【51CTO.com 綜合報道】浙江省電子政務外網的建設起步較早，從2004年開始，經歷了網絡規(guī)范、安全管理、業(yè)務開展等階段，積累了大量的電子政務外網的建設經驗，其中建設中的規(guī)范制定與落實、業(yè)務問題的處理與實現(xiàn)等經驗值得大家參考。

應用背景

浙江省電子政務外網的建設自2004年開始經歷了三個階段：

2004—2006年，省級電子政務骨干網建設，完成省至11個地市的省級骨干網建設。

2006—2008年，電子政務外網二期，完成11個地市、90個縣（市、區(qū)）的電子政務外網的建設。部分發(fā)達縣市（如蕭山等）已經延伸至鄉(xiāng)鎮(zhèn)，部分廳局委辦的橫向接入，在二期建設中依托于電子政務外網開展了部分電子政務外網的業(yè)務，包括：政府部門專網、財政國庫集中支付、電子監(jiān)察、數字城管等。

2008年至今，對部分區(qū)縣進行了電子政務外網鄉(xiāng)鎮(zhèn)延伸，并下發(fā)指導文件進一步規(guī)范了整體安全。三期中加強了電子政務外網新業(yè)務—政府共享災備的建設，實現(xiàn)各廳局委辦的關鍵業(yè)務數據的集中災備，其中災備的管理數據通過電子政務外網平臺實現(xiàn)承載。

客戶需求

浙江省電子政務外網建設除基礎骨干、路由規(guī)劃、設備選型之外，其重點與業(yè)務相關的焦點需求有以下三點：

1. 省級電子政務外網建設的規(guī)范與統(tǒng)一。浙江省下屬11個地市，每個地市的投資不同、技術實力不同、建設時間可能存在差異，如何統(tǒng)一、規(guī)范地對浙江省電子政務外網進行建設及接入，讓各地市、區(qū)縣的技術人員對電子政務外網理解一致顯得尤為重要。

2. 實現(xiàn)三類業(yè)務的劃分與互訪。浙江省電子政務外網把業(yè)務劃分為三類：公眾服務區(qū)（政府門戶網站）、資源共享區(qū)（政府部門間業(yè)務互訪及Internet訪問）、專用網絡區(qū)（政府部門縱向業(yè)務），均承載于MPLS VPN中。

3. 實現(xiàn)不同終端對各個VPN的多樣化訪問需求。部分終端需要通過外網訪問多個縱向VPN資源，以及不同終端通過外網訪問各自VPN資源。如杭州數字城管，需要錄入居民的各種信息，包括：婚姻、生育信息、低保信息等，而電子政務外網劃分為MPLS VPN之后各個業(yè)務的信息相互隔離，如何能夠實現(xiàn)一臺終端對多個業(yè)務系統(tǒng)的訪問？并且支持用戶分組機制，針對不同的用戶組實現(xiàn)不同的控制策略？

1.焦點需求解決方案

1. 省級電子政務外網建設的規(guī)范與統(tǒng)一。2003年浙江省建設了省至地市級的省級電子政務外網的骨干網，并下發(fā)《浙江省人民政府辦公廳關于建設省電子政務網絡平臺的通知》（浙政辦函〔2003〕88號）對各省的電子政務建設進行了要求。2004年，浙江省政府信息中心開始著手對全省的電子政務外網進行需求調研與規(guī)范制定，其整體分為四個步驟：

1) 成立電子政務外網工作小組： 2004年底，浙江省政府牽頭召集了包括H3C在內的相關技術專家，開始著手對全省電子政務外網建設進行調研與統(tǒng)一的規(guī)范制定，包括：線路情況、設備特性支持情況、現(xiàn)網運行情況等。

2)  下發(fā)電子政務外網建設規(guī)范：經過半年多的調研、測試，2005年9月，浙江省下發(fā)了技術規(guī)范《浙江省人民政府辦公廳關于印發(fā)浙江省電子政務網絡技術規(guī)范的通知》，該技術規(guī)范從網絡總體架構、網絡接入及組建規(guī)范、IP地址規(guī)范、域名規(guī)范、路由策略與路由協(xié)議設計、組播設計、IPsec VPN設計、MPLS VPN規(guī)范、網絡安全規(guī)范等幾個方面對電子政務外網建設給出了明確的規(guī)范與要求。

3) 集中技術培訓：2005年10月開始，全省各地市、區(qū)縣信息中心的技術人員分四批進行集中培訓，重點培訓技術規(guī)范的內容，包括MPLS VPN技術知識、路由協(xié)議設計、與省對接的路由設計等多方面。參加培訓的學員可以針對各自地市的電子政務情況提出問題，由電子政務外網小組成員給予解答。通過培訓實現(xiàn)各地市、區(qū)縣的信息中心人員對電子政務外網規(guī)范的了解統(tǒng)一、一致。

4) 電子政務外網方案審核與研討會：各地市上報各自的電子政務外網建設方案，由省中心對方案可行性進行審核，對不滿足規(guī)范或與規(guī)范不一致的部分提出修改意見。

浙江省電子政務外網的第二階段建設歷時兩年多，實現(xiàn)了省、地市、區(qū)縣電子政務外網的全省貫穿，建成后的電子政務外網與規(guī)范要求基本一致，電子政務外網的業(yè)務都能夠順利開展。

2. 實現(xiàn)三類業(yè)務的劃分與互訪

1) 業(yè)務定義：浙江省電子政務建設初期對電子政務外網提出了三類業(yè)務的劃分，包括：公眾服務區(qū)（政府門戶網站）、資源共享區(qū)（政府部門間業(yè)務互訪及Internet訪問）、專用業(yè)務區(qū)（政府部門縱向業(yè)務）三類。

