网上审批系统建设项目网络方案

网上审批系统建设项目网络方案内容摘要：

之间信息交换架构如下： 北京市科学技术委员会网上审批系统建设项目网络方案 北京首创信息技术有限公司 II－ 14 市 级 平 台M e s s a g eA d a p t e r消 息S e r v i c eA d a p t e r消 息. . .消 息 中 间 件A 委 办 局 系 统S e r v i c eA d a p t e rM e s s a g eA d a p t e rB 委 办 局 系 统 针对以上要求，科委网上审批系统通过 政府专网连接到市级平台， 科委网上审批系统 要与市级平台进行基于消息中间件的信息交换，同时配置专用的消息代理服务器用于与市级平台进行信息交换。 并且 科委 要在政务专网接入口配置防火墙，保证系统的安全性。 专线接入示意图如下： 北京市科学技术委员会网上审批系统建设项目网络方案 北京首创信息技术有限公司 II－ 15 根据以上要求，结合科委的实际情况，消息代理服务器建议配置如下： 机型 PC 服务器 CPU 配置数量 2 个，主频 ，三级缓存 512KB 内存 配置内存 4GB，可扩充 12G 硬盘 提供 36G*2，提供插槽数 10 硬盘控制卡 提供 RAID 卡，支持 RAID5 网卡 提供 10/100M 以太网卡 *1 电源 提供冗余电源、冗余风扇 PCI 插槽 4 个，可热插拔 其它 提供光驱、软驱 主机服务器系统 服务器总体需求 北京市科委“网上审批”系统工程 建设的服务器总体需求如下： 1. 数据库服务器 1 台：存储网上审批数据。 2. 应用服务器 1 台 3. 数据交换服务器 1 台 4. 数据决策分析服务器 1 台 服务器性能要求 服务器处于数据处理的关键地位，它的作用是通过网络按需要为客户机提供各种服务，包括共享文件系统、 共享数据库系统、共享硬设备、应用程序分布、通讯服务等应用服务，并可对整个网络环境进行集中式管理，服务器的选择应遵循以下原则： 功能强大： 包括体系结构、 CPU 的处理能力、系统的总线、网络功能、内存容量、硬盘等各方面性能指标。 北京市科学技术委员会网上审批系统建设项目网络方案 北京首创信息技术有限公司 II－ 16 可用性强： 包括较高的可靠性和安全性、较强的可维护性和可管理性等。 联网性能好： 包括是否提供网络高速接口、是否提供相应的网络软件等。 开放性： 符合工业标准，兼容性、互连性好。 伸缩性： 配置可剪裁，系统处理能力和性能可扩充。 可靠性： 采用容错技术（集群、灾难恢复等）实现系统的高可 靠性。 同时，在选择过程中，还应考虑经济效益因素，结合各机型的性能价格比，进行综合考虑。 服务器是整个系统信息处理的中心，它将全面处理数据信息和管理信息等。 所以，从处理规模和可靠性上讲应使用高档 PC Server/NT 服务器或中档的RSIC/UNIX 小型机的能力，该服务器必须具备很强的联机事务处理能力，以能够支持大量的数据业务处理要求。 根据对主机系统性能需求分析，根据对 HP、 SUN、 IBM 等公司产品的对比和三家公司产品在中国金融、企业、政府行业的应用和市科委的业务需求及技术 的成熟性，我们建议采用 IBM 公司 的服务器。 服务器配置 因为在主应用服务器选择上我们为用户设计了分布式应用，所以在主机系统配置中主应用服务器为用户选择了多台服务器。 1） 数据库服务器 1 台。 配置： 北京市科学技术委员会网上审批系统建设项目网络方案 北京首创信息技术有限公司 II－ 17 Intel Xeon (512K) 双 CPU /,4G RAM, 36G SCSI 硬盘 *4, CDROM,10/100 NIC， Raid5 2） 应用服务器 1 台。 配置 ： Intel Xeon (512K) 双 CPU /,2G RAM, 36G SCSI 硬盘 *2, CDROM,10/100 NIC 3） 数据交换服务器 1 台。 配置： Intel Xeon (512K) 双 CPU /4G RAM 36G SCSI 硬盘 *2 24X CD,10/100 NIC 4） 数据决策分析服务器 1 台。 配置： GHz Power 4+ CPU Risc 芯片，支持 32 及 64 位操作系统 L3 高速缓存 8MB,RAM1G, 内部磁盘驱动器 2*18G SCSI, 10/100Mbps 以太网控制器 北京市科学技术委员会网上审批系统建设项目网络方案 北京首创信息技术有限公司 II－ 18 三、网络安全机制设计 网络应用给人们带来了无尽的好处，但随着网 络应用扩大网络安全风险也变得更加严重和复杂。 