XX政府网络安全及VPN解决方案

XX政府网络安全及VPN解决方案 文档密级

色权限、采用单点登录的方式统一使用政务平台上的功能。

地市县建设的政府门户，与政务网逻辑连接，政府门户直接为老百姓服务，实现政府门户受理、政务网办理、政府门户结果发布的工作模式。

在技术上，各局委办不建设技术平台，统一使用地市平台。

3 政务外网网络安全及VPN建设目标

在电子政务外网整体框架下，通过政务外网VPN的建设，补充目前政务外网接入的形式。对于省网建设相对滞后地区，各级机构利用专线方式接入难度较大，而采用VPN网关和技术可以利用廉价Internet资源满足接入单位安全接入政务外网的需求。

需求主要场景如下：

? 省各厅局委办通过VPN与其所属的国家部门互通； ? 省各厅局委办通过VPN与有业务需求的国家部门互通； ? 省各厅局委办通过VPN互通；

? 各厅局委办移动用户安全接入VPN系统；

4 政务外网VPN建设需求及建设原则

4.1 政务外网VPN建设需求分析：

1) 稳定可靠性的需求：政务外网VPN系统的稳定性和可靠性关系整个政务外网VPN接入

用户业务的延续性，是政务外网VPN可行性的基础。为确保政务外网VPN系统稳定可靠运行，政务外网VPN建设选择的产品和解决方案必须是经过市场考验，采用成熟技术支撑的产品和解决方案。

2) 安全性的需求：安全性是整个政务外网VPN业务开展的前提，主要有以下几个方面：

a) 必须符合国家信息安全相关条例及国家等级保护策略，选择通过国家VPN相关

技术鉴定的产品，从而能够达到符合安全性的国家标准要求

b) 通过制定VPN安全策略性，在解决方案设计中实施如CA、Ukey、防入侵检测等

安全手段，提升政务外网VPN的安全性。

c) 关注网络安全发展的趋势，对VPN产品的安全特性的扩展性提出相应扩展的要

2016-9-7

华赛机密，未经许可不得扩散

第4页, 共31页

XX政府网络安全及VPN解决方案 文档密级

求。

3) 大容量的需求：政务外网VPN将满足省网未覆盖到的省、市、区、镇等各级部门以

及大量移动办公用户的VPN接入，对产品VPN Tunnel的容量及扩展性提出很高的要求。

4) 高性能的需求：面对大量有访问需求的政府机构机关和移动办公用户，性能将直接

影响到各厅局委办访问省政务平台数据资源时的效率和使用体验，对VPN Server的性能主要有两个方面；一个是加解密吞吐量，体现了政府分支机构可获得的最大数据带宽、一个是时延，时延直接关系业务的感受以及政务平台多项业务的开展，如：VoIP、视频会议等。对VPN Client的需求主要是QoS要求。

5) 互通性的需求：对于政务外网VPN的互通性主要体现在：VPN Server通过省RD与国

家MPLS VPN互通，与省各级部门VPN Gateway互通。

6) 可管理性的需求：良好的可管理性将大幅降低管理维护人员耗费的精力，有助于快

速正确响应各类业务需求。VPN Server的可管理性主要体现在自身是否有图形化的管理维护软件，以及是否可以支持第三方的管理系统。

4.2 政务外网VPN建设的基本设计原则

政务外网VPN设计遵循以下建网原则：

?

标准化原则

标准化是电子政务建设的基础保障，应用服务系统建设必须在业务流程化、安全体系和安全技术、信息表示和信息交换、网络协议、软件结构、软件平台等标准方面遵循国家有关电子政务技术标准，才能达到“互连、互通、互操作”要求，实现“信息交换、资源共享”。

?

安全保密性原则

在数据库设计、应用操作权限和身份认证方面均严格遵循国家电子政务有关安全、保密标准，全面加强安全措施，所有应用项目采用符合国家电子政务标准的基础软硬件。

?

可靠性原则

系统能有效的避免单点失败，在设备选择和互联时应提供充分的冗余备份，实现7×24小时不间断工作。

?

经济实用原则

以需求为基础，充分考虑发展的需要来确定系统规模，功能模块子系统以插件方式扩展。

2016-9-7

华赛机密，未经许可不得扩散

第5页, 共31页

XX政府网络安全及VPN解决方案 文档密级

系统应突出实用，要让系统的投资与各省电子政务系统建设的实际需求相符合。

?

可管理性原则

系统设备易于管理、维护，操作简单，便于配置，在安全性、数据流量、性能等方面能得到很好的监视和控制，可以进行远程管理和故障诊断。

? ?

先进性原则

系统的结构设计、配置、管理方式，应采用成熟的先进技术，延长系统的生命周期。

开放兼容性原则

系统要求开放性好、标准化程度高，系统建设应与现有的一些单位局域网系统平台兼容。系统建立符合国家和各省关于电子政务及信息化建设有关标准。

?

可扩展性原则

系统设备不但满足当前需要，并在扩充模块后满足发展的需要；保证系统平台升级时能保护现有投资。

?

先易后难、阶段实施的原则

将容易实现的重点业务作为突破口，坚持分阶段实施，立足于小步快走，步步见效，滚动发展，最大限度的减少投资风险，提高系统利用率。

? ?

保护现有投资原则

充分利用现有系统，整合已开发信息资源，发挥现有投资的效能。

技术成熟性原则

在系统软硬件方面，充分考虑采用国内通用的，成熟的软硬件产品进行开发，保证系统功能的高效稳定。

5 政务外网VPN建设方案

5.1 网络总体结构

根据网络建设目标和需求，政务外网VPN建设网络组成如下图：

2016-9-7

华赛机密，未经许可不得扩散 第6页, 共31页

XX政府网络安全及VPN解决方案 文档密级

图中省干政务外网VPN与Internet相连，各市(地)、县城域网与Internet相连，之间通过VPN网关在Internet上建立安全VPN连接。

为使政务外网VPN网络构建及维护简单、层次清晰，其层次结构分为：

? 省干政务外网VPN网关接入部分：主要各厅局部委局域网经互连网通过VPN接入电

子政务外网，特点是地理位置相对固定，对业务保障要求高，用户终端方面不用改造，操作习惯不会发生变化。

? 省干政务外网VPN移动用户部分：随HOME Office办公的需求的旺盛，移动用户通

过VPN办公的数量越来越多，移动办公用户对性能相对要求较低，对安全接入等方面要求较高。

5.2 政务外网VPN网关接入方案

根据电子政务外网的需求，国干MPLS VPN终结在省PE上，在省PE侧由VPN Server与PE通过GE口连接，通过VPN Server提供的VCE功能导入对应VPN。在不具备专线条件的省厅部委办部署FW/VPN设备，并通过Internet与VPN Server建立IPSEC VPN隧道传输数据。各省厅部委办纵向互联由各厅部委办FW/VPN之间直接建立隧道完成横向互通，减少核心网数据流量负担。省间的厅部委办间互通由国干网统一管理。省内VPN通过省级VPN统一管理平台平台管理。

可通过VCE或VPE两种方案实现IPSEC VPN与国干MPLS VPN对接：

2016-9-7

华赛机密，未经许可不得扩散

第7页, 共31页