来源:中国信息界 更新时间:2012-04-14
作者:黄志立
国家电子政务外网是按照中办发[2002]17号和[2006]18号文件明确规定要求建设的我国电子政务重要公共基础网络平台,由中央政务外网和地方政务外网组成。根据政务外网建设总体要求,政务外网是服务于各级党委、人大、政府、政协、法院和检察院等政务部门,满足其经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。政务外网以公众服务为导向、政务应用为重点,为跨地区、跨部门网上协同办事提供后台网络支撑和构建各自的业务专网提供公共网络服务。
上海市政务外网对应于国家政务外网,与互联网逻辑隔离,属非涉密网性质;是政府的业务专网,主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务。上海市政务外网是通过将各区县政务外网和市级委办局及其直属单位的业务网接入至以统一的物理传输网络为基础的骨干网络平台而形成的。
1 政务外网建设初期电子政务状况
上海市电子政务发展状况为初期的政务外网建设带来诸多问题和困难,主要是由各部门、各地区电子政务网络建设的各自独立性现状造成的。突出表现为:各个政务部门已经形成了以内部局域网为后台支撑、办公自动化为应用基础、信息资源库为辅助决策的政府社会管理和公共服务业务体系;政务部门之间的网络建设各自为政,没有统一的规划和技术标准,网络之间互不相连,形成一个个各自独立的信息孤岛,网上协同办公实施困难。
在建设市政务外网时,首先面临的问题是各区县、市级委办局内的政务外网已经构建并运行,原先已建设完成的区县政务外网内各条线单位的网络接入情况比较复杂,各自在网络建设方式、架构以及IP地址规划上等诸多方面没有全市统一的规划,存在着一定的不确定性,主要包括以下几种情况:
(1)区县层面,绝大部分区县政务外网已经建设完成并投入应用,网络建设方式复杂多样化,如有的自建区网、有的租用电信运营商裸光纤、有的则完全租用电信运营商网络等,网络结构相互不统一,区县内IP地址规划各异甚至相互重复、冲突,部分区县政务网单位的IP地址使用了重复的10.x.x.x/8地址段,还有部分区县单位的IP地址使用了重复的192.168.x.x/16地址段。
(2)对于市级委办局,绝大多数市级委办局局域网已经建成,部分委办局网络已经上联国家部委办、下联区县、街道相应条线单位,形成了各自独立的条线专网,开展了各种办公业务应用;这些条线单位大部分是通过网络服务商提供的各种数据专网完成的网络接入,条线专网相互独立,其IP地址也使用了10.x.x.x/8或192.168.0.0、16的IP地址段。
(3)部分已经接入到各区县政务外网的市级委办局条线应用单位的实际IP地址使用情况比较混乱,既要满足市级条线业务需求,又要符合所在属地区县内业务需求,造成缺乏统一的规划和管理,不同条线业务IP地址时常相互重复和冲突。
2 政务外网网络建设架构和规划
由于各部门、各地区电子政务发展的不均衡性,使得政务外网建设成为一个难题。上海在政务外网网络建设上也经历了一个从探索到实践、从规划到整合的过程。
2.1单条线VPN链路的网络架构
政务外网建设初期,在调研条线业务应用需求的基础上,租用网络运营商城域网,利用MPLS-VPN(多协议标签交换虚拟专网)技术,从上到下,构建了10多条单条线VPN链路,构成部分政务部门单链路独立专网,开展条线业务应用。这些独立专网虽然为各自业务应用发挥了作用,但由于各自独立,无法满足政务外网互联互通、协同办公需要。
2.2统一规划、互联互通的网络平台
政务外网要实现网络互联互通,以满足电子政务协同办公的需要。根据上海市电子政务建设现状,首先要对上海市政务外网进行IP地址整体统一规划,保证全网地址的唯一性,然后在构建一个统一的、互联互通的政务外网市级骨干网络平台的基础上,根据各区县政务外网、各委办局局域网或条线专网实际情况,分类将其接入到市政务外网骨干网。
上海市政务外网骨干物理网络平台由专业的网络运营商承建的,是在其原有的城域网资源基础上,利用MPLS-VPN(多协议标签交换虚拟专网)技术构建的与因特网逻辑隔离的政务专用网络平台,即上海市政务外网骨干网。
图1 政务外网汇聚层示意图
上海市政务外网全网采用X.0.0.0/8的A类私有地址,原则上为每个区县分配一个B类地址,一个市级委办局机关分配一个C类地址,其它业务单位IP地址根据业务应用需求分配;制定政务外网域名规划和管理办法,建设政务外网统一的DNS域名系统。
3 政务外网网络接入方式
上海市政务外网市级骨干网络平台建成后,出于充分利用现有电子政务网络资源,避免重复建设,以及保持各区县政务外网稳定运行的考虑,需要保留原有各市级委办局、区县政务外网内部网络结构不变,整体接入到市政务外网骨干网,实现在统一物理网络平台基础上的互联互通。
