【文章內(nèi)容簡介】 路正常運行，從而有效地減小故障的影響范圍。 3. 網(wǎng)絡(luò)性能管理 負責網(wǎng)絡(luò)運行狀態(tài)的監(jiān)測和統(tǒng)計。通過監(jiān)視網(wǎng)絡(luò)元件的容量及負載情況，將網(wǎng)絡(luò)性能保持在可接受的水平上，為配置管理和故障管理服務(wù)，同時可預測未來需要，為未來的升級擴展提供參考。 4. 網(wǎng)絡(luò)安全性管理 進行身份確認、訪問控制、加密和密匙管理。確定訪問控制程序，區(qū)分用戶權(quán)限，監(jiān)視網(wǎng)絡(luò)上破壞安全系統(tǒng)的行為，從安全性角度分析網(wǎng)絡(luò)的使用狀態(tài)。 5. 網(wǎng)絡(luò) 記帳管理 建立記帳系統(tǒng)。對網(wǎng)絡(luò)資源的使用采取收費記帳的方法，對不同的網(wǎng)絡(luò)資源的訪問有不同的收費標準，并對整個網(wǎng)絡(luò)的記帳用戶采取統(tǒng)一的管理。 網(wǎng)管配置 網(wǎng)管系統(tǒng)硬件平臺為一臺 Windows NT 工作站，通過 100M 快速以太網(wǎng)連接核心交換機。網(wǎng)管軟件為 CISCO 公司的 CiscoWorks2020 網(wǎng)管軟件。 網(wǎng)絡(luò)安全解決方案 網(wǎng)絡(luò)實現(xiàn)了資源共享和信息的快速傳遞，極大地促進了社會進步和人們生活質(zhì)量的提高。但任何事情都存在著兩面性，由于網(wǎng)絡(luò)的開放性和脆弱性、不良信息的入侵和污染以及網(wǎng)絡(luò)病 毒的危害，嚴重地威脅著網(wǎng)絡(luò)的安全，使得網(wǎng)絡(luò)難以按照人們的意圖進行工作。建立網(wǎng)絡(luò)信息系統(tǒng)的目的在于應(yīng)用，但沒有安全保障的網(wǎng)絡(luò)信息系統(tǒng)不但是無用的，而且是有害的。 該司法行政綜合信息網(wǎng)絡(luò)是很特殊和很專業(yè)的網(wǎng)絡(luò)，保密等級和系統(tǒng)可靠性均有很高的要求。但由于地域分散及投入經(jīng)費等諸多限制，信息的遠程傳輸只能通過公網(wǎng)來進行。因此，必須防止網(wǎng)上機要信息擴散、信息間諜潛入和計算機犯罪，切實有效地保證網(wǎng)絡(luò)信息的安全可靠傳輸。我們在設(shè)計總體方案時，首先要解決的問題就是系統(tǒng)的信息安全問題。 在整個網(wǎng)絡(luò)的安全考慮中，市司法行政系 統(tǒng)各部門局域網(wǎng)之間的安全控制最為重要。既要做到信息共享，但又要保證互不越權(quán)限訪問；既要保證網(wǎng)上傳輸數(shù)據(jù)安全，又做到內(nèi)部局域網(wǎng)數(shù)據(jù)存貯安全；既要加強網(wǎng)絡(luò)安全性，又保證不明顯降低網(wǎng)絡(luò)性能。因此，在對網(wǎng)絡(luò)的整體進行全方位的安全性設(shè)計的同時，應(yīng)該充分考慮各子系統(tǒng)的安全，以達到風險、安全、投資、效率的最佳平衡。 安全工程設(shè)計選用的實施方案以簡單、實用為原則，既要保證中心局域網(wǎng)的安全性，又要保證整個網(wǎng)絡(luò)建設(shè)的安全性。據(jù)此，可將整個系統(tǒng)安全劃分為如下三個層次：計算機及相關(guān)設(shè)施與設(shè)備的安全、計算機系統(tǒng)的安全、計算機網(wǎng)絡(luò)的 安全和用戶應(yīng)用程序的安全。 