某县电子政务外网项目设计方案

《某县电子政务外网项目设计方案》由会员分享，可在线阅读，更多相关《某县电子政务外网项目设计方案（124页珍藏版）》请在装配图网上搜索。

1、大化瑶族自治县电子政务外网项目设计方案目录第一章 项目概述11.1 项目名称11.2 项目建设目标、规模、内容、建设期11.2.1 建设目标11.2.2 建设内容11.2.3 建设规模2第二章 需求分析22.1 系统功能指标22.2 信息量指标32.2.1 信息量分析32.2.2 网络带宽分析42.3 系统性能指标9第三章 总体建设方案113.1 总体设计原则113.2 总体目标133.3 总体建设任务133.4 系统总体结构和逻辑结构13第四章 本期项目设计方案174.1 标准规范建设内容174.1.1 标准规范建设的原则174.1.2 标准规范框架184.1.3 标准规范建设内容194.2

2、 信息资源规划234.3 应用支撑系统设计244.4 数据处理和存储系统设计264.4.1 数据处理系统264.4.2 存储系统284.5 网络系统设计294.5.1 城域网结构294.5.2 政务部门接入方案324.5.3 城域网基础线路选择354.5.4 互联网出口方案364.5.5 IP地址规划384.5.6 路由、VPN和域名系统设计444.5.7 综合布线系统设计534.6 安全系统设计554.6.1 风险分析564.6.2 设计原则和依据594.6.3 安全系统建设内容614.6.4 安全域划分654.6.5 信息系统安全等级684.6.6 安全防护系统734.7 运行维护系统设计

3、844.7.1 运维系统总体规划844.7.2 总体技术方案864.7.3 部署方案874.8 主要软硬件选型原则和详细软硬件配置清单874.8.1 系统配置及软硬件选型原则874.8.2 系统软硬件部署方案904.9 机房及配套工程设计904.9.1 设计原则904.9.2 设计目标914.9.3 设计方案91第五章 项目建设与运行管理1045.1 领导和管理机构1045.2 项目实施机构1055.3 运行维护机构1055.4 运行维护管理措施105第六章 人员配置与培训1086.1 人员配置计划1086.2 人员培训方案108第一章 项目概述1.1 项目名称大化瑶族自治县电子政务外网项目。

4、1.2 项目建设目标、规模、内容、建设期1.2.1 建设目标按照广西电子政务外网规划部署，在充分利用自治区和河池市以及大化瑶族自治县现有电子政务资源的基础上，通过建设大化瑶族自治县电子政务外网平台、运维支撑平台、安全防护体系、相关标准规范制度、机房环境等，为大化瑶族自治县县直委办局和各乡镇政府等单位之间建立公共非涉密信息传输通道，为各级政务部门实现互联互通、数据传输、资源共享、业务协同提供网络支撑环境，满足各级政务部门业务办公、社会管理和公共服务的需要，全面提高大化瑶族自治县电子政务水平。1.2.2 建设内容围绕项目建设目标的实现，本项目建设内容如下：1.制定和完善相关标准规范和规章制度；2.

5、建设覆盖县本级和乡镇的网络基础平台；3.建设县级统一互联网络出口；4.建设安全防护体系；5. 建设政务外网运维管理系统。1.2.3 建设规模本项目建设按以下规模进行控制：1.县本级城域网连接82个县直委办局单位，16个乡、镇人民政府，共98个单位；2. 党政办公大楼采用1条千兆光纤链路，其他办公大楼采用MSTP链路，其中9条20Mbps MSTP链路，26条50Mbps MSTP链路，8条80Mbps MSTP链路；3.两个互联网出口带宽均为300Mbps；4.电子政务外网平台安全等级保护按第二级进行建设。第二章 需求分析2.1 系统功能指标1.基础网络平台大化瑶族自治县电子政务外网是河池电子

6、政务外网重要组成部分，其基础网络平台包括平台端局域网及单位接入网。网络平台为树形结构，平台端局域网部署在政务外网接入节点，单位接入网横向接入连接县委、政府、人大、政协、公检法等县直82个单位以及16个乡镇，实现本级政务部门之间互联互通、信息交换和业务协同。为大化县政务部门提供安全、可控的互联网访问，同时实现互联网数据流与政务外网数据流进行有效的逻辑隔离保护政务外网不会因来自互联网拒绝服务攻击而瘫痪，对进出各安全域的信息和数据进行严格的控制，防止对安全域的非法访问，建设统一互联网出口，满足政府部门访问互联网需要。2.安全防护按照信息安全等级保护二级要求，部署防火墙、安全审计系统、入侵检测系统等设

7、备进行安全隔离和访问控制，保证电子政务外网数据传输安全，减少数据被窃听和篡改的可能；通过对服务器的保护，系统审计、监控以及仲裁管理，保障系统的可控性；同时依靠门禁系统，防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生。巩固大化瑶族自治县电子政务外网项目的安全支撑能力，满足安全等级保护的要求。2.2 信息量指标2.2.1 信息量分析大化瑶族自治县电子政务外网系统运行时，会产生管理数据、日志数据等其他数据，按照每个单位每天200KB进行计算，系统每年产生的数据量为98365200/1024=6986.33MB，约6.82GB，数据存储于服务器中。监控运维系统主要用于实时监察大化县电子政务管理

8、中心机房运维状况，有4路视频监控套装，按标清视频计算，则一天的数据量为4512kbps360024/1024/1024=168.75GB，视频数据存储期为30天，则一个月的视频数据量为168.75GB30/1024=4.94TB，数据存储于硬盘录像机中。2.2.2 网络带宽分析1.接入单位网络流量各单位、乡镇通过购买运营商专线使用权的方式接入政务外网，按照接入终端数量多少分为4类。（1）在党政办公大楼里有40个接入单位，按平均每个单位有20台计算机接入电子政务外网，每台计算机访问政务外网相关业务带宽为1Mbps、按照50%并发访问量计算，则党政办公大楼组要的网络线路带宽为40*20*1*50%

