政府行政中心解決方案

1.1政務(wù)行政中心信息化建設(shè)背景

    自國家開展政府信息化建設(shè)以來，各級政府機構(gòu)已經(jīng)走過了從無到有的建設(shè)階段，信息化網(wǎng)絡(luò)已經(jīng)初具規(guī)模。但是以往的政府各職能部門大都分散在城市各處，相互之間不便聯(lián)系與協(xié)同，加之各自的系統(tǒng)獨立建設(shè)，資源共享和互聯(lián)互通缺乏明確規(guī)定，無形中造成了部門割據(jù)，形成了信息孤島。無論是政府內(nèi)部辦公還是政府對公眾業(yè)務(wù)，都存在著手續(xù)繁瑣的現(xiàn)象，部分業(yè)務(wù)還存在著流程沖突的遺患。

    為了加強城市內(nèi)政府各部門之間的有效交流，有效開展跨部門的協(xié)同辦公，簡化政府內(nèi)部及公眾的辦事流程，提高政府的整體辦公效率，不少城市開始規(guī)劃和建設(shè)政務(wù)行政中心。

    政務(wù)行政中心建設(shè)的目的，是通過將各個入駐單位在地域上的集中，推動其系統(tǒng)、業(yè)務(wù)流程的融合和優(yōu)化，從而在根本上解決以往各個單位各自為政的業(yè)務(wù)局面，最終形成統(tǒng)一、集中的和諧政府。政務(wù)行政中心的建設(shè)對加強政府各部門的有效溝通，提高現(xiàn)代化政府管理水平，提高行政效率都具有重要作用。

1.2政務(wù)行政中心信息化建設(shè)面臨的挑戰(zhàn)

    政務(wù)行政中心有多個政府部門入駐，部門數(shù)量眾多，為避免重復建設(shè)，政務(wù)行政中心的信息化網(wǎng)絡(luò)需要統(tǒng)一承載各部門的業(yè)務(wù)。一方面要打破信息孤島，促進跨部門業(yè)務(wù)的協(xié)同與共享，同時還應重點考慮信息化建設(shè)的保密和安全策略，這些近乎矛盾的需求使政務(wù)行政中心的建設(shè)相當復雜。

1) 業(yè)務(wù)的邏輯隔離

    行政中心內(nèi)部各個入駐單位均有各自的獨立業(yè)務(wù)，存在信息安全保密的實際需要，因此基礎(chǔ)網(wǎng)絡(luò)平臺需要考慮如何將各種業(yè)務(wù)進行邏輯隔離，確保各部門業(yè)務(wù)的獨立性，并且需要考慮在部署了業(yè)務(wù)隔離之后，如何對部分數(shù)據(jù)進行共享，如何與各業(yè)務(wù)部門的原有的專網(wǎng)、政務(wù)網(wǎng)中的VPN進行對接。

    按照傳統(tǒng)的園區(qū)網(wǎng)部署，所有網(wǎng)絡(luò)設(shè)備的配置及位置都是固定不變的，但是中心內(nèi)的各個部門業(yè)務(wù)發(fā)展進度不盡相同，部門因業(yè)務(wù)擴張而導致的辦公區(qū)域重新規(guī)劃時常發(fā)生，每次規(guī)劃都會帶來大量的網(wǎng)絡(luò)設(shè)備配置的更改，因此傳統(tǒng)的園區(qū)網(wǎng)技術(shù)已經(jīng)不能適應行政中心的網(wǎng)絡(luò)需要，新建的行政中心網(wǎng)絡(luò)平臺應該能夠克服這一問題。

    各職能部門都有其本系統(tǒng)的業(yè)務(wù)網(wǎng)絡(luò)進行連接，而且存在多種連接方式，如：通過政務(wù)網(wǎng)、專線、公網(wǎng)＋VPN等，在這種情況下如何實現(xiàn)網(wǎng)絡(luò)信息的安全和網(wǎng)絡(luò)設(shè)備配置的便捷，在新建的行政中心網(wǎng)絡(luò)中也應重點考慮。

