xxx電子政務(wù)網(wǎng)絡(luò)工程數(shù)據(jù)系統(tǒng)建設(shè)項(xiàng)目技術(shù)方案

/xxx電子政務(wù)網(wǎng)絡(luò)工程數(shù)據(jù)系統(tǒng)建設(shè)工程第一局部技術(shù)方案建議書深圳xxx科技有限公司TIME\@"EEEE年O月"二〇二一年十一月目錄TOC\o"1-4"\h\z\u第1章工程概述 11.1工程簡(jiǎn)介 11.2建設(shè)目標(biāo) 21.3建設(shè)原則 31.3.1實(shí)用性 31.3.2擴(kuò)展性 41.3.3模塊化設(shè)計(jì) 41.3.4先進(jìn)性 41.3.5穩(wěn)定性 41.3.6平安性 51.3.7易用性 51.3.8經(jīng)濟(jì)性 5第2章網(wǎng)絡(luò)系統(tǒng)建設(shè)方案 72.1網(wǎng)絡(luò)系統(tǒng)概述 72.2網(wǎng)絡(luò)傳輸鏈路 82.2.1傳輸鏈路要求 82.2.2傳輸鏈路設(shè)計(jì) 82.3網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì) 82.4主要設(shè)備選型 102.4.1網(wǎng)絡(luò)設(shè)備選型 10核心路由器選型 11交換路由器選型 11核心交換機(jī)選型 12接入層交換機(jī)選型 122.4.2網(wǎng)絡(luò)管理系統(tǒng)設(shè)備選型 12第3章效勞器系統(tǒng)建設(shè)方案 133.1效勞器系統(tǒng)概述 133.2效勞器系統(tǒng)設(shè)計(jì) 133.2.1應(yīng)用效勞器系統(tǒng)設(shè)計(jì) 133.2.2數(shù)據(jù)庫(kù)效勞器系統(tǒng)設(shè)計(jì) 14系統(tǒng)性能設(shè)計(jì) 14平安性設(shè)計(jì) 15穩(wěn)定性設(shè)計(jì) 153.2.3存儲(chǔ)效勞器系統(tǒng)設(shè)計(jì) 153.2.4個(gè)人工作站設(shè)計(jì) 153.3效勞器設(shè)備選型 15第4章數(shù)據(jù)網(wǎng)絡(luò)平安設(shè)計(jì) 174.1系統(tǒng)網(wǎng)絡(luò)平安需求分析 174.2網(wǎng)絡(luò)平安設(shè)計(jì)原則 184.3數(shù)據(jù)網(wǎng)絡(luò)平安總體設(shè)計(jì) 194.3.1網(wǎng)絡(luò)系統(tǒng)平安性設(shè)計(jì) 194.3.2網(wǎng)絡(luò)效勞平安性設(shè)計(jì) 194.3.3數(shù)據(jù)災(zāi)備系統(tǒng)設(shè)計(jì) 204.4網(wǎng)絡(luò)設(shè)備平安實(shí)現(xiàn) 244.4.1網(wǎng)絡(luò)設(shè)備分級(jí)登錄驗(yàn)證 244.4.2限制登錄會(huì)話數(shù) 25設(shè)備并發(fā)登錄數(shù)限制 26設(shè)備登錄地點(diǎn)限制 26單用戶并發(fā)登錄數(shù)限制 274.4.3口令保護(hù) 274.4.4防資源掠奪式攻擊 28攻擊特點(diǎn)和原理 28解決方法 304.5路由信息平安 314.5.1路由協(xié)議的驗(yàn)證機(jī)制 324.5.2禁止源路由方式 324.6網(wǎng)管系統(tǒng)平安實(shí)現(xiàn) 324.7網(wǎng)絡(luò)效勞的平安性 334.7.1防火墻部署設(shè)計(jì) 334.7.2入侵檢測(cè)防御系統(tǒng)選型 364.7.3防病毒系統(tǒng)選型 364.7.4訪問(wèn)控制ACL 364.7.5入侵檢測(cè)技術(shù) 374.7.6漏洞掃描技術(shù) 394.8系統(tǒng)平安的非技術(shù)因素 404.8.1物理環(huán)境因素 404.8.2平安的管理因素 41平安管理原則 41第5章機(jī)房環(huán)境要求 445.1數(shù)據(jù)網(wǎng)絡(luò)機(jī)房環(huán)境 445.1.1場(chǎng)地選擇 445.1.2環(huán)境要求 455.1.3接地系統(tǒng) 455.1.4電源系統(tǒng) 465.1.5空調(diào)系統(tǒng) 475.2重點(diǎn)事項(xiàng) 48系統(tǒng)概述電子政務(wù)系統(tǒng)介紹電子政務(wù)簡(jiǎn)介全球性的網(wǎng)絡(luò)化、信息化進(jìn)程正改變著人們的生活方式，Internet技術(shù)應(yīng)用以及電子商務(wù)的飛速增長(zhǎng)給人們生活工作的各個(gè)層面帶來(lái)了深刻的影響。在這場(chǎng)信息革命的大潮中，各級(jí)機(jī)構(gòu)在社會(huì)經(jīng)濟(jì)文化生活中不僅需要扮演管理者和協(xié)調(diào)員的重要角色，而且為企業(yè)和社會(huì)效勞的職能也日益明顯和重要起來(lái)。一方面，各級(jí)機(jī)構(gòu)擁有大量珍貴的信息資源，如各類國(guó)家或地方政策法規(guī)信息、各行業(yè)規(guī)章標(biāo)準(zhǔn)、各類招商引資信息、重大工程招標(biāo)信息等；另一方面，個(gè)人、企業(yè)和社會(huì)對(duì)獲取有關(guān)政策法規(guī)、各類統(tǒng)計(jì)信息、社會(huì)保障信息等的快捷和透明程度的要求日益提高，對(duì)機(jī)構(gòu)的辦事效率、效勞水平等提出越來(lái)越高的要求，對(duì)機(jī)構(gòu)職能的監(jiān)督也需日益強(qiáng)化。國(guó)家信息化領(lǐng)導(dǎo)小組決定，把電子政務(wù)建設(shè)作為今后一個(gè)時(shí)期我國(guó)信息化工作的重點(diǎn)，先行，帶動(dòng)國(guó)民經(jīng)濟(jì)和社會(huì)開展信息化。對(duì)于應(yīng)對(duì)參加世界貿(mào)易組織后的挑戰(zhàn)，加快職能轉(zhuǎn)變，提高行政監(jiān)管、效率和效勞能力，建立高效、勤政、廉政、務(wù)實(shí)的具有十分重要的意義。電子政務(wù)應(yīng)用電子政務(wù)系統(tǒng)主要應(yīng)用有以下四種場(chǎng)景：和公務(wù)員(G2E)：利用內(nèi)網(wǎng)建立有效的行政辦公體系，為提高工作效率效勞。內(nèi)容包括：電子公文、電子郵件、日常事務(wù)等。和企業(yè)(G2B)：利用互聯(lián)網(wǎng)等網(wǎng)絡(luò)手段為各種經(jīng)濟(jì)活動(dòng)提供信息化支持和指導(dǎo)。部門與部門(G2G)：部門間的信息交換有助于不同部門間的協(xié)同辦公，可以解決“信息孤島〞的問(wèn)題。和公眾(G2P)：利用公共網(wǎng)絡(luò)為公眾提供方便、快捷的效勞。工程概述我省電子政務(wù)網(wǎng)絡(luò)平臺(tái)建設(shè)主要有兩局部組成。一是建成省、市、縣三級(jí)政務(wù)外網(wǎng)，為全省各級(jí)（以及人大、政協(xié)）各部門和省市、市縣（區(qū)）之間非涉密信息交換和業(yè)務(wù)互動(dòng)提供支持，為效勞和監(jiān)管業(yè)務(wù)提供網(wǎng)絡(luò)和技術(shù)支撐。辦公業(yè)務(wù)資源網(wǎng)按國(guó)務(wù)院辦公廳要求進(jìn)行建設(shè)，為辦公業(yè)務(wù)的信息交換提供支持；二是建成省、市、縣三級(jí)政務(wù)內(nèi)網(wǎng)，為全省各級(jí)（以及人大、政協(xié)）各部門和省市、市縣（區(qū)）之間涉密信息交換提供支持，如以下圖所示。xxx電子政務(wù)網(wǎng)絡(luò)示意圖XXX電子政務(wù)網(wǎng)絡(luò)工程是建設(shè)一個(gè)覆蓋全省/市/縣xxx多個(gè)節(jié)點(diǎn)的大/中/小型廣域網(wǎng)絡(luò)。網(wǎng)絡(luò)主要承載XXX電子政務(wù)辦公數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)。為電子政務(wù)多種業(yè)務(wù)的開展提供高速的基礎(chǔ)網(wǎng)絡(luò)平臺(tái)。建設(shè)目標(biāo)電子政務(wù)是一種全新的管理方式。它的實(shí)質(zhì)是機(jī)構(gòu)在其管理和效勞職能中運(yùn)用現(xiàn)代信息技術(shù)，實(shí)現(xiàn)組織結(jié)構(gòu)和工作流程的重組優(yōu)化，超越時(shí)間、空間和部門分割的制約，形成一個(gè)精簡(jiǎn)、高效的運(yùn)作模式。電子政務(wù)建設(shè)的最終目標(biāo)，是為了提高辦公業(yè)務(wù)的效率和響應(yīng)速度，充分發(fā)揮信息資源的優(yōu)勢(shì)，增加工作的透明度，促進(jìn)與社會(huì)群眾間的聯(lián)絡(luò)。國(guó)務(wù)院在去年也發(fā)布了十七號(hào)文件，將電子政務(wù)建設(shè)納入一個(gè)全新的整體規(guī)劃、整體開展階段；并且黨的十六大也針對(duì)電子政務(wù)提出了明確的目標(biāo)。本工程的最終建設(shè)目標(biāo)是：建成涉秘與非涉秘分開的平安電子政務(wù)網(wǎng)絡(luò)平臺(tái)，連接省、市、縣（區(qū)）三級(jí)的黨委、人大、、政協(xié)、檢察、法院職能部門系統(tǒng)，以及因工作需要接入的企事業(yè)單位。由于電子政務(wù)網(wǎng)絡(luò)建設(shè)是一長(zhǎng)期而復(fù)雜的任務(wù)，所以分期進(jìn)行。本工程的一期建設(shè)目標(biāo)是：建成省電子政務(wù)網(wǎng)絡(luò)內(nèi)、外網(wǎng)平臺(tái)，支持?jǐn)?shù)據(jù)、語(yǔ)音和視頻業(yè)務(wù)，傳輸性能滿足業(yè)務(wù)需求，具備密碼管理、信任體系、網(wǎng)絡(luò)管理、容災(zāi)備份、信息管理和信息交換等各項(xiàng)功能，實(shí)現(xiàn)跨部門、跨地區(qū)的業(yè)務(wù)互聯(lián)。