论文部分内容阅读
随着“电子政府”概念的提出,和社会信息化服务的日趋深入,每一级政府行政管理部门都已将本区域的信息化建设列上了重要议事日程。与此同时,面对越来越激烈的市场竞争,每个企业都在寻求更好的工作方法与业务推广途径,以期使工作发挥出最好的效率,用最少的投资达到最高的目标,从而在竞争中立于不败之地。实现办公自动化是提高工作效率的必然手段,而通过Internet把政府(企业)的形象、服务项目等信息发送出去是更好的扩展社会服务(业务)的途径。
一、区域性政府机关的信息化应用特点
目前,“政府上网工程”中的接入单位大多数为区域性的行政管理机关,绝大多数已建有自己的局域网络,用于满足本部门信息管理的需要。但由于其下属机构分散以及各局的业务管辖范围的不同。使得信息传递变得非常不便。同时对于区域内的企业和社区也缺乏便利的信息交互渠道。(诸如政府的各项政策法规、办事程序、经济信息等许多信息都难以得到共享)。对于企业集团也存在同样的问题。其子公司地理分布更广。其不但需要与集团总部随时保持信息传递,更迫切需要与外部进行信息交互。鉴于上述特点,此种区域性的信息化建设与规划必须将Internet/Intranet、远程接入以及应用上的划分等因素进行综合考虑,才能收到一定的效果。天津港保税区作为区级政府机关,在信息化建设方面已迈出了关键的一步,天津港保税区经贸信息系统已安全运行了一年。根据此系统的建设实施情况,现将区域信息化建设的规划与实施归纳如下。
二、设计目标
系统设计应坚持“瘦”而“强壮”的方案设计思路,充分利用本单位现有设备,以刚好满足本单位当前需求和今后扩展需要为出发点。着重实现以下目的:
1.使单位内部局域网的用户都能够通过专线访问互联网,并能通过E-mail与外界实现电子通信。
2.对整个行政区域(集团)内的各个部门(企业)或下属单位(子公司)提供专线或拨号接入服务。
3.为本单位建立信息主页对外发布,为企业或机构建立具有独立网址的虚拟主页。
4.为本单位建立基于HTML的MIS系统,即Intranet网。
三、网络系统的构建
1.网络地址资源的划分
建议系统至少采用32个Internet合法IP地址。对于单位内部局域网内的各个站点,均采用Internet的非合法IP地址(伪地址),通过网关服务器的地址转换,共享一个合法IP地址。
其他IP地址分配给各系统主机、路由器及远程访问服务器各端口。剩余部分留作专线接入时的子网划分及资源分配。
2.系统平台的选择
系统共需要三台系统主机:
(1)选择一台64位体系结构的中高档工作站(SUN、SGI、IBM、HP等均可)用于运行WWW、Primary DNS、FTP、VirusWall、FireWall及网管软件等后台服务程序。
(2)选用一台高档微机服务器作为辅域名服务器(Secondary DNS)和邮件服务器(Mail Server)——拨号用户的POP3服务器。同时负责对拨号用户进行身份验证。
(3)选用一台高档微机服务器作为网关服务器,同时充当企业内部网的Web Server及数据库服务器。为外部用户访问内部网的数据库信息和内部网用户访问Internet提供通道。同时,为内部伪地址站点充当地址翻译作用。目前,绝大多数的机关采用Windows NT平台。为充分利用现有资源,采用此平台比较合适。
3.网络通讯设备的选择
(1)路由器的选择
提供与ISP的专线接入及路由判别,提供对远程用户的拨号接入服务。如采用Cisco 2511带有1 Ethernet/Dual serial/16 Asyn口的路由器产品,除作为路由器(Router)外,还兼有远程访问服务器(Remote Access Server)功能。
(2)Modem Pool的选择
前期最好采用能支持16条外线拨入的Modem Pool为远程用户提供拨号连接。应选择具备体积小、结构简单、管理方便、真正的即插即用、不需要运行AT指令就可以开始工作、可以软件升级的Modem Pool产品。目前,市场上的机架式Modem Pool已趋于淘汰。为了保证设备的安全可靠,应选择没有硬件板卡插拔,兼容性好,带网管功能的产品,每端口速率最好是56kbps以上,从而更好地保护我们的投资。
