安康市汉滨区电子政务统一平台建设实施方案Word格式.docx
《安康市汉滨区电子政务统一平台建设实施方案Word格式.docx》由会员分享,可在线阅读,更多相关《安康市汉滨区电子政务统一平台建设实施方案Word格式.docx(54页珍藏版)》请在冰点文库上搜索。
2.8.2公众服务业务系统建设44
2.9.安全体系50
2.9.1总体框架50
2.9.2政务信息和应用分类50
2.9.3系统分域控制措施51
三、部署方案53
一、背景
汉滨区电子政务建设以汉滨区电子政务统一平台为核心。
以统一平台为基础来实现相关的应用开发。
统一平台由网络汇接中心、数据中心、信息交换中心、应用支撑中心、应用服务中心、安全支撑中心和综合管理中心等“七大服务中心”构成,形成一个相互关联、作业协同的“五横两纵”、面向服务的体系架构。
汉滨区电子政务统一平台可以为汉滨区电子政务各应用系统提供多协议网络传输、海量数据存储与备份、异构数据交换、业务流程整合、业务应用快速搭建、统一服务访问、网络及应用安全和系统综合管理等电子政务基础支撑服务,是消除县政府各机关单位“信息孤岛”、避免重复建设的重要支撑,是实现电子政务建设统一规划、节约资金的重要技术手段。
汉滨区电子政务建设遵循内、外网物理隔离。
外网将依托互联网,横向连通包含汉滨区六大系统在内的汉滨区电子政务网。
纵向通过县级电子政务传输骨干网与市级电子政务统一平台相连,从而实现与市级电子政务系统的互联互通。
外网对外提供的服务主要有农村信息化服务、城乡居民服务、城镇建设服务、乡镇企业服务等
1.1.现状分析
1.1.1内、外网路现状
分布现状:
汉滨区委、区政府分布在区委政府大院,大院内有区委部门12个、政府部门12个。
区人大、区政协、区法院、检察院及其他部门分散在城区江南、江北,距离区委区政府大院在2000-3000米左右。
外网:
区委、区政府、法院、检察院及院外其他部门独立接入互联网,34个镇办,有13个接入电信10M光纤,其余21个接入4MADSL宽带。
区委区政府大院采用星型结构连接,所有信息点全部从区信息中心机房接入,九栋综合办公楼楼内都有独立的楼层交换机进行集中布线,楼宇之间采用光纤连接。
大院共布局了500多个信息接口,接入点数435个,目前已接近500台电脑。
机房接入区有外网核心路由器1台,交换机1台。
政府门户网站服务器在区信息中心机房。
内网:
省市内网骨干传输网接入区信息中心机房,目前使用的网络为广电10M网络,已通过信息中心机房接入区委办、政府办、组织部、信访局、审计局、统计局等单位;
另有市到区内网通过联通10M网络已接入。
1.1.2机房现状
汉滨区信息中心机房位于区政府大院2号楼一楼内里外两间,外间为办公室及监测室,里间为机房,面积约20平方米左右,后期将根据机房承载量情况,将紧邻机房一间办公室调整给信息中心,原办公室打通后作为机房,将现有机房扩大到40平方米左右。
机房内现有2台网络有机柜。
一台放置大院局域网所有防火墙、核心路由、核心交换机等接入接出设备。
核心路由为华为USG3040,核心交换机为华为S3500三层交换机,外网防火墙为USG3040。
一台放置内网所用核心交换、核心路由等接入、接出设备和政府网站服务器的防火墙、交换机等设备。
内网核心交换为华为S9303,核心路由为锐捷RG-RSR50,服务器安全设备为华为200S防火墙。
机房内现有服务器三台,其中两台为政府网站专用服务器,型号为IBM3400,另一台为浪潮英信NF5225;
一台为部门、镇办网站服务器,型号为IBMX226。
机房供电系统直接接入市电。
网络设备无断电保护设施。
三台服务器的电源系统通过山特牌UPS接入市电,该UPS可以在断电的情况下持续供电40分钟。
