岳陽市區(qū)縣電子政務(wù)外網(wǎng)技術(shù)方案建議書

PAGE3-岳陽市區(qū)縣電子政務(wù)外網(wǎng)平臺建設(shè)項(xiàng)目技術(shù)方案建議書岳陽市區(qū)縣電子政務(wù)外網(wǎng)平臺建設(shè)項(xiàng)目技術(shù)方案建議書岳陽市人民政府辦公室二〇一一年五月第4頁共55頁目錄根據(jù)岳陽市政府市長辦公會議紀(jì)要精神，各區(qū)縣電子政務(wù)外網(wǎng)建設(shè)于2011年5月正式啟動。外網(wǎng)建成后的作用是：第一、與發(fā)展接軌、加快經(jīng)濟(jì)發(fā)展。第二、增加工作透明度，建設(shè)“陽光政府”。第三、推動工作“提速”，提高執(zhí)政能力。第四、推動全縣信息化建設(shè)，提高城鄉(xiāng)化水平和競爭力。岳陽市各區(qū)縣電子政務(wù)總體框架的目標(biāo)是：覆蓋岳陽市各區(qū)縣的電子政務(wù)網(wǎng)絡(luò)基本建成，目錄體系與交換體系、信息安全基礎(chǔ)設(shè)施初步建立，重點(diǎn)應(yīng)用系統(tǒng)實(shí)現(xiàn)互聯(lián)互通，政務(wù)信息資源公開和共享機(jī)制初步建立，政府門戶網(wǎng)站成為政府信息公開的重要渠道，開展網(wǎng)上行政許可項(xiàng)目審批服務(wù)，電子政務(wù)公眾認(rèn)知度和公眾滿意度進(jìn)一步提高，有效降低行政成本，提高監(jiān)管能力和公共服務(wù)水平。岳陽市各區(qū)縣電子政務(wù)建設(shè)的目標(biāo)主要體現(xiàn)在以下幾方面：1、加大政府信息公開力度根據(jù)政府信息公開工作的要求，創(chuàng)新政府信息公開的方式，充分發(fā)揮、利用政府網(wǎng)站等信息化媒介的作用，及時(shí)更新網(wǎng)站信息，為公眾獲取政府信息提供便利。2、加快政務(wù)數(shù)據(jù)庫建設(shè)與應(yīng)用推進(jìn)以傳統(tǒng)載體保存的政務(wù)信息資源的數(shù)字化、網(wǎng)絡(luò)化。3、初步實(shí)現(xiàn)政務(wù)信息條塊共享根據(jù)法律規(guī)定和履行職能的需要，明確相關(guān)部門和地區(qū)信息共享的內(nèi)容、方式和責(zé)任，建立政務(wù)信息共享的長效機(jī)制。依托現(xiàn)有資源，建立岳陽市各區(qū)縣政務(wù)信息交換系統(tǒng)，構(gòu)建政務(wù)信息共享平臺，建立政務(wù)信息資源目錄體系、交換體系和服務(wù)體系等。為岳陽市各區(qū)縣政府的日常辦公、科學(xué)決策、業(yè)務(wù)管理、公共服務(wù)、信息公開、資源共享和業(yè)務(wù)協(xié)同提供支持。4、不斷加強(qiáng)政務(wù)管理完善政務(wù)信息資源管理體制，加強(qiáng)對政務(wù)信息采集、登記、備案、存儲、共享、安全等環(huán)節(jié)的管理。合理規(guī)劃政務(wù)信息的采集和更新維護(hù)流程，加強(qiáng)協(xié)調(diào)，明確分工，避免重復(fù)采集，并確保所采集信息的真實(shí)、準(zhǔn)確、完整和及時(shí)。進(jìn)一步提升政府行政效率和服務(wù)水平。5、以政府的社會管理和公共服務(wù)需求為導(dǎo)向，擴(kuò)大對農(nóng)村信息化服務(wù)、城鄉(xiāng)居民服務(wù)、城鎮(zhèn)建設(shè)服務(wù)和鄉(xiāng)鎮(zhèn)企業(yè)服務(wù)等提供服務(wù)的能力。近期目標(biāo)目前，岳陽市各區(qū)縣鄉(xiāng)鎮(zhèn)以及街道辦事處沒有進(jìn)行統(tǒng)一規(guī)化，各單位“各主為政而”，很多部門由于管理水平有限、安全技術(shù)人才不足、思想認(rèn)識不到位、標(biāo)準(zhǔn)規(guī)范不一致等原因，存在不同程度的安全隱患。長此以往，將對未來我政府信息化建設(shè)帶來不可估量的負(fù)面影響，因此，十分有必要通過統(tǒng)一外網(wǎng)的建設(shè)、統(tǒng)一互聯(lián)網(wǎng)出口，加強(qiáng)網(wǎng)絡(luò)和信息安全建設(shè)，通過對網(wǎng)絡(luò)和信息安全的集中統(tǒng)一領(lǐng)導(dǎo)和管理、加大投資力度、完善運(yùn)行維護(hù)機(jī)制、加強(qiáng)預(yù)警能力，可以有效的提高電子政務(wù)的安全可靠性。在外網(wǎng)上構(gòu)建統(tǒng)一的電子政務(wù)外網(wǎng)平臺，上連岳陽市外網(wǎng)平臺，下接各鄉(xiāng)鎮(zhèn)（并逐步覆蓋到街道、村場）內(nèi)網(wǎng)平臺，橫向連通各市直部門，實(shí)行統(tǒng)一的網(wǎng)絡(luò)管理，提供可靠的安全保障；在信息資源上構(gòu)建四大基礎(chǔ)數(shù)據(jù)庫及主要業(yè)務(wù)部門數(shù)據(jù)庫，構(gòu)建整個(gè)信息資源目錄體系并建立信息資源交換規(guī)劃；在應(yīng)用上搭建統(tǒng)一的應(yīng)用支撐平臺，對原有業(yè)務(wù)系統(tǒng)的整合和新建應(yīng)用系統(tǒng)的運(yùn)行提供支撐；在服務(wù)上建立以電子政務(wù)外網(wǎng)門戶網(wǎng)站為核心的公眾服務(wù)體系；在安全上按照統(tǒng)一的安全策略，構(gòu)建全網(wǎng)的安全體系。1、組建各區(qū)縣電子政務(wù)外網(wǎng)平臺并與岳陽市電子政務(wù)外網(wǎng)互連；2、建立各區(qū)縣電子政務(wù)網(wǎng)控中心；3、各區(qū)縣縣直單位和鄉(xiāng)鎮(zhèn)接入?yún)R聚點(diǎn)。4、建立基本的安全防護(hù)體系。5、完成政府網(wǎng)站的改版、網(wǎng)上政務(wù)服務(wù)和電子監(jiān)察系統(tǒng)的建設(shè)。建設(shè)原則根據(jù)中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)《國家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見》的通知（中辦發(fā)[2006]18號）的要求和我省的實(shí)際情況，湖南省政府系統(tǒng)電子政務(wù)外網(wǎng)平臺的建設(shè)目標(biāo)是：建設(shè)覆蓋全省各級政府部門的互聯(lián)互通信息網(wǎng)絡(luò)平臺（HNEGOVNet－IN）。它包括建設(shè)連接省級政府系統(tǒng)電子政務(wù)外網(wǎng)平臺和各市（州）級政府系統(tǒng)電子政務(wù)外網(wǎng)平臺的一級骨干網(wǎng)，連接市（州）級政府系統(tǒng)電子政務(wù)內(nèi)外網(wǎng)平臺和縣（區(qū)）級政府系統(tǒng)電子政務(wù)內(nèi)外網(wǎng)平臺的二級骨干網(wǎng)；分層建設(shè)省級、市（州）級、縣（區(qū)）級，覆蓋本級政府及其相關(guān)職能部門的橫向信息網(wǎng)絡(luò)。同時(shí)網(wǎng)絡(luò)平臺的建設(shè)要與安全支撐平臺和應(yīng)用支撐平臺的建設(shè)統(tǒng)一考慮，健全湖南省政府系統(tǒng)電子政務(wù)內(nèi)外網(wǎng)平臺的安全保障體系。為達(dá)到以上目標(biāo)，本次網(wǎng)絡(luò)建設(shè)的主要原則是：需求主導(dǎo)：網(wǎng)絡(luò)的設(shè)計(jì)必須滿足湖南省政府系統(tǒng)開展電子政務(wù)建設(shè)對網(wǎng)絡(luò)的需求，能提供各級政府部門間縱向連接和橫向連接，以滿足各類業(yè)務(wù)的應(yīng)用要求。統(tǒng)籌規(guī)劃：網(wǎng)絡(luò)設(shè)計(jì)時(shí)必須協(xié)調(diào)有關(guān)單位，對網(wǎng)絡(luò)地址和域名進(jìn)行統(tǒng)籌規(guī)劃，并研究和制定相關(guān)的標(biāo)準(zhǔn)和管理辦法等。整合資源：充分利用岳陽市各區(qū)縣政府系統(tǒng)電子政務(wù)外網(wǎng)平臺資源，加強(qiáng)已有網(wǎng)絡(luò)資源的整合，促進(jìn)互聯(lián)互通，形成統(tǒng)一的電子政務(wù)網(wǎng)絡(luò)平臺。同時(shí)要充分考慮到已有資源的利用和投資保護(hù)問題，特別是要充分考慮已經(jīng)建設(shè)的湖南省電子政務(wù)專網(wǎng)平臺的情況，節(jié)省費(fèi)用，保護(hù)投資。服務(wù)應(yīng)用：網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)必須為各級政府部門的業(yè)務(wù)應(yīng)用（包括橫向和縱向的業(yè)務(wù)系統(tǒng)）提供服務(wù)。注重安全：網(wǎng)絡(luò)的設(shè)計(jì)必須保證業(yè)務(wù)和數(shù)據(jù)的安全性。系統(tǒng)要采取多層保密和防范措施，保證網(wǎng)絡(luò)、服務(wù)器等設(shè)備的安全穩(wěn)定，防止系統(tǒng)外非法用戶的侵入和系統(tǒng)內(nèi)用戶的非法探測和惡意泄密，系統(tǒng)內(nèi)工作人員分級按權(quán)限操作。系統(tǒng)的安全要達(dá)到國家規(guī)定的電子政務(wù)專網(wǎng)的安全標(biāo)準(zhǔn)。著眼發(fā)展，分步實(shí)施：政府系統(tǒng)電子政務(wù)外網(wǎng)平臺建設(shè)技術(shù)含量高、工程投資大、涉及面廣，是一項(xiàng)長期的工作，不可能一蹴而就，必須具有全局觀念，在總體規(guī)劃指導(dǎo)下，按計(jì)劃、分步驟的來進(jìn)行。要實(shí)事求是地分析現(xiàn)狀，熟悉和了解技術(shù)的發(fā)展趨勢，合理分配有限的資金，在遵循總體規(guī)劃的前提下，確定切合實(shí)際的軟硬件配置方案，制訂短、中、長期相結(jié)合的分步實(shí)施計(jì)劃，以實(shí)現(xiàn)降低工程建設(shè)風(fēng)險(xiǎn)，提高資金使用效率的目的。先進(jìn)性、實(shí)用性原則從較高的起點(diǎn)對網(wǎng)絡(luò)建設(shè)進(jìn)行規(guī)劃，充分采用先進(jìn)成熟的網(wǎng)絡(luò)技術(shù)，滿足電子政務(wù)平臺各種業(yè)務(wù)實(shí)時(shí)數(shù)據(jù)、非實(shí)時(shí)數(shù)據(jù)傳輸需要。工程建設(shè)方案要面向未來，技術(shù)必須具有先進(jìn)性和前瞻性，以確保在未來3-5年內(nèi)不落后，同時(shí)也要堅(jiān)持實(shí)用的原則，在滿足性能價(jià)格比的前提下，堅(jiān)持選用符合標(biāo)準(zhǔn)的，先進(jìn)成熟的產(chǎn)品和開發(fā)平臺?？煽啃栽瓌t網(wǎng)絡(luò)設(shè)計(jì)過程中從網(wǎng)絡(luò)技術(shù)、電路保護(hù)、設(shè)備等多方面考慮電子政務(wù)專網(wǎng)平臺的可靠性，保證數(shù)據(jù)傳輸?shù)陌踩煽?。同時(shí)提供的7×24的服務(wù)保障，從技術(shù)和服務(wù)兩方面保證岳陽市各區(qū)縣電子政務(wù)內(nèi)外網(wǎng)平臺的可用性達(dá)到要求。成熟性和發(fā)展性的結(jié)合工程建設(shè)應(yīng)首先采用符合目前業(yè)界計(jì)算機(jī)及應(yīng)用系統(tǒng)發(fā)展趨勢的主流技術(shù)，技術(shù)先進(jìn)并趨于成熟的，被公眾認(rèn)可的優(yōu)質(zhì)產(chǎn)品。既要保證當(dāng)前系統(tǒng)的高可靠性，又能適應(yīng)未來技術(shù)的發(fā)展，滿足多業(yè)務(wù)發(fā)展的要求。要本著“有用、適用和好用”的原則，不片面追求硬軟件設(shè)施的先進(jìn)性，強(qiáng)調(diào)整個(gè)系統(tǒng)的可連接性和整體布局、應(yīng)用的合理性。經(jīng)濟(jì)性原則通過技術(shù)經(jīng)濟(jì)比較，性能價(jià)格比較，選擇優(yōu)化的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù)，盡可能利用和保護(hù)現(xiàn)有設(shè)備和投資，做到從實(shí)際出發(fā)，制定經(jīng)濟(jì)、合理的方案，以最小的網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)維護(hù)成本建設(shè)一個(gè)高可用、高安全的電子政務(wù)專網(wǎng)平臺?？晒芾硇栽瓌t電子政務(wù)系統(tǒng)是一個(gè)比較大、較復(fù)雜的系統(tǒng)，它包含大量硬件設(shè)備、軟件系統(tǒng)和數(shù)據(jù)信息資源，這些資源分布在全區(qū)各部門，因此系統(tǒng)的技術(shù)方案要為市政府提供多層次、方便、有效的管理手段，為系統(tǒng)正常運(yùn)行提供網(wǎng)絡(luò)技術(shù)管理保障。標(biāo)準(zhǔn)性原則現(xiàn)有信息技術(shù)的發(fā)展越來越快，為了使該系統(tǒng)在未來運(yùn)行過程中其技術(shù)能和整個(gè)信息技術(shù)的發(fā)展同步，系統(tǒng)應(yīng)具有備靈活適應(yīng)性和良好的可擴(kuò)展性，系統(tǒng)的結(jié)構(gòu)設(shè)計(jì)和產(chǎn)品選型要堅(jiān)持標(biāo)準(zhǔn)化，首先采用國家標(biāo)準(zhǔn)和國際標(biāo)準(zhǔn)，其次采用廣為流傳的實(shí)用化工業(yè)標(biāo)準(zhǔn)。