(是否分期以實(shí)際工程需求為主)根據(jù)此次數(shù)據(jù)系統(tǒng)網(wǎng)絡(luò)連接工程所要實(shí)現(xiàn)的目標(biāo)，確定各節(jié)點(diǎn)間租用線路的種類、帶寬、費(fèi)用；確定各節(jié)點(diǎn)的網(wǎng)絡(luò)設(shè)備和相應(yīng)投資。選用先進(jìn)的傳輸技術(shù)、設(shè)備組建一個(gè)覆蓋全省/市/縣行政單位的高可靠性、高平安性的電子政務(wù)網(wǎng)絡(luò)平臺(tái)。網(wǎng)絡(luò)平臺(tái)建設(shè)要同時(shí)考慮設(shè)備的充分利舊和系統(tǒng)的平穩(wěn)過(guò)渡。一方面，已有的主機(jī)系統(tǒng)設(shè)備、網(wǎng)絡(luò)系統(tǒng)設(shè)備等能滿足電子政務(wù)要求的可通過(guò)必要的數(shù)據(jù)遷移后投入使用。另一方面，針對(duì)各單位網(wǎng)絡(luò)建設(shè)的現(xiàn)狀和開展需要，采用不同的過(guò)渡和接入方式，以到達(dá)系統(tǒng)的平穩(wěn)過(guò)渡而不影響原有的工作和業(yè)務(wù)。建設(shè)原則本設(shè)計(jì)技術(shù)方案將從實(shí)際出發(fā)，建設(shè)一個(gè)高效實(shí)用的網(wǎng)絡(luò)系統(tǒng)。網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)必須既適應(yīng)當(dāng)前電子政務(wù)實(shí)際應(yīng)用考慮，又面向未來(lái)信息化開展需求。我們將遵照以下原則對(duì)本工程進(jìn)行設(shè)計(jì)。實(shí)用性實(shí)用性主要表達(dá)在以下幾個(gè)方面：系統(tǒng)的性能指標(biāo)應(yīng)能夠滿足網(wǎng)絡(luò)內(nèi)各項(xiàng)業(yè)務(wù)對(duì)處理能力的要求，整個(gè)系統(tǒng)的性能應(yīng)當(dāng)是可靠的，便于管理的。所采用的設(shè)備應(yīng)當(dāng)是易于配置維護(hù)。對(duì)于本系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，最理想的組網(wǎng)形式應(yīng)是一個(gè)層次化的，能支持多種不同的應(yīng)用，并且能夠面對(duì)未來(lái)網(wǎng)絡(luò)的膨脹和業(yè)務(wù)的不可預(yù)測(cè)性有很好的適應(yīng)能力。盡量減少網(wǎng)絡(luò)的連接復(fù)雜度，提高網(wǎng)絡(luò)的利用率，增加網(wǎng)絡(luò)的冗余度以確保網(wǎng)絡(luò)的高可靠性，通過(guò)簡(jiǎn)單的網(wǎng)絡(luò)管理，減少專業(yè)人員培訓(xùn)的難度，以及網(wǎng)絡(luò)管理的壓力。擴(kuò)展性擴(kuò)展性原則是一個(gè)系統(tǒng)賴以生存和開展的基礎(chǔ)，只有可擴(kuò)展的系統(tǒng)，才能充分發(fā)揮計(jì)算機(jī)系統(tǒng)的能力，表達(dá)良好的延續(xù)性和實(shí)用能力，保護(hù)用戶投資及系統(tǒng)的長(zhǎng)遠(yuǎn)開展。如果擴(kuò)展性原則不能貫徹，則系統(tǒng)的維護(hù)升級(jí)陷入被動(dòng)，出現(xiàn)盲目建設(shè)、重復(fù)投資等問(wèn)題。模塊化設(shè)計(jì)本設(shè)計(jì)中將堅(jiān)持系統(tǒng)結(jié)構(gòu)模塊化的設(shè)計(jì)原則，即軟硬件平臺(tái)可以積木式拼裝，可以通過(guò)添加組件或相關(guān)板卡滿足新的需求。選用的設(shè)備應(yīng)考慮選擇業(yè)界性能優(yōu)良、可擴(kuò)充性好、廠商能夠承諾對(duì)未來(lái)的新技術(shù)進(jìn)行支持的設(shè)備。先進(jìn)性設(shè)計(jì)立足先進(jìn)技術(shù)，采用新科技，以適應(yīng)大量數(shù)據(jù)傳輸以及多媒體信息的傳輸。使整個(gè)系統(tǒng)在國(guó)內(nèi)三到五年內(nèi)保持領(lǐng)先的水平，并具有長(zhǎng)足的開展能力，以適應(yīng)未來(lái)網(wǎng)絡(luò)技術(shù)的開展。穩(wěn)定性電子政務(wù)數(shù)據(jù)系統(tǒng)的可靠性是整個(gè)信息化建設(shè)的基石，為保證電子政務(wù)數(shù)據(jù)系統(tǒng)的可靠性，主要考慮以下幾方面：在主要網(wǎng)絡(luò)設(shè)備的選擇上，考慮其可靠性：如關(guān)鍵部件的冗余及熱插拔等。本方案所推薦的產(chǎn)品均選用主流硬件廠商的主流產(chǎn)品，以實(shí)際應(yīng)用案例為前提保證，這些產(chǎn)品具有成熟、穩(wěn)定、實(shí)用的特點(diǎn)，并充分滿足應(yīng)用及技術(shù)開展的需要，同時(shí)能夠獲得廠商的備品和備件支持。平安性在平安性方面，我們所推薦的硬件產(chǎn)品能夠阻擋一般性的網(wǎng)絡(luò)攻擊，能夠做到流量控制，設(shè)置用戶的可訪問(wèn)范圍等。易用性整個(gè)網(wǎng)絡(luò)是由多種設(shè)備組成的較為復(fù)雜的系統(tǒng)，因此必須著重考慮所選產(chǎn)品具有良好的易用性。該網(wǎng)絡(luò)系統(tǒng)應(yīng)該易于管理，通過(guò)網(wǎng)絡(luò)管理工具，可以方便地監(jiān)控網(wǎng)絡(luò)運(yùn)行情況，對(duì)出現(xiàn)的問(wèn)題及時(shí)解決，對(duì)網(wǎng)絡(luò)的優(yōu)化通過(guò)依據(jù)。經(jīng)濟(jì)性在設(shè)計(jì)方案之初，我們要必須滿足建設(shè)單位實(shí)際情況，也要兼顧經(jīng)濟(jì)性原則。主要從以下幾點(diǎn)來(lái)保障：通過(guò)科學(xué)合理的設(shè)計(jì)方案，充分利用現(xiàn)有資源，切實(shí)保護(hù)用戶投資；選用易于操作維護(hù)的技術(shù)方案和產(chǎn)品設(shè)備，有效的降低管理費(fèi)用；選用領(lǐng)先且易于擴(kuò)展的產(chǎn)品和技術(shù)，減少后期擴(kuò)容的重復(fù)投資；選擇性價(jià)比高的產(chǎn)品及配套設(shè)施。網(wǎng)絡(luò)系統(tǒng)建設(shè)方案網(wǎng)絡(luò)系統(tǒng)概述XXX電子政務(wù)網(wǎng)絡(luò)分為內(nèi)、外網(wǎng)，內(nèi)、外網(wǎng)之間物理隔離，外網(wǎng)與公眾互聯(lián)網(wǎng)通過(guò)防火墻實(shí)現(xiàn)邏輯隔離，如以下圖所示。內(nèi)網(wǎng)、外網(wǎng)與Internet關(guān)系示意圖xxx電子政務(wù)網(wǎng)絡(luò)內(nèi)網(wǎng)（下簡(jiǎn)稱內(nèi)網(wǎng)）：主要用于傳送電子公文、以及不適合通過(guò)外網(wǎng)傳輸?shù)男畔?，如：政?wù)信息、財(cái)務(wù)數(shù)據(jù)、視頻會(huì)議等。連接范圍為省、市、縣（區(qū)）級(jí)及相關(guān)職能部門，以及因需要接入的企事業(yè)單位。xxx電子政務(wù)網(wǎng)絡(luò)外網(wǎng)（以下簡(jiǎn)稱外網(wǎng)）：是電子政務(wù)網(wǎng)絡(luò)對(duì)外的窗口，與互聯(lián)網(wǎng)通過(guò)網(wǎng)絡(luò)平安系統(tǒng)邏輯相連，對(duì)外提供一些網(wǎng)上效勞，如受理申請(qǐng)、審批等；同時(shí)也是辦公人員與外面進(jìn)行信息交流的通道。連接范圍為省、市、縣（區(qū)）級(jí)及相關(guān)職能部門，以及因需要接入的企事業(yè)單位。xxx電子政務(wù)網(wǎng)絡(luò)的內(nèi)網(wǎng)和外網(wǎng)、內(nèi)網(wǎng)和Internet之間均完全物理隔離，確保內(nèi)網(wǎng)傳輸數(shù)據(jù)的絕對(duì)平安。網(wǎng)絡(luò)傳輸鏈路傳輸鏈路要求為了實(shí)現(xiàn)網(wǎng)絡(luò)節(jié)點(diǎn)高速互連的目標(biāo)，要求可以提供高帶寬、高性能，高可靠性傳輸鏈路，所選傳輸鏈路應(yīng)滿足以下要求：符合工程建設(shè)原則，采用目前主流的網(wǎng)絡(luò)線路；覆蓋范圍到達(dá)本次工程的所有節(jié)點(diǎn)具有方便、靈活有效的擴(kuò)容能力；具有高帶寬，所提供的帶寬能夠滿足用戶的當(dāng)前需求；具有高可靠性，網(wǎng)絡(luò)骨干網(wǎng)具有故障情況下的自動(dòng)自愈能力；具有高質(zhì)量，誤碼率低，可實(shí)現(xiàn)低時(shí)延，高吞吐量；同時(shí)提供對(duì)數(shù)據(jù)、語(yǔ)音和視頻綜合業(yè)務(wù)的良好支持能力。傳輸鏈路設(shè)計(jì)XXX電子政務(wù)網(wǎng)絡(luò)工程是要建設(shè)一個(gè)專用網(wǎng)絡(luò)，綜合比較網(wǎng)絡(luò)的功能、性能、平安性、保密性、可靠性、可用性、初裝與運(yùn)行費(fèi)用、技術(shù)要求強(qiáng)度等因素，因此，我們選擇了租用中國(guó)電信/移動(dòng)/聯(lián)通的成熟專網(wǎng)絡(luò)鏈路作為主要的傳輸線路。網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)國(guó)家電子政務(wù)體系的網(wǎng)絡(luò)基礎(chǔ)架構(gòu)從整體上來(lái)就說(shuō)是三網(wǎng)合一，即政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)和公眾外網(wǎng)（Internet）在確保平安的前提下互聯(lián)互通。內(nèi)網(wǎng)即內(nèi)部的辦公局域網(wǎng)絡(luò)，用于內(nèi)部各部門間的信息交換，其網(wǎng)絡(luò)要求能夠提供具有傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(diǎn)（平安和QoS）和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)。