【正文】 第 4 頁(yè) 目 錄 第一章 XXX 電子政務(wù)網(wǎng)絡(luò)建設(shè) 技術(shù)方案 ......................................................... 6 項(xiàng)目概述 .............................................................................................. 6 需求分析 .............................................................................................. 7 方案設(shè)計(jì)原則 ....................................................................................... 9 方案設(shè)計(jì)的依據(jù) ................................................................................. 10 辦公業(yè)務(wù)內(nèi)網(wǎng)設(shè)計(jì) .............................................................................. 10 方案拓?fù)浼昂?jiǎn)述 ................................................................................. 10 辦公業(yè)務(wù)外網(wǎng)設(shè)計(jì) .............................................................................. 14 IP 地址設(shè)計(jì)及路由策略 ...................................................................... 15 系統(tǒng)管理平臺(tái) ..................................................................................... 16 網(wǎng)絡(luò)設(shè)備選型 ........................................................... 錯(cuò)誤 !未定義書(shū)簽。 設(shè)備推薦及大致預(yù)算 ............................................................................ 錯(cuò)誤 !未定義書(shū)簽。 接入路由器 ................................................................................... 錯(cuò)誤 !未定義書(shū)簽。 第 5 頁(yè) 郵件系統(tǒng) ....................................................................................... 錯(cuò)誤 !未定義書(shū)簽。此后，政府信息化建設(shè)日益提到各級(jí)政府的工作議程，受到廣泛的重視。 根據(jù)國(guó)務(wù)院頒發(fā)的《全國(guó)政府系統(tǒng) OA 建設(shè) 2020－ 2020 年規(guī)劃綱要》，電子 政府被定義為政府機(jī)構(gòu)應(yīng)用現(xiàn)代信息通信技術(shù)，把管理和服務(wù)通過(guò)網(wǎng)絡(luò)技術(shù)進(jìn)行集成。據(jù)統(tǒng)計(jì)，政府占有及利用的信息占社會(huì)信息總量的 80%以上。因此，數(shù)字政府應(yīng)運(yùn)而生。受理各類(lèi)申請(qǐng)、投訴、建議和要求。 需求分析 具體建設(shè)目標(biāo) XXX 政府辦公業(yè)務(wù)網(wǎng)絡(luò)是一個(gè)覆蓋全縣黨政機(jī)關(guān)、企事業(yè)單位的綜合性信息網(wǎng)絡(luò)，它上與 XXX 市政府 辦公業(yè)務(wù)平臺(tái)連接，下與所屬單位相連。 