政务内网门户技术分析报告
北京市政务内网门户技术分析报告
北京时代力维科技有限公司
2003-3-25
目录
1.介绍3
1.1项目背景3
1.2需求建议3
1.2.1门户网站的风格需求3
1.2.2个性化办公页面的设计需求3
1.2.3完善安全认证机制3
1.2.4面向事件的可视化信息资源调度3
1.2.5一站式服务3
1.2.6应用整合3
1.2.7协同办公与工作流3
1.2.8支持空间资源数据库的整合4
1.3建设原则和要求4
1.3.1网站实用性原则4
1.3.2技术先进性原则4
1.3.3页面响应及时性原则4
1.3.4系统开放性和扩展性原则4
1.3.5系统可靠性4
1.3.6系统安全性原则4
2.模型视图及分析5
2.1Use-Case Model5
2.2北京市政务内网门户网站5
2.3北京市政务内网门户网站系统用户角色6
2.3.1市委市政府领导角色6
2.3.2市政府公务员角色6
2.3.3北京市政务内网门户网站系统使用人员6
2.3.4北京市政务内网门户网站系统维护人员6
2.4北京市政务内网门户网站系统用况模型7
2.5全文检索7
2.6自动排版7
2.7安全体系7
2.7.1单点登录9
2.7.2证书业务服务系统 10
2.7.3证书查询验证服务系统 14
2.7.4密钥管理系统 15
2.7.5密码服务系统 15
2.7.6可信授权服务系统 16
2.7.7可信时间戳服务系统 17
2.7.8网络信任域系统 18
2.7.9安全防护系统 19
2.8协同办公与工作流27
北京市政务内网门户用例报告
1. 介绍
1.1 项目背景
北京市政务内网门户是北京市电子政务系统的重要组成部分,是基于政务内网的信息交流平台,建设内网门户的主要目标是:实现与北京市130个委办局、500个信息系统、1000个主题数据库的整合,为市委市政府领导及10万名公务员提供基于政务内网的内网导航、信息共享、资源调度、协同政务和决策支持,提高政府办事效率,改善政府决策质量和透明度,加大政府监管力度,更好地为民服务,推动首都经济的发展。
北京市政务内网门户基于Web Services技术体系架构,利用元数据共享技术,继续建设与完善北京政务内网门户系统,从根本上解决系统异构问题。
目前政务内网门户已实现了15个区县委办局、36个应用信息系统、52个主题数据库的整合共享。
1.2 需求建议
1.2.1 门户网站的风格需求
在风格设计上要注意政务内网与政务外网风格的统一。要体现出政府网站与政务内网的不同,突出其门户特点,强调符合政务办公的流程,成为北京市政府提高政务办公效率和质量的工具。
在内容设计上要体现出市领导关心的热点、焦点内容(如十六大、今年北京市政府承诺的60件实事、北京奥运、皇城保护等等),努力使其成为市领导办公的高效工具。
政务内网门户(3.0版本)的LOGO 需重新设计。
1.2.2 个性化办公页面的设计需求
按照北京市政务管理的有关要求,分别设计出对应不同层次人员办公页面。需要体现出个性化、信息共享整合、应用整合、协同办公的特点,功能要求全面,操作简单方便。
1.2.3 完善安全认证机制
门户集成技术的关键是单点一次登录技术的实现。政务内网门户要求通过口令或CA身份认证,提供单点登陆功能,并可按级别提供不同的信息服务。同时包含公务员注册服务。
1.2.4 面向事件的可视化信息资源调度
政务内网门户( 3.0版)要求提供面向事件的可视化信息资源调度功能。该功能主要包括:
z用户输入主题关键词;
z根据主题关键词查询已经连接到门户平台的应用系统的数据库;
z将查询到的文字、图像、动画、声音等信息统一显示在门户平台页面上;
z查询出来的信息按即定规则有机地组织起来。
1.2.5 一站式服务
电子政务的实质是“服务”,“一站式”是服务的最佳方式,门户是实现“一站式”服务的最佳平台。北京市政务内网门户本着为全市公务员提供最优质服务的宗旨,要求在政务内网门户(3.0版)中提供一站式服务功能。
1.2.6 应用整合
政务内网门户网站作为整个北京市所有委办局内网导航,在其建设过程中的一个重要任务就是整合各委办局现有的内部信息系统到门户网站统一的协作平台,以达到各委办局信息系统的协同工作。
1.2.7 协同办公与工作流
由于政务内网门户(3.0版)同时定位于全市公务员的办公协作平台,因此要求政务内网门户(3.0版)提供协同办公与基于工作流的公文流转的功能。
协同办公主要包括邮件、在线沟通、公务员论坛等功能。
工作流主要包括公文流转、特批急件、上报审批等功能。
1.2.8 支持空间资源数据库的整合
北京市政务内网拥有“智能交通”等提供空间位置服务的应用系统。如何将这些空间位置数据库资源整合进统一的政务内网门户平台,成为政务内网门户(3.0版)需要体现的特色。
1.3 建设原则和要求
1.3.1 网站实用性原则
开发和设计的系统必须符合政务内网门户网站的实际情况,满足网站需要,界面友好,方便实用。
1.3.2 技术先进性原则
至少保证技术实现水平在可预见的5年内不过时。否则系统将面临淘汰的危险。这将使用户的前期投资付之东流。所以技术的先进性是系统必须具备的基础。
1.3.3 页面响应及时性原则
网站在运行中响应要快,信息的生成传递要及时准确。
1.3.4 系统开放性和扩展性原则
参照通用标准,建成开放信息系统,所开发的系统应能与异种数据库交换信息,并保证多种应用软件能在同一操作平台上兼容。这样就能保证今后系统升级或者数据库更换时能够使网站平滑移植到新的环境。
1.3.5 系统可靠性
保证网站系统在一定访问压力下能正常运行,系统务求稳定,尽量避免软件系统崩溃和硬件故障的产生,并具备相应的数据库备份功能。
1.3.6 系统安全性原则
政务内网安全要包括如下几部分:
安全产品与系统测评及认证体系
数字证书认证体系(CA/PKI)
网络应急响应与恢复系统(CERT)
病毒检测和防治服务体系
灾难恢复共用设施
网上信息安全监控体系
2. 模型视图及分析
2.1 Use-Case Model
说明: 对系统建模我们准备实施4种建模步骤。
第一步骤是建立同用户交互的业务模型(Use-Case Model);第二步骤是建立用户使用界面模型(User-Experience Model);第三步骤是建立系统分析模型(Analysis Model);第二
步骤是建立系统设计模型(Design Model)。模型之间的关系如下图所示:
2.2 北京市政务内网门户网站
说明: 北京市政务内网门户是北京市电子政务系统的重要组成部分,是基于政务内网的信息交流平台,建设内网门户的主要目标是:实现与北京市130个委办局、500个信息系统、1000个
主题数据库的整合,为市委市政府领导及10万名公务员提供基于政务内网的内网导航、信
息共享、资源调度、协同政务和决策支持,提高政府办事效率,改善政府决策质量和透明
度,加大政府监管力度,更好地为民服务,推动首都经济的发展。
北京市政务内网门户基于Web Services技术体系架构,利用元数据共享技术,继续建设与
完善北京政务内网门户系统,从根本上解决系统异构问题。
2.3 北京市政务内网门户网站系统用户角色
说明: 对可使用北京市政府网上督查系统的所有人员的角色进行分类。但系统对于角色的划分必须是灵活可变的,可以动态的进行设置。
2.3.1 市委市政府领导角色
说明:市委市政府领导。
2.3.2 市政府公务员角色
说明:北京市10万名公务员。
2.3.3 北京市政务内网门户网站系统使用人员
说明:北京市政务内网门户网站系统使用人员。
2.3.4 北京市政务内网门户网站系统维护人员
说明:北京市政务内网门户网站系统维护人员。
2.4 北京市政务内网门户网站系统用况模型
说明: 北京市政府网上督查系统业务用况分析模型。
2.5 全文检索
说明: 利用全文检索技术、协调过滤器技术、和用户个性化跟踪技术,提供以下的功能:(1)推荐服务:寻找和对象用户的相似用户,把对象用户未访问过的文章向其推荐;
(2)提供类似文章服务:提供和对象文章类似的文章的一览;
(3)检索结果的过滤服务:在检索结果的基础上,根据实施检索的用户的爱好,对结果
进行挑选。
(4)新到情报的推荐服务:根据各个用户的不同要求,在一定的时期内,把新到情报提
供给用户;
(5)用户特征指定服务:允许用户将其关注的单词/文章等在系统里登记或删除;
(6)类似关键字的提供服务:系统可提供与检索用关键字相类似的关键字一览表;
(7)热门网页的提供服务:提供受欢迎的网页的地址。
请参阅『互联网智能检索支援系统开发的可行性报告书.doc』文档。
2.6 自动排版
说明: 按照北京市政务管理的有关要求,分别设计出对应不同层次人员办公页面。需要体现出个性化、信息共享整合、应用整合、协同办公的特点,功能要求全面,操作简单方便。
2.7 安全体系
