【導(dǎo)讀】結(jié)合政府部門的實(shí)際應(yīng)用和發(fā)展要求，在進(jìn)行浙江省政府電子政務(wù)網(wǎng)絡(luò)工程系統(tǒng)設(shè)計(jì)時，主要應(yīng)遵循以下系統(tǒng)總體原則：。系統(tǒng)應(yīng)能提供網(wǎng)絡(luò)層的安全手段，防止系統(tǒng)外部成員的非法侵入以及操作人員的越級操作，保證電子政務(wù)的正常使用。本次浙江省政府電子政務(wù)網(wǎng)絡(luò)工程建設(shè)主要是在原有數(shù)據(jù)網(wǎng)絡(luò)基礎(chǔ)上新增及擴(kuò)容設(shè)備，在構(gòu)建浙江省政府電子政務(wù)骨干網(wǎng)絡(luò)平臺同時，實(shí)現(xiàn)省政府各辦公部門的業(yè)務(wù)接入。杭州市內(nèi)省政府各級單位采用三層交換機(jī)或路由器方式接入，通過MSTP傳輸平臺或電信幀中繼網(wǎng)絡(luò)接入省中心核心交換路由器。

　　

【正文】 濾，從而大大增強(qiáng)整個網(wǎng)絡(luò)的安全性。華為Quidway S8500/8000/S6500核心交換機(jī)和Quidway NetEngine 40/20通用交換路由器(第五代路由器)提供MPLS VPN、BAS、NAT、防火墻、入侵檢測、負(fù)載均衡等豐富的安全特性，對于構(gòu)建扁平化IP網(wǎng)絡(luò)，減少網(wǎng)絡(luò)層次，降低網(wǎng)絡(luò)復(fù)雜性，構(gòu)筑業(yè)務(wù)網(wǎng)絡(luò)，滿足全業(yè)務(wù)(數(shù)據(jù)、語音、視頻、專線)傳送起著關(guān)鍵的支撐地位，同時能夠大幅度降低網(wǎng)絡(luò)投資及維護(hù)成本。華為iTellin CAMS安全策略服務(wù)系統(tǒng)與Quidway S系列交換機(jī)、Quidway NetEngine高端路由器、Quidway R系列中低端路由器、Quidway WA系列無線局域網(wǎng)、Quidway MA5200以太網(wǎng)接入服務(wù)器、Quidway Eudemon安全網(wǎng)關(guān)設(shè)備配合，提供端到端的安全體系解決方案與策略實(shí)施服務(wù)，從時間、空間、網(wǎng)絡(luò)層次三個緯度全面保證網(wǎng)絡(luò)安全，提供智能的、集成的、個性化的解決方案，能夠全面滿足運(yùn)營商、政府、行業(yè)及企業(yè)客戶化安全解決方案的需要。為了保護(hù)網(wǎng)絡(luò)建設(shè)的投資和網(wǎng)上應(yīng)用的可靠性，防止未來資源受到損壞，防止網(wǎng)上應(yīng)用受到攻擊產(chǎn)生的直接和間接損失，必須對全網(wǎng)安全有一個全面的安全策略。網(wǎng)絡(luò)的安全包括以下幾個方面：首先是物理網(wǎng)絡(luò)的安全，含網(wǎng)絡(luò)設(shè)備的安全和網(wǎng)絡(luò)結(jié)構(gòu)的安全；第二層是操作系統(tǒng)的安全；第三層為應(yīng)用系統(tǒng)的安全；最高層是信息安全，或稱為數(shù)據(jù)安全。網(wǎng)絡(luò)安全策略全網(wǎng)的安全策略包括網(wǎng)絡(luò)安全策略，節(jié)點(diǎn)安全策略，數(shù)據(jù)安全策略，和持續(xù)安全策略。網(wǎng)絡(luò)安全策略: 主要保證網(wǎng)絡(luò)拓?fù)錂C(jī)構(gòu)的合理性，全網(wǎng)各個節(jié)點(diǎn)之間的連接線路的可用性。節(jié)點(diǎn)安全策略: 主要保證各個節(jié)點(diǎn)內(nèi)的設(shè)備不受攻擊，保證服務(wù)不中斷。