电子政务
应用体系建议书
2002年09月
电子政务应用体系建议书
概 述
本方案建议书从应用设计的角度给出省级电子政务应用系统的软件构成视角,从系统结构、组成到技术约定、子系统技术实现设计来勾画本方案建议书内容,从而为省级电子政务一体化软件系统从技术的角度给出了具体要实现的内容,使软件实现者能据此进行软件的物理实现。
电子政务应用体系建议书
目 录
概 述 ............................................................................................................... 1 1 电子政务系统体系结构 ............................................................................. 1
1.1电子政务系统体系结构 .............................................................................................. 2 1.2电子政务建设目标 ...................................................................................................... 3 1.3电子政务应用软件逻辑结构 ...................................................................................... 4 1.4电子政务软件物理结构 .............................................................................................. 5 1.5电子政务和电子政务平台的关系 .............................................................................. 5 1.6电子政务平台的特征和功能 ...................................................................................... 6
1.6.1电子政务平台的技术特征 ....................................................................................................... 6 1.6.2电子政务平台的功能要求 ....................................................................................................... 7
2 电子政务平台 ............................................................................................. 9
2.1电子政务平台的产品结构框架 .................................................................................. 9 2.2电子政务平台的功能特征 ........................................................................................ 12 2.3电子政务平台的技术特点 ........................................................................................ 13 2.5电子政务平台的功能效应 ........................................................................................ 14
2.5.1不同网络区域模式下的应用 ................................................................................................. 14 2.5.2不同阶段过程下的应用 ......................................................................................................... 16 2.5.3不同政务行业下的应用 ......................................................................................................... 18
3 电子政务系统软件设计 ........................................................................... 19
3.1电子政务系统软件构成 ............................................................................................ 19 3.2电子政务平台的门户结构 ........................................................................................ 19
3.2.1政务门户Intranet站点结构 .................................................................................................. 20 3.2.3政务门户Internet站点结构 .................................................................................................. 20 3.2.4政务门户Extranet站点结构 ................................................................................................. 20 3.2.5政务门户与外部站点的集成 ................................................................................................. 20
3.3电子政务应用系统用户/组结构............................................................................... 21 3.4软件安全系统设计 .................................................................................................... 21
4 各应用子系统软件设计 ........................................................................... 22
4.1政务信息资源共享系统软件设计 ............................................................................ 22
4.1.1政务信息资源库技术实现设计 ............................................................................................. 22 4.1.2CA系统技术实现设计 ........................................................................................................... 23 4.1.4数据仓库系统技术实现设计 ................................................................................................. 24
第 1 页
电子政务应用体系建议书
4.2内网及党政专网核心业务及其支持系统软件设计 ................................................ 25
4.2.1省级四大办公厅业务系统技术实现设计 ............................................................................. 25 4.2.2省、地、县三级工文等政务信息交换系统技术实现设计 ................................................. 33 4.2.3 邮件管理系统........................................................................................................................ 35 4.2.3 视频会议系统........................................................................................................................ 41 4.2.4 IP电话系统 ............................................................................................................................ 50
4.3外网政府信息服务网站软件设计 ............................................................................ 55
小结 ................................................................................................................. 59 5 安全建议 ................................................................................................... 60
5.1 网络安全及技术 ....................................................................................................... 61 5.2政务网安全组网建议 ................................................................................................ 62
5.2.1骨干网安全设计建议 ............................................................................................................. 63 5.2.2INTERNET接入安全设计 ..................................................................................................... 64 5.2.3局域网计算机接入安全设计 ................................................................................................. 65
5.3专用安全产品 ............................................................................................................ 66
5.3.1防火墙 .................................................................................................................................... 66 5.3.2综合访问认证系统 ................................................................................................................. 68
第 2 页
电子政务应用体系建议书
1 电子政务系统体系结构
政府“三网一库”电子政务的基本概念为在电子化概念上的电子政务系统给出了物理化的描述:
各级政府内部办公业务网(Intranet),实现多级政府文电、信息、督查、会务、
值班、接待、档案等主要业务的数字化、网络化、信息化。
政府办公业务资源网(Extranet),实现政府部门内部网之间的互联,实现信
息/知识的管理和资源共享。
政府公众信息网(Internet),及时发布公共信息,提供大众服务、工商咨询、
政策法规、招商引资等。
政府办公信息资源库,提高政府行政管理、应急指挥和快速反应能力,通过
对信息、知识的采集、存储、管理、挖掘,为政府机构高效、科学的宏观管理和决策提供支持。
政府“三网一库”电子政务组织结构图:
图1-1
政府“三网一库”电子政务示意图:
第 1 页
电子政务应用体系建议书
图1-2
1. 1.1电子政务系统体系结构
在对电子政务系统需求的总体把握的和对功能要求的具体分析的基础上,在“三网一库”基本思想的指导下,我们提出了一个总体结构,来描述整个电子政务系统中的各组成部分及其相互关系。需要根据总体建设提出的电子政务系统的总体结构设计,把复杂的大系统抽象成各子系统,从基本系统特征、要求构成入手,构造总体结构,分析各子系统之间相互关系,从而为各子系统的软件设计把握整体方向。
从系统工程上分析,电子政务系统可以分为四大层次、三大体系 四大层次是:
用户层 应用层 网络层 通信层
三大体系是:
网络和信息安全保障体系 运行管理体系 标准规范体系
第 2 页
电子政务应用体系建议书
2. 1.2电子政务建设目标
一期工程的目标就是政务网络“互联互通到县”,实现政务信息资源的共享。主要建设目标是:
(一)实现省级4大办公厅办公自动化
(二)实现省、地、县三级的公文等政务信息交换 (三)实现政务信息资源共享
(四)实现政务网上的IP电话及视频会议系统 (五)进一步完善政府门户网站(外网)
图1-3
第 3 页
电子政务应用体系建议书
3. 1.3电子政务应用软件逻辑结构
从电子政务的需求和它阶段性发展要求、系统交接对象、应用系统使用要求等方面总结入手,本着使电子政务系统具有高度的可扩展性、可维护性、可集成性、稳定性、使用方便实用性等特点,我们将电子政务软件逻辑层次上分为交互层、门户层、解析层、集成层、应用层、应用服务器层、基础层N层体系(如下图所示)。
图1-4
对电子政务系统来说,只有考虑了上述层次的系统才是一个具有长远生命期、健康的扩展性、系统柔韧性的系统,电子政务系统是一个投资大、系统功能复杂、网状性交互的系统,只有具有以上层次规划、设计思想的电子政务系统,才能满足电子政务实用、先进、符合未来的要求(如下图所示)。
图1-5
第 4 页
电子政务应用体系建议书
4. 1.4电子政务软件物理结构
在我们从逻辑上将电子政务系统从上述N个层体系上进行规划和设计时,在物理上要根据具体的系统来进行实施,因为对一个具体的应用而言,还是有不同层次设计和实现考虑。但为了系统的目标,对电子政务系统,我们还是要在技术层次上具体化电子政务的几个逻辑层次:
图1-6
上面的技术体系,为我们提出了一个要针对电子政务应用系统而建立一个应用基础体系的要求,这就是我们要提出的电子政务技术平台的出发点。
5. 1.5电子政务和电子政务平台的关系
电子政务平台是一种框架,它提供了基础架构和服务功能,使得政府电子政务的建设者能基于这样的功能来实现政府电子政务应用系统,
第 5 页
电子政务应用体系建议书
图1-7
如上图所示,电子政务是建立在电子政务平台上的实际的(或称实例化的)应用系统,通过使用电子政务平台的架构能力和服务功能,实现一个可配置的、支持分布式计算、浏览器/服务器结构、模块化和构件化的电子政务应用系统,以实现从阶段一到阶段三的电子政务内容。
电子政务平台的服务功能和架构功能有:门户结构化、流程化内容发布、搜索、基于工作流的应用系统、信息集成、应用集成、安全、个性化、支持多种接入方式、集成的可视化电子政务设计能力。
作为上述功能的底层技术是基于Internet的XML技术、目录服务技术、Web服务技术和应用服务器技术、数据库技术等。
基于电子政务平台建立电子政务系统,政府电子政务一般由相关机构伙伴、Web内容提供者、系统整合者、应用解决方案提供者、数据中心来共同建立的。
6. 1.6电子政务平台的特征和功能
1.6.1电子政务平台的技术特征
电子政务应用对IT的要求是先进性、实用性、开放性、稳定性、安全性、符合国际标准等,因此,电子政务平台的技术特征从现在和未来的趋势来看,必须是具有如下几个技术特征:
以XML作为数据传输格式 以浏览器作为客户端使用方式 以目录服务技术作为安全基础结构 以应用服务器作为底层运行环境
以数据库服务和索引服务作为数据存储的搜索机制 以现代应用集成技术和工作流技术为核心应用服务机制
第 6 页
电子政务应用体系建议书
1.6.2电子政务平台的功能要求
以电子政务系统要求的应用功能为目标,并进行应用功能的抽象,我们可以为电子政务平台总结出如下功能组合的功能体系:
结构分类功能
结构分类功能使电子政务系统象一个建筑一样被结构性地分层和单元分了。 内容发布
电子政务平台提供从内容结构到内容发布流程系统的全面架构功能,并能使内容发布系统立即运行。 搜索
搜索功能允许管理用户定义搜索并自动实现他们的内容搜索功能,前台门户使用者可以立即使用这样的搜索功能。 基于工作流的应用架构
应用系统有他们的数据存取层、业务逻辑层和客户使用界面,电子政务平台允许用户定义他们应用系统的数据模型和业务模型来架构一个实际的应用系统。 信息集成
电子政务平台对“信息孤岛”的信息关联和获取,一般通过在数据采集和信息展示二个层面上来进行实施。
应用集成
电子政务平台的应用集成功能能够基于外部应用的数据库接口和应用接口API实现电子政务平台的应用系统与外部应用系统的集成,当然也能实现外部应用系统之间的应用集成。 基于目录技术的安全功能
电子政务平台能实现如下几方面的功能:要求单一的登录、全部资源的权限控制、用户的集中管理。
安全性的另外一个非常重要的方面是用户的身份验证,电子政务平台支持的身份验证方式较为丰富,从较为低级别的身份验证(如口令验证)到高级的身份验证(如CA数字证书验证、智能卡验证等)均得到电子政务平台的支持。 个性化
在电子政务平台的个性化功能实现上,个性化功能分为三个方面:个性化系统架构、个性化设置、个性化内容解析。 支持多种接入方式
电子政务平台提供的多样化访问方式功能,将允许用户使用PC浏览器(IE
第 7 页
电子政务应用体系建议书
5.0以上版、Navigator 4.7x以上版)、WAP手机上的微浏览器(如Phone.com的MicroBrower 4.0, Erricson和Nokia版本的微浏览器),Palm和Window CE终端上的HTML浏览器、PSTN语音电话和IP电话。 集成的可视化门户设计能力
电子政务平台要为门户架构者、维护者提供各方面的可视化工具。
图1-8
总之,通过对电子政务应用系统的深刻思考,并以此为目标,可以总结出如上图所示的电子政务平台的功能结构,我们会立即发现,现代的“门户”领域已经突现出它就是电子政务平台,因为“门户”平台的技术特征、结构特征、功能要求与电子政务平台是如此的吻合,以至我们可以将“门户”可以看成就是我们在一致探询的电子政务平台,这也是接下去所阐述的电子政务平台的由来。
第 8 页
电子政务应用体系建议书
2 电子政务平台
从电子政务平台的特征和功能来看,门户产品是电子政务平台的最具体代表者和实践者。
电子政务平台是基于门户产品和技术服务的技术体系,是实现电子政务的理想解决方案。
电子政务应用系统 电子政务平台 电子政务平台 门户咨询服务 图2-1 2.1电子政务平台的产品结构框架
电子政务平台的产品结构框架其实就是政府门户的结构框架。
第 9 页
电子政务应用体系建议书
电子政务平台将基于Web的应用系统逻辑上分为数据层、应用逻辑层、展示层三层,数据层包括内容信息存储及元数据存储,应用逻辑层包括支持扩展应用的工作流引擎、过程处理引擎、规则引擎、内容发布引擎、搜索引擎、个性化引擎、Email集成动作引擎。信息集成引擎、可扩展的用户系统和用户开发应用集成引擎(适配器),电子政务平台的n层应用结构,使得基于电子政务应用具有很好的扩展性和移植性。............电子政务应用系统的应用逻辑均在应用逻辑层实现,网站的最终体现,将通过电子政务平台的解析服务或引擎将数据与应用逻辑结合起来,并加上个性化过滤和权限过滤解析展示。这种实现方式对于电子政务技术平台的分布式应用和网站集群提供非常稳...............固的可扩展的基础,用户在系统运行过程中,随着用户访问量的增加,信息内容量的........
不断加大,可以方便地在数据库一级上作多数据库服务器数据同步和热备份应用,而在Web Server网站发布一级也可以作多发布服务集群和负载平衡;由于通过电子政务平台架构的电子政务系统中内容信息数据存储、用户网站管理的元数据存储、用于实现网站应用逻辑及应用解析均相对独立,这使得网站系统可以方便地进行维护和移...............植。 .
