頁CityLiveID建設的必要性和意義CityLiveID定義CityLiveID又稱城市公共服務信息總棧，是在借鑒英國、新加坡、香港等先進國家或地區的城市綜合信息服務和社會管理經驗基礎上，打造的面向市民和企業的個性化、主題化城市綜合信息服務云。CityLiveID通過云平臺聚合了政府行政機構、公共事業服務機構、金融服務機構及民間組織有關企業、市民的服務信息。市民、企業可申請一個CityLiveID，作為政府唯一認可的互聯網虛擬世界的市民或企業標識，也作為政企、政民唯一合法權威的互聯網交互服務渠道。這樣，CityLiveID可將面向企業或市民的各種政策法規、行政審批、公共資源交易信息、科技資助信息、社會救助信息、交通違章信息、城市預警信息等行政服務與執法信息，銀行、水電、通訊等各種帳單信息等，直接推送到這個LiveID的空間，市民或企業通過自己申請的“網絡地盤”獲取政府的各種服務。逐步實現政府各政務業務系統的全面整合，真正實現網上辦事、“無縫政府”、網絡政府的建設。CityLiveID與政府以往的公共服務平臺的區別1、與國際先進服務理念接軌政府以往的公共服務平臺普遍是從政府本位出發，圍繞政府職能自身構建其服務體系。其建設理念更多的是從法律法規和職能范圍出發，簡單的將部分政府工作“搬上”網絡，且更多的是簡單的信息服務。CityLiveID的建設借鑒了國際先進國家和地區的公共服務理念，“以公民為中心”、“以用戶為導向”，實現“以政府職能為中心”的電子政務模式向“以企民聚合服務為中心”電子政務模式轉型，為全面打造服務型政府提供強力支撐。2、創新“信息找人、任務找人”的電子政務模式目前雖然實現的“全流程”服務，但其范圍僅局限于辦事指南發布、表格下載、網上咨詢、網上申請、結果反饋等有限的簡單服務。很少或幾乎沒有全程網上辦事的業務，企業、市民仍然面對著結構復雜、功能繁多、說明臃腫的現狀。CityLiveID通過云技術聚合平臺為每個公務人員提供個性化工作桌面，所有信息和任務均自動聚合到工作桌面，實現了從“社會化信息公開”向“個性化信息推送”提升。3、利用先進云計算技術推動政府業務應用的融合服務政府以往公共服務平臺受限于技術發展，無法做到更深層次的整合和服務。CityLiveID運用云計算、大數據處理、多領域共享交換等新技術，逐步推動政府后臺業務的整合，通過云聚合平臺技術，將各種池化的資源聚合成可調用的服務推送給市民、企業用戶，實現政府業務應用的融合服務。4、引入互聯網、SNS（社交網絡）等先進服務理念CityLiveID與以往政府服務最大的不同是引入了互聯網、SNS（社交網絡）等先進服務理念，建立起了以人際關系為紐帶的公共服務社區，極大的提高了政府服務的效果和用戶使用粘性。市民通過CityLiveID可以了解其生命周期各個階段的朋友近況，也能實時了解自己關心的政務服務狀況，比如港澳通行證辦理、交通出行信息、積分入戶、入學情況等。建設的必要性和意義建設的必要性1、國際政府公共服務發展的必然趨勢從國際上來看，以服務為中心，重視政府流程重構和應用整合已經成為普遍趨勢，“以公民為中心”、“以用戶為導向”的公共服務理念逐漸深入人心，通過電子政務等技術手段，提高政府服務滿意度成為國際政府普遍做法。在這樣的國際大背景下，我國城市電子政務與政府服務的發展日益要求更為深入的政務服務整合，CityLiveID的建設成為重要的突破口。2、服務型政府建設的必然要求服務型政府的建設一方面要求政府服務效率的提高，另一方面還要重視政府服務質量的提高，同時還要有滿意的服務效果。這就要求政府從根本上改變以往的服務模式。包括從服務理念、服務手段、服務方式、服務途徑、服務效果等各方面的整體改變。所以，CityLiveID是一種服務模式的創新，是適應服務型政府建設和發展的必然結果。3、電子政務集約化建設的必然結果電子政務經過這么多年的發展，取得了一定的成績，但其投入規模日益擴大，建設效果卻始終沒有太大的突破。近年來，“信息化黑洞”的言論逐漸升溫。為控制不斷增加的信息化投入，電子政務集約化建設勢在必行。CityLiveID的建設整合的各種政務資源，提供了統一的對外服務渠道，改變了以往分散建設，各自為政的局面。建設的意義1、促進政府后臺業務系統的整合CityLiveID的建設能夠形成倒逼機制，通過服務的推進能夠整合各個部門資源和社會資源，協調各部門服務辦事，實現“多個部門、一個政府”，公民或企業登錄CityLiveID辦理業務時，不必再考慮要登陸各政府部門的站點，而是按照業務流程，在CityLiveID中逐項完成所有這些業務相關手續，從而打破部門式孤立的電子政務信息化模式，邁向區域型集約化的云計算模式，促進政務信息資源高度共享，真正實現“網上辦事”和“無縫政府”。2、提高政府服務的滿意度 CityLiveID實現了“以政府職能為中心”向“以企民聚合服務為中心”政府服務模式的轉型，創新了“信息找人、任務找人”的電子政務模式，實現了從“社會化信息公開”向“個性化信息推送”提升。并且能使市民、企業感受到“我的政府”，政府服務是圍繞市民和企業的需求來開展的，使得政府服務更為貼切、效果更好。3、加快基本公共服務均等化的發展基本公共服務均等化首先應該是機會的均等，市民、企業能公平的獲得各種政府的基本公共服務，要實現基本公共服務的機會均等必須實行基本信息服務的均等化。企業、市民能夠通過CityLiveID獲取各種基本公共服務，政府也能通過CityLiveID主動推送相關公共服務。 4、具有重要的社會意義市民、企業可以通過這個政府認可的CityLiveID直接向政府進行信訪、投訴、舉報，為市民、企業提供一個電子化的、可管理的民怨民怒民憤疏通渠道，可有效減少市民、群體上訪等負面事件的發生。還可向監管部門實時推送個人、企業發布的信用信息，減少網上散布謠言，制造恐慌和惡意侵害他人名譽的一系列網絡犯罪，促進社會信用體系的建立。同時，政府可以通過LiveID隨時了解人與企業、人與家庭、人與人之間的關系，為社會維穩工作提供科技保障，具有重要的社會意義。 5、加強電子政務集約化建設，節省政府財政開支CityLiveID的建設，采用了云技術，整合的政務資源，包括信息資源、硬件資源、服務資源等，建立了統一的對外服務渠道，有效改善以往以部門為中心的政府信息化巨額投入，大大節省了政府財政開支。CityLiveID的應用藍圖總體應用藍圖及應用場景公共服務云平臺參照英國、新加坡、香港等先進國家或地區的城市綜合信息服務和社會管理經驗，打造面向市民和企業的個性化、主題化城市信息服務云，云平臺中聚合了政府行政機構、公共事業服務機構、金融服務機構、及民間組織有關企業、市民的服務信息。市民、企業可申請一個城市LiveID，作為政府唯一認可的互聯網虛擬世界的市民或企業標識，也作為政企、政民唯一合法權威的互聯網交互渠道。公共服務云平臺的應用藍圖：平臺以個人、企業為中心，引導政務、商業等各類應用系統的交互信息經過感知聚合統一推送到個人或企業的CityLiveID，從而形成政企、政民唯一合法權威的電子交互渠道。通過此平臺：1、可向企業實時推送政策法規、行政審批、政府招標、政府采購、各類資助、行業動態等信息；2、可向家庭推送社會救助、社區服務、家政服務、教育、醫療服務等；可向個人實時推送便民信息，如學生入學通知、交通違章、社保公積金、投訴建議反饋、水電費通知、各類辦事結果等信息。3、加強社會管理，維護互聯網秩序。政府可以通過平臺隨時了解人與企業、人與家庭、人與人之間的關系，有利于治安維穩，建設平安社會；同時，每個人有了確定的身份后，可減少網上散布謠言，制造恐慌和惡意侵害他人名譽的一系列網絡犯罪，有利于建立社會信用體系，提高個人信息的準確度，人與人之間的聯系將更方便安全。4、同時市民、企業可以通過這個政府認可的LiveID直接向政府進行信訪、投訴、舉報，為市民、企業提供一個電子化的、可管理的民怨民怒民憤發泄渠道，可有效減少市民、群體上訪等負面事件的發生。面向企業的應用場景企業城市公共服務信息總棧——企業公共服務信息匯總，屬企業專屬空間。公共服務平臺將與企業相關的所有政務服務信息（政策法規、行政審批、政府招標、政府采購、各類資助、行業動態等信息）推送至企業空間，使企業通過互聯網登陸企業信息總棧就能查看、辦理企業有關政務服務事宜。企業信息總棧的應用藍圖：

