某省某市电子政务
关键技术及应用系统
方案建议书
XX软件有限公司
二OO二年十二月二十日
目 录
1 前言 1
2 某市电子政务信息化建设的需求分析 2
2.1 方案背景及范围 2
2.2 建设的总目标 2
2.3 需求分析 3
2.4 建设原则 6
3 某市电子政务建设的总体思路 8
3.1 指导思想 8
3.2 建设原则 8
3.3 建设目标 8
4 某市电子政务应用系统建设 9
4.1 应用系统体系结构 9
4.2 应用系统组成 9
4.3 应用系统实施技术路线 11
4.4 政务网应用系统建设 17
4.5 业务网应用系统建设 26
4.6 数据库的应用 32
5 某市电子政务系统网站建设 34
5.1 公众服务门户网站 34
5.2 政务网站 43
5.3 业务网站 43
5.4 数据来源管理 44
5.5 电子邮件系统 47
6 某市电子政务系统安全平台设计 48
6.1 安全需求分析与技术路线选择 48
6.2 安全平台的体系结构 51
6.3 CNSec安全平台与应用的结合 68
6.4 CNSec安全平台在政务工作信息网中的应用 80
6.5 CNSec安全平台在业务工作信息网中的应用 83
6.6 方案总结 87
7 某市电子政务系统安全支撑平台建设 89
7.1 某市电子政务系统安全支撑平台建设实施原则 89
7.2 政务网和业务网的总体安全配置拓朴 91
8 系统总体安全性 123
9 某市电子政务系统网络平台设计 126
9.1 网络拓扑结构 126
9.2 内网系统 126
9.3 外网系统 127
9.4 下联单位 128
9.5 主机系统和网络选型 128
9.6 系统备份 129
9.7 系统管理 129
10 质量保障体系 131
10.1 质量管理体系 131
10.2 标准和规范 140
11 服务体系 141
11.1 应用系统 141
11.2 公众服务门户网站 141
11.3 数据库服务 142
12 费用预算 143
1 前言
随着计算机技术、通信技术以及互联网技术的飞速发展,社会信息化进程逐渐加快,以网络经济为主要特征的新经济形态正在发展和壮大。网络经济的健康发展需要良好的网络社会和经济秩序,而当今信息时代只有建设电子政府,实施电子政务才能有效地保证良好的网络社会和经济秩序,可以说电子政务是信息化社会的基础和基石。
如何运用先进的信息技术构建电子政府,实践电子政务,以电子化、信息化手段提高政府的行政效能和行政管理水平,从而更科学、更有效地为社会、经济、企业和公众服务,目前已成为各国政府越来越紧迫的一项工作。
美国、欧盟、澳大利亚和新西兰等国已经开始全面着手建设国家电子政务工程,并在建设过程中提出了电子政府(e-Government)的概念,力图将信息化社会中政府的服务职能放在突出的地位,并将电子政务的建设重点定位在公众服务方面,通过服务来带动网络化生产力的发展。而我国周边的一些国家和地区,如新加坡、日本、俄罗斯、印度和香港,虽然信息化程度较发达国家还有一定差距,但在电子政务建设的热情和对电子政务理念的定位方面还是非常接近的。国外电子政务建设总体的特点是将公众服务放在首要的地位,以信息共享为共同目标,以网络化办公为支撑,并以信息安全为核心,而其中又以信任与授权服务为信息安全的核心。
相比之下,国内的电子政务建设现状存在较明显的差距。各部委虽然已经先期开展了各自条线内部的各种电子政务系统的建设,各省市也已进行了横向的政务网络系统的建设,但从总体上国内现有的电子政务工程建设比较注重信息资源的共享,力图消除政府部门内部的信息孤岛。
同时,电子政务是我国信息化建设的一个重要组成部分,通过政务信息化、规范化和程序化来改变政府传统的工作模式,建立一种以公众服务为中心,以高效、公平、公开、勤政、廉洁为特征的新型政府管理和工作模式。
2 某市电子政务信息化建设的需求分析
2.1 方案背景及范围
本方案是针对某市电子政务建设需求而进行的设计的。在该方案中包含了内网、外网和涉密网、政务信息数据库建设、电子政务应用系统、网站总体架构设计、网络结构设计、安全平台设计、系统安全方案等几个方面。该方案可根据某市电子政务实施计划分阶段进行。
2.2 建设的总目标2.3
某市电子政务建设的一项重要工程,也是某市政府的形象工程。将利用计算机网络技术,实现政务工作的信息化管理,通过技术手段优化政府工作流程,提高政府工作效率,增强政府对社会的服务职能,提高政府工作的透明性和开放性,以政务公开和行政审批为重点,以为民办事为宗旨,统一规划,协同建设,分级管理,资源共享。以政府业务流为主线,以用户为中心,按市民、企业、外来投资者、外来旅游者等不同的服务对象,从用户需求及政府提供的公共服务角度出发,来进行设计,根据我市电子政务建设的实际情况,建成后将作为展示某整体形象的窗口,同时也将成为某市党政机关联系群众、服务群众的一座桥梁。
建立一系列政务信息资源数据库,建立在数据库资源基础上的统计、分析、预测等系统,提高政府决策的科学性和效率。
电子政务建设的基础是内部办公系统的建设,只有政府机关内部主要工作实现了信息化管理,才能够方便地建设全市范围内的政务信息数据库,才能够实现政府部门之间协同工作,进而完成政府提供的网上在线服务职能。
电子政务的表现形式为政府网上的在线服务。服务系统提供审批材料的填写,并且能够根据审批项目,自动将审批材料并行发送给各有关部门办理,追踪和反馈办理过程,并且对超过办理时限的审批单位给予提醒和警告。
电子政务建设的桥梁是专网信息系统的建设。跨部门之间信息的传递通过专网信息系统进行,专网系统还包括全市政务信息资源数据库系统,包括信息的采集、存储和服务。
2.4 需求分析
根据贵市的实际情况和我们已经在国家相关部委、全国各地的电子政务的实施中取得了大量的成果和经验,就贵市电子政务的需求分析简述如下:
2.4.1 内部需求
适应政府机构改革,加快办公自动化建设需要。近年来,各级政府正在进行机构改革,机构要简减,人员要分流,就必须改变传统的工作方式、工作流程、工作方法,不断提高工作效率,以较少的人力、物力投入,取得较好的工作效果。办公自动化不但能把从繁琐的事务中解脱出来,而且大大提高了事务处理的速度帮效率,是现代办公的重要手段。国务院办公厅也明确提出,各级政府要建立办公业务网,进一步加快办公自动化进程,在近期内实行公文传输无纸化。
适应科学决策规律,提高信息资源共享度需要。现代社会知识更新日异、技术换代频繁,面对不断涌现的新事物、新问题,要作出正确的决策,就必须掌握各类信息,并认识信息间的联系,充分的信息是科学决策的基础和关键。而人脑的记忆和使用都是有限的。因此,必须在人脑以外建立的庞大信息系统,以帮助人们分析问题、研究问题和解决问题。国务院办公厅提出的建设办公业务资源网,就是为了解决信息资源开发和利用的问题,以不断提高政府的决策水平。
适应信息化大趋势,提高公务员队伍素质需要。联合国把不会使用计算机和网络的人定义为新文盲,可见,掌握信息技术已是人类文明进步的重要标志。作为新世纪的公务员,一方面要不断学习信息技术,努力提高自身素质;另一方面,要通过广泛应用信息技术,更好地为人民谋利益。
内部办公系统
主要实现政府部门日常办公的计算机管理,业务系统包括公文管理、档案管理、政务督查、信息处理等,上述系统通过电子邮件、工作提醒、电子公告、调查讨论等实现纵向贯穿,使相互孤立的系统联结为一体,面向办公人员实现各个子系统信息的集中展示。
系统在实现业务管理的同时,必须符合业务管理的习惯,具备良好的人机对话模式,使系统宜于使用。
专网系统
专网在电子政务建设中起到桥梁的作用:1、政务信息电子化传输的平台,包括政府上下级和部门之间的公文电子化传递、政务信息报送等;2、实现部门之间业务系统的集成,创造政府部门协同工作的环境,包括并行审批、议案提案、政务督查等;3、信息发布、资源共享的平台。
专网实现的是跨部门业务系统的集成,追踪和解决数据传输每一个环节的技术和管理问题,建立数据交换接口和机制、数据传输和提醒机制、数据存储和安全机制以及建立在政务信息资源基础上的查询和决策系统。
2.4.2 外部需求
政府门户网站作为我市电子政务建设的一项重要工程,同时也是市政府的形象工程,其建设将以政务公开和行政审批为重点,以为民办事为宗旨,统一规划,协同建设,分级管理,资源共享。具体地说,主要具备对外宣传、政务公开、网上办事等功能。
信息发布
政务信息、便民信息等信息发布系统包括信息的采集、管理、发布等子系统;同时应该提供完善的安全、权限管理;
信息采集
1) 信息抓取系统:可用互联网信息抓取系统时刻跟踪新闻网站和媒体网站,将新闻信息载入固定模板的网页显示,自动更新网站的新闻网页,也可直接链接原搜索页面以滚动方式播报;自动转换存储定制的新闻类别到数据库中备用;并可抓取视频文件、MP3文件、软件的链接。
2) 信息上报系统:各委办局等子网站可以通过上报系统上报信息。
3) 信息采集的开放性:支持多元化的信息采集渠道,支持纯文本文件、word文档、HTML页面等多种各式信息的导入。提供Microsoft COM和J2EE JavaBean 两种数据维护API,包括数据的增加、删除、修改、变更权限等,要保证在API方式对数据操作时的用户权限控制、日志记录。
信息管理
1) 数据管理:用户可以按照需要自定义需要发布/管理的数据的格式(字段),对自定义字段名称、类型(包括文字、日期、图片、数字等)数量没有限制;可以对信息/图像信息/企业数据等各类数据中的文字、图片、统计类数字信息、日期信息进行统一管理,统一发布。
2) 数据分类管理:支持无限制的数据目录(分类)管理,用户可以对分类层次深度、一个分类下的子分类数量无任何限制的进行目录(分类)设计、管理;提供方便、灵活的在各分类间数据组织管理(包括移动、复制、链接)功能。
3) 友好的用户录入界面:提供可视化的模板编辑,稿件录入功能,充分提高维护人员的工作效率。
4) 数据组织的灵活性:为减少数据库的冗余数据和维护人员的工作量,一篇稿件能应用在一个或多个栏目、专题中。
信息安全管理
1) 审核功能和权限管理:为了保证信息发布的可靠性、安全性、及时性,能提供信息审核功能和用户权限管理。可以基于栏目设置信息发布时是否需要审核,可以基于分类(栏目)进行审核权限的设定。
2) 权限管理:支持数据访问安全的全面控制,保证高可靠的安全管理。能够在各级分类(栏目)上设置读、写、删除、创建、发布、审核、创建子分类等权限。
3) 信息上报安全机制:对所有上报的数据要进行预审、监察、管理、分布。必须保证相关委办局信息库的安全。
4) 日志管理:提供完整的日志管理功能,包括数据操作、模板管理、操作等方面的每一种操作的日志记录、查询、统计功能;提供工作量统计分析功能。
网上办事
网上办事系统将以政府业务流为主线,以用户为中心,按市民、企业、政府等不同的服务对象,从用户需求及政府提供的公共服务角度出发,来进行设计,实现多功能、全天候、“一站式”服务的电子政府平台。
网上交流
1 文字直播系统
2 邮件列表系统
3 短信通知系统
4 聊天室、论坛
地图信息系统
反映市政府各职能部门、主要办事部门的信息和交通情况;方便广大市民衣食住行等公用事业的查询;分层次分区域展示我市宏观经济及人文信息的分布情况;展示我市综合规划信息;为用户提供比较友好的用户界面。
虚拟主机系统
为市政府各委办局子网站提供虚拟主机服务的功能。
统一用户管理系统
为了方便用户使用平台所有的应用和服务,将对平台中所有应用实行统一的用户信息的管理和存储。
对统一用户管理要满足基本的“统一性”、“可扩充性”两个业务需求,可实现对目前平台已知用户类型进行统一管理,并对将来扩充子系统的用户也能进行管理。
2.4.3 政务信息数据库系统
政务信息资源数据库是指服务于全市政府工作的业务信息,系统主要实现政务信息的采集、存储、查询、统计、分析和决策等。政务信息来源于政府各个部门的业务系统,数据经过提炼后,存储在统一的平台,对主要领导提供决策、对全市工作人员提供查询服务。内部办公网、专网、因特网按国办关于“三网一库”的建设要求,涉密内容不能上网运行。
需求调查结果显示,许多电子政务工程数据资源分布在多种数据库管理系统上,软硬件平台零乱,没有统一规划,既造成资源浪费,又不便于信息共享。因此我们特别强调资源统一规划。充分发挥数据库资源的整体效用,开发平台统一规范。
2.5 建设原则
政务信息化建设是一项新的工作,也是一项长期的工作,它涉及到各级政府、政府各个部门,它的效益将是政府管理模式、管理方法、管理手段的重大改革和公务员素质的重大提高。
统一领导:电子政务建设的一项重要工程,也是形象工程。在规划和实施过程中,不但需要投入大量的人力、技术,还需要投入大量的资金,是一个复杂的系统工程。
统一标准:一是技术标准。为了确保整个系统的安全、兼容和不断发展,各子系统必须采用一系列统一的技术标准,包括网络技术标准、通信标准、网络安全标准、数据标准、地址分配标准、域名解析标准等。二是时间要求。各级单位、政府各部门要按照市政府的统一部署,在规定的时间内完成各自的系统建设,以保证整个系统的顺利完成。
技术先进性:信息技术发展迅速,信息产品升级换代周期很短,因此,在制订方案时必须在把握当前的同时,充分考虑到将来的技术发展需要,选择较先进的技术与产品,采用国际或国内标准,建设具有一定先进性的网络和应用系统。
可靠性:政务信息化系统是政府办公的有效工具,一旦投入运行,就必须确保系统稳定可靠地长期运行,利用备份、冗余等技术手段和措施,排除各种可能因素的干扰和影响,保证系统按设计要求发挥正常作用。
扩展性:政务信息化是一个不断发展完善的过程,旧的设备不断新设备取代、系统不断升级,应用不断增加,因此系统必须具有良好的可扩展性,为系统的改造升级、扩展提高打下良好的基础。
权威性:信息来源于市政府各部门,经过严格的审批程序,信息是可靠的、准确的。办公业务资源建设需要各政府、政府各部门的共同配合,办公业务网建设则需要部门内部各处室的共同配合,政府公众信息网建设也是如此。因此,各政府、政府各部门要按照规划的建设方案的总体要求,在市政府的统一领导下,既分工又合作。分工是指各自完成子系统建设,合作是指按照统一的技术标准互相支持、互相配合,最后形成一个统一的系统。
便民性:无论是发布信息,还是提供网上办理有关事务,均以为民、便民、利民为出发点和归宿。
广泛性:面对国内外广泛的用户群,需要提供海量信息。
安全性:市政府网络是一个保密要求较高的信息系统,网络的安全与否不仅关系到系统能否正常使用,同时还涉及国家机密的安全,因此,安全性是是系统建设的重要原则。从技术和管理上确保网络和信息的高度安全,使政府政务信息安全流转并得到充分利用。同时提供7×24小时不间断服务。
3 某市电子政务建设的总体思路
3.1 指3.2 导思想
1) 按照国办发布的《全国政府系统政务信息化建设2001-2005年规划纲要》要求。
2) 进一步提高工作质量和效率的要求,利用先进的技术手段在某市建立起办事高效、运转快捷、协调有力、行为规范的电子政务系统,为领导服务,为全市各级单位服务,为社会公众服务。
3.3 建设原则
以需求为导向,以应用促发展,统一规划,协同建设,资源共享,安全保密。
优先考虑具有自主知识产权的高新技术成果,使863和科技攻关成果得到展示和应用。
涉密的政务系统在和专网相连的内部政务网上运行;不涉密的业务系统在和因特网相连的内部业务网上运行。
3.4 建设目标3.5
优先采用自主知识产权的高新技术成果,建立以“三网一库”为基本架构的信息化优质工程。
4 某市电子政务应用系统建设
4.1 应用系统体系结构
某市电子政务应用系统分为两部分,即政务网应用和业务网应用
某市电子政务系统计算结构主要采用基于EJB的三层计算结构,如下图所示:
4.2 应用系统组成
根据某市电子政务应用系统的需求,系统共包括办公信息系统、综合数据支撑平台、公文分发与数据交换体系、电子邮件系统、移动办公应用系统、领导个性化服务系统和领导决策支持系统等七个分系统。这七个分系统相互联系,共同组成了某市电子政务系统:
其中,综合数据支撑平台中包括了虚拟资源库子系统和手工增加共享信息资源的维护管理子系统;公文分发与数据交换体系中包括了电子印章管理子系统、电子公文传输子系统、数据交换子系统和科况信息采集、统计子系统;办公信息系统中包括了20个子系统,具体的组成结构如下图。
4.3 应用系统实施技术路线
4.3.1 三层(多层)应用技术
4.3.1.1 三层结构框架及功能
由于传统的二层C/S结构存在以下几个局限:它是单一服务器且以局域网为中心的,所以难以扩展至广域网范围或Internet的大型应用模式;难以管理大量的客户机;受限于供应商,整个系统与特定的应用程序联系紧密;软、硬件的组合及集成能力有限。因此,在某电子政务应用系统中以三层结构体系为主。
三层结构是将应用功能分成表示层、业务逻辑层和数据层三部分。其解决方案是对这三层进行明确分割,并在逻辑上使其独立。各层说明如下:
表示层—担负用户与应用间的对话功能,通过浏览器模式实现表示层,组成的B/S结构;或使用可以自动更新的瘦客户端软件实现表示层,组成基于三层体系的“瘦客户/服务器”结构;
业务逻辑层—包含了具体的业务处理逻辑程序相当于应用的本体;
数据层—负责管理对数据库数据的读写。主要是利用大型关系型数据库进行迅速、大量的数据处理。
4.3.1.2 选用三层结构的优点
选用三层结构具有以下优点:
1 系统管理简单,大大减少客户机维护工作量。
基于B/S结构的应用模式无需客户端维护工作;基于“瘦客户/服务器”结构的客户端可以实现自动更新下载,也无需客户端维护工作。
4 具有灵活的硬件系统构成
对于各个层可以选择与其处理负荷和处理特性相适应的硬件,方便的实现负载均衡。清晰、合理地分割三层结构并使其独立,可以使系统构成的变更非常简单。因此,被分成三层的应用基本上不需要修正。
5 提高程序的可维护性
三层C/S结构中,应用的各层可以并行开发,各层也可以选择各自最适合的开发语言。
因为是按层分割功能,所以各个程序的处理逻辑变得比较简单。
10 进行严密的安全管理
涉密的关键应用的安全管理非常重要。在三层C/S结构中,识别用户的机构是按层来构筑的,对应用和数据的存取权限也可以按层进行设定。例如,即使外部的入侵者突破了表示层的安全防线,若在功能层中备有另外的安全机构,系统也可以阻止入侵者进入其他部分。
4.3.2 J2EE技术规范和JAVA技术
J2EE提供了一套企业级Java应用框架(一种标准),是一种利用Java 2平台来简化企业解决方案的开发、部署和管理相关的复杂问题的体系结构。
J2EE使用多层的分布式应用模型,应用逻辑按功能划分为组件,各个应用组件根据他们所在的层分布在不同的机器上。Sun公司设计J2EE的初衷正是为了解决两层模式(client/server)的弊端,在传统模式中,客户端担当了过多的角色而显得臃肿,使用J2EE 的多层企业级应用模型将两层化模型中的不同层面切分成许多层。一个多层化应用能够为不同的每种服务提供一个独立的层,以下是 J2EE 典型的四层结构:
运行在客户端机器上的客户层组件
运行在J2EE服务器上的Web层组件
运行在J2EE服务器上的业务逻辑层组件
运行在EIS或数据库服务器上的业务信息系统
J2EE为搭建具有可伸缩性、灵活性、易维护性的商务系统提供了良好的机制:
保留现存的IT资产: 由于必须适应新的业务需求,利用已有的信息系统方面的投资,而不是重新制定全盘方案就变得很重要。这样,一个以渐进的(而不是激进的,全盘否定的)方式建立在已有系统之上的服务器端平台机制是我们所需求的。J2EE架构可以充分利用用户原有的投资,如一些公司使用的BEA Tuxedo、IBM CICS, IBM Encina,、Inprise VisiBroker 以及Netscape Application Server。这之所以成为可能是因为J2EE拥有广泛的业界支持和一些重要的'企业计算'领域供应商的参与。每一个供应商都对现有的客户提供了不用废弃已有投资,进入可移植的J2EE领域的升级途径。由于基于J2EE平台的产品几乎能够在任何操作系统和硬件配置上运行,现有的操作系统和硬件也能被保留使用。
高效的开发: J2EE允许把一些通用的、很繁琐的服务端任务交给中间件供应商去完成。这样开发人员可以集中精力在如何创建逻辑上,相应地缩短了开发时间。高级中间件供应商提供以下这些复杂的中间件服务:
15 状态管理服务 -- 让开发人员写更少的代码,不用关心如何管理状态,这样能够更快地完成程序开发。
16 持续性服务 -- 让开发人员不用对数据访问逻辑进行编码就能编写应用程序,能生成更轻巧,与数据库无关的应用程序,这种应用程序更易于开发与维护。
17 分布式共享数据对象CACHE服务 -- 让开发人员编制高性能的系统,极大提高整体部署的伸缩性。
支持异构环境: J2EE能够开发部署在异构环境中的可移植程序。基于J2EE的应用程序不依赖任何特定操作系统、中间件、硬件。因此设计合理的基于J2EE的程序只需开发一次就可部署到各种平台。这在典型的异构企业计算环境中是十分关键的。J2EE标准也允许客户订购与J2EE兼容的第三方的现成的组件,把他们部署到异构环境中,节省了由自己制订整个方案所需的费用。
可伸缩性: 要选择一种服务器端平台,这种平台应能提供极佳的可伸缩性去满足那些在他们系统上进行商业运作的大批新客户。基于J2EE平台的应用程序可被部署到各种操作系统上。例如可被部署到Linux、或UNIX与大型机系统,这种系统单机可支持64至256个处理器。(这是NT服务器所望尘莫及的)J2EE领域的供应商提供了更为广泛的负载平衡策略。能消除系统中的瓶颈,允许多台服务器集成部署。这种部署可达数千个处理器,实现可高度伸缩的系统,满足未来应用的需要。
稳定的可用性: 一个服务器端平台必须能全天候运转以满足需求。因为INTERNET是全球化的、无处不在的,即使在夜间按计划停机也可能造成严重损失。若是意外停机,那会有灾难性后果。J2EE部署到可靠的操作环境中,他们支持长期的可用性。一些J2EE部署在WINDOWS、Linux环境中,也可选择健壮性能更好的操作系统如Sun Solaris、IBM OS/390。最健壮的操作系统可达到99.999%的可用性或每年只需5分钟停机时间。这是实时性很强商业系统理想的选择。
基于构件:它特点是编译码、独立部署的单位、由第三方进行组合的单位、无持久状态等,它具有可插入、更好的设计、更好的复用、方便的更新、实现与接口分离的优点。
使用Java技术有着以下明显的优点:
首先,Java是一种非常轻便的语言。这意味着基于Java应用服务器开发的中间件程序部件(一般情况下是EJB组件)能在不同的应用服务器之间方便地移动;如果发现某种应用服务器的性能或特征不太好,就可以选择另外的应用服务器并完全重用EJB部件。
其次,基于Java的开发都是要符合业界统一标准的。企业级Java技术所定义的标准减少了开发成本和培训开销。一旦学会了规范,就能将它们应用于多个服务器。这不同于传统中间件技术,编程者要专门学习特殊标准、编程接口、开发方法等。
4.3.3 中间件技术
4.3.3.1 消息中间件
采用消息中间件技术、基于J2EE的三层结构构建面向各级单位的数据交换体系中。消息中间件是位于平台(硬件和操作系统)和应用之间的通用服务,具有标准的程序接口和协议。针对不同的操作系统和硬件平台,它们可以有符合接口和协议规范的多种实现。消息中间件起到了一个“平台+通信”的作用,一方面使进一步的开发工作可以构建在一个统一的开发环境(平台)之上,不必关心具体的网络编程技术细节,大大简化了设计和编程工作;另一方面,中间件完全负责消息通信,用户只需关注于业务系统的运行、开发,有效地提高了效率。
消息中间件通信传输类型:
29 可靠传输可以在保证报文的正确性的前提下实现相对的实时传输。每个报文有相对的生命周期,在网络超时或者接受方宕机时终止发送请求,即报文有可能丢失或非顺序到达。可靠传输对处理机和网络的开销较小,一般适用于对传输速率要求较高的准实时系统,而对报文的丢失有一定的冗余度。
30 确保传送可以保证信息的无丢失、按顺序传送。在信息的发送者与接受者之间的网络出现中断或者接受者方的机器出现故障,在网路恢复连接后,仍然能保证在故障时期内的所有信息按顺序的正确到达。确保传送的高可靠性是以较多的资源开销(处理机、网络)作为代价的。因此,确保传送一般是用于传送频率比较低,但传送可靠性要求高的信息传输,如重要文件的传输等。该传输类型类似于电子邮件的传输方式。
4.3.3.2 数据中间件
在综合数据支撑平台中,为了整合桌面型数据库成为一个可共享的具有用户和权限管理的虚拟数据库,需要采用数据中间件以屏蔽掉数据节点分布、数据库表异构特性,实现虚拟数据库合理的软件层次结构。
4.3.4 安全应用技术
为了在某市电子政务系统的应用层、网络层实施细粒度的访问控制,实现对用户的身份鉴别、实现信息的保密性、完整性、真实性和抗抵赖性等保护,采用当今流行的高强度安全策略——数字证书技术。应用系统可以基于数字证书以及相关的经国家有关部门认可的密码算法认证登录系统的用户的真实身份,进行数字签名和验证签名,采用数字签名技术解决抗抵赖性和数据完整性的的问题,利用安全系统提供的加密算法,解决信息的保密性问题。
对重要数据库的访问,还要通过安全代理,对访问者的身份基于数字证书进行高强度的认证,对其访问应用系统的请求进行确认,如果该用户没有访问的权限,其访问请求将被安全代理拒绝。同时,在安全代理服务器上还可以完成包括包过滤、加密、解密等技术,从而实现权限确认和数据的密存密传功能。
4.3.5 数据资源库
