云南省电子政务外网(-31张)课件

1、云南省电子政务外网网络平台建设电子政务论文答辩云南省电子政务外网网络平台建设电子政务论文答辩概述主要包括：网络平台逻辑规划网络平台逻辑架构设计QoS设计可靠性设计网络安全保障措施等本文主要描述如何在云南省电子政务专网基础之上建设云南省电子政务外网网络平台概述主要包括：本文主要描述如何在云南省电子政务专网基础之上建云南省电子政务网络建设现状 从2003年起，我省陆续开展了电子政务一、二、三、四期工程，建成了覆盖省级各委办厅局、16州市、129个县的云南省电子政务专网；政务专网基于云南电信独立的传输网，采用SDH、ATM、帧中继构建了省州市县三级的“王”字型的骨干网，提供了VPDN接入方式，并与互

2、联网物理隔离；政务专网基础设施由各级电子政务网络管理中心分级负责运行维护。云南省电子政务网络建设现状 从2003年起，我省陆续开展了电存在的问题根据国家电子政务网总体规划，我国电子政务网划分为非涉密的政务外网和涉密政务内网。我省电子政务网建于2003年，并经过四期政务网络建设，但仅建设了云南省电子政务专网，且政务专网定位于政府非涉密应用，却又与互联网物理隔离，网络基础设施设计和管理与国家规划不协调。 存在的问题我省政务外网网络平台建设目标和任务 目标充分整合已有网络资源，建立标准统一、功能完善、安全可靠的电子政务统一外网平台。最大限度地有效保护已有投资，减少重复建设，降低建网成本，实现“借船出

3、海”。任务1.建设和整合统一的电子政务外网网络；2.实现政务外网内部受控互访及逻辑隔离；3.确保政务外网网络安全；4.建立统一的政务外网服务管理平台。我省政务外网网络平台建设目标和任务 目标关键技术MPLS VPN多协议标记交换虚拟专用网。网闸只支持单向网络连接，保证内外网在物理链路层上是完全断开的。VPEVPE = IP VPN网关 + PE，解决MPLS VPN技术与IP VPN技术各自为政的问题。VPDN虚拟私有拨号网络。关键技术MPLS VPN逻辑规划专用网络区：承载各部门内部专属业务，多个部门间协同业务。可同时存在多个专用网络区。公共网络区：承载部门间公共业务。仅存在1个公共网络区。

4、互联网接入区：构建在因特网上，面向社会公众服务的一个网络。主要承载信息公开、信息查询、全省政府门户网站等重要应用。仅存在1个互联网接入区。逻辑规划专用网络区：逻辑架构设计1.公共网络区设计 2.专用网络区设计 3.互联网接入区设计 4.部门多区域接入设计 5.网络平台逻辑架构总框图 逻辑架构设计1.公共网络区设计 2.专用网络区设计 3.互联1.公共网络区设计 1.公共网络区设计 公共网络区内各政务部门信息交互及VPDN接入全省政务外网内各部门通过公共网络区实现公共信息交互，获取省网络服务管理中心提供的Web DNSEmail等服务，也可自行建立本部门DMZ。暂时无法通过专线接入的部门，可使用

5、VPDN拨号方式接入公共网络区，获取与其他专线方式接入部门相同的功能。公共网络区内各政务部门信息交互及VPDN接入全省政务外网内各公共网络区内的所有部门可以访问互联网各级政务部门或用户通过对等级别的网络服务管理中心、运维中心与互联网的出口访问互联网。若部分县级电子政务外网用户对互联网的访问流量较小（红色虚线），直接通过对应上级（州、市级）网络运维中心访问互联网，从而节约运行维护成本。 公共网络区内的所有部门可以访问互联网各级政务部门或用户通过对通过互联网接入公共网络区 在公共网络区边缘，省级网络管理服务中心与互联网的出口处放置VPN网关，提供通过互联网安全接入政务外网公共网络区的途径（如IPS

6、ec VPN、SSL VPN）通过互联网接入公共网络区 在公共网络区边缘，省级网络管理服务2.专用网络区设计2.专用网络区设计同一部门纵向建立部门专用网络区依托政务外网传输通道，在公共网络区内通过MPLS VPN建立纵向部门专网VPN，部门专网之间不能互访、部门专网与公共网络区逻辑隔离。如民政专网（蓝线）与工商专网（红线）虽均承载于政务外网，但两者相互独立，不能互访（蓝线与红线无交叉），且对于公共网络区的其他部门无到达路径（即黑线不能接入蓝线或红线中），实现逻辑隔离。 同一部门纵向建立部门专用网络区依托政务外网传输通道，在公共网不同部门纵横交错建立专用网络区依托政务外网传输通道，为各个重要的跨

