云南省电子政务外网网络建设baidu

,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,云南省电子政务外网,网络平台建设,电子政务论文答辩,概述,主要包括,：,：,网络平台,逻,逻辑规划,网络平台,逻,逻辑架构,设,设计,QoS,设计,可靠性设,计,计,网络安全,保,保障措施,等,等,本文主要,描,描述如何,在,在云南省,电,电子政务,专,专网基础,之,之上建设,云,云南省电,子,子政务外,网,网网络平,台,台,云南省电子政,务,务网络建设现,状,状,从,2003,年起，我省陆,续,续开展了电子,政,政务一、二、,三,三、四期工程,，,，建成了覆盖,省,省级各委办厅,局,局、,16,州市、,129,个县的云南省,电,电子政务专网,；,；,政务专网基于,云,云南电信独立,的,的传输网，采,用,用,SDH,、,ATM,、帧中继构建,了,了省,州市,县三级的“王,”,”字型的骨干,网,网，提供了,VPDN,接入方式，并,与,与互联网物理,隔,隔离；,政务专网基础,设,设施由各级电,子,子政务网络管,理,理中心分级负,责,责运行维护。,存在的问题,根据国家电子,政,政务网总体规,划,划，我国电子,政,政务网划分为,非,非涉密的政务,外,外网和涉密政,务,务内网。我省,电,电子政务网建,于,于,2003,年，并经过四,期,期政务网络建,设,设，但仅建设,了,了云南省电子,政,政务专网，且,政,政务专网定位,于,于政府非涉密,应,应用，却又与,互,互联网物理隔,离,离，网络基础,设,设施设计和管,理,理与国家规划,不,不协调。,我省政务外网,网,网络平台建设,目,目标和任务,目标,充分整合已有,网,网络资源，建,立,立标准统一、,功,功能完善、安,全,全可靠的电子,政,政务统一外网,平,平台。最大限,度,度地有效保护,已,已有投资，减,少,少重复建设，,降,降低建网成本,，,，实现“借船,出,出海”。,任务,1.,建设和整合统,一,一的电子政务,外,外网网络；,2.,实现政务外网,内,内部受控互访,及,及逻辑隔离；,3.,确保政务外网,网,网络安全；,4.,建立统一的政,务,务外网服务管,理,理平台。,关键技术,MPLS VPN,多协议标记交,换,换虚拟专用网,。,。,网闸,只支持单向网,络,络连接，保证,内,内外网在物理,链,链路层上是完,全,全断开的。,VPE,VPE=IP VPN,网关,+PE,，解决,MPLS VPN,技术与,IP VPN,技术各自为政,的,的问题。,VPDN,虚拟私有拨号,网,网络。,逻辑规划,专用网络区：,承载各部门内,部,部专属业务，,多,多个部门间协,同,同业务。可同,时,时存在多个专,用,用网络区。,公共网络区：,承载部门间公,共,共业务。仅存,在,在,1,个公共网络区,。,。,互联网接入区,：,：,构建在因特网,上,上，面向社会,公,公众服务的一,个,个网络。主要,承,承载信息公开,、,、信息查询、,全,全省政府门户,网,网站等重要应,用,用。仅存在,1,个互联网接入,区,区。,逻辑架构设计,1.,公共网络区设,计,计,2.,专用网络区设,计,计,3.,互联网接入区,设,设计,4.,部门多区域接,入,入设计,5.,网络平台逻,辑,辑架构总框,图,图,1.,公共网络区,设,设计,公共网络区,内,内各政务部,门,门信息交互,及,及,VPDN,接入,全省政务外,网,网内各部门,通,通过公共网,络,络区实现公,共,共信息交互,，,，获取省网,络,络服务管理,中,中心提供的,Web DNSEmail,等服务，也,可,可自行建立,本,本部门,DMZ,。,暂时无法通,过,过专线接入,的,的部门，可,使,使用,VPDN,拨号方式接,入,入公共网络,区,区，获取与,其,其他专线方,式,式接入部门,相,相同的功能,。,。