鹰之旅 Falcon's Blog

出处：北京市信息资源管理中心　      日期：2005-11-23

http://www.echinagov.com/echinagov/zixun/2005/11/23/5837.shtml

目     录

　　第一章  总体技术框架模型
　　第二章  网络基础设施 
　　一、网络结构
　　二、原则性意见
　　第三章  政府信息资源
　　一、政府信息资源构成
　　二、原则性意见
　　第四章  应用基础支撑平台
　　一、应用基础支撑平台结构
　　二、原则性意见
　　第五章  应用系统
　　一、应用系统分类
　　二、原则性意见
　　第六章  门户及访问渠道
　　一、门户分类
　　二、访问渠道
　　三、原则性意见
　　第七章  信息安全保障
　　一、信息安全保障体系
　　二、原则性意见

[separator]

      第一章  总体技术框架模型

　　北京市电子政务的总体技术框架模型如图1.1所示，主要包括网络基础设施层、信息资源层、应用基础支撑平台层、应用层、门户层、访问渠道、信息安全保障体系和标准规范与管理体系。服务对象主要包括企业、公众、政府和公务员。

                                                                            图1.1 北京市电子政务技术总体框架模型

　　1、网络基础设施层在模型中处于最底层，是支撑北京市电子政务和"数字北京"的重要基础设施，包括市级、区县级有线专网和无线专网，以及公众网。

　　2、信息资源层构建于网络基础设施层之上，并为上层的应用基础支撑平台层提供各种信息资源，主要包括共享信息资源、目录资源及各部门业务信息资源。

　　3、应用基础支撑平台层在整个模型中承担着承上启下的关键作用，处于应用层和信息资源层之间。

　　4、应用层是在应用基础支撑平台层基础上构建的各种电子政务应用系统，主要包括职能部门的行业应用系统、跨领域综合性应用系统以及面向领导决策的综合性决策支持系统等。

　　5、门户层是整个电子政务系统面向最终用户的统一入口，是各类用户获取所需服务的主要入口和交互界面，由首都之窗和政务专网门户组成。

　　6、访问渠道是指用户访问电子政务门户的方式与途径，用户可以通过手机、电话、互联网、信息亭、电视等渠道进行访问，实现任何时间、任何地点的多渠道访问。

　　7、电子政务标准规范包括专用于电子政务的标准规范和综

　　合现有信息技术的标准规范两大部分，它是确保电子政务应用系统设计、建设和运行符合相关标准的保障体系，在模型的各层都有相应的标准规范。

　　8、管理体系是确保电子政务应用系统得以顺利建设和正常运行的保障体系，包括模型中各层的建设管理和运营管理。

　　9、信息安全保障体系是确保电子政务安全运行的保障体系。信息安全贯穿于电子政务的各个层面。

　　第二章  网络基础设施

　　一、网络结构

　　北京市电子政务的网络基础设施包括有线政务专网、无线政务专网和公众网等。

　　1、有线政务专网

　　有线政务专网分为政务内网和政务外网两部分，它们和公众网络之间的关系如图2.1所示。其中，政务内网与政务外网之间是物理隔离；有线政务专网和公众网络之间是逻辑隔离。

图2.1  政务内网、政务外网与公众网的关系

　　政务内网主要承载市、区县党政机关涉密办公业务。它的边界为市、区县党政机关、人大、政协、法院、检察院等单位。

　　政务外网主要承载的业务是各委办局的各类纵向业务信息系统及跨部门的共享信息系统。它的边界为政府机构到街道、乡镇。

　　2、无线政务专网

　　无线政务专网主要承载全市无线综合指挥调度和数据通信业务，可划分为若干虚拟专网，由市级管理调度台进行统一管理，相关单位根据情况设置管理调度台或通信调度台管理本虚拟子网。