可擴(kuò)充性原則考慮到岳陽市各區(qū)縣政府電子政務(wù)內(nèi)、外網(wǎng)平臺各種應(yīng)用業(yè)務(wù)的飛速發(fā)展，網(wǎng)絡(luò)承載的信息流量不斷增加。岳陽市各區(qū)縣政府電子政務(wù)內(nèi)、外網(wǎng)平臺的設(shè)計(jì)中充分考慮未來帶寬擴(kuò)容的需要，從網(wǎng)絡(luò)和設(shè)備的配置上都保留一定的擴(kuò)充余地，便于融入隨著新技術(shù)發(fā)展帶來的新功能，滿足岳陽市各區(qū)縣政務(wù)不斷發(fā)展的業(yè)務(wù)需要。同時(shí)為響應(yīng)中央政府節(jié)能減排的號召，在設(shè)備的選擇上應(yīng)遵循環(huán)保、節(jié)能的原則。網(wǎng)絡(luò)設(shè)計(jì)方案概述隨著岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺建設(shè)的逐步延伸，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)即將成為承擔(dān)政府部門之間的各項(xiàng)信息交換和業(yè)務(wù)互動，實(shí)現(xiàn)同層次和上下級政府機(jī)構(gòu)之間各主要業(yè)務(wù)系統(tǒng)的信息交換和信息共享的主要載體。根據(jù)省政府相關(guān)文件，岳陽市各區(qū)縣政府即將接入到岳陽市電子政務(wù)外網(wǎng)，實(shí)現(xiàn)辦公自動化及信息化，為此，需要進(jìn)行岳陽市各區(qū)縣政府的外網(wǎng)建設(shè)與整合，統(tǒng)一市委、市人大、市政府、市政協(xié)及市直各部門等外網(wǎng)出口。岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺是岳陽市各區(qū)縣電子政務(wù)外網(wǎng)全網(wǎng)中聯(lián)接各部門業(yè)務(wù)系統(tǒng)的橋梁和紐帶，為各業(yè)務(wù)部門提供網(wǎng)絡(luò)傳輸服務(wù)，是未來政務(wù)工作的“高速公路”。網(wǎng)絡(luò)平臺提供的是高度集成化、一體化、規(guī)范化的服務(wù)，其本質(zhì)是為各業(yè)務(wù)系統(tǒng)的安全、順暢、高效運(yùn)行和數(shù)據(jù)的傳輸、交換、存儲等構(gòu)造網(wǎng)絡(luò)基礎(chǔ)環(huán)境，它是未來實(shí)現(xiàn)各業(yè)務(wù)系統(tǒng)互聯(lián)、互通、互操作，促進(jìn)資源共享的基礎(chǔ)性工作。因此，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺是關(guān)系我市電子政務(wù)建設(shè)全局和發(fā)展的重要基礎(chǔ)性工作，是電子政務(wù)系統(tǒng)中的關(guān)鍵性核心組成要素。建設(shè)目標(biāo)本次建設(shè)的電子政務(wù)外網(wǎng)平臺將實(shí)現(xiàn)電子政務(wù)各項(xiàng)應(yīng)用所需的網(wǎng)絡(luò)環(huán)境，為電子政務(wù)應(yīng)用提供安全、穩(wěn)定、可靠的傳輸通道，包括局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)和互聯(lián)網(wǎng)出口。根據(jù)上級對電子政務(wù)外網(wǎng)平臺建設(shè)的要求，結(jié)合本地實(shí)際情況，我市電子政務(wù)外網(wǎng)平臺建設(shè)必須滿足以下功能需求：（1）網(wǎng)絡(luò)互聯(lián)互通的需求電子政務(wù)外網(wǎng)平臺建立后，應(yīng)在縱向上實(shí)現(xiàn)上連國家、省、市電子政務(wù)外網(wǎng)平臺，下連各鄉(xiāng)鎮(zhèn)電子政務(wù)外網(wǎng)平臺，在橫向上能夠方便連接市委、市人大、市政府、市政協(xié)以及政府各組成部門、直屬機(jī)構(gòu)、辦事機(jī)構(gòu)、事業(yè)單位等。同時(shí)，網(wǎng)絡(luò)必須具備高度的可靠性和穩(wěn)定性，應(yīng)具備可伸縮、可管理、可擴(kuò)展的能力，以應(yīng)對業(yè)務(wù)數(shù)據(jù)的快速增長，滿足網(wǎng)絡(luò)平臺平滑升級的要求。（2）縱向業(yè)務(wù)的應(yīng)用需求電子政務(wù)外網(wǎng)平臺建立后，各個(gè)縱向網(wǎng)絡(luò)將逐步整合到統(tǒng)一的連接通道。電子政務(wù)外網(wǎng)平臺既要滿足互聯(lián)互通，又要保證各部門縱向系統(tǒng)的相對獨(dú)立性和現(xiàn)有縱向網(wǎng)絡(luò)系統(tǒng)的正常運(yùn)行，應(yīng)當(dāng)提供各個(gè)部門高速通達(dá)、安全可靠、方便使用的縱向系統(tǒng)專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)，如提供虛擬專用網(wǎng)絡(luò)需支持至少150個(gè)市直部門的縱向MPLSVPN需求，并有足夠的擴(kuò)充能力。（3）橫向業(yè)務(wù)的應(yīng)用需求電子政務(wù)外網(wǎng)平臺建立后，各個(gè)聯(lián)網(wǎng)部門將逐步開展橫向電子政務(wù)業(yè)務(wù)。電子政務(wù)外網(wǎng)平臺既要滿足互聯(lián)互通，又要保證相關(guān)部門橫向業(yè)務(wù)系統(tǒng)的相對獨(dú)立性，應(yīng)當(dāng)提供各個(gè)部門高速通達(dá)、安全可靠、方便使用的縱向系統(tǒng)專用網(wǎng)絡(luò)或虛擬專用網(wǎng)絡(luò)，如提供虛擬專用網(wǎng)絡(luò)需支持市直部門的橫向MPLSVPN需求。（4）公共資源共享業(yè)務(wù)的應(yīng)用需求各聯(lián)網(wǎng)部門連接到電子政務(wù)外網(wǎng)平臺后，應(yīng)該能夠通過電子政務(wù)外網(wǎng)平臺方便訪問電子政務(wù)外網(wǎng)平臺的內(nèi)部數(shù)據(jù)中心、外部數(shù)據(jù)中心和互聯(lián)網(wǎng)等公共資源。（5）互聯(lián)網(wǎng)接入的需求外網(wǎng)平臺應(yīng)能夠提供整個(gè)網(wǎng)絡(luò)統(tǒng)一的安全的互聯(lián)網(wǎng)接入。（6）不同接入方式的需求岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺應(yīng)滿足市政府機(jī)關(guān)大院、市政府組成部門、有行政審批職能的市直部門、與民生相關(guān)的行政事業(yè)單位等市直部門以不同帶寬、接入方式接入到外網(wǎng)平臺的需求。（7）各鄉(xiāng)鎮(zhèn)接入的需求岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺應(yīng)滿足各鄉(xiāng)鎮(zhèn)廣域匯聚點(diǎn)的接入需求。參考標(biāo)準(zhǔn)國家、省市有關(guān)信息化的政策法規(guī)和技術(shù)規(guī)范，是電子政務(wù)建設(shè)順利實(shí)施和健康運(yùn)行的重要保證。本方案將參照國家關(guān)于信息化建設(shè)和電子政務(wù)建設(shè)的法律、法規(guī)、相關(guān)政策以及各種技術(shù)標(biāo)準(zhǔn)規(guī)范進(jìn)行編制。《岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺技術(shù)規(guī)范》(湖南省信息化領(lǐng)導(dǎo)小組2006-10-01)《信息系統(tǒng)安全等級保護(hù)定級指南》《國家政務(wù)外網(wǎng)網(wǎng)絡(luò)互連及安全防護(hù)指南_征求意見稿》《信息安全等級保護(hù)管理辦法》（公安部、國家保密局、國家密碼局、國信辦聯(lián)合發(fā)布，公通字[2007]43號）《國家政務(wù)外網(wǎng)網(wǎng)絡(luò)互連及安全防護(hù)指南_征求意見稿》，是2007年9月《關(guān)于轉(zhuǎn)發(fā)〈國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見〉的通知》（中辦發(fā)[2002]17號）2002《中共中央辦公廳國務(wù)院辦公廳轉(zhuǎn)發(fā)〈國家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見〉的通知》（中辦發(fā)[2006]18號）《國務(wù)院辦公廳關(guān)于印發(fā)全國政府系統(tǒng)政務(wù)信息化建設(shè)2001-2005年規(guī)劃綱要的通知》（國辦發(fā)[2001]25號）《電子政務(wù)標(biāo)準(zhǔn)化指南（征求意見稿）》國家標(biāo)準(zhǔn)化管理委員會、國務(wù)院信息化工作辦公室2003年2月國務(wù)院信息化工作辦公室、科學(xué)技術(shù)部、信息產(chǎn)業(yè)部關(guān)于印發(fā)《電子政務(wù)工程技術(shù)指南》的通知(國信辦[2003]2號)《互聯(lián)網(wǎng)信息服務(wù)管理辦法》中華人民共和國國務(wù)院令（第292號）2000《計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》國家保密局 2000《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》國務(wù)院令147號1994《加強(qiáng)計(jì)算機(jī)信息網(wǎng)絡(luò)保密管理的通知》（中保委發(fā)【2002】4號）《計(jì)算機(jī)軟件保護(hù)條例》(國務(wù)院令2001年第339號)《計(jì)算機(jī)場地通用規(guī)范》(GB2887－2000)《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》(GB50174—93)《岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺技術(shù)方案》《岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺應(yīng)用規(guī)范》（討論稿）《中共湖南省委辦公廳湖南省人民政府辦公廳轉(zhuǎn)發(fā)省信息化領(lǐng)導(dǎo)小組〈關(guān)于加強(qiáng)電子政務(wù)外網(wǎng)平臺建設(shè)和管理的意見〉的通知》（湘辦發(fā)[2006]25號）網(wǎng)絡(luò)總體要求岳陽市各區(qū)縣電子政務(wù)網(wǎng)平臺是岳陽市電子政務(wù)的重要組成部分。以《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》（中辦發(fā)[2002]17號）、《關(guān)于推進(jìn)國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見》（中辦發(fā)[2006]18號）、《關(guān)于加強(qiáng)我省電子政務(wù)外網(wǎng)平臺建設(shè)和管理的意見》（湘辦發(fā)[2006]25號）、《湖南省電子政務(wù)外網(wǎng)平臺技術(shù)規(guī)范》為指導(dǎo)，依托岳陽市各區(qū)縣公共通信設(shè)施的基礎(chǔ)資源，采用先進(jìn)的信息、網(wǎng)絡(luò)技術(shù)，以電子政務(wù)應(yīng)用為主導(dǎo)，以資源整合為核心，以安全保障為支撐，構(gòu)建標(biāo)準(zhǔn)統(tǒng)一、功能完善、安全可靠的岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺，在網(wǎng)絡(luò)環(huán)境下逐步實(shí)現(xiàn)同層次和上下級政府機(jī)構(gòu)之間各主要業(yè)務(wù)系統(tǒng)的信息交換和信息共享；開展政府部門面向企業(yè)和公眾的監(jiān)管和服務(wù)業(yè)務(wù)，為規(guī)范政府管理與服務(wù)創(chuàng)造必要條件，努力提升政府監(jiān)管能力、工作效率和公共服務(wù)水平。岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺將連接市網(wǎng)平臺、市直單位、鄉(xiāng)鎮(zhèn)電子政務(wù)網(wǎng)絡(luò)平臺，形成一個(gè)縱橫互通的信息高速通道，并部署安全措施，統(tǒng)一因特網(wǎng)出口。建成后的政務(wù)外網(wǎng)為政府各部門實(shí)現(xiàn)橫向互連互通，為縱向業(yè)務(wù)系統(tǒng)運(yùn)行提供安全、快捷、方便、經(jīng)濟(jì)的統(tǒng)一網(wǎng)絡(luò)通道。從根本上解決岳陽市電子政務(wù)建設(shè)中部門橫向互不連通，信息資源封閉、數(shù)據(jù)不能共享和重復(fù)建設(shè)等問題。