9、=400 Mbps。除业务、应用占用网络带宽外，考虑数据变化量（每秒数据流量）、瞬时峰值因子、IP包与承载数据量的比例、IP包头开销、线路利用率、协议开销等进行测算，也将占用3%-5%带宽，另外，按年增长率为30%预留带宽。综合以上因素考虑，党政办公大楼采用千兆光口通过裸光纤链路连接。（2）在县直委办局的青少年活动中心大楼、县府大院内机关楼、办证大厅大楼、教育局、人社局、检察院大楼、大化镇、都阳镇等8个办公大楼终端接入数量较大，按平均每个办公大楼80台计算机接入电子政务外网，每台计算机访问政务外网相关业务带宽为1Mbps、按照50%并发访问量计算，则每个办公大楼需要的网络线路带宽为80*1*5

10、0%=40Mbps。除业务、应用占用网络带宽外，考虑数据变化量（每秒数据流量）、瞬时峰值因子、IP包与承载数据量的比例、IP包头开销、线路利用率、协议开销等进行测算，也将占用3%-5%带宽，另外，按年增长率为30%预留带宽。综合以上因素考虑，接入办公大楼专线带宽选择为80Mbps的MSTP专线，能满足承载业务应用需要，后期也可以进行弹性扩容。（3）通过统计，有26个接入单位平均有40台计算机接入电子政务外网、每台计算机访问政务外网相关业务带宽为1Mbps、按照50%并发访问量计算，则每个单位需要的网络线路带宽为40*1*50%=20Mbps。除业务、应用占用网络带宽外，考虑数据变化量（每秒数据

11、流量）、瞬时峰值因子、IP包与承载数据量的比例、IP包头开销、线路利用率、协议开销等进行测算，也将占用3%-5%带宽，另外，按年增长率为30%预留带宽。综合以上因素考虑，普通接入单位专线带宽取值为50Mbps，能满足承载业务应用需要，为了保证有良好的弹性扩容，线路标准选择MSTP专线。（4）通过统计，如老干局、党校、档案局、交警大队等9个接入单位平均有15台计算机接入电子政务外网、每台计算机访问政务外网相关业务带宽为1Mbps、按照50%并发访问量计算，则每个单位需要的网络线路带宽为15*1*50%=7.5Mbps。除业务、应用占用网络带宽外，考虑数据变化量（每秒数据流量）、瞬时峰值因子、IP

12、包与承载数据量的比例、IP包头开销、线路利用率、协议开销等进行测算，也将占用3%-5%带宽，另外，按年增长率为30%预留带宽。综合以上因素考虑，普通接入单位专线带宽取值为20Mbps，能满足承载业务应用需要，为了保证有良好的弹性扩容，线路标准选择MSTP专线。各单位带宽接入方式如下所示，其中发改局、民宗局、住建局、卫计委、物价局、司法局等六个单位接入政务外网。表3.3-1：单位带宽接入汇集地点单位名称接入外网终端数量接入方式党政办公大楼（共十六层）商务局10光纤直连农机局15人大办15政协办18统计局25林业局50机要局4工信局27发改局23法制局10编委办12执法局10安监局19残联10政府

13、办20水产畜牧局27农业局50粮食局12纪委20保密局4科技局16宣传部（含文联、社科联、文明办）45政法委10科协6统战部(含侨务办、台办)9组织部15民宗局5工业集中区10水果局7团县委8外事办5民语局4县志办4糖业局5党史办4供销社10审计局18农经局14移民局32县委办25青少年活动中心大楼（共4层）直属机关工委480Mbps MSTP专线妇联10文广新体局45物价局20县府大院内机关楼（共4层）信访局1780Mbps MSTP专线扶贫办20机关事务管理局12旅游局15地质公园管理局5办证大厅大楼（旧国税楼）（共5层）投资促进局1280Mbps MSTP专线政务服务中心20办证大厅46

14、工商联8区划办54层老干局520Mbps MSTP专线4层总工会2050Mbps MSTP专线5层党校820Mbps MSTP专线5层教育局5880Mbps MSTP专线4层民政局3550Mbps MSTP专线5层财政局5050Mbps MSTP专线4层人社局7080Mbps MSTP专线5层国土局2050Mbps MSTP专线4层环保局2050Mbps MSTP专线6层住建局80已接入政务外网3层交通局2050Mbps MSTP专线3层水利局4850Mbps MSTP专线4层卫计委87已接入政务外网3层食品药品监督管理局1850Mbps MSTP专线4层运管局2050Mbps MSTP专线3

15、层档案局920Mbps MSTP专线8层公安局4850Mbps MSTP专线10层交警大队1220Mbps MSTP专线5层疾病控制中心4050Mbps MSTP专线5层卫生监督所1020Mbps MSTP专线4层人民医院1020Mbps MSTP专线6层妇幼保健院1020Mbps MSTP专线5层工商局2850Mbps MSTP专线司法局大楼5层司法局2520Mbps MSTP专线调处办3检察院大楼4层检察院2580Mbps MSTP专线法院25目前2间办公室房改办320Mbps MSTP专线平均4层大化镇9080Mbps MSTP专线岩滩镇3150Mbps MSTP专线都阳镇6180Mbp