2) 全面的動態(tài)安全防御部署

    政務(wù)行政中心的信息化建設(shè)的基本目標是為各入駐部門提供信息化平臺，但是由于中心內(nèi)部人員結(jié)構(gòu)復雜，分屬不同的行政部門，各部門對信息安全的要求存在差異化，導致網(wǎng)絡(luò)在為正常業(yè)務(wù)數(shù)據(jù)流量提供高速承載通路的同時，也成為安全威脅快速擴散和蔓延的溫床。

    安全設(shè)備作為網(wǎng)絡(luò)環(huán)境中的關(guān)鍵元素，需要有能力與周邊網(wǎng)絡(luò)設(shè)備在物理層面、網(wǎng)絡(luò)層面、服務(wù)質(zhì)量控制等方面協(xié)同工作，來整體提升網(wǎng)絡(luò)的安全保障能力，安全設(shè)備需要與網(wǎng)絡(luò)有機的融合。

    網(wǎng)絡(luò)中各種蠕蟲、病毒、應用層攻擊技術(shù)和EMAIL、移動代碼結(jié)合，形成復合攻擊手段，使威脅更加危險和難以抵御。這些復合威脅直接攻擊政務(wù)核心服務(wù)器和外部網(wǎng)站，給政府帶來了重大損失：對網(wǎng)絡(luò)基礎(chǔ)設(shè)施進行DDoS攻擊，造成基礎(chǔ)設(shè)施的癱瘓；對網(wǎng)站攻擊篡改嚴重損害了政府的形象。

    更有甚者，像電驢、BT等P2P應用和MSN、QQ等即時通信軟件的普及，寶貴的帶寬資源被業(yè)務(wù)無關(guān)流量浪費，形成巨大的性能威脅。這些威脅大部分都能夠穿透防火墻，防火墻基于TCP/IP 3層和4層的訪問控制對這些問題無能為力。

    現(xiàn)在的網(wǎng)絡(luò)攻擊越來越多的來自于網(wǎng)絡(luò)內(nèi)部，如何對網(wǎng)絡(luò)內(nèi)部的用戶進行安全的控制和授權(quán)也是我們需要重點考慮的。

3) 協(xié)同辦公

    政府部門工作的開展離不開會議的交流，然而經(jīng)常召開濟濟一堂的會議不但成本高，而且對于遠地的參會者大量時間耗費在來回的路途之上，效率非常低下。為保障政府部門與相關(guān)部門的有效溝通，需要在行政中心內(nèi)部部署電視會議和電話會議系統(tǒng)，便于政府部門實現(xiàn)方便靈活的召開各種規(guī)模各種級別的會議，降低會議成本提高工作效率。如何建設(shè)技術(shù)領(lǐng)先、功能豐富、性價比高的多媒體會議方式，是行政中心建設(shè)的一個挑戰(zhàn)。

4) 信息化系統(tǒng)的統(tǒng)一管理

    中心內(nèi)部包含多種功能獨立的信息化資源，如何對這些信息資源進行有效的管理，合理分配資源，使各資源能夠高效率的為行政中心內(nèi)部各部門提供服務(wù)；如何充分利用鏈路和帶寬資源，保證優(yōu)先級較高的業(yè)務(wù)正常傳送，控制非法流量對帶寬的侵蝕；這些都成為也是行政中心的信息化建設(shè)中的挑戰(zhàn)。

2.政務(wù)行政中心信息化解決方案

    行政中心信息化建設(shè)由多個相對獨立而又統(tǒng)一的功能體有機結(jié)合組成，包括基礎(chǔ)網(wǎng)絡(luò)平臺的建設(shè)、全面的網(wǎng)絡(luò)安全的部署、數(shù)據(jù)中心建設(shè)、多媒體通信建設(shè)、統(tǒng)一智能管理等部分。

