北京市西城区网络改造工程

北京市西城区网络改造工程TOC\o"1-4"1．概述 42．应用需求 63．应用系统方案 93.1系统建设原则 93.2系统设计思想 103.3系统技术路线 123.3.1客户端的应用开发 123.3.2服务器端的应用开发 123.3.3数据库接口技术 133.3.4安全技术 143.4系统要紧功能 143.4.1信息治理 党政信息治理子系统 行政信息治理子系统 外部信息治理子系统 183.4.2信息服务 主页服务 通信服务 电视会议 193.4.3系统治理 用户治理 系统备份 数据迁移 193.5系统平台与开发工具 193.5.1MicrosoftWindowsNTServer4.0中文版 综述 优点 特色 改进后的功能 243.5.2MicrosoftSQLServer6.5 综述 优点 特色 253.5.3MicrosoftSiteServer企业版 2综述 2优点 2特色 2改进的特性 293.5.4MicrosoftInternetExplorer4.0中文版 2综述 2优点 2特色 30改进的特性 313.6系统展望 314.网络系统方案 324.1概述 324.2网络总体建设目标 334.2.1网络总体目标 334.2.2系统设计目标 334.3系统体系结构 354.3.1系统体系结构简述 354.3.2系统逻辑结构 354.3.3系统完整解决策略 374.4网络总体拓朴结构 384.4.1拓扑结构特性讲明 384.4.2核心节点网络拓朴结构 384.4.3核心节点局域网特点 394.4.4核心节点的功能 404.4.5区机关大院内四座办公大楼网络解决方案 454.5网络通信协议和路由协议 484.6IP地址及域名治理 494.6.1IP地址组织治理及分配方案 494.6.2域名组织治理 504.7用户接入及治理 514.7.1用户接入方式 514.7.2用户接入设备和用户服务器 524.8计费治理与结算系统 534.8.1资费类不 534.8.2计费治理机制 535.安全治理系统 555.1网络安全介绍 555.2运算机网络安全技术 575.2.1咨询题的提出 575.2.2加密技术(cryptography) 595.2.3加密技术应用 615.2.3防火墙技术 655.2.4防火墙拓扑 675.2.5防火墙产品 695.3安全治理措施 706设备配置方案 716.1设备选型原则 716.2设备配置讲明 717.1工程项目治理 737.1.1项目组织 737.1.2项目治理 747.1.3工程进度 777.2技术支持服务 787.2.1网络系统 787.2.2应用系统 797.3人员培训 797.3.1培训内容 807.3.2培训教师 807.3.3培训周期 807.3.4培训地点 807.3.5培训教材 817.3.6现场培训 817.4培训内容 817.5培训费用 82

1．概述xx城区区委、区政府是xx市委、市政府领导下，治理全地区的一级政府机构，担负着全区进展战略规划，国民经济进展战略目标和全区中长期打算的制定、研究、组织、下达，以及监督和监测执行有关政策法规和方针。同时，还承担xx市政府下达和规定的各项日常工作。为更好地完成xx及xx市给予的各项职能，进一步提升政府机关的办公质量与效率，增强区政府机关的决策和治理能力，树立良好的政府形象，需要加紧建设和改进xx区现有的信息治理系统和办公自动化系统。因此，充分利用现有的运算机、通讯办公设备及现有的信息资源，加大系统的信息化建设和网络基础设施的建设势在必行。“xx城区区网络改造工程”的建设目标，是要逐步实现xx区信息中心网络与全区各单位的局域网或微机工作站的联网，建立覆盖全区的xx区内部网Intranet，并通过信息中心的网络出口，实现与国际互联网络的联接。通过xx区内部网络Intranet，实现信息资源有序化和共享，为各级领导全面把握情形、合理制订各项政策提供决策依据。此外，通过国际互联网全面地介绍xx区各方面的情形，扩大对外宣传及推进社会公众服务事业的进展。系统的建设应以信息的处理和服务为龙头，以信息网络建设的“区长工程”为核心，提供及时准确的信息服务和决策参考依据，为信息的采集、处理及服务，提供现代化的技术和手段，并以此推动全区办公自动化工作的开展。在市政府信息化战略部署下，xx区信息网络与各行业专用信息网络系统的建设相呼应，做到网络基础设施与应用功能互补。我中心承接总公司和国防科工委大型数据库系统应用软件的开发与爱护，进行过多项大型项目数据库治理系统、多媒体应用系统、Internet/Intranet应用系统及网络建设等工作，要紧包括：做为联合国国际原子能机构情报系统在中国的业务归口单位，在国内建立了大型的INIS数据库（国际核情报系统数据库），并建立了全国范畴内的远程终端联机检索系统。参与《中国工程技术信息网》主干网的建设，承建该网核行业节点网络中心及运行治理，并承担了中国工程物理研究院行业节点的网络集成工作。开发《中学校园网信息治理系统》软件包，经xx教育局专家组鉴定通过，现已用于xx区丰盛中学、二龙路中学、铁二中等学校。承建了全国妇联国际部网络，并开发了相应的办公及信息治理系统。开发了国防科工委《世界武器图片图象多媒体数据库系统》。为国防科工委司令部开发了基于Web网络技术的《国防科技快讯系统》。作为网络硬件供应商和网络系统集成支持商，Xx公司与我们有着长期友好的合作关系。Xx公司在网络系统集成方面，有着丰富的体会，在国内承建了多项大型信息网络系统，其中包括：承建了ChinaNet山西163与河北163网络工程，该网具有450个电话拨号端口，可支持9000个用户访咨询Internet。承建了辽宁省169和四川省绵阳市169的网络工程，对该网提供了多媒体网络的最新软件和硬件产品。承建了《中国旅行多媒体信息网》，其范畴覆盖了各省市区旅行局和所有旅行企业。承建了《金航网络工程》，一期工程已建立了主干网运行中心，并建设了西安、上海、成都、沈阳等4个次级网络中心。2．应用需求1.充分利用现有的运算机设备、网络设备、办公自动化设备及现有的信息数据资源。充分考虑对xx区信息网络已有的人力、技术和资金投入，可采纳TCP/IP这一网络标准，将现有的网络进行改造，同时对原有的不同平台的数据库进行平滑迁移。由于采纳新的Web平台技术，各类平台的服务系统均可采纳统一的微机操作界面，即统一的WWW扫瞄器界面获得。我们在网络设计过程中，有选择地保留一些现有的系统，为其联入整个网络提供了几种方案。（具体网络实施方案可分为ISDN、DDN和PSTN信道方式连接）逐步实现为全区机关办公及政务处理信息化和自动化服务，提升办公效率。建立基于Web的应用系统平台框架，采纳三层次的应用开发技术，按应用需求的轻重缓紧，选定工程的突破口，分期分批建立各类信息应用系统，在系统平台之上，逐步完善并持续深化区党政办公自动化系统。（具体系统设计详见应用系统设计部分的党政信息治理子系统）逐步实现联机对全区国民经济进行监测、推测，提供经济分析、政策研究，进而实现全区经济宏观调控。以各行业信息系统为依靠，建立区属各行业的信息采集与处理机制，并设置信息交换站点，以保证各行业信息准确及时地送达区领导决策机构。在网络设计过程中，我们考虑到分散于全区的其它部门的联机方式，具体分为局域网联接、DDN专线联接、ISDN信道联接和PSTN等联接方式，并提供了解决方案。（具体方案见网络设计部分）充分利用区内外大量政治、经济信息，为全区国民经济连续、快速、建康进展提供决策支持服务。