某县电子政务外网项目设计方案
设计方案
名目
第一章 项目概述 .............................................................................................. 1
1.1 项目名称 .......................................................................................................................................... 1 1.2 项目建设目标、规模、内容、建设期 .......................................................................................... 1
1.2.1 建设目标 ................................................................................................................................ 1 1.2.2 建设内容 ................................................................................................................................ 1 1.2.3 建设规模 ................................................................................................................................ 2
第二章 需求分析 .............................................................................................. 3
2.1 系统功能指标 .................................................................................................................................. 3 2.2 信息量指标 ...................................................................................................................................... 4
2.2.1 信息量分析 ............................................................................................................................ 4 2.2.2 网络带宽分析 ........................................................................................................................ 4 2.3 系统性能指标 .................................................................................................................................. 9
第三章 总体建设方案 ..................................................................................... 12
3.1 总体设计原那么 ............................................................................................................................ 12 3.2 总体目标 ........................................................................................................................................ 14 3.3 总体建设任务 ................................................................................................................................ 14 3.4 系统总体结构和逻辑结构 ............................................................................................................ 14
第四章 本期项目设计方案 ............................................................................. 18
4.1 标准规范建设内容 ........................................................................................................................ 18
4.1.1 标准规范建设的原那么 ...................................................................................................... 18 4.1.2 标准规范框架 ...................................................................................................................... 19 4.1.3 标准规范建设内容 .............................................................................................................. 20 4.2 信息资源规划 ................................................................................................................................ 24
4.3 应用支撑系统设计 ........................................................................................................................ 25 4.4 数据处理和储备系统设计 ............................................................................................................ 27
4.4.1 数据处理系统 ...................................................................................................................... 27 4.4.2 储备系统 .............................................................................................................................. 29 4.5 网络系统设计 ................................................................................................................................ 30
4.5.1 城域网结构 .......................................................................................................................... 30 4.5.2 政务部门接入方案 .............................................................................................................. 33 4.5.3 城域网基础线路选择 .......................................................................................................... 36 4.5.4 互联网出口方案 .................................................................................................................. 37 4.5.5 IP地址规划 ......................................................................................................................... 39 4.5.6 路由、VPN和域名系统设计 ............................................................................................... 45 4.5.7 综合布线系统设计 .............................................................................................................. 54 4.6 安全系统设计 ................................................................................................................................ 56
4.6.1 风险分析 .............................................................................................................................. 57 4.6.2 设计原那么和依据 .............................................................................................................. 60 4.6.3 安全系统建设内容 .............................................................................................................. 62 4.6.4 安全域划分 .......................................................................................................................... 66 4.6.5 信息系统安全等级 .............................................................................................................. 69 4.6.6 安全防护系统 ...................................................................................................................... 74 4.7 运行爱护系统设计 ........................................................................................................................ 85
4.7.1 运维系统总体规划 .............................................................................................................. 85 4.7.2 总体技术方案 ...................................................................................................................... 87 4.7.3 部署方案 .............................................................................................................................. 88 4.8 要紧软硬件选型原那么和详细软硬件配置清单 ........................................................................ 88
4.8.1 系统配置及软硬件选型原那么 .......................................................................................... 88 4.8.2 系统软硬件部署方案 .......................................................................................................... 91 4.9 机房及配套工程设计 .................................................................................................................... 91
4.9.1 设计原那么 .......................................................................................................................... 91 4.9.2 设计目标 .............................................................................................................................. 92 4.9.3 设计方案 .............................................................................................................................. 92
第五章 项目建设与运行治理 ........................................................................ 105
5.1 领导和治理机构 .......................................................................................................................... 105 5.2 项目实施机构 .............................................................................................................................. 106 5.3 运行爱护机构 .............................................................................................................................. 106 5.4 运行爱护治理措施 ...................................................................................................................... 106
