【51CTO.com 綜合報道】浙江省電子政務(wù)外網(wǎng)的建設(shè)起步較早，從2004年開始，經(jīng)歷了網(wǎng)絡(luò)規(guī)范、安全管理、業(yè)務(wù)開展等階段，積累了大量的電子政務(wù)外網(wǎng)的建設(shè)經(jīng)驗，其中建設(shè)中的規(guī)范制定與落實、業(yè)務(wù)問題的處理與實現(xiàn)等經(jīng)驗值得大家參考。

應(yīng)用背景

浙江省電子政務(wù)外網(wǎng)的建設(shè)自2004年開始經(jīng)歷了三個階段：

2004—2006年，省級電子政務(wù)骨干網(wǎng)建設(shè)，完成省至11個地市的省級骨干網(wǎng)建設(shè)。

2006—2008年，電子政務(wù)外網(wǎng)二期，完成11個地市、90個縣（市、區(qū)）的電子政務(wù)外網(wǎng)的建設(shè)。部分發(fā)達(dá)縣市（如蕭山等）已經(jīng)延伸至鄉(xiāng)鎮(zhèn)，部分廳局委辦的橫向接入，在二期建設(shè)中依托于電子政務(wù)外網(wǎng)開展了部分電子政務(wù)外網(wǎng)的業(yè)務(wù)，包括：政府部門專網(wǎng)、財政國庫集中支付、電子監(jiān)察、數(shù)字城管等。

2008年至今，對部分區(qū)縣進(jìn)行了電子政務(wù)外網(wǎng)鄉(xiāng)鎮(zhèn)延伸，并下發(fā)指導(dǎo)文件進(jìn)一步規(guī)范了整體安全。三期中加強(qiáng)了電子政務(wù)外網(wǎng)新業(yè)務(wù)—政府共享災(zāi)備的建設(shè)，實現(xiàn)各廳局委辦的關(guān)鍵業(yè)務(wù)數(shù)據(jù)的集中災(zāi)備，其中災(zāi)備的管理數(shù)據(jù)通過電子政務(wù)外網(wǎng)平臺實現(xiàn)承載。

客戶需求

浙江省電子政務(wù)外網(wǎng)建設(shè)除基礎(chǔ)骨干、路由規(guī)劃、設(shè)備選型之外，其重點與業(yè)務(wù)相關(guān)的焦點需求有以下三點：

1. 省級電子政務(wù)外網(wǎng)建設(shè)的規(guī)范與統(tǒng)一。浙江省下屬11個地市，每個地市的投資不同、技術(shù)實力不同、建設(shè)時間可能存在差異，如何統(tǒng)一、規(guī)范地對浙江省電子政務(wù)外網(wǎng)進(jìn)行建設(shè)及接入，讓各地市、區(qū)縣的技術(shù)人員對電子政務(wù)外網(wǎng)理解一致顯得尤為重要。

2. 實現(xiàn)三類業(yè)務(wù)的劃分與互訪。浙江省電子政務(wù)外網(wǎng)把業(yè)務(wù)劃分為三類：公眾服務(wù)區(qū)（政府門戶網(wǎng)站）、資源共享區(qū)（政府部門間業(yè)務(wù)互訪及Internet訪問）、專用網(wǎng)絡(luò)區(qū)（政府部門縱向業(yè)務(wù)），均承載于MPLS VPN中。

3. 實現(xiàn)不同終端對各個VPN的多樣化訪問需求。部分終端需要通過外網(wǎng)訪問多個縱向VPN資源，以及不同終端通過外網(wǎng)訪問各自VPN資源。如杭州數(shù)字城管，需要錄入居民的各種信息，包括：婚姻、生育信息、低保信息等，而電子政務(wù)外網(wǎng)劃分為MPLS VPN之后各個業(yè)務(wù)的信息相互隔離，如何能夠?qū)崿F(xiàn)一臺終端對多個業(yè)務(wù)系統(tǒng)的訪問？并且支持用戶分組機(jī)制，針對不同的用戶組實現(xiàn)不同的控制策略？