第 10 页
电子政务应用体系建议书
图2-4
上图,用一个总线结构概念来进一步地说明一个实际电子政务门户是如何使用电子政务平台的有关功能来进行实施的。
在前台,电子政务的直接使用者(包括Internet上的公民和企业,Intranet上的公务员和Extranet上的其它相关机构的公务员和社会服务人员)通过电子政务平台的安全入口和个性化入口进入电子政务门户,在门户中,他们通过内容发布引擎浏览内容、提交内容、审核发布内容,通过工作流相关的规则引擎、工作流引擎、业务处理引擎等来操作他们的一般办公事务、具体业务事务,同时,系统通过已架构好的信息集成引擎来浏览和查询第三方政务应用的数据,通过已架构好的应用集成引擎与第三方的政务应用进行交互,如果是在Internet进行有安全保证的交互,从中我们可以看到,上面的应用系统已经基本上是一个政务一体化的信息系统了。
我们使用门户产品思想作为电子政务技术平台的另外一个重要原因是,电子政务的实现周期要求较短,只有使用门户产品和实施服务才能在时间上、质量上满足电子政务的建设要求。
基于门户技术产品和思想的电子政务平台为上述三类情况提供了第四种选择,它在技术上是定位于在应用服务器(J2EE平台和微软平台)上为电子政务用户提供一整套的组件(或称为引擎、中间件)和工具,为用户搭建100%基于Web门户概念的电子政务系统提供打包好的产品套件,并且通过提供的一整套工具和已有的运行平台,同时,为了实现系统的更高度的扩展和集成,系统提供基于XML标准的接口(如服务端的遵循XML接口标准的动作引擎扩展,客户端的遵循XSL标准的界面)。
电子政务平台目标和定位是:为电子政务应用系统提供一套基于政府门户思想的
第 11 页
电子政务应用体系建议书
可运行平台和架构工具来让电子政务用户架构他们自己的可扩展、可维护的高度结构化的电子政府门户,使他们快速进入电子政府的快车道。
2.2电子政务平台的功能特征
电子政务平台提供的是电子政务的应用平台和开发工具,平台本身是开放的、可伸缩的、可扩展的,而且,通过提供一系列架构工具,完全可根据电子政务的要求和特点,不用重新开发或变成,形成符合行政特点的电子政务应用,同时,随着应用的深入可以任意扩展和维护;
如图允许用户添加自己扩展的组件功能动作:
电子政务平台提供的是一体化、集成式的解决方案,即按电子政务的总体要求,把单个的业务应用、分散的数据库、静态的网站等集成到一个可管理的政务平台。
电子政务平台提供了结构化和非结构化信息集成发布,它通过对结构化信息进行集成,使用户通过单一的渠道访问存在于不同物理位置上的结构化信息,并具有加工、综合、统计、分析功能。完全符合电子政务的信息发布量大、搜索和查询用户多的特点。
电子政务平台提供了严格的权限管理。具有方便、丰富的个性化实现手段和体现,并具有多层的安全性和权限管理,用户的权限体现在不同内容上,也体现在同一内容的不同部分,只要需要,可以定义的足够细;当用户访问内容信息时。
电子政务平台通过规则引擎根据用户权限及个性化设置过滤出他需要的内容信息并结合个性化定义的展示风格模板在前台展示。在电子政务中,用户可看到不同的内容展示、栏目设置、查询结果,均在权限管理中得到了完美体现。
实现政府集成化的办公环境,实现办公自动化系统与政府业务管理系统的一体化,获取实是业务信息,统计分析结果,获取各个业务管理子系统的信息,提供领导决策支持信息,并能处理各种办公信息如公文、简报、签报、报告、督办、实时信息等,能够实现内部员工自由通讯。
电子政务平台提供了异种数据源透明访问功能,不用通过数据库网关软件,就可以透明访问所有主流的关系数据库,(如:ORACLE,SYSBASE,MS SQL SERVER,INFORMIX,DB2,RDB)和桌面数据库系统(如:dbase,Foxbase ,FoxPro,Access,Excel,Paradox,Lotus,Exchange,Txt 文本等),可以通过数据来源的定义实现不同数据平台的数据组合。在电子政务中,不同政府部门之间不同数据来源的相互共享、发布均得到了保证。可无缝、透明地集成政府内外各个机构的数据、信息以及政务应用,构成全局性的政务协作电子化系统
第 12 页
电子政务应用体系建议书
电子政务平台提供了现有系统的集成,以实现政府机构内、外部的信息集成,通过集成化的方法把原有应用通过一个核心组件服务器集成为一个有机整体,来获取其他应用系统中的相关数据和消息,能将政府机构现有的数据和应用无缝地集成到一起,无需重新开发,保护了原有的投资。
电子政务平台提供一个单一的入口点。在数据从数据处理系统传向决策处理系统时,电子政务平台能够提供对全部信息支持链中信息的访问。在那里,用户可以分析信息和以协作对象的形式分发结果,如E-mail和office办公文档。电子政务平台还可以帮助用户组织和管理产生政务信息的对象,如决策处理查询、报告和分析。工作人员能够应用电子政务平台去寻找这些决策处理对象并运行它们,然后获得结果。还可以让决策处理对象在时间和事件驱动下自动运行,然后把结果通过E-mail或共同的内部网传送给领导。
电子政务平台 提供了很强的安全性保证。电子政务平台基于LDAP的目录服务技术,目录服务体现的三大主要功能应用,可扩展的元数据存储、对象化统一存取及可扩展性、安全性和权限验证。基于LDAP的目录服务技术有效、严格地制止了政府内部情报泄密现象的发生,避免了重大经济案件的发生。
2.3电子政务平台的技术特点
实时性:能够全面、及时、准确地反映政府各部门各项动态业务信息。 方便性:采用WEB浏览方式实现对有效信息的综合查询,并以报表、图形
的方式直观地反映数据变化。
多层分布式管理:利用电子政务平台 ,可以分别在每个政府业务部门分布式
进行数据管理和业务主题定义,系统通过数据代理服务,按特定权限自动完成数据的更新,而发布时将以集中式发布。
易扩充性:根据机构变动和业务调整,整个系统将由客户端显示层、服务器
组件构成的功能层、数据层以及服务器的通讯规则HTTP四个部分组成。用户表示层被独立分离开来,应用规则以一个整体在独立的应用服务器上运行。这样不仅减轻了客户端的负担,而且当机构改组、人员调动、系统维护升级时非常方便。
维护简单性:通过电子政务平台建立的综合查询系统,系统维护的工作量非
常小,因为系统如果业务未发生经常变化,所有业务应用和主题分析查询均只需定义一次,数据的更新将根据任务定义由数据代理服务定期完成数据更新。
第 13 页
电子政务应用体系建议书
技术的先进性:采用面向对象(Object-Oriented,简称 OO)技术、目录服务
技术及作为新一代的数据信息交换标准的XML,达到政务信息的无缝集成,完全支持Internet/Intranet/Extranet网络模式
不间断的服务:通过网络和安全可靠的机制使用户在任何时间任何地点都可
以访问企业的信息和应用,保证政府部门的业务运转永不停顿,将电子政务的优势发挥到极至。
安全可靠的保障:通过安全机制保证数据的机密性及完整性,保障政府部门
的正常运转。电子政务平台提供了数个层次的安全控制,包括网络安全、登录安全、系统用户安全和浏览器会话安全。政府的信息资源在这里可以得到最大的保障,无须再象以前上网一样担心机密泄露。
统一的信息访问渠道: 通过将内部和外部各种相对分散独立的信息组成一个
统一的整体,使用户能够从统一的渠道访问其所需的信息,从而实现优化政各部门运作和提高效率的目的。
兼容性:系统运用了目前最先进的XML语言技术,实现本系统的数据与其
他类型自动化办公系统(LOTUS NOTES、MS EXCHANGE)或应用系统之间的数据交换,从而为用户的过渡与升级提供有力的技术保障。
2.5电子政务平台的功能效应
电子政务平台对电子政务应用系统的功效反映在它具有以下三方面的能力: 能实现电子政务系统下不同网络区域模式下的应用,如它适合建立政务对外
的动态站点,也适用于政务内部协作的Intranet站点。
它能适用于不同发展阶段的电子政务系统,如它既能实现一个以动态内容发
布为特征的初级政府政务对外站点,也能适用于实现一个与外部商业机构、上下级政府机构进行在线协作的一体化高级阶段电子政务系统。
它能适用于不同垂直行政系统的电子政务系统,这是由于电子政务平台是一
个技术性的、用于应用架构和集成的平台系统,基于这一点,不同垂直行政系统的电子政务系统还可以进行相互之间的集成,以适应电子政务系统向扁平化政务体系发展。
2.5.1不同网络区域模式下的应用
第 14 页
电子政务应用体系建议书
动态性的电子政务外部网站
大多数的电子政务目前均有了外部网站,但一般均是静态的网站,只起到在Internet上电子政务的一个形象宣传作用,而没有真正的将这样一个站点作为电子政务运作的一个有机部分而重视它。
事实上,所有国际性的电子政务均将它们的对外WWW站点作为他们信息发布、服务信息发布、对外招聘的最活跃阵地,这样一个站点必然是一个动态性的站点,内容均是每天更新的,能体现电子政务最立即的信息。
对政府机构来说,这样一个站点更是政府机构发布公告、政策、规定的最重要服务场所,是让社会了解政府各方面信息的核心渠道之一。
对一些中间性的服务电子政务(如:系统服务电子政务、贸易服务、信息服务),一个动态网站更是他们实现其核心业务的最重要阵地,内容的即时发布、搜索更是网站的必备功能。
门户电子政务平台的分类功能、动态内容发布功能、搜索功能、查询功能,能为电子政务、政府的对外动态站点提供平台和后台工具,能在最短的时间内建立起一个对外的动态WWW站点。
电子政务内部协作门户
电子政务的Intranet网站一般具有核心的办公自动化功能:如日程安排、电子公告、资料管理、公文流转、BBS、WebMail等功能。此外,还具有各独立业务信息系统的查询功能、高级系统分析功能,为电子政务的中、高层管理数字化提供一个统一的、基于Web的运作系统。
门户电子政务平台的内容发布功能、基于工作流的应用架构功能、信息集成功能,能为电子政务架构内部的Intranet网络提供一个可伸缩的、可扩展、易维护的平台和工具,借助门户电子政务平台提供的平台解析能力和工具来架构适合自己办公协作、业务应用需要的Web站点,在此内部Web站点,也可以将原有的业务系统数据集成进本系统中,使各层次的政务人员能够查询到各类政务数据和信息从而能快速建立起一个数字化的管理平台。
一体化的电子政务系统统一服务站点
大多数的电子政务一直为电子政务内部各异种操作系统、不同风格操作界面的核心业务系统而烦恼,更烦恼的是各系统互不关联,信息普遍存在着重复、不一致等问
第 15 页
电子政务应用体系建议书
题,系统有单机运行的、有C/S结构的,B/S结构的,有新的系统,也有旧的系统,电子政务普遍希望电子政务内各系统有机地集成为一个有机的系统整体,使用界面统一、一致,系统的安全能进行集中的控制,比如,电子政务的企业关系管理、公民关系管理、OA系统是一个一体化的系统,电子政务的采购、批发销售功能能在电子政务的Extranet网站上的信息发布和个性化服务能进行集成,以提高政务服务能力。
门户电子政务平台的基于工作流的应用架构能力、信息集成和应用集成能力,为电子政务架构一个功能一体化的、具有统一Web界面的电子政务系统统一平台提供了一个理想的解析平台和一套工具,使用门户电子政务平台,电子政务能短时间地实现一个具有电子政务各核心业务管理能力的门户化信息系统,它具有高度颗粒度细化的权限可分配功能,比如这样一个信息系统,公共服务部门可以使用一体化系统中的服务管理和有限度的企业关系管理功能,而财务部可以使用全部的资源管理功能、一部分的工资管理功能等,更可喜的是,这样一个复杂系统是一个政务业务部门自己可进行流程调整、业务规则调整甚至界面调整的具有长久生命期的柔性的、可调节的具有高度透明度的系统。
2.5.2不同阶段过程下的应用
电子政务平台作为一个基础架构,是电子政务能沿着正确的道路进行建设的最重要甚至可以说是必须的技术条件,在目前的、未来的要实施电子政务的政府部门来说,不论他们目前是处于电子政务的什么阶段,未来的实现要分几步走,电子政务平台均是他们必须首先考虑的技术条件。
图 2-6
如上图所示,对主要是实现动态内容发布和完成内部业务流程自动化为特征的初级电子政务阶段,使用门户电子政务平台,可以快捷地建立一个外部动态政务站点,
第 16 页
电子政务应用体系建议书
对一个与外部无关的内部Intranet站点,可以使用门户电子政务平台来进行内部日常内容发布、集成本机构已建立的业务系统的数据和应用,也可以使用平台提供的工作流功能建立新的业务系统、OA系统。
图 2-7
如上图,对主要是实现在Internet政务管理和服务的中级电子政务阶段,使用门户电子政务平台可以实现对外网来说是一个交互式的政务服务站点,对内部来说,是内部高度集成的政务系统,并与外网的交互系统具有内在的集成。
图2-8
如上图,对主要是实现全社会资源(个人资源、商业资源、政府公共资源)无缝连接的高级应用集成的高级电子政务阶段,使用门户电子政务平台,可以架构一个高度一体化的对外电子政务门户,因为这一门户与政务的所有关联系统具有内在的集成,使用门户电子政务平台建立的局部内部门户与关联的其它内部门户也具有交互能力和内在的集成能力。
第 17 页
电子政务应用体系建议书
2.5.3不同政务行业下的应用
对不同政务行业如税务、工商、海关、司法、公安等政务行业,电子政务平台为这些行业的信息系统统一、升级提供了基础平台,如图所示,一方面电子政务平台通过信息集成、应用集成手段使已建立的行业系统的数据、信息成为共享的资源,另一方面也可以通过电子政务平台的其他功能来架构新的业务应用功能,并使新的应用系统符合Internet标准,符合电子政务的要求。
图 2-9
第 18 页
电子政务应用体系建议书
3 电子政务系统软件设计
3.1电子政务系统软件构成
使用门户思想的电子政务平台产品和技术可以保证电子政务软件系统是体系结...构先进的,桌面是采用浏览方式的,数据库之间、各业务系统之间是无缝连接的,资...........源得到统一和共享,能确保网络和数据的安全,使整个系统结构清楚、层次分明,具...............有良好的开放性、可操作性、可维护性和可拓展性 ..................
