信息资源共享体系由目录服务体系和数据交换体系组成。信息资源共享体系为公务外网提供对信息资源的有序、透明、安全、可控的访问; 对分散、异构的信息资源提供导航、访问、交换、共享和整合。信息目录体系为信息资源提供登记、定位和浏览服务; 数据交换体系为信息资源提供数据交换、数据格式转换服务。
目录服务体系是实现信息资源共享的重要基础。它提供信息资源的查找、浏览、定位功能。通过目录服务体系的信息定位为数据交换体系获取信息资源提供获取位置和方式。
目录服务体系主要的核心技术是元数据技术。目录服务体系由元数据网关、元数据服务器、元数据目录服务及元数据库组成。
唐山市政府公务外网数据交换系统总体框架采用“三横两纵”的总体框架结构:“三横”为流程层的流程管理系统、应用层的数据交换与服务及数据层的应用适配器系统,“两纵”为支撑“三横”的配置管理以及监控系统和安全支撑系统。
2.信任服务体系
基于密码技术的信任服务体系为应用支撑体系、安全接入体系和应用系统提供身份认证、授权服务、责任认定、网络信任域资源管理等信任服务。
信任服务体系包括: 公钥基础设施、授权管理基础设施、授权服务系统、责任认定服务设施、实体鉴别器和网络信任域资源管理系统。
3.应用服务体系
业务应用服务体系含基础层、组件层、功能层和表现层(其总体结构图如图2所示)。
图2 应用系统由基础层、组件层、功能层和表现层组成
基础层包括公务外网平台、硬件平台、中间件和数据库系统; 组件层包括CA身份认证、权限管理、数据交换和系统设置; 功能层包括公文流转系统、移动办公系统、电子邮件系统、IP电话系统、IP呼叫中心、视频会议支撑平台、视频点播系统、应急指挥系统等; 表现层包括各级政务部门间互访和政府门户网站。
上一页 [1] [2] [3] [4] 下一页
公务外网的安全保障
网络安全包括两层含义:其一是内部局域网的安全,其二是外部数据交换的安全。针对网络存在各种安全隐患,方案采用以下技术保证网络安全。
1.接口备份技术
为了提高网络的可靠性,采用支持接口备份技术的路由器。主接口和备份接口可以进行负载分担。当主接口的流量达到设定的门限时,启动备份接口; 当主接口和备份接口的流量和小于设定的另一门限时,关闭备份接口。当主接口出现故障时,多个备份接口可以根据优先级来决定使用顺序。
2.包过滤技术
IP报文的IP报头及所承载的上层协议(如TCP)报头的每个域包含了可以由路由器进行处理的信息。借助它基于接口的包过滤路由器,既可以在一个接口的进出两个方向对报文进行过滤,同时还提供了基于时间段的包过滤(可以规定过滤规则发生作用的时间范围)。在时间段的设置上,可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用。这给应用带来了具有极大的灵活性,并且这样的时间段可以方便地提供给其他的功能模块使用。
3.地址转换技术
地址转换用来实现私有网络地址与公有网络地址之间的转换。它屏蔽了内部网络的实际地址,外部网络基本上不可能通过地址代理来直接访问内部网络。
方案采用支持带访问控制列表的地址转换的安全路由器。通过配置,用户可以指定能够通过地址转换的主机,以有效地控制内部网络对外部网络的访问。
4.应用IPSec加密技术
IPSec(IP Security)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在网上传输时的私有性、完整性和真实性,而不必担心数据被监视、修改或伪造。
5.部署智能防火墙 ( Intelligent Firewall)
传统防火墙只能阻止危险的应用传输,有时仅阻止了一些使用固定端口的应用,而留下了许多安全隐患。
智能防火墙提供基于报文内容的访问控制,能够对应用层的一部分攻击加以检测和防范。它监听每一个应用的每一个