岳陽市區(qū)縣電子政務外網(wǎng)技術(shù)方案建議書

PAGE3-岳陽市區(qū)縣電子政務外網(wǎng)平臺建設項目技術(shù)方案建議書岳陽市區(qū)縣電子政務外網(wǎng)平臺建設項目技術(shù)方案建議書岳陽市人民政府辦公室二〇一一年五月第4頁共55頁目錄根據(jù)岳陽市政府市長辦公會議紀要精神，各區(qū)縣電子政務外網(wǎng)建設于2011年5月正式啟動。外網(wǎng)建成后的作用是：第一、與發(fā)展接軌、加快經(jīng)濟發(fā)展。第二、增加工作透明度，建設“陽光政府”。第三、推動工作“提速”，提高執(zhí)政能力。第四、推動全縣信息化建設，提高城鄉(xiāng)化水平和競爭力。岳陽市各區(qū)縣電子政務總體框架的目標是：覆蓋岳陽市各區(qū)縣的電子政務網(wǎng)絡基本建成，目錄體系與交換體系、信息安全基礎設施初步建立，重點應用系統(tǒng)實現(xiàn)互聯(lián)互通，政務信息資源公開和共享機制初步建立，政府門戶網(wǎng)站成為政府信息公開的重要渠道，開展網(wǎng)上行政許可項目審批服務，電子政務公眾認知度和公眾滿意度進一步提高，有效降低行政成本，提高監(jiān)管能力和公共服務水平。岳陽市各區(qū)縣電子政務建設的目標主要體現(xiàn)在以下幾方面：1、加大政府信息公開力度根據(jù)政府信息公開工作的要求，創(chuàng)新政府信息公開的方式，充分發(fā)揮、利用政府網(wǎng)站等信息化媒介的作用，及時更新網(wǎng)站信息，為公眾獲取政府信息提供便利。2、加快政務數(shù)據(jù)庫建設與應用推進以傳統(tǒng)載體保存的政務信息資源的數(shù)字化、網(wǎng)絡化。3、初步實現(xiàn)政務信息條塊共享根據(jù)法律規(guī)定和履行職能的需要，明確相關(guān)部門和地區(qū)信息共享的內(nèi)容、方式和責任，建立政務信息共享的長效機制。依托現(xiàn)有資源，建立岳陽市各區(qū)縣政務信息交換系統(tǒng)，構(gòu)建政務信息共享平臺，建立政務信息資源目錄體系、交換體系和服務體系等。為岳陽市各區(qū)縣政府的日常辦公、科學決策、業(yè)務管理、公共服務、信息公開、資源共享和業(yè)務協(xié)同提供支持。4、不斷加強政務管理完善政務信息資源管理體制，加強對政務信息采集、登記、備案、存儲、共享、安全等環(huán)節(jié)的管理。合理規(guī)劃政務信息的采集和更新維護流程，加強協(xié)調(diào)，明確分工，避免重復采集，并確保所采集信息的真實、準確、完整和及時。進一步提升政府行政效率和服務水平。5、以政府的社會管理和公共服務需求為導向，擴大對農(nóng)村信息化服務、城鄉(xiāng)居民服務、城鎮(zhèn)建設服務和鄉(xiāng)鎮(zhèn)企業(yè)服務等提供服務的能力。近期目標目前，岳陽市各區(qū)縣鄉(xiāng)鎮(zhèn)以及街道辦事處沒有進行統(tǒng)一規(guī)化，各單位“各主為政而”，很多部門由于管理水平有限、安全技術(shù)人才不足、思想認識不到位、標準規(guī)范不一致等原因，存在不同程度的安全隱患。長此以往，將對未來我政府信息化建設帶來不可估量的負面影響，因此，十分有必要通過統(tǒng)一外網(wǎng)的建設、統(tǒng)一互聯(lián)網(wǎng)出口，加強網(wǎng)絡和信息安全建設，通過對網(wǎng)絡和信息安全的集中統(tǒng)一領導和管理、加大投資力度、完善運行維護機制、加強預警能力，可以有效的提高電子政務的安全可靠性。在外網(wǎng)上構(gòu)建統(tǒng)一的電子政務外網(wǎng)平臺，上連岳陽市外網(wǎng)平臺，下接各鄉(xiāng)鎮(zhèn)（并逐步覆蓋到街道、村場）內(nèi)網(wǎng)平臺，橫向連通各市直部門，實行統(tǒng)一的網(wǎng)絡管理，提供可靠的安全保障；在信息資源上構(gòu)建四大基礎數(shù)據(jù)庫及主要業(yè)務部門數(shù)據(jù)庫，構(gòu)建整個信息資源目錄體系并建立信息資源交換規(guī)劃；在應用上搭建統(tǒng)一的應用支撐平臺，對原有業(yè)務系統(tǒng)的整合和新建應用系統(tǒng)的運行提供支撐；在服務上建立以電子政務外網(wǎng)門戶網(wǎng)站為核心的公眾服務體系；在安全上按照統(tǒng)一的安全策略，構(gòu)建全網(wǎng)的安全體系。1、組建各區(qū)縣電子政務外網(wǎng)平臺并與岳陽市電子政務外網(wǎng)互連；2、建立各區(qū)縣電子政務網(wǎng)控中心；3、各區(qū)縣縣直單位和鄉(xiāng)鎮(zhèn)接入?yún)R聚點。4、建立基本的安全防護體系。5、完成政府網(wǎng)站的改版、網(wǎng)上政務服務和電子監(jiān)察系統(tǒng)的建設。建設原則根據(jù)中央辦公廳、國務院辦公廳轉(zhuǎn)發(fā)《國家信息化領導小組關(guān)于推進國家電子政務網(wǎng)絡建設的意見》的通知（中辦發(fā)[2006]18號）的要求和我省的實際情況，湖南省政府系統(tǒng)電子政務外網(wǎng)平臺的建設目標是：建設覆蓋全省各級政府部門的互聯(lián)互通信息網(wǎng)絡平臺（HNEGOVNet－IN）。它包括建設連接省級政府系統(tǒng)電子政務外網(wǎng)平臺和各市（州）級政府系統(tǒng)電子政務外網(wǎng)平臺的一級骨干網(wǎng)，連接市（州）級政府系統(tǒng)電子政務內(nèi)外網(wǎng)平臺和縣（區(qū)）級政府系統(tǒng)電子政務內(nèi)外網(wǎng)平臺的二級骨干網(wǎng)；分層建設省級、市（州）級、縣（區(qū)）級，覆蓋本級政府及其相關(guān)職能部門的橫向信息網(wǎng)絡。同時網(wǎng)絡平臺的建設要與安全支撐平臺和應用支撐平臺的建設統(tǒng)一考慮，健全湖南省政府系統(tǒng)電子政務內(nèi)外網(wǎng)平臺的安全保障體系。為達到以上目標，本次網(wǎng)絡建設的主要原則是：需求主導：網(wǎng)絡的設計必須滿足湖南省政府系統(tǒng)開展電子政務建設對網(wǎng)絡的需求，能提供各級政府部門間縱向連接和橫向連接，以滿足各類業(yè)務的應用要求。統(tǒng)籌規(guī)劃：網(wǎng)絡設計時必須協(xié)調(diào)有關(guān)單位，對網(wǎng)絡地址和域名進行統(tǒng)籌規(guī)劃，并研究和制定相關(guān)的標準和管理辦法等。整合資源：充分利用岳陽市各區(qū)縣政府系統(tǒng)電子政務外網(wǎng)平臺資源，加強已有網(wǎng)絡資源的整合，促進互聯(lián)互通，形成統(tǒng)一的電子政務網(wǎng)絡平臺。同時要充分考慮到已有資源的利用和投資保護問題，特別是要充分考慮已經(jīng)建設的湖南省電子政務專網(wǎng)平臺的情況，節(jié)省費用，保護投資。服務應用：網(wǎng)絡系統(tǒng)的設計必須為各級政府部門的業(yè)務應用（包括橫向和縱向的業(yè)務系統(tǒng)）提供服務。注重安全：網(wǎng)絡的設計必須保證業(yè)務和數(shù)據(jù)的安全性。系統(tǒng)要采取多層保密和防范措施，保證網(wǎng)絡、服務器等設備的安全穩(wěn)定，防止系統(tǒng)外非法用戶的侵入和系統(tǒng)內(nèi)用戶的非法探測和惡意泄密，系統(tǒng)內(nèi)工作人員分級按權(quán)限操作。系統(tǒng)的安全要達到國家規(guī)定的電子政務專網(wǎng)的安全標準。著眼發(fā)展，分步實施：政府系統(tǒng)電子政務外網(wǎng)平臺建設技術(shù)含量高、工程投資大、涉及面廣，是一項長期的工作，不可能一蹴而就，必須具有全局觀念，在總體規(guī)劃指導下，按計劃、分步驟的來進行。要實事求是地分析現(xiàn)狀，熟悉和了解技術(shù)的發(fā)展趨勢，合理分配有限的資金，在遵循總體規(guī)劃的前提下，確定切合實際的軟硬件配置方案，制訂短、中、長期相結(jié)合的分步實施計劃，以實現(xiàn)降低工程建設風險，提高資金使用效率的目的。先進性、實用性原則從較高的起點對網(wǎng)絡建設進行規(guī)劃，充分采用先進成熟的網(wǎng)絡技術(shù)，滿足電子政務平臺各種業(yè)務實時數(shù)據(jù)、非實時數(shù)據(jù)傳輸需要。工程建設方案要面向未來，技術(shù)必須具有先進性和前瞻性，以確保在未來3-5年內(nèi)不落后，同時也要堅持實用的原則，在滿足性能價格比的前提下，堅持選用符合標準的，先進成熟的產(chǎn)品和開發(fā)平臺。可靠性原則網(wǎng)絡設計過程中從網(wǎng)絡技術(shù)、電路保護、設備等多方面考慮電子政務專網(wǎng)平臺的可靠性，保證數(shù)據(jù)傳輸?shù)陌踩煽俊Ｍ瑫r提供的7×24的服務保障，從技術(shù)和服務兩方面保證岳陽市各區(qū)縣電子政務內(nèi)外網(wǎng)平臺的可用性達到要求。成熟性和發(fā)展性的結(jié)合工程建設應首先采用符合目前業(yè)界計算機及應用系統(tǒng)發(fā)展趨勢的主流技術(shù)，技術(shù)先進并趨于成熟的，被公眾認可的優(yōu)質(zhì)產(chǎn)品。既要保證當前系統(tǒng)的高可靠性，又能適應未來技術(shù)的發(fā)展，滿足多業(yè)務發(fā)展的要求。要本著“有用、適用和好用”的原則，不片面追求硬軟件設施的先進性，強調(diào)整個系統(tǒng)的可連接性和整體布局、應用的合理性。經(jīng)濟性原則通過技術(shù)經(jīng)濟比較，性能價格比較，選擇優(yōu)化的網(wǎng)絡結(jié)構(gòu)和網(wǎng)絡技術(shù)，盡可能利用和保護現(xiàn)有設備和投資，做到從實際出發(fā)，制定經(jīng)濟、合理的方案，以最小的網(wǎng)絡建設和網(wǎng)絡維護成本建設一個高可用、高安全的電子政務專網(wǎng)平臺。可管理性原則電子政務系統(tǒng)是一個比較大、較復雜的系統(tǒng)，它包含大量硬件設備、軟件系統(tǒng)和數(shù)據(jù)信息資源，這些資源分布在全區(qū)各部門，因此系統(tǒng)的技術(shù)方案要為市政府提供多層次、方便、有效的管理手段，為系統(tǒng)正常運行提供網(wǎng)絡技術(shù)管理保障。標準性原則現(xiàn)有信息技術(shù)的發(fā)展越來越快，為了使該系統(tǒng)在未來運行過程中其技術(shù)能和整個信息技術(shù)的發(fā)展同步，系統(tǒng)應具有備靈活適應性和良好的可擴展性，系統(tǒng)的結(jié)構(gòu)設計和產(chǎn)品選型要堅持標準化，首先采用國家標準和國際標準，其次采用廣為流傳的實用化工業(yè)標準。