论文部分内容阅读
综述
“政府上网工程”由电信总局和相关部委信息主管部门策划发动和统一规划布署,各省、自治区、直辖市电信管理局作为主要支持落实单位,联合信息产业界的各方面力量(ISP/ICP、软硬件厂商、新闻媒体),推动我国各级政府部门在163/169网上建立正式站点并提供信息共享和便民服务,构建我国的“电子政府”。在“工程”实施中,针对政府信息资源的开发利用出台“三免的优惠政策”,即在规定期限内“减免中央及省市政府部门网络通信费、组织ISP/ICP免费制作政府机构部分主页信息、组织ISP/ICP免费对各级领导和相关人员进行上网基本知识和技能的培训”。各部委及各级政府部门,尤其是“政府上网工程”的发起单位,及时有效地启动自己的上网工程,并树立一个政府站点样板,对整个“政府上网工程”的贯彻实施具有重大而深远的意义。
整体系统体系结构
1.用户需求
该工程实施包括:
将自身信息发布到163/169网上提供信息共享和便民服务。
租用电信基础网络组建内部办公网。
接入Internet,通过163/169获取信息。
由于政府上网的特殊性,整个系统要求具备安全、可靠、便捷和畅通的特点。
2.网络设计
考虑到整个上网工程实施的广度和难度,建议部委及各级政府部门先试点再全面建设,建网时分阶段、由易而难地启动和实施:
1) 在调通线路之前,根据有关协议,先将政府部门的主页制作上网,并对主页栏目进行设计,录入部分信息来拉开政府上网工程的帷幕。由于是主要采用“政府主机”托管到“电信港湾”的方式,一开始就可以在政府主机建立数据库对信息进行库化,实现前台的全文检索甚至跨数据库的全文检索、后台的统计管理等功能。同时大力宣传,为下一步运作造出社会影响。
2) 规划和建立部委及各级政府部门内部的办公自动化局域网,实现内部无纸办公和信息化。
3) 联通专线,接入Internet,由政府机关组织信息源,ISP/ICP将信息制作成网页,并定期通过网络更新网上信息,有应用系统的再通过专线访问其应用系统。
4) 国家部委的政府站点与内部办公自动化网联通,与政府各部门的职能紧密结合。政府站点演变为便民服务的窗口,实现人们足不出户便可完成与政府部门的办事程序,构建“电子政府”。
* 系统体系结构
根据对现代办公自动化系统需求的分析,建议各级政府部门的办公自动化局域网采用客户机/服务器模式。
所谓客户机/服务器工作模式,其关键点在于“一分为二”,即把数据处理与应用程序分离开来,数据处理由服务器来完成,应用程序由客户机执行。
服务器主要用于对数据库进行管理,服务器着重于DBMS功能,提供数据定义及存取、保密性、后备及还原、并发控制及事务管理等功能,由于它不必负责运行应用程序,所以它可以把几乎所有内存用于DBMS。
客户机端着重于应用功能,诸如用户接口、报表生成及应用逻辑设计。而数据处理则交给服务器来完成,它只负责向服务器提交数据处理请求,并处理服务器返回的处理结果。采用客户机/服务器体系结构,网络上传输的只是数据处理请求及数据处理结果,减少了不必要的网络传输,提高了网络处理的效率。
* 设计原则
1. 系统应具有高可靠性、高可用性,以保证系统连续可靠安全运转。
2. 系统的安全性:采用先进的安全技术和进行严格的管理,充分保护关键数据的完整性和安全性,避免系统内部保密数据的泄漏。
3. 系统开放性:网络布局模块化,是一个支持多种工业标准,多厂商软硬件平台的开放式系统。
4. 系统的先进性:当今国际上网络系统的发展已远远走在了我们的前面,无论是网络设备的先进性,还是网络技术的先进性都是值得我们学习和借鉴的。
5. 系统的实用性:整个系统符合当今与未来的实际要求,功能增减方便。
6. 可扩充性:网络系统应具备较强的扩展能力以及升级能力。
7. 用户投资保护:整个系统既要尽可能地选用国际上最先进的产品,又要合理搭配、降低成本。建议网络设备应为今后向更大地域扩展业务留有充分的余地。
8. 具备良好的网络管理功能。
* 网络设计方案
