[关键词]服务器托管 图书馆 网络布局
[中图分类号]G250.7 [文献标识码]A
随着科学技术的飞速发展,计算机技术在社会各领域得到广泛应用,作为社会的教学、科研中心的高等院校,受到新技术的冲击尤为突出。其中表现为高等院校的办公、教学、科研、服务等各部门都从无到有地建立了不同领域的、功能完备的专业计算机数据库和网络服务系统。这些系统在极大地推动高等教育发展的同时,因存在数据库的重复建设也浪费了大量资源。服务器托管应运而生,在对高等院校的各专业数据库系统进行优化整合的同时也影响着其发展方向,作为高校重要支柱之一的图书馆也发生了重要变化。
一、高校服务器托管的定义。
高校服务器托管是指将校内所有的服务器及相关设备托管到具有完善机房设施、高品质网络环境、丰富带宽资源和运营经验以及可对用户的网络和设备进行实时监控的网络数据中心内,以此使各系统达到安全、可靠、稳定、高效运行的目的。托管的服务器由不同部门自己进行维护,或者由其它的授权人进行远程维护。
二、服务器托管对图书馆产生的有利影响
1.节约了成本。通过统筹规划,图书馆与校内其它部门可以不必重复购买相关设备和建立专业的机房,为高校节省大量资金。作为高校的文献信息中心,大多数高校图书馆都有自建机房,除了初期建设需要投入较大的资金购置软件和硬件,还要支付日常维护和设备更新费用。而托管方式则比较经济,高校中心机房根据应用需要统一调配服务器、网络带宽等资源,规范化的机房配备完善的电力、空调、监控等设施保障应用服务器的正常运转,优化配套软硬件资源,集中高水平的技术维护人员,最大限度地避免了重复建设和人才浪费。
2.稳定性和安全性。集中建设的标准化的机房环境,提供大型不间断及备用电源系统,提供24小时恒温恒湿空调环境,不会因断电或湿度过高等因素而影响服务器的正常工作。统筹规划的网络设计,使网络负载均衡,可最大限度地保证网络畅通及稳定。运行于网络上的服务器,存在着安全隐患,人为的恶意攻击或者一些病毒的传播可导致服务器的系统崩溃,影响图书馆文献管理系统的正常运行。集中管理的机房有完备的安全设备,实行全网段硬件防火墙接入,对全网段内服务器都可以起到及时的监控和预警作用,及时发现问题,修复系统漏洞,对单个服务器防护解决受攻击问题。
3.简化了工作流程。图书馆自建机房管理方便,使用自由,可以随意调配使用自己的服务器及软、硬件资源,但技术支持需要自己提供,出现任何问题都必须自行解决,需要配备一定数量的高水平技术人员来保证系统的正常运行。服务器托管之后虽然有一定的限制,硬件维修和部分技术支持均由托管机房工作人员提供,这部分原属于图书馆的工作发生了转移,解放了部分工作人员。
三.服务器托管对图书馆产生的不利景响及对策
1.服务器的使用限制。托管的限制比较多,服务器的使用大多时候只能用远程管理的方式,系统维护和数据传输只能通过网络来实现,所以管理使用起来比较麻烦,尤其是数字资源本地镜像需要长时间地传输大量数据,这种局限性更为明显。通过一希时间的实践,个人认为解决或弱化这一局限性的前提是增加托管中心与图书馆之间的网络带宽,如服务器非虚拟机之类的逻辑服务器,可与托管中心协调,直连服务器传输数据可达到最佳效果;如服务器属逻辑服务器,在增加网络带宽的情况下,在图书馆和在托管中心传输数据效果相差不明显,可选择用户认为最方便的方式。
2.图书馆文献管理系统安全隐患增加。图书馆的文献管理系统原属图书馆内部的业务管理系统,运行于图书馆内部局域网。服务器托管之后,改变了这种状况,把图书馆的业务网络扩大至整个校园网络,服务器和业务终端直接面对整个校园网络,遭受网络攻击的可能性大大地增加了,如有跨校区的主要图书馆和分馆有网络业务直连,系统和数据安全威胁更高。主要的解决办法是提高服务器的安全级别,尽可能多地增加不同时段的数据异地备份,及时修补服务器和业务终端的系统漏洞,尽可能降低零日漏洞的威胁。
3.服务器存放位置的变化导致图书馆业务调整出现偏差和认识误区,最突出的表现为:在图书馆看不到那么多服务器及存储等网络设备,也就不需要技术维护人员,认为技术维护人员的工作没有必要了。产生这种认识误区的根源在于没有分清图书馆业务和托管中心业务的界限。一般来说,托管中心只是负责硬件设备(主要是服务器和存储等设备)及软件操作系统维护,图书馆具体业务及相关服务系统的维护、开发工作还是由图书馆的技术人员来负责完成,配备技术维护人员和提高技术维护水平仍是图书馆现代化建设的重要基础和前提。
四.结束语
图书馆服务器托管的目的是为了将服务器及相关设备托管到具有完善机房设施、高品质网络环境以及可对网络和设备进行实时监控的网络数据中心内,以此使图书馆的各个应用服务系统达到安全、可靠、稳定、高效运行的效果,综上所述,服务器托管这一布局方式对图书馆来说有利也有弊,但同时可采取措施减小不利影响,所以服务器托管对高校图书馆来说是种性价比很高的网络布局方式。当然并不是说服务器托管或者自建机房是高校图书馆网络布局的最佳模式,最终要依据图书馆各自的实际情况,综合资源、经费、人员数量和技术水平以及信息服务模式等方面的因素,来选择最适合自己的模式。
参考文献:
[1]王怪峰.新型托儿所──小议服务器托管[J].计算机周刊.2001(13).
