1、电子政务信息安全平台项目建议书XX工程咨询有限公司二零XX年XX月电子政务信息安全平台项目建议书建设单位：XX建筑工程有限公司建设地点：XX省XX市编制单位：XX工程咨询有限公司20XX年XX月94可行性研究报告编制单位及编制人员名单项目编制单位：XX工程咨询有限公司资格等级： 级证书编号：（发证机关：中华人民共和国住房和城乡建设部制）编制人员： XXX高级工程师XXX高级工程师XXX高级工程师XXXX有限公司二XX年XX月XX日目 录第一章项目简介4第一节 项目情况概述4第二节 项目申请单位4第三节 项目建议书编制依据5第四节 鸣谢6第二章项目需求分析6第一节项目建设的必要性6第二节项目建设2、的可行性7第三节信息安全总体需求9第三章建设目标15第一节项目建设总体目标15第二节项目一期目标16第四章项目技术设计18第一节建设原则18第二节安全架构总体设计19第三节活动目录设计21第四节安全证书服务34第五节智能卡认证系统42第六节服务提供层46第七节桌面管理系统设计49第五章项目的运行维护和培训72第一节项目运行维护72第二节系统培训74第六章项目建设组织实施和进度安排76第一节项目实施策略76第二节项目组织结构及规划76第三节项目进度计划781.1项目计划781.2实施风险分析791.3工作量评估79第七章项目投资概算81第一节投资估算依据81第二节第一期资金预算82第八章项目保障3、85第一节项目保障方法简介85第二节IT系统运维团队模型86第三节IT系统运维过程模型88第四节IT系统运维风险管理89第九章项目效益分析89第一节社会效益分析89第二节经济效益分析90第一章 项目简介第一节 项目情况概述本项目名称为xx市电子政务信息安全平台。随着信息化进程的加快，xx市电子政务也得到了蓬勃的发展，从深度上来看，电子政务从最初的政府信息上网向政务公开、网上办事及网上行政审批乃至网上办公等深层次应用转化，各政务部门的信息系统应用日益增多，如：电子政务门户网站、重点项目管理系统、网上行政审批系统、网上征信系统、邮件系统等等；从广度上来看，越来越多的部门通过互联网来交换业务数据，实4、现跨部门的数据交换和业务流程。目前各个政务部门开发的信息系统应用是各自为政地处理客户端、服务器及数据库等系统的认证授权等安全问题，随着电子政务应用深度和广度的不断拓展，各政务部门间数据交换的要求不断增加，这些系统和应用越来越需要一个从整体上进行规划、设计，包括户认证和数据加密、网络传输和信息安全监测等通用的、并且安全可靠的统一信息安全平台。xx市电子政务信息安全平台主要为xx市电子政务应用提供一个统一的、全面的信息安全服务，其建设的总体目标是：设计、规划和部署整个电子政务平台的信息安全架构，实施基本的安全功能，建立统一、完善的身份认证、权限管理、网络监测、漏洞扫描、灾难备份和恢复机制，利用活动5、目录组策略部署用户设置管理机制，实现统一桌面管理功能。第二节 项目申请单位项目申请单位为“xx市政务信息中心”。xx市政务信息中心的主要职责是承担xx市政务信息网的建设和管理，实现党政机关网络互联互通和信息资源共享，组织开发信息资源上网，开展数据库建设、信息技术服务、信息技术培训和国际合作交流活动。xx政务信息中心拥有大批优秀的专业计算机应用及开发技术人才，现有技术人员共 人，本科以上学历 人，其中博士 人，硕士 人，具有很强的研发能力。 第三节 项目建议书编制依据1中共中央办公厅、国务院办公厅关于转发国家信息化领导小组关于我国电子政务建设指导意见的通知（中办发200217号）2关于加强信息资6、源开发利用工作的若干意见（2004年10月27日 国家信息化领导小组第四次会议）3国务院办公厅关于印发全国政府系统政务信息化建设2001-2005年规划纲要的通知（国办发200125号）4国务院办公厅关于实施电子政务试点示范工程的通知（国办函200274号） 5国民经济和社会发展第十个五年计划信息化重点专项规划6国家计委关于印发国民经济和社会发展第十个五年计划信息化重点专项规划的通知（计规划20011172号）7国家发展改革委关于国家电子政务外网（一期工程）项目建议书的批复（发改高技20042135号）8国家发展改革委关于国家电子政务外网（一期工程）第一阶段中央部分建设项目可行性研究报告的批复7、 （发改高技20042412号）9xx市国民经济和社会发展“十一五” 规划10xx市（2003-2010）电子政务总体规划设计研究200311信息处理系统 开放系统互连基本参考模型第2部分： 安全体系结构12信息技术 安全技术 带消息恢复的数字签名方案13计算机病毒防治产品评级准则14信息技术-安全技术-实体鉴别第3部分：用非对称签名的机制15信息技术设备（包括电气事务设备）的安全（IEC 950）16计算机信息系统安全保护等级划分准则17信息技术-安全技术-实体鉴别第3部分：用非对称签名的机制18国家电子政务标准化指南19电子政务信息共享互联互通平台总体框架技术指南20中国政府网站建设要求28、1电子政务主题词表编制规则-GB22电子政务数据元-GB23电子政务业务流程设计方法通用规范（征求意见稿）24门户网站建设的规范25应用平台数据交换规范26应用平台服务处理流程规范第四节 鸣谢在方案的形成和文档编制过程中得到了各方领导及专家的指导，以及微软公司的大力支持，特在此表示感谢！第二章 项目需求分析第一节 项目建设的必要性电子政务所涵盖的信息系统是政府机构用于执行政府职能的信息系统。政府机构从事的行业性质跟国家紧密联系，所涉及的众多信息都带有保密性，所以信息安全问题尤其重要。例如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等，都将对电子政务系统的正常运行构成威胁。为保证9、电子政务的信息安全，有必要对其信息和网络系统进行专门的安全设计。在xx市电子政务系统建设过程中，虽然采取了一定的信息安全措施，但是随着各个应用系统的实施，逐渐暴露了一些存在的问题：l 缺乏整体规划和统一部署。l 应用系统安全管理分散。目前在电子政务外网中已经有多个应用系统投入使用，但这些系统的用户身份管理和验证机制均自成一体，没有统一而安全的身份管理方式，导致：n 用户需要记忆多套系统的用户名和口令，增加使用难度；n 验证机制质量难于控制，某些应用可能存在验证漏洞；n 同一用户需要在多套应用系统中注册和维护，增大管理成本，降低管理效率。l 内部信息交换不畅。由于多个政务部门的业务网之间未建立连10、接且未建立统一可靠的身份验证机制，目前内部文件交换主要通过在公网上基于web的文件交换系统实现，使用麻烦且安全性难以得到保证。l 客户端安全问题突出。经过调查发现，存在的客户端安全问题主要体现在以下层面：n 物理防护。由于各政务部门来访人员较多较杂，当工作人员离开计算机而未锁定屏幕或设置屏幕保护时，未授权用户很容易对计算机进行操作从而获取机密信息或进行破坏活动。n 缺乏完整有效的补丁管理能力。补丁不能及时安装，给病毒，蠕虫，木马等恶意程序带来可乘之机。此外，缺乏工具对补丁的分发给出及时有效地分析和监控n 缺乏IT管理相应的手段、政策和制度。桌面计算机用户随意安装软件，甚至自己格式化计算机硬盘，11、重新安装操作系统；n 缺乏进行桌面资产完整统计的工具n 缺乏整体的、层次化的安全防御体系设计。网络出口多，一些桌面计算机用户直接通过ADSL接入Internet;n 缺乏相应的监视监管工具。缺乏对于内部网络上支撑桌面系统运行的平台和关键桌面计算机的监视工具n 需要考虑桌面计算机软硬件标准化。很多用户桌面计算机由于配置较低无法接受有效管理。n 缺乏对于系统出现严重问题时的相应机制。受病毒感染的桌面不能及时隔离和处理，成为病毒源，波及整个网络安全为解决xx市电子政务建设中存在的信息安全问题，保障电子政务管理和服务职能的有效实现，必须建立完善的信息安全体系，选择符合国家信息安全主管部门认证的安全技术12、和产品，在电子政务系统的建设中实施信息安全工程，从而建设一个先进、完备、统一的信息安全平台。第二节 项目建设的可行性随着xx市经济的飞速发展，信息化水平也不断提高，在电子政务基础设施和应用上都取得了一定的成果，这些都为xx市电子政务信息安全平台的建设奠定了坚实的基础。 已具备的基础和条件一、xx市电子政务网络平台建设按敏感级别和业务类型，划分为涉密机要专网、电子政务业务专网和电子政务外网。电子政务外网是为市民提供政务公开信息和网上服务场所的媒介，直接同因特网连接；政务专网上运行关键的政务应用，是为公务员提供协同办公、信息传输交互和业务数据处理的网络平台；涉密机要专网与电子政务专网实行物理隔离、13、与政府外网实行物理隔离。这种网络物理结构的设置为信息安全的实施提供了良好的网络保障。二、xx市电子政务网络平台的建设已采用了信息安全技术，具备了一定的信息安全建设的基础。如屏蔽布线和屏蔽机房、病毒防范、安全审计等。三、设置了专门的技术部门来负责xx市各电子政务网络平台的建设和运行维护，为信息安全平台的建设提供了专业技术人才的保障。四、技术保障。微软作为全球著名的软件商，在信息安全领域具有世界领先的技术和人才，根据xx市政府与微软（中国）签定的合作备忘录，微软（中国）将参与信息化规划，为电子政务供技术支撑；xx市电子政务信息安全平台将邀请微软作为技术顾问，为平台建设提供成熟的技术方案。 存在的风14、险电子政务安全是一个复杂的系统工程。仅从安全威胁的来源看，可以分为内、外两部分。来自于外部的威胁有病毒传染、黑客攻击、信息间谍、信息恐怖活动、信息战争、自然灾害等，而来自内部的威胁则包括内部人员恶意破坏、管理人员滥用职权、执行人员操作不当、内部管理疏漏、软硬件缺陷等。这些安全问题都急需解决。 而且政府部门设置多、部门之间的职能交叉以及政府职能转变等，都为电子政务系统的安全构建带来了困难。而部门设置越细，部门之间的职能交叉的概率越高，电子政务信息安全的控制难度越大。同时电子政务安全系统的实施也是一个长期的、逐步推进的过程。这些都给电子政务信息平台的建设带来了困难和风险，只有通过建立科学、严密的安15、全管理体系，不断完善管理行为，形成一个动态的安全过程，才能为电子政务网络提供制度上的保证，它包括：安全方针、安全组织、资产分类与控制、人员安全、物理与环境的安全、通信与运行的管理操作过程与职责、访问控制、系统开发与维护、业务连续性管理、遵循性与法律要求的一致性。第三节 信息安全总体需求2.3.1物理安全需求l 屏蔽机房xx市电子政务网络需要进行屏蔽布线和屏蔽机房建设，确保网络系统的安全保密性。机房的选址以及机房的布线、装修等工程均应参照国家保密局的有关要求进行。l 介质管理对于涉密网络系统，需要对各类涉密介质（包括电子文档的存储介质和有关纸面介质）进行严格的管理，严格防止因介质而发生的泄密。对16、介质的管理措施需要同时考虑到安全保护和自然灾害预防等方面的要求。l 设备安全重点加强对涉密系统运行服务器的安全管理，防止对设备的各种破坏，严格做好设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等方面的保护。系统安全的需求l 操作系统安全系统安全主要是针对服务器设备和用户终端设备的操作系统环境的安全威胁而言的。其安全问题主要将通过对操作系统平台的配置管理以及系统安全漏洞的检测与补丁安装等措施来完成。操作系统因为设计和版本的问题，存在许多的安全漏洞；同时因为在使用中安全设置不当，也会增加安全漏洞，带来安全隐患。在没有其它更高安全级别的商用操作系统可供选择的情况下，安全关键17、在于操作系统的安全管理。为了加强操作系统的安全管理，要从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、RAS安全、数据安全、各应用系统安全等方面制定强化安全的措施。l 数据库安全数据库管理系统应具有如下能力： 自主访问控制（DAC）：DAC用来决定用户是否有权访问数据库对象； 验证：保证只有授权的合法用户才能注册和访问； 授权：对不同的用户访问数据库授予不同的权限； 审计：监视各用户对数据库施加的动作。 数据库管理系统应能够提供与安全相关事件的审计能力： 试图改变访问控制许可权 试图创建、拷贝、清除或执行数据库。 系统应提供在数据库级和纪录级标识数据库信息的能力。网络安全需求18、l 网络边界防护同密级的系统根据其信息密级和重要程度划分为不同的安全域，在不同安全域的交界处即为边界网络系统。在同一安全域内部，由于安全需求大致相当，一般可采用相同的安全策略和安全机制。由于边界网络系统是整个内部网络和外部网络的唯一交互通道，也是网络安全防护的重点。边界网络防护的基本措施是访问控制，即根据安全策略对跨越安全域边界的网络访问进行授权和管理，确保只有经过授权的用户才能使用网络资源。防火墙是实现网络边界防护最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制，对一些高层协议实现较细的访19、问控制。如利用防火墙实现涉密计算机信息系统内部各级网络层次间的访问控制；实现局域网内不同信任区之间的隔离和访问控制；实现对公开服务器的安全保护以及对远程用户的安全认证与访问权限控制；并且能够实现对专线资源的流量管理与控制和防攻击。l 网络设备安全网络层的安全控制机制将主要通过VLAN划分来实现，可作为网络边界防护措施的一种补充。VLAN可以对用户的网络资源访问权限进行控制，确保网络系统的运行效率。将安全级别不同的部门、设备分割在不同的虚拟子网中，从而提高了系统的安全性。例如信息中心存放着各类服务器、数据库、关键网络设备，需要防止内部用户有意或无意的破坏，就可以将其单独设立为一个子网，与其他部门20、分割开来，从而达到提高系统安全性的目的。若有些虚拟子网之间需要互相访问，则可以通过部署支持第三层交换技术交换机来实现。另一方面，需要通过对网络设备的配置管理和漏洞扫描及时发现和纠正设备配置中存在的安全漏洞，确保网络系统的运行安全。l 网络传输安全电子政务网络以及为其提供支撑的相关基础设施必须受到更深层次的保护。保卫电子政务系统和基础设施的总的策略是，使用安全性较高的专线和密码技术来传输系统网络节点之间的机密数据，加密方式采用国家相关部门批准的算法。 应用安全应用安全主要是针对应用系统的安全保护，根据政务网应用和服务的要求，我们采用身份认证技术、防病毒技术、以及对各种应用服务的安全性增强配置服务21、来保障网络系统在应用层的安全，主要内容包括以下：l 身份认证及访问控制身份认证的访问控制是应用安全的关键，包括标识和命名、密钥管理、权限管理等，需要重点解决“三个统一”：统一身份认证、统一授权、统一审计。用户通过电子政务外网在门户网站进行统一身份认证、完成单点登录，并根据用户的权限实施统一授权。在目录服务器中存储用户注册资料和门户配置信息等。用户在系统中所做的工作都由日志详细记录在案，并由该平台进行统一审计管理。l 病毒防护由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。因此计算机病毒的防范也是网络安全建设中应该考虑的重要的环节之一。病毒防护主要是防止计算机病毒在用户网络系统内部的传播22、和扩散，从而确保用户信息资源的安全性和可用性。