本文作者姜楚江是浙江省政府办公厅信息中心高级工程师,许立宪是H3C政府技术部部长。
浙江省电子政务外网的建设起步较早,从2004年开始,经历了网络规范、安全管理、业务开展等阶段,积累了大量的电子政务外网的建设经验,其中建设中的规范制定与落实、业务问题的处理与实现等经验值得大家参考。
应用背景
浙江省电子政务外网的建设自2004年开始经历了三个阶段:
2004-2006年,省级电子政务骨干网建设,完成省至11个地市的省级骨干网建设。
2006-2008年,电子政务外网二期,完成11个地市、90个县(市、区)的电子政务外网的建设。部分发达县市(如萧山等)已经延伸至乡镇,部分厅局委办的横向接入,在二期建设中依托于电子政务外网开展了部分电子政务外网的业务,包括:政府部门专网、财政国库集中支付、电子监察、数字城管等。
2008年至今,对部分区县进行了电子政务外网乡镇延伸,并下发指导文件进一步规范了整体安全。三期中加强了电子政务外网新业务-政府共享灾备的建设,实现各厅局委办的关键业务数据的集中灾备,其中灾备的管理数据通过电子政务外网平台实现承载。
客户需求
浙江省电子政务外网建设除基础骨干、路由规划、设备选型之外,其重点与业务相关的焦点需求有以下三点:
1. 省级电子政务外网建设的规范与统一。浙江省下属11个地市,每个地市的投资不同、技术实力不同、建设时间可能存在差异,如何统一、规范地对浙江省电子政务外网进行建设及接入,让各地市、区县的技术人员对电子政务外网理解一致显得尤为重要。
2. 实现三类业务的划分与互访。浙江省电子政务外网把业务划分为三类:公众服务区(政府门户网站)、资源共享区(政府部门间业务互访及Internet访问)、专用网络区(政府部门纵向业务),均承载于MPLS VPN中。
3. 实现不同终端对各个VPN的多样化访问需求。部分终端需要通过外网访问多个纵向VPN资源,以及不同终端通过外网访问各自VPN资源。如杭州数字城管,需要录入居民的各种信息,包括:婚姻、生育信息、低保信息等,而电子政务外网划分为MPLS VPN之后各个业务的信息相互隔离,如何能够实现一台终端对多个业务系统的访问?并且支持用户分组机制,针对不同的用户组实现不同的控制策略?
焦点需求解决方案
1. 省级电子政务外网建设的规范与统一。2003年浙江省建设了省至地市级的省级电子政务外网的骨干网,并下发《浙江省人民政府办公厅关于建设省电子政务网络平台的通知》(浙政办函〔2003〕88号)对各省的电子政务建设进行了要求。2004年,浙江省政府信息中心开始着手对全省的电子政务外网进行需求调研与规范制定,其整体分为四个步骤:
1) 成立电子政务外网工作小组: 2004年底,浙江省政府牵头召集了包括H3C在内的相关技术专家,开始着手对全省电子政务外网建设进行调研与统一的规范制定,包括:线路情况、设备特性支持情况、现网运行情况等。
2) 下发电子政务外网建设规范:经过半年多的调研、测试,2005年9月,浙江省下发了技术规范《浙江省人民政府办公厅关于印发浙江省电子政务网络技术规范的通知》,该技术规范从网络总体架构、网络接入及组建规范、IP地址规范、域名规范、路由策略与路由协议设计、组播设计、IPsec VPN设计、MPLS VPN规范、网络安全规范等几个方面对电子政务外网建设给出了明确的规范与要求。
3) 集中技术培训:2005年10月开始,全省各地市、区县信息中心的技术人员分四批进行集中培训,重点培训技术规范的内容,包括MPLS VPN技术知识、路由协议设计、与省对接的路由设计等多方面。参加培训的学员可以针对各自地市的电子政务情况提出问题,由电子政务外网小组成员给予解答。通过培训实现各地市、区县的信息中心人员对电子政务外网规范的了解统一、一致。
4) 电子政务外网方案审核与研讨会:各地市上报各自的电子政务外网建设方案,由省中心对方案可行性进行审核,对不满足规范或与规范不一致的部分提出修改意见。
浙江省电子政务外网的第二阶段建设历时两年多,实现了省、地市、区县电子政务外网的全省贯穿,建成后的电子政务外网与规范要求基本一致,电子政务外网的业务都能够顺利开展。
2. 实现三类业务的划分与互访