对不能(不方便)共享的桌面型数据库,为暂时维持现有应用不变且又能提供数据资源共享,提出了一个完备的基于整体应用的数据库解决方案——即虚拟数据库解决方案。其基本思想是将分散的、局部的桌面形数据库(Foxpro、Access)利用网络资源以及虚拟数据库应用将它们在逻辑上统一起来,实现呈现给用户一个完整的、统一的数据库访问模式,同时提供数据资源的用户和权限管理功能,即对用户以及应用程序来说就好像访问大型关系型数据库一样方便地访问数据资源,而不是在访问分散于不同服务终端的数据库,所有的处理都将在虚拟数据库构架中完成,不需要用户或应用程序涉及任何底层的输入。
4.3.6 技术路线的可行性和解决关键技术的途径
三层应用构架是一种成熟的开发模式,可以应用到某市电子政务中,针对行文应用的特殊要求,建议Domino平台这一成熟的体系,以确保某市电子政务的正常运作。
Java技术是一种成熟的技术,已经得到广泛的应用,J2EE技术规范已经得到大的中间件生成厂商如BEA公司、IBM公司的产品化支持。
中间件技术是软件产品的发展方向,现在市场上已有大量的产品可供选择,因此在结合某市电子政务需求开发数据中间件是可行的,在数据交换体系中采用消息中间件已是可行的,符合发展方向。
安全应用技术是某市电子政务中的一种重要指标,国内许多单位进行过大量的研发工作,有的已形成了产品,因此也具有可行性。
虚拟数据库是解决数据共享、系统平滑过渡的必又之路,结合数据库技术和中间件技术,一定能达到目标,创优质工程。
4.4 政务网应用系统建设
4.4.1 政务网应用体系结构
鉴于基于J2EE规范的三层结构的行文应用尚不成熟,拟以Lotus Domino平台,在目前行文应用的基础上,改造原有的公文流转系统,使之能与其他基于J2EE规范新开发的应用很好地融合在一起。其他应用主要基于J2EE规范开发。
为加强Domino Server访问安全性,在Domino服务器之前设置安全代理服务器,所有对Domino服务器的访问均须经过安全代理对身份数字证书的认证以后才能进行。
考虑到数据库基于用户名/口令方式进行身份认证,为加强关键数据库系统的安全性,所有对关键数据库的访问均须经过安全代理对身份数字证书的认证以后才能进行。
4.4.2 某市办公信息系统
4.4.2.1 发文管理系统
发文管理系统对党发文、发函、便函等文种的发文工作进行管理,提供公文起草、公文流转、痕迹保留、数字签名、文档一体化管理功能,并可以随时进行文种转换。
4.4.2.2 收文管理系统
收文管理系统对某市收到的阅文、办文、批件、会议通知、会签文、简报、人大议案、人大建议和政协提案进行管理,提供公文流转、数字签名、催办、送档案室归档功能,收文办理过程中可与内部文、发文流程衔接。
4.4.2.3 内部文管理系统
内部文管理系统对内部文的起草、审批过程进行管理,提供起草、公文流转、数字签名等功能,可与发文管理系统衔接。
4.4.2.4 档案管理系统
档案管理系统对历史档案提供文件扫描图片管理和按权限查询的功能,前端查询界面可与新建的档案系统查询界面有机地融合;
对某市电子政务应用系统建设完成后形成的文档一体化档案,提供全文检索服务。
同时,档案管理系统需要提供档案管理的功能。
4.4.2.5 督办查办系统
文档处可以对收办文进行督办查办管理;
系统通过计算机网络按照办结期限自动提前催办;
政务网上需催办的事项,通过政务网与业务网之间的数据接口传送到业务网上对使用业务网应用系统的用户催办。
4.4.2.6 事务性工作提示管理系统
本系统提供提示项目的预设和管理功能;
按照设定的条件自动将需广播的信息发送到“文字信息广播组播系统”,在计算机网络上进行广播、组播提示。
4.4.2.7 文字信息广播组播系统
文字信息在计算机网络上的广播功能;
文字信息在计算机网络上的组播功能;
政务网上广播(组播)的信息,通过政务网与业务网之间的数据接口转移到业务网上对业务处理PC进行广播(组播)。
4.4.2.8 会议管理系统
会议计划申报、审批,会议通知审批,邮件或传真通知,会议资料(主题发言、分组讨论记录、会议纪要)归档管理,年度会议统计汇总。
4.4.2.9 值班工作系统
领导带班表:各单位自行维护管理。
值班安排管理:秘书处分配各单位日历段,各单位维护各自的值班人员名单;以年度日历表的形式进行管理。
值班日志管理-值班电话摘报管理:当班值班员编写值班日志;对选定的值班记录可以生成值班电话摘报,并进行流转审批和办理;当班值班员使用值班室ID登录系统,系统结合值班表确定值班员的真实身份。
会议通知:使用邮件系统或传真服务器批量发送会议通知。可以使用电子电话簿中的地址/传真号码。
电话簿:包括办公、住宅、地方三个部分,各单位可以自行维护各自的部分,值班室可以维护全部电话簿,可以打印成册和网上查询。
传真服务器:可批量发送传真,遇忙自动重发;可对接收的传真电子文件进行管理。
4.4.2.10 大屏幕发布管理系统
大屏幕发布信息的审批流程;
与大屏幕显示系统接口;
大屏幕信息自动发送到“文字信息广播系统”中,同时在计算机网络上广播。
4.4.2.11 信访工作管理系统
该系统实现信访资料的摘录、编辑、报送、归档管理等。
4.4.2.12 领导日程安排
市领导和单位领导的日程安排管理,具有生成日程安排和流转审批功能。
4.4.2.13 出国出差计划管理系统
该系统主要完成人员出国出差计划的制订、编辑、维护、发布和管理。
4.4.2.14 刊物编辑系统
刊物编辑系统完成市刊物的编撰、审批、管理、上报/分发/发布、电子归档等工作。
4.4.2.15 信息上报接口
刊物编辑系统中生成的《专报信息》、《决策参考》等上报温州市、某省时,需要转换为上级系统要求的格式,才能上报。
4.4.2.16 大事记管理
工作人员使用该系统记录某市大事,完成相应的编辑、管理、归档工作。
4.4.2.17 秘书工作系统
该系统供市领导秘书使用,帮助秘书管理部领导的相关文件、批示、稿件等资料。
4.4.2.18 办公自动化工作和技术文档管理系统
办公自动化设备(含软件)的购置、维修、配置参数、使用等情况的管理,各类办公自动化技术文档(电子版)的管理和共享使用。
4.4.2.19 BBS
多栏目管理,如OA问答、论坛、好文章等栏目的设置和管理。
4.4.2.20 与档案系统接口
电子档案库是共享信息资源库的重要组成部分,公文流转最终结果要归档,存储到档案库。因此,在行文系统、会议管理系统等应用系统与档案管理系统之间应有可靠有效的接口,按照电子档案库的格式规范将应用系统的数据传送到电子档案库中。
4.4.3 政务网综合数据支撑平台
通过将某市大量存在的不能(或不便于)提供共享的桌面型数据库虚拟成一个统一的共享资源库,结合其他现存的可以直接提供共享访问的大型数据库,可以实现在暂不更改现有应用程序的前提下,达成数据资源有效充分共享的目的。这样安排一方面可保护现有投资,另一方面能实现平滑的过渡。
对于不能(或不便于)提供共享的桌面型数据库,如果按照传统的访问方式,必须将这些文件共享出来,然后才能够通过网络在其他计算机上面访问它们。这种传统的数据共享方式存在相当大的弊病,首当其冲的就是安全性问题,所有能够登录该计算机的用户都可以访问这些桌面型数据库,不可能对共享的文件使用数字认证这样级别的安全管理,因此安全性极低;虚拟数据库方案就是为了解决这个问题的。通过提供数据库端的API以及应用端的数据中间件将分散在网络上的各个独立的节点上的桌面形数据库连接起来。舍弃了传统的文件共享方式,利用网络通讯实现数据库访问。在用户访问数据之前需要用户通过整个系统安全认证(例如基于数据证书的用户身份认证),这样就完美的解决了上面所提到的数据库的安全问题。
4.4.3.1 虚拟数据库结构
虚拟数据库构架分为虚拟数据库客户端和虚拟数据库服务器两个主要部分。其基本结构如下图所示:
1、虚拟数据库客户端
虚拟数据库客户端主要包括需要访问数据库的各种应用以及连接数据库的通用接口(ODBC/JDBC)两个部分。
需要访问数据库的各种应用:指用户使用的各种桌面应用程序,例如决策支持的数据挖掘,共享资源发布。
ODBC/JDBC:数据库通用接口是数据库的标准接口,而且是一个简单易用的数据库接口,同时又能够很好的完成数据访问的任务。
2、虚拟数据库服务器端
虚拟数据库服务器端主要分为四个层次结构,包括虚拟数据库面向客户层、API、数据中间件层、分散的PC机或PC Server上的桌面型数据库层四个部分。
虚拟数据库面向客户层:功能性描述主要包括下面几个方面:
用户(基于数字证书)以及权限管理
对应用通过ODBC/JDBC连接虚拟数据库的响应
基于数字证书的用户身份认证
其他“实”数据库应该具有的基本功能(数据的物理存储除外)
通过API访问虚拟数据库面向客户层
对应用提供虚拟数据库服务
API:是连接虚拟数据库面向客户层与数据中间件的纽带。通过这个API一次只能对一张虚拟表(该虚拟表对应于一个节点上数据库中存储的一张实际的表格)进行读取。
数据中间件层:在前面也提过虚拟数据库舍弃了共享文件的方式,采用连接通讯的方式实现资源(位于分布式数据节点上面的桌面形数据库)共享,因此在虚拟数据库服务器端的API同样不能够直接访问分布式数据节点上的桌面形数据库里面的数据资源。为了解决这个问题,为虚拟数据库连接提供了另外一个数据中间件层,即虚拟数据库服务器端的API与数据中间件层进行通讯。
数据中间件层主要功能是与服务器端的API进行通讯,返回查询结果集。工作流程是虚拟数据库服务器端的API根据经过虚拟数据库面向客户端分析过的指令到网络上定位指定的节点,查找到对应的节点之后将查询指令传送到该节点上的数据中间件层上面,该中间件处理查询业务,查找所需要的表名,如果找到则返回正确信息给服务器端的API,同时通过API读取数据资源到虚拟数据库面向客户层,最后呈现给用户的数据是经过虚拟数据库面向客户端整合过的。
分散节点上的数据库层:位于分散节点上面的桌面形数据库(Access)是需要获取数据资源的最终来源,设计虚拟数据库结构的最终目标就是要访问这些数据库,以获取信息供用户查询、分析、使用。
4.4.3.2 实现机制
虚拟数据库客户端与虚拟数据库服务器端的通讯:使用TCP/IP协议进行通讯。支持标准SQL子集。
API与数据中间件层的通讯:因为需要动态的刷新虚拟表列表,所以API与数据中间件层之间的通讯必须是实时的握手协议,一旦节点机登录网络,API就能够与它建立通讯关系并且刷新虚拟表列表。
数据中间件与桌面数据库的通讯:考虑到需要将查询到的结果集(数据表内数据资源信息)上传到虚拟数据库服务器端,因此通信最好使用简单易用的ODBC/JDBC方式。
数据中间件的实现机制:该数据中间件层主要分为三个层次,与API通讯的面向服务器层、格式转换层和运行在分布式数据节点上的面向客户端层。客户端的物理设备启动时自动启动该中间件。该中间件支持动态响应来自虚拟数据库服务器的请求。当虚拟数据库服务器需要向某分布式数据节点发送请求时,首先查询该节点是否登录网络,如果该节点已经正常运行于网络中,则虚拟数据库服务器向它发送通讯的请求,和该节点运行于同一物理设备上的数据中间件实时的响应这个请求,然后执行查询指令,并将查询的结果集和通讯成功的信息打包,并过API发送给虚拟数据库服务器端;如果执行查询指令出错,也向虚拟数据库服务器端返回出错信息;如果该节点并未正常登录网络,则数据中间件通过API向虚拟数据库的面向客户层发送通讯失败信息。实现机制如下面框图所示:
4.4.4 面向各级单位的公文分发与数据交换体系
应用系统与直属单位及上级省市之间要实现电子化的数据交换,包括公文的下发、上传、下属单位公文的抄送、各单位之间的数据(公文)交换。各单位的OA系统通过统一的接口规范,实现跨系统的数据交换。
4.4.4.1 数据交换规范
由于整个系统构建在J2EE框架之上,所以可以容易地采用XML格式进行数据交换。XML(可扩展的标记语言)标准为构造内容和数据提供了一种方法,XML文档内的数据结构在数据类型定义(DTD)中加以说明。支持XML的应用无需事先相互了解就能通信和交换数据,只要它们共享或能够转换DTD即可。XML定义了一种超越任何平台、任何语言的数据表示格式,在XML所传输的信息中除包括用户数据外,还包括对数据格式的描述信息,使任何接收端的XML都能够方便地“解码”,并将XML标准格式的数据转换成接收端程序所能识别的本地数据。这样便可实现采用不同硬件平台、不同操作系统平台、不同语言的应用之间平滑地通信。
4.4.4.2 数据交换体系的实现
实现目标:网状数据交换
在业务需要时,在同一系统构架上,开放网状交换的权限,可以在系统内实现网状数据交换。
中间件与应用系统接口:
一般情况下,中间件支持多种接口函数库,包括:C,C++,JAVA,ActiveX。从API类型上看,中间件所提供的众多良好的特性(包括:订阅/发布、自动负载均衡、容错、智能化代理传输……)都有其对应的API。在中间件的部署过程中,针对一些与有通用性的应用系统接口,采用“适配器(Adapter)”方式开发,以达到今后系统的对接口的复用。根据与消息中间件集成的方法不同,可将Adapter分为四类,即基本的四种集成方法,如下图
需要指出的是:图中所示的四种方法中,数据传输是双向的,即采用某一种方法集成的应用可以和利用任意其它方法集成的应用通过中间件平滑地集成。
4.4.4.3 公文分发
分为三阶段实施。
第一阶段实现目标:通过邮件系统向下分发公文
第二阶段实现目标:借助于星型数据交换体系,实现星型公文交换
某市办公系统采用发布订阅(Pub/Sub)传输模式。由某市办公系统发布可供订阅的信息“主题”(需要下发的某市公文作为一个主题),下属单位按照某市要求自行订阅。当某市办公系统产生新的发文时,消息中间件系统可以自动按照该主题的订阅列表向多个下属单位发送信息(此处为Push方式)。另一方面,由下属单位公布发布可供订阅的信息“主题”(需要上报某市的公文作为一个主题),某市办公系统可根据需要自行订阅,实现下属单位公文的自动上报。同理,各下属单位之间的公文交换以及某市办公系统向各业务系统的信息发布工作也可以通过发布订阅(Pub/Sub)传输模式方便地实现。
第三阶段实现目标:借助于网状数据交换体系,实现网状公文交换
4.4.5 领导个性化办公系统
领导个性化服务是根据领导在第一次使用网站时做的个性化设定,如最关心、最感兴趣主题,页面背景与字体等,在领导每次进入网站时显示出其个性化页面,并具有相应的问候语等功能。
最感兴趣新闻主题:
当领导设定了其最感兴趣的主题后,系统将在选定的互联网的有关网站站点上定时搜集相关话题的内容,在领导进入个性化页面时,将在优先的位置显示这些主题内容;
页面背景与字体:
页面背景颜色和页面字体可随领导的喜好设定的变化而变化;
问候语:
领导进入个性化页面时,可根据其进入的时间和身份给予不同的问候语
4.4.6 应用系统管理
系统提供统一的应用系统管理入口。该应用将电子政务系统中的所有应用系统的配置、管理模块集成在一个统一的平台上,通过调用各应用系统提供的标准API函数来完成对各应用系统的配置管理工作,方便了系统管理员日常的系统管理工作。
4.5 业务网应用系统建设
4.5.1 业务网应用体系结构
本系统研发的应用系统主要运行于政务网平台,只有极少量的新应用系统(催办系统、文字信息广播组播系统)运行于业务网平台。
考虑到数据库基于用户名/口令方式进行身份认证,为加强数据库(数据仓库)系统的安全性,所有对数据库的访问均须经过安全代理对身份数字证书的认证以后才能进行。
为了各业务单位能按照新的规范开发开放互联的业务应用系统,业务网也配置应用服务器,可以开发三层应用。
4.5.2 面向各单位的安全电子邮件系统
安全电子邮件系统包括Email-Server和WebMail邮件收发应用两个部分,支持标准SMTP 服务、POP3服务,客户端既可以通过Web 收发邮件,又可以采用邮件收发客户程序,满足人们在Intranet/ Intranet信息发布/信息交流的需要。用户如果要进入邮件系统收发邮件,首先要经过系统的身份验证,然后才可以进入系统操作。
该系统具有以下功能:
(1)邮箱管理:邮箱由邮件系统管理员统一建立和维护。Web管理界面,系统管理员可使用自己的数字证书进行管理维护工作,提供增加、修改、删除用户、分配用户邮箱存储空间、对特定的邮箱进行限制发送保护的功能;
(2)地址管理:既体现方便性又体现安全性,包含两个层次:公开地址查询和私人地址本。其中,公开地址由网络管理中心建立和维护,普通用户不可更改。用户可混合选取邮箱地址进行一次性发送;
(3)普通收发:包括普通的收信、发信、回信、转发、拒收、订信息等,能附加二进制、文本、word、图片、声音、视频等各种格式的文件;
(4)特殊收发:
发信:可方便地选取邮件地址进行批量发送;可根据办公所需制作发信的投递表,按投递表进行发信。
收信:在用户开机的情况下,可根据预定计划(时间)进行自动接收,有较明显的新到信件提示功能,新到邮件被打开阅读后,自动给发信人发送确认回执(回执信不能再回执);
(5)公告栏功能:注册用户可浏览和接收公告栏信息,并能发信至公告栏,附带用户名称,但只可删除自己发至公告栏的信息;
(6)加密收发:通过安全系统提供的国产高强度加密算法实现邮件内容的加密,防止邮件在网络传输过程中,被其他人窃取或篡改,对邮件起到了安全保护的作用;
(7)数字签名:采用电子证书体系来建立安全邮件系统,通过安全系统提供的签名算法实现数字签名,起到抗抵赖和保证完整性的作用。邮件用户资料存储在专用数据库中,用户的数字签名也存储在专用数据库中,在发信过程中,自动将数字签名隐含在用户所发的邮件之中;
(8)增强的用户登录接口:用户界面主要采取Webmail方式,同时支持POP方式。每个用户使用自己的数字证书经认证后才能访问自己的邮箱;
(9)标准协议:本系统所涉及到的部分完全符合国际标准协议,并能与其它标准的邮件服务器互通等。
4.5.3 业务网综合数据支撑平台
具体技术方案与政务网相同,详见4.4.3 某市政务系统综合数据支撑平台小节之内容。
4.5.4 移动办公应用系统
某市电子政务系统的应用不仅仅局限于局域网,要实现真正移动办公,可以让有关人员在任意地点访问业务网的应用系统是将来的大势所趋。
某市电子政务系统业务网提供针对内部人员网上移动办公设计的专用接入平台,应用系统提供方便、实用的远程办公的手段。当工作人员外出时,只需要携带本人的笔记本电脑,并安装本系统的环境即可通过拨号方式或借助于Internet远程登录某市业务网应用系统,就象在业务网的局域网中一样地工作。
移动办公的安全性在广域线路上通过VPN的方式予以保证。
4.5.5 领导个性化服4.5.6 务
具体技术方案与政务网类似,详见4.4.5 领导个性化服务小节之内容。
4.5.7 决策支持系统
4.5.7.1 决策支持系统体系结构
某市电子政务信息决策支持系统体系结构如下图所示:
4.5.7.2 信息决策支持系统的实现步骤
整合数据资源,逐步建立数据仓库
数据提取: a) 对于建立在本身具有ODBC和JDBC接口的数据库管理系统(如: MS SQL Server, Oracle, DB2, Sybase等)之上的各个数据库,可以通过ODBC或JDBC接口提取出来,在经过数据清理与整合之后,再通过ODBC或JDBC接口导入建立在DM3平台上的信息数据仓库。目前DM3已经具备ODBC和JDBC接口。b) 对于不具备ODBC和JDBC接口的数据库(如:直接以一般的文本文件集合构成的数据库),则通过基于XML的中间件提取数据和导入数据仓库。为此,需要针对这些数据库各自的特性,开发将其中的数据发布成XML格式的工具;如有现成的第三方工具,亦可考虑采用。目前DM3正在参照国际上成熟的技术,实现以关系型数据库存储和发布XML数据。
数据清理与集成:数据仓库中的数据是用于决策支持,因此必须力求数据的正确性。从各个数据库中提取过来的数据有可能是“脏“的,可能包含了重复的记录,数据不完整或者数据记录之间不一致。因此需要有数据清理和集成工具来消去重复;为不完整的数据添补丢失的字段值;解决数据之间的所有矛盾之处,如字段的同名异义、异名同义、量纲不统一、字段长度不一致等等。数据清理与集成是数据仓库建设中最关键、最复杂的一步。数据的异常往往极其烦琐,有的是由无意的录入错误所引起,有的则是因为数据格式不统一,表达习惯不同等等造成的。数据的异常与特定情况紧密相关,因此很难有完全通用的工具。但是这些工具本质上并不存在很大的技术障碍,主要是工作量庞杂。DM3可以开发自己的数据清理与集成工具,或者可能直接利用某政务系统综合数据支撑平台(即课题1的子系统(2))。
数据加载与刷新:经过数据提取、数据清理与集成之后,数据就加载到数据仓库之中。在加载过程中可能需要同时进行一些额外的处理:检查数据完整性约束,排序,汇总以及建立索引等等。数据刷新就是将各个数据来源(各司局数据库)中发生的更新传播到数据仓库。刷新有两个关键问题: 何时刷新和怎么刷新。数据加载和刷新通常都是采取批处理的方式来完成。数据加载基本上都可以利用DM3的现有功能实现。最简单的数据刷新就是重新进行数据加载。另一方面,DM3可以采用成熟技术开发增量式刷新工具。
数据集市:根据具体需要,可以在各司局建立局部的数据仓库,即数据集市。整个信息数据仓库则建立在所有数据集市之上。
探索建立决策模型,提高决策支持系统的易用性。
与决策者紧密配合,不断了解决策需求,决策流程以及决策思维习惯等等相关信息,探索建立相应的决策模型。
在决策模型的基础上,不仅构建通用的数据分析平台,而且在了解决策者的个性化要求之后,预先定制一体化的决策支持个性系统,方便决策者的使用,提高决策效率。
研究与开发高效方便的数据分析工具,充分发掘数据仓库中的有用信息,为优化决策提供支持。
数据查询与报表工具:决策支持查询类似传统的SQL查询,不同之处在于,决策支持查询通常要汇总大量的、较低层数据,包含较复杂的计算过程。为了满足对这一类查询的快速响应,需要优化数据仓库的物理数据组织,建立能够高效支持复杂连接操作的索引。此外,还可以采取实化视图机制,根据用户的查询模式预先计算大量的查询,当后续相同的查询或类似的查询到来之时,不用再次从头计算,而是利用先前的结果进行快速响应。目前DM3已经具备智能报表工具系统。正在研究开发实化视图机制,使智能报表工具系统以后能够利用实化视图来快速响应决策支持查询。
OLAP服务器:联机分析处理工具将数据仓库中的数据组织成多维数据立方的形式,支持复杂的多维分析,符合人们日常多角度、多侧面看问题的分析习惯。典型的OLAP操作包括:上钻(rollup,也就是增加数据的抽象汇总程度,减少细节),下钻(drill-down,也就是增加数据的具体程度,获取更多的细节),切片和切块(slice-and-dice,也就是选取数据立方中的某些单元投影出来),以及旋转(pivot, 也就是改变多维数据视图的显示角度)。简而言之,多维数据立方就是传统二维报表的多维化。目前已经基于DM3构建了关系型OLAP服务器原型系统(ROLAP服务器),包括数据立方构造和浏览工具。ROLAP服务器通过星型模式或雪花模式以关系数据库的二维表来模拟多维数据模型。多维数据立方就是事实表的实化视图。数据立方浏览工具整合了上述上钻、下钻、切片和切块以及旋转操作,用户只需用鼠标点击就能查看数据立方中任意单元中度量汇总值。投标方正在研究开发利用数据立方索引加快数据立方浏览,进一步完善用户界面,和实现编程接口。
数据挖掘工具:数据挖掘,又称数据库中的知识发现,就是在大量数据中发现潜在可用的模式。主流数据挖掘技术包括:关联(association),分类(classification),聚类(clustering)和回归(regression)。一个关联规则的例子就是“90%的客户在购买面包和黄油的同时也会购买牛奶”。其直观的意义就是客户在购买某些东西的时候有多大的倾向也会购买另外一些东西。分类就是首先利用类别已经表定的样本数据进行训练,然后利用所发现的分类规则对新的个例进行自动分类,也就是通过个例的其它属性值来预测它的类别值。聚类与分类的不同之处在于,它的训练样本没有进行类别标定。回归则是通过个例的其它属性值预测连续性变量的数值。完整的数据挖掘过程除了挖掘步骤之外,还包括数据准备和模式表述两个步骤。分析人员对挖掘出来的模式进行评价,如果不满意,就可重复这一挖掘过程。数据挖掘常常基于数据仓库进行,这是因为数据仓库中保存的是已经经过整合的高质量数据,从而可以省略或简化数据准备步骤。目前投标方已经建立了基于DM3的关联规则集成挖掘原型系统。对于分类,聚类和回归,正在参照SQL-99中的数据挖掘部分对算子和API的定义,基于成熟的主流技术,展开研究和开发。
4.5.8 应用系统管理
具体技术方案与政务网相同,详见4.4.6 应用系统管理小节之内容。
4.6 数据库的应用
随着中国电子政务系统的开发与应用,将会有大量的政府信息在公众网和专网上使用,这就对系统的安全性提出了很高的要求,使用国产安全平台软件将从根本上提高系统的安全性,减少安全上的隐患和漏洞。另外优先采用自主知识版权的技术和成果,使863和科技攻关成果得到展示和应用也是一个重要的政治任务,在本项目的解决方案中,关系型数据库使用国产的安全数据库DM3,全文数据库使用国产全文检索数据库CGRS 2000。
