《中国联通行业信息化手册(共55页).docx》由会员分享,可在线阅读,更多相关《中国联通行业信息化手册(共55页).docx(55页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选优质文档-倾情为你奉上 政府行业信息化推荐手册中国移动通信集团湖北有限公司2010年4月目录专心-专注-专业1 概述1.1 建设背景中共中央办公厅200217号文我国电子政务建设指导意见,国信办20032号文件:发布电子政务工程技术指南。2010年温总理政府工作报告中提出:“着力保障和改善民生,促进社会和谐进步”、“努力建设人民满意的服务型政府”、“更加重视公共服务和社会管理,加快健全覆盖全民的公共服务体系,全面增强基本公共服务能力”。2009年国家工信部正式批复,将黄石列为唯一的国家级TD电子政务试点城市,体现了国家对TD网络建设及产业化发展的高度支持。湖北移动将充分发挥网络覆盖、用户规
2、模、服务质量以及创新应用等方面的综合优势,大力推动天门市政府电子政务建设。1.2 建设意义实施电子政务是深化行政体制改革的一项重要举措,其意义在于:有利于改善政府的公共服务,提高服务质量,提升政府形象;有利于实现资源共享,提高行政效率,降低行政成本;有利于政府接受社会监督,促进政务公开和廉政建设;有利于推动全社会的信息化;将使公民政治参与得到突破性进展,民主政治程度也将进一步提高;有利于培养高素质的国家公务员队伍,有利于选拔和任用优秀人才;有利于拉动信息产业发展。1.3 指导思想电子政务建设的指导思想是:按照中共中央办公厅、国务院办公厅中办发200217号、200618号文件精神和湖北省电子政
3、务总体设计及实施方案的要求,适应改革开放和现代化建设对政务工作的需要,转变政府职能,推进政务公开,提高工作效率和监管的有效性,更好地为人民群众服务;通过积极推广和应用信息技术,增强政府工作的科学性和民主性,全面提高依法行政的能力,加快建设行为规范、运转协调、公正透明、廉洁高效的政府,促进国民经济持续快速健康发展和社会全面进步。省委俞正声书记指示“要加快电子政务发展的步伐,使之成为提高效率的平台、为民办事的平台、助民生活的平台、监督政务的平台、与民交流的平台”(简称“五大服务平台”)。1.4 基本原则根据这一指导思想,电子政务建设应坚持以下原则:1. 统一规划,分步实施:电子政务建设必须按照全省
4、的统一规划和部署,制定本地电子政务建设规划与实施方案,在本地电子政务建设协调领导小组的领导下,分层推进,分步实施。需要各级党政领导亲自抓,防止各自为政。2. 应用先行,稳步推进:在重点抓好政务网络平台建设的同时,应用系统的建设要紧密结合政府职能转变和行政管理体制改革的实际需要,根据政府业务和人民群众的需求,突出重点,稳步推进。3. 整合资源,务求实效:充分利用现有的网络基础、业务系统和信息资源,通过整合,促进互联互通、信息共享,使有限的资源发挥最大的效益,避免重复建设,实现经济效益和社会效益相统一。4. 统一标准,安全可靠:根据国家统一的电子政务标准规范和国家电子政务网络与信息安全保障体系的有
5、关要求,大力推进统一标准的贯彻落实,建设本地电子政务网络与信息安全保障体系。通过各种管理、技术和设备等手段,确保网络系统的安全和稳定运行。2 建设需求2.1 建设目标根据国家和湖北省电子政务建设的目标和要求,各地市电子政务建设的主要目标是:建设覆盖市政府、区县乡镇、各直属机关的网络,在互联网上建设政府门户,在政务网上建设政务网平台;根据建设“五大服务平台”的要求和各地的特点建设一批应用系统。搭建一个统一的政务门户、政府门户;形成标准统一、功能完善、安全可靠的基础平台,逐步建设办公业务网,以及内容丰富、更新及时的政务资源数据库,开发各类业务应用系统,实现信息共享;初步建立电子政务网络与信息安全保
6、障体系框架,为本地电子政务的发展奠定坚实的基础,促进国民经济和社会信息化取得明显成效。通过电子政务建设,促进政府职能转型,从“管理主导型”向“服务主导型”转变;提升政府工作效率,保证政令畅通和行政时效性;提高政府透明度,促进政务公开和廉政建设;促进决策民主化和科学化,密切联系群众,改进作风,服务民生;2.2 建设内容电子政务建设的主要内容应包括:基础设施建设:包括机房建设、服务器设备、网络建设(包括网络设备、移动专线线路实施)、安全体系;电子政务平台:政府网上协同办公系统(包括电子公告、公共信息、后勤管理、信息上报、刊物采编、档案管理、信息管理、收文管理、发文管理、提案议案办理、签报管理、请示
