威海市电子政务工程总体规划的主要目标是根据国家信息化领导小组提出的《关于我国电子政务建设的指导意见》及省信息办电子政务指南的要求,在“十五”期间完成:一是建设统一的电子政务平台、二是建设和完善重点业务系统、三是开发建设重要政务信息资源数据库、四是开展网上咨询和审批服务、五是基本建立威海电子政务安全保障体系、六是加强公务员信息化培训工作。
威海电子政务工程,是以用户的需求为出发点,以横向区域性政府管理体系为主导,兼顾垂直行业管理体系。在详细调研的基础上,本方案充分考虑利用了政府各部门已有软件系统、硬件设备,节省投资,避免重复建设。
工程的技术选型具有:实用性、先进性、集成性、开放性、安全性、容错性、高效率、易维护性、采用Web Service多层体系结构等特点。
威海电子政务的技术规范包括:网络构造规范、政务数据资源交换规范、安全体系规范、各类指标体系、运行管理规范、系统建设开发规范等。
威海电子政务工程根据国家和省规划的主要建设内容为:政务通信专网、电子政务平台、安全监控和备份中心,以及七大数据库和十二大信息系统。由于电子政务是一项庞大复杂的工程,应分期实施,拟定一期工程完成和启动以下部分:政务通信专网、政务平台、安全备份中心、三大数据库及十二大系统中的政府办公业务资源、政务决策服务、多媒体增值服务三个系统。
威海电子政务专网采用星形加环型拓扑结构;采用光纤千兆以太网作为主干网,使用快速以太网作为各委办局的网络分支。网络传输协议为TCP/IP。结合虚拟网技术的网络平台方案,可提供10M到桌面的带宽,既能传递数据,又能传递实时的多媒体信号。
为保证电子政务系统对安全性、可靠性的要求,《方案》提出网络安全性要求包括:建立访问控制防火墙、使用VPN以及数据加密技术、使用入侵检测系统、建立有效的账号管理和访问授权体系、采用基于网络的多层次的病毒防护策略、由容错系统和数据备份系统相辅相成、中心机房建设要符合有关国家标准、行政上的管理规章制度要求等。根据国务院《关于我国电子政务建设的指导意见》,威海电子政务专网中的内容不涉及保密文件。因此,专网与公网只作逻辑隔离。安全技术包括:防火墙技术、VPN技术、公钥基础设施技术、登录控制技术、实时监控技术、安全审计技术、制定紧急响应预案等。软件的安全可靠性要求包括:用户权限限制、用户名和密码封闭性、系统对用户错误登录的次数限制、留痕功能、屏蔽用户操作错误、错误提示的准确性、错误不能导致系统异常退出、输入数据有效性检查等。
威海电子政务软件兼容性要求包括:操作系统兼容性、异构数据库兼容性、新旧数据转换、异种数据兼容性、应用软件兼容性、硬件兼容性等。
威海电子政务软件测试要求包括:易用性测试、稳定性测试、Web应用服务器测试、其他测试等。
威海电子政务软件文档要求包括:用户手册的完整性、用户手册的描述与软件实际功能的一致性、用户手册的易理解性、用户手册提供学习操作的实例、用户手册的印刷与包装质量。
威海电子政务培训计划包括:管理、技术和公务员培训三部分。
要求系统集成商应确保提供快速、高效的服务响应,应有一支专业素质过硬并获得了有关资格认证的服务队伍;除了邮寄、电话、传真通信等手段,还可获得在线的、个性化的服务支持。
威海市电子政务工程计划分期实施。第一期工程从2003年1月到2003年12月,主要任务是建成政务通信专网、电子政务基础平台、安全监控和备份中心,启动经济信息等七大数据库和城市通卡、综合地理信息系统建设,基本建成政府办公业务资源、政务决策服务、和多媒体服务三大信息系统,在市直30个委办局试运行。工程预算约为2580万元。三市三区的电子政务工程,在市信息办(市信息产业局)的统一规划和指导下,自行组织实施,工程费用由各市区自行解决。该工程的承建单位,准备从技术力量雄厚且具有垫资建设能力的公司中,通过招评标的方式确定。
要搞好威海电子政务,重点在领导,关键在协调。在工程实施过程中除了资金、技术外,必须进行配套的政务流程改革和整合,重组优化各行业管理部门的职能;为此要求成立工程协调领导小组和技术实施领导小组。
随着社会与经济的不断发展和信息技术的进步,电子政务的某些功能或者某些技术必然要不断更新,从外地的电子政务实施经验看,电子政务建设是一个长期的过程,必须有持续的努力,电子政务建设才能够取得成功;必须建立一套电子政务持续发展机制;方案建议把信息化建设经费纳入城市建设预算中。
一、建设总目标、主要作用和指导原则
(一)总目标
威海电子政务的总目标就是运用信息技术消除政府的界限,使人们可以从多种渠道取得政府的信息和获得政府的服务;同时,政府各部门之间和政府与社会之间通过各种电子化渠道进行沟通,促进政务公开和廉政建设,增强为群众办事的透明性和公正性,提高政府各部门的办事效率和管理水平。
威海电子政务工程,不是简单建立各政府部门的网站,而是以用户的需求为出发点,以横向区域性政府管理体系为主导,兼顾垂直行业管理体系,重组优化各行业管理部门的职能,实现“一站式”加“一网式”的服务。
威海电子政务一期工程的目标是:到2003年,初步实现市直政府机关面向企业和市民的审批、管理和服务业务上网运行,市直政府机关内部初步实现电子化和网络化办公,主要部门信息资源实现网络共享;到2005年,建成体系完整、结构合理、高速宽带、互联互通的电子政务网络系统,最终建成威海市政务系统共建共享的信息资源库,全面开展网上交互式办公。
(二)主要作用
威海电子政务的主要作用就是提供政府和公务员之间、政府和政府之间、政府和企业之间、政府和市民之间的联系纽带。使政府服务方式由传统的手工方式,转变为手工方式和电子政务方式并存,并最终过渡到完全的电子政务方式。
(三)指导原则
威海电子政务在建设上,各系统要联合建设,共同开发,互联互通,资源共享。
在管理上,要统一领导、统一规划、统一标准、整体设计、系统建设、集中管理、分步实施。
在技术上,要高起点,开放式,可扩充,易升级。
最终要实现统筹规划、统一标准、条块协调、整合发展、互联互通、资源共享的建设目标。
二、系统设计的指导原则
(一)应用体系与技术体系的关系
作为一个复杂的信息系统,电子政务系统是和信息技术密切相关的。近年来,信息技术发展十分迅速,各类新标准、新技术不断出现。故此,在构建威海电子政务时必须处理好应用体系与技术体系的关系。
应用体系就是在电子政务系统运转过程中由各级管理者和使用者所构成的管理体系以及其中的各类工作模型和处理流程,应用体系实际上也是推动整个电子政务系统正常运转并发挥效能的动力源泉。而技术体系则是实现电子政务系统的手段和依据,其中包含实现电子政务所必需的各类网络系统、计算机软硬件系统、各类协议和接口标准等。
在威海电子政务的建设过程中,应用体系的构筑是整个电子政务能否成功实施的关键,而实现电子政务的一些具体的技术体系则是不断变化发展的手段,不应作为设计、实施威海电子政务的核心依据。
(二)系统设计的基本思想
1、系统设计:以系统设计思想指导整个规划、设计过程,从系统需求出发,保证系统规划、实施方案的可行性。
2、技术先进:设计要符合技术发展的潮流,使系统依据的基本技术在整个生命周期中保持一定的先进性。
3、灵活应用:方案的设计要有技术的延续性、灵活的扩展性和广泛的适应性及良好的用户界面,注意分布实施的可操作性,保证前期投资的有效和后期投入的接续,最大限度的保证其继承性和经济性。
4、经济合理:保证投资效益,在既满足业务需求又考虑到今后发展的前提下尽可能地减少投资,同时充分考虑系统软件、各类硬件、网络平台投资上的均衡性。
5、支持面向电子政务系统的统一安全框架:提供面向电子政务系统,全面符合国家有关信息安全的政策法规、核心技术自主的整体安全解决方案。能够适应国际互联网、政务专网等多层次的安全要求。
6、支持跨平台、异构数据资源的应用集成:采用先进的中间件技术,提供面向多类异构操作系统、异构数据资源的集成方案。能够有效地保护已有的各类应用体系和数据资源,节省政府投资。
7、支持多类分布应用体系:充分支持各类分布式应用体系的开发、构建,支持面向各类纵横结构行政体系的应用系统构造。
8、支持应用模块的快速开发和灵活部署:支持应用层的快速开发和灵活部署,能够较完善地解决当前政府工作改革、机构调整、行政提速所导致的应用系统开发的困难。
9、优先选用国产设备,以及有自主知识版权的国产软件:以解决系统的安全问题,发展民族信息产业。
(三)设计原则和系统集成原则
1、实用性:根据系统需求出发,按照系统投入结合具体运用和威海实际来设计系统,最大限度的满足各项功能要求,确保实用性,系统应具有良好的性能价格比。
2、先进性:系统要采用国际上先进、成熟、实用的技术,既保证系统实现的功能,又保证系统在未来的五年内,其技术仍能满足应用发展的需求。
3、集成性:系统的各个部分,既要是相对独立的子系统,又能实现相互之间必要的信息交换,可实现自上而下、集中统一的网络、设备监控和管理。
4、开放性:系统设计采用的各项设备(软、硬件)均应符合国际通用标准,符合开放性原则,组网使用的技术要与技术发展的潮流吻合,保证系统的开放性和技术延伸性,与日后的技术应具有良好的亲和性。
5、安全性:必须保证系统和信息的高安全性,采取必要的防范措施,使整个系统受到有意、无意的非法侵入而造成系统破坏的可能性降至最低程度。
6、容错性:根据设备的功能、重要性等分别采用冗余、容错、备份等技术,以保证局部的错误不影响整个系统的运行。
7、高效率:采用新技术和稳定的设备,将整个系统的信息流量维持在一个均衡高效的指标内。
8、易维护性:系统的管理、维护和维修应具有简易性和可操作性。
9、采用Web Service多层体系结构:应用服务应架构于中间件之上,客户端通过统一的浏览器界面访问整个系统,保持接口统一、访问简单、易升级、易扩充的特点
(四)系统建设规范
威海电子政务是一个内含多种应用系统的集成体系。各类应用系统彼此作用,相互链接形成了一个有机的数据、信息流处理体系。由于各类应用系统在应用范围、构建方式、系统结构、数据资源等方面存在一定的差异,对整个电子政务系统平稳、高效的运行存在较大的影响。消除这些影响的重要措施就是采用统一的规范来开发建设各个应用系统。这些规范包括:
网络构造规范。包括:政务网网络设计建设规范、网络设备选用及安装管理、政务网互联协议规范等。
政务数据资源交换规范。包括:公文信息数据规范、数据交换方式指南、信息资源存贮规范等。
安全体系规范。包括:安全策略制定规范、物理层安全建设规范、网络安全规范、信息安全规范、数字证书管理规范、应用系统安全规范、系统管理规范、应急系统构建规范等。国内主要是等同采用国际标准:公安部主持制定、国家质量技术监督局发布的中华人民共和国国家标准GB17895-1999《计算机信息系统安全保护等级划分准则》。
