【51CTO.com 综合报道】一、 前言
随着两部委下发的988号文件的要求,省级的电子政务外网的建设进入到实际的倒计时建设中。988号文件进一步明确了电子政务外网在政府信息化中的重要性,相比前期的中办发[2002]17号、中办发[2006]18号文,此次对电子政务外网的要求更加明确:1.各省要求在2010年底之前完成各省的电子政务外网的建设。2.政府其他各纵向部门原则上不允许独立建设纵向网络,要求统一承载至国家电子政务外网平台。这样一方面明确了电子政务外网基础网络平台的时间底线,另一方面进一步明确了电子政务外网在政府信息化中的地位。
过去的5年中全国各个省份都在构建省级的电子政务外网,为此国家信息中心下发了有关电子政务外网建设的技术指导,电子政务外网发展至今,其地位已经发生了变化,当前的电子政务外网已经成为各部委的电子政务外部业务的承载平台,不是单一部门的业务承载网,电子政务外网正逐步在演变为一个跨系统、跨部门的电子政务外部平台,2010年政府的电子政务外网建设也会转向电子政务外部平台建设,将成为电子政务外网的分水岭。
当前电子政务外部平台的建设,网络的互通已经不再是用户建设的目标,用户更加关注电子政务外网的三类业务应当如何承载?整体的电子政务外网的运行、维护如何开展?如何能够构建统一、全面的安全管理策略?面向未来的数据、IPv6等新业务应该如何构建?
二、 电子政务外部平台整体模型
图1 H3C电子政务外部平台整体模型 |
电子政务外部平台整体模型包括基础网络平台、数据交互平台、业务应用平台、立体安全架构、统一运维与管理平台5大模块构成。从模型中可以看出前期电子政务外网的建设重心基础网络平台只是电子政务外部平台的一个模块,数据中心与灾备、立体安全架构、统一运行与维护管理等模块也已成为用户的重点需求。
1. 业务应用平台
电子政务外网业务分为三类业务:专用业务、公用业务、互联网业务三类。专用业务是指如:金安工程、审计等政府部门的各纵向业务,是省政府直属各单位在省政务外网上利用MPLS VPN技术,连接本系统内部省、市、县(市、区)相关部门的纵向业务。公共业务:又可称之为横向业务,是指各单位实现信息共享与交换的业务,如:政务行政审批业务。互联网业务:对因特网公众提供服务,省政府直属各单位通过统一出口访问因特网,如:政府门户网站等。实际上电子政务外网的建设依据都是基于电子政务的业务分析所展开。
2. 基础网络平台
为了在同一张物理网上针对电子政务外网的三类不同的业务进行承载,MPLS VPN技术成为电子政务外网建设中基础的网络技术,在网络基础平台的建设中要实现电子政务不同业务应用的不同承载平台。
纵向业务承载网络:承载G2G(内部)业务,政府部门内纵向办公业务。通过划分单独的MPLS VPN来实现不同政府部门的纵向业务承载,以政府A部门的省、地市、区县的三级部门为例,省A部门、地市A部门、区县A部门通过与省级电子政务外网、地市电子政务外网、区县电子政务外网实现三级网络之间的互联,在电子政务外网为A部门划分单独的VPNa为A部门提供纵向业务。即:划分纵向业务虚拟网络资源平台。
公用业务承载网络:承载G2G(部门间)业务,政府部门间横向资源共享业务。公用业务承载是实现各个接入部门之间的信息共享,在公共业务的承载方面两种技术均可实现:
一是通过电子政务外网的Global直接承载,不需要为其开通单独的MPLS VPN,各个部门将自己的公共业务设置单独的服务器与电子政务外网相连,通过Global实现与其他接入电子政务外网的政府部门之间的公用业务互访。
二是在电子政务外网上开通单独的VPN作为公用业务VPN,各部门将公共业务区域的服务器单独划分为一个区域,接入电子政务外网的公用业务VPN实现业务间的互访。从国家信息中心的技术指导要求来看公共业务互访可以采用Global IP网段的承载方式,但实际开通时会存在IP地址短缺或各部门状况不一的情况,所以采用划分单独的VPN的方式也同样可以实现,两种方式均可以实现公共业务网络承载。
