地级市电子政务外网建设指南.pdf-道客多多

资源描述

1、1 地级市电子政务外网建设指南2013 年 12 月2 目录地级市电子政务外网建设指南 1第一章电子政务外网概述 5第一节电子政务外网简介 51.1 建设背景 . 51.2 建设目标 . 61.3 建设依据 . 7第二节地市级电子政务外网建设要求 . 82.1 骨干网络系统建设需求 . 82.2 网络安全系统建设需求 . 82.3 应用安全系统建设需求 . 82.4 终端接入安全系统需求 . 92.5 运维管理系统建设需求 . 92.6 应用业务系统建设需求 . 102.7 中心机房建设需求 . 错误！未定义书签。第三节项目建设现状 103.1 网络架构和设备性能问题 . 103.1

2、.2 网络架构方面 . 103.2 网络运维管理问题 . 11第二章地级市电子政务外网标准设计方案 . 11第一节地级市电子政务外网网络设计 . 113 1.1 网络架构设计 . 131.2 网络链路设计 . 131.3 IP地址规划 13第二节地级市电子政务外网应用业务模型设计 . 15第三节地级市电子政务外网网络安全建设设计 . 163.1 网络安全设计 . 173.2 应用安全设计 . 17第四节运维管理系统建设设计 214.1 统一拓扑发现 . 224.2 故障管理 . 224.3 性能管理 . 224.4 智能化的 ACL资源管理 . 234.5 配置文件集中管理 . 23

3、4.6 MPLS VPN业务管理 234.7 自定义报表 . 234.8 系统与应用监控管理能力 . 24第五节地级市电子政务外网接入认证安全建设设计 . 24第六节地级市电子政务应用业务系统建设 . 256.1 网站群系统设计 256.2 网站群系统功能 . 286.3 网站群模板管理 . 316.4 智能分析 . 324 6.5 站点管理 . 336.6 站内搜索 . 346.7 防篡改系统 . 34第七节地级市电子政务中心机房建设设计错误！未定义书签。第八节地级市电子政务外网主要网络设备性能要求 . 35第三章地级市电子政务外网建设方案实例 . 355 第一章电子政务外网概

4、述第一节电子政务外网简介国家政务外网（ CEGN）是按照“中办发 200217 号文件”规定建设的中国电子政务重要基础设施。国家政务外网是政府的业务专网，主要承载政务部门不需要在内网上运行的业务和政务部门面向社会的专业性服务，与政务内网物理隔离，与互联网逻辑隔离，为政务部门的业务系统提供网络、信息、安全等支撑服务，为社会公众提供政务信息服务。国家政务外网由中央政务外网和地方政务外网组成，主要服务于各级党委、人大、政府、政协、法院和检察院等部门，为各部门的业务应用提供网络承载服务，支持业务网络的互联互通，支持跨地区、跨部门的业务应用、信息共享和业务协同，满足各级政务部门社会管

5、理、公共服务等方面的需要。1.1 建设背景经过十几年的发展，中国政府信息化建设取得了长足进步，各部门以需求为导向，建设了一批管理信息系统，构建了不同规模的网络体系。但是，由于各部门各自建设自己的专网，形成了“上面千根针，下面万条线”的局面，在网络建设上盲目投资和重复投资多有发生，存在网络利用水平低、安全隐患大、互联互通少等诸多问题。基于此，2002 年出台了关于我国电子政务建设的指导意见。意见提出6 要“建设和整合统一的电子政务网络” ， “电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑隔离” ，并明确提出建设国家政务外网。从 200

6、2 年底开始，国家信息中心就开始积极筹划国家政务外网的立项和申请工作，做了大量细致的调查和预研工作。历经两年多认真准备， 2004 年 9 月 30 日，国家发展和改革委员会发出国家发展改革委关于国家政务外网（一期工程）项目建议书的批复（发改高技 20042 1 3 5 号）文件，正式批复项目立项，明确了外网一期工程项目的建设目标、建设内容。随后，又对可研报告和初步设计进行了批复，政务外网进入了正式建设阶段。国家政务外网项目从 2005 年开始了一系列招投标工作，截至 2006 年底，网络系统的主体工程基本完成，并于 2007 年通过了初步验收，初步具备了承载部门业务应用系统的能力。

