國(guó)土空間信息化頂層設(shè)計(jì)基礎(chǔ)架構(gòu)分析

規(guī)劃國(guó)土委信息化頂層設(shè)計(jì)基礎(chǔ)架構(gòu)分析系統(tǒng)基礎(chǔ)架構(gòu)總體架構(gòu)系統(tǒng)基礎(chǔ)架構(gòu)層由環(huán)境支撐系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和基礎(chǔ)軟硬件系統(tǒng)組成，通過(guò)一系列安全措施和技術(shù)手段，滿足業(yè)務(wù)應(yīng)用系統(tǒng)部署和運(yùn)行需要，為各類業(yè)務(wù)應(yīng)用系統(tǒng)提供高效、穩(wěn)定、安全的基礎(chǔ)運(yùn)行環(huán)境。系統(tǒng)基礎(chǔ)架構(gòu)層在整個(gè)體系架構(gòu)中的相對(duì)位置系統(tǒng)基礎(chǔ)架構(gòu)層所包括的主要內(nèi)容網(wǎng)絡(luò)環(huán)境：我委信息系統(tǒng)所面對(duì)的各類連接網(wǎng)絡(luò)邊界，主要包括委內(nèi)部辦公網(wǎng)絡(luò)、黨政機(jī)關(guān)網(wǎng)（政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)、國(guó)土資源部/省網(wǎng)絡(luò)、住房建設(shè)部/省網(wǎng)絡(luò)）、ISP接入網(wǎng)（電信、聯(lián)通、移動(dòng)等運(yùn)營(yíng)商網(wǎng)絡(luò)）、無(wú)線網(wǎng)絡(luò)等軟件環(huán)境：信息系統(tǒng)基礎(chǔ)軟件環(huán)境，包括各類操作系統(tǒng)、數(shù)據(jù)庫(kù)軟件、中間件、GIS軟件、虛擬化軟件、自動(dòng)化部署監(jiān)控軟件等硬件環(huán)境：微機(jī)服務(wù)器、小型機(jī)服務(wù)器、存儲(chǔ)設(shè)備、備份設(shè)備、網(wǎng)絡(luò)硬件設(shè)施等機(jī)房環(huán)境：場(chǎng)地、空調(diào)、UPS、環(huán)境監(jiān)控、綜合布線等下文將針對(duì)基礎(chǔ)設(shè)施層各內(nèi)容進(jìn)行詳細(xì)描述。環(huán)境支撐系統(tǒng)設(shè)計(jì)現(xiàn)有的交易大廈和規(guī)劃大廈機(jī)房在設(shè)計(jì)使用方面存在不足，尤其是交易大廈機(jī)房。主要表現(xiàn)在，機(jī)房制冷、UPS電源和功能區(qū)域劃分方面存在瓶頸，在空氣質(zhì)量保障方面也有較大隱患，不利于后期維護(hù)。作為基礎(chǔ)運(yùn)行物理環(huán)境，需要新建新的綠色數(shù)據(jù)中心,，數(shù)據(jù)中心機(jī)房規(guī)劃與建設(shè)要做到整體規(guī)劃合理、理念先進(jìn),配置全面，針對(duì)不同功能區(qū)域和不同應(yīng)用進(jìn)行合理的設(shè)計(jì)，在充分考慮機(jī)房系統(tǒng)功能完善、適用的基礎(chǔ)上，實(shí)現(xiàn)綠色節(jié)能減排。數(shù)據(jù)中心的設(shè)計(jì)必須滿足當(dāng)前各項(xiàng)需求應(yīng)用，又面向未來(lái)快速增長(zhǎng)的發(fā)展需求，因此必須是高可擴(kuò)、高靈活和高開放的，相關(guān)設(shè)計(jì)應(yīng)滿足相關(guān)建設(shè)標(biāo)準(zhǔn)和設(shè)計(jì)規(guī)范。