【正文】 時(shí)也可以盡可能減少外部入侵及破壞系統(tǒng)的可能性。其他子網(wǎng)可按電子政務(wù)系統(tǒng)的職責(zé)范圍劃分，采用多個(gè) VLAN管理。其業(yè)務(wù)模型可以用下圖表示。 借助互聯(lián)網(wǎng)實(shí)現(xiàn)政府機(jī)構(gòu)的對(duì)外辦公，如：申請(qǐng)、申報(bào)等，提高政府的運(yùn)作效率，增加透明度。 10 第 11頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 電子政務(wù)信息流 在電子政務(wù)系統(tǒng)中主要存在三種信息流，如下圖所示。如圖所示。 圖 電子政務(wù)系統(tǒng)功能結(jié)構(gòu)圖 13 第 14頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 政務(wù)處理邏輯結(jié)構(gòu) 4. 政務(wù)處理邏輯組織將系統(tǒng)結(jié)構(gòu)劃分成數(shù)據(jù)層、組件層、功能層和應(yīng)用層，如圖所示。匯聚層設(shè)備要求支持 MPLS VPN，能夠承擔(dān) PE（ Provider Edge，骨干網(wǎng)中的邊緣設(shè)備）的功能，并需要支持 NAT（地址轉(zhuǎn)換）功能，以支持不同接入用戶在地址重疊的情況下能夠通過(guò) NAT技術(shù)轉(zhuǎn)換成不同的地址。通常，市政府與所轄的區(qū)政府位于同一個(gè)城市，可采用 1Gbit/s路由交換機(jī)上連市電子政務(wù)骨干網(wǎng)。上連的設(shè)備均要支持 MPLS VPN，便于縱向業(yè)務(wù)訪問(wèn)。在條件允許的情況下，不同的部門局域網(wǎng)通過(guò)不同的邊界路由器接入 MPLS網(wǎng)絡(luò)中，這些部門在接入側(cè)隔離，如圖 17 第 18頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 基于 EPON的接入 ? 例如，市地稅局下屬 8個(gè)稅務(wù)所，分布在城市的不同街道或路段，均在 10km范圍內(nèi)。按照華為 EPON技術(shù)方案， OLT設(shè)備選用 S6503，配置Salience III型交換路由板，配置 LS8M1PT8GA（ 8端口吉比特 EPON業(yè)務(wù)板，與 ONU之間的最大傳輸距離為 10km）。 例如 ，AMP NETCONNECT屏蔽布線系統(tǒng)從工作區(qū)域的信息插座 ，雙絞線 ， 配線架 ， RJ45跳線 ， 組成了從終點(diǎn)到終點(diǎn)的連續(xù)的屏蔽路徑 。 ?屏蔽系統(tǒng)所有設(shè)施應(yīng)選擇同一品牌的產(chǎn)品。在水平子系統(tǒng) FTP連接的兩端，RJ45屏蔽接口的屏蔽金屬殼與 RJ45接頭的金屬包覆套采用緊密嵌套接合，確保跳線和接口完全充分的接觸。 20 第 21頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 屏蔽布線安裝工藝要求 ? 屏蔽層的續(xù)接密實(shí)、連續(xù)； ? 一個(gè)完全緊密的接地系統(tǒng)會(huì)提高屏蔽系統(tǒng)的整體性能，降低接地電阻，并使其一直保持低于 1歐姆的電阻值； ? 每個(gè)配線架獨(dú)立接地； ? 每個(gè)配線架只有一個(gè)接地點(diǎn)； ? 盡量縮短屏蔽線的開剝長(zhǎng)度； ? 保持雙絞線轉(zhuǎn)彎時(shí)有大于線徑 8倍的彎曲半徑。利用 IP SAN自帶的備份軟件的實(shí)時(shí)或定時(shí)備份功能，能夠?qū)崿F(xiàn)備份工作自動(dòng)化、制度化和全面化，為系統(tǒng)提供更高層次的安全保障和可靠性。EX1000S配置 250GB的 SATA II磁盤 20塊，采用 RAID 5+熱補(bǔ)，可用存儲(chǔ)容量 。 25 第 26頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 多服務(wù)器集中存儲(chǔ)拓?fù)浣Y(jié)構(gòu) 26 第 27頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 遠(yuǎn)程災(zāi)難備份與恢復(fù) ? 遠(yuǎn)程災(zāi)難備份與恢復(fù)技術(shù)支持在數(shù)據(jù)中心與災(zāi)難備份中心之間通過(guò) IP網(wǎng)絡(luò)對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行策略性增量復(fù)制，實(shí)現(xiàn)數(shù)據(jù)的異地備份，并在發(fā)生意外災(zāi)難時(shí)對(duì)數(shù)據(jù)進(jìn)行快速恢復(fù)，確?？蛻舻臉I(yè)務(wù)持續(xù)性。 29 第 30頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 PKI定義與作用 ? PKI是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)，目的是為了自動(dòng)管理密鑰和證書，保證網(wǎng)上數(shù)字信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性。 