电子政务网络设计案例_第1页
电子政务网络设计案例_第2页
电子政务网络设计案例_第3页
电子政务网络设计案例_第4页
电子政务网络设计案例_第5页
已阅读5页,还剩76页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、杨 威山西师范大学网络信息中心 , VPN与与MPLS VPN构建安全逻辑隔离系统构建安全逻辑隔离系统 ,涉密局域,涉密局域网布线网布线 电子政务是指政府机构利用信息化手段,实现各类政府职能。其核心是应用信息技术,提高政府事务处理的效率,改善政府组织和公共管理。 支持政府部门横向信息共享和交互平台 支持政府各部门上下级纵向连接 支持城域内各政府部门统一接入Internet 城域网关键性业务的可靠性保障 政府部门业务系统安全隔离和受控互访 特殊应用系统QoS保证 降低城域网管理维护复杂度和成本 数据中心安全防护 电子政务城域骨干网 电子政务信息系统 城域网的汇聚与接入 基于EPON的接入 电子政

2、务城域网结构设计城域网核心层城域网核心层RRPP技术技术 RRPP技术是一种专门用于以太网环的链路层协议,它在以太网环中能够防止数据环路引起的广播风暴。当以太网环上链路或设备故障时,能保证链路倒换时间为50ms以内,业务倒换时间为50200ms,保证业务快速恢复 .RRPP与STP(生成树协议)相比,RRPP具有算法简单、拓扑收敛速度快和收敛时间与环网上结点数无关等显著优势。RRPP技术没有改变传统以太网的硬件,所有正在网络中运行的中高端交换机都可以通过软件升级支持吉比特以太网端口的RRPP特性。RRPP与RPR技术相比,RRPP是一种低成本的自愈环网技术。逻辑子网逻辑子网VLAN划分划分 电

3、子政务城域网的逻辑拓扑可划分为若干VLAN(虚拟子网),VLAN不受设备物理位置的限制,灵活性较大。市政府、市委服务器群单独划分子网,将各种主要服务器(Web、Mail、FTP、OA、VOD、数据库等)放在一个子网内便于管理和维护,同时也可以尽可能减少外部入侵及破坏系统的可能性。另外,交换机(包括全网核心层、汇聚层和接入层交换机)的管理划分单独子网。其他子网可按电子政务系统的职责范围划分,采用多个VLAN管理。公共服务网站整体架构 根据政府机构的业务形态来看,通常电子政务主要包括三个应用根据政府机构的业务形态来看,通常电子政务主要包括三个应用领域。其业务模型可以用下图表示。领域。其业务模型可以

4、用下图表示。 图 电子政务业务模型在电子政务系统中主要存在三种信息流,如下图所示。 图 电子政务信息流模型构建的电子政务体系结构主要包括三个应用系统和一个网络通信平台。如图所示。政府公共信息服务Web网站信息安全交换系统政府内部办公网络信息平台政府网络通信平台、社会公众 企业工作人员电子政务技术规范电子政务安全规范图 电子政务平台系统结构图 电子政务系统功能结构图政务处理逻辑组织将系统结构划分成数据层、组件层、功能层和应用层,如图所示。网上调研系统短信通知系统信息搜索系统视频直播系统网站访问行为分析网上接待咨询用户统一登记管理信息发布模板文件电子申报系统文档管理 | 流程管理 | 用户管理 |

5、 邮件管理 | 短信管理 | 报表处理()身份认证 CA |资源权限管理|工作流引擎|全文检索引擎|数据交换引擎()电子政务数据格式规范 XML 数据库文件库数据网关应用层数据层功能层组件层图电子政务处理逻辑结构9.2.3 城域网的汇聚与接入城域网的汇聚与接入设计思想设计思想 汇聚层设备可以采用路由器(支持E1接入),也可以采用交换机(支持GE/FE接入)。汇聚层设备要求支持MPLS VPN,能够承担PE(Provider Edge,骨干网中的边缘设备)的功能,并需要支持NAT(地址转换)功能,以支持不同接入用户在地址重叠的情况下能够通过NAT技术转换成不同的地址。考虑某市各县经济情况、县区大

