福建省電子政務外網建設項目可行性研究報告

第1頁共3頁目錄TOC\o"1-3"第一章電子政務外網建設背景和必要性 1第二章項目概述 62.1項目名稱與定義 62.2項目建設思路 62.2.1標準規(guī)范建設思路 72.2.2設備與軟件配置的原則 7第三章我省電子政務網絡建設現(xiàn)狀 83.1福建省電子政務網建設現(xiàn)狀 83.1.1福建省政務信息網 83.1.2福建省級政府公眾信息服務平臺 93.1.3國家電子政務外網福建節(jié)點建設現(xiàn)狀 93.2國家電子政務外網福建節(jié)點建設存在的問題 10第四章需求分析 114.1網絡建設需求分析 114.2業(yè)務需求分析 114.3功能需求分析 124.3.1公眾服務功能 124.3.2網絡互聯(lián)互通功能 124.3.3信息共享功能 134.3.4信息資源交換功能 134.3.5安全防護功能 134.3.6網絡管理功能 144.4帶寬需求分析 14第五章項目建設目標與原則 165.1總體目標及分期目標 165.1.1總體目標 165.1.2分期目標 165.2建設原則與工作模式 175.2.1建設原則 175.2.2工作模式 20第六章福建省電子政務外網網絡設計 226.1福建省電子政務外網設計概述 226.1.1第一階段前期設備利舊考慮 236.2鏈路選擇設計 246.3福建電子政務外網的業(yè)務互訪方案設計 256.3.1與國家電子政務外網平臺的連接 266.3.2電子政務外網省內縱向連接 276.3.3政府信息資源的橫向共享及訪問 296.3.4政府部門訪問Internet及公眾服務 316.3.5Internet訪問公眾服務區(qū) 336.3.6移動用戶接入方案 346.4統(tǒng)一Internet出口相關設計 356.4.1Internet訪問網絡結構設計 356.4.2防火墻的選用及布署 356.4.3主動防御系統(tǒng)的選用布署 366.5數據中心相關設計 376.5.1建設以“數據服務”為核心的數據中心架構 376.5.2以“數據服務”為核心數據中心規(guī)劃 406.6網絡管理相關設計 426.7網絡可靠性設計 436.7.1網絡結構可靠性設計 446.7.2組網設備可靠性設計建議 446.7.3設備和模塊的備份 466.8政務外網網絡安全保障體系設計 476.8.1遠程接入安全 486.8.2邊界網絡安全 486.8.3數據中心安全 496.8.4全網安全管理 506.9項目經費概算 52第75頁電子政務外網建設背景和必要性一、建設統(tǒng)一外網的背景1993年，以三金工程的啟動為標志，我國政府信息化建設進入了一個嶄新的歷史時期，政府各部門信息化建設全面啟動。經過十幾年的發(fā)展，我國政府信息化建設取得了長足進步，各部門以需求為導向，建設了一批管理信息系統(tǒng)，構建了不同規(guī)模的網絡體系。目前，中央部委已建專網超過20個，總投資數十億人民幣，各地方政府也在上個世紀末到本世紀初的幾年時間里在政府網絡建設上投入了大量人力、物力和財力。但是由于各部門各自建設自己的專網，形成了“上面千根針，下面萬條線”的局面，在網絡建設上盲目投資和重復投資多有發(fā)生，存在網絡利用水平低、安全隱患大、互聯(lián)互通少等問題。在這樣的背景下，2001年2月1日，時任國務院副總理的李嵐清同志向镕基總理請示：“在建立政府信息網絡方面，還需解決兩大問題：一是中央政府要盡快建立統(tǒng)一的信息標準和信息網絡平臺，否則各自為政，難以資源共享，再加各有各的標準和加密措施，則將中央政府置于最不安全的地位。二是各政府部門的信息網絡，不應理解為物理網絡，而應利用中央政府統(tǒng)一信息平臺，建立各自完整的網絡信息汽車的‘行車路線’，以免造成極大的浪費”。镕基總理批示“請培炎同志研報國務院”。2月6日，國家計委請示國務院關于政府信息化建設的有關問題，建議組織實施“中國電子政務工程”，力爭在2003年以前初步建立起一個包括內部網和外部網的中國電子政務系統(tǒng)框架。此后，國家計委就我國政府網絡建設問題征求了各有關部門的意見，并逐步達成共識。2002年，國務院信息化工作辦公室成立后積極籌劃我國政府網絡體系建設，7月3日，國家信息化領導小組第二次會議提出了《關于我國電子政務建設的指導意見》。意見提出要“建設和整合統(tǒng)一的電子政務網絡”，“電子政務網絡由政務內網和政務外網構成，兩網之間物理隔離，政務外網與互聯(lián)網之間邏輯隔離。政務外網是政府的業(yè)務專網，主要運行政務部門面向社會的專業(yè)性服務業(yè)務和不需在內網上運行的業(yè)務。”8月5日，中共中央辦公廳、國務院辦公廳轉發(fā)了“國家信息化領導小組關于我國電子政務建設指導意見”的通知（中辦發(fā)[2002]17號文）。第一次以中央文件的形式提出了電子政務建設的指導意見，明確提出建設國家電子政務外網。二、國家電子政務外網建設任務和設計思路1．國家電子政務頂層設計的基本內容中辦發(fā)17號文件從戰(zhàn)略全局的高度把握了我國電子政務發(fā)展的方向，進行了頂層設計和規(guī)劃，確定了我國電子政務建設的目標、原則和指導思想，明確了推進我國電子政務建設的重點任務，提出了保障電子政務建設順利推進的政策措施。為使頂層設計更具有可操作性，17號文件重點提出了八項任務，分別是：建設和整合統(tǒng)一的電子政務網絡；建設和完善重點業(yè)務系統(tǒng)；規(guī)劃和開發(fā)重要政務信息資源；積極推進公共服務；基本建成電子政務網絡與信息安全保障體系；完善電子政務標準化體系；加強電子政務員信息化培訓和考核；加快推進電子政務法制建設。這八個方面的任務構成了一個整體，是我國推進電子政務建設頂層設計在工程規(guī)劃上的具體落實。2．國家電子政務外網設計思路首先，國家電子政務頂層設計十分強調和突出全局觀，統(tǒng)一的外網平臺是國家電子政務全局中聯(lián)結各部門業(yè)務系統(tǒng)的橋梁和紐帶，是未來政務工作的“高速公路”。外網提供的是高度集成化、一體化、規(guī)范化的服務，其本質是為各業(yè)務系統(tǒng)的安全、順暢、高效的數據傳輸、信息交換等構造網絡基礎環(huán)境，它是未來實現(xiàn)各業(yè)務系統(tǒng)互聯(lián)、互通、互操作，促進資源共享的基礎性工作。因此，統(tǒng)一的外網平臺是關系我國電子政務建設全局和發(fā)展的重要基礎工程，是頂層設計中的關鍵性核心組成要素。其次，國家電子政務頂層設計是以發(fā)展的觀點看待我國的電子政務建設，因此也必須以發(fā)展的觀點看待統(tǒng)一外網平臺的建設。我國的電子政務建設是一個長期、復雜的歷史發(fā)展過程，不可能通過若干個大型工程畢其功于一役，很多問題需要在實踐中總結經驗。為此，我們提出通過分期、分階段建設，先行搭建統(tǒng)一外網平臺的基本架構，再在此基礎上不斷完善和擴展，通過不斷的探索和學習，逐步實現(xiàn)建設統(tǒng)一外網平臺的任務。所以，盡快構建我國統(tǒng)一外網平臺的基礎架構對于未來我國電子政務的長遠發(fā)展意義重大。最后，國家電子政務頂層設計十分注重統(tǒng)籌協(xié)調電子政務建設中各個方面的關系，外網平臺建設與我國電子政務建設方方面面的工作緊密相關，其建設涉及的部門多、地域廣、業(yè)務領域寬，為此，在外網總體方案設計中先后與商務部、海關總署、國家審計署、勞動和社會保障部、民政部、農業(yè)部、公安部等部門進行了多次反復溝通，了解和掌握了大量情況，通盤考慮了現(xiàn)實和未來各業(yè)務部門應用系統(tǒng)對網絡支撐環(huán)境的具體要求，以保證外網平臺既滿足各應用系統(tǒng)的現(xiàn)實需求，又兼顧網絡的可擴展性，為各業(yè)務部門的潛在需求提供必要的支持。按照這樣的原則，我們把一期工程建設內容歸納為“統(tǒng)一的網絡平臺、統(tǒng)一的系統(tǒng)支撐平臺、統(tǒng)一的安全保障體系和統(tǒng)一的服務體系”。