各类指标体系;运行管理规范;系统建设开发规范等。
以上规范有的已有相应的国际、国内标准,我们需参照执行;另外一些应在具体工作中由设计、施工、监理和管理方共同制定并执行。
三、系统主要内容
(一)总体内容
《方案》的主要建设内容规划为:一个专网,一个平台,一个中心,七大数据库,十二大系统。
鉴于工程庞大复杂,涉及很多部门,整个工程拟分期进行。第一期工程主要建设政务通信专网、电子政务基础平台、安全监控和备份中心,启动政务动态等三大数据库,基本建成政府办公业务资源、政务决策服务等信息系统,在市直30个委办局试运行。
1、政务专网
主要为我市党政机关提供政务数据通信服务和互联网接入服务。该专网采用VPN(虚拟专网)组网方式,党政机关各部门的日常办公均在这个相对封闭的政务专网上进行,并通过设在中心机房唯一的互联网出口(独享100M)与互联网进行信息交流。
威海电子政务功能分层图
2、电子政务基础平台
它是通过在全市各部门之间建立一个统一的信息交换平台、提供统一的接口标准和接口技术,为已建或在建的各信息系统提供数据交换服务,实现信息共享。
3、安全监控和备份中心
它包括安全监控、应急支援和数据灾难备份基础设施三部分。
安全监控部分是通过安装统一的防火墙、建设统一的安全数字认证(PKI)系统等,为电子政务和今后发展电子商务提供安全保障。
应急支援部分是通过建设双机热备系统,确保在紧急情况下系统的安全性。
数据灾难备份基础设施是通过设立硬件备份设备和各种软件备份系统,确保在发生人为或自然灾难的情况下数据不丢失。
4、七类数据库
包括建设经济信息数据库、法人单位基础信息数据库、社会信用数据库、自然资源和空间地理信息数据库、人口基础信息库、海洋经济信息数据库和政务动态信息数据库等一系列公益性数据库。
5、十二大系统
政府办公业务资源系统、经济管理信息系统、办公决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体信息服务系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统。
威海电子政务网络结构示意图
(二)第一期工程建设内容
威海电子政务工程是一个综合应用系统,系统建立在政府主干网和各委办局局域网基础之上。因此系统的逻辑结构分为市政府、市直委办局(包括市(县)区政府)、乡镇(街道办事处)三个层次。在纵向上,系统为独立的办公信息系统,市政府、市直委办局(包括市(县)区政府)、乡镇(街道办事处)通过信息交换系统进行公文交换、资料等办公信息。在横向上,办公信息系统与各层次的业务管理信息系统有密切的联系,各级领导通过业务管理信息系统提供的平台查询所需要的各类信息。
在网络的物理结构上,采用星形加环型拓扑结构。采用高速可靠的千兆以太网作为主干网,使用快速以太网作为各委办局的网络分支。主干网采用光纤,网络传输协议为TCP/IP。结合虚拟网技术的网络平台方案,可提供较宽的带宽和优良的性能保证,既能传递普通数据信息,又能传递各类实时的声音、图像等多媒体信号。
威海市电子政务一期工程基本完成和启动项目
政务通信专网电子政务基础平台安全监控和备份中心信息资源数据库政府办公业务资源系统政务决策服务信息系统多媒体信息服务系统
1、政务通信专网
主要是为全市党政机关提供政务数据通信服务和互联网接入服务,工程包括政务专网、互联网接入二部分。
(1)政务专网:主要是为党政机关日常办公提供通信服务,采用VPN组网方式,党政机关各部门的日常办公均在这个相对封闭的政务外网上进行,并通过设在中心机房唯一的互联网出口与互联网进行信息交流。该出口在中心机房经过防火墙等安全设施与政务专网连接,提高了政府内部办公以及与外界信息交流的安全性。
政务专网采用的技术是IP OVER SDH或IP OVER OPTICAL(全光纤)和VPN的安全认证技术,主要接入点有冗余路由保证数据交换的可靠性和安全性。网络带宽要求为:市信息中心2x1000M、政府审批中心1000M、各委办局100M。
政务专网可将语音、数据和图像集成为单一的网络结构体系,可包容从局域网到广域网,从电路交换到分组交换,从网络硬件系统到网络软件应用等方面所包含的各类应用服务和网络管理,使之成为一个易于操作、便于管理的智能化综合信息服务体。
(2)互联网接入:互联网接入为独享2x100M,在价格不变的前提下,根据流量的增加,带宽每年应做适当调整。
政务数据通信网工程由参与合作的通信运营商按技术要求负责投资建设,不需要政府投资,使用单位只需按特惠价格每月缴纳租用费即可。
2、电子政务基础平台
通过在全市各部门之间建立一个统一的信息交换平台、提供统一的接口标准和接口技术,为已建或在建的各信息系统提供数据和多媒体交换服务,消除部门条块分割造成的信息孤岛现象,实现信息共享。
利用数字化技术在政府各部门之间实现公文电子传输。传输后公文的公章必须和原来的公章(模拟公章)一模一样,而且无法伪造、篡改;其次是传输前后的形式必须一样,文件中的标题、正文、红线、抄送等必须和原文一模一样。且需要使公文流转系统与应用系统集成为一体。
3、安全监控和备份中心
主要为全市党政机关的日常办公提供信息交换、信息处理、信息存储、安全认证及安全监控等服务,是电子政务的核心工程。工程包括:安全数字认证系统、数据备份系统二部分。
(1)安全认证系统:拟建设的威海PKI系统是基于服务,集成一套由可信的第三方提供的PKI平台并对整套的PKI平台进行全权管理,在政府全权控制下的PKI软、硬件与可信第三方高可靠性、高安全性的PKI后台组合在一起对外提供服务。威海数字证书RA中心(简称威海CA、WHCA)应是山东省数字证书认证管理有限公司(简称山东CA、SDCA,SDCA是山东地区唯一从事跨部门、跨行业数字证书签发的权威性认证机构,又是山东地区数字证书安全认证体系的建设与管理主体)的分支机构,相对独立,主要负责威海地区用户身份的审核、用户证书的申请、发放、废除和更新等相关工作。威海数字证书认证中心的主要功能:
l注册受理服务器:记录所有下属受理点传送的操作信息,包括证书信息的录入、审核、更新、废除等,并将所有信息传送给SDCA,进行证书签发和证书公布。同时支持SET(Secure Electronic Transfer电子商务交易安全协议)证书和通用证书发放。所有信息传送均采用数字信封和数字签名技术。
威海CA中心网络结构示意图
l WHCA数据库:保存所有本地用户的信息。
l管理服务器:负责对整个威海数字证书认证中心安全的管理,包括系统的审核、系统的日志、录入员的审核、审核员的审核等。
l录入员终端:负责对用户申请信息或废除信息的录入。并将信息提交给WHCA注册受理服务器进行审核,在审核未进行或审核未通过时可以更改用户信息。
l审核员终端:到WHCA注册受理服务器抽取未审核的用户信息,根据用户提供的物理信息进行审核。资料审查通过后,提交给注册受理服务器。此时注册受理服务器将用户信息发送给SDCA签发服务器。
l证书制作终端:将签发好的证书制作成各种介质(磁盘、IC卡或USB棒)的证书,提供给用户。
(2)数据备份系统:数据备份系统是将政务专网的各类服务器、工作站上的数据可调度性的备份到永久存贮设备(如磁带机上),最大限度的实现了网络数据的备份。
本系统采用分级存储原型(Hierarchical Storage Management,HSM),将存储架构分为三个层次完成。它们分别由承担在线存储的磁盘阵列、近线存储的光盘库和离线存储的磁带库三部分组成。在制订存储策略时,一般应根据存储的二八原则,把20%的常用数据存放在磁盘阵列上,然后把80%数据存放在光盘库中;磁带库一方面可以完成数据备份的工作,另一方面,当需要节省光盘库成本时,也能把光盘库上的数据的一部分存放在磁带设备上,此时,一般应采用三七原则,把30%的常用数据存放在光盘库上,70%的不常用数据转移到磁带介质上。当需要访问那70%数据时,数据会从磁带库读到磁盘阵列以供用户访问,这将是一种经济而且有效地利用存储设备的管理方式。
数据备份系统需备份的内容有:一可有选择性的备份所有服务器和工作站上面的目录、文件和系统信息(包括注册表、用户信息、目录树等);二可备份特定应用中的特定数据,如各类数据库中的表、用户,邮件服务器中的用户邮件等;三可备份整个系统的信息,使数据中心的服务器系统在全崩溃的情况下能够不用重新安装操作系统和后台应用程序而直接从磁带恢复,快速恢复系统环境。
4、信息资源数据库
包括以下三类数据库。
①政务动态信息数据库:采集、分析和处理我市政府构成、各部门职能、政务动态等信息。
②社会信用数据库:搜集、分析和处理我市企业和个人在银行、税务、法院等部门的信用记录情况。
③法人单位基础信息数据库:采集、分析和处理我市法人单位登记基本情况、变更记录等信息。
5、政府办公业务资源系统
以有利于政府对社会高效、公开、廉政服务为目标,将政府拥有的信息优势转化为社会服务优势,通过网络更好地向社会、企业和公众提供多元化的服务,促进政务公开,提高政府的行政管理和社会服务能力。主要包括:政务公开子系统、网上审批服务子系统、网上行风热线子系统等。
威海电子政务网上服务技术架构示意图
(1)政务公开子系统:按照政务公开的基本要求,将全市党政机关各部门可以公开的政务信息、办事程序及指南等上网公开;同时,党政机关各部门或企业在通过一定的安全认证程序校验后,均可在政府网站上直接发布各种信息,如人才招聘、供求信息、招投标信息等。
完善“中国威海”政府网站,使其成为政府为企业及社会服务的网络门户、政务公开和对外宣传的窗口、沟通大众的桥梁。统一建设和完善各部门网站,对于已建的部门网站,要按照统一的标准和要求限时完善,充实内容,扩充服务领域;对于未建部门网站的单位,组织按统一标准建设,实现各机关“地上有门头、网上有窗口”。
(2)网上审批服务子系统:协调市及各市区行政审批服务中心,开发和建设网上审批服务系统。以“中国威海”政府网站为门户,将全市主要的行政审批事项和各种数据统计报表业务统一标准、统一管理、集中上网,变串联式审批为并联式审批,实现“一站式”加“一网式”服务。公众或企业需要查询、申报简单审批或上报各种统计数据时,可直接在“中国威海”政府网站上查询、上报各种统计数据及办理部分审批事项,实现“一网式”服务;需盖章、领取证件(批文原件)、提交原件等复杂审批的,可以到政府审批中心实现“一站式”审批或上报。
网上审批服务系统应与政府行政审批中心和办理审批单位建立协同办理机制,保障审批事项通过网络在审批中心和办理单位可以得到满意的答复。
网上审批服务系统主要包括以下功能模块:申报业务管理、审批业务管理、审批业务查询、统计报表及问卷调查管理、限时服务管理、投诉管理等。具体功能如下:
