【文章內(nèi)容簡介】 的固定位置，通過固定的網(wǎng)絡(luò)接口訪問電子政務(wù)外網(wǎng)。 普通計算機的要求為市場上主流的品牌商用計算機或者各類兼容機。（2）電視 各市州應(yīng)設(shè)置專門的電視頻道——政務(wù)頻道，作為電子政務(wù)中政府門戶的一項特殊服務(wù)，借助于有線電視網(wǎng)絡(luò)，實現(xiàn)電視圖像、圖文信息的單向發(fā)布，為社會公眾和公務(wù)員提供各類直觀的政務(wù)信息。 該項服務(wù)適用于偏遠山區(qū)、林區(qū)等網(wǎng)絡(luò)建設(shè)較為困難的地區(qū)。（3）電話 借助于電子政務(wù)網(wǎng)絡(luò)，實現(xiàn)市州內(nèi)部的電子政務(wù)電話專網(wǎng)或IP電話網(wǎng)絡(luò)，通過與各類電子政務(wù)應(yīng)用的結(jié)合，提供政務(wù)系統(tǒng)內(nèi)部的實時通話服務(wù)。（4）移動設(shè)備 電子政務(wù)外網(wǎng)的移動用戶終端比較復(fù)雜，主要包括移動筆記本電腦、PDA、手機等。 移動筆記本電腦訪問電子政務(wù)外網(wǎng)時，主要通過兩種方式訪問；第一種方式，當(dāng)筆記本電腦位于互聯(lián)網(wǎng)絡(luò)上時，通過統(tǒng)一入網(wǎng)認證網(wǎng)關(guān)，在進行認證后訪問外網(wǎng)平臺；第二種方式，當(dāng)筆記本電腦通過GPRS或者CDMA訪問電子政務(wù)外網(wǎng)時，則必須通過GPRS VPN的類似技術(shù)，以免非法用戶進入電子政務(wù)外網(wǎng)。 PDA上一般安裝了專門為某些特殊應(yīng)用而開發(fā)的政務(wù)軟件，也需要訪問電子政務(wù)外網(wǎng)平臺，一般情況下，PDA多是通過GPRS　VPN技術(shù)訪問電子政務(wù)外網(wǎng)。 手機等設(shè)備，多是借助于短信息方式，完成和電子政務(wù)外網(wǎng)平臺中應(yīng)用的交換。因此，為了方便移動設(shè)備的接入，市州級電子政務(wù)外網(wǎng)網(wǎng)絡(luò)應(yīng)該向移動運營商申請自己的GPRS VPN和短信網(wǎng)關(guān)。 區(qū)縣級網(wǎng)絡(luò)實現(xiàn) 區(qū)縣網(wǎng)絡(luò)技術(shù)路線區(qū)縣級網(wǎng)絡(luò)作為市州級網(wǎng)絡(luò)的延伸，不再嚴格區(qū)分市州級網(wǎng)絡(luò)和區(qū)縣級網(wǎng)絡(luò)，要采用集中接入與遠程接入兩種方式的組合，從而達到所有節(jié)點接入的效果。集中接入——對于區(qū)縣級辦公部門和行政大廳較為集中，可以采用局域網(wǎng)集中接入；遠程接入——對于區(qū)縣中分布較遠的節(jié)點，無法構(gòu)建集中的局域網(wǎng)，則只能借助于電信營運商提供的線路，匯聚后接入?yún)^(qū)縣電子政務(wù)網(wǎng)絡(luò)。圖6 區(qū)縣級網(wǎng)絡(luò)實現(xiàn)同時，除非區(qū)縣級應(yīng)用較為復(fù)雜、數(shù)據(jù)交換比較頻繁，否則不建議建設(shè)區(qū)縣級網(wǎng)絡(luò)中心或者數(shù)據(jù)中心，統(tǒng)一將服務(wù)器放置于市州核心網(wǎng)絡(luò)中提供服務(wù)，以便于節(jié)約建設(shè)成本。 區(qū)縣網(wǎng)絡(luò)與市州連接技術(shù)路線區(qū)縣網(wǎng)絡(luò)與市州網(wǎng)絡(luò)的連通主要是通過接入路由器或者接入交換機來實現(xiàn)的。 （1）采用接入交換機 在《電子政務(wù)外網(wǎng)技術(shù)規(guī)范》中，為了減少區(qū)縣級網(wǎng)絡(luò)的投入，建議了區(qū)縣級的電子政務(wù)網(wǎng)絡(luò)建設(shè)不設(shè)置核心網(wǎng)絡(luò)區(qū)域，而是采用托管方式，將所有服務(wù)資源都存放在市州級核心網(wǎng)絡(luò)中。