一.行业背景:

电子政务是信息社会政府管理发展的一种新趋势,已成为世界各国政府关注的焦点。胡锦涛同志在十七大报告中明确指出:“健全政府职责体系,完善公共服务体系,推行电子政务,强化社会管理和公共服务。”温家宝同志也明确指出:“推进政务公开,完善新闻发布制度,加强电子政务建设。”

国家电子政务外网作为我国电子政务网络的重要基础设施,是提高机关工作效率和公共服务水平、推进行政管理体制改革的重要保障。加快建设政务外网,对于贯彻落实科学发展观,构建社会主义和谐社会,增强各级政务部门的执政能力,提高执政水平、构建服务型政府都具有十分重要的意义。

目前电子政务外网的建设主要围绕以下职能:

为各级政务部门提供面向社会服务的应用和不需要在内网上运行的业务提供网络承载服务。

支持各业务之间的互联互通,支持跨地区,跨部门的业务应用,信息共享和业务协同,满足各级政务部门社会管理、公共服务等方面的需求。

确定政务外网统一安全策略,建设信息安全基础设施,构建统一的网络防护体系和统一的信任体系,保障政务外网安全可靠地运行。

二.锐捷整体解决方案:
锐捷网络作为中国数据通信解决方案领导品牌,依托对政务工作与政府安全保护的全面了解,提供先进的网络承载与安全解决方案构建国家电子政务外网。
国家电子政务外网整体分为三级四层,建成从国家到各省、地市、区县的纵向网络,在纵向网的基础上建立各级城域网。使得各部门横向之间和各部门纵向业务互联互通,资源共享,节约投资和资源。省级电子政务外网与互联网逻辑隔离。省级电子政务外网包括广域主干网区、城域网区、厅局接入区、互联网接入区、数据与网管应用数据中心区。
电子政务外网层级图-电子政务外网解决方案
高性能交换核心构建城域网平台
城域网使用高性能,大容量的核心交换机,构建城域网核心。根据对城域网线路以及业务流量的分析,建议使用具有更高转发性能的高端交换机,构建一个高可靠性的核心环网,应用RERP技术(快速以太网环保护协议),保障万兆线速业务情况下小于50ms的故障切换时间,保证语音、视频等实时业务不受网络收敛影响。
城域网承载着政府的各种应用系统,越来越丰富的多媒体业务应用部署在电子政务外网之上,网络核心设备需要处理更多的视频和组播流量。锐捷网络在城域网核心层部署可靠的、安全S8600核心交换机,一方面提供高效率的基础数据快转功能,另一方面使用CPPCPU Protect Policy)技术,避免异常报文对CPU的攻击和资源消耗,保证核心设备在IPv4/IPv6三层网络、二层网络环境中核心设备CPU稳定运行,提高整网的稳定与安全性。
应用安全域解决方案保障整网安全体系
网络的安全是一个整体的概念,包括应用系统层,网络设备层,主机安全等各个环节。应用安全域解决方案根据对等级保护的深刻理解,结合丰富的组网建网经验,形成了高可靠、高安全地电子政务外网应用安全域解决方案。
1、在省电子政务外网采用MPLS/VPN技术,针对不同业务的资源服务器及相关部门的终端机进行不同MPLS/VPN的划分,将相关资源服务器及相关主机与非相关业务及主机进行逻辑隔离,以克服终端接入区数据交叉带来的安全隐患问题。
2、在网络设备层,锐捷网络通过在厅局接入区部署带有SDG功能的路由器设备,保证主机在同一时间段只能访问某一个区域,如访问互联网区域,则不能访问其他的安全域中的服务器,若访问安全域中的服务器,则不能访问互联网,保证了即使被植入木马的主机,在访问服务器资源时也不会被外界控制,从而降低网络中的信息泄漏的概率。
3、在主机安全层,针对传统安全域解决方案中对于用户身份及授权存在的漏洞,锐捷网络建议在数据链路层进行认证,通过认证的账户在入网时就确定了身份,即使在同一个MPLS/VPN中,也严格区分了针对不同等级安全域的访问权限。真正做到了依照身份管理,依照应用授权。