第六章 人员配置与培训 ............................................................................... 109
6.1 人员配置打算 .............................................................................................................................. 109 6.2 人员培训方案 .............................................................................................................................. 109
第一章 项目概述
1.1 项目名称
大化瑶族自治县电子政务外网项目。
1.2 项目建设目标、规模、内容、建设期
1.2.1 建设目标
按照广西电子政务外网规划部署,在充分利用自治区和河池市以及大化瑶族自治县现有电子政务资源的基础上,通过建设大化瑶族自治县电子政务外网平台、运维支撑平台、安全防护体系、相关标准规范制度、机房环境等,为大化瑶族自治县县直委办局和各乡镇政府等单位之间建立公共非涉密信息传输通道,为各级政务部门实现互联互通、数据传输、资源共享、业务协同提供网络支撑环境,满足各级政务部门业务办公、社会治理和公共服务的需要,全面提高大化瑶族自治县电子政务水平。 1.2.2 建设内容
围绕项目建设目标的实现,本项目建设内容如下: 1.制定和完善相关标准规范和规章制度; 2.建设覆盖县本级和乡镇的网络基础平台; 3.建设县级统一互联网络出口; 4.建设安全防护体系;
5. 建设政务外网运维治理系统。
1.2.3 建设规模
本项目建设按以下规模进行操纵:
1.县本级城域网连接82个县直委办局单位,16个乡、镇人民政府,共98个单位;
2. 党政办公大楼采纳1条千兆光纤链路,其他办公大楼采纳MSTP链路,其中9条20Mbps MSTP链路,26条50Mbps MSTP链路,8条80Mbps MSTP链路;
3.两个互联网出口带宽均为300Mbps;
4.电子政务外网平台安全等级爱护按第二级进行建设。
第二章 需求分析
2.1 系统功能指标
1.基础网络平台
大化瑶族自治县电子政务外网是河池电子政务外网重要组成部分,其基础网络平台包括平台端局域网及单位接入网。网络平台为树形结构,平台端局域网部署在政务外网接入节点,单位接入网横向接入连接县委、政府、人大、政协、公检法等县直82个单位以及16个乡镇,实现本级政务部门之间互联互通、信息交换和业务协同。为大化县政务部门提供安全、可控的互联网访问,同时实现互联网数据流与政务外网数据流进行有效的逻辑隔离爱护政务外网可不能因来自互联网拒绝服务攻击而瘫痪,对进出各安全域的信息和数据进行严格的操纵,防止对安全域的非法访问,建设统一互联网出口,满足政府部门访问互联网需要。
2.安全防护
按照信息安全等级爱护二级要求,部署防火墙、安全审计系统、入侵检测系统等设备进行安全隔离和访问操纵,保证电子政务外网数据传输安全,减少数据被窃听和篡改的可能;通过对服务器的爱护,系统审计、监控以及仲裁治理,保证系统的可控性;同时依靠门禁系统,防止非法用户进入运算机操纵室和各种偷窃、破坏活动的发生。巩固大化瑶族自治县电子政务外网项目的安全支撑能力,满足安全等级爱护的要求。
2.2 信息量指标
2.2.1 信息量分析
大化瑶族自治县电子政务外网系统运行时,会产生治理数据、日志数据等其他数据,按照每个单位每天200KB进行运算,系统每年产生的数据量为98×365×200/1024=6986.33MB,约6.82GB,数据储备于服务器中。
监控运维系统要紧用于实时监察大化县电子政务治理中心机房运维状况,有4路视频监控套装,按标清视频运算,那么一天的数据量为4×512kbps×3600×24/1024/1024=168.75GB,视频数据储备期为30天,那么一个月的视频数据量为168.75GB×30/1024=4.94TB,数据储备于硬盘录像机中。 2.2.2 网络带宽分析
1.接入单位网络流量
各单位、乡镇通过购买运营商专线使用权的方式接入政务外网,按照接入终端数量多少分为4类。
〔1〕在党政办公大楼里有40个接入单位,按平均每个单位有20台运算机接入电子政务外网,每台运算机访问政务外网相关业务带宽为1Mbps、按照50%并发访问量运算,那么党政办公大楼组要的网络线路带宽为40*20*1*50%=400 Mbps。除业务、应用占用网络带宽外,考虑数据变化量〔每秒数据流量〕、瞬时峰值因子、IP包与承载数据量的比例、IP包头开销、线路利用率、协议开销等进行测
算,也将占用3%-5%带宽,另外,按年增长率为30%预留带宽。综合以上因素考虑,党政办公大楼采纳千兆光口通过裸光纤链路连接。
〔2〕在县直委办局的青青年活动中心大楼、县府大院内机关楼、办证大厅大楼、教育局、人社局、检察院大楼、大化镇、都阳镇等8个办公大楼终端接入数量较大,按平均每个办公大楼80台运算机接入电子政务外网,每台运算机访问政务外网相关业务带宽为1Mbps、按照50%并发访问量运算,那么每个办公大楼需要的网络线路带宽为80*1*50%=40Mbps。除业务、应用占用网络带宽外,考虑数据变化量〔每秒数据流量〕、瞬时峰值因子、IP包与承载数据量的比例、IP包头开销、线路利用率、协议开销等进行测算,也将占用3%-5%带宽,另外,按年增长率为30%预留带宽。综合以上因素考虑,接入办公大楼专线带宽选择为80Mbps的MSTP专线,能满足承载业务应用需要,后期也能够进行弹性扩容。
〔3〕通过统计,有26个接入单位平均有40台运算机接入电子政务外网、每台运算机访问政务外网相关业务带宽为1Mbps、按照50%并发访问量运算,那么每个单位需要的网络线路带宽为40*1*50%=20Mbps。除业务、应用占用网络带宽外,考虑数据变化量〔每秒数据流量〕、瞬时峰值因子、IP包与承载数据量的比例、IP包头开销、线路利用率、协议开销等进行测算,也将占用3%-5%带宽,另外,按年增长率为30%预留带宽。综合以上因素考虑,一般接入单位专线带宽取值为50Mbps,能满足承载业务应用需要,为了保证有良好的弹性扩容,线路标准选择MSTP专线。
〔4〕通过统计,如老干局、党校、档案局、交警大队等9个接入单位平均有15台运算机接入电子政务外网、每台运算机访问政务外网相关业务带宽为1Mbps、按照50%并发访问量运算,那么每个单位需要的网络线路带宽为15*1*50%=7.5Mbps。除业务、应用占用网络带宽外,考虑数据变化量〔每秒数据流量〕、瞬时峰值因子、IP包与承载数据量的比例、IP包头开销、线路利用率、协议开销等进行测算,也将占用3%-5%带宽,另外,按年增长率为30%预留带宽。综合以上因素考虑,一般接入单位专线带宽取值为20Mbps,能满足承载业务应用需要,为了保证有良好的弹性扩容,线路标准选择MSTP专线。
各单位带宽接入方式如下所示,其中发改局、民宗局、住建局、卫计委、物价局、司法局等六个单位接入政务外网。
表3.3-1:单位带宽接入
聚拢地点 单位名称 商务局 农机局 人大办 政协办 统计局 林业局 党政办公大楼 机要局 〔共十六层〕 工信局 发改局 法制局 编委办 执法局 安监局 残联 接入外网终端数量 10 15 15 18 25 50 4 27 23 10 12 10 19 10 光纤直连 接入方式 聚拢地点 单位名称 政府办 水产畜牧局 农业局 粮食局 纪委 保密局 科技局 宣传部〔含文联、社科联、文明办〕 政法委 科协 统战部(含侨务办、台办) 组织部 民宗局 工业集中区 水果局 团县委 外事办 民语局 县志办 糖业局 党史办 供销社 审计局 农经局 移民局 县委办 直属机关工委 接入外网终端数量 20 27 50 12 20 4 16 45 10 6 9 15 5 10 7 8 5 4 4 5 4 10 18 14 32 25 4 10 45 20 17 20 12 15 接入方式 青青年活动中心妇联 大楼 〔共4层〕 文广新体局 物价局 信访局 80Mbps MSTP专线 县府大院内机关扶贫办 楼 〔共4层〕 机关事务治理局 旅行局 80Mbps MSTP专线 聚拢地点 单位名称 地质公园治理局 投资促进局 接入外网终端数量 5 12 20 接入方式 办证大厅大楼 政务服务中心 〔旧国税楼〕 办证大厅 〔共5层〕 工商联 区划办 4层 4层 5层 5层 4层 5层 4层 5层 4层 6层 3层 3层 4层 3层 4层 3层 8层 10层 5层 5层 4层 6层 5层 司法局大楼5层 检察院大楼4层 老干局 总工会 党校 教育局 民政局 财政局 人社局 国土局 环保局 住建局 交通局 水利局 卫计委 食品药品监督治理局 运管局 档案局 公安局 交警大队 疾病操纵中心 卫生监督所 人民医院 妇幼保健院 工商局 司法局 调处办 检察院 法院 大化镇 46 80Mbps MSTP专线 8 5 5 20Mbps MSTP专线 20 50Mbps MSTP专线 8 20Mbps MSTP专线 58 80Mbps MSTP专线 35 50Mbps MSTP专线 50 50Mbps MSTP专线 70 80Mbps MSTP专线 20 50Mbps MSTP专线 20 50Mbps MSTP专线 80 已接入政务外网 20 50Mbps MSTP专线 48 50Mbps MSTP专线 87 已接入政务外网 18 50Mbps MSTP专线 20 50Mbps MSTP专线 9 20Mbps MSTP专线 48 50Mbps MSTP专线 12 20Mbps MSTP专线 40 50Mbps MSTP专线 10 20Mbps MSTP专线 10 20Mbps MSTP专线 10 20Mbps MSTP专线 28 50Mbps MSTP专线 25 3 25 25 20Mbps MSTP专线 80Mbps MSTP专线 目前2间办公室 房改办 平均4层 3 20Mbps MSTP专线 90 80Mbps MSTP专线 聚拢地点 单位名称 岩滩镇 都阳镇 北景镇 羌圩乡 乙圩乡 江南乡 古文乡 百马乡 共和乡 贡川乡 板升乡 七百弄乡 雅龙乡 古河乡 六也乡 合计: 接入外网终端数量 接入方式 31 50Mbps MSTP专线 61 80Mbps MSTP专线 30 50Mbps MSTP专线 30 50Mbps MSTP专线 30 50Mbps MSTP专线 30 50Mbps MSTP专线 30 50Mbps MSTP专线 30 50Mbps MSTP专线 30 50Mbps MSTP专线 30 50Mbps MSTP专线 30 50Mbps MSTP专线 30 50Mbps MSTP专线 30 50Mbps MSTP专线 30 50Mbps MSTP专线 35 50Mbps MSTP专线 2256 2.互联网出口网络流量
按照98个接入单位,共2256台运算机,每台运算机正常访问互联网占用带宽1Mbps、10%并发访问量运算,统一的互联网出口带宽为2256*1*0.1=225.6Mbps。
综合考虑IP报文开销,互联网出口带宽取值300Mbps。为满足出口线路的可靠性和负载均衡,将采纳采购运营商的两条线路的使用权,两条线路带宽均为300Mbps。
2.3 系统性能指标
1.网络平台
要求数据传输网络畅通、快捷、安全、可扩展,能满足数据、图像、视频等传输要求。采纳MPLS VPN与国家骨干网协同实现政务
部门系统内业务专网的〝中央-自治区-市-县-乡镇〞五级网络贯穿。要求能适应3-5年内的业务增长的需求,确保系统的可扩充性和先进性,并注意设备的冗余设计以及网络的负载均衡及具备极强网络安全性,为县本级政务部门提供安全、可控的互联网访问,同时实现互联网数据流与政务外网数据流的有效隔离。
2.专线电路
专线电路由运营商提供,组成政务外网的基础线路。上层网络设备通过专线电路构建城域网基础,承载政务数据和业务应用传输交换。随着业务量逐步增加能不断地扩充网络带宽,能实施相应网络带宽和服务质量保证策略,保证承载业务的顺畅运行。
3.安全防护
本项目按照信息安全等级爱护二级要求,分别建立边界安全防护措施,系统采纳的安全产品应该通过国家相关部门的鉴定或认证,要紧的安全建设如下:
〔1〕对信息系统的物理支撑环境进行安全设施部署,保证物理安全;
〔2〕对数据传输的基础网络进行安全设施部署,保证网络安全; 〔3〕对应用数据和基础数据提供行为审计、备份等安全设施部署,保证数据安全。
4.机房及配套基础设施
机房是电子信息设备运转必须的基础设施环境条件,在统一规划的原那么下充分满足电子政务外网系统运行的需要,达到方便爱护,迅速响应,灵活扩充,爱护投资的目的。
第三章 总体建设方案
3.1 总体设计原那么
项目建设将遵循以下原那么: 1.安全性原那么
政务外网是大化瑶族自治县电子政务系统内部使用的运算机互联网络,其联网范畴大,联接节点多,因此确保安全至关重要。为此,在规划设计的全过程中要充分表达系统建设和信息安全相结合的原那么,从物理、技术、治理等方面制定严密的安全方案,形成多层次、全方位的安全防线。
2.有用性原那么
政务外网的建设,要充分表达系统的有用性。第一要考虑已建网络或应用系统需求和特点,外网要兼容已有网络和系统;其次要依照对各政务部门的业务需求进行调查,依照其调查的汇总需求,适当考虑其设备、技术的前瞻性,采纳成熟的各种技术手段,实现各种功能,满足其政务部门的业务要求;再者,要充分考虑政务业务的特点,以及外网用户对使用方面的适应、功能等要求,满足以后用户可能提出的要求。
3.先进性原那么
政务外网作为大化县通信手段,在网络方面要求具备先进的技术水平,以保证当前及今后一段时刻内的各类应用顺利运行。由于网络设备及技术更新换代频繁,盲目的追求系统的先进性也会带来更大投资风险,因此在规划、设计外网时,既要考虑到先进性,同
时要幸免盲目的投资风险,在网络设备上,具有一定的扩展性和兼容性,在技术上,保证3至5年差不多只是时。
4.可靠性原那么
政务外网要求高度的稳固性、可靠性是不言而喻的,一个不稳固、不可靠的网络不但阻碍政务工作的顺利进行,还会阻碍政府在社会公众中的形象。因此在大化县政务外网设计和建设中,要从各个方面充分考虑网络线路的质量和设备的冗余,考虑政务业务系统可能对外网的更多需求,在稳固性没有保证的情形下,要考虑其可能的备份措施。
5.经济性原那么
在网络系统设计和建设中,应尽可能地充分利用和保留原有各种网络资源及运算机系统资源等,爱护已有投资,幸免投资白费,节约政府资金。网络结构和带宽能够满足当前及今后一段时期内政务外网上各种应用的需求。新增设备选用上,要充分考虑其兼容性、可扩展性及性能价格比。
6.可扩展性原那么
在外网设计和建设中,要求在网络建成的基础上,在不阻碍外网上各种应用的前提下,依照业务的需要,网络、系统能够进行顺利扩展或者平滑升级。网络可扩展的关键在于能否实现合理的模块化设计,采取模块化的设计能够依照网络需求的变化,在不阻碍现有网络运行的状况下,迅速扩展。因此,整个外网工程中,在设计上要尽可能选用模块化的网络产品。
3.2 总体目标
按照广西电子政务外网规划部署,在充分利用自治区和河池市以及大化瑶族自治县现有电子政务资源的基础上,通过建设大化瑶族自治县电子政务外网平台、运维支撑平台、安全防护体系、相关标准规范制度、机房环境等,为大化瑶族自治县县直委办局和各乡镇政府等单位之间建立公共非涉密信息传输通道,为各级政务部门实现互联互通、数据传输、资源共享、业务协同提供网络支撑环境,满足各级政务部门业务办公、社会治理和公共服务的需要,全面提高大化瑶族自治县电子政务水平。
3.3 总体建设任务
为电子政务外网统一办公平台提供基础运行环境,建设包括网络链路、服务器、操作系统等在内的应用支撑环境。通过合理的部署和配置,保证平台的稳固运行。
3.4 系统总体结构和逻辑结构
广西电子政务外网是国家电子政务外网平台的一个组成部分。国家政务外网平台为树形结构,包括一级〔国家〕网络、二级〔自治区级〕网络、三级〔市〕网络和四级〔县区〕网络。每一级网络差不多由广域骨干网、城域网、用户接入网等构成。
按照国家、自治区统一规划和标准规范,大化瑶族自治县电子政务外网将国家电子政务外网平台在大化瑶族自治县进行延伸,通过项目建设,为政务外网应用服务提供可靠、安全、高速、高效支持。大化瑶族自治县电子政务外网结构示意图如图4.4-1所示。
中央广域核心中央城域网互联网中央广域接入互联网互联网自治区广域核心自治区城域网河池市广域核心河池市城域网接入单位乡镇政府安全防护系统管理大化县广域节点城域网核心互联网自治区电子政务外网广域网(已建成)数据处理大化瑶族自治县电子政务外网城域网图4.4-1:电子政务外网网络示意图 按照网络功能、治理层次和服务类型,总体结构能够分为: 1.按照网络功能划分,总体结构可分为广域骨干网、城域网和接入网。广域骨干网由上连河池市节点的县节点组成,城域网是县本级横向网,接入网由县级各政务部门接入局域网组成。
2.按照逻辑层面划分,可分为基础网络层、业务实现层和应用系统层,如图4.4-2所示。
图4.4-2:电子政务外网总体结构图
依照政务外网所承载的业务和系统服务类型,将政务外网划分为公用网络区〔Global〕、专用网络区〔VPN〕和互联网接入区〔Internet〕三个功能域,分别提供政务外网互联互通业务、专用VPN业务和互联网业务。
政务部门用户VPN逻辑隔离VPN逻辑隔离防火墙等逻辑隔离公众用户G-C业务部委VPN网络互联互通平台安全交换互联网服务安全交换G-B业务企业跨部门业务VPN认证服务安全互联政务外网安全接入平台InternetG-G业务政务部门公共网络服务专用网络区公用网络区互联网接入区移动办公政务外网网络基础设施图4.4-3:政务外网逻辑功能区域图
其中:
〔1〕专用网络区:是依靠外网基础设施,为有特定需求的部门或业务设置的VPN〔Virtual Private Network,虚拟专用网络〕网络区域,VPN网络区域要紧为少数部门的特定业务数据传输提供安全通道。大化瑶族自治县电子政务外网采纳MPLS VPN技术将有特定需求的业务数据与其他数据安全隔离,用于满足部门专门需求。该区域采纳私有地址,在骨干网上采取标签方式进行交换。