7、报告、环节管理、流向管理、流程管理、工作跟踪、用户管理、邮件系统、短信平台等内容)、视频会议系统(市政府主会场和区县乡镇、各直属机关的分会场建设);无线应用: TD公众门户(包括行政审批短信服务、政府公益信息服务、便民信息查询服务等内容)、政府无线应用(包括远程VPN密码短信认证、待办、催办公文事项短信提醒、政府远程VPN办公、移动手机办公、移动手机邮箱服务、内部通讯簿、手机视频会议等内容);可选内容:政府门户网站群(市政府门户网和区县乡镇门户网的网站群)、网上行政服务大厅(包括办事指南、网上注册申报、申报进度查询等内容)、TD政府门户(包括市长之窗、城市名片、政策法规、工作动态、公文公告等内
8、容);3 基础设施建设3.1 网络方案3.1.1 总体需求天门市电子政务移动专网建设总目标:连通市政府和四大家、两院及相关市直单位、区县乡镇所有职能机构、整合现有网络资源、满足具体应用需求的电子政务专用网络,以实现部门间的协同办公、同时可以提供优质的公共服务。通过市、市直单位、区县及乡镇四级网络建设,形成四级网络系统中的市级网络中心,上联省级网络中心,通过网络向街道、社区延伸和向社会公共网提供接口;通过政府各部门间的网络对接,使跨部门间的数据信息能够迅速、准确、安全可靠地交换,实现与相关部门的横向信息交换,支持数据、语音和视频等多种类型的业务,具有服务分类和服务质量保障能力。网络性能将满足所有
9、职能机构目前以及未来的业务需求,具备网络管理、容灾备份、信息管理和信息交换等各项功能,可以实现跨部门的业务互联。另外通过建设移动VPN专线以满足全市公务员进行远程办公的需要以及通过建设APN专网以满足移动办公的需要。3.1.1.1 网络系统设计原则网络系统的设计,要从政府工作的实际需要出发,紧紧围绕业务系统的应用需求和发展。采用成熟的先进技术,把握主流技术的发展方向,不仅要考虑到近期目标,还将为系统的扩充和发展留有余地。其总体设计原则如下:l 安全性:电子政务系统对网络的整体安全性有较高的要求,系统安全建设应同步建设,除了能够在多个层次上实现安全目标,还需要建立完善的安全管理体系。l 适用性:
10、一切从政府工作实际需要出发,保护和利用已有资源,急用先行,网络系统建设与应用系统开发同步进行,在满足应用需求的前提下,具有经济的建设成本。l 先进性:依照国际标准和规范,采用成熟的组网技术和先进的网络体系结构,广泛汲取信息系统建设经验,统一规划,统一标准。l 可扩展性:按照统一规划、分步实施的建设原则进行系统设计,满足不同建设规模和建设进度的需要,适应业务系统扩充和技术发展的要求。l 可管理性:建立完善的运行管理体系,提供强大的网络管理工具与手段,确保系统性能充分发挥,系统运行可靠、稳定。3.1.1.2 网络系统建设内容l 局域网络:建设政府各部门内部局域网络系统,为政府内部办公管理应用、内部
11、邮件系统等的系统运行,为信息交流和共享等提供基本的条件;l 移动专线网络:建设联接全市(包括区县乡镇)各部门网点的移动专线网,并上联湖北省网络中心,在信息交流和共享的同时,确保信息的安全;l VPN网络:建设连接市政府和区县乡镇的VPN网络,以满足公务员在外地出差或家中远程办公的需要;l APN网络:建设连接市政府和区县乡镇的APN网络以满足移动办公的需要;l 相关单位连接:建立政府相关部门(公安、财政等)和其他相关单位(医院、药店、银行、邮局等)的网络连接,实现信息交换和共享;l Internet连接:建立市电子政务专线网络与Internet的连接,实现社会信息服务,同时确保内部网络的安全,
12、实现与Internet网络的逻辑隔离;3.1.2 网络总体结构3.1.2.1 网络拓扑结构网络拓扑结构描述了由通讯线路连接在一起的节点的集合,也就是信道分布的拓朴结构。在一个正常的网络拓扑结构中,任意一个节点都必须有至少一条通讯线路连接至其它节点,并且能够通过该线路与网络中的任一其它节点进行通讯,网络中的通讯线路可以代表多个通讯通道。我们常见的网络拓朴结构有:环形、星形、树形、网格形及部分网格形结构。这些网络拓扑都各具特色,通过比较它们的性能价格比,来选取最适合要求的网络拓扑,其中:l 网络性能与两节点间数据流传输距离、信道质量、带宽及其所经过的中间节点数相关;l 网络成本是由节点间的线路及通