4、在应用系统层,对于存在安全隐患的电脑,将其隔离到安全修复平台,并进行修复,只有安全隐患消除后,方可使用网络。最新Windows补丁,杀毒软件病毒库自动下发到所有主机,保证主机的安全性。GSN还提供对USB口、光驱、打印口等端口进行控制,杜绝信息泄露和病毒传播。
省电子政务外网主干网
根据电子政务外网规划,各省建设纵向上联国家电子政务外网,下伸到全省所有地市、区县,横向连接省各厅局的电子政务外网。
使用两台核心路由器通过不同的运营商线路双下联至地市核心路由器,地市到区县采用双链路或者单链路的方式连接。
主干网2台电信级路由器通过两条千兆链路捆绑互联,实现核心层全冗余连接,确保稳定可靠地运行。主干网路由设备运行MPLS VPN协议进行各部门业务的隔离和数据的快速转发。
建议设备型号
省核心路由器:RSR16E
RSR16E是针对电信、政府、电力、金融、教育、企业等用户网络需求现状定制的一款集高性能转发、高灵活性业务处理和高密度接入能力于一体的高端多业务路由器。RSR16E路由器拥有三个独立的硬件模块, 专门用于控制层面、转发层面和业务层面。转发及服务层面包括可编程的ASIC,控制层面包括一个专用处理器, 该处理器运行着模块化、安全、高可用的JUNOS系统。这种架构可确保在高转发性能的前提下提供丰富的数据包处理性能,同时能提供运营商级别的安全性、可用性及稳定性。锐捷RSR16E采用全冗余硬件架构,且具备自动故障切换及联机软件升级(ISSU)等特性。RSR16E支持硬件加速的 NATMPLSQoS、组播、状态防火墙及大型过滤表等丰富特性,是构建安全可信新网络的基石。
地市核心路由器:RSR50ERSR50-80
RSR50E-80可信多业务路由器旨在满足大型行业纵向网核心/汇聚、大型园区网出口及中小型企业网核心高可用性的要求,以其高性能、多业务、高安全、热拔插和热备份等优势,进行业务运营和支撑网络的建设;具有很强的可伸缩性、可配置性,支持多种接口和业务特性,将IPv6BGPIPSecMPLS VPNQoS、组播等技术融合起来。
区县核心路由器:RSR30-44RSR20-14
关键业务系统管理平台
电子政务外网需要承载多部门多业务,由于面向用户众多,因此对网络管理提出新的挑战。根据电子政务外网当前的网络、系统和应用建设情况,以及其基于IT设施的核心业务的运行维护要求,我们提出了以下的建设思路:
1、以组织当前所关注的关键业务运行为核心来搭建管理体系
2、以兼容性好,技术先进的开放综合平台为方案建设的基础
3、采用最新的前端技术,来确保系统拥有最佳的交互性和图形化呈现效果
4、能够建立一个围绕核心业务的量化评价体系,并提供自动化的评估
5、整个系统要具有良好的可扩展性

关键业务系统管理平台-电子政务外网解决方案

锐捷网络基于RIILIT综合运维管理平台的“关键业务系统运行监控中心”实施对网络和业务应用系统的集中智能管理,可以让有限的IT运维人员精力和IT预算投入到最关键的资源的维护和保障中,降低复杂IT环境的管理难度,更轻松地把握支撑关键业务的网络和系统的运行状态,并不断提升关键业务系统的运行服务质量水平,提升用户满意度。
基于实时智能基础设施库的“关键业务系统运行监控中心(RIIL-BMC)”的建设思路。利用基于统一信息模型的融合抽象建模技术和自动发现技术,实现对全IP网络中各种基于IP技术的基础设施的自动发现和资源化,基于统一信息模型,生成一个可管理,可重用的实时对象库,并通过实时事件和同步技术,保持与实际管理对象的一致性。由于可以在统一的信息模型定义下,针对多厂商,多技术的基础设施进行抽象,从而为解决异构基础设施的融合难题奠定了关键的基础,解决了对IP基础环境的总体把握和全局理解的问题。