【51CTO.com 綜合報道】浙江省電子政務外網的建設起步較早，從2004年開始，經歷了網絡規范、安全管理、業務開展等階段，積累了大量的電子政務外網的建設經驗，其中建設中的規范制定與落實、業務問題的處理與實現等經驗值得大家參考。

應用背景

浙江省電子政務外網的建設自2004年開始經歷了三個階段：

2004—2006年，省級電子政務骨干網建設，完成省至11個地市的省級骨干網建設。

2006—2008年，電子政務外網二期，完成11個地市、90個縣（市、區）的電子政務外網的建設。部分發達縣市（如蕭山等）已經延伸至鄉鎮，部分廳局委辦的橫向接入，在二期建設中依托于電子政務外網開展了部分電子政務外網的業務，包括：政府部門專網、財政國庫集中支付、電子監察、數字城管等。

2008年至今，對部分區縣進行了電子政務外網鄉鎮延伸，并下發指導文件進一步規范了整體安全。三期中加強了電子政務外網新業務—政府共享災備的建設，實現各廳局委辦的關鍵業務數據的集中災備，其中災備的管理數據通過電子政務外網平臺實現承載。

客戶需求

浙江省電子政務外網建設除基礎骨干、路由規劃、設備選型之外，其重點與業務相關的焦點需求有以下三點：

1. 省級電子政務外網建設的規范與統一。浙江省下屬11個地市，每個地市的投資不同、技術實力不同、建設時間可能存在差異，如何統一、規范地對浙江省電子政務外網進行建設及接入，讓各地市、區縣的技術人員對電子政務外網理解一致顯得尤為重要。

2. 實現三類業務的劃分與互訪。浙江省電子政務外網把業務劃分為三類：公眾服務區（政府門戶網站）、資源共享區（政府部門間業務互訪及Internet訪問）、專用網絡區（政府部門縱向業務），均承載于MPLS VPN中。

3. 實現不同終端對各個VPN的多樣化訪問需求。部分終端需要通過外網訪問多個縱向VPN資源，以及不同終端通過外網訪問各自VPN資源。如杭州數字城管，需要錄入居民的各種信息，包括：婚姻、生育信息、低保信息等，而電子政務外網劃分為MPLS VPN之后各個業務的信息相互隔離，如何能夠實現一臺終端對多個業務系統的訪問？并且支持用戶分組機制，針對不同的用戶組實現不同的控制策略？

1.焦點需求解決方案

1. 省級電子政務外網建設的規范與統一。2003年浙江省建設了省至地市級的省級電子政務外網的骨干網，并下發《浙江省人民政府辦公廳關于建設省電子政務網絡平臺的通知》（浙政辦函〔2003〕88號）對各省的電子政務建設進行了要求。2004年，浙江省政府信息中心開始著手對全省的電子政務外網進行需求調研與規范制定，其整體分為四個步驟：

1) 成立電子政務外網工作小組： 2004年底，浙江省政府牽頭召集了包括H3C在內的相關技術專家，開始著手對全省電子政務外網建設進行調研與統一的規范制定，包括：線路情況、設備特性支持情況、現網運行情況等。

2)  下發電子政務外網建設規范：經過半年多的調研、測試，2005年9月，浙江省下發了技術規范《浙江省人民政府辦公廳關于印發浙江省電子政務網絡技術規范的通知》，該技術規范從網絡總體架構、網絡接入及組建規范、IP地址規范、域名規范、路由策略與路由協議設計、組播設計、IPsec VPN設計、MPLS VPN規范、網絡安全規范等幾個方面對電子政務外網建設給出了明確的規范與要求。

3) 集中技術培訓：2005年10月開始，全省各地市、區縣信息中心的技術人員分四批進行集中培訓，重點培訓技術規范的內容，包括MPLS VPN技術知識、路由協議設計、與省對接的路由設計等多方面。參加培訓的學員可以針對各自地市的電子政務情況提出問題，由電子政務外網小組成員給予解答。通過培訓實現各地市、區縣的信息中心人員對電子政務外網規范的了解統一、一致。

4) 電子政務外網方案審核與研討會：各地市上報各自的電子政務外網建設方案，由省中心對方案可行性進行審核，對不滿足規范或與規范不一致的部分提出修改意見。

浙江省電子政務外網的第二階段建設歷時兩年多，實現了省、地市、區縣電子政務外網的全省貫穿，建成后的電子政務外網與規范要求基本一致，電子政務外網的業務都能夠順利開展。

2. 實現三類業務的劃分與互訪

1) 業務定義：浙江省電子政務建設初期對電子政務外網提出了三類業務的劃分，包括：公眾服務區（政府門戶網站）、資源共享區（政府部門間業務互訪及Internet訪問）、專用業務區（政府部門縱向業務）三類。