〔2〕公用网络区:采纳国家政务外网公共IP地址和地点公共IP地址规划的网络区域,是政务外网的主干道,实现各市县、各部门互联互通,为跨地区、跨部门的业务提供认证、名目交换、公共应用服务等共性支撑平台。
〔3〕互联网接入区:是政务部门通过逻辑隔离手段安全接入互联网的网络区域,满足各级政务部门利用互联网的需要。在互联网接入区,采取了综合的安全防护措施,对互联网接入业务提供安全防护。政务外网构建互联网安全接入平台,实现各政务部门办公的公务人员利用互联网通道,通过数字证书认证、密码技术和VPN技术,安全接入大化县电子政务外网,访问指定的业务应用系统。
第四章 本期项目设计方案
4.1 标准规范建设内容
4.1.1 标准规范建设的原那么
标准化规范是大化瑶族自治县电子政务外网项目建设的差不多保证。在严格遵循国家电子政务外网和广西电子政务外网有关规范标准的基础上,结合具体情形,逐步建设适用的信息化标准规范和保证体系。大化瑶族自治县电子政务外网项目标准规范建设遵循以下原那么:
1.因地制宜原那么
要依照项目建设的具体实施情形和应用水平,在国家、自治区电子政务领域没有相应的标准、规范参考时,因地制宜地制定符合大化瑶族自治县电子政务外网建设实情的标准规范。
2.统一兼容原那么
系统要求开放性好、标准化程度高,系统建设应与现有的一些单位局域网系统平台兼容。在标准、规范制定中,国际上有标准的,要尽量参照国际标准;国家、自治区已出台建设标准、规范的,要遵循国家、自治区的标准。
3.政令畅通原那么
本项目制定的标准规范,对规范指导大化瑶族自治县电子政务外网项目建设具有重要意义,要爱护大化瑶族自治县电子政务外网治理机构政令的畅通,切实执行。为幸免本项目建设标准规范只制
订不执行,或者执行成效不理想等情形,在出台相关的业务标准、技术标准、项目建设等标准规范时,必须要有相应的后续落实措施。
4.安全可控原那么
落实国家网络安全和信息技术安全有关政策,优先采纳自主可控的产品及密码算法,增强网络安全可控能力;加快构建安全可信基础环境,推动标准落地实施,切实保证信息系统安全。
5.可治理型原那么
系统设备易于治理、爱护,操作简单,便于配臵,在安全性、数据流量、性能等方面能得到专门好的监视和操纵,能够进行远程治理和故障诊断。 4.1.2 标准规范框架
大化瑶族自治县电子政务外网项目标准规范分为总体标准、网络及通信标准、数据交换标准、信息安全标准和工程治理标准五个大类。标准规范框架如图5.1-1所示:
图5.1-1:标准规范框架结构图
4.1.3 标准规范建设内容 4.1.3.1 总体标准建设
总体标准包括本项目建设所需的总体性的标准与规范。从工程建设角度看,总体标准的建设内容是依照本项目建设总体方案,从框架性思路动身,制定本项目所涉及的差不多术语、标准化指南、标准编写规那么等方面的标准,以保证项目工程建设高效、健康和稳固进展,减少重复投资和互不兼容。
总体标准中重点建设的标准有以下三项: 1.术语
术语是本项目建设过程中所使用以及形成的差不多概念的语言指称。对这些概念进行正确的语言指代,并将其内涵定义和外延定义清晰描述出来,是本项目要解决的差不多问题。
2.标准化指南
标准化指南是依照本项目标准体系框架及其所涉及的标准化对象和内容,按照一定的主题和逻辑结构系统阐述所涉及的各标准的要紧内容;是整个项目标准化建设的指南性文件。本项目标准化指南对推动和促进本项目在标准化、规范化的道路上健康进展,应具有极为重要的指导作用。
3.标准编写规那么
标准编写规那么应给出标准的结构和编写标准的差不多要求,规定标准要素的编写规那么、标准条文的编写规那么、标准的编排
格式以及标准的出版格式,关于本项目标准的编写、审查、出版和治理具有直截了当的指导作用。 4.1.3.2 网络及通信标准建设
网络及通信标准分体系包括为本项目各应用系统提供基础通信平台的标准和进行系统设计时应遵循的网络标准。本项目网络及通讯标准要紧内容包括:网络工程建设规范、网间互联技术规范、网络IP地址分配规范、网络域名命名规范、电子邮件地址命名规范、通信设备命名规范、通信技术标准等。该分体系以采纳相关国际标准、现有国家和自治区标准为主。 4.1.3.3 应用支撑标准建设
应用支撑平台是基于可信消息管控的应用支撑架构,是承载业务系统协同工作的软硬件综合平台,能提供统一的接入认证与授权服务以及可信的应用传输与信息交换服务。
应用支撑标准分体系通过制定统一接入认证、可信应用传输以及系统间的接口规范,为本项目各应用系统提供安全服务和可信的应用环境,实现安全互联互通和安全信息共享。其要紧内容是:应用支撑平台通用技术要求。该分体系以采纳现有相关国际标准、国家标准和自治区标准为主。
4.1.3.4 信息安全标准建设
为了幸免网络系统、应用系统和数据资源遭受来自系统内外各类主动或被动式的攻击,保证各级系统稳固、有效地运行,本项目必须建立完善的安全保证体系。要紧内容包括:信息系统安全等级爱护通用技术规范、信息系统安全治理规范、信息系统网络安全规范、数字认证体系安全治理规范、操作系统安全使用技术规范、访问操纵治理规范等。该分体系以采纳国家、自治区电子政务外网相关标准和国家信息安全相关标准规范为主。 4.1.3.5 项目治理标准建设
本项目将按照科学的治理方法,利用标准化手段,对项目建设进行全方位、全过程的治理和监督。项目治理标准指本项目从立项、开发、监理、验收、运行、治理等环节应遵循的治理规范标准的集合。要紧包括如下内容:项目治理规范、运行治理规范、安全治理制度、工程建设治理规范等。 4.1.3.6 本项目标准建设明细表
依照上述标准体系框架和分析,下表给出了本项目建设标准明细表,表内包含需要制订的标准规范研制工作。
表5.1-1:标准建设明细表
序分体系名称 号 本期建设标准 参考标准 注 备序分体系名称 号 1 总体标准 差不多术语 标准化指南 标准编写规那么 2 网络及通信标准 网络工程建设规范 网络互联技术规范 网络IP地址分配规范 网络域名命名规范 通信设备命名规范 通信技术标准等 3 应用支撑标准 本期建设标准 参考标准 备注 修订 遵循国家、自治区电子修政务外网相关规范 订 支撑平台通用技术要求 采纳相关国际标准和国不家标准 建 4 信息安全标准 信息系统安全等级爱护采纳国家有关安全等级不通用技术规范 爱护要求及有关治理规建 信息系统安全治理规范 定 信息系统网络安全规范 采纳国家、自治区电子数字认证体系安全治理政务外网相关规范 规范 操作系统安全使用技术规范 访问操纵治理规范 5 项目治理标准 项目治理规范 运行治理规范 安全治理制度 新建 序分体系名称 号 工程建设治理规范 本期建设标准 参考标准 备注 4.2 信息资源规划
依照数据治理需求、应用特点及应用规划,建设全局性、基础性数据集成环境,实现数据统一、集中治理。
1.数据类型
政务外网数据分为信息公布型、统计分析型、信息服务型三类。 〔1〕信息公布型数据
是指各级政府部门在日常工作过程中生成的数据,此类数据由人工录入或从办公系统中产生,为信息公布公布平台提供数据支持,包括组织机构数据、政务公布数据、政府部门信息数据、标准代码数据、政策法规数据等。
〔2〕统计分析型数据
是指通过对业务数据进行统计、汇总、分析加工后产生的数据,以及依照统计分析决策需要,建立要紧数据的数据仓库,为领导决策支持系统提供数据支持。
〔3〕信息服务型数据
指各类对公众提供政务服务的信息,为公众的在线办事和在线查询提供数据支持。
2.信息资源规划
进行信息资源规划,必须考虑解决业务流程优化和功能建模、数据流分析、数据建模和数据标准化问题,实现信息共享、资源整合和业务协同。
信息资源规划要紧工作内容为: 〔1〕组织数据录入
对新建的数据库结构,需要在应用开发的开始时期编制数据录入程序,将整批业务数据加载到新数据库中,或者在应用系统运行的过程中录入加载数据。
〔2〕组织数据转换
对已积存的数据库资源,不论原先的结构如何设计,差不多上重要的信息资源,需要按差不多表的结构标准编制数据转换加载程序。
〔3〕重整数据结构
以信息资源规划设计方案中差不多数据库和数据标准为标杆,来逐一衡量、评估已有数据储备的结构,找出具体的差距,确定哪些数据结构能够修改、补全,哪些数据结构不合理应该抛弃,还要增加哪些新的数据结构,从而形成高可利用的数据环境的数据结构。
4.3 应用支撑系统设计
应用支撑平台是整个系统建设的核心,该平台中包括了用户组织机构建模、资源权限治理、数据字典治理等一系列基础配置功能,借助于系统配置治理平台能够快速构建新的系统以及对旧的业务系统进行调整。应用支撑平台组件与功能设计内容要紧有:
1.统一用户身份治理
实现对组织机构、用户、角色、应用系统、权限及授权关系的集中治理,解决各个业务应用系统建设中存在的基础功能的重复建设和投入等问题,为实现数据整合、信息共享、流程优化提供基础保证。幸免不同的业务应用系统之间多重身份、基础资料不唯独等情形。
2.统一身份认证与单点登录
每个系统都需要用户信息、用户认证、权限治理、权限查询的功能模块,且功能特性差不多相同,将他们的规律总结起来,开发一个公共系统能够提高各个系统的开发。实现用户一次登录、网内通用,幸免多次登录到多个应用的情形发生。实现大化瑶族自治县电子政务外网工程中所有系统治理用户认证、授权信息的统一入口,即权限门户。 支持到文件证书、UKEY等安全认证方式。
3. 与CA认证集成
帐号验证数据源能够与CA认证中心进行集成绑定,外网用户登录时都能够使用CA证书进行登录,识别身份和权限。
数字身份认证的作用在于实现对网络用户的身份鉴别、权限认证和责任认定,确保网络通信中用户〔含设备〕身份的真实性与合法性,用户访问与操作权限的确定性,用户操作行为与责任的可鉴别性与不可否认性。基于网络信任体系,实现了网络通信中可靠地识别一个用户的身份、行为和责任。
4.4 数据处理和储备系统设计
4.4.1 数据处理系统
数据处理系统的建设目标是构造一个功能齐全、运行高效、使用灵活、爱护方便、易于扩展、投资省、安全可靠的主机平台,为业务系统提供可靠、高效的支撑平台。
〔一〕数据处理系统建设原那么 1.高可用性
保证充分的处理能力,具有良好的性能以能够支持业务系统的运行;同时,考虑到随着用户量的扩充,系统要求会有所提高,因此要能够既满足现有的需求,又能够有一定的前瞻性,充分考虑可能显现的新业务,对系统留有足够的冗余。
2.高可靠性
要能够提供连续服务,主机系统具备可靠性、安全性及故障复原能力,保证系统能长时刻不间断运行。
3.可治理性和可爱护性
为了保证系统安全可靠的运行,整个系统的治理和爱护是十分重要的。整个系统的结构应该是简单的、易于治理和爱护的。
4.可扩展性
随着新业务需求的进展,主机系统的扩充能力也是系统设计需要充分考虑的因素。
5.有用性
设计方案要充分考虑到实际需求和经济承担能力,量力而行。 〔二〕主机系统需求分析
用于承载应用支撑平台的主机需要较高的CPU和内存处理能力以及一定的可靠性;用于承载数据库的主机仅用于运行数据库,数据库的容量以GB为单位增长,需要高性能的CPU处理能力,大容量内存为数据缓存服务,并需要专门好的IO性能,数据库应用是对系统各方面性能要求最高的应用,可靠性要求也专门高;用于承载业务应用系统的主机需要一定的CPU和内存处理能力。
〔三〕主机系统服务器性能
主机系统服务器性能从定性分析和定量分析两方面解读。 主机系统服务器性能的定性分析包括以下几个方面:可靠性〔Reliability〕、可用性〔Availability〕、可扩展性〔Scalability〕、易用性〔Usability〕、可治理性〔Manageability〕,即服务器的RASUM衡量标准。
本项目依照自身应用环境选择TPC体系作为评测标准。 〔四〕主机选择
主机系统是在网络环境下提供网上客户机共享资源〔包括查询、储备、运算等〕的设备,具有高可靠性、高性能、高吞吐能力、大内存容量等特点,同时具备强大的网络功能和友好的人机界面。
X86服务器多采纳Intel或者AMD等CPU,支持标准的Windows和Linux操作系统。具有价格低廉,系统开放性和可扩展性良好、易于使用及构架集群系统等优点,获得广泛应用。机架式服务器具有较
强的灵活性,在外型和设计上有统一的标准,兼容性和治理性较强,标准外设,标准接口,具有RAID功能、冗余功能,可独立运行并承担任务,同时也具有成本优势。
因此,依照上述主机分析结果并结合主机系统的需求分析,本方案选用3台高性能的机架式服务器,一台用于存放杀毒软件,一台用于存放业务监控运维系统,一台用于存放DHCP、DNS。服务器部署在公用网络区。 4.4.2 储备系统
储备系统为数据储备、数据交换、数据共享等业务提供安全、快速、可靠的数据支撑,并实现对迅速增长数据的高效治理。本期项目将产生6.82GB,因数据量较小,故储备于新购买的服务器中,储备架构图如下所示:
图5.4-1:储备架构图
4.5 网络系统设计
4.5.1 城域网结构
大化县电子政务外网是国家电子政务外网和广西电子政务外网的重要组成部分,横向城域网要紧用于同城政务部门互联,是全县政务部门提供互联互通、信息共享的基础平台。
为保证网络可靠性,提高数据转发效率,降低网络复杂度,大化瑶族自治县电子政务外网城域网采纳星型拓扑二层扁平化结构,即分为核心层和接入层两个层次。
此外,政务外网与互联网之间为逻辑隔离,建设统一互联网出口。
大化县电子政务外网网络结构如图5.5-1所示:
图5.5-1:政务外网城域网架构图
1.网络架构
〔1〕城域网核心层由两台高性能、高可靠的核心交换机组成,负责本级城域网内数据的高速交换,并互联各个委办局。双核心交换机支持虚拟化,对设备进行双机冗余爱护,当一台设备显现故障,重要的业务可手工切换至另一台设备。
〔2〕两台核心设备之间通过万兆光纤实现trunk,核心层和接入层之间通过采购运营商线路连接;机房内的网络设备、安全设备、服务器设备及治理设备之间通过千兆多模光纤连接。
〔3〕大化县党政办公大楼〔内有40个接入单位〕采纳千兆光口通过裸光纤链路对接;青青年活动中心大楼、县府大院内机关楼、办证大厅大楼、教育局、人社局、检察院大楼、大化镇、都阳镇等8个办公大楼采购80Mbps MSTP专线连接;26个接入单位采购50Mbps MSTP专线连接,剩余9个接入单位采购20Mbps MSTP专线连接。
〔4〕统一互联网出口,互联网与电子政务外网安全逻辑隔离,为接入单位、乡镇〔街道〕提供互联网服务。为提高可靠性,互联网带宽采购运营商两条链路,两条链路带宽均为300Mbps,实施冗余和负载分担。
2.各区域设备部署
〔1〕公用网络区:部署基础网络服务,如业务监控运维服务器、杀毒软件服务器等,通过MPLSVPN技术与其他区域逻辑隔离,治理人员通过网络对位于该区域的本部门服务器进行信息更新和治理。部署入侵检测,安全审计,漏洞扫描,防火墙等安全系统,提供全网网络安全保证。
〔2〕互联网接入区:提供统一的互联网出口,满足各部门访问互联网的需求,同时为移动办公提供互联网汇接。
互联网出口采纳不同运营商的两条链路,实施策略路由、流量操纵、链路负载均衡策略;为保证安全,按照等保要求,部署防火墙、入侵防备系统。
〔3〕专用网络区:依靠政务外网基础设施,为有特定需求的部门或业务设置的虚拟专网区域,要紧满足部门纵向业务的需要,实
现不同部门、不同业务逻辑隔离。该区域采纳私有地址,在骨干网上通过标签〔MPLS VPN〕进行数据传输。为降低系统复杂度,节约投资,MPLS VPN的PE由广西电子政务外网广域骨干县级节点的路由器承担,MPLS VPN开通及爱护由区外网治理中心负责,县级城域核心采纳VLAN或者GRE等与MPLS VPN实现对接,各接入单位部署二层网关接入网络。 4.5.2 政务部门接入方案
委办局接入设备作为区县电子政务外网的终端网络的连接设备以及城域网网络的边界,负责将区县单位部门相关终端、主机、服务器接入电子政务外网。
关于各个通过专线方式接入政务外网的接入单位,网络内部私有地址复杂,为了保证各单位快速灵活地接入电子政务外网,城域网接入设备需要具有MCE及NAT的功能。同时,考虑到各单位的内部主机在访问政务外网时存在同一主机能够访问多个纵向VPN业务的情形〔如同一台主机既能访问互联网VPN,又可访问公共资源VPN〕,从简化技术、实现节约投资的角度,参照国家信息中心«地市电子政务外网建设技术指导文件»,大化县外网接入最终采纳简单接入模型。具体如下:
图5.5-2:单位接入模型
该接入模型中,将接入单位和乡镇政府划归网络接入层,其中党政办公大楼采纳千兆光口通过裸光纤链路连接,其余单位购买运营商MSTP〔带宽20Mbps /50Mbps/80Mbps〕链路,连接到城域网核心设备上。
接入单位存在同时需要接入互联网区、公用网络区和专用网络区,相关的互联模型如下:
国家区级公用网络区国家电子政务外网国家电子政务外网对应部委自治区级公用网络区自治区电子政务外网自治区对应上级单位市级公用网络区河池市区电子政务外网河池市对应上级单位区县公用网络区大化县政务城域网接入线路互联网出口接入设备接入单位访问互联网区单位外网局域网 图5.5-3:用户接入访问公用网络区业务模型示意图
国家区级公用网络区国家电子政务外网国家电子政务外网对应部委自治区级公用网络区自治区电子政务外网自治区对应上级单位市级公用网络区河池市区电子政务外网河池市对应上级单位区县公用网络区大化县政务城域网接入线路互联网出口接入设备接入单位访问互联网区单位外网局域网 图5.5-4:用户接入访问互联网区业务模型示意图
4.5.3 城域网基础线路选择
城域网网络核心由两台高性能交换机设备组成,它们之间通过设备万兆口捆绑互联,提供2*1Gbps互联带宽。核心交换机支持10G性能扩容。
核心设备与服务器、安全防控设备之间通过多模光纤互联,提供1Gbps链路带宽。
接入单位以及乡镇政府采纳光纤链路及MSTP链路与核心设备连接,可扩展性考虑,结合实际需求分析,在党政办公大楼通过裸光纤连接,其他单位分别购买运营商20Mbps 、50Mbps和80Mbps MSTP链路的使用权与核心设备连接,保证满足承载业务应用需要。 4.5.4 互联网出口方案
做为整个电子政务外网对互联网的出口,政务外网互联网出口同时承担着两方面的作用:一是电子政务外网内所有用户访问互联网的出口;二是公众访问电子政务外网综合门户网站的通道。互联网出口建设方案应有如下考虑。
