【正文】 ............................................................................. 35 服務(wù)器的具體選型 .................................................... 錯(cuò)誤 !未定義書簽。 核心交換機(jī) ................................................................................... 錯(cuò)誤 !未定義書簽。 網(wǎng)管平臺(tái) ....................................................................................... 錯(cuò)誤 !未定義書簽。 參考價(jià)格 ....................................................................................... 錯(cuò)誤 !未定義書簽。 我國(guó)加入 WTO 后，政府職能從管理主導(dǎo)型逐漸向服務(wù)主導(dǎo)型轉(zhuǎn)變，為了更好的完成服務(wù)職能的轉(zhuǎn)變，政府需要提高效率、提高政策透明度、實(shí)行政務(wù)公開。借助互聯(lián)網(wǎng)實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的優(yōu)化和重組，超越時(shí)間、空間和部門分離的限制。因此，政府信息化是社會(huì)信息化的基礎(chǔ)與主要內(nèi)容。 辦公業(yè)務(wù)網(wǎng)的服務(wù)對(duì)象：既包括政府機(jī)關(guān)內(nèi)部，也包括其他機(jī)關(guān)、團(tuán)體、企業(yè)和社會(huì)公眾。既有信息的發(fā)布和接收，也有交互式的處理。其辦公業(yè)務(wù)體系是建設(shè)在該網(wǎng)絡(luò)上的核心應(yīng)用平臺(tái)與應(yīng)用系統(tǒng)。 五、 XXX 城縣網(wǎng)絡(luò)信息中心建設(shè)，為辦公業(yè)務(wù)應(yīng)用及安全提供統(tǒng)一管理的支撐環(huán)境。將門戶網(wǎng)站作為政府的信息窗口 ， 可 以 加強(qiáng)政府辦 事 透明度 ；及時(shí) 掌握社會(huì) 動(dòng) 形態(tài) ， 加強(qiáng)政策導(dǎo)向 ； 增強(qiáng)政府與 社會(huì) 的 溝通 ；開展 社會(huì)調(diào)查 ，輔助 決策 ；發(fā)展電子商務(wù)，促進(jìn)經(jīng)濟(jì)增長(zhǎng)。 要統(tǒng)一標(biāo)準(zhǔn)，利用統(tǒng)一網(wǎng)絡(luò)平臺(tái)，促進(jìn)各個(gè)業(yè)務(wù)系統(tǒng)的互聯(lián)互通、資源共享。技術(shù)上的先進(jìn)性將保證處理數(shù)據(jù)的高效率，保證系統(tǒng)工作的靈活性，保證網(wǎng)絡(luò)的可靠性，也使系統(tǒng)的擴(kuò)展和維護(hù)變得簡(jiǎn)單。在外界環(huán)境或內(nèi)部條件發(fā)生突變時(shí)，怎樣使系統(tǒng)保持正常工作，或者在盡量短的時(shí)間內(nèi)恢復(fù)正常工作，是網(wǎng)絡(luò)系統(tǒng)所必須考慮的。在網(wǎng)絡(luò)設(shè)計(jì)時(shí)，充分考慮網(wǎng)絡(luò)系統(tǒng)的安全；系統(tǒng)還將按照國(guó)家相關(guān)的規(guī)定進(jìn)行相應(yīng)的系統(tǒng)保密性建設(shè)。為了適應(yīng)這個(gè)變化和日新月異的計(jì)算機(jī)技術(shù)的發(fā)展，我們網(wǎng)絡(luò)十分注重?cái)U(kuò)充性。 方方 案案 拓拓 撲撲 及及 簡(jiǎn)簡(jiǎn) 述述 第 11 頁(yè) 方案一 根據(jù)安全、經(jīng)濟(jì)、性能方面的實(shí)際要求，采用了 ADSL（ VPDN）的方式進(jìn)行組網(wǎng)，充分利于通信運(yùn)營(yíng)商 IP 城域網(wǎng)覆蓋率高的優(yōu)勢(shì)，對(duì)各分支機(jī)構(gòu)和鄉(xiāng) 政府節(jié)點(diǎn)進(jìn)行覆蓋。