建立覆盖全区的Intranet，并与国际互联网络Internet接轨，向区机关工作人员提供对信息的评估和处理功能，并可选择后逐级上报提交，及时地反映出全区的政治经济信息，为区领导进行决策提供参考依据。并在网络改造过程中，逐步建立信息收集与处理机制，由专门的部门（例如：统计局信息中心）负责收集党和国家的大政方针，领导人的讲话，沿海开放都市及兄弟区县在政治经济体制改革过程中的可借鉴性体会等有用信息，整理公布。为加大区政府指导全区经贸、科技开发、财政、金融、税收、教育、治安、市场、工商治理、企业、街道、社区、市政建设等政务提供现代化的办公手段。建立区主干园区网与下属各业务单位的网络联接，并在那个网络环境中，利用基于Ｗeb开发的办公系统，为区政府指导全区的各项工作提供手段，并了解有关信息。在信息服务系统中，网络会议子系统可为领导实现多点办公、小组讨论；电视会议系统可实现政策下达、召开会议等功能。建立与xx、各省、市及兄弟区县的信息交换服务系统，建立采集处理、编辑、审核、公布、检索、查询的多媒体信息系统。我们认为，此项功能完全能够达到。WebServer的超文本功能、多媒体功能能够把文本、图象、声音和动画有机地结合起来。信息中心通过拨号网络等方式接收xx电视台、科文信息、新华社信息、联合网信息、农业部信息网信息、国防科工信息网信息。强大的动态信息源保证了xx信息网上动态信息的更新，为信息中心“广、快、精、准”的信息服务提供了强有力的支持。逐步建立与全区各单位信息咨询服务系统的联接，如：全区求职就业系统；教育及培训系统；社会治安人口治理系统；市政爱护建设治理系统；社会福利保证系统；法律、法规治理系统；市民参政、议政治理系统等，通过Internet推进社会公众服务事业的进展。我们认为，此项功能能够达到。在应用设计中的网络设计部分，我们充分考虑到今后与这些系统的硬件连接，并提供了ＤＤＮ、ＩＳＤＮ、ＰＳＴＮ以及局域网连接等几种方式。在软件应用设计和开发过程中，我们选择了网络界事实上的标准协议TCP/IP，并遵循公认的标准OLE、ODBC、ActiveX等技术，采纳HTTP、SMTP、POP3、MIME等Internet网络应用协议进行软件开发。如此不仅可共享Internet大量的信息资源，还提供了统一的基于Ｗeb的用户界面，集成各单位咨询服务系统，以Internet的方式向社会提供政务公布、区长热线、市民参政议政、招商引资等服务，推动社会公众事业的进展。在网络改造设计方案中考虑与全区的电视会议系统及指挥和谐系统软、硬件平台的共享，不重复投资。这正是我们在系统设计与建设的宗旨。通过用户需求的调研，了解到将建立的区防灾指挥中心利用ISDN构建与十个要紧街道相联的电视会议系统，我们尽可能利用这些信道及网络设备，建立与区园区网以外系统的连接。3．应用系统方案3.1系统建设原则符合市、局领导提出的信息系统建设的整体构思及总体要求。符合xx区信息网络现状及长远目标。充分考虑各局、委、办现有的建设成果，爱护前期投资利益。在满足功能要求的前提下，尽可能地降低建设成本和运行成本。信息的标准化原则，尽可能延用国家标准和行业标准。在系统建设中，兼顾有用性、先进性、可扩充性、可扩展性、可靠性、安全性。3.2系统设计思想在当今信息化社会中，随着运算机信息处理技术的持续进展，各单位纷纷进行内部局域网的网络建设和应用开发。由于系统缺乏整体规划，一样做法是需要什么应用就对应开发什么样的治理信息系统。许多单位按照传统的Client/Server模式建立企业网络，但传统Client/Server模式下的治理信息系统存在不够完善的方面，不能适应持续增长的多方面需求，要紧体现在以下几点：封闭式单项单系统，不同系统无法交流用户界面风格不一，使用纷杂，不利于推广使用系统开发和爱护复杂，移植困难，升级苦恼无法包容已有系统，造成重复投资不能接纳新技术，限制扩展性缺乏系统性和具有前瞻性的结构框架Internet网络技术的进展突破了传统的Client/Server模式，产生了多层次的Client/Server应用开发模式，这种模式具有平台中立，用户界面友好一致，开发和爱护简便，信息共享度高。新型的Internet/Intranet应用系统采纳TCP/IP协议作为局域网和广域网通信协议，具有跨平台的通用性和高效性，支持多种信息资源服务，为同构、异构网络信息系统之间互联提供平滑的技术支持。WebServer的超文本功能、多媒体功能，可把文本、图像、声音和动画有机结合起来。我们对“xx城区区网络改造工程”的设想，确实是采纳Internet/Intranet技术建立一个在区内开放的统一网络应用平台，实现与现有各种网络的互联，建立通向国内外信息网络的通道，有步骤、有重点地组织信息资源单位上网，实现信息交流的运算机化和网络化，达到资源共享的目的。“xx城区区网络改造工程”应用系统的开发，将采纳基于Web的技术，构筑分布式的应用系统框架。对外建立Internet网页服务窗口，宣传区改革开放的成就，树立区政府的公仆形象，推动社会公众服务事业的进展。对内提供Intranet网页服务，该服务集信息公布与日常办公为一体，使得区机关工作人员在信息采集、处理、服务和政务办公工作中，使用统一的界面，提升工作的效率。系统的应用开发采纳各种信息数据的处理与不同用户的业务工作流程同步进行的方式，开发信息资源，形成标准的“信息产品生产线”，利用Internet/Intranet互联网络技术，实现信息资源的高度共享和有序流淌。3.3系统技术路线3.3.1客户端的应用开发在Intranet应用开发上，关于通用功能采纳ActiveXComponent开发技术，开发出通用的应用组件，同时继承传统Client/Server模式在交互式事务处理方面的优势，采纳ActiveXdocument技术进行基于Web交互式事务处理应用开发和应用移植。在Internet主页开发方面，通过标准的HTML格式提供静态主页服务，通过JavaApplet提供动态主页服务。3.3.2服务器端的应用开发Intranet服务器端的应用开发，采纳ASPScripts和ActiveXComponent技术，通过MicrosoftTransactionServer提供复杂的事务处理功能，并结合SQLServer数据库系统提供动态主页的生成和服务功能。在Internet开发上，采纳ASPScripts技术，并结合SQLServer数据库系统提供动态信息服务。3.3.3数据库接口技术数据库是治理信息的最有效的方法，而Web是信息服务最好的方式。因此，将数据库与Web结合在一起，将极大地拓展数据库的应用能力。数据库与Web的结合为动态主页服务和交互式事务处理应用开发提供了技术基础。通过扫瞄器—Web服务器—数据库服务器三层分布结构构成了整个信息处理服务和办公自动化的应用系统。在应用系统的开发过程中，采纳微软的ADO、OLEDB和ODBC数据库接口技术，将实现对不同数据格式（包括不同SQL类数据库数据和非SQL类数据）数据的调用。3.3.4安全技术源于开放性的Internet技术是当今信息高速公路的全然解决方案，而开放性与安全性的差不多矛盾势必贯穿始终。出于对系统安全性方面的考虑，在内部网与外部网之间构筑防火墙。另外，应用系统开发时，通过充分利用WindowsNT服务器提供的安全措施，实现信息的安全。如：采纳NTFS文件系统、用户帐号治理、IP地址治理、数据库访咨询授权认证、系统审计、虚拟名目访咨询权限设置。3.4系统要紧功能系统的功能分割如下图所示：3.4.1信息治理党政信息治理子系统1.公文治理模块实现内部文件的生成、审定、签发、会签、批复、落实、归档等全过程的运算机处理，并提供查询、统计、打印等功能。2.期刊简报治理模块期刊简报是指区内有关部门发送的定期、不定期的刊物。