建設行業電子政務信息網絡建設與優化

◎ 江蘇省建設信息中心 車黎剛 潘晶晶

【關鍵字】電子政務 信息安全 網絡優化

“十一五”期間，江蘇省住房城鄉建設主管部門始終將信息網絡安全作為電子政務的工作重點，不斷加大資金投入，著力提高信息安全監控水平。省級部門先后出臺了《計算機信息系統安全預案》、《計算機網絡管理辦法》、《政務網站信息發布管理辦法》等一系列規范性文件，編制完成計算機網絡安全和運行總體建設方案，構建完成電子政務硬件公共服務平臺，以及集硬件設備、系統軟件、應用軟件、安全系統與網管軟件為一體的協同網管平臺。通過上述措施，優化了計算機網絡運行環境，做到了網絡防攻擊防入侵，網站防篡改、內網有審計、上網行為有監控、用戶需認證，確保了電子政務系統的安全、可靠和穩定運行。

然而，隨著政府部門依賴信息網絡程度的不斷提高，電子政務信息安全和網絡優化工作已成為電子政務信息化建設的重中之重，尤其是隨著信息技術日新月異的迅速發展，電子政務信息安全和網絡建設不斷面臨新問題、新情況和新挑戰，需要我們不斷應用新技術新手段去完善和優化信息網絡，更好地適應電子政務信息化建設和應用的新需求。

1 信息安全和網絡建設現狀和問題

經過近幾年的努力，省、市建設部門已基本建成外網、內部業務網和與政府相連的政務內網，網絡間相互獨立，實現了物理或邏輯隔離。三類網絡中，外網承擔門戶網站政務信息發布、行政事項網上受理與結果反饋和互聯網訪問等功能；業務內網承擔機關辦公自動化系統（OA）、行政事項審批等功能；政務內網屬于涉密網絡，與其他網路相互物理隔離，主要承擔各級建設部門與黨委、政府電子公文交換、政務信息報送、行政權力網上公開透明運行和信用信息交換，以及與政府其他職能部門信息共享共用等功能。

建設系統電子政務網絡拓撲結構如圖1所示。

傳統的網絡硬件部署在實際應用中雖然能夠滿足需求，但在資源利用效率和網絡安全上還存在以下問題。

1.1 硬件資源的傳統部署模式導致服務器效能低下

各級建設系統計算機網絡中心承擔著為不同 業務部門和單位提供IT基礎設施服務的任務。隨著信息化建設的發展，面臨的挑戰也越來越嚴峻：不同時期開發的業務系統，由不同的業務處室或單位獨立開發，每套系統的維護管理一般由建設單位負責。僅省級部門共有獨立的信息系統、網站等22個，擁有服務器設備31臺。按照傳統的建設模式，通常是一個物理機運行單個應用，而且，為了確保一些重點應用系統的業務連續性，還采用雙機熱備的方式。隨著服務器數量的急劇增加，機房空間日趨飽和、電力負荷接近滿載，尤其是在工作峰值時段，機器散熱問題引發系統故障時有發生。此外，設備維護、精密空調24小時不間斷運行等運維成本居高不下。

經過對服務器性能進行跟蹤監控后發現，目前運行的服務器利用率十分低下，CPU平均利用率在6%-10%左右，遠未充分發揮現有硬件資源的作用。此外，應用系統和服務器數量同比例增加后，其管理難度同時加大。因此，整合網絡硬件資源的工作十分迫切。

1.2 信息網絡的傳統部署模式導致安全隱患

1、不同安全等級區域間未隔離

圖1 建設系統電子政務網絡拓撲結構圖

在外網區域內，屬于第二保護等級的Web應用服務區、業務系統區和屬于第三保護等級的數據存儲區之間，未按照公安部《關于信息安全等級保護工作的實施意見》的要求，嚴格采用有效的隔離方式，一旦較低級別的區域遭受黑客攻擊，較高等級的區域將可能直接開放給黑客，極易受到攻擊和入侵。

2、未建立完備的數據備份系統

建設系統電子政務信息數據涉及：城鄉規劃、建設和管理、住房保障、建筑市場監管、房地產市場監管、建筑節能和行政審批等信息，還包括機關內部辦公自動化系統及公文交換系統中的各類收文來文信息。建設行業一些信息數據與社會民生和社會穩定息息相關，其重要性可想而知，而且數據類型多（結構化和非結構化數據），數據量大（空間數據等圖文共存），時效性強（行政審批信息、房產市場交易信息等），但是，由于建設存儲系統前期投入較大，不少地方至今尚未建立完備的數據備份系統，一旦發生重要數據丟失事故，后果不堪設想。

3、計算機終端可能成為信息網絡安全管理的盲區

不同地區和部門信息網絡安全防范意識、計算機應用水平和工作人員自身綜合素質等存在較大差異，加上部分終端計算機使用未經有效認證，極有可能被黑客利用成為“跳板”，通過內部網絡繞過防火墻和入侵檢測設備，掌控服務器核心區域的訪問控制權限，逐級攻破Web應用服務區、業務系統區和數據存儲區，注入木馬病毒等程序致使系統癱瘓、數據丟失，甚至造成敏感信息泄露事故。

4、用戶身份認證強度低

近50%以上的建設系統行政管理部門仍沿用傳統的“用戶名+ 口令”的方式，還有一部分業務系統已采用自制密碼鎖的方式登錄系統，大部分系統尚未采用具有法律效力的第三方數字身份認證（CA認證）登錄。目前的應用系統一般采用B/S構架，若沒有采取嚴格的身份認證等安全措施，用戶通過互聯網訪問系統時，非法用戶有可能破譯登錄密鑰，非法獲取訪問權入侵數據庫破壞系統。