说明: 安全支撑平台由证书业务服务系统、证书查询验证服务系统、密钥管理系统、密码服务系统、授权管理服务系统、可信时间戳服务系统、网络信任域系统、基本安全防护系统等构
成。安全支撑平台为"北京市政务内网门户的统一平台"提供的功能包括:
提供基于数字证书的信任服务,进行证书管理;
提供基于统一安全管理的密钥服务,进行对称密钥和非对称密钥以及相关的服务管理;
提供基于统一安全管理的密码服务;
以信任服务为基础,为应用系统提供资源访问控制和授权管理服务,支持权限管理;
基于国家权威时间源和公钥技术,为应用系统提供可信的时间戳服务;
提供数字证书/证书撤销表的目录查询服务,进行证书/证书撤销表的目录管理,以及证书状态在线查询服务;
提供信息安全防御服务;
提供安全数据交换服务;
提供系统故障恢复及容灾备份服务;
提供网络可信接入及可信管理服务。
安全体系平台的示意图如下所示:
2.7.1 单点登录
说明: 门户集成技术的关键是单点一次登录技术的实现,可以使用统一的LDAP技术完成。政务内网门户要求通过口令或CA身份认证,提供单点登陆功能,并可按级别提供不同的信息
服务。同时包含公务员注册服务。
2.7.2 证书业务服务系统
说明: 建立覆盖北京市政府内部业务网的CA体系,建立一个覆盖全市证书认证系统。
为了保证未来体系的扩展,可以规划两层的CA架构(建立一个根CA,一个二层
CA)。根CA可以用来与市府CA进行交叉认证,将信用体系向进一步扩展。
出于物理隔离等方面的考虑,可以规划在外网建立从LDAP系统,保证外部用户可以及时得到注销、吊销等用户的名单,防止出现用户间欺诈行为;保证系统的身
份认证机制。
通过协作网,逐渐将认证系统的信用机制向下级业务系统的扩展,联合建立一个能够为市内所有用户提供完整服务的政务门户系统。可以规划采用建立下
级CA、逻辑CA(虚拟 CA)或RA等方法实现。
CA系统支持单证书、双证书。建议与CA建设同步推出部分PKI应用。
证书生命周期建议为一年,可以保证一定阶段内证书的稳定,便于应用的开发安排,同时利于计费,系统内部用户证书生命周期可以考虑设置为5年。
数字证书支持多种介质,可以方便的选用经过认证的安全介质如USB Token或IC Card等。
系统应支持多种操作系统。
2.7.2.1 CA
说明: 在设计中,第一层CA(根CA)作为CA中心的信用的根,也称之为政策CA,它负责为第二层CA制定政策、为第二层CA签发证书及CRL,同时还负责与其它区域性CA、行业CA进行
交叉验证。CA认证体系中的根CA设计为离线操作,该CA无需频繁发证,其CRL发布亦不
会频繁,比如每月一次。信息和文件(申请书、证书、CRL)的传递以软盘/光盘的形式按
PKCS#7/10标准协议进行。操作CA需要经常地发证并且需要迅速响应,所以操作CA必须
在线操作,采用在线操作的PKCS#7/10和PKIX-CMP操作协议。
第二层CA是操作CA,它面向最终用户,直接为用户签发、管理用于各种用途的数字证书
及CRL。证书和CRL分布于一个支持X.500协议标准的目录服务器中。证书和CRL的查询通
过LDAP协议实现。
在CA系统中,将具有多个CA中心,相互间信用关系的确定是十分重要的,信用关系包括
信用的传递、信用的扩展和信用的限定。两层CA之间的信用关系设计为清晰的单线信用
链结构。根据两层CA不同业务量和安全等级的考虑,根CA设计为离线操作。而第二层CA
则设计为在线操作。两层CA之间的通信关系如CA的通信关系图所示。第二层CA与根CA
的通信为离线PKCS#7/10。第二层CA与证书持有人的通信采用在线PKCS#7/10或PRIX-
CMP。
CA的两层结构示意图如下所示:
CA的通讯关系示意图如下所示:
第一层CA逻辑结构示意图如下所示:
第二层CA逻辑结构示意图如下所示:
2.7.2.2 RA
说明: RA系统的功能主要是完成用户证书的注册申请等功能。此外,RA系统还可以对用户资料进行管理和维护;提供定义灵活的证书申请、审核流程。在系统的第一阶段系统的设计
中,我们建议采用RA系统,除了可以满足多个受理点的证书申请要求外,还可以保证系
统中要求的对于操作员不同操作权限的控制及未来系统结构的扩展。出于管理和安全性等
方面的要求,我们建议在CA中心内部建立RA中心,负责整个系统的用户证书注册工作。
RA系统的描述如下:
(1) RA采用客户端/服务器结构,包括RA服务器、RA客户端。根据简单认证的
要求,RA客户端具备以下功能:RA管理、证书申请、制证。可以完成基本的证
书申请和管理的工作;
(2) RA客户端通过RA服务器与数据库服务器进行数据传递,每个RA客户端与
RA服务器间都采用SPKM协议进行加密通信。制证终端只需安装标准的Internet浏
览器(IE或Netscape)即可。
RA的逻辑结构示意图如下所示:
2.7.3 证书查询验证服务系统
说明: 证书查询验证服务系统为应用支撑平台及业务系统提供证书认证服务,包括目录查询服务和证书在线状态查询服务。
基于LDAP协议针对非实时证书状态查询应用或服务器端应用,提供证书撤销列表的目录
发布。基于OCSP协议针对实时证书状态查询应用或客户端应用,提供证书状态的在线智
能查询。
证书查询验证服务系统提供以下安全服务功能:
(1)目录管理与证书查询服务:目录管理服务提供证书和证书撤销列表的发
布;证书和证书撤销列表的下载;证书和证书撤销列表的更新;证书和证书撤销
列表的恢复功能。用户或应用系统利用数字证书中标识的CRL地址,利用LDAP目
录服务技术下载CRL,检验证书有效性。
(2)基于OCSP技术的证书在线状态查询服务。用户或应用系统采用OCSP协
议,在线查询证书的实时状态。支持各种分布式证书查询验证服务系统的数据一
致性。
(3)目录结构符合RFC2247和RFC2252规范要求。
2.7.4 密钥管理系统
说明: 密钥管理系统是数字证书认证系统中的一个重要组成,主要负责向密码服务系统提供密钥管理服务,为密码技术和产品的大规模应用提供支持。密钥管理中心按照国家有关密码管
理政策和法规为密码服务提供加密密钥的产生、登记、认证、分发、查询、注销、归档及
恢复等管理服务。密钥管理中心按照与数字证书认证中心统一规划、同步建设、有机结
合、独立设置、分别管理的原则建设和管理。
密码服务系统应配置经国家密码主管部门审批的公钥加密算法、公钥参数生成算法、对称
密钥加密算法、随机数生成算法和数据摘要算法等密码算法,所有密码算法都必须在经国
家密码主管部门审批的密码设备上运行。密码服务系统按照国家有关密码管理政策和法规
统一管理密码设备。
2.7.5 密码服务系统
说明: 密码服务系统由应用层密码设备、网络层密码设备组成。应用层密码设备包括服务器端密码设备和客户端密码设备,配置在各应用服务器、Web服务器、数据库服务器以及各客户
端,其主要功能是:
(1)数据加解密;
(2)数字签名和验证;
(3)数据摘要和完整性验证;
(4)数字信封;
(5)不同密级的会话密钥生成和存储。
网络层密码设备根据不同的需要,配置相应的VPN密码机、IP密码机、帧中继密码机等,
完成网络通信信道的传输数据加密。
本系统的密码产品采用经过国家密码管理委员会办公室鉴定的软硬件密码产品,包括以下
设备:
(1)加密机:采用兴唐公司的SJY14-A加密机/SJY14-B加密卡,提供加解密、数
字签名及签名验证、数字信封等安全服务,以支持信息的机密性、完整性、真实
性和不可抵赖性。支持多种密码算法,所有密码算法均经国家密码主管部门审
批,用户根据国家密码主管部门的要求可以灵活地选择并配置合适的密码算法。
密码运算在密码硬件内运行,密钥不以明文形式暴露在系统外。具备设备安全和
敏感信息保护机制。加密机以API的方式向应用提供密码服务。密码模块采用分布
式计算技术,随着业务量的逐渐增加,可灵活地增加密码服务模块,实现性能动
态按需平滑扩展,且不影响上层的应用系统。RSA算法密钥长度支持1024-
2048bit,ECC算法密钥长度192bit。
(2) USB Key:例如兴唐公司的USB key安全套件,作为客户端密码设备,提供
加解密、数字签名、签名验证等功能。
2.7.6 可信授权服务系统
说明: 授权服务系统的建设目的是在信任服务系统基础上,为应用提供资源的访问控制及授权管理服务。访问控制与授权服务的要素如可信授权服务系统图所示:
在访问控制时,进行访问控制决策最基本的输入要素是用户和资源,为了简化管理又可以
在用户与资源之间增加用户属性、角色、级别等作为输入因素。通过用户、属性、角色/级
别、资源的不同组合,实现授权与访问控制的管理:
(1)用户管理:在本次工程中,PKI系统提供证书业务服务。为了保证用户管理
的一致性,避免重复管理造成的不一致以及管理复杂性,授权服务系统不提供用
户管理功能,如用户注册、注销、修改等,而是直接利用PKI系统用户信息。