要紧包括：xx信息、xx快讯、xx情形反映、xx情形反映（内刊）、纪检专报、政协简报、议政参考、公安简报、防火安全简报、外来人口简报等。本模块为各部门提供相应期刊的治理功能，要紧包括：期刊内容编辑入库、自动编排出刊、自动网上发行及信息检索、打印等功能。提案/议案治理模块实现提案、议案的审定、提交、执行、落实与跟踪、归档等处理。并提供提案、议案信息的查询、统计、报表等功能。情形反映治理模块情形反映类信息包括重大突发性事件、不同时期的热点咨询题和不同层次人的反映等。本模块提供对情形反映类信息的及时上报和落实跟踪的功能，并提供其多媒体信息的存贮、归档功能。调研报告治理模块本模块提供调研报告的文字及图表信息的治理，具体功能包括图表入库、查询（包括全文检索）等功能。报表指标治理模块报表指标的数据是各级领导对全区国民经济和社会进展进行宏观调控和微观治理的重要依据。本模块提供对这些数据的收集、入库、报表编制、统计、查询等功能。档案治理模块提供对短期档案治理的功能。要紧功能包括：案卷信息及卷内信息编辑、查询、统计、打印等。(公文治理模块与档案治理模块同时使用，可做到公文治理与归档一体化，幸免数据重复录入，保证了数据的一致性。)日程安排模块本模块要紧提供日程安排、修改、查询、打印；任务提醒；日历显示等功能。会议通知模块提供对各种办公会议的通知、回执的处理功能。要紧包括：会议通知编辑、发送、接收、回执、打印等功能。行政信息治理子系统行政信息包括全区各部门的组织机构、人员情形、政令与条例、地理地势、行业概况等静态信息。本模块提供对此类多媒体信息的编辑、查询等功能。外部信息治理子系统外部信息治理提供对区外大量政治经济信息的采集、编辑、入库、查询等功能。外部信息要紧包括：党和国家的大政方针；党和国家领导人的重要讲话；沿海开放都市、友好都市、兄弟区县进行政治、经济体制改革等方面的可借鉴性的体会。3.4.2信息服务主页服务建立Internet主页，提供社会对xx区信息网所需要的静态信息和动态信息（xx概况、xx区机构设置、xx区优待政策等），并通过主页逐步为公众提供xx区各项社会服务项目（全区求职就业系统、教育及培训系统、社会福利保证系统、法律法规治理系统、市民参政议政系统），推动社会公众服务事业的进展，宣传xx区形象，招商引资，促进xx区的进展。建立xx区内部主页，提供对全区办公系统所需要的信息，达到信息资源共享。其信息要紧包括：xx信息、xx快讯、当日办公信息及可对全区各部门开放的信息。通信服务内部电子邮件、外部电子邮件电子公告牌文件服务(FTP)多媒体网络会议电视会议提供电视会议功能。（已由区防灾指挥中心统一考虑）3.4.3系统治理用户治理提供多级用户治理的功能。要紧包括：建立用户、建立用户组、设置用户权限、设置数据存取权限等。系统备份提供数据备份、复原等功能。数据迁移本模块提供与原有数据库系统的接口功能。3.5系统平台与开发工具建立《xx城区区网络改造工程》应用系统的目的是创建一个系统应用框架和运算模型，并在此之上开发出基于MicrosoftWindows平台的各种应用程序和运算模型，、充分利用PC机和Internet网的性能，从而实现xx区Internet/Intranet的各种应用。新的应用系统可使运算机之间通过内部网、公众网能专门好地交互操作和共同运作，同时将应用系统的核心服务更深地综合于系统平台，从而提供一个基于开放式协议和公布界面的互操作性框架，该框架能使用户以新功能（如Web）持续扩展现有系统。具体地讲，确实是要建立全新的各类应用程序，利用标准网络服务和现代基于构件的开发方式，承诺网络用户对现有运算机硬件和软件的投资进行集成和扩展，从而“构造”而不是单纯取代他们现有的各种应用系统框架。采纳的系统软件和开发工具有：服务器端：WindowsNT4.0InternetInformationServer4.0MicrosoftTransactionServer2.0MicrosoftMessageQueueServerMicrosoftSQLServer6.5MicrosoftSystemManagementServer1.2客户端：Windows95Office97MicrosoftIE4.0开发工具：要紧采纳VisualStudio97,包括：VisualBasic5.0VisualC++5.0VisualJ++1.1VisualInterDev1.0FrontPage98等3.5.1MicrosoftWindowsNTServer4.0中文版综述MicrosoftWindowsNTServer4.0是比以往任何系统都更为理想的选择。WindowsNT4.0选项功能包中所纳入的新增功能使WindowsNTServer成为建立和支持基于Web应用程序的最完整的平台，成为当今最简便的网络操作系统。不到一小时，您就能将其安装完毕并运行起来。它具有如此之灵活性和兼容性，从而使软件和硬件费用大大降低。由于其可靠性高并易于治理，您几乎可不能碰到死机的现象。优点WindowsNTServer4.0用于关心开发者用比以往更快的速度建立和利用商务应用程序。选项功能包将新的Web、事务、脚本编写、组件和消息排队等服务直截了当集成到WindowsNTServer4.0中。WindowsNTServer4.0中新的治理工具和选项功能包关心您建立Web网站、治理内容、分析使用模式，以使其持续地得以改进。单机上的多个Web网站、改进后的Web公布功能、可自定义的工具和新的向导技术使得WindowsNTServer4.0成为在Intranet和Internet上安全地公布和分享信息的最佳平台。特色Windows95用户界面 MicrosoftWindows95操作系统用户界面差不多被集成到MicrosoftWindowsNTServer4.0的操作系统中，使服务器的界面使用更为方便，同时与Windows95和WindowsNTWorkstation4.0保持一致。治理向导 治理向导将常用的服务器治理工具群组到一起，并逐步明白您完成每一项任务。WindowsNTServer4.0可对如下操作进行指导：添加用户帐号，治理许可协议，访咨询文件和文件夹等等。网络监视器 功能强大的网络诊断工具可在软件包级不上检查服务器同意和发出的网络数据通信量。捕捉网络数据通信量以用于事后分析将能更容易地排除网络中显现的故障。系统策略编辑器和用户配置文件 这两项功能使系统治理员以连续的方式来治理和爱护用户桌面。系统策略用于将桌面配置标准化，并操纵用户的工作环境和行为。任务治理器 这是用来监视应用程序和任务的集成化工具，可报告WindowsNT系统中重要性能的度量。它能够提供有关工作站上运行的每一个应用程序和进程以及内存和CPU使用状况的信息。Inetnet信息服务器 微软Internet信息服务器（IIS）是唯独与MicrosoftWindowsNT服务器操作系统紧密集成的万维网服务器，用以提供各种Internet和Intranet服务器功能。微软检索服务器 不管您使用的是Intranet服务器、Internet服务器依旧一个存档并打印服务器，微软检索服务器都能自动检索文件（包括HTML文件）的正文和属性。MicrosoftFrontPage MicrosoftFrontPage网站创建和治理工具是为非专业程序员设计的，但对有体会的Web网站开发者而言，也不失为一个耐用工具。它是创建和治理具有专业品质的Web网站的快速而简便的方法。RAS多链接通道集合 RAS利用遵从PPP的通道集合，使拨入Windows燦TServer4.0的用户能够组合所有的拨入线路以获得更高的传送速度。