電子政務系統中ＶＰＮ技術的研究與設計

　　摘要：文章介紹了VPN技術在江西省財政廳電子政務網絡環境下的應用，重點對VPN系統中的設計實施做了詳細的需求分析和系統結構設計，全面考慮了VPN實施中的機密性、完整性、真實性等特性，對電子政務網中的IPSec等關鍵技術提出可行性解決方案。
　　關鍵詞：VPN；電子政務；IPSec
　　
　　一、研究背景
　　
　　電子政務安全尤其是應用VPN技術的宗旨是要在電子政務系統建設和實施過程中充分考慮各種風險，最大限度地保護硬件、軟件、信息和網絡安全，其核心是保護電子政務信息安全，以確保電子政府能夠有效行使政府職能。
　　
　　二、VPN技術
　　
　　江西省財政廳電子政務網絡建設目前采用MPLS VPN組網技術，建成高安全性、高帶寬、能開展靈活多樣的業務、擴展性能良好、性價比最好的電路接入平臺。為簡化網絡體系結構，提高傳輸效率，方便網絡規劃和IP地址的分配，保障系統安全，易于兼容不同技術體系和實現網間互聯，同時盡可能地利用已有的公網資源，電子政務外網電路接入平臺主要基于中國電信MPLS VPN網絡來構建。
　　（一）VPN技術
　　VPN的基本思想就是利用Internet來傳輸私有信息而形成邏輯網絡，從而為企業級用戶提供比專線價格低廉和高安全性的資源共享和互連服務。
　　VPN是一種在基于共享體系結構的企業級的連接業務，它有著與私有網相同的策略，可以在IP、幀中繼、ATM或INTERNET上建立VPN。它具有同客戶原有的私有網絡相同的安全性、優先級特性、易管理性和穩定性。它可以滿足使用者對原政務網與Remote office、移動用戶、遠程用戶間無縫連接的要求，即將網絡連接擴展到使用者、政務管理員、省級各部門和關鍵用戶以形成Extranet來降低商業運作開支和提升服務質量。
　　（二）IPSec
　　IPSec是一個第3層VPN協議標準，它支持信息通過IP公網的安全傳輸。IPSec可用兩種方式對數據流進行加密：隧道方式和傳輸方式。隧道方式對整個IP包進行加密，使用一個新的IPSec包打包。這種隧道協議是在IP上進行的，因此不支持多協議。傳輸方式時IP包的地址部分不處理，僅對數據凈荷進行加密。IPSec支持的組網方式包括：主機之間、主機與網關、網關之間的組網。IPSec還支持對遠程訪問用戶的支持。IPSec可以和L2TP、GRE等隧道協議一起使用，給用戶提供更大的靈活性和可靠性。IPSec的ESP協議和報文完整性協議認證的協議框架已趨成熟，IKE協議也已經增加了橢圓曲線密鑰交換協議。由于IPSec必須在端系統的操作系統內核的IP層或網絡節點設備的IP層實現，因此需要進一步完善IPSec的密鑰管理協議。
　　
　　三、VPN總體設計目標
　　
　　通過對江西省財政廳及各下屬單位，尤其以省廳和江西財經職業學院為重點的調研，多次技術交流之后，認為需求分析首先要明確江西省財政廳電子政務網絡安全系統建設的各項要求、工作流程，以及需要達到的效果。通過對需求的分析，針對目前要解決的問題，做出完整的系統分析，結合當前的現狀，提出系統和網絡的綜合安全解決方案。
　　江西省財政廳電子政務網絡基礎電路接入平臺以省級網絡基礎硬件平臺（數據中心）為核心，各級財政局和江西財經職業學院通過路由器或交換機與當地VPN節點連接，各級VPN節點縱向互聯匯入政務網骨干網絡，實現MPLS VPN連接。連接的物理信道主要采用以太網線或光纖。各級財政局和江西財經職業學院采用ADSL等寬帶方式主要以IPSEC VPN接入當地上級市（州）數據中心，因為IPSEC VPN較容易匯入MPLS VPN網絡中，所以能形成一個整合在一起的信息安全平臺。連接的物理信道主要采用模擬線路。