建立一个完整的计算机病毒防护体系，通过对各类网络服务（主要是邮件服务）进行病毒监测和杀灭处理，同时在所有终端上安装桌面病毒防护软件，确保涉密信息的安全。同时应在网络中心设置病毒管理服务器，提供病毒定义更新和病毒疫情通告等服务。l 安全审计系统安全审计是对系统运行过程中所产生的大量状态参数进行事后的分析以便发现入侵检测系统中所遗漏的攻击行为，以便能及时发现系统中现存的问题和安全漏洞、并对已发生的安全事故进行事故原因和责任追查工作。这是安全审计功能中的事后功能部分，由于不受实时性要求的限制，能获得较高的检测准确度。具体的安全审计数据来源主要包括两部分：23、系统安全漏洞扫描：系统安全漏洞扫描主要是对关键的网络设备、安全设备和服务器的操作系统及常见网络服务的配置情况进行扫描检测，并根据检测的结果向系统管理员提供改进的意见。系统入侵检测：系统入侵检测是在系统运行过程中不断搜集网络及关键服务器的运行状态参数信息，并与正常的活动基准模式加以比较分析以确定是否发生了异常的网络活动。l 系统备份建立备份系统的主要目标：避免由于各种情况造成的网络、数据、系统的不可用给网络中运行的业务造成影响，一旦灾难发生，可以通过该系统为网络的恢复提供有力的保证。备份措施要保证主要线路、关键设备、重要数据、重要系统等要素的可用性，从而保证电子政务系统的稳定运行，提高其对各类事24、件的免疫能力。 l 灾难恢复灾难恢复是在发生计算机系统灾难后，可利用在本地或远离灾难现场的地方的备份系统重新组织系统运行和恢复业务的过程。灾难恢复的目标是:保护数据的完整性，使电子政务数据损失最少、甚至没有数据损失；快速恢复工作，使业务停顿时间最短，甚至不中断业务。信息安全服务的需求l 风险评估信息安全管理体系是建立在风险分析和评估的基础上的。风险分析是指确定资产的安全威胁和脆弱性、并估计可能由此造成的损失或影响的过程。其结果是制定安全政策的重要依据，可以按照资产列表制定相应的安全政策。风险分析与评估基本包括准备阶段；培训阶段；资产确定阶段；风险评估阶段；风险策略阶段。l 安全应急服务对于网络25、中的突发事件能够及时地响应；减少业务停顿的时间；避免非法入侵对数据破坏；避免主页被黑造成影响；对于已经破坏的数据采取相应的技术手段进行恢复；通过培训提高人员对突发事件的处理能力；追踪非法入侵人员。安全规范和措施的需求安全管理是安全系统建设成败的关键，仅仅依靠技术上的安全手段，但没有相应的管理措施作为保障，是不能保证安全系统的正常运作的，因此必须制定和实施统一的、覆盖全系统的安全策略。l 制定安全策略完整的安全策略是提供企业级安全机制的基本前提。典型的安全策略将根据组织运作的目标对组织内部的各类网络资源和系统资源、数据资源的使用进行控制和管理。安全策略是各类安全设备充分发挥其功能的关键，也是安全26、管理的一个重要内容。l 拟定安全管理部门的职责为加强对网络系统的统一管理和控制，应确定一个的安全管理部门，全权负责整个政务网系统的安全管理工作，其主要职责应包括：n 根据工作的重要程度确定系统的安全级别及潜在的安全威胁n 根据系统的安全级别及安全风险确定所需的安全保护水平n 制定关键设备及资源的使用授权规则n 制定与安全相关的操作规程n 制定完备的系统维护制度n 制定系统应急处理计划n 对操作人员进行安全操作培训l 制定安全管理规范安全管理部门应根据安全管理工作及安全系统工程建设的需要制定以下的安全管理规范：n 系统访问权限管理规范n 口令和账户管理规范n 信息保密管理规范n 涉密机房的管理规27、范n 信息安全防范岗位责任规范n 信息安全用户培训制度n 安全应急计划本期项目的任务需求和服务对象电子政务信息安全的建设和实施是一个系统的工程，需要一个长期的过程。针对xx市电子政务系统的现状，微软企业技术支持服务建议在原有信息安全建设基础上，以微软活动目录为基础技术平台，以建立统一的用户身份验证机制为突破口，采取分期建设的策略，以较小的资金和人员投入，在较短的时间内迅速提高电子政务系统的安全水准。本期项目的主要任务包括：l 在电子政务网络平台范围内实施企业级的活动目录，建立统一而完善的用户帐号、权限管理机制；并利用活动目录组策略部署用户设置管理机制；l 实施证书服务，建立公钥体系；l 部署智28、能卡系统，为每个用户分发一张智能卡；l 迅速实施有效的软件更新管理机制，堵塞操作系统漏洞；l 利用微软安全审核专项服务，检查关键服务器和客户端配置的安全性。l 建立桌面管理中心可以统一对桌面计算机硬件、操作系统、以及应用系统客户端的管理。xx市电子政务信息安全平台由xx市信息中心负责技术支持和提供长期运行维护，主要的服务对象为电子政务外网的各政务部门及相关单位。 本期项目所涉及的相关单位和部门所涉及的单位和部门为电子政务外网平台覆盖的单位和部门。CA服务器集中部署在xx市政务信息中心数字证书服务器中心机房，活动目录和桌面管理服务器一级中心部署在xx市政务信息中心的中心机房，各二级中心部署在思明29、湖里、集美、海沧、同安、翔安和杏林各区信息中心的中心机房。（需要调研）第三章 建设目标第一节 项目建设总体目标xx市电子政务信息安全平台主要为xx市电子政务应用提供一个统一的、全面的信息安全服务，其建设的总体目标是：设计、规划和部署整个电子政务平台的信息安全架构部，及实施基本的安全功能，建立统一而完善的身份认证、权限管理、网络监测、漏洞扫描、灾难备份和恢复机制，利用活动目录组策略部署用户设置管理机制，实现统一桌面管理功能。本项目的实施原则是分阶段逐步实施，主要是从实施的区域范围和功能范围来划分阶段。第一阶段将部署安全架构及实施基本的安全功能。第二节 项目一期目标l 架构平台的设计这个阶段最重30、要的目标是设计和规划整个电子政务的安全架构；这个架构对于今后项目的开展将具有重大的指导作用。1. 集中式结构化的管理根据电子政务网络的实际情况，将用户和Windows平台的服务器客户机按照部门和管理方式组织起来，对用户的管理通过用户组进行。结构化的人员管理是实现系统管理目标的基础。2. 统一的资源管理包括：文件服务、打印服务、DHCP、Web和其它应用服务。文件服务需要进行授权管理和配额管理，配额管理是指对特定用户可以使用的存储空间（硬盘）进行限制。不同类型的用户可以分配不同的配额。如果超过配额，用户将无法继续使用该介质，使得存储更有效率。打印服务需要进行授权管理。其他应用服务可以根据具体的情31、况进行定制。3. 信息资源的灵活授权为了对信息和设备（例如：打印机）进行保护，避免对敏感信息或者重要设备的非法访问和使用，增强系统的安全性，需要对用户授权，只有授权用户才可以访问重要的资源。对用户授权应该可以按照不同的方式来进行：1. 按照部门来授权。2. 按照级别来授权。3. 按照职务来授权。l 安全身份认证建设专门的认证服务器，部署企业证书服务，实现统一身份认证和权限管理。由专门安全服务机构给每个用户颁发一张智能卡，用户可以用卡进行身份认证，如登录到Windows平台、VPN拔号、安全Email等。l 活动目录活动目录通过使用对象和用户凭据的访问控制，提供对用户帐户和组信息的保护存储。由于32、活动目录不仅存储用户凭据还存储访问控制信息，因此登录到网络的用户将同时获得访问系统资源的身份验证和授权。活动目录服务可以实现由网络中心对整个目录资源进行管理控制；减少管理新平台的投资和维护成本；可扩展，以适应业务不断发展的需要；提高网络效率和缩短系统反应时间。l 桌面管理IT基础设施管理的目标是使内部的桌面系统能置于统一的管理之下，从而降低成本、整个效率。所以桌面管理系统首先要保证用户使用桌面系统的方便，不能影响应用程序的整个可操作性和性能，在此基础上再达到管理和控制的目标。同时，桌面管理系统也应该采用开放的系统结构，使得桌面应用程序可以在桌面管理系统的基础上做更紧密的集成，使桌面管理系统更好33、的控制和管理用户的工作环境。1. 岗位化的桌面管理按照用户部门、职务、级别等对用户的桌面环境进行定制和自动的更新。一般来说，用户的部门不同、职务不同、级别不同，对系统的要求也不一样。我们需要针对不同用户的需要为他们建立不同的界面风格、安装合适的应用程序；同时，当用户的身份发生变化（例如，升职或者调动），可以按照用户新的身份来自动的对用户的桌面进行更新。2. 自动化的软件分发实现软件的自动安装与升级。当我们需要对用户使用的软件进行升级或者安装新的应用时，只需要在服务器上进行适当的配置，系统会自动的在客户端上安装相应的软件。为实现上述建设目标，xx市电子政务信息安全平台建设将采用微软信息安全技术进34、行的设计、开发和实施中。第四章 项目技术设计第一节 建设原则为了保证质量，在进行信息安全平台的设计、开发、部署和运行管理规划时将遵循如下原则：l 先进性采用国际上最先进和成熟的体系结构，使系统能够适应今后的业务发展变化需要。l 可靠性本系统在设计时将充分考虑电子政务外网平台对可靠性的要求，采用微软公司的多种高可靠、高可用性技术以使系统能够保证高可靠性，尤其是保证关键业务的连续不间断运作和对非正常情况的可靠处理。l 可管理易维护性由于信息安全平台系统使用面广，系统稳定性可用性要求高，因此系统平台还必须具有良好的可管理和易于维护的特点。在本方案中，我们将充分考虑到可管理性对本系统的重要性，在设计中35、充分利用微软平台提供的多种管理手段，以保证微软平台易管理易维护的特点得到充分发挥，以满足本系统的需要。l 可伸缩和可扩展性系统应该真正符合多层浏览器/服务器体系结构，应能满足新增的需求，而系统的体系结构不需做较大的改变，并能保证系统今后的平滑升级。l 可行性在风险分析的基础之上，发掘重要、关键的资源进行保护，做到适量投入、有效防护。l 标准化遵循技术标准、国家相关规范。第二节 安全架构总体设计信息安全平台主要由三个部分组成：活动目录（active directory简称AD）服务平台、统一身份认证CA和桌面管理系统。一、 活动目录服务（AD）目录代表存储在网络上对象信息的一种层次结构。这些对象36、包括：共享资源（如：服务器、打印机、网络用户和计算机帐户等）、域、应用程序、服务、安全策略等。目录服务是能够通过各种方式把目录中存储的信息提供给管理员、用户、网络服务或应用程序的服务。正是因为该服务在整个IT系统中的重要作用，有人将目录服务比作企业网络的“灵魂”。活动目录通过使用对象和用户凭据的访问控制，提供了对用户帐户和组信息的保护存储。由于活动目录不仅存储用户凭据还存储访问控制信息，因此登录到网络的用户将同时获得访问系统资源的身份验证和授权。活动目录服务的目标是：1集中管理。网络中心可以对整个目录资源进行管理控制。2容易管理。减少管理新平台的投资和维护成本；3扩展性强。目录服务可扩展，以适37、应业务不断发展的需要；4提高网络效率和缩短系统反应时间。二、安全身份认证（CA）部署企业证书服务和分发智能卡，实现统一身份认证和权限管理。安全身份认证方案基于Windows平台的PKI公钥体系，提供RSA、DES等加密算法的支持以及X.509系列证书的分析功能，并集成智能卡技术，将智能卡作为证书的载体并执行加解密操作。Windows 2000/2003 PKI 由许多组件组成： 1、启用公钥的应用程序和服务。2、用户和主机证书存储。 3、用于进行证书管理的证书 MMC 管理单元 (MMC Snap-In)。 4、公钥策略。 5、证书服务。 三、桌面管理建立桌面管理中心，统一对桌面计算机硬件、操38、作系统、以及应用系统客户端的管理。通过桌面计算机标准化的实施，可以极大地提高系统维护管理的效率，降低维护成本，提高系统安全性。集中实现的桌面系统管理功能：1、补丁（也可称作更新）管理：桌面计算机操作系统的版本更新，可采用集中管理、集中分发的方式实现。这可以大大减少桌面维护人员的工作量，也减小了桌面管理、维护方面的支出；2、软件分发管理：功能和上述补丁管理想类似。只不过是对于包括办公软件和更新以及应用系统客户端的安装和更新在内。保证了内部各种软件的版本统一，提高了工作效率；保证了各种新业务系统、应用系统的推广工作。3、资产管理：定期统计、汇总内部各种Windows平台桌面计算机资产的使用情况，产39、生统计报告。还可以及时发现非法软件的安装和使用，以便及时采取措施，一方面可以减小相应的法律风险；另一方面又可以减少安全隐患，提高系统安全性。4、远程支持：实现对故障桌面计算机的远程诊断。一方面可以提高对员工的及时响应，提高员工的工作效率和对IT服务的满意程度，另一方面也可从某种程度上减小了IT维护人员的工作量。5、软件度量:本方案同时具有对于软件使用频率的统计分析能力。 在信息安全架构的三个组成部件中，AD是整个平台的基石，负责用户和密码的管理，识别和存储数字证书格式。CA负责证书申请、证书查询、证书废除和证书签发，智能卡提供用户的身份认证服务。桌面管理系统实现对桌面计算机硬件、操作系统、以及40、应用系统客户端的集中管理。第三节 活动目录设计4.3.1 AD基础架构AD基础架构将从以下四个角度来论述：n 概念角度n 物理模型角度n 逻辑模型角度n 服务设计角度4.3.2 AD概念及作用.1目录服务的基本概念目录是用来存储有用对象的信息源，例如电话目录存储关于电话用户的信息。在文件系统中，目录存储关于文件的信息。在分布式计算机系统或者象Internet这样的公用计算机网络中，有许多有用的对象，例如打印机、传真机、应用软件、数据库和其它用户。用户希望寻找并使用这些对象。而管理员则希望管理这些对象的使用。术语directory（目录）和directory service（目录服务）指在公用和41、专用网络中的目录。“目录服务”不同于“目录”在于它既是目录信息源，也是使用户可以使用这些信息的服务者。l 为什么使用目录服务目录服务是一个扩展的计算机系统最重要的组件之一。用户和管理员经常不知道他们感兴趣的对象的确切名字，但他们可能知道对象的一些属性。这样就能够查询目录并得到与这些属性匹配的对象的列表。例如，“查找在26楼中所有的双面打印机”，则目录服务将为用户找到所有具有此属性的对象。l 什么是活动目录？活动目录是指Windows2000/2003 Server的目录服务。它扩展了以前基于Windows的目录服务的功能，并增加了一些全新的功能。活动目录是安全的、分布式、可分区和可复制的。它的42、设计保证能在任何规模的安装中正常工作，从只有几百个对象，一台服务器的小系统到拥有数百万对象，上千台服务器的庞大系统它都支持。活动目录增加了许多新功能，这些功能使浏览并管理大量信息变得更容易，为管理员和终端用户都节约了时间。目录服务可以完成下列内容：1. 统一的帐号管理2. 在网络中的多个计算机上分布目录3. 对一个目录进行复制以使其可供更多的用户访问并对故障有抵抗能力4. 将一个目录划分到多个存储当中以使其能够存储数量非常多的对象目录服务既是一个管理工具，也是一个开发者和最终用户的工具。随着网络中对象的数目的增加，目录服务变得越来越重要。目录服务是一个中心，一个大型的分布式系统围绕着它运作。域43、的定义域定义了安全界限。目录包含一个或多个域，每个域均有自己的安全策略以及与其他域的信任关系。域有几个优点：n 安全策略和设置（如管理权利和访问控制表）不会从一个域移至另一个域。 n 向域或组织单位委派管理权限消除了对具有广泛管理授权的大量管理员的需要。 