(2)属性管理:用户属性本身以及用户和属性的对应关系既可以通过建立专门
的PMI系统来管理,也可以通过在公钥证书的扩展项增加用户属性信息的方式来
实现。根据招标书的说明,本次工程中采用了后一种实现方式。
(3)角色管理:角色本身及用户和角色或属性和角色的对应关系的管理存在多
种方式:由资源的管理者来管理;建立相应的规范制度来管理;由专门人员来管
理。根据本次工程中应用的不同采用不同的角色管理方式。对于北京市政府范围
的应用,建议建立角色的统一标准规范。
(4)资源管理:对资源及用户和资源或属性和资源或角色和资源的对应关系的
管理由资源的管理者来进行控制,实现"谁的资源谁管理"。
可信授权服务系统示意图如下所示:
可信授权服务系统配置示例图如下所示:
2.7.7 可信时间戳服务系统
说明: 时戳服务是由时戳服务系统为消息签名,以提供该消息在指定时间之前就已存在的证明。
用户首先将需要加时间戳的文件用散列函数运算形成摘要,然后对摘要进行客户签名,签
名后的数据被发送到TSA(Time Stamping Authority, 时间戳认证机构),TSA在对客户签
名数据里加入了收到的日期和时间信息后再对该文件签名,然后送回用户。
时间戳验证可分为本地验证和提请时间戳认证机构认证两种方式。不论哪种方式,都必须
首先要得到产生时间戳的原文件和该文件的时间戳证书。
验证步骤如下:
(1)首先生成该文件的摘要。
(2)将摘要和时间戳里的摘要进行比较。
时间戳的实现流程:
(1)客户端将要加盖信息传入消息处理模块;
(2)消息处理模块对信息进行编解码并上送到服务器,在服务器端通过消息处理
模块对信息进行解码,并将信息传到加盖时间戳模块;
(3)加盖成功后,应将数据通过数据库模块存放到数据库中;
(4)存放成功(或失败)后应将结果返回给加盖时间戳模块;
(5)加盖时间戳模块通过消息处理模块对信息进行编解码并下传到客户端;
(6)在客户端通过消息处理模块对信息进行解码,并将信息传到加盖时间戳模
块。
可信时间源:
系统提供精确可信的时间戳服务,以支持不可否认业务。在本系统中,可信时间戳服务系统作为PKI核心支持的服务存在。
可信时间的获得有以下5个主要渠道:
(1)从公网时钟服务器获得可信时间, 通过NTP(Network Time Protocol)协议;
(2)利用网络与国家标准时间同步;
(3)通过GPS设备接收可信时间;
(4)自建原子钟时间源,在系统内部网络设置一台服务器为可信时间源,所需可
信时间从该服务器上获得
(5)直接以一台时钟稳定的服务器为时间源。
从安全性和经济性考虑,我们建议采用方案5,利用已有的稳定时间源。也可以根
据自己的实际情况采用其他方式。
时间戳的原理图如下所示:
时间戳的实现流程图如下所示:
2.7.8 网络信任域系统
说明: 由具有自主知识产权的、通过国家密码主管部门安全审查的网络可信接入设备和网络信任域管理系统组成网络信任域,为本次工程提供统一的可信网络基础环境,提供可信网络接
入及可信管理等服务。
(1)网络可信接入
基于网络接入认证设备实现网络可信接入,采用基于扩展PKI技术的接入身份验证,遵循IEEE802.1x 标准,利用局域网基础设施的物理特性,提供加载在网络端口上的
具有点对点连接特性的接入控制服务。
(2)网络信任域管理
网络信任域管理对域中的实体进行管理,确保只有可信的实体,即颁发了有效数字证书的实体才能接入网络,对非法的实体则自动进行隔离或报警。本系统采取集中管理
方式,对市政府内的关键网络设备、服务器设备、安全设备、重要终端及用户,对全系统
的网络接入设备、安全设备、关键服务器设备,采用基于"一实体一证"方式来构建网络信
任域。
网络信任域的功能、性能、接口要求是:
(1)接入认证设备
支持基于数字证书的身份认证与接入控制,确保只有合法的才能接入网
络;提供加载在网络端口上的具有点对点连接特性的接入认证机制;提供基于安
全SNMP的网管接口,通过网管接口进行远程配置和管理;接入认证时间 < 1秒;
具有常规接入交换机的功能;提供与客户端通信的遵循IEEE 802.1X接口,传输
802.1X认证数据包。采用IEEE802.3以太网接口,并承载TCP/IP与认证数据包。
(2)网络信任域管理系统
基于数字证书的网络接入管理配置;支持安全SNMP网络管理协议;终端用户和设备接入情况数据采集;终端用户和设备接入检测策略配置;提供报警方
式配置服务;提供终端用户和设备属性配置服务;提供终端用户和设备属性使用
状况图形服务;提供合法与非法接入图形服务;提供日志分析;接入认证设备与
网络信任域管理系统之间具有交互接口。
市府CA可以为各种的主流VPN设备颁发证书,实现网络的安全通道。实现市府政务内网
门户的有效管理。
2.7.9 安全防护系统
说明:本方案提供包括入侵监测、防病毒、内容过滤、漏洞扫描、拨号监控等安全解决方案。
2.7.9.1 防火墙
说明: 防火墙应具备如下的基本功能:
(1)支持地址转换功能;
(2)自身具有一定的安全性。
(3)防火墙应该包含认证机制,或者能够挂接其他厂商的认证措施。
(4)防火墙应该含有包过滤的功能,过滤的种类应该尽可能的多,不仅可以针对源或目
标IP地址和协议端口,还可以针对具体的协议进行过滤。
(5)出于安全性的考虑,防火墙必须具有审计日志功能,并且能够对日志进行统计分
析。
(6)具有实时告警功能,并支持声光、日志等多种告警方式。
(7)可纳入网络信任域进行可信管理。
(8)对于防火墙本身所架构在的操作系统,尽可能选择安全较高的,具体操作系统应该
安装的补丁必须安装。
(9)在可管理性方面,要求具有良好的人机交互管理界面,易于管理人员进行配置管
理。
2.7.9.2 入侵监测系统
说明: 入侵检测是网络安全非常重要的一个环节,主要是通过从计算机网络系统中的若干关键点收集信息,并分析这些信息,以监控网络中是否有违反安全策略的行为或者是否存在入侵
行为。入侵监测系统作为安全侦测的最后一道防线,能提供安全审计、监视、攻击识别和
反攻击等多项功能,对内部攻击、外部攻击和误操作进行实时监控,是其它安全措施的必
要补充,在网络安全技术中起到了不可替代的作用,是安全防御体系的一个重要组成部
分。
入侵检测系统按照检测目标环境可分为两类:网络型入侵检测系统和主机型入侵检测系
统,二者可独立应用也可协同作战。网络型入侵检测系统主要用于实时监控网络关键路径
的信息,如同大楼内无处不在的电子监控系统,它采用旁路方式全面侦听网上信息流,动
态监视网络上流过的所有数据包,进行检测和实时分析,从而实时甚至提前发现非法或异
常行为,并且执行报警、阻断等功能,对事件的响应提供在线帮助,以最快的方式阻止入
侵事件的发生。并且能够全面的记录和管理日志,进行离线分析,对特殊事件提供智能判
断和回放功能。主机入侵检测系统主要是基于对主机的审计系统的信息进行监测,及时
发现系统级用户的非法操作行为,可以用来实时监视可疑的连接、系统日志检查、非法访
问的闯入等,并且提供对典型应用的监视,如Web服务器,电子邮件服务器等。下面分别
介绍:
主机型入侵监测系统:在本次工程中,对应的对象包含一些比较重要的主机系统,主要包
括:
(1)关键应用服务器
(2)重要的数据库服务器
这些服务器或者为市政府的应用系统提供支持,或者存储了关键的汇总数据以及涉及国家机密的报告数据等,因此需要重点考虑安全措施。考虑到成本因素,不可能在所
有的系统中配备所有的安全措施,因此只在这些重点服务器上安装基于主机的入侵检测系
统。基于主机入侵检测系统的主要特征是运行在被保护主机上,收集本机相关的安全信
息,并对收集到的信息进行分析和判断,以发现安全事件。一般来说,基于主机的入侵检
测系统包括以下部分:
(1)数据采集器:主要是从系统中收集各种数据,作为素材供后续使用
(2)数据分析器:对数据采集器提供的数据进行分析,从中发现攻击的企图和/
或攻击的行为
(3)响应系统:根据数据分析的结果,当发现攻击企图和/或攻击行为时进行报
警和/或与防护系统的联动,例如更新防火墙的配置,禁止某些连接等
(4)管理界面:为管理员提供友善的接口,降低错误配置的可能性,保证正确
地实施管理员的意图
一个完善的基于主机的入侵检测系统应该具有以下特点:
(1)实时性:保证在可以容忍的时间延迟范围内发现攻击事件
电子政务内网管理规定(试行)