從總體上看，我國統(tǒng)一外網平臺在我國電子政務頂層設計中是全局性、關鍵性工程項目，是統(tǒng)籌協(xié)調各方面關系的重要環(huán)節(jié)。三、加快統(tǒng)一外網建設的必要性和緊迫性1．新建和擴建網絡平臺的需求不斷增加自17號文件發(fā)布以來，中央各部門向國家有關電子政務工程項目審批部門申請的電子政務工程項目近40個，新申請總投資數百億人民幣。很多部門都提出新建或擴建部門專網，申請網絡建設投資總額超過60億元人民幣，如果再加上網絡運行維護費，則未來3年中央政府在各部門網絡建設和維護上的投資至少要達到100億元人民幣。在這樣的背景下，加快統(tǒng)一網絡平臺的建設有利于避免重復投資和盲目投資，能夠為國家節(jié)省大量的網絡建設支出和運行維護費用。2．業(yè)務系統(tǒng)建設對統(tǒng)一外網平臺的潛在需求不斷增加目前，絕大多數中央政府部門都從各自的職能出發(fā)，根據實際工作需要，提出了建設本部門重點業(yè)務系統(tǒng)的需求。隨著各部門業(yè)務應用系統(tǒng)建設的加強，應用系統(tǒng)的跨部門協(xié)作不斷增加，部門間及部門內部橫向和縱向信息交流越來越多，這就對統(tǒng)一外網平臺提出了潛在的需求，要求有一個可以溝通各應用系統(tǒng)的大容量、高可靠、統(tǒng)一的網絡平臺，為未來的數據傳輸和信息交換提供支撐服務。3．一些已建部門專網已經很難滿足發(fā)展的需要目前，中央政府各部門大大小小已建專網20多個，在我國電子政務建設中發(fā)揮了重要作用。但是這些網絡在建設和運行中存在很多問題急需解決：一是部門專網的運維費用很高，規(guī)模不經濟，一些部門受高額運營費拖累維系困難；二是多數部門普遍缺乏專業(yè)化的網絡和信息管理人才；三是各部門整體管理水平跟不上業(yè)務發(fā)展的需要，電子政務運行效率低下；四是多數部門網絡和信息安全意識不強，安全建設形式主義嚴重。從總體上看，當前部門專網建設和運行中存在的諸多問題對統(tǒng)一外網平臺的建設形成了強烈的需求。4．盡快建設統(tǒng)一外網平臺的共識逐步形成中辦17號文件發(fā)布以來，社會各界對于外網建設的研究和討論緊鑼密鼓。在過去的兩年時間里，在國家信息化主管部門的領導下，圍繞外網建設的邊界、建設和運維模式、資源整合策略等問題的深入研究和不斷探索，使得各方面對外網建設必要性的認識提高了，在很多關鍵問題上各方面逐漸達成一致，取得共識，為下一步推動統(tǒng)一外網平臺的建設創(chuàng)造了良好的外部環(huán)境。PAGE33第29頁共60頁項目概述項目名稱與定義項目名稱：福建省電子政務外網項目定義：福建省電子政務外網是中辦發(fā)[2002]17號文件明確規(guī)定要建設的政務網絡平臺。政務外網與政務內網物理隔離，與互聯(lián)網邏輯隔離，主要用于運行政務部門不需要在內網上運行的業(yè)務和政務部門面向社會的專業(yè)性服務，為政務部門的業(yè)務系統(tǒng)提供網絡、信息、安全等支撐服務，為社會公眾提供政務信息服務。政務外網將建立標準統(tǒng)一的網絡平臺，支持相關政府部門的專網接入，建設政務外網安全保障體系和外網管理中心，形成統(tǒng)一的外網服務體系，建設政務外網數據交換中心和外網網站，促進電子政務業(yè)務應用系統(tǒng)的互聯(lián)互通、資源共享。在項目建設前，我中心已經實現(xiàn)了福建省電子政務外網將兩個部委對應的廳局即監(jiān)察廳和省扶貧辦接入國家政務外網。項目建設思路電子政務外網，作為福建省信息化的重要基礎設施，必須加快建設。通過政務外網，逐步實現(xiàn)與國家37個部委對應的福建省相關廳局和國家政務外網互聯(lián)，并實現(xiàn)我省已建部門縱向網絡的互聯(lián)、對未建縱網的部門直接承載新開發(fā)的業(yè)務系統(tǒng)?？傮w思路如下：建設政務外網，重點建設網絡傳輸平臺和安全保障體系。政務外網的建設，要突出重點，逐步推進，發(fā)揮建設效益。尊重部門差異，推動網絡互聯(lián)互通。充分理解和尊重各部門的個性和意愿，通過政策導向和示范效應，推動“網際互聯(lián)，消滅孤島”。發(fā)揮牽引作用，促進信息資源共享。在通過政策引導和自愿，聚集信息資源，引導資源主動共享、營造外網良好的應用環(huán)境。有利于各部門以應用需求為主導，專注業(yè)務系統(tǒng)建設。按照這種思路，各部門可以充分利用統(tǒng)一外網，把主要精力放在熟悉而且迫切需要解決的業(yè)務問題上，聚焦業(yè)務系統(tǒng)建設，快速推進各部門電子政務系統(tǒng)的建設。標準規(guī)范建設思路標準化建設是福建省電子政務外網實現(xiàn)互聯(lián)互通、業(yè)務協(xié)同、信息共享、安全可靠運行的前提和基礎。我國早期的信息網絡系統(tǒng)建設，普遍存在缺乏標準或標準不統(tǒng)一的現(xiàn)象，最終導致管理混亂、互聯(lián)互通不暢、信息共享程度低、信息資源開發(fā)利用滯后、安全存在隱患等后果，嚴重影響了我國信息化建設的進程。因此，福建省電子政務外網的建設思路將嚴格按照國家政務外網的標準和規(guī)劃進行。設備與軟件配置的原則福建省電子政務外網建設主要是為了實現(xiàn)橫向互聯(lián)，重點建設城域網，建設政務外網管理中心，建設配套的安全基礎設施。在網管中心購置必要的網管系統(tǒng)、域名管理設備、統(tǒng)一的郵件系統(tǒng)、外網（內部）網站系統(tǒng)等；為構建數據交換中心和備份中心，增添必要的設備以及必要的安全設備配套等。福建省電子政務外網建設主要是為了實現(xiàn)37個部委對應的廳局接入國家政務外網。建設內容包括2個部分：1）福建省電子政務外網的省級城域網；2）?。厥校h縱向廣域網，覆蓋9個設區(qū)市和84個縣（市、區(qū)）。因此，對這些設備與軟件的配置要求將本著實事求是的精神，按照既要滿足需求又要具有一定擴展能力的原則，進行配置。我省電子政務網絡建設現(xiàn)狀福建省電子政務網建設現(xiàn)狀福建省經濟信息中心目前運行一個網絡及福建省政務信息網和一個應用系統(tǒng)福建省級政府公眾信息服務平臺。福建省政務信息網福建省政務信息網從2001年1月建成投入使用，是福建省內各級機關、事業(yè)單位、政府直屬企業(yè)、金融單位、駐閩部隊和武警部隊為實現(xiàn)信息交換與共享而建立的、與國際互聯(lián)網物理隔離的電子政務專網，主要有省－市－縣（市、區(qū)）縱向網、省直機關橫向接入網、設區(qū)市橫向接入網和縣（市、區(qū)）橫向接入網構成。到目前為止，已實現(xiàn)了208個省直單位以及9個設區(qū)市和84個縣（市、區(qū)）4200多個單位的政務計算機信息網絡的互聯(lián)。業(yè)務應用主要有信息共享、信息應用、web虛擬站點、省政府辦公廳公文傳輸、省市縣三級視頻會議系統(tǒng)、全省機要加密文件傳輸系統(tǒng)、全省保密IP電話系統(tǒng)、全省工商行政年檢系統(tǒng)、全省建設用地審批系統(tǒng)、省人大代表綜合信息系統(tǒng)、全省黨政機關電子郵政系統(tǒng)、全省政務信息共享平臺等重要的業(yè)務系統(tǒng)，建成248個web網站，省內部分黨政部門已通過政務網建成了部門業(yè)務專網。福建省政務信息網兩個網管中心分別設在福建省經濟信息中心機房和電信機房，兩個網管中心互為分權。電信機房網管中心由福建電信公司負責投資建設并維護管理，主要負責對省直機關寬帶網（除省經濟信心中心節(jié)點）的網絡管理；福建省經濟信心中心機房由福建省經濟信心中心負責投資建設并維護管理，主要負責對福建省政務信息網縱向網及福建省經濟信心中心的網絡管理。