政務(wù)外網(wǎng)指部門之間的網(wǎng)絡(luò)。該網(wǎng)絡(luò)主要用來(lái)在部門之間傳遞各種文件和數(shù)據(jù)，作為跨部門，跨地區(qū)業(yè)務(wù)系統(tǒng)的互聯(lián)和資源共享的網(wǎng)絡(luò)基礎(chǔ)發(fā)揮作用。政務(wù)外網(wǎng)和政務(wù)內(nèi)網(wǎng)間通過(guò)物理隔離設(shè)備分割開來(lái)。公眾外網(wǎng)主要是面向公共效勞的信息發(fā)布平臺(tái)和連接互聯(lián)網(wǎng)的電子郵件效勞。外網(wǎng)在結(jié)構(gòu)上相對(duì)簡(jiǎn)單，通過(guò)防火墻與政務(wù)外網(wǎng)連接，通過(guò)路由交換設(shè)備與Internet連接。根據(jù)目前XXX的行政管理體制和網(wǎng)絡(luò)現(xiàn)狀的情況，本工程網(wǎng)絡(luò)結(jié)構(gòu)采用單一中心節(jié)點(diǎn)的星型網(wǎng)絡(luò)結(jié)構(gòu)。主干網(wǎng)絡(luò)輻射到二級(jí)節(jié)點(diǎn)，各二級(jí)節(jié)點(diǎn)下轄的三級(jí)分支節(jié)點(diǎn)依據(jù)網(wǎng)絡(luò)鏈接的實(shí)際需要來(lái)設(shè)計(jì)敷設(shè)，本次電子政務(wù)網(wǎng)絡(luò)設(shè)計(jì)如下：中心節(jié)點(diǎn)：XXX辦公廳信息中心分支節(jié)點(diǎn)：XXX大院XX幢大樓XX家單位XXX市/區(qū)XXX家廳局級(jí)單位XXX市區(qū)XX家次級(jí)單位XXX市區(qū)XX家單位和公司XXX電子政務(wù)網(wǎng)絡(luò)的內(nèi)網(wǎng)和外網(wǎng)，其網(wǎng)絡(luò)的拓樸結(jié)構(gòu)主要采用星型結(jié)構(gòu)。星型結(jié)構(gòu)的優(yōu)點(diǎn)是傳輸性能較優(yōu)；高度集中易于網(wǎng)絡(luò)管理；容易擴(kuò)展且分支節(jié)點(diǎn)的鏈路失效不會(huì)影響其它網(wǎng)絡(luò)節(jié)點(diǎn)。但要求中心節(jié)點(diǎn)具有較高的可靠性和冗余度以及較高的處理能力。為了有效的保證數(shù)據(jù)傳輸?shù)钠桨残?、穩(wěn)定性、強(qiáng)壯性。省辦公廳信息中心的數(shù)據(jù)主干設(shè)備采用千兆高速交換路由器。高速路由器要求具備到達(dá)2Mpps的數(shù)據(jù)轉(zhuǎn)發(fā)能力、性能優(yōu)異的備板交換構(gòu)架、核心層冗余能力和模塊擴(kuò)展能力。具體方案如下：在XXX信息中心放置XX臺(tái)核心路由器，分別作為內(nèi)網(wǎng)數(shù)據(jù)和外網(wǎng)數(shù)據(jù)的總出口。XXX個(gè)二級(jí)節(jié)點(diǎn)分別配置一臺(tái)交換路由器，將其內(nèi)網(wǎng)和外網(wǎng)通過(guò)租用鏈路連接到上級(jí)核心路由器。信息中心還需要配置XX臺(tái)接入交換機(jī)，用于內(nèi)部局域網(wǎng)信息點(diǎn)與路由器的接入會(huì)聚。XXX市區(qū)本級(jí)的XXX家廳局級(jí)單位設(shè)置XX臺(tái)交換機(jī)，分別連接單位的內(nèi)網(wǎng)和外網(wǎng)。市區(qū)還有XX家次級(jí)部門和單位配置一臺(tái)路由器，將其內(nèi)、外網(wǎng)通過(guò)租用鏈路經(jīng)運(yùn)營(yíng)商的幀中繼網(wǎng)上聯(lián)到省信息中心的核心路由器。各個(gè)部門和單位的內(nèi)網(wǎng)和外網(wǎng)采用物理隔離，外網(wǎng)有Internet出口，核心路由器通過(guò)1臺(tái)防火墻，采用GE鏈路，連到運(yùn)營(yíng)商的Internet骨干網(wǎng)。主要設(shè)備選型網(wǎng)絡(luò)設(shè)備選型我們?cè)赬XX信息中心部署X臺(tái)高檔次的核心路由器作為數(shù)據(jù)交匯轉(zhuǎn)換的中心節(jié)點(diǎn)；同時(shí)配備2臺(tái)千兆級(jí)網(wǎng)絡(luò)核心交換機(jī)和XX臺(tái)接入交換機(jī)組成數(shù)據(jù)交換會(huì)聚的政務(wù)局域網(wǎng)。在二級(jí)分支和其他職能部門各選用1臺(tái)性價(jià)比較高的千兆電口路由器和xx臺(tái)千兆三層交換機(jī)，來(lái)滿足二級(jí)節(jié)點(diǎn)與中心節(jié)點(diǎn)的鏈接和向下級(jí)節(jié)點(diǎn)的擴(kuò)展。依據(jù)工程實(shí)際需求，我們針對(duì)XXX電子政務(wù)網(wǎng)絡(luò)數(shù)據(jù)系統(tǒng)網(wǎng)絡(luò)設(shè)備的選型配置如下：核心路由器選型依據(jù)工程實(shí)際需求選擇是否需要核心路由器，以及核心路由器的具體參數(shù)要求路由器工作在OSI參考模型的網(wǎng)絡(luò)層，用于網(wǎng)絡(luò)間的相互連接，要求路由器同時(shí)提供至少一個(gè)以太局域網(wǎng)端口和廣域網(wǎng)接口，分別用于與內(nèi)、外網(wǎng)的連接。交換路由器選型依據(jù)工程實(shí)際需求選擇是否需要交換路由器，以及交換路由器的具體參數(shù)要求核心交換機(jī)選型依據(jù)工程實(shí)際需求選擇是否需要核心交換機(jī)，以及核心交換機(jī)的具體參數(shù)要求接入層交換機(jī)選型依據(jù)工程實(shí)際需求選擇是否需要接入層交換機(jī)，以及接入層交換機(jī)的具體參數(shù)要求網(wǎng)絡(luò)管理系統(tǒng)設(shè)備選型依據(jù)工程實(shí)際需求選擇是否需要網(wǎng)絡(luò)管理系統(tǒng)，以及網(wǎng)絡(luò)管理系統(tǒng)的具體參數(shù)要求效勞器系統(tǒng)建設(shè)方案效勞器系統(tǒng)概述所有的電子政務(wù)業(yè)務(wù)應(yīng)用都是在所謂的“政務(wù)外網(wǎng)〞和“政務(wù)內(nèi)網(wǎng)〞網(wǎng)絡(luò)平臺(tái)上實(shí)現(xiàn)的，所有的應(yīng)用軟件環(huán)境都必須在網(wǎng)絡(luò)中的各種效勞器里操作完成;可想而知，效勞器已經(jīng)成為電子信息化建設(shè)的重中之重。政務(wù)辦公效勞器主要應(yīng)用于日常協(xié)同辦公，運(yùn)用先進(jìn)的數(shù)據(jù)交換，共享，采集，發(fā)布手段，使得各機(jī)構(gòu)在同一平臺(tái)上傳遞信息、開展業(yè)務(wù)，促進(jìn)原來(lái)分散的業(yè)務(wù)系統(tǒng)的整合，加速不同部門之間、不同行業(yè)之間的信息交流，緊密的將神經(jīng)網(wǎng)絡(luò)中的各級(jí)部門政務(wù)內(nèi)網(wǎng)，企事業(yè)單位結(jié)合在一起，實(shí)現(xiàn)協(xié)同政務(wù)，資源共享，科學(xué)決策，包括公文收發(fā)、會(huì)議管理、人員管理、工程管理、財(cái)務(wù)管理等完整的電子辦公功能，極大地提高省各機(jī)構(gòu)的管理能力和工作效率。效勞器系統(tǒng)設(shè)計(jì)效勞器系統(tǒng)是整個(gè)數(shù)據(jù)中心的心臟，負(fù)責(zé)管理數(shù)據(jù)中心的基礎(chǔ)信息、共享信息、各專業(yè)區(qū)域信息以及業(yè)務(wù)應(yīng)用過(guò)程中發(fā)生的相關(guān)業(yè)務(wù)數(shù)據(jù)、以及數(shù)據(jù)管理的過(guò)程中產(chǎn)生的比對(duì)信息、整理信息、管理信息等同時(shí)為各個(gè)分系統(tǒng)提供共享信息。效勞器的處理能力作用表達(dá)在每秒鐘的事務(wù)處理數(shù)量上。事務(wù)處理主要包括卡業(yè)務(wù)受理、數(shù)據(jù)的實(shí)時(shí)匯總、入庫(kù)、分發(fā)等功能。根據(jù)日業(yè)務(wù)量可以推算出效勞器每秒需要處理的事務(wù)數(shù)。效勞器主要負(fù)責(zé)業(yè)務(wù)業(yè)務(wù)邏輯的實(shí)現(xiàn)和數(shù)據(jù)的處理，因此它的處理量主要表現(xiàn)在TPMC即事務(wù)處理以及一些計(jì)算上，根據(jù)XX市數(shù)據(jù)中心應(yīng)用模型，應(yīng)用效勞器系統(tǒng)設(shè)計(jì)電子政務(wù)應(yīng)用效勞器系統(tǒng)的特點(diǎn)是業(yè)務(wù)復(fù)雜，連接用戶數(shù)多，效勞器系統(tǒng)的設(shè)計(jì)，主要應(yīng)考慮以下幾方面的因素：效勞器系統(tǒng)需要考慮對(duì)并發(fā)多點(diǎn)登入時(shí)業(yè)務(wù)受理的實(shí)時(shí)響應(yīng)，考慮業(yè)務(wù)的復(fù)雜性，效勞器需要實(shí)時(shí)的與多個(gè)業(yè)務(wù)分系統(tǒng)進(jìn)行數(shù)據(jù)采集、比對(duì)、整理和分發(fā)。需要效勞器有很高的并發(fā)處理能力。在追求數(shù)據(jù)效勞器單機(jī)高性能時(shí)，也需要考慮業(yè)務(wù)巨大時(shí)的系統(tǒng)負(fù)載的分流，系統(tǒng)在規(guī)劃設(shè)計(jì)時(shí)，在軟件設(shè)計(jì)上進(jìn)行合理處理，使得應(yīng)用可以在單機(jī)上運(yùn)行，也可以有不同的效勞器上進(jìn)行任務(wù)分擔(dān)，共同完成實(shí)時(shí)的業(yè)務(wù)處理。數(shù)據(jù)庫(kù)效勞器系統(tǒng)設(shè)計(jì)效勞器需要對(duì)實(shí)時(shí)產(chǎn)生的數(shù)據(jù)進(jìn)行及時(shí)匯總、分發(fā)。