新会市国家税务局广域网系统可行性研究报告.docx
《新会市国家税务局广域网系统可行性研究报告.docx》由会员分享,可在线阅读,更多相关《新会市国家税务局广域网系统可行性研究报告.docx(40页珍藏版)》请在冰豆网上搜索。
新会市国家税务局广域网系统可行性研究报告
第I章前言
前言
近年来,计算机、信息和通讯技术以惊人速度不断发展,为建立信息管理系统提供了坚实的基础。
Internet/Intranet在全球的日益普及,使信息更方便地进入每个人的工作中。
新会市国家税务局是担负着全市范围内的纳税户管理和税款征收任务。
拟定中的计算机网络系统将连接包括市局、分局的二级网络架构。
因此计算机系统将结合局域网技术和网络互连的广域网技术。
拟建成的系统除实现全市各部门的信息资源共享,便于及时掌握各方面的动态,使管理工作更加高效化、规范化、科学化外,还将是联系省局、市政府、地税、工商、银行、海关等部门的桥梁。
广州市公司是一家以从事软件系统开发和网络系统集成为主要经营方向的高新技术企业,在软件的开发和系统集成方面拥有丰富的经验。
如山西省电力厅网络工程、海南大学校园网、广州赛马会网络工程(含各地市远程投注)、广东证券广域网工程等都是本公司负责建设。
在广东省国税方面,参与了省统一征管软件的开发,承担了集中式统一征管软件的改造工作,完成了广州市国税局网络工程(全市四级网络)、清远市国税局网络工程(全市四级网络)、东莞市国税局网络工程(全市三级网络)、三水市国税局网络工程(全市二级网络)。
在本方案建议书中,xx公司依据对国税应用系统的了解,通过对各应用系统(征管系统、行政办公及办公自动化系统、交叉稽核、重点税源管理、领导辅助决策及为纳税户服务系统等)的工作模式及数据流量的分析,结合对其他国税系统网络工程的经验,建议了一套先进的计算机与网络系统方案,充分利用了计算机科学与网络技术的最新发展成果,考虑了系统的实用性,可管理性以及灵活扩展能力,并对方案的具体实施提出了参考建议。
系统将在数据传输、设备选型、系统容错、性能价格等方面达到平衡。
在可靠性、先进性、安全性和简单且易维护方面得到保障。
xx公司相信,通过与新会市国税局的密切合作,一定能够建设一个高标准的国税税务电脑网络系统,为将来长期的友好合作关系打下良好的基础。
第II章系统需求分析
2.1网络需求分析
新会市国税局计算机网络系统将连接包括市局、分局的二级网络架构。
该系统将结合局域网技术和网络互连的广域网技术,实现全市国税范围内各部门的信息资源共享,便于及时掌握各方面的动态,使管理工作更加高效化、规范化、科学化外,还将是联系省局、市政府、企业、地税、工商、银行、海关等部门的桥梁。
对外可接入Internet网。
网络技术发展到今天,出现了:
一、以双绞线为传输介质结合集线器构成的星型以太网结构取代单一的以铜舳电缆为传输介质的总线型网络;
二、交换技术引入计算机网络,出现了以交换取代共享的局面;
三、多种高速传输技术的产生,包括:
FastEthernet,GigaEthernet,ATM等网络传输技术;
四、从计算机局域网到广域网的一体化解决方案的不断发展。
以上四点反映了网络技术的发展趋势。
在早期总线型结构以太网实践中,出现的可靠性差,维护困难等问题,导致10BASE-T结构网络的产生,并形成结构化布线的基础,但随着网络规模和网络信息量的增大,虽然通过增加网段的方式可增加和工作站间的通信频宽,减少每个网段的工作站数,提高服务器和工作站通信速度,但由于服务器必须对网段进行管理处理服务器由各网段的包接收发送请求,协调网段间的工作,因此随着网段数的增加,服务器的负荷越来越重,直接影响到服务器的处理能力,引发网络整体速度慢,导致网络阻塞,特别是网络主干上的阻塞,在这种情况下只有新的更高速的网络技术才能彻底解决网络阻塞问题,交换式以太网技术就是在此基础上,以多频道技术,配给高速总线动态交换数据,从而获得最大的有效频宽,提高网络的数据传输速度;交换技术发展到现在,交换不仅是交换式以太网,也可发生在多种网络技术之间,如:
Ethernet,FastEthernet,FDDI和ATM;随着Switch、FastEthernet、ATM技术的产生,丰富了高速网络技术。
新会市国税广域网络系统既有一般广域网的特点,同时又具有明显的特殊性:
1.网络的规模较大
新会市国税广域网系统的网络接点数包括全市23个分局,数据量包含全市所有纳税户的数据信息。
因此,设备的选型应充分考虑税务应用系统的特点及今后的发展趋势。
我公司在这方面有一定的经验。
2.机构正在调整
当前,税务机关正在进行机构改革、机构分设,如征收点的合并及撤消等,设备的选型应考虑到这些特点。
3.已有一定数量的应用系统正在运行
市国税局正推广使用全国统一征管软件,办公自动化系统,要充分分析其数据分布及网上的数据流量。
新会市国税广域网络系统的建设,应该是围绕着应用展开的网络建设。
网络的一切建设思想应该首先考虑应用。
该系统的建设,主要是围绕建设税务信息管理系统,兼而考虑Internet/Intranet、办公自动化等最新应用技术与管理模式。
该网络系统工程的建设,应围绕应用类型、应用规模、数据流量来考虑设备选型。
下面对税局应用系统需求进行简单分析。
2.2应用系统需求分析
2.2.1工作模式分析
新会市国税局网络承担的各项应用系统可归类为:
数据库管理系统、综合办公事务处理系统、为纳税户服务及领导辅助决策系统。
该三类系统的应用工作模式及流程的情况如下:
数据库管理系统
一个分布式的数据库管理系统可以把同一网上不管是局域网或广域网上的多个数据库看成一个逻辑整体,实现分布式查询、分布式更新、分布式的事务管理,用户可以透明地操作不同地点的不同数据库系统所管理的数据,这要求:
●网络透明性
使用一种网络通信协议的工作站,透明地与使用另一种网络通信协议的服务器通信。
●位置的透明性
保持一个全局的数据字典,将各数据元素与分布式实体,用户可以象访问单个数据库那样访问分布式数据,而不考虑如何存储及存储在哪里。
●SQL透明性
用户使用一种SQL语言解决异构数据的定义、查询、修改,而不必知道不同RDBMS所使用的SQL语言的差别。
●厂商的透明性
用户面向一个逻辑数据库进行操作,透明地访问存储在多种DBMS中的数据,不必关心每一数据库的特殊工作方式。
综合办公事务处理系统
综合办公事务处理系统面向税局办公自动化、网络化和员工协同工作,目的是使企业内部信息交流和办公水平更加高效化、规范化、科学化。
综合办公事务处理系统应包括非结构化多媒体文档信息的管理和共享、工作流、电子邮件、电子会议和计划图表等功能,在此基础上实现个人办公管理、领导办公管理、公文管理、政务信息管理、签报、报告管理、会议管理、值班管理、日程安排、大事管理、公共信息服务等系统功能。
OA系统包括系统层和数据层二大部分。
数据层是系统信息、文件等的存放场所;系统层包括公文管理、信息交换、个人事务等三大模块。
公文管理模块实现进口文件报告的登记、分发、催办、归档、查询以及出口文件报告的起文、审批、分发、归档、查询等功能,其核心是工作流引擎(WorkflowEngine)。
信息交换模块包括电子邮件交换、新闻系统和电子公告系统,其核心是电子邮件系统;个人事务模块,包括个人桌面文字处理、电子表格、日程管理等辅助办公工具。
为纳税户服务及决策支持系统
综合办公事务处理和专业管理信息系统只是INTRANET的初级和中级应用阶段,为使INTRANET对管理工作作出实质性的贡献,并取得更大的经济效益,应包含更高级的为纳税户服务及为领导决策支持服务系统的应用。
SDSS(服务决策支持系统)在半结构化和非结构化决策活动过程中,通过人—机对话,向纳税户和决策者提供信息,并为决策者提供一个分析问题、构选模型和模拟决策过程及其效果的决策环境,协助决策者发现和分析问题,探索解决方案,评价、预测和选择方案,提高决策人员的决策技能和决策质量。