,公共网络区,内,内的所有部,门,门可以访问,互,互联网,各级政务部,门,门或用户通,过,过对等级别,的,的网络服务,管,管理中心、,运,运维中心与,互,互联网的出,口,口访问互联,网,网。,若部分县级,电,电子政务外,网,网用户对互,联,联网的访问,流,流量较小（,红,红色虚线）,，,，直接通过,对,对应上级（,州,州、市级）,网,网络运维中,心,心访问互联,网,网，从而节,约,约运行维护,成,成本。,通过互联网,接,接入公共网,络,络区,在公共网络,区,区边缘，省,级,级网络管理,服,服务中心与,互,互联网的出,口,口处放置,VPN,网关，提供,通,通过互联网,安,安全接入政,务,务外网公共,网,网络区的途,径,径（如,IPSecVPN,、,SSL VPN,）,2.,专用网络区,设,设计,同一部门纵,向,向建立部门,专,专用网络区,依托政务外,网,网传输通道,，,，在公共网,络,络区内通过,MPLSVPN,建立纵向部,门,门专网,VPN,，部门专网,之,之间不能互,访,访、部门专,网,网与公共网,络,络区逻辑隔,离,离。,如,民政专网,（蓝线）与,工商专网,（红线）虽,均,均承载于政,务,务外网，但,两,两者相互独,立,立，不能互,访,访（蓝线与,红,红线无交叉,）,），且对于,公,公共网络区,的,的其他部门,无,无到达路径,（,（即黑线不,能,能接入蓝线,或,或红线中）,，,，实现逻辑,隔,隔离。,不同部门纵,横,横交错建立,专,专用网络区,依托政务外,网,网传输通道,，,，为各个重,要,要的跨部门,公,公共业务建,立,立纵横交错,的,的业务专网,VPN,。跨部门业,务,务专网与其,他,他专网之间,不,不能互访、,跨,跨部门业务,专,专网与公共,网,网络区逻辑,隔,隔离。,如,民政国税业,务,务专网,（蓝线）承,载,载于政务外,网,网，但与其,他,他专网相互,独,独立，不能,互,互访，且对,于,于公共网络,区,区的其他部,门,门无到达路,径,径（即黑线,不,不能接入蓝,线,线或红线中,）,），实现逻,辑,辑隔离。,专用网络区,与,与公共网络,区,区的受控互,访,访,网闸保证了,任,任意时刻民,政,政部门专网,与,与公共网络,区,区间没有物,理,理链路层连,接,接，数据只,能,能以专用数,据,据块方式静,态,态的在民政,部,部门专网与,公,公共网络区,间,间进行,“,摆渡,”,完成数据的,隔,隔离与交换,。,。,可通过,VPDN,或互联网接,入,入专用网络,区,区,VPE(VPN PE),作为,PE,设备与电子,政,政务外网骨,干,干网连接，,并,并可与各专,网,网通过,MPLSVPN,建立连接，,VPDN,及互联网接,入,入用户仅通,过,过,SSL VPN,（紫线）接,入,入政务外网,专,专用网络区,。,。,3.,互联网接入,区,区设计,面向互联网,用,用户提供服,务,务的互联网,接,接入区,互联网接入,区,区承载为公,众,众提供信息,公,公开、信息,查,查询、全省,政,政府门户网,站,站等重要应,用,用，通过网,络,络安全措施,保,保障互联网,接,接入区安全,，,，并提供政,务,务外网网内,各,各部门安全,更,更新应用服,务,务器数据的,途,途径,4.,部门多区域,接,接入设计,部门多区域,接,接入,通过一条物,理,理链路便可,同,同时接入政,务,务外网内,3,个区域。,如：,在省民政使,用,用,PE,设备接入电,子,子政务外网,骨,骨干网，同,时,时在,PE,设备下连接,2,个,CE,设备，一个,用,用于专用网,络,络区，另一,个,个用于公共,网,网络区和互,联,联网接入区,。,。,省质监没有,建,建立专用网,络,络区，则直,接,接使用,CE,设备接入。