三、公文辦理傳輸系統(tǒng)：充分利用覆蓋 XXX 全縣的城域網(wǎng)和已有的內(nèi)部網(wǎng)絡(luò)環(huán)境，構(gòu)建覆蓋全縣的安全可靠的政府公文數(shù)據(jù)中心及傳輸交換平臺(tái)，實(shí)現(xiàn)在 政府機(jī)關(guān)內(nèi)網(wǎng)跨平臺(tái)的電子公文交換，對(duì)上連接 XXX 政府。 第 8 頁(yè) 重點(diǎn)工程 XXX 政府辦公業(yè)務(wù)的重點(diǎn)工程（一站、兩網(wǎng)） XXX 政府門(mén)戶(hù)網(wǎng)站（公網(wǎng)）的建設(shè) XXX 門(mén)戶(hù)網(wǎng)站系統(tǒng)是在互聯(lián)網(wǎng)上體現(xiàn) XXX 風(fēng)貌和對(duì) XXX 為 民服務(wù)的窗口。政務(wù)外網(wǎng)是四大班子的業(yè)務(wù)專(zhuān)網(wǎng)，主要運(yùn)行各部門(mén)面向社會(huì)的專(zhuān)業(yè)性服務(wù)業(yè)務(wù)和不需在內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)， 包括 電子公文綜合處理、 網(wǎng)上電子審批系統(tǒng)、內(nèi)部網(wǎng)絡(luò)信息采集發(fā)布系統(tǒng) 、領(lǐng)導(dǎo)決策支持與查詢(xún)系統(tǒng)、多媒體視頻點(diǎn)播系統(tǒng)、視頻會(huì)議系統(tǒng)、IP 電話(huà)系統(tǒng)等部分 。 本階段的建設(shè)任務(wù) XXX 行政中心辦公業(yè)務(wù)工程 本本 階階 段段 的的 建建 設(shè)設(shè) 任任 務(wù)務(wù) 是： XXX 政府辦公業(yè)務(wù)內(nèi)網(wǎng)（含機(jī)要網(wǎng)） XXX 政府辦公業(yè)務(wù)外網(wǎng) 辦公業(yè)務(wù)公文辦理傳輸系統(tǒng) XXX 政府門(mén)戶(hù)網(wǎng)站 第 9 頁(yè) XXX 政府辦公業(yè)務(wù)網(wǎng)絡(luò)安全建設(shè) 方案設(shè)計(jì)原則 先進(jìn)性與現(xiàn)實(shí)性 我們?cè)O(shè)計(jì)的 系統(tǒng) 在技術(shù)上須體現(xiàn)高度的先進(jìn)性。 系統(tǒng)與軟件的可靠性 在網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)中，很重要的一點(diǎn)就是網(wǎng)絡(luò)的可靠性和穩(wěn)定性。 系統(tǒng)安全性與保密性 隨著計(jì)算機(jī)技術(shù)的發(fā)展，尤其是網(wǎng)絡(luò)和網(wǎng)絡(luò)間互聯(lián)的規(guī)模的擴(kuò)大，信息和網(wǎng)絡(luò)的安全性日益受到重視，面臨十分嚴(yán)肅的安全性挑戰(zhàn)。 易擴(kuò)充性 隨著計(jì)算機(jī)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)系統(tǒng)面臨的任務(wù)將愈來(lái)愈艱巨，愈來(lái)愈復(fù)雜。 XXX 政府辦公業(yè)務(wù)內(nèi)網(wǎng)總體結(jié)構(gòu)分為核心層和接入層，使用 VlAN 技術(shù)進(jìn)行業(yè)務(wù)和部門(mén)的隔離，保證網(wǎng)絡(luò)的安全；配置靈活的組件化的網(wǎng)管系統(tǒng)，提供高效快捷的全網(wǎng)集中網(wǎng)絡(luò)管理。 內(nèi)網(wǎng)設(shè)計(jì) （ 1）利用三層交路由換機(jī)作為網(wǎng)絡(luò)核心設(shè)備， 100M 雙絞線連接新辦公樓樓層接入交換機(jī)。 方案二 整個(gè)系統(tǒng)分為五大部分：核心設(shè)備區(qū)，內(nèi)網(wǎng)接入?yún)^(qū)域，服務(wù)器區(qū)域，鄉(xiāng)鎮(zhèn)接入?yún)^(qū)域，移動(dòng)辦公接入?yún)^(qū)域。 （ 4）移動(dòng)辦公區(qū)域：考慮到移動(dòng)用戶(hù)比較少，因此通過(guò)防火墻以 2M 的帶寬接入inter，遠(yuǎn)程用戶(hù)通過(guò) VPN 安全隧道技術(shù) 與防火墻建立 vpn 隧道，同時(shí)，在防火墻上進(jìn)行各種安全防護(hù)設(shè)置，即 可保證移動(dòng)用戶(hù)安全的接入辦公內(nèi)網(wǎng)。 XXX 政府辦公業(yè)務(wù)外網(wǎng)同樣分為核心層和接入層，使用 VLAN 技術(shù)進(jìn)行業(yè)務(wù)、部門(mén)隔離，保證網(wǎng)絡(luò)的安全。配置靈活的組件化的網(wǎng)管系統(tǒng)，提供高效快捷的全網(wǎng)集中網(wǎng)絡(luò)管理。 IP 地地 址址 設(shè)設(shè) 計(jì)計(jì) 及及 路路 由由 策策 略略 IP 地址編碼的指導(dǎo)思想 IP 地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)， XXX 辦公業(yè)務(wù)網(wǎng)絡(luò)必須對(duì)ＩＰ地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。 Ip 地址的分配建 議延續(xù)使用上一級(jí)政府的規(guī)劃分配下來(lái)的地址，如有必要?jiǎng)t繼續(xù)劃分子網(wǎng)。 第 16 頁(yè) 網(wǎng)絡(luò)匯集節(jié)點(diǎn)的局域網(wǎng)網(wǎng)段地址、下聯(lián)廣域網(wǎng)網(wǎng)段地址、下層節(jié)點(diǎn)的網(wǎng)段地址在一個(gè)子網(wǎng)掩碼內(nèi)。 路由策略 外網(wǎng)骨干網(wǎng)絡(luò)設(shè)備承擔(dān)著全縣政務(wù)相關(guān)的各種業(yè)務(wù)數(shù)據(jù)的傳輸和處理工作，因此 ,選擇何種路由協(xié)議，使網(wǎng)絡(luò)的性能最優(yōu)化就顯得尤為重要。對(duì)于大型企業(yè)內(nèi)部網(wǎng)絡(luò) 來(lái)說(shuō)，現(xiàn)在一般都采用 3 種路由協(xié)議： OSPF、 ISIS 或者 EIGRP。鑒于本網(wǎng)絡(luò)規(guī)模及重要性，網(wǎng)絡(luò)管理將是一個(gè)必須面對(duì)的問(wèn)題 。其它方面的網(wǎng)絡(luò)管理問(wèn)題（如應(yīng)用軟件的版本發(fā)布和系統(tǒng)管理等）可以將來(lái)逐步考慮。即通過(guò)圖形方式顯示網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)節(jié)點(diǎn)的工作性能；設(shè)置相應(yīng)參數(shù)的閥值，使得設(shè)備的性能參數(shù)超過(guò)閥值或者發(fā)生故障等情況下向網(wǎng)絡(luò)管理員報(bào)警；作為整個(gè)網(wǎng)絡(luò)系統(tǒng)的管理中心，通過(guò)局域網(wǎng)及廣域網(wǎng)對(duì)網(wǎng)絡(luò)上的設(shè)備進(jìn)行在線修改配置；將網(wǎng)絡(luò)設(shè)備的運(yùn)行情況、網(wǎng)絡(luò)故障等多種信息存儲(chǔ)文件或數(shù)據(jù)庫(kù)中，網(wǎng)絡(luò)管理員直接存取這些資料從而掌握整個(gè)網(wǎng)絡(luò)的情況，及時(shí)調(diào)整網(wǎng)絡(luò)的資源分配并作為網(wǎng) 絡(luò)擴(kuò)展的依據(jù)。系統(tǒng)管理面臨的任務(wù)之一是高效、穩(wěn)定和集中的控制以及主動(dòng)管理（在故障發(fā)生前就加以處理）。 安全系統(tǒng)設(shè)計(jì) 安全系統(tǒng)概述 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全保護(hù)，是指保障計(jì)算機(jī)及其相關(guān)的配套設(shè)備、設(shè)施 (含網(wǎng)絡(luò) )的安全，運(yùn)行環(huán)境的安全，保障信息的安全，保障計(jì)算機(jī)功能的正常發(fā)揮，以維護(hù)計(jì)算機(jī)信息系統(tǒng)的安全運(yùn)行。 