可擴充性原則考慮到岳陽市各區(qū)縣政府電子政務內(nèi)、外網(wǎng)平臺各種應用業(yè)務的飛速發(fā)展，網(wǎng)絡承載的信息流量不斷增加。岳陽市各區(qū)縣政府電子政務內(nèi)、外網(wǎng)平臺的設計中充分考慮未來帶寬擴容的需要，從網(wǎng)絡和設備的配置上都保留一定的擴充余地，便于融入隨著新技術(shù)發(fā)展帶來的新功能，滿足岳陽市各區(qū)縣政務不斷發(fā)展的業(yè)務需要。同時為響應中央政府節(jié)能減排的號召，在設備的選擇上應遵循環(huán)保、節(jié)能的原則。網(wǎng)絡設計方案概述隨著岳陽市各區(qū)縣電子政務外網(wǎng)平臺建設的逐步延伸，岳陽市各區(qū)縣電子政務外網(wǎng)即將成為承擔政府部門之間的各項信息交換和業(yè)務互動，實現(xiàn)同層次和上下級政府機構(gòu)之間各主要業(yè)務系統(tǒng)的信息交換和信息共享的主要載體。根據(jù)省政府相關(guān)文件，岳陽市各區(qū)縣政府即將接入到岳陽市電子政務外網(wǎng)，實現(xiàn)辦公自動化及信息化，為此，需要進行岳陽市各區(qū)縣政府的外網(wǎng)建設與整合，統(tǒng)一市委、市人大、市政府、市政協(xié)及市直各部門等外網(wǎng)出口。岳陽市各區(qū)縣電子政務外網(wǎng)平臺是岳陽市各區(qū)縣電子政務外網(wǎng)全網(wǎng)中聯(lián)接各部門業(yè)務系統(tǒng)的橋梁和紐帶，為各業(yè)務部門提供網(wǎng)絡傳輸服務，是未來政務工作的“高速公路”。網(wǎng)絡平臺提供的是高度集成化、一體化、規(guī)范化的服務，其本質(zhì)是為各業(yè)務系統(tǒng)的安全、順暢、高效運行和數(shù)據(jù)的傳輸、交換、存儲等構(gòu)造網(wǎng)絡基礎環(huán)境，它是未來實現(xiàn)各業(yè)務系統(tǒng)互聯(lián)、互通、互操作，促進資源共享的基礎性工作。因此，岳陽市各區(qū)縣電子政務外網(wǎng)平臺是關(guān)系我市電子政務建設全局和發(fā)展的重要基礎性工作，是電子政務系統(tǒng)中的關(guān)鍵性核心組成要素。建設目標本次建設的電子政務外網(wǎng)平臺將實現(xiàn)電子政務各項應用所需的網(wǎng)絡環(huán)境，為電子政務應用提供安全、穩(wěn)定、可靠的傳輸通道，包括局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)和互聯(lián)網(wǎng)出口。根據(jù)上級對電子政務外網(wǎng)平臺建設的要求，結(jié)合本地實際情況，我市電子政務外網(wǎng)平臺建設必須滿足以下功能需求：（1）網(wǎng)絡互聯(lián)互通的需求電子政務外網(wǎng)平臺建立后，應在縱向上實現(xiàn)上連國家、省、市電子政務外網(wǎng)平臺，下連各鄉(xiāng)鎮(zhèn)電子政務外網(wǎng)平臺，在橫向上能夠方便連接市委、市人大、市政府、市政協(xié)以及政府各組成部門、直屬機構(gòu)、辦事機構(gòu)、事業(yè)單位等。同時，網(wǎng)絡必須具備高度的可靠性和穩(wěn)定性，應具備可伸縮、可管理、可擴展的能力，以應對業(yè)務數(shù)據(jù)的快速增長，滿足網(wǎng)絡平臺平滑升級的要求。（2）縱向業(yè)務的應用需求電子政務外網(wǎng)平臺建立后，各個縱向網(wǎng)絡將逐步整合到統(tǒng)一的連接通道。電子政務外網(wǎng)平臺既要滿足互聯(lián)互通，又要保證各部門縱向系統(tǒng)的相對獨立性和現(xiàn)有縱向網(wǎng)絡系統(tǒng)的正常運行，應當提供各個部門高速通達、安全可靠、方便使用的縱向系統(tǒng)專用網(wǎng)絡或虛擬專用網(wǎng)絡，如提供虛擬專用網(wǎng)絡需支持至少150個市直部門的縱向MPLSVPN需求，并有足夠的擴充能力。（3）橫向業(yè)務的應用需求電子政務外網(wǎng)平臺建立后，各個聯(lián)網(wǎng)部門將逐步開展橫向電子政務業(yè)務。電子政務外網(wǎng)平臺既要滿足互聯(lián)互通，又要保證相關(guān)部門橫向業(yè)務系統(tǒng)的相對獨立性，應當提供各個部門高速通達、安全可靠、方便使用的縱向系統(tǒng)專用網(wǎng)絡或虛擬專用網(wǎng)絡，如提供虛擬專用網(wǎng)絡需支持市直部門的橫向MPLSVPN需求。（4）公共資源共享業(yè)務的應用需求各聯(lián)網(wǎng)部門連接到電子政務外網(wǎng)平臺后，應該能夠通過電子政務外網(wǎng)平臺方便訪問電子政務外網(wǎng)平臺的內(nèi)部數(shù)據(jù)中心、外部數(shù)據(jù)中心和互聯(lián)網(wǎng)等公共資源。（5）互聯(lián)網(wǎng)接入的需求外網(wǎng)平臺應能夠提供整個網(wǎng)絡統(tǒng)一的安全的互聯(lián)網(wǎng)接入。（6）不同接入方式的需求岳陽市各區(qū)縣電子政務外網(wǎng)平臺應滿足市政府機關(guān)大院、市政府組成部門、有行政審批職能的市直部門、與民生相關(guān)的行政事業(yè)單位等市直部門以不同帶寬、接入方式接入到外網(wǎng)平臺的需求。（7）各鄉(xiāng)鎮(zhèn)接入的需求岳陽市各區(qū)縣電子政務外網(wǎng)平臺應滿足各鄉(xiāng)鎮(zhèn)廣域匯聚點的接入需求。參考標準國家、省市有關(guān)信息化的政策法規(guī)和技術(shù)規(guī)范，是電子政務建設順利實施和健康運行的重要保證。本方案將參照國家關(guān)于信息化建設和電子政務建設的法律、法規(guī)、相關(guān)政策以及各種技術(shù)標準規(guī)范進行編制?！对狸柺懈鲄^(qū)縣電子政務外網(wǎng)平臺技術(shù)規(guī)范》(湖南省信息化領導小組2006-10-01)《信息系統(tǒng)安全等級保護定級指南》《國家政務外網(wǎng)網(wǎng)絡互連及安全防護指南_征求意見稿》《信息安全等級保護管理辦法》（公安部、國家保密局、國家密碼局、國信辦聯(lián)合發(fā)布，公通字[2007]43號）《國家政務外網(wǎng)網(wǎng)絡互連及安全防護指南_征求意見稿》，是2007年9月《關(guān)于轉(zhuǎn)發(fā)〈國家信息化領導小組關(guān)于我國電子政務建設指導意見〉的通知》（中辦發(fā)[2002]17號）2002《中共中央辦公廳國務院辦公廳轉(zhuǎn)發(fā)〈國家信息化領導小組關(guān)于推進國家電子政務網(wǎng)絡建設的意見〉的通知》（中辦發(fā)[2006]18號）《國務院辦公廳關(guān)于印發(fā)全國政府系統(tǒng)政務信息化建設2001-2005年規(guī)劃綱要的通知》（國辦發(fā)[2001]25號）《電子政務標準化指南（征求意見稿）》國家標準化管理委員會、國務院信息化工作辦公室2003年2月國務院信息化工作辦公室、科學技術(shù)部、信息產(chǎn)業(yè)部關(guān)于印發(fā)《電子政務工程技術(shù)指南》的通知(國信辦[2003]2號)《互聯(lián)網(wǎng)信息服務管理辦法》中華人民共和國國務院令（第292號）2000《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》國家保密局 2000《中華人民共和國計算機信息系統(tǒng)安全保護條例》國務院令147號1994《加強計算機信息網(wǎng)絡保密管理的通知》（中保委發(fā)【2002】4號）《計算機軟件保護條例》(國務院令2001年第339號)《計算機場地通用規(guī)范》(GB2887－2000)《電子計算機機房設計規(guī)范》(GB50174—93)《岳陽市各區(qū)縣電子政務外網(wǎng)平臺技術(shù)方案》《岳陽市各區(qū)縣電子政務外網(wǎng)平臺應用規(guī)范》（討論稿）《中共湖南省委辦公廳湖南省人民政府辦公廳轉(zhuǎn)發(fā)省信息化領導小組〈關(guān)于加強電子政務外網(wǎng)平臺建設和管理的意見〉的通知》（湘辦發(fā)[2006]25號）網(wǎng)絡總體要求岳陽市各區(qū)縣電子政務網(wǎng)平臺是岳陽市電子政務的重要組成部分。以《國家信息化領導小組關(guān)于我國電子政務建設指導意見》（中辦發(fā)[2002]17號）、《關(guān)于推進國家電子政務網(wǎng)絡建設的意見》（中辦發(fā)[2006]18號）、《關(guān)于加強我省電子政務外網(wǎng)平臺建設和管理的意見》（湘辦發(fā)[2006]25號）、《湖南省電子政務外網(wǎng)平臺技術(shù)規(guī)范》為指導，依托岳陽市各區(qū)縣公共通信設施的基礎資源，采用先進的信息、網(wǎng)絡技術(shù)，以電子政務應用為主導，以資源整合為核心，以安全保障為支撐，構(gòu)建標準統(tǒng)一、功能完善、安全可靠的岳陽市各區(qū)縣電子政務外網(wǎng)平臺，在網(wǎng)絡環(huán)境下逐步實現(xiàn)同層次和上下級政府機構(gòu)之間各主要業(yè)務系統(tǒng)的信息交換和信息共享；開展政府部門面向企業(yè)和公眾的監(jiān)管和服務業(yè)務，為規(guī)范政府管理與服務創(chuàng)造必要條件，努力提升政府監(jiān)管能力、工作效率和公共服務水平。岳陽市各區(qū)縣電子政務外網(wǎng)平臺將連接市網(wǎng)平臺、市直單位、鄉(xiāng)鎮(zhèn)電子政務網(wǎng)絡平臺，形成一個縱橫互通的信息高速通道，并部署安全措施，統(tǒng)一因特網(wǎng)出口。建成后的政務外網(wǎng)為政府各部門實現(xiàn)橫向互連互通，為縱向業(yè)務系統(tǒng)運行提供安全、快捷、方便、經(jīng)濟的統(tǒng)一網(wǎng)絡通道。從根本上解決岳陽市電子政務建設中部門橫向互不連通，信息資源封閉、數(shù)據(jù)不能共享和重復建設等問題。IPIP網(wǎng)絡－靈活的虛擬邏輯隔離熱線電話熱線電話統(tǒng)一安全策略管理系統(tǒng)財務檔案招標人事審計應急O(jiān)A系統(tǒng)網(wǎng)站問題處理對外服務系統(tǒng)個性化應用平臺局域網(wǎng)基礎平臺功能廣域網(wǎng)政府集中辦公、對外一站(網(wǎng))式服務智能管理設備管理、用戶管理、業(yè)務管理從電子政務外網(wǎng)平臺功能來看，其核心價值就是安全、公平、公開、簡單、互動的實現(xiàn)政務信息交換和資源共享。網(wǎng)絡總體方案描述通過綜合考慮各類因素，在此次岳陽市各區(qū)縣電子政務外網(wǎng)工程項目中推薦采用雙核心設計方案。其網(wǎng)絡結(jié)構(gòu)圖如下：圖2.5岳陽市各區(qū)縣電子政務外網(wǎng)平臺設計岳陽市各區(qū)縣電子政務外網(wǎng)平臺按照三層結(jié)構(gòu)設計分為：核心層、匯聚層、接入層。