整个网络可分为两部分,一是各部委及各级政府部门的办公自动化内部网(Intranet),一是部委及各级政府部门的内部网通过公网(Internet)实现互联。基于客户/服务器模式建立各级政府部门的网络系统,为部门内部人员提供快捷、方便、周到、完善的服务。为了保证系统的安全性,保护内部的网络不受非法破坏,除了利用操作系统所提供的C2级安全机制,还采用代理服务器和防火墙技术;同时将对外的Internet服务与内部的Intranet服务相分开,并转移到防火墙的外部。按照建立客户机/服务器体系结构的指导、管理、组织、实施四个层次,设计了如下图所示结构的网络体系。
在各级政府部门的中心机房内配备一台网络中心交换机,另配备若干台二级交换机,直接为用户提供到桌面的交换端口,并可以轻易实现100M到桌面。中心交换机与服务器、二级交换机都是100M相连,并根据具体情况可为部分用户提供到桌面的100M交换端口,而利用原有的网络设备或布线系统为其余用户提供10M的交换端口。也可以一步到位,全部实现100M到桌面;同时可以轻松平滑地向千兆以太网升级。为了更好地保证内部网络的安全,把对外的Internet服务(如WWW、Email、FTP等)转移到防火墙的外部。国家部委及各级政府部门的办公自动化内部网通过电信部门提供的数据专线(128K或64K数据专线)接入公网,实现互联。
根据目前的技术,一个高性能的政府上网工程应该具有安全、可靠、便捷和畅通的特征,主要包括以下几部分:结构化布线、交换式以太网技术和高性能容错服务器。系统建设的主要目标是如何选择高可靠、高性能的服务器以及如何加强网络的安全防护。
网络技术的选型
目前,网络技术的发展主要体现在两个方面:网络交换技术及高速网络技术。
传统的Ethernet、Token Ring、FDDI都是共享媒体技术(Shared Media),这是一类广播型网络,在网络上每个瞬时只有一个工作站在发送信息,这样,一个10M带宽的以太网在有数十个工作站时便有可能使响应速度下降到无法忍受的地步。当传统的共享媒体技术不能满足需求时,交换技术应运而生。所谓交换(Switch),是指能够在源端口和目标端口之间提供直接、快速的点到点连接。交换机就是实现交换功能的多端口设备。
高速网络技术应包括近几年普遍采用的快速以太网、FDDI、ATM等。ATM是网络未来的发展方向,但是ATM目前仍存在以下问题:标准没有统一,各厂商的网络设备并不一定能互通,技术不够成熟,产品选择的范围少。另外近来对千兆以太网的探讨也十分热门。下表将常见的高速网络作一比较。
综合考虑各方面因素,在各级政府部门局域网的网络设计中,采用快速以太网构造局域网主干,为主服务器提供高带宽,并且可以非常容易的平滑升级到千兆以太网;采用以太网交换技术构造工作组网,细化以太网段以减少碰撞,同时在网络设备的配备上留有足够的扩充和升级余地。 服务器技术选型
为了使政府站点迅捷地响应用户的访问请求,为了满足各级政府部门的办公自动化的需要,服务器的选型主要从可靠性、I/O吞吐能力、数据处理能力、可扩展性和可管理性方面进行考查。浪潮服务器产品线齐全,其优异的性能和高度的可靠性,能满足政府上网的需求。
1. 可靠性
冗余是消除系统单故障点的重要手段,浪潮服务器从部件级和系统级冗余进行设计。部件级的冗余主要包括可热插拔冗余电源;可热插拔冗余硬盘和RAID技术;带ECC校验的内存容错;支持SMP技术的CPU冗余;多I/O卡(如网卡、硬盘控制器)冗余容错;以及多段PCI总级冗余。以上关键部件的冗余设计对保证服务器的可靠运行具有重要意义。
2. I/O吞吐能力
服务器要提供网站的信息浏览服务和其它Internet/Intranet服务,为加快访问速度,获得迅捷的响应,要求网络、硬盘的I/O吞吐能力要大。浪潮服务器采用了以下技术:多PCI总线并发操作以提高系统I/O吞吐力;支持智能I/O技术,减轻主CPU压力,优化总线传输;采用先进的SCSI技术,如传输率可达80MB/s的Ultra 2(LVDS)SCSI技术;支持可达10000转/秒的高速硬盘,寻道时间小于8ns。浪潮服务器提供了以上先进的I/O吞吐能力,能满足政府上网的需要。
3. 强大的处理能力
服务器的数据处理能力主要由CPU的处理能力、可扩展大容量内存和系统总线带宽决定。浪潮服务器采用新一代Intel Pentium II或Pentium II Xeon处理器,其中Net-Center745支持四路至强处理器,支持8GB的ECC EDO内存,可提供每秒18000个事务处理能力。浪潮服务器的全线产品支持100MHz的系统总线,支持100MHz ECC SDRAM内存,高度并行的PCI总线使关键子系统的吞吐量突破传统瓶颈,改善了服务器的系统带宽。
