1、期末综合测试:2010 年下学期信息安全专业网络工程规划与设计 课程期末综合测试试卷(A )题 号 一 二 三 四 五 六 七 八 总分应得分 10 10 10 10 15 15 15 15 100命题人廖继旺实得分 阅卷人适用年级/班级:信安 0901系: 班级: 姓名: 学号:下面是望城县人民政府电子政务系统建设方案,按照已有的材料把这个方案补充完整。望城县人民政府电子政务系统建设方案第一部分:电子政务系统建设的目标、任务与原则1.现状在上级政府的重视下,“九五”期间,望城县国民经济和社会信息化取得长足发展。信息基础设施建设如电信网络、移动通信、广电网络、公用计算机网等发展较快;通过大力推
2、进信息资源的开发利用,大多数行业或经济管理部门都建有几个应用数据库,为望城县建设“电子政务”系统提供了较好的基础设施、信息资源和建设经验。望城各级机关办公自动化工作经过近年来的努力,取得了可喜的进展。一是计算机应用普及率大幅度提高,办公业务管理和信息管理系统已经普遍建立和使用,办公电脑化、网络化正在逐步推进。二是机关办公网络建设步伐加快,许多单位已建成支持办公业务的内部局域网络,一些部门上下联网初具规模,纵向联网新的需求日益增长。三是初步形成了反映全县社会、经济发展状况的数据库体系,积累了一定的电子信息资源。四是各级领导同志和机关工作人员的信息化意识得到增强,通过培训和使用,办公自动化应用水平
3、进一步提高,促进了领导方式、工作方式的转变,提高了工作质量和效率。五是通过政府上网工程,一些部门在互联网上设立了网站或主页,开始面向社会公众提供公共信息服务。 但从整体上看,望城政务信息化发展还相对滞后。在全省范围内,我们与其他县市相比,在投入资金、网络规模、普及程度、应用深度等方面差距较大。在全县范围内,信息基础设施还远不够完备,行业发展不平衡的问题比较突出,单一网络发展较快而信息平台建设缓慢、网络发展建设不能满足需要和网络资源利用率不高等问题并存;县级机关建成内部办公业务网的单位还没有;应用系统大多数处于初级水平,数据库开发建设还没有形成完整、统一的体系,不能更有效地为各级领导决策提供服务
4、;各级机关既懂信息技术又熟悉机关办公业务的专业人员严重缺乏,在系统安全、业务规范、管理和人员培训方面还存在薄弱环节。这些问题有待于通过电子政务工程的建设逐步解决。2. 规划目标 按照国务院办公厅建设以“三网一库”为主要内容的政务信息系统的统要求,望城县电子政务工程的总体规划目标是:依托我县网通传输网,以“三网一库”为基本架构,用三到五年时间,建成连接县、局、乡镇二级的多媒体信息网络,上连省市信息网络。注重应用系统和信息资源开发,开通网上综合业务,实现办公业务的规范化、电子化、网络化,全面提高工作质量和工作效率,改善指挥调度手段,增强快速反应能力,为各级领导同志和工作部门提供多媒体通信服务、综合
5、信息服务和决策支持服务,促进管理现代化、决策科学化,带动望城国民经济和社会信息化和信息产业的发展。 望城电子政务系统由各级机关内部办公业务网(简称“内网”)、与国际互联网相连的公众信息资源网(简称“外网”)、全县范围内统一专用的连接各级部门内网的宽带多媒体信息交换和资源平台(简称“专网”)、门类齐全的信息资源数据库群(简称“一库”)四个部分组成,是一个以“三网一库”为基本架构的网络体系和应用体系。2.1 内网是全县各级机关单位内部相对独立的办公网络,主要任务是规范化处理机关办公业务,在本单位逐步实现信息共享、网上办公无纸化和电子化。同时,作为全县电子政务工程的基础应用网络,在共享电子政务专网通
6、信传输信道、信息资源和应用成果的同时,积极开发本部门的信息资源,更好地为各级领导、部门提供信息服务和决策支持服务。 要规范本单位的因特网上网环境,配置适量的终端,并与内网在物理上隔离。 2.2 专网是全县统一规划建设的连接上连省、地市,下连县、局、乡镇机关“内网”的宽带多媒体信息交换和办公业务资源平台,主要用于处理县、局、乡镇之间以及机关各部门之间跨区域、跨部门的内部(涉密)业务,在全县各级机关范围内实现公文和信息无纸化传递、信息资源共享和多媒体网络通信等功能,提高快速反应和应急指挥能力。 2.3 外网是依托国家和地方信息基础设施,在国际互联网上建立的县各级机关的网站(网页),主要为公众服务,