2) 業務間互訪關系定義：對浙江省電子政務外網的三類業務間的互訪關系進行了如下規定： 

◆專用業務區與資源共享區通過網閘進行隔離； 

◆資源共享區可以訪問公眾服務區，但公眾服務區不允許訪問資源共享區，兩者存在單向互訪需求； 

◆互聯網用戶可以訪問公眾服務區（政府門戶網站），但公眾服務區只能受限訪問互聯網區域（僅用于服務器的補丁升級）； 

◆資源共享區可以訪問互聯網，即政府部門內部訪問互聯網的業務是承載于電子政務外網的資源共享區域，考慮到安全問題，互聯網不能直接訪問資源共享區； 

◆專用業務區不能訪問互聯網，在外出差等移動辦公用戶只能利用VPE技術通過互聯網受限訪問部門業務專網區域。

浙江省電子政務外網通過對三類業務互訪關系的定義，進一步加強了電子政務外網各業務之間的安全性，提高了部門業務專網的安全性。

3) 技術實現:  

圖1 三類業務的部署 

◆專用業務區與資源共享區之間的訪問。采用網閘進行隔離，如果要向資源共享區域更新數據可以通過網閘進行，如果要進一步提高專用業務區的安全性，可以在資源共享區的服務器上設置雙網卡，并在資源共享服務器的匯聚交換機上設定ACL策略，定義可訪問資源共享區域的專用業務終端。

◆資源共享區域對公眾服務區的訪問。資源共享區域與公眾服務區之間采用防火墻進行安全隔離，并在防火墻上設置單向的ACL策略實現資源共享與公眾服務區之間的單向互訪。 

◆資源共享區域與互聯網之間的訪問。政府內部人員可以訪問互聯網業務，在互聯網出口設置防火墻，并通過單向ACL的設定實現內部人員可以訪問互聯網，但互聯網無法訪問資源共享區域。 

◆公眾服務區與互聯網區域的訪問。通過在互聯網出口設置防火墻，在防火墻上設置安全策略，實現公眾服務區可以訪問政府門戶網站，但網站服務器只能從互聯網訪問相關的補丁下載業務。

通過單向訪問控制、網閘、防火墻等技術實現三類業務之間的互訪關系，加強了三類業務間互訪的安全性。（要了解更多的技術實現細節可參考本刊中《電子政務外網三種業務互訪關系及實現方法》。）

3. 實現不同終端對各個VPN的多樣化訪問需求

1) 需求分析：單個終端訪問多個業務區的需求在電子政務外網的設計階段就已經發現，如數字城管社區服務。不同終端通過外網訪問各自VPN資源的需求，如出差人員通過外網接入內部辦公系統，審計人員要經常性地從外網接入到內部辦公系統。骨干網絡劃分了MPLS VPN，這樣就需要VPN接入網關不但支持隧道功能，還要同時具備基于不同的用戶映射至不同VPN的功能。

2) 實現方法：采用VPE網關實現接入  

圖2 VPE網關實現部分終端通過外網訪問多個縱向VPN資源，以及不同終端通過外網訪問各自VPN資源

如上圖所示：在電子政務外網與互聯網之間增加VPE設備來實現對出差人員或街道社區服務站對電子政務內部業務的訪問。街道社區服務站用戶在一臺PC上設置多個VPN連接客戶端，通過輸入不同的用戶名/密碼來實現接入到不同的縱向網絡，如：A社區要分別接入到計生委、社保、財政等部門，只需要終端的PC機通過不同的用戶名（A@jishengwei、A@shebao、A@caizheng）和密碼就可以接入不同的縱向VPN系統內。對于出差人員來說同樣適用，如審計部門人員B經由外網接入到內部，只需要在便攜機的VPN客戶端輸入用戶名B@shenji、密碼***，接入VPE網關，VPE設備會根據用戶的域名進行MPLS VPN的映射，即：@shenji的用戶映射至審計的縱向VPN，從而實現對不同部門用戶的區分和VPN內的資源訪問。

由于政府目前絕大部分用戶在認證時都需要使用CA證書，VPE認證時除了對用戶名/密碼進行驗證外，還要能夠支持對CA證書的攜帶與驗證，所以往往需要對客戶端做定制化的設置。（更多技術實現可以參考本刊中《VPE技術在電子政務外網的應用》。）

總結

浙江省電子政務外網的建設是以業務需求為導向的建設，其在規范制定與下發、關鍵業務需求分析與技術論證等多方面都是按計劃、有步驟的進行，這使得其實施結果與建設目標相匹配，其中很多思路值得大家參考。