1、按照不同功能用途，劃分特定區(qū)域功能區(qū)間名稱功用接待區(qū)來(lái)訪接待，簽名及等待區(qū)防尾隨區(qū)防止尾隨及跟換衣物及鞋套區(qū)域綜合監(jiān)控室大屏幕監(jiān)控平臺(tái)、進(jìn)入主機(jī)房的緩沖區(qū)，值班人員辦公區(qū)主機(jī)房-生產(chǎn)數(shù)據(jù)服務(wù)器區(qū)存放生產(chǎn)數(shù)據(jù)機(jī)柜、服務(wù)設(shè)備、網(wǎng)絡(luò)設(shè)備，包括光纖接入和主配線架主機(jī)房-測(cè)試數(shù)據(jù)服務(wù)器區(qū)存放測(cè)試數(shù)據(jù)機(jī)柜、服務(wù)設(shè)備、網(wǎng)絡(luò)設(shè)備，包括光纖接入和主配線架備品備件庫(kù)區(qū)存放備品備件，設(shè)備維修場(chǎng)地多媒體資料室存放多媒體資料，磁帶及各類文檔配電及UPS室存放主輸入配電柜、UPS,ATS、電池等設(shè)備新風(fēng)機(jī)房機(jī)房新風(fēng)處理間、存放新風(fēng)處理設(shè)備氣體鋼瓶間消防鋼瓶存放，支架管理2、采用模塊化智能配電模式，便于在線擴(kuò)充和智能化管理。UPS電源系統(tǒng)采用冗余技術(shù)設(shè)計(jì)，采用雙總線模塊化供電方式，為全部服務(wù)器機(jī)柜提供雙UPS電源供電。其余如機(jī)房空調(diào)與氣流配送系統(tǒng)、新風(fēng)系統(tǒng)、機(jī)柜及KVM系統(tǒng)、防雷與接地系統(tǒng)、氣體消防系統(tǒng)等均應(yīng)按照建設(shè)齊備。3、綜合布線系統(tǒng)采用更為合理、更優(yōu)化，彈性強(qiáng)、穩(wěn)定性和擴(kuò)展性好的布線技術(shù),且應(yīng)考慮新一代網(wǎng)絡(luò)技術(shù)的使用需要。綜合布線系統(tǒng)采用六類UTP和光纖混合的方式，且應(yīng)考慮未來(lái)FCOE和萬(wàn)兆網(wǎng)絡(luò)系統(tǒng)的大面積使用需求。同時(shí)，將機(jī)房區(qū)分為若干機(jī)柜組，每排機(jī)柜設(shè)一組集中配線柜，是該排機(jī)柜的列頭柜，列頭柜與該排機(jī)柜采用跳線的方式連接；對(duì)于水平線纜子系統(tǒng)，為防止強(qiáng)電對(duì)數(shù)據(jù)信號(hào)的干擾和方便布線，全部數(shù)據(jù)線都采用上走線的方式，選擇的機(jī)柜均帶有上走線屏蔽線槽，線槽應(yīng)良好接地；每個(gè)服務(wù)器預(yù)留二個(gè)網(wǎng)口，設(shè)置二條線路，一主一備。4、建立專用監(jiān)控管理中心，采用大屏幕顯示系統(tǒng)，部署統(tǒng)一聯(lián)網(wǎng)監(jiān)控管理系統(tǒng)，運(yùn)用高科技手段，對(duì)機(jī)房?jī)?nèi)各類設(shè)備和信息進(jìn)行全數(shù)字化集中監(jiān)控管理，以及對(duì)分布在不同區(qū)域的多個(gè)機(jī)房的少人或無(wú)人值守問題，滿足現(xiàn)代化機(jī)房管理的需要。系統(tǒng)主要監(jiān)控對(duì)象包括：為機(jī)房?jī)?nèi)所有設(shè)備系統(tǒng)供電的變配電柜、發(fā)電機(jī)、UPS、UPS蓄電池等動(dòng)力設(shè)備，以及保證設(shè)備良好運(yùn)行的環(huán)境系統(tǒng)，如：溫度、濕度探測(cè)系統(tǒng)、空調(diào)系統(tǒng)、照明控制系統(tǒng)、監(jiān)控管理人員出入和考勤的門禁系統(tǒng)，以及消防報(bào)警系統(tǒng)和其他傳輸控制設(shè)備。網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)我委網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)應(yīng)滿足安全性、高可用性、擴(kuò)展性和靈活性、可管理性等需求，同時(shí)應(yīng)具備一定的前瞻性。從應(yīng)用區(qū)域劃分，本節(jié)將從“數(shù)據(jù)中心網(wǎng)絡(luò)”、“外聯(lián)共享交換區(qū)域”、網(wǎng)絡(luò)監(jiān)控管理等方面予以描述。