網(wǎng)絡(luò)的攻擊與防護(hù)是一對(duì)矛盾，嚴(yán)格地說(shuō)，沒(méi)有也不可能有絕對(duì)的網(wǎng)絡(luò)安全，我們所說(shuō)的安全只是在現(xiàn)時(shí)安全技術(shù)發(fā)展水平和努力提高單位領(lǐng)導(dǎo)和工作人員信息安全意識(shí)的前提下，能達(dá)到的最大安全保護(hù)程度。網(wǎng)絡(luò)安全保障系統(tǒng)的目標(biāo)就是對(duì)政務(wù)網(wǎng)進(jìn)行安全保障，使網(wǎng)絡(luò)能抵御各種安全威脅，包括物理硬件本身的安全威脅、信息出入口的安全問(wèn)題、操作系統(tǒng)的安全脆弱性、傳輸協(xié)議存在 著的安全問(wèn)題等。安全系統(tǒng)采用設(shè)備符合國(guó)家安全保密的有關(guān)規(guī)定，并獲得國(guó)家有關(guān)部門(mén)的認(rèn)證； 國(guó)產(chǎn)化原則 考慮到政府保密的要求，主要選用國(guó)產(chǎn)安全設(shè)備及軟件產(chǎn)品來(lái)建設(shè)網(wǎng)絡(luò)； 第 20 頁(yè) 規(guī)范性原則 要符合國(guó)家主管部門(mén)頒布的相關(guān)政策法規(guī)，符合公安部的相關(guān)要求。 安全服務(wù)層次從各種單元安全解決方案所必需的一些基本安全服務(wù)的角度出發(fā)，來(lái)考察信息系統(tǒng)安全體系的建設(shè)。 第 21 頁(yè) 各種安全服務(wù)之間的邏輯關(guān)系 這五種安全服務(wù)貫穿于主體（人、應(yīng)用程序、系統(tǒng)程序、設(shè)備等）訪問(wèn)客體（各種軟 /硬件資源）的整個(gè)過(guò)程。 從上述安全服務(wù)模型可以得出如下結(jié)論：對(duì)資源的訪問(wèn)控制是安全保密的核心，而對(duì)實(shí)體的（用戶(hù)、主機(jī)、服務(wù)）身份鑒別是訪問(wèn)控制的前提。漏洞掃描網(wǎng)管A A 中 心公 鑰 基 礎(chǔ) 設(shè) 施K M 中 心 C A 中 心 系統(tǒng)安全總體設(shè)計(jì)實(shí)施結(jié)構(gòu)圖 在具體的方案技術(shù)設(shè)計(jì)中，我們采用上圖作為我們?cè)O(shè)計(jì)實(shí)施的指導(dǎo)原則，具體解釋如下： 從縱向考慮，信息安全分為網(wǎng)絡(luò)基礎(chǔ)設(shè)施、智能化信任和授權(quán)服務(wù)層和安全應(yīng)用層；網(wǎng)絡(luò)基礎(chǔ)設(shè)施和智能化信任和授權(quán)服務(wù)層構(gòu)成了安全應(yīng)用層的基礎(chǔ) 從產(chǎn)品和技術(shù)來(lái)看，信息安全不僅涉及具體的信息網(wǎng)絡(luò)設(shè)備，還主要涉及了信息安全策略和管理；體現(xiàn)了技術(shù)為輔、管理為主的現(xiàn)代管理思想 在具體實(shí)施中，須 遵循總體設(shè)計(jì)、分布實(shí)施和不斷完善的信息安全概念 網(wǎng)網(wǎng) 絡(luò)絡(luò) 系系 統(tǒng)統(tǒng) 安安 全全 需需 求求 分分 析析 一般講，網(wǎng)絡(luò)安全的需求如下表： 網(wǎng)絡(luò)安全需求和主要技術(shù)一覽表 OSI 七層協(xié)議 TCP/IP 協(xié)議 安全需求及主要技術(shù) 應(yīng)用層 進(jìn)程層 應(yīng)用程序的保密要求，主要技術(shù)有 SHTTP、 PGP、 SMIM、開(kāi)發(fā)專(zhuān)用協(xié)議等 表示層 會(huì)話(huà)層 傳輸層 傳輸層 傳輸?shù)臄?shù)據(jù)的保密，主要技術(shù)有 SSL 協(xié)議和基于公鑰的 認(rèn)證和對(duì)稱(chēng)鑰加密技術(shù)等 網(wǎng)絡(luò)層 網(wǎng)絡(luò)層 訪問(wèn)控制的需求，主要技術(shù)有包過(guò)濾、 IPSEC 協(xié)議、 VPN 等 . 