由于SDSS需要处理的数据类型复杂、格式化程度底,并且包含大量的历史数据和企业外部数据,建议采用数据仓库技术存储和管理数据;又由于SDSS对信息加工的要求比较复杂,并且具有很大的随机性,建议采用专业统计分析软件包和OLAP(联机分析处理)技术来解决。
2.2.2数据流量分析
由于各项应用系统中数据流量最大为统一征管软件系统,该系统已经建立,采用Client/Server方式,原主服务器位于中心分局或区局,多个应用系统的数据库建立在运行于中心服务器的Sybase关系数据库之上。
在Client/Server的运行模式下,客户端的程序只负责将用户的操作转换为对服务器端应用程序的调用,并将应用程序执行的结果或页面文件的形式返回给用户。
这就意味这对中心服务器大量的访问,从而对中心服务器的处理能力和广域网带宽造成压力。
而办公自动化系统有一定的局部性,在各个分部之间及上下级之间主要是电子邮件的和少量文件的传输,由于该两种传输具有随机性,一般不会对网络带宽造成持续的影响,因此在带宽估算上不把二者作为主要因素,而是在估算后带宽上增加一些冗余作为解决方法。
因此在广域网带宽设计上需注意满足以下容易形成网络通信瓶颈的方面:
◆征收点访问区局时区局中心的广域网带宽形成瓶颈。
◆中心分局访问区局时区局中心的广域网带宽形成瓶颈。
◆中心分局的广域网出口带宽形成瓶颈。
通常,由于本系统是一个新建立的网络,市国税原先没有建立互连的税局内部网络,在得不到日常工作中的网络流量数据的情况下,不能运用排队论进行计算求得广域网带宽需求,只能根据经验结合纳税户数及接点数进行大致的估算。
为了对市局和各个区(县)局的广域网带宽进行估算,首先需确定对每台客户机(PC)在Client/Server的模式下对带宽需求的最小值。
同时还要考虑到在同一个局域网内部,所有的对区局本部的访问都需通过唯一一个广域网端口。
以太网CSMA/CD的对通信信道争抢方式,使网络的利用率约为30%,由于各地局域网都使用交换技术,因此利用率可达50%以上。
由于FrameRelay的带宽常用的有19.2K,64K,128K,256K,1M,2M等,考虑到整个市国税的应用是个逐步的过程,而线路的租费是逐步下调的趋势,建议DTU设备采购较高速率,分局、区(县)局采用64K/128KFrameRelay(待应用基本上运用后可进行排队论计算),市局采用1个2MFrameRelay。
2.3解决方案分析
通过以上分析,新会市国税局网络采用何种网络体系结构,首先必须了解当今计算机体系结构模式的分类及其特点:
计算机体系结构主要有四种模式:
分时(time-sharing)方式、资源共享(resourse-sharing)方式、客户/服务器(client-server)、WWW方式。
分时系统(time-sharing)
分时系统通常由两大部分组成:
系统主机与用户终端。
整个系统的所有处理均在主机上运行,分时使用主机资源。
资源共享方式
资源共享方式的系统也由两大部分组成:
系统主机与用户端工作站。
系统主机在这里充当资源服务器(如文件、打印服务等)的角色,一般只提供资源共享服务,不作数据处理。
用户端工作站通常是微机,用户输入、屏幕输出、数据处理等工作全部在工作站上完成。
其常见的例子是一个计算机局域网系统,常见的NETWARENOVELL即是典型例子。
客户/服务器
客户/服务器技术是融合了分时系统与资源共享方式的优点的基础上发展起来的。
它有效地解决了前两种方式存在的问题。
它将一个系统分成两大部分,并在两部分内协调工作,达到最佳效果。
前端处理所有的屏幕和用户的输入/输出;后端系统提供数据处理、信息共享、高级管理及安全服务。
税务信息系统的核心系统统一征管软件系统采用的就是该种模式,对新会国税统一征管软件系统而言,其数据库的分布显得很关键:
大多数的分布式网络系统应用都会面临一个艰难的选择:
采用集中式的数据处理还是采用分布式的数据处理。
以下是数据集中处理与数据分布处理在性能、安全性、应用开发难度、投资、可管理性、和易维护性等方面的比较。
集中式数据处理
集中式数据处理的优点:
✧技术非常成熟,避免了分布式处理所带来的诸多技术难题;
✧应用软件的开发工作相对简单;
✧数据库系统容易维护,管理简单;
✧系统初期投资、实现成本和运行成本低:
初期投资包含对数据库系统软件的投资、主机服务器投资和各数据中心间的高速通讯线路。
实现成本包含软件开发成本和为分布式数据管理配备管理机构。
运行成本包含通讯费用,运行维护费用和管理人员费用等;
✧适合于集中管理的企业组织和业务模式。
✧集中式数据处理的缺点:
✧系统中各节点依赖广网络,当广域网发生故障时,节点无法工作;
✧系统依赖于数据中心,当数据中心发生故障时,整个系统瘫痪;
✧物理数据远离用户,远程节点的响应时间较长。
分布式数据处理
分布式数据处理的优点:
✧较之集中式数据处理技术先进、高效、灵活、易扩充、全局安全性高;
✧适合于分散形式的企业组织和业务模式;
✧系统中的各节点对广域网的依赖较小,当某数据中心出现故障时,除部分全局业务功能受影响外,其他业务受影响程度教小;
✧物理数据接近用户,响应时间较短;
✧适合于分布或合作关系的企业组织模式。
分布式数据处理的缺点:
✧技术尚未完全成熟,分布式算法的实现效率较低,如分布式更新、复制、备份、分布式快照、全局一致性保障等;
✧应用软件的开发难度和工作量较大,尤其在故障恢复时和保障全局一致性时,设计和实现难度较大,系统实现存在难以预见的风险因素;
✧数据库系统维护要求人员多,对人员素质要求高,系统管理和维护复杂;
✧系统初期投资、实现成本和运行成本较高;
数据库在市局一级会使数据库系统的管理维护工作得到保证,节约区(县)一级的计算机系统投资与维护工作。
比起分布式方案会依赖于网络通讯条件。
对广域网的要求要高。
WWW(Brower/Server)方式
Brower/Server方式实质也是基于Client/Server计算体系结构,是多层次Client/Server结构,它是随着Internet/Intranet技术发展而来;从抽象的角度上看,Web已经发展成为一种新的计算平台;基于Web的应用程序通过Web服务器可提供各种服务,从简单的信息查询到复杂的事物处理;统一、标准的前端交互
工具,表现为Web页面的、简单易用的用户界面,易于实现的通讯协议,成熟的广域网访问技术,数字签名提供的可靠的安全性保证,使得Web成为为纳税户服务、税局办公自动化及辅助决策系统的最佳模式。
第III章广域网系统总体设计
3.1广域网系统的设计原则和目标
根据新会市国家税务局的要求,要达到系统的目标,高水平高起点建设好新会国税广域网,必须在以下几个方面出发来设计方案。
3.1.1系统要安全可靠
在实时性较强的应用系统中,安全可靠性是系统是否实用的关键。
在我们设计的系统中,主要就中心路由器的可靠性和线路的容错来实现。
中心路由器采用Cisco公司的高性能路由器4500,在下一级与上一级机构通信时,建立FrameRelay线路相应的拨号电话或ISDN备份线路,通信线路故障时系统会自动启动备份线路建立连接并维持通信,保证系统运行不受影响。
同时,网络路由器的既连通、又控制的功能也为系统安全性提供了有力的保证。
3.1.2系统的高性能
系统必须具备很强的系统性能,满足联机事务处理的要求,能够支持分布式的Client/Server模式的数据库管理系统。
3.1.3通信系统的扩充性
通信设备(路由器)的端口能够支持包括拨号电话线、电话专线、数据专线、X.25、DDN网、FrameRelay等各种不同的通信线路,因此系统的可扩充性要很好。
当条件许可,可以启用更好的通信线路时,所有的通信设备的硬件不用作任何更改或增加,只要重新设定软件配置,就可以在更好的线路上提供更高的速率和更多的通信服务。
