铜陵电子政务外网建设方案.docx
《铜陵电子政务外网建设方案.docx》由会员分享,可在线阅读,更多相关《铜陵电子政务外网建设方案.docx(36页珍藏版)》请在冰豆网上搜索。
铜陵电子政务外网建设方案
铜陵市电子政务外网
项
目
建
议
书
铜陵市经济信息中心
二〇二二年四月
第一章.
建设背景
第二章.
根据《国家信息化领导小组关于我国电子政务建设的指导意见》(中办发〔2002〕17号)和《国家信息化领导小组关于推进国家电子政务网络建设的意见》(中办发〔2006〕18号)的要求,电子政务建设的主要任务之一就是建设和整合统一的电子政务网络。
国家电子政务外网是18号文件中明确要求建设的政务外网,目前国家电子政务外网已经完成中央城域网和覆盖全国31个省、自治区、直辖市和新疆生产建设兵团的中央广域骨干网建设。
为进一步加快国家政务外网建设,维护国家政务外网的统一、完整和有效运营,推动各级政务部门利用政务外网开展各类业务应用,充分发挥国家电子政务公共设施的作用和效能,2009年4月国家发展改革委、财政部发布《关于加快推进国家电子政务外网建设工作的通知》(发改高技〔2009〕988号),要求“力争到2010年底前,基本建成从中央到地方统一的国家政务外网,横向要连接各级党委、人大、政府、法院、检察院等各级政务部门,纵向要覆盖中央、省、地(市)、县,满足各级政务部门社会管理和公共服务的需要。
”“按照国家政务外网统一规划,建立网络安全防护体系和统一的网络信任体系。
”
2009年5月安徽省发改委、财政厅为进一步落实国家发改委、财政部关于推进国家政务外网建设的988号文件,要求确保在2010年底前,基本建成纵向连接省、市、县三级外网建设单位,横向连接各级党委、人大、政府、法院、检察院等政务部门的全省政务外网(发改高技〔2009〕396号)。
铜陵市电子政务外网建设是铜陵市认真贯彻落实中办发〔2006〕18号《国家信息化领导小组关于推进国家电子政务网络建设的意见》的重要举措,是今年全市信息化建设的重点和突破口。
建设电子政务外网,形成覆盖全市各级党政机关,部分企事业单位,连接省、市、县、区的信息高速公路。
利用专网,为各级各部门开展各种业务系统应用,为各级领导科学决策以及各部门业务的开展提供及时准确的信息支持。
对从根本上解决了现有政府部门计算机网络各自为政、重复建设等问题,实现网络互联互通,信息共享,适应当前电子政务发展和安全保密的需要有极其重要的意义。
建设目标
第三章.
根据国家两部委988号文件要求“2010年底,将国家政务外网建成横向到边,纵向到底”的要求,在国家和安徽省电子政务外网的总体规划下,结合我市实际情况,整合现有网络资源,建设安徽省政务外网,使之具备网络传输、综合应用支撑、管理服务和安全保障等功能,网络覆盖省内所有政务部门,整体接入国家电子政务外网,承载国家部委行业的重点应用系统向市、县级延伸,为政府部门开展公共应用系统、电子政务外网、面向社会公众服务系统等电子政务业务系统提供技术支撑基础,具备可靠、高效的全省政务外网安全保障体系和运维服务体系。
电子政务基础网络建设的目标是用统一的标准、统一的平台,促进各个业务系统的互联互通、资源共享。
构建覆盖全市的电子政务外网平台,连通市政府机关与各直属单位内部网络,并可上联至省网络中心节点;整合各部门各单位已建设的局域网络资源,按照统一规范,建成通畅的电子政务外网平台。
利用五年左右时间,把电子政务外网建设成为符合国家电子政务标准,连接铜陵地区各级党政机关、部分企事业单位的网络基础平台和宽带城域网。
满足党政机关开展电子政务业务;建立更加快捷的政府和群众联系的桥梁;提高行政办公效率和为民服务的水平;促进政府与企业、公众的网上互动交流;推动铜陵地区国民经济和社会信息化发展。
建设原则
第四章.