（1）搭建高可用數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)數(shù)據(jù)中心基礎(chǔ)網(wǎng)絡(luò)部分，主要采用“扁平部署模式”和“多級(jí)部署模式”進(jìn)行分層設(shè)計(jì)。通過(guò)分層部署可以使網(wǎng)絡(luò)具有很好的擴(kuò)展性（無(wú)需干擾其它區(qū)域就能根據(jù)需要增加容量），可以提升網(wǎng)絡(luò)的可用性（隔離故障域降低故障對(duì)網(wǎng)絡(luò)的影響），可以簡(jiǎn)化網(wǎng)絡(luò)的管理（拓?fù)浣Y(jié)構(gòu)結(jié)構(gòu)更清晰）?？紤]到我委內(nèi)外網(wǎng)的不同特性，外網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)采用多級(jí)部署模型，每一級(jí)都部署單獨(dú)的接入交換機(jī)，級(jí)與級(jí)之間再部署防火墻以實(shí)現(xiàn)訪問控制隔離；內(nèi)網(wǎng)數(shù)據(jù)中心網(wǎng)絡(luò)采用扁平部署模型而言，服務(wù)器的分級(jí)結(jié)構(gòu)是邏輯上的，需要依靠接入交換機(jī)的VLAN、匯聚層的防火墻多實(shí)例技術(shù)實(shí)現(xiàn)不同服務(wù)器級(jí)之間的隔離與訪問控制。同時(shí)，網(wǎng)絡(luò)設(shè)計(jì)上應(yīng)考慮全冗余萬(wàn)兆核心交換、IPV6、虛擬化、FCOE等。如上圖所示，數(shù)據(jù)中心內(nèi)部網(wǎng)絡(luò)區(qū)域主要?jiǎng)澐譃閃EB服務(wù)器區(qū)、基礎(chǔ)服務(wù)器區(qū)、應(yīng)用服務(wù)器區(qū)、數(shù)據(jù)庫(kù)服務(wù)器區(qū)、存儲(chǔ)備份區(qū)等，其中，內(nèi)網(wǎng)通過(guò)交換機(jī)VLAN進(jìn)行劃分，外網(wǎng)通過(guò)防火墻對(duì)不同網(wǎng)絡(luò)區(qū)域進(jìn)行隔離。數(shù)據(jù)中心網(wǎng)絡(luò)核心網(wǎng)絡(luò)采用FCOE萬(wàn)兆網(wǎng)絡(luò)交換機(jī)，實(shí)現(xiàn)服務(wù)器、存儲(chǔ)和交換機(jī)間萬(wàn)兆網(wǎng)絡(luò)交換互聯(lián)，同時(shí)實(shí)現(xiàn)光纖存儲(chǔ)網(wǎng)絡(luò)和IP網(wǎng)絡(luò)的整合利用。各種網(wǎng)絡(luò)設(shè)備的配置需同時(shí)考慮IPv4向IPv6的過(guò)渡需求。（2）搭建統(tǒng)一互聯(lián)的網(wǎng)絡(luò)使用環(huán)境我委網(wǎng)絡(luò)主要?jiǎng)澐謨?nèi)、外兩套網(wǎng)絡(luò)環(huán)境，考慮到各類不同的網(wǎng)絡(luò)接入需求，從光纖布線和安全管理控制等層面考慮，需要盡快搭建一個(gè)通用的網(wǎng)絡(luò)接入平臺(tái)，并根據(jù)接入對(duì)象的相似性進(jìn)行劃分和統(tǒng)一安全控制。內(nèi)網(wǎng)網(wǎng)絡(luò)主要?jiǎng)澐譃閮?nèi)部機(jī)構(gòu)接入?yún)^(qū)、內(nèi)網(wǎng)黨政接入?yún)^(qū)。其中，內(nèi)部機(jī)構(gòu)接入?yún)^(qū)主要考慮我委下級(jí)各單位以及分布在全市不同辦公場(chǎng)所的單位聯(lián)網(wǎng)接入，改區(qū)域聯(lián)網(wǎng)單位是我委最主要的用戶群體，網(wǎng)絡(luò)資源配置和穩(wěn)定性保障上應(yīng)重點(diǎn)考慮；內(nèi)網(wǎng)黨政接入?yún)^(qū)主要考慮市、省、部等各級(jí)政府機(jī)關(guān)基于內(nèi)網(wǎng)專網(wǎng)的接入需求。