其他分支節(jié)點(diǎn)如辦公樓、 計(jì)劃招商樓、武裝部、交流樓、檔案局、機(jī)關(guān)事務(wù)局等 使用l000M 單模光纖通過光纖收發(fā)器轉(zhuǎn) 100M 雙絞線接入核心設(shè)備，并通過運(yùn)營(yíng)商的高速鏈路連接 XXX 市政務(wù)內(nèi)網(wǎng)。以下進(jìn)行詳細(xì)說明： 全全 網(wǎng)網(wǎng) 拓拓 撲撲 圖圖 第 13 頁(yè) 內(nèi)內(nèi) 網(wǎng)網(wǎng) 設(shè)設(shè) 計(jì)計(jì) （ 1）核心區(qū)域：包括三臺(tái)核心設(shè)備：一臺(tái)核心三層高性能交換機(jī)（負(fù)責(zé)接入交換機(jī)的匯聚，數(shù)據(jù)的核心交換， 服務(wù)器的千兆接入），一臺(tái)防火墻（負(fù)責(zé)提供移動(dòng)用戶 VPN 的接入，服務(wù)器區(qū)域以及內(nèi)網(wǎng)用戶的安全防護(hù)），一臺(tái)核心路由器（負(fù)責(zé)提供鄉(xiāng)政府的接入）。 （ 5）鄉(xiāng)鎮(zhèn)接入?yún)^(qū)域：各鄉(xiāng)鎮(zhèn)配備一臺(tái)接入交換機(jī)，一臺(tái)路由器，通過電信 2M SDH 網(wǎng)第 14 頁(yè) 絡(luò)接入縣核心交換機(jī)，實(shí)現(xiàn)辦公內(nèi)網(wǎng)的接入。配置靈活的組件化網(wǎng)管系統(tǒng)，提供高效快捷的全網(wǎng)集中網(wǎng)絡(luò)管理。與防火墻一起構(gòu)建安全的 Inter接入。 IP 地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影 響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。 IP 地址編碼的規(guī)則 XXX 政府辦公業(yè)務(wù)網(wǎng)絡(luò)結(jié)構(gòu)為樹型結(jié)構(gòu)，根據(jù)此網(wǎng)絡(luò)結(jié)構(gòu)編碼 IP 地址，盡量減少網(wǎng)絡(luò)匯集點(diǎn)向上層節(jié)點(diǎn)傳遞的 IP 路由數(shù)量。 網(wǎng)絡(luò)匯集節(jié)點(diǎn)的上聯(lián)廣域網(wǎng)地址為上層節(jié)點(diǎn)網(wǎng)絡(luò)地址段中的一個(gè)子網(wǎng)段地址。對(duì)這樣的網(wǎng)絡(luò)，如何選擇路由協(xié)議對(duì)于網(wǎng)絡(luò)性能的發(fā)揮是非常重要的。 EIGRP 是 Cisco 私有的路由協(xié)議，不建議使用。根據(jù)本項(xiàng)目的實(shí)際情況，建議在本期或下一期工程中： 1. 建議建立統(tǒng)一的系統(tǒng)管理平臺(tái) 2. 重點(diǎn)考慮網(wǎng)絡(luò)管理 建立統(tǒng)一的系統(tǒng)管理平臺(tái)，不僅可以為日常的 系統(tǒng)和網(wǎng)絡(luò)管理提供機(jī)制、工具或手段，還可以以此為基礎(chǔ)，建立集中式或遠(yuǎn)程系統(tǒng)支持維護(hù)中心。 由于系統(tǒng)管理和網(wǎng)絡(luò)管理涉及較多的內(nèi)容，如網(wǎng)絡(luò)設(shè)備管理、服務(wù)器資源管理等，統(tǒng)一第 17 頁(yè) 網(wǎng)絡(luò)管理平臺(tái)也是系統(tǒng)和網(wǎng)絡(luò)管理的必然需要。 在網(wǎng)絡(luò)管理平臺(tái)的選擇上，根據(jù)選擇的網(wǎng)絡(luò)設(shè)備，考慮采用先進(jìn)、成熟和主流的產(chǎn)品，采用標(biāo)準(zhǔn)的 SNMP 協(xié)議對(duì)網(wǎng)絡(luò)上符合該協(xié)議的設(shè)備進(jìn)行實(shí)時(shí)的監(jiān)控，對(duì)網(wǎng)絡(luò)中發(fā)生的故障進(jìn)行報(bào)警，從而減少系統(tǒng)管理的管理難度和管理工作量，自動(dòng)發(fā)現(xiàn)管轄區(qū)域內(nèi)或指定的搜索地址范圍內(nèi)的網(wǎng)上資源，并自動(dòng)以不同的圖標(biāo)表示不同的設(shè)備；自動(dòng)過濾各種事件，并在監(jiān)控屏幕上出現(xiàn)警告信息，還可以根據(jù)預(yù)先定義的操作自動(dòng)進(jìn)行相應(yīng)的處理；將網(wǎng)絡(luò)管理數(shù)據(jù)實(shí)時(shí)或者以批處理的方式傳入關(guān)系型數(shù)據(jù)庫(kù)系統(tǒng)中，從而為大量網(wǎng)絡(luò)管理數(shù)據(jù)的處理，分析，報(bào)表制作提供方便。 