达梦数据库DM3是大型分布式多媒体数据库管理系统,七五、八五、九五先后得到总参、科技部的支持。在96年国家组织的鉴定中,由张效祥、杨芙清、旺成为三名院士组成的专家组的签定意见是,总体水平达到九十年代末期国际先进水平。达梦数据库DM3拥有完全的自主知识版权,拥有完全的源代码,采用自主存取控制、强制存取控制和审计功能三权分立的存储机制,安全级别达到B1级,高于同类进口的数据库产品。数据库语言SQL标准符合率向来是衡量数据库产品功能的重要标志,DM3的SQL92标准符合率达到98%。除了支持标准的数据类型外,还扩充了多媒体数据类型和空间数据类型,并支持多媒体数据及空间数据的一体化存储和检索。经过国内大量的应用实践已经证明,达梦数据库DM3是可靠性高、实用性强、商品化程度较高、成熟的数据库管理系统产品。国产安全数据库平台DM3完全可以满足某市电子政务应用系统软件开发的需求。DM3的具体特性见附件。
国产CGRS 2000全文数据库得到了广泛的应用,具有如下特性:
数据库支持GBK内码,涵盖GB、BIG5内码范围;可以选择语种(GB/BIG5/English)建立简体或繁体的库。
结构化、非结构化信息。
MS-OFFICE、S2、PS2、PS、PDF、HTML、ISO2709等样式文档。
图像、声音、视频等多媒体信息。
数据库容量:每个数据库最多可存贮42亿篇文献;
查词速度:在1G的原始信息平均查询时间1-3秒;
联库检索:同时打开100个数据库检索;
每个服务器允许建立数据库可达32767个;
允许跨255个站点的数据库服务器分布式检索。
5 某市电子政务系统网站建设
应用系统管理工作流程,产生和维护信息数据,这些数据通过WWW网站发布,提供给有权用户通过浏览器检索和浏览,提高信息共享程度和系统结构的合理性。发布这些信息的网站分为三类四个:第一类公众服务门户网站;第二类专网;第三类内部网站,由于内网分为政务网和业务网,因此内部网站也分为政务网站和业务网站。政务网站一般发布政务和事务类信息,业务网站一般发布各个职能单位计划类信息,二者发布内容一般不重叠,内部网用户分别使用不同的PC访问这两个内部网站。
5.1 公众服5.2 务门户网站
门户网站,已成为各级政府面向社会公众提供信息服务的主渠道之一。同时,各单位也应各部门业务需要,先后建成并开通了一些网站,形成了内容较为完善的公众信息服务网站群,对增加某市政府工作的透明度,树立某市政府面向社会服务的良好形象将起到积极的作用。
随着技术的进步,目前网站的应用已向功能化方面发展,既不仅仅局限在对外信息发布和宣传的作用上,而是包括对外信息双向交流和业务处理等功能的应用上。目前现有的门户网站大部分由静态网页组成,只有部分查询功能为后台数据库提取,信息发布的时效性和信息更新维护的便捷性较差,已不适应随电子政务系统的建成,将有大量需要实时信息发布工作的需要。因此,这就需要对门户网站建设,使之成为技术更加先进、系统更加稳定、内容更加丰富、信息发布更及时的优秀的门户网站,以充分满足某市面向社会的信息发布服务和公众对政策法规和各类最新信息的需求,巩固和提升某市政府面向社会服务的良好形象。
5.2.1 指5.2.2 导思想
门户网站的建设,将依据于某市面向社会公众的信息发布服务和提供公开政务服务工作的需求,符合政府部门门户网站的形象,遵循先进性、性价比高、易用性、稳定性、安全性等系统设计原则,建成“实用、高效、先进”的门户网站。
在技术方面,采用国产LINUX平台、国产数据库及APACHE为软件平台,配合其它管理软件,保障网络安全、方便远程及本地管理和更新;硬件沿用现有设备;以新闻发布系统实现所有动态信息自动发布,支持数据库远程上传,逐条或批量更新;支持网页自动跟踪统计功能,以检索同一内容的点击率;后台管理采用安全代理服务;
在应用方面,依据现有和可获得的资源,保障各栏目内容的丰富性并能持续更新;栏目规划及各栏目细化方案,能明确预示各栏目今后运营的工作流程和工作量,便于分工协作和专人专栏专管,达到高效、准确、可用;页面条理清楚、内容布局合理,力求简洁、美观大方,符合某市政府机构形象;增添栏目容易,各栏目、专题图标及BANNER可更新;调阅速度快;接收政务网所推送数据,及时更新各栏目内容。
门户网站建设的技术路线为,采用Web Application Server;采用三层的体系结构,尤其是采用JSP和XML等先进的国际标准;采用Servlet和中间件的技术;采用先进的交互式网上应用技术;采用互联网自动发布信息流;遵循先进性、实用性、开放性、稳定性、安全性原则;整个系统采用模块化设计,为系统功能扩展留下足够的空间;通过网络监测和网站恢复技术,提高网站防攻击、防篡改能力。
5.2.3 内容设置策划及各栏目、专题技术解决方案
5.2.3.1 首页
首页内容包括站名、BANNER、栏目导航条、专题导航、主页新闻、网站介绍、英文版超链、友情链接、本站版权及联系方式等。
页面力求简洁、美观大方,符合某市政府机构形象;内容布局合理、全面,可从首页进入浏览站内所有一级分类的信息;主页新闻改由数据库管理,提供新闻主题、发布日期等基本信息;页面结构能适应内容更新,增添栏目容易,各栏目、专题图标及BANNER可更新;调阅速度快、600X800像素方式。
5.2.3.2 栏目
A)首页:领导之窗、寄语市长、民意调查、法规与改革、网站导航、用户登录、政务新闻、邮箱入口、市民论坛、办事查询、某地图等
以上栏目采用新闻发布系统数据库管理,实现所有动态信息自动发布,由编辑人员自后台操作信息的发布工作,所发布信息在前台(首页或栏目)由数据库自动生成、更新。
前台分两级页面浏览,一级为新闻目录页,包含新闻主题、发布日期、新闻条数及本级页面数量等信息,提供按关键字、发布日期检索服务功能;二级为新闻详细浏览页,包含新闻主题、详细图文内容、发布日期等信息。
后台构建编辑信息管理系统,按网站信息发布管理方案分配栏目信息管理员(信息编辑人员)栏目编辑权限,管理员操作页显示所有经授权维护信息的栏目,可细化到最底层子栏目。支持数据库远程上传,逐条或批量更新。
信息发布管理形式:网站编辑于后台通过身份验证后录入、删改、提交数据;根据工作需要分配各编辑管理栏目范围;根据业务管理流程设定编辑管理权限(视工作量和编辑人员数量,可分总编/责编/一般编辑三级管理,或总编/责编两级管理)。
B)网站信息内容
根据归类整理,我们将要发布的信息内容分为以下几个栏目:
1 某概览
介绍某的自然环境、发展简史、政治宗教、经济产业、科教文卫、交通运输、人民生活、旅游资源、前景规划等方方面面的内容,向世人展示某的基本风貌,具体包括以下内容:
* 某简介:包括地理环境,* 气候人口等
* 古城史话:介绍某的由来,* 发展的过程
* 城市建设:介绍市政规划,* 基础设施,* 绿化和治理状况
* 第三产业:包括交通运输,* 邮电通讯,* 房地产、信息产业和旅游业状况
* 现代工业:介绍发展状况,* 经济类型,* 支柱产业和高新产业
* 农村经济:介绍农业产什,* 产业化和农产品出口
* 科学技术:介绍科技产业化,* 科教事业和科研成果
* 对外开放:介绍投资环境,* 投资政策和工业园区建设
* 社会事业:介绍就业状况,* 社会保障和社会福利
* 某生活:介绍娱乐和文化事业
* 统计之窗:包括各项统计指* 标*
* 发展战略:介绍某十五规划及目标*
* 企业之窗:介绍各企业的基本情况
2 政务公开
政府公告:定期发布政府文件、规章等信息
政策法规:
公布中央及地方最近出台的各项政策、规定、条例和有关措施,使广大市民和企、事业单位及时获得相关材料,规范自身的行为。同时,政府还对最新的政策法规提供解释,使之正确地推行。
* 提供国家有关法律全文。包括宪法、刑法、民法、诉讼法、合同* 法、企业法等。
* 集中介绍某各项政策法规,* 规章制度并提供权威的解释。通过网络,* 广大市民和企、事业单位可以及时了解政府动态。
* 提供政策和法规的查询服* 务。门户网站备* 有完整的国家和地方法律、法规、政策和条例数据库,* 用户可以选择各种精确或模糊的方法查询信息,* 例如按发文号、发文单位、类别、发文日期、制定机关、标* 题关键词、全文检索关键词等等查询一篇或多篇文件。
4 办事规程(按部门分类,均提供后台管理功能):
* 部门简介:介绍各相关部门的构成及对外联系电话(可分下属处室、下属机构)和联系地址
* 相关网站:提供各部门网站的链接
* 管理职责:介绍各部门的管理职责
* 工作纪律:介绍各部门的工作纪律
* 网上投诉:提供网上投诉功能和公众监督相关联
* 相关法规:提供与该部门相关的法律法规,* 与政策法规栏目相关联
* 相关新闻:提供与该部门相关的新闻
* 行政检查事项:提供与该部门相关的检查事项(含流程)
* 行政审批事项:提供与该部门的行政审批事项(含流程)
* 行政诉讼事项:提供与该部门相关的诉讼事项(含流程)
* 行政征收事项:提供与该部门相关的行政征收事项(含流程)
* 行政赔偿事项:提供与该部门赔偿相关的事项(含流程)
* 表格下载:提供与行政检查、审批、诉讼、征收、赔偿相关事项
* 网上办事:提供该部门相关的赔偿、检查、审批、诉讼、征收等事项的网上办事入口(对应每一件事),* 用户可在网上填写表格后直接提交(由系统进行检验),* 非注册用户返还相应办事流程查询密码,* 并通知用户预计办理周期和有效期,* 到相关部门(地点)去办事时应带的手续等相关细节。
* 相关信息:对相关部门及网上搜集到的信息进行归类,* 向用户提供
5 政府导购:
* 采购公告:提供采购公告的发布
* 竞价公告:提供竞价公告的发布
* 中标* 与成交公告:提供中标* 与成交公告的发布
* 采购指* 南:提供采购指* 南及流程
* 机构简介:对政府采购部门进行简介、联系电话、地址
* 网上咨询:提供政府采购的网上咨询
6 公众监督
* 按用户可在网上直接投诉,* 并提供投诉电话
* 按各县(市)提供投诉
* 提供重点投诉(消费者维权投诉、司法投诉举报、信访举报……)
7 投资兴业(多余种)
主要介绍某投资环境、投资政策等。投资者只有真实而全面的了解到最新信息才能决定是否愿意长期地在某地投资,因此,全面、真实而又迅速的投资信息发布对长期吸引投资是十分重要的。投资指引包括以下几个子栏目:
* 城市规划:城市规划包括城市规划的发展历史、当前状况和对未来的发展等。可以图形的方式展示扬州城市规划已取得的成果和未来的发展蓝图。
* 开发区介绍(按开发展区分类):开发区介绍包括某已有开发区的发展状况,* 所取得的成就、入住的企业等情况。正在建设的开发区,* 及其对准备* 入住企业的要求等,* 入住的程序等。
* 投资环境:投资环境包括投资的硬环境和软环境,* 硬环境包括水、电、交通和通信等,* 软环境包括投资政策,* 税收优惠等。
* 招商项目:投资项目包括对正在建设中的投资项目的跟踪,* 新投资项目发布,* 对投资人的管理。
* 优惠政策:介绍某投资兴业的优惠政策
* 投资咨询:提供某投资兴业的咨询服* 务。
* 投资指* 南:介绍某的招商机构,* 主导投资项目、政策法规,* 投资程序、交纳费用等。
9 便民服务
* 向用户提供医保网上查询、公积金网上查询、养老保险网上查询、电话号码网上查询及考分查询
* 向用户提供各类热线电话
* 工商税务:向用户提供工商税务问答,* 具体有:工商、企业所得税、个人所得税、外商投资企业和外国企业所得税、地方税、流转税、财政等
* 教育:向用户提供教育问答,* 具体有:入学招生发、转学、借读和就业、教育收费、助学贷款和出国就读、教育人才、教育问题投诉。
* 向用户提供消费者权益保护
* 信访监察:向用户提供信访监察的问题,* 具体有:信访、检察举报、行政监察、物价监督
* 医疗卫生:向用户提供医疗卫生的问答,* 具体有:医疗保险、卫生防疫、医疗机构、医疗事故
* 向用户提供质量技术监督
* 向用户提供环境保护
* 计划生育:向用户提供计划生育的问答,* 具体有:避孕、优生优育、其他
* 向用户提供广播电视
* 向用户提供新闻出版
* 向用户提供旅游
* 公安:向用户提供公安的问答,* 具体有:户籍、治安、出入境、车辆、消防、法制
* 知识产权:向用户提供知识产权的问答,* 具体有:专利、著作权、商
标
* 司法:向用户提供司法的问答,* 具体有:公证、律师、行政诉讼
* 劳动人事:向用户提供劳动人事的问答,* 具体有:人事、劳动合同*
* 房地产:向用户提供房地产的问答,* 具体有:住宅、土地使用与开发、廉租住房
* 邮电通讯:向用户提供邮电通讯的问答,* 具体有:邮政、电信、移动通讯
* 水电煤:向用户提供水电煤的问答,* 具体有:自来水、燃气业务、燃气抄表、燃气检修、液化气、用电
* 交通运输;向用户提供交通运输的问答,* 具体有:客运、货运、票务、交通
* 向用户提供金融保险
* 外贸外资及海关:向用户提供外贸外资及海关的问答,* 具体有:外经贸、外资、 海关
* 向用户提供档案管理
* 民政:向用户提供民政的问答,* 具体有:婚姻、社会福利、社会救助、殡葬、社会保障卡
* 向用户提供劳动保障
10 市民办事、企业办事
* 将各个部门网上办事分为市民办事、企业办事或两者均有。
* 在市民办事、企业办事中增加常见问题解答和在线提问题。
11 重点便民服务
12 办事指南
主要为公众在办事过程中提供办事机构、单位地址、联系方式、办理程序及投诉机构查询等。
办事指南是政府上网工程为民办实事的重点项目。它公开了政府承诺、有关规定、办事流程,使市民和企、事业单位明了有关政府机构职能和办事必须具备的条件、经历的手续和需要负担的义务,减少了咨询环节。同时,有关机构通过电子文件的形式将相关文件发放给办事人,然后针对办事人的反馈信息进行网上审批,通知办事人最后结果或流转到负责下一道程序的机构。除了某些必须出具相关证明的程序,办事指南加快了办事进度,提高了工作效率。通过必要的监督环节,可以有效地清除群众痛恨的“衙门”作风,使政府机构真正做到为纳税人服务,成为人民的公务员。
5.2.3.3 搜索引擎
该系统是一个面向电子政务和公众信息服务领域的、可供多级用户并发使用的、集信息采集、信息整理、信息加工、信息服务等功能为一体的信息服务系统,充分满足门户网站用户快捷便利地查询到所需信息的需要。系统由资源输入子系统、资源处理子系统、资源存储子系统、资源Web发布子系统、管理子系统等几部分有机组成。
该系统具有如下几方面的功能:精确的主题信息自动采集功能、高效的主题信息格式预处理功能、实用的主题信息智能处理功能、强大的数据库自动维护功能、灵活的用户个性化设置功能、完善的主题信息服务功能等。
其中,数据源模块中将包括站点自动搜索、站点半自动搜索、浏览器快捷方式、文件发布向导、文件夹发布向导、文件快捷方式、文件夹快捷方式、剪贴版数据入库等功能;发布模块的功能包括:Web页浏览、关键词检索、主题词关联检索、E-mail推送服务、个性化定制服务等功能。
5.2.3.4 其他内容
在个职能部门在线申报系统建立后,在门户网站设立网上申报入口,方便社会公众了解各类项目申报事宜、直接通过门户网站提交申报材料、查询项目审批结果等。本期网站建设,可先以专题形式发布项目审批结果及相关公告。
除了上述政策信息和政务信息外,作为党政部门户网站也有必要充分利用信息资源优势,以多媒体形式发布最新动态、各类专题等方面的内容,为公众提供丰富多彩的服务,提高网站内容对公众的吸引力。
用户及访问权限管理。
5.2.4 统计分析工具
5.2.5 数据来源
某市公众服务门户网站上发布的信息,来源于网站数据管理系统推送到该网站数据库系统中的数据,网站的发布程序动态生成有关页面,在WWW服务器上发布。
5.3 政务网站
在政务网站上设置各单位应该提供的信息栏目,各单位即可通过手工方式(信息归口管理应用)提供相关数据,也可通过其业务应用系统自动提供数据。
各单位提供到网站数据库中的数据,通过相应的信息发布系统在政务网发布,供有权使用相应信息的用户按照既定权限检索查询。
政务网数据资源经整合后,用户可以随时了解政府和单位领导的日程安排;查阅档案资料;可了解所关注的信息,如政策及法规、改革进展、各种政务信息
主要功能模块包括:
1 信息发布与管理系统
2 全文检索系统
在办公应用系统所产生的各种档案文档(包括普通文本文档、MS Office文档和PDF文档等),向用户提供基于WEB的全文检索功能,使其不仅能检索不同文本中的信息,同时也能检索MS Office、PDF文档中的内容。
1 网站用户管理系统
网站管理员基于数字证书对访问政务网网站的用户进行管理,将用户按照其身份进行区分,同时确定其在政务网网站上所能查看和搜索到的内容和能进行的功能操作。
数据来源于文档一体化档案全文数据库和经整合后的信息资源库。
5.4 业务网站
在业务网站上设置各单位应该提供的信息栏目,各单位即可通过手工方式(信息归口管理应用)提供相关数据,也可通过其业务应用系统自动提供数据。
各单位提供到网站数据库中的数据,通过相应的信息发布系统在政务网发布,供有权使用相应信息的用户按照既定权限检索查询。
业务网站用户可以随时了解国家、省市等计划情况(如973计划)等信息。
业务网内部网站主要功能模块:
2 信息发布与管理系统
3 网站用户管理系统
网站管理员基于数字证书对访问政务网网站的用户进行管理,将用户按照其身份进行区分,同时确定其在政务网网站上所能查看和搜索到的内容和能进行的功能操作。
数据来源于文档一体化档案全文数据库和经整合后的信息资源库。
5.5 数据来源管理
三个网站所发布的内容数据或者来源于部内各应用系统管理的数据,或者来源于手工生成的经信息归口管理审批后的数据,两类数据来源细分后按照如下模式进行管理:
1 对政务网Notes库中的历史内容:行文部分数据迁移到全文数据库中;其他内容能够迁移到关系型数据库中的予以迁移到新的关系型数据库中;
2 政务网上事务类数据:对各单位业务应用系统管理的大型关系型数据库(如SQL Server、Sybase、Oracle)中的数据,提供数据接口,各业务应用系统根据接口规范将其数据推送到网站数据库中发布;对业务应用系统管理的桌面型数据库,提供虚拟数据库功能和数据接口,各单位根据接口规范将其数据推送到网站数据库中发布;
3 业务网上数据:对各单位业务应用系统管理的大型关系型数据库(如SQL Server、Sybase、Oracle)中的数据,提供数据接口,各业务应用系统根据接口规范将其数据推送到网站数据库中发布;对业务应用系统管理的桌面型数据库,提供虚拟数据库功能和数据接口,各单位根据接口规范将其数据推送到网站数据库中发布;
4 对尚未实现电子化的数据或不便于通过接口自动实现数据推送的情况,各单位通过“信息归口管理系统”手工生成和提供;
5 政务网和业务网物理隔离,需要传递的数据,通过“信息渡船”在二者之间传递。
6 公众服务网站上发布的数据是内部网站上发布的数据的子集,通过数据筛选接口从政务网或业务网的网站数据库中筛选部分数据到公众服务网站的数据库中;
5.5.1 应用组成
序号 | 应用系统名称 | 运行网络 |
1 | 信息归口审查管理系统 | 政务网 业务网 |
2 | 政务网站的数据接口 | 政务网 业务网 |
3 | 业务网站的数据接口 | 政务网 业务网 |
5 | 公众服务门户网站的数据接口 | 政务网 业务网 |
6 | 政务网与业务网的数据接口(信息渡船) | 政务网 业务网 |
7 | 业务网与省市网站的数据接口 | 业务网 |
5.5.2 应用系统功能需求
5.5.2.1 信息归口审查管理系统
需在网站上发布的信息的编辑、提交审批;进行信息的归口管理和审查,提供信息分拣和发布统计功能。此外还可以从政务网和业务网的网站数据库中挑选某类或某条信息对外发布。
5.5.2.2 政务网站的数据接口
为政务网或业务网上应用系统管理的数据中需要在政务网站上发布的部分数据能自动提交到政务网站的数据库中提供标准的数据接口,其他应用系统只要遵循本接口的规范即可实现系统间数据接口自动对接。
5.5.2.3 业务网站的数据接口
为政务网或业务网上应用系统管理的数据中需要在业务网站上发布的部分数据能自动提交到业务网站的数据库中提供标准的数据接口,其他应用系统只要遵循本接口的规范即可实现系统间数据接口自动对接。
5.5.2.4 公众服5.5.2.5 务门户网站的数据接口
政务网与公众服务网站通过防火墙相联。
公众服务网站发布的信息,是内部网站数据库数据的子集,二者之间需要数据接口解决公众服务门户站点发布数据的传输问题。通过数据筛选接口从政务网或业务网的网站数据库中筛选部分数据到公众服务网站的数据库中。
公众服务网站接口还需解决通过Internet网采集到的数据(如项目申报数据)向内网传输的问题。本服务的应用取决于业务网应用系统(如xxx计划管理系统)的具体实现。
5.5.2.6 政务网与业务网的数据接口(信息渡船)
政务网与业务网之间物理隔绝,但出于信息发布、办公数据交换的需要,政务网与业务网之间需要进行数据交换。因此,政务网与业务网之间应有安全、科学、合理的接口解决方案。
5.5.2.7 业务网与省市网站的数据接口
业务网和省、温州市网站之间通过Internet交换数据,在业务网上提供标准的数据接口服务,只要省市网站遵循接口的规范即可实现与业务网数据库间数据接口自动对接。本服务在业务网上的应用取决于业务网应用系统(如业务网站、xxx计划管理系统)的具体实现。
5.6 电子邮件系统
在业务网上使用的Internet电子邮件系统:在安全电子邮件系统建成以前,继续采用现有的Notes Mail或Exchage Mail;在安全电子邮件系统建成以后,替换为安全电子邮件系统,可同时为各类驻外机构提供安全的邮件服务。
在政务网上使用的内部电子邮件采用Notes Mail。
6 某市电子政务系统安全平台设计
6.1 安全需求分析与技术路线选择
6.1.1 用户要求分析
目标:
为某市电子政务应用系统提供统一的安全、可靠和可信的服务
主要内容
能够对网络中传输的敏感信息提供必要的加密手段,并保证数据的完整性
能够对每个使用系统的用户提供统一的身份认证机制
能够对每个用户进行授权,应用系统可以根据该授权信息决定该用户是否能使用本系统
能够提供防抵赖机制
能够提供全网统一的安全管理策略
安全平台应具有以下特点:
按照研究目标要求,安全平台是某市电子政务应用系统的安全基础设施,这包含三方面含义:安全平台能够支持多种安全功能;安全平台能为某市的各种应用,提供支持具有良好的扩展性,可方便地与上层应用结合;安全平台稳定可靠,不能成为系统瓶径或故障点。
按照主要内容要求,安全平台应支持身份认证、授权、加密、完整性、抗抵赖等安全措施,除了安全平台本身提供的独立应用外,还应提供与应用系统的接口及使用规范,保证各种安全机制在诸多业务系统安全正确的发挥作用。
6.1.2 国家政策要求
国家保密局《涉及国家秘密的通信、办公自动化和计算机信息系统审批暂行办法》、《涉及国家秘密的计算机信息系统保密技术要求》等文件提出了以下要求:
涉密系统不得直接或间接国际联网,必须实现物理隔离。
涉密系统处理多种密级的信息时按最高密级进行防护。
涉密系统中使用的安全保密设备原则上必须选用国产设备。
此外,这些文件对身份鉴别、访问控制、信息加密、完整性校验、电磁泄露防护、审计跟踪等均提出了一定的要求。
为了满足物理隔离的要求,某市电子政务的网络划分为两个部分:与INTERNET连接的业务工作信息网,与INTERNET物理隔离,与温州市、某省连接的政务工作信息网。这种情况对安全平台提出了要求:安全平台的建设不能破坏两者之间的物理隔离,即服务于业务工作信息网和政务工作信息网的安全平台的组成设备应是各自独立的,而且两者之间没有网络连接。
此外,安全平台应能满足国家有关管理规定中对各种安全机制的要求。
6.1.3 用户环境分析
由某市电子政务的网络环境及应用业务,可以总结出对安全平台的要求有这样几点:
网络要求:物理隔离的政务工作信息网和业务工作信息网要求安全设备相互独立,如2.2所述。
应用要求:电子政务的应用系统种类繁多,情况复杂,这就要求安全平台在统一安全策略、安全机制管理的基础上,提供多种模式接口,以方便灵活的方式实现与应用系统的结合。
6.1.4 技术路线选择
综合用户安全需求、国家政策要求、用户环境要求,选择国内自主产权的密码产品和密码技术,遵循科学、先进、安全、实用和经济的原则,设计满足某市电子政务系统要求的安全平台方案,为某市电子政务系统的正常运行提供坚实的通用的安全基础,实现统一的安全应用模式、集中的管理模式和全面的安全服务。
概括地说就是,安全平台的目标是实现“应用安全支撑”的功能,即:
安全平台应当是一个通用性的安全基础系统;
安全平台必须要有友好的接入点,能为应用设施和应用系统提供通用的、完善的和易用的安全服务接口。
安全平台必须提供可靠的安全服务以增强应用系统中数据和资源自身及其交换过程中的安全性。
安全平台提供的核心服务对安全系统用户来讲,应当是完全透明的,不影响用户对原应用系统的使用操作。
密码是各种安全机制的核心,因此确定密钥管理体系是安全平台技术路线选择的首要问题。
某市电子政务系统是一个应用复杂、分布式的系统,将来会向上联温州市、某省,下联各下级部门、乡镇扩展,如果采用传统的基于对称密钥密码体制的密钥和用户管理方式,必然会面临诸多难以解决的问题,例如管理工作量、管理复杂程度、系统的可扩展性、多管理域间的互通等等,而且对称密钥体制对数字签名等安全机制的支持也存在一定的问题。
与对称密钥密码体制相比,公钥体制具有便于进行大规模的密钥管理,可以方便地实现身份鉴别、数字签名、抗抵赖等安全机制,具有良好的扩展性等特点,更加适合于在电子政务系统中使用。最突出的是通用PKI系统无法满足政府部门“集中管理、集中控制”的要求。
因此,某市的电子政务系统安全平台建设不宜完全照搬现成的商用PKI系统,而应针对实际情况和要求,选择能够支持集中管理、扩展性好、维护成本低、使用起来方便灵活的密钥管理系统,而且该系统能够提供统一的身份认证机制,并进一步提供授权、加密、完整性、抗抵赖等安全服务的接口。