此外，為確保內(nèi)部機(jī)構(gòu)互聯(lián)區(qū)域接入穩(wěn)定，通過(guò)VPN方式使用政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)光纖資源，通過(guò)政務(wù)網(wǎng)絡(luò)接入黨政網(wǎng)絡(luò)接入?yún)^(qū)，作為備用線路使用。外網(wǎng)網(wǎng)絡(luò)主要包括外網(wǎng)黨政接入?yún)^(qū)和ISP接入?yún)^(qū)。其中，外網(wǎng)黨政接入?yún)^(qū)主要考慮市、省、部等各級(jí)政府機(jī)關(guān)基于內(nèi)網(wǎng)專網(wǎng)或互聯(lián)網(wǎng)的接入需求；ISP接入?yún)^(qū)主要考慮各類網(wǎng)絡(luò)運(yùn)營(yíng)商、網(wǎng)絡(luò)專線、短信專線等接入需求。其網(wǎng)路連接拓?fù)涫疽馊缦拢海?）網(wǎng)絡(luò)監(jiān)控和管理解決（網(wǎng)絡(luò)運(yùn)行維護(hù)，監(jiān)控管理等，通過(guò)一系列先進(jìn)的技術(shù)，實(shí)現(xiàn)自動(dòng)化管理）基礎(chǔ)軟硬件系統(tǒng)設(shè)計(jì)考慮到今后數(shù)據(jù)中心整合趨勢(shì)要求，本節(jié)思路擬按照計(jì)劃將現(xiàn)有兩個(gè)數(shù)據(jù)中心整合到一個(gè)數(shù)據(jù)中心，并將其中一個(gè)數(shù)據(jù)中心作為容災(zāi)站點(diǎn)運(yùn)行，因此新的網(wǎng)絡(luò)架構(gòu)我們考慮將網(wǎng)絡(luò)部分納入支撐應(yīng)用交付平臺(tái)的云計(jì)算架構(gòu)考慮，以便實(shí)現(xiàn)建立信息化的業(yè)務(wù)執(zhí)行體系，整合與提升現(xiàn)有業(yè)務(wù)系統(tǒng)，創(chuàng)新業(yè)務(wù)管理的技術(shù)手段，擴(kuò)大信息化實(shí)際覆蓋面，建設(shè)既統(tǒng)一又有機(jī)聯(lián)系、圖文一體、人性化設(shè)計(jì)的規(guī)劃國(guó)土政務(wù)管理信息平臺(tái)?？紤]到我委內(nèi)外網(wǎng)物理隔離，內(nèi)外網(wǎng)框架基本類似，因此后續(xù)描述主要以內(nèi)網(wǎng)網(wǎng)絡(luò)規(guī)劃為主，外網(wǎng)類似。我委基礎(chǔ)軟硬件系統(tǒng)設(shè)計(jì)大致可按照如下思路完成：統(tǒng)一數(shù)據(jù)存儲(chǔ)，搭建虛擬化服務(wù)器和存儲(chǔ)基礎(chǔ)平臺(tái)；劃分?jǐn)?shù)據(jù)中心資源池，構(gòu)建私有云環(huán)境；統(tǒng)一數(shù)據(jù)保護(hù)，建立容災(zāi)備份環(huán)境；依靠自動(dòng)化管控工具，完成統(tǒng)一監(jiān)控管理和自動(dòng)化交付系統(tǒng)建設(shè)。1、利用虛擬化手段，推進(jìn)服務(wù)器虛擬化和存儲(chǔ)系統(tǒng)虛擬化通過(guò)虛擬化手段，進(jìn)一步整合基礎(chǔ)服務(wù)器資源，提升資源利用率和系統(tǒng)可擴(kuò)展性。對(duì)于微機(jī)服務(wù)器，通過(guò)虛擬化軟件，如Vmware等，搭建高可用的虛擬化環(huán)境。對(duì)小型機(jī)服務(wù)器，利用硬件分區(qū)和軟分區(qū)相結(jié)合的方式實(shí)現(xiàn)硬件資源集中化。