　　3、公众网

　　公众网络则是指以互联网为代表的各种社会公用网络资源，这些资源是政务专网的有益补充，是政府面向公众和企业提供服务的重要途径。

　　二、原则性意见

　　1、政务专网必须统一规划、集中建设、应用驱动、注重实效。政务专网覆盖不到的地方，可以考虑利用公众网。

　　2、各区县负责对本级有线政务专网进行完善和改造，保证市级专网和区县级专网的全网连通。

　　3、有线政务专网统一监管、分级维护。市政务网络管理中心负责整个有线政务专网的运行监控；市级政务专网和区县级政务专网分别由市、区县有关部门负责运行维护。

　　4、有线政务专网的IP地址必须实现统一管理、规划和使用，减少因地址转换引起的网络传输瓶颈。

　　5、各部门电子政务应用系统建设应依托于有线政务专网，充分发挥该网络的作用。

　　6、各部门的无线指挥调度业务需求均应统一规划，作为无线政务专网虚拟子网。

　　第三章  政府信息资源

　　一、政府信息资源构成

　　信息资源的构成如图3.1所示，主要由共享信息资源、目录资源和各部门的内部信息资源组成。

　　1、共享信息资源

　　(1) 基础信息资源

　　基础信息资源主要指各职能部门在业务处理过程中均需使用到的基础性、战略性的公用信息资源。

                                                                                              图3.1  信息资源组成

　　(2) 可共享业务信息资源

　　可共享业务信息资源是指其他部门在业务处理过程中需要用到的信息资源，这类信息资源能够为跨领域、跨部门的应用系统提供数据支撑。

　　(3) 综合信息资源

　　综合信息资源是指在各部门的业务信息资源基础上，经过分析、整合之后形成的综合性信息资源。

　　2、目录资源

　　(1) 数据目录

　　数据目录提供各政府部门产生的数据的描述信息。数据目录以元数据为核心，能够实现资源的统一描述、发布、检索和导航，便于实现分散信息资源的定位、交换和共享。

　　(2) 服务目录

　　政务信息服务目录包括各部门所拥有的信息服务和应用系统的元数据信息。通过对服务元数据的管理，将可以实现服务的统一描述、注册和发现，便于实现各部门之间的服务共享和业务协同。

　　(3) 用户目录

　　用户目录主要包括了北京市电子政务各类用户的基本信息；通过用户目录的统一管理和身份认证，可以实现用户的单点登录服务。

　　二、原则性意见

　　1、人口、法人、自然资源与空间地理、宏观经济等四大数据库属于共享性基础信息资源，应在统一规划的基础上，按照"逻辑集中、物理分布"的原则建设。

　　2、全市公务员数据库应统一建设和维护，通过统一的身份认证和授权机制实现公务员在政务专网门户的单点登录。

　　3、可共享信息资源的元数据库应在统一规划的基础上由各相关政府部门共同建设；对于明确需要共享的数据，必须按照要
求和标准同时生成元数据，以实现信息资源的共享。

　　4、对信息资源进行合理分类，形成一套完善的政务信息资源框架体系；按照"以点带面，逐步推广"的思路，首先在重点部门或重点领域开展以元数据为核心的目录体系建设。

　　5、各部门的重要信息资源应根据有关规定和要求制定配套的应急预案和备份策略，并做好数据灾备工作。

　　第四章  应用基础支撑平台

　　一、应用基础支撑平台结构

　　北京市电子政务应用基础支撑平台由基础组件层与核心服务层构成，如图4.1所示。

图4.1  应用基础支撑平台结构图

　　基础组件层由数据目录管理访问组件、服务目录管理访问组件、数据适配组件、数据访问组件、服务适配组件和消息通信组件等面向信息导航、交换与共享、应用整合、业务流程整合的基础组件组成。