核心層由一臺出口路由器和二臺核心交換機組成。出口路由器負責與互聯(lián)網(wǎng)的連通，2臺核心交換機之間分別通過2條萬兆鏈路聚合互聯(lián)，實現(xiàn)核心層全冗余和高速連接，確保核心層穩(wěn)定可靠高效地運行，并負責與岳陽市外網(wǎng)的連通。匯聚層由4臺匯聚交換機擔當，4臺匯聚層設備均采用千兆雙鏈路上行連接至2臺核心交換機，提供上行冗余鏈路，確保接入鏈路可靠性。匯聚層設備向下采用百兆/十兆接入各市直單位，提供百兆/十兆接入能力。接入層為市直部門的接入，根據(jù)每個單位接入數(shù)量；配置一臺接入設備，通過MTPS/SDH上聯(lián)至匯聚交換機。在有些單位與單位之間采取組合式，把幾個近的單位組合在一起，再通過一臺性能強的交換機放在組合單位集中的位置。再通過單模光纖上聯(lián)至匯聚交換機。具體接入點分布統(tǒng)計首批接入外網(wǎng)平臺的單位：將納入岳陽市各區(qū)縣政府行政績效評估名單的單位、岳陽市各區(qū)縣政府門戶網(wǎng)站群單位、具有行政審批職能的市直單位、與民生密切相關(guān)的其他單位作為首批接入岳陽市各區(qū)縣電子政務外網(wǎng)平臺的單位，同時也接入以上未包括的區(qū)縣委、區(qū)縣人大、區(qū)縣政府、區(qū)縣政協(xié)、區(qū)縣法院、區(qū)縣檢察院等六大家的其他重要部門。首批接入單位具體分布如下表：序號單位(區(qū)縣)電腦數(shù)量（估算）10臺以下10-30臺30-50臺50-100臺1區(qū)縣委2人大3政協(xié)4政府辦5紀委監(jiān)察局6組織部7宣傳部8統(tǒng)戰(zhàn)部9政法委10總工會11檔案局12編委辦13接待處14老干局15工商聯(lián)16婦聯(lián)17科協(xié)18檢察院19法院20發(fā)改局21工業(yè)局22教育局23科技局24公安局25民政局26司法局27財政局28人事局29勞動和社會局30建設局31交通局32水利局33農(nóng)業(yè)局34林業(yè)局35商務局36文化局37衛(wèi)生局38環(huán)保局39安監(jiān)局40計生局41農(nóng)村辦42糧食局43廣播局44畜牧水產(chǎn)局45房產(chǎn)局46招商局47體育局48統(tǒng)計局49供銷聯(lián)社50經(jīng)管局51農(nóng)機局52市場管理中心53國土局54審計局55旅游局56人防辦57工業(yè)園58殘聯(lián)59交警大隊60藥監(jiān)局61移民局62政務公開中心63XX街道辦事處64XX鄉(xiāng)鎮(zhèn)網(wǎng)絡的可靠性、拓展性設計網(wǎng)絡的可靠性設計岳陽市各區(qū)縣電子政務外網(wǎng)承擔各種業(yè)務應用系統(tǒng)，提供統(tǒng)一的網(wǎng)絡平臺，其網(wǎng)絡可靠性要求很高。網(wǎng)絡系統(tǒng)的可靠性設計主要體現(xiàn)在以下幾個方面：網(wǎng)絡虛擬化的可靠性；岳陽市各區(qū)縣電子政務外網(wǎng)的核心需要實現(xiàn)網(wǎng)絡的高可靠性，包括設備、鏈路及網(wǎng)絡架構(gòu)設計、網(wǎng)絡自愈能力等，在岳陽市各區(qū)縣電子政務外網(wǎng)核心層中，我們應用了2臺核心設備；通過虛擬化技術(shù)，它是把兩臺設備虛擬化成一臺設備。形成一個網(wǎng)絡管理與轉(zhuǎn)發(fā)節(jié)點；將多達2個的物理網(wǎng)絡節(jié)點虛擬化為單臺設備，兩臺設備同時工作，互為備份。又互不影響其業(yè)務數(shù)據(jù)的轉(zhuǎn)發(fā)。完全消除匯聚層環(huán)路，并形成捆綁鏈路的高帶寬和可靠性。在這樣的虛擬化下，網(wǎng)狀的網(wǎng)絡形成了一個非常簡潔的架構(gòu)，網(wǎng)絡各層之間通過捆綁的單邏輯鏈路互聯(lián)，消除了環(huán)路。不再需要在接入層設計復雜的生成樹協(xié)議，也不再需要在變成單一邏輯節(jié)點的客戶端接入網(wǎng)關(guān)上運行VRRP協(xié)議。通過虛擬化技術(shù)，整個彈性架構(gòu)共用一個IP管理，簡化網(wǎng)絡設備管理，簡化網(wǎng)絡拓撲管理，提高運營效率，降低維護成本。采用虛擬化技術(shù)組建岳陽市各區(qū)縣電子政務外網(wǎng)核心。該技術(shù)實現(xiàn)了IP技術(shù)的高可靠性，很好地適應了數(shù)據(jù)業(yè)務。它的核心思想是將多臺設備通過虛擬化物理端口連接在一起，進行必要的配置后，虛擬化成一臺“分布式設備”。使用這種虛擬化技術(shù)可以實現(xiàn)多臺設備的協(xié)同工作、統(tǒng)一管理和不間斷維護。動態(tài)路由設計保證網(wǎng)絡的可靠性；IGP路由設計中采用業(yè)界流行的OSPF路由協(xié)議，OSPF路由協(xié)議在2臺核心層交換機及4臺匯聚層交換機及接入交換機之間運行，由于這些設備之間全部是雙鏈路連接，因此當任何1臺核心交換機發(fā)生故障時，OSPF路由協(xié)議在很短的時間內(nèi)（一般少于10s）會根據(jù)鏈路狀態(tài)進行路由的重新計算，從而不會影響到4個城域網(wǎng)匯聚點與核心網(wǎng)絡之間的網(wǎng)絡連接。完善的網(wǎng)絡管理系統(tǒng)確保網(wǎng)絡可靠性；在設計網(wǎng)絡管理系統(tǒng)時，應全面考慮網(wǎng)絡管理的內(nèi)容，建設網(wǎng)絡管理平臺、網(wǎng)絡設備管理軟件模塊、網(wǎng)絡故障管理模塊、網(wǎng)絡流量模塊、網(wǎng)絡故障告警模塊。通過網(wǎng)絡管理系統(tǒng)多種模塊的組合，實現(xiàn)對整網(wǎng)設備和安全性等各個方面進行全面的管理，有效地提高網(wǎng)絡的安全可靠性。選配高可靠性的網(wǎng)絡設備；選用具備電信級的網(wǎng)絡設備進行組網(wǎng)，使網(wǎng)絡具有自動恢復能力、降低人工維護工作，達到電信級的可靠運行。采用分布式體系結(jié)構(gòu)分布式體系結(jié)構(gòu)是提高可靠性的基礎，與集中式體系設備相比較，分布式體系設備除性能可以通過插入更多的接口處理板提高整體性能外，更為關(guān)鍵的是將管理、路由轉(zhuǎn)發(fā)、接口處理等功能分配在不同的部件上，協(xié)同工作，分布式體系可以分散故障風險、隔離故障、提供冗余配置，提高系統(tǒng)的自動恢復能力；如管理部件故障，只需要更換這部分板件，不影響其他功能。而且，分布式體系結(jié)構(gòu)可以提高組網(wǎng)的物理可靠性。在電子政務外網(wǎng)平臺組網(wǎng)中，每個骨干節(jié)點都有兩個接口與其余節(jié)點互聯(lián)，從路由上提高了可靠性。如果是集中式體系，則當節(jié)點設備出現(xiàn)故障時，這個節(jié)點就會失效，造成節(jié)點所帶網(wǎng)絡的中斷；而采用分布式結(jié)構(gòu)時，可以將這兩個接口分別配置到不同的接口板上，這樣，無論這臺設備的管理單元、交換轉(zhuǎn)發(fā)單元，還是單一接口出現(xiàn)故障，都可以保證至少有一條路徑是連通的，該節(jié)點網(wǎng)絡都不會中斷。關(guān)鍵部件冗余采用分布式體系結(jié)構(gòu)，對設備的關(guān)鍵部件，如主控管理單元、交換轉(zhuǎn)發(fā)單元等，進行冗余配置，保證系統(tǒng)在工作中不會全部失效。實時熱備份機制在系統(tǒng)軟件及硬件的支持下，關(guān)鍵部件在發(fā)生故障能自動啟動備份系統(tǒng)，而且主備之間的切換能夠?qū)崟r熱倒換，即運行中即使發(fā)生設備故障切換也不會對網(wǎng)絡業(yè)務造成影響。熱插拔特性設備任意單板支持熱插拔特性，保證系統(tǒng)出現(xiàn)故障需要維護，或系統(tǒng)需要升級擴展時，不需要停機處理，保證網(wǎng)絡的7×24小時不間斷運行。冗余電源支持冗余電源負載分擔及備份供電可保障系統(tǒng)具有可靠的能量源。散熱系統(tǒng)散熱系統(tǒng)使設備長時間運行而不至因為系統(tǒng)升溫過高出現(xiàn)故障，冗余風扇等散熱裝置可以增加設備的運行時間及減少故障發(fā)生。網(wǎng)絡的擴展性設計在網(wǎng)絡系統(tǒng)的可擴展性方面主要考慮以下幾個方面：網(wǎng)絡結(jié)構(gòu)的可擴展能力岳陽市各區(qū)縣電子政務外網(wǎng)系統(tǒng)采用層次化、結(jié)構(gòu)化設計理念，整網(wǎng)分為核心層、匯聚層、接入層。這種結(jié)構(gòu)化設計充分保證了系統(tǒng)的擴充能力，保證在接入子網(wǎng)大量增加的情況下核心設備的端口數(shù)量要求不會大量增加。網(wǎng)絡中廣播的數(shù)量岳陽市各區(qū)縣電子政務外網(wǎng)系統(tǒng)采用三層路由的設計，不同的部門劃分在不同的網(wǎng)段，部門之間的通訊全部通過三層路由來實現(xiàn)。因此，各個部門的廣播包根本不會發(fā)送到其他部門的網(wǎng)絡。同時，在一個部門內(nèi)部，不同的業(yè)務系統(tǒng)之間通過劃分VLAN來實現(xiàn)隔離，不同的VLAN之間也是通過三層路由來實現(xiàn)。這種VLAN的劃分，一方面提高了網(wǎng)絡的安全性，另一方面也限制了網(wǎng)絡中的廣播數(shù)量。因此，廣播數(shù)據(jù)包基本上被限制在一個部門內(nèi)部，不會擴散到網(wǎng)絡的其他部分。網(wǎng)絡鏈路的選擇現(xiàn)在主流的組網(wǎng)通信技術(shù)主要有以太網(wǎng)、SDH／SONET、和VPN三大類。首先，城域以太網(wǎng)主要面向城區(qū)用戶，其優(yōu)越性表現(xiàn)在以下幾個方面：將基于千兆以太網(wǎng)的平臺應用于城市范圍，解決了城域網(wǎng)中常面對的嚴重的瓶頸問題；以太網(wǎng)成本低廉，包括設備成本及實施成本；并且即時可用，提供更高的數(shù)據(jù)傳輸速率；當前以太網(wǎng)技術(shù)發(fā)展已較為成熟，應用相當廣泛，以太網(wǎng)是一種靈活的基于數(shù)據(jù)包的技術(shù)，其適當?shù)乃俾氏拗乒δ?、豐富的主干容量、提供快速的按需帶寬等優(yōu)勢為網(wǎng)絡管理及工程人員等所熟知；以太網(wǎng)接入速度的靈活性，用戶可以向服務供應商訂購從1Mbps到1Gbps范圍內(nèi)的任意接入速度，并且可以根據(jù)企業(yè)的需要靈活調(diào)整，這一點是現(xiàn)有的諸如楨中繼、ATM等所無法比擬的；以太網(wǎng)以其“即插即用”的特性，消除了城域以太網(wǎng)和最終客戶信息系統(tǒng)之間的交互工作或協(xié)議轉(zhuǎn)換等問題。