二、同年6月,管理局信息处着手对省直单位公积金网上业务系统进行改造,这项业务在官方网站上开放已经有3年时间,一直用的很不理想。随着今年访问量开始变大,系统变的越来越不稳定。进入7月份之后,系统每天都会出现不同程度的问题,时而报错,时而宕机。为改善现状,系统的开发商连续四天上门调试,但都未能解决。有了1月份住房分配系统成功改造的经验,管理局信息处的工作人员主动提议更换应用
服务器中间件。
Apusic工程师到场迅速完成了安装、调试工作,并根据自己对类似应用系统架构的丰富处理经验,对系统进行了访问上的优化。整个过程在两个小时内完成。上线之后一访问发现,目测反应速度比原来快了至少一倍以上。过去在网页上请求一个查询服务需要2~7秒钟的时间等待响应,有时甚至长达10秒。现在无论请求哪种服务,网页都能在1秒钟内出现。并且系统自上线以后直到现在都保持稳定状态。用户使用的效率大大提升,网络体验也得到了改善。
系统分析
在分析浙江省省级机关事务管理局的系统之前,我们先对常见的中小型电子政务平台架构做一个了解:它们通常采用的这样的构建方式(如图一):
如图所示,内外网间用防火墙直接隔离,而根据提供服务的不同,内外网各配置一台Web服务器。外网Web服务器与防火墙之间则为"停战区",这个区域受到防火墙的部分保护,能够开放却可以抵御外部网络的攻击。为避免"信息孤岛",外网的网站提供的服务跟后台系统(政务系统、管理系统等)往往是相连的,也就是数据可以交换。但随之带来的问题是:内部网络间接暴露在互联网上,出于不安全的状态中。黑客可以通过停战区绕过防火墙到达内网(如图二):
为了防止这种情况发生,很多单位采用一种处理方法是,在外网Web服务器与内网Web服务器之间使用隔离网闸技术(GAP)。
如上图,隔离网闸设备如同一个高速开关在内外网间来回切换,同一时刻内外网间没有连接,处于物理隔离状态。从而有效防止已知或未知的针对网络层和操作系统层的攻击,并在内网与外网物理隔断的同时,提供网络间安全实时的数据交换。采用这种方式虽然可以起到安全保护内网的效果,但其缺点也很明显:
网闸产品价格不菲,成本极高;
目前电子政务的常用架构,外网的数据库是放在后台的,以起到简化应用的效果。随之带来大量的数据交互请求。如果采用网闸技术,内、外网数据交互的速率会受到严重影响。对此业界的共识是:网闸适合定期的批量数据交换,但不适合多应用的穿透;
网闸处于涉密网与非涉密网的网关的特殊位置,又是网络安全的最后一道防线,所以网闸本身的安全问题同样是一个隐患。用户对产品研发人员和研发单位的 背景了解也是选择产品的重要条件,能在市场上站住脚的产品是极为有限的几种。
