城市公共服務云及資源共享平臺方案

頁CityLiveID建設的必要性和意義CityLiveID定義CityLiveID又稱城市公共服務信息總棧，是在借鑒英國、新加坡、香港等先進國家或地區(qū)的城市綜合信息服務和社會管理經(jīng)驗基礎上，打造的面向市民和企業(yè)的個性化、主題化城市綜合信息服務云。CityLiveID通過云平臺聚合了政府行政機構(gòu)、公共事業(yè)服務機構(gòu)、金融服務機構(gòu)及民間組織有關(guān)企業(yè)、市民的服務信息。市民、企業(yè)可申請一個CityLiveID，作為政府唯一認可的互聯(lián)網(wǎng)虛擬世界的市民或企業(yè)標識，也作為政企、政民唯一合法權(quán)威的互聯(lián)網(wǎng)交互服務渠道。這樣，CityLiveID可將面向企業(yè)或市民的各種政策法規(guī)、行政審批、公共資源交易信息、科技資助信息、社會救助信息、交通違章信息、城市預警信息等行政服務與執(zhí)法信息，銀行、水電、通訊等各種帳單信息等，直接推送到這個LiveID的空間，市民或企業(yè)通過自己申請的“網(wǎng)絡地盤”獲取政府的各種服務。逐步實現(xiàn)政府各政務業(yè)務系統(tǒng)的全面整合，真正實現(xiàn)網(wǎng)上辦事、“無縫政府”、網(wǎng)絡政府的建設。CityLiveID與政府以往的公共服務平臺的區(qū)別1、與國際先進服務理念接軌政府以往的公共服務平臺普遍是從政府本位出發(fā)，圍繞政府職能自身構(gòu)建其服務體系。其建設理念更多的是從法律法規(guī)和職能范圍出發(fā)，簡單的將部分政府工作“搬上”網(wǎng)絡，且更多的是簡單的信息服務。CityLiveID的建設借鑒了國際先進國家和地區(qū)的公共服務理念，“以公民為中心”、“以用戶為導向”，實現(xiàn)“以政府職能為中心”的電子政務模式向“以企民聚合服務為中心”電子政務模式轉(zhuǎn)型，為全面打造服務型政府提供強力支撐。2、創(chuàng)新“信息找人、任務找人”的電子政務模式目前雖然實現(xiàn)的“全流程”服務，但其范圍僅局限于辦事指南發(fā)布、表格下載、網(wǎng)上咨詢、網(wǎng)上申請、結(jié)果反饋等有限的簡單服務。很少或幾乎沒有全程網(wǎng)上辦事的業(yè)務，企業(yè)、市民仍然面對著結(jié)構(gòu)復雜、功能繁多、說明臃腫的現(xiàn)狀。CityLiveID通過云技術(shù)聚合平臺為每個公務人員提供個性化工作桌面，所有信息和任務均自動聚合到工作桌面，實現(xiàn)了從“社會化信息公開”向“個性化信息推送”提升。3、利用先進云計算技術(shù)推動政府業(yè)務應用的融合服務政府以往公共服務平臺受限于技術(shù)發(fā)展，無法做到更深層次的整合和服務。CityLiveID運用云計算、大數(shù)據(jù)處理、多領(lǐng)域共享交換等新技術(shù)，逐步推動政府后臺業(yè)務的整合，通過云聚合平臺技術(shù)，將各種池化的資源聚合成可調(diào)用的服務推送給市民、企業(yè)用戶，實現(xiàn)政府業(yè)務應用的融合服務。4、引入互聯(lián)網(wǎng)、SNS（社交網(wǎng)絡）等先進服務理念CityLiveID與以往政府服務最大的不同是引入了互聯(lián)網(wǎng)、SNS（社交網(wǎng)絡）等先進服務理念，建立起了以人際關(guān)系為紐帶的公共服務社區(qū)，極大的提高了政府服務的效果和用戶使用粘性。市民通過CityLiveID可以了解其生命周期各個階段的朋友近況，也能實時了解自己關(guān)心的政務服務狀況，比如港澳通行證辦理、交通出行信息、積分入戶、入學情況等。建設的必要性和意義建設的必要性1、國際政府公共服務發(fā)展的必然趨勢從國際上來看，以服務為中心，重視政府流程重構(gòu)和應用整合已經(jīng)成為普遍趨勢，“以公民為中心”、“以用戶為導向”的公共服務理念逐漸深入人心，通過電子政務等技術(shù)手段，提高政府服務滿意度成為國際政府普遍做法。在這樣的國際大背景下，我國城市電子政務與政府服務的發(fā)展日益要求更為深入的政務服務整合，CityLiveID的建設成為重要的突破口。2、服務型政府建設的必然要求服務型政府的建設一方面要求政府服務效率的提高，另一方面還要重視政府服務質(zhì)量的提高，同時還要有滿意的服務效果。這就要求政府從根本上改變以往的服務模式。包括從服務理念、服務手段、服務方式、服務途徑、服務效果等各方面的整體改變。所以，CityLiveID是一種服務模式的創(chuàng)新，是適應服務型政府建設和發(fā)展的必然結(jié)果。3、電子政務集約化建設的必然結(jié)果電子政務經(jīng)過這么多年的發(fā)展，取得了一定的成績，但其投入規(guī)模日益擴大，建設效果卻始終沒有太大的突破。近年來，“信息化黑洞”的言論逐漸升溫。為控制不斷增加的信息化投入，電子政務集約化建設勢在必行。CityLiveID的建設整合的各種政務資源，提供了統(tǒng)一的對外服務渠道，改變了以往分散建設，各自為政的局面。建設的意義1、促進政府后臺業(yè)務系統(tǒng)的整合CityLiveID的建設能夠形成倒逼機制，通過服務的推進能夠整合各個部門資源和社會資源，協(xié)調(diào)各部門服務辦事，實現(xiàn)“多個部門、一個政府”，公民或企業(yè)登錄CityLiveID辦理業(yè)務時，不必再考慮要登陸各政府部門的站點，而是按照業(yè)務流程，在CityLiveID中逐項完成所有這些業(yè)務相關(guān)手續(xù)，從而打破部門式孤立的電子政務信息化模式，邁向區(qū)域型集約化的云計算模式，促進政務信息資源高度共享，真正實現(xiàn)“網(wǎng)上辦事”和“無縫政府”。2、提高政府服務的滿意度 CityLiveID實現(xiàn)了“以政府職能為中心”向“以企民聚合服務為中心”政府服務模式的轉(zhuǎn)型，創(chuàng)新了“信息找人、任務找人”的電子政務模式，實現(xiàn)了從“社會化信息公開”向“個性化信息推送”提升。并且能使市民、企業(yè)感受到“我的政府”，政府服務是圍繞市民和企業(yè)的需求來開展的，使得政府服務更為貼切、效果更好。3、加快基本公共服務均等化的發(fā)展基本公共服務均等化首先應該是機會的均等，市民、企業(yè)能公平的獲得各種政府的基本公共服務，要實現(xiàn)基本公共服務的機會均等必須實行基本信息服務的均等化。企業(yè)、市民能夠通過CityLiveID獲取各種基本公共服務，政府也能通過CityLiveID主動推送相關(guān)公共服務。 4、具有重要的社會意義市民、企業(yè)可以通過這個政府認可的CityLiveID直接向政府進行信訪、投訴、舉報，為市民、企業(yè)提供一個電子化的、可管理的民怨民怒民憤疏通渠道，可有效減少市民、群體上訪等負面事件的發(fā)生。還可向監(jiān)管部門實時推送個人、企業(yè)發(fā)布的信用信息，減少網(wǎng)上散布謠言，制造恐慌和惡意侵害他人名譽的一系列網(wǎng)絡犯罪，促進社會信用體系的建立。同時，政府可以通過LiveID隨時了解人與企業(yè)、人與家庭、人與人之間的關(guān)系，為社會維穩(wěn)工作提供科技保障，具有重要的社會意義。 5、加強電子政務集約化建設，節(jié)省政府財政開支CityLiveID的建設，采用了云技術(shù)，整合的政務資源，包括信息資源、硬件資源、服務資源等，建立了統(tǒng)一的對外服務渠道，有效改善以往以部門為中心的政府信息化巨額投入，大大節(jié)省了政府財政開支。CityLiveID的應用藍圖總體應用藍圖及應用場景公共服務云平臺參照英國、新加坡、香港等先進國家或地區(qū)的城市綜合信息服務和社會管理經(jīng)驗，打造面向市民和企業(yè)的個性化、主題化城市信息服務云，云平臺中聚合了政府行政機構(gòu)、公共事業(yè)服務機構(gòu)、金融服務機構(gòu)、及民間組織有關(guān)企業(yè)、市民的服務信息。市民、企業(yè)可申請一個城市LiveID，作為政府唯一認可的互聯(lián)網(wǎng)虛擬世界的市民或企業(yè)標識，也作為政企、政民唯一合法權(quán)威的互聯(lián)網(wǎng)交互渠道。公共服務云平臺的應用藍圖：平臺以個人、企業(yè)為中心，引導政務、商業(yè)等各類應用系統(tǒng)的交互信息經(jīng)過感知聚合統(tǒng)一推送到個人或企業(yè)的CityLiveID，從而形成政企、政民唯一合法權(quán)威的電子交互渠道。通過此平臺：1、可向企業(yè)實時推送政策法規(guī)、行政審批、政府招標、政府采購、各類資助、行業(yè)動態(tài)等信息；2、可向家庭推送社會救助、社區(qū)服務、家政服務、教育、醫(yī)療服務等；可向個人實時推送便民信息，如學生入學通知、交通違章、社保公積金、投訴建議反饋、水電費通知、各類辦事結(jié)果等信息。3、加強社會管理，維護互聯(lián)網(wǎng)秩序。政府可以通過平臺隨時了解人與企業(yè)、人與家庭、人與人之間的關(guān)系，有利于治安維穩(wěn)，建設平安社會；同時，每個人有了確定的身份后，可減少網(wǎng)上散布謠言，制造恐慌和惡意侵害他人名譽的一系列網(wǎng)絡犯罪，有利于建立社會信用體系，提高個人信息的準確度，人與人之間的聯(lián)系將更方便安全。4、同時市民、企業(yè)可以通過這個政府認可的LiveID直接向政府進行信訪、投訴、舉報，為市民、企業(yè)提供一個電子化的、可管理的民怨民怒民憤發(fā)泄渠道，可有效減少市民、群體上訪等負面事件的發(fā)生。面向企業(yè)的應用場景企業(yè)城市公共服務信息總?！髽I(yè)公共服務信息匯總，屬企業(yè)專屬空間。公共服務平臺將與企業(yè)相關(guān)的所有政務服務信息（政策法規(guī)、行政審批、政府招標、政府采購、各類資助、行業(yè)動態(tài)等信息）推送至企業(yè)空間，使企業(yè)通過互聯(lián)網(wǎng)登陸企業(yè)信息總棧就能查看、辦理企業(yè)有關(guān)政務服務事宜。企業(yè)信息總棧的應用藍圖：