CNSec安全平台是信产部数据所针对政府办公自动化系统开发的、以密码技术为核心,综合使用了加密、数字签名、访问控制、数据完整性、身份认证、实体鉴别、公证等多种安全机制的保密解决方案。(“CNSec”是信产部数据所安全产品的注册商标)。
CNSec安全平台以基于公钥的CNSec 密钥和证书管理系统为基础,通过CNSec 安全加密基础平台提供各种安全服务,支持的接口包括PKCS#11、WINDOWS CSP、CNSec API等等,适合于多种场合的应用。除了提供在应用开发中嵌入安全保密功能的方式外,CNSec安全平台还支持通用安全访问控制平台、Notes安全平台、 用户安全组件、电子印章系统等独立安全子系统,以模块化的方式提供安全保密服务。
图:安全平台的结构
CNSec安全平台为各用户终端发放公开密钥和数字证书,统一标识用户在某电子政务系统中的数字化身份,这样,在CNSec的各种安全机制的支持下,一个具备合法数字化身份的工作人员和合法用户,可以在任何时间和任何地点使用信息网上被授权的业务系统服务,访问被授权的信息和资源;同时,也可以有效保证业务处理过程中信息的机密性、完整性,有效防止了来自内部和外部的对信息的恶意攻击;同时,CNSec安全平台支持的审计管理功能为安全应用系统提供了审计服务的底层支持,应用系统可根据不同的用户需求编制完善的审计服务和审计管理软件,不仅对非法访问和操作做出记录,并且对内部用户的系统使用情况做出记录,从而便于管理者对行为滥用者的行为做出管理策略。
因此,以CNSec搭建电子政务系统的安全平台,将其作为电子政务系统上的网络应用的安全基础和安全核心,能够充分满足网络业务情况和安全平台需求,为某电子政务应用系统提供统一的安全、可靠和可信的服务。
6.2 安全平台的体系结构
CNSec安全平台提供了身份认证、授权与访问控制、保密性、完整性、抗抵赖等安全机制,各种安全机制之间相互依赖。安全机制的层次结构及与电子政务系统的关系如下图所示。
图:CNSec安全平台为某电子政务系统提供的安全服务
CNSec安全平台以基于公钥的密钥和证书管理系统为基础,建立统一的身份认证机制对用户进行管理。它对信息的防护可分为两层结构:第一层防护为授权和访问控制,通过灵活的授权与访问控制机制,控制对信息的访问者范围;第二层利用密码手段进一步保证信息的保密性、完整性和不可抵赖性。
6.2.1 CNSec密钥与证书管理系统
CNSec密钥和证书管理系统借鉴商业PKI的公钥管理方式,采用基于公钥证书的身份认证模式,并充分考虑政府PKI系统与商业PKI系统设计出发点、应用模式等方面的差异,形成基于PKI体制的、具有政府办公特色的密钥和证书管理系统,为上层应用提供了完善的密钥和证书管理机制,具有用户管理、密钥管理、证书管理等功能,保证各种基于公开密钥密码体制的安全机制在系统中的实现,具有政府办公特色,完全适应电子政务系统安全平台的要求。
6.2.1.1 概述
在基于公钥的安全体系中,公钥的可信度是决定安全性的一个重要因素。为了使公钥密码体制能够充分发挥作用,用户必须能确认通信对方的身份及密钥是有效且可信的。为了保证身份及密钥的可信度,所有用户必须拥有一个注册的身份,用户的身份与公钥进行捆绑,生成数字化的证书,并由密钥和证书管理中心签名,以保证证书的合法性和安全性。
CNSec密钥和证书管理系统支持标准的X.509证书。
CNSec密钥和证书管理系统提供通用的、全面的、灵活的、有效的手段进行证书和密钥的管理,为基于公开密钥体制的安全应用系统提供密钥产生、备份和恢复、证书颁发和撤消、目录、授权等基本服务和客户化开发接口及应用开发工具包。
6.2.1.2 总体结构
系统的逻辑组成结构如下图所示:
图:CNSec密钥和证书管理系统的逻辑组成结构
· 密钥与证书管理中心
密钥与证书管理中心是整个系统的核心,其核心处理功能包括:
产生和管理各类密钥
签发各种证书及证书撤消列表
管理和维护核心数据库中的用户证书密钥信息
对其他模块的请求进行处理和应答
密钥与证书管理中心也是系统中安全级别最高的部分,因此,它不与用户直接交互,而是通过注册管理中心、授权中心等其它模块来处理用户的信息。
系统的超级管理员负责对密钥与证书管理中心进行管理操作。
· 注册管理中心
注册管理中心是系统中的注册和审核处理机构,主要负责用户的注册管理和各种业务申请信息的审核管理,是密钥与证书管理中心的业务前端。
用户在使用CNSec安全平台时,产生的各种业务请求信息主要通过CNSec客户发送到注册管理中心。注册管理中心也可以通过Web界面来接受用户的申请,这些主要是应用服务器证书请求、浏览器证书请求等通用系统的请求信息。
注册管理中心的注册和审核流程可以通过有关的接口进行客户化设计,满足用户的特殊需要。
系统的超级管理员、注册管理员、审核管理员等负责对注册管理中心进行管理操作。
· 授权中心
授权中心为建立在CNSec平台上的安全应用系统提供授权管理服务,为应用系统实现有效的访问控制提供用户角色等授权信息。
授权中心通过实时给用户发放授权证书来实现对用户身份权限的管理,可以为基于角色进行访问控制的应用系统提供良好支持。同时,授权中心也可以实现时间戳签发的功能。
系统的超级管理员、授权管理员等负责对授权中心进行管理操作。
· 管理工具
管理工具用于实现对整个系统的配置和管理。
· 目录服务系统
目录服务系统,完成证书系统的发布功能,负责存放用户证书、证书撤消列表、授权信息及其他用户信息。
系统的超级管理员和目录管理员对目录服务系统进行管理。
· CNSec 客户端
CNSec 客户端是系统中用户的管理工具,和注册管理中心、授权中心、目录服务系统等系统之间进行交互,实现用户自己的证书密钥的管理以及公开信息的获取等操作。
各个逻辑组成部分按它们在系统的重要地位及安全性要求不同,对环境的要求也不同。密钥与证书中心是系统的核心,安全性要求最高,应存放于防护措施最严密的一级安全区中,通过二级安全区的注册管理中心、授权中心、目录服务系统等与用户交互信息。外网的用户只能访问二级安全区中的用户服务机构,而不能访问到密钥与证书管理中心。结构如下图所示。
图:CNSec密钥和证书管理系统逻辑安全结构
6.2.1.3 功能
CNSec密钥和证书管理系统的主要功能包括:用户管理、证书管理、密钥管理、审计管理、客户化开发及应用系统开发。
· 用户管理
根据用户性质的不同将用户分为:
基本用户:基本用户是系统中借助CNSec 客户端进行各种业务信息处理的用户,可以使用CNSec平台上构筑的安全应用系统。
管理用户:管理用户也就是系统的各种管理员,如超级管理员、审计管理员、注册管理员、审核管理员、授权管理员、目录管理员等,他们实际上首先是基本用户,通过系统的授权,特定的基本用户提升为管理用户,可以执行相应的管理工作。
通用用户:和基本用户一样,通用用户也是系统的最终用户,但他们主要使用各种通用应用系统,如浏览器、Web服务器等。
用户管理的内容包括对这些用户的注册、注销和用户属性管理等。
用户的注册和注销保证仅有效用户可以使用系统的功能。密钥和证书管理系统可以建立基于组织部门体系的树状用户管理结构,用户分属自己所在的部门,这样,在大型的、复杂的系统中,可以方便地通过组织部门的体系来进行用户管理工作。
用户的属性是供应用系统用来实现对用户进行访问控制的授权依据。用户属性管理在授权中心进行。
对基本用户的管理由相应业务管理员来执行,而对管理用户的管理仅由超级管理员执行。超级管理员可以产生、删除其他管理员,对其他管理员的权限、级别等进行修改。对超级管理员的管理由系统用户在密钥与证书管理中心主机上进行。
· 证书管理
证书管理的内容包括证书的申请、审核、签发、更新、撤销、归档等工作。密钥和管理系统中的证书主要包括:
基本用户证书可以借助CNSec客户端进行自动管理,并可以与CNSec平台支持的应用系统之间紧密结合。CNSec密钥和证书管理系统中采用双密钥体制,因此,用户证书包括用户的签名公钥证书和加密公钥证书。
通用应用证书是各种通用应用系统使用的证书,如浏览器、Web服务器等,由通用用户使用。CNSec密钥和证书管理系统可以为用户管理SSL证书、S/MIME证书等。
CNSec密钥和证书管理系统签发的证书符合ITU-T X.509建议。
证书处理申请一般都要通过注册管理中心和注册管理员的审核,只有通过安全审核的申请才被执行。系统中可以根据用户的级别等信息来设定用户证书管理的审核流程,满足对应用中不同安全级别的控制要求。
证书撤销通过签发证书撤消列表来进行的,该表中的证书不再有效。证书撤消列表格式符合ITU-T X.509建议的规定。
证书和证书撤消列表等公开信息通过目录服务系统发布。
图:证书申请流程
CNSec密钥和证书管理系统中具有证书更新、证书归档等功能,通过这些功能,可以及时更新用户的失效和过期证书,可以保存用户的证书信息,从而在需要时可以方便地提取用户的历史证书来进行有关的工作。
· 密钥管理
密钥管理涉及对用户密钥、密钥与证书管理中心本身的密钥的管理。
用户密钥的管理:
在CNSec安全平台中,采用双钥体制,每个用户拥有两对密钥:签名密钥对和加密密钥对。签名密钥对用于进行数据签名和认证,实现信息的完整性和不可否认性,加密密钥对用于进行数据加解密,实现数据的机密性。
用户的签名密钥对仅在用户端产生,以保证其签名秘密密钥的唯一性,系统将用户的签名公开密钥在核心数据库中备份和存档。
为了保证集中管理和控制,加密密钥对在密钥与证书管理中心产生,系统将用户的加密秘密密钥加密后,在核心数据库中备份和存档。
根据对安全级别的要求,用户的密钥可以由软件产生和存储,也可以在CNSec 硬件密码设备中产生和保护,在用户端使用的CNSec 硬件密码设备包括PCI、PCMCIA、USB等各种接口的密码设备以及智能卡等。
在应用系统需要时,可以对在核心数据库中备份和存档的用户签名公钥和加密私钥进行恢复操作,以解决用户密钥遗失或过期造成的无法认证和无法解密等问题。
对于通用用户,其密钥一般通过所使用的应用系统(如浏览器或Web服务器)的密钥管理功能来管理。如果应用系统自身支持密钥导入,CNSec 密钥和证书管理系统也可以为其产生密钥,进行导入。
密钥与证书管理中心本身的密钥的管理:
密钥与证书管理中心必须采用CNSec 硬件密码设备来保护自身的秘密密钥,在使用该密钥运算的过程中,保证该密钥仅在硬件密码设备中进行运算,而不以任何形式出现在主机的地址空间中。同时,在密钥与证书管理中心启动时,为启用该密钥,要由多名系统管理员同时提供启用口令和IC卡,在管理上保证该密钥不被非法使用。
· 审计管理
审计管理包括日志的记录,审查,统计,备份,恢复和打印等管理,它为系统及时的发现问题和解决问题提供重要依据。
CNSec密钥和证书管理系统通过详细准确的日志记录来提供可靠的审计手段,可以对用户管理、证书管理、密钥管理等各种系统管理操作事件进行记录,对这些事件进行查询、追踪、调查、统计和报表输出,以迅速发现问题、解决问题。
首先,系统的审计日志以集中方式进行管理,所有系统事件均可以记录在统一的数据库系统中,保证日志的完整性,并可以实行方便的日志备份和恢复操作。同时,各分系统也具有自己的本地日志,可保存分系统事件和管理员的操作记录,进一步保证审计过程的可靠性。
为保证审计管理的安全性,系统中设立独立的审计管理员,仅审计管理员可以进行审计管理操作。
· 客户化开发及应用系统开发
通过客户化接口,可以实现客户化的功能模块,替换系统中的原有的各功能模块,满足用户界面、管理流程等方面的不同需求。
更重要的是,系统提供应用开发工具包,这样,用户可以开发自己的安全应用系统,在这些应用系统中,使用基于公钥的各种安全服务和安全机制。
6.2.1.4 管理
在CNSec密钥和证书管理系统中,根据安全级别及职责将管理员划分为三类:
· 系统用户
负责系统核心密钥与证书管理中心的建立、管理。系统用户在系统安装时产生,通过系统用户控制界面直接与密钥与证书管理中心连接,进行操作,对整个系统负责,但他没有其他类型管理员的一般操作权限。他的职责包括:
系统安装及初始化
系统服务的启动和停止
系统数据库备份
验证数据库有效性和完整性。
系统数据库恢复
恢复超级管理员
更改算法
把密钥移植到硬件
系统配置管理(是否自动启动服务、是否自动备份数据库等)
等等
· 超级管理员
负责对系统中的其他管理员及系统配置的管理。超级管理员由系统用户通过密钥与证书管理中心产生并管理。超级管理员享有除系统用户外全部的管理权限。包括:
设置安全策略,如管理员策略、设置证书类别信息、登录策略、密码规则等
设置新的用户数量限制
添加其他管理员用户,将一部分管理工作交付其他管理员完成,如注册管理,审核管理,审记管理和目录管理
禁用管理员
设置管理员以恢复密钥
禁用用户
制定认证和加密的方法
等等
· 其他管理员
超级管理员可以根据系统安全策略的需要,创建完成特定功能的管理员。一般情况下包括:注册管理员、审核管理员、授权管理员、审计管理员、目录服务管理员等。
注册、审核管理员
审核管理员负责管理、维护系统的注册管理中心,审核用户提出的各种请求。其功能主要包括:注册新用户、注销用户、查询审核用户注册请求、查询审核用户注销请求、查询审核用户证书请求、查询审核用户证书撤消请求、查询用户证书、查询证书撤消列表等
授权管理员
授权管理员由超级管理员指定,接受超级管理员的管理。他可以对应用系统的权限、角色进行管理。其功能包括:查询授权属性信息、修改授权属性、添加授权属性、删除授权属性、授权策略管理等
审计管理员
审计管理员由超级管理员指定,接受超级管理员的管理。他拥有对系统日志的操作权限。其功能包括:查询日志、备份日志、删除日志、报表生成、事件统计、事件追踪、系统告警处理等
目录管理员
目录管理员的主要职责是批量或单个地向目录中添加或删除用户证书。然后由注册管理员或超级管理员对这些用户进行赋予权限或取消权限的工作。目录管理员还可以在需要的时候改变用户的DN、添加或删除目录属性。其功能包括:查找用户、添加用户(单个/多个)、删除用户(单个/多个)、修改用户DN(单个/多个)、添加目录属性、删除目录属性、改变根目录等。
6.2.1.5 运行管理体制支持
作为某电子政务系统的安全平台,CNSec密钥和证书管理系统的运营需要严格的管理制度,以约束日常运营管理人员提供安全意识,保证系统正常提供服务。
建立一个完善的体制是安全平台在某电子政务系统种安全、稳定运行的基本条件。在体制的建立上,主要有以下几方面的考虑:
建立安全专家制度,由安全专家组负责安全平台管理事务。同时,安全专家负责监督安全平台的运营,提出意见,供决策者使用。
建立完善的内部权力分配与制约制度。把管理员按安全级别及职责进行划分。有效的分权可以降低风险,而必要制约制度可以防止因为人员因素造成的安全隐患。
建立详细的操作制度,减少内部隐患。同时,可以使内部人员明确权责。对于敏感操作(涉及重大安全问题的操作)应该尽可能地完善制度。
建立内部审核制度,提前发现问题,解决问题。审核的内容应该包括:操作系统的日志、密钥和证书管理系统的日志、数据库的日志、网络访问的日志以及相关的检测、监测程序日志。
建立事故处理制度,及时解决问题。
建立文档备份制度,发生事故或者纠纷时有据可查。
合理安排人员并确保必要的培训。
6.2.2 授权系统
CNSec授权系统管理用户的授权属性,发放授权证书,为访问控制系统提供用户授权基本信息。CNSec授权系统借鉴了PMI(Privilege Management Infrastructure,特权管理基础设施)的基本概念和体系结构。
6.2.2.1 授权证书
授权系统的核心是授权证书。所谓授权证书,就是由授权中心签发的将用户与其享有的权力属性捆绑在一起的数据结构。权力属性的定义依应用的不同而不同,如级别、角色等等。应用系统根据授权证书的属性判断用户的访问能力,实施访问控制。授权证书的有效期很短,并且是在用户申请时临时生成的。用户必须获得授权证书后才能访问应用系统,系统可通过授权中心实现对用户、对资源的集中管理。
授权证书的格式如下:
图:授权证书的格式
6.2.2.2 体系结构
授权系统的体系结构如图所示。
图:授权系统体系结构
为了很好的适应政府办公系统的实际,减少验证层次,提高系统效率,CNSec授权系统采用相对简单的三层体系结构。
由密钥和证书管理中心对授权中心进行授权,确认其身份,确定其合法性。这种结构体现了政府系统集中管理的要求。
授权中心负责为具体用户管理授权证书,包括用户属性的维护和发放授权证书,授权管理员即相应业务的负责人员管理用户在具体业务应用中的授权属性
用户个体也就是在密钥和证书管理系统所管理的用户,只有合法用户才能够被发放授权证书。
基于集中管理的设计思想,用户的临时权限委托也由授权中心负责管理,在流程上,由用户提出授权委托的申请,在管理员审批或系统自动审判后实现被委托权限的授予
授权管理系统在实际应用中的运作需要依据应用系统的实际建设情况:
在整个电子政务系统具有统一规划的情况下,如果多个应用系统采用了统一的用户授权,可以在授权中心采用统一的授权属性(如用户在整个系统中的角色、级别等),对用户属性信息的管理可以由全系统统一的授权管理员负责,与对具体资源的访问控制管理分离
如果各个应用系统的建设是互不相关的,则需要在授权中心采用与应用相关的授权属性(如用户在各个具体应用中的角色、级别等),授权管理需要与应用系统资源管理相结合,授权管理员也就是具体应用系统的资源访问控制管理员
在政务系统中,两种情况并存。在今后的建设中,应逐步由第二种情况向第一种情况转化。
6.2.2.3 授权模型
授权证书反应了实体所具有的权力属性,权力属性的定义及使用方式,决定于CNSec授权模型。CNSec授权模型建立在PMI的基础上,包括以下几个部分:
图:授权与访问控制模型
对象(object):对象指的是被保护的资源,包括设备、文件、进程等等。每个对象都具有一定的操作方法,如防火墙对象,具有“允许进入”、“拒绝访问”等方法;或者是文件系统中的文件,则具有“读”、“写”、“执行”等方法。
用户(privilege asserter):用户指具有某些权限的实体,即携带授权证书的访问者。
验证者(privilege verifier):根据用户所具备的权限判断是否允许他访问某一对象的机构。
在这个模型中,授权证书的提交存在两种方式:
“推”模式:当用户请求访问对象的时候,首先从使用自己的公钥证书从AA获得授权证书,将公钥证书和授权证书均提交给验证者。
“拉”模式:当用户请求访问对象的时候,只将公钥证书提交给验证者,由验证者到AA去查询用户的授权证书。
图:授权证书的提交方式
这两种模式对用户均是透明的,各有优缺点,适应于不同场合的应用。“推”模式下,验证者不需进行证书查找,验证效率较高,可提高系统的性能;“拉”模式基本不需对客户端及现有协议做大的改动。CNSec授权系统支持两种模式,在不同的安全子系统中使用不同的模式。
验证者获得用户授权证书后,依据以下四点判断是否允许该用户访问某一对象:
用户的权限:即授权证书中的权力属性,它体现了授权机构对该用户的信任程度。
权限策略:指采用特定方法访问特定对象所需的权限的最小集合或门限。
当前相关的环境变量参数:验证者进行权限判断时所使用的一些参量,如时间等
对象及其操作方法的敏感程度:反映了要处理的资源的属性,如文档密级等。这种敏感程度既可以外在的标签方式与对象共存,也可能是对象固有的数据结构封装的一部分。
6.2.3 CNSec安全平台提供的安全服6.2.4 务
6.2.4.1 统一的身份认证机制
CNSec安全平台提供统一的身份认证机制。用户的身份证书是用户在电子政务系统中的唯一身份标识。基于证书的身份认证方式代替了原有基于口令的认证,不仅提高了安全性,也为多个应用业务系统实现单点登录奠定了基础。
CNSec平台支持的身份认证分为两个阶段:本地认证、基于网络的双向认证。首先,个人终端通过IC卡认证用户的合法身份。然后个人终端将用户身份传到服务器,进行基于公钥的双向认证,认证过程如图所示。
严格的身份认证机制为下一步的访问控制和授权奠定基础。
图:CNSec安全平台中的双向身份认证
6.2.4.2 CNSec中的授权与访问控制机制
为了适应电子政务系统的集中管理要求,CNSec采用集中授权访问控制的模式。授权中心具有两大功能,一是集中管理用户的授权属性信息,二是为用户发放授权证书。用户的授权属性信息由负责的业务人员管理,应用系统通过验证用户的身份证书和授权授权证书来判定用户权限,实现访问控制。由于授权授权证书中可以提供各种访问控制所需要的用户属性信息,应用系统可以方便地实现多种访问控制机制,如基于用户标识(名称)的访问控制、基于用户角色的访问控制、基于用户和资源级别的访问控制等等。访问控制的粒度可灵活变化,从基于IP和端口的控制到基于URL的控制直至对数据库字段的控制,粒度从粗到细,根据不同应用进行选择。
6.2.4.3 CNSec中的数据机密性
CNSec中的数据机密性体现在两个方面:
对信息源的加密保护:办公系统中的信息源主要指以文件方式或数据方式存在的文字、数字、声音、图象信息。CNSec提供文件加密、加密API的方式保证信息存储的机密性。
信息传输的加密通道:CNSec中各个基于网络的安全子系统均提供信息传输加密的功能,根据应用的具体需求,选择是否需要加密传输或在哪一层进行加密传输。或在应用系统中调用加密API来建立加密传输通道。
CNSec平台既支持公钥加密体制,也支持对称密钥加密体制。在不同的应用场合选择不同的加密手段,不仅能保证系统的安全性,而且可以极大的提高系统效率。
6.2.4.4 CNSec中的数字签名6.2.4.5 机制
办公系统中,公文交流中的完整性和不可抵赖性是一个重要的需求。CNSec的数字签名机制也主要体现在与公文交流密切相关的安全子系统中,如用户安全组件中的文件和邮件加密系统、电子印章系统等,应用系统则调用NOTES安全平台功能、CNSec安全API等实现数字签名。
6.2.4.6 全网统一的安全管理策略
CNSec密钥和证书管理系统提供了全网用户身份和用户权限的集中管理控制手段,而人和资源的对应关系正是安全管理策略的核心内容:
非法用户没有最基本的身份证书,不能访问任何资源。
具有身份证书的合法用户,根据用户属性决定其对资源的访问能力(包括能访问什么内容、能做什么操作)。
属性可随安全管理策略的调整及时调整,有的用户权限扩大,有的用户权限减少,有的用户暂时不具备任何权限,有的用户不再是合法用户(如离职)等等,这些调整均能在两种证书的管理及时体现。
6.2.5 CNSec安全平台的特点
CNSec 安全平台体现政务系统中“集中控制、集中管理”的思想,采用用户统一管理、密钥统一管理,提供全网统一的安全管理策略。
CNSec 安全平台提供统一的身份认证和授权机制,提供信息加密、数据完整性、抗抵赖等安全服务,并提供灵活的审计、管理接口。
CNSec 安全平台可通过多种方式与应用结合,包括直接提供安全保密开发接口、提供二次封装的更高层的安全保密平台、直接提供独立的安全保密子系统等。可根据应用系统的实际情况灵活选择。
CNSec 安全平台支持个性化服务,这体现在:
提供的客户端类型多样,设备接口提供PCI、PCMCIA、USB等多种类型,适合各种用户环境。
提供灵活多样的安全服务和安全模块,用户可根据实际需要进行剪裁,定制所需的安全系统
管理方便,维护成本低
性能:CNSec建立在系列化的密码设备的硬件平台上,不同设备性能也不同。用户可依据本系统的具体要求进行选择,获得最佳性价比。在性能要求极高的场合,CNSec提供多卡并行处理、集群等方式提高性能。此外,数据所拥有自主版权的加密芯片,可极大的提高性能,降低成本。
可靠性:CNSec通过多种方式提高系统可靠性。通过冗余电源(双电源)、双处理系统、双总线结构、多处理模块等方法来保证设备的高可用性。同时支持双机热(冷)备,保证安全系统的高可靠性。
扩展性:CNSec在设计之初即充分考虑了系统的扩展性,这体现在:CNSec基于公钥的密钥和证书管理系统使得新用户加入原有加密系统变得十分简单,有利于办公安全系统的规模扩展;CNSec各安全子系统基于模块化设计,而且客户端均共用同一硬件平台,使应用的扩展变得十分方便。
适应性:CNSec充分考虑了多种用户使用环境、操作系统平台、硬件基础设施,产品模块化、系列化,可适应各种场合的应用。
易用性:CNSec系统使用维护方便简单,用户界面友好,适合政府办公系统使用。
6.3 CNSec安全平台与应用的结合
CNSec安全平台与某市电子政务系统的结合有三种方式:
某市电子政务系统的业务应用系统可通过PKCS#11、WINDOWS CSP、CNSec API直接调用CNSec安全平台提供的各种安全服务。
某市电子政务系统的业务应用系统可建立在CNSec 安全平台提供的应用安全平台之上,如安全访问控制平台、Notes安全平台。
在某市电子政务系统中还可直接应用CNSec安全平台提供的独立安全子系统,如用户安全组件(包括文件加密、邮件加密、单机控制)、电子印章系统。
6.3.1 CNSec安全访问控制平台
CNSec安全访问控制平台是建立在CNSec安全平台上,以代理技术为核心,为信息集中型应用系统(B/S、C/S应用)提供信息传输安全、用户身份认证和访问控制等安全保护的外挂式平台。它不需对原有应用进行修改,不增加用户使用的复杂程度。
6.3.1.1 CNSec安全访问控制平台的功能
CNSec安全访问控制平台的主要功能包括:
身份认证:CNSec安全访问控制平台的身份认证建立在密钥和证书管理系统提供的统一的身份认证机制上,包括客户端的本地认证、与授权系统的双向认证,客户端与服务器的双向认证。
授权:授权系统认证用户的身份,并根据授权规则赋予用户临时的授权证书。授权过程通过颁发临时授权证书的方式实现。证书的完整性机制可防止在传输或存储过程中对用户访问控制信息的篡改。
访问控制:根据用户的身份及临时授权证书和既定的访问控制策略,确定用户所能访问的服务、内容、范围等信息资源,决定是否接受这个访问。违反访问规则的用户请求将被禁止。对于允许进行的访问,服务器端代理去访问真正的应用服务器,并将内容返回给客户端。
传输加密:根据加密策略决定客户与服务器之间传输的数据是否要保密。对于机密性要求较高的访问,要通过安全加密管道保障数据传输安全性。
审计:用户对应用的所有访问均通过CNSec安全访问控制平台进行。所以该平台的审计记录可以反映全网对服务器的访问情况,谁在什么时间通过什么方式访问了什么内容,并可通过详尽的分析图表直观的显示网络活动情况。
管理:对CNSec安全访问控制平台的管理主要体现在各种策略的制定上,包括:授权策略、访问控制策略、加密策略,允许哪些人访问哪些信息,是否需要保密等。
6.3.1.2 访问控制模型
CNSec安全访问控制平台建立在安全代理技术的基础上,采用基于公钥的密钥和证书管理模式,为业务系统提供安全保密的网络和软件环境。其原理是:在原有的C/B-S环境中,给客户和服务器加上一层代理,使得它们之间的通信必须通过安全代理系统,如下图所示,从而由代理系统提供安全保密保障:
图:安全访问控制平台模型
从图中可以看出CNSec安全访问控制平台由以下几个部分组成:
安全服务器:独立硬件平台,串接在服务器与网络之间,起到服务器端代理的作用,是访问控制的决策和执行机构,具有强大的管理审计功能,支持集群、双机热备,性能稳定,可靠性高。
安全客户端:由加密设备+相应支撑软件组成,安装在用户的计算机上,主要起到客户端代理的作用;此外还提供开机控制、屏保控制、文件/邮件加密等功能。硬件加密卡有PCI/USB/PCMCIA等多种形式,适用于台式机、笔记本等各种硬件平台。安全客户端支持多种通用操作系统,如WINDOWS 98/95/NT/2K。
授权服务器:实时访问目录服务器中的证书和证书撤消列表的信息,在线为合法用户提供临时授权证书,为访问控制决策提供用户信息。
6.3.1.3 CNSec安全访问控制平台的工作流程
图:CNSec安全访问控制平台的工作流程
6.3.1.4 CNSec安全访问控制平台特点
CNSec安全访问控制平台的最大的特点是它提供了一个对应用透明的并可集中统一管理的安全保密平台。该平台提供了灵活的身份认证和访问控制功能,建立了服务器与客户端之间的加密通信管道,通过代理方式实现了对应用的透明,同时提供了集中的管理和完善的审计功能。
1 灵活的身份认证和访问控制功能
CNSec安全访问控制平台支持基于主机的认证、基于用户名/口令的认证、基于证书的认证三种认证方式,并可综合使用。在系统的不同物理部件之间(如客户端与安全服务器之间、客户端与授权服务器之间)均可采用双向认证,保证安全性。
与此相对应,访问控制策略也可基于主机、基于用户个人、基于用户的属性和角色而制定。其中用户的属性和角色可灵活配置,如基于级别、基于职务、基于地域等等。访问对象既可以进行粗粒度的基于IP和端口的控制,也可进行细粒度的基于URL的控制。
2 加密通信管道
CNSec安全访问控制平台为应用的服务器与客户端之间的通信提供了一条加密管道,防止传输中的信息泄露。
在作为访问目标的各项服务的配置中,根据服务的重要性和保密性要求,管理员可设置该服务是否要求加密。对于要求加密的服务,用户通过认证后,将和安全服务器之间建立加密通道,保证重要服务传输信息的保密性。
3 应用系统无关性
CNSec安全访问控制平台采用代理的机制实现。对于特定的应用,如HTTP、FTP等,采用HTTP、FTP协议代理;对于通用的应用系统,则通过SOCKS或通道方式实现对应用系统的透明。
4 屏蔽应用系统的后门
在应用系统的开发过程中,有些开发人员为了方便,往往留下一些的后门,如隐含特权用户、特定操作组合等等,这给使用单位带来了巨大的安全风险。CNSec安全访问控制平台作为安全保密平台,要求应用系统的用户必须通过安全保密平台的认证和访问控制,屏蔽了应用系统可能存在的后门,提高了安全性。
5 完善的审计
CNSec安全访问控制平台可以进行详细程度不同的审计,记录内容包括:
系统事件:系统的初始化、启动服务等。
访问事件:访问的用户名、源地址、目的地址、端口、流量、起始时间、结束时间、非法的访问尝试等
警告事件:非法访问、因为策略而拒绝的访问以及加密与SSL握手的错误等
同时提供多种日志分析和统计方法,以图表的格式直观的反应系统的运行情况。
6 实时监控
安全服务器上可实时监控现存的访问连接,显示该连接的客户端IP地址,用户名称,访问服务器的IP地址与端口,使管理者对系统的使用一目了然。同时,安全服务器提供实时强制断开连接的功能,可及时阻止非法或可疑用户的访问。
7 集中管理
作为CNSec安全办公系统的一个组成部分,安全访问控制平台贯彻了政府办公中“集中管理、集中控制”的思想,它为多个系统提供安全保密平台,以统一的平台管理代替分布的各应用系统的安全保密管理。系统中的策略设置、实时监控、审计记录均在安全服务器实现,并可通过安全的远程管理终端进行操作,方便管理员的管理。
8 高性能
作为可承载各种应用的安全保密平台,CNSec安全访问控制平台的性能满足多种应用的不同的需求,而不会成为系统的瓶径。安全服务器建立高性能的硬件平台上,软、硬件均进行了优化,提高了系统性能。在性能要求极高的使用环境下,可采用安全服务器集群的方式实现负载均衡,满足应用对性能的要求。
9 高可靠性
CNSec安全访问控制平台支持双机热备,提高的系统的可靠性。
6.3.2 CNSec Notes安全平台
Notes系统是当前政府办公中使用较多的应用平台,它本身具有一套较完善的安全体系,实现了诸多安全机制。但是,在电子政务系统这样一个涉及国家秘密信息处理的特殊的应用中,仅依靠Notes本身的安全性还是远远不够的。要使Notes系统在政府办公领域得以安全放心的使用,必须分析其安全风险和不足之处,有针对性的增强其安全性。
6.3.2.1 Notes系统的安全风险
Notes系统具有强大的身份认证、访问控制、加密、签名等安全功能,它的安全基础和安全核心是密码技术。由于受到美国法律的限制,Notes为北美地区和非北美地区提供的安全性是不同的:
Notes系统的许可证分为三类:北美许可证、国际许可证和法国许可证。北美和国际版本的Notes 都使用64位密钥,但是,国际版中有24 位使用了美国政府所拥有的公共密钥进行加密,只有美国政府才有解密的私有密钥。上述处理的结果是,在国际版许可证下,一般袭击者必须破解64位加密;而对美国政府来说,只需要破解40位就可以得到它感兴趣的信息,这明显容易多了。
登记一个新的用户或服务器时,Lotus 管理员工作站为其产生两个RSA密钥对,一个是512位长的密钥,用于加密来自非北美国家的数据;另外一个为630位长的密钥,用于加密来自美国和加拿大的数据,而且用于国际签名和认证。
从以上两点可以看出,作为Notes系统安全基石的密码强度是受他人控制的,这就给使用Notes的单位带来了很大的安全风险:它们的秘密信息即使采取了Notes加密措施的保护也毫无安全性可言,尤其对于政府部门更是如此。
Notes系统密码的不可靠性导致了基于密码的其他安全措施的效果和作用的不可靠性,身份认证、信息加密、数字签名等安全机制都必须加强。
6.3.2.2 Notes安全平台的增强安全功能
针对Notes系统的安全缺陷,CNSec Notes安全平台对密码相关的特性做了替换和增强,采用了我国自主开发的加密算法来保护关键信息,使用自己的密钥和证书管理系统来管理用户密钥和证书,将CNSec提供的安全特性与Notes系统无缝结合,作到安全性透明提升,对用户使用无影响。
为了保持Notes系统本身强大的办公处理能力,CNSec Notes安全平台将遵循Notes系统本身的安全体系结构,增强其中的薄弱环节。具体的说,增强Notes安全体系中涉及密码的部分。
10 网络安全性
Notes系统本身提供端口级加密功能。为了提高效率和可用性,CNSec Notes安全平台在网络层不进行加密,关键数据的保密性和不可抵赖性通过应用层数据加密实现。如果需要在网络层实现通道加密,CNSec安全访问控制平台可提供高强度的数据传输保护,并可以和CNSec Notes安全平台无缝集成,如图4-4所示。
11 身份认证
使用CNSec Notes安全平台的用户具有两个身份标识:原Notes系统的ID标识符文件和CNSec安全平台的用户身份证书。Notes ID文件用于Notes系统的原有应用,如各种级别的存取权限均依据Notes ID进行控制;CNSec 的证书应用于安全性增强的场合,如CNSec安全平台提供的信息加密、数字签名。
Notes系统的登录和身份认证仍使用原有的Notes标识符,这样,对于不使用增强安全功能的用户来说,他们仍可使用Notes系统提供的一切功能。而对于加密后的信息,则只有通过CNSec 平台基于身份证书的验证后才能访问,否则,只能获得毫无意义的密文。
12 信息加密
Notes系统中数据库的组成如图4-5所示。数据库由数据库头和一系列Note组成,Note包括设计元素(如表单、视图、文件夹、导航器、代理等)、文档、ACL等等。每个Note由相应的头、相应的Note项或域组成。CNSec依据这样的结构选择加密路线:
数据库整体加密:由于数据库文件非常庞大,从几兆到几十兆不等,对其整体加解密,需要大量运算,会造成系统效率极大的降低,影响了系统的可用性。此外,解密过程中,分段临时文件的存放也可能引起信息泄露的问题,降低系统的安全性。因此,CNSec不采用数据库整体加密方式。
Note加密:Notes系统中的Note均有其特定的结构,对它们整体加密,将破坏Note头结构,影响查询,搜索,复制以及Domino内部的数据操作。因此,CNSec放弃了这种加密方式。
域加密:对存储关键数据的域进行加密,不仅满足用户的信息保密要求,而且对Notes系统造成的功能或性能上的影响也非常小。可以根据用户的需求,对一个或多个域采用高强度的加密,对其他域的处理则由Notes系统完成,这样既提高了安全性,又方便了用户使用,是一种较好的信息加密方式。因此,CNSec Notes安全平台采用域加密的方式来提供重要信息的保密性。
14 签名和验证
CNSec Notes安全平台提供的签名和验证功能均基于CNSec身份证书建立。系统可以在文档和邮件中使用电子签名的技术,为用户提供一种确认机制。用户通过数字化的电子签名,可以对文档数据的可信度和撰写人员的身份进行确认,从而提高数据的“不可否认性”,验证数据或签名本身在存储或数据传输中未被修改或受损,以保证数据的安全。
15 安全Notes邮件
电子邮件是Notes系统中使用最多的应用,电子邮件传递过程实质上是邮件在网络上反复拷贝的过程,因此邮件在传输过程中面临着被人截获、阅读、篡改的安全风险,另外邮件来源的不确定性也会带来一定的安全问题。
CNSec Notes安全平台综合使用信息加密、数字签名等安全手段,对邮件信体的内容进行安全处理:加密以防止非收件人阅读该邮件,签名以防止被中间人篡改和发件人抵赖。
CNSec 通过修改邮件模板实现对Notes邮件的安全处理。在新的数据库模版中,添加了“加密”,“签名”选项,“解密”与“验证”按钮。
发送邮件前,用户需选择加密、签名或两者。如果“加密”与“签名”选项均被选中,则先进行签名操作,然后依据收信人的地址,查询收信人的证书,对数据进行加密。加密和签名过程均在后台完成,无须用户参与,用户所需做的只是选择加密、签名选项而已。
邮件接收后,后台自动判别邮件是否是加密邮件,如果是则自动解密并验证签名。如果签名验证过程出现错误,说明该邮件在传输中遭到篡改或发信人数字证书有问题,系统提示告警信息。
CNSec Notes安全电子邮件的运转流程如下:
图:CNSec Notes安全电子邮件系统流程
16 密钥和证书管理
CNSec Notes安全平台的密钥和证书管理建立在统一的CNSec密钥和证书管理系统之上。Notes安全平台以嵌入菜单的方式调用CNSec密钥和证书管理系统的管理功能,方便了用户操作使用。
CNSec Notes安全平台的管理内容包括:
系统参数的设置;
密钥和证书的管理:提供与CNSec 密钥和证书管理系统的接口,包括用户注册、证书查询等,作为密钥和证书管理系统在Notes安全平台上的代理机构;
审计:必要时提供操作日志和分析统计手段,方便管理员及时总结网络安全行为,及早发现安全隐患。
6.3.2.3 CNSec Notes安全平台的体系结构
构建CNSec Notes加密平台需要在客户端和服务器端安装安全模块,其组成结构如下图所示。
图:CNSec Notes加密平台模块组成和结构
各模块功能简单说明如下:
模块名称 | 说明 |
客户端加密模块 | 客户端的加解密 |
客户端签名模块 | 签名与验证 |
客户端管理模块 | 客户端安全功能管理和配置 |
服务器端加密模块 | 服务器端加解密 |
服务器端证书查询模块 | 从Notes用户ID得到证书的过程 |
服务器管理模块 | 服务器安全功能管理和配置 |
用户证书注册模块 | 为CNSec 密钥和证书管理系统接口提供资源 |
邮件加密模块 | 提供邮件加密与签名服务 |
6.3.3 CNSec电子印章系统
在办公自动化系统中,各政府部门、企事业之间通过网络进行数据信息传递、公文流转、信息共享等业务。然而在网络中公文中的涉密信息、系统内部的敏感信息以及电子印章的安全防护措施仍相对薄弱,以往采取的一些线路加密措施未能解决公文处理和传输中的涉密的红头文件、电子印章等安全保密问题。为此,数据所与有关方面合作在CNSec安全平台基础上开发了电子印章系统,以保证网络化公文处理的安全性。
目前数据所已经和金山公司联合推出基于WPS的电子印章系统,与微软合作开发了基于Office的电子印章系统,其他合作伙伴还包括书生公司等。
6.3.4 CNSec用户安全组件
用户安全组件建立在CNSec密钥和证书管理系统提供的安全功能上,主要解决个人信息处理的安全,实现电子邮件的安全保护、计算机终端文件的安全保护、计算机登录、屏幕保护等安全控制功能,并与其他安全产品构成用户端的安全保密体系。
CNSec用户安全组件包括:
17 对计算机的使用控制
开机控制
结合WINDOWS95/98/2000的特性,实现必须经过身份认证才能开机进入系统的功能。在进入系统之前,安全程序检查读卡机中是否插入正确的IC卡,只有插入用户自己本机使用的IC卡才能使系统正常启动,进入操作系统;如果没有插入IC卡,或不是插入本微机用户所对应的IC卡,则自动关闭微机电源,无法进入系统。通过IC卡控制微机的开机,防止非法人员开机访问文件等资源。
屏保控制
如果工作人员没有关机而离开微机时,可能有人会来操作他的微机和文件系统。屏保控制系统要求从屏幕保护状态进入系统工作状态,必须经过与开机控制一样的身份认证过程。通过以IC卡为身份标识的身份认证系统,确保在工作人员离开微机期间,他人无法对此微机进行操作。
18 单机应用的安全
文件加密系统
通过对文件的加密、数字签名等,保证文件的机密性和完整性。文件加密的操作非常简单,只须在相应的文件上点击鼠标邮件,从上下文菜单中即可选择相关加解密操作。
为防止文件系统自身不彻底的删除泄露重要的敏感数据,CNSec用户安全组件提供文件安全删除的功能,保证文件删除后,以随机数覆盖,磁盘上不会留下任何相关内容。
邮件加密系统
邮件加密系统利用Plug-in的方式,在不改变原有通用邮件程序的同时,使其具有高强度的加密和签名功能。目前,邮件加密Plug-in支持Microsoft Outlook和Microsoft Outlook Express。其原理与Notes安全邮件的原理一样。
6.3.5 通过API实现与应用的结合
对尚在设计阶段或进行改造的应用系统,CNSec安全平台可提供安全保密API供应用系统调用。
CNSec安全保密平台支持的API包括以下几类:
加密卡管理:包括客户端加密卡的初始化、打开、关闭、用户登录、用户注销等等。
用户管理:包括用户添加、删除、列表、获取当前用户、用户口令修改等等
数据管理:包括加密卡和IC卡上数据添加、删除、列表等等
加解密相关功能:多种算法的加、解密及密钥管理的相关功能。
通过在应用系统适当的地方调用这些API,可实现业务系统与安全平台的紧密结合。
6.4 CNSec安全平台在政务工作信息网中的应用
根据国家有关保密规定,政务信息网必须和因特网物理隔离。因此,某市网络将划分为物理隔离的两个部分:政务工作信息网和业务工作信息网。
6.4.1 政务工作信息网情况分析
政务工作信息网与业务工作信息网物理隔离,与温州市、某省相连。并通过专网实现同其他政府部门和相关国家管理部门进行公文流转和信息交换,并通过专网上进行政务信息发布系统。
政务工作信息网上承载的应用包括部领导个性化服务、收发文管理系统、内部文管理系统、电子印章管理系统、办公自动化系统、决策支持系统等,这些应用系统涉及国家密级信息处理。
6.4.2 政务工作信息网上安全平台的构筑
根据政务工作信息网承载的信息的性质和国家的相关规定,选用普密级设备来构筑安全平台。
6.4.2.1 安全平台的结构和设备6.4.2.2 组成
兼顾安全性和经济性,CNSec密钥和证书管理系统中,密钥与证书管理中心选用独立物理平台,并离线放置,与其他各部分物理隔离;注册管理中心、目录服务系统、授权中心共用同一物理平台。结构如附图一所示。
涉及密级信息处理的客户端和服务器端采用普密级加密卡提供安全保密服务。CNSec普密级加密卡支持PCI、PCMCIA、USB三种接口方式,支持Windows 2000、Windows NT4.0、Windows98等Windows系列操作系统,其中PCI加密卡还支持SCO UNIX、FreeBSD、Linux等主流UNIX操作系统。软、硬件接口的多样性使CNSec加密卡能适应各种类型计算机的使用。
CNSec加密卡均具备很高的安全性:
19 物理封装
通过专用机壳,将加密卡的核心器件、关键电路封闭保护。
20 访问控制
通过IC卡保证使用加密卡人员的合法性。IC卡上身份码“一次一变” ,有效地防止IC卡的复制使用
21 合理的API设计
加密卡是以应用程序接口的方式提供安全加密服务功能,在API设计中,确保任何命令及命令的组合都不能获得明态的密钥,充分保证密钥的安全。
对关键数据和程序代码进行加密保护。
6.4.2.3 安全平台与政务应用
CNSec 安全平台与政务应用的结合方式随应用的不同而不同。对于已建成并投入使用的旧的系统,可以通过访问控制系统的透明平台提供安全服务;对于尚在规划阶段或准备进行修改的应用系统,则应考虑利用CNSec平台提供的API实现各种安全保密功能,提升系统的安全性;对于利用Lotus Notes构建的系统,则考虑通过CNSec Notes安全平台去增强其安全性。此外,在客户单机上安装电子印章系统、用户安全组件,提高单机的安全性。
6.4.2.4 安全平台的扩展
安全平台不仅为部内的系统提供服务,也可以灵活的扩展到下级单位,或者相关的其他政府部门。
对于需要访问政务工作信息网上应用系统的单位或个人,首先要到CNSec密钥和证书管理中心进行注册。审核批准后,发给该单位或个人身份证书,并在客户端上安装相应的普密设备。同时相关应用系统的业务负责人员在授权中心设定相应的属性。用户访问时,应用系统根据其身份证书和临时授权证书进行访问控制。
对于需要访问内系统的用户较多的外单位,可以设立次级注册中心,如图所示。
图:安全平台的扩展
用户先到本单位的注册管理中心申请注册,经审核后,用户的相关信息通过二安全方式传送到某市电子政务的注册管理中心,再由某市电子政务的密钥与证书管理中心进行签发,然后逐级下发至该单位的注册管理中心,以IC卡方式颁发给用户。
6.4.3 政务网和业务网的信息交互
为了保证安全,政务工作信息网和业务工作信息网两者之间物理隔离。然而,两者之间仍存在着一些需要交互的信息。
当需要交互的信息较少时,可采用手工的方式,通过软盘、移动硬盘、磁带、ZIP盘等方式将信息从一个网拷贝至另一个网。然而这种方式需要人工接入,不仅不方便,也不能做到信息的及时交流,不适合大多数情况的应用。
解决这个问题的理想方式是“网络隔离,信息交换”。物理隔离网关是实现这一功能的产品,它能够保证既在二网络间实现物理隔离,又能按策略进行信息交换。其原理并不复杂,但在具体实现中还存在着一些技术难题。目前对物理隔离产品的研究正在广泛而深入的开展,但暂时还没有非常成熟和完善的产品。
因此,某市政务工作信息网和业务工作信息网之间信息交互的实现可以分两步走,在物理隔离网关还不成熟的时候,先暂时使用手工方式进行拷贝;等物理隔离网关成熟后,通过该网关将两个网连接起来,在保证物理隔离的同时,实现信息的有限交互。
6.4.4 政务网上构建VPN
电子政务系统通过专网实现同温州市、某省和省市管理部门进行公文流转和信息交换。
对于政务网的扩展,可以在政务网与专网的连接处配置网络密码机构建虚拟专网,实现的安全保密通信。
6.5 CNSec安全平台在业务工作信息网中的应用
6.5.1 业务工作信息网情况分析
业务工作信息网与INTERNET连接,与政务工作信息网物理隔离。业务工作信息网提供拨号接入服务,出差在外的工作人员可以通过电信网接入业务工作信息网。
业务工作信息网上承载的应用系统包括:业务办公系统、辅助应用系统等。
6.5.2 业务工作信息网上安全平台的构筑
根据业务工作信息网承载的信息的性质和国家的相关规定,选用商密级设备来构筑安全平台。
6.5.2.1 安全平台的结构和设备6.5.2.2 组成
兼顾安全性和经济性,CNSec密钥和证书管理系统中,密钥与证书管理中心选用独立物理平台,并离线放置,与其他各部分物理隔离;注册管理中心、目录服务系统、授权中心共用同一物理平台。
业务网的密钥与证书管理中心以USB接口的加密卡为介质给用户发布证书。客户端上USB加密卡与相应软件共同提供安全保密服务。
6.5.2.3 安全平台与业务应用
安全平台与业务应用的结合方式随应用的不同而不同。对于已建成并投入使用的旧的系统,可以通过访问控制系统的透明平台提供安全服务;对于尚在规划阶段或准备进行修改的应用系统,则应考虑利用平台提供的API实现各种安全保密功能,提升系统的安全性;对于利用Lotus Notes构建的系统,则考虑通过CNSec Notes安全平台去增强其安全性。此外,在客户单机上安装用户安全组件,提高单机的安全性。
6.5.2.4 移动办公安全
电子政务业务网移动办公系统的需求是:领导和工作人员可以方便地通过因特网或某市自己提供的接入平台进行远程办公,处理某些紧急的日常事务,查询关注的信息。
电子政务业务网移动办公系统的目标是,需要针对办公的移动性对电子政务应用系统中的相应系统作必要的增强,并为移动办公提供必要的安全保障措施。
6.5.2.4.1 移动办公安全解决方案——SVPN隧道加密
将利用某市电子政务安全平台所提供的基本安全功能,采用以IP隧道加密为核心的安全VPN(SVPN)技术解决电子政务业务网的移动办公安全需求。
IP隧道加密的SVPN解决方案遵循IPSEC网络安全协议,选用支持IPSEC协议的网络密码机和终端密码卡,利用公网(因特网或其它公共网)的传输平台构建虚拟专用网络,组成业务网的移动办公安全环境。
6.5.2.4.2 系统组成与网络拓扑
移动办公安全系统配置如下:
在移动办公系统的入口的路由器与防火墙之间,配置网络密码机(SJW07网络密码机);在移动终端,配备支持IP隧道加密的密码卡(SJY14-D USB密码卡)。
网络密码机与终端密码卡配备相同的密码算法,可以互通。
密码机和终端IP协议加密卡提供基于密码技术的节点认证和隧道加密功能,保证了涉密通信节点之间可靠认证,并在IP层对数据信息进行加解密,构造一个安全封闭的传输网络。
22 网络密码机的性能如下:
组建虚拟加密专网
局域网之间基于IP隧道的信息加密
对访问客户进行身份认证
通过设置用户的访问控制表,可以灵活配置以允许或禁止用户访问网络
固定延时小,且无时延累积。
不影响网络原有功能
完善的密钥管理机制。
具有开机自毁功能
支持密钥自动分发
可以对特定用户进行遥毙
支持远程设置、远程管理,图形管理界面
23 网络密码机的性能如下:
双穴主机结构,支持三个10/100Base-TX接口
外部口:10BaseT/100BaseTX以太网端口(RJ45)
内部口:10BaseT/100BaseTX以太网端口(RJ45)
网络协议标准:TCP/IP
支持多达2048个加密节点
数据转发速率:90Mbps
数据加解密速率:12Mbps
固定时延: 1ms
平均故障间隔时间(MTBF):20,000小时
25 移动终端IP隧道加密设备:
SJY14-D USB密码卡
IP隧道加密软件包
6.5.2.4.3 移动办公安全系统所达到的安全效果
采用IP隧道的SVPN技术建立的移动办公安全系统的所达到的安全效果如下:
26 基于数字证书的身份认证
网络密码机与移动终端密码卡之间首先进行基于数字证书的强双向身份认证,确保通信的对方是合法的通信节点;非法的节点由于不能通过节点验证,无法建立可用的通信连接。这样保证了涉密网络节点的可靠性。
