1 引言
我國電子政務(wù)的建設(shè)從20世紀(jì)80年代起步����,當(dāng)時主要以辦公自動化(OA)工程為建設(shè)重點(diǎn)���,通過部署桌面終端和各類服務(wù)器系統(tǒng)以及搭建的各類基礎(chǔ)網(wǎng)絡(luò)���,使得辦公過程電子化。從2002年中辦17號文件(國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)的指導(dǎo)意見)下發(fā)以來�,電子政務(wù)的建設(shè)開始進(jìn)入高速發(fā)展期。經(jīng)過幾年的持續(xù)投入����,電子政務(wù)的建設(shè)取得了一定的成績,集中表現(xiàn)在:
(1)建設(shè)政務(wù)服務(wù)中心進(jìn)行政務(wù)集中電子化處理����。
(2)辦公網(wǎng)絡(luò)信息化程度增強(qiáng)�。
(3)建設(shè)電子政務(wù)門戶網(wǎng)站�����,在網(wǎng)上開通眾多的政務(wù)服務(wù)項目等。
在看到成績的同時也不能忽視電子政務(wù)建設(shè)中依然存在的一些問題:
●如何充分挖掘現(xiàn)有網(wǎng)絡(luò)硬件平臺的潛力�����,使其更好地支撐上層業(yè)務(wù)系統(tǒng)的高效運(yùn)行�。
●如何提供整體網(wǎng)絡(luò)的安全保障。
●基于網(wǎng)絡(luò)承載的多種業(yè)務(wù)�,如何提供差異化服務(wù)。
在中國商務(wù)部二期辦公網(wǎng)絡(luò)建設(shè)中����,華為公司攜手原中國網(wǎng)通�����,打造新時期安全���、高效的電子政務(wù)辦公網(wǎng)���。
2 建設(shè)背景
中國商務(wù)部大樓2005年已經(jīng)完成一期辦公網(wǎng)絡(luò)建設(shè),網(wǎng)絡(luò)設(shè)計分為內(nèi)網(wǎng)(涉密網(wǎng)絡(luò))和外網(wǎng)(非涉密網(wǎng)絡(luò))��,兩種網(wǎng)絡(luò)結(jié)構(gòu)相同���,并采用嚴(yán)格的物理隔離��,網(wǎng)絡(luò)總體架構(gòu)主要由樓層的接入交換機(jī)和中心機(jī)房的兩臺核心交換機(jī)組成����。
一期網(wǎng)絡(luò)建設(shè)存在很多隱患,主要體現(xiàn)在以下幾點(diǎn):
(1)網(wǎng)絡(luò)采用單鏈路結(jié)構(gòu)����,可靠性不高。
�����。2)網(wǎng)絡(luò)未部署安全設(shè)備����,僅靠功能簡單的ACL來控制用戶訪問,很難抵御日益豐富的攻擊手段���,安全隱患嚴(yán)重��。
����。3)隨著承載業(yè)務(wù)的增多,網(wǎng)絡(luò)不能提供不同業(yè)務(wù)的差異性服務(wù)質(zhì)量�,需要嚴(yán)格給與優(yōu)先保證的重要業(yè)務(wù),如視頻����、語音等無法給與保證。
為提高中國商務(wù)部辦公網(wǎng)絡(luò)的質(zhì)量���,針對以上幾大網(wǎng)絡(luò)隱患��,2007年初中國商務(wù)部啟動了第二期網(wǎng)絡(luò)建設(shè)工程����,旨在通過本期工程��,建立一個高帶寬���、高可靠性、高安全����、可擴(kuò)展、有QoS保障的數(shù)據(jù)網(wǎng)絡(luò)��,為商務(wù)部的內(nèi)部業(yè)務(wù)及外部業(yè)務(wù)提供強(qiáng)有力的保證。
3 建設(shè)方案
