8.1 數據集中模式下的體系實施架構

8.1.1　基本結構

在互聯網電子政務系統建設中，一些地市級政府部門根據應用的需要將數據進行集中存儲、集中管理，即數據集中模式，包括傳統數據存儲與新型云計算模式。此模式下市/縣/鄉的數據既要實現物理上集中存儲，又要實現邏輯上的隔離，數據大集中模式下的安全體系實施架構的示意圖如圖3所示。

在數據集中/云存儲模式下，地市/縣區/鄉鎮組建集中化的數據中心，為用戶提供透明化的虛擬服務，實現資源共享。縣區與鄉鎮行政辦公區域通過互聯網進行數據共享與管理，遠程辦公用戶通過移動互聯方式進行遠程數據安全訪問。根據政務系統與數據的敏感級別，通過分域控制網關進行有效的隔離，并采用數據安全交換技術實現不同數據處理區信息間的單向受控交互。在此模式下，應通過有效的權限劃分實現各部門間的信息隔離，具備與原有行政體制相適應的邏輯流程。

若采用云計算模式，在內部數據處理區宜構建內部云平臺，在公開數據處理區宜構建公共云平臺，具體構建方法參照GB/T 31167－2014。

8.1.2　安全政務網絡平臺

在地市數據中心配置高性能中心VPN網關，在縣區行政辦公區域與鄉鎮行政辦公區域配置普通VPN網關，遠程辦公用戶配置VPN客戶端，既實現部門間的安全互聯，又實現移動安全辦公，保證政務辦公信息在互聯網上的安全保密傳輸，構建可擴展的統一安全政務網絡平臺。

在安全政務網絡平臺構建時，宜支持統一的VPN安全策略管理，既支持各類政務應用的安全透明應用，又支持手機、PDA、筆記本等多類型終端的WEB與WAP應用。

8.1.3　面向邏輯多級的安全政務辦公平臺

8.1.3.1 多級授權管理

地市/縣區/鄉鎮分級分部門進行權限管理是安全政務平臺的管理要求。為實現面向邏輯多級的安全政務辦公平臺的構建，需要進行多級授權管理。政務應用系統和安全管理系統部署在地市數據中心，實現分級分部門權限分隔與管理；地市/縣區/鄉鎮各部門配置本區域管理終端，實現用戶管理、角色管理、資源管理、權限分配、統一安全審核與責任認定。多級授權管理內容如下：

a) 分級部署。支持授權管理系統內部的分級管理，構建虛擬授權樹，通過為管理員劃分管理范圍，實現邏輯分級，滿足不同管理單位、不同安全級別的權限管理需求。

b) 用戶管理。在地市/縣區/鄉鎮本區域管理終端上，通過統一身份認證與授權管理系統，選擇所在組織部門，采用統一的用戶身份信息規范標準，按照統一的編碼方案，設置本區域用戶與角色編碼表，并將其逐級上傳至管理平臺。

c) 統一資源管理。在地市區域管理終端上，通過統一身份認證與授權管理系統，對全市政務應用平臺的網絡資源、信息資源、應用資源進行統一管理，為權限管理作好準備。

d) 多級權限分配。在地市/縣區/鄉鎮本區域管理終端上，通過統一身份認證與授權管理系統，根據用戶的崗位與角色，按照最小權限原則，對各部門的資源進行權限分配。

e) 統一安全審計與責任認定。在地市區域的認證授權管理平臺上，應實時記錄用戶的操作行為，形成政務應用操作日志，方便事后追蹤與責任認定。

8.1.3.2 政務流程邏輯構建

根據全市組織部門的行政隸屬關系，按照行政辦公流程，對政務辦公系統的政務流程進行統一規劃與構建，在各地市/縣區/鄉鎮數據集中管理模式下，實現各地市/縣區/鄉鎮部門的邏輯隔離，并構建與原有行政隸屬關系相匹配的政務辦公流程。

8.1.4　可信公共服務平臺

在該模式下，應充分利用數字證書、統一身份認證等手段，將各縣市/鄉鎮的服務信息進行審核、發布與收集，保證信息發布與收集的真實與可信。