【正文】 大部分都沒有建立地市電子政務網，只是配置了前置服務器、路由器及防火墻設備，聯(lián)接的范圍只是信息中心的小型的局域網。A級地市電子政務網絡中心：A1安全與管理區(qū)域，A2基礎數(shù)據庫區(qū)域A3業(yè)務系統(tǒng)服務區(qū)域、A4應用支撐服務區(qū)域A5公務員門戶網站A6互聯(lián)網門戶網站B級安全級別較高的市屬局級單位網絡安全域:B1涉密網，B2電子政務服務區(qū)C級安全級別較低的市屬局級單位網絡安全域D縣級政務網安全域如下圖所示：圖29 網絡區(qū)域劃分 宏觀訪問分析與策略市州電子政務網服務系統(tǒng)較多，涉及范圍很廣，安全區(qū)域較多，需要很好的控制，實現(xiàn)安全訪問和安全可控，難度較大。 安全體系區(qū)域劃分 行政級別劃分省電子政務網行政級別主要可分為三級：省電子政務網信息中心及其直屬廳局政務網、17地市電子政務網及其直屬局政務網、縣級政務網及其下屬單位鄉(xiāng)鎮(zhèn)政務網。 統(tǒng)一安全防御體系設計統(tǒng)一安全防御體系包括安全技術和設備的管理、安全管理制度、部門與人員的組織規(guī)則等。系統(tǒng)架構如下圖所示：圖27 市州CA系統(tǒng)邏輯結構圖如上圖，整個市州電子政務CA系統(tǒng)由最終用戶、CA管理（位于市州本地）、RA中心（位于市州本地）、CA中心（位于省電子政務中心）構成。（PKI/CA） 市州級網絡的數(shù)據與應用安全體系設計，主要依托PKI/CA來實現(xiàn)。這些沒發(fā)現(xiàn)的漏洞嚴重的威脅著大家的安全，但是這些漏洞都是可以通過自己修改系統(tǒng)來減小危害的。因此在市州網絡規(guī)劃中，應該將主機的漏洞檢測和網絡漏洞檢測結合考慮。在市州網絡規(guī)劃中，應該將主機的病毒防范和網絡病毒防范結合考慮。 主機與系統(tǒng)安全體系設計主機與系統(tǒng)安全體系設計中，需要采取的措施有：病毒防范、漏洞檢測、操作系統(tǒng)的安全配置、操作系統(tǒng)安全加固等。（7）黑洞技術黑洞是一種防DOS攻擊的特殊設備，其設備工作在網絡底層，在重要的服務器與核心數(shù)據庫服務器入口處配置“黑洞”，將非法的訪問全部“過濾”，確保合法訪問的請求有效與響應及時，從而增加系統(tǒng)的安全性與穩(wěn)定性。而且，系統(tǒng)能對用戶用網情況實施跟蹤，對系統(tǒng)安全狀況進行適時審計。（6）入網認證與審計對一些安全保密度要求高的應用系統(tǒng)用戶實行入網認證和審計，將用戶名、密碼、IP、MAC、VLAN、PORT等進行捆綁，為用戶頒發(fā)入網證書。（5）鏈路加密和PVC技術采用鏈路加密或網絡PVC技術使內部網絡用戶與其他外部用戶之間隔離，以提高信息的安全度。（3）病毒防護技術在市州的電子政務網絡建設中，為避免網絡內部遭受各類病毒的攻擊，應在工程中采用企業(yè)級病毒防護系統(tǒng)，該系統(tǒng)應至少包含客戶機防護模塊、服務器防護模塊、病毒防護服務器、集中管理控制臺等四個部分，可以對全網絡的計算機實施分布但統(tǒng)一管理的病毒防護。（２）入侵檢測系統(tǒng)（IDS）入侵檢測系統(tǒng)全稱為Intrusion Detection System，它從計算機網絡系統(tǒng)中的關鍵點收集信息，并分析這些信息，檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。