27 信息的保密
身份验证通过后,网络密码机与移动终端密码卡之间协商建立安全加密通道,发端IP密码机对IP包的用户信息加密后传输,对端IP密码机在收到密文后自动解密密文,确保公网信道上传输的数据都是密文。所以,即使非法攻击者通过各种手段从密公网信道中截获了密文,由于没有相应的密钥,攻击者也不能获得信息的真实内容,保证了涉密信息的保密性。
28 内部网IP地址信息屏蔽
由于采用了IP隧道加密方式,电子政务网的内部IP地址信息被隧道加密协议安全保护,对公网屏蔽了内部网的地址信息,更进一步提高了移动办公系统的安全性。
29 信息的完整性
密码机在通信的过程中,对密文数据包嵌入了时间戳,保证了移动办公系统足以抵抗非法攻击者发出的重放攻击。更重要的是,攻击者不可能对密文进行伪造,无法对通信的双方进行欺骗,保证了机密信息的完整性。
6.5.2.4.4 移动办公安全系统与业务安全系统的关系
由于移动办公安全系统是整个安全平台的一个子系统,因此移动办公系统的建设需遵循以下原则:
33 设备复用,保护投资
移动办公安全系统与业务安全系统之间的密码设备需做的最大限度的复用,在移动用户终端配置的单一的密码卡(SJY14-D USB密码卡),密码卡能同时支持移动办公安全密码服务和业务安全密码服务。这样可充分利用已配备的设备,充分保护用户的投资。
34 统一管理
密码设备应能支持安全平台的密钥和证书管理系统的管理,接受密钥和证书管理系统下发的数字证书和密钥,并充分利用密钥和证书管理系统所提供的安全服务。
移动办公系统与业务安全系统同时运行,提供不同角度的安全保护
移动办公系统与业务安全系统应能互不干扰地同时运行,提供不同角度的安全保护:均提供身份认证、信息加密、信息完整性服务;移动办公安全SVPN系统可提供IP地址屏蔽服务,业务安全系统可提供细粒度的服务控制功能。
6.6 方案总结
6.6.1 先进性分析
CNSec安全平台是针对我国的政务系统实际情况,采用国际先进的技术路线而开发的完整的安全保密解决方案,其先进性体现在:
结构和体制的先进性:CNSec安全平台将 PKI、PMI等先进的安全技术与我国政府办公的实际需求相结合,提出一套适合我国电子政务系统的密钥与证书管理和授权机制。
基础平台的先进性:采用了各种类型的加密卡(集成了密码专用密芯片),性能高,使用范围广,使用灵活。
提供各种安全服务:提供电子政务所需的各种安全服务,如信息加密、数据完整性、防抵赖、授权、访问控制,通过多种方式与应用结合。
综上所述,CNSec为某市电子政务系统提供了一个功能强大、技术先进的综合性安全平台。
6.6.2 安全性分析
CNSec安全平台为提供了统一的安全机制,避免了一般采用的“打补丁”的方式,使系统具有较高的一致性和兼容性,并实现全网一致的安全保密管理。其安全机制特点如下:
采用基于PKI体系的密钥和证书管理系统:在全网系统范围内建立一个统一的身份认证体系,为业务和政务应用系统的统一授权管理提供了信任基准
建立基于PMI体系的授权机制:在全网统一的信任体系的基础上进一步提供了全网一致的,与具体业务系统实现相独立的授权管理功能
实现基于分层体系模型的安全机制:CNSec安全平台提供了在不同层次上与应用结合的方式。
实现多种安全保密服务:信息加密、数据完整性、防抵赖、授权、访问控制等
实现全网统一的安全保密管理:
系统元素级的安全管理机制:对每个用户及网络实体均采用证书认证机制,提供一实体一证的身份鉴别功能,并在此基础上进一步提供了细粒度的安全管理功能。
全网统一的安全策略管理:对每个安全子系统在全网统一信任体系基础上提供了统一的安全策略管理功能,确保全网范围内安全策略的一致实施。
自主知识产品的全面应用:CNSec安全平台涉及的所有设备均具有自主知识产权,并经过国家主管部门的审批,具有在政务系统中使用的合法资质。
7 某市电子政务系统安全支撑平台建设
随着信息化建设的逐步推进,电子政务系统对其安全运行的依赖性越来越强,为了给某市电子政务系统的运行提供必要的安全保障,在对系统进行基于PKI技术的安全平台建设的基础上,还需要为系统防范网络内部的行为滥用和网络外部的恶意攻击提供必不可少的安全辅助支撑平台,因此,某市电子政务系统应通过对网络进行合理的配置和部署必要的网络安全设备和软件,系统才能能够在最大程度上抵御外来的入侵,防止病毒的侵害和杜绝不良信息在网上的传播和信息的安全保密。
该安全辅助支撑平台实施方案主要包括防病毒系统、防火墙系统、入侵检测系统、漏洞扫描系统、安全审计系统、NOTES安全插件和备份系统等,电子政务系统安全辅助支撑平台建设实施方案结构示意如图7-1所示,该方案的设计将为网络用户构建全方位的整体解决方案提出可操作依据。
1. 安全辅助支撑平台建设实施方案结构示意图
7.1 某市电子政务系统安全支撑平台建设实施原则
某市电子政务系统安全辅助支撑平台是为全网的电子政务信息系统安全而综合设计的,尽管它包括多个子系统,但是,信息系统的安全应是统一的体系结构,它不应是多个分系统的多种安全体系的称谓,因此系统的安全实施方必须遵守以下原则:
7.1.1 统一原则
统一综合设计电子政务系统安全辅助支撑平台的好处是:
可集中有关各方的力量和资源,使电子政政信息系统设计得更加系统、完善、严密;
可包容现存的和将要改进的电子政务政信息系统对于安全的普遍的、特殊的要求,使体系更趋科学和适用;
可通盘考虑所有通信分系统(单机联网等)的安全互通。
7.1.2 需求、风险、成本折中原则
任何信息系统都不能作到绝对的安全,某市电子政务系统安全辅助支撑平台建设也不例外,同时也不是必要的。鉴于这种情况,在设计该系统安全实施方案时,要在安全需求、安全风险和安全成本之间进行平衡和折中。过多的安全需求、过低的安全风险必将造成安全成本迅速增加和复杂性的增加。因此,在设计电子政务信息系统时必须遵守三项要求折中的原则。
7.1.3 适应性和可升级性原则
随着IT技术的不断发展,电子政务信息系统将会发生各种变化,信息系统安全设计必须能适应这种变化,在系统实施过程中,系统的结构、配置也会发生这样或那样的变化,系统的安全工程要有一定的灵活性和可升级性来适应这种变化。
7.1.4 安全保密设备7.1.5 选型原则
实施方案中应选择经过国家主管部门认可的网络安全产品。如防火墙等网络安全产品必须采用国内自主开发的产品,并经过国家有关安全管理部门的认证(包括公安部颁发的《计算机信息系统专用安全产品销售许可证》及中国国家信息安全测评认证中心颁发的《国家信息安全认证产品型号证书》。加密产品、加密算法经过国家密码管理单位的批准,并选择国家密码管理部门授权厂家生成的加密产品;网络信息安全系统的规划与实施应满足国家有关主管部门或机构的管理、检查要求。
7.1.6 简单有效易操作原则
建立电子政务信息系统安全体系的目的是要能控制电子政务信息的安全。控制方法或手段越简便越有效。如果操作过于复杂势必对人的要求过高从而导致安全性下降,信息系统的效率降低。同时,所采取安全措施也不能影响系统的正常运行或严重影响系统整体性能。
7.2 政务网和业务网的总体安全配置拓朴
某市电子政务网络分为两部分:政务专网和业务专网。二者在物理上完全隔绝。
政务专网:与专网只与上级或下级单位进行信息交互,主要用于政务信息发布、公文流转、上下级发文批示以及交互政策法规等相关文件。
对于政务专网,由于其涉及的公文大部分是普密级,所以在其中采用的设备都是普密级的产品,具体配置如图7-2所示。
1) 政务专网辅助安全平台配置拓朴示意图
在政务专网的普密CA端设置防火墙,对政务专网内的www服务器配置主页防篡改系统,在防火墙后配置入侵检测系统及采集器,采集器另一端接综合管理器,可以有效过滤不良信息在网络中的传播,在网络中接入安全扫描系统,定期对网络进行安全漏洞扫描,为网络中的服务器及终端安装防病毒软件,在网络中配置网络密码机,并且在网络中心配置用于管理网络密码机的密钥管理中心,还要为每一个需要使用安全接入的用户配置安全PC卡,发放密钥卡等。
业务专网:由其内部代理服务器划分为两部分:内部网和外部网。其中:内部网用于内部的公文流转和申报经费等;外部网则是为适应某些部门因工作需要经常出差,需要通过INTERNET来移动办公和公众信息发布等。
对业务专网同样采用上述产品,但由于其敏感信息不是普密级信息,考虑到成本造价,业务专网中选用的产品均为商密级产品。
在业务专网中的配置与政务专网中的配置有部分是相同的,如在CA端设置防火墙,对业务专网内的www服务器配置主页防篡改系统,在防火墙后配置入侵检测系统及采集器,采集器另一端接综合管理器,可以有效过滤不良信息在网络中的传播,在网络中接入安全扫描系统,定期对网络进行安全漏洞扫描,为网络中的服务器及终端安装防病毒软件等;不同的是,为适应移动办公的用户,需要在业务专网中建立SVPN,另外还需要在网上申报服务器端配置网络密码机,另外在安全拨号接入服务器端也要配置网络密码机,并且在网络中心配置用于管理网络密码机的密钥管理中心,还要为每一个需要使用安全远程接入的用户配置安全PC卡,发放密钥卡等。
在对网络系统有了充分了解,并做出了整体的安全架构后,下面将就每一部分的具体实施进行详细的说明。
7.2.1 VLAN的划分和SVPN通信平台的建立
VLAN作为网络系统的一项基本安全功能,可有效地解决广播风暴、广播攻击、充分利用网络带宽资源,同时,结合访问控制功能,极大地增强网络的安全性。因此,对VLAN的划分具有极其重要的意义。
VLAN的划分策略:采用安全性很高的基于物理设备埠的方式。
VLAN的划分依据如下:
采用基于用户群工作组的方式;
采用基于用户群工作部门的方式;
采用基于用户群工作地理位置的方式;
采用基于用户群访问权限的方式;
采用基于用户群其它属性的方式等。
SVPN组建网络安全平台的思想是将具有支持IPSEC ESP封装格式的SVPN设备(如网络密码机、防火墙等)部署在内部网(政务专网和业务专网)与公共网络(CHINANET等)的连接处,这些SVPN设备在安全管理机构的统一安全策略(包括密钥管理体系)的管理下协调一致地运行,在IP层上保护网络的连接和传输安全。
在该实施方案中,对于政务专网,通过配置防火墙和网络密码机将政务专网划分为两部分,根据用户要求可以为需要的用户安装PC密码卡和发放密钥卡,使用户可以访问权限之内的网络资源,有效地做到了网络隔离。对于业务专网,除实现网络隔离的功能外,还要考虑到移动办公用户,因此可以通过网络密码机、防火墙及PC密码卡来建立SVPN来实现用户移动办公的需求。
SVPN技术是综合利用加密、访问控制和完整性保护等技术,并通过完善的密钥管理机制,在公共的通信信道上建立安全虚拟专用网络;提供不与VPN通信共享任何互连接点的排他性通信环境,实现完整的集成化的系统范围的VPN安全解决方案。
SVPN可构建在两个端系统之间、一个组织机构内部的多个端系统之间或跨越Internet的多个组织之间,以及单个应用或组合应用之间。
目前,国内已通过国家主管部门鉴定认可的SVPN设备(即网络加密机)大多能提供基于IPSec的网络层加密,但其访问控制功能(即防火墙功能)在加密机中的实现各有不同,有的强一些,有的稍弱一些。这部分的阐述会在下面的防火墙技术中作更详细的解释。
7.2.2 基于防火墙实现的访问控制实施方案
防火墙作为不同网络或网络安全域之间信息的出入口,能根据网络系统的安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务,实现网络和信息安全的基础设施。 在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和公众网之间的任何活动,保证了内部网络的安全。
使用防火墙来实现连接的边界安全,主要包括:
访问控制:允许通过鉴别的通信方进行无接连的透明访问,控制和限制未通过鉴别或不可信用户进行访问连接。
保护资料在边界不丢失或窃取。
防止各种禁止服务型攻击。
由于防火墙和路由器在本安全系统中是控制安全非常关键的基础设备,它们安全与否关系到整个网络体系的安全强度,因此对它们的保护应是非常严格的。对它们的访问控制可使用以下几种方式:
由指定的控制台访问控制和管理防火墙或路由器
对口令进行加密;
禁止Telnet的访问;
控制SNMP 访问;
安全的路由器配置文件;
对不同的区域配置不同的访问控制策略;
在某市电子政务系统安全辅助支撑平台建设实施方案中将使用龙马卫士OLMFW-9001型防火墙,利用它可以对业务专网和政务专网的进行相应的访问控制。
7.2.2.1 OLMFW-9001A防火墙系统设计
OLMFW-9001A防火墙以TCP/IP协议及相关的应用协议为基础。OLMFW-9001A防火墙分别在应用层,数据链路与网络层间对内外通讯进行监控。应用层主要侧重于对连接所用的具体协议内容进行检测,在数据链路层与网络层间主要依据规则链和连接状态对IP包进行检测,通过在这两层间进行检查,防火墙能够截取并且检查在所有网络接口上进出的数据包。由于防火墙检查的是包的最初信息,所以能够检查在包中的所有信息,也包括了有关更高层的信息。防火墙从截取的数据包检测IP地址、端口号和其他一些相关的内容以决定包是否能够接受。
7.2.2.2 OLMFW-9001A防火墙的技术特点
OLMFW-9001A提供完善的安全性设置,通过高性能的网络核心进行访问控制。它采用了简明的图形化用户界面(GUI),通过直观、易用的界面管理强大、复杂的系统。是一套功能全面、安全性高的网络安全系统。参见表7-1,OLMFW-9001A防火墙的功能一览表以及表7-2,OLMFW-9001A防火墙的性能一览表。
产品名称 | OLMFW-9001A | |
产品类型(软件、硬件设备) | 硬件设备 | |
支持的LAN接口类型 | 10/100M自适应以太网 | |
网卡类型及数目 | 4块3COM 3C59X 10/100M | |
支持的最大LAN接口数 | 4 | |
服务器平台 | 自主开发的操作系统——SOS | |
安 全 特 性
| 实时监控的连接状态 | 应用程序、协议、端口、源/目的IP地址、TCP序列号、ACK Numbers、TCP flag、通讯接口、网络安全标识、访问时间等 |
动态设置过滤规则 | 有 | |
IP与MAC地址捆绑 | 有 | |
应用层提供代理支持 | 完全透明的应用代理服务 | |
允许FTP命令筛选 | 允许 | |
支持网络地址转换(NAT) | 有 | |
支持域名转换 | 支持 | |
提供内容过滤 | 支持URL过滤 | |
用户认证 | 无(年底推出2.0版将具有强大的用户认证功能) | |
基于时间的访问控制 | 支持 | |
抗 攻 击 能 力 | 能防御的DOS攻击类型 | 各种Flooding攻击,PING攻击,IP Fragment |
阻止Active X, JAVA, cookies, JavaScript侵入 | 不能 (OLMFW-9100系列防火墙具备入侵检测和防病毒功能) | |
支持转发和跟踪ICMP协议 | 支持 | |
识别/记录/防止IP地址欺骗 | 能 | |
管 理 功 能 | 如何管理多个防火墙 | 集中管理 |
管理界面及管理方式 | Console、GUI和远程管理(权限登录管理) | |
支持IC卡访问控制 | 采用智能IC卡技术进行初始化设置、启动和控制 | |
支持带宽管理 | 支持 | |
负载均衡特性 | 支持 | |
失败恢复特性(Fail over) | 硬件设备/配置文件备份,双机热备(切换时间<10s) | |
Down机恢复时间 | 25秒左右 | |
运行接入方式 | 支持路由(有IP)模式、 交换(无IP)模式和混合模式 | |
是否支持VPN | 支持 | |
日 志 审 计 告 警 功 能 | 防火墙处理日志的方法 | 通过防火墙的管理软件 |
提供自动日志扫描 | 有 | |
实时审记告警 | 有 | |
基于日志的告警 | 有 | |
警告通知机制 | 基于管理员平台的告警 | |
日志和报表实现机制 | 完善的基于数据库的日志和报表,图形化的报表 | |
提供实时统计 | 有 | |
统计报表 | 完善的基于数据库的日志和报表,图形化的统计报表 | |
1. OLMFW-9001A防火墙的功能一览表
防火墙功能项目 | 开启Filter (包过滤) | 开启Filter、NAT(网络地址转换) | 开启Filter、NAT、Proxy(代理) |
吞吐率 | 95M以上 | 85M以上 | 65M |
允许最大并发连接数 | 65,000个 | ||
1. OLMFW-9001A防火墙的性能表
龙马防火墙的功能特点如下:
1 实时的连接状态监控功能
2 动态过滤规则技术
3 基于网络IP与MAC地址绑定的包过滤
4 双向的网络地址转换(NAT)
5 透明的代理访问方式(Transparent Proxy)
6 抗攻击和自我保护能力
7 URL统计和过滤
8 IP过滤规则
9 审计和告警功能
10 分析和查询网络事件
11 流量控制和统计报表
12 操作简单的图形化用户界面
13 支持透明的无IP运行方式
14 支持双机热备份功能
7.2.2.2.1 防火墙的分级访问控制配置方案
7.2.2.2.1.1 业务专网的访问控制配置方案
1)业务专网的公共信息发布区的访问控制配置方案
公共信息网站是某市电子政务系统对社会进行信息发布的平台,是某市的信息窗口,它既要求具有较强的开放性,但又要求安全系统保护网站免受来自Internet的网络攻击,又要防止黑客通过公共信息网站攻击业务专网和内部/控制区,因此在设置公共信息网站的访问控制规则和安全策略时应遵循以下原则:
1 允许Internet用户通过防火墙透明的应用代理、包过滤安全机制访问公共信息网站;
2 允许公共信息网站通过防火墙透明的应用代理、包过滤安全机制从业务专网获取网站更新信息;
3 拒绝公共信息网站与内部/控制区的互相访问;
4 拒绝公共信息网站对业务专网上传信息;
5 拒绝业务专网访问公共信息网站。
2) 业务专网OA网的访问控制配置方案
业务专网的OA网是对网络系统内部信息发布的平台,涉及网络系统部分敏感信息,它对安全强度的要求比政务专网低比业务专网的公共信息区高,我们在设置业务专网的访问控制规则和安全策略时应遵循以下原则:
1 允许电子政务网络系统内部用户通过VPN资料加密和防火墙的应用代理、包过滤安全机制访问业务专网;
2 拒绝来自Internet其它用户的访问。
7.2.2.2.1.2 政务专网的访问控制配置方案
政务专网涉及大量敏感度较高的信息,是对安全强度要求最高的一个区域,这就要求我们在设置规则和安全策略时应遵循以下原则:
1 防止其他专网用户对某市政务专网的非法访问;
2 隔离政务专网CA系统的DMZ区、控制区和安全区;
3 只允许安全管理服务器访问控制安全设备。
7.2.3 入侵检测系统实施方案
防火墙技术的发展经历了基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙四个阶段,防火墙能够通过其包过滤规则,或通过代理方式对双向的数据流做过滤或合法性的认证,达到对系统安全性的保护。但是究其根源,仅仅有防火墙是远远不够的。
入侵检测功能是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对整个网络系统的实时保护。
入侵检测系统(IDS)按照检测种类可以划分为Host-based IDS 和 Network-based IDS两种类型。
NIDS本身是基于审计的IDS,即在基于共享的网络上将网卡设置成为混杂模式,通过被动地分析网络的流通信息包括资料报的报头和资料信息达到检测网络异常行为的发生。功能实现可以划分为四个模块:
1)监视机制;
2)审计分析机制;
3)安全信息存储机制;
4)报警和反向防护机制。
在本方案中,将使用三零卫士安全软件公司的鹰眼系列产品。
鹰眼系列产品就是为了抵御目前威胁网络的各种攻击所推出的安全产品,它们可以通过对流经网络的资料进行监测和分析,捕获网络违规事件和入侵行为的发生,自动生成审计跟踪记录和分析报告,切断非法连接并实时报警,还可用于系统安全性评估、漏洞扫描和分析,为用户信息系统的安全提供分析报告和建议。
7.2.3.1 入侵检测系统产品概述
鹰眼系列产品适用于需要在开放自身网络的同时保证网络和资料安全的用户,它支持运用安全的WEB远程控制台的图形接口进行管理操作,可以用最简单的操作完成全部的安全管理工作,大大降低了对网络管理员的技能和时间的要求。在确保网络的连接性能的前提下,大大提高网络的安全性。鹰眼(HAWKEYE)系列产品的设计是在跟踪分析了目前互联网上最新的各种安全威胁的基础上,采取切实有效的预防措施,以确保用户信息系统的安全。
鹰眼网络入侵检测仪(H—NIDS)是四川三零卫士安全软件有限公司自行研制开发的网络入侵检测仪器,是获得国家公安部销售许可证的网络安全产品。
鹰眼网络入侵 检测仪(H—NIDS)提供强大的入侵检测功能,实时和多样化的入侵报警,多级别的响应处理措施,详尽的入侵检测记录分析报告,用户可以通过WEB控制台对其进行远程访问和控制,浏览和查询所有的报告内容。应用鹰眼可以自动阻断网络入侵,是管理人员维护自身网络安全的好助手。
鹰眼网络入侵 检测仪(H—NIDS)监听用户设置的网段上的所有通信信息,分析这些网络通信信息,将分析结果与入侵规则库相匹配,依照匹配结果对网络信息的交换执行报警、阻断、日志等功能。用户只需通过本地网络上的任意一台安装了数字证书的计算机,就能通过鹰眼WEB远程控制台完成对鹰眼网络入侵检测仪(H—NIDS)的配置和管理。
7.2.3.1.1 应用结构
鹰眼网络入侵检测仪在用户系统中的应用配置示意如图7-4所示。
1. 鹰眼网络入侵检测仪在系统是的配置示意图
上面的应用结构表明,鹰眼网络入侵检测仪(H—NIDS)具有两个高速检测端口,可以同时检测来自网络外部和内部的入侵,或者保护两个不同子网免遭入侵。
7.2.3.1.2 功能特点
1) 强大的入侵检测功能
鹰眼网络入侵检测仪(H—NIDS)提供强大的入侵检测功能,目前可以检测的攻击类型有18大类,共计700余种入侵行为。
2) 多样化报警和响应方式
鹰眼网络入侵检测仪(H—NIDS)一旦检测到入侵行为,将根据用户预先设置的报警方式,选择声音、BP、或控制台方式进行报警。并能够自动根据其严重程度,选择切断攻击方的所有连接,保护本地主机的安全。
鹰眼网络入侵检测仪(H—NIDS)具有过以下三种报警方式:
1 鹰眼本身的发音装置报警
当入侵行为被鹰眼检测到后,机器会发出“嘀—嘀—嘀”的声音。
2 WEB控制台的“入侵报警灯”
鹰眼网络安全监测仪的报警灯位于WEB操作接口左上方。若灯为绿色,则表示无入侵行为发生过;若灯变为红色,则表示曾有入侵行为发生过;若灯在不停地闪烁,则表示当前有入侵行为正在发生。
3 BP机或手机报警
如果管理员外出或因为某种情况不在本地,无法通过上述两种方式得知有入侵信息。还可以使用BP机或手机报警方式,只需要在WEB控制台中进行BP机设置,并将鹰眼报警埠接入市话网即可。
3)可灵活定制的入侵规则库
用户可以通过鹰眼网络入侵检测仪(H—NIDS)的远程WEB控制台定制鹰眼的入侵规则库。目前为用户提供了四种不同深度的配置方式,包括:入侵类别定制,具体规则定制、入侵级别定制(敏感度定制)和响应策略定制。
入侵类别定制:用户可根据自身网络安全的需要来选择入侵规则库中的大类,鹰眼网络入侵检测仪目前提供18个入侵大类给用户选择。
具体规则定制:用户可以对18个入侵大类下属的各种具体的入侵行为做选择性定制,分别可以定制为暂停响应、警报记录、声音报警、BP机报警、主动切断,以及用户自定义的响应策略。
响应策略定制:预置4种模板,警报记录、声音警报、BP机报警和主动切断。用户也可以根据自身需要进行自定义设置。
恢复缺省设置:用户点击此处可以将入侵检测规则库恢复到机器出厂时的设置。
为了方便本地用户的使用,规则库实现了完全中文化,用户可以根据自己的要求,选择不同的配置方式,为自己量身定制一套入侵检测规则库,使鹰眼的入侵检测功能在用户自身的网络环境中发挥最大的作用。
4) 不断更新入侵规则库
黑客技术在发展,攻击模式不断更新,投标商的技术人员也在不断跟踪世界最新的网络攻防技术,并根据攻击技术的最新发展推出最新的入侵检测规则库的升级包,您可以访问投标商的产品网站:http://product.sec-online.com.cn下载,并通过鹰眼的WEB控制台进行安装。
5) 功能强大的搜索引擎
面对庞大的入侵日志文件,用户如何才能找到自己关心的内容?鹰眼网络入侵检测仪向用户提供了强大的搜索引擎,多种查询搜索方式,用户只需填入相应的查询条件,就能获得所要查找的入侵记录,这样,用户可以非常方便,快速的按照自己的需要查找所关心的入侵记录。
根据入侵检测记录的结果,投标商将通过周期性的审计分析,以在线方式为用户提供全面,详细,丰富的入侵检测分析报告,反映用户在一个周期内受到的攻击类型,严重程度,发生频率,攻击来源,详细资料等诸多信息。投标商更为用户提供了丰富的分析图表,帮助用户随时对自己的网络安全状况作出正确的评估。
7.2.3.2 业务专网中入侵检测系统的配置方案
在业务专网中可以分别在内部OA网段和公共信息发布的DMZ网段上配置相应的入侵检测系统,用以检测这两个网段上的网上用户行为。
7.2.3.3 政务专网中入侵检测系统的配置方案
