c6政府版解決方案模板

XX政府電子政務(wù)系統(tǒng)總體設(shè)計(jì)建設(shè)方案金和軟件

目錄TOC\o"1-2"\h\z\u第一章xx政府電子政務(wù)系統(tǒng)建設(shè)方案總體概述 手寫簽批：通過手寫屏或手寫筆，能夠直接在各種格式的原文件上進(jìn)行親筆批注，使文件的審核、簽批更清晰、更容易，因而，受到很多單位領(lǐng)導(dǎo)的喜愛。采用鍵盤輸入時(shí)，能夠標(biāo)識出插入、刪除的文字和修改人的身份。公文模板維護(hù)：在公文流轉(zhuǎn)中，需要不同的公文模板，在公文管理模塊中提供了自由定義公文模板的功能，設(shè)置模板的類型，可以增加、修改、刪除。內(nèi)部請示實(shí)現(xiàn)了單位內(nèi)部人事、請假、申請等流程的網(wǎng)上審批。系統(tǒng)提供多種固定模板供用戶使用，用戶也可以自定義設(shè)置工作流：自定義請示流程、請示類型和請示模板。主要用于內(nèi)部事項(xiàng)的申請，提供流程監(jiān)控、跟蹤、催辦和查詢。支持審批過程尋呼和短信通知。檔案管理工作流流轉(zhuǎn)后直接預(yù)歸檔：此功能與工作流管理系統(tǒng)結(jié)合，支持公文流轉(zhuǎn)和由表單定制子系統(tǒng)定制的電子表單流轉(zhuǎn)后的直接歸檔；按照部門歸檔，檔案文件歸檔到歸檔人或者檔案管理員所在的部門。上傳文件預(yù)歸檔：上傳文件預(yù)歸檔是對客戶端的各種檔案文件進(jìn)行上傳文件歸檔，按照部門歸檔。檔案文件的修改：提供檔案管理員對于本部門已經(jīng)歸檔的檔案文件屬性等基本信息可以進(jìn)行修改功能，但對檔案的內(nèi)容任何人都無權(quán)修改。案卷管理：給檔案管理員提供通過組合查詢對本部門的檔案文件進(jìn)行組卷、拆卷和案卷的基本信息的修改。檔案文件檢索和申請借閱：擁有檔案借閱權(quán)限的用戶可以對系統(tǒng)中所有檔案進(jìn)行檢索，檢索按照組合條件進(jìn)行，然后用戶可以對檢索到的檔案文件提出借閱申請，等待檔案管理員的審批。檔案借閱審批：提供擁有審批權(quán)限的人員具有對已經(jīng)被借閱的本部門檔案進(jìn)行審批。對于通過審批的借閱檔案可以賦予借閱人“普通借閱”和“特殊借閱”的權(quán)限，具有普通借閱權(quán)限的借閱者只能查看此檔案的最終正式檔案文件，具有特殊借閱權(quán)限的借閱者可以查看同此檔案文件有關(guān)的所有工作流流轉(zhuǎn)中相關(guān)的內(nèi)容，包括檔案文件的各個(gè)版本和審批意見等有關(guān)電子文檔的內(nèi)容。公開的檔案文件：檔案管理員在進(jìn)行檔案文件預(yù)歸檔的時(shí)候可以對檔案文件的查看方式進(jìn)行選擇，對于保密級別低的文件可以選擇為可公開的文件，歸入相應(yīng)的類別中，使每個(gè)普通用戶可以在前臺直接進(jìn)行檔案文件的查看。檔案文件的備份和移交：系統(tǒng)中檔案文件按照保存時(shí)間自動(dòng)保存在檔案服務(wù)器磁盤中年、月、日相應(yīng)的目錄下，便于進(jìn)行檔案的備份、維護(hù)和移交，支持定期的自動(dòng)備份。與其他檔案軟件的接口：檔案內(nèi)容可以通過接口導(dǎo)入到國家檔案局要求的檔案管理軟件中。簽章管理對系統(tǒng)中的圖片印章的使用人員范圍進(jìn)行管理，并且提供文檔加密/解鎖功能，在用戶無須使用帶UKEY的電子印章的情況下，保障電子印章在系統(tǒng)內(nèi)的使用安全。個(gè)人事務(wù)平臺個(gè)人事務(wù)平臺是為用戶提供的日常工作平臺，并且通過工作日志、我的日程、工作任務(wù)、計(jì)劃總結(jié)、便簽的有機(jī)結(jié)合，實(shí)現(xiàn)數(shù)據(jù)互相轉(zhuǎn)換，達(dá)到用戶方便工作、提高工作效率的目的。工作日志用戶每天可以隨時(shí)記錄當(dāng)天的工作情況，還可方便的將工作任務(wù)、日程或便簽生成工作日志，記錄工作中出現(xiàn)的問題、匯報(bào)工作進(jìn)展結(jié)果、總結(jié)工作心得，并可通過明天提示來提醒自己第二天的工作安排。日后用戶可以查詢歷史工作記錄，并可將工作日志進(jìn)行匯總，形成工作周報(bào)、月報(bào)等，方便進(jìn)行工作總結(jié)。領(lǐng)導(dǎo)可以查看所管轄范圍內(nèi)的用戶的工作日志，并可作出批示、指導(dǎo)工作。我的日程用戶可以在我的日程中預(yù)定工作安排，并可預(yù)先設(shè)置固定提醒或循環(huán)提醒時(shí)間，通過系統(tǒng)或短信提醒自己重要的工作安排，使工作能夠井井有條。用戶還可將自己的日程公開給設(shè)置好的公開范圍內(nèi)的人員，方便其他人了解當(dāng)天的日程好進(jìn)行相關(guān)的工作安排。系統(tǒng)還提供了日程查詢和匯總功能供用戶對歷史日程記錄進(jìn)行了查詢和匯總總結(jié)。工作任務(wù)實(shí)現(xiàn)上級管理部門/領(lǐng)導(dǎo)進(jìn)行任務(wù)、工作分配和布置，承辦人員/部門可隨時(shí)匯報(bào)任務(wù)進(jìn)展情況，領(lǐng)導(dǎo)即可隨時(shí)動(dòng)態(tài)掌握事情執(zhí)行進(jìn)度和情況，并可隨時(shí)指導(dǎo)和批示。系統(tǒng)還提供系統(tǒng)自動(dòng)提醒、短信、人工催辦等提醒方式實(shí)現(xiàn)對任務(wù)承辦人員的催督，促使任務(wù)及時(shí)辦理。系統(tǒng)中“日志”、“日程”、“計(jì)劃”、“任務(wù)”有效結(jié)合，可以通過工作任務(wù)自動(dòng)生成工作計(jì)劃和日程安排，也可以通過工作日記自動(dòng)生成工作總結(jié)，并將工作總結(jié)作為任務(wù)執(zhí)行結(jié)果進(jìn)行匯報(bào)，領(lǐng)導(dǎo)可以通過匯總下屬的計(jì)劃形成任務(wù)。個(gè)人計(jì)劃計(jì)劃分部門計(jì)劃與個(gè)人計(jì)劃?？梢园粗?、月、季、年四個(gè)時(shí)間段來做。如果是職員則只需要做個(gè)人計(jì)劃，做好后提交給領(lǐng)導(dǎo)審批。領(lǐng)導(dǎo)還可以匯總職員的計(jì)劃生成本部門的工作計(jì)劃，并和個(gè)人計(jì)劃一起上報(bào)更高級的領(lǐng)導(dǎo)。領(lǐng)導(dǎo)可以修改下屬計(jì)劃中不合理的地方，系統(tǒng)自動(dòng)通知對方，對方同意后計(jì)劃開始生效。當(dāng)計(jì)劃生效時(shí)將自動(dòng)轉(zhuǎn)化為任務(wù)，在執(zhí)行時(shí)布置者和執(zhí)行者中任意一方如要有變化：例如修改內(nèi)容、推遲時(shí)間、終止任務(wù)等，都需要另一方同意，系統(tǒng)會(huì)自動(dòng)通知另一方。另一方必須點(diǎn)擊“同意”，該修改才能生效。計(jì)劃完成一項(xiàng)就填寫進(jìn)度為100，系統(tǒng)自動(dòng)通知上級檢查。我的流程用戶可以通過我的流程，實(shí)時(shí)查詢發(fā)起、處理和權(quán)限范圍內(nèi)的流程審核的當(dāng)前環(huán)節(jié)，跟蹤流程審批情況，并可對流程進(jìn)行催辦、撤回、補(bǔ)充意見等等操作，催辦消息可以通過系統(tǒng)提醒、短信等方式，及時(shí)通知相關(guān)辦理人員，保證工作的順利進(jìn)行，解決用戶在實(shí)際使用流程過程中的各種問題。我的便簽類似于日常使用的便簽條，可以隨時(shí)記錄臨時(shí)的事情或者有用的信息，并可導(dǎo)入到日記、日程，支持模糊查詢，避免信息丟失或不容易查找。電子通訊錄電子通訊錄實(shí)現(xiàn)各種聯(lián)系信息的增加、刪除、修改、導(dǎo)入、查詢功能，其中導(dǎo)入功能可以接收由Excel等多種格式的通訊錄文件，并能自由創(chuàng)建聯(lián)系人組管理，將聯(lián)系人設(shè)置為是否共享，方便單位內(nèi)部聯(lián)系信息共享。同時(shí)通訊錄與網(wǎng)絡(luò)尋呼、短信平臺、電子郵件實(shí)現(xiàn)緊密的結(jié)合，方便用戶對各類聯(lián)系信息的管理。我的助手作為用戶的好幫手，可以幫助用戶設(shè)置自己的個(gè)人信息，定制主界面的皮膚，并可設(shè)置主界面的顯示欄目和快捷菜單，定義收藏夾，方便操作；當(dāng)用戶不便對內(nèi)部請示、公文審批等進(jìn)行批閱時(shí)，用戶還能通過工作代辦設(shè)置審批流程在某一段時(shí)間內(nèi)交由其他用戶代為處理；當(dāng)用戶不在電腦旁，還能通過系統(tǒng)鎖定功能將系統(tǒng)鎖定，這樣即可保證自己的數(shù)據(jù)信息安全。3.4.5信息發(fā)布平臺可根據(jù)信息來源和分類自由定制信息欄目、發(fā)布信息，實(shí)時(shí)或滾動(dòng)顯示新聞動(dòng)態(tài)、通知公告、電子期刊、制度、簡報(bào)、公共信息等，并且涵蓋了所有信息從起草、審閱、查詢到統(tǒng)計(jì)的各個(gè)環(huán)節(jié)，信息發(fā)布之后會(huì)在政務(wù)門戶和個(gè)人工作臺上實(shí)時(shí)顯示，用戶能夠快速獲取最新的信息。3.4.6網(wǎng)絡(luò)尋呼網(wǎng)絡(luò)尋呼是一種比還方便的異地溝通及管理工具。它既具有的即時(shí)性，又克服了的不可重現(xiàn)性，還帶有與郵件同樣的附件功能，比郵件又簡單易用?？梢哉f綜合了三者的優(yōu)點(diǎn)。它以樹狀組織結(jié)構(gòu)圖的形式顯示尋呼列表。實(shí)現(xiàn)在線實(shí)時(shí)交流，離線留言，工作任務(wù)提醒等功能?？梢渣c(diǎn)擊每人的名字了解到他（她）的照片和部門、職務(wù)、等基本信息。發(fā)送消息時(shí)可在列表中直接點(diǎn)選人員或選擇按組發(fā)送，并可以掛若干文件作為附件（要求大小不超過50MB）。不論對方在何地，數(shù)秒鐘內(nèi)在其屏幕上就會(huì)自動(dòng)彈出窗口，顯示您發(fā)的消息內(nèi)容。如對方不在線則可以同時(shí)發(fā)短信息到對方上，內(nèi)容是“張三（發(fā)尋呼人的名字）呼：內(nèi)容……”。對方可以直接用回復(fù)短信到尋呼里。方法和用普通回復(fù)短信一樣，回復(fù)的內(nèi)容會(huì)自動(dòng)在收尋呼人的桌面上彈出尋呼窗口。用戶自己發(fā)的短信自己能查詢到。系統(tǒng)管理員可以統(tǒng)計(jì)出每人發(fā)短信的數(shù)量。發(fā)短信費(fèi)用和用發(fā)短信一樣，由單位統(tǒng)一承擔(dān)。如離線期間收到的尋呼在下次登錄系統(tǒng)時(shí)會(huì)首先彈出來讓用戶在第一時(shí)間看到。尋呼還具有對話功能?？梢詫?shí)現(xiàn)類似聊天室一樣的你一句我一句的談話功能，適合召開異地的多人小型會(huì)議，最后可以方便的整理出會(huì)議紀(jì)要。網(wǎng)絡(luò)尋呼人員列表的顯示界面，可按單位的樹狀組織結(jié)構(gòu)顯示所有人；也可只顯示自行設(shè)定的小組成員列表，便于使用者快速找到經(jīng)常需要溝通的人。尋呼列表可以展開或隱藏，每個(gè)用戶還可以根據(jù)不同篩選條件將其他人快速關(guān)聯(lián)到自己信息的某個(gè)接收群組，提高信息傳遞的效率。在網(wǎng)絡(luò)尋呼的人員列表中，可看到每個(gè)人的職務(wù)、部門、、、個(gè)人照片?？赏ㄟ^網(wǎng)絡(luò)的方式實(shí)現(xiàn)群組討論，自定義信息群發(fā)，支持附件和短信功能。支持和Internet互動(dòng)應(yīng)答，領(lǐng)導(dǎo)可以移動(dòng)辦公。信息發(fā)布者可清楚地知道所發(fā)布的信息，都有什么人看到了，何時(shí)看到的，對信息傳遞的到達(dá)情況可以控制，以保證各類信息傳遞的準(zhǔn)確性和實(shí)時(shí)性。領(lǐng)導(dǎo)可看到下屬人員交流的工作信息，及時(shí)發(fā)現(xiàn)下屬工作中協(xié)作的問題，并隨時(shí)加入到其溝通的過程中來，以便給下屬相應(yīng)的指導(dǎo)或幫助。支持審批過程中的關(guān)鍵環(huán)節(jié)尋呼短信通知相關(guān)領(lǐng)導(dǎo)以便領(lǐng)導(dǎo)及時(shí)處理急要性審批。和日程功能良好結(jié)合，支持周期性尋呼，支持自定義尋呼，可以自定義群呼。電子郵件電子郵件模塊提供與任何支持POP3/SMTP協(xié)議的郵件系統(tǒng)集成，只需要在郵件設(shè)置里輸入目標(biāo)郵箱的SMTP和POP3地址及用戶名、密碼，就可以在OA系統(tǒng)里隨意接收門戶網(wǎng)站或其他郵件系統(tǒng)的郵件，不用再登錄各個(gè)郵件系統(tǒng)即能查看郵件，極大的方便了操作。而且用戶可以通過“轉(zhuǎn)發(fā)尋呼”和“轉(zhuǎn)發(fā)知識”，實(shí)現(xiàn)與尋呼和知識模塊的即時(shí)連接，能夠方便的將收到的外部郵件轉(zhuǎn)發(fā)成尋呼傳遞至系統(tǒng)內(nèi)部用戶，實(shí)現(xiàn)了內(nèi)外信息的互聯(lián)互通，提高了信息內(nèi)外交流的效率。同時(shí)還能實(shí)現(xiàn)將內(nèi)外有價(jià)值的信息轉(zhuǎn)至知識系統(tǒng)，加入到知識地圖中，實(shí)現(xiàn)知識的積累和信息共享的目的。內(nèi)部論壇提供單位內(nèi)部日常交流、溝通、討論的空間?？梢愿鶕?jù)需要設(shè)立不同的專門版塊進(jìn)行討論發(fā)言，進(jìn)行咨詢、解答和收集意見等；也可以設(shè)立休閑專區(qū)，在工作之余用于活躍機(jī)關(guān)單位的氣氛。每人能注冊昵稱，選擇頭像，發(fā)表帖子。調(diào)查問卷政府單位中經(jīng)常需要進(jìn)行各種問題的投票調(diào)查，通過調(diào)查結(jié)果數(shù)據(jù)幫助領(lǐng)導(dǎo)了解單位內(nèi)部信息。調(diào)查問卷即可以實(shí)現(xiàn)調(diào)查問卷的錄入、發(fā)布、評測、結(jié)果統(tǒng)計(jì)，并且提供結(jié)果統(tǒng)計(jì)圖表供用戶直觀的查看。內(nèi)部博客用戶可以通過內(nèi)部博客自由發(fā)表各種文字、圖片、聲音、視頻信息，以個(gè)人的視角，以整個(gè)互聯(lián)網(wǎng)為視野，精選和記錄自己互聯(lián)網(wǎng)上看到的精彩內(nèi)容，為他人提供幫助，使其具有更高的共享價(jià)值，促進(jìn)單位內(nèi)部的信息共享和交流。3.4.7知識管理知識排行知識排行具有信息集成、知識分類、個(gè)性化展示的特點(diǎn)，具有專家排名、強(qiáng)力推薦、熱門點(diǎn)擊、最新知識等功能。通過知識排行，任何用戶都可以實(shí)時(shí)地與工作團(tuán)隊(duì)中的其他成員取得聯(lián)系，尋找到能夠提供幫助的專家或者快速連接到相關(guān)的知識。知識排行的建立和使用可以大大提高單位內(nèi)部的知識共享，并由此提高用戶的工作效率。我的訂閱用戶可以對比較感興趣的知識進(jìn)行訂閱。訂閱完成后，被訂閱類別的所有知識就會(huì)被系統(tǒng)推送至此模塊和個(gè)人工作臺上，保持用戶與感興趣的知識同步，能夠看到最新的知識。我的知識用戶可以對自己曾發(fā)布過的、自己評論過的、其他人推薦的知識進(jìn)行查詢查看。知識地圖通過系統(tǒng)的知識地圖規(guī)劃，來構(gòu)建知識地圖以及知識類型、知識條目，形成網(wǎng)狀而有序的知識地圖，對知識進(jìn)行規(guī)范化的管理。系統(tǒng)支持知識訂閱和知識推薦，方便用戶快速查看知識。全文檢索提供強(qiáng)大的全文檢索功能方便用戶快速的在龐大的知識庫中查找需要的知識信息。知識管理知識管理實(shí)現(xiàn)知識地圖的搭建，知識類型的新建、修改、刪除、移動(dòng)功能，對管理范圍內(nèi)的知識可以進(jìn)行加入精華區(qū)、批量知識的轉(zhuǎn)移、知識的修改、刪除、以及查詢功能。行政辦公會(huì)議管理會(huì)議管理實(shí)現(xiàn)對會(huì)議室、會(huì)議及會(huì)議類型的自定義設(shè)置及管理，方便根據(jù)單位實(shí)際情況對會(huì)議室及內(nèi)部會(huì)議等數(shù)據(jù)進(jìn)行有效設(shè)置，并通過會(huì)議申請可實(shí)現(xiàn)資源預(yù)定、會(huì)議沖突檢測、會(huì)議申請審批等，這樣可以解決常見的會(huì)議室資源使用沖突和參會(huì)人員時(shí)間沖突；會(huì)議審批通過后可以以系統(tǒng)提醒、尋呼、短信等多種形式通知參會(huì)人員，用戶也可設(shè)置多種查詢條件來模糊查詢會(huì)議及會(huì)議詳細(xì)信息；系統(tǒng)還提供圖形化的資源占用示意圖，會(huì)議室在什么時(shí)段被占用一目了然，方便管理。車輛管理車輛管理實(shí)現(xiàn)對車輛類型、車輛檔案、車輛歸屬的自定義設(shè)置及管理，方便根據(jù)單位具體情況對車輛的詳細(xì)情況進(jìn)行有效設(shè)置，并可通過用車申請實(shí)現(xiàn)資源預(yù)定、車輛使用沖突檢測、車輛申請審批等；領(lǐng)導(dǎo)在派車調(diào)度中審批通過后即可通過系統(tǒng)提醒、尋呼、短信等多種形式通知司機(jī)和申請人員；工作人員或司機(jī)將出車詳細(xì)情況通過出車記錄錄入至系統(tǒng)中，以便有備可查，而且在司機(jī)補(bǔ)貼統(tǒng)計(jì)中也可根據(jù)出車記錄統(tǒng)計(jì)司機(jī)的出車補(bǔ)貼；單位使用私人車輛時(shí)，也可在系統(tǒng)的私車公用登記中錄入使用的情況；車輛管理人員通過部門用車統(tǒng)計(jì)中可以很方便的根據(jù)時(shí)間段或部門等多種條件來統(tǒng)計(jì)司機(jī)或車輛的出車記錄、里程、油耗等數(shù)據(jù)，便于統(tǒng)一管理。資產(chǎn)管理實(shí)現(xiàn)對單位的各種資產(chǎn)及其使用周期進(jìn)行有效的管理。通過資產(chǎn)的種類、折舊年限等各種參數(shù)自由設(shè)置，方便多種資產(chǎn)登記入庫管理；申請領(lǐng)用資產(chǎn)時(shí)通過時(shí)間沖突檢測后，按照預(yù)定義的審批流程通過后，系統(tǒng)即會(huì)以多種提醒方式提醒申請人；申請人資產(chǎn)使用完畢，管理員通過資產(chǎn)歸還來登記資產(chǎn)的使用結(jié)束；資產(chǎn)發(fā)生故障需要維修時(shí)，管理人員可通過維修管理記錄資產(chǎn)的維修的具體情況，為折舊做參考；資產(chǎn)的歸屬權(quán)發(fā)生轉(zhuǎn)移時(shí)管理人員可通過變更管理來實(shí)現(xiàn)。用品管理通過用品倉庫管理、用品類別管理、用品詳細(xì)資產(chǎn)管理對用品的存放、分類及詳細(xì)信息進(jìn)行有效的管理，并對用品從入庫到出庫一系列的登記入庫、申請領(lǐng)用、調(diào)拔、庫存查詢、流水查詢統(tǒng)計(jì)等實(shí)現(xiàn)全過程的控管，使管理人員輕松管理。圖書管理圖書管理人員可以通過借閱設(shè)置、圖書歸屬進(jìn)行圖書登記工作；用戶可通過圖書借閱中查到尚未借出的圖書，并提出借閱申請，管理人員即可在圖書管理中看到相關(guān)的申請并進(jìn)行通過確認(rèn)，用戶即可借閱圖書；圖書到期后系統(tǒng)可進(jìn)行催還提醒，用戶可再次提出續(xù)借申請或進(jìn)行歸還，由管理人員進(jìn)行歸還確認(rèn)；用戶可在圖書查詢中設(shè)置多種查詢條件來模糊檢索符合查詢條件的圖書。3.4.9工作流與自定義提供拖拉式的流程設(shè)計(jì)工具，不僅符合WFMC流程標(biāo)準(zhǔn)，還方便操作，能同其他工作流系統(tǒng)方便整合。流程設(shè)置能夠?qū)崿F(xiàn)串簽、并簽、條件分支、人工分支、循環(huán)等功能，流程可隨時(shí)修改，而不影響原來正在流轉(zhuǎn)中的文件。可以在流程中加入催督時(shí)間，流程中的處理人在時(shí)間到達(dá)時(shí)即會(huì)收到尋呼提醒，系統(tǒng)還可支持短信提醒，達(dá)到催督提醒的目的?？梢詫挝蝗粘＾k公管理中的管理流程在系統(tǒng)中得到完整體現(xiàn)。實(shí)現(xiàn)各種文件、請示、報(bào)告的流轉(zhuǎn)自動(dòng)化。極大提高了工作效率，同時(shí)也強(qiáng)化了辦公工作的規(guī)范性。用戶可以設(shè)置委托人和代辦的流程以及代辦的時(shí)間段，方便用戶在無法審批的時(shí)間內(nèi)由其他人代為審批，不影響系統(tǒng)的正常工作流轉(zhuǎn)．用戶可通過可視化的自定義工具來自由定義表單、流程、菜單、權(quán)限來滿足個(gè)性化的業(yè)務(wù)流。用戶可分類新建表單，并通過可視化的各種表單設(shè)計(jì)控件來定義表單，或者直接拷貝WORD、EXCEL、HTML等格式的表單，并將表單與定制好的流程、菜單以及權(quán)限進(jìn)行綁定，形成新的業(yè)務(wù)模塊。系統(tǒng)還提供二次開發(fā)工具，方便用戶可以將數(shù)據(jù)庫中的數(shù)據(jù)與表單相連，實(shí)現(xiàn)與其他應(yīng)用系統(tǒng)進(jìn)行數(shù)據(jù)級的整合。0系統(tǒng)管理用戶管理用戶管理是用來維護(hù)用戶基本信息和添加、刪除組織機(jī)構(gòu)中用戶的功能模塊。管理員可以任意添加、修改、刪除用戶個(gè)人信息，還可以對用戶進(jìn)行所屬組織機(jī)構(gòu)（部門）和擔(dān)任角色（職位）進(jìn)行分配。組織管理組織管理是用來維護(hù)系統(tǒng)中的組織機(jī)構(gòu)信息。組織機(jī)構(gòu)以樹型目錄樹的方式顯示，一般以單位總部或最高管理部門為根結(jié)點(diǎn)，下面設(shè)置各職能部門和分支機(jī)構(gòu)。在“組織管理”中系統(tǒng)管理員可以方便地添加、修改或刪除一個(gè)部門節(jié)點(diǎn)及其相關(guān)內(nèi)容。職務(wù)管理系統(tǒng)管理員通過職務(wù)管理可以自由定義、添加、刪除系統(tǒng)中的相關(guān)職務(wù)信息，在給組織機(jī)構(gòu)分配角色時(shí)可以與用戶實(shí)際情況一一對應(yīng)，也可以給用戶對應(yīng)一個(gè)或多個(gè)已定義好的角色，系統(tǒng)支持身兼多職。權(quán)限管理系統(tǒng)管理員根據(jù)用戶不同級別在權(quán)限設(shè)置中設(shè)置用戶可以訪問系統(tǒng)的權(quán)限，只有賦予用戶相關(guān)權(quán)限后才能在系統(tǒng)中進(jìn)行與用戶相關(guān)的操作。系統(tǒng)設(shè)置系統(tǒng)設(shè)置主要是方便系統(tǒng)管理員對系統(tǒng)進(jìn)行個(gè)性化設(shè)置，主要包括：條件設(shè)置、鏈接設(shè)置、標(biāo)志設(shè)置、IP限制、身份認(rèn)證、登錄頁面、門戶信息、系統(tǒng)模塊等相關(guān)設(shè)置?；厥照九cWindows里的回收站功能類似。系統(tǒng)內(nèi)的刪除操作都只是邏輯刪除，并沒有真正將數(shù)據(jù)清除，只是保存在回收站中。當(dāng)數(shù)據(jù)需要恢復(fù)時(shí)可以通過恢復(fù)功能進(jìn)行恢復(fù)；也可通過清空回收站對數(shù)據(jù)進(jìn)行物理刪除，數(shù)據(jù)就不能夠再恢復(fù)了。日志管理統(tǒng)計(jì)登錄到系統(tǒng)的用戶相關(guān)情況，記錄系統(tǒng)登錄用戶的編號、姓名、所屬部門、訪問頁面、訪問IP、登錄時(shí)間、退出時(shí)間等，并可按部門、人員、時(shí)間段等條件查詢統(tǒng)計(jì)，方便系統(tǒng)管理員能夠快速查詢系統(tǒng)的各種操作，以便追蹤非法入侵，提高系統(tǒng)使用的安全性。短語管理在系統(tǒng)使用過程中，領(lǐng)導(dǎo)經(jīng)常需要填寫“同意”、“不同意”、“請某某閱”、“請某某部門辦”等常用的意見。為了減少用戶的文字輸入量，提高方便性，系統(tǒng)管理員可以把用戶常用到的短語添加至短語管理中，并且每個(gè)用戶也有自己的一個(gè)短語庫，可以從系統(tǒng)管理員建立的總庫中挑選一些自己常用的導(dǎo)入到自己的短語庫里，用戶在使用系統(tǒng)中任何需要輸入文字的地方，都可以調(diào)出自己的短語庫，然后在其中選擇需要的短語，極大地提高了系統(tǒng)的使用效率和個(gè)人辦公的工作效率。短信管理短信管理是對網(wǎng)絡(luò)尋呼中的短信發(fā)送情況的管理模塊。系統(tǒng)管理員可以對系統(tǒng)中的短信發(fā)送詳細(xì)信息和費(fèi)用情況進(jìn)行查詢、統(tǒng)計(jì)、查看，方便進(jìn)行費(fèi)用管理。群組管理群組管理能夠?qū)⒂脩艟墼谝黄鹪O(shè)置不同的群組，方便系統(tǒng)管理員對用戶進(jìn)行管理。公文設(shè)置公文設(shè)置通過對公文的類型、模板、字段、紅頭、稿紙以及使用手寫批注用戶范圍的設(shè)置，使公文規(guī)范化管理，并且用戶使用時(shí)可直接調(diào)用，提高了辦公效率。