①登记、申报及审批业务办理:政府各部门可在网上实现处理申报和审检各种证件、报表业务等。具体功能包括:
申报系统:使各申报单位可以在申报系统上完成申报流程,同时可以及时、准确的得到审核申请表、当前的审批机构、审批状态、审批意见及应该交纳的费用等信息。
审批机构业务系统:是为各机关受理机构、初审机构、终审机构提供的完整业务处理平台,各级机构在审批机构业务平台上方便的完成接收单位申报的申请表、申报审核等功能,同时各级在发现申报的申请表有错误时可及时完成业务回退,保证“机构内部的错误内部消化”,不为申报单位增加负担。
审批机构业务查询系统:是为各机关的受理机构、初审机构、终审结构提供的业务监控平台,各级机构在审批机构业务监控平台上完成上级机构对下级机构申报业务处理过程的监控,及时了解当前各个机构的业务负载、收费情况、工作效率等信息。
后台管理系统:维护申报系统的正常运行,除了提供对数据库基础信息维护的功能之外,同时还应提供动态新闻等信息的维护手段。
②网上报表管理:在网上下载模板中可输入表格、粘贴图片,能直接把各种文本格式制作的文档进行拖放,并可直接提交。实现网络界面的上载和下载,方便与其它用户交流和使用。
③意见箱(信访、投诉)功能:用户可通过互联网进入该界面,按问题分类给政府相应部门提报意见。授权人可根据关键词和时间,检索意见,查询意见处理情况。
④统计和问卷调查:用户可设定统计表格或调查的题目、有效时间,各类题目可设定为单选或复选,调查结果可自动完成统计列表。
⑤自动限时上报功能:针对政府机关的服务承诺,应设定以上各项对社会的政务服务限时,即某项业务未按时办理或答复时,系统可自动将申报或请示,转报给上一级领导处理。
⑥自动邮件回复功能:以上各项政务处理过程中,系统收到申报或请示后,自动给相关负责人处理提示的同时,可自动给提报人回复一封表示收到的感谢邮件。
(3)网上行风热线子系统:电台行风热线自开播以来,深受公众欢迎,促进了各单位的勤政廉政建设。但是现有模式存在一定的弊端,如:投诉只能在固定时间段;投诉事项只能在每天事先限定类别范围内;每天接听处理投诉或问询的电话不足10个,且电话不易接通;时效性差,某些热点问题重复问询、投诉现象严重;地域或空间限制,投诉或解答不便等。该子系统可以克服以上种种弊端,更加方便公众投诉,实现24小时网上投诉,网上解答,超时自动转报市纠风办或其他政府指定受理部门,常见问题网上直接查询,按部门分类受理投诉等功能。
6、政务决策服务信息系统
利用现代信息网络技术,通过优化整合政务流程,为全市党政机关各部门提供统一的现代化网上办公环境,实现网上办公、网上决策、网上服务。该系统主要包括内部办公自动化子系统、各部门政务管理信息子系统、党委政府值班应急指挥子系统三部分。
(1)内部办公自动化子系统(OA):通过建设公文流转、政务管理、会议管理、督办管理等功能模块,在部门之间、公务员之间实现协同工作。对已有办公自动化系统的单位,将保留其原有系统,并按照统一接口接入信息交换平台;对还没有办公自动化系统的单位,将统一建设并使用新系统。
公文流转子系统与目前政府使用的公文流转系统相比,具有以下优点:一是时效性好,新系统通过宽带实时传输,可实现永远在线。二是安全性好,新系统具有数字安全认证、防火墙等多层防护措施,使传输的公文无法伪造或篡改。三是具有高保真性,新系统可以保证公文的输出样式不发生变化,包括公文的版式、内容等可保持原样。
政府内部办公自动化系统应面向机关办公自动化、网络化以及公务人员协同工作,涵盖日常机关办公事务处理的几乎全部事宜。应包括公文管理、待办事宜管理、会议会务管理、政务信息管理、档案管理、领导日程安排、车辆管理、公共信息服务、讨论组、系统管理等十几个模块。
所有模块都应独立并且可拆卸,各单位可以根据自己所需用模块搭建自己的办公自动化系统。能够很好地结合Microsoft Word、Adobe Acrobat PDF、WPS等格式文件,实现保留修改痕迹、报表打印等功能。提供工作流的图形化定义、工作流监督管理、待办工作列表提醒等功能。使工作流程自动实现,并能够非常容易地适应用户工作流程的转变。支持手写输入、扫描输入等。
⑴收文管理模块:
l签收登记:批量签收与顺序签收,本地签收与远程签收,自动回执,系统自动登记与手工录入登记。
l流转功能:可对收文进行拟办、呈报、批示、电子签名、秘书代批、分送、办理、督办、办结、自动催办与催退、条件催办与催退、流程跟踪,以及人员外出提示、业务往来邮件提示等。
l查询和统计:分类查询,按单位、日期、状态、编号、密级等对收文进行分类;组合查询,输入标题、附件标题、单位、文号、日期、密级、批示领导等查询信息,查找匹配以上条件的收文;全文检索,任意输入一段文字,查找包含以上文字的收文。根据以上查询结果或全部收文按单位、批示领导、月份等信息要素进行统计。
l归档功能:按年度将办结事宜自动归档,或手工归档。
l手写签名、痕迹保留、语音朗读:应保留所有修改痕迹,支持手写签名批示,支持手写签名在内的所有信息原稿打印和文字语音朗读功能。
l开机提醒:应具有开机状态下来文提示功能。
l公文流程记录和管理:公文在各部门内实现自动循环批阅,并及时跟踪公文批阅状态、保存批阅信息,管理员和领导可以通过管理工具查看公文流转过程中的状况。
⑵发文管理模块:实现拟稿、审核、核稿、签收、会签、批示、电子签名、办理、盖章、退文、退稿、备查、提交归档、公开、打印、送印、方案分发、随机分发、销毁等业务操作。
l为保证发文在各部门流转中及时得到处理,业务人员能够决定是否需要催签、催退、回执;发文人可以在收件人未批示之前自行收回所发文件。
l便于文秘部门对发文的管理,支持多种查询方式,可完成统计、汇编等工作。
l为保证发文处理的严肃性、合法性、保密性,一方面不同业务人员应具用不同的权限,如阅读、修改、销毁、公开等权限的合理分配;另一方面,在发文处理的不同业务阶段,即使是同一人,他的权限也应不断地发生变化;又如未办结的发文,不许销毁、公开,只有办理完毕后,才能执行上述操作。所以,要根据业务人员的职责给予恰当的权限,即要使他能顺利完成本职工作,又要能阻止他失误、错误的操作,甚至是蓄意破坏的行为,保证公文可信性。
l公文发出后通过信息的及时反馈,判断执行情况并作以记录,然后对不同的公文执行情况进行统计,统计出个人或部门的文件办结率,以反映各部门工作效率、办事状态。
⑶待办事宜模块:待办事宜是私人的待办任务清单,可以用它记录一些没有限定执行时间的事件,具有提醒作用。功能包括:①登记待办工作,以备随时查阅;②完成工作;③检索已完成工作。
⑷会议会务管理模块:为常规会议和临时会议提供计划、准备、记录、查询的功能。在会议召开前进行会议准备,准备内容包括合理地安排会议的参加人员、时间、场地、内容议题,准备会议文件,发放会议通知等;会议召开期间管理会议日程表、确定接站方案、确定定票方案;会议结束后要对出席情况、议题讨论结果、会议决议等内容作记录并整理会议记要。
⑸政务信息管理模块:提供原始信息管理功能,可录入、删除、修改原始信息条目;提供刊物编辑功能,可预选信息条目、摘登条目内容、组刊、刊号管理;以及刊物查询、统计、汇编等。
⑹档案管理模块:通过建立案卷、修改案卷、删除案卷、编入文件、移出文件等操作,可迅速将相关文件编辑成卷;提供案卷借阅功能,查阅案卷目录、填写借阅申请、批准借阅、自动催退、强制归还等操作。
⑺领导活动日程安排模块:制订活动计划,填写主题、组织单位、活动类型、密级、起草人、集合时间、集合地点、行动路线、活动开始时间、活动结束时间、活动地点、要求等信息,下一步呈报有关领导,领导批示意见,然后下发通知,最后将活动情况向有关领导汇报。
⑻车辆管理模块:管理单位车辆使用的整个过程,从用车的申请、审批、通知,到派车、回车,以及最后的单据的存档、查询、统计等。
⑼公共信息服务模块:应包括机构设置、职能与人员编制简介,单位业务介绍,通讯录,公告板,办公自动化系统使用方法等。提供查询时刻表、国内外区号汇编、列车航班时刻表,并可发布委办局的日常管理制度备公务员查询。
⑽讨论组模块:通过建立讨论主题,相关人员可就该问题展开讨论,并针对某种观点发表看法或答复对方,为政府公务员远程交流思想提供了一个便捷的平台。主要功能包括:①多主题讨论系统②多选项投票系统③设定委办局论坛、科室论坛、项目论坛④全文检索⑤更新报告动态提醒最新的主题回复。
⑾公共数据库查询:使用全文检索系统,实现对法律、法规、规章、政策数据库,政府公报,贸易统计资料等大型数据库的联网查询。
⑿电子签章功能:公文经过拟搞、审核、会签、核稿、签发、编号、校对、排版等环节后,进入电子盖章环节,经过对该公文盖章并加密后,便不能够对该公文进行任何修改,即便通过二进制修改或其他特殊手段,系统也应该立即发现并加以制止。
⒀完善的工作监督和控制:对所有操作都应有详尽的日志记录,能够自动跟踪监督每个工作环节,定期自动总结工作人员的工作内容,并汇总成报告,自动产生工作记录集等。
⒁手机短信功能:对所有公务员进行分类管理,使会议通知、信息传递及时、高效完成。
⒂系统管理模块:维护整个办公系统,应具备管理和维护以下几方面的能力:
l机构单位信息:包括单位名称、级别、性质、隶属关系、公务邮箱等内容,为各项子应用系统提供机构单位的基本信息(独立于具体应用);
l人员信息:包括人员姓名、职务、职务级别、所属单位、邮件地址、电话、传真等内容,为各项子应用系统提供人员的基本信息(独立于具体应用);
l应用数据库信息:包括各项子应用数据库的标题、所在服务器名称、所在路径、文件名、所属应用、年度信息、数据库类型等内容,供各项子应用系统使用,满足它们互访的需求。
l其他功能:设置限制系统的可访问时间、设置限制系统的可访问IP地址范围、查看系统的使用状况统计表(按人员、日期、部门统计)、应直接挂接定制模块、设定模块的访问权限、查看模块日志、非法访问日志等。
(2)各部门政务管理信息子系统(MIS):将各部门的日常业务管理活动优化整合,开发建设各部门业务管理子系统,实现业务自动化、网络化。
按照信息共享、方便查询的原则,将市直党政机关各部门的办公文档和业务数据分类、统计、整合,并进行分析处理,统一上网,为全市党政领导及各部门提供信息查询和决策服务。为各委办局开发人事、财务、统计等业务管理信息系统。
随着业务系统的不断完善和使用,大量的业务数据的不断产生和积累,本系统将建立一套智能前端展现工具给领导提供便于决策的图表信息,并且相关人员能够使用这套工具自动生成报表。
(3)党委政府值班应急指挥子系统:根据党委政府值班制度和应急指挥工作流程特点,在优化整合工作流程的基础上,开发建设该系统,提高政府应急反应机动能力。
