政务专网方案.doc

县政府政务网建设技术方案公司二零零八年五月目 录第一部分：县政府政务专网建设方案3一、概述4二、建设原则、依据和总体目标42.1建设原则42.2设计依据72.3电子政务建设的总体目标8三、政务网专线接入方式介绍83.1县政府政务专网接入方式选择93.2 县各乡镇政务专网接入方式选择103.3 政府各部门政务专网接入方式选择11四、县政府政务内网网络结构134.1 政务内网拓扑图134.2 服务器部署15五、网络安全设计175.1网络安全需求分析175.2常用安全解决技术21六、县政府办公自动化系统286.1建设要求286.2建设目标286.3平台建设286.4系统特点286.5系统功能说明29七、县政府信息报送系统357.1开发目的357.2系统功能35八、中心机房建设376.1机房建设方案的指导思想376.2地面处理376.3吊顶处理386.4照明系统386.5门窗设计386.6墙壁处理396.7机房供电设计39第二部分：县政府礼堂音响系统设计方案41一、音响系统概述42二、设计依据42三、音响工程系统设计流程43四、音响设备选型依据43五、系统的组成及功能介绍445.1系统组成445.2系统功能介绍445.3设备连接图485.4礼堂会议设备布局平面图495.5灯光系统建议49六、县政府礼堂装修注意事项50第三部分：售后服务及培训计划52一、售后服务531.1质量方针531.2服务范围531.3保修条款531.4故障等级与响应时间541.5维护支持中心联系资料54二、培训计划552.1培训目的552.2培训目标552.3培训资料552.4培训内容56县政府政务专网建设方案一、 概述 电子政务是政府服务于百姓的一个工具，使得政府更好、更快、高效、高质量的为社会大众服务，为机构服务。政府信息化是一种新事物，它不仅仅代表着先进的技术，而且也代表着一种新思想、新思维。透明、高效、廉洁、理性、负责任是对政府的普遍要求，为了适应市场经济和经济全球化的新环境提高政府对外部时间的响应速度，就必须调整政府的管理模式，广泛采用信息化技术，加速政府信息化进程。甘肃省政务专网是面向全省各级政务部门和有关单位的办公业务专网，由省、市、县政务骨干网和各级政务部门局域网或终端组成，是实现信息共享和交换的基础平台，主要满足各级政务部门内部办公、管理、协调、监督和决策的需要。甘肃省政务专网采用了高端路由器，大容量光纤传输通道、MPLS VPN和VPLS技术保障网络的安全性、可靠性和服务质量等级（QoS）。目前，甘肃省政务骨干网已覆盖全省14个市州、86个县区市、1078个乡镇，可以提供155M/100M/10M/2M/ADSL等接入方式。县政府要接入甘肃省政务专网，必须首先建设自己的政务内网，然后才能根据自己的实际情况选择合适的接入方式接入政务专网骨干网。随着甘肃省人民政府办公厅关于加快建设甘肃省政务专网的通知（甘政办发200695号），县政府政务网建设已迫在眉睫，县政府原有的办公环境及应用系统远远不能满足政务专网建设的需求，必须进行全面建设。二、建设原则、依据和总体目标2.1建设原则l 充分考虑县政府政务网现有的需求和将来的发展。l 技术上要体现实用性、先进性和成熟性。l 网络系统符合国际规范和标准，具有开放性、可靠性、安全性、可互连性、可互操作性和可扩充性，并考虑未来网络的发展与变迁，易于扩展、升级和维护；l 网络能够提供很好的安全性策略，能够避免内部操作失误造成的损害和来自外部的恶意攻击；l 网络具备易于安装、操作和维护的特点，对网络设备及VLAN等进行直观、灵活的配置，提供完整的网络拓扑图，可以根据网络的流量情况做出分析和建议；l 网络能够提供足够的带宽，满足用户对应用和带宽的基本需要，并保留一定的余量供扩展使用，最大可能地降低网络传输的延迟；l 网络能够提供丰富的接口形式，以满足各个分、子系统及外部其他系统的接入；l 网络系统的设计能够满足应用系统设计及实施要求。设计的网络设备在全国政府领域的计算机系统中有成功应用，根据相关要求，电子政务系统中建议选用国产设备。l 网络设备生产商具有良好的商业业绩和可持续发展，能及时解决由于网络设备本身出现的技术问题.