电子政务系统软件的具体软件构成体现了电子政务平台思想(如门户软件、目录服务、系统管理等考虑),为整个电子政务应用系统的实现提供了骨架和基本构件,从而可以保证电子政务应用系统将会是一个结构清楚、层次分明,具有良好的开放性、..............可操作性、可维护性和可拓展性的应用系统。 ............
上述结构中最内在的共享的软件部分是:目录服务、数据库服务、消息服务三大部分。
在的分布式计算机网络中,各功能性服务器的交互均基于TCP/IP网络,但在应用协议上,根据功能要求的不同而有非Internet标准的应用交互(如数据库C/S交通过JDBC、ODBC),有Internet标准的应用交互(如XML、HTTP、LDAP、SMTP、
POP3)。
考虑到系统的稳定性、速度等性能要求,在上面的配置中,还考虑了服务器的后备和均衡配置。
3.2电子政务平台的门户结构
电子政务门户从技术上分为政务门户Intranet站点系统、政务门户Internet站点
第 19 页
电子政务应用体系建议书
系统、政务门户Extranet站点系统和门户与外部站点的交互接口,即应用集成四个方面来说明,但各站点之间有内在的交互。
3.2.1政务门户Intranet站点结构
使用者看到的站点内分类结构
政务门户Intranet站点是电子政务的一部分,基本涵盖了要求实现内容的极大部分,但本着系统规划、分布实施的项目原则,希望从价值链的角度出发,先做基本的、重要的部分。
3.2.3政务门户Internet站点结构
使用者看到的站点内分类结构
站点结构的划分是从政府的职能要求来划分的,其核心部分是政务公开和便民服务,既明确本站点的主要使用者是省内的居民和企业,其它部分兼顾到了其它浏览者(全国的、省级的、国外的)要求,但还是不能偏离它主要是服务于本地居民和企业的原则,如果偏离了这一原则,则就失去了政务门户Internet站点的建设意义。
3.2.4政务门户Extranet站点结构
使用者看到的站点内分类结构
本站点的构成,因为作为政务门户的一个有机部分,希望本站点作为下属地区政务机构与省政府的交互应用系统,比如下属职能机关可以通过本站点能定期地采集区
县的重要数据和信息,使省的数据库具有重要的、实时的数据来源。
3.2.5政务门户与外部站点的集成
在本此招标内容中没有本部分内容要求,但出于我们对电子政务门户系统的认识,作为电子政务的需要,在技术上预留某些HTTP地址和端口,对重要数据考虑好
第 20 页
电子政务应用体系建议书
提供XML交互格式,但由于电子政务在全国还处于一个探索时期,在本期实施中只做技术准备而不予实施。
3.3电子政务应用系统用户/组结构
作为整个电子政务系统的权限设置授予要求和CA证书服务结构要求,要求在技术上整体地考虑用户、用户组的结构和分布。
整个电子政务的用户组设置,根据整个电子政务门户的使用者划分、功能规划二方面考虑来进行,电子政务的用户组树型结构。
3.4软件安全系统设计
软件安全涉及如下几个方面意义: 1. 身份识别
2. 程序、功能权限控制 3. 对象、数据权限控制 4. 传输加密 5. 数字签名
现设计的电子政务系统使用目录服务和CA系统作为软件安全的核心机制,二者互为补充而实现了电子政务系统的软件安全: 安全功能 身份识别 程序、功能权限控制 对象、数据权限控制 传输加密 数字签名 目录服务 √ √ √ CA证书 √ √
第 21 页
电子政务应用体系建议书
4 各应用子系统软件设计
4.1政务信息资源共享系统软件设计 4.1.1政务信息资源库技术实现设计
门户服务器/应用服务器软件配置
本服务器安装电子政务平台产品,此产品包含有:平台解析程序、规则引擎、门户功能动作引擎、元存储存取引擎(必须安装目录服务接口)、数据存取组件、XML存取解析组件、门户管理器、数据管理器、数据监视器、流程设计器、规则设计器等,基础支持软件包括有:Web服务器、目录服务或目录服务授权程序等。
统一的目录服务器 集中的文件服务器 数据库服务器软件配置 数据仓库服务器软件配置 数据库管理、在线分析客户机
安装Oracle8/9i的完全客户端程序,开发的OLAP分析程序(使用其中的透视表、透视图功能)。
定制的数据批处理程序客户机
安装定制开发的数据批处理程序、命令文件,并有源数据库、目标数据库客户端程序。 浏览器客户机
目前要求必须是IE5或IE5以上版本浏览器程序。
数据库结构
1) 法律法规库
第 22 页
电子政务应用体系建议书
2) 政策文件库 3) 国土资源库 4) 人才资源库 5) 旅游资源库 6) 科技项目库 7) 招商引资库 8) 环境保护库 9) 社会保障库 10) 省建设库 11) 医疗卫生库 12) 社会治安库
上述资源的关联属性主要是:时间属性(年、季、月、周、日)、地点属性(省、市、县、区、镇、村)、人属性(性别、年龄段、学历、职业类型、单位类型、婚姻状态)
数据格式
数据处理格式一般遵循数据库自身的格式要求而进行,但查询、分析输出建议输出XML格式的结果,电子政务平台已提供的查询表单、输出XML格式如下面的Schema所示,在其查询输出中有四种类型:表格、自由表、交叉表、图表。
应用集成考虑
本子系统主要是信息集成要求,没有应用集成功能要求。
4.1.2CA系统技术实现设计
CA系统软件组成
提供证书、提供 证书信任列表 CA服务端证书 服务端 使用私钥解密 CA服务 提供证书、提供证书信任列表 提供公钥 加密信息 CA客户端证书 客户端 使用公钥加密 第 23 页 电子政务应用体系建议书
图4-2
公钥验证签名 签名信息 提供公钥 使用私钥签名 任何CA系统及其应用均有如下几部分组成: A. 证书服务软件(提供证书、提供证书信任列表) B. 发布的证书(就是私钥),公钥已在网上 C. 加密软件、解密软件 D. 签名软件、验名软件
在电子政务系统中,使用CA系统的目的有二个:信息加密和信息签名,由于我国对数字签名的文件认可还没有得到普遍认可,因此,CA系统主要是用于加密安全。
4.1.4数据仓库系统技术实现设计
数据仓库技术是实现数据分析与辅助决策功能的一种方法,是综合应用系统的设计目标之一,它与一般统计功能区别在以下几方面:
1、综合应用系统的分析与决策功能,是为高层领导决策服务的。它能在大量数据中,发现规律,找出问题,从而为发展经济以及提高政府机关内部管理水平提供有力的辅助手段。
2、一般统计功能往往只能输出预先定义好的报表,而决策与分析系统则是针对特定主题,从宏观的,历史的角度对信息进行分析挖掘,从而得出结论的一个过程。
3、由于存在以上特点,所以一般的报表统计打印软件是不能胜任的。决策与分析系统需要在具有大量参考数据和高性能数据库系统的基础之上,利用专用的数据分析与挖掘工具软件实现辅助决策的功能。
综合数据仓库系统
综合数据仓库系统是联机分析处理系统(OLAP),它的主要作用是为实现信息分析与挖掘。它是以综合系统为基础数据源,经过处理加载到数据仓库中。在数据仓库系统中需要保存大量的历史数据和与之相关的信息。
当综合应用系统已经基本建成,且采集的数据质量达到一定水平后,为满足综合分析和指挥决策方面的需求,就可以建立不同规模,不同应用主题的政务综合数据仓库系统,并使之逐步完善。
第 24 页
电子政务应用体系建议书
4.2内网及党政专网核心业务及其支持系统软件设计 4.2.1省级四大办公厅业务系统技术实现设计
建设目标
创造一个集成化的办公环境,为省级四大办公厅工作人员提供多功能的桌面
办公环境,解决办公人员处理不同事务需要使用不同工作环境的问题; 支持信息传递,解决由人工传递纸介质或磁介质信息的问题,实现工作效率
和可靠性的有效提高;
提供具有工作流性质的处理过程和监督功能,解决多部门协作问题,推动部
门间的高效率协作;
提供集成处理与发布信息的工作平台,解决以往信息收集、处理和发布过程
相分割的问题,减少不必要的交接环节,提高工作便利性;
提供与其它管理信息系统的信息交流,解决由于资料标准不一致而造成的信
息收集困难的问题,减少额外的工作量和大量的重复劳动。
“省级四大办公厅办公业务系统”在系统中定位
省级四大办公厅办公业务系统是电子政务核心支持系统的一个主要部分,它为整个核心业务提供效率上的支持。
省级四大办公厅用户登录到电子政务省级四大办公厅各自办公业务门户站点后,如果要进入“办公业务系统”,则点击“办公业务系统”链接后,门户解析层会将此此用户的帐号、密码自动填入的登录窗口后就立即进入了客户端(此客户端可以是客户端程序,也可以是支持Java的浏览器),门户的单一登录为用户免除了重复帐号输入的麻烦,并使在界面层与电子政务门户得到了集成。
“办公业务系统”中的许多功能也可以使用门户功能来实现,如具有MIS管理特征的人事管理、值班处理、学习安排、政务督查等。
如果考虑电子政务Extranet门户站点的存在,则Extranet门户站点“内部公告”
第 25 页
电子政务应用体系建议书
是通过本子系统予以发布的。
“省级四大办公厅办公业务系统”功能描述
为了基本实现省政府办公室的有办公业务电子化,我们在该系统中拟建如下一些子功能,以承担政府日常办公业务。
1) 个人事务桌面
立足于用户日常办公的需要。是用户办公应用的一个重要模块,主要目的是及时提醒用户对需要办理的事情进行处理,并且对当天需要办理的工作进行总体安排。用户可以对每日工作中显示的信息的栏目、信息条数进行定制。
用户:所有用户
功能:个人资料库管理、个人通讯录、个人事务安排、工作提醒
个人办公桌面
针对用户个人权限及工作内容专项办公桌面。
个人办公管理
综合办公业务管理提示。
动态信息提示
针对用户个人工作内容动态提示需要办理信息情况。
内容显示定制
针对用户个人工作内容轻重缓急定制内容显示模式及规格。
邮件管理系统
建立基于WEB的综合邮件系统,并利用现有的加密邮件系统以及非加密邮件软件系统管理接口。
2) 公文管理
公文流程控制主要完成公文从登记/起草,到公文处理完毕后的归档全过程管理,系统对公文的收文管理和发文管理抽象成为工作流程处理,对公文流程的处理过程由
第 26 页
电子政务应用体系建议书
登记/拟稿箱、收件箱、在办文等子功能块完成;公文流程监控主要是监控未办结公文的流程过程,监控公文的办理过程,监控公文处理人员的工作量和工作效率,对预期未处理的公文可由监控人员和系统自动产生催办邮件;公文流动过程中的信息(如承办时间,办结时间,是否逾期等)在数据库中都有记录。
立足于文书部门的工作需要,对内部公文处理的全过程实行计算机自动化处理,并对公文处理过程和公文内容提供多种方式的查询和检索功能,自动生成相关的统计报告。
收发:收信登记、签收发文、打印发文单 领导:分派拟办人员、审核拟办意见
机要:签收收文、登记收文基本信息、登记发文基本信息、确定发文方案 办文:签收收文、登记收文基本信息、登记发文基本信息、填写打印拟办意见、填写打印处理结果、填写领导批示、填写下步流程
签收管理系统
