电子政务外网项目建议书

《电子政务外网项目建议书》由会员分享，可在线阅读，更多相关《电子政务外网项目建议书（55页珍藏版）》请在装配图网上搜索。

1、福建省电子政务外网建设项目建议书福建省经济信息中心2008年5月第 2 页 共 3 页目 录第一章 电子政务外网建设背景和必要性1第二章 项目概述52.1 项目名称与定义52.2 项目建设思路52.2.1 标准规范建设思路62.2.2 设备与软件配置的原则6第三章 我省电子政务网络建设现状73.1 福建省电子政务网建设现状73.1.1 福建省政务信息网73.1.2 福建省级政府公众信息服务平台73.1.3 国家电子政务外网福建节点建设现状83.2 国家电子政务外网福建节点建设存在的问题9第四章 需求分析104.1 网络建设需求分析104.2 业务需求分析104.3 功能需求分析104.3.1

2、公众服务功能104.3.2 网络互联互通功能114.3.3 信息共享功能114.3.4 信息资源交换功能124.3.5 安全防护功能124.3.6 网络管理功能124.4 带宽需求分析13第五章 项目建设目标与原则145.1 总体目标及分期目标145.1.1 总体目标145.1.2 分期目标145.2 建设原则与工作模式155.2.1 建设原则155.2.2 工作模式18第六章 福建省电子政务外网网络设计196.1 福建省电子政务外网设计概述196.1.1 第一阶段前期设备利旧考虑206.2 链路选择设计216.3 福建电子政务外网的业务互访方案设计226.3.1 与国家电子政务外网平台的连接

3、236.3.2 电子政务外网省内纵向连接246.3.3 政府信息资源的横向共享及访问266.3.4 政府部门访问Internet及公众服务286.3.5 Internet访问公众服务区306.3.6 移动用户接入方案316.4 统一Internet出口相关设计316.4.1 Internet访问网络结构设计326.4.2 防火墙的选用及布署326.4.3 主动防御系统的选用布署336.5 数据中心相关设计336.5.1 建设以“数据服务”为核心的数据中心架构346.5.2 以“数据服务”为核心数据中心规划366.6 网络管理相关设计386.7 网络可靠性设计396.7.1 网络结构可靠性设计3

4、96.7.2 组网设备可靠性设计建议406.7.3 设备和模块的备份416.8 政务外网网络安全保障体系设计426.8.1 远程接入安全436.8.2 边界网络安全436.8.3 数据中心安全436.8.4 全网安全管理456.9 项目经费概算47第一章 电子政务外网建设背景和必要性一、建设统一外网的背景1993年，以三金工程的启动为标志，我国政府信息化建设进入了一个崭新的历史时期，政府各部门信息化建设全面启动。经过十几年的发展，我国政府信息化建设取得了长足进步，各部门以需求为导向，建设了一批管理信息系统，构建了不同规模的网络体系。目前，中央部委已建专网超过20个，总投资数十亿人民币，各地方政

5、府也在上个世纪末到本世纪初的几年时间里在政府网络建设上投入了大量人力、物力和财力。但是由于各部门各自建设自己的专网，形成了“上面千根针，下面万条线”的局面，在网络建设上盲目投资和重复投资多有发生，存在网络利用水平低、安全隐患大、互联互通少等问题。在这样的背景下，2001年2月1日，时任国务院副总理的李岚清同志向镕基总理请示：“在建立政府信息网络方面，还需解决两大问题：一是中央政府要尽快建立统一的信息标准和信息网络平台，否则各自为政，难以资源共享，再加各有各的标准和加密措施，则将中央政府置于最不安全的地位。二是各政府部门的信息网络，不应理解为物理网络，而应利用中央政府统一信息平台，建立各自完整的

6、网络信息汽车的行车路线，以免造成极大的浪费”。镕基总理批示“请培炎同志研报国务院”。2月6日，国家计委请示国务院关于政府信息化建设的有关问题，建议组织实施“中国电子政务工程”，力争在2003年以前初步建立起一个包括内部网和外部网的中国电子政务系统框架。此后，国家计委就我国政府网络建设问题征求了各有关部门的意见，并逐步达成共识。2002年，国务院信息化工作办公室成立后积极筹划我国政府网络体系建设，7月3日，国家信息化领导小组第二次会议提出了关于我国电子政务建设的指导意见。意见提出要“建设和整合统一的电子政务网络”，“电子政务网络由政务内网和政务外网构成，两网之间物理隔离，政务外网与互联网之间逻辑

7、隔离。政务外网是政府的业务专网，主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务。” 8月5日，中共中央办公厅、国务院办公厅转发了“国家信息化领导小组关于我国电子政务建设指导意见”的通知（中办发200217号文）。第一次以中央文件的形式提出了电子政务建设的指导意见，明确提出建设国家电子政务外网。二、国家电子政务外网建设任务和设计思路1国家电子政务顶层设计的基本内容中办发17号文件从战略全局的高度把握了我国电子政务发展的方向，进行了顶层设计和规划，确定了我国电子政务建设的目标、原则和指导思想，明确了推进我国电子政务建设的重点任务，提出了保障电子政务建设顺利推进的政策措施。为使顶层

8、设计更具有可操作性，17号文件重点提出了八项任务，分别是：建设和整合统一的电子政务网络；建设和完善重点业务系统；规划和开发重要政务信息资源；积极推进公共服务；基本建成电子政务网络与信息安全保障体系；完善电子政务标准化体系；加强电子政务员信息化培训和考核；加快推进电子政务法制建设。这八个方面的任务构成了一个整体，是我国推进电子政务建设顶层设计在工程规划上的具体落实。2国家电子政务外网设计思路首先，国家电子政务顶层设计十分强调和突出全局观，统一的外网平台是国家电子政务全局中联结各部门业务系统的桥梁和纽带，是未来政务工作的“高速公路”。外网提供的是高度集成化、一体化、规范化的服务，其本质是为各业务系