〔一〕设计原那么
1.高性能。电子政务外网内部所有用户对互联网的访问均需通过此出口,数据访问量大,人数众多,故此出口在建设过程中涉及的所有设备必需具备高性能指标,如路由转发性能,包交换能力等等。
2.高可靠。承担网络出口的所有网络设备必需具备高可靠性要求,以确保整个政务外网内部用户对互联网的正常访问。
3.高安全。互联网出口是电子政务外网与互联网之间的纽带,它的安全性对电子政务外网的安全具有至关重要的阻碍。所有来自互联网上对电子政务外网的攻击和入侵等都应得到相应的操纵。因此,构建互联网出口的网络设备必需具有强大的安全特性。
4.可扩展。互联网出口建设必需考虑可扩展性。所有的网络设备应具有相应的扩展能力,同时组网结构应具有相应的扩展能力,以便今后业务进展起来能够依照需要随时扩展互联网出口。
〔二〕出口线路方案
依照大化瑶族自治县政务外网互联网出口的实际情形,并考虑到以后的进展趋势,需要建立一个优化、稳固的电子政务互联网出口。为保证互联网出口的高可用性,将采购运营商两条互联网专线使用权,出口带宽均为300Mbps。
图5.5-5:互联网出口拓扑图
1.为了能够更好地实现网络出口的安全与稳固,采纳运营商的两条互联网出口链路,实现线路冗余。
2.在互联网出口具备双线路的情形下,必须提供高性能的策略路由和负载均衡,确保链路充分利用。考虑到应用、流量和用户增
加以及互联网出口功能需求的增加,采纳防火墙设备实现高性能NAT。因此,需要在互联网出口增加一套高性能防火墙,提供高性能NAT〔地址转换〕。 4.5.5 IP地址规划 4.5.5.1 IP地址规划原那么
大化县电子政务外网项目IP地址规划思路如下:
1.IP地址规划将遵循国家外网治理中心和广西外网治理中心有关规划和指导意见;
2.采纳正式地址和保留地址相结合的方法。正式地址〔公用网络区〝59〞段地址〕要紧用于骨干层、接入层设备的Loopback地址和公用网络区NAT地址。私有地址〔〝10〞段地址〕要紧用于用户终端地址和城域网设备互联地址;
3.IP地址规划要紧涉及到网络资源利用的方便以及有效的治理网络的问题,合理的IP地址规划有利于网络的治理;
4.IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。本项目城域网IP地址的分配应该尽可能地利用广西电子政务外网治理中心分配给大化县的私有地址空间和公用网络区地址空间,充分考虑到地址空间的合理使用,保证实现最正确的网络地址分配及业务流量的平均分布;
5.IP地址的规划与划分应该考虑到网络的后续规模和业务上的进展,能够满足以后进展的需要;即要满足本期工程对IP地址的需求,同时要适当考虑以后业务进展,预留相应的地址空间;
6.IP地址的分配必须采纳VLSM(变长掩码)技术,保证IP地址的利用效率;
7.采纳CIDR技术,减小路由器路由表的大小,加快路由器路由的收敛速度,也能够减小网络中广播的路由信息的大小;
8.IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应,自上而下规划;
9.大化县及所辖县〔区〕IP地址规划应该从预分配的地址段中按广西电子政务外网相关规范再分配,采纳如此的方式充分考虑了网络层次和路由协议的规划,通过聚合网络减少网络中路由的数目和地址爱护的数量,也利于分级治理。 4.5.5.2 IP地址分配表
按照上述IP地址规划思路,大化县电子政务外网IP地址分配如下:
1.从广西电子政务外网治理中心分配给大化的正式IP地址段部分地址,用于公用网络区服务器的IP地址一对一映射和访问国家、自治区公用网络区资源时的NAT地址池。
2. 广西政务外网治理中心分配的地址,用于用户局域网,依照接入单位规模,大化县每个接入单位、乡镇能够分配1个C类〔255台主机〕地址。
3.设备治理〔Loopback〕地址
从大化分配到的正式地址段和私有地址段中选取,每台设备各取一个作为设备治理地址,子网掩码统一为255.255.255.255。
4.设备互联地址
大化县城域网设备互联地址,从分配到的私有地址段中选取,每对互联地址的子网掩码统一为255.255.255.252。
5.互联网出口地址
互联网出口IP地址〔接口地址、NAT地址池、服务器映射地址等〕由线路所属通信运营商提供。
广西电子政务外网网络治理机构设置自治区级和市级两级网络治理中心。政务外网IP地址总体规划由自治区级网管中心负责,市级网络IP地址分配、治理和使用由市级网管中心负责,县〔区〕级网络IP地址分配由所属市级网管中心负责。政务外网IP地址采纳公有IP地址和私有地址两类地址混合使用,其中,政务外网公有IP地址要紧应用于政务单位接入外网的转换地址、政务外网公用网络区服务器地址;政务外网私有IP地址要紧应用于政务单位接入用户地址、内部服务器地址、网络设备互联和治理地址等。大化县城域网建设的地址规划,遵循广西电子政务外网统一的IP地址分配规范,按照自治区电子政务外网治理中心分配的地址规划大化县城域网内地址,保
证后期大化县城域网与自治区电子政务外网的正常对接,杜绝发生政务外网上IP地址冲突问题,实现当地城域网与全国和自治区的互联互通。
依照«广西电子政务外网平台市、县〔区〕级节点技术规范»说明,网络治理中心分配给大化县政务外网公有IP地址是59.211.196.0/24,政务外网私有IP地址是10.187.0.0/16。
序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 委办单位名称 商务局 农机局 人大办 政协办 统计局 林业局 机要局 工信局 发改局 法制局 编委办 执法局 安监局 残联 政府办 水产畜牧局 农业局 粮食局 纪委 保密局 科技局 宣传部〔含文联、社科联、文明办〕 政法委 科协 统战部(含侨务办、台办) 组织部 民宗局 工业集中区 内网IP 10.187.0.0/24 10.187.1.0/24 10.187.2.0/24 10.187.3.0/24 10.187.4.0/24 10.187.5.0/24 10.187.6.0/24 10.187.7.0/24 10.187.8.0/24 10.187.9.0/24 10.187.10.0/24 10.187.11.0/24 10.187.12.0/24 10.187.13.0/24 10.187.14.0/24 10.187.15.0/24 10.187.16.0/24 10.187.17.0/24 10.187.18.0/24 10.187.19.0/24 10.187.20.0/24 10.187.21.0/24 10.187.22.0/24 10.187.23.0/24 10.187.24.0/24 10.187.25.0/24 10.187.26.0/24 10.187.27.0/24 接入接口 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 接入路由器IP 10.187.248.1 10.187.248.9 10.187.248.17 10.187.248.25 10.187.248.33 10.187.248.41 10.187.248.49 10.187.248.57 10.187.248.65 10.187.248.73 10.187.248.89 10.187.248.97 10.187.248.105 10.187.248.113 10.187.248.121 10.187.248.129 10.187.248.137 10.187.248.145 10.187.248.153 10.187.248.161 10.187.248.169 10.187.248.177 10.187.248.185 10.187.248.193 10.187.248.201 10.187.248.209 10.187.248.217 10.187.248.225 对端接口IP 10.187.248.2 10.187.248.10 10.187.248.18 10.187.248.26 10.187.248.34 10.187.248.42 10.187.248.50 10.187.248.58 10.187.248.66 10.187.248.74 10.187.248.90 10.187.248.98 10.187.248.106 10.187.248.114 10.187.248.122 10.187.248.130 10.187.248.138 10.187.248.146 10.187.248.154 10.187.248.162 10.187.248.170 10.187.248.178 10.187.248.186 10.187.248.194 10.187.248.202 10.187.248.210 10.187.248.218 10.187.248.226 序号 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 委办单位名称 水果局 团县委 外事办 民语局 县志办 糖业局 党史办 供销社 审计局 农经局 移民局 县委办 直属机关工委 妇联 文广新体局 物价局 信访局 扶贫办 机关事务治理局 旅行局 地质公园治理局 投资促进局 政务服务中心 办证大厅 工商联 区划办 老干局 总工会 党校 教育局 民政局 财政局 人社局 国土局 环保局 住建局 交通局 水利局 卫计委 食品药品监督治理局 内网IP 10.187.28.0/24 10.187.29.0/24 10.187.30.0/24 10.187.31.0/24 10.187.32.0/24 10.187.33.0/24 10.187.34.0/24 10.187.35.0/24 10.187.36.0/24 10.187.37.0/24 10.187.38.0/24 10.187.39.0/24 10.187.40.0/24 10.187.41.0/24 10.187.42.0/24 10.187.43.0/24 10.187.44.0/24 10.187.45.0/24 10.187.46.0/24 10.187.47.0/24 10.187.48.0/24 10.187.49.0/24 10.187.50.0/24 10.187.51.0/24 10.187.52.0/24 10.187.53.0/24 10.187.54.0/24 10.187.55.0/24 10.187.56.0/24 10.187.57.0/24 10.187.58.0/24 10.187.59.0/24 10.187.60.0/24 10.187.61.0/24 10.187.62.0/24 10.187.63.0/24 10.187.64.0/24 10.187.65.0/24 10.187.66.0/24 10.187.67.0/24 接入接口 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 接入路由器IP 10.187.248.233 10.187.248.241 10.187.248.249 10.187.249.1 10.187.249.9 10.187.249.13 10.187.249.17 10.187.249.21 10.187.249.25 10.187.249.29 10.187.249.33 10.187.249.37 10.187.249.41 10.187.249.45 10.187.249.49 10.187.249.53 10.187.249.57 10.187.249.61 10.187.249.65 10.187.249.69 10.187.249.73 10.187.249.77 10.187.249.81 10.187.249.85 10.187.249.13 10.187.249.93 10.187.249.97 10.187.249.101 10.187.249.105 10.187.249.109 10.187.249.113 10.187.249.117 10.187.249.121 10.187.249.125 10.187.249.129 10.187.249.133 10.187.249.137 10.187.249.141 10.187.249.145 10.187.249.149 对端接口IP 10.187.248.234 10.187.248.242 10.187.248.250 10.187.249.2 10.187.249.10 10.187.249.14 10.187.249.18 10.187.249.22 10.187.249.26 10.187.249.30 10.187.249.34 10.187.249.38 10.187.249.42 10.187.249.46 10.187.249.50 10.187.249.54 10.187.249.58 10.187.249.62 10.187.249.66 10.187.249.70 10.187.249.74 10.187.249.78 10.187.249.82 10.187.249.86 10.187.249.13 10.187.249.94 10.187.249.98 10.187.249.102 10.187.249.106 10.187.249.110 10.187.249.114 10.187.249.118 10.187.249.122 10.187.249.126 10.187.249.130 10.187.249.134 10.187.249.138 10.187.249.142 10.187.249.146 10.187.249.150 序号 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 委办单位名称 运管局 档案局 公安局 交警大队 疾病操纵中心 卫生监督所 人民医院 妇幼保健院 工商局 司法局 调处办 检察院 法院 房改办 大化镇 岩滩镇 都阳镇 北景镇 羌圩乡 乙圩乡 江南乡 古文乡 百马乡 共和乡 贡川乡 板升乡 七百弄乡 雅龙乡 古河乡 六也乡 内网IP 10.187.68.0/24 10.187.69.0/24 10.187.70.0/24 10.187.71.0/24 10.187.72.0/24 10.187.73.0/24 10.187.74.0/24 10.187.75.0/24 10.187.76.0/24 10.187.77.0/24 10.187.78.0/24 10.187.79.0/24 10.187.80.0/24 10.187.81.0/24 10.187.82.0/24 10.187.83.0/24 10.187.84.0/24 10.187.85.0/24 10.187.86.0/24 10.187.87.0/24 10.187.88.0/24 10.187.89.0/24 10.187.90.0/24 10.187.91.0/24 10.187.92.0/24 10.187.93.0/24 10.187.94.0/24 10.187.95.0/24 10.187.96.0/24 10.187.97.0/24 接入接口 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 Ge 0/0 接入路由器IP 10.187.249.153 10.187.249.157 10.187.249.161 10.187.249.165 10.187.249.169 10.187.249.173 10.187.249.177 10.187.249.181 10.187.249.185 10.187.249.189 10.187.249.193 10.187.249.197 10.187.249.201 10.187.249.205 10.187.249.209 10.187.249.213 10.187.249.217 10.187.249.221 10.187.249.225 10.187.249.229 10.187.249.233 10.187.249.237 10.187.249.241 10.187.249.245 10.187.249.249 10.187.250.1 10.187.250.9 10.187.250.13 10.187.250.17 10.187.250.21 对端接口IP 10.187.249.154 10.187.249.158 10.187.249.162 10.187.249.166 10.187.249.170 10.187.249.174 10.187.249.178 10.187.249.182 10.187.249.186 10.187.249.190 10.187.249.194 10.187.249.198 10.187.249.202 10.187.249.206 10.187.249.210 10.187.249.214 10.187.249.218 10.187.249.222 10.187.249.226 10.187.249.230 10.187.249.234 10.187.249.238 10.187.249.242 10.187.249.246 10.187.249.250 10.187.250.2 10.187.250.10 10.187.250.14 10.187.250.18 10.187.250.22 由于注册地址有限,大化县政务外网节点对该段地址需要合理规划使用。当地址分配完毕需要扩充地址段时,应当按政务外网地址申请规范向河池市政务外网治理中心提交网络规划及相关方案审核,审核通过后由河池市政务外网治理中心下发新地址段。
4.5.5.3 IP地址转换
在互联网公网IP、国家公共IP、用户局域网地址共存的情形下,应分别按照要求进行IP地址转换,确保网络互联互通。
1.专网网络VPN