n 域可帮助组织您的网络以更好的反映您单位的组织结构。 n 每个域仅存储该域中各对象的有关信息。通过这样区分目录，Active Directory 可将规模扩展到拥有大量对象。 n 域是复制的单位。特定域中的所有域控制器可接收更改内容并将这些内容复制到域中的所有其他域控制器中。n 单域可跨越多个物理位置或站点。使用单域极大地简化了管理的开销域44、树和树林简介多个域构成树林。域也可合并为称作域树的层次结构。l 域树域树中的第一个域称作根域。相同域树中的其他域为子域。相同域树中直接在另一个域上层的域称为子域的父。具有公用根域的所有域构成连续名称空间。这意味着子域的域名就是添加到父域名中的那个子域的名称。在此例中， 为 的子域及 的父域。 域为 的父域，它也是该域树的根域。域树中的 Windows 2000 域通过双向可传递信任关系连接在一起。由于这些信任关系是双向的而且是可传递的，因此在域树或树林中新创建的 Windows 2000 域可以立即与域树或树林中每个其他的 Windows 2000 域建立信任关系。这些信任关系允许单一登录过程45、在域树或树林中的所有域上对用户进行身份验证。这不一定意味着经过身份验证的用户在域树的所有域中都拥有相应的权利和权限。因为域是安全界限，所以必须在每个域的基础上指派权利和权限。l 树林树林包括多个域树。树林中的域树不形成邻接的名称空间。例如，虽然两个域树， 和 都具有称作 support 的子域，而子域的 DNS 名称为 和 。没有共享的名称空间。然而，树林都有根域。树林的根域是树林中创建的第一个域。树林中所有域树的根域与树林的根域建立可传递的信任关系。在上图中， 是树林的根域。其他域树的根域， 和 ，与 具有可传递的信任关系。对于在整个树林的所有域树中建立的信任关系，这是必要的。详细信息，请参46、阅域信任。树林内所有域树中的所有 Windows 2000 域都共享下列特征：1. 域之间的可传递信任关系 2. 域树之间的可传递信任关系 3. 公用架构 4. 公用配置信息 5. 公用全局编录 使用域树和树林提供了连续和非连续的命名约定的灵活性。例如，如果有多个独立的部门而且每个部门必须保留自己的 DNS 名称，那么这种灵活性非常有用。.2 Active Directory的功能l 数据存储，也称为目录，它存储着与 Active Directory 对象有关的信息。这些对象通常包括共享资源，如服务器、文件、打印机、网络用户和计算机帐户。l 一套规则，即架构，定义了包含在目录中的对象类和属性、47、这些对象实例的约束和限制及其名称的格式。 l 包含目录中每个对象信息的全局编录。允许用户和管理员查找目录信息，而与目录中实际包含数据的域无关。 l 查询和索引机制的建立，可以使网络用户或应用程序发布并查找这些对象及其属性。 l 通过网络分发目录数据的复制服务。域中的所有域控制器参与复制并包含它们所控制的域的所有目录信息的完整副本。对目录数据所做的任何更改都被复制到域中的所有域控制器 l 与网络安全登录过程的安全子系统的集成，以及对目录数据查询和数据修改的访问控制。l 为获得 Active Directory 的所有功能，通过网络访问 Active Directory 的计算机必须运行正确的客户48、软件。对于没有运行 Active Directory 客户软件的计算机，目录的显示形式将与 Windows NT 的目录相似。.3 Active Directory的好处l 信息安全性安全性完全与 Active Directory 集成。不仅可在目录中的每个对象上定义访问控制，而且还可在每个对象的属性上定义。详细信息，请参阅安全性。Active Directory 提供安全策略的存储和应用范围。安全策略可包含帐户信息，如域范围内的密码限制或对特定域资源的访问权。通过组策略设置执行安全策略。l 基于策略的管理Active Directory 目录服务包括数据存储和逻辑分层结构。作为逻辑结构，它为49、策略应用程序提供分层的环境。作为目录，它存储着分配给特定环境的策略（称为组策略对象）。组策略对象表示了一套商务规则，它包括与要应用的环境有关的设置，可确定： 1. 目录对象和域资源的访问2. 用户可使用什么域资源（如应用程序）3. 这些域资源是如何配置使用的例如，组策略对象可以决定当用户登录时用户在他们的计算机上看到什么应用程序，当它在服务器上启动时有多少用户可连接至 Microsoft SQL Server，以及当用户转移到不同的部门或组时他们可访问什么文件或服务。组策略对象使您可以管理少量的策略而不是大量的用户和计算机。通过 Active Directory，您可将组策略设置应用于适当的环50、境中，不管它是您的整个单位还是您单位中的特定部门。l 可扩展性Active Directory 可进行扩展，即管理员可将新的对象类添加到架构中，而且可将新的属性添加到现有的对象类中。例如，您可以为 User 对象添加“Purchase Authority”属性，然后存储每个用户的购买权利限制，并将其作为用户帐户的一部分。可以通过以下两种方法将对象和属性添加至目录中：使用 Active Directory 架构、通过 Active Directory 服务接口 (ADSI) 或者 LDIFDE 或 CSVDE 命令行实用程序创建脚本。l 可伸缩性Active Directory 包含一个或多个域51、，每个域具有一个或多个域控制器，以便您可以调整目录的规模以满足任何网络的需要。多个域可合并为域树，多个域树可合并为树林。目录将其架构和配置信息分发给目录中所有的域控制器。该信息存储在域的第一个域控制器中，并且复制到域中任何其他域控制器。当该目录配置为单个域时，添加域控制器将改变目录的规模，而不影响其他域的管理开销。将域添加到目录使您可以针对不同策略环境划分目录，并调整目录的规模以容纳大量的资源和对象。l 信息的复制复制为目录提供了信息可用性、容错、负载平衡和性能优势。Active Directory 使用多主机复制，允许您在任何域控制器上而不是单个主域控制器上更新目录。多主机模式具有更大容错的52、优点，因为使用多域控制器，即使任何单独的域控制器停止工作，也可继续复制。虽然用户可能没有意识到这一点，但是由于进行了多主机复制，它们将更新目录的单个副本。在域控制器上创建或修改目录信息后，新创建或更改的信息将发送到域中的所有其他域控制器，所以其目录信息是最新的。域控制器需要最新的目录信息，但是要做到高效率，必须把自身的更新限制在只有新建或更改目录信息的时候。在域控制器之间不加选择地交换目录信息能够迅速搞垮任何网络。Active Directory 已经设计成只复制更改的目录信息。进行多主机复制时，可能经常会出现完全相同的目录更改发生在多个域控制器的情况。Active Directory 还设计53、用于跟踪和仲裁对目录的冲突更改，并自动解决几乎所有情况中的冲突。在一个域中配置多个域控制器能提供容错和负载平衡能力。如果域中的一个域控制器变慢、停止或失败，相同域中的其他域控制器可提供必要的目录访问，因为它们包含相同的目录数据。l 灵活的查询用户和管理员可使用“开始”菜单、“网上邻居”或“Active Directory 用户和计算机”上的“搜索”命令，通过对象属性快速查找网络上的对象。例如，您可通过名字、姓氏、电子邮件名、办公室位置或用户帐户的其他属性来查找用户。.4基于AD的IT基础设施基于AD目录架构，我们将构建一个规范的IT基础设施：n 企业级安全：通过提供对安全的Internet标准54、协议和身份验证机制的内建支持，如Kerberos, 公开密钥基础设施（PKI）和安全套接字协议层（SSL）之上的轻便目录访问协议（LDAP）n 企业级管理：统一的桌面管理规划n 企业级服务：提供标准的DHCP、DNS、文件服务等企业服务n 企业级应用开发：提供业务应用的开发平台.5 AD与PKI体系的结合Active Directory支持 Microsoft 证书服务的不同组件，总体来说，Active Directory 具有以下属性： 1. 用作颁发证书、CA 证书和 CRL 的发布点。 2. 存储企业 CA 使用的证书模板。 3. 定义哪些组策略在域中有效，是公钥策略的一部分。 4. 可55、以利用它将证书映射给用户。当用户使用证书向 IIS 验证自己时，首先使用此映射。 4.3.3 AD的物理模型Active Directory的物理模型主要包括Site、Site Link、Site Link Bridge、DC、GC等方面。Active Directory物理模型的规划与实际的网络物理拓扑结构密切相关。.1Site设计简单地说，Site是被一个或多个TCP/IP子网指定的网络中某位置，Site是一个或多个良好连接的TCP/IP子网。其中良好连接批网络连接可靠性高，并且连接速度相当快。.2 Site Link，GC方案考虑到GC可以实现整个森林中所有对象进行快速查询，所有建议在每56、个Site放置一个GC。Site Link是单向的，并不可传递，只用于定义复制拓扑，在所有站点之间均需要建立Site Link。由于Site Link不能传递，如果网络连接带宽有限，我们还需要定义相应的Site Link Bridge，减轻管理压力。.4服务器采用XXX-YYY-ZZZ的形式来命名服务器，三部分的含义为：XXX 表示服务器的地理位置，例如xx为xm。YYY表示服务器的功能，例如邮件服务器为msg，域服务器为dc。ZZZ 代表编号，如果同一地区有同样功能的服务器，可以用不同的编号，例如：01，02第一台服务器可以命名为：gz-dc-01对于用户及机器设备较多的分支机构，建议配置至57、少配置两台DC，这样可以有较高的可靠性和提高系统性能。4.3.4 AD的逻辑模型.1 域模型由于xx市电子政务系统涉及到非常多的部门，有许许多多的网络信息系统。根据上述情况，建议采用单域树多域模型。将整个电子政务网络组成一个“域树”，总部和每个部门（分支）构成一个“域”。在此建议xx市电子政务系统的域树采用下图的模式：.2 OU设计方案在每一个域中按照部门划分为若干“组织单元”即“OU”。OU的设计需要考虑两方面的问题：首先，需要按照管理要求划分OU。例如，可以按照组织机构将整个域划分为层次结构。其次，还需要考虑性能。如果OU的层次过多，会延长用户登录时间。.3 账号管理账号管理可以分为个人账58、号管理、组账号管理和机器账号管理。个人账号管理个人账号可以分为两类： l 第一类为普通账号，采用一人一号的方式，为每一位员工建立自己的账号。当员工加入或者离开时，按照一定的规则增加或者删除用户的账号。l 第二类为特殊账号，通常不属于某一位员工，而是为了满足某些特殊的功能，比如系统管理、匿名访问等等。特殊账号有以下几个：A. Administrator，系统管理员账号，具有最高的权限，可以进行任何管理操作，该账号不能被删除，只能更改用户名。为了提高系统的安全性，建议将管理员账号的用户名更改，比如hqadmin（仅仅是建议，系统管理员可以自行决定）。B. Guest，匿名登录的账号，为了提高系统的59、安全性，建议将Guest账号禁止。C. 服务的账号，在Windows中，每一个服务都需要一个账号，通常这些账号采用系统账号，我们无须关心，但有一些服务需要特殊的用户账号。l 每个个人账号都有一个口令来保护，为了防止口令被盗用和攻击，我们建议：A. 每个账号的口令都不能为空。B. 每个账号的口令都应该不小于六个字符，应该同时包括字母和数字。C. 每个账号的口令都应该有一个有效期，超过了有效期，要求用户重新设置口令，建议有效期为13个月。l 个人账号的命名规则用户名称建议使用中文名，帐户名称为:A. 采用姓名的拼音全称，如有重复则在末尾加用户所在部门名称的首字母，若仍有重复则在末尾加数字以示区别。60、B. 例如：姓名姓名拼音 帐户名张钢(信息中心)Zhang GangZhanggangxx计算机账号管理所有加入到域中的计算机都需要一个计算机账号，通过该帐号，我们可以对计算机的各种配置进行管理。l 计算机账号的命名规则可以采用GZ+固定资产号的方式来命名。组账号管理分组管理是重要而有效的管理策略。在Windows 2000和Windows2003中有三种组帐户：通用组（Universal Group）、全局组（global group）和本地组（Domain local group），全局组可以包括本域的用户帐户（user account），本地组可以包括本域和资源域的用户帐户和全局组帐户，61、通用组的使用则没有任何限制。另外，Windows 2000和2003已经按系统管理的功能组别内置了一些特殊组，也分为全局组和本地组。良好的分组策略可以降低管理的复杂性，避免安全上的漏洞，大大提高管理的可靠性。在此建议采用以下的分组策略：1. 采用Universal Group来进行用户和机器分组。2. 按照地域和部门划分每一个域和OU，都要建立两个组：第一个组包括容器中的所有用户，第二个组包括容器中的所有计算机。这两个组位于相应的容器中。3. 按照职位和职能划分：A. 按照职位分组。B. 按职能分组，例如所有的财务人员，所有的业务人员，所有的科技人员，所有的系统管理员等等。C. 对员工分类，比62、如普通员工，临时员工等等。这些组位于Users中。4. 将上述两个标准结合起来，为每一个容器按照第三条标准分组。 网络服务的设计.1 DNS设计由于DNS已经包含在Windows 2000或2003中，只需要将DNS的部件安装即可使用。DNS的详细规划依赖于Windows 2000/2003的域模型。建议采用作为根域，用于企业的域名解析。域名系统的命名参见活动目录的域命名。域名解析需要满足以下要求：1. 实现Windows的域名解析。2. 对网管中心和各政务部门分支机构的内部服务器分别提供域名解析。3. 域名解析应该可靠、迅速和高效。为了满足以上要求，建议在网管中心部署根DNS服务器；在较大的63、每个分支机构也同样部署1台DNS服务器作为分支机构的DNS服务器，分支机构的客户使用该服务器进行域名解析。所有的DNS都基于AD进行部署，AD可以自动维护在AD域内的服务器的域名解释记录，从而减少维护量。DNS域名数据包含1. 下级域NS记录，每个分支机构为一个子域。2. 服务器主机A记录。3. root caches中的地址记录设为Internet上的根名字服务器。4. 其他由Windows维护的纪录。分支机构的DNS域名数据包含1. 分支机构的服务器主机A记录。2. 其他由Windows维护的纪录。以下是域名解析的示意图：.2 DHCP设计动态主机配置协议（DHCP）是用于管理TCP/IP64、网络的工业标准，可以通过服务器对工作站进行动态的IP地址分配。使用DHCP可以大大减轻系统管理员的工作负担，使其方便地网络工作站的地址进行配置和管理。将DHCP安装在AD域中，可统一管理DHCP服务器，防止非法DHCP服务器在内部网上提供DHCP服务。DHCP与DNS一起使用时，会出现一个问题：主机的IP地址是由服务器动态分配的，在DNS域名数据中无法事先确定主机的IP。动态DNS（DDNS）解决了这一问题。