16、s MSTP专线北景镇3050Mbps MSTP专线羌圩乡3050Mbps MSTP专线乙圩乡3050Mbps MSTP专线江南乡3050Mbps MSTP专线古文乡3050Mbps MSTP专线百马乡3050Mbps MSTP专线共和乡3050Mbps MSTP专线贡川乡3050Mbps MSTP专线板升乡3050Mbps MSTP专线七百弄乡3050Mbps MSTP专线雅龙乡3050Mbps MSTP专线古河乡3050Mbps MSTP专线六也乡3550Mbps MSTP专线合计：22562.互联网出口网络流量按照98个接入单位，共2256台计算机，每台计算机正常访问互联网占用带宽1Mb

17、ps、10%并发访问量计算，统一的互联网出口带宽为2256*1*0.1=225.6Mbps。综合考虑IP报文开销，互联网出口带宽取值300Mbps。为满足出口线路的可靠性和负载均衡，将采用采购运营商的两条线路的使用权，两条线路带宽均为300Mbps。2.3 系统性能指标1.网络平台要求数据传输网络畅通、快捷、安全、可扩展，能满足数据、图像、视频等传输要求。采用MPLS VPN与国家骨干网协同实现政务部门系统内业务专网的“中央-自治区-市-县-乡镇”五级网络贯通。要求能适应3-5年内的业务增长的需求，确保系统的可扩充性和先进性，并注意设备的冗余设计以及网络的负载均衡及具备极强网络安全性，为县本级

18、政务部门提供安全、可控的互联网访问，同时实现互联网数据流与政务外网数据流的有效隔离。2.专线电路专线电路由运营商提供，组成政务外网的基础线路。上层网络设备通过专线电路构建城域网基础，承载政务数据和业务应用传输交换。随着业务量逐渐增加能不断地扩充网络带宽，能实施相应网络带宽和服务质量保障策略，保证承载业务的顺畅运行。3.安全防护本项目按照信息安全等级保护二级要求，分别建立边界安全防护措施，系统采用的安全产品应该通过国家相关部门的鉴定或认证，主要的安全建设如下：（1）对信息系统的物理支撑环境进行安全设施部署，保障物理安全；（2）对数据传输的基础网络进行安全设施部署，保障网络安全；（3）对应用数据和

19、基础数据提供行为审计、备份等安全设施部署，保障数据安全。4.机房及配套基础设施机房是电子信息设备运转必须的基础设施环境条件，在统一规划的原则下充分满足电子政务外网系统运行的需要，达到方便维护，迅速响应，灵活扩充，保护投资的目的。第三章 总体建设方案3.1 总体设计原则项目建设将遵循以下原则：1.安全性原则政务外网是大化瑶族自治县电子政务系统内部使用的计算机互联网络，其联网范围大，联接节点多，所以确保安全至关重要。为此，在规划设计的全过程中要充分体现系统建设和信息安全相结合的原则，从物理、技术、管理等方面制定严密的安全方案，形成多层次、全方位的安全防线。2.实用性原则政务外网的建设，要充分体现系

20、统的实用性。首先要考虑已建网络或应用系统需求和特点，外网要兼容已有网络和系统；其次要根据对各政务部门的业务需求进行调查，根据其调查的汇总需求，适当考虑其设备、技术的前瞻性，采用成熟的各种技术手段，实现各种功能，满足其政务部门的业务要求；再者，要充分考虑政务业务的特点，以及外网用户对使用方面的习惯、功能等要求，满足未来用户可能提出的要求。3.先进性原则政务外网作为大化县通信手段，在网络方面要求具备先进的技术水平，以保证当前及今后一段时间内的各类应用顺利运行。由于网络设备及技术更新换代频繁，盲目的追求系统的先进性也会带来更大投资风险，因此在规划、设计外网时，既要考虑到先进性，同时要避免盲目的投资风

21、险，在网络设备上，具有一定的扩展性和兼容性，在技术上，保证3至5年基本不过时。4.可靠性原则政务外网要求高度的稳定性、可靠性是不言而喻的，一个不稳定、不可靠的网络不但影响政务工作的顺利进行，还会影响政府在社会公众中的形象。因此在大化县政务外网设计和建设中，要从各个方面充分考虑网络线路的质量和设备的冗余，考虑政务业务系统可能对外网的更多需求，在稳定性没有保证的情况下，要考虑其可能的备份措施。5.经济性原则在网络系统设计和建设中，应尽可能地充分利用和保留原有各种网络资源及计算机系统资源等,保护已有投资,避免投资浪费,节约政府资金。网络结构和带宽可以满足当前及今后一段时期内政务外网上各种应用的需求。

22、新增设备选用上，要充分考虑其兼容性、可扩展性及性能价格比。6.可扩展性原则在外网设计和建设中，要求在网络建成的基础上，在不影响外网上各种应用的前提下，根据业务的需要，网络、系统可以进行顺利扩展或者平滑升级。网络可扩展的关键在于能否实现合理的模块化设计，采取模块化的设计可以根据网络需求的变化，在不影响现有网络运行的状况下，迅速扩展。因此，整个外网工程中，在设计上要尽可能选用模块化的网络产品。3.2 总体目标按照广西电子政务外网规划部署，在充分利用自治区和河池市以及大化瑶族自治县现有电子政务资源的基础上，通过建设大化瑶族自治县电子政务外网平台、运维支撑平台、安全防护体系、相关标准规范制度、机房环境

23、等，为大化瑶族自治县县直委办局和各乡镇政府等单位之间建立公共非涉密信息传输通道，为各级政务部门实现互联互通、数据传输、资源共享、业务协同提供网络支撑环境，满足各级政务部门业务办公、社会管理和公共服务的需要，全面提高大化瑶族自治县电子政务水平。3.3 总体建设任务为电子政务外网统一办公平台提供基础运行环境，建设包括网络链路、服务器、操作系统等在内的应用支撑环境。通过合理的部署和配置，保证平台的稳定运行。3.4 系统总体结构和逻辑结构广西电子政务外网是国家电子政务外网平台的一个组成部分。国家政务外网平台为树形结构，包括一级（国家）网络、二级（自治区级）网络、三级（市）网络和四级（县区）网络。每一级

