行业背景 

       电子政务是信息社会政府管理发展的一种新趋势,已成为世界各国政府关注的焦点。

       国家电子政务外网作为我国电子政务网络的重要基础设施,是提高机关工作效率和公共服务水平、推进行政管理体制改革的重要保障。加快建设政务外网,对于贯彻落实科学发展观,构建社会主义和谐社会,增强各级政务部门的执政能力,提高执政水平、构建服务型政府都具有十分重要的意义。
       目前电子政务外网的建设主要围绕以下职能:
       为各级政务部门提供面向社会服务的应用和不需要在内网上运行的业务提供网络承载服务。
       支持各业务之间的互联互通,支持跨地区,跨部门的业务应用,信息共享和业务协同,满足各级政务部门社会管理、公共服务等方面的需求。
       确定政务外网统一安全策略,建设信息安全基础设施,构建统一的网络防护体系和统一的信任体系,保障政务外网安全可靠地运行。


       方案实施 

       赛格公司作为国内著名的网络设备及解决方案供应商,秉承“敏锐把握应用趋势,快捷满足客户需求”的核心经营理念,依靠对政务工作与政府安全保护的全面了解,提供先进的网络承载与安全解决方案构建国家电子政务外网。
       国家电子政务外网整体分为四层三级,建成从国家到各省、地市、区县的纵向网络,在纵向网的基础上建立各级城域网。使得各部门横向之间和各部门纵向业务互联互通,资源共享,节约投资和资源。省级电子政务外网与互联网逻辑隔离。省级电子政务外网包括广域主干网区、城域网区、厅局接入区、互联网接入区、数据与网管应用数据中心区。
  




       1、高性能交换核心构建城域网平台 

       城域网使用高性能,大容量的核心交换机,构建城域网核心。根据对城域网线路以及业务流量的分析,建议使用具有更高转发性能的高端交换机,构建一个高可靠性的核心环网,应用RERP技术(快速以太网环保护协议),保障万兆线速业务情况下小于50ms的故障切换时间,保证语音、视频等实时业务不受网络收敛影响。

       2、应用安全域解决方案保障整网安全体系 

       网络的安全是一个整体的概念,包括应用系统层,网络设备层,主机安全等各个环节。应用安全域解决方案根据对等级保护的深刻理解,结合丰富的组网建网经验,形成了高可靠、高安全的电子政务外网应用安全域解决方案。

       1)在省电子政务外网采用MPLS/VPN技术,针对不同业务的资源服务器及相关部门的终端机进行不同MPLS/VPN的划分,将相关资源服务器及相关主机与非相关业务及主机进行逻辑隔离,以克服终端接入区数据交叉带来的安全隐患问题。

       (2)在网络设备层,赛格网络通过在厅局接入区部署带有SDG功能的路由器设备,保证主机在同一时间段只能访问某一个区域,如访问互联网区域,则不能访问其他的安全域中的服务器,若访问安全域中的服务器,则不能访问互联网,保证了即使被植入木马的主机,在访问服务器资源时也不会被外界控制,从而降低网络中的信息泄漏的概率。

       (3)在主机安全层,针对传统安全域解决方案中对于用户身份及授权存在的漏洞,赛格网络建议在数据链路层进行认证,通过认证的账户在入网时就确定了身份,即使在同一个MPLS/VPN中,也严格区分了针对不同等级安全域的访问权限。真正做到了依照身份管理,依照应用授权。

       (4)在应用系统层,对于存在安全隐患的电脑,将其隔离到安全修复平台,并进行修复,只有安全隐患消除后,方可使用网络。最新Windows补丁,杀毒软件病毒库自动下发到所有主机,保证主机的安全性。GSN还提供对USB口、光驱、打印口等端口进行控制,杜绝信息泄露和病毒传播。

        3、电子政务外网主干网

       根据电子政务外网规划,各省建设纵向上联国家电子政务外网,下伸到全省所有地市、区县,横向连接省各厅局的电子政务外网。使用两台核心路由器通过不同的运营商线路双下联至地市核心路由器,地市到区县采用双链路或者单链路的方式连接。 主干网2台电信级路由器通过两条千兆链路捆绑互联,实现核心层全冗余连接,确保稳定可靠地运行。主干网路由设备运行MPLS VPN协议进行各部门业务的隔离和数据的快速转发。

         4、关键业务系统管理平台

       电子政务外网需要承载多部门多业务,由于面向用户众多,因此对网络管理提出新的挑战。根据电子政务外网当前的网络、系统和应用建设情况,以及其基于IT设施的核心业务的运行维护要求,我们提出了以下的建设思路:

       (1)以组织当前所关注的关键业务运行为核心来搭建管理体系

       (2)以兼容性好,技术先进的开放综合平台为方案建设的基础

       (3)采用最新的前端技术,来确保系统拥有最佳的交互性和图形化呈现效果

       (4)能够建立一个围绕核心业务的量化评价体系,并提供自动化的评估

       (5)整个系统要具有良好的可扩展性

       赛格网络基于RIIL平台的“关键业务系统运行监控中心”实施对网络和业务应用系统的集中智能管理,可以让有限的IT运维人员精力和IT预算投入到最关键的资源的维护和保障中,降低复杂IT环境的管理难度,更轻松地把握支撑关键业务的网络和系统的运行状态,并不断提升关键业务系统的运行服务质量水平,提升用户满意度。

       基于实时智能基础设施库的“关键业务系统运行监控中心(RIIL-BMC)”的建设思路。利用基于统一信息模型的融合抽象建模技术和自动发现技术,实现对全IP网络中各种基于IP技术的基础设施的自动发现和资源化,基于统一信息模型,生成一个可管理,可重用的实时对象库,并通过实时事件和同步技术,保持与实际管理对象的一致性。由于可以在统一的信息模型定义下,针对多厂商,多技术的基础设施进行抽象,从而为解决异构基础设施的融合难题奠定了关键的基础,解决了对IP基础环境的总体把握和全局理解的问题。


       项目背景
       传统安全域部署采用了为每个区域构建一个相对独立的物理环境,所属重要区域的设备与外界联系时都要通过该区域的出口防火墙,在一定程度上保护了关键系统的安全,但随着网络技术的不断发展,传统安全域的部署模式逐渐显现出力不从心的态势。
       1、传统的安全域解决方案针对各部门的应用系统进行了区分,并通过硬件设备加以保护,但调用不同部门资源的终端用户还集中在一个大的终端接入域中,在这个终端接入域中,各个不同部门的用户能够互相访问,各部门信息则有可能在该区域出现泄漏。
       影响:业务部门间数据交叉可达,安全性下降。
       2、传统安全域解决方案对于用户访问不同部门服务器时,采用应用层授权的方式,即通过用户的账号及密码来决定是否可以获取相关的资源,没有相关权限的用户则无法获取权限以外的资源,但在应用层面解决授权问题忽略了非授权用户也可以在网络层面访问服务器,这样存在对服务器造成网络攻击的可能性。
       影响:不同权限业务靠应用层区分,安全性下降。 
       3、传统安全域解决方案中,用户终端可以访问自己所属部门的资源服务器,同时也可以通过Internet出口访问,这样存在非常严重的安全隐患,一旦终端用户被互联网黑客植入木马,则黑客可通过“肉鸡”主机窃取高等级安全域中的信息数据。 
       影响:终端成为不同区域的“中间人”,安全性下降。
       4、传统安全域解决方案中为每个安全域出口均配置一台防火墙,安全域划分的数量越多,则需要配置的防火墙越多,这样防火墙构成了整个网络的数据交换的核心,这样不但增大了设备的维护数量,也直接影响了数据交换的速度。
       影响:安全设备成为网络核心,稳定性下降。 
       5、传统的安全域解决方案,对资源服务器进行了较为细致的防护,但对于访问服务器的终端设备缺少关注,而网络中最容易产生安全问题的恰恰是用户终端主机,不同的终端可能存在类似于系统漏洞、无杀毒软件、随意接入网络、无法及时升级等等安全隐患,给网络安全带来极大的潜在危害。
       影响:主机安全性难以保障,网络安全性下降。


       方案实施 
       赛格网络多年来致力于政府信息化的研究及参与建设工作,通过对等级保护的理解,结合丰富的组网建网经验,在传承了传统的应用安全域解决方案优点的前提下,针对传统方案存在的缺憾进行了改进,形成了高可靠、高安全地新一代应用安全域解决方案。除了解决上一章中切实存在的五个问题,还针对业务管理提出了新的措施。
       1、园区网业务逻辑隔离
       2、身份管理及网络授权
       3、跨等级安全防护
       4、安全域边界集中
        5、强制主机安全
        6、基于业务的可视化管理

       除了解决传统安全域网络中存在的问题,赛格网络针对电子政务应用系统繁多复杂的客人情况,开发了基于业务可视化管理的网络管理软件,该网络软件可做到实时了解应用系统健康程度、组织结构与应用系统联动,明确性能和故障影响范围、应用系统对基础架构的依赖关系清晰,保障目标明确、重点业务及资源的优化、视图主次分明,权重各异。


       方案价值 

       赛格网络应用安全域方案是我国第一个全面针对信息系统等级保护要求开发的,切实满足信息系统等级保护需要的,从数据链路层至应用层全面贯穿防护的解决方案。
       赛格网络应用安全域解决方案剖析了传统安全域方案中存在的问题,并对这些问题进行了解决或改进,使得信息系统更安全更稳固的工作,同时也为信息系统等级保护制度如何具体的实施,提出了踏实、可靠、符合标准的建议。