随着中国电子政务的推进,政府部门承担越来越多的管理和服务职能,比如,税务部门的提供网上报税功能,为市民和企业提供更便捷的报税服务;卫生部门提供网上预约挂号功能,让市民足不出户就能预约看病,免去排队之苦。为实现这些服务,政务网络和安全体系是必不可少的基础。
在各地的政府部门网络建设中,网络建设呈现出很大的差异性,大致来说,政务网络可以分为三个阶段。
第一阶段:基本网络连通,能够提供门户网站、邮件、上网等基本业务,有防火墙等基本的安全防护设备,网络管理软件基本没有或者基本不使用。
第二阶段:在第一阶段的基础上,采用了高性能的网络设备,考虑到设备和网络的冗余,可靠性明显提高。增强了安全防护,除了防火墙外考虑了入侵防御、WEB保护、用户认证和审计等安全技术;
第三阶段:在第二阶段的基础上, 采用业界领先的可靠性技术和网络设备,实现了网络的极高可靠性,可以满足关键业务对业务连续性的苛刻要求;、更强的扩展能力,全面的安全防护,完整的管理能力。
政府网络的基础网络规划需要考虑多方面的问题:
1. 多年来电子政务的建设使政府的业务对政务网络的依赖大为增加,政务网络承担着所有电子政务的运转和大量数据的传送,网络的故障将导致业务系统的中断,因此网络的可靠性格外重要。
2. 政务网络的建设通常分期分阶段实施,因此需要网络具有良好的可扩展性,以满足网络不断发展的需要。
3. 根据业务不同,将网络分成不同功能区域,便于网络的管理,并且可以在不同区域之间部署针对性安全策略。
4. 数据中心承载着核心政务业务和大量重要数据,日常业务量远远高于普通网络设备,有时还会出现突发性浪涌数据流。对数据中心使用的交换机需要选择专业的数据中心交换机。
H3C第二代智能弹性架构技术(IRF2)以极大简化网络逻辑架构、整合物理节点、支撑上层应用快速变化为目标,实现IT网络运行的简捷化,改变了传统网络规划与设计的繁冗规则。IRF2即第二代智能弹性架构,是创新性建设网络核心的新技术。
如图所示,H3C交换机可以互相连接起来形成一个”虚拟设备”
IRF2技术向用户提供了一种新型的虚拟化技术,能为用户线性的扩展整个系统的性能,增强系统的可靠性,同时提供管理的便捷。对网络核心、汇聚和数据中心应用来说,是关键性的技术。
高性能网络的基石:数据中心级交换机
随着政府数据中心建设的深化进行,数据中心的物理服务器、存储系统数量快速增长,使得数据中心规模不断扩大。目前1Gbps~8Gbps级别的服务器、存储系统网络接口成为主流,从而使得基础网络系统的千兆接入、万兆互联成为数据中心建设的基本标准。
H3C提供全系列的专业数据中心交换机产品,涵盖从核心到接入的各个层面。专业数据中心产品广泛应用于淘宝、百度、腾讯、搜狐等大型数据中心。
整体的安全防护,应该全面考虑网络各个部分的安全风险,分别加以防护。政务网的安全防护重点及部署要关注以下几个方面:
1. 行政办公网络的内网安全风险控制:主要包括接入用户的端点安全,用户的桌面安全管理,以及不同部门之间的安全隔离和访问控制。
2. 出口安全防护:在出口处部署防火墙与入侵检测设备,有效的屏蔽来自外网的各种网络威胁。通过从网络层到应用层的安全过滤,可以检测各种恶意病毒代码以及黑客木马工具植入的潜在威胁。
3. 内部边界安全防护:按照安全域的划分原则,政务网络可能包含了办公网络、internet边界、DMZ,数据中心、广域网分支、网管中心等组成部分,各安全域之间的相互隔离和访问策略是防止安全风险的重要环节。
4. 数据中心的安全:数据中心是政务网安全防护的核心区域。使用高性能IPS进行关键服务器的应用层攻击防护的基础上,需要关注大流量的DDoS防护,尤其是关注数据中心应用的性能,必要的情况下需要考虑并部署负载均衡等应用优化类设备,以实现对外业务的可靠快速的响应。
5. 外部用户的接入安全:如果没有条件实现专线接入,使用IPSEC VPN进行加密数据传输时是通用的选择;对于部分出差用户,或者实现家庭办公、移动办公也可以通过部署SSL VPN的方式解决从外部访问业务系统。
安全功能的要求使得设备种类越来越多。越来越多的设备给部署带来很大的困难,由于安全功能的串行处理的特点,部署以下六大安全功能就要部署六层安全设备:
1. 防火墙:完成最基础的安全区隔离;
2. IPS入侵防御:实现2-7层应用层安全防护;
3. AFC(流量清洗):专业防护DDOS(拒绝服务攻击);
4. ACG 应用控制 :实现对应用程序、带宽的控制;
5. LB(负载均衡):实现数据中心服务器访问负载均衡;
6. NetStream:数据中心网络流量分析;
但是过多的层次使网络结构变得非常复杂,设备部署困难、日常管理复杂、排错调试工作量大。
H3C的网络无缝安全融合方案实现了丰富的安全功能和便捷部署与管理的统一。网络需要的安全功能只要在交换机上插上相应的安全插卡就能全部支持,安全插卡采用分布式硬件,与独立式设备性能相同;所有安全功能一级部署,网络结构简洁清晰,避免了糖葫芦串的复杂结构。
无线网络作为有线网络的必要补充,已经越来越普及,在政务网当中也有越来越多的应用。无线网络带来了使用上的方便,然而如果部署不当,却会带来管理上的麻烦。有线无线割裂是常见的一个问题, H3C提供了有线无线一体化解决方案,实现了有线和无线的统一管理,使无线网络与有线网络采用同一管理平台,同一告警和日志平台;无线和有线设备统一显示在同一界面,实现了一体化拓扑管理。
构建一个技术先进、智能安全、业务全面的政务网络是每个政府信息化部门的目标,建设高性能、可靠性和扩展性技术的最新进展和整体安全、网络安全无缝融合、有线无线一体化等领先的建网理念,对政府信息化建设具有重要的促进作用。