安全管理系統(tǒng)結(jié)構(gòu)示意圖如下： 網(wǎng)絡(luò)信息風險分析 1. 未經(jīng)授權(quán)的訪問 l 非法用戶進入網(wǎng)絡(luò)或系統(tǒng)進行違法操作； l 合法用戶以未授權(quán)方式進行操作。 2. 破壞信息完整性 l 篡改 改變信息流的次序、時序、流向、內(nèi)容和形式； l 刪除 刪除信息和其中一部分； l 插入 在 信息中插入有害消息。 3. 假冒 l 假冒領(lǐng)導或機構(gòu)發(fā)布信息和調(diào)閱密件； l 假冒合法主機和用戶欺騙其它主機和用戶； l 假冒網(wǎng)絡(luò)控制程序套取或修改使用權(quán)限、通行字、密鑰等信息，越權(quán)使用網(wǎng)絡(luò)設(shè)備和資源； l 接管合法用戶欺騙系統(tǒng)，占用合法用戶資源。 4. 破壞系統(tǒng)的可用性 l 使合法用戶不能正常訪問網(wǎng)絡(luò)資源； l 使有時間要求的服務(wù)不能及時得到響應(yīng)； l 使信息系統(tǒng)處于癱瘓狀態(tài)。 5. 截獲 l 通過搭線竊聽和輻射偵聽等方法截獲機密信息。 6. 重撥攻擊 l 利用截獲或猜測的 IP 和 TCP層的某些信息，向某一站點和服務(wù)重復發(fā)送相同或無用的信息，造成系統(tǒng)擁塞、淹沒或崩潰等災難性后果。 7. 病毒及特洛伊木馬的侵入。 安全目標 1. 確保信息網(wǎng)絡(luò)內(nèi)部各類信息在存儲、獲取、傳遞和處理過程中保持完整、真實、可用和不被非法泄露的特性。各類信息的獲取、存儲、處理和傳遞必須滿足司法行政系統(tǒng)業(yè)務(wù)的層次管理和授權(quán)管理需要，由此制定的安全策略必須體現(xiàn)系統(tǒng)的安全管理意志。 2. 確保各局域網(wǎng)網(wǎng)絡(luò)互連中的信息在交換過程中保持完整、真實、可用和不被非法泄露的特性，信息在發(fā)布過程中保持完整、真實 和可用的特性。 3. 確保市司法行政系統(tǒng)計算機網(wǎng)絡(luò)在與政府網(wǎng)和公網(wǎng)接入時，能夠防范來自外部網(wǎng)絡(luò)的攻擊。 安全管理 要保證市司法行政系統(tǒng)計算機網(wǎng)絡(luò)系統(tǒng)能夠正常、有效和安全地運行，必須建立健全一套與之相適應(yīng)的安全管理辦法和制度。 1. 網(wǎng)絡(luò)建設(shè)領(lǐng)導小組或辦公室人員應(yīng)是網(wǎng)絡(luò)安全的領(lǐng)導者和管理者，網(wǎng)絡(luò)安全的實施者或網(wǎng)絡(luò)維護人員應(yīng)作為技術(shù)保障人員，配合管理人員進行安全技術(shù)保障。 2. 在網(wǎng)絡(luò)安全方案的實施中，建立一套切實可行的網(wǎng)絡(luò)安全管理制度。 3. 信息安全管理制度涉及組織、人事、行政、技術(shù)等 多方面內(nèi)容，應(yīng)根據(jù)市司法行政系統(tǒng)原有的組織體制和信息系統(tǒng)涉及的業(yè)務(wù)流程、控制環(huán)節(jié)來設(shè)立，并且還要根據(jù)信息安全管理的目的、手段與環(huán)境的變化而調(diào)整、充實、完善。根據(jù)本安全方案的有關(guān)內(nèi)容，建議在網(wǎng)絡(luò)建設(shè)初期，管理機關(guān)與網(wǎng)絡(luò)安全方案建設(shè)者共同起草制訂有關(guān)的安全制度。 