统一单位内部通过专用网络区市县纵向访问时〔国家、自治区、市、区县〕,使用局域网内的私有IP,不做NAT转换。县、乡单位局域网地址由自治区统一规划,幸免冲突;假如单位内部局域网地址与自治区规划不一致,甚至冲突时,需要在PE上公布服务器明细路由,同时在局域网中躲开上级服务器的IP地址。
2.公共网络VPN
接入政务外网的单位访问公共网络区时,将统一分配的59段地址用于局域网出方向NAT源转换地址。本单位假如需要向其他单位提供服务,那么在单位接入设备上配置静态NAT映射,实现共享服务器地址对外映射。
3.互联网访问VPN
公共IP地址用于互联网访问出方向NAT源地址转换和互联网访问区内政务外网服务器地址对外映射,不用于局域网终端地址分配。
政务外网数据流在通过互联网出口时,在互联网出口的防火墙进行NAT转换,将自治区外管中心分配的私有地址转换为当地运营商分配的公网地址。
4.5.6 路由、VPN和域名系统设计
4.5.6.1 路由设计 4.5.6.1.1 路由协议的选择
路由协议的选择对网络的可靠性、灵活性、可拓展性有较大的阻碍。依照网络的结构,综合考虑治理和技术两个方面的因素,选择适合的路由协议。
路由协议的选择差不多原那么:
1.治理上层次分明,局部的变动不阻碍上层路由配置和全局路由配置。
2.技术上应尽量简单、灵活,以提高路由器的处理效率。 3.能够反映出整个网络的层次结构,并与自治域、各结点子网的IP 地址分配相结合,做到合理的路由聚合,减少路由表的长度,减轻路由更新给网络带来的负荷。
大化县电子政务外网网络平台需要选择的路由协议包括域间路由协议〔EGP〕和域内路由协议(IGP)。EGP用于连接不同的自治系
统,在不同的自治系统之间交换路由信息,要紧使用路由策略和路由过滤等操纵路由信息在自治域间的传播。IGP 即内部网关协议,在同一个自治系统内交换路由信息,其要紧目的是发觉和运算自治域内的路由信息。EGP已采纳BGPv4协议,用于与广西电子政务外网广域骨干网,MP-BGP用于大化县政务外网广域骨干节点承载VPN ipv4路由。IGP在城域网中要紧承载网络设备间的互联路由,本项目IGP协议采纳OSPF协议。 4.5.6.1.2 路由协议策略
1.自治区政务外网广域骨干节点已划分在area 0域,大化县城域网节点划分在非0域,单位接入路由可依照实际情形选择动态路由或者静态路由。
2.政务外网承载网路由由IGP即OSPF承载,包括互联地址路由、Loopback地址路由、网管中心地址路由等;用户路由由BGP或MP-BGP承载,包括用户业务地址路由、服务器地址路由等,以幸免用户网络的业务路由震荡阻碍阻碍承载网路由。治理上亦可做到层次分明,局部变动不阻碍上层路由配置和全局路由配置。
3.BGP的AS与自治区政务外网划分在同一AS中,利用自治区政务外网的RR和BRR,交换AS内部的BGP全局路由,简化BGP peer连接数量,提高网络路由的稳固性。
4.由于电子政务外网用户业务是通过MPLS VPN来逻辑隔离,因此可依照实际需要将需要公共访问的业务网段路由引入到IBGP中,比如将INTERNET网关的缺省路由公布到IBGP中。
5.城域网接入网关启用NAT多实例功能,依据访问区域的不同,今后自不同业务的私有IPv4地址,转换为公用网络区的国家公有59段IPv4地址,或者部门VPN自行规划的私有IPv4地址。 4.5.6.1.3 承载网路由设计
承载网路由是指电子政务外网城域网和广域骨干网的网络设备所组成的互联路由。由于承载网设计在一个自治域系统AS内,因此承载网路由设计演变为自治域系统内部网关协议的设计。依照路由协议的选择比较选用OSPF作为承载网的IGP协议。
OSPF能够在同一路由自治域中,将网络分为假设干个区域,区域内的路由器共享区域内的网络拓扑结构信息,区域间的路由信息通过区域边缘路由器进行传递。
1.城域网内部互联端口划分为非0区域,广域网骨干路由器划分为0区域。为幸免路由环路,不通过OSPF 公布缺省路由。
2.承载网设备均使用Loopback地址作为治理地址,OSPF作为承载网的IGP,只负责承载互联接口网段和治理接口的地址传递,实现BGP、LDP的邻居关系建立,承载BGP会话、LDP会话以及公布CE设备治理网段路由。OSPF不引入直连和静态路由,幸免存在OSPF type5的外部LSA显现,治理接口地址采纳network公布。
3.为加快OSPF邻接关系的形成,假如一条链路上只有两台设备启用OSPF,那么将该链路两端的OSPF网络类型改为点对点模式,即point-to-point。
4.为保证网络安全,幸免非法路由器或伪造的路由信息加入到网络中,使全网路由出错,导致网络瘫痪,采纳OSPF路由认证,认证方式能够是明文或者MD5。
5.为实现纵向、横向数据流操纵,需要对OSPF cost值进行全局规划。
4.5.6.1.4 用户路由设计
电子政务外网用户路由分成两部分:一部分是全局路由,另一部分是VPN-IPv4路由。全局路由由标准的BGP协议产生,而VPN-IPv4路由由多协议BGP〔MP-BGP〕来承载。
电子政务外网的IGP协议采纳OSPF,其核心层、接入层节点划分在非0区域内。当构建MPLS/VPN拓扑时,采取在PE〔核心层设备〕上运行MP-iBGP路由协议交换所有的VPN路由。
关于用户路由,将连接用户业务网段的直连路由或静态全部引入到IBGP中;来自不同VPN的用户私有IPv4地址,通过单位接入网关启用NAT多实例功能,转换为公有IPv4地址后,由IBGP公布到全网。此外,对需要公共访问的业务网段路由也引入到IBGP中,比如将INTERNET网关的缺省路由公布到IBGP中。
由于整网都划分为一个AS,跨域的EBGP由自治区统一承担,因此,县级节点不作EBGP路由策略设计。 4.5.6.2 MPLS VPN设计
大化县电子政务外网要紧承载部委、区级垂直业务系统,以及本级后续部署的相关政务系统,部分系统将采纳VPN承载。
在电子政务二三四级网络中,为了实现业务的隔离和安全,采纳BGP/MPLS IP VPN进行安全隔离,依照业务类型和范畴将VPN分为两类:纵向隔离VPN、横向互通VPN。
1.部门纵向业务VPN:承载各部门从省-地市-县〔区〕各部门非涉密的纵向行业业务;
2. 横向互通VPN:承载县本级单位、部门之间信息共享与交换的业务;
具体规划如图5.5-6所示:
图5.5-6: 电子政务外网VPN结构图
3. MPLS VPN设计
纵向VPN上,承接河池市电子政务外网的统一规划,大化县政务外网城域骨干设备:规划为纵向VPN中四级网络的CE设备,上连河池市广域骨干路由器PE,下连各部门接入设备。负责部门各类业务在对应VPN的接入和本地业务和广域骨干网络的对接。 4.5.6.3 DHCP系统设计
DHCP是Dynamic Host Configuration Protocol的缩写,它是BOOTP协议的扩展。DHCP是一个局域网的网络协议,使用UDP协议工作,要紧的用途是自动将IP地址传到要求地址的客户运算机,从而减少人工分配和跟踪分配客户机的IP地址所需的工作量。它分为两个部分:一个是服务器端,另一个是客户端。所有的IP网络设定参数都由DHCP服务器集中治理,并负责处理客户端的DHCP要求;而客户端那么会使用从服务器分配下来的IP配置参数。
DHCP工作原理:在一个使用TCP/IP协议的网络中,每一台运算机都必须至少有一个IP地址,才能与其他运算机连接通信。DHCP是便于统一规划和治理网络中的IP地址,有利于大化县电子政务外网中的客户机IP地址进行有效治理,不需一个个手动指定IP地址。
图5.5-7:DHCP工作原理
4.5.6.4 域名系统设计
按照〝国家政务外网域名规划与治理〞要求及自治区电子政务外网域名规划方案,大化县电子政务外网域名系统设计如下:
〔一〕域名注册方式
域名以4~5段为主,原那么上不超过5段。具体到某个单位,共有3种域名注册方式。
1.纵向向系统上级机构申请注册。如农业局,能够向系统上级机构国家农业部申请类似gxhcsdhxnyj.moa.cegn.cn的域名。
2.横向向自治区外网治理中心gx.cegn.cn域申请注册。如农业局,可申请nyj.hcsdhx.gx.cegn.cn的域名。
3.关于专门的应用需求,能够向国家外网治理中心申请四级域名。如农业局能够申请nyj.gxhcsdhx.cegn.cn。
其中方式1和方式3需要在自治区外网治理中心备案之后再向国家外网治理中心注册。
4.大化县也可向国家申请注册gxhcsdhx.cegn.cn四级子域名。 〔二〕命名原那么
以gxhcsdhx.cegn.cn域名为例说明命名原那么:
〔主机头/应用〕.〔县区简称+单位简称〕.gxhcsdhx.cegn.cn 其中,〔主机头/应用〕指、vod等;〔县区名简称〕大化县简称dhx;单位简称规那么,单位中文简称首字母,或单位中文简称首字全拼+后面字首字母,或单位中文简称全拼,也可采纳英文简称。
〔三〕域名服务规范
电子政务外网平台中的域名解析工作,由各级域名服务器共同协作完成。这些服务器在进行规划和提供服务时,必须遵循以下规范。
1.逆向域名解析
电子政务外网中IP地址采纳双轨制,存在着公有地址和私有地址。
关于私有地址,不设置逆向域名解析。
关于公有地址,能够设置逆向域名解析,该解析工作由IP地址段所属单位的域名服务器提供。
2.正向解析工作方式
域名服务器的正向解析工作方式要紧分为〝轮询方式〞和〝递归方式〞。
电子政务外网中,所有域名服务器都支持〝轮询方式〞,例如关于域名〝.〞,依次按照〝.〞、〝cn.〞、〝cegn.cn.〞、〝gx.cegn.cn.〞、〝hcsdhx.gx.cegn.cn.〞进行查询。
电子政务外网中,仅承诺提供域名区域〝gx.cegn.cn.〞解析的服务器同意其他下级服务器的查询递归要求,例如,治理〝nnsdpc.gx.cegn.cn.〞区域的服务器,能够将自己不明白的域名解析要求直截了当交付〝gx.cegn.cn.〞服务器进行解析,而不需要执行〝轮询〞过程。 4.5.7 综合布线系统设计
本期工程将对大化瑶族自治县党政办公大楼共十六楼进行统一的综合布线改造,部署超五类线综合布线系统构建千兆链路高速局域网,需要大量高效、方便、安全的线缆连接,以保证各个应用系统的顺利启用。
依照各个楼层对不同信号的接入需求,本次工程大楼综合布线系统采纳超五类非屏蔽布线产品,综合布线系统设置信息点633个,新增政府办公大楼汇聚交换机1台,48电口楼层接入交换机17台。
本次工程综合布线系统建设分为五个部分:用户工作区建设、水平布线子系统建设、配线间建设、垂直干线子系统建设、机房建设。
用户工作区建设:要紧指信息点及其他接入点的建设。 本次工程大楼地插式信息点配置2个网口,网络链路使用1个,1个备用;其余每个信息点配置1个网口,网络链路使用1个,所有网口均采纳超五类线布放置至配线间配线架。
水平布线子系统建设:水平布线子系统由从各配线间到对应的用户工作区的线缆组成。本次工程采纳超五类线布线,大楼布线接入交
换机上行带宽为1GB。
配线间建设:本次工程依照大楼实际使用情形,在各楼层设置1个配线间,每个配线间设置1架综合柜架,依照信息点需求及实际使用情形配置楼层交换机、24口配线架和光纤配线模块。
垂直干线子系统建设:垂直干线子系统是数据传输的〝大动脉〞,是综合布线系统的关键部分。它由主机房内的主配线架至各配线间内配线架之间的楼内光缆组成。本次工程各楼层交换机通过楼内千兆链路联至县党政办公大楼的汇聚交换机,经汇聚后以万兆光纤链路接入新增的核心交换机,形成高速率的局域网。
机房建设:本次工程利用大化县党政办公大楼电子政务外网治理中心机房作为核心机房,主机房用于部署城域网核心设备,公用网络区和互联网区的安全设备,以及部分大楼综合布线系统的网络设备。
本期工程大楼共设置信息点633个。其中36个三位地插式插座,全铜制材质,防水,内置3个RJ45模块。597个2位信息插座, P C材料,外形尺寸8 6×86(mm),内置2个RJ45模块。
本期综合布线系统信息点配置如下表所示:
聚拢地点 单位名称 商务局 农机局 人大办 政协办 统计局 林业局 机要局 工信局 发改局 法制局 信息点总数 10 15 15 18 25 50 4 27 23 10 三位地插座 1 1 1 2 5 2 2 两位地插座 10 14 14 17 23 45 4 25 21 10 党政办公大楼 〔共十六层〕 聚拢地点 单位名称 编委办 执法局 安监局 残联 政府办 水产畜牧局 农业局 粮食局 纪委 保密局 科技局 宣传部〔含文联、社科联、文明办〕 政法委 科协 统战部(含侨务办、台办) 组织部 民宗局 工业集中区 水果局 团县委 外事办 民语局 县志办 糖业局 党史办 供销社 审计局 农经局 移民局 县委办 合计 信息点总数 12 10 19 10 20 27 50 12 20 4 16 45 10 6 9 15 5 10 7 8 5 4 4 5 4 10 18 14 32 25 633 三位地插座 1 1 2 5 1 1 4 1 1 3 2 两位地插座 12 10 18 10 19 25 45 12 19 4 15 41 10 6 9 14 5 10 7 8 5 4 4 5 4 10 17 14 29 23
4.6 安全系统设计
信息安全是政务信息化建设不可缺的支撑平台,没有信息安全的坚实保证,电子政务就无法推进与前行。信息安全的要求将贯穿
于整个信息化建设项目,因此,需要构建统一标准、统一规范、功能全面的安全保证系统,为大化瑶族自治县政务外网信息化业务提供切实可靠的信息安全保证,解决满足政务实际要求的安全保密性、信任和授权,以及安全监管等安全保证服务。 4.6.1 风险分析
信息系统的安全是围绕信息系统的组成及其所实现的功能,对信息系统的运行及其所储备、传输和处理的信息进行安全爱护所采取的措施。依照建设项目的组成与功能,分析其所面临的威逼,按照物理层、网络层、系统层、应用层和治理层面对其系统进行安全防护。
1.威逼分析
政务外网与互联网逻辑隔离。网络使用者既有通过Internet进入访问的合法用户,也有来自内部及接入单位的工作人员,因此网络面临着两个方面的安全威逼:
〔1〕外部威逼 1〕黑客扫描和入侵
来自Internet的恶意入侵者可能通过发起恶意扫描和远程溢出等攻击,渗透或绕过防火墙,进入政务外网,猎取、篡改甚至破坏数据,乃至破坏整个网络的正常运行。
2〕拒绝服务攻击
网站作为一个重要的信息公布、查询及对社会工作服务载体,专门容易受到恶意的大流量拒绝服务攻击,造成网站瘫痪,无法提供服务。
3〕病毒或蠕虫侵袭
Internet网络蠕虫病毒可能穿透防火墙,渗透内部网络,传播病毒。一旦遭受了病毒和蠕虫的侵袭,不仅会造成网络和系统处理性能的下降,同时也会对核心数据造成严峻威逼,导致业务应用中断。
〔2〕内部威逼
1〕无意识的外部风险引入
由于安全技能和安全意识存在差异,工作人员可能无意识将Internet上危险的、恶意的木马程序、恶意代码、蠕虫、网络病毒下载到内部网络,这将给内部网络安全带来严峻威逼。
2〕网络资源滥用导致新风险
因为各种IM即时通讯软件、网络在线游戏、P2P下载软件、在线视频导致网络资源滥用,网络性能下降,数据传输拥塞,严峻阻碍正常工作,形成新的威逼。
3〕内部有意破坏
需要考虑内部及各个接入单位中存在恶意破坏信息网络、系统和数据的可能。
2.脆弱性分析
从系统和应用动身,网络的自身脆弱性能够划分如下几个方面。
〔1〕物理层脆弱性
物理层次的漏洞通常会被物理临近攻击所威逼,包括未受爱护的机房,主机设备,未进行电磁屏蔽的线路,无线线路等。
〔2〕网络层脆弱性 1〕数据传输
由于现在专门多网络协议基于明文传输,客观上存在被窃听和篡改的可能,任何一个对通信进行监测的人都能够对通信数据进行截取。
2〕重要数据被破坏
目前尚无安全的数据库及个人终端安全爱护措施,还不能抵御来自网络上的各种对数据库及个人终端的攻击。储备数据关于该应急系统来说极为重要,假如由于通信线路的质量缘故或者人为的恶意篡改,都将导致难以想象的后果。
3〕网络边界
对网络中任意节点来说,其它所有网络节点差不多上不可信任域,都可能对该系统造成一定的安全威逼。
4〕网络设备
网络中使用的网络设备,其自身安全性也会直截了当关系到信息系统和各种网络应用的正常运转。
〔3〕系统层脆弱性
由于任何产品都不可幸免的存在本地溢出,竞争条件,远程溢出等脆弱性问题,因此系统本身的脆弱性是不可能完全幸免的。
〔4〕应用层脆弱性
网站是对外宣传、开展业务的重要基地。但Web服务器被发觉的安全漏洞越来越多,网站面临的安全问题不容忽视。
〔5〕治理层脆弱性
安全的本质是治理,七分治理三分技术。在治理技术、组织结构、人员治理、制度建设等方面必须全方位加强建设,杜绝信息孤岛、人为破坏。 4.6.2 设计原那么和依据 4.6.2.1 设计原那么
信息安全系统建设应遵循统筹规划,同步建设,安全可靠,经济有用,灵活方便,技术成熟,统一标准,统一规范的原那么进行。
1. 统筹规划,同步建设
做好统筹规划工作,制订总体方案。新建、改建、扩建网络平台及相应的业务系统,应当同步建设信息安全设施,保证信息安全与信息化建设相适应。
2. 安全可靠,经济有用
信息安全系统建设必须能够真正爱护整个系统,保证网络资源受控、合法、安全地使用。信息安全系统在差不多不阻碍系统功能和效率的前提下,须做到稳固、可靠地不间断运行。
信息安全系统的设计要在安全需求 、安全风险和安全成本之间进行科学的平稳、比较和折中,使整个信息安全系统安全、经济、适用,性能价格比合理。
3. 灵活方便,技术成熟
信息安全系统必须好用,并易于操作。同时要求信息安全系统承诺增加新的安全组件与安全功能,保证系统安全性不断增长的需要。技术与产品选型时以技术成熟为优先考虑的原那么。
4. 统一标准,统一规范
信息安全系统建设的各个部分都必须符合国家关于信息安全的法律、法规。 4.6.2.2 设计依据
本方案在设计时遵循了以下国家有关安全法规和文件的要求: 1.«关于印发信息安全等级爱护治理方法的通知»〔公通字[2007]43号〕;
2.运算机信息系统安全爱护等级划分准那么〔GB17859〕; 3.信息系统安全等级爱护差不多要求〔20070620 报批稿〕; 4.信息技术安全性通用评估准那么〔ISO15408/GB18336〕; 5.公安部、国家保密局、密码治理局和国信办联合公布«信息安全等级爱护方法»〔公通字[2006]第7号〕; 6.«电子政务信息安全等级爱护实施指南»;
