【IT168 信息化】

【编者按】对于多数中小企业的IT采购主管来说，面对某个特定的需求，不仅要考虑软件的选购，而且要考虑网络的搭建方案、服务器的配置、笔记本电脑和台式机的配置等，更要考虑总体预算。从IT采购的角度说，成熟的做法一般是首先根据需求选择软件，然后根据计算量和数据存储量确定硬件配置，再选型采购产品。但是由于缺乏系统集成的经验，往往面对一个简单的需求就无所适从；为帮助广大中小企业的IT主管理性采购，IT168信息化频道推出了《情景导购》栏目。该栏目根据一些中小企业或大型企业的某一特定的真实需求，进行需求分析形成IT方案，然后提出IT方案具体实施策略，并推荐相应产品。

1 项目建设概述

    北京市建立城镇房屋普查综合信息系统，并将其与房屋管理工作相结合，把全市房屋普查信息与房屋竣工备案、房屋权属交易信息、住房保障对象管理信息、房屋拆迁信息、房屋租赁管理、房屋物业管理、房屋安全管理信息相关联，建立完善统一的房屋数据管理信息系统，实现数据的动态更新。在此基础上，进一步实现与城市其他管理信息系统的对接，完善城市信息管理平台，实现资源共享，为市政府应急指挥、交通组织、人口管理、户籍管理、税收管理以及市民社会生活等提供数据服务。

    北京市建委将新建这套房屋普查系统，根据国家关于我国电子政务建设指导意见的要求，在建设房屋普查系统的同时应进行安全平台建设。这样既可以满足国家相关规定，还可以减少日后安全建设盲目建设，重复投资的风险，保障房屋普查系统平台的安全运行。
 

2 项目建设目标

      本次市建委房屋普查系统及信息安全保障体系的设计目标，具体体现在几个方面：

      搭建稳定的高效率的硬件和软件应用平台。

      能够抵御房屋普查系统所面临的各种威胁，具备一定的容错、容灾能力，有效地防止内部人员的故意犯罪，抵御来自内部与外部、针对各种对象的各种方式的攻击。

      能够提供严格的控制能力和高效的查证等手段，建立安全的工作与管理机制。

      适应房屋普查系统分级、多业务的管理模式的需求，提供合理的安全域划分。

      抵御来自内部或外部的黑客针对网络基础设施、主机系统和应用服务的各种攻击，保证网络和系统服务的可用性，保证信息的保密性、完整性。

      防止有害信息（如病毒）的传播等。
 

3 项目建设

     北京市房屋普查系统政府采购及安全集成项目（以下简称为建委房普项目）系北京市建委信息化建设重点项目，项目金额为678.6万元，同时项目建设对项目工期提出了严格要求，需要在设备到货后20天内完成系统平台搭建，为随后的应用系统调试上线奠定基础。

     政府本部对建委房普项目高度重视，项目建设伊始，本部项目管理组针对本项目工期短、任务紧、系统建设内容繁多等项目特点，进行了严格的项目评审。评审中，明确了项目建设范围，项目经理制定了切实的项目计划，同时积极项目配置质量检测员，在项目建设过程中严格监督项目质量，确保项目保质保量地顺利上线。

     建委房普项目建设主要分为以上两部分进行建设：系统支撑平台建设和安全系统建设。

3.1 建委房普系统支撑平台建设

     此次建委房普系统支撑平台建设主要包括以下几个方面：

网络系统建设----建委房普系统的网络建设，主要包括搭建平台基础网络以及存储SAN网络。平台基础网络完成房普系统信息的内部传输以及完成与系统外的信息交互；构建存储SAN网络，完成建委数据库数据的存储和交互。

服务器系统建设需求----服务器系统在本项目中分为应用服务器和数据库服务器，均采用Sun Fire V890小型机，运行Solaris 10。服务器系统实施包括系统安装，设备微码升级，系统DD备份，磁盘RAID设置等其他相关系统设置，同时依照建设要求，服务器部署sun cluster 3.2集群软件，满足应用系统需求。

数据库系统建设需求----建委房普数据库系统采用两台Sun Fire V890 小机部署oracle 10g数据库软件，通过oracle rac完成数据库双击，保证数据库系统的冗余性和健壮性，同时通过oracle asm 进行存储管理，保证了系统的扩展性和灵活性。

数据存储备份系统建设----建委房普系统存储采用了Sun StorageTek 6140 磁盘阵列，部署SAN光纤存储网络，采用冗余结构，保证建委普查系统数据存储性能；建委房普系统部署VERITAS NetBackup 备份软件以及Sun StorageTek C4 磁带库，采用LAN FREE备份技术，实现建委普查系统数据的完整高速备份，提高整个系统的健壮性

