1、云南省电子政务外网云南省电子政务外网网络平台建设网络平台建设电子政务论文答辩概述概述主要包括:网络平台逻辑规划 网络平台逻辑架构设计 QoS设计 可靠性设计 网络安全保障措施等本文主要描述如何在云南省电子政务专网基础之上建设云南省电子政务外网网络平台云南省电子政务网络建设现状云南省电子政务网络建设现状 从2003年起,我省陆续开展了电子政务一、二、三、四期工程,建成了覆盖省级各委办厅局、16州市、129个县的云南省电子政务专网;政务专网基于云南电信独立的传输网,采用SDH、ATM、帧中继构建了省州市县三级的“王”字型的骨干网,提供了VPDN接入方式,并与互联网物理隔离;政务专网基础设施由各级电
2、子政务网络管理中心分级负责运行维护。存在的问题存在的问题 根据国家电子政务网总体规划,我国电子政务网划分为非涉密的政务外网和涉密政务内网。我省电子政务网建于2003年,并经过四期政务网络建设,但仅建设了云南省电子政务专网,且政务专网定位于政府非涉密应用,却又与互联网物理隔离,网络基础设施设计和管理与国家规划不协调。我省政务外网网络平台建设目标和任务我省政务外网网络平台建设目标和任务 目标充分整合已有网络资源,建立标准统一、功能完善、安全可靠的电子政务统一外网平台。最大限度地有效保护已有投资,减少重复建设,降低建网成本,实现“借船出海”。任务1.建设和整合统一的电子政务外网网络;2.实现政务外网
3、内部受控互访及逻辑隔离;3.确保政务外网网络安全;4.建立统一的政务外网服务管理平台。关键技术关键技术 MPLS VPN多协议标记交换虚拟专用网。网闸只支持单向网络连接,保证内外网在物理链路层上是完全断开的。VPEVPE=IP VPN网关+PE,解决MPLS VPN技术与IP VPN技术各自为政的问题。VPDN虚拟私有拨号网络。逻辑规划逻辑规划 专用网络区:专用网络区:承载各部门内部专属业务,多个部门间协同业务。可同时存在多个专用网络区。公共网络区:公共网络区:承载部门间公共业务。仅存在1个公共网络区。互联网接入区:互联网接入区:构建在因特网上,面向社会公众服务的一个网络。主要承载信息公开、信
4、息查询、全省政府门户网站等重要应用。仅存在1个互联网接入区。逻辑架构设计逻辑架构设计1.公共网络区设计公共网络区设计 2.专用网络区设计专用网络区设计 3.互联网接入区设计互联网接入区设计 4.部门多区域接入设计部门多区域接入设计 5.网络平台逻辑架构总框图网络平台逻辑架构总框图 1.1.公共网络区设计公共网络区设计 公共网络区内各政务部门信息交互及公共网络区内各政务部门信息交互及VPDNVPDN接入接入全省政务外网内各部门通过公共网络区实现公共信息交互,获取省网络服务管理中心提供的Web DNSEmail等服务,也可自行建立本部门DMZ。暂时无法通过专线接入的部门,可使用VPDN拨号方式接入
5、公共网络区,获取与其他专线方式接入部门相同的功能。公共网络区内的所有部门可以访问互联网公共网络区内的所有部门可以访问互联网各级政务部门或用户通过对等级别的网络服务管理中心、运维中心与互联网的出口访问互联网。若部分县级电子政务外网用户对互联网的访问流量较小(红色虚线),直接通过对应上级(州、市级)网络运维中心访问互联网,从而节约运行维护成本。通过互联网接入公共网络区通过互联网接入公共网络区 在公共网络区边缘,省级网络管理服务中心与互联网的出口处放置VPN网关,提供通过互联网安全接入政务外网公共网络区的途径(如IPSec VPN、SSL VPN)2.2.专用网络区设计专用网络区设计同一部门纵向建立
6、部门专用网络区同一部门纵向建立部门专用网络区依托政务外网传输通道,在公共网络区内通过MPLS VPN建立纵向部门专网VPN,部门专网之间不能互访、部门专网与公共网络区逻辑隔离。如民政专网民政专网(蓝线)与工商专网工商专网(红线)虽均承载于政务外网,但两者相互独立,不能互访(蓝线与红线无交叉),且对于公共网络区的其他部门无到达路径(即黑线不能接入蓝线或红线中),实现逻辑隔离。不同部门纵横交错建立专用网络区不同部门纵横交错建立专用网络区依托政务外网传输通道,为各个重要的跨部门公共业务建立纵横交错的业务专网VPN。跨部门业务专网与其他专网之间不能互访、跨部门业务专网与公共网络区逻辑隔离。如民政国税业
7、务专网民政国税业务专网(蓝线)承载于政务外网,但与其他专网相互独立,不能互访,且对于公共网络区的其他部门无到达路径(即黑线不能接入蓝线或红线中),实现逻辑隔离。专用网络区与公共网络区的受控互访专用网络区与公共网络区的受控互访 网闸保证了任意时刻民政部门专网与公共网络区间没有物理链路层连接,数据只能以专用数据块方式静态的在民政部门专网与公共网络区间进行“摆渡”完成数据的隔离与交换。可通过可通过VPDNVPDN或互联网接入专用网络区或互联网接入专用网络区 VPE(VPN PE)作为PE设备与电子政务外网骨干网连接,并可与各专网通过MPLS VPN建立连接,VPDN及互联网接入用户仅通过SSL VP