4. 高扩展性
服务器应能很好地适应业务的增长和新业务的开展,方便地扩充和升级。浪潮服务器从扩展插槽、CPU、内存、硬盘、电源等各方面提供了充裕的扩充空间,给政府部门未来不断增加的需求提供了保证。
5.可管理性
为保证整个系统的正常运行和降低网络维护费用,需要选用具备良好系统管理功能的服务器。浪潮服务器全线产品都具备高效的系统管理功能,支持XIMB(外部智能管理总线)、专配的LDSM和ISC(Intel Server Control)管理软件能实现对系统的远程管理;集成于主板上的强有力的管理控制器和ISC配合,能监控系统状态、电源状态、机箱内温度、风扇状态等,并能通过网络进行报警。这些管理功能大大降底了服务器的总体拥有成本。
Internet接入
1.物理连接方式
根据中国电信为政府上网工程出台的优惠政策,国务院各部委和国务院直属机构可各获得一条128K的数据专线联入163、169网,各省、自治区、直辖市政府、市级政府和部委的升级机构可获得一条64K的数据专线联入163、169网。各部委及各级政府部门的办公自动化内部网可通过中国电信提供的数据专线直接接入公网,实现彼此数据共享与Internet通信的功能,并可对各政府网站进行直接维护。从通信费用、线路利用率角度考虑,这是一个最佳物理连接方式。同时,可以采用PSTN拨号入网作为备用物理连接。
2.广域网路由器的选择
路由器完成政府内联网与163、169间数据分组的中转处理。目前市场上这样的路由器品种很多。除专用路由器之外,也可用一台计算机实现路由器的功能。例如在一台工作站上配置所需要的网卡和相应路由处理软件,可使该工作站具备路由器功能。这种路由器的优点是各种参数的设定、管理在操作系统上完成,使用维护方便。缺点是处理速度慢,可靠性差。
3.互联方式的选择
政府部门的办公自动化内部网可采取如下三种方式与Internet连接:
1)开放式连接
在这种连接方式下,政府内联网上的主机可以访问Internet也可被Internet上其它用户访问。政府内联网内的主机的安全防护措施由各主机自己管理。
2)部分限制连接
在这种连接方式下,限制政府内联网上的一部分主机与Internet的通信,而这些主机在政府内联网内部的通信不受以上限制。这种方式可防止内联网上某些要求安全保密的主机免受来自外部的侵害。这种连接方式可由路由器的IP过滤功能来实现。
3)经防火墙主机连接
防火墙主机分别与政府内联网及Internet相连。两个网上的其它主机均可访问该主机,但不能经过该主机相互访问。只有在防火墙主机上登录的政府内联网用户与Internet用户才能通过该主机相互访问,并使用该主机限定的应用。例如,在防火墙主机上运行的E-mail、News等服务程序,可使政府内联网内登录的用户使用这些应用。这种方式的特点是把对Internet及政府内联网的访问控制限制在一台主机内,该主机把两个网络隔离开来,这样消除了政府办公自动化内部网因其它主机遭受外部侵入的可能性。
通常政府内联网采取部分限制连接或经防火墙主机连接方式,以保证安全保密的主机免受来自外部的侵害。
网络的安全防护
政府内联网接入Internet后带来的好处是显然的,但同时由于Internet是全球性的网络,世界各地的Internet用户都可以访问该网,这样政府网络和政府网站必须采取适当的安全措施。
1.防止非法侵入
为防止未经授权的用户非法访问网络,并读取、改写文件,可在网络层和主机系统上设防:经由防火墙主机/代理服务器入网,有效地阻止无访问权限的入侵者,保证有访问权限的用户间的联系;将对外的Internet的主机进行限制;对保密性要求高的主机进行访问控制,例如,使用路用器的IP地址过滤功能,对数据分组的传送进行控制;使用路由器的端口号过滤功能对网络上运行的应用软件进行控制;充分利用Windows NT等操作系统的安全机制(如口令管理及系统运行纪录等功能),对企图非法侵入的活动进行监视;
2.防止窃听、篡改数据