当DHCP服务器向主机发送IP地址后，向DNS服务器发送更新请求，更新该主机的A记录和PTR记录。Windows 2000和2003提供了对DDNS完全的支持。.3 其它服务的设计这些服务65、包括文件服务、打印服务、Web服务和FTP服务等等。l 文件服务文件服务管理MMC管理单元使得可以创建共享和管理位于本地或者远程计算机的会话和连接。它替代了以前系统控制面板应用程序当中的功能。除了它的远程功能以外，它还使得用户能够为来自微软的任意的可安装文件服务：Macintosh文件和打印服务以及NetWare文件和打印服务创建共享。这个工具和分布式文件系统配合起来能够将整个企业内部的共享连接起来形成一个单一的逻辑名字空间（也就是说，用户连接到一个资源就可以访问公布在任意Dfs卷的所有资源）。它还可以和目录管理工具一同使用以便将一个共享作为卷对象发行在活动目录当中，这样用户就可以轻松而且迅速66、地查询到可获得的资源和共享。l 打印服务利用存储在活动目录当中的一个标准的打印机对象，用户可以轻松地跨网络共享和查找打印机。用户可以在网络上按属性，如位置和能力（如图片的对比度）查找打印机。Windows 2000和2003 Server还为常见的网络配置提供了改进的设置工具，因此管理员可以更轻松地设置系统范围的打印机默认值。l Web公布服务Windows 2000和2003 Server内置了Web服务器，为Web上的信息公布和共享提供了一个集成的环境。Windows 2000和2003 Server当中的新的Web公布功能被设计为支持多Web服务器的方案，范围从一个Intranet上的简67、单的Web站点到大型ISP Web主机。Windows 2000和2003 Server当中的Web公布功能：使得在一个基于Web的基础架构上的信息共享和发行更为容易为在单一服务器上多个Web站点的安装提供了一个集成的平台第四节 安全证书服务Windows 2000/2003 PKI 由许多组件组成： n 启用公钥的应用程序和服务。 包括 IIS、IPSec、智能卡登录、EFS、Internet Explorer、Outlook 和 Outlook Express。这些组件互相影响并使用加密安全服务。其中有些还实施密钥管理。它们都是基于标准的，而且能与非 Microsoft 实体交互操作。它们68、从自己的用户或主机存储、Active Directory 和 Exchange 中获得需要的密钥或证书。 n 用户和主机证书存储。 它们存储实体自己的证书（如果有的话）和一个指向持有该私钥的加密服务提供商的指针。它们还存储受信任的 CA 和其他实体的证书。这些证书存储都可用于启用 PK 的应用程序。 n 用于进行证书管理的证书 MMC 管理单元 (MMC Snap-In)。 该管理单元允许用户浏览证书存储、导出私有证书和私有密钥，并使用 Microsoft 企业 CA 实施证书注册。 n 公钥策略。 这些策略指定哪些 CA 证书填充用户和主机存储，并且这些证书如何受到信任。它们还为主机指定自动69、证书注册和续订行为。PK 策略在 Group Policy对象中进行了定义。 n 证书服务。 这些服务允许用户使用企业和独立 Microsoft CA 实施自己的 PKI。企业 CA 向域用户和主机颁发证书，并且在 Active Directory 中发布它们；独立 CA 是可以向任何人（包括非 Windows 实体）颁发任何种类证书的通用 CA。 n Active Directory。 Active Directory 是针对 Microsoft CA 的证书发布点。证书服务使用户可以实施自己的 PKI。Microsoft 证书服务是证书颁发机构服务。其工作是接受证书申请、颁发证书并发布 C70、RL。 存在两种 Microsoft CA：企业 CA 和独立 CA。企业 CA 根据某些 ACL 将证书颁发给域用户和计算机。Windows 2000 服务（如 EFS 和与智能卡的交互式登录）可以使用这些证书，并且可以将它们发布至 Active Directory。独立 CA 是向 Windows 2000 域以外的实体（如其他单位的客户和用户）颁发证书。 这两种 CA 之间的某些差异在它们的策略和退出模块工作的方式上表现得较为明显。在独立 CA 中，用户实际上可以使用自己的模块代替那些模块。例如，您可能想定义一个根据特定规则自动颁发证书的策略。 因为独立 CA 可以向任何种类的实体颁发证71、书（甚至是非 Windows 2000 实体），所以它们更适用于根 CA。因为独立 CA 不需要像企业 CA 那样自动验证请求者，所以它们可以脱机运行。证书模板模板是定义 Microsoft 企业 CA 颁发证书内容的配置文件。其内容包括用户信息，如从 Active Directory 获取的名称和电子邮件地址、过期时间和计划的证书使用。 每个模板都是通过计划使用定义的。例如，称作“User”的用户模板允许它的持有者使用 EFS 来加密电子邮件、签名电子邮件，以及向 Web 服务器验证他（或她）自己。称作“WebServer”的计算机模板允许它的持有者向 Web 浏览器验证它自己。表 6-1 72、提供了一个模板列表。 表：证书模板。 证书模板名称证书用途颁发给用户或计算机Administrator（管理员）代码签名、证书信任列表 (CTL) 签名、EFS、安全电子邮件、客户端身份验证用户Authenticated session（验证的会话）客户端身份验证用户Basic EFS（基本 EFS）EFS用户Computer（计算机）客户端身份验证、服务器身份验证计算机Code Signing（代码签名）代码签名用户Domain Controller（域控制器）客户端身份验证、服务器身份验证计算机EFS Recovery Agent（EFS 恢复代理）文件恢复用户Enrollment Age73、nt（注册代理）证书请求代理用户Enrollment Agent (Offline request) 注册代理（脱机请求）证书请求代理用户 IPSec (Offline request) IPSec（脱机请求）Internet 协议安全性计算机IPSecInternet 协议安全性计算机Router (Offline request) 路由器（脱机请求）客户端身份验证计算机/路由器Smart Card Logon（智能卡登录）客户端身份验证用户Smart Card User（智能卡用户）客户端身份验证，安全电子邮件用户Subordinate certification authority（从属74、证书颁发机构）所有计算机Trust List Signing（信任列表签名）CTL 签名用户User（用户）EFS、安全电子邮件、客户端身份验证用户User Signature Only（仅用户签名）安全电子邮件，客户端身份验证用户Web Server（Web 服务器）服务器身份验证计算机每个域目录林都有一个存储在 Active Directory 中的证书模板集。用户可以使用 Active Directory Sites And Services Snap-In 对它们进行检查。若要进行此操作，启动 Active Directory Sites And Services Snap-In，从视75、图菜单中选择 Show Service Node，展开 Services 节点，展开 Public Key Services 节点，再选择 Certificate Templates，如图 6-1 所示。 每个模板都附有一个 ACL，它指定了哪些用户和计算机可以注册或访问该模板。例如，下图表明所有授权（域目录林）的用户都可以注册 User 模板的证书。不能通过用户界面编辑模板。 图：Ative Directory 中的证书模板。 图：证书模板上的访问控制。 可以将每个企业 CA 配置为只颁发特定模板的证书。例如，您可能想指定一个 CA 只颁发管理员证书。 独立 CA 也有证书类型，但它们不称为76、模板，不能通过用户界面进行检查，并且不附有 ACL。 策略模块CA 调用策略模块来决定证书是应该颁发、拒绝还是标记为挂起等待 CA 管理员的检查。 在企业 CA 上，与 Windows 2000 一起提供的模块将接受用户的证书请求，并且具有对 CA 的读和注册访问权限。企业 CA 的定义特点在于它使用它们的域帐户验证请求实体的身份。默认情况下，所有验证的（域目录林）用户都具有这种访问权限，如图所示。 图 ：企业证书颁发机构的访问控制。 模块然后验证发出请求的模板确实可用于 CA 颁发证书，并且检查用户拥有该模板的注册访问权限。 在独立 CA 上，策略模块将接受用户的请求，并且具有类似于对 CA77、 的访问权限，默认情况下是每个人，包括经验证的和未验证的。默认情况下将请求标记为挂起，或者也可以将它配置为自动颁发。模板没有针对独立 CA 进行定义。 在这两种 CA 上，模块还会使用以下方法将两个 X.509v3 扩展添加到证书上： n CRL 发布点 (CDP) 记录。 这些记录指向 CA 发布其 CRL 的位置。 n 颁发机构信息访问 (AIA) 记录。 这些记录指向CA 证书发布的位置。 这些指针都是 URL 形式的，并且可以指向 Active Directory (LDAP)、CA 的 Web 接口 (http) 或 CA 的共享文件夹（文件），如果在安装过程中进行指定。在形成那些 78、URL 时，使用表 6-2 所示的可替换参数语法。 表：CA 可替换参数。 变量值%1证书颁发机构服务器的DNS 名称 %2证书颁发机构服务器的 NetBIOS 名称%3证书颁发机构的名称 %4证书颁发机构的续订扩展%5Active Directory 中域根的位置%6Active Directory 中配置容器的位置%7证书颁发机构“净化的”名称，截为 32 个字符，并且在尾部有一个哈希 退出模块CA 在颁发证书以后调用退出模块。该模块的工作是在证书请求中指定的位置发布证书，通常企业 CA 在 Active Directory 中，独立 CA 在文件系统中。该模块还负责发布 CRL。 证书颁79、发机构管理单元证书颁发机构管理单元（如图所示）允许用户查看并管理证书和请求、配置 CA 并手动发布 CA CRL。 图：证书颁发机构管理单元。 此管理单元允许用户执行以下操作： 1. 查看吊销的证书并手动发布其 CRL。 2. 查看并吊销颁发的证书。 3. 查看、颁发并拒绝所有挂起的请求。这些请求只有在独立 CA 上是可能的。 4. 查看失败的请求。如果请求者未经授权登录到 CA 的 ACL，其请求即被策略模块或检查挂起请求的 CA 管理员取消。 5. 只针对企业 CA：CA 只允许颁发查看、添加和移除策略设置（证书模板）。用户可以在 Active Directory 中指定给哪些实体颁发哪些80、证书模板。 右键单击 CA 名称，从上下文菜单中选择 Properties，单击 General 选项卡，即可访问如图所示的 Properties 表。 图：Certification Authority Properties 表：常规。 使用该表，用户可以进行以下操作： 1. 查看 CA 常规属性。 其中包括 CA 证书、用于加密运算的 CSP，以及用于签名证书的哈希算法。 2. 配置并修改策略模块。 选项包括在发布证书中包含的 CDP 和 AIA 扩展，以及申请是自动接受还是设为挂起（仅针对独立 CA）。 3. 配置并修改退出模块。 用户可以查看并修改 CRL 发布点，并指定 CA 在何处81、发布证书；这可以在申请中指定。 4. 查看数据存储位置。 包括 CA 的配置数据，存储在 Active Directory 或共享文件夹中。用户也可以查看存储证书数据库和请求日志的文件夹。 5. 在 CA 上设置访问控制。 允许用户指定谁可以管理、注册该 CA 并读取它的配置信息。 6. 通过右键单击 CA 名称，并从上下文菜单中选择 All Tasks，可以执行以下任务： 7. 启动并停止 CA。 这相当于从服务管理单元 (Services Snap-In) 中启动和停止证书服务。 8. 备份并还原 CA。 用户可以选择备份 CA 密钥对、颁发的证书日志和挂起的请求队列。也可以增量备份后两项82、。Microsoft 推荐使用 Windows 2000 Backup 备份整个服务器。如果选择 CA 管理单元进行备份，就应该也使用 IIS 管理单元来备份 IIS 元数据库。（证书服务 Web 接口要求 IIS 元数据。） 9. 续订 CA 证书。 用户也可以选择生成新的密钥对。 第五节 智能卡认证系统Microsoft 将智能卡视为其公钥结构 (PKI) 支持的一个重要组件。智能卡增强了诸如客户身份验证、交互登录和安全电子邮件等仅由软件构成的解决方案。因为下列原因，智能卡是公钥证书和相关密钥的汇合点：: l 提供防篡改存储以保护私钥以及其他形式的个人信息。 l 将包括身份验证、数字签名和83、密钥交换在内的关系到安全性的运算与系统的其他部分隔离开。 l 实现了凭据以及其他私人信息在工作地点、家庭或移动用户的计算机之间的便携性。 智能卡将越来越多地与 Windows 操作系统的新发行版本实现集成。最终的目标是现在需要密码才可以进行的任何操作将来都可以使用智能卡。 Microsoft 出于以下几点鼓励采纳和使用智能卡： l 硬件互操作性-鼓励智能卡读卡器和智能卡与计算机之间实现接口的标准模型。 l 应用程序互操作性-提供独立于读卡器和智能卡的 API，实现应用程序对智能卡的支持。 l 开发人员支持-为软件开发提供熟悉的工具。 l 对 Windows 的全方位支持-为所有 Windows84、 操作系统提供智能卡支持。 硬件互操作性确定读卡器和智能卡与计算机接口的标准模型的出现规范了不同制造商生产的卡片和读卡器之间的互操作性。过去，缺乏互操作性是智能卡在欧洲以外采用缓慢的一个主要原因。 在智能卡和读卡器互操作性方面的主要标准是为接触式集成电路卡制定的国际标准化组织 (ISO) 7816 标准。这些规范主要说明了物理、电气和数据链路层的互操作性。这些标准已经集成到了下列主要议案中： l Europay、MasterCard 和 VISA (EMV)-1996 年，EMV 定义了基于 ISO 7816 的智能卡规范，它主要针对金融服务业。 l 全球通 (GSM)-欧洲电信业采用 ISO85、 7816 标准作为其智能卡规范，用来识别和验证移动电话用户。 虽然这些规范是朝着正确的方向迈出了一步，但是每个规范的级别都太低或太局限于特定应用程序而无法获得广泛支持，不能解决应用程序互操作性问题。1996 年由包括 Microsoft、Hewlett-Packard、Schlumberger 和 Gemplus 在内的计算机和智能卡公司组成了 PC/SC Workgroup，开发能够解决这些问题的规范。 1997 年 12 月发布了规范的版本 1.0，并且已经赢得了广泛的业界支持。Microsoft 通过在网站上发布用于 Microsoft Windows 95、Microsoft Win86、dows 98、Microsoft Windows Millennium Edition (Me) 和 Microsoft Windows NT 4.0 的智能卡基本组件的免费下载来支持该规范。