7、1.2 建设目标国家政务外网总体目标是依托统一的国家公用通信传输网络，整合建设政务外网，通过覆盖全国各级政务部门的网络平台和服务体系，支持电子政务业务系统的运行，支持跨部门、跨地区的信息资源共享，支持电子政务业务系统的互联互通和信息交换，促进政府监管能力和服务水平的提高。政务外网的建设分期、分阶段进行。一期工程主要依托统一的国家公用通信传输网络，连接部分部（委、局、署）和省（自治区、直辖市）级节点，初步建成安全可靠、具备承载运行有关部门业务系统能力的国家政务外网，并探索有关网络建设、管理、维7 护与服务的经验，为下一阶段国家政务外网的建设和完善奠定基础。1.3 建设依据（ 1）中共中

8、央办公厅、国务院办公厅关于转发国家信息化领导小组关于我国电子政务建设指导意见的通知（中办发 200217 号）（ 2）关于加强信息资源开发利用工作的若干意见（ 2004 年 10月 27 日国家信息化领导小组第四次会议）（ 3 ）国务院办公厅关于印发全国政府系统政务信息化建设2001-2005 年规划纲要的通知（国办发 200125 号）（ 4）国务院办公厅关于实施电子政务试点示范工程的通知（国办函 200274 号）（ 5）国民经济和社会发展第十个五年计划信息化重点专项规划（ 6）国家计委关于印发国民经济和社会发展第十个五年计

9、划信息化重点专项规划的通知（计规划 20011172 号）（ 7）国家发展改革委关于国家电子政务外网（一期工程）项目建议书的批复（发改高技 20042135 号）（ 8）国家发展改革委关于国家电子政务外网（一期工程）第一阶段中央部分建设项目可行性研究报告的批复（发改高技 20042412号）（ 9）国家发展改革委、财政部关于加快推进国家电子政务外网建设工作的通知8 第二节地市级电子政务外网建设要求地级市建设的电子政务外网平台应实现以地级市电子政务各项应用所需的网络环境要求，为电子政务应用提供安全、稳定、可靠的传输通道，包括局域网、城域网、广域网和互联网出口。根据上级对政务外

10、网平台建设的要求，结合地级市政务实际情况，地级市政务外网平台建设必须满足以下功能需求：2.1 骨干网络系统建设需求地级市电子政务外网骨干网络建设，需实现省级、地级、县级骨干网络全面互通，各网络设备性能符合地级全市电子政务外网办公需求，为地级市全市各政府部门政务办公需求提供稳定的网络传输通道系统。2.2 网络安全系统建设需求地级市电子政务外网由于网络规模扩大，网络应用多，安全风险比较严重和复杂，加以互联网攻击越来越频繁，单个终端的安全隐患可能传播的范围更加广泛，危害性更加严重。基于这些信息，地级市网络安全系统建设应具备实时扫描并及时拦截网络攻击、网络病毒的能力。2.3 应用安全

11、系统建设需求电子政务外网承载着诸多的部门业务系统，同时承载着面向社会、9 企业、公众的在线服务，这些资料往往涉及到政府秘密和个人隐私，如果黑客入侵盗取敏感材料，将会造成政府或个人的利益受损，对部门业务的正常运转造成极大的影响，可能会造成经济损失，严重时甚至会影响社会稳定。基于这些信息，地级市电子政务外网应用信息系统安全建设应具备及时发现系统漏洞并修补、实时扫描并拦截基于web 的所有非法入侵行为的能力。2.4 终端接入安全系统需求随着互联网快速的发展，虽然政务外网已部署了网络安全和应用安全系统对网络和终端安全进行保护，但面对日新月异的攻击手段和不断加快的攻击传播速度，特别是

12、接入网络的终端没有完善的安全检查机制，使恶意代码、非授权访问和攻击进入到内网中，更为严重的是，由于人员、角色和终端之间不存在确定的对应关系，使安全事故发生后难以找出具体终端和操作责任人。基于这些信息，地级市终端接入安全系统建设应具备对接入电子政务外网网络的所有终端进行统一安全管理和所有终端上网行为监控以及审计的能力。2.5 运维管理系统建设需求由于地级市电子政务外网存在多系统、多厂商设备、多业务系统，导致整体 IT 运维管理水平较低，这将会成为影响政务外网信息化和业务系统进一步发展的关键问题。为提升政务外网整体的 IT 运维管理水平，优化系统资源，增强管理能力，需要建设一个统一的运维