互联网业务承载网络:G2C、G2B业务,承载政府对公众的网站发布业务,以及政府部门内部访问互联网的业务。互联网业务承载网络有两类业务:包括对外公众信息发布、政务部门内部访问互联网业务。针对两类业务在电子政务外网进行统一划分MPLS VPN的方式来实现,用户单位需要将对外发布的信息系统设置单独的区域,统一对外发布。对政府内部访问互联网的用户终端根据国家信息中心的要求与纵向业务之间隔离,不允许采用同一台主机终端,因此可以设置单独的主机终端、划分单独的区域,映射到互联网VPN 区域实现对互联网业务的访问。
3. 立体安全架构
安全在电子政务外网尤其重要,当前电子政务外网的安全建设已经区别于5年前的安全,不是简单的安全产品的堆积来实现安全的防护,实际上当前的政府用户更加倾向于购买安全解决方案,在实施电子政务外网的安全时考虑更多的是一个立体的安全架构。
图2 H3C基于电子政务外网的立体安全架构 |
1) 安全的广度:
终端准入:电子政务外网需要接入大量的政府部门,如何规范接入用户的行为尤其重要,终端准入可以实现针对不同用户的权限区分,确保每个人只能访问自己的授权资源访问,在电子政务外网有两种终端准入应用方式:一是简单的宽泛认证及资源授权,应用于接入部门的认证,如:单台终端在不同时间访问不同业务区(过渡阶段)的方案,这种方式无需装任何客户端免维护,可实施性强。方式二是强制型认证与资源授权,应用于电子政务外网在行政中心部署的方式,如:海南电子政务外网的部署,实现强安全、严格安全遵从时采用。
网络边界:电子政务外网的网络边界安全尤其重要,各部门接入时要重点实现纵向业务区、公用业务区、互联网业务区三类业务的区分并且与电子政务外网对接,在网络边界的安全在电子政务外网要考虑到以下几个方面:各政府接入部门接入电子政务外网的边界安全规范、互联网业务区出口的安全策略、外部人员接入电子政务外网时的身份认定与资源授权等。
承载平台:电子政务外网的骨干网开通MPLS VPN,所以骨干网本身就通过MPLS VPN实现的安全隔离,如果公用业务区是通过Global 来实现互访,建议在整个电子政务骨干网上部署安全策略,主要的策略面向公用网络区域部署,避免公用业务区中的问题对骨干网产生安全威胁。除安全策略之外在骨干网上对VPN内部的业务流的管理与分析也非常重要,既然电子政务外网是一张承载网,那么对承载网的全网业务进行实时的分析与管理同样非常重要,因此在骨干网上通过对VPN内部的业务数据流量进行分析实现对全网流量的分析与管理,提高骨干网的可管理、可运维性。
数据中心:数据中心在电子政务外网的建设中是下一个阶段的建设重点,数据中心的安全涉及的方面较多,主要包括安全的性能、安全的分区分域、服务的应用加速、安全的管理与分析等,这里不再做详细介绍(大家如果感兴趣可以参考数据中心整体解决方案)。
2) 安全的深度
网络层:电子政务外网的网络层安全是电子政务外网安全的基础,目前电子政务外网的建设中首先MPLS VPN已经确保了网络层一定的安全性,在电子政务外网边缘的网络层安全主要可以通过FW产品来实现网络2-4层的安全防护,当多部门统一汇聚时可以通过VFW(虚拟防火墙)技术来实现各部门之间的安全隔离与防护,总的来说网络层的安全主要是指电子政务外网的2-4层的安全防护,主要的技术可以采用FW技术来实现。
数据层:数据层安全是电子政务外网下一个阶段的建设重点,其主要是为了实现各接入单位的关键数据的安全防护与备份,数据层的安全可以通过灾备、远程备份等技术实现,存储技术与网络技术的结合是数据层安全的主要实现手段。
应用层:应用层安全在电子政务外网的建设中主要在互联网出口,承载网的业务流量分析,面向网站、数据库、操作系统的防漏洞攻击等安全措施,如:对全网的流量进行监控与分析,进而实现对用户的网络行为进行分析,给出VPN的流量占用情况,上网业务多少?办公业务多少?P2P的流量多少?访问的网站Top 10都是哪些等等。IPS、Netstream、应用控制网关等产品与技术在应用层安全中起到了重要作用。
3) 安全的时间维度
事前防范:事前防范的安全设计与规划在电子政务外网中有广泛的部署需要。其中在电子政务外网地市政务行政中心中部署尤其重要,如:地市行政中心不同的部门在同一建筑中,通过在物理网络上划分,对各个用户接入网络的事前审计可以通过检查用户终端的安全是否与安全策略相符,如果不相符则不允许接入网络平台,避免对整网带来安全威胁。