为防止采用硬件设备从网络缆线、配线架上盗取网上的数据,并把经过篡改的数据再送上网络,可采取以下措施:对保密性要求高的数据进行加密处理;加强机房安全措施,对路由器、配线架等网上设备严格管理;网络布线要规范,减少缆线被直接窃听的可能性。
3. 路由信息的安全保护
为避免或减少妨碍系统正常运行的情况发生,可采用以下措施:加强对路由器的访问控制,应对路由器进行设置使其仅接受来自特定路由器的信息;必要时采用静态路由控制方法。
应把政府网络和政府站点的可靠性和安全性放在首位,因此除了采用先进的安全技术和进行严格的管理外,对于关键数据和敏感信息还要适当辅以人工认证。
系统软件选型
INTERNET/INTRANET既是发展方向,技术也相当成熟,以INTERNET的模式进行开发,以便真正实现“用户只需面对浏览器”。
在系统的选型上,采用微软的BACKOFFICE系列家族软件作为开发和应用平台:
网络操作系统是WINDOWS NT4.0,数据库服务器是MS SQL SERVER 6.5,同时选用MS EXCHANGE SERVER 4.0作为邮件服务器;各级政府部门的办公自动化网络要能实现无纸办公、内部信息化以及政府网站的及时更新和维护,需采用INTRANET/INTERNET解决方案,所以WEB SERVER采用IIS SERVER 3.0,同时附加ASP SERVER、MS INDEX SERVER、MS ACTIVE SERVER PAGE、MS CRYSTAL REPORTS等。
在客户端采用WINDOWS 98作为操作系统,浏览器采用MS INTERNET EXPLORE 4.0,以OFFICE97作为桌面办公自动化平台。
规划系统组织时,以每级政府部门作为一个独立的NT域,通过DDN专线(128K或64K)接入163、169上实现全系统范围的联网。通过国家部委及各级政府部门网管,将各个NT域建立在一个“虚拟网络”的基础上;同时系统具有良好的可伸缩性,下属的其他NT域可以是一组独立的客户机。
各域之间建立双向或单向的信任关系(国家部委DOMAIN信任其他域)。
“政府上网工程”由电信总局和相关部委信息主管部门策划发动和统一规划布署,各省、自治区、直辖市电信管理局作为主要支持落实单位,联合信息产业界的各方面力量(ISP/ICP、软硬件厂商、新闻媒体),推动我国各级政府部门在163/169网上建立正式站点并提供信息共享和便民服务,构建我国的“电子政府”。在“工程”实施中,针对政府信息资源的开发利用出台“三免的优惠政策”,即在规定期限内“减免中央及省市政府部门网络通信费、组织ISP/ICP免费制作政府机构部分主页信息、组织ISP/ICP免费对各级领导和相关人员进行上网基本知识和技能的培训”。各部委及各级政府部门,尤其是“政府上网工程”的发起单位,及时有效地启动自己的上网工程,并树立一个政府站点样板,对整个“政府上网工程”的贯彻实施具有重大而深远的意义。
整体系统体系结构
1.用户需求
该工程实施包括:
将自身信息发布到163/169网上提供信息共享和便民服务。
租用电信基础网络组建内部办公网。
接入Internet,通过163/169获取信息。
由于政府上网的特殊性,整个系统要求具备安全、可靠、便捷和畅通的特点。
2.网络设计
考虑到整个上网工程实施的广度和难度,建议部委及各级政府部门先试点再全面建设,建网时分阶段、由易而难地启动和实施:
1) 在调通线路之前,根据有关协议,先将政府部门的主页制作上网,并对主页栏目进行设计,录入部分信息来拉开政府上网工程的帷幕。由于是主要采用“政府主机”托管到“电信港湾”的方式,一开始就可以在政府主机建立数据库对信息进行库化,实现前台的全文检索甚至跨数据库的全文检索、后台的统计管理等功能。同时大力宣传,为下一步运作造出社会影响。
2) 规划和建立部委及各级政府部门内部的办公自动化局域网,实现内部无纸办公和信息化。
3) 联通专线,接入Internet,由政府机关组织信息源,ISP/ICP将信息制作成网页,并定期通过网络更新网上信息,有应用系统的再通过专线访问其应用系统。
4) 国家部委的政府站点与内部办公自动化网联通,与政府各部门的职能紧密结合。政府站点演变为便民服务的窗口,实现人们足不出户便可完成与政府部门的办事程序,构建“电子政府”。
