省級(jí)政務(wù)部門互聯(lián)網(wǎng)出口整合設(shè)計(jì)研究

彭云峰

摘要：論文提出依托省電子政務(wù)外網(wǎng)，通過(guò)采用MPLS VPN技術(shù)，整合構(gòu)建省級(jí)政務(wù)部門統(tǒng)一的互聯(lián)網(wǎng)出口，加強(qiáng)統(tǒng)一安全監(jiān)控，提升網(wǎng)絡(luò)安全防護(hù)能力，滿足各單位依托電子政務(wù)外網(wǎng)開展面向公眾、服務(wù)民生的業(yè)務(wù)應(yīng)用。

關(guān)鍵詞：電子政務(wù)外網(wǎng)；互聯(lián)網(wǎng)出口；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393.4 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2018）22-0307-02

Abstract： The dissertation proposes to rely on the provincial e-government extranet， adopts MPLS VPN technology， integrates and constructs a unified Internet export of the provincial government departments， strengthens unified security monitoring， enhances network security protection capabilities， and satisfies all units relying on e-government extranet to develop services to the public and services. Livelihood business applications.

Key words： E-government Network； Internet Export； Cyber Security

1 引言

隨著信息化的發(fā)展，我國(guó)電子政務(wù)取得了階段性成果，互聯(lián)網(wǎng)在各級(jí)政府部門得到了廣泛應(yīng)用，為履行政府職能發(fā)揮了重要的支撐作用。同時(shí)，由于缺乏統(tǒng)一規(guī)劃和管理，大部分政府部門分散接入互聯(lián)網(wǎng)，各個(gè)互聯(lián)網(wǎng)出口單獨(dú)運(yùn)行、維護(hù)，由于設(shè)備不到位或技術(shù)人員管理水平差異，造成互聯(lián)網(wǎng)出口成為當(dāng)前政府信息系統(tǒng)安全管理的薄弱環(huán)節(jié)，導(dǎo)致網(wǎng)絡(luò)安全事件和網(wǎng)絡(luò)失泄密事件不斷發(fā)生[1]。

本文主要針對(duì)省級(jí)政務(wù)部門互聯(lián)網(wǎng)出口接入分散、安全保障和管理缺乏有效手段等問(wèn)題，提出了依托省電子政務(wù)外網(wǎng)，通過(guò)采用MPLS VPN技術(shù)，整合構(gòu)建省級(jí)統(tǒng)一的互聯(lián)網(wǎng)出口，縮減政府部門互聯(lián)網(wǎng)接入數(shù)量，加強(qiáng)互聯(lián)網(wǎng)的統(tǒng)一安全監(jiān)控，提升網(wǎng)絡(luò)安全防護(hù)能力，滿足各單位依托省電子政務(wù)外網(wǎng)開展面向公眾、服務(wù)民生的業(yè)務(wù)應(yīng)用。

2 現(xiàn)狀情況

經(jīng)過(guò)對(duì)安徽省省級(jí)政務(wù)部門互聯(lián)網(wǎng)接入情況進(jìn)行調(diào)查顯示：

1） 省級(jí)各政務(wù)部門互聯(lián)網(wǎng)接入有兩種情況：一是黨政機(jī)關(guān)集中辦公的大型行政樓，互聯(lián)網(wǎng)出口統(tǒng)一由同一電信運(yùn)營(yíng)商提供，二是地理位置分散的單位，互聯(lián)網(wǎng)出口各自租用，且多數(shù)單位只有一個(gè)。

2） 多數(shù)單位通過(guò)電信公司接入互聯(lián)網(wǎng)，少數(shù)單位通過(guò)移動(dòng)或聯(lián)通公司接入互聯(lián)網(wǎng)。

3） 大部分省級(jí)政務(wù)部門的互聯(lián)網(wǎng)接入帶寬為100-200M。

3 整合需求

本次互聯(lián)網(wǎng)出口整合主要實(shí)現(xiàn)省行政中心園區(qū)外分散辦公的省級(jí)政務(wù)部門互聯(lián)網(wǎng)出口的整合。詳細(xì)需求如下：