第四章xx政府電子政務(wù)系統(tǒng)運(yùn)行及安全方案系統(tǒng)運(yùn)行環(huán)境以下是電子政務(wù)系統(tǒng)對運(yùn)行環(huán)境的最低要求，我們建議XX政府依據(jù)實(shí)際網(wǎng)絡(luò)流量、電子政務(wù)系統(tǒng)負(fù)載情況和使用系統(tǒng)用戶數(shù)、以及系統(tǒng)備份與維護(hù)等因素，進(jìn)行綜合考慮系統(tǒng)的實(shí)際運(yùn)行環(huán)境配置，以獲得最佳的系統(tǒng)運(yùn)行效果。網(wǎng)絡(luò)環(huán)境：局域網(wǎng)ADSL網(wǎng)，無固定IP專線，有固定IP服務(wù)器租用，用戶不配備服務(wù)器服務(wù)器環(huán)境：硬件要求CPU至強(qiáng)內(nèi)存1G硬盤80G軟件要求WINDOWS2000SERVER以上版本（IIS必須安裝）客戶端環(huán)境：硬件要求PentiumII以上CPU、內(nèi)存64M、硬盤1G、10M以上網(wǎng)卡軟件要求WINDOWS95/98或WINDOWS2000或WINDOWSNT安裝OFFICE2000以上版本分辨率為1024*768系統(tǒng)安全方案由于政府機(jī)構(gòu)的信息資源涉及大量國家機(jī)密信息，因此，對電子政務(wù)系統(tǒng)的安全性提出了嚴(yán)格要求，包括物理網(wǎng)絡(luò)的安全、數(shù)據(jù)傳輸?shù)陌踩?、?yīng)用系統(tǒng)的安全、規(guī)章制度的健全等等。并且基于電子政務(wù)系統(tǒng)內(nèi)、外網(wǎng)結(jié)構(gòu)，存在著網(wǎng)絡(luò)開放性與安全性的矛盾，因此既要保障電子政務(wù)系統(tǒng)信息暢通，同時(shí)能夠有效阻止非法訪問和攻擊對系統(tǒng)的破壞。金和軟件通過充分考慮信息系統(tǒng)安全的各個(gè)方面，并有針對性地采取安全措施，真正保證政府機(jī)構(gòu)信息系統(tǒng)的安全可靠。VLAN安全域劃分電子政務(wù)系統(tǒng)根據(jù)處理的信息密級不同，將整個(gè)系統(tǒng)劃分為兩個(gè)安全域，即涉秘安全域和非涉秘安全域。涉秘安全域采用基于數(shù)字證書的訪問控制機(jī)制，非涉秘安全域采用非數(shù)字證書的訪問控制。電子政務(wù)外網(wǎng)與國際互聯(lián)網(wǎng)采用邏輯隔離方式（雙防火墻和代理服務(wù)器），信息受控實(shí)時(shí)交換；內(nèi)網(wǎng)安全域和外網(wǎng)安全域采用物理隔離方式，信息通過應(yīng)用支撐平臺的內(nèi)外網(wǎng)倒換服務(wù)非實(shí)時(shí)人工交換。內(nèi)網(wǎng)安全域根據(jù)處理系統(tǒng)的密級不同和系統(tǒng)安全性要求不同進(jìn)行了進(jìn)一步劃分：涉及秘密或機(jī)密信息通過密碼機(jī)進(jìn)行加密，加密設(shè)備部署在領(lǐng)導(dǎo)辦公終端、廳局長辦公終端和處室指定終端，密鑰介質(zhì)由涉密人員保管。VLAN（虛擬局域網(wǎng)）是對連接到的第二層交換機(jī)端口的網(wǎng)絡(luò)用戶的邏輯分段，不受網(wǎng)絡(luò)用戶的物理位置限制而根據(jù)自己的需求進(jìn)行網(wǎng)絡(luò)分段。一個(gè)VLAN可以在一個(gè)交換機(jī)或者跨交換機(jī)實(shí)現(xiàn)。VLAN可以根據(jù)網(wǎng)絡(luò)用戶的位置、作用、部門或者根據(jù)網(wǎng)絡(luò)用戶所使用的應(yīng)用程序和協(xié)議來進(jìn)行分組?；诮粨Q機(jī)的虛擬局域網(wǎng)能夠?yàn)榫钟蚓W(wǎng)解決沖突域、廣播域、帶寬問題。另外，劃分VLAN具有靈活性和可擴(kuò)張性等特點(diǎn)，方便于網(wǎng)絡(luò)維護(hù)和安全管理，這兩個(gè)特點(diǎn)正是現(xiàn)代局域網(wǎng)設(shè)計(jì)必須實(shí)現(xiàn)的兩個(gè)基本目標(biāo)，在局域網(wǎng)中有效利用虛擬局域網(wǎng)技術(shù)能夠提高網(wǎng)絡(luò)運(yùn)行效率，提高網(wǎng)絡(luò)的安全性。傳輸加密傳輸加密技術(shù)分為鏈路層加密技術(shù)和網(wǎng)絡(luò)層加密。鏈路層加密是一種端對端的基于線路鏈路的加密方式，其典型應(yīng)用是鏈路加密機(jī)，如x.25鏈路加密機(jī)、FR鏈路加密機(jī)等；網(wǎng)絡(luò)層加密是在IP層根據(jù)條件對IP數(shù)據(jù)進(jìn)行加密，可以實(shí)現(xiàn)靈活的一點(diǎn)對多點(diǎn)的條件加密，其典型應(yīng)用如VPN設(shè)備、網(wǎng)絡(luò)加密機(jī)等。鏈路層加密處于數(shù)據(jù)傳輸?shù)讓?，保密?qiáng)度高，但受到端對端網(wǎng)絡(luò)設(shè)備的限制，只適合小范圍專有線路使用（適合機(jī)要部門通訊系統(tǒng)改造）。網(wǎng)絡(luò)層加密可以實(shí)現(xiàn)與線路無關(guān)，一旦用戶對網(wǎng)絡(luò)線路進(jìn)行升級、擴(kuò)容和改造時(shí)，網(wǎng)絡(luò)加密設(shè)備無需更換；同時(shí)，網(wǎng)絡(luò)層加密設(shè)備可以實(shí)現(xiàn)一點(diǎn)對多點(diǎn)進(jìn)行通訊，避免了在中心處安裝多臺設(shè)備的問題，既大大節(jié)省了成本，又便于維護(hù)。數(shù)據(jù)庫加密數(shù)據(jù)庫加密技術(shù)有如下特點(diǎn)：1．字段加密加解密的粒度是每個(gè)記錄的字段數(shù)據(jù)，同時(shí)進(jìn)行有效的密鑰管理并完成“一次一密”的密碼加密操作。2．密鑰動(dòng)態(tài)管理數(shù)據(jù)庫客體之間隱含著復(fù)雜的邏輯關(guān)系，一個(gè)邏輯結(jié)構(gòu)可能對應(yīng)著多個(gè)數(shù)據(jù)庫物理客體，所以數(shù)據(jù)庫加密不僅密鑰量大，而且組織和存儲工作比較復(fù)雜，需要對密鑰實(shí)現(xiàn)動(dòng)態(tài)管理。3．合理處理數(shù)據(jù)首先要恰當(dāng)?shù)靥幚頂?shù)據(jù)類型，否則數(shù)據(jù)庫系統(tǒng)將會(huì)因加密后的數(shù)據(jù)不符合定義的數(shù)據(jù)類型而拒絕加載；其次，需要處理數(shù)據(jù)的存儲問題，實(shí)現(xiàn)數(shù)據(jù)庫加密后，應(yīng)基本上不增加空間開銷。4．不影響合法用戶的操作加密系統(tǒng)影響數(shù)據(jù)操作響應(yīng)時(shí)間應(yīng)盡量短，在現(xiàn)階段，平均延遲時(shí)間不應(yīng)超過1/10秒。此外，對數(shù)據(jù)庫的合法用戶來說,數(shù)據(jù)的錄入、修改和檢索操作應(yīng)該是透明的，不需要考慮數(shù)據(jù)的加解密問題。網(wǎng)絡(luò)地址管理IP地址是重要的網(wǎng)絡(luò)資源，需要進(jìn)行有效的管理，來保障網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。對于IP地址的使用應(yīng)該建立明確的分配制度，并在技術(shù)上進(jìn)行保障。IP地址有多種分配使用方法：可以按照地理位置來劃分，例如：根據(jù)樓宇的編號和樓層來劃分；可以按照部門組織結(jié)構(gòu)來劃分。無論采用哪種劃分方法，目的就是要對IP進(jìn)行統(tǒng)一管理，方便網(wǎng)絡(luò)管理人員的日常維護(hù)工作，便于問題的定位和查找。鑒于政府的工作性質(zhì)，建議按照部門組織結(jié)構(gòu)來劃分IP地址。每個(gè)單位劃分一個(gè)網(wǎng)段，或者粒度更細(xì)一些，每個(gè)部門都有自己的單獨(dú)網(wǎng)段。例如：IP地址采用192.168.A.*的形式，其中，A是每個(gè)單位的編號；或者按部門來劃分，IP地址采用10.A.B.*的形式，其中，A是每個(gè)單位的編號，而B是單位中各個(gè)部門的編號。這樣劃分便于進(jìn)行權(quán)限的管理和審核，方便辦公人員的使用。此外，從網(wǎng)絡(luò)的整體結(jié)構(gòu)上來考慮，還需要對骨干網(wǎng)絡(luò)、機(jī)房、城域網(wǎng)/廣域網(wǎng)接入等單獨(dú)劃分一些功能性的網(wǎng)段。在電子政務(wù)網(wǎng)絡(luò)系統(tǒng)中全面使用交換技術(shù)，使用可管理的高性能以太網(wǎng)交換機(jī)來構(gòu)建整個(gè)網(wǎng)絡(luò)的基礎(chǔ)架構(gòu)，利用交換機(jī)的端口管理功能和虛網(wǎng)（VLAN）功能實(shí)現(xiàn)上述IP地址組織結(jié)構(gòu)。使用虛網(wǎng)，可以有控制不同IP地址段的通信，有效抑制網(wǎng)絡(luò)廣播，使網(wǎng)絡(luò)的效率和安全性都得到提高。除了使用虛網(wǎng)進(jìn)行IP地址段的管理以外，為了進(jìn)一步增強(qiáng)網(wǎng)絡(luò)的安全性，管理接入到網(wǎng)絡(luò)中的設(shè)備，可以對重要的網(wǎng)絡(luò)端口進(jìn)行保護(hù)，即只允許指定的網(wǎng)絡(luò)設(shè)備從指定的位置接入到網(wǎng)絡(luò)中來。從技術(shù)上，可以在網(wǎng)絡(luò)交換機(jī)上配置網(wǎng)絡(luò)端口的安全性，只允許使用指定MAC地址的網(wǎng)絡(luò)設(shè)備連接到端口上。從制度上，對全網(wǎng)的設(shè)備進(jìn)行登記，記錄網(wǎng)絡(luò)中各個(gè)網(wǎng)絡(luò)設(shè)備的MAC地址。采用對MAC地址的管理，可以有效防止外來不明機(jī)器或設(shè)備接入到網(wǎng)絡(luò)中，防止病毒的入侵和其他不良的攻擊。客戶機(jī)管理針對XXX政府目前情況，我們建議對客戶機(jī)的管理采取兩種管理模式并行管理，它們是域管理和NC機(jī)管理。NC機(jī)管理NC是網(wǎng)絡(luò)計(jì)算機(jī)(NetworkeComputer)的簡稱，是一類基于網(wǎng)絡(luò)計(jì)算環(huán)境的計(jì)算設(shè)備，除了必要的人機(jī)交換設(shè)備（如監(jiān)視器和輸入）外，一般沒有外部存儲設(shè)備，也很少有擴(kuò)展口，NC可以實(shí)現(xiàn)Internet功能，通過網(wǎng)絡(luò)進(jìn)行信息查詢和信息處理。實(shí)用、廉價(jià)、管理方便，在服務(wù)器端統(tǒng)一升級是其顯著特點(diǎn)。NC是Oracle公司于1995年提出的，當(dāng)時(shí)在計(jì)算機(jī)和通信界引起極大反響，同年便成立了“網(wǎng)絡(luò)計(jì)算機(jī)聯(lián)盟”。隨后，IBM、Apple、Netscape、Oracle和Sun等五大廠商聯(lián)合公布了NC的工業(yè)標(biāo)準(zhǔn)--《網(wǎng)絡(luò)計(jì)算機(jī)參考簡要特征》（簡稱NC-1規(guī)范），內(nèi)容包括支持Java、HTML、FTP、TCP/IP以及CGI的規(guī)范。包括世界最大的消費(fèi)類和商業(yè)電子設(shè)備生產(chǎn)商、通信廠商、軟件開發(fā)商、無線系統(tǒng)生產(chǎn)商、微處理器生產(chǎn)商、外設(shè)制造商以及信用卡公司等70多家廠商立即表示支持制定這一技術(shù)規(guī)范。NC機(jī)管理的特點(diǎn)是：系統(tǒng)集中控制基于服務(wù)器的計(jì)算模式，系統(tǒng)管理員單點(diǎn)管理，可以通過權(quán)限管理，使員工只能訪問和獲取與工作有關(guān)的應(yīng)用和信息。軟件易于維護(hù)應(yīng)用系統(tǒng)的安裝、調(diào)試、配置和升級等均在服務(wù)器端一次性完成，對大中型網(wǎng)絡(luò)或廣域網(wǎng)絡(luò)的用戶同樣適用。硬件免升級客戶端設(shè)備的使用周期極大延長，突破軟硬件循環(huán)升級的障礙?？蛻舳肆愎芾砜蛻舳嗽O(shè)備的軟硬件日常維護(hù)工作量降低為零，使用者無需掌握復(fù)雜的計(jì)算機(jī)系統(tǒng)知識。高安全性由于NC本身不帶有輸出設(shè)備，所有業(yè)務(wù)文件和數(shù)據(jù)都存儲于服務(wù)器，不致因?yàn)槿藶橐蛩卦斐蓴?shù)據(jù)丟失或泄密。獨(dú)特的雙網(wǎng)口設(shè)計(jì)支持內(nèi)外網(wǎng)的物理隔離，用戶在使用時(shí)不必?fù)?dān)心會(huì)流失重要的數(shù)據(jù)。高可靠性嚴(yán)防病毒，防震耐用，斷點(diǎn)保護(hù)，低功耗設(shè)計(jì)。易于操作操作簡單，界面友好，模塊化設(shè)計(jì)，充分滿足個(gè)性化需求。有效降低TCO無論在軟硬件升級和維護(hù)、還是在使用培訓(xùn)和運(yùn)營上，該方案的成本都遠(yuǎn)遠(yuǎn)低于以PC作為客戶端的常規(guī)解決方案。而且公司提供NC端軟件的免費(fèi)升級。系統(tǒng)拓?fù)鋱D：整體環(huán)境由服務(wù)器中心、分支機(jī)構(gòu)辦公環(huán)境和其他基礎(chǔ)設(shè)施構(gòu)成。服務(wù)器中心用于部署服務(wù)器及相關(guān)設(shè)備，主要包括NC管理服務(wù)器、文件服務(wù)器、辦公服務(wù)器和Web服務(wù)器等。分支機(jī)構(gòu)辦公環(huán)境部署用于辦公和上網(wǎng)的NC終端。辦公區(qū)內(nèi)所有NC終端均與服務(wù)器中心連接，用戶可以使用服務(wù)器上的相關(guān)資源辦公和上網(wǎng)。每個(gè)用戶在服務(wù)器上可以擁有單獨(dú)的硬盤空間、獨(dú)立的帳號和密碼，工作相互獨(dú)立，互不干擾。辦公區(qū)內(nèi)所有的NC都處于雙網(wǎng)隔離，內(nèi)外網(wǎng)可以相互切換。較遠(yuǎn)的分支機(jī)構(gòu)可以通過寬帶網(wǎng)絡(luò)同服務(wù)器進(jìn)行連接。網(wǎng)絡(luò)環(huán)境還包括系統(tǒng)運(yùn)行的其他基礎(chǔ)設(shè)施，主要有防火墻、交換機(jī)、網(wǎng)絡(luò)布線等。NC與PC比較

