【導讀】結合政府部門的實際應用和發(fā)展要求，在進行浙江省政府電子政務網絡工程系統設計時，主要應遵循以下系統總體原則：。系統應能提供網絡層的安全手段，防止系統外部成員的非法侵入以及操作人員的越級操作，保證電子政務的正常使用。本次浙江省政府電子政務網絡工程建設主要是在原有數據網絡基礎上新增及擴容設備，在構建浙江省政府電子政務骨干網絡平臺同時，實現省政府各辦公部門的業(yè)務接入。杭州市內省政府各級單位采用三層交換機或路由器方式接入，通過MSTP傳輸平臺或電信幀中繼網絡接入省中心核心交換路由器。

　　

【正文】 濾，從而大大增強整個網絡的安全性。華為Quidway S8500/8000/S6500核心交換機和Quidway NetEngine 40/20通用交換路由器(第五代路由器)提供MPLS VPN、BAS、NAT、防火墻、入侵檢測、負載均衡等豐富的安全特性，對于構建扁平化IP網絡，減少網絡層次，降低網絡復雜性，構筑業(yè)務網絡，滿足全業(yè)務(數據、語音、視頻、專線)傳送起著關鍵的支撐地位，同時能夠大幅度降低網絡投資及維護成本。華為iTellin CAMS安全策略服務系統與Quidway S系列交換機、Quidway NetEngine高端路由器、Quidway R系列中低端路由器、Quidway WA系列無線局域網、Quidway MA5200以太網接入服務器、Quidway Eudemon安全網關設備配合，提供端到端的安全體系解決方案與策略實施服務，從時間、空間、網絡層次三個緯度全面保證網絡安全，提供智能的、集成的、個性化的解決方案，能夠全面滿足運營商、政府、行業(yè)及企業(yè)客戶化安全解決方案的需要。為了保護網絡建設的投資和網上應用的可靠性，防止未來資源受到損壞，防止網上應用受到攻擊產生的直接和間接損失，必須對全網安全有一個全面的安全策略。網絡的安全包括以下幾個方面：首先是物理網絡的安全，含網絡設備的安全和網絡結構的安全；第二層是操作系統的安全；第三層為應用系統的安全；最高層是信息安全，或稱為數據安全。網絡安全策略全網的安全策略包括網絡安全策略，節(jié)點安全策略，數據安全策略，和持續(xù)安全策略。網絡安全策略: 主要保證網絡拓撲機構的合理性，全網各個節(jié)點之間的連接線路的可用性。節(jié)點安全策略: 主要保證各個節(jié)點內的設備不受攻擊，保證服務不中斷。數據安全策略: 保證系統重要數據得到及時有效的備份保護，并避免受到非法使用者的篡改等。持續(xù)安全策略: 是從發(fā)展的角度，提出如何對系統的安全缺陷及時跟蹤和修正，保證網絡的長期安全性。網絡安全措施網絡安全措施：全網從骨干拓撲結構到連接鏈路均應考慮路由的備份，采用分層的拓撲結構，支持動態(tài)迂回路由。省干節(jié)點設備和城域網核心節(jié)點設備可以通過動態(tài)路由協議保證網絡可達，通過流量工程合理規(guī)劃流量、通過快速重路由保證轉發(fā)的延續(xù)性。還通過劃分VPN網絡、VLAN網絡來保障專業(yè)行業(yè)網絡的安全性。節(jié)點安全措施：在城域網核心節(jié)點設備的主控板、交換網板、時鐘板、電源等部件都具有冗余配置能力，線路板支持在線熱插拔而不會丟失數據，能夠保證設備的不間斷運行。在核心層設備方面，為了保障網絡安全，降低網絡故障，所有關鍵部件應采用冗余備份設計，如：電源模塊N＋1備份，控制和交換板采用1＋1冗余備份。對網絡設備采用多級安全密碼體系，限制非法設備和用戶登錄，在出現軟硬件故障時，可以迅速切換到備用模塊，保障業(yè)務的不間斷運行。數據安全措施：關鍵數據采用身份認證與授權，通過訪問權限限制，加密保存，加密傳輸，同時網絡和系統中各種重要數據進行及時有效的備份。