电子政务网解决方案-20090630-A

电子政务网解决方案V1.0 内部公开电子政务网解决方案华为技术有限公司2006年10月目录1概述21.1关键词21.2背景22什么是电子政务22.1历程和现状22.2电子政务定义22.3电子政务意义和目的22.4电子政务网络模型23设计原则23.1政务内网设计原则23.2政务外网设计原则23.2.1建设目标23.2.2业务开展23.2.3设计原则23.3政府网站设计原则23.4电子政务网络结构24政务内网解决方案24.1政务内网需求分析24.1.1基本要求24.1.2应用系统24.2政务内网总体网络设计描述24.3政务内网广域网设计24.3.1政务内网广域网拓扑结构设计24.3.2政务内网广域网组网结构设计政务内网广域网非信道化SDH线路方案政务内网广域网信道化SDH线路方案政务内网广域网IP over SDH线路组网方案24.4政务内网城域网互联设计24.5政务内网局域网设计24.6路由部署24.6.1IP路由规化路由协议的选择路由汇聚负载均衡24.6.2IP地址规划24.7网络管理24.7.1网络管理的重要性24.7.2网络管理软件要求24.8网络设备要求25政务外网解决方案25.1设计考虑25.2政务外网总体网络设计描述25.3政务外网广域网设计25.3.1政务外网广域网拓扑结构设计25.3.2政务外网广域网组网结构设计政务外网广域网非信道化SDH线路方案政务外网广域网信道化SDH线路对接方案政务外网广域网IP over SDH线路组网方案25.4政务外网城域骨干网互联设计25.5政务内网局域网设计25.6政务外网VPN互联设计25.7路由策略25.7.1IP路由规化路由协议的选择路由汇聚负载均衡25.7.2IP地址规划25.7.3MPLS技术在政务外网的应用政务外网MPLS建设方案25.8三网融合的解决方案25.8.1数据、语音、视频25.8.2QoS支撑25.9网络管理25.9.1网络管理的重要性25.9.2网络管理软件要求25.10网络设备要求26安全建议26.1网络安全及技术26.2政务网络安全组网建议26.2.1骨干网安全设计建议26.2.2Internet接入安全设计26.2.3局域网计算机接入安全设计26.3专用安全产品26.3.1防火墙26.3.2综合访问认证系统26.4产品组网配置建议26.4.18090产品出厂建议配置26.4.2路由协议部署建议26.4.3Differ-Serv QoS部署建议26.4.4MPLS L2/L3 VPN部署建议26.4.5城域网基本安全策略27解决方案特点27.1可靠性设计2接入网络可以考虑采用3级可靠性措施：27.2安全策略21 概述1.1 关键词电子政务，e-government；政务内网(涉密网)，政务外网(政务专网)，政府网站；广域网，城域网，局域网1.2 背景21世纪，是知识经济的时代，信息化程度的高低已经成为一个国家现代化水平和综合国力的重要标志，随着计算机及通信技术的发展，社会正步入信息时代，网络日益深刻地影响着社会经济活动中的各个环节，网络的建设和使用已成为提高社会生产力的重要因素之一。随着以信息技术为主要标志的科技进步日新月异，以数字化和网络化为主要特征的信息化浪潮正以汹涌之势席卷全球，对人类的未来产生着难以估量的深刻影响。从世界范围来看，推进政府部门办公自动化、网络化、电子化，全面信息共享已是大势所趋。联合国经济社会事务部把推进发展中国家政府信息化作为发展的重点，希望通过信息技术的应用改进政府组织，重组公共管理，实现办公自动化，信息资源的共享，进行决策支撑。在世界各国积极倡导的“信息高速公路”的五个应用领域中，“电子政府”被列为第一位，其它四个领域分别是电子商务，远程教育、远程医疗、电子娱乐，政府信息化是社会信息化的基础。网络技术的飞速发展为加快发展我国国民经济信息化的进程带来了前所未有的机遇和挑战。发达国家在20世纪90年代就已经开始政府信息化进程的建设，但由于各国政府的政治和经济体制各有不同，所以在政府的信息化规划和建设中没有固定的模式，只有一些先进国家的建设经验可以供我们参考。信息产业和信息化建设被作为国民经济建设和政府建设的重中之重，政府信息化是社会信息化的基础，目前，在政府各类信息量越来越大，涉及到的部门越来越广泛，庞大的数据信息等待分析处理和存储，如果仍沿用以前的手工操作、事物传递或简单的传统办公自动化方式来运作，政府领导和机关工作人员很难有时间来集中精力处理一些高层次问题，这无疑不能适应目前的形势需要。使用一些切实可行的信息化系统和网络平台来提高行政机关的管理水平，加快内部的信息流通与信息的有效利用，将为政府的核心机制更加高效灵活提供有力的保证。同时，在此基础上建立一套电子化、网络化、信息化的办公自动化系统和流程，将在政府各级机关之间共享与各自工作相关资源、文档，进行内部协作，提高工作效率，更好的辅助政务工作的顺利实施，也将极大对各级政府政务办公自动化、信息化建设取到带头和推广的作用。