依據(jù)以上網(wǎng)絡(luò)問題及建設(shè)目標(biāo)���,基于從網(wǎng)絡(luò)運(yùn)營和維護(hù)的專業(yè)性角度考慮��,中國商務(wù)部向原中國網(wǎng)通集團(tuán)集成公司提出了二期辦公網(wǎng)絡(luò)建設(shè)需求��。網(wǎng)通集團(tuán)集成公司對本次項目非常重視�����,為給中國商務(wù)部提供高效�����、可靠�����、安全�、穩(wěn)定的網(wǎng)絡(luò)設(shè)備和整網(wǎng)解決方案����,本著滿足業(yè)務(wù)優(yōu)先、先進(jìn)實用、平滑演進(jìn)等原則��,網(wǎng)通集團(tuán)集成公司最終選擇了采用華為公司數(shù)據(jù)通信和安全網(wǎng)絡(luò)設(shè)備來承建該網(wǎng)絡(luò)工程����。
經(jīng)過多次的交流和網(wǎng)絡(luò)考察,華為公司提出了完善的解決方案����。中國商務(wù)部辦公網(wǎng)絡(luò)是一張安全級別要求很高的電子政務(wù)網(wǎng)。延續(xù)一期的建設(shè)思想���,將此辦公網(wǎng)絡(luò)分為完全獨(dú)立的內(nèi)網(wǎng)和外網(wǎng)兩個部分�����,內(nèi)網(wǎng)是機(jī)密性十分高的涉密網(wǎng)���,外網(wǎng)有互聯(lián)網(wǎng)出口���,相對比較開放���,內(nèi)、外網(wǎng)間的數(shù)據(jù)交互通過網(wǎng)閘來實現(xiàn)���。
(1)內(nèi)網(wǎng)方案
由于商務(wù)部內(nèi)網(wǎng)屬于嚴(yán)格的涉密網(wǎng)���,因此內(nèi)網(wǎng)的可靠性和安全性要求十分嚴(yán)格����。為了提高內(nèi)網(wǎng)核心的可靠性����,考慮拓樸冗余(雙交換機(jī),雙星型結(jié)構(gòu))�����、設(shè)備冗余(電源���、超級引擎采用雙配置)�,在一期基礎(chǔ)上對匯聚層交換機(jī)進(jìn)行冗余���,增設(shè)兩臺匯聚層交換機(jī)�����。為了提高內(nèi)網(wǎng)的安全性���,采取了以下措施:
●在核心交換機(jī)上連接入侵檢測設(shè)備����,并對終端設(shè)備進(jìn)行嚴(yán)格的終端安全管理�����。
●在服務(wù)器區(qū)部署雙備份防火墻�����,保證服務(wù)器計算域的安全性�����。
●按照國家涉密網(wǎng)的統(tǒng)一建設(shè)要求���,在商務(wù)部內(nèi)�、外網(wǎng)間用網(wǎng)閘嚴(yán)格與互聯(lián)網(wǎng)隔離����,并采用屏蔽機(jī)房(柜),屏蔽布線���,超出大樓范圍外的通訊采用加密傳輸���,多重防護(hù)嚴(yán)格保證商務(wù)部內(nèi)網(wǎng)的安全。
(2)外網(wǎng)方案
相比商務(wù)部內(nèi)網(wǎng)來說��,外網(wǎng)將提高一些靈活性����,允許與互聯(lián)網(wǎng)連通,但同樣要保證網(wǎng)絡(luò)的可靠與安全�����。在網(wǎng)絡(luò)建設(shè)方面�,一期工程中已經(jīng)配置了兩臺核心交換設(shè)備,二期工程中�����,由于終端用戶的大量增長����,將增加兩臺匯聚交換機(jī)互做冗余備份���,在接入層也嚴(yán)格保證接入層設(shè)備上行的鏈路冗余與備份。在網(wǎng)絡(luò)安全方面��,部署重重防護(hù)策略提高網(wǎng)絡(luò)的抗攻擊性����,具體如下:
●在互聯(lián)網(wǎng)出口處部署雙備份防火墻,進(jìn)行病毒檢測和過濾�。