6、小,各县网络机房需要配置不同型号的路由交换机、路由器、交换机、服务器等设备。通常,市政府与所辖的区政府位于同一个城市,可采用1Gbit/s路由交换机上连市电子政务骨干网。县政府与市政府之间距离较近,可采用路由器上连电子政务骨干网。上连的设备均要支持MPLS VPN,便于纵向业务访问。 技术方案技术方案 为了保证各系统办公数据的全程安全,仅在MPLS网络上进行VPN隔离是不够的,还必须在接入端以下对不同部门的数据进行隔离。在条件允许的情况下,不同的部门局域网通过不同的边界路由器接入MPLS网络中,这些部门在接入侧隔离,如图9.7所示 9.2.4 基于基于EPON的接入的接入例如,市地税局下属8个

7、税务所,分布在城市的不同街道或路段,均在10km范围内。每个税务所约有520台业务终端。按照华为EPON技术方案,OLT设备选用S6503,配置Salience III型交换路由板,配置LS8M1PT8GA(8端口吉比特EPON业务板,与ONU之间的最大传输距离为10km)。S6503安置在市地税局大楼机房 网络屏蔽线安装技术网络屏蔽线安装技术电子政务办公专网拓扑结构电子政务办公专网拓扑结构电子政务专网的安全体系结构电子政务专网的安全体系结构 9.3.3 电子政务专网的安全体系结构电子政务专网的安全体系结构 多服务器集中存储 远程灾难备份与恢复 9.4.1 多服务器集中存储多服务器集中存储面对

8、多服务器存储管理,需要采用安全、可靠、稳定及低成本的IP存储技术方案。利用IP SAN自带的备份软件的实时或定时备份功能,能够实现备份工作自动化、制度化和全面化,为系统提供更高层次的安全保障和可靠性。多服务器集中存储网络,使用H3C的S5100-24P-EI(提供24个1Gbit/s电口),连接Web网站、工作流计划系统、资源库、数据库、身份认证与审计系统、电子政务信息系统(数据库)等服务器的1Gbit/s网卡和EX1000S,组成IP SAN存储系统。EX1000S配置250GB的SATA II磁盘20块,采用RAID 5+热补,可用存储容量4.5TB。服务器通过iSCSI驱动程序(免费),

9、将数据集中到存储系统中。 远程灾难备份与恢复技术支持在数据中心与灾难备份中心之间通过IP网络对关键业务数据进行策略性增量复制,实现数据的异地备份,并在发生意外灾难时对数据进行快速恢复,确保客户的业务持续性。电子政务电子政务PKI部署部署 电子政务业务隔离电子政务业务隔离 电子政务业务互访电子政务业务互访 电子政务安全通信电子政务安全通信 点对点的通信安全点对点的通信安全网络行为监管与审计网络行为监管与审计9.5.1 电子政务电子政务PKI部署部署 PKI(Public Key Infrastructure,公钥基,公钥基础设施)是一种遵循既定标准的密钥管理平础设施)是一种遵循既定标准的密钥管理

10、平台,它能够为所有网络应用提供加密和数字台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理签名等密码服务及所必需的密钥和证书管理体系体系。PKI是提供公钥加密和数字签名服务的系统,是提供公钥加密和数字签名服务的系统,目的是为了自动管理密钥和证书,保证网上数目的是为了自动管理密钥和证书,保证网上数字信息传输的机密性、真实性、完整性和不可字信息传输的机密性、真实性、完整性和不可否认性。否认性。PKI基于非对称公钥体制,采用数字证书管理基于非对称公钥体制,采用数字证书管理机制,可以为透明地为网上应用提供上述各种机制,可以为透明地为网上应用提供上述各种安全服务,极大地保证了网

11、上应用的安全性。安全服务,极大地保证了网上应用的安全性。uPKI系统可划分为四个功能区域,即 核心安全区、审核管理区、在线服务区、本地审核受理点(LRA)区 安全平台能够提供智能化的信任与有效授权服务。其中,信任服务主要是解决在茫茫网海中如何确认“你是你、我是我、他是他”的问题。授权服务主要是解决在网络中“每个实体能干什么”的问题。 例如,张三发送一个合约给李四,李四可要求张三进行数字签名。签名后的合约不仅李四可以验证其完整性,其他人也可以验证该合约确实是张三签发的。而所有的人,包括李四,都没有模仿张三签署这个合约的能力。 1.签名过程2.通过网络传输3.接收验证签名Hash运算Hash运算文

