CH09电子政务网络设计

第1页苏州大学计算机科学与技术学院19.1电子政务概述9.1.1电子政务网络总体架构电子政务是指政府机构利用信息化手段，实现各类政府职能。其核心是应用信息技术，提高政府事务处理的效率，改善政府组织和公共管理。背景：信息技术的飞速发展发达国家提出“电子政务（电子政府）计划”我国的电子政务第2页苏州大学计算机科学与技术学院2电子政务网络体系架构第3页苏州大学计算机科学与技术学院39.1.2市级电子政务功能需求电子政务城域网基本功能需求支持政府部门横向信息共享和交互平台支持政府各部门上下级纵向连接支持城域内各政府部门统一接入Internet第4页苏州大学计算机科学与技术学院4电子政务城域网建设要求城域网关键性业务的可靠性保障政府部门业务系统安全隔离和受控互访特殊应用系统QoS保证降低城域网管理维护复杂度和成本数据中心安全防护第5页苏州大学计算机科学与技术学院59.2市级电子政务城域网设计电子政务城域骨干网电子政务信息系统城域网的汇聚与接入基于EPON的接入第6页苏州大学计算机科学与技术学院69.2.1电子政务城域骨干网电子政务城域网结构设计第7页苏州大学计算机科学与技术学院7城域网核心层RRPP技术RRPP技术是一种专门用于以太网环的链路层协议，它在以太网环中能够防止数据环路引起的广播风暴。当以太网环上链路或设备故障时，能保证链路倒换时间为50ms以内，业务倒换时间为50～200ms，保证业务快速恢复.RRPP与STP（生成树协议）相比，RRPP具有算法简单、拓扑收敛速度快和收敛时间与环网上结点数无关等显著优势。RRPP技术没有改变传统以太网的硬件，所有正在网络中运行的中高端交换机都可以通过软件升级支持吉比特以太网端口的RRPP特性。RRPP与RPR技术相比，RRPP是一种低成本的自愈环网技术。第8页苏州大学计算机科学与技术学院8逻辑子网VLAN划分电子政务城域网的逻辑拓扑可划分为若干VLAN（虚拟子网），VLAN不受设备物理位置的限制，灵活性较大。市政府、市委服务器群单独划分子网，将各种主要服务器（Web、Mail、FTP、OA、VOD、数据库等）放在一个子网内便于管理和维护，同时也可以尽可能减少外部入侵及破坏系统的可能性。另外，交换机（包括全网核心层、汇聚层和接入层交换机）的管理划分单独子网。其他子网可按电子政务系统的职责范围划分，采用多个VLAN管理。第9页苏州大学计算机科学与技术学院99.2.2电子政务信息系统公共服务网站整体架构第10页苏州大学计算机科学与技术学院10电子政务业务模型根据政府机构的业务形态来看，通常电子政务主要包括三个应用领域。其业务模型可以用下图表示。图电子政务业务模型面向社会公众和企业组织，为其提供政策、法规、条例和流程的查询服务。借助互联网实现政府机构的对外办公，如：申请、申报等，提高政府的运作效率，增加透明度。以信息化手段提高政府机构内部办公的效率，如：公文报送、信息通知和信息查询等。第11页苏州大学计算机科学与技术学院11电子政务信息流在电子政务系统中主要存在三种信息流，如下图所示。图电子政务信息流模型第12页苏州大学计算机科学与技术学院12电子政务体系结构构建的电子政务体系结构主要包括三个应用系统和一个网络通信平台。如图所示。政府公共信息服务Web网站信息安全交换系统政府内部办公网络信息平台政府网络通信平台、社会公众企业工作人员电子政务技术规范电子政务安全规范图电子政务平台系统结构第13页苏州大学计算机科学与技术学院13电子政务信息系统功能结构电子政务信息系统一般分为政府公共服务网站和政府内部办公网站，其功能结构如图所示。图电子政务系统功能结构图第14页苏州大学计算机科学与技术学院14政务处理逻辑结构4.政务处理逻辑组织将系统结构划分成数据层、组件层、功能层和应用层，如图所示。