企業信息總棧界面圖:CityLiveID企業空間界面面向個人的應用場景個人城市公共服務信息總棧——公共服務個人信息匯總，屬個人專屬空間。公共服務平臺將與個人相關的所有政務服務信息（如政府行政服務信息、公共事業服務信息、文化教育信息、城市執法信息、計生保健信息、社會保障信息以及個人家庭的學生入學通知、投訴建議反饋、水電費通知、各類辦事結果等信息）推送至個人空間，使個人足不出戶在家通過互聯網登陸個人信息總棧就能查看、辦理個人有關政務服務事宜。個人信息總棧的應用藍圖：個人信息總棧界面圖：CityLiveID市民空間界面面向職能部門的應用場景公共服務云平臺可將行政區域政府各職能部門所有應用系統進行全面整合，用于支撐政府在經濟調節、市場監管、社會管理、公共服務、紀檢監察等領域的日常管理工作。平臺為每個公務人員提供個性化工作桌面，所有信息和任務均自動聚合到工作桌面，提高工作效率，促進政務信息資源共享。徹底改變以往的政務信息化模式：改“各局辦委自建”模式為“基于云計算中心的統規、統建、統用、統管”模式；改“以職能為中心”模式為“以促進經濟社會和資源環境協調發展為中心”模式改“以功能為中心”模式為“以人為中心的信息自動找人、任務自動找人”模式職能部門辦公界面圖：政府管理人員界面政府工作人員界面面向領導決策的應用場景公共服務云平臺提供行政區域內業務運行頂層監控，為領導實時掌握效能、監察、統計分析等方面的情況，除了為領導提供直觀的圖表式決策分析環境外，還利用云資源聚合中間件平臺提供Web化的數據魔方池的創建和管理，用戶可以根據政務基礎數據庫情況，自行創建數據魔方（Cube）、自定義分析主題，同時提供達20多種解魔方圖表控件，支持下鉆、上鉆、旋轉、切片、篩選等OLAM（在線分析挖掘）操作。用戶可以方便利用它進行從分析主題定義到動態監控、多維分析、關聯分析、趨勢預測，為領導提供直觀的圖表式決策分析環境；同時可以將分析和預測結果輸出為EXCEL文件及云端可尋址的資源。圖表控件包含如下：圖表控件頂層監控界面：系統總體技術方案總體設計思想與建設原則總體設計思想根據《國民經濟和社會發展第十二個五年規劃綱要》要求，結合我國電子政務發展現狀，平臺建設過程中，將遵循“資源集約化使用”的云計算核心思想，采用先進的云計算模式和WOA架構技術，按照“八統”思想來設計。八統包括：統一身份認證、統一訪問授權、統一資源整合、統一資源共享、統一消息告知、統一標準規范、統一接口服務、統一數據訪問。統一身份認證機制平臺建設的應用支撐環境創建平臺用戶池，并在平臺用戶池之上構建統一的身份認證機制，為用戶登錄行政服務中心信息系統訪問各個子系統，提供統一身份認證服務。統一訪問授權機制項目建設的應用支撐環境構建統一的訪問授權機制，統一對整合后的資源進行訪問授權，系統管理員不需要再逐一地對各子系統進行授權。統一訪問授權機制需以用戶/用戶組為中心，業務機構、應用資源、角色權限三位一體，即不同應用資源的訪問權限屬于不同的業務機構、不同的角色，支持與層次化機構相適應的逐級授權，同時可以對跨業務機構的虛擬用戶組授予一個或多個角色權限。統一資源整合根據云計算的“資源的集約化使用”核心思想，構造統一的資源整合機制，有效整合縣、鄉鎮（街道）、社區（村）三級各部門現有的業務系統，本次項目需要重構政務公開、政務服務系統、行政績效管理及電子監察系統和電子監察監控中心，以及未來新建的業務系統的應用資源和數據資源，以形成簡潔的資源池，包括：應用資源池、數據服務池、數據魔方池、平臺用戶池、初始代碼池等等，確保電子政務用戶能良好地享受政府提供的各類服務。統一資源共享構建統一的資源共享機制，實現試點縣各級部門辦公協同、資源共享，以達到系統聯動的目的。統一消息告知構建統一的消息告知機制，聚合各種告知消息，譬如：通知公告、會議紀要、郵件提醒、短信提醒，以及各個子系統的系統消息和事項提醒等，實現信息主動找人。統一標準規范根據先進地區及市其它部門的建設經驗，標準體系的建設是至關重要的，特別是對于縣、鄉、村多級應用體系的建設。以國家電子政務信息化標準體系為指導，參照現有電子政務標準規范，研究、整理、規范試點縣政務公開政務服務系統建設標準體系。統一接口服務云資源聚合平臺為各個子系統提供統一標準化的接口服務，便于未來的系統擴展，以及對接口的統一維護。統一數據訪問嚴格遵循SOA、WOA設計思想和規范，提供統一的REST樣式的數據服務生成，包括：審批數據庫的數據訪問服務、各子系統的數據訪問服務，實現統一服務發布，統一服務存儲，統一服務管理。總棧機制一、總棧機制棧作為一種數據結構，是一種只能在一端進行插入和刪除操作的特殊線性表。它按照后進先出的原則存儲數據，先進入的數據被壓入棧底，最后的數據在棧頂，需要讀數據的時候從棧頂開始彈出數據（最后一個數據被第一個讀出來）。在計算機系統中，棧是一個具有以上屬性的動態內存區域。程序可以將數據壓入棧中，也可以將數據從棧頂彈出。圖：棧的模型信息總棧是根據棧的原理和模型，在電子政務領域中用來為企業、市民提供更好服務的一種信息采集、推送機制。它通過多領域多租戶共享交換云平臺實現“棧”信息的采集和推送，通過大數據處理平臺實現信息的處理，通過云聚合中間件平臺實現各種政務服務的聚合及推送，最后通過政府分配給企業或市民一個“網絡地盤”（CityLiveID）來提供各種政務服務。這一整套機制就是信息總棧的運行機制。服務分類一、企業服務分類企業服務分類根據企業生命周期，從注冊設立到破產注銷的全生命周期提供服務，根據各行業企業的共性提供主題服務。按照分類方法，對面向企事業單位的服務內容進行服務主題劃分，包括設立變更、經營許可、證照資質、高新技術、項目申報、廣告許可、財政稅收、質量檢查、農林牧漁、公共資源、勞動關系、人力資源、商務投資、對外交流、交通運輸、建設管理、安全防護、環境保護、法律司法、知識產權、年檢年審、破產注銷、其它等主題服務。二、個人服務分類個人服務分類采用以公眾生命周期法和需求層次法相結合，設計面向公眾的服務內容的分類方法。生命周期在時間上覆蓋了個人的全生命周期（個人的生命周期如下圖所示），在內容上不僅限于個人需求，也包含社會施加的管理型服務需求。按照分類方法，對面向公眾的服務內容進行服務主題劃分，包括婚姻登記、生育收養、戶籍身份、居住登記、教育培訓、勞動就業、兵役優撫、個人稅務、社會保障、衛生保健、土地住房、交通出行、旅游服務、文化體育、出境入境、公共安全、公用事業、權益保護、法律司法、民主參與、民族宗教、離休退休、殯葬服務、綜合其它等主題服務。