其次，SDH／SONET專線組網(wǎng)技術(shù)為電信骨干傳輸網(wǎng)所采用的主要的技術(shù)。SDH／SONET技術(shù)十分適合傳輸采用TDM技術(shù)的話音業(yè)務，它具有良好的網(wǎng)絡保護和自愈功能。另外一方面，目前的很多IP網(wǎng)絡還十分依賴電信網(wǎng)。如遠距離組網(wǎng)一般需要租用電信運營商的SDH／SONET傳輸網(wǎng)絡，此時一般需要路由器及專用的接口支持。因此，岳陽市各區(qū)縣電子政務外網(wǎng)宜采用以太網(wǎng)+SDH/SONET技術(shù)，其中城域網(wǎng)建議采用以太網(wǎng)技術(shù)，對于廣域網(wǎng)和零散的接入單位可以采用SDH/SONET。作為日后全市各類業(yè)務系統(tǒng)的承載平臺，岳陽市各區(qū)縣電子政務外網(wǎng)對網(wǎng)絡質(zhì)量和速度有比較高的要求?；ヂ?lián)網(wǎng)接入設計岳陽市各區(qū)縣電子政務外網(wǎng)平臺建成后，市級平臺城域網(wǎng)網(wǎng)上均采用統(tǒng)一出口、統(tǒng)一管理，各接入單位只能通過統(tǒng)一出口訪問互聯(lián)網(wǎng)，以提高整個網(wǎng)絡的安全性。岳陽市各區(qū)縣電子政務外網(wǎng)平臺平臺城域網(wǎng)承擔全市統(tǒng)一門戶網(wǎng)站入口訪問和全部鄉(xiāng)鎮(zhèn)、市直單位的INTERNET出口訪問，流量非常大，線路安全要求高，為了更好的提高工作效率以及提高整個岳陽市各區(qū)縣電子政務外網(wǎng)平臺網(wǎng)絡系統(tǒng)的安全性，需要進行Internet鏈路出口改造。具體情況如下：今后所有的鄉(xiāng)鎮(zhèn)、市直單位將逐步改成通過設立在岳陽市各區(qū)縣政府網(wǎng)控中心的統(tǒng)一出口來訪問互聯(lián)網(wǎng)資源，為了更好的提高工作效率以及提高整個岳陽市各區(qū)縣電子政務外網(wǎng)平臺網(wǎng)絡系統(tǒng)的安全性，需要進行Internet鏈路出口改造。具體情況如下:1、岳陽市各區(qū)縣電子政務外網(wǎng)網(wǎng)絡在出口上，需要租用一條100M以上的帶寬鏈路接入Internet；2、要有對出口流量進行管理的功能；3、要能實現(xiàn)透明的故障屏蔽；4、有可擴展性，隨著岳陽市各區(qū)縣電子政務外網(wǎng)網(wǎng)絡的進一步擴展，要能保護目前的設備投資；5.、在互聯(lián)網(wǎng)出口部署一臺路由器，實現(xiàn)網(wǎng)絡接入和IP轉(zhuǎn)換；6、部署一臺抗DDOS攻擊系統(tǒng)，通過多種技術(shù)手段對DOS/DDOS攻擊進行有效的檢測，保障岳陽市各區(qū)縣電子政務外網(wǎng)平臺應用資源。7、利用防火墻的訪問控制技術(shù)，實現(xiàn)內(nèi)網(wǎng)與互聯(lián)網(wǎng)、電子政務網(wǎng)的安全隔離，以保障網(wǎng)絡可用性；8、利用流量控制等技術(shù)，以提高訪問互聯(lián)網(wǎng)的效率。圖2.9岳陽市各區(qū)縣電子政務外網(wǎng)互聯(lián)網(wǎng)接入設計核心層設計在核心層部署2臺高性能的三層交換機，核心層設備具有以下功能和性能：高性能交換全面的軟件支持和高性能網(wǎng)絡服務的增強。高速執(zhí)行服務質(zhì)量、安全、壓縮和加密等網(wǎng)絡服務。高密度端口提供高密度端口以及廣泛的局域網(wǎng)和廣域網(wǎng)介質(zhì)，并允許靈活地進行配置。公用端口適配器在電子政務外網(wǎng)的核心層部署上網(wǎng)行為管理、抗DDOS系統(tǒng)等。主要針對上網(wǎng)用戶使用P2P/IM/網(wǎng)游/炒股軟件/非法網(wǎng)站訪問等各種應用進行監(jiān)控和管理；全面分析網(wǎng)絡應用的流量類型和流量流向趨勢，統(tǒng)計網(wǎng)絡熱點，發(fā)掘業(yè)務增長點；分析用戶行為，統(tǒng)計用戶興趣，為個性化提供依據(jù)，并通過開放的平臺接口，與第三方業(yè)務平臺對接，提供高附加值業(yè)務，如在用戶行為興趣分析的基礎上提供定向WEB廣告服務等功能。根據(jù)岳陽市各區(qū)縣電子政務外網(wǎng)的實際需求情況，同時考慮到今后的發(fā)展，核心層三層交換機選擇高性能路由交換機，配置雙引擎和雙電源系統(tǒng)，以滿足系統(tǒng)高可靠的要求，每臺設備配置多個千兆端口，通過千兆鏈路與出口路由器連接；配置多個千兆端口，用于與各單位和部門的接入層交換機相連。并通過千兆光纖與市政務外網(wǎng)進行互聯(lián)。圖2.10岳陽市各區(qū)縣電子政務外網(wǎng)核心層設計匯聚層設計4個匯聚點的匯聚：為實現(xiàn)對接入設備的匯聚，提高轉(zhuǎn)發(fā)性能，應考慮實際需求及性價比，為各個匯聚點配置高性能三層交換機。上聯(lián)至核心。圖2.11岳陽市各區(qū)縣電子政務外網(wǎng)匯聚層設計主干網(wǎng)絡中，匯聚層是業(yè)務流量的匯聚點，同樣需要部署高可靠、冗余、可擴展的網(wǎng)絡來保障系統(tǒng)不間斷運行。為實現(xiàn)清晰的網(wǎng)絡層次，確保城域網(wǎng)的可靠連接，匯聚層使用4臺高性能路由交換機，利用雙鏈路以1000M速率連接核心交換機，同時負責各市直單位的接入?？紤]到匯聚交換機的關(guān)鍵位置及作用，匯聚交換機接口要有冗余性。接入層設計部門網(wǎng)絡的接入：為實現(xiàn)所有單位用戶的接入，考慮到實際需求及性價比，每個接入單位配置一臺接入設備。在對內(nèi)網(wǎng)安全性和可控性考慮，圖2.12岳陽市各區(qū)縣電子政務外網(wǎng)接入層(交換機)設計(一)圖2.12岳陽市各區(qū)縣電子政務外網(wǎng)接入層(路由器)設計(二)部門通過千兆單模/多模光接口就近接入?yún)R聚交換機，交換機設備要能夠?qū)崿F(xiàn)各接入單位之間不同的應用通過VLAN二層隔離并以VLANTrunk方式透傳至匯聚交換機。路由器設備要能夠?qū)崿F(xiàn)各接入單位的地址轉(zhuǎn)換。結(jié)合網(wǎng)絡情況以及接口要求，本次接入層設備配置應該滿足所有單位接入數(shù)量的要求。IGP路由設計路由設計，關(guān)系到網(wǎng)絡的整體性能和功能，是網(wǎng)絡設計中的一個重要環(huán)節(jié)，岳陽市各區(qū)縣電子政務外網(wǎng)路由設計采用靈活的設計思路，準確選擇路由協(xié)議，從管理的方便性和技術(shù)的先進性兩個方面進行規(guī)劃設計。根據(jù)岳陽市各區(qū)縣電子政務外網(wǎng)的網(wǎng)絡規(guī)模和主備線路情況，在核心層和匯聚層采用OSPF路由協(xié)議，實現(xiàn)流量的負載均衡和鏈路的自動切換。對于互聯(lián)網(wǎng)接入?yún)^(qū)和外部數(shù)據(jù)中心的節(jié)點，由于連接至啟用三層的防火墻，使用靜態(tài)路由實現(xiàn)網(wǎng)絡的聯(lián)通性；對于內(nèi)部數(shù)據(jù)中心節(jié)點，由于是連接是三層防火墻安全設備，使用OSPF路由協(xié)議，實現(xiàn)網(wǎng)絡的聯(lián)通性。IP地址規(guī)劃IP地址的合理規(guī)劃是網(wǎng)絡設計中的重要一環(huán)，大型計算機網(wǎng)絡必須對ＩＰ地址進行統(tǒng)一規(guī)劃并得到實施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡路由協(xié)議算法的效率，影響到網(wǎng)絡的性能，影響到網(wǎng)絡的擴展，影響到網(wǎng)絡的管理，也必將直接影響到網(wǎng)絡應用的進一步發(fā)展。IP地址分配原則IP地址空間分配，要與網(wǎng)絡拓撲層次結(jié)構(gòu)相適應，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡的可擴展性和靈活性，同時能滿足路由協(xié)議的要求，以便于網(wǎng)絡中的路由匯總和聚類，減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時還要考慮到網(wǎng)絡地址的可管理性。具體分配時要遵循以下原則：唯一性：一個IP網(wǎng)絡中不能有兩個主機采用相同的IP地址；簡單性：地址分配應簡單易于管理，降低網(wǎng)絡擴展的復雜性，簡化路由表的款項連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡中易于進行路徑疊合，大大縮減路由表，提高路由算法的效率可擴展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡規(guī)模擴展時能保證地址疊合所需的連續(xù)性靈活性：地址分配應具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間管理和互聯(lián)地址規(guī)劃從省中心分配給岳陽的地址段中劃分一段作為管理和互連地址段。用戶地址規(guī)劃省中心對市（市）區(qū)的IP地址做了統(tǒng)一的規(guī)劃和分配，岳陽市各區(qū)縣電子政務外網(wǎng)所分配的地址段由岳陽市信息化管理局統(tǒng)一分配，用戶地址具體分配原則如下：在縱向VPN和橫向VPN中為各市直單位分配岳陽市各區(qū)縣段IP地址，原則上是先滿足網(wǎng)絡設備和網(wǎng)絡維護管理所需的IP地址段，對各接入單位所需的IP地址分配原則是按需分配，動態(tài)管理。在橫向VPN的設計中，如果部分單位之間的IP地址段重疊，則由接入設備將重疊的用戶地址進行地址轉(zhuǎn)換（NAT）為政務外網(wǎng)的臨湘段地址進行通信。考慮到IP地址數(shù)量有限，對于各單位訪問Internet的公共VPN則由市政府從私有地址段中進行統(tǒng)一分配，原則上每個單位分配一個C類地址段，由接入設備將這些訪問Internet的地址轉(zhuǎn)換（NAT）為政務外網(wǎng)臨湘段地址再在政務外網(wǎng)上傳播。有特殊需求的單位，適當增加外網(wǎng)IP地址。MPLSVPN規(guī)劃設計MPLSVPN構(gòu)建縱向網(wǎng)絡MPLS（MultiprotocolLabelSwitching:多協(xié)議標簽交換）技術(shù)是在開放的通信網(wǎng)上利用定長標簽進行數(shù)據(jù)高速傳輸和交換的網(wǎng)絡新技術(shù)。MPLS技術(shù)將第二層交換和第三層的路由技術(shù)很好地結(jié)合起來，以十分簡潔、高效的方式完成信息的傳送。