【51CTO.com 綜合報道】一、 前言

隨著兩部委下發(fā)的988號文件的要求，省級的電子政務外網(wǎng)的建設進入到實際的倒計時建設中。988號文件進一步明確了電子政務外網(wǎng)在政府信息化中的重要性，相比前期的中辦發(fā)[2002]17號、中辦發(fā)[2006]18號文，此次對電子政務外網(wǎng)的要求更加明確：1.各省要求在2010年底之前完成各省的電子政務外網(wǎng)的建設。2.政府其他各縱向部門原則上不允許獨立建設縱向網(wǎng)絡，要求統(tǒng)一承載至國家電子政務外網(wǎng)平臺。這樣一方面明確了電子政務外網(wǎng)基礎網(wǎng)絡平臺的時間底線，另一方面進一步明確了電子政務外網(wǎng)在政府信息化中的地位。

過去的5年中全國各個省份都在構建省級的電子政務外網(wǎng)，為此國家信息中心下發(fā)了有關電子政務外網(wǎng)建設的技術指導，電子政務外網(wǎng)發(fā)展至今，其地位已經發(fā)生了變化，當前的電子政務外網(wǎng)已經成為各部委的電子政務外部業(yè)務的承載平臺，不是單一部門的業(yè)務承載網(wǎng)，電子政務外網(wǎng)正逐步在演變?yōu)橐粋€跨系統(tǒng)、跨部門的電子政務外部平臺，2010年政府的電子政務外網(wǎng)建設也會轉向電子政務外部平臺建設，將成為電子政務外網(wǎng)的分水嶺。

當前電子政務外部平臺的建設，網(wǎng)絡的互通已經不再是用戶建設的目標，用戶更加關注電子政務外網(wǎng)的三類業(yè)務應當如何承載？整體的電子政務外網(wǎng)的運行、維護如何開展？如何能夠構建統(tǒng)一、全面的安全管理策略？面向未來的數(shù)據(jù)、IPv6等新業(yè)務應該如何構建？

二、 電子政務外部平臺整體模型  

圖1   H3C電子政務外部平臺整體模型

電子政務外部平臺整體模型包括基礎網(wǎng)絡平臺、數(shù)據(jù)交互平臺、業(yè)務應用平臺、立體安全架構、統(tǒng)一運維與管理平臺5大模塊構成。從模型中可以看出前期電子政務外網(wǎng)的建設重心基礎網(wǎng)絡平臺只是電子政務外部平臺的一個模塊，數(shù)據(jù)中心與災備、立體安全架構、統(tǒng)一運行與維護管理等模塊也已成為用戶的重點需求。

1. 業(yè)務應用平臺

電子政務外網(wǎng)業(yè)務分為三類業(yè)務：專用業(yè)務、公用業(yè)務、互聯(lián)網(wǎng)業(yè)務三類。專用業(yè)務是指如：金安工程、審計等政府部門的各縱向業(yè)務，是省政府直屬各單位在省政務外網(wǎng)上利用MPLS VPN技術，連接本系統(tǒng)內部省、市、縣（市、區(qū)）相關部門的縱向業(yè)務。公共業(yè)務：又可稱之為橫向業(yè)務，是指各單位實現(xiàn)信息共享與交換的業(yè)務，如：政務行政審批業(yè)務?；ヂ?lián)網(wǎng)業(yè)務：對因特網(wǎng)公眾提供服務，省政府直屬各單位通過統(tǒng)一出口訪問因特網(wǎng)，如：政府門戶網(wǎng)站等。實際上電子政務外網(wǎng)的建設依據(jù)都是基于電子政務的業(yè)務分析所展開。

2. 基礎網(wǎng)絡平臺

為了在同一張物理網(wǎng)上針對電子政務外網(wǎng)的三類不同的業(yè)務進行承載，MPLS VPN技術成為電子政務外網(wǎng)建設中基礎的網(wǎng)絡技術，在網(wǎng)絡基礎平臺的建設中要實現(xiàn)電子政務不同業(yè)務應用的不同承載平臺。