IPIP網(wǎng)絡(luò)－靈活的虛擬邏輯隔離熱線電話熱線電話統(tǒng)一安全策略管理系統(tǒng)財(cái)務(wù)檔案招標(biāo)人事審計(jì)應(yīng)急O(jiān)A系統(tǒng)網(wǎng)站問題處理對外服務(wù)系統(tǒng)個(gè)性化應(yīng)用平臺局域網(wǎng)基礎(chǔ)平臺功能廣域網(wǎng)政府集中辦公、對外一站(網(wǎng))式服務(wù)智能管理設(shè)備管理、用戶管理、業(yè)務(wù)管理從電子政務(wù)外網(wǎng)平臺功能來看，其核心價(jià)值就是安全、公平、公開、簡單、互動的實(shí)現(xiàn)政務(wù)信息交換和資源共享。網(wǎng)絡(luò)總體方案描述通過綜合考慮各類因素，在此次岳陽市各區(qū)縣電子政務(wù)外網(wǎng)工程項(xiàng)目中推薦采用雙核心設(shè)計(jì)方案。其網(wǎng)絡(luò)結(jié)構(gòu)圖如下：圖2.5岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺設(shè)計(jì)岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺按照三層結(jié)構(gòu)設(shè)計(jì)分為：核心層、匯聚層、接入層。核心層由一臺出口路由器和二臺核心交換機(jī)組成。出口路由器負(fù)責(zé)與互聯(lián)網(wǎng)的連通，2臺核心交換機(jī)之間分別通過2條萬兆鏈路聚合互聯(lián)，實(shí)現(xiàn)核心層全冗余和高速連接，確保核心層穩(wěn)定可靠高效地運(yùn)行，并負(fù)責(zé)與岳陽市外網(wǎng)的連通。匯聚層由4臺匯聚交換機(jī)擔(dān)當(dāng)，4臺匯聚層設(shè)備均采用千兆雙鏈路上行連接至2臺核心交換機(jī)，提供上行冗余鏈路，確保接入鏈路可靠性。匯聚層設(shè)備向下采用百兆/十兆接入各市直單位，提供百兆/十兆接入能力。接入層為市直部門的接入，根據(jù)每個(gè)單位接入數(shù)量；配置一臺接入設(shè)備，通過MTPS/SDH上聯(lián)至匯聚交換機(jī)。在有些單位與單位之間采取組合式，把幾個(gè)近的單位組合在一起，再通過一臺性能強(qiáng)的交換機(jī)放在組合單位集中的位置。再通過單模光纖上聯(lián)至匯聚交換機(jī)。具體接入點(diǎn)分布統(tǒng)計(jì)首批接入外網(wǎng)平臺的單位：將納入岳陽市各區(qū)縣政府行政績效評估名單的單位、岳陽市各區(qū)縣政府門戶網(wǎng)站群單位、具有行政審批職能的市直單位、與民生密切相關(guān)的其他單位作為首批接入岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺的單位，同時(shí)也接入以上未包括的區(qū)縣委、區(qū)縣人大、區(qū)縣政府、區(qū)縣政協(xié)、區(qū)縣法院、區(qū)縣檢察院等六大家的其他重要部門。首批接入單位具體分布如下表：序號單位(區(qū)縣)電腦數(shù)量（估算）10臺以下10-30臺30-50臺50-100臺1區(qū)縣委2人大3政協(xié)4政府辦5紀(jì)委監(jiān)察局6組織部7宣傳部8統(tǒng)戰(zhàn)部9政法委10總工會11檔案局12編委辦13接待處14老干局15工商聯(lián)16婦聯(lián)17科協(xié)18檢察院19法院20發(fā)改局21工業(yè)局22教育局23科技局24公安局25民政局26司法局27財(cái)政局28人事局29勞動和社會局30建設(shè)局31交通局32水利局33農(nóng)業(yè)局34林業(yè)局35商務(wù)局36文化局37衛(wèi)生局38環(huán)保局39安監(jiān)局40計(jì)生局41農(nóng)村辦42糧食局43廣播局44畜牧水產(chǎn)局45房產(chǎn)局46招商局47體育局48統(tǒng)計(jì)局49供銷聯(lián)社50經(jīng)管局51農(nóng)機(jī)局52市場管理中心53國土局54審計(jì)局55旅游局56人防辦57工業(yè)園58殘聯(lián)59交警大隊(duì)60藥監(jiān)局61移民局62政務(wù)公開中心63XX街道辦事處64XX鄉(xiāng)鎮(zhèn)網(wǎng)絡(luò)的可靠性、拓展性設(shè)計(jì)網(wǎng)絡(luò)的可靠性設(shè)計(jì)岳陽市各區(qū)縣電子政務(wù)外網(wǎng)承擔(dān)各種業(yè)務(wù)應(yīng)用系統(tǒng)，提供統(tǒng)一的網(wǎng)絡(luò)平臺，其網(wǎng)絡(luò)可靠性要求很高。網(wǎng)絡(luò)系統(tǒng)的可靠性設(shè)計(jì)主要體現(xiàn)在以下幾個(gè)方面：網(wǎng)絡(luò)虛擬化的可靠性；岳陽市各區(qū)縣電子政務(wù)外網(wǎng)的核心需要實(shí)現(xiàn)網(wǎng)絡(luò)的高可靠性，包括設(shè)備、鏈路及網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)、網(wǎng)絡(luò)自愈能力等，在岳陽市各區(qū)縣電子政務(wù)外網(wǎng)核心層中，我們應(yīng)用了2臺核心設(shè)備；通過虛擬化技術(shù)，它是把兩臺設(shè)備虛擬化成一臺設(shè)備。形成一個(gè)網(wǎng)絡(luò)管理與轉(zhuǎn)發(fā)節(jié)點(diǎn)；將多達(dá)2個(gè)的物理網(wǎng)絡(luò)節(jié)點(diǎn)虛擬化為單臺設(shè)備，兩臺設(shè)備同時(shí)工作，互為備份。又互不影響其業(yè)務(wù)數(shù)據(jù)的轉(zhuǎn)發(fā)。完全消除匯聚層環(huán)路，并形成捆綁鏈路的高帶寬和可靠性。在這樣的虛擬化下，網(wǎng)狀的網(wǎng)絡(luò)形成了一個(gè)非常簡潔的架構(gòu)，網(wǎng)絡(luò)各層之間通過捆綁的單邏輯鏈路互聯(lián)，消除了環(huán)路。不再需要在接入層設(shè)計(jì)復(fù)雜的生成樹協(xié)議，也不再需要在變成單一邏輯節(jié)點(diǎn)的客戶端接入網(wǎng)關(guān)上運(yùn)行VRRP協(xié)議。通過虛擬化技術(shù)，整個(gè)彈性架構(gòu)共用一個(gè)IP管理，簡化網(wǎng)絡(luò)設(shè)備管理，簡化網(wǎng)絡(luò)拓?fù)涔芾恚岣哌\(yùn)營效率，降低維護(hù)成本。采用虛擬化技術(shù)組建岳陽市各區(qū)縣電子政務(wù)外網(wǎng)核心。該技術(shù)實(shí)現(xiàn)了IP技術(shù)的高可靠性，很好地適應(yīng)了數(shù)據(jù)業(yè)務(wù)。它的核心思想是將多臺設(shè)備通過虛擬化物理端口連接在一起，進(jìn)行必要的配置后，虛擬化成一臺“分布式設(shè)備”。使用這種虛擬化技術(shù)可以實(shí)現(xiàn)多臺設(shè)備的協(xié)同工作、統(tǒng)一管理和不間斷維護(hù)。動態(tài)路由設(shè)計(jì)保證網(wǎng)絡(luò)的可靠性；IGP路由設(shè)計(jì)中采用業(yè)界流行的OSPF路由協(xié)議，OSPF路由協(xié)議在2臺核心層交換機(jī)及4臺匯聚層交換機(jī)及接入交換機(jī)之間運(yùn)行，由于這些設(shè)備之間全部是雙鏈路連接，因此當(dāng)任何1臺核心交換機(jī)發(fā)生故障時(shí)，OSPF路由協(xié)議在很短的時(shí)間內(nèi)（一般少于10s）會根據(jù)鏈路狀態(tài)進(jìn)行路由的重新計(jì)算，從而不會影響到4個(gè)城域網(wǎng)匯聚點(diǎn)與核心網(wǎng)絡(luò)之間的網(wǎng)絡(luò)連接。完善的網(wǎng)絡(luò)管理系統(tǒng)確保網(wǎng)絡(luò)可靠性；在設(shè)計(jì)網(wǎng)絡(luò)管理系統(tǒng)時(shí)，應(yīng)全面考慮網(wǎng)絡(luò)管理的內(nèi)容，建設(shè)網(wǎng)絡(luò)管理平臺、網(wǎng)絡(luò)設(shè)備管理軟件模塊、網(wǎng)絡(luò)故障管理模塊、網(wǎng)絡(luò)流量模塊、網(wǎng)絡(luò)故障告警模塊。通過網(wǎng)絡(luò)管理系統(tǒng)多種模塊的組合，實(shí)現(xiàn)對整網(wǎng)設(shè)備和安全性等各個(gè)方面進(jìn)行全面的管理，有效地提高網(wǎng)絡(luò)的安全可靠性。選配高可靠性的網(wǎng)絡(luò)設(shè)備；選用具備電信級的網(wǎng)絡(luò)設(shè)備進(jìn)行組網(wǎng)，使網(wǎng)絡(luò)具有自動恢復(fù)能力、降低人工維護(hù)工作，達(dá)到電信級的可靠運(yùn)行。采用分布式體系結(jié)構(gòu)分布式體系結(jié)構(gòu)是提高可靠性的基礎(chǔ)，與集中式體系設(shè)備相比較，分布式體系設(shè)備除性能可以通過插入更多的接口處理板提高整體性能外，更為關(guān)鍵的是將管理、路由轉(zhuǎn)發(fā)、接口處理等功能分配在不同的部件上，協(xié)同工作，分布式體系可以分散故障風(fēng)險(xiǎn)、隔離故障、提供冗余配置，提高系統(tǒng)的自動恢復(fù)能力；如管理部件故障，只需要更換這部分板件，不影響其他功能。而且，分布式體系結(jié)構(gòu)可以提高組網(wǎng)的物理可靠性。在電子政務(wù)外網(wǎng)平臺組網(wǎng)中，每個(gè)骨干節(jié)點(diǎn)都有兩個(gè)接口與其余節(jié)點(diǎn)互聯(lián)，從路由上提高了可靠性。如果是集中式體系，則當(dāng)節(jié)點(diǎn)設(shè)備出現(xiàn)故障時(shí)，這個(gè)節(jié)點(diǎn)就會失效，造成節(jié)點(diǎn)所帶網(wǎng)絡(luò)的中斷；而采用分布式結(jié)構(gòu)時(shí)，可以將這兩個(gè)接口分別配置到不同的接口板上，這樣，無論這臺設(shè)備的管理單元、交換轉(zhuǎn)發(fā)單元，還是單一接口出現(xiàn)故障，都可以保證至少有一條路徑是連通的，該節(jié)點(diǎn)網(wǎng)絡(luò)都不會中斷。關(guān)鍵部件冗余采用分布式體系結(jié)構(gòu)，對設(shè)備的關(guān)鍵部件，如主控管理單元、交換轉(zhuǎn)發(fā)單元等，進(jìn)行冗余配置，保證系統(tǒng)在工作中不會全部失效。實(shí)時(shí)熱備份機(jī)制在系統(tǒng)軟件及硬件的支持下，關(guān)鍵部件在發(fā)生故障能自動啟動備份系統(tǒng)，而且主備之間的切換能夠?qū)崟r(shí)熱倒換，即運(yùn)行中即使發(fā)生設(shè)備故障切換也不會對網(wǎng)絡(luò)業(yè)務(wù)造成影響。熱插拔特性設(shè)備任意單板支持熱插拔特性，保證系統(tǒng)出現(xiàn)故障需要維護(hù)，或系統(tǒng)需要升級擴(kuò)展時(shí)，不需要停機(jī)處理，保證網(wǎng)絡(luò)的7×24小時(shí)不間斷運(yùn)行。冗余電源支持冗余電源負(fù)載分擔(dān)及備份供電可保障系統(tǒng)具有可靠的能量源。散熱系統(tǒng)散熱系統(tǒng)使設(shè)備長時(shí)間運(yùn)行而不至因?yàn)橄到y(tǒng)升溫過高出現(xiàn)故障，冗余風(fēng)扇等散熱裝置可以增加設(shè)備的運(yùn)行時(shí)間及減少故障發(fā)生。網(wǎng)絡(luò)的擴(kuò)展性設(shè)計(jì)在網(wǎng)絡(luò)系統(tǒng)的可擴(kuò)展性方面主要考慮以下幾個(gè)方面：網(wǎng)絡(luò)結(jié)構(gòu)的可擴(kuò)展能力岳陽市各區(qū)縣電子政務(wù)外網(wǎng)系統(tǒng)采用層次化、結(jié)構(gòu)化設(shè)計(jì)理念，整網(wǎng)分為核心層、匯聚層、接入層。這種結(jié)構(gòu)化設(shè)計(jì)充分保證了系統(tǒng)的擴(kuò)充能力，保證在接入子網(wǎng)大量增加的情況下核心設(shè)備的端口數(shù)量要求不會大量增加。網(wǎng)絡(luò)中廣播的數(shù)量岳陽市各區(qū)縣電子政務(wù)外網(wǎng)系統(tǒng)采用三層路由的設(shè)計(jì)，不同的部門劃分在不同的網(wǎng)段，部門之間的通訊全部通過三層路由來實(shí)現(xiàn)。因此，各個(gè)部門的廣播包根本不會發(fā)送到其他部門的網(wǎng)絡(luò)。同時(shí)，在一個(gè)部門內(nèi)部，不同的業(yè)務(wù)系統(tǒng)之間通過劃分VLAN來實(shí)現(xiàn)隔離，不同的VLAN之間也是通過三層路由來實(shí)現(xiàn)。這種VLAN的劃分，一方面提高了網(wǎng)絡(luò)的安全性，另一方面也限制了網(wǎng)絡(luò)中的廣播數(shù)量。因此，廣播數(shù)據(jù)包基本上被限制在一個(gè)部門內(nèi)部，不會擴(kuò)散到網(wǎng)絡(luò)的其他部分。網(wǎng)絡(luò)鏈路的選擇現(xiàn)在主流的組網(wǎng)通信技術(shù)主要有以太網(wǎng)、SDH／SONET、和VPN三大類。