中國國家人事人才培訓網網絡培訓平臺建設方案

2024年2月16日發(作者：寫運動會的作文)

國家公務員網絡培訓平臺建設方案

中國國家人事人才培訓網

（國培網）

網絡培訓平臺建設方案中國國家人事人才培訓網 第1頁 共27頁

國家公務員網絡培訓平臺建設方案

目錄

---------------------------------------------------------------

第1章 項目概述

1.1

項目背景

3

1.2

項目建設的目的和意義

3

1.3

項目建設思路與原則

4

1.4

項目建設目標

5

第2章 需求分析

2.1

公務員和專業技術人員對培訓平臺的期望

6

2.2

相關管理部門的期望

6

2.3

流媒體技術應用需求

7

第3章 系統設計

3.1

系統總體架構

8

3.2

系統功能設計

10

3.3

系統設計原則

11

3.4

系統構成

11

3.5

網絡架構

14

3.6

系統性能

15

3.7

系統總體方案特點

16

第4章 系統運行環境

4.1

內部業務網

17

4.2

外部業務網

18

4.3

統一用戶驗證系統

18

4.4

數據庫系統

19

4.5

流媒體平臺

19

4.6

網絡負載平衡

20

4.7

區域存儲技術方案

21

4.8

門戶系統

22

第5章 系統安全設計

5.1

網絡安全

23

5.2

應用系統安全

25

5.3

運行安全建議

26

第6章 項目預算

第7章 結論及建議

7.1

結論

27

7.2

建議

27

中國國家人事人才培訓網 第2頁 共27頁

國家公務員網絡培訓平臺建設方案

第1章項目概述

1.1項目背景

2009年3月24日，人力資源和社會保障部召開司處級干部大會，傳達學習十一屆全國人大一次會議和全國政協十一屆一次會議精神，部署新部組建和當前重點工作。部長、部黨組書記尹蔚民作了重要講話。

在尹部長的講話中，強調當前要抓好的七項主要工作，其中第四項、第五項都涉及培訓工作的重要性：

（四）關于公務員隊伍建設。要加大公務員法配套法規建設力度，穩慎推進參照管理工作，完善從基層機關選拔優秀公務員機制，做好考核、獎勵、培訓等工作，完善政府獎勵制度，推行政府績效管理制度。

（五）關于專業技術人員和技能人才、農村實用人才隊伍建設。要深化事業單位人事制度改革，抓緊制定《事業單位人事管理暫行條例》。深化職稱制度改革，研究制定深化職稱制度改革的意見，出臺中小學教師職稱改革方案，加快推進工程師制度改革，全面清理規范各類職業資格的設置、考試、培訓、發證等活動。做好2008年享受政府特殊津貼人員選拔工作，將高技能人才納入選拔范圍；做好今年增設博士后科研工作站評審工作；加大高層次留學人才回國工作力度；深入實施專業技術人員知識更新工程。加強技能人才隊伍建設和農村實用人才隊伍建設，實施“新技師培養工程”，評選表彰第九屆中華技能大獎和全國技術能手；實施“新農村實用人才培訓工程”，開展全國農村優秀人才表彰活動。

基于尹部長的指示和要求，為了更有效地做好公務員、專業技術人員和技能人才的培訓工作，作為人事部主要的人才培訓平臺，中國國家人事人才網（以下簡稱“中國人才網”）計劃采取部省合作、共同推進、共同建設的方式，建設覆蓋全國的統一的在線培訓平臺，為建設具有中國特色，兼具學習型組織特征的人才培養基礎架構而努力。

1.2項目建設的目的和意義

隨著網絡基礎設施的普及和計算機技術的發展，在線培訓（E-Learning）這些年來方興未艾，美國市場的年增長率幾乎保持在80%以上。有統計數據表中國國家人事人才培訓網 第3頁 共27頁

國家公務員網絡培訓平臺建設方案

明，在線培訓模式可為企事業單位每年節約15%～50%的培訓費用，同時還可以使人們的學習效率提高25%～40%。

相對于傳統的培訓方式而言， E-Learning具有下述顯著特點：

? 知識網絡化，縮短了知識到學習者的空間距離。知識不再是一本書，或是幾本參考書，而是經過編排，歸納， 整理過后的知識體系。學習者可以方便地系統性學習所需要的知識和技能；

? 學習更加隨意性。學習者特別是工作繁忙的公務員/技術人員，他們需要靈活的學習時間，需要能夠根據自己的時間來隨意安排自身的學習計劃，學習需要突破時間地點的概念，無論是辦公室，還是家庭或是出差外地都需要能夠隨時隨地的學習條件；E-Learning則可以滿足上述需求；

? 學習內容可以保持及時，持續的更新。現代社會發展迅速，知識更新非常快。在線網絡培訓方式相比于傳統培訓而言， 其知識體系和內容更新更加及時和迅速，滿足學習者追求新知識的需求。

全國公務員網絡培訓平臺的宗旨是通過建設經濟，穩定，安全和高性能的統一的平臺，實現全國公務員和技術人員培訓的統一管理的同時，為全國廣大公務員和技術人員提供規范的，統一的優質的培訓服務，最大程度滿足公務員和技術人員繼續教育和學習的多方需求，為全面建設學習型社會做出貢獻，其經濟意義和社會效益非同小可。

1.3項目建設思路與原則

國家公務員與技術人員網絡培訓平臺建設的總體思想為：以統一的服務平臺提供標準化的培訓服務為總體目標，降低重復建設的成本， 消除各個地方的培訓差異和非標準化內容帶來的服務上的差異。其建設原則為：

