1 引言
我國電子政務的建設從20世紀80年代起步����,當時主要以辦公自動化(OA)工程為建設重點,通過部署桌面終端和各類服務器系統(tǒng)以及搭建的各類基礎網(wǎng)絡����,使得辦公過程電子化。從2002年中辦17號文件(國家信息化領導小組關于我國電子政務建設的指導意見)下發(fā)以來����,電子政務的建設開始進入高速發(fā)展期。經(jīng)過幾年的持續(xù)投入��,電子政務的建設取得了一定的成績�����,集中表現(xiàn)在:
(1)建設政務服務中心進行政務集中電子化處理。
��。2)辦公網(wǎng)絡信息化程度增強�。
(3)建設電子政務門戶網(wǎng)站����,在網(wǎng)上開通眾多的政務服務項目等。
在看到成績的同時也不能忽視電子政務建設中依然存在的一些問題:
●如何充分挖掘現(xiàn)有網(wǎng)絡硬件平臺的潛力�����,使其更好地支撐上層業(yè)務系統(tǒng)的高效運行�。
●如何提供整體網(wǎng)絡的安全保障。
●基于網(wǎng)絡承載的多種業(yè)務����,如何提供差異化服務。
在中國商務部二期辦公網(wǎng)絡建設中�����,華為公司攜手原中國網(wǎng)通�����,打造新時期安全��、高效的電子政務辦公網(wǎng)�。
2 建設背景
中國商務部大樓2005年已經(jīng)完成一期辦公網(wǎng)絡建設,網(wǎng)絡設計分為內(nèi)網(wǎng)(涉密網(wǎng)絡)和外網(wǎng)(非涉密網(wǎng)絡)��,兩種網(wǎng)絡結構相同����,并采用嚴格的物理隔離,網(wǎng)絡總體架構主要由樓層的接入交換機和中心機房的兩臺核心交換機組成�。
一期網(wǎng)絡建設存在很多隱患,主要體現(xiàn)在以下幾點:
(1)網(wǎng)絡采用單鏈路結構�����,可靠性不高��。
�����。2)網(wǎng)絡未部署安全設備��,僅靠功能簡單的ACL來控制用戶訪問,很難抵御日益豐富的攻擊手段�����,安全隱患嚴重����。
(3)隨著承載業(yè)務的增多�,網(wǎng)絡不能提供不同業(yè)務的差異性服務質(zhì)量,需要嚴格給與優(yōu)先保證的重要業(yè)務�,如視頻、語音等無法給與保證��。
為提高中國商務部辦公網(wǎng)絡的質(zhì)量����,針對以上幾大網(wǎng)絡隱患,2007年初中國商務部啟動了第二期網(wǎng)絡建設工程�����,旨在通過本期工程����,建立一個高帶寬�、高可靠性�、高安全、可擴展����、有QoS保障的數(shù)據(jù)網(wǎng)絡���,為商務部的內(nèi)部業(yè)務及外部業(yè)務提供強有力的保證���。
3 建設方案
依據(jù)以上網(wǎng)絡問題及建設目標,基于從網(wǎng)絡運營和維護的專業(yè)性角度考慮��,中國商務部向原中國網(wǎng)通集團集成公司提出了二期辦公網(wǎng)絡建設需求�����。網(wǎng)通集團集成公司對本次項目非常重視�,為給中國商務部提供高效、可靠����、安全、穩(wěn)定的網(wǎng)絡設備和整網(wǎng)解決方案���,本著滿足業(yè)務優(yōu)先�����、先進實用���、平滑演進等原則����,網(wǎng)通集團集成公司最終選擇了采用華為公司數(shù)據(jù)通信和安全網(wǎng)絡設備來承建該網(wǎng)絡工程�。
經(jīng)過多次的交流和網(wǎng)絡考察,華為公司提出了完善的解決方案���。中國商務部辦公網(wǎng)絡是一張安全級別要求很高的電子政務網(wǎng)�。延續(xù)一期的建設思想�����,將此辦公網(wǎng)絡分為完全獨立的內(nèi)網(wǎng)和外網(wǎng)兩個部分��,內(nèi)網(wǎng)是機密性十分高的涉密網(wǎng)�����,外網(wǎng)有互聯(lián)網(wǎng)出口,相對比較開放�,內(nèi)、外網(wǎng)間的數(shù)據(jù)交互通過網(wǎng)閘來實現(xiàn)��。
(1)內(nèi)網(wǎng)方案
由于商務部內(nèi)網(wǎng)屬于嚴格的涉密網(wǎng)���,因此內(nèi)網(wǎng)的可靠性和安全性要求十分嚴格。為了提高內(nèi)網(wǎng)核心的可靠性�,考慮拓樸冗余(雙交換機,雙星型結構)��、設備冗余(電源�����、超級引擎采用雙配置)�����,在一期基礎上對匯聚層交換機進行冗余��,增設兩臺匯聚層交換機�����。為了提高內(nèi)網(wǎng)的安全性,采取了以下措施:
●在核心交換機上連接入侵檢測設備�,并對終端設備進行嚴格的終端安全管理。
●在服務器區(qū)部署雙備份防火墻�����,保證服務器計算域的安全性���。
●按照國家涉密網(wǎng)的統(tǒng)一建設要求�����,在商務部內(nèi)��、外網(wǎng)間用網(wǎng)閘嚴格與互聯(lián)網(wǎng)隔離����,并采用屏蔽機房(柜)��,屏蔽布線��,超出大樓范圍外的通訊采用加密傳輸�����,多重防護嚴格保證商務部內(nèi)網(wǎng)的安全。
(2)外網(wǎng)方案
相比商務部內(nèi)網(wǎng)來說���,外網(wǎng)將提高一些靈活性����,允許與互聯(lián)網(wǎng)連通��,但同樣要保證網(wǎng)絡的可靠與安全����。在網(wǎng)絡建設方面���,一期工程中已經(jīng)配置了兩臺核心交換設備��,二期工程中�,由于終端用戶的大量增長��,將增加兩臺匯聚交換機互做冗余備份���,在接入層也嚴格保證接入層設備上行的鏈路冗余與備份���。在網(wǎng)絡安全方面�,部署重重防護策略提高網(wǎng)絡的抗攻擊性����,具體如下:
●在互聯(lián)網(wǎng)出口處部署雙備份防火墻,進行病毒檢測和過濾���。
●在外網(wǎng)的兩臺核心交換機上掛接入侵檢測設備進行進一步的報文檢測�����。
●在外網(wǎng)服務器計算域中部署雙防火墻��,并按照國家涉密網(wǎng)的統(tǒng)一建設要求��,采用屏蔽機房(柜)���,屏蔽布線,超出大樓范圍外的通訊采用加密傳輸����。
4 攜手共進,創(chuàng)造網(wǎng)絡輝煌
根據(jù)商務部辦公網(wǎng)絡建設的總指導思想�,原中國網(wǎng)通集成公司和華為公司數(shù)通產(chǎn)品部一起嚴格分析了商務部辦公網(wǎng)絡建設的技術規(guī)范和建設要求�,提出了全面完善的解決方案��,網(wǎng)絡將采用Secospace終端安全管理系統(tǒng)���,NIP入侵檢測系統(tǒng)���,交換機S8512 4臺和S3928 79臺,防火墻Eudemon1000 4臺和Eudemon500 4臺等數(shù)據(jù)設備��,為商務部建設一張高安全�、高性能的政務網(wǎng)絡,為商務部內(nèi)部及外部業(yè)務系統(tǒng)提供強有力的保證���。本次工程將基于以下建網(wǎng)目標進行:
(1)綜合性
將網(wǎng)絡建設成為不僅支撐現(xiàn)有商務部數(shù)據(jù)業(yè)務����,而且支撐未來實時業(yè)務的綜合業(yè)務傳送平臺���。
(2)支持QoS
能根據(jù)業(yè)務的要求提供不同等級的服務并保證服務質(zhì)量,提供資源預留�����、擁塞控制、報文分類��、流量整形等強大的IP QoS功能�����。
(3)高可靠性
具有很高的容錯能力��,具有抵御外界環(huán)境和人為操作失誤的能力�,保證任何單點故障都不影響整個網(wǎng)絡的正常運作。
(4)高性能
在高負荷情況下仍然具有較高的吞吐能力和效率��,延遲低�����。
(5)安全性
具有保證系統(tǒng)安全��,防止系統(tǒng)被人為破壞的能力�����。
(6)擴展性
易于增加新設備���、新用戶�,易于和各種公用網(wǎng)絡連接,隨系統(tǒng)應用的逐步成熟不斷延伸和擴充��,充分保護現(xiàn)有投資利益��。
(7)開放性
符合開放性規(guī)范����,方便接入不同廠商的設備和網(wǎng)絡產(chǎn)品。
(8)標準化
通訊協(xié)議和接口符合國際標準�。
(9)實用性
具有良好的性能價格比,經(jīng)濟實用���,拓撲結構和技術符合骨干網(wǎng)信息量大����、信息流集中的特點���。
5 結束語
向ICT轉(zhuǎn)型是全球各運營商的戰(zhàn)略任務���,國內(nèi)運營商這幾年的努力已初見成效����。運營商在向ICT轉(zhuǎn)型過程中對網(wǎng)絡安全和IT設備提出了新的要求�。與運營商共生共長��、共謀發(fā)展的華為公司致力于成為ICT綜合解決方案提供商���,助力運營商暢游藍海���,攜手共進,共創(chuàng)網(wǎng)絡轉(zhuǎn)型輝煌�。