1) 业务定义:浙江省电子政务建设初期对电子政务外网提出了三类业务的划分,包括:公众服务区(政府门户网站)、资源共享区(政府部门间业务互访及Internet访问)、专用业务区(政府部门纵向业务)三类。
2) 业务间互访关系定义:对浙江省电子政务外网的三类业务间的互访关系进行了如下规定:
l 专用业务区与资源共享区通过网闸进行隔离;
l 资源共享区可以访问公众服务区,但公众服务区不允许访问资源共享区,两者存在单向互访需求;
l 互联网用户可以访问公众服务区(政府门户网站),但公众服务区只能受限访问互联网区域(仅用于服务器的补丁升级);
l 资源共享区可以访问互联网,即政府部门内部访问互联网的业务是承载于电子政务外网的资源共享区域,考虑到安全问题,互联网不能直接访问资源共享区;
l 专用业务区不能访问互联网,在外出差等移动办公用户只能利用VPE技术通过互联网受限访问部门业务专网区域。
浙江省电子政务外网通过对三类业务互访关系的定义,进一步加强了电子政务外网各业务之间的安全性,提高了部门业务专网的安全性。
3) 技术实现:
图1 三类业务的部署
l 专用业务区与资源共享区之间的访问。采用网闸进行隔离,如果要向资源共享区域更新数据可以通过网闸进行,如果要进一步提高专用业务区的安全性,可以在资源共享区的服务器上设置双网卡,并在资源共享服务器的汇聚交换机上设定ACL策略,定义可访问资源共享区域的专用业务终端。
l 资源共享区域对公众服务区的访问。资源共享区域与公众服务区之间采用防火墙进行安全隔离,并在防火墙上设置单向的ACL策略实现资源共享与公众服务区之间的单向互访。
l 资源共享区域与互联网之间的访问。政府内部人员可以访问互联网业务,在互联网出口设置防火墙,并通过单向ACL的设定实现内部人员可以访问互联网,但互联网无法访问资源共享区域。
l 公众服务区与互联网区域的访问。通过在互联网出口设置防火墙,在防火墙上设置安全策略,实现公众服务区可以访问政府门户网站,但网站服务器只能从互联网访问相关的补丁下载业务。
通过单向访问控制、网闸、防火墙等技术实现三类业务之间的互访关系,加强了三类业务间互访的安全性。(要了解更多的技术实现细节可参考本刊中《电子政务外网三种业务互访关系及实现方法》。)
3. 实现不同终端对各个VPN的多样化访问需求
1) 需求分析:单个终端访问多个业务区的需求在电子政务外网的设计阶段就已经发现,如数字城管社区服务。不同终端通过外网访问各自VPN资源的需求,如出差人员通过外网接入内部办公系统,审计人员要经常性地从外网接入到内部办公系统。骨干网络划分了MPLS VPN,这样就需要VPN接入网关不但支持隧道功能,还要同时具备基于不同的用户映射至不同VPN的功能。
2) 实现方法:采用VPE网关实现接入
图2 VPE网关实现部分终端通过外网访问多个纵向VPN资源,以及不同终端通过外网访问各自VPN资源
如上图所示:在电子政务外网与互联网之间增加VPE设备来实现对出差人员或街道社区服务站对电子政务内部业务的访问。街道社区服务站用户在一台PC上设置多个VPN连接客户端,通过输入不同的用户名/密码来实现接入到不同的纵向网络,如:A社区要分别接入到计生委、社保、财政等部门,只需要终端的PC机通过不同的用户名(A@jishengwei、A@shebao、A@caizheng)和密码就可以接入不同的纵向VPN系统内。对于出差人员来说同样适用,如审计部门人员B经由外网接入到内部,只需要在便携机的VPN客户端输入用户名B@shenji、密码***,接入VPE网关,VPE设备会根据用户的域名进行MPLS VPN的映射,即:@shenji的用户映射至审计的纵向VPN,从而实现对不同部门用户的区分和VPN内的资源访问。
由于政府目前绝大部分用户在认证时都需要使用CA证书,VPE认证时除了对用户名/密码进行验证外,还要能够支持对CA证书的携带与验证,所以往往需要对客户端做定制化的设置。(更多技术实现可以参考本刊中《VPE技术在电子政务外网的应用》。)
总结
浙江省电子政务外网的建设是以业务需求为导向的建设,其在规范制定与下发、关键业务需求分析与技术论证等多方面都是按计划、有步骤的进行,这使得其实施结果与建设目标相匹配,其中很多思路值得大家参考。