? 統一規劃， 統一標準；

? 統一管理， 試點實施，逐步展開；

? 強化服務， 面向應用；

? 整合資源，初進資源共享；

? 注重實用， 適度超前。

中國國家人事人才培訓網 第4頁 共27頁

國家公務員網絡培訓平臺建設方案

總而言之，我們將以項目全國規劃為起點，以系統架構設計為核心，以試點項目建設為關鍵，以試點項目建設后的后期運營為重心，以項目的全國推廣計劃為實施管理的要領。

1.4項目建設目標

1.4.1總體目標

建設服務全國的公務員及技術人員在線培訓平臺，整合全國培訓需求以及人事部和多方培訓資源，為全國的公務員和專業技術人員提供持續的、與時俱進的在線培訓服務。

1.4.2近期目標

近期目標可能包括：

1. 中心站點網絡規劃與建設；

2. 中心應用系統初期部署完成；

3. 在線培訓平臺統一站點開通；

4. 完成某個省作為試點單位的建設；

5. 為合作培訓機構、培訓內容供應商提供統一接口。

1.4.3中長期目標

在近期建設目標完成的基礎上，中長期建設目標將就以下幾個方面對平臺作擴充和改進：

? 擴充培訓內容來源：吸收其他相關政府部門、授信的商業機構成為培訓內容提供者。

? 服務功能的擴充：增加培訓服務內容和提高服務質量；建立培訓效果評估模型，提供個人培訓效果評分、培訓內容推廣等服務；

? 擴大覆蓋面：不斷評估擴大試點培訓平臺的培訓效果，推動全國公務員和專業技術人員培訓體系的建設。

中國國家人事人才培訓網 第5頁 共27頁

國家公務員網絡培訓平臺建設方案

第2章 需求分析

2.1公務員和專業技術人員對培訓平臺的期望

結合目前社會上對培訓的需求，根據我們的分析和預測，我們總結公務員和專業技術人員對培訓平臺的期望如下：

? 實時性。建設學習型組織，培訓平臺上的培訓內容的與時俱進——實時性無疑是平臺用戶對平臺的第一期望。隨著國家公務員局的成立，對公務員的技能和素質要求將提升到一個新的高度，與之相伴的必然是越來越多的新課程加載到平臺上。平臺應該用各種方式，主動及時的通知平臺用戶完成組織所要求的新培訓內容。

? 易用性。平臺應具有一致的、友好的客戶化界面，易于使用和推廣，并具有實際可操作性，使用戶能夠快速地掌握系統的使用。平臺應該充分利用各種個性化技術手段，保證在系統的設計和實施過程中，為用戶提供個性化的服務，使用戶能夠根據自己的業務需求和喜好定制工作平臺的內容，減少使用的復雜程度，提高使用效率。

? 隱私和安全性。確保平臺用戶的隱私性，和個人數據的安全性。平臺應提供統一的身份認證機制。同時由于湖北人事廳培訓平臺其信息和服務的特殊性，全面充分考慮設計系統、網絡、應用各方面的安全及可靠性，在符合BS7799國際通用安全標準同時，遵守國家相關安全管理條例。

? 高性能。保證實時完成大容量數據處理的時效性和系統的高性能，對培訓需求提供大容量的并發處理支持。

2.2相關管理部門的期望

根據我們的分析和預測，結合我們對人事部現有信息化系統的了解，公務員和專業技術人員對培訓平臺的期望如下：

? 平臺安全性。平臺的安全性至關重要，包括網絡安全、應用系統安全、數據安全、訪問控制等幾個方面。

? 可管理性。由于系統部署的規模比較大，因此系統平臺必須具有良好的可管理和易于維護的特點。平臺覆蓋全國的多服務器集群協同工作，管理系中國國家人事人才培訓網 第6頁 共27頁

國家公務員網絡培訓平臺建設方案

統將實時地監測服務器狀態，自動負載平衡，以保證實現大用戶量并發處理和高效的網頁瀏覽速度。

? 集成性和先進性。平臺系統的設計將充分考慮到現有的技術投資以及未來電子政務的功能要求，利用多種集成技術，使整個系統既能保護現有投資，又能夠適應未來的功能和技術要求。平臺所選擇的軟硬件平臺和整體方案必須是業界的優秀產品，并符合信息技術發展的趨勢。

? 可延展性。系統應該真正符合多層客戶/服務器體系結構，隨著應用水平的提高、規模的擴大和需求的增加，系統應能滿足新增的需求，而系統的體系結構不需做較大的改變。同時，系統平臺應能方便擴展，在有限追加系統建設費用的前提下，最大方便的支持有價值的新興應用。

? 開放性。平臺設計應該支持當前受到普遍應用的開放標準，這就保證了本系統能夠與其它平臺的應用系統、數據庫等相互交換數據并進行應用級的互操作和互連性。這樣第三方培訓內容供應方可以方便的將新培訓內容裝載到培訓平臺上，或者更進一步，基于培訓平臺來完成新培訓內容的開發。

2.3流媒體技術應用需求

國家公務員及技術人員網絡培訓平臺需要支持多種格式的課件，特別是流媒體課件。

流媒體(Streaming Media)，指的是在網絡中使用流式傳輸技術的連續時基媒體，即在因特網上以數據流的方式實時發布音、視頻多媒體內容的媒體，音頻、視頻、動畫或者其他形式的多媒體文件都屬于流媒體之列。流媒體是在流媒體技術支持下，把連續的影像和聲音信息經過壓縮處理后放到網絡服務器上，讓瀏覽者一邊下載一邊觀看、收聽，而不需要等到整個多媒體文件下載完成就可以即時觀看的多媒體文件。

流媒體技術的發展及其業務開展流媒體技術的發展依賴于網絡的傳輸條件、媒體文件的傳輸控制、媒體文件的編碼壓縮效率及客戶端的解碼等幾個重要因素。其中任何一個因素都會影響流媒體技術的發展和應用。隨著流媒體增值業務平臺的構筑，流媒體技術的應用更加廣泛，潛在的客戶群體包括電信、廣電、智能小區、智能樓宇、校園網、酒店、企業、公安等。應用領域涵蓋教育、金融、證券、會議、電子商務、娛樂、監控等。

流媒體技術于政府電子政務的主要應用中國電子政務工程正式啟動于1993年的“三金工程”，到今年，我國的電子政務建設已經取得了喜人的成果和長足的發展。內外網平臺，中央門戶網站，各級政府門戶網站建設得到了中國國家人事人才培訓網 第7頁 共27頁