7、增加政务工作的透明度,逐步开展网上政务。2.4 办公业务资源数据库是在全省统一规划下,由县各部门负责,分别建立符合密级要求、门类齐全、内容准确,更新及时的分布式数据库。根据不同需要,在“专网”上通过有机整合,形成支持办公业务、信息资源共享和各级领导决策的数据库群。 2.5 电子政务安全电子政务工程建设要按照国家有关安全、保密要求,采取相应措施,使其成为一个基础设施统一,内网、专网与外网物理上相对隔离,专项业务系统逻辑上独立的网络体系。应注意“三网一库”间的配合、衔接,合理解决包括信息的传递、加密、交换、使用、共享等问题,使“三网”真正成为一个有机结合的整体。 2.6 分步实施目标在建设电子政务
8、“内网”和“专网”的过程中,应注重网络平台、应用体系、数据库体系和安全体系的规划和建设,逐步实现以下目标: (1)网络平台支持多媒体信息传输,能灵活调度网络资源,有较完备的网管功能,有切换到备份系统的能力,有安全防范和审计分析能力。 (2)应用体系重点建设好全局性的、自上而下的网上应用项目,包括县内各级机关之间公文流转和信息交换;主要办公业务基本实现网络化和无纸化;可开放的各类静态数据库全部实现资源共享;安全、保密和可靠的内部多媒体通信系统;初步建成突发事件应急指挥系统;逐步建立支持公共政策分析和办公决策系统。 (3)数据库体系建立分布式的安全可靠的数据库体系;具有高效的信息采集、分析、整理、
9、数据备份和恢复功能;逐步建立适应信息共享标准的各类数据库实体。 (4)安全体系建立标准统一、分级管理、适应应用需要、切实可行的网络安全保障体系。3. 建设任务3.1 围绕电子政务工程总体目标,2011-2016 年的主要建设任务3.1.1 积极推进各级机关“内网”建设结合各级领导同志和机关办公业务的需求,推进传统办公手段向计算机管理网络化、系统化和高效化方向转变。“十二五”期间,全县的办公业务基本实现网络化和电子化。3.1.2 加快“专网”建设县机关和部门 2010 年在专网全面实现网络高速互联,实现信息传输的宽带化、数字化、综合化和智能化。逐步开通县级机关与各乡镇(行业、系统)的虚拟专网业务
10、。 3.1.3 大力抓好电子政务应用建设 (1)信息共享在县“专网”核心网站上,组建分布式办公资源库,在县委和县政府园区网上建立数据中心,形成信息共享体系。乡镇工作部门一般不建网站,可在县专网网站上设置自己的网页。(2)办公应用系统在“内网”和“专网”上建立包括公文处理、政务信息、督查督办、专项业务管理和电子邮件、公文传递、网上会议等功能的办公支持系统。由于受带宽资源的限制,可考虑只在县级专网平台上建设视频会议系统,乡镇内网平台上暂不考虑视频会议系统。有特殊要求的部门另作安排。 3.2 具体应用系统 3.2.1 办公业务系统 办公业务系统是由电子邮件系统、公文处理系统、网上会议组成。 (1)电
11、子邮件系统是为各级领导同志和机关工作人员开通的安全保密的邮件系统。能对邮件按紧急程度分类并增加自动呼叫功能。该电子邮件系统是一个相对封闭的体系,只限于“专网”用户,不与 INTERNET 和其他外部网络相连接。 (2)公文处理系统主要包括收文办理和发文办理等功能。对公文的接收、送阅、批办、转办等进行全流程管理。日常工作中的汇报、请示、批示、通知、专题调研等都可以通过网络进行。提供文件查询、修改的权限管理,智能化检索,分类、归档等功能。 (3)网上会议主要是针对一个中心议题,相关人员在网上充分交换意见,最后形成结论。3.2.2 信息服务系统 信息服务系统由共享信息系统、专项信息应用系统和决策支持
12、系统构成。 (1)共享信息系统构成 共享信息服务系统主要通过专网县级网站来实现。以数据库和动态信息为基础,向专网用户提供服务。 数据库。主要包括国家法律、法规及地方性法规、行政规章数据库,国情省情地理信息数据库,统计信息数据库,宏观经济监测预测数据库,财政金融数据库,建设项目数据库(包括储备项目和在建项目)、外资数据库、党政干部信息数据库、文献数据库等。 要情及动态信息。包括当日要闻、国内外动态、社会动态、部门动态、行业动态、地区动态。 (2)专项信息应用系统 专项信息应用系统包括下列国家统一规划的由全县共建和自行开发的应用系统: 政府值班室应急指挥系统; 防灾减灾信息服务系统; 城市经济与社