持續(xù)安全措施：與用戶共同制定完善的管理規(guī)范，通過良好的手段達到防微杜漸的目的。為了安全起見，需通過防火墻進行隔離，使得網絡管理系統中的主機變得更加安全。并且可采用HA高可用技術來達到計費系統及用戶數據庫系統的應用相互的切換及備份。此外，利用數據庫服務器外接的磁帶機達到文件系統、數據庫、網管信息以及操作系統的備份功能，使網絡管理系統內部的各臺主機有更高的安全等級。安全管理服務器進行網絡中安全隱患的查詢以及網絡中安全漏洞的分析。通過安全檢測軟件對網絡的運行進行監(jiān)控，可以實時檢測網路中出現的一切可疑隱患，從網絡層、操作系統層、應用層等各個層面對網絡進行分析探測。實時監(jiān)控結點的入口處，確保網絡免受黑客攻擊。 訪問控制安全策略 單位內部工作人員的安全方案單位內部工作人員安全要求：1）能訪問本系統內部的服務器2）能訪問公共系統的服務器3）能訪問單位內部公文、業(yè)務處理系統的服務器4）不允許被其他單位用戶訪問單位內部工作人員安全實施方案：單位內部工作人員屬于單位的內部網網絡VPN，為實現上述功能，需要將本系統內部的服務器VPN，公共系統服務器VPN，電子公文交換系統VPN，業(yè)務處理系統VPN的路由注入本單位內部網絡VPN中。由于VPN之間的路由表彼此隔離，其他VPN不能訪問本VPN。 系統內部服務器的安全方案系統內部服務器安全要求：1）允許和本系統內部其他同一系統單位的服務器通信2）允許本單位和本系統內其他單位的授權用戶訪問3）不允許其他用戶訪問系統內部服務器安全實施方案：同一系統內部服務器在同一個VPN中。通過將本單位內部網絡VPN及本系統內其他單位內部網絡VPN的路由注入本系統內部服務器VPN。由于VPN之間的路由表彼此隔離，其他非本系統單位的用戶位于其他單位內部網絡的VPN中，因此不能訪問本單位內部網絡VPN。由于VPN之間的路由表彼此隔離，其他VPN不能訪問本VPN。 公共服務器網段的安全方案公共服務器網段安全要求：1）允許其他網段訪問本網絡中的服務器2）允許本網段訪問其他網段公共服務器網段安全實施方案：公共服務器本身是開放的，因此將公共服務器VPN的路由與其他所有允許訪問本VPN的用戶所在的VPN的路由互相進行分發(fā)。從安全性的角度考慮，我們建議允許公共服務器網段的訪問其他網段，因為這樣可能導致個別部門的用戶如果攻擊公共服務器并獲得對該服務器的控制權后，可以從該服務器出發(fā)訪問到其他所有網絡，潛在的安全風險比較大。因此，我們解決辦法是用防火墻來隔離公共服務器，或用NAT地址轉換來實現。 特殊需求人員安全方案： 特殊需求人員安全要求：1）不允許其他用戶訪問該網段2）允許本網段訪問多個系統的系統服務器網段和公共服務器網段3）不允許其它用戶的機器非法連接到其物理交換端口特殊需求人員安全實施方案：由于VPN之間的路由表彼此隔離，其他VPN不能訪問本VPN。為該類用戶單獨分配一個IP子網/VLAN/VPN，將該VPN的路由與其他系統服務器網段所在的VPN和公共服務器VPN互相進行分發(fā)。我們本次應標選擇的交換機均具備端口的MAC地址限制功能，即限制某個端口只允許有某個固定的MAC地址的機器進入網絡，因此其他用戶即使接到同一個物理端口，也無法正常使用。 統一辦公網絡安全方案統一辦公網絡安全要求：有多個機關單位在同一個地方辦公（中區(qū)一樓大廳），每個機關單位都有一個或多個員工在一起辦公，需要訪問其每個單位系統內部的服務器。統一辦公網絡實施方案：在中區(qū)一樓大廳中辦公的每個不同單位的員工分配不同的IP子網/VLAN，并分別加入其單位內部網絡VPN中，由于單位內部網絡VPN是允許訪問系統內部的服務器的，因此可以實現安全要求。 