根据电子政务项目的要求，综合我公司在开放性、实用性、扩充性及可靠性应用系统集成的丰富经验，力求建立一个使计算机系统能够在最大限度上满足县政府政务网的需求，同时在最大限度保护用户投资的前提下不断利用迅速发展中的计算机技术和产品。在将要建设的网络中，一定要从网络的互连性、可用性及网络的性能上完全支持和满足现在县政府政务网的全部网络应用，并且能够适应今后相当长一段时间内应用的发展。在本网络设计的过程中，还有一个需要考虑的重要因素就是系统的可靠性。计算机网络系统是整个县政府政务网系统的基石。系统的性能是设计一个网络最基本的依据，在设计中不但要考虑满足今天的应用，而且要考虑到今后相当长一段时间内的发展。县政府政务网网络系统设计基于以下几个原则：技术先进性、性能超前的原则计算机网络技术的发展非常迅速，在计算机应用领域占有越来越重要的地位。必须认识到，建设计算机网络是一个动态的过程，在这个过程中将不断有新技术产生，有新产品出现。因此,一定要采用最先进的组网技术，选用代表当今世界潮流趋势的计算机公司的网络产品，才能在未来的发展中保持技术领先。国际标准及开放性现代网络技术的发展趋势是遵循国际统一标准的开放系统、支持分布式计算和客户机/计算机，运行多种网络操作系统、网络协议，兼容其他厂商的网络产品，遵守国际标准的开放式系统。这样，才能在未来的发展中保持网络配置和应用模式的灵活性。充足的、可扩展的带宽随着应用软件复杂程度的增加，网络用户数量的增长以及多媒体技术的普及，当今网络对带宽的需求日益增加。传统的共享式10M/16M网络已不能满足需求。网络系统应该能为用户提供足够的带宽，满足用户的实际应用需求，并且带宽应该是动态可调整、可扩展的。安全可靠性网络的安全可靠性是网络的一个重要的指标。电子政务网络系统必须绝对可靠，网络设计时必须重点考虑。从结构设计、产品选择以及网络管理上要对网络的可靠性作出保证。安全性与可靠性同样重要，除了系统提供多种安全控制的手段外，网络设计也要提供保障其安全的手段。网络可管理性网络系统的网络是一条信息公路，设计时必须提供足够的手段对信息公路进行方便的管理，以确保其始终保持在最佳状态下运行。没有网络管理功能将很难保证系统的正常运行。实用性网络设计一定要充分保护网络系统现有资源。同时要根据实际情况，采用新技术和新设备，还需要考虑组网过程要与平台建设及开发同步进行，建立一个实用的网络。力求使网络既满足目前需要，又能适应未来发展，同时达到较好的性能/价格比。2.2设计依据1、 国家电子政务标准化指南2、 甘政办函2004 32号文件3、 甘政办发200695号文件4、 甘肃省政务专网（省市县）网络拓扑图2.3电子政务建设的总体目标消除政府信息孤岛 传统办公系统的分散开发和引入，使信息被封存在不同的应用平台和数据库中，定义和采集相互独立，从而形成了许多信息孤岛，大量有用的信息分散在各个“死角”，不能被有效的利用和共享。而建立一个高效的办公自动化环境的首要条件就是保证信息的畅通无阻和高效利用。征服应用孤岛传统OA系统难以与其它系统紧密集成，使得政府机构内部各系统相互独立，数据不一致，需要花大量的人力、物力在不同的应用系统之间切换进行信息分析。因此要求现在的OA系统不仅仅是简单的文档处理和公文流转，而是政府机构全面信息体系的前台构建，它一方面可以完成与后台构建的数据和应用整合，另一方面可以外延扩展其功能应用，搭建适合机构自身应用的电子政务环境，并可根据实际需求扩展应用。解决资源孤岛政府机构内各部门之间的协同，以及政府机构内部与外部资源之间的协同，在这个新信息时代越发凸显其重要性。它要求办公应用系统必须建立一个动态的、可控的、统一的、全面集成和协助化的平台上，从而能协同完成各种复杂的业务处理，共同面对市场环境的变化。而传统的OA系统由于其系统架构相对陈旧，无法很好地建立起这样一个协同运作的环境。三、政务网专线接入方式介绍政务专网提供的主要接入方式有：10/100M以太网接入、ADSL接入、2M数字电路接入等。各接入单位只需在实施中根据自身网络的情况选择适合的接入方式即可。根据甘肃省政务专网骨干网的设备配置和常见的局域网构成情况，目前有以下七种接入方式。 接入方式1：路由器光纤接入方式，局域网出口设备为路由器，采用百兆光纤接入。