以往,许多大型企业都有企业网站,但随着信息化技术的发展,小微企业对网络应用也越来越普及,许多小微企业也接入了Internet网,业务与办公已离不开网络,为了更好的开展业务,做好产品的宣传,许多企业申请了域名,创建了企业网站。由于许多企业对网站安全的了解不深,许多企业都将网站放在了自己的服务器上并托管在电信或联通机房,找人架设了网站企业之后,并没有专门的安全维护人员,由于种种原因,企业网站安全表现在以下多方面(1)内容被篡改,挂上了其他不良信息;(2)网站被挂了木马或其他黑客程序,自家的服务器被黑客用于攻击他人的主机。这些事情发生后,往往给企业的形象、对外宣传造成了负面的影响,也给企业客户带来不好的印象,严重的可能会造成业务损失或其他的法律赔偿,企业网络管理工作面临巨大的压力,采取必要的正常措施、避免类似问题的出现,是每个企业网站需要考虑的问题。
随着虚拟化技术的出现,为企业提供网站安全解决方案不再限于使用传统解决方案,采用虚拟化解决方案带来更多的优点,本文从传统方案的不足、虚拟化解决方案的优势、小微企业网站安全虚拟化解决方案的实现三个方面进行分析。
1传统解决方案的不足
在传统的解决方案中,网站防篡改系统是很常见的解决方案之一,但这些网站防篡改系统并不能从根本上解决问题,仅仅是当发现黑客篡改了网页之后,再把新备份的网页替换回来,但仍然避免不了网站被黑客篡改的问题。而且,网站防篡改系统的价格不低,对小微企业来说,成本太高,不符合许多小微企业的实际需要。
网站防篡改系统往往需要安装于一台独立的计算机中,而有些小微企业的网站是托管于电信机房的,这就意味着这些企业必须托管多台计算机,而且计算机的性能要高,管理也要到位,才能真正用好网站防篡改系统,这些要求对小微企业来说成本太高。
2 虚拟化解决方案的优势
VirtualBox(虚拟机)是德国一家软件公司开发的虚拟系统软件,使用VirtualBox(虚拟机)能够安装多个客户端操作系统,每个客户端系统皆可独立开启、暂停与停止。主端操作系统与客户端操作系统皆能相互通讯,多个操作系统同时运行的环境,也彼此能够同时使用网络。
ISA Server防火墙是微软提供的基于策略网际网络访问控制、加速、管理于一体的防火墙产品。ISA Server可实现功能包括:保护网络免受未经授权的访问,保护 Web 和电子邮件服务器防御外来攻击,检查传入和传出的网络通讯以确保安全性,接收可疑活动警报。
虚拟化解决方案可以实现从一台服务器中再虚拟安装多一台计算机,运用虚拟机技术,在网站服务器上安装Oracle VM VirtualBox和ISA Server,使用Oracle VM VirtualBox安装一台虚拟机,在虚拟机中配建网站。这样的配置,可以实现ISA Server防火墙保护虚拟机,从而实现ISA Server保护网站的目的。而ISA Server是防火墙与服务器软件,ISA Server的防火墙工作在应用层,具有独立的HTTP过滤功能,可以保护ISA Server后面的网站不被黑客攻破。
3小微企业网站安全虚拟化解决方案的实现
本方案针对于网站采用IIS的,数据库使用SQL Server实现的网站。原来的传统解决方案是在托管主机上安装IIS和SQL Server,网站在托管主机上。现在使用虚拟化解决方案,总的策略是在托管主机上安装一个虚拟机,把虚拟机和托管主机组成五个局域网,并把原来在托管主机上的网站转移到虚拟机,并停止运行托管主机的IIS和SQL Server,减少托管主机的资源占用,正常地发挥ISA Server的功能,达到既能正常发挥网站,又能有效保护网站安全,从根本上解决网站防篡改、被黑客攻破的可能。
3.1在托管主机上安装ISA Server和Oracle VM VirtualBox
在托管主机安装Oracle VM VirtualBox后,创建windows server虚拟机,配置IP使虚拟机与托管主机同网段组建成一个局域网。在虚拟机安装IIS和SQL Server数据库,把网站文件保存在虚拟机,配置IIS WEB网站,使用虚拟机的IIS网站。托管主机上的IIS和SQL Server不用安装,即托管主机上的IIS和SQL Server不再使用,才能最大限度发挥托管主机的资源,同时,也为保证ISA Server正常运行。
在托管主机安装ISA Server,由于ISA Server安装过程中,ISA Server的默认规则是断开通信的,托管主机的操作是远程桌面方式,一旦断开通信,在安装过程中,就操作不了主机,所以,须采用无人值守的自动安装方法实现ISA Server安装。要解决这个问题,可以配置使用ISA Server的“无人值守”功能,并在安装的时候,导入一个具有“远程管理”功能的策略到ISA Server中。当ISA Server使用无人值守功能安装完成后,导入的策略生效,即可避免在远程安装ISA Server之后,失去对远程服务器控制的行为。具体ISA Server策略操作方法,可以参考相关的安装资料,本文不再阐述。