13、会发展动态管理系统; 宏观经济监测预测信息系统; 投资项目、重点建设项目管理信息系统; 外资管理信息系统。 (3)决策支持系统 在“专网”和“内网”上运用数据库技术和数据仓库技术,建立满足各级领导同志、工作部门、研究机构需要的各类决策支持系统和公共政策分析系统。 3.2.3 视频应用系统 (1)视频资料系统 视频资料系统主要功能是用户可根据自己的要求在网络终端上点播所需求的视频资料。包括要闻录像、历史文献、重大活动录相、内部资料、国外经济、政治、风俗民情资料片、送审片等。 (2)突发事件和重大灾害信息采集系统 该系统在县广电局、公安局、防汛抗旱指挥部、地震局等部门设置信息采集点,主要提供重大新
14、闻及其背景情况、某些影响较大、危及人民生命财产安全和社会稳定的突发事件的情况,包括气象卫星云图、雨情、汛情、旱情、主要水库和河流情况等动态信息。在灾害或突发事件出现时将采集到的监控信息进行数字化处理并加载到网上。网管中心进一步处理后,提供给领导同志和有关部门决策参考。其访问权限受严格控制。 (3)视频会议系统 视频会议系统是针对主要应用需求在 IP 网络之上提供的多媒体通信服务。主要由会议室系统、MCU(视频会议多点控制器)级联和桌面会议终端等构成。它具有实时的双向多点传输的视频应用功能,为县、局和乡镇区的主要领导同志提供跨地域的、直接全面的沟通交流。(4)可视电话和网络电话系统 配合视频会议
15、系统,为各级主要领导同志配备桌面会议终端和可视电话。另外有计划地开通一批 IP 电话,供各级机关的有关部门使用。从而形成一套全新的专用电话通信系统。 3.2.4 信息采集系统 信息采集系统建设主要通过以下几个方面进行: (1)建设县级综合管理部门的信息采集点 根据各个大型应用系统对信息数据的需求,选择县级有关综合管理部门,配备专门的计算机及传输设备,按照统一的数据格式,以文字、表格及静态图形为主,提供本部门掌握的相关信息,及时、准确地反映全县发展动态和国内外政治、经济、科技、文化的发展趋势等。 (2)建设视频信息采集点 除建立视频信息采集点外,在网络管理中心设置视频编缉处理系统,处理各信息采集
16、点上网的资料,按照不同密级加载并控制访问权限。鼓励有视频采集、制做能力的单位积极制做反映本部门历史和现状的视频资料。 (3)建立必要的信息报送制度 鼓励、督促所有上网终端提供本部门、本地区的信息,反映各方面的情况和问题。省直部门和地市指定专门工作人员承办信息采集和传送工作。 (4)从技术上确保采集过程和结果的规范性、灵活性、方便性、实用性。4.建设和管理原则4.1 指导方针系统建设遵循“统筹规划,统一标准,联合建设,互联互通,资源共享”的指导方针。 4.2 建设与管理原则 电子政务工程建设是多层次、多部门参与的综合运用信息技术和管理科学的系统工程,须按照“统一计划,分级负责,相互协作,共同推进
17、”的原则,落实有关部门以及省、地市、县、乡镇四级的建设任务以及建成后的运行工作责任。 各部门的“内网”根据其行政职能、隶属关系及业务工作范围确定建设和应用中的管理边界,各自负责建设和管理。各部门新建“内网”的规划方案要报县政府办公室审定。各级机关的办公业务系统要统一标准规范,统一组织开发。 县级“专网”建设和管理由县政府办公室负责。除国家统一规划投资建设的实时性要求很高的专网系统外,各部门的专项业务系统均在电子政务专网平台上构建虚拟内部业务网,以避免重复建设,提高投资效益。 “外网”建设和管理由各级领导机关办公室负责,并对在网站上发布的信息审核把关。网络运行与维护可委托有关单位完成。 各部门的
18、各类办公数据库是“办公资源库”的基础,由县级领导机关办公室负责协调指导。县政府办公室负责集成组建综合办公资源库。 4.3 技术原则与思路 (1)先进性网络采用的技术和产品、开发工具等必须是先进的、成熟的,可以在系统建成后比较长一段时间内满足实际需求,并具有较强的扩充性。 (2)实用性应用系统要突出个性化服务,根据领导同志和机关工作特点,开发简洁、易用、人机界面友好的办公系统和信息系统。 (3)可靠性系统设计中应采用可靠成熟的技术和设备,设备和数据应有适量冗余及其他保护措施,应用软件应具有容错性、误操作保护等功能。 (4)安全性在网络系统、数据库系统和应用软件系统三个层面上分别采取访问级别控制,