13、管10 理平台系统，为地级市电子政务外网整体的有序运行提供有力的保障。2.6 应用业务系统建设需求在政务外网升级改造的同时，要加强各应用业务系统建设。通过政务外网实现省、市、县的各部门业务专网的连通和网上业务的运转。实现市、县两级政府及部门间信息共享、数据互联互通，并通过政务外网实现政务公开、网上办事、行政审批等重要应用。第三节项目建设现状根据国家的相关文件要求 ,结合部分地市政务外网情况分析出以下问题：3.1 网络架构和设备性能问题3.1.1 设备性能方面地市政务网络的现有网络设备由于购买时间较长，已经不能满足当前新规划的政务外网应用要求。3.1.2 网络架构方面目前现有的典型

14、政务网络，各终端基本全部直接连接到汇聚交换机，网络架构层次不精确，对管理上造成很大影响；设备不具备三层交换功能，其网络模式呈平行化，导致不能实现根据楼层和应用科室进行分组管理，不能实现与市级垂直单位的安全业务分组应用，不能11 很好的对政务工作提供服务；由于接入设备、核心设备都为简单交换设备，所有数据交换必须都租用运营商提供的路由器进行，所以造成整网数据交换能力非常低，其网络稳定性、安全性及可靠性得不到保障；交换机接口速率低于终端计算机接口速率，当上网人员过多、网上数据交换过多时，网络将不稳定或不可用，特别是病毒爆发时，网络很容易瘫痪；综上所述，现有的地市政务电子政

15、务网网络层次架构已经成为制约网络整体性能的至关因素。3.2 网络运维管理问题现有的地市电子政务网络运维管理手段缺乏，网络维护难度较大。网络出现故障时不能实现即时报警，不能及时判断故障点，网络维护的复杂程度提高，导致网络维护难度加大。第二章地级市电子政务外网标准设计方案第一节地级市电子政务外网网络设计1.1 组网基本原则为保证地方电子政务外网全网的业务畅通、安全及稳定，在规划和建设地方政务外网时，需遵循以下原则。层次化组网：各地方宜采用层次化组网结构，在网络层次原则上分为核心层、汇聚层和接入层。核心层主要承担高速数据交换的任务，同时提供到电子政务外网和互联的连接。汇聚层的

16、主要任务是把大量12 来自接入层的访问路径进行汇聚和集中，承担路由聚合和访问控制任务。接入层的主要任务是完成用户的接入，它直接和用户连接，并提供灵活的用户管理手段。局域网在规划时需遵循但不限于上述层次结构，对于规模比较小的地方政府电子政务外网可以只设置核心层和接入层。可靠性：为保证各项业务应用，网络必须具有高可靠性。在网络设计时合理设计网络冗余拓扑结构，制定可靠地网络备份策略，保证网络具有故障自愈的能力，在关键节点的设计中，选用高可靠性网络产品，关键部件配置冗余。灵活性和可扩展性：网络系统是一个不断发展的系统，网络不仅需要保持对以前技术的兼容性，还必须具有良好的灵活性和可扩

17、展性，具备支持多种应用系统的能力，能够根据未来的业务增长和变化，平滑地扩充和升级现有的网络覆盖范围、扩大网络容量和提高网络的各层次节点的功能，最大限度的减少对网络架构和现有设备的调整。实用性和先进性：在网络设计中把先进的技术与现有的成熟技术、标准和设备结合起来，充分考虑到电子政务网络应用的需求和未来的发展趋势，尽可能采用先进的网络技术以适应更好的数据、语音、视频的传输需要，使整个系统在相当一段时间内保持技术先进性，以适应未来信息化发展的需要。易操作性和管理性：在网络设计中，需要建立有效的网络管理解决方案，能够实现监控、监测整个网络运行情况，合理分配网络资源，东台配置网络

18、负载，可以迅速确定网络故障等。通过先进的管理策略、13 管理工具提高网络的运行性能、可靠性，简化网络的维护工作。1.2 网络架构设计1.3 网络链路设计地方电子政务外网骨干网可以根据实际情况选择 POS 155M或者100M 的 mstp 链路进行连接。委办厅局连接到电子政务外网可以考虑使用 N*2M E1 链路或 100M mstp 。基于成本、链路费用可扩展性方面的考虑，电子政务外网链路建议采用 10M 以上 MSTP 链路作为接入链路。1.4 IP 地址规划1.4.1 IP 地址分配原则IP 地址规划是网络建设的重要内容，它与网络的整体结构、技术体制、连接方式相关，是实现全网互通