企業(yè)信息總棧界面圖:CityLiveID企業(yè)空間界面面向個人的應用場景個人城市公共服務信息總?！卜諅€人信息匯總，屬個人專屬空間。公共服務平臺將與個人相關(guān)的所有政務服務信息（如政府行政服務信息、公共事業(yè)服務信息、文化教育信息、城市執(zhí)法信息、計生保健信息、社會保障信息以及個人家庭的學生入學通知、投訴建議反饋、水電費通知、各類辦事結(jié)果等信息）推送至個人空間，使個人足不出戶在家通過互聯(lián)網(wǎng)登陸個人信息總棧就能查看、辦理個人有關(guān)政務服務事宜。個人信息總棧的應用藍圖：個人信息總棧界面圖：CityLiveID市民空間界面面向職能部門的應用場景公共服務云平臺可將行政區(qū)域政府各職能部門所有應用系統(tǒng)進行全面整合，用于支撐政府在經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理、公共服務、紀檢監(jiān)察等領(lǐng)域的日常管理工作。平臺為每個公務人員提供個性化工作桌面，所有信息和任務均自動聚合到工作桌面，提高工作效率，促進政務信息資源共享。徹底改變以往的政務信息化模式：改“各局辦委自建”模式為“基于云計算中心的統(tǒng)規(guī)、統(tǒng)建、統(tǒng)用、統(tǒng)管”模式；改“以職能為中心”模式為“以促進經(jīng)濟社會和資源環(huán)境協(xié)調(diào)發(fā)展為中心”模式改“以功能為中心”模式為“以人為中心的信息自動找人、任務自動找人”模式職能部門辦公界面圖：政府管理人員界面政府工作人員界面面向領(lǐng)導決策的應用場景公共服務云平臺提供行政區(qū)域內(nèi)業(yè)務運行頂層監(jiān)控，為領(lǐng)導實時掌握效能、監(jiān)察、統(tǒng)計分析等方面的情況，除了為領(lǐng)導提供直觀的圖表式?jīng)Q策分析環(huán)境外，還利用云資源聚合中間件平臺提供Web化的數(shù)據(jù)魔方池的創(chuàng)建和管理，用戶可以根據(jù)政務基礎數(shù)據(jù)庫情況，自行創(chuàng)建數(shù)據(jù)魔方（Cube）、自定義分析主題，同時提供達20多種解魔方圖表控件，支持下鉆、上鉆、旋轉(zhuǎn)、切片、篩選等OLAM（在線分析挖掘）操作。用戶可以方便利用它進行從分析主題定義到動態(tài)監(jiān)控、多維分析、關(guān)聯(lián)分析、趨勢預測，為領(lǐng)導提供直觀的圖表式?jīng)Q策分析環(huán)境；同時可以將分析和預測結(jié)果輸出為EXCEL文件及云端可尋址的資源。圖表控件包含如下：圖表控件頂層監(jiān)控界面：系統(tǒng)總體技術(shù)方案總體設計思想與建設原則總體設計思想根據(jù)《國民經(jīng)濟和社會發(fā)展第十二個五年規(guī)劃綱要》要求，結(jié)合我國電子政務發(fā)展現(xiàn)狀，平臺建設過程中，將遵循“資源集約化使用”的云計算核心思想，采用先進的云計算模式和WOA架構(gòu)技術(shù)，按照“八統(tǒng)”思想來設計。八統(tǒng)包括：統(tǒng)一身份認證、統(tǒng)一訪問授權(quán)、統(tǒng)一資源整合、統(tǒng)一資源共享、統(tǒng)一消息告知、統(tǒng)一標準規(guī)范、統(tǒng)一接口服務、統(tǒng)一數(shù)據(jù)訪問。統(tǒng)一身份認證機制平臺建設的應用支撐環(huán)境創(chuàng)建平臺用戶池，并在平臺用戶池之上構(gòu)建統(tǒng)一的身份認證機制，為用戶登錄行政服務中心信息系統(tǒng)訪問各個子系統(tǒng)，提供統(tǒng)一身份認證服務。統(tǒng)一訪問授權(quán)機制項目建設的應用支撐環(huán)境構(gòu)建統(tǒng)一的訪問授權(quán)機制，統(tǒng)一對整合后的資源進行訪問授權(quán)，系統(tǒng)管理員不需要再逐一地對各子系統(tǒng)進行授權(quán)。統(tǒng)一訪問授權(quán)機制需以用戶/用戶組為中心，業(yè)務機構(gòu)、應用資源、角色權(quán)限三位一體，即不同應用資源的訪問權(quán)限屬于不同的業(yè)務機構(gòu)、不同的角色，支持與層次化機構(gòu)相適應的逐級授權(quán)，同時可以對跨業(yè)務機構(gòu)的虛擬用戶組授予一個或多個角色權(quán)限。統(tǒng)一資源整合根據(jù)云計算的“資源的集約化使用”核心思想，構(gòu)造統(tǒng)一的資源整合機制，有效整合縣、鄉(xiāng)鎮(zhèn)（街道）、社區(qū)（村）三級各部門現(xiàn)有的業(yè)務系統(tǒng)，本次項目需要重構(gòu)政務公開、政務服務系統(tǒng)、行政績效管理及電子監(jiān)察系統(tǒng)和電子監(jiān)察監(jiān)控中心，以及未來新建的業(yè)務系統(tǒng)的應用資源和數(shù)據(jù)資源，以形成簡潔的資源池，包括：應用資源池、數(shù)據(jù)服務池、數(shù)據(jù)魔方池、平臺用戶池、初始代碼池等等，確保電子政務用戶能良好地享受政府提供的各類服務。統(tǒng)一資源共享構(gòu)建統(tǒng)一的資源共享機制，實現(xiàn)試點縣各級部門辦公協(xié)同、資源共享，以達到系統(tǒng)聯(lián)動的目的。統(tǒng)一消息告知構(gòu)建統(tǒng)一的消息告知機制，聚合各種告知消息，譬如：通知公告、會議紀要、郵件提醒、短信提醒，以及各個子系統(tǒng)的系統(tǒng)消息和事項提醒等，實現(xiàn)信息主動找人。統(tǒng)一標準規(guī)范根據(jù)先進地區(qū)及市其它部門的建設經(jīng)驗，標準體系的建設是至關(guān)重要的，特別是對于縣、鄉(xiāng)、村多級應用體系的建設。以國家電子政務信息化標準體系為指導，參照現(xiàn)有電子政務標準規(guī)范，研究、整理、規(guī)范試點縣政務公開政務服務系統(tǒng)建設標準體系。統(tǒng)一接口服務云資源聚合平臺為各個子系統(tǒng)提供統(tǒng)一標準化的接口服務，便于未來的系統(tǒng)擴展，以及對接口的統(tǒng)一維護。統(tǒng)一數(shù)據(jù)訪問嚴格遵循SOA、WOA設計思想和規(guī)范，提供統(tǒng)一的REST樣式的數(shù)據(jù)服務生成，包括：審批數(shù)據(jù)庫的數(shù)據(jù)訪問服務、各子系統(tǒng)的數(shù)據(jù)訪問服務，實現(xiàn)統(tǒng)一服務發(fā)布，統(tǒng)一服務存儲，統(tǒng)一服務管理?？倵C制一、總棧機制棧作為一種數(shù)據(jù)結(jié)構(gòu)，是一種只能在一端進行插入和刪除操作的特殊線性表。它按照后進先出的原則存儲數(shù)據(jù)，先進入的數(shù)據(jù)被壓入棧底，最后的數(shù)據(jù)在棧頂，需要讀數(shù)據(jù)的時候從棧頂開始彈出數(shù)據(jù)（最后一個數(shù)據(jù)被第一個讀出來）。在計算機系統(tǒng)中，棧是一個具有以上屬性的動態(tài)內(nèi)存區(qū)域。程序可以將數(shù)據(jù)壓入棧中，也可以將數(shù)據(jù)從棧頂彈出。圖：棧的模型信息總棧是根據(jù)棧的原理和模型，在電子政務領(lǐng)域中用來為企業(yè)、市民提供更好服務的一種信息采集、推送機制。它通過多領(lǐng)域多租戶共享交換云平臺實現(xiàn)“棧”信息的采集和推送，通過大數(shù)據(jù)處理平臺實現(xiàn)信息的處理，通過云聚合中間件平臺實現(xiàn)各種政務服務的聚合及推送，最后通過政府分配給企業(yè)或市民一個“網(wǎng)絡地盤”（CityLiveID）來提供各種政務服務。這一整套機制就是信息總棧的運行機制。服務分類一、企業(yè)服務分類企業(yè)服務分類根據(jù)企業(yè)生命周期，從注冊設立到破產(chǎn)注銷的全生命周期提供服務，根據(jù)各行業(yè)企業(yè)的共性提供主題服務。按照分類方法，對面向企事業(yè)單位的服務內(nèi)容進行服務主題劃分，包括設立變更、經(jīng)營許可、證照資質(zhì)、高新技術(shù)、項目申報、廣告許可、財政稅收、質(zhì)量檢查、農(nóng)林牧漁、公共資源、勞動關(guān)系、人力資源、商務投資、對外交流、交通運輸、建設管理、安全防護、環(huán)境保護、法律司法、知識產(chǎn)權(quán)、年檢年審、破產(chǎn)注銷、其它等主題服務。二、個人服務分類個人服務分類采用以公眾生命周期法和需求層次法相結(jié)合，設計面向公眾的服務內(nèi)容的分類方法。生命周期在時間上覆蓋了個人的全生命周期（個人的生命周期如下圖所示），在內(nèi)容上不僅限于個人需求，也包含社會施加的管理型服務需求。按照分類方法，對面向公眾的服務內(nèi)容進行服務主題劃分，包括婚姻登記、生育收養(yǎng)、戶籍身份、居住登記、教育培訓、勞動就業(yè)、兵役優(yōu)撫、個人稅務、社會保障、衛(wèi)生保健、土地住房、交通出行、旅游服務、文化體育、出境入境、公共安全、公用事業(yè)、權(quán)益保護、法律司法、民主參與、民族宗教、離休退休、殯葬服務、綜合其它等主題服務。