交通電子政務建設標準化指導意見(一)
《交通電子政務建設標準化指導意見》 交通部文件
交科教發(fā)[2004]281 號 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
關于印發(fā)交通電子政務建設標準化指導意見的通知 各省�����、自治區(qū)、直轄市、計劃單列市�、新疆生產建設兵團交通廳(局、委),港口(港航)管理局,長江�、珠江航務管理局�,部屬有關單位:
根據《中共中央辦公廳、國務院辦公廳關于轉發(fā)國家信息化領導小組關于我國電子政務建設指導意見的通知》(中辦發(fā)[2002]17 號)、《中共中央辦公廳、國務院辦公廳關于轉發(fā)國家信息化領導小組關于加強信息安全保障工作的意見的通知》中辦發(fā)[2003]27 號等文件精神�����,部于 2003 年印發(fā)了《中國交通電子政務建設總體方案》(交科教發(fā)[2003]461 號)�。為進一步落實《中國交通電子政務建設總體方案》�����,促進交通電子政務建設的互聯(lián)互通�、信息共享,部組織編寫了《交通電子政務建設標準化指導意見》,現印發(fā)給你們�����。請各單位從實際情況出發(fā)�����,認真貫徹執(zhí)行。執(zhí)行中有何問題�,請及時函告我部科教司�。
二○○四年六月三日
主題詞:印發(fā) 電子政務 標準 通知
抄送:國務院信息辦�,國務院辦公廳秘書局,部內各司局
內部資料 交通電子政務建設標準化指導意見 (報批稿)
中華人民共和國交通部 二○○四年五月 目 錄 第 1 章 總則.................................................................................................................... 3 1.1 編寫背景............................................................................................................ 3 1.2 編寫目的............................................................................................................ 3 1.3 指導思想............................................................................................................ 4 1.4 編寫內容............................................................................................................ 4 1.5 指導范圍............................................................................................................ 5 1.6 交通電子政務體系概述....................................................................................... 6 1.6.1 交通電子政務體系結構................................................................................ 6 1.6.2 組織機構..................................................................................................... 8 1.6.3 建設及運行管理機制................................................................................... 8 第 2 章 網絡基礎設施..................................................................................................... 9 2.1 交通電子政務網絡組成....................................................................................... 9 2.1.1 交通政務網絡總體結構................................................................................ 9 2.1.2 交通電子政務內網網絡結構......................................................................... 9 2.1.3 交通電子政務外網網絡結構....................................................................... 10 2.2 廣域網的建設要求............................................................................................ 11 2.2.1 廣域網的組成結構..................................................................................... 11 2.2.2 網絡設計基本原則..................................................................................... 12 2.3 局域網建設標準與要求..................................................................................... 12 2.4 網絡設備要求................................................................................................... 12