比較項(xiàng)類項(xiàng)目普通PC和優(yōu)勢NC和優(yōu)勢軟硬件配置方面硬件和維護(hù)有硬盤、軟驅(qū)、光驅(qū)等易損件，維護(hù)量大

無硬盤、軟驅(qū)、光驅(qū)等，維護(hù)量小√操作系統(tǒng)和維護(hù)必須安裝PC操作系統(tǒng)軟件（如WIN98等），維護(hù)量大

僅安裝小型LINUXNC操作系統(tǒng)軟件，無須維護(hù)√應(yīng)用軟件和維護(hù)必須安裝所有應(yīng)用軟件，維護(hù)量大

不安裝應(yīng)用軟件，無須維護(hù)√對硬件配置水平要求高

低√運(yùn)行管理方面病毒和安全容易受到病毒侵襲，安全性差，必須安裝防病毒軟件，須防病毒維護(hù)

只需做好服務(wù)器的病毒防護(hù)，客戶端病毒無法侵襲，安全性高√數(shù)據(jù)維護(hù)和安全本機(jī)存放數(shù)據(jù)，安全性差

服務(wù)器存放數(shù)據(jù)，安全性好√數(shù)據(jù)保密、丟失本機(jī)存放數(shù)據(jù)，保密性差，易丟失

服務(wù)器存放數(shù)據(jù)，保密性好，不易丟失√運(yùn)行維護(hù)須經(jīng)常進(jìn)行數(shù)據(jù)、數(shù)據(jù)區(qū)、應(yīng)用程序的維護(hù)，保證運(yùn)行效率等