关于印发《湘西自治州电子政务内网管理规定(试行)》的通知 各县市委、县市人民政府,州直副局以上单位: 《湘西自治州电子政务内网管理规定(试行)》已经州委、州人民政府同意,现印发给你们,请认真遵照执行。 中共湘西自治州委办公室 湘西自治州人民政府办公室 2010年5月11日 湘西自治州电子政务内网管理规定(试行) 第一章总则 第一条为切实加强全州电子政务内网管理,确保电子政务内网安全、稳定、高效运行,根据《中共中央办公厅国务院办公厅转发<国家信息化领导小组关于推进国家电子政务网络建设的意见>的通知》(中办发〔2006〕18号)、《中共湖南省委办公厅湖南省人民政府办公厅关于加强我省电子政务内网建设的意见》(湘办发〔2006〕23号),结合我州实际,制定本规定。 第二条本规定所称电子政务内网(以下简称内网),是与国际互联网完全物理隔离的政务内网平台,主要满足各级党政机关内部办公、管理、协调、监督和决策的需要,提供公文传输、协同办公、信息管理、决策支持等业务应用服务,是政务信息化的重要基础设施。 第三条本规定适用于全州所有接入内网的单位及计算机终端。 第二章职责分工 第四条州委办公室负责电子政务内网横向传输网的协调与沟通;州人民政府办公室负责电子政务内网纵向骨干传输网的协调与沟通。各单位对本单位内网管理人员和电子公文传输系统操作人员进行调整,应及时报经州委办公室和州人民政府办公室批准同意。 第五条州电信分公司负责电子政务内网的日常运行维护,负责及时解决网络故障,保证网络畅通;提供网络安全服务,建立应急处置机制等。 第六条内网管理人员和电子公文传输操作人员必须有一定的计算机基础,能及时发现和清除计算机中存在的病毒和木马程序,独立完成操作系统备份和公文传输软件的安装。 第七条各单位系统管理员负责本单位的内网网络和终端设备维护,负责分配和管理本单位内部用户权限和各项业务应用系统的实施及维护。 第三章网络平台管理 第八条内网的平台管理由州委办公室和州人民政府办公室共同负责,其主要工作内容是:
黑龙江省电子政务建设
黑龙江省电子政务建设“十一五”规划 全球一体化正在迅猛推进,先进国家与发展中国家距离正在缩短。信息化是世界各国首选强力推进的改革创新手段,也是我国能够实现跨越式发展的历史机遇。电子政务作为信息化的龙头,正在日益凸显其作用。中共中央制定的国民经济和社会发展第十一个五年规划指出,推进电子政务,提高行政效率,降低行政成本,带动信息化的发展。“十一五”行政体制改革的启动,将进一步改善电子政务的行政环境,进一步实现政务公开、构建阳光政府,进一步解决困扰电子政务管理和体制障碍。推行电子政务是实现我省与国内先进省份拉近距离的重要机遇,是实现我省经济社会跨越式发展的切入点和突破口。大力推进我省电子政务建设,带动全省信息化建设快速发展,为我省发展六大产业群、建设六大基地、推进哈大齐工业走廊建设、构筑东部煤电化基地、建设大小兴安岭生态功能区和生态经济区、辟建沿边开放带、推进城镇化促进区域协调发展、加快发展县域经济创造良好的环境,为实现东北老工业基地振兴发挥重要作用,促进我省国民经济和社会的发展。 黑龙江省电子政务建设“十一五”规划作为黑龙江省国民经济和社会发展第十一个五年规划的子规划,旨在通过五年的努力,科学构建一个推进电子政务高速发展的良好环境(包括基础网络、应用、安全体系等硬环境和制度化、法制化、标准化体系的软环境),使电子政务真正提高我省各级政务部门的工作效率,降低行政成本,促进政务部门转变职能,提高执政能力。为实现我省经济持续快速协调健康发展服好务,为实现经济增长方式进一步转变服好务,为社会全面进步,民生民计得到较大幅度改善服好务。 “十五”期间,全省电子政务建设发展较快,基本完成了规划确定的目标和任务。到目前,形成了“一个网络、一个平台、一个管理中心”的电子政务建设模式。省、市、县三级电子政务外网基本建成,省级城域功能强大,实现了省级领导机关,中省直单位,部分大专院校、企业、驻军之间的联通;地市级电子政务建设发展较快;已经完成了近50%的县级平台建设。省、市、县党政机关内部办公业务网基本建立,应用良好;构架在电子政务外网上的统计、工商、检察院、审计等子网建设初具规模。政务内网建设已经启动。全省各级门户网站建设有重大突破,省级、部分市县级政府门户网站获国家奖励。初步构筑了信息网络安
政务内网建设工作总结
政务内网建设工作总结 篇一:XX内网工作总结 成都市金牛区人民检察院 XX年电子政务内网工作总结 XX年,我院以贯彻落实《全市XX年电子政务内网目标工作任务》()和《金牛区XX年电子政务内网工作目标考核办法》(金内网办发[XX]2号)的文件要求为落脚点,以切实提高网上办公应用和网络安全保障能力为重点,突出内网办公体系建设和网络安全体系建设,从加大宣传教育培训力度,强化督促管理机制入手,围绕服务和保障检察工作大局,全面推进内网建设与管理工作。现将我院XX年度内网工作总结如下: 一、加强组织领导,落实管理责任,充分发挥内网的职能作用 坚持“谁主管,谁负责;谁管理,谁负责”的网络管理责任制,落实分管领导、责任科室和专(兼)职人员。同时,克服各种困难,在警力、经费等方面切实保障内网工作的需要。 (一)认真贯彻执行上级电子政务内网的相关文件、会议精神,健全了网络管理和工作机制。明确由副检察长谢
明安分管此项工作,办公室主任负责日常管理工作的领导。应用操作、信息维护及设备维修等均配备了专(兼)职人员负责。做到了人员到位,责任明确,工作落实。 (二)积极组织内网操作、信息维护等相关人员参加市、区内网管理办公室举办的各类应用技能培训或相关会议,以及时掌握新要求、新方法、新技术,不断提升应用技能。 (三)克服警力不足的困难,保证了内网操作人员的固定;在经费较为紧张的情况下,仍加大了电子政务内网基础建设所需的设备经费,保障了电子政务内网服务机关办公、办案的积极作用的充分发挥。 二、强化制度落实,完善网络的规范管理 严格遵守公文网上交换、资料管理、信息维护和设备维修等相关的工作要求,狠抓公文网上交换、领导审签制度、网络管理制度等规章制度的落实,做到网上公文交换规范,信息维护及时。 (一)搞好公文网上单轨运行,认真做好公文网上交换、处理、归档和查阅、电子邮箱等工作的网上应用,建立和完善信息上网制度,开展了在检察内网办案、文秘、信息、督查和检察机关事务管理的网上办公,建立基础数据库和重要信息资源库,及时为领导决策提供有价值的信息。
电子政务系统建设方案
电子政务系统建设方案 为加快我县电子政务建设进程,促进政府转变职能,提高工作效率,增强政府监管和服务能力,结合我县实际,制定本方案。 一、电子政务建设的指导思想和建设原则、目标 (一)指导思想。 以邓小平理论和“三个代表”重要思想为指导,全面贯彻落实科学发展观,加快推进电子政务建设,发挥电子政务在促进政府效能建设、改进为民服务、建设和谐社会中的积极作用。通过推进电子政务,推行网上为民办事和普及党政机关文档电子化,通过推进电子政务,提高政府及部门的办事效率和管理水平,提高服务社会能力,促进政务公开和廉政建设;改善招商环境,扩大吸引外资,促进我县经济社会又好又快发展。 (二)建设原则。 以实用为主,以应用促发展;统一规划,政府主导;统一平台,联合建设;互联互通,资源共享;统一标准,保障安全;突出重点,分步实施。 (三)工作目标。 以《安徽省“十一五”电子政务建设发展规划》为指导,到XX年,全县电子政务系统框架基本形成。通过统一的电子
政务网络交换平台,推进政府机关内部办公自动化、公文交换无纸化、管理决策网络化、公共服务电子化,实现政务工作全面信息化。建成连接各乡镇及县直各部门、各单位的信息网络系统;建立政府电子信息资源库,实现信息充分共享和广泛使用;建立政府辅助决策和指挥调度系统,提高政府决策和应变能力;初步建立信息安全保障体系,在网上提供方便、快捷、透明的“一站式”政务服务。 二、电子政务系统建设规划 电子政务网络包括对外服务的政务外网、党政内部办公的政务内网,在政务内网之间进行数据交换、信息共享和业务协同(网络拓扑图见附件)。 政务外网:在互联网上建立公共行政部门统一的门户网站,为各公共行政部门政务公开、网上办事、对外宣传交流提供平台。政务内网:建立党政职能部门内部办公自动化系统,运用先进的数据交换、共享、采集、发布手段,使得各部门在同一平台上开展业务。通过政务内网为党政机关日常电子化办公提供服务,实现包括公文收发、会议管理、人员管理、项目管理、资产管理、档案管理等政务活动电子化。 政务内网与政务外网之间进行隔离,保证政务数据资源及应用的安全性。 三、电子政务建设的重点任务 (一)完善电子政务网络平台,提升电子政务基础设施水
电子政务网建设方案
电子政务网建设 技术建议书 目录
1前言 政府及事业单位一直是中国信息化的先行者,政府网络的建设已经比较完善。随着“电子政务”建设的进一步深入,政府信息化建设重点变化明显,电子政务业务系统的受重视程度继续加强;而办公自动化、信息安全和政府门户网站建设的受重视程度显着加强。 按照政府网络管理的要求,必须保障含有国家机密信息的“内网”不但要求的绝对安全。但随着电子政务、网上政府、政府自身的信息化业务系统等的发展,政府与自身各分支机构、外界相关单位信息交互的“外网”安全和互连互通就变得更为必要。此外网络的安全问题日益显得尤为重要。 2网络平台需求分析 随着电子政务系统信息化的发展,电子政务内网网络平台逐渐从“分离的专网”向“统一网络平台”转化,成为主流的建网思路。其基本思想都是在一个统一的网络平台上为各种业务系统提供传输通道,以及方便地实现流程整合。 统一网络平台解决了业务专网建设思路存在的问题,其优势如下:
利于网络扩展:当增加新的业务系统时不需要建设新的专网,而是由网络平台统一分配网络资源;当业务专网扩容时不需要单独扩容,首先通过统一网络平台扩展其容量,当统一网络平台容量不足时再考虑对整个平台进行扩容。 管理成本低:统一网络平台由专门的部门统一维护,不需要每个业务部门都设置网络管理员及网管,极大地降低了管理成本。 网络资源利用率高:由于各业务系统对网络资源(如带宽)的需求由统一网络平台来满足,可以根据各业务系统实际的流量动态调整带宽,充分利用网络资源。 利于业务系统之间的信息共享和流程整合:由于各业务系统采用统一的网络平台,相互之间很容易实现互访,为在将来进行信息共享及业务横向提供了良好的基础。 为充分满足电子政务系统信息化发展的要求,统一网络平台还需要满足以下的关键业务需求: 部门系统之间的安全隔离:不同部门系统之间需要提供安全隔离,避免非法访问。 电子政务系统业务系统之间的互访:部分业务系统,如领导决策公文下发数据、政策公布、业务数据上报业务等之间有相互访问的需求,随着业务纵向整合的开展各单位系统之间需要更加紧密地联系在一起;网络平台必须满足各单位系统互访的要求及安全性。 不同业务系统的差别服务(COS):不同业务系统,需要网络平台提供
电子政务内网应用软件支撑平台方案
电子政务内网应用软件支撑平台方案 1.1 建设背景和依据 目前,我国电子政务处在“跨越式”发展阶段,政府各部门的内部信息系统建设已经非常普及,随着电子政务的发展和深入应用,政务需求越来越清晰化,办公自动化程度要求越来越高,政府内部及部门间协作的智能化要求更加旺盛,电子政务内网网络建设和应用软件的推广和深层次应用受到重视各级机关的普遍重视。政务内网主要满足各级政务部门内部办公、管理、协调、监督和决策的需要,同时满足副省级以上政务部门的特殊办公需要。 政府电子政务内网(以下简称“政务内网”)是以政府系统各级、各部门行政领导、政府部门和政府工作人员为服务对象,具有办公事务处理、辅助决策、信息管理和资源共享等网上办公的政务协同基础平台。 政务内网应用软件支撑平台是政务内网开展软件建设和推进应用的软件支撑平台,平台建设后可将办公业务和信息服务统一集中到一个平台上,主要提供统一的数据库服务、统一的用户认证和单点登录服务,统一的权限划分和角色配置服务,统一的电子公章、数字签名、版式文件服务、统一的工作流程配置引擎和全站搜索服务。为公文办理、信息传输、会议管理、人力资源管理等各种政务工作提供支撑服务。实现各级行政主管部门同应用、互联互通、信息资源共享、网上办公和政务公开,提高政务信息化整体水平。最终构筑统一的政务协同基础平台,建立统一的政务内网信息门户。建设必需的安全保障体系,初步实现“政务资源数字化、内部办公协同化、信息交流网络化”。 1.2 建设内容 电子政务内网应用软件支撑平台主要建设内容如下: (1) 协同办公平台,支持业务开发的公共平台; (2) 内部门户:应用集成和内容集成; (3) 通用办公:政务管理、公文管理等功能的通用行政办公系统; (4)统一工作流管理平台:建立一个统一的业务流程管理平台,为办公系统、政务信息系统等提供服务; (5)数据集成平台:建立一个可覆盖全业务的数据中心,实现各业务系统间的数据共享、数据同步,数据交换。解决信息孤岛问题; (6)用户统一身份认证(CA中心):建立一个统一的用户身份认证管理系统,来解决身份真实性认证及数据安全传输问题。基于CA认证的解决方案,即采用基于证书控件/网关模式的安全身份认证系统。
电子政务内网建设情况汇报
电子政务内网建设情况汇报 篇一:XXX电子政务内网工作自查报告 XXX电子政务内网工作自查报告 XXX按照《关于组织开展全区电子政务内网使用管理检查工作的通知》(XXXX发[20XX]X号)文件的要求,结合本单位工作实际,进一步加强电子政务内网的管理,严防泄密事故发生。现将自查工作报告如下: 一、加强领导,落实责任,提高应用能力 (一)组织机构健全。建立健全了“一把手”负总责,分管领导具体抓,委办公室为责任科室,负责承担政务内网日常工作的运行机制,确立了网络维护、应用操作专(兼)职人员。 ((:电子政务内网建设情况汇报)二)领导重视工作落实。主要领导就电子政务内网工作多次提出工作要求,并将电子政务内网相关目标任务纳入机关年度目标考核,分解量化到责任科室。 (三)着力提升机关干部计算机应用技能。结合创先争优党员培训和技能比赛活动,我委积极组织机关干部参加《计算机操作》专题培训和计算机技能比赛活动,提高了机关干部计算机操作水平。同时组织机关网络管理人员积极参加区保密委、区电子政务办举办的电子政务内网新应用系统使用技术培训,及时掌握了新要求、新方法、新技术,提升了网管人员应用技能。
二、合力打造新一代政务内网体系 (一)完善电子政务内网的连接。积极配合相关部门,按要求及时更改iP地址,完成了本单位iP地址和域名重构, 确保了单位物理网络安全畅通和设备的完好率100%。 (二)认真做好新型应用系统工作。落实网管人员及时在新用户管理系统内实名注册了本单位个人用户信息。 (三)继续抓好电子公文交换系统使用和管理。落实专门人员负责key的管理和公文签收,按制度要求及时签收文件和规范发送电子公文,每天主动上网查收文件不少于4次。 三、加强网络安全管理 (一)规范计算机物理网络接入。明确专人管理电子政务内网,计算机严格按照“单机单网”方式连接,实现内外网络线路完全物理隔离。对两台“一机双网”的计算机安装隔离卡,严格实施物理隔离措施,确保网络运行安全,阻止电子政务内网违规外连的情况发生。 (二)加强网络信息安全管理。按照上网信息“谁上网、谁审查、谁负责”的原则,加强了信息发布审核和保密审查机制,落实监管人员加强网站日常维护、巡查、监测工作,有效杜绝不良和有害信息上网运行。 (三)建立健全制度。在加强网络管理的同时,也加强制度的建设,确保电子政务内网有序运行。 总之,XXX将严格按照区保密委和区电子政务办的要求,认真做好电子政务内网平台的使用及管理工作,使XXX的电子政务内网工作
电子政务内网建设解决方案
电子政务内网建设解决 方案 Company Document number:WUUT-WUUY-WBBGB-BWYTT-1982GT
电子政务内网建设解决方案对于电子政务内网,政务专网、专线、VPN是构建电子政务网络的基础设施。安全政务网络平台是依托专网、专线、VPN设备将各接入单位安全互联起来的电子政务内网;安全支撑平台为电子政务内网信息系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑;电子政务专网应用既是安全保障平台的保护对象,又是电子政务内网实施电子政务的主体,它主要内部共享信息、内部受控信息等,这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上;电子政务管理制度体系是电子政务长期有效运行的保证。 电子政务内网系统构成 1)政务内网网络平台:电子政务内网建设,是依托电子政务专网、专线、VPN构造的电子政务内网网络。 2)电子政务内网应用:在安全支撑平台的作用下,基于安全电子政务内网网络平台,可以打造安全电子政务办公平台、安全政务信息共享平台。 3)安全支撑平台:安全支撑平台由安全系统组成,是电子政务内网信息系统运行的安全保障。 电子政务内网系统拓扑图 三级政务内网建议拓扑图 电子政务内网按照等保标准要求,进行安全域的划分。根据不同的划分原则,大致可以分别网络基础架构区、安全管理区、数据处理区、边界防御区、办公区、会议区等安全子区域,在实际的网络设计中,可以根据相关标准,按照实际需要进一步细分,如上图所示。
划分安全域的目标是针对不同的安全域采用不同的安全防护策略,既保证信息的安全访问,又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用程度、安全需求相似程度,并且从方便实施的角度,将整个电子政务业务系统分为不同的安全子域区,便于由小到大、由简到繁进行网络设计。安全域的划分有利于对电子政务系统实施分区安全防护,即分域防控。 安全支撑平台的系统结构 电子政务安全支撑平台是电子政务系统运行的安全保障,由网络设备、安全设备、安全技术构成。电子政务安全支撑平台依托电子政务配套的安全设备,通过分级安全服务和分域安全管理,实现等级保护中要求的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,从而保证整个电子政务信息系统安全,最终形成安全开放统一、分级分域防护的安全体系。电子政务安全支撑平台的系统结构下图:电子政务安全支撑平台系统结构 安全支撑平台的系统配置 1、双归属:两台通过VRRP协议连接,互为冗余,保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。 2、认证及地址管理系统-DCBI:DCBI可以完成基于主机的统一身份认证和全局地址管理功能。 1)基于主机的统一身份认证。终端系统通过安装认证客户端,在连接到内网之前,首先需要通过DCBI的身份认证,方能打开交换机端口,使用网络资源。 2)全局地址管理。 ·根据政务网地址规模灵活划分地址池