3.2   建委房普系统安全系统建设

    中共中央办公厅、国务院办公厅关于转发《国家信息化领导小组关于我国电子政务建设指导意见》的通知（中办发[2002]17号）的原则要求为：统一标准，保障安全。正确处理安全与发展的关系，综合平衡成本和效益，一手抓电子政务，一手抓网络与信息安全，制定并完善电子政务信息安全保障体系。北京市建委房普系统建设将根据国家关于我国电子政务建设指导意见的要求，加强平台安全性能建设。

    太极对本项目安全系统建设的理解是：安全部分涵盖物理安全、入侵检测、病毒防范、防火墙、网络审计、数据库审计等系统部署，同时需要配合良好的服务、运维体系来实现运行安全，主要体现在以下几个方面：

动态信息安全体系思想

    动态信息安全体系思想的根本目的是要保障安全系统的设计和建设具备良好的动态适应性、安全可扩展性以及合理的体系建设过程，促进建立一套高扩展性、高可靠性的动态信息安全保障体系。

动态信息安全保障体系的建设过程如下所示：
 

     动态信息安全保障体系建设是一个周期性的循环过程，每个建设周期分为四个阶段：

1) 企业级信息安全评估

     企业级信息安全评估的目的是要准确详尽的掌握市建委目前的信息安全状况，从而为后续建设过程提供指导和依据。

2) 安全需求确认

     安全评估将暴露企业安全建设的薄弱环节，从而产生新的安全需求。在安全评估的基础上进行安全需求的确认，将保障北京市建委最大的投资回报，让安全投入解决最关键、最紧迫的安全问题。

3) 进行网络安全建设

     在需求确认后，依靠一定的安全技术、安全产品，结合一定的专业安全服务，全面提升北京市建委的信息安全性能。

4) 安全策略和安全建设，调整安全策略，加强安全管理

     任何安全保障措施都无法做到绝对的安全，当一个信息安全体系的建设周期完成后，系统必然会有残留风险的存在，可以考虑对安全建设后的网络系统进行二次安全评估，验证残留的风险的存在，验证残留风险是否可以接受，分析安全建设的成果功效。
随着自身网络系统和整体安全形势的发展，新的安全风险逐渐产生，同时系统原有的残留风险经过一定时间的积累后也逐步显现出其对网络系统的威胁性，这些风险越发不能被接受，此时需要开始进行新一轮的安全体系维护建设的周期。

“纵深防御”思想

     “纵深防御”思想的目的是保障安全系统的广度和深度，促进建立全面综合、高效安全的网络安全保障体系。

     “纵深防御”思想在广度上要求从网络架构、网络设备、操作系统、应用系统、数据库系统等各个层面考虑安全系统建设；“纵深防御”思想在深度上要求分层次的、由外而内的，从网络边界、内部网络、核心服务器各个层面考虑安全防御功能的建设。

     建委房普项目实施，部署入侵检测、病毒防范、防火墙、网络审计、数据库审计等系统，制定相应的安全策略，保证系统“纵深防御”的目标和要求。

系统安全轮廓

     针对建委房屋普查安全系统建设需求和建委组织结构，依照以下总体安全策略原则，完成系统安全建设轮廓：
 

（1）整体策略

（2）防护策略

（3）监控策略

（4）响应策略

4 项目亮点

    此次建委房普项目防火墙系统的实施采用北京太极计算机股份有限公司的太极防火墙TJ-FW 4043系列防火墙。依照本项目建设要求，太极防火墙TJ-FW 4043完成了双机部署、地址NAT、路由选择、负载均衡、流量控制以及安全防护等复杂操作配置，满足了建委房普系统建设需求。

    同时，太极防火墙在北京市建委信息化系统建设中得到了广泛的应用部署，得到了用户的肯定。

5 项目进展

    由于建委房普项目前期进行了认真的项目评审，项目实施顺利。在用户规定的20天建设期内，完成了系统平台的搭建，并通过了系统测试和验收，为应用系统及时上线调试奠定了平台基础。随后，又逐步完成了安全系统部署和优化，满足了系统安全性能需求。

目前，建设房普系统进入内部试运行阶段，系统运行良好，得到用户的肯定。

【作者简介】：丁龙，太极计算机股份有限公司政府信息系统事业本部事业一部项目经理，北京市房屋普查系统政府采购及安全集成项目项目经理。