24、网络基本由广域骨干网、城域网、用户接入网等构成。按照国家、自治区统一规划和标准规范，大化瑶族自治县电子政务外网将国家电子政务外网平台在大化瑶族自治县进行延伸，通过项目建设，为政务外网应用服务提供可靠、安全、高速、高效支持。大化瑶族自治县电子政务外网结构示意图如图4.4-1所示。图4.4-1：电子政务外网网络示意图按照网络功能、管理层次和服务类型，总体结构可以分为：1.按照网络功能划分，总体结构可分为广域骨干网、城域网和接入网。广域骨干网由上连河池市节点的县节点组成，城域网是县本级横向网，接入网由县级各政务部门接入局域网组成。2.按照逻辑层面划分，可分为基础网络层、业务实现层和应用系统层，如图4

25、.4-2所示。图4.42：电子政务外网总体结构图根据政务外网所承载的业务和系统服务类型，将政务外网划分为公用网络区（Global）、专用网络区（VPN）和互联网接入区（Internet）三个功能域，分别提供政务外网互联互通业务、专用VPN业务和互联网业务。图4.4-3：政务外网逻辑功能区域图其中：（1）专用网络区：是依托外网基础设施，为有特定需求的部门或业务设置的VPN（VirtualPrivateNetwork,虚拟专用网络）网络区域，VPN网络区域主要为少数部门的特定业务数据传输提供安全通道。大化瑶族自治县电子政务外网采用MPLS VPN技术将有特定需求的业务数据与其他数据安全隔离，用于满

26、足部门特殊需求。该区域采用私有地址，在骨干网上采取标签方式进行交换。（2）公用网络区：采用国家政务外网公共IP地址和地方公共IP地址规划的网络区域，是政务外网的主干道，实现各市县、各部门互联互通，为跨地区、跨部门的业务提供认证、目录交换、公共应用服务等共性支撑平台。（3）互联网接入区：是政务部门通过逻辑隔离手段安全接入互联网的网络区域，满足各级政务部门利用互联网的需要。在互联网接入区，采取了综合的安全防护措施，对互联网接入业务提供安全防护。政务外网构建互联网安全接入平台，实现各政务部门办公的公务人员利用互联网通道，通过数字证书认证、密码技术和VPN技术，安全接入大化县电子政务外网，访问指定的业

27、务应用系统。第四章 本期项目设计方案4.1 标准规范建设内容4.1.1 标准规范建设的原则标准化规范是大化瑶族自治县电子政务外网项目建设的基本保障。在严格遵循国家电子政务外网和广西电子政务外网有关规范标准的基础上，结合具体情况，逐步建设适用的信息化标准规范和保障体系。大化瑶族自治县电子政务外网项目标准规范建设遵循以下原则：1.因地制宜原则要根据项目建设的具体实施情况和应用水平，在国家、自治区电子政务领域没有相应的标准、规范参考时，因地制宜地制定符合大化瑶族自治县电子政务外网建设实情的标准规范。2.统一兼容原则系统要求开放性好、标准化程度高，系统建设应与现有的一些单位局域网系统平台兼容。在标准、

28、规范制定中，国际上有标准的，要尽量参照国际标准；国家、自治区已出台建设标准、规范的，要遵循国家、自治区的标准。3.政令畅通原则本项目制定的标准规范，对规范指导大化瑶族自治县电子政务外网项目建设具有重要意义，要维护大化瑶族自治县电子政务外网管理机构政令的畅通，切实执行。为避免本项目建设标准规范只制订不执行，或者执行效果不理想等情况，在出台相关的业务标准、技术标准、项目建设等标准规范时，必须要有相应的后续落实措施。4.安全可控原则落实国家网络安全和信息技术安全有关政策，优先采用自主可控的产品及密码算法，增强网络安全可控能力；加快构建安全可信基础环境，推动标准落地实施，切实保障信息系统安全。5.可管

29、理型原则系统设备易于管理、维护，操作简单，便于配臵，在安全性、数据流量、性能等方面能得到很好的监视和控制，可以进行远程管理和故障诊断。4.1.2 标准规范框架大化瑶族自治县电子政务外网项目标准规范分为总体标准、网络及通信标准、数据交换标准、信息安全标准和工程管理标准五个大类。标准规范框架如图5.1-1所示：图5.1-1：标准规范框架结构图4.1.3 标准规范建设内容4.1.3.1 总体标准建设总体标准包括本项目建设所需的总体性的标准与规范。从工程建设角度看，总体标准的建设内容是根据本项目建设总体方案，从框架性思路出发，制定本项目所涉及的基本术语、标准化指南、标准编写规则等方面的标准，以保证项目

30、工程建设高效、健康和稳定发展，减少重复投资和互不兼容。总体标准中重点建设的标准有以下三项：1.术语术语是本项目建设过程中所使用以及形成的基本概念的语言指称。对这些概念进行正确的语言指代，并将其内涵定义和外延定义清晰描述出来，是本项目要解决的基本问题。2.标准化指南标准化指南是根据本项目标准体系框架及其所涉及的标准化对象和内容，按照一定的主题和逻辑结构系统阐述所涉及的各标准的主要内容；是整个项目标准化建设的指南性文件。本项目标准化指南对推动和促进本项目在标准化、规范化的道路上健康发展，应具有极为重要的指导作用。3.标准编写规则标准编写规则应给出标准的结构和编写标准的基本要求，规定标准要素的编写规

