XX电子政务外网整体设计方案

1、XX电子政务外网整体设计方案CONTENTS目录1政务外网趋势及需求分析2政务外网整体解决方案3政务外网解决方案特点 资源化网络资源统一管理、根据业务需要灵活编排自动化应用自动部署、快速上线自适应动态感知、主动适应、差异化保障开放协同跨域协同、实时联动电子政务外网整体发展趋势数据中心/云服务用户WAN 可用性部分关键节点设备和链路没有冗余，存在单点故障。 安全性无法满足等级保护的防护要求专用网络区、公用网络区和互联网之间未实现隔离厅局委办终端接入电子政务外网存在一机多用 可扩展网络架构层次不清晰，设备档次层次不齐，无法实现全域覆盖 可管理运维管理工具和手段比较缺乏，如业务的自动化部署、故障定位

2、、流量和路径可视等性能设备和链路无法满足全业务承载的能力电子政务外网面临挑战需求分析可用性可管理可扩展高性能灵活性安全性电子政务外网需求分析网络架构松耦合，区域故障隔离冗余热备，无单点故障符合等保二级业务按需划分安全域终端安全防护与准入控制资源动态分配，网络部署自动化IPv4、IPv6支持，全面部署IPv6满足政务机构不同场景应用需求政务平台多项业务融合开展纵向到底、横向到边业务网络容量可持续扩展建立网络建设标准和规范集中运维监控，增加日志管理系统稳定可靠提供高可用的政务网络通信服务，稳定可靠地支撑业务，保证业务连续性灵活扩展快速响应网络系统具备有弹性、可扩展、动态资源灵活分配的特性满足业务和

3、应用在一定范围内变化满足纵向到底、横向道边的全国政务网络服务，达到100%全域覆盖安全可控智能运维符合安全等保要求，及其相关网络规范网络分级管理、故障综合治理实现标准化、自动化和智能化的网络管理具备网络传输、综合应用支撑、管理服务和安全保障等功能支持业务应用系统资源整合，实现跨部门、跨地区的网上业务协作和信息资源共享业务具备平滑扩展能力，能长期满足政务部门内部协同办公和面向社会服务的需要10电子政务外网整体建设目标CONTENTS目录1政务外网趋势及需求分析2政务外网整体解决方案3政务外网解决方案特点 电子政务外网建设思路政务外网的业务发展需求和IT技术的发展趋势要求未来的网络基础架构方向是什

4、么？应该具备哪些能力？架构方向1未来的技术路线应该如何选择？新兴技术在政务外网是否适用？架构策略2数字政府业务要求经济发展民生改善业务支撑政务外网未来目标稳定可靠安全可控敏捷高效智能运维策略设计迁移运维持续优化电子政务外网技术架构网络架构安全架构运维体系如何保障业务迁移的平滑、IPv4到全面部署IPv6业务连续4政务外网的目标蓝图政务外网的具体设计，包括：网络、安全、运维等方面演进策略和步骤？蓝图及演进 3政务外网建设整体架构国家电子政务外网 IP 网络按照管理层次，由中央、省级、地（市）、县（区）四级网络平台组成。网络物理结构上，可以分为广域网和城域网，广域网用于纵向覆盖各级行政区划，城域网

5、用于横向连接本级政务部门，并建设安全接入平台和统一互联网出口。区县区县城域网区县/镇/乡/村级局域网互联网出口广域网部门接入网市级市级城域网市直单位局域网安全接入平台互联网出口政务云城域网政务云城域网整体架构城域网边界至接入城域网边界至汇聚区县城域网采用核心、汇聚二层架构，各级政务单位自行提供接入设备，区县城域网不具备专线接入的村级单位采用4G/5G/LTE等方式与市级安全接入平台建立IPSEC隧道。优点：投资成本低，运维工作量稍小缺点： VPN部署到末端困难，业务开通缓慢，难以实现完善的业务质量保障。省市级城域网和区县城域网均采用核心、汇聚和接入三层架构，接入层延伸到各级政务单位，区县城域网

6、不具备专级接入的村级单位采用4G/5G/LTE等方式与市级安全接入平台建立IPSEC隧道。优点：VPN方便延伸到最未端，业务隔离灵活，业务可实时开通，能够实现完善的业务质量保障。缺点：投资成本较高，运维工作量大。路由规划统一建设网络架构省级广域网和省城域网作为独立的路由自治域，运行BGP和OSPF路由协议。每个市级城域网作为作为独立的路由自治域，运行BGP和OSPF路由协议。区县城域网若需要支持MPLS VPN实现业务隔离，则也作为独立的路由自治域，运行BGP和OSPF路由协议，采用Option B跨域时，区县的BGP自治系统号复用非本省分配的自治系统号，在区县广域网接入与区县城域核心间启用覆