网上调研系统短信通知系统信息搜索系统视频直播系统网站访问行为分析网上接待咨询用户统一登记管理信息发布模板文件电子申报系统文档管理|流程管理|用户管理|邮件管理|短信管理|报表处理（）身份认证CA|资源权限管理|工作流引擎|全文检索引擎|数据交换引擎（）电子政务数据格式规范XML数据库文件库数据网关应用层数据层功能层组件层图电子政务处理逻辑结构第15页苏州大学计算机科学与技术学院159.2.3城域网的汇聚与接入设计思想汇聚层设备可以采用路由器（支持E1接入），也可以采用交换机（支持GE/FE接入）。汇聚层设备要求支持MPLSVPN，能够承担PE（ProviderEdge，骨干网中的边缘设备）的功能，并需要支持NAT（地址转换）功能，以支持不同接入用户在地址重叠的情况下能够通过NAT技术转换成不同的地址。考虑某市各县经济情况、县区大小，各县网络机房需要配置不同型号的路由交换机、路由器、交换机、服务器等设备。通常，市政府与所辖的区政府位于同一个城市，可采用1Gbit/s路由交换机上连市电子政务骨干网。县政府与市政府之间距离较近，可采用路由器上连电子政务骨干网。上连的设备均要支持MPLSVPN，便于纵向业务访问。第16页苏州大学计算机科学与技术学院16技术方案第17页苏州大学计算机科学与技术学院17通信安全为了保证各系统办公数据的全程安全，仅在MPLS网络上进行VPN隔离是不够的，还必须在接入端以下对不同部门的数据进行隔离。在条件允许的情况下，不同的部门局域网通过不同的边界路由器接入MPLS网络中，这些部门在接入侧隔离，如图9.7所示第18页苏州大学计算机科学与技术学院189.2.4基于EPON的接入例如，市地税局下属8个税务所，分布在城市的不同街道或路段，均在10km范围内。每个税务所约有5～20台业务终端。按照华为EPON技术方案，OLT设备选用S6503，配置SalienceIII型交换路由板，配置LS8M1PT8GA（8端口吉比特EPON业务板，与ONU之间的最大传输距离为10km）。S6503安置在市地税局大楼机房第19页苏州大学计算机科学与技术学院19网络屏蔽线安装技术电子政务办公专网拓扑结构电子政务专网的安全体系结构9.3市级电子政务专网设计第20页苏州大学计算机科学与技术学院209.3.1超五类屏蔽双绞线安装技术屏蔽布线系统必须是从终点到终点的连续的屏蔽路径。例如，AMPNETCONNECT屏蔽布线系统从工作区域的信息插座，双绞线，配线架，RJ45跳线，组成了从终点到终点的连续的屏蔽路径。屏蔽路径结构示意，如图9.3所示。屏蔽系统所有设施应选择同一品牌的产品。通常屏蔽系统设计时充分考虑了接续的连续性。在水平子系统FTP连接的两端，RJ45屏蔽接口的屏蔽金属壳与RJ45接头的金属包覆套采用紧密嵌套接合，确保跳线和接口完全充分的接触。例如，AMP4对FTP线有锡箔屏蔽包覆层，屏蔽层内有一条接地线，这条接地线对于降低接地电阻，并保持一个低的接地电阻有重要作用。第21页苏州大学计算机科学与技术学院21屏蔽布线安装工艺要求屏蔽层的续接密实、连续；一个完全紧密的接地系统会提高屏蔽系统的整体性能，降低接地电阻，并使其一直保持低于1欧姆的电阻值；每个配线架独立接地；每个配线架只有一个接地点；尽量缩短屏蔽线的开剥长度；保持双绞线转弯时有大于线径8倍的弯曲半径。第22页苏州大学计算机科学与技术学院229.3.2电子政务办公专网拓扑结构市府数据中心SiSiRG7606市政府办公楼宇RG2126G市委办公楼1Gbit/sMMF1Gbit/sMMF1Gbit/sMMFRSR-08E省电子政务专网CPOS20县市区专网……服务器DMZ区域SiSi服务器DMZ区域1Gbit/sSMFRG7606RG2126G猎豹II型猎豹II型市委数据中心第23页苏州大学计算机科学与技术学院239.3.3电子政务专网的安全体系结构市府数据中心SiSiRG76061Gbit/sMMF1Gbit/sMMF1Gbit/sMMFPOS服务器DMZ区域CPOSWWWServerEmail/DNSServer数据库Server工作流计划与及时沟通ServerVODServer身份认证Server病毒控制与补丁分发Server安全监控与审计Server远程容灾（市委数据中心）1Gbit/sMMF入侵检测漏洞扫描RSR-08E猎豹II型第24页苏州大学计算机科学与技术学院249.4网络存储技术方案多服务器集中存储远程灾难备份与恢复第25页苏州大学计算机科学与技术学院259.4.1多服务器集中存储面对多服务器存储管理，需要采用安全、可靠、稳定及低成本的IP存储技术方案。