在政务专网中可以分别在政务OA网段和政务信息发布的DMZ网段上配置相应的入侵检测系统,用以检测这两个网段上的网上用户行为。
7.2.4 安全扫描系统实施方案
目前市场上的安全扫描产品有很多,在这里将使用汉邦软科的网络安全检查系统ZYNSS。汉邦软科的网络安全检查系统ZYNSS作为一种全自动安全风险评估工具,侧重于“事前阶段”。它模拟黑客进攻的手段和技术,对被检系统进行黑客攻击式的安全漏洞和安全隐患扫描,并提交风险评估报告,其中提供了相应的整改措施。预防性的安全检查最大限度地暴露了现存网络系统中存在的安全隐患,配合行之有效的整改措施,可以将网络系统的运行风险降至最低。汉邦软科的网络安全检查系统是针对我国网络发展现状以及存在的安全问题,面向执法部门、安检部门、网络管理人员、系统管理人员设计的一套针对网络安全漏洞进行扫描检测的安全检查软件。该产品由北京汉邦软科数码技术有限公司独立研制开发,具有自主版权。
7.2.4.1 NSS的主要特点
综合了国内外同类安全产品特别是国外著名安全产品的思路以及优点,并考虑了国内网络系统的国情和现状,技术起点高,实用性强。在系统中特别集成了完整的漏洞修补建议以及网络安全实用手册。检测范围广。
系统基于TCP/IP协议,特别针对WINNT系统中存在的安全问题进行了深入研究。系统可以检测基于TCP/IP的网络软硬件产品,并能深入检测WINDOWS系列操作系统特别是应用越来越广泛的WINNT系统和Windows 2000系统,以及运行在他们之上的多个Back Office服务器。运行在WINNT平台,全中文界面,在进行检测前扫描策略配置简单明了。对每一项可检测漏洞均有详尽说明。针对国家信息保密的特殊要求,增加了物理安全隔离检查、局域网涉密信息检查以及局域网用户信息检查等几个特色功能。强大的漏洞扫描能力,可对受检系统进行多视角、多层面的黑客攻击式扫描。
2000年7月,国家公安部安全产品评测中心测评认为该产品可对包括当时最新黑客攻击技术在内的500余种攻击手段进行模拟攻击。在2001年3月的升级版中,模拟的攻击手段已达到900余种。用户可以按计划中的系统安全目标,自定义每次安全扫描策略以对系统和网络进行安全扫描。具体的扫描策略设定细化到用户可以选择是否扫描每一个漏洞。系统对漏洞进行了详尽的风险等级管理,漏洞风险一目了然。细致入微地报告系统中存在的弱点漏洞。列出了从目标的操作系统类型、漏洞列表、开放的端口号和服务,直到系统中存在的用户等受检对象的相关信息。完善的扫描报告生成能力。扫描结束后可以由系统自动生成分析报告,其中包括了详尽的漏洞说明,风险等级,补救措施,专家建议以及相关资源连接。工作方式以及检查方式灵活。可以检查本地局域网,也可以通过拨号接入或者以跨网关方式检查目标系统。可以单独检查一台主机,也可以检查整个网段。系统采用了开放式体系结构和模块化思想,而且公司有专业小组跟踪黑客攻击手段以及系统漏洞,从而做到动态更新检查模板库,保护客户免受最新攻击手段的攻击。公司有着强大的开发和先进的管理模式,以及灵活的运作方式。技术以及研究力量雄厚,并可以按照客户的具体要求增删相应功能模块,以满足客户要求,保证系统最佳的性价比。
7.2.4.2 ZYNSS的功能介绍
网络安全检查系统的工作原理基于TCP/IP协议簇,因此系统可以完全检测基于TCP/IP的所有网络软硬件系统。只要目标系统/主机/设备/应用/服务是基于TCP/IP工作的,而且在网络安全检查系统的检测能力之内,网络安全检查系统就可以对其检测分析,进行风险评估。可以检测的目标包括各类目前常用的网络操作系统,网络应用服务,以及各种网络通信设备。网络安全检查系统能按照用户指定的安全扫描策略对目标系统进行扫描,扫描对象可以是基于TCP/IP协议的网络防火墙、路由器、应用服务器、Web站点、网络操作系统等等。举例来说,网络安全检查系统几乎能够扫描分析Internet上所有常用的络操作操作系统:IBM AIX, HP/UX , DEC OSF/1, SunOS, Solaris , BSD, Linux , Windows NT, Windows 95/98 等。
网络安全检查系统是在汉邦软科数码技术有限公司的技术工程师对目前国内外网络安全业界存在的主要系统/主机/设备/应用/服务中存在的漏洞进行详尽搜集、分析、仔细研究以及对国内特别是国外同类安全产品/工具进行横纵比较的基础上开发研制成功的。经过国内权威信息安全部门的检测,网络安全检查系统完全可以对目前存在于常用操作系统/设备/应用/服务中的主要漏洞和弱点进行检测和分析。
网络安全检查系统特别针对WINNT系统特有的NetBIOS协议以及NetBIOS服务进行了检测。网络安全检查系统能够深入分析/检测应用越来越广泛的Windows NT/Windows 2000系统中存在的系统漏洞/弱点和它们中存在的安全隐患。而且由于这样的特殊性以及微软产品的连续性,拟采用的产品平台已经平稳的过渡到Windows 2000,并继续保持对Windows 操作系统漏洞、弱点、安全隐患的检测的深度和广度。
总的说来, 网络安全检查系统具有强大的漏洞扫描能力,可对受检系统进行多视角、多层面的黑客攻击式扫描。国家公安部安全产品评测中心测评确认该产品可对包括当时最新黑客攻击技术在内的500余种攻击手段进行模拟攻击。并且网络安全检查系统采用了多线程技术,对漏洞的检查速度很快。
以下是网络安全检查系统ZYNSS 1.8功能的进一步介绍:
按照检测的模块,目前网络安全检查系统ZYNSS 1.8的安全检查功能由以下几个部分组成:
主机安全漏洞检查模块,其中包括:
4 WINDOWS NT(包括对Windows 9x)
5 系统关键注册表键以及特洛伊木马键安全检查;
6 系统常用服务和不知名服务安全检查;
7 系统中网络属性设置安全检查;
8 系统中NetBIOS共享安全检查;
9 系统安全配置检查;
10 系统用户帐号设置以及其属性安全常规检查;
11 系统用户口令策略安全检查;
12 系统审计功能安全检查;
13 系统关键文件安全检查;
14 系统中使用的浏览器以及系统的安全区域设置安全检查;
15 分布式组建对象模型(DCOM)的安全检查;
16 UNIX/LINUX
17 网络文件系统安全检查;
18 守护进程(DAEMONS)安全检查;
19 远过程调用安全检查;
20 WEB服务器安全检查模块,其中包括对WWW服务器类型检测,CGI程序漏洞检测,IIS漏洞的检测,其他的一些常用WEB服务器的安全检测;
21 局域网(INTRANET)安全漏洞检测模块,其中除了对常用服务的检测外,还增加了涉密信息检测,例如网用户信息检测,物理隔离检测,特洛伊木马程序检测,等等。
22 常用网络设备的安全性检测模块,其中包括对防火墙的弱点检测,对路由器的弱点检测,对浏览器安全设置的检测,对代理(PROXY)服务器的检测,对域名服务系统(DNS)的检测,以及对强力攻击(BRUTE-FORCE)手段的模拟检测。
INTERNET安全漏洞检测模块,其中除了对常用服务的检测外,还增加了对IP欺骗(SPOOFING)的模拟检测以及对拒绝服务攻击的模拟检测。按照检测的类别,目前 网络安全检查系统ZYNSS 1.8可以检测的类别有:
1 Windows NT NetBIOS共享检测类;
2 Windows NT 用户帐号检测类;
3 Windows NT 用户组检测类;
4 Windows NT 注册表安全检查类;
5 Windows NT 口令安全类;
6 Windows NT服务检查类;
7 Windows NT 网络属性设置类;
8 Windows NT 共享资源权限设置检查类;
9 Windows NT 系统审计功能检测类;
10 Windows NT 系统关键问题检测类;
11 Windows NT 安全区域设置检查类;
12 Windows NT 系统安全配置检查类;
13 Windows NT 分布式组建对象模型检查类;
14 简单网络管理协议(SNMP)安全检测类;
15 邮件传输(SMTP)服务漏洞检查类;
16 文件传输(FTP)服务漏洞检查类;
17 强力攻击(BRUET-FORCE)类;
18 守护进程(DAEMONS)漏洞检测类;
19 远过程调用(RPC)安全检测类;
20 网络文件系统(NFS)安全检测类;
21 拒绝服务(DINIAL OF SERVICE)攻击扫描类;
22 代理服务(PROXY)系统扫描类;
23 域名服务系统(DNS)安全检测类,
24 WEB服务安全漏洞扫描类;
25 IP欺骗类;
26 防火墙(FIREWALL)类;
27 路由器(ROUTER)安全检测类;
28 浏览器安全区域设置检查类。
全面报告系统中存在的漏洞弱点并提供漏洞补救措施和系统安全策略,网络安全检查系统Zynss 1.8将细致入微地报告系统/网络中存在的弱点漏洞。扫描结果包括目标系统的操作系统类型、受检系统存在的漏洞列表、系统开放端口号/服务类型、系统中存在的用户等受检对象的相关信息。
网络安全检查系统Zynss 1.8还具有完善的扫描报告生成能力。扫描结束后可以由系统自动生成目标系统安全分析评估报告,在其中包括了详尽的漏洞说明、漏洞的风险级别说明,漏洞的补救措施,专家的修改建议以及与漏洞相关的资源联结。
报告的具体格式是:
1)报告系统/网络存在的漏洞和弱点
网络安全检查系统ZYNSS 1.8能够准确详细的报告网络系统当前存在的漏洞和弱点。漏洞和弱点可能是由于网络系统不完善或系统管理员对网络系统配置不当而带来的。 网络安全检查系统ZYNSS 1.8能够全面地报告被扫描系统中存在的能由网络安全检查系统ZYNSS 1.8所识别和支持扫描检查的漏洞和弱点。
2)报告系统/网络相关的信息和服务
网络安全检查系统ZYNSS 1.8能够详细报告网络系统的系统信息,如域名名称、操作系统的名称和版本信息等。 网络安全检查系统还能报告网络系统对外提供的服务信息,有利于安全管理人员及时准确了解自己的系统对外提供的服务,及时关闭对外提供的不必要的服务。
3)建议补救措施和安全策略
网络安全检查系统ZYNSS 1.8不仅能发现系统存在的漏洞和弱点,同时还能相对具体的漏洞和弱点提出有效的整改建议和措施。从而达到保证网络系统安全、最大限度的保护用户安全和利益的目的。
4)生成扫描结果分析报告
网络安全检查系统ZYNSS 1.8在扫描分析目的网络地址后,给用户生成一份完整的报告。报告详细的记录目的网络系统的存在的漏洞和弱点并提供相应的整改建议和措施。
公司从用户出发,可以应要求为用户提供系统的服务,包括系统风险评估,安全策略的制订以及实施,以及定期进行技术服务/支持。
5)扫描的多层次和自动化
网络安全检查系统ZYNSS 1.8能根据用户指定的扫描策略对目标系统/网络的安全性进行扫描。
网络安全检查系统ZYNSS 1.8内置的安全扫描策略对系统的扫描强度和每一个漏洞风险级别实行分级制。扫描强度分为重度扫描,中度扫描,轻度扫描和自定义强度扫描。我们认为这样能满足普通用户用户对不同网络安全检测目标的要求。漏洞和弱点的风险级别分为高风险,中风险和低风险三级,并标志有明显图标,用户一目了然漏洞和弱点的严重性。
用户也可以按计划中的系统安全目标,自定义安全扫描策略对系统和网络进行扫描。具体的扫描策略设定细化到用户可以选择是否扫描每一个漏洞。 网络安全检查系统Zynss 1.8对漏洞进行了详尽的风险等级管理,漏洞风险级别一目了然。
6)性能说明以及操作易用性
网络安全检查系统ZYNSS 1.8对目标系统/网络的检测是完全独立进行的,不需要在目标系统/网络中安装任何软件/代理程序。
网络安全检查系统ZYNSS 1.8采用了多线程和数据库技术、智能扫描技术,检查速度比较快。良好的线程调度机制使得对运行网络安全检查系统主机的资源耗费比较少;由于 网络安全检查系统ZYNSS 1.8采用了TCP/IP的工作方式,而且 网络安全检查系统ZYNSS 1.8在载入后对网络驱动层有良好的控制能力,对端被检测的机器几乎觉察不出来系统正在被进行检测。
网络安全检查系统ZYNSS 1.8运行在Windows NT平台,全中文菜单,具有良好图形界面,并且具有符合IE标准的大工具条,这些对众多Windows用户而言,操作是十分熟悉的。
网络安全检查系统ZYNSS 1.8的系统使用菜单简单明了,即学即用,直观性强,具有较好的可用性。而且 网络安全检查系统ZYNSS 1.8具有完善的在线帮助系统。检测流程简单明了,即使在最复杂的系统安全扫描策略设置时采用的也是鼠标点击方式,对每一项可检测漏洞均有详细说明,一般用户学习、使用和测试十分的方便。
7.2.4.3 ZYNSS技术特点
· 综合了国外著名安全产品的优点和思路,起点高;
· 技术先进,检测范围广,可覆盖INTERNET/INTRANET的所有主流部件;
· 采用开放式体系结构,可动态更新核心检查模板库,易于升级;
· 运行在WINDOWS NT平台,中文界面,配置简洁操作方便;
· 针对保密系统领域的特殊要求,增加了安全隔离检查,涉密信息检查等特定功能模块;
· 该产品由北京网络技术有限公司独立研制开发,具有自主版权;
· 拥有强大的开发升级能力,可随时根据具体用户特点及要求增补或删除相应功能。
7.2.4.4 ZYNSS系统在某涉及电子政务系统中的应用
在某电子政务系统中,由于业务专网和政务专网的涉密级别不同,管理方式不同,因此条件允许的情况下最好分别为业务专网和政务专网各配备一套安全扫描系统并由不同的安全管理员分别定期对所管理的系统进行安全扫描,在发现安全漏洞时及时采取相应的补救措施。在现阶段仅需一套两网共用即可基本满足需求。
7.2.5 网络防病毒系统实施方案
在某电子政务系统中,需要采用网络防病毒产品,建立网络病毒防护体系,即在每个台式机上安装台式机的反病毒软件,在服务器上要安装基于服务器的反病毒软件,在INTERET网关上安装基于INTERNET网关的反病毒软件,从而保证整个网络系统免受病毒的侵害。
在本方案中,拟使用冠群金辰公司的KILL网络防病毒产品。
7.2.5.1 冠群金辰公司的KILL网络防病毒产品
KILL是世界第二大软件公司美国CA(冠群)公司与国内第一家反病毒软件开发公司中国金辰公司合作推出的优秀的反病毒产品,是CA公司世界领先的反病毒技术和金辰公司国内领先反病毒技术的完美融合,是国际化和本地化反病毒解决方案最佳融合的硕果。KILL通过了全球18家权威认证机构产品质量认证,其中国际计算机安全协会(ICSA)认证表明KILL能够检测世界上100%的已知病毒,包括传播广泛的宏病毒,是确保用户信息系统免受病毒侵害的最佳反病毒产品。
KILL网络防病毒解决方案如下:
服务器防护系列
1 KILL for NT/2000 Server
2 KILL for NetWare
3 KILL for Unix
4 KILL for Linux
群件系统防护选件
5 KILL for Notes Server
6 KILL for Exchange Server
客户端防护软件
7 KILL Client Agent
8 提供全面而完善的网络客户端实时病毒检测与防护功能。
支持包括Windows 95/98、Windows NT Workstation Windows2000 Professional、Win3.X、DOS等操作平台的工作站。通过服务器自动安装、设置统一防毒策略,实时防治各类计算机病毒,防止病毒从客户机进入系统。网络自动下载、更新功能,无须人工干预,自动完成病毒代码库的升级工作。
网关级因特网内容检测及病毒防护
10 Internet Protector
11 网络扫描功能
用于网关一级的网络防护,它赋予网络管理员控制内部局域网和广域网访问的能力。它可以在网关机器上扫描进、出Web服务器及内部WWW的内容,对这些文件进行阻止。通过检查URL(资源定位符标准)指定的关键字,阻断那些您认为不合适的HTTP和FTP的URL、E-mail及其附件。网关级因特网内容检测及病毒防护可以抵御各种病毒、Java、Active X、未标记的Web对象及所有不符合组织安全策略的Web对象对整个内部的攻击。
KILL产品功能、特点、描述
功 能 | 描 述 | 益 处 |
系统资源占用率(实时监控器) | <2%,全球最低 | 对用户现有网络系统应用影响小,在大型网络中低档次计算机中应用效果更突出 |
查杀文件类型 | 可选择对所有文件或某些扩展名的文件 | 可根据用户对病毒防护的要求、当前系统资源的运行状态,随时修改、调配 |
查杀压缩文件 | ZIP, LHA, ARJ, CAB, UUE, LZH, PKZIP, MIME, PKLITE, LZEXE、EXE | 在实时和静态扫描中,都有此功能,按压缩文件的扩展名解压、扫描,用户可随时添加新的自定义的压缩格式文件扩展名。 |
病毒处理方式 | 多种:无操作;清除;删除;彻底删除;清除前备份;重命名;重命名并移动。 | 处理方法最多。用户可以按照需要灵活地选择处理方法。 |
扫描方式 | 快速扫描(速度最快) 安全扫描(最全面、准确) 评论扫描(可查病毒垃圾) 启发式扫描(可扫描某些未知病毒或病毒变种) | 扫描方式可根据用户对病毒防护的要求、当前系统资源的运行状态,随时修改、调配 |
定时扫描 | 按照一定的周期(如:每天、每月、每小时等)预定扫描作业,达到预定时间自动启动扫描进程 | 可进一步填补因人为关闭实时监控等原因带来的病毒防护漏洞。用户可以选择非工作时间设定预扫描作业,减轻系统工作压力。 |
病毒源跟踪与隔离 | KILL实时监视器的高级保护模式,“报告用户名”功能定位病毒源;“隔离”功能将企图进行病毒传播的工作站从网络上断开。 | 帮助网络管理员快速定位病毒来源,被隔离的用户在隔离期间,不能访问服务器,彻底防止病毒在网络中传播,保护网络的安全。 |
安装 | 本地安装;远程自动安装: Windows NT的机器安装可以在一台机器上通过远程安装来统一完成。 客户端软件的安装通过用户登录服务器时自动安装完成,无需用户干预。 | 网络管理员可在一台机器上完成整个网络中所有计算机的安装。 |
网络集中管理 | 通过“KILL域”的方式将网络中的所有NT的计算机组织起来共同管理,可以统一配置,统一执行扫描作业,并可以远程控制KILL服务的运行。 | 网络管理员可以在一台机器上管理整个网络中所有NT/Win2000计算机的反病毒工作。 |
跨平台管理 | 可以跨平台管理,KILL网络版(NT/Win98/95)可以管理NetWare平台的KILL反病毒配置。 | 网络管理员可在一台机器上管理两个不同操作系统的反病毒工作。 |
点对点管理 | 直接管理某台服务器上KILL的配置和扫描 | 跨网段、跨路由器直接监控NT/Win2000机器的反病毒工作 |
网络自动升级 | 一点升级,处处升级 网络版的升级可以由一台服务器自动下载最新的升级文件,然后自动分发到其他的NT的计算。 对于客户端,可以通过分发或登录的方式来升级最新的文件,无需用户干预。 | 客户端登录升级适合于域用户模式,而分发适合于工作组模式。 事先在一台计算机上设置分发时间、路径等,整个网络中所有计算机的升级工作可以定时、自动完成,不需要任何人工干预。 |
升级自校验保护(延时分发功能) | 先试验,后运行 在自动升级过程中,下载的升级文件先在本机进行升级试验,若升级成功则进行下一步的分发和自动升级工作。如果发现升级过程有误,则自动重新下载升级文件,再一次进行试验,直到升级成功为止,然后进行下一步的升级过程。 | 在用户应用中,会存在升级病毒特征文件使系统不能正常运行的问题。KILL的升级自校验功能,从用户的安全应用着想,完全避免了潜在的安全隐患。 |
强大的网络自动报警 | KILL网络版产品融合了冠群电脑的全球报警系统,提供了网络广播、电子邮件、网络打印机、寻呼机、NT系统日志等多种报警方式 | 多种报警方式保证系统管理员随时随地得到报警信息,及时了解网络中病毒出现、传播的信息。 |
7.2.5.2 KILL反病毒产品配置指7.2.5.3 南
对于建立在Windows NT(或Windows 2000)、UNIX、Lotus Notes/MS Exchange和Windows95/98等操作系统平台上的网络系统。KILL系列网络反病毒产品可以为网络构筑高效、完整的网络病毒防护体系。KILL系列网络反病毒产品在系统中的配置如图7-5所示。
1. KILL系列网络反病毒产品在系统中的配置示意图
在局域网内,可以设置如下KILL网络防病毒解决方案:
在每台NT服务器上安装KILL for Windows NT Server,实现Windows NT服务器的实时病毒防护,保护主域服务器、文件服务器或数据服务器上数据的安全。
在每台Unix服务器上安装KILL for Unix,实现对Unix服务器的病毒检测与清除,保护文件服务器、数据服务器或各种应用服务器免受病毒的侵入。
在联网的Windows 95/98 客户端上安装KILL网络客户端KILL for Windows 95/98产品,在联网的Windows NT Workstation/Windows 2000 Professional工作站上安装KILL网络客户端KILL for Windows NT Workstation/Windows 2000 Professional,实现客户端的实时病毒防护,保护客户机自身不会被病毒感染,并且不会成为病毒源。
在MS Exchange/Lotus Notes服务器上安装KILL for MS Exchange/Lotus Notes Option,实时检测邮件系统接收/发送的电子邮件,保证电子邮件系统不会成为病毒的入侵通道。
在网关服务器上安装网关级因特网内容检测与病毒防护(Internet Protector),实时检测通过Internet进入到内部网的HTTP(超文本传输协议)、FTP(文件传输协议)、SMTP(简单邮件传输协议)文件,防止各种病毒、恶意的Java、ActiveX、未标记的Web对象等对内部网络的攻击。
KILL网络版服务器端的产品全部为单服务器版,每一台服务器必须安装一套KILL网络版服务器端产品。KILL群件系统与网关防病毒产品(Internet Protector)是KILL for NT Server的选件,不能单独使用,必须配备KILL for NT Server。KILL网络版客户端产品按照用户数量的多少进行安装。
注:如果两台服务器安装了1个KILL网络版服务器端产品,共用同一网络版产品序列号(或CD-KEY),KILL自身会报告产品序列号冲突,其中1台服务器的KILL服务会被终止。
7.2.5.4 KILL产品升级方案
KILL现在每2周升级一次(固定的),在病毒传播高发期时,KILL会跟踪病毒的发展随时升级。例如“爱虫” 病毒广泛传播时,3天(5月4日到7日)升级了7次,为用户提供最新的防毒文件。
主动邮件服务
KILL针对国内网络传输速度慢、质量差的现状,更为用户推出了主动邮件服务系统,用户只需要在KILL主页“升级服务”平台,填写自己的E-mail地址,在用户发送申请的48小时内,KILL会自动将最新的升级文件发送到您的邮箱中。
磁盘升级
对于没有上网条件的用户,KILL提供磁盘升级服务,用户可以在升级站点或代理商处拷贝或采用邮寄的方式获得升级文件。
KILL for NT和KILL for Notes/Exchange在每次升级后不需要重新启动机器,升级扫描引擎也并不需要重新安装软件(每次升级病毒特征文件时,扫描引擎也可能在升级)。如:5月6日,KILL病毒特征文件11.20版,引擎11.13版;5月14日病毒特征文件为12.00版,引擎版本为12.00。
KILL网络防病毒软件升级文件的下载过程不会使用户系统感染病毒。因为KILL的实时监视器可以随时检测出下载文件是否带毒,而且KILL的killcmd.exe文件(KILL的核心检测文件)在每一次运行时有自我校验的功能,所以killcmd.exe文件永远不会感染病毒,在无毒的系统环境下(用干净的系统盘启动),killcmd.exe文件就可以检测并清除所有病毒。
KILL网络防毒系统的自动下载与分发过程示意图7-6所示。
1. KILL网络防毒系统的自动下载与分发过程示意图
对KILL升级文件的下载,用户完全可以不通过内部网的NT服务器,方法如下:
方法一:
由冠群金辰公司的主动邮件服务系统,在每个月的月初和月中将最新的升级文件e-mail到用户的邮箱中。
方法二:
由一台不联网的PC机连接因特网,从KILL站点下载各个操作平台的升级文件。其自动升级流程示意如图7-7所示。
1. KILL自动升级流程示意图
通过以上两种方式下载的各平台升级文件,再由系统管理员手工复制到内联网中用于分发的主服务器,同样可以在内联网中实现自动分发的功能。
7.2.5.5 某电子政务系统网络防病毒体系的建立
为了建立网络防病毒体系,拟在业务专网和政务专网上分别安装相应的网络病毒防范系统,分别建立各自的网络病毒防范体系。
7.2.6 主页防篡改系统实施方案
在某市电子政务系统的业务专网和政务专网中都运行着针对不同用户的WWW信息发布系统,为了保障门户网站的安全,可以考虑采取以下的安全策略:
利用防火墙的访问控制功能来保护信息发布网站的安全
在网络上配置入侵检测系统实时的检测来自网络内部和外部的入侵行为
通过建立全网的CA系统提供对用户的细粒度的访问控制能力,控制不同用户的操作使用权限
加强对系统的日志审计,关注系统的运行状态
定期检查网站系统的安全现状,发现安全隐患及时加以修补,同时加强对系统的运行管理,及时对操作系统进行升级和打补丁配置主页防篡改系统.