13、信设备成本以及每个节点为了保证通信带宽而必须有的线路数量决定;l 网络的可靠性则与在两节点间出现的传输(基本线路)或节点故障及能提供的备用线路有关;网络拓朴结构中,构成节点间的通信信道可以分为四类:交换信道、点到点专用信道、广播信道和组播信道。专用信道独占信道带宽,实时性好,但价格较贵。交换信道需要建立连接与拆接,费用适中。广播和组播信道方式,费用低,但为了防止共享造成的访问冲突,必须采用信道访问控制规范。在确定此次项目的信息系统的网络结构之前,我们对其网络系统作如下分析:l 网络节点分析为了便于此次系统的网络连接及数据的存储和传递,结合系统的内部组织结构,同时考虑到提高服务质量(QoS)及合
14、理支出费用的要求,目前在信息系统中由核心层、汇聚层和接入层构成。所有的服务资源主要存放在市核心网络;核心网络与汇聚网络之间通过防火墙实施逻辑隔离;汇聚网络用于委办局和下级网络互连;汇聚网络主要通过汇聚路由器之间的互连形成;汇聚网络中可以添加骨干路由器增加网络路径冗余;市委办局、街道、社区等通过接入路由器或者接入交换机,就近接入;如果部分委办局相对较为集中,可以先形成集中的局域网络,再将该局域网络接入市汇聚网络中,以节省投资。l 节点间数据流向分析1. 分析电子政务项目业务系统,其具有如下业务数据流向:市政府与区县乡镇中心之间有双向数据流;2. 中心与其他节点互联:市政府网络中心同其他相关部门互
15、联,从其他部门提取数据;由网络节点分析和数据流动特征分析可以确定:项目的广域网络适宜采用星形结构,网络主要节点为市政府中心。3.1.2.2 城域网设计根据省政府电子政务办的要求,地市电子政务承载骨干网为专用网络平台。地市电子政务骨干网络分为三层:核心层、汇聚层、接入层。核心层由市电子政务中心构成,汇聚层由2个节点组成位于电子政务中心机房,每个节点将配置1台汇聚路由器,两个汇聚路由器之间采用GE电路互连,同时这二台汇聚路由器分别通过GE与省电子政务骨干网路由器通过防火墙联接;地市接入层配置2台汇接交换机,区县乡镇接入层各配置1台接入交换机,与两个汇聚路由器分别用1条GE/FE电路互连。骨干网络网
16、络拓扑图如下:3.1.2.3 下联广域网设计电子政务网络应选择网络带宽扩容方便、电路具有冗余保护、电路故障倒换迅速(倒换时间小于50ms)的高安全性传输网络平台来承载,如:SDH、MSTP、ATM等网络。区县乡镇网络节点将通过ADSL/SDH/MSTP/ATM等多种方式接入汇聚交换机,并采用二层VPN技术互联。政务网络结构如下:3.1.2.4 接入网设计3.1.2.4.1 市电子政务中心接入方案市电子政务中心是市电子政务的核心部分,主要用于放置市电子政务应用平台和门户所需的相关设备。其将与市汇聚路由器通过GE电路连接。3.1.2.4.2 互联网接入方式面向公众的web、E-mail等服务器等需
17、要通过防火墙的Dmz区域连接到互联网;互联网用户只能访问到Dmz区域内的服务器,保证了市电子政务网的安全。3.1.2.4.3 市直单位接入方式对于市直单位的办公局域网采用以太网方式直接接入,重要接入单位采用两条不同路由的光缆入户,来进行电路冷备份。3.1.2.4.4 区县乡镇单位接入方式对于乡镇接入单位可采用以太网方式上联至汇聚交换机,部分偏远地区也可采用中国移动高可靠高安全的VPN网络接入。3.1.2.5 VPN线路接入对于出差在外或在家需要临时访问电子政务网资源的用户,可通过在互联网上拨号认证后建立加密VPN通道连接到电子政务网VPN网关,从而访问相关资源。对于某些只能直接接入到互联网的单
18、位局域网,可以设置一台VPN网关,在互联网上建立一条永久的加密VPN通道连接到电子政务网VPN网关。l 固定用户接入采用ADSL或LAN接入IP网络,通过VPN进行拨号认证接入市电子政务网络。l 移动用户接入通过WLAN、PHS、GSM、3G等无线手段接入Internet网络,然后再通过VPN进行拨号认证接入市电子政务网络。3.2 服务器及存储核心局域网中服务器包括:l 数据库服务器;l 协同办公服务器/中间件服务器;l 前置服务器;l 数据交换服务器;l 政府门户Web服务器;l Mail/DNS/BBS服务器;l 防病毒服务器/备份服务器;l RA服务器;l 网管服务器;l 视频服务器;l