* 系统体系结构
根据对现代办公自动化系统需求的分析,建议各级政府部门的办公自动化局域网采用客户机/服务器模式。
所谓客户机/服务器工作模式,其关键点在于“一分为二”,即把数据处理与应用程序分离开来,数据处理由服务器来完成,应用程序由客户机执行。
服务器主要用于对数据库进行管理,服务器着重于DBMS功能,提供数据定义及存取、保密性、后备及还原、并发控制及事务管理等功能,由于它不必负责运行应用程序,所以它可以把几乎所有内存用于DBMS。
客户机端着重于应用功能,诸如用户接口、报表生成及应用逻辑设计。而数据处理则交给服务器来完成,它只负责向服务器提交数据处理请求,并处理服务器返回的处理结果。采用客户机/服务器体系结构,网络上传输的只是数据处理请求及数据处理结果,减少了不必要的网络传输,提高了网络处理的效率。
* 设计原则
1. 系统应具有高可靠性、高可用性,以保证系统连续可靠安全运转。
2. 系统的安全性:采用先进的安全技术和进行严格的管理,充分保护关键数据的完整性和安全性,避免系统内部保密数据的泄漏。
3. 系统开放性:网络布局模块化,是一个支持多种工业标准,多厂商软硬件平台的开放式系统。
4. 系统的先进性:当今国际上网络系统的发展已远远走在了我们的前面,无论是网络设备的先进性,还是网络技术的先进性都是值得我们学习和借鉴的。
5. 系统的实用性:整个系统符合当今与未来的实际要求,功能增减方便。
6. 可扩充性:网络系统应具备较强的扩展能力以及升级能力。
7. 用户投资保护:整个系统既要尽可能地选用国际上最先进的产品,又要合理搭配、降低成本。建议网络设备应为今后向更大地域扩展业务留有充分的余地。
8. 具备良好的网络管理功能。
* 网络设计方案
整个网络可分为两部分,一是各部委及各级政府部门的办公自动化内部网(Intranet),一是部委及各级政府部门的内部网通过公网(Internet)实现互联。基于客户/服务器模式建立各级政府部门的网络系统,为部门内部人员提供快捷、方便、周到、完善的服务。为了保证系统的安全性,保护内部的网络不受非法破坏,除了利用操作系统所提供的C2级安全机制,还采用代理服务器和防火墙技术;同时将对外的Internet服务与内部的Intranet服务相分开,并转移到防火墙的外部。按照建立客户机/服务器体系结构的指导、管理、组织、实施四个层次,设计了如下图所示结构的网络体系。
在各级政府部门的中心机房内配备一台网络中心交换机,另配备若干台二级交换机,直接为用户提供到桌面的交换端口,并可以轻易实现100M到桌面。中心交换机与服务器、二级交换机都是100M相连,并根据具体情况可为部分用户提供到桌面的100M交换端口,而利用原有的网络设备或布线系统为其余用户提供10M的交换端口。也可以一步到位,全部实现100M到桌面;同时可以轻松平滑地向千兆以太网升级。为了更好地保证内部网络的安全,把对外的Internet服务(如WWW、Email、FTP等)转移到防火墙的外部。国家部委及各级政府部门的办公自动化内部网通过电信部门提供的数据专线(128K或64K数据专线)接入公网,实现互联。
根据目前的技术,一个高性能的政府上网工程应该具有安全、可靠、便捷和畅通的特征,主要包括以下几部分:结构化布线、交换式以太网技术和高性能容错服务器。系统建设的主要目标是如何选择高可靠、高性能的服务器以及如何加强网络的安全防护。
网络技术的选型
目前,网络技术的发展主要体现在两个方面:网络交换技术及高速网络技术。
传统的Ethernet、Token Ring、FDDI都是共享媒体技术(Shared Media),这是一类广播型网络,在网络上每个瞬时只有一个工作站在发送信息,这样,一个10M带宽的以太网在有数十个工作站时便有可能使响应速度下降到无法忍受的地步。当传统的共享媒体技术不能满足需求时,交换技术应运而生。所谓交换(Switch),是指能够在源端口和目标端口之间提供直接、快速的点到点连接。交换机就是实现交换功能的多端口设备。