1.焦點需求解決方案

1. 省級電子政務(wù)外網(wǎng)建設(shè)的規(guī)范與統(tǒng)一。2003年浙江省建設(shè)了省至地市級的省級電子政務(wù)外網(wǎng)的骨干網(wǎng)，并下發(fā)《浙江省人民政府辦公廳關(guān)于建設(shè)省電子政務(wù)網(wǎng)絡(luò)平臺的通知》（浙政辦函〔2003〕88號）對各省的電子政務(wù)建設(shè)進(jìn)行了要求。2004年，浙江省政府信息中心開始著手對全省的電子政務(wù)外網(wǎng)進(jìn)行需求調(diào)研與規(guī)范制定，其整體分為四個步驟：

1) 成立電子政務(wù)外網(wǎng)工作小組： 2004年底，浙江省政府牽頭召集了包括H3C在內(nèi)的相關(guān)技術(shù)專家，開始著手對全省電子政務(wù)外網(wǎng)建設(shè)進(jìn)行調(diào)研與統(tǒng)一的規(guī)范制定，包括：線路情況、設(shè)備特性支持情況、現(xiàn)網(wǎng)運行情況等。

2)  下發(fā)電子政務(wù)外網(wǎng)建設(shè)規(guī)范：經(jīng)過半年多的調(diào)研、測試，2005年9月，浙江省下發(fā)了技術(shù)規(guī)范《浙江省人民政府辦公廳關(guān)于印發(fā)浙江省電子政務(wù)網(wǎng)絡(luò)技術(shù)規(guī)范的通知》，該技術(shù)規(guī)范從網(wǎng)絡(luò)總體架構(gòu)、網(wǎng)絡(luò)接入及組建規(guī)范、IP地址規(guī)范、域名規(guī)范、路由策略與路由協(xié)議設(shè)計、組播設(shè)計、IPsec VPN設(shè)計、MPLS VPN規(guī)范、網(wǎng)絡(luò)安全規(guī)范等幾個方面對電子政務(wù)外網(wǎng)建設(shè)給出了明確的規(guī)范與要求。

3) 集中技術(shù)培訓(xùn)：2005年10月開始，全省各地市、區(qū)縣信息中心的技術(shù)人員分四批進(jìn)行集中培訓(xùn)，重點培訓(xùn)技術(shù)規(guī)范的內(nèi)容，包括MPLS VPN技術(shù)知識、路由協(xié)議設(shè)計、與省對接的路由設(shè)計等多方面。參加培訓(xùn)的學(xué)員可以針對各自地市的電子政務(wù)情況提出問題，由電子政務(wù)外網(wǎng)小組成員給予解答。通過培訓(xùn)實現(xiàn)各地市、區(qū)縣的信息中心人員對電子政務(wù)外網(wǎng)規(guī)范的了解統(tǒng)一、一致。

4) 電子政務(wù)外網(wǎng)方案審核與研討會：各地市上報各自的電子政務(wù)外網(wǎng)建設(shè)方案，由省中心對方案可行性進(jìn)行審核，對不滿足規(guī)范或與規(guī)范不一致的部分提出修改意見。

浙江省電子政務(wù)外網(wǎng)的第二階段建設(shè)歷時兩年多，實現(xiàn)了省、地市、區(qū)縣電子政務(wù)外網(wǎng)的全省貫穿，建成后的電子政務(wù)外網(wǎng)與規(guī)范要求基本一致，電子政務(wù)外網(wǎng)的業(yè)務(wù)都能夠順利開展。

2. 實現(xiàn)三類業(yè)務(wù)的劃分與互訪

1) 業(yè)務(wù)定義：浙江省電子政務(wù)建設(shè)初期對電子政務(wù)外網(wǎng)提出了三類業(yè)務(wù)的劃分，包括：公眾服務(wù)區(qū)（政府門戶網(wǎng)站）、資源共享區(qū)（政府部門間業(yè)務(wù)互訪及Internet訪問）、專用業(yè)務(wù)區(qū)（政府部門縱向業(yè)務(wù)）三類。