19、 消息/短信服务器;l 桌面管理服务器;考虑到数据中心应用系统的数据库存储需要足够的带宽和存取速度,存储网络采用FCSAN存储区域网络技术构建,配置光纤通道(FC)SAN交换机作为FCSAN的核心交换机,考虑到投资成本和实际需求,初期配置了中小规模的FCSAN,具有2GB的光纤通通,支持Windows2000和2003server、NetWare、Linux,或Tru64UNIX和OpenVMS操作系统,在4U机架空间内可安装14个硬盘驱动器,通过扩充机箱和控制器可控制多达42个的Ultra2、Ultra3和Ultra320SCSI驱动器,系统最大容量为6TB,并支持最高的容错级别(RAIDA
20、DG)。系统同时配置磁带库,并考虑使用Legato备份软件来负责数据备份。3.3 数据库系统配合省建设五大基础数据库;按照省要求,结合地市实际,各业务数据库(除省统一要求并建设的之外)由地市统一标准并建设。实现政府信息资源有序采集、更新和应用,实现政府信息资源在同级政府各部门间的横向交换、共享和公开,以及政府信息资源的纵向传输,满足各级政务部门的信息需求。数据库选用Oracle10g,数据容量为1000万条记录,可同时接受2000个并发访问请求。3.4 系统软件系统软件包括操作系统,根据业务系统的需要,操作系统选用Windows 2000 server、Linux; 3.5 政务中心机房建设3
21、.5.1 数据中心机房硬件平台方案市数据中心是市政务网平台提供基础支持服务、数据资源服务、安全服务、存储服务的服务中心,市州政务网平台的主要服务器都放置于数据中心。中心机房部署政府门户网站、电子政务应用系统、安全防护系统及数据库,整个系统构架在政务外网上,与互联网通过防火墙进行逻辑隔离,其中政府门户网站服务器和邮件服务器部署在防火墙停火区(DMZ区)以便于互联网用户的访问,其余服务器部署在防火墙内部;服务器建议使用2路机架式服务器。中心机房的服务器及辅助设备配置情况为:l 由两台核心交换机构成数据中心的核心网络;l 所有服务器划分为业务系统服务器区域、应用支撑服务器区域、基础数据库服务器区域、
22、安全与管理服务器区域、互联网服务器区域;l 应用支撑服务器区域用于存放数据交换、政务网门户、工作流、中间件等基础平台服务器;l 安全与管理服务器区域用于存放网络防御体系与网络信任体系中需要建设的服务器;l 基础数据库区域存放两台数据库服务器,用于基础数据库以及其它电子政务基础数据库的建设;l 业务系统服务器区域则根据应用系统建设的需要,不断添加业务系统服务器;l 互联网服务器区域用于存放对互联网提供服务的所有服务器,与其他区域通过防火墙进行逻辑隔离;l 磁盘阵列、磁带库、数据库服务器以及备份服务器通过SAN交换机构成本地存储区域网,所有设备都同时和两条SAN交换机互连,形成双通路,避免单台SA
23、N交换机失效;3.5.2 冗灾备份方案建设在灾难发生时,应能最大程度地保护电子政务网所有核心系统数据的安全,能在几十分钟至几小时内恢复所有外界与系统主机的连接并正常运作。上述恢复时间是指从灾难确认到生产中心切换至灾难中心和灾难中心接替生产中心工作的全部时间。同时平时冗灾中心还应当承担部分业务工作,如作为新应用系统的测试平台,在主生产系统进行例行维护时临时接管业务等。依据冗灾系统所在位置的不同有三种灾备方案:同城同址,同城异址,异地方式。综合考虑网络规模和建设进度的情况,在电子政务建设初期,建议采用同城同址磁带库冗灾备份方式。在电子政务建设后期,逐步采用同城异址建设方式,建议将冗灾备份机房建设在
24、其他移动机房,同城异址进行冗灾备份的存储设备将选用IPSAN架构。IPSAN是由多个独立的以太网直连的可IP寻址的磁盘组成的虚拟的磁盘阵列存储系统。IPSAN抛开了传统的外设总线以及令牌环路连接,取而代之使用千兆以太网作为连接设备,虚拟的磁盘存储系统可以自如平滑地动态扩展,提供系统级的热备盘以及极高的可靠性。通过利用成熟的IP和以太网技术以及用户对网络的认知度,这种新的存储架构组成的IPSAN为用户提供真正可扩展,易管理灵活同时又经济划算的存储解决方案。与FCSAN相比,IPSAN具有比较明显成本优势,但存储带宽相对较小,因此特别适用于备分及对存取速度要求不太高的场合。容灾备份中心与数据中心之