1） 基于省電子政務(wù)外網(wǎng)構(gòu)建，在現(xiàn)有各單位對(duì)外發(fā)布系統(tǒng)的公網(wǎng)IP地址不變，帶寬不變的前提下進(jìn)行，保障各單位日常辦公和外發(fā)布業(yè)務(wù)系統(tǒng)的穩(wěn)定性。

2） 建設(shè)周期短，主要實(shí)現(xiàn)省級(jí)各政務(wù)部門互聯(lián)網(wǎng)流量的匯聚，便于下一步的集中管理和統(tǒng)一的安全監(jiān)測(cè)。

3） 建設(shè)安全監(jiān)測(cè)區(qū)，對(duì)統(tǒng)一互聯(lián)網(wǎng)出口進(jìn)行安全監(jiān)測(cè)。

4） 在省電子政務(wù)外網(wǎng)中心機(jī)房建設(shè)。

4 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

4.1 電子政務(wù)外網(wǎng)邏輯分區(qū)介紹

電子政務(wù)外網(wǎng)在邏輯上劃分為三個(gè)不同分區(qū)，為：公用網(wǎng)絡(luò)區(qū)、專用網(wǎng)絡(luò)區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)，三個(gè)分區(qū)之間通過(guò)VPN技術(shù)實(shí)現(xiàn)邏輯隔離。其中公用網(wǎng)絡(luò)區(qū)實(shí)現(xiàn)各級(jí)政務(wù)部門之間互聯(lián)互通的邏輯業(yè)務(wù)區(qū)，承載跨地區(qū)、跨部門的業(yè)務(wù)；專用網(wǎng)絡(luò)區(qū)采用MPLSVPN技術(shù)構(gòu)建，主要承載政務(wù)部門特定需求的業(yè)務(wù)；互聯(lián)網(wǎng)接入?yún)^(qū)是實(shí)現(xiàn)電子政務(wù)外網(wǎng)連接互聯(lián)網(wǎng)的邏輯業(yè)務(wù)區(qū)，承載政務(wù)部門面向企業(yè)和公眾服務(wù)的業(yè)務(wù)，提供政務(wù)部門工作人員訪問(wèn)互聯(lián)網(wǎng)資源的網(wǎng)絡(luò)通道。

4.2 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)

根據(jù)安徽省現(xiàn)狀情況，依托省電子政務(wù)外網(wǎng)平臺(tái)，借助各電信運(yùn)營(yíng)商網(wǎng)絡(luò)匯聚整合分散在省行政中心園區(qū)外各單位的互聯(lián)網(wǎng)流量，在省電子政務(wù)外網(wǎng)機(jī)房整合建設(shè)統(tǒng)一的互聯(lián)網(wǎng)出口，并建設(shè)安全管理區(qū)，對(duì)各省直單位的互聯(lián)網(wǎng)流量進(jìn)行安全監(jiān)測(cè)。整合后的互聯(lián)網(wǎng)整體建設(shè)在省電子政務(wù)外網(wǎng)的互聯(lián)網(wǎng)接入?yún)^(qū)。省級(jí)政務(wù)部門統(tǒng)一互聯(lián)網(wǎng)出口總體網(wǎng)絡(luò)架構(gòu)如圖1所示。

在省政務(wù)部門前端配置一臺(tái)邊界路由器，連接各單位的內(nèi)部局域網(wǎng)，在省電子政務(wù)外網(wǎng)機(jī)房分別配置各運(yùn)營(yíng)商互聯(lián)網(wǎng)出口的核心交換機(jī)，核心交換機(jī)再連接各運(yùn)營(yíng)商的互聯(lián)網(wǎng)，同時(shí)，在電信運(yùn)營(yíng)商連接用戶單位的接入路由器和核心交換機(jī)之間建立MPLS VPN通道，通過(guò)MPLS VPN技術(shù)統(tǒng)一將各單位的互聯(lián)網(wǎng)流量匯聚到省電子政務(wù)外網(wǎng)機(jī)房，達(dá)到互聯(lián)網(wǎng)出口整合的設(shè)計(jì)要求。

