作者:张春雷
一、新疆兵团农二师电子政务系统建设目标
农二师电子政务建设是自治区兵团电子政务建设项目中一个重要的组成部分,鉴于农二师电子政务建设涉及部门多、需求复杂、建设周期长,按照国家有关文件要求,结合新疆具体实际,本着“统一规划、统一管理、多方参与、分步实施”的原则,农二师电子政务建设的目的是:建设统一的农二师电子政务网络平台,建设农二师门户站群、流媒体视频、电子邮件三个主要应用,建设农二师统一的视频会议平台,建设农二师师部、其他单位机房,建设农二师小区视频监控系统。
农二师电子政务系统建设的总体目标是建设覆盖农二师机关及其所属单位的网络平台和电子政务服务体系,实现农二师各级政务部门安全的互联互通、数据交换、信息共享和业务互动。
二、新疆兵团农二师电子政务网网络结构
网络和应用是农二师电子政务建设的重点。根据“三网一库”的网络构架,做如下设计。
1.内网和专网总体设计
整体网络拓扑如图1所示。
图1 农二师电子政务专网整体网络拓扑图
(1)全师电子政务专网网络平台建设
实现师部与53家单位(12个团场、22个邻近单位和19个远距离单位)的互联互通,22个邻近单位采用裸光纤直连方式连接,可以节省大量的链路租用费用,同时速率可以达到千兆;31个院距离单位租用2M SDH数字链路广域网连接;团场与连部可以通过现有的电视台光缆实现互联互通。
(2)电子政务专网应用系统建设
网络建设的最终目的是为各种应用系统提供链路互联互通,为信息化提供高速公路,应用系统的建设是真正的目的。
应用平台建设体现了大集中的思想,充分体现大集中的优势。按照“一站式”服务的思想,各个应用系统与内网网站或专网门户平台进行“整合”,通过统一的对外服务界面和统一的登录界面进行应用系统的管理,实现全师统一的专网门户平台、专网邮件平台、流媒体平台、公文传输平台、协同办公平台、行政审批平台等电子政务应用平台。
图2 立体安全系统结构
(3)安全系统建设
安全系统建设是保证“高速公路”(网络平台)上运行的各种“车辆”(应用)安全的重要措施。安全系统建设需要一套立体性的安全措施,靠单个或某几个安全设备无法充分保证农二师电子政务外网的安全。立体的安全解决方案,如图2所示。
农二师电子政务外网主要由内部网络环境、数据存储及应用系统、广域网络系统和终端设备组成。基于专网的网络环境,在网络安全方面(不考虑主机等安全)主要考虑:防火墙系统建设、入侵检测(入侵防御)系统建设、网络管理平台建设、防病毒系统建设。
通过立体的安全解决方案可以及时防止和处理各种网络攻击和故障,具体防护流程如图3所示。
图3 立体安全解决方案防护流程
2.外网总体设计
外网网络拓扑如图4所示。
(1)全师电子政务外网网络平台建设
作为全师各种外网应用载体的网络平台建设,一方面可以采用与专网同样的方式建设,另一方面也可以采用各单位独立建设方式。一种方式是所有53个单位采用与专网同样的建设模式,采用师部统一的互联网出口。该方式便于互联网统一管理,便于开展基于外网的电子政务应用,并且如果视频会议部署在该网络可以实现基于互联网的异城视频会议。但是,该种方式设备费用投入较大,链路租用费用较高。另一种方式是所有单位自行建设互联网出口,该方式具有建设简单、费用低的优点,但是具有不便于统一管理,不能保证互联网接入质量等问题。可以根据费用情况在两种方式中进行选择。
(2)电子政务外网应用系统建设
外网应用系统的建设与专网建设具有相同的思路,同样采用大集中的思想,充分体现大集中的优势。按照“一站式”服务的思想,各个应用系统与内网网站或外网门户平台进行“整合”,通过统一的对外服务界面和统一的登录界面进行应用系统的管理。
图4 农二师电子政务外网网络拓扑图
基于农二师电子政务外网可以进行以下内容的建设:
●全师统一的外网门户平台。按照“资源共享、统一建设”的原则进行外网门户系统的建设,全师所有部门的外网门户利用农二师师部的统一硬件和软件资源进行集中建设,其他部门不再独立建设自己的信息门户,既可以节省大量的资金投入又可以节省大量的维护成本。