主要技術(shù)要點(diǎn)：（1）服務(wù)器按照功能定位不同，劃分為基礎(chǔ)管理服務(wù)器區(qū)、業(yè)務(wù)應(yīng)用微機(jī)服務(wù)器區(qū)、業(yè)務(wù)應(yīng)用小型機(jī)服務(wù)器區(qū)、數(shù)據(jù)庫(kù)小型機(jī)服務(wù)器區(qū)。各不同服務(wù)器區(qū)域通過(guò)一系列虛擬化手段實(shí)現(xiàn)資源利用最大化。（2）微機(jī)服務(wù)器虛擬化主要用于基礎(chǔ)管理服務(wù)器區(qū)和業(yè)務(wù)應(yīng)用服務(wù)器區(qū)，前者主要用于AD、DHCP、DNS、WSUS補(bǔ)丁管理、準(zhǔn)入控制、防病毒、運(yùn)維管理等一系列基礎(chǔ)服務(wù)功能；后者主要承擔(dān)各類基于X86平臺(tái)的業(yè)務(wù)應(yīng)用。（3）小型機(jī)虛擬化主要用于UNIX應(yīng)用類服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器。采用“硬件分區(qū)＋軟件分區(qū)”的方式進(jìn)行虛擬化，對(duì)于數(shù)據(jù)庫(kù)服務(wù)器則僅采用“硬件分區(qū)”方式。同時(shí)，服務(wù)器虛擬化和大數(shù)據(jù)量的產(chǎn)生，對(duì)存儲(chǔ)系統(tǒng)也提出了更高的要求，在容量、性能、功能上都需要完善。存儲(chǔ)系統(tǒng)中規(guī)劃設(shè)計(jì)上應(yīng)考慮整合現(xiàn)有資源，同時(shí)具備較強(qiáng)的擴(kuò)展性。主要技術(shù)要點(diǎn)：（1）、鏈路層，通過(guò)萬(wàn)兆FCOE交換機(jī)實(shí)現(xiàn)IP網(wǎng)絡(luò)和存儲(chǔ)網(wǎng)絡(luò)的整合統(tǒng)一。（2）、統(tǒng)一虛擬存儲(chǔ)平臺(tái)，通過(guò)部署統(tǒng)一虛擬化云存儲(chǔ)平臺(tái)，整合現(xiàn)有存儲(chǔ)資源。同時(shí)，該存儲(chǔ)平臺(tái)還能支持異構(gòu)平臺(tái)存儲(chǔ)自動(dòng)復(fù)制功能，確保核心數(shù)據(jù)同時(shí)存儲(chǔ)于兩臺(tái)底層存儲(chǔ)設(shè)備中，進(jìn)一步確保關(guān)鍵數(shù)據(jù)安全。（3）、底層存儲(chǔ)設(shè)備，最終數(shù)據(jù)存儲(chǔ)設(shè)備，由原有存儲(chǔ)設(shè)備和新采購(gòu)的磁盤陣列組成，2、統(tǒng)一數(shù)據(jù)保護(hù)，建立容災(zāi)備份環(huán)境數(shù)據(jù)永遠(yuǎn)是數(shù)據(jù)中心最核心的資產(chǎn)，尤其是采用虛擬化后，所有的核心數(shù)據(jù)都將依靠數(shù)據(jù)存儲(chǔ)設(shè)備進(jìn)行統(tǒng)一存儲(chǔ)。為確保數(shù)據(jù)中心數(shù)據(jù)的使用安全和存儲(chǔ)安全，應(yīng)同時(shí)考慮其備份和數(shù)據(jù)容災(zāi)問題。我委數(shù)據(jù)中心可按照地域性進(jìn)行合理搭配使用，滿足數(shù)據(jù)保護(hù)。（1）、在主數(shù)據(jù)中心（如交易大廈）和規(guī)劃大廈機(jī)房之間部署CDP連續(xù)數(shù)據(jù)保護(hù)系統(tǒng)，實(shí)現(xiàn)兩地機(jī)房存儲(chǔ)系統(tǒng)數(shù)據(jù)互相傳輸連續(xù)保護(hù)功能。在不影響主要數(shù)據(jù)運(yùn)行的前提下，實(shí)現(xiàn)持續(xù)捕捉或跟蹤目標(biāo)數(shù)據(jù)所發(fā)生的任何改變，并且能夠恢復(fù)到此前任意時(shí)間點(diǎn)的方法。CDP系統(tǒng)能夠提供塊級(jí)、文件級(jí)和應(yīng)用級(jí)的備份，并且為數(shù)量無(wú)限的可變恢復(fù)點(diǎn)提供精細(xì)的可恢復(fù)對(duì)象。