通过构建统一的网络系统内外部信息发布平台和全网统一的规范和完善的政务网站资源体系,促进政府各部门信息的互连互通,同时推动信息资源的整合,唐山市在这方面进行了有益的尝试。
根据河北省电子政务建设总体规划,作为唐山市政府机关工作的专用网络,唐山市电子政务公务外网平台主要承担全市公务信息交换和业务互动,支持各部门的公共服务和业务办公,满足唐山市各国家机关之间信息传输、汇聚及各国家机关与公众、企业之间信息交换、信息共享和治理服务的需求,包括全市各级政府机关面向社会服务的业务协同、社会治理、公共服务、应急联动等应用系统。而这是现有电子政务平台所无法满足的,基于此,建设新的电子政务公务网络于2005年年初被纳入了议事日程。
唐山市电子政务网络资源现状
2001年底建设成的唐山市政府办公网由两部分组成: 一是市政府院内单位,共计30个单位,覆盖13栋办公楼,100M光纤到楼,10M到桌面,并通过VLAN划分成各单位和相应业务的子网。二是市政府院外单位,共计45个单位通过2M专线与市政府中心机房相连。纵向采用Cisco 7513和MAipU 26xx系列路由器组网。市政府中心机房采用1台Cisco 7513路由器和UT8000B作为核心设备,负责汇聚各县区和院外单位2M电路。通过6M SDH传输电路上连至省政府。通过U100M光纤与市委内网进行了互连。2005年进行了政府二级局域网的建设。政府公务内网已能连接到市直部门的各个处室。现计划基于此网络构建政府办公平台和政务信息资源中心,以形成政府政务信息资源的共享平台。
目前存在的主要问题包括:
1.电子政务建设各部门各自为政,系统自成体系,缺乏统一的电子政务网络应用平台。线路利用率低、运行费用高、硬件资源、软件资源和信息资源不能共享,跨部门业务协同几乎空白,网络资源浪费严重。
2.电子政务建设与全市经济社会发展的结合不够紧密,应用系统建设和信息资源开发明显滞后。重视网络和硬件设施建设,轻视应用系统建设和信息资源开发利用,在硬件购置上投资很大,效能没有得到充分发挥。已建的应用系统覆盖范围小、水平低、实用性差、网上信息资源少且缺乏现时性。
3.法规和标准滞后。电子政务建设和治理的法规不完善,标准不统一,重大电子政务建设的项目审批、监理验收、绩效评估等行之有效的治理机制尚未形成。
4.网络与信息安全体系尚未形成,缺乏有效的安全治理机制,存在安全隐患。
5.机关工作人员信息化意识不强,信息技术知识和应用整体水平不高,培训考核机制有待进一步建立和完善。
根据河北省有关政务内外网的建设规划,唐山市政府院外各单位接入带宽明显不足,现有网络设备无法内外网物理隔离,不符合使用统一的传输通道的要求。现有网络设备尤其是市政府院外单位的接入设备,无法满足建立MPLS VPN的业务要求,无法在公务外网内形成各单位所需的业务专用网。
需求分析
规划中的唐山市政府公务外网包括公文传送、各单位业务系统、电子邮件、IP电话、视频会议、移动办公、应急指挥、视频点播、面向社会的公众服务等应用,因此唐山市政府公务外网平台应对上述平台应用提供相应的支持和安全保证,并在此基础上提供如下的功能:
1.公共服务功能。公务外网是提供公共服务的基础设施,应当为公众和企业提供多种方式接入和广泛便捷的服务。
2.业务协同功能。公务外网应提供统一的公务外网平台,提供标准的、统一的信息表示和传输方式,提供一个基础信息交换系统,支持公务外网各级信息系统之间、公务外网与社会公众之间的互联互通和信息资源共享,实现各级政府部门之间业务协同和流程再造。
3.社会治理功能。公务外网通过应用系统建设和信息资源开发利用,提供基础信息采集和发布、网上并联审批、财税和审计监管、宏观经济信息、社会保障信息、农业服务信息、公共卫生信息、社区综合治理、应急联动指挥和信用信息服务等功能,保证各级政府部门对全社会的服务和治理,为各级政务部门提供宏观决策依据。
4.应急联动功能。在唐山市公务外网建设中,通过互联互通、信息共享、资源整合和业务协同,建设城市应急联动指挥、防汛指挥调度、紧急救援服务、安全生产监管、重大事故隐患监控等系统,从而实现对突发事件的统一指挥、快速反应和应急联动。