2) 業(yè)務(wù)間互訪關(guān)系定義：對浙江省電子政務(wù)外網(wǎng)的三類業(yè)務(wù)間的互訪關(guān)系進(jìn)行了如下規(guī)定： 

◆專用業(yè)務(wù)區(qū)與資源共享區(qū)通過網(wǎng)閘進(jìn)行隔離； 

◆資源共享區(qū)可以訪問公眾服務(wù)區(qū)，但公眾服務(wù)區(qū)不允許訪問資源共享區(qū)，兩者存在單向互訪需求； 

◆互聯(lián)網(wǎng)用戶可以訪問公眾服務(wù)區(qū)（政府門戶網(wǎng)站），但公眾服務(wù)區(qū)只能受限訪問互聯(lián)網(wǎng)區(qū)域（僅用于服務(wù)器的補(bǔ)丁升級）； 

◆資源共享區(qū)可以訪問互聯(lián)網(wǎng)，即政府部門內(nèi)部訪問互聯(lián)網(wǎng)的業(yè)務(wù)是承載于電子政務(wù)外網(wǎng)的資源共享區(qū)域，考慮到安全問題，互聯(lián)網(wǎng)不能直接訪問資源共享區(qū)； 

◆專用業(yè)務(wù)區(qū)不能訪問互聯(lián)網(wǎng)，在外出差等移動辦公用戶只能利用VPE技術(shù)通過互聯(lián)網(wǎng)受限訪問部門業(yè)務(wù)專網(wǎng)區(qū)域。

浙江省電子政務(wù)外網(wǎng)通過對三類業(yè)務(wù)互訪關(guān)系的定義，進(jìn)一步加強(qiáng)了電子政務(wù)外網(wǎng)各業(yè)務(wù)之間的安全性，提高了部門業(yè)務(wù)專網(wǎng)的安全性。

3) 技術(shù)實現(xiàn):  

圖1 三類業(yè)務(wù)的部署 

◆專用業(yè)務(wù)區(qū)與資源共享區(qū)之間的訪問。采用網(wǎng)閘進(jìn)行隔離，如果要向資源共享區(qū)域更新數(shù)據(jù)可以通過網(wǎng)閘進(jìn)行，如果要進(jìn)一步提高專用業(yè)務(wù)區(qū)的安全性，可以在資源共享區(qū)的服務(wù)器上設(shè)置雙網(wǎng)卡，并在資源共享服務(wù)器的匯聚交換機(jī)上設(shè)定ACL策略，定義可訪問資源共享區(qū)域的專用業(yè)務(wù)終端。

◆資源共享區(qū)域?qū)姺?wù)區(qū)的訪問。資源共享區(qū)域與公眾服務(wù)區(qū)之間采用防火墻進(jìn)行安全隔離，并在防火墻上設(shè)置單向的ACL策略實現(xiàn)資源共享與公眾服務(wù)區(qū)之間的單向互訪。 

◆資源共享區(qū)域與互聯(lián)網(wǎng)之間的訪問。政府內(nèi)部人員可以訪問互聯(lián)網(wǎng)業(yè)務(wù)，在互聯(lián)網(wǎng)出口設(shè)置防火墻，并通過單向ACL的設(shè)定實現(xiàn)內(nèi)部人員可以訪問互聯(lián)網(wǎng)，但互聯(lián)網(wǎng)無法訪問資源共享區(qū)域。 

◆公眾服務(wù)區(qū)與互聯(lián)網(wǎng)區(qū)域的訪問。通過在互聯(lián)網(wǎng)出口設(shè)置防火墻，在防火墻上設(shè)置安全策略，實現(xiàn)公眾服務(wù)區(qū)可以訪問政府門戶網(wǎng)站，但網(wǎng)站服務(wù)器只能從互聯(lián)網(wǎng)訪問相關(guān)的補(bǔ)丁下載業(yè)務(wù)。