7.«GA/T 390 运算机信息系统安全等级爱护通用技术要求»; 8.«GB/T 18336 信息技术安全性评估准那么»;
9.信息系统安全等级爱护实施指南 〔GB/T 25058-2020〕 〔基础类标准〕 ;
10.信息系统安全爱护等级定级指南 〔GB/T 22240-2020〕 〔应用类定级标准〕 ;
11.信息系统安全等级爱护差不多要求 〔GB/T 22239-2020〕 〔应用类建设标准〕 ;
12.GB/T 21052-2007 信息安全技术 信息系统物理安全技术要求 ;
13.GB/T 20984-2007 信息安全技术 信息安全风险评估规范 ; 14.GB/T 20285-2007 信息安全技术 信息安全事件治理指南 ; 15.GB/Z 20986-2007 信息安全技术 信息安全事件分类分级指南。
4.6.3 安全系统建设内容 4.6.3.1 物理环境安全建设
物理环境安全目的是爱护网络中运算机网络通信有良好的电磁兼容工作环境,并防止非法用户进入运算机操纵室和各种偷窃、破坏活动的发生。
物理安全要紧涉及环境安全〔防火、防水、防雷击等〕、设备和介质的防盗防破坏等方面。具体包括:机房选址、物理访问操纵、防盗窃和防破坏、防雷、防火、防水和防潮、防静电、温湿度操纵、电力供应和电磁防护等。 4.6.3.2 网络安全防护建设
本期项目建设大化瑶族自治县电子政务外网,为增强网络系统的可靠性和安全性,在公用网络区及互联网接入区均部署防火墙、入侵防备、入侵检测等安全设备。防火墙可视为一种IP封包过滤器,只
有符合安全策略的数据流才能通过防火墙,起到安全隔离、访问操纵的作用,具有专门强的抗攻击免疫力;IPS设备对流经该关键路径上的网络数据流进行2~7层的深度实时分析,能精确的识别并自动阻截专门报文与专门流量;IDS通过采取实时报警、事件登录,或执行用户自定义的安全策略,实现动态的安全爱护。网络安全防护系统的建设能满足大化县电子政务外网安全等级爱护二级要求。 4.6.3.3 业务应用安全建设
要紧指应用层的安全,包括程序安全、数据安全等。
程序安全建设在应用软件开发的各个时期,包括需求分析、设计、开发、爱护及最后的文档编写等应遵循国标«信息技术 软件安全保证规范»〔GB/T 30998-2021〕的要求。
数据的安全性将从以下2个方面进行考虑: 1.数据访问安全
依照不同内容的数据,以及不同级别的用户设置不同的数据访问权限。特定的数据〔例如经费批准打算,经费使用记录等〕只承诺通过专门授权的用户进行访问,其他系统的数据依照角色不同设置授权。同时,大化县电子政务外网通过购买key,利用key储备用户的私钥以及数字证书,保证用户认证的安全性。
2.数据传输安全
大化瑶族自治县电子政务外网的建设,外网线路传输达到国家建设安全标准。在远程进行数据访问和流程报批的过程中,通过数据压
缩传输,加密传输等方法和措施,保证远程数据传输安全性。 4.6.3.4 信任体系建设
本项目利用已建成的国家政务外网CA——广西RA中心〔下文简称为广西电子政务外网RA〕的数字证书建设信任体系。
政务CA指国家电子政务外网电子认证全国服务体系,是依靠政务外网,在全国范畴内为党委、人大、政府、政协、法院和检察院以及各级政务部门提供信任服务,为运行在政务外网上的业务系统和用户提供技术标准一致、格式统一的数字证书,确保一张证书全网畅通,为不同单位开发的不同系统平台的互联互通奠定基础。证书服务采纳集中受理、属地服务的模式,迅速、经济的为政务部门提供证书服务。
电子政务CA认证服务中心的建设是为了保证电子政务的应用安全,它的最终目标是在保证政务网络、应用安全的基础上,实现跨部门、跨地区信息资源共享、业务应用的互联互通。由外网信任源点作为根结点向广西RA注册中心统一签发数字证书,广西RA注册中心作为本地的根结点向本区域内分中心统一签发证书。电子政务外网CA认证服务体系结构示意图如下:
图5.6-1:电子政务外网CA认证服务体系结构 外网信任源点作为统一的根CA,由统一的机构实行对二级CA结点进行监督治理并签发二级证书。大化县政务外网覆盖范畴为县、乡镇一级,证书发放量较大,实行由区级统一签发证书,在河池市LRA进行证书申请与注册。
数字证书是为实现双方通信安全提供电子身份认证。在利用互联网、政务外网或局域网时,使用数字证书实现身份识别和电子信息加密。数字证书中含有密钥对所有者的信息识别,通过验证识别信息的真伪实现对证书持有者身份的认证。
随着系统运行,业务系统业务数据逐步增加,为保证系统数据的安全,构建统一的用户CA认证体系,并给系统用户发统一的数字认证证书,用户需使用数字证书的方式实现高强度的身份鉴别,且利用
key储备用户的私钥以及数字证书,保证用户认证的安全性。数字证书能够实现以下功能:
身份认证与授权:在信息的交换过程中,用于对双方进行认证,以保证交换双方身份的正确性;
通信保密性:用于保证需保密的信息通过网络传输过程中不被窃取;
访问操纵:针对应用系统,确保只有授权的访问用户方可使用应用系统。
4.6.3.5 建立健全信息化治理体制
建立分工明确、责任清晰、内容完善的信息化治理体制,强化信息化建设工作的统一治理和宏观把控,进行大化县电子政务信息化顶层设计。加紧完善大化县及乡镇一级的信息化治理体系,强化统筹和谐职能,明确大化县信息化工作的主管处室和实施机构。促进大化县电子政务外网建设工作,满足全区关于加强广西电子政务外网治理推进政务服务政务公布政府信息公布向基层延伸工作的要求。 4.6.4 安全域划分
1.安全域划分原那么
〔1〕业务保证原那么:安全域划分方法的全然目标是能够更好的保证网络上承载的业务。在保证安全的同时,还要保证业务的正常运行和运行效率。
〔2〕保证性能和有效隔离原那么:安全域划分应以不阻碍或损害业务信息系统的业务功能、性能为第一原那么,在保证业务的性能的基础上对系统进行安全域划分、进行有效地隔离和安全防护。
〔3〕简洁规范原那么:安全域划分的简洁把握三个方面:一个安全域功能和边界通信的简洁,二是安全域之间关系〔相连互通或隔离〕的简洁,三是系统安全域整体结构的简洁。这就要求安全域不可分的太细,也不可分的太粗,要适度,要保持整体上的简洁。
〔4〕等级爱护原那么:安全域的划分要做到每个安全域的信息资产价值相近,具有相同或相近的安全等级、安全环境、安全策略等。关于不同等级安全域的爱护,从业务数据流角度来看,要求高等级安全域承诺向低等级安全域发起业务访问的要求,保证发送数据的安全性,鉴别低等级安全域的合法性,对同意的数据进行完整性校验,对业务操作进行日志记录与审计;低等级安全域向高等级安全域只承诺受限访问,保证发送数据的完整性,对业务操作进行日志记录与审计。
〔5〕最小授权原那么:安全子域间的防护需要按照安全最小授权原那么,依据〝缺省拒绝〞的方式制定防护策略。防护策略在身份鉴别的基础上,只授权开放必要的访问权限,并保证数据安全的完整性、隐秘性、可用性。
〔6〕立体协防原那么:安全域的要紧对象是网络,然而围绕安全域的防护需要考虑在各个层次上立体防守,包括在物理链路、网络、主机系统、应用等层次;同时,在部署安全域防护体系的时候,
要综合运用身份鉴别、访问操纵、检测审计、链路冗余、内容检测等各种安全功能实现协防。
〔7〕与组织治理架构相适应的原那么:安全域的划分应与信息系统的治理组织架构相适应,原那么上由一个机构治理的信息系统部分应为一个或几个安全域。
〔8〕与系统进展相适应的原那么:安全域的划分应考虑到业务以后进展需要,在保持系统安全域模型相对稳固的前提下,能够顺利地进行调整、扩展和提升。
2.安全域划分结果
依照安全域划分原那么,依照安全策略执行的需要,大化县电子政务外网可划分为网络骨干域、网络安全接入区、县级网络局域网三大类安全域,其中各大类安全域依照业务及应用特点又可连续进行安全域细分。
〔1〕网络骨干域
网络骨干域指大化县城域网核心层。 〔2〕网络安全接入区域
网络安全接入区域指各县级政务部门局域网接入大化瑶族自治县政务外网的区域。
〔3〕县级网络局域网域
县级网络局域网域指大化瑶族自治县政务外网网络治理中心区域,能够进一步划分为互联网出口区、互联网服务区、公用网络区及网管区。
4.6.5 信息系统安全等级
从信息安全治理的角度来看,一样将运算机信息系统分为非涉密运算机信息系统和涉密运算机信息系统两类。其中,非涉密运算机信息系统是指不涉及国家隐秘的运算机信息系统,包括党政机关用于处理对外职能事务或用于政府上网工程的信息系统;企事业单位不涉及国家隐秘的信息系统;电信、科研、教育等部门向全社会提供的联接因特网的公众信息系统等。本项目信息系统差不多上属于工作隐秘即非涉密运算机信息系统范畴。
因此,针对大化县应用系统,要紧按照«GB/T 22240-2020 信息安全技术 信息系统安全等级爱护定级指南»的要求进行定级,同时依据«GB/T 22239-2020 信息安全技术 信息系统安全等级爱护差不多要求»进行安全建设。 4.6.5.1 等级划分思路
信息系统安全包括业务信息安全和系统服务安全,由于与之相关的受侵害客体和对客体的侵害程度可能不同,因此信息系统定级也应由业务信息安全和系统服务安全两方面确定。
〔一〕从业务信息安全角度反映的信息系统安全爱护等级,称为业务信息安全爱护等级。
〔二〕从系统服务安全角度反映的信息系统安全爱护等级,称为系统服务安全爱护等级。
确定信息系统安全爱护等级的一样流程如下:
〔1〕确定作为定级对象的信息系统。
〔2〕确定业务信息安全受到破坏时所侵害的客体。
〔3〕依照不同的受侵害客体,从多个方面综合评定业务信息安全被破坏对客体的侵害程度。
针对对客体不同危害后果的三种危害程度描述如下: 一样损害:工作职能受到局部阻碍,业务能力有所降低但不阻碍要紧功能的执行,显现较轻的法律问题,较低的财产缺失,有限的社会不良阻碍,对其他组织和个人造成较低损害。
严峻损害:工作职能受到严峻阻碍,业务能力显著下降且严峻阻碍要紧功能执行,显现较严峻的法律问题,较高的财产缺失,较大范畴的社会不良阻碍,对其他组织和个人造成较严峻损害。
专门严峻损害:工作职能受到专门严峻阻碍或丧失行使能力,业务能力严峻下降且或功能无法执行,显现极其严峻的法律问题,极高的财产缺失,大范畴的社会不良阻碍,对其他组织和个人造成专门严峻损害。
〔4〕依据业务信息安全爱护等级矩阵表,得到业务信息安全爱护等级。
〔5〕确定系统服务安全受到破坏时所侵害的客体。
〔6〕依照不同的受侵害客体,从多个方面综合评定系统服务安全被破坏对客体的侵害程度。
〔7〕依据系统服务安全爱护等级矩阵表,得到系统服务安全爱护等级。〔针对对客体不同危害后果的三种危害程度描述同第〔3〕点〕
〔8〕将业务信息安全爱护等级和系统服务安全爱护等级的较高者确定为定级对象的安全爱护等级。
按照上述步骤确定信息系统安全等级的一样流程如图 5.6-1所示:
1、确定定级对象2、确定业务信息安全受到破坏时所侵害的客体5、确定系统服务安全受到破坏时所侵害的客体3、综合评定对客体的侵害程度业务信息安全保护等级矩阵表6、综合评定对客体的侵害程度系统服务安全保护等级矩阵表4、业务信息安全保护等级7、系统服务安全保护等级8、定级对象的安全保护等级
图 5.6-1:信息系统安全爱护等级确定流程图
4.6.5.2 等级划分规那么
〔一〕业务信息安全爱护等级的确定 1、业务信息描述
本期工程要紧建设大化瑶族自治县电子政务外网,覆盖县本级城域网连接82个县直委办局单位,连接16个乡、镇人民政府,共98个单位。电子政务外网城域网采纳星型拓扑二层扁平化结构,即分为核心层和接入层两个层次。城域网的核心层部署两台核心交换机,接入层部署路由器、接入交换机等。在安全设备部署方面,公用网络区部署入侵检测、安全审计、防火墙等,互联网接入区实施策略路由、流量操纵、链路负载均衡策略,部署防火墙、入侵防备系统,满足电子政务外网安全建设要求。
2、业务信息受到破坏时所侵害客体的确定
大化瑶族自治县电子政务外网要紧是为大化县各办公人员提供一个办公的统一平台,所侵害的客体是要紧是公民、法人、集体和其他组织的合法权益,同时也侵害社会秩序和公共利益但不损害国家安全。客观方面表现的侵害结果为:〔1〕阻碍大化县各政务部门网上办公业务的开展,导致业务能力下降,造成不良阻碍等;〔2〕不当的信息指引、错误的决策支持都会造成不良阻碍,引起公共利益的损害等。一旦遭到破坏后,对社会秩序、公共利益、领导决策等要紧业务职能造成损害。
3、信息受到破坏后对侵害客体的侵害程度的确定
大化瑶族自治县电子政务外网一旦遭到破坏后,将导致大化县各政务部门的日常办公以及业务处理受到阻碍,容易造成业务系统数据的丢失,将对社会秩序和公共利益造成损害,使大化县各政务部门的工作职能受到一定阻碍,业务能力下降,属一样损害。
4、业务信息安全等级的确定
查«定级指南»表5.6-1知,业务信息安全爱护等级为第二级。
表5.6-1 业务信息安全爱护等级矩阵表
业务信息安全被破坏时所侵害的客体 公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全 对相应客体的侵害程度 一样损害 第一级 第二级 第三级 严峻损害 第二级 第三级 第四级 专门严峻损害 第二级 第四级 第五级 〔二〕系统服务安全爱护等级的确定 1、系统服务描述
大化瑶族自治县电子政务外网属于为单位业务的顺利开展提供服务的网络平台,其服务范畴及对象要紧是大化县各政务部门,要紧服务内容是横向接入县本级和乡镇单位、纵向连接国家、自治区、县级、乡镇、规范各政务部门网络接入,建设统一互联网络出口,为各政务部门提供互联网访问服务。
2、系统服务受到破坏时所侵害客体的确定
系统服务受到破坏后,所侵害的客体要紧是公民、法人、集体和其他组织的合法权益,同时也侵害社会秩序和公共利益。侵害的客观方面表现为:〔1〕对系统用户的合法权益造成侵害,阻碍网上办公业务的开展;〔2〕业务能力下降,造成不良阻碍,引起公共利益的损害等。
依照«定级指南»的要求,显现上述两个侵害客体时,优先考虑社会秩序和公共利益,另外一个酌情考虑。
3、系统服务受到破坏后对侵害客体的侵害程度的确定 系统服务受到破坏后,会对社会秩序和公共利益造成损害 ,使得用户单位的工作职能受到一定的阻碍,业务能力下降,部分阻碍要紧业务职能开展、领导决策等,属一样损害。
4、系统服务安全等级的确定
查«定级指南»表5.6-2知,系统服务安全爱护等级为第二级。
表5.6-2 系统服务安全爱护等级矩阵表
系统服务安全被破坏时所侵害的客体 公民、法人和其他组织的合法权益 社会秩序、公共利益 国家安全 对相应客体的侵害程度 一样损害 第一级 第二级 第三级 严峻损害 第二级 第三级 第四级 专门严峻损害 第二级 第四级 第五级 〔三〕安全爱护等级的确定
信息系统的安全爱护等级由业务信息安全等级和系统服务安全等级较高者决定,因此,大化瑶族自治县电子政务外网建设项目网络安全和应用系统安全爱护等级初步定为第二级。
表5.6-3 安全等级定级规划表
信息系统名称 安全爱护 业务信息安全 系统服务安全 大化瑶族自治县电子政务外网 第二级 第二级 第二级 4.6.6 安全防护系统
本项目安全防护系统将依照安全爱护等级第二级的要求进行设
计。本期项目建设的安全防护体系架构图如以下图所示:
图5.6-2:安全防护体系架构图
本期项目要紧建设大化县电子政务外网,外网安全等级定为二级。为使系统达到二级等保要求,网络安全区域划分边界,受控访问。边界互访综合采纳多种成熟的安全技术,多层面对信息网络系统保证。系统分别从网络、业务、物理、主机等方面考虑建设具体的安全防护措施。
〔一〕网络方面 1.互联网出口 〔1〕结构安全
互联网出口边界部署高性能、关键业务处理设备,出口链路采纳不同运营商两条线路,不仅满足承载业务和数据传输需要,也具有负载均担作用。
〔2〕网络爱护和复原
出口边界的上联和下联线路具有倒换和冗余机制,其相应技术指标满足网络和业务需要。
〔3〕访问操纵
在互联网出口与城域网的网络边界之间部署入侵防备检测访问操纵设备,启用访问操纵功能。
依照政务外网的承载能力,对网络中的广播、组播进行必要的操纵。
专用网络区和公用网络区采纳MPLS VPN技术隔离,专用网络区及公用网络区之间路由不可达,数据不能直截了当访问。
〔4〕安全审计
安全审计日志记录储存时刻为半年以上,能依照记录数据进行分析,生成审计报表,相关信息可报送安全治理系统。
2.城域网 〔1〕结构安全
城域网的核心层由两台高性能路由器组成,具有设备冗余,核心设备之间骨干保证对不同路由主备链路进行爱护,其链路带宽10Gbps满足业务需要。
能够依照接入单位地理位置和数量适当设置汇接节点。 〔2〕访问操纵
在城域网与用户接入边界及安全等级不同的网络边界配置相应的访问操纵策略。
公用网络区域互联网接入区等之间需要进行数据交换时,采纳防火墙、路由操纵等安全措施,对交换数据进行病毒扫描和审计。
3.用户接入
每个接入单位通过安全接入网关操纵,实现能够访问但不能同时访问政务外网和互联网。
〔二〕业务方面 1.公用网络区 〔1〕结构安全
公用业务服务器采纳统一规划的IP地址,保证跨部门、跨地区业务的交换与共享。
依照所部属系统的重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,按照方便治理和操纵的原那么为各子网、网段分配地址段。
按照业务服务的重要次序指定带宽分配优先级别,保证在网络发生拥塞时优先爱护重要业务的畅通。
〔2〕访问操纵
通过互联网或其他公众通信网络对公用网络区的信息系统进行远程访问时,采纳VPN网关、身份认证、IP地址绑定、审计等安全措施。
通过身份认证、授权治理系统等对公用网络区的信息系统进行爱护。
CA数字证书能够利用自治区已建CA证书,无需另行建设。 2.互联网接入区
如需对互联网接入区的信息系统或服务器进行远程爱护和治理,采纳身份认证、指定治理终端等安全措施。
能有效防止攻击行为:病毒攻击、端口扫描、木马后门、拒绝服务、缓冲溢出、IP碎片、SQl注入、跨站攻击和蠕虫攻击等。
具备流量分析操纵、专门告警灯功能,能区分 、、SMTP、POP3、P2P等各类网络协议并进行安全操纵。
此外,本项目还从物理安全、网络安全、主机安全、应用安全、数据安全、终端安全和安全治理体系等加强系统安全防护。