●全师统一的外网邮件平台。通过统一邮件平台的建设,农二师电子政务外网中的所有用户可以共用该平台,同时为实现统一管理,邮件系统的统一登录接口可以在外网门户上实现,按照“一站式”应用和办公要求,实现邮件系统与信息发布门户平台的整合。
●用于内部协同办公和行政审批的外网受理系统。通过网闸等数据交换设备实现外网受理的数据传输到内网,内网处理完的数据传输到外网。
(3)视频会议系统建设
农二师统一的视频会议系统平台,通过视频会议的MCU、主会场的视频会议终端和53个分会场视频会议终端的硬件建设,实现全师硬件级的视频会议系统。视频会议的关键在于会议管理,通过将视频会议的管理系统与外网门户进行集成的方式,实现各种视频会议的通知、会议室的登录等信息在外网门户的统一发布和管理。
(4)安全系统建设
农二师电子政务外网的安全系统主要由防火墙系统建设、入侵检测(入侵防御)系统建设、网络管理平台建设、防病毒系统建设四个系统组成,如图5所示。特殊情况下可以选择网页防篡改等工具。
图5 农二师电子政务网一期工程网络拓扑图
一期项目建设主要完成“三网一库”的电子政务外网建设,本期所有22家单位通过电信2×2Mbps 线路或直连光纤与师部网络中心连接,农二师电子政务外网与互联网逻辑隔离。当兵团电子政务网络(按照“三网一库”构架建设)中的专网要求农二师电子政务外网接入时,只需要将互联网链路和本期的三个软件应用系统与农二师电子政务网络物理隔开即可;同时需要进行农二师电子政务外网建设,以满足国家“三网一库”的基本要求。
尽管本期网络建设属于农二师电子政务外网建设,但是由于该网络要过渡成农二师电子政务专网,所以网络建设严格按照“三网一库”构架中专网的要求进行。
三、方案特点
1.整网采用ZXR10全系列产品构建
整个网络覆盖范围大、信息点多,包括师部和下属团部的办公厅局域网的2000个用户信息点接入,通过电信运营商的传输资源或IP专线实现师部直机关300多个节点的接入。全部采用中兴通讯的ZXR10系列高、中、低端路由器和交换机产品:ZXR10 GER-08、ZXR10 ZSR1842路由器、T160G、3228和2852S交换机。
2.通过MPLS实现强大的VPN功能
考虑到政务网是架构在电信运营商的传输网上,为满足安全性、可靠性要求, 采用了MPLS L3/L2 VPN技术构建VPN网。采用MPLS VPN的目的是为将来和其他师部网管网的互联提供很好的灵活性和扩展性。如图6所示。
图6 农二师电子政务网一期工程MPLS规划
在VPN上传输的全部是党政网内部的数据流,这样和其他用户普通业务数据流完全分隔开,保证了政务网的安全性。新疆兵团农二师的数据流传输到ZXR10 T160G路由交换机上,ZXR10 T160G路由交换机上创建一个VRF(分配一个相应的RT),传输到核心设备上。同样,在其他地市的ZXR10 ZSR1842路由器上也同样创建VRF,分配同样的RT,如此构成一个VPN,所有的业务、管理数据流都被封装在MPLS VPN隧道中传输,数据不会泄漏到其他用户,其他用户也没有办法进入该VPN。
3.网络安全
在网络主链路上充分考虑了网络的可靠性、可用性,包括采用设备冗余配置、可靠的传输系统等措施。
从数据安全性方面考虑,中兴通讯的加密方式能达到128位加密,而国外设备由于出口限制,加密只能达到56位加密,故中兴通讯设备的加密性能和安全性能较高。根据国家电子政务网的建设要求和安全性考虑,优先采用中兴通讯国产设备构筑本次网络工程。
4. 良好的扩容能力
新疆兵团农二师电子政务网的建设已经起到了很好的示范作用,后续将有新疆兵团总部和地方县级等政府专网加入到该网上。所以除了满足现网需求,中兴通讯在设计之初就充分考虑了其扩容能力,除提供N×E1接口外,还预留了更高端口如POS 155M、GE,完全能满足后续网络的扩容。
5.提供综合业务承载能力
网络建成后,已经开展了丰富多彩的业务,如办公自动化、会议电视、IP电话、宽带上网等。