7、盖AS特性进行AS号替换；采用Option A跨域时，区县的BGP自治系统号复用本地市的自治系统号。若不需要支持MPLS VPN，则运行单独的OSPF进程，在区县广域网接入设备上进行双向路由导入。路由规划分级建设网络架构省级广域网和省城域网作为独立的路由自治域，运行BGP和OSPF路由协议。每个市级广域网和城域网作为作为独立的路由自治域，运行BGP和OSPF路由协议。区县城域网若需要支持MPLS VPN实现业务隔离，则也作为独立的路由自治域，运行BGP和OSPF路由协议；采用Option B跨域时，区县的BGP自治系统号复用非本省分配的自治系统号，在区县广域网接入与区县城域核心间启用覆盖AS特

8、性进行AS号特性，采用Option A跨域时，区县的BGP自治系统号复用本地市的自治系统号。若不需要支持MPLS VPN，则运行单独的OSPF进程，在区县广域网接入设备上进行双向路由导入。区县城域组网城域网架构图城域网架构图采用“树形”三层架构，其中核心层、汇聚层两两高可用，保证网络连接的连续性。政务外网安全设计 政策合规要求：等保2.0强制要求必须执行大力支持将关键信息基础设施安全保护制度确立为国家网络空间基本制度，加强国家的网络安全监测预警和应急制度建设，提高网络安全保障能力国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，在网络安全等级保护制度的基础上

9、，实行重点保护高度重视，加强领导保障经费，加强监督加强沟通，密切合作网络安全法：第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改; 第三十一条 国家公共通信和信息服务、能源、交通、 水利、金融、公共服务、电子政务等重要行业和领域，以及 一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。电子政务行业等保2.0建设要点安全管理中心建设以主动安全为核心理念 的态势感知系统作为安 全管理

10、中心最核心的组 成部分。安全监测手段加强以日志留存为基础，以 APT监测、终端/主机监 测、流量分析、入侵检 测、数据库监测等为手 段，为主动安全实现奠定 基础。政务网络安全建设以电子政务外网为典型代 表的政务网络成为等保对 象，“一个中心、三重防 护”中的安全管理中心、 安全区域边界是重点加强 建设点。政务云安全建设不管是新建政务云、已建 政务云，必须加强租户等 保2.0服务能力建设、加强 安全管理中心建设。关键信息基础设施政务云、政务外网在关键信 息基础设施范畴内，基于等 保而高于等保，安全建设势 在必行。传统等保建设技术难度大安全建设原则：按一个中心、三重防护原则，即是安全管理中心+计算

11、机环境安全、区域边界安全、通信网络安全、物理安全。等保一体机等保解决方案等保一体机一般部署在安全运维管理区或者直接旁路部署在核心交换机只需要提供等保一体机与管理资产之间的IP和协议可达网络即可,功能上将“系统管理、审计管理、安全（主机）管理”整合形成多态化安全管理中心等保一体机城域网出口安全互联网接入区依托政务外网城域网，整合各部门互联网出口，建设省、市、县三级互联网统一出口，广域网原则上不承载互联网接入区的流量。互联网接入区负责各厅局委办的终端用户访问互联网，不对公众用户提供对外服务。互联网接入区依据等保二级相关技术要求，由外到内部署链路负载均衡、防火墙、IPS（防病毒）、上网行为管理等安全

12、功能设备，形成安全纵深防御能力。由于接入终端数量多、并发连接数高、吞吐量大，建议省市级互联网接入区设备采用万兆，区县级互联网接入设备采用千兆。部门接入网与城域网的接入方式城域网边界延伸至接入单位城域网边界至汇聚设备等保一体机解决方案特点方案特点：带外管理，部署简单，实施风险小现网资产利用率高，组网灵活等保一体机终端准入场景设计政务外网公共基础设施专用网络VPN1专用网络VPN2专用网络VPNxx专用业务政务外网共享平台认证服务公用业务互联网服务公共网络服务市级安全接入平台安全交换安全接入移动办公互联网业务政务外网业务承载模型安全交换安全接入政务部门企业公众用户互联网“一机多用”问题统一互联网出

13、口之后，委办局访问电子政务业务和互联网业务都需要经过电子政务外网城域网，需要做到防止终端同时访问这些网络，建议采用“一网一机” 模式实现网络隔离，但是采购成本和运维成本较高。电子政务外网城域网互联网业务政务业务专用业务ABC政务外网终端准入方案有客户端方式.核心路由器运维管理中心城域横向网EPS服务器&扫描器终端准入控制系统终端准入控制系统&EIA 中心服务器电子政务外网互联网出口政务云PE接入单位1CE扫描器接入单位NCE扫描器.区域接入单位1CE扫描器接入单位NCE扫描器.市直单位认证报文流数据报文流L2TP认证点鹰视方案要点：终端准入控制系统实现智能终端准入控制以及桌面安全评估鹰视实现非

