一.行業(yè)背景：

　　電子政務是信息社會政府管理發(fā)展的一種新趨勢，已成為世界各國政府關注的焦點。胡錦濤同志在十七大報告中明確指出：“健全政府職責體系，完善公共服務體系，推行電子政務，強化社會管理和公共服務?！睖丶覍毻疽裁鞔_指出：“推進政務公開，完善新聞發(fā)布制度，加強電子政務建設。”

　　國家電子政務外網(wǎng)作為我國電子政務網(wǎng)絡的重要基礎設施，是提高機關工作效率和公共服務水平、推進行政管理體制改革的重要保障。加快建設政務外網(wǎng)，對于貫徹落實科學發(fā)展觀，構建社會主義和諧社會，增強各級政務部門的執(zhí)政能力，提高執(zhí)政水平、構建服務型政府都具有十分重要的意義。

　　目前電子政務外網(wǎng)的建設主要圍繞以下職能：

　　為各級政務部門提供面向社會服務的應用和不需要在內網(wǎng)上運行的業(yè)務提供網(wǎng)絡承載服務。

　　支持各業(yè)務之間的互聯(lián)互通，支持跨地區(qū)，跨部門的業(yè)務應用，信息共享和業(yè)務協(xié)同，滿足各級政務部門社會管理、公共服務等方面的需求。

　　確定政務外網(wǎng)統(tǒng)一安全策略，建設信息安全基礎設施，構建統(tǒng)一的網(wǎng)絡防護體系和統(tǒng)一的信任體系，保障政務外網(wǎng)安全可靠地運行。

　　二.整體解決方案：

　　國家電子政務外網(wǎng)整體分為四層三級，建成從國家到各省、地市、區(qū)縣的縱向網(wǎng)絡，在縱向網(wǎng)的基礎上建立各級城域網(wǎng)。使得各部門橫向之間和各部門縱向業(yè)務互聯(lián)互通，資源共享，節(jié)約投資和資源。省級電子政務外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離。省級電子政務外網(wǎng)包括廣域主干網(wǎng)區(qū)、城域網(wǎng)區(qū)、廳局接入?yún)^(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)、數(shù)據(jù)與網(wǎng)管應用數(shù)據(jù)中心區(qū)。

　　高性能交換核心構建城域網(wǎng)平臺

　　城域網(wǎng)使用高性能，大容量的核心交換機，構建城域網(wǎng)核心。根據(jù)對城域網(wǎng)線路以及業(yè)務流量的分析，建議使用具有更高轉發(fā)性能的高端交換機，構建一個高可靠性的核心環(huán)網(wǎng)，應用RERP技術(快速以太網(wǎng)環(huán)保護協(xié)議)，保障萬兆線速業(yè)務情況下小于50ms的故障切換時間，保證語音、視頻等實時業(yè)務不受網(wǎng)絡收斂影響。

　　城域網(wǎng)承載著政府的各種應用系統(tǒng)，越來越豐富的多媒體業(yè)務應用部署在電子政務外網(wǎng)之上，網(wǎng)絡核心設備需要處理更多的視頻和組播流量。銳捷網(wǎng)絡在城域網(wǎng)核心層部署可靠的、安全S8600核心交換機，一方面提供高效率的基礎數(shù)據(jù)快轉功能，另一方面使用CPP(CPU Protect Policy)技術，避免異常報文對CPU的攻擊和資源消耗，保證核心設備在IPv4/IPv6三層網(wǎng)絡、二層網(wǎng)絡環(huán)境中核心設備CPU穩(wěn)定運行，提高整網(wǎng)的穩(wěn)定與安全性。[nextpage]

　　應用安全域解決方案保障整網(wǎng)安全體系

　　網(wǎng)絡的安全是一個整體的概念，包括應用系統(tǒng)層，網(wǎng)絡設備層，主機安全等各個環(huán)節(jié)。應用安全域解決方案根據(jù)對等級保護的深刻理解，結合豐富的組網(wǎng)建網(wǎng)經(jīng)驗，形成了高可靠、高安全的電子政務外網(wǎng)應用安全域解決方案。

　　1、在省電子政務外網(wǎng)采用MPLS/VPN技術，針對不同業(yè)務的資源服務器及相關部門的終端機進行不同MPLS/VPN的劃分，將相關資源服務器及相關主機與非相關業(yè)務及主機進行邏輯隔離，以克服終端接入?yún)^(qū)數(shù)據(jù)交叉帶來的安全隱患問題。

　　2、在網(wǎng)絡設備層，銳捷網(wǎng)絡通過在廳局接入?yún)^(qū)部署帶有SDG功能的路由器設備，保證主機在同一時間段只能訪問某一個區(qū)域，如訪問互聯(lián)網(wǎng)區(qū)域，則不能訪問其他的安全域中的服務器，若訪問安全域中的服務器，則不能訪問互聯(lián)網(wǎng)，保證了即使被植入木馬的主機，在訪問服務器資源時也不會被外界控制，從而降低網(wǎng)絡中的信息泄漏的概率。

　　3、在主機安全層，針對傳統(tǒng)安全域解決方案中對于用戶身份及授權存在的漏洞，銳捷網(wǎng)絡建議在數(shù)據(jù)鏈路層進行認證，通過認證的賬戶在入網(wǎng)時就確定了身份，即使在同一個MPLS/VPN中，也嚴格區(qū)分了針對不同等級安全域的訪問權限。真正做到了依照身份管理，依照應用授權。