無須運(yùn)行維護(hù)√應(yīng)用的可靠性、經(jīng)濟(jì)性和使用效率低

高√投資和費(fèi)用采購成本硬件和軟件采購成本均高

約為普通PC的50%√維修、維護(hù)費(fèi)用硬件和軟件均須較大量的維護(hù)和費(fèi)用

只需服務(wù)器軟件維護(hù)，少量硬件維護(hù)和費(fèi)用√對硬件今后升級的要求需要升級和繼續(xù)投資

只需服務(wù)器升級，客戶端無須升級，節(jié)省了升級投資√域管理目前，政府辦公人員使用的客戶機(jī)都采用了Windows平臺。Windows平臺用戶界面友好，使用方便，軟件功能完善，作為辦公人員日常工作使用的操作平臺非常合適。然而，目前大部分客戶機(jī)都沒有組織成Windows域，即客戶機(jī)還沒有被納入到Windows域管理框架中。對客戶機(jī)的管理包括對Windows平臺的規(guī)范和對Windows域的管理?？蛻魴C(jī)應(yīng)該統(tǒng)一部署為可管理的Windows平臺，即采用Windows2000或者WindowsXP操作系統(tǒng)。在局域網(wǎng)中要分別建立一個(gè)Windows域，分別管理客戶機(jī)。Windows域的核心概念就是通過單次登錄方便的訪問資源和進(jìn)行資源訪問的權(quán)限管理。利用域所帶來的一些管理特性：活動(dòng)目錄：包括目錄和目錄相關(guān)的服務(wù)，具有強(qiáng)大的安全性，基于策略進(jìn)行管理，具有很強(qiáng)的擴(kuò)展性和伸縮性，是Windows域管理功能的核心。可以提供實(shí)現(xiàn)安全應(yīng)用支撐所需的許多功能。組策略：是用戶、計(jì)算機(jī)的各種配置的集合，作用于一組指定的用戶或計(jì)算機(jī)上，使用組策略可以實(shí)現(xiàn)單點(diǎn)管理，將網(wǎng)絡(luò)維護(hù)人員從繁瑣的工作中解放出來。安裝部署：通過組策略實(shí)現(xiàn)軟件的自動(dòng)配置，自動(dòng)部署。使管理員可以從單點(diǎn)向全網(wǎng)發(fā)布軟件，也使用戶擺脫各種軟件復(fù)雜的安裝配置過程。使用Windows域，管理員可以根據(jù)需求定制各種配置（例如，用戶登錄后自動(dòng)運(yùn)行哪些程序，瀏覽器如何配置，等等），形成組策略，并應(yīng)用于域中的所有客戶機(jī)上，實(shí)現(xiàn)從單點(diǎn)對全網(wǎng)客戶機(jī)的管理。利用Windows域管理客戶機(jī)，管理員可以向網(wǎng)絡(luò)中的所有客戶機(jī)分發(fā)網(wǎng)絡(luò)殺毒軟件并實(shí)現(xiàn)自動(dòng)安裝、修改客戶機(jī)上不安全的設(shè)置、自動(dòng)為客戶機(jī)安裝系統(tǒng)安全補(bǔ)丁等等，這些都可以充分提高客戶機(jī)和網(wǎng)絡(luò)的安全性，并簡化用戶的操作。防火墻防火墻是一個(gè)系統(tǒng)或一組系統(tǒng)，它在受保護(hù)的網(wǎng)絡(luò)與不安全、不受信任的網(wǎng)絡(luò)間執(zhí)行一定的安全策略。防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的通信量，僅讓安全、核準(zhǔn)了的信息進(jìn)入，同時(shí)又抵制對內(nèi)部網(wǎng)絡(luò)有威脅的數(shù)據(jù)。防火墻是網(wǎng)絡(luò)安全系統(tǒng)中的第一道安全關(guān)卡，具有舉足輕重的作用。防火墻應(yīng)具有包過濾和狀態(tài)檢測功能。防火墻應(yīng)具有代理功能，支持HTTP、FTP、SMTP、POP3、Telnet協(xié)議。防火墻應(yīng)具有NAT、PAT功能。防火墻應(yīng)提供多個(gè)100BaseT或1000BaseT以太接口：支持DNS；支持VLAN功能；防火墻應(yīng)具有一定的防御功能：可以采用內(nèi)置殺毒引擎或者與殺毒系統(tǒng)聯(lián)動(dòng)的方式對網(wǎng)絡(luò)信息進(jìn)行掃描；能夠抵御常見的網(wǎng)絡(luò)攻擊，與IDS系統(tǒng)聯(lián)動(dòng)，提供實(shí)時(shí)入侵防范；支持對Java小程序、ActiveX控件、腳本的過濾。防火墻應(yīng)支持多種認(rèn)證方式：應(yīng)支持RADIUS、Windows用戶、電子證書、LDAP等認(rèn)證方法；電子證書應(yīng)支持X.509標(biāo)準(zhǔn)；應(yīng)支持MD5、SHA1認(rèn)證算法。防火墻應(yīng)具有完善的管理功能：采用分級的管理方式；支持集中式的管理；支持SNMP監(jiān)視和配置；支持本地和遠(yuǎn)程方式的管理；支持帶寬管理；具有完善的日志審計(jì)和報(bào)表功能，提供日志備份的機(jī)制。防火墻應(yīng)支持負(fù)載均衡、失敗轉(zhuǎn)移等高可用特性。防火墻應(yīng)經(jīng)過國家相關(guān)部門的權(quán)威認(rèn)證。外網(wǎng)防火墻與Internet物理連接，邏輯隔離，防火墻的構(gòu)建應(yīng)將提高安全性作為總的原則。外網(wǎng)防火墻采用雙防火墻的DMZ方式來建造。在雙防火墻模式下，把提供服務(wù)的DNS、Web、Mail等服務(wù)器從DMZ移動(dòng)到內(nèi)部的局域網(wǎng)來，通過在DMZ中部署若干反向代理來將服務(wù)提供給公眾，這樣可以避免服務(wù)器受到公網(wǎng)上的各種攻擊，并提訪問這些服務(wù)的效率，減輕防火墻的配置復(fù)雜度和工作負(fù)荷。雙防火墻模式的最大優(yōu)勢是比連接多個(gè)網(wǎng)絡(luò)的單防火墻結(jié)構(gòu)更加安全。一個(gè)來自于Internet的攻擊如果要成功入侵外網(wǎng)，必須逐一攻破外部防火墻、反向代理主機(jī)、內(nèi)部防火墻后才有可能對外網(wǎng)中的主機(jī)發(fā)起攻擊，在這一系列的過程中，入侵者既要對防火墻、反向代理主機(jī)的配置進(jìn)行更改，以防止自己被阻隔在網(wǎng)絡(luò)外面，同時(shí)還要保證入侵行為不被防火墻或者IDS系統(tǒng)發(fā)現(xiàn)，其入侵的難度和花費(fèi)的時(shí)間都是相當(dāng)客觀的，這便為網(wǎng)絡(luò)的管理人員及時(shí)發(fā)現(xiàn)入侵和抵御入侵贏得了寶貴的時(shí)間。然而，獲得這種高度安全性的代價(jià)就是需要更高的建設(shè)投資以及防火墻配置、管理上的復(fù)雜性的增加。病毒防護(hù)為了有效抵御計(jì)算機(jī)病毒的威脅，網(wǎng)絡(luò)中應(yīng)該統(tǒng)一部署企業(yè)級的防病毒產(chǎn)品，將防病毒軟件限制在1種或者2種內(nèi)，以簡化網(wǎng)絡(luò)的管理，方便員工的使用。對病毒的防護(hù)應(yīng)該全方位的進(jìn)行，即對文件服務(wù)器、客戶機(jī)、郵件服務(wù)器、代理服務(wù)器都部署病毒防護(hù)軟件，從而有效的防范來自于文件、郵件、Web的病毒和木馬程序。殺毒軟件應(yīng)具有先進(jìn)的查殺毒引擎，其性能應(yīng)得到業(yè)界的實(shí)際認(rèn)同。殺毒軟件應(yīng)能夠?qū)崟r(shí)監(jiān)測病毒入侵，能夠自動(dòng)檢測、清除來自軟盤、光盤、移動(dòng)存儲設(shè)備、網(wǎng)絡(luò)共享、Web頁面、電子郵件、Internet下載等各種途徑的病毒。殺毒軟件應(yīng)提供手動(dòng)掃描病毒的功能，允許對掃描的范圍、掃描時(shí)間、掃描的文件類型進(jìn)行定制。殺毒軟件應(yīng)提供隔離功能，將感染有病毒的文件保留在隔離區(qū)中，以便日后使用新的病毒定義進(jìn)行清除。殺毒軟件應(yīng)具有日志功能，能夠記錄配置的更改、病毒定義的升級、病毒的檢測、清除、隔離等情況。殺毒軟件應(yīng)采取集中的管理方式，實(shí)現(xiàn)全網(wǎng)的統(tǒng)一設(shè)置，以及對客戶端的管理和維護(hù)：具有客戶端分組功能，允許管理員在單個(gè)客戶端或者一組客戶端兩個(gè)層次上進(jìn)行管理；集中設(shè)置客戶端的配置，并可以鎖定配置項(xiàng)，防止用戶自行修改；遠(yuǎn)程對受管理的客戶端進(jìn)行殺毒、升級的操作；可以獲取客戶端的基本信息，如：引擎版本、病毒庫版本、操作系統(tǒng)版本、掃描調(diào)度任務(wù)、日志等。殺毒軟件應(yīng)具有良好的部署機(jī)制，允許管理員根據(jù)需求定制殺毒客戶端的安裝方式和安裝的組件，進(jìn)行統(tǒng)一的部署。殺毒客戶端應(yīng)支持Windows、Unix、Linux等常見操作系統(tǒng)。殺毒軟件應(yīng)提供多種方式來報(bào)告病毒事件，包括郵件、操作系統(tǒng)日志、信使服務(wù)等方式。殺毒軟件應(yīng)該具有可靠的智能升級功能：集中的升級方式，即所有客戶端可以從網(wǎng)絡(luò)中一臺服務(wù)器上進(jìn)行升級，而無需單獨(dú)去訪問廠家的升級服務(wù)器；應(yīng)提供在線更新和離線升級包兩種升級方式。病毒防護(hù)系統(tǒng)應(yīng)該由服務(wù)器端、管理控制臺以及客戶端組成服務(wù)器端是整個(gè)病毒防護(hù)系統(tǒng)的核心，負(fù)責(zé)客戶端的管理、客戶端軟件的分發(fā)、更新包的集中分發(fā)等管理功能。管理控制臺為管理員提供了一個(gè)操作界面，進(jìn)行維護(hù)管理工作。各種客戶端是病毒防護(hù)的實(shí)體，完成各個(gè)層面上的病毒防護(hù)工作，一般包括網(wǎng)關(guān)類的客戶端（如防火墻、代理服務(wù)器、SMTP網(wǎng)關(guān)等），應(yīng)用服務(wù)器類客戶端（如郵件服務(wù)器），普通客戶端（如文件服務(wù)器、打印服務(wù)器、用戶的PC機(jī)、筆記本電腦等）。入侵檢測現(xiàn)在越來越多的單位將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移的時(shí)候，網(wǎng)絡(luò)安全作為一個(gè)無法回避的問題呈現(xiàn)在人們面前。傳統(tǒng)上，一般采用防火墻作為安全的第一道防線。而隨著攻擊者知識的日趨成熟，攻擊工具與手法的日趨復(fù)雜多樣，單純的防火墻策略已經(jīng)無法滿足對安全高度敏感的部門的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段。入侵檢測作為安全管理模型中很重要的一個(gè)安全管理環(huán)節(jié)—Detection，是對防火墻等防護(hù)產(chǎn)品的一個(gè)安全功能的擴(kuò)展和安全功能的補(bǔ)充。中軟分布式入侵檢測預(yù)警與響應(yīng)系統(tǒng)是實(shí)時(shí)網(wǎng)絡(luò)自動(dòng)違規(guī)識別和響應(yīng)系統(tǒng)，是一種實(shí)時(shí)的、自動(dòng)的網(wǎng)絡(luò)入侵與違規(guī)行為識別、網(wǎng)絡(luò)攻擊情報(bào)預(yù)警和對入侵行為與征兆的響應(yīng)系統(tǒng)。IDS應(yīng)該支持基于主機(jī)和基于網(wǎng)絡(luò)兩種部署方式；IDS應(yīng)該支持對Windows平臺和主流Unix系統(tǒng)的監(jiān)控；IDS應(yīng)該支持百兆和千兆以太網(wǎng)接口；IDS應(yīng)該采用基于規(guī)則、行為分析、內(nèi)容分析的檢測方法；IDS應(yīng)支持對TCP、UDP、HTTP、FTP、Telnet、SMTP、POP3、IMAP、NFS、ICMP、DNS等常見協(xié)議的分析；IDS應(yīng)支持TCP流重組、IP碎片重組，并且至少應(yīng)支持5000以上的并發(fā)TCP連接的監(jiān)控；IDS應(yīng)提供多種對異常事件的響應(yīng)方式，例如阻斷連接、鎖定用戶、執(zhí)行指定程序等；IDS應(yīng)能夠識別目前絕大多數(shù)的攻擊行為（至少在1000數(shù)量級以上），廠家應(yīng)提供及時(shí)的攻擊特征的更新服務(wù)，并且IDS系統(tǒng)應(yīng)該可以采用實(shí)時(shí)在線更新和離線升級包更新兩種方式；IDS應(yīng)該提供自身的保護(hù)機(jī)制，用以對抗針對于IDS自身的DOS攻擊和欺騙手段；IDS應(yīng)該支持實(shí)時(shí)的告警通知，并支持郵件、短信、聲音、用戶界面顯示等多種告警方式；IDS應(yīng)該支持與市場主流防火墻產(chǎn)品的聯(lián)動(dòng)功能；IDS應(yīng)該支持使用數(shù)據(jù)庫存儲事件日志，支持對事件日志詳細(xì)內(nèi)容的深入追究；IDS應(yīng)該提供多種實(shí)用的預(yù)定義報(bào)表，支持報(bào)表的自定義功能，支持報(bào)表的定時(shí)自動(dòng)生成；IDS應(yīng)該支持遠(yuǎn)程管理，并應(yīng)采用口令認(rèn)證、SSL加密傳輸來保證遠(yuǎn)程登錄通信的安全性。IDS應(yīng)該采用三層的體系結(jié)構(gòu)，由傳感器、事件收集器與響應(yīng)器、管理控制臺組成。網(wǎng)絡(luò)傳感器檢測所在網(wǎng)段的所有流量，采用包特征檢測、協(xié)議分析、異常檢測等技術(shù)對數(shù)據(jù)流進(jìn)行分析，發(fā)現(xiàn)入侵攻擊等非法行為，能產(chǎn)生各類報(bào)警事件，并具有部分響應(yīng)功能。主機(jī)傳感器部署在重點(diǎn)保護(hù)的主機(jī)上，它監(jiān)視所在主機(jī)上的信息，產(chǎn)生各類事件，并具有部分響應(yīng)功能。管理控制臺提供日常管理的用戶界面，用于管理各個(gè)組件、監(jiān)視警告和審計(jì)信息。事件收集器用來收集來自于各個(gè)傳感器的事件，負(fù)責(zé)存儲、分類、分析，響應(yīng)器用來產(chǎn)生響應(yīng)動(dòng)作，如阻斷、關(guān)閉系統(tǒng)、產(chǎn)生報(bào)警、防火墻聯(lián)動(dòng)等。漏洞掃描漏洞掃描能夠發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的漏洞并幫助清除這些漏洞。如果一個(gè)系統(tǒng)沒有安全漏洞，即使一個(gè)攻擊沒有被發(fā)現(xiàn)，那么這樣的攻擊也不會(huì)成功。根據(jù)工作模式，漏洞掃描系統(tǒng)分為主機(jī)漏洞掃描和網(wǎng)絡(luò)漏洞掃描。其中前者基于主機(jī)，通過在主機(jī)系統(tǒng)本地運(yùn)行代理程序來檢測系統(tǒng)漏洞，例如操作系統(tǒng)掃描器和數(shù)據(jù)庫掃描器。后者基于網(wǎng)絡(luò)，通過請求/應(yīng)答方式遠(yuǎn)程檢測目標(biāo)網(wǎng)絡(luò)和主機(jī)系統(tǒng)的安全漏洞。漏洞掃描系統(tǒng)應(yīng)該采取有效措施，保證系統(tǒng)自身的安全：漏洞掃描系統(tǒng)應(yīng)該具有身份鑒別功能，只有授權(quán)管理員才能使用網(wǎng)絡(luò)安全漏洞掃描產(chǎn)品的完整功能，對于授權(quán)管理員至少應(yīng)采用用戶名口令方式對其進(jìn)行身份認(rèn)證；漏洞掃描系統(tǒng)應(yīng)確保系統(tǒng)存儲的用戶信息、策略信息和關(guān)鍵程序的數(shù)據(jù)完整性，系統(tǒng)各組件間通信應(yīng)采用加密手段，如SSL；漏洞掃描系統(tǒng)對軟件自身的使用應(yīng)有完備的日志記錄，便于審計(jì)跟蹤、分析。漏洞掃描系統(tǒng)應(yīng)該具有如下安全功能：脆弱性掃描：支持對瀏覽器、操作系統(tǒng)、郵件服務(wù)、Web服務(wù)、FTP服務(wù)、DNS、NIS、NFS、RPC、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、木馬、DOS攻擊、弱口令、網(wǎng)絡(luò)共享、主機(jī)重要文件、用戶權(quán)限管理的脆弱性掃描；對代理服務(wù)器等網(wǎng)絡(luò)旁路的檢查；對操作系統(tǒng)類型和版本號進(jìn)行探測，獲取已開啟的各項(xiàng)TCP/IP服務(wù)的旗標(biāo)，對系統(tǒng)硬件信息、系統(tǒng)軟件配置信息、系統(tǒng)網(wǎng)絡(luò)配置信息、共享目錄信息、系統(tǒng)運(yùn)行狀態(tài)等信息進(jìn)行探測；對標(biāo)準(zhǔn)和自定義的端口和服務(wù)進(jìn)行掃描，支持對RPC端口掃描，只能判斷相應(yīng)端口對應(yīng)的服務(wù)或使用的協(xié)議。漏洞掃描系統(tǒng)應(yīng)該具有如下管理功能：具備訪問控制功能，只允許授權(quán)管理員有配置、使用漏洞掃描系統(tǒng)；能夠?qū)呙杞Y(jié)果寫入數(shù)據(jù)庫，從掃描結(jié)果數(shù)據(jù)庫形成報(bào)告，可按照不同的分類定制報(bào)告，報(bào)告可輸出成標(biāo)準(zhǔn)格式，提供全面靈活的掃描結(jié)果數(shù)據(jù)庫瀏覽功能；提供方便靈活的手段對掃描策略進(jìn)行定制，應(yīng)能使用目標(biāo)系統(tǒng)的已知賬號/口令對其進(jìn)行更有效的掃描，應(yīng)能定制掃描項(xiàng)目及屬性，應(yīng)能對策略定制操作形成審計(jì)記錄；對掃描對象進(jìn)行脆弱性掃描時(shí)，應(yīng)保證被掃描對象的穩(wěn)定和安全運(yùn)行，掃描應(yīng)不影響網(wǎng)絡(luò)的正常工作，允許網(wǎng)絡(luò)性能的少量降低。