通過整合通信IT資源實現(xiàn)工作效率的提高，使信息化建設(shè)為行政中心的高效運作提供強大的IT支撐平臺。

2.1基礎(chǔ)網(wǎng)絡(luò)平臺方案

    網(wǎng)絡(luò)平臺是政務(wù)行政中心信息化建設(shè)的基礎(chǔ)，中訊行政園區(qū)網(wǎng)解決方案以面向業(yè)務(wù)的動態(tài)安全網(wǎng)絡(luò)方案，通過虛擬化網(wǎng)絡(luò)技術(shù)，實現(xiàn)了多個單位業(yè)務(wù)的統(tǒng)一承載，不同部門的業(yè)務(wù)系統(tǒng)分別由各自的虛擬網(wǎng)絡(luò)承載，實現(xiàn)相互隔離的同時還可實現(xiàn)公共資源的共享。

    通過基于身份的認證的技術(shù)，用戶可以靈活接入到部門所屬的網(wǎng)絡(luò)，在不同的房間、樓層、樓宇甚至通過無線接入都將獲得統(tǒng)一的授權(quán)。

    可以靈活的控制用戶的訪問域，用戶在以不同的訪問域登錄時，系統(tǒng)能夠識別并且自動將用戶接入到不同的訪問域。

    在行政中心的網(wǎng)絡(luò)中，通過動態(tài)VLAN下發(fā)技術(shù)，實現(xiàn)各個不同VLAN的靈活快捷部署，避免了傳統(tǒng)的VLAN劃分的繁瑣的配置。通過策略服務(wù)器實現(xiàn)VLAN訪問策略的快速下發(fā)。

    一些外派或者分散辦公的部門，只能通過VPN來接入到行政中心，中訊的VPE技術(shù)實現(xiàn)IPSEC VPN與內(nèi)部的MPLS VPN實現(xiàn)對接。采用BIMS系統(tǒng)，可以實現(xiàn)對穿越NAT的VPN進行靈活的配置管理。

2.2 網(wǎng)絡(luò)安全的解決方案

    行政中心內(nèi)部的政府部門的業(yè)務(wù)高度集中，對網(wǎng)絡(luò)、業(yè)務(wù)的安全性要求非常高。中訊提出的智能安全滲透網(wǎng)絡(luò)iSPN方案從網(wǎng)絡(luò)的全局統(tǒng)一部署安全機制。

    智能安全滲透網(wǎng)絡(luò)iSPN是中訊 安全整體解決方案，是中訊 整體解決方案戰(zhàn)略的一個重要組成部分。智能安全滲透網(wǎng)絡(luò)秉承技術(shù)融合、開放架構(gòu)、面向業(yè)務(wù)的特征，其目的是為用戶提供多層次、端到端、互為聯(lián)動、統(tǒng)一管理的立體安全防護解決方案，并非再是通過單一安全設(shè)備的簡單疊加來防護攻擊和威脅。

    從用戶的基礎(chǔ)安全需求出發(fā)，智能安全滲透網(wǎng)絡(luò)解決方案包括五大功能組件：“遠程安全接入”、“邊界防護”、“內(nèi)網(wǎng)控制”、“行為監(jiān)管”及“數(shù)據(jù)中心保護”。重點關(guān)注如何從安全功能角度來解決用戶的實際問題。比如，“內(nèi)網(wǎng)控制”組件關(guān)注的是如何識別從內(nèi)網(wǎng)發(fā)起的攻擊并加以控制，它由安全管理平臺、安全防護設(shè)備和終端軟件組成，任何一個防護設(shè)備或終端軟件發(fā)現(xiàn)威脅即時告警后，安全管理平臺就能夠智能分析定位威脅源頭，并做出響應的控制策略，避免威脅的再次發(fā)生。“遠程安全接入”組件則可以實現(xiàn)：一臺設(shè)備滿足IPSec 、GRE 、SSL 、MPLS VPN多種技術(shù)的整合，內(nèi)網(wǎng)、無線、VPN統(tǒng)一準入認證，數(shù)千臺分支機構(gòu)設(shè)備管理簡化等等。