9、统的安全、顺畅、高效的数据传输、信息交换等构造网络基础环境，它是未来实现各业务系统互联、互通、互操作，促进资源共享的基础性工作。因此，统一的外网平台是关系我国电子政务建设全局和发展的重要基础工程，是顶层设计中的关键性核心组成要素。其次，国家电子政务顶层设计是以发展的观点看待我国的电子政务建设，因此也必须以发展的观点看待统一外网平台的建设。我国的电子政务建设是一个长期、复杂的历史发展过程，不可能通过若干个大型工程毕其功于一役，很多问题需要在实践中总结经验。为此，我们提出通过分期、分阶段建设，先行搭建统一外网平台的基本架构，再在此基础上不断完善和扩展，通过不断的探索和学习，逐步实现建设统一外网平台

10、的任务。所以，尽快构建我国统一外网平台的基础架构对于未来我国电子政务的长远发展意义重大。最后，国家电子政务顶层设计十分注重统筹协调电子政务建设中各个方面的关系，外网平台建设与我国电子政务建设方方面面的工作紧密相关，其建设涉及的部门多、地域广、业务领域宽，为此，在外网总体方案设计中先后与商务部、海关总署、国家审计署、劳动和社会保障部、民政部、农业部、公安部等部门进行了多次反复沟通，了解和掌握了大量情况，通盘考虑了现实和未来各业务部门应用系统对网络支撑环境的具体要求，以保证外网平台既满足各应用系统的现实需求，又兼顾网络的可扩展性，为各业务部门的潜在需求提供必要的支持。按照这样的原则，我们把一期工程

11、建设内容归纳为“统一的网络平台、统一的系统支撑平台、统一的安全保障体系和统一的服务体系”。从总体上看，我国统一外网平台在我国电子政务顶层设计中是全局性、关键性工程项目，是统筹协调各方面关系的重要环节。三、加快统一外网建设的必要性和紧迫性1新建和扩建网络平台的需求不断增加自17号文件发布以来，中央各部门向国家有关电子政务工程项目审批部门申请的电子政务工程项目近40个，新申请总投资数百亿人民币。很多部门都提出新建或扩建部门专网，申请网络建设投资总额超过60亿元人民币，如果再加上网络运行维护费，则未来3年中央政府在各部门网络建设和维护上的投资至少要达到100亿元人民币。在这样的背景下，加快统一网络平

12、台的建设有利于避免重复投资和盲目投资，能够为国家节省大量的网络建设支出和运行维护费用。2业务系统建设对统一外网平台的潜在需求不断增加目前，绝大多数中央政府部门都从各自的职能出发，根据实际工作需要，提出了建设本部门重点业务系统的需求。随着各部门业务应用系统建设的加强，应用系统的跨部门协作不断增加，部门间及部门内部横向和纵向信息交流越来越多，这就对统一外网平台提出了潜在的需求，要求有一个可以沟通各应用系统的大容量、高可靠、统一的网络平台，为未来的数据传输和信息交换提供支撑服务。3一些已建部门专网已经很难满足发展的需要目前，中央政府各部门大大小小已建专网20多个，在我国电子政务建设中发挥了重要作用。

13、但是这些网络在建设和运行中存在很多问题急需解决：一是部门专网的运维费用很高，规模不经济，一些部门受高额运营费拖累维系困难；二是多数部门普遍缺乏专业化的网络和信息管理人才；三是各部门整体管理水平跟不上业务发展的需要，电子政务运行效率低下；四是多数部门网络和信息安全意识不强，安全建设形式主义严重。从总体上看，当前部门专网建设和运行中存在的诸多问题对统一外网平台的建设形成了强烈的需求。4尽快建设统一外网平台的共识逐步形成中办17号文件发布以来，社会各界对于外网建设的研究和讨论紧锣密鼓。在过去的两年时间里，在国家信息化主管部门的领导下，围绕外网建设的边界、建设和运维模式、资源整合策略等问题的深入研究和

14、不断探索，使得各方面对外网建设必要性的认识提高了，在很多关键问题上各方面逐渐达成一致，取得共识，为下一步推动统一外网平台的建设创造了良好的外部环境。第 51 页第二章 项目概述2.1 项目名称与定义项目名称：福建省电子政务外网项目定义：福建省电子政务外网是中办发200217号文件明确规定要建设的政务网络平台。政务外网与政务内网物理隔离，与互联网逻辑隔离，主要用于运行政务部门不需要在内网上运行的业务和政务部门面向社会的专业性服务，为政务部门的业务系统提供网络、信息、安全等支撑服务，为社会公众提供政务信息服务。政务外网将建立标准统一的网络平台，支持相关政府部门的专网接入，建设政务外网安全保障体系和

15、外网管理中心，形成统一的外网服务体系，建设政务外网数据交换中心和外网网站，促进电子政务业务应用系统的互联互通、资源共享。在项目建设前，我中心已经实现了福建省电子政务外网将两个部委对应的厅局即监察厅和省扶贫办接入国家政务外网。2.2 项目建设思路电子政务外网，作为福建省信息化的重要基础设施，必须加快建设。通过政务外网，逐步实现与国家37个部委对应的福建省相关厅局和国家政务外网互联，并实现我省已建部门纵向网络的互联、对未建纵网的部门直接承载新开发的业务系统。总体思路如下：1) 建设政务外网，重点建设网络传输平台和安全保障体系。政务外网的建设，要突出重点，逐步推进，发挥建设效益。2) 尊重部门差异，

16、推动网络互联互通。充分理解和尊重各部门的个性和意愿，通过政策导向和示范效应，推动“网际互联，消灭孤岛”。3) 发挥牵引作用，促进信息资源共享。在通过政策引导和自愿，聚集信息资源，引导资源主动共享、营造外网良好的应用环境。4) 有利于各部门以应用需求为主导，专注业务系统建设。按照这种思路，各部门可以充分利用统一外网，把主要精力放在熟悉而且迫切需要解决的业务问题上，聚焦业务系统建设，快速推进各部门电子政务系统的建设。 2.2.1 标准规范建设思路标准化建设是福建省电子政务外网实现互联互通、业务协同、信息共享、安全可靠运行的前提和基础。我国早期的信息网络系统建设，普遍存在缺乏标准或标准不统一的现象，