铜陵市电子政务外网作为全市党政机构网络,有其特殊性,因此网络设计不能与其他网络等同,总体建设原则:
“统一规划、统一管理、联合建设、互联互通、资源共享”。
依据总体原则,专网需要满足以下几个方面的要求:
1、统一规划,分级负责。
按照国家政务外网的统一规划和标准规范,统一技术路线,统一标准规范,分级负责做好本级政务外网的建设和运行维护工作。
按照分级投资建设的原则,安徽省经济信息中心主要负责全省广域骨干网、省直政务外网城域网的建设,以及对市、县政务外网的建设进行规划指导和协同运维。
市县节点管理单位负责本级政务外网建设和管理。
在符合国家标准,避免重复建设的前提下,保持网络的独立性,以符合电子政务外网的行业应用性质。
系统应具有较高的可靠性和可用性,保证业务系统的正常运行。
网络设备及设计应具备在线故障恢复能力,关键设备、线路能做到实时备份和自动故障切换。
在网络系统内的硬件、网络等部分出现问题时仍能保证系统的正常运行。
网络系统应具有强大的容错功能以确保政务网上各种应用的正常运行。
2、整合资源、信息共享。
政务外网建设必须充分利用已有的网络基础、业务系统和信息资源,按照国家的统一标准规范加强整合,促进互联互通和信息共享,使有限的资源发挥最大效益。
完全从目前政府各系统的应用需求出发,设计既能够满足目前的应用需求又能面向未来的应用需求升级的网络系统方案,同时又要保证提供服务时的经济性。
3、统一标准、保障安全。
政务外网建设必须在国家外网统一标准的指导下开展,相关技术、标准、协议和接口必须遵循国家的有关规定,保证系统的标准性、规范性和安全可靠运行。
提供多种有效的安全控制机制,以免机密泄露或影响正常的工作。
网络平台必须同时提供对外的访问控制和内部网络各个部门之间的访问控制。
网络系统应能够提供一套完整的安全防范措施,防止由于操作人员的误操作以及系统中的某些故障而造成的数据被破坏或系统的误动作。
网络系统应能够有效地防止系统外部人员的非法侵入以及操作人员的越级操作,以确保整个网络系统的安全性,并且这种安全性不应以牺牲系统性能作为代价。
整个网络系统能进行有效的控制和管理,可维护性强,操作简单,易学易用,在设备状态、安全性、数据流量等方面得到很好的监视和控制,并可以进行远程管理和故障诊断。
4、纵向到底,横向到边。
确保政务外网纵向覆盖省、市、县三级,横向覆盖同级所有政务部门。
采取灵活的组网方式,将原有资源进行整合利用,使已有网络平滑地纳入新建网络中,可提供接口,使已建的机关单位局域网可方便地接入铜陵市电子政务外网。
5、突出应用,强化服务。
立足我省实际,结合政府职能转变和管理体制改革,紧扣政府业务和社会公众的需求,突出应用,务求实效。
网络系统应该是能支持多协议、多厂商,具有开放的平台特性。
网络体系结构与系统应用各自独立,与服务器、工作站的操作模式无关,支持各种通讯协议,各种数据库和客户机/服务器应用,与现有的LAN、MAN和WAN网络系统无缝地集成。
在使用新技术的同时考虑技术的国际标准化,不采用国际标准尚未出台的新技术,也不采用偏移国际国内标准的技术,严格按照国际国内相关标准设计并施工,以避免对以后网络升级所造成的风险。
同时在安全的基础上,充分考虑并能够实现与上下级电子政务网络、互联网以及公用信息平台的互联互通。
应用的不断发展要求网络的建设具备很好的可扩展性,包括性能、协议、网络拓扑及各种业务等。
能充分满足将来用户快速增长的需求;能够根据信息流量的变化,扩展带宽和设备,能够覆盖全市及三县,延伸到街道社区和乡镇,也易于实现向更新技术的升级和衔接。
6、经济性和实用性。
建设原则都以实际需求为出发点,以满足网络应用需求和适应一定时间内的发展规划为原则。
网络主干要求采用高带宽的网络技术,以满足政府各单位日益增长的业务量的需求,这些需求不但包括大量的数据业务量,同时也包括音频和视频等高带宽低延时的业务需求。
同时系统的性能应与是否加载了QOS策略、安全策略无关的。
考虑数据、视频、语音等多媒体实时通讯的要求,提供充足的高带宽和可保证的服务质量(QOS),在网络的结构设计、系统配置等方面,采用先进、成熟的符合相关业界标准的技术,特别是在IP技术选择上,至少能保持3—5年的领先。
基础网络要能保证兼容多家运行商运营商、厂商的接入设备。
建设内容
第五章.
