电子政务平台建设方案.docx
- 文档编号:8829417
- 上传时间:2023-02-02
- 格式:DOCX
- 页数:41
- 大小:860.59KB
电子政务平台建设方案.docx
《电子政务平台建设方案.docx》由会员分享,可在线阅读,更多相关《电子政务平台建设方案.docx(41页珍藏版)》请在冰豆网上搜索。
电子政务平台建设方案
×××电子政务外网平台建设方案
×××信息化办公室
目录
第一章概述
一.1.建设背景
信息化是当今世界经济和社会发展的大趋势。
大力推进国民经济和社会信息化,是覆盖现代化建设全局的战略举措。
电子政务建设是信息化建设的先导工程,政府先行,带动整个信息化的发展,是国家信息化建设的基本方针。
建设电子政务网络系统,加快转变政府职能,提高工作质量和效率,增强各级政府部门的管理能力、决策能力、应急处理力和公共服务能力,促进社会监督,实施信息化带动工业化战略,具有十分重要的意义。
一.2.项目概述
为进一步加快国家政务外网建设,维护国家政务外网的统一、完整和有效运营,推动各级政务部门利用国家政务外网开展各类业务应用,充分发挥国家电子政务公共设施的作用和效能。
2009年,国家发改委与财政部联合下文,要求2010年底务必完成所有区县统一接入电子政务外网平台。
目前市级电子政务外网平台一期工程已建设完毕,已建立统一的网络中心,部署了统一的安全措施,实现了统一的网络管理,已顺利完成市直属单位的市电子政务平台外网接入,初步具备承载政务部门主要业务的能力,完全实现市直属部门的纵横向数据访问,提供包括数据传输、视频会议、门户网站、图像传输、数据存储与备份、数字证书等多种服务。
而我区目前大院内部已搭建局域网,并设定了大院互联网统一出口,为电子政务外网平台搭建奠定一定的基础。
目前未接入到市级电子政务外网平台,我区直属单位的横向网也没有规划建设,因此,我区将尽快落实电子政务外网平台建设工作。
我们将根据国家发改委与财政部联合文件要求及省、市信息化办公室的要求,进行了方案初步规划,后期将稳步推进、分布实施,确保2010年10月份完成电子政务外网建设工作。
一.3.我区电子政务外网平台设计
我区电子政务建设项目主要内容初步建成稳定、可靠、安全、设备集中、管理集中的统一电子政务网络平台,横向联结重点区级政务部门,上联市电子政务外网平台、下联至乡镇(街道),建立外网数据中心及网络安全措施,建立门户网站实现政务公开和信息交互。
网络中心:
新增一台核心交换机放置在电信中心机房,方便各单位通过电信城域网接入,区区安全中心、数据中心将根据具体情况可放置在电信或我区信息中心机房。
数据中心:
配置中档服务器群、存储备份及相关系统软件
网络设计:
我区配置核心路由交换设备,我区党委、政府、人大、政协及院内接入单位进行局域网接入,其他政务部门通过电信城域网启用MPLSVPN进行接入。
应用系统:
重点建设经济运行监控管理系统、政务服务网上联合审批系统、政务综合信息数据库、宏观经济数据库系统等应用系统。
一.4.项目依据
(1)中共中央办公厅、国务院办公厅《关于转发〈国家信息化领导小组关于我国电子政务建设指导意见〉的通知》(中办发[2002]17号)
(2)《关于加强信息资源开发利用工作的若干意见》(2004年10月27日国家信息化领导小组第四次会议)
(3)《国务院办公厅关于印发全国政府系统政务信息化建设2001-2005年规划纲要的通知》(国办发[2001]25号)
(4)《国务院办公厅关于实施电子政务试点示范工程的通知》(国办函[2002]74号)
(5)《国民经济和社会发展第十个五年计划信息化重点专项规划》
(6)《国家计委关于印发国民经济和社会发展第十个五年计划信息化重点专项规划的通知》(计规划[2001]1172号)
