【正文】 下連鄉(xiāng)鎮(zhèn)、街道辦事處單位；橫向連直屬有關職能部門和其它因業(yè)務需要接入的單位。城域網核心區(qū)域采用三層網絡架構進行組網。分為電子政務外網城域網核心層、匯聚層、接入層。電子政務外網由臺核心高性能路由器組成。城域網核心層根據用戶的實際情況和現場勘察，利舊原有的外網核心華為核心交換設備，同時再采購一臺同型號的核心交換機與原設備基于虛擬化技術，作為整個舞鋼電子政務外網的城域網核心，連接匯聚層設備、骨干路由設備、互聯網出口區(qū)、運維監(jiān)控區(qū)。城域匯聚層交換機通過百兆專用光纖鏈路連接市委、市政府直屬單位、鄉(xiāng)鎮(zhèn)街道辦事處、文化大廈大樓等單位。實現電子政務外網的城域網線路接入。設備主要功能如下：（）高性能，架構先進：采用多級交換架構，交換網板與主控引擎及接口線卡分離設計。（）能承載更多 多業(yè)務能力，每個接口具備不小于的隔離需求。（）支持；支持；支持與聯動；支持等；支持 和二層；根據等級保護三級要求，該區(qū)域部署入侵檢測和網絡審計設備以滿足信息系統(tǒng)的安全需求。 ）入侵檢測建議在核心交換區(qū)數據中心交換機處旁路部署入侵檢測產品（），并配置鏡像端口對數據流實施抓取和分析，有效檢測和記錄來自網絡內部的入侵行為。并采取短信、郵件等形式提供告警。 ）網絡審計建議在核心交換區(qū)部署網絡安全審計產品，實現全網的網絡行為的統(tǒng)一審計，收集網絡設備、主機系統(tǒng)、數據庫系統(tǒng)運行狀況、網絡流量、用戶行為等日志信息，并對收集到的日志信息進行分類和關聯分析，并可根據審計人員的操作要求生成統(tǒng)計報表，方便查詢和生成報告。.公共網絡數據中心區(qū)本次舞鋼市政務外網項目建設為一期建設，沒有建設公共網絡數據中心區(qū)的需求，待需建設時，再設計方案并向平頂山市政府報備后實施。公用網絡數據中心區(qū)是各部門、各地區(qū)互聯互通的網絡區(qū)域，為政務部門公共服務及開展跨部門、跨地區(qū)的業(yè)務應用、協同和數據共享提供支撐平臺。該區(qū)域提供政務外網的公用網絡服務，如政務外網門戶網站后臺業(yè)務服務等。要求互聯網用戶不能直接訪問這個區(qū)域的數據和信息系統(tǒng)。.互聯網數據中心區(qū)本次舞鋼市政務外網項目建設為一期建設，沒有建設互聯網數據中心區(qū)的需求，待需建設時，再設計方案并向平頂山市政府報備后實施?；ヂ摼W出口區(qū)域是政務部門通過邏輯隔離安全接入互聯網的網絡區(qū)域，滿足政務部門利用運營商提供的互聯網鏈路資源開展公共服務、社會管理、經濟調節(jié)和市場監(jiān)管的電子政務業(yè)務需要。安全接入管理區(qū)是在非電子政務外網環(huán)境下，辦公人員及網絡管理人員通過該區(qū)域接入電子政務外網，通過 等技術實現辦公人員及網網管人員安全接入政務外網，保證接入電子政務外網的安全，給辦公人員和網關人員訪問電子政務外網提供穩(wěn)定、安全、可靠的接入方式。.運維監(jiān)控區(qū)該區(qū)域負責運維管理中心的網絡接入和核心網絡運維監(jiān)控部分的部署。運維監(jiān)控區(qū)需部署運維堡壘系統(tǒng)，以實現達到信息安全防護目標，同時需部署運維監(jiān)控軟件對網絡設備、安全設備、主機等多種資源提供全方位的監(jiān)控管理，幫助政務網絡的電子政務外網管理中心實現政務外網的精細化管理，更好保障政務外網業(yè)務的健康、穩(wěn)定運行。）運維堡壘系統(tǒng)當前的政務外網環(huán)境，有大量的服務器和網絡設備需要運維。傳統(tǒng)的每臺設備單獨運維管理的方式需要記住海量的管理地址、用戶名、密碼，工作量巨大、安全風險極高。方案設計使用堡壘機實現網絡和主機環(huán)境的審計運維。 ）漏洞掃描設計本次方案通過旁路的方式，在運維部署一臺漏洞掃描設備，實現對所有的目標主機系統(tǒng)、主流數據庫、應用及支撐系統(tǒng)等，進行各種類型安全漏洞掃描，生成直觀的多類型圖形化的掃描結果報告，對所有發(fā)現的漏洞逐個解釋，提供解決辦法，包括應下載的補丁程序的、建議升級到的版本號和建議的配置策略等。漏洞掃描設備是包括應用檢測、漏洞掃描、弱點識別、風險分析、綜合評估的脆弱性掃描與管理評估產品，為提高內部網絡安全防護性能和抗破壞能力，檢測評估已運行網絡的安全性能，為網絡系統(tǒng)管理員提供實時安全建議提供一種有效實用的脆弱性評估工具。 ）網絡管理軟件設計設計在運維管理區(qū)部署套華為 網絡設備管理系統(tǒng)，實現對交換機、路由器、防火墻、服務器、鏈路等的全方位管理，提供了豐富的拓撲、設備配置、故障告警、性能、安全、報表等網絡管理功能。實現了對資源集中、統(tǒng)一、全面的監(jiān)控與管理。使 服務支持過程標準化、流程化、規(guī)范化，極大地提高故障應急處理能力，降低人工操作和管理帶來的風險，提升了信息系統(tǒng)的管理效率和服務水平。 ）終端安全管理設計舞鋼市政務外網一期建設因接入用戶數量較少，終端安全管理系統(tǒng)暫時不進行建設，待需建設時投資建設。本次方案在安全管理區(qū)部署一套終端管理系統(tǒng)，各個終端安裝客戶端軟件，可以實現集中管理所屬區(qū)域內所有的終端設備。主機監(jiān)控與審計系統(tǒng)功能覆蓋了網絡環(huán)境安全管理、終端資產管理、終端行為安全管理、終端服務安全管理、終端數據安全管理以及移動存儲介質安全管理。從網絡運行安全、終端運行安全以及終端數據敏感信息檢查構建一個完整的網絡終端安全防護體系。設計采用天融信系統(tǒng)，該系統(tǒng)全面滿足國家等級保護、分級保護以及塞班斯法案等的管理技術要求。支持證書、口令、雙因子等多種認證方式。 ）舞鋼市安全域網關和接入管理軟件通過部署舞鋼市安全域網關和接入管理軟件，與局委辦接入局域網終端接入設備進行協調配合，對接入電子政務外網的終端進行分布式多級管理，配合實現電子政務外網安全域認證的管理功能要求。安全接入管理軟件部署在運維監(jiān)控區(qū)。 ）日志網管服務器部署一臺服務器作為日志網關服務器，運維區(qū)域主要運維軟件在該服務器上部署。服務器詳細配置見建設設計清單。 人工智能檢測引擎當前可支撐終端用戶使用，最多可支持萬終端，在未來發(fā)生擴容的情況下，亦可通過增加子控制中心（即分級管理）的方式滿足擴容要求。）網絡防病毒系統(tǒng) （原趨勢科技））身份認證設計舞鋼市身份認證系統(tǒng)需采用電子政務外網認證平臺，基于平頂山市政務外網中心建設本級電子政務中心。 .局域網終端接入區(qū)在匯聚層旁路部署局域網終端接入中心端設備后，在局委局域網接入的出口處部署局域網安全接入認證網關。該區(qū)域設計如下：) 統(tǒng)一身份認證，精確定位審計l 統(tǒng)一安全準入：對入網人員身份進行鑒別，杜絕非授權的網絡訪問，根據身份和訪問區(qū)域資源的不同，分配不同的網絡訪問權限，同時采用 進行數據加密傳輸；l 精確定位審計：以入網人員身份為審計對象進行日志審計，準確定位問題，按需數據收集及統(tǒng)計分析；l 接入用戶認證：全面的身份認證方案，支持政務網數字證書＼用戶名口令＼雙因子\動態(tài)口令等多種方式認證；支持 進行安全接入；支持、協議的第三方認證。）應用安全分域管控l 域間分時訪問控制：外網用戶終端，同一時間只能訪問一個區(qū)域，其他區(qū)域做控制隔離；當用戶想訪問其他區(qū)域時，需手工進行安全域切換，讓用戶能夠在不同的區(qū)域間進行靈活跳轉；l 白名單及單點登錄：l 服務器間內外網特定連接可以通過白名單方式放行?？