數(shù)據(jù)安全策略: 保證系統(tǒng)重要數(shù)據(jù)得到及時有效的備份保護(hù)，并避免受到非法使用者的篡改等。持續(xù)安全策略: 是從發(fā)展的角度，提出如何對系統(tǒng)的安全缺陷及時跟蹤和修正，保證網(wǎng)絡(luò)的長期安全性。網(wǎng)絡(luò)安全措施網(wǎng)絡(luò)安全措施：全網(wǎng)從骨干拓?fù)浣Y(jié)構(gòu)到連接鏈路均應(yīng)考慮路由的備份，采用分層的拓?fù)浣Y(jié)構(gòu)，支持動態(tài)迂回路由。省干節(jié)點(diǎn)設(shè)備和城域網(wǎng)核心節(jié)點(diǎn)設(shè)備可以通過動態(tài)路由協(xié)議保證網(wǎng)絡(luò)可達(dá)，通過流量工程合理規(guī)劃流量、通過快速重路由保證轉(zhuǎn)發(fā)的延續(xù)性。還通過劃分VPN網(wǎng)絡(luò)、VLAN網(wǎng)絡(luò)來保障專業(yè)行業(yè)網(wǎng)絡(luò)的安全性。節(jié)點(diǎn)安全措施：在城域網(wǎng)核心節(jié)點(diǎn)設(shè)備的主控板、交換網(wǎng)板、時鐘板、電源等部件都具有冗余配置能力，線路板支持在線熱插拔而不會丟失數(shù)據(jù)，能夠保證設(shè)備的不間斷運(yùn)行。在核心層設(shè)備方面，為了保障網(wǎng)絡(luò)安全，降低網(wǎng)絡(luò)故障，所有關(guān)鍵部件應(yīng)采用冗余備份設(shè)計(jì)，如：電源模塊N＋1備份，控制和交換板采用1＋1冗余備份。對網(wǎng)絡(luò)設(shè)備采用多級安全密碼體系，限制非法設(shè)備和用戶登錄，在出現(xiàn)軟硬件故障時，可以迅速切換到備用模塊，保障業(yè)務(wù)的不間斷運(yùn)行。數(shù)據(jù)安全措施：關(guān)鍵數(shù)據(jù)采用身份認(rèn)證與授權(quán)，通過訪問權(quán)限限制，加密保存，加密傳輸，同時網(wǎng)絡(luò)和系統(tǒng)中各種重要數(shù)據(jù)進(jìn)行及時有效的備份。持續(xù)安全措施：與用戶共同制定完善的管理規(guī)范，通過良好的手段達(dá)到防微杜漸的目的。為了安全起見，需通過防火墻進(jìn)行隔離，使得網(wǎng)絡(luò)管理系統(tǒng)中的主機(jī)變得更加安全。并且可采用HA高可用技術(shù)來達(dá)到計(jì)費(fèi)系統(tǒng)及用戶數(shù)據(jù)庫系統(tǒng)的應(yīng)用相互的切換及備份。此外，利用數(shù)據(jù)庫服務(wù)器外接的磁帶機(jī)達(dá)到文件系統(tǒng)、數(shù)據(jù)庫、網(wǎng)管信息以及操作系統(tǒng)的備份功能，使網(wǎng)絡(luò)管理系統(tǒng)內(nèi)部的各臺主機(jī)有更高的安全等級。安全管理服務(wù)器進(jìn)行網(wǎng)絡(luò)中安全隱患的查詢以及網(wǎng)絡(luò)中安全漏洞的分析。通過安全檢測軟件對網(wǎng)絡(luò)的運(yùn)行進(jìn)行監(jiān)控，可以實(shí)時檢測網(wǎng)路中出現(xiàn)的一切可疑隱患，從網(wǎng)絡(luò)層、操作系統(tǒng)層、應(yīng)用層等各個層面對網(wǎng)絡(luò)進(jìn)行分析探測。實(shí)時監(jiān)控結(jié)點(diǎn)的入口處，確保網(wǎng)絡(luò)免受黑客攻擊。 