8、N(紫线)接入政务外网专用网络区。3.3.互联网接入区设计互联网接入区设计 面向互联网用户提供服务的互联网接入区面向互联网用户提供服务的互联网接入区 互联网接入区承载为公众提供信息公开、信息查询、全省政府门户网站等重要应用,通过网络安全措施保障互联网接入区安全,并提供政务外网网内各部门安全更新应用服务器数据的途径4.4.部门多区域接入设计部门多区域接入设计 部门多区域接入部门多区域接入通过一条物理链路便可同时接入政务外网内3个区域。如:在省民政使用PE设备接入电子政务外网骨干网,同时在PE设备下连接2个CE设备,一个用于专用网络区,另一个用于公共网络区和互联网接入区。省质监没有建立专用网络区,
9、则直接使用CE设备接入。5.5.网络平台逻辑架构总框图网络平台逻辑架构总框图 网络平台逻辑架构总框图网络平台逻辑架构总框图 QoS QoS 设计设计 为不同的组(政务部门、应用等)提供不同的服务级别 为提供给特定组或应用程序的网络服务设置优先级 发现和消除网络瓶颈区域以及其他形式的拥塞 监视网络性能并提供性能统计信息 控制进出网络资源的带宽QoS QoS 服务模型服务模型 传统的QoS服务模型DiffServ(区别服务),当核心路由器上出现拥塞时,区别服务模型以牺牲低优先级的业务为代价换来高优先业务的QoS,但并没有消除拥塞。因此当拥塞严重时仍然会损伤高优先级的业务。云南省电子政务外网网络平台
10、设计使用混合模型HAMD(Hybrid Architecture by MPLS and DiffServ)。混合模型继承DiffServ对IP QoS的实现并提供良好的扩展性,并由于使用MPLS技术,克服了传统IP网络的无连接传输无法控制业务的传输路径,同时MPLS技术的高转发速度也可很好的体现。服务类别EXP丢包优先级昂贵服务111/确保服务1级110低101高2级100低011高3级010低001高最努力服务000/DiffServ模型的差分服务代码点(DSCP)共有14种,但是MPLS包头中使用EXP域只有3位,即只能表示8个PHB,所以对现有DiffServ模型的14种DSCP进行修
11、改,使用如上左图可行的映射关系,即可实现。可靠性设计可靠性设计 设备可靠性 选用具备电信级可靠性的核心设备,且主备设备间实时热倒换,关键部件冗余备份并支持热插拔,采用分布式体系结构。链路可靠性 采用“双星型双节点结构”,广域骨干线路的主链路和备用链路分别采用不同运营商的基础传输链路。网络可靠性 模块化设计,各区域相对独立,任一区域的故障不会扩散到其它区域。选择合理的路由协议,避免路由环路,减少路由振荡,保护某个节点失效后网络快速自愈。应用可靠性 采用HAMD(混合模型)的 QoS技术保证带宽和延时等,通过MPLS VPN技术实现不同业务流相互隔离,互不影响。网络安全体系结构网络安全体系结构 网
12、络的安全性(网络的安全性(Network IntegrityNetwork Integrity)系统的安全性(系统的安全性(System IntegritySystem Integrity)用户的安全性(用户的安全性(User IntegrityUser Integrity)应用的安全性(应用的安全性(Application IntegrityApplication Integrity)数据的安全性(数据的安全性(Application ConfidentialityApplication Confidentiality)政务外网网络安全保障措施政务外网网络安全保障措施 IPS 网闸 其他 防
13、火墙 VPNMPLS VPNIPSec VPNSSL VPN政务外网网络平台服务管理政务外网网络平台服务管理实行统一服务管理,分散运行维护模式。省级电子政务外网服务管理中心 省级电子政务外网服务管理中心以网络平台的逻辑管理为主。如VPN的划分,VPDN及SSL、IPSEC接入用户的授权及身份认证,网络资源统筹分配等;建立面向州市级、县级运维中心人员的技术支持窗口;建立面向地方或部门的服务请求响应窗口,提供病毒防护、安全评估、安全监控和应急响应等技术支持服务,提供数据备份恢复和主机托管服务等;建立知识库,方便接入用户进行自主服务。州市级、县级电子政务外网运维中心政务外网运维中心以落实网络平台的具体运维工作为主,即硬件管理。如建立运维监控平台,实现对不同服务对象和IT资源的实时监控和故障处理,包括主机、数据库、中间件、存储备份、网络、安全、机房、业务应用等,保障本地政务外网广域网的链路、设备正常可靠的运行。谢谢 谢!谢!