掃描應(yīng)盡量避免使用攻擊方法進(jìn)行測試；在必要時(shí)使用DOS等等攻擊測試手段，測試開始前要給用戶明確的提示，說明該類測試的危害；漏洞掃描系統(tǒng)應(yīng)該具有在線升級和離線升級包兩種升級方式，可以自動(dòng)或手工進(jìn)行，升級應(yīng)保證一月至少有2次，對于升級的漏洞庫應(yīng)包含漏洞名稱、描述和修補(bǔ)建議。漏洞掃描系統(tǒng)根據(jù)工作方式的不同，可以采用單機(jī)模式或者客戶機(jī)/服務(wù)器模式。從系統(tǒng)組成上，漏洞掃描系統(tǒng)由界面、掃描引擎、結(jié)果評估分析和數(shù)據(jù)存儲四部分組成。界面部分負(fù)責(zé)接受并處理用戶輸入、定制掃描策略、開始和終止掃描、定制評估分析報(bào)告等；顯示系統(tǒng)工作狀態(tài)。掃描引擎部分響應(yīng)界面指令；讀取掃描策略數(shù)據(jù)庫，并依此制定執(zhí)行方案；執(zhí)行掃描方案，啟動(dòng)掃描進(jìn)程和線程，并進(jìn)行調(diào)度管理；將掃描結(jié)果存檔保存。結(jié)果評估分析部分讀取數(shù)據(jù)庫中的掃描結(jié)果信息；形成掃描報(bào)告。數(shù)據(jù)存儲部分存放掃描結(jié)果、定制策略內(nèi)容、脆弱性描述及其解決方法；提供數(shù)據(jù)查詢和管理功能。網(wǎng)頁防篡改隨著電子政務(wù)建設(shè)的發(fā)展，公眾網(wǎng)站等重要門戶網(wǎng)站的重要性越來越突出，在互聯(lián)網(wǎng)的安全問題日益嚴(yán)峻的情況下，必須使用網(wǎng)頁防篡改系統(tǒng)來防范黑客的攻擊，保障網(wǎng)站數(shù)據(jù)的完整性和真實(shí)性。網(wǎng)頁防篡改系統(tǒng)應(yīng)具有較強(qiáng)的實(shí)時(shí)性，應(yīng)做到實(shí)時(shí)監(jiān)測、實(shí)時(shí)阻斷、實(shí)時(shí)恢復(fù)、實(shí)時(shí)報(bào)警。網(wǎng)頁防篡改系統(tǒng)實(shí)時(shí)的監(jiān)視網(wǎng)站使用的各類資源文件，一旦出現(xiàn)對文件的非法操作，可以立刻阻斷，使得對文件的修改、替換、刪除等操作都無法進(jìn)行。如果發(fā)現(xiàn)文件已經(jīng)被非法修改，那么防篡改系統(tǒng)應(yīng)該立刻根據(jù)事先制定的策略將被篡改的文件恢復(fù)，這個(gè)過程是全自動(dòng)的，無需人工操作。防篡改系統(tǒng)可對所有的非授權(quán)網(wǎng)頁修改、刪除等操作做到及時(shí)告警，告警內(nèi)容應(yīng)反映全面，應(yīng)包括非法操作的目的文件、操作方式（刪除、修改、重命名等）、響應(yīng)結(jié)果、執(zhí)行程序、阻斷模塊和操作時(shí)間等信息，告警的方式應(yīng)多樣化，方便用戶對事件的監(jiān)控管理，告警方式包括屏幕告警、聲音告警、電子郵件告警、短信告警等。防篡改系統(tǒng)的內(nèi)部組件通信應(yīng)該采用例如以SSL為基礎(chǔ)的安全通道，來保證整個(gè)防篡改系統(tǒng)的信息保密性、信息完整性和不可否認(rèn)性。防篡改系統(tǒng)應(yīng)該支持多虛擬主機(jī)、多虛擬目錄以及動(dòng)態(tài)網(wǎng)頁等常規(guī)Web特性，應(yīng)支持Windows、Linux、Unix上的常見Web應(yīng)用服務(wù)器。防篡改系統(tǒng)應(yīng)具有自身的權(quán)限管理，保證只有具有合法權(quán)限的用戶才能操作、配置系統(tǒng)。同時(shí)，防篡改系統(tǒng)應(yīng)提供完整的日志記錄，易于查閱和管理，并提供日志導(dǎo)出功能，允許用戶將日志信息導(dǎo)出為Excel等常見文件格式進(jìn)行保存或進(jìn)一步處理。防篡改系統(tǒng)支持查詢與審計(jì)功能，便于用戶及時(shí)了解所監(jiān)控的網(wǎng)站的狀態(tài)及一段時(shí)期內(nèi)的異?，F(xiàn)象。CA應(yīng)用安全應(yīng)用支撐系統(tǒng)由數(shù)字證書與密鑰管理系統(tǒng)和訪問控制管理系統(tǒng)組成。內(nèi)網(wǎng)應(yīng)用安全系統(tǒng)結(jié)構(gòu)數(shù)字證書與密鑰管理系統(tǒng)負(fù)責(zé)確定用戶以及相關(guān)設(shè)備的唯一身份，負(fù)責(zé)提供用戶和相關(guān)設(shè)備的數(shù)字簽名和加密的機(jī)制，負(fù)責(zé)提供用戶和相關(guān)設(shè)備數(shù)字證書的管理。數(shù)字證書與密鑰管理系統(tǒng)的建立以非對稱密鑰（公鑰）算法為基礎(chǔ)。訪問控制管理系統(tǒng)負(fù)責(zé)管理各業(yè)務(wù)系統(tǒng)的權(quán)限，負(fù)責(zé)提供各業(yè)務(wù)系統(tǒng)的安全訪問決策，負(fù)責(zé)對各業(yè)務(wù)進(jìn)行安全訪問控制，負(fù)責(zé)業(yè)務(wù)系統(tǒng)的安全訪問審計(jì)。數(shù)字證書和密鑰管理系統(tǒng)功能描述數(shù)字證書與密鑰管理系統(tǒng)建設(shè)的目的是健全信息系統(tǒng)的用戶管理，實(shí)現(xiàn)信息系統(tǒng)的如下安全要求：身份認(rèn)證－身份識別與鑒別數(shù)據(jù)完整－確認(rèn)信息沒有被修改數(shù)據(jù)保密－確保數(shù)據(jù)的秘密，非授權(quán)者無法得到明文不可否認(rèn)－確保實(shí)體對其行為的確定，不可抵賴為此，業(yè)務(wù)應(yīng)用，要求對信息系統(tǒng)使用用戶及相關(guān)設(shè)備進(jìn)行統(tǒng)一的用戶管理，統(tǒng)一頒發(fā)“數(shù)字用戶證書”，各系統(tǒng)為使用用戶和相關(guān)設(shè)備進(jìn)行統(tǒng)一的用戶身份認(rèn)證?！皵?shù)字用戶證書”應(yīng)該包括：“數(shù)字證書”的版本號；“數(shù)字證書”的序列號；“數(shù)字證書”所有者（用戶或設(shè)備）；“數(shù)字證書”所有者的“公開密鑰”；“公開密鑰”的有效期；“數(shù)字簽名”的算法；“數(shù)字證書”的發(fā)放單位；“數(shù)字證書”發(fā)放單位的“數(shù)字簽名”。針對應(yīng)用系統(tǒng)的實(shí)際需要，數(shù)字證書分為個(gè)人證書和設(shè)備證書。數(shù)字個(gè)人證書用以確認(rèn)個(gè)人用戶，在系統(tǒng)中數(shù)字個(gè)人證書被認(rèn)定為用戶的個(gè)人身份，數(shù)字個(gè)人證書介質(zhì)由用戶個(gè)人保存。數(shù)字設(shè)備證書用以確認(rèn)系統(tǒng)用戶設(shè)備，在系統(tǒng)中數(shù)字設(shè)備證書被認(rèn)定為獨(dú)立的設(shè)備（如果設(shè)備只運(yùn)行唯一的系統(tǒng)，可認(rèn)為是認(rèn)定系統(tǒng)），數(shù)字設(shè)備證書的介質(zhì)與設(shè)備緊密結(jié)合（如內(nèi)置板卡）。非對稱密鑰（公共密鑰）理論為上述需求提供了理論基礎(chǔ)，數(shù)字證書和密鑰管理系統(tǒng)是利用公鑰理論和技術(shù)建立的信息安全基礎(chǔ)服務(wù)設(shè)施，是用于密鑰管理和數(shù)字證書申請、審核、簽發(fā)、注銷更新、查詢的綜合管理系統(tǒng)，并提供時(shí)間戳服務(wù)。采用的非對稱密鑰長度不得少于1024位，對稱密鑰不得少于128位。系統(tǒng)對私鑰的保護(hù)密碼鑒別嘗試失敗達(dá)到5次后，用戶被鎖死，由安全管理員負(fù)責(zé)解鎖。系統(tǒng)結(jié)構(gòu)數(shù)字證書與密鑰管理系統(tǒng)由密鑰管理、數(shù)字身份證書管理兩部分組成，其中密鑰管理的主體是密鑰管理中心（KMC），而身份證書管理由證書注冊權(quán)威機(jī)構(gòu)（RA）、證書認(rèn)證權(quán)威機(jī)構(gòu)（CA）實(shí)現(xiàn)。除上述機(jī)構(gòu)提供的密鑰管理服務(wù)、身份注冊服務(wù)和數(shù)字證書認(rèn)證服務(wù)外，數(shù)字證書與密鑰管理系統(tǒng)還提供信息發(fā)布和時(shí)間戳服務(wù)。數(shù)字證書與密鑰管理系統(tǒng)結(jié)構(gòu)其中：KMC服務(wù)器：KMC服務(wù)的核心。為CA服務(wù)和RA服務(wù)提供密鑰管理服務(wù)。CA服務(wù)器：CA服務(wù)的核心。負(fù)責(zé)簽發(fā)、更新、回收用戶的證書（CRL），并管理CA自身的簽名。RA服務(wù)器：RA服務(wù)的核心。負(fù)責(zé)用戶申請信息的錄入、審核用戶的身份合法性，接收CA服務(wù)器的返回信息（包括證書、私鑰等）并通知用戶。目錄服務(wù)器：是證書發(fā)布和證書撤消列表（CRL）發(fā)布的核心。用戶的證書和證書撤消列表保存在目錄服務(wù)中，方便對用戶證書和證書撤消列表的查詢。Web服務(wù)器：用以驗(yàn)證用戶身份/用戶簽名，同時(shí)提供時(shí)間戳服務(wù)，用于數(shù)據(jù)的時(shí)間公證。內(nèi)網(wǎng)用戶和設(shè)備的證書由中心統(tǒng)一注冊和頒發(fā)，數(shù)字證書介質(zhì)通過安全郵寄的方式送達(dá)用戶手中。證書介質(zhì)中的密鑰，通過網(wǎng)絡(luò)遠(yuǎn)程更新。流程和接口一、數(shù)字身份證書申請數(shù)字證書的申請應(yīng)由證書申請人到RA中心進(jìn)行登記，出示身份證和其它證據(jù)，驗(yàn)證合格；驗(yàn)證通過后，RA將向CA提出申請；CA驗(yàn)證RA的申請，向KM中心申請密鑰；CA根據(jù)該密鑰構(gòu)造證書，并發(fā)布；RA負(fù)責(zé)將證書/私鑰Token交給用戶。二、數(shù)據(jù)加密與簽名數(shù)字證書可以保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性和不可否認(rèn)性，以下是一種數(shù)據(jù)加密傳輸?shù)牧鞒膛e例：甲準(zhǔn)備好要傳送的數(shù)字信息（明文）。甲對數(shù)字信息進(jìn)行哈希運(yùn)算，得到一個(gè)信息摘要。甲用自己的私鑰對信息摘要進(jìn)行加密得到甲的數(shù)字簽名，并將其附在數(shù)字信息上。甲隨機(jī)產(chǎn)生一個(gè)傳輸加密密鑰，并用此密鑰對要發(fā)送的信息進(jìn)行加密，形成密文。甲用乙的公鑰對剛才隨機(jī)產(chǎn)生的加密密鑰進(jìn)行加密，將加密后的傳輸密鑰連同密文一起傳送給乙。乙收到甲傳送過來的密文和加過密的傳輸密鑰，先用自己的私鑰對加密的傳輸密鑰進(jìn)行解密，得到傳輸密鑰。乙然后用傳輸密鑰對收到的密文進(jìn)行解密，得到明文的數(shù)字信息，然后將傳輸密鑰作廢。乙用甲的公鑰對甲的數(shù)字簽名進(jìn)行解密，得到信息摘要。乙用相同的哈希算法對收到的明文再進(jìn)行一次哈希運(yùn)算，得到一個(gè)新的信息摘要。乙用甲的公鑰對收到的摘要進(jìn)行解密，形成摘要明文。乙將收到的信息摘要的明文和新產(chǎn)生的信息摘要進(jìn)行比較，如果一致，說明收到的信息沒有被修改過。三、時(shí)間戳服務(wù)申請時(shí)間戳服務(wù)的應(yīng)用系統(tǒng)先形成需要加注“數(shù)字時(shí)間戳”文件的“摘要”，并將“摘要”發(fā)送到“數(shù)字時(shí)間戳”服務(wù)機(jī)構(gòu)（由Web服務(wù)器擔(dān)任）；“數(shù)字時(shí)間戳”服務(wù)機(jī)構(gòu)對收到的文件摘要加注日期和時(shí)間信息，并對摘要以及加注的時(shí)間信息進(jìn)行數(shù)字簽名后發(fā)布給應(yīng)用。四、身份驗(yàn)證需要進(jìn)行用戶身份驗(yàn)證的應(yīng)用系統(tǒng)通過應(yīng)用端安全套件向數(shù)字證書管理系統(tǒng)的Web服務(wù)器提交用戶證書；數(shù)字證書管理系統(tǒng)的Web服務(wù)器根據(jù)用戶證書確定用戶身份，并頒發(fā)會(huì)話證書給應(yīng)用；應(yīng)用系統(tǒng)的應(yīng)用端安全套件保存本次登錄的會(huì)話證書，為保證C/S應(yīng)用直接（不通過業(yè)務(wù)服務(wù)器）取得會(huì)話證書，會(huì)話證書同時(shí)被保存在Token中。五、用戶退出系統(tǒng)當(dāng)用戶提出退出登錄或非法移除Token，應(yīng)用端安全套件提取保留的用戶請求的會(huì)話證書，提交給數(shù)字證書管理系統(tǒng)的Web服務(wù)器進(jìn)行證書確認(rèn)；數(shù)字證書管理系統(tǒng)的Web服務(wù)器確認(rèn)證書后，提示應(yīng)用端安全套件清除用戶身份；如果Token存在，應(yīng)用端安全套件同時(shí)在Token里清除用戶身份。六、單點(diǎn)登錄判斷用戶是否已經(jīng)進(jìn)行過登錄，應(yīng)用系統(tǒng)的應(yīng)用端安全套件首先確認(rèn)Token不是新接入系統(tǒng)的；如果不是，則應(yīng)用系統(tǒng)檢查是否存在會(huì)話證書（如用戶Token中）；若存在會(huì)話證書，提交會(huì)話證書給數(shù)字證書管理系統(tǒng)的Web服務(wù)器進(jìn)行確認(rèn)；若數(shù)字證書管理系統(tǒng)的Web服務(wù)器識別會(huì)話證書有效，則確認(rèn)用戶已經(jīng)登錄，返回用戶已授權(quán)。七、系統(tǒng)認(rèn)證部分系統(tǒng)服務(wù)針對其它的系統(tǒng)或同時(shí)針對系統(tǒng)或用戶，這樣的系統(tǒng)服務(wù)必須提供系統(tǒng)訪問的接口，并提供對系統(tǒng)的認(rèn)證功能。系統(tǒng)的認(rèn)證借助設(shè)備的數(shù)字證書，由設(shè)備協(xié)助系統(tǒng)完成認(rèn)證工作。系統(tǒng)對另一系統(tǒng)發(fā)起訪問請求時(shí)，發(fā)起訪問系統(tǒng)請求設(shè)備對系統(tǒng)標(biāo)識進(jìn)行簽名，并將簽名的系統(tǒng)標(biāo)識和設(shè)備證書發(fā)給服務(wù)系統(tǒng)；服務(wù)系統(tǒng)通過數(shù)字證書管理系統(tǒng)的Web服務(wù)器驗(yàn)證用戶身份，并根據(jù)數(shù)字證書頒發(fā)設(shè)備會(huì)話證書給服務(wù)系統(tǒng)；服務(wù)系統(tǒng)保存請求系統(tǒng)標(biāo)識別和設(shè)備會(huì)話證書。訪問控制管理系統(tǒng)功能描述訪問控制管理系統(tǒng)在屬性證書的基礎(chǔ)上提供基于角色的訪問控制。訪問控制管理系統(tǒng)由訪問控制服務(wù)器和應(yīng)用端安全套件組成，訪問控制服務(wù)器構(gòu)成訪問控制決策點(diǎn)，應(yīng)用端安全套件和應(yīng)用系統(tǒng)共同構(gòu)成訪問控制執(zhí)行點(diǎn)。同時(shí)，應(yīng)用端安全套件還與數(shù)字證書管理系統(tǒng)、Token管理軟件相配合，提供綜合的應(yīng)用端功能。訪問控制服務(wù)器對各個(gè)業(yè)務(wù)系統(tǒng)的角色、權(quán)限內(nèi)容進(jìn)行管理，內(nèi)含針對系統(tǒng)和屬性的LDAP服務(wù)器，可以根據(jù)業(yè)務(wù)系統(tǒng)和注冊屬性進(jìn)行權(quán)限發(fā)布。訪問控制服務(wù)器按“身份——角色——權(quán)限”三級模式管理業(yè)務(wù)系統(tǒng)的用戶權(quán)限。系統(tǒng)權(quán)限分為功能權(quán)限和范圍權(quán)限。功能權(quán)限標(biāo)識可以進(jìn)行的功能操作，如：查詢顯示、修改、審批等。范圍權(quán)限標(biāo)識功能處理的數(shù)據(jù)范圍，如：上周數(shù)據(jù)、本省數(shù)據(jù)等。功能權(quán)限由訪問控制服務(wù)器進(jìn)行統(tǒng)一管理，并按“系統(tǒng)——模塊——功能”三級進(jìn)行定義。范圍權(quán)限由業(yè)務(wù)系統(tǒng)根據(jù)屬性信息、業(yè)務(wù)要求、管理要求自行管理。訪問控制服務(wù)器對權(quán)限的管理如所示：角色和權(quán)限的層次關(guān)系訪問控制服務(wù)器按樹狀結(jié)構(gòu)管理平臺系統(tǒng)和業(yè)務(wù)系統(tǒng)的角色與權(quán)限。角色是權(quán)限的集合，角色集合間可以存在交集。