来源:中国电子政务网 更新时间:2012-04-14
背景
“十五”期间,我国电子政务建设的主要目标是:标准统一、功能完善、安全可靠的政务信息网络平台发挥支持作用;重点业务系统建设取得显著成效;基础性、战略性政务信息库建设取得重大进展,信息资源共享程度明显提高;初步形成电子政务网络与信息安全保障体系,建立规范的培训制度,与电子政务相关的法规和标准逐步完善。这些工作完成后,中央和地方各级党委、政府部门的管理能力、决策能力、应急处理能力、公共服务得到较大改善和加强,电子政务发展奠定坚实的基础。
在坚持需求主导、资源整合、强化应用、保障安全和稳步推进的原则下,我国电子政务建设要完成各级政务内网、各级政务专网、各级政务外网的建设和整合工作,初步形成统一的国家电子政务网络。其中国家政务内网只连接中共中央办公厅、全国人大常委会办公厅、国务院办公厅、全国政协办公厅、最高人民法院办公厅、最高人民检察院办公厅、党中央和国务院组成部门及其直属机构办公厅(室)、47个副省级以上地方党委办公厅,不与其他网络相联接,不横向扩展和纵向延伸。国家政务专网承载中央和各级地方部门内部办公、管理、协调、监督等不面向社会服务的、不同安全等级的业务应用系统,主要满足中央和各级地方对口政务部门之间信息纵向传输、汇聚及各级政务部门之间信息横向交换与共享的需求。要采用必要手段,确保网络与信息安全。国家政务外网承载中央和各级地方政务部门业务协同、社会管理、公共服务、应急联动等面向社会服务的业务应用系统,主要满足中央和各级地方对口政务部门之间信息纵向传输、汇聚及各级政务部门之间、政务部门与公众、企业之间信息交换与共享的需求,与互联网安全连接,支持各级政务部门面向社会的门户网站。
虽然电子政务内网、电子政务专网、电子政务外网三张网络之间完全物理隔离,且各自运行的业务系统也有了明确的定义,但是三张网络建设使用的主要技术手段和面临的主要问题是一致的。因此,我们以电子政务外网为例阐述华为公司的电子政务解决方案。之所以选择电子政务外网,是因为只有电子政务外网需要和互联网进行安全的连接,且电子政务外网上业务系统之间的关系最为复杂。
政务外网需求分析
基础网络要求
电子政务外网的建设模式相对比较固定,从上至下分为国家电子政务外网、省电子政务外网、市电子政务外网、区县电子政务外网四级。每一级电子政务外网对网络的要求是不同的,进而对设备性能及功能要求各不相同。
业务互访要求
电子政务外网作为统一的网络承载平台,将接入不同的政府各级部门,形成在统一网络平台上的逻辑虚拟专网,各构建统一、安全、易管理的协同电子政务平台虚拟专网之间需要安全隔离。同时,因为协同型电子政务应用系统的不断发展,又要求相互隔离的虚拟专网之间能够进行部分数据交互和资源共享。此外,还涉及虚拟专网用户对公共资源的访问,对互联网的访问等等。所以,电子政务外网上存在非常复杂的业务互访需求,而且对互访需要强大灵活的控制手段。
网络安全要求
目前,很多电子政务网解决方案缺乏整体的安全规划,多是网络安全设备的简单堆砌,仅仅能解决局部的、特定的安全隐患,例如通过防火墙抵御外部发起的攻击、通过IDS检测入侵行为等等。目前解决这些安全问题的方式往往是事后的亡羊补牢,还无法做到早期的预防、检测以及整网联动的智能主动防御。
综合管理要求
电子政务外网规模较大,承载的业务会越来越多,因此对网络的管理功能提出了很高的要求。而且这种网络管理不仅仅局限于对网络设备的管理,更多是要求对网络资源的管理和调配,进而能够更好地支撑上层业务系统的正常运行。
华为公司电子政务外网解决方案简介
基础网络解决方案
电子政务外网作为电子政务外网骨干,负责连接各下级电子政务外网,整网包括核心城域网、广域骨干网、互联网出口、核心网络管理中心、地市接入网、各部委局署接入网等几个重要部分。