對本方案中，市州應統(tǒng)一采用的安全技術分析如下：（１）防火墻技術防火墻是通過控制內部用戶對網絡的訪問權限、認證并過濾外來用戶訪問的請求和信息流等方法來保護內部網絡資源的。 由于市州電子政務外網的性質為非涉密網，在建設過程中，無須建設屏蔽機房，無須采用屏蔽線路，無須采用電磁輻射等技術；也就是說，對于物理安全防范方面，將不考慮電磁輻射等帶來的信息泄露問題，避免不必要投資；但對于網絡中心設備、鏈路上的冗余要求，也應根據應用的需求，避免盲目投資造成設備閑置。 各層技術實現(xiàn) 物理與線路傳輸安全設計物理與線路傳輸安全是整個系統(tǒng)安全的前提。l 從技術管理角度審視，要針對各個層面的要求實現(xiàn)統(tǒng)一的安全監(jiān)管，為IT決策提供依據。統(tǒng)一安全管理體系安全管理貫穿在安全的各個層次實施，本身可以從不同的視角加以描述：l 從全局管理角度審視，要制訂全局的安全管理策略。需要采取的安全技術與措施包括：身份認證、訪問控制、數(shù)據保密性和完整性（安全通信）、內容審計、數(shù)據備份等。具體的安全技術和措施包括：病毒防范、漏洞檢測、操作系統(tǒng)的安全配置、操作系統(tǒng)安全加固等。網絡安全防御體系網絡安全防御體系主要解決網絡互聯(lián)時在網絡通信層的安全問題，具體采用的安全技術和措施包括：網絡設備安全、網絡訪問控制、撥號網絡的安全、網絡和鏈路層數(shù)據加密、網絡隔離、防火墻、入侵檢測、安全審計等。 安全管理與審計：加強電子政務內部的安全管理與安全審計，建立統(tǒng)一的安全管理平臺，建立起完善的安全管理制度。安全認證：必須建立起完整的PKI/CA體系，并同省級PKI/CA體系連通，作為整個電子政務內部的授權與管理依據。第六章 安全體系設計在電子政務這樣的一個大型網絡平臺上，采用必要的安全措施，構建完整的網絡安全體系是必須的，建設市州級電子政務網絡安全體系的基本策略如下：隔離方式：該網同因特網邏輯隔離，采用防火墻與路由器作為邏輯隔離設備。（3）同省平臺的關系市州電子政務應用支撐平臺主要用于實現(xiàn)市州級電子政務的應用支持，對所有市州的電子政務系統(tǒng)提供各類基礎軟件服務，市州應用支撐平臺與省平臺之間不存在直接的關聯(lián)關系，但是其設計與相應的建設標準應盡量與省平臺保持一致，以便于實現(xiàn)省市之間的數(shù)據交換與數(shù)據共享。市州級網絡中的服務器建議不采購小型機等設備，除特殊應用外（例如社保、財政等），應根據需要，采購較為低廉的PC服務器。應用支撐軟件應用支撐軟件應包括以下內容：l 數(shù)據交換軟件——如BizTalk、TongLink、MQ等基于消息的數(shù)據庫交換服務器軟件；l 應用中間件——如WebLogic、Tomcat、.Net Framework等應用運行環(huán)境；l 工作流引擎——如Work flow、K2 .net 等對工作流程進行定制的服務器軟件；l 門戶管理——如Portal、SharePoint等對門戶發(fā)布、內容進行管理的門戶平臺；l 統(tǒng)一授權——提供市州應用系統(tǒng)集中授權管理的服務器軟件；l 目錄服務——將所有資源以目錄樹方式提供資源檢索、訪問的服務器軟件；l 短信網關、GRPS服務器——用于移動辦公、政務短信等移動政務系統(tǒng)開發(fā)的通信服務器軟件。安全與管理軟件安全與管理軟件應該包括以下內容：l 網絡管理軟件；l 日志管理軟件；l 入侵檢測服務器軟件；l 漏洞掃描服務器軟件；l 入網審計服務器軟件；l 防病毒服務器軟件；l CA管理服務器軟件；l RA中心服務器軟件。 