信长华等:基层统计信息网络平台探索
前 言
近年来,各级党政领导正以前所未有的要求和希望来关注统计事业,同时,社会公众亦正以前所未有的热情来审视统计数据,造成统计部门正面临前所未有的压力。
统计信息化,其本质作用在于应用统计信息技术,提高统计工作效能,推动统计方法制度改革,完善统计管理体制;其根本目的在于促进统计工作的规范化建设,推动统计工作现代化。统计信息化作为统计事业的重要组成部分,为搞准统计数据,提升统计质量,提高统计水平,缓解统计压力提供了技术支持和物质保障。国务院副总理李克强指出:“要从提高国家基础能力和国家软实力的高度,进一步加大投入力度,加快统计信息化建设。”统计信息网络平台建设,作为统计数据的物质载体,作为统计信息化的基础支撑,理所当然地应该在各项统计基础建设、各类统计方法制度改革中扮演重要角色。
在科学发展观及和谐社会理论的引领下,伴随着如火如荼的科技浪潮,二十一世纪已走过十个年头。十年来,株洲统计人正见证着株洲统计信息化事业从无到有,从有到新,从新到大,从大到强,实现着一段崭新的跨越式发展;见证着株洲统计信息网络平台由简单的局域网“信息孤岛”,到连通省局直至国家统计局,再到拉通县区统计部门,实现国家、省、市、县四级互联互通。然而,必须认识到,株洲统计信息网络平台建设对比沿海发达地区,仍旧落后一个台阶,仍然任重而道远。
因此,怎样从实际出发,从需求出发,紧紧围绕统计工作的发展方向,牢牢把握统计改革的时代脉搏,全面建设一套有序、稳定、可靠、高效的基层统计信息网络平台,并实现其科学发展、和谐发展、可持续发展,成为横亘在株洲统计信息化工作者面前的一道难关。
本课题组立足基层,着眼基层,展望基层,总结多年来的操作经验和实践经历,从整合网络资源、降低建设成本、提升投资效益的角度出发,试图提供一套完整的基层统计信息网络建设解决方案。现抛砖引玉,供读者参考。
第一部分 基层统计信息网络平台概述
一、释义
(一)计算机网络
1.什么是计算机网络?
计算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。
2.局域网
所谓局域网(Local Area Network;LAN),就是在局部地区范围内的网络,它所覆盖的地区范围较小。一般来说在局域网中,工作站的数量在几十到两百台次左右。在网络所涉及的地理距离上一般来说可以是几米至10公里以内。局域网一般位于一个建筑物或一个单位内,不存在寻径问题,不包括网络层的应用。
3.广域网
广域网(Wide Area Network;WAN)也称远程网,它一般是在不同城市之间的LAN或者MAN网络互联,地理范围可从几百公里到几千公里。 因为距离较远,信息衰减比较严重,所以这种网络一般是要租用专线,构成网状结构,解决寻径问题。
4.互联网
互联网又因其英文单词“Internet”的谐音,又称为“英特网”。这是将全球各种LAN、MAN,以及单机连接在一起的一个巨型网络。它将各种小网互联在一起组成一张覆盖全球的大网,所以叫“互联网”。
(二)基层统计的范畴
1.产生经济活动和生产消费活动的法人和自然人是统计工作的对象。其中,以规模以上工业企业、限额以上批发零售住宿餐饮企业、资质内建筑业企业和房地产开发企业占据主要地位。
2.乡镇统计机构是统计工作的最小元素。乡镇统计作为国家统计最基本的根基,不仅有日常全面报表性的统计调查工作,还有正在加大推广的抽样调查、重点调查工作;不仅有上报统计报表、统计数据、统计资料的任务,还有提供统计信息、开展统计分析的职能,还有对乡镇其它单位、企业和村组户进行统计指导、统计培训、统计检查、统计执法的职能。乡镇统计机构作为全国统计体系这棵参天大树的末梢,是各项统计业务、各项调查任务的最终落实机构。
3.县级统计部门是独立承担国民经济核算的最低单位,也是大型普查的基本工作单位。县级统计部门是连接乡镇统计与市级综合统计的重要桥梁,是直接推动乡镇统计工作的最重要的力量,也是统计源头数据的审核与把控的“守门员”,扮演着链接调查对象、搜集源头数据的重要角色。
4.地市级统计部门是基层统计工作的汇聚节点。地市级统计部门承上启下,对上承接省级、国家统计局和宏观经济调控部门,对下连接各基层统计部门和机构,在基层统计信息网络平台建设中处于核心地位。
(三)统计信息化的概念
1.统计信息化的定义
一般认为,统计信息化就是在统计信息的生产、流通及服务等各项统计活动中,充分利用现代化信息技术、资源和环境,逐步提高统计管理、统计运营的集约化程度,使科学技术对统计工作的社会效益、经济效益的贡献达到一个较高水平的过程。
2.统计信息化的内涵
统计信息化,一言以蔽之,就是将统计数据的采集、传输、处理、存储、发布等各项流程以计算机信息网络技术实现,从而改造传统的统计管理和运行模式。
3.统计信息化的重要要求
一是要求以信息化方式进行统计数据生产的各项流程必须实现有序、高效、安全。任何一个环节在效率和安全上出现问题必将影响统计数据质量。这是统计信息化的客观需求。
二是要求以信息化方式进行统计数据生产的各项流程必须实现保密。《统计法》规定,各类统计数据在发布前属国家机密。这是统计信息化的现实要求。
因此,我们在进行统计信息化建设的过程中,必须从一开始就将计算机网络安全与保密的相关指标和技术纳入建设思路和方案,并贯彻至终。
(四)基层统计信息网络平台
1.基层统计信息网络平台的定义
