目前,政府的各类信息量越来越大,涉及到的部门越来越广泛,庞大的数据信息等待分析、处理、存储,如果仍沿用以前的手工操作、事物传递或简单的传统办公自动化方式来运作,政府领导和机关工作人员很难有时间来集 中精力处理一些高层次问题,这无疑不能适应目前的形势需要。
但要想真正实现“E政府”,必须分三步走:首先是“政务公开”,即“电子政务”,将政府的决策和工作情况在网上公布,人民可以通过上网了解政府在干什么,并反馈自己的意见和建议。其次是实现政府内部各项工作的办公自动化;第三步实现是真正意义上的“E政府”。
一、电子政务特点
通常省一级的电子政务信息网络连接了包括省委、省人大、省机要局、省厅等大量的机密信息点,涉及行政管理、行政办公、视频会议和互联网的访问等大量的业务,要求电子政务信息网必须是一个实用、可靠、高效、可扩展、高安全性的系统。所以构建电子政务信息网必须在认真分析政府网络的现状和将来发展状况的基础上,通过对省、地市、县三级网络的建设,构筑一个安全、可靠、先进、稳定的专用宽带网络基础平台,并可实现以下三个基本目标:
(1)为省、地(市)、县政府办公厅(室)各级局域网提供到省政务信息网的宽带接入服务;
(2)可以提供VPN服务,满足省、地(市)、县政府办公厅(室)纵向联网的要求;(3)可以实现以省、地市、县三级政府办公厅为核心的横向联接直属各部门及有关部门的横向网,实现不同行业系统间的信息共享。
(4)可提供VOIP服务,满足政府内部、政府部门间的IP话音通信;
电子政务信息网建成以后,在网络性能上应能开展下列业务:(1)在各级政府机关建立相对独立的内部办公系统的基础上,再在广域网上实现纵向省、市、县等各级政府机关的文件、信息传递、多媒体信息交换、值班应急系统等政府机关办公功能,以及各纵向网络之间横向的信息发布和相互查询信息资源的功能;(2)视频会议系统;(3)IP语音系统;(4)电子邮件系统;(5)通过WWW服务器将公共信息发布到网上,供省、地市、县及厅、局、委、办浏览,实现信息共享,提高信息的利用率。
二、电子政务网络结构
从纵向来划分电子政务信息网络可分为三部分(见下图):1、各省政府、厅、局、委、办的局域网节点,组成电子政务信息网络核心层;2、各地市政府、厅、局、委、办的局域网节点,组成电子政务信息网络汇接层;3、各县政府、厅、局、委、办的局域网节点,组成电子政务信息网络接入层;
电子政务纵向网
从横向来划分电子政务信息网,网络总体上可分为三个部分:1、各级政府、厅、局、委、办的局域网节点,组成接入层;2、各级宽带接入节点接入汇聚交换机和路由器组成的汇接层;3、网络核心的高可靠电信级路由器组成的骨干层;
电子政务横向网
三、电子政务方案的实现
电子政务信息网络纵向网络上连接了包括省政府、省委、省人大、省机要局、省厅以及地市、县政府等大量的机密信息点,横向网络中又涉及财政、地税、工商等也涉及国家机密的政府行业部门,业务上涉及行政管理、行政办公、视频会议、IP电话和互联网的访问等大量的涉及机密的业务;另外电子政务信息网络纵向要能互连,横向要能受控互连,要求电子政务信息网络必须是一个高可靠、高安全性网络;电子政务信息网络建设分两部分,一部分由政府自己组建的,包括各省、地市、县政府局域网,一部分租用运营商的骨干网络,考虑到安全可靠以及横纵向互连等党政信息网的特殊性,目前最适合党政信息网建设的技术为VPN技术。
利用公共网络来构建私人专用网络称为虚拟私有网络(Virtual Private Network),简称VPN,用于构建VPN的公共网络包括Internet、帧中继、ATM等。在公共网络上组建的VPN可以象企业现有的私有网络一样提供安全性、可靠性和可管理性等功能,VPN是电子政务信息网络纵向网实现的基础。提供VPN业务,以满足省、地、县各级政府、厅、局、委、办纵、横向联网的要求,是电子政务信息网络的一个重要建设目标。
博达的系列路由器提供了基于TCP/IP、Generic Routing Encapsulation (GRE) tunnels、Layer 2 Tunneling Protocol (L2TP)、 IPSec等各种IP Tunnel技术来实现VPN;提供了以端到端的QOS保证来实现具有不同需求的VPN业务提供分类服务,实现网络层加密和防火墙功能,保证数据安全。