更為重要的是，MPLS使IP網(wǎng)絡能提供傳統(tǒng)IP網(wǎng)絡不能或很難提供的各種增值服務，例如MPLS所提供的VPN服務、流量工程服務、IPQoS服務等。在MPLS網(wǎng)上實現(xiàn)的無連接的IPVPN，提供了基于幀中繼、ATMPVC的第二層VPN相同安全級別的虛擬專用網(wǎng)，能達到第二層PVC所具有的專有性、安全性和數(shù)據(jù)傳輸?shù)母咚傩裕鳰PLSVPN的靈活性、擴展性、易管理性和適應性則是當前其他基于PVC或隧道技術(shù)的VPN所無法比擬的。MPLSVPN在第三層路由上對各VPN進行了隔離，無需訪問控制列表ACL，各VPN之間都是不可見的，骨干網(wǎng)對于客戶網(wǎng)絡（某個VPN內(nèi)部）也是不可見的。所以，充分保證了在多個業(yè)務系統(tǒng)共用IP骨干網(wǎng)情況下的相互有效隔離。MPLS最初是為服務供應商網(wǎng)絡所創(chuàng)立的技術(shù)，今天，很多企業(yè)或政府機構(gòu)的網(wǎng)絡也需要解決和服務供應商網(wǎng)絡類似的需求和問題。大型企業(yè)和政府機構(gòu)的IP骨干網(wǎng)正從過去低帶寬、重復分離的物理網(wǎng)絡向?qū)拵Щ⒁惑w化方向發(fā)展，一個高效的、智能的、集成的網(wǎng)絡是政府網(wǎng)絡發(fā)展的方向。同樣地，岳陽市各區(qū)縣電子政務外網(wǎng)要能安全、高效地整合各業(yè)務專網(wǎng)，同時應對各種公共業(yè)務、語音傳送、視頻服務多業(yè)務應用不斷增長的需求，這些不同的業(yè)務專網(wǎng)和各種應用對于網(wǎng)絡的安全性、服務質(zhì)量要求各不相同，這就要求岳陽市各區(qū)縣電子政務外網(wǎng)平臺必須能夠?qū)⑺鼈儼凑崭髯缘奶匦院鸵笳_地傳送，提供安全隔離和區(qū)別服務。先進、成熟的MPLS/VPN技術(shù)是岳陽市各區(qū)縣電子政務外網(wǎng)橫向系統(tǒng)建設的有效解決方案。對岳陽市各區(qū)縣電子政務外網(wǎng)而言，需要重點實現(xiàn)兩個方面的需求：l．安全隔離：一方面要保證各業(yè)務系統(tǒng)邏輯網(wǎng)絡的相對獨立性，以滿足不同業(yè)務系統(tǒng)對安全性、服務質(zhì)量、管理、拓樸結(jié)構(gòu)的要求；2．受控互訪：另一方面，各業(yè)務系統(tǒng)之間的流程整合又需要提供相互訪問的途徑，而且要保證訪問的安全性。MPLS/BGPVPN解決方案可以為岳陽市各區(qū)縣電子政務外網(wǎng)平臺提供一種基于網(wǎng)絡、易于管理、擴充性好、安全且具有QoS保障、可在任意節(jié)點間連接的VPN。1．基于網(wǎng)絡，易于管理。這種基于網(wǎng)絡的VPN可以完全由骨干網(wǎng)絡來實現(xiàn)，即網(wǎng)絡用戶（各應用系統(tǒng)）不用關(guān)心VPN是如何構(gòu)造的，而是在網(wǎng)絡平臺內(nèi)完成。2．路由。需要在各PE節(jié)點之間建立IBGP全連接，以交換VPN-IPV4路由。3．安全性。由于基于MPLS/BGP實現(xiàn)，報文在網(wǎng)絡節(jié)點構(gòu)成的MPLS域中采用標簽轉(zhuǎn)發(fā)的形式進行交換（LSP），因此具有同ATM/FR虛電路相同的安全級別。MPLSBGPVPN方案采用VRF實現(xiàn)VPN之間的路由隔離。通過MPLSLSP隧道將VPN流量完全隔離。4．QOS。由于基于MPLS/BGP實現(xiàn)，可以利用MPLSCOS機制，結(jié)合IPQOS機制，從而能夠為VPN用戶實現(xiàn)端到端的QOS服務。由于各業(yè)務系統(tǒng)的VPN流量通過不同的LSP隧道承載，可以方便的針對LSP實現(xiàn)MPLS的區(qū)別服務。通過IPTOS和MPLSCOS域的映射，可以將邊緣網(wǎng)絡中定義的IPQOS級別繼承到MPLS域中，實現(xiàn)端到端的QOS。5．擴充性好。由于基于MPLS/BGP實現(xiàn)，因此很容易對網(wǎng)絡節(jié)點進行擴充，網(wǎng)絡可剪裁性好。在增加某個VPN的網(wǎng)點（Site）時，只需要配置該網(wǎng)點連接的PE路由器，不存在N平方問題。增加一項新業(yè)務系統(tǒng)時不會影響已有的業(yè)務，實現(xiàn)平滑擴展。MPLSVPN業(yè)務模型與網(wǎng)絡規(guī)模及拓撲無關(guān)。岳陽市各區(qū)縣電子政務外網(wǎng)部署MPLSVPN要考慮以下幾點：可靠性和穩(wěn)定性目前MPLSVPN技術(shù)主要分成L3MPLSVPN、L2MPLSVPN（包括VPLS（虛擬私有局域網(wǎng)服務））兩大類。其中L3MPLSVPN技術(shù)發(fā)展較早，其核心部分已經(jīng)標準化（RFC2547，RFC2547bits）,由于它的信令控制是通過多協(xié)議BGP來實現(xiàn)的，所以通常也叫做MPLS/BGPVPN，或BGP/MPLSVPN。MPLS/BGPVPN技術(shù)不僅已經(jīng)廣泛應用于電信運營商和ISP，而且也廣泛應用于電力行業(yè)，政府行業(yè)（包括各省的政務內(nèi)網(wǎng)和政務外網(wǎng)），金融行業(yè)，大型企業(yè)等行業(yè)用戶。其技術(shù)和產(chǎn)品都較為成熟，穩(wěn)定。所以岳陽市各區(qū)縣電子政務外網(wǎng)宜選用MPLS/BGPVPN作為主流的MPLSVPN技術(shù)。擴展性由于省電子政務外網(wǎng)將每個?。ê笔〖墸┮?guī)劃為單獨的自治域（AutonomousSystem）。所以，要想實現(xiàn)各個部委的垂直縱向網(wǎng)從中央延伸到省、地市、區(qū)市，必需解決VPN跨自治域的問題。業(yè)務多樣性岳陽市各區(qū)縣電子政務外網(wǎng)作為一個向政府部門提供網(wǎng)絡服務的平臺，不僅要提供基本MPLSVPN業(yè)務。還要提供多樣化的業(yè)務種類，以滿足不同政府部門的多樣化要求。比如，有的廳局需要在自己的VPN內(nèi)部根據(jù)自己不同的業(yè)務部門或者不同的業(yè)務種類再自行劃分內(nèi)部的VPN，而這種內(nèi)部VPN的劃分和管理應該完全屬于這個廳局自己，而不需要對全網(wǎng)VPN規(guī)劃產(chǎn)生影響。所以，這個網(wǎng)絡需要支持MPLSVPN的層次化能力。VPN業(yè)務的高品質(zhì)保證針對語音、視頻、多媒體通信等實時性要求比較嚴格的業(yè)務，岳陽市各區(qū)縣電子政務外網(wǎng)的VPN服務能否提供類似專線一樣的服務質(zhì)量保證也是非常重要的，這就要求在整個網(wǎng)絡中部署端到端的QOS。設備實現(xiàn)MPLSVPN的性能考慮前面只是考慮了MPLSVPN部署時的業(yè)務特性，而在一個實際的生產(chǎn)網(wǎng)絡里。設備實現(xiàn)MPLSVPN的性能如何至關(guān)重要?？删S護性和可管理性對于MPLSVPN的管理首先確定管理界面。在電信運營商網(wǎng)絡，PE和CE是服務提供商和用戶之間的管理界面，用戶維護和管理CE設備，服務提供商維護和管理PE設備。但是在電子政務外網(wǎng)中，由于行業(yè)的特點，政務外網(wǎng)服務提供商不僅要維護和管理PE設備，還要維護和管理CE設備。如何解決同時對PE和CE設備的管理是必需考慮的問題。其次是MPLSVPN的業(yè)務管理，主要包括以下幾個方面：同時支持MPLSL2/L3VPN可以同時管理BGP/MPLSVPN（RFC2547bis）、MPLSL2VPN（VPLS、Martini、Kompella），能夠?qū)崿F(xiàn)“多種VPN業(yè)務，單點集中運維”。能夠提供多廠商設備MPLSVPN業(yè)務共同管理的功能。能夠使用圖形化、向?qū)Щ姆绞剑瑤椭芾韱T快速完成VPN業(yè)務規(guī)劃，并可直觀的進行“業(yè)務預覽”，即在業(yè)務尚未部署到設備之前，就可在業(yè)務管理系統(tǒng)中看到業(yè)務實施后的效果（如VPN拓撲結(jié)構(gòu)、VPN內(nèi)各站點間邏輯連接關(guān)系），避免業(yè)務規(guī)劃過程中人為的錯誤。能夠提供可調(diào)度（定時或用戶觸發(fā)）的業(yè)務部署能力，自動生成不同廠商設備的指令，并下發(fā)設備，在網(wǎng)絡中形成實際運行的MPLSVPN業(yè)務；對于已部署業(yè)務，可進行拆除；降低業(yè)務部署復雜度，提高VPN業(yè)務發(fā)放響應速度。能夠自動發(fā)現(xiàn)已有網(wǎng)絡中的設備、接口、邏輯接口等資源。能夠提供多種有效的業(yè)務監(jiān)控手段，從而保證VPN業(yè)務質(zhì)量：VPN配置審計、VPN連通性審計、端到端的網(wǎng)絡性能（時延、丟包、抖動）監(jiān)控、圖形化的流量/帶寬利用率監(jiān)控、智能的業(yè)務告警分析，幫助管理員快速排障、及時了解業(yè)務狀況。VPN客戶可以通過WEB瀏覽器，在被授權(quán)的范圍內(nèi)管理其租用VPN的運行狀況：修改查看客戶基本信息、查看業(yè)務租用情況、查看流量/告警統(tǒng)計報表。能夠提供北向接口，可接入其他BSS/OSS系統(tǒng)或告警/性能等ISV專有系統(tǒng)（如Micromuse的NetCool），為運營商規(guī)劃運營支撐系統(tǒng)時提供VPN業(yè)務的管理接口。能夠維護VPN客戶的各種信息，并提供豐富的客戶業(yè)務租用報表、資源租用報表、性能數(shù)據(jù)報表、流量數(shù)據(jù)報表和故障數(shù)據(jù)報表等。能夠定時自動生成各種報表，包括：網(wǎng)絡資源占用報表、業(yè)務租用報表、VPN流量/接口帶寬利用率報表（可按日周月年查看）、告警報表、客戶報表、連通性審計報表、性能報表（平均/最大/最小丟包、時延等指標）等（格式包括HTML、EXCEL等）。能夠提供靈活的用戶分權(quán)策略（可按照對象＋操作給用戶授權(quán)），方便運營商按照個管理員實際業(yè)務職責來分權(quán)；提供簡便易用的數(shù)據(jù)庫備份工具，簡化系統(tǒng)管理員數(shù)據(jù)備份的工作；提供Watchman異地雙機備份組件，保證系統(tǒng)的高可用性；提供詳盡的用戶操作日志記錄、任務操作日志記錄，便于事后跟蹤。能夠提供豐富的網(wǎng)絡拓撲顯示視圖：網(wǎng)絡視圖（PE-CE之間的連接關(guān)系）、客戶視圖（CE-CE之間連接管理）、VPN視圖（每個VPN顯示為一個節(jié)點）功能，并提供放大、縮小、定位節(jié)點、鳥瞰圖、節(jié)點搜索、多選等操作；并可按照客戶、VPN過濾、AS、VPN類型等過濾顯示；對于VPN內(nèi)節(jié)點數(shù)目較大、之間的邏輯鏈接過多提供更細節(jié)的過濾顯示功能；拓撲能夠反映業(yè)務實際運行狀態(tài)。