31、则、标准条文的编写规则、标准的编排格式以及标准的出版格式，对于本项目标准的编写、审查、出版和管理具有直接的指导作用。4.1.3.2 网络及通信标准建设网络及通信标准分体系包括为本项目各应用系统提供基础通信平台的标准和进行系统设计时应遵循的网络标准。本项目网络及通讯标准主要内容包括：网络工程建设规范、网间互联技术规范、网络IP地址分配规范、网络域名命名规范、电子邮件地址命名规范、通信设备命名规范、通信技术标准等。该分体系以采用相关国际标准、现有国家和自治区标准为主。4.1.3.3 应用支撑标准建设应用支撑平台是基于可信消息管控的应用支撑架构，是承载业务系统协同工作的软硬件综合平台，能提供统一的接

32、入认证与授权服务以及可信的应用传输与信息交换服务。应用支撑标准分体系通过制定统一接入认证、可信应用传输以及系统间的接口规范，为本项目各应用系统提供安全服务和可信的应用环境，实现安全互联互通和安全信息共享。其主要内容是：应用支撑平台通用技术要求。该分体系以采用现有相关国际标准、国家标准和自治区标准为主。4.1.3.4 信息安全标准建设为了避免网络系统、应用系统和数据资源遭受来自系统内外各类主动或被动式的攻击，保障各级系统稳定、有效地运行，本项目必须建立完善的安全保障体系。主要内容包括：信息系统安全等级保护通用技术规范、信息系统安全管理规范、信息系统网络安全规范、数字认证体系安全管理规范、操作系统

33、安全使用技术规范、访问控制管理规范等。该分体系以采用国家、自治区电子政务外网相关标准和国家信息安全相关标准规范为主。4.1.3.5 项目管理标准建设本项目将按照科学的管理方法，利用标准化手段，对项目建设进行全方位、全过程的管理和监督。项目管理标准指本项目从立项、开发、监理、验收、运行、管理等环节应遵循的管理规范标准的集合。主要包括如下内容：项目管理规范、运行管理规范、安全管理制度、工程建设管理规范等。4.1.3.6 本项目标准建设明细表根据上述标准体系框架和分析，下表给出了本项目建设标准明细表，表内包含需要制订的标准规范研制工作。表5.1-1:标准建设明细表序号分体系名称本期建设标准参考标准备

34、注1总体标准基本术语标准化指南标准编写规则修订2网络及通信标准网络工程建设规范网络互联技术规范网络IP地址分配规范网络域名命名规范通信设备命名规范通信技术标准等遵循国家、自治区电子政务外网相关规范修订3应用支撑标准支撑平台通用技术要求采用相关国际标准和国家标准不建4信息安全标准信息系统安全等级保护通用技术规范信息系统安全管理规范信息系统网络安全规范数字认证体系安全管理规范操作系统安全使用技术规范访问控制管理规范采用国家有关安全等级保护要求及有关管理规定采用国家、自治区电子政务外网相关规范不建5项目管理标准项目管理规范运行管理规范安全管理制度工程建设管理规范新建4.2 信息资源规划根据数据管理需

35、求、应用特点及应用规划，建设全局性、基础性数据集成环境，实现数据统一、集中管理。1.数据类型政务外网数据分为信息公开型、统计分析型、信息服务型三类。（1）信息公开型数据是指各级政府部门在日常工作过程中生成的数据，此类数据由人工录入或从办公系统中产生，为信息公开发布平台提供数据支持，包括组织机构数据、政务公开数据、政府部门信息数据、标准代码数据、政策法规数据等。（2）统计分析型数据是指通过对业务数据进行统计、汇总、分析加工后产生的数据，以及根据统计分析决策需要，建立主要数据的数据仓库，为领导决策支持系统提供数据支持。（3）信息服务型数据指各类对公众提供政务服务的信息，为公众的在线办事和在线查询提

36、供数据支持。2.信息资源规划进行信息资源规划，必须考虑解决业务流程优化和功能建模、数据流分析、数据建模和数据标准化问题，实现信息共享、资源整合和业务协同。信息资源规划主要工作内容为：（1）组织数据录入对新建的数据库结构，需要在应用开发的开始阶段编制数据录入程序，将整批业务数据加载到新数据库中，或者在应用系统运行的过程中录入加载数据。（2）组织数据转换对已积累的数据库资源，不论原先的结构如何设计，都是重要的信息资源，需要按基本表的结构标准编制数据转换加载程序。（3）重整数据结构以信息资源规划设计方案中基本数据库和数据标准为标杆，来逐一衡量、评估已有数据存储的结构，找出具体的差距，确定哪些数据结构

37、可以修改、补全，哪些数据结构不合理应该抛弃，还要增加哪些新的数据结构，从而形成高可利用的数据环境的数据结构。4.3 应用支撑系统设计应用支撑平台是整个系统建设的核心，该平台中包括了用户组织机构建模、资源权限管理、数据字典管理等一系列基础配置功能，借助于系统配置管理平台可以快速构建新的系统以及对旧的业务系统进行调整。应用支撑平台组件与功能设计内容主要有：1.统一用户身份管理实现对组织机构、用户、角色、应用系统、权限及授权关系的集中管理，解决各个业务应用系统建设中存在的基础功能的重复建设和投入等问题，为实现数据整合、信息共享、流程优化提供基础保障。避免不同的业务应用系统之间多重身份、基础资料不唯一