安全措施 l 信息傳輸?shù)陌踩? l 數(shù)據(jù)庫的安全 l 用戶權(quán)限的設(shè)定 l 內(nèi)部電子郵件的安全 l 計算機設(shè)施與設(shè)備的安全 安全策略 利用防火墻隔離內(nèi)網(wǎng)和外網(wǎng)，有效防范外部攻擊和入侵；利用 VPN（虛擬保密專用網(wǎng)）設(shè)備保 證各局域網(wǎng)之間的數(shù)據(jù)實現(xiàn)加密傳輸；采用安全認證系統(tǒng)確保系統(tǒng)信息的合法授權(quán)訪問和收發(fā)等；配置防病毒產(chǎn)品保證系統(tǒng)不致受到各類病毒的侵害。以上各類信息安全產(chǎn)品可通過一個中央策略管理系統(tǒng)實現(xiàn)集中統(tǒng)一的管理，合理有效地設(shè)置網(wǎng)絡(luò)安全策略，達到最優(yōu)化配置，從而在最大程度上保證整個網(wǎng)絡(luò)信息的安全、可靠。 為保證網(wǎng)絡(luò)今后的可擴展性，安全可靠地接入 Inter 網(wǎng)，這里我們選用了帶有 DMZ（非軍事化區(qū)）端口的防火墻產(chǎn)品，可在 DMZ 區(qū)設(shè)置有關(guān)服務(wù)器，將可公開的信息存放在服務(wù)器中，內(nèi)網(wǎng)用戶可安全便捷地訪問該區(qū)或再通過防火墻訪問Inter 網(wǎng)，而外網(wǎng)用戶經(jīng)過授權(quán)可以有條件地訪問 DMZ 區(qū)，但絕對禁止訪問內(nèi)網(wǎng)。內(nèi)網(wǎng)用戶和遠程終端通過防火墻結(jié)合 VPN 的方式，實現(xiàn)了機密信息的加密傳輸，確保了系統(tǒng)的整體安全，相當于在開放的公網(wǎng)上構(gòu)筑了一條條安全高效的隧道，確保了網(wǎng)絡(luò)與信息的安全。 第四章 辦公自動化系統(tǒng) 概 述 該司法行政系統(tǒng)的辦公自動化系統(tǒng)（ OA）將采用科學手段處理大量流動的公文、信息和檔案。在保證信息一致性、保密性和及時性的基礎(chǔ)上，最終將達到以該司法行政系統(tǒng)的計算機網(wǎng)絡(luò)為平臺，以信息共享與傳遞、智能化決策為目的，用計算機 取代大量重復性的手工勞動，使司法行政機關(guān)的日常辦公逐步走向無紙化、規(guī)范化階段。該子系統(tǒng)的結(jié)構(gòu)和使用方式將完全符合市司法行政系統(tǒng)現(xiàn)有的辦公業(yè)務(wù)流程，系統(tǒng)功能齊全，操作簡捷，成為針對市司法行政系統(tǒng)各部門辦公應(yīng)用的通用管理系統(tǒng)，該辦公系統(tǒng)的建成將使市司法行政系統(tǒng)的工作流程規(guī)范化，大大提高辦公效率和管理水平。 辦公自動化的設(shè)計思想 系統(tǒng)特點 實用性 實用性為首要原則。在設(shè)計和實施市司法行政系統(tǒng)的辦公自動化系統(tǒng)時，既要充分利用目前計算機領(lǐng)域的先進技術(shù)成果，又要充分考慮目前司法 行政機構(gòu)實際的工作流程和計算機應(yīng)用的軟硬件環(huán)境；既要考慮到辦公自動化系統(tǒng)未來各個工作環(huán)節(jié)的合理性與先進性，又要考慮到從目前的手工工作模式向自動化工作模式轉(zhuǎn)變過程的漸進性和平滑性。 靈活性 市司法行政系統(tǒng)的辦公自動化系統(tǒng)應(yīng)具有高度的靈活性和可配置性，以收發(fā)文件子系統(tǒng)為例，要求其在局域網(wǎng)內(nèi)同時支持黨、政、工等多條收發(fā)渠道，各收發(fā)渠道可獨立收發(fā)文件。