例如，用户能够通过组合2条或2条以上的ISDNB通道来获得128K的传送速度。点到点通信协议（PPTP） PPTP提供了一种利用公共数据网络（如Internet）建立一种将客户机和服务器连接起来的虚拟私人网络的方法。PPTP利用TCP/IP连接和数据加密提供支持多协议的协议压缩。改进后的功能打印增强通过执行基于服务器的无PostScript打印作业，改进了打印性能。其结果是使用户启动打印作业后返回应用程序和返回操纵的时刻更短。改进的WindowsNT诊断工具 改进后的WindowsNT诊断程序能够进行简便的系统检测。其中包括关于 设备驱动程序、网络使用和诸如IRQ、DMA和IO地址的系统资源的信息 。所有信息都以直观的图形方式显示。文件和打印机共享 更高的网络数据通过量——快速以太LAN（100MB/秒）的性能提升可达66%（测试结果来自NSTL）改进的可量测性 关于多处理器系统，专门是多于4个处理器的系统，可量测性更好。改进的可量测性 为服务器应用程序开发者提供了新的编程界面，以及更好的服务器性能使得诸如MicrosoftSQLServer*的服务器应用程序具有改进的信息通过量和可量测性。速度更快的Internet服务器 WindowsNTServer4.0和MicrosoftInternetInformationServer2.0的组合使得Web服务器的性能提升达到40%（微软测试结果）。3.5.2MicrosoftSQLServer.1综述 MicrosoftSQLServer6.5是基于WindowsNT系统的规模可调的高效数据库治理系统。其设计目的在于满足分布式客户-服务器运算要求的SQLServer6.5，与服务器的MicrosoftBackOffice系列紧密结合，以使机构得以改善其决策制定和流水线作业的过程。优点是有关于WindowNTServer的最佳数据库-选择何种数据库平台是企业最需要做的决定。MicrosoftSQLServer6.5是WindowsNT平台上解决复杂商业咨询题的可选方案.Internet-SQLServer的内置Internet集成的最佳数据使得企业能够建立当前Web站点，在Internet上进行业务往来并使用开放的高效方案建立企业Intranet站点。降低了费用和分布式运算的复杂性-为用户、治理者和开发人员降低复杂程度，意味着以较低的花费可获得更便利的业务方案。特色对异类复制的支持承诺SQLServer6.5将信息复制到非SQLServer的数据库中，其中包括Microsoft*Access，ORACLE，Sybase和 DB2等。SQLServer的复制使用ODBC作为其连接机制。Internet数据库集成 承诺DBA或Web站主自动将数据库信息公布到HTML文挡中。与MicrosoftInternetInformationServer和SQLServerInternetConnector组合使用，用户具有了完整的 Internet数据库公布功能。XA顺从性扩展了我们对重要的工业标准的支持。内置的XA支持将承诺由顺从XA的TP监视器所操纵的分布式异类事务，从而向用户提供与非微软数据库的超级连接。ANSISQL92/FIPS127-2顺从性该证书满足强制性的政府获得标准，并提升了与其它顺从ANSI的数据库治理系统的共同使用级不。OLAP扩展名新的联机分析过程（OLAP）能力包括CUBE和ROLLUP操作器，这些操作器使得SQLServer6.5成为数据仓库和集中查询式应用程序更理想的平台。这更便于总结和汇总数据。3.5.3MicrosoftSiteServer企业版综述MicrosoftSiteServer企业版提供了全套的服务器组件和治理工具，使您能够完成快速开发和部署新的企业站点，为客户提供个人体会，吸引并留住客户和商业伙伴，对Web站点的连贯性和完整性进行治理，分析使用模式等一系列任务，从而按照访咨询者的行为和客户变化的需求持续完善自己的站点。优点轻松而物有所值地在Internet上销售商品和提供服务。通过轻松地创建动态Web应用程序和传递个人内容，增强您的站点.在公司防火墙内一个或多个Web服务器上，或在Web上方便安全地部署Web内容特色CommerceServer利用InternetCommerce扩展您的站点。包括全套的ActiveServerComponents（活动服务器组件）和用于创建和治理Internet企业站点的工具。使系统个人化 使用ActiveServerPages（活动服务器页面）基于储存的用户首选项动态生成Web页面。承诺您将目标内容发送给每个站点的访咨询 者。内容复制系统 能够实现站点的分段和服务器镜像以及各部门的Web站点与公司中枢网络的连接。它为在公司范畴内或Internet上移动内容提供了安 全、可靠、有效的途径。Web公布向导 为用户提供将Web页面轻松发送到大多数类型的Web服务器上的能力。使用它将内容发送到分段的服务器上。发送接收器 承诺MicrosoftInternetInformationServer通过HTTPPost （HTTP公布）同意来自“Web公布向导”和其它客户机的Web内容。它还集成了“内容复制系统”以便自动将Web内容发送到多个服务器。SiteAnalyst为治理Web站点提供全套的站点可视化、内容分析、链接治理及报告功能。通过它能够专门容易看出您站点的布局方式、识不重复的内容以及断开的链接。UsageAnalyst企业版 企业治理功能能够集中治理复杂的或分布式服务器环境（每个服务器都需要一个许可协议）。支持NT、Unix及Mac上的30多个日 志文件格式，包括Microsoft、Netscape和Apache的格式。VisualInterDev/VisualInterDev™是一个编译动态Web应用程序的集成开发系统。它提供了：一个集成开发环境、与任何基于ODBC的数据库的无缝连接、预建功能、向导以及内容创建工具等。改进的特性订单处理流程 治理订单的联机处理，包括运算税款、查找存货、付款等的COM件；还包括VeriFone的联机信贷事务处理的软件样本。主机治理员创建和治理工具 包括能使商业站点的创建简化且可定制的StoreBuilderWizard（储备生成器向导）；支持Internet服务商(ISP)的远程创建和治理3.5.4MicrosoftInternetExplorer4.0中文版综述InternetExplorer4.0中文版是一个开放性的、集成化的Internet软件包，它由工业部门中重要的Internet客户机和针对最终用户、IT经理和开发者的差不多的协作解决方案所组成。InternetExplorer4.0中文版拓展了3.0版本中的新思想，实现了微软的将Internet与PC机完全集成的妄图。从而最终为人们最大限度地从Internet上猎取信息找到了极其简便且更具个性化的方法。优点InternetExplorer4.0中文版使得在Internet上查找信息专门简便。InternetExplorer4.0中文版的内置网上广播功能能够在用户需要的时候为其提供所需要的内容。完整的通信和协作功能。InternetExplorer4.0中文版为每一类用户都提供了一套完整的、集成化的工具集，其中包括从象电子邮件如此的差不多服务到兴奋人心的会议、广播和Web网页编写功能。特色网站和通道的网上广播 现在Web已被带到您面前了！用户能够在需要的时候，以需要的方式将所关怀的信息直截了当拿到桌面上来。真正的Web集成 通过每个Windows视图中的扫瞄器和类似于扫瞄器的导航功能，Internet现已成为桌面操作系统中的一个和谐的组成部分。