25、间通过专用线路,将千兆以太网交换机接入广域网络,通过TCP/IP协议,无需借助其它协议转换设备,即可实现与数据库服务器之间的异地数据备份。4 政府信息资源建设4.1 信息资源整合湖北省电子政务基础数据库有五个:人口数据库、法人数据库、宏观经济数据库、地理信息数据库、法规与规章数据库。基础数据库由省电子政务一期统一建设,在政务网上供各地授权共享。有增加地方法规与规章数据库要求的,由各地自行建设,在应用层与省库进行关联。在地市对于这五个基础数据库的落地和使用可根据各政府部门的不同需求制定相应的策略,大致可分为:l 查阅指基础数据库里的数据无需复制到本地,只要通过已获授权的账号进行登录查阅,这种方式
26、不需要本地做任何开发即可使用。进一步地也可把这种查阅功能整合进外网门户,使用者从外网门户可以直接进入查阅界面,省去了登录的步骤,方便了使用者。l 调用指基础数据库里的数据需要读取出来供某些本地应用系统所用,比如从人口数据库里调取数据放入本地自建的低保数据库或就业数据库,并可进一步开发困难群众救助系统或就业辅助系统等,为本州弱势群体提供帮困服务。按照省电子政务中心的设计标准,人口数据库由公安基本数据、户籍数据、民政婚姻状况数据库组成,主关键字为个人身份证号码。统一编制授权访问数据库的WEB服务。因此,我们只要在本地应用系统中开发相对应的WEB服务接口(WEBService),在取得访问授权后即可
27、读取省人口数据库里的数据。它们的关系描述如下:随着人口库的应用越来越广泛深入,可以在本地建立一个备份库,也就是改变本地应用系统直接调用省人口库的方式,改为由市电子政务中心定时读取省人口库数据,形成本地人口的备份库,各类本地应用系统可以直接调用备份库数据,这样更快更灵活。同时可以根据当地实际应用需要扩充人口库字段和数据,而且可以在户籍人口库的基础上加入外来流动人口的数据,形成实有人口库,从而提高人口库的实用价值。l 扩充除了省级掌握的数据外,地市也掌握了大量数据信息,在很多情况下只有把这二方面的数据合并起来才有实用价值,以法规与规章数据库为例,除了省级法规库以外,我市也会有很多地方法规与规章需要
28、加入法规数据库的,有二种解决方案:若数据库本身有维护工具可以在取得授取后直接使用,也可通过数据接口导入。4.2 数据交换标准按照省电子政务建设方案的要求,地市数据库也同样分为三类:基础数据库、主题数据库、业务数据库。在本地应用系统中开发与省基础数据库相对应的WEB服务接口(WEBService),在取得访问授权后读取省人口数据库里的数据。随着人口库的应用越来越广泛深入,可以在本地建立一个备份库,也就是改变本地应用系统直接调用省人口库的方式,改为由市电子政务中心定时读取省人口库数据,形成本地人口的备份库,各类本地应用系统可以直接调用备份库数据,这样更快更灵活。同时可以根据当地实际应用需要扩充人口
29、库字段和数据,而且可以在户籍人口库的基础上加入外来流动人口的数据,形成实有人口库,从而提高人口库的实用价值。主题数据库指各市州根据各地实际特点和需要而建立的数据库,它可能与基础数据库有比较紧密的关系,有部分数据是重叠的,在数据部署上将采用分布和集中相结合的方式,凡需要全省共享的数据集中在省电子政务中心,其余分散存放在各地电子政务中心,虽然物理上分布在各地,逻辑上仍为一体,支持数据库的综合查询。以低保数据库为例,有关人员的姓名、出身年月、住址、婚姻状况等基础数据在人口库中,而家庭人均收入、家庭基本支出、低保覆盖人数、救助方式和金额等数据就只需要沉淀在州低保数据库里,除了少量统计工作并不需要全省共