要實(shí)現(xiàn)匯總、分發(fā)的實(shí)時(shí)高效，需要將實(shí)時(shí)信息放入內(nèi)存，進(jìn)行處理，才能提高系統(tǒng)的性能，這樣數(shù)據(jù)庫(kù)效勞器需要有較高的內(nèi)存。對(duì)每天生成的數(shù)據(jù)需要實(shí)時(shí)入庫(kù)，需要有很強(qiáng)的I/O能力，使得數(shù)據(jù)的入庫(kù)不會(huì)成為系統(tǒng)的瓶頸。系統(tǒng)性能設(shè)計(jì)平安性設(shè)計(jì)穩(wěn)定性設(shè)計(jì)存儲(chǔ)效勞器系統(tǒng)設(shè)計(jì)個(gè)人工作站設(shè)計(jì)個(gè)人工作站的設(shè)計(jì)原則國(guó)內(nèi)的知名名牌良好的性能價(jià)格比優(yōu)質(zhì)的售后效勞保障穩(wěn)定、易用的環(huán)境基于以上考慮，本次工程個(gè)人工作站的推薦技術(shù)參數(shù)為：效勞器設(shè)備選型效勞器設(shè)備選型的主要參考標(biāo)準(zhǔn)即效勞器系統(tǒng)的運(yùn)算能力和I/O能力。目前較為普遍采用的一個(gè)衡量效勞器系統(tǒng)處理能力的參數(shù)是TPMC值，TPMC值是測(cè)試單臺(tái)效勞器或集群系統(tǒng)在配備特定的操作系統(tǒng)，用特定的數(shù)據(jù)庫(kù)的情況下每分鐘處理事務(wù)的能力（TransactionPerMinute）。TPMC值越高說(shuō)明系統(tǒng)處理能力越強(qiáng)。效勞器TPMC值是通過(guò)實(shí)驗(yàn)手段取得的，僅可以用作參考，不可以生搬硬套。例如效勞器支持100萬(wàn)/天的訪問(wèn)量，每個(gè)事務(wù)按0.2秒的響應(yīng)時(shí)間計(jì)算，每天8小時(shí)，峰值為平均數(shù)的3倍計(jì)算，冗余30%，每個(gè)事務(wù)觸發(fā)5個(gè)Transaction，每分鐘處理的事務(wù)量：=（100萬(wàn)/天）*3*130%*5/0.2/(8*60)=20312Transaction/分鐘因此我們建議效勞器的TPMC值為：20312基于上述計(jì)算，建議效勞器采用TPC-C值在25,000左右的效勞器系統(tǒng)。數(shù)據(jù)網(wǎng)絡(luò)平安設(shè)計(jì)電子政務(wù)是信息化系統(tǒng)的重要組成局部。電子政務(wù)最終目標(biāo)是建設(shè)辦公自動(dòng)化、面向決策支持、面向公眾效勞的綜合平臺(tái)。因此電子政務(wù)系統(tǒng)一方面要求考慮內(nèi)部網(wǎng)絡(luò)的平安，另一方面要求考慮面向公眾效勞的網(wǎng)絡(luò)平安。電子政務(wù)行使職能的特點(diǎn)導(dǎo)致來(lái)自外部或內(nèi)部的各種攻擊，包括黑客組織、犯罪集團(tuán)或信息戰(zhàn)時(shí)期信息對(duì)抗等國(guó)家行為的攻擊。攻擊包括基于偵聽(tīng)、截獲、竊取、破譯、業(yè)務(wù)流量分析、電磁信息提取等技術(shù)的被動(dòng)攻擊和基于修改、偽造、破壞、冒充、病毒擴(kuò)散等技術(shù)的主動(dòng)攻擊。網(wǎng)絡(luò)威脅包括來(lái)自內(nèi)部與外部的威脅、主動(dòng)攻擊與被動(dòng)攻擊帶來(lái)的威脅。系統(tǒng)網(wǎng)絡(luò)平安需求分析根據(jù)工程實(shí)際要求，結(jié)合我公司多年來(lái)從事電子政務(wù)網(wǎng)絡(luò)建設(shè)和平安系統(tǒng)建設(shè)的經(jīng)驗(yàn)，我們認(rèn)為電子政務(wù)數(shù)據(jù)系統(tǒng)網(wǎng)絡(luò)層面的平安性涉及兩個(gè)方面：網(wǎng)絡(luò)系統(tǒng)自身平安性及網(wǎng)絡(luò)效勞的平安性。對(duì)于XXX電子政務(wù)網(wǎng)絡(luò)平臺(tái)來(lái)說(shuō)，網(wǎng)絡(luò)系統(tǒng)自身平安性需求主要包括：路由交換設(shè)備本身的平安;路由信息的平安;入侵檢測(cè)功能漏洞檢測(cè)功能網(wǎng)管平安網(wǎng)絡(luò)效勞的平安性需求包括：用戶AAA效勞，提供認(rèn)證，授權(quán)及審計(jì)的功能防止冒充合法用戶ACL功能網(wǎng)絡(luò)平安設(shè)計(jì)原則為了有效的提高xx省電子政務(wù)數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)平安,我們將遵循以下設(shè)計(jì)原則：平安但不影響性能——城域網(wǎng)的客戶需要提供高性能的多媒體效勞，所以任何影響性能的平安措施將不能被接受；全方位實(shí)現(xiàn)平安性——平安性設(shè)計(jì)必須從全方位、多層次加以考慮，來(lái)確實(shí)保證平安；主動(dòng)式平安和被動(dòng)式平安相結(jié)合——主動(dòng)式平安主要是主動(dòng)對(duì)系統(tǒng)中的平安漏洞進(jìn)行檢測(cè)，以便及時(shí)的消除平安隱患；被動(dòng)式平安則主要是從被動(dòng)的實(shí)施平安策略，如防火墻措施、ＡＣＬ措施等等。只有主動(dòng)與被動(dòng)平安措施的完美結(jié)合，方能切實(shí)有效地實(shí)現(xiàn)平安性；切合實(shí)際實(shí)施平安性——必須緊密切合要進(jìn)行平安防護(hù)的實(shí)際對(duì)象來(lái)實(shí)施平安性，以免過(guò)于龐大冗雜的平安措施導(dǎo)致性能下降。所以要真正做到有的放矢、行之有效；易于實(shí)施、管理與維護(hù)——整套平安工程設(shè)計(jì)必須具有良好的可實(shí)施性與可管理性，同時(shí)還要具有尚佳的易維護(hù)性；具有較好的可伸縮性——平安工程設(shè)計(jì)，必須具有良好的可伸縮性。整個(gè)平安系統(tǒng)必須留有接口，以適應(yīng)將來(lái)工程規(guī)模拓展的需要；節(jié)約系統(tǒng)投資——在保障平安性的前提下必須充分考慮投資，將用戶的利益始終放在第一位。通過(guò)認(rèn)真規(guī)劃平安性設(shè)計(jì)，認(rèn)真選擇平安性產(chǎn)品(包括利用已有設(shè)備)，到達(dá)節(jié)約系統(tǒng)投資的目的。數(shù)據(jù)網(wǎng)絡(luò)平安總體設(shè)計(jì)網(wǎng)絡(luò)系統(tǒng)平安性設(shè)計(jì)從保證xx省電子政務(wù)網(wǎng)絡(luò)系統(tǒng)本身平安性的的角度出發(fā)，我們可以采用以下幾種手段：在整個(gè)網(wǎng)絡(luò)中，利用OSPF路由更新認(rèn)證確保全網(wǎng)路由表的平安，通過(guò)對(duì)策略路由的設(shè)置控制路由的過(guò)濾；利用ACL，AAA認(rèn)證，令牌卡技術(shù)，操作權(quán)限分級(jí)等手段確保網(wǎng)絡(luò)設(shè)備不會(huì)出現(xiàn)非授權(quán)訪問(wèn).；在網(wǎng)絡(luò)設(shè)備上，進(jìn)行防止DOS和其它資源掠奪式攻擊的設(shè)置；在運(yùn)行中心配置漏洞掃描器，統(tǒng)一收集各個(gè)網(wǎng)絡(luò)設(shè)備的平安漏洞，進(jìn)行分析和匯總；網(wǎng)絡(luò)效勞平安性設(shè)計(jì)為保證xx省電子政務(wù)網(wǎng)絡(luò)平臺(tái)能給接入單位、企業(yè)和個(gè)人提供平安的效勞，我們建議采用以下幾種手段：在外網(wǎng)Internet出口連接的地方配置國(guó)家保密局推薦的高性能千兆防火墻，提供1000M的接口，給多個(gè)用戶提供平安效勞，如投資允許的話，可采用防火墻雙機(jī)，實(shí)現(xiàn)平滑的熱備份；利用高性能路由交換機(jī)或者路由器，實(shí)現(xiàn)端口線速ACL；在需要對(duì)外提供效勞的重要的網(wǎng)段，配置入侵檢測(cè)傳感器，給單個(gè)或多個(gè)用戶提供入侵檢測(cè)效勞。數(shù)據(jù)災(zāi)備系統(tǒng)設(shè)計(jì)設(shè)計(jì)原則為XX市電子政務(wù)外網(wǎng)數(shù)據(jù)中心提供災(zāi)備方案時(shí)，主要考慮以下三方面因素：災(zāi)難承受程度：要明確用戶計(jì)算機(jī)系統(tǒng)需要承受的災(zāi)難類型、系統(tǒng)故障、通信故障、長(zhǎng)時(shí)間斷電甚至火災(zāi)、地震等各種意外情況所采取的保護(hù)方案不盡相同；業(yè)務(wù)影響程度：讓用戶必須明確當(dāng)計(jì)算機(jī)系統(tǒng)發(fā)生意外無(wú)法工作時(shí)，導(dǎo)致業(yè)務(wù)停頓所造成的損失程度，也就是定義用戶對(duì)于IT環(huán)境發(fā)生故障的最大容忍時(shí)間。這是我們?cè)O(shè)計(jì)災(zāi)難恢復(fù)方案的重要技術(shù)指標(biāo)；數(shù)據(jù)保護(hù)程度：是否要求數(shù)據(jù)庫(kù)可以恢復(fù)所有提交的交易并且要求實(shí)時(shí)同步數(shù)據(jù)也就是數(shù)據(jù)的連續(xù)性和一致性，決定了災(zāi)難恢復(fù)方案規(guī)模和復(fù)雜程度的重要依據(jù)。提供的災(zāi)難恢復(fù)方案可以滿足XX市電子政務(wù)外網(wǎng)數(shù)據(jù)中心對(duì)于計(jì)算機(jī)系統(tǒng)、數(shù)據(jù)的嚴(yán)格保護(hù)要求，保證即使發(fā)生斷電，火災(zāi)等嚴(yán)重災(zāi)難時(shí)，政務(wù)外網(wǎng)業(yè)務(wù)的相關(guān)關(guān)鍵數(shù)據(jù)不會(huì)喪失和缺損，確保業(yè)務(wù)數(shù)據(jù)在主中心和備份中心同步更新，保證數(shù)據(jù)最大的完整性。災(zāi)備技術(shù)比較通常說(shuō)來(lái)，災(zāi)難恢復(fù)方案建議用戶建立兩個(gè)數(shù)據(jù)中心，XX主數(shù)據(jù)中心和南寧備份數(shù)據(jù)中心。正常情況下，應(yīng)用運(yùn)行在主數(shù)據(jù)中心的計(jì)算機(jī)系統(tǒng)上，數(shù)據(jù)也存放在主中心的存儲(chǔ)系統(tǒng)中。