Windows 2000 中包括了智能卡组件。 应用程序互操作性独立于设备的 API 让应用程序开发人员可以不必考虑当前与今后实现上的差异。从应用程序开发人员的角度来看，有三种可能的智能卡程序设计机制： 1. Microsoft Win32 API 2. CryptoAPI 3. SCard COM 机制的选择取决于应用程序的类型和特定智能卡的功能。 l Win32Win32 API 是用来访问智能卡的87、基本级别 API。有效使用 Win32 API 需要完全理解 Windows 操作系统和智能卡。这些 API 为应用程序控制读卡器、智能卡和其他相关组件提供了最大的灵活性。对于要在最大程度上控制应用程序使用智能卡的方式的开发人员，对基本 Win32 API 的这种扩展为管理与智能卡设备的交互提供了必要的接口。 l CryptoAPICryptoAPI 是 Microsoft 的加密 API.CryptoAPI 设计用来抽象诸如加密算法等加密功能的细节，以便使应用程序能够利用“可插入式”加密。这是通过将 API 层叠在称为加密服务提供程序 (CSP) 的可替换加密模块上实现的。CSP 可以只包括88、软件，或者它们可以是基于硬件的解决方案的一部分，在该解决方案中加密引擎在智能卡上，或在另外一件连接到计算机的硬件上。 在 Microsoft 的智能卡访问模式中，智能卡 CSP 与特定类型的智能卡相关联，提供了通过 CryptoAPI 暴露的加密函数与可以通过 Win32 智能卡 API 访问的低级别命令之间的映射。因此，智能卡 CSP 能够指示智能卡完成特定的加密操作。在 Windows 2000 中，Microsoft 提供了两个智能卡 CSP 支持各种不同 Gemplus 和 Schlumberger 智能卡。其他供应商也为他们自己的智能卡开发了智能卡 CSP。 l SCard COMS89、Card COM 是由 Microsoft 提供的非加密接口实现，用于从不同语言（诸如，C、Microsoft Visual C+、Java 和 Microsoft Visual Basic 等）编写的应用程序访问基于通用智能卡的服务。 SCard COM 通过支持特定接口的服务提供程序将智能卡的非加密服务暴露给应用程序。智能卡接口是由一套预先定义的服务、调用服务所必须的协议以及与服务环境相关的前提条件组成的。这在概念上与 ISO 7816-5 应用程序标识符相似，但是在范围上与后者不同。 智能卡可以通过与接口的全局唯一标识 (GUID) 相关联来注册对接口的支持。.卡于接口之间的这种绑定是在90、卡首次进入系统时，特别是首次安装服务提供程序时实现的。在将智能卡引入系统后，应用程序可以搜索基于特定接口或 GUID 的智能卡。例如，通过注册接口以访问钱包方案，现金卡能够用于基于 Windows 的应用程序。 作为 Smart Card Base Components 1.0 发行版的一部分，Microsoft 发布了几个基本级别的服务提供程序，它们能够执行诸如卡位置、命令和回复 APDU（应用程序协议数据单元）管理和卡文件系统访问等通用操作。Microsoft 提供的服务提供程序是作为 COM 接口对象实现的，能够让软件开发人员和智能卡供应商开发高级别的服务提供程序以及应用程序。 软件开发91、人员可以使用诸如 Visual C+ 和 Visual Basic 等标准开发工具开发可以用于智能卡的应用程序和服务提供程序。 开发人员支持对 CryptoAPI、Win32 的支持，尤其是对 SCard COM 的支持，使独立于智能卡及读卡器的应用程序和服务提供程序的开发成为可能。通过使用诸如 Visual C+ 和 Visual Basic 等标准开发工具，可以让这些应用程序和服务提供程序具有智能卡功能。 Windows支持前面已经提到，可以从 Web 免费下载用于 Windows 95、Windows 98、Windows Me 和 Windows NT 4.0 的 Microsoft 92、Smart Card Base Components 1.0。还可以获得对 Microsoft Windows CE 3.0 的支持。将基本组件集成到 Windows 2000 操作系统中可以实现对诸如登录等公钥服务的支持。第六节 服务提供层通过增强客户身份验证和安全消息发送等仅有软件参与的解决方案，Windows 2000/2003中的智能卡使应用程序能够在蓬勃发展的全球数字经济中适应更多的未来机会。智能卡为应用程序开发人员提供了一种安全机制，该机制能够完善企业和消费者解决方案。服务提供层包括系统提供的公共服务和针对业务的特定应用服务。系统服务包括：n 客户身份验证n 公钥交互登录n 安全电93、子邮件n 信息权限管理n 其它系统服务应用服务包括：n 门禁管理系统n 食堂管理系统n 联网收费系统n 其它应用服务客户身份验证客户身份验证涉及向服务器表明和验证客户端身份以建立安全的通信通道。诸如安全套接字层 (SSL) 或传输层安全 (TLS) 等安全协议通常是与客户端提供的受信任公钥证书一起使用的。该证书可以向服务器标明客户端身份。例如，客户端可以是运行在 Windows 上的 Microsoft Internet Explorer，服务器可以是 Internet Information Server 或其他支持 SSL/TLS 的 Web 服务器。 安全会话是通过交换密钥使用公钥身份验94、证，以得到一个唯一的会话密钥，然后将其用于确保数据在整个会话中的完整性和保密性而建立的。可以通过先前建立的访问控制特权，将证书映射到用户或组帐户来实现附加的身份验证。通过起到私钥材料安全存储和用于执行数字签名或数字交换操作的加密引擎的作用，智能卡增强了公钥身份验证过程。 公钥交互登录过去，交互式登录意味着通过使用某种形式的凭据（例如，散列运算后的密码）将用户对网络进行身份验证的这一能力。通过使用存储在带有私钥的智能卡上的 X.509 版本 3 密钥，Windows 2000 支持公钥交互登录。用户不输入密码，而是将个人识别码 (PIN) 输入到图形身份识别和验证 (GINA)，然后 PIN 将95、用户的身份对卡进行验证。 用户的公钥证书是从卡上通过一个安全的过程检索到的，然后经过检验被证明有效而且是来自受信任的签发人。在身份验证过程中，将基于证书中包含的公钥将一个质询发送到智能卡。该质询验证智能卡是在相应的私钥控制下，并且可以成功地使用此私钥。 在成功地完成对私钥和公钥对的验证后，将使用证书中包含的用户身份来引用存储在 Active Directory 中的用户对象以构建令牌或将一个“通信证已获得通知”(TGT) 返回给客户端。公钥登录已经集成到了 Kerberos 版本 5 的 Microsoft 实现中，它可以与在 IETF 草案 RFC-1510 中制定的公钥扩展相兼容。 安全电96、子邮件安全电子邮件是另一个更让人兴奋的具有公钥功能的应用程序，因为它允许用户通过保密的方式共享信息，并且让用户确信在传输过程中维护了信息的完整性。使用 Microsoft Outlook Express 或 Microsoft Outlook，用户可以选择使用由受信任证书颁发机构签发的公钥证书来进行数字签名和对安全邮件进行解密。通过将用户的密钥发布到企业或 Internet 上的公共目录中，公司中的或 Internet 上的其他用户可以将加密的电子邮件发送给该用户，反之亦然。 智能卡增加了安全电子邮件应用程序的完整性，因为它可以将私钥存储在卡上，受到 PIN 的保护。要想攻破私钥并以其他人的名97、义发送签名电子邮件，用户必须获得智能卡和 PIN。信息权限管理信息权限管理（Information Rights Management，IRM）是一项持续存在的文件级技术，旨在保护文档和电子邮件信息免受未经授权的访问。IRM将Windows Rights Management Services（权限管理服务）的范围延伸到了Microsoft Office 2003 应用程序和Microsoft Internet Explorer之中。微软的IRM可以使用基于目录服务的CA证书任何规模的组织都需要保护重要的数字信息，以避免由于疏忽引起误操作以及被恶意利用。此外，信息窃取行为的不断增多以及对保护数98、据的立法呼声的高涨，使得如何更好地保护数字信息这一需求变得更为强烈。数字内容的类型可能包括信息门户中的动态且由数据库驱动的报告、机密的电子邮件、战略计划文档、军事防御报告以及其他敏感的政府文件等。现在，使用计算机来创建和处理以上类型的敏感信息的情况越来越多，通过专用网络和公共网络（包括 Internet）扩大连接也日益普及，而计算设备的功能正愈来愈强大，这一切都使得保护组织数据成为必需的安全事项。IRM对一种被称作Windows 权限管理（Windows Rights Management）的关键Windows 平台技术进行了扩展。权限管理是Windows 的一种信息保护特性，它可以与应用程序99、相配合，对机密和敏感的企业信息加以保护-无论这些信息被发送到什么地方。作为对用户所提出的改善内容保护要求的响应，Microsoft将权限管理设计为一个可扩展的平台，可以集成到Office 2003以及各种第三方应用程序之中。IRM是一个策略工具，在对有权使用文档的人员和文档的使用目的进行控制的同时，允许用户对文档进行共享和通过电子邮件发送文档。因为IRM保护随着文件移动，所以该技术可以保护文档或者电子邮件，无论这些信息移动到什么地方，访问限制始终附加在信息之上；即便是文件被发送到了防火墙的外部也是如此。但是，IRM并不是一个安全特性。在用户被授予了有限制的权限之后，应用程序UI和对象模型还会应100、用剩余的其它限制。和其它策略工具一样，这些限制不能防止任何形式的滥用现象发生。 有两种方法能够启用Office 2003中的IRM功能。对于本身没有运行Windows权限管理服务的家庭用户或组织机构来说，Microsoft已经提供了一个服务。通过结合使用Passport身份验证和该服务，这些用户可以利用关键IRM特性保护他们的敏感信息的安全。另一种方法要求在组织的计算基础结构中配置RMS，以便实现Office 2003所包含的所有IRM功能。第七节 桌面管理系统设计设计方案在此方案中我们提出了两级管理中心的概念。第一级位于网络中心，具体实现桌面目录、桌面管理、信息安全和管理监控功能。第二级管理101、中心有多个，分布在计算机相对集中的各政务部门内部网络中，负责本地的桌面系统管理的功能。桌面管理在构建过程中应充分总结和利用以往信息化建设取得的经验和教训，统一规范、统一标准、统一编码、统一上报信息、统一管理关键指标体系。软硬件配置标准化实施桌面计算机软硬件配置标准化主要针对以下问题：n 桌面计算机用户随意安装软件带来的潜在的软件法律风险和信息安全的隐患 ；n 桌面计算机硬件采购的随意性带来的配置超过需求，增加了企业成本；n 桌面计算机系统软硬件的不统一带来的支持维护工作量增加；n 多种硬件配置，多种软件版本为信息安全管理带来了很多问题，增加了信息安全的隐患；n 软件版本的升级以及关键更新很难统102、一、有效地管理和实施。n 另一方面，桌面计算机软硬件配置标准化还可以带来其他一些好处：n 统一软硬件配置，实现集中采购可以进一步降低采购成本；n 缩短桌面计算机故障维护时间，从而减小对员工办公的影响，提高员工的工作效率；n 减少因为桌面计算机配置原因而导致的时间、效率、资源的损失；n 增强桌面计算机安全性保护；n 降低IT维护部门的运营成本；n 提高员工服务满意度。桌面计算机软硬件标准化工作具体包括：n 桌面计算机软件配置标准化n 桌面计算机硬件配置标准化.1桌面软件配置标准化确定统一的桌面计算机软件配置标准，其内容包括规范化、正版化桌面计算机操作系统软件、办公系统软件、杀毒软件等多种允许在桌103、面计算机上安装和使用的软件种类和版本。建议选定Microsoft Windows XP 中文专业版为的桌面计算机操作系统标准，选定Microsoft Office 2003 中文专业版作为桌面计算机办公软件标准。同时，制定有关的桌面计算机软件配置规范，限定内部人员允许在桌面计算机上安装和使用的软件。跟随软件技术的发展和更新以及内部软件使用需求变化，会对桌面计算机系统软件标准作适当调整，以满足业务发展的进一步需要。.2桌面硬件配置标准化确定统一的桌面计算机硬件配置标准，其内容包括规范内部桌面计算机硬件使用的最小配置要求和新购置主机的配置范围。硬件配置标准的制订将参照各个岗位所使用的应用系统以及各104、应用系统的资源、配置要求，充分考虑未来几年的发展趋势，并适当考虑不同职位的要求。具体内容有三点：1. 综合考虑桌面计算机硬件现状和信息化发展的要求，规范内部桌面计算机硬件使用的最小配置要求；2. 规范新购置主机的硬件配置标准。依据“从实际出发，满足工作需要”的原则，根据内部使用桌面计算机员工的职位级别和工作类型等多方面因素，制定相应的桌面计算机硬件配置标准，内容包括台式机、笔记本电脑和打印机；3. 每年或半年更新桌面计算机配置标准中的内容。桌面计算机硬件配置标准产生之后，所有的新办公硬件系统的购置和升级将严格按照标准执行，最终实现桌面计算机硬件配置标准化。桌面目录.1部署活动目录的意义目录服务105、在企业IT系统结构里是基础架构中的一个重要的组成环节和基础服务。部署目录服务有如下几点重要意义：1. 集中统一用户的身份标识2. 强化IT运维能力，提高IT管理能力。当前绝大多数网络桌面计算机并没有加入活动目录中强化管理，整体部署活动目录可以利用强大的集中管理工具如组策略和管理模板增强IT管理的手段和能力；3. 建设企业目录服务标准，该目录服务成为今后企业IT系统建设的核心身份管理平台。.2活动目录（桌面目录）部分的建议方案在桌面安全管理系统的建设中，目录服务同样作为支撑服务保证桌面管理各模块的功能，包括，资产管理、补丁管理，接入控制，Internet访问控制等等。整体方案如下图所示： 根据微106、软多年来在目录服务设计上的经验，为了支撑企业桌面目录功能的实现，我们设计的方案中在网络中心一级管理中心部署活动目录服务器两台，各二级管理中心分别部署两台目录服务器。每个管理中心的活动目录服务器互为备份，负责实现本地用户的身份标识、验证和授权。桌面管理（资产、软件和补丁分发、桌面远程管理）建立内部的桌面管理中心可以统一对桌面计算机硬件、操作系统、以及应用系统客户端的管理。通过桌面计算机标准化的实施，可以极大地提高系统维护管理的效率，降低维护成本，提高系统安全性。可以集中实现的桌面系统管理功能有：n 补丁（也可称作更新）管理：桌面计算机操作系统的版本更新，可采用集中管理、集中分发的方式实现。这可以107、大大减少桌面维护人员的工作量，也减小了桌面管理、维护方面的支出；n 软件分发管理：功能和上述补丁管理想类似。只不过是对于包括办公软件和更新以及应用系统客户端的安装和更新在内。保证了内部各种软件的版本统一，提高了工作效率；保证了各种新业务系统、应用系统的推广工作。