当各机构不断增加而使得通信量加大时,系统中所采用的通信设备将不会成为系统的瓶颈。
Cisco的路由设备满足对线路类型的适应性。
而且中心路由器4500有3个可用的扩展槽,每个扩展槽都可任意选配,能够满足系统以后的扩展需求。
3.1.4系统的开放性和标准化
网络通信协议和接口要遵循国际标准,支持多种机型,多操作系统的网络互联。
根据要求系统至少提供IPX、TCP/IP和SNA三种协议支持,基本满足NOVELLNetWare、UNIX和AS/400等平台的网络互联。
3.1.5具有较好的性能价格比
系统根据不同的线路条件和网络环境选用不同设备,力求最符合新会国税局的应用环境,并且有较好的性能价格比。
3.1.6易于网络管理
一个大型的网络系统而言,一个有效网络管理系统对系统运行的监控、系统性能分析和故障诊断都是相当重要的。
因此系统必须配备合适的网管系统。
3.2系统的弹性设计
对于一个网络系统来说,弹性就是对应用程序和数据的有效支持。
可以说有弹性的网络系统就是当有人或某事试图破坏它时,还能连续支持用户的应用程序,即系统的可靠性。
在实际应用中,提高网络的弹性能力的可行方法是消除故障孤点,特别是单点故障。
3.2.1弹性设计的内容
弹性设计包含三方面的内容:
●物理可靠:
指系统对关键硬件设备(如CPU、存储介质等)损坏、不可遇见性灾难(如地震、飓风、陨石、强磁场等)、对硬件、数据库及服务资源等的人为破坏的耐受能力。
●逻辑可靠:
包含操作系统可靠,数据库管理系统可靠,应用程序可靠等。
●健壮性:
指系统在故障情况下的恢复容易程度。
对关键硬件设备的损坏,我们将采取一定程度的容错措施。
根据经验,系统最可能出现的故障原因依次为:
电源故障;雷击;线路连接;火灾失效。
我们在此方案中,考虑系统的弹性包括:
WAN的弹性设计,通信设备的弹性设计。
3.2.2WAN的弹性设计
网间网即WAN的弹性包括冗余的WAN线路及其所带来的额外开销。
一种主要的方法是连接备份线路,可以避免重复路由保持和再计算。
在此方案中,路由器通过FrameRelay连接主干的通信线路。
当主干线路出现故障时,路由器可以自动通过PSTN或ISDN拨入中心路由。
在此方案中,WAN的弹性设计包括:
线路的备份,中心路由器的备份。
系统中以上两个部件出现故障时,系统能够自动地在约5秒中内切换到备份部件上,而无需人工干预。
3.2.3通信设备的弹性设计
随着租用线路服务可靠性的增强及其使用ISDN/PSTN作为后备策略的成熟,系统的可靠性已经很大程度上转移到通信设备连接的弹性上。
通信设备的损坏的一个很好的解决方案就是使用双机热备份。
3.2.4LAN的弹性设计
随着通信线路和通信设备的可靠性提高,系统的可靠性已经很大程度上转移到LAN连接的弹性上。
一个很好的解决方案就是使用双LAN服务。
主机与两个LAN适配器相连,每个适配器连接到一个单独的HUB或交换机上,这样主机与主干交换设备之间的关键连接是弹性的。
3.3系统安全性设计
系统的安全性主要是因为网络经过公共通信网(如帧中继,Internet)后所引起的对系统的蓄意破坏和对信息的窃取。
如今Internet火爆全球,可令人头疼的问题也随之而来,那就是由于"黑客"在网上的活动极具危害性和破坏性,所以网络安全问题已成为网络管理员关心的大事,它也是决定Internet命运的重要因素。
然而从根本意义上讲,绝对安全的计算机系统是根本不存在的,绝对安全的计算机网络也是不可能有的。
只有存放在一个无人知晓的秘室里,而又不插电的计算机才可以称之为安全。
只要使用,就或多或少存在着安全问题,只是程度不同而已。
美国国防部制定的"可靠计算机标准评估准则"(TrustedComputingStandardsEvaluationCriteria)将计算机安全划分为从A到D四个级别,每个级别之内还可以再细分。
A1级为最高,但除了放在一个无人知晓的地方且未插电的计算机可以算得上A1级,再没有计算机可以享此殊荣。