动态HTML 动态HTML的优点对终端用户专门有意义，此外它为Web站点作者提供了下一代 开发功能，以使他们能最大限度地发挥对其网上内容的阻碍力，并尽可能地将与 服务器之间的来往降低到最低程度。自动完成 “自动完成”能够复原Internet网址，因此您无须每次都重新键入地址。脱机阅读 当您脱机查看站点时，不必与Internet相连（并担忧上网机时）。内容顾咨询 定级服务能够使您的家庭或企业免受不适宜内容的阻碍。改进的特性速取偏爱网页 当您最偏爱的Web网页内容更新时，可快速找到该网页。拖放偏爱网页 通过拖放来重新排列您所偏爱的网页。改进的安全性 更安全的特性可确保您的通信和Internet商务得以保密。3.6系统展望“xx区网络改造工程”应用系统具有良好的可扩展性和广泛的应用前景。为适应区政府今后业务进展的需要，该系统在满足用户现时期应用需求的情形下，为今后的扩展留有充分的余地。在网络会议模块中，除提供现有的交互式多点办公的功能外，还能实现网络交互式培训等功能。WebServer方式的界面能够进行多种扩展，不仅能够实现现有数据库的平滑迁移，而且能够为今后各单位(如工商、税务、公安、民政、劳动等部门)专有数据库系统联入Intranet和Internet提供方便的接口。Intranet/Internet的结合能够在更大范畴内开展业务，提升xx区委、区政府形象，吸引更多的用户。4.网络系统方案4.1概述Internet/Intranet技术的进展：TCP/IP+HTTPInternet/Intranet进展至今，已覆盖了150多个国家，联入的骨干网近10万，上网的运算机已达6000万台，而且仍以极快的速度增长。Internet提供了庞大的数据信息和知识空间，分布在全世界各地的WWW数据库服务器为人们提供了取之不尽的数据源、信息源和知识源。Internet/Intranet已逐步成为各行各业传递、猎取信息的要紧途径。利用Internet/Intranet技术构建单位自己的信息网已是各企业、政府、组织所追求的目标。由于运算机应用技术和信息处理技术的进展，通过采纳RSVP、IPMulticast、MPEG、StreamlineVideo、HTML、VRML、HTTP等这些新技术，广泛接入丰富多彩的图形、图像、文字、声音、视频等信息资源，由此相对无缝地结合在一起构建的新型网络在提供已有Internet服务的同时，为新的增值服务提供了良好的环境。4.2网络总体建设目标4.2.1网络总体目标构建xx区全区内部网（Intranet）系统,联网范畴为全区处级单位，本Intranet系统与国际互联网Internet互联，采纳Internet/Intranet技术及多媒体技术开发、建立区办公、信息治理应用系统。为实现此目标，并非一个简单连接的网络就会产生如此庞大的效能，各种技术的良好架构和优化集成是充分发挥其能力的必要条件。当以下述几个建设目标来定位：建立具有良好的开放性、强大的媒体－服务定义和实现能力、简便的可互操作性、强劲的伸缩性以及便利的商业可用性的网络基础结构。提供灵活的用户接入手段、建立高效的用户治理方式，以满足用户复杂的服务需求。建立完善的售后服务，在网络建设完成后，保证网络服务安全可靠的运行，以利今后网络扩展。4.2.2系统设计目标具有开放性和标准化具有可靠性和先进性具有有用性和成熟性采纳结构化设计充分利用现有资源具有安全保证体系具有运维治理简便性1. xx城区区网络改造工程采纳目前信息工业系统集成领域最先进的面向对象的模块化分布式结构设计。以树型和网状型拓扑结构，运用TCP/IP网络互联，将以最大限度地满足和适应xx城区区Intranet的灵活、多变的特性。2. xx城区区网络改造工程（节点局域网）将采纳交换式以太网(LANSwitching)和快速以太网(FastEthernet)相结合的技术,充分保证多媒体信息的网络传输速度；同时采纳分层结构兼顾10ase-T网络的过渡和迁移。3.xx城区区网络改造工程将支持差不多和扩展的HTML文本类型的多媒体文件和JavaClass文件。4. xx城区区网络改造工程将采纳众多的多媒体新技术，广泛接入丰富多彩的信息资源，提供文本(TEXT)、图象(Images)、图形(Graphics)、声频(Audio)、视频(Video)在内的多媒体信息服务。5. xx城区区网络改造工程将支持WEB安全通信标准。采纳目前国际最先进的电子签名技术、MD5等加密技术进行用户身份验证和访咨询操纵。6. xx城区区网络改造工程支持采纳动态程序（MobileCode）技术建构应用系统。采纳目前先进的和流行的Java和ActiveX网络编程技术，使应用系统灵活地适合网络环境。4.3系统体系结构4.3.1系统体系结构简述xx城区区网络改造工程是在充分利用现有各种系统资源的基础下，采纳Internet/Intranet及多媒体技术，构建覆盖全区处级单位的网络系统，并为区内各单位提供多种接入本网的手段，以实现区内机关办公处理信息化、自动化服务。同时，xx区Intranet网通过防火墙有限制地与Internet、其它信息咨询服务系统联接。4.3.2系统逻辑结构xx城区区网络改造工程采纳先进Internet/Intranet技术，通过防火墙技术与Internet互联，把系统分为内网、外网两部分：在防火墙内部是内网部分，是系统的核心应用部分，各种关键性、保密性应用都集中于此，区内各单位以内网为信息交流平台，完成信息的加工、处理与传递；防火墙外是外网部分，负责向Internet网上公布xx区各类公共信息。系统逻辑结构图如图4.2所示图4.2系统逻辑结构图本系统中的用户分为两类用户：Internet用户，是指一样的通过Internet访咨询本外部节点公共信息的用户，他们只能访咨询到系统的外部网中的信息，内部网上的各类信息将禁止这类用户的访咨询（通过防火墙实现），有效地爱护内部信息的安全、保密性；另一类用户是区信息系统内部用户，他们通过内部的各类接入手段（如：PSTN、ISDN、DDN、FR、X.25等接入方式）访咨询内部信息，并能够有限制地通过Firewall访咨询Internet。这类用户有着庞大的访咨询灵活性，他们能够在任何地点通过Internet,访咨询系统内部信息，当经Firewall进行身份认证后，确认为内部网的合法用户后，能够让用户经Internet访咨询内部网上各类信息。4.3.3系统完整解决策略xx城区区网络改造工程提供的功能将覆盖下述业务：2.多媒体信息检索功能作为一种最要紧的业务，基于Web技术，通过WWW直截了当访咨询多媒体信息。通信协议为HTTP、HTML。3.各处级单位接入功能：各处级单位可通过广域网或局域网接入区信息网，实现信息共享。4.事务处理功能：5.科学运算及信息处理功能：提供运算机翻译、软件共享、运算机辅助设计、科学运算及信息处理等服务。4.4网络总体拓朴结构4.4.1拓扑结构特性讲明按照xx城区区网络改造建设任务书的要求，xx城区区Intranet网络由以下几部分构成：核心节点：中心站的改造设计区机关大院内四座办公大楼网络设计区机关大院外100多家处级单位广域网连接设计4.4.2核心节点网络拓朴结构核心节点（区Intranet中心站）是整个网络系统及应用系统的关键部位，提供网络服务、网络治理服务、网络信息服务及网络接入服务。其网络拓朴结构如图4.3所示图4.3核心节点网络拓朴结构图4.4.3核心节点局域网特点在网络结构方面，我们将采纳交换式虚拟网络结构，综合考虑应用交换式网络结构，采纳快速以太网(100Mbps)技术,兼顾常规以太网10Mbps。