38、等情况。2.统一身份认证与单点登录每个系统都需要用户信息、用户认证、权限管理、权限查询的功能模块，且功能特性基本相同，将他们的规律总结起来，开发一个公共系统可以提高各个系统的开发。实现用户一次登录、网内通用，避免多次登录到多个应用的情况发生。实现大化瑶族自治县电子政务外网工程中所有系统管理用户认证、授权信息的统一入口，即权限门户。 支持到文件证书、UKEY等安全认证方式。3. 与CA认证集成帐号验证数据源可以与CA认证中心进行集成绑定，外网用户登录时都可以使用CA证书进行登录，识别身份和权限。数字身份认证的作用在于实现对网络用户的身份鉴别、权限认证和责任认定，确保网络通信中用户（含设备）身份的

39、真实性与合法性，用户访问与操作权限的确定性，用户操作行为与责任的可鉴别性与不可否认性。基于网络信任体系，实现了网络通信中可靠地识别一个用户的身份、行为和责任。4.4 数据处理和存储系统设计4.4.1 数据处理系统数据处理系统的建设目标是构造一个功能齐全、运行高效、使用灵活、维护方便、易于扩展、投资省、安全可靠的主机平台，为业务系统提供可靠、高效的支撑平台。（一）数据处理系统建设原则1.高可用性保证充分的处理能力，具有良好的性能以能够支持业务系统的运行；同时，考虑到随着用户量的扩充，系统要求会有所提高，因此要能够既满足现有的需求，又能够有一定的前瞻性，充分考虑可能出现的新业务，对系统留有足够的冗

40、余。2.高可靠性要能够提供连续服务，主机系统具备可靠性、安全性及故障恢复能力，保证系统能长时间不间断运行。3.可管理性和可维护性为了保证系统安全可靠的运行，整个系统的管理和维护是十分重要的。整个系统的结构应该是简单的、易于管理和维护的。4.可扩展性随着新业务需求的发展，主机系统的扩充能力也是系统设计需要充分考虑的因素。5.实用性设计方案要充分考虑到实际需求和经济承受能力，量力而行。（二）主机系统需求分析用于承载应用支撑平台的主机需要较高的CPU和内存处理能力以及一定的可靠性；用于承载数据库的主机仅用于运行数据库，数据库的容量以GB为单位增长，需要高性能的CPU处理能力，大容量内存为数据缓存服务

41、，并需要很好的IO性能，数据库应用是对系统各方面性能要求最高的应用，可靠性要求也非常高；用于承载业务应用系统的主机需要一定的CPU和内存处理能力。（三）主机系统服务器性能主机系统服务器性能从定性分析和定量分析两方面解读。主机系统服务器性能的定性分析包括以下几个方面：可靠性（Reliability）、可用性（Availability）、可扩展性（Scalability）、易用性（Usability）、可管理性（Manageability），即服务器的RASUM衡量标准。本项目根据自身应用环境选择TPC体系作为评测标准。（四）主机选择主机系统是在网络环境下提供网上客户机共享资源（包括查询、存储、计

42、算等）的设备，具有高可靠性、高性能、高吞吐能力、大内存容量等特点，并且具备强大的网络功能和友好的人机界面。X86服务器多采用Intel或者AMD等CPU，支持标准的Windows和Linux操作系统。具有价格低廉，系统开放性和可扩展性良好、易于使用及构架集群系统等优点，获得广泛应用。机架式服务器具有较强的灵活性，在外型和设计上有统一的标准，兼容性和管理性较强，标准外设，标准接口，具有RAID功能、冗余功能，可独立运行并承担任务，同时也具有成本优势。因此，根据上述主机分析结果并结合主机系统的需求分析，本方案选用3台高性能的机架式服务器，一台用于存放杀毒软件，一台用于存放业务监控运维系统，一台用于

43、存放DHCP、DNS。服务器部署在公用网络区。4.4.2 存储系统存储系统为数据存储、数据交换、数据共享等业务提供安全、快速、可靠的数据支撑，并实现对迅速增长数据的高效管理。本期项目将产生6.82GB，因数据量较小，故存储于新购买的服务器中，存储架构图如下所示：图5.4-1：存储架构图4.5 网络系统设计4.5.1 城域网结构大化县电子政务外网是国家电子政务外网和广西电子政务外网的重要组成部分，横向城域网主要用于同城政务部门互联，是全县政务部门提供互联互通、信息共享的基础平台。为保证网络可靠性，提高数据转发效率，降低网络复杂度，大化瑶族自治县电子政务外网城域网采用星型拓扑二层扁平化结构，即分为

44、核心层和接入层两个层次。此外，政务外网与互联网之间为逻辑隔离，建设统一互联网出口。大化县电子政务外网网络结构如图5.5-1所示：图5.5-1：政务外网城域网架构图1.网络架构（1）城域网核心层由两台高性能、高可靠的核心交换机组成，负责本级城域网内数据的高速交换，并互联各个委办局。双核心交换机支持虚拟化，对设备进行双机冗余保护，当一台设备出现故障，重要的业务可手工切换至另一台设备。（2）两台核心设备之间通过万兆光纤实现trunk，核心层和接入层之间通过采购运营商线路连接；机房内的网络设备、安全设备、服务器设备及管理设备之间通过千兆多模光纤连接。（3）大化县党政办公大楼（内有40个接入单位）采用千

45、兆光口通过裸光纤链路对接；青少年活动中心大楼、县府大院内机关楼、办证大厅大楼、教育局、人社局、检察院大楼、大化镇、都阳镇等8个办公大楼采购80Mbps MSTP专线连接；26个接入单位采购50Mbps MSTP专线连接，剩余9个接入单位采购20Mbps MSTP专线连接。（4）统一互联网出口，互联网与电子政务外网安全逻辑隔离，为接入单位、乡镇（街道）提供互联网服务。为提高可靠性，互联网带宽采购运营商两条链路，两条链路带宽均为300Mbps，实施冗余和负载分担。2.各区域设备部署（1）公用网络区：部署基础网络服务，如业务监控运维服务器、杀毒软件服务器等，通过MPLSVPN技术与其他区域逻辑隔离，

