华为电子政务网方案.doc

电子政务应用平台建设的基本原则 建立一个开放的、基于标准的电子政务统一应用平台，实现信息交换和资源共享，面向公众提供服务，增强各部门工作的透明度。分别支持数据、语音和视频业务，运行各部门的业务系统，实现各网间的信息交换和资源共享，同时建立完善的信息安全体系和相应的备份系统。应用平台的建设本着先易后难，逐步推进、逐步完善的原则：总体规划，统一标准。 完成信息报送标准化制定；完成重要业务系统数据库指标体系的制定，为下一步实现异构系统的整合奠定基础。建立健全信息安全保障体系。 在应用方案的总体设计上，规划业务系统对于各种资源和活动的管理，其功能主要包括：会议管理，网络会议(电视会议，电话会议)，人事管理，资产管理，活动安排，信访管理等。同时解决电子政务网上信息传输的安全性问题，通过数据加密、权限管理、CA认证等手段防止信息在传输过程中被窃取、篡改、偷看、越权等问题，同时应防止冒名和抵赖。建立终端安全监控系统，防止因开后门而导致全网的安全漏洞的产生。 为达到电子政务网络的目标要求，在网络设计构建中，应始终坚持以下建网原则：从政府的需求出发，以区域性政府管理体系为主导，建设安全可靠可管理的电子政务体系!统一的网络模型： 美国 、英国、加拿大、日本、新加坡等国家的电子政务系统设计原则都是以区域性政府为主体，按照不同人群和不同需要为主线来展开的。这种模式结构与“金”字系列网络并不矛盾，而是要进行互通，实现信息共享。电子政务网是一个城域网和广域网，而不是简单的局域网互连！实现横向和纵向互联。形成实体政务网，虚拟业务网。集中的数据中心： 以地级市以上单位建立行业数据中心，减少安全区域，减少被攻击点，中心数据交换，方便信息共享，集中安全控制，提高信息安全，减少维护人员，节约人力成本。完善的安全体系： 网络安全核心理念在于七分管理，三分技术。应遵循信息安全管理标准ISO17799，安全管理是信息安全的关键，人员管理是安全管理的核心，安全策略是安全管理的依据，安全工具是安全管理的保证。 防御范围包括仿冒伪造，信息窃取，边界保护，入侵检测，蓄意破坏，病毒与蠕虫，恶意移动代码，拒绝服务，带宽滥用。严格的设备选型： 网络设备选择要杜绝网络后门的出现，在满足功能、性能要求的前提下，优先选用具备独立知识产权的国内民族厂商产品，从设备选型上保证电子政务网络的安全性。标准的业务流程： 电子政务业务的核心理念是要做到标准业务，统一平台，统一规划，分步实施。实现政府对公务员，政府对政府，政府对企业，政府对公众的管理和服务。集成的信息管理： 信息管理的核心理念是统一管理，分散控制。 制定 IT 的年度规划，提供IT的运作支持和问题管理，管理用户服务水平，管理用户满意度，配置管理，可用性管理，支持IT设施的管理，安全性管理，管理IT的库存和资产，性能和容量管理，备份和恢复管理。提高系统的利用价值，降低管理成本。 电子政务网络包括政务内网(副省级以上/副省级以下)，政务外网，政府网站三部分。政务内网和政务外网之间物理隔离，政务外网与互联网之间逻辑隔离。政务内网主要是副省级以上政务部门的办公网，与副省级以下政务部门的办公网物理隔离。政务外网是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务。 政务外网支持数据，语音和视频业务，承担相应的业务系统运行和信息交换，配备完善是网络管理和用户管理(认证授权策略等)功能，作为跨部门，跨地区业务系统的互联和资源共享的网络基础发挥作用。电子政务网络结构： 以党政办公的应用需求为指导，力求为党政机关提供一个安全、可靠、可管理的多业务网络平台。