n 资产管理：定期统计、汇总内部各种Windows平台桌面计算机资产的使用情况，产生统计报告。还可以及时发现非法软件的安装和使用，以便及时采取措施，一方面可以减小相应的法律风险；另一方面又可以减少安全隐患，提高系统安全性。资产管理包括：u 硬件资产管理u 软件资产管理n 远程支持：实现对故障桌面计算机的远程诊断。一方面可以提高对员工的及108、时响应，提高员工的工作效率和对IT服务的满意程度，另一方面也可从某种程度上减小了IT维护人员的工作量。n 软件度量:本方案同时具有对于软件使用频率的统计分析能力。下面将详细叙述补丁管理、软件分发、资产管理、远程支持四个部分的功能和实现方法：.1补丁管理在Windows平台的安全管理中，如何快速有效的管理补丁分发是一个很重要的环节。补丁管理方案包括有两个方面，针对桌面的补丁管理和针对服务器系统的补丁管理。桌面系统的补丁管理通常意义上的桌面系统补丁管理的方式有以下两种手段：n 用户自助。用户通过客户端工具检查需要的更新，从微软补丁网站下载软件进行安装。管理员通过电子邮件通知用户及时安装安全补丁。n109、 系统自动更新。用户无需参与，实现系统自动的检测、自动分发和安装。桌面系统的补丁类型有：n 操作系统补丁。及时安装操作系统更新补丁，避免成为黑客和病毒的攻击对象。n 应用程序的补丁。及时安装应用程序的补丁，减少安全隐患，增加应用程序稳定性和功能。应用程序包括了Office的补丁和其它专用应用程序的补丁。服务器系统的补丁管理服务器系统是运行核心业务应用的服务器，因此，对服务器系统的补丁需要经过评估对现有系统的影响，避免出现业务系统故障。服务器系统的补丁需要利用自动检测技术，通过人工的评估，再实现自动分发和手工安装。服务器系统补丁类型有：n 服务器操作系统补丁。在评估更新对系统的影响后，有选择的更110、新服务器的操作系统补丁。n 服务器应用软件补丁。在评估应用软件更新对现有系统的影响后，有选择的更新服务器应用软件。从目前的信息技术环境来说，桌面计算机系统为微软的Windows平台，信息系统采用较多的微软的技术和平台，例如Windows 2000/2003的操作系统、SQL Server、Exchange Server和活动目录技术等。在这里谈到的补丁管理不仅仅涵盖Windows平台桌面计算机的补丁管理，同时还包括了Windows平台服务器的补丁管理。.2软件分发目前的桌面计算机软件安装主要通过人工安装，这种方式一方面费时、费力；另一方面很难实现软件版本统一，最终造成安装、支持复杂，管理成本高111、等问题。软件分发工具可大大提高企业桌面计算机管理的自动化程度，提高管理效率。此外，自动化的工作流程还可以避免人工操作带来的风险，使企业的桌面计算机上的资产得到更好的保护。通过软件分发的机制，可以实现桌面计算机标准化支撑平台内部多种软件分发的功能，其内容包括：n 软件分发：通过软件分发机制，从桌面计算机标准化支撑平台将软件分发到指定的桌面计算机和支撑平台内部指定的服务器，消除对桌面计算机和服务器的访问等人为因素导致的错误。 n 完整的清单信息：通过使用完整的、最新的硬件和软件清单信息，保证软件只被安装在兼容的系统上。精确的清单信息使得软件分发更加可靠、更加精确。 n 基于规则的软件分发：根据管理112、员制定的规则制定软件分发策略，在规则中可以动态的添加和删除机器、用户或者用户组，这种方法降低了管理负担。软件的安装和删除都随在活动目录中的用户和计算机加入或退出管理组自动完成。 n 预定软件发布：管理员可以通过工具指定在某一特殊时间部署应用程序，这样可以避免网络堵塞，或者在一定的时间之后分发软件，以确保用户在使用前已得到相关培训。 n 软件、应用安装：提供安装工具，支持管理员重新打包或更改信息，编写脚本，为任何基于Windows的应用程序创建包。无需编程的专业知识即可实现软件的高效分发。 n 无人值守的软件安装：通过软件分发工具安装系统可以不需要用户值守，也可以允许权限较低的已登录用户使用管理113、员的权限安装软件。n 完整的状态信息：报告软件安装和操作系统升级的状态，这样管理员可以知道软件是否已经正确安装。.3资产管理资产管理主要解决桌面计算机资产信息的管理，以及实时监测桌面计算机资产的使用情况等等多方面的问题。桌面计算机资产管理包括：n 硬件资产入库： 硬件资产信息入库和管理；保管人名下的桌面计算机资产入库和管理；不在硬件资产清单中的桌面计算机信息；部门桌面计算机信息；应淘汰的桌面计算机资产列表；桌面计算机配置差异对比工具等等n 此外在桌面计算机硬件资产信息中，可以根据需要包含如下桌面计算机信息：管理编号、座位号码、资产编号、启用日期、部门编号、员工编号、使用年限、当前上线使用情况等114、等。n 软件资产入库： 软件产品的入库和管理；软件产品的安装数目；部门软件产品的使用情况；不在软件资产中的软件清单；n 配合桌面计算机资产管理功能的报表n 变更控制：桌面计算机硬件变更发生时的控制，包括告警管理员，与管理数据库进行相应信息的修订在这里谈到的资产管理不仅仅涵盖Windows平台桌面计算机的资产管理，同时还包括了Windows平台服务器的资产管理。.4远程支持不论是在一级管理中心还是二级管理中心，桌面计算机都是由相对应的管理中心提供支持服务的。对于一些空间距离远离管理中心的用户来说，当桌面计算机系统发生故障时，难以获得及时地响应和支持，对工作造成很大影响。此外支持维护人员可能要到故115、障现场去进行检查、修复，即费时、费力，也提高了维护成本。方案中的管理中心为系统管理员提供了丰富的远程诊断、远程帮助工具，使得系统管理员能够对异地的桌面计算机系统进行远程诊断、修复。一方面缩短了对桌面计算机系统故障的响应时间和修复时间，提高了桌面计算机用户的办公效率，也提高了用户的满意度；同时，也极大地降低了IT人员的维护工作量。管理中心针对用户维护包含了多种手段：n 当异地用户的桌面计算机出现问题时，系统管理员可以通过SMS中的Remote Chat工具（远程交流）异地的桌面计算机用户进行沟通，以及时地了解情况，进行故障诊断并采取对应措施n 进一步地，系统管理员可以通过Remote Contr116、ol工具（远程控制）对异地的桌面计算机系统进行远程操作，象在现场一样通过鼠标、键盘对异地的桌面计算机系统和文件进行操作。可以进行异地桌面计算机系统的硬件、软件的故障分析。n 系统管理员可以通过Ping Test工具（远程网络检测）检查异地桌面计算机的网络连接情况。n 系统管理员可以通过Remote File Transfer工具（远程文件传输）把异地桌面计算机系统上的日志文件等信息拷贝到本地进行进一步的分析，以找出故障原因。在异地桌面计算机系统文件损坏或丢失的情况下，也可以通过该工具将所需文件传输到异地桌面计算机，从而快速地修复系统。n 当系统管理员对异地的桌面计算机系统进行远程修复或修改配置117、时，可能需要重新启动异地桌面计算机系统，这时可以通过Remote Reboot工具（远程启动）对异地的桌面计算机系统进行关机和重启的操作。.5桌面管理部分的建议方案我们推荐采用的解决方案不仅能够提供应用软件分发，补丁分发功能，还可通过与IT资产管理、远程控制、桌面计算机自动安装等方案集成，从而为组织提供全面的生命周期管理解决方案。具体方案如下图：数据中心将在一级管理中心中建成具有资产管理、软件和补丁分发以及远程控制功能的中心站点(Central Site)，其他等地建成主站点（Primary Site）。此方案可使整个桌面管理系统具有高度灵活的可扩展性，在必要时可以将任何一个二级管理站点提升成118、为中心站点。数据中心作为中心站点，将部署一台微软System Management Server 2003(SMS 2003) 服务器作为整个系统的中心指导枢纽。二级管理站点也将部署一台SMS 2003 服务器作为当地的管理中心。补丁分发和软件分发的管理策略可由中心站点下发到整个电子政务网络的所有二级管理中心中。每个二级管理中心也可以有自己的管理策略。此外，二级管理中心收集的数据（如资产统计的数据）会自动的备份到中心站点，对于最后收集到中心站点的所有数据可以周期性地送到后端数据仓库中，以便日后进行分析。信息安全.1层次化的安全防御系统建立深度防御以使安全得到最大程度保护。我们推荐考虑采用深度防119、御的思想建立层次化的安全防御系统。深度防御是一种多层方法，它对资源应用多个策略以保护其免受外部和内部威胁。深度防御有时被视为深层安全性或多层安全性，深度防御是描述安全性对策（用于形成一个具有凝聚力的安全性环境）层级的术语。深度防御策略部署包括全方位的保护性措施，从外部路由器直到您资源的所在位置以及两者之间的所有位置点。部署多层安全性可以保证在某个层受到损害时，其他的层仍能够提供所需的安全性用于保护您的资源。例如，损坏组织的防火墙并不能使攻击者不受限制地访问组织最敏感的数据。理想情况下，每一层都应提供不同形式的安全对策，以阻挡在多个层中使用的同一种攻击方法。主要包括有物理层、边缘层、网络层、主机120、层、应用层、数据层防御。.2接入控制接入控制主要解决桌面计算机对于网络资源的使用问题。网络资源包括局域网络和VPN网络。网络资源是承载所有信息化应用的平台，这个资源的合法合理使用，有利于保证整个信息化系统的正常运转。在目前的网络资源使用中，有如下突出问题需要解决：n Internet访问控制；n VPN接入控制。员工通过VPN网络使用企业信息化应用时，往往使用笔记本或者家庭中的计算机，这些计算机如果没有防病毒软件以及及时补丁的保护，会造成病毒从VPN网络攻击到内部信息化应用；n 邮件病毒和垃圾邮件n 桌面资产访问许可：外来计算机使用网络资源，例如外来办事的人员随意使用局域网资源；n 病毒桌面隔121、离。属桌面资产的计算机在使用网络资源时，感染病毒，并且成为病毒源，利用局域网络大量发送病毒信息，干扰正常的网络资源使用；Internet访问控制内部桌面用户对网络的使用不只是局限于内部局域网，还需要通过外部网、互联网访问其它应用。商务互联网应用对网络的响应速度提出了更高的要求。在现有的条件下，考虑在内部实现安全、高效、可控的互联网访问速度，也是重要的任务。建议如下安全解决方案：n 建立基于应用层的安全防火墙；n 建立、健全网络访问监控机制；n 完善网络入侵检测系统；n 构建病毒过滤网关防护机制；采用的互联网安全和加速（Internet Security and Acceleration，ISA122、）服务器可实现上述功能，并同时提供访问代理（Proxy）和网站缓存服务（Web Cache），且有良好的扩展性。VPN接入控制桌面能够接入VPN网络的条件是，这台桌面正确的安装了相应补丁，安装了防病毒软件，并且没有感染病毒，这样的严格要求能够最大化的减少因为VPN接入带给办公网络的安全风险。VPN接入控制需要在VPN服务器端提供支持。其技术方案如下图：VPN接入控制在客户端需要进行脚本的定义和开发，可以根据安全规范的要求定义出客户端脚本的需求。VPN接入控制的脚本也需要考虑用户的使用体验，不能够过于复杂影响客户端接入到内部网络的时间。邮件病毒和垃圾邮件控制高性能的内存扫描目前防病毒软件采用的技123、术存在着防护滞后、大量占用网络及系统资源，效率偏低等问题。而真正意义上的实现内存扫描，是解决这一系列问题的关键所在。内存扫描技术 内存扫描流程图上图为Antigen通过监控SMTP，在内存中对通过SMTP网关的所有信息，进行病毒扫描及垃圾邮件判断。Antigen独特的内存中扫描功能，大大减少了传统防病毒软件中的引擎大量重复无意义的扫描工作，提高了服务器和网络性能；且真正实现了在内存中处理病毒事件，缩短了引擎单个处理染毒文件的时间。信任扫描动态改进大型企业部署中的性能和可扩展性。可置信的扫描可实现-由一个服务器（或客户机）进行的扫描受信于另一服务器（或客户机），从而避免环境中多余的、CPU密集型124、扫描。若不同域上的服务器都部署了Antigen，可将这些域互相设置为信任域，从而避免同一个文件被Antigen的同一机制重复扫描的情况。在大型机构中，局域网内部邮件占日常邮件的绝大多数，其重复扫描的工作量非常之大，启用信任扫描，可很大程度上减轻各服务器出入站的扫描任务。前置防护与传统扫描技术相比，Antigen在邮件未抵达邮箱之前，在内存中进行分析和处理，真正意义上实现了病毒的预防而非仅仅依赖诊治。多引擎扫描机制微软公司与多家著名防病毒厂商合作，集成了多达5个性能卓越的反病毒扫描引擎，从而以5倍于单一引擎产品的性能优势，确保Antigen对邮件环境最为抢先的、积极主动的可能的保护。引擎偏好设置125、允许管理员根据其在最优化扫描器可信度或CUP性能方面的要求，定制Antigen的运行。集成的引擎分别来自诺曼公司（Norman Data Defense）、计算机联盟（CA）、Sophos和卡巴斯基（Kaspersky），所有引擎在权威引擎评测机构VirusBulletin100%的历次测试中，都居于领先地位。蠕虫清除器目前在邮件病毒中呈上升趋势的蠕虫病毒家族，因为它具有极强的自我复制能力，自我传播能力（自带SMTP服务），破坏能力（瞬间产生大量数据垃圾可导致服务器瘫痪），且因其区别于传统病毒的独立性、攻击性和普遍性，对于蠕虫病毒的防治是所有防病毒软件必须面对的重要课题。与其他防病毒产品试图对126、蠕虫感染文件进行修复的处理方式不同，Antigen对蠕虫病毒的处理方式简单而有效，即由引擎判断为被蠕虫病毒感染的文件，直接删除，决不允许被感染文件进入邮件系统的环境。由于蠕虫病毒本身及被其感染的文件数据毫无价值的数据垃圾，故没有任何保留的必要。此功能最大程度上降低了因防病毒软件在蠕虫爆发时，不断使用引擎进行扫描、修复作业而产生的大量占用服务器CPU资源及网络带宽的问题，极大的有助于提高网络性能。将危险的蠕虫阻挡于网络之外。 高效的防垃圾邮件技术Antigen的SpamCure引擎专门设计为过滤垃圾邮件，其判断率为95%以上，误判率为1/100000。内容过滤允许组件系统过滤不需要的消息内容，过127、滤内容和附件将与消息剥离，并被删除。发送通知，隔离被删除文件。可进行过滤设置的文件类型包括：黑/白名单（Allowed/Rejected Mailhosts） 信任/阻止的主机；n RBL 使用免/收费RBL名单过滤垃圾邮件；n Sender-Domain 根据发送者域名过滤；n Subject Line 主题行文字过滤；n Message Body 邮件正文关键字策略。桌面资产访问许可桌面资产允许访问网络资源，例如，可以使用代理服务器访问Internet，可以访问邮件服务器收发邮件，可以访问企业门户、办公自动化等等企业应用，可以访问网络打印机进行打印等等。而非桌面资产的计算机连接到局域网络上128、，不可以访问这些网络资源。网络资源的访问许可控制有两种技术实现，一种是802.1x 网络认证；一种是IPSec安全网域的隔离；802.1x从网络层面解决桌面资产的标识和认证，其技术实现拓扑结构如下图：在这样的技术方案中，需要部署802.1x支持的网络交换机，以及部署Windows 2003服务器平台内置的Radius服务器，还包括为每台桌面部署计算机证书，为每个用户部署用户证书。