國家公務員網絡培訓平臺建設方案

不斷的加強。流媒體作為一種新穎的傳輸技術，已經廣泛的應用到了我國電子政務建設中。綜合多個地區的電子政務建設工程來看，流媒體技術在電子政務建設過程中的主要應用為視頻直播和視頻點播。通過在線直播的流媒體傳播形式，完美實現會議、日常業務培訓與文件精神傳達。視頻直播將會議內容，日常業務培訓和決策精神，可以通過內外網平臺，第一時間下達到政府的各個基層。視頻點播是流媒體在電子政務建設中另外一種較為常見的應用方式。將直播會議的內容、日常業務培訓的視頻資料以及各項公開性的音視頻內容，存放在視頻點播平臺的服務器中，各級政府以及群眾可以自由的訪問，使得學習可以在聯網的計算機上隨時進行。增強了政務的公開的形象性和生動性。

在電子政務建設中應用流媒體需要關注的問題流媒體技術作為一個技術含量較高的科學技術，在應用到電子政務建設中時應對流媒體產品多方面因素進行考慮。從整體來看，主要包括安全性、可拓展性、高效性和兼容性。安全性是指有效隔絕來自外部網絡的攻擊，并且可以杜絕數據在傳輸過程中可能的泄漏情況；拓展性指在系統需要拓展的時候，簡單地增加并發流的數量，從而提高和拓展總體的容量;高效性指系統可以使用通常意義上的傳輸過程中，設備的使用度高，無冗余設備，系統總體設計的有效性高;兼容性指可以與其他符合系統設備協議規范的終端設備完全互聯互通，并能滿足服務的質量要求。

第3章系統設計

3.1系統總體架構

為降低初期硬件投資費用，同時又兼顧未來的擴張需求， 我們提出的全國培訓平臺系統總體結構圖如下圖所示：

中國國家人事人才培訓網 第8頁 共27頁

國家公務員網絡培訓平臺建設方案

由上圖可見，我們建議的整體框架分為四層：終端、前置服務層、應用管理層、后臺數據庫。

終端可分為應用終端與控制終端。其中，應用終端主要面向各類信息來源、用戶及資信的客戶服務人員，而控制終端主要面向系統操作人員。終端應能提供實現信息采集、信息服務與系統管理的一項或多項功能的組合，應盡量減少客戶端開發的工作量，且盡量方便客戶的使用。我們的系統設計將采用瀏覽器作為統一的客戶端，以確保終端的零維護。

前置服務層包含一臺或多臺前置流媒體服務器，主要起到對流媒體數據的緩存作用，這樣既可以加快本地用戶的訪問時間，又可以減少對網絡帶寬的占用。前置服務器在平臺管理服務器的管理下，自動與主流服務器同步流媒體內容，保持實時更新。前置服務器的使用將根據當地具體網絡拓撲來選擇，為了減少建設成本，我們建議盡量使用現有服務器來構建前置服務器。

建議的網絡拓撲圖：

中國國家人事人才培訓網 第9頁 共27頁

國家公務員網絡培訓平臺建設方案

應用管理層包含了本系統的應用邏輯以及各種業務服務邏輯。所有外界對本系統的訪問與操作都應通過應用管理層。即應提供：接收由不同數據來源提供的信息，完成異構數據轉換與自動信息加載；提供統一的服務平臺，接收不同業務請求，并可通過應用功能選擇模塊提供個性化的服務；其他業務邏輯機制與功能。

后臺數據庫是培訓平臺的核心資源，在設計時應合理組織數據，優化存儲結構，并確保其安全與可靠性。

應用管理層和后臺數據庫規劃實施于中國人才網自身的數據中心內。

3.2系統功能設計

國家公務員及技術人員網絡培訓平臺包含下列主要功能模塊：

? 門戶系統

? 課件管理：提供培訓課件的發布，版本，使用狀況等的管理功能

? 培訓管理：提供實際培訓服務，包括學員管理，積分管理，培訓履歷管理

? 系統管理：包括系統基礎編碼維護、系統安全、權限設置與管理、校驗與匹配、系統日志、資源監控等

? 學習社區：提供學員在線交流功能

中國國家人事人才培訓網 第10頁 共27頁

國家公務員網絡培訓平臺建設方案

? 外部接口：為第三方課件提供商提供接口

? 統一認證：提供統一的用戶認證和用戶管理功能

3.3系統設計原則

根據培訓平臺建設“分階段實施、不斷完善”的建設方針，我們在系統設計過程中制訂了“面向實際、保證先進、長遠規劃、分步實施”的原則。

1.可靠性。考慮到公務員培訓業務的重要性和特殊性，系統和網絡要有極高的可靠性。因此，系統和網絡選用技術成熟、高度可靠、安全、穩定的設備，關鍵設備有冗余機制，保證業務的正常運行，并具有應付突發災難的能力。

2.安全性。作為全國性的網絡培訓平臺，其安全性是極為重要的。在系統設計中必須從系統、網絡、應用和數據等各個層面建立嚴密的安全體制，做到對系統和數據的完善保護。

3.應用融合技術。從對信用信息服務對象及服務內容、數據采集對象及采集元素的分析入手，融合并應用各種最新信息處理技術。

4.階段目標的可實施性。我們估計本培訓平臺的一期工程建設工期會比較短，因此，系統設計在堅持高標準、高起點的前提下，盡可能采用經其他成功項目驗證的成熟技術，以保證一期工程建設的順利實施。

3.4系統構成

整個平臺系統的基本架構采用客戶（Browr）、應用服務和后臺數據庫三層結構。系統工作原理如下：

3.4.1統一用戶驗證系統

對于用戶管理，需要體現：

1. 統一認證 統一權限

2. 一站式登錄的基礎

3. 管理機器的基礎

3. 網絡訪問控制的基礎

中國國家人事人才培訓網 第11頁 共27頁

國家公務員網絡培訓平臺建設方案

3.4.2主數據庫服務器

兩臺主數據庫服務器通過集群技術，提供高性能、高可用性高可擴展性的數據儲存和訪問服務。存儲在主數據庫服務器中的數據有經過整理、組織的個人信用信息、計費信息、用戶信息和系統日志，此外，還有用于數據轉換的規則和存儲過程。

3.4.3敏感信息服務器

敏感信息服務器運行敏感信息查詢服務進程和獨立的數據轉換管理工具。服務器處于封閉的獨立網絡，以信息安全服務器作為消息傳遞的唯一通道。敏感信息經過加密后存放在敏感信息庫中。