首先，城域以太網(wǎng)主要面向城區(qū)用戶，其優(yōu)越性表現(xiàn)在以下幾個(gè)方面：將基于千兆以太網(wǎng)的平臺應(yīng)用于城市范圍，解決了城域網(wǎng)中常面對的嚴(yán)重的瓶頸問題；以太網(wǎng)成本低廉，包括設(shè)備成本及實(shí)施成本；并且即時(shí)可用，提供更高的數(shù)據(jù)傳輸速率；當(dāng)前以太網(wǎng)技術(shù)發(fā)展已較為成熟，應(yīng)用相當(dāng)廣泛，以太網(wǎng)是一種靈活的基于數(shù)據(jù)包的技術(shù)，其適當(dāng)?shù)乃俾氏拗乒δ堋⒇S富的主干容量、提供快速的按需帶寬等優(yōu)勢為網(wǎng)絡(luò)管理及工程人員等所熟知；以太網(wǎng)接入速度的靈活性，用戶可以向服務(wù)供應(yīng)商訂購從1Mbps到1Gbps范圍內(nèi)的任意接入速度，并且可以根據(jù)企業(yè)的需要靈活調(diào)整，這一點(diǎn)是現(xiàn)有的諸如楨中繼、ATM等所無法比擬的；以太網(wǎng)以其“即插即用”的特性，消除了城域以太網(wǎng)和最終客戶信息系統(tǒng)之間的交互工作或協(xié)議轉(zhuǎn)換等問題。其次，SDH／SONET專線組網(wǎng)技術(shù)為電信骨干傳輸網(wǎng)所采用的主要的技術(shù)。SDH／SONET技術(shù)十分適合傳輸采用TDM技術(shù)的話音業(yè)務(wù)，它具有良好的網(wǎng)絡(luò)保護(hù)和自愈功能。另外一方面，目前的很多IP網(wǎng)絡(luò)還十分依賴電信網(wǎng)。如遠(yuǎn)距離組網(wǎng)一般需要租用電信運(yùn)營商的SDH／SONET傳輸網(wǎng)絡(luò)，此時(shí)一般需要路由器及專用的接口支持。因此，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)宜采用以太網(wǎng)+SDH/SONET技術(shù)，其中城域網(wǎng)建議采用以太網(wǎng)技術(shù)，對于廣域網(wǎng)和零散的接入單位可以采用SDH/SONET。作為日后全市各類業(yè)務(wù)系統(tǒng)的承載平臺，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)對網(wǎng)絡(luò)質(zhì)量和速度有比較高的要求?；ヂ?lián)網(wǎng)接入設(shè)計(jì)岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺建成后，市級平臺城域網(wǎng)網(wǎng)上均采用統(tǒng)一出口、統(tǒng)一管理，各接入單位只能通過統(tǒng)一出口訪問互聯(lián)網(wǎng)，以提高整個(gè)網(wǎng)絡(luò)的安全性。岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺平臺城域網(wǎng)承擔(dān)全市統(tǒng)一門戶網(wǎng)站入口訪問和全部鄉(xiāng)鎮(zhèn)、市直單位的INTERNET出口訪問，流量非常大，線路安全要求高，為了更好的提高工作效率以及提高整個(gè)岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺網(wǎng)絡(luò)系統(tǒng)的安全性，需要進(jìn)行Internet鏈路出口改造。具體情況如下：今后所有的鄉(xiāng)鎮(zhèn)、市直單位將逐步改成通過設(shè)立在岳陽市各區(qū)縣政府網(wǎng)控中心的統(tǒng)一出口來訪問互聯(lián)網(wǎng)資源，為了更好的提高工作效率以及提高整個(gè)岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺網(wǎng)絡(luò)系統(tǒng)的安全性，需要進(jìn)行Internet鏈路出口改造。具體情況如下:1、岳陽市各區(qū)縣電子政務(wù)外網(wǎng)網(wǎng)絡(luò)在出口上，需要租用一條100M以上的帶寬鏈路接入Internet；2、要有對出口流量進(jìn)行管理的功能；3、要能實(shí)現(xiàn)透明的故障屏蔽；4、有可擴(kuò)展性，隨著岳陽市各區(qū)縣電子政務(wù)外網(wǎng)網(wǎng)絡(luò)的進(jìn)一步擴(kuò)展，要能保護(hù)目前的設(shè)備投資；5.、在互聯(lián)網(wǎng)出口部署一臺路由器，實(shí)現(xiàn)網(wǎng)絡(luò)接入和IP轉(zhuǎn)換；6、部署一臺抗DDOS攻擊系統(tǒng)，通過多種技術(shù)手段對DOS/DDOS攻擊進(jìn)行有效的檢測，保障岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺應(yīng)用資源。7、利用防火墻的訪問控制技術(shù)，實(shí)現(xiàn)內(nèi)網(wǎng)與互聯(lián)網(wǎng)、電子政務(wù)網(wǎng)的安全隔離，以保障網(wǎng)絡(luò)可用性；8、利用流量控制等技術(shù)，以提高訪問互聯(lián)網(wǎng)的效率。圖2.9岳陽市各區(qū)縣電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)接入設(shè)計(jì)核心層設(shè)計(jì)在核心層部署2臺高性能的三層交換機(jī)，核心層設(shè)備具有以下功能和性能：高性能交換全面的軟件支持和高性能網(wǎng)絡(luò)服務(wù)的增強(qiáng)。高速執(zhí)行服務(wù)質(zhì)量、安全、壓縮和加密等網(wǎng)絡(luò)服務(wù)。高密度端口提供高密度端口以及廣泛的局域網(wǎng)和廣域網(wǎng)介質(zhì)，并允許靈活地進(jìn)行配置。公用端口適配器在電子政務(wù)外網(wǎng)的核心層部署上網(wǎng)行為管理、抗DDOS系統(tǒng)等。主要針對上網(wǎng)用戶使用P2P/IM/網(wǎng)游/炒股軟件/非法網(wǎng)站訪問等各種應(yīng)用進(jìn)行監(jiān)控和管理；全面分析網(wǎng)絡(luò)應(yīng)用的流量類型和流量流向趨勢，統(tǒng)計(jì)網(wǎng)絡(luò)熱點(diǎn)，發(fā)掘業(yè)務(wù)增長點(diǎn)；分析用戶行為，統(tǒng)計(jì)用戶興趣，為個(gè)性化提供依據(jù)，并通過開放的平臺接口，與第三方業(yè)務(wù)平臺對接，提供高附加值業(yè)務(wù)，如在用戶行為興趣分析的基礎(chǔ)上提供定向WEB廣告服務(wù)等功能。根據(jù)岳陽市各區(qū)縣電子政務(wù)外網(wǎng)的實(shí)際需求情況，同時(shí)考慮到今后的發(fā)展，核心層三層交換機(jī)選擇高性能路由交換機(jī)，配置雙引擎和雙電源系統(tǒng)，以滿足系統(tǒng)高可靠的要求，每臺設(shè)備配置多個(gè)千兆端口，通過千兆鏈路與出口路由器連接；配置多個(gè)千兆端口，用于與各單位和部門的接入層交換機(jī)相連。并通過千兆光纖與市政務(wù)外網(wǎng)進(jìn)行互聯(lián)。圖2.10岳陽市各區(qū)縣電子政務(wù)外網(wǎng)核心層設(shè)計(jì)匯聚層設(shè)計(jì)4個(gè)匯聚點(diǎn)的匯聚：為實(shí)現(xiàn)對接入設(shè)備的匯聚，提高轉(zhuǎn)發(fā)性能，應(yīng)考慮實(shí)際需求及性價(jià)比，為各個(gè)匯聚點(diǎn)配置高性能三層交換機(jī)。上聯(lián)至核心。圖2.11岳陽市各區(qū)縣電子政務(wù)外網(wǎng)匯聚層設(shè)計(jì)主干網(wǎng)絡(luò)中，匯聚層是業(yè)務(wù)流量的匯聚點(diǎn)，同樣需要部署高可靠、冗余、可擴(kuò)展的網(wǎng)絡(luò)來保障系統(tǒng)不間斷運(yùn)行。為實(shí)現(xiàn)清晰的網(wǎng)絡(luò)層次，確保城域網(wǎng)的可靠連接，匯聚層使用4臺高性能路由交換機(jī)，利用雙鏈路以1000M速率連接核心交換機(jī)，同時(shí)負(fù)責(zé)各市直單位的接入。考慮到匯聚交換機(jī)的關(guān)鍵位置及作用，匯聚交換機(jī)接口要有冗余性。接入層設(shè)計(jì)部門網(wǎng)絡(luò)的接入：為實(shí)現(xiàn)所有單位用戶的接入，考慮到實(shí)際需求及性價(jià)比，每個(gè)接入單位配置一臺接入設(shè)備。在對內(nèi)網(wǎng)安全性和可控性考慮，圖2.12岳陽市各區(qū)縣電子政務(wù)外網(wǎng)接入層(交換機(jī))設(shè)計(jì)(一)圖2.12岳陽市各區(qū)縣電子政務(wù)外網(wǎng)接入層(路由器)設(shè)計(jì)(二)部門通過千兆單模/多模光接口就近接入?yún)R聚交換機(jī)，交換機(jī)設(shè)備要能夠?qū)崿F(xiàn)各接入單位之間不同的應(yīng)用通過VLAN二層隔離并以VLANTrunk方式透傳至匯聚交換機(jī)。路由器設(shè)備要能夠?qū)崿F(xiàn)各接入單位的地址轉(zhuǎn)換。結(jié)合網(wǎng)絡(luò)情況以及接口要求，本次接入層設(shè)備配置應(yīng)該滿足所有單位接入數(shù)量的要求。IGP路由設(shè)計(jì)路由設(shè)計(jì)，關(guān)系到網(wǎng)絡(luò)的整體性能和功能，是網(wǎng)絡(luò)設(shè)計(jì)中的一個(gè)重要環(huán)節(jié)，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)路由設(shè)計(jì)采用靈活的設(shè)計(jì)思路，準(zhǔn)確選擇路由協(xié)議，從管理的方便性和技術(shù)的先進(jìn)性兩個(gè)方面進(jìn)行規(guī)劃設(shè)計(jì)。根據(jù)岳陽市各區(qū)縣電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)規(guī)模和主備線路情況，在核心層和匯聚層采用OSPF路由協(xié)議，實(shí)現(xiàn)流量的負(fù)載均衡和鏈路的自動切換。對于互聯(lián)網(wǎng)接入?yún)^(qū)和外部數(shù)據(jù)中心的節(jié)點(diǎn)，由于連接至啟用三層的防火墻，使用靜態(tài)路由實(shí)現(xiàn)網(wǎng)絡(luò)的聯(lián)通性；對于內(nèi)部數(shù)據(jù)中心節(jié)點(diǎn)，由于是連接是三層防火墻安全設(shè)備，使用OSPF路由協(xié)議，實(shí)現(xiàn)網(wǎng)絡(luò)的聯(lián)通性。IP地址規(guī)劃IP地址的合理規(guī)劃是網(wǎng)絡(luò)設(shè)計(jì)中的重要一環(huán)，大型計(jì)算機(jī)網(wǎng)絡(luò)必須對ＩＰ地址進(jìn)行統(tǒng)一規(guī)劃并得到實(shí)施。IP地址規(guī)劃的好壞，影響到網(wǎng)絡(luò)路由協(xié)議算法的效率，影響到網(wǎng)絡(luò)的性能，影響到網(wǎng)絡(luò)的擴(kuò)展，影響到網(wǎng)絡(luò)的管理，也必將直接影響到網(wǎng)絡(luò)應(yīng)用的進(jìn)一步發(fā)展。IP地址分配原則IP地址空間分配，要與網(wǎng)絡(luò)拓?fù)鋵哟谓Y(jié)構(gòu)相適應(yīng)，既要有效地利用地址空間，又要體現(xiàn)出網(wǎng)絡(luò)的可擴(kuò)展性和靈活性，同時(shí)能滿足路由協(xié)議的要求，以便于網(wǎng)絡(luò)中的路由匯總和聚類，減少路由器中路由表的長度，減少對路由器CPU、內(nèi)存的消耗，提高路由算法的效率，加快路由變化的收斂速度，同時(shí)還要考慮到網(wǎng)絡(luò)地址的可管理性。具體分配時(shí)要遵循以下原則：唯一性：一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址；簡單性：地址分配應(yīng)簡單易于管理，降低網(wǎng)絡(luò)擴(kuò)展的復(fù)雜性，簡化路由表的款項(xiàng)連續(xù)性：連續(xù)地址在層次結(jié)構(gòu)網(wǎng)絡(luò)中易于進(jìn)行路徑疊合，大大縮減路由表，提高路由算法的效率可擴(kuò)展性：地址分配在每一層次上都要留有余量，在網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址疊合所需的連續(xù)性靈活性：地址分配應(yīng)具有靈活性，以滿足多種路由策略的優(yōu)化，充分利用地址空間管理和互聯(lián)地址規(guī)劃從省中心分配給岳陽的地址段中劃分一段作為管理和互連地址段。用戶地址規(guī)劃省中心對市（市）區(qū)的IP地址做了統(tǒng)一的規(guī)劃和分配，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)所分配的地址段由岳陽市信息化管理局統(tǒng)一分配，用戶地址具體分配原則如下：在縱向VPN和橫向VPN中為各市直單位分配岳陽市各區(qū)縣段IP地址，原則上是先滿足網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)維護(hù)管理所需的IP地址段，對各接入單位所需的IP地址分配原則是按需分配，動態(tài)管理。在橫向VPN的設(shè)計(jì)中，如果部分單位之間的IP地址段重疊，則由接入設(shè)備將重疊的用戶地址進(jìn)行地址轉(zhuǎn)換（NAT）為政務(wù)外網(wǎng)的臨湘段地址進(jìn)行通信?？