2) 業(yè)務間互訪關系定義：對浙江省電子政務外網的三類業(yè)務間的互訪關系進行了如下規(guī)定： 

◆專用業(yè)務區(qū)與資源共享區(qū)通過網閘進行隔離； 

◆資源共享區(qū)可以訪問公眾服務區(qū)，但公眾服務區(qū)不允許訪問資源共享區(qū)，兩者存在單向互訪需求； 

◆互聯(lián)網用戶可以訪問公眾服務區(qū)（政府門戶網站），但公眾服務區(qū)只能受限訪問互聯(lián)網區(qū)域（僅用于服務器的補丁升級）； 

◆資源共享區(qū)可以訪問互聯(lián)網，即政府部門內部訪問互聯(lián)網的業(yè)務是承載于電子政務外網的資源共享區(qū)域，考慮到安全問題，互聯(lián)網不能直接訪問資源共享區(qū)； 

◆專用業(yè)務區(qū)不能訪問互聯(lián)網，在外出差等移動辦公用戶只能利用VPE技術通過互聯(lián)網受限訪問部門業(yè)務專網區(qū)域。

浙江省電子政務外網通過對三類業(yè)務互訪關系的定義，進一步加強了電子政務外網各業(yè)務之間的安全性，提高了部門業(yè)務專網的安全性。

3) 技術實現(xiàn):  

圖1 三類業(yè)務的部署 

◆專用業(yè)務區(qū)與資源共享區(qū)之間的訪問。采用網閘進行隔離，如果要向資源共享區(qū)域更新數據可以通過網閘進行，如果要進一步提高專用業(yè)務區(qū)的安全性，可以在資源共享區(qū)的服務器上設置雙網卡，并在資源共享服務器的匯聚交換機上設定ACL策略，定義可訪問資源共享區(qū)域的專用業(yè)務終端。

◆資源共享區(qū)域對公眾服務區(qū)的訪問。資源共享區(qū)域與公眾服務區(qū)之間采用防火墻進行安全隔離，并在防火墻上設置單向的ACL策略實現(xiàn)資源共享與公眾服務區(qū)之間的單向互訪。 

◆資源共享區(qū)域與互聯(lián)網之間的訪問。政府內部人員可以訪問互聯(lián)網業(yè)務，在互聯(lián)網出口設置防火墻，并通過單向ACL的設定實現(xiàn)內部人員可以訪問互聯(lián)網，但互聯(lián)網無法訪問資源共享區(qū)域。 

◆公眾服務區(qū)與互聯(lián)網區(qū)域的訪問。通過在互聯(lián)網出口設置防火墻，在防火墻上設置安全策略，實現(xiàn)公眾服務區(qū)可以訪問政府門戶網站，但網站服務器只能從互聯(lián)網訪問相關的補丁下載業(yè)務。

通過單向訪問控制、網閘、防火墻等技術實現(xiàn)三類業(yè)務之間的互訪關系，加強了三類業(yè)務間互訪的安全性。（要了解更多的技術實現(xiàn)細節(jié)可參考本刊中《電子政務外網三種業(yè)務互訪關系及實現(xiàn)方法》。）

3. 實現(xiàn)不同終端對各個VPN的多樣化訪問需求

1) 需求分析：單個終端訪問多個業(yè)務區(qū)的需求在電子政務外網的設計階段就已經發(fā)現(xiàn)，如數字城管社區(qū)服務。不同終端通過外網訪問各自VPN資源的需求，如出差人員通過外網接入內部辦公系統(tǒng)，審計人員要經常性地從外網接入到內部辦公系統(tǒng)。骨干網絡劃分了MPLS VPN，這樣就需要VPN接入網關不但支持隧道功能，還要同時具備基于不同的用戶映射至不同VPN的功能。

2) 實現(xiàn)方法：采用VPE網關實現(xiàn)接入  

圖2 VPE網關實現(xiàn)部分終端通過外網訪問多個縱向VPN資源，以及不同終端通過外網訪問各自VPN資源

如上圖所示：在電子政務外網與互聯(lián)網之間增加VPE設備來實現(xiàn)對出差人員或街道社區(qū)服務站對電子政務內部業(yè)務的訪問。街道社區(qū)服務站用戶在一臺PC上設置多個VPN連接客戶端，通過輸入不同的用戶名/密碼來實現(xiàn)接入到不同的縱向網絡，如：A社區(qū)要分別接入到計生委、社保、財政等部門，只需要終端的PC機通過不同的用戶名（A@jishengwei、A@shebao、A@caizheng）和密碼就可以接入不同的縱向VPN系統(tǒng)內。對于出差人員來說同樣適用，如審計部門人員B經由外網接入到內部，只需要在便攜機的VPN客戶端輸入用戶名B@shenji、密碼***，接入VPE網關，VPE設備會根據用戶的域名進行MPLS VPN的映射，即：@shenji的用戶映射至審計的縱向VPN，從而實現(xiàn)對不同部門用戶的區(qū)分和VPN內的資源訪問。

由于政府目前絕大部分用戶在認證時都需要使用CA證書，VPE認證時除了對用戶名/密碼進行驗證外，還要能夠支持對CA證書的攜帶與驗證，所以往往需要對客戶端做定制化的設置。（更多技術實現(xiàn)可以參考本刊中《VPE技術在電子政務外網的應用》。）

總結

浙江省電子政務外網的建設是以業(yè)務需求為導向的建設，其在規(guī)范制定與下發(fā)、關鍵業(yè)務需求分析與技術論證等多方面都是按計劃、有步驟的進行，這使得其實施結果與建設目標相匹配，其中很多思路值得大家參考。