接入方式2：交换机光纤接入方式 接入方式3：局域网ADSL电缆方式 接入方式4：单台微机ADSL电话线方式 接入方式5：路由器2M/10M转换接入方式 接入方式6：PDH/SDH接入方式接入方式7：远程拨号接入方式 对于驻外办和出差用户，可以采用电话拨号方式接入政务专网。3.1县政府政务专网接入方式选择根据县政府的实际情况，县政府政务网接入政务专网，选择接入方式2比较经济实惠。为了保证政务网的安全，在交换机接入政务专网的出口处部署一台100M的防火墙，采用百兆光纤接入。防火墙不但可以保护政务内网的安全，防止外界对内网的攻击，同时还可以通过防火墙的NAT功能，缓解IP地址不足的问题，对以后网络的扩容和配置更加灵活。 为了保证网络配置的灵活性，核心交换选用神州数码DCRS-5512GC三层路由交换机，在为内部局域网提供数据交换的同时，也为以后增加的三层应用做了准备。DCRS-5512GC是神州数码网络有限公司推出的一款汇聚层千兆路由交换机，提供了12个千兆端口，交换能力高达24Gbps，可全线速进行L2/L3数据转发，适合于作为校园网、企业网、IP城域网的汇聚层设备。12个千兆口中，其中4个是千兆SFP口，可以为以后的网络扩容，光纤连接用；8个千兆Combo口，主要用来连接服务器和二级交换设备用。目前网络中有3台服务器和2台二级交换机共占用5个Combo口，剩余3个Combo用于以后的网络扩容。3.2 县各乡镇政务专网接入方式选择县政府与各乡镇政府采用接入方式3：局域网ADSL电缆方式 各乡镇建立自己的局域网，局域网出口设备为交换机。一般乡镇在物理位置上都比较分散，采用光纤成本比较高，各乡镇接入政务专网可选择ADSL接入，比较经济适用，并且易于实施，通过电信现有的电话线即可实现政务专网的接入。 为保证接入单位内部网络安全并实现地址转换，建议在交换机前端配置防火墙。3.3 政府各部门政务专网接入方式选择在县政府各部门的接入问题上，建议在县城之内通过组建城域网将各县政府下属各部门联入到县政府核心网络，然后再通过电信光缆接入到全省的政务专网。如果各部门统一接入到县政府网络中心条件不允许，也可以将同一栋大楼内的所有部门组建一个局域网，这个局域网的所有用户申请一条统一的电信出口光缆接入政务专网。这样虽然一次性投资比较大，从长远利益考虑，以后在线路租用费上将节省大量的资金。另外也可以每个部门申请一条专线光缆到电信，这样前期投资比较小，但以后的线路租用费用比较高。下图是两种接入方式，做以对比：上面这种接入方式即每个部门独立使用电信付费光缆接入政务专网，每条线路每年需要单独支付线路租用费用，县政府和全县44个部门每年在线路方面将是一个很大的财政支出，并且在性能上并没有优势可言。这种接入方式是县政府下属各部门以县政府为中心建立一个城域网，各部门与政府之间通信通过城域网，不需要再通过电信网络交换，各部门所有线路一次性投资建设，终生享用，并且和县政府之间信息传输不受电信网络的影响，各部门访问专网时，只需要通过县政府信息中心接入，只有县政府需要支付专线接入费用。四、县政府政务内网网络结构4.1 政务内网拓扑图 结构图说明：核心交换机负责整个网络的数据交换。根据目前网络的规模，采用扁平化设计，网络中不设计汇聚层，只有核心层和接入层。在这个星形交换网中运行生成树协议，并利用生成树优化后的协议，智能的实现快速的链路收敛。所以核心层设备选择一台高可靠性的三层交换机DCRS-5512GC。DCRS-5512GC是一款汇聚层千兆路由交换机，提供了12个SFP千兆光口，8个10/100/1000M自适应千兆电口（Combo），可全线速进行L2/L3数据转发，适合于作为校园网、企业网、IP城域网的汇聚层设备。在网络出口部署一台百兆防火墙和核心交换机相连作为整个网络的安全防范核心，配置安全策略对各种攻击和病毒以及P2P流量进行限制，同时部署一套用户安全接入系统，保证网络内部用户接入的安全性，通过以上手段确保网络的安全性。与市上和各县的接入通过电信端高性能模块化路由器来实现。接入层交换机核心交换机1000M接入层交换机接入层交换机1000M1000M接入层主要负责将用户流量引入网络，并且进行必要的网络安全限制和QOS设计。