第一篇:国家电子政务内网建设顶层设计重构版
国家电子政务内网建设顶层设计
大连倚天软件股份有限公司
2014年3月
目录
第一章
1.1 1.2 1.3 1.4 第二章
2.1 2.2 2.3 2.4 2.5 2.6 第三章
3.1 3.2 第四章
4.1 4.2 4.3 第五章 综述...........................................................................................5 建设背景..................................................................................5 建设目的..................................................................................7 建设内容..................................................................................7 建设原则..................................................................................8 电子政务系统理论分析..........................................................9 政府资源规划模型..................................................................9 电子政务发展演化模型........................................................10 组织人事管理模型................................................................10 业务流程模型........................................................................11 信息资源模型........................................................................12 大技术融合模型....................................................................13 顶层设计与整体架构............................................................14 MART模型............................................................................14平台开发模式........................................................................15 统一组织授权与管理平台....................................................17 基于组织的授权访问控制(OB4LAC).............................18 分级分布式动态柔性组织人事管理....................................18 CA中间件..............................................................................19 统一信息资源管理平台........................................................19 5.1 5.2 5.3 5.4 5.5 大数据平台建设....................................................................20 信息资源元数据管理............................................................21 综合资源主题数据库............................................................21 信息资源目录服务体系........................................................22 安全性建设............................................................................22 第六章
6.16.26.36.46.56.65.5.1 数据完整性................................................................23 5.5.2 数据保密性................................................................23 5.5.3 备份和恢复................................................................23
统一应用开发平台................................................................24 协同办公业务系统................................................................24 6.1.1 收文管理....................................................................24 6.1.2 发文管理....................................................................25 6.1.3 数字签名....................................................................25 6.1.4 电子印章....................................................................26
安全电子邮件系统................................................................27 领导辅助决策系统................................................................29 内网网站群服务系统............................................................30 跨部门协作专项应用............................................................31 安全性建设............................................................................32 6.6.1 身份鉴别....................................................................32 6.6.2 安全标记....................................................................33 6.6.3 访问控制....................................................................33
第七章
7.17.27.36.6.4 可信路径....................................................................33 6.6.5 安全审计....................................................................33 6.6.6 剩余信息保护............................................................34 6.6.7 通信完整性................................................................34 6.6.8 通信保密性................................................................34 6.6.9 抗抵赖........................................................................34
6.6.10 软件容错....................................................................34 6.6.11 资源控制....................................................................35
基础设施技术融合................................................................35 基础设施层............................................................................36 7.1.1 政务信息网网络结构................................................37
7.1.2CA认证......................................................................37 7.1.3 数据共享....................................................................37 7.1.4 网络信任域................................................................37
网络层....................................................................................38 7.2.1 域名建设....................................................................39
7.2.2
IPv6建设....................................................................39 7.2.3 安全性建设................................................................40
主机层....................................................................................41 7.3.1 服务器........................................................................42 7.3.2 数据库........................................................................42 7.3.3 存储管理....................................................................42
7.3.4 7.4 安全性建设................................................................43
国产软硬件应用....................................................................46 7.4.1 7.4.2 7.4.3 7.4.4 国产操作系统产品....................................................46 国产中间件产品........................................................47 国产数据库产品........................................................47 国产服务器产品........................................................48
第八章 第九章 第十章 组织保障................................................................................48 信息安全保障........................................................................49 应用部署................................................................................49