個人服務還可按照特殊人群進行分類，具體為：人群服務學生小學、初中、高中、職業(yè)學校、畢業(yè)生就業(yè)等老弱病殘老年人福利、學前教育、疾病預防、殘疾人福利等軍人優(yōu)撫優(yōu)待、退伍軍人安置等外籍人士就業(yè)許可、申請簽注、參加社保、就業(yè)許可等公務員xxxxx公務員概況、管理改革、選調(diào)信息、聘任轉(zhuǎn)正退休港澳人士學歷學位認證、就業(yè)許可、申請簽注、參加社保等留學人員資格認證、學歷學位認證、來深創(chuàng)業(yè)、參加社保等建設原則統(tǒng)籌規(guī)劃，整體推進。遵循電子政務頂層設計，統(tǒng)一領(lǐng)導、統(tǒng)一部署，規(guī)劃先行，加強對電子政務項目的全局性調(diào)控，統(tǒng)籌指導各部門的電子政務建設，實現(xiàn)以部門為中心向以流程為中心的轉(zhuǎn)變，整體推進全區(qū)電子政務工作。深化應用，創(chuàng)新發(fā)展。加強面向社會公眾的電子政務應用，注重電子政務應用成效，有效提高電子政務的社會和經(jīng)濟效益。各業(yè)務部門應加強政務和技術(shù)的融合，充分利用電子政務推進理念創(chuàng)新、管理創(chuàng)新、服務創(chuàng)新。資源共享，集約建設。完善政務信息資源共享的支撐體系和管理機制，充分發(fā)揮政務信息資源的效益，提高政務信息資源共享應用成效。打破體制機制障礙，大力推行集約化建設模式，處理好整體與局部、集中與分散、建設與應用的關(guān)系。統(tǒng)一標準，安全可控。不斷健全全區(qū)電子政務發(fā)展的制度和標準規(guī)范體系，確保電子政務建設和應用的規(guī)范性和開放性。合理把握安全與發(fā)展的關(guān)系，健全信息安全長效機制，實現(xiàn)建設應用與安全保障的協(xié)調(diào)發(fā)展。總體目標與建設內(nèi)容總體目標通過整合包括政府行政服務信息、公共事業(yè)服務信息、文化教育信息、計生保健信息、社會保障信息等多種政府業(yè)務，將多個跨部門系統(tǒng)聚合在云端，為市民、企業(yè)、公務人員等云端用戶提供政府服務。形成一個良好的“云服務”的生態(tài)循環(huán)，通過實現(xiàn)服務的發(fā)布，再合作實現(xiàn)資源的柔性匯聚和演化，最終匯聚的資源為用戶方便地感知和應用，提高政府效率和群眾服務水平。打破部門式孤立的電子政務信息化模式，邁向區(qū)域型集約化的云計算模式，促進政務信息資源高度共享。實現(xiàn)“以政府職能為中心”電子政務模式向“以企民聚合服務為中心”電子政務模式轉(zhuǎn)型，為全面打造服務型政府提供強力支撐。全面覆蓋行政區(qū)域各局辦委的所有業(yè)務，全面支撐政府在經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理、公共服務、紀檢監(jiān)察五大領(lǐng)域的業(yè)務。充分體現(xiàn)云計算的核心優(yōu)勢，以人為本，全面體系化構(gòu)造：電子政務專有云、公共服務云、政府門戶網(wǎng)站群。創(chuàng)新“信息找人、任務找人”的電子政務模式，為每個公務人員提供個性化工作桌面，所有信息和任務均自動聚合到工作桌面。全面支持從政務公開向個性化信息推送提升，為每個企業(yè)、每個市民提供一個政府認可的CityliveID（E-Mail地址）和一個“信息總?！?。有效改善以往以部門為中心的政府信息化巨額投入，節(jié)省政府財政開支。建設內(nèi)容公共服務云平臺賦予每個企業(yè)/個人唯一一個政府認可的互聯(lián)網(wǎng)編號，并將以個人、企業(yè)為中心，引導政務、商業(yè)等各類應用系統(tǒng)的交互信息經(jīng)過感知聚合統(tǒng)一推送到個人或企業(yè)的信息總棧。為企業(yè)提供“企業(yè)信息總棧”,聚合企業(yè)的政府辦事、企業(yè)執(zhí)法信息、企業(yè)人才服務、企業(yè)運營信息、社保、稅收、科技資助、公共資源交易等信息，提供“一站式”服務；為居民提供“個人信息總棧”，聚合個人、家庭相關(guān)信息如繳費、執(zhí)法與罰單、社保、教育等相關(guān)信息；總體架構(gòu)設計嚴格遵循業(yè)界領(lǐng)先的“資源集約化使用和治理”的云計算核心本質(zhì)，采用“1+N”彈性云架構(gòu)、云服務、WOA架構(gòu)、OGSA架構(gòu)、背景感知計算、內(nèi)容聚合計算、展現(xiàn)配件渲染計算、OLAM等技術(shù)，確保本平臺高可用、高擴展、高安全、高性能，并能科學地構(gòu)造智能化、體系化、網(wǎng)格化的政務服務云。技術(shù)架構(gòu)如下：技術(shù)架構(gòu)分為社交服務平臺、公共云服務層、云聚合中間件平臺、大數(shù)據(jù)處理平臺、多領(lǐng)域多租戶共享交換云平臺、信息資源層，并以嚴謹?shù)脑朴嬎惴阵w系、云計算治理體系、云計算標準體系、云計算安全體系為保障。社交服務平臺,為市民建立社會性網(wǎng)絡的互聯(lián)網(wǎng)應用服務。市民可根據(jù)不同主題進行社交拓展，發(fā)展自己的社交網(wǎng)絡圈。公共云服務層——CityliveID空間，提供面向個人、企業(yè)、政府人員的信息頻道，以形成云格化的公共云，同時還是用戶登錄至虛擬化個人桌面的入口。其各信息頻道內(nèi)容不僅可以通過網(wǎng)站內(nèi)容管理系統(tǒng)發(fā)布，而且還可以通過調(diào)用掛接到云服務總線上的REST/SOAP服務而獲取政務專用云所將交付的信息內(nèi)容。云聚合中間件平臺，平臺自動感知用戶背景和操作系統(tǒng)，智能聚合相應的內(nèi)容，并推送到個人桌面，實現(xiàn)信息找人、任務找人的創(chuàng)新模式。大數(shù)據(jù)處理平臺，對于單一的關(guān)系型數(shù)據(jù)庫及數(shù)據(jù)倉庫很難勝任的數(shù)據(jù)處理，交由大數(shù)據(jù)的平臺處理。多領(lǐng)域多租戶共享交換云平臺，采用云服務目錄、云服務總線、數(shù)據(jù)交換總控、數(shù)據(jù)交換網(wǎng)關(guān)等設備通過配制快速構(gòu)建安全的共享交換云平臺，為政府各直屬部門之間、不同地市之間、不同區(qū)域之間提供資源服務化共享和數(shù)據(jù)交換；信息資源層，指已建、擬建系統(tǒng)的應用系統(tǒng)資源及數(shù)據(jù)。包括已建設的及擬建的業(yè)務應用系統(tǒng)，以及建設OfficeWeb應用平臺（提供Word、Excel、Powerpoint和OneNote在線編輯和共享服務）、即時溝通平臺(LyncServer)，以及云設施服務管理系統(tǒng)、服務器虛擬化管理/配置/操作管理平臺。多領(lǐng)域多租戶共享交換云平臺云共享交換平臺由云服務生成、云服務總線、云資源目錄構(gòu)成，它是電子政務專有云、公共服務云，云與智能終端交互、非云與云應用交互的中樞系統(tǒng)。它為資源共享、服務整合、異構(gòu)系統(tǒng)之間的互聯(lián)互通提供基于標準、面向服務、事件驅(qū)動的資源共享和應用集成整合支撐與服務。主要提供以下服務：云資源整合云資源注冊編目云服務生成異構(gòu)數(shù)據(jù)橋接云資源共享云服務治理云服務部署云共享交換平臺總體藍圖如下：圖STYLEREF1\s5SEQ圖\*ARABIC\s19：云共享交換平臺總體藍圖云共享交換平臺說明：整體構(gòu)成共享交換資源服務化共享及端到端數(shù)據(jù)交換。為各機構(gòu)、各系統(tǒng)提供資源服務化共享和數(shù)據(jù)交換，是信息資源共享及交換樞紐。為各部門之間、共享交換云之間的資源服務化共享及端到端數(shù)據(jù)交換。云共享交換平臺由中心端的云資源目錄設備、云服務總線設備、數(shù)據(jù)交換總控設備，以及接入端的數(shù)據(jù)交換網(wǎng)關(guān)設備構(gòu)成。數(shù)據(jù)交換網(wǎng)關(guān)設備內(nèi)置異構(gòu)數(shù)據(jù)橋接器、云服務生成器，不需開發(fā)任何接口即可實現(xiàn)異構(gòu)數(shù)據(jù)與數(shù)據(jù)交換網(wǎng)關(guān)的橋接，不需任何編碼即可實現(xiàn)資源的服務化共享（通過配置自動生成REST/SOAP服務）。云資源共享服務生成：服務生成是云資源共享的基礎，數(shù)據(jù)交換網(wǎng)關(guān)設備內(nèi)嵌云服務生成器，不需任何編碼即可生成實現(xiàn)資源的服務化，不僅能生成傳統(tǒng)的SOAP服務，而且還能生成云端可尋址的REST服務（簡稱云服務）。服務共享：政府部門、各機關(guān)等的共享資源服務全部由數(shù)據(jù)交換網(wǎng)關(guān)生成且發(fā)布，各部門內(nèi)所有服務均掛接到中心的云服務總線設備，以形成資源服務化共享云。云服務總線應全面支持SOAP服務和REST服務。服務樣式：為確保服務的云端可尋址性、語義可見性、接口通用性，共享到云服務總線設備上的服務應采用WSDL描述的REST服務。服務治理：提供服務粒度監(jiān)控、服務請求監(jiān)控、服務訪問流量控制等功能，并提供服務質(zhì)量(QoS)保證機制。服務安全：支持數(shù)字證書、安全會話、簽名、加密、簽名及加密、STS服務、引導策略、用戶令牌認證等多種安全機制。