基层统计信息网络平台是针对统计信息化发展的各种需要,服务于各项统计业务和统计部门各项OA业务的,统一规划、统一建设、统一管理的,一定基层地域范围内全部与统计工作相关的计算机,各种网络互联、管理、安全、服务设备,和工作人员及管理制度的集合。
基层统计信息网络平台包括统计从业计算机、网络设备、管理人员、管理制度。
基层统计信息网络平台是基层统计信息化工作的物质载体。
2.基层统计信息网络平台的组成
其体系划分为三个层次,分别对应市、县、乡三级。乡级,作为系统的接入层,完成统计数据全部的采集、部分的传输和处理工作。县级,作为系统的汇聚层,完成统计数据部分的传输和处理发布工作。市级,作为系统的核心层,完成统计数据全部的存储、部分的传输和处理发布工作。
3.基层统计信息网络平台的特点
基层统计信息网络运行在基层,根据覆盖的范围,属于城域网(MAN)或者广域网(WAN)。
基层统计信息网络平台建设关键在于“统一”。要求整体规划,统一部署,协调安排,统筹建设,杜绝重复投资和反复建设。
基层统计信息网络平台的建设工作应由市级统计部门牵头,县、乡两级配合,共同打造,联合组建。
二、基层统计信息网络平台的功能
1.为统计数据快速流转提供载体。
统计部门的核心业务是统计数据,拳头产品也是统计数据。统计数据的传输、处理、存储、发布,无不需要强有力的网络平台的支撑。
统计信息网络平台作为统计数据的物质载体,其有序性、高效性、稳定性、安全性决定着各项统计数据能否及时发布;决定着各种统计成果能否及时产出。
2.为统计数据从源头采集提供保障。
从源头搞准数据,在源头控制质量,已成为统计数据质量控制工作的重要部分,同样也成为统计信息化工作者的重要研究内容。这就要求统计信息网络平台有广袤的触角,进行充分的延伸。
基层统计信息网络平台,应在最广泛的群众基础上进行建设,将数据采集点(接入点)深入一线企事业单位和存在经济活动的相关单位,从而为在源头直接采集第一手的数据资料提供保障。
3.为统计各项应用和数据处理提供服务。
从以内部电子邮件、内部通讯工具、视频会议为代表的办公自动化系统,到以基层统计一套表体系为代表的统计综合业务系统,统计部门的信息化水平正急速提升。
基层统计信息网络平台作为信息化基础设施建设,正在为一系列应用系统提供基础服务。
三、基层统计信息网络平台的重要意义
(一)网络平台是统计信息化建设的基础内容
如果没有基础信息网络平台,所有应用系统都将成为无根之水、无本之木,空想而已。统计信息网络平台,作为统计信息化建设的基础设施建设,需要先行。“要想富,先修路”,同样,要想搞好统计业务,必须先修好统计信息高速公路。
(二)网络平台是统计方法制度改革的内在需求
要使“一套表”制度、一体化设计等方法制度得以实施,一个稳定高效的网络平台是必需的。基层统计信息网络平台将实现专业统计和综合统计之间、专业统计之间原始数据的共享,为消除专业统计和综合统计之间、专业统计之间数据的交叉重复和不一致提供保障。
(三)网络平台是统计基层基础工作的稳固支撑
在源头上夯实基础,规范基层统计。随着经济的发展和改革步伐的不断加快,统计事业向纵深发展,在客观上提出了更高的标准,这就需要有一个相对的规范,明确基层基础工作的日常工作建设、流程、制度、保障等。只有统计基层基础工作做到了规范化,才能保证统计工作得以顺利开展。基层统计信息网络平台建设在基层,服务在基层,将数据源头的统计工作纳入信息化的范围,提供基础信息网络服务,为基层统计规范化建设打下坚实基础。
在技术上减轻负担,降低基层压力。日益增长的日常报表业务和层出不穷的各项调查任务使基层统计工作压力骤增,基层统计工作人员苦不堪言。基层统计信息网络平台用信息化改造基层统计事业,用集约化、自动化改造基层统计数据生产流程,最大程度上用电脑代替人脑,在技术上为基层减负。
在任务中学习业务,提高基层水平。“有工作任务,有工作成果”。这是株洲市统计局对乡镇统计机构的基本要求。随着基层统计信息网络平台的建立和完善,基层统计机构利用现代化计算机设备进行数据录入和处理,实时传输电子报表成为可能。乡镇统计机构和人员的信息化水平将大幅提升。
(四)网络平台是统计数据质量控制的重要保障
及时准确采集数据,减少中间环节。基层统计信息网络平台实时采集第一手数据,可以消除数据传输、汇总的许多中间环节,有效抵御中间环节对数据的干扰;可以实现各级统计机构共享同一原始数据,按照统一的方法计算、核算分层数据,
及时准确发布数据,提升统计公信力。基层统计信息网络平台将打通数据流转的各个环节,解决梗阻和瓶颈,各级统计部门将在第一时间得到基层统计数据。随着该网络平台的建设,各种统计报表程序、业务软件将以更高的效率、更便捷的操作运行。统计数据的生产将得到改进和优化,数据发布将更加快捷,更加规范,从而为统计公信力提供有力保障。
第二部分 株洲市统计信息网络的现状和需求
一、株洲统计信息网络建设历程
(一)株洲市级统计信息网络
株洲市统计信息网络事业是从1996年开始的。1996年,株洲市统计局作为“政府上网工程”的首批单位,启动了株洲市统计自动化系统建设工程项目,制定了《株洲市统计自动化系统建设方案》。