部署完成后，交易大廈和規(guī)劃大廈互作為CDP數(shù)據(jù)傳輸目標(biāo)端，可以實(shí)現(xiàn)核心數(shù)據(jù)跨數(shù)據(jù)中心存儲(chǔ)功能。（2）、數(shù)據(jù)中心本地繼續(xù)采用傳統(tǒng)數(shù)據(jù)備份系統(tǒng)，并通過(guò)帶重復(fù)數(shù)據(jù)消除功能的虛擬帶庫(kù)進(jìn)行快速存儲(chǔ)，然后通過(guò)虛擬帶庫(kù)離線克隆至物理帶庫(kù)中存儲(chǔ)，實(shí)現(xiàn)分級(jí)存儲(chǔ)備份，同時(shí)也確保備份介質(zhì)的多版本克隆。（3）、利用虛擬帶庫(kù)自身的遠(yuǎn)程復(fù)制功能，實(shí)現(xiàn)遠(yuǎn)距離異地?cái)?shù)據(jù)容災(zāi)。在遠(yuǎn)程機(jī)房部署一套相同型號(hào)帶重復(fù)數(shù)據(jù)消除功能的虛擬帶庫(kù)，并依靠虛擬帶庫(kù)自身的復(fù)制功能，依托IP網(wǎng)絡(luò)，將本地備份的數(shù)據(jù)遠(yuǎn)程復(fù)制至另一數(shù)據(jù)中心機(jī)房，距離可以從幾公里到上千公里均可。上述功能實(shí)現(xiàn)示意圖如下：4、依靠自動(dòng)化管控工具，完成統(tǒng)一監(jiān)控管理和自動(dòng)化交付系統(tǒng)建設(shè)最終總拓?fù)鋱D示如下:信息安全系統(tǒng)設(shè)計(jì)隨著信息技術(shù)的發(fā)展，信息化程度越來(lái)越高，信息安全的內(nèi)涵也在不斷豐富，面臨的新挑戰(zhàn)和新問題不斷出現(xiàn)。云計(jì)算出現(xiàn)并成為信息技術(shù)領(lǐng)域熱點(diǎn)，提供便利服務(wù)的同時(shí)也對(duì)安全問題提出了嚴(yán)峻挑戰(zhàn)。雖然安全問題日益復(fù)雜，但信息安全系統(tǒng)設(shè)計(jì)仍然需要安全管理和安全技術(shù)的相輔相成。1、建立與實(shí)施信息安全管理體系長(zhǎng)期以來(lái)，人們對(duì)保障信息安全所采取的手段偏重于依靠安全技術(shù)，但不能否認(rèn)實(shí)行安全管理也是實(shí)現(xiàn)信息安全目標(biāo)的最經(jīng)濟(jì)、最有效的途徑。建立與實(shí)施信息安全管理體系需要經(jīng)過(guò)三個(gè)階段，一是需求分析和組建機(jī)構(gòu)，二是立章建制并形成文件，三是組織實(shí)施和改進(jìn)。同時(shí)加強(qiáng)信息安全宣傳教育和培訓(xùn)，讓信息安全深入人心。2、加強(qiáng)和完善安全域防護(hù)在信息系統(tǒng)建設(shè)過(guò)程中，結(jié)合XX市安全防護(hù)工作方案的技術(shù)要求，明確和細(xì)化全委網(wǎng)絡(luò)和信息系統(tǒng)安全域的劃分，明確安全域邊界防護(hù)和接入?yún)^(qū)建設(shè)的技術(shù)要求和標(biāo)準(zhǔn)，以及安全域內(nèi)的防護(hù)基本要求，建立安全域之間訪問控制策略以實(shí)現(xiàn)不同安全域的安全級(jí)別防護(hù)。3、建立和完善綜合安全審計(jì)根據(jù)XX市統(tǒng)一的網(wǎng)絡(luò)安全審計(jì)系統(tǒng)要求，在目前單一上網(wǎng)行為審計(jì)的基礎(chǔ)上，建設(shè)和完善網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)和用戶行為的綜合安全審計(jì)系統(tǒng)，實(shí)現(xiàn)網(wǎng)絡(luò)攻擊防御、接入控制、邊界防護(hù)、主機(jī)保護(hù)、系統(tǒng)配置、存儲(chǔ)介質(zhì)管理、業(yè)務(wù)應(yīng)用操作等多方面的安全審計(jì)功能。