云資源目錄資源類化編目:能動態(tài)感知云服務總線設備上所有的服務資源，同時支持根據(jù)不同的服務資源、在線資源的主題、來源、保密等級和資源訪問地址等進行資源的類化編目。目錄版本管理:針對目錄變更提供目錄版本管理，對經(jīng)過審核后的目錄變更內(nèi)容以多版本的形式存儲。目錄的變更嚴格使用權(quán)限控制。目錄檢索功能:提供目錄資源搜索引擎根據(jù)目錄的分類和目錄信息關(guān)鍵字進行目錄的搜索和查詢。目錄訂閱:提供ATOM訂閱服務，目錄變化后自動將目錄發(fā)布給訂閱者。效果評論:提供資源目錄使用效果評論功能。目錄訂閱者可以將服務運行的效果和問題上報到云資源目錄平臺。支持共享資源之間的依賴關(guān)系管理，及共享資源的生命周期管理。遵循GB/T21063-2007《政務信息資源目錄體系》標準。異構(gòu)數(shù)據(jù)橋接“零編碼”實現(xiàn)與各部門異構(gòu)系統(tǒng)的互聯(lián)，避免異構(gòu)系統(tǒng)與數(shù)據(jù)交換網(wǎng)關(guān)的接口開發(fā)，即配即用。圖STYLEREF1\s5SEQ圖\*ARABIC\s110：異構(gòu)數(shù)據(jù)橋接圖異構(gòu)數(shù)據(jù)橋接說明：異構(gòu)數(shù)據(jù)源應支持各種類型的數(shù)據(jù)庫（SQLServer、Oracle、MySQL、DB2、等等）、Cube數(shù)據(jù)集市、XML、EXCEL、CSV、LDAP、EMAIL、SOAP服務、REST服務、RSS服務，等等。異構(gòu)數(shù)據(jù)橋接器應提供上百種數(shù)據(jù)轉(zhuǎn)換的組件供用戶選擇，用戶根據(jù)自己的數(shù)據(jù)轉(zhuǎn)換規(guī)則選擇相應組件，通過各種不同的數(shù)據(jù)轉(zhuǎn)換組件的組合可以完成復雜的數(shù)據(jù)轉(zhuǎn)換需求。主要的數(shù)據(jù)庫數(shù)據(jù)轉(zhuǎn)換組件有：字段折分組件、字段合并組件、數(shù)據(jù)過濾組件、多字段計算組件、空處理組件、字段映射組件、數(shù)據(jù)類型轉(zhuǎn)換組件、腳本轉(zhuǎn)換組件等。端到端數(shù)據(jù)傳輸：采用當前廣泛引用于IP電話、IP視頻、IP會議的、國際標準的JXTAP2P端到端數(shù)據(jù)通信架構(gòu)，端到端之間可以自動根據(jù)帶寬創(chuàng)建多條并行數(shù)據(jù)傳輸通路，任何一條通路出現(xiàn)故障，均不影響端到端的數(shù)據(jù)傳輸，提升端到端傳輸?shù)膶崟r性和高可靠性。數(shù)據(jù)交換方式：全面支持數(shù)據(jù)采集、數(shù)據(jù)群發(fā)、雙向交換、數(shù)據(jù)轉(zhuǎn)發(fā)、大文件交換、大圖像交換（如：電子地圖），同時支持視頻、音頻、動畫等流媒體交換。遵循GB/T21062-2007《政務信息資源交換體系》標準。大數(shù)據(jù)處理平臺xxxxx市公共服務云其廣泛的云端用戶群、豐富的應用服務、豐富的數(shù)據(jù)類型，高速的服務要求，以致于公共服務云需采用云計算架構(gòu)下的大數(shù)據(jù)處理框架，單一的關(guān)系型數(shù)據(jù)庫及數(shù)據(jù)倉庫很難勝任，如下圖所示：云計算是發(fā)動機、大數(shù)據(jù)是電；公共服務云服務規(guī)模越大，則越具有大數(shù)據(jù)的“4V”特性：xxxxx市公共服務云的大數(shù)據(jù)處理框架，以高價值為中心，兼容結(jié)構(gòu)化和非結(jié)構(gòu)化，共分為四層：數(shù)據(jù)信息層、數(shù)據(jù)載體層、計算方式層、動態(tài)分析層。1）大數(shù)據(jù)信息層：從整體上講，xxxxx市公共服務云數(shù)據(jù)信息可分為：政府行政服務信息、公共事業(yè)服務信息、文化教育信息、城市執(zhí)法信息、計生保健信息、社會保障信息，數(shù)據(jù)規(guī)模非常龐大。2）大數(shù)據(jù)載體層：xxxxx市公共服務云的數(shù)據(jù)類型非常豐富，包括大量的非結(jié)構(gòu)化，如：網(wǎng)絡日志、視頻、圖片、文檔、地理定位信息、溝通交流信息、人脈關(guān)系信息等非結(jié)構(gòu)化信息。因為從數(shù)據(jù)載體上來講，非結(jié)構(gòu)化數(shù)據(jù)采用NOSQL分布式數(shù)據(jù)庫來存儲（如：TYKYcNosqlServer），結(jié)構(gòu)化數(shù)據(jù)采用關(guān)系型數(shù)據(jù)庫來存儲(MSSQLServer)。3）大數(shù)據(jù)計算層：xxxxx市公共服務云中大量的非結(jié)構(gòu)化數(shù)據(jù)的產(chǎn)生，傳統(tǒng)的只用一種多維計算方式，很難滿足領(lǐng)導決策和業(yè)務發(fā)展需要，xxxxx市公共服務云采用HDInsight分布式計算與常規(guī)多維計算相結(jié)構(gòu)的計算方法。HDInsight是微軟發(fā)布的Hadoop的Windows版，HDInsight允許用戶處理大量的結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)并快速從中獲得價值。4）動態(tài)分析層：主要整合Pig、Hive、Pivot、Map等業(yè)務分析工具，能及時提純xxxxx市公共服務云的價值數(shù)據(jù)、洞察公共服務云的動態(tài)，為領(lǐng)導決策和公共服務云發(fā)展提供必要的支撐。聚合服務平臺除了可利用數(shù)據(jù)交換平臺實現(xiàn)各業(yè)務信息系統(tǒng)之間數(shù)據(jù)和應用的集成以外，在建設公共服務云時，還會遇到用戶管理、身份認證等問題。系統(tǒng)將通過應用支撐平臺實現(xiàn)統(tǒng)一用戶管理、統(tǒng)一身份認證，通過資源整合平臺實現(xiàn)用戶層面、應用層面和數(shù)據(jù)層面的資源整合，提供開放、可控的接口服務，能與各種開放式系統(tǒng)進行互聯(lián)互通。云資源聚合中間件平臺云資源聚合中間件平臺應是云計算PaaS平臺，其的主要作用是：抽象、概括、類化各種應用資源、數(shù)據(jù)資源，簡化復雜資源的整合過程，提升資源整合的標準化及規(guī)范化，為云端用戶提供良好的服務。資源的抽象、概括、類化工作均在Web瀏覽器中進行。圖STYLEREF1\s5SEQ圖\*ARABIC\s15：云聚合中間件平臺本項目應用采用成熟的產(chǎn)品，它應提供如下功能模塊：展現(xiàn)配件池創(chuàng)建與管理：提供面向角色的Gadget桌面展現(xiàn)配件的創(chuàng)建及管理功能，嚴格遵循OpenSocial規(guī)范。應用資源池創(chuàng)建與管理：提供面向主題、統(tǒng)一類化的SaaS應用資源池的創(chuàng)建與管理功能，各種SaaS應用資源可以方便加載。數(shù)據(jù)服務池創(chuàng)建與管理：內(nèi)置一個強大的數(shù)據(jù)服務生成引擎，通過配置能快速生成各種SOAP、REST樣式的數(shù)據(jù)服務，以輕松實現(xiàn)數(shù)據(jù)服務池的創(chuàng)建；支持多數(shù)據(jù)源及多數(shù)據(jù)源混合使用；提供強大的服務治理和服務QoS功能，并支持數(shù)字證書、安全會話、簽名、加密、簽名及加密、STS服務、引導策略、用戶令牌認證等服務安全機制。數(shù)據(jù)魔方池創(chuàng)建與管理：內(nèi)置一個智能的OLAM（在線分析挖掘）引擎，通過配置能快速將各種數(shù)據(jù)集生成面向主題的數(shù)據(jù)魔方，以輕松實現(xiàn)數(shù)據(jù)魔方池的創(chuàng)建；支持關(guān)系型數(shù)據(jù)源和支持XMLA協(xié)議的多維數(shù)據(jù)源；提供多達20余種的解魔方圖形控件、與數(shù)據(jù)綁定后可獨立尋址，支持業(yè)務動態(tài)頂層監(jiān)控、在線數(shù)據(jù)分析挖掘、預言模型導入導出等功能。報表服務池創(chuàng)建與管理：基于ReportingServices（報表服務）引擎，提供在線報表創(chuàng)作服務環(huán)境，它包括查詢生成器和表達式編輯器，它支持處理數(shù)據(jù)、定義布局、預覽報表，以及將報表保存到報表服務器或發(fā)布虛擬化個人桌面。初始代碼池創(chuàng)建與管理：提供面向主題、統(tǒng)一類化的初始代碼池的創(chuàng)建與管理功能，能靈活管理云中所有SaaS應用的初始化代碼，如指標體系、系統(tǒng)參數(shù)、語義映射、節(jié)假日、元數(shù)據(jù)等；并提供初始代碼的外部同步服務。訪問用戶池創(chuàng)建與管理：提供面向機構(gòu)、面向角色、統(tǒng)一類化的訪問用戶池的創(chuàng)建與管理功能，并提供統(tǒng)一行政區(qū)劃、統(tǒng)一組織機構(gòu)、統(tǒng)一用戶角色、統(tǒng)一虛擬用戶組、統(tǒng)一訪問授權(quán)及分級授權(quán)等功能，以及提供相對應外部同步服務。統(tǒng)一身份認證：提供基于AD活動目錄的SSO單點登錄機制，并支持數(shù)字證書認證和用戶令牌等安全機制。統(tǒng)一訪問控制：基于云格訪問控制模型，提供訪問用戶控制、訪問時間控制、訪問IP控制、訪問資源控制等機制。