高速网络技术应包括近几年普遍采用的快速以太网、FDDI、ATM等。ATM是网络未来的发展方向,但是ATM目前仍存在以下问题:标准没有统一,各厂商的网络设备并不一定能互通,技术不够成熟,产品选择的范围少。另外近来对千兆以太网的探讨也十分热门。下表将常见的高速网络作一比较。
综合考虑各方面因素,在各级政府部门局域网的网络设计中,采用快速以太网构造局域网主干,为主服务器提供高带宽,并且可以非常容易的平滑升级到千兆以太网;采用以太网交换技术构造工作组网,细化以太网段以减少碰撞,同时在网络设备的配备上留有足够的扩充和升级余地。 服务器技术选型
为了使政府站点迅捷地响应用户的访问请求,为了满足各级政府部门的办公自动化的需要,服务器的选型主要从可靠性、I/O吞吐能力、数据处理能力、可扩展性和可管理性方面进行考查。浪潮服务器产品线齐全,其优异的性能和高度的可靠性,能满足政府上网的需求。
1. 可靠性
冗余是消除系统单故障点的重要手段,浪潮服务器从部件级和系统级冗余进行设计。部件级的冗余主要包括可热插拔冗余电源;可热插拔冗余硬盘和RAID技术;带ECC校验的内存容错;支持SMP技术的CPU冗余;多I/O卡(如网卡、硬盘控制器)冗余容错;以及多段PCI总级冗余。以上关键部件的冗余设计对保证服务器的可靠运行具有重要意义。
2. I/O吞吐能力
服务器要提供网站的信息浏览服务和其它Internet/Intranet服务,为加快访问速度,获得迅捷的响应,要求网络、硬盘的I/O吞吐能力要大。浪潮服务器采用了以下技术:多PCI总线并发操作以提高系统I/O吞吐力;支持智能I/O技术,减轻主CPU压力,优化总线传输;采用先进的SCSI技术,如传输率可达80MB/s的Ultra 2(LVDS)SCSI技术;支持可达10000转/秒的高速硬盘,寻道时间小于8ns。浪潮服务器提供了以上先进的I/O吞吐能力,能满足政府上网的需要。
3. 强大的处理能力
服务器的数据处理能力主要由CPU的处理能力、可扩展大容量内存和系统总线带宽决定。浪潮服务器采用新一代Intel Pentium II或Pentium II Xeon处理器,其中Net-Center745支持四路至强处理器,支持8GB的ECC EDO内存,可提供每秒18000个事务处理能力。浪潮服务器的全线产品支持100MHz的系统总线,支持100MHz ECC SDRAM内存,高度并行的PCI总线使关键子系统的吞吐量突破传统瓶颈,改善了服务器的系统带宽。
4. 高扩展性
服务器应能很好地适应业务的增长和新业务的开展,方便地扩充和升级。浪潮服务器从扩展插槽、CPU、内存、硬盘、电源等各方面提供了充裕的扩充空间,给政府部门未来不断增加的需求提供了保证。
5.可管理性
为保证整个系统的正常运行和降低网络维护费用,需要选用具备良好系统管理功能的服务器。浪潮服务器全线产品都具备高效的系统管理功能,支持XIMB(外部智能管理总线)、专配的LDSM和ISC(Intel Server Control)管理软件能实现对系统的远程管理;集成于主板上的强有力的管理控制器和ISC配合,能监控系统状态、电源状态、机箱内温度、风扇状态等,并能通过网络进行报警。这些管理功能大大降底了服务器的总体拥有成本。
Internet接入
1.物理连接方式
根据中国电信为政府上网工程出台的优惠政策,国务院各部委和国务院直属机构可各获得一条128K的数据专线联入163、169网,各省、自治区、直辖市政府、市级政府和部委的升级机构可获得一条64K的数据专线联入163、169网。各部委及各级政府部门的办公自动化内部网可通过中国电信提供的数据专线直接接入公网,实现彼此数据共享与Internet通信的功能,并可对各政府网站进行直接维护。从通信费用、线路利用率角度考虑,这是一个最佳物理连接方式。同时,可以采用PSTN拨号入网作为备用物理连接。
2.广域网路由器的选择
路由器完成政府内联网与163、169间数据分组的中转处理。目前市场上这样的路由器品种很多。除专用路由器之外,也可用一台计算机实现路由器的功能。例如在一台工作站上配置所需要的网卡和相应路由处理软件,可使该工作站具备路由器功能。这种路由器的优点是各种参数的设定、管理在操作系统上完成,使用维护方便。缺点是处理速度慢,可靠性差。
3.互联方式的选择
政府部门的办公自动化内部网可采取如下三种方式与Internet连接:
1)开放式连接
在这种连接方式下,政府内联网上的主机可以访问Internet也可被Internet上其它用户访问。政府内联网内的主机的安全防护措施由各主机自己管理。
2)部分限制连接
在这种连接方式下,限制政府内联网上的一部分主机与Internet的通信,而这些主机在政府内联网内部的通信不受以上限制。这种方式可防止内联网上某些要求安全保密的主机免受来自外部的侵害。这种连接方式可由路由器的IP过滤功能来实现。
3)经防火墙主机连接
防火墙主机分别与政府内联网及Internet相连。两个网上的其它主机均可访问该主机,但不能经过该主机相互访问。只有在防火墙主机上登录的政府内联网用户与Internet用户才能通过该主机相互访问,并使用该主机限定的应用。例如,在防火墙主机上运行的E-mail、News等服务程序,可使政府内联网内登录的用户使用这些应用。这种方式的特点是把对Internet及政府内联网的访问控制限制在一台主机内,该主机把两个网络隔离开来,这样消除了政府办公自动化内部网因其它主机遭受外部侵入的可能性。
通常政府内联网采取部分限制连接或经防火墙主机连接方式,以保证安全保密的主机免受来自外部的侵害。
网络的安全防护
政府内联网接入Internet后带来的好处是显然的,但同时由于Internet是全球性的网络,世界各地的Internet用户都可以访问该网,这样政府网络和政府网站必须采取适当的安全措施。
1.防止非法侵入
为防止未经授权的用户非法访问网络,并读取、改写文件,可在网络层和主机系统上设防:经由防火墙主机/代理服务器入网,有效地阻止无访问权限的入侵者,保证有访问权限的用户间的联系;将对外的Internet的主机进行限制;对保密性要求高的主机进行访问控制,例如,使用路用器的IP地址过滤功能,对数据分组的传送进行控制;使用路由器的端口号过滤功能对网络上运行的应用软件进行控制;充分利用Windows NT等操作系统的安全机制(如口令管理及系统运行纪录等功能),对企图非法侵入的活动进行监视;
2.防止窃听、篡改数据
为防止采用硬件设备从网络缆线、配线架上盗取网上的数据,并把经过篡改的数据再送上网络,可采取以下措施:对保密性要求高的数据进行加密处理;加强机房安全措施,对路由器、配线架等网上设备严格管理;网络布线要规范,减少缆线被直接窃听的可能性。
3. 路由信息的安全保护
为避免或减少妨碍系统正常运行的情况发生,可采用以下措施:加强对路由器的访问控制,应对路由器进行设置使其仅接受来自特定路由器的信息;必要时采用静态路由控制方法。
应把政府网络和政府站点的可靠性和安全性放在首位,因此除了采用先进的安全技术和进行严格的管理外,对于关键数据和敏感信息还要适当辅以人工认证。
系统软件选型
INTERNET/INTRANET既是发展方向,技术也相当成熟,以INTERNET的模式进行开发,以便真正实现“用户只需面对浏览器”。
在系统的选型上,采用微软的BACKOFFICE系列家族软件作为开发和应用平台:
网络操作系统是WINDOWS NT4.0,数据库服务器是MS SQL SERVER 6.5,同时选用MS EXCHANGE SERVER 4.0作为邮件服务器;各级政府部门的办公自动化网络要能实现无纸办公、内部信息化以及政府网站的及时更新和维护,需采用INTRANET/INTERNET解决方案,所以WEB SERVER采用IIS SERVER 3.0,同时附加ASP SERVER、MS INDEX SERVER、MS ACTIVE SERVER PAGE、MS CRYSTAL REPORTS等。
在客户端采用WINDOWS 98作为操作系统,浏览器采用MS INTERNET EXPLORE 4.0,以OFFICE97作为桌面办公自动化平台。
规划系统组织时,以每级政府部门作为一个独立的NT域,通过DDN专线(128K或64K)接入163、169上实现全系统范围的联网。通过国家部委及各级政府部门网管,将各个NT域建立在一个“虚拟网络”的基础上;同时系统具有良好的可伸缩性,下属的其他NT域可以是一组独立的客户机。
各域之间建立双向或单向的信任关系(国家部委DOMAIN信任其他域)。