2.5 網絡業(yè)務支持能力............................................................................................ 14 2.6 綜合布線系統(tǒng)標準與要求................................................................................. 14 2.7 計算機機房建設標準與要求.............................................................................. 15 第 3 章 網絡與信息安全............................................................................................... 17 3.1 交通行業(yè)信息安全系統(tǒng)建設的目標�����、原則和要求.............................................. 17 3.1.1 安全系統(tǒng)建設目標..................................................................................... 17 3.1.2 安全系統(tǒng)建設的原則................................................................................. 17 3.1.3 安全系統(tǒng)建設要求..................................................................................... 18 3.2 交通電子政務安全系統(tǒng)模型.............................................................................. 18 3.2.1 系統(tǒng)威脅因素和防范對象.......................................................................... 18 3.2.2 縱深安全防御模型..................................................................................... 19 3.3 交通電子政務安全系統(tǒng)結構.............................................................................. 19 3.3.1 總體安全框架............................................................................................ 19 3.3.2 物理和環(huán)境的安全建設.............................................................................. 20 3.3.3 鏈路傳輸的安全建設................................................................................. 21 3.3.4 網絡系統(tǒng)的安全建設................................................................................. 21 3.3.5 主機與系統(tǒng)的安全建設.............................................................................. 22 3.3.6 數據和應用系統(tǒng)的安全建設....................................................................... 23 3.3.7 安全認證系統(tǒng)建設..................................................................................... 23 3.3.8 安全產品選型原則和依據.......................................................................... 28 3.4 安全管理.......................................................................................................... 29 3.4.1 安全管理的組織體系................................................................................. 29 3.4.2 安全策略................................................................................................... 29 3.4.3 安全管理制度............................................................................................ 30 3.4.4 應用系統(tǒng)安全管理..................................................................................... 31 3.5 安全事件處理和匯報........................................................................................ 31 3.5.1 安全事件處理目標..................................................................................... 31 3.5.2 安全事件級別定義..................................................................................... 31 3.5.3 記錄安全事件及上報................................................................................. 31 3.5.4 安全事件處理過程..................................................................................... 32 3.5.5 安全事件后處理........................................................................................ 32 第 4 章 業(yè)務應用系統(tǒng)................................................................................................... 