1 引言
我國電子政務的建設從20世紀80年代起步,當時主要以辦公自動化(OA)工程為建設重點,通過部署桌面終端和各類服務器系統以及搭建的各類基礎網絡,使得辦公過程電子化。從2002年中辦17號文件(國家信息化領導小組關于我國電子政務建設的指導意見)下發以來,電子政務的建設開始進入高速發展期。經過幾年的持續投入,電子政務的建設取得了一定的成績,集中表現在:
(1)建設政務服務中心進行政務集中電子化處理。
(2)辦公網絡信息化程度增強。
(3)建設電子政務門戶網站,在網上開通眾多的政務服務項目等。
在看到成績的同時也不能忽視電子政務建設中依然存在的一些問題:
●如何充分挖掘現有網絡硬件平臺的潛力,使其更好地支撐上層業務系統的高效運行。
●如何提供整體網絡的安全保障。
●基于網絡承載的多種業務,如何提供差異化服務。
在中國商務部二期辦公網絡建設中,華為公司攜手原中國網通,打造新時期安全、高效的電子政務辦公網。
2 建設背景
中國商務部大樓2005年已經完成一期辦公網絡建設,網絡設計分為內網(涉密網絡)和外網(非涉密網絡),兩種網絡結構相同,并采用嚴格的物理隔離,網絡總體架構主要由樓層的接入交換機和中心機房的兩臺核心交換機組成。
一期網絡建設存在很多隱患,主要體現在以下幾點:
(1)網絡采用單鏈路結構,可靠性不高。
(2)網絡未部署安全設備,僅靠功能簡單的ACL來控制用戶訪問,很難抵御日益豐富的攻擊手段,安全隱患嚴重。
(3)隨著承載業務的增多,網絡不能提供不同業務的差異性服務質量,需要嚴格給與優先保證的重要業務,如視頻、語音等無法給與保證。
為提高中國商務部辦公網絡的質量,針對以上幾大網絡隱患,2007年初中國商務部啟動了第二期網絡建設工程,旨在通過本期工程,建立一個高帶寬、高可靠性、高安全、可擴展、有QoS保障的數據網絡,為商務部的內部業務及外部業務提供強有力的保證。
3 建設方案
依據以上網絡問題及建設目標,基于從網絡運營和維護的專業性角度考慮,中國商務部向原中國網通集團集成公司提出了二期辦公網絡建設需求。網通集團集成公司對本次項目非常重視,為給中國商務部提供高效、可靠、安全、穩定的網絡設備和整網解決方案,本著滿足業務優先、先進實用、平滑演進等原則,網通集團集成公司最終選擇了采用華為公司數據通信和安全網絡設備來承建該網絡工程。
經過多次的交流和網絡考察,華為公司提出了完善的解決方案。中國商務部辦公網絡是一張安全級別要求很高的電子政務網。延續一期的建設思想,將此辦公網絡分為完全獨立的內網和外網兩個部分,內網是機密性十分高的涉密網,外網有互聯網出口,相對比較開放,內、外網間的數據交互通過網閘來實現。
(1)內網方案
由于商務部內網屬于嚴格的涉密網,因此內網的可靠性和安全性要求十分嚴格。為了提高內網核心的可靠性,考慮拓樸冗余(雙交換機,雙星型結構)、設備冗余(電源、超級引擎采用雙配置),在一期基礎上對匯聚層交換機進行冗余,增設兩臺匯聚層交換機。為了提高內網的安全性,采取了以下措施:
●在核心交換機上連接入侵檢測設備,并對終端設備進行嚴格的終端安全管理。
●在服務器區部署雙備份防火墻,保證服務器計算域的安全性。
●按照國家涉密網的統一建設要求,在商務部內、外網間用網閘嚴格與互聯網隔離,并采用屏蔽機房(柜),屏蔽布線,超出大樓范圍外的通訊采用加密傳輸,多重防護嚴格保證商務部內網的安全。
(2)外網方案
相比商務部內網來說,外網將提高一些靈活性,允許與互聯網連通,但同樣要保證網絡的可靠與安全。在網絡建設方面,一期工程中已經配置了兩臺核心交換設備,二期工程中,由于終端用戶的大量增長,將增加兩臺匯聚交換機互做冗余備份,在接入層也嚴格保證接入層設備上行的鏈路冗余與備份。在網絡安全方面,部署重重防護策略提高網絡的抗攻擊性,具體如下:
●在互聯網出口處部署雙備份防火墻,進行病毒檢測和過濾。
●在外網的兩臺核心交換機上掛接入侵檢測設備進行進一步的報文檢測。
●在外網服務器計算域中部署雙防火墻,并按照國家涉密網的統一建設要求,采用屏蔽機房(柜),屏蔽布線,超出大樓范圍外的通訊采用加密傳輸。
4 攜手共進,創造網絡輝煌
根據商務部辦公網絡建設的總指導思想,原中國網通集成公司和華為公司數通產品部一起嚴格分析了商務部辦公網絡建設的技術規范和建設要求,提出了全面完善的解決方案,網絡將采用Secospace終端安全管理系統,NIP入侵檢測系統,交換機S8512 4臺和S3928 79臺,防火墻Eudemon1000 4臺和Eudemon500 4臺等數據設備,為商務部建設一張高安全、高性能的政務網絡,為商務部內部及外部業務系統提供強有力的保證。本次工程將基于以下建網目標進行:
(1)綜合性
將網絡建設成為不僅支撐現有商務部數據業務,而且支撐未來實時業務的綜合業務傳送平臺。
(2)支持QoS
能根據業務的要求提供不同等級的服務并保證服務質量,提供資源預留、擁塞控制、報文分類、流量整形等強大的IP QoS功能。
(3)高可靠性
具有很高的容錯能力,具有抵御外界環境和人為操作失誤的能力,保證任何單點故障都不影響整個網絡的正常運作。
(4)高性能
在高負荷情況下仍然具有較高的吞吐能力和效率,延遲低。
(5)安全性
具有保證系統安全,防止系統被人為破壞的能力。
(6)擴展性
易于增加新設備、新用戶,易于和各種公用網絡連接,隨系統應用的逐步成熟不斷延伸和擴充,充分保護現有投資利益。
(7)開放性
符合開放性規范,方便接入不同廠商的設備和網絡產品。
(8)標準化
通訊協議和接口符合國際標準。
(9)實用性
具有良好的性能價格比,經濟實用,拓撲結構和技術符合骨干網信息量大、信息流集中的特點。
5 結束語
向ICT轉型是全球各運營商的戰略任務,國內運營商這幾年的努力已初見成效。運營商在向ICT轉型過程中對網絡安全和IT設備提出了新的要求。與運營商共生共長、共謀發展的華為公司致力于成為ICT綜合解決方案提供商,助力運營商暢游藍海,攜手共進,共創網絡轉型輝煌。