如果區(qū)縣的地理跨域比較小，為委辦局比較集中（所有政府等部門都在一棟樓內(nèi)），則不需要采用復(fù)雜的路由網(wǎng)絡(luò)建設(shè)方式，僅需要建成一個交換網(wǎng)絡(luò)就可以。 對于這種小型區(qū)縣型網(wǎng)絡(luò)，則可以直接用接入交換機來實現(xiàn)連接，如果有必要，則可以在市州的匯聚路由器和區(qū)縣的接入交換機之間添加防火墻，如圖所示。圖7 區(qū)縣與市州的交換機互連 （2）采用接入路由器 如果區(qū)縣級網(wǎng)絡(luò)由于地理覆蓋范圍較大、接入部門較多、入網(wǎng)用戶較多，則采用交換式網(wǎng)絡(luò)方式就不太合適，而是應(yīng)該采用路由方式建立區(qū)縣級網(wǎng)絡(luò)。 對于這種區(qū)縣級網(wǎng)絡(luò)，應(yīng)該通過接入路由器和市州級網(wǎng)絡(luò)互連，如果需要添加防火墻(也可以選擇支持防火墻技術(shù)的路由器)，則應(yīng)該將防火墻至于接入路由器之后，如下圖所示。圖8區(qū)縣與市州的路由器互連 其他接入技術(shù)路線 城區(qū)設(shè)區(qū)、街道接入技術(shù)路線各街道和鄉(xiāng)鎮(zhèn)均通過VPN(ADSL專線)的方式接入所屬縣級網(wǎng)絡(luò),有條件的街道和鄉(xiāng)鎮(zhèn)也可以租用運營商的專線. 各街道和鄉(xiāng)鎮(zhèn)可以選擇同時支持VPN、路由和高密度交換口的一體化設(shè)備來組網(wǎng)，以減少管理和維護成本。圖9 城區(qū)設(shè)區(qū)、街道接入 鄉(xiāng)鎮(zhèn)及行政村接入技術(shù)路線各行政村均通過VPN專線方式匯聚到所屬縣級網(wǎng)絡(luò)。每個行政村只需要一個信息點接入到政務(wù)外網(wǎng)，因此可以采用Internet+VPN客戶端軟件方式，無條件開通ADLS專線的行政村，暫時不考慮接入。 中心服務(wù)器設(shè)備配置中心機房是市州級電子政務(wù)外網(wǎng)數(shù)據(jù)中心或網(wǎng)絡(luò)中心的核心機房，市州外網(wǎng)平臺提供基礎(chǔ)支持服務(wù)、數(shù)據(jù)資源服務(wù)、安全服務(wù)、存儲服務(wù)，所有服務(wù)器都放置于該機房內(nèi)；為了節(jié)省投資，建議區(qū)縣級網(wǎng)絡(luò)不設(shè)置數(shù)據(jù)中心或網(wǎng)絡(luò)中心，所有服務(wù)資源都托管于市州數(shù)據(jù)中心機房；因此，中心的建設(shè)是電子政務(wù)外網(wǎng)平臺建設(shè)的重要任務(wù)之一。中心機房的計算機及其輔助設(shè)備的配置如下圖所示。 圖10 中心機房服務(wù)器示意圖　　如上圖所示，中心機房的計算機及輔助設(shè)備配置情況為：由兩臺核心交換機構(gòu)成數(shù)據(jù)中心的核心網(wǎng)絡(luò)；l 所有服務(wù)器劃分為業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)域、應(yīng)用支撐服務(wù)器區(qū)域、基礎(chǔ)數(shù)據(jù)庫服務(wù)器區(qū)域、安全與管理服務(wù)器區(qū)域、互聯(lián)網(wǎng)服務(wù)器區(qū)域；l 應(yīng)用支撐服務(wù)器區(qū)域用于存放數(shù)據(jù)交換、外網(wǎng)門戶、工作流、中間件等基礎(chǔ)平臺服務(wù)器；l 安全與管理服務(wù)器區(qū)域用于存放網(wǎng)絡(luò)防御體系與網(wǎng)絡(luò)信任體系中需要建設(shè)的服務(wù)器；l 基礎(chǔ)數(shù)據(jù)庫區(qū)域存放兩臺數(shù)據(jù)庫服務(wù)器，用于五大基礎(chǔ)數(shù)據(jù)庫以及其它電子政務(wù)基礎(chǔ)數(shù)據(jù)庫的建設(shè)；l 