福建省級政府公眾信息服務平臺“福建省級政府公眾信息服務平臺”作為作為“數字福建”2002年“339”建設計劃的第一個基礎工程，是全省黨政機關網絡導航平臺、信息網上整合發(fā)布平臺和面向公眾網上交互辦事提供一站式服務，并實現(xiàn)政務網與公眾平臺的數據安全交換，促進全省政務信息化?！笆〖壵娦畔⒎掌脚_”的中心節(jié)點在省經濟信息中心，需要構建高吞吐、高可靠、無中斷的局域網網絡系統(tǒng)，主要以CiscoCatalyst6509為核心交換機，采用千兆以太網和百兆以太網作為局域網連接鏈路，并充分結合三層交換和二層交換技術。省級政府公眾信息服務平臺”中心節(jié)點Internet出口帶寬為10M。業(yè)務應用已建成信息發(fā)布、公共信息、數據交換、建筑企業(yè)資質審批、網上招標與政府采購、企業(yè)資信查詢、福建企業(yè)產品、網上新聞點播等子系統(tǒng)和“公民”、“企業(yè)”、“投資”、“旅游”四個子網站，為省直部門建立了J2EE或微軟平臺的虛擬主機，開設了“福建省畢業(yè)生就業(yè)公共網”、“福建省三農服務網”、“福建省招標和采購網”、“福建省高新技術網”、“中國福建項目成果交易網”、“中國福建婦女”、“數字福建”等網站。國家電子政務外網福建節(jié)點建設現(xiàn)狀根據國家信息中心要求，我中心從2006年2月底開始國家電子政務外網福建節(jié)點建設，并成立了外網網管中心，完成了聯(lián)通和電信傳輸線路機柜的安裝、光傳輸設備的上架、聯(lián)通155MSDH和備用線路電信2ME1線路的安裝和調試、省節(jié)點網絡機柜的安裝、廣域骨干網省節(jié)點路由器的上架、省節(jié)點路由器的配置，5月底通過網絡聯(lián)通測試，標志國家電子政務外網福建節(jié)點骨干設備安裝結束。6月初，外網工程辦的工程師林遷一行到我中心調研外網建設情況，對節(jié)點建設給予了肯定。目前進入省政務外網接入國家電子政務外網的建設。根據發(fā)改委“閩發(fā)改高技【2004】677號文”的批復，國家電子外網福建省節(jié)點要依托福建省級公眾信息服務平臺建設，在利用公眾信息服務平臺的網絡、安全、存儲等設備資源的基礎上，增加省級節(jié)點接入路由器設備，開發(fā)和實現(xiàn)數據交換，參與國家電子政務外網標準規(guī)范建設，實現(xiàn)與國家電子政務外網的連接。同時明確由我中心承擔國家電子政務外網建設任務。2007年1月15日至2007年2月26日國家電子政務外網福建節(jié)點建設存在的問題1．由于福建省政務信息網是完全與國際互聯(lián)網物理隔離，并有機要網在其上運行，所以根據中辦17號文，福建省政務信息網應該定義為政務內網，不適宜接入國家電子政務外網。2．按發(fā)改委的批復應整合福建省級公眾信息服務平臺資源接入國家電子政務外網，但目前福建省級公眾信息服務平臺的性質更接近與國家電子政務外網的數據中心；而且福建省級公眾信息服務平臺的業(yè)務應用與國家電子政務外網即將開展的業(yè)務應用聯(lián)系不緊密；公眾平臺也沒有組建城域網，即使提供出口，經過多級網絡的中轉，必將影響公眾訪問福建省級公眾信息服務平臺的訪問，不利于我省自身業(yè)務的開展。3．目前，我省已實現(xiàn)與國家電子政務外網的連接，但采用的是網絡過渡方案，隨著國家電子政務建設的發(fā)展，今后會有更多的中央部門接入政務外網并開展相關業(yè)務應用，采用網絡過渡方案將難以滿足今后業(yè)務發(fā)展的需要，最近，國家政務外網工程辦公室下發(fā)了《關于抓緊開展省級政務外網建設的通知》，要求“抓緊啟動省級政務網建設工作，尤其要求按照國家政務外網推進部門的需要，優(yōu)先進行省級城域網的規(guī)劃和建設。需求分析網絡建設需求分析福建省省電子政務外網平臺網絡系統(tǒng)工程建設的總體規(guī)劃將完成主要政府部門的橫向連接，9個設區(qū)市和84個縣（市、區(qū)）的縱向連接；通過國家、省兩級外網平臺，連通國家試點16個部委和對應廳局，最終滿足我省37個部委對應廳局接入國家外網的需求，承載福建省各有關電子政務業(yè)務系統(tǒng)。其中包括網絡中心、省委、省人大、省政協(xié)、各個省直部門等。福建省電子政務外網平臺在縱向上能夠實現(xiàn)與國家電子政務外網平臺的連接，并實現(xiàn)?。校h三級縱向網絡的互通互通；在橫向上能夠方便連接省政府組成部門、直屬機構、辦事機構、事業(yè)單位等省直部門，以及橫向連接省委、省人大、省政協(xié)及中央在閩單位等。同時，網絡必須具備高度的可靠性和穩(wěn)定性，應具備可伸縮、可管理、可擴展的能力，以應對業(yè)務數據的快速增長，滿足網絡平臺平滑升級的要求。業(yè)務需求分析福建電子政務外網應滿足業(yè)務應用系統(tǒng)需求，如網絡視頻會議系統(tǒng)、IP語音電話系統(tǒng)、應急聯(lián)動系統(tǒng)、網上聯(lián)合審批系統(tǒng)、辦公業(yè)務系統(tǒng)、政務公開系統(tǒng)、電子郵件系統(tǒng)、信息采集和發(fā)布系統(tǒng)、黨政機關門戶網站、建議提案系統(tǒng)、公眾選舉系統(tǒng)、政策法規(guī)查詢系統(tǒng)以及各個部門的應用系統(tǒng)等。隨著網絡建設和應用的開展，省黨政機關還會有新的業(yè)務系統(tǒng)融入到電子政務外網中。功能需求分析福建省電子政務外網應提供如下的功能：公眾服務功能福建省電子政務外網建設的根本目的是為了提高行政效率，降低行政成本，改進政府管理，更好的為人民群眾服務。福建省電子政務外網將黨政機關各部門緊密聯(lián)系在一起，實現(xiàn)網上聯(lián)合辦公，為實現(xiàn)高效、自動的政府辦公環(huán)境、建設電子政務大廳系統(tǒng)提供了強有力的保障。福建省電子政務外網是黨政機關提供對社會公共服務的窗口，是社會各級企事業(yè)單位、與政府溝通的橋梁，它將政府和人民群眾緊密結合在一起。應當采取多種接入方式方便社會公眾服務，為公眾提供更廣泛便捷的信息服務。網絡互聯(lián)互通功能福建省電子政務外網的應用分布在各級黨政機關，其分布性已經成為福建省電子政務外網運行環(huán)境的顯著特征。同時，全省各級黨政機關局域網和業(yè)務專網的建設是在一個較長時期內按照各自的規(guī)劃、建設目標、功能需求、投資強度和技術現(xiàn)狀等因素分階段逐步實現(xiàn)的。這樣就造成了條塊分割，網絡不能互聯(lián)互通，資源不能共享等問題。此次福建省電子政務外網的建設應以實現(xiàn)電子政務外網作為一個整體來提供服務，在保障接入國家電子政務外網的基礎上，實現(xiàn)省內各級黨政機關政務外網橫向和縱向的互聯(lián)互通；同時在全省電子政務外網建設中，也需要網絡系統(tǒng)、數據庫系統(tǒng)和應用系統(tǒng)的互聯(lián)互通。信息共享功能在我省各級黨政機關的業(yè)務應用系統(tǒng)建設中，由于缺乏統(tǒng)一規(guī)劃，所建縱向網絡和應用系統(tǒng)大都是以行政系統(tǒng)為背景和依托的，各部門按照各自的規(guī)范、標準、需求構建不同的業(yè)務應用系統(tǒng)。各應用系統(tǒng)中信息的種類和數據存儲格式差異很大，內部之間和各應用系統(tǒng)之間信息共享程度低。福建省電子政務外網為各級黨政機關的業(yè)務應用系統(tǒng)提供了一個統(tǒng)一的平臺，同時將新建的例如政務公開系統(tǒng)、網上聯(lián)合辦公系統(tǒng)等新業(yè)務系統(tǒng)加入到此平臺中，更好的為社會公眾服務。因此，在全省電子政務外網應用系統(tǒng)建設中，應提供標準的、統(tǒng)一的信息表示和傳輸方式，提供一個基礎信息交換平臺，使信息在系統(tǒng)內有序流動，實現(xiàn)電子政務外網各級信息系統(tǒng)之間、電子政務外網與社會公眾之間的互聯(lián)互通和信息資源共享。信息資源交換功能電子政務外網和電子政務內網是全省電子政務的基礎性平臺，為保證政府對全社會的服務和管理，以及為各級黨政機關提供宏觀決策數據。