第十一章 运行保障................................................................................50 第十二章 服务实施................................................................................51
第一章 综述
1.1 建设背景
党的十八大政府报告中提出:“建立健全权力运行制约和监督体系。推进权力运行公开化、规范化,完善党务公开、政务公开、司法公开和各领域办事公开制度,健全质询、问责、经济责任审计、引咎辞职、罢免等制度,加强党内监督、民主监督、法律监督、舆论监督,让人民监督权力,让权力在阳光下运行。”当前,我们已经身处于“大数据”时代,电子政务网络作为新时期行政权利运行管理的重要载体,发挥着关键作用。要贯彻落实十八大精神,切实发挥行政权利运行管理的重要作用,促使权力运行公开化、规范化,推进电子政务内网的建设工作尤为迫切。
电子政务内网是国家电子政务网络的重要组成部分,全面推进电子政务内网建设和应用,有利于转变党政机关工作理念,改进工作方式,优化工作流程,减少工作环节,降低行政成本,提高工作效率和水平;有利于各级党政机关之间的信息沟通,广泛听取意见和建议,及时了解和准确把握人民群众的利益诉求,实现决策的民主化和科学化;有利于宣传党的路线方针政策,密切党同人民群众的联系,增强党的创造力、凝聚力和战斗力、科学发展观。
随着电子政务内网建设与应用的不断推进,对网络硬件和应用平台的功能与性能要求在不断提高。有效整合网络与信息资源、提高网络综合利用效率、提升网络安全水平、降低网络建设与管理成本已成为亟待解决的问题。
根据电子政务内网建设现状与应用发展需求,拟建设的电子政务内网统一平台建设项目,其目的是实现电子政务内网的统一规划与建设。全面构建党委、人大、政府、政协、法院、检察院等系统的互联互通共享网络体系,实现各级党政机关内部办公业务网络接入电子政务内网,全面推进网络化应用建设;整合网络与信息资源,建立统一完善、方便实用的网络化共享应用平台,实现机关内部、系统内部以及跨机关跨系统的网络化协同办公;关于网络安全方面,习近平主席曾指出:“没有网络安全就没有国家安全,没有信息化就没有现代化”。必须要建立有效的信息安全保障体系,强化电子政务内网网络与信息系统的安全措施,为各级党政机关间的信息交换、工作协调、辅助决策等提供方便快捷、安全保密、规范有序的内部网络办公业务环境。
1.2 建设目的
扎实推进电子政务建设,围绕提高治国理政能力,统筹协调、合理布局、因地制宜、分步实施。整合政府网络资源,构建统一的电子政务网络,推动部门间信息共享和业务协同。加强基础数据资源、政务信息资源建设。完善重点业务系统,稳步推进经济调节、市场监管、社会管理、公共服务等领域的政务系统建设,提高行政效率,推动政府管理创新。不断完善政府门户网站,改善办公方式,加快智慧型政府建设。
1.3 建设内容
加快建设国家级统一的电子政务内网平台。规范国务院、国务院下属各部委及省政府、自治区政府、直辖市政府,省级下属各委办厅局所使用的国家电子政务内网网络连接,整合网络资源,确保安全接入。重点建设中央级平台,尽快实现顶层互联互通。按照业务系统部署和安全管理要求,依托统一的国家电子政务内网平台,建设一个中心,即统一资源大数据中心;三个基础,包括网络规划与建设、数据中心云化建设和信息安全设施建设;五个平台,包括综合服务门户管理平台、统一应用开发平台、移动应用平台、统一身份认证管理平台和数据交换与共享服务平台;六个骨干系统,包括协同办公系统、安全电子邮件系统、领导辅助决策系统、网站群管理系统、移动办公自动化系统和各部委之间需要协同办公所使用的专项应用系统。
开展跨地区跨部门业务应用,实现网络资源的共享共用。建设基于传统IT技术与云技术相结合的安全的供国务院至省级政府使用的满足日常公文传输、电子邮件需求的,涉密的,跨部门的,共享的国家电子政务内网整体框架。
1.4 建设原则
1.统一领导,统筹规划。强化统一领导,完善管理体制,加强沟通协调,统筹规划,统一建设,协同运作,推进电子政务内网建设和应用工作健康有序发展。
2.深化应用,务求实效。结合党政机关各部门的工作实际,深入开展应用需求分析,切实推进共性化、专项化和协同化办公业务应用,全面提高网络化办公应用水平。
3.整合资源,满足共享。在统一建设电子政务内网过程中,充分考虑网络基础设施、网络业务应用系统和信息等资源的有机整合,加大统一规划和建设力度,在确保安全和满足需求的条件下,最大限度提供资源共享,切实发挥资源的最大效益,同时提高对资源的可管理和可维护水平。4.科学发展,保障安全。按照电子政务内网建设要满足应用、保障安全的总体要求,科学规划,构建网络安全体系,优先采用具有国内自主知识产权的产品和服务,努力实现系统可控,确保安全可靠。
第二章 电子政务系统理论分析
2.1 政府资源规划模型
政府资源规划(GRP)是指建立在现在通信技术之上,以优化政府管理和服务,合理配置政府资源为目标的管理系统。政府管理和服务的优化决定于政务流程的优化程度,政府资源的合理配置来源于政务信息的共享程度和政务资源的整合程度。
GRP的两个最为重要的思想为政务流程管理和信息集成。政务流程管理不但需要涵盖政府机构内部的政务工作流程,还需要包括本单位的上下级管理机构的相关流程。信息集成包括了应用集成、数据共享、资源整合。首先,GRP需要集成政府部门已经存在的应用系统,消除应用碎片和信息孤岛;其次,GRP也要求在整个政务流程中实现数据共享,减少政务工作复杂度,同时也能够实现政府信息资源的市场价值和信息增值;最后,资源整合是指要打破各级政府和部门对资源的垄断和封闭,强化政府资源的不断开发、更新和维护,使政府资源真正服务于社会,创在社会效益和经济效益。2.2 电子政务发展演化模型
政府资源规划(GRP)是由信息技术、信息资源、应用、组织与管理四个基本要素组成。各要素之间的互动完成了政府信息资源规划的动态模式,其中应用与组织管理控制是政府资源规划关键考虑因子。电子政务建设无论强调信息技术或其它单个方面都是不合理的,应该从系统的角度来考虑问题。
2.3 组织人事管理模型
实际的政务系统是千变万化的。按照一般信息系统的建设思路,应在对实际政务系统进行详细系统分析基础上,再进行政务系统的设计与开发。但由于政务系统应用的复杂性和个性化要求,以及信息技术的快速发展和用户对信息技术认同与掌握的差异,使得几乎不可能在系统建设之前拿出一个非常完善和持久可用的设计方案。
因此,电子政务建设是一项复杂的系统工程。在电子政务建设过程中,政务是主导,是应用的关键,而电子只是技术支撑,电子政务建设和相应的软件开发必须从管理科学出发,应用系统科学方法对政务系统进行科学分析和抽象,建立相应的系统模型来完成。也就是说,要做活这些模型的生成与管理,建立灵活方便的应用开发平台,以不变的组织理论机理和相对稳定的平台技术支撑环境来适应政务应用万变的需求。这就是本工程方案所遵循的总体思路,也是真正的解决方案。
任何一个政务系统,都是一个特定的组织系统,其内部人员组成都可以抽象成一个层次化组织结构。构建电子政务组织人事管理体系必须从国情出发,综合考虑行政体制现状和电子政务建设的实际,按照电子政务建设的规律,着重解决电子政务的决策、规划、资金管理、基础项目建设、跨部门协调等核心问题,在管理职能、组织机构、运行机制上进行科学的设计,将电子政务纳入规范化管理之中,保障电子政务内网建设的健康发展。
2.4 业务流程模型
业务流程模型是通过对业务流程的理解进行建模,并通过对模型的分析进一步理解和改进业务流程。借助于科学的业务流程建模方法可以获得定义和建模能力从而方便的建立业务流程模型,然后使用统计模块化去分析在现实世界中的流程行为。
业务流程模型中的每一项业务都是由一系列步骤(事务流节点)相互连接完成的,可以通过事务流节点的描述来完成业务流程的整体描述。业务流程模型的基本要素是包含于流程中最基本的、不可或缺的成分。活动、活动之间的连接方式、活动的承担者、完成活动的方式构成了业务流程模型的四个基本要素。其中活动是构成业务流程模型的最基本要素。根据活动之间存在的逻辑关系可以将业务流程模型分为串行业务流程模型、并行业务流程模型和反馈业务流程模型。
串行业务流程模型:前一个活动的输出作为活一个活动的输入,最后一个活动则为流程的输出。
并行业务流程模型:两个活动同时进行、彼此独立,活动之间不构成输入或输出的关系,它们的共同输出才是流程的结果。反馈业务流程模型:前一个活动的输出作为后一个活动的输入,而一个活动的输出又作为前一个活动的输入,两个活动的结果相互控制再产生一定的结果,是一种相互控制的关系。
业务流程模型不仅仅是流程的图形化。流程图形化只是一个静态,二维的流程表现。而业务流程模型中还可以展现随着数据流增加的数据本体并提供分析数据的能力。业务流程模型通常是梳理业务流程,理清业务关系的优先选择。
建立业务流程模型还是实现业务流程再造的基础。业务流程再造是对业务流程做根本性的思考和彻底重建,其目的是在成本、质量、服务和速度等方面取得显著的的改善,使得系统能在最大限度地适应用户需求。业务流程再造追求的是一种彻底的改变,而不是追加式的改进,其目的是追求绩效的飞跃,而不是改善。业务流程再造的基本内涵就是以业务流程模型为中心,摆脱传统组织分工理论的束缚,正确地运用信息技术,达到重建业务流程的目的。
2.5 信息资源模型
1.统一的信息管理平台。整合政府的内网资源,提高政府面向公众的服务能力。基于统一的信息管理平台,可以建立具有高度集成与共享能力的政务内 网系统,加快和丰富政府内网的信息更新,消除信息孤岛,形成具有高度互动与协作能力的政府内网办公环境。
2.充分的可扩展性。为了加强信息资源的有效利用,电子政务信息资源的管理要灵活可变,从数据获取源、信息管理数量、用户访问数目以及信息输出接口 都需要具备可扩展性。同时通过应用系统间的信息沟通对原有的业务系统进行扩展。
3.个性化的信息服务。为建立适应知识经济时代要求的政务综合知识库,以及政务知识交流的场所,需要对相关信息进行主动收集和整理,自动分类和归 并,将人与信息紧密相连,包括跟踪和分析用户的浏览内容和习惯,随时更新用户的个人档案,无需人工干预,提高工作效率,以准确,完整、实时的信息数据来适 应和支持政府组织机构和多种业务处理上的变化。
4.迅捷、安全、可靠的基于物理隔离的信息安全机制。
2.6 大技术融合模型
技术融合是指按照一定的技术原理或功能目的,将两个或两个以上的单项技术通过重组而获得具有统一整体功能的新技术的创造方法。它往往可以实现单个技术实现不了的技术需求目的。
面对复杂多变的竞争环境和不断涌现的非连续性的技术变化,传统的单一技术开发模式已不能快速适应创新需要,取而代之的将是面向需求的大技术融合策略。
大技术融合的本质就是最优化的综合统筹设计,一个大型的电子政务内网建设,包括计算机软件、硬件、操作系统技术、数据库技术、网络通讯技术等的融合,以及不同厂家产品选型,搭配的融合,大技术融合所要达到的目标是整体性能最优,即所有部件和成分合在一起后不但能工作,而且全系统是低成本的、高效率的、性能匀称的、可扩充性和可维护的系统。
第三章 顶层设计与整体架构
3.1 MART模型
电子政务管理是一项复杂的巨系统工程,涉及组织管理、相关业务与应用处理、各种资源和技术支撑体系。MART(Management-Application-Resources-Technology)模型从组织管理(Management)、业务应用(Application)、信息资源(Resources)和信息技术(Info.Technology)的系统整体性出发,诠释信息化发展宏观体系架构和整体性。提出信息化促进资源的集约、业务的集成及组织的协同;信息技术是应用系统构建基础,其选择必须适应组织管理、业务应用和信息资源的需要;业务应用产生信息资源,通过业务应用整合而实现信息资源的整合,两者互动、不可分割;业务应用不是由技术来决定,是要根据业务应用的需要选择技术,同时业务应用要适应组织与管理的实际;业务应用是除组织管理以外最重要、最活跃的因素;组织管理是最重要、最活跃的因素、是最高层面的,这与现实世界是一致的,是决定性因素等整体性原则。MART模型除了揭示这些关系原则外,更加注重MART的动态演化和发展,如下图所示,强调动态整体性与协同原则。MART模型是研究信息化顶层架构的基本模型,研究建设电子政务管理系统更应遵循这一模型的理念与思想。
MART模型的动态演化示意 根据MART模型提供的方法,可以从四个层面对电子政务管理系统进行描述:
组织管理与保障(M):电子政务管理系统是一个纵向到底、横向到边的复杂应用系统。通过与各部门电子政务平台的信息互通和资源共享,实现电子政务的纵向到底,即从国家、省、市、县到基层;横向到边,即实现多部门和各地方之间的统筹与协同应对。
业务应用(A):电子政务系统的建设,必须从总体上对电子政务管理系统业务流程进行梳理,整合现有资源,总结各级电子政务管理的共性业务需求,建立分层次应用体系。
信息资源(R):华建敏国务委员指出,要立足当前,着眼长远,充分整合现有资源,依托政府系统电子政务建设,实现多网整合,避免重复建设;注重内容、讲求实效。要避免出现只重视平台硬件建设,而忽视信息内容建设的现象。平台仅是载体,更为重要的是信息源建设和信息本身的完备性、实施性和标准化,只有这样才能实现多部门之间的协同应对。
信息技术(T):随着信息时代的日益发展,GIS、GPS、RS、视频监控、电话服务等各项技术日臻成熟,可以为电子政务管理系统提高有利的技术保障。
3.2平台开发模式
由于电子政务管理系统等政务系统自身的复杂、多变性,加之信息化项目的规模越来越大,传统的系统开发模式越来越不能满足需要,特别是当前很多用户对自身的需求很模糊,提不出一个相对不变的需求,因此需求调研所得到的信息往往是片面的、甚至是错误的,据此开发的项目交付用户以后功能调整、变动是难免的!这种情况下修改代码、重新测试在所难免,由此带来的问题是工作量剧增,系统稳定性下降,系统地整体性、完整性受到影响,有时甚至造成整个项目的失败!