業(yè)務(wù)系統(tǒng)服務(wù)器區(qū)域則根據(jù)各市州應(yīng)用系統(tǒng)建設(shè)的需要，不斷添加業(yè)務(wù)系統(tǒng)服務(wù)器；l 互聯(lián)網(wǎng)服務(wù)器區(qū)域用于存放對互聯(lián)網(wǎng)提供服務(wù)的所有服務(wù)器，與其他區(qū)域通過防火墻進行邏輯隔離；l 灰色區(qū)域是應(yīng)該劃歸統(tǒng)一規(guī)劃、設(shè)計和建設(shè)的，粉色區(qū)域是應(yīng)該根據(jù)各市州的資金投入和應(yīng)用建設(shè)情況分布建設(shè)的，但是這些區(qū)域必須采用統(tǒng)一的設(shè)計標(biāo)準，以便實現(xiàn)“統(tǒng)一規(guī)劃、分布實施”；l 存儲網(wǎng)絡(luò)通過IPSAN方式，連接了兩臺SAN交換設(shè)備，對核心數(shù)據(jù)形成雙鏈路讀寫，屏蔽了整個系統(tǒng)的單一故障點第五章 平臺設(shè)計市州的電子政務(wù)應(yīng)用支撐平臺是建設(shè)在網(wǎng)絡(luò)平臺基礎(chǔ)之上的，通過各種基礎(chǔ)服務(wù)軟件，向市州的應(yīng)用提供服務(wù)。（1）應(yīng)用支撐平臺需要購置的軟件市州應(yīng)用支撐平臺在平臺軟件的采購上，應(yīng)考慮兩部分內(nèi)容，一部分是為了實施網(wǎng)絡(luò)和應(yīng)用管理以及網(wǎng)絡(luò)安全的“安全與管理軟件”，另一部分是為應(yīng)用系統(tǒng)開發(fā)而采購的“應(yīng)用支撐軟件”。安全與管理軟件安全與管理軟件應(yīng)該包括以下內(nèi)容：l 網(wǎng)絡(luò)管理軟件；l 日志管理軟件；l 入侵檢測服務(wù)器軟件；l 漏洞掃描服務(wù)器軟件；l 入網(wǎng)審計服務(wù)器軟件；l 防病毒服務(wù)器軟件；l CA管理服務(wù)器軟件；l RA中心服務(wù)器軟件。其中入侵檢測服務(wù)器軟件與漏洞掃描服務(wù)器軟件將隨設(shè)備一起購置，并且漏洞掃描建設(shè)初期無須購置，將在應(yīng)用需要時進行購置。應(yīng)用支撐軟件應(yīng)用支撐軟件應(yīng)包括以下內(nèi)容：l 數(shù)據(jù)交換軟件——如BizTalk、TongLink、MQ等基于消息的數(shù)據(jù)庫交換服務(wù)器軟件；l 應(yīng)用中間件——如WebLogic、Tomcat、.Net Framework等應(yīng)用運行環(huán)境；l 工作流引擎——如Work flow、K2 .net 等對工作流程進行定制的服務(wù)器軟件；l 門戶管理——如Portal、SharePoint等對門戶發(fā)布、內(nèi)容進行管理的門戶平臺；l 統(tǒng)一授權(quán)——提供市州應(yīng)用系統(tǒng)集中授權(quán)管理的服務(wù)器軟件；l 目錄服務(wù)——將所有資源以目錄樹方式提供資源檢索、訪問的服務(wù)器軟件；l 短信網(wǎng)關(guān)、GRPS服務(wù)器——用于移動辦公、政務(wù)短信等移動政務(wù)系統(tǒng)開發(fā)的通信服務(wù)器軟件。（2）中心機房需要配置的服務(wù)器在購置建設(shè)應(yīng)用支撐平臺的所需軟件后，這些軟件必須部署與安裝在不同的服務(wù)器上，以便提供“安全與管理”與“應(yīng)用支撐”服務(wù)。市州級網(wǎng)絡(luò)中的服務(wù)器建議不采購小型機等設(shè)備，除特殊應(yīng)用外（例如社保、財政等），應(yīng)根據(jù)需要，采購較為低廉的PC服務(wù)器。市州網(wǎng)絡(luò)中統(tǒng)一規(guī)劃的PC服務(wù)器一般可根據(jù)投資進行適當(dāng)配置。