圖10 中心機房服務器示意圖　　如上圖所示，中心機房的計算機及輔助設備配置情況為：由兩臺核心交換機構成數(shù)據中心的核心網絡；l 所有服務器劃分為業(yè)務系統(tǒng)服務器區(qū)域、應用支撐服務器區(qū)域、基礎數(shù)據庫服務器區(qū)域、安全與管理服務器區(qū)域、互聯(lián)網服務器區(qū)域；l 應用支撐服務器區(qū)域用于存放數(shù)據交換、外網門戶、工作流、中間件等基礎平臺服務器；l 安全與管理服務器區(qū)域用于存放網絡防御體系與網絡信任體系中需要建設的服務器；l 基礎數(shù)據庫區(qū)域存放兩臺數(shù)據庫服務器，用于五大基礎數(shù)據庫以及其它電子政務基礎數(shù)據庫的建設；l 業(yè)務系統(tǒng)服務器區(qū)域則根據各市州應用系統(tǒng)建設的需要，不斷添加業(yè)務系統(tǒng)服務器；l 互聯(lián)網服務器區(qū)域用于存放對互聯(lián)網提供服務的所有服務器，與其他區(qū)域通過防火墻進行邏輯隔離；l 灰色區(qū)域是應該劃歸統(tǒng)一規(guī)劃、設計和建設的，粉色區(qū)域是應該根據各市州的資金投入和應用建設情況分布建設的，但是這些區(qū)域必須采用統(tǒng)一的設計標準，以便實現(xiàn)“統(tǒng)一規(guī)劃、分布實施”；l 存儲網絡通過IPSAN方式，連接了兩臺SAN交換設備，對核心數(shù)據形成雙鏈路讀寫，屏蔽了整個系統(tǒng)的單一故障點第五章 平臺設計市州的電子政務應用支撐平臺是建設在網絡平臺基礎之上的，通過各種基礎服務軟件，向市州的應用提供服務。 中心服務器設備配置中心機房是市州級電子政務外網數(shù)據中心或網絡中心的核心機房，市州外網平臺提供基礎支持服務、數(shù)據資源服務、安全服務、存儲服務，所有服務器都放置于該機房內；為了節(jié)省投資，建議區(qū)縣級網絡不設置數(shù)據中心或網絡中心，所有服務資源都托管于市州數(shù)據中心機房；因此，中心的建設是電子政務外網平臺建設的重要任務之一。圖9 城區(qū)設區(qū)、街道接入 鄉(xiāng)鎮(zhèn)及行政村接入技術路線各行政村均通過VPN專線方式匯聚到所屬縣級網絡。 對于這種區(qū)縣級網絡，應該通過接入路由器和市州級網絡互連，如果需要添加防火墻(也可以選擇支持防火墻技術的路由器)，則應該將防火墻至于接入路由器之后，如下圖所示。 對于這種小型區(qū)縣型網絡，則可以直接用接入交換機來實現(xiàn)連接，如果有必要，則可以在市州的匯聚路由器和區(qū)縣的接入交換機之間添加防火墻，如圖所示。 （1）采用接入交換機 在《電子政務外網技術規(guī)范》中，為了減少區(qū)縣級網絡的投入，建議了區(qū)縣級的電子政務網絡建設不設置核心網絡區(qū)域，而是采用托管方式，將所有服務資源都存放在市州級核心網絡中。圖6 區(qū)縣級網絡實現(xiàn)同時，除非區(qū)縣級應用較為復雜、數(shù)據交換比較頻繁，否則不建議建設區(qū)縣級網絡中心或者數(shù)據中心，統(tǒng)一將服務器放置于市州核心網絡中提供服務，以便于節(jié)約建設成本。 區(qū)縣級網絡實現(xiàn) 區(qū)縣網絡技術路線區(qū)縣級網絡作為市州級網絡的延伸，不再嚴格區(qū)分市州級網絡和區(qū)縣級網絡，要采用集中接入與遠程接入兩種方式的組合，從而達到所有節(jié)點接入的效果。 