19、信息数据加密处理,传输信道端口安装加密设备等安全保密措施。 (5)可维护性系统设计坚持标准化、规范化、模块化,以确保系统的可维护性。 (6)可扩展性工程实施中基础设施和网络建设要有前瞻性,留有扩充余量。设备软件配置以需求为导向,不盲目贪大求新,力求达到最优性能/价格比。 4.4 信息共享与协同服务 网络互联互通和信息共享是电子政务工程建设的基本目标。要从政务信息化的全局出发,打破部门、地区界限,统一标准、分工合作、互补互利,以充分发挥信息化建设的整体优势。对大型应用项目,强调多单位协同开发,多信息系统协同服务。在数据组织上鼓励各地区、各部门提供有各自特色的信息。为了保证信息质量,应由各级领导机
20、关协调,强调由有权威的部门提供数据。各部门向各级领导同志提供的数据具有冠名权。4.5 安全保密 确保安全保密是电子政务建设的重要环节。根据电子政务专网的特点,应着重强调以下几点: (1)系统的安全性包括基础通信物理环境的安全控制,网络安全控制和网络监控,操作系统的安全控制,业务信息安全保密设计,数据库和应用系统的安全控制,建立电子政务认证系统等。 (2)信息的安全性 对于现代信息系统进行信息安全保护,不仅只体现在信息传输过程中,而是体现在信息处理的全过程。除在物理环境、网络和操作系统应用平台上采取安全措施外,要对传输端口用加密机密机加密,要利用应用平台的安全特性、加密算法、数字签名、系统安全审
21、计、应用级审计等技术措施,确保信息传输万无一失。 (3)建立健全安全制度 加强安全保密教育,严格人员管理,必须建立健全并严格执行各级网络中心工作责任制、信息资源管理、用户管理等规章制度。4.6 技术要求 采用先进成熟的网络技术; 统一技术规范、标准和方案,统一设备选性,统一组织实施; 网络系统采用三层架构,采用 TCP/IP 协议栈,采用统一的客户端应用软件; 网络系统采用全交换网络,主干 1000Mbps,核心层、汇聚层采用冗余连接,10/100Mbps 自适应到房间或桌面,住宅楼局域网采用静音设计; 网络系统按部门、业务划分 VLAN,网络多层交换采用 802.1Q 虚拟干道协议、802.
22、1D 生成树协议、802.1X 认证协议和 802.1P 优先队列排序; 网络综合布线采用 EIA/TIA568B、EIA/TIA569、TSB36、TSB40 等标准施工; 网络系统必须满足标准化的要求,以实现开放性、可扩展性; 重要部件、文挡要有备份,保证系统 365 天24 小时运转; 重视数据的安全与保密,建立完善的网络安全管理系统。第二部分:电子政务系统方案设计按照望城县信息化领导小组办公室的要求,望城县政府电子政务一期工程主要任务包括:市府园区网(内网),市府网站(外网),电子政务系统(内外网共享,含 Web 网站、E-mail 邮局、OA 系统)。技术要求内外网物理隔离,电子政务
23、系统内外物理隔离,建立统一、安全、可靠的身份认证系统,具有完善的网络信息行为审计功能。1.内网设计电子政务内网是各种应用的统一通信平台,平均无故障时间以及故障恢复时间,要保持在一个可容忍的许可范围之内。在这种前提下,主干设备应有一定的冗余度,这种冗余度不单只是设备级的,也应该考虑物理线路,数据链路层、网络层以及应用层的容错能力。该内网在方案上有二个重点:主干网技术策略;主干交换机的基本要求。 主干网技术的基本要求可概括为:千兆传输距离 550m 以内采用 50/125 多模光缆;千兆传输距离大于 550m、小于 5000m 采用 9/125 单模光缆;百兆传输距离 2000m 以内采用50/1
24、25 多模光缆;百兆传输距离大于 2000m 采用 9/125 单模光缆。主干交换机的基本要求可概括为:机箱式结构,便于扩展;支持多种网络方式,如快速以太网、千兆以太网等;高性能,高背板带宽及中心交换吞吐量;支持第二/三层交换,支持各种 IP 应用;高可靠性设计,如多电源/管理模块、热插拔;丰富的可管理能力等。图 1 内网络拓扑结构图如图 1 示,县政府整个主干网以大厦网络中心的主机房(主配线间)中心节点,向外辐射。通过各部门、单位等多个楼层节点构成主干网。中心节点机房配置锐捷 S4900 高档交换机可作为主干网的核心交换机。为实现网络动态管理和虚拟局域网,在中心节点交换机上配置第三层交换模块
