吴建国

(云南警官学院信息网络安全学院，云南昆明 650223)

0 引言

目前我国大部分省、市公安信息中心对信息和设备资源的管理还主要是采用人工巡检方式，再加上利用不同且独立的网络、主机、存储、程控交换、安全保障体系的一些管理软件进行管理。管理复杂，人工成本高，不能及时发现和处理故障，已远远不能满足公安信息化应用的要求。因此建立一个集应用系统、网络、主机、存储、安全保障体系、灾备系统等的管理、监测、报警、统计和科学分析的统一管理系统，对于保障公安工作各项业务的顺利开展至关重要。

1 基础架构集成系统的设计思路及技术原理

所谓基础架构集成系统，就是要对整个公安信息中心基础架构进行统一集中式的有效管理，从而确保其安全可靠运行，防患于未然。当出现设备及应用系统故障时，可以及时查找到相应的故障节点［1］。

1.1 集成系统的设计思路

集成框架应能对公安信息中心现有的软件资源进行整合，最终的目的是统一系统监控管理平台;同时集成框架能将网络设备、备份设备、主机、存储等硬件以及操作系统，数据库、Web服务系统、应用服务器中间件、业务应用系统、备份等软件进行有效管理。综上，集成框架的设计目标，就是要建立一个统一的运行管理平台，将软硬件资源的管理信息，以及人员、设备、制度等管理信息有机结合，达到在统一管理平台下，进行监控、分析、故障定位、报警、资源调配、管理、发布的目的。

1.2 集成系统的设计原则

由于各公安信息中心所管理的服务器、操作系统、应用软件等软硬件资源多种多样，具有很强的异构性，因而在集成平台的技术实现方式上，应遵循下述原则:采用B/S多层结构，遵循J2EE标准应用服务器中间件，与较为成熟的运行维护管理软件无缝结合，制定统一的公安信息中心运行维护管理系统数据采集接口标准，采用网络管理系统支持的SNMP协议、WebServices等多种技术，实现统一的、图形化的统计和分析界面。

1.3 设计方案的技术原理

为了使系统能强化开放性、集成性，技术方案应采用基于J2EE的B/S结构。用户用浏览器可直接访问系统，方便用户的使用和将来的系统升级，可跨不同软硬件平台。

J2EE组件体系架构基本的原理就是采用组件和对象来构建应用程序，这些组件和对象在应用程序中对于实现业务需求的透明度，系统开发及技术转换的作用都非常重要。

各种具体业务的应用程序由组件构成，而每个组件由对象例如设备、备件或员工构成。在进行业务管理工作时，调用具体的组件处理业务问题或实现某些功能。

系统的组件化设计使得每个组件既可以被应用程序反复调用，又可以完美地嵌入其他系统。

1.3.2 基于组件的实现方式

采用基于组件的架构，可使业务逻辑和数据库层都相对独立。同时多层次体系结构将使系统安全和数据库架构同客户端实现区分开。

2 集成系统的功能架构分析

2.1 集成系统的功能架构

集成系统应包括基础数据的整合及管理以及数据的分析、统计和统一查询和显示。展现层的职责是提供管理数据的各种展现方式，包括个性化、分权限、分管理区域的展现，展现内容或者是原始管理数据或者是聚合后的统计数据。集成系统的功能架构如图1。

图1 集成系统的拓扑架构

2.2 功能分析

集成平台的主要作用就是能将应用系统、网络、主机、存储系统等进行统一的管理、监测、报警、统计和科学分析。如图1所示，它应具有如下的主要功能。

江无齿立刻收回了手中淬毒的暗器，一遍又一遍地开始探究赵白笑容背后的意义：“他为何发笑？他的笑容为何看起来充满了奸诈？难道说他已经发现了我藏在袖中的暗器？他发现了我暗藏的暗器，还对我露出这样奸诈的笑容，这说明他的手段一定在我之上！我若这么贸然出手不就正好着了他的道？要是因此丢了小命，那我之前的偷奸耍滑还有什么意义！对，这一战，我决不能应战！决不能！”

2.2.1 统一管理平台及安全认证管理

它包括单点登录、门户展现、用户管理、认证管理等功能。单点登录实现用户在门户中只需进行一次身份认证，即可使用门户提供的所有被授权功能，无需二次身份认证;门户展现提供接入系统信息的集成展现;用户管理提供用户、账号的集中管理;认证管理提供对用户身份验证方式、认证策略等内容的配置管理。

支持单点登录:支持对URL进行过滤，对待有指定参数的URL进行拦截，然后跳转到统一认证;统一认证调用登录验证逻辑对用户及密码进行验证，通过后，赋予当前用户session。

