何黎明 何光明 江西省信息中心 南昌市 330046

0 引言

推進(jìn)“互聯(lián)網(wǎng)+政務(wù)”工作是黨中央、國務(wù)院作出的一項重大決策部署。不少政府部門通過加快移動辦公服務(wù)平臺和建設(shè)，有效解決了群眾“辦事難”、“辦事慢”等問題。在此形勢下，政務(wù)外網(wǎng)承載業(yè)務(wù)應(yīng)用的重要程度和深度廣度日益提升，政務(wù)外網(wǎng)用戶（公務(wù)員、執(zhí)法人員、企事業(yè)單位、公眾用戶等）通過互聯(lián)網(wǎng)、移動網(wǎng)絡(luò)等公共網(wǎng)絡(luò)開展移動辦公、現(xiàn)場執(zhí)法、數(shù)據(jù)上報等安全接入業(yè)務(wù)的需求越來越多，特別是鄉(xiāng)鎮(zhèn)、村級用戶非專網(wǎng)接入和移動辦公用戶接入政務(wù)外網(wǎng)的需求越來越大，用戶通過移動方式接入各廳局業(yè)務(wù)系統(tǒng)的需求日漸明顯，如何建設(shè)一個全省統(tǒng)一的政務(wù)外網(wǎng)安全接入平臺成為擺在全省政務(wù)外網(wǎng)管理者面前的一個難題。

1 面臨的問題和需求分析

目前，全省電子政務(wù)外網(wǎng)覆蓋了省市縣鄉(xiāng)，但并沒有延伸到村（社區(qū)），雖然按照效率優(yōu)先、節(jié)約投資、滿足需求的原則，部分廳局和部分地區(qū)建設(shè)了各自的安全接入VPN系統(tǒng)，各自的用戶通過互聯(lián)網(wǎng)就能夠安全地聯(lián)入電子政務(wù)外網(wǎng)。但是基于“互聯(lián)網(wǎng)+政務(wù)”環(huán)境下，這些零散系統(tǒng)的功能和性能存在較大不足。一是各自安全接入平臺結(jié)構(gòu)簡單，沒有冗余備份，而且存在設(shè)備重復(fù)利用的情況，可靠性差；二是各自平臺支撐的用戶數(shù)量不多，難以支撐好各類業(yè)務(wù)應(yīng)用及聯(lián)網(wǎng)用戶各類需求；三是安全防護(hù)能力較弱，安全設(shè)備的部署不到位，不能滿足國家政務(wù)外網(wǎng)安全接入平臺技術(shù)規(guī)范要求。

“互聯(lián)網(wǎng)+政務(wù)”環(huán)境下的政務(wù)終端具有移動性，便攜性等特點(diǎn)，消除了時間和地域的限制。因此，如何利用互聯(lián)網(wǎng)、運(yùn)營商公共承載網(wǎng)等基礎(chǔ)網(wǎng)絡(luò)，為不具備專線接入政務(wù)外網(wǎng)的各級政務(wù)部門、移動辦公人員、現(xiàn)場執(zhí)法人員、企事業(yè)單位和公眾用戶等接入對象，通過計算機(jī)、智能終端等多種類型終端或接入網(wǎng)關(guān)，通過全省電子政務(wù)外網(wǎng)安全接入平臺，安全地接入到政務(wù)外網(wǎng)內(nèi)部網(wǎng)絡(luò)或業(yè)務(wù)應(yīng)用服務(wù)系統(tǒng)，實現(xiàn)安全、便捷、高效辦公，是全省政務(wù)外網(wǎng)安全接入平臺急需解決的困惑。

2 平臺設(shè)計與實現(xiàn)

全省電子政務(wù)外網(wǎng)安全接入平臺方案的設(shè)計，必須首先考慮作為政府部門的安全性要求，同時需要符合計算機(jī)信息系統(tǒng)的安全等級保護(hù)要求，在進(jìn)行電子政務(wù)安全接入平臺方案設(shè)計時，必須充分考慮通過互聯(lián)網(wǎng)接入內(nèi)部辦公網(wǎng)絡(luò)、智能終端快速發(fā)展所帶來的各種安全隱患。