角色屬于系統(tǒng)，不同系統(tǒng)中的角色之間、權(quán)限之間不存在關(guān)系。角色可以分配給數(shù)字證書管理系統(tǒng)中的用戶（或設(shè)備+系統(tǒng)）身份，一個(gè)數(shù)字身份可以擁有一個(gè)系統(tǒng)中的若干角色。如圖：系統(tǒng)角色和數(shù)字身份的對應(yīng)關(guān)系從身份的角度出發(fā)，一個(gè)用戶（或設(shè)備+系統(tǒng)）身份可以對應(yīng)不同系統(tǒng)中的若干角色。如圖：屬性可以對應(yīng)不同系統(tǒng)中的多個(gè)角色應(yīng)用端安全套件作為安全應(yīng)用支撐平臺的代理，為應(yīng)用系統(tǒng)提供認(rèn)證、訪問控制、安全審計(jì)全方位安全支撐。系統(tǒng)結(jié)構(gòu)訪問控制管理系統(tǒng)由訪問控制服務(wù)器和應(yīng)用端安全套件組成，系統(tǒng)結(jié)構(gòu)如下圖所示：訪問控制管理系統(tǒng)結(jié)構(gòu)及和其他系統(tǒng)接口訪問控制服務(wù)器提供權(quán)限和角色的管理接口，集中管理各系統(tǒng)權(quán)限、角色、權(quán)限和角色的所屬關(guān)系，并通過應(yīng)用端安全套件提供鑒權(quán)、訪問控制服務(wù)和權(quán)限管理服務(wù)。此外，訪問控制服務(wù)器還結(jié)合應(yīng)用端安全套件，進(jìn)行訪問控制安全審計(jì)。應(yīng)用端安全套件為業(yè)務(wù)系統(tǒng)提供安全訪問代理，解決業(yè)務(wù)系統(tǒng)和安全平臺的接口調(diào)用。應(yīng)用端安全套件以組件方式，緊密偶合在C/S系統(tǒng)的Client端和B/S系統(tǒng)的服務(wù)器、Browser頁面中。應(yīng)用端安全套件實(shí)現(xiàn)對私鑰存儲介質(zhì)（如Token）的訪問，代替私鑰存儲介質(zhì)確認(rèn)操作者對鑰匙設(shè)備的使用權(quán)利。應(yīng)用端安全套件實(shí)現(xiàn)私鑰簽名。應(yīng)用端安全套件和數(shù)字證書管理系統(tǒng)進(jìn)行交互，通過私鑰簽名確認(rèn)登錄的用戶身份，并保存本次登錄的用戶會(huì)話證書。應(yīng)用端安全套件和訪問控制服務(wù)器配合，輔助應(yīng)用系統(tǒng)確認(rèn)用戶所具有的權(quán)限，為應(yīng)用系統(tǒng)提供權(quán)限的判斷機(jī)制。C/S結(jié)構(gòu)下應(yīng)用端安全套件以組件方式（如ActiveX、JavaBean）提供給應(yīng)用系統(tǒng)，組件通過加密通道與各安全服務(wù)器交互；對于B/S結(jié)構(gòu)下應(yīng)用端安全套件增加一個(gè)瀏覽器端插件，將用戶界面和私鑰介質(zhì)管理延伸到瀏覽器環(huán)境中，瀏覽器端插件和Web服務(wù)器端組件通過加密通道進(jìn)行交互。流程和接口一、業(yè)務(wù)權(quán)限注冊業(yè)務(wù)系統(tǒng)的權(quán)限注冊可以是離線方式或在線方式，由訪問控制機(jī)構(gòu)完成。權(quán)限以角色方式分配給特定用戶，注冊內(nèi)容包括應(yīng)用系統(tǒng)信息、權(quán)限集合和說明、角色集合和說明、角色/權(quán)限分配關(guān)系。二、訪問控制需要進(jìn)行訪問控制的應(yīng)用系統(tǒng)將數(shù)字身份證書、會(huì)話證書提交訪問控制服務(wù)器；訪問控制服務(wù)器根據(jù)角色、用戶、訪問對象和系統(tǒng)標(biāo)識等信息，決策對保護(hù)資源的訪問權(quán)限，并將許可權(quán)或權(quán)限列表返回應(yīng)用；應(yīng)用根據(jù)返回結(jié)果，訪問受保護(hù)資源，并返回用戶結(jié)果。系統(tǒng)管理CA服務(wù)內(nèi)部工作人員負(fù)責(zé)CA機(jī)構(gòu)內(nèi)部證書管理，負(fù)責(zé)CA系統(tǒng)的安裝、配置、運(yùn)行、備份、升級、日常維護(hù)，負(fù)責(zé)CA系統(tǒng)的審計(jì)，負(fù)責(zé)用戶證書簽發(fā)。RA服務(wù)內(nèi)部工作人員負(fù)責(zé)身份資料管理，負(fù)責(zé)RA系統(tǒng)的安裝、配置、運(yùn)行、備份、升級、日常維護(hù)，負(fù)責(zé)受理用戶的申請，進(jìn)行信息的正確錄入，負(fù)責(zé)用戶信息的審核。AA服務(wù)內(nèi)部工作人員負(fù)責(zé)內(nèi)部證書管理，負(fù)責(zé)AA系統(tǒng)的安裝、配置、運(yùn)行、備份、升級、日常維護(hù)，負(fù)責(zé)AA系統(tǒng)的審計(jì)，負(fù)責(zé)屬性證書簽發(fā)。ARA服務(wù)內(nèi)部工作人員負(fù)責(zé)屬性資料管理，負(fù)責(zé)ARA系統(tǒng)的安裝、配置、運(yùn)行、備份、升級、日常維護(hù)，負(fù)責(zé)受理用戶的申請，進(jìn)行信息的正確錄入負(fù)責(zé)屬性信息的審核。訪問控制服務(wù)內(nèi)部工作人員負(fù)責(zé)權(quán)限資料管理，負(fù)責(zé)訪問控制系統(tǒng)的安裝、配置、運(yùn)行、備份、升級、日常維護(hù)，負(fù)責(zé)受理用戶的申請，進(jìn)行信息的正確錄入，負(fù)責(zé)權(quán)限信息的審核安全應(yīng)用支撐平臺與系統(tǒng)網(wǎng)絡(luò)管理平臺存在接口，由于安全應(yīng)用支撐平臺的特殊地位，只有數(shù)字證書管理系統(tǒng)和授權(quán)管理系統(tǒng)的Web服務(wù)器、LDAP服務(wù)器，以及訪問控制服務(wù)器可以由系統(tǒng)網(wǎng)絡(luò)管理平臺進(jìn)行管理，其他各服務(wù)器由各安全部門自行管理。實(shí)施建議KMC、CA系統(tǒng)應(yīng)該單獨(dú)部署，與應(yīng)用環(huán)境相隔離，通過專有傳輸通道或移動(dòng)存儲介質(zhì)與RA、LDAP服務(wù)器交換信息。RA系統(tǒng)設(shè)立用戶柜臺，提供人員交互界面，方便驗(yàn)證證件、證書等；RA與CA采用專有傳輸通道或移動(dòng)存儲介質(zhì)交換數(shù)據(jù)；RA可以在線受理業(yè)務(wù)。LDAP服務(wù)器提供在線服務(wù)；LDAP服務(wù)器與CA采用專有傳輸通道或移動(dòng)存儲介質(zhì)交換數(shù)據(jù)。Web服務(wù)器提供在線服務(wù)（包括時(shí)間戳服務(wù)），Web服務(wù)器通過網(wǎng)絡(luò)從LDAP服務(wù)器采集數(shù)據(jù)。已建業(yè)務(wù)系統(tǒng)（OA、規(guī)劃系統(tǒng)）不能做結(jié)構(gòu)調(diào)整的，通過訪問CA端目錄服務(wù)器進(jìn)行用戶信息同步。AA服務(wù)器屬性證書的申請應(yīng)采用離線方式，屬性證書的發(fā)放由AA審核員進(jìn)行審核，由錄入員（柜臺ARA）負(fù)責(zé)信息整理。Web服務(wù)器提供在線服務(wù)，Web服務(wù)器通過網(wǎng)絡(luò)從LDAP服務(wù)器采集數(shù)據(jù)。業(yè)務(wù)系統(tǒng)通過LDAP或Web服務(wù)獲得用戶屬性證書。在訪問控制服務(wù)器中，業(yè)務(wù)系統(tǒng)的權(quán)限注冊采用離線方式（設(shè)立柜臺），權(quán)限的注冊由審核員進(jìn)行審核，由錄入員（柜臺）負(fù)責(zé)信息整理。應(yīng)用端安全套件隨應(yīng)用系統(tǒng)部署。數(shù)字證書管理系統(tǒng)投入運(yùn)營之前應(yīng)制定完善的《數(shù)字證書實(shí)行聲明》，《數(shù)字證書實(shí)行聲明》至少應(yīng)該包括：數(shù)字證書認(rèn)證和管理機(jī)構(gòu)的闡述；數(shù)字證書的功能和適用性；數(shù)字證書申請、使用、續(xù)訂和撤消的業(yè)務(wù)流程；數(shù)字證書使用者/管理者雙方的職責(zé)、權(quán)力和義務(wù)；數(shù)字證書認(rèn)證和管理機(jī)構(gòu)的管理制度和審計(jì)要求；數(shù)字證書的法律相關(guān)作用；數(shù)字證書認(rèn)證的業(yè)務(wù)糾紛處理準(zhǔn)則。4.2.12安全管理體制任何網(wǎng)絡(luò)僅在技術(shù)上是做不到完整的安全的，還需要建立一套科學(xué)、嚴(yán)密的網(wǎng)絡(luò)安全管理體系，提供制度上的保證，將由于內(nèi)、外部的非法訪問或惡意攻擊造成的損失減少到最小。管理目標(biāo)網(wǎng)絡(luò)安全管理目標(biāo)是：采取集中控制、分級管理的模式，建立由專人負(fù)責(zé)安全事件定期報(bào)告和檢查制度，從而在管理上確保全方位、多層次、快速有效的網(wǎng)絡(luò)安全防護(hù)。管理框架考慮到管理體系建立需要有詳細(xì)的組織架構(gòu)、人員配備及網(wǎng)絡(luò)結(jié)構(gòu)等方面的信息，所以此建議書中僅就網(wǎng)絡(luò)安全規(guī)范提供一個(gè)框架性建議，具體管理規(guī)范有待我們對系統(tǒng)進(jìn)行全面、詳細(xì)的調(diào)查后，與信息部門合作或獨(dú)立完成。根據(jù)管理規(guī)范內(nèi)容的重要程度和安全管理的復(fù)雜性特點(diǎn)，我們認(rèn)為管理規(guī)范應(yīng)包括技術(shù)、人員與組織結(jié)構(gòu)、應(yīng)急事件、安全響應(yīng)服務(wù)、安全培訓(xùn)五個(gè)方面的內(nèi)容，如下圖：安全技術(shù)規(guī)范日常操作管理辦法：日常操作規(guī)范主要是對日常工作職責(zé)、內(nèi)容、操作流程所做的規(guī)定，從而實(shí)現(xiàn)安全防護(hù)的程序化和統(tǒng)一化管理，主要內(nèi)容包括：各種軟件安裝、調(diào)試、維護(hù)、卸載權(quán)限和流程；管理員日常監(jiān)管職責(zé)劃分；安全掃描評估方式選擇；安全事件發(fā)現(xiàn)后的分析與記錄；對本級和下級安全設(shè)備及軟件運(yùn)行狀態(tài)、問題處理的監(jiān)控；突發(fā)事件緊急處理、報(bào)告程序安全策略配置管理辦法：根據(jù)安全問題潛存環(huán)境的差異和對環(huán)境關(guān)注程度的不同，選擇相應(yīng)的網(wǎng)絡(luò)安全策略是網(wǎng)絡(luò)安全建設(shè)非常重要的一步，突出重點(diǎn)、兼顧一般的策略配置能夠降低風(fēng)險(xiǎn)，其主要內(nèi)容包括：策略配置目標(biāo)不同環(huán)境要求下的策略分類不同策略配置權(quán)限劃分和配置流程策略配置效果分析策略配置修正數(shù)據(jù)備份管理辦法：出于對數(shù)據(jù)安全性、可恢復(fù)性考慮，適時(shí)的數(shù)據(jù)備份能夠?qū)崿F(xiàn)防范的目的，同時(shí)能夠提高遭破壞后的數(shù)據(jù)恢復(fù)速度，而更重要的是對備份數(shù)據(jù)是否存在安全隱患，確保備份數(shù)據(jù)的真正安全可靠，這是數(shù)據(jù)備份管理規(guī)范區(qū)別于傳統(tǒng)數(shù)據(jù)備份的重大區(qū)別所在，其主要內(nèi)容包括：數(shù)據(jù)重要性級別劃分；不同級別數(shù)據(jù)備份更新頻率；備份流程；備份數(shù)據(jù)的保管；備份數(shù)據(jù)病毒查殺與恢復(fù)；攻擊事件預(yù)警管理辦法；預(yù)警是對出現(xiàn)攻擊事件的報(bào)警，其主要內(nèi)容包括；安全事件報(bào)警形式（電子郵件、短信、LAN即時(shí)消息等）預(yù)警結(jié)果傳送渠道；預(yù)警結(jié)果的處理；日志管理辦法；日志是軟件對安全防護(hù)系統(tǒng)工作運(yùn)行結(jié)果進(jìn)行的記錄，是管理員進(jìn)行統(tǒng)計(jì)分析和發(fā)現(xiàn)問題的一種方主要包括：日志生成統(tǒng)計(jì)分析重要情況通報(bào)人員與組織結(jié)構(gòu)安全防護(hù)系統(tǒng)能否真正實(shí)現(xiàn)最終取決于如何對政務(wù)各類人員進(jìn)行有效的人員配置和組織結(jié)構(gòu)的設(shè)定以及檢查監(jiān)督機(jī)制的建立。安全崗位職責(zé)設(shè)置（體現(xiàn)集中控制，分級管理）主要內(nèi)容包括：人員崗位、數(shù)量、職責(zé)定義計(jì)算機(jī)軟件及文件管理辦法（針對所有人員）：此項(xiàng)適用所有人員，其主要內(nèi)容包括：軟件購置的授權(quán)、病毒測試、安裝流程軟件的日常維護(hù)計(jì)算機(jī)文件保存、傳送流程外界存儲介質(zhì)使用前的病毒測試有無BUG，對現(xiàn)有版本的軟件進(jìn)行補(bǔ)丁升級文檔管理辦法：其主要內(nèi)容包括：文檔標(biāo)準(zhǔn)定義文檔管理要求文檔分類文檔密級的產(chǎn)生、整理、存儲、使用、管理步驟檢查及獎(jiǎng)懲辦法建立有效的安全約束與監(jiān)督機(jī)制能夠保證其他規(guī)范得到實(shí)際遵守和執(zhí)行，其主要內(nèi)容包括：檢查目的定義檢查依據(jù)檢查人員構(gòu)成、方法、頻率檢查結(jié)果反饋與獎(jiǎng)罰應(yīng)急事件與響應(yīng)對出現(xiàn)的黑客攻擊或惡意破壞事件進(jìn)行及時(shí)、有效的報(bào)警、切斷、記錄等。制定較為詳細(xì)的、可操作性應(yīng)急事件處理規(guī)范是保證系統(tǒng)不受影響的關(guān)鍵，其主要內(nèi)容包括：技術(shù)事件定義技術(shù)事件分類針對不同類型事件確定報(bào)告程序、時(shí)間和受理對象不同事件應(yīng)急解決方案事件原因分析及責(zé)任確定處理結(jié)果報(bào)告安全培訓(xùn)為了將安全隱患減少到最低，需要加強(qiáng)對安全知識的普及，讓每一位操作者都成為安全衛(wèi)士，才能實(shí)現(xiàn)真正意義上的全方位的安全。安全基礎(chǔ)知識培訓(xùn)管理規(guī)范：側(cè)重于基礎(chǔ)知識和日常安全防范措施的實(shí)踐性培訓(xùn)，主要內(nèi)容包括：基本要求培訓(xùn)內(nèi)容培訓(xùn)組織、時(shí)間安排培訓(xùn)效果考核、評價(jià)后續(xù)培訓(xùn)計(jì)劃備份與恢復(fù)方案電子政務(wù)系統(tǒng)中每天都有大量的公文數(shù)據(jù)、郵件等信息，因此內(nèi)部管理數(shù)據(jù)需要日常備份，以便能夠在緊急情況下快速恢復(fù)系統(tǒng)和數(shù)據(jù)。以下即是金和軟件從硬件級別和軟件級別兩方面設(shè)計(jì)的系統(tǒng)備份方案，避免系統(tǒng)故障造成損失。4.硬件級別的備份數(shù)據(jù)庫服務(wù)器和應(yīng)用服務(wù)器可以采用RAID5的功能，可以防止單塊硬盤損壞造成的無法彌補(bǔ)的損失。RAID5是在高端存儲應(yīng)用中最常用的一種磁盤陣列方式。RAID5需要至少3塊以上的硬盤構(gòu)成，RAID5也是將數(shù)據(jù)條帶化，然后將數(shù)據(jù)分別同時(shí)寫到每一個(gè)硬盤中。RAID5采用了數(shù)據(jù)冗余和糾錯(cuò)的概念，它是將每一個(gè)條帶里面的數(shù)據(jù)包通過一種算法生成一個(gè)校驗(yàn)塊，這個(gè)校驗(yàn)塊用于數(shù)據(jù)的校驗(yàn)和恢復(fù)。校驗(yàn)塊的位置在RAID5里面是分散的，它分布于各個(gè)硬盤中間。由于有了校驗(yàn)塊，RAID5可以做到當(dāng)一個(gè)硬盤出現(xiàn)故障的時(shí)候，可以通過校驗(yàn)塊的內(nèi)容對這個(gè)有故障的硬盤內(nèi)的數(shù)據(jù)進(jìn)行恢復(fù)，從而提高整個(gè)磁盤子系統(tǒng)的可靠性?？梢蕴砑親PSureStoreDAT24外置式磁帶機(jī)，HPSureStoreDAT24備份性能卓越，可靠性強(qiáng)，是一種功能強(qiáng)大的數(shù)據(jù)存儲解決方案之一。引入先進(jìn)單鍵式災(zāi)難恢復(fù)技術(shù)。只需備有磁帶機(jī)和最新的備份磁帶，用戶即可從硬盤故障、數(shù)據(jù)損壞和病毒感染中進(jìn)行文件的恢復(fù)。輕輕觸動(dòng)按鈕，操作系統(tǒng)、配置、應(yīng)用程序和數(shù)據(jù)即可輕松恢復(fù)到磁帶備份時(shí)的狀態(tài)。4.軟件級別的備份活動(dòng)目錄的備份活動(dòng)目錄中存儲了全部系統(tǒng)的管理信息，需要每周手工備份一次。應(yīng)用系統(tǒng)備份金和電子政務(wù)系統(tǒng)有內(nèi)置的數(shù)據(jù)備份功能，可以自動(dòng)完成系統(tǒng)的備份功能，也可以利用數(shù)據(jù)備份功能手工進(jìn)行備份。金和電子政務(wù)系統(tǒng)數(shù)據(jù)備份功能可以完成：數(shù)據(jù)庫全備份文件全備份數(shù)據(jù)庫增量備份文件增量備份

