天津市水利工程建设信息化管理研究

2010-06-11张胜利于学堃

海河水利 2010年4期

张胜利，郗明，于学堃

（天津市水利基建管理处，天津 300204）

天津市水利工程建设管理信息系统利用先进的计算机及网络技术、信息技术、系统理论等，依据《天津市水利工程建设管理办法》，建立完整、有效的水利建设管理信息系统，使得系统能够在先进、安全的通信和网络基础平台的支持下实现公文流转、网上审批、项目信息采集、远程数据上报、信息分析处理、项目信息查询和决策、最新政策法规查询等功能，实现了办公业务和工程信息等资源充分共享。

该系统在全市所有水利工程项目建设管理中得到推广使用。涉及建设管理的各个环节和流程全部纳入管理系统，运行效果非常明显，大大提高了工作效率，实现了流程化管理。系统的全面应用，推动了水利工程建设管理工作由粗放型管理向精细化、标准化、程序化管理转变。同时，在系统应用中避免了人为因素的随意性操作，在控制投资、合同造价等方面产生直接效益，确保了工程建设的安全高效。

1 信息系统技术基础

1.1 系统开发方式

信息系统基于Intranet Web技术，利用面向对象的建模技术建造起来的B/S结构体系。以ASP.net、C#、JAVA、Java script、HTML 作为主要的开发语言，以Spring、Hibernate作为系统构架，以Visual Studio.net、Eclipse、MyEclipse 等作为开发工具。开发过程中充分考虑了通用功能的函数开发，发挥代码的重复利用和高效率的特性。

系统的客户端操作界面采用统一的IE浏览器方式，界面友好，操作方便。

1.2 系统体系架构

系统的体系结构采用Intranet Web技术，其功能结构技术体系如图1所示。

系统的体系结构是采用如图1所示的结构体系，该体系即为B/S结构三层体系。与C/S结构相比，在B/S结构体系上开发应用软件，只需开发服务器端的系统程序，而不必开发客户端的应用程序，任何修改都在服务器端进行。

1.2.1 表示层

主要是系统的用户接口部分，是用户与系统间交互信息的窗口。它的主要功能是检查用户输入的数据，显示系统输出的数据。在一定程度上允许对数据进行编辑，如果表示层需要修改时，只需改写显示控制和数据校验程序，而不影响其他两层。检查的内容也只限于数据格式和取值范围，不包括有关业务本身的处理逻辑。简单的表示层可以完全由HTML页面组成，要实现更为复杂的功能需要通过动态HTML脚本代码和Java script等其他编程语言创建应用程序调用在业务逻辑层的业务组件。

1.2.2 业务逻辑层

它是系统的应用主体部分，包括全部的业务处理程序，实现系统的数据处理和业务规则。除了输入、输出功能在表示层和数据库在数据访问层以外，全部的数据处理、汇总、分析、统计功能全部存放在业务逻辑层。其代码集中存储，提供的服务可以为所有的应用程序使用。表示层和业务逻辑层的数据交换尽可能要简捷。用户检索数据时，要设法将有关的检索要求一次传送给业务逻辑层，而经业务逻辑层处理过的检索结果也要一次传送给表示层。信息系统设计中避免一次业务处理在表示层和业务逻辑层之间进行多次数据交换。

1.2.3 数据逻辑层

数据逻辑层访问是系统的数据来源中心。本系统中的所有数据都存储在该数据层中，用单位的程序代码实现，封装了基本数据的存储细节，为业务逻辑层提供透明的数据访问，接受业务逻辑层提出的请求，并对其进行处理，将获得的数据及时反馈给表示层，使得用户能够及时地收到更新的数据信息。

2 信息系统规划

2.1 信息系统硬件规划

信息系统硬件系统结构需要立足于数据的安全性和保密性，同时需要内网用户和远程用户的操作方便性和数据上报的灵活性，内网与外部需要隔离，但远程用户可以通过电话线访问远程子系统。基于以上考虑，采取以下的硬件设计方案，如图2所示：

2.1.1 前置服务器

前置服务器同时承担拨号服务器、远程子系统应用服务器、远程申报数据库服务器的功能，通过PSTN（电话网络）建立了与外界客户端的通讯渠道，远程客户可以通过电话线拨号进入该服务器。

该服务器上存有临时数据库和远程子系统软件，软件系统采用B/S模式开发，远程用户登陆后可以直接访问该服务器上的Web网页，通过权限认证即可进入远程子系统进行数据的实时上报、查询等工作。

远程用户上报的数据存贮在该前置服务器的临时数据库中。

2.1.2 防火墙

为完成建设管理部门对项目法人申请的批复须构建内网与外网联接的物理通道。此渠道必须杜绝外界客户直接访问内网的功能，所以采用防火墙在内网应用服务器（又称后置服务器）和前置服务器之间建立连接，内网应用服务器可以访问该前置服务器，但前置服务器无法访问内网应用服务器，即无法访问内网系统。

2.1.3 后置服务器

后置服务器存贮的是该水利工程建设管理信息系统的主要应用系统，包括内网的核心子系统和审核子系统。

2.1.4 数据库服务器集群

采用双机热备模式，通过SCSI总线和磁盘阵列联接，两台数据库服务器上安装Windows 2003 Server、SQLServer 2000等，应用数据放在磁盘阵列上。该方式既保证了数据库服务器的正常运转，同时保证了存贮数据的安全性。

