何黎明 何光明 江西省信息中心 南昌市 330046

0 引言

推進(jìn)“互聯(lián)網(wǎng)+政務(wù)”工作是黨中央、國(guó)務(wù)院作出的一項(xiàng)重大決策部署。不少政府部門通過加快移動(dòng)辦公服務(wù)平臺(tái)和建設(shè)，有效解決了群眾“辦事難”、“辦事慢”等問題。在此形勢(shì)下，政務(wù)外網(wǎng)承載業(yè)務(wù)應(yīng)用的重要程度和深度廣度日益提升，政務(wù)外網(wǎng)用戶（公務(wù)員、執(zhí)法人員、企事業(yè)單位、公眾用戶等）通過互聯(lián)網(wǎng)、移動(dòng)網(wǎng)絡(luò)等公共網(wǎng)絡(luò)開展移動(dòng)辦公、現(xiàn)場(chǎng)執(zhí)法、數(shù)據(jù)上報(bào)等安全接入業(yè)務(wù)的需求越來越多，特別是鄉(xiāng)鎮(zhèn)、村級(jí)用戶非專網(wǎng)接入和移動(dòng)辦公用戶接入政務(wù)外網(wǎng)的需求越來越大，用戶通過移動(dòng)方式接入各廳局業(yè)務(wù)系統(tǒng)的需求日漸明顯，如何建設(shè)一個(gè)全省統(tǒng)一的政務(wù)外網(wǎng)安全接入平臺(tái)成為擺在全省政務(wù)外網(wǎng)管理者面前的一個(gè)難題。

1 面臨的問題和需求分析

目前，全省電子政務(wù)外網(wǎng)覆蓋了省市縣鄉(xiāng)，但并沒有延伸到村（社區(qū)），雖然按照效率優(yōu)先、節(jié)約投資、滿足需求的原則，部分廳局和部分地區(qū)建設(shè)了各自的安全接入VPN系統(tǒng)，各自的用戶通過互聯(lián)網(wǎng)就能夠安全地聯(lián)入電子政務(wù)外網(wǎng)。但是基于“互聯(lián)網(wǎng)+政務(wù)”環(huán)境下，這些零散系統(tǒng)的功能和性能存在較大不足。一是各自安全接入平臺(tái)結(jié)構(gòu)簡(jiǎn)單，沒有冗余備份，而且存在設(shè)備重復(fù)利用的情況，可靠性差；二是各自平臺(tái)支撐的用戶數(shù)量不多，難以支撐好各類業(yè)務(wù)應(yīng)用及聯(lián)網(wǎng)用戶各類需求；三是安全防護(hù)能力較弱，安全設(shè)備的部署不到位，不能滿足國(guó)家政務(wù)外網(wǎng)安全接入平臺(tái)技術(shù)規(guī)范要求。

“互聯(lián)網(wǎng)+政務(wù)”環(huán)境下的政務(wù)終端具有移動(dòng)性，便攜性等特點(diǎn)，消除了時(shí)間和地域的限制。因此，如何利用互聯(lián)網(wǎng)、運(yùn)營(yíng)商公共承載網(wǎng)等基礎(chǔ)網(wǎng)絡(luò)，為不具備專線接入政務(wù)外網(wǎng)的各級(jí)政務(wù)部門、移動(dòng)辦公人員、現(xiàn)場(chǎng)執(zhí)法人員、企事業(yè)單位和公眾用戶等接入對(duì)象，通過計(jì)算機(jī)、智能終端等多種類型終端或接入網(wǎng)關(guān)，通過全省電子政務(wù)外網(wǎng)安全接入平臺(tái)，安全地接入到政務(wù)外網(wǎng)內(nèi)部網(wǎng)絡(luò)或業(yè)務(wù)應(yīng)用服務(wù)系統(tǒng)，實(shí)現(xiàn)安全、便捷、高效辦公，是全省政務(wù)外網(wǎng)安全接入平臺(tái)急需解決的困惑。

2 平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)

全省電子政務(wù)外網(wǎng)安全接入平臺(tái)方案的設(shè)計(jì)，必須首先考慮作為政府部門的安全性要求，同時(shí)需要符合計(jì)算機(jī)信息系統(tǒng)的安全等級(jí)保護(hù)要求，在進(jìn)行電子政務(wù)安全接入平臺(tái)方案設(shè)計(jì)時(shí)，必須充分考慮通過互聯(lián)網(wǎng)接入內(nèi)部辦公網(wǎng)絡(luò)、智能終端快速發(fā)展所帶來的各種安全隱患。

考慮到經(jīng)濟(jì)型、技術(shù)合理、初期的用戶數(shù)等多種因素，全省電子政務(wù)外網(wǎng)安全接入平臺(tái)宜采用省、市兩級(jí)部署，省級(jí)和11個(gè)設(shè)區(qū)市分別部署一套安全接入平臺(tái)，采用分級(jí)屬地化原則進(jìn)行接入。每套安全接入平臺(tái)應(yīng)部署VPN接入?yún)^(qū)、接入認(rèn)證區(qū)、接入管理區(qū)、移動(dòng)安全管理平臺(tái)。各級(jí)移動(dòng)辦公用戶或不具備專線的用戶通過互聯(lián)網(wǎng)或運(yùn)營(yíng)商公共承載網(wǎng)絡(luò)，經(jīng)安全接入平臺(tái)聯(lián)入政務(wù)外網(wǎng)?？紤]到投入成效比，市級(jí)安全接入平臺(tái)先行部署VPN接入?yún)^(qū)、接入認(rèn)證區(qū)、接入管理區(qū)，以滿足基本業(yè)務(wù)應(yīng)用的承載。