33 4.1 業(yè)務應用系統(tǒng)基本結構..................................................................................... 33 4.2 業(yè)務應用系統(tǒng)建設要求..................................................................................... 34 4.2.1 業(yè)務系統(tǒng)建設要求..................................................................................... 34 4.2.2 數據資源庫建設要求................................................................................. 36 4.3 交通電子政務平臺建設要求.............................................................................. 37 4.3.1 電子政務平臺建設應用要求....................................................................... 37 4.3.2 電子政務平臺技術要求.............................................................................. 38 4.3.3 應用集成要求............................................................................................ 39 4.4 數據中心建設要求............................................................................................ 40 4.4.1 數據中心與業(yè)務應用系統(tǒng)的關系................................................................ 40 4.4.2 數據中心平臺體系..................................................................................... 40 4.4.3 數據中心分布............................................................................................ 42
4.4.4 數據中心軟硬件環(huán)境要求.......................................................................... 43 第 5 章 網站建設.......................................................................................................... 44 5.1 門戶網站建設功能和內容要求.......................................................................... 44 5.1.1 門戶網站功能要求..................................................................................... 44 5.1.2 基本欄目設置............................................................................................ 44 5.1.3 信息管理要求............................................................................................ 45 5.2 網站建設技術要求............................................................................................ 45 5.2.1 域名命名要求............................................................................................ 45 5.2.2 網站版面設計要求..................................................................................... 45 5.2.3 網站的技術要求........................................................................................ 45 5.3 網站管理要求................................................................................................... 46 5.3.1 網站宣傳................................................................................................... 46 5.3.2 網站人員管理............................................................................................ 46 5.3.3 網站運行維護............................................................................................ 46 附件一:名詞術語........................................................................................................ 48 附件二:規(guī)范性參考文件............................................................................................. 50 第 1 章 總則 1.1 編寫背景 隨著國家和交通行業(yè)信息化建設的不斷推進�����,根據中共中央辦公廳和國務院辦公廳轉發(fā)的《國家信息化領導小組關于我國電子政務建設指導意見》的要求�,“國家信息化領導小組決定�����,把電子政務建設作為今后一個時期我國信息化工作的重點�,政府先行�����,帶動國民經濟和社會發(fā)展信息化”�。2002 年全國交通信息化工作會議上確定“十五”期間交通信息化建設(金交工程)的主要任務是:“根據國家信息化領導小組的要求�����,交通行業(yè)要突出抓好交通電子政務�����,促進政府職能轉變,推進依法行政�、改進管理方式和工作方法�、加強有效監(jiān)管�����、提高工作效率、提供優(yōu)質服務”。2004 年 7 月 1 日將開始施行的《中華人民共和國行政許可法》確立了行政許可實施的公開原則,明確規(guī)定“行政機關應當建立和完善有關制度,推行電子政務,在行政機關的網站上公布行政許可事項�,方便申請人采取數據電文等方式提出行政許可申請�;應當與其他行政機關共享有關行政許可信息�,提高辦事效率”。