電子政務外網負責基礎性數據的采集，當數據達到一定規(guī)模時，通過物理手段將數據轉移到電子政務內網，為各級領導提供決策支持；電子政務內網又將政府的通知和決定及時在電子政務外網上發(fā)布。安全防護功能福建省電子政務外網建設過程中，既要滿足社會公眾訪問的方便、靈活，具備可擴展性，又要保證公共業(yè)務系統(tǒng)、部門業(yè)務系統(tǒng)安全可靠的運行。當前，在黨政機關的網絡建設中，安全措施滯后，保障水平參差不齊。在利用現(xiàn)有網絡資源整合和構建全省電子政務外網時，在物理層、網絡層、應用層、網絡管理層都會存在安全風險。因此，在全省電子政務外網建設中，應采取切實可行的安全保障措施，構建合理、完善的安全保障體系，在網絡安全、網絡性能、信息安全等多方面進行考慮，確保全省電子政務外網安全可靠的運行。同時為了提高福建省電子政務外網的安全性，做為政府的業(yè)務專網，必須新建一張專用網絡，并且要求統(tǒng)一互聯(lián)網出口；因業(yè)務需要保留互聯(lián)網出口的接入單位，其出口網絡必須也邏輯隔離并執(zhí)行嚴格安全訪問策略。網絡管理功能福建省電子政務外網是一個覆蓋全省各級黨政機關的龐大、復雜的互聯(lián)網絡，涉及到的設備種類、數量大，管理的范圍層次不盡相同。因此，需要建立統(tǒng)一的網絡管理平臺，能夠兼容第三方的設備管理，實現(xiàn)設備和網絡的性能管理、拓撲管理、事件管理、安全管理、統(tǒng)計管理、配置管理、分權管理、分布管理和故障管理，從而提高網絡的可管理性和可維護性，保證全省電子政務外網的正常運行。帶寬需求分析1、傳輸信息內容在全省電子政務外網中，將承載網上審批、網上辦公以及黨政機關各部門的數據、語音、視訊等信息的傳輸和交換。2、傳輸帶寬要求在全省電子政務外網中，省級核心網將承載37個單位橫向網絡匯聚。建議省核心鏈路帶寬選用2.5G、核心和匯聚層采用1000M、廳局接入采用100M。福州節(jié)點通過兩個千兆鏈路連接到省級核心設備；其它8個設區(qū)市主鏈路如果有條件建議優(yōu)先通過租用裸光纖的方式進行互聯(lián)，互聯(lián)技術采用千兆以太網技術，備用鏈路通過2M*4線路，連接到省級核心設備。對于沒有條件上裸光纖的設區(qū)市，主鏈路通過155MATM/POS鏈路接入到省級核心設備。項目建設目標與原則總體目標及分期目標總體目標按照中辦發(fā)[2002]17號文件要求，政務外網的總體目標是依托統(tǒng)一的國家電子政務通信傳輸網絡，整合建設電子政務外網，通過覆蓋全國各級政務部門的網絡平臺和服務體系，支持電子政務業(yè)務系統(tǒng)的運行，支持跨部門、跨地區(qū)的信息資源共享，支持電子政務業(yè)務系統(tǒng)的互聯(lián)互通和信息交換，促進政府監(jiān)管能力和服務水平的提高。在遵循國家政務外網建設總體目標的基礎上，福建省將利用省公用基礎通信設施，建設結構合理、邊界清晰、技術先進、安全可靠的福建省電子政務外網平臺，并合理構建安全保障體系，初步完善政務網絡服務體系。按國家統(tǒng)一規(guī)劃和標準，建設福建省電子政務外網管理中心。政務外網將提供網絡傳輸、數據交換、網絡管理和安全保障等服務，省級和各級政務部門門戶網站提供網絡支撐，為各個業(yè)務應用系統(tǒng)的運行提供支撐；為實現(xiàn)跨部門、跨地區(qū)的信息資源共享創(chuàng)造條件，促進業(yè)務系統(tǒng)的互聯(lián)互通和信息共享，提高政府的監(jiān)管能力、服務質量與政務信息化水平。分期目標由于政務外網建設涉及面廣、工程復雜、不確定因素較多、建設難度大，因此，項目將分期分階段逐步推進和拓展。第一階段的建設目標是：于2006年10月份實現(xiàn)國務院2個部委局對應的廳局即監(jiān)察廳和省扶貧辦接入國家外網，在2007年年底將國務院10個部委對應的廳局接入國家政務外網。因此必須建立初步的城域網，包括城域網骨干網即核心和匯聚節(jié)點的初步建設，以滿足相應的廳局逐步接入國家外網，目前只實現(xiàn)了監(jiān)察廳和扶貧辦接入國家外網，且骨干和匯聚層沒有實現(xiàn)劃分。第二階段：在第一階段建設的基礎上，逐步擴大網絡覆蓋范圍，完善福建省電子政務外網城域網，實現(xiàn)國務院其它37個部委對應的廳局和國家外網連接；建設?。校h三級縱向網；完善政務外網數據交換中心，建設備份中心；擴大業(yè)務應用系統(tǒng)網上運行示范的范圍，基本滿足金審、金保、金農等其他信息系統(tǒng)對網絡的需求。豐富、完善和擴充外網的服務功能，擴大網絡覆蓋范圍，增加網絡服務能力，基本建成統(tǒng)一的電子政務外網，不斷適應我國電子政務建設的網絡需求。建設原則與工作模式建設原則實用性原則實用性原則主要體現(xiàn)在以下方面：以省電子政務內網的現(xiàn)行需求為基礎，適當考慮發(fā)展的需要為依據來確定系統(tǒng)規(guī)模。選擇成熟、先進、維護量小、使用方便的技術設備和措施。創(chuàng)造一個開放的網絡平臺，支持多種業(yè)務的同時傳輸，如支持語音、圖象等多媒體業(yè)務。安全性原則協(xié)議的安全性在網絡中運行著很多網絡協(xié)議，包括路由協(xié)議和各種為上層應用服務的廣域網，局域網絡協(xié)議等。正是這些網絡協(xié)議或服務，確保了網絡系統(tǒng)的正常運行，因此，我們首先應確保這些網絡協(xié)議或服務的安全性。應用服務協(xié)議的安全對這些路由協(xié)議和各種上層應用服務的協(xié)議，我們應區(qū)別對待。首先，對于網絡運行所必需的協(xié)議，如路由協(xié)議等，我們不但應正常運行，而且必須加以保護，以防止非法路由器加入或偽造的路由信息，采用一些加密技術或鄰機校驗方法，以完成認證，對于網絡運行無關緊要或無用的協(xié)議，則應嚴格限制或關閉。。路由協(xié)議的安全在路由協(xié)議安全性方面，我們可以采用路由器鄰居相互校驗，校驗方式可以是明碼方式或MD5加密方式，對于OSPF、BGP既可采用MD5校驗方式，也可以采用明碼方式。通過明碼或MD5加密方式校驗，可以確保只有有效的路由器才能加入到網絡，從而能夠避免非法的路由器或偽造的路由信息加入到網絡中，使路由出錯，導致網絡癱瘓。可靠性原則為保證各項業(yè)務應用，網絡必須具有高可靠性，決不能出現(xiàn)單點故障。要對整個網絡的機房布局、結構設計、設備選型、日常維護等各個方面進行高可靠性的設計和建設。在關鍵設備采用硬件備份、冗余等可靠性技術的基礎上，采用相關的軟件技術提供較強的管理機制、控制手段和事故監(jiān)控與安全保密等技術措施提高電腦機房的安全可靠性。針對本網絡設計方案，其可用性設計包括網絡設備本身的冗余能力、網絡的冗余設計。應采用以下一些手段：鏈路冗余主干連接（主干設備之間及其與匯接設備之間的連接）具備可靠的線路冗余方式。設備冗余對關鍵設備進行整機冗余，模塊冗余，支持模板熱拔插、冗余的控制模塊設計、冗余電源設計、風扇冗余設計。所有模塊和環(huán)境部件應具備1+1或1：N熱備份的功能，切換時間小于3秒，使系統(tǒng)具備較高的可用性。對非關鍵設備進行1:N的冷備份。成熟和先進性原則在網絡結構設計、網絡配置、網絡管理方式等方面采用國際上先進同時又是成熟、實用的技術。設備廠商和系統(tǒng)集成商應有相關領域的豐富經驗。規(guī)范性原則網絡設計所采用的組網技術和設備應符合國際標準、國家標準和業(yè)界標準，為網絡的擴展升級、與其他網絡的互聯(lián)提供良好的基礎。開放性和標準化原則在設計時，要求提供開放性好、標準化程度高的技術方案；設備的各種接口滿足開放和標準化原則,如果是不同廠商的產品，必須之間具備可操作性與可管理性。可擴充和擴展化原則有充分的機制方便各網點的擴展、業(yè)務量和業(yè)務種類的擴展，保證建設完成后的網絡在向新的技術升級時，能保護現(xiàn)有的投資。