個人服務還可按照特殊人群進行分類，具體為：人群服務學生小學、初中、高中、職業學校、畢業生就業等老弱病殘老年人福利、學前教育、疾病預防、殘疾人福利等軍人優撫優待、退伍軍人安置等外籍人士就業許可、申請簽注、參加社保、就業許可等公務員xxxxx公務員概況、管理改革、選調信息、聘任轉正退休港澳人士學歷學位認證、就業許可、申請簽注、參加社保等留學人員資格認證、學歷學位認證、來深創業、參加社保等建設原則統籌規劃，整體推進。遵循電子政務頂層設計，統一領導、統一部署，規劃先行，加強對電子政務項目的全局性調控，統籌指導各部門的電子政務建設，實現以部門為中心向以流程為中心的轉變，整體推進全區電子政務工作。深化應用，創新發展。加強面向社會公眾的電子政務應用，注重電子政務應用成效，有效提高電子政務的社會和經濟效益。各業務部門應加強政務和技術的融合，充分利用電子政務推進理念創新、管理創新、服務創新。資源共享，集約建設。完善政務信息資源共享的支撐體系和管理機制，充分發揮政務信息資源的效益，提高政務信息資源共享應用成效。打破體制機制障礙，大力推行集約化建設模式，處理好整體與局部、集中與分散、建設與應用的關系。統一標準，安全可控。不斷健全全區電子政務發展的制度和標準規范體系，確保電子政務建設和應用的規范性和開放性。合理把握安全與發展的關系，健全信息安全長效機制，實現建設應用與安全保障的協調發展。總體目標與建設內容總體目標通過整合包括政府行政服務信息、公共事業服務信息、文化教育信息、計生保健信息、社會保障信息等多種政府業務，將多個跨部門系統聚合在云端，為市民、企業、公務人員等云端用戶提供政府服務。形成一個良好的“云服務”的生態循環，通過實現服務的發布，再合作實現資源的柔性匯聚和演化，最終匯聚的資源為用戶方便地感知和應用，提高政府效率和群眾服務水平。打破部門式孤立的電子政務信息化模式，邁向區域型集約化的云計算模式，促進政務信息資源高度共享。實現“以政府職能為中心”電子政務模式向“以企民聚合服務為中心”電子政務模式轉型，為全面打造服務型政府提供強力支撐。全面覆蓋行政區域各局辦委的所有業務，全面支撐政府在經濟調節、市場監管、社會管理、公共服務、紀檢監察五大領域的業務。充分體現云計算的核心優勢，以人為本，全面體系化構造：電子政務專有云、公共服務云、政府門戶網站群。創新“信息找人、任務找人”的電子政務模式，為每個公務人員提供個性化工作桌面，所有信息和任務均自動聚合到工作桌面。全面支持從政務公開向個性化信息推送提升，為每個企業、每個市民提供一個政府認可的CityliveID（E-Mail地址）和一個“信息總棧”。有效改善以往以部門為中心的政府信息化巨額投入，節省政府財政開支。建設內容公共服務云平臺賦予每個企業/個人唯一一個政府認可的互聯網編號，并將以個人、企業為中心，引導政務、商業等各類應用系統的交互信息經過感知聚合統一推送到個人或企業的信息總棧。為企業提供“企業信息總棧”,聚合企業的政府辦事、企業執法信息、企業人才服務、企業運營信息、社保、稅收、科技資助、公共資源交易等信息，提供“一站式”服務；為居民提供“個人信息總棧”，聚合個人、家庭相關信息如繳費、執法與罰單、社保、教育等相關信息；總體架構設計嚴格遵循業界領先的“資源集約化使用和治理”的云計算核心本質，采用“1+N”彈性云架構、云服務、WOA架構、OGSA架構、背景感知計算、內容聚合計算、展現配件渲染計算、OLAM等技術，確保本平臺高可用、高擴展、高安全、高性能，并能科學地構造智能化、體系化、網格化的政務服務云。技術架構如下：技術架構分為社交服務平臺、公共云服務層、云聚合中間件平臺、大數據處理平臺、多領域多租戶共享交換云平臺、信息資源層，并以嚴謹的云計算服務體系、云計算治理體系、云計算標準體系、云計算安全體系為保障。社交服務平臺,為市民建立社會性網絡的互聯網應用服務。市民可根據不同主題進行社交拓展，發展自己的社交網絡圈。公共云服務層——CityliveID空間，提供面向個人、企業、政府人員的信息頻道，以形成云格化的公共云，同時還是用戶登錄至虛擬化個人桌面的入口。其各信息頻道內容不僅可以通過網站內容管理系統發布，而且還可以通過調用掛接到云服務總線上的REST/SOAP服務而獲取政務專用云所將交付的信息內容。云聚合中間件平臺，平臺自動感知用戶背景和操作系統，智能聚合相應的內容，并推送到個人桌面，實現信息找人、任務找人的創新模式。大數據處理平臺，對于單一的關系型數據庫及數據倉庫很難勝任的數據處理，交由大數據的平臺處理。多領域多租戶共享交換云平臺，采用云服務目錄、云服務總線、數據交換總控、數據交換網關等設備通過配制快速構建安全的共享交換云平臺，為政府各直屬部門之間、不同地市之間、不同區域之間提供資源服務化共享和數據交換；信息資源層，指已建、擬建系統的應用系統資源及數據。包括已建設的及擬建的業務應用系統，以及建設OfficeWeb應用平臺（提供Word、Excel、Powerpoint和OneNote在線編輯和共享服務）、即時溝通平臺(LyncServer)，以及云設施服務管理系統、服務器虛擬化管理/配置/操作管理平臺。多領域多租戶共享交換云平臺云共享交換平臺由云服務生成、云服務總線、云資源目錄構成，它是電子政務專有云、公共服務云，云與智能終端交互、非云與云應用交互的中樞系統。它為資源共享、服務整合、異構系統之間的互聯互通提供基于標準、面向服務、事件驅動的資源共享和應用集成整合支撐與服務。主要提供以下服務：云資源整合云資源注冊編目云服務生成異構數據橋接云資源共享云服務治理云服務部署云共享交換平臺總體藍圖如下：圖STYLEREF1\s5SEQ圖\*ARABIC\s19：云共享交換平臺總體藍圖云共享交換平臺說明：整體構成共享交換資源服務化共享及端到端數據交換。為各機構、各系統提供資源服務化共享和數據交換，是信息資源共享及交換樞紐。為各部門之間、共享交換云之間的資源服務化共享及端到端數據交換。云共享交換平臺由中心端的云資源目錄設備、云服務總線設備、數據交換總控設備，以及接入端的數據交換網關設備構成。數據交換網關設備內置異構數據橋接器、云服務生成器，不需開發任何接口即可實現異構數據與數據交換網關的橋接，不需任何編碼即可實現資源的服務化共享（通過配置自動生成REST/SOAP服務）。云資源共享服務生成：服務生成是云資源共享的基礎，數據交換網關設備內嵌云服務生成器，不需任何編碼即可生成實現資源的服務化，不僅能生成傳統的SOAP服務，而且還能生成云端可尋址的REST服務（簡稱云服務）。服務共享：政府部門、各機關等的共享資源服務全部由數據交換網關生成且發布，各部門內所有服務均掛接到中心的云服務總線設備，以形成資源服務化共享云。云服務總線應全面支持SOAP服務和REST服務。服務樣式：為確保服務的云端可尋址性、語義可見性、接口通用性，共享到云服務總線設備上的服務應采用WSDL描述的REST服務。服務治理：提供服務粒度監控、服務請求監控、服務訪問流量控制等功能，并提供服務質量(QoS)保證機制。服務安全：支持數字證書、安全會話、簽名、加密、簽名及加密、STS服務、引導策略、用戶令牌認證等多種安全機制。云資源目錄資源類化編目:能動態感知云服務總線設備上所有的服務資源，同時支持根據不同的服務資源、在線資源的主題、來源、保密等級和資源訪問地址等進行資源的類化編目。目錄版本管理:針對目錄變更提供目錄版本管理，對經過審核后的目錄變更內容以多版本的形式存儲。目錄的變更嚴格使用權限控制。目錄檢索功能:提供目錄資源搜索引擎根據目錄的分類和目錄信息關鍵字進行目錄的搜索和查詢。