訪問控制安全策略 單位內(nèi)部工作人員的安全方案單位內(nèi)部工作人員安全要求：1）能訪問本系統(tǒng)內(nèi)部的服務(wù)器2）能訪問公共系統(tǒng)的服務(wù)器3）能訪問單位內(nèi)部公文、業(yè)務(wù)處理系統(tǒng)的服務(wù)器4）不允許被其他單位用戶訪問單位內(nèi)部工作人員安全實(shí)施方案：單位內(nèi)部工作人員屬于單位的內(nèi)部網(wǎng)網(wǎng)絡(luò)VPN，為實(shí)現(xiàn)上述功能，需要將本系統(tǒng)內(nèi)部的服務(wù)器VPN，公共系統(tǒng)服務(wù)器VPN，電子公文交換系統(tǒng)VPN，業(yè)務(wù)處理系統(tǒng)VPN的路由注入本單位內(nèi)部網(wǎng)絡(luò)VPN中。由于VPN之間的路由表彼此隔離，其他VPN不能訪問本VPN。 系統(tǒng)內(nèi)部服務(wù)器的安全方案系統(tǒng)內(nèi)部服務(wù)器安全要求：1）允許和本系統(tǒng)內(nèi)部其他同一系統(tǒng)單位的服務(wù)器通信2）允許本單位和本系統(tǒng)內(nèi)其他單位的授權(quán)用戶訪問3）不允許其他用戶訪問系統(tǒng)內(nèi)部服務(wù)器安全實(shí)施方案：同一系統(tǒng)內(nèi)部服務(wù)器在同一個VPN中。通過將本單位內(nèi)部網(wǎng)絡(luò)VPN及本系統(tǒng)內(nèi)其他單位內(nèi)部網(wǎng)絡(luò)VPN的路由注入本系統(tǒng)內(nèi)部服務(wù)器VPN。由于VPN之間的路由表彼此隔離，其他非本系統(tǒng)單位的用戶位于其他單位內(nèi)部網(wǎng)絡(luò)的VPN中，因此不能訪問本單位內(nèi)部網(wǎng)絡(luò)VPN。由于VPN之間的路由表彼此隔離，其他VPN不能訪問本VPN。 公共服務(wù)器網(wǎng)段的安全方案公共服務(wù)器網(wǎng)段安全要求：1）允許其他網(wǎng)段訪問本網(wǎng)絡(luò)中的服務(wù)器2）允許本網(wǎng)段訪問其他網(wǎng)段公共服務(wù)器網(wǎng)段安全實(shí)施方案：公共服務(wù)器本身是開放的，因此將公共服務(wù)器VPN的路由與其他所有允許訪問本VPN的用戶所在的VPN的路由互相進(jìn)行分發(fā)。從安全性的角度考慮，我們建議允許公共服務(wù)器網(wǎng)段的訪問其他網(wǎng)段，因?yàn)檫@樣可能導(dǎo)致個別部門的用戶如果攻擊公共服務(wù)器并獲得對該服務(wù)器的控制權(quán)后，可以從該服務(wù)器出發(fā)訪問到其他所有網(wǎng)絡(luò)，潛在的安全風(fēng)險比較大。因此，我們解決辦法是用防火墻來隔離公共服務(wù)器，或用NAT地址轉(zhuǎn)換來實(shí)現(xiàn)。 特殊需求人員安全方案： 特殊需求人員安全要求：1）不允許其他用戶訪問該網(wǎng)段2）允許本網(wǎng)段訪問多個系統(tǒng)的系統(tǒng)服務(wù)器網(wǎng)段和公共服務(wù)器網(wǎng)段3）不允許其它用戶的機(jī)器非法連接到其物理交換端口特殊需求人員安全實(shí)施方案：由于VPN之間的路由表彼此隔離，其他VPN不能訪問本VPN。為該類用戶單獨(dú)分配一個IP子網(wǎng)/VLAN/VPN，將該VPN的路由與其他系統(tǒng)服務(wù)器網(wǎng)段所在的VPN和公共服務(wù)器VPN互相進(jìn)行分發(fā)。我們本次應(yīng)標(biāo)選擇的交換機(jī)均具備端口的MAC地址限制功能，即限制某個端口只允許有某個固定的MAC地址的機(jī)器進(jìn)入網(wǎng)絡(luò)，因此其他用戶即使接到同一個物理端口，也無法正常使用。 