【51CTO.com 綜合報道】一、 前言

隨著兩部委下發的988號文件的要求，省級的電子政務外網的建設進入到實際的倒計時建設中。988號文件進一步明確了電子政務外網在政府信息化中的重要性，相比前期的中辦發[2002]17號、中辦發[2006]18號文，此次對電子政務外網的要求更加明確：1.各省要求在2010年底之前完成各省的電子政務外網的建設。2.政府其他各縱向部門原則上不允許獨立建設縱向網絡，要求統一承載至國家電子政務外網平臺。這樣一方面明確了電子政務外網基礎網絡平臺的時間底線，另一方面進一步明確了電子政務外網在政府信息化中的地位。

過去的5年中全國各個省份都在構建省級的電子政務外網，為此國家信息中心下發了有關電子政務外網建設的技術指導，電子政務外網發展至今，其地位已經發生了變化，當前的電子政務外網已經成為各部委的電子政務外部業務的承載平臺，不是單一部門的業務承載網，電子政務外網正逐步在演變為一個跨系統、跨部門的電子政務外部平臺，2010年政府的電子政務外網建設也會轉向電子政務外部平臺建設，將成為電子政務外網的分水嶺。

當前電子政務外部平臺的建設，網絡的互通已經不再是用戶建設的目標，用戶更加關注電子政務外網的三類業務應當如何承載？整體的電子政務外網的運行、維護如何開展？如何能夠構建統一、全面的安全管理策略？面向未來的數據、IPv6等新業務應該如何構建？

二、 電子政務外部平臺整體模型  

圖1   H3C電子政務外部平臺整體模型

電子政務外部平臺整體模型包括基礎網絡平臺、數據交互平臺、業務應用平臺、立體安全架構、統一運維與管理平臺5大模塊構成。從模型中可以看出前期電子政務外網的建設重心基礎網絡平臺只是電子政務外部平臺的一個模塊，數據中心與災備、立體安全架構、統一運行與維護管理等模塊也已成為用戶的重點需求。

1. 業務應用平臺

電子政務外網業務分為三類業務：專用業務、公用業務、互聯網業務三類。專用業務是指如：金安工程、審計等政府部門的各縱向業務，是省政府直屬各單位在省政務外網上利用MPLS VPN技術，連接本系統內部省、市、縣（市、區）相關部門的縱向業務。公共業務：又可稱之為橫向業務，是指各單位實現信息共享與交換的業務，如：政務行政審批業務。互聯網業務：對因特網公眾提供服務，省政府直屬各單位通過統一出口訪問因特網，如：政府門戶網站等。實際上電子政務外網的建設依據都是基于電子政務的業務分析所展開。

2. 基礎網絡平臺

為了在同一張物理網上針對電子政務外網的三類不同的業務進行承載，MPLS VPN技術成為電子政務外網建設中基礎的網絡技術，在網絡基礎平臺的建設中要實現電子政務不同業務應用的不同承載平臺。

縱向業務承載網絡：承載G2G（內部）業務，政府部門內縱向辦公業務。通過劃分單獨的MPLS VPN來實現不同政府部門的縱向業務承載，以政府A部門的省、地市、區縣的三級部門為例，省A部門、地市A部門、區縣A部門通過與省級電子政務外網、地市電子政務外網、區縣電子政務外網實現三級網絡之間的互聯，在電子政務外網為A部門劃分單獨的VPNa為A部門提供縱向業務。即：劃分縱向業務虛擬網絡資源平臺。

公用業務承載網絡：承載G2G（部門間）業務，政府部門間橫向資源共享業務。公用業務承載是實現各個接入部門之間的信息共享，在公共業務的承載方面兩種技術均可實現：

一是通過電子政務外網的Global直接承載，不需要為其開通單獨的MPLS VPN，各個部門將自己的公共業務設置單獨的服務器與電子政務外網相連，通過Global實現與其他接入電子政務外網的政府部門之間的公用業務互訪。

二是在電子政務外網上開通單獨的VPN作為公用業務VPN，各部門將公共業務區域的服務器單獨劃分為一個區域，接入電子政務外網的公用業務VPN實現業務間的互訪。從國家信息中心的技術指導要求來看公共業務互訪可以采用Global IP網段的承載方式，但實際開通時會存在IP地址短缺或各部門狀況不一的情況，所以采用劃分單獨的VPN的方式也同樣可以實現，兩種方式均可以實現公共業務網絡承載。