25、和网络监控模块。主干各节点(核心层交换机和汇聚层交换机)采用 1000Mbps(单模 1000BASE-LX、多模 1000BASE-SX)连接,服务器采用双网卡链路聚合 200Mbps 连接或 1000Mbps(1000BASE-TX)连接。网络逻辑拓扑结构内网的逻辑拓扑可划分为若干虚拟局域网(逻辑子网),虚拟局域网不受设备物理位置的限制,灵活性较大。按照望城县府大厦内网各部分功能划分:SERVER VLAN11 为网络中心服务器群子网,将各种主要服务器(WEB、MAIL、FTP、OA、VOD、等)放在一个子网内便于管理、维护,同时也可以尽可能减少外部入侵及破坏系统的可能性。VLAN256
26、为内网的管理子网,包括全网核心层、汇聚层和接入层交换机。其他子网可按电子政务系统的职责范围划分,采用多个 VLAN 管理。如图 2 所示。图 2 内网的逻辑拓扑结构3. 外网设计外网建设大致分为三步走:第一步:为各级政府和政府部门提供互联网接人服务,建立政府公共信息网 Web 站点,进行简单的主要是静态的信息发布,如重大公告、法律法规、规章制度、办事手续等,对外实现电子邮件沟通;第二步:建设基于大型数据库的信息发布平台和信息发布机制,上网的政府机构实现部分电子化办公,通过网络发布更多的实时的动态信息。第三步:建立网上行政服务窗口,受理服务要求。其网络体系结构如图 3 所示。图 3 外网体系结构
27、图4. 内、外网物理隔离内、外网物理隔离采用中网物理隔离网闸 X-gap8100,可以实现了两个网络之间的物理隔离。物理隔离网闸中断了两个网络之间的直接连接,所有的数据交换必须通过物理隔离网闸,网闸从网络层的第七层将数据还原为原始数据(文件),然后以“摆渡文件”的形式来传递数据。没有包,命令和 TCP/IP 协议可以穿透物理隔离网闸。这同透明桥,混杂模式,IP over USB,以及通过开关方式来转发包,有本质的区别,真正实现了物理隔离。 如图 4 所示。图 4 内、外网物理隔离结构图中网物理隔离网闸 X-gap8100 具有以下特性:中网物理隔离网闸通过采用主机的 CPU 时钟作为开关,将开
28、关功能在系统的内核中实现,成功的达到网闸的最高性能,优于常见的三种开关技术。内核的效率要远远高于外设的效率。 抗攻击内核物理隔离网闸中断了两个网络的直接物理连接,因此,已知的攻击和未知的攻击都不会攻击到被物理隔离的网络。但物理隔离设备本身涉及到不可信网络的一部分还是会受到来自不可信网络的攻击。物理隔离网闸可以保护别人,却无法避免自己被攻击。 就像防火墙一样,可以保护别人,无法保护防火墙本身。物理隔离网闸本身的安全非常重要。中网物理隔离网闸,除了采用专用的安全操作系统,除了对内核进行安全加固和最小化服务外,还采用了中网独有的宙斯盾抗攻击内核,保证中网物理隔离网闸本身具有最高的抗攻击特性。完全支持
29、所有的互联网标准(RFC)物理隔离机制要求剥离所有的 TCP/IP 协议(Protocol),以防止来自协议的攻击。从IP 协议开始,到 TCP 协议,以一个会话(Session)为单元,到第七层应用层(Application),最后还原成为可以存储的文件格式,以便通过低级物理介质“摆渡“数据。中网物理隔离网闸,根据不同的应用,完整遵循相关的互联网标准 RFC。根据相关的RFC,一个一个应用来实现的。基于协议的内容检测因中网物理隔离网闸从网络的第一层一直工作到第七层,因此可以基于协议对内容进行检查。不同的应用,对应第七层的协议不同,检查的机制和模块也不同。检查的内容可以包括但不限于内容过滤、防
30、病毒、防恶意代码、防泄密、文件格式控制等。 支持身份认证中网物理隔离网闸,要保护高安全性要求的网络免受来自不可信网络的攻击,决定了高安全性要求的网络必须支持身份认证。为了保证网闸配置的可信和可靠性,要求从可信方发起配置请求,而且必须进行身份认证。为了防止泄密情况的发生,可信网络的使用者,也必须进行身份认证。对一些具体的应用,也可以要求进行身份认证。5. 电子政务系统电子政务系统可以采用北京华电园信息技术有限公司自主产权的外网应用解决方案Net-Gov 和办公自动化 HD-OA。图 5 为电子政务系统结构图。图 5 电子政务系统功能结构图应用支撑层向电子政务应用层提供所需的各种通用服务,如信息交