1997年底,株洲市统计局全面建成星型拓扑结构的交换式快速以太网,以100Mbps的网络速率连结局内部20多个信息点,并通过拨号方式连入Internet。株洲统计第一个局域网就此产生。该网络实现了局内部信息资源的共享,将数据处理从数据采集中分离出来,使株洲统计信息化水平迈上新的台阶。然而,当时的窄带拨号方式仅能实现56Kbps的带宽,局域网同因特网的接口只能满足局内干部基本的浏览信息的需要,无法实现数据发布,更谈不上资源共享和信息交流,株洲市级统计信息网络仍处于“信息孤岛”的状态。
1998年10月,株洲市统计局开通株洲统计信息网站,开创了湖南省统计网站建设的先河。株洲统计信息网是我省第一个统计网站,也是我市第一个政府网站,它为我市统计信息的发布、共享开辟了新的渠道,为满足党政领导和社会公众的统计信息需求发挥了重要作用。
2002年6月,株洲市统计局采用2M数字电路方式连通了全国统计信息内部广域网,实现了国家、省、市三级政府统计机构的互连互通,加速我市统计系统计算机及网络应用向纵深发展,在株洲统计信息化建设史上占据里程碑式的重要地位。至此,株洲统计信息化事业冲破孤岛,走出游击战、运动战,迈入大兵团集团作战的时期。
2003年以后,株洲市统计局不断加大资金投入,购置多台交换机、防火墙、服务器等网络管理和安全设备。
(二)株洲县级统计信息网络
在株洲市县级统计信息网络建设中,攸县统计局走在前列。在地方政府的高度重视和市局的大力支持下,全省第一个县级统计信息网站──攸县统计信息网率先开通发布。到2001年底,株洲辖区内各县市区内部局域网全面完工,攸县、天元区、醴陵市、荷塘区建立了统计信息网站。此后,各县市区加大投入,加快步伐,先后实现内部局域网同因特网的连通。
2005年在湖南省统计局的统一部署下,株洲市全面建设县级统计虚拟专用网络,通过VPN的方式将所辖县市区统计局的局域网连通全国统计信息内部广域网,基层统计信息网络平台初见端倪。
2006年,株洲市正式启动县级统计信息广域网工程。通过将近一年的建设,以分两步走的模式,先后将五县市和城市四区统计部门的内部局域网纳入全国统计信息内部广域网。至此,全国统计信息内部广域网在株洲地区延伸至县级,株洲统计信息网络实现国家、省、市、县区四级的互联互通。
2008年9月,株洲县级统计网络安全提质工程结束。通过市县两级共同负担,各投资一半的模式,共投资十余万元,购置九台高性能百兆防火墙并配发到各县市区。由此,株洲县级统计信息网络一是安全得到保障,大大降低病毒爆发、黑客攻击的概率,二是性能得到优化,秩序得到稳定。
2009年6月,株洲市县级统计部门信息机房建设初步完成,并达到专用、规范、美观、安全的建设标准。各县市区统计局压缩办公经费,共配套安排专项资金近50万元用于建设统计信息网络机房,进行了机房装修等前期准备工作,筹资购置了配套信息网络机柜和大容量智能不间断电源。
(三)株洲乡级统计信息网络
2008年7月,历时将近一年的株洲乡镇统计站微机室建设落下帷幕。此次乡镇(街道)统计站微机室建设,由省、市、县、乡四级联动,共同投资200余万元(其中市级投资65万元),为全市130个乡镇(街道)统计站添置了计算机、打印机、UPS不间断电源、空调、电话机、传真机,各乡镇(街道)为统计站提供了符合规定标准的微机用房。
建设完成后,株洲所辖各乡镇大力开展上网工程,已全部以各种方式实现与因特网的连接。
二、株洲统计信息网络建设成效
目前,株洲市、县、乡三级统计机构计算机已全部配备到位,并达到人均超一台计算机,“人人拥有计算机,个个会用计算机”的目标圆满实现。
各县市区破解办公用房的紧张局面,腾出房间设立网络专用机房,明确无关设备和办公家具不得进入机房放置,规定机房由信息网络工作专用,并明确专人进行管理和维护。
各乡镇(街道)均已为统计站提供了1~2间办公用房,办公室较为宽敞,微机室按统一标准进行了装修。全市统一配备的计算机、打印机、不间断电源、空调、电话机、传真机已全部安装到位并投入运行。部分县市区和乡镇专门为统计站配备了电脑桌、文件柜、办公椅等办公设施。
株洲市县两级统计部门已通过2M光纤数字电路连通,并整体纳入国家统计信息内部广域网。
为推进信息网络机房建设工作,株洲市局一是制订了《株洲市县级统计部门信息系统机房建设规范》,对各县市区整体规划,统一要求、全局部署;二是统一采购设备,统一了相关设备的技术参数和性能指标;三是加强了对各县市区监控和指导,采取网络远程管理监控和上门指导服务相结合的模式,及时排除和解决各县市区建设过程中的疑难问题,对建设进度进行了统一调度,对工程质量进行了实时监控。各县市区全部信息网络设备已进入机柜定置摆放,信息网络机房以规范化、标准化的思路进行了建设。
目前,株洲全市130个乡镇(街道)统计站有房子、有牌子、有章子、有柜子、有台账、有制度、有微机、有成果,全部实现“八有”。各统计站微机室进行了统一装修,株洲市统计局统一制作“统计站微机室”的牌子并安装到门,微机室各项设备摆放井然有序,130个规范化、现代化的乡镇统计站新鲜出炉。
随着计算机等设备的配置到位,各乡镇(街道)已建立统计电子档案和电子台帐,并反馈本区域统计数据和单位名录库,部分县区已下发安装相关统计软件和报表程序,开始实行小区域统计,将统计工作向乡镇(街道)延伸,所辖乡镇(街道)承担起一定的统计业务和调查任务,为建立简易乡镇统计站核算体系奠定基础。
三、株洲统计网络建设的主要问题
1.解决从源头采集数据的问题。
“夯实统计基础,搞准数据源头”,这是近来统计界热议的话题。要搞准数据源头,首要解决从源头采集数据。采集都没有,何来“搞准”一说?