17、最终导致管理混乱、互联互通不畅、信息共享程度低、信息资源开发利用滞后、安全存在隐患等后果，严重影响了我国信息化建设的进程。因此，福建省电子政务外网的建设思路将严格按照国家政务外网的标准和规划进行。2.2.2 设备与软件配置的原则福建省电子政务外网建设主要是为了实现横向互联，重点建设城域网，建设政务外网管理中心，建设配套的安全基础设施。在网管中心购置必要的网管系统、域名管理设备、统一的邮件系统、外网（内部）网站系统等；为构建数据交换中心和备份中心，增添必要的设备以及必要的安全设备配套等。福建省电子政务外网建设主要是为了实现37个部委对应的厅局接入国家政务外网。建设内容包括2个部分：1）福建省电子

18、政务外网的省级城域网；2）省地市县纵向广域网，覆盖9个设区市和84个县（市、区）。因此，对这些设备与软件的配置要求将本着实事求是的精神，按照既要满足需求又要具有一定扩展能力的原则，进行配置。第三章 我省电子政务网络建设现状3.1 福建省电子政务网建设现状福建省经济信息中心目前运行一个网络及福建省政务信息网和一个应用系统福建省级政府公众信息服务平台。3.1.1 福建省政务信息网 福建省政务信息网从2001年1月建成投入使用，是福建省内各级机关、事业单位、政府直属企业、金融单位、驻闽部队和武警部队为实现信息交换与共享而建立的、与国际互联网物理隔离的电子政务专网，主要有省市县（市、区）纵向网、省直机

19、关横向接入网、设区市横向接入网和县（市、区）横向接入网构成。到目前为止，已实现了208个省直单位以及9个设区市和84个县（市、区）4200多个单位的政务计算机信息网络的互联。业务应用主要有信息共享、信息应用、web虚拟站点、省政府办公厅公文传输、省市县三级视频会议系统、全省机要加密文件传输系统、全省保密IP电话系统、全省工商行政年检系统、全省建设用地审批系统、省人大代表综合信息系统、全省党政机关电子邮政系统、全省政务信息共享平台等重要的业务系统，建成248个web网站，省内部分党政部门已通过政务网建成了部门业务专网。福建省政务信息网两个网管中心分别设在福建省经济信息中心机房和电信机房，两个网管

20、中心互为分权。电信机房网管中心由福建电信公司负责投资建设并维护管理，主要负责对省直机关宽带网（除省经济信心中心节点）的网络管理；福建省经济信心中心机房由福建省经济信心中心负责投资建设并维护管理，主要负责对福建省政务信息网纵向网及福建省经济信心中心的网络管理。 3.1.2 福建省级政府公众信息服务平台“福建省级政府公众信息服务平台”作为作为“数字福建”2002年“339”建设计划的第一个基础工程，是全省党政机关网络导航平台、信息网上整合发布平台和面向公众网上交互办事提供一站式服务，并实现政务网与公众平台的数据安全交换，促进全省政务信息化。“省级政府公众信息服务平台”的中心节点在省经济信息中心，需

21、要构建高吞吐、高可靠、无中断的局域网网络系统，主要以Cisco Catalyst6509为核心交换机，采用千兆以太网和百兆以太网作为局域网连接链路，并充分结合三层交换和二层交换技术。省级政府公众信息服务平台”中心节点Internet出口带宽为10M。业务应用已建成信息发布、公共信息、数据交换、建筑企业资质审批、网上招标与政府采购、企业资信查询、福建企业产品、网上新闻点播等子系统和“公民”、“企业”、“投资”、“旅游”四个子网站，为省直部门建立了J2EE或微软平台的虚拟主机，开设了“福建省毕业生就业公共网”、“福建省三农服务网”、“福建省招标和采购网”、“福建省高新技术网”、“中国福建项目成果交

22、易网”、“中国福建妇女”、“数字福建”等网站。3.1.3 国家电子政务外网福建节点建设现状根据国家信息中心要求，我中心从2006年2月底开始国家电子政务外网福建节点建设，并成立了外网网管中心，完成了联通和电信传输线路机柜的安装、光传输设备的上架、联通155M SDH和备用线路电信2M E1线路的安装和调试、省节点网络机柜的安装、广域骨干网省节点路由器的上架、省节点路由器的配置，5月底通过网络联通测试，标志国家电子政务外网福建节点骨干设备安装结束。6月初，外网工程办的工程师林迁一行到我中心调研外网建设情况，对节点建设给予了肯定。目前进入省政务外网接入国家电子政务外网的建设。根据发改委“闽发改高技

23、【2004】677号文”的批复，国家电子外网福建省节点要依托福建省级公众信息服务平台建设，在利用公众信息服务平台的网络、安全、存储等设备资源的基础上，增加省级节点接入路由器设备，开发和实现数据交换，参与国家电子政务外网标准规范建设，实现与国家电子政务外网的连接。同时明确由我中心承担国家电子政务外网建设任务。2007年1月15日至2007年2月26日，我中心按国家电子政务外网工程办的要求进行了国家电子政务外网福建节点与省监察厅、省扶贫办联网项目建设，实现了两部门同国家电子政务外网的互联。3.2 国家电子政务外网福建节点建设存在的问题1由于福建省政务信息网是完全与国际互联网物理隔离，并有机要网在其

24、上运行，所以根据中办17号文，福建省政务信息网应该定义为政务内网，不适宜接入国家电子政务外网。2按发改委的批复应整合福建省级公众信息服务平台资源接入国家电子政务外网，但目前福建省级公众信息服务平台的性质更接近与国家电子政务外网的数据中心；而且福建省级公众信息服务平台的业务应用与国家电子政务外网即将开展的业务应用联系不紧密；公众平台也没有组建城域网，即使提供出口，经过多级网络的中转，必将影响公众访问福建省级公众信息服务平台的访问，不利于我省自身业务的开展。3目前，我省已实现与国家电子政务外网的连接，但采用的是网络过渡方案，随着国家电子政务建设的发展，今后会有更多的中央部门接入政务外网并开展相关业

