来源:中国电子政务网 更新时间:2012-04-15
一、 概述
本章节中关于电子政务总体解决方案总体解决方案分承载网络、应用平台、支撑平台和数据中心平台四个部份。
二、 电子政务网络平台解决方案
XX省电子政务外网是全省办公资源网络,其终期目标是建立覆盖全省的省、市、县、乡镇四级党委、政府、政协、法院、检察院、纪委及其直属机构、局委办等单位的办公网络,并建立政府公众门户网站,实现政府统一的对民众、企业服务的政府门户。
根据电子政务总体架构和我省电子政务建设目标,我省政务外网包括三级网络:在省会建立“二级网络”,负责省级政府机构(如厅、局、委、办等)的网络接入、互联,同时负责垂直行业系统(如:十二金)的网络互联;在地市建立“三级网络”,负责各地市政府部门的网络接入和互联;在各县建立“四级网络”,负责各县的政府部门的网络接入和互联。同时,在各级横向之间建立互联广域网,负责各地市、县的接入,同时为垂直行业应用系统提供广域网传输通道。从应用层面上来说,建立政务应用系统、政务信息数据资源中心;同时建立政府互联网门户,负责电子政务信息的发布、政府服务功能的提供与受理和提供与企业/公众进行交互的窗口等。
因此,政务网由横向网络和纵向网络组成,其中:
? 横向网络:实现信息共享、跨行业跨政府协作,区域政府对外提供一站式服务
? 纵向网络:垂直行业运作,行业管理与监管
图1 XX省电子政务网网络总体构成示意图
三、 电子政务系统硬件平台建设方案
电子政务系统硬件集成应用建设的主要任务包括信息发布系统的建设、数据库系统的建设及安全防护系统的建设三个方面,在建设过程中始终需遵循高安全性、可管理性、可维护性、可扩展性等基本原则。
四、 电子政务应用平台解决方案
1 应用平台的定义和内容
电子政务应用平台主要是指,政府部门(单位)为提高服务水平和行政效率,充分运用信息技术,利用政务信息资源,实现与政务相关的信息采集、信息发布和业务管理信息化、跨部门的协同办公,而形成的与电子政务网平台发生联系(即存在数据交换),在政府互联网门户上为社会公众应用服务提供支撑的政务业务系统。
XX政府电子政务应用平台的主要内容是利用信息技术,实现不同业务之间、不同政府部门之间的信息互联互通、协同应用,实现“公共服务、社会管理、宏观调控、市场监管”等功能。
2 应用平台的建设思路
XX政府电子政务应用平台总体建设思路是:构建若干个应用系统,涉及协同办公、网上受理与内部办理等五类功能,并以网络平台、操作系统、数据库和各委办局的业务应用系统为基础,在外网上形成为政府公务员服务的资源丰富、功能完善的协同办公平台。在互联网上,基本形成为公民、企业服务的功能较为完善的政府互联网门户。从而实现网上的各类办公,为机关、企业和公民提供便捷、高效、透明的政务信息服务;改善和加强各级政务部门的管理能力、决策能力、应急处理能力和公共服务能力。
3 统一应用系统标准和协议
电子政务应用平台建设周期长、跨多种业务类型,只有完整定义系统的边界、功能、数据的关系,才能在未来应用平台的开发中保证应用平台标准的一致性。应用平台的规划和实施的原则是:首先选定应用系统,然后决定平台、设备的配置,使得有限的投资在短期能取得可见的效果。应用系统平台结构如图2。
图2 应用平台结构图
该平台可支持XX政府实现内部(政府—公务员)、政府和外部(政府之间、政府—企业、政府—个人)的信息沟通交互及共享应用。
该平台更能够改善和加强XX政府各级政务部门的管理能力、决策能力、应急处理能力和公共服务能力。这既是一个实现政府部门信息共享和办公自动化的工作平台,又是一个为社会提供政务信息查询、信用资讯和行政审批等功能的服务平台。