（3）同省平臺的關(guān)系市州電子政務(wù)應(yīng)用支撐平臺主要用于實現(xiàn)市州級電子政務(wù)的應(yīng)用支持，對所有市州的電子政務(wù)系統(tǒng)提供各類基礎(chǔ)軟件服務(wù)，市州應(yīng)用支撐平臺與省平臺之間不存在直接的關(guān)聯(lián)關(guān)系，但是其設(shè)計與相應(yīng)的建設(shè)標(biāo)準應(yīng)盡量與省平臺保持一致，以便于實現(xiàn)省市之間的數(shù)據(jù)交換與數(shù)據(jù)共享。 （4）同區(qū)縣系統(tǒng)的關(guān)系區(qū)縣一般不建應(yīng)用支撐平臺，區(qū)縣級應(yīng)用可由市州平臺提供支持。第六章 安全體系設(shè)計在電子政務(wù)這樣的一個大型網(wǎng)絡(luò)平臺上，采用必要的安全措施，構(gòu)建完整的網(wǎng)絡(luò)安全體系是必須的，建設(shè)市州級電子政務(wù)網(wǎng)絡(luò)安全體系的基本策略如下：隔離方式：該網(wǎng)同因特網(wǎng)邏輯隔離，采用防火墻與路由器作為邏輯隔離設(shè)備。敏感信息：對于一些敏感信息，采用鏈路加密、文件加密等多種方式進行傳輸，同時對重要敏感數(shù)據(jù)采用加密存儲。安全認證：必須建立起完整的PKI/CA體系，并同省級PKI/CA體系連通，作為整個電子政務(wù)內(nèi)部的授權(quán)與管理依據(jù)。適度安全防護：為避免過早投入、設(shè)備閑置等狀況，應(yīng)選擇適當(dāng)安全技術(shù)構(gòu)建安全體系，避免不必要的資金、人力的浪費。 安全管理與審計：加強電子政務(wù)內(nèi)部的安全管理與安全審計，建立統(tǒng)一的安全管理平臺，建立起完善的安全管理制度。 網(wǎng)絡(luò)安全體系框架整個安全體系應(yīng)劃分為以下幾個層次：物理與線路傳輸安全體系、網(wǎng)絡(luò)安全防御體系、主機與系統(tǒng)安全體系、數(shù)據(jù)與應(yīng)用安全體系、統(tǒng)一安全管理體系五個層次。每一個層次具體的安全技術(shù)與措施描述如下：物理與線路傳輸安全體系物理與線路傳輸安全體系主要包括系統(tǒng)的物理安全以及通信線路的安全，其中物理安全主要是指防止物理通路的損壞、對物理通路的攻擊（干擾）、物理環(huán)境安全、網(wǎng)絡(luò)設(shè)備及主機的物理安全等；線路傳輸安全需要保證通過網(wǎng)絡(luò)鏈路傳送的數(shù)據(jù)不被竊聽。網(wǎng)絡(luò)安全防御體系網(wǎng)絡(luò)安全防御體系主要解決網(wǎng)絡(luò)互聯(lián)時在網(wǎng)絡(luò)通信層的安全問題，具體采用的安全技術(shù)和措施包括：網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)訪問控制、撥號網(wǎng)絡(luò)的安全、網(wǎng)絡(luò)和鏈路層數(shù)據(jù)加密、網(wǎng)絡(luò)隔離、防火墻、入侵檢測、安全審計等。主機與系統(tǒng)安全體系主機與系統(tǒng)安全體系的主要解決主機操作系統(tǒng)的訪問控制以及主機存在的漏洞等。具體的安全技術(shù)和措施包括：病毒防范、漏洞檢測、操作系統(tǒng)的安全配置、操作系統(tǒng)安全加固等。數(shù)據(jù)與應(yīng)用安全體系數(shù)據(jù)與應(yīng)用安全體系主要考慮應(yīng)用系統(tǒng)能與系統(tǒng)層和網(wǎng)絡(luò)層的安全服務(wù)無縫連接，對建立在操作系統(tǒng)之上的應(yīng)用軟件服務(wù)，如數(shù)據(jù)庫服務(wù)、電子郵件服務(wù)、Web服務(wù)以及各種業(yè)務(wù)系統(tǒng)等。需要采取的安全技術(shù)與措施包括：身份認證、訪問控制、數(shù)據(jù)保密性和完整性（安全通信）、內(nèi)容審計、數(shù)據(jù)備份等。