交通電子政務建設是“金交工程”的重要組成部分�,也是國家信息化建設和電子政務建設的重要組成�����。隨著全國經濟和交通事業(yè)的蓬勃發(fā)展,交通電子政務建設在不斷深入,《中國交通電子政務建設總體方案》(以下簡稱《總體方案》)正在分階段逐步實施�。各級交通行政主管部門在積極開展自身信息化建設的同時�,需要按照《總體方案》的統(tǒng)一部署和要求�����,開展交通電子政務系統(tǒng)建設�����。無論是原有的或新建的局域網�、廣域網�����,還是原有的或新建的政務系統(tǒng)�����、業(yè)務系統(tǒng)和數據資源庫,都需要交通系統(tǒng)橫向和縱向的互聯(lián)互通�����,以實現同級部門之間和上下級部門之間的政務和業(yè)務的協(xié)同工作�。
過去�,因為標準不統(tǒng)一而導致的系統(tǒng)互聯(lián)互通不暢、共享程度低、信息資源開發(fā)利用滯后、安全存在隱患等現象�,普遍存在�。為實現交通電子政務系統(tǒng)的互聯(lián)互通�,需要頒布與交通電子政務建設發(fā)展相適應的《交通電子政務建設標準化指導意見》(以下簡稱《指導意見》),用以規(guī)范和指導交通系統(tǒng)電子政務建設行為。只有在統(tǒng)一標準指導下建設的交通電子政務系統(tǒng)才有可能實現《總體方案》建設目標�����,使交通電子政務系統(tǒng)建設目標明確�、有據可依,真正實現互聯(lián)互通、信息共享�����、業(yè)務協(xié)同�����、安全可靠�。
1.1 編寫目的 根據《總體方案》的要求�����,結合交通行業(yè)建設特點及業(yè)務需求�����,為加快推進交通行業(yè)信息化建設,符合國家對電子政務建設的要求�,更好地支持公路�、水路交通行業(yè)管理的輔助決策�����,
提高行業(yè)整體管理水平和應急處理能力,更好地為社會公眾提供優(yōu)質服務�;實現加強網絡安全�,提高網絡傳輸能力�����,支持交通電子政務系統(tǒng)網絡互聯(lián)互通�,信息資源共享等目標�,特制定本《指導意見》,為交通電子政務建設提供明確指導�����,規(guī)范交通電子政務建設�����。
1.1 指導思想 為保障和促進交通信息化建設健康發(fā)展�,實現《總體方案》的建設要求和目標�,按照國家相關文件要求�,《指導意見》遵循統(tǒng)籌規(guī)劃�、統(tǒng)一標準、應用主導�、統(tǒng)分結合�����、積極防御、綜合防范�、互聯(lián)互通�����、規(guī)范建設的指導思想。
統(tǒng)籌規(guī)劃、統(tǒng)一標準 交通電子政務建設應在交通部領導下�����,統(tǒng)籌規(guī)劃�、統(tǒng)一標準�,按照國家對電子政務建設的有關要求,有計劃有重點地進行建設�,在邊建設邊應用中逐步發(fā)揮其整體效益�。
應用主導�����、統(tǒng)分結合 交通電子政務建設應以滿足各級交通管理部門業(yè)務需求及對社會公眾更好地提供服務為目的�,按照統(tǒng)一規(guī)劃�,結合各地區(qū)、各部門實際需要�����,確定各部門交通電子政務的重點建設內容�����。
積極防御�����、綜合防范 加強網絡和信息安全管理,從實際需求出發(fā)�����,統(tǒng)籌規(guī)劃�,確保重點,創(chuàng)建安全健康的網絡環(huán)境�,保障和促進交通信息化發(fā)展�����,維護國家安全�����。
互聯(lián)互通�����、規(guī)范建設 在統(tǒng)一標準指導下,進行規(guī)范化建設,加強交通行業(yè)各類政務辦公和業(yè)務應用信息的整合�,實現不同業(yè)務信息�、各級交通管理部門之間的互聯(lián)互通�����,資源共享�。
1.1 編寫內容 《指導意見》結合《總體方案》和交通行業(yè)特點�,注意已有技術協(xié)議與標準之間的縱向關系和橫向聯(lián)系,提出交通電子政務建設應達到的水平及應遵守的文件、法規(guī)、標準和規(guī)范�����。編寫內容主要包括總則�����、網絡基礎設施�、網絡與信息安全、業(yè)務應用系統(tǒng)�����、網站與信息服務等內容的標準化建設要求及管理規(guī)定�。
《指導意見》內容組成如圖 1-4-1 所示,包括總則�、網絡基礎設施�����、網絡與信息安全�、業(yè)務應用系統(tǒng)和網站建設等五方面內容。
圖 1-4-1《交通電子政務建設標準化指導意見》內容組成圖 總則部分主要包括編寫背景、編寫目的�、指導思想�、編寫內容�����、指導范圍和交通電子政務體系概述等內容�����。
網絡基礎設施部分主要包括網絡組成、廣域網建設要求�����、局域網建設要求�����、局域網使用設備要求�����、綜合布線系統(tǒng)標準與要求、計算機機房建設標準與要求等內容。
網絡與信息安全部分主要包括安全系統(tǒng)建設目標、原則和要求、安全系統(tǒng)模型�����、安全系統(tǒng)結構�����、安全管理、安全事件處理與匯報等內容�����。
業(yè)務應用系統(tǒng)部分主要包括系統(tǒng)基本結構�����、系統(tǒng)建設要求�����、系統(tǒng)平臺建設要求和數據中心建設要求等內容。
網站建設部分主要包括門戶網站建設功能和內容要求�、網站建設技術要求�����、網站管理要求等內容。
1.1 指導范圍 本《指導意見》為交通政務內網�、交通政務外網和電子信息資源庫的建設提供建設指導依據�。指導范圍包括交通部機關�����,海事局�,救撈局�����,長江�����、珠江航務管理局(以下簡稱”航務管理局”),各?����。ㄗ灾螀^(qū)�、直轄市、新疆生產建設兵團)交通廳(局�����、委)(以下簡稱“各省交通廳”)�����、港務局等交通行政主管部門的電子政務建設�。其他交通各級地方行政主管部門的電子政務建設可參照使用執(zhí)行�����。
凡本《指導意見》未包括的技術標準�、技術要求按相應的國家或行業(yè)標準�����、規(guī)范執(zhí)行�。
1.1 交通電子政務體系概述 1.6.1 交通電子政務體系結構 交通電子政務建設以“交通政務內網�、交通政務外網和電子信息資源庫”為總體結構;以網絡基礎設施�、安全信任基礎設施�、交通電子政務平臺�����、業(yè)務辦公與信息服務為主要建設內容。