1.物理安全
物理环境安全目的是爱护网络中运算机网络通信有良好的电磁兼容工作环境,并防止非法用户进入运算机操纵室和各种偷窃、破坏活动的发生。
物理安全要紧涉及环境安全〔防火、防水、防雷击等〕、设备和介质的防盗防破坏等方面。具体包括:机房选址、物理访问操纵、防盗窃和防破坏、防雷、防火、防水和防潮、防静电、温湿度操纵、电力供应和电磁防护等。
本项目的机房改造内容包括:空调系统及新风系统、机房综合布线系统、机房环境监控系统等,详见机房及配套工程建设章节。机房的物理环境差不多能满足等级爱护二级的要求。
2.网络安全
网络安全防护将综合采纳多种成熟的安全技术,在网络结构、访问操纵、安全审计、入侵防范等多方面对信息系统进行安全保证。
(一)网络结构安全
核心设备关键部件如引擎、电源、风扇等均可支持冗余热插拔。
依照业务特点和安全需求划分安全区域;业务终端与业务服务器区之间进行路由操纵。
〔二〕访问操纵
在各个网络区域边界,分别部署防火墙进行安全隔离和访问操纵,支持链路状态检测,支持基于源地址/目标地址、协议和端口号的访问操纵,支持3层以下的网络攻击防护。
在国际互联网出口边界部署防火墙,在具备传统防火墙功能的基础上还支持基于应用、用户行为的访问操纵,支持基于应用的流量治理,实现对应用带宽的有效操纵。
〔三〕安全审计
部署1套网络安全审计系统,集成身份认证、基于角色的访问操纵及网络内容审计为一体,通过网络旁路侦听的方式对网络数据流进行采集、分析和识别,并对应用层协议进行完整还原,依照制定的安全审计策略进行审计响应,对业务系统核心系统和核心应用系统实现命令级别、访问逻辑级别的认证和审计。审计系统支持网站访问行为审计、邮件审计、论坛审计、即时通讯审计、文件上传下载审计、业务操作监控、数据库审计、网络应用行为审计、流量审计等。
〔四〕入侵防范
互联网接入区配置防火墙开启入侵防备检测功能,公用网络区边界部署1套网络入侵检测系统〔IDS〕。采纳全面深入的协议分析技术,结合模式匹配、协议识别、协议专门检测、关联分析等多种技术,准确识别各种攻击,能够检测接近100种的网络应用层协议;支持检
测蠕虫、网络病毒,包括Santy、Witty、Mydoom、Sasser、MS Blaster、SQL Slammer、Nimda以及Code-Red等,支持检测间谍软件,包括冰河木马、流光广外女生木马、Netspy木马、NetBus木马等,支持检测常见攻击行为,包括溢出攻击、暴力破解、SQL注入、DOS、扫描等攻击行为等;提供丰富的入侵阻断和响应方式,包括丢弃数据包、丢弃会话、操纵台告警、Email、日志数据库记录、snmp trap、防火墙联动、打印机以及用户自定义的行为。用于监控可能存在的入侵和攻击行为,实时监控并采集发生的安全事件和安全趋势。
3.主机安全
实施主机安全策略治理,确保主机的访问操纵、账户治理、口令策略、共享与服务、补丁及防病毒软件安装升级等方面的安全。
为提高主机系统安全性,保证各种应用的正常运行,对主机系统身份鉴别加固措施,要紧包括:
对登陆操作系统和数据库系统的用户进行身份验证,且保证用户名的唯独性,禁止多用户混用一个账号;
通过设备强制设定或通过制度来实现本要求配置用户名/口令,口令必须具备3种以上字符、长度许多于8位并定期更换;
主机开启安全事件日志,设备启用登陆失败处理功能,登陆失败后采取终止会话、限制非法登陆次数和自动退出等措施;
通过堡垒认证主机对爱护治理实现集中认证与授权。治理员在远程时启用SSH等治理方式,加密治理数据,防止数据被窃听;
堡垒主机启用双因子认证功能,对主机治理员登陆进行双因数认
证方式,采纳USB key+密码进行身份鉴别。
部署IPS进行入侵防范监测和报警;
开启主机的审计功能,结合网络安全审计系统进行统一审计; 部署网络版的杀毒软件,在所有服务器安装防病毒系统,使其免受病毒侵害;
4.应用安全
应用安全防护要紧包括应用系统的代码开发安全和应用系统投入运行后的安全防护。
〔1〕代码开发安全
为确保应用系统的安全,在应用系统开发之前就应确认系统的安全需求,并以此作为开发设计各时期的基础。在系统开发的各个时期,包括需求分析、设计、开发、爱护及最后的文档编写等应遵守各种安全规范。
应用系统的开发应遵循下面的原那么,以确保开发过程中的安全。 1〕系统开发应从业务需求的角度动身,不得盲目追求系统的先进性而忽略了系统的有用性。系统的开发是为了更好地满足业务上的需要,而不是技术上的需要。
2〕开发的方法和治理必须规范化、合理化、制度化,从而确保开发的质量和进度。
3〕应保证开发的进度并按时完成。确保开发工作及时、有效且高质量的完成。
4〕系统开发必须具有一定的前瞻性,符合主流系统的进展方向。
5〕提高和加强开发人员的安全意识。确保信息和关键技术可不能泄漏。
〔2〕安全防护
通过部署在国际互联网出口的下一代防火墙进行应用安全防护。 5.数据安全
对核心路由器、交换机等关键硬件设备和链路采纳冗余构架进行建设,并对配置进行数据备份。
6.终端安全
利用网络防病毒系统对办公终端进行病毒系统集中安装、升级治理。
部署政务外网终端安全治理系统,实现对办公终端的移动储备治理、补丁检测审计与补丁分发、客户端防病毒软件安装升级治理、终端桌面安全治理及审计等。
7.安全治理体系
安全治理体系设计要紧是依据«信息系统安全等级爱护级别要求»中的治理要求建设,具体包括:
〔一〕安全治理机构
安全治理机构的任务包括统一规划各级网络系统的安全,制定完善的安全策略和措施,和谐各方面的安全事宜等。依照差不多要求设置安全治理机构的组织形式和运作方式,明确岗位职责:
设置安全治理岗位、设立系统治理员、网络治理员、安全治理员等岗位,依照要求进行人员分配,成立指导和治理信息安全工作的委
员会或领导小组,其最高领导由单位主管领导委任或授权;指定文件明确安全治理机构各个部门和岗位的职责、分工和技能要求;
建立授权与审批制度; 建立内外部沟通合作渠道;
定期进行全面安全检查,专门是系统日常运行、系统漏洞和数据备份等。
〔二〕安全治理制度
安全治理制度体系是规范和指导安全治理全部活动的一整套完善、严密、纵横联系的程序和方法,以确保人人各司其职,各尽其责,忠于职守,勤奋工作,各项信息安全活动做到规范化、高效率化,并在各职能部门和环节之间分工、和谐地进行,从而建立起全网安全保证机制。要紧安全治理规章制度如下:
〔1〕物理与环境安全治理制度
1〕场地与设备安全治理制度。包括:机房物理位置防护、安全物理操纵、防火、防水、防盗、防雷击、机房爱护〔如:采纳屏蔽机房等〕等配套设施,以及出入操纵等治理制度。
2〕设备、线路、电源治理制度:包括:设备的采购、保管、使用、保养、修理制度。
3〕储备介质治理制度:包括媒体数据治理制度。 〔2〕系统安全治理制度
1〕安全设备治理制度:包括对防火墙、IDS、漏扫等的设置、调整和审计进行治理等。
2〕虚拟专网治理制度:依照业务、区域划分VPN,对VPN的设置、调整和运行进行治理。
3〕软件系统治理制度:包括操作系统、数据库治理系统、数据共享库监控、应用软件系统和网络治理软件的运行、爱护治理制度。
4〕网络资源备份治理制度:包括对网络所有资源进行冗余备份治理等。
〔3〕网络运行安全治理制度
1〕安全治理中心治理制度:对网络进行实时监控,并对特点库定期升级。
2〕运算机病毒防治治理制度:包括全网统一防杀病毒、定期升级病毒库等制度。
3〕信息备份治理制度:对信息资源进行备份,包括异地备份、自动备份、人工备份等制度。
〔4〕信息安全保密治理制度
1〕身份识别和密钥治理制度:包括用户登录治理制度〔电子钥匙和电子令牌治理、指纹库治理等〕,用户身份识别治理制度〔对上网用户进行身份验证,并依照用户权限发放电子证书等〕等。
2〕访问权限治理制度:对用户权限进行治理。
3〕安全审计治理制度:对用户操作进行审计,记录重要的和违规的操作等。
4〕内部评估制度:定期对网络进行安全漏洞扫描,对漏洞进行修补,并定期升级漏洞库等。
5〕人员治理制度:包括用户行为规范、岗位人员标准、人员的聘用与解聘、岗前培训与上岗制度、安全宣传教育治理制度。
8.其他本卷须知 1〕安全产品采购和使用
①安全产品采购和使用应符合以下要求:
②应确保安全产品采购和使用符合国家的有关规定; ③应确保密码产品采购和使用符合国家密码主管部门的要求; ④其同一类别的安全产品原那么上应采纳同一品牌的产品。 2〕安全服务商选择
①安全服务商选择应符合以下要求:
②应确保安全服务商的选择符合国家的有关规定;
③安全服务商应具备国家相关部门颁发的安全服务资质证书; ④应与选定的安全服务商签订与安全相关的协议,明确约定相关责任;
4.7 运行爱护系统设计
4.7.1 运维系统总体规划
大化瑶族自治县电子政务外网项目运维支撑系统分为三个子系统:监控治理子系统、资源治理子系统和运维治理子系统。在具体实现上,遵循国家电子政务外网的功能和接口规范要求。大化瑶族自治县电子政务外网运维支撑系统总体功能架构如图5.7-1所示。
图5.7-1:运维支撑系统总体架构图
1.监控治理子系统
监控治理子系统要紧包括对网络、网络单元进行静态信息的采集,故障和性能监视,采集相关的故障和性能表征参数,评判网络和网络单元的状态和有效性,支持网络分析和网络规划。监控治理子系统能够显示拓扑结构,并提供拓扑节点的级联菜单,为运维人员提供综合性的网络信息显示功能。
2.资源治理子系统
资源是指需要独立进行分配、爱护和监控,且具有配置、性能和故障等信息的物理或逻辑对象。资源治理子系统要紧用于治理大化瑶族自治县政务外网相关资源,提供相关资源的配置信息,把握各种资源的配备及使用情形,对资源进行统一规范治理。
3.运维治理子系统
运维治理子系统用于运维支撑系统的统一爱护治理工作,它要紧提供两大类治理功能:面向服务流程的治理功能和面向运维生产的治理功能。运维治理子系统通过流程治理和工单治理的支撑使日常的运维工作流程化,职责角色清晰化,还能够保留业务痕迹为业务统计、
考核、监督提供基础数据。 4.7.2 总体技术方案
运维支撑系统采纳分层设计方法,系统架构如图5.7-2所示。
图5.7-2:运维支撑系统架构图
1.数据采集层
数据采集要紧完成从各个被管对象,猎取它们的性能、告警以及配置信息的功能。
采集对象是依照系统治理对象,分为平台类和应用类对象,包括网络、主机、数据库、中间件、储备备份以及应用系统自身状态采集等。采集内容是采集被管对象的信息类型,包括性能、告警、配置信息的采集。
2.功能层
从系统架构设计角度,功能层除了包括监控治理子系统、资源治理子系统、运维治理子系统三个业务系统外,还包括用于治理系统本身的相关用户及其访问权限的权限治理子系统,以及提供开放、标准、规范的接口功能的接口子系统。各子系统由数据流和工作流提供基础支撑、互相调用。
3.展现层
大化瑶族自治县电子政务外网运维支撑系统统一接入门户是系统各类用户猎取系统功能与服务的入口和交互界面,为各类用户提供了一个统一的应用操作平台,通过统一的安全认证和授权治理,可实现对各种应用服务的安全访问。使用者能够在统一的用户界面上对业务支撑网的应用部件和平台部件进行集中监控、集中爱护与集中治理,实现多点接入、单点操作。 4.7.3 部署方案
1.部署方式
大化瑶族自治县电子政务外网运维支撑系统采纳集中部署方式,运维人员通过远程登录系统的方式,实现对网络的运行监控。
2.监控范畴
大化瑶族自治县电子政务外网网管监控系统的监控对象包括:县级横向城域网所有网络设备、安全设备、服务器和系统软件。
4.8 要紧软硬件选型原那么和详细软硬件配置清单
4.8.1 系统配置及软硬件选型原那么
设备选型配置上遵循先进有用、稳固可靠、成熟开放、满足要求的原那么,优先选用自主可控知识产权的设备,确保系统的顺利实施与稳固运行。
〔一〕网络设备选型原那么
1.所选用的关键设备具备电信级设备能力,全部网络设备均符合国家和国际标准,具有国家颁发的网络设备入网证件。
2.网络设备在技术上具有先进性和成熟性。
3.网络设备自身具有一定的安全防护特性,所选用的网络设备应提供一定的自我安全防护功能。
4.良好的可扩展能力和互联互通互操作特性,达到国家的互联互通要求。
5.良好的治理性能。
6.使用自主可控的国产化设备。
7.性能优良、配置合理、具备良好的性能价格比和扩充能力。 〔二〕安全设备选型原那么
1.关键设备具备电信级设备可靠性能力,党政机关部署的信息网络设备和应用系统必须是安全可靠的。通用设备应当选用政府采购名目中的国产产品,安全保密产品必须通过保密安全检测并符合保密规定和标准,密码产品应当选用国家密码治理部门批准的产品,病毒防护产品应当选用公安机关批准的国产产品。。
2.具有良好的可扩展能力和互联互通互操作特性。 3.技术成熟、性能先进、使用可靠。
4.产品高度智能化、技术含量高,并具有良好的治理性能。 5.性能稳固、配置合理、具备良好的性能价格比。 6.满足国家对安全的要求。 7.优先使用国产设备。 〔三〕服务器设备选型原那么
1.按照先进、有用的原那么、采纳成熟的技术和开放体系结构。 2.系统具有高可靠性、高可用性、高服务性。
3.性能优良、配置合理、具备良好的性能价格比和扩充能力。 4.选择技术领先、市场和技术前景好的厂家的产品。 〔四〕要紧软件选型原那么 1.适用性好,满足需求
要紧考虑依照项目的需求选择最适用的软件,专门注意专用需求的满足程度,同时考虑有利于实施并使二次开发工作量最小。
2.开放性
要紧考虑了操作系统的开放性,以及软件产品本身的开放性,即与其它软件产品的兼容、衔接。
3.先进性。
4.商品化程度及应用成效。 5.软件商对用户可提供的支持程度。
软件商对用户可提供的支持直截了当阻碍实施进程,判定软件商支持力量的强弱,要紧看能否针对用户需求提出有针对性的措施和对用户提出问题解答和解决的中意程度,二要了解技术支持人员的实际
体会。
6.性能价格比。 7.使用方便性、稳固性。 4.8.2 系统软硬件部署方案
在公用网络器,部署1台云一体机,分别部署杀毒软件、业务监控运维平台以及DHCP、DNS等,安全审计系统、入侵检测系统、服务器汇聚交换机以及防火墙等;在互联网区部署出口路由器、防火墙、入侵防备等。
4.9 机房及配套工程设计
4.9.1 设计原那么
1.标准性。严格按照国家和行业关于运算机机房的有关标准设计。 2.先进性。在满足可靠性和有用性的前提下,采纳先进的技术和设备,使机房系统达到或接近国际国内先进水平,确保机房系统长期有效的运行。
3.可靠性。在意外情形下的抗干扰性和快速补充性,保证各个环节都安全可靠。
4.有用性。在充分考虑机房系统功能完善的基础上,使其性价比达到最优。
5.整体性。机房工程是一个整体,应充分考虑各系统的布局、格调、色调及成效的一致性和整体性。
6.扩展性。在满足现时期的需求上,还能在空间布局、系统容量、配电容量等方面有充分的扩展余地,便于系统可进一步开发及适应以后的更新换代。
7.安全性。机房的设计与建设必须确保机房的安全可靠,充分考虑防水、防火、防盗、防雷、防干扰、电力故障、通讯故障、非法入侵、降噪、接地及地面承重等安全问题并采取有效措施。
8.可治理性。采纳的各类机房设备应具有智能化、可治理的能力,能通过建立全面、完善的集中监控和治理系统,实现实时监控机房的运行状况,能及时发觉专门情形和故障,提高机房运行的安全性和可靠性。
9.人机工程。在机房设计和建设过程中应依照人机工程原理,考虑机房工作人员的便利、舒服。 4.9.2 设计目标
机房建设目标是建立一个高效、节能、安全、稳固、绿色环保、具有高可靠性、高经济性、高扩展性、高可用性、高可治理性的机房,使之成为大化瑶族自治县电子政务外网核心处理中心,顺利完成各级各部门之间数据交换和共享,更好地为电子政务建设服务。 4.9.3 设计方案
〔一〕本项目机房建设位于大化瑶族自治县党政办公大楼电子政务外网治理中心机房,机房面积约为20平方米。目前,在大化县政务服务中心现有2台舒服性空调,1个服务器机柜,1台3KVA UPS
主机。服务器机柜会迁移至新建的机房大楼中。
大化瑶族自治县党政办公大楼五楼机房已具备网络接入、空调、UPS、动环监控等差不多条件,本项目机房环境将按照国家GB/T 50174-2020的C类机房标准对现有机房进行建设。
本期项目机房布置图如以下图所示:
图5.9-1:机房布置平面图
〔二〕设计标准规范:
1.«电子运算机场地通用规范»〔GB 2887-2000〕 2.«电子信息系统机房设计规范»(GB50174-2020) 3.«电子信息系统机房施工及验收规范»〔GB_50462-2020〕
4.«运算机场地安全要求»〔GB 9361-2020〕 5.«运算机机房活动地板技术条件»〔GB 6650-86〕 6.«通风与空调工程施工与验收规范»〔GB50243-2002〕 7. «低压配电设计规范»〔GB50054-95〕 8.«智能建筑建筑设计标准»〔GB/T 50314-2000〕 9.«供配电设计规范»〔GB 50052-95〕 10.«建筑物防雷设计规范»〔GB 50057-94〕
11.«建筑物电子信息系统防雷技术规范»〔GB 50343-2004〕 12.«火灾自动报警系统设计规范»〔GB 50116-98〕 13. «运算机机房施工及验收规范»〔SJ/T30003-93〕 〔三〕设计方案
装修工程、电气配电、防雷接地、综合布线、消防、空调新风、安防、环境监控等。
1.机房区域划分
机房区域划分为主机房区、电池区和监控区。主机房区要紧用于放置机柜、布线架、空调、消防设备等;电池区要紧用于放置UPS、配电柜等;监控区要紧用于放置监控显示屏、桌椅等辅助设备。机房区域划分需考虑以下5点:
〔1〕尽量增加主机房有效面积的利用率,便于机房设备、服务器机柜的合理摆放。
〔2〕机房平面和空间布局应具有灵活性,便于设备增容或区域扩建。
〔3〕尽量合并和减少辅助机房区域面积,提高主机房利用面积。
〔4〕出口通道合理布局,便于机房治理人员、爱护、参观访问人员合理分流,表达机房整体的美观形象。
〔5〕便于设备摆放和人员操作,满足空调制冷、配电的需求。 2.机房装修
〔1〕防静电活动地板
1〕机房地板规格600*600*35mm,敷设高度不小于400mm;均布荷载:大于1000KG/平方米;集中荷载:大于200KG;电阻抗≤107Ohm。考虑到机房是原作为办公室使用,地面承重不足600KG/平方米,不符合机房承重要求,本项目将进行承重加固处理,采纳角钢焊承重架固定在地面,增加该面积区域承重能力。