網絡可擴展的關鍵在于能否實現(xiàn)合理的層次化設計，采取層次化的設計可以根據網絡需求的變化，可在不影響現(xiàn)有網絡運行的狀況下，迅速擴展。網絡的建設必須具有良好的靈活性與可擴展性，能夠根據今后業(yè)務不斷深入發(fā)展的需要，擴大設備容量和提高用戶數量和質量的功能。具備支持多種網絡傳輸、多種物理接口的能力，提供技術升級、設備更新的靈活性。在網絡設備選型過程中，每個核心骨干層次設計中所采用的設備本身應具有極高的端口密度，層次化設計為整個網絡的擴展奠定了基礎。同時，我們應充分考慮路由協(xié)議的選用，使路由協(xié)議為整個網絡的發(fā)展帶來極強的路由擴展能力。應用的擴展能力采用MPLSVPN是在統(tǒng)一的網絡平臺上承載多應用的最佳方案。端口密度擴展設備的端口密度應能滿足網絡擴容時設備間互聯(lián)的需要。主干帶寬擴展主干帶寬具備4~8倍甚至更高的帶寬擴展能力，以適應IP類業(yè)務急速膨脹的現(xiàn)實。網絡規(guī)模擴展網絡體系、路由協(xié)議的規(guī)劃和設備的CPU路由處理能力，應能滿足本網絡節(jié)點規(guī)模的要求?？晒芾硇栽瓌t整個網絡系統(tǒng)的設備和服務器的安全性、數據流量、性能等得到很好的監(jiān)視和控制，并可以進行遠程管理和故障診斷工作模式政務外網工程是跨部門、跨地區(qū)的大型項目，針對外網用戶對網絡早日建成的迫切要求，應該“縮小邊界、加快建設”。工作模式的要點是：1．統(tǒng)一建設。根據國家有關電子政務建設的思路和要求，政務外網建設將從國家整體利益出發(fā)。按照統(tǒng)一規(guī)劃、統(tǒng)一標準的原則，統(tǒng)一組織建設。2．加強協(xié)調。在有關部門的指導下，組建外網建設協(xié)調領導小組及其辦公室。領導小組是項目建設的決策和協(xié)調機構，辦公室是執(zhí)行機構。同時組建由資深專家組成的外網建設專家咨詢委員會。3．集中與分級管理。政務外網建設既要集中統(tǒng)一，又要兼顧各部門、各系統(tǒng)特殊的應用要求。集中與分級管理相結合。既要實現(xiàn)部門專網的互聯(lián)互通，又要兼顧特定業(yè)務、部門專網之間相對隔離的要求。在網絡管理上，設立政務外網管理中心實現(xiàn)對網絡的管理。4．發(fā)展用戶。外網生命力在于用戶。外網建設要本著“快速建設、優(yōu)質服務”的思想，穩(wěn)定和發(fā)展用戶。外網用戶愈多，外網效益就愈大。要采取各種有力措施，始終把外網用戶發(fā)展工作，作為外網建設的一號任務，抓緊、抓好、抓實。主要措施包括：第一、調動省直廳局、包括社會、電信等各方積極性，優(yōu)化資源配置；第二、提供優(yōu)質服務、吸引用戶；第三、積極探索創(chuàng)新的運行維護模式，走可持續(xù)發(fā)展的道路；第四、在網絡一期工程完成后，配合有關單位，大力開發(fā)政府信息資源、協(xié)同政務應用示范，建設配套的信息交換和目錄體系等，通過豐富的、安全的內容服務，吸引并且擴大用戶群。PAGE福建省電子政務外網網絡設計福建省電子政務外網設計概述福建省電子政務外網由省級城域網和省、市、縣三級骨干廣域網組成。城域網分為核心層、匯聚層、接入層。核心層建議配置三臺H3CSR8812核心路由器組成，其中1臺放置在省經濟信息中心、另外兩臺放置在接入點相對集中的、機房環(huán)境和硬件設施較優(yōu)的廳局。三個核心節(jié)點在網絡中處于核心地位，其強大的數據處理能力是保障各項業(yè)務應用正常運行的基礎?？紤]到它們在網絡層次中的重要作用以及將會涉及到巨大的數據流量，所以，三個核心節(jié)點的互聯(lián)必須滿足高帶寬和高穩(wěn)定性的要求。建議采用2.5GRPR技術建設高速核心層網絡，RPR環(huán)狀網使得骨干網絡具有強大的自愈功能，能在50ms內自動保護倒換，保障網絡高可靠性。匯聚層采用5臺匯聚交換機，采用GE雙歸屬的方式與三臺核心路由互聯(lián)。新增的匯聚設備建議采用H3CS7506E多業(yè)務高端交換機。每個委辦廳局放置一臺接入交換機S3600-28P-EI，采用FE/GE接口與匯聚交換機互聯(lián)。廣域網部分，以省信息中心和電信樞紐節(jié)點做為廣域網核心互聯(lián)節(jié)點。各設區(qū)市路由器采用H3CSR8808高端路由器，其中福州節(jié)點通過千兆光纖連接到核心節(jié)點；泉州等各設區(qū)市主鏈路采用千兆光纖，備用鏈路通過MSTP10M連接到核心節(jié)點。各縣級節(jié)點，通過MSTP2M～4M連接到設區(qū)市節(jié)點，各縣級節(jié)點配置MSR5040多業(yè)務路由器用于上行連接，配置S3610-28TP做為MCE提供不同部門通過以太網的安全接入。鄉(xiāng)鎮(zhèn)單位和建制村的接入，建議通過ADSL、3G無線、寬帶等方式接入政務外網。由于鄉(xiāng)鎮(zhèn)單位和建制村，有可能存在接入多個VPN的需求，因此在市級節(jié)點配置VPN網關，根據用戶身份來分配接入到不同的VPN中。福建電子政務外網的總體規(guī)劃如圖所示：省電子政務外網，跟國家電子政務外網，可以通過多條FE/GE鏈路互聯(lián)，保證網絡鏈路的可靠性。第一階段前期設備利舊考慮前期外網連接拓撲如下：如圖所示，已建成國務院兩個部委所對應的廳局監(jiān)察廳和省扶貧辦接入國家外網。由于接入點較少，第一階段未采購核心路由器，而是配置一臺城域網匯聚交換機（在下一階段建設中可作為匯聚層交換機），監(jiān)察廳和省扶貧辦通過FE/GE接入至S9505，S9505通過100MFE和國家電子政務外網福建節(jié)點的NE40路由器互聯(lián)。本期增加了了核心路由器，將原來采購的H3CS9505掛接到核心路由器上。鏈路選擇設計城域網核心的三臺核心路由器SR8812采用2.5GRPR環(huán)連接，5個匯聚節(jié)點通過千兆與核心路由器進行互聯(lián)。各委辦廳局與匯聚交換機的連接，分兩種情況：1、距離匯聚交換機較近（同一大樓或大院內）的委辦廳局，可以采用GE或FE接口直接連接，不需租用帶寬。2、距離匯聚交換機較遠的委辦廳局，可以考慮租用運營商的鏈路。福州節(jié)點，通過兩條千兆鏈路與核心路由器進行互聯(lián)；其他各地市節(jié)點，主鏈路優(yōu)先通過千兆光纖（沒有條件的地市采用155MATM/PoS鏈路）連接到省核心節(jié)點，備用鏈路通過MSTP連接到省級核心節(jié)點。縣級節(jié)點，通過MSTP10/100M鏈路（實際申請帶寬可以是2M或者4M等）到設區(qū)市節(jié)點。鄉(xiāng)鎮(zhèn)單位和建制村的接入，建議通過ADSL、3G無線、寬帶等方式接入政務外網。福建電子政務外網的業(yè)務互訪方案設計根據17號文件的描述，電子政務外網作為統(tǒng)一的網絡承載平臺，將接入不同的政府各級部門，形成在統(tǒng)一網絡平臺上的邏輯虛擬專網，各虛擬專網之間需要安全隔離。同時，因為協(xié)同型電子政務應用系統(tǒng)的不斷發(fā)展，又要求相互隔離的虛擬專網之間能夠進行部分數據交互和資源共享。此外，還涉及虛擬專網用戶對公共資源和互聯(lián)網的訪問，政務外網內部節(jié)點用戶和移動用戶通過Internet接入時的安全性控制，公眾用戶對政務外網公眾服務區(qū)的受控訪問等等。所以，電子政務外網上存在非常復雜的業(yè)務互訪需求，而且對互訪需要強大靈活的控制手段。政務網業(yè)務互訪規(guī)則如下：根據各自實現(xiàn)的功能不同，將電子政務外網分為三個獨立的功能區(qū)：縱向業(yè)務區(qū)、公眾服務區(qū)、資源共享區(qū)?？v向業(yè)務區(qū)是各個縱向政府部門在電子政務外網上劃分出來的虛擬邏輯專網，負責傳送各政府部門自身的業(yè)務數據，彼此之間嚴格安全隔離。公眾服務區(qū)是電子政務外網上劃分出的對公眾服務的部分，包括各類WEB/FTP公眾服務器。