另外,在性能方面,唐山市公务外网将承载各级政府部门的数据、语音、视频等信息的传输和交换。因此,市级各政府部门与市中心横向互联,采用10M宽带城域网接入。市级中心连接55个市直重点单位,汇聚流量为550M(10M×55),建设范围涉及到市政府核心节点,实现全市各县区共计20个结点、55个市直部门结点所组成的政府公务城域网,为市直各部门和县区提供对政府外网和相应业务网的接入手段,并与河北省政府外网互连。
为贯彻落实《河北省电子政务建设总体规划(2003-2007)》,唐山市信息化领导小组确定由市政府电子政务中心负责电子政务网络的建设,并根据唐山市的实际情况,决定分两阶段进行,在第一阶段(2005年~2006年):
1.建设唐山市横向网络,并配合河北省委、省政府整合已建业务专网。
2.部署安全防护措施,初步构建安全保障体系。
3.完成政府各部门的内网网站,建立唐山市政府政务信息共享平台和资源中心。
4.完善政府各部门公众服务网站。
第二阶段(2006年~2007年):
1.建立数据交换中心、信息资源目录体系、信任体系和内外网数据交换系统。
2.配合省委、省政府完成对移动办公系统、IP电话系统、视频点播系统、应急指挥系统和IP呼叫中心在唐山市的延伸。
3.建设数据备份和灾难恢复系统,完善安全保障体系。
建设方案
唐山市电子政务公务外网体系结构如图1所示。公务外网的体系结构分为基础层、支撑层和应用层。基础层指公务外网的网络设备和传输链路; 支撑层包括操作系统、服务器系统和应用系统支撑环境; 应用层包括政府门户网站、公文流转系统、应急联动系统、移动办公系统及其他应用系统。视频会议支撑平台、视频点播与广播系统、IP电话系统、IP呼叫中心直接运行在网络平台上。网络治理系统和安全保障体系保证全网的网络治理和安全可靠运行。
图1 唐山市电子政务公务外网体系结构
1.网络结构
根据河北省公务外网的建设目标和建设原则,结合现有唐山市网络资源,唐山市政府公务外网将通过统一租用运营商的SDH传输网,实现与省核心节点的对接和市政府各部门的互连互通,同时构建政府公务城域网。
公务外网按照行政区划,具有明显的层次性。方案把整个公务外网的网络体系结构分为核心层(市政府)、汇聚层(包括市委、市人大、市政协、12栋院内办公楼、市电子政务中心节点)、接入层(市军区、检察院、法院、市直部门、县级部门、大型企业、集团用户、驻外机构等)三个层次。唐山市政府公务网作为一个统一的网络平台,公务内外网实现物理隔离,部门与部门之间是独立的,建立了严格的隔离和控制,使各部门间的数据不能随便访问。通过VLAN VPN和MPLS VPN技术,实现不同业务系统的逻辑隔离和互通。
唐山市公务外网的核心层带宽为622M,主要承载河北省下行链路和各县区上行链路的汇聚和流量的高速转发,同时也是市级横向网络的互联平台。该层要求具备信道化、高带宽、低时延和超强交换能力。河北省到唐山市骨干链路带宽为155M,市到县骨干链路带宽为8M。
QQRead.com 推出数据恢复指南教程 数据恢复指南教程 数据恢复故障解析 常用数据恢复方案 硬盘数据恢复教程 数据保护方法 数据恢复软件 专业数据恢复服务指南
2. 对资源进行整合
唐山市政府规定市直各部门原则上不再建设纵向网络,已建成的适时逐步整合到统一的政府公务网平台,并充分利用现有资源保护前期投资,根据网络建设实际情况,逐步进行网络调整和优化。
市直各部门将依托公务外网平台,利用其支持的信道化(CPOS)技术组建本系统纵向网。
公务外网市中心核心设备配置CPOS 622M 信道化模块,该模块可以将622M带宽划分成252个时隙,每个时隙为2M带宽。每个市直部门配置安全路由器,院内单位以100M带宽通过局域网横向接入市中心核心设备,院外单位以8M宽带城域网横向接入公务外网,通过市级城域网划分为多个VLAN,在市中心的核心设备上设置多个虚拟路由器(VRF),将纵向622M CPOS的2M时隙与这些VLAN设置相关联。