接入交换机以千兆的链路上联到核心交换机。 接入交换机选用DCS-3950系列智能安全接入交换机，千兆上联的二层以太网交换设备,其在安全、运营等方面极具特色，适用于教育、政府、大中型企业的网络接入。DCS-3950系列支持堆叠功能,采取无风扇静音设计，并采取固化上联端口的形式，端口类型组合丰富，为用户组网提供了很大的扩展性和便利性。作为新一代的网络产品，DCS-3950系列交换机具有强大的安全特性，如强大的ACL、防攻击能力可有效抵抗病毒和DOS攻击，保护自身和汇聚、核心设备的安全稳定运行。完全的硬件转发、以及基于ASIC的ACL机制可以在病毒泛滥时使正常数据不受任何影响。DCS-3950-26C固化了2个Combo千兆上联口，或光或电，用户可随心选择；DCS-3950系列交换机支持完整的神州数码增强型802.1x认证计费解决方案，支持按交换机端口和MAC地址方式的认证。实施该套方案后，用户在不通过认证的情况下将无法使用网络，可以有效避免用户私自更改IP对网络的冲击。配合神州数码的安全接入控制与计费系统DCBI-3000和802.1x客户端，可以实现按时长/流量计费，可以实现用户帐号、密码、IP、MAC、VLAN、端口、交换机的严格绑定，还可以防止代理软件，对合法客户发送通知/广告，进行上网时段控制，基于用户动态实现VLAN授权和带宽授权，可基于组策略实现动态IP地址分配而不必使用DHCP服务器等。DCS-3950系列交换机是实现网络运营的非常理想的接入交换机。4.2 服务器部署服务器群是来自整个内网系统大量业务的集合点，对服务器的接入带宽要求比较高，所有服务器通过千兆链路连接到核心交换机。服务器的功能划分如下：内网服务器布局核心交换机数据库服务器操作系统：windows数据库：sql应用服务器操作系统：windows服务：WWW、DHCP应用：OA、文档批注、信息报送邮件系统操作系统：LINUX 考虑到政府部门的工作性质，对数据安全和对不间断提供服务方面的要求较高的特点，因此数据库建议采用双机系统。双机功能特性 工作模式： 主从方式（Active/Standby） 主机工作，从机处于监控准备状态。当主机宕机时，从机接管从机的工作，待主机恢复正常后，按使用者的预定以自动或手动的方式将服务切换到主机上运行。 双工方式（Active/Active） 两台主机同时运行各自的服务工作，且相互监测对方的情况。当一台主机宕机时，另外一台主机立即接管它的工作，保证工作不间断。 特 点： 当一台活动服务器宕机时，其IP地址、服务器名称及运行的作业会自动转移至另一台服务器，客户端软件不需要重新设定，只要重新连结至原来的IP地址及服务器名称即可继续作业； 两台服务器的信息交换可通过：RS232、TCP/IP ROSE HA采取高可靠的错误检测和故障恢复机制减少系统宕机，停机时间并防范错误，提供故障警告； ROSE HA可设定故障排除后自动或手动回复（switch back）； ROSE HA安装时不需要修改操作系统的核心、更改应用软件，也无需特殊的硬件； ROSEHA 提供基于GUI的监控中心，管理员能查看ROSE HA的状态、检查错误信息和警告、修改系统参数及从远程工作站管理ROSE HA系统； 与数据库无关，可以支持各种数据库，包括ORACLE、Sybase、Informix等 。 Private Net 私用网络两台服务器通过私用网络心跳（HeartBeat）信号，使两台服务器能够相互了解对方的运行情况。为了避免不必要的失效切换，最好建立两条独立的物理路径作为通讯路径。 RS-232 Socket Private Net:配置服务器空闲的串口作为一条通讯路径。 TCP/IP Socket Private Net:两台服务器的网卡用反线（back to back)直接或通过LAN建立一条通讯路径。 如果所有的私用网均失效，服务器仍然可以用公用侦测对方服务器的可用性。如果对方服务器仍然可用，不触发接管动作；如果对方服务器不可用，立即接管动作。 Public Net 公用网络客户端通过此网络与服务器通信，当两台服务器互为备份。对于不同的服务，可以用不同的公用网连接到两台服务器。