统计数据的源头在哪里?在各企事业单位、各非公经济企业、各劳动者的身边。企业联网直报,是从源头进行数据采集的重要举措。
对于株洲统计人,企业联网直报平台建设已讨论多年。由于多种问题延误至今。株洲是个老工业基地,规模工业占据相当比重。近年来,伴随着改革不断深化,非公经济成分的规模以上工业企业、限额以上批发零售住宿餐饮企业、资质内建筑业企业和房地产开发企业如雨后春笋,不断冒尖,给基层统计部门带来相当大的工作压力。株洲企业联网直报系统已千呼万唤,迫在眉睫。
解决规模以上工业企业、限额以上批发零售住宿餐饮企业、资质内建筑业企业和房地产开发企业这些“三上”企业直报后,应采取统计代理等多种方式逐步将直报系统推广到规下、限下等中小企业和大型个体户。
企业直报系统应首要解决稳定性,着力解决高速性,全面解决安全性。
2.解决基层统计站远距连接的问题。
怎样实现乡镇(街道)统计机构同全国统计信息内部广域网的连接,是统计信息化工作者的一大难点问题。乡镇(街道)统计机构一是数量众多,仅株洲一地,即存在130个乡镇(街道)。二是位置分散,散布于全市九个县市区。三是距离遥远,茶陵、炎陵的偏远乡镇距离株洲市区达300公里以上。四是交通不便,部分山区乡镇交通极为不便。以上难点造成乡镇(街道)同全国统计信息内部广域网的连接几乎无法采用光纤专线的模式,或者说耗资巨大,投入产出不成比例。
要因势借力。各乡镇(街道)均能通电话,故各乡镇(街道)通过ADSL拨号连入因特网不存在困难。因此,虚拟专用网络(VPN)成为基层统计信息网络向乡级延伸的不二选择。
对于乡镇(街道)VPN的建设,其稳定性和安全性是需要考虑的首要问题。
3.解决各级网络统筹协调的问题。
要统筹规划。基层统计信息网络平台涉及市、县、乡三级统计部门,各级领导要统一认识,各个相关部门要各司其责,各谋其政,统一协调。各级统计部门必须整体规划,统一建设思路,协调建设要求,全局部署,杜绝重复投资和重复建设,切实提高网络平台的工作效率。罗马不是一天建成的,网络平台亦不可能一蹴而就,而是一个长期投入、长期建设的过程。各级统计部门应制订长期规划,长远发展目标。
要统筹建设。网络线路连结两端节点,网络平台的建设先天上就要求线路两端部门统一步伐,同时行动。应统筹进行设备的选型和购买,协调建设进度,统一控制工程质量。
要统筹管理。对于统计网络平台,工程建设仅仅只是长征第一步,大量的、长期的、后续的工作是管理。怎样使网络平台保持稳定,长期以高效便捷的态势运行,需要统筹进行管理。一是要明确基层统计信息网络建设的主管领导,明确网络平台的专职管理维护人员。二是要统一制订管理制度和维护方案,落实责任,明确义务。要统筹建立网络平台设备更新换代制度,市县乡三级统一更换。三是要制订应急处理预案,在涉及网络及安全方面的紧急状况出现时能够有章可循,有案可依。
要统筹服务。基层统计信息网络平台服务于直报企业,服务于乡镇(街道)统计机构,服务于各级统计部门,为统计数据处理、办公自动化、信息网站等业务提供支持。网络平台必须同时对上述实体提供足够的合乎要求的接口和介质,在资源有限的时候必须统筹运营,协调各项服务正常运行。
4.解决建设资金严重匮乏的问题。
2008年以来,随着世界金融危机的不断深化,资金匮乏正前所未有地成为制约统计信息化建设的瓶颈,成为统计信息网络平台建设的拦路之虎。
株洲市统计局在借势造势、借力打力方面做了积极的探索。一是2007年,借省局统一为全省乡镇配备微机的东风,株洲市广开财路,多方筹措,向市县两级财政筹得配套资金近200万元,提高了微机打印机的档次,进行了房屋装修、购置了不间断电源、空调器等设备,取得了乡镇统计站微机室的建设的重大突破。二是2009年,借国家局下拨二经普服务器的东风,株洲市借力造势,要求各县市区解决配套资金10万元,用于大功率不间断电源、网络机柜等配套设施的购买,和机房的装修布线改造,从而获得县级网络机房建设的圆满成功。
必须清醒地认识到,受资金的制约,株洲信息网络建设正在同沿海发达地区拉开距离;在长株潭范围内,株洲市常年统计信息化建设投入不足长沙的50%,略逊于湘潭,受资金匮乏的影响,株洲不得不由于步伐的减缓而落在后头。
信息化建设是大量投入的事业,信息化部门是大笔花钱的部门,信息网络建设更加是“烧钱”的工作。从设备的购置,到线路的租用,到系统的维护,再到人员的培训,其建设的过程本身就是资金不断投入的过程。没有资金的支持,信息网络平台只能是水中之月,镜中之花。
第三部分 基层统计信息网络平台建设思路
一、网络平台建设的组织模式
(一)统筹制订建设方案
基层统计信息网络平台连接市、县、乡三级统计部门,基层包含全部统计人员和统计工作用计算机,必须以全市一盘棋的思路,整体规划,统筹建设,协调步伐,因此,基层统计信息网络平台应由市级统计信息化主管部门牵头,制订一揽子建设方案并负责组织实施,县级统计信息化主管部门负责辖区内统计信息网络平台的组织实施。建设方案应通盘考虑各级统计部门的实际需求,通盘考虑本地统计信息化的发展水平。