在国家政策的指导下，依据国家相关规范和国际标准，通过对政府行业实际情况和信息化程度的考察研究，以“以需求为导向，以应用促发展，统一规划，共同建设，加强协调，讲求实效，资源共享，安全保密”的设计指导原则，对政府信息化网络系统建设进行了认真、细致、科学的需求分析，在此基础上制定了电子政务解决方案，致力建成一个网络信息化硬件平台和政务自动化工作环境，形成安全、可靠、高效的政府内部办公网络、政府信息资源网络、和以国际互联网为依托的政府公众信息网络。构建一个网上政务平台，利用信息网络和通信技术,有效地实现行政、服务及内部管理等功能，在政府、社会和公众之间形成有机服务系统的集合。同时网络的建设将推动和加速政府的信息化发展。“十五”期间，我国电子政务建设的主要目标是：标准统一，功能完善，安全可靠的政务信息网络平台发挥支持作用；重点业务系统建设取得显著成效；基础性，战略性政务信息库建设取得重大进展，信息资源共享程度明显提高；初步形成电子政务网络与信息安全保障体系，建立规范的培训制度，与电子政务相关的法规和标准逐步完善。这些工作完成后，中央和地方各级党委，政府部门的管理能力，决策能力，应急处理能力，公共服务能力将得到较大改善和加强，电子政务体系框架将初步形成，为下一个五年计划期的电子政务发展奠定坚实的基础。2 什么是电子政务2.1 历程和现状20世纪80年代，开始办公自动化(OA)工程；1993年12月，启动的“三金工程”，即金桥工程、金关工程和金卡工程；1999年1月，40多个部委联合发起了“政府上网工程”；1999年5月，下注册的政府域名猛增至1470个；2001年1月，以为结尾注册的域名达到4722个，占域名总数的4%；2001年1月，政府网站达3200多个，占地市级政府的70% 。办事指南、政策法规、表格下载基本上网；2002年5月，北京电子政务在线服务平台正式开通只要轻点鼠标，包括补办身份证以及企业在线工商注册等57项业务，；2004年，华为公司承建河南政务网项目；2.2 电子政务定义政府机构应用现代信息和通信技术，把管理和服务通过网络技术进行集成，借助Internet实现政府组织结构和工作流程的优化和重组，超越时间、空间和部门分离的限制，全方位地向社会提供优质、规范、透明、符合国际水准地管理和服务。2.3 电子政务意义和目的转变政府职能，从“管理主导型”向“服务主导型” 办公信息化，提高效率，精简机构；政务公开化，提高政府透明度及政务公开，加强廉政建设；管理一体化，加强行业管理和规范；决策科学化，科学决策，提高执政的水平；加强政策宣传和民众教育；以需求为导向，以政府业务流程为主线，通过积极应用信息技术，降低政府运行成本，提供工作效率，增加透明度，增强监管能力和服务水平，全面提高依法行政能力。2.4 电子政务网络模型逻辑隔离，采用逻辑隔离技术隔离政务外网和政府网站。物理隔离，政务内网和政务外网及Internet在物理上没有任何连接。为适应业务发展和安全保密的要求，避免重复建设，做到加快建设和整合统一的政务网络平台。电子政务网络由政务内网，政务外网和政府网站构成，政务内网和政务外网两网之间物理隔离，政务外网与Internet之间逻辑隔离，政府网站是政府对外提供信息和服务的窗口。政务内网主要是副省级以上政务部门的办公网，与副省级以下政务部门的办公网物理隔离。政务外网是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务。电子政务网络的安全性要求物理隔离，这决定了政府的局域网、城域网和广域网都是两套,即政务内网有自己的政府局域网、城域网和广域网，政务外网也有自己的政府局域网、城域网和广域网；党委、政府、人大、政协、纪委五套班子统一建网，避免重复建设；政务外网通过政府网站与Internet连接，实现电子政府；可以按地/市为单位，统一Internet出口，通过多种手段保证信息安全。政务内网与其它网络完全物理上断开，政务外网与政府网站采用逻辑隔离设备隔离。政务内网与政务外网在承载业务上都要求具有支持数据业务，语音业务和视频业务的能力，但一般语音业务和视频业务运行在政务外网上，数据业务在政务内网和政务外网上都运行。下面是以省级为单位的政务内网，政务外网和政府网站的逻辑拓扑图：3 设计原则电子政务应用平台建设的主要目标是：建立一个开放的、基于标准的电子政务统一应用平台，实现信息交换和资源共享，面向公众提供服务，增强各部门工作的透明度。分别支持数据、语音和视频业务，运行各部门的业务系统，实现各网间的信息交换和资源共享，同时建立完善的信息安全体系和相应的备份系统。应用平台的建设本着先易后难，逐步推进、逐步完善的原则：总体规划，统一标准完成信息报送标准化制定；完成重要业务系统数据库指标体系的制定，为下一步实现异构系统的整合奠定基础。建立健全信息安全保障体系。在应用方案的总体设计上，规划业务系统对于各种资源和活动的管理，其功能主要包括：会议管理，网络会议(电视会议，电话会议)，人事管理，资产管理，活动安排，信访管理等。