在VPN接入?yún)^(qū)部署SSL VPN設(shè)備和防火墻設(shè)備，作為電子政務(wù)安全接入平臺(tái)身份認(rèn)證和鏈路認(rèn)證設(shè)備。在接入認(rèn)證區(qū)部署認(rèn)證設(shè)備，統(tǒng)一對(duì)入網(wǎng)終端PC、移動(dòng)用戶的合法性進(jìn)行驗(yàn)證。在接入管理區(qū)部署管理平臺(tái)，對(duì)平臺(tái)設(shè)備和平臺(tái)日志進(jìn)行監(jiān)控和管理。在移動(dòng)安全管理平臺(tái)部署移動(dòng)終端管理設(shè)備，負(fù)責(zé)對(duì)需要接入政務(wù)外網(wǎng)的手機(jī)、平板電腦等移動(dòng)終端提供統(tǒng)一安全接入認(rèn)證的入口，并進(jìn)行設(shè)備管理、應(yīng)用管理、內(nèi)容管理的安全管理服務(wù)。為確保內(nèi)部數(shù)據(jù)安全，采用國(guó)密SM4算法對(duì)數(shù)據(jù)進(jìn)行加密。采用基于SSL VPN設(shè)備的網(wǎng)絡(luò)Hook SDK包作為智能終端APP應(yīng)用集成使用，確保智能終端設(shè)備可以通過VPN設(shè)備實(shí)現(xiàn)身份認(rèn)證、鏈路加密等功能。

2.1 省級(jí)設(shè)備部署

省級(jí)政務(wù)外網(wǎng)安全接入平臺(tái)部署四臺(tái)防火墻、兩臺(tái)VPN網(wǎng)關(guān)、一臺(tái)移動(dòng)安全管理平臺(tái)設(shè)備、兩臺(tái)匯聚交換機(jī)及認(rèn)證等設(shè)備，各設(shè)備互聯(lián)采用千兆線路連接。VPN網(wǎng)關(guān)和防火墻宜采用雙機(jī)熱備組網(wǎng)。通過配置VRRP協(xié)議，兩臺(tái)設(shè)備對(duì)外提供一個(gè)公網(wǎng)IP地址供用戶訪問，兩臺(tái)設(shè)備之間通過協(xié)議進(jìn)行配置信息及會(huì)話信息的同步。當(dāng)一臺(tái)設(shè)備故障時(shí)，VPN業(yè)務(wù)能夠快速切換到另一臺(tái)VPN網(wǎng)關(guān)設(shè)備，保證了業(yè)務(wù)的平穩(wěn)正常運(yùn)行。當(dāng)主設(shè)備恢復(fù)后，設(shè)備上所有已建立的連接無縫切換到原備設(shè)備上，VPN隧道無需重新建立，當(dāng)前業(yè)務(wù)不中斷，設(shè)備切換對(duì)用戶無感知。AD服務(wù)器采用雙機(jī)模式部署，作為用戶名認(rèn)證服務(wù)器使用。應(yīng)用身份認(rèn)證網(wǎng)關(guān)采用雙機(jī)旁路模式部署。網(wǎng)絡(luò)認(rèn)證功能由VPN網(wǎng)關(guān)完成。省級(jí)安全接入平臺(tái)部署圖如圖1所示：

圖1 省級(jí)安全接入平臺(tái)部署圖

2.2 市級(jí)設(shè)備部署

市級(jí)政務(wù)外網(wǎng)安全接入平臺(tái)初期部署一臺(tái)防火墻、一臺(tái)VPN網(wǎng)關(guān)、一臺(tái)匯聚交換機(jī)及認(rèn)證等設(shè)備，各設(shè)備互聯(lián)采用千兆線路連接。VPN網(wǎng)關(guān)設(shè)備采用旁掛模式連接防火墻，實(shí)現(xiàn)數(shù)據(jù)進(jìn)、出均能被防火墻防護(hù)。配置一臺(tái)日志服務(wù)器，用于記錄VPN網(wǎng)關(guān)和防火墻日志；配置一臺(tái)AD服務(wù)器，作為用戶名認(rèn)證服務(wù)器使用；網(wǎng)絡(luò)認(rèn)證功能由VPN網(wǎng)關(guān)完成。市級(jí)安全接入平臺(tái)部署圖如圖2所示：