而随着企业越来越重视企业应用程序向云技术迁移,发现现有的网络根本无法应付云技术所需要的数据吞吐量。这不仅仅是增加网络带宽的问题,还包括了为不同数据流规划不同优先级。
为何会出现这种状况呢?其中一个主要原因是企业的网络连接一直以来都依赖于电信运营商以及其所提供的服务。而一般运营商都会在初次销售时许诺为企业提供一个托管的路由器,由运营商控制并在远程进行适当的配置调整。
但是在如今MPLS(多协议标记交换)网络环境中,需要满足多种QoS传输语音和数据的情况下,仅仅通过一个托管的路由器是远远不够的。而且在路由器托管的情况下,企业不但放弃了控制网络的机会,也失去了根据企业自身需求个性化配置网络的能力。这就是为什么企业为了满足语音、视频、数据和云应用等多种需求,必须选择网络托管的原因。
网络托管和路由器托管有什么不同?
如今的运营商几乎都是简单地提供网络接入服务,而其他附加服务很少。比如:运营商们一般都不会提供主动的网络监视和支持服务,包括安全监控服务,而这正是目前很多企业所需要的服务。运营商一般都是等到线路出现电路故障后才开始进行补救,这就意味着企业不得不承受运营商修复断网故障这段期间无网可用所带来的损失。
另外,运营商所提供的路由器配置功能相当简单,毫无灵活性可言,而能够根据企业需求进行个性化配置的路由器,正是基于云的企业应用保证顺利运转的必要条件。由于是以设备性能为前提的,企业就不得不承担硬件设备更换或升级带来的成本。
而另一方面,在网络托管方式下,企业可以脱离路由器的限制,优化和管理不同优先级的企业应用程序。而随着企业对于网络策略的深度参与,即如何设计、管理和监控网络,企业将获得更高的运行效率以及执行灵活性。
基于云网络托管给企业带来的七大实惠
让我们进一步看看基于云的网络托管能给企业带来哪些实惠。
1.完全可定制的QoS
随着MPLS的出现,企业已经可以方便地将语音、视频和数据内容在一个统一网络中传递。这就使得针对不同应用程序制定不同QoS,达到各个程序所需的数据传输标准成为了一个很重要的因素。比如:有了针对不同应用程序的优先级设定,网络打印数据就不会干扰到语音传输,或者浏览网页等数据流。
2.注册工程师提供个性化服务
企业之所以要依赖于基于云的服务托管供应商,是因为这些供应商拥有大量合格的认证网络工程师,可以随时解答企业所提出的各种问题,从而降低了企业在技术支持、项目实施以及投资方面所面临的风险,而如果企业自己设计网络,则需要面对以上各种风险。这种托管服务方式还包括了24/7/365全天候的主动监控,因此很多问题在企业发现之前就会被服务供应商及时解决。而在这之前,企业只能不断打电话给运营商要求解决问题,并忍受修复期间的损失。
3.远程路由监控和活动日志(TACACS)
虽然企业的托管网络完全交由服务供应商管理,但这并不意味着企业放弃了对路由器的管理能力。在网络托管框架下,企业可以放心地对路由器做任何企业觉得有必要的改动。服务供应商的终端接入控制器接入控制系统(TACACS)可以记录企业对路由器做的任何改动,并可以方便地将错误的路由配置恢复到之前的正确状态。
4.综合型的网络方案
一个托管网络供应商可能会综合多个一级网络供应商,但是对于客户来说这跟一个网络供应商没有什么差别,而且极大地降低了企业直接与多个网络供应商洽谈业务的时间成本和管理成本。另外,从业务持续性角度考虑,多个网络供应商可以提供充足的网络冗余度,提供更长的网络生存期。这种综合型的网络方案使得网络托管服务供应商能够结合各家网络供应商的优势,确保为客户带来最佳的网络服务。
5.自动化QoS标记
托管网络供应商会首先询问企业要如何标记各类数据,为哪些应用程序设置优先权,这些设置都是根据企业自身的需求而定制的。大多数情况下,企业的大部分应用程序数据在企业自己的网络内传输时都没有被标记或被设置优先权。而根据业务规则设置的自动QoS配置功能,可以帮助企业推测出哪些数据流需要更高的优先级。
托管网络供应商会标记出托管网络内部和整个互联网数据包的差别。而且可以对企业的路由器和交换机进行配置,根据企业应用的需求只允许某些类型的数据通过,而其他数据则被禁止。这使得企业托管网络的安全性得到了很大程度的提升,尤其是预防了来自互联网的木马传播以及垃圾邮件的传送。
6.多重直连方式
托管网络供应商通过多重直连方式在多个与之合作的一级网络供应商之中进行最佳选择。他们还可以通过MPLS网络直接将QoS提供给基于云的网络应用程序,从而让这些应用程序获得更好的网络性能。