互聯網業務承載網絡：G2C、G2B業務，承載政府對公眾的網站發布業務，以及政府部門內部訪問互聯網的業務。互聯網業務承載網絡有兩類業務：包括對外公眾信息發布、政務部門內部訪問互聯網業務。針對兩類業務在電子政務外網進行統一劃分MPLS VPN的方式來實現，用戶單位需要將對外發布的信息系統設置單獨的區域，統一對外發布。對政府內部訪問互聯網的用戶終端根據國家信息中心的要求與縱向業務之間隔離，不允許采用同一臺主機終端，因此可以設置單獨的主機終端、劃分單獨的區域，映射到互聯網VPN 區域實現對互聯網業務的訪問。

3. 立體安全架構

安全在電子政務外網尤其重要，當前電子政務外網的安全建設已經區別于5年前的安全，不是簡單的安全產品的堆積來實現安全的防護，實際上當前的政府用戶更加傾向于購買安全解決方案，在實施電子政務外網的安全時考慮更多的是一個立體的安全架構。 

圖2  H3C基于電子政務外網的立體安全架構

1) 安全的廣度： 

終端準入：電子政務外網需要接入大量的政府部門，如何規范接入用戶的行為尤其重要，終端準入可以實現針對不同用戶的權限區分，確保每個人只能訪問自己的授權資源訪問，在電子政務外網有兩種終端準入應用方式：一是簡單的寬泛認證及資源授權，應用于接入部門的認證，如：單臺終端在不同時間訪問不同業務區（過渡階段）的方案，這種方式無需裝任何客戶端免維護，可實施性強。方式二是強制型認證與資源授權，應用于電子政務外網在行政中心部署的方式，如：海南電子政務外網的部署，實現強安全、嚴格安全遵從時采用。 

網絡邊界：電子政務外網的網絡邊界安全尤其重要，各部門接入時要重點實現縱向業務區、公用業務區、互聯網業務區三類業務的區分并且與電子政務外網對接，在網絡邊界的安全在電子政務外網要考慮到以下幾個方面：各政府接入部門接入電子政務外網的邊界安全規范、互聯網業務區出口的安全策略、外部人員接入電子政務外網時的身份認定與資源授權等。 

承載平臺：電子政務外網的骨干網開通MPLS VPN，所以骨干網本身就通過MPLS VPN實現的安全隔離，如果公用業務區是通過Global 來實現互訪，建議在整個電子政務骨干網上部署安全策略，主要的策略面向公用網絡區域部署，避免公用業務區中的問題對骨干網產生安全威脅。除安全策略之外在骨干網上對VPN內部的業務流的管理與分析也非常重要，既然電子政務外網是一張承載網，那么對承載網的全網業務進行實時的分析與管理同樣非常重要，因此在骨干網上通過對VPN內部的業務數據流量進行分析實現對全網流量的分析與管理，提高骨干網的可管理、可運維性。 

數據中心：數據中心在電子政務外網的建設中是下一個階段的建設重點，數據中心的安全涉及的方面較多，主要包括安全的性能、安全的分區分域、服務的應用加速、安全的管理與分析等，這里不再做詳細介紹（大家如果感興趣可以參考數據中心整體解決方案）。

2) 安全的深度 

網絡層：電子政務外網的網絡層安全是電子政務外網安全的基礎，目前電子政務外網的建設中首先MPLS VPN已經確保了網絡層一定的安全性，在電子政務外網邊緣的網絡層安全主要可以通過FW產品來實現網絡2-4層的安全防護，當多部門統一匯聚時可以通過VFW（虛擬防火墻）技術來實現各部門之間的安全隔離與防護，總的來說網絡層的安全主要是指電子政務外網的2-4層的安全防護，主要的技術可以采用FW技術來實現。 

數據層：數據層安全是電子政務外網下一個階段的建設重點，其主要是為了實現各接入單位的關鍵數據的安全防護與備份，數據層的安全可以通過災備、遠程備份等技術實現，存儲技術與網絡技術的結合是數據層安全的主要實現手段。 

應用層：應用層安全在電子政務外網的建設中主要在互聯網出口，承載網的業務流量分析，面向網站、數據庫、操作系統的防漏洞攻擊等安全措施，如：對全網的流量進行監控與分析，進而實現對用戶的網絡行為進行分析，給出VPN的流量占用情況，上網業務多少？辦公業務多少？P2P的流量多少？訪問的網站Top 10都是哪些等等。IPS、Netstream、應用控制網關等產品與技術在應用層安全中起到了重要作用。

3) 安全的時間維度 

事前防范：事前防范的安全設計與規劃在電子政務外網中有廣泛的部署需要。其中在電子政務外網地市政務行政中心中部署尤其重要，如：地市行政中心不同的部門在同一建筑中，通過在物理網絡上劃分，對各個用戶接入網絡的事前審計可以通過檢查用戶終端的安全是否與安全策略相符，如果不相符則不允許接入網絡平臺，避免對整網帶來安全威脅。 