基层统计信息网络平台的骨干架构和业务核心应归一化,并由市级统计部门构建。受资金和管理水平限制,县级统计部门尚不具备骨干网络和核心平台的搭建和管理能力。
(二)着力保障建设资金
对于基层统计信息网络平台建设,资金保障是关键。
要保证首期一次性投入的资金。包括各项网络设备、安全设备的购置费用、VPN通道密钥的购置费用、联网直报软件的开发费用。
要保证日常运行维护的资金。包括网络线路的租赁费用、各项网络设备、安全设备的维护费用、VPN通道的维护费用、联网直报系统的维护费用。
要保证网络平台后续发展的资金。包括各项网络设备、安全设备的更新换代费用、网络平台科学发展、可持续发展的费用。
(三)完善建设工作机构
信息化建设是“一把手”工程,信息网络平台建设需要大量的资金保障,更加需要谋取主要领导的支持和重视。
网络平台建设涉及市、县、乡三级统计机构,涉及统计系统内多个部门和专业,需要成立协调性常设工作机构来具体负责组织实施。
二、规划定位和层次划分
(一)功能定位和规划
基层统计信息网络平台应在完善市、县两级统计机构局域网的基础上,着力解决市、县、乡三级统计机构的互联互通,并实现“三上”企业统计数据联网直报。
就目前的形势考虑,为取得资金和效能的平衡,乡级基层统计站,应使用虚拟专用网络接入网络平台。
即:市县两级统计部门建设好内部局域网,通过光纤专线连接;乡级统计机构处于单机工作模式,通过虚拟专用网络连入网络平台;企业统计人员通过互联网接入网络平台。
(二)网络平台的层次
●信息接入层
直接面向数据源头,连接各“三上”企业和乡镇(街道)统计站,允许终端对象接入统计信息内部广域网,满足各项业务的初始接入,并将数据发送到汇聚节点。
基层统计信息网络平台的接入层定义为企业和乡镇统计用微机,以及解决其连入互联网的网络系统。
这一个层次,要解决各直报企业和各基层统计站接入互联网的问题。
●信息汇聚层
连接接入层节点和核心层中心。汇聚层设计为连接本地的逻辑中心,对接入层输送的数据进行汇聚后送核心层。
基层统计信息网络平台的汇聚层包括县级统计网络系统,以及联网直报汇聚节点和乡镇(街道)VPN汇聚节点。
●骨干核心层
核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。网络的控制功能最好尽量少在骨干层上实施。核心层一直被认为是所有流量的最终承受者和汇聚者,所以对核心层的设计以及网络设备的要求十分严格。核心层设备将占投资的主要部分。
三、企业统计网络
(一)企业统计网络的实现模式
就目前而言,企业统计网络由企业联网直报实现,存在两种实现模式:
一是独立的联网直报系统,仅仅实现单独的企业数据填报功能,功能较为单一。这种模式基于B/S(Browser/Server)即浏览器/服务器方式,全部以WEB方式实现,程序运行全部在应用服务器上实现,操作人员不需要安装和运行客户端程序,采用浏览器方式,只要打开浏览器即可填写、上报数据及查询信息,简单易行,便于普通人员掌握,实现了客户端的零维护、零管理,统计基层单位只要能上网就能进行联网直报,易于推广。其运行模式为:企业统计工作人员登录,填报数据并通过网络传输至服务器,各级相关统计部门工作人员登录,从服务器取回原始数据,再通过数据接口将原始数据导出至传统业务处理平台进行数据处理。这种模式下,数据采集和数据处理是分离的。
二是作为统计综合业务平台的一部分,实现全面的统计数据采集和处理。这种模式一般采用C/S(Client/Server)即客户端/服务器方式。直报企业的统计从业计算机上必须安装客户端软件,程序运行同时在服务器和客户机上实现。其功能强大,结构复杂,维护较难,投入较大。其运行模式为:企业统计工作人员登录系统,填报数据并通过网络传输至服务器,各级相关统计部门工作人员登录系统,直接在本系统中进行数据处理。这种模式下,数据采集和数据处理是集成的。
(二)信息接入层
本层次解决各直报企业怎样通过互联网将统计数据发送至汇聚点的问题。
互联网是联网直报系统数据传输的媒介。各“三上”企业要创造条件接入互联网。要通过宣传发动、行政手段等方法督促各直报企业将本单位统计从业计算机接入互联网。
对于C/S(客户端/服务器)模式,必须在终端(即各直报企业从业计算机)上安装客户端软件。软件的安装和维护,可以采取直报企业自行解决的方式,也可采取县级统计部门代为解决,并收取一定费用的方式。
对于B/S(浏览器/服务器)模式,终端上无需安装客户端软件,无需安装和维护,统计数据通过IE浏览器进行上传。各项信息和数据以HTTP明文的方式在互联网上传输,必须进行严格加密。可采用SSL安全套接字协议对HTTP明文进行加密。
(三)信息汇聚层
本层次解决信息汇聚点怎样收取保存各直报企业接入点上传的统计数据。
信息汇聚点收取全市直报企业的统计数据,应在市级统计局机房设立,直接连接网络平台核心转发节点。
信息汇聚点直接面对互联网,应有效预防网络风暴,提高抗DDOS拒绝服务攻击的能力。
统计事业的实效性要求直报企业的月度数据及时报送。这意味着各直报企业几乎会在同一时间报送数据;意味着报送时间点附近将出现极高的并发数据流量。这就要求联网直报子系统的汇聚层设备具有较高的并发量和冗余量。