資源共享區(qū)是電子政務外網內部各縱向業(yè)務系統(tǒng)之間需要共享和交互的數據。縱向業(yè)務區(qū)、公眾服務區(qū)和資源共享區(qū)三者之間的互訪關系如上圖所示，縱向業(yè)務區(qū)用戶具有最高訪問權限，可以訪問公眾服務區(qū)（提取公眾需求），可以訪問資源共享區(qū)（用于各縱向業(yè)務區(qū)用戶之間交互數據），可以訪問INTERNET（資料查詢等）。資源共享區(qū)具有次高訪問權限，不能訪問縱向業(yè)務區(qū)，但可以訪問公眾服務區(qū)（提取公眾需求）。公眾服務器區(qū)訪問權限最低，只能和INTERNET進行交互，不能進入縱向業(yè)務區(qū)也不能進入資源共享區(qū)。所有業(yè)務訪問關系在技術上是通過MPLSVPN來實現(xiàn)的。與國家電子政務外網平臺的連接福建省電子政務外網建成后將與國家電子政務外網互聯(lián)互通，確保國家16個試點部委與福建省對應廳局的業(yè)務貫通。在組網上，福建省電子政務外網2臺核心路由器將分別通過百兆鏈路連接國家電子政務外網放置在福建省的接入節(jié)點路由器。為了實現(xiàn)福建省電子政務外網與國家電子政務外網的互聯(lián)互通，兩個問題必需解決：一、跨自治域的路由信息交換問題。因為福建省電子政務外網與國家電子政務外網分別處于不同的自治域內，國家電子政務外網放置在福建省的接入節(jié)點路由器是國家電子政務外網的邊界路由器，福建省電子政務外網2臺核心路由器將做為福建省電子政務外網的邊界路由器，故它們之間需要交換不同自治域的路由信息。目前跨自治域的路由協(xié)議最為成熟和應用最為廣泛的應屬EBGP協(xié)議，因此我們建議采用EBGP協(xié)議在兩個自治域系統(tǒng)邊界路由器之間交換路由信息；二、VPN跨自治域問題。同樣是因為福建省電子政務外網與國家電子政務外網分別處于不同的自治域內，PE設備在不同的自治域內。要實現(xiàn)縱向VPN從國家到省之間的貫通，必需解決VPN跨自治域的問題。目前按照RFC2547bis中提出的跨AS自治域實現(xiàn)MPLS/BGPVPN的解決方案主要有三種：背靠背的VRF到VRF、MP-EBGP、RR間部署多跳的MP-EBGP。推薦采用MP-EBGP方式，但本次所推薦的產品必須支持三種互聯(lián)技術。。電子政務外網省內縱向連接福建省電子政務外網在9個設區(qū)市分別放置1臺接入路由器，此路由器將負責與設區(qū)市電子政務外網的骨干設備進行互聯(lián)互通，此接入路由器上配置10/100/1000M自適應電接口和設區(qū)市電子政務外網骨干設備進行互聯(lián)。福建省電子政務外網和設區(qū)市電子政務外網互聯(lián)互通的主要目的是實現(xiàn)某些部門縱向VPN系統(tǒng)能夠從省貫通到市甚至到縣，實現(xiàn)縱向業(yè)務互通。縱向MPLSVPN的部署縱向VPN是指行業(yè)系統(tǒng)內部（例如國土、林業(yè)、環(huán)保等）從省到市到縣的虛擬專網?？v向VPN的CE、PE、P設備的分布如下（如圖所示）：城域網側：城域網接入層設備做CE，接入各廳單位內部網絡。城域網匯聚層設備做PE設備。城域網核心設備做P設備。廣域網側：（分為兩種情況）情況一：地市網絡規(guī)模較大，地市組建自己的城域網和廣域網。地市城域網接入層設備做CE，接入各局單位內部網絡。地市城域網匯聚層設備做PE。地市城域網核心層設備做P。省網廣域網匯聚層放置在各地市的匯聚路由器做P。情況二：地市網絡規(guī)模較小，接入層設備接入省網廣域匯聚設備，地市接入層設備做CE，接入各局單位內部網絡。省網廣域匯聚層放置在各地市的匯聚路由器做PE。縱向VPN的業(yè)務互訪示意圖政府信息資源的橫向共享及訪問各接入部門除有縱向建立VPN業(yè)務的需求之外，還需要橫向開展某些業(yè)務，實現(xiàn)跨部門的資源和信息共享。福建省電子政務外網將提供統(tǒng)一的網絡平臺，實現(xiàn)各個橫向VPN業(yè)務的高速通達、邏輯隔離、安全可靠。各個部門的IDC服務器大致可以分為三類，第一類為WEB服務器，對公眾開發(fā)；第二類為共享服務器，對電子政務各個部門開放，但不對公眾開放；第三類為內部服務器，對本部門開放，不對其它部門開放。為了控制訪問權限，需要對不同類型的服務器單獨劃分VPN。縱向業(yè)務系統(tǒng)對共享資源區(qū)的訪問并非直接訪問，而是通過前置機的方式訪問?？v向業(yè)務系統(tǒng)（如工商）將自己需要和其余縱向業(yè)務系統(tǒng)（如稅務）交互的數據通過安全的方式（如網閘）由內部服務器導入到前置機上。所有縱向業(yè)務系統(tǒng)的前置機自己成為一個單獨的VPN，共享資源區(qū)成為一個共享VPN，共享VPN可以和所有縱向業(yè)務系統(tǒng)前置機VPN實現(xiàn)互通，實現(xiàn)邏輯星型連接，此方式下數據流模型為集中式，圖示如下：也可采用分布式數據流模型，所有縱向業(yè)務系統(tǒng)前置機VPN根據應用系統(tǒng)要求通過MP-BGP的團體屬性中的RT值控制直接進行互訪以交互數據。分布式資源共享方式圖示如下：兩種資源共享方式不是對立的，而是相互補充，滿足不同接入單位的要求。具體方式視具體情況和要求而定。政府部門訪問Internet及公眾服務由于歷史原因，原有各個部門的IP地址由各個部門自己規(guī)劃，而不是整個電子政務網統(tǒng)一規(guī)劃，導致不同部門的IP地址有可能重復。因此，縱向業(yè)務系統(tǒng)對互聯(lián)網和公眾服務區(qū)的訪問都需要做NAT。縱向業(yè)務區(qū)訪問公眾服務區(qū)時，NAT功能可以統(tǒng)一部署在PE上，也可部署在接入單位用戶的接入設備上（如防火墻、路由器）上。通過NAT，將接入單位用戶的私網地址轉換成電子政務外網統(tǒng)一分配的地址，以這個地址實現(xiàn)對公眾服務區(qū)（公眾服務器同樣分配電子政務外網地址）訪問和對互聯(lián)網的訪問。縱向業(yè)務區(qū)訪問互聯(lián)網時需要在互聯(lián)網出口設備上將電子政務外網地址轉換成互聯(lián)網全局IP地址。

Internet訪問公眾服務區(qū)所有對公眾提供服務的WEB服務器放到一個公網上，在互聯(lián)網出口設備上需要做服務器IP地址的一對一地址映射。

移動用戶接入方案為了滿足接入單位出差人員通過互聯(lián)網平臺遠程訪問單位內部資源的需要，電子政務外網平臺需要提供統(tǒng)一的VPN接入服務，并將不同單位的L2TPIPSecVPN跟對應的MPLSVPN相關聯(lián)。VPE設備實現(xiàn)了IPVPN隧道與MPLSVPN之間的映射和銜接，VPE技術很好地融合了MPLSVPN和IPVPN，實現(xiàn)了MPLSVPN在互聯(lián)網上的延伸。在互聯(lián)網出口處專門配置一臺H3CSecPathF1000E做為VPE，提供遠程VPN訪問，并將不同單位的VPN映射到該單位的MPLSVPN中。電子政務網只提供VPN接入，L2TPIPSecVPN的用戶認證，各單位自己部署實施。統(tǒng)一Internet出口相關設計省級平臺城域網承擔全省統(tǒng)一門戶網站入口訪問和全部省直單位的INTERNET出口訪問，流量非常大，線路安全要求高，租用兩條100M帶寬線路。Internet訪問網絡結構設計福建省電子政務外網Internet訪問設計如下圖所示。福建省政務外網向兩個不同運營商申請若干合法IPv4地址。由于地址數量有限，所以在省城域網的Internet出口采用NAT方式。在福建省電子政務外網平臺設計中，出口防火墻采用千兆級的防火墻。防火墻的選用及布署在福建省電子政務外網平臺建設中，我們需要在Internet邊界部署2臺千兆防火墻用于防止外部對電子政務的威脅和攻擊。