MP-BGPRR規(guī)劃設計MP-BGP主要用于傳遞VPN路由，BGP路由協(xié)議規(guī)劃中的IBGP主要用于傳遞IPV4路由。由于所有岳陽市各區(qū)縣電子政務外網(wǎng)平臺設備處于一個AS中，MP-IGP同樣存在IBGP的全連接要求，同樣具有N平方問題，為了解決這個問題，必須使用BGP反射器技術(shù)。MPLSVPN資源規(guī)劃VRF規(guī)劃岳陽市各區(qū)縣政府職能部門，建立兩個基本VPN：縱向VPN：規(guī)劃為各職能部門的垂直部門之間訪問；橫向VPN；規(guī)劃為各職能部門的兄弟部門之間的訪問；2、在岳陽市各區(qū)縣政府網(wǎng)控中心，除上面兩個VPN外，需要建立如下VPN：公網(wǎng)出口VPN：為岳陽市各區(qū)縣政務外網(wǎng)internet出口建立一個VPN，該VPN與各職能部門的internetVPN進行互引，從而實現(xiàn)各職能部門的上internet的需求，同時實現(xiàn)各職能部門internetVPN用戶的隔離；共享資源VPN：為岳陽市各區(qū)縣政務外網(wǎng)內(nèi)部數(shù)據(jù)中心設立的VPN，通過這處VPN與其他部門的路由標簽互相引入，實現(xiàn)岳陽市各區(qū)縣電子政務平臺相關(guān)資源對所有職能部門的共享。RD—routerdistinguish規(guī)劃RD的命名規(guī)則統(tǒng)一如下：使用16bits：32bits格式，分配規(guī)則為『AS號：VPN類別』?！逗鲜‰娮诱胀饩W(wǎng)平臺規(guī)范》對RD值規(guī)劃如下：VRF名稱RD（ASN代表湖南省電子政務外網(wǎng)自治系統(tǒng)號）維護VRFASN:1-10數(shù)據(jù)交換中心VRFASN:11-60語音、視頻ASN:61-99系統(tǒng)保留ASN:100-999接入部門1ASN:1000-1099(其中ASN:1000用做管理VPN，ASN:1001-1009用做橫向VPN，ASN:1010-1099用做縱向VPN)接入部門100ASN:10000-10099(其中ASN:10000用做管理VPN，ASN:10001-10009用做橫向VPN，ASN:10010-10099用做縱向VPN)系統(tǒng)保留ASN:20000以后RT—Route-target規(guī)劃命名規(guī)則如下：使用16bits：32bits格式，分配規(guī)則為『AS號：VPN類別』。RT。由于標準的MPLS/BGPVPN采用對VPN-IPv4路由附帶的RT值進行導入ImportTarget和導出ExportTarget控制以實現(xiàn)不同VPN之間的訪問控制,而且在岳陽市各區(qū)縣政務網(wǎng)絡中存在職能部門的縱向或橫向訪問，所以RT值必須全局統(tǒng)一分配。湖南省電子政務外網(wǎng)工程中采用RT值的格式：16位自治系統(tǒng)號:32位用戶自定義數(shù)字。RT與VPN相匹配。（ASN代表湖南省電子政務外網(wǎng)自治域系統(tǒng)號）VPN名稱站點ExportRTImportRT維護VPNASN:1ASN:100．．．．．．ASN:20000各政府職能部門ASN:100．．．．．．ASN:20000ASN:1垂直縱向VPN單位1ASN:110-199ASN:110-199．．．．．．單位100ASN:10010-10099ASN:10010-10099MPLSVPN業(yè)務接入規(guī)劃岳陽市各區(qū)縣電子政務外網(wǎng)平臺中的業(yè)務包括各政府職能部門的各種應用系統(tǒng)，這些系統(tǒng)一般通過局域網(wǎng)交換機或路由設備將業(yè)務接入到匯聚層PE。根據(jù)湖南省電子政務外網(wǎng)的技術(shù)規(guī)范及岳陽市各區(qū)縣政府電子政務外網(wǎng)的相關(guān)要求，針對各政府職能部門，先規(guī)劃兩個VPN以滿足他們現(xiàn)行條件的業(yè)務需求，這兩個VPN為：縱向VPN：滿足各職能部門省、市、市級的縱向數(shù)據(jù)訪問；橫向VPN：滿足部分岳陽市各區(qū)縣政府職能部門兄弟單位的共享數(shù)據(jù)訪問。在實現(xiàn)上，這兩個VPN，分別對應兩個VLAN，通過交換機的TRUNK鏈路接入?yún)R聚網(wǎng)絡設備，在匯聚設備上進行VPN的綁定。從整個岳陽市各區(qū)縣電子政務外網(wǎng)平臺來看，還需要對一些業(yè)務共享資源進行規(guī)劃，并且對以后應用的擴展進行考慮還要創(chuàng)建如下VPN：外部數(shù)據(jù)中心VPN：滿足外部共享資源的統(tǒng)一管理。內(nèi)部數(shù)據(jù)中心VPN：滿足岳陽市各區(qū)縣電子政務外網(wǎng)平臺中各部門共享資源的管理。在擴展性考慮方面，我們還必須對VPN資源進行預留，以滿足今后業(yè)務的發(fā)展要求，譬如說可以按業(yè)務給VOIP或視頻會議等應用規(guī)劃單獨的VPN，以滿足電子政務外網(wǎng)平臺中語音、視頻的業(yè)務擴充能力。數(shù)據(jù)中心設計方案外部數(shù)據(jù)中心設計外網(wǎng)服器包含：WEB服務器等。我們主要考慮到的是防范對于非法訪問，一般通過防火墻來實現(xiàn)。通過配置了多級防火墻，以隔離網(wǎng)絡各個組成部分相互之間的非法訪問（合法訪問可以通過）；對于Internet用戶來講，如果想非法侵入外部數(shù)據(jù)中心網(wǎng)絡，必須突破防火墻的防范?？咕芙^服務系統(tǒng)通過多種技術(shù)手段對DOS/DDOS攻擊進行有效的檢測，對不同的流量觸發(fā)不同的保護機制，在提高效率的同時確保準確度，對SYNFlood，UDPFlood，ICMPFlood，IGMPFlood，F(xiàn)ragmentFlood，HTTPProxyFlood，CCProxyFlood，ConnectionExhausted等各種常見的攻擊行為均可有效識別，并通過集成的機制實時對這些攻擊流量進行處理及阻斷，保護服務主機免于攻擊所造成的損失，保證岳陽市各區(qū)縣電子政務外網(wǎng)平臺業(yè)務應用系統(tǒng)運行的連續(xù)性。外部數(shù)據(jù)中心也是電子政務外網(wǎng)的主要組成部分，還考慮到如果黑客采取SQL注入、跨站腳本攻擊、DDOS攻擊、網(wǎng)頁掛馬、敏感信息泄露、網(wǎng)頁篡改等等攻擊手段，我們也得采取相應措施應對。所以我們用到網(wǎng)頁防篡改系統(tǒng)，將其部署在外部數(shù)據(jù)中心WEB服務器上，有效防范政府網(wǎng)頁被篡改的行為。圖3.1岳陽市各區(qū)縣電子政務外網(wǎng)外部數(shù)據(jù)中心設計內(nèi)部數(shù)據(jù)中心設計本方案內(nèi)部服務器包含：OA辦公服務器、電子政務應用服務器、數(shù)據(jù)庫服務器、IMC智能管理平臺服務器等，應選高性能三層交換機作為服務器匯聚設備來保證對服務器被訪問量，滿足對服務器所要求的帶寬。本方案在核心交換機與數(shù)據(jù)中心服務器區(qū)部署二臺高性能防火墻產(chǎn)品，構(gòu)成雙機熱備，以防御來自不同網(wǎng)絡區(qū)域的攻擊，并將各系統(tǒng)有效的安全隔離開來，確保岳陽市各區(qū)縣電子政務外網(wǎng)平臺數(shù)據(jù)中心的安全。IPS位于岳陽市各區(qū)縣電子政務核心交換機與內(nèi)部數(shù)據(jù)中心之間，大大提高了對電子政務外網(wǎng)平臺的安全性，有效的保障了訪問內(nèi)部數(shù)據(jù)中心權(quán)限的應用。圖3.2岳陽市各區(qū)縣電子政務外網(wǎng)內(nèi)部數(shù)據(jù)中心設計服務器部署設計服務器是本次項目電子政務應用建設的重要組成部分，是構(gòu)成整個電子政務應用的物理基礎。在本次項目中的服務器可以分為以下幾個大類： 數(shù)據(jù)庫服務器：用于布置電子政務應用的數(shù)據(jù)庫，是電子政務應用的數(shù)據(jù)存儲中心；主要用于運行大型數(shù)據(jù)庫系統(tǒng)，進行存儲、查詢、檢索應用系統(tǒng)信息。數(shù)據(jù)庫在運行時會大量的使用系統(tǒng)內(nèi)存，要有足夠容量的系統(tǒng)內(nèi)存進行支持，并且要有足夠強計算能力和I/O吞吐能力。 應用服務器：用于支撐整個電子政務的各類應用（行政審批、電子監(jiān)察等），根據(jù)應用的具體情況選擇相應的服務器。 Web服務器：支撐電子政務中的Web應用。OA服務器：用于支撐整個電子政務的煤OA辦公應用。門戶外網(wǎng)服務器：用于支撐整個外網(wǎng)門戶網(wǎng)站群。本項目所有服務器都部署在岳陽市各區(qū)縣政府網(wǎng)控中心。根據(jù)岳陽市各區(qū)縣電子政務應用的情況，服務器主要部署在內(nèi)部數(shù)據(jù)中心和外部數(shù)據(jù)中心，內(nèi)外部數(shù)據(jù)中心的服務器根據(jù)應用的類別劃分相應的分區(qū)，所需要的服務器包括：門戶網(wǎng)站服務器兩臺、數(shù)據(jù)庫服務器兩臺、網(wǎng)管服務器一臺、日志服務器一臺、防病毒服務器一臺、行政審批與電子監(jiān)察系統(tǒng)服務器一臺、備用兩臺，其他服務器根據(jù)今后應用的需要進行購置。服務器采用獨立的機架式服務器。存儲設計方案概述結(jié)合岳陽市各區(qū)縣電子政務外網(wǎng)平臺應用發(fā)展的實際情況，在岳陽市各區(qū)縣電子政務外網(wǎng)平臺中采用IPSAN存儲系統(tǒng)，存儲包括在線存儲、近線存儲、離線存儲，離線存儲適用物理帶庫，實現(xiàn)外網(wǎng)各應用系統(tǒng)的數(shù)據(jù)存儲和市直部門及鄉(xiāng)鎮(zhèn)數(shù)據(jù)的災備。存儲需求分析根據(jù)各區(qū)縣電子政務外網(wǎng)建設規(guī)劃和國家外網(wǎng)業(yè)務的延伸，“十二金”工程、人口、法人、自然資源與環(huán)境、宏觀經(jīng)濟等數(shù)據(jù)庫的建立，電子印章與數(shù)字證書支撐應用系統(tǒng)、智能交通系統(tǒng)、數(shù)字城管系統(tǒng)、社會綜合治稅系統(tǒng)等業(yè)務應用系統(tǒng)的建設，將產(chǎn)生大量的數(shù)據(jù)，為了提高存儲訪問性能，消除存儲孤島，保證數(shù)據(jù)的完整性和可用性，需要科學合理規(guī)劃、建立存儲系統(tǒng)。在線存儲采用IP-SAN技術(shù)實現(xiàn)，建議預留ISCSI接口異地災備采用IP-SAN技術(shù)實現(xiàn)，磁盤采用SATA硬盤實現(xiàn)。