电子政务内网建设解决方案
电子政务内网建设解决方案 对于电子政务内网,政务专网、专线、 VPN 是构建电子政务网络的基础设施。安全政务网 络平台是依托专网、专线、 VPN 设备将各接入单位安全互联起来的电子政务内网;安全支撑平 台为电子政务内网信息系统提供安全互联、接入控制、统一身份认证、授权管理、 恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑;电子政务专网应用既是安 全保障平台的保护对象,又是电子政务内网实施电子政务的主体,它主要内部共享信息、内部受控信息等,这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上;电子政务管理制度体系是电子政务长期有效运行的保证。 电子政务内网系统构成 1)政务内网网络平台: 电子政务内网建设,是依托电子政务专网、专线、VPN 构造的电子政务内网网络。 2)电子政务内网应用:在安全支撑平台的作用下,基于安全电子政务内网网络平台,可以 打造安全电子政务办公平台、安全政务信息共享平台。 3)安全支撑平台:安全支撑平台由安全系统组成,是电子政务内网信息系统运行的安全保 障。 电子政务内网系统拓扑图
三级政务内网建议拓扑图 电子政务内网按照等保标准要求,进行安全域的划分。根据不同的划分原则,大致可以分 别网络基础架构区、安全管理区、数据处理区、边界防御区、办公区、会议区等安全子区域, 在实际的网络设计中,可以根据相关标准,按照实际需要进一步细分,如上图所示。 划分安全域的目标是针对不同的安全域采用不同的安全防护策略,既保证信息的安全访 问,又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用 程度、安全需求相似程度,并且从方便实施的角度,将整个电子政务业务系统分为不同的安 全子域区,便于由小到大、由简到繁进行网络设计。安全域的划分有利于对电子政务系统实 施分区安全防护,即分域防控。 安全支撑平台的系统结构 电子政务安全支撑平台是电子政务系统运行的安全保障,由网络设备、安全设备、安全技 术构成。电子政务安全支撑平台依托电子政务配套的安全设备,通过分级安全服务和分域安 全管理,实现等级保护中要求的物理安全、网络安全、主机安全、应用安全、数据安全及备 份恢复,从而保证整个电子政务信息系统安全,最终形成安全开放统一、分级分域防护的安 全体系。电子政务安全支撑平台的系统结构下图: 电子政务安全支撑平台系统结构 安全支撑平台的系统配置 1、核心交换机双归属:两台核心交换机通过VRRP协议连接,互为冗余,保证主要网络设 备的业务处理能力具备冗余空间,满足业务高峰期需要。 2、认证及地址管理系统- DCBI : DCBI 可以完成基于主机的统一身份认证和全局地址管理功 能。 1)基于主机的统一身份认证。终端系统通过安装802.1X 认证客户端,在连接到内网之前,首先需要通过DCBI 的身份认证,方能打开交换机端口,使用网络资源。 2)全局地址管理。 ·根据政务网地址规模灵活划分地址池 ·固定用户地址下发与永久绑定 ·漫游用户地址下发与临时绑定、自动回收 ·接入交换机端口安全策略自动绑定。 ·客户端地址获取方式无关性
电子政务内网工程建设实施方案审批稿
电子政务内网工程建设 实施方案 YKK standardization office【 YKK5AB- YKK08- YKK2C- YKK18】
为切实推进政务信息化进程,有效提升行政效能、服务水平和服务质量,促进全区经济社会快速协调发展,根据省、市关于加快建设电子政务内网的有关精神,结合我区实际,制定*区电子政务内网工程建设实施方案。 一、建设的目标和功能 (一)建设目标。建成全区机关办公内网,与区门户政府网站(外网)配合,架构党务、政务电子工作交流平台,逐步建成“外网受理、内网流转办理、外网反馈”的统一电子政务系统,切实提高全区党政机关行政办公效率和服务管理水平,为全区经济社会快速发展提供基础保障。 (二)主要功能。 1.电子邮件。通过电子政务内网发送电子邮件,实现区内各党政机关之间信息交流与传递。内外网对接成功后,可实现区内与区外的信息交流与传递。 2.公文交换。实现区委、区人大、区政府和区政协机关内部及其与各部门、各乡镇和部分企事业单位之间电子公文的交换。 3.综合查询。用户可根据权限通过内网访问数据库,查询全区党政机关文件、业务数据等。 4.信息上报。各单位可通过内网进行党务、政务信息的电子化报送。区领导及有关工作人员则可根据权限查看专报类信息;一般用户可查看公开类信息。 5.公告牌。可通过内网进行内部的电子公告,内容包括会议通知、会议室安排、区内重大活动部署等等。 6.工作任务。各单位可查看本单位的年度工作目标(区委、区政府的年度工作总体安排及任务分解表),区领导可随时查看各单位工作任务进展落实情况。 7.党政公文处理。通过设置权限利用内网传输,实现公文催报、核稿、会签、签发等,可支持手写输入。 二、联网单位及联网方式 (一)电子政务内网联网单位。 1.各乡镇党委、人民政府,开发区管委会; 2.区直各部门;
电子政务内网应用软件支撑平台方案
电子政务内网应用软件 支撑平台方案 Document number:WTWYT-WYWY-BTGTT-YTTYU-2018GT
电子政务内网应用软件支撑平台方案 建设背景和依据 目前,我国电子政务处在“跨越式”发展阶段,政府各部门的内部信息系统建设已经非常普及,随着电子政务的发展和深入应用,政务需求越来越清晰化,办公自动化程度要求越来越高,政府内部及部门间协作的智能化要求更加旺盛,电子政务内网网络建设和应用软件的推广和深层次应用受到重视各级机关的普遍重视。政务内网主要满足各级政务部门内部办公、管理、协调、监督和决策的需要,同时满足副省级以上政务部门的特殊办公需要。 政府电子政务内网(以下简称“政务内网”)是以政府系统各级、各部门行政领导、政府部门和政府工作人员为服务对象,具有办公事务处理、辅助决策、信息管理和资源共享等网上办公的政务协同基础平台。 政务内网应用软件支撑平台是政务内网开展软件建设和推进应用的软件支撑平台,平台建设后可将办公业务和信息服务统一集中到一个平台上,主要提供统一的数据库服务、统一的用户认证和单点登录服务,统一的权限划分和角色配置服务,统一的电子公章、数字签名、版式文件服务、统一的工作流程配置引擎和全站搜索服务。为公文办理、信息传输、会议管理、人力资源管理等各种政务工作提供支撑服务。实现各级行政主管部门同应用、互联互通、信息资源共享、网上办公和政务公开,提高政务信息化整体水平。最终构筑统一的政务协同基础平台,建立统一的政务内网信息门户。建设必需的安全保障体系,初步实现“政务资源数字化、内部办公协同化、信息交流网络化”。
建设内容 电子政务内网应用软件支撑平台主要建设内容如下: (1) 协同办公平台,支持业务开发的公共平台; (2) 内部门户:应用集成和内容集成; (3) 通用办公:政务管理、公文管理等功能的通用行政办公系统; (4)统一工作流管理平台:建立一个统一的业务流程管理平台,为办公系统、政务信息系统等提供服务; (5)数据集成平台:建立一个可覆盖全业务的数据中心,实现各业务系统间的数据共享、数据同步,数据交换。解决信息孤岛问题; (6)用户统一身份认证(CA中心):建立一个统一的用户身份认证管理系统,来解决身份真实性认证及数据安全传输问题。基于CA认证的解决方案,即采用基于证书控件/网关模式的安全身份认证系统。 建设目标 以政府电子政务网络和安全体系为基础,以政务需求为导向,采用先进的开发技术和数据库结构,建设标准统一、功能全面、技术先进、简单易用的一体化办公平台。在一网式无纸化协同办公管理平台中除体现办公、政务信息和会议通知等功能以外,还将通过相关的办公事务管理以及及时消息、在线考试等辅助功能实现互动管理。同时还将实现机关内部事务管理平台,对人事信息、资金资产等机关事务进行管理。为进
从国家安全战略高度对待电子政务内网建设