用戶背景感知：基于背景感知計算模型，自動感知用戶的操作習慣，主動為其提供最合適的定制內(nèi)容、產(chǎn)品或服務。智能內(nèi)容聚合：基于內(nèi)容聚合計算模型，根據(jù)所感知到的用戶背景，自動調(diào)用相關(guān)服務、聚合相關(guān)內(nèi)容。展現(xiàn)配件渲染：提供展現(xiàn)配件與聚合內(nèi)容自動適配、綁定、渲染機制，為云端用戶提供良好的服務體驗。信息聚合任務規(guī)劃為實現(xiàn)以人為本的“任務找人、信息找人”的信息聚合模式，應先將平臺用戶池的所有用戶進行虛擬化分組，即創(chuàng)建虛擬用戶組，對每個虛擬組用戶進行公共展現(xiàn)配件規(guī)劃及個性化展現(xiàn)配件規(guī)劃，確保每組用戶登錄自己個人桌面門戶時所呈現(xiàn)的桌面展現(xiàn)配件和展現(xiàn)內(nèi)容是不一樣的、人性化的。根據(jù)云計算的核心思想，信息聚合從三個層面著手：系統(tǒng)功能方面、系統(tǒng)消息方面、信息內(nèi)容方面。一、系統(tǒng)功能聚合：根據(jù)每個虛擬用戶組的授權(quán)，定制聚合各組用戶能訪問的應用資源，包括子系統(tǒng)直通車、常用功能聚合。1）子系統(tǒng)直通車，即聚合每組用戶能訪問的子系統(tǒng)，若某個子系統(tǒng)該用戶組沒有權(quán)限則不可見。2）常用功能聚合，即用戶將自己對各個子系統(tǒng)的常用功能聚合在一個展現(xiàn)配件中，方便自己進行業(yè)務處理。二、系統(tǒng)消息聚合：根據(jù)每個虛擬用戶組的授權(quán)，系統(tǒng)自動為每組用戶聚合有權(quán)訪問的子系統(tǒng)的系統(tǒng)消息，包括來自：1）即時消息；2）電子郵件子系統(tǒng)的新郵件消息；3）移動的待辦消息、通知公告消息等；4）網(wǎng)上虛擬大廳、公共服務云平臺的待辦審批信息；5）…三、信息內(nèi)容聚合：根據(jù)每個虛擬用戶組的授權(quán)，系統(tǒng)自動為每組用戶聚合有權(quán)訪問的子系統(tǒng)的信息內(nèi)容，直接將信息內(nèi)容展現(xiàn)在個人桌面門戶的展現(xiàn)配件中，除系統(tǒng)強制綁定的公共展現(xiàn)配件外，用戶可自行選擇在個人桌面門戶需要陳列的展現(xiàn)配件。1）公共展現(xiàn)配件有：待辦聚合、留言聚合、通知公告聚合，以及綜合辦公自動化系統(tǒng)發(fā)布的公開信息，等等。2）領(lǐng)導組的展現(xiàn)配件有：來自移動的會議紀要、來自門戶網(wǎng)站的反腐敗斗爭新聞和投訴、來自服務中心績效系統(tǒng)的預警信息、來自政府運營頂層監(jiān)控系統(tǒng)的各種業(yè)務綜合查詢、監(jiān)控圖文表，等等。3）一般人員組的展現(xiàn)配件有：來自移動的會議紀要、來自門戶網(wǎng)站群的反腐敗斗爭新聞、來自的審批信息、來自服務中心績效系統(tǒng)的預警信息、績效填報，等等；技術(shù)路線具體技術(shù)如下：1、云計算(Cloudcomputing)技術(shù)，云計算的核心本質(zhì)為資源整合，而且是大量復雜資源的整合，其資源整合過程就是一個資源抽象、概括、類化的過程，云端用戶看到的就是良好的服務，對于后面復雜資源的整合過程，云端用戶沒有必要知道，它主要是由“云資源整合中間件”完成。云資源整合中間件的作用就是實現(xiàn)xxxxx市公共服務云中的資源抽象和簡化，以形成各種簡潔的信息資源池，同時具有背景感知、智能聚合、展現(xiàn)渲染三大云計算能力，為公眾、企業(yè)、政府人員提供方便的服務。2、采用云服務(CloudServices)技術(shù)，即為云端可尋址的RESTServices技術(shù)，通過REST服務技術(shù)，實現(xiàn)各類資源的服務化封裝，確保xxxxx市公共服務云具有極強的松耦合和可組合性，便于系統(tǒng)可以無限擴展、隨需重組。同時，云資源整合中間件平臺與視頻會議系統(tǒng)、郵件系統(tǒng)、短信彩信平臺等系統(tǒng)的接口封裝也應采用云服務技術(shù)。3、采用WOA（WebOrientedArchitecture）架構(gòu)技術(shù)，即為面向Web、面向WAN、第二代SOA架構(gòu)技術(shù)，它汲取了B/S結(jié)構(gòu)和SOA架構(gòu)的核心優(yōu)勢，并各類云端用戶提供了良好的操作體驗，確保應用系統(tǒng)具有協(xié)同性、可重用性、可組合性、服務可尋址性、適應性、自治性、松耦合等先進特性。4、采用背景感知計算（Context-AwareComputing）技術(shù)，即能夠感知用戶背景，主動為其提供最合適的定制內(nèi)容、產(chǎn)品或服務，采用背景感知計算技術(shù)自動感知各個用戶群體的操作習慣，實現(xiàn)不同用戶登錄后，所看到的個人桌面和常用功能完全不一樣，為角色不同的各級機構(gòu)領(lǐng)導提供良好的操作體驗。5、采用內(nèi)容聚合計算(ContentMashupComputing)技術(shù)，即能夠聚合各應用系統(tǒng)的各種信息資源，如：常用功能聚合、待辦任務聚合、子系統(tǒng)報表聚合、子系統(tǒng)消息聚合、子系統(tǒng)日志聚合，改被動為主動，打破以往的“人找信息、人找任務”的應用模式，創(chuàng)新“信息找人、任務找人”的應用新模式。6、采用OLAM（On-LineAnalyticalMining）技術(shù)，即在線分析挖掘技術(shù)，融合了OLAP和DataMining技術(shù)，能夠針對數(shù)據(jù)集市中的各類面向主題的數(shù)據(jù)集，通過配置自動生成各類數(shù)據(jù)魔方(Cube)，以快速形成統(tǒng)一的數(shù)據(jù)魔方池，提供面向主題的展現(xiàn)圖表，確保應用系統(tǒng)不僅擁有實時的業(yè)務運行頂層監(jiān)控功能，而且擁有在線分析挖掘功能，能夠有效模擬、預測未來的業(yè)務發(fā)展趨勢，為管理決策、宏觀調(diào)控提供依據(jù)。安全體系設計云計算改變了服務方式，安全責任的主體發(fā)生了變化。原來，用戶自己要保證服務的安全性，現(xiàn)在由基礎教育云計算中心服務提供商來保證服務提供的安全性。數(shù)據(jù)的物理存儲實體與所有者分離，云安全就是要采取恰當?shù)募夹g(shù)措施，打消用戶顧慮，使其信任基礎教育云計算中心對其私有數(shù)據(jù)的存儲、管理和處理。xxxxx市公共服務云項目的安全服務體系由一系列云安全服務構(gòu)成，是實現(xiàn)云安全目標的重要技術(shù)手段。根據(jù)其所屬層次的不同，云安全服務可以進一步分為云基礎設施安全服務、云基礎安全服務以及云應用安全服務，通過云基礎設施安全服務、云基礎安全服務以及云應用安全服務的保障，實現(xiàn)對云用戶的安全可靠服務。如下圖所示，建立一個多層次、多方面、立體的安全防護體系架構(gòu)。xxxxx市公共服務云安全體系結(jié)合用戶的現(xiàn)狀，制定出適合用戶的合理安全機制，建立動態(tài)安全體系，實現(xiàn)動態(tài)的安全監(jiān)測，真正實現(xiàn)：風險分析+安全策略+防護系統(tǒng)+實時監(jiān)測+實時響應+災難恢復，而且各個部分之間的關(guān)系都是動態(tài)的和相互依賴的。如下圖所示：項目實施推廣方案項目實施推廣策略項目實施策略本項目由xxxxx云計算中心(xxxxx云計算中心)與VVVVV軟件有限公司組織實施。Xxxxx云計算中心(xxxxx云計算中心)是國家在xxxxx布局建設的、xxxxx建市以來單個投資額最大的重大科技基礎項目。立足xxxxx、面向全國、服務華南、港、澳、臺及東南亞地區(qū)，承擔各種大規(guī)?？茖W計算和工程計算任務，同時以其強大的數(shù)據(jù)處理和存儲能力為社會提供云計算服務。VVVVV軟件有限公司是國內(nèi)電子政務領(lǐng)域的領(lǐng)軍廠商、中國云計算領(lǐng)域的先導廠商，公司多年致力于云計算技術(shù)和服務的不斷創(chuàng)新，擁有云計算IaaS、PaaS、SaaS全線TYKY品牌的云服務產(chǎn)品，是中國第一個擁有云計算落地案例的廠商，公司曾獲中國創(chuàng)新軟件企業(yè)、全國“信譽、質(zhì)量、服務”AAA單位、廣東省優(yōu)秀企業(yè)、中國最佳研發(fā)中心獎等多項榮譽。本項目實施策略上將充分利用國家超級計算xxxxx中心的服務器、存儲等現(xiàn)有資源優(yōu)勢，VVVVV軟件有限公司將提供涵蓋IaaS、PaaS、SaaS全線云計算產(chǎn)品的解決方案。項目組織過程中將重視以下幾點策略：1、項目實施過程中采用國際上通行的項目管理方法（ISO、CMM），對各專題的建設進程進行全程跟蹤、分階段評估和認證，確保整個項目的按期按質(zhì)完成。2、在項目實施的過程中，以任務書方式明確開發(fā)小組的責任，確保項目建設的進度與質(zhì)量，充分發(fā)揮團隊的作用、明確其所具有的職責。3、建立健全的從需求分析、設計、測試到項目實施，以及設備現(xiàn)場使用培訓等一整套項目管理規(guī)范，以提供項目實施的制度保證。4、在項目實施中，管理人員和技術(shù)人員共同參與，并做好相應的培訓工作。5、制定在項目實施過程中的技術(shù)文檔的編寫、審核和管理規(guī)范，使項目的相關(guān)技術(shù)文檔達到充分、清晰和高質(zhì)量的標準，以提供項目驗收的文檔資料保證。6、嚴把質(zhì)量關(guān)，確保項目實施質(zhì)量第一。