4.2.1 部門邊界設(shè)計(jì)

在省政務(wù)部門前端配置一臺(tái)邊界路由器，對(duì)下連接各單位的出口防火墻，連接各單位的局域網(wǎng)，對(duì)上連接省電子政務(wù)外網(wǎng)和互聯(lián)網(wǎng)，用戶可通過(guò)路由器的NAT轉(zhuǎn)換功能，將私網(wǎng)地址轉(zhuǎn)換成外網(wǎng)地址后訪問(wèn)電子政務(wù)外網(wǎng)，或經(jīng)運(yùn)營(yíng)商線路通過(guò)MPLS VPN通道直接訪問(wèn)互聯(lián)網(wǎng)。部門邊界路由器可區(qū)分外網(wǎng)業(yè)務(wù)流量和互聯(lián)網(wǎng)業(yè)務(wù)流， 也可連接多家運(yùn)營(yíng)商的互聯(lián)網(wǎng)，即符合國(guó)家電子政務(wù)外網(wǎng)標(biāo)準(zhǔn)規(guī)范的要求，又便于下一步流量的監(jiān)控。

4.2.2 安全管理區(qū)設(shè)計(jì)

建設(shè)安全管理區(qū)，在省電子政務(wù)外網(wǎng)機(jī)房配置TAP交換機(jī)，旁接到核心交換機(jī)上，通過(guò)鏡像將數(shù)據(jù)復(fù)制到TAP交換機(jī)，TAP交換機(jī)可根據(jù)IP地址、Vlan、數(shù)據(jù)包等規(guī)則進(jìn)行分流，將數(shù)據(jù)復(fù)制到多個(gè)端口供多臺(tái)設(shè)備同時(shí)進(jìn)行監(jiān)測(cè)分析，從而實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)流量的安全監(jiān)測(cè)。

4.2.3 備份通道設(shè)計(jì)

在部門邊界路由器與省電子政務(wù)外網(wǎng)核心路由器之間可建立IPSec VPN隧道，當(dāng)部門電子政務(wù)外網(wǎng)專線故障時(shí)，路由器BFD協(xié)議檢測(cè)到后，可通過(guò)IPSec VPN隧道訪問(wèn)電子政務(wù)外網(wǎng)，從而實(shí)現(xiàn)電子政務(wù)外網(wǎng)專線備份的作用。

4.2.4 數(shù)據(jù)流分析

相關(guān)互聯(lián)網(wǎng)數(shù)據(jù)流、政務(wù)外網(wǎng)數(shù)據(jù)流以及備份數(shù)據(jù)流情況如下：

1） 互聯(lián)網(wǎng)數(shù)據(jù)流。省政務(wù)部門用戶訪問(wèn)互聯(lián)網(wǎng)時(shí)，所產(chǎn)生的流量經(jīng)過(guò)部門邊界路由器至省電子政務(wù)外網(wǎng)機(jī)房互聯(lián)網(wǎng)出口區(qū)的核心交換機(jī)，通過(guò)MPLS VPN通道實(shí)現(xiàn)互聯(lián)網(wǎng)訪問(wèn)。

2） 政務(wù)外網(wǎng)數(shù)據(jù)流。省政務(wù)部門用戶訪問(wèn)政務(wù)外網(wǎng)時(shí)，所產(chǎn)生的流量經(jīng)過(guò)部門邊界路由器NAT轉(zhuǎn)換后直接到達(dá)省電子政務(wù)外網(wǎng)城域網(wǎng)，實(shí)現(xiàn)電子政務(wù)外網(wǎng)訪問(wèn)。