信息系统开发模式正在向新的平台式开发模式前进。依据电子政务开发规范和相应的范例,相对一类业务应用,抽取一些通用的业务模型(如微操作模型),然后研发或从第三方供应商产品中遴选出各种软件组件、中间件和工具类,最后利用这些组件组合成相应的开发平台。平台相对独立于具体业务系统,它是对应用类业务领域的系统化的知识、方法和工具的支撑环境。利用这样的平台可以开发各种业务系统,平台支持用户级的二次开发,可以管理操作集、数据库对象、用户、岗位、角色、权限分配和输入输出模板等。使用平台开发业务系统方便、快捷、灵活,当用户的需求发生变化时,不需要修改程序代码,彻底解决了需求不固定、需求经常变化带来的种种问题。而且使用平台开发的系统具有性能稳定、执行效率高等优点,是未来信息化建设发展的方向。
以系统开发的核心技术为基础,融合现代化管理理念、原理和方法,形成产品化技术,开发出电子政务办公应用开发平台,可完成办公业务模块开发和服务。
平台在设计上充分应用系统科学中的系统工程的理论思想,构造时立足于政务信息系统的整体,统筹全局,注意对认识不确定性及管理过程多变性的考察与研究,通过大量建模与数学方法的推理,制作出如角色网络、业务功能操作集、任意格式报表、多级安全滤网等一系列基本要素模块,为进行政务系统的复杂运动状态的信息化及对其运动规律的揭示打下坚实的基础。
平台就是在充分考虑各种业务需求变化的基础上,结合上述各种学科技术及思想而研制开发出来的。用形式化的界面对各种变化多端的信息进行管理,可生成输入/输出界面、可生成用户可用的操作、可生成信息的存储结构、可生成信息的流转过程、可生成信息的安全过滤机制,整个处理过程都是以生成器的面貌出现,打造一个信息全视角的生成器平台。
平台的所有的技术都是在统一技术支撑体系下,自己独立开发的,对于系统的管理和维护,可以实现分布式管理,而且系统符合政府对信息安全的技术要求,同时系统充分考虑了以后的系统发展方向,以保证系统的扩展性要求。
第四章 统一组织授权与管理平台
组织与授权管理开发平台是整个国家电子政务内网平台办公系统的支撑和开发平台,包括一整套从组织机构、业务逻辑等基础数据的组织分析到管理行为信息化的全方位的开放式的管理系统。以友好的界面对各种变化的信息与业务需求进行管理和维护,可动态的生成用户操作界面、自定义申请表信息、办公事项的流转过程和信息的安全过滤机制等。组织与授权管理系统开发平台还是信息安全基础设施的一个重要组成部分。目的是向用户和应用程序提供授权管理服务,主要负责向应用系统提供与应用有关的授权管理服务,提供用户身份到应用授权的映射功能,提供与实际应用处理模式相对应、与具体应用系统开发和管理无关的授权和访问控制机制。4.1 基于组织的授权访问控制(OB4LAC)
传统的基于角色的授权访问控制RBAC在大规模多级多部门多应用系统环境下,仍不能有效地减少授权工作量,同时与组织人事的管理理念仍有脱节。OB4LAC从管理、信息系统和安全基础技术的综合整体出发,以组织人事管理为基础,首先,按照物理世界的组织机构体制,把人员与机构岗位进行逻辑分离,增加机构岗位层。同时,将角色相对细化,并形成角色关联网络层。操作功能集是一业务系统所提供的所有服务和资源总合。
OB4LAC模型具有RBAC的所有优点,可以组合采用MAC和DAC等访问控制策略。此外,它能够更加高效和符合管理科学规范地进行授权管理,通过与组织管理的绑定和岗位层的逻辑分离,可以把组织授权管理系统与业务系统相分离,作为一个基础系统为相应组织的所有业务应用系统提供统一组织授权管理支撑环境,把简单的用户管理上升为组织管理高度,为单点登录、责任界定和认定、业务协同和资源共享奠定组织保障。OB4LAC模型具有很好的管理、业务和技术相容性,便于实施和开发,所以具有较好的可行性。
4.2 分级分布式动态柔性组织人事管理
分级分布式动态柔性组织人事管理实现对各级组织架构、内部人员基本信息的分布式管理,实现人员与岗位的对应关系配置管理,提供多对多映射,提供基于CA环境的集中统一的用户身份认证、授权、责任认定等管理机制,提供分级管理、必要的目录服务以及相关查询统计接口。建立对现实世界组织机构运行机制与管理方式的仿真,满足应急管理系统的分级分布式动态柔性组织管理需要。
4.3 CA中间件
CA中间件具有两大核心功能,一是与组织授权管理系统深层绑定,以解决组织人事的认证,同时,通过组织间的信任,转换证书联通信任路径,就象物理世界中,不同组织的工作证可以通过单位间的信任而相互认同。二是对不同的CA环境进行标准化的应用封装,以便各应用系统与不同CA环境的集成。
CA中间件除了封装传承一般CA的认证、签名、加解密和时间戳等功能外,主要工作是要支持尽可能多的CA产品。同时,结合组织授权管理系统,需要考虑连接不同CA环境下的CA中间件间的信任互联方法和策略等问题。
基于组织与授权管理系统开发平台,可以极大的简化具体电子政务系统的开发与维护。能够及时快速反应,加快行政职能部门内部以及各行政职能部门间的信息流转、处理、协同和共享,并及时对外发布,全面提高办事效率和决策效能。
第五章 统一信息资源管理平台
电子政务内网数据层建设在结构上以基于大数据平台的信息资源共享服务体系为中心,整合平台上的各种信息资源。在信息类型上,涵盖了以不同方式读取、不同格式存储的信息资源;在服务对象上,涵盖了国务院、国务院下属各部委及省政府、自治区政府、直辖市政府、省级下属各委办厅局所有内网用户,为领导宏观决策和跨部门专项应用提供信息支持;在服务功能上,涵盖了信息资源的定位、交换、整合与应用服务,用户可以通过信息资源目录检索信息实体,进行信息交换,实现信息整合,为其他业务系统应用提供数据支持。
数据层建设主要包括大数据平台建设、信息资源元数据管理、信息资源目录服务体系建设和信息资源交换与共享平台建设等。
5.1 大数据平台建设
在国家层面建设统一的大数据平台,为需要数据服务的部门和单位提供数据服务,此平台由国家级信息化主管部门负责建设和管理,实现从传统的部门间协商信息资源共享模式,改为“部门-大数据平台-部门”模式,保证数据的一致性、权威性。同时,大数据平台可以设置为公共数据部分和部门特别需要的部分,为有需要的部门和单位提供大数据分析、预测报告,为政府决策和评估提供科学的依据。大数据平台信息采集上可以充分利用云计算技术,整合现有的网络、硬件设备和数据资源,初期对分散在各部门的数据进行抽取和索引,数据存储仍在政府部门,随后逐渐将数据存储箱大数据平台集中,最终建立一个为各部门保存、查询数据、分析数据提供强大的云端平台。5.2 信息资源元数据管理
信息资源元数据管理主要是由元数据库、统一元数据管理组成,负责对数据库体系的元数据进行定义、管理和维护。通过元数据库系统建设满足数据库系统的标准化设计和管理。
元数据库是数据标准的组合,负责定义、描述并管理综合党政业务数据库中数据和相关标准信息。标准体系是元数据的重要组成部分,政务系统数据库的标准体系由基本的公文信息、核心业务信息、专项业务信息、编码和主要的技术流程、审核、审批规则等要求与规范构成。
5.3 综合资源主题数据库
电子政务综合资源数据库本着统一规划、归口建设、综合利用的原则,分别由各单位根据自身的业务系统建设数据库,进而建成一个比较完善的信息资源共享服务体系。建议分为公用主数据库和政府各部门分类系统数据库。
公用主数据库主要包括领导文稿库、政策文件库(包括国务院、各部委、省级政府发布的政策文件)、法律法规数据库、国内动态信息库、新华社信息库、督查信息库、政务建设信息库、专题文献数据库、对外交流信息库、领导动态信息库、音像资料库等,可根据业务需要随时动态建立子库并使用。政府各部门分类数据库主要满足政府各部门办公业务需要的各类数据库。5.4 信息资源目录服务体系
为了解决信息孤岛问题,通过政府内部横向部门和纵向部门间的信息目录与业务功能目录的相互转换、挂接、交换与集成,能够共享信息资源,逐步完善电子政务中信息资源整合、应用系统整合、政府业务整合。
政务信息资源目录服务体系在于把信息资源目录和应用服务目录加以抽象梳理,并给予科学管理。从而支持信息资源与应用服务的授权、鉴权及目录的集成与交换。信息资源目录是揭示信息资源结构、指导用户使用的检索工具,是用户迅速、准确、有效地寻找信息的向导,是对信息资源实施安全保护的有效手段。
建立目录服务实现对系统的资源进行统一的管理与配置,对单位报送数据进行统一的数据分类、数据目录及报送目录管理与记录管理。目录服务平台除了服务于本系统提供的各类信息资源及应用服务目录管理外,还在于提供系统外其它应用系统的各类信息资源及应用服务目录管理及服务。
5.5 安全性建设
数据层安全性建设主要包括数据完整性、数据保密性和备份与恢复这几个方面。5.5.1 数据完整性
能够检测到系统管理数据、鉴别信息和重要业务数据在传输过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。能够检测到系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性错误时采取必要的恢复措施。对重要通信提供专用通信协议或安全通信协议服务,避免来自基于通用通信协议的攻击破坏数据完整性。
5.5.2 数据保密性
采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性。采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。对重要通信提供专用通信协议或安全通信协议服务,避免来自基于通用协议的攻击破坏数据保密性。
5.5.3 备份和恢复
提供数据本地备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放。建立异地灾难备份中心,配备灾难恢复所需的通信线路、网络设备和数据处理设备,提供业务应用的实时无缝切换。提供异地实时备份功能,利用通信网络将数据实时备份至灾难备份中心。采用冗余技术设计网络拓扑结构,避免存在网络单点故障。提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统的高可用性。第六章 统一应用开发平台
采取“平台+套件+组件”的设计理念和高级封装技术搭建平台。统一应用开发平台采用当前主流的面向服务的SOA架构和Web2.0、Portal等最新科技成果,内部封装了大量成熟而实用的构件,能够快速实现用户整合、数据整合、应用整合、流程整合。
统一应用开发平台能够利用快速开发工具迅速响应需求变化;提供安全工具,在开发过程中的每个环节都可设置安全节点,多种安全机制并行,大大提高了系统的安全性;通过门户工具,实现了与各系统有效的集成和衔接,整合了SaaS中不同的模块功能。
通过统一应用开发平台为基础搭建包括协同办公业务系统、安全电子邮件系统、领导辅助决策系统和需要跨部门协作的专项应用等骨干系统,解决电子政务需求、实现信息共享与系统集成。
6.1 协同办公业务系统