同时解决电子政务网上信息传输的安全性问题，通过数据隔离、数据加密、权限管理、CA认证等手段防止信息在传输过程中被窃取、篡改、偷看、越权等问题，同时应依靠数据签名等手段防止冒名和抵赖。建立终端安全监控系统，防止因开后门而导致全网的安全漏洞的产生。为达到电子政务网络的目标要求，在网络设计构建中，应始终坚持以下建网原则：从政府的需求出发，以区域性政府管理体系为主导，建设安全可靠可管理的电子政务体系!统一的网络模型：美国 、英国、加拿大、日本、新加坡等国家的电子政务系统设计原则都是以区域性政府为主体，按照不同人群和不同需要为主线来展开的。这种模式结构与“金”字系列网络并不矛盾，而是要进行互通，实现信息共享。电子政务网是一个城域网和广域网，而不是简单的局域网互连！必须实现横向和纵向的网络互联。形成实体政务网，虚拟业务网。集中的数据中心：以地级市以上单位建立行业数据中心，减少安全区域，减少被攻击点，中心数据交换，方便信息共享，集中安全控制，提高信息安全，减少维护人员，节约人力成本。完善的安全体系：网络安全核心理念在于七分管理，三分技术。应遵循信息安全管理标准ISO17799，安全管理是信息安全的关键，人员管理是安全管理的核心，安全策略是安全管理的依据，安全工具是安全管理的保证。防御范围：仿冒伪造，信息窃取，边界保护，入侵检测，蓄意破坏，病毒与蠕虫，恶意移动代码，拒绝服务，带宽滥用。严格的设备选型：网络设备选择要杜绝网络后门的出现，在满足功能、性能要求的前提下，优先选用具备独立知识产权的国内民族厂商产品，从设备选型上保证政务网络的安全性。标准的业务流程：电子政务业务的核心理念是标准业务，统一平台，统一规划，分步实施。实现政府对公务员，政府对政府，政府对企业，政府对公众的管理和服务。集成的信息管理：信息管理的核心理念是统一管理，分散控制。制定IT的年度规划，提供IT的运作支持和问题管理，管理用户服务水平，管理用户满意度，配置管理，可用性管理，支持IT设施的管理，安全性管理，管理IT的库存和资产，性能和容量管理，备份和恢复管理。提高系统的利用价值，降低管理成本。电子政务网由政务内网(涉密网)，政务外网(政务专网)和政府网站构成，政务内网(涉密网)与其它网络之间物理隔离，政务外网与政府网站及Internet之间逻辑隔离；支持数据，语音和视频业务，承担相应的业务系统运行和信息交换，配备完善是指网络管理，设备管理和用户管理(认证，授权，策略)等功能，作为跨部门，跨地区业务系统的互联和资源共享的网络基础发挥作用。3.1 政务内网设计原则政务内网(分为副省级以上和副省级以下两部分)是涉秘网，以政务内网的应用需求为指导，力求为本省党政机关提供一个安全、先进、灵活，高带宽、高可靠性的多业务涉秘的纯数据网络平台(一般来说，语音及视频的应用属于政务外网的应用范畴)。使得能够基于这个平台，实现不同机关部门之间安全高速的数据共享，尽可能的简化办公流程，提高办公效率；并为今后新的业务发展，迅速推出相应的新业务打下良好的基础。为保证多种基于高带宽的服务和新型IP技术服务，从多种业务服务的角度出发，建立多层次的服务业务平台。政务内网(涉密网)作为党政机构网络，有其特殊性，因此网络设计不能与其他网络等同。在网络设计过程中遵循以下原则：1.安全性政务内网在物理上是完全与外部公网相隔离的专用网络，网内的信息对外界是绝对保密的。因此，网络设计、网络管理、各类线缆、设备辐射指标应达到相关的安全要求。网络提供报文加密能力，网络加密设备除提供标准加密算法和128位以上加密密钥支持外，需具备对私有密钥的支持能力，强化网络安全。2.先进性政务内网作为党政机关的涉密网，在一定程度上反映出本省信息产业的发展状况，在网络方面要求具备当今业界领先的技术水平，以保证当前及今后一段时间内的各类应用顺利运行，包括：网络交换能力、设备冗余能力、IP增值服务等。3.可靠性政务内网具有其特殊性，某些应用要求高度的稳定性、可靠性，因此要求从各层次的网络设备到数据链路都进行充分的冗余，对于网络运作的系统应进行备份。4.可用性网络结构和带宽可以满足当前各种应用的需求；5.开放标准及可扩展性网络建设采用开放、成熟的技术标准，以便设备具有更好的兼容性，保证能够在建成后的网络基础上，在不影响当前应用的前提下进行顺利扩展或者平滑升级。6.可管理性能够为网络管理，设备管理和用户管理提供强大的基于GUI的管理平台，一方面简化操作、一方面可以实时的监控网络，设备和用户，第三提高故障解决能力。3.2 政务外网设计原则以政务外网的应用需求为指导，力求为党政机关提供一个安全、先进、灵活，高带宽、高可靠性的多业务网络平台。基于这个平台，实现不同部门机关之间安全高速的数据共享，尽可能的简化办公流程，提高办公效率；并为今后新的业务发展，迅速推出相应的新业务打下良好的基础。保证多种基于高带宽的服务和新型IP技术服务，从多种业务服务的角度出发，建立多层次的服务业务平台。3.2.1 建设目标建设一个党、政机关各部门信息共享、数据交换的政务外网，在政务外网平台上实现各单位部门的办公自动化、电子邮件、IP语音、视频点播、电视(电话)会议等各类系统应用。