【正文】 類信息數(shù)據(jù)庫，各單位的應(yīng)用軟件系統(tǒng)和信息數(shù)據(jù)庫在政務(wù)網(wǎng)上實現(xiàn)。 政務(wù)網(wǎng)建成后，全區(qū)縣黨政機關(guān)有了統(tǒng)一的信息交換和應(yīng)用服務(wù)平臺，實現(xiàn)以市、縣、鄉(xiāng)鎮(zhèn)信息共享庫為主體，各委、辦、局、鎮(zhèn)、鄉(xiāng)信息共享庫為基礎(chǔ)的按權(quán)限、分層次的信息共享機制，將來還可以為各部門和鄉(xiāng)鎮(zhèn)提供 VPN 服務(wù)等一系列增值服務(wù)。 (3)視頻會 議系統(tǒng)：實現(xiàn)政務(wù)網(wǎng)內(nèi)縱向及系統(tǒng)間橫向的多點視頻會議，提供實時培訓服務(wù)，湖南工業(yè)職業(yè)技術(shù)學 院 網(wǎng)絡(luò)技術(shù)專業(yè)教學資源庫 3 節(jié)約會議費用，提高工作效率。主要提供給政務(wù)網(wǎng)內(nèi)的所有用戶進行查詢，供鄉(xiāng)鎮(zhèn)及局、委、辦瀏覽，實現(xiàn)信息共享，提高信息的利用率。隆昌作為一個重要的對外開放城市， 要進一步深化改革、擴大開放、 加快發(fā)展， 打造“工貿(mào)強縣”和風格獨具的“新興經(jīng)典文化旅游城市”，迫切需要加快信息化的建設(shè)進程，加快電子政務(wù)建設(shè)步伐。 對其它政府部門 公文傳送、數(shù)據(jù)共享、上情下達； 專項業(yè)務(wù)系統(tǒng)的數(shù)據(jù)接口，如 工商系統(tǒng)、財政系統(tǒng)、統(tǒng)計系統(tǒng)、審批系統(tǒng)、社保系統(tǒng)等，實現(xiàn)聯(lián)合辦公。網(wǎng)絡(luò)中心硬件 平臺是支持電子政務(wù)應(yīng)用系統(tǒng)高效、安全、穩(wěn)定運行的基礎(chǔ)設(shè)施，相對 PC 機它的使用壽命較長，一經(jīng)建設(shè)就相對固定，不宜常更新和改造，因此網(wǎng)絡(luò)中心硬件平臺建設(shè)必須有一定的先進性和前瞻性，保證滿足未來 35 年內(nèi)的應(yīng)用需求，選用性能價格比最好的設(shè)備，既避免不必要的超前投資，又防止因重復(fù)投資或設(shè)備可用性差被過早淘汰造成的浪費。 實用性和經(jīng)濟性：從實用性和經(jīng)濟性出發(fā)，兼顧近期目標和長遠發(fā)展，選用先進的設(shè)備，進行最佳性能組合，利用有限的投資構(gòu)造性能最佳的網(wǎng)絡(luò)系統(tǒng)。 可管理性：集中式的管理和監(jiān)控系統(tǒng)，方便網(wǎng)絡(luò)的管理和維護。隆昌電子政務(wù)網(wǎng)絡(luò)平臺采取 VPN(虛擬專網(wǎng) )組網(wǎng)方式建設(shè)，通過設(shè)在中心機房唯一的湖南工業(yè)職業(yè)技術(shù)學 院 網(wǎng)絡(luò)技術(shù)專業(yè)教學資源庫 6 互聯(lián)網(wǎng)出口與外部網(wǎng)絡(luò)相聯(lián)。 具體到技術(shù)層面，除了傳統(tǒng)的防病毒、防火墻等安全措施以外，電子政務(wù)特殊的安全需求還主要表現(xiàn)在以下幾個方面： （ 1） 內(nèi)外網(wǎng)間安全的數(shù)據(jù) 交換 電子政務(wù)應(yīng)用中勢必存在內(nèi)網(wǎng)與專網(wǎng)、外網(wǎng)間的信息交換需求，基于對內(nèi)網(wǎng)數(shù)據(jù)保密性的考慮，我們不希望內(nèi)網(wǎng)暴露在對外環(huán)境中。