7.网络监控和支持
技术的成熟与云架构的普及,带来了云托管市场的增长,同时也降低了供应商进入托管市场的门槛。现今大多数供应商都能为客户提供一些基本的服务,如网络互联、本地存储、以及物理机或虚拟机的运算能力等。但对于企业数据中心而言,这些是远远不够的。Radware认为:重视提供增值服务的供应商可在市场中持续获利,相反不重视增值服务的供应商只能面临被取代的命运。
行业专家建议供应商们为客户提供以下增值服务:
负载均衡和SSL终端登录服务——此项服务对接入云端的中等规模企业而言是必不可少的。因为它可以在保证客户所有业务隐私性的同时,允许客户通过多路托管服务器与虚拟机来扩展应用。供应商原本通过在单一链路上使用SLA来保证客户专享的传统负载均衡模式也会获得增值空间。
网络应用响应时间的优化服务——网络性能优化方面的新技术不但节省了扩展费用,还大大降低浏览网页的耗时。任何一家接入云端的企业都会优先选择能提供此项增值服务的托管供应商,而供应商也能因此将客户原本划给网络加速服务商的预算收入囊中。
应用程序性能的监测服务——企业很可能会因为供应商缺少对所托管业务性能的监测服务而停止托管业务。与之前在性能方面单独给客户承诺服务水平不同,现在的供应商可以利用许多分析工具来实时收集用户的相关数据,并通过全可视化的界面窗口来实现此项增值服务。该服务不但提高了客户对供应商的信心,还可为客户的扩容及排错提供支持。
DDoS防御服务——网络攻击已成为各组织机构面临的主要威胁,许多企业通过ISP或其他服务商访问本地的数据中心时都会受到DDos的攻击,其主要原因是企业自身并不具备防御攻击专业知识。而一旦接入云托管体系,企业会更愿意从托管供应商那里获得此项防御服务。现在,各种DDoS攻击缓解工具已经可以被轻松地集成到供应商网络边界中,用来有效地保护被托管客户的基础设备及应用安全。
对于IDC的概念,还没有一个统一的标准,但从概念上可以将其理解为公共的商业化的Internet机房,同时它也是一种IT专业服务,是IT工业的重要基础设施。IDC不仅是一个服务概念,而且是一个网络的概念,它构成了网络基础资源的一部分,就像骨干网、接入网一样,提供了一种高端的数据传输(DataDelivery)的服务和高速接入服务。
IDC就是电信部门利用已有的互联网通信线路、带宽资源,建立标准化的电信专业级机房环境,为企业、政府提供服务器托管、租用以及相关增值等方面的全方位服务。
通过使用电信的IDC服务器托管业务,企业或政府单位无需再建立自己的专门机房、铺设昂贵的通信线路,也无需高薪聘请网络工程师,即可解决自己使用互联网的许多专业需求。
IDC主机托管主要应用范围是网站、虚拟主机和电子商务等。比如网站,单位通过托管主机,从电信部门分配到互联网静态IP地址后,即可自己的互联网站点,将自己的产品或服务通过互联网广泛宣传;虚拟主机是单位通过托管主机,将自己主机的海量硬盘空间出租,为其他客户提供虚拟主机服务,使自己成为ICP服务提供商;电子商务是指单位通过托管主机,建立自己的电子商务系统,通过这个商业平台来为供应商、批发商、经销商和最终用户提供完善的服务。
IDC即互联网数据中心。它是伴随着互联网不断发展的需求而迅速发展起来的,成为了新世纪中国互联网产业中不可或缺的重要一环。
IDC(互联网数据中心)还没有一个权威的定义,但它比传统的数据中心有着更深层次的内涵,它是伴随着互联网不断发展的需求而发展起来的对为ICP、企业、媒体和各类网站提供大规模、高质量、安全可靠的专业化服务器托管、空间租用、网络批发带宽以及ASP、EC等业务。数据中心在大型主机时代就已出现,那时是为了通过托管、外包或集中方式向企业提供大型主机的管理维护,以达到专业化管理和降低运行成本的目的。
IDC有两个非常重要的显著特征:在网络中的位置和总的网络带宽容量,它构成了网络基础资源的一部分,就像骨干网、接入网一样,它提供了一种高端的数据传输(Data Delivery)的服务,提供高速接入的服务。
IDC是对入驻(Hosting)企业、商户或网站服务器群托管的场所;是各种模式电子商务赖以安全运作的基础设施,也是支持企业及其商业联盟(其分销商、供应商、客户等)实施价值链管理的平台。
IDC业务是基于高稳定度、宽带宽的电信基础网络平台,提供多种信息服务的综合业务。其业务范围主要有:服务器托管、租用;整机租用、机房租用;虚拟主机、虚拟信箱;系统集成、开发;专业维护;带宽批发以及增值服务等。增值服务包括:流量监控分析、服务器负载均衡、网站镜像、网站加速、远程监控、网络安全等服务。而IDC与ASP的结合将是未来增值业务的主流。