　　4、在應用系統(tǒng)層，對于存在安全隱患的電腦，將其隔離到安全修復平臺，并進行修復，只有安全隱患消除后，方可使用網(wǎng)絡。最新Windows補丁，殺毒軟件病毒庫自動下發(fā)到所有主機，保證主機的安全性。GSN還提供對USB口、光驅、打印口等端口進行控制，杜絕信息泄露和病毒傳播。

　　省電子政務外網(wǎng)主干網(wǎng)

　　根據(jù)電子政務外網(wǎng)規(guī)劃，各省建設縱向上聯(lián)國家電子政務外網(wǎng)，下伸到全省所有地市、區(qū)縣，橫向連接省各廳局的電子政務外網(wǎng)。

　　使用兩臺核心路由器通過不同的運營商線路雙下聯(lián)至地市核心路由器，地市到區(qū)縣采用雙鏈路或者單鏈路的方式連接。

　　主干網(wǎng)2臺電信級路由器通過兩條千兆鏈路捆綁互聯(lián)，實現(xiàn)核心層全冗余連接，確保穩(wěn)定可靠地運行。主干網(wǎng)路由設備運行MPLS VPN協(xié)議進行各部門業(yè)務的隔離和數(shù)據(jù)的快速轉發(fā)。

　　建議設備型號

　　省核心路由器：RSR16E

　　RSR16E是針對電信、政府、電力、金融、教育、企業(yè)等用戶網(wǎng)絡需求現(xiàn)狀定制的一款集高性能轉發(fā)、高靈活性業(yè)務處理和高密度接入能力于一體的高端多業(yè)務路由器。RSR16E路由器擁有三個獨立的硬件模塊, 專門用于控制層面、轉發(fā)層面和業(yè)務層面。轉發(fā)及服務層面包括可編程的ASIC，控制層面包括一個專用處理器, 該處理器運行著模塊化、安全、高可用的JUNOS系統(tǒng)。這種架構可確保在高轉發(fā)性能的前提下提供豐富的數(shù)據(jù)包處理性能，同時能提供運營商級別的安全性、可用性及穩(wěn)定性。銳捷RSR16E采用全冗余硬件架構，且具備自動故障切換及聯(lián)機軟件升級(ISSU)等特性。RSR16E支持硬件加速的NAT、MPLS、QoS、組播、狀態(tài)防火墻及大型過濾表等豐富特性，是構建安全可信新網(wǎng)絡的基石。

　　地市核心路由器：RSR50E、RSR50-80

　　RSR50E-80可信多業(yè)務路由器旨在滿足大型行業(yè)縱向網(wǎng)核心/匯聚、大型園區(qū)網(wǎng)出口及中小型企業(yè)網(wǎng)核心高可用性的要求，以其高性能、多業(yè)務、高安全、熱拔插和熱備份等優(yōu)勢，進行業(yè)務運營和支撐網(wǎng)絡的建設;具有很強的可伸縮性、可配置性，支持多種接口和業(yè)務特性，將IPv6、BGP、IPSec、MPLS VPN、QoS、組播等技術融合起來。

　　區(qū)縣核心路由器：RSR30-44、RSR20-14[nextpage]

　　關鍵業(yè)務系統(tǒng)管理平臺

　　電子政務外網(wǎng)需要承載多部門多業(yè)務，由于面向用戶眾多，因此對網(wǎng)絡管理提出新的挑戰(zhàn)。根據(jù)電子政務外網(wǎng)當前的網(wǎng)絡、系統(tǒng)和應用建設情況，以及其基于IT設施的核心業(yè)務的運行維護要求，我們提出了以下的建設思路：

　　1、以組織當前所關注的關鍵業(yè)務運行為核心來搭建管理體系

　　2、以兼容性好，技術先進的開放綜合平臺為方案建設的基礎

　　3、采用最新的前端技術，來確保系統(tǒng)擁有最佳的交互性和圖形化呈現(xiàn)效果

　　4、能夠建立一個圍繞核心業(yè)務的量化評價體系，并提供自動化的評估

　　5、整個系統(tǒng)要具有良好的可擴展性

　　銳捷網(wǎng)絡基于RIIL平臺的“關鍵業(yè)務系統(tǒng)運行監(jiān)控中心”實施對網(wǎng)絡和業(yè)務應用系統(tǒng)的集中智能管理，可以讓有限的IT運維人員精力和IT預算投入到最關鍵的資源的維護和保障中，降低復雜IT環(huán)境的管理難度，更輕松地把握支撐關鍵業(yè)務的網(wǎng)絡和系統(tǒng)的運行狀態(tài)，并不斷提升關鍵業(yè)務系統(tǒng)的運行服務質量水平，提升用戶滿意度。

　　基于實時智能基礎設施庫的“關鍵業(yè)務系統(tǒng)運行監(jiān)控中心(RIIL-BMC)”的建設思路。利用基于統(tǒng)一信息模型的融合抽象建模技術和自動發(fā)現(xiàn)技術，實現(xiàn)對全IP網(wǎng)絡中各種基于IP技術的基礎設施的自動發(fā)現(xiàn)和資源化，基于統(tǒng)一信息模型，生成一個可管理，可重用的實時對象庫，并通過實時事件和同步技術，保持與實際管理對象的一致性。由于可以在統(tǒng)一的信息模型定義下，針對多廠商，多技術的基礎設施進行抽象，從而為解決異構基礎設施的融合難題奠定了關鍵的基礎，解決了對IP基礎環(huán)境的總體把握和全局理解的問題。