系統(tǒng)拓撲圖圖4.1岳陽市各區(qū)縣電子政務外網(wǎng)存儲系統(tǒng)設計系統(tǒng)設計采用目前最先進的冗余4GbpsIP-SAN架構(gòu)。所有需要進行數(shù)據(jù)存儲和備份的服務器直接接入IP交換機，實現(xiàn)對連接在IP-SAN交換機上的磁盤陣列的存儲訪問。備份、容災系統(tǒng)部署為保證數(shù)據(jù)安全，需要有效的數(shù)據(jù)備份機制:在IP-SAN的方案設計中，以高性能存儲系列產(chǎn)品作為核心存儲系統(tǒng)。通過IP交換機與局域網(wǎng)多臺服務器建立連接。服務器通過普通千兆網(wǎng)卡或iSCSIHBA卡接入IPSAN。提供海量存儲空間，實現(xiàn)高穩(wěn)定性、高可靠性的數(shù)據(jù)集中和存儲資源統(tǒng)一管理?？梢曰觳甯咝阅艿腟AS磁盤和大容量的SATAII磁盤，單臺設備即可滿足兩種不同的應用需求，大大提高設備性價比。所有需要連接的服務器，如數(shù)據(jù)庫服務器、郵件服務器等，只要安裝千兆網(wǎng)卡，并安裝軟件的iSCSIInitiator，就可以通過以太網(wǎng)獲得存儲設備，從而不需要購置價格昂貴的HBA卡。主流的操作系統(tǒng)AIX\Solaris\Linux\Windows都支持這種千兆網(wǎng)卡加軟件的iSCSIInitiator的實現(xiàn)方式。對于那些對于重要的應用服務器，可以安裝通過iSCSI的HBA卡的方式連接到系統(tǒng)，對于其他需要擴展存儲的應用服務器來說，可以安裝操作系統(tǒng)所對應的iSCSIInitiator，配合以太網(wǎng)卡連接到存儲系統(tǒng)。通過劃分不同的卷，以保證各個應用系統(tǒng)互不干擾。對于以后可能增加的要連接到IP-SAN中需要共享存儲資源的所有相關(guān)應用服務器，可實現(xiàn)即插即用，用網(wǎng)線連接到存儲區(qū)域網(wǎng)絡就能訪問后臺存儲設備里的數(shù)據(jù)?；跇藴驶疘P的存儲交換平臺使得各種數(shù)據(jù)管理功能能夠像電器插入電源插座一樣，輕易地進行部署應用。

系統(tǒng)安全設計方案系統(tǒng)概況岳陽市各區(qū)縣電子政務網(wǎng)外網(wǎng)平臺，于外網(wǎng)有兩個連接節(jié)點，一個是互聯(lián)網(wǎng)，另外一個是市電子政務外網(wǎng)平臺。同時，在岳陽市各區(qū)縣電子政務外網(wǎng)平臺上，還要部署政府門戶網(wǎng)站群，實施政務公開，提高監(jiān)管能力和公共服務水平。現(xiàn)需要對外網(wǎng)進行安全性防護控制和管理。因網(wǎng)絡規(guī)模大涉及人員及各單位部門較多，需對相關(guān)網(wǎng)絡訪問控制進行嚴格管理。為實現(xiàn)電子政務網(wǎng)的系統(tǒng)安全專門定制一套網(wǎng)絡安全解決方案，主要針對安全防護、區(qū)域隔離、入侵防御分析、Web應用的防護等。安全建設原則在規(guī)劃岳陽市各區(qū)縣電子政務網(wǎng)系統(tǒng)安全建設時，我們將遵循下原則，提供完善的全網(wǎng)安全解決方案：可用性原則：可用性就是指網(wǎng)絡服務對用戶而言必須是可用的，也是確保網(wǎng)絡節(jié)點在受到各種網(wǎng)絡攻擊時仍然能夠提供相應的服務。保密性原則：保密性保證相關(guān)信息不泄露給未授權(quán)的用戶或?qū)嶓w。完整性原則：完整性保證信息在傳輸?shù)倪^程中沒有被非法用戶增加、刪除與修改，保證非法用戶無法偽造數(shù)據(jù)。真實性原則：真實性保證和一個網(wǎng)絡節(jié)點通信的對端就是真正的通信對端，也就是說要鑒別通信對端的身份。如果沒有真實性，那么網(wǎng)絡攻擊者就可以假冒網(wǎng)絡中的某個節(jié)點來和其它的節(jié)點進行通信，那么他就可以獲得那些未被授權(quán)的資源和敏感信息。不可否認性原則：不可否認性保證一個節(jié)點不能否認其發(fā)送出去的信息。這樣就能保證一個網(wǎng)絡節(jié)點不能抵賴它以前的行為。安全拓撲圖圖5.3岳陽市各區(qū)縣電子政務外網(wǎng)安全系統(tǒng)設計系統(tǒng)功能說明：1、此網(wǎng)絡拓撲中通過部署二臺萬兆主機；集成二塊防火墻板卡、一塊入侵防御板卡；一塊抗DDOS系統(tǒng)板卡、一塊流量控制系統(tǒng)+上網(wǎng)行為審計系統(tǒng)、一套網(wǎng)頁防篡改系統(tǒng)、一套入網(wǎng)規(guī)范管理系統(tǒng)、一套日志審計系統(tǒng)來對整個網(wǎng)絡進行安全保護和上網(wǎng)用戶及流量管理，在外部數(shù)據(jù)中心區(qū)服務器交換機也集成了入侵防御系統(tǒng)。為整個網(wǎng)提供無病毒的網(wǎng)絡環(huán)境。2、防火墻主要針對WEB服務器區(qū)的服務器進行四層以下安全保護，同時也可做安全區(qū)域隔離，實現(xiàn)了內(nèi)部數(shù)據(jù)區(qū)、WEB服務器區(qū)和互聯(lián)網(wǎng)之間，不同的業(yè)務區(qū)的隔離和訪問的控制。3、入網(wǎng)規(guī)范管理系統(tǒng)在提供多樣化的身份認證，保障接入網(wǎng)絡人員合法性的同時，同時支持對設備的實名認證，保障了接入網(wǎng)絡終端設備的合法性，從而加強內(nèi)部網(wǎng)絡的可控性，方便管理員對網(wǎng)絡的統(tǒng)一管理。4、互聯(lián)網(wǎng)出口的抗DDOS設備使岳陽市各區(qū)縣電子政務外網(wǎng)平臺能有效保護其基礎業(yè)務系統(tǒng)（包括Web、DNS、Mail、交換機、路由器或是防火墻）免受DDoS攻擊的侵害，保證其業(yè)務系統(tǒng)運行的連續(xù)性。5、外部數(shù)據(jù)中心出口的IPS主要融合高性能、高安全性、高可靠性和易操作性等特性，通過先進的安全架構(gòu)，具備深度入侵防護、精細流量控制，以及全面用戶上網(wǎng)行為監(jiān)管等多項功能，能夠為用戶提供深度攻擊防御和應用帶寬保護的完美價值體驗，IPS可針對上網(wǎng)用戶行為、流量管理、訪問控制、病毒防護，如：杜絕迅雷、BI下載、P2P點上下載、在線電影、炒股軟件、網(wǎng)絡游戲等。6、通過使用內(nèi)部數(shù)據(jù)中心防火墻過濾不安全的服務請求，提高網(wǎng)絡安全和減少子網(wǎng)中主機的風險，提供對系統(tǒng)的訪問控制；阻止攻擊者獲得攻擊網(wǎng)絡系統(tǒng)的有用信息，記錄和統(tǒng)計網(wǎng)絡利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。7、通過部署網(wǎng)絡版防病毒系統(tǒng)，網(wǎng)絡版防病毒產(chǎn)品與邊界安全網(wǎng)關(guān)采用異構(gòu)的殺毒引擎和病毒庫，以實現(xiàn)真正的雙重防護。安全系統(tǒng)部署岳陽市各區(qū)縣電子政務外網(wǎng)的網(wǎng)絡安全設計方案，主要體現(xiàn)針對WEB服務器區(qū)、內(nèi)部數(shù)據(jù)中心區(qū)、互聯(lián)網(wǎng)出口區(qū)和市電子政務外網(wǎng)互聯(lián)區(qū)這四個防護區(qū)的有效安全防御，突出在安全區(qū)域隔離、訪問控制、流量控制、攻擊防護、病毒過濾、上網(wǎng)行為管理、入侵防御方面的設計考慮。在互聯(lián)網(wǎng)接入?yún)^(qū)與核心交換機之間部署一臺高性能的防火墻產(chǎn)品，在保障網(wǎng)絡可用性同時實現(xiàn)內(nèi)外網(wǎng)間的邏輯隔離。位于外部數(shù)據(jù)中心的外網(wǎng)服務器掛在防火墻的服務器區(qū)，可同時防范來自內(nèi)外網(wǎng)的攻擊；在內(nèi)、外部數(shù)據(jù)中心服務器區(qū)與岳陽市各區(qū)縣電子政務外網(wǎng)平臺之間各部署了一臺高性能防火墻系統(tǒng),通過防火墻深度內(nèi)容檢測，能夠?qū)崿F(xiàn)基于應用的訪問控制，并且能夠和其他安全技術(shù)（比如認證、入侵檢測、終端安全管理）的整合，形成全方面的動態(tài)安全防護體系；岳陽市各區(qū)縣電子政務外網(wǎng)的服務器同互聯(lián)網(wǎng)是連接的，主要提供對外服務，很容易遭受到DDOS的攻擊，部署抗DDOS攻擊系統(tǒng)就可以避免外網(wǎng)服務器遭受DDOS攻擊，同時通過系統(tǒng)的日志功能還可以追查攻擊源。在互聯(lián)網(wǎng)服務區(qū)入口部署入侵防御系統(tǒng)，負責監(jiān)聽、保護互聯(lián)網(wǎng)服務區(qū)出入的流量數(shù)據(jù)，達到主動切斷非法用戶攻擊的目的；在全網(wǎng)部署一套網(wǎng)絡版防病毒軟件，保護服務器和終端免遭病毒攻擊，病毒對網(wǎng)絡系統(tǒng)的攻擊和破壞是目前網(wǎng)絡安全中最復雜、最普遍的問題。因此，需要在網(wǎng)絡之中部署行之有效的網(wǎng)絡防病毒系統(tǒng)，以強化網(wǎng)絡整體防護能力；通過日志審計系統(tǒng)針對岳陽市各區(qū)縣電子政務外網(wǎng)平臺的各個重要環(huán)節(jié)（包括網(wǎng)絡設備、服務器、安全設備、應用系統(tǒng)等）在運作過程中產(chǎn)生的各類日志信息進行集中記錄和收集，并可根據(jù)關(guān)鍵字對各類日志信息進行有效查詢，從而發(fā)覺深層次的安全問題，并能夠根據(jù)日志信息將網(wǎng)絡的活動狀態(tài)進行重現(xiàn)，使系統(tǒng)在發(fā)生安全事件后可以進行有效追溯，形成岳陽市各區(qū)縣電子政務外網(wǎng)平臺應用安全防護的保障；通過部署端點準入控制管理系統(tǒng)，對岳陽市各區(qū)縣電子政務外網(wǎng)平臺接入內(nèi)網(wǎng)的終端進行安全檢查，包括補丁、防病毒軟件情況、安裝軟件情況等。不符合安全規(guī)則的終端將被引導到修復區(qū)進行修復后進入網(wǎng)絡。還可以對終端進行進一步的管理，包括：注冊管理、資產(chǎn)管理、補丁升級、網(wǎng)絡訪問策略、外設策略、桌面防火墻策略、應用程序策略、桌面屬性策略、系統(tǒng)設置項等項目的細致化管理。通過部署流量控制設備,實現(xiàn)深度感知網(wǎng)絡應用，利用帶寬管理技術(shù)，實現(xiàn)對用戶和業(yè)務的分級化識別管理，達到基于用戶和用戶業(yè)務流量的管理的目的,增強對網(wǎng)絡洞察力，全面透視應用流量，掌控網(wǎng)絡資源（凈化流量；流量負載均衡；控制上網(wǎng)行為；進行帶寬管理，保障關(guān)鍵應用），同時采用集中式管理與分析工具，全面分析并預測網(wǎng)絡資源使用狀況；通過在岳陽市各區(qū)縣電子政務外網(wǎng)平臺WEB服務器上部署網(wǎng)頁防篡改軟件，可以提高相關(guān)WEB站點的安全性。當出現(xiàn)黑客攻擊或工作人員某些操作失誤，網(wǎng)頁防篡改軟件能夠?qū)崟r恢復網(wǎng)站文件，保證網(wǎng)站的連續(xù)正常運行；同時還能夠記錄篡改事件的相關(guān)資料，從而為安全部門提供調(diào)查的線索和證據(jù)。防篡改系統(tǒng)具備實時、低耗等性能指標，既能夠保證篡改頁面的立即恢復，又能保證網(wǎng)站的正常服務性能不受影響。