一、发展现状
经各市和省级各部门共同努力,省统一电子政务传输网络和平台基本建成,重要业务系统应用进展顺利,基础信息库和标准化体系建设开始起步,信息安全保障能力不断增强。目前省到市两级电子政务统一传输网络内网已开通,年内开通外网,电子政务统一平台基本建成并投入使用;省委、省人大、省政府、省政协内、外网门户网站、办公和专有业务系统已部分建设完成;全省通用办公业务系统已开发完成正在推广应用,应急指挥、视频会议、政务查询等办公业务资源系统年内将基本建成。
以“十二金工程”为重点的电子政务业务系统建设不断加快,由国家统筹规划建设的金卡、金关、金税(国税)等工程已经投入使用。国家和地方共同建设的金盾工程开通了四级网络,完成了人口管理、违法犯罪人员、禁毒等27项信息系统建设,以我省为主的社保、农业、财政、秦税、教育、卫生、工商、水利等业务系统基本建成并运行良好,审计、、环保等业务系统陆续启动建设。全省法人单位、人口、自然资源与地理空间、宏观经济、档案等基础数据库正在论证编制建设方案。信息安全基础设施建设已启动建设,初步建立了全省互联网络统一管理体系,增强了网络与信息安全应急防范能力。
但从总体上看,我省电子政务仍处于初步发展阶段,还存在一些亟待解决的问题,主要是:统一的电子政务基础设施建设相对滞后,网络没有完全实现互联互通,重复建设问题突出;业务应用水平不高,业务协同能力较弱;信息共享度低,共享机制尚未建立;法律法规和标准化工作滞后,安全保障能力有待进一步提高;一方面建设资金不足,另一方面重复建设、资金浪费现象严重;电子政务建设、管理、运行体制不完善,创新能力不强;电子政务推动国民经济和社会信息化,继而推动社会经济跨越式发展的潜力尚未发挥。要解决上述建设中的问题,就必须从传输网络、基础设施、业务系统、信息资源、信息安全等基础性、公共性工作入手,认真贯彻党中央、国务院的要求,采取强有力的措施,加强对电子政务各项建设工作的整合。
二、总体要求
按照国家与省委、省政府及省信息化领导小组有关规定,全省电子政务整合工作的总体要求是:
统一规划,统一网络。建设覆盖省委、省人大、省政府、省政协、省高院和省检察院六大业务系统的全省电子政务统一内网和外网,形成连接省级各部门、各市和各县的统一电子政务骨干传输网络,各业务系统不再建设专网。按照全省统一规划,使用统一的电子政务骨干传输网络。
统一标准,统一交换。在建设中,业务应用、系统、硬件、软件均要统一标准、统一要求。充分发挥省电子政务统一平台信息传递枢纽作用,依托统一平台积极开展各类业务系统应用、信息资源共享和信息安全保障,各业务系统不再重复建设相应基础支撑平台,采用统一平台服务托管等形式保证信息正常交换和业务系统协同运行。六大业务系统分别建设支持本系统内各部门业务、信息交换应用平台。各市要参照省级电子政务统一平台建设原则、要求和标准,建设各自市级电子政务平台。
统一开发,统一部署。对通用性、基础性、基准性、标识性较强的办公业务资源系统和基础性数据库等项目,采用统一开发、一数一源、多家共享、集中存贮、统一部署的方式开展建设和应用。各部门不再自行开发,避免重复建设和分散采集。
统一安全,统一管理。建立统一的全省电子政务安全保障体系、统一的安全身份认证、安全支撑平台和数据冗灾备份系统,为各项业务应用集中提供密钥管理、技术支撑、安全防御和冗灾备份等服务,形成布局合理、安全可控、运行有序的网络信任体系,避免各部门重复建设和资金浪费。
三、工作目标
按照*省电子政务总体框架和电子政务网络、统一平台建设意见规范要求,全省电子政务整合工作的目标是:到*年,建设完成覆盖省、市、县的统一电子政务传输网络和省市二级统一平台,信息安全保障体系初步建立;从*年开始,利用1年时间完成已建成的业务系统专网向全省电子政务统一传输网络整合;2010年底以前完成已建大部分业务系统支撑平台向省电子政务统一平台移植,逐步建立完善全省基础性、战略性信息资源库,实现应用业务协同和信息资源共享。
四、工作任务
全省电子政务整合工作任务是:进一步完善省、市两级电子政务统一平台,开展以传输网络、门户网站、业务系统、信息资源、安全管理和运维管理为主要任务的电子政务整合工作。
(一)整合传输网络
我省电子政务统一传输网络是国家统一电子政务网络的组成部分,依托广电网络开展建设,由政务内网和外网组成(含党务内网),包括省、市、县三级城域网和省到市、市到县两级广域网。网络资源整合重点是对在建、已建的业务专用传输网进行整合,使其有序接入全省电子政务统一传输网络。各市、各部门必须依托省统一电子政务网络开展业务系统应用,不得重新铺设独立线路或组成单一业务传输骨干网络。省级统一传输网络为省统一平台到省级各部门的横向传输网络和到11个市(区)及指定地点的纵向传输网络,其租赁服务费用纳入省电子政务基础设施建设专项资金年度预算,统一支付。