形成电子签收表格,通过网络签收文件。 收文管理系统
对收文的基本信息和电子文件进行增、删、改、设置阅读权限等操作。 收文管理
收文管理的工作是登记新收文的基本信息,并提供电子文件录入功能。用户可以将文件扫描后存储到数据库中,方便利用。
在本管理页面中主要为用户提供简单的查询功能,以方便用户的应用,同时用户可以通过本页面对公文进行近一步的处理工作。例如对公文进行增加、修改、删除、指定阅读权限等。
电子文件可以录入任何格式的文件,包括WORD、EXCEL格式文件,图片文件等。
发文管理系统
对发文的基本信息和电子文件进行增、删、改、设置阅读权限等操作。 发文管理
发文管理的主要工作是记录发文的基本信息。
第 27 页
电子政务应用体系建议书
登记发文的基本信息和电子文件
办文管理系统
对收文和发文的办理过程进行管理,如分派拟办人、填写拟办意见和领导批示等。 办文管理
公文办理是记录公文处理的过程信息。根据各个部门职责的不同,应用系统中不同的功能,分别录入本部门职责范围内的必要信息
领导批示主要登记领导对公文的批示信息,并可以对文件进行扫描录入。 分送登记主要是登记公文的分送情况,以便以后追查文件的去向。
催退登记主要是登记文件催促退回的信息,适时反映到被催单位的每日工作中,以便提醒其及时退回公文。
登记公文送档案时的信息,起备案作用。
承办前注办是办公厅或办公室等主管公文办理的部门在公文进行办理前根据领导指示给出公文的办理意见,指明公文的办理方式、承办单位等。
承办后注办是主管公文办理的部门在公文办理结束后给出办理的总结意见,方便领导决策。同时指明公文是否需要归档或发文等情况
对于没有及时进行办理的公文,可以通过催办管理功能,登记催办信息,以便催促承办部门及时办理
文电传输系统 电子文件网络传输。
内催办系统 文件内催办管理
登记、查询催办记录,查询需催办的文件并打印催办单,根据催办条件自动形成催办单。
查询统计 查询统计
提供查询功能,迅速准确的查询处所需文件,统计出相关信息。
第 28 页
电子政务应用体系建议书
查询统计可以按不同条件综合查询统计,也可以按某一个条件单独查询。统计结果可以以EXCEL格式输出、打印。
3) 档案管理
在发文管理、收文管理等数据库中进行归档活动后,相应的资料将自动保存在相应部门的档案库中。各部门定期通过填写移交凭单,将相应的档案资料移交给公司办公室档案管理室。按发文、报告、签报和收文等种类归入文件档案库,有关会议安排、会议纪要、会议出勤情况等归入会议管理库。所有的现行文件的归档工作均在相应子系统内完成。本功能能够通过计算机实现存档、分类、检索、统计、查询、信息发布和打印等功能。
对非电子化档案则借阅者可以通过Web进行借阅登记,由挡案员通过本系统取到挡案,在网上通知借阅者来取非电子化的挡案。
(符合标准按照国家档案局制度规定)
立足于档案管理部门的工作需要,提供档案信息的录入、查询、统计等主要功能。档案管理的功能按国家档案管理标准设计。
历史档案管理系统 历史档案归档管理。
按照卷宗管理,将档案综合成卷,进行管理。
现行档案管理系统 现行档案归档管理。
按照事件管理,档案按照事件情况进行管理。
档案检索系统 档案检索。
用户可以按多种检索条件查询档案信息。
档案统计系统 档案统计。
第 29 页
电子政务应用体系建议书
档案利用系统
档案资料利用及借阅。 登记档案的借阅和归还等情况。
档案编研系统 档案资料编研
4) 政务督查
该功能是用于政府各部门的工作进行监督、检查,以期提高办公交流,系统将根据工作进度表,检查政务活动的进行情况,并对那些延时的政务工作,自动编发督查通报。
立足于承担督查工作的部门的工作需要,利用综合办公应用系统平台集中管理督查事项,并建立智能的警示系统,进行自动的催促、提醒。同时对督查情况和办理结果提供查询功能。
用户可以通过本功能对下属部门交办事项,并进行督查。并可通过下面的页面查看其办理结果。
督查:收文签收、收文登记、发文登记、提出拟办意见、登记领导批示、整理送办过程、管理电子文件、登记专题督查、常委会议决定事项、发布通告、查看督查反馈情况、编辑刊物、发布刊物、管理最新上报信息、查询统计
签收管理系统
电子督查文件网络接收认证签收。
督查收文管理系统 督查收文管理。
督查发文管理系统 督查发文管理。
督查管理系统
针对决策、专项督查控制。
第 30 页
领导督查:领导对拟办意见进行审核
电子政务应用体系建议书
最新上报信息
最新督查信息提示办理。
督查信息上报 督查信息上报系统。 催办催报
针对督查项目催办催报。 领导审核
督查情况领导审核。
刊物采编系统 督查信息刊物采编。 查询统计 查询统计。
提供查询功能,迅速准确的查询所需文件,统计出相关信息。
查询统计可以按不同条件综合查询统计,也可以按某一个条件单独查询。统计结果可以以EXCEL格式输出、打印。
5) 人事管理
人力资源管理是企事业单位行政管理部门或人力资源部管理单位的所有人员的人事档案、个人简历、任职业绩、奖励、处罚、劳动合同等,同时按各种指定的方式对人事信息进行统计分析。人力资源管理模块相对而言功能比较独立和简单,与其他模块没有藕和关系,其使用对象为行政管理部门或人力资源部门。在用户界面的安排上,人力资源按照部门、人员进行分类管理,个人档案、简历、任职业绩、奖励、处罚、劳动合同作为个人的答复文档予以体现,个人档案、简历、任职业绩、奖励、处罚、劳动合同需要用不同的表单格式录入和浏览。
6) 值班管理
值班管理是对省政府值班室的值班情况和值班记录等进行全面的系统管理,包括值班日志、来电来访、值班排班等功能块。
第 31 页
电子政务应用体系建议书
7) 领导活动安排
该功能用于安排省领导每个月、每一周、每一天的工作,安排的工作将以一个日历的形式表达,通过打开日历,就可心看到本月领导的活动安排情况,在活动到期要进行时,系统将发出提醒讯号。
8) 办公事务管理
分待办事宜和办结事宜、个人日程安排、公务授权、机构通讯录、名片夹等,是一个带有人性化特色的管理模块。
9) 学习安排
该功能是用于对学习任务的管理,主要有学习按排、课程安排、考试登记、考试统计等功能,以方便检查学习结果。
10) 电子邮件
个人邮件为用户提供对个人邮件的收发管理。
这里,建设基于党政专网的集中+分布式的电子邮件系统,后面的邮件系统部分全面描述。
11) 会议管理
会议管理的主要功能有制定会议安排、发送会议通知、记录会议纪要和对会议结果的查询,会议管理由会议起草、待批会议、在开会议、会议批办、会议统计查询等功能模块组成。会议管理是放在服务器上,在会议起草、待批会议、待开会议、在开会议、会议统计查询等栏目中每个人只能看见由自己起草的会议,在开会议栏目中的内容也可能出现在会议秘书的在开会议栏目中,由会议秘书填写会议召开的情况;会议批办只出现需要用户批办的会议内容。
12) 公共信息
公共信息子系统主要是提供用户单位公共信息的维护和查询,实现单位信息共享,它是单位日常工作和日常生活的辅助工具。公共信息子系统由常用网址、时刻表、
第 32 页
电子政务应用体系建议书
邮件编码、长途电话区号等构成。
4.2.2省、地、县三级工文等政务信息交换系统技术实现设计
主要由业务文档传送、格式转换和基于规则的跟踪基础架构组成。该产品可在运用公共标准确保交互操作的前提下,将应用程序、业务文档和业务合作伙伴相集成,并帮助您以简便快捷的方式创建动态业务流程。在本方案中我们主要利用强大的基于XML的文档交换传输能力完成系统中对不同政府部门公文处理系统的集成和相互间的公文交换流转。对该目标的完成主要基于以下几个典型特性。
1) 广泛的XML支持特性:所有文档交换操作均可在符合W3C标准的XML中得以实现。
而所有文档转换操作则可在符合W3C标准的XSLT中获得实现。
2) 多重传输与协议支持特性:可为以下传输方式和协议提供相关支持:电子数据交
换(EDI)、超文本传输协议(HTTP)、安全超文本传输协议(HTTPS)、简单邮件传输协议(SMTP)及网络文件共享。
3) 开放式绑定体系结构:开放式绑定适配器体系结构有助于任何开发人员或独立软
件开发商(ISV)创建可确保从针对其软件产品实施访问调用的适配器。 我们还需要基于XML技术制定的电子公文交换规范,这是电子公文交换系统能够成功建设、实施和有效应用的前提,该规范的制定实施能够大力推进电子政府的建设,通过省机关电脑专网平台实现各区人民政府、省政府各工作部门的政务信息化系统互联互通,以促进政府机关公文处理电子化、传输网络化,加快公文流转速度,提高办公效率和信息资源利用率,实现跨平台的电子公文交换和信息共享。
从我们在其它地区成功建设公文交换平台的经验来看,该规范的制定要依据《关于发布〈国家行政机关公文处理办法〉的通知》(国发〔2000〕23号)和《国家行政机关公文格式》(GB/T9704-1999),从实用性、综合性和广泛性出发,结合机关单位现有典型政务信息系统特点,充分考虑各单位政务信息化建设的共同需要及发展趋势,采用国际先进的描述体系,规定电子政务信息交换描述语言,描述了电子公文流转所必需的全部要素。同时要注重电子公文交换的先进性、实用性、开放性、规范性和安全性。关于如何制定以XML为标准的政府信息交换规范,我们将在后面进行详细描述说明。
第 33 页
电子政务应用体系建议书
电子公文交换系统功能
i.
电子公文交换系统采用国际先进的描述体系,规定电子政务信息交换描述语言XML作为统一规范,描述了电子公文流转所必需的全部要素。从而保证了实现电子公文以统一的标准格式在政府各单位之间正常流转。
ii.
电子公文交换系统包含了完整的公文接收(签收、拒收、退回,自动回执)、公文发送(按照设定的模式,将文件传送到目的单位),并具有完整性检测功能、公文流转过程查询等功能。
iii.
电子公文采用国家公文的规范化格式(可参见《国家行政机关公文格式》),在电脑系统中采用当前技术先进、安全可靠的方式存贮。在交换过程中,采用技术先进,安全可靠的方式进行交换。交换文件包含了文件流转所必须的全部要素,主要包括文件类型、收文编号、收支日期、来文日期、密级、紧急程度、发文单位、字号、文件标题、主题词、内容摘要、正文、附件、主送单位、抄送单位、发文日期、办理过程信息(送达日期、办理单位、送出日期、办理意见)、办理状态等。
iv.
本系统用户可以通过内部局域网和远程单机两种方式联接数据中心,完成公文办理。对以局域网方式接入的单位,具备服务器间数据交换的功能;对以远程单机方式接入的单位,提供远程单机公文办理(非移动办公)模块,该模块包含公文接收(签收、拒收、退回、自动回执)、办理、打印、发送(按照设定的模式,将文件传送到目的单位,并具有完整性检测功能)、查询等功能。 v.
电子公文交换系统同时具有较强的电子文档管理功能,包括公文检索(必须具有中文检索能力,包括任意字词检索和位置逻辑检索)、文档管理。
vi.
电子公文交换系统具有良好的扩展性,充分考虑未来信息量与业务量增长的需要。
vii.