建立各类信息数据库，实现各单位的应用软件系统和信息数据库在政务外网上进行共享。政务外网的建设项目工程浩大，技术复杂，涉及面广，建设难度大，管理要求高。因此，建设政务外网必须按照“统一规划、联合建设、优化存量、共建增量、互联互通、资源共享”的建设目标，采用规划、建设、管理、维护互相融合的新型的工程建设模式，达到“总体规划、分步实施、政府监督、企业运作”的建、管、护一体化的要求。对于一些现有的已建成并运作正常网络，在网络建设过程中，必须在保留原有网络资源的基础上，进行升级、改造。政务外网建成后，全省党政机关有了统一的信息交换和应用服务平台，实现以省/市(地)信息共享库为主体，各委、办、局、区、县信息共享库为基础的按权限、分层次的信息共享机制，将来还可以为各区县办委局等提供VPN服务等一系列增值服务。基于政务外网的现状和将来发展的趋势，通过对省、地/市、县三级网络的建设，构筑一个安全、可靠、可管理的专用宽带网络基础平台，实现以下三个政务外网的建设目标：(1)为省、市/地、县政府办公厅(室)各级局域网提供到省政务外网的宽带接入服务。(2)可以提供VPN服务，满足省、市/地、县政府办公厅(室)纵向联网的要求。纵向联网是指建设形成各级政府机关本系统内部的，自上而下的省、市/地、县的三级网络系统，可看作是局域网办公系统在广域网上的扩展。以各级政府的计委为例，全省计委的局域网通过各自城域内的接入方式，接入相应广域网路由器，在广域网路由器采用虚拟专网技术，形成省到地/市、地/市到所属各县的三层网络结构，实现计委系统内部的全省联网。通过纵向联网，可在全省范围内形成专用的计委系统网络，实现全省计委系统内部的办公自动化，信息共享，视频会议，电子邮件等应用。(3)可以实现以省、市/地、县三级政府为核心横向联结直属各部门及有关部门的横向网，实现不同行业系统间的信息共享。横向网是在建设纵向网络的基础上，省、地/市、县各级局域网的部分特定主机进一步实现在各纵向网之间的进行信息交换和信息流转。仍以各级政府的计委为例，计委的所有主机可以通过纵向网在全省计委系统内进行信息共享的同时，其中部分特定主机，还可以对其他行业，如财政系统采用同样技术的特定主机互相实现信息共享。同样其他行业局域网的部分特定主机也能和另外任一行业局域网的特定主机之间进行互访。横向网中所有主机在网络规划上可以省、地/市、县三级政府为核心分为省、地市、县三级，各自公布相应级别、行业的公共信息，但在信息共享访问上没有省、地/市、县级别控制，即横向网中县计委的特定主机可以访问横向网中省财政厅局域网的特定主机。对于各行业系统特殊、局部的公共信息由各行业按规定通过授权访问等方式实现。3.2.2 业务开展政务外网网络建设完成后，网络性能上能满足开展下列业务的需要：(1)办公业务应用系统：各级政府机关在建立相对独立的各自内部局域网的基础上，再在广域网上实现纵向省、市/地、县等各级政府机关公文交换、信息传递、多媒体信息交换、会议通知、值班应急系统等政府机关办公功能。(2)政务信息查询系统：主要包括多媒体信息系统，政策法规系统，公文库系统及其他信息库的查询系统。提供公文库查询，政策法规库查询，多媒体信息查询，目录库查询(统计信息，综合信息，人口信息，法人单位信息，自然资源信息，空间地理信息，宏观经济信息等)(3)视频会议系统：实现政务外网内纵向及系统间横向的多点视频会议，提供实时培训服务，节约会议费用，提高工作效率。(4)IP语音系统：实现政务外网内纵向及系统间横向的IP语音电话系统，建立省市(地)县三级IP语音电话网。(5)电子邮件系统：建设覆盖省、市/地、县及各厅、局、委、办的电子邮件消息传递系统。通过该系统实现全省范围内的电子邮件邮递功能，便于信息传递和人员的沟通与交流。(6)信息发布系统：包括政务信息发布，公共信息发布等各类信息。信息发布主要提供给政务外网内的所有用户进行查询，供省、市(地)、县及厅、局、委、办浏览，实现信息共享，提高信息的利用率。(7)政务信息资源综合库：是电子政务系统的信息汇集中心，也是电子政务系统的基础数据库之一，办公自动化系统和业务办公系统中传递的有效公文都必须在资源综合库集中存储，以档案形式提供整个电子政务系统的查询，检索，分类等功能，实现最大限度的资源共享；(8)应用服务：为部分厅、局、委、办单位提供托管服务，并针对其特定的业务流程，制订网上业务，处理应用程序，提供专业的全面的系统服务；(9)VPN服务：为纵向行业的省市(地)县相应的分支机构提供虚拟专网服务（Virtual Private Network）；各VPN间原则上不进行资源共享。(10)安全体系：提供整个网络的安全手段，包括登录控制、身份认证、授权管理、安全审计、传输加密、数字签名、防范病毒、过程控制、文件保护、安全岛技术、防火墙技术、桌面保护、逻辑隔离、定期漏洞检测、受攻击报警、防辐射干扰等功能，确保系统和信息的安全可靠。