铜陵市电子政务外网的建设内容主要包括:
1、网络传输平台
2、运维服务体系
3、安全保障体系
1.
2.
3.
4.
网络传输平台
4.1
建设纵向上联通省电子政务外网,向下覆盖县级政务外网,横向联通同级党委、人大、政府、政协、法院、检察院等所有政务部门的网络传输平台,实现全市各级政务部门专用高速通道互联与互联网逻辑隔离。
主要由全市政务外网广域骨干网、全市政务外网城域网、各县政务外网和网管中心组成。
1)全市政务外网广域骨干网:
构建市、县二级政务外网广域骨干网,实现市与县的互联互通。
2)全市政务外网城域网:
在原有市直城域光纤网的基础上,完善建成市直政务外网城域网,实现市直各部门政务外网网络的高速互联。
3)各县政务外网:
按照国家统一标准规范,由各县建设本级政务外网,实现同级政务部门的网络覆盖。
4)网管中心:
负责建设本市市级接入网网管中心(二级网管)和1个县级接入网网管中心(三级网管),负责网络日常的运行维护和管理。
运维服务体系
4.2
按照国家电子政务外网的统一规划和建设主管部门的统一部署,建设覆盖市、县四级的统一外网运维服务体系,按照“统一规划,分级负责”的原则,市经济信息中心负责本级政务外网建设和骨干网维护管理。
政务外网运维工作的根本目标是要保障政务外网上承载的业务应用在各级政务外网上畅通、高效、安全、稳定运行。
市政务外网运维服务体系的主要建设内容包括运维组织体系建设、运维管理和运维队伍建设。
安全保障体系
4.3
按照国家外网统一安全规划,构建市政务外网安全保障体系,主要有四部分内容。
一是制订政务外网的安全策略和管理制度,合理划分安全域,实施安全等级保护。
二是建设安全防护体系,确保外网与互联网的有效逻辑隔离和正常运行。
三是建设市级LRA,建立全市统一的政务外网安全信任体系。
四是建设安全管理体系,对全市政务外网的网络系统、安全设备、重要应用系统实施统一管理、统一监控、统一审计、协同防护。
网络实施方案
第六章.
5.
总体架构
5.1
●市政务外网主要包括广域骨干网、市、县(区)两级政务城域网组成。
●
●
●市政务外网通过裸光纤连接全市1个县级节点,基本形成市、县两级电子政务外网广域骨干网。
●
●市、县两级电子政务外网分别通过ISP接入互联网。
●
网络业务模型
5.2
根据国家政务外网所承载的业务和系统服务的类型不同,在逻辑上,铜陵市政务外网接入划分为公用网络区、专用网络区和互联网接入区三个功能域,分别提供政务外网互联互通业务,专用VPN业务和互联网业务。
市政务外网网络业务模型如下图:
图5-2铜陵市政务外网网络业务模型图
1.公用网络区:
即采用国家和省政务外网注册地址的网络区域,是电子政务外网的主干道,实现市内各部门、各地区互联互通,为跨地区、跨部门的业务应用提供支撑平台;国家政务外网公用网络区仅路由国家政务外网注册地址。
我市共使用12个C类地址(6C主用、6C备用),即59.203.199.0/24~59.203.210.0/24。
县地址段为59.209.100.0/24-59.209.101.0/24。
对于政务部门办公协同的业务系统部署在公共网络区。
2.专用网络区:
是依托安徽省政务外网基础设施,开辟地为有特定需求的部门或业务设置的VPN网络区域,主要满足部门纵向业务的需要,实现不同部门之间的业务隔离,用于满足部门特殊需求。
该区域主要采用私有地址,在骨干网上采取标签进行数据传输。
对于行业纵向业务系统采用MPLS-VPN方式部署在专用网络区。
3.互联网接入区:
是各级政务部门通过逻辑隔离手段安全接入互联网的网络区域,满足各级政务部门利用互联网的需要。
在互联网接入区,要求采取综合的安全防护措施,对互联网接入提供安全防护。
按照国家统一的安全策略,分级接入互联网,提供互联网业务服务。
各县(区)政务外网自行出口,采取NAT技术,通过静态路由连接本地互联网。
原则上,政务外网骨干网不提供互联网业务路由。
对于电子政务中对公众服务的业务系统部署在互联网接入区。
我市政务外网构建省、市、县互联网安全接入平台,建立VPN网关,通过数字证书认证和密码技术,实现各级政务部门移动办公的公务人员利用互联网通道,安全接入国家政务外网,访问指定的业务应用系统和政务外网门户。