31、换服务、Web 门户系统、电子邮件服务、视频会议服务和接入认证网关等。它能有效简化电子政务应用系统的设计和实现。安全支撑平台在各层面为电子政务提供机密性、完整性、可用性、鉴别等安全服务。Net-Gov 和 HD-OA 政务应用产品是基于这两个平台(也可以是第三方安全平台)进行应用开发的,主要有面向公共管理、公共服务的政务外网业务系统 Net-Gov 和面向办公的政务内网业务系统 HD-OA,其中政务内网和政务外网实现严格物理隔离,以防政府部门内部关键业务管理和核心数据受侵,政务外网和互联网逻辑隔离。5.1 功能描述(1)政务外网应用面向公共管理服务政务外网业务系统主要包括为公众用户提供接入和工
32、作流引擎、通用电子政务构件、个性化管理以及服务集成等基本的功能,如:网上报表管理、登记申报及审批业务办理、网上人才招聘管理、招商管理、采购招标管理、虚拟社区服务、信访投诉功能、投票表决功能、统计和问卷调查、活动报名、自动限时上报功能、自动邮件回复功能等,通过这些基本功能,在实际应用中建立起不同的应用系统,如行政手续审批、并联审批、并联年检、网上工商、网上税务、网上劳保等应用系统。(2)政务内网应用政务内网应用系统强调的是政府内部在各类政务工作中运用先进的信息技术和管理思想,大幅度提高办事效率,提高政务工作的质量。而在政府内部,电子政务的许多目标是要通过办公自动化来实现的,离开了办公自动化,政府
33、内部的电子政务也就失去了基础。面向办公业务的 OA 系统是以公文处理、信息管理和内部事务管理为核心。华电园对众多办公业务进行认真细致地研究和分析,深入了解和研究行政信息的形成过程和机理,提供了一套真正意义上的办公系统软件,不仅实现了工作流的自动化,优化了传统办公流程,减轻了繁重的办公负担,节省办公经费,而且新增功能体现了工作流中每一个单元和每一个工作人员协作的过程,从而可以帮助政府单位在纵向和横向解决知识共享和再利用的问题,提高劳动效率和信息传递速度,加强了协同办公和信息共享的能力。HD-OA 功能模块主要有公文管理、督查管理、档案管理、政务信息、内部事务、值班管理、会议管理、辅助决策、公用信
34、息等。另外,我们还提供内部安全视频会议系统、内部安全电子邮件系统、VOD 视频点播等功能,以加强人员之间交流沟通,提高协同办公能力。5.2 技术概述()解决方案采用了先进、安全、稳定、可靠的基于 WEB 的 B/S 多层结构化设计方法,分别基于 J2EE 和.Net 两大流行技术体系,全面适应三大网络操作系统:Linux、Unix和 Windows。()系统选用了具有多种成熟产品的关系型数据库如 SQL Server、Oracle 作为实现功能强大的公文流转的存储应用基础,在数据统计分析和与其它系统的衔接方面更加突出,为提高办公效率和辅助决策提供有力的支持。()一个政府部门通常已经有了许多应用
35、软件系统,为了保护现有资源,让新的系统能够和现有的系统应用交互整合,在较低的成本和工作量上,该系统采用的基于 XML 和SOAP 的 Web Service 的多层 B/S 方式为这种实现提供了关键办法,尤其是当这些应用被网络或者防火墙隔离的时候。()参照国际工作流标准化研究组织(WFMC)相关标准研发的功能强大的工作流引擎(Workflow Engine)为系统提供了符合实际需要的程序逻辑,并确保其稳定性、易维护性和弹性。工作流为三层体系结构(Browser /Server /DB)的应用服务器提供了实现业务逻辑的保障,用以解决信息传递的逻辑判断和自动流转。另外,在电子政务的业务整合中,工作
36、流作为组合 Web Service 的一个重要机制,为 Web Service 之间的交互提供运行方式,对于快速创建新的、功能更强大的 Web Service 来说也至关重要。5.3 特点优点(1)一体化、集成式的解决方案按电子政务的总体要求,把单个的业务应用、分散的数据库、静态的网站等集成到一个可管理的政务平台。面向公众的外网政务业务系统与面向办公的内网应用系统在统一的平台上实现一体化,获取实时业务信息,统计分析结果,提供领导决策支持信息,并能处理各种办公信息。办公系统也提供的是真正意义上的从桌面办公到公文流转、档案管理的文档一体化管理系统。(2)可靠的信息安全管理基于安全支撑平台系统,主要
37、采用严格的用户授权、密码服务、证书认证(支持 IC 卡或 USB KEY 等载体)、信息加密等安全机制,保证用户的合法性和唯一性。严格的用户权限管理:设置不同层次的权限,权限控制的对象可以是个人、群组,或是基于角色的权限控制。用户的每次操作,系统都会严格审定操作人员具有的权限。(3)通用性,可扩展跨平台运行,三大操作系统 Windows、Unix、Linux 均可;基于 Web Service 多层分类的设计和 XML 语言,容易实现与其它系统的整合,可以将各种格式的信息集成在电子政务平台上,轻而易举地解决了新旧系统间的信息更新与数据导入问题,保护了原有的投资。内置的工作流引擎参照国际工作流标