數(shù)據(jù)鏈路層 數(shù)據(jù)鏈路 鏈路的保密要求，主要技術(shù)為數(shù)據(jù)鏈路的加密技術(shù) 第 23 頁(yè) 物理層 層 機(jī)房、設(shè)備以及媒體本身的安全以及防輻射泄漏等方面 針對(duì)辦公業(yè)務(wù)網(wǎng)絡(luò)的具體特點(diǎn) ,我們認(rèn)為安全網(wǎng)絡(luò)項(xiàng)目具體的針對(duì)性?xún)?nèi)容如下表： 目前辦公業(yè)務(wù)網(wǎng)絡(luò)存在的安全性問(wèn)題及建議采用的措施一覽表 序號(hào) 針對(duì)性問(wèn)題 建議采用的措施 1 網(wǎng)絡(luò)訪問(wèn)控制 綜合運(yùn)用防火墻、 VLAN 以及 VPN 技術(shù)，實(shí)現(xiàn)各局域網(wǎng)內(nèi)、局域網(wǎng)間的網(wǎng)站訪問(wèn)控制 2 各局域網(wǎng)絡(luò)內(nèi)部應(yīng)用與信息發(fā)布網(wǎng)站的安全隔離 建議采用安全訪問(wèn)代理服務(wù)器等產(chǎn)品 3 網(wǎng)絡(luò)入侵檢測(cè)和漏洞掃描 部署入侵檢測(cè)和漏洞掃描 主機(jī)，并在核心交換機(jī)上設(shè)置網(wǎng)絡(luò)傳感器 4 業(yè)務(wù)工作站或終端進(jìn)入公眾互聯(lián)網(wǎng) 部署物理隔離器等隔離產(chǎn)品，部署主機(jī)監(jiān)測(cè)和預(yù)警系統(tǒng) 5 遠(yuǎn)程通過(guò)撥號(hào)訪問(wèn)的終端的安全 部署鏈路加密機(jī)或 IP 加密機(jī)或 VPN 技術(shù) 6 存儲(chǔ)安全 在重點(diǎn)機(jī)器上部署文件加密系統(tǒng) 7 操作系統(tǒng)的安全 對(duì)服務(wù)器進(jìn)行安全加固，新裝系統(tǒng)建議采用安全操作系統(tǒng) 8 數(shù)據(jù)庫(kù)的訪問(wèn)控制 部署數(shù)據(jù)庫(kù)訪問(wèn)代理及建立身份確認(rèn)和權(quán)限管理系統(tǒng) 9 防病毒 部署分級(jí)網(wǎng)絡(luò)防病毒工作站及客戶(hù)端軟件 10 MAIL 安全 部署郵件加密、防病毒系統(tǒng) 這是我們?cè)诜治?了網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和初步需求后，有針對(duì)性的提出幾點(diǎn)安全加強(qiáng)措施。分層分級(jí)地構(gòu)建政務(wù)網(wǎng)絡(luò)安全體系，保證政務(wù)網(wǎng)絡(luò)中信息的安全交流和存儲(chǔ)是政務(wù)網(wǎng)絡(luò)安全系統(tǒng)的特點(diǎn)。但是，信息網(wǎng)絡(luò)的安全防護(hù)是一個(gè)多方位的復(fù)雜問(wèn)題，單一的技術(shù)手段和措施是不能解決現(xiàn)代信息網(wǎng)絡(luò)所面臨的所有安全問(wèn)題，而是采用多種技術(shù)的融合，抓住重點(diǎn)分批分期的實(shí)現(xiàn)網(wǎng)絡(luò)安全的建設(shè)。目前國(guó)際上已對(duì) VLAN 標(biāo)記即我們常說(shuō)的 Trunk 協(xié)議進(jìn)行了標(biāo)準(zhǔn)化的定義，即 ，使不同廠商的支持標(biāo)準(zhǔn)VLAN 標(biāo)記的端口可以實(shí)現(xiàn)跨越到多臺(tái)交換機(jī)進(jìn)行 VLAN 劃分。所以無(wú)法進(jìn)行安全性檢查。但如果沒(méi)有這類(lèi)設(shè)計(jì)，就 必須采用 VLAN 把網(wǎng)絡(luò)劃分成一定數(shù)量的廣播域來(lái)控制廣播風(fēng)暴。對(duì)一個(gè)傳統(tǒng)的以路由器為中心的城域網(wǎng)來(lái)說(shuō)，這一點(diǎn)很容易實(shí)現(xiàn)：因?yàn)槊恳粋€(gè)與路由器相連的局域網(wǎng)網(wǎng)段已擁有自己的子網(wǎng)標(biāo)識(shí)。 采用這種方式來(lái)定義 VLAN 意味著我們解決了 大部分 安全性的問(wèn)題。這樣我們可以在第 3 層的 vlan 進(jìn)出口處應(yīng)用 ACL 來(lái)控制各個(gè) vlan 間的通信。邏輯上，防火墻是一個(gè)隔離器、一個(gè)限制器、一個(gè)分析器，有效地監(jiān)控內(nèi)部網(wǎng)絡(luò)和公共網(wǎng)絡(luò)之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安