四、信息的组织与发布
在UNIX环境里可采用Netscape Enterprise Server作为Web平台,用于对外发布公共信息及为用户建立虚拟主页。采用Netscape Proxy Server作为代理服务器,用于不良信息的过滤屏蔽、用户访问行为的监控和缓存信息,提高访问速度。
Windows NT环境下,可采用其内含的IIS作为内部WEB平台,用于基于HTML界面的办公系统开发。并与SQL Server整和,用于数据信息的检索。采用Windows NT平台下的Proxy Server提供伪地址转换及内部站点的上网权限控制和上网情况监控。
五、系统的安全考虑
在整个系统的规划设计过程中,安全问题应该受到高度的重视。尤其是政府机关更应对此有充分的认识。在网上黑客的攻击、垃圾邮件的转发、代理服务器的地址盗用等各种安全威胁随处可见。系统建成后,一旦出现安全问题,整个系统将时刻面临崩溃的危险,导致整个网络的服务中断。
1.系统的病毒防护
在网关服务器上安装病毒过滤系统,对所有进出边界上的SMTP、HTTP和FTP文件的传送进行实时病毒扫描。一旦发现问题,将发送病毒事件通知给系统管理员。自动删除病毒文件。
2.系统安全防火墙
(1)采用包过滤方式
利用路由器的访问控制列表(Access list),对IP通信(即路由和控制通信及用户通信)过程中的IP、TCP、UDP数据包进行有选择地管理。采用包过滤方式能对UDP各端口(如:Echo、PING、DNS、TFTP等服务)以及TCP服务端口(FTP、PING、SMTP、HTTP、POP-3、FINGER等服务)进行有效的控制。同时,对IP通信的过滤也能完成对某个网段的控制。避免敌意站点的攻击。缺点是管理方式不灵活、安全策略不丰富。要进行更深层次的安全管理,须应用级防火墙软件。
(2)采用防火墙应用软件保护内部子网
为了提高安全管理的灵活性,对一些复杂的安全管理策略采用防火墙应用软件进行管理,主要实现以下目的:
● 过滤天生不安全的服务(如:NFS、Finger),防止易受攻击的服务,来降低子网上主系统所冒的风险。
● 排斥所有源点发送的包和ICMP改向,然后把偶发事件通知管理人员。
● 除了邮件服务器或信息服务器等特殊情况外,禁止外部对其它主系统网点的访问。
● 利用应用网关对网络使用、滥用的记录和统计,提供防火墙和网络是否受到试探或攻击的细节。采集网络使用率统计数字和试探的证据,确定应对措施。
● 一旦某个访问违反安全规定,安全报警器就会拒绝该访问,并作记录,向系统管理器报告网络状态。向系统管理员发送E-mail和SNMP警报。
六、系统网络管理与维护
1.系统管理
(1)利用网管软件对上网用户实时监管。限定Web Server上的用户何时可以上网(如:仅允许特定用户白天上网,周六、周日禁止任何人上网)。此外,对上网的用户限定上网的地点(如:仅允许用户在某几个特定的站点登录到Web Server,禁止从远程登录)。从而最大限度地防止黑客的攻击。
(2)禁止非法跳转。为了防止内部或外部的用户以本系统内的Web Server为跳板登录其他站点,在网管设计中应能限定用户的跳转企图。
(3)对系统权限的限制。系统权限作为最高权限一旦被外部用户获得(这也是黑客努力的目标),整个系统将面临最严重的威胁。为此,一旦当未授权的用户成为超级用户的情况发生时,系统应能立即作出预警反应,并通过电子邮件、传呼等手段通知系统管理员。
(4)通过对用户的访问授权,实现对文件、目录的访问限制。如果系统没有对外提供FTP、Telnet、Rlogin等服务,那么就没有必要在服务器上启动此类服务进程。即使启动了,也应仅限于本地的几个特定用户允许使用此服务。
2.计费管理
利用计费系统软件对PPP拨号用户及专线用户进行分类、分时计费,对本地局域网内用户单独实行按时按量计费。本地局域网内的用户访问互联网原则上不计费(由本单位负担)。对其实行计费管理,主要是对本单位的职员上网情况有一个衡量的指标。
3.系统电源保护