支持门户展现:提供接入系统以URL或Portal形式在门户中进行集成访问。提供各接入系统所涉及的各种信息、数据(如资源数据、监控数据等)以不同的展现形式(如报表、视图等)在管理门户中统一进行展现。

支持用户管理:提供对用户的管理功能，包括创建、修改、删除等;提供用户的浏览、查询和显示功能，支持树形展现方式;提供查询手段，可根据用户信息、组织信息、角色等信息进行多种条件的查询。支持对用户账号的管理，包括账号的创建、修改、删除等维护。

支持认证管理:实现身份认证一般有3种途径:基于软件系统的用户/密码机制、统一的静态密钥和CA认证。这3种机制具有各自不同的适用环境和特点。其中:基于软件系统的用户/密码机制实现简单，但不够安全;统一的静态密钥机制，密钥管理空间受存储量限制，密钥不便更换，故也不适合大规模应用;CA认证是当前技术发展的主流，广泛应用于大规模信息系统的安全认证，公安信息网的身份认证选择的正是以PKI体系为基础的证书管理体系。

2.2.2 信息发布平台(网站管理)

信息发布包括公告管理、信息发布和订阅、互动平台3项功能。公告管理是为了让用户可以方便地发布信息给所有使用服务管理的用户;信息发布和订阅是服务台或业务维护人员定期发布不同类别的运维信息供用户订阅查看;互动平台实现用户在线信息交流。

2.2.3 监控信息管理

可即时显示各个模块对应的服务情况，对数据进行进一步的包装。提供具体的、可视化的、量化的各种关键指标数据信息，如监控的情况、故障处理汇总分析情况等。用以提高服务的质量和水平，提高信息中心的响应速度和协调能力。

通过在被管理系统中安装、运行代理软件，监控和收集主机、数据库、中间件、应用系统、Web服务的运行指标数据。系统能够依据管理的需要，定时向需要监测的管理对象发出监测请求，监测系统的数据采集间隔可以灵活配置，可以对被管服务器进行文件扫描、目录检测、接口调用等方法来扩展监测的范围。

存储监控包括3个部分功能:存储域网络的管理，存储设备的配置管理、性能监控和数据复制管理以及存储资源管理。这3个部分统一由集中存储管理平台统一管理，完成异构的、集中的、单一管理窗口的存储管理［2］。

2.2.4 网络管理

网络管理包括网络拓扑、故障、性能等管理功能。它应能根据网络拓扑结构，在发生故障时，定位根源故障点，压缩其他相关联的事件。根据事件，查看故障节点所在的网络拓扑位置，或者其他相关的拓扑关系视图，了解故障节点在网络中的关系。

网络性能数据主要有3大类，一类为网络线路性能信息;一类为网络设备和端口的性能信息，如CPU、内存、端口进出流量;一类为网络流量流向信息，如不同协议的应用类型流经某个网段的总流量等。这3类信息对于发现网络性能问题、进行网络分析和规划都相当重要。

2.2.5 设备管理

自动发现、整合分布在信息中心的资产和配置信息，其中包括关于服务器、存储设备、网络、中间件、应用系统和数据的详细信息，由此帮助信息管理人员了解这些不同组件之间的关系及依赖性。

资产管理可基于现有的管理架构或自定义分组策略实现分权管理。通过资产管理能够帮助了解当前所有计算机的资产信息，弥补固定资产报表的不足，并能为软硬件升级计划及充分提高现有设备的利用率提供极为有效的基础信息。

2.2.6 故障发现与报警

在集中控制平台所展现的监控信息，主要是用来即时显示各个模块对应的服务情况，对数据进行进一步的包装。提供具体的、可视化的、量化的各种关键指标数据信息，如监控的情况、故障处理汇总分析情况等。综合监控展现不仅包括了监控视图，如:网络、服务器、数据库、应用系统、业务应用等的综合监控展现，还搜集和整合有关事件的信息，以及提供SAN中的多供应商、多构件故障隔离和问题判断能力。当监控对象出现故障时，应该产生一个告警消息，并且改变管理器控制台上的图标颜色，利用控制台上的图标，管理员可以深入到单个的单元上来观察配置信息以及告警和故障信息。

3 结束语

公安信息中心集成系统设计的关键点是:统一系统架构、统一开放的服务接口和数据标准、统一访问平台、统一登录、统一认证。而要做到上述的统一，我们就必须建立标准和规范的数据编码规则，从而有一个逻辑上一致的管理信息库，据而建立统一的设备编码以实现系统能准确访问同一设备的各种信息，并能准确进行信息展现和故障定位。

［1］ 陈春东.基于SOA架构实现公安行业信息化系统集成［J］.电信快报:网络与通信，2012(9):3-7.

［2］ 刘永华.网络信息安全技术［M］.南京:中国铁道出版社，2011:63-74.