目錄訂閱:提供ATOM訂閱服務，目錄變化后自動將目錄發布給訂閱者。效果評論:提供資源目錄使用效果評論功能。目錄訂閱者可以將服務運行的效果和問題上報到云資源目錄平臺。支持共享資源之間的依賴關系管理，及共享資源的生命周期管理。遵循GB/T21063-2007《政務信息資源目錄體系》標準。異構數據橋接“零編碼”實現與各部門異構系統的互聯，避免異構系統與數據交換網關的接口開發，即配即用。圖STYLEREF1\s5SEQ圖\*ARABIC\s110：異構數據橋接圖異構數據橋接說明：異構數據源應支持各種類型的數據庫（SQLServer、Oracle、MySQL、DB2、等等）、Cube數據集市、XML、EXCEL、CSV、LDAP、EMAIL、SOAP服務、REST服務、RSS服務，等等。異構數據橋接器應提供上百種數據轉換的組件供用戶選擇，用戶根據自己的數據轉換規則選擇相應組件，通過各種不同的數據轉換組件的組合可以完成復雜的數據轉換需求。主要的數據庫數據轉換組件有：字段折分組件、字段合并組件、數據過濾組件、多字段計算組件、空處理組件、字段映射組件、數據類型轉換組件、腳本轉換組件等。端到端數據傳輸：采用當前廣泛引用于IP電話、IP視頻、IP會議的、國際標準的JXTAP2P端到端數據通信架構，端到端之間可以自動根據帶寬創建多條并行數據傳輸通路，任何一條通路出現故障，均不影響端到端的數據傳輸，提升端到端傳輸的實時性和高可靠性。數據交換方式：全面支持數據采集、數據群發、雙向交換、數據轉發、大文件交換、大圖像交換（如：電子地圖），同時支持視頻、音頻、動畫等流媒體交換。遵循GB/T21062-2007《政務信息資源交換體系》標準。大數據處理平臺xxxxx市公共服務云其廣泛的云端用戶群、豐富的應用服務、豐富的數據類型，高速的服務要求，以致于公共服務云需采用云計算架構下的大數據處理框架，單一的關系型數據庫及數據倉庫很難勝任，如下圖所示：云計算是發動機、大數據是電；公共服務云服務規模越大，則越具有大數據的“4V”特性：xxxxx市公共服務云的大數據處理框架，以高價值為中心，兼容結構化和非結構化，共分為四層：數據信息層、數據載體層、計算方式層、動態分析層。1）大數據信息層：從整體上講，xxxxx市公共服務云數據信息可分為：政府行政服務信息、公共事業服務信息、文化教育信息、城市執法信息、計生保健信息、社會保障信息，數據規模非常龐大。2）大數據載體層：xxxxx市公共服務云的數據類型非常豐富，包括大量的非結構化，如：網絡日志、視頻、圖片、文檔、地理定位信息、溝通交流信息、人脈關系信息等非結構化信息。因為從數據載體上來講，非結構化數據采用NOSQL分布式數據庫來存儲（如：TYKYcNosqlServer），結構化數據采用關系型數據庫來存儲(MSSQLServer)。3）大數據計算層：xxxxx市公共服務云中大量的非結構化數據的產生，傳統的只用一種多維計算方式，很難滿足領導決策和業務發展需要，xxxxx市公共服務云采用HDInsight分布式計算與常規多維計算相結構的計算方法。HDInsight是微軟發布的Hadoop的Windows版，HDInsight允許用戶處理大量的結構化和非結構化數據并快速從中獲得價值。4）動態分析層：主要整合Pig、Hive、Pivot、Map等業務分析工具，能及時提純xxxxx市公共服務云的價值數據、洞察公共服務云的動態，為領導決策和公共服務云發展提供必要的支撐。聚合服務平臺除了可利用數據交換平臺實現各業務信息系統之間數據和應用的集成以外，在建設公共服務云時，還會遇到用戶管理、身份認證等問題。系統將通過應用支撐平臺實現統一用戶管理、統一身份認證，通過資源整合平臺實現用戶層面、應用層面和數據層面的資源整合，提供開放、可控的接口服務，能與各種開放式系統進行互聯互通。云資源聚合中間件平臺云資源聚合中間件平臺應是云計算PaaS平臺，其的主要作用是：抽象、概括、類化各種應用資源、數據資源，簡化復雜資源的整合過程，提升資源整合的標準化及規范化，為云端用戶提供良好的服務。資源的抽象、概括、類化工作均在Web瀏覽器中進行。圖STYLEREF1\s5SEQ圖\*ARABIC\s15：云聚合中間件平臺本項目應用采用成熟的產品，它應提供如下功能模塊：展現配件池創建與管理：提供面向角色的Gadget桌面展現配件的創建及管理功能，嚴格遵循OpenSocial規范。應用資源池創建與管理：提供面向主題、統一類化的SaaS應用資源池的創建與管理功能，各種SaaS應用資源可以方便加載。數據服務池創建與管理：內置一個強大的數據服務生成引擎，通過配置能快速生成各種SOAP、REST樣式的數據服務，以輕松實現數據服務池的創建；支持多數據源及多數據源混合使用；提供強大的服務治理和服務QoS功能，并支持數字證書、安全會話、簽名、加密、簽名及加密、STS服務、引導策略、用戶令牌認證等服務安全機制。數據魔方池創建與管理：內置一個智能的OLAM（在線分析挖掘）引擎，通過配置能快速將各種數據集生成面向主題的數據魔方，以輕松實現數據魔方池的創建；支持關系型數據源和支持XMLA協議的多維數據源；提供多達20余種的解魔方圖形控件、與數據綁定后可獨立尋址，支持業務動態頂層監控、在線數據分析挖掘、預言模型導入導出等功能。報表服務池創建與管理：基于ReportingServices（報表服務）引擎，提供在線報表創作服務環境，它包括查詢生成器和表達式編輯器，它支持處理數據、定義布局、預覽報表，以及將報表保存到報表服務器或發布虛擬化個人桌面。初始代碼池創建與管理：提供面向主題、統一類化的初始代碼池的創建與管理功能，能靈活管理云中所有SaaS應用的初始化代碼，如指標體系、系統參數、語義映射、節假日、元數據等；并提供初始代碼的外部同步服務。訪問用戶池創建與管理：提供面向機構、面向角色、統一類化的訪問用戶池的創建與管理功能，并提供統一行政區劃、統一組織機構、統一用戶角色、統一虛擬用戶組、統一訪問授權及分級授權等功能，以及提供相對應外部同步服務。統一身份認證：提供基于AD活動目錄的SSO單點登錄機制，并支持數字證書認證和用戶令牌等安全機制。統一訪問控制：基于云格訪問控制模型，提供訪問用戶控制、訪問時間控制、訪問IP控制、訪問資源控制等機制。用戶背景感知：基于背景感知計算模型，自動感知用戶的操作習慣，主動為其提供最合適的定制內容、產品或服務。智能內容聚合：基于內容聚合計算模型，根據所感知到的用戶背景，自動調用相關服務、聚合相關內容。展現配件渲染：提供展現配件與聚合內容自動適配、綁定、渲染機制，為云端用戶提供良好的服務體驗。信息聚合任務規劃為實現以人為本的“任務找人、信息找人”的信息聚合模式，應先將平臺用戶池的所有用戶進行虛擬化分組，即創建虛擬用戶組，對每個虛擬組用戶進行公共展現配件規劃及個性化展現配件規劃，確保每組用戶登錄自己個人桌面門戶時所呈現的桌面展現配件和展現內容是不一樣的、人性化的。根據云計算的核心思想，信息聚合從三個層面著手：系統功能方面、系統消息方面、信息內容方面。一、系統功能聚合：根據每個虛擬用戶組的授權，定制聚合各組用戶能訪問的應用資源，包括子系統直通車、常用功能聚合。1）子系統直通車，即聚合每組用戶能訪問的子系統，若某個子系統該用戶組沒有權限則不可見。2）常用功能聚合，即用戶將自己對各個子系統的常用功能聚合在一個展現配件中，方便自己進行業務處理。