46、管理人员通过网络对位于该区域的本部门服务器进行信息更新和管理。部署入侵检测，安全审计，漏洞扫描，防火墙等安全系统，提供全网网络安全保障。（2）互联网接入区：提供统一的互联网出口，满足各部门访问互联网的需求，同时为移动办公提供互联网汇接。互联网出口采用不同运营商的两条链路，实施策略路由、流量控制、链路负载均衡策略；为保证安全，按照等保要求，部署防火墙、入侵防御系统。 （3）专用网络区：依托政务外网基础设施，为有特定需求的部门或业务设置的虚拟专网区域，主要满足部门纵向业务的需要，实现不同部门、不同业务逻辑隔离。该区域采用私有地址，在骨干网上通过标签（MPLS VPN）进行数据传输。为降低系统复杂度

47、，节约投资，MPLS VPN的PE由广西电子政务外网广域骨干县级节点的路由器承担，MPLS VPN开通及维护由区外网管理中心负责，县级城域核心采用VLAN或者GRE等与MPLS VPN实现对接，各接入单位部署二层网关接入网络。4.5.2 政务部门接入方案委办局接入设备作为区县电子政务外网的终端网络的连接设备以及城域网网络的边界，负责将区县单位部门相关终端、主机、服务器接入电子政务外网。对于各个通过专线方式接入政务外网的接入单位，网络内部私有地址复杂，为了保证各单位快速灵活地接入电子政务外网，城域网接入设备需要具有MCE及NAT的功能。同时，考虑到各单位的内部主机在访问政务外网时存在同一主机能够

48、访问多个纵向VPN业务的情况（如同一台主机既能访问互联网VPN，又可访问公共资源VPN），从简化技术、实现节省投资的角度，参照国家信息中心地市电子政务外网建设技术指导文件，大化县外网接入最终采用简单接入模型。具体如下：图5.5-2：单位接入模型该接入模型中，将接入单位和乡镇政府划归网络接入层，其中党政办公大楼采用千兆光口通过裸光纤链路连接，其余单位购买运营商MSTP（带宽20Mbps /50Mbps/80Mbps）链路，连接到城域网核心设备上。接入单位存在同时需要接入互联网区、公用网络区和专用网络区，相关的互联模型如下：图5.5-3：用户接入访问公用网络区业务模型示意图图5.5-4：用户接入访

49、问互联网区业务模型示意图4.5.3 城域网基础线路选择城域网网络核心由两台高性能交换机设备组成，它们之间通过设备万兆口捆绑互联，提供2*1Gbps互联带宽。核心交换机支持10G性能扩容。核心设备与服务器、安全防控设备之间通过多模光纤互联，提供1Gbps链路带宽。接入单位以及乡镇政府采用光纤链路及MSTP链路与核心设备连接，可扩展性考虑，结合实际需求分析，在党政办公大楼通过裸光纤连接，其他单位分别购买运营商20Mbps 、50Mbps和80Mbps MSTP链路的使用权与核心设备连接，保障满足承载业务应用需要。4.5.4 互联网出口方案做为整个电子政务外网对互联网的出口，政务外网互联网出口同时承

50、担着两方面的作用：一是电子政务外网内所有用户访问互联网的出口；二是公众访问电子政务外网综合门户网站的通道。互联网出口建设方案应有如下考虑。（一）设计原则1.高性能。电子政务外网内部所有用户对互联网的访问均需通过此出口，数据访问量大，人数众多，故此出口在建设过程中涉及的所有设备必需具备高性能指标，如路由转发性能，包交换能力等等。2.高可靠。承担网络出口的所有网络设备必需具备高可靠性要求，以确保整个政务外网内部用户对互联网的正常访问。3.高安全。互联网出口是电子政务外网与互联网之间的纽带，它的安全性对电子政务外网的安全具有至关重要的影响。所有来自互联网上对电子政务外网的攻击和入侵等都应得到相应的控

51、制。因此，构建互联网出口的网络设备必需具有强大的安全特性。4.可扩展。互联网出口建设必需考虑可扩展性。所有的网络设备应具有相应的扩展能力，同时组网结构应具有相应的扩展能力，以便今后业务发展起来能够根据需要随时扩展互联网出口。（二）出口线路方案根据大化瑶族自治县政务外网互联网出口的实际情况，并考虑到未来的发展趋势，需要建立一个优化、稳定的电子政务互联网出口。为保证互联网出口的高可用性，将采购运营商两条互联网专线使用权，出口带宽均为300Mbps。图5.5-5：互联网出口拓扑图1.为了能够更好地实现网络出口的安全与稳定，采用运营商的两条互联网出口链路，实现线路冗余。2.在互联网出口具备双线路的情况

52、下，必须提供高性能的策略路由和负载均衡，确保链路充分利用。考虑到应用、流量和用户增加以及互联网出口功能需求的增加，采用防火墙设备实现高性能NAT。因此，需要在互联网出口增加一套高性能防火墙，提供高性能NAT（地址转换）。4.5.5 IP地址规划4.5.5.1 IP地址规划原则大化县电子政务外网项目IP地址规划思路如下：1.IP地址规划将遵循国家外网管理中心和广西外网管理中心有关规划和指导意见；2.采用正式地址和保留地址相结合的办法。正式地址（公用网络区“59”段地址）主要用于骨干层、接入层设备的Loopback地址和公用网络区NAT地址。私有地址（“10”段地址）主要用于用户终端地址和城域网设