紤]到IP地址數(shù)量有限，對于各單位訪問Internet的公共VPN則由市政府從私有地址段中進(jìn)行統(tǒng)一分配，原則上每個(gè)單位分配一個(gè)C類地址段，由接入設(shè)備將這些訪問Internet的地址轉(zhuǎn)換（NAT）為政務(wù)外網(wǎng)臨湘段地址再在政務(wù)外網(wǎng)上傳播。有特殊需求的單位，適當(dāng)增加外網(wǎng)IP地址。MPLSVPN規(guī)劃設(shè)計(jì)MPLSVPN構(gòu)建縱向網(wǎng)絡(luò)MPLS（MultiprotocolLabelSwitching:多協(xié)議標(biāo)簽交換）技術(shù)是在開放的通信網(wǎng)上利用定長標(biāo)簽進(jìn)行數(shù)據(jù)高速傳輸和交換的網(wǎng)絡(luò)新技術(shù)。MPLS技術(shù)將第二層交換和第三層的路由技術(shù)很好地結(jié)合起來，以十分簡潔、高效的方式完成信息的傳送。更為重要的是，MPLS使IP網(wǎng)絡(luò)能提供傳統(tǒng)IP網(wǎng)絡(luò)不能或很難提供的各種增值服務(wù)，例如MPLS所提供的VPN服務(wù)、流量工程服務(wù)、IPQoS服務(wù)等。在MPLS網(wǎng)上實(shí)現(xiàn)的無連接的IPVPN，提供了基于幀中繼、ATMPVC的第二層VPN相同安全級別的虛擬專用網(wǎng)，能達(dá)到第二層PVC所具有的專有性、安全性和數(shù)據(jù)傳輸?shù)母咚傩?，而MPLSVPN的靈活性、擴(kuò)展性、易管理性和適應(yīng)性則是當(dāng)前其他基于PVC或隧道技術(shù)的VPN所無法比擬的。MPLSVPN在第三層路由上對各VPN進(jìn)行了隔離，無需訪問控制列表ACL，各VPN之間都是不可見的，骨干網(wǎng)對于客戶網(wǎng)絡(luò)（某個(gè)VPN內(nèi)部）也是不可見的。所以，充分保證了在多個(gè)業(yè)務(wù)系統(tǒng)共用IP骨干網(wǎng)情況下的相互有效隔離。MPLS最初是為服務(wù)供應(yīng)商網(wǎng)絡(luò)所創(chuàng)立的技術(shù)，今天，很多企業(yè)或政府機(jī)構(gòu)的網(wǎng)絡(luò)也需要解決和服務(wù)供應(yīng)商網(wǎng)絡(luò)類似的需求和問題。大型企業(yè)和政府機(jī)構(gòu)的IP骨干網(wǎng)正從過去低帶寬、重復(fù)分離的物理網(wǎng)絡(luò)向?qū)拵Щ⒁惑w化方向發(fā)展，一個(gè)高效的、智能的、集成的網(wǎng)絡(luò)是政府網(wǎng)絡(luò)發(fā)展的方向。同樣地，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)要能安全、高效地整合各業(yè)務(wù)專網(wǎng)，同時(shí)應(yīng)對各種公共業(yè)務(wù)、語音傳送、視頻服務(wù)多業(yè)務(wù)應(yīng)用不斷增長的需求，這些不同的業(yè)務(wù)專網(wǎng)和各種應(yīng)用對于網(wǎng)絡(luò)的安全性、服務(wù)質(zhì)量要求各不相同，這就要求岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺必須能夠?qū)⑺鼈儼凑崭髯缘奶匦院鸵笳_地傳送，提供安全隔離和區(qū)別服務(wù)。先進(jìn)、成熟的MPLS/VPN技術(shù)是岳陽市各區(qū)縣電子政務(wù)外網(wǎng)橫向系統(tǒng)建設(shè)的有效解決方案。對岳陽市各區(qū)縣電子政務(wù)外網(wǎng)而言，需要重點(diǎn)實(shí)現(xiàn)兩個(gè)方面的需求：l．安全隔離：一方面要保證各業(yè)務(wù)系統(tǒng)邏輯網(wǎng)絡(luò)的相對獨(dú)立性，以滿足不同業(yè)務(wù)系統(tǒng)對安全性、服務(wù)質(zhì)量、管理、拓樸結(jié)構(gòu)的要求；2．受控互訪：另一方面，各業(yè)務(wù)系統(tǒng)之間的流程整合又需要提供相互訪問的途徑，而且要保證訪問的安全性。MPLS/BGPVPN解決方案可以為岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺提供一種基于網(wǎng)絡(luò)、易于管理、擴(kuò)充性好、安全且具有QoS保障、可在任意節(jié)點(diǎn)間連接的VPN。1．基于網(wǎng)絡(luò)，易于管理。這種基于網(wǎng)絡(luò)的VPN可以完全由骨干網(wǎng)絡(luò)來實(shí)現(xiàn)，即網(wǎng)絡(luò)用戶（各應(yīng)用系統(tǒng)）不用關(guān)心VPN是如何構(gòu)造的，而是在網(wǎng)絡(luò)平臺內(nèi)完成。2．路由。需要在各PE節(jié)點(diǎn)之間建立IBGP全連接，以交換VPN-IPV4路由。3．安全性。由于基于MPLS/BGP實(shí)現(xiàn)，報(bào)文在網(wǎng)絡(luò)節(jié)點(diǎn)構(gòu)成的MPLS域中采用標(biāo)簽轉(zhuǎn)發(fā)的形式進(jìn)行交換（LSP），因此具有同ATM/FR虛電路相同的安全級別。MPLSBGPVPN方案采用VRF實(shí)現(xiàn)VPN之間的路由隔離。通過MPLSLSP隧道將VPN流量完全隔離。4．QOS。由于基于MPLS/BGP實(shí)現(xiàn)，可以利用MPLSCOS機(jī)制，結(jié)合IPQOS機(jī)制，從而能夠?yàn)閂PN用戶實(shí)現(xiàn)端到端的QOS服務(wù)。由于各業(yè)務(wù)系統(tǒng)的VPN流量通過不同的LSP隧道承載，可以方便的針對LSP實(shí)現(xiàn)MPLS的區(qū)別服務(wù)。通過IPTOS和MPLSCOS域的映射，可以將邊緣網(wǎng)絡(luò)中定義的IPQOS級別繼承到MPLS域中，實(shí)現(xiàn)端到端的QOS。5．?dāng)U充性好。由于基于MPLS/BGP實(shí)現(xiàn)，因此很容易對網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行擴(kuò)充，網(wǎng)絡(luò)可剪裁性好。在增加某個(gè)VPN的網(wǎng)點(diǎn)（Site）時(shí)，只需要配置該網(wǎng)點(diǎn)連接的PE路由器，不存在N平方問題。增加一項(xiàng)新業(yè)務(wù)系統(tǒng)時(shí)不會影響已有的業(yè)務(wù)，實(shí)現(xiàn)平滑擴(kuò)展。MPLSVPN業(yè)務(wù)模型與網(wǎng)絡(luò)規(guī)模及拓?fù)錈o關(guān)。岳陽市各區(qū)縣電子政務(wù)外網(wǎng)部署MPLSVPN要考慮以下幾點(diǎn)：可靠性和穩(wěn)定性目前MPLSVPN技術(shù)主要分成L3MPLSVPN、L2MPLSVPN（包括VPLS（虛擬私有局域網(wǎng)服務(wù)））兩大類。其中L3MPLSVPN技術(shù)發(fā)展較早，其核心部分已經(jīng)標(biāo)準(zhǔn)化（RFC2547，RFC2547bits）,由于它的信令控制是通過多協(xié)議BGP來實(shí)現(xiàn)的，所以通常也叫做MPLS/BGPVPN，或BGP/MPLSVPN。MPLS/BGPVPN技術(shù)不僅已經(jīng)廣泛應(yīng)用于電信運(yùn)營商和ISP，而且也廣泛應(yīng)用于電力行業(yè)，政府行業(yè)（包括各省的政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)），金融行業(yè)，大型企業(yè)等行業(yè)用戶。其技術(shù)和產(chǎn)品都較為成熟，穩(wěn)定。所以岳陽市各區(qū)縣電子政務(wù)外網(wǎng)宜選用MPLS/BGPVPN作為主流的MPLSVPN技術(shù)。擴(kuò)展性由于省電子政務(wù)外網(wǎng)將每個(gè)省（含副省級）規(guī)劃為單獨(dú)的自治域（AutonomousSystem）。所以，要想實(shí)現(xiàn)各個(gè)部委的垂直縱向網(wǎng)從中央延伸到省、地市、區(qū)市，必需解決VPN跨自治域的問題。業(yè)務(wù)多樣性岳陽市各區(qū)縣電子政務(wù)外網(wǎng)作為一個(gè)向政府部門提供網(wǎng)絡(luò)服務(wù)的平臺，不僅要提供基本MPLSVPN業(yè)務(wù)。還要提供多樣化的業(yè)務(wù)種類，以滿足不同政府部門的多樣化要求。比如，有的廳局需要在自己的VPN內(nèi)部根據(jù)自己不同的業(yè)務(wù)部門或者不同的業(yè)務(wù)種類再自行劃分內(nèi)部的VPN，而這種內(nèi)部VPN的劃分和管理應(yīng)該完全屬于這個(gè)廳局自己，而不需要對全網(wǎng)VPN規(guī)劃產(chǎn)生影響。所以，這個(gè)網(wǎng)絡(luò)需要支持MPLSVPN的層次化能力。VPN業(yè)務(wù)的高品質(zhì)保證針對語音、視頻、多媒體通信等實(shí)時(shí)性要求比較嚴(yán)格的業(yè)務(wù)，岳陽市各區(qū)縣電子政務(wù)外網(wǎng)的VPN服務(wù)能否提供類似專線一樣的服務(wù)質(zhì)量保證也是非常重要的，這就要求在整個(gè)網(wǎng)絡(luò)中部署端到端的QOS。設(shè)備實(shí)現(xiàn)MPLSVPN的性能考慮前面只是考慮了MPLSVPN部署時(shí)的業(yè)務(wù)特性，而在一個(gè)實(shí)際的生產(chǎn)網(wǎng)絡(luò)里。設(shè)備實(shí)現(xiàn)MPLSVPN的性能如何至關(guān)重要?？删S護(hù)性和可管理性對于MPLSVPN的管理首先確定管理界面。在電信運(yùn)營商網(wǎng)絡(luò)，PE和CE是服務(wù)提供商和用戶之間的管理界面，用戶維護(hù)和管理CE設(shè)備，服務(wù)提供商維護(hù)和管理PE設(shè)備。但是在電子政務(wù)外網(wǎng)中，由于行業(yè)的特點(diǎn)，政務(wù)外網(wǎng)服務(wù)提供商不僅要維護(hù)和管理PE設(shè)備，還要維護(hù)和管理CE設(shè)備。如何解決同時(shí)對PE和CE設(shè)備的管理是必需考慮的問題。其次是MPLSVPN的業(yè)務(wù)管理，主要包括以下幾個(gè)方面：同時(shí)支持MPLSL2/L3VPN可以同時(shí)管理BGP/MPLSVPN（RFC2547bis）、MPLSL2VPN（VPLS、Martini、Kompella），能夠?qū)崿F(xiàn)“多種VPN業(yè)務(wù)，單點(diǎn)集中運(yùn)維”。能夠提供多廠商設(shè)備MPLSVPN業(yè)務(wù)共同管理的功能。能夠使用圖形化、向?qū)Щ姆绞?，幫助管理員快速完成VPN業(yè)務(wù)規(guī)劃，并可直觀的進(jìn)行“業(yè)務(wù)預(yù)覽”，即在業(yè)務(wù)尚未部署到設(shè)備之前，就可在業(yè)務(wù)管理系統(tǒng)中看到業(yè)務(wù)實(shí)施后的效果（如VPN拓?fù)浣Y(jié)構(gòu)、VPN內(nèi)各站點(diǎn)間邏輯連接關(guān)系），避免業(yè)務(wù)規(guī)劃過程中人為的錯(cuò)誤。能夠提供可調(diào)度（定時(shí)或用戶觸發(fā)）的業(yè)務(wù)部署能力，自動生成不同廠商設(shè)備的指令，并下發(fā)設(shè)備，在網(wǎng)絡(luò)中形成實(shí)際運(yùn)行的MPLSVPN業(yè)務(wù)；對于已部署業(yè)務(wù)，可進(jìn)行拆除；降低業(yè)務(wù)部署復(fù)雜度，提高VPN業(yè)務(wù)發(fā)放響應(yīng)速度。能夠自動發(fā)現(xiàn)已有網(wǎng)絡(luò)中的設(shè)備、接口、邏輯接口等資源。能夠提供多種有效的業(yè)務(wù)監(jiān)控手段，從而保證VPN業(yè)務(wù)質(zhì)量：VPN配置審計(jì)、VPN連通性審計(jì)、端到端的網(wǎng)絡(luò)性能（時(shí)延、丟包、抖動）監(jiān)控、圖形化的流量/帶寬利用率監(jiān)控、智能的業(yè)務(wù)告警分析，幫助管理員快速排障、及時(shí)了解業(yè)務(wù)狀況。VPN客戶可以通過WEB瀏覽器，在被授權(quán)的范圍內(nèi)管理其租用VPN的運(yùn)行狀況：修改查看客戶基本信息、查看業(yè)務(wù)租用情況、查看流量/告警統(tǒng)計(jì)報(bào)表。能夠提供北向接口，可接入其他BSS/OSS系統(tǒng)或告警/性能等ISV專有系統(tǒng)（如Micromuse的NetCool），為運(yùn)營商規(guī)劃運(yùn)營支撐系統(tǒng)時(shí)提供VPN業(yè)務(wù)的管理接口。能夠維護(hù)VPN客戶的各種信息，并提供豐富的客戶業(yè)務(wù)租用報(bào)表、資源租用報(bào)表、性能數(shù)據(jù)報(bào)表、流量數(shù)據(jù)報(bào)表和故障數(shù)據(jù)報(bào)表等。能夠定時(shí)自動生成各種報(bào)表，包括：網(wǎng)絡(luò)資源占用報(bào)表、業(yè)務(wù)租用報(bào)表、VPN流量/接口帶寬利用率報(bào)表（可按日周月年查看）、告警報(bào)表、客戶報(bào)表、連通性審計(jì)報(bào)表、性能報(bào)表（平均/最大/最小丟包、時(shí)延等指標(biāo)）等（格式包括HTML、EXCEL等）。