二、系統消息聚合：根據每個虛擬用戶組的授權，系統自動為每組用戶聚合有權訪問的子系統的系統消息，包括來自：1）即時消息；2）電子郵件子系統的新郵件消息；3）移動的待辦消息、通知公告消息等；4）網上虛擬大廳、公共服務云平臺的待辦審批信息；5）…三、信息內容聚合：根據每個虛擬用戶組的授權，系統自動為每組用戶聚合有權訪問的子系統的信息內容，直接將信息內容展現在個人桌面門戶的展現配件中，除系統強制綁定的公共展現配件外，用戶可自行選擇在個人桌面門戶需要陳列的展現配件。1）公共展現配件有：待辦聚合、留言聚合、通知公告聚合，以及綜合辦公自動化系統發布的公開信息，等等。2）領導組的展現配件有：來自移動的會議紀要、來自門戶網站的反腐敗斗爭新聞和投訴、來自服務中心績效系統的預警信息、來自政府運營頂層監控系統的各種業務綜合查詢、監控圖文表，等等。3）一般人員組的展現配件有：來自移動的會議紀要、來自門戶網站群的反腐敗斗爭新聞、來自的審批信息、來自服務中心績效系統的預警信息、績效填報，等等；技術路線具體技術如下：1、云計算(Cloudcomputing)技術，云計算的核心本質為資源整合，而且是大量復雜資源的整合，其資源整合過程就是一個資源抽象、概括、類化的過程，云端用戶看到的就是良好的服務，對于后面復雜資源的整合過程，云端用戶沒有必要知道，它主要是由“云資源整合中間件”完成。云資源整合中間件的作用就是實現xxxxx市公共服務云中的資源抽象和簡化，以形成各種簡潔的信息資源池，同時具有背景感知、智能聚合、展現渲染三大云計算能力，為公眾、企業、政府人員提供方便的服務。2、采用云服務(CloudServices)技術，即為云端可尋址的RESTServices技術，通過REST服務技術，實現各類資源的服務化封裝，確保xxxxx市公共服務云具有極強的松耦合和可組合性，便于系統可以無限擴展、隨需重組。同時，云資源整合中間件平臺與視頻會議系統、郵件系統、短信彩信平臺等系統的接口封裝也應采用云服務技術。3、采用WOA（WebOrientedArchitecture）架構技術，即為面向Web、面向WAN、第二代SOA架構技術，它汲取了B/S結構和SOA架構的核心優勢，并各類云端用戶提供了良好的操作體驗，確保應用系統具有協同性、可重用性、可組合性、服務可尋址性、適應性、自治性、松耦合等先進特性。4、采用背景感知計算（Context-AwareComputing）技術，即能夠感知用戶背景，主動為其提供最合適的定制內容、產品或服務，采用背景感知計算技術自動感知各個用戶群體的操作習慣，實現不同用戶登錄后，所看到的個人桌面和常用功能完全不一樣，為角色不同的各級機構領導提供良好的操作體驗。5、采用內容聚合計算(ContentMashupComputing)技術，即能夠聚合各應用系統的各種信息資源，如：常用功能聚合、待辦任務聚合、子系統報表聚合、子系統消息聚合、子系統日志聚合，改被動為主動，打破以往的“人找信息、人找任務”的應用模式，創新“信息找人、任務找人”的應用新模式。6、采用OLAM（On-LineAnalyticalMining）技術，即在線分析挖掘技術，融合了OLAP和DataMining技術，能夠針對數據集市中的各類面向主題的數據集，通過配置自動生成各類數據魔方(Cube)，以快速形成統一的數據魔方池，提供面向主題的展現圖表，確保應用系統不僅擁有實時的業務運行頂層監控功能，而且擁有在線分析挖掘功能，能夠有效模擬、預測未來的業務發展趨勢，為管理決策、宏觀調控提供依據。安全體系設計云計算改變了服務方式，安全責任的主體發生了變化。原來，用戶自己要保證服務的安全性，現在由基礎教育云計算中心服務提供商來保證服務提供的安全性。數據的物理存儲實體與所有者分離，云安全就是要采取恰當的技術措施，打消用戶顧慮，使其信任基礎教育云計算中心對其私有數據的存儲、管理和處理。xxxxx市公共服務云項目的安全服務體系由一系列云安全服務構成，是實現云安全目標的重要技術手段。根據其所屬層次的不同，云安全服務可以進一步分為云基礎設施安全服務、云基礎安全服務以及云應用安全服務，通過云基礎設施安全服務、云基礎安全服務以及云應用安全服務的保障，實現對云用戶的安全可靠服務。如下圖所示，建立一個多層次、多方面、立體的安全防護體系架構。xxxxx市公共服務云安全體系結合用戶的現狀，制定出適合用戶的合理安全機制，建立動態安全體系，實現動態的安全監測，真正實現：風險分析+安全策略+防護系統+實時監測+實時響應+災難恢復，而且各個部分之間的關系都是動態的和相互依賴的。如下圖所示：項目實施推廣方案項目實施推廣策略項目實施策略本項目由xxxxx云計算中心(xxxxx云計算中心)與VVVVV軟件有限公司組織實施。Xxxxx云計算中心(xxxxx云計算中心)是國家在xxxxx布局建設的、xxxxx建市以來單個投資額最大的重大科技基礎項目。立足xxxxx、面向全國、服務華南、港、澳、臺及東南亞地區，承擔各種大規模科學計算和工程計算任務，同時以其強大的數據處理和存儲能力為社會提供云計算服務。VVVVV軟件有限公司是國內電子政務領域的領軍廠商、中國云計算領域的先導廠商，公司多年致力于云計算技術和服務的不斷創新，擁有云計算IaaS、PaaS、SaaS全線TYKY品牌的云服務產品，是中國第一個擁有云計算落地案例的廠商，公司曾獲中國創新軟件企業、全國“信譽、質量、服務”AAA單位、廣東省優秀企業、中國最佳研發中心獎等多項榮譽。本項目實施策略上將充分利用國家超級計算xxxxx中心的服務器、存儲等現有資源優勢，VVVVV軟件有限公司將提供涵蓋IaaS、PaaS、SaaS全線云計算產品的解決方案。項目組織過程中將重視以下幾點策略：1、項目實施過程中采用國際上通行的項目管理方法（ISO、CMM），對各專題的建設進程進行全程跟蹤、分階段評估和認證，確保整個項目的按期按質完成。2、在項目實施的過程中，以任務書方式明確開發小組的責任，確保項目建設的進度與質量，充分發揮團隊的作用、明確其所具有的職責。3、建立健全的從需求分析、設計、測試到項目實施，以及設備現場使用培訓等一整套項目管理規范，以提供項目實施的制度保證。4、在項目實施中，管理人員和技術人員共同參與，并做好相應的培訓工作。5、制定在項目實施過程中的技術文檔的編寫、審核和管理規范，使項目的相關技術文檔達到充分、清晰和高質量的標準，以提供項目驗收的文檔資料保證。6、嚴把質量關，確保項目實施質量第一。在項目實施過程中，在保證項目質量的前提下，努力降低用軟件系統的開發成本，以保證項目成果產業化的順利推進。項目推廣策略從橫向來看，公共服務云項目涵蓋了個人及企業多項服務事項，而這些事項牽扯到政府各類行政服務部門。本項目推廣策略主要圍繞企業和市民最為迫切的服務進行整合，以“以客戶為導向”，圍繞服務主題整合各行政部門的不同服務。可以從不同行政部門進行，例如對牽涉個人住房服務的住房建設局、住房公積金管理中心、人社局等部門進行項目的推廣，進而實現為個人提供公積金查詢、保障房/經濟適用房/廉租房申請、人才安居工程、住房貸款申請等優質服務。項目實施推廣計劃項目實施計劃(1)項目時間管理按照項目總體管理的計劃安排、嚴格按照進度控制相關規定，制定時間管理計劃，并執行。圖：項目時間管理項目時間管理是指確保項目準時完成所需的過程。其主要過程有：–活動定義–活動排序–活動資源估算–活動歷時估算–制定進度計劃項目時間管理流程圖如下：圖：項目時間管理流程圖(2)項目實施計劃進度本項目實施充分遵循項目時間管理流程，計劃從今年開始，分三期建設，每期半年，總工期為18個月。