外網(wǎng)平臺應用系統(tǒng)建設應用模型政府的業(yè)務活動主要圍繞著政府、公務員、企（事）業(yè)及居民這4個行為主體展開，即包括政府部門與政府部門之間的互動；政府與內(nèi)部公務員的互動；政府與企、事業(yè)單位，尤其是與企業(yè)的互動；以及政府與居民的互動。在信息化的社會中，這4個行為主體在數(shù)字世界的映射，構(gòu)成了電子政務的應用模型。岳陽市各區(qū)縣電子政務外網(wǎng)平臺建設的主要應用可從邏輯上劃分成四類，如下圖所示。岳陽市各區(qū)縣電子政務外網(wǎng)平臺應用模型2個業(yè)務應用系統(tǒng)建設：政府門戶網(wǎng)站今年10月份前完成政府網(wǎng)站的改版，網(wǎng)站突出“政務公開、在線辦事、公眾參與”的應用功能。即具備八大功能：1、內(nèi)容管理系統(tǒng)；2、政府信息公開管理系統(tǒng)；3、表單系統(tǒng)（用在在線辦事）；4、在線訪談系統(tǒng)；5、舉報投訴管理系統(tǒng)；6、網(wǎng)上信訪系統(tǒng)；7、政務督察系統(tǒng)；8、WAP網(wǎng)站系統(tǒng)。網(wǎng)上政務服務與電子監(jiān)察系統(tǒng)嚴格按照《湖南省人民政府辦公廳關(guān)于加快推進全省網(wǎng)上政務服務和電子監(jiān)察系統(tǒng)建設的通知》（湘政辦明電[2011]90號）文件精神來落實。設備清單及性能要求設備清單及性能要求岳陽市各區(qū)縣電子政務外網(wǎng)平臺建設設備清單序號設備名稱數(shù)量參考品牌一、網(wǎng)絡設備1.互聯(lián)網(wǎng)出口路由器H3C2.縣級核心交換機H3C3.匯聚點交換機H3C4.區(qū)縣直單位接入設備(1)、（2）H3C5.區(qū)縣直單位接入交換機H3C6.內(nèi)部服務器區(qū)交換機H3C7.外部服務器區(qū)交換機H3C8.存儲區(qū)IP交換機H3C9.綜合網(wǎng)管系統(tǒng)H3C10．端點準入控制H3C11．電子政務外網(wǎng)出口路由器(備用)H3C二、安全設備12.抗DDOS系統(tǒng)設備H3C13.外網(wǎng)防火墻H3C14.內(nèi)部數(shù)據(jù)中心防火墻H3C15內(nèi)部數(shù)據(jù)中心入侵防御系統(tǒng)H3C16.外部數(shù)據(jù)中心入侵防御系統(tǒng)H3C17.流量控制系統(tǒng)H3C18．上網(wǎng)行為審計系統(tǒng)H3C三、存儲設備19．IP存儲H3C岳陽市各區(qū)縣電子政務外網(wǎng)平臺建設設備性能要求網(wǎng)絡設備1）互聯(lián)網(wǎng)出口路由器序號項目技術(shù)要求1技術(shù)指標交換容量≥48Gbps;包轉(zhuǎn)發(fā)率≥7Mpps;整機槽位≥2；2接口要求支持4個千兆電口;4個千兆光接口；支持E1/T1、FE、GE、10GE、POS（155M/622M/2.5G）、CPOS等接口。3功能要求基于開放架構(gòu)，有強的應用層業(yè)務適應能力;支持IPv4以及RIP、OSPF、BGP4等動態(tài)路由協(xié)議;支持IPv6靜態(tài)路由、RIPng、OSPFv3、IS-ISv6、BGP4+;支持IPv4向IPv6的過渡技術(shù)，包括IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自動配置隧道;支持包過濾和狀態(tài)檢測防火墻、URPF等多種安全特性;支持各種隊列調(diào)度機制：FIFO、PQ、CQ、WFQ、CBWFQ;支持接口模塊熱插拔;支持SNMPv1/V2/V3、支持NTP協(xié)議;支持硬件的NAT、GRE隧道、L2TP隧道、流量分析等業(yè)務處理。2）縣級核心交換機序號項目技術(shù)要求1技術(shù)指標交換容量≥1.1Tbps;包轉(zhuǎn)發(fā)率≥480Mpps;整機槽位≥12;2硬件配置配置雙電源、單主控3接口要求必須配置千兆以太網(wǎng)電接口≥24個+千兆以太網(wǎng)光接口≥24個+萬兆接口≥2個；要求所有接口板必須是分布式轉(zhuǎn)發(fā)工作模式。提供MPLS功能4功能要求支持分布式IPv4線速處理，支持以太網(wǎng)的環(huán)網(wǎng)保護技術(shù)，環(huán)網(wǎng)故障恢復時間不超過200ms；支持路由協(xié)議的GracefulRestart技術(shù)；支持IGMPV1/V2/V3Snooping、PIM-SM、PIM-DM、PIM-SSM和MSDP，ISIS;支持多業(yè)務功能板卡：支持L3MPLSVPN和L2MPLSVPN;支持NetStream流量統(tǒng)計功能;支持廣播風暴以及組播、單播風暴的壓制;支持基于L2,L3,L4的數(shù)據(jù)分類:802.1p,IPCOS,DiffServ，支持優(yōu)先隊列算法，CBWFQ，LLQ。5組網(wǎng)要求兩臺物理核心設備虛擬成一臺邏輯核心設備，該邏輯設備必須具備跨設備的鏈路捆綁，一致的轉(zhuǎn)發(fā)表項，以及統(tǒng)一的管理界面。6配置要求每臺最低配置千兆光纖模塊：2個,2個萬兆多模模塊。3）匯聚點交換機序號項目技術(shù)要求1技術(shù)指標交換容量≥320Gbps;包轉(zhuǎn)發(fā)率≥150Mpps2接口要求可擴展千兆以太網(wǎng)光接口≥40個；萬兆接口≥4個,支持業(yè)務擴展槽≥1個。3功能要求支持IPv4/IPv6靜態(tài)路由、RIPV1/V2/ng、OSPFv2/v3、BGP-4，支持策略路由；支持跨設備鏈路聚合，單一IP管理，虛擬化后所有設備路由表項統(tǒng)一；支持VRRPv2/v3；支持802.1x認證和集中式MAC地址認證；支持DHCPSnooping，防止DHCP服務器欺騙；支持出方向ACL，以便于靈活實現(xiàn)數(shù)據(jù)包過濾；支持IPv6ACL；支持SNMPV1/V2/V3、RMON、SSHV2，可通過命令行、Web、中文圖形化配置軟件等方式進行配置和管理，支持虛電纜檢測功能和單向鏈路檢測。4配置要求每臺配置千兆光纖模塊20個(根據(jù)接入層單位情況而定)4）區(qū)縣直單位接入設備1序號項目技術(shù)要求1技術(shù)指標轉(zhuǎn)發(fā)性能>=1.5Mpps2接口要求千兆光電復用接口數(shù)量≥4。每臺配置1個千兆單模光模塊。3功能要求支持靜態(tài)路由、RIP、OSPF、BGP、策略路由；支持端口捆綁，可以將多個物理端口捆綁成一個邏輯端口以提升帶寬；支持NAT地址轉(zhuǎn)換；支持IPSec、L2TP、GRE等VPN協(xié)議；支持防掃描探測；支持網(wǎng)絡攻擊防御；支持Syslog日志和二進制日志；支持NAT日志記錄；支持流日志，能夠?qū)W(wǎng)絡流量、DDoS攻擊流量、P2P流量等進行統(tǒng)計分析排序，并自動輸出圖形報表；支持SNMPV1/V2c/V3，MIB，SYSLOG，RMON，WEB網(wǎng)管。4）區(qū)縣直單位接入設備2序號項目技術(shù)要求1技術(shù)指標轉(zhuǎn)發(fā)性能≥280Kpps;2接口要求提供2個百兆三層廣域網(wǎng)接口和24個百兆二層局域網(wǎng)接口;擴展插槽≥3個；支持E1/CE1接口、ADSL2接口、CDMA2000、WIFI擴展。每臺配置1個千兆單模光模塊。3功能要求支持靜態(tài)路由、RIP、OSPF、BGP、策略路由；支持端口捆綁，可以將多個物理端口捆綁成一個邏輯端口以提升帶寬；支持NAT地址轉(zhuǎn)換；支持IPSec、L2TP、GRE等VPN協(xié)議；支持防掃描探測；支持網(wǎng)絡攻擊防御；支持Syslog日志和二進制日志；支持NAT日志記錄；支持流日志，能夠?qū)W(wǎng)絡流量、DDoS攻擊流量、P2P流量等進行統(tǒng)計分析排序，并自動輸出圖形報表；支持SNMPV1/V2c/V3，MIB，SYSLOG，RMON，WEB網(wǎng)管。5）區(qū)縣直單位接入交換機序號項目技術(shù)要求1技術(shù)指標交換容量>=19Gbps;包轉(zhuǎn)發(fā)率>=6.5Mpps2接口要求固定百兆接口數(shù)量≥24；千兆光電復用接口數(shù)量≥2；3功能要求支持基于端口的VLAN，支持基于協(xié)議的VLAN；支持VoiceVlan；最大VLAN數(shù)≥4000。支持智能彈性設備堆疊功能，可支持16臺設備堆疊，滿足接入端口擴展需要；支持IGMPSnooping等組播協(xié)議。支持L2~L4包過濾功能，提供基于源MAC地址、目的MAC址、源IP地址支持DHCPSnooping，防止欺騙的DHCP服務器；支持ARP入侵檢測和ARP報文限速功能于時間段的ACL和QoS控制。每個端口支持4個輸出隊列。支持SNMPV1/V2/V3、RMON、SSHV2，支持IPv6host；可通過命令行、Web、中文圖形化配置軟件等方式進行配置和管理，支持虛電纜檢測功能(VCT)，快速準確定位網(wǎng)絡中故障電纜的短路或斷路點。6）內(nèi)部服務器區(qū)交換機序號項目技術(shù)要求1技術(shù)指標交換容量≥190Gbps;包轉(zhuǎn)發(fā)率≥35Mpps;2接口要求提供可用接口20個10/100/1000電口，千兆光(SFP)接口4個3功能要求支持基于端口的VLAN，支持基于協(xié)議的VLAN，支持基于MAC的VLAN；最大VLAN數(shù)≥4000；支持最多8個GE口或4個10GE端口聚合；支持LACP；支持DHCPSnoopingtrust,防止私設DHCP服務器；支持基于第二層、第三層和第四層的ACL；至少具備8個QoS隊列；支持IPv4/IPv6路由；支持通過命令行、Web、中文圖形化配置軟件等方式進行配置和管理。7）外部服務器區(qū)交換機序號項目技術(shù)要求1技術(shù)指標交換容量≥320Gbps;包轉(zhuǎn)發(fā)率≥192Mpps2接口要求提供10/100/1000Base-T以太網(wǎng)端口（PoE）≥40個；100/1000MSFP接口≥4個,