 •互联网安全性最低 •共享平台通过单向光
全性最高
•共享平台通过防火墙 与其隔离
台，就像接入平台是高速公路，共享平台上路上的车，经过收费站需要检 查一样，没有路和车的配合，XX信息通信网的安全无从保证。因此，共享 平台不仅是一个应用平台，而且它与XX网的安全息息相关 • 通过以前的教训，如果共享平台上的业务出现安全隐患，XX内网就有可能 被直接攻击
平台误区
将共享平台看成是一个对外服务平台