(四)信息存储模块
直报企业,少则万余,多则数万,意味着海量的数据资料。需要构建专业的数据存储系统方可满足直报数据保存的需求。
当前直接存放数据的主流技术是磁盘冗余阵列。
磁盘阵列简称RAID(廉价磁盘冗余阵列)。其原理是利用数组方式来作磁盘组,配合数据分散排列的设计,提升数据的安全性。磁盘阵列是由很多便宜、容量较小、稳定性较高、速度较慢磁盘,组合成一个大型的磁盘组,利用个别磁盘提供数据所产生的加成效果来提升整个磁盘系统的效能。同时,在储存数据时,利用这项技术,将数据切割成许多区段,分别存放在各个硬盘上。磁盘阵列还能利用同位检查(Parity Check)的观念,在数组中任一颗硬盘故障时,仍可读出数据,在数据重构时,将故障硬盘内的数据,经计算后重新置入新硬盘中。
磁盘阵列其样式有三种,一是外接式磁盘阵列柜、二是内接式磁盘阵列卡,三是利用软件来仿真。外接式磁盘阵列柜最常被使用大型服务器上,具可热抽换的特性,价格较为昂贵。内接式磁盘阵列卡,因为价格便宜,但需要较高的安装技术,适合技术人员使用操作。另外利用软件仿真的方式,由于会拖累机器的速度,不适合大数据流量的服务器。
联网直报系统需要极高的稳定性和最大的可靠性。故应该采用外接式磁盘阵列柜的模式。可考虑磁盘阵列柜加挂阵列硬盘,组建RAID5模式的磁盘阵列。
四、乡镇(街道)虚拟专用网络
(一)虚拟专用网络的定义
虚拟专用网络(Visual Private Network,以下简称VPN)定义为通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。之所以称为虚拟网主要是因为整个VPN网络的任意两个结点之间的连接并没有传统专网建设所需的点到点的物理链路,而是架构在公用网络服务商ISP所提供的网络平台之上的逻辑网络。用户的数据是通过ISP在公共网络(Internet)中建立的逻辑隧道(Tunnel),即点到点的虚拟专线进行传输的。通过相应的加密和认证技术来保证用户内部网络数据在公网上安全传输,从而真正实现网络数据的专有性。
虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。
(二)虚拟专用网络的主要模式
目前主流VPN技术分两大阵营:IPSEC VPN和SSL VPN。
●IPSec VPN
IPSec协议是网络层协议,是为保障IP通信而提供的一系列协议族,主要针对数据在通过公共网络时的数据完整性,安全性和合法性等问题设计的一整套隧道,加密和认证方案。远程用户需安装特定的客户端软件,相对来说比较复杂,对于非专业人员或不是很熟悉这个协议的人来说,有一定的难度。而且新增用户比较困难,但是由于IPSec协议是在网络层上的,与上层协议无关,所以可以随时添加和修改应用程序,对于应用层协议没有特殊要求,所以它的应用领域非常之广。它提供的是网络边缘到客户端的安全保护,仅对从客户到VPN网关之间的通道加密。
●SSL VPN
SSL协议是套接层协议,是为保障基于Web的通信的安全而提供的加密认证协议,提供的是应用程序的安全服务而不是网络的安全服务。与IPSec相比,SSL VPN不需要特殊的客户端软件,仅一个Web浏览器即可,而且现在很多浏览器本身内嵌SSL处理功能,这就更加减少了复杂性。而且由于它是运行于应用层的,与底层协议无关,所以增加用户很简单,但是应用程序扩展比较麻烦。其次,因为并不是所有的应用都是基于Web的,这也是它的一个限制。它保证端到端的安全,从客户端到服务器进行全程加密。
(三)信息接入层
本层次解决基层乡镇统计机构怎样通过互联网同统计网络平台建立通道的问题。
互联网是承载虚拟通道的介质,没有互联网的连接,则VPN无从谈起。必须采取多种方法解决辖区内全部乡镇统计机构接入互联网。
对于IPSEC模式,需要在终端(即乡镇统计站计算机)安装客户端软件。鉴于乡镇统计人员变动频繁的现状,要建立客户端安装维护的制度,解决初期安装和后续技术支持的问题。
对于SSL模式,必须搞好培训。使基层统计工作者掌握SSL技术,熟练使用浏览器通过SSL通道进行统计相关应用。
(四)信息汇聚层
本层次解决各乡镇VPN通道怎样汇聚进入网络平台的问题。
乡镇虚拟专用网络连接全市辖区内全部乡镇,故汇聚点应在市局机房内设立,直接连接网络平台核心转发节点。
汇聚点设立VPN网关,用于接收VPN通道,并进行VPN隧道的解密。信息汇聚点直接面对互联网,应有效预防网络风暴,提高抗DDOS拒绝服务攻击的能力。
(五)密钥的管理
VPN需要极高的安全性能。VPN直接面对互联网,各项信息数据亦通过互联网传输。一旦出现安全事故,或者密钥泄露,内部网络将暴露在互联网上,信息安全则破坏殆尽。
一是要选择知名厂商的产品和技术,保证较高的加密技术和性能,二是要加强人员和密钥的管理。
密钥,是VPN网关进行用户识别的最重要条件。首先要设定密钥和接入点为一一对应,即一个密钥只供一个接入点使用,一个接入点亦只使用一个密钥。其次,将密钥固化入硬件USB密钥盘,形成“硬件狗”,摒弃软件密钥方式,从而对VPN用户和接入点进行有效管理,最大限度增强密钥的安全。