第五章xx政府電子政務(wù)系統(tǒng)系統(tǒng)實(shí)施與培訓(xùn)方案5.1金和軟件實(shí)施流程金和軟件實(shí)施方法主要按照以下幾個(gè)階段，分步驟進(jìn)行：項(xiàng)目規(guī)劃階段項(xiàng)目規(guī)劃階段是根據(jù)客戶方的實(shí)際情況對軟件項(xiàng)目實(shí)施進(jìn)行準(zhǔn)備、計(jì)劃的階段。數(shù)據(jù)準(zhǔn)備階段數(shù)據(jù)準(zhǔn)備階段是項(xiàng)目實(shí)施中對客戶方的管理數(shù)據(jù)和流程進(jìn)行整理，并規(guī)范為適合信息化可應(yīng)用的系統(tǒng)數(shù)據(jù)的階段。系統(tǒng)建設(shè)階段系統(tǒng)建設(shè)階段是搭建軟件系統(tǒng)，并進(jìn)行初始化和調(diào)試的階段。二次開發(fā)階段二次開發(fā)階段是對客戶的個(gè)性化需求通過二次開發(fā)模塊進(jìn)行開發(fā)和調(diào)試的階段。系統(tǒng)培訓(xùn)階段系統(tǒng)培訓(xùn)階段是對不同角色的用戶進(jìn)行相應(yīng)內(nèi)容培訓(xùn)的階段。系統(tǒng)推廣階段系統(tǒng)推廣階段是系統(tǒng)進(jìn)入到試運(yùn)行的階段，主要解決遺留的各類問題，幫助推廣使用。系統(tǒng)驗(yàn)收階段系統(tǒng)驗(yàn)收階段是對整個(gè)項(xiàng)目進(jìn)行平臺、功能、實(shí)施驗(yàn)收的階段。各方面的不同步驟存在著相互制約關(guān)系，因此管理好各方面的流程可以縮短系統(tǒng)實(shí)施時(shí)間。這即需要金和的實(shí)施人員認(rèn)真的按流程工作，又需要積極參與和通力合作。5.2組建實(shí)施小組、制定實(shí)施時(shí)間表由金和技術(shù)服務(wù)部與客戶一起組成實(shí)施小組。客戶領(lǐng)導(dǎo)（負(fù)責(zé)審定需求報(bào)告）客戶具體項(xiàng)目負(fù)責(zé)人（負(fù)責(zé)有關(guān)數(shù)據(jù)收集）客戶其他相關(guān)人員（負(fù)責(zé)有關(guān)數(shù)據(jù)準(zhǔn)備）金和客戶服務(wù)經(jīng)理（負(fù)責(zé)審核需求報(bào)告與實(shí)施方案）金和實(shí)施工程師（實(shí)施主要負(fù)責(zé)人，負(fù)責(zé)寫出實(shí)施方案）金和銷售經(jīng)理（負(fù)責(zé)協(xié)調(diào)）工作內(nèi)容負(fù)責(zé)人協(xié)助人開始日期結(jié)束日期數(shù)據(jù)資料收集準(zhǔn)備完畢軟件安裝完畢數(shù)據(jù)初始化，全部設(shè)置完畢系統(tǒng)功能驗(yàn)收完畢系統(tǒng)試運(yùn)行完畢