铜陵市政务外网网络拓扑总体设计
5.3
铜陵市政务外网城域网主备S9303通过2个1000M与省广域骨干网市级核心路由器SR6608互连,之间不运行任何动态路由协议,通过静态路由相互发布信息,互不泄露对方的路由信息。
SR6608通过BGP只发布市分配到的国家外网地址段,不发布市网私有地址路由信息。
通过路由控制,市政务外网用户访问互联网资源时仍使用本地运行商出口,访问国家外网59地址段时使用省政务外网广域骨干网线路。
图5-3铜陵市政务外网网络铜陵城域网拓扑结构图
铜陵市城域网SR6608和两台三层核心交换机S9300通过接入路由器连接省、市政务外网骨干网。
设备选型参照安徽省电子政务外网建设组网设备参数要求。
市政务外网网络采用层次化设计,分为骨干层、分布层和接入层。
骨干层负责整个网络的数据交换,设在市信息化工作办公室机房,核心节点设主备双路由器、主备双核心交换机,通过裸光纤与市政务外网核心交换设备相连,通过光纤与汇聚交换机相连或与区直部门直连。
县级单位网络的核心层直接与市城域网核心交换光纤相连。
汇聚层负责整个网络的数据汇聚,要求汇聚层设备支持MPLS/VPN协议。
接入层负责大量用户端口的接入,本次项目中,市、县级网络中心主要通过具备3层路由功能的交换机完成用户接入,负责与同级部、委、局、办外网用户的接入。
部门网络中心自行配置高性能交换机,实现与县政务外网的连接。
路由总体设计
5.4
根据国家和省政务外网的设计原则,我市政务外网主要使用的路由协议为域内路由协议(IGP)。
市政务外网路由器的管理地址和市政务外网内部地址的路由由IGP承载;互联网路由由BGP承载。
市、县电子政务外网总体为双出口结构,市、区电子政务外网统一互联网出口。
通过路由控制,市政务外网用户访问互联网资源时仍使用本地ISP出口,访问国家外网59地址段时使用省政务外网广域骨干网线路。
图5-9省政务外网路由总体示意图
IP地址规划
5.5
铜陵市电子政务外网将全网采用国家电子政务外网IP地址段部署。
目前,国家电子政务外网统一采用国家信息中心从中国运行商申请的公网地址段,已申请的地址段59.192.0.0--59.255.255.255(/10))作为全网通信用地址,其中铜陵分配的地址段为59.203.199.0/24—59.203.210.0/24共12个C类地址。
具体分配细则如下:
59.203.199.0/24,市网设备管理地址和互联地址。
59.203.200.0/24-202.0/24:
3个C作为各单位接入地址预留。
59.203.203.0/24:
共1个C类地址作为市局业务地址段NAT地址池。
59.203.204.0/24:
作为市局业务地址段的备份地址。
59.203.205.0/24—59.203.210.0/24:
保留6个C类地址作为扩容地址(例如增加的行政单位接入)。
域名规划与管理
5.6
1、省政务外网省网及市网分别采用独立的三级域名系统,域名由根域和若干个子域名用“.”连接而成,采用作为省网根域名。
2、省政务外网中已建省级或市县级网络的,可以暂时采用现有域名,然后逐步过渡到统一的域名规范中。
3、各级网络的子域名由英文字母(大小写等价)、数字(0—9)和连接符(-)组合而成。
4、域名的范围应以4-5段为主,原则上不超过5段。
如:
“主机名”或“主机名”。
5、省政务外网管理中心负责统一规划命名本省内所有三级根域名,由国家政务外网管理中心统一解析。
省及各市县网络的三级根域名分别由对应的外网管理中心负责管理,即省政务外网管理中心对根域进行管理,各市、县政务外网管理中心分别对本地的根域进行管理,所有单位的四级域名及四级DNS均向对应的政务外网管理中心或域进行注册。
6、市各级政务部门用户接入网也可建设本部门的四级子域()。
7、原则上各单位向本属地的外网管理中心注册域名(aaa.ahXX)。
移动用户VPN接入设计
5.7
按照国家电子政务外网的统一规划,电子政务外网移动用户的接入,主要是通过VPN隧道技术和CA认证的方式实现用户的接入访问。