其中自动手机点群短信服务功能模块,是利用对特定的用户或用户群自动发手机短信息的方式,为本市党政领导及政府各部门工作人员提供会议信息、紧急事项等自动手机短信通知服务,降低党委、政府两办工作人员的工作强度,节省通信费用,提高工作效率。
7、多媒体信息服务系统
该系统充分利用政府专网,在现有软硬件设备基础上,为党政机关各部门及政府工作人员提供一系列多媒体信息服务,实现服务的增值。该系统包括专网免费电话子系统、音视频点播子系统二部分。
(1)专网免费电话子系统:利用政务专网建设党政机关内部IP电话虚拟交换网,实现机关内部拨打电话免费、外拨电话可以作为大用户优惠收费。从而大幅节省全市党政机关的电话费用。
利用支持语音功能的路由器互连广域网,将路由器的语音模块连接到电话交换机上,各委办局拨打长途电话就可以通过路由器发送到广域网上。通过使用呼叫管理控制器,管理全网的电话系统,路由器或网络交换机的语音模块可直接接入公用电话网,此时所有内部电话就在一个系统内,相互通话全部是分机拨号。
(2)音视频点播子系统:为政府用户提供各种音视频信息点播服务,实现在线视听功能,用户根据个人需要,可在电脑上点播节目库中的音视频信息,并可对视频信息进行检索查询。其中的音视频新闻点播服务器,可为全市党政机关干部提供30天的中央、本省和本市广播电台、电视台的音视频新闻点播服务。
(三)第二期工程建设内容
1、海洋经济信息系统
建设养殖鱼类病害防治专家子系统、各类业务管理子系统以及海洋环境监测、预警信息、水产品市场行情、物资供求等实时监控子系统,实现对海洋资源环境的动态分析、信息共享、联机服务。为我市海洋资源综合利用和经济的持续发展,提供必要的科学依据和辅助决策服务。
2、金农信息系统
建设农产品供求和价格信息子系统、国际农产品信息子系统、农业信息发布子系统以及农业预警子系统等,带动传统农业改造、提高农业生产率和农民素质,帮助农民致富。
3、金水信息系统
建设水利信息公用平台及水利信息网络,全面完成防汛指挥系统、水利政务系统等,建成覆盖全市水利系统的水利信息网络,全面开发水利信息资源。建设和完善一批水利基础数据库,健全信息化管理体制,形成法规、标准规范和安全体系框架,全面提供准确、及时、有效的信息服务。
4、金盾信息系统
基本建成犯罪信息中心和刑侦、出入境、边防、户籍、交通、消防、治安等业务系统,依托金盾工程,建设跨部门的刑事犯罪人员联合管理系统,实现公安、检察、法院、司法四个部门对犯罪(犯罪嫌疑)人员的跨部门跟踪管理和相关信息的分头采集、共享使用。
5、社会保障信息系统
完善并推广社会保障业务系统,在完成低保业务系统开发和试点应用的基础上,实现信息资源共享和基层业务互通,实现社会保障(社会保险和最低生活保障)及医疗保障管理电子化、服务网络化。
四、系统安全要求
从应用角度分析,电子政务系统与其他信息系统的最大区别在于其所承载的信息流和数据更为重要,对安全性、可靠性的要求极高,并且往往涉及到整个政府、单位的利益。而作为一种先进、复杂的信息系统,电子政务系统又必须尽量采用先进技术和手段,以提高政务运转的效率、并增加整个系统的可靠性。威海电子政务设计及实施应该从三个层次考虑这些问题。
第一,对于核心应用系统和关键政务环节,必须确保在各类实施方案中的国内技术自主性。
第二,对于位于核心层外部,但又与其他外部信息系统(如互联网)存在一定可监控的隔绝层,可以尽量采用先进技术以提高系统的效率和可靠性。
第三,对于直接与外部信息系统相连的部分,也要针对不同情况分别加以考虑。对于其中安全监控系统,需要在其中的核心部分(如核心加密算法)确保技术自主,对于其余部分,由于所承载的信息基本都属于非关键信息,并且需要与其他信息系统的接口保持通信协议、数据格式甚至软件体系的一致性。故此,不强求对技术自主性的要求。
随着安全技术的不断发展和安全产品的不断丰富,非技术障碍已经逐渐替代技术和产品的缺乏,而成为严重影响着网络安全策略实施的主要因素。因此,加强法律约束和增大政府部门的监管力度,制定和有效地实施安全制度是减少本系统安全威胁的一种有效方法。
构筑网络安全体系是一项艰巨复杂的系统工程,从健全的安全法规政策,到相应的安全管理策略,再到安全解决方案的选择和实施,每一个环节都是建立网络安全体系不可缺少的。
(一)系统的安全策略
安全策略是网络安全体系结构中最为重要的一个组成部分。它定义了哪些行为被允许,哪些不被允许,并且被用来确定一个组织需要哪些工具和措施来保障安全的实施。本系统基本的安全策略主要应包括以下几个方面:
l计算机使用策略。应定义系统所有计算机资源的合理使用,不论它们是否连接到互联网。
l系统资源的保护。无论系统是否连接到互联网或建立对防火墙进行访问控制,对系统资源的保护都应该是通用的内部安全策略。包括所有工作人员不得访问未经授权的数据和程序、工作人员有责任保护其使用的所有信息以及不允许泄露账号和口令等。
l内部通信策略。电子通信和存储设施这些资源只能为系统服务,不合法和不恰当的信息不得在这些系统上发送和存储,所有通信的内容必须准确。
l用户账号策略。新账号的申请需由系统管理人员批准;账号30天没有使用自动被禁止;在工作人员离开的当天关闭其账号;用户口令长度必须长于7位,并且每60天必须修改口令等。
l远程访问控制策略。允许所有远程接收电子邮件,远程访问内部计算机的设施只能由系统内部工作人员使用,工作人员连接到内部计算资源时必须安装病毒扫描软件并在自己的PC机上采取必要的安全措施。
l资料保护策略。包括资料的处理步骤、存储和传输,需要包括以下内容:禁止传输或发送系统的秘密信息和其他机密;机密信息要保存在专用的文件服务器上,保存在个人计算机上的要进行加密;机密信息在公网上传输时要进行加密和数字签名;从系统外部获取的文件可能会有病毒,因此要用系统认可的杀毒软件进行扫描。
(二)系统的安全性要求
1、系统安全要求
(1)建立访问控制防火墙。在政府内部网络和外部网络之间部署防火墙,建立内外网络的“扼制点”,对进出网络的每个数据包做允许或拒绝的决定,通过严格的访问控制,控制外部网络对内部网络的访问,保护内部网络数据的安全。同时,架设附加的防火墙,就是在中心业务处理主机和数据主机这些关键服务器外加设一重防火墙,也就是“把内部人当作外部人来防”,这样可有效地控制对关键服务器的访问。
(2)使用VPN以及数据加密技术。配合防火墙系统,使用VPN技术和数据加密技术,在各政府部门以及各分支机构中建立安全的数据通信隧道,保证各子网间信息传输的保密性、完整性和确定性。
(3)使用入侵检测系统。入侵检测系统不仅应识别外部网络对内部网络的攻击,还应同时能保护处于SMZ区的内部网络中的关键主机,使其免受来自外部的和内部的攻击。同时入侵检测系统还应和防火墙有机配合,在发现攻击的同时及时做出阻断等响应。
为关键服务器装备基于主机的入侵检测软件(HIDS),监视系统、事件、安全记录及系统日志,当有文件发生变化时,将新的记录条目与攻击标记相比较,如果匹配,系统就会向管理员报警并向别的目标报告,以采取措施,这样能侦测来自于外部的和内部的针对该服务器的攻击。
为关键网络设备装备基于网络的入侵检测系统(NIDS),通过在共享网段上对通信数据的侦听采集数据,使用原始网络包作为数据源分析可疑现象,这类系统不需要主机提供严格的审计,对主机资源消耗少,并可以提供对网络通用的保护而无需顾及异构主机的不同架构。
(4)建立有效的账号管理和访问授权体系。要控制内部人员对网络资源的合法使用,应该建立完善的用户账号约束、口令系统、访问控制、系统监测、数据完整和数据加密等的安全机制,并且还能提供其他如口令验证、信息截取、有效权力、暂停不用的用户ID等功能。以防止内部人员对信息的窃取、修改和删除等破坏。
使用包括用户行为分析功能的内部威胁侦测系统。最危险的安全攻击并非来自于外部黑客,而是来自于内部的网络滥用和篡改,甚至误操作;而更难以发现的是,具有较高权限的账号被非法盗用并在权限内进行信息读取和更改。系统应跟踪所有用户的行为与使用,为每一用户建立行为统计模式,这包括登录与离开的次数、应用实施、打开编辑与删除文件的数目、管理权限的使用以及最常使用的姓名地址录等。任何违反通用行为模式的异常行为都表明该用户的密码被盗用,而应加以控制。
(5)采用基于网络的多层次的病毒防护策略。建立包括主机、服务器、Internet网关以及病毒防火墙在内的全面的防病毒系统,这样不仅能防止病毒对各类系统服务器的感染,也能保护内部网络的主机不受病毒的侵扰,保证整个政府网络的安全。
(6)一个真正安全的系统应该由容错系统和数据备份系统相辅相成,这样的网络系统才能够得到真正的保护。系统构成除了选用质量可靠、运行稳定的计算机、网络设施等硬件外,关键的设备、部件要有相应的安全和冗余机制予以保障。数据库不但要定时进行备份,而且要结合网络管理和虚拟网络的划分,按不同的存取权限对数据进行有条件的增、删、改,在关键的数据服务器上使用磁盘阵列和其它容错技术。
(7)中心机房建设要符合有关国家标准,采取一定的安全防范措施,确保设备的防盗、防毁等,并保证涉密媒体数据和媒体本身的安全。
(8)行政上的管理规章制度也是必不可少的系统安全措施。包括制定:网络操作使用规程、机房管理制度、网络系统的维护制度和应急措施;加强员工安全培训并采用专业安全人员对网络进行管理、维护和升级;必要的话可选择安全顾问公司进行技术支持。
2、局域网安全要求
局域网是各委办局的内部办公网络,对其的安全要求如下:
(1)局域网安全交换:由于局域网的信息传输采用广播技术,数据包在广播域中很容易受到监听和截获,因此应使用安全交换机,利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源。安全交换机不仅应提供企业级交换能力和可管理性,而且需具备背板包监控功能,集成RMON及RMON2代理,支持其他网络安全软件的实时审计、跟踪和设置。
(2)全面的病毒防范:在互联网快速发展的今天,计算机病毒不仅花样层出不穷,而且传播方式也从早期的软盘传播发展到通过电子邮件、服务器或Internet下载来感染,因此针对这样的情况,系统应选择多层的病毒防卫体系。全面病毒防范包括桌面、服务器和网关防病毒等。
(3)操作系统安全:从终端用户的程序到服务器应用服务、以及网络安全的很多技术,都是运行在操作系统上的,因此,保证操作系统的安全是整个安全系统的根本。对操作系统的安全,除了不断增加安全补丁之外,还需要建立一套对系统的监控系统,并建立和实施有效的用户口令和访问控制等制度。
(4)对重要资料进行备份:为了维护单位局域网的安全,必须对重要资料进行备份,以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大损失。