标准的Unix(只具有login口令、文件保护等几项安全措施)被定为C1级,DOS被定为D1级。
目前还很少有操作系统能够符合B级标准。
我们在探讨网络安全的时候,实际上是指一定程度的网络安全。
而到底需要多大的安全性,却要完全依据实际需要及自身能力而定。
网络安全性越高,就越意味着对网络使用的不便。
因此,网络管理员在考虑网络安全时,必须两者兼顾。
3.3.1防火墙技术
一个使用很广泛的网络安全技术就是防火墙技术,即在Internet和内部网络之间设一个防火墙。
目前在全球连入Internet的计算机中约有1/3是处于防火墙保护之下。
那么什么是防火墙呢?
顾名思义,防火墙是用来阻挡外部(Internet)火情影响内部网络的(Internalnetwork)屏障。
无论外部世界多么错综复杂,良莠不齐,经过防火墙的过滤,内部网络大可隔岸观火,不受火灾危害。
用专业语言来描述,防火墙的主要目的就是防止外部网络的未授权访问。
如果决定某个网络设防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略,即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。
防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外。
另外,还要确定防火墙类型,即防火墙拓扑。
防火墙的技术实现通常是基于"包过滤"(PacketFiltering)。
而进行包过滤的标准通常就是根据安全策略制定的。
在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单(AccessControlList)中设定的。
需要说明的是网络的安全性通常是以网络服务的开放性、便利性和灵活性为代价的。
对防火墙的设置也不例外,由于防火墙的隔断作用,一方面加强了内部网络的安全,另一方面却使内部网络与外部网络(Internet)的信息交流受到阻碍,必须在防火墙上附加各种信息服务的代理软件来代理内部网络与外部的信息交流,这样不仅增大了网络管理开销,而且也减慢了信息传递速率。
因此,一般而言,只有对个体网络安全有特别要求,而又需要和Internet联网的企业网,才建议使用防火墙。
另外,防火墙只能阻截来自外部网络的侵扰,而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。
3.3.2加密技术
网络安全的另一个非常重要的手段就是加密技术(cryptography)。
它的思想核心就是既然网络本身并不安全可靠,那么所有重要信息全部通过加密处理。
3.3.3本地网的安全措施
目前,在Unix/NT上发现的大多数问题,都归因于一些编程漏洞及管理不善,如果每个网络及系统管理员都能注意到以下几点,即可在现有条件下,将网络安全风险降至最低。
●口令管理
目前发现的漏洞,大多是由于口令管理不严,使"黑客"得以乘虚而入。
因此口令的有效管理是非常基本的,也是非常重要的。
●用户帐号管理
在为用户建立帐号时,应注意保证每个用户的UID是唯一的,应避免使用公用帐号,对于过期的帐号要及时封闭,对于长期不用的帐号要定期检查,必要时封闭。
(因为这样的帐号通常是"黑客"袭击的目标,他们可以在上面大做手脚而很长时间不被发现)。
●拨号用户的安全策略
通过电话线拨号访问网络,采用Radius或TACAS安全认证和授权标准来确保对系统资源的访问。
通过回叫(Dial-back)功能可以确保拨入的位置和站点的安全许可。
3.4IP地址规划和域名服务
3.4.1设计原则
Internet网域名管理及网络地址的分配将遵循INTERNET的有关规则来设计。
Intranet的每个网络和主机都有唯一的IP地址和与之对应的名字(即域名)。
3.4.2IP网络地址分配
当用户申
升级会员 