协同办公业务系统主要用于实现收发文管理工作的自动化和智能化。公文管理工作根据具体情况可以实现全部网上办公或者网上办公与手工办理相结合。协同办公业务系统主要完成收文管理和发文管理相关的功能。
6.1.1 收文管理
收文管理指对收到的公文的办理过程,包括文件登记、签收、登记、审核、拟办、批办、承办、催办、传阅、办理结果登记、整理、领导查办、传阅到文件归档等操作,处理反馈、催办、统计、查询等任务,系统支持对来文的扫描件处理,提供完善的流程跟踪(包括单件文件的定点跟踪)和控制。系统对收文的整个流程进行跟踪,详细记录公文的当前状态、办理的过程和拟办、批示意见以及办理结果。依据岗位和角色的不同设置严格的权限控制,并具有文件提醒和催办及文件自动归档功能。用户可根据实际情况确定文件的流转过程,包括串行和并行。
系统中来文单位主要包括国务院、国务院下属各部委及省政府、自治区政府、直辖市政府、省级下属各委办厅局等。来文的形式包括传统的纸质文件和通过网络传输的电子公文两种。
6.1.2 发文管理
发文办理管理系统实现发文拟稿、部门审核、会审、核稿、审核、会签、签发、复核、编号、缮印、用印、登记、分发传阅到文件归档等各项文电管理工作的自动化和智能化。需要支持痕迹保留、流程监控和信息提示等功能。
6.1.3 数字签名
数字签名要结合散列函数和加密算法来实现。通过对一个信息摘要进行加密,并附在消息后面,以确定发送者的身份和该信息的完整性。数字签名技术是信息安全理论与技术的基础和重要保证,将其应用于电子政务中,可以提供身份认证服务、权限控制服务、信息保密服务、数据完整性服务和不可否认服务。从而为电子政务提供了一个安全的环境。
6.1.4 电子印章
电子印章的功能类似于在纸制文档上使用传统印章或手写签名。只不过需要加盖电子印章的对象是电子文档,同时也要求该电子文档能够在网络环境中进行传输。
1电子印章管理
印章制作:主要完成电子印章的制作。分为基本资料录入、制作印章原始位图、从 USBKey 中导入制章者与持章者身份信息,在印章原始位图中嵌入签名信息、将印章相关信息保存至数据库中,完成制章几个步骤。
印章查询:提供电子印章的检索和信息查询操作,并可显示印章的具体信息。
印章撤销:主要完成以存在印章的撤销工作。分为撤章资料录入、撤章、用户身份验证、完成撤章几个步骤。电子印章的使用
盖章前,从服务器上获取印章信息。所有的印章数据集中保存在服务器数据库中,只有拥有印章使用权限的用户经过合法登录通过验证后才能取得印章数据,从而有效的保证了印章的使用权限控制。
盖章时,对电子文档做数字签名,签名数据可以用数字水印技术,嵌入电子印章的图片中。防止文档被篡改。电子印章要用到数字水印技术插入一些印章信息和颁发机构信息,以及一些和文档相关的信息(文档数字签名),这样既可以存储印章的相关信息,又可以保护印章。电子印章的所有对应的公钥和公钥相关信息都可以通过网络在认证中心下载,以方便验证。
验证电子印章和电子文档时,得到电子印章的相关信息,可以连接到服务器上,利用印章制作人公钥对电子印章进行验证。
6.2 安全电子邮件系统
内网安全电子邮件系统主要通过集成数字认证技术建立内网实现针对文档进行不同用户之间的传输,该系统需要基于CA认证体系,并集成内网组织与授权管理系统,可以极大的方便用户进行各种方式的文件传输。内网安全电子邮件系统主要负责在保证邮件信息安全的情况下传递电子邮件,主要包括以下功能:
保存草稿功能:设有信件草稿存储功能,方便用户再次编辑邮件。抄送、暗送功能:抄送功能方便用户同时发同样内容的信给多个用户;而暗送功能可在对其他收信人保密的基础上发送信件。
送件箱:用户可在发信的同时保存信件到送件箱。
邮件分组群发:由于邮件管理系统基于电子政务内网的组织人事管理系统,无须输入对方任何信息,可直接从组织人事系统中提供的通讯录中选取,而且可以方便的同时发给多人。
自动回复:系统可以在有新的信件时自动将用户预设的信息作为一封信件的内容回复给发信人。邮件转发:允许用户把收到的信件转发到由用户指定的其它用户地址支持带附件信件转发,支持信件的原文转发。
定时发信:用户可以在写完信件后设定信件的发送时间,系统就可以在指定的时间将信件发送出去。
邮件检索:用户可选择查询条件,在单个或整个文件夹内按照自定义的关键字进行全文检索查寻邮件,方便信息的查询。
弹性邮箱容量:用户信箱的容量在达到设定值但未到系统极限时,用户可以继续使用邮箱发送和接收邮件,邮箱容量由系统灵活控制。
用户邮箱容量告警:用户的邮件数据在接近设定值时,系统会自动给用户发送告警信件,通知用户以便及时清理邮件,避免发生因邮箱超容而拒收新信件的情况发生。
邮件导出:系统可以将用户选定的邮件导出下载到本地,供用户自由使用。
系统运行监控:系统监控进程自动监测邮件服务进程,如果邮件服务进程意外终止,监控进程会重起相应的服务,保证用户服务的不间断运行。
系统级运行统计日志分析:系统以日志记录邮件系统运行过程中的相应信息,并可以通过设定策略分析以图形方式体现。
对于人员的调整,管理员也可以对通过系统对离职人员的文件进行处理,可以保存或转发,不会因人员的调整而造成信息的流失。6.3 领导辅助决策系统
领导辅助决策系统是通过广泛汇集、整合和挖掘政府职能部门信息资源,为国务院、国务院下属各部委及省政府、自治区政府、直辖市政府、省级下属各委办厅局的领导办公及重大决策提供高层次的、综合性的信息服务系统。系统应用元数据管理、数据挖掘、知识发现等相关技术,集成数据仓库、决策支持、地理信息系统、信息安全等功能,将社会经济文化等信息基于地理信息进行展现和管理,为领导提供全方位的信息和决策支持服务。领导辅助决策系统主要功能包括宏观经济管理、智能决策管理、微观数据管理和自然资源与空间地理信息管理。主要功能包括:
宏观经济管理:实现基于宏观经济指标体系的数据整合、数据对象析取、元数据管理、关联图形等功能。通过包括数据表、图形、文字、图像、视频、动画等多种展现方式,使领导通过浏览数据及其相关图形,即可对当前的经济发展、社会事业、城乡规划、生态建设、人民生活等进行宏观分析。
智能决策管理:在综合数据库的基础上,建立预测分析子系统,运用预测分析、仿真分析行政行为分析等多种模型对各类指标进行计算,并为其他业务应用子系统提供分析报告和统计图表。
微观数据管理:通过对政府部门的数据管理与分析,使领导对政府部门的基本情况有所了解,并提供对各项数据的分析比较功能,为领导决策提供辅助支持。自然资源和空间地理信息管理:通过对全国各地自然资源、区域概况的描述,使领导更好地了解各地区各种资源及环境状况、资源的利用情况、人口总体情况等。
后台管理:提供地图处理、数据交换、模型管理、操作集管理、数据库管理、用户管理等功能,实现方便快捷的二次开发和维护。
6.4 内网网站群服务系统
内网网站群建设包括主网站和子网站建设两部分内容。主网站即是电子政务内网综合服务门户。该门户可以进行内网中所有信息数据的管理,使用特定的流程和功能模块实现门户网站信息数据的创建、维护与发布,其主要功能包括数据整合、业务整合以及界面展现的整合,通过目录交换与集成整合各类信息资源,集成各种电子政务业务系统,提供集成的资源和应用以及统一的协作工作空间,通过web向各种客户机设备提供应用。
内网网站群服务系统向用户提供统一入口,同时为公文系统、信息检索发布系统、综合数据管理、统一消息系统、电子邮箱、多媒体服务等提供个性化的管理和内容聚集功能。同时还包括应用系统集成、资源整合、目录服务与交换、信息搜索与导航、咨询与服务等核心应用。
内网网站群中心主站及子站群,为政府机关内网用户提供全面的信息交换、信息查阅和网络化应用服务。该系统通过与信息资源共享与交换平台结合,将政府机关业已建设的各种网络化办公应用系统产生的有关信息数据进行有效的整合、归类和组织;以综合性网站为展现界面;为政府机关提供业已建设的各种网络化办公应用的入口,方便网络化办公;能够提供具有安全可控、维护方便、灵活定制的强大的后台管理和控制功能。
6.5 跨部门协作专项应用
跨部门协作专项应用要涉及多部门的协作过程, 在这个过程中, 政府成员是协同工作的主体, 信息资源是协同工作的基础, 流程优化是提高协同工作效率的关键。
专项应用协作群体既可以是一个职能部门, 也可以是一个跨部门的组织。它直接面向任务, 面对客户负责, 符合协同电子政务跨部门协同管理的需要。基于这种成员协同工作模式,可以使政府工作实现从点对点沟通模式到立体沟通模式,从串行协同模式到并行协同模式,成员可以并行工作,从而在本质上提升协同效率和工作效果。
专项应用中的信息资源是不可少的重要因素, 政府工作的开展、功能的执行, 以及目标的实现都必须得到政府信息资源的支持。要协调管理各层次结构的政府资源, 在基于大数据平台的信息资源共享服务体系的基础上采取资源协同管理模式实现共享。通过资源目录服务体系, 可获取将位于不同地点、不同服务器和不同应用平台上的资源主题数据库中的数据信息, 实现不同数据源的共享、交换和协作, 从而实现跨部门资源协同管理。专项应用不仅需要解决办公过程中某个独立环节的业务问题, 而且需要将过程中的所有环节衔接起来, 使得上一个环节的业务处理结果能够自动流转到下一个环节, 以便利用或处理。应用工作流技术不仅可以实现动态组织、动态流程的协调和管理, 而且可以实现政府对工作流程的监督和控制。电子政务环境下, 网络和信息技术为成员之间的相互交互、协同工作提供了方便,通过对过程的监督和控制, 可以充分发挥各个机构和部门相互协作的核心优势。
6.6 安全性建设
应用层安全性建设主要包括身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错和资源控制这几个方面。
6.6.1 身份鉴别
提供专用的登录控制模块对登录用户进行身份标识和鉴别。对同一用户采用两种或两种以上组合的鉴别技术实现用户身份鉴别,其中一种是不可伪造的。提供用户身份标识唯一和鉴别信息复杂度检查功能,保证应用系统中不存在重复用户身份标识,身份鉴别信息不易被冒用。提供登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。启用身份鉴别、用户身份标识唯一性检查、用户身份鉴别信息复杂度检查以及登录失败处理功能,并根据安全策略配置相关参数。6.6.2 安全标记
提供为主体和客体设置安全标记的功能并在安装后启用。
6.6.3 访问控制
提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问。访问控制的覆盖范围包括与资源访问相关的主体、客体及它们之间的操作。由授权主体配置访问控制策略,并严格限制默认帐户的访问权限。授予不同帐户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。通过比较安全标记来确定是授予还是拒绝主体对客体的访问。
6.6.4 可信路径
在应用系统对用户进行身份鉴别时,能够建立一条安全的信息传输路径。在用户通过应用系统对资源进行访问时,应用系统应保证在被访问的资源与用户之间能够建立一条安全的信息传输路径。