另一方面，由于隔離網(wǎng)閘僅抽取數(shù)據(jù)交換進內(nèi)網(wǎng)，因此，內(nèi)網(wǎng)不會受到網(wǎng)絡(luò)層的攻擊，這就在物理隔離的同時實現(xiàn)了數(shù)據(jù)的安全交換。要加強電子政務(wù)網(wǎng)絡(luò)的控制與管理能力，可以采用基于 帶網(wǎng)絡(luò)接入認證功能的交換機來實現(xiàn)。 湖南工業(yè)職業(yè)技術(shù)學 院 網(wǎng)絡(luò)技術(shù)專業(yè)教學資源庫 7 （ 4） 標準可信時間源的獲取 時間在電子政務(wù)安全應(yīng)用上具有其特定的重要意義。操作系統(tǒng)的漏洞或配置不當將有可能導致整個安全體系的崩潰。具湖南工業(yè)職業(yè)技術(shù)學 院 網(wǎng)絡(luò)技術(shù)專業(yè)教學資源庫 8 體路由如上圖綠色曲線所示，其中政務(wù)外網(wǎng)核心路由器和電信 T64E 之間使用 VLAN 透傳技術(shù)， T64E 之間使用 VPLS 技術(shù)?？h核心路由器接一臺防火墻，防火墻再與縣電信公司的匯聚交換機相連上互聯(lián)網(wǎng)，電子政務(wù)外網(wǎng)用戶上互聯(lián)網(wǎng)通過本地信息中心的 NE20 根據(jù)路由策略選擇是上互聯(lián)網(wǎng)還是上電子政務(wù)外網(wǎng)，如是上互聯(lián)網(wǎng)則通過防火墻再連接到電信互聯(lián)網(wǎng)網(wǎng)絡(luò)中。由于基礎(chǔ)硬件平臺的建設(shè)是電子政務(wù)實施的關(guān)鍵所在，所以數(shù)據(jù)中心應(yīng)該建設(shè)在一個安全、可靠、穩(wěn)定的基礎(chǔ)環(huán)境中?？紤]到日后 對 VOIP、視頻等多業(yè)務(wù)的支持，方案采用千兆主干、百兆到桌面的網(wǎng)絡(luò)架構(gòu)。在接入層中，主要提供各單位的用戶接入，所以要求多端口的交換機，同時要求交換機能提供千兆上行接口，可以為用戶留下更大的線路選擇空間。 網(wǎng)絡(luò)管理區(qū) 網(wǎng)絡(luò)管理區(qū)可以部署一些與網(wǎng)絡(luò)管理相關(guān)的服務(wù)器，例如對網(wǎng)絡(luò)設(shè)備的管理，對系統(tǒng)管理的服務(wù)器，對接入用戶管理的服務(wù)器等等，對整個系統(tǒng)進行統(tǒng)一有效的管理。 首先整個 TOP 圖有 3 個出口，分別為互聯(lián)網(wǎng)出口、電子政務(wù)外網(wǎng)出口、電子政務(wù)內(nèi)網(wǎng)出口，全部是 100M 直連光纖。 電子政務(wù)外網(wǎng)設(shè)備部署情況： 電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)之間部署： 網(wǎng)閘，千兆核心服務(wù)器交換機、 4 臺服務(wù)器。商密產(chǎn)品定點銷售和生產(chǎn)單位：貨物提供商必須是國家商用密碼產(chǎn)品定點生產(chǎn)單位，并具有商用密碼產(chǎn)品銷售許可證。 