　　核心服务层则主要包括以下基础性服务：

　　1、安全服务：面向不同的应用提供各种不同安全级别的身份认证服务、授权服务、数据加密服务和数字签名服务等。

　　2、目录服务：提供信息资源和服务资源的注册、更新和管理服务。

　　3、导航服务：提供对结构化数据与文本、图像、声音等非结构化数据，以及功能服务的检索服务和智能搜索引擎服务，为用户获取数据或者服务提供合理的获取方案。

　　4、数据获取服务：获得所需数据资源的目录信息，并通过数据访问组件和数据适配组件等实现用户对数据的访问获取，实现跨部门的数据交换与共享。

　　5、功能获取服务：获得所需服务资源的目录信息，通过服务适配组件和服务目录组件等实现用户对服务资源的获取与调用，从而实现业务的共享、整合及跨部门的协同。

　　二、原则性意见

　　1、应用基础支撑平台由一个市级平台和若干区县平台构成，采用星形结构，以市级平台为中心节点连接各区县平台。各区县平台应参照市级应用基础支撑平台的体系结构。

　　2、应用基础支撑平台在建设中，应为各个委办局的信息系统提供统一的接口和接口开发工具，并能为委办局业务应用系统的开发提供相应的服务。

　　3、各委办局在开发信息系统时应着重考虑自身的业务功能，对于电子政务应用基础支撑平台已有的功能模块应充分利用，避免重复建设。

　　第五章  应用系统

　　一、应用系统分类

　　各职能部门建设的电子政务应用系统主要包括职能部门的内部办公系统、纵向行业应用系统、跨部门的应用系统和面向领导的综合决策支持系统等四大类。

　　二、原则性意见

　　1、新建的跨部门电子政务应用系统应通过应用基础支撑平台实现信息资源的交换和共享，应用基础支撑平台已能提供的公共服务均不得重复建设。

　　2、需要利用应用基础支撑平台提供服务的应用系统应通过规范的标准接口与平台进行对接，以获取各类基础性服务，或通过平台获取所需信息资源。

　　3、各类电子政务应用系统应根据系统的重要程度和相关要求制定相应的应急预案。

　　第六章  门户及访问渠道

　　一、门户分类

　　北京市电子政务门户主要包括"首都之窗（包括中、外文版）"和政务专网门户两类。

　　1、首都之窗

　　"首都之窗"是北京市政府面向公众与企业的门户，是由北京市各级政府机构和部分事业单位的门户网站组成的网站群，其主站点是网站群的内容导航站点和统一入口。

　　2、政务专网门户

　　政务专网门户是面向全市政府工作人员的政务门户网站。支持单点登录，能够为用户提供个性化的服务。

　　二、访问渠道

　　用户可以使用多种终端设备，通过多种访问渠道，实现任何人在任意时间、任意地点均可享受权限许可的电子政务个性化服务。

　　主要访问渠道包括：电话网、因特网、政务专网、信息亭、数字电视和无线网络等。

　　三、原则性意见

　　1、首都之窗是北京市政府面向公众和企业的门户网站，各委办局及区县门户网站应纳入到北京市政府网站群中，并在首页显著位置加入首都之窗网站群的统一标志("LOGO")。

　　2、政务专网门户作为公务员政务工作的门户网站，除了安全要求高的应用系统外，各部门应将有关电子政务应用系统纳入到门户网站中，为公务员和政府领导提供信息服务。

　　第七章  信息安全保障

　　一、信息安全保障体系

　　1、信息安全保障体系结构

　　信息安全保障体系建设是电子政务建设的重要基础设施，其主要目的是通过信息安全保护和防御以确保电子政务信息和应用系统的保密性、完整性、可用性、可控性和不可否认性。

　　信息安全保障体系包括统一的电子政务信息安全策略、信息安全技术防范体系、信息安全管理保障体系、信息安全服务支持体系和信息安全保障标准规范体系，如图7.1所示。

                                                                                           图7.1 信息安全保障体系

　　信息安全技术总体框架包括等级保护框架和分域保护框架，如图7.2所示。

图7.2 信息安全技术总体框架

　　2、分域保护框架

　　根据电子政务系统组成结构，基本的安全域可以划分为电子政务域、公众网络域、公众用户域、基础服务域。根据安全策略需要，安全域可以包括多级子域，相互关联的安全域也可以组成逻辑域。

　　（1）电子政务网络域

　　网络基础设施层及其上层的安全保护功能的实现应由接入政务专网的用户系统负责实现。

　　（2）电子政务业务处理域

　　电子政务业务处理域（简称"业务处理域"）包括那些在政务部门管理控制之下，用来承载电子政务业务系统的本地计算环境及其边界，以及电子政务信息系统的内部用户。业务处理域内主要包含相应政务部门的政务内网域、政务外网域和公众服务域，有些政务部门还有内部自成体系的独立业务域。每个子域都对应的本地计算环境和边界。政务内网域与政务外网域物理隔离，政务外网域与公众服务域逻辑隔离。

　　（3）电子政务基础服务域

　　电子政务基础服务域主要包括为电子政务系统提供服务的信息安全基础设施。北京市已建和筹建的信息安全基础设施有：电子政务数字证书中心、信息安全测评中心、信息安全应急响应中心以及远程灾备中心等。