系統(tǒng)管理軟件需要實(shí)現(xiàn)分布式環(huán)境下的集中和可靠的系統(tǒng)管理，還要在整個(gè)網(wǎng)絡(luò)環(huán)境中自動(dòng)執(zhí)行預(yù)定義的故障預(yù)防和修正操作。 總體來(lái) 看，計(jì)算機(jī)網(wǎng)絡(luò)的安全應(yīng)包含以下三方面的內(nèi)容： 保密性 完整性 可用性 從計(jì)算機(jī)信息系統(tǒng)實(shí)現(xiàn)的角度，可以將計(jì)算機(jī)信息系統(tǒng)的安全分為三類，即實(shí)體安全(Physical Security) 、運(yùn)行安全 (Operation Security) 和信息安全 (Information Security)。 在此方案實(shí)施后，完成對(duì)全局各單位、各項(xiàng)目的網(wǎng)絡(luò)安全的評(píng)估、與安全方案的規(guī)劃，并對(duì)信息中心及部分業(yè)務(wù)處的安全方案加以實(shí)施。 系統(tǒng)必須具備整體的安全性與可靠性，本方案從多個(gè)角度考慮系統(tǒng)的安全性建設(shè)。 安全體系結(jié)構(gòu)模型 在仔細(xì)研究了多種信息網(wǎng)絡(luò)安全體系結(jié)構(gòu)后，我們提出了適合網(wǎng)絡(luò)系統(tǒng)安全系統(tǒng)的三維立體框架結(jié)構(gòu)的安全體系結(jié)構(gòu)模型，如下圖所示。這些基本安全服務(wù)包括身份鑒別、訪問控制、數(shù)據(jù)完整性、數(shù)據(jù)保密性、抗抵賴、審計(jì)跟蹤和可用性服務(wù)。分析表明，在信息系統(tǒng)中，最為重要也最為普遍的安全服務(wù)是實(shí)體的身份標(biāo)識(shí)和身份鑒別、以及各種資源的訪問控制。 系系 統(tǒng)統(tǒng) 安安 全全 的的 總總 體體 框框 架架 結(jié)結(jié) 構(gòu)構(gòu) 根據(jù)我們對(duì) XXX 政務(wù)網(wǎng)絡(luò)和應(yīng)用系統(tǒng)安全需求的理解，我們 建立了如下的系統(tǒng)安全的總體框架，用于網(wǎng)絡(luò)系統(tǒng)項(xiàng)目的具體設(shè)計(jì)實(shí)施考慮： 第 22 頁(yè) 安 全策 略和管 理經(jīng) 貿(mào)專 網(wǎng)電 信 公 網(wǎng)友 商 網(wǎng) 經(jīng) 貿(mào) 網(wǎng) I n t e r n e t授 權(quán) 管 理 基 礎(chǔ) 設(shè) 施公 共 安 全 服 務(wù) 平 臺(tái)M I S / O A系 統(tǒng)對(duì) 外 信 息發(fā) 布 系 統(tǒng)應(yīng) 用系 統(tǒng)傳輸加密VPN防病毒防火墻完整性...身份認(rèn)證入侵檢測(cè)備份容災(zāi)。建議建設(shè)一套完善的基于 PKI 體系的 CA認(rèn)證系統(tǒng)（在自治區(qū)政府的 CA認(rèn)證系統(tǒng)下統(tǒng)一部署），會(huì)極大的提升整個(gè)網(wǎng)絡(luò)的安全層次。 從網(wǎng)絡(luò)結(jié)構(gòu)角度，安全可分為以下 層次： 政務(wù)網(wǎng)絡(luò)與外界的連接的安全： VPN 系統(tǒng)、防火墻系統(tǒng)； 政務(wù)網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)流通安全：防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)； 政務(wù)網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)存儲(chǔ)、管理方面的安全：內(nèi)容安全系統(tǒng)； 政務(wù)網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)中心的安全：安全應(yīng)用系統(tǒng)； 實(shí)現(xiàn)安全的主要的技術(shù)、方法 早期的安全防護(hù)技術(shù)多采用傳統(tǒng)的用戶名、口令身份認(rèn)證及訪問控制技術(shù)和低強(qiáng)度的數(shù)據(jù)加密技術(shù)。 