通過單向訪問控制、網(wǎng)閘、防火墻等技術(shù)實現(xiàn)三類業(yè)務(wù)之間的互訪關(guān)系，加強(qiáng)了三類業(yè)務(wù)間互訪的安全性。（要了解更多的技術(shù)實現(xiàn)細(xì)節(jié)可參考本刊中《電子政務(wù)外網(wǎng)三種業(yè)務(wù)互訪關(guān)系及實現(xiàn)方法》。）

3. 實現(xiàn)不同終端對各個VPN的多樣化訪問需求

1) 需求分析：單個終端訪問多個業(yè)務(wù)區(qū)的需求在電子政務(wù)外網(wǎng)的設(shè)計階段就已經(jīng)發(fā)現(xiàn)，如數(shù)字城管社區(qū)服務(wù)。不同終端通過外網(wǎng)訪問各自VPN資源的需求，如出差人員通過外網(wǎng)接入內(nèi)部辦公系統(tǒng)，審計人員要經(jīng)常性地從外網(wǎng)接入到內(nèi)部辦公系統(tǒng)。骨干網(wǎng)絡(luò)劃分了MPLS VPN，這樣就需要VPN接入網(wǎng)關(guān)不但支持隧道功能，還要同時具備基于不同的用戶映射至不同VPN的功能。

2) 實現(xiàn)方法：采用VPE網(wǎng)關(guān)實現(xiàn)接入  

圖2 VPE網(wǎng)關(guān)實現(xiàn)部分終端通過外網(wǎng)訪問多個縱向VPN資源，以及不同終端通過外網(wǎng)訪問各自VPN資源

如上圖所示：在電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間增加VPE設(shè)備來實現(xiàn)對出差人員或街道社區(qū)服務(wù)站對電子政務(wù)內(nèi)部業(yè)務(wù)的訪問。街道社區(qū)服務(wù)站用戶在一臺PC上設(shè)置多個VPN連接客戶端，通過輸入不同的用戶名/密碼來實現(xiàn)接入到不同的縱向網(wǎng)絡(luò)，如：A社區(qū)要分別接入到計生委、社保、財政等部門，只需要終端的PC機(jī)通過不同的用戶名（A@jishengwei、A@shebao、A@caizheng）和密碼就可以接入不同的縱向VPN系統(tǒng)內(nèi)。對于出差人員來說同樣適用，如審計部門人員B經(jīng)由外網(wǎng)接入到內(nèi)部，只需要在便攜機(jī)的VPN客戶端輸入用戶名B@shenji、密碼***，接入VPE網(wǎng)關(guān)，VPE設(shè)備會根據(jù)用戶的域名進(jìn)行MPLS VPN的映射，即：@shenji的用戶映射至審計的縱向VPN，從而實現(xiàn)對不同部門用戶的區(qū)分和VPN內(nèi)的資源訪問。

由于政府目前絕大部分用戶在認(rèn)證時都需要使用CA證書，VPE認(rèn)證時除了對用戶名/密碼進(jìn)行驗證外，還要能夠支持對CA證書的攜帶與驗證，所以往往需要對客戶端做定制化的設(shè)置。（更多技術(shù)實現(xiàn)可以參考本刊中《VPE技術(shù)在電子政務(wù)外網(wǎng)的應(yīng)用》。）

總結(jié)

浙江省電子政務(wù)外網(wǎng)的建設(shè)是以業(yè)務(wù)需求為導(dǎo)向的建設(shè)，其在規(guī)范制定與下發(fā)、關(guān)鍵業(yè)務(wù)需求分析與技術(shù)論證等多方面都是按計劃、有步驟的進(jìn)行，這使得其實施結(jié)果與建設(shè)目標(biāo)相匹配，其中很多思路值得大家參考。