12、摘签名私钥加密文件同签名一起发送签名文摘文摘公钥解密对比基于基于VLAN的业务隔离的业务隔离 VLAN是在以太网的二层建立数据帧标签(Frame Tag),使不同的标签数据帧通信被隔离。只有通过第三层交换,不同标签数据帧才可通信。在实际中,考虑到MAC地址易篡改和IP易盗用,电子政府分支部门(如县级工商局不同业务科室)多采用基于端口的VLAN。1. VPN技术要能够使得政务网内一个局域网的数据透明的穿过公用网到达另一个局域网,VPN采用了一种称之为隧道的技术。 基于隧道的VPN网络 表 VPN 的主要协议标准OSI模型安全技术安全协议应用层表示层应用代理会话层传输层会话层代理SOCKSv5/S

13、SL网络层数据链路层物理层包过滤IPSecPPTP/L2F/L2TP 交换路径 交换路径 用户端用户端PE 服务提供端服务提供端PE 9.5.3 电子政务业务互访电子政务业务互访电子政务业务互访设计 电子政务网按照功能不同可为纵向业务区、公众服务区和资源共享区3个独立区域。纵向业务区是各个纵向政府部门在电子政务外网上划分出来的虚拟逻辑专网,负责传送各政府部门自身的业务数据,彼此之间严格安全隔离。公众服务区是电子政务外网上划分出的对公众服务的部分,包括各类Web/FTP公众服务器 纵向业务系统访问互联网或公众服务区时,要在纵向业务区的边界路由器(可能在PE上,也可能在边界防火墙上)上设置NAT协

14、议。通过NAT,将纵向业务区用户的私有网络地址(如)翻译成电子政务外网统一分配的地址,以这个地址实现对公众服务区(公众服务器同样分配电子政务外网地址)访问和对互联网的访问 纵向业务系统用户访问共享资源区时,纵向业务系统用户不直接访问共享资源区,而是通过前置机方式访问。纵向业务系统(如工商)将自己需要和其余纵向业务系统(如国税、地税)交互的数据通过安全方式(如隔离网闸),由内部服务器导入到前置机上。所有纵向业务系统的前置机设置成一个单独的VPN,共享资源区设置成一个共享VPN 安全套接层协议安全套接层协议 HTTPS协议协议安全超文本传输协议安全超文本传输协议 HTTPS(

15、Secure Hypertext Transfer Protocol,安全超文本传输协议)是由Netscape开发并内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。HTTPS实际上是应用了SSL作为HTTP应用层的子层。HTTPS的端口是443,HTTP的端口是80。SSL使用40或128 位关键字作为RC4流加密算法,这对于商业信息的加密是合适的。HTTPS和SSL支持使用X.509数字认证,用户可以确认发送者是谁。 IPSec可用于保护在两台计算机(如应用程序服务器可用于保护在两台计算机(如应用程序服务器和数据库服务器)之间传送的数据的安全。因为和数据库服务器)之

16、间传送的数据的安全。因为IPSec加密、完整性和身份验证等服务是在传输层实加密、完整性和身份验证等服务是在传输层实现,现,IPSec对应用程序来说是完全透明的。应用程序对应用程序来说是完全透明的。应用程序可以继续使用可以继续使用TCP端口和端口和UDP端口以正常方式相互通端口以正常方式相互通信。信。使用使用IPSec,可以对两台计算机之间传送的所有数据,可以对两台计算机之间传送的所有数据加密,从而实现消息机密性。在两台计算机之间提供加密,从而实现消息机密性。在两台计算机之间提供消息完整性,但不加密数据。在两台计算机(而非用消息完整性,但不加密数据。在两台计算机(而非用户)之间相互验证身份。例如

17、,可以建立只允许特定户)之间相互验证身份。例如,可以建立只允许特定客户端计算机(如应用程序服务器或客户端计算机(如应用程序服务器或Web服务器)所服务器)所发请求的策略,从而帮助保护数据库服务器的安全。发请求的策略,从而帮助保护数据库服务器的安全。也可以限制只与特定的也可以限制只与特定的IP协议和协议和TCP/UDP端口通信。端口通信。RPC提供一套可配置的身份验证级别,范围从无身份验证(和无数据保护)到参数状态的完全加密。最安全的级别(RPC数据包保密性)会为每一个远程过程调用,及由此产生的每一个DCOM方法调用的参数状态加密。RPC加密级别(40位或128位)取决于客户端计算机和服务器计算