25、务应用，采用网络过渡方案将难以满足今后业务发展的需要，最近，国家政务外网工程办公室下发了关于抓紧开展省级政务外网建设的通知，要求“抓紧启动省级政务网建设工作，尤其要求按照国家政务外网推进部门的需要，优先进行省级城域网的规划和建设。第四章 需求分析4.1 网络建设需求分析福建省省电子政务外网平台网络系统工程建设的总体规划将完成主要政府部门的横向连接，9个设区市和84个县（市、区）的纵向连接；通过国家、省两级外网平台，连通国家试点16个部委和对应厅局，最终满足我省37个部委对应厅局接入国家外网的需求，承载福建省各有关电子政务业务系统。其中包括网络中心、省委、省人大、省政协、各个省直部门等。福建省电

26、子政务外网平台在纵向上能够实现与国家电子政务外网平台的连接，并实现省市县三级纵向网络的互通互通；在横向上能够方便连接省政府组成部门、直属机构、办事机构、事业单位等省直部门，以及横向连接省委、省人大、省政协及中央在闽单位等。同时，网络必须具备高度的可靠性和稳定性，应具备可伸缩、可管理、可扩展的能力，以应对业务数据的快速增长，满足网络平台平滑升级的要求。4.2 业务需求分析福建电子政务外网应满足业务应用系统需求，如网络视频会议系统、IP语音电话系统、应急联动系统、网上联合审批系统、办公业务系统、政务公开系统、电子邮件系统、信息采集和发布系统、党政机关门户网站、建议提案系统、公众选举系统、政策法规查

27、询系统 以及各个部门的应用系统等。随着网络建设和应用的开展，省党政机关还会有新的业务系统融入到电子政务外网中。4.3 功能需求分析福建省电子政务外网应提供如下的功能：4.3.1 公众服务功能福建省电子政务外网建设的根本目的是为了提高行政效率，降低行政成本，改进政府管理，更好的为人民群众服务。福建省电子政务外网将党政机关各部门紧密联系在一起，实现网上联合办公，为实现高效、自动的政府办公环境、建设电子政务大厅系统提供了强有力的保障。福建省电子政务外网是党政机关提供对社会公共服务的窗口，是社会各级企事业单位、与政府沟通的桥梁，它将政府和人民群众紧密结合在一起。应当采取多种接入方式方便社会公众服务，为

28、公众提供更广泛便捷的信息服务。4.3.2 网络互联互通功能 福建省电子政务外网的应用分布在各级党政机关，其分布性已经成为福建省电子政务外网运行环境的显著特征。同时，全省各级党政机关局域网和业务专网的建设是在一个较长时期内按照各自的规划、建设目标、功能需求、投资强度和技术现状等因素分阶段逐步实现的。这样就造成了条块分割，网络不能互联互通，资源不能共享等问题。此次福建省电子政务外网的建设应以实现电子政务外网作为一个整体来提供服务，在保障接入国家电子政务外网的基础上，实现省内各级党政机关政务外网横向和纵向的互联互通；同时在全省电子政务外网建设中，也需要网络系统、数据库系统和应用系统的互联互通。4.3

29、.3 信息共享功能在我省各级党政机关的业务应用系统建设中，由于缺乏统一规划，所建纵向网络和应用系统大都是以行政系统为背景和依托的，各部门按照各自的规范、标准、需求构建不同的业务应用系统。各应用系统中信息的种类和数据存储格式差异很大，内部之间和各应用系统之间信息共享程度低。福建省电子政务外网为各级党政机关的业务应用系统提供了一个统一的平台，同时将新建的例如政务公开系统、网上联合办公系统等新业务系统加入到此平台中，更好的为社会公众服务。因此，在全省电子政务外网应用系统建设中，应提供标准的、统一的信息表示和传输方式，提供一个基础信息交换平台，使信息在系统内有序流动，实现电子政务外网各级信息系统之间、

30、电子政务外网与社会公众之间的互联互通和信息资源共享。4.3.4 信息资源交换功能电子政务外网和电子政务内网是全省电子政务的基础性平台，为保证政府对全社会的服务和管理，以及为各级党政机关提供宏观决策数据。电子政务外网负责基础性数据的采集，当数据达到一定规模时，通过物理手段将数据转移到电子政务内网，为各级领导提供决策支持；电子政务内网又将政府的通知和决定及时在电子政务外网上发布。4.3.5 安全防护功能福建省电子政务外网建设过程中，既要满足社会公众访问的方便、灵活，具备可扩展性，又要保证公共业务系统、部门业务系统安全可靠的运行。当前，在党政机关的网络建设中，安全措施滞后，保障水平参差不齐。在利用现

31、有网络资源整合和构建全省电子政务外网时，在物理层、网络层、应用层、网络管理层都会存在安全风险。因此，在全省电子政务外网建设中，应采取切实可行的安全保障措施，构建合理、完善的安全保障体系，在网络安全、网络性能、信息安全等多方面进行考虑，确保全省电子政务外网安全可靠的运行。同时为了提高福建省电子政务外网的安全性，做为政府的业务专网，必须新建一张专用网络，并且要求统一互联网出口；因业务需要保留互联网出口的接入单位，其出口网络必须也逻辑隔离并执行严格安全访问策略。4.3.6 网络管理功能 福建省电子政务外网是一个覆盖全省各级党政机关的庞大、复杂的互联网络，涉及到的设备种类、数量大，管理的范围层次不尽相

32、同。因此，需要建立统一的网络管理平台，能够兼容第三方的设备管理，实现设备和网络的性能管理、拓扑管理、事件管理、安全管理、统计管理、配置管理、分权管理、分布管理和故障管理，从而提高网络的可管理性和可维护性，保证全省电子政务外网的正常运行。4.4 带宽需求分析1、传输信息内容在全省电子政务外网中，将承载网上审批、网上办公以及党政机关各部门的数据、语音、视讯等信息的传输和交换。2、传输带宽要求在全省电子政务外网中，省级核心网将承载37个单位横向网络汇聚。建议省核心链路带宽选用2.5G、核心和汇聚层采用1000M、厅局接入采用100M。福州节点通过两个千兆链路连接到省级核心设备；其它8个设区市主链路如

