彭云峰

摘要：論文提出依托省電子政務外網，通過采用MPLS VPN技術，整合構建省級政務部門統(tǒng)一的互聯(lián)網出口，加強統(tǒng)一安全監(jiān)控，提升網絡安全防護能力，滿足各單位依托電子政務外網開展面向公眾、服務民生的業(yè)務應用。

關鍵詞：電子政務外網；互聯(lián)網出口；網絡安全

中圖分類號：TP393.4 文獻標識碼：A 文章編號：1009-3044（2018）22-0307-02

Abstract： The dissertation proposes to rely on the provincial e-government extranet， adopts MPLS VPN technology， integrates and constructs a unified Internet export of the provincial government departments， strengthens unified security monitoring， enhances network security protection capabilities， and satisfies all units relying on e-government extranet to develop services to the public and services. Livelihood business applications.

Key words： E-government Network； Internet Export； Cyber Security

1 引言

隨著信息化的發(fā)展，我國電子政務取得了階段性成果，互聯(lián)網在各級政府部門得到了廣泛應用，為履行政府職能發(fā)揮了重要的支撐作用。同時，由于缺乏統(tǒng)一規(guī)劃和管理，大部分政府部門分散接入互聯(lián)網，各個互聯(lián)網出口單獨運行、維護，由于設備不到位或技術人員管理水平差異，造成互聯(lián)網出口成為當前政府信息系統(tǒng)安全管理的薄弱環(huán)節(jié)，導致網絡安全事件和網絡失泄密事件不斷發(fā)生[1]。

本文主要針對省級政務部門互聯(lián)網出口接入分散、安全保障和管理缺乏有效手段等問題，提出了依托省電子政務外網，通過采用MPLS VPN技術，整合構建省級統(tǒng)一的互聯(lián)網出口，縮減政府部門互聯(lián)網接入數(shù)量，加強互聯(lián)網的統(tǒng)一安全監(jiān)控，提升網絡安全防護能力，滿足各單位依托省電子政務外網開展面向公眾、服務民生的業(yè)務應用。

2 現(xiàn)狀情況

經過對安徽省省級政務部門互聯(lián)網接入情況進行調查顯示：

1） 省級各政務部門互聯(lián)網接入有兩種情況：一是黨政機關集中辦公的大型行政樓，互聯(lián)網出口統(tǒng)一由同一電信運營商提供，二是地理位置分散的單位，互聯(lián)網出口各自租用，且多數(shù)單位只有一個。

2） 多數(shù)單位通過電信公司接入互聯(lián)網，少數(shù)單位通過移動或聯(lián)通公司接入互聯(lián)網。

3） 大部分省級政務部門的互聯(lián)網接入帶寬為100-200M。

3 整合需求

本次互聯(lián)網出口整合主要實現(xiàn)省行政中心園區(qū)外分散辦公的省級政務部門互聯(lián)網出口的整合。詳細需求如下：

1） 基于省電子政務外網構建，在現(xiàn)有各單位對外發(fā)布系統(tǒng)的公網IP地址不變，帶寬不變的前提下進行，保障各單位日常辦公和外發(fā)布業(yè)務系統(tǒng)的穩(wěn)定性。

2） 建設周期短，主要實現(xiàn)省級各政務部門互聯(lián)網流量的匯聚，便于下一步的集中管理和統(tǒng)一的安全監(jiān)測。

3） 建設安全監(jiān)測區(qū)，對統(tǒng)一互聯(lián)網出口進行安全監(jiān)測。

4） 在省電子政務外網中心機房建設。

4 網絡架構設計

4.1 電子政務外網邏輯分區(qū)介紹

電子政務外網在邏輯上劃分為三個不同分區(qū)，為：公用網絡區(qū)、專用網絡區(qū)和互聯(lián)網接入?yún)^(qū)，三個分區(qū)之間通過VPN技術實現(xiàn)邏輯隔離。其中公用網絡區(qū)實現(xiàn)各級政務部門之間互聯(lián)互通的邏輯業(yè)務區(qū)，承載跨地區(qū)、跨部門的業(yè)務；專用網絡區(qū)采用MPLSVPN技術構建，主要承載政務部門特定需求的業(yè)務；互聯(lián)網接入?yún)^(qū)是實現(xiàn)電子政務外網連接互聯(lián)網的邏輯業(yè)務區(qū)，承載政務部門面向企業(yè)和公眾服務的業(yè)務，提供政務部門工作人員訪問互聯(lián)網資源的網絡通道。

4.2 網絡架構設計

根據(jù)安徽省現(xiàn)狀情況，依托省電子政務外網平臺，借助各電信運營商網絡匯聚整合分散在省行政中心園區(qū)外各單位的互聯(lián)網流量，在省電子政務外網機房整合建設統(tǒng)一的互聯(lián)網出口，并建設安全管理區(qū)，對各省直單位的互聯(lián)網流量進行安全監(jiān)測。整合后的互聯(lián)網整體建設在省電子政務外網的互聯(lián)網接入?yún)^(qū)。省級政務部門統(tǒng)一互聯(lián)網出口總體網絡架構如圖1所示。