选用带有UPS电源管理及监控软件的智能网络不间断电源。以确保您的设备和网络安全、可靠、易管理。使用可供选择的软件和监测附件,在电池耗尽前报警,在电池耗尽前存好您的数据并关闭操作系统。
4.数据备份
网上的站点随时都有可能遭受黑客的攻击,因此,对整个系统的定期备份显得尤为重要。尤其,对用户帐号及网上发布的信息内容更应经常备份。最好选用7-14GB磁带,选用磁带机,对数据进行定期备份。
七、如何管理好上网用户的网上行为及流量的控制
目前,在许多国内外大的公司和机关,都面临着一个上网后如何约束上网用户的网上行为的问题。如何禁止本单位的职员在网上观看娱乐、反动、色情及与本职工作无关的书刊杂志等消遣性内容的行为。一定要引起有关领导的高度重视。否则,将适得其反,不但会造成工作效率的下降、更会浪费宝贵的信息资源及专线的带宽。此问题容易被行政主管领导忽视。但此现象的确存在。要想杜绝此类现象的发生。必须从技术上和管理制度上紧密结合。尤其是管理制度要有技术上的可操作性,才能起到作用。
从技术上,利用代理服务器对网上用户的上网行为实施集中管理。所采取的措施如下:
● 对代理服务器的访问控制权限设置成仅允许本域(网段)内的用户利用代理服务器访问外部互联网。以提高用户的上网速度,节省网络带宽,降低信息流量。(如果不对代理服务器的访问权进行控制,将有可能出现外部用户借用你的代理服务器访问互联网的情况发生,将会对整个网络的带宽及信息流量和上网速度产生严重影响。)
● 利用对代理服务器的信息内容过滤功能的设置,实现对不良信息网址的屏蔽。
● 通过对代理服务器的日志审查,实现对内部用户的上网时间、访问内容的定期监测。对访问不良站点的用户,提供技术证据,实施行政惩罚。
结束语
“政府上网工程”中各区域性行政机关的信息化建设与其他商业性运营的信息系统建设有着较大的不同。因此,不能全部套用市场上成熟的技术方案,即要考虑到整个信息系统技术的先进性、可靠性,又要考虑到不同用户群在应用上的划分,在对整个系统的维护和对不同用户群的管理上应充分考虑到技术上的可操作性(而不仅仅依靠规章制度)。由于此种信息系统的建设涉及到的部门多为行政管理性单位。因此,在安全设计上显得尤为重要。总之,在整个系统的规划和设计上应一切从本单位的实际出发。充分利用本单位的现有资源,将有限的资金用到真正需要完善的环节中去。为国家节约宝贵的财政资金,为推动我国的信息化建设多增加一些成功的范例。
一、区域性政府机关的信息化应用特点
目前,“政府上网工程”中的接入单位大多数为区域性的行政管理机关,绝大多数已建有自己的局域网络,用于满足本部门信息管理的需要。但由于其下属机构分散以及各局的业务管辖范围的不同。使得信息传递变得非常不便。同时对于区域内的企业和社区也缺乏便利的信息交互渠道。(诸如政府的各项政策法规、办事程序、经济信息等许多信息都难以得到共享)。对于企业集团也存在同样的问题。其子公司地理分布更广。其不但需要与集团总部随时保持信息传递,更迫切需要与外部进行信息交互。鉴于上述特点,此种区域性的信息化建设与规划必须将Internet/Intranet、远程接入以及应用上的划分等因素进行综合考虑,才能收到一定的效果。天津港保税区作为区级政府机关,在信息化建设方面已迈出了关键的一步,天津港保税区经贸信息系统已安全运行了一年。根据此系统的建设实施情况,现将区域信息化建设的规划与实施归纳如下。
二、设计目标
系统设计应坚持“瘦”而“强壮”的方案设计思路,充分利用本单位现有设备,以刚好满足本单位当前需求和今后扩展需要为出发点。着重实现以下目的:
1.使单位内部局域网的用户都能够通过专线访问互联网,并能通过E-mail与外界实现电子通信。
2.对整个行政区域(集团)内的各个部门(企业)或下属单位(子公司)提供专线或拨号接入服务。
3.为本单位建立信息主页对外发布,为企业或机构建立具有独立网址的虚拟主页。
4.为本单位建立基于HTML的MIS系统,即Intranet网。
三、网络系统的构建
1.网络地址资源的划分
建议系统至少采用32个Internet合法IP地址。对于单位内部局域网内的各个站点,均采用Internet的非合法IP地址(伪地址),通过网关服务器的地址转换,共享一个合法IP地址。