3.2.3 设计原则政务外网连接了包括省委、省人大、省机要局、省厅等大量的机密信息点，涉及行政管理、行政业务、IP语音、视频会议和互联网的访问等大量的业务，要求电子政务的政务外网必须是一个实用的、高可靠、高效率、高扩展性、高安全性系统。IP协议是网络发展的一个重要推动力，它已经有很长的历史，是与Internet同步成长起来的网络协议。在过去，IP协议并非主导的网络协议。但是进入八十年代末和九十年代，特别是进入九十年代，随着Internet的爆炸性增长，IP协议得到了广泛的应用。越来越多的应用程序依赖于底层的IP网络，例如WWW技术，电子邮件，文件传输，等等。所以，IP协议成为主导协议已经不可逆转，这是市场的选择，也是用户的选择。以IP技术为核心的政务外网，将为基于数据、语音、视频业务的广泛应用提供坚实的基础。为达到政务外网的目标要求，在网络设计构建中，应坚持以下建网原则：1.高可靠性与安全性-网络系统的稳定可靠是应用系统正常运行的关键保证，在网络设计中选用高可靠性网络产品，合理设计网络架构，制订可靠的网络备份策略，保证网络具有故障自愈的能力，最大限度地支持政务外网各业务系统的正常运行。安全性：通过VPN、加密、防火墙等技术，并制订统一的骨干网安全策略，整体考虑全网的安全性。2.技术先进性和实用性-保证满足政务应用系统业务的同时，又要体现出网络系统的先进性。在网络设计中要把先进的技术与现有的成熟技术和标准结合起来，充分考虑到政务网络应用的现状和未来发展趋势。3.高性能-骨干网络性能是整个网络良好运行的基础，设计中必须保障网络及设备的高吞吐能力，保证各种业务（数据、语音、图象）的高质量传输，才能使网络不成为政务外网业务开展的瓶颈。4.标准开放性-支持国际上通用标准的网络协议、国际标准的大型的动态路由协议等开放协议，有利于保证与其它网络(如公共数据网、行业或企业网络)之间的平滑连接互通，以及将来网络的扩展。5.灵活性及可扩展性-根据未来业务的增长和变化，网络可以平滑地扩容和升级，并在扩容和生级过程中最大程度的减少对网络架构和现有设备的调整。6.可管理性-对政务外网实行集中监测、分权管理，并统一分配带宽资源。选用先进的管理平台，具有对网络，设备，用户等的管理、网络流量统计分析，及可提供设备故障自动报警，用户的认证授权和策略。7.经济性-采用先进、合理、实用的技术方案，配置性能价格比最佳的设备，并利用现有的资源，保护已有投资。为切实达到以上的网络设计原则，使电子政务政务外网系统具有良好的扩展性和灵活的接入能力，并易于管理，易于维护，在网络设计及构建中始终应遵循如下方面技术策略及原则。1.统一标准、统一平台-网络的互联及互通关键是对相同标准的遵循，要实现网络业务能融合到一起，实现数据、语音、视频业务的融合，就必须统一标准。从开放性、发展性、成熟性等方面来看，只有IP技术才能成为统一平台网络构建的标准。而在具体实施中，必须统筹规划IP地址及各种应用，采用开放的技术及国际标准，如路由协议、安全标准、接入标准和网络管理平台等，才能保证实现网络的统一，并确保网络的可扩展性。2.网络分层的原则-为减少网络中各部分的相关性，便于网络的实施及管理，在网络的构建中，从整体上可以将网络划分为承载网和业务网两个层次，承载网分为局域网，城域网，广域网三个层次，业务网指的是承载网上运行的业务系统，从形态上分为数据业务，语音业务，视频业务。局域网，提供一个党政部门(省/市/县/三级的政府/党委/人大/政协/厅/局/委/办)内部的网络连接，提供各种标准接口将数据接入到网络中，完成用户接入，构成政务外网最小的网络单元，进行局部数据的交换、转发。城域网，在同一市(地)范围内连接各局域网构成一个城域范围内的网络，通过高速接口将数据接入到城域网，在更大的范围内进行数据的交换路由以及处理。广域网，连接省级，市级，县级(不具备城域网条件的县，广域网连接的网络单元是县级单位的局域网)的城域网，构成省内的一个广域网络，完成网络各城域网/局域网节点之间的互联及完成高效的数据传输、交换、转发及路由分发。由于政务外网与政务内网在逻辑拓扑结构上的相似性，政务外网与政务内网有一些相同的设计原则。而由于政务外网与政府网站及Internet要求逻辑隔离，政务外网有自己的一些特点：1.政务外网与政府网站逻辑隔离，通过政府网站与Internet互通，给Internet企业和公众提供电子政务信息服务。2.政务外网涉及的政府行业和部门较多，在网络规模上要大于政务内网。3.政务外网是对外服务的网络平台基础，同时也完成内部的业务互通，对数据流量，网络性能，运行可靠要求更高。4.政务外网是一个三网合一的网络，承载数据，语音，视频等业务，而政务内网(涉密网)和政府网站一般只承载数据业务。3.3 政府网站设计原则政府网站，即政府公众信息网(连接Internet)，用于向企业和公众提供信息服务。