19、互联的基础，必须实行统一规划、统一分配、分级编制、分级管理。地址分配需遵循以下原则：唯一性：网络中不能有两个主机采用相同的 IP地址；连续性：遵循 2N 的原则分配连续的地址段，便于路由聚合，缩减路由表的大小，提高路由算法的效率；扩展性：每一层次上的分配都要留有余量，在网络规模扩展时能保证新增地址与使用地址的连续性；14 可管理性：为便于网络设备的统一管理，分配一段独立的 IP 地址段作为网络互连地址和 loopback 地址；规范性： IP地址规划应体现出网络结构层次性，如设备互连地址的规划，可使用网络层次高的所用地址的为较小值，层次低的为较大值。做设备 loopback 地址

20、规划时，可以考虑使用不同的末尾奇偶数代表不同的设备类型，比如路由器使用偶数值，交换机使用奇数值。1.4.2 IP 地址分配详细设计1.4.2.1 对于设备 Loopback地址的分配各路由器的 Loopback 地址是一个重要的地址，在不同的方面都需要它的参与，这主要包括了以下的几种情况：路由器的 Loopback 地址，是保证内部路由协议的正常运行的重要条件；路由器的 Loopback地址，是建立 iBGP会话的主要参数的选择；选择 Loopback地址作为 iBGP会话建立的基础，对于会话的稳定性能够提供很好的支持；路由器的 Loopback地址是 MPLS协议分发标签的重要参照地址。综

21、合这些方面，各路由器的 Loopback 地址，对于整个网络的正常运行，有着至关重要的作用，因而对于各个路由器的 Loopback 地址的分配和管理，应当采取统一的专有地址空间。通过为所有的路由器分配一个专有的地址空间，能够更为有效地进行路由器的路由配置和管理，以及方便今后的运行维护和故障定位。 Loopback地址分配采用 32 位掩码的原则。15 1.4.2.2 设备间互联地址的分配路由器（交换机）间链路的 IP 地址，从业务的相关性上，他们一般不具有全局的功能，而只是提供完成两个路由器之间的连接。因而从这个角度上讲，这部分的地址空间的分配应当考虑以下的方面：尽可能以分层次的方

22、式为他们分配地址。由于链路地址空间不具有全局性，因而并不需要在全网范围内为每个链路保持精确路由。而采取分层次的地址分配方式，能够将链路地址逐级汇总，从而使得这些地址在各路由器的路由表中占有较少的空间。以降低对路由器的要求，并保证路由器的处理效率。提供足够的预留空间，以满足今后新增链路的需要。采用上面的分层次的链路地址分配结构，能够保证路由处理的高效性。而在实施的过程中，应当考虑到在根据业务需要新增链路的时候，这种分层次的结构尽量不会被打破。那么，就需要在初期分配的时候，考虑到不远的将来可能进行的扩容，从而进行相应的预留。互连链路地址采用 30 位掩码的分配方式。第二节地级市电子政务外网

23、应用业务模型设计地级市电子政务外网的业务模型遵循国家电子政务、网络通信、网络安全相关法规及标准，包括外网基础设施、信息资源、应用支撑和业务应用四个层次以及安全保障、运维管理、标准规范和综合管理16 体系。具体如图 3 所示。运维保障体系安全保障体系标准规范体系综合管理体系政务外网站群系统、综合业务系统业务应用公文流转视频会议会议管理信息管理督察管理综合管理政务公开行政审批应用支撑支撑服务基础构架信息资源目录和交换体系业务数据政务资源库基础设施系统软件网络设备服务器存储设备统一传输平台图 3 总体业务模型示意图第三节地级市电子政务外网网络安全建设设计因各地市电子政务外网作为国家电子政