統(tǒng)一辦公網(wǎng)絡(luò)安全方案統(tǒng)一辦公網(wǎng)絡(luò)安全要求：有多個機(jī)關(guān)單位在同一個地方辦公（中區(qū)一樓大廳），每個機(jī)關(guān)單位都有一個或多個員工在一起辦公，需要訪問其每個單位系統(tǒng)內(nèi)部的服務(wù)器。統(tǒng)一辦公網(wǎng)絡(luò)實(shí)施方案：在中區(qū)一樓大廳中辦公的每個不同單位的員工分配不同的IP子網(wǎng)/VLAN，并分別加入其單位內(nèi)部網(wǎng)絡(luò)VPN中，由于單位內(nèi)部網(wǎng)絡(luò)VPN是允許訪問系統(tǒng)內(nèi)部的服務(wù)器的，因此可以實(shí)現(xiàn)安全要求。 臨時訪問單位內(nèi)部網(wǎng)的安全方案：臨時訪問單位內(nèi)部網(wǎng)的安全要求：在辦公網(wǎng)內(nèi)其他部門辦事，臨時需要訪問本單位內(nèi)部網(wǎng)絡(luò)或服務(wù)器網(wǎng)段。臨時訪問單位內(nèi)部網(wǎng)的實(shí)施方案：由于所有單位都能夠訪問系統(tǒng)的公共服務(wù)器VPN，每個單位使用一個公共的IP地址加入公共服務(wù)器的VPN中，需要提供此功能的單位需要提供一臺有兩塊網(wǎng)卡的服務(wù)器，一塊網(wǎng)卡在公共服務(wù)器VPN中，根據(jù)不同單位安全性的要求，另一塊網(wǎng)卡在單位內(nèi)部網(wǎng)絡(luò)VPN或系統(tǒng)內(nèi)部服務(wù)器VPN中，在服務(wù)器上運(yùn)行Pptp/IPsec服務(wù)器，當(dāng)用戶在辦公網(wǎng)中其他部門辦事的時候，可以通過Pptp/IPsec撥號到該服務(wù)器上，并通過該服務(wù)器訪問本部門內(nèi)部網(wǎng)絡(luò)或服務(wù)器網(wǎng)段。該服務(wù)器由各單位自己負(fù)責(zé)維護(hù)，管理不同用戶的密碼及訪問權(quán)限控制，對安全要求比較高的用戶，通過以上方案可實(shí)現(xiàn)安全要求。 同一單位，分布在不同地方的應(yīng)用安全方案同一單位，分布在不同地方的應(yīng)用安全要求：同一單位，辦公地點(diǎn)不在同一個地理位置，需要互相訪問。同一單位，分布在不同地方的應(yīng)用安全實(shí)施方案：將不同辦公地方的IP子網(wǎng)/VLAN都劃入單位內(nèi)部網(wǎng)絡(luò) VPN，可實(shí)現(xiàn)安全需求。 各單位特殊人員安全訪問方案各單位特殊人員安全訪問安全要求：每個單位有一至幾個人員,他們可以訪問同時幾個系統(tǒng)內(nèi)部服務(wù)器,別人無法訪問他們,且除他們之外其他用戶無權(quán)限同時訪問幾個系統(tǒng)內(nèi)部服務(wù)器。各單位特殊人員安全訪問實(shí)施方案：每個單位的這些特殊人員如果想訪問非本系統(tǒng)的服務(wù)器，可以通過PPTP/IPsec撥號到相應(yīng)服務(wù)器所屬單位的訪問服務(wù)器上（該服務(wù)器有一個以太網(wǎng)端口在公共服務(wù)器VPN中，是可以訪問的），在經(jīng)過用戶名/密碼認(rèn)證和授權(quán)后訪問相關(guān)資源，其他未經(jīng)授權(quán)的用戶無法訪問相關(guān)資源。為了限制其他人同時訪問他們，可以將這幾個特殊用戶單獨(dú)劃在一個VPN中。上述實(shí)現(xiàn)方式可以實(shí)現(xiàn)安全要求。6 VPN設(shè)計(jì)在浙江省政務(wù)信息化建設(shè)中，浙江省不同的政府部門內(nèi)部業(yè)務(wù)承載在同一張物理網(wǎng)絡(luò)之上，出于相互信任以及信息資源充分共享的考慮，各政府部門之間不做嚴(yán)格隔離，只在省中心核心路由器上對不同政府部門之間的互訪做ACL限制。