使得电子政务网络能够基于这个平台，实现不同部门机关之间安全高速的数据共享，尽可能的简化办公流程，降低办公成本，提高办公效率，更好的为公众服务；并为今后新的业务发展，迅速推出相应的新业务打好良好的基础。为保证多种基于宽带的服务和新型IP技术服务，本方案将从多种业务服务的角度出发，建立多层次的服务业务平台。 从电子政务整体架构上来说，总体上可分为三个独立的网络(如上图所示)： 政务内网(包括副省级以上和副省级以下两部分)，政务外网(政务专网)，政府网站。政务内网解决方案 根据以上政务内网网络设计思想及应用需求，鉴于政务内网各部门的特殊安全性要求，在总体建设上采用业务与网络分层构建、逐层保护的指导原则，在逻辑层次及业务上，政务内网的构建实施如下分层： 互联支撑层是政务内网的基础，由政务内网管理中心统一规划、构建及管理，支撑层利用宽带IP技术，保证网络的互联互通性，提供具有一定QoS的带宽保证，并提供各部门、系统网络间的一定隔离，保证互访的安全控制； 安全保障系统是指通过认证、加密、授权、绑定控制等技术对政务内网上的用户访问及数据实施安全保障的监控系统，他与互联支撑层相对独立，由管理中心与各部门单位共同规划，分布构建，如数据加密等措施建议在用户网络处(各部门)实施； 业务应用层就是在安全互联的基础上实施政务内网的各种应用，由管理中心与各系统单位统一规划，分别实施。 根据网络建设目标，政务内网互联支撑网络组成部分如下图 副省级以上的政务内网和副省级以下的政务内网之间物理隔离，下面以副省级以下的政务内网为例展开讨论。 图中政务内网的省广域网和各市(地)、县城域网(没有条件的县可以不建设城域网，各县级单位的局域网通过广域网互联)，是政务内网的运行支撑网，需统一规划构建；而各厅局、单位局域网则可在统一标准的基础上分布构建。组网设计说明： 1、政务内网网络结构可分为三层：广域网、城域网、局域网。 2、政务内网广域网将各地市连接为一个支撑整体，设计思路为考虑核心节点2-3个(省级)，能形成冗余组网以提高可靠性(首期可以考虑先建设一个)，汇聚节点X个(地市)，并要考虑政务内网连接到县级网络的扩展性。政务内网的骨干网络应具有较大的承载能力和扩展空间，选用具有高带宽，高可靠及高扩展性的传输技术。如RPR技术、SDH技术、ATM技术，环网技术，光纤技术。 3、各地市(及将来的县)城域网为政务内网提供宽带IP接入，当前利用以太网技术构建城域网具有最好的性价比。 总之，政务内网的网络结构可分为三个层次：广域网、城域网、局域网。设计思路为考虑 (1)广域网：核心节点2-3个(根据实际情况可以建设一个)，汇聚节点X个； (2)城域网：市级节点X个，有条件的县可以构建县级城域网； (3)局域网：节点若干个，每个党政单位1个局域网。政务外网解决方案 政务外网涉及的问题较政务内网更为复杂，涉及语音业务，视频业务，IP地址冲突，VPN私网，Internet出口(通过政府网站)等问题。1.利用MPLS技术，在政务外网的网络平台上为各个机关部门提供虚拟专用网(VPN)服务。 党政机关部门可以在政务外网所提供的网络平台上获得IP网络业务，并获得数据、语音和视频业务。政务外网不仅可以为机关部门提供端到端级别协议(SLA)，并保障服务质量(QoS)。VPN很自然的满足了用户对共享公用基础设施上实现Intranet和Extranet业务的需求。机关部门可以在作为一个广域网/城域网的政务外网上得到和在本地局域网中相同的安全性、可靠性、可用性和可管理性的网络服务，而不必每个部门都去建立一套自己的广域网和城域网。 