在項目執行期內，每一階段應達制定具體目標，VVVVV軟件有限公司按每半年一個階段，制定如下項目計劃進度表：時間主要內容、預期目標6個月主要公共服務試點的推廣6個月全面個人信息總棧推廣與應用6個月全面企業信息總棧推廣與應用項目推廣計劃隨著試點工作的進行，將進行公共服務云項目的總結與全面推廣，逐步將適用范圍擴大到涵蓋各類個人及企業服務的全市各類行政管理服務部門。第一階段涉及的公共服務平臺試點服務主要有以下內容。企業服務主要推送涉及企業切身利益的行政審批信息、財政稅務信息、項目申報信息、證照資質信息、公共資源交易信息等服務；個人服務主要推送能給市民帶來便利和實惠的服務事項，包括生活服務（水、電、氣、電視、通訊查詢及繳費、天氣預報、萬年歷等）信息、政府辦事（居住證、出入境<港澳通行證>、老年證、身份證、駕駛證換領等）、社保服務（社保繳費查詢、基本醫療服務、養老服務、生育服務、失業服務等）、交通服務（公共交通查詢，車輛違章查詢、駕駛員積分查詢）、醫療服務（預約掛號、醫生執業資格查詢、專科查詢）等。第二階段是全面的個人信息總棧推廣與應用，覆蓋個人生命周期的全周期服務。梳理、聚合與市民密切相關的服務信息，覆蓋個人住房服務、教育服務、交通服務、醫療服務、生活服務、社保服務、文化服務、就業服務、政府辦事等各類個人服務事項。通過推廣總結經驗，實現服務的提升。第三階段是全面的企業信息總棧推廣與應用，覆蓋企業生命周期的全周期服務。梳理、聚合與企業密切相關的服務信息，包括企業注冊、年審年檢、證照資質、知識產權、項目申報在內的各類企業服務，實現項目在各類政府行政管理部門的推廣。項目推廣周期計劃、人員計劃表格如下：(1)推廣周期計劃表進度情況擬定時間安排計劃工作內容實施建議第一階段試點階段6個月主要公共服務的推廣第二階段全面個人信息總棧推廣與應用6個月個人信息總棧推廣與應用，梳理、聚合與市民密切相關的服務信息第三階段全面企業信息總棧推廣與應用6個月企業信息總棧推廣與應用，梳理、聚合與企業密切相關的服務信息(2)推廣人員計劃表擬任分工姓名主要工作內容聯系電話總負責人負責項目總體協調和需求管理主要技術人員負責項目總體設計和技術開發負責數據庫設計和核心模塊開發負責功能模塊開發負責功能模塊開發測試人員負責整體測試系統集成人員負責系統集成售后服務人員負責實施、培訓、推廣、運維負責實施、培訓、推廣、運維產品清單1、cLord基礎設施云化服務平臺2套——cLord基礎模塊——cNosql云數據庫引擎——jClime云應用引擎——cDisk云端硬盤2、MTSS多領域多租戶共享交換云平臺——xSwap云共享交換總控——cBus云服務總線——cGate云服務網關——cLedger云資源目錄——cBridge異構云橋3、cInsight大數據處理平臺——cCubol云分析平臺——HDInsight分布式計算平臺4、cMashup云聚合中間件平臺5、cPaay云社交中間件平臺附錄資料：不需要的可以自行刪除超全ARP知識什么是ARPARP（AddressResolutionProtocol）是地址解析協議，是一種將IP地址轉化成物理地址的協議。從IP地址到物理地址的映射有兩種方式：表格方式和非表格方式。ARP具體說來就是將網絡層（也就是相當于OSI的第三層）地址解析為數據鏈路層（也就是相當于OSI的第二層）的物理地址(注:此處物理地址并不一定指MAC地址)。ARP原理：某機器A要向主機B發送報文，會查詢本地的ARP緩存表，找到B的IP地址對應的MAC地址后，就會進行數據傳輸。如果未找到，則廣播A一個ARP請求報文（攜帶主機A的IP地址Ia——物理地址Pa），請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求，但只有主機B識別自己的IP地址，于是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址，A接收到B的應答后，就會更新本地的ARP緩存。接著使用這個MAC地址發送數據（由網卡附加MAC地址）。因此，本地高速緩存的這個ARP表是本地網絡流通的基礎，而且這個緩存是動態的。ARP協議并不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。因此，當局域網中的某臺機器B向A發送一個自己偽造的ARP應答，而如果這個應答是B冒充C偽造來的，即IP地址為C的IP，而MAC地址是偽造的，則當A接收到B偽造的ARP應答后，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經不是原來那個了。由于局域網的網絡流通不是根據IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網絡不通，導致A不能Ping通C！這就是一個簡單的ARP欺騙。（讀者注：某機器A利用其它某機器B的IP地址和一個事實上并不存在的MAC地下向另一臺機器C發出ARP請求，導致C中的ARP緩存表的錯誤映射，稱為ARP欺騙）ARP協議的工作原理在每臺裝有tcp/ip協議的電腦里都有一個ARP緩存表，表里的ip地址與mac地址是一一對應的，如圖。arp緩存表以主機A（）向主機B（）發送數據為例。當發送數據時，主機A會在自己的ARP緩存表中尋找是否有目標IP地址。如果找到了，也就知道了目標的MAC地址，直接把目標的MAC地址寫入幀里面發送就可以了；如果在ARP緩存表里面沒有目標的IP地址，主機A就會在網絡上發送一個廣播,目標MAC地址是“ff-ff-ff-ff-ff-ff”，這表示向同一網段的所有主機發出這樣的詢問：“的mac地址是什么呀？”網絡上的其他主機并不回應這一詢問，只有主機B接受到這個幀時才向A作出回應：“的MAC地址是00-aa-0-62-c6-09。（如上表）”這樣，主機A就知道了主機B的MAC地址，就可以向主機B發送信息了。同時，它還更新了自己的ARP緩存表，下次再向B發送數據時，直接在ARP緩存表找就可以了。ARP緩存表采用老化的機制，在一段時間里表中的某一行沒有使用，就會被刪除，這樣可以大大減少ARP緩存表的長度，加快查詢的速度。如何查看ARP緩存表ARP緩存表示可以查看的，也可以添加和修改。在命令提示符下，輸入“arp-a”就可以查看arp緩存表的內容了。用“arp-d”可以刪除arp緩存表里的所有內容。用“arp-s“可以手動在arp表中制定ip地址與MAC地址的對應關系。ARP欺騙的種類ARP欺騙是黑客常用的攻擊手段之一，ARP欺騙分為二種，一種是對路由器ARP表的欺騙；另一種是對內網PC的網關欺騙。第一種ARP欺騙的原理是——截獲網關數據。它通知路由器一系列錯誤的內網MAC地址，并按照一定的頻率不斷進行，使真實的地址信息無法通過更新保存在路由器中，結果路由器的所有數據只能發送給錯誤的MAC地址，造成正常PC無法收到信息。第二種ARP欺騙的原理是——偽造網關。它的原理是建立假網關，讓被它欺騙的PC向假網關發數據，而不是通過正常的路由器途徑上網。在PC看來，就是上不了網了，“網絡掉線了”。一般來說，ARP欺騙攻擊的后果非常嚴重，大多數情況下會造成大面積掉線。有些網管員對此不甚了解，出現故障時，認為PC沒有問題，交換機沒掉線的“本事”，電信也不承認寬帶故障。而且如果第一種ARP欺騙發生時，只要重啟路由器，網絡就能全面恢復，那問題一定是在路由器了。