|
电子政务专网是按照市政府要求,在公用信息平台基础上,增加部分光纤网络设施,在市政府各部门、各区、县政府之间统一建立的、能实现政务部门间内部网高速互连的宽带信息网络,其主要目的是保障市各级国家机关内部网络信息的安全,满足政府各部门宽带信息网络的迫切需求,避免重复建设。
有线政务专网覆盖了市委、市政府有关单位和 18 个区县,以及市人大、市政协、总工会等。有线政务专网承载的业务网和系统包括市党政机要通信网、市公安金盾网、市统计信息业务网、市规划委业务网、市人事局业务网、市路政局(现为市交通委)业务网、市水利局业务网、市计生委计生业务网、市财政局金财业务网、市气象局业务网、市纪检监察业务网、市地震局业务网、市委组织部业务网、市政法委业务网、市投资项目审批系统、市企业信用信息系统、市公文无纸化传输系统、市郊区农村疫病防控系统、市便民电话中心数据系统、市监狱管理局自动化指挥系统、市非典疫情病情报送系统、市民政局低保系统、市应急指挥 IP 视频会议系统等。
某委办局下属有 19 个单位,根据管理机构的调整,某委办局与下属单位实现垂直领导。为了加强某委办局的整体的办公业务系统的建设,进行资源的统一管理,为此,某委办局信息中心要求,基于市现有网络环境,以及委办局管理信息系统应该实行集中管理的运作模式,利用电子政务专网实现委办局与下属单位电子政务纵向业务 VPN 联网。
• 系统建设要求
委办局纵向业务 VPN 网络项目建设主要包括:实现委办局到下属 19 个下属单位的 VPN 连接;构建整个 VPN 网络的网络防病毒系统;构建 19 个下属单位的防火墙系统及局域网系统的改建。
该委办局的纵向业务 VPN 网络项目是该委办局的重要的基础信息平台,所以其设计方案要充分考虑到系统的先进性、实用性、开放性、扩展性和经济性等原则,以便达到既能满足现实应用,又能保护投资的目的。同时,某委办局纵向业务 VPN 网络项目在建设中,也要考虑到对视频会议系统的支持。
整个纵向 VPN 网是一个星型拓扑结构,委办局是整个网络的中心,通过电子政务网平台下联 19 个下级单位,接入方式采用光纤以太网接入,某委办局带宽为 100M ,下级单位带宽为 10M ,由电子政务网提供从物理层到网络层的连接和路由。考虑到电子政务专网不具有保密性,根据委办局网络的特点和保密要求,下级单位都与委办局建立 IPSEC VPN 隧道,构架某委办局纵向 VPN 网络,实现上、下级资源的共享和访问。各下级单位之间也可以根据业务系统的需要,建立彼此间的 VPN 隧道,实现同级单位间的互相访问。
委办局和下级单位组成一个大的 VPN 网络后,成为一个大的系统,局与分局之间的访问完全没有限制,考虑到这个要素,在彼此内部局域网络与 VPN 网之间采用一台防火墙来进行访问的控制,使专网内的各单位的安全也有保障。
委办局纵向业务 VPN 网络项目建设包含以下几个部分:
• 委办局 VPN 汇集中心建设,也是整个 VPN 网络能否高效稳定的运行的关键。
• 下级单位的 VPN 建设是本项目主要的建设内容。
• 全 VPN 网络防病毒体系的建设,这也是本项目重点建设内容之一。
• 防火墙系统是 VPN 系统内部各单位之间以及政务网中与其他相关单位的安全保证。
VPN 系统是该委办局 VPN 网的核心系统,我们在这里做详细的介绍。
虚拟专用网 (VPN) 技术是指在公共的不受信任的网络中建立可信任的,能保证数据完整性和机密性的数据通道,所有通过此通道传输的数据都会被加解密处理后发送到目的端。
考虑现在该委办局的安全需求,通过对该委办局网络拓扑结构的分析,整个网络属于星型结构,即以委办局数据中心作为网络的中心,各下级单位通过光纤专线连接到市局数据中心。市局数据中心作为网络的中心,数据流量较大,安全性要求较高,建议在委办局网络中部署一台高端 VPN 加密网关,各下级单位可以使用中档的 VPN 加密网关与该委办局网络进行 VPN 连接。
为了较少管理员维护 VPN 产品的工作量,减少由于策略不匹配造成的不便,使管理员能对委办局的 VPN 网络进行集中管理和监控,在委办局采用的 VPN 加密网关中装入策略服务器系统,负责整个 VPN 网络安全策略的集中管理和配置。
为了使出差人员或者移动办公人员能够安全的访问委办局内部网络,在出差人员或者移动办公人员的机器中安装 SQY21 Windows IPSec 密码支持系统。它可以支持多种接入方式,包括有线网络和无线网络,只需进行简单的设置后就可以和委办局中心机房中的 VPN 加密网关建立 VPN 隧道,安全的访问委办局内部网络。
委办局系统网络具有用户数量众多、用户环境复杂、安全级别要求高等特点。因此,部署委办局的防病毒系统需要进行认真规划,重在提供强大的病毒查杀能力、多种病毒查杀方式、多种病毒特征代码升级方式和灵活适当的管理模式。
考虑到该委办局系统对安全防病毒的重视程度以及目前的实际情况,我们对委办局防病毒系统的管理应该采取严格的管理策略,即针对计算机终端建立集中控管的防病毒系统,提供 web 安装、 FTP 等升级方式,方便防病毒系统的安装和升级。提供全网范围内的在线杀毒,以供特殊情况下的病毒查杀。
系统一旦遭到病毒的袭击,一个及时严密的报警系统将发挥重要作用。整个报警体系的结构如下图所示:
在信息中心设立一台报警服务器,其所属客户端全部疫情将发送到这台报警服务器。
网络的安全隐患不仅仅来自外部,内部的安全也是非常重要的,委办局纵向 VPN 网络解决了委办局系统与政务网其他单位和用户的安全问题,但我们需要考虑到 VPN 专网内部的安全控制,防止内部的病毒泛滥,木马的横行。所以我们在各下级单位的内网与专网之间需要采取安全措施。
实现网络安全一般在不同区域的边界使用网络安全产品来达到不同区域安全互连的目的,对于网络层来说使用最多的是防火墙产品,网络管理人员按照不同的策略设置防火墙从而连接不同安全级别的区域。值得注意的是防火墙只是对网络安全进行控制层次较低的产品并且只能对 OSI 七层协议的网络层( IP )、传输层( TCP )、以及部分高层的协议进行控制,因此我们不能依靠防火墙为网络提供绝对的安全保障,应用系统的安全也需要考虑。
根据用户的要求,整个 VPN 系统的防火墙的布置如下图所示:
根据不同业务和应用的需要,我们可以通过防火墙将网络化成不同的区域,如下图:
可信任区域是指在该区域传递的数据是可靠的以及安全的,对于委办局和下属单位来说,委办局和下属单位内部网络属于可信任区的范围之内;专区是指该区域 VPN 专网部门,这个区域对政务网其他单位来说是安全的,但对于委办局来说,这个区域安全度最低; DMZ 区是指从该区域传递过来的数据基本上是安全的但具有不安全的因素,这个区域包括委办局和下属单位的系统内的,对系统公开的服务器,如内部 WWW 服务器, FTP 服务器和 EMAIL 服务器等。
• 建设后的使用效果
项目建设完成后,委办局和下属 19 家单位实现了网络上的互联,同时在 VPN 纵向网络上,建设了委办局的业务系统。目前委办局的下级单位通过该业务系统,时时的与委办局进行业务沟通。
>>返回 |