五、核心骨干网
骨干网包括核心转发节点、市局局域网汇聚节点、各县局局域网汇聚节点、乡镇VPN汇聚节点和联网直报汇聚节点,以及连接它们的线路。
核心转发节点、市局局域网汇聚节点、乡镇VPN汇聚节点和联网直报汇聚节点的线路均位于核心网络机房内部,连接它们的线路为短程线路,考虑线路的性能,应采用6类线。
县局汇聚节点至核心转发节点的线路为长途线路。主流运作模式为租用电信、网通等ISP的光纤数字电路。
六、安全审计和边界隔离
(一)安全审计和定级
信息系统的定级是等级保护工作的首要环节。从等级保护角度看,安全级别定不准,系统备案、建设整改、等级测评等工作就都失去了针对性,完整地理解国家等级保护政策、准确定级,是开展后续整改和测评工作的基础,可以避免后续工作走弯路,造成投资浪费或者安全程度过低;从定级单位自身的安全需求看,是本单位结合业务需求、信息安全建设现状,从自身安全需求出发,进行有针对性的信息安全规划、建设、运维的实际要求。
基层统计信息网络平台涉及多个局域网和广域网,穿越互联网,用户量大,应用件多,存在内部服务设备和外部服务设备,较为复杂,需要进行严格的安全审计,划定安全级别。
零级安全区域:各直报企业的接入计算机。无法信任,亦无法对其有效控制。在本平台的设计中,不对其采取安全措施。
一级安全区域:各乡镇统计机构的接入计算机。对其有效控制较为困难。主要采取单机版防杀病毒软件和反木马软件进行防护。
二级安全区域:乡镇虚拟专用网络的汇聚点、对外服务器群(包含联网直报汇聚点服务器)。处于内网和外网的接口处,作为数据交换的界面。
三级安全区域:市县两级的局域网。包括市县两级全部工作人员的工作用机。
四级安全区域:市级统计局对内服务器群。承载全平台的核心数据,安全级别最高。
(二)隔离不同的安全级和安全域
1.主要隔离设备:防火墙。
防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。
防火墙通过在其上设定一系列的安全策略和隔离规则来完成区域的隔离。
2.辅助隔离设备:隔离网闸
隔离网闸,通常部署在两个互不信任的网络之间,其目的是隔开两个网络之间的直接连接,同时保证网络之间的信息交换。
隔离网闸能够实现两个网络之间的隔离,所有的数据交换必须通过隔离网闸,网闸从网络层的第七层将数据还原为原始数据(文件),然后再以“摆渡文件”的形式来传递数据。因此,没有命令和TCP/IP协议可以穿透隔离网闸。
网闸的安全性在于中断了网络的直接连接。这是真正意义上的物理层的断开,意味着“不能基于一个物理层的连接,来完成一个OSI模型中的数据链路的建立”。网闸完全不支持TCP/IP协议,在网闸中基于协议的数据包被还原成最原始的数据(文件)。这样,就可以完全阻断基于TCP/IP的攻击。
3.隔离二级安全域与零、一级安全域。
这是网络平台核心部分与互联网的界面,防火墙为首选隔离设备,考虑到海量的并发连接数,应选用千兆防火墙。
4.隔离三级安全域与二级安全域。
一是在VPN网关和核心节点间部署防火墙。作为全冗余设计,可部署独立防火墙;考虑资金因素,可采取集成方案,即购置功能强大、自带性能优越的防火墙的VPN网关,将VPN网关的自带防火墙后置。二是在对外服务器群与核心节点间部署物理隔离网闸。这是内网外网信息交换的主要渠道,为确保内网的物理隔离,故部署物理隔离网闸。
5.隔离四级安全域与三级安全域。
保护内部服务器群。若采用全冗余方案,则部署独立防火墙;若考虑资金因素,可采取集成方案,将内部服务器群定义为内部DMZ区,集成至市局局域网防火墙中。
七、信息安全和保密
(一)冗余和备份
1.双机热备。
联网直报服务器等关键性、实时性要求较高的服务器应使用双击热备技术。
所谓双机热备,就是将中心服务器安装成互为备份的两台服务器,并且在同一时间内只有一台服务器运行。当其中运行着的一台服务器出现故障无法启动时,另一台备份服务器会迅速的自动启动并运行(一般为2分钟左右),从而保证整个网络系统的正常运行!双机热备的工作机制实际上是为整个网络系统的中心服务器提供了一种故障自动恢复能力。
双机热备按切换方式分为:主备方式(Active-Standby方式)和双主机方式(Active-Active方式),主-备方式即指的是一台服务器处于某种业务的激活状态,另一台服务器处于该业务的备用状态。而双主机方式即指两种不同业务分别在两台服务器上互为主备状态。
采用双机热备技术后,可以保证热备的各项业务的连续性和连贯性,最大限度的降低了系统宕机的可能。
针对统计信息网络平台的状况,应将磁盘阵列和双机热备结合起来,通过磁盘阵列提供切换后,对数据完整性和连续性的保障。用户数据一般会放在磁盘阵列上,当主机宕机后,备机继续从磁盘阵列上取得原有数据。这种方式因为使用一台存储设备,往往被业内人士称为磁盘单点故障。但一般来讲存储的安全性较高。所以如果忽略存储设备故障的情况下,这种方式也是业内采用最多的热备方式。