交通電子政務是一個復雜的系統(tǒng)工程,分層的體系結構可以較好地實現建設任務的分解�����;在接口保持不變的前提下�����,能提供系統(tǒng)總體架構對各層次基礎技術發(fā)展的良好適應性�����;對各種應用和數據系統(tǒng)具有較好兼容、整合能力,提供了靈活的應用開發(fā)模式�。因此�����,交通電子政務的分層邏輯模型按照結構自下而上劃分為四個層次:網絡基礎設施層、安全信任基礎設施層、交通電子政務平臺和業(yè)務辦公與信息服務層�����。這個邏輯模型是對交通電子政務系統(tǒng)的抽象概括�,具體模型結構如圖 1-6-1 所示。
圖 1-6-1 交通電子政務體系邏輯結構圖 網絡基礎設施層主要是為各類業(yè)務應用及其它運行管理信息提供傳輸和交換的平臺,是整個交通電子政務工程體系的物理設施�,位于整個分層體系結構的最低層�����。按照國務院的要求,交通電子政務工程的網絡基礎設施又分為交通政務內網和交通政務外網。
安全信任基礎設施層主要在網絡基礎設施所提供支持的信息處理�����、傳輸服務平臺的基礎上�����,增加面向電子政務應用的通用安全服務�,為電子政務應用提供一個通用的�����、高性能可信和授權計算平臺�����,平臺用戶的基本注冊信息在網上傳輸時采用基于數字證書的加密、數字簽名技術保證用戶信息的機密性、完整性�,使交通電子政務應用系統(tǒng)能夠以便捷而靈活的方式構建自身的安全體系�����。
交通電子政務平臺是指在網絡基礎設施、安全信任基礎設施的基礎上,為交通行業(yè)的各類應用系統(tǒng)提供統(tǒng)一的安全認證和授權服務�����;對行業(yè)辦公業(yè)務提供交通行業(yè)的信息交換�����、數據共享�����;承載各類業(yè)務辦公和信息服務的軟硬件平臺,為用戶提供統(tǒng)一的服務�。在政務內網上提供對內的安全認證�����、數據共享�����、協(xié)作辦公�����、決策支持、數據挖掘等服務�;在政務外網上對行業(yè)辦公業(yè)務提供交通行業(yè)的數據共享�����、協(xié)作辦公、數據挖掘等服務�����,作為電子政務系統(tǒng)統(tǒng)一的對外門戶�,提供對公眾政務公開、行政審批等服務�����,為交通行業(yè)的各類應用系統(tǒng)提供統(tǒng)一的安全認證和授權服務�。電子政務平臺將提高交通行業(yè)各類應用的開發(fā)效率,滿足各項業(yè)務辦公應用安全�����、保密性能的要求�����。
業(yè)務辦公與信息服務層由交通部和各級交通管理部門的業(yè)務應用系統(tǒng)和信息服務系統(tǒng)組成。主要是在上述三層基礎的支撐下�,實現交通部及交通行業(yè)的多級業(yè)務辦公�、信息共享和信息發(fā)布等功能�����,實現交通行業(yè)各項業(yè)務活動的數字化�����、網絡化�。
交通電子政務體系結構框圖如圖 1-6-2 所示:
圖 1-6-2 交通部電子政務體系結構框圖 1.6.2 組織機構 各級交通行政管理部門應成立交通信息化領導小組�����。各級交通電子政務管理和建設部門在各級交通信息化領導小組的領導下�����,負責交通電子政務建設規(guī)劃、方案制定�����、項目實施�、工程的組織協(xié)調、技術審核等項工作�,負責組織制定有關交通電子政務建設的科技政策�����、技術標準和規(guī)范;組織重大科技開發(fā)�����,推動行業(yè)信息化技術進步�����,保證交通電子政務建設的順利進行。
1.6.3 建設及運行管理機制 各級交通管理部門的電子政務建設應根據《總體方案》部署,分階段組織實施和運行管理�����,對信息保密要求較高的政務內網�,建議采用以自主管理為主的方式管理。
為了進一步提高運行維護管理水平,可以結合信息系統(tǒng)的建設�,對系統(tǒng)管理人員進行專門培訓�����,提高維護管理水平。同時充分利用設備生產商和軟件開發(fā)商的技術支持力量,采用一般
問題自己解決�����,重大問題委托廠商解決的方式�����,保證信息系統(tǒng)的運行維護管理質量�����。
為了保證系統(tǒng)得到正常的運行維護,各級交通管理部門必須設置專門部門和管理人員,負責系統(tǒng)的日常管理、運行和維護,必須投入足夠的運行和維護費用�����,并將網絡信息系統(tǒng)的運行維護費用作為專項費用列出�����,使其得到保證。
第 2 章 網絡基礎設施 2.1 交通電子政務網絡組成 交通電子政務網絡由交通政務內網和交通政務外網兩部分組成�。
2.1.1 交通政務網絡總體結構 交通政務網由交通政務內網和交通政務外網兩部分組成�。為滿足國務院對政務內網信息保密傳輸的要求�,交通政務內網和交通政務外網連接上要實現物理隔離。確保兩網間的安全隔離�。
交通政務網絡總體拓撲結構如下圖 2-1-1 所示�。
交通部內部辦公局域網 交通部政務外網管理中心 省廳內部 辦公局域網 國務院內部辦公局域網 省政府內部 辦公局域網 各部委內部 辦公局域網 交通部外部 辦公子網 水上安全監(jiān)督子網 行業(yè)管理子網 公眾服務子網 圖 2-1-1 交通政務網絡總體拓撲結構 2.1.2 交通電子政務內網網絡結構 交通政務內網是全國交通主管部門的內部辦公網�����,由交通部�����,海事局�����,救撈局,航務管理局�,各省交通廳�����、港務局等交通管理部門的內部辦公局域網組成。
交通部和各省交通廳等行政管理部門內部辦公局域網依托國務院統(tǒng)一建設的全國政府系統(tǒng)辦公業(yè)務資源網實現連通。
交通政務內網的網絡拓撲結構如圖 2-1-2 所示�。
圖 2-1-2 交通政務內網的網絡拓撲結構 2.1.3 交通電子政務外網網絡結構 交通政務外網是交通行業(yè)的業(yè)務辦公網�����,由交通部外部政務辦公子網、水上安全監(jiān)督子網、行業(yè)管理子網和交通政府公眾服務子網等子網組成。
交通部外部政務辦公子網—是由設置在交通部各司局的外部政務辦公計算機等設備組成�,為交通部各司局提供在交通政務外網上進行業(yè)務辦公的能力�。
水上安全監(jiān)督子網—是由交通部水上安全監(jiān)督信息網絡系統(tǒng)構成�。覆蓋全國直屬海事系統(tǒng)的各級機構�����,主要滿足國家水上安全監(jiān)督和防止船舶污染�����、船舶及海上設施檢驗、航海保障管理與行政執(zhí)法�����,并履行交通安全生產和交通環(huán)保等管理職能對各類船舶�����、船員�����、通航環(huán)境、事故應急�����、搜救指揮等業(yè)務信息實時�����、準確�����、可靠�����、高速�����、安全傳輸和共享的要求。
行業(yè)管理子網—是由各級交通行政主管部門的外部政務網和企事業(yè)單位的網絡組成。由交通政務外網管理中心負責行業(yè)管理子網上的密鑰管理�、安全認證�、數據加密/解密以及數字證
書的發(fā)布和管理�。依托互聯(lián)網建立覆蓋交通行業(yè)行政機構和企事業(yè)單位的外部政務網。
交通政府公眾服務子網—是由在互聯(lián)網上建立的各級交通政府面向公眾服務的網絡組成,通過系統(tǒng)互聯(lián),形成以交通部互聯(lián)網政府網站為門戶,為公眾提供可公開的交通政務�、業(yè)務和信息服務的交通政府公眾服務子網�。
交通政務外網的網絡拓撲結構如圖 2-1-3 所示�。
交通部外部辦公子網 海事、救撈等單位 交通行業(yè)單位 交通行業(yè)單位網站 行業(yè)管理子網 公眾服務子網 交通政務外網管理中心 交通部 政府網站 水上安全監(jiān)督子網 圖 2-1-3 交通政務外網的網絡拓撲結構 2.1 廣域網的建設要求 2.2.1 廣域網的組成結構 廣域網的建設應實現以下功能:
1. 傳輸的實現技術應符合未來骨干網技術的發(fā)展趨勢; 2. 能夠支持多種業(yè)務需求�; 3. 網絡的可靠性和穩(wěn)定性�����; 4. 網絡的先進性和開放性; 5. 可管理性和易維護性; 6. 良好的可擴展性及升級能力�����; 7. 高帶寬,大容量�; 8. 網絡的安全性等�。
根據交通行業(yè)信息網絡覆蓋范圍廣和其特有的行業(yè)特點�,將其廣域網可分為部與省間的傳輸網、省與省間的傳輸網和本地傳輸網�。
在政務內網�����,部與省間的廣域傳輸網主要依托全國政府系統(tǒng)辦公業(yè)務資源網,實現交通部與國務院�、各部委以及副省級以上政府機構的交通行政主管部門的網絡連接�。
在政務外網�,根據部與省�����、省與省間的實際傳輸需要�,可采用依托 Internet�����、VPN 虛擬專用網�����、電信線路、衛(wèi)星�����、高速公路光纜等多種方式連接�。
本地傳輸網是本省或本地區(qū)的廣域傳輸網,具有局部的地區(qū)特性。本地傳輸網用于各城市職能部門之間聯(lián)網�。根據各省�����、市不同的實際情況,可以采用利用高速公路光纜、租用電信線路如:X.25�、DDN�����、FR、ISDN、ADSL 等方式連接�����。
2.2.2 網絡設計基本原則 部級�、省級網絡設計基本原則應以高效�、實用為主,并滿足以后擴充的需要�,具備支持新業(yè)務的能力�。在交通政務內外網的建設當中�����,應建設一定的備份線路�,以保證主要數據的實時傳遞�。
2.1 局域網建設標準與要求 局域網建設主要包括各單位建筑物內部或相鄰建筑物間的網絡建設。交通系統(tǒng)各單位的局域網建設�����,包括政務內網建設和政務外網建設兩部分�����,一般應滿足以下要求:
1. 政務內網和政務外網之間必須保證物理隔離�����;
2. 建立職責明確的安全管理體系,統(tǒng)一對網絡建設�、安全運行進行管理�; 3. 交通系統(tǒng)各單位應嚴格執(zhí)行各種規(guī)章制度�����,保證信息系統(tǒng)的安全�; 4. 局域網中心機房設計應滿足國家頒布的計算機機房建設規(guī)范和要求; 5. 局域網(內�����、外網)綜合布線系統(tǒng)選用穩(wěn)定可靠的產品�,全部線纜�、接插件等采用超五類或超五類以上標準產品。傳輸涉及國家秘密信息的涉密網布線系統(tǒng)應滿足屏蔽要求�����; 6. 政務外網和政務內網的綜合布線系統(tǒng)�����,應采用各自獨立的布線系統(tǒng)和網絡交換設備�����。
2.1 網絡設備要求 網絡設備的選擇是指各級網絡交換、路由�、安全設備的選擇與配備�。選擇穩(wěn)定可靠的網絡設備是網絡正常運行�、數據安全轉換的保障。
網絡設備的選擇主要考慮以下因素:國內外知名品牌�、較高的技術指標�����、完善的網絡功能、高性能價格比�、穩(wěn)定的質量保障�����、兼容多種網管平臺、完備的售后服務體系等�����。
1. 核心交換機 局域網選用的核心交換機一般應滿足以下技術要求:
核心交換機建議選擇模塊化結構和機架插槽式交換機�����,以保證系統(tǒng)的靈活配置和管理的方便。交換機插槽必須滿足使用要求,并保留一定擴展和升級能力�����。
核心交換機一般應具有設備級冗余功能�,包括電源、風扇、交換結構�����、模塊等�。還應支持SNMP 網絡管理及多種網絡管理平臺。
核心交換機應具備雙機熱備功能,應支持多種網絡類型�����,應具備 3�、4 層網絡交換功能,各個端口應支持 QoS、IP 策略功能�����。
2. 分支交換機 局域網選擇的分支交換機必須具備可堆疊功能�。分支交換機背板帶寬應大于端口總速率,不應小于 12.8G,包轉發(fā)率不應小于 5Mpps�。分支交換機最大 MAC 地址數量不應小于 8,000�����。支持 SNMP 網絡管理及多種網絡管理平臺。支持 VLAN 劃分及 RADIUS 用戶身份認證功能,保證網絡安全�。支持千兆上行端口�。
3. 路由器 建議選擇機架插槽式路由器�����,以保證系統(tǒng)的靈活配置和管理的方便�。
路由器插槽數量必須滿足使用要求�����,并保留一定擴充余地�。
根據實際使用需要�����,一般應保證如下協(xié)議支持:
1) 局域網協(xié)議:Ethernet II�����、 IEEE802.3 2) 廣域網協(xié)議:FrameRelay、PPP、HDLC、MP 3) 網絡層協(xié)議:IP�、IPX 4) 傳輸層協(xié)議:TCP�,UDP 5) 路由協(xié)議:RIP/RIP2�����、OSPF�、BGP 6) ISDN 協(xié)議:Q.921�, Q.931 7) VPN 應用:PPTP、L2TP�����、GRE�����、IPSEC�、MPLS-VPN�,支持組播協(xié)議以及組播路由協(xié)議 骨干路由器的三層包轉發(fā)能力應滿足實現所有端口的線速轉發(fā)要求�。分支路由器設備的包轉發(fā)率不小于 30Kpps。
骨干路由器的主控板�、電源系統(tǒng)等關鍵部件必須支持冗余熱備份�,所有板件支持熱插拔�����,滿足核心網絡高可靠性�、高穩(wěn)定性的要求�。
路由器支持熱備份協(xié)議,實現設備冗余備份及負載均衡�����,為設備提供更強大的安全冗余備份功能�。
4. 網絡安全設備 網絡安全設備具體要求詳見第三章網絡與信息安全。
5. 遠程接入設備
對于具有遠程移動用戶的單位�,應增加遠程接入設備�����。
接口類型應支持 PSTN 和 ISDN 鏈路接口。
具有 AAA 認證功能�。
并發(fā)連接數量根據線路情況選擇�����。
6. 無線網絡設備 政務內網不宜使用無線網絡設備。對于在政務外網上使用的無線網絡設備必須符合網絡傳輸性能要求和國家有關安全規(guī)定�����。
2.1 網絡業(yè)務支持能力 寬帶 IP 網絡能提供以下基于 IP 的應用業(yè)務:
1. 多等級的 QoS 數據業(yè)務
2. 分組話音業(yè)務
3. 分組傳真業(yè)務
4. 虛擬專網(VPN)業(yè)務
5. VLAN 業(yè)務
6. Intranet/Extranet 承載業(yè)務
7. 多媒體業(yè)務
2.1 綜合布線系統(tǒng)標準與要求 政務內外網應采用兩套布線系統(tǒng)�����,并考慮通信點需要�。政務內網主干應采用光纖�����,涉密網應采用屏蔽線。政務外網和其他網絡主干應采用光纖,其他分支系統(tǒng)應采用超五類以上標準的布線產品,保證線纜可以傳輸 100M 性能指標�。
綜合布線系統(tǒng)設計與施工驗收應該符合國家相關部門的要求�,參照國家及行業(yè)有關標準和規(guī)范進行:
1. GB30511-2000 《建筑與建筑群綜合布線系統(tǒng)工程設計規(guī)范》
2. GB30512-2000 《建筑與建筑群綜合布線系統(tǒng)工程施工和驗收規(guī)范》 3. YD/T 926.1~3-2001《大樓通信綜合布線系統(tǒng)》等 2.1 計算機機房建設標準與要求 計算機機房建設應該遵守以下國家建筑行業(yè)有關設計施工規(guī)范和要求:
1. GB9361-88 《計算站場地安全要求》 2. GB2887-89 《計算站場地技術條件》 3. GB50174-93 《電子計算機機房設計規(guī)范》 4. GB6650-1986 《計算機機房用活動地板技術條件》 5. SJ/T30003-93 《電子計算機機房施工及驗收規(guī)范》
6. GB50057-94《建筑物防雷設計規(guī)范》 7. GB50222-95 《建筑內部裝修設計防火規(guī)范》 計算機機房物理環(huán)境建設要求:
1. 環(huán)境要求:機房建設涉及的各項環(huán)境如面積、地址�、溫度�、濕度�、防雷、照明�����、靜電防護�、接地等參照《計算站場地技術條件》,溫度�����、濕度執(zhí)行《計算站場地技術條件》B 級標準�。
2. 機房安全要求:機房安全要求符合《計算機機房設計規(guī)范》,參照《計算站場地安全要求》�����,執(zhí)行 B 級標準�。
3. 機房屏蔽:對 CA 主機房、KMC 等重點主機房必須按照國家密碼管理辦公室要求進行屏蔽�����。屏蔽是保證數據和語音信號安全的重要技術措施�����,屏蔽機房應采用六面鍍鋅鋼板全封閉�,門采用金屬防盜門�����。考慮到開關電源線、網絡線、空調�����、新風等都要穿過殼體與外界連接�,因此要對上述進出線和空調、換風口加接專用濾波器,以進行有效的電磁波和微波的過濾。
4. 配電系統(tǒng):按照《電子計算機機房設計規(guī)范》B 級標準執(zhí)行�。需雙路供電�����,設置 UPS 不間斷電源系統(tǒng)。
5. 門禁系統(tǒng):對進入機房重要區(qū)域必須設置門禁管理系統(tǒng),劃分進出權限管理, 從而限制人員隨意進出。門禁管理系統(tǒng)必須符合《出入口控制系統(tǒng)技術要求(GA/T394-2002)》。
6. 空調新風系統(tǒng):按照《電子計算機機房設計規(guī)范》標準�。溫度�、濕度執(zhí)行 B 級機房標準�。機房潔凈度執(zhí)行 A 級機房標準。新風系統(tǒng)按照《電子計算機機房設計規(guī)范》執(zhí)行。
7. 機房場地監(jiān)控系統(tǒng):對 CA 系統(tǒng)中涉及的配套環(huán)境設備�����,必須配備機房監(jiān)控系統(tǒng)�����、監(jiān)控動力設備及環(huán)境設備�����。
第 3 章 網絡與信息安全 3.1 交通行業(yè)信息安全系統(tǒng)建設的目標、原則和要求 3.1.1 安全系統(tǒng)建設目標 交通電子政務信息安全系統(tǒng)建設目標是建立一種動態(tài)平衡的安全體系,保證信息資產的機密性�����、完整性�、有效性�、可控性、可審查性和真實性�。
由于各地區(qū)和各級交通管理部門信息化建設程度的不同�����,在安全需求上存在著差別,對于信息系統(tǒng)安全建設需要因地制宜有針對性地實施�,因此�,應制定階段性的目標�����,規(guī)范各級信息系統(tǒng)的安全建設�。
1. 短期目標 兩年以內,所有聯(lián)網的各級交通電子政務系統(tǒng)必須按照本《指導意見》�,結合自身的實際情況�,建立完善的安全管理流程�,制定相應的安全策略,部署基本的安全防護產品�����,初步建立起穩(wěn)定可靠的安全運行環(huán)境�。
2. 長遠目標 信息安全的建設是一個不斷發(fā)展的過程,隨著安全建設的深入,從長遠的角度講�����,必須達到以下層次的目標:
1) 在遵循本《指導意見》的基礎上�����,根據安全需求制定和完善整體安全策略�,安全管理和運營規(guī)范�; 2) 建立全網縱深安全防御體系。
3.1.2 安全系統(tǒng)建設的原則 交通電子政務信息系統(tǒng)的安全建設必須從系統(tǒng)工程的高度著眼,同時突出交通行業(yè)自身的特點�����。
1. 交通電子政務信息安全系統(tǒng)建設必須遵循以下基本原則 1) 嚴格遵守中華人民共和國相關法律和法規(guī)�����; 2) 符合國家涉密計算機系統(tǒng)安全要求和保密規(guī)范; 3) 嚴格遵守國家有關信息安全部門相關規(guī)定�����; 4) 選擇先進的�����、標準化的信息系統(tǒng)安全建設模型�。
2. 交通行業(yè)電子政務信息系統(tǒng)安全建設還要符合以下技術原則 1) 策略性:制定完整的信息安全策略體系�; 2) 穩(wěn)定性:整體建設要保證應用系統(tǒng)穩(wěn)定、可靠�����、安全的運行�; 3) 整體性:從系統(tǒng)綜合角度考慮信息系統(tǒng)安全建設,制定有效安全措施�,建立完整的安全防范體系�; 4) 業(yè)務連續(xù)性:信息安全建設必須保證業(yè)務的連續(xù)性�,同時考慮業(yè)務變更等因素; 5) 避免復雜建設:充分利用現有的安全系統(tǒng)�����、策略和安全措施�����,既要多重防御,同時避免重復建設。
3.1.3 安全系統(tǒng)建設要求 1. 基本要求
1) 嚴格控制國際互聯(lián)網(Internet)出口�����; 2) 引進和在行業(yè)推廣的涉及行業(yè)關鍵信息和數據的軟件�����,必須通過安全評估后使用�����; 3) 建立政府上網信息的審查批準制度,對于向 Internet 發(fā)布的信息,必須經過審查批準�; 4) 在交通電子政務信息系統(tǒng)中必須具有防病毒措施�; 5) 提供遠程訪問的設備必須提供相應的安全認證手段�����; 6) 應保障信息系統(tǒng)的關鍵部位的可靠性�����; 7) 加強來自內部的安全隱患的管理�。
2. 配置要求 為保證網絡信息系統(tǒng)物理環(huán)境和設備的安全�、系統(tǒng)和應用程序安全、網絡通信安全�����、系統(tǒng)數據安全和業(yè)務連續(xù)性的安全�����,應建設完善的網絡和信息安全管理體系,至少應包括以下系統(tǒng):
防火墻、網絡防病毒�、入侵檢測�����、審計、數據備份與恢復�����、身份認證�、安全評估、訪問控制�����、網絡監(jiān)控和管理等系統(tǒng)�����。
3.1 交通電子政務安全系統(tǒng)模型 3.2.1 系統(tǒng)威脅因素和防范對象 日益嚴重的網絡信息安全問題�����,不僅會造成一定的經濟損失,而且會使交通電子政務系統(tǒng)的正常運行和信息安全管理面臨嚴重威脅。威脅因素主要包括:安全管理�、被動攻擊�����、主動攻擊、物理攻擊、內部人員攻擊、軟硬件裝配�、分發(fā)攻擊和自然災害等�。
網絡信息安全防范對象主要包括:計算機軟硬件系統(tǒng)�����、網絡系統(tǒng)、通信系統(tǒng)�、業(yè)務應用系統(tǒng)和數據�、網站等�。
3.2.2 縱深安全防御模型 交通行業(yè)電子政務系統(tǒng)安全包括三個要素:策略、管理和技術�����。
安全策略:包括法律法規(guī)�����、規(guī)章制度�����、技術標準、管理標準等�����,是信息安全的最核心問題�,是整個信息安全建設的依據和基礎; 安全管理:主要是人員�����、組織和流程的管理,是實現信息安全的落實過程�; 安全技術:包含工具�、產品和服務等�,是實現信息安全的保證。