按照数据流量的大小和要紧业务应用需求的不同，在内部网要紧的Web服务器、数据库(DB)服务器、网管服务器和用户服务器之间采纳快速以太网结构，兼容10Mbps的以太网结构。同时支持VLAN。这种混合结构在网络通信的“瓶颈点”建立了高速通道，以满足多媒体应用的实时特性，确保网络的服务质量(QoS)要求。核心节点xx交换机采纳3Com公司具有3层交换能力的CoreBuilder35004.4.4核心节点的功能核心节点内部网集网管中心及信息中心(NIC&NOC)功能为一身：实现对核心节点及接入用户路由器的监控、对网络使用情形的统计、对用户使用情形的登记、统计、计费清算和域名治理和IP地址的分配等。内部网要紧功能：提供与区内其它节点的连接；内部网为区内各处级单位提供接入到核心节点的手段，来连接区内各节点局域网用户，单机用户。我们选用Cisco4700路由器作为接入路由器，提供DDN，X.25,FR,ISDN等灵活的接入方式，能够按照远端用户线路条件灵活接入。同时利用现有电视会议系统的ISDN线路，使具备ISDN线路的单位能够利用已有的ISDN接入，系统更加经济有用。提供区内各节点之间的路由选择机制；所选路由器支持以下技术协议用户协议TCP/IPOSICLNSOSICMNSLANextensionhostDECnetPhaseIVANDPhaseVNovellIPXAppleTalkPhase1andPhase2BanyanVINES3comXNSXeroxXNSvngerman-BassXNSAppolloDomain广域网协议HDLCPPP/SLIPISDNIPXWAN2.0X.25FrameRelaySMDSDataExchangeInterface(DXI)IBM协议SRB/RSRBDLSw+SNAandNetBIOSWANoptimizationvialocalacknowledgmentcachingandfilteringSDLCIntergrationSDLC-To-Conversion(SDLLC)LANNetworkManagerLocalTerminationofSDLC/LLC2Sesssions(LocalAcknowledgment)TransmissionGroupsClassofSerocie(COS)/SDLC/LUAddressPrioritizationDownstreamPUconcentration(DSPU)QLLCandFrameRelaySNAsupport桥接协议TransparentBridging(IEEE802.1dSpanningTree,DECSpanningTree)Source-RouteTransparentBridgingFDDIEncapsulationBridging路径协议IGRPRIPEnhancedIGRPOSPFBGPES-ISIS-ISPIMNHRPIPXRIPNLSPRTMPAURPSRTP路由器治理/安全协议SNMP(SimpleNetManageProtocol)MaintenanceOperationProtocol(MOP)Username/PasswordforRemoteAccessSecurityControlAccessLists(Routing)AdministrationFiltering(Bridging)DebugCommandsPingCommandsSyslogEventLoogingPerformanceTuningR-mon转发IP数据包；提供网络的安全机制；采纳CiscoPIX防火墙作为内、外网之间的防火墙系统，以隔离内、外网，防止外部非法用户侵入到系统的内部，对出入防火墙的信息进行监测，并可对信息进行加密处理。提供有关业务的服务质量保证体系；提供用户接入功能；除提供专线质量的接入手段外，系统还考虑到单机用户及经常移动的用户上网咨询题，提供经PSTN上网的手段，设备选用USRNetserver/16。提供用户治理业务功能；设置专用的用户治理服务器，选取SUN的工作站设备提供计费治理业务功能；提供信息服务的功能：内部WWW，FTP，Database服务器，选用DEC公司强有力的高速服务器，向网内用户提供多媒体信息服务，为区内机关办公及治理信息系统的信息化、自动化服务。核心节点能接入经公用电话拨号入网的用户和专线用户（DDN，FR，X.25）、ISDN用户；具有用户治理/邮件服务功能；具有计费功能；具有信息源接入功能；具有本地多媒体信息服务和导航功能。中心节点通过网关实现与Internet网的互连互通，网关的作用要紧是：实现两网间的通信、防火墙的设置、IP地址的转换等。4.4.5区机关大院内四座办公大楼网络解决方案网络拓扑特点：完全采纳分布式交换结构多重树状星型对等交换拓扑xx操纵式区域网管中心提供简单、全面、方便的网络治理功能简化的网络治理（VLAN能力）改进的网络安全功能极富竞争力的成本结构交换式网间网体系结构（交换式虚拟网络）综合的网络治理服务服务质量保证体系（QoS）网络拓朴结构将虚拟局域网技术、分布式路由和高速交换技术与集中的基于策略的网络治理相结合，建立按应用和事务处理需求而架构的灵活的交换式虚拟网络。1.交换式网络结构网络结构在最近十几年间进展专门明显，从早期的单一局域网，到强有力的客户/服务器环境，要紧经历了桥式局域网、路由式网络、交换式网络。基于路由器的网络：使用无连接包交换网络协议，每个包（packet）包含有40个字节的路由信息。路由器采纳转交和遗忘的方式对数据包进行处理，对接收到的每个数据包都必须执行解包、打包以及重建路由信息，这对路由器的负担太大。高性能的交换技术为主干网络提供了高速的通讯能力，并将延时降至最小。交换技术使得桌面及部门的商务处理从其网络投资获得更大的效益。基于工作组式的局域网交换技术无需改变站点网卡就能为共享服务器和高性能的桌面系统增加带宽。支持多个广播域及交换，为逻辑工作组从物理网络拓扑结构中分离出来提供了好处。2·虚拟局域网（VLAN）一个虚拟局域网是一个有限的广播域，这是指所有虚拟局域网成员都能接收到由相同虚拟网络成员发送来的每一个广播报文，但却不接收由不同的虚拟局域网成员发送来的报文。所有虚拟局域网成员都被分组独立于它们的物理位置的相同的逻辑广播域。在一个虚拟局域网内靠软件设置来增加、移动和改变VLAN的成员，减少了网络治理的时刻和费用。虚拟局域网成员间不需要路由。3·虚拟网络（VNET）虚拟网络是与高性能最优路径相互连的虚拟局域网的集成体。虚拟网络必须有路由服务。每一虚拟局域网都可用端口，MAC地址或基于成员子网的策略进行定义。虚拟网内的虚拟局域网间的通讯是靠高性能的多层交换设备（具有完整的路由）或通过现有的路由器来实现。多层交换技术（Multi-Layerswitching）提供虚拟局域网间的高性能最优化路由。4.5网络通信协议和路由协议xx城区区网络改造工程初期采纳单一的Internet标准网络协议TCP/IP，信息服务遵循HTTP和HTML标准和协议，建立通过特定的网关(Gateway)与Internet连接。也可利用公众信息通信网作为中间通道，采纳“数据打包”(encapsulation)的方式，将公众信息通信网的网络作为逻辑通道(Tunnel)，并应用数据加密。（一）网络互联协议xx城区区网络改造工程初期采纳单一的Internet标准网络协议TCP/IP，信息服务遵循HTTP和HTML标准和协议。