其中,核心城域网的规划简单如下:核心以路由器组网为主,传输带宽采用2.5G,为加快核心层数据转发和保护关键数据,大都采用环网技术,即租用电信运营商的SDH设备和传输线路,将核心设备进行环形连接;也可以只租用裸光纤线路,采用RPR(弹性分组环)环网技术进行环形组网。从技术先进性和便于维护的角度来看,城域网核心大多采用RPR来建设。可选用了多台华为公司的Quidway® NetEngine 80E核心路由器组成一个2.5G的RPR环;汇聚层设备可以采用路由器(支持E1接入)也可以采用交换机(支持GE/FE接入),汇聚层设备要求支持MPLS VPN,能够承担PE的功能并且需要支持NAT多实例功能,以支持不同接入用户在地址重叠的情况下能够通过NAT多实例功能翻译成不同的地址。汇聚层可选用华为公司的Quidway® NetEngine 40/40E核心路由器,也可采用华为公司Quidway® S8500高端交换机。一般来说,如果数据流量模型以纵向为主,那么建议选用路由器,如果以横向交互数据流居多,则选用交换机。
广域骨干网路由设备要求支持MPLS VPN(MPLS VPN 是目前电子政务外网建设中最常使用的逻辑虚拟专网划分技术手段)和QOS(端到端服务质量保证是电子政务外网建设中的基本需求)功能。从可靠性角度考虑,广域骨干网路由设备应支持关键部件全冗余配置以及NSF(不间断路由转发)和GR(平滑重启)功能。从接口上看,广域骨干网路由设备应支持2.5G/155M CPOS,GE/FE 等接口。广域骨干网可选用华为公司的Quidway® NetEngine 40/40E核心路由器,租用运营商GE或者SDH 155M接口与核心城域网汇聚层的设备相连。这种组网模式示意图如下:
图一:某电子政务外网组网示意图
业务互访解决方案
电子政务外网作为统一的网络平台将接入众多的政务部门,各政务部门之间需要相互隔离以及灵活的受控互访,电子政务外网上将形成复杂的互访关系。以下图示意。
图二:电子政务外网业务互访关系示意图
根据各自实现的功能不同,将电子政务外网分为三个独立的功能区:纵向业务区、公众服务区、资源共享区。纵向业务区是各个纵向政府部门在电子政务外网上划分出来的虚拟逻辑专网,负责传送各政府部门自身的业务数据,彼此之间严格安全隔离。公众服务区是电子政务外网上划分出的对公众服务的部分,包括各类WEB/FTP公众服务器。资源共享区是电子政务外网内部各纵向业务系统之间需要共享和交互的数据。三者之间的互访关系如上图所示,纵向业务区用户具有最高访问权限,可以访问公众服务区(提取公众需求),可以访问资源共享区(用于各纵向业务区用户之间交互数据),可以访问INTERNET(资料查询等)。资源共享区具有次高访问权限,不能访问纵向业务区,但可以访问公众服务区(提取公众需求)。公众服务器区访问权限最低,只能和INTERNET进行交互,不能进入纵向业务区也不能进入资源共享区。所有业务访问关系在技术上是通过MPLS VPN来实现的。
我们以纵向业务系统为例说明其如何实现对其余区域的访问
(1)纵向业务系统对互联网和公众服务区的访问
图三:纵向业务系统对互联网和公众服务区的访问示意图
纵向业务系统对互联网和公众服务区的访问都需要做NAT,可能在PE上,也可能在用户的接入防火墙上。通过NAT,将用户的私网地址翻译成电子政务外网统一分配的地址,以这个地址实现对公众服务区(公众服务器同样分配电子政务外网地址)访问和对互联网的访问。在访问互联网时可能需要在出口设备上将电子政务外网地址二次翻译成ISP地址,这要视具体实现方式而定。某纵向业务系统接入的PE设备(如工商系统接入的PE)需要设置静态路由指向其余业务系统(如税务)接入的PE设备地址,以直接访问其余业务系统(如税务)对外发布的公众服务器(如WEB服务器),同时需要设置缺省路由指向互联网出口PE。
(2)纵向业务系统对共享资源区的访问
纵向业务系统对共享资源区的访问并不是纵向业务系统用户直接访问共享资源区,而是通过前置机的方式访问。纵向业务系统(如工商)将自己需要和其余纵向业务系统(如税务)交互的数据通过安全的方式(如网闸)由内部服务器导入到前置机上。所有纵向业务系统的前置机自己成为一个单独的VPN,共享资源区成为一个共享VPN,共享VPN可以和所有纵向业务系统前置机VPN实现互通,实现逻辑星型连接,此方式下数据流模型为集中式。也可采用分布式数据流模型,所有纵向业务系统前置机VPN根据应用系统要求通过RT值控制直接进行互访以交互数据。两种方式视具体情况和要求而定。
安全渗透解决方案
安全渗透网络的核心理念是将安全渗透到网络的角角落落。安全不再是安全产品的简单堆砌,而是整体全面的安全规划以及全网设备的安全联动。安全渗透网络包括三个部分:端点安全、威胁抵御、基础安全功能。
