背景
为了支持国家电子政务业务系统的运行,支持跨部门、跨地区的信息资源共享,支持电子政务业务系统的互联互通和信息交换,促进政府监管能力和服务水平的提高,按照中办发[2002]17号文件要求建设国家电子政务外网,目标是构建一个依托统一的国家电子政务通信传输网络,可以整合各级电子政务外网,覆盖全国各政务部门的网络平台和服务体系。国家电子政务外网将上联中办、国办,横向联接国务院部委局署,纵向联接32个省、自治区、直辖市和新疆生产建设兵团。
国家电子政务外网作为一个承载政府外部业务的服务平台,主要集中以下几方面建设:
首先,建立网络平台与接入管理中心,利用这个平台,组建覆盖中央和地方的政务外网体系和网络服务中心,建立政务外网标准规范体系,统一规划政务外网的网络资源,实现各级政府部门的接入注册和管理;
其次,构建信息共享环境,合理选择并建设政务数据中心,建立信息资源目录体系和交换体系,实现信息资源的登记与管理,满足各部门资源共享和信息交换的需求;
第三,在国家有关主管部门的指导下,确定政务外网统一安全策略,建设信息安全基础设施,构建统一的网络防护体系和统一的信任体系,保障政务外网安全可靠地运行;最后,是以政务外网为核心的管理服务体系建设,将是政务外网建设的重要组成部分,管理服务体系的完善将贯穿政务外网的全过程。
挑战
国家电子政务外网是一个服务平台,一个跨政府各部门的“政府大客户”服务中心,而我国政府规模庞大,机构众多,其中各级机构的办公流程和结构组织也有差异,数据资源也不统一,如何才能够把数量众多的政府信息孤岛打通,并形成战斗力,唯一的办法就是构建一个先进的、可承载不断增加业务的、可靠安全的网络平台,实现各级政府数据资源的共享和交换。
国家电子政务外网包括各级政府网络规划与接入管理、地址与域名管理、数据共享环境、确定安全策略、构建政府外网专用安全保障体系、特定的政府用户支持服务等,最终为政府各部门提供数据管理、安全认证、灾难备份、应用支撑和安全保障等服务,为各个电子政务业务应用系统、政府外网门户网站和统一的互联网出口提供支撑,为实现跨部门、跨地区的信息资源共享创造条件,促进业务系统的互联互通和信息共享,提高政府的监管能力、服务质量与政务信息化水平。
面对我国辽阔的幅员,多层次的政府机构,复杂的政务系统,国家电子政务外网作为覆盖全国政务系统的业务承载平台,面临着四大挑战:
• 网络面对不断增加的承载
电子政务外网的建设模式从上至下分为国家电子政务外网、省电子政务外网、市电子政务外网、区县电子政务外网四级。每一级电子政务外网对网络的要求不同,接入方式和功能的要求也各不相同。电子政务外网必须实现对不断增加的政府部门提供无缝接入,网络平台需要具有很强的伸缩性和扩展性,面对不断增加的政府业务承载和多业务的接入,整网的性能、功能、安全和管理都面临着挑战,包括全网处理能力、端到端QoS、关键业务保障、整网安全和便利的网络管理等,这些都会随着网络规模的扩大、政府接入数量的增加、不同变化的业务流量接入变得非常复杂,因此,电子政务外网需要一个灵活的、可以自动调节的、适应多种环境的综合网络平台。
• 政府各部门的业务隔离
电子政务外网作为统一的网络承载平台,实现横向联接国务院部委局署,纵向联接32个省、自治区、直辖市、新疆生产建设兵团。政府各级部门将分别接入这个平台,由于不同部门之间的隔离需求,需要构建统一、安全、易管理的协同电子政务平台虚拟专网以实现部门之间的安全隔离,在逻辑专网内政府纵向各级部门可以实现公文流转和内部信息共享,就像在一个物理隔离的专网中一样,不用担心部门内部的资料泄漏,同时又可以实现相互隔离的部门之间能够进行受限的数据交互和信息共享,包括实现隔离的部门用户对公共资源的访问或互联网的访问,新建应用信息系统之间的互联互通等等。所以,在电子政务外网上既需要部门和业务的安全隔离,又需要灵活的控制手段提供业务互访和信息共享。
• 网络安全保障体系
国家电子政务外网安全保障体系的建设目标是,建成政务外网网络安全防护体系、网络信任体系、安全管理体系和统一的技术标准归满体系,保障电子政务外网的安全可靠运行与有效的应用。国家电子政务外网网络安全防护需要实现以下功能:第一,实现国家电子政务外网与互联网的逻辑隔离;第二,国家电子政务外网中央网络管理中心不因拒绝服务攻击而瘫痪;第三,保护国家电子政务外网中央网络管理中心不因病毒和恶意代码而导致瘫痪和信息泄露;第四,保证部委合法移动用户接入国家电子政务外网和数据传输的安全。
由于外网的特殊业务需求,需要和各级政府和互联网连接,因此需要做到在全局范围对网络中潜在的风险做到早期预防、检测以及整网联动的智能主动防御。
• 网络管理