电子政务最重要的内涵是运用信息及通信技术打破行政机关的组织界限，构建一个电子化的虚拟政府，使得人们可以从不同的渠道获取政府的信息及服务，而不是传统的经过层层关卡书面审核的作业方式，而政府机关间及政府与社会各界之间也是经由各种电子化渠道进行相互沟通，并依据人们的需求可通过使用的形式、要求的时间及地点，提供各种不同的服务选择。政府网站(政府公众信息网)作为电子政务的重要组成部分，通过完善和丰富的内容，进一步提高了政务公开及工作效率，拓宽政府与社会各界的沟通渠道。政务外网信息能够导入政府网站进行信息发布，政府网站收集的信息能够反馈到政务外网进行处理。目标是：1.对各政府部门在网上发布的政府信息进行科学分类2.建立高效链接和导航功能3.逐步把一批包括政府采购信息，审批程序，表格，指南，服务等上网4.建立与社会方便，高效的沟通渠道5.逐步实现政府与企业和公众的互动式交流。政府与企业(G2B),利用INTRANET/INTERNET/EXTRANET等网络手段，为企业经济活动提供信息化支持。包括电子商务、工商、税务、金融、海关、法律等基础设施服务，具体指电子采购、电子法规、电子税务、电子工商等。政府与公众(G2C)，利用INTERNET等公共网络为公民提供范围广泛的服务，包括卫生、医疗、教育、职业、法律、税务、金融等，体现为客户服务、教育培训、电子保健、电子公共事业服务等。可靠性，安全性，技术先进性，实用性，高性能，标准开放性，灵活性及可扩展性，可管理性，经济性，统一标准、统一平台是必不可少的。3.4 电子政务网络结构以党政办公和业务的应用需求为指导，力求为党政机关提供一个安全、先进、灵活，高带宽、高可靠性的多业务网络平台。使得党政网络能够基于这个平台，实现不同部门机关之间安全高速的数据共享，尽可能的简化办公流程，降低办公成本，提高办公效率，更好的为公众和企业服务；并为今后新的业务发展，迅速推出相应的新业务打下良好的基础。为保证多种基于高带宽的服务和新型IP技术服务，本解决方案将从多种业务服务的角度出发，建立多层次的服务业务平台。从电子政务整体架构上来说，总体上可分为三个独立的网络(如上图所示)：政务内网(分为副省级以上和副省级以下两部分)，政务外网(政务专网)，政府网站。4 政务内网解决方案4.1 政务内网需求分析4.1.1 基本要求政务内网是涉密网，必须遵循实用性、可管理性、高安全性、可扩展性、稳定性、先进性等有关原则。该网络的软、硬件必须具备升级功能，能进行该网络的横向主干带宽和纵向主干带宽的扩充(带宽至少能进行1倍以上的扩展)。关键设备要有电源备份、引擎热备份、关键板卡冗余和链路冗余，1台冷备份冗余。能有效传输数据业务，网络设备必须具有近端和远端管理功能，并由统一的网管系统进行管理。4.1.2 应用系统1电子邮件系统政务内网的电子邮件系统是内部的邮件系统，与外界完全隔离，不仅支持标准邮件协议，支持标准的LDAP目录服务、多域名、邮件列表管理、邮件过滤、抵制垃圾邮件和防杀病毒邮件、Web-Mail等功能，同时必须提供数字证书、数字加密、数字签名等功能以保证电子公文传输的实时性与准确性，有效地保护敏感文档，防止他人冒充、偷看、窃取和篡改，避免邮件丢失、收件人抵赖。该邮件系统可按实际需求开设信箱。2公文交换系统建成涉密公文电子交换系统，改变传统的手工传输工作方式，实现党政部门涉密公文、信息、会议、督查等主要办公业务的数字化和网络化，公文和信息传输无纸化。 该系统基于WEB界面，具有跨平台性。可定制标准化涉密公文模板，提供身份识别功能、压缩传输功能、解压接受功能、收发文管理功能和催办回复功能。各入网单位可视本单位实际情况，建立内部公文运转和查询系统。3省机要信息应用系统省委机要局将在该网上建立机要信息应用平台，省直各部门的机要室用单机通过省级政务内网平台与其进行加密信息交换，形成机要统一的省级纵向涉密网；同时，各市(地)委机要局通过市级政务内网平台、省级政务内政务内网平台与省委机要局机要信息应用平台进行加密信息交换，形成省市机要系统统一的纵向涉密网。4省直其他应用系统省委办公厅、省政府办公厅下属的涉密单位也将在政务内网(涉密网)上分别建立应用平台，将要求省直各涉密部门用一(多)台计算机与其进行信息交换。4.2 政务内网总体网络设计描述根据以上政务内网(涉密网)网络设计思想及应用需求，鉴于政务内网各部门的特殊安全性要求，在总体建设上采用业务与网络分层构建、逐层保护的指导原则，在逻辑层次及业务上，政务内网的构建实施如下分层：互联支撑网络安全保障系统网络业务应用互联支撑层是政务内网的基础，由政务内网管理中心统一规划、构建及管理，支撑层利用宽带IP技术，保证网络的互联互通性，提供具有一定QoS的带宽保证，并提供各部门、系统网络间的一定隔离，保证互访的安全控制；安全保障系统是指通过认证、加密、授权、绑定控制等技术对政务内网上的用户访问及数据实施安全保障的监控系统，他与互联支撑层相对独立，由管理中心与各部门单位共同规划，分布构建，如数据加密等措施建议在用户网络处(各部门)实施；业务应用层就是在安全互联的基础上实施政务内网的各种应用，由管理中心与各系统单位统一规划，分别实施。