2 優化硬件網絡共享平臺對策

應用VMware虛擬技術是優化硬件網絡資源，提高資源利用效率的有效方法。

VMware能在單一的物理平臺上無限多的運行完全隔離的系統環境，而每一個虛擬服務器，從功能、性能和操作方式上，等同于傳統的單臺物理服務器，在每個虛擬服務器上，再安裝配置Windows或Linux操作系統，進而再安裝應用軟件，這樣以前的每個物理服務器就變身成為VMware服務器上的虛擬機，從而大大提高資源利用率，降低成本，增強系統和應用的可用性，提高系統的靈活性和快速響應，實現服務器虛擬架構的整合。這樣可以控制和減少物理服務器的數量，明顯提高每個物理服務器及其CPU的資源利用率，從而降低硬件成本。

圖2 優化的建設系統電子政務網絡拓撲結構圖

采用虛擬架構后，每個虛擬機所需使用的系統資源均由虛擬架構軟件統一調配，這種調配可以在虛擬機運行過程中在線的發揮作用，使每一個應用均有充分的資源來保證穩定運行。同時，該應用閑置資源又可以被其他更需要的資源調度過去，最大限度地提高整體系統的資源利用率。虛擬化后的信息網絡資源突顯以下優勢：

1、通過部署服務器虛擬化技術，顯著地提升了服務器的利用率，每個服務器的平均利用率從5%-15%提高到60%-80%，并且將部署應用所需要的物理服務器大幅度降低，節約出來的服務器和數據中心空間可以部署新應用。

2、大大降低運營成本，包括數據中心空間、機柜、網線、耗電量、冷氣空調和人力成本。

3、由于整合了多臺物理服務器，能夠有效降低服務器維護管理所需要的工作量。

4、將所有服務器作為一個資源池統一進行管理，并按需自動進行動態資源調配。

在實際硬件網絡部署中，配合集中存儲方式，將虛擬機的文件系統集中存儲在存儲陣列空間的中，利用VMware群集文件系統，允許多個VMware服務器訪問同一虛擬機存儲，通過VMware提供的基于虛擬化的分布式基礎結構服務，可在一臺VMware服務器故障情況下啟動另外一臺VMware服務器加載虛擬機文件系統，恢復應用和業務系統的運行，消除單點故障。

部分城市建設部門已開始采用虛擬化技術整合優化硬件網絡資源，盡管這種方式一次性投入較多，但從長遠看，它實現了資源最優化調度，硬件資源始終高效率運行，整體投入反而降低，實際應用效果良好。

經過優化的建設系統電子政務網絡拓撲結構圖如圖2所示。

3 加強信息網絡安全的對策

加強信息網絡安全技術層面工作，應按照“兩統一”、“兩嚴格”的要求進行。

3.1 統一安全隔離設備部署

使用防火墻設備將不同等級區域隔離，并采用訪問策略進行不同等級間的訪問控制。對于WEB服務區，禁止其訪問機關辦公區、業務系統區和系統服務區，也禁止其主動訪問互聯網，只允許互聯網及機關辦公區訪問WEB服務區的網站服務，及WEB服務區對指定數據存儲區服務設備的訪問。對于業務系統區及數據存儲區則采用類似安全策略進行防護。

3.2 統一數據存儲系統部署

在數據存儲區部署存儲設備，對數據存儲區設備內數據進行熱機備份，同時部署虛擬帶庫系統，對數據進行外部存儲介質備份，定期將外部存儲介質轉移至異地存放，確保數據庫和應用系統安全。

3.3 嚴格用戶終端管理

使用統一的IP管理策略和部署網絡管理系統，對各個用戶終端統一規劃和管理，定期進行系統漏洞掃描和補丁修復，定期進行病毒查殺和升級，杜絕其成為不同等級安全域之間的“跳板”。

采用防火墻策略限定用戶終端只能對Web應用服務區、業務系統區和數據存儲區指定服務端口和設備的訪問，即使終端被黑客控制，也只能對有限的服務和設備造成影響，將事件的危害控制在最小的范圍和深度。

3.4 嚴格用戶身份認證

使用防火墻設備將業務網接入電子政務外網中，并統一采用VPN、CA等身份認證技術，控制互聯網用戶訪問同電子政務外網邏輯隔離的業務網中業務系統。

業務系統部署在業務網中，采用邏輯隔離方式與電子政務外網聯通，處在互聯網的用戶必須首先訪問SSL VPN，并通過用戶名密碼和CA認證后，才可以取得對業務系統的訪問權限，而且SSL VPN根據用戶策略限定用戶對業務網中系統的訪問范圍，將用戶權限控制在最低程度。這樣，內部業務系統只對授權的互聯網用戶開放訪問權限。

4 結語

電子政務信息安全是一項復雜的系統工程，是一個融復雜組織和先進IT技術于一體的復合體。信息網絡安全建設要統一考慮，長遠規劃，才能保證技術的先進性和可擴展性。雖然現有的網絡結構已經能夠解決很多的安全問題，基本滿足應用系統實際運行需要，但在提高硬件資源綜合利用率上需進一步優化，信息網絡安全上需不斷加固，更好地適應建設行業電子政務信息化建設的新形勢。