2〕活动地板下的地面和四壁装饰,要做平坦度处理,保证空调送风系统效率。选用不起尘、不易积灰、易于清洁的材料,做防尘处理后基层采纳防尘漆刷二道,并刷防火油漆。
3〕为减轻机房空调负荷,降低空调运行费用和防止凝露现象,机房地面要安装保温层,敷设厚橡塑棉保温层,在此基础上表面铺铝箔层,起到防尘、保温顺承诺踩踏的作用。地面垫层宜配筑,爱护结构宜采取防结露措施。
4〕安装防静电地板时,要求安装静电泄漏系统,活动地板泄露干线采纳BVR-6m2导线与支架连接,其连接点许多于四处,通过静电泄漏干线和机房安全爱护地的接地端子封在一起,将静电泄漏掉。
〔2〕天花吊顶
吊顶板安装高度为2.9m,机房净高2.5m,防火B1级,天花吊顶
采纳微孔铝合金吊顶,微孔吊顶有屏蔽、易清洗、自重轻、不燃烧、耐腐蚀、防尘吸音、施工方便等功能。
1〕天花吊顶面板材料选用优质铝板或钢板压制而成,具有良好的强度和塑性,正常使用情形下可不能下凸变形,能够长期保持挺括、平坦。金属面板易于剪切,面板边为倒角边,拼接紧密。吊顶上部的原顶面、梁、墙面、柱面等均刷防尘漆作处理,保证机房的洁净度。
2〕采纳先穿孔后涂漆的严正工序,保证漆层的完全,且不使漆膜粘连微孔,标准板采纳1522的孔型,保证空调所需通风量。
3〕天花饰面选用防污、防腐、最为耐用的聚酯粉末漆。标准板采纳RAL 9010白色,20%的光着度的光面板。
4〕微孔板内附一张等规格的吸音纸,减少噪音和过滤灰埃。吊顶上部空间作为敷设电器及消防管线。在楼层顶面敷设黑色橡塑保温材料。
5〕考虑到要保持机房内的洁净,机房内顶面均做防尘处理。 〔3〕墙面
依照C级机房规范,机房墙面要求平坦、不起尘,因此,本项目对机房墙面采纳多层刮灰、防水防霉墙面漆处理,对机房与其他区域的缝隙予以填实,幸免虫、鼠入内。
〔4〕隔断
各功能区之间的隔断采纳钢化玻璃隔断。隔断边框大小规格按照实地勘察情形运算,边框饰面采纳亚光不锈钢板包饰,玻璃采纳钢化玻璃。玻璃的厚度均为12mm厚。
玻璃周边用透亮玻璃胶固定和修边,边框饰面采纳亚光不锈钢板包饰,隔断支架采纳L40等边角钢制作,按现场规格焊接固定后涂刷防锈漆。隔断支架作好后,再包上9-12mm厚的纸面石膏板作内衬板,最后包亚光不锈钢板面板。
3.配电系统 〔1〕动力配电系统
1〕机房供电采纳三相五线制供电系统,采纳双回路供电。频率变化50Hz±0.2Hz,电压变化380V/220V± 5%,波形失真率小于±5%。
机房进线电源由用户拉线到机房门口〔三相五线制16平方铜芯线〕;分为三组进电电源〔二组为市电供电,一组为备用〕。
2〕用电设备作接地爱护,并入土建大楼配电系统;
3〕机房用电设备、配电线路装置过流过载两段爱护,同时配电系统各级之间有选择性地配合,配电以放射式向用电设备供电;
4〕机房配电系统所用电线为阻燃聚氯乙烯绝缘导线,敷设喷塑桥架、镀锌铁管及金属软管。
5〕机房的设备供电和空调照明供电分为两个独立回路,其中设备供电由UPS提供并按设备总用电量的1.3倍进行预留,而空调照明用电由市电提供并按空调设备的要求供配。
6〕机房内的配电系统考虑了与应急照明系统的自动切换。 7〕机房设计了一个配电箱,对机房的市电进行配电,配电箱为机房专用标准配电箱,配备ABB低压开关。柜内配有市电备用回路,安装防雷爱护器。配电箱为机房专用标准配电箱,配备ABB低压开关。
箱内配有UPS电源备用回路,安装防雷爱护器。
8〕机房所有插座均采纳一般电源插座和弹起式铜插座,一般电源插座安装在墙壁上,弹起式电源插座安装在防静电地板上,美观大方。
4.UPS系统
UPS系统在市电和发电机系统停止供电后,在无间断的状况下对原有负荷连续供电。一方面是保证运算机不丢失信息和数据,另一方面是保证设备的安全。机房内电子信息设备采纳UPS供电线路供电。
按机房负载总功率为18KW,加上自治区政务外网广域落地设备以及其他设备〔消防、监控、应急照明〕用电5KW,用电总功率为23KW,预留30%的余量,那么需要配置30KVA的UPS,后备时刻2小时。
5.防雷系统
机房雷电防护应当符合«建筑物电子信息系统防雷设计规范»A级标准。
〔1〕电源线路防护
1〕在机房大楼总配电箱处安装一台箱式电源防雷器,作为机房电源一级防雷爱护。第一防护区之后的各分区交界处应安装限压型浪涌爱护器。
2〕在机房楼层配电箱安装一台模块式电源防雷器,作为机房电源二级防雷爱护,应配置二端口〔串联型〕SPD标称放电电流不小于20KA。
〔2〕地网
依照规范,机房接地系统宜采纳联合接地点式,接地电阻应小于等于4Ω的要求进行地网设计。
1〕机房接地应优先考虑采纳建筑物的自然接地网。联合接地的优点确实是尽可能减少雷击时相互连接设备间的电压差,最大可能地实现等电位。机房的接地装置包括机房内接地聚拢环、聚拢铜排、设备接地线等。
2〕机房接地网〔室外人工接地体的设置可为水平带状型、放射型或闭合环型,可依照现场具体情形而定〕。
3〕采纳4套50*5*350接地铜排作为机房接地聚拢环排,沿机房四周地板平均布置〔固定在防静电地板下〕,采纳BV-50mm2的铜线作为机房闭合均压接地聚拢环;
4〕采纳BV-6mm2的铜线作为机房内正常工作不带电的金属外壳〔如机房的金属门窗、金属吊顶、防静电地板支撑架、设备外壳等〕的接地线,接到接地聚拢环上;
5〕机房内电源电涌爱护器的接地线采纳BV-16mm2的铜线。接到接地聚拢排,长度不宜超过1米,信号电涌爱护器的接地线采纳BV-4mm2的铜线与接地聚拢环相连,长度不宜超过1米;
6〕采纳BV-50mm2的铜线作为机房接地聚拢环引下线,共2条,接到机房内的建筑柱主钢筋〔采纳铜铁过渡接头连接);
7〕每隔18米埋设一套抓DK-AGc。电解地极,作为要紧降低接地电阻材料。即:为满足该地网接地电阻R≤4Ω的技术要求,在地网水平接地线上,平均布设DK-AGC电解地极,通过电解质向地表深
层和四周的泄放,将地网改造成半球体,采纳等效半球体接地原理进行降低接地电阻。
6.综合布线系统 〔1〕机柜布置 1〕服务器机柜设备部署
服务器机柜每机柜安装的服务器数目以4-5台为宜,配线架间隔2U,托盘间隔6U;机柜底部为统一的光配线架与电口配线架,连接至独立配线机柜。
2〕网络机柜设备部署
网络机柜每机柜安装的网络设备,假设大小为6U-10U ,那么不宜超过2台;假设大小为4U,那么不宜超过4台;假设大小为1U,那么不宜超过8台;机柜底部为统一的光口配线架与电口配线架,连接至独立配线机柜。
3〕电口配线柜设备部署
电口配线柜应独立设置,其配线架与设备机柜的配线架通过双绞线互连;电口配线柜安装1-10个48口2U配线架,间隔为1U。
4〕光口配线柜设备部署
光口配线柜应独立设置,其配线架与设备机柜的配线架通过光纤互连;光口配线柜安装1-16个24芯1U光配线架,间隔为1U。
〔2〕综合布线
机房综合布线系统是机房区域信息传输的纽带,要保证布线系统的有用性、全面性、可靠性和可爱护性。布线系统要求距离尽量的短
而整齐,排列有序,结合〝田〞字形和〝井〞字形两种方式。
机房综合布线具体内容有:强电布线、弱电布线,其中强电布线和弱电布线均放在金属布线槽内,布线槽尺寸可依照线量的数量考虑留有余量〔一样是100×50或者50×50〕。强电线槽与弱电线槽之间的距离应保持至少5cm以上,幸免并排敷设,并采取相应的屏蔽措施,相互之间不能穿越,以防止电磁干扰。
〔1〕强电布线:在每个机柜和设备邻近安排相应的电源插座,插座的容量为10A及16A。电源的线缆直径应依照电源插座的容量留有一定的冗余。所有强电布线采取过电压爱护措施。必须考虑线缆阻燃要求。所有电缆的镀锌金属走线槽或镀锌走线钢管都应该布设在地板下面或吊顶内。
〔2〕弱电布线:机房弱电布线要紧超五类网线和多模光纤等,参考标准TIA942中的以主配线区域MDA为布线治理的核心采纳星型结构分布的布线方式,方便地解决各个设备与路由实际应用与治理。
7.空调制冷
在机房中,诸如环境、温度、湿度、洁净度,以及工作人员和设备的散热量等都会对运算机及附属设备工作的稳固性、可靠性造成危害。空调系统具有送风、回风、加热、加湿、冷却、减湿和空气净化的功能,能坚持机房内恒温、恒湿状态,并操纵机房内的含尘量。因此需要空调来坚持特定的温度、湿度和洁净度来保证机房高效的运行。
〔1〕环境要求
空调系统开机时主机房的温、湿度应达到C级机房要求。温度恒
定操纵在18℃-28℃,温差1-2℃之内,湿度恒定操纵在35~75%,空气洁净度大于等于0.5微米/升<18,000,换气次数/小时>30,新风量30m3/人.小时,机房正压>10Pa。
〔2〕空调配置
机房要紧的热负荷来源于设备的发热量及爱护结构的热负荷。如不具备精确运算的条件,也可依照建筑负荷与设备负荷估算法进行测算。
依照本项目的实际情形,制冷需求运算如下:
机房面积为20m2,用面积估算法,取系数为0.35kW/m2,那么需求制冷量为:Qt=20m2×0.35kW/m2=7kW;
依照以上运算结果,配置1台5匹柜式空调,差不多满足机房设备制冷需求。
8.接地系统
接地装置是增快静电泄漏和导流,使带电物体的静电荷得以顺利泄出和迅速导走,以幸免静电积聚。
〔1〕采纳联合接地。
活动静电地板、饰面金属塑板墙、不锈钢玻璃隔墙等材料均采纳导线布成泄漏网,接地电阻应不大于1,并用干线引至动力配电柜中交流接地端子。
〔2〕为防止感应雷、侧击雷沿电源线进入机房损坏机房内的重要设备,在电源配电柜电源进线处安装浪涌防雷器,或者在运算机设备电源处使用带有防雷功能的插座板。
9.消防系统
机房消防系统七氟丙烷气体灭火系统,在机房上方采纳无管网布置气体消防喷头,在火灾发生时快速对机房设备区域喷射七氟丙烷气体。
机房顶面安装温感及烟感,监视机房火情。自动消防灭火系统具备自动监测火情、自动报警、自动切断电源和启动自动灭火系统设备或通过其他应急设施,实现消防系统的自动化。
10.照明系统
机房内照明装置宜采纳机房专用无眩光灯盘,由市电供电,其照明度>400LX,市电断电时,通过分电柜中的自动投切装置自动投换UPS供电作应急照明,其照明度>60LX。
11.安防系统
机房作为信息系统的核心重地,需要保证绝对的安全,需要建立一个结合视频监控和门禁结合系统,通过指纹读卡器检测并记录开关状态、开门时刻、门区及责任人等统计资料。也能够实时监控到进入机房的人员以及对非法闯入进行报警和录像,为机房的安全提供保证。
12.机房爱护和治理制度
通过建立规范的运维和治理制度,保证运算机设备的电力连续供应和供电质量与环境符合设备运行要求,同时不断降低运行爱护成本。
〔1〕爱护和治理内容
制度的建设要从治理角度明确机房治理工作的原那么和工作目标,确立各单位和各部门的工作职责范畴,明确工作职责和岗位设置。
通过制定机房治理相关方法,明确将机房按照重要性程度进行分类,并制定了不同层次的治理要求。
制度建设要从技术角度,明确机房建设和环境动力设施配备的标准和规格,一方面使机房的建设能够达到统一的设计水平,满足一段时期的使用和进展要求,另一方面能够防止过高标准所带来的资源白费。
制度建设要从后续的爱护角度,明确机房环境设施的技术爱护要点和要求,防止显现只重视建设轻视爱护治理的局面。通过制订机房相关环境动力设施爱护规范,确定机房环境设施的差不多爱护要求,确保及时发觉故障隐患,把问题消灭在萌芽时期。
〔2〕治理体系制度
治理体系制度包括三层:第一层:程序手册〔工作手册〕;第二层:各类操作手册、爱护手册、应急手册等;第三层:操作规范、工作流程、操作流程等。
〔3〕机房治理制度
机房治理制度包括:人员治理、机房规划治理、应急治理、机房安全防范治理、机房监控治理、机房建设技术规范、机房环境设施爱护规范等方面。
〔4〕机房运维制度
机房运维制度包括:机房环境设施爱护文档、爱护技术治理、爱护治理演变、爱护工具与材料使用方法、爱护档案、爱护规范等方面。
第五章 项目建设与运行治理
5.1 领导和治理机构
1.项目建设领导小组
本项目由大化瑶族自治县电子政务外网项目建设工作领导小组统一领导,负责项目建设与运行的领导工作。研究推进县电子政务外网项目实施打算,和谐解决县电子政务外网项目在组织实施过程中的存在问题,监督检查项目实施工作。
2.项目建设办公室
项目建设应在相关主管部门的统一领导下,成立〝大化瑶族自治县电子政务外网项目建设工作领导小组〞〔以下简称〝领导小组〞〕,统一组织、和谐本项目的建设工作。在领导小组下设〝大化瑶族自治县电子政务外网项目建设办公室〞〔以下简称〝外网项目办〞〕,作为项目建设的执行机构。
图6.1-1:项目组织机构图
5.2 项目实施机构
1.具体实施机构
项目建设办公室是本项目的实施机构,负责项目的具体实施、治理和爱护。项目治理办公室由项目综合组、工程组、财务治理组、安全组、运维组五个工作小组组成,人员要紧由发改局有关部室的人员组成,各工作组在项目建设的各个时期明确职责、分工合作。
2.专家咨询机构
为保证项目建设的科学性,在项目建设过程中,将聘请信息化领域专家成立专家咨询委员会,为项目的设计与实施提供咨询;审议工程总体设计方案,对重大技术问题进行论证,参与工程项目的检查、评估和验收等。
5.3 运行爱护机构
大化瑶族自治县电子政务外网由大化瑶族自治县进展和改革局负责治理、运行及爱护。
5.4 运行爱护治理措施
大化瑶族自治县电子政务外网网络运维治理遵循集中监控、集中治理原那么。大化瑶族自治县政务外网治理机构负责运维治理本项目建设的大化县城域网,确保网络和各级政务外网应用稳固运行,防止发生对自治区级广域骨干网的攻击事件,保证广西电子政务外网广域网安全。
在大化瑶族自治县电子政务外网建设和治理和谐小组的领导下,要紧做好以下几项工作:
1.建立沟通机制。
大化瑶族自治县政务外网治理机构和各县直政务部门接入单位之间设立沟通渠道,建立定期和不定期的故障排除沟通机制,建立良好的问题排查机制,明确故障排查顺序,在制度上保证网间通信故障的准确定位和及时排查。
2.制定事件处置预案。
制定科学合理的安全事件处理预案,明确安全事件处理流程,降低故障复原时刻,保证网络通畅和日常工作正常进行。
3.制定安全案件处置预案。
针对发生的信息系统安全事件,为了便于警方查案,保留证据,同时保证信息系统安全运行,减少对正常业务造成的阻碍,本项目在运行中需加强对安全案件处置的治理,制定相应的安全处置预案,提高对信息安全案件的处置能力。
4.加强培训机制,建立人才队伍。
加强运维治理人员的技术和治理策略培训,通过标准化的流程和相关制度约束,保证网管策略自上向下地有效贯彻。加大人才培养力度,建立鼓舞长效机制,培养明白技术、明白治理、熟知业务的专业人才队伍。
5.建立考核评判体系。
建立有效的考核评判体系,明确运行指标,实现量化治理,并配
套行政手段,督促治理措施的落实。
6.治理制度化、规范化。
网络运维治理过程中各参与要素的行为准那么和工作程序制度化、规范化,提供高质量网络服务。
第六章 人员配置与培训
6.1 人员配置打算
在保证项目建设质量和进度,保证系统的安全与正常运行爱护的前提下合理配置技术人员。依照项目建设期和试运行期间对技术人员的特点和要求的不同以及业务量的多少,可按需要动态调整人员的配置。
1.项目建设期间
本项目建设办公室下属各工作组人员要紧由县发改局抽调人员组成,具体人数依照业务工作需要,可动态配置工作人员,组建3个项目工作组,即项目综合组、工程技术组、项目监督组,每组工作人员2-3名。
2.项目运行期间
参考其他县做法,可在大化瑶族自治县进展和改革局增挂大化瑶族自治县电子政务外网治理中心牌子,承担大化瑶族自治县政务外网运维治理职责。同时充实人员,配置1-2名专职人员负责,由县政府落实相应编制和经费。
6.2 人员培训方案
为了使系统部署后能够在大化瑶族自治县运行业务中得到充分利用,需要对相关人员进行系统功能、系统操作和相关基础知识等方面的培训,以加强使用人员对系统的了解和把握,提高使用效率。应针对大化瑶族自治县的实际情形对相关人员进行专业培训,以确保建
成后的系统能稳固的运行,培训将针对如下要求进行。
1.培训目的
项目培训的目的是使操作及运维人员更深的了解大化瑶族自治县电子政务外网项目差不多理论和方法,通过培训后能够胜任项目的运行治理工作,以保证大化瑶族自治县电子政务外网项目的稳固运行。
2.培训目标
通过培训工作的开展,要达到如下目标:
〔1〕操作及运维人员了解指挥中心治理的背景、差不多理论和方法;
〔2〕操作及运维人员把握对多系统、跨平台、跨部门协同治理和运行机制的方法;
〔3〕操作及运维人员熟悉指挥中心治理信息系统的使用操作; 〔4〕操作及运维人员学会并应用本方案中的指挥中心调度治理机制;
〔5〕操作及运维人员把握运算机网络系统、数据中心、及其他配套子系统设备的安装、调试和日常爱护等操作;
〔6〕操作及运维人员把握网络安全差不多知识,建立网络安全意识;
〔7〕操作及运维人员把握数据库差不多知识,能够进行安装、调试和日常爱护。
3.培训对象及方式
本项目的培训能够分成针对县治理爱护部门人员的治理、爱护培
训和针对各单位信息化治理人员的业务培训两种。
〔1〕治理爱护培训。要紧针对治理、爱护人员,内容要紧包括有关政策、标准、规划、方案、运维等电子政务综合理论知识。
〔2〕业务培训。要紧针对各单位信息化建设治理人员进行,讲解各单位接入大化瑶族自治县电子政务外网,进而与全区、全国电子政务外网相连的有关技术、业务问题。
4.培训方式 〔1〕集中培训
集中培训能够在系统推广应用前,组织相关人员〔如操作使用人员、系统爱护治理人员等〕进行。
〔2〕现场培训
现场培训能够在系统应用时,由系统技术支持部门提供现场培训服务。
〔3〕网络培训
将集中培训和现场培训等内容制作成多媒体课件的形式,用户方技术人员人能够通过网络随时、随地通过课件进行学习。通过长期的网络化的培训来更新、强化和深化技术队伍的技术能力。
5.培训人数
在项目建设和试运行期间,打算有 50人参加针对项目的集中培训。培训费按300元/人*天运算,共2天。项目建设期人员培训打算如表 7.2-1所列:
表7.2-1:项目建设期人员培训打算表〔单位:人*天〕
培训人数 50 培训天数〔天〕 2 合计 100
因篇幅问题不能全部显示,请点此查看更多更全内容