膳c應用對接，提供必要接口綁定應用資源訪問權限以實現單點登錄。3） 互聯接入隔離l 免客戶端支持和架構，無需客戶端安裝。l 本地互聯網隔離用戶接入外網成功后，隔離終端本地所有互聯網資源訪問（如用戶本地互聯網出口、3G4G、等） （四）數據中心區(qū)平臺設計舞鋼市電子政務外網本次項目建設為一期建設，按相關規(guī)定要求，相應應用軟件須部署于平頂山電子政務外網云數據中心，本地不需部署數據中心區(qū)服務器、存儲、操作系統(tǒng)、數據庫、中間件等軟硬件支撐資源，待需建設數據中心區(qū)域時，形成方案并向平頂山市政府報備后實施。 （五）電子政務域名及地址資源規(guī)劃 .國家、省地址規(guī)劃國家電子政務外網一期工程確定采用公有地址作為網內互聯互通的共享地址。年，國家信息中心外網辦向申請了網段（簡稱地址）公有地址用于政務外網建設，并于年編制印發(fā)《國家電子政務外網地址與域名規(guī)劃》。經過年的發(fā)展，地址總量已不能支撐現有的網絡規(guī)模。為了適應國家電子政務外網的發(fā)展，進一步規(guī)范地址的分配和管理，國家電子政務外網管理中心對年提出的地址規(guī)劃進行了進一步修改完善，并新增了地址規(guī)劃，在此基礎上，形成新的《國家電子政務外網地址規(guī)劃》。l 地方業(yè)務地址應用在地方政務外網公共區(qū)、互聯網區(qū)內，供省內訪問的服務器使用；l 地方終端地址應用在地方政務外網公共區(qū)、互聯網區(qū)的地方終端設備地址配置；l 地方互聯網業(yè)務地址應用在地方政務外網互聯網區(qū)供互聯網門戶網站系統(tǒng)設備使用或者用于終端上互聯網地址轉換使用；常用私網地址如下，可以根據全省的統(tǒng)一規(guī)劃來進行部署；)—（,簡稱地址）。)—（，簡稱地址）。)—（，簡稱地址）。地方終端地址規(guī)劃：.域名規(guī)劃 規(guī)劃 要求總體要求因為省外網與市外網采用方案對接，所以值要全省統(tǒng)一規(guī)劃，每個部門預留個編號，共享區(qū)使用，互聯網區(qū)使用，每個單位的編號為專用網絡區(qū)使用。值值為編號，如為，編號為，則值為值值為編號編號，如編號為，則值為名稱格式為:地區(qū)用戶簡稱編號，采用漢語拼音全拼的方式，首字母大寫,如鄭州安監(jiān)局編號為，省轄市規(guī)劃注意事項編號為省外網統(tǒng)一規(guī)劃，省轄市外網建設運維部門編號的使用情況要定期上報省外網網管中心。.舞鋼地址規(guī)劃舞鋼電子政務外網全局地址表如下：序號行政區(qū)劃全局業(yè)務地址全局管理地址全局管理地址(預留)舞鋼市舞鋼電子政務外網終端地址段如下：序號行政區(qū)劃地方終端地址地方終端地址(預留)舞鋼市舞鋼電子政務外網全局地址規(guī)劃如下： 作為業(yè)務服務器的地址作為網絡設備互聯和地址作為終端地址使用根據以上給出的地址規(guī)劃，做出全市地址規(guī)劃詳表及地址更換實施方案。五、電子政務外網業(yè)務應用系統(tǒng)設計方案舞鋼電子政務外網業(yè)務應用系統(tǒng)包括政府門戶網站主站、站點管理系統(tǒng)、后臺發(fā)布系統(tǒng)、信息公開系統(tǒng)。以上業(yè)務應用系統(tǒng)通過統(tǒng)一部署在平頂山市級電子政務外網云平臺，以滿足政府門戶網站主站、站點管理系統(tǒng)、后臺發(fā)布系統(tǒng)、信息公開系統(tǒng)對服務器、操作系統(tǒng)、中間件、數據庫、存儲資源、網絡安全、防病毒軟件、資源管理平臺的需求，包括服務器、存儲系統(tǒng)、數據備份及恢復服務、漏洞掃描服務等功能的需求。