能夠提供靈活的用戶分權(quán)策略（可按照對象＋操作給用戶授權(quán)），方便運(yùn)營商按照個(gè)管理員實(shí)際業(yè)務(wù)職責(zé)來分權(quán)；提供簡便易用的數(shù)據(jù)庫備份工具，簡化系統(tǒng)管理員數(shù)據(jù)備份的工作；提供Watchman異地雙機(jī)備份組件，保證系統(tǒng)的高可用性；提供詳盡的用戶操作日志記錄、任務(wù)操作日志記錄，便于事后跟蹤。能夠提供豐富的網(wǎng)絡(luò)拓?fù)滹@示視圖：網(wǎng)絡(luò)視圖（PE-CE之間的連接關(guān)系）、客戶視圖（CE-CE之間連接管理）、VPN視圖（每個(gè)VPN顯示為一個(gè)節(jié)點(diǎn)）功能，并提供放大、縮小、定位節(jié)點(diǎn)、鳥瞰圖、節(jié)點(diǎn)搜索、多選等操作；并可按照客戶、VPN過濾、AS、VPN類型等過濾顯示；對于VPN內(nèi)節(jié)點(diǎn)數(shù)目較大、之間的邏輯鏈接過多提供更細(xì)節(jié)的過濾顯示功能；拓?fù)淠軌蚍从硺I(yè)務(wù)實(shí)際運(yùn)行狀態(tài)。MP-BGPRR規(guī)劃設(shè)計(jì)MP-BGP主要用于傳遞VPN路由，BGP路由協(xié)議規(guī)劃中的IBGP主要用于傳遞IPV4路由。由于所有岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺設(shè)備處于一個(gè)AS中，MP-IGP同樣存在IBGP的全連接要求，同樣具有N平方問題，為了解決這個(gè)問題，必須使用BGP反射器技術(shù)。MPLSVPN資源規(guī)劃VRF規(guī)劃岳陽市各區(qū)縣政府職能部門，建立兩個(gè)基本VPN：縱向VPN：規(guī)劃為各職能部門的垂直部門之間訪問；橫向VPN；規(guī)劃為各職能部門的兄弟部門之間的訪問；2、在岳陽市各區(qū)縣政府網(wǎng)控中心，除上面兩個(gè)VPN外，需要建立如下VPN：公網(wǎng)出口VPN：為岳陽市各區(qū)縣政務(wù)外網(wǎng)internet出口建立一個(gè)VPN，該VPN與各職能部門的internetVPN進(jìn)行互引，從而實(shí)現(xiàn)各職能部門的上internet的需求，同時(shí)實(shí)現(xiàn)各職能部門internetVPN用戶的隔離；共享資源VPN：為岳陽市各區(qū)縣政務(wù)外網(wǎng)內(nèi)部數(shù)據(jù)中心設(shè)立的VPN，通過這處VPN與其他部門的路由標(biāo)簽互相引入，實(shí)現(xiàn)岳陽市各區(qū)縣電子政務(wù)平臺相關(guān)資源對所有職能部門的共享。RD—routerdistinguish規(guī)劃RD的命名規(guī)則統(tǒng)一如下：使用16bits：32bits格式，分配規(guī)則為『AS號：VPN類別』?！逗鲜‰娮诱?wù)外網(wǎng)平臺規(guī)范》對RD值規(guī)劃如下：VRF名稱RD（ASN代表湖南省電子政務(wù)外網(wǎng)自治系統(tǒng)號）維護(hù)VRFASN:1-10數(shù)據(jù)交換中心VRFASN:11-60語音、視頻ASN:61-99系統(tǒng)保留ASN:100-999接入部門1ASN:1000-1099(其中ASN:1000用做管理VPN，ASN:1001-1009用做橫向VPN，ASN:1010-1099用做縱向VPN)接入部門100ASN:10000-10099(其中ASN:10000用做管理VPN，ASN:10001-10009用做橫向VPN，ASN:10010-10099用做縱向VPN)系統(tǒng)保留ASN:20000以后RT—Route-target規(guī)劃命名規(guī)則如下：使用16bits：32bits格式，分配規(guī)則為『AS號：VPN類別』。RT。由于標(biāo)準(zhǔn)的MPLS/BGPVPN采用對VPN-IPv4路由附帶的RT值進(jìn)行導(dǎo)入ImportTarget和導(dǎo)出ExportTarget控制以實(shí)現(xiàn)不同VPN之間的訪問控制,而且在岳陽市各區(qū)縣政務(wù)網(wǎng)絡(luò)中存在職能部門的縱向或橫向訪問，所以RT值必須全局統(tǒng)一分配。湖南省電子政務(wù)外網(wǎng)工程中采用RT值的格式：16位自治系統(tǒng)號:32位用戶自定義數(shù)字。RT與VPN相匹配。（ASN代表湖南省電子政務(wù)外網(wǎng)自治域系統(tǒng)號）VPN名稱站點(diǎn)ExportRTImportRT維護(hù)VPNASN:1ASN:100．．．．．．ASN:20000各政府職能部門ASN:100．．．．．．ASN:20000ASN:1垂直縱向VPN單位1ASN:110-199ASN:110-199．．．．．．單位100ASN:10010-10099ASN:10010-10099MPLSVPN業(yè)務(wù)接入規(guī)劃岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺中的業(yè)務(wù)包括各政府職能部門的各種應(yīng)用系統(tǒng)，這些系統(tǒng)一般通過局域網(wǎng)交換機(jī)或路由設(shè)備將業(yè)務(wù)接入到匯聚層PE。根據(jù)湖南省電子政務(wù)外網(wǎng)的技術(shù)規(guī)范及岳陽市各區(qū)縣政府電子政務(wù)外網(wǎng)的相關(guān)要求，針對各政府職能部門，先規(guī)劃兩個(gè)VPN以滿足他們現(xiàn)行條件的業(yè)務(wù)需求，這兩個(gè)VPN為：縱向VPN：滿足各職能部門省、市、市級的縱向數(shù)據(jù)訪問；橫向VPN：滿足部分岳陽市各區(qū)縣政府職能部門兄弟單位的共享數(shù)據(jù)訪問。在實(shí)現(xiàn)上，這兩個(gè)VPN，分別對應(yīng)兩個(gè)VLAN，通過交換機(jī)的TRUNK鏈路接入?yún)R聚網(wǎng)絡(luò)設(shè)備，在匯聚設(shè)備上進(jìn)行VPN的綁定。從整個(gè)岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺來看，還需要對一些業(yè)務(wù)共享資源進(jìn)行規(guī)劃，并且對以后應(yīng)用的擴(kuò)展進(jìn)行考慮還要創(chuàng)建如下VPN：外部數(shù)據(jù)中心VPN：滿足外部共享資源的統(tǒng)一管理。內(nèi)部數(shù)據(jù)中心VPN：滿足岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺中各部門共享資源的管理。在擴(kuò)展性考慮方面，我們還必須對VPN資源進(jìn)行預(yù)留，以滿足今后業(yè)務(wù)的發(fā)展要求，譬如說可以按業(yè)務(wù)給VOIP或視頻會議等應(yīng)用規(guī)劃單獨(dú)的VPN，以滿足電子政務(wù)外網(wǎng)平臺中語音、視頻的業(yè)務(wù)擴(kuò)充能力。數(shù)據(jù)中心設(shè)計(jì)方案外部數(shù)據(jù)中心設(shè)計(jì)外網(wǎng)服器包含：WEB服務(wù)器等。我們主要考慮到的是防范對于非法訪問，一般通過防火墻來實(shí)現(xiàn)。通過配置了多級防火墻，以隔離網(wǎng)絡(luò)各個(gè)組成部分相互之間的非法訪問（合法訪問可以通過）；對于Internet用戶來講，如果想非法侵入外部數(shù)據(jù)中心網(wǎng)絡(luò)，必須突破防火墻的防范?？咕芙^服務(wù)系統(tǒng)通過多種技術(shù)手段對DOS/DDOS攻擊進(jìn)行有效的檢測，對不同的流量觸發(fā)不同的保護(hù)機(jī)制，在提高效率的同時(shí)確保準(zhǔn)確度，對SYNFlood，UDPFlood，ICMPFlood，IGMPFlood，F(xiàn)ragmentFlood，HTTPProxyFlood，CCProxyFlood，ConnectionExhausted等各種常見的攻擊行為均可有效識別，并通過集成的機(jī)制實(shí)時(shí)對這些攻擊流量進(jìn)行處理及阻斷，保護(hù)服務(wù)主機(jī)免于攻擊所造成的損失，保證岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺業(yè)務(wù)應(yīng)用系統(tǒng)運(yùn)行的連續(xù)性。外部數(shù)據(jù)中心也是電子政務(wù)外網(wǎng)的主要組成部分，還考慮到如果黑客采取SQL注入、跨站腳本攻擊、DDOS攻擊、網(wǎng)頁掛馬、敏感信息泄露、網(wǎng)頁篡改等等攻擊手段，我們也得采取相應(yīng)措施應(yīng)對。所以我們用到網(wǎng)頁防篡改系統(tǒng)，將其部署在外部數(shù)據(jù)中心WEB服務(wù)器上，有效防范政府網(wǎng)頁被篡改的行為。圖3.1岳陽市各區(qū)縣電子政務(wù)外網(wǎng)外部數(shù)據(jù)中心設(shè)計(jì)內(nèi)部數(shù)據(jù)中心設(shè)計(jì)本方案內(nèi)部服務(wù)器包含：OA辦公服務(wù)器、電子政務(wù)應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器、IMC智能管理平臺服務(wù)器等，應(yīng)選高性能三層交換機(jī)作為服務(wù)器匯聚設(shè)備來保證對服務(wù)器被訪問量，滿足對服務(wù)器所要求的帶寬。本方案在核心交換機(jī)與數(shù)據(jù)中心服務(wù)器區(qū)部署二臺高性能防火墻產(chǎn)品，構(gòu)成雙機(jī)熱備，以防御來自不同網(wǎng)絡(luò)區(qū)域的攻擊，并將各系統(tǒng)有效的安全隔離開來，確保岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺數(shù)據(jù)中心的安全。IPS位于岳陽市各區(qū)縣電子政務(wù)核心交換機(jī)與內(nèi)部數(shù)據(jù)中心之間，大大提高了對電子政務(wù)外網(wǎng)平臺的安全性，有效的保障了訪問內(nèi)部數(shù)據(jù)中心權(quán)限的應(yīng)用。圖3.2岳陽市各區(qū)縣電子政務(wù)外網(wǎng)內(nèi)部數(shù)據(jù)中心設(shè)計(jì)服務(wù)器部署設(shè)計(jì)服務(wù)器是本次項(xiàng)目電子政務(wù)應(yīng)用建設(shè)的重要組成部分，是構(gòu)成整個(gè)電子政務(wù)應(yīng)用的物理基礎(chǔ)。在本次項(xiàng)目中的服務(wù)器可以分為以下幾個(gè)大類： 數(shù)據(jù)庫服務(wù)器：用于布置電子政務(wù)應(yīng)用的數(shù)據(jù)庫，是電子政務(wù)應(yīng)用的數(shù)據(jù)存儲中心；主要用于運(yùn)行大型數(shù)據(jù)庫系統(tǒng)，進(jìn)行存儲、查詢、檢索應(yīng)用系統(tǒng)信息。數(shù)據(jù)庫在運(yùn)行時(shí)會大量的使用系統(tǒng)內(nèi)存，要有足夠容量的系統(tǒng)內(nèi)存進(jìn)行支持，并且要有足夠強(qiáng)計(jì)算能力和I/O吞吐能力。 應(yīng)用服務(wù)器：用于支撐整個(gè)電子政務(wù)的各類應(yīng)用（行政審批、電子監(jiān)察等），根據(jù)應(yīng)用的具體情況選擇相應(yīng)的服務(wù)器。 Web服務(wù)器：支撐電子政務(wù)中的Web應(yīng)用。OA服務(wù)器：用于支撐整個(gè)電子政務(wù)的煤OA辦公應(yīng)用。門戶外網(wǎng)服務(wù)器：用于支撐整個(gè)外網(wǎng)門戶網(wǎng)站群。本項(xiàng)目所有服務(wù)器都部署在岳陽市各區(qū)縣政府網(wǎng)控中心。根據(jù)岳陽市各區(qū)縣電子政務(wù)應(yīng)用的情況，服務(wù)器主要部署在內(nèi)部數(shù)據(jù)中心和外部數(shù)據(jù)中心，內(nèi)外部數(shù)據(jù)中心的服務(wù)器根據(jù)應(yīng)用的類別劃分相應(yīng)的分區(qū)，所需要的服務(wù)器包括：門戶網(wǎng)站服務(wù)器兩臺、數(shù)據(jù)庫服務(wù)器兩臺、網(wǎng)管服務(wù)器一臺、日志服務(wù)器一臺、防病毒服務(wù)器一臺、行政審批與電子監(jiān)察系統(tǒng)服務(wù)器一臺、備用兩臺，其他服務(wù)器根據(jù)今后應(yīng)用的需要進(jìn)行購置。服務(wù)器采用獨(dú)立的機(jī)架式服務(wù)器。存儲設(shè)計(jì)方案概述結(jié)合岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺應(yīng)用發(fā)展的實(shí)際情況，在岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺中采用IPSAN存儲系統(tǒng)，存儲包括在線存儲、近線存儲、離線存儲，離線存儲適用物理帶庫，實(shí)現(xiàn)外網(wǎng)各應(yīng)用系統(tǒng)的數(shù)據(jù)存儲和市直部門及鄉(xiāng)鎮(zhèn)數(shù)據(jù)的災(zāi)備。