（二）路由协议路由协议为网内各节点提供IP数据包的路由选择机制，按照自治域的设置，xx城区区网络改造工程内部路由协议采纳静态路由协议、RIP、OSPF、IS-IS等；4.6IP地址及域名治理4.6.1IP地址组织治理及分配方案IP地址选择由IETF的RFC1597文档规定的保留IP地址的－55A类地址。并使用的合法1个C类的IP地址。IP地址分配采纳CIDR和VLSM技术，充分利用地址空间，提升地址的利用率；便于路由组织；兼顾近期需要和远期进展，具有较好的扩展性。2·保留IP地址与合法IP地址的解决由于xx城区区网络改造工程网要紧使用保留IP地址(PrivateIPAddress)。那个地点将要紧阐述保留IP地址网络与Internet联接所需解决的联通性咨询题和解决方案。为了支持使用保留IP地址的网络联接CHINANET或其它使用合法IP的网络，必须遵从IETFRFC1631的规定，同时必须申请使用一定的合法IP地址，以实现保留IP地址到合法IP地址的转换。本方案将采纳CISCO的PIX网关实现转换。可采纳的转换方法要紧有两种：静态转换和动态转换。静态转换是指为每个保留IP地址指定一个不同的合法IP地址对应转换，它能够为合法公网提供服务或差不多申请合法IP的主机提供；这种方法明显不能大量使用。动态转换是指我大量非法IP地址建立较小的合法IP地址池，在主机需要访咨询合法公网时动态分配，提供转换，这种方式只支持单向发起的连接(从保留IP网到合法IP网)，但能够相对较大规模地采纳。由于Internet完全使用合法IP地址，为了系统的简单性，xx城区区网络改造工程网连接到Internet时以连接到合法公网的方式连接。配置一台PIX网关。3.IP地址治理xx城区区网络改造工程网将使用保留IP地址和必要的合法IP地址，采纳NAT网络地址翻译技术来解决与其它网络的互访咨询题。整个网络内部保持CIDR地址的连续性，保留IP地址的使用为今后网络进展留有余地，以便网络的统一规划；合法IP地址的使用也保持对应的连续性，以减少PIX网关内部地址转换表和地址池的记录数目，以提升PIX的效率。4.6.2域名组织治理域名系统由域名空间和资源记录；域名服务器；解析器组成。xx城区区网络改造工程申请域名并为网内用户提供域名服务。xx城区区网络改造工程网将采纳一套域名和两套IP解析机制。一套供内部网络域名－IP解析使用，另一套供Internet域名－IP解析使用。设置一台外部域名服务器，为外部访咨询提供相应的域名－IP解析；内部域名服务器能够放在用户服务器上。信息通信网所有对外公布信息的服务器，均按照信息通信网的统一规划命名其主机域名，并在信息通信网DNS系统上注册。信息通信网DNS系统在治理上独立于Internet的域名治理体系。Internet域名服务提供两个重要的差不多功能：域名解析和邮件服务。域名解析功能是不言自明的；邮件服务是指利用邮件交换机记录提供邮件交换机的域名查询。由于使用保留IP地址和两套域名－IP机制，因此要对内部用户提供Internet邮件功能，必须在两套域名－IP之间进行配合。关于不同的IP网（保留IP网和有静态翻译的保留IP网）之间的邮件需要指定相应的邮件交换机相互转发，但域名保持一个命名。4.7用户接入及治理4.7.1用户接入方式接入网内的用户类型有：局域网用户、主机用户、微机用户、PPP用户、shell用户。经PSTN拨号接入用户能够通过一般电话拨号方式接入，以注册用户接入，直截了当通过SLIP/PPP方式接入网内；经ISDN拨号接入ISDN服务在中国刚刚开始，ISDN用户能够花少量的钞票享受到高速专线的使用通信带宽和所有服务；但ISDN需要有支持ISDN的接入设备。专线接入用户能够通过DDN、X.25、F.R.专线接入多媒体网。经X.25网入网的用户，分为不分配IP地址和分配IP地址两种情形：一样的分组用户不分配IP地址，能够是电话拨入分组网，也能够是专线接入分组网，要求用户能设置相应的通信参数(数据长度、奇偶校验、停止位等)。专门的分组用户分配有IP地址，条件要求除了与一样分组用户相同外，还应有相应的通信软件或路由器。25入网连接速度一样9600bps到64Kbps之间；同样用户需要支持X.25的设备。对自己有一定规模的网络的用户想要网络上网，可配置路由器或网关，通过DDN网接入信息网。DDN网络采纳时分多路复用技术，具有较小的传输延时，一样提供64Kbps-2Mbps的通信带宽。用户除了能够通过DDN接入信息网外，还可通过FrameRelay接入信息网。FrameRelay采纳统计复用技术，能够提供突发带宽，并具有较好的网络服务品质；一样提供32Kbps以上的保证带宽。4.7.2用户接入设备和用户服务器拨号接入服务器(AccessServer):3Com的USRNETSEVER/16产品。拨号用户通过3Com的USRNetserver/16实现接入多媒体网。用户服务器DNS:向用户提供域名解析，并与INTERNET中的域名服务器形成全球域名服务。采纳SUNNetra2/170。Mail服务器：为网内用户提供电子邮件服务。4.8计费治理与结算系统4.8.1资费类不计费内容包括网络接入费。拨号用户网络通信费：由起止时刻、使用时长等信息来记取费用。专线用户网络通信费：按照通信量来计费。4.8.2计费治理机制计费内容包括网络接入费。网络接入费在用户接入服务器记录网内用户每次接入网络的网络接入费计费信息。网络接入费按照用户的接入方式而定:拨号用户的网络接入费的计费方式网络接入费=访咨询的时刻×费率计费信息参考参数是业务时长，计时计费的单位是分钟，不足一分钟的按一分钟计；专线用户的网络接入费的计费方式网络接入费=数据量×费率计费信息参考参数包括：接入方式、接入速率和数据量。计费信息的采集：拨号用户在RADIUS服务器记录用户的网络接入费计费信息；专线用户在路由器记录网内用户的网络接入费计费信息；UTSAims系统在Netscout服务器也能够采集用户计费信息。用户治理功能：要紧功能是负责为拨号登录的用户(含PPP/Shell用户)建立登录账号，对用户口令、用户特权等进行治理。该软件以国际标准的Radius协议作为用户认证基础,经与接入服务器（NetworkAccessServer）的相互认证,以后台进程的方式实时治理用户的登录。当用户通过电话拨号拨入接入服务器时，接入服务器以加密方式将用户名和用户口令送给用户治理软件系统，用户治理软件将其与授权服务器中的相应文件相对比，如用户不合法，用户治理软件系统向接入服务器发送一拒绝信息，用户授权被拒绝，反之，则用户被授权进入。用户治理软件包括下列各项：注册开户：在域治理中心的用户信息库建立和治理爱护本域所有用户的信息资源，包括用户名、密码、用户类不、帐号余额等信息。资源使用注册：用户能够访咨询的信息资源登记授权。资源使用治理：按照用户对资源的使用权限，监控用户对信息资源的访咨询。内容变更/查询：修改用户信息，查看用户信息资源使用情形。临时封锁/销户各类用户统计数据5.安全治理系统本系统的安全设计将严格按照xx保密局的规定进行，在实施过程中将同意xx区保密局的监督与治理。5.1网络安全介绍Internet网的安全咨询题促使了网络安全技术的进展。运算机网络的安全性定义为：保证网络服务的可用性(Availability)可用性确实是在用户需要得到系统服务时，系统能及时有效地提供；网络信息的完整性(Integrity)完整性要求用户接入或发出的信息必须完整地、准确地在指定有限范畴内传播。在分析不同的网络结构和针对不同的应用，采纳不同的安全计策。从全然上讲，网络安全的工具要紧有两个：一是防火墙(Firewall)技术，另一个是加密技术。防火墙技术是被动防卫型安全保证系统，它的特点在网络边界上建立相应的网络通信监控系统来实现安全保证。