(5)在网络内部使用代理网关。使用代理网关的好处在于,网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过代理网关,进而才能访问到互联网,这样系统管理员便可以比较方便地在代理服务器上对网络内部的计算机访问外部网络进行限制。在代理服务器两端采用不同协议标准,也可以阻止外界非法访问的入侵。还有,代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。
(6)信息保密防范。为了保障网络的安全,也可以利用网络操作系统所提供的保密措施。同时,可以加强对数据库信息的保密防护。针对计算机及其外部设备和网络部件的泄密渠道,如电磁泄露、非法终端、搭线窃取、介质的剩磁效应等,可以采取相应的保密措施。
(三)安全技术要求
1、防火墙要求
作为网络安全政策的有机组成部分,防火墙通过控制和监测网络之间的信息交换和访问行为,来实现对网络安全的有效管理。防火墙应具有五个基本功能:过滤进出网络的数据;管理进出网络的访问行为;封堵某些禁止的业务;记录通过防火墙的信息内容和活动;对网络攻击进行检测和报警。
使用负载平衡算法的冗余防火墙系统,能监测每个防火墙上的用户数目和流量,平等地动态分配单元进出的流量,保证所有安装的防火墙的性能处在最优化状态,这样整个系统处理数据流量的能力比单个防火墙就有了很大的提高。同时,不论处于备用状态还是负载均衡状态下,每个防火墙还监视其他设备的工作状态,当一个防火墙单元失效时,系统会将所有请求重新分配到其他单元上,并达到新的负载平衡。防火墙的冗余解决方案为系统的自然增长提供了完备的可扩缩性,能够方便地管理一群相对低价位的防火墙或者VPN系统协同工作,而不用花费大量的投资升级到单个不具容错能力却价格昂贵的防火墙。另外,冗余防火墙能够提供不停顿的网络安全通信,保证了在正常的维护和升级期间的不间断服务。当要从网络上暂时移去一个防火墙时,系统会自动地将流量重定向到别的防火墙上,而增加一个防火墙时,系统也会自动地将流量重新分配到包括新防火墙在内的每个防火墙上。
2、VPN要求
VPN(Virtual Private Network)虚拟专用网络,是为用户提供的一种通过公用网络安全地对内部专用网络进行远程访问的连接方式。一个网络连接通常由三个部分组成:客户机、传输介质和服务器。VPN同样也由这三部分组成,不同的是VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的(如:Internet或Intranet)。要实现VPN连接,内部网络中必须配置有一台VPN服务器,VPN服务器一方面连接内部专用网络,另一方面要连接到Internet,也就是说VPN服务器必须拥有一个公用的IP地址。当客户机通过VPN连接与专用网络中的计算机进行通信时,先由ISP将所有的数据传送到VPN服务器,然后再由VPN服务器负责将所有的数据传送到目标计算机。VPN使用三个方面的技术保证了通信的安全性:隧道协议、身份验证和数据加密。客户机向VPN服务器发出请求,VPN服务器响应请求并向客户机发出身份质询,客户机将加密的响应信息发送到VPN服务器,VPN服务器根据用户数据库检查该响应,如果账户有效,VPN服务器将检查该用户是否具有远程访问权限,如果该用户拥有远程访问的权限,VPN服务器接受此连接。在身份验证过程中产生的客户机和服务器公有密钥将用来对数据进行加密。
通过使用VPN技术可以把不同防火墙之间的信息先加密再传递,即便这些信息在穿越公共互联网时被别人截获,也无法解密。
3、公钥基础设施要求
PKI(Public Key Infrastructure公钥基础设施)是利用公开密钥理论和技术建立起来的提供在线身份认证的安全体系,它从技术上解决了网上身份认证、信息完整性和抗抵赖等安全问题,为网络应用提供可靠的安全保障。而CA(Certification Authority,认证中心)作为PKI/CA体系中关键的一环和可信的第三方机构,将向用户提供完整的PKI/CA数字认证服务。
PKI的核心是一对互相匹配的钥匙。使用PKI以后,每个用户自己设定一把特定的仅为本人所知的私用钥匙,同时设定一把公用钥匙,并公开发布让其他用户使用。当发送一份保密文件时,发送方使用接收方的公共钥匙对信息加密,而接收方则使用自己的私用钥匙解密。
4、登录控制要求
使用登录控制技术的目的不仅是严防外部入侵,而且还可以防止政务专网内部工作人员未经授权擅自使用其他设备、信息。
对一般登录控制可使用登录用户名和登录密码,对安全要求高的可使用私用钥匙对登录用户名和登录密码进行加密的办法进行;任何重要管理系统的密码,必须有三人以上参与,才能进行修改。同时,任何登录不论成功与否,一律记录备案,以便追查。
5、实时监控要求
入侵监控服务:根据系统的具体情况,提供基于网络和基于主机的实时监控系统,制定入侵监控服务方案,实时监视是否有黑客入侵等异常活动。
网络监控服务:包括网络状况监控(及时了解网络运行情况)、报警事件管理(通过监控系统及时发现隐患,预防突发事件)、网络设备监控(利用网络管理系统,监控系统中的各种设备)、系统监控(监测服务器的系统状态,包括中央处理器(CPU)及内存等,同时提供系统的可用率与使用率等信息,使用户充分利用其系统资源)等。
安全扫描服务:根据系统的需求,采用当前最先进、最通用的网络安全扫描系统,根据各台服务器及网络的拓扑情况,有针对性地建立安全扫描策略解决方案及具体实施步骤。安全扫描服务包括:系统扫描、数据库扫描和网络系统扫描。
安全漏洞修补服务:提供基本安全漏洞修补服务,包括对网络或主机系统以及数据库进行漏洞检测,提供漏洞修补解决方案。
6、安全审计要求
为系统提供网络危险审计,可以检测并报告网络当前存在的遭黑客攻击的危险状况。报告内容包括发现的危险数据以及监控期间发现的其它非正常网络活动,反映网络当前处于何种安全风险等级。
7、制定紧急响应预案
包括①制定一个紧急响应和报告流程②7×24紧急事件响应服务措施③入侵分析④恢复被破坏文件并消除非法文件的措施⑤恢复正常操作办法⑥消除今后的入侵隐患的措施⑦对系统的安全进行重新评估与系统加固方法等。
(四)系统保密性要求
威海电子政务保密设计应遵循国家、省有关规定执行:
1、国保发[1998]1号《计算机信息系统保密管理暂行规定》第七条“计算机信息系统联网应当采取系统访问控制、数据保护和系统安全保密监控管理等技术措施。”
2、国保发[1999]10号《计算机信息系统国际联网保密管理规定》第六条“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。”
3、鲁办发[2000]3号《山东省党的机关公文管理暂行办法》第三十七条“非纸质载体公文应有严格的保密措施。机关内部的计算机网络不得与公用信息网和国际互联网相联。涉密通信、办公自动化和计算机信息系统的建设,须报经市地以上保密部门审批后,与保密设施建设同步进行。”
根据《关于我国电子政务建设的指导意见》的规划,威海电子政务专网中的内容不涉及保密文件。
(五)系统保障要求
保障设计是保证系统正常运行而必须考虑的部分。
1、部署
在部署整个系统时,主要从两个方面进行考虑:一方面,从保证政府各部门内部系统的安全方面的考虑,将互联网建立在防火墙外,互联网作为政府面向公众的一个服务窗口,社会公众可通过利用语音、网上服务、手机等通讯手段进行访问,平台提供群众上访、举报、咨询、交流等的功能,方便群众和政府之间的信息交流。另一方面,从集成和整合现有功能、个性化用户界面方面考虑,将政府机关内部的业务系统、网上办公、辅助决策系统、信息资源监控都通过门户方式来进行组织在一起。
2、割接
系统是否能顺利实现,一方面取决于策划、组织、领导、部门配合等主观因素,但最重要还要取决于计算机系统集成质量这一客观因素。
在制定系统割接方案时,需要考虑采用缜密、灵活的新旧系统割接方案,使新系统的使用不对旧系统产生任何影响,并实现与现有系统的无缝割接。
分批进行系统割接。按照工作量、人员熟悉程度等因素对所有委办局分批进行各应用系统的割接。分批时,可按政务系统不同进行划分,另外先在小范围内试用以便于控制。
在割接时,为了确保新旧数据的一致性,以及确保旧系统的数据能完整、真实、合法地保存和延续,需考虑采用两套系统同时运行的方式来做一个过渡,这种方式可以保证在出现故障时,数据至少可以在旧系统中顺利进行,同时也可以发现新系统的问题或者验证新系统的正确性。
在两套系统同时运行时,需要对新老系统的输出结果进行比较以检验新系统运行正常与否,但这项工作较繁杂,速度较慢,如果在业务进行的同时进行,将会对业务处理的速度产生很大的影响。因此,可考虑利用晚上业务量小时进行比较,或采用自动化的方式(如编写专门的比较程序等)来进行比较。
在割接过程中,如果出现了重大的问题,如:性能跟不上、严重安全漏洞等导致新系统无法继续处理业务,可以考虑采用以下应急措施:暂时切换回原系统继续工作;查找原因准备重新割接。
由于历史数据是政府长期信息化建设积累的一笔财富,将历史数据迁移到新系统中,一方面可以减轻新系统应用的难度和实施的工作量,另一方面,历史数据在决策中起着非常关键的作用,只有充分利用历史数据才能准确地对企业作各种趋势分析。
五、应用软件开发要求
(一)软件的安全可靠性要求
软件的安全可靠性是衡量软件好坏的一个重要标准。安全性指防止对程序及数据的非授权的故意或意外访问的处理能力有关的软件属性;可靠性指在规定的一段时间和条件下,软件能维持其性能水平能力的一组属性。针对本工程所使用的各类应用软件,具体要求如下:
l用户权限限制:软件应按功能模块划分用户权限,权限划分合理,超级用户对各个用户的权限管理合理,包括修改用户的登录资料等。
l用户名和密码封闭性:软件对用户名和密码应进行校验,有保护措施,尤其对密码应有屏蔽功能。
l系统对用户错误登录的次数限制:软件对用户错误登录有次数限制(一般做法是连续三次登录失败就退出系统)。
l留痕功能:软件能提供操作日志,比如某用户登录的时间,查询、修改或删除的动作以及离开的时间等。
l屏蔽用户操作错误:对用户常见的误操作有提示和屏蔽功能,例如能有效避免日期的录入错误或写入无效的日期。
l错误提示的准确性:当用户操作错误或软件发生错误时,能有准确清晰的提示,使用户知道造成错误的原因。
l错误不能导致系统异常退出:当软件发生一般错误或严重错误时,软件能自动退出。
l输入数据有效性检查:当用户输入的数据有错时,软件应能判断数据的有效性,避免无效数据的生成。
l异常情况的影响:在程序运行过程中出现掉电等情况,数据和系统的受影响程度如何;若受损,能提供补救工具。
l网络故障对系统的影响:当网络中断连接时,不会造成数据的丢失。