我們根據(jù)網(wǎng)絡(luò)狀況，結(jié)合多年的經(jīng)驗(yàn)，認(rèn)為：網(wǎng)絡(luò)安全的整體解決方案應(yīng)為建立基于PKI 安全結(jié)構(gòu)之上的，整體的身份驗(yàn)證、傳輸加密、信息加密、數(shù)據(jù)完整性保護(hù)、 VPN 技術(shù)以及防火墻和安全代理服務(wù)器等多種安全技術(shù)的綜合的一體的解決方案。我們?cè)诜桨钢羞x擇的交換機(jī)的所有端口都可以支持 的標(biāo)記。 如果不定義 VLAN，一個(gè)基于多層交換技術(shù)的網(wǎng)將是一個(gè)單獨(dú)的、龐大的廣播域。 現(xiàn)在讓我們看一下實(shí)踐中是如何將多層次交換技術(shù)與 VLAN 技術(shù)相結(jié)合的。當(dāng)我們連接一個(gè)局域網(wǎng)網(wǎng)段到一個(gè)多層交換機(jī)上時(shí)，主要目的是想通過把網(wǎng)段分成若干個(gè)更小的網(wǎng)段來(lái)提高性能，那么 就會(huì)有一定數(shù)量的屬于同一子網(wǎng)的端口連接在同一個(gè)多層交換機(jī)上。因?yàn)橛脩舨煌ㄟ^第三層交換設(shè)備，就不可能訪問與它們不在同一個(gè) VLAN 上的資源，同時(shí)也涉及到了廣播問題 ，這是由于劃分后的廣播域要小于我們采用傳統(tǒng)路由器連接共享的網(wǎng)段所形成的廣播域。 防防 火火 墻墻 技技 術(shù)術(shù) 防火墻技術(shù)是建立在現(xiàn)代網(wǎng)絡(luò)通信技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來(lái)越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中。 物物 理理 隔隔 離離 技技 術(shù)術(shù) 根據(jù)國(guó)家相關(guān)規(guī)定，辦公業(yè)務(wù)網(wǎng)絡(luò)需要內(nèi)、外網(wǎng)物理隔離。外網(wǎng)區(qū)分區(qū)和內(nèi)網(wǎng)分區(qū)中分別裝有不同的操作系統(tǒng)，分別連接內(nèi)部和外部?jī)蓚€(gè)網(wǎng)絡(luò)，并且彼此獨(dú)立、相互隔離、互不影響。由于內(nèi)網(wǎng)時(shí)數(shù)據(jù)交換區(qū)是只讀的，因此數(shù)據(jù)只能夠從外網(wǎng)導(dǎo)入到內(nèi)網(wǎng)中，而內(nèi)網(wǎng)中的保密數(shù)據(jù)是絕對(duì)不可能通過這個(gè)通道傳 到外網(wǎng)中去。所以，最好的方法是在內(nèi)網(wǎng)及外網(wǎng)的操作系統(tǒng)上都安裝有殺毒軟件，并且及時(shí)升級(jí)病毒庫(kù)，對(duì)進(jìn)出的所有程序進(jìn)行檢查。不過這種方式并不建議使用，因?yàn)樵谶@種方式下，如果處理的不好的話就有可能被黑客入侵或受到病毒的感染。 VPN 的支持多種通信模式，包括模擬撥號(hào)、 ISDN、專線， Data over Cable（電纜傳輸數(shù)據(jù)）或 xDSL 等。 安安 全全 檢檢 測(cè)測(cè) 和和 實(shí)實(shí) 時(shí)時(shí) 監(jiān)監(jiān) 控控 技技 術(shù)術(shù) 由于網(wǎng)絡(luò)入侵活動(dòng)與日俱增，無(wú)論是政府、還是企業(yè)都對(duì)它們所依賴的信息網(wǎng)絡(luò)的安全性極為關(guān)注。更另人擔(dān)憂的是這些通 過網(wǎng)絡(luò)進(jìn)行的入侵活動(dòng)很難被發(fā)現(xiàn)，第 28 頁(yè) 甚至在系統(tǒng)被入侵者控制后系統(tǒng)管理人員還沒有發(fā)覺。近年來(lái)，網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警系統(tǒng)領(lǐng)域發(fā)展很快，因?yàn)樗抢^防火墻等網(wǎng)絡(luò)安全產(chǎn)品之后作為提高信息網(wǎng)絡(luò)安全性的一個(gè)新的、重要的發(fā)展熱點(diǎn)，越來(lái)越 多的重要信息網(wǎng)絡(luò)系統(tǒng)上都安裝了安全監(jiān)測(cè)預(yù)警系統(tǒng)，用于對(duì)付愈演愈烈的網(wǎng)絡(luò)黑客攻擊和各種計(jì)算機(jī)犯罪。 