7、部门公共业务建立纵横交错的业务专网VPN。跨部门业务专网与其他专网之间不能互访、跨部门业务专网与公共网络区逻辑隔离。如民政国税业务专网（蓝线）承载于政务外网，但与其他专网相互独立，不能互访，且对于公共网络区的其他部门无到达路径（即黑线不能接入蓝线或红线中），实现逻辑隔离。 不同部门纵横交错建立专用网络区依托政务外网传输通道，为各个重专用网络区与公共网络区的受控互访 网闸保证了任意时刻民政部门专网与公共网络区间没有物理链路层连接，数据只能以专用数据块方式静态的在民政部门专网与公共网络区间进行“摆渡”完成数据的隔离与交换。 专用网络区与公共网络区的受控互访 网闸保证了任意时刻民政部门可通过VPDN

8、或互联网接入专用网络区 VPE(VPN PE)作为PE设备与电子政务外网骨干网连接，并可与各专网通过MPLS VPN建立连接，VPDN及互联网接入用户仅通过SSL VPN（紫线）接入政务外网专用网络区。 可通过VPDN或互联网接入专用网络区 VPE(VPN PE)3.互联网接入区设计 3.互联网接入区设计 面向互联网用户提供服务的互联网接入区 互联网接入区承载为公众提供信息公开、信息查询、全省政府门户网站等重要应用，通过网络安全措施保障互联网接入区安全，并提供政务外网网内各部门安全更新应用服务器数据的途径面向互联网用户提供服务的互联网接入区 互联网接入区承载为公众4.部门多区域接入设计 4.部

9、门多区域接入设计 部门多区域接入通过一条物理链路便可同时接入政务外网内3个区域。如：在省民政使用PE设备接入电子政务外网骨干网，同时在PE设备下连接2个CE设备，一个用于专用网络区，另一个用于公共网络区和互联网接入区。省质监没有建立专用网络区，则直接使用CE设备接入。 部门多区域接入通过一条物理链路便可同时接入政务外网内3个区域5.网络平台逻辑架构总框图 5.网络平台逻辑架构总框图 网络平台逻辑架构总框图 网络平台逻辑架构总框图 QoS 设计为不同的组（政务部门、应用等）提供不同的服务级别为提供给特定组或应用程序的网络服务设置优先级发现和消除网络瓶颈区域以及其他形式的拥塞监视网络性能并提供性能

10、统计信息控制进出网络资源的带宽QoS 设计为不同的组（政务部门、应用等）提供不同的服务级别QoS 服务模型 传统的QoS服务模型DiffServ（区别服务），当核心路由器上出现拥塞时，区别服务模型以牺牲低优先级的业务为代价换来高优先业务的QoS，但并没有消除拥塞。因此当拥塞严重时仍然会损伤高优先级的业务。 云南省电子政务外网网络平台设计使用混合模型HAMD (Hybrid Architecture by MPLS and DiffServ)。混合模型继承DiffServ对IP QoS的实现并提供良好的扩展性，并由于使用MPLS技术，克服了传统IP网络的无连接传输无法控制业务的传输路径，同时MP

11、LS技术的高转发速度也可很好的体现。服务类别EXP丢包优先级昂贵服务111/确保服务1级110低101高2级100低011高3级010低001高最努力服务000/DiffServ模型的差分服务代码点（DSCP）共有14种，但是MPLS包头中使用EXP域只有3位，即只能表示8个PHB，所以对现有DiffServ模型的14种DSCP进行修改，使用如上左图可行的映射关系，即可实现。QoS 服务模型 传统的QoS服务模型DiffServ可靠性设计设备可靠性 选用具备电信级可靠性的核心设备，且主备设备间实时热倒换，关键部件冗余备份并支持热插拔，采用分布式体系结构。链路可靠性 采用“双星型双节点结构”，广

12、域骨干线路的主链路和备用链路分别采用不同运营商的基础传输链路。 网络可靠性 模块化设计，各区域相对独立，任一区域的故障不会扩散到其它区域。选择合理的路由协议，避免路由环路，减少路由振荡，保护某个节点失效后网络快速自愈。 应用可靠性 采用HAMD（混合模型）的 QoS技术保证带宽和延时等，通过MPLS VPN技术实现不同业务流相互隔离，互不影响。 可靠性设计设备可靠性 网络安全体系结构网络的安全性（Network Integrity） 系统的安全性（System Integrity） 用户的安全性（User Integrity） 应用的安全性（Application Integrity） 数据的

13、安全性（Application Confidentiality）网络安全体系结构网络的安全性（Network Integri政务外网网络安全保障措施IPS网闸其他防火墙VPNMPLS VPNIPSec VPNSSL VPN政务外网网络安全保障措施IPS防火墙政务外网网络平台服务管理实行统一服务管理，分散运行维护模式。省级电子政务外网服务管理中心 省级电子政务外网服务管理中心以网络平台的逻辑管理为主。如VPN的划分，VPDN及SSL、IPSEC接入用户的授权及身份认证，网络资源统筹分配等；建立面向州市级、县级运维中心人员的技术支持窗口；建立面向地方或部门的服务请求响应窗口，提供病毒防护、安全评估、安全监控和应急响应等技术支持服务，提供数据备份恢复和主机