(二)软件兼容性要求
软件的兼容性是衡量软件好坏的一个重要指标。兼容性是指软件可从某一环境转移到另一环境的能力的一组属性,它包括以下几个属性:软件无需采用特别为该软件准备的活动或手段,就可适应不同规定环境;软件遵循可移植性的标准或约定;软件在该软件环境中可用来替代特定的其他软件。在本系统中,提出以下要求:
1、操作系统兼容性:软件应该具有平台无关性。软件不需要在不同操作系统平台上重新编译就可运行。
2、异构数据库兼容性:各类软件应考虑对不同数据库平台的支持能力,如从Sybase平台替换到Oracle平台,软件可直接挂接,或者提供相关的转换工具等。
3、新旧数据转换:软件应提供新旧数据转换的功能。当软件升级后可能定义新的数据格式或文件格式,这就涉及到对原有格式的支持及更新,原有用户记录应能继承,在新格式下依然可用,同时还应考虑转换过程中数据的完整性与正确性。
4、异种数据兼容性:软件应提供对其他常用数据格式的支持。如办公软件应支持常用的DOC、WPS、PDF等文件格式,即软件应能完全正确地读出这些格式的文件等。
5、应用软件兼容性:一是软件运行需要哪些应用软件支持,二是判断与其他常用软件一起使用,不会造成其他软件运行错误或本身不能正确实现其功能。
6、硬件兼容性:考察软件对运行硬件环境有无特殊说明,如对计算机、网卡、声卡、显卡型号等无特别声明,不能出现软件可能在不同的硬件环境中,出现不同的运行结果或是根本就不能执行的情况。
(三)软件测试要求
在软件测试过程中,一般把发现的错误bug按其严重性大致分为四类:致命错误(系统崩溃或挂起、破坏数据)、严重错误(系统不稳定、产生错误结果、菜单功能无法实现)、一般错误(在完成某一功能时出现错误,但并不影响该功能的实现)、建议项(软件不完善或用户使用不方便之处)。本系统应用软件开发中,对软件测试要求如下:
1、易用性测试
(1)无不符合用户操作习惯的现象。如,快捷键定义不科学、不实用,键位分布不合理、按键太多,甚至没有快捷键。
(2)无界面中英文混杂、界面元素参差不齐、文字显示不全的现象。
(3)应有自动安装程序,不出现安装程序不完善的现象。
(4)无界面中的信息不能及时刷新,不能正确反映当前数据状态,可能误导用户的现象。
(5)无提示信息含意不明的现象。
(6)不能要求用户输入多余的、本来系统可以自动获取的数据。如:服务是否启动,安装后用户需要手动修改某些配置文件等。
(7)某一项功能的冗余操作不能太多。如对话框嵌套层次太多,影响用户操作。
(8)能记忆用户的设置或操作习惯,用户每次进入系统不需要重新操作初始环境。
(9)对复杂的操作有联机帮助功能。
2、稳定性测试
(1)程序运行过程中不能存在不断申请,但没有完全释放资源,造成系统性能越来越低,并出现无规律的死机现象。
(2)无不能重现的错误,有些与代码中的未初始化变量有关,有些与系统不检查异常情况有关。
(3)对一般性错误的屏蔽能力较强。
(4)对输入数据有进行充分并且有效的有效性检查,不能有出现不合逻辑的数据进入数据库的现象。
3、Web应用服务器测试
为方便地开发、部署、运行和管理基于三层、多层结构的应用,需要以Web低层技术为基础,规划一个整体的应用框架,提供相应的支撑平台。这一支撑平台实际上是基于Internet的中间件,即应用服务器。应用服务器通过把用户接口、政务逻辑和后台服务分割开来,向开发者提供一种创建、部署和维护政府规模的Web应用的模块化方式。
对Web应用服务器的测试应以功能度、性能、兼容性、安全性、可靠性作为重点测试方向。
(1)功能测试:主要目的是验证产品能符合J2EE标准的企业级Web应用服务器。测试前,应针对J2EE标准中的JSP、Servlet、JDBC、EJB等主要功能编写测试用例。测试用例应尽量覆盖典型的应用和操作。
(2)性能测试:主要目的是考查在大压力和大数据量情况下应用服务器的最大处理能力和系统响应时间,同时考查不同压力情况下应用服务器的处理能力和系统响应时间。
测试过程中,首先通过JDBC接口与数据库进行连接,制定案例数据库;然后使用功能测试中用到的JSP、Servlet和EJB测试程序,通过Web Application Stress Tool 1.1录制相应的测试脚本,模拟在多用户并发情况下数据库的插入、更新、查询,并记录成功点击次数、点击率等相关参数;最后通过远程监控系统对Web应用服务器的CPU占有率、内存进行实时监控,进行上述数据的汇总分析。
(3)兼容性测试:兼容性部分的测试应分成两部分来考察:即硬件兼容性和软件兼容性。
硬件兼容性主要验证Web应用服务器的硬件配置要求。测试中,可以根据厂商提供的安装手册所承诺的配置信息,来验证功能服务器的硬件兼容性。
软件兼容性考察的方面较多,主要包括系统、数据库、Web服务器、开发工具兼容性、与其它中间件产品的兼容性、J2EE组件的兼容性等。
(4)安全可靠性测试:安全可靠性测试除了要考察用户权限限制、输入数据有效性检查等基本内容外,还应着重考察在大压力和大数据量情况下系统的稳定性,以及验证系统的SSL认证加密机制是否有效等多个方面。
4、其他测试
(1)用户文档完备:没有说明文档的产品不是一个完整的产品,没有说明或没有正确说明的功能是一个没有完全实现的功能,因为用户无法用得起来。
(2)不存在兼容性问题:对硬件平台或软件平台的兼容性如何。比如:在一台计算机上可以稳定运行,而在另一台上运行就极不稳定。
(3)不存在数据接口问题:能提供一些常用文件格式的接口,如TXT文件、Word文件等。
软件测试可从黑、白、灰盒测试和集成测试几种中进行选择,需提供:测试需求分析、测试用例编写、性能功能测试工具、测试过程管理、软件缺陷管理等。
(四)软件文档要求
对于软件,开发者往往只注意到其功能和性能,而忽略了用户手册。其实用户手册也是衡量软件好坏的一个重要标准。好的用户手册可以帮助用户快速入门,是用户正确、充分使用软件的前提。对于开发者来说,好的用户手册可以减少培训和售后服务的费用。所以在本项目中,不能忽略用户手册的重要性,应从以下多个方面考察用户手册的质量。
1、用户手册的完整性:重点考察用户手册内容的全面性与完整性,从总体上把握用户手册的质量。很多软件由于开发过于仓促,在付诸使用时,用户手册中缺少关于某些模块的说明,让用户使用起来比较困难。优秀的用户手册内容应该是包括软件的所有功能模块。
2、用户手册的描述与软件实际功能的一致性:考察用户手册与软件实际功能的一致程度。当确认用户手册基本完整后,我们还要注意用户手册与实际功能描述是否一致。这种问题往往是由用户手册跟不上软件版本的更新速度造成的。对用户来说,容易造成对描述不一致的功能的误解和疑惑,进而影响用户对软件的使用。优秀的用户手册应该根据软件的升级而及时更新,手册描述应该与软件实际功能保持一致。
3、用户手册的易理解性:考察用户手册对关键、重要的操作有无图文说明,文字、图表是否易于理解。对于关键、重要的操作仅仅只有文字说明肯定是不够的,应该附有图表使说明更为直观、明了。优秀的用户手册应该是图文并举,易于理解。
4、用户手册提供学习操作的实例:考察对主要功能和关键操作提供的应用实例是否丰富,提供的实例描述是否详细。当前大量软件的用户手册只有简单的图文说明,而无应用实例。这样的用户手册看起来就像是软件界面的简单拷贝,对于用户来说,实际上没有什么帮助。优秀的用户手册不仅要对主要功能和关键操作提供应用实例,而且对实例的描述应做到详细、充分,易于用户理解。
5、用户手册的印刷与包装质量:考察用户手册包装的商品化程度,印刷质量。有些用户手册是简单打印、装订而成,过于粗糙,不易于用户保存。优秀的用户手册应提供商品化包装,并且印刷精美。
六、系统软、硬件选型要求
(一)服务器选型要求
应具有高可靠性、安全性、可扩展性、可管理性、可用性、易维护性和高温下的工作稳定性;采用的技术应代表当今计算机发展的先进水平;具有优良的可维护性,可操作性和互操作性;系统应有较高的扩充扩展能力;应充分考虑软、硬件的可扩充性和兼容性。设备选型应考虑:
l产品质量优异,性能可靠,适用于长时间的连续运行;
l联机事务处理能力强(64位计算、4CPU以上);
l高可用性(99.999%),当机器出现故障时,能有快速的恢复措施;
l数据安全、保密性好;
l通信连网能力强(支持千兆以太网光纤、铜千兆以太网等接口模式);
l系统易维护、管理(电源、温度和风扇监控);
l系统具有连续的可扩充性和较强的开放性;
l系统的性能价格比高;
应考虑中小型机和PC机集群服务系统的各自特点,择优选择。
(二)服务器容错产品选型要求
1、双机热备份
主要是实现对主要的主机服务器硬件的保护,使用户在服务器硬件损坏的情况下仍然能够实现整个系统的不停机运行。使系统稳定、可靠、有效、持续运行,通过系统冗余的方法解决电子政务系统的硬件可靠性问题,并应具有安装维护简单、稳定可靠、监测直观等功能。选择时应考虑:
l容量从72GB一直扩展到3 TB以上;
l总线带宽为3GB/S以上;
l Web通用图形用户界面(GUI)管理;
2、磁盘镜像
就是系统产生的每个I/O操作都在两个磁盘上执行,而两个磁盘看起来就像一个磁盘一样。使用镜像化磁盘后,当一个磁盘驱动器失败时,系统能够依旧保持数据的可访问能力,提高系统的可靠性。选择时应考虑:
l 24×7持续工作的能力;
l对主机系统性能的影响;
l对失败磁盘驱动器进行更换的难易程度;
3、RAID
就是一旦当某个硬盘出现故障时,能提供实时数据恢复;增加系统持续工作时间和网络可用性;防止数据丢失;多个硬盘并行工作从而提高系统性能。
选择时应考虑:数据可用性、数据保护能力、性能、可扩展性、初始服务器投资、长期服务器运行成本和适用环境等指标。
4、磁盘阵列
选择主要从性能、容量、可靠性等方面来考虑,其中,性能是第一位的。
对于性能的选择,从应用种类角度上讲有两大类:第一种是适用于事物处理类应用的磁盘阵列存储系统。事物处理是目前应用最为广泛的一类应用,它的数据访问特点是每次访问的数据量很小但访问频率要求非常高。它要求存储系统在单位时间内能处理更多的访问次数,而不是更多的数据量。第二类是适用于多媒体类应用和高性能计算的磁盘阵列系统。其特点是单位时间内数据访问次数不多但数据量非常大。
但是需要注意的是同一种类磁盘阵列系统的性能也是千差万别的,例如:单台事物处理类磁盘阵列存储的实际性能可以从几千个I/O每秒到几万个I/O每秒,单台适用于多媒体类应用的磁盘阵列存储的实际性能可以从20MB/s到800MB/s。