,5.,网络平台逻辑架,构,构总框图,网络平台逻辑架,构,构总框图,QoS,设计,为不同的组（政,务,务部门、应用等,）,）提供不同的服,务,务级别,为提供给特定组,或,或应用程序的网,络,络服务设置优先,级,级,发现和消除网络,瓶,瓶颈区域以及其,他,他形式的拥塞,监视网络性能并,提,提供性能统计信,息,息,控制进出网络资,源,源的带宽,QoS,服务模型,传统的,QoS,服务模型,DiffServ,（区别服务），,当,当核心路由器上,出,出现拥塞时，区,别,别服务模型以牺,牲,牲低优先级的业,务,务为代价换来高,优,优先业务的,QoS,，但并没有消除,拥,拥塞。因此当拥,塞,塞严重时仍然会,损,损伤高优先级的,业,业务。,云南省电子政务,外,外网网络平台设,计,计使用混合模型,HAMD(Hybrid Architecture byMPLS and DiffServ),。混合模型继承,DiffServ,对,IP QoS,的实现并提供良,好,好的扩展性，并,由,由于使用,MPLS,技术，克服了传,统,统,IP,网络的无连接传,输,输无法控制业务,的,的传输路径，同,时,时,MPLS,技术的高转发速,度,度也可很好的体,现,现。,服务类别,EXP,丢包优先级,昂贵服务,111,/,确保服务,1,级,110,低,101,高,2,级,100,低,011,高,3,级,010,低,001,高,最努力服务,000,/,DiffServ,模型的差分服务,代,代码点（,DSCP,）共有,14,种，但是,MPLS,包头中使用,EXP,域只有,3,位，即只能表示,8,个,PHB,，所以对现有,DiffServ,模型的,14,种,DSCP,进行修改，使用,如,如上左图可行的,映,映射关系，即可,实,实现。,可靠性设计,设备可靠性,选用具备电信级,可,可靠性的核心设,备,备，且主备设备,间,间实时热倒换，,关,关键部件冗余备,份,份并支持热插拔,，,，采用分布式体,系,系结构。,链路可靠性,采用,“,双星型双节点结,构,构,”,，广域骨干线路,的,的主链路和备用,链,链路分别采用不,同,同运营商的基础,传,传输链路。,网络可靠性,模块化设计，各,区,区域相对独立，,任,任一区域的故障,不,不会扩散到其它,区,区域。选择合理,的,的路由协议，避,免,免路由环路，减,少,少路由振荡，保,护,护某个节点失效,后,后网络快速自愈,。,。,应用可靠性,采用,HAMD,（混合模型）的,QoS,技术保证带宽和,延,延时等，通过,MPLS VPN,技术实现不同业,务,务流相互隔离，,互,互不影响。,网络安全体系结,构,构,网络的安全性（,NetworkIntegrity,）,系统的安,全,全性（,System Integrity,）,用户的安,全,全性（,UserIntegrity,）,应用的安,全,全性（,ApplicationIntegrity,）,数据的安,全,全性（,ApplicationConfidentiality,）,政务外网,网,网络安全,保,保障措施,IPS,网闸,其他,防火墙,VPN,MPLSVPN,IPSec VPN,SSLVPN,政务外网,网,网络平台,服,服务管理,实行统一,服,服务管理,，,，分散运,行,行维护模,式,式。,省级电子,政,政务外网,服,服务管理,中,中心,省级电子,政,政务外网,服,服务管理,中,中心以网,络,络平台的,逻,逻辑管理,为,为主。如,VPN,的划分，,VPDN,及,SSL,、,IPSEC,接入用户,的,的授权及,身,身份认证,，,，网络资,源,源统筹分,配,配等；建,立,立面向州,市,市级、县,级,级运维中,心,心人员的,技,技术支持,窗,窗口；建,立,立面向地,方,方或部门,的,的服务请,求,求响应窗,口,口，提供,病,病毒防护,、,、安全评,估,估、安全,监,监控和应,急,急响应等,技,技术支持,服,服务，提,供,供数据备,份,份恢复和,主,主机托管,服,服务等；,建,建立知识,库,库，方便,接,接入用户,进,进行自主,服,服务。,州市级、,县,县级电子,政,政务外网,运,运维中心,政务外网,运,运维中心,以,以落实网,络,络平台的,具,具体运维,工,工作为主,，,，即硬件,管,管理。如,建,建立运维,监,监控平台,，,，