網(wǎng)絡(luò)環(huán)境應(yīng)用模式接入模式需要做的工作安全模式局域網(wǎng)內(nèi)應(yīng)用不需要接入，與因特網(wǎng)物理隔離無安全性最高，方便性最差，適合政府機(jī)關(guān)、科研等單位專線廣域網(wǎng)應(yīng)用有1MB以上專線接入，有固定IP地址申請專線接入，購買安裝硬件防火墻要求安裝硬件防火墻，安全性比較高，使用方便租用服務(wù)器無需接入，只要能上網(wǎng)就可以租用金和的服務(wù)器對于暫時(shí)沒有以上環(huán)境有想馬上使用金和軟件的客戶，金和提供臨時(shí)的服務(wù)器租用服務(wù)?？蛻糁恍枰ㄆ诮蛔庥觅M(fèi)就可以得到和“專線廣域網(wǎng)應(yīng)用”一樣的應(yīng)用環(huán)境。待客戶條件完善后金和負(fù)責(zé)幫助客戶把系統(tǒng)遷移回自己的服務(wù)器里。服務(wù)器硬件環(huán)境要求CPU要求最低為至強(qiáng)內(nèi)存要求最低為1G硬盤要求最低為80G以上配置是服務(wù)器最低要求，建議客戶在費(fèi)用允許的情況下購買較高配置的服務(wù)器。服務(wù)器軟件環(huán)境要求操作系統(tǒng)必須是WINDOWS2000SERVER以上版本（IIS必須安裝）數(shù)據(jù)庫系統(tǒng)必須SQLSERVER2000以上版本辦公人員工作用機(jī)軟硬件要求硬件要求PentiumII以上CPU、內(nèi)存64M、硬盤1G、10M以上網(wǎng)卡軟件要求WINDOWS95/98或WINDOWS2000或WINDOWSNT安裝OFFICE2000以上版本分辨率為1024*768客戶需要按如下要求在服務(wù)器上安裝好下列軟件：操作系統(tǒng):Windows2000Server中文標(biāo)準(zhǔn)安裝，安裝組件：Internet信息服務(wù)(IIS)（安裝過程中設(shè)定的客戶端數(shù)高于金和軟件用戶數(shù)，設(shè)定Administrator密碼并記錄備忘）；打好Windows2000Server的補(bǔ)丁SP4。數(shù)據(jù)庫:SQLserver2000中文（安裝過程中選擇混合模式登錄，設(shè)定的用戶客戶端數(shù)高于金和軟件用戶數(shù)，設(shè)定SA密碼并記錄備忘）；打好數(shù)據(jù)庫補(bǔ)丁SP3（微軟網(wǎng)上可下載）字處理軟件：OFFICE2000/OFFICEXP。殺毒軟件：正版瑞星、KV3000、諾頓、KILL，請勿使用金山網(wǎng)鏢和金山毒霸2003，事實(shí)證明該軟件會(huì)影響金和軟件的正常使用。1、客戶須要提前準(zhǔn)備好的材料如下：(以下材料請以書面形式列出)<1>組織結(jié)構(gòu)圖政府部門的名稱以及上下級隸屬關(guān)系描述。如某政府單位數(shù)據(jù)：<2>用戶列表按以下要求編制用戶列表：用戶名可以由字母和數(shù)字組成，要求必須唯一，不得重復(fù)。用戶名長度不宜過長，夠用即可。例如：姓名部門職務(wù)用戶名王力區(qū)委區(qū)委書記00001張三區(qū)委辦公室主任01001李四人大主任02003……<3>權(quán)限列表按以下要求編制用戶列表。注意：普通員工不用授予任何權(quán)限就能夠正常使用本系統(tǒng)。用戶名稱職務(wù)擁有權(quán)限作用張永剛區(qū)委書記全部辦公管理權(quán)限全區(qū)委張三行政科科長尋呼管理、日記管理、日程管理、任務(wù)管理本部門……<4>工作流程圖要求列出需要使用的各類審批工作流程圖，以下是一個(gè)簡單示意圖，可以參照發(fā)給各部門按此填寫，請標(biāo)出各流程節(jié)點(diǎn)崗位名稱。區(qū)政府秘書擬稿區(qū)政府秘書擬稿秘書科領(lǐng)導(dǎo)秘書科領(lǐng)導(dǎo)審核同意，告知經(jīng)辦人不同意，退回經(jīng)辦人修改同意，告知經(jīng)辦人不同意，退回經(jīng)辦人修改同意同意分管部門領(lǐng)導(dǎo)審核分管部門領(lǐng)導(dǎo)審核同意同意區(qū)政府主管領(lǐng)導(dǎo)審核區(qū)政府主管領(lǐng)導(dǎo)審核會(huì)簽部門會(huì)簽部門需會(huì)簽需會(huì)簽同意同意行政部文書管理員編號、歸檔、分發(fā)行政部文書管理員編號、歸檔、分發(fā)<5>公文有關(guān)信息要預(yù)先設(shè)置好下列的各種數(shù)據(jù)，公文系統(tǒng)才能使用。收文類別：如區(qū)政府來文，區(qū)人大來文等發(fā)文類別：如下行公文，上行公文，函，會(huì)議記要，通知等發(fā)文字號與應(yīng)用部門：如區(qū)政府辦字[2005]1號，區(qū)政府辦公室可用；區(qū)政人字[2005]1號公文模板：如