系统还可以与移动短信系统、电话语音系统等结合,提供多种文件送达、催收等短信通知功能。
第 34 页
电子政务应用体系建议书
电子公文信息资源库功能
1) 电子公文库系统作为各级政府机关的政府资料中心,能够实现政府资料
的入库、信息发布、查询、检索等功能。
2) 电子公文库系统具有广泛的文件格式支持,支持常用格式文件的入库和
检索。
3) 为了方面对政府文库中繁多的文件种类进行管理,系统提供强大的多级
目录的管理功能,对文件进行分类管理。
4) 系统提供强大的检索功能,提供对中英文的全文检索能力,能够对文中
的任意字、词、句及片断,并提供多种全文检索的手段,并支持跨库的全文检索功能。
5) 政府文库具有良好的扩展性,并充分考虑未来信息量与业务量增长的需
要。
4.2.3 邮件管理系统
近年来,随着信息高速公路的发展及当今通信技术和计算机技术飞速发展,信息传递及共享的方式越来越先进,其中通过E-mail进行信息交流具有方便快捷的特点,有着普通的信息传递服务无法比拟的优势。
随着E-mail应用日益变得广泛和普及,越来越多的人通过E-mail来传送包含多媒体附件(图片、Video等)的个人信件以及重要的资料,人们对E-mail服务的服务质量也提出了更高的要求。与普通ISP/ICP提供的电子邮箱不同,电子政务网邮件系统是针对政府机关所有用户的,具有登记用户数多,用户访问频繁等特点,必须建立一个可靠的、高性能的、安全性高、可扩展的电子邮件系统。
需求分析
作为大容量的电子邮件系统,电子政务网的Email系统将会面对用户量爆炸式的增长,因此大容量电子邮件系统不但要依靠邮箱的容量和良好的页面设计,最重要的就是在扩展性上满足系统不断膨胀的需要,同时还要尽量提高系统的性能、可靠性和
第 35 页
电子政务应用体系建议书
安全性,提供众多的系统功能:
在可扩展性方面:随着用户的不断增多,系统需要承受更多的收/发信请求,因此,系统应该从体系结构和性能上具备良好的可扩展性,方便地进行系统扩展,以应付用户数量急剧膨胀的需求。另一方面,现在的电子邮件系统在信息交流方面扮演着重要的角色,如何将现有的E-mail系统、个人寻呼机、个人电脑和移动电话等结合起来,构成立体的个性化的私人信息中心,是E-mail系统未来的发展方向之一,现有的系统应该具有足够的可扩展性和开放性,以满足未来发展的需要。
在性能方面:现代的E-mail系统与传统的E-mail系统来相比较,需要更多的功能模块(IMAP4,Webmail等),这相对而言会消耗更多的系统资源,在这种情况下,我们要保证系统的性能不降低;另一方面,若要在系统用户众多的时候保证服务质量,在响应速度上就不应太慢,也需要系统有比较好的性能。
在可靠性方面:电子政务邮件系统面向政府用户,对可靠性的要求比较高。 在安全性方面:许多人采用电子邮箱作为自己的一个对外窗口,作为个人隐私的一部分,人们都希望这样的邮箱能够具有很好的安全性,让自己的邮箱不受到恶意的攻击,也不被各种各样的垃圾信件所淹没。因此,系统应该具有相当的安全性,以满足用户对安全的需求。
在功能方面:现在的用户已经越来越成熟,与上网初期不同,他们已不只是简单地连接上网,收发电子邮件就行了,他们希望系统的使用越来越方便,提供的功能越多越好。
在可管理性方面:对系统管理员来说,系统是否能够提供丰富的管理手段来简化其管理流程,能否提供丰富的统计功能让他能够尽快了解邮件系统中用户的行为特征将变得十分重要,因为系统将变得十分复杂,管理的任务也将越来越重。
对于电子政务网这样的一个大容量的电子邮件系统,要想让系统能够可靠、高效、安全地为广大用户提供服务,不仅仅需要一个功能完备的系统软件,更需要一个包括网络、数据存储等在内的完备的软硬件系统环境的支撑。当邮件系统软件仍在高效的运行,但网络已经拥挤不堪、存储系统效率低下或者网络设备出现故障的时候,服务
第 36 页
电子政务应用体系建议书
质量将不能得到保证。在对电子政务网深刻理解的基础上提出了电子邮件系统的解决方案。
邮件系统解决方案
电子邮件系统为电子政务网的用户提供邮件服务,用户的用户资料存储、邮件存储都放在邮件系统中,都通过内部网链路(LAN或WAN)直接采用SMTP、POP3、IMAP4或者通过Web页面进行Email的收发工作。
采用亚信公司的MAIL系统AIMC邮件系统,把邮件系统划分为邮件业务子系统、用户认证子系统、数据存储子系统,我们将分别针对这几部分加以说明。
邮件业务子系统
邮件业务和存储子系统包括了2台提供邮件业务和存储服务的SUN主机。 邮件业务模块负责处理邮件的业务请求,安装
AIMC的
SMTP/POP/IMAP/MTA/WebMail软件模块,提供邮件的转发、接收、在线阅读和离线下载等功能。2台服务器之间通过四层交换机实现负载分担和互为备份,提供所有用户的邮件服务,同时安装iPlanet Web Server向用户提供Web Mail功能。
邮件存储模块负责邮件的存储,安装AIMC的MSS软件模块,提供统一的邮件存取接口。2台服务器之间通过AIMC特有的软件技术实现负载分担,同时,通过光纤通道实现邮箱和邮件的高速存储。配置Veritas File System 作为文件系统,配置Veritas Volume Manager作为卷管理软件,实现对磁盘/磁盘阵列的方便管理;配置了Veritas Cluster Server作为集群软件,实现邮件存储主机间的高可用性。
用户认证子系统
用户认证子系统包括2台用户认证服务器,负责用户信息的查询、用户身份认证。通过在ACE 184上进行配置,使得外面用户不能够直接访问到这2台服务器,只有邮件业务服务器可以与用户认证服务器打交道,这样就在安全性上有了很大的提高,每台认证服务器上配置Oracle数据库软件,实现对用户数据的存储。两套数据库之间数据通过专门的应用程序实现用户数据同步,两台主机同时提供认证服务,既负载分担又相互备份。
第 37 页
电子政务应用体系建议书
数据存储子系统
数据存储子系统可由1台或1组磁盘阵列构成,磁盘阵列和主机之间采用双光纤通道连接,防止单点故障。磁盘阵列安装10块36GB硬盘,以Raid5技术实现存贮冗余。
系统可靠性设计
Email系统主要为机关干部服务,大容量电子邮件系统每天要接受大量的访问,而一旦系统出现故障,无法为用户提供服务,将带来巨大的影响,,尤其对于电子政务网这样国家性的网络,带来的后果将更加严重。
在电子政务网大容量电子邮件系统中,我们充分考虑到了系统的可靠性,让整个系统具有很高的可靠性。
高可用的主机系统
在方案的主机系统设计中,我们采用了软硬件结合的分布式技术,具体来讲使用多台服务器实现邮件业务或认证服务。利用四层交换机和AIMC的分布式特性,来实现邮件服务的负载分担。同时,由于四层交换机具有多种负载分担策略,并可以根据服务器的处理能力来分担请求,这样,大量的服务请求就可以被合理地分担到多个服务器上,使得每台服务器的负载不致过重。需要特别指出的是,四层交换机可以自动监测主机的服务(TCP端口)是否正常,这样,它不会把用户的服务请求发送给一个已经出现故障的主机“黑洞”。
同时,在邮件存储系统和用户认证系统中,我们采用群集计算技术,多台服务器可以同时工作,既相互负载分担又相互功能备份,当其中一台服务器出现故障后,其工作负载可以被分担到其他服务器上。
高效的群集计算需要相关的系统软件的支持,在对国际上相关软件进行比较的基础上,我们选择了Veritas的相关软件—Veritas File System/ Cluster Server:
文件系统管理:
Veritas File System: 或称VxFS,是Veritas公司研究了传统的UNIX文件系统UFS(Unix File System的缺陷后,为需要在配备大容量磁盘的主机系统上运行关键计算任务的用户开发出来的一种文件系统,目的在于提供性能优异的、可靠的、可以快速
第 38 页
电子政务应用体系建议书
恢复的、可管理的UNIX文件系统。VxFS通过使用记录(Journaling)技术记录所有硬盘写的操作,保证数据的一致性和系统异常崩溃后的快速数据恢复;通过连续数据区(Contiguous Data Area)、缓存区等技术使得在连续读取大块的数据时,可以大大减少磁盘的IO次数,从而大大提高数据读写能力。VxFS 同时还是进行卷管理和Cluster File System的基础。
高效、高可靠的存储系统
在方案的存储系统设计中,邮件存储主机和磁盘阵列之间采用双光纤通道连接,同时磁盘阵列采用RIAD5技术作数据冗余。
系统安全性设计
随着网络的不断发展,安全问题也显得日益突出起来,作为电子政务的信息服务平台,电子邮件系统应具有一个十分牢固的安全结构并不断强化安全措施,通过制定有效的安全防护策略,采用切实可行的安全防护手段来保障系统的安全。
邮件系统的安全性能
邮件用户不具有进入邮件服务器操作系统权限 用户密码经不可逆算法加密存储 POP3/IMAP4/WebMail用户验证失败延时 支持反向验证发件人身份 WebMail支持SSL WebMail支持访问IP过滤
WebMail支持各类Script代码屏蔽,不安全的HTML TAG过滤 SMTP/POP/IMAP服务器支持数字签名的电子邮件 全部Mail Services无公开代码
邮件拒收(Message Block)
Message Block是在SMTP协议实现时的扩展选项。Message Block拒收的对象是那些虽然具有正确的本地收件人地址,但却是来自不受欢迎的网络或个人的电子邮
第 39 页
电子政务应用体系建议书
件。Message Block操作执行的时机是MTA正在按照SMTP协议接收邮件时;操作是对邮件头部信息(信封)进行的。
AIMC允许设置以下的Message Block规则: 拒收来自指定IP或子网的邮件 拒收来自指定Email地址的邮件 拒收来自指定域的邮件 拒收来自指定用户名的邮件 超出系统管理员设定大小的邮件
发送速度低于系统管理员设定标准的邮件 收件人个数超出系统管理员设定标准的邮件 收件人特征符合系统管理员设定为标准的垃圾邮件
每一个被拒收的邮件都会由AIMC产生可统计的日志记录。
转发限制(Relay Restriction)
Relay Restriction也是在SMTP协议实现时的扩展选项。Relay Restriction拒绝转发的对象是那些虽然具有正确的非本域目标收件人地址,但却是来自不受欢迎的网络或个人的电子邮件,或目标收件人或网络不愿意接受来自本域转发的Email。Relay Restriction操作执行的时机是MTA正在按照SMTP协议接收邮件时;操作是对邮件头部信息(信封)进行的;操作的具体实施方式是拒绝SMTP Client所提出的符合转发限制规则的每一个异地收件人。
AIMC允许设定以下邮件转发限制规则: 拒绝转发或仅转发来自指定IP或子网的邮件 拒绝转发来自指定Email地址的邮件 拒绝转发或仅转发来自指定域的邮件 拒绝转发来自指定用户名的邮件
拒绝转发或仅转发目标为指定子网的邮件 拒绝转发或仅转发目标为指定域的邮件
每一个被拒绝转发的邮件都会由AIMC产生可统计的日志记录。
第 40 页
电子政务应用体系建议书
邮件过滤功能(Mail Filter)
AIMC实现系统级/用户级的Email过滤处理功能,对符合过滤规则的邮件可选择采取拒收、投递到指定Folder、Forward到制定Email地址、自动回复等操作。
过滤规则数量不限,可对包括各项邮件头部信息在内的整个邮件进行过滤分析。特别地,可以对按照大小对邮件进行过滤。
系统级的过滤规则对所有用户均起作用,由系统管理员设置。用户级的过滤规则只对用户自己的邮箱起作用。特别地,父邮箱的过滤规则可以由父邮箱用户设定是否对其下属子邮箱起作用。邮件过滤功能的部分操作类似Message Block和Relay Restriction,但其执行时机是SMTP交互过程结束后,邮件投递到本地邮箱前进行的。邮件过滤操作对SMTP Client透明。
4.2.3 视频会议系统
会议电视简介
会议电视主要就是通过视讯终端与视讯业务交换平台(MCU),使身处异地的与会者可以就同一议题参与讨论,相互之间不仅可以听到发言者声音而且还可以看到发言者的图像及背景,同时还可以交流有关该议题的数据﹑文字﹑图表等信息,会议电视的基本系统结构图如下所示:
第 41 页
电子政务应用体系建议书
MCU传输网络终端终端MCU终端MCU传输网络传输网络终端.........终端终端.........终端
会议电视系统结构图
早期的会议电视主要是利用专用或通用的通信网络,采用简单的时分复用(TDM)方式在同一信道上传输信息,其应用主要分布在拥有专网线路资源的有限的行业与机关,而不能走向普通的企业与用户。随着Internet和局域网的发展以及PC桌面系统的普及,会议电视传输网络的基础正由基于电路交换式的N-ISDN或PSTN向基于分组交换式的IP网过渡,并且使得视讯系统的建设不断地朝着大众化普及的方向发展。 宽带视讯系统是遵循于标准的ITU-T H.323协议,ITU-T H.323协议是用于分组网络上的多媒体通信标准,这些分组网络包括局域网、企业网、城域网等,也包括通过PSTN或ISDN的拨号连接或点对点连接包传输协议(如PPP协议)。H.323协议规定了音频、视频和数据集成的操作模式,它是下一代IP电话、音频会议、视频会议技术的主要标准。0是一个H.323系统基本构成。
第 42 页
电子政务应用体系建议书
H.323GKH.323MCUH.323终端H.323终端H.323网关H.323终端H.323系统GSTNH.320终端话音终端H.320MCUH.320终端H.320终端H.320终端H.320终端 H.323系统组成框架
H.323协议定义了四个主要的构成元素:视讯终端、网关、MCU和GK。视讯终端是H.323系统中重要的实体,视讯终端主要是完成音视频编解码处理、和远端建立通信以及会议控制等功能。
MCU是提供多点会议支持的节点。当多个视讯终端组成多点会议时,MCU负责为会议的每个视讯终端编号,广播某些重要视讯终端会场的图像,处理视讯终端申请观看其他会场的请求。
