省級電子政務外網(wǎng)數(shù)據(jù)交換安全技術初步探討

康亮 陳文君

【摘要】隨著電子政務技術的發(fā)展和應用，政務網(wǎng)絡對跨網(wǎng)絡之間的數(shù)據(jù)交換需求越來越頻繁。電子政務網(wǎng)接入不規(guī)范，將使網(wǎng)絡安全風險增加。為了提高數(shù)據(jù)交換的安全，本文就政務網(wǎng)的網(wǎng)絡交換場景下的數(shù)據(jù)交換框架進行初步探討。

【關鍵詞】電子政務外網(wǎng);安全接入;數(shù)據(jù)交換

隨著計算機技術、網(wǎng)絡技術和通信技術的發(fā)展和應用，我們已深深地感到，利用信息化手段改進政府行政方式、創(chuàng)新政務流程勢在必行。電子政務信息化能夠力促政府辦公效率提升，創(chuàng)造網(wǎng)上辦公的新模式，節(jié)約政府開支，改進政府的組織結(jié)構(gòu)，更加全面快捷的向社會民眾提供優(yōu)質(zhì)、規(guī)范、透明、符合國際水準的管理和服務。

但隨著政務應用發(fā)展和增加，許多跨區(qū)域，跨行業(yè)的業(yè)務需求，使得電子政務網(wǎng)需要接入其他業(yè)務網(wǎng)絡，并進行數(shù)據(jù)交換。其他業(yè)務網(wǎng)絡的接入導致電子政務網(wǎng)的網(wǎng)絡安全風險增大;特別是網(wǎng)絡數(shù)據(jù)安全的保護問題日益凸顯。這就給電子政務接入帶來規(guī)范。本文就以省級政務網(wǎng)為例對電子政務接入安全技術做一些初步探討。

一、電子政務外網(wǎng)總體框架

省級電子政務網(wǎng)按照管理層次劃分，可分為省級、地市級、縣級三級政務網(wǎng)結(jié)構(gòu)。根據(jù)政務網(wǎng)所承載的業(yè)務和系統(tǒng)服務的類型的不同，在業(yè)務邏輯上，政務網(wǎng)可劃分為專用網(wǎng)絡區(qū)、公用網(wǎng)絡區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)三個功能域，分別提供專用VPN業(yè)務，政務網(wǎng)互聯(lián)互通業(yè)務和互聯(lián)網(wǎng)業(yè)務，如圖1所示。

圖1 公用網(wǎng)絡區(qū)與互聯(lián)網(wǎng)區(qū)數(shù)據(jù)交換場景圖

1.專用網(wǎng)絡區(qū)

是依托電子政務網(wǎng)網(wǎng)絡基礎設施，為有特定需求的部門或業(yè)務設置的VPN網(wǎng)絡區(qū)域，實現(xiàn)不同部門或不同業(yè)務之間的相互隔離，采用MPLS VPN技術可以將業(yè)務數(shù)據(jù)安全隔離，用于滿足橫向、縱向及“自上而下”或“自下而上”的業(yè)務需求，為政務部門實現(xiàn)縱向業(yè)務的互聯(lián)互通提供安全通道。該區(qū)域主要采用私有地址，在骨干網(wǎng)上采取標簽進行交換。

2.公用網(wǎng)絡區(qū)

即采用政務外網(wǎng)注冊的公用IP地址的網(wǎng)絡區(qū)域，是政務網(wǎng)的主干道，實現(xiàn)各部門、各地區(qū)互聯(lián)互通，為跨地區(qū)、跨部門的業(yè)務應用提供支撐平臺。

3.互聯(lián)網(wǎng)接入?yún)^(qū)

各級政務部門通過邏輯隔離安全接入互聯(lián)網(wǎng)的網(wǎng)絡區(qū)域，滿足政務部門利用互聯(lián)網(wǎng)的需要。同時也是移動辦公的公務人員通過數(shù)字證書認證，安全接入政務外網(wǎng)的途徑。在互聯(lián)網(wǎng)接入?yún)^(qū)，采取了綜合的安全防護措施，采用防火墻系統(tǒng)、入侵防御系統(tǒng)和網(wǎng)絡防病毒系統(tǒng)，對互聯(lián)網(wǎng)接入業(yè)務提供一定的安全防護。各級分級出口，采取BGP協(xié)議或靜態(tài)路由與主要運營商進行互聯(lián)，為政務單位提供互聯(lián)網(wǎng)業(yè)務服務，自行設置出口，采取NAT技術，通過靜態(tài)路由連接本地互聯(lián)網(wǎng)。