根据网络建设目标，政务内网互联支撑网络组成部分如下图副省级以上的政务内网和副省级以下的政务内网之间物理隔离，下面以副省级以下的政务内网为例展开讨论。图中政务内网广域网和各市(地)、县城域网(没有条件的县可以不建设城域网，各县级单位的局域网通过广域网互联)，是政务内网的运行支撑网，需统一规划构建；而各厅局、单位局域网则可在统一标准的基础上分布构建。为使政务内网网络构建及维护简单、层次清晰，对于政务内网统一构建运行部分，其层次结构分为政务内网广域网、城域网、局域网。组网设计说明：1、政务内网网络结构可分为三层：广域网、城域网、局域网。2、政务内网广域网将各地市连接为一个支撑整体，设计思路为考虑核心节点2-3个(省级)，能形成冗余组网以提高可靠性(首期可以考虑先建设一个)，汇聚节点X个(地市)，并要考虑政务内网连接到县级网络的扩展性。政务内网的骨干网络应具有较大的承载能力和扩展空间，选用具有高带宽，高可靠及高扩展性的传输技术。如RPR技术、SDH技术、ATM技术，环网技术，光纤技术。3、各地市(及将来的县)城域网为政务内网提供宽带IP接入，当前利用以太网技术构建城域网具有最好的性价比。总之，政务内网的网络结构可分为三个层次：广域网、城域网、局域网。设计思路为考虑(1)广域网：核心节点2-3个(根据实际情况可以建设一个)，汇聚节点X个；(2)城域网：市级节点X个，有条件的县可以构建县级城域网；(3)局域网：节点若干个，每个党政单位1个局域网。4.3 政务内网广域网设计4.3.1 政务内网广域网拓扑结构设计政务内网的广域网建设可有两种拓扑结构，星型结构及星环型结构星型结构特点是结构简单，网络距离、时延固定，便于管理，但中心节点线路及设备端口需求压力大，存在单点故障问题，如要进行灾难备份需要再建设一个备份网；星环型结构特点是结构有部分冗余，骨干网采用RPR/POS/ATM环网技术(关于RPR技术见附录一)，可进行负荷分担，网络可靠性高，并支持灾难备份，中心节点压力相对较小，但管理上相对复杂一些，时延抖动相对较大，需要考虑实际网络状况才能获得较好的效果。本着逐步建设的原则，在首期工程时可以先使用星型结构，以省会为骨干节点；并考虑今后向星环结构多中心骨干节点的网络过渡(如图，可以根据实际情况采用省中心和关键地市构成环，或多个省中心节点构成环)。4.3.2 政务内网广域网组网结构设计政务内网广域网包括从省中心节点(1个/多个)到地市汇聚节点的广域网连接，及从地市到县级节点网络的广域网连接。由于目前第三世界国家的网络基础架构薄弱，因此会出现传输资源匮乏的局面，需要大量部署专线业务，此时需要考虑广域网接入设备的选型，如需要支持E1单板等。根据目前广域网采用的主干技术及运营商的线路等资源情况，对于省中心节点到地市汇聚节点的政务内网广域网，设计方案有3种：1、采用非信道化SDH 155M(POS)点到点连接；2、采用信道化SDH(即cPOS)对接；3、采用运营商综合业务网提供的IP over SDH线路端口互联；并都要考虑采用2M E1线路备份组网，下面对这3个方案进行分别介绍。另外，考虑政务内网扩展到县节点网络，广域网市级汇聚设备必须要预留广域接口及扩展能力，以便将来扩展，对于地市到县的线路，主要可以使用运营商的E1线路捆绑获得高带宽。政务内网广域网非信道化SDH线路方案非信道化SDH(POS)线路组网方式如上图所示：组网说明：1、在物理上各节点使用运营商的155M SDH线路。中心节点设备需要支持至少10个155M POS接口，通过多条155M POS线路与运营商SDH网相连，与地市节点间点到点对接；下面地市分别采用1个155M接口与本地运营商SDH网相连；节点间互联实际带宽是155M。在省中心与地市之间利用其它运营商的2M E1线路备份组网，提高网络的可靠性。2、优点：SDH线路承载IP业务效率高，组网结构简单、维护方便，安全性高；覆盖范围广泛、运营商广泛支持，服务好，技术非常成熟。3、缺点：点到点连接对中心设备端口要求多，会提高设备投资；只有155M的这一个计费带宽，在网络业务流量不是非常大的情况下，会造成一定的设备能力闲置，不能很好降低运行成本。实施备份组网需要再拉线路。政务内网广域网信道化SDH线路方案信道化SDH(cPOS)线路组网方式如上图所示：组网说明：1、在物理上各节点使用运营商的155M SDH线路。中心节点设备需要支持155M cPOS接口，通过多条155M cPOS线路与运营商SDH网相连，每个接口与地市节点间点到点对接；下面地市分别采用1个155M接口与本地运营商SDH网相连；节点间实际通信带宽可以通过运营商捆绑的2M通道数，在12M632M间平滑变动。在省中心与地市之间利用其它运营商的2M E1线路备份组网，提高网络的可靠性。2、优点：SDH线路承载IP业务效率高，组网结构简单、维护方便，安全性高；覆盖范围广泛、运营商广泛支持，服务好，技术非常成熟，通过运营商捆绑信道数，可以根据实际需要选择带宽，降低线路租用费用，一定程度降低运行费用，且带宽可以平滑升级到155M甚至更高。