在項目實施過程中，在保證項目質(zhì)量的前提下，努力降低用軟件系統(tǒng)的開發(fā)成本，以保證項目成果產(chǎn)業(yè)化的順利推進。項目推廣策略從橫向來看，公共服務云項目涵蓋了個人及企業(yè)多項服務事項，而這些事項牽扯到政府各類行政服務部門。本項目推廣策略主要圍繞企業(yè)和市民最為迫切的服務進行整合，以“以客戶為導向”，圍繞服務主題整合各行政部門的不同服務?？梢詮牟煌姓块T進行，例如對牽涉?zhèn)€人住房服務的住房建設局、住房公積金管理中心、人社局等部門進行項目的推廣，進而實現(xiàn)為個人提供公積金查詢、保障房/經(jīng)濟適用房/廉租房申請、人才安居工程、住房貸款申請等優(yōu)質(zhì)服務。項目實施推廣計劃項目實施計劃(1)項目時間管理按照項目總體管理的計劃安排、嚴格按照進度控制相關(guān)規(guī)定，制定時間管理計劃，并執(zhí)行。圖：項目時間管理項目時間管理是指確保項目準時完成所需的過程。其主要過程有：–活動定義–活動排序–活動資源估算–活動歷時估算–制定進度計劃項目時間管理流程圖如下：圖：項目時間管理流程圖(2)項目實施計劃進度本項目實施充分遵循項目時間管理流程，計劃從今年開始，分三期建設，每期半年，總工期為18個月。在項目執(zhí)行期內(nèi)，每一階段應達制定具體目標，VVVVV軟件有限公司按每半年一個階段，制定如下項目計劃進度表：時間主要內(nèi)容、預期目標6個月主要公共服務試點的推廣6個月全面?zhèn)€人信息總棧推廣與應用6個月全面企業(yè)信息總棧推廣與應用項目推廣計劃隨著試點工作的進行，將進行公共服務云項目的總結(jié)與全面推廣，逐步將適用范圍擴大到涵蓋各類個人及企業(yè)服務的全市各類行政管理服務部門。第一階段涉及的公共服務平臺試點服務主要有以下內(nèi)容。企業(yè)服務主要推送涉及企業(yè)切身利益的行政審批信息、財政稅務信息、項目申報信息、證照資質(zhì)信息、公共資源交易信息等服務；個人服務主要推送能給市民帶來便利和實惠的服務事項，包括生活服務（水、電、氣、電視、通訊查詢及繳費、天氣預報、萬年歷等）信息、政府辦事（居住證、出入境<港澳通行證>、老年證、身份證、駕駛證換領(lǐng)等）、社保服務（社保繳費查詢、基本醫(yī)療服務、養(yǎng)老服務、生育服務、失業(yè)服務等）、交通服務（公共交通查詢，車輛違章查詢、駕駛員積分查詢）、醫(yī)療服務（預約掛號、醫(yī)生執(zhí)業(yè)資格查詢、?？撇樵儯┑?。第二階段是全面的個人信息總棧推廣與應用，覆蓋個人生命周期的全周期服務。梳理、聚合與市民密切相關(guān)的服務信息，覆蓋個人住房服務、教育服務、交通服務、醫(yī)療服務、生活服務、社保服務、文化服務、就業(yè)服務、政府辦事等各類個人服務事項。通過推廣總結(jié)經(jīng)驗，實現(xiàn)服務的提升。第三階段是全面的企業(yè)信息總棧推廣與應用，覆蓋企業(yè)生命周期的全周期服務。梳理、聚合與企業(yè)密切相關(guān)的服務信息，包括企業(yè)注冊、年審年檢、證照資質(zhì)、知識產(chǎn)權(quán)、項目申報在內(nèi)的各類企業(yè)服務，實現(xiàn)項目在各類政府行政管理部門的推廣。項目推廣周期計劃、人員計劃表格如下：(1)推廣周期計劃表進度情況擬定時間安排計劃工作內(nèi)容實施建議第一階段試點階段6個月主要公共服務的推廣第二階段全面?zhèn)€人信息總棧推廣與應用6個月個人信息總棧推廣與應用，梳理、聚合與市民密切相關(guān)的服務信息第三階段全面企業(yè)信息總棧推廣與應用6個月企業(yè)信息總棧推廣與應用，梳理、聚合與企業(yè)密切相關(guān)的服務信息(2)推廣人員計劃表擬任分工姓名主要工作內(nèi)容聯(lián)系電話總負責人負責項目總體協(xié)調(diào)和需求管理主要技術(shù)人員負責項目總體設計和技術(shù)開發(fā)負責數(shù)據(jù)庫設計和核心模塊開發(fā)負責功能模塊開發(fā)負責功能模塊開發(fā)測試人員負責整體測試系統(tǒng)集成人員負責系統(tǒng)集成售后服務人員負責實施、培訓、推廣、運維負責實施、培訓、推廣、運維產(chǎn)品清單1、cLord基礎設施云化服務平臺2套——cLord基礎模塊——cNosql云數(shù)據(jù)庫引擎——jClime云應用引擎——cDisk云端硬盤2、MTSS多領(lǐng)域多租戶共享交換云平臺——xSwap云共享交換總控——cBus云服務總線——cGate云服務網(wǎng)關(guān)——cLedger云資源目錄——cBridge異構(gòu)云橋3、cInsight大數(shù)據(jù)處理平臺——cCubol云分析平臺——HDInsight分布式計算平臺4、cMashup云聚合中間件平臺5、cPaay云社交中間件平臺附錄資料：不需要的可以自行刪除超全ARP知識什么是ARPARP（AddressResolutionProtocol）是地址解析協(xié)議，是一種將IP地址轉(zhuǎn)化成物理地址的協(xié)議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網(wǎng)絡層（也就是相當于OSI的第三層）地址解析為數(shù)據(jù)鏈路層（也就是相當于OSI的第二層）的物理地址(注:此處物理地址并不一定指MAC地址)。ARP原理：某機器A要向主機B發(fā)送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后，就會進行數(shù)據(jù)傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機B回答物理地址Pb。網(wǎng)上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發(fā)回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地的ARP緩存。接著使用這個MAC地址發(fā)送數(shù)據(jù)（由網(wǎng)卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網(wǎng)絡流通的基礎，而且這個緩存是動態(tài)的。ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應答。當計算機接收到ARP應答數(shù)據(jù)包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。因此，當局域網(wǎng)中的某臺機器B向A發(fā)送一個自己偽造的ARP應答，而如果這個應答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當A接收到B偽造的ARP應答后，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經(jīng)不是原來那個了。由于局域網(wǎng)的網(wǎng)絡流通不是根據(jù)IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網(wǎng)絡不通，導致A不能Ping通C！這就是一個簡單的ARP欺騙。（讀者注：某機器A利用其它某機器B的IP地址和一個事實上并不存在的MAC地下向另一臺機器C發(fā)出ARP請求，導致C中的ARP緩存表的錯誤映射，稱為ARP欺騙）ARP協(xié)議的工作原理在每臺裝有tcp/ip協(xié)議的電腦里都有一個ARP緩存表，表里的ip地址與mac地址是一一對應的，如圖。arp緩存表以主機A（）向主機B（）發(fā)送數(shù)據(jù)為例。當發(fā)送數(shù)據(jù)時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標的MAC地址，直接把目標的MAC地址寫入幀里面發(fā)送就可以了；如果在ARP緩存表里面沒有目標的IP地址，主機A就會在網(wǎng)絡上發(fā)送一個廣播,目標MAC地址是“ff-ff-ff-ff-ff-ff”，這表示向同一網(wǎng)段的所有主機發(fā)出這樣的詢問：“的mac地址是什么呀？”網(wǎng)絡上的其他主機并不回應這一詢問，只有主機B接受到這個幀時才向A作出回應：“的MAC地址是00-aa-0-62-c6-09。（如上表）”這樣，主機A就知道了主機B的MAC地址，就可以向主機B發(fā)送信息了。同時，它還更新了自己的ARP緩存表，下次再向B發(fā)送數(shù)據(jù)時，直接在ARP緩存表找就可以了。ARP緩存表采用老化的機制，在一段時間里表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢的速度。如何查看ARP緩存表ARP緩存表示可以查看的，也可以添加和修改。在命令提示符下，輸入“arp-a”就可以查看arp緩存表的內(nèi)容了。用“arp-d”可以刪除arp緩存表里的所有內(nèi)容。用“arp-s“可以手動在arp表中制定ip地址與MAC地址的對應關(guān)系。ARP欺騙的種類ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內(nèi)網(wǎng)PC的網(wǎng)關(guān)欺騙。第一種ARP欺騙的原理是——截獲網(wǎng)關(guān)數(shù)據(jù)。它通知路由器一系列錯誤的內(nèi)網(wǎng)MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結(jié)果路由器的所有數(shù)據(jù)只能發(fā)送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網(wǎng)關(guān)。