    智能安全滲透網(wǎng)絡(luò)是由“全局安全”、“深度安全”和“智能安全”為基礎(chǔ)，通過集成網(wǎng)絡(luò)技術(shù)和安全技術(shù)，以及各個網(wǎng)絡(luò)組件之間的充分協(xié)作，實現(xiàn)了2~7層深度安全檢測和抵御，并能夠通過智能安全管理動態(tài)識別風險及進行策略調(diào)整。

2.3 統(tǒng)一智能管理解決方案

    行政中心信息化建設(shè)包含網(wǎng)絡(luò)平臺、安全部署、數(shù)據(jù)存儲、多媒體、監(jiān)控等相對獨立的信息系統(tǒng)，中訊統(tǒng)一智能管理解決方案為用戶提供統(tǒng)一的管理平臺，方便的對各種信息系統(tǒng)進行靈活的管理，并使各種資源實現(xiàn)合理的分配。

    行政中心信息化管理者可以通過統(tǒng)一智能管理解決方案，實現(xiàn)對網(wǎng)絡(luò)設(shè)備的設(shè)備管理、拓撲管理、告警管理、性能管理、軟件升級管理、配置文件管理、VPN監(jiān)視與部署等多種管理功能，使網(wǎng)路的管理者能夠?qū)崟r了解網(wǎng)絡(luò)設(shè)備運轉(zhuǎn)情況。

    統(tǒng)一智能管理解決方案中的網(wǎng)流分析部分通過對原始、詳細的基本IP數(shù)據(jù)流進行分析，準確把握網(wǎng)絡(luò)運行狀態(tài)，準實時發(fā)現(xiàn)網(wǎng)絡(luò)異常情況并進行處理，也能支持面對業(yè)務(wù)應用的精細管理和計費。

    中訊端點準入防御解決方案從控制用戶終端安全接入網(wǎng)絡(luò)的角度入手，整合網(wǎng)絡(luò)接入控制與終端安全產(chǎn)品，通過安全客戶端、安全策略服務(wù)器、網(wǎng)絡(luò)設(shè)備以及第三方軟件的聯(lián)動，對接入網(wǎng)絡(luò)的用戶終端強制實施企業(yè)安全策略，嚴格控制終端用戶的網(wǎng)絡(luò)使用行為，有效地加強了用戶終端的主動防御能力，可以為行政中心網(wǎng)絡(luò)管理人員提供有效、易用的管理工具和手段。

    行政中心的信息網(wǎng)絡(luò)資源使多部門共用的，需要對整體網(wǎng)絡(luò)的安全各部門對網(wǎng)路安全的要求非常高，需要在不同的位置部署多種安全產(chǎn)品，可采用中訊的 SecCenter產(chǎn)品針對所有安全產(chǎn)品進行統(tǒng)一的安全分析，使IT及安全管理員脫離繁瑣的手工管理工作，極大提高效率，能夠集中精力用于更有價值的活動，保障行政中心信息安全。

3.總結(jié)

    行政中心的信息化建設(shè)是政府部門的自動化辦公及與公眾業(yè)務(wù)交流的基礎(chǔ)。中訊行政中心信息化建設(shè)解決方案是針對行政中心的實際業(yè)務(wù)需求的多產(chǎn)品融合解決方案，立志于為行政中心用戶提供一種多業(yè)務(wù)融合、安全可靠、可繼承發(fā)展的高品質(zhì)信息平臺，使之能更好的與行政中心業(yè)務(wù)相結(jié)合，并能伴隨行政中心的不斷發(fā)展，提供靈活的擴展部署能力