如上圖所示，我們建議在核心路由器與Internet路由器之間配置兩臺防火墻，兩臺防火墻與核心路由器以及Internet路由器之間采取全冗余連接，保證系統(tǒng)的可靠性，為了保證系統(tǒng)的可靠性，我們建議配置兩臺防火墻為雙機熱備方式，在實現(xiàn)安全控制同時保證線路的可靠性，同時可以與內網動態(tài)路由策略組合，實現(xiàn)流量負載分擔；主動防御系統(tǒng)的選用布署福建省電子政務外網統(tǒng)一Internet出口的安全僅部署防火墻是不夠的，在網絡的運行維護中，經常遭受入侵以及蠕蟲、病毒、拒絕服務攻擊的困擾。事實上，員工的PC都既需要訪問Internet又必須訪問公司的業(yè)務系統(tǒng)，所以存在被病毒感染和黑客控制的可能，蠕蟲可以穿透防火墻并迅速傳播，導致主機癱瘓，吞噬寶貴網絡帶寬，P2P等應用，利用80端口進行協(xié)商，然后利用開放的UDP進行大量文件共享，導致機密泄漏和網絡擁塞，對業(yè)務系統(tǒng)的危害極大。如上文所述，防火墻無法識別高層攻擊、漏報和誤報、響應速度慢、性能不高以及運行維護管理復雜等缺陷，顯然這些問題使福建省電子政務外網無法完成支持日益增長的安全需求的關鍵任務。在這種充滿挑戰(zhàn)的環(huán)境下，急需能夠保護應用系統(tǒng)、網絡基礎設施和性能的利器，而能夠幫助福建省電子政務外網實現(xiàn)這些關鍵任務的解決方案只有主動式入侵防御系統(tǒng)，即IntrusionPreventionSystem–IPS。在福建省電子政務外網平臺建設中，選擇2臺H3CT200EIPS設備連接不同的兩個運營商，放置在出口，并與防火墻兩兩互連，作冗余保護。提供業(yè)界最完整的入侵偵測防御功能。H3CT200EIPS定義的三大入侵偵測防御功能包括：應用程序防護、網絡架構防護與性能保護。這三大功能可提供最強大且最完整的保護以防御各種形式的網絡攻擊行為，如：病毒、Spyware、蠕蟲、拒絕服務攻擊與非法的入侵和訪問。數據中心相關設計在電子政務系統(tǒng)中，數據交換雖然是分布、對等的，但整個系統(tǒng)仍然有一個監(jiān)控中心，負責交換模型的定義，建立信息交換和網內共享信息資源開發(fā)利用與管理制度。例如：公文交換中心就包括部門之間公文交換的審核、交換、審計、暫存、銷毀、電子印章等。電子政務系統(tǒng)是構筑在各政府部門（部委局署及地方政府部門）的信息系統(tǒng)之上，是把各自的數據庫作為其共享的一部分。數據中心是數據大集中而形成的集成信息化應用環(huán)境，它是各種信息化業(yè)務和應用服務的提供中心，是數據運算/交換/存儲的中心，實現(xiàn)對用戶的數據、應用程序、物理構架的全面或部分進行整合和集中管理。數據中心是當前各個行業(yè)的信息化建設重點。政府、金融、運營商、電力、能源、交通、教育、制造業(yè)、大型企業(yè)等已經完成或正在進行數據中心建設，通過數據中心的建設，實現(xiàn)對信息化系統(tǒng)的整合和集中管理，提升內部的管理運營效率以及對外的服務水平，同時降低信息化建設的TCO（整體擁有成本）。建設以“數據服務”為核心的數據中心架構數據中心保存著一個組織的重要數據，這些數據是組織數字化運營的結晶，是核心資產。據IDC的統(tǒng)計數字表明，美國在2000年以前的10年間發(fā)生過災難的公司中，有55%當時倒閉，剩下的45%中，因為數據丟失，有29%也在兩年之內倒閉，生存下來的僅占16%。數據中心的所有業(yè)務操作都是圍繞著數據進行的，數據的利用率越高，表明該數據越有價值；數據交換越頻繁，表明組織的運營越高效。數據中心的數據永遠處于三種狀態(tài)：“計算”、“傳輸”、“存儲”。數據在應用系統(tǒng)中被創(chuàng)建、增加、修改、刪除、查詢時處于“計算”狀態(tài)；數據在網絡上傳送時處于“傳輸”狀態(tài)；數據在存儲設備中時處于“存儲”狀態(tài)。可以說，數據是現(xiàn)代化組織數字化運營的核心，數據中心建設只有以“數據服務”為核心，才能更好地為組織的運營服務。以“數據服務”為核心的數據中心架構圖 “數據服務”為核心數據中心架構分為四個層次：基礎設施層：以統(tǒng)一的IP技術將通信、計算、存儲等IT基礎資源融合成IP融合基礎設施，形成數據中心的基礎設施，為業(yè)務系統(tǒng)提供的基本資源服務。數據服務層：針對不同的應用所采用的結構化數據和非結構化數據，針對這兩類不同數據提供的有區(qū)別的數據管理、數據安全、數據傳送等數據服務。利用VM、DM、SM、iMC、OAP等中間件及開放平臺調用基礎設施層的基本資源更好地為上層應用服務。其中數據管理主要實現(xiàn)存儲資源化、計算資源化、網絡資源化并能動態(tài)調整資源匹配數據的讀寫存放；數據傳送包括WAN優(yōu)化，H3C核心設備的強整合能力以及L4-L7能力實現(xiàn)政府行業(yè)數據中心網絡的智能化；安全服務包括IPS/IDS/FW等，同時安全管理中心實現(xiàn)對安全的統(tǒng)一策略并管理。數據服務層包含的功能應用層：主要包括針對結構化數據和非結構化數據的各種應用。包括各種業(yè)界通用業(yè)務系統(tǒng)（常用的ERP、CRM、SCM、財務、HR、OA），H3C能提供各種多媒體應用（監(jiān)控、流媒體、統(tǒng)一通信、呼叫中心、視頻會議、VOIP）。戰(zhàn)略層：在大量應用數據的基礎上，進行數據分析、挖掘，為高層戰(zhàn)略決策提供支持。同時作為完整的數據中心建設，災難備份是必不可少的一部分。災備中心的層次結構和主數據中心是相同的四層結構。災備中心實現(xiàn)為主數據中心進行數據級或應用級備份，進一步保證數據安全，實現(xiàn)在災難情況下的臨時業(yè)務中心和應急指揮中心。以“數據服務”為核心數據中心規(guī)劃網絡部分數據中心統(tǒng)一的IP網絡平臺：相對傳統(tǒng)的數據中心架構最大的不同之處在于H3C公司數據中心的前臺業(yè)務訪問網絡、后臺的存儲及備份網絡、異地備份網絡全部基于統(tǒng)一的IP網絡平臺，即利用業(yè)界最開放的IP標準來取代原來封閉昂貴的FC存儲與備份網絡，帶來的好處是靈活、開放、共享、高性能、低成本。網絡設計方面：在數據中心內部采用分區(qū)、分層、分類的模塊化設計思想保證數據中心網絡架構的高可靠性、高擴展能力。同時利用產品本身的高擴展能力（從低端到高端的擴展，背板帶寬擴展到1.44T，端口擴展到10G）、IRF智能彈性架構技術等技術保證數據中心網絡平臺的動態(tài)擴展和升級。同時從設備的可靠（雙主控、雙電源）、網絡的可靠（關鍵設備雙歸屬/重要鏈路手工聚合/服務器采用雙網卡）、協(xié)議的可靠(VRRP、防火墻HRP)、架構的可靠（重要設備冗余部署/流量路徑合理規(guī)劃）、應用的可靠（服務器健康檢查、HA收斂時間迅速）等方面充分保障高可靠性。安全部分安全設計方面：防火墻實現(xiàn)網絡層的安全保護、IPS實現(xiàn)基于應用層的安全保護、交換機實現(xiàn)基于設備本身的集成安全特性。該三重安全防護手段能夠實現(xiàn)網絡1－7層的全面防護。同時采用統(tǒng)一安全管理中心實現(xiàn)對數據中心的統(tǒng)一安全監(jiān)控、分析、聯(lián)動、抵御。存儲/備份部分提供業(yè)界領先的IP-SAN架構，實現(xiàn)數據的集中存儲。通過IV5000等實現(xiàn)對異構存儲資源的整合。本地備份：提供近線CDP、在線CDP、鏡像、D2D、VTL等多種本地備份手段。異地災備：提供基于IP網絡的遠程數據連續(xù)復制保護方案，可以實現(xiàn)數據零丟失，并且在主存儲設備出現(xiàn)故障時10分鐘內恢復業(yè)務；提供主備數據中心之間的數據同步鏡像方案，當主數據中心的存儲設備發(fā)生故障，可以在幾十秒鐘內自動將數據路徑切換至容災中心的存儲設備，應用即恢復正常運行。數據中心應用優(yōu)化引入業(yè)界一流的負載均衡設備實現(xiàn)業(yè)務服務性能的最優(yōu)化、WAN優(yōu)化實現(xiàn)下級單位/分公司對數據中心訪問性能（帶寬、響應時間等）的優(yōu)化。