ROSE HA支持TCP/IP协议，可以在EthernetFastEthernet、FDDI和ATM网上运行。五、网络安全设计5.1网络安全需求分析网络安全隔离：网络虽然给单位的工作带来极大的便利，但也给黑客或破坏者带来了破坏的空间。因此网络间必须进行有效的安全隔离。在这一点上网络方案采用内网、专网、外网物理隔离，保证了网络的安全。网络病毒的防范：网络病毒将会对网络的重要数据的安全、网络环境的正常运行带来严重危害，因此防止计算机网络病毒是安全工作的重要环节。随着网络的发展和普及，日常应用甚至很多重要信息的处理都依赖于网络进行。同时来自网络的安全威胁日益增多，而且攻击与病毒结合越来越紧密，统计数据又证明很多威胁并不是以网络外部入侵的形式进行而是以各种方式先进入内部网络再进行破坏，所以现代的网络安全与防病毒已经紧密结合，成为一套整体的解决方案。满足基本的安全要求，是网络成功运行的必要条件，在此基础上提供强有力的安全保障，是建设网络系统安全的重要原则。网络内部署了众多的网络设备、服务器，保护这些设备的正常运行，维护主要业务系统的安全，是现代网络的基本安全需求。县政府网络应用保障：l 访问控制，确保业务系统不被非法访问。l 数据安全，保证数据库软硬件系统的整体安全性和可靠性。l 入侵防御，对于试图破坏业务系统的恶意行为能够及时主动发现、记录和跟踪，进行实时的防御。l 病毒防范，能够在线更新病毒库，抵御病毒的攻击和侵入。l 来自网络内部其他系统的破坏，或误操作造成的安全隐患。网络安全和病毒威胁主要来自以下方面：(1) 操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。(2) 防火墙的安全性。防火墙产品自身是否安全，是否设置错误，需要经过检验。(3) 来自内部网用户的安全威胁。(4) 缺乏有效的手段监视、评估网络系统的安全性。(5) 采用的TCP/IP协议族软件，本身缺乏安全性。(6) 未能对来自Internet的电子邮件夹带的后门病毒及Web浏览可能存在的Java/ActiveX控件进行有效控制。(7) 应用服务的安全，许多应用服务系统在访问控制及安全通讯方面考虑较少，并且，如果系统设置错误，很容易造成损失。(8) 传播性、破坏性强的病毒出现得越来越频繁，众多的传统病毒、蠕虫和特洛伊木马等令普通的用户防不胜防。网络安全与网络性能和功能的关系构建网络安全系统，一方面由于要进行认证、加密、监听，分析、记录等工作，由此将影响网络效率，并且降低客户应用的灵活性；另一方面也增加了管理费用。但是，来自网络的安全威胁是实际存在的，特别是在网络上运行关键业务时，网络安全是首先要解决的问题。选择适当的技术和产品，制订灵活的网络安全策略，在保证网络安全的情况下，提供灵活的网络服务通道。采用适当的安全体系设计和管理计划，能够有效降低网络安全对网络性能的影响并降低管理费用。应用系统的安全休系应包含：访问控制：通过对特定网段、服务建立的访问控制体系，将绝大多数攻击阻止在到达攻击目标之前。检查安全漏洞：通过对安全漏洞的周期检查，即使攻击可到达攻击目标，也可使绝大多数攻击无效。攻击监控：通过对特定网段、服务建立的攻击监控体系，可实时检测出绝大多数攻击，并采取相应的行动（如断开网络连接、记录攻击过程、跟踪攻击源等）。加密通讯：主动的加密通讯，可使攻击者不能了解、修改敏感信息。认证：良好的认证体系可防止攻击者假冒合法用户。备份和恢复：良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。多层防御，攻击者在突破第一道防线后，延缓或阻断其到达攻击目标。隐藏内部信息，使攻击者不能了解系统内的基本情况。设立安全监控中心，为信息系统提供安全体系管理、监控，渠护及紧急情况服务。网络安全的管理因素网络安全可以采用多种技术来增强和执行。但是，很多安全威胁来源于管理上的松懈及对安全威胁的认识。安全威胁主要利用以下途径：l 系统实现存在的漏洞。l 系统安全体系的缺陷。l 使用人员的安全意识薄弱。l 管理制度的薄弱。良好的网络管理有助于增强系统的安全性：l 及时发现系统安全的漏洞。l 审查系统安全体系。l 加强对使用人员的安全知识教育。l 建立完善的系统管理制度。