當(dāng)主數(shù)據(jù)中心由于斷電，火災(zāi)甚至地震等災(zāi)難無(wú)法工作時(shí)，則立即采取一系列相關(guān)措施，將網(wǎng)絡(luò)、電話線路切換至備份中心，并且利用備份中心計(jì)算機(jī)系統(tǒng)重新啟動(dòng)應(yīng)用系統(tǒng)。而這里最關(guān)鍵的問(wèn)題就是切換過(guò)程時(shí)間最短，同時(shí)盡可能保持主數(shù)據(jù)中心和備份中心數(shù)據(jù)的連續(xù)性和完整性。而由于社保數(shù)據(jù)的重要性，如何解決主、備中心數(shù)據(jù)庫(kù)數(shù)據(jù)備份，恢復(fù)則是災(zāi)難恢復(fù)方案的重點(diǎn)。傳統(tǒng)的磁帶備份方式一般采取定點(diǎn)備份，而當(dāng)系統(tǒng)崩潰時(shí)。距最近一次備份時(shí)間之間的數(shù)據(jù)將全部喪失，無(wú)法恢復(fù)。而且磁帶備份和恢復(fù)時(shí)間比較長(zhǎng)，由于速度慢，缺乏實(shí)時(shí)性，無(wú)法滿足用戶大數(shù)據(jù)量數(shù)據(jù)恢及數(shù)據(jù)庫(kù)連續(xù)性、實(shí)時(shí)性的要求?，F(xiàn)在流行的災(zāi)難恢復(fù)方案主要是采用硬盤備份的方式。它的主要原理是在備份中心建立一套硬盤存儲(chǔ)系統(tǒng)，通過(guò)通信線路，實(shí)時(shí)地將主中心更新數(shù)據(jù)拷貝至備份中心存儲(chǔ)系統(tǒng)中，保證主、備中心數(shù)據(jù)的實(shí)時(shí)一致性。當(dāng)主中心無(wú)法工作時(shí)，備份中心可以立即接管業(yè)務(wù)，并且確保數(shù)據(jù)的最大完整性。其主要實(shí)施方法有以下三種：利用數(shù)據(jù)庫(kù)廠家的軟件產(chǎn)品完成遠(yuǎn)程備份：現(xiàn)有的一些數(shù)據(jù)庫(kù)廠家例如Oracle數(shù)據(jù)庫(kù)可以提供STANDBY數(shù)據(jù)庫(kù)功能，通過(guò)通信網(wǎng)絡(luò)將實(shí)際數(shù)據(jù)庫(kù)日志文件傳至備份中心存儲(chǔ)系統(tǒng)，備份中心的STANDBY數(shù)據(jù)庫(kù)按照主數(shù)據(jù)庫(kù)結(jié)構(gòu)從日志文件中重新恢復(fù)數(shù)據(jù)庫(kù)。這種方法投資本錢小，數(shù)據(jù)恢復(fù)相對(duì)磁帶較快，缺點(diǎn)就是占用主機(jī)資源，日志文件建立過(guò)程中發(fā)生災(zāi)難時(shí)，整個(gè)日志文件數(shù)據(jù)將喪失；利用主機(jī)進(jìn)行遠(yuǎn)程數(shù)據(jù)鏡像：主中心存儲(chǔ)設(shè)備與備份中心存儲(chǔ)設(shè)備進(jìn)行鏡像，主機(jī)同時(shí)將數(shù)據(jù)分別寫到本地和遠(yuǎn)程磁盤上。主機(jī)上安裝災(zāi)備軟件，如AIX上的HAGEO、SUN上的VERITAS（VERITASVolumeReplicator）等。這種方法優(yōu)點(diǎn)就是可以保證數(shù)據(jù)的實(shí)時(shí)一致性，但是存儲(chǔ)鏡像通過(guò)主機(jī)完成，這將極大地影響主機(jī)性能，當(dāng)由于通信故障，一個(gè)鏡像操作無(wú)法完成時(shí)，主機(jī)將無(wú)法進(jìn)行下一個(gè)寫操作；基于智能存儲(chǔ)系統(tǒng)的遠(yuǎn)程數(shù)據(jù)復(fù)制：磁盤陣列將磁盤鏡象功能的處理負(fù)荷從主機(jī)轉(zhuǎn)移到智能磁盤控制器—智能存儲(chǔ)系統(tǒng)上。如IBM的PPRC、EMC的SRDF等，基于智能存儲(chǔ)的數(shù)據(jù)復(fù)制由智能存儲(chǔ)系統(tǒng)自身功能實(shí)現(xiàn)數(shù)據(jù)的遠(yuǎn)程復(fù)制和同步，即智能存儲(chǔ)系統(tǒng)本身來(lái)完成數(shù)據(jù)的復(fù)制功能，同主機(jī)無(wú)關(guān)，不占用主機(jī)的CPU，連接可以采用裸光纖、ATM、E1/E2、T1/T3、TCP/IP等。由于這種方式下數(shù)據(jù)復(fù)制軟件運(yùn)行在存貯系統(tǒng)內(nèi)，因此較容易實(shí)現(xiàn)主中心和容災(zāi)備份中心的操作系統(tǒng)、數(shù)據(jù)庫(kù)、系統(tǒng)庫(kù)和目錄的實(shí)時(shí)拷貝維護(hù)能力，且一般不會(huì)影響主中心主機(jī)系統(tǒng)的性能。而且上層可以是不同主機(jī)平臺(tái)。如果在系統(tǒng)恢復(fù)場(chǎng)所具備了實(shí)時(shí)數(shù)據(jù)，那么就可能做到在災(zāi)難發(fā)生的同時(shí)及時(shí)開始應(yīng)用處理過(guò)程的恢復(fù)。三種實(shí)施方法的比較：第一種方案的最大缺點(diǎn)就是災(zāi)難發(fā)生時(shí)，系統(tǒng)數(shù)據(jù)備份可能不完全，喪失數(shù)據(jù)量較大，而且對(duì)系統(tǒng)正常工作時(shí)的系統(tǒng)性能影響較大。第二種案由于遠(yuǎn)程備份要占用主機(jī)的CPUI/O等資源，同時(shí)根據(jù)備份方式的不同，可能對(duì)主機(jī)的性能有一定的影響，但它能夠保證數(shù)據(jù)備份的完整性。第三種方案能夠完全確保數(shù)據(jù)的一致性，同時(shí)對(duì)主機(jī)系統(tǒng)的性能影響較小，對(duì)主機(jī)平臺(tái)的要求也低，但缺點(diǎn)是系統(tǒng)投資較大。災(zāi)備解決方案數(shù)據(jù)中心系統(tǒng)的主要數(shù)據(jù)存儲(chǔ)包括兩大局部：應(yīng)用系統(tǒng)數(shù)據(jù)以及統(tǒng)計(jì)分析系統(tǒng)數(shù)據(jù)。兩個(gè)業(yè)務(wù)特性的不同決定了我們需要考慮實(shí)施不同的數(shù)據(jù)備份策略。下表是我們針對(duì)其備份系統(tǒng)需要考慮的業(yè)務(wù)特性所進(jìn)行的比較。根據(jù)上表，我們知道，業(yè)務(wù)生產(chǎn)系統(tǒng)的數(shù)據(jù)備份工作以嚴(yán)密、最大限度保護(hù)數(shù)據(jù)、快速恢復(fù)為宗旨。而統(tǒng)計(jì)分析系統(tǒng)的數(shù)據(jù)備份工作以高效、簡(jiǎn)便，對(duì)數(shù)據(jù)起比較好保護(hù)作用為宗旨。數(shù)據(jù)中心系統(tǒng)數(shù)據(jù)量很大，統(tǒng)的LAN-Base以及Server-Base的備份方式難以滿足XX市電子政務(wù)外網(wǎng)數(shù)據(jù)中心的需求，我們建議采用基于IPSAN架構(gòu)的企業(yè)備份解決方案。網(wǎng)絡(luò)設(shè)備平安實(shí)現(xiàn)整個(gè)xx省電子政務(wù)數(shù)據(jù)網(wǎng)絡(luò)系統(tǒng)是由許多路由交換設(shè)備組成的，網(wǎng)絡(luò)設(shè)備的平安是是許多平安措施能夠順利實(shí)施的基礎(chǔ)。如果網(wǎng)絡(luò)設(shè)備的配置能夠被隨意看到，其所配置的路由識(shí)別ID、密碼等都失去意義；VLAN的配置如能被隨意改動(dòng)，則VLAN將形同虛設(shè)。保護(hù)網(wǎng)絡(luò)設(shè)備應(yīng)注意兩個(gè)方面：設(shè)備的配置需要保護(hù)，防止非授權(quán)訪問(wèn)；設(shè)備的資源必須有效保護(hù)，防止像DOS這樣的資源掠奪式攻擊。網(wǎng)絡(luò)設(shè)備分級(jí)登錄驗(yàn)證防范對(duì)網(wǎng)絡(luò)設(shè)備的非法訪問(wèn)，需要保護(hù)關(guān)鍵的配置信息（如密碼、ID等），管理員必須經(jīng)過(guò)嚴(yán)格身份鑒別和授權(quán)。在本次xx省電子政務(wù)網(wǎng)絡(luò)工程數(shù)據(jù)系統(tǒng)建設(shè)工程中，我們推薦的Cisco所有設(shè)備本身都有相應(yīng)的平安措施。針對(duì)于單一管理員權(quán)限無(wú)限大的問(wèn)題，我們可以根據(jù)具體管理員的職能分工進(jìn)行權(quán)限分配。在Cisco的路由交換設(shè)備上，可以將管理員的權(quán)限劃分為15級(jí)權(quán)限檔次，針對(duì)每個(gè)權(quán)限可以定制相應(yīng)的命令集，為實(shí)現(xiàn)各種管理目的而設(shè)立的不同職能管理員之間可互不侵?jǐn)_的完成各自工作。例如，普通操作員只能監(jiān)視設(shè)備運(yùn)行，不可進(jìn)行其他操作；高級(jí)的管理員可做故障診斷，不可修改設(shè)備配置文件；系統(tǒng)管理員可具有所有功能權(quán)限等。同樣，對(duì)于SNMP效勞也可以通過(guò)設(shè)置不同級(jí)別的Community，讓不同級(jí)別的網(wǎng)管系統(tǒng)獲得不同的操作權(quán)限。限制登錄會(huì)話數(shù)Cisco網(wǎng)絡(luò)設(shè)備必須通過(guò)嚴(yán)格的認(rèn)證程序才能夠進(jìn)行登錄，這種認(rèn)證既包括對(duì)遠(yuǎn)程登錄，也包括本地的Console登錄。Cisco網(wǎng)絡(luò)設(shè)備可以設(shè)定對(duì)本身的登錄會(huì)話數(shù)，這種限制包括兩個(gè)層次：(1)并發(fā)遠(yuǎn)程登錄會(huì)話總數(shù)的限制；(2)一個(gè)用戶同時(shí)登錄數(shù)的限制；建議對(duì)每個(gè)管理員都分配一個(gè)User-ID。有兩種方法登記User-ID。一種是在路由器上配置username/password。另一種方法是用AAA來(lái)保護(hù)路由器，由一中心AAA(TACACS+/Radius)效勞器維護(hù)Username/Password。第二種方法更具擴(kuò)展性和平安性。