总23期
Practice    成功实践
Practice    成功实践
从百姓出发——山东电子政务进入服务新时代
文/杨炳炉、张凯

国务院在“十三五”期间印发了《国务院关于印发政务信息资源共享管理暂行办法的通知》(国发〔2016〕51号)、《国务院关于印发“十三五”国家信息化规划的通知》(国发〔2016〕73号)、《推进互联网协议第六版(IPv6)规模部署行动计划》(厅字〔2017〕47号)等相关要求,全国各省市基于上述政策文件,正式开启了电子政务网络建设的全新时代!

政务网全面升级,山东省政府一马当先

政务网络的建设是政务数字化、上云的基础,原有的电子政务外网聚焦在省、市、县三级,对于末端覆盖存在盲区,同时IPv6网络规划、通信网络安全设计等缺乏经验积累,因此政务网的改造升级迫在眉睫,新华三作为山东政务网改造升级合作伙伴之一,基于政务网运行的业务诉求,打造一张精品政务网典范,实现“云网融合、政通云和”。

此前,山东省已建成了电子政务外网的骨干网,根据国家数字乡村建设规划要求,本次政务网升级建设需要延伸至村。为了落实两办IPv6规模部署计划,本次政务网建设需要规模部署IPv6,同时为了保证政务外网安全可信,需要基于国家信息化相关安全法规对网络进行安全加固建设。基于上述三个网络建设重点、难点,新华三基于多年政务网建设积累和沉淀,提出了综合解决方案。

覆盖到村,打通政务服务最后一公里

根据《中共中央、国务院关于抓好“三农”领域重点工作确保如期实现全面小康的意见》以及《数字乡村发展战略纲要》的要求,建设延伸到乡村的电子政务外网,是实现“互联网+党务”、“互联网+政务”、“12345+网格化”等一批重要电子政务应用延伸到村,为打通政府服务最后一公里提供了重要支撑。

山东省电子政务外网在延伸到村的建设过程中,充分考虑各区域地理位置、经济条件、用户群体、接入业务等因素,基于不同的接入条件、不同的安全访问域、不同的业务形态制定差异化、定制化的组网设计方案。

针对农村地理位置和经济条件的差异,比如偏远地区有线线路接入不便,专线线路昂贵等,提供包含MSTP专线、互联网线路、4G/5G线路,并有效利用乡村既有的基础设施,比如雪亮工程线路等各类差异化接入方式,因地制宜制定混合组网方案。同时,结合新华三MSR系列多业务路由器,融合专线接入、网关IPsec加密、4G/5G接入能力,实现“一套设备,多种接入”,为网络运行过程中的设备统一管理,网络统一维护提供基础。

电子政务外网的目标是资源整合、平台共享、高效服务,除支撑必要的政务业务外,比如医保报销,政务审批等,作为一张覆盖到乡村的政府业务专网,也承载了乡村公务人员互联网上网业务。为信息安全考虑,传统的实现方式是两台电脑、两根网线,保障不同的业务访问和隔离需求,在资金投入、资产管理及用户体验上存在较大的弊端。在山东电子政务外网方案中,通过在MSR路由器上设置不同的访问域(MPLS VPN),以及设置访问域与用户账号的绑定关系,用户只需要输入不同的账户(政务业务账户、互联网业务账户),路由器根据账户名自动将终端绑定到相应的访问域,从而在保证信息隔离的基础上,实现一台电脑、一根网线访问两类业务。

视频业务(比如党务视频会议、政务视频会议等)是电子政务外网延伸到村后使用比较频繁的业务,也是网络资源占用较大、体验要求较高的业务。视频会议质量保障的关键在于网络,比如丢包率达到3%的时候,视频有比较明显的抖动现象;丢包率达到5%的时候,画面出现马赛克;当丢包率达到10%的时候,视频会议已经无法正常进行。在山东省电子政务外网方案中,通过在边缘侧的路由器上开启AFEC(自适应前向纠错)特性,在网络出现丢包时,可以通过冗余信息将丢失的报文恢复,抗丢包率达20%,有效解决视频会议过程中出现的抖动和马赛克问题,充分保障用户的视频会议体验。