2.负载均衡。
从长远来看,网络平台核心部分接入互联网的光纤专线最好采取负载均衡技术,同双主机热备结合起来。双服务器主机同时对互联网提供服务;负载均衡设备则将来自互联网的请求均匀分配到每一台服务器主机,从而减轻服务器负担,在互联网出口处减轻了拥塞,减低了被DDOS攻击的可能。
(二)物理隔离
1.物理隔离技术综述
国家保密局2000年1月1日起实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条明确规定,“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相连接,必须实行物理隔离”。
实行内部网和公共网的物理隔离,可确保内部网不会受到外部公共网络的非法攻击。同时,实行物理隔离也为涉密计算机及信息系统划定了明确的安全边界,使得网络的可控性增强,便于内部管理和防范。日前,物理隔离技术已成为网络安全保密体系中不可缺少的重要手段,越来越受到各部门、各单位的高度重视。
为确保物理隔离技术和新产品的安全保密,国家保密局对物理隔离提出了明确的保密技术要求:
1.在物理传导上使内外网隔离,确保外部网络不能通过网络连接而入侵内部网络,同时防止内部网络的信息通过网络连接泄露到外部网络。2.计算机屏幕上应有当前处于内网还是外网的明显标识。3.内外网络的接口处应有明确的标识。4.内外网络切换时应重新启动计算机,以清除内存、处理器等暂存部件残余信息,防止秘密信息串到外网上。5.移动存储介质未从计算机取出时,不能进行内外网络切换。6.防止内部网络信息通过电磁辐射泄露到外部网络上。
2.双硬盘物理隔离卡
工作原理是在现有的计算机中增加一个硬盘和网卡,通过隔离卡上的控制和开关电路,实现工作站在内外网双重工作状态,两个状态是完全物理隔离。当一个硬盘工作时,另一个硬盘处于断电不工作状态。内网硬盘工作时,只有内网网线接入;外网硬盘工作时,只有外网网线接入。开机前通过一个选择开关,选定进入内网或外网工作方式,开机后,将相应启动内网或外网硬盘,并接入对应的内网或外网网线。使用中需要切换内网或外网工作方式时,则应正常退出关闭电源,再行选定选择开关,重新开机。
3.单硬盘物理隔离卡
工作原理是通过对单个硬盘上磁道的读写控制技术,在一个硬盘上分隔出两个工作区间,这两个区间无法互相访问。它以物理方式将一台电脑虚拟为两部电脑,实现工作站的双重状态,既可在安全状态,又可在公共状态,且两种状态是完全隔离的,从而使一部工作站可在完全安全状态下连接内外网。安全隔离卡被设置在PC的物理层上,内、外网的连接均需通过网络安全隔离卡,在任何时候,数据只能通往一个分区。
4.采用物理隔离解决市级统计工作人员访问互联网的问题。
首先必须双线路布线。在已有网络平台的基础上,另外布一套线路用于访问互联网。
其次解决访问互联网的终端。若存在空闲的旧计算机,则可以采用单独的终端,使用单独的计算机,同内网物理隔离,连入互联网。若不存在,则可以采取加物理隔离卡的方式,在已有的计算机上加装网卡,根据物理隔离卡的种类选择是否加挂硬盘,从而较为圆满地解决内部工作人员访问互联网。
(三)进一步的安全保密措施
为进一步加强网络安全和保密,可以在互联网接口处架设专业抗DDOS攻击设备和入侵防御设备,增加系统的健壮性和抗攻击能力。
可以在局域网内部架设上网行为管理系统和U盘管理系统,进一步加强局域网的管理,对工作人员的行为进行监控,减少病毒的传播,进一步增强系统的保密性。
八、统计内部网和政府内部网的整合
(一)政府系统内部信息网
目前,政府联网工程,即政府系统内部信息网正紧锣密鼓、有序推进。其模式为:
纵向:各级政府的政府办通过光纤专线连接起来。
横向:本级政府所辖各部门通过光纤专线连接本级政府办。
这样,即达成各级政府的各个部门的互联互通,构建一张庞大的政府系统内部广域网。
举例来说,市统计局连接市政府办,市政府办连接县政府办,县政府办连接县统计局,从而市县两级统计局将由政府内部网络连接起来。
应将统计内部网络整体纳入政府内部网络。一是可以整合资源,避免重复投资和重复建设,二是可以较为圆满的解决乡级统计机构联网的问题。在远期规划中,政府内部网络将采用光纤专线的方式延伸到乡镇(街道),这样,乡镇统计站也通过光纤连接了县统计局。
(二)整合模式
统计网络和政府内部网络的整合存在两种模式:
一是整体无缝并入。使用一套网络设备,分配一套IP地址。统计网络彻底成为政府内部网络的一部分,接受政府网络部门的管理。这是发展方向和远景目标,但是实现有难度,工作量较大,并且需要自上而下,由国家统计局统一部署进行。
二是部分并入。使用政府内部网络的物理线路和数据链路,在网络层则分离,构建隧道,应用层完全独立。使用独立的网络设备,自行分配IP地址,“借政府的路,走自己的车”。这样,既避免了重复投资和重复建设,又使统计网络保持相对独立和自治,工作量较小,可以作为“两步走”战略的第一步。其难度在于和同级政府办的协调。
[供稿:株洲市统计局信长华 尹桂林 龙天云 尹琼红]
[责编:张艳]