38、准化研究组织(WFMC)制定的相关标准,利于将来和其他工作流系统的互联。(4)功能强大强大方便的工作流程管理:能稳定的运行于各种环境下,并对流程中的各种日常事件和突发事件(异常状态)进行有效的控制,例如:流程的跟踪、撤办、催办、转办、代办、重办等,从多方面满足用户的实际需要。完整精确的打印和报表功能:无需客户端软件,提供定位准确的各种打印功能(正常打印、套打、反套打等)和自定义报表打印。(5)灵活易用外网提供基于公众习惯组织的一站式服务,内网为用户集成了工作的统一入口,打开“代办事项”,启动相应地流程,处理需要本人办理的工作。B/S 结构使得客户端完全基于浏览器,从而,保证了用户端使用的简易、
39、直观和低维护性。采用 WEB 浏览方式实现对有效信息的综合查询,并以报表、图形的方式直观地反映数据变化。6.网络管理与防病毒系统6.1 StarView 网络管理系统StarView1.0 网络管理系统是一套基于 Windows 平台的高度集成、功能完善、实用性强、方便易用的全中文用户界面的网络级网络管理系统。StarView 管理系统能提供整个网络的拓扑结构,能对以太网络中的任何通用 IP 设备、SNMP 管理型设备进行管理,结合管理设备所支持的 SNMP 管理、Telnet 管理、Web 管理、RMON 管理等构成一个功能齐全的网络管理解决方案,实现从网络级到设备级的全方位的网络管理。St
40、arView 可以对整个网络上的网络设备进行集中式的配置、监视和控制,自动检测网络拓扑结构,监视和控制网段和端口,以及进行网络流量的统计和错误统计,网络设备事件的自动收集和管理等一系列综合而详尽的管理和监测。通过对网络的全面监控,网络管理员可以重构网络结构,使网络达到最佳效果。突出表现在以下几个方面:稳定的可扩展的软件体系结构;强劲的网络拓朴发现能力;增强的设备管理能力;智能化的事件管理机制;高效的性能监视和预警功能;友好的用户界面。6.2 网络防病毒系统为了确保网络系统抵御病毒的危害,网络系统要安装瑞星网络版的防杀毒系统。该系统分为服务器版和客户机版,要求连接在政务网上每台服务器和客户机均要
41、安装。需要由一台运行 Windows 2000 Advanced Server 的服务器担任网络防杀毒控制中心。该系统可以有选择的保护政务网络的计算机不受病毒的侵袭。网络防杀毒系统工作过程如下:网络防病毒体系是由四个相互关联的子系统组成。每一个子系统均包括若干不同的模块,除承担各自的任务外,还与另外子系统通讯协同工作,共同完成对网络的病毒防护工作。首先,由一个系统中心实时地记录防护体系内每台计算机上的病毒监控、检测和清除信息;同时,根据控制台的设置,实现对整个防护系统的自动控制。其他子系统只有在系统中心工作后,才可实现各自的网络防护功能。控制台是整个网络防病毒系统设置、使用和控制的操作平台。只
42、要将系统中心设为自动升级,其它子系统的计算机除在第一次安装时需用户认证外,当有新的升级版本程序下载到系统中心后,在开机状态下会自动监测到,并自动升级,不需人工干预,大大减轻了管理人员和用户的负担。如图 6 所示。图 6 网络防杀毒系统7.安全接入和灵活计费对于政府网络,安全性问题不仅来自外部网络,更主要的威胁还是来自内部网络,很多来自用户出于好奇心或其它心理而采取的网络地址盗用、网络攻击等方式无疑是网络系统中的一个隐患,如何有效的设计安全接入和灵活计费方案是一个很重要的问题。实达锐捷 802.1X 的优势:使用 ASIC 硬件芯片采集计费数据,计费准确;升级简单,容易;在网络边缘认证计费,不存
43、在计费瓶颈,性能好;认证和计费设计使用模块化结构,扩展性好;可以根据端口,MAC 地址,VLAN ID 作为认证的颗粒;设备支持多层堆叠,降低维护成本;网络管理的参数多,满足最苛刻的网络需求;设备的外形尺寸、静音参数专门针对宿舍网做了优化。采用实达锐捷安全接入和灵活计费(802.1X)方案具有以下优点:(1)一次同时认证用户名、IP、MAC在 802.1X 认证时,客户端同时提交用户名、IP、MAC,一次认证即同时完成用户名、IP、MAC 三者的认证。这样,其它用户盗取用户账号或 IP 或 MAC 或三者中任两者都无法假冒真正用户。更重要的是,这些都只需简单地在 RADIUS 服务器上设置单一