手機等設備，多是借助于短信息方式，完成和電子政務外網平臺中應用的交換。 移動筆記本電腦訪問電子政務外網時，主要通過兩種方式訪問；第一種方式，當筆記本電腦位于互聯(lián)網絡上時，通過統(tǒng)一入網認證網關，在進行認證后訪問外網平臺；第二種方式，當筆記本電腦通過GPRS或者CDMA訪問電子政務外網時，則必須通過GPRS VPN的類似技術，以免非法用戶進入電子政務外網。（3）電話 借助于電子政務網絡，實現(xiàn)市州內部的電子政務電話專網或IP電話網絡，通過與各類電子政務應用的結合，提供政務系統(tǒng)內部的實時通話服務。（2）電視 各市州應設置專門的電視頻道——政務頻道，作為電子政務中政府門戶的一項特殊服務，借助于有線電視網絡，實現(xiàn)電視圖像、圖文信息的單向發(fā)布，為社會公眾和公務員提供各類直觀的政務信息。（1）計算機 普通的計算機是構成電子政務網絡客戶層面的基礎，普通計算機位于網絡上的固定位置，通過固定的網絡接口訪問電子政務外網。各區(qū)縣級網絡根據需要可以自行建設其互聯(lián)網出口。圖5市州與省的路由器互連 市州平臺與省平臺之間為邏輯隔離，通過防火墻實施； 省級平臺的接入路由器應該與市州匯聚網絡的匯聚路由器通過防火墻實施連接，而不能直接接到市州匯聚網絡的骨干路由器上；省級外網平臺與市州外網平臺資源之間不通過MPLS VPN進行互訪，僅通過路由協(xié)議來完成，例如OSPF或者BGP。 市州部門接入網技術路線在《電子政務外網技術規(guī)范》中，為了減少市州局網絡的投入，不需要采用復雜的路由網絡建設方式，僅需要建成一個交換網絡就可以，各市州的委辦局單位均采用三層交換機實現(xiàn)與市州政務網的互連，如需要實現(xiàn)MPLS VPN業(yè)務，可以選擇支持MCE的交換機設備。圖4 城域網示意圖 市州廣域骨干網技術路線 市州廣域骨干路由器設備主要完成各區(qū)縣政府單位的匯聚，除了在高可用性方面與核心局域網設備一致下，還需要具有較高的接口密度和較多的插槽數(shù)，以實現(xiàn)眾多的縣局單位的接入。目前常用的城域網技術：l 單個設備上的硬件冗余，如雙主控、單板熱插拔、電源冗余、風扇冗余等；l 鏈路捆綁，如以太網鏈路聚合、MP等；l 環(huán)網技術，如RPR、RRPP；l STP、Smart Link等二層冗余技術；l 冗余網關技術，如VRRP；l ECMP，浮動靜態(tài)路由，動態(tài)路由快速收斂（如快速hello，iSPF）；l 不間斷轉發(fā)：NSF/GR；l DLDP鏈路檢測協(xié)議；l 不間斷轉發(fā)：NSF/SSO/GR；l MPLS VPN技術；l IPv4/IPv6技術。城域網匯聚路由器到各委辦局三層交換機全部采用千兆光纖直連。圖3 核心局域網結構圖 市州城域網技術路線市州城域網的地位非常重要，在業(yè)務上承上啟下，即要完成各市州廳、局、委、辦等單位的橫向接入，也要完成各區(qū)縣政府單位的匯聚，同時還要實現(xiàn)與省級政務平臺的互通。整網帶寬較高、穩(wěn)定可靠、可滿足多種業(yè)務的無阻塞交換。 另外從技術發(fā)展的角度來看，核心高端設備還應支持網絡流量分析功能、硬件防火墻等技術，以滿足政務網未來擴展的需要。對目前常用的高可用性技術，可以作一個簡單的歸類：l 單個設備上的硬件冗余，如雙主控、單板熱插拔、電源冗余、風扇冗余等；l 鏈路捆綁，如以太網鏈路聚合、MP等；l 環(huán)網技術，如RPR、RRPP；l STP、Smart Link等二層冗余技術；l 冗余網關技術，如VRRP；l