对于磁盘阵列系统的实际性能在不同的环境中的测试结果是不同的,例如不同的主机配置、不同的操作平台、不同的主机适配器和不同的连接方式,都会有不同的测试结果。所以一般来说应该采用与实际应用环境相同或类似的环境来测试,例如在单机连接测试时具有很高性能的磁盘阵列系统,在存储区域网络的多主机连接的使用环境中有可能产生巨大的性能衰减,可能只有单机情况的20%,只有具有智能数据重新排队功能的或采用并行处理机制的存储系统才可能没有性能衰减。
(三)备份设备选型要求
所选择的产品应具有以下特性:
l基于Web的图形用户界面(GUI)。
l能远程集中管理数据中心的全部存储任务。
l中央数据库。可将多台备份服务器中的工作记录、事件记录和设备信息等所有存储相关信息都存储在一个本地或远程的中央数据库中。中央数据库能实现运行在多台备份服务器之间的互操作性,这样能从一个管理控制台提供在数据中心内的集中报告、工作记录查阅和设备管理。
l集成的病毒扫描和治愈。病毒扫描机制应能在备份或复制操作过程中自动对病毒进行扫描。借助可选的治愈功能,受感染的文件可立即治愈。另外,病毒扫描机制还应能动态更新病毒标记,确保全面的保护数据。
l支持Microsoft SQL Server、Oracle、Informix、Sybase等数据库。
l支持多种存储设备。包括几乎所有的磁带、可擦除驱动器或光设备以及磁光(MO)介质。
l支持多种认证方法。包括CRC、快速磁带扫描和逐字节认证,保证数据完整性。
l集成的警告通知。应具有多种错误/问题通知方法,包括寻呼机、电子邮件、SNMP陷阱、事件记录或网络广播,且可完全由系统管理员配置。
l增加更多的磁带驱动器。当磁带库的备份速度无法满足备份需求时,磁带库本身将是备份系统的瓶颈,此时应能够通过增加更多的磁带驱动器来缓解;另外,应考虑可以像磁盘一样来实现磁带RAID,从而更明显地提高磁带库的备份效率。
l数据备份的目的是为了恢复,因此数据应定期进行测试、恢复,保证遇到突发事件后备份数据的可用性,需协助用户对数据备份和恢复系统制定一个管理计划方案。
(四)网络产品选型要求
1、核心交换机选型要求
安全可靠的可堆叠性,可灵活选择高速上行链路和线速传输,整个堆栈的多链路群集,先进的软件功能,应具备较强的升级和扩展能力,应易于管理和控制,可以方便地设置虚网和主干端口等。
l IP基础设施系统,如多层智能交换机、路由器以及带有Qos、安全和管理等关键网络服务的网关等;
l支持IP的智能客户端应用,如数字电话、基于软件的电话、视频客户端等应用;
l千兆位密度、数据和语音集成,交换带宽128Gbps以上;
l支持10/100以太网端口、100BASE-FX快速以太网端口和千兆位以太网端口;
l支持设备级的容错:冗余监管器冗余、负载共享性质的电源(直流和交流)、冗余系统时钟、冗余上行链路、冗余交换机网络等;
l支持IP、IPX和IP多点广播第三层交换;
l支持多端口的接入、输出需要;
l具备计费功能;
l千兆以太网模块应符合IEEE 802.3z标准,支持全双工,可以配置SX和LX/LH的GBIC(千兆比特接口转换器)。所有千兆比特以太网端口应有适用于多模光纤(MMF)或单模光纤(SMF)的SC类接头;
l应采用的MAC地址限制技术。在交换机的端口上设置各类PC设备网卡的MAC地址,进行分级权限设定,实现网络用户接入的安全保障。
l要实现网络的可靠性,消除交换机的单点故障,必须采用硬件上的冗余,包括交换机的冗余、交换机之间链路的冗余和服务器网卡的冗余。①硬件冗余:采用2台交换机作为网络的核心层交换机,两者间既互为备份,又均衡负载。②链路冗余及容错:在重要的接入交换机上增加一个2端口的千兆上连模块,并使用2条千兆链路分别上连到核心层交换机,通过配置参数,指定一条链路为主链路,另外一条链路将自动成为备份链路。这样,当主链路或主链路所连的交换机失败时,将自动启用备份链路,保证网络的正常运行。③服务器网卡容错:在各类主服务器上安装2块千兆服务器网卡,分别连接2台千兆交换机,当主网卡或该网卡所连的交换机发生故障时,服务器将会立刻将该网卡上的流量转移到备份网卡上。
2、安全交换机选型要求
l安全交换机首先必须提供企业级交换能力,这要求交换机不仅能提供高密度的快速以太网端口及灵活多样的扩展介质,达到线速的吞吐量并具有很低的转发延迟;还要能有效地消减广播风暴并提供组播控制,以提高网络的性能并减少不必要的带宽浪费;提供端口干路技术,通过两个或多个端口并行连接,同时传输数据,以提供更高带宽及线路冗余。同时,安全交换机还要支持流量控制和优先级控制。流量控制能有效防止交换机在出现阻塞的情况下丢帧,提高了网络交换的可靠性;而优先级控制可以满足重要网络应用优先传输的要求,为QoS应用提供保证。
l安全交换机要提供高可管理性。简单网络管理协议是设置交换机配置和获取交换机状态信息的标准协议,RMON标准用于跟踪流量和会话,对决定网络中的瓶颈和阻塞点是很有效的,标准化网管要求交换机支持SNMP和RMON网管协议。而在管理方法上,安全交换机不仅要支持灵活的本地管理、远程管理和第三方平台管理,还要提供多级访问权限和多种访问认证机制,为管理和监控提供安全保证。
l安全交换机要有完备的安全性能。现在的安全交换机自身能提供对静态地址表的过滤,可以设置成为:凡是在所设静态地址表中的MAC地址发来的数据包,才能为交换机所接受,反之则不能,这样就扩大了过滤的灵活性和可选择的范围,增加了网络交换的安全性。另外,用VLAN将交换机划分为多个子网络,可以将通信限定在同一虚网中,并可以跨越交换机进行统一划分管理。同时,安全交换机中集成的RMON/ RMON2代理,也为其他安全设备提供了数据采集和转发的来源,让入侵检测等安全技术能应用到网络交换的每个端口上,使局域网内部安全威胁降到最低。
(五)网络操作系统选型要求
须具有良好的性能和可伸缩性,具有较高级容错能力,提供集成式安全防护;支持国际通用的大型网络数据库,具有强大的网络管理功能;支持现有的用户系统,支持多媒体环境;提供良好的管理工具供网络管理员使用,还须提供与其他网络操作系统的良好集成,支持多种协议,支持TCP/IP工业标准。
l支持全对称多处理器(SMP)结构;
l支持多线程:多线程技术使多处理器系统中的每个CPU均可以发挥最大效率,从而获得大的并行操作;
l支持多硬件平台等;
l遵从国际标准的图形界面,Openlook和Motif;
l支持下述的数据库系统,如Sybase、Oracle、DB2、SQL Server;
l支持10个以上的业务系统,每个业务系统支持上百个用户;
(六)网络管理软件选型要求
网络管理软件应能在所有主要平台上提供全面业务和管理解决方案。我们希望得到一个全面的网络与系统管理软件:
1、能够覆盖系统中所有的管理对象:系统管理软件能够端对端地管理从桌面机、工作站、服务器,乃至大中小型主机系统;能够管理TCP/IP、IPX/SPX等网络协议,支持网络中所使用的各种网络技术;支持UNIX、LINUX、NT等服务器/客户机平台;支持上述的各种关系型数据库系统。
2、能够提供系统所需要的管理功能:从网络管理的角度,管理软件必须能够提供对系统整个网络中节点的发现、网络拓扑及状态的管理、网络性能的管理、网络设备的配置等网络管理功能;能够提供系统的综合故障处理能力,提供一套完善的故障分析、处理及查询系统。从安全管理的角度,应该提供一套安全的用户管理系统、提供各网段之间及与外部网络之间的防火墙、提供各主要数据库及应用服务器资源访问的安全机制。业务运行数据是系统的重要数据源,如何建立一套与系统业务的运行相一致的数据备份/归档系统、数据灾难恢复系统等也是保证整个威海电子政务业务正常运作的一个重要组成部分。从系统管理的角度,管理软件应该对整个网络中的PC及服务器的资源进行集中的监控、管理,支持对关键应用及数据库服务器的端对端的性能监控分析,帮助精确定位业务系统运行时的瓶颈所在,及时做出调整业务运行的策略。
3、能够为系统提供切实可行的管理解决方案:在整个系统环境中,包括网络系统、服务器系统、数据库系统、应用系统及客户机等复杂的计算环境;将形成以威海市信息中心、下属各委办局作为网络节点的分布式的、分层管理的结构统一的大网。针对这样一个复杂的计算环境,如何在管理软件中建立一个符合系统实际环境的管理模型,将大大简化用户对负载及资源环境的管理,更好的从业务运行的角度管理监控各类资源。
4、能够提供标准的和开放的应用接口及开发工具:符合信息技术未来的发展方向,保护用户的投资。由于威海电子政务是一个多系统、多数据库和多应用平台,多厂商网络及系统设备,多业务应用等复杂的管理环境。因此,具有集成已有的或将来的管理软件的能力是必需的。为此,管理软件必须提供标准的和开放的应用接口及丰富的开发工具,以便集成系统现有的管理软件和将来的管理软件。管理软件应具有广泛的第三方硬件、软件厂商的合作及支持,是一个事实上业界管理软件的标准。
(七)数据库软件选型要求
数据库系统设计选型时应考虑如下因素:
1、分析与数据仓储功能:数据库软件应具有抽取、转换和加载功能,以帮助用户快速、高效地构建数据仓库。使用数据挖掘功能使用户能够强化应用,自动抽取和分发商务智能,提供一套完整的分析数据功能。
2、协作性内容管理功能:对经常存在于文件、电子表格、图象和电子邮件中的数据进行共享,改进决策、提高办公效率并为公务员和市民、企业提供更好的信息。
3、高可用性:系统故障快速恢复、人为错误透明恢复、数据损坏防护,降低计划宕机时间,保证电子政务7 x 24高速运转。
4、可管理性:减少实施标准平台活动所需要的工作。强化通过动态分配CPU和内存提高事务吞吐量,提供对备份和日志的自动处理,加强管理员对数据库可恢复的信心。
5、可伸缩性和性能:应提供几乎无限的可伸缩性和可靠性,或改善系统的性能和可伸缩性。
6、安全性:构建多层防护基础上的集成安全性解决方案,使威海电子政务数据的安全风险降至最低程度并对之实施有效管理。
(八)电子邮件产品选型要求
电子邮件是通过网络进行信息互动的最基本手段,是信息时代人类交流必不可少的通信工具,电子邮件已成为政府信息化中的主要环节之一。其产品选型主要应考虑的因素有:
1.电子邮件系统的稳定性和可靠性:保证7×24小时不间断地邮件服务;邮件不丢失,确保能准确送到目的地;邮件不延时,确保能准时送到目的地;邮件格式和内容在发送、接收全过程中无损失;邮件收发速度快等。
2.电子邮件系统的安全性:安全性的要求涉及内部及外部的各个环节,如内部的权限管理、认证、加密、数字签名、防止人为的机密外泄等,以及外部的防病毒、黑客攻击、冒名发信、垃圾邮件、解密等。
3.电子邮件系统要具有高度的可管理性:对不同地区、不同部门机构的不同邮件账号要进行合理的域管理、组管理和权限管理;对不同组的邮箱可以进行容量设置,对流转在各地区、各部门机构之间的信息进行高效的共享控制,既要能促进信息资源的利用,又可以避免信息资源的共享失控。