原来由单个计算机安 全事故引起的损害可能传播到其他系统和主机，引起大范围的瘫痪和损失；另外加上 缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险正日益加 重。 网络安全风险分析 网络上运行各种办公、业务系统，其中有些业务系统还将涉及到其他机构，对外发布的各种信息也将以 WWW 方式供用户访问。 由于存在政治体制、国家体制以及意识形态等方面的一些因素，很容易遭受到国内外一些敌对分子的攻击。 各种信息也很容易吸引各种经济罪犯、黑客的攻击。 而这些风险与网络系统结构和系统的应用等因 素密切相关，下面进行分类分析： 物理安 全风险：是指设备所处的物理环境的安全，是整个网络系统安全运行的前提。 链路传输安全风险：是指 在传输线路上安装窃听装置，窃取你在网上传输的重要数据，再通过一些技术读出数据信息，造成泄密或者做一些篡改来破坏数据的完整性。 网络安全风险：包括 来自与公网互联的安全危胁、内部网络与系统外部网互联安全威胁及 内部局域网的安全威胁三方面。 系统安全风险：通常是指网络操作系统、应用系统中的安全漏洞所带来的安全隐患。 应用系统风险：涉及很多方面。 应用系统是动态的、不断变化的，应用的安全性也是动态的。 这就需要我们 对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。 主要包括 资源共享、电子邮件系统、病毒侵害等。 管理安全风险：主要是指由于责权不明、管理混乱、安全管理制度不健全及缺乏可操作性等引起的安全风险。 北京市科学技术委员会网上审批系统建设项目网络方案 北京首创信息技术有限公司 II－ 19 网络安全需求分析 网络总体安全需求是建立在对网络安全层次分析基础上确定的。 依据网络安全分层理论，根据 ISO 七层网络协议，在不同层次上，相应的安全需求和安全目标的实现手段各不相同，主要是针对在不同层次上安全技术实现而定。 对于以 TCP / IP 为主的科委网络来说，安全层次是与 TCP/IP 网络层次相对应的，针对科委网上审批网络的实际情况，我们将安全需求层次归纳为网络层和应用层安全两个技术层次，同时将在每层涉及的安全管理部分单独作为分析内容，具体描述如下： 网络层需求分析 网络层安全需求是保护网络不受攻击，确保网络服务的可用性。 （ 1）作为科委网络边界安全应作为网络层的主要安全需求： ● 必要的信息交互的可信任性； ● 要保证科委内部网络不能够被 Inter 访问； ● 同时科委公共资源能够对开放用户提供安全访问能力； ● 能够防范来自 Inter 的攻击，包括： ● 利用 Http 应用，通 过 Java Applet、 ActiveX 以及 Java Script 形式； ● 利用 Ftp 应用，通过文件传输形式； ● 利用 SMTP 应用，通过对邮件分析及利用附件所造成的信息泄漏和有害信息对于科委网络的侵害； ● 对网络安全事件的审计； ● 对于网络安全状态的量化评估； ● 对网络安全状态的实时监控； ● 防范来自 Inter 的网络入侵和攻击行为的发生，并能够做到： ● 对网络入侵和攻击的实时鉴别； ● 对网络入侵和攻击的预警； ● 对网络入侵和攻击的阻断与记录； （ 2）对于科委网络内部同样存在网络层的安全需求，包括： 北京市科学技术委员会网上审批系统建设项目网络方案 北京首创信息技术有限公司 II－ 20 对 于科委网络内数据主机的安全防护 应用层需求分析 应用层安全主要与政府的管理机制和业务系统的应用模式相关。 管理机制决定了应用模式，应用模式决定了安全需求。 因此，在这里主要针对各网段内的应用的安全进行讨论，并就建设全网范围内的应用系统提出我们的一些建议。 应用层的安全需求是针对用户和网络应用资源的，主要包括： ● 合法用户可以以指定的方式访问指定的信息； ● 合法用户不能以任何方式访问不允许其访问的信息； ● 非法用户不能访问任何信息； ● 用户对任何信息的访问都有记录。 要解决的安全问题主要包括： ● 非 法用户利用应用系统的后门或漏洞，强行进入系统。 ● 用户身份假冒：非法用户利用合法用户的用户名，破译用户密码，然后假冒合法用户身份，访问系统资源。 ● 非授权访问：非法用户或者合法用户访问在其权限之外的系统资源。 ● 数据窃取：攻击者利用网络窃听工具窃取经由网络传输的数据包。 ● 数据篡改：攻击者篡改网络上传输的数据包。 ● 数据重放攻击：攻击者抓获网络上传输的数据包，再发送到目的地。 ● 抵赖：信息发送方或接收方抵赖曾经发送过或接收到了信息。 一般来说，各应用系统，如 No。