数字城管网络安全平台方案
来源:中国电子政务网 更新时间:2012-04-14

  一、数字化城管:51个试点和1个“首例”

  城市管理是城市建设、运转和发展中的永恒主题。伴随中国经济社会的高速发展和信息化技术的广泛应用,中国已经有相当一批大中型城市开始了从传统型城市管理转变为数字化城市管理的进程。

  从2005年7月起,国家建设部先后确定了25个省、市、自治区的51个数字化城市管理试点城市和试点城区,如今大都已经通过验收正式运行,与此同时,还有一批试点外的城市或城区也先后建成了各自的数字城管系统,使全国的数字化城市管理进程向前跨进了一大步。这其中,天津市根据特大型城市的特点和全面提升城市管理的技术水平与运行效率的要求,从2009年起采用“两级监督、一级指挥”的模式同时构建市区两级数字化城管平台,在全国特大城市中尚属首例,因而引起了广泛的关注。

  在天津市数字化城管系统的建设中,由于涉及到业务网络与天津市政务专网(内网)的关联,涉及无线网络的接入,涉及到各级指挥中心、监督中心、城管基层、政府相关部门以及社会用户的网络访问,网络安全的规划和部署就成为整个网络平台项目的重中之重。

  国内电子政务安全领域的专家杨乃滨在论述电子政务安全对策时,特别强调了产品采购环节规避各种安全隐患和技术风险的问题。他明确建议,“在选择安全产品时,应尽量选择我国自主知识产权的产品。这类产品具有自主知识产权的源代码,安全性较高,而且有利于厂家对产品的升级与维护。”同时,他还强调了安全产品技术先进性和系统处理速度的重要性。或许正是因为天津市数字化城管项目需求方对网络安全问题的高度重视,对网络安全策略部署和技术水平的严格要求,锐捷网络作为自主创新型的国内网络解决方案供应商才得以脱颖而出,为国内首例特大城市两级数字化城管平台提供网络安全设备和基础网络设备,参与和见证了高安全的天津市数字化城管系统平台建设的成功。

  二、会诊天津:理解城市特点把握项目需求

  明确理解和把握项目需求是提供相关产品和解决方案的基础和前提。天津市数字化城管系统建设用到的网络环境主要包括业务网络、无线网络两部分。其中,业务网络依托天津市政务专网建设,实现城市管理监督中心(市级)、各区监督指挥中心、(市、区)二级城市管理相关部门间的网络互联。无线网络单独建设,采用专线接入市数字化城市管理中心。

  天津市数字化城管系统业务网络规模庞大,从一级平台到二级平台,覆盖天津市从中心城区到滨海城区到市郊区县的全部市政管理区域。锐捷认为,网络的建设同样需要考虑当前的需求和可预见的未来需求。对内部的网络使用者而言,业务网系统同样是一个支持数据、语音、视频等综合业务传输平台。从内部数据交换的角度,整个网络平台是要建立一套整合数据、语音和图像等多业务的端到端、以IP为基础的统一的一体化网络安全平台,支持多协议、多业务、安全策略、流量管理、服务质量管理、资源管理。整网还要具有可靠性、坚固性、良好的扩展能力、强大的管理能力以及拥塞控制和服务质量保证等一系列良好的特性。

  业务网是否安全和稳定不仅直接关系到城管体系的正常运作,而且关系到内网安全和城管部门与政府其它职能部门的信息共享和工作协同。因此,作为此次数字城管项目最为重要的网络平台,该网络系统的设计需要以高安全、高稳定、高可靠、高性能和高可用性为目标,建立基础网络平台、信息安全平台、机密通信平台、信息交换平台、安全管理平台、应用系统平台等基础设施。这也是锐捷网络必须面对和解决的问题。

三、解决问题:针对两级平台部署安全网络

       针对系统对基础网络设备和网络安全设备提出的要求,锐捷给出了相应的解决方案。

  首先是一级(市级)平台的部署(参看拓扑图)。核心网络设备应包括中心核心防火墙、下联业务防火墙、各核心服务区域防火墙、安全管理平台、防毒墙、路由交换机、负载均衡设备等。由于网络设备是整个系统的核心设备,所以必须选择高性能、高可靠性的产品型号。核心网络设备要采用双备设计。

  在网络的出口采用千兆级防火墙配合防毒墙的配置模式,保证了在政务网出口以及中国移动出口的网络安全。防火墙采用锐捷千兆级防火墙RG-1600T,吞吐量5Gbps,具有强大的状态监测和识别能力,防火墙采用双机热备模式保证出口高可靠性。通过两台锐捷网络基于十万兆平台的高性能RG-S8606核心路由交换机,通过千兆链路互联服务器交换机RG-S7606,构建平台系统的双核心网络系统,为平台提供一个强劲的数据传输中心,确保各种数据传输的高性能和高稳定性。

天津市大型数字城管网络安全平台解决方案

  在内部办公坐席区采用千兆级RG-1600S防火墙,再配合SMP安全管理平台对坐席区PC进行全面安全防护。防火墙采用多安全区域体系,每个接口对应一个独立的安全区域,在不同网络区域之间进行互联时,全部通信都受到防火墙的监控,通过防火墙的安全策略可以将所联区域设置成相应的保护级别,以保证关键系统的安全。同时,防火墙与SMP配合进行内网安全监控,以全面实现用户、主机、网络3个层面的立体安全管理,实现完善的身份认证管理体系、windows补丁强制更新、三重立体的ARP防御体系、严格的软件管理等。

  除了一级平台,在二级平台(区县平台)的网络安全性也必须给予足够的重视和有效的支撑。具体的部署是,每个区县配置了两台RG-WALL1600S防火墙设备,其中一台防火墙主要实现与市级平台的高速安全互联,保证业务流量实时传输到市中心;另一台防火墙主要作为IPsecVPN接入,满足更向下的三级平台和移动办公人员接入,可以通过互联网直接安全拨入业务网络,通过IPsecVPN隧道技术,保证接入点的信息私密性与安全性。(区级平台典型拓扑图见下)

天津市大型数字城管网络安全平台解决方案

  为了切实保障二级平台的网络安全性能,锐捷的网络安全设备覆盖了包括南开区、河东区、河北区、海泰产业园区、西青区、东丽区、津南区、红桥区等8个二级平台区域,后续若干区县平台的建设也将采用锐捷的相应设备。

  四、小结:本次出击效果和未来无限责任

  天津市数字化城市管理系统是天津市重要的信息化建设项目,也是中国数字城管尤其是特大城市数字化城管的成功案例。

  该系统的总体技术框架包括五个层面:基础设施层、基础数据层、业务逻辑层、业务应用层、用户表示层。锐捷提供的网络安全设备和基础网络设备,支持整网2000人同时在线访问,为整个市级数据中心了提供高安全、高稳定、高可靠、高性能的数据传输平台。

  值得特别说明的是,锐捷在实施方案中根据应用数据安全级别,分别部署了内置安全特性的出口专用防火墙、重要服务器群专用防火墙、GSN全局安全网络,为城管数据中心提供主动式的安全防护管理,最大程度的抵御网络攻击,将遭遇网络攻击的风险降至一个合理范围;同时,考虑到内网安全防护管理,对重要服务器群实行专业安全防护,全面杜绝DoS攻击对服务器群正常应用的影响确保服务器群不间断为业务提供网络服务。

  如何打造省市级大型数字城管网络安全平台?锐捷网络用自主创新的产品和因需定制的解决方案做出了一个漂亮的回答。锐捷也相信,自己有责任和能力,为更多城市数字城管平台和行业信息化项目添砖加瓦、保驾护航。