　　（4）公众网络域

　　公众网络域是指不属于政务专网域范围的公众通信网络基础设施。公众网络域包括互联网和提供互联网接入服务供应商（ISP），也包括公共电话网（PSTN）和其它网络。

　　（5）公众用户域

　　公众用户域包括在客户的管理控制之下的网络和信息系统，可以通过其访问电子政务公众服务。客户网络领域可以是一个内部的个人计算机，它经由ISP与公众网络连接，此时ISP位于公众网络中。此外，公众用户域可能是一个企业的内部网（Intranet），它由多台工作站组成，有更规范的控制。由于公众用户域存在于电子政务域之外，对公众用户域的信任水平取决于管理控制的实际范围。

　　3、等级保护框架

　　等级保护相关的几个基本要素是：信息系统资产和使命、安全事件造成破坏的影响、安全威胁、安全对策和措施。安全威胁通过对信息资产的破坏，影响信息系统履行其使命，也就是以信息系统为基础的相关业务的安全开展。信息系统资产和使命，安全事件造成破坏的影响是决定系统的重要性的两个主要要素。

　　等级保护是对信息系统重要性（信息系统使命和资产、安全事件造成破坏的影响）、安全威胁、安全对策和措施分级结构，以保证对某一等级的信息系统"恰当的"选择安全对策和措施。等级保护的安全对策和措施要求是对信息系统安全保障的通用要求。应根据系统实际面临的安全威胁，在不超越等级的范围内合理选择安全对策和措施，将残余风险控制在可接受的水平。

　　信息系统安全等级划分与《党政机关信息系统安全测评规范》DB11/T 171-2002的安全类型一致。

　　4、信息安全技术防范

　　信息安全技术防范按保护范围可分为网络和基础设施保护，系统边界和计算环境保护和应用安全保护三个范围。信息安全与电子政务各个技术层面都有关系，它作为服务嵌入到电子政务技术总体框架各个技术层面中。

　　（1）信息安全基础设施

　　信息安全技术防范体系的基础设施主要是公开密钥基础设施(PKI)。建立统一的PKI，是建立统一的电子政务信任服务体系的基础。PKI的核心是数字证书认证和管理中心，主要由认证中心(CA)、审核中心(RA)和密钥管理中心(KM)组成。CA中心提供的主要服务包括：证书签发、CRL发布、证书状态查询、证书存储和受理审核等。

　　（2）信息安全支持平台

　　信息安全支持平台以信息安全基础设施的服务为基础，对应用系统提供统一的信息安全基础技术服务，以构造统一的信息安全技术体系。

　　（3）网络和基础设施保护

　　网络和基础设施保护范围为网络通信基础设施、网络基础服务系统和信息安全基础设施。安全保护的主要内容为通信网络设施、重要网络节点和基础设施机房的物理安全；网络通信信道的安全；网络基础服务系统和信息安全基础设施的安全。

　　（4）系统边界和计算环境保护

　　系统边界安全保护主要包括系统边界的安全隔离和检测与监控。计算环境的安全保护主要包括：计算环境内部的物理安全、网络安全、关键主机保护、系统安全和计算环境可用性。

　　（5）应用安全保护

　　应用安全保护主要包括以下内容：用户的身份认证、授权管理和访问控制；应用层安全审计；敏感信息的保密性、完整性、可用性和抗抵赖性；应用服务的可用性。

　　二、原则性意见

　　根据中办发[2003]27号文件，"坚持积极防御、综合防范的方针，全面提高信息安全防护能力"是国家信息保障工作的总体要求之一。"积极防御、综合防范" 是指导电子政务信息安全保障的总体战略方针。

　　"积极防御、综合防范"方针要求电子政务系统信息安全保障综合采用防护、检测、响应和恢复等多种安全措施和手段，覆盖安全保障各个环节，对系统进行动态的、综合的保护，在攻击者成功地破坏了某个保护措施的情况下，其它保护措施仍然能够有效地对系统进行保护。

　　安全管理不仅是重要的安全保护措施，也是安全技术有效发挥作用的关键。建立运行全面的信息安全管理体系，是电子政务信息安全保障的重要内容，也是积极防御、综合防范方针的基本要求。