事中阻斷：事中阻斷是立體安全架構思想的直接體現，除傳統的防火墻、IPS的實時阻斷技術外，更重點的是如何通過全網的安全模塊聯動將正在實施攻擊的主機或遭受病毒感染的主機強制隔離。如：網絡安全管理模塊（IPS或防火墻）發現某IP地址有病毒攻擊，將事件上報至安全管理中心，安全管理中心會將IP地址上報至網絡管理平臺，網絡管理平臺依據IP地址追蹤至某交換機下的某個終端，并通知終端的安全管理模塊強制用戶下線，從而完成了對事中某病毒終端的阻斷。事中阻斷在電子政務外網中行政中心的實施部署有著重要的意義。 

事后審計：事后審計在電子政務外網的安全規劃中也是不可缺少的一部分，對月度或季度的安全事件進行分析可以階段性了解目前網絡存在的安全威脅提前做好安全規劃避免安全問題對網絡帶來的沖擊。再者，事后審計也是對已發生的安全事件追蹤、取證的重要手段，如：對在網上發表非法言論等安全事件的審計。

4. 數據交互平臺

數據交互平臺是電子政務下一個階段的建設重點，其建設的重心與政府機構的業務緊密結合，在數據交互平臺中有兩類代表業務。

一類是結構化數據為代表的政務數據中心。政府數據中心主要是G2G、G2C、G2B等業務的集中處理中心，是后電子政務時代數據大集中的體現。政務數據中心建立的同時會催生政府災備中心的建設，實現對集中數據的統一備份與管理，實際上現階段政府數據中心往往是由各縱向部門統一建設，而災備中心往往由政府統一建設，可以借助電子政務外網的建設模式進行，從而引發政府共享災備的建設，前期杭州、江蘇等省份的災備建設實際上就是共享災備的建設模式。

第二類是以非結構化數據為代表的政務多媒體中心。包括政府應急指揮系統，其將視頻會議、視頻監控、共享數據等相關平臺統一整合，是重大突發事件的應急平臺，其主要的業務也是以多媒體業務為主。

5. 統一運行與維護平臺

電子政務外網是一張大型的承載網絡，對管理的要求也是非常重要的，其需求區別于傳統簡單的設備管理，需要實現一個整體的運行與維護平臺。 

圖3   H3C基于電子政務外網的統一運行與維護平臺模型

1) 基礎網元管理平臺

主要實現對電子政務外網的基礎設備的管理，電子政務外網基礎平臺采用的設備眾多，因此建議在統一的平臺上來實現對基礎平臺不同種類的網元設備進行管理，如：網絡設備、鏈路狀態監測、安全設備、服務器等，用戶可以通過管理平臺實時查看全網的拓撲圖（包括所有網元設備）及鏈路狀態，便于對全網進行有效的管理。對于基礎網元平臺的管理建議采用統一管理平臺來實現對基礎網元的管理，避免配備多套管理平臺帶來的不便性。

2) 基礎業務管理平臺

除了基礎的網元管理，在電子政務外網的建設中基礎業務管理平臺尤其重要，基礎業務管理包括全網的ACL策略管理與維護、全網的設備軟件版本管理與維護、QOS的管理與維護、MPLS VPN管理等，基礎業務主要是將原來的多個網元自行維護的業務進行統一管理，如：ACL的管理，如果缺乏統一的業務管理平臺所有的ACL都是由單臺設備管理的，一旦出現策略變更，維護人員面對的將是成百上千條策略的變更，帶來極大的管理維護工作量，所以具有統一的基礎業務管理平臺對電子政務外網的可運維性十分重要。

3) 運行與維護管理平臺

運行與維護管理平臺主要是對整體IT基礎平臺的業務分析，包括：流量分析、日志管理、配置管理等。以流量分析與管理為例：要實現對全網的流量進行分析以及對VPN內部的流量進行分析與管理，輸出VPN內部的流量情況并輸出報表。如：某縱向VPNa內部一周內OA數據量多少？占有多大帶寬？突發流量的IP地址是哪些等。報表呈現在運行與維護管理平臺中起著重要的作用。

4) 統一應用業務運行管理

統一應用業務運行管理平臺主要是IT與業務流程的融合，這一部分將會涉及接口開放與定制開發，它將是電子政務外網下一步建設重點。

三、 結束語

2010年隨著電子政務外網的進一步延伸與擴展，電子政務外網將進入到以業務建設為中心的后電子政務時代，其建設也將從以網絡互通為中心轉向以電子政務外部平臺建設為中心，數據中心、統一安全、統一運行與管理等面向業務的IT建設將逐步成為電子政務的IT建設的重點，為電子政務外部業務的開展提供高效、可靠的IT基礎平臺。2010年勢必成為電子政務外網建設的分水嶺。