从国家安全战略高度对待电子政务内网建设 电子政务的应用越来越普及,其安全问题也引起越来越多的关注。当前我国电子政务信息安全存在的主要问题有:政务网络和安全保障的建设没有统一规划和标准,没有强有力的统一领导和主管部门;管理制度和技术标准不完善;信息安全保障的技术手段和防范措施赶不上形势的发展和需求;思想观念跟不上新形势的发展,涉密人员的保密意识尚需进一步提高;基础设施和核心技术方面受制于国外;涉密信息系统的技术标准可实施性尚待提高等。我国大多数重要信息系统尚未彻底消除来自传统的如计算机网络所使用的操作系统、数据库、芯片等威胁,关键技术受制于国外,网络上存在很多安全隐患,泛滥的网络间谍、远程计算机控制、拒绝服务、木马和恶意代码及人为因素等,都严重威胁到我国涉密信息的安全。从某种意义上讲,信息安全关系到国家安全,我们应该从国家安全战略的高度来对待信息安全。 安全问题区别对待 目前,政府、企事业和个人对网络的依赖程度越来越高,大到国家秘密,小到个人隐私,对网络安全的要求也会越来越高,不同层次对信息安全的要求也不一样。大多数的政务部门一般都将信息安全和网络安全等同来理解,事实上,网络安全和信息安全,在内容、技术和安全保障上都应该分开描述,分别提出要求。 以前,政务部门都是以纵向到底(中央、省、市县)的网络来开展
本部门的业务,如金字工程等。在这种情况下,信息安全包括全国性的专用网络、数据和应用系统、身份认证等,这是一个系统。而如果是一个公共的政务网络来承载各政务部门的业务,按我们国家现在的分工负责制,政务网络(广域网络)的安全一般由信息化的主管部门负责或由政务网络的建设运维单位负责,包括网络信任体系等基础安全设施,而信息安全大多指本单位局域网络和应用系统的安全,由各单位自行负责。 目前政务部门传输涉密信息的网络与互联网及与互联网有连接的其他网络按要求都是物理隔离,中央级政务部门有一个内部局域网络处理涉密信息,而接入到一般的政务单位,可能是几台终端,而且不同部门的涉密网络均是相互不连通的。不同的涉密信息系统接入同一单位时,通过不同的专线接入到不同的终端上,其信息系统和网络都是不共享、相互独立的,如国办的二邮网系统、组织部门的组织工作系统等,这些信息系统均按机密定级,连接到31个省区市和新疆生产建设兵团及在京相关中央政务部门的业务对口厅室或办公室,这样的系统还有很多。 一般传输涉密信息系统的底层网络传输通道采用电信运营商的电路或光纤,两端采用端到端的加密设备,少数涉密系统的应用示范采用了身份认证。机密级和秘密级在网络传输上的要求基本上是一样的,但由于各信息系统之间在网络上不连通,无法实现网络信息资源和交换与共享,网络信任体系也无法共享,大多数的应用系统也没有采用分级保护。除了传输上加装普通密码设备外,在信息系统侧还需
电子政务内网建设总结
电子政务内网建设总结 篇一:20XX年电子政务工作总结 20XX年电子政务工作总结 一、电子政务建设目标任务完成情况 20XX年,在市委、市政府的正确领导下,我局电子政务建设取得了明显成效。 (一)领导重视,认识统一。我局领导高度重视信息化建设工作,多次在重要会议上强调电子政务外网和政府门户网站建设的重要意义。全局上下统一思想,统一认识,并把这工作当作一件大事摆上单位重要议事日程,采取得力措施以落实各方面工作。 (二)加强领导,进一步落实电子政务工作领导责任制。按照电子政务工作目标任务的要求,我局成立了电子政务领导机构,成立了以局主要领导任组长,局属各单位和机关各科室负责人任成员的政府信息公开工作领导小组,并确定由局办公室负责信息公开的具体事宜,并落实了交通运输局信息中心专人进行资料收集、整理和网上填报工作。配备了3名专职的电子政务工作人员。制定了《电子政务工作人员准则》、进一步完善了岗位管理工作,建立了电子政务管理制度,层层落实了岗位责任制。 (三)充分认识电子政务建设工作的重要性,进一步加强电子政务建设工作的监督管理。
今年以来,我局在电子政务方面投入了大量的人力、物力、财力。在配合全市交通搞好电子政务的推广普及工作的同时,把维护好单位自身的电子政务建设管理和日常运行工作作为重要工作来抓。选派工 作人员参加政务电子办统一组织的培训和学习,并随时抽查其工作的进展情况,发现问题及时纠正。 立足现状,夯实基础。为了进一步加快我局电子政务建设,在硬件上进行了完善和充实,配备了电子政务系统专用电脑,并在电子政务办的大力支持下,建成了3G远程无线监控系统和视频会议系统。进一步完善了单位内、外网建设。积极组织全局人员参加内网公文传输系统运行及接入电子政务外网,完成行政审批项目梳理并开展网上审批业务知识培训,大力倡导无纸化办公,实现了各类报表文件,凡是有相关软件的,都全部用软件制作,无软件的也都全部纳入电脑制作和管理。 加强计算机和网络维护工作,确保网络和信息安全,我们在信息化与电子政务建设中更加注重网络安全工作,对内外网的硬件防火墙、网络牌杀毒软件、网络架构进行了全面升级改造,形成了较为完善的网络和信息安全防护体系。发现问题及时处理,保证了网络安全、稳定、有序的运行,全年无网络安全事故发生。 二、政务信息公开工作情况 今年,我局政务信息公开工作以办好政府门户网站和局域网为窗口,推进政务公开为重点,较好地完成了全年的政务信息公开工作任务。(一)加大政务信息公开的力度,一年来,我局门户网站围绕市委、
电子政务安全保障体系设计概述
电子政务安全保障体系设计 1.1 安全保障体系设计 1.1.1 概述 电子政务内网所涉及的信息/数据涉及国家秘密,其机密性和完整性尤为重要,是信息安全爱护的重点对象。因此,电子政务内网平台的安全建设应符合国家保密局的《涉及国家秘密的计算机信息系统保密技术要求》和《涉及国家秘密的计算机信息系统安全保密方案设计指南》及其他安全治理部门公布的一系列规定和规范的要求。电子政务内网安全设计应体现: 全局和整体上的考虑。 应用深度防备的战略,注重防内和整体防外。 适应信息系统安全的动态性、复杂性和长期性特点。 便于实施和考核。 本设计方案遵循中华人民共和国《涉及国家秘密的计算机信息系统安全保密方案设计指南》和《电子政务试点示范工程技术规范》的要求,依据本期电子政务内网的安全建设目标,提出了电子政务内网的安全策略和安全保障体系,强调了统筹规划,针对内网
网络和边界安全、局部计算环境与应用安全,要紧从信息安全基础设施、基础安全防护技术和安全监察与治理方面设计具体的建设任务,包括CA认证设施、密钥治理系统、可信时刻戳服务系统、密码服务系统、授权服务系统,防火墙系统、加密系统、入侵检测系统、安全扫描系统、防病毒系统、安全审计系统和安全监管系统等等。 1.1.2 安全建设目标和原则 1.1. 2.1 总体目标 电子政务内网安全建设的总体目标是:针对电子政务内网可能遇到的各种安全威胁和风险,着重加强信息安全基础设施、基础安全防护系统和安全监察与治理系统的建设,形成有效的政务内网安全保障体系,保证涉密信息在产生、存储、传递和处理过程中的保密性、完整性、高可用性、高可控性和抗抵赖性,确保电子政务内网能够安全、稳定、可靠地运行,为实现电子政务建设的目标提供安全保障。 1.1. 2.2 具体目标 针对要紧的威胁和风险,本期电子政务内网安全建设的具体需求和目标概括如下: 1、确保“电子政务内网”网络传输过程中数据的保密性和完
青海省电子政务内网平台建设
青海省电子政务内网平台建设 我省在信息化建设中,调整思路,努力创新,尤其在组网线路租用上本着“不求所有、只求所用”的原则,政府租用电信运营商的线路,而电信运营商投资提供组网所需的设备,政府以较少的投资办成了以往想办而办不成的事。政务内网的成功建设,为政府与运营商合作,共同建设和维护网络以及开展其他业务走出了一条新路子,也为经济欠发达地区搞好电子政务建设进行了有益的探索。 一是率先在全国建成了纵向覆盖省、州(地、市)、县和乡镇政府以及横向各部门的电子政务内网网络平台。按照国家电子政务内网建设总体要求,2001年省政府办公厅以拨号方式实现了省政府与各州(地、市)政府及省直各部门之间政务信息的网上报送。2005年,在省政府领导的高度重视和有关部门的支持下,依托省委机要网,建成了以省政府办公厅为枢纽,上联国务院办公厅,下联我省各州(地、市)政府(行署)和县(区)政府以及省直厅局的政府系统政务内网网络。经过2006年至2008年连续三年的建设,率先在全国建成了纵向覆盖省、所有州(地、市)和县政府,以及55%的乡镇政府,横向覆盖省、州(地、市)和县政府所属单位的党政机关政务内网平台。随着政务内网上各项业务的扩展和联网范围的逐步扩大,2008年省政府对政务内网纵向骨干网络进行了升级改造。升级改造后的政务内网,省至各州(地、市)采用20M光纤电路,各州(地、市)至县采用10M光纤电路组网。全省统一的政务内网主通道的建成,既提高了各个应用系统的运行效率,也为省直部门进行纵向业务系统建设提供了网络基础。 二是依托电子政务内网网络平台,推进了政府办公业务应用系统建设。经过几年的发展,政府在网上的办公应用出现可喜局面。 1、建成了覆盖省、州(地、市)和县的全省政务视频会议系统。2007年,依托政务内网建成了全省政务视频会议系统,系统以省政府为中心,8个州(地、市)政府和省委办公厅分别设立二级视频会议管理及资源调度分中心,42个县和13个省直厅(局)设立了分会场,共建设分会场64个。