3.4.4應用服務器

兩到四臺應用服務器實現對表示、業務邏輯和信息訪問服務的管理，支持永久性隊列消息通信，其內部以LDAP、XML、WDSL、SOAP、SSL等為核心技術標準，為業務應用提供高性能、高安全性、高可用性、高可擴展性和快速應用開發的基礎架構。這種架構使得開發人員只需關心業務邏輯的實現。隨著業務的發展，系統可以通過簡單地增加新的業務處理模塊和增加新的應用服務器來達到增加業務功能和系統處理能力的目的。

應用服務器提供如下功能：

1. 基于目錄服務的對用戶身份的安全認證；

2. 基于角色控制的訪問權限管理；

3. 個性化內容管理和服務定制，用戶可以構造個性化的桌面應用環境；

4. 提供服務調度和工作流管理，支持交易式消息的階段性提交；

5. 向信息提供單位轉發查詢請求，或將此類請求寫入批量查詢請求文件；

6. 臨時存儲由外部系統提供的數據文件和由業務終端輸入的數據文件；

7. 通過調用主數據庫服務器的存儲過程，對采集的數據進行實時和非實時的數據檢查、整合和加載；

8. 運行信息安全交換器的客戶端軟件，將敏感信息庫查詢請求通過信息安全交換器傳入敏感信息服務器；

9. 事件日志。

中國國家人事人才培訓網 第12頁 共27頁

國家公務員網絡培訓平臺建設方案

3.4.5門戶服務器

兩臺門戶服務器提供如下功能：

1. 建立與用戶瀏覽器之間的加密傳輸通道；

2. 服務調度和負載均衡。

我們目標將用戶與實際應用隔離，從而達到多個用戶可以共享和控制業務邏輯；后端的數據管理與服務層，即數據中心主機，提供對數據庫的訪問。

通過將用戶業務邏輯集中到應用層，特別是我們采用的Web服務器的方式，系統就獲得了對業務邏輯的獨立性，即當需求改變時，開發人員可以迅速地在應用服務器上更新業務邏輯，而數量眾多的客戶端系統不需要任何修改。

信息處理系統中數據分析應用的計算，操作和數據過濾等復雜工作，也放在應用層完成。因為數據分析時，每次查詢涉及到的數據量巨大，需要較長的相應時間，B/S結構提供了客戶端與服務器端的異步通信，如在近期目標中，如果客戶要求批量查詢信用報告，資信系統在實時應答中只給出收到請求消息，信用報告數據包將在后臺程序中形成，放在應用層服務器上，客戶在網絡相對空閑時，上網下載數據包。

3.4.6終端

業務終端為公務員和專業技術人員提供圖形化操作界面。采用B/S結構，由用戶端通過IE瀏覽器訪問內部門戶系統，它提供多種功能：

1. 通過瀏覽器訪問用戶門戶，提出在線培訓請求；

2. 利用瀏覽器為客戶進行查詢；

3. 利用瀏覽器輸入零星、少量數據；

4. 為批量的非電子化數據提供友好的人工錄入界面。

3.4.7網絡運維管理系統

網絡運維管理系統需要實現服務器事件與性能監控的集中化目標。系統提供相應的工具和手段供應用程序對信息含義進行評估，并就所應做出的響應提供決策。在故障發生的第一時間盡快診斷出問題根源并做出適當反應，而且，還將通過就問題隱患向管理人員發出警告，并在其發生前提供解決方案建議的方式來預防故障事件的實際發生。

中國國家人事人才培訓網 第13頁 共27頁

國家公務員網絡培訓平臺建設方案

3.4.8安全與保密

由于全國公務員及技術人員培訓平臺項目建設涉及各省市單位以及個人資料共享的重大工程，必須保證信息檔案資料在采集、傳輸、物理存儲、訪問等各個環節上信息的安全性、完整性、一致性以及不可抵賴（否認）性。具體包括以下方面要求和采取的防范措施：

1. 信息訪問安全

2. 信息采集與傳輸安全

3. 信息存儲安全

4. 系統和數據的容災備份

3.4.9容災備份

容災方案我們推薦建立兩個同城異地的運行和備份中心，在這兩個中心均采用企業服務器系列主機，通過網絡互聯和及時進行數據庫數據同步，使得主中心災難發生或系統不能完全正常工作時，應用可在有限時間內從另一中心快速啟動和提供業務服務。

3.5網絡架構

網絡結構分內部網和外部網兩個部分，內外有防火墻加以隔離，一方面防止來自外界的入侵和非法訪問，另一方面對外來的合法訪問進行多層控制。為了避免因防火墻一個百兆端口成為內外業務數據的平頸和單點故障，建議采用兩組防火墻—Web服務器—防火墻的結構，可配置成流量均衡模式，通過前端路由器后的多層交換機實現WEB訪問流量的優化分配，保證中心局域網對外的業務運行。

外網提供了廣域網接入，信息使用單位可通過廣域網連接訪問外網的WEB服務器，合法取得所需要的數據，培訓內容供應商內部通過路由器或代理服務器訪問互聯網。兩組Web服務器互為備份，從應用服務器提取對外提供查詢服務的內容，外網的Web交換機可實現流入數據的負載平衡。對來自信息提供單位的數據線路進行IP鏈路加密，并通過內網防火墻進入內部局域網，保證了中心網絡的接收數據安全和信息來源機構內部網絡的安全。

內部局域網分后臺數據庫和應用服務兩個部分，數據庫服務器、存儲設備、應用服務器后端連接同一個高速光纖網（SAN）中，可實現存儲資源的共享，中國國家人事人才培訓網 第14頁 共27頁

國家公務員網絡培訓平臺建設方案

其前端以虛擬網VLAN1相互連接。應用服務器、內網防火墻、密鑰管理終端、網管服務器等通過虛擬網VLAN2相互連接。應用服務器配有兩塊以上網卡，應用服務器另有一個網卡連接虛擬網VLAN2，通過VLAN2連接內網防火墻，為外網的WEB服務器提供信息。

敏感信息服務器用于存放特殊數據，出于安全性和可用性考慮，兩臺機密數據服務器互為備份，并連接單獨的存儲磁盤陣列，和VLAN2之間設置信息安全交換器，實現其他服務器對敏感信息服務器訪問的有效控制。