二、數(shù)據(jù)交換場景

1.城域網(wǎng)內(nèi)公用網(wǎng)絡區(qū)與互聯(lián)網(wǎng)接入?yún)^(qū)的數(shù)據(jù)交換

企事業(yè)單位通過互聯(lián)網(wǎng)線路需要與電子政務外網(wǎng)或電子政務外網(wǎng)所承載的應用系統(tǒng)之間進行安全受控數(shù)據(jù)交換，依據(jù)本規(guī)范開展工作，構(gòu)建跨域數(shù)據(jù)安全交換。

2.城域網(wǎng)內(nèi)公共網(wǎng)絡區(qū)與其他網(wǎng)絡之間的數(shù)據(jù)交換

企事業(yè)單位自建的獨立網(wǎng)絡需要與電子政務外網(wǎng)或電子政務外網(wǎng)所承載的政務單位應用系統(tǒng)之間進行安全受控數(shù)據(jù)交換，構(gòu)建跨域數(shù)據(jù)安全交換。

三、數(shù)據(jù)交換框架

以下為電子政務外網(wǎng)公共服務區(qū)與互聯(lián)網(wǎng)之間的數(shù)據(jù)交換場景情況下數(shù)據(jù)交換框架，主要是三種情況應用場景。

1.單向傳輸結(jié)構(gòu)圖

電子政務外網(wǎng)公用網(wǎng)絡區(qū)與互聯(lián)網(wǎng)接入?yún)^(qū)之間嚴格要求數(shù)據(jù)單向?qū)搿С鰬弥校枰罁?jù)實際需求分別建立數(shù)據(jù)導入和數(shù)據(jù)導出通道，并且采用邊界防護手段與電子政務外網(wǎng)公用網(wǎng)絡區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)邏輯隔離。其中邊界防護可以使用防火墻、病毒過濾網(wǎng)關、安全網(wǎng)關等邊界防護設備構(gòu)建。

圖2 單向傳輸結(jié)構(gòu)圖

2.雙向數(shù)據(jù)交換框架

電子政務外網(wǎng)公用網(wǎng)絡區(qū)與互聯(lián)網(wǎng)接入?yún)^(qū)之間進行安全受控數(shù)據(jù)交換，需要依據(jù)實際需求采用網(wǎng)閘，或者前后置服務器與網(wǎng)閘組成數(shù)據(jù)交換系統(tǒng)，并且采用邊界防護手段與公用網(wǎng)絡區(qū)與互聯(lián)網(wǎng)接入?yún)^(qū)邏輯隔離。其中邊界防護可以使用防火墻、病毒過濾網(wǎng)關、安全網(wǎng)關等邊界防護設備構(gòu)建。

圖3 雙向交換傳輸結(jié)構(gòu)圖

3.視頻數(shù)據(jù)交換框架

電子政務外網(wǎng)公用網(wǎng)絡區(qū)與互聯(lián)網(wǎng)接入?yún)^(qū)之間進行安全受控實時視頻流交換，需要依據(jù)實際需求采用前后置服務器與網(wǎng)閘組成視頻數(shù)據(jù)交換系統(tǒng)，并且采用邊界防護手段與國家電子政務外網(wǎng)公用網(wǎng)絡區(qū)和互聯(lián)網(wǎng)接入?yún)^(qū)邏輯隔離。其中邊界防護可以使用防火墻、病毒過濾網(wǎng)關、安全網(wǎng)關等邊界防護設備構(gòu)建。

圖4 視頻流實時交換結(jié)構(gòu)圖

隨著電子政務信息化建設的不斷深入開展，電子政務外網(wǎng)公共網(wǎng)絡區(qū)與互聯(lián)網(wǎng)接入?yún)^(qū)數(shù)據(jù)交換需求日益強烈。結(jié)合現(xiàn)狀和發(fā)展，減少重復投資，通過在互聯(lián)網(wǎng)接入?yún)^(qū)與公共網(wǎng)絡區(qū)之間建設一個數(shù)據(jù)交換接入平臺，實現(xiàn)相關業(yè)務的安全接入與信息交換。這對落實科學發(fā)展觀，構(gòu)建社會主義和諧社會，加快推進改革開放和現(xiàn)代化建設事業(yè)，具有十分重大的現(xiàn)實意義和深遠的歷史意義。

參考文獻

[1]計算機信息系統(tǒng)安全保護等級劃分準則[S].GB 17859-1999.

[2]信息安全技術 網(wǎng)絡基礎安全技術要求[S].GB/T 20270-2006.