虚拟专用网络VPN主要解决局域网和广域网线路的数据传输加密保护,通过在网络中采用VPN系统,可以提供加密、认证等网络安全防护措施,从而构建可控的安全虚拟专网。
铜陵政务外网主要采用IPSec+国家政务外网CA证书方式。
图5-10政务外网移动用户VPN接入示意图
通过在铜陵政务外网边界统一部署两台E1000作为VPN网关,为各级政务外网移动用户提供VPN接入。
移动用户通过互联网与外网VPN网关建立通讯,VPN网关通过身份验证后建立加密VPN隧道。
隧道建立成功后,用户就得到一个由VPN网关分配的政府内部IP地址,完成用户对政府外网内部站点的访问。
这种接入方式需要客户端软件的支持。
身份验证采用国家政务外网CA证书认证方式,在需要进行移动办公的用户主机上安装VPN客户端软件,并给这些用户发放已经配置好的USBKey存储设备。
省政务外网部署RA服务器,提供证书服务。
用户可以通过广域网、ADSL或拨号接入政务外网。
提供Site-to-Site和Client-to-Site的IPsecVPN连接。
中心节点可以根据证书属性制定策略,限制访问权限。
MPLSVPN设计
5.8
省政务外网划分为专用网络区、公用网络区和互联网接入区三个功能域,相互之间安全隔离。
其中专用网络区是为有特定需求部门的业务设置的网络区域,实现不同部门或不同业务之间的相互隔离,主要应用于部委行业的纵向业务系统。
按照国家政务外网统一规划和设计原则,省政务外网采用MPLS(MultiprotocolLabelSwitching:
多协议标签交换)技术进行专用网络区的安全隔离。
1.MPLSVPN网络基本设计
纵向VPN是指行业系统内部(例如国土、林业、环保等)从国家到省和市及县的虚拟专网。
纵向VPN的CE、PE、P设备的分布如下(如图所示):
图5-11省政务外网MPLSVPN拓扑图
2、MPLSVPN路由策略设计
1)全网部署3层BGP/MPLSVPN,负责纵向行业网之间的互联。
2)省政务外网核心设备出口同国家骨干网之间采用MP-EBGP方式进行跨域,完成各纵向网同国家部委的互通。
3)省政务外网两台核心高端路由器配置为RR(路由反射器),负责PE之间的IBGPpeer的建立,解决组网带来的fullmesh问题。
3、市县MPLS-VPN部署模式
为满足国家部委业务系统在市、县的部署,需要将政务外网骨干设备在国家电子政务外网MPLS-VPN统一规划下,统一部署,实现国家部委业务系统在本级政务外网的开通运行。
省经济信息中心对各市、县建设管理单位开通MPLS-VPN提供指导。
省、市、县级政务外网技术线路原则上采用MPLS-VPN+MCE方式,要求各级政务外网在国家统一规划下开通MPLS-VPN。
关键业务QoS保障
5.9
安徽省电子政务外网是一个以IP为传输平台的网络,在这个网络上,将承载国家部委行业的重点应用系统向省、市、县级延伸的多种业务、多种应用,这些业务对可靠性、时延、时延抖动等服务质量有不同需求。
为了保证关键业务的应用,需要在网络中实施QoS技术以保证关键业务在网络上传输的带宽和时延。
QoS策略业务划分入下表:
业务类型
业务优先级
IPv4配置标记
QoS保证类型
说明
网络管理业务
7
EF
绝对保证
对其流量进行绝对保护,即在发生拥塞时仍然尽量保证其流量
应急业务
6
流媒体业务
5
语音、信令等
5
集中式数据汇报
4
AF
普通保证
对一定范围内的流量进行绝对保护,在网络拥塞时,超出额定范围的流量将被丢弃
VPN业务
1,2,3,4
一般网络应用
0
BE
无保证
当网络拥塞时将被丢弃
电子政务外网外网网络中将主要实现对不同数据流的分类和标记,其他QoS技术将主要应用于广域网,采用如下方式:
⏹对于普通业务不限制接入的流量,对于业务也不进行保证,采用尽力转发策略。
对于高优先级业务接入限制流量(限制为2M或着4M之类,这个流量不宜过高),对于高优先级业务确保转发。
⏹
⏹在各功能区的接入层,可以根据不同Input端口、MAC地址、源/目的IP地址、IP协议或应用端口号,对不同应用数据流进行分类,并采用DSCP对数据包进
升级会员 