14、智能终端管理，防私接仿冒通过iNode客户端构建L2TP隧道，发起PPP认证认证点在PE，PE设备作为LNS设备，需支持PPP协议（完成防火墙的对接测试）PE上创建多个域，绑定不同的VPN INSTANCE一套用户名+密码，使用不同的Domain名称（用户名互联网），区分所属域（ VPN实例），认证同通过后，根据用户域名切换至对应域方案价值：PE设备不支持分时分域的情况下，解决用户多域切换的问题，但依赖iNode客户端实现终端分时分域管理需要安装客户端，带来工作量的增加，无法解决NAT后的溯源问题L2TP隧道PEPEPE政务外网终端准入方案无客户端方式.核心路由器运维管理中心城域横向网EPS服

15、务器&扫描器终端准入控制系统终端准入控制系统&EIA 中心服务器电子政务外网互联网出口政务云PE接入单位1CE扫描器接入单位NCE扫描器.区域N接入单位1CE扫描器接入单位NCE扫描器.市直单位认证报文流数据报文流Portal认证点鹰视PEPEPE方案要点：终端准入控制系统实现智能终端准入控制以及桌面安全评估鹰视实现非智能终端管理，防私接仿冒支持iNode客户端认证，灵活多域切换支持免客户端认证认证点在PE，且PE设备为分时分域功能设备，与防火墙的对接正在测试中（提前沟通）PE内网侧接口不绑定VPN实例PE上创建多个Domain，下发不同的VPN INSTANCE属性一套用户名+密码，使用不同

16、的Domain名称（用户名互联网），区分所属域（ VPN实例），认证同通过后，根据用户域名切换至对应域方案价值：部署简单、维护量小可实现免客户端认证接入实现终端分时分域管理新一代终端准入控制系统特点分析网络感知用户传统方式每次登录需重新输入用户名密码手机软键盘小，输入体验差首次认证成功，后续自动登录网络主动探测用户，接入过程全自动智能运维场景设计IT运维客户需求分析 1为满足平台对运维的需求，涉及运维架构整合与重构，明确哪些利旧、哪些工具购买、哪些开发3各个部门自动化运维操作的比例有待提升，如何全面提升数据中心级业务场景的自动化运维能力；2建立数据资产，打造数据平台层：有哪些数据，数据关系，数

17、据整合，如何消费4建立准确、集中的配置管理数据中心供各运维平台消费5“数字化”“自动化”到“AIOps”，借助运维工具，实现从传统向智能数据中心的战略转型统一运维平台，智能运维弹性集群U-Center 2.0融合、统一、智能网、安、端全域、异构资源统一运维资源管理（ CMDB ）为核心ITSM实现流程管理建设知识案例库基于AI，透视网络全层，性能故障协同延伸边界，杜绝边缘管理盲区容器底盘，按需部署，弹性扩展资源对象层（IT基础设施&应用）技术域运维层机房监控系统单域运维工具&专家系统CMDB服务器运维存储运维应用运维运维大数据传统网络运维安全运维流程驱动服务运维（ITSM）跨域运维监测（IOM

18、）业务驱动可视化运维（BSM）AIOps统一单点登录、统一门户、统一北向代理自动化运维调配（AOM）Restful API无线网络运维全域运维层终端运维容器化统一部署统一集成运维平台统一运维平台智能运维统一告警，统一拓扑，统一CMDB，统一应用健康，统一服务流程机房存储服务器云应用传统网络SNA安全终端大数据有线无线SDNNFVSNMP/CLI/GRPC/WMI/IPMI/SMI-S/JDBC/SOAP/Rest/NetStream/Netflow/Syslog/Trap/SPAN3DSSA/HandySSA/FISTAPM/专有工具iMC/S+绿洲/WSMSEIM/SOC终端准入控制系统/鹰

19、视CONTENTS目录1政务外网趋势及需求分析2政务外网整体解决方案3政务外网解决方案特点 市级城域网区县城域网区县广域接入市广域核心ASASAS市级城域网区县城域网区县广域接入市广域核心ASAS专用网络区VPN1专用网络区VPNxx公用网络区互联网接入区基于VPN网络隔离互联网专用网络区VPNxx公用网络区互联网接入区基于防火墙逻辑隔离基于防火墙逻辑隔离基于防火墙逻辑隔离市级广域网市级城域网市直属单位局域网市级广域网市级城域网市直属单位局域网广域网城域网部门接入网市级政务外网区县政务外网路由分域业务隔离网络承载基础网络架构特点：层次清晰、稳定可靠统一融合智能运维弹性开放极简智能控制、编排、管理入口统一，端到端应用保障编排融合大数据与AI的网络分析能力，深度感知、智能预判标准的南北向接口，支持第三方系统对接集成智能网络系统设计全网洞察、全域覆盖端到端业务保障智能分析、集中管控、统一编排标准接口、开放融合AI共享平台统一控制器业务数据采集智能分析、业务仿