(二)整合门户网站
在省委、省人大、省政府、省政协、省高院、省检察院六大业务系统门户网站的基础上,基于政府门户网站建立*省统一门户网站,推进电子政务公共服务,提高行政效率和办事效能。充分利用全省统一门户网站积极开展政务信息公开与服务、网上申报与审批、公众建议与反馈、政策与查询等面向社会公众的一站式服务,实现政府、企业和公民的网上互动。完善并整合各级门户网站,做好网站栏目规划和管理,增强网站信息和网上办事能力,更好地发挥公共服务窗口作用,健全电子政务公共服务体系。省级六大业务系统设备租赁服务费用由省电子政务基础设施建设专项资金统一支付;省级六大业务系统、各部门网站信息维护费用,纳入本单位年度财政预算;网站系统设备托管费用,依据托管服务合同金额纳入各单位年度财政预算。
(三)整合业务系统
省电子政务统一平台是国家电子政务在*的中心节点,也是省委、省人大、省政府、省政协、省高院和省检察院等六大业务系统间、省级各部门间、各市县间政务信息传递的枢纽。省级电子政务中心机房,是省电子政务统一平台运行和管理的物理载体。
全省业务系统整合分三类进行,一是业务流程相对固定的通用性、基础性较强的综合类办公业务系统,全省统一部署实施;二是跨部门业务系统的建设,联合设计,共建共享,依托省市电子政务统一平台实现信息交换和业务协同;三是各部门内、外网专有业务系统和部门网站等相关设备,逐步托管到省级电子政务中心机房。
综合办公业务资源系统。主要包括办公自动化系统(日常办公、公文交换、流程管理、文档管理、档案管理、督查督办和值班管理、政务信息管理)、视频会议、应急指挥、宏观决策支持等业务系统,全省依托电子政务统一平台,统一规划设计、统一部署实施和运行,其所需服务器等设备托管在省级或市级电子政务统一平台中心机房,集中使用维护;系统设备租赁服务维护费用由省电子政务基础设施建设专项资金统一支付。
跨部门业务系统。跨部门业务系统的建设,统一联合设计,分工负责,共建共享;对于行业纵向政务业务系统和地方横向政务业务系统建设,统一加强纵横向业务融会和集成;跨部门及行业纵横业务系统,均要依托省市电子政务统一平台实现信息交换和业务协同。
专有业务系统和网站。省、市电子政务统一平台及中心机房在建设过程中,要能够满足各部门专有业务发展的需求,各部门原则上不再重复建设相应的支撑平台和机房,逐步实现其内、外网专有业务系统和部门网站在电子政务统一平台中心机房的集中托管服务。新建或在建的专有业务系统和网站,所需应用系统设备和软件要托管在省或市级电子政务统一平台中心机房,统一技术维护管理。对于已建的业务应用系统和网站等相关设备,逐步完成在省、市两级统一平台中心机房的业务托管。各专有业务系统和网站等相关设备托管服务等费用均要纳入各单位年度财政预算。
(四)整合信息资源
按照统一的标准和规范,依托省电子政务统一平台,建立政务信息资源目录体系,为各级政府提供信息查询和共享服务;逐步建立跨部门的政务信息资源交换体系,实现部门内的信息纵向汇聚和传递,部门间的信息横向交换和在线实时服务。
企业、人口、法人单位、自然资源与地理空间、宏观经济等基础类、综合类信息库的建设,按照统一设计、一家牵头、多家共建、信息共享的原则,依托统一平台集中建设和存贮;全省重要专有业务数据库建设,由省级部各部门各自建设,各市提供各自信息;分别建立维护、管理、信息采集和更新制度,明确信息共享的内容、方式和责任,健全信息共享机制。统一建设的全省基础性数据库系统运行维护费用由省电子政务基础设施建设专项资金统一支付,信息维护费用纳入牵头建设部门的年度财政预算;各专有业务系统数据库托管服务和信息维护费用纳入本单位年度财政预算。
对于社会公众关注的涉及多部门的热点、焦点信息,要分别及时采集,汇总分析,按规定程序公开。依据国家《政务信息公开条例》规定,编制政务信息公开目录,以公开为原则,以不公开为例外,建立有效的信息公开管理机制,充分利用统一门户网站、各级网站、重点新闻网站等为公众获取政务信息提供便利,促进政务信息公开和的制度化和规范化。
(五)整合安全管理
依托省电子政务统一平台,整合建立统一的安全支撑平台和密钥管理平台,为各项政务应用集中提供安全防御、安全支撑、应用支撑、密钥管理等服务。依托区域电子认证机构颁发的数字证书,依法建立整合全省统一的电子政务身份认证和授权管理机制;依靠安全支撑平台,建立全省统一的冗灾备份中心,集中实现各级业务应用系统和信息资源的灾难恢复服务。整合建立全省计算机病毒防治、应急处置、安全通报中心,为全省电子政务提供统一的入侵检测、漏洞扫描、病毒防护、内容过滤等信息安全服务,提高全省电子政务综合安全防护能力。统一建设的全省安全支撑平台租赁服务、公务员数字证书、开户及服务等费用由省电子政务基础设施建设专项资金统一支付;冗灾备份、单位证书、应用服务器证书和应急处置等其它安全服务费用依据合同金额纳入本单位年度财政预算。