用于黨政網(wǎng)與電子政務(wù)外網(wǎng)（ B 級安全）具有軍標認證：投標貨物需提供中國人民解放軍信息安全產(chǎn)品測評認證中心提供的測評認證證書，且認證等級應(yīng)在軍 B 級以上。 網(wǎng)絡(luò)安全系統(tǒng) 防火墻系統(tǒng) 防火墻概述 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或同一網(wǎng)絡(luò)不同安全域之間的一系列部件的組合。 防火墻是網(wǎng)絡(luò)安全的屏障，可以強化網(wǎng)絡(luò)安全策略，對網(wǎng)絡(luò)存取和訪問進行監(jiān)控審計。如允許從外部訪問某些主機，同時禁止訪問另外的主機。外部用戶也只需要經(jīng)過一次認證即可訪問內(nèi)部網(wǎng)。未設(shè)置防火墻時，網(wǎng)絡(luò)安全取決于每臺主機的用戶。它隱 藏了被保護對象大量的網(wǎng)絡(luò)細節(jié)和一些安全問題。很多防火墻廠商在銷售完防火墻以后并不針對客戶的情況幫助完善防火墻規(guī)則。例如，對于很多客戶必須開放的 80， 服務(wù)，通過 CGI 程序的漏洞進行攻擊，其破壞可能是毀滅性的。 最后，大部分防火墻主要用來防止外部攻擊，一旦攻擊點在網(wǎng)絡(luò)內(nèi)部，它就沒有任何作用。 防火墻解決的問題 湖南工業(yè)職業(yè)技術(shù)學 院 網(wǎng)絡(luò)技術(shù)專業(yè)教學資源庫 14 通過部署防火墻，可以解決以下問題： 1）對進出網(wǎng)絡(luò)的數(shù)據(jù)流進行控制，阻止惡意數(shù)據(jù)包進入網(wǎng)絡(luò)。 5）限制內(nèi)部高速流量、帶寬管理。其傳播速度極快、破壞力更強。 因此計算機病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考濾的重要的環(huán)節(jié)之一。 殺毒技術(shù) 殺毒技術(shù)通過對計算機病毒代碼的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。 在數(shù)據(jù)中心門戶網(wǎng)站部署 1 套瑞星殺毒軟件 2020 企業(yè)版，實現(xiàn)門戶網(wǎng)站系統(tǒng)的病毒預(yù)防、檢測和殺毒功能?？稍谏婷芫W(wǎng)絡(luò) 之間、涉密網(wǎng)絡(luò)不同安全域之間、涉密網(wǎng)絡(luò)與內(nèi)部網(wǎng)之間、內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間信任的進行專用數(shù)據(jù)信息的安全交換。 安全隔離與信息交換系統(tǒng)架構(gòu)主要由內(nèi)網(wǎng)處理模塊、外網(wǎng)處理模塊和安全檢測與控制處理模塊三部分構(gòu)成。 根據(jù)數(shù)據(jù)流的邏輯關(guān)系，為有效保護數(shù)據(jù)庫中有效信息的安全，建議在 WEB 服務(wù)器與數(shù)據(jù)庫服務(wù)器之間部署物理隔離交換設(shè)備 —— 安全隔 離與信息交換系統(tǒng)，利用安全隔離與信息交換產(chǎn)品的信息擺渡技術(shù)，在確保內(nèi)部與 WEB 服務(wù)器完全物理隔離的前提下，還能夠?qū)?shù)據(jù)庫服務(wù)器內(nèi)的數(shù)據(jù)信息提供給外網(wǎng)主頁服務(wù)器，通過主頁服務(wù)器完成對各種信息的發(fā)布。 