2.2 远程访问子系统

通过远程访问子系统，位于全市任何地点的项目法人都可以上报水利工程建设相关资料，在计算机网页中进行在线填写，并提交给水行政主管部门等主管部门审核、批准，可以按时上报项目进度、资金使用等项目管理情况。主要内容，包括项目法人组建、工程报建备案、工程施工图审查、质量监督备案、安全生产监督备案、经济合同备案、项目管理预算备案、开工报告申请、进度周报、进度月报、财务月报、待摊投资报表、资金平衡报表、质量与安全事故月报、整改结果上报、质量等级核定审批、合同管理、设计变更申请、验收申请等。

施工企业、监理单位、检测单位、施工图审查机构也可以通过该远程访问子系统，在线填写本单位信息和下属注册建造师、监理工程师等相关人员信息。主要内容，包括单位基本情况、质量与安全生产情况、信用评价档案、注册建造师信息、监理工程师信息等。

该子系统通过严格的用户访问控制，限制可以使用该子系统的人员。任何可以使用该子系统的人员，都可以在系统网页上查看各类最新的水利工程新闻、水利工程相关的造价文件资料、法规与标准资料、办事指南等。使用该子系统的人员还可以随时与主管部门的人员或其他项目法人、施工单位、监理单位等人员进行Email通信。

2.3 核心及审核子系统

水利工程建设管理的相关人员通过该核心及审核子系统，可以对项目法人远程上报的各类报审资料进行审核，不合格者可以从系统中退回，并要求项目法人重新在线填写，合格者可以审批通过并加盖相关的电子印章。同时，各相关人员还可以及时了解项目的进展情况、资金使用情况等信息。该子系统的建设真正实现了利用现代化的信息管理手段，优化、规范化了水利工程建设管理流程，实现了信息的高度共享，保证了信息的实效性，提高了工作效率。

该子系统主要内容，包括水利工程项目的项目法人组建审批、施工图审查备案、质量监督审查备案、安全生产监督审查备案、开工报告审批、工程进度控制（包括进度周报、进度月报的自动接收和自动汇总）、资金月报的自动接收和自动汇总、质量与安全事故月报的自动接收和自动汇总、整改通知的下发和整改结果的自动接收、质量等级核定的审批、合同管理、设计变更的审查、竣工验收资料的管理、水政执法管理、工程稽察通知的下发和自查抽查结果的自动接收等。相关人员可以对施工企业、监理单位、检测单位、审查机构等单位远程上报的单位信息、下属人员信息、各类档案资料等进行核对、修改，同时还可以对天津市水利工程管理协会的个人会员和单位会员进行管理。

该子系统具备严格的用户访问控制，不同的用户可以浏览的内容不相同，可以执行的审查权利以及录入、修改、删除权利也都不同。不同的人员可以对工程项目的不同内容进行查询，包括基建财务信息查询、经济合同查询、预算备案登记表查询、工程进度周报查询、工程进度月报查询、工程基本信息查询、工程分类统计信息查询、执法稽察情况查询等。同时，使用该子系统的大部分人员都可以查询以下内容：各类最新的水利新闻、水利工程相关的造价文件、法规与标准、办事指南、水利规范标准等。

该子系统的使用人员可以相互之间进行技术交流。他们不仅可以相互之间进行Email通信，还可以与项目法人、监理单位等远程子系统的用户进行Email通信。

3 信息系统数据安全

建设管理信息系统涉及天津市水利工程建设的各个方面，系统中的数据是系统的核心内容，数据安全尤为重要。数据安全主要考虑的是数据访问控制、数据存贮、数据备份和灾难恢复方面的内容。

3.1 数据访问控制

核心子系统和远程子系统的数据库必须具备用户认证的访问控制功能，防止入侵者越过应用系统的控制直接访问数据库。数据库管理系统应具有如下能力。①验证：保证只有授权的合法用户才能注册和访问；②授权：对不同的用户访问，数据库授予不同的权限；③审计：监视各用户对数据库施加的动作，数据库管理系统应能够提供与安全相关事件的审计能力和在数据库级、记录级标识数据库信息的能力。

天津市水利工程建设管理信息系统将数据的访问权限赋予用户组或者角色，用户通过身份认证后根据自己所在的组或扮演的角色的相应权限来访问数据，这样可以实现用户和权限的逻辑分离，增强了开放性和通用性，为以后建立统一的用户、权限管理系统奠定了基础。

3.2 数据存贮

在计算机信息系统中存贮的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹数据信息的安全保护，以数据库信息的保护最为典型。而对各种功能文件的保护，终端安全很重要。

3.2.1 数据库安全

对数据库系统所管理的数据和资源提供安全保护，一般包括以下几点：①物理完整性：数据能够免于物理方面破坏的问题，如掉电、火灾等；②逻辑完整性：能够保持数据库的结构，如对一个字段的修改不至于影响其他字段；③元素完整性：包括对每个元素中的数据是准确的；④数据加密；⑤用户鉴别：确保每个用户被正确识别，避免非法用户入侵；⑥可获得性：指用户一般可访问数据库和所有授权访问的数据；⑦可审计性：能够追踪到谁访问过数据库。

要实现对数据库的安全保护，一种选择是安全数据库系统，即从系统的设计、实现、使用和管理等各个阶段都要遵循一套完整的系统安全策略；二是以现有数据库系统所提供的功能为基础建立安全模块，旨在增强现有数据库系统的安全性。

3.2.2 终端安全

主要解决微机信息的安全保护问题，通常的安全功能如下：基于口令或（和）密码算法的身份验证，防止非法使用机器；自主和强制存取控制，防止非法访问文件；多级权限管理，防止越权操作；存贮设备安全管理，防止非法拷贝和硬盘启动；数据和程序代码加密存贮，防止信息被窃；预防病毒，防止病毒侵袭；严格的审计跟踪，便于追查责任事故。