机房内墙壁用防瓷进行处理,铺设防静电地板,防盗设施为两道防盗门、窗户加装防盗网。
机房内无防火系统。
机房无精密空调设备,目前采用的是一台格力2P家用柜机和一台新科牌1.5P挂机。
结合本次电子政务建设,按照规范和方案的要求对机房的配电系统、基础装修、监控防范及消防进行升级改造。
1.1.3网络信息安全现状
汉滨区电子政务采取的主要安全措施有:
区委政府大院局域网、网站服务器安全设施主要是安装防火墙。
OA办公系统主要采用在各分支机构和数据中心之间开通VPN通道,VPN用户通过用户名和密码以及数字认证的方式进行认证,登陆到内网服务器的用户再次进行身份认证的双重安全认证方式进行登陆管理。
二、总体设计
2.1基础设施
汉滨区电子政务基础设施建设包括电子政务内、外网络基础设施建设,承载全区电子政务运行的物理场所中心机房的建设,同时还包括保证网络信息安全传输所用到的相关信息安全基础设施和存储核心数据所用的相关存储设备等。
以下分别对各建设内容做详细的说明:
2.1.电子政务网络
按照“大外网、小内网”的原则,建设覆盖汉滨区6大系统的电子政务内网,该内网与电子政务外网物理隔离,内网直接与市级电子政务内网连接,实现省、市、县三级电子政务互通互联。
建设涵盖汉滨区六大系统在内,包括各机关单位的“大外网”,提供基于互联网的汉滨区各机关单位电子政务应用服务,实现与市级政府部门电子政务外网安全对接。
全区各党政机关建设统一的互联网出口,其它单位不再单独接入互联网。
经过近几年的信息化建设,汉滨区电子政务也取得了长足的发展,以下对汉滨区电子政务建设网络现状做一个简单的介绍,
2.2.电子政务内网
结合《规范》和《方案》的具体要求,对汉滨区电子政务内网建设现状进行对比分析,将县人大、政协、检察院和法院局域网通过SDH数字同步体系数字电路技术来实现与县政府内网的联通,最终实现汉滨区6大系统政务内网的互通互联。
实现方式:
由于县委、县政府在一个局域网内,所以内网连接只需要将2院(法院、检察院)内部局域网通过租用运营商的线路采用SDH技术来进行联通即可。
具体连接模式如下:
对于县人大、政协、法院和检察院接入方式的需要有线路租赁费用。
建成后的汉滨区电子政务6大系统内网要与其它网络物理隔离。
确保其安全性。
2.3.电子政务外网
结合《规范》和《方案》的具体要求,对比汉滨区电子政务外网建设现状,汉滨区县委、县政府统一接入互联网,县人大、政协、法院、检察院和院外其它各机关单位都独立接入互联网。
本次基于外网建设汉滨区电子政务统一平台。
规范全区各党政机关接入互联网的统一出口,为了保证全区电子政务外网安全性及保密性,同时为了合理利用资源,节约信息化投入,其它各政府单位不再各自接入互联网。
具体建设涵盖汉滨区六大系统在内的县级党政机关的“大外网”,从而实现与安康市电子政务外网平台安全对接。
通过采用成熟先进的VPN、KEY安全认证方式来实现汉滨区基于互联网的县电子政务大外网。
汉滨区电子政务外网将依托互联网采用成熟先进的VPN、KEY认证、分区模式等安全技术来实现。
汉滨区政府各接入单位通过租用运营商的线路,以ADSLModem或光纤专线的方式接入到汉滨区电子政务统一平台外网,为保障数据传输的安全性,各接入单位采用IPSECVPN客户端和VPNKEY,以拨号方式接入。
同时各接入单位将通过县级电子政务统一平台的统一出口访问互联网。
其它单位不再各自接入互联网。
对于移动办公用户可通过2G或3G等无线方式接入互联网,同样以IPSECVPN的拨号方式与汉滨区电子政务统一平台建立连接。
实现数据传输。
汉滨区电子政务外网总体分为七个区域,分别为网络接入区、园区内单位接入区、园区外单位接入区、公开数据处理区、内部数据处理区、安全管理区和安全服务区。
网络接入区:
是整个政务外网的核心,具体负责与省、市平台、互联网、园区内接入单位和园区外接入单位的接入。
在该区域分别部署接入路由器、防火墙、VPN网关及核心交换机。
园区内单位接入区:
主要负责政府园区内各单位的接入,在该区域部署VPN客户端和VPNKEY。
通过园区网以VLAN的方式接入到汉滨区电子政务外网平台。
园区外单位接入区:
主要负责政府园区外各单位的接入,在该区域部署VPN客户端和VPNKEY。
该区域可通过ADSL或光纤的方式接入到运营商网络,并通过VPN客户端软件和VPNKEY的方式拨号到汉滨区电子政务外网平台,从而安全的实现对内部数据处理区的访问。
公开数据处理区:
主要负责提供邮件和WWW等服务,在该区域部署一台数据处理区交换机、一台IDS和相关服务器,其中IDS和内部数据处理区共用。
内部数据处理区:
主要负责提供办公、公文传输、数据存储等服务,在该区域分别部署防火墙、IDS、数据区交换机,其中IDS可以与公开数据处理区共用。
安全管理区:
主要负责对全网进行安全监控,安全管理,在该区域分别部署漏洞扫描、IDS管理终端和网络管理软件。
确保整个外网环境安全高效的运行。
安全服务区:
负责对服务器和客户端提供安全服务,在该区域分别部署身份认证系统、网络防病毒系统、审计系统、单点登录系统等。
2.4.IP地址规划和路由设计
遵循陕西省电子政务建设的统一规划和设计原则,全新对汉滨区IP地址和路由进行规划设计。
严格按照国信办的分配原则进行IP地址分配,地址分配方式参照国家、省、市的分配原则,所有IP地址统一归属至六大系统(党委、政府、人大、政协、检察院、法院),然后再对各部门进行统一规划。
汉滨区电子政务建设路由协议选用静态路由协议来实现,确保网络路由的高效性。
2.5.中心机房建设
按照《规范》和《方案》的具体要求,结合汉滨区现有机房的建设现状,同时根据本次信息化建设的内容,并考虑今后和未来我区电子政务建设的发展需要。
对汉滨区现有机房进行升级改造。
以达到《规范》和《方案》中要求的专业级别高、稳定性高、安全系数高的标准机房。
汉滨区电子政务中心机房改造,根据功能将把现有面积约为40平方米的中心机房划分为以下物理分区:
内网区、外网区、监控区、动力配电区、网络监控区等。
改造过程坚持“符合标准、满足要求、精简节约、布局合理、简洁明快、色彩协调”的原则。
力争达到简洁明快,色彩协调,区间划分明确、流动通畅(人流、物流、信息流等)的绿色机房。
汉滨区电子政务中心机房改造内容包括一下7部分:
机房基础装修、配电系统设计、备用电源、防雷接地、消防报警及灭火设施、空调系统、门禁和监控系统。
2.5.1基础装修
机房基础装修部分,汉滨区现有机房属于初级的简装层次,墙面用仿瓷粉刷,地板为防静电活动地板,机房环境通风良好。
本次改造主要从地面部分、吊顶、玻璃墙、门窗改造5部分考虑。
1、地面部分
⑴防静电地板:
机房全区均采用钢质无边防静电活动地板,活动地板下空间可以作为网络线槽、散流网及敷设电气管线使用。
并根据需要对一定量的地板开孔,作为机房专用地板电源插座、网络设备和信息插座串线使用。
⑵地面防尘:
要求达到不起尘的效果。
⑶静电泄露:
铺设静电泄漏地网,通过静电泄漏干线和机房安全保护地的接地端子封在一起,将静电泄漏掉。
⑷踢脚线:
采用不锈钢踢脚线,并与周边平滑衔接,连接紧密、平直。
2、顶面部分
⑴吊顶:
采用600*600*0.8铝合金方形微孔板,吊顶完成面2.8米,满足机房环境要求。
⑵吊顶骨架:
顶面采用全钢结构龙骨架。
⑶顶面防尘:
在吊顶上的墙面、柱面、顶面均刷涂防尘漆两遍,达到不起尘的作用。
⑷吊顶周边:
吊顶周边均采用阴脚线。
周边顶板应精确下料,并与阴脚线衔接,连接紧密、平直。
3、墙面部分
采用轻钢竖墙龙骨,内衬9mm石膏板,外面贴铝塑板面层。