臨時訪問單位內部網的安全方案：臨時訪問單位內部網的安全要求：在辦公網內其他部門辦事，臨時需要訪問本單位內部網絡或服務器網段。臨時訪問單位內部網的實施方案：由于所有單位都能夠訪問系統的公共服務器VPN，每個單位使用一個公共的IP地址加入公共服務器的VPN中，需要提供此功能的單位需要提供一臺有兩塊網卡的服務器，一塊網卡在公共服務器VPN中，根據不同單位安全性的要求，另一塊網卡在單位內部網絡VPN或系統內部服務器VPN中，在服務器上運行Pptp/IPsec服務器，當用戶在辦公網中其他部門辦事的時候，可以通過Pptp/IPsec撥號到該服務器上，并通過該服務器訪問本部門內部網絡或服務器網段。該服務器由各單位自己負責維護，管理不同用戶的密碼及訪問權限控制，對安全要求比較高的用戶，通過以上方案可實現安全要求。 同一單位，分布在不同地方的應用安全方案同一單位，分布在不同地方的應用安全要求：同一單位，辦公地點不在同一個地理位置，需要互相訪問。同一單位，分布在不同地方的應用安全實施方案：將不同辦公地方的IP子網/VLAN都劃入單位內部網絡 VPN，可實現安全需求。 各單位特殊人員安全訪問方案各單位特殊人員安全訪問安全要求：每個單位有一至幾個人員,他們可以訪問同時幾個系統內部服務器,別人無法訪問他們,且除他們之外其他用戶無權限同時訪問幾個系統內部服務器。各單位特殊人員安全訪問實施方案：每個單位的這些特殊人員如果想訪問非本系統的服務器，可以通過PPTP/IPsec撥號到相應服務器所屬單位的訪問服務器上（該服務器有一個以太網端口在公共服務器VPN中，是可以訪問的），在經過用戶名/密碼認證和授權后訪問相關資源，其他未經授權的用戶無法訪問相關資源。為了限制其他人同時訪問他們，可以將這幾個特殊用戶單獨劃在一個VPN中。上述實現方式可以實現安全要求。6 VPN設計在浙江省政務信息化建設中，浙江省不同的政府部門內部業(yè)務承載在同一張物理網絡之上，出于相互信任以及信息資源充分共享的考慮，各政府部門之間不做嚴格隔離，只在省中心核心路由器上對不同政府部門之間的互訪做ACL限制。特定情況下可能存在為一些業(yè)務系統（如VoIP/視訊等）以及一些政府部門之間共享資源建立虛擬專用通道需求，這時需要考慮VPN設計。MPLS VPN在安全性、對業(yè)務承載、網絡Qos保障等方面MPLS VPN都有很多優(yōu)點，目前已經成為IP VPN的主流技術。MPLS VPN必須依賴高性能的PE設備，對城域網內設備也提出了較高要求。由于一般路由交換機并不支持MPLS轉發(fā)，而本期工程在省中心只配置了一臺核心路由器GSR，如果這臺GSR既充當IP轉發(fā)核心路由器，又充當MPLS VPN P及PE，性能必然受到一定影響，因此建議增加額外PE設備分擔省核心路由器處理壓力，而這又增加了額外設備成本。由于目前VPN業(yè)務需求尚不明顯，因此建議本期工程先不采用MPLS VPN技術。一些部門之間的少量VPN需求可以考慮以下一些技術實現：VLAN+ACL方式需要共享訪問的設備劃分在政務網特定VLAN內（統一規(guī)劃），透傳到省中心核心層路由器，核心層路由器通過ACL實現特定VLAN之間的用戶訪問，同時限制其他用戶對這些VLAN的訪問。VLAN+ACL技術對于設備要求不高，一般交換機既可支持.L2TP/IPSEC隧道方式目前各政府部門在出口基本都有自己的防火墻/路由器設備，因此可以考慮在這些設備之間通過L2TP/IPSEC隧道方式建立IP Tunnel VPN。IPSEC隧道相對L2TP隧道有更高安全性，但對設備也有更高要求。IP TUNNEL VPN主要依賴各政府部門原有設備實現，對核心層/承載層沒有特殊要求。