18、机上运行的Windows操作系统版本。 点对点安全性点对点安全性安全通信的典型安全通信的典型Web部署模型部署模型点对点通信情况大致可分为:浏览器到Web服务器,Web服务器到远程应用程序服务器,以及应用程序服务器到数据库服务器等三种。在这三种点到点通信中,使用SSL、IPSec和RPC加密,保护每一个通道的安全,如图9.10所示 Windows身份验证 基本身份验证基本身份验证。可使用IIS配置Web服务(Web Services)的虚拟目录,以便进行基本身份验证。使用此方法,客户端必须配置代理服务器,并提供用户名和密码形式的凭据。然后代理服务器将通过它的每个Web服务请求一起传输。凭据是以

19、明文形式传输的,使用基于SSL(Secure Socket Layer,安全套接层)的基本身份验证 集成的集成的Windows身份验证身份验证。可使用IIS配置Web服务的虚拟目录,根据客户端和服务器环境不同,进行Kerberos V5身份验证。相对于基本身份验证,这种方法的优点是凭据不通过网络传递,从而排除了网络窃听的威胁。将服务器配置为集成Windows身份验证的Web Services,客户必须显式地配置代理服务器上的“凭据”属性 用户接入网络用户接入网络主机主机网络传输设备网络传输设备安全策略服务器安全策略服务器隔离区域隔离区域RG-SAM锐捷认证系统锐捷认证系统RG-SMP安全管理平

20、台安全管理平台RG-RES(安全修复系统)(安全修复系统)用户认证信息802.1x用户认证信息RadiusB用户安全策略判断A用户身份认证识别用户网络访问权限RadiusRG-SA锐捷安全客户端锐捷安全客户端安全访问权限执行802.1x安全信息通知用户入网强制安全用户入网强制安全用户接入网络用户接入网络主机主机网络传输设备网络传输设备安全策略服务器安全策略服务器隔离区域隔离区域RG-SMP安全管理平台安全管理平台RG-RES(安全修复系统)(安全修复系统)安全事件RG-SA锐捷安全客户端锐捷安全客户端安全规则执行安全信息通知RG-SWITCH锐捷安全联动锐捷安全联动设备设备安全事件安全事件判断

21、,调用相应安全规则网络安全事件的自动防御,根据不同的网络安全事件的自动防御,根据不同的安全事件,将相应的安全策略下发到安安全事件,将相应的安全策略下发到安全联动设备中或者安全客户端上,从而全联动设备中或者安全客户端上,从而保证用户系统免受安全攻击。保证用户系统免受安全攻击。自动防御 源地址检查 网络中心网络中心PingSweep防止用户对网络的扫描ACL功能强大的ACL功能、提供标准、扩展、基于时间以及专家级ACL,全方位保护网络RADIUS身份验证/SSHBPDU GUARD,802.1W防止对STP的攻击Storm Contrl风暴控制防止瞬间超大的数据流量验证用户对核心设备的访问PORT

22、 SERCURITY端口MAC的绑定、限定MAC数量,有效保护网络攻击源IP地址欺骗攻击检测SSH/源IP地址限制设备访问的安全性防DOS攻击防SYN、Smurf攻击网络设备嵌入式安全机制网络设备嵌入式安全机制根据对用户系统安全性的评估,已及新的安全策略要求,安全系统会将相应根据对用户系统安全性的评估,已及新的安全策略要求,安全系统会将相应的安全信息下发给安全客户端要求用户进行系统安全性升级,同时有效的安全信息下发给安全客户端要求用户进行系统安全性升级,同时有效控制用户的网络访问行为和范围、当修复完成用户被允许正常进行网络访问。控制用户的网络访问行为和范围、当修复完成用户被允许正常进行网络访问。用户接入网络用户接入网络主机主机网络传输设备网络传输设备安全策略服务器安全策略服务器隔离区域隔离区域RG-SMP安全管理平台安全管理平台RG-RES(安全修复系统)(安全修复系统)RG-SA锐捷安全客户端锐捷安全客户端A、安全信息目前用户系统处于不完整状态,或新安全策略要求用户进行系统升级自动网络连接修复安全客户端根据安全信息,自动连接修复服务器进行系统修复RG-SWITCH锐捷安全联动锐捷安全联动设备设备B、用户访问范围控制用户系统信息通告用户访问范围控制自动修复自动修复 安全

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论