目前可以应用多种不同的技术实现VPN，但基于MPLS的IP VPN网络可以很容易地与基于IP的用户网络结合起来。各系统可与政务外网统一平台提供的服务无缝结合，因为政务外网网络平台具有应用通晓性、保密性且QoS内置于网络中。各系统能够使用他们专有的IP地址空间，系统间IP地址无需统一规划。2利用宽带IP技术，实现网络对语音和视频业务的良好支持。 语音和视频业务是一种对业务的实时性，安全性和可靠性都有严格要求的特殊业务。因此在网络平台的设计和建设上，利用MPLS VPN提供的内置QoS保障体系，充分满足对语音和视频业务的支持，针对不同业务提供不同的服务质量。3利用有效的网络管理平台，保证网络运行可靠，并为接入单位提供多业务服务。 网络管理平台采用模块化设计的网络管理软件，将其统一在公共的管理框架中，便于管理系统各功能模块间进行管理信息的共享和数据交换。并且做到管理服务器不但支持单机中央处理模式，也同时支持多服务器分布式处理模式，并能实现从中央处理模式向分布式处理模式地平滑过渡。如此，可保证网络管理系统能适应网络规模的增长。利用CA技术，建立政务外网统一的认证体系，实现与其他认证系统的交叉认证。 4利用逻辑隔离设备及防火墙与政府网站隔离，把守政务外网对外的第一道大门。 根据以上政务外网设计思想及应用需求，鉴于各部门的特殊安全性要求，在总体建设上采用业务与网络分层构建、逐层保护的指导原则，在逻辑层次及业务上，政务外网的构建实施如下分配： 互联支撑层是政务外网的基础，由政务外网管理中心统一规划、构建及管理，支撑层利用宽带IP技术，保证网络的互联互通性，提供具有一定QoS的带宽保证，并提供各部门、系统网络间的逻辑隔离(VPN)，保证互访的安全控制； 安全保障系统是指通过认证、加密、权限控制等技术对政务外网的上的用户访问及数据实施安全保障的监控系统，他与互联支撑层相对独立，由管理中心与各部门单位共同规划，分布构建，如数据加密等措施建议在用户网络处(各部门)实施； 业务应用层就是在安全互联的基础上实施政务外网的各种应用，由管理中心与各系统单位统一规划，分别实施。 根据网络建设目标，政务外网互联支撑网络组成部分如下图 图中政务外网广域网和各市(地)、县城域网(没有条件的县可以不建设城域网，各县级单位的局域网通过广域网互联)，是政务外网的运行支撑网，需统一规划构建；而各厅局委办的局域网则可在统一标准的基础上分布构建。网络管理 对于政务内网这样的网络，需要为各个单位用户提供端到端的数据和其它类型的业务。同时为了提高设备和网络的投资效率，所有相关业务的承载网和接入网都需要本着资源共享、业务综合的原则进行统一规划、统一建设。 面对上述业务提供中遇到的挑战，如果只依靠采用先进的技术和硬件设备是不够的，因为不论多先进的网络，如果缺乏一套专业，完善的网络管理系统也无法保障能为用户提供高效、优质的网络服务。 利用网络管理系统提供的专业管理功能，政务内网的网络管理员需要实现对本地传输和接入网络从物理链路到上层复杂应用和业务的分层次集中管理，进而提高网络的可管理性和运行的稳定性，缩短政务内网在提供新业务时的开通周期。通过简化网络管理流程，提高管理员的工作效率，网络管理系统还将帮助政务内网降低网络的运行成本。深圳龙岗政务信息网应用案例 随着应用的拓展和技术的进步，电子政务的建设已经从过去的各个政府单位OA、局域网等“点”的独自为战，逐渐转变为以国家、省、市、区等为骨干，统一平台、分布实施的系统化建设。深圳市龙岗区政务信息网的建设就是一个具有代表性的项目。在深圳市龙岗区政务信息网建设的招标和建设过程中，就很好地突出了上述特点，为高安全、高可靠、可管理的政务网络平台建设提供了借鉴。