33、果有条件建议优先通过租用裸光纤的方式进行互联，互联技术采用千兆以太网技术，备用链路通过2M * 4线路，连接到省级核心设备。对于没有条件上裸光纤的设区市，主链路通过155M ATM/POS链路接入到省级核心设备。第五章 项目建设目标与原则5.1 总体目标及分期目标5.1.1 总体目标按照中办发200217号文件要求，政务外网的总体目标是依托统一的国家电子政务通信传输网络，整合建设电子政务外网，通过覆盖全国各级政务部门的网络平台和服务体系，支持电子政务业务系统的运行，支持跨部门、跨地区的信息资源共享，支持电子政务业务系统的互联互通和信息交换，促进政府监管能力和服务水平的提高。在遵循国家政务外网建

34、设总体目标的基础上，福建省将利用省公用基础通信设施，建设结构合理、边界清晰、技术先进、安全可靠的福建省电子政务外网平台，并合理构建安全保障体系，初步完善政务网络服务体系。按国家统一规划和标准，建设福建省电子政务外网管理中心。政务外网将提供网络传输、数据交换、网络管理和安全保障等服务，省级和各级政务部门门户网站提供网络支撑，为各个业务应用系统的运行提供支撑；为实现跨部门、跨地区的信息资源共享创造条件，促进业务系统的互联互通和信息共享，提高政府的监管能力、服务质量与政务信息化水平。5.1.2 分期目标由于政务外网建设涉及面广、工程复杂、不确定因素较多、建设难度大，因此，项目将分期分阶段逐步推进和拓

35、展。第一阶段的建设目标是：于2006年10月份实现国务院2个部委局对应的厅局即监察厅和省扶贫办接入国家外网，在2007年年底将国务院10个部委对应的厅局接入国家政务外网。因此必须建立初步的城域网，包括城域网骨干网即核心和汇聚节点的初步建设，以满足相应的厅局逐步接入国家外网，目前只实现了监察厅和扶贫办接入国家外网，且骨干和汇聚层没有实现划分。第二阶段：在第一阶段建设的基础上，逐步扩大网络覆盖范围，完善福建省电子政务外网城域网，实现国务院其它37个部委对应的厅局和国家外网连接；建设省市县三级纵向网；完善政务外网数据交换中心，建设备份中心；扩大业务应用系统网上运行示范的范围，基本满足金审、金保、金农

36、等其他信息系统对网络的需求。丰富、完善和扩充外网的服务功能，扩大网络覆盖范围，增加网络服务能力，基本建成统一的电子政务外网，不断适应我国电子政务建设的网络需求。5.2 建设原则与工作模式5.2.1 建设原则5.2.1.1 实用性原则实用性原则主要体现在以下方面：以省电子政务内网的现行需求为基础，适当考虑发展的需要为依据来确定系统规模。选择成熟、先进、维护量小、使用方便的技术设备和措施。创造一个开放的网络平台，支持多种业务的同时传输，如支持语音、图象等多媒体业务。5.2.1.2 安全性原则 协议的安全性在网络中运行着很多网络协议，包括路由协议和各种为上层应用服务的广域网，局域网络协议等。正是这些

37、网络协议或服务，确保了网络系统的正常运行，因此，我们首先应确保这些网络协议或服务的安全性。 应用服务协议的安全对这些路由协议和各种上层应用服务的协议，我们应区别对待。首先，对于网络运行所必需的协议，如路由协议等，我们不但应正常运行，而且必须加以保护，以防止非法路由器加入或伪造的路由信息，采用一些加密技术或邻机校验方法，以完成认证，对于网络运行无关紧要或无用的协议，则应严格限制或关闭。 路由协议的安全在路由协议安全性方面，我们可以采用路由器邻居相互校验，校验方式可以是明码方式或MD5加密方式，对于OSPF、BGP既可采用MD5校验方式，也可以采用明码方式。通过明码或MD5加密方式校验，可以确保只

38、有有效的路由器才能加入到网络，从而能够避免非法的路由器或伪造的路由信息加入到网络中，使路由出错，导致网络瘫痪。5.2.1.3 可靠性原则为保证各项业务应用，网络必须具有高可靠性，决不能出现单点故障。要对整个网络的机房布局、结构设计、设备选型、日常维护等各个方面进行高可靠性的设计和建设。在关键设备采用硬件备份、冗余等可靠性技术的基础上，采用相关的软件技术提供较强的管理机制、控制手段和事故监控与安全保密等技术措施提高电脑机房的安全可靠性。针对本网络设计方案，其可用性设计包括网络设备本身的冗余能力、网络的冗余设计。应采用以下一些手段： 链路冗余主干连接（主干设备之间及其与汇接设备之间的连接）具备可靠

39、的线路冗余方式。 设备冗余对关键设备进行整机冗余，模块冗余，支持模板热拔插、冗余的控制模块设计、冗余电源设计、风扇冗余设计。所有模块和环境部件应具备1+1或1：N热备份的功能，切换时间小于3秒，使系统具备较高的可用性。对非关键设备进行1:N的冷备份。5.2.1.4 成熟和先进性原则在网络结构设计、网络配置、网络管理方式等方面采用国际上先进同时又是成熟、实用的技术。设备厂商和系统集成商应有相关领域的丰富经验。5.2.1.5 规范性原则网络设计所采用的组网技术和设备应符合国际标准、国家标准和业界标准，为网络的扩展升级、与其他网络的互联提供良好的基础。5.2.1.6 开放性和标准化原则在设计时，要求

40、提供开放性好、标准化程度高的技术方案；设备的各种接口满足开放和标准化原则,如果是不同厂商的产品，必须之间具备可操作性与可管理性。5.2.1.7 可扩充和扩展化原则有充分的机制方便各网点的扩展、业务量和业务种类的扩展，保证建设完成后的网络在向新的技术升级时，能保护现有的投资。网络可扩展的关键在于能否实现合理的层次化设计，采取层次化的设计可以根据网络需求的变化，可在不影响现有网络运行的状况下，迅速扩展。网络的建设必须具有良好的灵活性与可扩展性，能够根据今后业务不断深入发展的需要，扩大设备容量和提高用户数量和质量的功能。具备支持多种网络传输、多种物理接口的能力，提供技术升级、设备更新的灵活性。在网络