特定情況下可能存在為一些業(yè)務(wù)系統(tǒng)（如VoIP/視訊等）以及一些政府部門之間共享資源建立虛擬專用通道需求，這時需要考慮VPN設(shè)計(jì)。MPLS VPN在安全性、對業(yè)務(wù)承載、網(wǎng)絡(luò)Qos保障等方面MPLS VPN都有很多優(yōu)點(diǎn)，目前已經(jīng)成為IP VPN的主流技術(shù)。MPLS VPN必須依賴高性能的PE設(shè)備，對城域網(wǎng)內(nèi)設(shè)備也提出了較高要求。由于一般路由交換機(jī)并不支持MPLS轉(zhuǎn)發(fā)，而本期工程在省中心只配置了一臺核心路由器GSR，如果這臺GSR既充當(dāng)IP轉(zhuǎn)發(fā)核心路由器，又充當(dāng)MPLS VPN P及PE，性能必然受到一定影響，因此建議增加額外PE設(shè)備分擔(dān)省核心路由器處理壓力，而這又增加了額外設(shè)備成本。由于目前VPN業(yè)務(wù)需求尚不明顯，因此建議本期工程先不采用MPLS VPN技術(shù)。一些部門之間的少量VPN需求可以考慮以下一些技術(shù)實(shí)現(xiàn)：VLAN+ACL方式需要共享訪問的設(shè)備劃分在政務(wù)網(wǎng)特定VLAN內(nèi)（統(tǒng)一規(guī)劃），透傳到省中心核心層路由器，核心層路由器通過ACL實(shí)現(xiàn)特定VLAN之間的用戶訪問，同時限制其他用戶對這些VLAN的訪問。VLAN+ACL技術(shù)對于設(shè)備要求不高，一般交換機(jī)既可支持.L2TP/IPSEC隧道方式目前各政府部門在出口基本都有自己的防火墻/路由器設(shè)備，因此可以考慮在這些設(shè)備之間通過L2TP/IPSEC隧道方式建立IP Tunnel VPN。IPSEC隧道相對L2TP隧道有更高安全性，但對設(shè)備也有更高要求。IP TUNNEL VPN主要依賴各政府部門原有設(shè)備實(shí)現(xiàn)，對核心層/承載層沒有特殊要求。今后隨著浙江電子政務(wù)網(wǎng)業(yè)務(wù)發(fā)展，如果VPN業(yè)務(wù)需求逐漸增加（比如需要開視訊或者VoIP的業(yè)務(wù)專網(wǎng)），這時就可以考慮規(guī)模開展MPLS VPN業(yè)務(wù)?？梢詫⑹≈行暮诵墓?jié)點(diǎn)作為MPLS VPN P設(shè)備，各地市核心節(jié)點(diǎn)作為MPLS VPN PE，同時在省中心增加額外的MPLS VPN PE設(shè)備（如華為NE40或S8016）,滿足大規(guī)模VPN業(yè)務(wù)開展需求。本次工程配置華為NE80/40均支持高性能的MPLS VPN PE功能（業(yè)界最優(yōu)），同時也支持VLAN VPN/L2TP VPN/IPSEC VPN等其他VPN技術(shù)。7 網(wǎng)絡(luò)管理本期工程配置一套華為公司網(wǎng)管系統(tǒng)iManager Quidview。華為公司Quidview網(wǎng)管軟件能對全網(wǎng)的寬帶設(shè)備統(tǒng)一維護(hù)管理，減低維護(hù)成本，優(yōu)化網(wǎng)絡(luò)的運(yùn)維模型和理順運(yùn)維流程，明確各個不同角色在網(wǎng)絡(luò)管理中的角色，我們建議采用帶內(nèi)網(wǎng)管方式。在區(qū)中心機(jī)房各設(shè)立一臺網(wǎng)管服務(wù)器，分別對龍崗政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)提供全網(wǎng)管理。 網(wǎng)絡(luò)管理平臺設(shè)計(jì)按照標(biāo)書要求，華為Quidview網(wǎng)絡(luò)管理平臺能實(shí)現(xiàn)網(wǎng)絡(luò)的性能管理，故障管理，配置管理，安全管理和計(jì)費(fèi)管理等基本管理功能及其它功能。