国家电子政务外网规模较大,承载的业务复杂,因此对网络的管理功能提出了很高的要求。这种网络管理不仅仅局限于对一家厂商单一网络设备的管理,更多是要求对多厂商设备以及网络资源的管理和调配;进而能够更好地支撑上层业务系统的正常运行。
H3C的整体解决方案
H3C公司作为全球领先的IP技术解决方案提供者,全面参与了国家电子政务外网的建设,运用多年来在政务网建设的经验,提供的先进的IP解决方案构建了国家电子政务外网。
国家电子政务外网呈现“王”字型网络构架,形成自上而下从中央到省再到市(县)的业务网框架,使得同一地区各部门横向之间和各部门纵向业务互联互通,资源共享,节约投资和资源。外网与内网物理隔离,与互联网逻辑隔离。网络包括广域骨干网、中央城域网、接入网,提供2条不同电信运营商的互联网出口,在互联网出口和关键数据中心处部署了安全设备。
自适应网络承载电子政务外网平台
H3C自适应网络是面向业务的动态安全网络模型,通过整合各种网络部件的能力(终端、网络设备、安全设备、业务系统、管理控制系统等)实现基于深度业务感知的弹性资源调整以及策略部署,这些策略主要是安全、可靠性、业务优化等方面。通过这种动态网络模型,IP自适应网络可以提供安全可靠保证及业务定制能力,有效支撑各级政府部门的办公业务,实现网络资源化及面向业务的架构。
电子政务外网承载着各级政府的各种外部应用,数据流量庞大而且复杂,业务、资源、安全状态总是处于不断变化之中,传统静态的网络资源处理方式无法满足诸如突发的视频和组播流量。H3C在电子政务外网大量部署可靠的、高性能NE系列路由器和核心交换机,一方面整合传统网络资源,提供标准的政务办公业务承载,另一方面通过智能化的业务识别、流量监控等资源调整策略,保证业务系统的高效运行。
MPLS VPN实现部门间业务隔离
电子政务外网作为统一的网络平台将接入众多的政务部门,一方面需要实现各政务部门之间相互隔离以及灵活的受控互访,另一方面这些控制功能不能对网络性能产生影响。电子政务外网复杂的互访关系图示意如下:
H3C提供的MPLS VPN解决方案完美的解决了上述的这一对功能与性能上矛盾。首先,为了解决性能上的问题, H3C提供的分层PE解决方案把PE的功能进行了分解,分为SPE和UPE,这样SPE可以专著于骨干网络的路由和标签分发,UPE可以专著于下联CE的路由和标签管理,彻底解决了传统上MPLS VPN PE扁平化导致的PE资源占用相同的问题,极大的提高了MPLS VPN的处理能力;其次,H3C提供的多角色主机和Extranet等解决方案实现了对不同VPN之间的受限访问,而且极大简化了管理复杂度。
构建安全保障体系
电子政务外网安全体系包括安全预警管理、安全监控管理、安全防护与响应管理和安全追踪管理,可以做到对任何攻击和网络病毒都可以做到早期预警、事件查看、封闭端口和日志审计等整套的安全处理机制。H3C安全解决方案满足了电子政务外网安全体系的需要,从事前、事中、事后几个阶段分别解决了黑客、病毒等应用对电子政务外网造成的损害。
考虑到各级政府外网与国家政务外网的连接方式,政务外网的数据处理方式,H3C的安全解决方案在互联网出口和CA数据中心出口部署H3C的IPS。H3C的IPS可以准确、及时而且有效地阻止各种针对系统漏洞的攻击,屏蔽蠕虫、病毒和间谍软件,防御DOS及DDOS攻击,阻断或限制P2P等应用误用和滥用。而且H3C的IPS具有交换机一样的性能,双机工作,并具有精确的防御能力,具有极低的误报和漏报率。
统一网络管理解决方案
电子政务外网由于面向用户众多,设备分布区域较大,因此对网络管理提出很高要求。H3C提供强大的网络设备管理软件,实现正常的网络管理功能外,在故障管理和配置管理上更加人性化,满足管理人员的实际需求。
IMC网络管理软件是H3C公司对全线数据通信设备实现统一管理和维护的网管产品。IMC网络管理系统采用分布式、组件化、跨平台的开放体系结构,用户通过选择安装不同的业务组件,可以实现设备管理、拓扑管理、告警管理、性能管理、软件升级管理、配置文件管理、VPN监视与部署等多种管理功能。产品不仅能够独立提供完整的网络管理平台,还能够与OpenView、SNMPc多种主流通用网管平台灵活集成;不仅能够管理H3C公司的全线数据通信设备,还能够通过标准MIB管理CISCO、3COM等各主流厂商的数据通讯设备。
除了设备管理软件之外,H3C公司还提供MPLS VPN业务管理软件,通过图形化简单的操作实现对复杂VPN网络的轻松管理和资源调度。实现了“多种VPN业务,单点集中运维”的需求,降低管理成本,提高工作效率。
总结
国家电子政务外网的建设结束了,目前各项业务正在顺利开通。H3C“量身定做”的解决方案和可靠的产品给客户留下了深刻的印象。国家电子政务外网建设的结束为建设覆盖全国的国家电子政务网络打下了坚实的基础,统一全国的电子政务网络将指日可待。