為此，寬帶路由器背了不少“黑鍋”。arp欺騙－網絡執法官的原理在網絡執法官中，要想限制某臺機器上網，只要點擊"網卡"菜單中的"權限"，選擇指定的網卡號或在用戶列表中點擊該網卡所在行，從右鍵菜單中選擇"權限"，在彈出的對話框中即可限制該用戶的權限。對于未登記網卡，可以這樣限定其上線：只要設定好所有已知用戶（登記）后，將網卡的默認權限改為禁止上線即可阻止所有未知的網卡上線。使用這兩個功能就可限制用戶上網。其原理是通過ARP欺騙發給被攻擊的電腦一個假的網關IP地址對應的MAC，使其找不到網關真正的MAC地址，這樣就可以禁止其上網。修改MAC地址突破網絡執法官的封鎖根據上面的分析，我們不難得出結論：只要修改MAC地址，就可以騙過網絡執法官的掃描，從而達到突破封鎖的目的。下面是修改網卡MAC地址的方法：在"開始"菜單的"運行"中輸入regedit，打開注冊表編輯器，展開注冊表到：HKEY_LOCAL_MACHINE/System/CurrentControlSet/Control/Class/子鍵，在子鍵下的0000，0001，0002等分支中查找DriverDesc（如果你有一塊以上的網卡，就有0001，0002在這里保存了有關你的網卡的信息，其中的DriverDesc內容就是網卡的信息描述，比如我的網卡是Intel21041basedEthernetController），在這里假設你的網卡在0000子鍵。在0000子鍵下添加一個字符串，命名為"NetworkAddress"，鍵值為修改后的MAC地址，要求為連續的12個16進制數。然后在"0000"子鍵下的NDI/params中新建一項名為NetworkAddress的子鍵，在該子鍵下添加名為"default"的字符串，鍵值為修改后的MAC地址。在NetworkAddress的子鍵下繼續建立名為"ParamDesc"的字符串，其作用為指定NetworkAddress的描述，其值可為"MACAddress"。這樣以后打開網絡鄰居的"屬性"，雙擊相應的網卡就會發現有一個"高級"設置，其下存在MACAddress的選項，它就是你在注冊表中加入的新項"NetworkAddress"，以后只要在此修改MAC地址就可以了。關閉注冊表，重新啟動，你的網卡地址已改。打開網絡鄰居的屬性，雙擊相應網卡項會發現有一個MACAddress的高級設置項，用于直接修改MAC地址。MAC地址也叫物理地址、硬件地址或鏈路地址，由網絡設備制造商生產時寫在硬件內部。這個地址與網絡無關，即無論將帶有這個地址的硬件（如網卡、集線器、路由器等）接入到網絡的何處，它都有相同的MAC地址，MAC地址一般不可改變，不能由用戶自己設定。MAC地址通常表示為12個16進制數，每2個16進制數之間用冒號隔開，如：08:00:20:0A:8C:6D就是一個MAC地址，其中前6位16進制數，08:00:20代表網絡硬件制造商的編號，它由IEEE分配，而后3位16進制數0A:8C:6D代表該制造商所制造的某個網絡產品（如網卡）的系列號。每個網絡制造商必須確保它所制造的每個以太網設備都具有相同的前三字節以及不同的后三個字節。這樣就可保證世界上每個以太網設備都具有唯一的MAC地址。另外，網絡執法官的原理是通過ARP欺騙發給某臺電腦有關假的網關IP地址所對應的MAC地址，使其找不到網關真正的MAC地址。因此，只要我們修改IP到MAC的映射就可使網絡執法官的ARP欺騙失效，就隔開突破它的限制。你可以事先Ping一下網關，然后再用ARP-a命令得到網關的MAC地址，最后用ARP-sIP網卡MAC地址命令把網關的IP地址和它的MAC地址映射起來就可以了。找到使你無法上網的對方解除了網絡執法官的封鎖后，我們可以利用Arpkiller的"Sniffer殺手"掃描整個局域網IP段，然后查找處在"混雜"模式下的計算機，就可以發現對方了。具體方法是：運行Arpkiller（圖2），然后點擊"Sniffer監測工具"，在出現的"Sniffer殺手"窗口中輸入檢測的起始和終止IP（圖3），單擊"開始檢測"就可以了。檢測完成后，如果相應的IP是綠帽子圖標，說明這個IP處于正常模式，如果是紅帽子則說明該網卡處于混雜模式。它就是我們的目標，就是這個家伙在用網絡執法官在搗亂。局域網ARP欺騙的應對一、故障現象及原因分析情況一、當局域網內某臺主機感染了ARP病毒時，會向本局域網內（指某一網段，比如：這一段）所有主機發送ARP欺騙攻擊謊稱自己是這個網端的網關設備，讓原本流向網關的流量改道流向病毒主機，造成受害者正常上網。情況二、局域網內有某些用戶使用了ARP欺騙程序（如：網絡執法官,QQ盜號軟件等）發送ARP欺騙數據包，致使被攻擊的電腦出現突然不能上網，過一段時間又能上網，反復掉線的現象。關于APR欺騙的具體原理請看我收集的資料ARP欺騙的原理二、故障診斷如果用戶發現以上疑似情況，可以通過如下操作進行診斷：點擊“開始”按鈕->選擇“運行”->輸入“arp–d”->點擊“確定”按鈕，然后重新嘗試上網，如果能恢復正常，則說明此次掉線可能是受ARP欺騙所致。注：arp-d命令用于清除并重建本機arp表。arp–d命令并不能抵御ARP欺騙，執行后仍有可能再次遭受ARP攻擊。三、故障處理1、中毒者：建議使用趨勢科技SysClean工具或其他殺毒軟件清除病毒。2、被害者：(1)綁定網關mac地址。具體方法如下：1）首先，獲得路由器的內網的MAC地址（例如網關地址54的MAC地址為0022aa0022aa）。2）編寫一個批處理文件AntiArp.bat內容如下：@echooffarp-darp-s5400-22-aa-00-22-aa將文件中的網關IP地址和MAC地址更改為您自己的網關IP地址和MAC地址即可，計算機重新啟動后需要重新進行綁定，因此我們可以將該批處理文件AntiArp.bat文件拖到“windows--開始--程序--啟動”中。這樣開機時這個批處理就被執行了。(2)使用ARP防火墻(例如AntiArp)軟件抵御ARP攻擊。AntiArp軟件會在提示框內出現病毒主機的MAC地址四，找出ARP病毒源第一招：使用Sniffer抓包在網絡內任意一臺主機上運行抓包軟件，捕獲所有到達本機的數據包。如果發現有某個IP不斷發送ARPRequest請求包，那么這臺電腦一般就是病毒源。原理：無論何種ARP病毒變種，行為方式有兩種，一是欺騙網關，二是欺騙網內的所有主機。最終的結果是，在網關的ARP緩存表中，網內所有活動主機的MAC地址均為中毒主機的MAC地址；網內所有主機的ARP緩存表中，網關的MAC地址也成為中毒主機的MAC地址。前者保證了從網關到網內主機的數據包被發到中毒主機，后者相反，使得主機發往網關的數據包均發送到中毒主機。第二招：使用arp-a命令任意選兩臺不能上網的主機，在DOS命令窗口下運行arp-a命令。例如在結果中，兩臺電腦除了網關的IP，MAC地址對應項，都包含了86的這個IP，則可以斷定86這臺主機就是病毒源。原理：一般情況下，網內的主機只和網關通信。正常情況下，一臺主機的ARP緩存中應該只有網關的MAC地址。如果有其他主機的MAC地址，說明本地主機和這臺主機最后有過數據通信發生。如果某臺主機（例如上面的86）既不是網關也不是服務器，但和網內的其他主機都有通信活動，且此時又是ARP病毒發作時期，那么，病毒源也就是它了。第三招：使用tracert命令在任意一臺受影響的主機上，在DOS命令窗口下運行如下命令：tracert48。