面向未来,政务网IPv6全网演进

随着山东省政务网的全面升级,IPv6网络推行刻不容缓。一方面根据国家“十三五”规划,所有的政府门户及业务系统都要进行IPv6改造;另一方面,从本次升级来看,随着电子政务外网建设到村和数字乡村计划的开展,未来会有大量的物联终端接入到网络中来,IPv4地址已经无法为升级后的电子政务外网提供充足的IP地址。所以,本次山东电子政务外网改造,全网要升级支持IPv6网络,但是IPv6的改造并不是一朝一夕,所以,如何分步进行IPv6改造就成了一个重要的课题。山东省政府将IPv6改造策略如下:网络设计一致,网络流量分离,改造分步实施。

1.网络设计一致

即在IPv6的网络平面上实施与IPv4一致的路由协议、业务隔离策略、QoS策略、可靠性策略,这样可以较好地复用在IPv4网络上的较佳实践,提高以后网络的维护效率。

2.网络流量分离

在IPv6改造方案的设计中,IPv4流量只在IPv4平面承载,IPv6流量只在IPv6流量承载。在满足业务需求的前提下简化网络的设计,使得网络更易于维护。

3.改造分步实施

考虑到现有网络中存在部分设备尚不支持IPv6,且未到报废年限,所以,在网络IPv6改造过程中,设备的更新需要逐步分批进行,从而降低改造的难度。

目前业界主流的IPv6和IPv4互通技术有三种:双栈技术、隧道技术以及协议转换和代理。“协议转换和代理”方式为实现和其它未改造站点实现IPv6互通,需配置静态路由,会破坏政务网统一的地址策略和路由策略;而构建多点到多点的“隧道技术”承载IPv6的方式过于复杂,会导致网络非常难以维护。所以,最终确定采用“双栈技术”进行IPv6的改造。虽然该技术对设备要求较高,但可以帮助山东省政府更加规范、有序、彻底地完成政务外网IPv6的改造。

全方位防护,保障网络安全

电子政务外网作为政府部门的业务专网,承载各级政务部门社会管理和公共服务类业务,又作为政府部门运营级网络,承载各级厅局委办专网业务,网络安全是其可靠运营的根基。同时,伴随着《中华人民共和国网络安全法》出台,等级保护由1.0时代升级到2.0时代,将定级对象由1.0时代的“信息系统”延伸到含“基础信息网络”在内的新技术新应用,将“安全区域边界”作为独立的技术评级要求。《中华人民共和国密码法》、《信息系统密码应用基本要求》也分别从法律法规,信息系统安全等层面对网络安全提出更加明确的要求。

山东省电子政务外网从用户信息安全角度出发,按照等保2.0 “安全区域边界”要求,对接入网络的用户强制实施安全策略,控制终端用户准入的合法性,对用户的网络行为进行严格的管控和审计,有效地加强对用户的主动防御能力。采用紫光股份旗下新华三集团MSR系列EAD融合网关MSR3610-IE-EAD,融合基础网络互联互通、EAD用户准入控制,及ACG用户行为管控能力,实现对终端用户的准入控制、动态授权、用户行为管控和行为审计,在等保2.0的安全框架下保障整张电子政务网络的边界安全。

电子政务外网作为政府运营级网络,承载各级厅局委办关键业务,不同业务系统之间网络逻辑隔离可以有效防止数据互访,而网络数据加密则是信息安全的根本保障。通过开启路由器IPSec VPN加密功能,配合新华三集团高端、中端、低端全系列路由器内置的国密加密算法(SM1~SM4算法,包含数据加密算法、认证校验以及完整性校验等多种应用模式),在超大型、运营级电子政务外网之上,构建端到端国密算法加密的信息安全专网,保障用户数据传输安全。

观点

山东电子政务外网改造工作在各方共同努力下稳步推进。截至目前全省政务外网公共服务域已接入各级部门1.6万余个,实现省市县乡全覆盖,正加快推进村居(社区)全接入,行政服务域接入各级部门1.3万余个,基本实现省市县全覆盖。

新华三集团凭借丰富的电子政务网络建设经验,为山东电子政务外网打造一张超宽、智能、可信、极简的广域网,实现了让数据多跑腿、让企业和群众少跑腿,利企便民,让山东电子政务在数字化转型的道路上迈出了坚实的一步。

分享到
关闭