●在外網(wǎng)的兩臺核心交換機(jī)上掛接入侵檢測設(shè)備進(jìn)行進(jìn)一步的報文檢測。
●在外網(wǎng)服務(wù)器計算域中部署雙防火墻�����,并按照國家涉密網(wǎng)的統(tǒng)一建設(shè)要求��,采用屏蔽機(jī)房(柜)���,屏蔽布線�,超出大樓范圍外的通訊采用加密傳輸����。
4 攜手共進(jìn),創(chuàng)造網(wǎng)絡(luò)輝煌
根據(jù)商務(wù)部辦公網(wǎng)絡(luò)建設(shè)的總指導(dǎo)思想���,原中國網(wǎng)通集成公司和華為公司數(shù)通產(chǎn)品部一起嚴(yán)格分析了商務(wù)部辦公網(wǎng)絡(luò)建設(shè)的技術(shù)規(guī)范和建設(shè)要求�,提出了全面完善的解決方案��,網(wǎng)絡(luò)將采用Secospace終端安全管理系統(tǒng)����,NIP入侵檢測系統(tǒng),交換機(jī)S8512 4臺和S3928 79臺�����,防火墻Eudemon1000 4臺和Eudemon500 4臺等數(shù)據(jù)設(shè)備��,為商務(wù)部建設(shè)一張高安全��、高性能的政務(wù)網(wǎng)絡(luò)��,為商務(wù)部內(nèi)部及外部業(yè)務(wù)系統(tǒng)提供強(qiáng)有力的保證����。本次工程將基于以下建網(wǎng)目標(biāo)進(jìn)行:
(1)綜合性
將網(wǎng)絡(luò)建設(shè)成為不僅支撐現(xiàn)有商務(wù)部數(shù)據(jù)業(yè)務(wù),而且支撐未來實時業(yè)務(wù)的綜合業(yè)務(wù)傳送平臺���。
(2)支持QoS
能根據(jù)業(yè)務(wù)的要求提供不同等級的服務(wù)并保證服務(wù)質(zhì)量�,提供資源預(yù)留、擁塞控制���、報文分類���、流量整形等強(qiáng)大的IP QoS功能。
(3)高可靠性
具有很高的容錯能力���,具有抵御外界環(huán)境和人為操作失誤的能力��,保證任何單點(diǎn)故障都不影響整個網(wǎng)絡(luò)的正常運(yùn)作���。
(4)高性能
在高負(fù)荷情況下仍然具有較高的吞吐能力和效率,延遲低�����。
(5)安全性
具有保證系統(tǒng)安全���,防止系統(tǒng)被人為破壞的能力�����。
(6)擴(kuò)展性
易于增加新設(shè)備����、新用戶,易于和各種公用網(wǎng)絡(luò)連接����,隨系統(tǒng)應(yīng)用的逐步成熟不斷延伸和擴(kuò)充�����,充分保護(hù)現(xiàn)有投資利益����。
(7)開放性
符合開放性規(guī)范,方便接入不同廠商的設(shè)備和網(wǎng)絡(luò)產(chǎn)品�。
(8)標(biāo)準(zhǔn)化
通訊協(xié)議和接口符合國際標(biāo)準(zhǔn)。
(9)實用性
具有良好的性能價格比����,經(jīng)濟(jì)實用,拓?fù)浣Y(jié)構(gòu)和技術(shù)符合骨干網(wǎng)信息量大���、信息流集中的特點(diǎn)��。
5 結(jié)束語
向ICT轉(zhuǎn)型是全球各運(yùn)營商的戰(zhàn)略任務(wù)����,國內(nèi)運(yùn)營商這幾年的努力已初見成效。運(yùn)營商在向ICT轉(zhuǎn)型過程中對網(wǎng)絡(luò)安全和IT設(shè)備提出了新的要求��。與運(yùn)營商共生共長�����、共謀發(fā)展的華為公司致力于成為ICT綜合解決方案提供商�����,助力運(yùn)營商暢游藍(lán)海�,攜手共進(jìn),共創(chuàng)網(wǎng)絡(luò)轉(zhuǎn)型輝煌����。