利用IPSAN自带的备份软件的实时或定时备份功能，能够实现备份工作自动化、制度化和全面化，为系统提供更高层次的安全保障和可靠性。多服务器集中存储网络，使用H3C的S5100-24P-EI（提供24个1Gbit/s电口），连接Web网站、工作流计划系统、资源库、数据库、身份认证与审计系统、电子政务信息系统（数据库）等服务器的1Gbit/s网卡和EX1000S，组成IPSAN存储系统。EX1000S配置250GB的SATAII磁盘20块，采用RAID5+热补，可用存储容量4.5TB。服务器通过iSCSI驱动程序（免费），将数据集中到存储系统中。第26页苏州大学计算机科学与技术学院26多服务器集中存储拓扑结构第27页苏州大学计算机科学与技术学院279.4.2远程灾难备份与恢复远程灾难备份与恢复技术支持在数据中心与灾难备份中心之间通过IP网络对关键业务数据进行策略性增量复制，实现数据的异地备份，并在发生意外灾难时对数据进行快速恢复，确保客户的业务持续性。第28页苏州大学计算机科学与技术学院289.5电子政务安全技术电子政务PKI部署电子政务业务隔离电子政务业务互访电子政务安全通信点对点的通信安全网络行为监管与审计第29页苏州大学计算机科学与技术学院299.5.1电子政务PKI部署PKI定义与作用PKI（PublicKeyInfrastructure，公钥基础设施）是一种遵循既定标准的密钥管理平台，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。第30页苏州大学计算机科学与技术学院30PKI定义与作用PKI是提供公钥加密和数字签名服务的系统，目的是为了自动管理密钥和证书，保证网上数字信息传输的机密性、真实性、完整性和不可否认性。PKI基于非对称公钥体制，采用数字证书管理机制，可以为透明地为网上应用提供上述各种安全服务，极大地保证了网上应用的安全性。第31页苏州大学计算机科学与技术学院31PKI组成与功能PKI系统可划分为四个功能区域，即核心安全区、审核管理区、在线服务区、本地审核受理点（LRA）区SiSiCA管理PCCA证书签发服务器密码机KM密钥管理服务器密码机RA管理PC数据库服务器主LDAP服务器WWW-RA服务器从LDAP服务器电子政务非涉密网LAR管理PC….核心安全区审核管理区在线服务区本地审核受理点第32页苏州大学计算机科学与技术学院32PKI功能结构PKI系统功能采用三级架构。电子政务应用系统安全应用API（包括证书验证、证书解码、数字签名等）加解密、单向散列服务、密钥管理服务等安全服务APICA系统证书、CRL、密钥管理密码设备（硬件或软件）、网络、通信技术操作系统操作系统层PKI系统层应用层第33页苏州大学计算机科学与技术学院33PKI的安全机制安全平台能够提供智能化的信任与有效授权服务。其中，信任服务主要是解决在茫茫网海中如何确认“你是你、我是我、他是他”的问题。授权服务主要是解决在网络中“每个实体能干什么”的问题。例如，张三发送一个合约给李四，李四可要求张三进行数字签名。签名后的合约不仅李四可以验证其完整性，其他人也可以验证该合约确实是张三签发的。而所有的人，包括李四，都没有模仿张三签署这个合约的能力。第34页苏州大学计算机科学与技术学院34•保密文件特性（1）防假冒。通过数字签名进行身份认证。例如，某用户自己申请了证书（私钥），获得了数字标识，可