其他IP地址分配给各系统主机、路由器及远程访问服务器各端口。剩余部分留作专线接入时的子网划分及资源分配。
2.系统平台的选择
系统共需要三台系统主机:
(1)选择一台64位体系结构的中高档工作站(SUN、SGI、IBM、HP等均可)用于运行WWW、Primary DNS、FTP、VirusWall、FireWall及网管软件等后台服务程序。
(2)选用一台高档微机服务器作为辅域名服务器(Secondary DNS)和邮件服务器(Mail Server)——拨号用户的POP3服务器。同时负责对拨号用户进行身份验证。
(3)选用一台高档微机服务器作为网关服务器,同时充当企业内部网的Web Server及数据库服务器。为外部用户访问内部网的数据库信息和内部网用户访问Internet提供通道。同时,为内部伪地址站点充当地址翻译作用。目前,绝大多数的机关采用Windows NT平台。为充分利用现有资源,采用此平台比较合适。
3.网络通讯设备的选择
(1)路由器的选择
提供与ISP的专线接入及路由判别,提供对远程用户的拨号接入服务。如采用Cisco 2511带有1 Ethernet/Dual serial/16 Asyn口的路由器产品,除作为路由器(Router)外,还兼有远程访问服务器(Remote Access Server)功能。
(2)Modem Pool的选择
前期最好采用能支持16条外线拨入的Modem Pool为远程用户提供拨号连接。应选择具备体积小、结构简单、管理方便、真正的即插即用、不需要运行AT指令就可以开始工作、可以软件升级的Modem Pool产品。目前,市场上的机架式Modem Pool已趋于淘汰。为了保证设备的安全可靠,应选择没有硬件板卡插拔,兼容性好,带网管功能的产品,每端口速率最好是56kbps以上,从而更好地保护我们的投资。
四、信息的组织与发布
在UNIX环境里可采用Netscape Enterprise Server作为Web平台,用于对外发布公共信息及为用户建立虚拟主页。采用Netscape Proxy Server作为代理服务器,用于不良信息的过滤屏蔽、用户访问行为的监控和缓存信息,提高访问速度。
Windows NT环境下,可采用其内含的IIS作为内部WEB平台,用于基于HTML界面的办公系统开发。并与SQL Server整和,用于数据信息的检索。采用Windows NT平台下的Proxy Server提供伪地址转换及内部站点的上网权限控制和上网情况监控。
五、系统的安全考虑
在整个系统的规划设计过程中,安全问题应该受到高度的重视。尤其是政府机关更应对此有充分的认识。在网上黑客的攻击、垃圾邮件的转发、代理服务器的地址盗用等各种安全威胁随处可见。系统建成后,一旦出现安全问题,整个系统将时刻面临崩溃的危险,导致整个网络的服务中断。
1.系统的病毒防护
在网关服务器上安装病毒过滤系统,对所有进出边界上的SMTP、HTTP和FTP文件的传送进行实时病毒扫描。一旦发现问题,将发送病毒事件通知给系统管理员。自动删除病毒文件。
2.系统安全防火墙
(1)采用包过滤方式
利用路由器的访问控制列表(Access list),对IP通信(即路由和控制通信及用户通信)过程中的IP、TCP、UDP数据包进行有选择地管理。采用包过滤方式能对UDP各端口(如:Echo、PING、DNS、TFTP等服务)以及TCP服务端口(FTP、PING、SMTP、HTTP、POP-3、FINGER等服务)进行有效的控制。同时,对IP通信的过滤也能完成对某个网段的控制。避免敌意站点的攻击。缺点是管理方式不灵活、安全策略不丰富。要进行更深层次的安全管理,须应用级防火墙软件。
(2)采用防火墙应用软件保护内部子网
为了提高安全管理的灵活性,对一些复杂的安全管理策略采用防火墙应用软件进行管理,主要实现以下目的:
● 过滤天生不安全的服务(如:NFS、Finger),防止易受攻击的服务,来降低子网上主系统所冒的风险。
● 排斥所有源点发送的包和ICMP改向,然后把偶发事件通知管理人员。
● 除了邮件服务器或信息服务器等特殊情况外,禁止外部对其它主系统网点的访问。
