浙江省民政厅历来十分重视民政信息化工作。根据省政府的统一部署,民政厅信息中心精心规划,制定了浙江民政电子政务网络的实施规划并实施。
一、总体设计
民政电子政务网分为省民政厅局域网和全省民政系统广域网。根据省政府统一要求(浙政办函[2003]88号文件),省民政厅利用浙江省电子政务网构建全省民政系统广域网,不再建设部门纵向网络。因此,民政厅电子政务网络建设的核心任务是各级民政部门的局域网建设。本文重点介绍省民政厅的局域网建设。
民政厅局域网分政务内网和政务外网,政务内网属涉密网,与政务外网及Internet物理隔离;政务外网为厅主要业务网,运行各类业务软件,与国家民政部广域网、救助专网互联互通,通过省政府电子政务平台与各市、地、县(区)民政局组成全省民政系统广域网,与Internet逻辑隔离。
二、设计原则
1、安全性原则
充分考虑网络的安全问题,确保设计的网络具有保证系统安全,防止系统被人为破坏的能力。包括系统的快速查找及排除故障,在线故障恢复,数据传输的保密及完整,外部非法侵入的防范,内部人员的越级操作的防止等等,支持AAA功能、ACL、IPSEC、NAT、路由验证、CHAP、PAP、CA、MD5、DES、3DES、日志管理等安全功能。
2、可靠性、稳定性原则
应采用稳定可靠的网络架构以保证整个网络稳定运行;重要应用系统的重要节点应尽量采用双链路连接,保证重要节点的可靠连接;系统建设采用主流产品,以保证系统的高质量和稳定性;采用成熟技术以降低系统的不稳定性,同时设备本身也应具有很好的容错特性及热备份特性,其中包括冗余电源系统、冗余处理器模块和无源背板技术;每个接口要确保它们与应用公认的标准兼容,同时保证连接的第二层和第三层接口的可靠性。
3、先进性原则
紧密结合实际,立足于先进技术,采用最新科技水平,使系统能适应大量数据传输及多媒体信息传输,保证系统具有较长的生命力,满足将来系统升级的要求。
4、易管理性原则
全部网络设备可通过统一的网络管理工作站实现统一的图形化网络管理。网络管理界面应简单有效。
5、可扩充性、兼容性原则
设计网络方案时,在保证满足目前需要的前提下,要充分考虑到未来的应用,必须做超前规划,使网络系统具有良好的可扩充性与兼容性。
6、高性能
网络系统设计应充分发挥软硬件和网络的处理能力,最优化系统的整体性能。
三、系统设计思想
网络拓扑采用层次网络架构进行设计。网络架构包括接入层、汇聚层以及核心层等三层。
接入层
最终用户的网路接入点。它可以共享、独享或交换带宽的方式为用户提供入网的接口。
接入层通过上行(100Mbps快速以太网、千兆以太网)连接到汇聚层。虚网中继协议(802.1Q)、快速收敛技术以及每个VLAN的生成树(Spanning Tree)技术可以实现在冗余线路上的负载均衡和上行线路故障时的快速恢复。接入层一般通过2层交换技术来实现。
汇聚层
汇聚层是为接入层提供基于策略的连接,如地址合并、协议过滤、路由服务等,通过工作组的网段化和网络问题的隔离,防止它们影响到核心层。汇聚层一般采用3层交换技术,实现接入层虚网之间的互联并控制接入层对核心层的访问,保证核心层的可靠和稳定。汇聚层可以通过两条上行线路连接到核心层,以保证线路的冗余。
汇聚层是核心层的边界,它将影响核心层高速的因素局限在一个较小的范围,处理工作组访问,定义广播/组播域,划分虚拟网等。
核心层
核心层是为点与点之间提供最佳的传输带宽。核心层需要强大的3层交换功能。核心层与汇聚层之间不能存在2层的生成树环路。在核心层,通过智能的3层路由协议如OSPF来实现路径的选择以及在核心层上的多条路径的负载均衡。
四、政务外网的设计
1、核心层及接入层网络设备的设计
1)核心交换机
根据设计思路,选用华为3com的8508高性能交换机作为整个网络系统的交换中心及核心组件,配置冗余的电源模块及冗余风扇,消除最容易出现故障的电源的单点故障。系统可靠性达到:99.999%。
2)接入交换机
接入交换机采用华为3COM公司的高性价比产品S3050C,固定配置48个百兆接口,S3050C带两个千兆扩展槽位,可选单模、多模、电口多种模块,S3050C具有两个千兆扩展槽位,可选单模、多模、电口多种模块。所有接入交换机均以千兆链路和汇聚交换机对接。实现千兆主干,百兆到桌面的高速以太交换。
2、安全设计
为了从整体上考虑计算机网络的安全保障体系,需要考虑以下几方面的问题:
1)边界访问控制
通过在网络边界部署访问控制系统,通过强制实施统一的安全策略,对进出网络的数据进行审查和过滤,将绝大多数攻击阻止在到达攻击目标之前,从而实现对网络系统的逻辑隔离和边界访问控制,更能隐藏网络内部结构,使攻击者无法了解系统内部的基本情况,控制了网络系统本身应有的安全风险。
2)检查安全漏洞
通过对网络系统、重要服务器和网络设备进行主动扫描,了解网络系统在系统配置、系统漏洞方面的缺陷和安全漏洞,提供安全评估报告,帮助系统安全管理员了解系统的安全状况,合理调整配置和管理系统,消除网络系统本身存在大量的弱点漏洞和认为的操作或配置所产生的不当的与安全策略相违背的系统配置,减少入侵者可以利用来进行入侵的机会,进而提高网络的整体安全性。
3)攻击监控
通过对重要网段、网络设备和重要服务器建立攻击监控体系,实时检测网络攻击行为,并采取相应的行动,实现对网络系统入侵行为的检测与防御。
4)病毒防范机制
建立全方位的完备病毒防范体系,确保网络系统、服务器(特别是邮件服务器)和客户端桌面系统不被病毒所破坏。
5)安全管理和审计
通过网络安全管理平台,实现对网络系统中各安全系统进行统一的管理和审计,同时安全审计分析中心与其它安全产品的联动,建立集中控制、分布式的安全审计系统,对计算机网络中所有的安全日志信息进行集中收集、整理和分析,顺利解决众多安全产品与网络产品所不兼容的海量日志,为系统管理员减轻大量的收集和分析工作。同时,也便于了解网络的整体安全状况,为安全策略的动态调整提供决策支持,通过制定网络安全管理制度,来提高用户的安全意识。
五、政务内网的设计
政务内网与政务外网物理断开,主要是用于和向省政府报信息及并联审批等业务,业务数据量相对较小,网络结构简单,全网所有信息点数为20个,由3台交换机构成,一个中心交换机直接接两台楼层交换机。