30、享。建立主题数据库的根本目的是为了应用,因此光考虑建库没有什么实际意义,而且一旦数据库建立起来了,每年维护这些数据,通过定时更新保持数据新鲜准确的代价绝对不亚于建库的成本,所以只有在有应用需求的驱动下才考虑建立对应的主题数据库,数据库的数据交换仍然应该通过WEBService接口,数据应统一转换成XML格式进行交换,以适应异构环境下的数据交换。业务数据库一般只与特定的业务系统有关,与区域政府的数据交换需求较低,原则上是通过政务网由相应的业务部门按垂直关系解决数据库的储存、更新、同步等问题。对于每个新建的业务数据库可以要求其公布数据字典,提供数据交换的webservice接口,这样一旦其它业务部
31、门了解并确认其数据的使用价值后,可以方便地通过授权来调用其数据,一个比较典型的例子是,如果涉批业务系统都提供了数据接口,则电子监察系统就可以通过读取业务状态信息来建立对相关业务系统业务处理情况的全面监控。数据交换除了通过建立webservice接口来进行外,同样可以通过建立前置数据库的办法来大批量地交换数据。5 安全体系建设5.1 物理安全设计WEB、应用、数据库等服务器放置在现有网络域的DMZ(隔离区)区,服务器物理系统的安全控制应符合对应用系统的规范要求。位于外网的服务器和内网服务器间通过带防火墙的安全联接互相访问。5.2 常用安全防护技术常用安全防护技术包括防火墙、入侵检测、防病毒、脆弱
32、性扫描、防WEB篡改、链路加密、安全审计和入网认证等安全技术。l 防火墙技术防火墙是通过控制内部用户对网络的访问权限、认证并过滤外来用户访问的请求和信息流等方法来保护内部网络资源的。在市网络平台建设的工程中,防火墙产品是实施逻辑隔离的关键设备,提供电子政务网络至互联网的唯一出口,必须购置硬件防火墙设备,保证网络的内部安全。l 入侵检测系统(IDS)入侵检测系统全称为IntrusionDetectionSystem,它从计算机网络系统中的关键点收集信息,并分析这些信息,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门。l 病毒防护技术在市的电子政务网
33、络建设中,为避免网络内部遭受各类病毒的攻击,应在工程中采用企业级病毒防护系统,该系统应至少包含客户机防护模块、服务器防护模块、病毒防护服务器、集中管理控制台等四个部分,可以对全网络的计算机实施分布但统一管理的病毒防护。l 漏洞扫描技术通过对网络设备及服务器系统的扫描,可以了解安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员根据扫描结果更正系统中的错误配置、进行系统加固、安装补丁程序,或采用其它相关防范措施。鉴于漏洞扫描技术在网络安全防御体系中的作用,应该根据安全发展的需要进行规划部署。l 链路加密和PVC技术采用链路加密或网络PVC技术使内部网络用户与其他外部用户之
34、间隔离,以提高信息的安全度。在市网络建设中,由于网络性质为非涉密网,将不考虑使用该类技术。l 入网认证与审计对一些安全保密度要求高的应用系统用户实行入网认证和审计,将用户名、密码、IP、MAC、VLAN、PORT等进行捆绑,为用户颁发入网证书。只有合法用户才能注册网络。而且,系统能对用户用网情况实施跟踪,对系统安全状况进行适时审计。在地市网络建设中,将通过购置入网认证与审计系统,构建统一的入网用户管理机制。l 抗DOS攻击技术拒绝服务攻击(DoS)就是利用正常的服务请求来占用过多的服务资源,从而使合法用户无法得到服务响应。DDoS就是利用更多的傀儡机来发起进攻,比单个的DoS攻击的规模更大。目
35、前能有效对付DDoS攻击的手段主要是一些专业的硬件来代替服务器完成TCP三次握手,从而保障只有正常的请求才能进入服务器。l 数据库加密系统信息的存储安全的含义包括信息内容的隐密性,未经授权的人,即使采用各种手段获得了数据的访问权,也无法理解实际的信息内容。这主要通过数据库加密技术来实现。5.3 审计与认证系统l 敏感信息:对于一些敏感信息,采用链路加密、文件加密等多种方式进行传输,同时对重要敏感数据采用加密存储。l 安全认证:必须建立起完整的PKI/CA体系,并同省级PKI/CA体系连通,作为整个湖北电子政务内部的授权与管理依据。l 安全管理与审计:加强电子政务内部的安全管理与安全审计,建立统