● 利用应用网关对网络使用、滥用的记录和统计,提供防火墙和网络是否受到试探或攻击的细节。采集网络使用率统计数字和试探的证据,确定应对措施。
● 一旦某个访问违反安全规定,安全报警器就会拒绝该访问,并作记录,向系统管理器报告网络状态。向系统管理员发送E-mail和SNMP警报。
六、系统网络管理与维护
1.系统管理
(1)利用网管软件对上网用户实时监管。限定Web Server上的用户何时可以上网(如:仅允许特定用户白天上网,周六、周日禁止任何人上网)。此外,对上网的用户限定上网的地点(如:仅允许用户在某几个特定的站点登录到Web Server,禁止从远程登录)。从而最大限度地防止黑客的攻击。
(2)禁止非法跳转。为了防止内部或外部的用户以本系统内的Web Server为跳板登录其他站点,在网管设计中应能限定用户的跳转企图。
(3)对系统权限的限制。系统权限作为最高权限一旦被外部用户获得(这也是黑客努力的目标),整个系统将面临最严重的威胁。为此,一旦当未授权的用户成为超级用户的情况发生时,系统应能立即作出预警反应,并通过电子邮件、传呼等手段通知系统管理员。
(4)通过对用户的访问授权,实现对文件、目录的访问限制。如果系统没有对外提供FTP、Telnet、Rlogin等服务,那么就没有必要在服务器上启动此类服务进程。即使启动了,也应仅限于本地的几个特定用户允许使用此服务。
2.计费管理
利用计费系统软件对PPP拨号用户及专线用户进行分类、分时计费,对本地局域网内用户单独实行按时按量计费。本地局域网内的用户访问互联网原则上不计费(由本单位负担)。对其实行计费管理,主要是对本单位的职员上网情况有一个衡量的指标。
3.系统电源保护
选用带有UPS电源管理及监控软件的智能网络不间断电源。以确保您的设备和网络安全、可靠、易管理。使用可供选择的软件和监测附件,在电池耗尽前报警,在电池耗尽前存好您的数据并关闭操作系统。
4.数据备份
网上的站点随时都有可能遭受黑客的攻击,因此,对整个系统的定期备份显得尤为重要。尤其,对用户帐号及网上发布的信息内容更应经常备份。最好选用7-14GB磁带,选用磁带机,对数据进行定期备份。
七、如何管理好上网用户的网上行为及流量的控制
目前,在许多国内外大的公司和机关,都面临着一个上网后如何约束上网用户的网上行为的问题。如何禁止本单位的职员在网上观看娱乐、反动、色情及与本职工作无关的书刊杂志等消遣性内容的行为。一定要引起有关领导的高度重视。否则,将适得其反,不但会造成工作效率的下降、更会浪费宝贵的信息资源及专线的带宽。此问题容易被行政主管领导忽视。但此现象的确存在。要想杜绝此类现象的发生。必须从技术上和管理制度上紧密结合。尤其是管理制度要有技术上的可操作性,才能起到作用。
从技术上,利用代理服务器对网上用户的上网行为实施集中管理。所采取的措施如下:
● 对代理服务器的访问控制权限设置成仅允许本域(网段)内的用户利用代理服务器访问外部互联网。以提高用户的上网速度,节省网络带宽,降低信息流量。(如果不对代理服务器的访问权进行控制,将有可能出现外部用户借用你的代理服务器访问互联网的情况发生,将会对整个网络的带宽及信息流量和上网速度产生严重影响。)
● 利用对代理服务器的信息内容过滤功能的设置,实现对不良信息网址的屏蔽。
● 通过对代理服务器的日志审查,实现对内部用户的上网时间、访问内容的定期监测。对访问不良站点的用户,提供技术证据,实施行政惩罚。
结束语
“政府上网工程”中各区域性行政机关的信息化建设与其他商业性运营的信息系统建设有着较大的不同。因此,不能全部套用市场上成熟的技术方案,即要考虑到整个信息系统技术的先进性、可靠性,又要考虑到不同用户群在应用上的划分,在对整个系统的维护和对不同用户群的管理上应充分考虑到技术上的可操作性(而不仅仅依靠规章制度)。由于此种信息系统的建设涉及到的部门多为行政管理性单位。因此,在安全设计上显得尤为重要。总之,在整个系统的规划和设计上应一切从本单位的实际出发。充分利用本单位的现有资源,将有限的资金用到真正需要完善的环节中去。为国家节约宝贵的财政资金,为推动我国的信息化建设多增加一些成功的范例。