4、建立綜合涉密信息保障體系按照XX市國(guó)家保密局對(duì)于分級(jí)保護(hù)工作的要求，從數(shù)據(jù)信息格式、數(shù)據(jù)存儲(chǔ)位置、傳輸途徑、設(shè)備的安全管理、用戶身份認(rèn)證以及綜合安全審計(jì)等多個(gè)方面進(jìn)行考慮，形成一個(gè)全面綜合的信息安全保密體系，并繼續(xù)做好風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)工作。5、建立非涉密系統(tǒng)的等級(jí)保護(hù)體系按照XX市等級(jí)保護(hù)工作組對(duì)于非涉密信息系統(tǒng)的等級(jí)保護(hù)技術(shù)要求，做好我委信息系統(tǒng)的安全等級(jí)保護(hù)定級(jí)、備案、安全建設(shè)、測(cè)評(píng)和整改工作，完成信息系統(tǒng)按照安全等級(jí)實(shí)施相應(yīng)保障措施的體系建設(shè)。6、CA認(rèn)證、水印和電子簽章構(gòu)建全委統(tǒng)一的CA數(shù)字認(rèn)證系統(tǒng)，從單一的網(wǎng)絡(luò)層認(rèn)證向網(wǎng)絡(luò)與應(yīng)用結(jié)合的認(rèn)證方式發(fā)展。7、終端安全管理采用XX市統(tǒng)一的內(nèi)網(wǎng)安全管理系統(tǒng)，充分發(fā)揮聯(lián)軟終端安全助手的功能，執(zhí)行統(tǒng)一的安全策略的同時(shí)，有效的做好終端的安全管理控制。8、災(zāi)備在做好委內(nèi)定期備份的同時(shí)，借助XX市統(tǒng)一的災(zāi)備中心，實(shí)現(xiàn)重要應(yīng)用的無(wú)縫切換和所有數(shù)據(jù)的異地災(zāi)難備份和恢復(fù)。系統(tǒng)部署架構(gòu)我委信息系統(tǒng)部署主要采用B/S架構(gòu)進(jìn)行部署，用戶工作界面是通過(guò)WWW瀏覽器來(lái)實(shí)現(xiàn)，極少部分事務(wù)邏輯在前端(Browser)實(shí)現(xiàn)，主要事務(wù)邏輯在服務(wù)器端(Server)實(shí)現(xiàn)，形成三層3-tier結(jié)構(gòu)，減輕了系統(tǒng)維護(hù)與升級(jí)的成本和工作量，降低了系統(tǒng)總體成本。這種部署結(jié)構(gòu)能有效地保護(hù)數(shù)據(jù)平臺(tái)和管理訪問權(quán)限，確保后端服務(wù)器和數(shù)據(jù)庫(kù)的安全。該模式的部署和訪問層級(jí)關(guān)系如下圖：用戶通過(guò)網(wǎng)絡(luò)訪問信息系統(tǒng)，根據(jù)網(wǎng)絡(luò)負(fù)載情況，及不同運(yùn)營(yíng)商線路來(lái)源，通過(guò)鏈路負(fù)載均衡器予以分發(fā)至不同的WEB訪問層，由WEB負(fù)載均衡器負(fù)責(zé)分發(fā)，向APP應(yīng)用區(qū)發(fā)起服務(wù)請(qǐng)求，經(jīng)過(guò)多次中轉(zhuǎn)，最終由中間件服務(wù)器訪問數(shù)據(jù)庫(kù)獲取結(jié)果后，反向反饋。該部署架構(gòu)，既可以很好的解決內(nèi)部服務(wù)器和數(shù)據(jù)庫(kù)安全，同時(shí)也通過(guò)一系列負(fù)載均衡和集群部署手段，極大的提高了系統(tǒng)可用性。（2）按照我委信息系統(tǒng)開發(fā)上線不同階段和功能定位不同，可分為開發(fā)環(huán)境、集成測(cè)試環(huán)境、培訓(xùn)演示環(huán)境、決策支持/統(tǒng)計(jì)分析環(huán)境、正式運(yùn)行環(huán)境等。其中，開發(fā)環(huán)境用于日常各類應(yīng)用系統(tǒng)開發(fā)、功能改進(jìn)等；集成測(cè)試環(huán)境用于提供模擬正式運(yùn)行環(huán)境的全方位測(cè)試，是系統(tǒng)上線前必須