(7)《国家发展改革委关于国家电子政务外网(一期工程)项目建议书的批复》(发改高技[2004]2135号)
(8)《国家发展改革委关于国家电子政务外网(一期工程)第一阶段中央部分建设项目可行性研究报告的批复》(发改高技[2004]2412号)
附图1.(9)《XXX国民经济和社会信息化“十五”计划》
(10)《关于全省信息化工作有关问题的会议纪要》(湘府阅[2004]14号)
(11)《XXX电子政务总体规划》(征求意见稿)
(12)《XXX电子政务总体规划》
(13)《XXX电子政务网络中心平台设计方案》
(14)《XXX人民政府办公室关于XXX电子政务外网建设有关事项的函》永政办函【2006】13号
(15)《省信息化领导小组关于全省电子政务建设的意见》
(16)《XXX电子政务外网平台技术规范》(试行)
(17)国家发展改革委、财政部《关于加快推进国家电子政务外网建设工作的通知》
一.5.建设目标及任务:
以“XXX电子政务总体规划”为指导,紧密结合我区的实际情况和具体需求,充分考虑信息技术发展的主流方向和现有网络设施的有效利用,依托本地公用电信网络基础设施,采用先进的信息、网络技术,构建功能完善、资源共享、安全可靠、切合本地实际情况,完成我区电子政务外网建设,建成上下关联、信息共享、规范标准的统一网络政务环境、安全与业务支撑环境,在此基础上开展电子政务应用,推动我区各级政府之间的信息共享和协同,完善我区政府与公众的沟通,实现增强政府决策指挥、综合监管能力,提升我区政府为公众服务质量和水平的总体目标。
1、按时保质完成平台区县延伸
根据文件要求,于2010年底完成我区接入国家政务外网的工作;尽快将各类可在政务外网上运行的业务系统向政务外网上迁移,今后凡属社会管理和公共服务范畴及不需在我区电子政务内网上部署的业务应用,原则上应纳入我区政务外网运行。
力争2010年10月份必须完成平台建设及接入工作
2、网络中心统一规范,上下关联,部门网络互联互通
建立统一的网络中心,统一的网络管理,统一的安全策略。
通过平台建设,实现我区电子政务信息交换中心的功能,成为联接我区各个相关单位,实现各类跨部门、跨区域信息上传下达和交换的枢纽;
通过平台建设,实现XXX电子政务数据中心的功能向我区县拓展,建立保存、更新、分发、存储、备份全局性的政务信息的基础环境,为我区提供电子政务应用的基本依托环境,实现我区各级单位电子政务门户网站、行政审批、网上办事、电子监察等功能;
通过平台建设,实现我区电子政务安全保障中心全面部署,提供以数字安全认证为核心的保障电子政务安全的认证授权服务;
通过平台建设,规范我区电子政务网络服务的网络地址分配、网络域名注册和解析服务、网络目录服务、网络信息资源导航服务的全局性基本设施;
通过平台建设,利用市电子政务网络管理中心及我区二级网管平台,对我区进行用户管理、漫游管理、信息源管理、业务统计、系统测试、性能管理、路由管理、配置管理、系统维护等功能。
3、总体设计,分步实施,关键应用同步进行
总体设计XXX电子政务平台基本结构、技术框架,规划外网平台,在外网平台上实现以下重点电子政务应用:
(1)政府门户网站及集群建设
(2)经济运行监控管理系统
(3)政务服务中心行政审批信息管理系统
(4)行政效能监察系统
(5)政府网上采购管理系统
(6)数据资源共享系统
(7)协同办公应用
4、充分利用现有资源,减少当地财政投入。
国家发展改革委、财政部《关于加快推进国家电子政务外网建设工作的通知》鼓励地(市)以下政务部门利用多种接入方式(如互联网安全接入等)构建本地政务外网。
我区将根据现有的网络资源及目前网络先进技术,基于电信宽带网络,部署MPLSVPN电路,既能利用现有资源,有效节约成本,同时确保整个电子政务外网平台安全、可靠的运行及后期我区各级单位纵横向数据共享,打造一个安全、先进、可持续拓展电子政务网络。