6.6.5 安全审计
提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计。保证无法删除、修改或覆盖审计记录。审计记录的内容至少包括事件日期、时间、发起者信息、类型、描述和结果等。提供对审计记录数据进行统计、查询、分析及生成审计报表的功能。根据系统统一安全策略,提供集中审计接口。6.6.6 剩余信息保护
保证用户的鉴别信息所在的存储空间被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。保证系统内的文件、目录和数据库记录等资源所在的存储空间被释放或重新分配给其他用户前得到完全清除。
6.6.7 通信完整性
采用校验码技术保证通信过程中数据的完整性。
6.6.8 通信保密性
在通信双方建立连接之前,应用系统利用密码技术进行会话初始化验证。对通信过程中的敏感信息字段进行加密。基于硬件化的设备对重要通信过程进行加解密运算和密钥管理。
6.6.9 抗抵赖
具有在请求的情况下为数据原发者或接收者提供数据原发证据的功能。具有在请求的情况下为数据原发者或接收者提供数据接收证据的功能。
6.6.10 软件容错
提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的数据格式或长度符合系统设定要求。当故障发生时自动保护当前所有状态。当故障发生时立即自动启动新的进程,恢复原来的工作状态。6.6.11 资源控制
当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方能够自动结束会话。能够对应用系统的最大并发会话连接数进行限制。能够对单个帐户的多重并发会话进行限制。能够对一个时间段内可能的并发会话连接数进行限制。能够对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额。能够对系统服务水平降低到预先规定的最小值进行检测和报警。提供服务优先级设定功能,并在安装后根据安全策略设定访问帐户或请求进程的优先级,根据优先级分配系统资源。
第七章 基础设施技术融合
近年来,随着科技的发展和人们对数据处理能力需求的提高,物理服务器数量激增,存储容量大幅增加,再加上分层网络架构的出现,IT复杂度已经达到了前所未有的程度。对不断复杂的基础设施进行日常管理会导致成本不断增加,而且部署期间还要花费大量的时间进行测试和调试,不仅会占用大量的人力资源,而且不利于快速满足业务需求。为了应对这一局面,使用技术手段对IT基础设施进行融合的需求也越来越迫切。
通过对基础设施进行合理的划分,可以分为三个层次,分别是基础设施层、网络层和主机层。基础设施层为电子政务系统提供政务信息以及其它运行管理信息的传输和交换平台和安全服务,可以通过CA认证、数据共享和设置网络信任域的方法将基础设施层进行融合。网络层要实现不同部门以及不同业务之间受控互访和隔离,应当对域名进行科学划分和管理,并采用先进的IPv6技术对网络地址进行统一规划,同时还要按照等级保护的要求确保网络层数据传输的可靠性与完整性。对于主机层可以采用虚拟化的手段合理部署和调整数据处理与计算资源,部署集群与并发处理技术,保障关键业务的不间断运行,引进负载均衡技术,实现不断累加的横向扩容,满足不断增长的数据访问需求。
7.1 基础设施层
基础设施层包括网络基础设施和信息安全基础设施两部分。网络基础设施是为电子政务系统提供政务信息以及其它运行管理信息的传输和交换平台,它是整个电子政务信息的最终承载着,整个网络基础设施可以根据电子政务应用的实际需要划分为业务网、非涉密办公网和涉密办公网等。网络信任域是构建网络基础设施的关键技术之一,它针对互联网的“对等的、无中心的、无管理的”设计思想, 旨在构建一个可以管理的、有中心的网络基础设施。
信息安全基础设施在网络基础设施所提供的信息传输服务平台的基础上,增加面向电子政务应用的通用安全服务,为电子政务应用提供了一个通用的高性能的可信和授权的计算平台,从而使电子政务应用系统能够以便捷而灵活的方式来构建自身的安全体系。7.1.1 政务信息网网络结构
国家电子政务内网是万兆以太网,网络中心设在国家信息安全中心。省级电子政务内网为千兆以太网, 省级网络以ATM纵向相连。
7.1.2 CA认证
建设国家级CA认证中心,以保证政务网上的信息安全,CA 认证主要用于用户身份认证、信息传输、信息加密。国务院、国务院各部委、省及政府及其委办厅局均可设置政务共享平台管理中心, 并运行相应级别的政务共享平台。
7.1.3 数据共享
作为政务信息和数据的集成共享的实现手段,共享平台在政务网中占据了重要地位,它连接国务院、国务院各部委、省及政府及其委办厅局共享成员单位的共享数据库,并对外提供数据共享服务。共享成员单位将内部局域网通过防火墙连接到政务网。根据“一库多用”的原则, 各共享成员单位共享数据库为共享平台提供共享服务的同时,也作为内部办公或业务系统的运行数据库,以实现业务数据与对外共享数据的同步更新。
7.1.4 网络信任域
电子政务网络信任域主要解决电子政务内网在终端设备的安全可信接入、设备的安全可信管理和数据信息的安全可信传输等方面的问题。在政务内网中,通过网络接入认证交换机在网络层提供系统合法的受控接入功能,对接入的设备进行有效的管理和控制,防止内部的恶意破坏和攻击。本地网络信任域管理系统在负责管理本地设备的同时,作为审核注册代理向证书认证中心(CA)申请证书。
逐级分布式网络信任域管理平台对信任域内的接入设备进行管理,确保信任域内的所有设备都是安全可信的。网络信任域平台采用统一发证、分布式逐级管理的模式来组织。所谓统一发证是指建立统一的电子政务设备证书认证管理中心,负责签发电子政务系统中设备的数字证书(PKC), 即构建设备信任服务系统。而分布式逐级管理是指网络信任域按实际的责任和管理范围来划分,每个政务内网为一个基本信任域, 每个信任域都有自己的信任域管理平台,负责本信任域的管理,而基本信任域管理平台则由上一级电子政务网络信任域管理平台负责管理,这样就可以构筑一个责任明确、管理方便、覆盖全系统的安全可信的网络信任域管理体系。
7.2 网络层
在统一的网络层上实现不同部门以及不同业务之间受控互访和隔离。网络促进了政府办公自动化,简化了办公流程,提高了办公效率。而且随着政府信息化程度的加深,政府各级机关部门之间内部的信息交互程度也会随之加深,各级政府的组成部门和直属机构的横向互联以及上下级之间的纵向互联程度也会随之加深,所以统一的电子政务网络肯定要实现不同部门以及不同业务之间的受控互访和隔离。而要实现这一目标,应着重在域名管理、IPv6规划以及安全性方面进行建设。
7.2.1 域名建设
加强域名建设是网络层实现政务信息安全便捷访问的重要基础。随着中央和地方政府部门网站体系的基本形成,建立政府机关“政务”中文域名体系,有利于方便、快捷、准确地访问相应网站应用,获取真实可靠的政务信息。域名体系是互联网应用的基础,一旦遭到破坏将对互联网的安全稳定运行造成致命的打击。有效掌握中文顶级域名资源,有利于保障和维护国家信息安全。政务部门要以机构名称注册“政务”专用中文域名,且机构名称必须与主管机关批准的单位名称相一致。在以非机构名称注册 “政务”专用中文域名时,应与其管理和服务职能具有相关性。
7.2.2 IPv6建设
电子政务内网目前普遍运行的是IPv4业务,并采用MPLS VPN技术来隔离不同的业务。考虑到已有IPv4使用较为普遍,需要逐步将已有ip从IPv4升级到IPv6。
目前主要有两种IPv4->IPv6的过渡技术。一种是隧道技术,即将IPv6协议封装在IPv4报文中穿越IPv4网络,适合为较少的互相独立的IPv6网络(或终端)提供联通性。另一种是双栈技术,网络设备必须同时支持IPv4/IPv6协议栈,这种过渡方式能兼容目前IPv4和IPv6共存的现状,同时又可以平滑的从IPv4升级到IPv6。在电子政务内网可采用双栈技术和隧道技术结合的方式,在骨干网采用双栈技术,在单位局域网可采用隧道技术。
7.2.3 安全性建设
网络层安全性建设主要包括访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范和网络设备防护这几个方面。7.2.3.1 访问控制
在网络边界部署访问控制设备,启用访问控制功能。严格控制带通用协议的数据通过。根据数据的敏感标记允许或拒绝数据通过。严格控制远程拨号访问功能。7.2.3.2 安全审计
对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录。审计记录包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息。根据记录数据进行分析,并生成审计报表。对审计记录进行保护,避免受到未预期的删除、修改或覆盖等。定义审计跟踪极限的阈值,当存储空间接近极限时,能采取必要的措施,当存储空间被耗尽时,终止可审计事件的发生。根据信息系统的统一安全策略,实现集中审计,时钟保持与时钟服务器同步。7.2.3.3 边界完整性检查
对非授权设备私自联到内部网络的行为进行检查,准确定出位置,并对其进行有效阻断。对内部网络用户私自联到外部网络的行为进行检查,准确定出位置,并对其进行有效阻断。7.2.3.4 入侵防范
在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等。当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事件时提供报警及自动采取相应动作。7.2.3.5 恶意代码防范
在网络边界处对恶意代码进行检测和清除。维护恶意代码库的升级和检测系统的更新。7.2.3.6 网络设备防护
对登录网络设备的用户进行身份鉴别。对网络设备的管理员登录地址进行限制。网络设备用户的标识唯一。主要网络设备对同一用户选择两种以上组合的鉴别技术来进行身份鉴别。身份鉴别信息具有不易被冒用的特点,口令有复杂度要求并定期更换。网络设备用户的身份鉴别信息至少有一种是不可伪造的。具有登录失败处理功能,可采取结束会话、限制非法登录次数和当网络登录连接超时自动退出等措施。当对网络设备进行远程管理时,采取必要措施防止鉴别信息在网络传输过程中被窃听。实现设备特权用户的权限分离。
7.3 主机层
在现有高性能主机上,要根据云计算的要求部署虚拟化技术,根据不同时段、不同业务处理的不同需求,动态调整、分配其数据能力和高可靠的服务能力。依照业务需求,通过高级技术手段,合理部署、调整数据处理与计算资源。充分利用现有中、高端设备实现高性能高可靠运算,部署集群与并发处理技术,实现双机一主一备、多机互为主备、以及多机并发工作,以保障关键业务的不间断运行。引进负载均衡技术,充分整合、利用老旧设备,实现不断累加的横向扩容,用以接受不断增长数据访问需求。
7.3.1 服务器