24、务外网网络系统的重要组成部分，同时各地市电子政务外网承载着互联网访问出口、对公众提供信息化交互服务的功能，所以网络安全设计至关重要。地市电子政务外网信息系统应按照安全保护等级二级和三级系统实施，但是为确保后续的发展要求，此次建设总体的安全体系我们将按照三级规范来设计和制定。在评测标准中，涉及安全技术评测和安全管理评测。其中安全技术评测涵盖五个方面：物理安全、网络安全、主机系统安全、应用安17 全、数据安全。本部分涉及网络安全和主机系统安全。3.1 网络安全设计网络信息安全为信息系统在网络环境中的安全运行提供支持。一方面，确保网络设备的安全运行，提供有效的网络服务；另一方面，确

25、保在网上传输数据的保密性、完整性和可用性等。由于网络环境是抵御外部攻击的第一道防线，因此必须进行各方面的防护。网络安全主要关注的方面包括网络结构、网络边界以及网络设备自身安全等，具体包括结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护等 7 个控制点。信息系统安全等级保护基本要求中三级网络安全要求：对网络处理能力增加“优先级”考虑，保证重要主机能够早网络拥堵时扔能够正常运行；网络边界的访问控制扩展到应用层，网络边界的其他防护措施进一步增强，不仅能够被动的“防” ，还应能够主动做出一些动作，如告警、阻断等。网络设备的防护手段要求两种身份鉴别技术综

26、合使用。3.2 应用安全设计应用系统安全是包括服务器、终端 /工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端 /工作站是带外设的台式机与笔记本计算机，服务器则包括应用程序、网络、 web、文件与通信等服务器。主机系统是构成信息系统的重要部分，其上承载着各种18 应用。因此，主机系统安全是保护信息系统的中坚力量。应用系统安全涉及身份鉴别、安全标示、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制等 9各控制点。信息系统安全等级保护基本要求中三级应用系统安全应用要求：在控制点上增加剩余信息保护，即访问控制增加设置敏感标记等，力度变强。同样，身

27、份鉴别的力度进一步增强，要求两种以上鉴别技术同时使用。安全审计已不满足对安全事件的记录，而要进行分析并生成报表。对恶意代码的防范综合考虑网上的防范措施，做到二者相互补充。对资源的控制增加了对服务器的监视和最低服务水平的监测和告警等。根据目前地市的业务应用建设规模和业务需求量以及相关的安全等级要求，为保证应用系统安全，应部署防病毒系统、漏洞扫描系统、业务审计系统、用户行为审计系统、 WEB 防火墙系统、主机加固系统和全局安全系统作为应用系统的防护手段。部署入侵检测系统对网络链路数据进行安全检测。待日后规模扩大和业务量增加后，应适当增加部分安全设备，以满足安全防护的需求。以下是

28、各安全设备的功能：3.2.1 全局安全系统全局安全系统通过软硬件的联动、计算机层面与网络层面的结合，从身份、主机、网络等多个角度对网络安全进行监控、检测、防御和19 处理，帮助用户共同构建身份合法、主机健康、网络安全、行为规范的全局安全网络。同时通过分布式部署、集中管理的部署模式，帮助拥有众多分支机构的用户更好的实现了策略的统一，为网络安全管理提供了崭新的实现模式。3.2.2 防病毒系统通过部署在互联网边界的防病毒系统可时时监视清除病毒入侵，时时检测根据病毒特征比对，即时清除网络病毒，防治网络病毒传播和网络病毒的爆发。系统管理员可以实时监测各个节点的防病毒状态，统一部署防毒产品、统一

29、升级样本、统一应对病毒突发事件，确保应用系统不受病毒侵害。3.2.3 WEB防火墙系统WEB防火墙系统主要包括检测端和控制台两个部分。检测端运行于需要保护的 WEB服务器上，控制台通过对监测返回的数据的分析，及时发现网页的篡改行为并作出告警，与网页的发布系统联动，实时对网页进行恢复。用户可通过 IE 浏览器在本地或者远程连接登陆控制台进行监控。3.2.4 主机加固系统应对关键的服务器安装主机加固系统，以保护这部分关键服务器的安全。关键服务器包括数据库服务器、数据目录服务器、应用服务20 器、访问控制服务器、门户服务器等。根据服务器操作系统平台的不同，部署主机加固系统。在这些重要服务器上安装