(六)整合运维管理
根据整合工作任务,全省电子政务将建成统一的网络汇接、数据存储、信息交换、应用支撑、冗灾备份、安全保障和应用服务等业务应用支撑体系,电子政务统一传输网络、基础设施、统一平台、托管业务系统、基础信息库和信息安全等设施、设备将采用集中运行管理的方式,由财政统一支付租赁和运行维护费用,减少运维技术人员,节约运行维护成本。建立健全统一的电子政务运行维护服务体系,规范运行维护服务管理,采用市场化运作模式,提高整体运行维护服务标准与质量。各部门专有业务系统的业务运行、信息更新、数据处理与加工、文档管理等业务应用、信息维护工作仍由各部门负责。
五、建设电子政务支撑中心
加强电子政务整合工作,一方面省级各部门不再分别建设共用的基础设施,避免重复建设,节约建设投资;另一方面通过统一规划、建设满足各部门实际业务应用和信息交换需要的技术支撑设施。现已基本建成并投入使用的省级电子政务统一平台中心机房,尚不能满足业务系统托管、网络传输、数据存贮和冗灾备份等整合工作要求,急需对统一平台、中心机房现有能力进一步完善和扩容,建设以业务系统托管中心、数据存贮中心和同城异地灾备中心为主要内容的全省电子政务支撑中心,同时兼有应用软件研发、系统升级、运行维护和培训服务等方面内容,实现为全省各级、各部门、各业务系统提供统一的传输网络服务、信息交换服务、数据存贮服务、门户网站服务、技术运行维护服务、系统与设备托管服务、冗灾备份与信息安全服务等功能齐全的综合技术支持服务。
六、保障措施
加强组织领导,建立协调机制。全省各级领导要高度重视电子政务整合工作,加强统一领导。各级信息化管理机构在信息化规划制定、重大政策出台和项目实施过程中要认真贯彻整合意见的各项要求,强化统一管理,加强分管建设项目的论证、立项、审批和监督,确保整合工作目标按期实现。要综合协调本区域、本部门信息化规划、建设、推广应用和资源开发工作,加强在电子政务基础设施、重要业务系统和基础信息资源建设方面的协作与配合,逐步建立分工合理、权责明确、程序规范、共建共享的信息化协调机制。
加强项目管理,规范项目建设。加快全省电子政务网络传输、业务应用支持、信息资源交换、信息安全和运行维护管理等标准化工作进程,规范项目论证、实施和运行维护的管理。各级信息化管理部门在项目论证、立项、审批等环节,要按照基于电子政务统一平台开展业务应用、资源共享的整合工作原则,不再审批各单位专网建设和业务支撑平台机房建设,避免重复建设。各单位要在业务应用、资源开发、信息处理、信息安全等方面下功夫,加强信息化项目设计、实施、测试、验收、信息维护等阶段监管,保证项目建设质量和效益,健全政务信息公开、更新和日常维护工作制度。
拓宽资金渠道,提高资金使用效益。电子政务建设资金、运行维护费用要纳入各级财政预算分级解决,骨干传输网络维护费用下管一级,同时要积极争取国家和相关部委对西部地区电子政务建设资金的支持,改善投资环境,鼓励引导社会资金参与信息化建设项目投资或提供运行维护服务。优先支持社会公众关注度高、经济社会效益明显和跨部门间业务协同、信息共享的业务系统建设,加大信息安全基础建设投入,加强信息化资金的监督和审计,健全审批、投资、监管相分离的投资管理体制,建立信息化工程的绩效评估和考核制度,切实提高资金使用效益。
省信息办要会同省财政厅、省发展改革委等相关部门,依据六类整合工作中确定的资金管理原则,尽快制定全省电子政务运行维护资金使用管理办法。
关键词:虚拟化 网站防篡改 防火墙
中图分类号:TP399 文献标识码:A 文章编号:1007-9416(2015)07-0000-00
以往,许多大型企业都有企业网站,但随着信息化技术的发展,小微企业对网络应用也越来越普及,许多小微企业也接入了Internet网,业务与办公已离不开网络,为了更好的开展业务,做好产品的宣传,许多企业申请了域名,创建了企业网站。由于许多企业对网站安全的了解不深,许多企业都将网站放在了自己的服务器上并托管在电信或联通机房,找人架设了网站企业之后,并没有专门的安全维护人员,由于种种原因,企业网站安全表现在以下多方面(1)内容被篡改,挂上了其他不良信息;(2)网站被挂了木马或其他黑客程序,自家的服务器被黑客用于攻击他人的主机。这些事情发生后,往往给企业的形象、对外宣传造成了负面的影响,也给企业客户带来不好的印象,严重的可能会造成业务损失或其他的法律赔偿,企业网络管理工作面临巨大的压力,采取必要的正常措施、避免类似问题的出现,是每个企业网站需要考虑的问题。