今后隨著浙江電子政務網業(yè)務發(fā)展，如果VPN業(yè)務需求逐漸增加（比如需要開視訊或者VoIP的業(yè)務專網），這時就可以考慮規(guī)模開展MPLS VPN業(yè)務。可以將省中心核心節(jié)點作為MPLS VPN P設備，各地市核心節(jié)點作為MPLS VPN PE，同時在省中心增加額外的MPLS VPN PE設備（如華為NE40或S8016）,滿足大規(guī)模VPN業(yè)務開展需求。本次工程配置華為NE80/40均支持高性能的MPLS VPN PE功能（業(yè)界最優(yōu)），同時也支持VLAN VPN/L2TP VPN/IPSEC VPN等其他VPN技術。7 網絡管理本期工程配置一套華為公司網管系統iManager Quidview。華為公司Quidview網管軟件能對全網的寬帶設備統一維護管理，減低維護成本，優(yōu)化網絡的運維模型和理順運維流程，明確各個不同角色在網絡管理中的角色，我們建議采用帶內網管方式。在區(qū)中心機房各設立一臺網管服務器，分別對龍崗政務內網和政務外網提供全網管理。 網絡管理平臺設計按照標書要求，華為Quidview網絡管理平臺能實現網絡的性能管理，故障管理，配置管理，安全管理和計費管理等基本管理功能及其它功能。Quidview具有強大的管理功能，為用戶提供路由器設備管理、交換機設備管理、集群管理、堆疊管理、視頻設備管理、設備日志與告警和RMON等功能，同時還提供了EasyConfig、NSCamp。NDA以及Traffic View等工具組件，其目標是要成為一個更穩(wěn)定、更完善的華為公司數據通信產品的通用網管平臺。Quidview網管功能:Quidview是華為公司自主開發(fā)的針對數據通信設備如路由器、交換機、接入服務器、視頻設備等進行統一管理和維護的網管產品，位于網絡解決方案的管理層次，能夠實現網元管理和網絡管理的功能。它和華為公司的數據通信設備產品一起提供全網解決方案，對數據通信設備的維護和網絡管理提供支持，并能夠提供對電信網OSS運營系統的支撐和接口。作為網管整體解決方案之一，Quidview為用戶提供了靈活的組件化結構：系統在兼容Quidview以前版本全部功能的基礎上，增加了對交換機設備管理、集群管理、堆疊管理、視頻設備和RMON的支持，并包含EasyConfig、NSCamp。NDA以及Traffic View等工具組件。系統使用的網絡管理協議是通用的標準網管協議——簡單網絡管理協議（SNMP），同時支持V1和V3版本，兼容SNMP V2c。如下圖所示，Quidview支持Windows NT/2000、SUN Solaris、HP UX、IBM AIX等多種操作系統平臺，以適應不同級別用戶、不同網絡規(guī)模。支持與多種網管平臺集成，如HP OpenView、IBM NetView、WhatsUpGold、SNMPc以及iManager N2000 V200 EMF等，以提供統一的網絡管理解決方案。例如，Quidview能夠與Cisco網管系統一起集成到Openview等網管平臺中，共同管理華為公司與Cisco公司的網絡設備。Quidview支持多種操作系統和網管平臺示意圖Quidview網管系統可以幫助用戶實現如下目標：1. 提高網絡運行的可靠性；2. 保障網絡運營的服務質量；3. 合理規(guī)劃和調配網絡資源；4. 預測和檢測網絡故障；5. 集中式管理分布廣泛的網絡節(jié)點；6. 設備性能統計和分析；7. 網絡流量統計和計費。 完善的對用戶接入管理用戶管理指對用戶的權限管理，不同的用戶具有不同的操作權限。在Quidview中，用戶分為兩種：超級用戶和普通用戶。各種用戶的權限定義如下：