需要公众访问的部分放在公众信息网上,所有互联网用户均可访问; 仅需公众外网访问的部分放置在全局共享区,内部所有用户均可访问; 仅需公务内网访问部分放置在内网共享区,内网所有用户均可访问。
同时,构建统一的网络系统内部与外部信息发布平台,建立全网统一的规范和完善的政务网站资源体系,做到一个数据治理平台维护,网内网外多个站点发布。使政府各部门信息的互连互通,同时充分发挥各自的信息资源优势,逐步实现公务外网办公,互联网发布的公共模式。
系统支撑体系
1.信息资源共享体系
信息资源共享体系由目录服务体系和数据交换体系组成。信息资源共享体系为公务外网提供对信息资源的有序、透明、安全、可控的访问; 对分散、异构的信息资源提供导航、访问、交换、共享和整合。信息目录体系为信息资源提供登记、定位和浏览服务; 数据交换体系为信息资源提供数据交换、数据格式转换服务。
目录服务体系是实现信息资源共享的重要基础。它提供信息资源的查找、浏览、定位功能。通过目录服务体系的信息定位为数据交换体系获取信息资源提供获取位置和方式。
目录服务体系主要的核心技术是元数据技术。目录服务体系由元数据网关、元数据服务器、元数据目录服务及元数据库组成。
唐山市政府公务外网数据交换系统总体框架采用“三横两纵”的总体框架结构:“三横”为流程层的流程治理系统、应用层的数据交换与服务及数据层的应用适配器系统,“两纵”为支撑“三横”的配置治理以及监控系统和安全支撑系统。
2.信任服务体系
基于密码技术的信任服务体系为应用支撑体系、安全接入体系和应用系统提供身份认证、授权服务、责任认定、网络信任域资源治理等信任服务。
信任服务体系包括: 公钥基础设施、授权治理基础设施、授权服务系统、责任认定服务设施、实体鉴别器和网络信任域资源治理系统。
3.应用服务体系
业务应用服务体系含基础层、组件层、功能层和表现层(其总体结构图如图2所示)。
图2 应用系统由基础层、组件层、功能层和表现层组成
基础层包括公务外网平台、硬件平台、中间件和数据库系统; 组件层包括CA身份认证、权限治理、数据交换和系统设置; 功能层包括公文流转系统、移动办公系统、电子邮件系统、IP电话系统、IP呼叫中心、视频会议支撑平台、视频点播系统、应急指挥系统等; 表现层包括各级政务部门间互访和政府门户网站。
公务外网的安全保障
网络安全包括两层含义:其一是内部局域网的安全,其二是外部数据交换的安全。针对网络存在各种安全隐患,方案采用以下技术保证网络安全。
1.接口备份技术
为了提高网络的可靠性,采用支持接口备份技术的路由器。主接口和备份接口可以进行负载分担。当主接口的流量达到设定的门限时,启动备份接口; 当主接口和备份接口的流量和小于设定的另一门限时,关闭备份接口。当主接口出现故障时,多个备份接口可以根据优先级来决定使用顺序。
2.包过滤技术
IP报文的IP报头及所承载的上层协议(如TCP)报头的每个域包含了可以由路由器进行处理的信息。借助它基于接口的包过滤路由器,既可以在一个接口的进出两个方向对报文进行过滤,同时还提供了基于时间段的包过滤(可以规定过滤规则发生作用的时间范围)。在时间段的设置上,可以采用绝对时间段和周期时间段以及连续时间段和离散时间段配合使用。这给应用带来了具有极大的灵活性,并且这样的时间段可以方便地提供给其他的功能模块使用。
3.地址转换技术
地址转换用来实现私有网络地址与公有网络地址之间的转换。它屏蔽了内部网络的实际地址,外部网络基本上不可能通过地址代理来直接访问内部网络。
方案采用支持带访问控制列表的地址转换的安全路由器。通过配置,用户可以指定能够通过地址转换的主机,以有效地控制内部网络对外部网络的访问。
4.应用IPSec加密技术
IPSec(IP Security)是一组开放协议的总称,特定的通信方之间在IP层通过加密与数据源验证,以保证数据包在网上传输时的私有性、完整性和真实性,而不必担心数据被监视、修改或伪造。
5.部署智能防火墙 ( Intelligent Firewall)
传统防火墙只能阻止危险的应用传输,有时仅阻止了一些使用固定端口的应用,而留下了许多安全隐患。