随着虚拟化技术的出现,为企业提供网站安全解决方案不再限于使用传统解决方案,采用虚拟化解决方案带来更多的优点,本文从传统方案的不足、虚拟化解决方案的优势、小微企业网站安全虚拟化解决方案的实现三个方面进行分析。
1传统解决方案的不足
在传统的解决方案中,网站防篡改系统是很常见的解决方案之一,但这些网站防篡改系统并不能从根本上解决问题,仅仅是当发现黑客篡改了网页之后,再把新备份的网页替换回来,但仍然避免不了网站被黑客篡改的问题。而且,网站防篡改系统的价格不低,对小微企业来说,成本太高,不符合许多小微企业的实际需要。
网站防篡改系统往往需要安装于一立的计算机中,而有些小微企业的网站是托管于电信机房的,这就意味着这些企业必须托管多台计算机,而且计算机的性能要高,管理也要到位,才能真正用好网站防篡改系统,这些要求对小微企业来说成本太高。
2 虚拟化解决方案的优势
VirtualBox(虚拟机)是德国一家软件公司开发的虚拟系统软件,使用VirtualBox(虚拟机)能够安装多个客户端操作系统,每个客户端系统皆可独立开启、暂停与停止。主端操作系统与客户端操作系统皆能相互通讯,多个操作系统同时运行的环境,也彼此能够同时使用网络。
ISA Server防火墙是微软提供的基于策略网际网络访问控制、加速、管理于一体的防火墙产品。ISA Server可实现功能包括:保护网络免受未经授权的访问,保护 Web 和电子邮件服务器防御外来攻击,检查传入和传出的网络通讯以确保安全性,接收可疑活动警报。
虚拟化解决方案可以实现从一台服务器中再虚拟安装多一台计算机,运用虚拟机技术,在网站服务器上安装Oracle VM VirtualBox和ISA Server,使用Oracle VM VirtualBox安装一台虚拟机,在虚拟机中配建网站。这样的配置,可以实现ISA Server防火墙保护虚拟机,从而实现ISA Server保护网站的目的。而ISA Server是防火墙与服务器软件,ISA Server的防火墙工作在应用层,具有独立的HTTP过滤功能,可以保护ISA Server后面的网站不被黑客攻破。
3小微企业网站安全虚拟化解决方案的实现
本方案针对于网站采用IIS的,数据库使用SQL Server实现的网站。原来的传统解决方案是在托管主机上安装IIS和SQL Server,网站在托管主机上。现在使用虚拟化解决方案,总的策略是在托管主机上安装一个虚拟机,把虚拟机和托管主机组成五个局域网,并把原来在托管主机上的网站转移到虚拟机,并停止运行托管主机的IIS和SQL Server,减少托管主机的资源占用,正常地发挥ISA Server的功能,达到既能正常发挥网站,又能有效保护网站安全,从根本上解决网站防篡改、被黑客攻破的可能。
3.1在托管主机上安装ISA Server和Oracle VM VirtualBox
在托管主机安装Oracle VM VirtualBox后,创建windows server虚拟机,配置IP使虚拟机与托管主机同网段组建成一个局域网。在虚拟机安装IIS和SQL Server数据库,把网站文件保存在虚拟机,配置IIS WEB网站,使用虚拟机的IIS网站。托管主机上的IIS和SQL Server不用安装,即托管主机上的IIS和SQL Server不再使用,才能最大限度发挥托管主机的资源,同时,也为保证ISA Server正常运行。
在托管主机安装ISA Server,由于ISA Server安装过程中,ISA Server的默认规则是断开通信的,托管主机的操作是远程桌面方式,一旦断开通信,在安装过程中,就操作不了主机,所以,须采用无人值守的自动安装方法实现ISA Server安装。要解决这个问题,可以配置使用ISA Server的“无人值守”功能,并在安装的时候,导入一个具有“远程管理”功能的策略到ISA Server中。当ISA Server使用无人值守功能安装完成后,导入的策略生效,即可避免在远程安装ISA Server之后,失去对远程服务器控制的行为。具体ISA Server策略操作方法,可以参考相关的安装资料,本文不再阐述。
3.2把虚拟机的网站到Internet
将网站到Internet的过程中,首先要实现网站被成功浏览。其次,要使用ISA Server的网站规则和ISA Server防火墙的HTTP筛选器功能,进入防火墙策略,配置HTTP策略,做好对网站的保护。实现网站避免黑客篡改,真正达到安全网站的目标,才是采用虚拟化解决方案的最终目标。
参考文献
[1]王春海.中小企业虚拟机解决方案大全[M].电子工业出版社,2010.