它的原理是建立假網(wǎng)關(guān)，讓被它欺騙的PC向假網(wǎng)關(guān)發(fā)數(shù)據(jù)，而不是通過正常的路由器途徑上網(wǎng)。在PC看來，就是上不了網(wǎng)了，“網(wǎng)絡掉線了”。一般來說，ARP欺騙攻擊的后果非常嚴重，大多數(shù)情況下會造成大面積掉線。有些網(wǎng)管員對此不甚了解，出現(xiàn)故障時，認為PC沒有問題，交換機沒掉線的“本事”，電信也不承認寬帶故障。而且如果第一種ARP欺騙發(fā)生時，只要重啟路由器，網(wǎng)絡就能全面恢復，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。arp欺騙－網(wǎng)絡執(zhí)法官的原理在網(wǎng)絡執(zhí)法官中，要想限制某臺機器上網(wǎng)，只要點擊"網(wǎng)卡"菜單中的"權(quán)限"，選擇指定的網(wǎng)卡號或在用戶列表中點擊該網(wǎng)卡所在行，從右鍵菜單中選擇"權(quán)限"，在彈出的對話框中即可限制該用戶的權(quán)限。對于未登記網(wǎng)卡，可以這樣限定其上線：只要設定好所有已知用戶（登記）后，將網(wǎng)卡的默認權(quán)限改為禁止上線即可阻止所有未知的網(wǎng)卡上線。使用這兩個功能就可限制用戶上網(wǎng)。其原理是通過ARP欺騙發(fā)給被攻擊的電腦一個假的網(wǎng)關(guān)IP地址對應的MAC，使其找不到網(wǎng)關(guān)真正的MAC地址，這樣就可以禁止其上網(wǎng)。修改MAC地址突破網(wǎng)絡執(zhí)法官的封鎖根據(jù)上面的分析，我們不難得出結(jié)論：只要修改MAC地址，就可以騙過網(wǎng)絡執(zhí)法官的掃描，從而達到突破封鎖的目的。下面是修改網(wǎng)卡MAC地址的方法：在"開始"菜單的"運行"中輸入regedit，打開注冊表編輯器，展開注冊表到：HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Class/子鍵，在子鍵下的0000，0001，0002等分支中查找DriverDesc（如果你有一塊以上的網(wǎng)卡，就有0001，0002在這里保存了有關(guān)你的網(wǎng)卡的信息，其中的DriverDesc內(nèi)容就是網(wǎng)卡的信息描述，比如我的網(wǎng)卡是Intel21041basedEthernetController），在這里假設你的網(wǎng)卡在0000子鍵。在0000子鍵下添加一個字符串，命名為"NetworkAddress"，鍵值為修改后的MAC地址，要求為連續(xù)的12個16進制數(shù)。然后在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵，在該子鍵下添加名為"default"的字符串，鍵值為修改后的MAC地址。在NetworkAddress的子鍵下繼續(xù)建立名為"ParamDesc"的字符串，其作用為指定NetworkAddress的描述，其值可為"MACAddress"。這樣以后打開網(wǎng)絡鄰居的"屬性"，雙擊相應的網(wǎng)卡就會發(fā)現(xiàn)有一個"高級"設置，其下存在MACAddress的選項，它就是你在注冊表中加入的新項"NetworkAddress"，以后只要在此修改MAC地址就可以了。關(guān)閉注冊表，重新啟動，你的網(wǎng)卡地址已改。打開網(wǎng)絡鄰居的屬性，雙擊相應網(wǎng)卡項會發(fā)現(xiàn)有一個MACAddress的高級設置項，用于直接修改MAC地址。MAC地址也叫物理地址、硬件地址或鏈路地址，由網(wǎng)絡設備制造商生產(chǎn)時寫在硬件內(nèi)部。這個地址與網(wǎng)絡無關(guān)，即無論將帶有這個地址的硬件（如網(wǎng)卡、集線器、路由器等）接入到網(wǎng)絡的何處，它都有相同的MAC地址，MAC地址一般不可改變，不能由用戶自己設定。MAC地址通常表示為12個16進制數(shù)，每2個16進制數(shù)之間用冒號隔開，如：08:00:20:0A:8C:6D就是一個MAC地址，其中前6位16進制數(shù)，08:00:20代表網(wǎng)絡硬件制造商的編號，它由IEEE分配，而后3位16進制數(shù)0A:8C:6D代表該制造商所制造的某個網(wǎng)絡產(chǎn)品（如網(wǎng)卡）的系列號。每個網(wǎng)絡制造商必須確保它所制造的每個以太網(wǎng)設備都具有相同的前三字節(jié)以及不同的后三個字節(jié)。這樣就可保證世界上每個以太網(wǎng)設備都具有唯一的MAC地址。另外，網(wǎng)絡執(zhí)法官的原理是通過ARP欺騙發(fā)給某臺電腦有關(guān)假的網(wǎng)關(guān)IP地址所對應的MAC地址，使其找不到網(wǎng)關(guān)真正的MAC地址。因此，只要我們修改IP到MAC的映射就可使網(wǎng)絡執(zhí)法官的ARP欺騙失效，就隔開突破它的限制。你可以事先Ping一下網(wǎng)關(guān)，然后再用ARP-a命令得到網(wǎng)關(guān)的MAC地址，最后用ARP-sIP網(wǎng)卡MAC地址命令把網(wǎng)關(guān)的IP地址和它的MAC地址映射起來就可以了。找到使你無法上網(wǎng)的對方解除了網(wǎng)絡執(zhí)法官的封鎖后，我們可以利用Arpkiller的"Sniffer殺手"掃描整個局域網(wǎng)IP段，然后查找處在"混雜"模式下的計算機，就可以發(fā)現(xiàn)對方了。具體方法是：運行Arpkiller（圖2），然后點擊"Sniffer監(jiān)測工具"，在出現(xiàn)的"Sniffer殺手"窗口中輸入檢測的起始和終止IP（圖3），單擊"開始檢測"就可以了。檢測完成后，如果相應的IP是綠帽子圖標，說明這個IP處于正常模式，如果是紅帽子則說明該網(wǎng)卡處于混雜模式。它就是我們的目標，就是這個家伙在用網(wǎng)絡執(zhí)法官在搗亂。局域網(wǎng)ARP欺騙的應對一、故障現(xiàn)象及原因分析情況一、當局域網(wǎng)內(nèi)某臺主機感染了ARP病毒時，會向本局域網(wǎng)內(nèi)（指某一網(wǎng)段，比如：這一段）所有主機發(fā)送ARP欺騙攻擊謊稱自己是這個網(wǎng)端的網(wǎng)關(guān)設備，讓原本流向網(wǎng)關(guān)的流量改道流向病毒主機，造成受害者正常上網(wǎng)。情況二、局域網(wǎng)內(nèi)有某些用戶使用了ARP欺騙程序（如：網(wǎng)絡執(zhí)法官,QQ盜號軟件等）發(fā)送ARP欺騙數(shù)據(jù)包，致使被攻擊的電腦出現(xiàn)突然不能上網(wǎng)，過一段時間又能上網(wǎng)，反復掉線的現(xiàn)象。關(guān)于APR欺騙的具體原理請看我收集的資料ARP欺騙的原理二、故障診斷如果用戶發(fā)現(xiàn)以上疑似情況，可以通過如下操作進行診斷：點擊“開始”按鈕->選擇“運行”->輸入“arp–d”->點擊“確定”按鈕，然后重新嘗試上網(wǎng)，如果能恢復正常，則說明此次掉線可能是受ARP欺騙所致。注：arp-d命令用于清除并重建本機arp表。arp–d命令并不能抵御ARP欺騙，執(zhí)行后仍有可能再次遭受ARP攻擊。三、故障處理1、中毒者：建議使用趨勢科技SysClean工具或其他殺毒軟件清除病毒。2、被害者：(1)綁定網(wǎng)關(guān)mac地址。具體方法如下：1）首先，獲得路由器的內(nèi)網(wǎng)的MAC地址（例如網(wǎng)關(guān)地址54的MAC地址為0022aa0022aa）。2）編寫一個批處理文件AntiArp.bat內(nèi)容如下：@echooffarp-darp-s5400-22-aa-00-22-aa將文件中的網(wǎng)關(guān)IP地址和MAC地址更改為您自己的網(wǎng)關(guān)IP地址和MAC地址即可，計算機重新啟動后需要重新進行綁定，因此我們可以將該批處理文件AntiArp.bat文件拖到“windows--開始--程序--啟動”中。這樣開機時這個批處理就被執(zhí)行了。(2)使用ARP防火墻(例如AntiArp)軟件抵御ARP攻擊。AntiArp軟件會在提示框內(nèi)出現(xiàn)病毒主機的MAC地址四，找出ARP病毒源第一招：使用Sniffer抓包在網(wǎng)絡內(nèi)任意一臺主機上運行抓包軟件，捕獲所有到達本機的數(shù)據(jù)包。如果發(fā)現(xiàn)有某個IP不斷發(fā)送ARPRequest請求包，那么這臺電腦一般就是病毒源。原理：無論何種ARP病毒變種，行為方式有兩種，一是欺騙網(wǎng)關(guān)，二是欺騙網(wǎng)內(nèi)的所有主機。最終的結(jié)果是，在網(wǎng)關(guān)的ARP緩存表中，網(wǎng)內(nèi)所有活動主機的MAC地址均為中毒主機的MAC地址；網(wǎng)內(nèi)所有主機的ARP緩存表中，網(wǎng)關(guān)的MAC地址也成為中毒主機的MAC地址。前者保證了從網(wǎng)關(guān)到網(wǎng)內(nèi)主機的數(shù)據(jù)包被發(fā)到中毒主機，后者相反，使得主機發(fā)往網(wǎng)關(guān)的數(shù)據(jù)包均發(fā)送到中毒主機。第二招：使用arp-a命令任意選兩臺不能上網(wǎng)的主機，在DOS命令窗口下運行arp-a命令。