30、了主机加固系统之后，将在操作系统和安全相关的系统调用之间透明添加一个安全层，任何上层应用对这些系统的调用都要通过该安全层，并经过安全策略库的检查，从而在操作系统实现安全访问和使用。3.2.5 用户行为审计系统用户行为审计组件应通过与多种网络设备共同组网，用来对终端用户的上网行为进行事后审计，追查用户的非法网络行为，满足相关部门的对用户的网络日志进行审计的硬性要求。用户行为审计系统应具有以下功能。强大的日志审计功能用户的审计组件应可根据用户需要，通过接入用户名、上网时间、用户访问网页的 URL、 FTP操作文件及发送邮件的主题等各种条件的组合对网络日志进行快速审计，并对审计结

31、果进行排序、分组、保存。网络管理员可以从海量的网络日志中精确审计终端用户的上网行为。终端用户何时访问了某网站、何时访问了某网页、发送了哪些E-MAIL、向外发送了哪些文件等信息均可通过日志审计得出结果。任务式审计用户行为审计组件应提供基于任务的自动跟踪审计功能，可以根据接入用户名、用户访问页面的 URL等各种查询审计条件灵活制定审21 计任务。任务一旦制定，组件将自动跟踪审计当前时段内满足查询条件的所有用户及日志信息。审计任务包括地址转换、 WEB 访问、文件传输、邮件、通信等多种类型。3.2.6 漏洞扫描系统应在数据中心核心交换机上部署一台漏洞扫描系统。该漏洞扫描系统其扫描网络

32、范围可以覆盖网络管理中心所有支持 tcp/ip 协议的设备。扫描的对象包括微软 Windows 工作站 /服务器、各种 UNIX 工作站 /服务器、防火墙、路由器、交换机等等，通过模拟攻击手法，扫描目标对象存在的安全漏洞，与攻击不同的是，扫描过程中不做任何破坏活动。根据不同的扫描对象选择或制定不同的策略，如针对防火墙、 UNIX 服务器、 Windows 服务器、互联网服务器（ WWW、 DNS、MAIL、 OA等）、路由器、交换机等等，扫描结束后生成详细的安全评估报告。同时，还可以通过漏洞扫描系统对重要的服务器操作系统定期进行安全漏洞扫描和风险评估。第四节运维管理系统建设设计电

33、子政务外网运维管理系统，主要是对政务外网设备及网络数据传输进行监控、维护与管理。建立电子政务外网运维管理技术平台，对网络运行状态、重要设备和系统等进行 7*24*365 的实时在线监测和管理。在数据服务区部署“关键业务系统运行监控中心平台”对网络22 和业务应用系统进行集中智能管理。系统采用先进的模块化设计，可根据业务流和需求进行灵活配置组件，支持多种操作系统平台版本。可管理所有支持标准 SNMP网管协议的网络设备，为多厂商设备共存的网络提供统一的管理方式。4.1 统一拓扑发现提供统一拓扑发现功能，实现地区政务外网全网监控，可以实时监控所有网络和安全设备的运行状况，并根据网络运行

34、环境变化提供合适的方式对网络参数进行配置修改，保证网络以最优性能正常运行。在网络、设备状态改变时，改变节点颜色，提示用户。4.2 故障管理提供故障管理功能，对全网设备的告警信息和运行信息进行实时监控，查询和统计设备的告警信息。4.3 性能管理提供性能管理功能，以直观的方式显示给用户。通过性能任务的配置，可自动获得网络的各种当前性能数据。支持提供 MPLS VPN业务的性能管理。支持通过图形界面完成全网 QoS策略的预制，并可直接下发至网络设备完成配置，实现指定的关键流量端到端的 QoS服务保证。23 4.4 智能化的 ACL资源管理可严格实现所需的各种访问控制策略，从而实现对网

35、络访问的最终权限控制。支持统一管理全网的 ACL资源信息、规则集、部署设备。4.5 配置文件集中管理可实现对全网设备配置文件的集中管理，包括配置文件的备份、恢复以及批量更新等操作，同时还实现了配置文件的基线化管理，可以对配置文件的变化进行比较跟踪。4.6 MPLS VPN业务管理支持 MPLS VPN的业务管理，支持 MPLS L2/L3 VPN管理，能够提供多种有效的业务监控手段，从而保证 VPN业务质量：包括 VPN配置审计、 VPN 连通性审计、端到端的网络性能（时延、丢包、抖动）监控、图形化的流量 / 带宽利用率监控、智能的业务告警分析等；支持 VPN客户通过 WEB浏览器，

