信息中心
浙江民政廳電子政務子網解決方案
浙江省民政廳歷來十分重視民政信息化工作。根據省政府的統一部署,民政廳信息中心精心規劃,制定了浙江民政電子政務網絡的實施規劃并實施。
一、總體設計
民政電子政務網分為省民政廳局域網和全省民政系統廣域網。根據省政府統一要求(浙政辦函[2003]88號文件),省民政廳利用浙江省電子政務網構建全省民政系統廣域網,不再建設部門縱向網絡。因此,民政廳電子政務網絡建設的核心任務是各級民政部門的局域網建設。本文重點介紹省民政廳的局域網建設。
民政廳局域網分政務內網和政務外網,政務內網屬涉密網,與政務外網及Internet物理隔離;政務外網為廳主要業務網,運行各類業務軟件,與國家民政部廣域網、救助專網互聯互通,通過省政府電子政務平臺與各市、地、縣(區)民政局組成全省民政系統廣域網,與Internet邏輯隔離。
二、設計原則
1、安全性原則
充分考慮網絡的安全問題,確保設計的網絡具有保證系統安全,防止系統被人為破壞的能力。包括系統的快速查找及排除故障,在線故障恢復,數據傳輸的保密及完整,外部非法侵入的防范,內部人員的越級操作的防止等等,支持AAA功能、ACL、IPSEC、NAT、路由驗證、CHAP、PAP、CA、MD5、DES、3DES、日志管理等安全功能。
2、可靠性、穩定性原則
應采用穩定可靠的網絡架構以保證整個網絡穩定運行;重要應用系統的重要節點應盡量采用雙鏈路連接,保證重要節點的可靠連接;系統建設采用主流產品,以保證系統的高質量和穩定性;采用成熟技術以降低系統的不穩定性,同時設備本身也應具有很好的容錯特性及熱備份特性,其中包括冗余電源系統、冗余處理器模塊和無源背板技術;每個接口要確保它們與應用公認的標準兼容,同時保證連接的第二層和第三層接口的可靠性。
3、先進性原則
緊密結合實際,立足于先進技術,采用最新科技水平,使系統能適應大量數據傳輸及多媒體信息傳輸,保證系統具有較長的生命力,滿足將來系統升級的要求。
4、易管理性原則
全部網絡設備可通過統一的網絡管理工作站實現統一的圖形化網絡管理。網絡管理界面應簡單有效。
5、可擴充性、兼容性原則
設計網絡方案時,在保證滿足目前需要的前提下,要充分考慮到未來的應用,必須做超前規劃,使網絡系統具有良好的可擴充性與兼容性。
6、高性能
網絡系統設計應充分發揮軟硬件和網絡的處理能力,最優化系統的整體性能。
三、系統設計思想
網絡拓撲采用層次網絡架構進行設計。網絡架構包括接入層、匯聚層以及核心層等三層。
接入層
最終用戶的網路接入點。它可以共享、獨享或交換帶寬的方式為用戶提供入網的接口。
接入層通過上行(100Mbps快速以太網、千兆以太網)連接到匯聚層。虛網中繼協議(802.1Q)、快速收斂技術以及每個VLAN的生成樹(Spanning Tree)技術可以實現在冗余線路上的負載均衡和上行線路故障時的快速恢復。接入層一般通過2層交換技術來實現。
匯聚層
匯聚層是為接入層提供基于策略的連接,如地址合并、協議過濾、路由服務等,通過工作組的網段化和網絡問題的隔離,防止它們影響到核心層。匯聚層一般采用3層交換技術,實現接入層虛網之間的互聯并控制接入層對核心層的訪問,保證核心層的可靠和穩定。匯聚層可以通過兩條上行線路連接到核心層,以保證線路的冗余。
匯聚層是核心層的邊界,它將影響核心層高速的因素局限在一個較小的范圍,處理工作組訪問,定義廣播/組播域,劃分虛擬網等。
核心層
核心層是為點與點之間提供最佳的傳輸帶寬。核心層需要強大的3層交換功能。核心層與匯聚層之間不能存在2層的生成樹環路。在核心層,通過智能的3層路由協議如OSPF來實現路徑的選擇以及在核心層上的多條路徑的負載均衡。
四、政務外網的設計
1、核心層及接入層網絡設備的設計
1)核心交換機
根據設計思路,選用華為3com的8508高性能交換機作為整個網絡系統的交換中心及核心組件,配置冗余的電源模塊及冗余風扇,消除最容易出現故障的電源的單點故障。系統可靠性達到:99.999%。
2)接入交換機
接入交換機采用華為3COM公司的高性價比產品S3050C,固定配置48個百兆接口,S3050C帶兩個千兆擴展槽位,可選單模、多模、電口多種模塊,S3050C具有兩個千兆擴展槽位,可選單模、多模、電口多種模塊。所有接入交換機均以千兆鏈路和匯聚交換機對接。實現千兆主干,百兆到桌面的高速以太交換。
2、安全設計
為了從整體上考慮計算機網絡的安全保障體系,需要考慮以下幾方面的問題:
1)邊界訪問控制
通過在網絡邊界部署訪問控制系統,通過強制實施統一的安全策略,對進出網絡的數據進行審查和過濾,將絕大多數攻擊阻止在到達攻擊目標之前,從而實現對網絡系統的邏輯隔離和邊界訪問控制,更能隱藏網絡內部結構,使攻擊者無法了解系統內部的基本情況,控制了網絡系統本身應有的安全風險。
2)檢查安全漏洞
通過對網絡系統、重要服務器和網絡設備進行主動掃描,了解網絡系統在系統配置、系統漏洞方面的缺陷和安全漏洞,提供安全評估報告,幫助系統安全管理員了解系統的安全狀況,合理調整配置和管理系統,消除網絡系統本身存在大量的弱點漏洞和認為的操作或配置所產生的不當的與安全策略相違背的系統配置,減少入侵者可以利用來進行入侵的機會,進而提高網絡的整體安全性。
3)攻擊監控
通過對重要網段、網絡設備和重要服務器建立攻擊監控體系,實時檢測網絡攻擊行為,并采取相應的行動,實現對網絡系統入侵行為的檢測與防御。
4)病毒防范機制
建立全方位的完備病毒防范體系,確保網絡系統、服務器(特別是郵件服務器)和客戶端桌面系統不被病毒所破壞。
5)安全管理和審計
通過網絡安全管理平臺,實現對網絡系統中各安全系統進行統一的管理和審計,同時安全審計分析中心與其它安全產品的聯動,建立集中控制、分布式的安全審計系統,對計算機網絡中所有的安全日志信息進行集中收集、整理和分析,順利解決眾多安全產品與網絡產品所不兼容的海量日志,為系統管理員減輕大量的收集和分析工作。同時,也便于了解網絡的整體安全狀況,為安全策略的動態調整提供決策支持,通過制定網絡安全管理制度,來提高用戶的安全意識。
五、政務內網的設計
政務內網與政務外網物理斷開,主要是用于和向省政府報信息及并聯審批等業務,業務數據量相對較小,網絡結構簡單,全網所有信息點數為20個,由3臺交換機構成,一個中心交換機直接接兩臺樓層交換機。
文章作者:睿商在線
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