存儲需求分析根據(jù)各區(qū)縣電子政務(wù)外網(wǎng)建設(shè)規(guī)劃和國家外網(wǎng)業(yè)務(wù)的延伸，“十二金”工程、人口、法人、自然資源與環(huán)境、宏觀經(jīng)濟(jì)等數(shù)據(jù)庫的建立，電子印章與數(shù)字證書支撐應(yīng)用系統(tǒng)、智能交通系統(tǒng)、數(shù)字城管系統(tǒng)、社會綜合治稅系統(tǒng)等業(yè)務(wù)應(yīng)用系統(tǒng)的建設(shè)，將產(chǎn)生大量的數(shù)據(jù)，為了提高存儲訪問性能，消除存儲孤島，保證數(shù)據(jù)的完整性和可用性，需要科學(xué)合理規(guī)劃、建立存儲系統(tǒng)。在線存儲采用IP-SAN技術(shù)實(shí)現(xiàn)，建議預(yù)留ISCSI接口異地災(zāi)備采用IP-SAN技術(shù)實(shí)現(xiàn)，磁盤采用SATA硬盤實(shí)現(xiàn)。系統(tǒng)拓?fù)鋱D圖4.1岳陽市各區(qū)縣電子政務(wù)外網(wǎng)存儲系統(tǒng)設(shè)計(jì)系統(tǒng)設(shè)計(jì)采用目前最先進(jìn)的冗余4GbpsIP-SAN架構(gòu)。所有需要進(jìn)行數(shù)據(jù)存儲和備份的服務(wù)器直接接入IP交換機(jī)，實(shí)現(xiàn)對連接在IP-SAN交換機(jī)上的磁盤陣列的存儲訪問。備份、容災(zāi)系統(tǒng)部署為保證數(shù)據(jù)安全，需要有效的數(shù)據(jù)備份機(jī)制:在IP-SAN的方案設(shè)計(jì)中，以高性能存儲系列產(chǎn)品作為核心存儲系統(tǒng)。通過IP交換機(jī)與局域網(wǎng)多臺服務(wù)器建立連接。服務(wù)器通過普通千兆網(wǎng)卡或iSCSIHBA卡接入IPSAN。提供海量存儲空間，實(shí)現(xiàn)高穩(wěn)定性、高可靠性的數(shù)據(jù)集中和存儲資源統(tǒng)一管理?？梢曰觳甯咝阅艿腟AS磁盤和大容量的SATAII磁盤，單臺設(shè)備即可滿足兩種不同的應(yīng)用需求，大大提高設(shè)備性價(jià)比。所有需要連接的服務(wù)器，如數(shù)據(jù)庫服務(wù)器、郵件服務(wù)器等，只要安裝千兆網(wǎng)卡，并安裝軟件的iSCSIInitiator，就可以通過以太網(wǎng)獲得存儲設(shè)備，從而不需要購置價(jià)格昂貴的HBA卡。主流的操作系統(tǒng)AIX\Solaris\Linux\Windows都支持這種千兆網(wǎng)卡加軟件的iSCSIInitiator的實(shí)現(xiàn)方式。對于那些對于重要的應(yīng)用服務(wù)器，可以安裝通過iSCSI的HBA卡的方式連接到系統(tǒng)，對于其他需要擴(kuò)展存儲的應(yīng)用服務(wù)器來說，可以安裝操作系統(tǒng)所對應(yīng)的iSCSIInitiator，配合以太網(wǎng)卡連接到存儲系統(tǒng)。通過劃分不同的卷，以保證各個(gè)應(yīng)用系統(tǒng)互不干擾。對于以后可能增加的要連接到IP-SAN中需要共享存儲資源的所有相關(guān)應(yīng)用服務(wù)器，可實(shí)現(xiàn)即插即用，用網(wǎng)線連接到存儲區(qū)域網(wǎng)絡(luò)就能訪問后臺存儲設(shè)備里的數(shù)據(jù)?；跇?biāo)準(zhǔn)化IP的存儲交換平臺使得各種數(shù)據(jù)管理功能能夠像電器插入電源插座一樣，輕易地進(jìn)行部署應(yīng)用。

系統(tǒng)安全設(shè)計(jì)方案系統(tǒng)概況岳陽市各區(qū)縣電子政務(wù)網(wǎng)外網(wǎng)平臺，于外網(wǎng)有兩個(gè)連接節(jié)點(diǎn)，一個(gè)是互聯(lián)網(wǎng)，另外一個(gè)是市電子政務(wù)外網(wǎng)平臺。同時(shí)，在岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺上，還要部署政府門戶網(wǎng)站群，實(shí)施政務(wù)公開，提高監(jiān)管能力和公共服務(wù)水平?，F(xiàn)需要對外網(wǎng)進(jìn)行安全性防護(hù)控制和管理。因網(wǎng)絡(luò)規(guī)模大涉及人員及各單位部門較多，需對相關(guān)網(wǎng)絡(luò)訪問控制進(jìn)行嚴(yán)格管理。為實(shí)現(xiàn)電子政務(wù)網(wǎng)的系統(tǒng)安全專門定制一套網(wǎng)絡(luò)安全解決方案，主要針對安全防護(hù)、區(qū)域隔離、入侵防御分析、Web應(yīng)用的防護(hù)等。安全建設(shè)原則在規(guī)劃岳陽市各區(qū)縣電子政務(wù)網(wǎng)系統(tǒng)安全建設(shè)時(shí)，我們將遵循下原則，提供完善的全網(wǎng)安全解決方案：可用性原則：可用性就是指網(wǎng)絡(luò)服務(wù)對用戶而言必須是可用的，也是確保網(wǎng)絡(luò)節(jié)點(diǎn)在受到各種網(wǎng)絡(luò)攻擊時(shí)仍然能夠提供相應(yīng)的服務(wù)。保密性原則：保密性保證相關(guān)信息不泄露給未授權(quán)的用戶或?qū)嶓w。完整性原則：完整性保證信息在傳輸?shù)倪^程中沒有被非法用戶增加、刪除與修改，保證非法用戶無法偽造數(shù)據(jù)。真實(shí)性原則：真實(shí)性保證和一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)通信的對端就是真正的通信對端，也就是說要鑒別通信對端的身份。如果沒有真實(shí)性，那么網(wǎng)絡(luò)攻擊者就可以假冒網(wǎng)絡(luò)中的某個(gè)節(jié)點(diǎn)來和其它的節(jié)點(diǎn)進(jìn)行通信，那么他就可以獲得那些未被授權(quán)的資源和敏感信息。不可否認(rèn)性原則：不可否認(rèn)性保證一個(gè)節(jié)點(diǎn)不能否認(rèn)其發(fā)送出去的信息。這樣就能保證一個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)不能抵賴它以前的行為。安全拓?fù)鋱D圖5.3岳陽市各區(qū)縣電子政務(wù)外網(wǎng)安全系統(tǒng)設(shè)計(jì)系統(tǒng)功能說明：1、此網(wǎng)絡(luò)拓?fù)渲型ㄟ^部署二臺萬兆主機(jī)；集成二塊防火墻板卡、一塊入侵防御板卡；一塊抗DDOS系統(tǒng)板卡、一塊流量控制系統(tǒng)+上網(wǎng)行為審計(jì)系統(tǒng)、一套網(wǎng)頁防篡改系統(tǒng)、一套入網(wǎng)規(guī)范管理系統(tǒng)、一套日志審計(jì)系統(tǒng)來對整個(gè)網(wǎng)絡(luò)進(jìn)行安全保護(hù)和上網(wǎng)用戶及流量管理，在外部數(shù)據(jù)中心區(qū)服務(wù)器交換機(jī)也集成了入侵防御系統(tǒng)。為整個(gè)網(wǎng)提供無病毒的網(wǎng)絡(luò)環(huán)境。2、防火墻主要針對WEB服務(wù)器區(qū)的服務(wù)器進(jìn)行四層以下安全保護(hù)，同時(shí)也可做安全區(qū)域隔離，實(shí)現(xiàn)了內(nèi)部數(shù)據(jù)區(qū)、WEB服務(wù)器區(qū)和互聯(lián)網(wǎng)之間，不同的業(yè)務(wù)區(qū)的隔離和訪問的控制。3、入網(wǎng)規(guī)范管理系統(tǒng)在提供多樣化的身份認(rèn)證，保障接入網(wǎng)絡(luò)人員合法性的同時(shí)，同時(shí)支持對設(shè)備的實(shí)名認(rèn)證，保障了接入網(wǎng)絡(luò)終端設(shè)備的合法性，從而加強(qiáng)內(nèi)部網(wǎng)絡(luò)的可控性，方便管理員對網(wǎng)絡(luò)的統(tǒng)一管理。4、互聯(lián)網(wǎng)出口的抗DDOS設(shè)備使岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺能有效保護(hù)其基礎(chǔ)業(yè)務(wù)系統(tǒng)（包括Web、DNS、Mail、交換機(jī)、路由器或是防火墻）免受DDoS攻擊的侵害，保證其業(yè)務(wù)系統(tǒng)運(yùn)行的連續(xù)性。5、外部數(shù)據(jù)中心出口的IPS主要融合高性能、高安全性、高可靠性和易操作性等特性，通過先進(jìn)的安全架構(gòu)，具備深度入侵防護(hù)、精細(xì)流量控制，以及全面用戶上網(wǎng)行為監(jiān)管等多項(xiàng)功能，能夠?yàn)橛脩籼峁┥疃裙舴烙蛻?yīng)用帶寬保護(hù)的完美價(jià)值體驗(yàn)，IPS可針對上網(wǎng)用戶行為、流量管理、訪問控制、病毒防護(hù)，如：杜絕迅雷、BI下載、P2P點(diǎn)上下載、在線電影、炒股軟件、網(wǎng)絡(luò)游戲等。6、通過使用內(nèi)部數(shù)據(jù)中心防火墻過濾不安全的服務(wù)請求，提高網(wǎng)絡(luò)安全和減少子網(wǎng)中主機(jī)的風(fēng)險(xiǎn)，提供對系統(tǒng)的訪問控制；阻止攻擊者獲得攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)、攻擊和探測策略執(zhí)行。7、通過部署網(wǎng)絡(luò)版防病毒系統(tǒng)，網(wǎng)絡(luò)版防病毒產(chǎn)品與邊界安全網(wǎng)關(guān)采用異構(gòu)的殺毒引擎和病毒庫，以實(shí)現(xiàn)真正的雙重防護(hù)。安全系統(tǒng)部署岳陽市各區(qū)縣電子政務(wù)外網(wǎng)的網(wǎng)絡(luò)安全設(shè)計(jì)方案，主要體現(xiàn)針對WEB服務(wù)器區(qū)、內(nèi)部數(shù)據(jù)中心區(qū)、互聯(lián)網(wǎng)出口區(qū)和市電子政務(wù)外網(wǎng)互聯(lián)區(qū)這四個(gè)防護(hù)區(qū)的有效安全防御，突出在安全區(qū)域隔離、訪問控制、流量控制、攻擊防護(hù)、病毒過濾、上網(wǎng)行為管理、入侵防御方面的設(shè)計(jì)考慮。在互聯(lián)網(wǎng)接入?yún)^(qū)與核心交換機(jī)之間部署一臺高性能的防火墻產(chǎn)品，在保障網(wǎng)絡(luò)可用性同時(shí)實(shí)現(xiàn)內(nèi)外網(wǎng)間的邏輯隔離。位于外部數(shù)據(jù)中心的外網(wǎng)服務(wù)器掛在防火墻的服務(wù)器區(qū)，可同時(shí)防范來自內(nèi)外網(wǎng)的攻擊；在內(nèi)、外部數(shù)據(jù)中心服務(wù)器區(qū)與岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺之間各部署了一臺高性能防火墻系統(tǒng),通過防火墻深度內(nèi)容檢測，能夠?qū)崿F(xiàn)基于應(yīng)用的訪問控制，并且能夠和其他安全技術(shù)（比如認(rèn)證、入侵檢測、終端安全管理）的整合，形成全方面的動態(tài)安全防護(hù)體系；岳陽市各區(qū)縣電子政務(wù)外網(wǎng)的服務(wù)器同互聯(lián)網(wǎng)是連接的，主要提供對外服務(wù)，很容易遭受到DDOS的攻擊，部署抗DDOS攻擊系統(tǒng)就可以避免外網(wǎng)服務(wù)器遭受DDOS攻擊，同時(shí)通過系統(tǒng)的日志功能還可以追查攻擊源。在互聯(lián)網(wǎng)服務(wù)區(qū)入口部署入侵防御系統(tǒng)，負(fù)責(zé)監(jiān)聽、保護(hù)互聯(lián)網(wǎng)服務(wù)區(qū)出入的流量數(shù)據(jù)，達(dá)到主動切斷非法用戶攻擊的目的；在全網(wǎng)部署一套網(wǎng)絡(luò)版防病毒軟件，保護(hù)服務(wù)器和終端免遭病毒攻擊，病毒對網(wǎng)絡(luò)系統(tǒng)的攻擊和破壞是目前網(wǎng)絡(luò)安全中最復(fù)雜、最普遍的問題。因此，需要在網(wǎng)絡(luò)之中部署行之有效的網(wǎng)絡(luò)防病毒系統(tǒng)，以強(qiáng)化網(wǎng)絡(luò)整體防護(hù)能力；通過日志審計(jì)系統(tǒng)針對岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺的各個(gè)重要環(huán)節(jié)（包括網(wǎng)絡(luò)設(shè)備、服務(wù)器、安全設(shè)備、應(yīng)用系統(tǒng)等）在運(yùn)作過程中產(chǎn)生的各類日志信息進(jìn)行集中記錄和收集，并可根據(jù)關(guān)鍵字對各類日志信息進(jìn)行有效查詢，從而發(fā)覺深層次的安全問題，并能夠根據(jù)日志信息將網(wǎng)絡(luò)的活動狀態(tài)進(jìn)行重現(xiàn)，使系統(tǒng)在發(fā)生安全事件后可以進(jìn)行有效追溯，形成岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺應(yīng)用安全防護(hù)的保障；通過部署端點(diǎn)準(zhǔn)入控制管理系統(tǒng)，對岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺接入內(nèi)網(wǎng)的終端進(jìn)行安全檢查，包括補(bǔ)丁、防病毒軟件情況、安裝軟件情況等。不符合安全規(guī)則的終端將被引導(dǎo)到修復(fù)區(qū)進(jìn)行修復(fù)后進(jìn)入網(wǎng)絡(luò)。還可以對終端進(jìn)行進(jìn)一步的管理，包括：注冊管理、資產(chǎn)管理、補(bǔ)丁升級、網(wǎng)絡(luò)訪問策略、外設(shè)策略、桌面防火墻策略、應(yīng)用程序策略、桌面屬性策略、系統(tǒng)設(shè)置項(xiàng)等項(xiàng)目的細(xì)致化管理。通過部署流量控制設(shè)備,實(shí)現(xiàn)深度感知網(wǎng)絡(luò)應(yīng)用，利用帶寬管理技術(shù)，實(shí)現(xiàn)對用戶和業(yè)務(wù)的分級化識別管理，達(dá)到基于用戶和用戶業(yè)務(wù)流量的管理的目的,增強(qiáng)對網(wǎng)絡(luò)洞察力，全面透視應(yīng)用流量，掌控網(wǎng)絡(luò)資源（凈化流量；流量負(fù)載均衡；控制上網(wǎng)行為；進(jìn)行帶寬管理，保障關(guān)鍵應(yīng)用），同時(shí)采用集中式管理與分析工具，全面分析并預(yù)測網(wǎng)絡(luò)資源使用狀況；通過在岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺WEB服務(wù)器上部署網(wǎng)頁防篡改軟件，可以提高相關(guān)WEB站點(diǎn)的安全性。當(dāng)出現(xiàn)黑客攻擊或工作人員某些操作失誤，網(wǎng)頁防篡改軟件能夠?qū)崟r(shí)恢復(fù)網(wǎng)站文件，保證網(wǎng)站的連續(xù)正常運(yùn)行；同時(shí)還能夠記錄篡改事件的相關(guān)資料，從而為安全部門提供調(diào)查的線索和證據(jù)。防篡改系統(tǒng)具備實(shí)時(shí)、低耗等性能指標(biāo)，既能夠保證篡改頁面的立即恢復(fù)，又能保證網(wǎng)站的正常服務(wù)性能不受影響。