事中阻断:事中阻断是立体安全架构思想的直接体现,除传统的防火墙、IPS的实时阻断技术外,更重点的是如何通过全网的安全模块联动将正在实施攻击的主机或遭受病毒感染的主机强制隔离。如:网络安全管理模块(IPS或防火墙)发现某IP地址有病毒攻击,将事件上报至安全管理中心,安全管理中心会将IP地址上报至网络管理平台,网络管理平台依据IP地址追踪至某交换机下的某个终端,并通知终端的安全管理模块强制用户下线,从而完成了对事中某病毒终端的阻断。事中阻断在电子政务外网中行政中心的实施部署有着重要的意义。
事后审计:事后审计在电子政务外网的安全规划中也是不可缺少的一部分,对月度或季度的安全事件进行分析可以阶段性了解目前网络存在的安全威胁提前做好安全规划避免安全问题对网络带来的冲击。再者,事后审计也是对已发生的安全事件追踪、取证的重要手段,如:对在网上发表非法言论等安全事件的审计。
4. 数据交互平台
数据交互平台是电子政务下一个阶段的建设重点,其建设的重心与政府机构的业务紧密结合,在数据交互平台中有两类代表业务。
一类是结构化数据为代表的政务数据中心。政府数据中心主要是G2G、G2C、G2B等业务的集中处理中心,是后电子政务时代数据大集中的体现。政务数据中心建立的同时会催生政府灾备中心的建设,实现对集中数据的统一备份与管理,实际上现阶段政府数据中心往往是由各纵向部门统一建设,而灾备中心往往由政府统一建设,可以借助电子政务外网的建设模式进行,从而引发政府共享灾备的建设,前期杭州、江苏等省份的灾备建设实际上就是共享灾备的建设模式。
第二类是以非结构化数据为代表的政务多媒体中心。包括政府应急指挥系统,其将视频会议、视频监控、共享数据等相关平台统一整合,是重大突发事件的应急平台,其主要的业务也是以多媒体业务为主。
5. 统一运行与维护平台
电子政务外网是一张大型的承载网络,对管理的要求也是非常重要的,其需求区别于传统简单的设备管理,需要实现一个整体的运行与维护平台。
图3 H3C基于电子政务外网的统一运行与维护平台模型 |
1) 基础网元管理平台
主要实现对电子政务外网的基础设备的管理,电子政务外网基础平台采用的设备众多,因此建议在统一的平台上来实现对基础平台不同种类的网元设备进行管理,如:网络设备、链路状态监测、安全设备、服务器等,用户可以通过管理平台实时查看全网的拓扑图(包括所有网元设备)及链路状态,便于对全网进行有效的管理。对于基础网元平台的管理建议采用统一管理平台来实现对基础网元的管理,避免配备多套管理平台带来的不便性。
2) 基础业务管理平台
除了基础的网元管理,在电子政务外网的建设中基础业务管理平台尤其重要,基础业务管理包括全网的ACL策略管理与维护、全网的设备软件版本管理与维护、QOS的管理与维护、MPLS VPN管理等,基础业务主要是将原来的多个网元自行维护的业务进行统一管理,如:ACL的管理,如果缺乏统一的业务管理平台所有的ACL都是由单台设备管理的,一旦出现策略变更,维护人员面对的将是成百上千条策略的变更,带来极大的管理维护工作量,所以具有统一的基础业务管理平台对电子政务外网的可运维性十分重要。
3) 运行与维护管理平台
运行与维护管理平台主要是对整体IT基础平台的业务分析,包括:流量分析、日志管理、配置管理等。以流量分析与管理为例:要实现对全网的流量进行分析以及对VPN内部的流量进行分析与管理,输出VPN内部的流量情况并输出报表。如:某纵向VPNa内部一周内OA数据量多少?占有多大带宽?突发流量的IP地址是哪些等。报表呈现在运行与维护管理平台中起着重要的作用。
4) 统一应用业务运行管理
统一应用业务运行管理平台主要是IT与业务流程的融合,这一部分将会涉及接口开放与定制开发,它将是电子政务外网下一步建设重点。
三、 结束语
2010年随着电子政务外网的进一步延伸与扩展,电子政务外网将进入到以业务建设为中心的后电子政务时代,其建设也将从以网络互通为中心转向以电子政务外部平台建设为中心,数据中心、统一安全、统一运行与管理等面向业务的IT建设将逐步成为电子政务的IT建设的重点,为电子政务外部业务的开展提供高效、可靠的IT基础平台。2010年势必成为电子政务外网建设的分水岭。