41、设备选型过程中，每个核心骨干层次设计中所采用的设备本身应具有极高的端口密度，层次化设计为整个网络的扩展奠定了基础。同时，我们应充分考虑路由协议的选用，使路由协议为整个网络的发展带来极强的路由扩展能力。 应用的扩展能力采用MPLS VPN是在统一的网络平台上承载多应用的最佳方案。 端口密度扩展设备的端口密度应能满足网络扩容时设备间互联的需要。 主干带宽扩展主干带宽具备48倍甚至更高的带宽扩展能力，以适应IP类业务急速膨胀的现实。 网络规模扩展网络体系、路由协议的规划和设备的CPU路由处理能力，应能满足本网络节点规模的要求。5.2.1.8 可管理性原则 整个网络系统的设备和服务器的安全性、数据流量

42、、性能等得到很好的监视和控制，并可以进行远程管理和故障诊断5.2.2 工作模式政务外网工程是跨部门、跨地区的大型项目，针对外网用户对网络早日建成的迫切要求，应该“缩小边界、加快建设”。工作模式的要点是：1统一建设。根据国家有关电子政务建设的思路和要求，政务外网建设将从国家整体利益出发。按照统一规划、统一标准的原则，统一组织建设。2加强协调。在有关部门的指导下，组建外网建设协调领导小组及其办公室。领导小组是项目建设的决策和协调机构，办公室是执行机构。同时组建由资深专家组成的外网建设专家咨询委员会。3集中与分级管理。政务外网建设既要集中统一，又要兼顾各部门、各系统特殊的应用要求。集中与分级管理相结

43、合。既要实现部门专网的互联互通，又要兼顾特定业务、部门专网之间相对隔离的要求。在网络管理上，设立政务外网管理中心实现对网络的管理。4发展用户。外网生命力在于用户。外网建设要本着“快速建设、优质服务”的思想，稳定和发展用户。外网用户愈多，外网效益就愈大。要采取各种有力措施，始终把外网用户发展工作，作为外网建设的一号任务，抓紧、抓好、抓实。主要措施包括：第一、调动省直厅局、包括社会、电信等各方积极性，优化资源配置；第二、提供优质服务、吸引用户；第三、积极探索创新的运行维护模式，走可持续发展的道路；第四、在网络一期工程完成后，配合有关单位，大力开发政府信息资源、协同政务应用示范，建设配套的信息交换和

44、目录体系等，通过丰富的、安全的内容服务，吸引并且扩大用户群。 第六章 福建省电子政务外网网络设计6.1 福建省电子政务外网设计概述福建省电子政务外网由省级城域网和省、市、县三级骨干广域网组成。城域网分为核心层、汇聚层、接入层。核心层建议配置三台H3C SR8812核心路由器组成，其中1台放置在省经济信息中心、另外两台放置在接入点相对集中的、机房环境和硬件设施较优的厅局。三个核心节点在网络中处于核心地位，其强大的数据处理能力是保障各项业务应用正常运行的基础。考虑到它们在网络层次中的重要作用以及将会涉及到巨大的数据流量，所以，三个核心节点的互联必须满足高带宽和高稳定性的要求。建议采用2.5G RP

45、R技术建设高速核心层网络，RPR环状网使得骨干网络具有强大的自愈功能，能在50ms内自动保护倒换，保障网络高可靠性。汇聚层采用5台汇聚交换机，采用GE双归属的方式与三台核心路由互联。新增的汇聚设备建议采用H3C S7506E多业务高端交换机。每个委办厅局放置一台接入交换机S3600-28P-EI，采用FE/GE接口与汇聚交换机互联。广域网部分，以省信息中心和电信枢纽节点做为广域网核心互联节点。各设区市路由器采用H3C SR8808高端路由器，其中福州节点通过千兆光纤连接到核心节点；泉州等各设区市主链路采用千兆光纤，备用链路通过MSTP 10M连接到核心节点。各县级节点，通过MSTP 2M4M连

46、接到设区市节点，各县级节点配置MSR5040多业务路由器用于上行连接，配置S3610-28TP做为MCE提供不同部门通过以太网的安全接入。乡镇单位和建制村的接入，建议通过ADSL、3G无线、宽带等方式接入政务外网。由于乡镇单位和建制村，有可能存在接入多个VPN的需求，因此在市级节点配置VPN 网关，根据用户身份来分配接入到不同的VPN中。福建电子政务外网的总体规划如图所示： 省电子政务外网，跟国家电子政务外网，可以通过多条FE/GE链路互联，保证网络链路的可靠性。6.1.1 第一阶段前期设备利旧考虑前期外网连接拓扑如下：如图所示，已建成国务院两个部委所对应的厅局监察厅和省扶贫办接入国家外网。由

47、于接入点较少，第一阶段未采购核心路由器，而是配置一台城域网汇聚交换机（在下一阶段建设中可作为汇聚层交换机），监察厅和省扶贫办通过FE/GE接入至S9505，S9505通过100M FE和国家电子政务外网福建节点的NE40路由器互联。本期增加了了核心路由器，将原来采购的H3C S9505挂接到核心路由器上。6.2 链路选择设计城域网核心的三台核心路由器SR8812采用2.5GRPR环连接，5个汇聚节点通过千兆与核心路由器进行互联。 各委办厅局与汇聚交换机的连接，分两种情况：1、距离汇聚交换机较近（同一大楼或大院内）的委办厅局，可以采用GE或FE接口直接连接，不需租用带宽。2、距离汇聚交换机较远的