機構(gòu)層次可進行多級別設(shè)置，即可以設(shè)置為局－部處－科室等多級組織并以部處或科室為活動單元。 在廣域網(wǎng)上支持多級收發(fā)文，即機構(gòu)的各層次應(yīng)可獨立收發(fā)文 件。系統(tǒng)的各種工作流程、表單、打印格式等都應(yīng)有靈活的初始化和定義功能，可以根據(jù)用戶的需求特點自由設(shè)置。 高可靠性及強大的容錯能力 司法行政系統(tǒng)辦公自動化系統(tǒng)的運行能很好地貫穿于各單位的管理行為之中，穩(wěn)定可靠，應(yīng)該對用戶的任意操作行為有容錯、糾錯功能。系統(tǒng)數(shù)據(jù)在采集、傳輸?shù)冗^程中，應(yīng)該保持準確完好，達到較高的信息準確率。 安全性與保密性 該司法行政系統(tǒng)辦公自動化系統(tǒng)的安全性是司法行政系統(tǒng)綜合信息網(wǎng)建設(shè)工程的重中之重。該模塊的詳細功能可參見本方案中有關(guān)信息安全的章節(jié)。 本系統(tǒng)能夠通過 CA 對用戶權(quán)限的嚴格控制，實現(xiàn)對服務(wù)器、數(shù)據(jù)庫、以及字段級的多層安全保密控制，防止非法用戶侵入、存儲。 開放性 充分考慮與其他應(yīng)用系統(tǒng)的接口問題，例如可以通過編程實現(xiàn)與單位已有的辦公自動化軟件進行透明的數(shù)據(jù)交換；充分保護和利用各單位已有的投資。同時要保證本系統(tǒng)的運行不影響同一運行環(huán)境下其他系統(tǒng)的運行。 易管理、易維護 該司法行政系統(tǒng)辦公自動化系統(tǒng)的軟件可根據(jù)需要不斷升級更新。在版本升級等維護過程中，客戶端無須或只須做少量的維護工作。同時也應(yīng)考慮到各單位的 機構(gòu)和人員的變動以及變動后對數(shù)據(jù)所需要進行的維護與修改。系統(tǒng)應(yīng)該具備更新數(shù)據(jù)的自動備份功能。 高性能 本系統(tǒng)支持的局域網(wǎng)內(nèi)用戶應(yīng)為 500 個以上?？芍С侄鄠€用戶在權(quán)限內(nèi)同時對某個文件進行處理，彼此不受干擾，而且多個用戶可同時對多個文件進行處理，且系統(tǒng)的處理速度較快。 先進性 充分利用計算機網(wǎng)絡(luò)、數(shù)據(jù)庫、程序設(shè)計、多媒體信息處理等多方面的主流和成熟技術(shù)。隨著 Inter 技術(shù)的普及和應(yīng)用，辦公自動化系統(tǒng)作為 Intra 的重要應(yīng)用與 Inter 緊密結(jié)合，提供包括電 子郵件、 Web 發(fā)布等多項 Inter 應(yīng)用，并且還可以進一步提供網(wǎng)絡(luò)服務(wù)，實現(xiàn)電子商務(wù)和參與電子社區(qū)，實現(xiàn)網(wǎng)上信息發(fā)布收集與 企業(yè) 內(nèi)部事務(wù)處理的集成。 系統(tǒng)性能 實時性的要求 ? 查詢時間〈 =60 秒 ? 統(tǒng)計匯總時間〈 =120 秒 數(shù)據(jù)容量 能夠保存五年內(nèi)的數(shù)據(jù)。 數(shù)據(jù)庫要求 ? 最好放在本地 ? 不能被外部修改 ? 自己授權(quán)單位可查詢 系統(tǒng)功能 該司法行政系統(tǒng)辦公自動化系統(tǒng)可分為如下五個子系統(tǒng)：個人辦公管理子系統(tǒng)、行政辦公管理子系統(tǒng)、公 共信息管理子系統(tǒng)、外事管理子系統(tǒng)和法律法規(guī)管理子系統(tǒng)。