數據中心綜合運維管理平臺實現(xiàn)數據中心的網絡管理、安全管理、服務器管理、存儲管理、應用性能管理，為用戶呈現(xiàn)資源管理、業(yè)務視圖監(jiān)控、事件問題解決、用戶行為審計等功能。根據上述的建設規(guī)劃思路，福建省電子政務外網數據中心的建設如下圖所示，左圖可以作為第一階段建設內容，即在初期服務器不多，分區(qū)分層不明顯的情況下，部署一臺模塊化交換機，用于連接數據中心的服務器，服務器后端采用IPSAN進行數據的集中存儲；在該交換機和電子政務骨干網之間，部署防火墻和入侵防御系統(tǒng)，其中防火墻實現(xiàn)網絡層的安全保護、而入侵防御系統(tǒng)（IPS）實現(xiàn)基于應用層的安全保護、交換機實現(xiàn)基于設備本身的集成安全特性。該三重安全防護手段能夠實現(xiàn)網絡1－7層的全面防護。同時采用統(tǒng)一安全管理中心實現(xiàn)對數據中心的統(tǒng)一安全監(jiān)控、分析、聯(lián)動、抵御；后期則根據電子政務外網的不斷發(fā)展，在上述規(guī)劃思路的指導下，逐漸完善數據中心。網絡管理相關設計電子政務外網的管理中心擔負著對整個網絡內所有節(jié)點的日常狀態(tài)監(jiān)測、故障響應、資源分配和控制等功能，同時負責采集網絡運行數據，進行業(yè)務流量、流向分析，制定網絡發(fā)展規(guī)劃。網絡管理系統(tǒng)需要具有性能管理、故障管理、配置管理、安全管理等基本功能。政府外網網絡管理中心的主要功能涉及網絡管理、業(yè)務管理和網絡運行三個層面的工作。在組織結構上，設立省級政務外網管理中心和市縣二級網管中心。在功能上，政務外網管理中心含客戶服務、接入服務、備份中心、外網網站等。在管理上，政務外網管理中心實行集中管理，對二級網管中心（市縣網管中心）進行統(tǒng)一指導和督察。政務外網管理中心的主要功能：負責管理省城域網絡、骨干網外網網站、數據中心、備份中心；負責外網綜合業(yè)務管理。負責管理外網安全管理中心。建立集中的網絡運行性能分析系統(tǒng)，提供對網絡運行質量的分析報告，對網絡規(guī)劃提供決策依據；提供用戶接入認證的管理；提供MPLSVPN管理。鑒于第一階段的外網接入規(guī)模和投資限制，將利用現(xiàn)有資源，把福建省電子政務外網管理中心設在數據中心，配置相應的網絡設備系統(tǒng)、安全管理系統(tǒng)、網絡日志審計系統(tǒng)、網絡流量分析系統(tǒng)、MPLSVPN管理系統(tǒng)等網絡可靠性設計網絡系統(tǒng)是省電子政務外網平臺建設中的重要基礎設施平臺，該網絡系統(tǒng)的設計實施中必須對網絡的可靠性進行詳盡的考慮和設計。網絡系統(tǒng)的可靠性由兩個大部分組成，即承載網絡的可靠性和應用系統(tǒng)的可靠性。應用系統(tǒng)的可靠性主要由服務器、存儲設備、應用程序、數據庫等的可靠性構成，由上層應用保證；承載網絡的可靠性則包括網絡拓撲組網結構的可靠性及組網設備可靠性。下面對省電子政務外網中承載網絡的可靠性設計進行說明。省電子政務外網承擔各種業(yè)務應用系統(tǒng)，提供統(tǒng)一的網絡平臺，其網絡可靠性要求很高。網絡系統(tǒng)的可靠性主要體現(xiàn)在以下幾個方面：1、網絡結構設計保證網絡的可靠性；2、選配高可靠性的網絡設備；3、完善的網絡管理系統(tǒng)確保網絡可靠性；4、選配必要的設備和模塊備份。網絡結構可靠性設計網絡組網結構的可靠性，主要是對網絡互聯(lián)通道的備份考慮和設計，通過備份線路及設備的備份，保證任何時刻、任何節(jié)點之間都有可達的路由。1）對于省電子政務外網平臺網絡系統(tǒng)而言，核心層鏈路是網絡的主干鏈路，采用2.5GRPR環(huán)設計星型拓撲結構，可以保障核心層的可靠性，實現(xiàn)50毫秒倒換的電信級可靠性。廣域網核心路由器與城域網RPR環(huán)上的設備兩兩互聯(lián)，確保任一設備都有2條以上鏈路可達。廣域網核心與地市路由器采用主備份的連接，使地市路由器到核心層實現(xiàn)鏈路的冗余。在關鍵的委辦廳局，采用雙鏈路連接到核心。2）在故障出現(xiàn)的時候，通過動態(tài)路由協(xié)議等機制，保證網絡數據自動迂回切換到其它連通的鏈路上，保證通信的正常進行。對于流量超過備份線路帶寬承載能力時，可采用QoS等措施保證業(yè)務網關注的關鍵業(yè)務得到優(yōu)先傳送或者升級帶寬。組網設備可靠性設計建議線路的備份主要解決了網絡互通路徑的問題，而節(jié)點設備的可靠則解決網絡的有效運轉問題。要保證電子政務網絡平臺的可靠性，對于核心和匯聚層，必須要選用具備電信級可靠性的網絡設備進行組網，才能使網絡具有自動恢復能力、降低人工維護工作，達到電信級的可靠運行。采用分布式體系結構：分布式體系結構是提高可靠性的基礎，與集中式體系設備相比較，分布式體系設備除性能可以通過插入更多的接口處理板提高整體性能外，更為關鍵的是將管理、路由轉發(fā)、接口處理等功能分配在不同的部件上，協(xié)同工作，分布式體系可以分散故障風險、隔離故障、提供冗余配置，提高系統(tǒng)的自動恢復能力；如管理部件故障，只需要更換這部分板件，不影響其他功能。關鍵部件冗余：采用分布式體系下，對設備的關鍵部件，如主控管理單元、交換轉發(fā)單元等，進行冗余構造配置，保證系統(tǒng)在工作中不會全部失效。實時熱備份機制：在系統(tǒng)軟件及硬件的支持下，關鍵部件在發(fā)生故障能自動啟動備份系統(tǒng)，而且主備之間的切換要能夠實時熱倒換，即運行中即使發(fā)生設備故障切換也不會對網絡業(yè)務造成影響。熱插拔特性：核心和匯聚層設備的任意單板需要支持熱插拔特性，保證系統(tǒng)出現(xiàn)故障需要維護，或系統(tǒng)需要升級擴展時，不需要停機處理，保證網絡的7×24小時不間斷運行。冗余電源支持：冗余電源負載分擔及備份供電可保障系統(tǒng)具有可靠的能量源。設備和模塊的備份在福建省電子政務外網中，充分考慮網絡設備可能出現(xiàn)的異常情況，核心層、匯聚層、廣域網接入層設備均配置了雙處理引擎和雙交換網板，以及電源的冗余配置，同時還配置了相應的冗余端口。這使得系統(tǒng)具有極高的網絡可靠性，即使個別線路和部件出現(xiàn)問題，系統(tǒng)也能正常運行。

政務外網網絡安全保障體系設計政務外網的安全解決方案，由以下5部分組成：遠程接入安全解決方案邊界安全解決方案內網安全解決方案數據中心安全解決方案全局安全管理解決方案這5部分的安全解決方案銜接在一起構成了一個覆蓋電子政務外網“端到端”信息流程的“全網安全解決方案”，是一個內容全面，可分步實施，可持續(xù)演進的解決方案集，如圖所示：由于電子政務外網平臺，重點是提供一個電子政務信息化的業(yè)務承載平臺，基本上不涉及接入單位的內網安全。因此不對內網安全方案做詳細的描述。以下從遠程接入、邊界安全、數據中心安全、全局安全管理四個方面來描述政務外網的安全保障體系。遠程接入安全為了滿足接入單位出差人員通過互聯(lián)網平臺遠程訪問單位內部資源的需要，電子政務外網平臺需要提供統(tǒng)一的VPN接入服務，并將不同單位的L2TPIPSecVPN跟對應的MPLSVPN相關聯(lián)。在互聯(lián)網出口處專門配置一臺H3CSecPathF1000E做為VPE，提供遠程VPN訪問，并將不同單位的VPN映射到該單位的MPLSVPN中。電子政務網只提供VPN接入，L2TPIPSecVPN的用戶認證，各單位自己部署實施。邊界網絡安全要部署邊界網絡安全方案，需要首先必須明確哪些網絡邊界需要防護，這可以通過安全分區(qū)來確定。定義安全分區(qū)的原則就是首先根據業(yè)務和信息敏感度定義安全資產，其次對安全資產定義安全策略和安全級別，對于安全策略和級別相同的安全資產，就可以認為屬于同一安全區(qū)域。政務外網的邊界網