五、 电子政务支撑平台解决方案
XX政府电子政务支撑平台主要解决资源共享、信息交换、数据访问、应用集成、安全可信和可管理等电子政务应用的共性和关键问题,支撑平台提供的服务功能必须能根据应用需要进行扩展,支撑平台必须为应用系统建设提供统一建设标准。各个支撑软件不应是单独的产品或系统,其之间应具备良好的互通及协作性。同时,各个支撑软件应提供统一标准的开放的接口供应用系统调用,且不应对调用的应用系统有除接口标准以外的技术要求。
(1)、XX政府电子政务支撑平台应采用面向服务的技术架构SOA、松耦合的设计模式和组件化实现方式。
(2)、XX政府电子政务支撑平台是基于所有应用系统共享的基础支撑平台。平台应采取统一建设、统一管理的一体化建设策略。对于目前已经投入使用的应用系统,在保护原有投资的原则下,应支持保持现有的应用支撑不变。新建的应用系统或者跨部门的应用系统,要求遵循统一应用支撑管理规范(如用户管理、工作流引擎),不再建设自己专有的应用支撑模块,而是使用统一应用支撑平台。
(3)、平台数据格式要完全基于 XML 标准,数据接口要多元化,支持 File、SOAP、FTP、MSMQT、MQ 等。应用系统可以采用不同的平台技术,但需要通过标准、开放的协议进行交互(如:WebService技术)。
(4)、支撑平台必须选用统一技术路线和技术标准,应保证系统具有良好的集成性。由于支撑平台有关组成部件,是保证将来各类信息资源整合和应用系统集成的关键支撑技术模块。因此,集成开发单位必须对其核心技术性能(例如:开放性、兼容性、稳定性、可用性等一系列的技术性能指标)逐一进行详细的说明,集成开发单位要紧密结合XX政府电子政务建设的实际需要充分地论证所提供支撑软件的必要性和可行性(包括技术可行性在内)。
图3 应用支撑平台
支撑平台是信息资源管理体系的技术核心,通过目录体系和交换平台,可实现分散在各资源的共享和交换。与此同时,支撑平台也是部门访问门户信息及其他地市资源的一个桥梁。
利用平台提供的基础服务建立一个数据交换环境,通过对数据转换和传输过程的集中统一控制和规范管理,以多种数据共享交换方式实现宜昌市的数据交换共享与业务协同,为跨部门的应用提供支撑。
六、 XX政府政务数据中心平台解决方案
数据中心即政务信息资源中心,其建设任务是面向XX政府电子政务,搭建政务信息采集、传输、存储、利用的体系框架。根据中办发[2004]34号文、国信[2006]2号文的要求建立符合国家标准的XX政府政务信息资源库、政务信息资源目录体系和政务信息资源交换体系。它将保证政务信息资源的标准化、模块化、共享化。
1 政务信息资源库需求
政府日常工作需要大量政务信息,信息资源成为支持政府工作的基础,成为提高政府管理成效,完成政府领导职责的重要工具,构成了政府管理领域信息化和电子政务的核心内容。
并且,政府部门都建立在各自基本情况、人员数据、政策法规以及宏观数据等数据之上,为了减少信息重复采集,避免口径不一致,实现部门间数据共享已经成为信息系统建设的迫切需求,因此,建立共享的XX政府政务信息资源库是我省建设电子政务的重要基础。
2 政务信息资源目录体系建设
信息资源目录体系是包括信息发布目录、交换服务目录和网上业务服务。目录体系是按照统一的标准和规范,为发布、发现和定位各类交换服务和信息资源而建设的信息服务体系。目录体系根据各个部门业务需求,按照统一的信息资源目录体系标准,对与需求相关的信息资源进行编目,生成信息发布目录或交换服务目录。根据目录体系,业务人员、企业人员、社会公众或应用程序可准确地发现和定位信息资源。