另外使用Token效勞器提供一次性口令的更換，與AAA效勞器相結(jié)合便可向網(wǎng)絡(luò)管理員提供對(duì)設(shè)備的一次性口令登錄。我們推薦在網(wǎng)絡(luò)中心配置CiscoSecureACS效勞器，為管理員登錄到Cisco設(shè)備提供統(tǒng)一的身份認(rèn)證中心。CiscoSecureACS效勞器支持RADIUS，TACACS+等標(biāo)準(zhǔn)的認(rèn)證協(xié)議，提供網(wǎng)絡(luò)設(shè)備的用戶AAA效勞。CiscoSecureACS具有良好的管理界面，管理員可以通過(guò)瀏覽器進(jìn)行用戶管理與配置。管理員登錄網(wǎng)絡(luò)設(shè)備的過(guò)程如下：(1)用戶執(zhí)行遠(yuǎn)程登錄命令(例如：Telnet)，網(wǎng)絡(luò)設(shè)備判斷當(dāng)前的并發(fā)連接數(shù)是否已經(jīng)到達(dá)上限。如果數(shù)量沒(méi)有超，網(wǎng)絡(luò)設(shè)備提示輸入用戶姓名、口令。(2)用戶輸入口令后，網(wǎng)絡(luò)設(shè)備向AAA效勞器查詢?cè)撚脩羰欠裼袡?quán)登錄AAA效勞器檢索用戶數(shù)據(jù)庫(kù)，如果該用戶允許登錄則向網(wǎng)絡(luò)設(shè)備返回PERMIT信息和該用戶在該網(wǎng)絡(luò)設(shè)備上可執(zhí)行的命令同時(shí)將用戶登錄的時(shí)間、IP作詳細(xì)記錄；若不能在用戶數(shù)據(jù)庫(kù)中檢索到該用戶的信息則返回DENY信息，并可以根據(jù)設(shè)置向網(wǎng)管工作站發(fā)送SNMP的警告消息。(3)當(dāng)網(wǎng)絡(luò)設(shè)備得到AAA的應(yīng)答后，可以根據(jù)應(yīng)答的內(nèi)容作出相應(yīng)的操作，如果應(yīng)答為DENY則關(guān)閉掉當(dāng)前的SESSION進(jìn)程；如果為PERMIT則根據(jù)AAA效勞器返回的用戶權(quán)限為該用戶開啟SESSION進(jìn)程，并將用戶所執(zhí)行的操作向AAA效勞器進(jìn)行報(bào)告。由于本次工程中并沒(méi)有該設(shè)備和軟件的采購(gòu)，如果原先xx省網(wǎng)絡(luò)沒(méi)有部署，同時(shí)考慮到投資，我們可先在路由器上配置username/password，手工進(jìn)行登錄控制。防資源掠奪式攻擊攻擊特點(diǎn)和原理對(duì)設(shè)備的另一種平安威脅是資源掠奪式攻擊，是指通過(guò)持續(xù)調(diào)用設(shè)備的一些檢測(cè)用途的應(yīng)用和端口號(hào)或利用設(shè)備對(duì)異常包處理的漏洞占用CPU資源或?qū)е聝?nèi)存溢出，影響設(shè)備的正常功能，嚴(yán)重的甚至導(dǎo)致網(wǎng)絡(luò)設(shè)備死機(jī)，常見(jiàn)的DOS，DDOS和ping攻擊都屬于此種情況。在拒絕效勞（DoS）攻擊中，惡意用戶向網(wǎng)絡(luò)設(shè)備發(fā)送多個(gè)請(qǐng)求，使其滿負(fù)載，并且所有請(qǐng)求的返回地址都是偽造的。當(dāng)網(wǎng)絡(luò)設(shè)備企圖將結(jié)果返回給用戶時(shí)，它將無(wú)法找到這些用戶。在這種情況下，網(wǎng)絡(luò)設(shè)備只好等待，有時(shí)甚至?xí)却?分鐘才能關(guān)閉此次連接。當(dāng)網(wǎng)絡(luò)設(shè)備關(guān)閉連接之后，攻擊者又發(fā)送新的一批虛假請(qǐng)求，以上過(guò)程又重復(fù)發(fā)生，直到網(wǎng)絡(luò)設(shè)備因過(guò)載而拒絕提供效勞。分布式拒絕效勞（DDOS）把DoS又向前開展了一步。DoS攻擊需要攻擊者手工操作，而DDOS則將這種攻擊行為自動(dòng)化。與其他分布式概念類似，分布式拒絕效勞可以方便地協(xié)調(diào)從多臺(tái)計(jì)算機(jī)上啟動(dòng)的進(jìn)程。在這種情況下，就會(huì)有一股拒絕效勞洪流沖擊網(wǎng)絡(luò)，并使其因過(guò)載而崩潰。黑客(client)在不同的主機(jī)(handler)上安裝大量的DoS效勞程序，它們等待來(lái)自中央客戶端(client)的命令，中央客戶端隨后通知全體受控效勞程序(agent)，并指示它們對(duì)一個(gè)特定目標(biāo)發(fā)送盡可能多的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求。該工具將攻擊一個(gè)目標(biāo)的任務(wù)分配給所有可能的DoS效勞程序，這就是它被叫做分布式DoS的原因。實(shí)際的攻擊并不僅僅是簡(jiǎn)單地發(fā)送海量信息，而是采用DDOS的變種工具，這些工具可以利用網(wǎng)絡(luò)協(xié)議的缺陷使攻擊力更強(qiáng)大或者使追蹤攻擊者變得更困難。首先，現(xiàn)在的DDOS工具根本上都可以偽裝源地址。它們發(fā)送原始的IP包（rawIPpacket），由于Internet協(xié)議本身的缺陷，IP包中包括的源地址是可以偽裝的，這也是追蹤DDOS攻擊者很困難的主要原因。其次，DDOS也可以利用協(xié)議的缺陷，例如，它可以通過(guò)SYN翻開半開的TCP連接，這是一個(gè)很老且早已為人所熟知的協(xié)議缺陷。為了使攻擊力更強(qiáng)，DDOS通常會(huì)利用任何一種通過(guò)發(fā)送單獨(dú)的數(shù)據(jù)包就能探測(cè)到的協(xié)議缺陷，并利用這些缺陷進(jìn)行攻擊。解決方法針對(duì)資源掠奪性攻擊，在網(wǎng)絡(luò)設(shè)備上可以進(jìn)行多層次的防范：(1)在CiscoIOS中使用命令可一次性關(guān)閉所有帶有平安隱患的端口檢測(cè)和進(jìn)程調(diào)用。A.在路由器全局模式下鍵入noservicetcp-small-serversnoserviceudp-small-servers可以防止UDP/TCP診斷端口DoS(DenialofService)攻擊B.在路由器全局模式下鍵入noservicefinger可以防止被外人窺測(cè)出用戶login信息。C.在骨干路由器全局模式下鍵入noipredirects noipdirected-broadcast noipproxy-arp可以防止SMURF攻擊。D.在骨干路由器全局模式下鍵入noservicepadnoipbootpservernocdprunnocdpenable可以防止損耗CPU攻擊。(2)過(guò)濾進(jìn)網(wǎng)和出網(wǎng)的流量xx省電子政務(wù)網(wǎng)絡(luò)可以在各接入分支節(jié)點(diǎn)的交換機(jī)或路由器上實(shí)施進(jìn)網(wǎng)流量過(guò)濾措施，目的是阻止任何偽造IP地址的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，從而從源頭阻止諸如DDOS這樣的分布式網(wǎng)絡(luò)攻擊的發(fā)生或削弱其攻擊效果。(3)可疑數(shù)據(jù)流帶寬控制在各接入分支節(jié)點(diǎn)交換機(jī)、路由器和核心路由器上，使用隊(duì)列技術(shù)或者CAR的方法對(duì)ping及SYN數(shù)據(jù)流進(jìn)行帶寬控制，以預(yù)防DDOS的攻擊。(4)采用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS當(dāng)系統(tǒng)收到來(lái)自奇怪或未知地址的可疑流量時(shí)，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)IDS（IntrusionDetectionSystems）能夠給系統(tǒng)管理人員發(fā)出報(bào)警信號(hào)，提醒他們及時(shí)采取應(yīng)對(duì)措施，如切斷連接或反向跟蹤等。路由信息平安對(duì)于xx省電子政務(wù)網(wǎng)絡(luò)這樣大規(guī)模的網(wǎng)絡(luò)，如果某臺(tái)主機(jī)或者路由器未按照IP地址規(guī)劃，錯(cuò)誤配置IP網(wǎng)段，那么該錯(cuò)誤配置就有可能通過(guò)動(dòng)態(tài)路由擴(kuò)散到全網(wǎng)，引起整個(gè)網(wǎng)絡(luò)的路由混亂。為保證全網(wǎng)絡(luò)路由表的平安性，防止路由更新及路由表的非法更改，確保整個(gè)網(wǎng)絡(luò)系統(tǒng)路由的可靠和穩(wěn)定，我們建議采取以下措施：路由協(xié)議的驗(yàn)證機(jī)制我們推薦的xx省電子政務(wù)網(wǎng)絡(luò)工程中的路由設(shè)備全部采用支持路由更新認(rèn)證的動(dòng)態(tài)路由協(xié)議（例如OSPF協(xié)議，IS-IS，BGP4協(xié)議）。在我們的方案中所推薦的路由協(xié)議IS-IS支持路由認(rèn)證。如果兩臺(tái)路由器的認(rèn)證關(guān)鍵字不匹配，相應(yīng)的兩臺(tái)路由器之間就不能建立交換路由更新信息所必須的“緊鄰關(guān)系〞（AdjacentMembership），因而即使在物理上連通，也不能交換路由。從而保證未配置相同口令的路由器無(wú)法將非法路由注入整個(gè)網(wǎng)絡(luò)。禁止源路由方式Internet上有一種不依靠路由器的路由表仍能實(shí)現(xiàn)在源和目的間進(jìn)行正確的包傳輸?shù)穆酚煞绞?，這就是所謂“源路由方式〞。在源路由環(huán)境中，即使我們有效的保護(hù)了私網(wǎng)路由信息不擴(kuò)散、不被寫入非法路由信息，黑客仍能利用源路由傳輸方式完成攻擊。源路由是被設(shè)計(jì)來(lái)進(jìn)行測(cè)試和調(diào)試的，一般的路由器默認(rèn)狀態(tài)下都予以支持，但在我們政務(wù)網(wǎng)中它只會(huì)帶來(lái)平安漏洞，因此我們必須注意在實(shí)施中將路由設(shè)備的源路由特性關(guān)閉掉，這一特性在Cisco路由器中是可以被支持的?？