服务器的建设应采用开放式的多层架构体系,多层架构体系包括服务层、应用层、表现层。这种架构体系能够为各个应用系统提供一个统一的高性能、高可靠、可扩展的运行环境。采用负载均衡技术构架应用、表现层服务器,考虑到系统的高并发访问量和系统应用需求的快速增长,表现层服务器和应用服务器应走横向扩容、持续发展的道路,以服务器集群和负载均衡技术满足不断增长且趋于复杂化的用户访问请求、提高访问处理能力/降低响应时间。
7.3.2 数据库
实现多台数据库主机可以同时并行访问数据库,采用集群、并行数据库等技术构建数据库服务。应用可以根据需求均衡到不同主机资源上同时工作,多机互为备份。这种机制依靠系统提供的系统硬件、操作系统集群软件、与数据库提供的并行技术来满足要求。
7.3.3 存储管理
部署虚拟存储技术,整合数据存储资源,保证安全数据备份。数据信息资源是政务信息资源中心最主要、最具价值的“资产”,对数据存储、加工整合、备份等,必须予以高度重视。利用高性能、高可靠的光纤存储局域网技术实现海量数据的在线存储,用于提供数据整合、检索服务;利用磁盘阵列,通过虚拟磁带库和存储虚拟化管理软件实现快速备份与远程灾备中心建设;同时利用虚拟存储技术整合现有的多种数据存储设备,提高设备利用率、保护已有投资,实现数据存储与备份的集中管理、按需调整、可持续发展。
7.3.4 安全性建设
主机层安全性建设主要包括身份鉴别、安全标记、访问控制、可信路径、安全审计、剩余信息保护、入侵防范、恶意代码防范和资源控制这几个方面。7.3.4.1 身份鉴别
对登录操作系统和数据库系统的用户进行身份标识和鉴别。操作系统和数据库系统管理用户身份标识具有不易被冒用的特点,口令有复杂度要求并定期更换。启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施。设置鉴别警示信息,描述未授权访问可能导致的后果。当对服务器进行远程管理时,采取必要措施,防止鉴别信息在网络传输过程中被窃听。为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。采用两种以上组合的鉴别技术对管理用户进行身份鉴别,并且身份鉴别信息至少有一种是不可伪造的。7.3.4.2 安全标记
应对所有主体和客体设置敏感标记。7.3.4.3 访问控制
依据安全策略和所有主体和客体设置的敏感标记控制主体对客体的访问。访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表、记录和字段级。根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限。实现操作系统和数据库系统特权用户的权限分离。严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令。及时删除多余的、过期的帐户,避免共享帐户的存在。7.3.4.4 可信路径
在系统对用户进行身份鉴别时,系统与用户之间应能够建立一条安全的信息传输路径。在用户对系统进行访问时,系统与用户之间能够建立一条安全的信息传输路径。7.3.4.5 安全审计
审计范围覆盖到服务器上的每个操作系统用户和数据库用户。审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件。审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等。保护审计记录,避免受到未预期的中断、删除、修改或覆盖等。能够根据记录数据进行分析,并生成审计报表。能够根据信息系统的统一安全策略,实现集中审计。7.3.4.6 剩余信息保护
保证操作系统和数据库系统用户的鉴别信息所在的存储空间,被释放或再分配给其他用户前得到完全清除,无论这些信息是存放在硬盘上还是在内存中。确保系统内的文件、目录和数据库记录等资源所在的存储空间,被释放或重新分配给其他用户前得到完全清除。7.3.4.7 入侵防范
能够检测到对重要服务器进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警。能够对重要程序的完整性进行检测,并在检测到完整性受到破坏后具有恢复的措施。操作系统遵循最小安装的原则,仅安装需要的组件和应用程序,并通过设置升级服务器等方式保持系统补丁及时得到更新。7.3.4.8 恶意代码防范
安装防恶意代码软件,并及时更新防恶意代码软件版本和恶意代码库。主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。支持防恶意代码软件的统一管理。7.3.4.9 资源控制
通过设定终端接入方式、网络地址范围等条件限制终端登录。根据安全策略设置登录终端的操作超时锁定。对重要服务器进行监视,包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况。限制单个用户对系统资源的最大或最小使用限度。能够对系统的服务水平降低到预先规定的最小值进行检测和报警。
7.4 国产软硬件应用
构建国家电子政务内网从国家安全的角度考虑要在相同条件下尽可能选择国产软硬件产品。可以以国产Linux 操作系统以及中间件、数据库和服务器构成基础平台, 构建一套完整的基于Web 应用的解决方案。
7.4.1 国产操作系统产品
银河麒麟操作系统由863软件重大专项资助,简称KYLIN操作系统。KYLIN操作系统是参照Unix操作系统国际主流标准,针对服务器需求,设计并开发的具有自主版权的中文服务器操作系统。它支持多种微处理器和多种计算机体系结构,具有高性能、高可用性与高安全性, 并与Linux 应用二进制兼容。
KYLIN操作系统采用层次式结构, 由类Mach的基本内核层、类BSD的系统服务层、类Windows桌面环境紧耦合构成。基本内核层由基本任务管理、基本存储、中断管理、设备管理、平台设备支撑环境以及处理器支撑等模块构成; 系统服务层由POSIX、LSB、网络服务等接口以及安全、中文、IPC、高可用、高级存储管理和高级任务管理等模块组成;类Windows桌面环境由桌面环境、集群环境以及包括目录服务器、Web服务器、J2EE 应用服务器等服务器的基础服务环境组成。采用GRUB技术,支持从多种文件系统内进行内核加载, 支持Windows、KYLIN、Linux、BSD等多种系统的引导。在用户认证层次, 系统实现了基于智能卡的强化的用户身份认证机制, 在访问控制层次, 实现了细粒度的自主访问控制列表(ACL)和强制访问控制(MAC)机制。在强制访问控制框架下实现了基于改进的BLP 模型的多级安全策略(MLS)和能力机制(CAP)。支持对主存和磁盘的客体重用, 防止机密信息因客体重用而泄漏;实现了安全审计功能,管理员可以根据需求记录与客体、主体、事件类型等相关的信息;提供了中文图形化的安全配置管理工具。
7.4.2 国产中间件产品
InforWeb 是中创软件商用中间件有限公司的产品,InforWeb 是支持J2EE 和CORBA 的完整的企业级应用服务器, 是构建多层企业应用开发、部署、运行和管理的构件平台。和同类的其他应用服务器相比, InforWeb 不仅从认证与授权、通信传输、内容保护等各个方面来为用户提供全方位安全支持, 而且采用的底层硬件加密技术完全符合国家商密办要求;InforWeb 中集成了报表、工作流等成熟应用构件, 用户可以直接利用这些构件快速构建应用。InforWeb 采用构件化思想, 易于设计实现便于移植、互操作性好的可重用构件, 具有良好的开放性、稳定性、可扩展性和可管理性, 能够快速便捷地进行应用开发和部署, 为构建多层、分布的企业应用提供了一个可靠的平台。
7.4.3 国产数据库产品
KingBase ES 是由北京人大金仓信息技术有限公司研制和开发的具有自主版权的关系数据库管理系统, 该产品能够支持TB 级的数据库存储和1000个以上的并发用户访问, 并且已经实现了跨Windows、Linux 操作系统平台, 具有高度可用性, 经过多次测试应用的、已经有一定市场业绩的成熟产品。
7.4.4 国产服务器产品
浪潮英信NF195 是一款密集的1U 双路服务器产品, 设计结构紧凑, 在有限的空间内完美展现了高性能、高可靠性的特性, 满足对占用空间、网络计算性能有高标准要求的商业应用环境。
国产软硬件基本能满足电子政务的需求,但相互之间的兼容性仍需提高,随着使用的增多,目前这类问题已大幅降低。在电子政务中大力推广国产软硬件是保障信息安全的要求,也是贯彻落实《政府采购法》的要求。
第八章 组织保障
为顺利实现国家电子政务内网建设,全面完成电子政务内网建设目标任务,需要提供有力的组织保障。成立国家级电子政务内网信息化委员会,由国家相关部委领导统一管理和协调,具体主抓电子政务内网建设过程中的组织管理、任务安排,协调部门之间的关系,为电子政务内网建设提供组织保障。为切实加强政务信息化工作的组织实施,确保各项工作落实到位,还要对国务院下属各部委、各省级政府、自治区、直辖市及省级下属委办厅局统一部署和要求,组建专门工作机构,成立“政务信息化管理服务中心”并确定编制。明确工作职责,开展工作,加大对信息中心的领导力度。在健全组织机构的基础上,积极开展电子政务的各项建设。第九章 信息安全保障
制定信息安全服务工作的总体方针、安全策略和操作规程,形成全面的信息安全管理制度。定期或不定期地对安全管理制度进行检查和审定,对存在不足或需要改进的地方进行修订。
设立信息安全管理工作部门,合理划分岗位职责,制定文件明确安全管理机构各个部门、岗位的职责分工和技能要求。
明确授权审批事项、授权部门和批准人。对系统变更、重要操作、物理访问和系统接入等事项严格执行授权流程。制定安全审核和安全检查制度,规范安全审核和安全检查流程,实现安全审核和安全检查。
确保安全产品采购和使用符合国家的有关规定,预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新产品名单。
第十章 应用部署
公共性业务应用要基于内网平台集中部署或审核部署,采用单点部署全局应用的方式,面向各级各部门提供公共应用服务。
协同性业务应用部署要首先确定主建部门和共建部门,建立联席会制度,基于内网平台按照统一的标准、规范和方案部署,共同完成协同业务系统的建设。专有性业务系统由各部门负责建设,领导部门审批建设方案,业务部门基于内网平台按照统一的标准规范建设和部署,由平台提供各类资源服务。
已建业务系统分三种情况迁移部署在平台上。整体迁移先期以托管方式部署,硬件报废后,基于平台部署;有资金的业务系统采用部分基于内网平台部署的方式,为内网平台补充必要的主机和存储;没有资金且软件已开发完成的业务系统采用基于平台完全部署的方式,软硬环境全部由内网平台提供。
第十一章 运行保障
基础运行保障由信息化技术服务机构具体承担,政府各部门统一内网平台的基础设施、骨干传输网络、各级城域网和平台主机、存储、系统软件,以及基于内网平台部署的基础数据库、业务系统和重要门户系统等进行运行维护。