部署计算机证书和部署用户证书可以采用目录服务的策略进行自动分发，前提条件是，在一个可联网的环境中将两个证书分发，然后，将桌面下发给用户使用。802.1x技术解决方案从网络层面解决问题，但是它的缺点是，需要采购高成本的网129、络交换机和部署客户端证书的工作相对复杂。另一种技术方案是采用IPSec通道在实际网络中组建逻辑上的安全网域，其技术实现如下图：安全域的建立是由IPSec通道组建的，IPSec通道的部署可以通过目录服务的策略进行下发，只要是加入到目录服务域中的桌面都实施此策略，即建立IPSec通道，加入到安全域，从而可以访问网络资源，如电子邮件服务、企业门户、办公自动化等等。安全域策略的下发前经过测试，然后大规模部署。病毒桌面隔离一旦桌面感染病毒，桌面系统就可能成为一个病毒源感染其他桌面，或者通过大量发送数据包影响局域网络的正常运行，从而造成用户无法使用网络资源。病毒桌面的隔离需要两个方面的技术保障，一方面是快130、速定位感染病毒的桌面，另一个方面是从网络连接上迅速隔断病毒桌面。这两个方面共同构成了病毒桌面隔离的解决方案。定位感染病毒的桌面可以通过多种手段，比如，通过网络监控设备监控局域网交换机的各个端口，一旦发现流量异常即进行报警，通知管理员，也可以通过安全扫描程序，定期扫描网络上的桌面系统状况，如果发现感染某种病毒的桌面系统，即进行报警，通知管理员。隔断病毒桌面的技术手段是通过定位获得了病毒桌面的局域网络交换机的端口号，然后通过SNMP指令向局域网交换机下达关闭的指令。当病毒桌面被网络隔离后，用户即会找到网络管理员，寻求帮助，网络管理员可以协助用户检查病毒感染情况，必要时重新安全操作系统，然后开启网络131、端口。信息安全中接入控制部分的建议方案为了支持Internet 访问控制和VPN接入控制，我们建议设计实现给予微软Internet Access Accelerator 2004(简称ISA 2004)服务器实现上述解决方案。在一、二级管理中心中部署ISA 2004服务器，监管本地Internet连接和企业内部网络间连接。上述方案具有的能力如下：1. 和活动目录集成的能力，实现用户验证和日志功能；2. 借助于ISA 2004本身带有的本地缓存能力，节省网络带宽并提高浏览器效率；3. 对应用层高级保护。可以保护本地资源，阻止可能的攻击行为。此外还可以实现应用过滤如P2P软件或公网实时交流（Pub132、lic Instant Messenger）软件的通讯；4. 保护本地的ISP连接；5. 保护VPN具有本地的隔离功能。为了支持防治邮件病毒和垃圾邮件控制，我们建议部署微软公司Antigen的解决方案。部署模块包括Antigen For SMTP 和Antigen For Exchange分别部署于SMTP 收发邮件服务器和Exchange服务器上。此用此方案可以实现东风邮件整体的防治邮件病毒和垃圾邮件控制。请参考附录3.8 邮件病毒分析、附录3.9垃圾邮件分析和附录3.10防病毒及垃圾邮件解决方案的组成及功能.3内容安全“信息权限管理（IRM）”技术使得工作人员能够更好地控制自己的信息。信息133、权限管理允许用户定义谁有权利访问和使用其文档或电子邮件，同时可以保护数字化智力财产不受非法的打印、转发或复制。如：对文档内的编辑权限和内容进行保护，使得文档拥有者可以定义谁才能对文档做出更改。信息权限管理功能可以针对特定的文档限制使用剪切、复制、粘贴、打印、拷屏和电子邮件转发等操作，使得企业和员工可以更好地控制和保护他们那些有价值的信息财产。信息权限管理可以和企业目录系统集成，比如部门领导可以下发一个重要邮件给这个部门，同时部门人员在接收邮件时只可以阅读，不能转发、打印、粘贴、拷屏等操作。Office 2003文档可以在每一用户或每一组人员（基于组的权限要求组扩展“活动目录”）的基础上进行保护134、。根据文档主人所定义的角色（查看者、回顾者或编辑者），每一个用户或工作组都被赋予一组权限。根据收件人的角色的不同，IRM将会禁用某些命令。文档主人还可以禁止打印和设置截止日期。截止日期过后，文档将无法被再打开。如果被保护的文档被转发到未授权的收件人，要求附加权限的错误消息将和文档主人的电子邮件一起出现。如果文档主人决定不包含电子邮件地址，那么未授权收件人将只能收到一个错误消息而已。使用Word 2003, 管理员或是有经验的用户可以创建一个模板或建立一个拥有一组特定格式的文档。使用Word的“格式锁定”功能，用户就可以保证只有这些特定格式的才能被使用。所有的直接格式将被禁用。这使得复杂文档在被135、多个人所编辑的时候可以保持结构化的格式不变。实现目标信息权限管理的建设目标如下：n 保护重要电子文档不被转发、复制和传阅n 保护文档关键内容在收发文过程中不被修改内容安全建议方案内容安全架构信息权限管理的技术架构应建立在整体目录结构基础之上。各管理中心部署一台微软Right Management Service（RMS）服务器和相应的数据库服务器。当地的“信息权限”文件的传递由当地的RMS服务器提供，各政务部门与网络管理中心“信息权限”文件的传递及鉴权通过各自的RMS服务器完成。管理监控.1技术目标在网络中心和各个分支点建立桌面管理监控中心，对整个电子政务系统范围内的桌面计算机进行集中管理、维136、护和支持。在管理中心通过集中的管理监控系统，还可以集中监控、管理用于搭建桌面计算机支撑平台的各种应用服务器。通过建设管理监控系统，技术上可以实现：n 系统、服务的实时监控；n 及时报警，以便及时发现系统故障隐患，尽快采取措施解决；n 生成各种统计报表，为IT系统规划提供有力支持。通过该管理监控系统的使用，可以达到如下目的，n 提高系统管理的水平；n 及时发现系统各种已经显现出来或潜在的故障问题，及时响应，保证关键系统的运行，提高IT部门的业务支持能力；n 可以提高工作量，降低IT维护人员的工作量，将IT资源分配到有效提高企业业务能力的工作中。在各管理监控中心，对全部管辖范围的桌面计算机系统进行137、集中管理、维护和支持。在管理中心，通过集中的管理监控系统，可以集中监控、管理基于桌面计算机支撑平台内的各种应用服务器。通过桌面计算机管理监控系统的使用，可以：n 提高系统管理的水平；n 及时发现系统各种已经显现出来或潜在的故障问题，及时响应，保证关键系统的运行，提高IT部门的业务支持能力；n 还可以降低IT维护人员的工作量，减少IT管理人员数量的要求n 通过管理监控系统，具体可以实现以下功能：n 系统、服务的实时监控：通过对Windows平台和Windows平台上应用系统的事件、健康情况、性能状况的监控，可以实现对管理范围内的重要事件信息的捕获、评估并及时呈现给系统管理员，让系统管理员可以及时138、做出反应，尽快解决各种潜在的隐患，不至于影响关键应用的正常运行。n 及时报警：当管理系统捕获、评估各种事件后，可以通过预先配置的手段及时报警，通知系统管理员。报警的手段可以是多种多样的，像呼机、手机、短信等，非常灵活。n 知识库支持：管理系统通过内置的职能知识库系统帮助系统管理员根据发生的事件尽快诊断出问题所在，以便对症下药，解决问题。同时，还可以不断完善、丰富知识库内的内容，以提高IT管理的水平。n 报表生成：管理系统提供智能和灵活的报表生成功能，它预制多个针对系统、应用系统和IT环境的报表模板。这些模板涵盖了常用系统监控、操作报告、系统规划、性能分析图表和应用有关的资源、流量和可用性监控。139、而且报表也可以灵活定制，生成满足企业不同级别管理人员要求的报表。n 应用系统集成：管理监控系统针对常用的系统预制了Management Pack，可以提供针对这些系统的管理模板。.2管理监控部分的建议方案在本期项目中，在网络管理中心内建立基于Microsoft Operations Manager 2005 (MOM 2005)的管理系统，可以集中监控、管理基于桌面计算机管理平台内的各种应用服务器。具体管理方式上，一级监控中心管理节点负责管理、监控一级管理中心内的系统，各二级管理中心的管理节点负责管理、监控二级管理中心内的系统。此方案可使整个管理监控系统具有高度灵活的可扩展性，被控服务器缺省会140、将被管理和监控的信息送到本地二级管理中心的MOM 2005服务器上，在必要时也可以将被管理监控的信息送到数据中心的一级管理中心。此外，二级管理中心收集的被管理监控数据会自动的备份到一级管理中心，对于最后收集到一级管理中心的所有数据可以周期性地送到后端数据仓库中，以便日后进行分析。管理规范、标准及流程缺少对最终桌面计算机操作的管理可能会对各政务部门业务开展、信息系统的运行等产生直接影响。为了有效地管理IT资源的使用，有效地实施最终用户管理，完成本项目桌面计算机安全管理的目标，有必要针对IT桌面计算机的管理制定一系列管理制度，内容包括规范、标准和流程。桌面计算机管理制度应参考国际流行的IT管理最佳141、实践方法制定。图10 .1管理制度内部定期进行桌面计算机安全管理规范检查。要求对桌面计算机用户进行定期培训，内容根据最终用户操作管理政策的更改及时更新。桌面计算机用户管理规范包括如下主要内容：1. 终端设备使用职责；2. 安全保密规范；3. 知识产权相关规定；4. 身份识别相关规定；5. 终端设备使用安全区域；6. 桌面和屏幕管理规范；7. 终端设备及信息媒介的使用与处置规范；8. 操作系统使用规范；9. 电子邮件使用规范；10. 互联网访问和使用规范；11. 恶意代码和计算机犯罪防御。内部定期盘点硬件及软件资产，并在信息技术软件资产数据库内准确记录有关资料，同时应包括记录最终用户所要求的软件142、及检测实际的安装情况。参照国际流行的IT管理最佳实践方法，在桌面计算机管理的建设原则指导下，最终完成适合的一整套完善的桌面计算机运维支撑管理流程，实现桌面计算机服务体系的搭建和管理。完善如桌面计算机特殊软件的申请流程、桌面计算机软件系统介质测试流程、桌面计算机硬件更换标准及流程、桌面计算机维护流程等多种满足桌面计算机系统运行管理需求的流程，以达到对桌面计算机服务体系的管理和桌面计算机标准化的目的。第五章 项目的运行维护和培训第一节 项目运行维护我们在长期的系统集成和产品销售过程中，不断建立和完善了一套有效的技术支持与服务体系，为确保向广大用户提供优质服务打下了坚实的基础。良好的技术支持和服务体143、系是系统得以充分发挥作用的必要条件，是保护建设投资的基础。在此就我们的服务和支持体系及内容作以介绍。 项目质量保证流程我们在项目质量保证、维护及服务方面建立了一套管理制度，积累了丰富的经验，我们拥有多名高水平专业从事软件开发和计算机网络的技术人员，在系统设计及系统配置上具有较为雄厚的实力，在项目管理和实施方面，具有一套完善的质量保障流程。方案设计根据用户的需求设计方案，体现方案的科学性;方案确定后出具规范项目实施方案;项目开工前审核设计方案与实施方案的一致性和合理性;项目开工时积极与用户方合作，实施对项目的监督。在每个子系统完工后，都要进行内部的验收，并进行该子系统的测试工作，在本子系统完全合144、格后才能进行后续子系统的安装和实施。最后，我们在整个项目完工、测试、和开通后，将为用户提供详细的项目文档及完善的培训工作。 全方位的服务架构安装调试: 严格按国家标准和规范实施，地线系统、保护系统、电源系统等等;系统培训:定期举办各种高级软件及系统安装、调试、维护使用的培训班;服务备份:常年有各种备件和备机，确保对服务实现的承诺;服务品质:用户保修卡/用户档案/定期巡回访问。服务时间:严重事故本市2小时，外埠24小时到达现场。 全方位的服务流程 售后维护和服务一、预防性维护1应急机动性维护客户的设备信息将被加客户服务数据库中，我们负责在设备进入故障期及面临可预知故障或病毒威胁之前，通过传真、电145、子邮件等书面方式提醒并提供给客户预防告警及解决问题的方案方法，排除故障隐患。2更新升级服务我们获得任何最新产品动态（新的产品功能、软件的升级与更新版本）和最新的问题解决方案时，都将在第一时间以电话、传真、E-MAIL等形式及时告知客户，使客户可以随时知道设备相关软件以及服务的最新动态，以便客户及时作出对现有产品的改进决策。我们与产品厂家同步，及时提供产品更新与升级服务，客户可根据情况选择是否更换新的版本，以保证软件产品功能的不断完善，提高系统的运行效率。二、电话支持服务提供热线电话支持服务。对用户的软件使用、产品技术问题等进行相关诊断，并在电话支持可解决的前提下，协助与指导用户方技术人员进行故146、障排除；并将诊断结果和技术说明以书面（传真、E-MAIL）方式提供给用户方。三、现场支持服务现场维修设备服务服务涵盖范围之内的产品在使用过程中发生故障，并且技术人员无法在远程进行故障排除时，我们提供现场维修服务。即：工程技术人员到达设备所在地，对设备进行维修。但如果存在某些特殊的故障，确实无法现场解决时，经客户同意，我们将产品取回维修，并在最短时间内修复后派遣至产品所在地。现场帮助当客户面临设备安装、转移、软件升级等工作无法正常完成时，我们将到达现场协助客户完成工作。现场支持服务注意事项现场维护服务：由于客户没有按照正常操作规程而产生的设备人为损坏，以及由于客户没有或没有及时对我们提供给您的预147、防性维护项目及意见做出响应而造成的设备损坏，由客户承担因维修或更换设备而产生的成本费用。四、响应速度提供日夜7*24小时服务电话，收到紧急事故报警时，在4小时内响应，并在24小时内修复或提出修复建议；特殊情况24小时内无法修复的，将在一周内排除故障。第二节 系统培训 培训目的及要求1、为了保证所开发的系统能良好运行 ，将为客户培训一批质量合格的维护人员和少量高级工程技术人员、管理人员。2、维护人员经培训后应能熟练地掌握系统软件维护工作，并能及时排除大部分的故障。3、高级工程技术人员培训后， 除应能熟练地掌握系统软件维护工作外， 还应掌握操作系统命令，具备系统管理的能力。 培训方式培训计划我们将148、对用户进行技术培训，内容主要包括:系统操作使用:系统的安装，维修;故障的诊断及处理等，并提供相关培训资料。培训时间培训分为3个阶段:第一阶段:系统安装前进行为期1天的预培训第二阶段:系统安装结束时进行现场1天的现场培训第三阶段:系统运行后进行为其35天的高级培训 培训教材 培训用教材包括系统的安装测试和操作维护技术资料。我们提供培训人员有关资料。对培训人员的要求被培训人员应有很强的责任感，工作态度认真负责。培训后，应能独立操作系统软件，能熟练地掌握系统维护方法，并能及时排除大部分的故障，或配合技术人员，通过电话指导，在本地作故障检测。运行维护技术人员经培训应能进行日常维护运行工作，能熟练地排除149、系统故障，熟练地管理系统，分析系统故障等工作。高级工程技术人员培训后，除熟练相关的系统的操作维护以及管理软件系统外，还应具备管理系统的能力。管理人员(领导人员)经过培训可以负责全面的技术管理工作。第六章 项目建设组织实施和进度安排第一节 项目实施策略平台建设采取统一建设，分步实施的策略。下表中总结了本方案所描述的建设目标，同时还包含了第一期工程中实施的内容。