本方案中將采用兩個主干交換機，互為備份并通過VTP實現交換機之間VLAN的管理，所有的關鍵服務器都采用冗余連接，最大程度的避免了單點故障。

3.6系統性能

培訓平臺的性能很大程度決定于帶寬。應首先確定網絡可能需要支持的帶寬。為了確定帶寬，需要估計在平時和在高峰時間同時占用帶寬的用戶數量。

用戶所需要分配的帶寬量等于單點傳送用戶數量乘以流量大小（單位為

Kbps)。假設人事部培訓的流媒體內容以 50 Kbps 為目標進行編碼。如果在單一網段上支持 100 個并發查看者，根據以下計算，在這個網段上就需要每秒鐘 5 Mbps 的可用帶寬為：

(100 用戶 x 50 Kbps) = 5,000 Kbps, 或 5 Mbps

當計算所需要的帶寬時，可以使用實際編碼比特率，而不是目標比特率。例如：用于單一 ISDN 線路 (56Kbps) 和撥號連接 (28.8Kbps) 的 Windows

Media Encoder 模板分別以大約 37 Kbps 和 24 Kbps 的實際比特率對音頻編碼。實際和目標比特率之間存在差異，其原因是由于使用撥號連接時還必須有一些用于傳輸其他流量（如：壓縮比和錯誤更正）的額外可利用帶寬。

流媒體流量不同于其他網絡流量。如果使用了網絡分析器（如：包括在

Windows NT 操作系統中的網絡監視器）來監視網絡上的通信量，可能會注意到在復制大的文件時帶寬使用會顯示出峰值信號。與典型網絡的突發式流量不同，流媒體流量是一種連續的數據流。

流媒體服務器對系統IO能力以及處理器對數據快速處理的能力要求較高，如果用戶的數據傳遞格式比較高，要求達到比較清晰無間斷的穩定傳輸，而且用戶并發數據傳輸較高的時候，可以考慮使用更高級別的服務器。為了能進一步提高性能，可以添加處理器、內存、網卡。

中國國家人事人才培訓網 第15頁 共27頁

國家公務員網絡培訓平臺建設方案

在配置流媒體服務器的時候，一定要使用高性能的磁盤陣列卡。通過額外選配陣列卡緩存和磁盤存儲柜的緩存提高磁盤的IO特性，由于流媒體工作模式多為讀取模式，所以在緩存的配置上，可以將大多數緩存分配給讀取所用。網卡的設定也可以同樣配置。由于傳遞的文件數量較大，所以在陣列的數據塊大小設置上可以將數據塊的大小取為較大的存儲塊，對于提高其整體性能有益。

選擇不同品牌的服務器時，我們推薦采用能支持更多的陣列級別、更高性能網卡、更多PCI插槽、更強內存保護技術（如高級ECC內存保護技術、在線內存備用技術、內存鏡像技術等）的服務器。

3.7系統總體方案特點

國家公務員及技術人員網絡培訓平臺建設在技術上面臨多方面的挑戰：1.

可以預期的培訓業務種類和業務規模的發展，要求系統結構有足夠的可擴展性和靈活性，以快速應對市場的變化；2. 各省市用戶的技術條件、信息電子化基礎、信息內容各異，需要系統支持多種復雜的流媒體數據復制和傳輸方式；3. 培訓平臺涉及政府部門內部網絡系統的鏈接，對數據傳輸和存儲的安全措施有很高的要求；4. 關鍵業務應用要求系統具有高可用性。

本方案較好地解決了這些問題：

1. 本方案構筑三層式客戶機 / 服務器應用系統，使得系統有足夠的可擴展性和靈活性。在這種架構上構筑的應用系統，其應用層可以由一組應用服務器組成群集，其后臺可以有一組同構的或異構的數據庫服務器和其他應用系統。隨著新業務的拓展，在已有的應用服務器上可以方便地添加新的應用服務；當已有應用服務器的處理能力無法滿足業務規模的發展時，可以在應用服務器群集中添加新的應用服務器；后臺數據庫服務器也可以隨業務規模發展而添加新的數據庫服務器。應用服務器群集對于開發人員、管理人員和用戶而言是透明的，就好象單一的服務器。開發人員只需關心業務邏輯，加快了新業務的推出速度。

2. 本方案支持多種流數據復制和傳輸方式，包括專線和非專線傳輸、聯機和脫機傳輸、批量和非批量傳輸、電子化數據傳輸和非電子化數據錄入。瀏覽器在本系統的廣泛應用，使得客戶端軟件實現零維護。瀏覽器進行數據傳輸是一種成熟的技術，已在廣東、上海、南京等地的培訓服務系統中得到成功應用。

中國國家人事人才培訓網 第16頁 共27頁

國家公務員網絡培訓平臺建設方案

3. 本方案在位于北京的人事部數據中心和各省市政府辦公網之間引入前置流媒體服務器，解決了大容量數據傳輸的性能問題。需要的時候，如物理網絡連接不穩定，可以通過光盤來給前置流媒體服務器傳遞和加載流媒體數據。這樣，在數據傳輸過程中也不會對省市信息化業務系統的性能帶來大影響。

4. 本方案對個人信用信息按敏感程度進行分級管理。敏感信息存放于網絡上獨立的安全區，并利用信息安全交換器與培訓平臺系統內部網絡進行數據交換。信息安全交換器是一種具有消息和文件復制功能、但物理上是完全隔斷的安全裝置。這種安全裝置已用于有關政府部門內部郵件和公文系統與外部網絡系統的物理隔斷。

5. 本方案采用兩臺Web服務器和兩臺應用服務器的冗余來避免單個服務器故障引起系統服務的停頓，提高系統的可用性。兩臺Web服務器和兩臺應用服務器可以分別提供相同服務。如果其中一個服務器出現故障，另一個可以代替它。