各子系統(tǒng)應(yīng)該同時具備下述綜合功能： 向上級單位匯報數(shù)據(jù)； 授權(quán)使用，無權(quán)限不能使用； 領(lǐng)導可隨時查閱所有資料； 辦公室之間可發(fā)生業(yè)務(wù)關(guān)系； 統(tǒng)計匯總下級上報數(shù)據(jù)； 對工作流程中的時間進行分析，以找到辦公瓶頸。 另外，系統(tǒng)還保證運行時占用資源少，查詢、統(tǒng)計時間快。 行政辦公管理 ? 收文管理 ? 批閱公文 ? 發(fā)文管理 ? 檔案管理 ? 會議管理 前四項功能要求紙質(zhì)文檔和電子文檔并 存。 個人辦公管理 ? 電子郵件 ? 各類報告起草 ? 個人和公共活動管理 ? 代辦事項自動提醒 公共信息管理 ? 綜合信息管理 ? 電子公告板 ? 焦點論壇 外事管理 ? 外事制度管理 ? 出國事務(wù)管理 政策法規(guī)管理 ? 國家政策法規(guī)管理 ? 市司法行政系統(tǒng)政策法規(guī)管理 系統(tǒng)方案描述 根據(jù)總體設(shè)計思想，基于各單位的現(xiàn)有情況，實現(xiàn) Inter/Intra 與辦公自動化系統(tǒng)的集成。通過 Inter/Intra 技術(shù)，實現(xiàn)市司法行政系統(tǒng)各下屬單位之間的信息交換。為了達到業(yè)界標準的先進辦公自動化水平與功能，我們將利用已有的成熟的通用軟件，在此基礎(chǔ)上進行系統(tǒng)集成和二次開發(fā)，來完成司法行政系統(tǒng)辦公自動化系統(tǒng)的組建。 行政辦公管理子系統(tǒng) 根據(jù)不同用戶的不同行文流程，在司法行政機關(guān)管理信息綜合環(huán)境上實現(xiàn)收文、發(fā)文、批閱（督辦）、統(tǒng)計查詢直至辦結(jié)的整個過程，并對整個工作流程實現(xiàn)實時跟蹤。能處理包括：收文、發(fā)文、通知、公函、會議紀要、會議管理、檔案管理、簽報、報告在內(nèi)的各種公文。 該子系統(tǒng)具有發(fā)文業(yè)務(wù)、發(fā)文 查詢、發(fā)文歸檔、發(fā)文處理單、收文業(yè)務(wù)、收文查詢、收文歸檔、收文處理單、公文考核、會議紀要、檔案管理、打印功能和登記表管理等功能模塊。 發(fā)文業(yè)務(wù) 實現(xiàn)公文起草、處長審閱、辦公室秘書核稿、辦公室主任審核、相關(guān)處室匯簽、主管局長審批、局長簽發(fā)、聯(lián)合發(fā)文單位簽署意見、辦公室文書登記、辦公室打字員排版印刷、辦公室文書歸檔等發(fā)文工作的全過程，并可進行轉(zhuǎn)入局大事記等操作。通過權(quán)限設(shè)置，每個人根據(jù)本人職務(wù)和崗位對發(fā)文具有不同的操作權(quán)力，并可隨時查詢流經(jīng)本人的發(fā)文辦理情況。對于 密級 文件設(shè)定了只有流經(jīng)人 員可以查閱的安全措施。對于有請示件的發(fā)文，將已作為收文處理的請示件和發(fā)文連同起來進行處理，供隨時查閱文由。 收文業(yè)務(wù) 實現(xiàn)辦公室文書登記、辦公室打字員錄入、辦公室主任寫擬辦意見、局長批示（或傳閱）、處室辦理（或傳閱）、辦公室文書歸檔等收文工作的全過程。 公文查詢 公文的查詢分為收文查詢和發(fā)文查詢。查詢方式分為兩種：模糊查詢以及樹型查詢方法。 模糊查詢可以按照用戶輸入的條件進行查詢。提供按文件號、文件標題、緊急程度、類別、文件歸屬、是否聯(lián)文、起草單位、起草人、簽發(fā)時間 等條件進行組合查詢，對文件標題可進行模糊查詢，對密級文件