对用户的门户网站配置主页防篡改系统是十分必要的,这是因为门户网站是用户对外的窗口,很容易被黑客出于某种经济或政治目的被列为攻击目标,因此需要对其进行一定程度的保护。
针对这一需求拟使用中科网威的“磐石”网站监控和恢复系统。
7.2.6.1 配置结构
“磐石”网站实时监控与自动恢复系统由备份端、监控端、远程控制端、上传控制端四个部分组成,其结构示意如图7-8所示。
1. “磐石”网站实时监控与自动恢复系统
“磐石”网站实时监控与自动恢复系统它们的功能如下:
备份端:保存被保护对象的备份,等待来自监控端的连接,响应监控端的请求(包括备份文件、恢复文件、删除文件、恢复所有文件、删除所有文件)一个备份端能够同时支持多个监控端,能够满足大量的被保护对象的备份请求。
监控端:运行在被保护对象所在的服务器上,对被保护对象进行一致性检查,一旦发现被保护对象被非法破坏(包括内容和属性等),就使用备份端的备份进行自动恢复。具体包括:
设置被保护对象:对被保护对象实施一致性检查,如果发现被保护目录下被非法添加了文件、被保护目录或文件被非法删除、内容被非法篡改,对非法添加的文件进行删除,对非法删除、非法篡改的文件进行恢复;
记录和整理日志:接受用户通过接口(主要是通过菜单命令)发送的命令,如开始、停止监测等。
响应远程控制端的各项控制请求;
响应上传控制端的各项上传控制请求。
远程控制端:对监控端实行远程控制,适用于web服务器被托管,无法经常对其进行控制台操作的情况。具体包括:
与监控端建立连接,准实时地获取并显示监控信息;
远程发送控制命令(如开始、停止监控,初始化数据库,终止上传状态等);
进行远程的日志操作。
远程上传控制端:方便用户的页面维护工作。如果不首先停止监控端的监测活动就进行页面的维护工作(包括添加文件、修改文件和删除文件等),那么监控端会认为所有的维护工作都是对网页文件的非法操作,并将之恢复到维护前的状态;而且一般情况下维护工作都是远程进行的。远程上传控制端作用就是在维护开始前停止监控端的监测动作,并禁止除超级用户外的任何人开始监测;在维护工作结束后,重新进行被保护对象数据库的建设工作。
7.2.6.2 主要功能
实时监测与自动恢复功能,包括以下几个子功能:
1 设置被保护对象的功能;
2 修改被保护对象的功能;
3 对被保护对象进行实时扫描,发现任何对被保护对象的非法操作,包括非法删除、非法修改、非法添加等,立刻报警并进行自动恢复;
4 远程控制功能:
5 远程控制监控端的行为;
6 远程控制监控端的状态;
7 准实时地获取并显示监控信息;
8 远程日志操作;
9 对被保护对象的正常维护的支持功能
10 日志功能
11 形成监控日志;
12 查询监控日志;
13 删除监控日志;
14 监测参数的设置功能。
7.2.6.3 主要特点
“磐石”网站实时监控与自动恢复系统的主要特点如下:
· 控高效而准确,采用优化的数字签名技术进行一致性检查,有效地保证了监控的准确度和效率;
· 端与监控端分离,双机备份安全可靠;
· 占用资源少,运行速度快;
· 一个备份端可同时支持多个监控端,扩大了软件的适用范围并节约了资源;
· 控制与监测分离,适用于主机托管的情况;
· 对被保护对象的正常维护的有力支持;
· 设置灵活方便,通过菜单可以对所有的系统参数进行设置,而且不必中断实时监测,设置接口友好,结果实时见效。接口简洁,采用windows的传统风格,即使是初次使用,功能也一目了然;运行结果和当前状态在不同的区中显示,醒目清晰。
7.2.6.4 某政务系统主页防篡改系统的配置方案
在某电子政务系统中,逆在业务专网的对外部信息发布的WWW网站配置主页防篡改系统,在业务专网和政务专网的重要信息发布网站上现阶段暂不考虑配置主页防篡改系统。
7.2.7 网站内容监管和过滤技术实施方案
随着网络应用的发展,网络的普及在为人们的工作、生活带来极大便利的同时,也带来了新的问题,网络为泄露企业的商业机密、技术资料、传播非法和黄色信息也提供了便利,甚至有人在使用网络过程中无意或故意地泄露国家机密,利用网络从事非法活动,严重危害社会安全。一套技术先进的信息审计系统将很好的监测网上信息的交流,能够做到发现问题及时解决。在某市政务系统中,为了对网络上的信息进行监管和过滤,杜绝不良信息在网上的传播,需要建立信息过滤监管系统,为此拟采用北京天融信网络安全技术有限公司*网络卫士*信息审计系统。
7.2.7.1 系统简介
天融信*网络卫士*信息审计系统是根据跟踪检测、协议还原技术开发的功能强大的信息审计系统,为网上信息的监测和审查提供完备的解决方案。它能以透明方式实时高速的对进出内部网络的电子邮件和传输信息等进行数据备份和还原,并可根据用户需求对通信内容进行审计,提供高速的敏感关键词检索和标记功能,从而为防止内部网络敏感信息的泄漏以及非法信息的传播,它能完整的记录各种信息的起始地址和使用者,为调查取证提供第一手的资料。
该系统的主要技术特点如下:
1)数据透明采集
信息审计系统的采集器在网络的旁路上对网络上的数据流进行采集,不影响用户使用网络,其他用户也感觉不到采集器的存在。支持策略定制,根据用户设置采取各种采集策略进行数据采集。
2)多协议支持
完全支持各种常用的网络协议,对日常使用最多的HTTP、FTP、SMTP和POP3等网络协议,对采集到的WWW浏览信息、电子邮件及传输文件等信息能进行存储、处理和还原。
3)多文件类型支持
对几十种常用格式的压缩文件进行自动解压还原,还能自动提取和处理各种类型的邮件附件,支持对多种文件格式的自动识别和转换。
4)灵活的使用模式
信息审计系统的采集、存储和处理等功能部件可根据需要采取集中式管理;也可以采用分布式结构,数据采集和处理可以在多点进行,也可以有不同部门分别负责,尽可能方便你的使用和管理。
5)多样化的部署方式
可以方便地与各种网络环境集成在一起,无需对现有网络系统进行大的改造,即可便捷地部署该系统。
7.2.7.2 主要功能
1)数据实时采集存储
系统中的存储部件将采集器采集的数据实时的保存下来,当存储部件不能与采集器通讯时,将提供报警提醒功能。存储的数据可以作为取证的第一手资料。
2)出入数据分析
对采集的数据根据所使用的网络协议等类型信息进行处理和还原,并能显示信息的来源和接收者,以及信息原来的面貌,以便审核查看,便于安全管理员来决定最终是否使用了违规信息。
3)敏感关键词自动审查
根据敏感关键词库定义的关键词对处理过的数据进行快速地智能地匹配审查,对中标的信息条以醒目的图标标出以示提醒,这对需要对大量的数据交流的审查显得有为实用和方便。
4)自定义关键词库
针对不同的审查需要,需要各种不同的敏感关键词库,使用人可以通过关键词库维护部件方便地管理自己的关键词库。
5)便捷的查询和报表功能
系统的查询和报表功能为网络使用的管理和分析,提供了重要的依据。
7.2.7.3
典型的配置方案
信息审计系统在某电子政务系统中的配置示意如图7-9所示。
1. 信息审计系统在电子政务系统中的配置示意图
7.2.7.4 网站卫士信息审计系统在电子政务系统中的应用
在某市电子政务系统中为了杜绝不良信息在网上的传播,可以在网络出口处配置“网站卫士”信息审计系统对网络上出入的信息内容进行监管和过滤,根据具体需要分别可以考虑在业务专网和政务专网上需要进行信息监管的网络信息出入口配置信息审计系统,加强某市电子政务系统的信息管理能力。
8 系统总体安全性
某市电子政务系统安全平台和安全支撑平台共同为某电子政务建立安全、可靠的基础和环境。其中,安全平台以密码技术为核心,为电子政务应用系统提供统一的安全、可靠和可信的服务;安全支撑平台以PDR(保护、监测、响应)为模型,为网络环境提供入侵监测、病毒防范、防火墙和信息过滤等安全功能。某电子政务系统安全平台和安全支撑平台安全功能如下图所示。
某市电子政务安全平台,为某电子政务应用系统构建了以密码技术为基础的统一的安全平台,提供了统一的身份认证、授权与访问控制、保密性、完整性、抗抵赖等安全服务和安全机制。
作为安全平台基础的CNSec密钥和证书管理系统,采用基于PKI和PMI的安全体系结构,为上层应用提供通用的、全面的、灵活的、有效的手段进行证书和密钥的管理,为基于公开密钥体制的安全应用系统提供密钥产生、备份和恢复、证书颁发和撤消、目录服务、用户授权管理等基本服务和客户化应用开发接口,保证各种基于公开密钥密码体制的安全机制在系统中的实现,系统的设计充分考虑到政务办公系统与互联网应用的差异,完全适应某电子政务系统安全平台的要求。形成基于PKI体制的、具有政府办公特色的密钥和证书管理系统。
以密钥和证书管理系统的安全服务实现了如下功能:
· 以用户证书作为用户在某电子政务系统中唯一身份标识的统一的身份认证机制;
· 集中的用户授权管理,并通过授权证书为应用统一提供各种访问控制所需要的用户属性信息;
· 某电子政务应用系统实现信息安全存储和交换的统一的机密性、完整性、抗抵赖机制;
· 由于提供了全网用户身份和用户权限的集中管理控制手段,实现了全网统一的安全管理策略;
作为安全平台客户端基本密码设备的密码卡,采用了普密或商密级别的硬件密码设备,是构成安全平台的密码技术基础,满足了某电子政务网络中业务信息系统、政务信息系统的不同级别信息的安全保密需求,为客户端提供广泛的安全服务,支持安全访问控制、Notes安全应用、电子印章、VPN等安全应用。
以密钥和证书管理系统和系列密码卡作为基础,可以在电子政务系统中构建各类安全应用,包括:
· 安全的应用系统
基于数字身份证书、数字属性证书以及相应的密码技术,实现强身份认证、统一的权限管理、访问控制、数据机密性、数据完整性、抗抵赖(数字签名)、单点登录等安全功能。
· 安全访问控制平台
安全访问控制平台以代理技术为核心,为信息集中型应用系统(B/S、C/S应用)提供了用户身份认证、访问控制、信息传输安全、用户访问审计等安全保护措施。
安全访问控制平台以外挂式方式运行,提供了一个对应用透明的并可集中统一管理的安全保密平台,在服务器与客户端之间建立加密通信管道,提供灵活的身份认证和访问控制功能,通过代理方式实现了对应用的透明,同时提供了集中的管理和完善的审计功能。
· Notes安全平台
Notes安全平台综合使用信息加密、数字签名等安全手段,对Notes数据库信息和Notes邮件信息进行安全处理,保证信息的机密性、完整性和抗抵赖。
· 用户安全组件
用户安全组件解决个人信息处理的安全,实现电子邮件的安全保护、计算机终端文件的安全保护、计算机登录、屏幕保护等安全控制功能。
· 电子印章系统
通过电子印章支持模块,保证网络化公文处理的安全性
· 安全VPN系统
安全VPN系统采用基于IPSec的网络加密技术,为某电子政务网络的移动和远程办公用户通过Internet等不安全网络对业务信息网络的访问进行安全保护。
安全支撑平台的建设目标是对网络进行合理的配置和部署必要的网络安全设备和软件,使得网络系统能够在最大程度上抵御外来的入侵,防止病毒的侵害和杜绝不良信息在网上的传播。其安全功能如下:
充分了解网络系统的结构,分析其安全隐患。
通过划分VLAN提供必要的内部安全隔离措施。
通过防火墙防止外部的攻击。
通过入侵检测设备侦测网络的异常行为,及时阻止入侵行为。
通过安全扫描设备发现系统中存在的安全隐患并加以弥补。
通过防病毒系统防止病毒的侵害。
通过主页防篡改系统进一步防止黑客对门户网站的入侵。
通过内容监管和过滤系统,杜绝不良信息在网上的传播,如BBS和邮件。
9 某市电子政务系统网络平台设计
某电子政务系统按内网,外网和涉密网建设。各网之间的隔离主要是逻辑隔离,基础网络建设共包含三个部分:
1. 内网:包括市政府大楼内部办公网和向上联结温州市政府、某省政府,向下联结市府大楼外的直辖业务部门、下辖乡镇政府网络及远程拨号访问用户的广域网络;与外网逻辑隔离。
2. 外网:外网接入Internet,实现政府信息发布、政务公开、移动办公及内部用户上网。
3. 涉密网:安全要求很高的办公专网。
9.1 网络拓扑结构
9.2 内网系统
结合某市政府的各大楼分布,设计采用采用核心层-接入层的结构,在中心配置高性能的核心交换机,在楼层及各办公大楼配置接入交换机,交换机之间能过千兆网级联。双机热备的高可靠系统内部网络根据不同的部门及其应用,采用VLAN进行逻辑隔离。首先在楼层交换机根据部门的不同划分不同的 VLAN,同时所有的VLAN与中心交换机上的VLAN相对应,所有部门间的VLAN不能进行数据交换;核心交换机根据应用的情况,通过路由及访问策略对VLAN进行访问控制,允许各部门访问核心防火墙,通过核心防火墙的控制后再访问资源库中的服务器。资源库中的服务器在同一个VLAN中,它与其它VLAN都是不通的,要访问资源网里的服务器,必须经过防火墙的相应规则控制。在核心防火墙中,有一个端口与外网的交换机联接,提供内部用户访问Internet。Internet上的用户不能访问资源网及内部办公网络。
目前在内网实现政府内部办公管理和部门之间信息共享,提供政务网上用户访问某市公开政务信息,对重要信息的访问,必须经过CA认证。
办公系统平台主要选用文档型数据库和关系型数据库开发,所有应用均由JAVA技术实现,提供了很好的移植性及标准的接口。先进实用的B/S结构,为网上办事,事务公开,移动办公提供了保障。
9.3 外网系统
外网系统是某市政府与外界沟通的窗口,主要建设系统有政府门户网站、邮件系统、多媒体服务系统及相关配套系统。
公众可以通过internet访问政府门户网站及建立邮件系统,VOD服务等,外网防火墙的屏蔽内部所有网络,不能对外网服务器进行直接操作。根据防火墙规则的设定,外网只能访问Web的80端口、Mail服务器的25及110端口、视频点播服务器的80、554及DNS服务器的53端口。
外网防火墙同时也是代理内部上网的服务器。
对于本单位内部的成员需要进行移动办公时,首先他要有管理员发给他的CA证书或硬件加密设备,连接到政府门户网站,通过WEB服务器的接口程序从内网的CA服务器取得认证和授权,才能进行远程办公,访问资源网数据及相关信息。
9.4 下联单位
市政府大楼以外用户则使用本地路由器或拔号访问资源网中的服务器,经过防火墙控制后接入系统。
9.5 主机系统和网络选型
方案设计主要是根据高可靠性,高性能,及高扩展性及高性价比的原则。选择主流厂商的主机系统和网络产品(交换机、路由器等),政府资源网中心的稳定性决定了整个网络数据的安全与稳定,对于主机和网络产品的选择要求是十分关键的。这里我们推荐HP的服务器和CISCO的网络设备。这两个厂商的产品已经被大家所公认和熟悉,我们在该方案中不作赘述。
9.6 系统备9.7 份
系统备份是整个系统安全可靠运行的重要保证,是安全系统方案中的一个重要策略。本方案中重点介绍操作系统备份和数据备份两方面考虑,以保证系统有一个完善的备份系统,而线路备份在该方案中不作赘述。
对于操作系统的安全,在采用安全增强操作系统的同时,还要采用防火墙、安全予警系统及访问控制来保证操作系统的正常运行。
在此基础上,还应考虑容错备份,有热备份和冷备份两种方式。备份具有相同配置、支持相同用户、具有相同功能,与主系统共用数据库系统的操作系统,热备份采用磁带库和磁带机方式。冷备份在主操作系统发生故障时,及时启动备份操作系统,以保障整个系统正常工作。
9.8 系统管理
今天,无论是跨国公司的电子商务、信息系统,还是我们的电子政务工程,维护形形色色的IT基础架构,就是为了向内部或外部用户提供关键业务或应用服务。越来越多的IT用户希望拥有一套适宜的工具来管理IT基础架构。MAX基础架构管理套装工具MAX,以其分布式体系结构及其综合的管理功能可以满足您全部基础架构管理的需求,包括网络、服务器、数据库、应用及网站的响应时间。
MAX做为完全集成化的系统管理工具,能够轻松地安装实施。你可以在一天之内开始对IT基础架构进行监控。具有以下特点:
5 自主知识产权--------友好的中文管理界面,能监测网络整体范围内的IT资源,服务器,系统和应用。
6 方便的远程管理--------利用自动采集的数据信息对故障和潜在问题进行远程分析和高效的管理。
7 管理的前瞻性--------通过可调阀值完成对线路状况的前瞻管理,例如:调整信噪比的阀值,可提前控制对链路的干扰和影响。
8 快速的故障定位--------由于对网络设备进行轮询和Trap双重监测,迅速分析设备状态,做出准确、快速的故障定位,而大幅缩短故障的平均恢复时间。
9 较低的运作成本-------采用低成本的Internet链路进行数据信息的收集和传递,并通过主动的前瞻管理,减低对现场监测的需求。
10 平台的可扩展性------MAX管理套件采用分布式结构,易于增加新的用户。
11 设计的高灵活性-------模块式设计,方便增加管理新的设备类型和功能;同时根据自身需求定义事件告警级别、信息采集和复制的频密度等。
12 服务模式的主动性-------利用前瞻管理,避免潜在问题升级成为故障,减低对用户网络运行的影响。
10 质量保障体系
电子政务工程是一项复杂的系统工程,工程实施单位在保证进度的同时应充分保证项目质量,为此制定应用示范工程质量保障体系,从工程质量管理体系、工程标准与规范、工程设备选型以及工程开发厂商资格认定等方面来进行规范管理,以按时保质地完成应用示范工程。
10.1 质量管理体系
质量管理体系是保证应用示范工程质量的一个重要举措,它定义了一系列质量管理的程序及文档,可以用来指导工程的建设。
10.1.1 总体要求
工程实施单位应按相关标准的要求建立质量管理体系,形成文件,加以实施和保持,并持续改进其有效性。工程实施单位应:
识别质量管理体系所需的过程及其在工程实施单位中的应用;
确定这些过程的顺序和相互作用;
确定为确保这些过程的有效运行和控制所需的准则和方法;
确保可以获得必要的资源和信息,以支持这些过程的运行和对这些过程的监视;
监视、测量和分析这些过程;
采取必要的措施,以实现对这些过程策划的结果和对这些过程的持续改进。
上述质量管理体系所需的过程包括与管理活动、资源提供、产品开发实现和测试有关的过程。
10.1.2 文件要求
10.1.2.1 总则
质量管理体系文件应包括:
形成文件的质量方针和质量目标;
质量手册;
相关标准所要求的形成文件的程序;
工程实施单位为确保其过程的有效策划、运行和控制所需的文件;
相关标准所要求的质量记录。
当然不同工程实施单位的质量管理体系文件的多少与详略程度也有所不同,这取决于:
工程实施单位的规模和活动的类型;
过程及其相互作用的复杂程度;
人员的能力。
10.1.2.2 质量手册
工程实施单位应编制和保持质量手册,质量手册包括:
质量管理体系的范围,包括任何删减的细节与合理性;
为质量管理体系编制的形成文件的程序或对其引用;
质量管理体系过程的相互作用的表述。
10.1.2.3 文件控制
质量管理体系所要求的文件应予以控制。记录是一种特殊类型的文件,应依据相关标准的要求进行控制。应该编制形成文件的程序,以规定以下方面所需的控制:
文件发布前得到批准,以确保文件是充分与适当的;
必要时对文件进行评审与更新,并再次批准;
确保文件的更改和现行修订状态得到识别;
确保在使用处可获得适用文件的有关版本;
确保文件保持清晰、易于识别;
确保外来文件得到识别,并控制其分发;
防止作废文件的非预期使用,若因任何原因而保留作废文件时,对这些文件进行适当的标识。
10.1.2.4 记录控制
应制定并保持记录,以提供符合要求和质量管理体系有效运行的证据。记录应保持清晰、易于识别和检索。应编制形成文件的程序,以规定记录的标识、贮存、保护、检索、保存期限和处置所需的控制。
10.1.3 相关控制程序
相关质量控制程序包括系统集成控制程序、软件开发控制程序、质量记录控制程序、项目文档控制程序、软件测试方法控制程序、管理评审控制程序等。下面举例介绍系统集成控制程序、软件开发控制程序和质量记录控制程序。
10.1.3.1 系统集成控制程序
1 目的
本程序规定了系统集成的安装、调试、控制流程和用户有关人员在系统集成方面的培训流程,确保工程实施单位的系统集成项目满足合同要求。
2 适用范围
适用于与系统集成有关的整个活动过程。
3 职责
系统集成安装、调试工作,用户在系统集成方面的培训工作由工程实施单位负责。
4 程序
包括施工计划、设备签收、设备检验、设备交付、设备安装和调试、系统试运行、交付、系统集成培训等。
5 质量记录
包括《系统集成安装调试施工计划》、《设备清单》、《设备初验报告》、《工程阶段完成情况表》、《系统试运行报告》、《工程任务签收单》、《工程完成情况表》等。
10.1.3.2 软件开发控制程序
6 目的和适用范围
对软件设计和开发过程进行策划和控制,使设计输出不断满足顾客和有关标准、法令、法规的要求,设计输入在规定的条件下易于验证。
本程序适用于工程实施单位应用软件设计、技术改进、软件升级和换代。
7 职责
开发部门归口管理,负责识别顾客需求,软件设计/开发;开发部门主管主持设计评审。
总工程师批准立项,确定项目组主管,批准软件开发计划,决策资源配置。
项目主管负责提出资源要求,编制软件开发计划,组织实施设计活动。
品管部门负责软件测试和软件开发配置管理,组织设计确认。
工程部门负责软件产品现场安装至项目验收阶段的软件修改和完善,负责项目验收。
技术支持部门负责软件产品交付后的软件修改和完善。
8 工作程序
1)设计和开发策划
Ø 需求分析
A) 开发部门系统分析员依据《项目建议书》或《客户需求说明》以及合同、技术协议等相关背景资料,开展功能调研和数据调研;必要时,开发部门应与客户交流,对系统功能和数据需求作进一步调研分析。
B) 开发部门系统分析员将得到客户充分理解的分析结果,编制成《软件需求分析说明书》和《总体设计说明书》,并按《设计评审程序》对其进行评审。合同规定或客户要求时,《软件需求分析说明书》和《总体设计说明书》应提交客户签字确认,可作为合同附件,编制时,应参照《软件需求说明书编写指南》及《软件总体设计说明书编写指南》执行。
Ø 确定项目主管
总工程师根据工程需要,确定项目主管。开发部门项目主管应具备相关专业知识,大学本科以上学历证明,三年以上相关工作经验人员担任;特殊情况由总工程师批准。
Ø 编制软件开发计划
软件开发活动的策划,应明确项目输入和输出要求,确定需求分析、设计/开发、编码、集成、测试、安装和验收等各项活动。
项目主管根据《软件需求分析说明书》和《总体设计说明书》,以及合同或技术协议要求,考虑工程量及进度要求,编制《软件开发计划书》。编制时,参照《软件开发计划编写指南》执行。
《软件开发计划书》应按《项目文档控制程序》要求审批、发放、使用。
软件开发计划采用《项目任务计划书》形式,由项目主管分解下发项目组成员。
Ø 项目任务计划包括:
A) 项目组成员名B) 单及分工要求;
C) 依据的标D) 准、协议、法律、法规名E) 称及编号;
F) 设计评审、设计验证、设计确认阶段划分及要求;
G) 配备H) 的资源(如开发工具、环境、资金、设备I) 等);
J) 设计输出应提交的全套项目文档要求;
K) 安全、保密或防病毒的控制要求。
2) 组织和技术接口
Ø 在设计/开发策划和输入阶段
开发部门主管按《设计评审程序》对《软件需求分析说明书》、《软件开发计划书》、《项目任务计划书》进行评审时,可对其中不完善、含糊或矛盾的要求作业澄清和解决。
Ø 在设计输出阶段
项目主管根据设计进度,适时召开设计例会,组织解决设计中遇到的困难,协调相关资源,以会议记录本形式作好相关记录。
设计人员、项目组之间、部门之间设计信息联络以工程实施单位内部计算机网络形式传递信息。
3) 设计和开发输入
在《软件需求分析说明书》、《总体设计说明书》、《软件开发计划书》、《项目任务计划书》一起作为设计输入要求。
设计输入文件应按《项目文档控制程序》审批、发放。
项目组成文件在接受《项目任务计划书》前,应根据自身情况与项目主管交流,对所接受任务签字确认并签收。
4) 设计过程
Ø 详细设计
项目设计者根据已确定的系统需求分析、总体设计说明、业务流程、数据流图及数据字典,导出子系统(模块单元)的详细数据流图,细化至可以方便进行编码,从而形成《详细设计说明书》,编写时参照《详细设计说明书编写指南》执行。
《详细设计说明书》应符合设计输入的要求,并由开发部门主管组织设计评审。
设计人员根据各模块功能分配,编制初步的《用户使用手册》。
设计人员应编制《源代码说明》作为设计输出文件。
品管部应编制《测试方案》作为设计输出文件。
Ø 编码及单元测试
设计人员按所分配的子系统(模块单元),按《产品开发规范》对其进行编码,程序编码应符合编码规则,应有完整注释,确保阅读人员通过注释了解程序的编制人员、编制时间、源码功能、程序流程、源码内所引用的外部变量、函数等。
编码应满足《软件开发配置管理程序》的有关规定;编码应按品管部编制的《软件开发配置管理计划》执行。
编码任务完成后,设计者应按《软件需求分析说明书》和《软件测试作业指导书》进行自测或小组之间交叉检测,检测应形成《测试用例说明》作为单元测试记录。
项目主管将各模块编码进行汇总,形成《模块开发卷宗》。
《模块开发卷宗》内容包括:
2 卷宗标题目录;
3 模块名称;
4 程序编制人;
5 卷宗版本号、序号;
6 修订日期;
7 模块开发情况,功能说明,测试说明和评审结论。
5) 设计和开发输出
Ø 设计人员根据《项目任务计划书》进行设计活动,Ø 并将设计输入要求转化为产品或阶段性产品输出。
Ø 设计和开发输出应符合设计输入的要求,Ø 应符合《项目文档控制程序》的规定。
设计和开发输出文件有:
详细设计说明书;
数据库设计说明;
源代码说明;
用户使用手册;
测试方案或验收准则;
模块开发卷宗;
启动方案;
其他计划;
项目开发总结。
6) 设计和开发评审
Ø 在设计的适当阶段,Ø 项目主管应提出设计评审申请,Ø 由研发中心主任或总工程师主持设计评审。
Ø 设计评审按《设计评审程序》执行。
7) 设计和开发验证
Ø 按软件开发计划或项目任务计划所规定的阶段进行设计验证,Ø 以证明阶段性设计输出符合设计输入的要求,Ø 验证应在规定的环境、条件下进行。
Ø 设计和开发验证方法有:
A) 原型和仿真演示;
B) 用户使用手册操作验证;
C) 测试方案或验收准则验证;
D) 审查源代码编码规则;
E) 设计输出文件评审。
Ø 验证分为:
A 模块单元验证;
B 模拟系统集成验证或模拟系统运行;
C 现场模拟系统试运行;
D 项目验收测试。
Ø 模块单元测试验证应在编码完成后,Ø 由项目组自测或交叉检测。
Ø 软件产品(应用软件)测试验证时,Ø 应在工程实施单位的模拟系统集成环境下进行,Ø 由品管部依据《软件需求分析说明书》和《软件测试作业指Ø 导书》进行测试,Ø 测试结果应形成《测试用例说明》。
Ø 软件产品(应用软件)现场验证时,Ø 由工程部按照《工程实施、项目验收和交付程序》实施,Ø 验证结束应形成《系统试运行报告》或其它书面测试报告,Ø 以作为设计输出文件之一。
Ø 当组织技术鉴定会时,Ø 项目验收测试由国家技术监督局认可的检测机构检测,Ø 并按国家标Ø 准或合同Ø 要求进行;验证测试应形成书面测试报告,Ø 作为设计输出文件之一。
8) 设计和开发确认
Ø 设计确认是针对设计输出文件和阶段性软件产品或最终产品,Ø 以成功的设计验证后,Ø 客户使用条件下进行,Ø 以确保产品符合顾客需求。
Ø 设计确认:1)品管部在通用应用软件开发结束后组织设计确认;2)采用现场项目验收或技术鉴定形式进行。按《工程实施、项目验收和交付程序》执行。
Ø 设计确认应提交的项目文档:
A) 全套设计输出文件;
B) 全套软件产品(媒体可以是:光盘、磁盘、硬盘);
C) 全套施工文件和资料(项目验收时)。
Ø 设计确认应形成书面《项目验收报告》或技术鉴定证书。
9) 设计和开发更改的控制
Ø 可按下列几种情况对阶段性产品和最终产品进行设计更改(修改):
B 设计验证不合格;
C 设计评审不合格;
D 品管部测试不合格;
E 软件产品(应用软件)现场安装至项目验收期间(即系统试运行阶段),用户对原设计提出新的需求或功能性更改要求;
F 项目验收交付后至保修期内,用户对原设计提出新的需求和功能性更改要求;
G 原设计在运行过程中,出现明显设计错误或不适应;
H 出于安全性、保密性、可靠性的考虑。
Ø 软件更改(修改)权限:
I 设计阶段,由项目组负责修改;
J 软件产品现场安装至项目验收阶段,由工程部负责修改;
K 项目交付后至保修期内(售后),由技术支持部负责修改。
Ø 设计和开发的更改,Ø 应按《项目文档控制程序》要求填写更改记录;更改导致软件版本标Ø 识的改变,Ø 应按《软件开发配置管理程序》进行变更控制。
Ø 软件修改适当时,Ø 应策划新的《软件需求分析说明书》,Ø 进行评审重新验证和确认。
10.1.3.3 质量记录控制程序
包括《项目建议书》、《客户需求说明》、《软件需求分析说明书》、《软件开发计划书》、《项目任务计划书》、《会议记录》、《总体设计说明书》、《详细设计说明书》、《模块开发卷宗》、《测试用例说明》、《系统试运行报告》、《项目验收报告》、《开发计划评审报告》、《设计验证报告》等
1 目的
对质量管理体系所要求的记录予以控制。
2 适用范围
适用于为证明软件符合要求和质量管理体系有效运行的记录。
3 职责
总经办负责监督、管理各部门的质量记录。
各部门资料员负责收集、整理、保管本部门的质量记录。
各部门负责人负责批准本部门编制的质量记录格式。
质量记录的发放由总经办和品管部负责控制。
10.2 标10.3 准和规范
电子政务工程的建设需要统一标准统一规范,如XML数据共享交换规范、数字签名标准、数字加密标准等,这也是建设电子政务系统的基本要求,是网络互联互通、信息共享交换,从而使电子政务系统发挥更大作用的前提。严格遵循有关信息系统安全管理的规定及建设规范。
11 服12 务体系
12.1 应用系统
12.1.1 技术支持
公司的所有软件产品提供完善的售前和售后服务保障体系,由专门的售前工程师、客服工程师为用户提供全面的技术咨询、维护、故障响应和产品升级等服务。
技术支持内容包括:系统集成、应用开发和其他与系统相关的内容。
方式:电话咨询;现场服务。
12.1.2 质保
自软件产品交付之日起,一年内免费修改程序中存在的错误。定制产品在试用期内,对一般性的需求变更免费响应。
试用期后,对用户提出的需求变更进行有偿的服务。
12.1.3 培训
提供全部应用系统使用的用户培训。
提供应用系统配置、日常维护和系统管理的管理员配置。
协助安排厂商培训。
12.2 公众服12.3 务门户网站
门户网站开通后,组建专门的网站运行项目组负责网站运行维护的培训和交接。具体工作包括:
12.3.1 内容维护服12.3.2 务
· 网站原有内容向新建成的后台数据库转换录入;
· 内容更新所需的新数据加工录入、新增网页制作;
· 随某电子政务系统的建设进程及向门户网站提供的数据种类和数量的增加,适时调整网页内容结构、增添新栏目或专题等。
12.3.3 运行维护服12.3.4 务
· 网站日志统计分析,全面统计分析网站受访问情况,包括每日点击率、页面浏览量、用户来源及各栏目内容受欢迎程度等,形成周或月日志统计分析报告,为网站今后的信息发布取向提供参考依据;
12.3.5 后续服12.3.6 务
维护期结束后,将继续为网站运行提供服务支持支持,后续工作将视届时具体的业务内容和工作量协商确定合理的经费。具体工作包括:
· 页面改版;
· 增添新功能和内容版块的开发制作等。
12.3.7 承诺
组织专门技术队伍从事本项目的服务及支持工作,提供全天候(24*7)的热线技术支持服务。
对远程可解决的问题无论何地都将在4小时内及时响应,对远程无法解决的问题确保在48小时之内赶到现场,以实地解决问题。
所有设备保修期为12个月,自双方代表在工程验收签字之日起计算。费用计入总价。
投标方承诺一年保修期满后,继续向甲方提供设备维修、技术支持、备品备件、升级等服务。
12.4 数据库服12.5 务
终身免费版本升级服务。
5年内免费提供数据移植服务。
5年内免费提供技术培训、技术支持和跟踪服务。
提供完整的数据库安装手册、用户手册、程序员手册、参考手册及其相关的技术文档。
对应用开发的支持。
13 费用预算