　　
　　四、VPN系統詳細設計
　　
　　江西省財政廳電子政務網省級數據中心分為政務網和互聯網兩部分，政務網包括數據中心的網絡交換設備和數據庫及其他應用系統，互聯網主要是INTERNET的接入以及信息發布系統。政務網與互聯網間設置防火墻，實現邏輯隔離，以保護政務網的內部安全。在下文實例中，將充分考慮以上設計原則，互聯網與政務網分離，兩網設置防火墻，以邏輯隔離的方式實現安全應用。
　　（一）網絡結構設計
　　數據中心網絡系統的主要作用是連接各種應用服務器、信息發布系統及托管服務器。網絡結構采用典型3層網絡結構：核心層、匯聚層和接入層。
　　（二）安全系統
　　江西省財政廳電子政務網絡必須建立必要的安全系統，為電子政務提供可靠的安全保障機制。江西省財政廳電子政務網絡的安全保密框架主要由電路層安全、網絡層安全、應用層安全、門戶網站的統一認證平臺、安全管理體系和相應與回復機制幾部分構成。在以上的安全措施中，除了電路層安全由MPLS VPN網絡實現外，其他幾項都要在數據中心來實現，作為網絡匯聚中心、數據存儲中心、信息處理中心的省級基礎硬件平臺—省級數據中心更是實施安全的必不可少的關鍵環節。
　　
　　五、江西省財政廳電子政務網
　　
　　（一）應用背景
　　江西省財政下屬區、市財政局11個和縣級財政局99個以及江西財經職業學院。電子政務外網項目通過VPN網絡建設實現各單位的聯網，從而訪問省財政廳的網絡資源。此VPN網絡包含省財政廳數據中心、各市、各縣。省中心局域網規模較大，局域網內有數據庫服務器、內部OA系統和內部郵件系統等，并且通過專線（光纖、DDN等）連接并可訪問互聯網。縣級的網絡規模較小，不超過10臺計算機。部分縣級網絡具有內部的數據庫服務器和內部OA系統，大多數通過ADSL方式連接Internet，局域網內計算機可通過此ADSL共享上網。
　　（二）目標
　　需通過此次VPN網絡建設，實現VPN接入和原有ATM網絡的無縫結合，縣級單位除了都可以訪問省財政廳的資源外，還可以實現縣到其所屬市之間的通訊。
　　通過VPN網絡建設，可以實現全網的文件共享、遠程教學、數字圖書館、網上會議系統以及所有基于TCP/IP的應用。
　　（三）解決方案
　　1、省財政廳網絡規模較大，區級、縣級單位及財校都需要與它通信，進行數據交換。這樣顯得穩定性要求更高，接入帶寬要求更大。建議使用兩臺GW5000的包含VDN模塊型號設備。使用10M的上網專線接入Internet，因為需要對外提供VDN服務，所以要求有兩個或以上的固定的公網IP地址。
　　2、定義管理域的節點之間的網絡拓撲關系。在初期建設中，縣級節點跟省中心形成星型網絡；當以后上語音、視頻等其他系統時，需要縣節點間通信時，可在VDN上進行網絡拓撲的重定義，非常簡單、快速。
　　3、GW5000除了包含VDN功能模塊外，還具有最高性能的VPN接入設備（中心點的終端設備）提供作為智能接入終端的所有功能。
　　4、兩臺GW5000互為熱備份，充分保證VDN服務和中心點VPN接入的穩定可靠性。需要兩個公網IP地址。
　　5、所有終端都提供基于SSL的移動客戶端接入。用戶可選擇使用安全性高的USB Key證書認證方式，也可以選擇比較簡單的用戶名和密碼認證方式。
　　
　　六、結束語
　　
　　將VPN技術應用于江西省財政廳電子政務網中，對于電子政務的實施、各財政局及江西財經職業學院實現互聯互通、政務信息資源共享、開展電子政務應用構建骨干平臺和提供硬件支持，具有重大意義。
　　
　　參考文獻：
　　1、信息產業部計算機技術培訓中心組.電子政務實用技術[M].人民郵電