网关是H.323系统和H.320系统进行互连互通的桥梁,由于H.323系统信令、视音频数据格式等和H.320系统之间存在差异,所以两者之间进行互通需要进行格式转换,这个转换工作就是由网关来完成。
GK是H.323视讯会议系统中的一个重要组件,基于H.225协议,为H.323视讯会议系统提供节点管理和呼叫控制服务,GK必须提供以下服务:地址解析、接入控制、区域管理和带宽控制。此外,GK还可以提供附加的呼叫控制信令、呼叫鉴权等服务。
需求分析
政务网视讯系统网络共分为省、地、县三级网络,建设工程主要实现:利用已建(或正在建设中)省政府到省委,省人大.省政府省政协四大办公厅和各地州市的网络中心通信网络,通过省政府网络中心节点的MCU和省委,省人大.省政府省政协四大办公厅和各地州市的网络中心的终端设备构成我省政务网的视频会议系统,需要新建省政府中心节点和四大办公厅及地市级共1+4+4*16个政务网节点。对于县级市采用流媒体的方式或采用终端的方式。
第 43 页
电子政务应用体系建议书
组网方案
在政务网信息网中心放置一套可以管理200用户会议功能的ViewPoint MediaCentre管理台、一套ViewPoint 8000 Gatekeeper及一台具有96个IP用户接入能力的MediaCentre-96主机和一台48个IP用户接入能力的MediaCentre-48主机级联,MediaCentre主机作为整个视讯系统交换平台,连接至16个地州政务网和省委、省人大、省政府、省政协四大办公厅的ViewPoint 8020plus会议型视讯终端。ViewPoint MediaCentre管理台主要是用于MediaCentre-48主机的资源管理、会场管理、会议管理、会议控制;ViewPoint 8000 Gatekeeper用来管理MediaCentre-48主机及视讯终端的注册。
具体配置如下: A)政务网设备配置:
序号 1 2 设备名称 MCU MCU 规格型号 MediaCentre-96 MediaCentre-48 数量 1 1 备注 96路IP接入 48路IP接入
B)省委,省人大.省政府省政协四大办公厅及各地州政务网节点设备配置:
序号 1 2 3 设备名称 视讯终端 麦克风 辅助摄象机 规格型号 ViewPoint 8020plus 腾广桌面式麦克风R9950A SONY EVI-D31 数量 68 68 70 备注 各政务点各一套 各政务点各一套 各政务点各一套 网络功能
通过组建本网络,ViewPoint MediaCentre综合视讯系统可以为政务网提供下面这些强大快捷的多媒体视讯网络服务功能:
快速部署、维护方便
ViewPoint MediaCentre主机结构简洁,安装快捷,配置维护极其方便,可迅速地部署在IP网络中满足视讯业务需求。系统具备全面的自检、故障诊断能力,支持远
第 44 页
电子政务应用体系建议书
程Telnet配置与维护,同时网络管理员还可从ViewPoint MediaCentre主机自带的液晶显示屏上直观地观察设备运行状态。
大容量接入能力
单个ViewPoint MediaCentre主机可以提供48用户的最大视讯终端接入服务,灵活、强大的接入能力使其能够满足绝大多数IP视音频会议系统的需要。ViewPoint MediaCentre综合视讯系统支持从5.3kbps的纯音频会议到速率为1920kbps的高质量视频会议,将基于IP网络的协作交流带入新的境界。
全面的会议控制
ViewPoint MediaCentre综合视讯系统为参与视讯会议的与会者提供了完善的会议控制功能,会议召集者可以使用主叫呼集方式从视讯终端侧召集会议,就象打电话一样方便。ViewPoint MediaCentre综合视讯系统提供了全面完善的主席控制,会议主席视讯终端可以广播会场、闭音会场、邀请会场参加会议、断开会场、控制多画面等,从而更好地控制整个会议的进程。此外ViewPoint MediaCentre综合视讯系统还支持适用于讨论会议的语音激励会议控制。
方便的客户服务功能
ViewPoint MediaCentre综合视讯系统提供方便的客户统一服务号接入,系统只要对外公布一个统一的特服号码,例如183,视讯终端会场就可以直接通过拨叫该服务号进入属于自己的会议,而不要象传统的方式视讯终端用户先要向系统管理员获取由系统自动产生的会议号码后才能拨入,极大地方便了用户的使用。
完善的协议适配能力
ViewPoint MediaCentre综合视讯系统提供完善的IP语音处理,支持丰富的语音编解码算法,并内置支持各种不同编解码算法之间的适配。
强大的多画面功能
ViewPoint MediaCentre综合视讯系统提供多画面会议功能,与会人员能同时看到
第 45 页
电子政务应用体系建议书
参加会议的多个会场图像,更增强了会议的临场感,与会人员之间的交流更加自然顺畅,同时ViewPoint MediaCentre综合视讯系统还支持语音激励方式切换多画面或在会议过程当中任意调整多画面的组合。
强大的数据会议功能
通过ViewPoint MediaCentre综合视讯系统提供的数据会议服务器可以实现H.323节点之间的T.120数据会议,与NetMeeting全面兼容,在数据会议中既可实现电子白板、文件传输、应用共享和多方交谈等功能,也能实现远程数据共享和协同工作。单个ViewPoint 8000数据会议服务器可支持最大24个视讯终端用户同时参加数据会议,ViewPoint MediaCentre综合视讯系统可以通过动态级联的方式平滑扩充用户的接入数量。
良好的Qos保障
对于IP网络上包序混乱、时延抖动、带宽不足等问题,ViewPoint MediaCentre综合视讯系统通过华为公司创新的ServiceLock技术解决IP网络视音频通信的QoS问题。ServiceLock技术包括Jitter处理算法、时延处理技术、包序重排技术、错序调整、丢包补偿、误码掩盖、自动重拨技术及带宽控制技术等,为用户提供满意的视音频效果。
二期建设方案一(省地县三级双向交互会议系统方式)
对政务网信息网中心增加一套独立的ViewPoint 8000 Gatekeeper服务器。对应连接至128个区县的ViewPoint 8020plus会议型视讯终端。ViewPoint MediaCentre管理台主要是用于MediaCentre主机的资源管理、会场管理、会议管理、会议控制;ViewPoint 8000 Gatekeeper用来管理MediaCentre主机及视讯终端的注册。 具体配置如下:
A) 省政府设备配置:
序号 1 2 设备名称 MCU MCU 规格型号 MediaCentre-96 MediaCentre-36 数量 1 1 备注 96路IP接入 36路IP接入 第 46 页
电子政务应用体系建议书
B) 区县政务网设备配置: 序号 设备名称 1 2 视讯终端 麦克风 规格型号 ViewPoint 8020plus 腾广桌面式麦克风R9950A 数量 128 128 备注 各区县各一套 各区县各一个 二期建设方案二(流媒体方式)
在政务网信息网中心放置一套100并发流的ViewPoint 流媒体服务器,及相关的采集器和采集终端。在128个区县只需配置PC机,安装标准的RealPlayer或Windows Media Player或APPLE QuickTime播放器,通过IP网络,即可接收从流媒体服务器传来的媒体流,实现流媒体广播。 具体配置如下:
A)省政务网设备配置:
序号 1 2 3 4 5
设备名称 流媒体服务器 规格型号 IBM服务器 数量 1 1 备注 WEB应用服务器 IBM服务器 流媒体采集器 视讯终端 流媒体采集终端 视频采集卡-OSPREY100 1 ViewPoint 8020plus 独立PC机 1 1 2Mbps速率 建议用户自购 B) 各区县政务网设备配置: 序号 1 2
设备名称 流媒体接收终端 播放软件 规格型号 独立PC机 数量 128 备注 建议用户自购 标准软件 Real Player / Media Player / 128 QuickTime 第 47 页
电子政务应用体系建议书
媒体流方案实现方法
各会场终端设备将视频、音频信号编码后,由传输网络通过E1、V.35、LAN、ISDN等接口送到MCU。MCU进行视频切换、音频混合等处理后,再将视、音频信号分配到相应的信道。会场K的终端设备将来自MCU的信号解码后通过多个输出接口输出给相应设备。装配有视、音频采集卡的高配置PC机(流媒体编码器)将终端传来的信号采集后生成文件,通过网络传到流媒体服务器。流媒体服务器能够以组播的方式,把编码后的会议实况向网络直播,由客户端实时接收;或者将会议文件存储在服务器上,以点播的方式,通过客户端在网页上点击所需会议的超链接后,由流媒体服务器把已经存储的会议内容发送给客户端。
流媒体制作
1)装配有视频采集卡的高配置PC机将信号(实时或非实时信号)采集后生成文件(实时信号也可以生成临时文件)。
2)系统通过网络将文件传到流媒体服务器。在一般情况下,采集端PC机和流媒体服务器在同一个局域网内,也就是说它们之间的传输带宽应该在10M以上(最好能为100M)。
3)同样的道理,流媒体服务器和Web Server端服务器之间的传输带宽最好也在100M以上。
第 48 页
电子政务应用体系建议书
流媒体播放
将实时的会议的图象、声音等信息制作成媒体流,放在媒体流服务器上。媒体流传送主要分为两种方式:
1)实时传送,实时传送将会议的实况向网络直播,由客户端实时接收(时延为15秒左右)。
2)点播,通过客户端在网页上点击所需会议的超链接后,由流媒体服务器把已经存储的会议内容发送给客户端。 播放方式: 1)直播
直播能够将会议的过程编码后直接向网络发送,使客户能够收到当前正在播放的会议。
摄像机录制会议情况传送到编码器端,编码器对其编码后传送到流媒体服务器,服务器和编码器并不需要处在同一位置,流媒体服务器将实况向网上播放。如果需要录制整个会议实况,可以将8020的视音频输出接到编码端编码。 2)流媒体的点播
点播是用户选择所需会议,该会议内容已经在服务器上存储,服务器端的视频编辑工作站对视音频流重新编辑后存放到服务器上。用户首先访问在Web Server上的网页,选择所需的会议的超链接,就会从网页上下载一个定向文件(asx文件),该文件描述了包含用户所选择会议的服务器的IP地址和会议在服务器上的存储位置。客户端的Windows Media Player读取该文件并向服务器发出请求,服务器做出应答并向客户端发送节目流,Player接收节目流以后开始播放。
配置清单
设备名称 流服务器 型号 IBM或其他专用服务器 IBM或其他专用服务器 描述 550MHZCPU/1GRAM/18G/17” 550MHZCPU/1GRAM/18G/17” WEB SERVER和应用服务器(安装流媒体会议管理系统) 第 49 页
电子政务应用体系建议书
制作端 采集卡 PC机(多媒体) OSPREY1000 PIII800/256M/6G/15” 音频/视频采集功能 PIII800/128M 客户端
PC机(多媒体) 4.2.4 IP电话系统
需求分析
用户建立语音网和数据网两网合一新型呼叫中心,利用NBX网络通信平台系统的诸多技术优势来实现统一、高效、低成本的网络通信系统;
用户网络结构分为省,地市和县三级,之间全部通过一定量的带宽连接连接。利用NBX网络通信系统中心将语音通过数字线路进行传输,使各个分机之间的相互通讯(包括传真)变得免费而高效。
充分利用已有的网络设备,做到成本最小化。
需要保证IP话音质量,且通信设备要有COS,QOS保障
系统设计与实现
1、设计原则
保证系统的开放性、兼容性,采用成熟的技术,以保证系统的可靠性和简单性,在选择设备时,应该考虑它是否支持国际标准,以便能与其它网络、计算机设备进行互连;
使系统具有可扩充性,随着用户的发展,可能会扩大系统的容量,在方案中应充分考虑到它的可递延性、分布性和标准的统一性,以方便灵活地适应用户不断变化的业务需求。整个系统在建成后5年乃至于更长的时间内能够胜任不断膨胀的通信量、新技术和业务发展的需求。
在保证基本功能的前提下,尽量采用简单明了的方案以降低系统成本。 2、系统结构
基于用户的需求和用户的实际情况,提供可行的实施方案。
第 50 页
电子政务应用体系建议书
使用3COM NBX SuperStack3网络电话系统和NBX100相结合的方式。 用户分为省,地市和县三级。
首先省级部分包括有4个分布式办公单元,且相互之间已有带宽连接,总的办公人员也相对较多,所以在省级部分使用系统容量较大的NBX SS3系列产品(支持1500个设备),NBX SS3主机可放置在4个办公室中的任意一个,其他办公室只需将NBX 数字话机插在本地的网络交换机上就可以实现电话互通。
其次有16个地市级的办公单元,每个的地市级以及各个所属的县级的办公人员数量相对较少,在此可采用16个NBX 100系列产品(支持150电话),将NBX100主机放置在每个地市级的办公室,在其所属的县办公室里的NBX数字话机也只需连接到本地的网络交换机即可。
具体的连接方式:
省级:将NBX SS3网络呼叫处理器及NBX SS3机箱放置在1个省级办公单元中心机房,通过处理器和机箱上带有的10/100上行端口连接到中心网络交换机(Switch),NBX数字电话自带有两个10/100网络接口,其中一个可与本地网络交换机连接,如果需要连接电脑的话,则从另一个网络接口跳线至电脑网卡即可。NBX数字话机的所有信息均储存在NBX处理器硬盘中,所以当NBX数字话机的位置发生改变时,它所有的设备都不会有任何的改变。在省级的另外3个办公室内,NBX数字电话也直接通过RJ-45适配器连接到自己办公室的网络交换机(Switch),再通过4个办公室之间的宽带实现通讯。
地市级及下属县级:将NBX100主机放置在地市级办公室,通过NBX100主机上的10/100上行端口连接到中心网络交换机(Switch),数字话机及和电话连接方式与省级相同,由于各个县级-〉地市级-〉省级之间都有带宽做保障,所以在总共三级的办公室里的任何两部NBX数字话机都可以相互通讯。
NBX100和NBXSS3之间通过H.323网关做连接,可以使一路通话只占用19.2k的网络带宽。但需要一台P3 800Hz的2000/NT Server支持
