圖1 三類業(yè)務(wù)的部署
l 專用業(yè)務(wù)區(qū)與資源共享區(qū)之間的訪問。采用網(wǎng)閘進(jìn)行隔離,如果要向資源共享區(qū)域更新數(shù)據(jù)可以通過網(wǎng)閘進(jìn)行,如果要進(jìn)一步提高專用業(yè)務(wù)區(qū)的安全性,可以在資源共享區(qū)的服務(wù)器上設(shè)置雙網(wǎng)卡,并在資源共享服務(wù)器的匯聚交換機(jī)上設(shè)定ACL策略,定義可訪問資源共享區(qū)域的專用業(yè)務(wù)終端。
l 資源共享區(qū)域?qū)姺?wù)區(qū)的訪問。資源共享區(qū)域與公眾服務(wù)區(qū)之間采用防火墻進(jìn)行安全隔離,并在防火墻上設(shè)置單向的ACL策略實(shí)現(xiàn)資源共享與公眾服務(wù)區(qū)之間的單向互訪。
l 資源共享區(qū)域與互聯(lián)網(wǎng)之間的訪問。政府內(nèi)部人員可以訪問互聯(lián)網(wǎng)業(yè)務(wù),在互聯(lián)網(wǎng)出口設(shè)置防火墻,并通過單向ACL的設(shè)定實(shí)現(xiàn)內(nèi)部人員可以訪問互聯(lián)網(wǎng),但互聯(lián)網(wǎng)無法訪問資源共享區(qū)域。
l 公眾服務(wù)區(qū)與互聯(lián)網(wǎng)區(qū)域的訪問。通過在互聯(lián)網(wǎng)出口設(shè)置防火墻,在防火墻上設(shè)置安全策略,實(shí)現(xiàn)公眾服務(wù)區(qū)可以訪問政府門戶網(wǎng)站,但網(wǎng)站服務(wù)器只能從互聯(lián)網(wǎng)訪問相關(guān)的補(bǔ)丁下載業(yè)務(wù)。
通過單向訪問控制、網(wǎng)閘、防火墻等技術(shù)實(shí)現(xiàn)三類業(yè)務(wù)之間的互訪關(guān)系,加強(qiáng)了三類業(yè)務(wù)間互訪的安全性。(要了解更多的技術(shù)實(shí)現(xiàn)細(xì)節(jié)可參考本刊中《電子政務(wù)外網(wǎng)三種業(yè)務(wù)互訪關(guān)系及實(shí)現(xiàn)方法》。)
3. 實(shí)現(xiàn)不同終端對(duì)各個(gè)VPN的多樣化訪問需求
1) 需求分析:?jiǎn)蝹€(gè)終端訪問多個(gè)業(yè)務(wù)區(qū)的需求在電子政務(wù)外網(wǎng)的設(shè)計(jì)階段就已經(jīng)發(fā)現(xiàn),如數(shù)字城管社區(qū)服務(wù)。不同終端通過外網(wǎng)訪問各自VPN資源的需求,如出差人員通過外網(wǎng)接入內(nèi)部辦公系統(tǒng),審計(jì)人員要經(jīng)常性地從外網(wǎng)接入到內(nèi)部辦公系統(tǒng)。骨干網(wǎng)絡(luò)劃分了MPLS VPN,這樣就需要VPN接入網(wǎng)關(guān)不但支持隧道功能,還要同時(shí)具備基于不同的用戶映射至不同VPN的功能。
2) 實(shí)現(xiàn)方法:采用VPE網(wǎng)關(guān)實(shí)現(xiàn)接入
圖2 VPE網(wǎng)關(guān)實(shí)現(xiàn)部分終端通過外網(wǎng)訪問多個(gè)縱向VPN資源,以及不同終端通過外網(wǎng)訪問各自VPN資源
如上圖所示:在電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間增加VPE設(shè)備來實(shí)現(xiàn)對(duì)出差人員或街道社區(qū)服務(wù)站對(duì)電子政務(wù)內(nèi)部業(yè)務(wù)的訪問。街道社區(qū)服務(wù)站用戶在一臺(tái)PC上設(shè)置多個(gè)VPN連接客戶端,通過輸入不同的用戶名/密碼來實(shí)現(xiàn)接入到不同的縱向網(wǎng)絡(luò),如:A社區(qū)要分別接入到計(jì)生委、社保、財(cái)政等部門,只需要終端的PC機(jī)通過不同的用戶名(A@jishengwei、A@shebao、A@caizheng)和密碼就可以接入不同的縱向VPN系統(tǒng)內(nèi)。對(duì)于出差人員來說同樣適用,如審計(jì)部門人員B經(jīng)由外網(wǎng)接入到內(nèi)部,只需要在便攜機(jī)的VPN客戶端輸入用戶名B@shenji、密碼***,接入VPE網(wǎng)關(guān),VPE設(shè)備會(huì)根據(jù)用戶的域名進(jìn)行MPLS VPN的映射,即:@shenji的用戶映射至審計(jì)的縱向VPN,從而實(shí)現(xiàn)對(duì)不同部門用戶的區(qū)分和VPN內(nèi)的資源訪問。
由于政府目前絕大部分用戶在認(rèn)證時(shí)都需要使用CA證書,VPE認(rèn)證時(shí)除了對(duì)用戶名/密碼進(jìn)行驗(yàn)證外,還要能夠支持對(duì)CA證書的攜帶與驗(yàn)證,所以往往需要對(duì)客戶端做定制化的設(shè)置。(更多技術(shù)實(shí)現(xiàn)可以參考本刊中《VPE技術(shù)在電子政務(wù)外網(wǎng)的應(yīng)用》。)
總結(jié)
浙江省電子政務(wù)外網(wǎng)的建設(shè)是以業(yè)務(wù)需求為導(dǎo)向的建設(shè),其在規(guī)范制定與下發(fā)、關(guān)鍵業(yè)務(wù)需求分析與技術(shù)論證等多方面都是按計(jì)劃、有步驟的進(jìn)行,這使得其實(shí)施結(jié)果與建設(shè)目標(biāo)相匹配,其中很多思路值得大家參考。