48、委办厅局，可以考虑租用运营商的链路。福州节点，通过两条千兆链路与核心路由器进行互联；其他各地市节点，主链路优先通过千兆光纤（没有条件的地市采用155M ATM/PoS链路）连接到省核心节点，备用链路通过MSTP连接到省级核心节点。县级节点，通过MSTP 10/100M链路（实际申请带宽可以是2M或者4M等）到设区市节点。乡镇单位和建制村的接入，建议通过ADSL、3G无线、宽带等方式接入政务外网。6.3 福建电子政务外网的业务互访方案设计根据17号文件的描述，电子政务外网作为统一的网络承载平台，将接入不同的政府各级部门，形成在统一网络平台上的逻辑虚拟专网，各虚拟专网之间需要安全隔离。同时，因为协

49、同型电子政务应用系统的不断发展，又要求相互隔离的虚拟专网之间能够进行部分数据交互和资源共享。此外，还涉及虚拟专网用户对公共资源和互联网的访问，政务外网内部节点用户和移动用户通过Internet接入时的安全性控制，公众用户对政务外网公众服务区的受控访问等等。所以，电子政务外网上存在非常复杂的业务互访需求，而且对互访需要强大灵活的控制手段。政务网业务互访规则如下：根据各自实现的功能不同，将电子政务外网分为三个独立的功能区：纵向业务区、公众服务区、资源共享区。纵向业务区是各个纵向政府部门在电子政务外网上划分出来的虚拟逻辑专网，负责传送各政府部门自身的业务数据，彼此之间严格安全隔离。公众服务区是电子政

50、务外网上划分出的对公众服务的部分，包括各类WEB/FTP公众服务器。资源共享区是电子政务外网内部各纵向业务系统之间需要共享和交互的数据。纵向业务区、公众服务区和资源共享区三者之间的互访关系如上图所示，纵向业务区用户具有最高访问权限，可以访问公众服务区（提取公众需求），可以访问资源共享区（用于各纵向业务区用户之间交互数据），可以访问INTERNET（资料查询等）。资源共享区具有次高访问权限，不能访问纵向业务区，但可以访问公众服务区（提取公众需求）。公众服务器区访问权限最低，只能和INTERNET进行交互，不能进入纵向业务区也不能进入资源共享区。所有业务访问关系在技术上是通过MPLS VPN来实现

51、的。6.3.1 与国家电子政务外网平台的连接福建省电子政务外网建成后将与国家电子政务外网互联互通，确保国家16个试点部委与福建省对应厅局的业务贯通。在组网上，福建省电子政务外网2台核心路由器将分别通过百兆链路连接国家电子政务外网放置在福建省的接入节点路由器。为了实现福建省电子政务外网与国家电子政务外网的互联互通，两个问题必需解决：一、跨自治域的路由信息交换问题。因为福建省电子政务外网与国家电子政务外网分别处于不同的自治域内，国家电子政务外网放置在福建省的接入节点路由器是国家电子政务外网的边界路由器，福建省电子政务外网2台核心路由器将做为福建省电子政务外网的边界路由器，故它们之间需要交换不同自治

52、域的路由信息。目前跨自治域的路由协议最为成熟和应用最为广泛的应属EBGP协议，因此我们建议采用EBGP协议在两个自治域系统边界路由器之间交换路由信息；二、VPN跨自治域问题。同样是因为福建省电子政务外网与国家电子政务外网分别处于不同的自治域内，PE设备在不同的自治域内。要实现纵向VPN从国家到省之间的贯通，必需解决VPN跨自治域的问题。目前按照RFC2547bis中提出的跨AS自治域实现MPLS/BGP VPN的解决方案主要有三种：背靠背的VRF到VRF、MP-EBGP、RR间部署多跳的MP-EBGP。推荐采用MP-EBGP方式，但本次所推荐的产品必须支持三种互联技术。6.3.2 电子政务外网

53、省内纵向连接福建省电子政务外网在9个设区市分别放置1台接入路由器，此路由器将负责与设区市电子政务外网的骨干设备进行互联互通，此接入路由器上配置10/100/1000M自适应电接口和设区市电子政务外网骨干设备进行互联。福建省电子政务外网和设区市电子政务外网互联互通的主要目的是实现某些部门纵向VPN系统能够从省贯通到市甚至到县，实现纵向业务互通。6.3.2.1 纵向MPLS VPN的部署纵向VPN是指行业系统内部（例如国土、林业、环保等）从省到市到县的虚拟专网。纵向VPN的CE、PE、P设备的分布如下（如图所示）： 城域网侧：1) 城域网接入层设备做CE，接入各厅单位内部网络。2) 城域网汇聚层设

54、备做PE设备。3) 城域网核心设备做P设备。广域网侧：（分为两种情况）情况一：地市网络规模较大，地市组建自己的城域网和广域网。地市城域网接入层设备做CE，接入各局单位内部网络。1) 地市城域网汇聚层设备做PE。2) 地市城域网核心层设备做P。3) 省网广域网汇聚层放置在各地市的汇聚路由器做P。情况二：地市网络规模较小，接入层设备接入省网广域汇聚设备，地市接入层设备做CE，接入各局单位内部网络。1) 省网广域汇聚层放置在各地市的汇聚路由器做PE。6.3.2.2 纵向VPN的业务互访示意图6.3.3 政府信息资源的横向共享及访问各接入部门除有纵向建立VPN业务的需求之外，还需要横向开展某些业务，实

55、现跨部门的资源和信息共享。福建省电子政务外网将提供统一的网络平台，实现各个横向VPN业务的高速通达、逻辑隔离、安全可靠。各个部门的IDC服务器大致可以分为三类，第一类为WEB服务器，对公众开发；第二类为共享服务器，对电子政务各个部门开放，但不对公众开放；第三类为内部服务器，对本部门开放，不对其它部门开放。为了控制访问权限，需要对不同类型的服务器单独划分VPN。纵向业务系统对共享资源区的访问并非直接访问，而是通过前置机的方式访问。纵向业务系统（如工商）将自己需要和其余纵向业务系统（如税务）交互的数据通过安全的方式（如网闸）由内部服务器导入到前置机上。所有纵向业务系统的前置机自己成为一个单独的VP