交通電子政務系統(tǒng)信息安全體系建設包括:安全策略體系�����、安全管理體系和安全技術體系等三個內容�����。
交通電子政務系統(tǒng)信息安全體系設計采用 P2DR 模型擴展的安全理論模型(P2DR3),如圖3-2-1 所示:
圖 3-2-1 P2DR3 安全理論模型 上圖中的策略�����、防護�、檢測、響應�、恢復和改善組成的完整模型體系�,為交通電子政務系統(tǒng)構造一個動態(tài)的�����、全面的安全防護體系�����,防止政務系統(tǒng)受到諸多威脅的侵犯,確保業(yè)務運行的連續(xù)性�����,將損失和風險降低到最小程度�。
3.1 交通電子政務安全系統(tǒng)結構 交通電子政務安全系統(tǒng)建設是通過安全策略、安全技術�����、安全管理來實現的�,安全體系包括完整的安全策略、技術集成以及有計劃的安全管理�。
3.3.1 總體安全框架 網絡與信息系統(tǒng)安全體系是交通電子政務的重要組成�。應綜合使用安全技術�、安全管理、安全培訓�、安全策略等多種手段�����,構建一個完整的安全保障體系�����。交通電子政務安全系統(tǒng)總體框架如圖 3-3-1 所示�。
圖 3-3-1 交通電子政務安全系統(tǒng)總體框架示意圖 由此可以看出安全技術只是交通電子政務安全建設的基礎設施�����,并且所有的安全技術都實現了一定的安全機制�,而在這些技術上所實施的安全管理�����、安全培訓等所形成的安全策略為信息安全提供了管理指導和支持�。
3.3.2 物理和環(huán)境的安全建設 物理和環(huán)境安全是指計算機信息系統(tǒng)所處的物理位置�����、周圍環(huán)境的安全以及計算機網絡設備的安全和存儲介質的安全�。物理和環(huán)境安全的目標就是保護計算機網絡設施和其他設備免遭環(huán)境事故�����、人為錯誤操作以及計算機犯罪行為而導致的破壞�����。
1. 物理安全區(qū)域 把關鍵的和敏感的業(yè)務信息處理設備放在物理上獨立的安全區(qū)域�,受到確定的安全范圍的保護�,并有適當的安全屏障和接入控制�����。具體安全措施包括:
設置物理安全界線:在信息處理設備的周圍設立多個實體的安全屏障�����,實現對它們實體上的保護。每一個安全屏障建立了一個安全界線來保護這些安全區(qū)域。
控制物理進入:應通過適當管理措施控制對于安全區(qū)域的物理上的訪問�����,確保只有得到授權的用戶才能訪問�。
物理環(huán)境安全:計算機網絡與信息安全系統(tǒng)相關子系統(tǒng)的建設應符合系統(tǒng)的安全保密要求,同時應配備防火、防水�����、防震�����、防雷電等各種物理安全保障措施�����,保證機房的物理環(huán)境安全。
2. 設備的安全 設備保護應采取以下措施:
設備物理保護:重要的物理設備設置嚴格的物理保護措施�,避免外部人員未授權的物理接觸�����。
電源配置:對重要設備應配備專用電源,建立有效的電源保護措施,保證其正常運行。
定期維護:按照設備制造商推薦的維護間隔和規(guī)定對設備進行維護。
3. 存儲介質的安全 對信息系統(tǒng)中存儲介質的使用、存放�����、維護以及銷毀處理等按國家有關規(guī)定進行嚴格管理�。
3.3.3 鏈路傳輸的安全建設 鏈路傳輸加密指傳輸不同密級信息的鏈路采用相應級別的密碼技術和設備或其他技術措施�����,保障所傳輸信息具有可靠的反截獲�����、反破譯和反篡改能力。
鏈路傳輸加密的技術包括鏈路加密機和網絡加密機�����。在實現信息安全傳輸的過程中�����,為保證加密算法的可靠性�����、隧道內的訪問控制、加密設備自身的安全性�、有效的身份驗證機制�,應采用網絡加密技術�����,保證敏感信息在敏感部門之間的安全傳輸�。
3.3.4 網絡系統(tǒng)的安全建設 1. 網絡安全域劃分 網絡安全域是由同一個管理器管理的一組安全主體和客體�,具有相似權限或者職能的用戶劃分在同一網絡安全域中,不同的安全域之間設立網絡隔離點�。應通過邏輯隔離技術(VLAN),訪問控制隔離技術(防火墻)實現。
2. 網絡設備的安全加固 路由器和交換機作為網絡之間數據通信的核心設備�,強化路由器本身的安全防范往往可以收到事半功倍之效�����。對于網絡設備應采用安全性級別較高的設備�。
3. 基于訪問控制的防火墻系統(tǒng) 為了檢測網絡邊界的攻擊行為�、管理進出網絡的訪問行為、過濾進�、出網絡的數據�����、封堵某些禁止的業(yè)務,應采用基于訪問控制的防火墻系統(tǒng)�����,并部署在網絡邊界位置�。
4. 入侵檢測系統(tǒng) 入侵檢測系統(tǒng)處于防火墻之后。它部署在有敏感數據需要保護的網絡上或其他任何有風險存在的地方�,通過實時截獲網絡數據流�,并對信息進行分析�,判斷網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。
網絡檢測和審計應結合使用網絡入侵檢測與主機入侵檢測�,提高檢測的效率和性能�����。
5. 網絡監(jiān)控和審計 在網絡環(huán)境中,為了監(jiān)測網絡流量�、審計網絡協(xié)議等�����,應采用網絡監(jiān)控系統(tǒng)。它通過對網絡
行為采取一系列的審計機制偵察是否存在利用系統(tǒng)的漏洞所進行的惡意探測和攻擊行為�,是一個網絡故障和性能管理的有效工具�����。
6. 網絡安全隱患掃描 網絡安全隱患掃描采用一種主動的模擬方式來提前檢測網絡中所存在的可以被黑客利用的安全漏洞�����,并針對網絡系統(tǒng)的安全配置提供一定的解決方案�����,降低已知安全破壞發(fā)生的可能性。
3.3.5 主機與系統(tǒng)的安全建設 1. 文件系統(tǒng)的安全 所有主機或服務器必須安裝正版操作系統(tǒng)軟件,并及時進行更新和升級。對于重要文件的訪問控制應設置嚴格的權限�����,保證重要文件的安全�����。
2. 系統(tǒng)帳號的安全 通過加密密碼文件�、啟用密碼策略�、修改帳號名等措施來防止非法破解,保護系統(tǒng)帳號的安全�。
3. 病毒防護系統(tǒng) 病毒防護系統(tǒng)具有防毒�、殺毒等功能�,同時應具有實時性、全面性、快速升級和便于統(tǒng)一管理�����。
4. 系統(tǒng)安全隱患掃描 系統(tǒng)安全隱患掃描按照一定的策略來提前檢測系統(tǒng)所存在的安全弱點�,并針對系統(tǒng)的安全加固提供一定的解決方案,降低黑客滲透成功的可能性。系統(tǒng)安全隱患掃描應支持多種主機操作系統(tǒng)�,并提供詳細的建議報告�。
3.3.6 數據和應用系統(tǒng)的安全建設 數據和應用系統(tǒng)面臨的安全威脅主要是非授權的數據訪問�����、系統(tǒng)宕機、數據丟失�、災難等因素�,其安全設計的主要目標是保證系統(tǒng)的穩(wěn)定�、可靠和信息的保密性與完整性,主要依賴備份和認證等安全手段來完成�。
1. 數據備份 建立有效的本地或者異地數據備份系統(tǒng)�,制定完善的備份策略及恢復計劃�����,對系統(tǒng)中的數據以及文件進行備份�����,確保數據...
推薦訪問:
電子政務
標準化
指導意見