Quidview具有強(qiáng)大的管理功能，為用戶提供路由器設(shè)備管理、交換機(jī)設(shè)備管理、集群管理、堆疊管理、視頻設(shè)備管理、設(shè)備日志與告警和RMON等功能，同時還提供了EasyConfig、NSCamp。NDA以及Traffic View等工具組件，其目標(biāo)是要成為一個更穩(wěn)定、更完善的華為公司數(shù)據(jù)通信產(chǎn)品的通用網(wǎng)管平臺。Quidview網(wǎng)管功能:Quidview是華為公司自主開發(fā)的針對數(shù)據(jù)通信設(shè)備如路由器、交換機(jī)、接入服務(wù)器、視頻設(shè)備等進(jìn)行統(tǒng)一管理和維護(hù)的網(wǎng)管產(chǎn)品，位于網(wǎng)絡(luò)解決方案的管理層次，能夠?qū)崿F(xiàn)網(wǎng)元管理和網(wǎng)絡(luò)管理的功能。它和華為公司的數(shù)據(jù)通信設(shè)備產(chǎn)品一起提供全網(wǎng)解決方案，對數(shù)據(jù)通信設(shè)備的維護(hù)和網(wǎng)絡(luò)管理提供支持，并能夠提供對電信網(wǎng)OSS運(yùn)營系統(tǒng)的支撐和接口。作為網(wǎng)管整體解決方案之一，Quidview為用戶提供了靈活的組件化結(jié)構(gòu)：系統(tǒng)在兼容Quidview以前版本全部功能的基礎(chǔ)上，增加了對交換機(jī)設(shè)備管理、集群管理、堆疊管理、視頻設(shè)備和RMON的支持，并包含EasyConfig、NSCamp。NDA以及Traffic View等工具組件。系統(tǒng)使用的網(wǎng)絡(luò)管理協(xié)議是通用的標(biāo)準(zhǔn)網(wǎng)管協(xié)議——簡單網(wǎng)絡(luò)管理協(xié)議（SNMP），同時支持V1和V3版本，兼容SNMP V2c。如下圖所示，Quidview支持Windows NT/2000、SUN Solaris、HP UX、IBM AIX等多種操作系統(tǒng)平臺，以適應(yīng)不同級別用戶、不同網(wǎng)絡(luò)規(guī)模。支持與多種網(wǎng)管平臺集成，如HP OpenView、IBM NetView、WhatsUpGold、SNMPc以及iManager N2000 V200 EMF等，以提供統(tǒng)一的網(wǎng)絡(luò)管理解決方案。例如，Quidview能夠與Cisco網(wǎng)管系統(tǒng)一起集成到Openview等網(wǎng)管平臺中，共同管理華為公司與Cisco公司的網(wǎng)絡(luò)設(shè)備。Quidview支持多種操作系統(tǒng)和網(wǎng)管平臺示意圖Quidview網(wǎng)管系統(tǒng)可以幫助用戶實(shí)現(xiàn)如下目標(biāo)：1. 提高網(wǎng)絡(luò)運(yùn)行的可靠性；2. 保障網(wǎng)絡(luò)運(yùn)營的服務(wù)質(zhì)量；3. 合理規(guī)劃和調(diào)配網(wǎng)絡(luò)資源；4. 預(yù)測和檢測網(wǎng)絡(luò)故障；5. 集中式管理分布廣泛的網(wǎng)絡(luò)節(jié)點(diǎn)；6. 設(shè)備性能統(tǒng)計(jì)和分析；7. 網(wǎng)絡(luò)流量統(tǒng)計(jì)和計(jì)費(fèi)。 完善的對用戶接入管理用戶管理指對用戶的權(quán)限管理，不同的用戶具有不同的操作權(quán)限。在Quidview中，用戶分為兩種：超級用戶和普通用戶。各種用戶的權(quán)限定義如下：