考慮到經(jīng)濟(jì)型、技術(shù)合理、初期的用戶數(shù)等多種因素，全省電子政務(wù)外網(wǎng)安全接入平臺宜采用省、市兩級部署，省級和11個設(shè)區(qū)市分別部署一套安全接入平臺，采用分級屬地化原則進(jìn)行接入。每套安全接入平臺應(yīng)部署VPN接入?yún)^(qū)、接入認(rèn)證區(qū)、接入管理區(qū)、移動安全管理平臺。各級移動辦公用戶或不具備專線的用戶通過互聯(lián)網(wǎng)或運(yùn)營商公共承載網(wǎng)絡(luò)，經(jīng)安全接入平臺聯(lián)入政務(wù)外網(wǎng)。考慮到投入成效比，市級安全接入平臺先行部署VPN接入?yún)^(qū)、接入認(rèn)證區(qū)、接入管理區(qū)，以滿足基本業(yè)務(wù)應(yīng)用的承載。

在VPN接入?yún)^(qū)部署SSL VPN設(shè)備和防火墻設(shè)備，作為電子政務(wù)安全接入平臺身份認(rèn)證和鏈路認(rèn)證設(shè)備。在接入認(rèn)證區(qū)部署認(rèn)證設(shè)備，統(tǒng)一對入網(wǎng)終端PC、移動用戶的合法性進(jìn)行驗證。在接入管理區(qū)部署管理平臺，對平臺設(shè)備和平臺日志進(jìn)行監(jiān)控和管理。在移動安全管理平臺部署移動終端管理設(shè)備，負(fù)責(zé)對需要接入政務(wù)外網(wǎng)的手機(jī)、平板電腦等移動終端提供統(tǒng)一安全接入認(rèn)證的入口，并進(jìn)行設(shè)備管理、應(yīng)用管理、內(nèi)容管理的安全管理服務(wù)。為確保內(nèi)部數(shù)據(jù)安全，采用國密SM4算法對數(shù)據(jù)進(jìn)行加密。采用基于SSL VPN設(shè)備的網(wǎng)絡(luò)Hook SDK包作為智能終端APP應(yīng)用集成使用，確保智能終端設(shè)備可以通過VPN設(shè)備實現(xiàn)身份認(rèn)證、鏈路加密等功能。

2.1 省級設(shè)備部署

省級政務(wù)外網(wǎng)安全接入平臺部署四臺防火墻、兩臺VPN網(wǎng)關(guān)、一臺移動安全管理平臺設(shè)備、兩臺匯聚交換機(jī)及認(rèn)證等設(shè)備，各設(shè)備互聯(lián)采用千兆線路連接。VPN網(wǎng)關(guān)和防火墻宜采用雙機(jī)熱備組網(wǎng)。通過配置VRRP協(xié)議，兩臺設(shè)備對外提供一個公網(wǎng)IP地址供用戶訪問，兩臺設(shè)備之間通過協(xié)議進(jìn)行配置信息及會話信息的同步。當(dāng)一臺設(shè)備故障時，VPN業(yè)務(wù)能夠快速切換到另一臺VPN網(wǎng)關(guān)設(shè)備，保證了業(yè)務(wù)的平穩(wěn)正常運(yùn)行。當(dāng)主設(shè)備恢復(fù)后，設(shè)備上所有已建立的連接無縫切換到原備設(shè)備上，VPN隧道無需重新建立，當(dāng)前業(yè)務(wù)不中斷，設(shè)備切換對用戶無感知。AD服務(wù)器采用雙機(jī)模式部署，作為用戶名認(rèn)證服務(wù)器使用。應(yīng)用身份認(rèn)證網(wǎng)關(guān)采用雙機(jī)旁路模式部署。網(wǎng)絡(luò)認(rèn)證功能由VPN網(wǎng)關(guān)完成。省級安全接入平臺部署圖如圖1所示：

圖1 省級安全接入平臺部署圖

2.2 市級設(shè)備部署

市級政務(wù)外網(wǎng)安全接入平臺初期部署一臺防火墻、一臺VPN網(wǎng)關(guān)、一臺匯聚交換機(jī)及認(rèn)證等設(shè)備，各設(shè)備互聯(lián)采用千兆線路連接。VPN網(wǎng)關(guān)設(shè)備采用旁掛模式連接防火墻，實現(xiàn)數(shù)據(jù)進(jìn)、出均能被防火墻防護(hù)。配置一臺日志服務(wù)器，用于記錄VPN網(wǎng)關(guān)和防火墻日志；配置一臺AD服務(wù)器，作為用戶名認(rèn)證服務(wù)器使用；網(wǎng)絡(luò)認(rèn)證功能由VPN網(wǎng)關(guān)完成。市級安全接入平臺部署圖如圖2所示：