信息发布目录将用在信息发布系统和省政府与各省直的内外门户中。各单位和部门根据本部门业务信息资源,编辑生成信息发布目录数据,存储在交换域内目录交换中心环境的信息发布目录库中。用户可以通过网站或其它应用展示程序检索相关的信息,这些应用展示程序通过调用目录体系提供的目录服务为用户提供所需信息。
政务信息资源交换体系是供计算机系统使用的,它提供交换服务地址等目录信息,以便发现和定位交换服务。各部门为实现信息资源交换,将交换服务编目,生成交换服务目录,发布在交换域内目录交换中心环境的交换服务目录库。应用系统查询交换服务目录库,发现所需交换服务信息,并获得交换服务目录描述文档,通过系统调用、Web服务调用等方式,访问信息资源库,实现信息资源交换。
政务信息资源交换中心的主要作用是提供信息资源目录服务和交换服务,交换中心是综合信息资源目录体系和交换体系两者功能和服务的综合平台。包括信息发布目录数据库、交换服务目录数据库、查询搜索系统、目录注册系统、Web服务系统、访问权限控制和目录后台管理等。
七、 XX政府电子政务安全解决方案
1 建设思路
从目前系统安全技术的总体发展水平与诸多因素情况来看,系统的整体安全实施需要在系统的可用性和性能、投资以及安全保障程度之间形成一定的平衡,通过相应安全措施的实施把风险降低到可接受的程度。
XX政府电子政务网定位在“非涉密”级别,通过在网络互连结构设计、信息加密、信息安全、冗灾备份等方面采取多种技术措施,使网络基础设施、应用支撑平台和应用系统达到国标要求。建议我省电子政务网安全建设具体目标为:
(1) 在网络安全方面上完成安全域的划分与隔离、部署逻辑隔离设备、检测入侵行为、抵抗各类攻击;
(2) 在应用平台安全方面实现查杀各种病毒、过滤垃圾邮件、扫描弱点漏洞、实现终端管理等;
(3) 在用户接入上保证身份能够认证、数据安全传输、能够防抵赖;
(4) 建设一套灾备系统最大程度地保护省电子政务网所有核心系统数据的安全;
(5) 完善机房环境与消防安全要求,保证机房规范化,提高系统安全系数;
(6) 建立运行维护安全管理规范管理来保证整个系统的安全。
2 网络安全
2.1安全域划分
将我省电子政务网信息系统划分成接入部分安全域、汇聚部分安全域、核心部分安全域以及门户服务器安全域。
(1)核心部分安全域
XX政府电子政务信息系统核心部分安全域是整个信息系统的重要区域,包括:数据库服务器、中间件服务器等核心主机、存储以及灾备中心的核心主机、存储设备。
(2)汇聚部分安全域
XX政府电子政务信息系统汇聚部分安全域包括:省委、省人大、省政府、省政协及其所属的厅局委办单位,以及地市、区县、乡镇信息系统与我省信息中心连接的设备。主要是广域网链路及路由设备。
(3)接入部分安全域
XX政府电子政务信息系统接入部分安全域包括:省委、省人大、省政府、省政协及其所属的局办单位,以及地市、区县、乡镇接入单位。
(4)门户服务器安全域
门户服务器安全域包括:外网门户Web服务器、Mail服务器、DNS服务器、应用服务器等。
安全域划分完毕,就可以在各安全域边界和内部部署安全防护措施,以满足XX政府电子政务网信息系统的安全需求。
2.2网络安全部署
2.2.1逻辑隔离设备
逻辑隔离设备主要代表是防火墙,防火墙主要部署在两个安全域边界,实现两个区域的逻辑隔离、报文过滤、访问控制等功能。因此在核心区域部分与汇聚区域部分边界、汇聚区域部分与接入区域部分边界、核心区域部分与Internet区域边界均应该部署防火墙进行逻辑隔离。