同时基于电子政务网络安全及支持国内企业,所有设备将采用国内品牌。
第二章网络设计方案
二.1.网络平台系统功能
我区电子政务外网平台建设,将通过城域网及广域网将省市政府单位与我区各级单位的局域网络系统有机的融合。
主要承担政府机关的外网业务信息息交换和业务互动,以及相关公文、应急、值班、邮件、会议等办公业务,将为领导决策和指挥提供信息支持和技术服务。
整个网络设计方案按《XXX电子政务外网技术规范》的区县接入C类标准及《XXX电子政务外网技术规范》进行设计。
具体为:
1、我区政府、直属单位统一通过政务专网通道接入区电子政务平台,实现我区各接入单位横向访问,实现数据共享,实现县区政务公开。
确保网上办事、行政审批系统横向流转及业务互动。
2、我区电子政务外网平台将通过骨干电子政务通道接入到省、市电子政务外网平台,实现各接入单位纵向访问,实现网上办事、行政审批的纵向流转及业务互动。
3、我区电子政务外网平台的网络、安全将与市级平台实现统一网管,确保电子政务网络设备上下兼容,统一部署及分级管理。
二.2.网络平台总体布局
零陵区电子政务外网平台总体布局作如下考虑:
1、零陵区电子政务平台将直接与市电子政务外网平台连接。
2、县区核心汇聚交换机放在电信机房中心机房,数据中心、安全中心等相关设备根据具体情况可选择放置于电信机房或我区信息中心机房。
3、各区直属单位将利用电信城域网启用MPLSVPN技术接入到区电子政务外网平台;
4、核心交换机通过电信骨干传输网络划分的电子政务外网专用通道与市电子政务外网平台的互联。
5、外网平台承担全区统一门户网站入口访问和全部区直单位的INTERNET出口访问。
我区电子政务外网总体布局如下图所示:
1、在我区建立一个区级网络中心;
2、区政务部门以MPLSVPN接入方式接入到我区网络中心;
3、各乡(镇、街道)、村(社区)通过城域网或广域网接入我区网络中心;
4、我区网络中心通过市级电子政务传输骨干网与市级网络中心连接;
5、我区政务部门通过我区网络中心统一的互联网出口。
二.3.网络设计原则
我区电子政务外网建设遵循以下原则进行设计:
1、先进性:
采用先进的网络技术支持数据、语音、视频的综合传输;
2、可扩展性:
网络结构和设备性能可随着应用的发展和技术的更新进行扩展;
3、开放性:
支持多种标准和开放的网络协议;
4、可靠性:
在物理层、数据链路层和网络层采用适当的备份措施提高可靠性;
5、安全性:
全网采用MPLSVPN等技术实现安全有效的业务隔离和互访;
6、可管理性:
网络系统具有良好的可管理性;
7、服务质量保证:
网络系统能根据应用系统的服务等提供带宽和时延保证。
二.4.组网方案及说明
方案将充分整合目前市电子政务外网平台及电信城域网资源,以尽可能减少网络设备投资为原则,同时满足我区的需求,精心设计了如下组网结构:
二.4.1.方案说明:
由电信负责建设骨干网络平台及我区的接入工作,具体将依托原电子政务外网平台,增加两台路由器、两台核心路由交换机、一台核心出口ASIC芯片级防火墙、11台县区核心汇聚交换机、建立分级网管中心、安全管理中心、全网部署MPLSVPN策略,打通区县至市、省的电子政务外网专用通道,实现县区各级单位纵横向访问及数据交互。
我区外网平台将增加500M互联网出口,实现政务公开及各单位互联网访问的需求。
我区将负责县区安全中心、数据中心及各单位局域网等建设工作,确保县区电子政务外网的安全,同时能实现与市级平台兼容及网管。
具体方案如下:
一、电信负责投入部分
1、市级平台增加两台核心路由器:
由于该网络均采用MPLSVPN进行组网,所有县区业务VPN都需要在核心设备接口进行地址转换,子接口数量非常庞大,做在防火墙会导致防火墙性能下降甚至DOWN机,因此在市电子政务外网平台核心出口部署2台核心路由器做为VPN网关及路由转发。