如前所述，能否制定一个统一的安全策略，在全网范围内实现统一的安全管理，对于信息网来说就至关重要了。安全管理主要包括两个方面： 内部安全管理：主要是建立内部安全管理制度，如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。 网络安全管理：在网络层设置路由器、防火墙、安全检测系统后，必须保证路由器和防火墙的ACL设置正确，其配置不允许被随便修改。网络层的安全管理可以通过防火墙、安全检测、网络病毒防治以及网管等一些网络层的管理工具来实现。5.2常用安全解决技术基于以上的分析，网络系统涉及到各方面的安全问题，整个网络的安全体系必须集成多种安全技术实现。如虚拟网技术、防火墙技术，入侵监控技术、安全漏洞扫描技术、病毒防护技术、加密技术、认证和数字签名技术等。下面就以上技术加以详细阐述：5.2.1虚拟局域网（VLAN）现代网络大都使用按照部门、地域、mac地址等策略来将整个网络划分成若干个隔离的网络，相互之间无法访问。再通过vlan间路由和访问控制列表结合的方式来实现对接入对象的访问控制。同时在网络性能上还隔离了广播，把整个网络划分为几个广播域，防止了广播风暴。但是近年来，在VLAN理念上逐渐发展起来的三层接入方式逐渐得到推广，最大限度的实现了端口、广播的控制，同时简化了网络的配置和运行。5.2.2防火墙防火墙是现在比较成熟的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。Firewall可以提供对系统的访问控制，如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的Mail Server和Web Server。使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Finger和DNS。Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。提供了制定和执行网络安全策略的手段。5.2.3病毒防护病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联，病毒的传播途径和速度大大加快。现代病毒不止冲击服务器主机、客户机，而且还开始向冲击网络设备与网络运行的方向发展，如“红色代码”、“冲击波”、“振荡波”等蠕虫病毒。5.2.4用户安全接入系统网络安全除防御外部的攻击黑客外，内部用户接入也要考虑安全。在本次设计中选用神州数码DCBI-3000(EN)用户管理系统。DCBI-3000(EN)可跨平台管理的、基于专用硬件的、更加成熟稳定的第3代安全接入控制与认证计费综合管理系统。该系统采用标准Radius协议、扩展Radius协议和神州数码为园区网安全运营特点所扩展的增强型802.1x协议，来实现对标准/增强型的802.1x、PPPoE、Web+DHCP的认证授权计费等功能，并与神州数码增强型802.1x、PPPoE、Web+DHCP的系列设备结合，实现灵活、安全的用户认证、管理和计费。5.2.5认证和数宇签名认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。 认证技术将应用到网络中的以下方面： (1) 路由器认证，路由器和交换机之间的认证。 (2) 操作系统认证。操作系统对用户的认证。 (3) 网管系统对网管设备之间的认证。 (4) VPN网关设备之间的认证。 (5) 拨号访问服务器与客户间的认证。 (6) 应用服务器(如Web Server)与客户的认证。 (7) 电子邮件通讯双方的认证。 数字签名技术主要用于： (1) 基于PKI认证体系的认证过程。 (2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。 UserName/Password认证该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但由于此种认证方式过程不加密，即password容易被监听和解密。 