縱向業(yè)務承載網(wǎng)絡：承載G2G（內部）業(yè)務，政府部門內縱向辦公業(yè)務。通過劃分單獨的MPLS VPN來實現(xiàn)不同政府部門的縱向業(yè)務承載，以政府A部門的省、地市、區(qū)縣的三級部門為例，省A部門、地市A部門、區(qū)縣A部門通過與省級電子政務外網(wǎng)、地市電子政務外網(wǎng)、區(qū)縣電子政務外網(wǎng)實現(xiàn)三級網(wǎng)絡之間的互聯(lián)，在電子政務外網(wǎng)為A部門劃分單獨的VPNa為A部門提供縱向業(yè)務。即：劃分縱向業(yè)務虛擬網(wǎng)絡資源平臺。

公用業(yè)務承載網(wǎng)絡：承載G2G（部門間）業(yè)務，政府部門間橫向資源共享業(yè)務。公用業(yè)務承載是實現(xiàn)各個接入部門之間的信息共享，在公共業(yè)務的承載方面兩種技術均可實現(xiàn)：

一是通過電子政務外網(wǎng)的Global直接承載，不需要為其開通單獨的MPLS VPN，各個部門將自己的公共業(yè)務設置單獨的服務器與電子政務外網(wǎng)相連，通過Global實現(xiàn)與其他接入電子政務外網(wǎng)的政府部門之間的公用業(yè)務互訪。

二是在電子政務外網(wǎng)上開通單獨的VPN作為公用業(yè)務VPN，各部門將公共業(yè)務區(qū)域的服務器單獨劃分為一個區(qū)域，接入電子政務外網(wǎng)的公用業(yè)務VPN實現(xiàn)業(yè)務間的互訪。從國家信息中心的技術指導要求來看公共業(yè)務互訪可以采用Global IP網(wǎng)段的承載方式，但實際開通時會存在IP地址短缺或各部門狀況不一的情況，所以采用劃分單獨的VPN的方式也同樣可以實現(xiàn)，兩種方式均可以實現(xiàn)公共業(yè)務網(wǎng)絡承載。

互聯(lián)網(wǎng)業(yè)務承載網(wǎng)絡：G2C、G2B業(yè)務，承載政府對公眾的網(wǎng)站發(fā)布業(yè)務，以及政府部門內部訪問互聯(lián)網(wǎng)的業(yè)務?；ヂ?lián)網(wǎng)業(yè)務承載網(wǎng)絡有兩類業(yè)務：包括對外公眾信息發(fā)布、政務部門內部訪問互聯(lián)網(wǎng)業(yè)務。針對兩類業(yè)務在電子政務外網(wǎng)進行統(tǒng)一劃分MPLS VPN的方式來實現(xiàn)，用戶單位需要將對外發(fā)布的信息系統(tǒng)設置單獨的區(qū)域，統(tǒng)一對外發(fā)布。對政府內部訪問互聯(lián)網(wǎng)的用戶終端根據(jù)國家信息中心的要求與縱向業(yè)務之間隔離，不允許采用同一臺主機終端，因此可以設置單獨的主機終端、劃分單獨的區(qū)域，映射到互聯(lián)網(wǎng)VPN 區(qū)域實現(xiàn)對互聯(lián)網(wǎng)業(yè)務的訪問。

3. 立體安全架構

安全在電子政務外網(wǎng)尤其重要，當前電子政務外網(wǎng)的安全建設已經區(qū)別于5年前的安全，不是簡單的安全產品的堆積來實現(xiàn)安全的防護，實際上當前的政府用戶更加傾向于購買安全解決方案，在實施電子政務外網(wǎng)的安全時考慮更多的是一個立體的安全架構。 