3） 備份數(shù)據(jù)流。當(dāng)省政務(wù)部門上連省電子政務(wù)外網(wǎng)的線路故障時(shí)，所產(chǎn)生的流量經(jīng)過(guò)部門邊界路由器至互聯(lián)網(wǎng)出口區(qū)的核心交換機(jī)，由核心交換機(jī)轉(zhuǎn)發(fā)至運(yùn)營(yíng)商邊界處的政務(wù)外網(wǎng)接入路由器，再至電子政務(wù)外網(wǎng)的核心路由器，通過(guò)IPSec VPN隧道實(shí)現(xiàn)電子政務(wù)外網(wǎng)訪問(wèn)?；ヂ?lián)網(wǎng)出口整合后的數(shù)據(jù)流如圖2所示。

5 設(shè)計(jì)方案特點(diǎn)

該設(shè)計(jì)方案主要呈現(xiàn)以下幾方面特點(diǎn)：

1） 改造范圍小。各單位內(nèi)部局域網(wǎng)和互聯(lián)網(wǎng)接入線路無(wú)需變動(dòng)，僅需在互聯(lián)網(wǎng)出口做改造，電信運(yùn)營(yíng)商遠(yuǎn)程修改相關(guān)數(shù)據(jù)即可完成互聯(lián)網(wǎng)流量的匯聚遷移。

2） 建設(shè)周期短。施工周期短、部署快。

3） 可形成外網(wǎng)備份通道?？赏ㄟ^(guò)運(yùn)營(yíng)商互聯(lián)網(wǎng)線路搭建電子政務(wù)外網(wǎng)VPN通道，當(dāng)上連政務(wù)外網(wǎng)線路故障時(shí)，可以建立電子政務(wù)外網(wǎng)的備份通道。

4） 協(xié)同運(yùn)維，提高服務(wù)質(zhì)量。根據(jù)與各省政務(wù)部門、電信運(yùn)營(yíng)商的邊界和責(zé)任內(nèi)容，各司其職，協(xié)同運(yùn)維，可不斷提高服務(wù)質(zhì)量和水平。

5） 實(shí)現(xiàn)互聯(lián)網(wǎng)的邏輯隔離。在電子政務(wù)外網(wǎng)平臺(tái)上通過(guò)MPLS VPN技術(shù)可將互聯(lián)網(wǎng)流量和外網(wǎng)流量實(shí)現(xiàn)邏輯隔離。

6 結(jié)束語(yǔ)

本文研究了省級(jí)政務(wù)部門互聯(lián)網(wǎng)的接入現(xiàn)狀和需求，提出了一種依托省電子政務(wù)外網(wǎng)整合構(gòu)建統(tǒng)一互聯(lián)網(wǎng)出口的方案，設(shè)計(jì)了省級(jí)政務(wù)部門互聯(lián)網(wǎng)出口整合的總體網(wǎng)絡(luò)架構(gòu)，通過(guò)借助電信運(yùn)營(yíng)商網(wǎng)絡(luò)可構(gòu)建統(tǒng)一的互聯(lián)網(wǎng)出口，同時(shí)又能形成省電子政務(wù)外網(wǎng)的備份通道，既滿足統(tǒng)一安全監(jiān)控的需要，又滿足各單位依托電子政務(wù)外網(wǎng)開展面向公眾、服務(wù)民生的業(yè)務(wù)應(yīng)用。

參考文獻(xiàn)：

[1] 劉盛輝，朱志祥，任學(xué)強(qiáng).政府部門互聯(lián)網(wǎng)安全接入技術(shù)架構(gòu)[J].西安郵電大學(xué)學(xué)報(bào)，2012，17（3）：98-101.

[2] 肖冰.政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口若干問(wèn)題研究[J].深圳信息職業(yè)技術(shù)學(xué)院學(xué)報(bào)，2007，5（1）：63；64-66.

[3] 周蓉蓉.構(gòu)建公安消防信息網(wǎng)內(nèi)外網(wǎng)邊界接入平臺(tái)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（12）：46-51.

[4] 閻彩英.淺析電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)出口的安全技術(shù)構(gòu)架[J].中國(guó)信息界，2011（2）：38-40.

[5] 劉濤.計(jì)算機(jī)網(wǎng)絡(luò)安全問(wèn)題的應(yīng)對(duì)策略[J].硅谷，2011，8（20）：146.