30 第 31頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 PKI組成與功能 ?PKI系統(tǒng)可劃分為四個(gè)功能區(qū)域，即 核心安全區(qū)、審核管理區(qū)、在線服務(wù)區(qū)、本地審核受理點(diǎn)（ LRA）區(qū) SiSiC A 管 理 P CC A 證 書 簽發(fā) 服 務(wù) 器密 碼 機(jī)K M 密 鑰 管理 服 務(wù) 器密 碼 機(jī)R A 管 理 P C數(shù) 據(jù) 庫(kù)服 務(wù) 器主 L D A P服 務(wù) 器W W W R A服 務(wù) 器從 L D A P服 務(wù) 器電 子 政 務(wù)非 涉 密 網(wǎng)L A R 管 理P C? .核心安全區(qū)審核管理區(qū)在線服務(wù)區(qū)本 地 審 核受 理 點(diǎn) 31 第 32頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 PKI功能結(jié)構(gòu) ?PKI系統(tǒng)功能采用三級(jí)架構(gòu) 。其中，信任服務(wù)主要是解決在茫茫網(wǎng)海中如何確認(rèn)“你是你、我是我、他是他”的問(wèn)題。 ? 例如，張三發(fā)送一個(gè)合約給李四，李四可要求張三進(jìn)行數(shù)字簽名。而所有的人，包括李四，都沒(méi)有模仿張三簽署這個(gè)合約的能力。 通過(guò)數(shù)字簽名進(jìn)行身份認(rèn)證 。 （ 2） 保密性 。 （ 3） 完整性 。 （ 4） 不可否認(rèn)性 。 數(shù)字證書與加密 34 第 35頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 ?數(shù)字證書應(yīng)集成加密與簽名的雙重安全措施，以確保電子文件的真實(shí)性和保密性。 ?正常情況下用戶自己的證書中含有“私人密鑰”和“公用密鑰”。 1976年 ， Whitfield Diffie和Martin Hellman發(fā)明了一個(gè)叫做非對(duì)稱 （ Asymmetric） 或公共密鑰 （ Publickey） 加密方法 ， 作為對(duì)稱加密的替換 。用密鑰 A加密的信息 ， 只能由密鑰 B才能解密；同樣用密鑰 B加密的信息 ， 也只有由密鑰 A才能解密 。 習(xí)慣上把公開出去的密鑰叫做公鑰 ，而留給自己保存的密鑰叫做私鑰 。 含的信息：版本 ， 序列號(hào) ， 簽名算法 ， 發(fā)出者姓名 ， 合法性期限 ，主題名稱 ， 主題公共密鑰數(shù)據(jù) ， 發(fā)出者唯一標(biāo)識(shí)符 ， 主題唯一標(biāo)識(shí)符和擴(kuò)展 。接受者能使用他的公鑰進(jìn)行解密，然后重新生成指紋進(jìn)行比較。 1 . 簽名過(guò)程 2 . 通過(guò)網(wǎng)絡(luò)傳輸 3 . 接收驗(yàn)證簽名H a s h 運(yùn)算H a s h 運(yùn)算文摘 簽名私鑰加密文件同簽名一起發(fā)送簽名文摘文摘公鑰解密對(duì)比37 第 38頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 電子政務(wù)業(yè)務(wù)隔離 ? 基于 VLAN的業(yè)務(wù)隔離 ? VLAN是在以太網(wǎng)的二層建立數(shù)據(jù)幀標(biāo)簽（ Frame Tag），使不同的標(biāo)簽數(shù)據(jù)幀通信被隔離。在實(shí)際中，考慮到 MAC地址易篡改和 IP易盜用，電子政府分支部門（如縣級(jí)工商局不同業(yè)務(wù)科室）多采用基于端口的 VLAN。 基于隧道的 VPN網(wǎng)絡(luò) 39 第 40頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 根據(jù) ISO模型， VPN的主要協(xié)議如表所示。在 Access VPN方式下，遠(yuǎn)端用戶不需要通過(guò)長(zhǎng)途電話撥號(hào)到政府遠(yuǎn)程接入端口，而是撥號(hào)接入到用戶本地的 ISP，利用 VPN系統(tǒng)在公眾網(wǎng)上建立一個(gè)從客戶端到網(wǎng)關(guān)的安全傳輸通道。在 Intra VPN 方式下，政府兩個(gè)異地機(jī)構(gòu)的局域網(wǎng)互連不租用專線，而是政府分支機(jī)構(gòu)網(wǎng)絡(luò)利用 VPN特性可以在 ChinaNET上組建省、市和縣范圍內(nèi)的 Intra VPN。該類型與Intra VPN沒(méi)有本質(zhì)的區(qū)別，但由于是不同集團(tuán)用戶的網(wǎng)絡(luò)相互通信，所以要更多的考慮設(shè)備的互連，地址的協(xié)調(diào)，安全策略的協(xié)商等問(wèn)題。工商局和下屬 2個(gè)所均建立了辦公局域網(wǎng)，通過(guò)支持 VPN接口的防火墻連接電子政務(wù)城域網(wǎng)。這樣大大的減少了隧道的配置條數(shù)。 基于 MPLS的業(yè)務(wù)隔離 I P N e t w o r kI P N e t w o r kI P N e t w o r kL S RL S RL S RL E RL E RL E RL E RM P L S N e t w o r kI P N e t w o r k邊緣路由器 交換路由器 交換路徑