圖2  H3C基于電子政務外網(wǎng)的立體安全架構

1) 安全的廣度： 

終端準入：電子政務外網(wǎng)需要接入大量的政府部門，如何規(guī)范接入用戶的行為尤其重要，終端準入可以實現(xiàn)針對不同用戶的權限區(qū)分，確保每個人只能訪問自己的授權資源訪問，在電子政務外網(wǎng)有兩種終端準入應用方式：一是簡單的寬泛認證及資源授權，應用于接入部門的認證，如：單臺終端在不同時間訪問不同業(yè)務區(qū)（過渡階段）的方案，這種方式無需裝任何客戶端免維護，可實施性強。方式二是強制型認證與資源授權，應用于電子政務外網(wǎng)在行政中心部署的方式，如：海南電子政務外網(wǎng)的部署，實現(xiàn)強安全、嚴格安全遵從時采用。 

網(wǎng)絡邊界：電子政務外網(wǎng)的網(wǎng)絡邊界安全尤其重要，各部門接入時要重點實現(xiàn)縱向業(yè)務區(qū)、公用業(yè)務區(qū)、互聯(lián)網(wǎng)業(yè)務區(qū)三類業(yè)務的區(qū)分并且與電子政務外網(wǎng)對接，在網(wǎng)絡邊界的安全在電子政務外網(wǎng)要考慮到以下幾個方面：各政府接入部門接入電子政務外網(wǎng)的邊界安全規(guī)范、互聯(lián)網(wǎng)業(yè)務區(qū)出口的安全策略、外部人員接入電子政務外網(wǎng)時的身份認定與資源授權等。 

承載平臺：電子政務外網(wǎng)的骨干網(wǎng)開通MPLS VPN，所以骨干網(wǎng)本身就通過MPLS VPN實現(xiàn)的安全隔離，如果公用業(yè)務區(qū)是通過Global 來實現(xiàn)互訪，建議在整個電子政務骨干網(wǎng)上部署安全策略，主要的策略面向公用網(wǎng)絡區(qū)域部署，避免公用業(yè)務區(qū)中的問題對骨干網(wǎng)產生安全威脅。除安全策略之外在骨干網(wǎng)上對VPN內部的業(yè)務流的管理與分析也非常重要，既然電子政務外網(wǎng)是一張承載網(wǎng)，那么對承載網(wǎng)的全網(wǎng)業(yè)務進行實時的分析與管理同樣非常重要，因此在骨干網(wǎng)上通過對VPN內部的業(yè)務數(shù)據(jù)流量進行分析實現(xiàn)對全網(wǎng)流量的分析與管理，提高骨干網(wǎng)的可管理、可運維性。 

數(shù)據(jù)中心：數(shù)據(jù)中心在電子政務外網(wǎng)的建設中是下一個階段的建設重點，數(shù)據(jù)中心的安全涉及的方面較多，主要包括安全的性能、安全的分區(qū)分域、服務的應用加速、安全的管理與分析等，這里不再做詳細介紹（大家如果感興趣可以參考數(shù)據(jù)中心整體解決方案）。

2) 安全的深度 

網(wǎng)絡層：電子政務外網(wǎng)的網(wǎng)絡層安全是電子政務外網(wǎng)安全的基礎，目前電子政務外網(wǎng)的建設中首先MPLS VPN已經確保了網(wǎng)絡層一定的安全性，在電子政務外網(wǎng)邊緣的網(wǎng)絡層安全主要可以通過FW產品來實現(xiàn)網(wǎng)絡2-4層的安全防護，當多部門統(tǒng)一匯聚時可以通過VFW（虛擬防火墻）技術來實現(xiàn)各部門之間的安全隔離與防護，總的來說網(wǎng)絡層的安全主要是指電子政務外網(wǎng)的2-4層的安全防護，主要的技術可以采用FW技術來實現(xiàn)。 

數(shù)據(jù)層：數(shù)據(jù)層安全是電子政務外網(wǎng)下一個階段的建設重點，其主要是為了實現(xiàn)各接入單位的關鍵數(shù)據(jù)的安全防護與備份，數(shù)據(jù)層的安全可以通過災備、遠程備份等技術實現(xiàn)，存儲技術與網(wǎng)絡技術的結合是數(shù)據(jù)層安全的主要實現(xiàn)手段。 