36、在被授权的范围内管理其租用 VPN的运行状况；4.7 自定义报表持针对不同用户、业务的需求，定制数据和设计展现的报表。除了提供常用的基础网络和业务常用报表；同时还提供报表设计器，并开放网络和业务数据，供用户按需要自定义报表。24 4.8 系统与应用监控管理能力可以对不同的业务系统、应用和网络服务（如服务器、操作系统、数据库、 Web 服务、中间件、邮件、其他关键应用等），进行远程监控和管理。第五节地级市电子政务外网接入认证安全建设设计地级市电子政务外网应规划建设全市电子接入认证体系。主体设计结构分为两层结构，县区级为二级接入认证，市级为一级接入认证。县区级政务外网终端在

37、接入政务外网后，首先通过当地二级接入认证检测，认证通过后会向市级一级接入认证报检，一级接入认证检测通过后，该终端方可实现正常访问政务外网。以下为主要设计内容：在电子政务外网统一部署相应等级的接入认证系统，实现对整个地市电子政务外网进行统一的用户认证和上网人员实名管理。该系统具有人员管理功能，除登记人员姓名、身份证号、单位、部门、职务、岗位、计算机硬件等信息外，还将人员按部门、级别、职务进行管理，并给不同的人员分配不同的网络 IP 地址标识，并且该 IP 地址标识将配合综合管理网关或上网行为管理系统在网络层控制其网络访问资源的权限，如管理同一单位、同一楼层的接入用

38、户那些可以访问服务器区的网站，那些可以访问服务器区的数据库后台，实现智能的政务外网接入认证管理。同时通过该接入认证架构，能有效的实现对全地市电子政务外网网络用户的身份鉴别、权限认证和责任认定，确保网25 络通信中用户（含设备）身份的真实性与合法性，用户访问与操作权限的确定性，用户操作行为与责任的可鉴别性及不可否认性。第六节地级市电子政务应用业务系统建设应用业务系统建设将根据国家和相关省的关于电子政务建设规划和相关标准，结合地区实际情况，本着“以需求为导向，以应用促建设”的原则和“增强政府监管能力、提高行政管理水平和服务水平，更好地为企业、公众提供服务，打造 24 时阳光政府”的建

39、设目标进行建设，选用的应用业务系统应用最先进的信息技术，实现最优质、最实用的政务综合信息管理平台。地市电子政务外网门户系统应采用网站群模式建设，形成连接市级、乡镇、县级委办局的横纵向公众信息网，形成统一、互联、互通的政府网站群格局，形成对外展示窗口、宣传地区形象，为招商引资提供重要的信息平台，为企业、个人、投资者、旅游者、公务员及农牧民开展网上办事业务咨询、投诉，提高政府机关各部门工作效率，提高政府部门服务水平，方便企业和公众，推动政府职能由管理型向服务型转变。6.1 网站群系统设计6.1.1 网站群系统设计结构符合国际标准基于 SOA的构件化、面向对象的系统，遵循 XML 标准，扩展灵

40、活，能够方便进行扩充或者二次开发。系统采用 B/S 结构模式设计，26 使得系统维护和管理更加容易，可实现集中管理，数据备份和还原工，同时系统支持异地远程维护。系统采用当前最先进的多层结构进行开发和布署，可将页面、数据库、模版服务器分别布署，使得系统性能更加优异，满足大访问量的需求。同时系统可以提供与 OA 系统及现有其他数据库系统整合的接口。（网站群构架示意图 3）站群系统站群管理站点管理站点设计内容管理页面元素管理个性化工作平台图 3 网站群构架示意图6.1.2 支持页面组件调用页面调用组件是站群建设管理系统提供可复用功能组件的统称，页面调用组件可极大地丰富页面表现的形式与内容，

41、CER站群系统内置上百个页面调用组件，提供很多常用的应用，包括，新闻类（含有新闻评论功能、推荐给朋友功能）、图片类、导航类、超链接类、检索类、计数器、留言板、调查、电子杂志、反馈表、在线下载、论坛、邮件登陆等很多应用功能，可使网站后期维护变的非常容易。例如，可以用导航元素和网站地图元素，站群建设管理系统可以轻易根据网站导航自动生成网站地图。27 6.1.3 支持多样化网站建设模式为满足政府各部门的信息工作人员技能不同层次的需求，系统提供三种建站模式。第一类为模板式建站，使用范围多为初级网站维护人员。系统采用 MVC 模式，其模板和内容完全分离，使用网站模板支持，可以使用自