網(wǎng)絡(luò)反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和消毒三種技術(shù)： 預(yù)防病毒技術(shù)：它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。 網(wǎng)絡(luò)反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)服務(wù)器中的文件進(jìn)行頻繁地掃描和監(jiān)測(cè)；在工作站上用防病毒引擎和對(duì)網(wǎng)絡(luò)目錄及文 件設(shè)置訪問權(quán)限等。從總部到分支機(jī)構(gòu)，由上到下，各個(gè)局域網(wǎng)的防病毒系統(tǒng)相結(jié)合，最終形成一個(gè)立體的、完整的網(wǎng)絡(luò)病毒防護(hù)體系，如下圖示。 。非特權(quán)存取允許用戶監(jiān)控設(shè)備的狀態(tài)，特權(quán)存取允許用戶對(duì)設(shè)備進(jìn)行配置。通過設(shè)立 mand exectimeout mm ss 改變 login timeout的缺省時(shí)間 10min 為 60sec。 AAA 使用戶安全控制的各個(gè)方面，包括對(duì)資源的訪問，可以在一個(gè)集中控制下的地方進(jìn)行定義。不允許通過 AUX 訪問網(wǎng)絡(luò)設(shè)備。 對(duì)交換 機(jī)進(jìn)行有限制性的訪問 IP Permit list 可以阻止未經(jīng)授權(quán)的源地址通過 Tel 和 SNMP 的 inbound traffic訪問交換機(jī)。 針對(duì)資源掠奪性攻擊的策略 在 TCP/IP 協(xié)議中，攻擊者對(duì)四種服務(wù)都可以進(jìn)行掠奪性攻擊，即 Echo(7)、 Discard(9)、Daytime(13)、 Chargen(19)。美國(guó)已在多年以前已經(jīng)把 PKI 技術(shù)應(yīng)用于信息安全領(lǐng)域，相關(guān)的法律法規(guī)也對(duì) PKI 技術(shù)進(jìn)行了認(rèn)可（數(shù)字簽名具有法律效力），并建立了多家具有權(quán)威的 CA（ Certification Authority）認(rèn)證機(jī)構(gòu)，使用 CA 證書系統(tǒng)行到廣泛的應(yīng)用。用私鑰對(duì)數(shù)據(jù)進(jìn)行加密，用公鑰驗(yàn)證簽名，可以保證數(shù)據(jù)的完整性并且防止抵賴。 安安 全全 管管 理理 體體 系系 包括以下方面內(nèi)容： 應(yīng)完善制度并加強(qiáng)人員培訓(xùn)教育； 人員安全管理：包括安全審查、崗位安全考慮、安全培訓(xùn)制度、安全保密契約管理、離崗人員的安全管理制度等 文檔管理制度：各種文檔（電子和書面）必須有清晰的密級(jí)劃分，妥善管理。 應(yīng)急措施管理：制定緊急案例并制定應(yīng)急實(shí)施計(jì)劃。 在 培訓(xùn)用戶 時(shí)，應(yīng)該加強(qiáng) 用戶 的法制教育和德育教育，讓 網(wǎng)絡(luò)用戶 了解我國(guó)在計(jì)算機(jī)應(yīng)用方面的相應(yīng)法規(guī)，做一個(gè)遵紀(jì)守法的好 公民 。從而可以保證系統(tǒng)的高可靠性、穩(wěn)定性，保障數(shù)據(jù)庫(kù)業(yè)務(wù)連續(xù)可用。如果 node B 發(fā)生任何故障，不會(huì)發(fā)生任何事件。 硬件服務(wù)器系統(tǒng)可以采用普通的 UNIX 服務(wù)器也可以是 PC 服務(wù)器，運(yùn)行方式建議采用單機(jī)或集群的方式。按照全區(qū)每天處理 1 萬(wàn)筆業(yè)務(wù)估算，目前部署 2~3 臺(tái)應(yīng)用服務(wù)器就可以滿足目前及今后 2~3年的業(yè)務(wù)處理要求，在更遠(yuǎn)的將來(lái)，如果業(yè)務(wù)持續(xù)高速增長(zhǎng)，可以往集 群里面增添應(yīng)用服務(wù)器來(lái)解決這些問題。在信息化日新月異的時(shí)代，為了提高企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力，充分利用、挖掘和開發(fā)企業(yè)的信息資源 來(lái)為政府的政務(wù) 永續(xù)發(fā)展提