采用双机热备,有效保证网络零中断及避免出口瓶颈。
2、市级平台增加两台核心路由交换机:
电信在市电子政务外网机房增加两台核心路由交换机,用于我区的汇聚接入,作为我区的P设备,负责我区MPLSVPN的标签路由转发,实现我区接入部门纵横向访问及业务互动。
采用双机热备,有效保证网络零中断及避免出口瓶颈。
3、我区增加1台核心路由交换机:
电信在我区增加一台核心路由交换机用于县区各接入部门的汇聚,作为我区的PE设备,负责我区MPLSVPN的标签路由转发,实现我区接入部门纵横向访问及业务互动。
4、我区增加一条500M互联网出口
增加统一的互联网出口,既可便于上网行为设备统一部署,实现对全网上网行为监管、审计及追溯。
保证整个网络安全,净化政府上网行为。
同时可顺利实现政务公开,方便社会公众网上办事。
5、全网部署MPLSVPN策略
全网部署MPLSVPN策略,基于电信骨干网打通我区至市电子政务外网通道,实现县区各单位纵向访问。
利用电信城域网,建立各单位至县区电子政务外网平台,实现各单位的横向访问需求。
有效保证各区县电子政务外网快速、安全、可靠的接入
6、区委、区政府大楼接入设备
根据我区目前大楼局域网网络建设实际情况,由电信对大楼接入层交换机进行替换或改造,实现政府大院各单位的MPLSVPN的部署。
7、政府大院外各区直单位内网接入
我区各接入单位将维持原有设备及电路不变即可实现电子政务外网及互联网的访问,各单位可根据信息化发展的需要对单位局域网及出口电路进行升级改造。
具体升级改造方案根据实际情况另行设计。
二.4.2.方案线路及费用说明:
1、我区电子政务平台到市电子政务平台电路由电信免费提供。
带宽将根据实际需求进行满足
2、我区电子政务平台互联网出口电路由电信免费提供,带宽将根据实际需求进行满足
3、现使用电信宽带各接入单位,各单位可保持原有网络,不增加额外费用,可实现各单位顺利接入到电子政务外网及对互联网的访问。
各接入单位将尽量考虑采用光纤接入,确保电子政务外网应用的带宽需求,费用将按扩容后的宽带资费标准收取。
第三章安全设计
三.1.安全需求分析:
由于电子政务外网网络规模扩大,网络应用多,安全风险比较严重和复杂,加次互联网攻击越来越频繁,单个终端的安全隐患可能传播的范围更加广泛,危害性更加严重;如果缺乏安全控制机制和网络安全政策及防护意识的不足,这些风险正日益加重。
因此电子政务外网平台安全建设就显得尤为重要。
考虑到电子政务的安全重要性,整个安全设计方案按《XXX电子政务外网技术规范》的区县接入B类标准设计。
三.2.网络安全解决方案
针对整个XXX县区网络平台边界网络的具体情况,XXX电子政务网络平台部署一下安全措施:
1、外部数据中心、县区电子政务网络平台间部署一台千兆级防火墙,实现各网间的逻辑隔离。
位于外部数据中心的外网服务器挂在防火墙的DMZ区,可同时防范来自内外网的攻击。
该防火墙能达到千兆吞吐量100%,并发连接数≥180万条;每秒新建连接数≥20000条,4个千兆电口,2个千兆光口(可扩展);VPN支持隧道数≥1000,支持TSL/SSLVPN,具备自主知识产权操作系统及国产CPU,系统芯片自主可控,自动扫描局域网内IP对应MAC地址进行绑定,不需手工添加,支持二次穿越,支持标准的IPsec协议,支持P2P协议过滤,IM协议、DPI+DFI限制,并限制每秒并发连接数和特定服务最大并发连接数,根据五元组方式,提供最大带宽限制以及最小带宽保障。
抗击DOS/DDOS攻击,可灾难性自恢复,能对处于不同网络环境下的多台防火墙进行远程集中管理
2、内部数据中心部署一台百兆防火墙,用于保护内部网络数据安全。