44、的表格即可实现基于全办公网甚至全县的接入控制认证;(2)分布式认证方式,防止出现单一故障点各接入交换机(如 S2024 堆叠系列交换机、S1924G+接入交换机等)直接完成接入认证,不容易单点故障;同时,还可提高认证效率;(3)认证流和业务流实现分离,实现高效的认证,防止出现用户无法认证的情况802.1x 认证协议的核心设计思想是交换和控制的分离,认证流和业务流的分离。通过端口(可以是交换机的物理端口,用户 PC 的 MAC 地址,也可以是 VLAN ID)的两个逻辑通道:非受控端口和受控端口来实现对用户的控制。非受控端口始终关闭,只允许认证流上来;受控端口走业务流,始终打开,只有通过认证才能
45、关闭,用户的业务才能上来。当用户认证流上来后,通过非受控端口进入交换机,由交换机协议体系提取用户名和密码对用户身份进行认证;当用户通过认证后,受控端口关闭,用户的业务流可以上行。这一点很类似于窄带交换网的 7 号信令系统,控制信令和语音数据的分离。基于交换与控制分离的设计思路,802.1x 认证协议实现简单、高效,认证的容量很大,可以保证用户能及时通过认证,在网络流量大,认证用户数多时不会对设备的性能产生影响,保证整个网络高效、稳定的运行。(4)灵活扩展计费功能通过网络中心的 RADIUS(软件)服务器,802.1X 完全支持计费功能。同时,支持易实现对用户离线信息的检测,对于后续开展基于按时
46、计费的增值服务有利。当用户因电脑死机或异常关闭造成非主动下线,如果没有一种定期检测用户是否在线的机制,则会造成按时计费信息的不准。802.1x 认证设置了对用户离线的检测机制,定期会由认证系统FlexHammer24 对在线用户进行一次握手,如果用户仍在线,则其客户端会响应认证系统的检测请求;如果用户不在线,则其客户端不会响应认证系统的检测请求,在三次握手不成功后,就会中止计费信息。同时,由于用户名/密码跟特定用户的 IP、MAC 捆绑,用户无需担心用户名/密码泄露引起不必要的麻烦。第三部分:电子政务系统经费概算名 称 数量 描 述STAR-S4900 1 STAR-S4900 交换机, 14
47、 个扩展插槽(其中 2 个用于管理模块), M4952 1 管理模块(冗余)P4900 1 电源模块(冗余)F4900 1 风扇模块(冗余)M4908T 4 8 口 100BASE-TX 模块M4922T 6 双口 1000BASE-TX 模块表 2 路由器、防火墙、带宽增益器的数量与配置 名 称 数量 描 述路由器 一台作为边界路由器连接 Internet,另一台作为拨号访问服务器STAR-R2614 2 2 个高速同异步串口、2 个异步串口、4 个交换式以太网口M2602AS 1 2 个高速同异步接口模块M2608A 1 8 口异步串口模块数据加解密 2 硬件数据加解密内置模块防火墙 用于
48、内外网隔离WLM 2.0 A 14 端口 10/100M,NAT,透明代理, 认证、授权、记帐(AAA)以及审计、告警 l 抗攻击和自我保护能力,VPN,URL 级的信息过滤物理隔离网闸 1 中网物理隔离网闸 X-gap8100表 3 接入交换机的数量与配置 名 称 数量 描 述STAR-S1926G+ 10 24 个 10/100M RJ45 端口,并可扩 12 个 100M 端口,802.1x,802.1QM2021T 10 单口 1000BASE-TX 模块2. 资源平台配置与报价表 4 资源平台配置 名 称 数量 描 述网络操作系统 1 Windows Server 2003 (50 用户)网络数据库 1 Windows SQL Server 2000 (50 用户)Net-Gov 1 北京华电园电子政务外网平台HD-OA 1 北京华电园电子政务内网平台(办公自动化)网络防病毒系统 1 瑞星企业版,一个监控中心,200 个客户端防火墙 200 瑞星个人版防火墙安全认证计费 1 实达锐捷安全接入和灵活计费,200 用户网络管理系统 1 实达锐捷 StarView1.0 网络管理系统