智能防火墙提供基于报文内容的访问控制,能够对应用层的一部分攻击加以检测和防范。它监听每一个应用的每一个连接所使用的端口,只打开合适的通道让会话中的数据出入防火墙,在会话结束时关闭该通道,从而对使用动态端口的应用实施有效的访问控制。
防火墙放置在内网和外网之间,实现了内网和外网的安全隔离,并VLAN划分虚拟安全区,把不同业务服务器划分到不同安全区里,实现了数据中心内部的不同业务区的隔离和访问控制。
6.应用MPLS+VLAN划分安全域
在公务外网统一的网络平台上,利用MPLS技术可实现各单位间的横向和纵向VPN。利用MPLS技术的同时,再引入基于802.1Q(VLAN协议)的VLAN(虚拟网段)技术和访问控制技术就可实现更精细的VPN方案(如图3所示)。方案分为市级网络治理中心局域网安全域、市级专用城域网接入结点单位安全域、各县区接入结点的接入网络安全域。各单位可将需要与其他单位共享的信息和自己独享信息划分在不同的VLAN中,将这些VLAN分配到不同的VPN中就可实现纵向隔离和横向互通。
图3 通过MPLS+VLAN实现更精细的访问控制
效益评价
唐山市公务外网建设工程方案的实施,不仅将加速推动唐山市信息化建设,而且将产生良好的经济效益和社会效益。
在经济效益方面:
1.通过外网建设和网络整合,有效解决条块分割、资金分散、重复建设等问题,从而全面降低各部门建设成本,节省大量的人力、物力和财力。
2.建立统一的公务外网平台,实现互联互通和信息资源共享,使全市网络资源和信息资源发挥更大的经济效益。
3.充分利用现代化办公手段,提高党政办公效率,降低办公成本。如视频会议系统的开通将节省大量的差旅费和会议经费。
4.有效运用信息技术手段,提高决策能力、治理水平和公共服务水平,将对“以信息化带动工业化,实现生产力的跨越式发展”战略起到重要的推动作用,有助于拉动全市经济快速、稳定的发展。
在社会效益方面:
1.唐山市公务外网的建设将充分利用现有网络资源和信息资源,通过整合和信息交换系统,实现网络互联互通和资源共享,为各级政府部门提供现代化的信息支持手段,有利于提高各级政府部门的信息获取能力、决策能力、应急指挥能力和公共服务能力。
2.唐山市公务外网还将促进政务部门的治理创新、体制创新,改进领导方式和治理模式,优化政府审批流程,提高领导机关决策能力和运行效率,充分发挥电子政务对信息化建设和社会发展的推动作用,提高社会保障能力、综合治理能力和服务水平,实现以信息化带动工业化,工业化促进信息化,推动经济、社会的协调发展和全面进步。(作者工作单位: 唐山市国土资源局)
链接:VLAN VPN与MPLS VPN
● VLAN VPN VLAN VPN是使用在城域网上的一种同城互连技术,用户通过LAN方式接入城域网的接入层交换机,在交换机的端口上对接入速率进行控制。利用VLAN对用户数据加以隔离,从而在用户接入侧可以根据用户的需求分配带宽。由于VLAN的隔离,数据的安全性可以得到保证。在城域网内全网规划VLAN,同一业务系统属于同一个VLAN,从而实现业务系统内部局域网的互连互通。 该方案具有传输速率高、技术成熟、实施简单的优点。
在城域网内通过VLAN实现同城互连的方案要求城域网的设备必须支持802.1Q。
● MPLS VPN MPLS是多协议标签交换协议的简称,MPLS VPN则是采用MPLS技术实现的虚拟私有网络,由CE、PE和P三种网络实体构成。CE是用户直接与服务提供者相连的边缘设备,可以是路由器、交换机或者终端; PE是骨干网中的边缘设备,它直接与用户的CE相连; P是骨干网中不与CE直接相连的设备,P并不知道有VPN的存在,仅仅负责骨干网内部的数据传输,但其必须能够支持MPLS协议。PE位于服务提供者网络的边缘,所有VPN的构建、连接和治理工作都是在PE上进行的。
采用MPLS VPN技术可以把物理上单一的IP网络分解成逻辑上隔离的网络,并且每个VPN单独构成一个独立的地址空间,即VPN之间可以重用地址,在分配地址时不必考虑是否会与其他的VPN发生冲突,只需要考虑在本VPN之内不冲突即可,这样可以解决不同部门间IP网络地址重用的问题,也方便网络的扩展和变更。