在省政務部門前端配置一臺邊界路由器，連接各單位的內部局域網，在省電子政務外網機房分別配置各運營商互聯(lián)網出口的核心交換機，核心交換機再連接各運營商的互聯(lián)網，同時，在電信運營商連接用戶單位的接入路由器和核心交換機之間建立MPLS VPN通道，通過MPLS VPN技術統(tǒng)一將各單位的互聯(lián)網流量匯聚到省電子政務外網機房，達到互聯(lián)網出口整合的設計要求。

4.2.1 部門邊界設計

在省政務部門前端配置一臺邊界路由器，對下連接各單位的出口防火墻，連接各單位的局域網，對上連接省電子政務外網和互聯(lián)網，用戶可通過路由器的NAT轉換功能，將私網地址轉換成外網地址后訪問電子政務外網，或經運營商線路通過MPLS VPN通道直接訪問互聯(lián)網。部門邊界路由器可區(qū)分外網業(yè)務流量和互聯(lián)網業(yè)務流， 也可連接多家運營商的互聯(lián)網，即符合國家電子政務外網標準規(guī)范的要求，又便于下一步流量的監(jiān)控。

4.2.2 安全管理區(qū)設計

建設安全管理區(qū)，在省電子政務外網機房配置TAP交換機，旁接到核心交換機上，通過鏡像將數(shù)據(jù)復制到TAP交換機，TAP交換機可根據(jù)IP地址、Vlan、數(shù)據(jù)包等規(guī)則進行分流，將數(shù)據(jù)復制到多個端口供多臺設備同時進行監(jiān)測分析，從而實現(xiàn)對互聯(lián)網流量的安全監(jiān)測。

4.2.3 備份通道設計

在部門邊界路由器與省電子政務外網核心路由器之間可建立IPSec VPN隧道，當部門電子政務外網專線故障時，路由器BFD協(xié)議檢測到后，可通過IPSec VPN隧道訪問電子政務外網，從而實現(xiàn)電子政務外網專線備份的作用。

4.2.4 數(shù)據(jù)流分析

相關互聯(lián)網數(shù)據(jù)流、政務外網數(shù)據(jù)流以及備份數(shù)據(jù)流情況如下：

1） 互聯(lián)網數(shù)據(jù)流。省政務部門用戶訪問互聯(lián)網時，所產生的流量經過部門邊界路由器至省電子政務外網機房互聯(lián)網出口區(qū)的核心交換機，通過MPLS VPN通道實現(xiàn)互聯(lián)網訪問。

2） 政務外網數(shù)據(jù)流。省政務部門用戶訪問政務外網時，所產生的流量經過部門邊界路由器NAT轉換后直接到達省電子政務外網城域網，實現(xiàn)電子政務外網訪問。

3） 備份數(shù)據(jù)流。當省政務部門上連省電子政務外網的線路故障時，所產生的流量經過部門邊界路由器至互聯(lián)網出口區(qū)的核心交換機，由核心交換機轉發(fā)至運營商邊界處的政務外網接入路由器，再至電子政務外網的核心路由器，通過IPSec VPN隧道實現(xiàn)電子政務外網訪問。互聯(lián)網出口整合后的數(shù)據(jù)流如圖2所示。

5 設計方案特點

該設計方案主要呈現(xiàn)以下幾方面特點：

1） 改造范圍小。各單位內部局域網和互聯(lián)網接入線路無需變動，僅需在互聯(lián)網出口做改造，電信運營商遠程修改相關數(shù)據(jù)即可完成互聯(lián)網流量的匯聚遷移。

2） 建設周期短。施工周期短、部署快。

3） 可形成外網備份通道?？赏ㄟ^運營商互聯(lián)網線路搭建電子政務外網VPN通道，當上連政務外網線路故障時，可以建立電子政務外網的備份通道。

4） 協(xié)同運維，提高服務質量。根據(jù)與各省政務部門、電信運營商的邊界和責任內容，各司其職，協(xié)同運維，可不斷提高服務質量和水平。

5） 實現(xiàn)互聯(lián)網的邏輯隔離。在電子政務外網平臺上通過MPLS VPN技術可將互聯(lián)網流量和外網流量實現(xiàn)邏輯隔離。

6 結束語

本文研究了省級政務部門互聯(lián)網的接入現(xiàn)狀和需求，提出了一種依托省電子政務外網整合構建統(tǒng)一互聯(lián)網出口的方案，設計了省級政務部門互聯(lián)網出口整合的總體網絡架構，通過借助電信運營商網絡可構建統(tǒng)一的互聯(lián)網出口，同時又能形成省電子政務外網的備份通道，既滿足統(tǒng)一安全監(jiān)控的需要，又滿足各單位依托電子政務外網開展面向公眾、服務民生的業(yè)務應用。

參考文獻：

[1] 劉盛輝，朱志祥，任學強.政府部門互聯(lián)網安全接入技術架構[J].西安郵電大學學報，2012，17（3）：98-101.

[2] 肖冰.政務外網互聯(lián)網出口若干問題研究[J].深圳信息職業(yè)技術學院學報，2007，5（1）：63；64-66.

[3] 周蓉蓉.構建公安消防信息網內外網邊界接入平臺[J].網絡安全技術與應用，2009（12）：46-51.

[4] 閻彩英.淺析電子政務外網互聯(lián)網出口的安全技術構架[J].中國信息界，2011（2）：38-40.

[5] 劉濤.計算機網絡安全問題的應對策略[J].硅谷，2011，8（20）：146.