这套系统的投入使用大大降低了行政成本,同时也极大地降低遥远地区参会人员的交通安全隐患。据统计,至2008年底省政府及省直部门共召开视频会议及培训12次,各地自行召开视频会议242次,参会人数累计达到4.9万人次。仅按每人每次开会费用200元计算,节约会议差旅费和汽车燃油费等成本980万元。 2、建成了覆盖省、州(地、市)、县及乡镇党政机关的电子公文传输平台。系统分三期进行建设:一期项目完成于2005年年底,实现了省政府与省直各部门及各州(地、市)和县政府之间的电子公文传输。2007年实施了二期项目建设,完成了8个州(地、市)横向党政部门之间的电子公文传输系统建设,实现了省、州(地、市)两级服务器之间电子公文的分布式传输。2008年的三期项目完成了省委、省人大、省政协及全省46个县(区、市、行委)横向党政部门及部分乡(镇)政府之间的电子公文传输系统。通过三期电子公文传输系统建设,全省已建成电子公文传输节点2770余个,率先在全国建成了覆盖省、州(地、市)和县三级党政机关的电子公文传输平台,实现了行政机关和企事业单位电子公文的纵横交错的网上传输。系统建成后,省政府办公厅从2007年3月起正式取消了青政办、青政办秘等6种非涉密公文的纸质发送,各州(地、市)的电子公文传输系统经过一年的双轨运行,陆续取消了非涉密纸质文件的报送。电子公文项目的建成使用,提高了文件传递速度,原先州和县三四天甚至一周才能看到的文件,现在能实时收看,行政效率大大提高。同时还极大地节约了文件印刷和邮寄费用。到2008年底,全省利用电子公文传输系统传输各类文件3万余件,收文总数超过50多万次,其社会效益和经济效益极为显着。 3、开发建设了省政府办公厅办公自动化系统。省政府办公厅办公自动化系统于2005年建成,是政务内网建成后第一个面向全省政府系统的综合办公应用系统,主要包括公文管
行政中心电子政务网络建设工程设计方案
行政中心电子政务网络建设工程方案 3.1、需求分析 建设XX新城区,是市委、市政府贯彻落实省委、省政府提出的“三圈、五轴、四个特大城市”重大战略部署,着眼于加快XX都市圈和XX特大城市建设,进一步推动城市化发展,作出的一项具有战略意义的重大决策。XX新城区位于XX旧城区东南八公里外的XX境内,东起XX高速公路,西抵XX,南界XX机场和XX高速公路,北接XX风光带,规划面积50平方公里,其中起步区10平方公里。规划近期人口达到10万,远期可容纳26.6万人生活居住。 XX市行政中心位于建设中的XX新城区,本中心分为A、B、C、D、E五个区域和两个附属楼,总建筑面积约130000平米,地下一层,地下最高九层。 XX市行政中心作为XX市市委、市政府、人大、政协等政府部门办公所在地,是XX市的行政管理中心。它集政府办公、政务会议、应急指挥于一体。 XX市政府抓住XX市行政中心建设的契机,依据国家的指导精神及省政府的相关文件部署,积极稳妥的开展XX市电子政务建设。 XX市电子政务建设的目标为:以规范和创新政府行政行为为主导取向,以加强公众监督和公共服务为基本要求,建成标准统一、结构合理、功能完善、安全可靠的电子政务网络平台;推进政务信息资源库建设,使信息共享程度显著提高;实现重点业务系统互联互通,形成信息安全保障体系;主要业务实现网上办公,为机关、企业和市民提供便捷、高效的信息服务;改善和加强各级政务部门的管理能力、决策能力、应急处理能力和公共服务能力,使全市政务信息化应用水平达到全省先进水平;通过统一的CA认证,把“中国XX”政府门户网站建设成统一的网络平台,既是实现政务部门信息共享和办公自动化的工作平台,又是为社会提供政务信息查询、信息咨询和行政审批等功能的服务平台。
电子政务内网建设解决方案范本
电子政务内网建设 解决方案
电子政务内网建设解决方案 对于电子政务内网,政务专网、专线、VPN是构建电子政务网络的基础设施。安全政务网络平台是依托专网、专线、VPN设备将各接入单位安全互联起来的电子政务内网;安全支撑平台为电子政务内网信息系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑;电子政务专网应用既是安全保障平台的保护对象,又是电子政务内网实施电子政务的主体,它主要内部共享信息、内部受控信息等,这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上;电子政务管理制度体系是电子政务长期有效运行的保证。 电子政务内网系统构成1)政务内网网络平台:电子政务内网建设,是依托电子政务专网、专线、VPN构造的电子政务内网网络。 2)电子政务内网应用:在安全支撑平台的作用下,基于安全电子政务内网网络平台,能够打造安全电子政务办公平台、安全政务信息共享平台。
3)安全支撑平台:安全支撑平台由安全系统组成,是电子政务内网信息系统运行的安全保障。 电子政务内网系统拓扑图 三级政务内网建议拓扑图 电子政务内网按照等保标准要求,进行安全域的划分。根据不同的划分原则,大致能够分别网络基础架构区、安全管理区、数据处理区、边界防御区、办公区、会议区等安全子区域,在实际的网络设计中,能够根据相关标准,按照实际需要进一步细分,如上图所示。 划分安全域的目标是针对不同的安全域采用不同的安全防护策略,既保证信息的安全访问,又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用程度、安全需求相似程度,而且从方便实施的角度,将整个电子政务业务系
最新电子政务内网系统建设有效解决方案
电子政务内网系统建设有效解决方案 对于电子政务内网,政务专网、专线、VPN是构建电子政务网络的基础设施。安全政务网络平台是依托专网、专线、VPN设备将各接入单位安全互联起来的电子政务内网;安全支撑平台为电子政务内网信息系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑;电子政务专网应用既是安全保障平台的保护对象,又是电子政务内网实施电子政务的主体,它主要内部共享信息、内部受控信息等,这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上;电子政务管理制度体系是电子政务长期有效运行的保证。 电子政务内网系统构成 1)政务内网网络平台:电子政务内网建设,是依托电子政务专网、专线、VPN构造的电子政务内网网络。 2)电子政务内网应用:在安全支撑平台的作用下,基于安全电子政务内网网络平台,可以打造安全电子政务办公平台、安全政务信息共享平台。 3)安全支撑平台:安全支撑平台由安全系统组成,是电子政务内网信息系统运行的安全保障。 电子政务内网系统拓扑图
三级政务内网建议拓扑图 电子政务内网按照等保标准要求,进行安全域的划分。根据不同的划分原则,大致可以分别网络基础架构区、安全管理区、数据处理区、边界防御区、办公区、会议区等安全子区域,在实际的网络设计中,可以根据相关标准,按照实际需要进一步细分,如上图所示。 划分安全域的目标是针对不同的安全域采用不同的安全防护策略,既保证信息的安全访问,又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用程度、安全需求相似程度,并且从方便实施的角度,将整个电子政务业务系统分为不同的安全子域区,便于由小到大、由简到繁进行网络设计。安全域的划分有利于对电子政务系统实施分区安全防护,即分域防控。 安全支撑平台的系统结构 电子政务安全支撑平台是电子政务系统运行的安全保障,由网络设备、安全设备、安全技术构成。电子政务安全支撑平台依托电子政务配套的安全设备,通过分级安全服务和分域安全管理,实现等级保护中要求的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,从而保证整个电子政务信息系统安全,最终形成安全开放统一、分级分域防护的安全体系。电子政务安全支撑平台的系统结构下图: 电子政务安全支撑平台系统结构 安全支撑平台的系统配置 1、核心交换机双归属:两台核心交换机通过VRRP协议连接,互为冗余,保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。 2、认证及地址管理系统-DCBI:DCBI可以完成基于主机的统一身份认证和全局地址管理功能。 1)基于主机的统一身份认证。终端系统通过安装802.1X认证客户端,在连接到内网之前,首先需要通过DCBI的身份认证,方能打开交换机端口,使用网络资源。 2)全局地址管理。 ·根据政务网地址规模灵活划分地址池 ·固定用户地址下发与永久绑定 ·漫游用户地址下发与临时绑定、自动回收 ·接入交换机端口安全策略自动绑定。 ·客户端地址获取方式无关性