統(tǒng)一安全管理體系安全管理貫穿在安全的各個層次實施，本身可以從不同的視角加以描述：l 從全局管理角度審視，要制訂全局的安全管理策略。l 從用戶管理角度審視，要實現(xiàn)統(tǒng)一的用戶角色劃分策略。l 從資源管理角度審視，要實現(xiàn)資源的分布配置和統(tǒng)一的資源目錄管理。l 從技術(shù)管理角度審視，要針對各個層面的要求實現(xiàn)統(tǒng)一的安全監(jiān)管，為IT決策提供依據(jù)。根據(jù)以上分析，市州電子政務(wù)外網(wǎng)平臺的安全保障體系從如下幾個方面進行設(shè)計，并根據(jù)這些要求來選擇安全產(chǎn)品。 各層技術(shù)實現(xiàn) 物理與線路傳輸安全設(shè)計物理與線路傳輸安全是整個系統(tǒng)安全的前提。在物理與線路傳輸安全體系設(shè)計中包括通信線路的安全，物理設(shè)備的安全，機房的安全等。 由于市州電子政務(wù)外網(wǎng)的性質(zhì)為非涉密網(wǎng)，在建設(shè)過程中，無須建設(shè)屏蔽機房，無須采用屏蔽線路，無須采用電磁輻射等技術(shù)；也就是說，對于物理安全防范方面，將不考慮電磁輻射等帶來的信息泄露問題，避免不必要投資；但對于網(wǎng)絡(luò)中心設(shè)備、鏈路上的冗余要求，也應(yīng)根據(jù)應(yīng)用的需求，避免盲目投資造成設(shè)備閑置。包括防火墻、入侵檢測、防病毒、脆弱性掃描、防WEB篡改、鏈路加密、安全審計和入網(wǎng)認證等安全技術(shù)。對本方案中，市州應(yīng)統(tǒng)一采用的安全技術(shù)分析如下：（１）防火墻技術(shù)防火墻是通過控制內(nèi)部用戶對網(wǎng)絡(luò)的訪問權(quán)限、認證并過濾外來用戶訪問的請求和信息流等方法來保護內(nèi)部網(wǎng)絡(luò)資源的。在市州網(wǎng)絡(luò)平臺建設(shè)的工程中，防火墻產(chǎn)品是實施邏輯隔離的關(guān)鍵設(shè)備，提供電子政務(wù)網(wǎng)絡(luò)至互聯(lián)網(wǎng)的唯一出口，必須購置硬件防火墻設(shè)備，保證網(wǎng)絡(luò)的內(nèi)部安全。（２）入侵檢測系統(tǒng)（IDS）入侵檢測系統(tǒng)全稱為Intrusion Detection System，它從計算機網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵點收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門。（3）病毒防護技術(shù)在市州的電子政務(wù)網(wǎng)絡(luò)建設(shè)中，為避免網(wǎng)絡(luò)內(nèi)部遭受各類病毒的攻擊，應(yīng)在工程中采用企業(yè)級病毒防護系統(tǒng)，該系統(tǒng)應(yīng)至少包含客戶機防護模塊、服務(wù)器防護模塊、病毒防護服務(wù)器、集中管理控制臺等四個部分，可以對全網(wǎng)絡(luò)的計算機實施分布但統(tǒng)一管理的病毒防護。（4）漏洞掃描技術(shù)鑒于漏洞掃描技術(shù)在網(wǎng)絡(luò)安全防御體系中的作用，以及漏洞掃描設(shè)備易于添加的特性，考慮到安全體系分布建設(shè)的基本原則，在市州網(wǎng)絡(luò)建設(shè)中不購置漏洞掃描設(shè)備，在后期的網(wǎng)絡(luò)發(fā)展中，根據(jù)應(yīng)用和安全發(fā)展的需要進行規(guī)劃。（5）鏈路加密和PVC技術(shù)采用鏈路加密或網(wǎng)絡(luò)PVC技術(shù)使內(nèi)部網(wǎng)絡(luò)用戶與其他外部用戶之間隔離，以提高信息的安全度。在市州網(wǎng)絡(luò)建設(shè)中，由于網(wǎng)絡(luò)性質(zhì)為非涉密網(wǎng)，將不考慮使用該類技術(shù)。（