外網(wǎng)平臺應(yīng)用系統(tǒng)建設(shè)應(yīng)用模型政府的業(yè)務(wù)活動主要圍繞著政府、公務(wù)員、企（事）業(yè)及居民這4個(gè)行為主體展開，即包括政府部門與政府部門之間的互動；政府與內(nèi)部公務(wù)員的互動；政府與企、事業(yè)單位，尤其是與企業(yè)的互動；以及政府與居民的互動。在信息化的社會中，這4個(gè)行為主體在數(shù)字世界的映射，構(gòu)成了電子政務(wù)的應(yīng)用模型。岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺建設(shè)的主要應(yīng)用可從邏輯上劃分成四類，如下圖所示。岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺應(yīng)用模型2個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)建設(shè)：政府門戶網(wǎng)站今年10月份前完成政府網(wǎng)站的改版，網(wǎng)站突出“政務(wù)公開、在線辦事、公眾參與”的應(yīng)用功能。即具備八大功能：1、內(nèi)容管理系統(tǒng)；2、政府信息公開管理系統(tǒng)；3、表單系統(tǒng)（用在在線辦事）；4、在線訪談系統(tǒng)；5、舉報(bào)投訴管理系統(tǒng)；6、網(wǎng)上信訪系統(tǒng)；7、政務(wù)督察系統(tǒng)；8、WAP網(wǎng)站系統(tǒng)。網(wǎng)上政務(wù)服務(wù)與電子監(jiān)察系統(tǒng)嚴(yán)格按照《湖南省人民政府辦公廳關(guān)于加快推進(jìn)全省網(wǎng)上政務(wù)服務(wù)和電子監(jiān)察系統(tǒng)建設(shè)的通知》（湘政辦明電[2011]90號）文件精神來落實(shí)。設(shè)備清單及性能要求設(shè)備清單及性能要求岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺建設(shè)設(shè)備清單序號設(shè)備名稱數(shù)量參考品牌一、網(wǎng)絡(luò)設(shè)備1.互聯(lián)網(wǎng)出口路由器H3C2.縣級核心交換機(jī)H3C3.匯聚點(diǎn)交換機(jī)H3C4.區(qū)縣直單位接入設(shè)備(1)、（2）H3C5.區(qū)縣直單位接入交換機(jī)H3C6.內(nèi)部服務(wù)器區(qū)交換機(jī)H3C7.外部服務(wù)器區(qū)交換機(jī)H3C8.存儲區(qū)IP交換機(jī)H3C9.綜合網(wǎng)管系統(tǒng)H3C10．端點(diǎn)準(zhǔn)入控制H3C11．電子政務(wù)外網(wǎng)出口路由器(備用)H3C二、安全設(shè)備12.抗DDOS系統(tǒng)設(shè)備H3C13.外網(wǎng)防火墻H3C14.內(nèi)部數(shù)據(jù)中心防火墻H3C15內(nèi)部數(shù)據(jù)中心入侵防御系統(tǒng)H3C16.外部數(shù)據(jù)中心入侵防御系統(tǒng)H3C17.流量控制系統(tǒng)H3C18．上網(wǎng)行為審計(jì)系統(tǒng)H3C三、存儲設(shè)備19．IP存儲H3C岳陽市各區(qū)縣電子政務(wù)外網(wǎng)平臺建設(shè)設(shè)備性能要求網(wǎng)絡(luò)設(shè)備1）互聯(lián)網(wǎng)出口路由器序號項(xiàng)目技術(shù)要求1技術(shù)指標(biāo)交換容量≥48Gbps;包轉(zhuǎn)發(fā)率≥7Mpps;整機(jī)槽位≥2；2接口要求支持4個(gè)千兆電口;4個(gè)千兆光接口；支持E1/T1、FE、GE、10GE、POS（155M/622M/2.5G）、CPOS等接口。3功能要求基于開放架構(gòu)，有強(qiáng)的應(yīng)用層業(yè)務(wù)適應(yīng)能力;支持IPv4以及RIP、OSPF、BGP4等動態(tài)路由協(xié)議;支持IPv6靜態(tài)路由、RIPng、OSPFv3、IS-ISv6、BGP4+;支持IPv4向IPv6的過渡技術(shù)，包括IPv6手工隧道、6to4隧道、ISATAP隧道、GRE隧道、IPv4兼容自動配置隧道;支持包過濾和狀態(tài)檢測防火墻、URPF等多種安全特性;支持各種隊(duì)列調(diào)度機(jī)制：FIFO、PQ、CQ、WFQ、CBWFQ;支持接口模塊熱插拔;支持SNMPv1/V2/V3、支持NTP協(xié)議;支持硬件的NAT、GRE隧道、L2TP隧道、流量分析等業(yè)務(wù)處理。2）縣級核心交換機(jī)序號項(xiàng)目技術(shù)要求1技術(shù)指標(biāo)交換容量≥1.1Tbps;包轉(zhuǎn)發(fā)率≥480Mpps;整機(jī)槽位≥12;2硬件配置配置雙電源、單主控3接口要求必須配置千兆以太網(wǎng)電接口≥24個(gè)+千兆以太網(wǎng)光接口≥24個(gè)+萬兆接口≥2個(gè)；要求所有接口板必須是分布式轉(zhuǎn)發(fā)工作模式。提供MPLS功能4功能要求支持分布式IPv4線速處理，支持以太網(wǎng)的環(huán)網(wǎng)保護(hù)技術(shù)，環(huán)網(wǎng)故障恢復(fù)時(shí)間不超過200ms；支持路由協(xié)議的GracefulRestart技術(shù)；支持IGMPV1/V2/V3Snooping、PIM-SM、PIM-DM、PIM-SSM和MSDP，ISIS;支持多業(yè)務(wù)功能板卡：支持L3MPLSVPN和L2MPLSVPN;支持NetStream流量統(tǒng)計(jì)功能;支持廣播風(fēng)暴以及組播、單播風(fēng)暴的壓制;支持基于L2,L3,L4的數(shù)據(jù)分類:802.1p,IPCOS,DiffServ，支持優(yōu)先隊(duì)列算法，CBWFQ，LLQ。5組網(wǎng)要求兩臺物理核心設(shè)備虛擬成一臺邏輯核心設(shè)備，該邏輯設(shè)備必須具備跨設(shè)備的鏈路捆綁，一致的轉(zhuǎn)發(fā)表項(xiàng)，以及統(tǒng)一的管理界面。6配置要求每臺最低配置千兆光纖模塊：2個(gè),2個(gè)萬兆多模模塊。3）匯聚點(diǎn)交換機(jī)序號項(xiàng)目技術(shù)要求1技術(shù)指標(biāo)交換容量≥320Gbps;包轉(zhuǎn)發(fā)率≥150Mpps2接口要求可擴(kuò)展千兆以太網(wǎng)光接口≥40個(gè)；萬兆接口≥4個(gè),支持業(yè)務(wù)擴(kuò)展槽≥1個(gè)。3功能要求支持IPv4/IPv6靜態(tài)路由、RIPV1/V2/ng、OSPFv2/v3、BGP-4，支持策略路由；支持跨設(shè)備鏈路聚合，單一IP管理，虛擬化后所有設(shè)備路由表項(xiàng)統(tǒng)一；支持VRRPv2/v3；支持802.1x認(rèn)證和集中式MAC地址認(rèn)證；支持DHCPSnooping，防止DHCP服務(wù)器欺騙；支持出方向ACL，以便于靈活實(shí)現(xiàn)數(shù)據(jù)包過濾；支持IPv6ACL；支持SNMPV1/V2/V3、RMON、SSHV2，可通過命令行、Web、中文圖形化配置軟件等方式進(jìn)行配置和管理，支持虛電纜檢測功能和單向鏈路檢測。4配置要求每臺配置千兆光纖模塊20個(gè)(根據(jù)接入層單位情況而定)4）區(qū)縣直單位接入設(shè)備1序號項(xiàng)目技術(shù)要求1技術(shù)指標(biāo)轉(zhuǎn)發(fā)性能>=1.5Mpps2接口要求千兆光電復(fù)用接口數(shù)量≥4。每臺配置1個(gè)千兆單模光模塊。3功能要求支持靜態(tài)路由、RIP、OSPF、BGP、策略路由；支持端口捆綁，可以將多個(gè)物理端口捆綁成一個(gè)邏輯端口以提升帶寬；支持NAT地址轉(zhuǎn)換；支持IPSec、L2TP、GRE等VPN協(xié)議；支持防掃描探測；支持網(wǎng)絡(luò)攻擊防御；支持Syslog日志和二進(jìn)制日志；支持NAT日志記錄；支持流日志，能夠?qū)W(wǎng)絡(luò)流量、DDoS攻擊流量、P2P流量等進(jìn)行統(tǒng)計(jì)分析排序，并自動輸出圖形報(bào)表；支持SNMPV1/V2c/V3，MIB，SYSLOG，RMON，WEB網(wǎng)管。4）區(qū)縣直單位接入設(shè)備2序號項(xiàng)目技術(shù)要求1技術(shù)指標(biāo)轉(zhuǎn)發(fā)性能≥280Kpps;2接口要求提供2個(gè)百兆三層廣域網(wǎng)接口和24個(gè)百兆二層局域網(wǎng)接口;擴(kuò)展插槽≥3個(gè)；支持E1/CE1接口、ADSL2接口、CDMA2000、WIFI擴(kuò)展。每臺配置1個(gè)千兆單模光模塊。3功能要求支持靜態(tài)路由、RIP、OSPF、BGP、策略路由；支持端口捆綁，可以將多個(gè)物理端口捆綁成一個(gè)邏輯端口以提升帶寬；支持NAT地址轉(zhuǎn)換；支持IPSec、L2TP、GRE等VPN協(xié)議；支持防掃描探測；支持網(wǎng)絡(luò)攻擊防御；支持Syslog日志和二進(jìn)制日志；支持NAT日志記錄；支持流日志，能夠?qū)W(wǎng)絡(luò)流量、DDoS攻擊流量、P2P流量等進(jìn)行統(tǒng)計(jì)分析排序，并自動輸出圖形報(bào)表；支持SNMPV1/V2c/V3，MIB，SYSLOG，RMON，WEB網(wǎng)管。5）區(qū)縣直單位接入交換機(jī)序號項(xiàng)目技術(shù)要求1技術(shù)指標(biāo)交換容量>=19Gbps;包轉(zhuǎn)發(fā)率>=6.5Mpps2接口要求固定百兆接口數(shù)量≥24；千兆光電復(fù)用接口數(shù)量≥2；3功能要求支持基于端口的VLAN，支持基于協(xié)議的VLAN；支持VoiceVlan；最大VLAN數(shù)≥4000。支持智能彈性設(shè)備堆疊功能，可支持16臺設(shè)備堆疊，滿足接入端口擴(kuò)展需要；支持IGMPSnooping等組播協(xié)議。支持L2~L4包過濾功能，提供基于源MAC地址、目的MAC址、源IP地址支持DHCPSnooping，防止欺騙的DHCP服務(wù)器；支持ARP入侵檢測和ARP報(bào)文限速功能于時(shí)間段的ACL和QoS控制。每個(gè)端口支持4個(gè)輸出隊(duì)列。支持SNMPV1/V2/V3、RMON、SSHV2，支持IPv6host；可通過命令行、Web、中文圖形化配置軟件等方式進(jìn)行配置和管理，支持虛電纜檢測功能(VCT)，快速準(zhǔn)確定位網(wǎng)絡(luò)中故障電纜的短路或斷路點(diǎn)。6）內(nèi)部服務(wù)器區(qū)交換機(jī)序號項(xiàng)目技術(shù)要求1技術(shù)指標(biāo)交換容量≥190Gbps;包轉(zhuǎn)發(fā)率≥35Mpps;2接口要求提供可用接口20個(gè)10/100/1000電口，千兆光(SFP)接口4個(gè)3功能要求支持基于端口的VLAN，支持基于協(xié)議的VLAN，支持基于MAC的VLAN；最大VLAN數(shù)≥4000；支持最多8個(gè)GE口或4個(gè)10GE端口聚合；支持LACP；支持DHCPSnoopingtrust,防止私設(shè)DHCP服務(wù)器；支持基于第二層、第三層和第四層的ACL；至少具備8個(gè)QoS隊(duì)列；支持IPv4/IPv6路由；支持通過命令行、Web、中文圖形化配置軟件等方式進(jìn)行配置和管理。7）外部服務(wù)器區(qū)交換機(jī)序號項(xiàng)目技術(shù)要求1技術(shù)指標(biāo)交換容量≥320Gbps;包轉(zhuǎn)發(fā)率≥192Mpps2接口要求提供10/100/1000Base-T以太網(wǎng)端口（PoE）≥40個(gè)；100/1000MSFP接口≥4個(gè),