舞鋼市門戶網站群建設必須按國家、省市有關規(guī)范文件的標準建設，后臺發(fā)布系統(tǒng)根據舞鋼實際需求定制開發(fā)，前臺欄目設計根據現有網站并突出舞鋼特色，新網站建成后，舊網站數據完整遷移到新網站，如不符合國家標準規(guī)范和舞鋼實際要求可終止協議。按照省市對電子政務外網門戶建設的要求，建設外網門戶站群系統(tǒng)，詳細方案請參閱《國家建網站建設標準規(guī)范》及現有網站功能。（1） 門戶網站群系統(tǒng)設計.產品技術架構設計（）系統(tǒng)安全設計系統(tǒng)的安全至關重要，我方將針對應用系統(tǒng)的開發(fā)、部署和日常維護等將會提供詳細的安全設計方案，從系統(tǒng)層、應用層、網絡層、數據層、管理制度等方面保障系統(tǒng)的安全穩(wěn)定運行。并且我方產品滿足貴方提出的網頁防篡改系統(tǒng)的功能需求，具體滿足點如下：① 常規(guī)要求項 目概 述產品形態(tài)軟件形態(tài)管理模式采用方式管理（即支持用戶通過瀏覽器對產品各子系統(tǒng)進行遠程管理）支持網站類型支持所有主流的操作系統(tǒng)類型：216。 系列：、等；216。 系列：、等；216。 系列： 、等；支持類型支持所有主流的應用服務器軟件：216。 、 等；216。 、等；適用網絡類型216。 局域網；216。 廣域網；216。 互聯網；表系統(tǒng)安全設計常規(guī)要求②功能要求項 目 述同步與備份功能216。 支持與內容管理系統(tǒng)及各類發(fā)布工具的無縫集成；216。 具備完善的發(fā)布同步功能，支持自動手動精確同步，支持自動手動增量同步；216。 支持備份文件變更的觸發(fā)式同步，保證同步實時性和自動化；216。 同步服務支持雙多機冗余部署；216。 同步服務支持、等操作系統(tǒng)；216。 具備系統(tǒng)備份功能，無須借助其他介質或方式進行；216。 支持網頁發(fā)布的同時進行增量備份，網站備份過程自動化；審計功能216。 提供全面的信息審計功能，可查看、查詢、統(tǒng)計、打印各類信息資源；216。 信息全面，包括操作信息、維護信息、篡改信息、系統(tǒng)信息等；216。 支持多種條件查詢和復合查詢，便于用戶快速準確的定位信息；216。 支持圖表、報表方式存放各類信息資源，且報表格式支持自定義；216。 支持各類信息圖表、報表的定期或自定義時間的郵寄功能；系統(tǒng)攻擊防護功能216。 能夠防止數據庫注入式攻擊；216。 能夠防止跨站腳本漏洞；216。 規(guī)則庫采用正則表達式描述，規(guī)則擴展性高；216。 允許自定義規(guī)則，全面支持網站防護能力的擴展；216。 支持惡意請求的信息記錄；表系統(tǒng)安全設計功能要求 ③性能要求項 目概 述監(jiān)控延遲毫秒級，具體分為兩種情況：平臺：文件篡改前發(fā)現并阻斷，或者篡改發(fā)生后；平臺：訪問被篡改文件之后；恢復延遲毫秒級，與網絡狀況及文件大小直接相關報警延遲秒級同步延遲毫秒級，與網絡狀況及文件大小直接相關系統(tǒng)訪問延遲使用產品前后，系統(tǒng)訪問延遲偏差表系統(tǒng)安全設計性能要求.網站系統(tǒng)安全備份機制①備份技術一般數據備份有如下幾種方式：216。 備份（ ）全備份，用一盤磁帶對整個系統(tǒng)進行包括系統(tǒng)和數據的完全備份。216。 增量備份（ ）增量備份指每次備份的數據只是相當于上一次備份后增加的和修改過的數據。這種備份的優(yōu)點很明顯：沒有重復的備份數據，節(jié)省磁帶空間，又縮短了備份時間。但它的缺點在于當發(fā)生災難時，恢復數據比較麻煩。216。 差分備份（ ）差分備份就是每次備份的數據是相對于上一次全備份之后新增加的和修改過的數據。管理員先在星期一進行一次系統(tǒng)完全備份；然后在接下來的幾天里，再將當天所有與星期一不同的數據（增加的或修改的）備份到磁帶上。