3、缺点：点到点连接对中心设备端口要求多，而且一般设备cPOS接口相对POS接口价格高一些，会增加一些投资；实施备份组网需要再拉线路。政务内网广域网IP over SDH线路组网方案IP over SDH线路组网方式如上图所示：组网说明：1、在物理上广域网各节点使用运营商综合传输设备提供的IP over SDH线路，主要提供100M以太网接口。中心节点路由设备需要支持100M以太网路由口，通过多条100M以太网线路与运营商SDH网相连，每个接口与地市节点间点到点对接；下面地市分别采用1个100M以太网路由口与本地运营商SDH网相连；节点间实际通信带宽可以通过运营商捆绑的2M通道数，在12M482M间平滑变动。在省中心与地市之间利用其它运营商的2M E1线路备份组网，提高网络的可靠性。2、优点：IP over SDH线路,承载效率高，接口为100 BaseFX,投资节省，技术成熟，维护方便，组网结构简单，安全性高；通过运营商捆绑SDH的信道数，可以根据实际需要选择带宽(12M482M)，降低线路租用费用，一定程度降低运行费用，且有效带宽可以平滑升级到96M，保证将来对带宽的需要。3、缺点：点到点连接对中心设备端口要求多，会增加设备投资；运营商支持不是很多，不利于竞争谈判降低线路费用；点到点之间互联不能象PPP over SDH线路提供PAP/CHAP认证,最终能提供的最高带宽没有POS线路高；实施备份组网需要再拉线路。在充分研究了目前业界对设计一个广域网(WAN)所采用的各种网络主干技术，并充分考虑到营运网络主干技术发展的主流和趋势后，建议：1.从技术发展前景及传输效率考虑，物理传输平台可以采用POS线路技术,其承载效率高，安全性好,带宽高,可实现线路备份,可扩展性强，是运营商发展方向，具有多家运营线路，有利于降低综合成本；另外，也可以采用100M以太接口连接的IP over SDH组网， 设备费用、线路租用费用均会较低，但最终在同一光纤、接口资源上提供的带宽没有POS线路的高。如果从初期成本考虑，物理传输平台可以使用155M ATM线路，其按照PVC计费有利于初期流量小时降低运行费用；但其承载效率比较低，对一些业务带宽占用会急剧增加，每BIT承载成本与其它线路比也没有优势，以后扩容将会受到限制，如果以后流量增大，需要更多带宽时，ATM运行成本会比POS高；2.逻辑网络连接上采用星环结构的组网拓扑。建议重要节点(方式1.多个省中心节点间；方式2.省中心节点和重要城市的汇聚节点)采用环形连接，其余节点采用树型连接方式挂在主干环上，这样既可以节省费用，冗余性也得以保障。可在保证网络的传输性能的情况下，又节省费用。3.具体实施可以采用核心高端路由器上的POS/RPR环行连接，让IP数据包直接在光纤上传输，既大大提高在以IP应用为主的网络传输的效率和性能，又不额外添加光纤终端设备；如果选择ATM线路，则使用ATM接口。4.首期工程的实施中，省政务内网可采用GE、POS/ATMOC3接入；另外，如果考虑政务内网流量相对较小，E1线路捆绑可以降低运行费用，但会增加故障点。5.在骨干节点可以采用光纤传输技术POS，可以基于标准的SDH设备实现硬件级的环路保护。6.在省中心与地市节点之间采用其它运营商提供的专用线路(如N*2M E1)作为备份，可以进一步提高网络的可靠性。7.路由技术上采用BGP、OSPF、IS-IS、静态路由协议。并划分若干自治区域，便于管理和减少路由发布的数量和规模。8.省、市(地)的路由器间互联采用租赁或自建155M POS/ATM线路资源的式进行互联。县级与市(地)之间互联，由于POS/ATM骨干网不完全覆盖到县，因此可利用县与地市间的E1传输线路，将县节点出口路由器通过1至多(eg:4)条E1线路直接接入到地市SDH光传输设备的E1接口上，实现互联，同时各条E1间可采用路由负载分担。9.必须考虑到将来政务内网向县级扩展，地市设备要作为县级扩展的中心汇聚节点，需要预留将来的扩展插槽及能力，县级网络线路主要使用E1及捆绑。4.4 政务内网城域网互联设计城域网组网主要使用千兆以太网技术(容量需求较大的可以采用2.5G POS环网技术)，组建高速的宽带IP网。对于有多个核心节点的城域网，如重要城市，在核心节点使用核心路由交换机/核心路由器，节点间组成环网可以提供路由保护及提高可靠性，如下图所示，市节点1，2到N构成环网。而对于只有一个核心节点的城域网(大部分地市城域网、将来的县级城域网)节点使用1台核心交换机/核心路由器(或2台核心交换机/核心路由器主备工作)，下接多台汇聚交换机进行汇聚收敛。组网说明：1、在城域网中，由于网络流量较大、接口较多，作为中心设备，高性能的核心交换机/核心路由器是必不可少的；电源模块，主控模块，网络交换单元等关键部件冗余备份，三/四层线速，交换容量在640G以上，支持多种接口类型。2、核心交换机/核心路由器构成城域网主体路由交换中心，同时通过GE光口连接广域网骨干路由器。并为二级汇聚节点及接入