圖1 三類業(yè)務(wù)的部署

l  專用業(yè)務(wù)區(qū)與資源共享區(qū)之間的訪問。采用網(wǎng)閘進(jìn)行隔離，如果要向資源共享區(qū)域更新數(shù)據(jù)可以通過網(wǎng)閘進(jìn)行，如果要進(jìn)一步提高專用業(yè)務(wù)區(qū)的安全性，可以在資源共享區(qū)的服務(wù)器上設(shè)置雙網(wǎng)卡，并在資源共享服務(wù)器的匯聚交換機(jī)上設(shè)定ACL策略，定義可訪問資源共享區(qū)域的專用業(yè)務(wù)終端。

l  資源共享區(qū)域?qū)姺?wù)區(qū)的訪問。資源共享區(qū)域與公眾服務(wù)區(qū)之間采用防火墻進(jìn)行安全隔離，并在防火墻上設(shè)置單向的ACL策略實(shí)現(xiàn)資源共享與公眾服務(wù)區(qū)之間的單向互訪。

l  資源共享區(qū)域與互聯(lián)網(wǎng)之間的訪問。政府內(nèi)部人員可以訪問互聯(lián)網(wǎng)業(yè)務(wù)，在互聯(lián)網(wǎng)出口設(shè)置防火墻，并通過單向ACL的設(shè)定實(shí)現(xiàn)內(nèi)部人員可以訪問互聯(lián)網(wǎng)，但互聯(lián)網(wǎng)無法訪問資源共享區(qū)域。

l  公眾服務(wù)區(qū)與互聯(lián)網(wǎng)區(qū)域的訪問。通過在互聯(lián)網(wǎng)出口設(shè)置防火墻，在防火墻上設(shè)置安全策略，實(shí)現(xiàn)公眾服務(wù)區(qū)可以訪問政府門戶網(wǎng)站，但網(wǎng)站服務(wù)器只能從互聯(lián)網(wǎng)訪問相關(guān)的補(bǔ)丁下載業(yè)務(wù)。

通過單向訪問控制、網(wǎng)閘、防火墻等技術(shù)實(shí)現(xiàn)三類業(yè)務(wù)之間的互訪關(guān)系，加強(qiáng)了三類業(yè)務(wù)間互訪的安全性。（要了解更多的技術(shù)實(shí)現(xiàn)細(xì)節(jié)可參考本刊中《電子政務(wù)外網(wǎng)三種業(yè)務(wù)互訪關(guān)系及實(shí)現(xiàn)方法》。）

3.   實(shí)現(xiàn)不同終端對(duì)各個(gè)VPN的多樣化訪問需求

1)   需求分析：單個(gè)終端訪問多個(gè)業(yè)務(wù)區(qū)的需求在電子政務(wù)外網(wǎng)的設(shè)計(jì)階段就已經(jīng)發(fā)現(xiàn)，如數(shù)字城管社區(qū)服務(wù)。不同終端通過外網(wǎng)訪問各自VPN資源的需求，如出差人員通過外網(wǎng)接入內(nèi)部辦公系統(tǒng)，審計(jì)人員要經(jīng)常性地從外網(wǎng)接入到內(nèi)部辦公系統(tǒng)。骨干網(wǎng)絡(luò)劃分了MPLS VPN，這樣就需要VPN接入網(wǎng)關(guān)不但支持隧道功能，還要同時(shí)具備基于不同的用戶映射至不同VPN的功能。

2)   實(shí)現(xiàn)方法：采用VPE網(wǎng)關(guān)實(shí)現(xiàn)接入

圖2 VPE網(wǎng)關(guān)實(shí)現(xiàn)部分終端通過外網(wǎng)訪問多個(gè)縱向VPN資源，以及不同終端通過外網(wǎng)訪問各自VPN資源

如上圖所示：在電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間增加VPE設(shè)備來實(shí)現(xiàn)對(duì)出差人員或街道社區(qū)服務(wù)站對(duì)電子政務(wù)內(nèi)部業(yè)務(wù)的訪問。街道社區(qū)服務(wù)站用戶在一臺(tái)PC上設(shè)置多個(gè)VPN連接客戶端，通過輸入不同的用戶名/密碼來實(shí)現(xiàn)接入到不同的縱向網(wǎng)絡(luò)，如：A社區(qū)要分別接入到計(jì)生委、社保、財(cái)政等部門，只需要終端的PC機(jī)通過不同的用戶名（A@jishengwei、A@shebao、A@caizheng）和密碼就可以接入不同的縱向VPN系統(tǒng)內(nèi)。對(duì)于出差人員來說同樣適用，如審計(jì)部門人員B經(jīng)由外網(wǎng)接入到內(nèi)部，只需要在便攜機(jī)的VPN客戶端輸入用戶名B@shenji、密碼***，接入VPE網(wǎng)關(guān)，VPE設(shè)備會(huì)根據(jù)用戶的域名進(jìn)行MPLS VPN的映射，即：@shenji的用戶映射至審計(jì)的縱向VPN，從而實(shí)現(xiàn)對(duì)不同部門用戶的區(qū)分和VPN內(nèi)的資源訪問。

由于政府目前絕大部分用戶在認(rèn)證時(shí)都需要使用CA證書，VPE認(rèn)證時(shí)除了對(duì)用戶名/密碼進(jìn)行驗(yàn)證外，還要能夠支持對(duì)CA證書的攜帶與驗(yàn)證，所以往往需要對(duì)客戶端做定制化的設(shè)置。（更多技術(shù)實(shí)現(xiàn)可以參考本刊中《VPE技術(shù)在電子政務(wù)外網(wǎng)的應(yīng)用》。）

總結(jié)

浙江省電子政務(wù)外網(wǎng)的建設(shè)是以業(yè)務(wù)需求為導(dǎo)向的建設(shè)，其在規(guī)范制定與下發(fā)、關(guān)鍵業(yè)務(wù)需求分析與技術(shù)論證等多方面都是按計(jì)劃、有步驟的進(jìn)行，這使得其實(shí)施結(jié)果與建設(shè)目標(biāo)相匹配，其中很多思路值得大家參考。

lixuyang