它要求所保卫的网络是一个相对封闭的拓扑结构，只在有限出口与外界网络连接，同时假设不安全的因素仅来自于外部网络，建立“防火墙”确实是利用专用安全软件、硬件以及治理配置，对内部网络与外部网络之间的往来信息进行监测、操纵和修改。防火墙最常采纳的技术有数据包过滤、应用网关和Proxy。数据包过滤是按照数据包的源地址、目的地址、TCP端口号等因素来综合判定，只有满足逻辑条件才承诺通过，这一过程多在路由器上完成。应用网关在应用层上对专门的应用服务协议指定数据过滤逻辑，并对分析结果作统计报告，这一过程多在专用工作站完成。而ProxyServer是更好的一种安全措施，它更明确地把内外网络在链路上隔离，把内部网络结构屏敞起来，使外部网络无法了解到内部网络结构；另外，Proxyserver还有对数据流进行监控、过滤、记录、报告等功能；Proxyserver需要专用的工作站来承担。数据加密技术是适用范畴更广的一项技术，它对网络结构没有专门的要求，对网络服务阻碍也较小，只在发收两端用软件进行加/解密工作，通常采纳两种方式进行加密：一是在应用层加密，另一种是在IP栈中加密，应用层加密是对用户数据作选择性加密；而IP栈加密则是对链路上所有数据进行加密，因此，加/解密本身要靠运算来完成，可用CPU或专用的芯片来运算。数据加密技术要求只有在指定的用户或网络才能解除密码而获得原先的数据，这就需要给数据发送方同意方以一些专门的信息用于加解密，这确实是所谓的密钥，最简单方式是单密钥，通信双方必须交换彼此密钥，并存放在安全处，需给对方发信息时，取出自己的加密密钥进行加密，而在接收方收到数据后，用对方所给的密钥进行解密。这种方式在与多方通信时因为需要储存专门多密钥而变得专门复杂，而且密钥本身的安全确实是一个咨询题。因此现在越来越多地采纳了公布钥密体系，在公布钥密体系中，有两个密钥，一个为自已的密钥，只能自己一人使用；而另一个密钥为公布密，可让所有欲进行通信的人明白。通信过程是如此的：若A欲发信给B，A先用自己的密钥进行加密，然后再用B公布的公布密钥进行再加密；B收到信后，用自己的密钥进行解密，这保证了只能自己才能读此信，再用A公布的公布密钥进行解密，这保证了此信确实是A发来的，如此，B就唯独读到了确实是A发来的信。5.2运算机网络安全技术5.2.1咨询题的提出如何保证用户或服务的真实性，即如何防止假冒？如何在网络上加密用户名和密码来进行用户身份验证？如何提供单用户多点登录服务？从而使企业内部所有的服务器能够幸免昂贵的帐户爱护开销。如何爱护通信隐秘？如何确保通信在发送和同意之间幸免干扰？随着互联网络的迅速进展，网络应用的持续增加，互联网络的安全性愈发显示出其重要性来。能够讲，安全性将是互联网应用的一个关键性制约因素。网络的安全咨询题来源于网络的开放与共享。正是网络的开放与共享导致网络容易受到外界有意或无意的攻击与破坏，使网络服务的可用性(Availability)和网络信息资源的完整性(Integrity)受到阻碍和破坏。前者要紧要求网络的连通性、可用性，后者则要求信息资源的完整性、可用性和适当操纵。对网络安全产生阻碍的有如下方面：信息泄漏身份假冒数据篡改系统攻击病毒运算机网络安全涉及法律上和技术上的咨询题。而从技术上加大网络安全保密，防止数据被非法窃取，篡改与破坏，才是最全然和有效的，也是法律保证的基础。通常能够从下面两个方面来加大网络的安全保证：第一是建立以”防火墙”技术为代表的被动型防卫体系。第二是建立以数据加密、身份认证机制为基础的开放型网络安全保证体系。5.2.2加密技术(cryptography)加密技术是解决安全咨询题的基础。差不多思想是按照某一加密算法E采纳某一加密密钥Ke将明文数据M加密成密文C，使第三者无法明白得其真正含义。记为C=E(M,Ke)。而解密则是按照相应解密算法D采纳相应解密密钥Kd将密文作反变换后还原为明文M。记为M=D(C,Kd)。目前，加密算法专门多。按照可破译性不同，分为运算上不可破译密码体制和理论上不可破译密码体制。按照密钥性质不同，可分为传统密钥密码体制、公布密钥密码体制和无密钥不可逆密码体制。传统密钥密码体制传统密钥密码体制确实是解密密钥与加密密钥相同的密码体制。其中最有名的是1977年美国国家标准局颁布的数据加密算法标准DES(DigitalEncryptionStandard)。DES对64位二进制数据加密，产生64位密文数据。DES密钥长度64位，有效长度56位。DES加密解密只是简单比特位处理的组合，因此速度快，密钥生成容易。但DES算法公布，其安全性仅取决于对密钥的保密程度，加之密钥长度不足，算法复杂性不够以及密钥分配困难等咨询题，DES的应用受到专门大限制。公布密钥密码体制公布密钥密码体制的特点是加密密钥与加密密钥不同，且在运算上不能由加密密钥推导出解密密钥。典型代表是1978年美国MIT的三位科学家提出的RSA算法。RSA基于数论中大素数分解的难度咨询题。无密钥不可逆密码体制不可逆加密的特点是不需密钥来加密，且通过加密的数据无法被解密。只有同样的输入数据通过同样的不可逆算法才能得到相同的加密数据。不可逆算法不存在密钥保管和分发咨询题，适于分布式网络应用。不可逆算法要紧应用于系统的身份验证。IC智能加密卡美国国家保密局(NSA)1993年颁布了新的加密标准(EES)，加密算法不再公布，对用户只提供加密芯片及硬件设备。芯片称为CLIPPER，算法命名为SKIPJACK。SKIPJACK安全性高于DES，密钥量比DES多1600万倍，用CRAYYMD穷举破译需10亿年。CLIPPER裸片由VLSI公司制造，再由Mykotronx公司编程后才能使用。NSA还推出了用于军事通信数据加密的芯片CAPSTONE，并加以改进以作为下一代数据加密标准。内容包括：保留CLIPPER全部功能实现美国数字签名标准(DSS)实现美国保密HASH函数标准实现基于公布密钥密码的密钥交换算法通用指数运算算法利用纯噪声源产生随机数的算法。5.2.3加密技术应用(1)数字签名：数字签名是证明当事人身份与数据真实性的一种手段，应具备以下三种功能：发送方不可抵赖签名。接收方能够核实签名。他人不能伪造签名。目前数字签名普遍采纳公布密钥密码技术来实现。发信者用自己的私人钥匙将信息加密，这就相当于在这条消息上署上了名。任何人只有用发信者的公用钥匙，才能解开这条消息。这一方面能够证明这条信息确实是此发信者发出的，而且事后未通过他人的改动（因为只有发信息才明白自己的私人钥匙），另一方面也确保发信者对自己发出的消息负责，消息一旦发出并署了名，他就无法再否认这一事实。如果既需要保密又期望署名，则能够将上面介绍的两个步骤合并起来。即发信者先用自己的私人钥匙署名再用收信者的公用钥匙加密，再发给对方。反过来收信者只需用自己的私人钥匙解密，再用发信者的公用钥匙验证签名。那个过程讲起来有些繁锁，实际上专门多软件都能够只用一条命令实现这些功能，专门简便易行。在实际应用中，由于被签信息专门长而签名算法又相对较慢，一样现用一个HASH函数将被签信息压缩，得到信息摘要(messagedigest)，然后对信息摘要签名。在验证时只要重新运算信息的HASH值并与加密后的签名比较即可。 (2)混合加密对称密钥技术与公布密钥技术混用。产生一随机数作为对称密钥来加密信息用对方公密钥加密对称密钥对方用私密钥得到对称密钥优点：快速，保密性好，密钥分发得到解决。(3)安全网络服务加密技术应用在网络层或传输层。网络路由及其他网络协议所需信息的传送和认证采纳加密的数据包，HANDSHAKE期间期间验证双方的数字证明。确保通信是在约定的通信实体之间进行，从而保证网络