如果有外线需求,可通过NBX提供的三中外线卡来实现,包括模拟线路卡,ISDN BRI卡,E1 PRI数字线路卡
第 51 页
电子政务应用体系建议书
系统组成部分
NBX主要包括以下部分:NBX SS3网络呼叫处理器、NBX 100呼叫处理器,NBX数字话机、NBX软件许可证。 NBX网络电话系统组成 3Com产品型号 NBX 网络呼叫处理器 管理所有进出 SS3 NBX的呼叫数据流,控制内置应用程序套件,外部应用程序网关连接以及话机附属设备连接 MoH,外NBX SS3 呼部报警系统.呼叫处理起包括支持750个NBX设备,9种语3C10203-AA 叫处理器 言,APX 4端口/400小时的语音留言系统.2个弹性10/100上行端口,一个系统硬盘,2个自动调节的110/220V,50/60HZ的AC电源和一根8英尺的电源线. NBX 100 机框3C10111 APX30M/4P电源,1个8英尺的电源线,可安装在19英寸架子 系列 管理所有进出 100 NBX的呼叫数据流,控制内置应用程序套NBX 100 网件,外部应用程序网关连接以及话机附属设备连接 MoH,外3C10110 络呼叫处理部报警系统.一个10BASE-T MDI上行连接端口,一个器 10BASE-2 BNC上行连接端口.支持200个NBX设备.包括1个系统硬盘,支持9种语言和一套产品文件 License NBX ConneXtion基于软件的H.323网关,许可证可支持4个并发VoIP H.3233C10142 s 4-端口 用会话.可安装在WINDOWS NT/2000的工作站或服务器下 户许可证 NBX 3C10147 ConneXtion会话.可安装在WINDOWS NT/2000的工作站或服务器下 基于软件的H.323网关,许可证可支持32个并发VoIP H.323 提供6个通用槽,提供4个自动值班服务和30分钟的语音留- 言系统的许可证,1个可调节的的110/220 V,50/60 Hz AC模块名称 模块描述 第 52 页
电子政务应用体系建议书
s 32-端口 用户许可证 IP 3C10132 完成呼叫后,NBX IP运行时站点许可证可根据所有基于LANOn-The-Fly 的设备返回到NCP\"池\"中的IP地址,允许所有本地和远程站点许可证 NBX电话和模拟线路卡端口可在第3层用作\"IP电话\"使用. 电话和其它配件 3个可编程序的钮,4专用的特点钮,2x16 液晶显示屏和3NBX 业务电3C10248B-AA 话 器和一个自适应110/220,50/60赫兹交流电变压器。 个按键,集成了10/100 兆HUB连接端口,RJ-45以太网连接
NBX网络通讯系统功能
3Com NBX SS3通信系统提供99.999%的可靠性--这意味着在 每1000个操作小时中预定的停机时间不过是一分钟。
3Com NBX SS3通信系统将电话系统的控制权直接交到了管理员和用户的手中。对于系统管理员,NBX NetSet管理实用程序提供了真正的突破--简单的、系统范围的管理。利用NetSet实用程序,所有常规的管理功能都通过标准网络浏览器完成,如Netscape Navigator或Microsoft Internet Explore。通过最少的培训,任何人都能学会如何添加新用户和快速完成系统范围内的修改。添加新用户就像连接一部NBX SS3业务电话一样简单,只是需要完成一些菜单选择。
NBX SS3系统通过允许用户指定帐号代码的方式控制成本--甚至可用于主呼叫方--同时可在CDR中跟踪使用情况。例如,如果法律机构的某个合作伙伴收到了一个客户的呼叫,该合作伙伴就可按下一个功能键然后将该客户的帐号键入系统以用于记录和付费之目的。
各组织机构可计划其NBX SS3系统每天最多四次进行不同的响应。这些用户定义的每一种服务模式,如打开、关闭、启动及其他--都可链接到某个特定的操作时段。每种服务模式都有其自动值班服务和呼叫路由路径。尽管这些服务模式是自动的,它们 也可进行人工转换。
3Com NBX SS3系统包括免费的TAPI启动软件,允许最终用户利用CTI带来的
第 53 页
电子政务应用体系建议书
许多好处。3Com NBX SS3系统支持TAPI2.X,它是一种Microsoft电话技术应用程序编程界面标准,这种标准使得用户能够集成第三方CTI程序以完成像客户关系管理这样的高级办公应用。
3Com NBX SS3系统用户还可通过创建多达99个自动值班服务来自定义入站路由。每个人站线路或DID(直接输入拨号)号码都可设置自己的客户欢迎词(包括根据时间设置不同的欢迎词)、主菜单和子菜单选项。这种功能使得组织机构可以根据办公地点、部门或分支机构进行数据分流。甚至共享同一批办公人员的两个不同的商业入口都可有其自己的自动值班服务。
NBX SS3系统同时支持线性和循环连号组(最多可达96组),用于呼叫中心应用程序,如客户服务、技术支持以及排序服务。在进行线性连号时,用户被分成了公用一个组分机号码的若干组。入站呼叫总是用相同的方式处理,以连续的、预定义的(顺序的)次序,在连号组中,会对呼叫进行动态处理,而且会将呼叫自动提交给下一个可用的组成员;这有助于保证呼叫不被丢失,并且所有的用户可共享呼叫资源。如果在组中没有可用的成员,系统就将呼叫方放入一个队列或提供轮流的作用范围。连号组也有密码保护。不断成长的商业机构通常只有有限的管理人员,并且希望所有雇员分担接待员的角色。利用3Com NBX SS3通信系统,这些公司能够建立多达96个呼叫组来管理呼叫流--甚至安排自动值班服务来应答电话。
在某个用户不能处理呼叫时,APX信息传输模块利用个人欢迎词对呼叫提供应答服务。管理员可将系统设置为马上或在2-8次振铃后,将呼叫方转发到APX信息传输。 APX系统会通过亮起NBX SS3电话的LED“信息等待”灯来提示用户有新的信息,同时电话的内置显示会告诉用户新信息的数目。利用NBX SS3系统,检索信息也只需简单地按下“MSG”按钮,然后输入密码。 如果用户不在现场,APX信息传输可通过寻呼机、电话或移动电话通知他们出现信息--不论他们在哪里。还可利用所有按键式
电话轻松完成语音信息的检索。NBX SS3系统将通过备用号码,包括您的寻呼机来通知您出现了新信息。利用APX信息传输,每个用对如何进行呼叫和信息处理都有其特殊的方式。用户可以建立自己的邮箱;创建个人欢迎词;以及通过保存、删除、答复、全部答复以及带有保密和/或紧急标志转发信息来管理新旧信息文件夹。用户同样还可根据姓名、分机号码或分发列表将快速和简单的信息提交给工作组的其他同
第 54 页
电子政务应用体系建议书
事。
系统管理与维护
NBX网络电话系统的管理拥有NBX SS3通信系统,定制您的电话系统将变得格外轻松。除了为新用户提供培训之外,用户界面友好的NBX NetSetTM管理工具使用户能够亲自设计众多电话特性,从语音拨号号码到振铃音色。每一个NBX SS3系统均免费提供NBX NetSet管理工具。
系统管理同样轻松自如。管理员通过使用标准因特网浏览器,如Netscape Navigator或Microsoft Internet Explorer,就能够简单、经济地在本地或远程位置增加新的用户,或执行用户或全系统变更。没有高昂的服务呼叫。无需专业技术人员。最优异的特性是,不必再进行漫长的等待。因为变更瞬间即可完成,所以您的系统和其用户表总是能够保持最新的状态。
3Com NBX SS3通信系统将电话系统的控制权直接交到了管理员和用户的手中。对于系统管理员,NBX NetSet管理工具程序提供了真正的突破-简单的、系统范围的管理。利用NetSet,所有常规的管理功能都通
过标准网络浏览器完成,如Netscape Navigator或Microsoft Internet Exp1orer。通过最少的培训,任何人都能学会如何添加新用户和快速完
成系统范围内的修改。添加新用户就像连接一部NBX SS3业务电话一样简单,只需要完成一些菜单选择。由于NBX 商用电话是一种智能设备,它可保存自己的\"身份\",因此用户可方便地改变办公地点可以是公司网络中的任何位置。此外,它的管理工作是基于Web的,因此管理员能够在网络中的任何桌面系统中进行改变操作,不论是在本地还是远程。
4.3外网政府信息服务网站软件设计
本子系统的目标是为电子政务系统提供一个在线的“知识中心”,使电子政务实践者具有一个在线知识帮助系统。
第 55 页
电子政务应用体系建议书
“信息处理系统”在系统中定位
信息处理系统是电子政务核心支持系统的第二个主要部分,它为整个核心业务提供知识上的支持。
尽管本系统对省内居民和企业从电子政务系统中没有获得直接的效益,但通过内部电子化的效益提高,会对居民和企业从电子政务系统中得到间接的利益,比如,电子政务实践者会通过本系统的知识消化而进行政务的制度创新、流程优化而让居民和企业得益于电子政务。
“信息处理系统”功能描述
本系统主要是完成的工作主要是信息采集、加工、处理、传递,信息发布、查询等。将政府的最新消息、最近处理政务的结果、政务处理过程等一定的工作公开化、透明化,进一步的加强与民众的沟通,拉近了政府与民众之间的距离,增强政府的形象。
1) 新闻报道
本功能主要是将领导的重要活动、政府部分的重要举措、最新的政策法规、机构变更、行政审批方式的革新、政府的规划等重要信息,作一个及时的报道,就象电视的新闻一样,让民众、企业、政府机构快速知道这些信息。
2) 政务信息
本功能用于实现政务信息采集、选编、出刊、送阅电子化。
3) 电子刊物
本功能主要用于实现所有内部刊物电子化,取消纸质刊物。电子刊物来源有:现有应用系统形成的数据报表、相关部分发行的刊物、其他机构或部门的内部参考刊物、新闻出版机构的电子刊物等。电子刊物的优点是传播方式简单快捷,便于管理、再利用(编写文档、资料的参考)。
4) 政务公开
本功能是把各部门的机构设置、机构职能、办事程序、办事依据、经办人员、办理结果等内容在网上公开,便于公民了解政府的组织机构、办事程序、联系方式、办事时必备的资料与手续,能够在进行行政审批前作好充分的准备,节省公民、企业、
第 56 页
电子政务应用体系建议书
公务员的时间,进一步的提高工作效率。
5) 财政公开
该功能用于公开各单位的财务收支情况,让公民监督政府的财务开销,有利于谦政的建设。因为该功能是将财务系统的报表发布到网上,让公民通过Internet可以查看到财务报表,所以必须面临一个数据安全的问题。
6) 搜索引擎
该功能主要则对新闻、政务信息、电子刊物、机构职能、办事程序、办事依据、财政情况等信息。
政府网站系统技术实现设计
1. 分类 一级分类 政务公开 便民服务 二级分类 省资源库 居民报税 企业年检 。。。。。。 综合新闻 财经新闻 科技教育 文化体育
2. 内容类及其发布活动 内容结构对象定位、属性定义: 一级对象 政务公开 二级对象 政府开支(内容类) 政府开支提交(内容活动) 政府开支审核发布(内容活动) 税务局开支(内容类) 税务局开支提交(内容活动) 税务局开支审核发布(内容活动) 。。。。。。 工商局开支(内容类) 工商局开支提交(内容活动) 工商局开支审核发布(内容活动) 三级对象 属性:提交日,提交人,审核人,标题,内容概况,附件 属性:提交日,提交人,审核人,标题,内容概况,附件 属性:提交日,提交人,审核人,标题,内容概况,附件 第 57 页
电子政务应用体系建议书
便民服务 综合新闻 省资源库 身份证报失 居民报税 企业年检 。。。。。。 综合新闻(内容类) 综合新闻发布(内容活动) 财经新闻(内容类) 财经新闻发布(内容活动) 科技教育(内容类) 科技教育发布(内容活动) 文化体育(内容类) 文化体育发布(内容活动) 财经新闻 科技教育 文化体育 属性:提交日,发布人,标题,内容,相关图片1,相关图片2,关键词 属性:提交日,发布人,标题,内容,相关图片1,相关图片2,关键词 属性:提交日,发布人,标题,内容,相关图片1,相关图片2,关键词
3. 应用集成
在三个应用活动(报失申请、报税登记、年检登记)的流转规则中均要使用HTTP引擎动作,以将XML格式的三类文件:报失单、报税登记单、年检登记单送入政务内网。
第 58 页
电子政务应用体系建议书
小结
本部分对电子政务软件系统从实现的角度进行了从软件系统结构到局部实现、由逻辑到物理的全面描述。
系统结构的重点是电子政务平台可以为整个电子政务系统提供一个一体化的解析平台和一套架构工具,使电子政务系统不仅能在目前快速搭建高度结构化的电子政务应用系统,而且可以为适应未来而只进行柔性的结构管理就能适应我国电子政务生命期长,业务改革大的实际需要,并且由于有一个统一的基于目录服务的元存储系统,能保证现在的、不断变化的、未来的应用系统均能进行无缝的集成。
除了平台本身和各应用的实现说明,对整个电子政务系统非常重要的方面是为保证其它扩展开发的软件部分交互、与平台交互,而进行了标准化方面的约定说明。
第 59 页
电子政务应用体系建议书
5 安全建议
网络安全核心理念在于七分管理,三分技术。
建设安全的电子政务网络是电子政务建设的核心。电子政务的安全建设7分靠管理,3分靠技术。即安全管理是信息安全的关键;人员管理是安全管理的核心;安全策略是安全管理的依据;安全工具是安全管理的保证。在技术层面,华为提供防御、隔离、授权、认证等多种手段为网络安全提供保证;在设备层面,华为自主开发的国产核心路由器、交换机、防火墙设备和统一的网络操作系统VRP可以保证电子政务网络安全。
建设可靠的电子政务网络是电子政务建设的保证。可靠性包括网络级的可靠性,设备级的可靠性,应用级的可靠性,系统级的可靠性四个方面。网络系统的稳定可靠是应用系统正常运行的关键保证,在网络设计中选用高可靠性网络产品,合理设计网络架构,制订可靠的网络备份策略,保证网络具有故障自愈的能力,最大限度地支持政务网络各业务系统的正常运行。电子政务解决方案包括网络级的SDH环网技术,RPR环网技术,星环结构,VRRP网络节点的热备份协议,保证网络级的高可靠,高可用性。设备级的高端产品提供双主控,双交换,双总线,热插拔,多电源技术保证网络设备的5个9的高可靠性。具有我国自主知识产权的VRP网络操作系统通过裁减技术广泛应用与华为公司的网络产品,极大的提高了设备的稳定性。系统的可靠性是由华为的解决方案来个性化的定制构架,策略,产品,方案,技术,综合解决的系统工程问题。