使用摘要算法的认证Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)进行认证，由于摘要算法是一个不可逆的过程，因此，在认证过程中，由摘要信息不能计算出共享的security key，敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。 基于PKI的认证使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘要算法、不对称加密、对称加密、数字签名等技术，很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。5.3县政府政务网安全解决方案按照县政府网络的实际情况，规划网络安全主要考虑以下几个部分。可以一步到位建设，也可以按照网络部署的不同阶段分布实施。 建立完善的边界防护体系来自网络外部的威胁越来越大，需要在县政府的网络边界处提供强有力的防护，因此需要在网络边界处部署防火墙，将其网络与外部网络隔离开来。 建立防病毒体系现在病毒的危害性越来越大，为了保证网络的安全，在县政府网络中部署覆盖全面的防病毒体系。实现全网内的网络杀毒策略，同步病毒代码更新，避免因个别机器感染病毒而造成网络瘫痪。确保每一个进入网络的用户都是合法的、可控的。其行为能够予以记录。保证网络的健康稳定运行。出现问题有据可查。对终端用户的身份、权限、行为都可以进行控制和保证。5.3.1边界防护子系统防火墙就是运行于软件和硬件上的，安装在特定网络边界的，实施网间访问控制的一组组件的集合。它在内部网络与外部网络之间形成一道安全保护屏障，防止非法用户访问内部网络上的资源和非法向外传递内部信息，同时也防止这类非法和恶意的网络行为破坏内部网络。防火墙是实现网络边界隔离的首选设备，它可以让用户在一个安全屏障后接入互联网，还可以把单位的公共网络服务器和内部网络隔开，同时也可以通过防火墙将网络中的服务器与网络逻辑分离，进行重点防护。部署防火墙的目的就是保护一个网络不受来自另外网络的攻击。在方案中选择DCFW1800S防火墙系统，不仅能够提供足够的防火墙性能，而且完全能够满足未来县政府的网络发展需要，并对来自外部网络的用户进行访问控制。安全控制策略： 防火墙设置为默认拒绝工作方式，保证所有的数据包，如果没有明确的规则允许通过，全部拒绝以保证安全； 配置防火墙防DOS/DDOS功能，对Land、Smurf、Fraggle、Ping of Death、Tear Drop、SYN Flood、ICMP Flood、UDP Flood等拒绝服务攻击进行防范，可以实现对各种拒绝服务攻击的有效防范，保证网络带宽； 配置防火墙全面攻击防范能力，包括ARP欺骗攻击的防范，提供ARP主动反向查询、TCP报文标志位不合法攻击防范、超大ICMP报文攻击防范、地址/端口扫描的防范、ICMP重定向或不可达报文控制功能、Tracert报文控制功能、带路由记录选项IP报文控制功能等，全面防范各种网络层的攻击行为； 根据需要，配置IP/MAC绑定功能，对能够识别MAC地址的主机进行链路层控制；由上往下的访问控制规则： 建议在两台防火墙上设定严格的访问控制规则，对实现总部网络访问下级网络的严格控制，只有规则允许的IP地址或者用户能够访问下级网络中的指定的资源，以避免总部网络可能会对下级网络的攻击、非授权访问以及病毒的传播；由上往下的访问控制规则： 建议在两台防火墙上设定严格的访问控制规则，对实现下级网络访问总部局域网的严格控制，只有规则允许的IP地址或者用户能够访问总部局域网的指定的资源，以避免下级网络中复杂的用户可能会对总部网络的攻击、非授权访问以及病毒的传播；其他可选策略： 可以启动防火墙身份认证功能，通过内置数据库或者标准Radius属性认证，实现对用户身份认证后进行资源访问的授权； 根据需要，在两台防火墙上设置流量控制规则，实现对网络流量的有效管理，有效的避免网络带宽的浪费和滥用，保护网络带宽； 根据应用和管理的需要，设置有效工作时间段规则，实现基于时间的访问控制，可以组合时间特性，实现更加灵活的访问控制能力； 在防火墙上进行设置告警策略，利用灵活多样的告警响应手段（E-mail、日志、SNMP 