嚴格隔離內(nèi)外區(qū)域 使用高速安全隔離電子開關(guān)，支持單向或雙向網(wǎng)絡(luò)連接，即外部區(qū)域連通則內(nèi)部區(qū)域不通，內(nèi)部區(qū)域連通則外部區(qū)域不通，保證內(nèi)、外部區(qū)域在物理鏈路層上是完全斷開的?？商峁┩晟频娜罩緫{證。 湖南工業(yè)職業(yè)技術(shù)學 院 網(wǎng)絡(luò)技術(shù)專業(yè)教學資源庫 17 3. 數(shù)據(jù)中心規(guī)劃設(shè)計 通過前面部分對隆 昌縣網(wǎng)絡(luò)基礎(chǔ)及安全平臺的搭建，負責為整個縣級公文處理，數(shù)據(jù)交換。從內(nèi)容上，數(shù)據(jù)中心涉及業(yè)務(wù)資源數(shù)據(jù)庫、交換資源數(shù)據(jù)庫和宏觀決策數(shù)據(jù)庫；從功能上，分為生產(chǎn)區(qū)、交換區(qū)和決策區(qū)；從層次上，分為縣、市兩級數(shù)據(jù)中心，在每個市級只建一個數(shù)據(jù)中心，并與省中央數(shù)據(jù)中心相對應(yīng)。由于基礎(chǔ)硬件平臺的建設(shè)是電子政務(wù)實施的關(guān)鍵所在，應(yīng)該建設(shè)在一個安全、可靠、穩(wěn)定的基礎(chǔ)環(huán)境中。應(yīng)根據(jù)服務(wù)器實現(xiàn)的應(yīng)用采用不同系列的服務(wù)器和操作系統(tǒng)，對于關(guān)鍵應(yīng)用，應(yīng)考慮系統(tǒng)是否具有支持多種應(yīng)用程序和多種平臺的健壯性、可靠性等特性。 最大可能保證數(shù)據(jù)的安全 對于一個系統(tǒng)的信息系統(tǒng)來說， 如果沒有一套成熟、可靠的數(shù)據(jù)存儲和備份解決方案，一旦發(fā)生意外，將造成不可估量的損失，因此數(shù)據(jù)的存儲和備份是整個系統(tǒng)能否持續(xù)可靠運行的關(guān)鍵。整體拓撲如 圖 6 所示 ： 圖 6 隆昌縣電子政務(wù)外網(wǎng)數(shù)據(jù)中心拓撲圖 湖南工業(yè)職業(yè)技術(shù)學 院 網(wǎng)絡(luò)技術(shù)專業(yè)教學資源庫 19 總體設(shè)計概要 根據(jù)縣級電子政務(wù)外網(wǎng)數(shù)據(jù)中心的業(yè)務(wù)應(yīng)用需求和發(fā)展規(guī)劃，需要多臺服務(wù)器組成的服務(wù)器群才能支持各種應(yīng)用，但服務(wù)器的數(shù)量可以根據(jù)縣電子政務(wù)外網(wǎng)應(yīng)用發(fā)展的步驟逐漸增加。 作為高可靠的冗余配置。 根據(jù)隆昌縣數(shù)據(jù)中心的實際情況，我們對服務(wù)器存儲分成兩個區(qū)域： 一、電子政務(wù)外網(wǎng)：數(shù)據(jù)中心核心所在，集合自動化辦公，公文處理，數(shù)據(jù)交換等應(yīng)用，部署兩臺核心數(shù)據(jù)庫服務(wù)器，通過雙機熱備軟件，各自加配一張 HBA 卡，連接至后端光纖磁盤陣列中，完成核心數(shù)據(jù)的存儲。除此之外，能夠提供連續(xù)可用的可靠性，能夠適應(yīng)各種網(wǎng)絡(luò)環(huán)境的擴展能力，考慮到前期數(shù)據(jù) 量不是很大，應(yīng)用較為簡單，本著“統(tǒng)一部署，統(tǒng)一管理”的建設(shè)方針，同樣設(shè)計采用虛擬服務(wù)器技術(shù)，配置高性能的虛擬服務(wù)器一臺，通過多平臺虛擬軟件，合理分配資源，滿足應(yīng)用。