建设可管理的电子政务网络是电子政务建设的手段。可管理性分为网络级,设备级,用户级三个层次的管理,由他们构成电子政务网络的智能性。通过提供智能性的网络,降低政府运行成
第 60 页
电子政务应用体系建议书
本,提供工作效率,达成电子政务建设的目标。华为公司解决方案中网络级的iManager N2000管理系统,设备级的Quidview管理系统,用户级的CAMS管理系统,可以全面保证电子政务网络的高可管理性。
下面从技术的角度来讨论网络安全问题。
7. 5.1 网络安全及技术
TCP/IP协议的开放性是其优点,但同时也带来了安全性方面的问题,网络安全成为政府行业使用网络技术必须要面对的一个实际问题。目前,网络上存在着各种类型的攻击方式,主要包括:
1.网络级攻击
窃听报文 -- 攻击者使用报文获取设备,从传输的数据流中获取数据并进行分析,以获取用户名/口令或者是敏感的数据信息。特别是通过Internet的数据传输,存在时间上的延迟,更存在地理位置上的跨越,要避免数据不受窃听,基本是不可能的。
IP地址欺骗 -- 攻击者通过改变自己的IP地址来伪装成内网用户或可信任的外网用户,发送特定的报文以扰乱正常的网络数据传输,或者是伪造一些可接受的路由报文(如发送ICMP的特定报文)来更改路由信息,以窃取信息。
源路由攻击 -- 报文发送方通过在IP报文的Option域中指定该报文的路由,使报文有可能被发往一些受保护的网络。
端口扫描 - 通过探测防火墙在侦听的端口,来发现系统的漏洞;或者事先知道路由器软件的某个版本存在漏洞,通过查询特定端口,判断是否存在该漏洞。然后利用这些漏洞对路由器进行攻击,使得路由器整个DOWN掉或无法正常运行。
拒绝服务攻击 -- 攻击者的目的是阻止合法用户对资源的访问。比如通过发送大量报文使得网络带宽资源被消耗。Mellisa宏病毒所达到的效果就是拒绝服务攻击。最近拒绝服务攻击又有了新的发展,出现了分布式拒绝服务攻击,Distributed Denial Of Service,简称DDOS。许多大型网站都曾被黑客用DDOS方式攻击而造成很大的损失;
2.应用级攻击
第 61 页
电子政务应用体系建议书
有多种形式,包括探测应用软件的漏洞、\"特洛依木马\"等; 3.系统级攻击
不法分子利用操作系统的安全漏洞对内网构成安全威胁。 另外,网络本身的可靠性与线路安全也是值得关注的问题。
网络构建及组成中,网络设备仅完成网络级安全的防范。针对以上提到的各种安全隐患,安全网络设备必须具有如下的安全特性:可靠性与线路安全、身份认证、访问控制、信息隐藏、数据加密、攻击探测和防范、安全管理等方面的内容。
一个全面的网络级安全解决方案,应该包括线路可靠、用户验证、授权、数据保护、智能访问控制等等。所具备的安全技术包括:
CallBack技术:利用身份及固定号码双重拨号网络的安全;
备份中心:管理各种线路,提供灵活的备份策略以保证网络互联的可靠性; AAA、CA技术:提供网络用户的认证和授权;
包过滤技术:网络访问控制,只有合法的用户才能访问网络; 地址转换:隐藏内网信息;
VPN技术:虚拟私有网,保护数据传输; 加密与密钥交换技术:数据传输保密; 智能防火墙:攻击检测; 安全管理:安全策略生成与维护;
VLAN划分:控制域网互访,还可以大幅提高网络的效率,减少广播风暴的影响。
8. 5.2政务网安全组网建议
完整的安全体系结构应覆盖系统的各个层面,由“网络级安全、应用级安全、系统级安全和企业级安全”四大部分组成。
网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障政务网的安全;应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制,在应
第 62 页
电子政务应用体系建议书
用层保证对政务网各种应用系统的信息访问合法性;系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和主机监控,防止不法分子利用操作系统的安全漏洞对政务网构成安全威胁;企业级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障政务网的安全。因此作为一个完整的系统,政务网必须对网络系统进行全方位的考虑。
5.2.1骨干网安全设计建议
网络设备完成网络级安全的防范。针对各种安全隐患,安全网络设备必须具有如下的安全特性:可靠性与线路安全、身份认证、访问控制、信息隐藏、数据加密、攻击探测和防范、安全管理等方面的内容。
对于骨干网,可以从以下几个方面进行安全防范: A、设备间互连安全
设备进行远程互连时,需要进行相互认证,以确定对端为合法的操作者或连接者。可在口令及物理线路上双重保护网络的安全。
B、局域网安全:
在局域网上实现此功能的主要手段是VLAN技术,详细的说即接入网络的主机的MAC地址、IP地址、VLAN_ID、端口号、用户名、口令等关键参数绑定,802.1X的认证,做到基于以太网交换机端口的VLAN(IEEE 802.1Q),配合路由器网关的访问控制列表,可以有效控制内网的无授权访问,保证网络内的安全。
C、广域网的安全
物理断开(核心网与其他网络),物理隔离(政务专网与外网),MPLS-VPN(政务专网内部),及链路数据加密功能,协议支持IPSec, IKE,AH和ESP等,散列算法支持MD5和各种SHA,加密算法支持从独特的硬件加密算法到3DES。
下图是MPLS-VPN和加密技术在电子政务网上的应用
第 63 页
电子政务应用体系建议书
D、设备级安全
设备级安全主要指保障设备配置不被非法篡改或者查阅。实现此级安全的措施包括如下几方面的建议:串口配置LOGIN口令,系统配置ENABLE口令,配置TELNET登录口令,广域网口配置列表过滤非指定地址段的TELNET请求。
5.2.2INTERNET接入安全设计
安全是一个多方面结合的系统问题,目前没有绝对安全的INTERNET互连解决方案,从现在许多安全事例统计发现,管理问题在安全问题里显得非常突出。因此,要加强网络的安全,不仅从技术上,更重要的是从管理上切实进行实施和执行。
政务网是一个安全性要求很高的Intranet,从安全的角度考虑,政务网分为核心政务网,政务专网和外网,外网主要的任务就是连接Internet,对外提供服务。外网需要利用多种技术来保障网络的安全。通过NAT可以隐藏内网络的信息;设置防火墙,在需要时甚至可以对应用层内容进行过滤,如可防止泄密、防网上攻击等;设置Proxy可以对上网人员进行认证及管理,对抗逆向攻击;起动ISPKeeper功能有效防止网上流量攻击。电子政务网将上述结合起来使用,以保护网络的安全。
第 64 页
电子政务应用体系建议书
5.2.3局域网计算机接入安全设计
由于局域网内部的有些计算机既要访问政务专网,也要访问核心政务网,这就出现了当计算机从政务专网切换到核心政务网时,如何防止内网中信息泄露的问题,我们提供了如下几套方案:
方案一:按照访问Internet的迫切性和政府职能的级别进行规划,给重要领
导配置两台计算机,一台用于访问政务专网,一台用于访问核心政务网。
方案二:对重要领导依旧采用配置两台计算机的方式,对于其它的计算机则
采用在计算机中配置双硬盘,一块硬盘用于连接政务专网,另一块硬盘则用于连接核心政务网。采用双硬盘可以保证,每次内外网进行切换时,计算机都需要进行重启,这样就使得驻留在内存中的一些资料可以得到彻底清除,从而保证内网的信息不被泄露。
方案三:对重要领导依旧采用配置两台计算机的方式,对于其它的计算机则
采用在计算机中配置双网卡,一块网卡用于连接政务专网,另一块网卡则用于连接核心政务网,两网的切换只需要在操作系统中进行相应的禁止操作即可。这样可以保证切换速度。
以上三种方案具体选用那一种可根据实际情况选用,也可以采用双机、双硬
盘和双网卡混用的方式来组网。
第 65 页
电子政务应用体系建议书
9. 5.3专用安全产品
5.3.1防火墙
1)验证特性:
提供完善的AAA(验证、授权、计费)服务。
支持RADIUS(Remote Authentication Dial In User Service,远端用户拨入验证业务)。
支持本地用户管理。
支持对Telnet、L2tp、PPPOE接入等用户,进行验证、授权、策略的管理。 2)包过滤防火墙特性:
提供完善的包过滤防火墙特性,
可以根据IP包的目的地址、源地址,TCP/UDP的目的端口、源端口,ICMP报文的类型、Code等信息进行包过滤。
可以针对分片报文指定专门的过滤规则。 可以针对分片报文进行精确的四层匹配。
第 66 页
电子政务应用体系建议书
可以对违反规则的报文做日志。
配置ACL规则的时候,可以提供自动排序或者按照配置顺序排序两种规则排序方式,极大的方便了用户配置安全规则。
可以根据收到报文的接口进行包过滤,例如可以禁止从Eth0接口进入的报文从Eth1接口转发。 3)状态防火墙特性:
提供ASPF(Application Specific Packet Filter,基于应用层规范的包过滤)
特性。ASPF是一种高级通信过滤。它检查应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,每一个连接状态信息都将被ASPF维护并用于动态地决定数据包是否被允许通过防火墙或丢弃。
通过ASPF,结合静态包过滤防火墙,可以为内部网络的提供更高级的安全保护,通过ASPF的检测,可以保证所有建立的连接都是合法连接,防止地址欺骗、身份伪造等恶意攻击行为。
ASPF特性,可以支持对下列应用层程序的安全检查: 可以对普通的TCP协议进行检测。 可以对普通的UDP协议进行测试。
可以对SMTP( Simple Mail Transfer Protocol)进行检测。 可以对HTTP(Hyper Text Transmission Protocol)进行检测。 可以对FTP(File Transfer Protocol)进行测试。 可以对RTSP (Real Time Streaming Protocol)进行检测。 可以对H.323进行检测。 可以防止DoS攻击。
可以对http中的java 小程序进行检测,防止恶意的java小程序对主机造成的损害。 加密特性:
支持IETF制订的IPSec系列协议,通过采用手工配置或自动协商密钥两种方式,在传输或隧道模式下能够单独或组合应用AH(Authentication Header ,确认报头)
第 67 页
电子政务应用体系建议书
和ESP(Extended Services Processor,扩展业务处理器)安全协议,对整个IP报文或数据载荷内容进行不同粒度级别的加密和认证,从而提供验证数据源、校验数据完整性和防止报文重放等(ESP还提供加密)功能,结合ACL访问控制列表共同确保数据信息在Internet上传送的安全保密性。遵照ISAKMP(Internet Security Association and Key Management Protocol,因特网相关安全和密钥管理协议)协议框架和IKE(Internet Key Exchange,因特网密钥交换)协议实现自动密钥交换功能,简化了IPSec的使用和管理。
5.3.2综合访问认证系统
综合访问管理服务器(Comprehensive Access Manage Server)对用户进行统一的访问、安全、认证、策略管理。
用户管理:
IP电话业务信息包括:业务所属用户登录名、业务名、基本参数、策略、在线数量限制标志及限制数量、IP电话接入码限制分组、IP 电话呼叫权限分组、累计使用时长、认证失败累计次数、业务黑名单标志等
第 68 页
电子政务应用体系建议书
IP数据业务信息包括:业务所属用户登录名、业务名、基本参数、策略、在线数量限制标志及限制数量、是否固定IP及固定IP地址、LanSwitch相关信息(IP 地址、MAC地址、VLAN_ID、端口号等)、用户组、多播组、认证失败累计次数、业务黑名单标志等。这里的LanSwitch相关信息是为了提供LAN接入的端口绑定功能。
1)IP电话接入码分组管理
接入码是对于用户使用IP电话业务时所拨的特殊业务被叫号码。接入码按照不同分组进行管理,一个接入码可以属于不同的接入码组,而一个接入码组中的接入码不能重复。接入码分组管理操作包括增加、查询、修改和删除。
2)IP电话呼叫权限分组管理
呼叫权限是对用户使用IP 电话业务时对其呼叫目的地进行限制,即对允许呼叫或不允许呼叫的被叫号码或被叫字冠的管理。对允许呼叫或不允许呼叫的被叫字冠进行分组,一个呼叫权限分组可以包含多个允许呼叫的被叫字冠或不允许呼叫的被叫字冠。呼叫权限分组管理操作包括增加、查询、修改和删除。
3)LAN用户组管理
LAN用户组管理主要完成对用户组及VLAN 信息的管理。一个用户组对应一个VLAN,保证不同权限的用户做到信息隔离。
4)LAN多播组管理
LAN多播组管理主要完成对多播组的增加、修改、删除及查询。 5)LAN网络带宽管理
LAN网络带宽管理主要完成带宽的增加、修改、删除及查询功能。相关的参数有:上行峰值速率、上行基本速率、上行平均速率、下行峰值速率、下行基本速率、下行平均速率。
最终用户可以通过自助界面从列表框中选择所增加的带宽数量。 6)LAN服务质量保证等级管理
LAN服务质量保证等级管理主要完成对QoS 优先级的增加、修改、删除及查询功能。
最终用户可以通过自助界面从列表框中选择所增加的服务质量保证等级。
第 69 页
电子政务应用体系建议书
选用非实时业务时,可以选择较低的等级;选用实时业务时,可以选择较高的等级。
对于政务内网(核心涉密网),安全上最基本的是要整个网络与Internet物理隔离,建议采用国产网络设备和应用系统。
对于政务外网(政务专网),安全上要采用国产防火墙等安全产品与Internet逻辑隔离,建议采用国产网络设备和应用系统。
。
第 70 页
因篇幅问题不能全部显示,请点此查看更多更全内容