應用層：應用層安全在電子政務外網(wǎng)的建設中主要在互聯(lián)網(wǎng)出口，承載網(wǎng)的業(yè)務流量分析，面向網(wǎng)站、數(shù)據(jù)庫、操作系統(tǒng)的防漏洞攻擊等安全措施，如：對全網(wǎng)的流量進行監(jiān)控與分析，進而實現(xiàn)對用戶的網(wǎng)絡行為進行分析，給出VPN的流量占用情況，上網(wǎng)業(yè)務多少？辦公業(yè)務多少？P2P的流量多少？訪問的網(wǎng)站Top 10都是哪些等等。IPS、Netstream、應用控制網(wǎng)關等產品與技術在應用層安全中起到了重要作用。

3) 安全的時間維度 

事前防范：事前防范的安全設計與規(guī)劃在電子政務外網(wǎng)中有廣泛的部署需要。其中在電子政務外網(wǎng)地市政務行政中心中部署尤其重要，如：地市行政中心不同的部門在同一建筑中，通過在物理網(wǎng)絡上劃分，對各個用戶接入網(wǎng)絡的事前審計可以通過檢查用戶終端的安全是否與安全策略相符，如果不相符則不允許接入網(wǎng)絡平臺，避免對整網(wǎng)帶來安全威脅。 

事中阻斷：事中阻斷是立體安全架構思想的直接體現(xiàn)，除傳統(tǒng)的防火墻、IPS的實時阻斷技術外，更重點的是如何通過全網(wǎng)的安全模塊聯(lián)動將正在實施攻擊的主機或遭受病毒感染的主機強制隔離。如：網(wǎng)絡安全管理模塊（IPS或防火墻）發(fā)現(xiàn)某IP地址有病毒攻擊，將事件上報至安全管理中心，安全管理中心會將IP地址上報至網(wǎng)絡管理平臺，網(wǎng)絡管理平臺依據(jù)IP地址追蹤至某交換機下的某個終端，并通知終端的安全管理模塊強制用戶下線，從而完成了對事中某病毒終端的阻斷。事中阻斷在電子政務外網(wǎng)中行政中心的實施部署有著重要的意義。 

事后審計：事后審計在電子政務外網(wǎng)的安全規(guī)劃中也是不可缺少的一部分，對月度或季度的安全事件進行分析可以階段性了解目前網(wǎng)絡存在的安全威脅提前做好安全規(guī)劃避免安全問題對網(wǎng)絡帶來的沖擊。再者，事后審計也是對已發(fā)生的安全事件追蹤、取證的重要手段，如：對在網(wǎng)上發(fā)表非法言論等安全事件的審計。

4. 數(shù)據(jù)交互平臺

數(shù)據(jù)交互平臺是電子政務下一個階段的建設重點，其建設的重心與政府機構的業(yè)務緊密結合，在數(shù)據(jù)交互平臺中有兩類代表業(yè)務。

一類是結構化數(shù)據(jù)為代表的政務數(shù)據(jù)中心。政府數(shù)據(jù)中心主要是G2G、G2C、G2B等業(yè)務的集中處理中心，是后電子政務時代數(shù)據(jù)大集中的體現(xiàn)。政務數(shù)據(jù)中心建立的同時會催生政府災備中心的建設，實現(xiàn)對集中數(shù)據(jù)的統(tǒng)一備份與管理，實際上現(xiàn)階段政府數(shù)據(jù)中心往往是由各縱向部門統(tǒng)一建設，而災備中心往往由政府統(tǒng)一建設，可以借助電子政務外網(wǎng)的建設模式進行，從而引發(fā)政府共享災備的建設，前期杭州、江蘇等省份的災備建設實際上就是共享災備的建設模式。