陷阱等），实现攻击行为的告警，有效监控网络应用；启动防火墙日志功能，利用防火墙的日志记录能力，详细完整的记录日志和统计报表等资料，实现对网络访问行为的有效的记录和统计分析；防火墙部署方案特点u 高安全：防火墙的安全特性主要体现在以下几个方面：u 防火墙自身的安全性：指防火墙抵抗针对防火墙系统自身攻击的风险，很多防火墙自身都存在一些安全漏洞，可能会被攻击者利用，尤其是一些基于Linux操作系统平台的防火墙；u 防火墙安全控制能力：主要指防火墙通过包过滤、代理或者状态检测等机制对进出的数据流进行网络层的控制，一般防火墙都支持状态检测机制，状态检测已经是一种比较成熟的模式，不存在太多的差别，关键的差别在于对不同应用协议的支持能力，尤其是一些语音、视频等相关的协议；u 防火墙防御DOS/DDOS攻击的能力：所有的DOS/DDOS攻击的流量只要经过防火墙，防火墙必须有足够强的能力处理这些数据流，并且能把这些恶意数据有效的过滤掉，对相关的网段提供性能保护。u 高层应用协议的控制能力：防火墙应该能够对一些常见的高层协议，提供细粒度的控制和过滤能力，比如可以支持WEB和MAIL的过滤，可以支持BT识别并限流等能力；5.3.2安全接入系统神州数码网络有限公司DCBI-3000(EN)是一套可跨平台管理的、基于专用硬件的、更加成熟稳定的第3代安全接入控制与认证计费综合管理系统。该系统采用标准Radius协议、扩展Radius协议和神州数码为园区网安全运营特点所扩展的增强型802.1x协议，来实现对标准/增强型的802.1x、PPPoE、Web+DHCP的认证授权计费等功能，并与神州数码增强型802.1x、PPPoE、Web+DHCP的系列设备结合，实现灵活、安全的用户认证、管理和计费。主要特征如下： 支持802.1X、web等认证协议 实现队用户帐号、PC机IP地址、PC机MAC地址、交换机IP地址、交换机端口、V1an ID、用户Email帐号等多属性的任何绑定，实现精确的用户管理 防止用户私设Proxy Server 防止用户私设DHCP Server 防止用户私设IP地址冲突 防止非法用户接入，防止帐号盗用 支持强制用户下线功能 支持帐号漫游 账号唯一性 在线用户实时查询功能 支持批量用户处理 支持对非法用户的实时管理，如实时下线 支持用户自服务功能，包括用户在线修改密码、修改资料、查询上网记录等 支持时段接入控制功能，可以设置用户在不同的时间对网络的访问权限 支持内网802.1x安全控制、外网DCBA-3000/8000认证计费的二次转一次认证5.3.3防病毒子系统这一部分推荐使用专业领域友商产品。国内较知名的品牌有瑞星、金山、江民等，国外知名厂商有赛门铁克、诺顿、咔吧斯基、安博士等。本方案中选用瑞星网络版防毒软件。六、中心机房建设6.1机房建设方案的指导思想a、合理分布工作空间及各类设备安装场所，缩短工艺流程，降低劳动强度，提高工作效率，确保电子计算机系统稳定可靠运行，保障机房工作人员良好的工作环境,并且以国家有关标准及规范为依据。b、 根据用户提出的要求与现场实际情况以及计算机系统实际操作运行等情况进行设计，力求在设计、选材中做到整体布局的合理化和科学化。c、 机房各项功能完整配套，达到专业规范、技术先进、经济合理、安全适用、质量优良、管理方便之目的。 d、在经济实用的前提下，选择优质机房专用装修材料，主体装修材料宜选用吸音效果好、不易变形、变色、易清洁、防火性好，且高度耐用的材料，达到最佳装修效果。 e、 室内控制设备、电器设备、布线系统的选材我们注重其可靠性，全部采用符合国家标准的优质产品，以确保系统投入运行后故障率为最低。6.2地面处理中心机房区域地面采用高品质抗静电全钢通路活动地板，其结构上、下均为全钢结构，中间用混凝土填充。整个地板均用落地平面90mm90mm，顶端70mm70mm，支撑柱为150mm的龙架铺设。根据具体情况地板留有适量出线孔。由于机房采用下进线方式，地板下要敷设走线槽和通风，地板净高一般控制在10-50cm左右。采用全钢联网支架的地板，将接地线一端接在建筑物接地体，一端接在最近的支架上。连接示意图如右图所示。6.3吊顶处理 在吊顶之前，我们首先考虑顶部防水措施，对现有管道接口