例如在結(jié)果中，兩臺電腦除了網(wǎng)關(guān)的IP，MAC地址對應項，都包含了86的這個IP，則可以斷定86這臺主機就是病毒源。原理：一般情況下，網(wǎng)內(nèi)的主機只和網(wǎng)關(guān)通信。正常情況下，一臺主機的ARP緩存中應該只有網(wǎng)關(guān)的MAC地址。如果有其他主機的MAC地址，說明本地主機和這臺主機最后有過數(shù)據(jù)通信發(fā)生。如果某臺主機（例如上面的86）既不是網(wǎng)關(guān)也不是服務器，但和網(wǎng)內(nèi)的其他主機都有通信活動，且此時又是ARP病毒發(fā)作時期，那么，病毒源也就是它了。第三招：使用tracert命令在任意一臺受影響的主機上，在DOS命令窗口下運行如下命令：tracert48。假定設置的缺省網(wǎng)關(guān)為，在跟蹤一個外網(wǎng)地址時，第一跳卻是86，那么，86就是病毒源。原理：中毒主機在受影響主機和網(wǎng)關(guān)之間，扮演了“中間人”的角色。所有本應該到達網(wǎng)關(guān)的數(shù)據(jù)包，由于錯誤的MAC地址，均被發(fā)到了中毒主機。此時，中毒主機越俎代庖，起了缺省網(wǎng)關(guān)的作用。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~·（ARP欺騙的更容易理解的解析）最近在論壇上經(jīng)?？吹疥P(guān)于ARP病毒的問題，于是在Google上搜索ARP關(guān)鍵字，結(jié)果出來很多關(guān)于這類問題的討論。我的求知欲很強，想再學習ARP下相關(guān)知識，所以對目前網(wǎng)絡中常見的ARP問題進行了一個總結(jié)。1.ARP概念咱們談ARP之前，還是先要知道ARP的概念和工作原理，理解了原理知識，才能更好去面對和分析處理問題。1.1ARP概念知識ARP，全稱AddressResolutionProtocol，中文名為地址解析協(xié)議，它工作在數(shù)據(jù)鏈路層，在本層和硬件接口聯(lián)系，同時對上層提供服務。IP數(shù)據(jù)包常通過以太網(wǎng)發(fā)送，以太網(wǎng)設備并不識別32位IP地址，它們是以48位以太網(wǎng)地址傳輸以太網(wǎng)數(shù)據(jù)包。因此，必須把IP目的地址轉(zhuǎn)換成以太網(wǎng)目的地址。在以太網(wǎng)中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協(xié)議獲得的。ARP協(xié)議用于將網(wǎng)絡中的IP地址解析為的硬件地址（MAC地址），以保證通信的順利進行。1.2ARP工作原理首先，每臺主機都會在自己的ARP緩沖區(qū)中建立一個ARP列表，以表示IP地址和MAC地址的對應關(guān)系。當源主機需要將一個數(shù)據(jù)包要發(fā)送到目的主機時，會首先檢查自己ARP列表中是否存在該IP地址對應的MAC地址，如果有﹐就直接將數(shù)據(jù)包發(fā)送到這個MAC地址；如果沒有，就向本地網(wǎng)段發(fā)起一個ARP請求的廣播包，查詢此目的主機對應的MAC地址。此ARP請求數(shù)據(jù)包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。網(wǎng)絡中所有的主機收到這個ARP請求后，會檢查數(shù)據(jù)包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數(shù)據(jù)包；如果相同，該主機首先將發(fā)送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經(jīng)存在該IP的信息，則將其覆蓋，然后給源主機發(fā)送一個ARP響應數(shù)據(jù)包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應數(shù)據(jù)包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數(shù)據(jù)的傳輸。如果源主機一直沒有收到ARP響應數(shù)據(jù)包，表示ARP查詢失敗。例如：A的地址為：IP：MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：MAC:BB-BB-BB-BB-BB-BB根據(jù)上面的所講的原理，我們簡單說明這個過程：A要和B通訊，A就需要知道B的以太網(wǎng)地址，于是A發(fā)送一個ARP請求廣播（誰是，請告訴），當B收到該廣播，就檢查自己，結(jié)果發(fā)現(xiàn)和自己的一致，然后就向A發(fā)送一個ARP單播應答（在BB-BB-BB-BB-BB-BB）。1.3ARP通訊模式通訊模式（PatternAnalysis）：在網(wǎng)絡分析中，通訊模式的分析是很重要的，不同的協(xié)議和不同的應用都會有不同的通訊模式。更有些時候，相同的協(xié)議在不同的企業(yè)應用中也會出現(xiàn)不同的通訊模式。ARP在正常情況下的通訊模式應該是：請求->應答->請求->應答，也就是應該一問一答。2.常見ARP攻擊類型個人認為常見的ARP攻擊為兩種類型：ARP掃描和ARP欺騙。2.1ARP掃描（ARP請求風暴）通訊模式（可能）：請求->請求->請求->請求->請求->請求->應答->請求->請求->請求...描述：網(wǎng)絡中出現(xiàn)大量ARP請求廣播包，幾乎都是對網(wǎng)段內(nèi)的所有主機進行掃描。大量的ARP請求廣播可能會占用網(wǎng)絡帶寬資源；ARP掃描一般為ARP攻擊的前奏。出現(xiàn)原因（可能）：*病毒程序，偵聽程序，掃描程序。*如果網(wǎng)絡分析軟件部署正確，可能是我們只鏡像了交換機上的部分端口，所以大量ARP請求是來自與非鏡像口連接的其它主機發(fā)出的。*如果部署不正確，這些ARP請求廣播包是來自和交換機相連的其它主機。2.2ARP欺騙ARP協(xié)議并不只在發(fā)送了ARP請求才接收ARP應答。當計算機接收到ARP應答數(shù)據(jù)包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。所以在網(wǎng)絡中，有人發(fā)送一個自己偽造的ARP應答，網(wǎng)絡可能就會出現(xiàn)問題。這可能就是協(xié)議設計者當初沒考慮到的！2.2.1欺騙原理假設一個網(wǎng)絡環(huán)境中，網(wǎng)內(nèi)有三臺主機，分別為主機A、B、C。主機詳細信息如下描述：A的地址為：IP：MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：MAC:BB-BB-BB-BB-BB-BBC的地址為：IP：MAC:CC-CC-CC-CC-CC-CC正常情況下A和C之間進行通訊，但是此時B向A發(fā)送一個自己偽造的ARP應答，而這個應答中的數(shù)據(jù)為發(fā)送方IP地址是（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存（A被欺騙了），這時B就偽裝成C了。同時，B同樣向C發(fā)送一個ARP應答，應答包中發(fā)送方IP地址四（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本來應該是AA-AA-AA-AA-AA-AA），當C收到B偽造的ARP應答，也會更新本地ARP緩存（C也被欺騙了），這時B就偽裝成了A。這樣主機A和C都被主機B欺騙，A和C之間通訊的數(shù)據(jù)都經(jīng)過了B。主機B完全可以知道他們之間說的什么：）。這就是典型的ARP欺騙過程。注意：一般情況下，ARP欺騙的某一方應該是網(wǎng)關(guān)。2.2.2兩種情況ARP欺騙存在兩種情況：一種是欺騙主機作為“中間人”，被欺騙主機的數(shù)據(jù)都經(jīng)過它中轉(zhuǎn)一次，這樣欺騙主機可以竊取到被它欺騙的主機之間的通訊數(shù)據(jù)；另一種讓被欺騙主機直接斷網(wǎng)。第一種：竊取數(shù)據(jù)（嗅探）通訊模式：應答->應答->應答->應答->應答->請求->應答->應答->請求->應答...描述：這種情況就屬于我們上面所說的典型的ARP欺騙，欺騙主機向被欺騙主機發(fā)送大量偽造的ARP應答包進行欺騙，當通訊雙方被欺騙成功后，自己作為了一個“中間人“的身份。此時被欺騙的主機雙方還能正常通訊，只不過在通訊過程中被欺騙者“竊聽”了。出現(xiàn)原因（可能）：*木馬病毒*嗅探*人為欺騙第二種：導致斷網(wǎng)通訊模式：應答->應答->應答->應答->應答->應答->請求…描述：這類情況就是在ARP欺騙過程中，欺騙者只欺騙了其中一方，如B欺騙了A，但是同時B沒有對C進行欺騙，這樣A實質(zhì)上是在和B通訊，所以A就不能和C通訊了，另外一種情況還可能就是欺騙者偽造一個不存在地址進行欺騙。對于偽造地址進行的欺騙，在排查上比較有難度，這里最好是借用TAP設備（這個東東好像有點貴勒），分別捕獲單向數(shù)據(jù)流進行分析！出現(xiàn)原因（可能）：*木馬病毒*人為破壞*一些網(wǎng)管軟件的控制功能3.常用的防護方法搜索網(wǎng)上，目前對于ARP攻擊防護問題出現(xiàn)最多是綁定IP和MAC和使用ARP防護軟件，也出現(xiàn)了具有ARP防護功能的路由器。呵呵，我們來了解下這三種方法。3.1靜態(tài)綁定最常用的方法就是做IP和MAC靜態(tài)綁定，在網(wǎng)內(nèi)把主機和網(wǎng)關(guān)都做IP和MAC綁