第4章 系統運行環境

4.1內部業務網

為了滿足中心數據傳輸需求，中心局域網以“千兆骨干，百兆桌面”為原則，在中心網絡建議采用2臺Catalyst 3750以太網交換機作為骨干交換機，它們之間互為備份，采用千兆光纖連接，配置多鏈路聚集，使骨干交換機之間擁有高帶寬。內部業務網的各服務器均連接到骨干交換機，其中數據庫服務器、應用服務器和數據采集服務器等重要的主機都應配置2塊以上網卡，分別連接到2臺交換機，以保證網絡鏈路的冗余，應用服務器通過不同的網卡連接到2個不同的VLAN上。整個系統劃分成后臺數據庫和中心業務2個VLAN，VLAN實現鏈路層的邏輯隔離，保證了同一局域網不同組織之間的安全。VLAN之間設為不同IP網段，必須采用IP路由才能通信，所以骨干交換機Catalyst 3750必須具備多層交換功能，VTP 和STP服務保證了實現冗余連接和不同VLAN的統一管理。

數據庫服務器和應用服務器同屬于后臺數據庫VLAN1，應用服務器的另一端連接VLAN2和通往外網的防火墻，其他服務器連接中心業務VLAN2，VLAN的結構可參考前一章所述。

中國國家人事人才培訓網 第17頁 共27頁

國家公務員網絡培訓平臺建設方案

方案中所選用的Catalyst 3750骨干交換機，完全滿足所要求的交換能力需求，并體現了技術的先進性。它可配置RSM路由交換模塊，實現了交換機的路由交換功能，使VLAN間實現了有控制的互通，同時有效地提高了擴展性。

用一臺路由器Cisco3640作為內網路由器，使用10／100M快速以太網口連接內網防火墻，通過專用線連接政府機構和其他機構，同時也可配置撥號備份服務。

4.2外部業務網

通過微軟ISA Server 2004防火墻的隔離，把網絡分成內外兩個部分。兩套防火墻-WEB服務器-防火墻-路由器的架構互為熱備，為外部WEB訪問提供了充足的帶寬和冗余連接，最大程度的消除了單點故障。

外網防火墻選用Cisco PIX防火墻，內網防火墻選用微軟防火墻，不同品牌的安全設備，有利于增強對內部業務網的安全防護。外網路由器選用Cisco

3662，具有6個模塊插槽，可充分設備的可擴展性，外網路由器和內網路由器Cisco 3640同屬于Cisco 3600系列，可互換模塊，實現設備的互為冷備，可提高設備的可用性，如果內網路由器發生故障，可使用一臺外網路由器或某個模塊進行替換，保證內網外網的廣域網連接正常運行。

4.3統一用戶驗證系統

目錄服務是為網上服務器中的用戶或應用提供了可查詢對象信息的數據庫服務，存儲網絡資源的信息，并提供操作這些網絡資源的服務。網絡資源如用戶、計算機、打印機、數據庫和服務等，它們都是目錄中存儲的對象。所有應用程序的信息都可以通過目錄服務查詢到所需要的信息，對于目錄中的用戶也可以通過各種應用程序所提供的LDAP查詢方式來查詢到所有目錄中的信息，并可以依照不同等級的訪問權限設置查詢到只有在這個權限下才能得到的信息。

活動目錄是安全的信息系統架構認證基礎，使用活動目錄構建統一用戶管理。

目錄服務還具有以下的特點：

1. 目錄應支持百萬以上的對象。這個系統容量可以將各省市涉及的用戶、計算機、應用系統等資源對象或應用程序所產生的對象都包含到目錄中，統一了以往太多不同目錄數據的問題。

中國國家人事人才培訓網 第18頁 共27頁

國家公務員網絡培訓平臺建設方案

2. 完整的網絡身份驗證和委托管理。采用如Kerberos驗證算法，讓所有建立在目錄上的用戶可以透過最安全的機制來驗證其身份，獲得安全的資源訪問。也可以結合證書服務，通過CA認證中心頒發給用戶的證書結合進用戶身份驗證的過程。

3. 目錄服務在分布式的管理環境中，采用了交叉式目錄復制的原則，使得不管位于哪個地點的用戶，都可以通過最近地點的目錄服務主機，獲取快速的身份驗證方式和資料查詢，而要想讓一個目錄數據庫能在不同的地點環境下提供充分的資源，良好的復制結構是一個必要條件，所以，在規劃目錄時，除了必須設計其邏輯結構外，還必須對目錄服務方式的物理結構加以規劃分析。在設計物理結構時，必須充分考慮網絡上的數據復制的速度和網絡連接的帶寬。

4.4數據庫系統

4.4.1數據庫平臺選擇原則

我們建議平臺建設所選用的數據庫平臺至少應該提供以下處理模塊：

1.數據庫處理引擎。作為數據庫的核心，數據庫引擎負責進行數據的存取。因此必須保證數據庫的高安全性，高可靠性和高效率。

2.支持XML數據處理。培訓平臺采集的數據以及發布的信用數據大量采用XML格式，因此在數據庫中生成與處理XML格式的數據帶來非常的便利性與強大的優勢。

3.數據庫ODBC接口。由于中心控制臺采用Windows平臺，因此數據庫平臺需要提供在Windows 95/98/XP/Vista/NT/2000/2008/2008各個平臺上的ODBC接口，以便與中心控制臺的開發。

4.數據庫備份/恢復模塊。數據庫平臺必須提供各個級別的備份和恢復手段。

5.（選件）數據庫存儲過程模塊。為了便于數據庫編程以及提高處理速度，希望數據庫平臺能提供相應的存儲過程模塊。

4.5流媒體平臺

目前國內流媒體技術應用最為廣泛的依然是微軟的Microsoft Media

Service平臺和REAL公司的Helix Server平臺。

中國國家人事人才培訓網 第19頁 共27頁

國家公務員網絡培訓平臺建設方案

4.6網絡負載平衡

網絡負載平衡服務增強了Internet服務器程序的可用性和可伸縮性，包括在Web服務器、FTP服務器和其它任務關鍵性服務器上使用的程序。下圖描述了一個有4個主機的群集。

四主機服務器的網絡負載平衡

每個主機運行所需服務器程序的各自副本，例如Web，FTP，Telnet和電子郵件服務器的程序。對于一些服務，例如在Web服務器中使用的服務，程序的一個副本在群集中的所有主機中運行，網絡負載平衡對各臺服務器之間的工作負載進行負載平衡。對其它服務，例如電子郵件，只用一個服務的副本來處理群集中的所有工作負載，而不對這些服務進行負載平衡。網絡負載平衡允許網絡通信量在平時只流向一臺主機，只有故障時才將通信量轉移到其它主機。