针对区县、市级委办局网络的实际情况,按照上海市政务外网建设的统一标准及规范,在将各区县政务外网、市级委办局局域网接入到上海市政务外网骨干网时,主要使用三种接入方式。
3.1路由方式接入
针对部分新建网络或将进行网络调整的区县及市级委办局单位采用路由方式进行接入。在这种接入方式中,整个接入网络采用市政务外网统一规划IP地址作为业务地址,通过三层网络设备将规划地址路由出去,防火墙在对接中仅起到市区两级政务外网的安全隔离和对区县或委办局政务网络的安全防护作用。
图3 路由方式接入的网络拓扑图
采用路由方式接入,各区县或委办局单位内部网络需按照政务外网统一地址规划要求配置IP地址,这种情况下没有地址冲突,符合统一分配原则,并可实现快速故障定位、事件追查等,但需要在其网络出入口做好必要的安全防护措施和路由策略。
3.2IP地址NAT转换接入
针对部分已建网络的区县及市级委办局单位,由于其内部局域网或条线专网已经构建并运行,业务已经开展,实施IP地址更改比较困难,因此需要采用IP地址转换方式来进行网络接入。在这种网络接入方式中,各个单位内部网络私有IP地址通过防火墙进行NAT转换,NAT转换可以根据业务要求将内部网络私有地址一对一、一对多单向或双向转换成政务外网统一规划地址,然后经三层网络设备路由到政务外网,这里防火墙起到NAT转换和安全隔离防护的双重作用。
图4 IP地址NAT转换接入方式的网络拓扑图
采用NAT转换方式进行网络接入,避免了各单位更改内部IP地址的繁重工作,使得政务外网网络的管理界面清晰,接入单位内部网络的路由抖动将不会影响政务外网骨干网络运行。
采用防火墙进行NAT转换,目的是使防火墙在提供网络访问的同时,通过硬件的方式快速实现地址转换的双重控制功能。若用路由器进行NAT转换,则会影响路由器本身的性能,甚至还会使网络拥塞的时间变长,特别是当通过路由器的每一个包必须参考大量访问列表时,访问列表会加重CPU的负担,影响网络性能。
3.3独立通道接入
对于诸如视频信息等某些特殊的业务应用,由于其经过防火墙设备开展业务应用时效能大幅降低,有时甚至无法穿越;或者对于内部敏感信息需要建立独立的网络逻辑链路如VPN通道等,这类应用需要从接入三层网络设备提供一条到用户内网的网络通道连接(如采取trunk封装或VLAN技术方式),以便让此类应用数据流能够绕开防火墙设备,通过提供的通道传输进入到内网业务应用点。
图5 独立通道接入方式的网络拓扑图
通过提供独立通道,为一些特殊业务应用提供了方便,但同时增加了网络运维和管理的难度。
需要说明的是,由于电子政务建设初期的杂乱性和后期业务应用的复杂性,以上三种网络接入方式,在实际的网络建设与接入中通常是混合使用的。
4 网络建设的实践
采用以上政务外网建设架构和接入方式,指导上海市政务外网全网建设,实施全市政务外网整合。在上海市政务外网骨干网络建设完成后,完成了以下网络接入:
(1)市级层面:市政务外网骨干网已经完成包括市发改委、市质监局、市财政局、市科委、市卫生局等在内的近100家市级委办局、管委会等单位的网络接入和约1000家市级委办局直属单位的网络接入,并已经逐步扩展接入到党委、人大、政协、法院、检察院等单位。
(2)区县层面:完成了18个区县政务外网与市政务外网骨干网的汇接,涵盖区县内各委办局、乡镇及街道办事处,并逐步延伸到居委会、村委会和社区中心等基层组织。据不完全统计,目前区县二级政务外网总的接入点约8,000多家,电脑终端约72,000多台。形成了市区两级政务外网管理体系,保留和拓展了原区县政务网的业务应用范围。
(3)完成了市政务外网与国家政务外网的对接,为实现中央到地方的业务应用提供了网络通道。
图6 网络架构建设完成后的市政务外网全网总体功能示意图
在业务应用上,基于政务外网基础网络平台陆续开展了多项业务应用,主要有100多个市级协同业务、条线业务和试点项目应用,以及17个上联国家部委办有关业务应用。如:政府信息公开申请网上处理系统、上海市企业基础信息共享与应用系统项目、上海市进出口领域企业基础信息交换试点项目、市发改委有关审批业务、市质监局金质工程、市审计局的金审工程、市水务防汛信息系统、市食药监局的食品药品监管业务、市统计条线业务、市环保条线业务、市交通执法条线业务、市社工委与社会服务局的“两新”组织业务工作平台、居住证系统业务、市卫生局“突发公卫应急系统”项目、市申康医联项目、市航务视频监控和业务数据交互系统等。
上海市政务外网网络建设以及在此基础上开展的各项业务正常运行表明,基于以上网络建设架构,上海市已经构建起一个上联国家部委办、下达社区为民服务点、纵向到底、横向到边、互联互通、条块结合,满足各种应用需求,统一的本市政务外网网络平台,达到了统一规划、分级管理、资源共享、推进政务应用的目标,为实现政务一体化、管理科学化、办事高效化、服务规范化,构建起一个可亲、可信、可靠的电子政府框架夯实了牢固的网络基础。