36、一的安全管理平台,建立起完善的安全管理制度。5.4 数据安全数据库系统有独立的账户与访问的整套安全方案。数据库系统会及时更新修复已公布的安全漏洞对敏感信息加密存储。系统功能上提供的敏感业务数据操作有专门的操作防护设计。有完整的数据备份系统进行数据库的定期备份,并在出现数据破坏时可以及时进行数据恢复。常用的备份方式有:双机热备、双机冷备。常用磁盘存储冗余方式有:RAID5或RAID0+1存储。常用存储方式对比:RAID1+0RAID5别名Mirroring镜像DistributedDataguarding(分布式数据保护)可用硬盘空间50%67%93%可用硬盘比例n/2(n-1)/n最少硬盘个数
37、23是否具有冗余性是是是否允许同时损坏1个以上的硬盘可以,如果一个镜像中的2块硬盘没有同时损坏否阵列读性能高高阵列写性能中低相对成本高中6 应用支撑系统建设6.1 应用支撑平台建设内容l 统一的工作流引擎为今后搭建的业务系统提供统一的工作流服务,避免业务重复建设,提高业务工作效率。对于工作流进行统一管理,同时能方便的根据实际情况对工作流进行调整。支持主流技术架构以及WebService等技术;与应用系统开发具有统一的集成流程开发环境,并需要提供图形化的流程建模工具;提供图形化的流程监控和统计分析工具。l 统一用户管理功能提供应用系统统一的用户管理。集成开发单位应协助完成用户信息、组织结构、岗位
38、职位等基础信息的统一规划,支持对于公务员整个职业生涯的流程化管理,确定包括入职、调职、升职、离职等各种信息的统一管理。l 统一协同交流平台通过一个统一的协同交流平台为公务员提供包括电子邮件、即时消息、短信、语音、电话、视频等沟通提醒手段。统一协同交流平台功能上满足用户通过应用系统、有线和无线的通信设备等进行访问,管理多种信息(包括电子邮件、即时消息、短信、语音、视频和其他多媒体信息等),并获取各种服务,如收发短消息、信息订制、E-mail、天气预报、视频会议、IP电话等。统一协同交流平台要求以一种可靠的、异步的、松散藕合的、语言无关的、与平台无关的方式在分布式应用系统之间传递消息提供支持。统一
39、协同交流平台旨在利用先进的通信手段,拓宽公务员获取信息的途径。集成开发单位应协助规划应用系统对于统一协同交流平台的使用,例如工作提醒、短信订阅等功能。l 统一搜索引擎功能要求用户可以在大量各种存储库中搜索各种格式的内容,每次都可以在首页面中出现与搜索条件相关性最高的结果集。支持不同的数据源类型进行检索。检索数据类型支持常用的办公文档。可以方便的扩展所要搜索的文件格式和数据源。可以针对业务应用系统的数据库进行爬网索引并返回客户的搜索结果。可以提供webservice,供第三方应用使用,可以在日常使用的熟悉工具的上下文中查找信息。提供必要的信息安全控制和管理。l CA认证服务(由省统一建设和安排,
40、集成开发单位提供配套服务)l 其他组件(中间件)由集成开发单位根据采购人编制的组件清单和配置时间表组织实施。6.2 常用的应用支撑软件应用支撑软件应包括以下内容,根据应用系统的建设需求分批购买,l 数据交换软件:如TongLink、BizTalk、MQFiornaoSOA等基于消息的数据库交换服务器软件;l 应用中间件:如Webspere、Tomcat、.NetFramework等应用运行环境;l 数据库管理系统:如ORACLE、SQLSERVER、Sybase、国产达梦数据库;l 工作流引擎:如IdealWorkflow、Workflow、K等对工作流程进行定制的服务器软件;l 门户管理:对
41、门户发布、内容进行管理的门户平台;l 统一授权:提供市州应用系统集中授权管理的服务器软件;l 目录服务:将所有资源以目录树方式提供资源检索、访问的服务器软件;l 短信网关、GRPS服务器:用于移动办公、政务短信等移动政务系统开发的通信服务器软件。6.3 平台部署设计门户管理集成在协同办公系统中,协同办公服务器采用双机。数据库管理系采用双机形式,为附载均衡。其他平台软件均为单机方式。7 应用系统建设7.1 总体架构地市电子政务方案基于专线、VPN专网、GPRS和TD无线网络、传统B/S技术和先进的富媒体和流媒体技术,建设政府网上协同办公系统和视频会议系统,同时扩展TD公众信息服务和移动协同办公等