便于清洁、不起尘,不易变形,具有良好的装饰效果。
所用材料要求两面均为金属饰面,具有屏蔽作用和防火的要求。
4、门窗安装
⑴机房入口:
安装防火防盗门,并安装门禁系统。
⑵窗户:
机房内不留窗户,全封闭。
⑶屏蔽:
使用多股BVR6铜塑线将棚、墙、地、相连接,构成一个等电位的六面体,可达到初级屏蔽的效应,使电磁辐射场强衰减30dB以上。
2.5.2配电系统
依据《计算机场地技术条件》GB2887-89中对机房供配电要求配置相应的UPS设备。
汉滨区信息中心机房供电系统采用直接接入市电,由院内总配电室提供一路独立的常规电源。
1、用电插座
计算机设备专用插座(即地板插座)在机房内专供计算机设备用电的插座为计算机设备用电插座,这些插座上电能来自UPS电源的输出配电柜。
2、备用电源
机房计算机设备包括计算机主机、服务器、网络设备、通讯设备等,由于这些设备进行数据的实时处理与实时传递,关系重大,所以对电源的质量与可靠性的要求最高。
使用30KVA配置UPS电源一台,延时2小时。
2.5.3照明系统
1、照明系统
照明灯具:
选用条形格栅灯,光色柔和不刺眼、美观大方,又满足了机房照度的要求。
2、应急照明
主要出入口设置应急安全出口筒灯,电源由配电柜供给,停电时由自带蓄电池供电。
2.5.4防雷接地
1、防雷系统
对计算机网络中心机房电源系统采用两级防雷设计。
一、二级电源防雷:
在机房总配电处和UPS输入端分别选用防雷器在L-N、N-PE间进行保护。
2、接地系统
机房为了防止干扰和抑制噪声,保证设备稳定可靠的工作和安全,需新建良好的接地系统。
采用综合接地,接地电阻小于1欧姆。
保护接地与防雷接地等共用接地系统,汇总到中心机房等电位接地母排。
根据实际情况,可从大楼接地体引出,用25MM2电缆引入机房。
3、直流工作地网
在机房内的布局是采用铜排敷设在活动地板下,配有专用接地端子,用编织软铜线以最短的长度与计算机设备相连。
4、防静电地网
采用紫铜带布成网格状的泄露网,敷设在地面上用铜铆钉固定,防静电地板支架压接在紫铜带相交处。
5、等电位连接
对金属材质的天棚、地板、墙面及其他金属材料,实现将棚、墙、地、相连接,构成一个等电位的六面体,达到初级屏蔽的效应。
图表1消防系统结构示意图
2.5.5消防系统
汉滨区政府现有机房,只配备了2个二氧化碳灭火器设备。
在消防方面需要改造。
按照以下要求进行改造。
1、灭火系统:
选用气体灭火剂,如七氟炳烷、卤代烷、气熔胶灭火系统。
2、在机房内重要部位安装火灾报警控制器。
火灾报警控制器由火灾自动探测器、区域报警器和控制器组成。
火灾报警采用烟感探测器和温感探测器,探测器安装在吊顶上和活动地板下,两者联合使用提高报警的可靠性,火灾自动探测器即能发出警报信号,控制器显示报警的探测器所在位置。
2.5.6空调系统
新购置机房精密空调一台,替换机房内现有已使用多年的两台空调。
2.5.7门禁和监控
门禁改造按照以下要求进行:
1、门禁系统
图表1门禁系统结构示意图
通过门禁系统,在一些要害部位,安装出入口控制装置,只有有效登录才允许通过。
系统应提供如下功能:
通过个人识别卡感应后,通过系统确认其身份和使用时段后,方能开门;
可以设置感应卡的使用权限。
可以禁用挂失一张个人识别卡或一批识别卡;
多级系统操作密码。
系统实时显示当前所有门的开关情况;
进出情况。
可以对以前时间内所有门和卡的进出情况进行统计查询;
进出人员均有相片显示。
并随时可查阅其人事档案。
系统对设备的故障进行自检和跟踪监测,以便维护人员及时维修。
2、视频监控系统
进入信息中心机房通道的全天候监控,安装监控设备。
2.5.8综合布线系统