稍诼酚善髋渲玫娜帜Ｊ街胁迦肴缦旅睿簄oipsource-route網(wǎng)管系統(tǒng)平安實(shí)現(xiàn)我們推薦的網(wǎng)管系統(tǒng)CiscoWorks2000符合C2平安標(biāo)準(zhǔn)，不同用戶對(duì)不同的設(shè)備和網(wǎng)絡(luò)管理軟件的不同模塊擁有不同的權(quán)利，并且CW2000將用戶的工作進(jìn)行全程監(jiān)督并形成歷史文檔記錄備查。網(wǎng)絡(luò)設(shè)備的配置將保持歷史記錄有利于網(wǎng)絡(luò)的恢復(fù)和平安；Cisco公司的網(wǎng)絡(luò)管理程序是網(wǎng)絡(luò)設(shè)備管理界面，實(shí)際的功能是由網(wǎng)絡(luò)設(shè)備本身來(lái)完成的，因此當(dāng)網(wǎng)管系統(tǒng)出現(xiàn)故障時(shí)，網(wǎng)絡(luò)設(shè)備能自動(dòng)及人工恢復(fù)正常工作，不影響網(wǎng)絡(luò)的正常運(yùn)行。另外，通過(guò)在網(wǎng)絡(luò)設(shè)備上設(shè)置SNMP的ACL，可以限定只有特定IP地址的網(wǎng)管工作站才能對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行SNMP的操作。網(wǎng)絡(luò)效勞的平安性xx省電子政務(wù)網(wǎng)絡(luò)的目標(biāo)是：建成省電子政務(wù)網(wǎng)絡(luò)內(nèi)、外網(wǎng)平臺(tái)，支持?jǐn)?shù)據(jù)、語(yǔ)音和視頻業(yè)務(wù)，傳輸性能滿足業(yè)務(wù)需求，具備密碼管理、信任體系、網(wǎng)絡(luò)管理、容災(zāi)備份、信息管理和信息交換等各項(xiàng)功能，實(shí)現(xiàn)跨部門、跨地區(qū)的業(yè)務(wù)互聯(lián)，因此必須確保為用戶提供的效勞是平安可靠的。防火墻部署設(shè)計(jì)我們選擇為XXX政務(wù)外網(wǎng)核心路由器通過(guò)防火墻邏輯隔離后聯(lián)入Internet，實(shí)現(xiàn)政務(wù)外網(wǎng)和Internet的平安隔離的。具體對(duì)防火墻的部署要求如下：要求至少5個(gè)10/100/1000MBase-T電口，至少5個(gè)SFP插槽；整機(jī)吞吐率(bps)≥4.0G ；最大并發(fā)連接數(shù)≥200萬(wàn) ；每秒新建連接數(shù)≥3.5萬(wàn)；IPSecVPN隧道數(shù)≥5000條。要求具備自主研發(fā)的平安操作系統(tǒng)，要求支持多系統(tǒng)引導(dǎo)，并可在WEB界面上直接配置啟動(dòng)順序；支持多個(gè)系統(tǒng)配置文件，可導(dǎo)入導(dǎo)出恢復(fù)配置。要求支持基于源/目的IP地址、MAC地址、域名、端口或協(xié)議、效勞、網(wǎng)口、時(shí)間、用戶的訪問(wèn)控制 和平安策略的帶寬控制；支持基于策略的網(wǎng)間隔離功能，同一時(shí)間內(nèi)網(wǎng)主機(jī)只能訪問(wèn)DMZ和外網(wǎng)，保護(hù)內(nèi)網(wǎng)防止被入侵；實(shí)現(xiàn)基于策略的HTTP、、POP3、SOCKS、DNS等透明代理和深度過(guò)濾；支持應(yīng)用層訪問(wèn)控制，包括P2P軟件、IM軟件、炒股軟件、網(wǎng)游軟件等；支持同一主機(jī)源會(huì)話、目的會(huì)話的分別管理和限制，支持設(shè)定網(wǎng)段內(nèi)共享的或者任一地址的并發(fā)連接限制。支持對(duì)網(wǎng)頁(yè)關(guān)鍵字和Java、JavaScript、ActiveX進(jìn)行過(guò)濾 ；支持對(duì)郵件地址、主題、正文、附件名、附件內(nèi)容等進(jìn)行關(guān)鍵字匹配過(guò)濾；支持基于反中轉(zhuǎn)的垃圾郵件識(shí)別和過(guò)濾。支持透明、路由、混合三種工作模式；支持DHCPClient、DHCPRelay、DHCPServer；支持PPPoE接入，并具備自動(dòng)斷線重連技術(shù)；支持多路ADSL撥號(hào)>6條，充分利用網(wǎng)絡(luò)資源，整合帶寬；支持靜態(tài)路由，動(dòng)態(tài)路由（OSPF/V3、RIP/RIPng等），VLAN間路由，單臂路由，組播路由等；支持200個(gè)以上的路由表、30000個(gè)以上的路由策略選擇；支持多出口路由負(fù)載均衡；支持802.1Q和ISLVLAN封裝協(xié)議，支持兩種封裝的互換，支持VlanTrunk；在各種工作模式下均支持H.323（H.323GK）、SIP、、RTSP、UPnP、XDMCP、TNS等多種動(dòng)態(tài)協(xié)議?；贗P地址、效勞、網(wǎng)口、時(shí)間等定義帶寬分配策略；支持最小保證帶寬和最大限制帶寬；根據(jù)用戶角色進(jìn)行帶寬策略配置?？蓪⒁慌_(tái)物理設(shè)備，劃分多個(gè)虛擬防火墻系統(tǒng)，支持同一個(gè)網(wǎng)口用于多個(gè)虛擬防火墻； 要求支持虛擬系統(tǒng)技術(shù)，每個(gè)虛擬系統(tǒng)vFW具備獨(dú)立的管理權(quán)限、平安策略、等功能，互不干擾；可擁有獨(dú)立的系統(tǒng)資源、管理員、平安策略、用戶認(rèn)證數(shù)據(jù)庫(kù)等。支持3G(CDMA2000)協(xié)議，支持用戶通過(guò)3G提供上行網(wǎng)絡(luò)接入；支持802.11B,802.11G協(xié)議，支持設(shè)備作為WiFi熱點(diǎn)（即AP），為客戶機(jī)提供無(wú)線平安接入效勞。支持IPv6地址、地址組配置；支持IPv6/IPv4翻譯策略技術(shù)，包括支持靜態(tài)NAT-PT、動(dòng)態(tài)NAT-PT、NAPT-PT技術(shù)。支持漏洞掃描功能支持后門、效勞探測(cè)、文件共享、系統(tǒng)補(bǔ)丁、IE漏洞等主動(dòng)式掃描。支持IPv4和IPv6雙棧協(xié)議下的上網(wǎng)行為管理。支持標(biāo)準(zhǔn)IPSec協(xié)議，要求能夠與Cisco、Juniper等知名廠商的VPN設(shè)備互聯(lián)互通；要求支持SSLVPN，動(dòng)態(tài)分配虛擬IP，且虛擬IP與口令用戶或證書用戶進(jìn)行綁定；IPSecVPN客戶端可與所有支持標(biāo)準(zhǔn)IPSec協(xié)議的VPN網(wǎng)關(guān)互聯(lián)互通。支持基于USBKey的證書認(rèn)證方式。能夠?qū)崿F(xiàn)對(duì)blaster，nachi，nimda，codered，sasser，slapper，sqlexp，zotob等主流蠕蟲病毒的識(shí)別、過(guò)濾和攔截；可識(shí)別和防御synflood、Pingflood、udpflood、teardrop、sweep、land-base、pingofdeath、smurf、winnuke、圣誕樹、碎片等多種攻擊。 支持SNMP管理，與大多數(shù)通用的網(wǎng)絡(luò)管理平臺(tái)兼容。（該參數(shù)描述為中高端防火墻設(shè)備，具體工程可根據(jù)實(shí)際需要來(lái)選配適宜的型號(hào)）入侵檢測(cè)防御系統(tǒng)選型依據(jù)工程實(shí)際需求選擇是否需要入侵防御系統(tǒng)，以及入侵防御系統(tǒng)的具體參數(shù)要求防病毒系統(tǒng)選型依據(jù)工程實(shí)際需求選擇是否需要防病毒系統(tǒng)，以及防病毒系統(tǒng)的具體參數(shù)要求訪問(wèn)控制ACL通過(guò)在分支節(jié)點(diǎn)的三層交換機(jī)或路由器上設(shè)置IP訪問(wèn)控制，可以防止個(gè)人節(jié)點(diǎn)對(duì)電子政務(wù)網(wǎng)絡(luò)中重要系統(tǒng)的非法訪問(wèn)。訪問(wèn)列表的建立是為了保護(hù)政務(wù)網(wǎng)絡(luò)的平安，因此，建立平安合理的訪問(wèn)列表，首先需要對(duì)政務(wù)網(wǎng)絡(luò)的應(yīng)用進(jìn)行深入細(xì)致的了解，有哪些應(yīng)用、使用哪些端口，訪問(wèn)哪些地址等等，使得訪問(wèn)列表的建立，不會(huì)影響到電子政務(wù)網(wǎng)絡(luò)的運(yùn)轉(zhuǎn)。我們推薦的三層交換機(jī)和路由器支持線速ACL功能，可以支持：根本的存取列表：基于源IP地址進(jìn)行檢查；擴(kuò)展的存取列表：基于源IP地址，源端口號(hào)，目的IP地址，目的端口號(hào)及ICMP包的各種類型進(jìn)行檢查。入侵檢測(cè)技術(shù)入侵檢測(cè)具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反平安法規(guī)的行為、使用誘騙效勞器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。我們推薦的"xxxx"黑客入侵檢測(cè)與預(yù)警系統(tǒng)是是國(guó)內(nèi)第一批在入侵檢測(cè)方面獲得國(guó)家公安部銷售許可證的網(wǎng)絡(luò)平安產(chǎn)品，同時(shí)xxxx還通過(guò)了所有權(quán)威管理部門的測(cè)評(píng)和認(rèn)證。"xxxx"黑客入侵檢測(cè)與預(yù)警系統(tǒng)是一種動(dòng)態(tài)的入侵檢測(cè)與響應(yīng)系統(tǒng)。它能夠?qū)崟r(shí)監(jiān)控網(wǎng)絡(luò)傳輸，自動(dòng)檢測(cè)可疑行為，及時(shí)發(fā)現(xiàn)來(lái)自網(wǎng)絡(luò)外部或內(nèi)部的攻擊，并可以實(shí)時(shí)響應(yīng)，切斷攻擊方的連接。xxxx系統(tǒng)可以與防火墻緊密結(jié)合，彌補(bǔ)了防火墻的訪問(wèn)控制不嚴(yán)密的問(wèn)題。其聯(lián)機(jī)文檔提供了豐富的事件說(shuō)明及恢復(fù)措施，可以最大程度地為網(wǎng)絡(luò)系統(tǒng)提供平安保障。在本設(shè)計(jì)方案中建議部署，其關(guān)鍵特性與效果：通過(guò)實(shí)時(shí)監(jiān)視和檢測(cè)功能，能夠積極主動(dòng)地對(duì)非授權(quán)行為做出響應(yīng)，阻止網(wǎng)絡(luò)訪問(wèn)、中斷惡意的通訊連接以及系統(tǒng)內(nèi)部越權(quán)操作；能夠彌補(bǔ)其它平安機(jī)制（如防火墻、加密和認(rèn)證）的缺乏。