如果沒有一套成熟、可靠的數(shù)據(jù)存儲解決方案，一旦發(fā)生意外，將造成不可估量的損失。 電子政務(wù)外網(wǎng)數(shù)據(jù)庫系統(tǒng)采用 ORACLE RAC 集群并行計算方式，以防止數(shù)據(jù)庫由于訪問量過大而導致的服務(wù)中斷。 對于互聯(lián)網(wǎng)的數(shù)據(jù)備份同樣采用如此的配置。應(yīng)具備很強的實時處理能力 和海量級存儲能力。通過雙機熱備軟件實現(xiàn)業(yè)務(wù)高可用性。考慮到業(yè)務(wù)量的擴展，服務(wù)器還應(yīng)該具有很好的擴充能力，以滿足系統(tǒng)未來的發(fā)展需求。 數(shù)據(jù)庫服務(wù)器（系統(tǒng)主機）主要為用戶提供數(shù)據(jù)存儲、資源開發(fā)等數(shù)據(jù)庫服務(wù)。雖然采用磁盤陣列用來作為“在線存儲”數(shù)據(jù)，但是僅有 1 手數(shù)據(jù)安全級別依然不夠，因此增加 1 套備份系統(tǒng)，配置一套專業(yè)的備份服務(wù)器、一套備份軟件和 1 套自動加載磁帶機系統(tǒng)。 設(shè)備選型設(shè)計 電子政務(wù)數(shù)據(jù)中心后臺部分主要由電子政務(wù)應(yīng)用系統(tǒng)構(gòu)成，分 WEB 服務(wù)器、應(yīng)用服務(wù)器和數(shù)據(jù)庫服務(wù)器等。 另外，根據(jù)用戶需求， WEB 門戶網(wǎng)站， DNS 管理，前端數(shù)據(jù)庫服務(wù)器果考慮本身磁盤擴展性小的問題，通過光纖交換機，也可接入到后端磁盤陣列中，既提高磁盤擴展容量，又實現(xiàn)業(yè)務(wù)應(yīng)用分割，安全無縫接入，多系統(tǒng)平臺支持，充分體現(xiàn) SAN 架構(gòu)高效管理性和靈活性。所有核心數(shù)據(jù)庫數(shù)據(jù)，通過一臺備份管理服務(wù)器，直連一個 8 槽位的自動磁帶加載機，由備份軟件定義的安全策略，實現(xiàn)無人值守自動備份，減輕系統(tǒng)管理人員的負擔。這樣，任一臺服務(wù)器、服務(wù)器上的通道卡、 光纖交換機，磁盤陣列都是業(yè)界主推的 SAN 光纖存儲區(qū)域網(wǎng)絡(luò)中 。而且服務(wù)器可以訪問 SAN 上的任何一個存儲設(shè)備，提高了數(shù)據(jù)的可用性。 基于以上的設(shè)計原則，下面將從服務(wù)器、存儲系統(tǒng)和數(shù)據(jù)備份各方面對隆昌縣數(shù)據(jù)中心的主機系統(tǒng)作出總體規(guī)劃。所以本方案的重點之一是提供核心應(yīng)用的服務(wù)器系統(tǒng)的湖南工業(yè)職業(yè)技術(shù)學 院 網(wǎng)絡(luò)技術(shù)專業(yè)教學資源庫 18 高可用性設(shè)計，不僅應(yīng)該提供可靠性高的硬件設(shè)備，還需要配備相應(yīng)的容錯、冗余等技術(shù)手段，并盡量減少單點故障。需要配置門戶網(wǎng)站、前臺數(shù)據(jù)庫服務(wù)器、后臺數(shù)據(jù)庫服務(wù)器、 DNS 服務(wù)器、其他應(yīng)用服務(wù) 器等。 