圖2 市級(jí)安全接入平臺(tái)部署圖

通過政務(wù)外網(wǎng)安全接入平臺(tái)訪問政務(wù)外網(wǎng)業(yè)務(wù)的傳統(tǒng)終端電腦，首先通過安裝在終端中的SSL VPN客戶端與SSL VPN設(shè)備連接，經(jīng)過網(wǎng)絡(luò)準(zhǔn)入認(rèn)證后加密訪問政務(wù)外網(wǎng)內(nèi)部業(yè)務(wù)應(yīng)用系統(tǒng)。SSL VPN正常連通時(shí)，整個(gè)鏈路數(shù)據(jù)采用128位AES算法進(jìn)行加密傳輸，同時(shí)傳統(tǒng)終端電腦上的正常桌面均不能訪問互聯(lián)網(wǎng)數(shù)據(jù)，但可以訪問政務(wù)外網(wǎng)內(nèi)部辦公業(yè)務(wù)。

智能手機(jī)終端首先需要安裝進(jìn)過二次開發(fā)的手機(jī)app軟件，通過智能終端中安裝的手機(jī)APP軟件與SSL VPN設(shè)備相連接，經(jīng)過網(wǎng)絡(luò)準(zhǔn)入認(rèn)證后，用戶可直接訪問已授權(quán)的資源。在訪問內(nèi)部辦公數(shù)據(jù)過程中，整個(gè)鏈路數(shù)據(jù)采用128位AES算法進(jìn)行加密傳輸，保證鏈路傳輸中數(shù)據(jù)的安全性。

全省電子政務(wù)外網(wǎng)安全接入平臺(tái)部署完成后，應(yīng)進(jìn)入測(cè)試階段。測(cè)試主要從傳統(tǒng)終端和智能終端兩方面進(jìn)行測(cè)試，主要測(cè)試內(nèi)部辦公業(yè)務(wù)是否能夠安全、正常、便捷運(yùn)轉(zhuǎn)，確定平臺(tái)已基本滿足政府移動(dòng)辦公所需的安全、便捷等要求，才能正式上線運(yùn)行。

3 結(jié)束語

本論文來源于國(guó)家電子政務(wù)外網(wǎng)安全安全接入平臺(tái)試點(diǎn)省的建設(shè)經(jīng)驗(yàn)總結(jié)，依據(jù)《國(guó)家電子政務(wù)外網(wǎng)安全接入平臺(tái)技術(shù)規(guī)范》，充分結(jié)合“互聯(lián)網(wǎng)+政務(wù)”環(huán)境我省業(yè)務(wù)應(yīng)用的實(shí)際需求，開展我省政務(wù)外網(wǎng)安全接入平臺(tái)相關(guān)研究工作。期間，梳理了政務(wù)外網(wǎng)安全接入平臺(tái)方面的具體需求。在需求分析的基礎(chǔ)上，結(jié)合當(dāng)前安全接入的主流技術(shù)，設(shè)計(jì)平臺(tái)的總體功能架構(gòu)，整理安全接入業(yè)務(wù)流程，形成政務(wù)外網(wǎng)安全接入平臺(tái)的整體方案，并最終部署實(shí)現(xiàn)。同時(shí)，經(jīng)過測(cè)試并實(shí)際應(yīng)用，包括十多個(gè)廳局用戶的案例使用，特別是省委組織部全國(guó)黨員管理信息系統(tǒng)全省10.8萬基層黨組織的測(cè)試使用，驗(yàn)證了本論文所研究的安全接入平臺(tái)架構(gòu)能夠?qū)崿F(xiàn)了預(yù)期目標(biāo)。一是實(shí)現(xiàn)了面向不同用戶類型（不具備專線接入條件的各級(jí)政務(wù)部門、移動(dòng)辦公用戶、現(xiàn)場(chǎng)執(zhí)法人員、企事業(yè)單位和公眾用戶等）、多種公用網(wǎng)絡(luò)（互聯(lián)網(wǎng)、2G/3G/4G網(wǎng)絡(luò)、VPDN等）和各類終端設(shè)備（計(jì)算機(jī)、智能終端、專用執(zhí)法設(shè)備等）的一體化解決方案；二是課題中形成的政務(wù)外網(wǎng)安全接入平臺(tái)整體設(shè)計(jì)思路與解決方案, 在平臺(tái)設(shè)計(jì)、功能劃分以及應(yīng)用對(duì)接等方面，將為“互聯(lián)網(wǎng)+政務(wù)”環(huán)境下的各級(jí)接入政務(wù)部門提供便捷安全的接入業(yè)務(wù)支撐，為各級(jí)政務(wù)外網(wǎng)安全接入平臺(tái)建設(shè)提供指導(dǎo)和參考，也可為其他領(lǐng)域和行業(yè)同類平臺(tái)的設(shè)計(jì)與建設(shè)提供有益的參考和借鑒。

[1]楊陽 蔡明敏.“基于SSL VPN的安全接入平臺(tái)設(shè)計(jì)與實(shí)現(xiàn)”. 科技展望.2015年第33卷

[2]宋超.“電子政務(wù)安全接入平臺(tái)方案設(shè)計(jì)與實(shí)現(xiàn)”.青島大學(xué).2014

[3]李堅(jiān). 移動(dòng)電子政務(wù)安全設(shè)計(jì)與實(shí)現(xiàn)[D]. 吉林大學(xué),2015.