第二類是以非結構化數(shù)據(jù)為代表的政務多媒體中心。包括政府應急指揮系統(tǒng)，其將視頻會議、視頻監(jiān)控、共享數(shù)據(jù)等相關平臺統(tǒng)一整合，是重大突發(fā)事件的應急平臺，其主要的業(yè)務也是以多媒體業(yè)務為主。

5. 統(tǒng)一運行與維護平臺

電子政務外網(wǎng)是一張大型的承載網(wǎng)絡，對管理的要求也是非常重要的，其需求區(qū)別于傳統(tǒng)簡單的設備管理，需要實現(xiàn)一個整體的運行與維護平臺。 

圖3   H3C基于電子政務外網(wǎng)的統(tǒng)一運行與維護平臺模型

1) 基礎網(wǎng)元管理平臺

主要實現(xiàn)對電子政務外網(wǎng)的基礎設備的管理，電子政務外網(wǎng)基礎平臺采用的設備眾多，因此建議在統(tǒng)一的平臺上來實現(xiàn)對基礎平臺不同種類的網(wǎng)元設備進行管理，如：網(wǎng)絡設備、鏈路狀態(tài)監(jiān)測、安全設備、服務器等，用戶可以通過管理平臺實時查看全網(wǎng)的拓撲圖（包括所有網(wǎng)元設備）及鏈路狀態(tài)，便于對全網(wǎng)進行有效的管理。對于基礎網(wǎng)元平臺的管理建議采用統(tǒng)一管理平臺來實現(xiàn)對基礎網(wǎng)元的管理，避免配備多套管理平臺帶來的不便性。

2) 基礎業(yè)務管理平臺

除了基礎的網(wǎng)元管理，在電子政務外網(wǎng)的建設中基礎業(yè)務管理平臺尤其重要，基礎業(yè)務管理包括全網(wǎng)的ACL策略管理與維護、全網(wǎng)的設備軟件版本管理與維護、QOS的管理與維護、MPLS VPN管理等，基礎業(yè)務主要是將原來的多個網(wǎng)元自行維護的業(yè)務進行統(tǒng)一管理，如：ACL的管理，如果缺乏統(tǒng)一的業(yè)務管理平臺所有的ACL都是由單臺設備管理的，一旦出現(xiàn)策略變更，維護人員面對的將是成百上千條策略的變更，帶來極大的管理維護工作量，所以具有統(tǒng)一的基礎業(yè)務管理平臺對電子政務外網(wǎng)的可運維性十分重要。

3) 運行與維護管理平臺

運行與維護管理平臺主要是對整體IT基礎平臺的業(yè)務分析，包括：流量分析、日志管理、配置管理等。以流量分析與管理為例：要實現(xiàn)對全網(wǎng)的流量進行分析以及對VPN內部的流量進行分析與管理，輸出VPN內部的流量情況并輸出報表。如：某縱向VPNa內部一周內OA數(shù)據(jù)量多少？占有多大帶寬？突發(fā)流量的IP地址是哪些等。報表呈現(xiàn)在運行與維護管理平臺中起著重要的作用。

4) 統(tǒng)一應用業(yè)務運行管理

統(tǒng)一應用業(yè)務運行管理平臺主要是IT與業(yè)務流程的融合，這一部分將會涉及接口開放與定制開發(fā)，它將是電子政務外網(wǎng)下一步建設重點。

三、 結束語

2010年隨著電子政務外網(wǎng)的進一步延伸與擴展，電子政務外網(wǎng)將進入到以業(yè)務建設為中心的后電子政務時代，其建設也將從以網(wǎng)絡互通為中心轉向以電子政務外部平臺建設為中心，數(shù)據(jù)中心、統(tǒng)一安全、統(tǒng)一運行與管理等面向業(yè)務的IT建設將逐步成為電子政務的IT建設的重點，為電子政務外部業(yè)務的開展提供高效、可靠的IT基礎平臺。2010年勢必成為電子政務外網(wǎng)建設的分水嶺。