业务运行保障由各业务应用所属部门或第三方运维服务机构承担,对各部门专有业务系统运行和管理进行维护。基于平台部署的业务构件、功能构件、系统软件、运行环境等由基础运行保障提供。
数据运行保障由各部门负责,各部门管理数据资源的运维,基于平台部署的数据运行环境和工具由基础运行保障提供。
第二篇:电子政务内网建设解决方案
电子政务内网建设解决方案
对于电子政务内网,政务专网、专线、VPN是构建电子政务网络的基础设施。安全政务网络平台是依托专网、专线、VPN设备将各接入单位安全互联起来的电子政务内网;安全支撑平台为电子政务内网信息系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑;电子政务专网应用既是安全保障平台的保护对象,又是电子政务内网实施电子政务的主体,它主要内部共享信息、内部受控信息等,这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上;电子政务管理制度体系是电子政务长期有效运行的保证。
电子政务内网系统构成
1)政务内网网络平台:电子政务内网建设,是依托电子政务专网、专线、VPN构造的电子政务内网网络。
2)电子政务内网应用:在安全支撑平台的作用下,基于安全电子政务内网网络平台,可以打造安全电子政务办公平台、安全政务信息共享平台。
3)安全支撑平台:安全支撑平台由安全系统组成,是电子政务内网信息系统运行的安全保障。
电子政务内网系统拓扑图
三级政务内网建议拓扑图
电子政务内网按照等保标准要求,进行安全域的划分。根据不同的划分原则,大致可以分别网络基础架构区、安全管理区、数据处理区、边界防御区、办公区、会议区等安全子区域,在实际的网络设计中,可以根据相关标准,按照实际需要进一步细分,如上图所示。
划分安全域的目标是针对不同的安全域采用不同的安全防护策略,既保证信息的安全访问,又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用程度、安全需求相似程度,并且从方便实施的角度,将整个电子政务业务系统分为不同的安全子域区,便于由小到大、由简到繁进行网络设计。安全域的划分有利于对电子政务系统实施分区安全防护,即分域防控。安全支撑平台的系统结构
电子政务安全支撑平台是电子政务系统运行的安全保障,由网络设备、安全设备、安全技术构成。电子政务安全支撑平台依托电子政务配套的安全设备,通过分级安全服务和分域安全管理,实现等级保护中要求的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,从而保证整个电子政务信息系统安全,最终形成安全开放统一、分级分域防护的安全体系。电子政务安全支撑平台的系统结构下图:
电子政务安全支撑平台系统结构
安全支撑平台的系统配置
1、核心交换机双归属:两台核心交换机通过VRRP协议连接,互为冗余,保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。
2、认证及地址管理系统-DCBI:DCBI可以完成基于主机的统一身份认证和全局地址管理功能。
1)基于主机的统一身份认证。终端系统通过安装802.1X认证客户端,在连接到内网之前,首先需要通过DCBI的身份认证,方能打开交换机端口,使用网络资源。
2)全局地址管理。·根据政务网地址规模灵活划分地址池 ·固定用户地址下发与永久绑定 ·漫游用户地址下发与临时绑定、自动回收 ·接入交换机端口安全策略自动绑定。·客户端地址获取方式无关性
3、全局安全管理系统-DCSM。DCSM是政务内网所有端系统的管理与控制中心,兼具用户管理、安全认证、安全状态评估、安全联动控制以及安全事件审计等功能。
1)安全认证。安全认证系统定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态认证、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。
2)用户管理。不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。
3)安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工作,配合完成端到端的安全准入控制。
4)日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。
其中:安全管理系统代理,可以对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:
1)提供802.1x、portal等多种认证方式,可以与交换机、路由器配合实现接入层、汇聚层以及VPN的端点准入控制。
2)主机桌面安全防护,检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到认证服务器,执行端点准入的判断与控制。
3)安全策略实施,接收认证服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。
4)实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。
5)实时监控终端用户的行为,实现用户上网行为可审计。
4、边界防火墙-DCFW
能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数进行检查,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。
对于广域网接入用户,能够对他们的网络应用行为进行管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。
5、统一威胁管理-UTM
UTM集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN(IPSEC、PPTP、L2TP)网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关、BT控制网关+IM控制网关+应用提升网关(网游 VOIP 流媒体支持),十二大功能为一体。采用专门设计的硬件平台和专用的安全操作系统,采用硬件独立总线架构并采用病毒检测专用模块,在提升产品功能的同时保证了产品在各种环境下的高性能。完成等保标准中要求的防病毒、恶意代码过滤等边界防护功能。
6、入侵检测系统-DCNIDS
入侵检测系统能够及时识别并阻止外部入侵者或内部用户对网络系统的非授权使用、误用和滥用,对网络入侵事件实施主动防御。
通过在电子政务网络平台上部署入侵检测系统,可提供对常见入侵事件、黑客程序、网络病毒的在线实时检测和告警功能,能够防止恶意入侵事件的发生。
7、漏洞扫描系统
漏洞扫描系统提供网络系统进行风险预测、风险量化、风险趋势分析等风险管理的有效工具,使用户了解网络的安全配置和运行的应用服务,及时发现安全漏洞,并客观评估网络风险等级。
漏洞扫描系统能够发现所维护的服务器的各种端口的分配、提供的服务、服务软件版本和系统存在的安全漏洞,并为用户提供网络系统弱点/漏洞/隐患情况报告和解决方案,帮助用户实现网络系统统一的安全策略,确保网络系统安全有效地运行。
8、流量整形设备-DCFS
1)控制各种应用的带宽,保证关键应用,抑制不希望有的应用:可针不同的源IP(组)和时间段,在所分配的带宽管道内,对其应用实现不同的流量带宽限制、或者是禁止使用。
2)统计、监控和分析,了解网络上各种应用所占的带宽比例,为网络的用途和规划提供科学依据:可通过设备对网络上的流量数据进行监控和分析,量化地了解当前网络中各种应用流量所占的比例、以及各应用的流量各是多少,从而得知用户的网络最主要的用途是什么,等等。
9、其它网络设备
其它网络设备,可以参照国标对应的《设备安全技术要求》进行选型。
第三篇:电子政务内网安全
电子政务内网网络安全设计方案
方案部署说明:
一、在网络出口处部署1台路由器,通过专线与国办网络连接。
二、在路由器的后端,部署1台密码机,对出入政务内网的所有数据进行加解密处理。
三、部署1台入侵检测系统,对各安全域进行监控,及时发现网络入侵行为,并向控制台传送报警信息和事件过程记录,做到事后有据可查。
四、通过1台高性能防火墙将网络划分成“应用服务区”、“安全支撑区”和“用户终端区”。首先在防火墙上配置终端用户区域全部禁止访问服务器区域,然后,根据用户区域需要访问的服务器区域应用系统,打开的端口和协议进行特定访问权限配置,包括:登录域需要使用的TCP/UDP端口,访问的目的地址集和源地址集等,病毒服务器的策略分发、升级、远程安装需要使用的TCP端口等。配置防火墙访问控制日志保存策略,配置防火墙安全管理员、用户管理员、审计管理员的用户权限和相应的密码。
五、“安全支撑区”主要部署防病毒系统(金山毒霸网络版)、域控制器、终端审计系统(中软)、违规外联监控系统(山谷)、内网安全管理系统(锐捷)、终端及服务器安全登录系统(北信源)和USB移动存储介质使用管理系统(国迈),该区域主要为整个涉密信息系统提供安全及管理的功能支撑。
六、“应用服务区”主要部署网站、电子邮件、文档和DNS等应用系统,为整个涉密信息系统提供应用支撑。
七、在每台涉密计算机上安装中软主机监控与审计系统客户端,对终端行为进行监控。它充分利用透明加解密、身份认证、访问控制和审计跟踪等技术手段,对涉密信息的存储、传播和处理过程,实施安全保护;最大限度地防止敏感信息泄漏、被破坏和违规外传,并完整记录涉及敏感信息的操作日志,以便日后审计或追究相关的泄密责任。
八、部署1套国迈USB移动存储介质使用管理系统,对USB移动介质进行统一认证,实现信息保密、访问控制、审计等功能。用技术的手段,实现移动存储设备信息安全的“五不”原则,即:进不来、拿不走、读不懂、改不了、走不脱。
九、在系统中部署1套山谷违规外联监控系统,防止涉密网计算机接入互联网,造成涉密信息泄露。
十、在系统中部署1套北信源终端服务器安全登录系统,能够实现对用户的身份鉴别,确保只有经过合法验证的终端用户才能使用服务器,具体采用USBKeyClient和USBKey相结合的方式。
十一、另外,配备启明星辰天镜脆弱性扫描与管理系统和金路标计算机终端保密检查工具各1套,定期对涉密信息系统内服务器和计算机终端进行安全隐患检查。
十二、新增50台天津光电聚能RBI-1型电磁泄漏防护插座和10台万里红WLH-2型视频干扰器,对不符合电磁泄漏发射防护要求的计算机及服务器进行安全防护。
第四篇:电子政务的顶层设计
各位老师,各位来宾,大家上午好!首先我代表工业和信息化部对第四届电子政务高峰论坛的召开表示热烈的祝贺!借这个机会就这次论坛的主题--“电子政务顶层设计”,谈三点看法:第一个什么是顶层设计?第二个顶层设计的目的性?第三个顶层设计和我们今天已经做过的很多其他工作之间的相互关系是什么?