该防火墙能达到百兆吞吐量100%,并发连接数≥120万条;每秒新建连接数≥20000条,4个百兆电口;VPN支持隧道数≥500,支持TSL/SSLVPN,具备自主知识产权操作系统及国产CPU,系统芯片自主可控,自动扫描局域网内IP对应MAC地址进行绑定,不需手工添加,支持二次穿越,支持标准的IPsec协议,支持P2P协议过滤,IM协议、DPI+DFI限制,并限制每秒并发连接数和特定服务最大并发连接数,根据五元组方式,提供最大带宽限制以及最小带宽保障。
抗击DOS/DDOS攻击,可灾难性自恢复,能对处于不同网络环境下的多台防火墙进行远程集中管理
3、部署一台至少两端口的入侵防御系统(IPS),分别负责监听外部数据中心和内部数据中心网络,并与防火墙实现联动,达到主动切断非法用户攻击的目的。
同时又兼备入侵检测的相关功能,有效保证内、外部数据的安全。
该设备需要提供标准100/1000M电口4个,双向吞吐量大于600M,每秒新增TCP会话数15万,最大并发TCP会话数20万,NIPS1200A-C引擎模块,2U,含交流冗余电源模块,1*RJ45串口,1*FE管理口,4*GE电口(Bypass),4*SFP插槽,内置硬件BYPASS功能,当产品出现软件、硬件、电源故障时,快速、自动转变成网络直通,保证网络可用,支持实时的3-7层的网络流量分析功能,用户可自定义统计指定网络范围或指定协议的数据流量;支持基于对象的虚拟系统(VIPS),虚拟系统可以针对不同的网络环境和安全需求,不同部门和网端需求,制定不同的规则和响应方式,实现面向不同对象、实现不同策略的智能化入侵防护;该设备专业要求很强,建议原厂商提供本地化服务,7×24提供上门服务,产品的安装、培训由原厂商工程师完成实施。
在服务期内要求原厂商提供每月定期巡检,出具详细分析报告,并提供原厂商工程师的现场技术支持;
4、部署上网安全行为管理系统,实现带宽管理与流量控制,同时实现对网内用户上网行为进行安全审核。
技术要求:
支持≥1000用户数,挂吞吐≥800Mbps,并发会话数≥100万;该设备需要支持无插件web界面、ssh命令行、snmp协议管理模式;支持串接、透明桥接、旁路、代理、集中控管部署模式;提供带电系统自检、按钮试故障排查直通、断电直通bypass网络保障功能;拥有双系统热备技术,当设备硬盘损坏时系统自动切换到备用系统正常工作的能力;具备50个类别以上,每周更新至少两次,日更新300万,准确率90%以上网页识别过滤能力。
具备覆盖网络主要应用的3级结构协议库,能区别控管同一应用不同子协议;拥有对邮件、文件、发帖、https、ftp、等网络数据过滤监控及日志查询分析功能;支持url库、协议库、系统软件版本在线升级。
具备设备在线远程协助和故障排查。
5、部署一套网络防病毒系统,主要负责主要服务器及重要部门的网络防病毒,目前网络病毒越来越多,被动杀毒已无法满足信息化安全的需要,杀毒软件要能够提供详细的操作管理日志。
支持客户端分组管理及终端实名制管理。
能详细记录病毒感染、网络入侵、溢出攻击、异常网络访问的信息,并能对日志信息进行统计分析,支持日志报表的生成及导出。
具有动态仿真反病毒技术,对新病毒和未知木马能够实现自主识别、明确报出、自动清除,能够有效解决先中毒后杀毒的弊端。
并能自动提取未知病毒特征码,全网分发,实现对未知病毒的免疫。
支持断网隔离扫描功能,避免网络交叉感染病毒。
具有远程诊断功能,能远程提取终端的系统自启动程序信息,方便网络管理人员通过远程方式对终端进行诊断操作。
6、增加一台网页防纂改系统,防止黑客对政府门户纂改,或被社会不法分子通过政府网站发布不良信息,有损当地政府形象。