核心区域与汇聚区域边界:该边界为XX政府政务网核心区与汇聚区数据交换通道,交换数据量大,对性能要求高,应采用高性能千兆防火墙进行逻辑隔离;在此边界的安全策略部署上建议采用适当宽松策略,在保障数据传输的高性能前提下做到安全最大化。
汇聚区域与接入区域边界:该边界为XX政府政务网汇聚区与接入区数据交换通道,数据流量相对较小,可以采用百兆防火墙进行逻辑隔离,但是不排除某些局委办和省信息中心之间有较大数据交换,也可采用千兆防火墙进行逻辑隔离;在此边界上的安全策略部署上建议采用严格策略,只允许必须的流量进入省电子政务核心网络,确保核心网安全。
核心区域与Internet区域边界:该边界为XX政府电子政务网与Internet互联边界,是政务网对外防御的第一道防线,作用比较关键,因此建议采用一台百兆防火墙进行逻辑隔离;安全策略部署上对内部访问Internet的流量采用宽松策略,对Internet访问内部局域网的流量采用严格策略并结合认证设备进行准入控制。
防火墙将网络逻辑上划分为三个区,内部局域网、外网、DMZ区,其中内部局域网对应于可信任网络,连接局域网的交换机;外网对应于非信任网络,连接出口的路由器或交换机;DMZ区可放置外网门户Web服务器、Mail服务器、认证服务器等。
2.2.2入侵检测系统
入侵检测系统是收集各种信息,由内置的专家系统进行分析,发现其中潜在的攻击行为的一种网络安全设备。网络入侵检测系统(NIDS)捕获分析网络中的所有报文,发现其中的攻击企图,根据事先制定的策略通知管理员或自行采取保护措施。
入侵检测技术是当今一种非常重要的动态安全技术,与防火墙技术共同使用,将可以大大提高系统的安全防护水平。
入侵检测系统的主要功能包括:实时检测入侵行为,事后安全审计。目前IDS基本上均是基于网络的入侵检测系统(NIDS)。
建议入侵检测探头部署在网络出口,省电子政务网应配置一台多口的百/千兆IDS,分别对于核心区与汇聚区的边界点、核心区域与Internet区域边界点进行监控,用于捕获网络异常行为,分析潜在风险,以及安全审计。
对于各接入安全域,建议各部署一套IDS管理系统,因为接入安全域内服务器及终端较多,因此应该采用基于网络的入侵检测系统,各接入安全域内流量不大,可以采用百兆的入侵检测系统,其IDS探头主要部署在接入安全域与汇聚安全域边界点。
入侵检测系统应能与防火墙以及抗DDoS攻击系统采取联动,实现整体的安全防范体系。
3 应用平台安全
3.1漏洞扫描系统
由于入侵手段的日益复杂和常用系统出现的安全缺陷,分析网络系统对破坏的抵抗能力有助于保障安全。安全扫描分析系统当前的设置和防御,指出潜在的安全漏洞,以改进系统对入侵的防御能力。安全扫描技术主要是用来评估计算机网络系统的安全性能,是网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供安全性分析报告,为提高网络安全整体水平产生重要依据。
安全扫描技术与防火墙、入侵检测系统(安全监控系统)互相配合能够提供很高安全性的网络。安全扫描工具为网络安全漏洞的发现提供了强大的支持。在网络安全体系的建设中,安全扫描工具的运行相对独立,能较全面检测流行漏洞,检测最严重的安全问题,安装运行简单,可以大规模减少安全管理员的手工劳动,降低安全审计人员的劳动强度,有利于保持全网安全政策的统一和稳定。
我省电子政务网应部署一套网络安全扫描系统,可以对全网的服务器、主机、网络设备、安全设备进行扫描,生成扫描评估报告,对不同的业务系统采取不同的扫描策略进行分析扫描。