(1)端点安全
目前的电子政务网络建设中,建设者们往往重视来自于网络外部的攻击或者病毒,通常采取在网络出口设置防火墙的方式来抵御外部的威胁。但建设者们却往往忽略了来自网络内部的攻击和病毒,认为网络内部的用户都是可信任用户,结果正是这一点成为网络安全最为薄弱的环节。因为电子政务网内部任何一台用户终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置)都将直接影响到整个网络的安全。如果某台终端感染了病毒,它将不断在网络中试图寻找下一个受害者,并使其感染,在一个没有对内部用户进行有效安全防护的电子政务网络中,最终的结果可能是全网瘫痪。所以,加强对电子政务网内部用户的管理和控制是解决电子政务网安全漏洞的重要手段。华为公司的安全解决方案通过安全客户端、安全策略服务器、接入设备以及防病毒软件联动,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全损害,避免“易感”终端受病毒、蠕虫的攻击。
(2)威胁抵御
针对恶意的攻击行为进行深度检测,并通过安全设备和网络设备的安全联动策略来控制攻击行为。一个黑客发起了攻击,网络设备会将这种攻击行为的数据转发到安全设备,安全设备将数据上报给管理中心,管理中心通过分析,确认这是一个攻击行为,并下发针对这一攻击行为的安全策略给安全设备。安全设备将这一安全策略转发给网络设备,网络设备就会按照安全策略阻止后续攻击。
(3)基础安全功能
将安全功能和安全设备天然的融合到网络设备中,如在路由器上提供防火墙功能和VPN功能。使安全策略更加易于控制和部署。
综合管理解决方案
电子政务外网由于面向用户众多,设备分布区域较大,因此网络的管理就非常的重要。华为公司提供强大的网络设备管理软件,实现正常的网络管理功能外,在故障管理和配置管理上更加人性化,满足管理人员的实际需求。
除了设备管理软件之外,华为公司还提供MPLS VPN业务管理软件,通过图形化简单的操作实现对复杂VPN网络的轻松管理和资源调度。MPLS VPN管理软件同时支持MPLS L2/L3 VPN,可以同时管理BGP/MPLS VPN(RFC 2547bis)、MPLS L2 VPN(VPLS、Martini、Kompella),实现了“多种VPN业务,单点集中运维”的需求,降低管理成本,提高工作效率。
MPLS VPN管理软件采用直观的业务规划,使用图形化、向导化的方式,帮助管理员快速完成VPN业务规划,并可直观的进行“业务预览”,即在业务尚未部署到设备之前,就可在业务管理系统中看到业务实施后的效果(如VPN拓扑结构、VPN内各站点间逻辑连接关系),避免业务规划过程中人为的错误。
MPLS VPN管理软件提供多种有效的业务监控手段,从而保证VPN业务质量:VPN配置审计、VPN连通性审计、端到端的网络性能(时延、丢包、抖动)监控、图形化的流量/ 带宽利用率监控、智能的业务告警分析,帮助管理员快速排障、及时了解业务状况。
能够提供完善的客户管理机制,可以维护VPN客户的各种信息,并提供丰富的客户业务租用报表、资源租用报表、性能数据报表、流量数据报表和故障数据报表等,便于管理员有效的管理VPN 客户。
完善的系统安全提供灵活的用户分权策略(可按照对象+操作给用户授权),方便用户按照管理员实际业务职责来分权;提供简便易用的数据库备份工具,简化系统管理员数据备份的工作;提供Watchman异地双机备份组件,保证系统的高可用性;提供详尽的用户操作日志记录、任务操作日志记录,便于事后跟踪。
灵活的拓扑提供丰富的网络拓扑显示视图:网络视图(PECE之间的连接关系)、客户视图(CE-CE 之间连接管理)、VPN视图(每个VPN显示为一个节点)功能,并提供放大、缩小、定位节点、鸟瞰图、节点搜索、多选等操作;并可按照客户、VPN过滤、AS、VPN类型等过滤显示;对于VPN内节点数目较大、之间的逻辑链接过多提供更细节的过滤显示功能;拓扑能够反映业务实际运行状态。
总结
华为公司在深入理解电子政务网络的基础上,分析了电子政务网络建设中存在的一系列问题,并针对性地提出解决方案。这是华为公司承建众多电子政务网络建设工程后的宝贵经验的积累。