遵循EIA/TIA-568A标准,即《CommercialBuildingTelecommunicationsWiringStandard》、ISO/IEC11801、EN50173。
综合布线系统分为六个子系统:
建筑群主干子系统、设备间子系统、垂直干线子系统、管理子系统、水平子系统和工作区子系统。
综合布线系统必须满足以下要求:
1、支持10M以太网、100M快速以太网与1000M快速以太网技术等。
2、整套产品应该具有以下特性:
兼容性、灵活性、可靠性、先进性。
2.6.信息安全基础设施
信息安全建设是汉滨区电子政务建设的重要组成部分,是保证我区电子政务安全高效运行的必要条件。
本次建设中,将充分利用原有安全设备,在此基础上,按照《规范》和《方案》要求进行完善。
2.6.1电子政务内网安全
汉滨区电子政务内网由全区六大系统组成,汉滨区电子政务内网与上级政府电子政务内网互联互通。
汉滨区电子政务内网主要是省级、市级电子政务应用系统在汉滨区的延伸,其身份认证和电子签名等安全服务体系应根据所建设系统的需求由市电子政务办统一平台提供,汉滨区不再建设电子政务内网的CA安全支撑平台。
图表2汉滨区电子政务内网CA安全体系部署图
2.6.2电子政务外网安全
根据《规范》要求,汉滨区电子政务外网安全建设,身份认证及电子签名等基于CA的安全服务由省、市两级CA安全支撑平台的安全设施共同完成。
电子政务外网的应用单位、应用系统及硬件运行环境需由市级CA安全支撑平台颁发机构证书、服务器证书和个人证书。
汉滨区电子政务外网CA安全体系由商密密码机、单点登录(SSO)服务器、统一用户管理(UUM)服务器及安全中间件组成。
商密密码机用于产生及存放服务器密钥/证书;
SSO服务器、UUM服务器及安全中间件完成基于CA证书的身份认证及数字签名。
SSO服务器是整个身份认证过程的调度枢纽,由它发起签名、验签、验证等操作;
UUM服务器主要进行全局用户管理以及用户授权管理;
安全中间件具体执行身份认证过程中的签名、验签、加密、解密和OCSP查询等操作。
2.6.3实现方式
1、统一用户与授权管理、单点登录系统实现方式
使用者直接登录具体的应用系统,由应用系统向认证服务器转发登录请求完成登录过程,也可直接登录身份认证服务器,通过身份认证服务器的单点登录功能访问任一应用系统。
统一用户与授权管理系统为各类应用系统提供集中的机构、用户、角色、权限的管理,对操作人、操作行为、操作时间、操作地点、信息资源等授权要素进行统一管理,结合安全中间件提供接口,可提供基于数字证书或用户名口令等多种身份认证方式。
与单点登录系统相互配合,可实现“一次登录,随处访问”的操作体验。
认证流程采用三次握手方式实现双向身份验证机制。
以用户直接登录应用服务器为例,身份认证流程如下图所示。
图表3用户与应用服务器之间双向认证流程图
使用者在与应用系统完成双向认证后,应用系统需要向SSO服务提交用户证书进行用户数字证书的签名验签和授权属性的认证。
签名验签由SSO服务调用安全中间件完成,并再次通过安全中间件向OCSP验证数字证书的有效性合法性。
授权属性的认证是通过SSO服务调用UUM(统一用户授权管理服务)进行用户属性授权信息的验证。
授权结果将由SSO服务返回至应用系统服务。
身份认证过程如下图所示:
图表4身份认证过程
在通过OCSP进行证书有效性验证时,安全中间件首先通过上级市级CA平台部署的OCSP服务器进行查询;
如果市级不提供OCSP查询服务,安全中间件则自动向省级OCSP服务器查询;
如果省级OCSP未提供本级证书的查询服务,安全中间件则自动向省CA中心的OCSP进行查询。
2、服务器证书的产生与存放
通过密码机的管理端为每个服务器(包括应用服务器和认证服务器)进行配置,为每个服务器设定一个唯一标识符(ID)。