要求配置支持事件触发机制,同时支持四重保护——实时阻断、事件触发、核心内嵌、防SQL注入,预先禁止非法程序对备份目录的添加/删除/修改/更名/属性变更操作,支持两种高级报警模式(手机短信、电话铃声),能够对网站维护人员操作进行跟踪、审计,能够对管理员操作进行跟踪、审计,支持网站维护人员登陆认证,支持对自身安全的保护,产品支持在远程手动、产品支持自动、手动备份的规则设置,包括文件过滤、目录过滤、类型过滤、模糊过滤、时间范围过滤、文件长度范围过滤等,允许自定义规则,全面支持网站防护能力的扩展,支持分级模式管理(跨互联网分布式部署,统一集中监管)及B/S管理。
7、增加一台10KVAUPS,满足因设备而增加的供电负荷需求,提供不间断电源负载和续电能力。
UPS能提供数字化工频隔离在线式供电静态旁路开关(无间断切换),双重转换技术及输出电源完全隔离功能,提供大屏幕中文的监控管理界面(运行状态、操作程序、测量值、故障检修资料、图像资料显示),电池与主机同一品牌,便于设备性能兼容及提高电池使用寿命,允许的输入电压220VAC±25%及正常工作温度下能100%的由逆变电源输出满载功率给负载使用。
第四章数据中心设计
政务信息资源层的建设目标是为满足各级政务部门进行社会管理、公共服务的需要而提供的政务信息资源及其支撑环境。
政务信息资源是政府在履行职能过程中产生或使用的信息,为政务公开,业务协同、辅助决策、公共服务等提供信息支持,包括基础信息资源、公共信息资源和部门业务信息资源等。
政务信息资源支撑环境包括数据中心提供的服务器、数据存储、数据容灾和备份以及系统软件等内容。
数据中心是政务信息资源数据库的存储中心和管理服务中心,也是政府行政决策支持中心,通过对各种数据库的数据挖掘、分析、比较,提供辅助决策信息。
新型数据中心的设计概念在传统的数据中心中增加了数据与应用的集成平台,可以对来自不同业务系统的数据进行加工处理,形成一个跨部门、跨组织的综合数据中心,从而可以精简结构、减少冗余系统、提高效率、降低系统成本。
整个数据中心设计方案按《XXX电子政务外网技术规范》的区县C类标准设计
四.1.数据中心建设要求
数据中心网络拓扑图及说明
由于我区县外网提供面向社会的各种服务,所以系统面临的潜在外部安全攻击大大增加,对系统的安全性必须充分考虑。
将数据中心分别配置成内部区、外部区和DMZ(非军事区)。
在外部区,通过防火墙接入互联网。
www服务器、域名解析服务器(DNS)、电子邮件服务器(E_mail)构成公众信息网站,放在DMZ区(非军事区),供外网用户及Internet网上用户访问浏览。
内部区、DMZ区通过防火墙与外网隔开,各自采用独立的保留地址,DMZ区的服务器地址通过防火墙的地址映射,映射成公网地址,供外界访问。
防火墙制定相应的安全策略,保证内部区、DMZ区和外部区信息互访,同时又保证内部区和DMZ区信息的安全性。
应用服务区的数据服务器、应用服务器等通过防火墙直接接入中心交换机,以提高主要应用服务的响应速度,满足内部用户的应用需求。
存储备份区配备数据备份服务器,通过运行数据备份管理软件对数据中心的数据备份操作进行管理,配备磁盘阵列和磁带库作为数据中心文件、数据的存储备份设备。
网络管理区配备网络监控工作站,通过安装网络监控分析软件,实时监视中心主服务器、主交换机和路由器的状况,及时发现网络和系统中存在的问题,提醒系统管理员注意,及时解决问题。
四.2.数据中心设计
DNS服务器:
本次不进行配置,利用市级DNS服务器一并处理
Web服务器:
为互联网用户提供对XXX区县门户和下属网站信息的访问与查询服务。
邮件服务器:
为XXX区县部门提供电子邮件服务。
考虑县区投资成本,该服务器与WEB服务器公用一台服务器
数据备份服务器:
通过运行数据备份管理软件,对XXX区县数据中心的数据进行备份管理,确保当数据中心发生各种故障和灾难后能够快速、正确的恢复所有数据,保障
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 电子政务 平台 建设 方案