圖2 市級安全接入平臺部署圖

通過政務(wù)外網(wǎng)安全接入平臺訪問政務(wù)外網(wǎng)業(yè)務(wù)的傳統(tǒng)終端電腦，首先通過安裝在終端中的SSL VPN客戶端與SSL VPN設(shè)備連接，經(jīng)過網(wǎng)絡(luò)準(zhǔn)入認(rèn)證后加密訪問政務(wù)外網(wǎng)內(nèi)部業(yè)務(wù)應(yīng)用系統(tǒng)。SSL VPN正常連通時，整個鏈路數(shù)據(jù)采用128位AES算法進(jìn)行加密傳輸，同時傳統(tǒng)終端電腦上的正常桌面均不能訪問互聯(lián)網(wǎng)數(shù)據(jù)，但可以訪問政務(wù)外網(wǎng)內(nèi)部辦公業(yè)務(wù)。

智能手機(jī)終端首先需要安裝進(jìn)過二次開發(fā)的手機(jī)app軟件，通過智能終端中安裝的手機(jī)APP軟件與SSL VPN設(shè)備相連接，經(jīng)過網(wǎng)絡(luò)準(zhǔn)入認(rèn)證后，用戶可直接訪問已授權(quán)的資源。在訪問內(nèi)部辦公數(shù)據(jù)過程中，整個鏈路數(shù)據(jù)采用128位AES算法進(jìn)行加密傳輸，保證鏈路傳輸中數(shù)據(jù)的安全性。

全省電子政務(wù)外網(wǎng)安全接入平臺部署完成后，應(yīng)進(jìn)入測試階段。測試主要從傳統(tǒng)終端和智能終端兩方面進(jìn)行測試，主要測試內(nèi)部辦公業(yè)務(wù)是否能夠安全、正常、便捷運(yùn)轉(zhuǎn)，確定平臺已基本滿足政府移動辦公所需的安全、便捷等要求，才能正式上線運(yùn)行。

3 結(jié)束語

本論文來源于國家電子政務(wù)外網(wǎng)安全安全接入平臺試點(diǎn)省的建設(shè)經(jīng)驗總結(jié)，依據(jù)《國家電子政務(wù)外網(wǎng)安全接入平臺技術(shù)規(guī)范》，充分結(jié)合“互聯(lián)網(wǎng)+政務(wù)”環(huán)境我省業(yè)務(wù)應(yīng)用的實際需求，開展我省政務(wù)外網(wǎng)安全接入平臺相關(guān)研究工作。期間，梳理了政務(wù)外網(wǎng)安全接入平臺方面的具體需求。在需求分析的基礎(chǔ)上，結(jié)合當(dāng)前安全接入的主流技術(shù)，設(shè)計平臺的總體功能架構(gòu)，整理安全接入業(yè)務(wù)流程，形成政務(wù)外網(wǎng)安全接入平臺的整體方案，并最終部署實現(xiàn)。同時，經(jīng)過測試并實際應(yīng)用，包括十多個廳局用戶的案例使用，特別是省委組織部全國黨員管理信息系統(tǒng)全省10.8萬基層黨組織的測試使用，驗證了本論文所研究的安全接入平臺架構(gòu)能夠?qū)崿F(xiàn)了預(yù)期目標(biāo)。一是實現(xiàn)了面向不同用戶類型（不具備專線接入條件的各級政務(wù)部門、移動辦公用戶、現(xiàn)場執(zhí)法人員、企事業(yè)單位和公眾用戶等）、多種公用網(wǎng)絡(luò)（互聯(lián)網(wǎng)、2G/3G/4G網(wǎng)絡(luò)、VPDN等）和各類終端設(shè)備（計算機(jī)、智能終端、專用執(zhí)法設(shè)備等）的一體化解決方案；二是課題中形成的政務(wù)外網(wǎng)安全接入平臺整體設(shè)計思路與解決方案, 在平臺設(shè)計、功能劃分以及應(yīng)用對接等方面，將為“互聯(lián)網(wǎng)+政務(wù)”環(huán)境下的各級接入政務(wù)部門提供便捷安全的接入業(yè)務(wù)支撐，為各級政務(wù)外網(wǎng)安全接入平臺建設(shè)提供指導(dǎo)和參考，也可為其他領(lǐng)域和行業(yè)同類平臺的設(shè)計與建設(shè)提供有益的參考和借鑒。

[1]楊陽 蔡明敏.“基于SSL VPN的安全接入平臺設(shè)計與實現(xiàn)”. 科技展望.2015年第33卷

[2]宋超.“電子政務(wù)安全接入平臺方案設(shè)計與實現(xiàn)”.青島大學(xué).2014

[3]李堅. 移動電子政務(wù)安全設(shè)計與實現(xiàn)[D]. 吉林大學(xué),2015.