42、无线应用。7.2 政府网上协同办公系统系统基于成熟的办公自动化系统,扩展手机邮箱、飞信、短信等移动应用,实现手机办公和基于VPN的远程办公,功能架构如下:7.2.1 工作流引擎平台本系统框架下的管理支撑类流程发生增加或变更的时候需要系统能够在最短的时间内进行自适应,以满足内部审批业务流程的优化需要。而如果要通过修改程序来实现的话,往往会出现在一个业务流程变更或者增加的需求提出后,一个月甚至多个月得不到解决的情况,严重影响了业务系统的推广进度和使用深度,而且大大增加了的实施的成本和风险。建立本系统框架下统一的工作流引擎平台可以将基于流程的内部管理协作纳入到一个统一的管理和展示平台中来,为系统管理
43、员和流程用户创造极为便利的工作环境。通过引入统一的工作流引擎平台来建设广义化、跨地域、跨运营单位的统一工作流平台,可以使得流程的维护、管理和使用上升到一个崭新的高度,工作流引擎平台所具备的强大的流程和表单灵活定制能力、以及在特定步骤触发特定的应用组件去实现对后台数据库的更新能力,可使组织在不断的组织架构调整、优化和流程优化、重组过程中,不再担心因业务需求变化而导致流程变更时可能出现大幅度的对现有流程和表单所产生的级联修改、调试工作。7.2.1.1 可视化表单设计通过所见即所得的HTML表单编辑器,用户可以方便的设计业务表格。整个编辑器的操作风格和Office极为相似,降低了对用户的技术要求,普
44、通用户只要稍加培训,就可以制作出很专业的业务表单。业务表单和流程是独立的,所以设计好的的业务表单可以在多个流程中重用,从而可以减少表单设计的工作量。有些单位同一个业务表格在不同的部门使用时遵循不同的流转步骤,利用工作流引擎所提供的业务表单重用功能可以大大加快系统的实施进度。7.2.1.2 可视化流程设计系统提供了可视化的流程设计工具,使用者只需要通过简单的拖拉方式就可以完成一个公文流转流程或者业务流程的设计工作。流程设计过程中牵涉到的图形化对象有四种:开始步骤、审批步骤、知会步骤、子流程步骤、结束步骤、执行动作。如下图所示:用户可以通过可视化流程设计工具自定义整个流程的流转逻辑,包括流转步骤、
45、流转条件设置、每个步骤的经办角色、步骤跳转的业务逻辑设置,从而可以方便的设计流程,并可以在使用的过程中随着业务规则的改变对流程进行调整。流程设计是一个可视化工具,设计一个流程的流转的逻辑,包括要经历哪些步骤,每个步骤的经办人,流转的条件设置等功能。在流程设计中,可以指定具体流程绑定到哪个表单。7.2.1.3 流程和表单的联系通过表单制作工具和流程定制的工具可以通过绑定实现一个表单集对应多个业务流程。并可以实现在一个流程的每个步骤分别绑定同一表单集的不同表单。流程的每个审批步骤都可以设置对表单域的数据的读、写等控制操作。表单制作工具配合流程定制工具,能够控制不同角色对电子表单不同数据域的访问方式
46、。另外,业务流程表单中的关键数据还可以作为流程流转的判断条件。直接影响流程的流转。7.2.1.4 其他功能l 支持Internet和Intranet环境工作流引擎采用标准的多层次体系结构进行开发,普通客户端为浏览器界面,不需要安装任何软件,可以通过Internet访问。无论用户是在办公室里还是在出差途中,都可以访问系统,办理业务。l 二次开发支持所有的操作都提供了相关的接口,以EJB的方式提供给用户调用这些接口来进行二次开发。另外工作流引擎提供的脚本编辑功能,可以让高级用户编写代码,实现复杂的业务功能。l 可维护性和可管理性工作流引擎由于采用了灵活的自定义技术,并采用先进的三层次体系结构,使得
47、系统容易进行维护和管理。客户端不需要安装任何软件,只要在服务器上进行修改就可以对系统进行统一的管理,大大减轻了系统管理员的负担。7.2.2 基本资料管理、维护平台7.2.2.1 组织架构管理管理单位的整个部门组织结构,包括部门和人员构成,人员和人员之间的领导隶属关系,整个结构为树状结构。7.2.2.2 用户管理管理本系统中的用户的权限,系统提供一系列的内置角色(如:系统管理员、流程设计者、管理员、权限设置者等),方便进行系统管理。7.2.2.3 服务器管理系统通过JDBC可同时对多个业务数据库进行操作,可同时支持处理多个不同类型的数据库,如Oracle、Sybase、MicrosoftSQLServer等。在本模块中对有权限的数据库进行登记和管理,以便工作流引擎实现跨数据库的业务处理。7.2.2.4 元数据及数据字典管理管理文件和案卷的数据库结构,按照分类对每种分类