4.电子邮件系统要具有实用易用的扩展功能:应具有在不同部门之间的各类通知、新闻、培训资料的发布和邮件投递功能;不同部门机构不同专题公告栏、讨论区的信息发布与交流;不同重要性的日程安排和提醒;各类标准格式公文模板的自动生成;直接转发到邮箱用户的手机、呼机甚至电话、传真等功能。
(九)安全产品选型要求
1、防火墙
防火墙应具备的基本功能是:管理进出网络的访问行为、封堵禁止的业务、记录通过防火墙的信息内容和活动、对网络攻击进行检测和报警。
选型时应考虑如下因素:
l能够分析足够数据的防火墙。选择将包过滤(PF)技术与应用代理技术兼容的防火墙。虽然防火墙主要对流经网络的信息进行分析,但是为了使过滤更彻底,使用应用程序代理技术的防火墙。处理通信协议的问题,会比包过滤(PF)防火墙更有效,它可检查包含在每个数据包中实际的破坏程序。
l防火墙必须监控操作系统。防火墙必须保持对操作系统和任何应用程序软件进行不间断的定时检查,这即要求防火墙包括一种关闭服务的机制。多数操作系统中有很多协议端口,而从安全防护的观点看,所有这些端口并不是通信所必需的,它们应能被这种关闭服务机制逐一关闭。
l能够进行平稳的防火墙架构升级。防火墙架构升级至关重要。在总部使用大型服务器时,远程办公室可以使用较小的防火墙设备。企业可以将它们集成在一起,通过一个控制台进行管理。
l安全性与过滤速度二者兼顾。为了提高过滤速度,最新的应用程序代理防火墙在技术上采用了“最佳适合”的规则,监控数据。
l第五,集成了其它安全技术。这些安全技术指基于网关的先进应用程序,如可提供集成内容管理、加强的认证、命令过滤、应用程序炸弹防范、入侵检测、邮件扫描、病毒保护、活动内容扫描、缺陷管理以及虚拟专用网络的能力等。
l能够分析足够数据,应是能够将包过滤技术与应用代理技术兼容的防火墙;
l必须监控操作系统;
l动态口令身份识别;
l能够进行平稳的防火墙架构升级;
l安全性与过滤速度兼顾,满足1000M带宽的需求;
l提供容错热备份技术,当两台防火墙设备并行运行时,其中一台发生故障,另外一台防火墙将继续安全工作;
l使用负载平衡算法的冗余防火墙系统;
l集成其它安全技术,提供H.320和QQ支持;
l有多端口扩充功能;
2、入侵检测
首先,从性能上看,是否能捕获全部传输的数据包;第二,应该看入侵特征库的大小,越大的数据库,检测的入侵特征越多,也就是说其防御能力也越强;第三,应关注的是检测到入侵情况后响应的方式如何,报警能力如何,生成的报表情况如何。选型时应考虑如下因素:
l千兆速率;
l安全管理器;
l网络漏洞扫描;
l基于主机的入侵探测;
l基于网络的入侵探测;
3、安全扫描
l具有友好的用户界面;
l提供清晰的安全分析报告;
l安全系统的软件分析和安全政策估价应简化日常浏览的工作量,通过大量的报告和图表而非扫描执行结果的简单罗列,提供给安全管理员,使一个安全工程师就可以有效地管理服务器与成千用户,大大减少网络安全系统运行维护成本和人员成本。
4、防病毒
选型时应考虑如下因素:
l具有个性化的解决方案;
l要易用并可定制,提供单机、子网或全网查杀的定制能力;
l技术、服务要可靠,每周至少升级一次,7X24小时专家咨询服务;
l技术要有延展性,应是有完全自主知识产权内核代码的杀毒产品;
l升级要流畅,系统解决网络中杀毒产品的版本升级问题;
l应具有网关防病毒、邮件和文件防病毒以及个人计算机防病毒能力;
七、培训计划
(一)管理培训
威海电子政务起步时,为了少走或不走弯路,有关领导应到美、日、加拿大、新加坡等电子政务先进国家或国内先进省市学习和借鉴他们的经验和教训。
学习先进国家政府如何统一筹划、建设电子政务平台,整合政府运作程序,建立单一的“电子窗口”向社会公众提供方便快捷在线服务的能力。学习他们通过专门的应用系统,如政府采购系统、电子化税费缴纳系统、社会福利支付系统、电子邮递服务系统等,从各方面改变政府工作方式的办法等。该培训在年内进行,参加者8-10人。
(二)技术培训
为保证威海电子政务的长期稳定运行,应对参与管理、运行的技术人员进行系统的网络知识、软件知识培训和认证,对主要软、硬件设备都应做到专项培训。总培训量每人应达到300小时以上。该培训在年内进行,参加者5-10人。
(三)公务员培训
向公务员宣传电子政务知识,是推行威海电子政务的前提。电子政务能否取得成效的关键是人,尤其是政府的公务员。必须提高全体公务员对电子政务的认识,要使他们真正认识到,在纷繁复杂、瞬息多变的国际环境中,在快速发展、不断扩张的全球市场经济条件下,要增强政府的适应能力和应变能力,提高政府的宏观调控和为民服务水平,实施威海电子政务是势在必行的。并将信息化培训纳入公务员上岗的考核范围,设定信息化培训资格证书制度。该培训需分年度进行,参加者为全体政府公务员。
八、建设措施
要搞好威海电子政务,重点在领导,关键在协调。领导的观念要转变,应打破原有的传统观念和从局部利益出发的观念。政府各部门之间需要协调,不能只在自己部门做,需要注重整个政府信息的共享,和其它部门配合,在一个平台上为社会服务。
具体措施包括:改革政府管理模式,提高工作效率和质量,优化政府的业务工作流程;继续完善威海市综合信息平台,加快建设高速宽带政务网络系统;大力整合政务信息资源,建设和改造一批政务数据库,推动政府信息资源对社会的开放;集中财力,多渠道筹措资金,加大政务信息化建设资金的投入;加大信息化标准和信息安全工作力度等。
(一)成立威海电子政务技术实施小组
成立威海电子政务技术实施领导小组,负责总体规划和制定《威海电子政务工程总体规划方案》,并统一组织实施。名单如下:
组长:王亮 政府副秘书长、信息产业局局长
副组长:王德兴信息产业局副局长
王祖舫信息产业局副局长
杨军 信息中心主任
成员:马龙、赵东旭、王晓琴、徐连敏等。
(二)可持续性发展
在电子政务的建设时,应考虑到发展中出现的问题。随着威海市社会与经济的不断发展,现代信息技术的进步,电子政务的某些功能或者某些技术必然不能适应新的需要,不能实现既定的电子政务目标。为了解决这个问题,必须建立一套威海市电子政务持续发展机制。从以往的电子政务实施经验看,电子政务建设可以通过倾斜投资在短期取得大幅进展,但电子政务应用的拓展却是没有止境的。电子政务建设是一个长期的过程,必须有持续的努力,电子政务建设才能够取得成功。电子政务的可持续发展不仅要求抓住目前的有利机遇,快速、有计划的发展电子政务,更要为未来电子政务的发展创造一个良性环境和一个不断发展完善的机制。
电子政务的安全体系要从安全机制、安全服务与安全管理等多方位进行建设。安全管理要上升到政策法规的高度,安全服务和安全机制包括身份鉴别、访问控制、数据保密、数据完整、防止否认、审计管理、可用性和可靠性等。要抓住问题的实质,找出信息安全最薄弱的环节,制定策略,加以防范。
目前许多政府部门在建设电子政务系统时出现盲目仿效的现象,而对自身所处的综合信息环境缺乏了解和评估,导致电子政务系统脱离实际环境,产生浪费系统资源或资源不足等问题。因此我们在规划威海电子政务建设时,不能忽视其所处的综合信息环境。
目前许多政府部门在做电子政务规划时,强调建设而忽视运营维护管理。在建设的资金与人力投入上有明确规划,但对于系统建成后的运营与维护缺乏人、财、物的投入规划。这是电子政务系统的极大隐患。因此威海电子政务在开始规划时就应考虑今后运营时的基本条件,如系统管理与技术支持、系统管理与运营经费、设备更新与软件升级、使用者培训以及推进信息化工作的各项措施等,防止出现虎头蛇尾的现象发生。
为了实现可持续发展,威海市电子政务建设应该包含规划、决策、实施、运营、评估、改进等环节。这些环节组成了循环发展的电子政务流程,最终达到与时俱进、不断更新、持续发展的战略要求。
九、系统实施计划
(一)前期准备阶段
一是在2002年12月底以前,根据政府意见确定网络建设运营商并签定建设和运营合同;二是按照审定的《方案》要求,对工程承包商和监理商进行招评标;三是同中标的承包商和监理商共同制定实施方案和验收标准。
(二)工程实施阶段
第一期工程(2003年1月到2003年12月):一是测试验收政务通信专网;二是完成建设电子政务基础平台、安全监控和备份中心;三是基本建成政府办公业务资源、政务决策服务、和多媒体增值服务信息系统;四是组织协调有关部门启动三大数据库和综合地理信息系统的建设,部分完成数据录入工作;五是市直30个委办局和环翠区、荣成、文登、乳山、高区、经区政府办公室(管委)接入本系统。
工程分工情况:威海电子政务工程是一项涉及到政府各部门的、庞大复杂的系统工程,在建设过程中必须坚持统筹规划、统一协调、分工实施、协作并进的原则。市信息化工作领导小组负责整个电子政务工程建设的领导和协调工作,并制定有关管理政策;市信息产业局(市信息办)负责总体组织和指导工作;各职能业务部门分别承担相应建设实施任务。
十、服务要求
信息服务不同于其他服务行业的特性,就在于它的高技术含量、高管理内涵和实施的复杂性。这就需要该项目供应商具备全面的服务能力,在服务机构、服务队伍、服务手段上进行规范化建设。
服务机构是信息供应商整体服务能力的基础架构,应具有网状的、层次递进型的体系结构确保快速、高效的服务响应;服务队伍的专业技能与综合素质是服务顺利实施的基础,应有一支专业素质过硬的服务队伍,并获得了有关资格认证;服务手段的多样化、现代化为服务的实现提供硬件保障,除了邮寄、电话、传真通信、远程联网数据服务等手段,我们可获得在线的、个性化的服务支持。
(一)售前服务
主要应是帮助客户最大程度地发挥软件的效用,结合自身的经验,有针对性地为客户设计所需要的解决方案,并运用自己的实施策略制定切实可行的实施方案,以保证软件能与其它系统的有机集成。
l提供免费上门演示服务;
l提供详尽的系统实施方案;
l提供细致的系统咨询服务;
(二)售中服务
为客户提供一个快速了解自己软件的途径,新公务员通过培训,尽早进入角色;老公务员通过培训,更深入地了解软件及其新版本的功能和特性。
l提供高质量的现场安装服务,包括软硬件系统安装及调试;
l提供实地操作培训服务;
l根据需求提供专业的二次开发服务;
(三)售后服务
系统开发商提供年度客户服务计划,为客户提供每天24小时,每周7天的技术支持服务。内容包括热线电话、Web在线支持、远程调试、产品升级、客户关系管理等。
l一年内免费提供技术服务;
l 7Χ24小时电话咨询服务,并可通过传真、电子邮件等方式得到相关技术人员的热线支持服务。
l 7Χ24小时Web在线支持服务,即时回答问题;
l上门服务:一年内,市区委办局一小时内到达,高区、经区二小时内到达,三市(县)四小时内到达;一年后,一小时内响应,八小时内解决。