博达VPN方案是通过隧道技术将用户的传输数据进行IP包封装,然后通过网络服务商的网络进行传递。在这一过程中,封装后的数据与普通的网络数据没有区别。数据最后到达隧道终点,经拆包后再转换为最初的数据形式。隧道技术使用点对点通信协议,允许移动用户或已授权用户在任何时间、任何地点访问企业网络。另外隧道技术中还包括了点对点隧道协议(PPTP)、第二层转发技术(L2F)、第二层隧道协议(L2TP)、虚拟隧道协议(VTP)和移动IP。通过隧道技术,一个IP隧道可以调整任何形式的有效负载,使桌面用户能够透明地访问公司的IP网络;同时公司内网不会向外部公共互联网络报告自己的IP地址,避免了可能的外部攻击。如使用第三层隧道技术,点对点协议和隧道终点位于ISP服务商处,外部用户无法直接侵入公司网络,从而进一步保证了内部网络和数据的安全性。
四、政府行业内部局域网解决方案
采用两套独立的网络体系结构来实现党政信息网的内外网络物理隔离。
外网——主要是作为Internet浏览和对外信息发布的平台,在结构上相对简单,一般在网络对外出口处设置一台路由器,通过广域网的线路与Internet服务提供商相连。
内网——承担了党政信息网主要业务和办公的网络。
1)采用NAT技术实现内外网隔离
NAT能十分有效地节约IP地址,同时,由于隐藏了内部网络,它也提供了一定的安全保护。博达模块化路由器支持静态NAT、动态NAT、端口PAT,可以满足所有的Internet访问需求。电子政务内部网访问Internet由端口PAT、动态NAT来实现,内部网对外提供WWW等服务由静态NAT来实现。
2)采用VLAN技术实现内网的安全
VLAN是与LAN交换技术相关的一项重要而有益的应用。从定义上说,VLAN是一个广播域,其中的成员利用LAN交换进行通信,仿佛共享同一物理网段一样。在VLAN中,划分在同一广播域中的成员并没有任何物理或地理上的限制,它们可以连接到一个交换网络中的不同交换机上。广播分组、未知分组及成员之间的数据分组都被限定在VLAN之内。对VLAN的另一个定义是,它能够使单一的交换结构被划分成多个小的广播域。博达模块化路由器支持IEEE 802.1Q VLAN技术,对不同的VLAN,其安全级别可以不同,对于网管和系统管理设备所在的网管VLAN,可设置最高的安全级别。同时采用访问控制表进行访问限制,不同的VLAN之间只能通过核心层第三层路由交换机或路由器才能互相访问,因此,在核心交换机以及路由器上可以设置允许或禁止部分VLAN之间的访问,从而达到电子政务网横向网安全要求。
五、解决方案总体特点
可靠性:系列路由器在各方面的性能都已趋稳定,其电源、总线、接口等单元独特的设计很好地保证了其稳定性。
线路备份:为达到业务的不间断运作,在省中心必须配备两台路由器以实现双机备份,在实际运行中,各级物理链路的偶尔阻断在所难免,所以在本方案中采用以光纤传输为主,以DDN线路备份为辅的方式以保证链路的畅通。
路由冗余备份:在路由器上可设置多条备用路由,在数据量小时作为备份路由,在流量突然加大时可进行负载均衡。
VPN安全策略:安全是电子政务网络对于VPN可用性的一个基本要求。将专网迁移到以公共网络为基础的VPN上,用户需要VPN提供与专网相同的安全性。本方案采用不信任服务供应商的方式,在单位网络边缘设备CE上增加防火墙功能,而且在CE之间建立安全隧道以组成VPN。在这种情形下服务供应商只完成数据传输的任务。
三网融合:电子政务的基础网络是由包括交换机、路由器、语音网关、视频设备等多种设备组合在一起形成的综合网络平台。一体化端到端的综合解决方案能够为电子政务网络的规划、建设、维护以及升级提供便利的运行、管理基础。博达路由器支持VOIP通信,提供语音接口卡和模块,可以真正实现语音、数据、视频融合的多媒体通信。
QOS策略:由于政务信息网络承载的数据有语音、图象、重要数据,它们对带宽、延迟、抖动敏感、实时性强要求是不同的,因此我们需要引入QOS策略。博达路由器支持WFQ、CBWFQ、PQ等技术以实现QOS功能。
先进性和实用性--保证满足政务应用系统业务的同时,又要体现出网络系统的先进性。博达在网络设计中采用国际通用的TCP/IP协议,把先进的技术与现有成熟的技术和标准结合起来,充分考虑到政务网络应用的现状和未来发展趋势。
灵活性及可扩展性--根据未来业务的增长和变化,网络可以平滑地扩容和升级,并在扩容和升级过程中最大程度的减少对网络架构和现有设备的调整。博达系列路由器在端口密度上比国内外同类产品具有更大的优势,在配置上给了用户更多的选择。
网络的一体化管理性—本方案中可对网络实行集中监测、分权管理,并统一分配带宽资源。选用先进的网络管理平台,具有对设备、端口等进行管理,具有流量统计分析,及时提供故障自动报警等功能。博达路由器支持SNMP简单网络管理协议,可通过各种通用网管软件(如SNMPc、HP OpenView、CiscoView、CiscoWorks 2000)对路由器进行监控、管理和配置。
经济性、实效性――采用先进、合理、实用的技术方案,配置性能价格比最佳的设备,并充分利用现有的资源,保护已有投资。