龙岗区原有电子政务信息网基础特点 项目实施前，为了保证安全，龙岗区政府大楼的信息系统分为物理隔离的内网和外网，内、外网均通过单模光纤与深圳市机关统一网络平台的内、外网部分互联，其他部门部分有独立的局域网。这就带来两个方面的不便： 一方面，内外网的物理隔离虽然满足了安全需要，但不利于部门间的互联互通，各部门内网的办公和业务系统只能在内部使用，不能对外提供服务，难以满足电子政务建设“一站化服务”的需要；另一方面，部分单位有为满足异地办公需要而不得不敷设的光纤或租用电信广域网链路或PSTN/ISDN拨号系统，不仅难以统一管理，也造成了设备投资的重复，难以满足今后大规模建设电子政务信息网的需要。 在这样的情况下，项目建设方提出，龙岗区政务信息网建成后应该是一个连接全区党政机关的高速宽带政务网络系统，提供数据、语音、视频传输的统一网络平台，全面满足政府办公需要；建成区党政机关信息交换中心，实现区、镇各党政机关间公文信息传递、交换、处理的电子化；建成电子政务认证中心；统一标准建立政府公文电子信息资源库，实现公文等信息的充分共享和广泛使用；建立覆盖全区的公共信息平台，在网上提供方便、快捷、透明的“一站式”电子政务服务。 根据项目特点，华为公司提出的解决方案很好地满足了项目要求并最终得到了项目建设方的认可。下面我们就对深圳龙岗去电子政务信息网的建设作一个评析。龙岗区电子政务信息网络模型分析 华为公司是统一平台、分布实施，“高安全、高可靠、可管理”三网合一的政务网络平台建设理念的创导者。龙岗区电子政务信息网络的模型如下： 我们可以看到，龙岗区电子政务信息网络平台实际上是纵横两个方向交叉的中心节点；区党政机关各单位横向上既是区委区政府的组成部门，纵向上其业务又受市对口单位的行业指导，并对镇级对口单位进行业务指导。各单位是则横向区级信息网络和纵向行业信息网络的交叉点。对于每个独立的单位节点来说，既有横向部门间的信息交互，又有纵向行业部门的信息交互。 纵向看，各单位用户经授权能访问纵向网络的相应资源；横向看，各单位用户经授权能访问横向网络资源。因此，整个政务平台是由多条纵向专网、横向专网相联结形成的复杂结构应用模式。 深圳市龙岗区网络信息平台的建设特点 深圳市龙岗区网络信息平台的建设充分利用了原有的设备，保护了用户已有的投资，同时将在很大程度上提高网络的业务处理能力，同时兼具良好的可扩展性。龙岗去网络信息平台由内网和外围组成。内网结构图如下：外网结构图如下： 在内外网建设的过程中，华为公司在设计建设方案时还注意突出了这样几个优势：1）利用MPLS技术，在政务网的网络平台上为各个机关部门内部提供虚拟专用网（VPN）服务。 VPN是为了保障政务信息网纵横方向安全、畅通地进行信息互联和开展业务的基础。通过VPN，机关部门可以在政务网所提供的网络平台上获得IP网络业务，并合并数据、语音和视频业务。政务网不仅可以为机关部门提供端到端级别协议（SLA），并保障服务质量（QoS）。VPN很自然的满足了用户对共享公用基础设施上实现Intranet和Extranet业务的需求。 项目建成后，机关部门可以在作为一个城域网的政务网上得到和在本地局域网中相同的安全性、可靠性、可用性和可管理性的网络服务，而不必每个部门都去建立一套自己的城域连接网络。目前可以应用多种不同的技术实现VPN，但基于MPLS的IP VPN网络可以很容易地与基于IP的用户网络结合起来，而不必改变Intranet应用，因为这些网络具有应用通晓性、保密性且QoS内置于网络中。用户能够使用他们专有的IP地址而无需NAT(网络