首先说什么是顶层设计?按我的理解,顶层设计是一个不定的概念,它随着设计问题的对象而发生变化。但是顶层设计有三个基本的要素,第一个要素就是制定方法论;第二个在概念层级上是顶层,而不是底层和中间层;第三是设计。设计最起码有两个基本的含义,第一个含义是清晰的,因为设计如果不清晰就说不上是设计;第二是可以实施的。
所以我理解的顶层设计有这样的一些最基本的要素,但是为什么在这样几个基本要素下还是不定的呢?因为顶层设计的对象是不定的,比如说对一个系统和一个项目做顶层设计的时候,那么这个“顶”就是这个系统的最顶层,在系统顶层设计的时候,可能更多会涉及到系统如何实现。如果一个部门做电子政务顶层设计的时候,我们将会考虑这个部门的全局,包括全局的构成要素和体系结构。如果是一个地方的话,那么这个顶层设计是指这个地方电子政务全局的一个顶层设计。所以说顶层设计随着设计的对象的不同而会发生变化。它是一个不定的概念。但是在不定的概念里面有一些稳定的因素,而这些稳定的因素如果用最核心的话来说,就是要给这个顶层设计所设计的对象,体系架构梳理清楚。这是我理解的电子政务顶层设计。
第二、我想说一下顶层设计的目的性。正因为随着不同的对象,顶层设计的重点、范围是有所变化的,所以我们在针对特定对象做顶层设计的时候,有必要把目的性这个问题很好的分析一下。在今天我们讨论电子政务顶层设计的时候,正面临的一个重要的事情,就是各地各部门都在制定或者准备制定“十二五”电子政务规划,如何为各部门、各地区电子政务的“十二五”规划服务?我们在讲电子政务“十二五”规划的时候,涉及的内容很多,我只说和电子政务顶层设计目的性相关的几个,就这几点谈一下体会。
第一点,我们在讲顶层设计的时候,它的对应物是什么?它的对应物不是局部的,不是系统的,是顶层的。很遗憾,当我们在做电子政务“十二五”规划的时候,碰到了很多局部的、非系统的,底层问题的干扰。举一个例子,大家可以比较清晰进行对照,中国电子政务40年的历史,总体上以项目为中心推进的,头20年是科研项目为主,电子政务从上世纪七十年代到九十年代初大部分是以项目为中心。即使一个很大的项目,比如说金土工程,应该是覆盖国土资源部的全局,其实没有。当然也有少数的项目是覆盖全局的,比如说金审工程。但是这样的例子在几十年的过程里面,所占的比例是很少的。这些年来我们项目中心是一个部门甚至是一个系统里面的一个局部在推进,这是过去几十年的主体,形成了很多的碎片,这就是为什么我们今天始终强调要业务协同,要防止信息孤岛,要处理好纵横关系。这些问题的产生就是因为那么多的中心以碎片的状态存在,电子政务进行到今天,在做“十二五”规划的时候,我们不是要在碎片再增加,而是需要真正的顶层设计。
关于目的性第二点,电子政务顶层设计为什么?电子政务是为了政府更好地履行职能,是为了政府能够在信息化环境下提升执政能力,所以顶层设计的第一要务,就是如何为政府更好地履行职能,如何为政府提升在信息化条件下的执政能力做出明确的回答,这是顶层设计的第一要务,或者第一目的。这个目的性必须清晰。在这一点上,我感到有些遗憾,我们在许多部门和地方,在电子政务顶层设计的时候,经常忽略或者是软化了这个要求,做多少系统,包括建什么网络、建什么系统、建什么数据库,和直接的政府绩效之间没有关系。第二个是软连接,对政府履行职能,比如说支撑决策和业务是什么事情,有一个软的连接,没有硬的连接。为什么呢?我举两个例子就比较清晰,比如说在审计署实施了金审工程以后,它的审计能力大体上提升了1倍,无论是个体还是整体,个体是审计员,整体是审计能力,提升了一倍或者1倍以上,这就是我们对电子政务、对政府绩效、对政府履行职能直接的支撑,所以系统是要朝这个方向努力的。再比如,北京市高法的法官案件审结率提升了3.2倍,就是一个人可以顶3.25个人。所以电子政务顶层设计一定要直接和这样的目的挂钩,而且这个目的是可检验的。
第三、我们做这个顶层设计要回答一个问题,一个部门、一个地方推进电子政务达到这样的目的,在技术路径上,在成本上是最好的,技术路径就是可持续和优化的问题,也就是说顶层设计要提供一个技术方案,这个方案在实现达到政务目的这个基础上,技术路径是优化的,成本是最低的。完成这个目的对于我们来说,还是有很大的挑战。
第三个问题,就是我们在为了“十二五”的规划做顶层设计,我们交叉了一些其他的概念,和一些原来遗留下来的东西,这些问题怎么处理,怎么对待,这是我们必须面对的问题。首先说顶层设计和智慧城市之间的关系,比如说智慧南京、智慧广州,现在很多地方在做。那么电子政务顶层设计和这样一些概念之间是什么样的关系,如何处理呢?那么我的回答就一句话,就是要把握本质。概念随便用,但是本质不能变,否则就会被这些概念弄得不知所以。
下面我想说一下“本质”,首先我们说电子政务本质是什么?电子政务本质就是充分的利用信息技术,使得政府履行职责的能力能够适应环境的变化,而在这个变化的过程中不断地完善和改善。电子政务的本质千万不要看成建了不少网络,建了多少系统,买了多少设备。我们一直在说电子政务核心和本质是政务,不是电子,但是这个问题既使到今天还没有解决。
我们在处理相互关系的时候是把握本质,首先是智慧城市,因为在概念上可能下一步在电子政务“十二五”规划交叉最多的,或者说最难处理一件事情就是智慧城市。智慧城市和电子政务规划之间,首先范围不太一样的,电子政务只是政府履行职责所做的各项工作之上,而之外还是有城市的其他功能部分完成,而不是政府来完成,这是差别的地方。但是共同的地方是什么?在这里面共同的地方很多,请大家重视,智慧城市除了产业、教育、卫生等部分之外,相当一部分是城市的公共管理。
这里面我们十分重视的是智慧城市,后面的本质实际上用三句话就可以概括清楚。第一句话就是更加透彻的感知;第二句话是更加广泛的连接;第三句话是更加集中、更加有深度的计算。那么这三点在我们做电子政务“十二五”规划的时候要充分的考虑。更加充分的感知,比如说城市的交通管理、城市公共安全,城市的应急指挥,必须要更加透彻的感知和更加广泛的链接,而且还需要更加集中和深度的计算。比如说交通流量必须有模型,如果你把当前的流量和模型对比,发现这个曲线不一样了,你才可以做出新的判断和提出新的处置。所以电子政务和这三个基本要素之间存在着密切的关系,我们“十二五”电子政务规划在这三个方面要进一步的深入。
你的领导说你不要做电子政务规划了,你就做智慧城市的规划,没有关系,你把电子政务要务达到的目标,把它包容进去就可以了。比如说我们在做电子政务规划的时候用不用云计算的概念,我认为没有关系,你可以用,也可以不用,因为作为一个城市,作为一个地方,甚至作为一个部门,如果原来没有整合起来,原来没有构成统一的平台,从“十二五”开始你必须把原来的碎片集成起来,形成一个统一的政府的信息技术支持,那么这个概念叫政府云也没关系,叫什么概念都没有关系,但是你必须整合起来,必须通过一个完整的顶层设计、一个完整的体系架构把这样的基础构建起来,这是发展的必然方向。“十二五”完不成没有关系,“十三五”接着干,这一点是确定无疑的。
还有物联网这个词,电子政务里面用不用感知交通或者叫感知食品的概念呢?我认为这也没有关系,用不用都不要紧,关键是你要知道你感知交通,那么你所有的感知是和交通的控制、交通流量的疏导,把交通指挥这样的目的连接起来,否则你的感知是没有意义的。这是顶层设计和其他一些概念之间的关系。不要迷惑也不要彷徨,核心问题是要弄清本质,弄清概念的本质以及要做的事情的本质,想做什么就十分的清晰了。
谢谢大家!
第五篇:电子政务内网工程建设实施方案
为切实推进政务信息化进程,有效提升行政效能、服务水平和服务质量,促进全区经济社会快速协调发展,根据省、市关于加快建设电子政务内网的有关精神,结合我区实际,制定*区电子政务内网工程建设实施方案。
一、建设的目标和功能
(一)建设目标。建成全区机关办公内网,与区门户政府网站(外网)配合,架构党务、政务电子工作交流平台,逐步建成“外网受理、内网流转办理、外网反馈”的统一电子政务系统,切实提高全区党政机关行政办公效率和服务管理水平,为全区经济社会快速发展提供基础保障。
(二)主要功能。
1.电子邮件。通过电子政务内网发送电子邮件,实现区内各党政机关之间信息交流与传递。内外网对接成功后,可实现区内与区外的信息交流与传递。
2.公文交换。实现区委、区人大、区政府和区政协机关内部及其与各部门、各乡镇和部分企事业单位之间电子公文的交换。
3.综合查询。用户可根据权限通过内网访问数据库,查询全区党政机关文件、业务数据等。
4.信息上报。各单位可通过内网进行党务、政务信息的电子化报送。区领导及有关工作人员则可根据权限查看专报类信息;一般用户可查看公开类信息。
5.公告牌。可通过内网进行内部的电子公告,内容包括会议通知、会议室安排、区内重大活动部署等等。
6.工作任务。各单位可查看本单位的工作目标(区委、区政府的工作总体安排及任务分解表),区领导可随时查看各单位工作任务进展落实情况。
7.党政公文处理。通过设置权限利用内网传输,实现公文催报、核稿、会签、签发等,可支持手写输入。
二、联网单位及联网方式
(一)电子政务内网联网单位。
1.各乡镇党委、人民政府,开发区管委会; 2.区直各部门; 3.省、市驻区各单位。
(二)联网方式。
采用电信10M光纤或ADSL两种联接方式,各单位自行确定。目前安装调测费用由市电信公司予以免除,线路租金由各单位自行支付。为确保内网的稳定性与安全性,原则上使用光纤与区电子政务中心机房联接。光纤接入可24小时在线,传输速度快,各单位局域网可通过光纤与电子政务内网联网,在局域网内架设服务器对外提供网上服务。光纤接入月租费为500元/月。ADSL接入弊端较多,如经常掉线、速度慢、不便开展网上办事服务,因此,该方式不适应电子政务发展趋势,只能作为临时方案。ADSL接入月租费为280元/月。
三、实施步骤
(一)中心机房建设。3月底前完成机房选址、设备采购、电力等基础设施的安装,4月中旬完成机房设备的安装。
(二)OA安装与调试。4月底前完成内网协同办公系统软件的安装调试,对系统功能上存在的问题加以调整,特别是公文流转中流程方面存在的问题。
(三)内网线路架设。电信公司4月底完成内网各信息点的线路准备工作,确保线路畅通。电信公司在施工过程中,各联网单位要紧密配合,确保工程顺利完成。
(四)各联网单位准备工作。各联网单位务必于3月25日前上报使用联网方式(表附后),并于4月底前做好内网安装、调试、运行前的准备工作,准备内容包括:全力配合电信公司安装施工,安排专用电脑1台、专(兼)人员1-2名,要求专人专机,并制订工作制度,明确责任,确保内网建设顺利进行和正式运行后工作顺利开展。
(五)网络安装与调试。从5月1日开始,由区信息中心组织对各联网单位进行安装调试,同时督查各联网单位前期准备工作。
四、操作培训
2007年6月,由区信息中心牵头组织对各联网单位操作人员进行培训,计划分5期进行,每期参培人数45人左右。培训对象为各乡镇、开发区管委会、区直各部门、省市驻区各单位的办公室负责人和网络操作员,以及区领导跟班秘书。
五、运行阶段
(一)试运行阶段。2007年6月1日开始试运行。试运行期间实行并轨运作。即会议通知通过内网和电话同时进行,公文、党政信息、专报通过纸质和内网同时发布,原来的党政信息网停止运行。
(二)正式运行阶段。2007年9月1日开始正式运行,正式运行期对于一般性的公文和通知采用内网进行传输办理,形式以内网为主,电话为辅。
六、相关要求
(一)明确责任。各单位要成立电子政务建设领导小组,明确分管领导,确定1-2名责任心强、业务能力好的人员具体负责本单位电子政务内网的业务管理工作,做好内网上公文、通知等信息接收、信息传递和本单位网络维护等工作。办公内网启用后,各联系单位务必确保每天4次分别在上午、下午的上班时和下班前上内网查收信息,双休日、节假日安排人员值班,确保各种信息无漏传、错传、误传。各联网单位分管领导、办公室负责人和操作人员名单于2007年3月25日前用电子版报到区政府办公室131室,联系电话*,邮箱:*
(二)落实设备。各单位如因工作需要,计划将本单位局域网接入内网,必须向区信息中心报批后,方可接入。各联网单位领导要积极创造条件,抓紧配备能满足电子政务内网需要的电脑、打印机等设备,争取尽快实现网上信息传递与网上办公。
(三)加强督查。区委、区政府将全区电子政务内网建设工程作为督查事项,区督查办将会同有关部门对各联网单位电子政务内网建设质量、进度及运行情况进行督查,并及时通报有关情况,确保电子政务内网建设工作顺利开展和正常运行。
点击咨询 