xxxx能夠在外網(wǎng)和內(nèi)網(wǎng)環(huán)境中操作，從而保護(hù)組織的整個(gè)網(wǎng)絡(luò)和重要主機(jī)；具備綜合的攻擊識(shí)別/特征覆蓋，探測(cè)引擎能夠檢測(cè)各類攻擊，包括那些復(fù)雜的IP碎片重組以及“Whisker〞反IDS檢測(cè)功能；優(yōu)化的網(wǎng)絡(luò)引擎在1000M環(huán)境中仍保持最正確的運(yùn)行狀態(tài)，優(yōu)化的主機(jī)引擎占用的資源消耗對(duì)主機(jī)的正常運(yùn)行幾無(wú)影響；硬件網(wǎng)絡(luò)引擎提供即插即用的解決方案，軟件操作界面友好；維護(hù)本錢很低，探測(cè)引擎的安裝、配置和維護(hù)簡(jiǎn)單易行；不僅不會(huì)影響網(wǎng)絡(luò)性能，對(duì)于最終用戶也是完全透明的。加進(jìn)網(wǎng)絡(luò)之后，最終用戶看不見(jiàn)，平安措施得以增強(qiáng)，網(wǎng)絡(luò)性能和功能絲毫不受影響；可以把主機(jī)入侵檢測(cè)和網(wǎng)絡(luò)入侵檢測(cè)進(jìn)行同臺(tái)管理，并實(shí)現(xiàn)和其他平安產(chǎn)品的互動(dòng)和綜合分析。我們建議在xx省辦公廳信息中心核心路由器上部署，用于監(jiān)控訪問(wèn)信息中心的網(wǎng)絡(luò)連接，我們可以獲得如下效果：(1)對(duì)合法流量/網(wǎng)絡(luò)使用透明的實(shí)時(shí)入侵檢測(cè)；(2)對(duì)未經(jīng)授權(quán)活動(dòng)的實(shí)時(shí)應(yīng)對(duì)可以阻止黑客訪問(wèn)網(wǎng)絡(luò)或終止違規(guī)會(huì)話；(3)全面的攻擊簽名目錄可以檢測(cè)廣泛的攻擊，檢測(cè)基于內(nèi)容和上下文的攻擊(4)取得證據(jù)：從相關(guān)的事件和活動(dòng)的多個(gè)角度提供了具有標(biāo)準(zhǔn)格式的獨(dú)特?cái)?shù)據(jù)。 其產(chǎn)品部署結(jié)構(gòu)圖可參看“圖4.7.1-1網(wǎng)絡(luò)效勞平安設(shè)計(jì)示意圖〞。漏洞掃描技術(shù)漏洞檢測(cè)就是對(duì)重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。漏洞檢測(cè)的結(jié)果實(shí)際上就是系統(tǒng)平安性能的一個(gè)評(píng)估，它指出了哪些攻擊是可能的，提供了積極的預(yù)防性平安，因此成為平安方案的一個(gè)重要組成局部。平安掃描效勞器可以對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行自動(dòng)的平安漏洞檢測(cè)和分析，并且在實(shí)行過(guò)程中支持基于策略的平安風(fēng)險(xiǎn)管理過(guò)程。另外，互聯(lián)網(wǎng)掃描執(zhí)行預(yù)定的或事件驅(qū)動(dòng)的網(wǎng)絡(luò)探測(cè)，包括對(duì)網(wǎng)絡(luò)通信效勞、操作系統(tǒng)、路由器、電子郵件、Web效勞器、防火墻和應(yīng)用程序的檢測(cè)，從而去識(shí)別能被入侵者利用來(lái)進(jìn)入網(wǎng)絡(luò)的漏洞。能進(jìn)行系統(tǒng)掃描。系統(tǒng)掃描通過(guò)對(duì)企業(yè)內(nèi)部操作系統(tǒng)平安弱點(diǎn)的完全的分析，幫助組織管理平安風(fēng)險(xiǎn)。系統(tǒng)掃描通過(guò)比較規(guī)定的平安策略和實(shí)際的主機(jī)配置來(lái)發(fā)現(xiàn)潛在的平安風(fēng)險(xiǎn)，包括缺少平安補(bǔ)丁、詞典中可猜的口令、不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng)登錄權(quán)限、不平安的效勞配置和代表攻擊的可疑的行為。系統(tǒng)平安掃描還可以修復(fù)有問(wèn)題的系統(tǒng)，自動(dòng)產(chǎn)生文件所有權(quán)和文件權(quán)限的修復(fù)腳本。當(dāng)收到平安性消息時(shí)圖形用戶界面上相應(yīng)的主機(jī)狀態(tài)顏色和平安性消息組的圖標(biāo)都應(yīng)有相應(yīng)變化，以幫助操作人員快速地確定報(bào)警的原因和范疇。由于本工程標(biāo)書界定，本工程設(shè)備采購(gòu)中并不涉及漏洞掃描系統(tǒng)，但我們認(rèn)為漏洞掃描/平安評(píng)估系統(tǒng)是xx省電子政務(wù)平安建設(shè)中必不可少的環(huán)節(jié)，通過(guò)漏洞掃描系統(tǒng)，可以檢查和監(jiān)控浙江電信IP網(wǎng)中網(wǎng)絡(luò)設(shè)備、主機(jī)和應(yīng)用系統(tǒng)的平安狀態(tài)，一旦發(fā)現(xiàn)平安漏洞，可以及時(shí)修補(bǔ)，以防止造成平安隱患。系統(tǒng)平安的非技術(shù)因素平安體系的建立是全方位多因素制約的復(fù)雜過(guò)程，存在許多非技術(shù)因素同樣對(duì)信息系統(tǒng)的平安起至關(guān)重要的作用。物理環(huán)境因素在前面我們偏重于使用一定的設(shè)備、一定的軟件和相應(yīng)的技術(shù)到達(dá)系統(tǒng)平安性，除此以外信息系統(tǒng)所存在的物理環(huán)境也非常重要，不平安的環(huán)境所導(dǎo)致的違規(guī)行為可以輕易的繞過(guò)由技術(shù)所設(shè)定的重重障礙，比方機(jī)房應(yīng)按平安規(guī)定進(jìn)行區(qū)域設(shè)置，否則可能發(fā)生管理員輸入密碼的鍵盤操作被不法人員輕易窺測(cè)，無(wú)需繁冗的破解算法就可被得到口令字；設(shè)備機(jī)柜必須上鎖，否則會(huì)被輕易改變端口跳線，使VLAN設(shè)置等技術(shù)失去意義；更有甚者直接接入到網(wǎng)絡(luò)設(shè)備上進(jìn)行網(wǎng)絡(luò)探測(cè)或接入Console口便可以輕易破解密碼。物理環(huán)境的平安管理現(xiàn)已有大量標(biāo)準(zhǔn)和標(biāo)準(zhǔn)，如GB9361-88《計(jì)算機(jī)場(chǎng)地平安要求》、GFB2887-88《計(jì)算機(jī)場(chǎng)地技術(shù)條件》等，應(yīng)當(dāng)參照?qǐng)?zhí)行。平安的管理因素網(wǎng)絡(luò)平安可以采用多種技術(shù)來(lái)增強(qiáng)和執(zhí)行。但是，很多平安威脅不是首先起因于技術(shù)上的落后，而是直接源于管理上的松懈及對(duì)平安威脅認(rèn)識(shí)的淡化。平安威脅主要利用以下途徑：（1）系統(tǒng)實(shí)現(xiàn)存在的漏洞；（2）系統(tǒng)平安體系的缺陷；（3）用人員的平安意識(shí)薄弱；（4）管理制度的薄弱；良好的平臺(tái)管理有助于增強(qiáng)系統(tǒng)的平安性：（1）及時(shí)發(fā)現(xiàn)系統(tǒng)平安的漏洞；（2）審查系統(tǒng)平安體系；（3）加強(qiáng)對(duì)使用人員的平安知識(shí)教育；（4）建立完善的系統(tǒng)管理制度。平安系統(tǒng)需要人來(lái)執(zhí)行，即使是最好的、最值得信賴的系統(tǒng)平安措施，也不能完全由計(jì)算機(jī)系統(tǒng)來(lái)完全承當(dāng)平安保證任務(wù)，因此必須建立完備的平安組織和管理制度。下面簡(jiǎn)單介紹一下制訂平安制度時(shí)所應(yīng)遵循的平安管理原則和平安管理的具體實(shí)現(xiàn)。平安管理原則計(jì)算機(jī)信息系統(tǒng)的平安管理主要基于三個(gè)原則。（1）多人負(fù)責(zé)原則每項(xiàng)與平安有關(guān)的活動(dòng)都必須有兩人或多人在場(chǎng)。這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，應(yīng)忠誠(chéng)可靠，能勝任此項(xiàng)工作。（2）任期有限原則一般地講，任何人最好不要長(zhǎng)期擔(dān)任與平安有關(guān)的職務(wù)，以免誤認(rèn)為這個(gè)職務(wù)是專有的或永久性的。（3）職責(zé)別離原則除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)，在信息處理系統(tǒng)工作的人員不要打聽(tīng)、了解或參與職責(zé)以外、與平安有關(guān)的任何事情。平安管理的實(shí)現(xiàn)xx省信息中心的平安管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)標(biāo)準(zhǔn)，其具體工作是：(1)確定該系統(tǒng)的平安等級(jí)；(2)根據(jù)確定的平安等級(jí)，確定平安管理的范圍；(3)制訂相應(yīng)的機(jī)房出入管理制度，對(duì)平安等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無(wú)關(guān)的區(qū)域；(4)制訂嚴(yán)格的操作規(guī)程，操作規(guī)程要根據(jù)職責(zé)別離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍；(5)制訂完備的系統(tǒng)維護(hù)制度，維護(hù)時(shí)，要首先經(jīng)主管部門批準(zhǔn)，并有平安管理人員在場(chǎng)，故障原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄；(6)定期平安檢查：維系系統(tǒng)的平安不只是在建設(shè)時(shí)期的事情，而是長(zhǎng)期維護(hù)的過(guò)程，需要定期根據(jù)平安制度、輔助一些技術(shù)手段進(jìn)行檢查，及時(shí)發(fā)現(xiàn)漏洞彌補(bǔ)漏洞，防患于未然；(7)制訂應(yīng)急措施，要制訂在緊急情況下，系統(tǒng)