數(shù)據(jù)中心既是電子政務(wù)外網(wǎng)的物理匯接中心，又是數(shù)據(jù)的存貯中心、信息的處理、發(fā)布中心和網(wǎng)絡(luò)的運行管理中心，是各級各部門開展各項電子政務(wù)應(yīng)用和服務(wù)的統(tǒng)一基礎(chǔ)硬件平臺。 數(shù)據(jù)中心主要功能 數(shù)據(jù)中心是為政府信息化辦公提供技術(shù)支撐和數(shù)據(jù)支撐為目的，提供公文信息數(shù)據(jù)的構(gòu)建、保存、更新、集成、分發(fā)與共享，以及提供存證、容災(zāi)、備份等信息服務(wù)的基礎(chǔ)環(huán)境，實現(xiàn)數(shù)據(jù)的集中存放和應(yīng)用的集中處理。為了確保電子政務(wù)內(nèi)網(wǎng)與電子政務(wù)外網(wǎng)數(shù)據(jù)的安全：采用網(wǎng)絡(luò)安全隔離系統(tǒng)（網(wǎng)閘）實現(xiàn)政務(wù)外網(wǎng)與政務(wù)內(nèi)網(wǎng)數(shù)據(jù)的安全交換。 定制安全策略 為指定應(yīng)用提供 數(shù)據(jù)交換，通過與具體應(yīng)用的結(jié)合，極大地提高了系統(tǒng)的安全系數(shù)，避免了開放 TCP/IP 通用服務(wù)造成的安全隱患?？稍谏婷芫W(wǎng)絡(luò)之間、涉密網(wǎng)絡(luò)不同安全域之間、涉密網(wǎng)絡(luò)與內(nèi)部網(wǎng)之間、內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間信任的進行專用數(shù)據(jù)信息的安全交換。安全隔離與信息交換系統(tǒng)的設(shè)計思路和工作模式源于采用人工手動進行數(shù)據(jù)傳輸?shù)姆绞健? 安全隔離與信息交換系統(tǒng)原理 安全隔離與信息交換系統(tǒng)的工作原理是模擬人工在兩個隔離網(wǎng)絡(luò)之間的信息交換。 另外，根據(jù)數(shù)據(jù)流的邏輯關(guān)系，為有效保護數(shù)據(jù)庫中有效信息的安全，建議在門戶系統(tǒng)和數(shù)據(jù)交換系統(tǒng)之間部署隔離交換設(shè)備 —— 安全隔離與信息交換系統(tǒng)，利用安全隔離與信息交換產(chǎn)品的信息擺渡技術(shù)，在確保數(shù)據(jù)交換系統(tǒng)內(nèi)部數(shù)據(jù)庫服務(wù)器與 WEB 服務(wù)器完全隔離的前提下，還能夠?qū)?shù)據(jù)庫服務(wù)器內(nèi)的數(shù)據(jù)信息提供給外網(wǎng)主頁服務(wù)器，通過主頁服務(wù)器完成對各種信息的發(fā)布。一旦發(fā)現(xiàn)與病毒代碼庫中相匹配的病毒代 碼，反病毒程序會采取相應(yīng)處理措施（清除、更名或刪除），防止病毒進入網(wǎng)絡(luò)進行傳播擴散。這類技術(shù)有，加密可執(zhí)行程序、引導區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等）。網(wǎng)絡(luò)一旦被病毒侵入而發(fā)作，將會對重要數(shù)據(jù)的安全、網(wǎng)絡(luò)環(huán)境的正常運行帶來嚴重的危害。 7）防止內(nèi)部、外部惡意攻擊。 3）防止未授權(quán)的惡意訪問。 防火 墻部署必要性說明 從數(shù)據(jù)中心的網(wǎng)絡(luò)可以看出，數(shù)據(jù)中心的網(wǎng)絡(luò)不是一個封閉的網(wǎng)絡(luò)，存在