56、N，共享资源区成为一个共享VPN，共享VPN可以和所有纵向业务系统前置机VPN实现互通，实现逻辑星型连接，此方式下数据流模型为集中式，图示如下：也可采用分布式数据流模型，所有纵向业务系统前置机VPN根据应用系统要求通过MP-BGP的团体属性中的RT值控制直接进行互访以交互数据。分布式资源共享方式图示如下：两种资源共享方式不是对立的，而是相互补充，满足不同接入单位的要求。具体方式视具体情况和要求而定。6.3.4 政府部门访问Internet及公众服务由于历史原因，原有各个部门的IP地址由各个部门自己规划，而不是整个电子政务网统一规划，导致不同部门的IP地址有可能重复。因此，纵向业务系统对互联网和

57、公众服务区的访问都需要做NAT。纵向业务区访问公众服务区时，NAT功能可以统一部署在PE上，也可部署在接入单位用户的接入设备上（如防火墙、路由器）上。通过NAT，将接入单位用户的私网地址转换成电子政务外网统一分配的地址，以这个地址实现对公众服务区（公众服务器同样分配电子政务外网地址）访问和对互联网的访问。纵向业务区访问互联网时需要在互联网出口设备上将电子政务外网地址转换成互联网全局IP地址。6.3.5 Internet访问公众服务区所有对公众提供服务的WEB服务器放到一个公网上，在互联网出口设备上需要做服务器IP地址的一对一地址映射。 6.3.6 移动用户接入方案为了满足接入单位出差人员通过互

58、联网平台远程访问单位内部资源的需要，电子政务外网平台需要提供统一的VPN接入服务，并将不同单位的L2TP IPSec VPN跟对应的MPLS VPN相关联。VPE设备实现了IP VPN隧道与MPLS VPN之间的映射和衔接，VPE技术很好地融合了MPLS VPN和IP VPN，实现了MPLS VPN在互联网上的延伸。在互联网出口处专门配置一台H3C SecPath F1000E做为VPE，提供远程VPN访问，并将不同单位的VPN映射到该单位的MPLS VPN中。 电子政务网只提供VPN接入，L2TP IPSec VPN的用户认证，各单位自己部署实施。6.4 统一Internet出口相关设计省级

59、平台城域网承担全省统一门户网站入口访问和全部省直单位的INTERNET出口访问，流量非常大，线路安全要求高，租用两条100M带宽线路。6.4.1 Internet访问网络结构设计福建省电子政务外网Internet访问设计如下图所示。福建省政务外网向两个不同运营商申请若干合法IPv4地址。由于地址数量有限，所以在省城域网的Internet出口采用NAT方式。在福建省电子政务外网平台设计中，出口防火墙采用千兆级的防火墙。6.4.2 防火墙的选用及布署在福建省电子政务外网平台建设中，我们需要在Internet边界部署2台千兆防火墙用于防止外部对电子政务的威胁和攻击。 如上图所示，我们建议在核心路由器

60、与Internet路由器之间配置两台防火墙，两台防火墙与核心路由器以及Internet路由器之间采取全冗余连接，保证系统的可靠性， 为了保证系统的可靠性，我们建议配置两台防火墙为双机热备方式，在实现安全控制同时保证线路的可靠性，同时可以与内网动态路由策略组合，实现流量负载分担；6.4.3 主动防御系统的选用布署福建省电子政务外网统一Internet出口的安全仅部署防火墙是不够的，在网络的运行维护中，经常遭受入侵以及蠕虫、病毒、拒绝服务攻击的困扰。事实上，员工的PC都既需要访问Internet又必须访问公司的业务系统，所以存在被病毒感染和黑客控制的可能，蠕虫可以穿透防火墙并迅速传播，导致主机瘫痪

61、，吞噬宝贵网络带宽，P2P等应用，利用80端口进行协商，然后利用开放的UDP进行大量文件共享，导致机密泄漏和网络拥塞，对业务系统的危害极大。如上文所述，防火墙无法识别高层攻击、漏报和误报、响应速度慢、性能不高以及运行维护管理复杂等缺陷，显然这些问题使福建省电子政务外网无法完成支持日益增长的安全需求的关键任务。在这种充满挑战的环境下，急需能够保护应用系统、网络基础设施和性能的利器，而能够帮助福建省电子政务外网实现这些关键任务的解决方案只有主动式入侵防御系统，即Intrusion Prevention System IPS。在福建省电子政务外网平台建设中，选择2台H3C T200E IPS设备连接

62、不同的两个运营商，放置在出口，并与防火墙两两互连，作冗余保护。提供业界最完整的入侵侦测防御功能。H3C T200E IPS定义的三大入侵侦测防御功能包括：应用程序防护、网络架构防护与性能保护。这三大功能可提供最强大且最完整的保护以防御各种形式的网络攻击行为，如：病毒、Spyware、蠕虫、拒绝服务攻击与非法的入侵和访问。6.5 数据中心相关设计在电子政务系统中，数据交换虽然是分布、对等的，但整个系统仍然有一个监控中心，负责交换模型的定义，建立信息交换和网内共享信息资源开发利用与管理制度。例如：公文交换中心就包括部门之间公文交换的审核、交换、审计、暂存、销毁、电子印章等。电子政务系统是构筑在各政

63、府部门（部委局署及地方政府部门）的信息系统之上，是把各自的数据库作为其共享的一部分。数据中心是数据大集中而形成的集成信息化应用环境，它是各种信息化业务和应用服务的提供中心，是数据运算/交换/存储的中心，实现对用户的数据、应用程序、物理构架的全面或部分进行整合和集中管理。数据中心是当前各个行业的信息化建设重点。政府、金融、运营商、电力、能源、交通、教育、制造业、大型企业等已经完成或正在进行数据中心建设，通过数据中心的建设，实现对信息化系统的整合和集中管理，提升内部的管理运营效率以及对外的服务水平，同时降低信息化建设的TCO（整体拥有成本）。6.5.1 建设以“数据服务”为核心的数据中心架构数据中心保存着一个组织的重要数据，这些数据是组织数字化运营的结晶，是核心资产。据IDC的统计数字表明，美国在2000年以前的10年间发生过灾难的公司中，有55%当时倒闭，剩下的45%中，因为数据丢失，有29%也在两年之内倒闭，生存下来的仅占16%。数据中心的所有业务