42、己满意的模板结合自身的实际数据进行轻松建站。第二类为自助式建站，使用范围多为中级用户，系统提供了自助组织网站栏目、内容、模板的功能，可以在一定程度上自行设计多样式的网站。第三类为定制建站，使用范围为技术较好的网络维护人员，系统提供了基础信息平台功能，可以根据二次开发接口，根据自己的需求进行二次开发。6.1.4 支持多维权限设置系统可快速分配网站管理，促进网站发展。站群建设管理系统对主站与高级子站点的维护功能提供详细的权限设置，可根据每个用户工作的分工不同设置不同的权限，更好的支持多人共同维护一个站点，更好的保证网站内容的安全。全面的信息配置，维护简单方便。站群建设管理系统的系统

43、管理员可方便的对子站分配空间、设置域名、设置管理人员，分配站点级别。系统提高内容访问权限控制和 IP 访问权限控制两种机制，可以定向发布私密信息。6.1.5 无需操作数据实现文件备份站群建设管理系统可以将数据库连同整个发布目录自动进行备28 份，网站可以方便地进行灾难性快速恢复，能够最大限度保护用户已有的站点及内容。同时站群建设管理系统还提供无人值守的计划备份功能，使系统的备份更加万无一失。6.2 网站群系统功能6.2.1 用户群划分根据站点建设和管理维护过程中对人员的分工及要求，站群建设管理系统将系统用户划分站群管理员、站点管理员、站点设计员、内容管理员角色。6.2.2 站群管理

44、站群管理提供多个网站的集中配置管理功能，系统管理员可在此新增、维护网站用户信息，并为用户分配空间、域名（发布位置），系统自动解析域名到指定位置同时确定空间信息等功能。6.2.3 网站管理网站管理包括站点结构管理、站点版面管理、站点空间管理、域名设置、相关配置等子系统组成。该部分的主要功能：对站群系统中所有站点进行分配和管理，可添加、删除站点，可修改指定站点的状态（开通、暂停），变更指定站点的属性及服务类型。网站管理人员可以管理网站结构，站点栏目可以随时增加 /删除，同时动态反映在网站中，当增加一个栏目时，所有关于这个栏目的浏览条、内容发布29 以及树状节点等，都自动生成并可以动态管理。

45、对各虚拟网站所占用的系统磁盘空间、数据库空间进行实时监控。6.2.4 系统性能管理网站性能监控模块实现对各虚拟网站的带宽、错误百分比、页面处理数、等网站性能参数进行实时监控和查看，以便于有效的进行性能调整。6.2.5 基础信息管理对站群系统中所有站点中用到的用户分类、地区信息、组织类别等基础类别信息进行统一维护。6.2.6 系统用户管理对站群系统中所有站点的系统管理用户进行统一管理，提供了按组织机构分配系统用户角色和权限的功能，并对系统用户的增加、删除、修改、停用等功能提供全面的支持。6.2.7 权限管理管理后台操作的所有用户、用户组、角色权限，实现多级权限管理。用户监控管

46、理，对注册用户发表的信息进行统一监控管理。基于Web 的远程管理功能，系统管理员通过浏览器就可以进行用户管理。站点、栏目、模板、工作流权限的多级管理，可以将网站栏目进行授30 权，实现分布管理。6.2.8 操作日志对站群管理平台的日志进行查看、打印、清空等管理操作，并可设置日志自动保存策略。日志管理一方面可以记录所有操作，做到有据可查，另一方面可以根据需要通过多种方式对记录的操作日志进行检索和查询，具有日志自动备份，进一步分析生成统计信息。日志分为：系统日志，记录由系统核心产生的错误及其它信息。6.2.9 应用日志记录由应用程序产生的错误及其它信息。用户日志，记录用户的登录、数据操作及其它用户相关的日志。6.2.10 统计分析包括站点使用统计和站点访问统计。用于查看站点使用情况和访问情况，并可对访问情况按照栏目、时间、地域等进行分析，分析结果用折线图、柱状图、饼状图表示出来。6.2.11 应用管理负责网站应用的添加、删除和升级，添加网站应用后，用户可以直接使用此类功能，这些应用包括：留言板反馈表意见箱、聊天室、下载。

展开阅读全文