序号项目大类子项目说明1活动目录用户管理2身份认证安全证书服务平台（CA）智能卡系统3桌面管理桌面目录补丁管理软件分发资产管理远程支持接入控制内容安全管理监控管理规范、标准及流程第二节 项目组织结构及规划项目总体负责人组织结构图技术支持项 150、目 经 理客户工程师质量管理负责人系统开发负责人漫测试人员测试工程师维维护人员文文档管理系系统管理员程程序员系系统设计员系系统分析员组织结构边界划分和接口确定整个项目组织结构的构建，根据该项目的特点及实际需要，旨在满足用户对项目的需求（已明确的需求）和期望（未明确的需求。项目组内部由项目经理领导，下设系统开发小组和质量管理小组，系统开发组负责项目的需求调研、系统分析、设计、编码、文档编制。质量管理小组对软件开发过程进行全程监控和度量，并由此来保证软件产品的质量。系统开发小组和质量管理小组具有管理的独立性，各由一人负责，两个负责人都不能越权管理另一组。项目组对外需和客户工程师、技术支持进行协同工151、作，相互之间直接沟通，出现问题由项目总体负责人进行协调。项目职责项目组的组成和管理职 位主 要 职 责人员项目总体负责人对项目总体负责，负责同客户的沟通，项目组同客户工程师、技术支持的协调。1项目经理领导项目的计划、组织和控制工作，以实现项目目标。负责同用户保持紧密的联系与沟通，各阶段评审的组织工作。1技术支持提供技术支持，确定系统技术方向和整体结构。数据库管理与优化。2系统开发负责人负责项目的需求调研、系统分析、设计、编码、文档编制。1系统分析员用户需求调研、跟踪、管理，系统分析，形成系统分析报告。1系统设计员提供概要设计原型，系统架构、模块接口、开发规范、关键技术的把握，形成概要设计报告。152、系统开发阶段的技术指导；集成系统。1程序员系统详细设计，各模块代码及文档编制、美工。3质量管理负责人对软件开发过程进行全程监控和度量，并由此来保证软件产品的质量。1测试工程师编制测试计划、设计测试用例，集成测试。1测试员模块测试，包括代码和文档，跟踪模块开发进度，统计模块测试结果。2维护工程师参与系统开发，熟悉系统全貌，对正式运行后的系统进行维护。2系统管理员配置管理。1文档管理员各类软件开发文档的管理；1第三节 项目进度计划在开发过程中，考虑到电子政务信息安全平台各个子系统之间的相互关联性，在进行需求调研、系统分析和概要设计时注意相互之间的协调。1.1 项目计划作为xx市电子政务系统信息安全153、项目的第一期，微软企业技术支持服务将首先帮助在xx市政务信息中心的网络管理中心和7个区政务信息中心的网管中心（二级中心）中部署活动目录和SUS，项目进度预算共需6个月，项目进度中的正常变更控制在1-2周以内。下表为整个工程的阶段划分及实施进度。：时间关键任务2007年4月30日前项目整体方案审核定稿2007年5月31日前完成活动目录需求整理和全局规划设计2007年7月15日前完成活动目录在网络管理中心和2个二级中心的部署2007年8月30日前完成活动目录在余下5个二级中心的部署2007年10月1日前1 对活动目录运行状况进行监测和支持2 就项目后期实施提出解决方案和服务建议1.2 实施风险分析154、需要根据实际项目的需求来确认风险分析；微软企业技术支持服务的引入将可以大大降低项目实施（包括技术开发风险、部署风险和系统运行风险）的风险。1.3 工作量评估在项目期间，微软企业技术支持服务将负责系统整体规划设计、服务器端部署以及部署后技术支持等工作，为了降低整体实施成本，建议由相关的微软合作伙伴进行客户端部署工作。微软企业技术支持服务预计需要耗用的工作量如下表所示：活动目录服务平台工作量估算表工作项目预计工作量活动目录需求和系统现状调研和分析10人天 活动目录整体规划设计15人天 活动目录测试环境部署10人天部署活动目录服务器：网络管理中心10人天 SUS服务器设计和部署10人天试运行总结及设155、计文档修订10人天对客户端部署提供支持10人天编写活动目录客户端配置文档10人天组策略配置、定制和管理10人天 登录脚本编写和测试10人天 部署活动目录服务器：二级管理中心（每个中心1人天）10人天性能基准测定和优化10人天系统安全审计15人天就项目后期实施进行需求分析病提出解决方案和服务建议10人天技术支持事件10个事件合计150人天+10个事件统一身份认证服务平台（CA）工作量估算表工作项目预计工作量统一身份认证需求和系统现状调研和分析10人天 CA整体规划设计15人天 测试环境部署10人天部署证书服务器：网络管理中心5人天 智能卡系统设计和部署10人天试运行总结及设计文档修订10人天对客156、户端部署提供支持10人天编写客户端配置文档10人天策略配置、定制和管理10人天 登录脚本编写和测试10人天 系统安全审计15人天就项目后期实施进行需求分析病提出解决方案和服务建议10人天技术支持事件10个事件合计135人天+10个事件桌面管理系统工作量估算表工作项目预计工作量桌面管理系统需求和系统现状调研和分析10人天 桌面管理系统整体规划设计15人天 桌面管理系统测试环境部署10人天部署桌面管理系统服务器：网络管理中心10人天 试运行总结及设计文档修订10人天对客户端部署提供支持20人天编写客户端配置文档20人天策略配置、定制和管理10人天 性能基准测定和优化10人天部署桌面管理系统服务器：157、各区信息中心（7个二级中心）20人天就项目后期实施进行需求分析病提出解决方案和服务建议10人天技术支持事件10个事件合计155人天+10个事件第七章 项目投资概算第一节 投资估算依据投资估算依据：通信建设工程投资结算指标，产品厂家报价及市场折后价，软件开发工作量及费用标准。测算方法如下：设备购置费：设备购置费包括国内设备和进口设备两种，统一按人民币结算。系统软件（操作系统、数据库系统等）的购置费：按主流产品价格和Licence估算。软件研发及实施费：根据实际开发工作量及相关费用估算。需求调研、系统培训、专家评审费用；包括考察调研费、实施方案编制费、方案评审费、操作人员培训费和专家鉴定费等。其他158、：包括耗材或不可预见费用。第二节 第一期资金预算第一期资金由硬件、系统支撑软件和应用软件开发三部分组成。硬件需要资金 万元，包括CA证书服务器、各一级中心和各二级中心的活动目录服务器和桌面管理服务器。系统支撑软件主要是指微软System Management Server 2003(SMS 2003)及用户许可，ISA Server2000 及用户许可，Microsoft Operations Manager 2005 (MOM 2005)及用户许可等系统软件，需要资金 万元。系统实施费用需要资金 万元。具体资金预算情况如下。 硬件资金预算服务器硬件资金预算表（单位：万元）序号项目配置说明硬件159、单价数量硬件总价需要安装的微软软件1身份认证服务器2微软System Management Server 2003(SMS 2003) 服务器，（网管中心）3微软System Management Server 2003(SMS 2003) 服务器，（二级中心）4微软Microsoft Operations Manager 2005 (MOM 2005) 服务器，（网管中心）5微软Microsoft Operations Manager 2005 (MOM 2005) 服务器 ，（二级中心）6智能卡和读卡器7。合计系统支撑软件资金预算系统支撑软件资金预算表（单位：万元）服务器套数CPU单价CA160、L单价总价备注合计1217.50912系统开发、实施资金预算系统开发、实施资金预算表（单位：万元）项目名称开发费用所用微软产品合计第八章 项目保障为了进一步提高IT系统运维水平，我们结合国际先进的运维方法（ITIL-Information Technology Infrastructure Library和微软公司IT运维方法Microsoft Operation Framework，简称MOF），并且针对实际情况，提出如下的IT系统运维方法。该IT系统运维方法是由三个模型组成，这三个模型分别为：团队模型、过程模型和风险控制模型。通过这三个模型，结合有效的风险控制，就能够有效地进行IT系统运行161、和维护工作。这些经验和准则在实践中被证明是十分有效的。第一节 项目保障方法简介ITIL被认为是全球范围内IT运维管理方面权威和有效的理论和方法基础，ITIL起初在20世纪80年代后期由英国OGC (UK governments Office of Government Commerce)部门发起，发展至今基本上已经成为IT运维管理的通用标准。ITIL的发展和标准的制定过程中吸取及融合IT行业主要厂商的经验和方法，其中Microsoft 是参与ITIL标准和指南制定的最重要厂商之一。ITIL 核心指南主要分为两大类：服务支持类和服务交付类，下图描述了这两类指南的说明。 Microsoft 操作框162、架 (MOF) 是实践经验、原理和模型组成的集合。它能够提供全面的技术指导，以实现关键任务生产系统的可靠性、可用性、可支持性和可管理性。 MOF 是组成企业服务框架 (ESF) 的三个框架之一。每个 ESF 框架都针对信息技术 (IT) 生命周期中一个不同但完整的阶段。每个框架都提供关于要在其所在领域内成功地运行所需的人员、流程和技术的详细信息。另外两个 ESF 框架是 Microsoft 准备就绪框架 (MRF) 和 Microsoft 解决方案框架 (MSF)。下图说明 ESF 的三个组成框架。第二节 IT系统运维团队模型IT系统运维团队模型是IT系统运维方法的一个核心模型。该团队模型基于163、这样一个概念：各个IT系统运维小组必须实现一定数量的关键质量目标才能成功。这些目标有助于定义 IT系统运维中各个小组的职责。这些目标是： n 恰当地控制发布和更改管理，对所有 IT 服务和系统进行准确的跟踪。 n 物理环境和基础架构的管理，平衡成本与技术的要求。 n 提供高质量的客户支持和服务，以及快速解决问题。 n 可预测、可重复和自动的日常系统管理。 n 加强企业信息安全，建立信息安全保障体系。 n 管理合作伙伴和外部供应商提供的外部技术支持和服务。IT系统运维团队模型的6个角色与上述的关键质量目标相对应。该关系如下： 质量目标小组角色恰当地控制发布和更改管理，对所有 IT 服务和系统进行164、准确的跟踪发布和配置管理小组物理环境和基础架构的管理，平衡成本与技术的要求基础架构小组提供高质量的客户支持和服务，以及快速解决问题支持小组可预测、可重复和自动的日常系统管理操作小组加强企业信息安全，建立信息安全保障体系安全小组管理合作伙伴和外部供应商提供的外部技术支持和服务供应商管理小组该IT系统运维团队模型的示意图如下所示：第三节 IT系统运维过程模型IT系统运维过程模型是将IT运维这一复杂的过程简化为一个易于理解的框架，并且该框架的原理和实践也易于组合与应用。该过程模型主要基于以下四个方面进行考虑： n IT 服务管理应该具有生命周期。 n 该生命周期由一些可以同时运行的系统运维工作组成。165、n 每个运维操作必须进行严格的审阅。 n IT 服务管理涉及企业的方方面面。 由此，IT系统运维过程模型包含四个完整的阶段。它们是： n 更改 n 操作 n 支持 n 优化 这些阶段构成了一个螺旋式的生命周期，可以应用于特定的用途，例如数据中心（IDC）。 每一阶段都以一个特别制定的审阅标志为结束，以评估前面阶段的操作效果。这些阶段与其指定的审阅标志结合，共同运作以满足信息系统运维的目标。下图说明了该IT系统运维过程模型，以及生命周期阶段每一阶段审阅和IT 服务管理概念之间的关系。此图描述了连续的螺旋式生命周期中相连的每一个 IT运维阶段。第四节 IT系统运维风险管理任何一个IT系统运维在执行166、的过程中都有可能出现一些意外的情况，或许是技术上的、或许是资源方面也可能是时间安排上的问题。因此在IT运维方法中包含了风险管理计划。风险识别和管理计划从运维进程模型的第一个阶段就开始介入。风险管理强调的是防止风险的发生和减少风险的损失，而不是在风险发生之后的补救措施。该风险管理方法和项目管理方法中的风险管理方法一致。IT系统运维的风险管理应该包括信息系统可用性、可靠性、可维护性等风险管理，信息系统的数据备份风险，容灾系统风险等方面。运维部门应该制定信息系统的紧急应变计划和方案，并且对该方案进行试验，同时定期对风险报告进行审核。第九章 项目效益分析第一节 社会效益分析xx市政府与微软(中国)有限167、公司共同签署xx市人民政府与微软（中国）公司合作谅解备忘录，微软公司将加大与xx有关部门的合作力度，包括合作开展信息技术人才培养，参与信息化规划，为电子政务、电子商务、企业信息化和信息化教育培训提供技术支撑。基于此背景下与微软（中国）合作建设xx市电子政务系统信息安全平台也就具有特别的意义。一、为xx市电子政务建设提供了安全高效的技术保障在电子政务建设中，安全是一个至关重要的问题。电子政务网络承载政府内部办公业务系统，涉及党和国家秘密同时电子政务作为政府对广大企业和公民的一项公共服务，一旦出现事故将会造成较大的负面效应，影响政府的威信。因此建设统一的电子政务网络信息安全平台，可以为xx市电子政168、务建设提供安全高效运行的网络保障，具有非常重要的社会意义。二、有利于xx市电子政务建设向更高的层次推进随着xx市电子政务建设的推进，不同政府部门间通过电子政务网络进行信息共享和业务协同的力度大大加强，政务信息资源目录体系和交换体系已经提上了政府信息化的议程，这一切都对电子政务的信息安全提出了更高的要求。只有对原有的信息安全体系进行优化和升级，规划和建设一个集身份认证、权限管理、网络安全和系统安全等于一体的完备的统一的信息安全平台，才能为xx市电子政务从深度上和广度上的大力推进提供充分的安全保障。三、有利于引进先进技术，为xx电子政务建设培养一支信息安全技术人员队伍根据xx市人民政府与微软（中国169、）公司合作谅解备忘录的精神，微软将对xx市电子政务信息安全平台提供技术支持和咨询。引进微软的先进技术，并通过参与电子政务信息安全平台的调研、建设、实施和技术培训，对我市各政务部门培养一支政治可靠、技术精湛、作风优良的内部信息安全技术人员队伍，提高信息安全水平等方面将起到积极的推进作用。 第二节 经济效益分析一、有利于提高电子政务信息安全平台建设的投入产出比电子政务信息安全的建设和实施是一个系统的、复杂的工程，引进微软的先进技术和成功经验，针对xx市电子政务系统的现状，提出一个切实可行、经济高效的解决方案，采取分期逐步推进的策略，可以使我们少走弯路，在较高的起点上以较小的资金和人员投入，取得更好170、的效果，在较短的时间内迅速提高电子政务系统的安全水准。二、有利于从整体上降低电子政务系统建设的资金统一规划和建设电子政务信息安全平台，可以避免各个部门各自为政和重复建设，从整体上看采用微软技术将降低电子政务系统信息安全平台建设的费用，将较大幅度的减少我市电子政务系统信息安全建设的资金投入，同时也可以避免在某个部门或某个环节出现安全漏洞，导致整个电子政务系统存在着较大的安全风险。三、有利于xx市网络信任体系的建设信托电子政务信息安全平台项目，建设一个高标准、高质量xx市数字证书认证中心（简称xxCA），为全市的非涉密电子政务、电子商务和其他网上业务提供数字证书颁发、管理和认证工作，构建以身份认证、授权管理、责任认定为主要内容的全市网络信任体系，从而推进整个xx市的信息化应用水平。