53、备互联地址；3.IP地址规划主要涉及到网络资源利用的方便以及有效的管理网络的问题，合理的IP地址规划有利于网络的管理；4.IP地址的合理分配是保证网络顺利运行和网络资源有效利用的关键。本项目城域网IP地址的分配应该尽可能地利用广西电子政务外网管理中心分配给大化县的私有地址空间和公用网络区地址空间，充分考虑到地址空间的合理使用，保证实现最佳的网络地址分配及业务流量的均匀分布；5.IP地址的规划与划分应该考虑到网络的后续规模和业务上的发展，能够满足未来发展的需要；即要满足本期工程对IP地址的需求，同时要适当考虑未来业务发展，预留相应的地址空间；6.IP地址的分配必须采用VLSM(变长掩码)技术，保

54、证IP地址的利用效率；7.采用CIDR技术，减小路由器路由表的大小，加快路由器路由的收敛速度，也可以减小网络中广播的路由信息的大小；8.IP地址规划要和网络层次规划、路由协议规划、流量规划等结合起来考虑。IP地址的规划应尽可能和网络层次相对应，自上而下规划；9.大化县及所辖县（区）IP地址规划应该从预分配的地址段中按广西电子政务外网相关规范再分配，采用这样的方式充分考虑了网络层次和路由协议的规划，通过聚合网络减少网络中路由的数目和地址维护的数量，也利于分级管理。4.5.5.2 IP地址分配表按照上述IP地址规划思路，大化县电子政务外网IP地址分配如下：1.从广西电子政务外网管理中心分配给大化的

55、正式IP地址段部分地址，用于公用网络区服务器的IP地址一对一映射和访问国家、自治区公用网络区资源时的NAT地址池。2. 广西政务外网管理中心分配的地址，用于用户局域网，根据接入单位规模，大化县每个接入单位、乡镇可以分配1个C类（255台主机）地址。3.设备管理（Loopback）地址从大化分配到的正式地址段和私有地址段中选取，每台设备各取一个作为设备管理地址，子网掩码统一为255.255.255.255。4.设备互联地址大化县城域网设备互联地址，从分配到的私有地址段中选取，每对互联地址的子网掩码统一为255.255.255.252。5.互联网出口地址互联网出口IP地址（接口地址、NAT地址池、

56、服务器映射地址等）由线路所属通信运营商提供。广西电子政务外网网络管理机构设置自治区级和市级两级网络管理中心。政务外网IP地址总体规划由自治区级网管中心负责，市级网络IP地址分配、管理和使用由市级网管中心负责，县（区）级网络IP地址分配由所属市级网管中心负责。政务外网IP地址采用公有IP地址和私有地址两类地址混合使用，其中，政务外网公有IP地址主要应用于政务单位接入外网的转换地址、政务外网公用网络区服务器地址；政务外网私有IP地址主要应用于政务单位接入用户地址、内部服务器地址、网络设备互联和管理地址等。大化县城域网建设的地址规划，遵循广西电子政务外网统一的IP地址分配规范，按照自治区电子政务外网

57、管理中心分配的地址规划大化县城域网内地址，保证后期大化县城域网与自治区电子政务外网的正常对接，杜绝发生政务外网上IP地址冲突问题，实现当地城域网与全国和自治区的互联互通。根据广西电子政务外网平台市、县（区）级节点技术规范说明，网络管理中心分配给大化县政务外网公有IP地址是59.211.196.0/24，政务外网私有IP地址是10.187.0.0/16。序号委办单位名称内网IP接入接口接入路由器IP对端接口IP1商务局10.187.0.0/24Ge 0/010.187.248.110.187.248.22农机局10.187.1.0/24Ge 0/010.187.248.910.187.248.1

58、03人大办10.187.2.0/24Ge 0/010.187.248.1710.187.248.184政协办10.187.3.0/24Ge 0/010.187.248.2510.187.248.265统计局10.187.4.0/24Ge 0/010.187.248.3310.187.248.346林业局10.187.5.0/24Ge 0/010.187.248.4110.187.248.427机要局10.187.6.0/24Ge 0/010.187.248.4910.187.248.508工信局10.187.7.0/24Ge 0/010.187.248.5710.187.248.589发改局1

59、0.187.8.0/24Ge 0/010.187.248.6510.187.248.6610法制局10.187.9.0/24Ge 0/010.187.248.7310.187.248.7411编委办10.187.10.0/24Ge 0/010.187.248.8910.187.248.9012执法局10.187.11.0/24Ge 0/010.187.248.9710.187.248.9813安监局10.187.12.0/24Ge 0/010.187.248.10510.187.248.10614残联10.187.13.0/24Ge 0/010.187.248.11310.187.248.11

60、415政府办10.187.14.0/24Ge 0/010.187.248.12110.187.248.12216水产畜牧局10.187.15.0/24Ge 0/010.187.248.12910.187.248.13017农业局10.187.16.0/24Ge 0/010.187.248.13710.187.248.13818粮食局10.187.17.0/24Ge 0/010.187.248.14510.187.248.14619纪委10.187.18.0/24Ge 0/010.187.248.15310.187.248.15420保密局10.187.19.0/24Ge 0/010.187.248.16110.187.248.16221科技局10.187.20.0/24Ge 0/010.187.248.16910.187.248.17022宣传部（含文联、社科联、文明办）10.187.21.0/24Ge 0/010.187.248.17710.187.248.17823政法委10.187.22.0/24Ge 0/010.187.248.18510.187.248.18624科协10.187.23.0/24Ge 0/010.187.248.19310.187.248.19425统战部(含侨务办、台办)10.187.24.0/24Ge 0/010.187.