網絡負載平衡群集了多臺使用TCP/IP網絡協議運行服務器程序的計算機。它使得同一組群集IP地址可以訪問群集中的所有計算機（同時保持它們現有的使用唯一專用的IP地址進行尋址的能力）。網絡負載平衡以主機中TCP/IP通信量的形式分配客戶請求。

為了提高服務器性能，網絡負載平衡還對群集中所有主機上引入的TCP/IP通信量進行負載平衡。在這種情況下，服務器的一個副本在所有負載平衡的主機上運行，而且負載在主機間經過了分配。可以配置每個主機要處理的負載數量。也可以動態的把主機添加到群集中處理增多的負載。另外，網絡負載平衡可以把所有通信量直接導向一個指派的單機，該單機稱為默認主機。

網絡負載平衡將管理TCP/IP通信量，從而使服務器程序保持高可用性。當一個主機發生故障或脫機時，網絡負載平衡將會自動重新配置群集，將客戶請求中國國家人事人才培訓網 第20頁 共27頁

國家公務員網絡培訓平臺建設方案

引導到剩余的計算機中。對于負載已平衡的程序，其負載會在剩余的計算機中自動重新分配。對于只有單臺服務器的程序，網絡負載平衡將把它們的業務量轉移至另一臺指定的主機中。對于故障或脫機服務器的連接將丟失。在完成必須的維護后，脫機計算機能透明的重新加入群集中，并重新獲得它的那份工作負載。

4.6.1網絡負載平衡的系統要求

NLB作為一個標準的網絡設備驅動程序。由于NLB為基于TCP/IP的服務器程序提供了群集支持，因此要獲得NLB的功能就必須安裝TCP/IP。目前版本的NLB可以在FDDI或是基于以太網的局域網群集中運行。該版本的NLB已經用多種網絡適配器在每秒10兆位（Mbps）、100Mbps和千兆位的以太網中通過了測試。

4.6.2群集軟件

群集軟件使群集內的各節點可以交換適時觸發資源操作的特定消息。群集軟件主要有兩種：資源監視器和群集服務。資源監視器便于群集服務和應用程序資源之間的通信。群集服務運行在群集的每個節點上，控制群集的活動、群集節點之間通信和故障操作。當群集中的一個節點或應用程序發生故障時，群集服務器將做出響應，重新啟動故障的應用程序或把故障系統的工作分散到該群集的剩余節點上

4.6.3管理軟件

企業版群集管理器使管理員可以配置、控制和監視群集。管理員把群集資源組織成功能單元，稱之為組，并將這些組分配給各個節點。如果群集中的一個節點出現故障，群集服務將把這個節點托管的組傳輸給該群集上的其它節點。這個傳輸過程稱為故障轉移。相反的過程是故障回復，當故障節點恢復正常工作時，被傳輸到其它節點的組將重新被傳輸回原始的節點，這就是故障回復。

4.7區域存儲技術方案

建議采用磁盤陣列柜存儲系統。

中國國家人事人才培訓網 第21頁 共27頁

國家公務員網絡培訓平臺建設方案

4.8門戶系統

選擇主流的門戶產品，與統一用戶驗證系統-活動目錄緊密集成。中國國家人事人才培訓網 第22頁 共27頁

國家公務員網絡培訓平臺建設方案

第5章系統安全設計

系統安全是整個系統可靠運行和進行安全防范的基石，在統一設計原則下，在不同的安全層次，在預防、檢測和采取安全措施等各個階段，確保系統的持續穩定運行，防止信息的損壞、泄露或被非法修改，并保證系統平臺的安全。一個完整的安全解決方案應涵蓋系統中所有的用戶、網絡、主機、應用服務器以及應用程序，并建立高效、可靠的安全管理策略。

國家公務員及技術人員網絡培訓平臺安全將包括以下幾個部分：

1.網絡安全。網絡安全關系到什么人對什么內容具有訪問權，查明任何非法訪問或偶然訪問的入侵者，防止外來非法入侵和內部攻擊，保證只有授權許可的通信或訪問才可以在客戶機和服務器之間建立連接。

2.應用系統安全。應用系統安全包括用戶安全、數據安全存儲及數據傳輸安全。用戶安全包括用戶的身份識別、用戶認證數據的安全存放、用戶的權限管理等。數據安全存儲主要依靠數據庫的安全存放及訪問控制來保證，對于一些企業資信的敏感信息還要建立安全隔離的措施以及數據加密存放；數據傳輸安全包括數據保密性、完整性、來源正確性和不可抵賴性。

3.運行安全。為了保證企業征信系統的運行安全，相關機構必須建立相應的管理制度，如定期更換密鑰，專人管理，機房安全設置等措施。制定周密的防災難方案，及時進行故障檢測和恢復，并能防治各種病毒。建立定期網絡及系統漏洞掃描的制度，從系統自身查找漏洞，將安全隱患杜絕在萌芽狀態。

5.1網絡安全

網絡安全包括防火墻技術，入侵檢測檢測技術、防病毒技術、VPN技術等；

網絡安全主要分為三個區域——服務區、網絡中心區、前置服務區分別考慮。

5.1.1服務區

服務區是直接面對培訓平臺的最終用戶，最終用戶可以是政府、企業、社會等對象。其訪問的系統的連接方式可以多種，有通過報號和專線方式、未來可能有通過Internet方式接入。因此服務區的安全必須考慮開放系統遭受的任何攻擊。服務區主要負責來自外網的接入和服務訪問。

中國國家人事人才培訓網 第23頁 共27頁

國家公務員網絡培訓平臺建設方案

服務區面對相對開放的網絡，其安全除了在路由器上部分安全設置外，主要依靠外層防火墻、入侵檢測、漏洞掃描、防病毒等措施。

5.1.2網絡中心區

網絡中心區是培訓平臺的核心保護區域，該區域包括各種應用服務器、數據庫服務器等重要設備。因此確保網絡及服務器的安全就非常重要。同樣其安全要求更高于服務區的級別。

網絡中心區的安全同樣依靠內層防火墻、入侵檢測、漏洞掃描防病毒等措施來保證安全。

5.1.3前置服務區

前置服務區是面向各省市政府機構。該區域應當確保數據傳輸的安全性、完整性等特點。

前置服務區面對專有網絡，服務特定用戶，除通過防火墻入侵檢測、漏洞掃描等措施保證訪問安全外，其安全還通過IP加密機與用戶端S－SAS套件構建VPN數據專用安全通道。用戶通過專網訪問撥號路由器。另外，需要的話，可以在各委辦局側通過設置一個硬件通訊開關或采用信息安全交換器，通過設置在各機構的前置機實現與各機構數據的抽取、發送等。