假定設置的缺省網關為，在跟蹤一個外網地址時，第一跳卻是86，那么，86就是病毒源。原理：中毒主機在受影響主機和網關之間，扮演了“中間人”的角色。所有本應該到達網關的數據包，由于錯誤的MAC地址，均被發到了中毒主機。此時，中毒主機越俎代庖，起了缺省網關的作用。~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~·（ARP欺騙的更容易理解的解析）最近在論壇上經常看到關于ARP病毒的問題，于是在Google上搜索ARP關鍵字，結果出來很多關于這類問題的討論。我的求知欲很強，想再學習ARP下相關知識，所以對目前網絡中常見的ARP問題進行了一個總結。1.ARP概念咱們談ARP之前，還是先要知道ARP的概念和工作原理，理解了原理知識，才能更好去面對和分析處理問題。1.1ARP概念知識ARP，全稱AddressResolutionProtocol，中文名為地址解析協議，它工作在數據鏈路層，在本層和硬件接口聯系，同時對上層提供服務。IP數據包常通過以太網發送，以太網設備并不識別32位IP地址，它們是以48位以太網地址傳輸以太網數據包。因此，必須把IP目的地址轉換成以太網目的地址。在以太網中，一個主機要和另一個主機進行直接通信，必須要知道目標主機的MAC地址。但這個目標MAC地址是如何獲得的呢？它就是通過地址解析協議獲得的。ARP協議用于將網絡中的IP地址解析為的硬件地址（MAC地址），以保證通信的順利進行。1.2ARP工作原理首先，每臺主機都會在自己的ARP緩沖區中建立一個ARP列表，以表示IP地址和MAC地址的對應關系。當源主機需要將一個數據包要發送到目的主機時，會首先檢查自己ARP列表中是否存在該IP地址對應的MAC地址，如果有﹐就直接將數據包發送到這個MAC地址；如果沒有，就向本地網段發起一個ARP請求的廣播包，查詢此目的主機對應的MAC地址。此ARP請求數據包里包括源主機的IP地址、硬件地址、以及目的主機的IP地址。網絡中所有的主機收到這個ARP請求后，會檢查數據包中的目的IP是否和自己的IP地址一致。如果不相同就忽略此數據包；如果相同，該主機首先將發送端的MAC地址和IP地址添加到自己的ARP列表中，如果ARP表中已經存在該IP的信息，則將其覆蓋，然后給源主機發送一個ARP響應數據包，告訴對方自己是它需要查找的MAC地址；源主機收到這個ARP響應數據包后，將得到的目的主機的IP地址和MAC地址添加到自己的ARP列表中，并利用此信息開始數據的傳輸。如果源主機一直沒有收到ARP響應數據包，表示ARP查詢失敗。例如：A的地址為：IP：MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：MAC:BB-BB-BB-BB-BB-BB根據上面的所講的原理，我們簡單說明這個過程：A要和B通訊，A就需要知道B的以太網地址，于是A發送一個ARP請求廣播（誰是，請告訴），當B收到該廣播，就檢查自己，結果發現和自己的一致，然后就向A發送一個ARP單播應答（在BB-BB-BB-BB-BB-BB）。1.3ARP通訊模式通訊模式（PatternAnalysis）：在網絡分析中，通訊模式的分析是很重要的，不同的協議和不同的應用都會有不同的通訊模式。更有些時候，相同的協議在不同的企業應用中也會出現不同的通訊模式。ARP在正常情況下的通訊模式應該是：請求->應答->請求->應答，也就是應該一問一答。2.常見ARP攻擊類型個人認為常見的ARP攻擊為兩種類型：ARP掃描和ARP欺騙。2.1ARP掃描（ARP請求風暴）通訊模式（可能）：請求->請求->請求->請求->請求->請求->應答->請求->請求->請求...描述：網絡中出現大量ARP請求廣播包，幾乎都是對網段內的所有主機進行掃描。大量的ARP請求廣播可能會占用網絡帶寬資源；ARP掃描一般為ARP攻擊的前奏。出現原因（可能）：*病毒程序，偵聽程序，掃描程序。*如果網絡分析軟件部署正確，可能是我們只鏡像了交換機上的部分端口，所以大量ARP請求是來自與非鏡像口連接的其它主機發出的。*如果部署不正確，這些ARP請求廣播包是來自和交換機相連的其它主機。2.2ARP欺騙ARP協議并不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。所以在網絡中，有人發送一個自己偽造的ARP應答，網絡可能就會出現問題。這可能就是協議設計者當初沒考慮到的！2.2.1欺騙原理假設一個網絡環境中，網內有三臺主機，分別為主機A、B、C。主機詳細信息如下描述：A的地址為：IP：MAC:AA-AA-AA-AA-AA-AAB的地址為：IP：MAC:BB-BB-BB-BB-BB-BBC的地址為：IP：MAC:CC-CC-CC-CC-CC-CC正常情況下A和C之間進行通訊，但是此時B向A發送一個自己偽造的ARP應答，而這個應答中的數據為發送方IP地址是（C的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（C的MAC地址本來應該是CC-CC-CC-CC-CC-CC，這里被偽造了）。當A接收到B偽造的ARP應答，就會更新本地的ARP緩存（A被欺騙了），這時B就偽裝成C了。同時，B同樣向C發送一個ARP應答，應答包中發送方IP地址四（A的IP地址），MAC地址是BB-BB-BB-BB-BB-BB（A的MAC地址本來應該是AA-AA-AA-AA-AA-AA），當C收到B偽造的ARP應答，也會更新本地ARP緩存（C也被欺騙了），這時B就偽裝成了A。這樣主機A和C都被主機B欺騙，A和C之間通訊的數據都經過了B。主機B完全可以知道他們之間說的什么：）。這就是典型的ARP欺騙過程。注意：一般情況下，ARP欺騙的某一方應該是網關。2.2.2兩種情況ARP欺騙存在兩種情況：一種是欺騙主機作為“中間人”，被欺騙主機的數據都經過它中轉一次，這樣欺騙主機可以竊取到被它欺騙的主機之間的通訊數據；另一種讓被欺騙主機直接斷網。第一種：竊取數據（嗅探）通訊模式：應答->應答->應答->應答->應答->請求->應答->應答->請求->應答...描述：這種情況就屬于我們上面所說的典型的ARP欺騙，欺騙主機向被欺騙主機發送大量偽造的ARP應答包進行欺騙，當通訊雙方被欺騙成功后，自己作為了一個“中間人“的身份。此時被欺騙的主機雙方還能正常通訊，只不過在通訊過程中被欺騙者“竊聽”了。出現原因（可能）：*木馬病毒*嗅探*人為欺騙第二種：導致斷網通訊模式：應答->應答->應答->應答->應答->應答->請求…描述：這類情況就是在ARP欺騙過程中，欺騙者只欺騙了其中一方，如B欺騙了A，但是同時B沒有對C進行欺騙，這樣A實質上是在和B通訊，所以A就不能和C通訊了，另外一種情況還可能就是欺騙者偽造一個不存在地址進行欺騙。對于偽造地址進行的欺騙，在排查上比較有難度，這里最好是借用TAP設備（這個東東好像有點貴勒），分別捕獲單向數據流進行分析！出現原因（可能）：*木馬病毒*人為破壞*一些網管軟件的控制功能3.常用的防護方法搜索網上，目前對于ARP攻擊防護問題出現最多是綁定IP和MAC和使用ARP防護軟件，也出現了具有ARP防護功能的路由器。呵呵，我們來了解下這三種方法。3.1靜態綁定最常用的方法就是做IP和MAC靜態綁定，在網內把主機和網關都做IP和MAC綁