该ID即为该服务器在密码机的密钥对ID号,也是密码机中存放服务器密钥对的目录的ID。
各服务器调用密码机提供的产生密钥对接口,根据服务器密钥对ID产生服务器签名密钥对,并将产生的私钥存放在该ID的目录下。
服务器公钥经CA中心签发后,也保存在同一目录下。
至此服务器证书产生并存放完毕。
服务器证书产生和存放过程中,私钥始终保留在密码机中,保证在密码实体中进行服务器签名验签运算,防止通过木马或其他非正常手段窃取签名私钥。
2.7.电子政务统一平台
汉滨区电子政务统一平台是基于互联网而建设的,统一平台建设是汉滨区电子政务建设的核心。
它是在网络设施、信息安全设施、服务器存储设施的基础上,由支撑网络汇接、数据存储、信息交换、应用支撑、应用服务功能的软、硬件搭建的综合平台。
平台以集成创新的方式,融网络、安全、存储设施及其它组成部分为一体,相互关联与依托,使得流经统一平台的政务信息实现交换、共享和业务协同。
汉滨区电子政务统一平台功能模型见下图。
图表5汉滨区电子政务统一平台功能模型
电子政务统一平台是我省电子政务建设的核心。
我省电子政务总体框架是基于统一平台构建的,它包含了省、市、县三级电子政务统一平台进行互联互通。
汉滨区电子政务统一平台既是本级政府的电子政务数据中心,具有相对的独立性;
同时它又是全省电子政务的组成部分,与省、市两级电子政务统一平台保持互联互通。
为保证全省电子政务统一平台体系的完整性和互联互通,汉滨区电子政务统一平台的建设所选设备,采用与省级、市级电子政务统一平台相一致的核心产品。
2.7.1数据存储中心
汉滨区数据存储中心主要为各个基础性、公共性政务信息资源提供统一、集中存储及管理。
结合汉滨区实际情况,数据存储中心建设将采用存储局域网IPSAN(IPStorageAreaNetwork)的解决方案来实现。
IPSAN存储模式说明
汉滨区数据存储中心,通过一套完整的数据存储系统来实现对所有服务器的数据存储备份。
其存IPSAN存储备份拓扑图如下图:
图表6汉滨区数据中心存储备份拓扑图
IPSAN存储备份模式总体结构分为存储层、网络层、主机层、存储管理层。
存储层主要提供高可靠、高性能、可扩展的智能存储设备存储数据信息,由于在SAN中资源是完全的共享,但同时要保证数据访问的安全性,因此必须保证使每个应用系统既能共享资源又能互不干扰。
本次采用磁盘阵列来作为备份介质。
网络层是通过传输介质IP网来实现数据库与存储设备的链接
主机层提供数据处理和应用服务。
通过在主机上安装两块千兆以太网卡绑定后与磁盘阵列相连,形成一个全冗余的连接结构,同时通过在主机上安装与存储兼容的管理软件,实现通路的错误冗余和负载均衡,在提高主机访问带宽的同时保证了可用性。
存储管理层是SAN存储整合的另一个需要重点考虑的部分,即存储管理整合。
直观管理SAN中的存储资源。
进行统一资源保护、分配和管理,存储系统配置和状态监控、性能分析、故障预警和报考等功能;
同时存储安全管理、数据异地容灾功能管理和数据快速复制功能管理都能够集中进行。
减少系统管理员的工作量,简化IT的管理流程。
存储备份管理系统主要是由备份管理软件、存储设备和备份设备构成。
存储量需求量分析
为了更好更贴切的选择适合汉滨区政府存储的设备,首先需要对汉滨区的数据量进行一个测算。
数据量主要分以下三类。
1、办公业务资源类数据,用于日常文件及公文数据的存储,每年存储量按25GB,按照档案管理的20年保管期计算,总计500GB。
2、统一门户网站,按照每日更新100条信息,每条占用100K存储空间,合计每天10MB;
每日更新视频5条,每条播放约8分钟,合计30M;
计算得每年预计50GB,按照3年的存储量,共计150GB。
3、图片、声音、视频多媒体数据
虽然本次未把视频会议作为建设
升级会员 