5.1.4防火墻設置

防火墻設置分為兩個層次，內外層防火墻：

外層防火墻對網站采取對來往的IP包按照設定的安全規則進行過濾、應用代理和地址轉換等多種防御技術，可有效地防止黑客對內部網絡的入侵。

5.1.5入侵檢測

防火墻的建立并不等于內部網絡就完全安全了，內部人員對網絡的侵入才是對系統運行的最大威脅。

入侵檢測系統實時監控訪問網絡和系統的數據包，分析可疑行為，警告安全管理員或中斷攻擊連接，保護網絡和系統不受攻擊，生成詳細報表，為管理員完善安全策略提供依據。

中國國家人事人才培訓網 第24頁 共27頁

國家公務員網絡培訓平臺建設方案

5.1.6防病毒體系構建

防病毒作為網絡安全體系中是最基本的，同時，又是非常重要的一部分。本方案建議采用了全球最大的防病毒軟件供應商Symantec公司的Norton

AntiVirus產品，來構建內網的防病毒體系。

5.2應用系統安全

應用系統安全主要解決數據的安全傳輸、完整性檢測、數據的安全存儲、數據訪問安全等方面。

整個應用系統安全也分為三個部分考慮，即服務區數據傳輸、中心數據安全、前置服務三個部分。

5.2.1數據的安全傳輸

在用戶端、WEB服務器端、應用服務器端分別分發相應的數據證書。用戶訪問培訓平臺系統時，與Web服務器建立SSL安全通道。

5.2.2數據的安全存儲

在培訓平臺中，根據數據的敏感程度，分為普通信息、敏感信息兩類。普通信息及敏感信息都必須配置相應的數據庫訪問策略，并進行審計跟蹤處理。這些數據都進行了備份處理。敏感數據存儲在與普通數據不同的數據庫中，訪問敏感數據必須通過信息安全交換器。用戶只能通過信息安全交換器的代理才能間接訪問敏感數據，這樣就保證了敏感數據的安全性。敏感數據不能以明文存放在數據庫中，通過加密算法以密文方式存放。

5.2.3用戶安全

用戶安全主要是進行用戶的身份認證、權限控制、安全審計。權限控制要達到的目的：系統中的各個授權人員具有其特定級別的權限，可以進行相應權限的操作，無法越權操作；操作者事后無法否認其進行的操作；未授權人員無法進入系統。對用戶的安全審計不僅要對于一般訪問用戶，同時也要對系統的管理員、操作員進行同樣的安全審計。

中國國家人事人才培訓網 第25頁 共27頁

國家公務員網絡培訓平臺建設方案

用戶權限控制的解決方法有：

給定身份信息，應用服務器驗證此信息后，由后臺數據庫賦予其相應信息。

在用戶申請證書時，就同時把用戶相應的權限信息寫進證書，即由證書確定用戶的權限。

現推薦采用第一種方法，即由后臺數據庫賦予特定用戶以特定權限，因為此方法便于控制和更改用戶權限。而第二種方法，當用戶權限有更改時，就必須重新申請新的證書，故不推薦采用此方法。通過權限的控制給用戶提供WEB的個性化服務，使得不同權限的用戶瀏覽不同的界面，得到不同的信息。

5.3運行安全建議

5.3.1安全管理規范

安全管理部門應根據管理原則和各部門具體情況，制訂相應的管理制度或采用相應的規范。

具體工作是：

根據工作的重要程度，確定該系統的安全需求。

根據確定的安全需求，確定安全管理的范圍。

制訂相應的機房出入管理制度。對于安全要求較高的系統，實行分區控制，限制工作人員出入與己無關的區域。出入管理可采用證件識別或安裝自動識別登記系統，采用磁卡、身份卡等手段，對人員進行識別、登記管理。

制訂嚴格的操作規程。操作規程要根據職責分離和多人負責的原則，各負其責，不能超越自己的管轄范圍。

制訂完備的系統維護制度。對系統進行維護時，應采取數據保護措施，如數據備份等。維護時要首先經主管部門批準，并有安全管理人員在場，故障的原因、維護內容和維護前后的情況要詳細記錄。

制訂應急措施。要制訂系統在緊急情況下盡快恢復的應急措施，使損失減至最小。建立人員雇用和解聘制度，對工作調動和離職人員要及時調整相應的授權。

5.3.2安全審計管理

安全審計管理包括：

選擇將被記錄和被遠程收集的事件；

中國國家人事人才培訓網 第26頁 共27頁

國家公務員網絡培訓平臺建設方案

授予或取消對所選事件進行審計跟蹤日志記錄的能力；

對所選審計記錄的遠程收集；

準備安全審計報告。

安全審計管理包括：操作系統安全審計、數據庫訪問審計跟蹤、應用系統操作員行為安全審計、防火墻安全審計、入侵檢測后記錄的非法行為安全審計。

第6章 項目預算

實現項目初期目標的總體預算約630萬人民幣。關于預算明細請參見附件《國家公務員及技術人員網絡培訓平臺預算明細表》。

第7章結論及建議

7.1結論

國家公務員及技術人員網絡培訓平臺建設是落實科學發展觀，建設中國特色學習型組織的具體體現。該項目建設采用先進的技術手段，將進一步提升各省市公務員和專業技術人員的業務能力和管理水平。

該項目建設十分必要，并且技術條件也較為成熟。

7.2建議

時間緊迫，建議項目建設工作，特別是前期工作盡快完成，以便盡早實施，盡早見效。

該項目建設應該按照國家的相關基本建設管理辦法和有關規定，嚴格進行工程項目的管理。

中國國家人事人才培訓網 第27頁 共27頁