本站小编为你精心准备了移动通信技术在电子政务中的应用参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。
一、政务外网简介
国家电子政务外网(以下简称政务外网)是按照中办发〔2002〕17号文件和〔2006〕18号文件要求全面推进的我国电子政务重要基础设施建设工程,是实现与互联网安全逻辑隔离,满足各级政务部门经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。目前,全国统一的政务外网平台初步建成,横向连接了118个中央单位和14.4万个地方单位,纵向基本覆盖了中央、省、地、县四级,承载了47个全国性业务系统和5000余项地方业务系统,接入终端超过180万台。通过共建共享,政务外网取得显著的经济社会效益,为实现跨部门、跨层级信息共享和业务协同发挥着重要支撑和促进作用。
二、政务外网总体架构
政务外网由覆盖中央、省、地、县的广域骨干网、各级城域网和部门接入网构成,总体呈树状结构。政务外网逻辑上可以分为物理网络层和业务网络层两个功能平面。其中,物理网络层是基于运营商传输网建设的统一IP网络平台,中央-省-地-县广域链路主要采用SDH及MSTP专线,各级政务部门城域接入多为MSTP与裸光纤;业务网络层是基于物理网络平台通过MPLSVPN技术构建的逻辑网络环境,分为公用网络区、专用网络区和互联网接入区三个功能域,相互之间安全隔离,分别为政务部门之间互联互通、特定需求业务应用以及面向互联网公共服务业务的部署提供虚拟专用通道。
三、无线组网需求旺盛
随着电子政务向集约整合方向发展,政务外网的综合性平台效益不断增强,网络范围已从规划的四级覆盖开始向乡镇基层延伸,接入单位由政务部门为主加快向企事业单位和公共机构拓展,承载业务属性也从面向政务效能提升向更为注重有效支撑国家治理现代化演进,由此也涌现出多元化网络服务需求。•网络拓展:布线困难边远地区或大量分散机构接入•快速接入:需要快速响应的突发业务及临时性业务•线路备份:重点业务线路备份或专线中断应急保障•移动办公:办公地点不固定或出差人员的终端接入鉴此,以运营商专线为主的政务外网建设模式面临创新挑战。移动通信技术的迅猛发展恰为有效满足上述需求并进一步强化政务外网公共基础设施作用提供了坚实保障,基于3G/4G的无线接入模式以其部署便捷、安全稳定、计费灵活等优势,逐渐成为专线之外政务外网重要的组网方式。
四、无线接入平台建设
政务外网规划设计了安全接入体系,满足相关机构和人员利用互联网、移动通信网接入政务外网的需求。其中,无线接入平台是利用3G/4G、无线VPDN等基础网络,面向不具备有线接入条件的政务部门、企事业单位、公共机构和移动办公人员,提供安全接入政务外网网络或业务的服务平台。
1.建设原则分级建设:无线接入平台由中央、省、地分三级建设,国家电子政务外网管理中心负责制定规范,各级政务外网单位负责建设、管理和维护。属地接入:通过公众网络访问政务外网的各类用户和终端,应通过本级无线接入平台接入政务外网。等保合规:无线接入平台作为政务外网的组成部分,应按照同级政务外网信息安全等级保护要求进行建设和整改。统一选型:国家电子政务外网管理中心定期组织无线接入平台相关设备技术测试与产品选型,各级政务外网单位应按照目录进行产品选型和部署。
2.平台架构服务网关:采用负载均衡技术分别实现IPSecVPN、SSLVPN及L2TP(主要用于无线VPDN接入)等网关集群,为用户提供安全接入服务。统一认证:采用RADIUS、LDAP等认证协议实现基于数字证书的身份认证、权限管理和安全审计。安全防护:综合网络访问控制、入侵检测与防御、防病毒等安全措施实现基础安全防护。平台接口:为接入用户提供链路和服务接口,以及实现与政务外网MPLSVPN逻辑分区和业务的对接。
3.安全接入IPSecVPN:主要用于非专线接入政务外网的单位,采用网关对网关模式组网以及远程终端接入开展数据上报、视频会议等非Web方式访问的业务。专线接入单位发生线路故障时,也可采用网关对网关方式进行应急保障。SSLVPN:主要用于接入终端以Web方式接入政务外网,实现业务系统访问、远程桌面管理、移动办公等。无线VPDN:既可用于网关对网关组网,也适用于终端接入。
五、无线组网模式
1.3G/4G互联网接入部门无线接入网关装配用于访问互联网的SIM卡,配置公用APN参数(包括接入点名称、用户名、密码等),通过3G/4G网络连接互联网后登录政务外网无线接入平台并发起申请,由本级政务外网运维单位审核通过后下发配置信息和设备证书。接入网关向无线接入平台IPSecVPN服务网关发起连接请求,认证成功后建立安全隧道,进而将部门局域网接入政务外网。该模式亦适用于移动接入场景。移动办公人员经本级政务外网运维单位审核后获取客户端软件、用户证书、统一业务入口等接入必需资源,由客户端软件向无线接入平台发起连接请求,认证成功后可安全访问政务外网业务。移动接入场景中使用SSLVPN的原理与之类似,不再赘述。
2.无线VPDN接入部门无线网关装配用于接入政务外网的专用SIM卡,配置指定的APN参数(项目同前),通过3G/4G网络拨入运营商核心网(图中LAC设备负责接入认证),并经由VPDN专线连接政务外网无线接入平台(图中LNS设备负责二次认证并为接入用户分配政务外网IP地址),其中运营商所属LAC设备与政务外网LNS设备之间建立L2TP隧道,进而将部门局域网接入政务外网。为进一步保障数据安全,可在接入网关与服务网关之间创建IPSecVPN。
3.两种模式比较互联网接入模式简便性更高。互联网接入模式采用普通3G/4G上网卡即可,而无线VPDN模式需定制SIM卡并配置专用APN参数,同时还需租用VPDN专线,因此加大了管理复杂性与建设成本。无线VPDN模式安全性更好。通过APN筛查、接入认证、L2TP隧道保护等措施,无线VPDN模式构建形成了安全性近似专线的虚拟专用通道,保障接入用户与互联网及运营商其他业务有效隔离。
六、关键技术实现
无线组网关键问题在于确保安全接入基础上,实现接入部门局域网与政务外网基于MPLSVPN技术划分的安全域有效对接,从而保证业务流量端到端隔离。下面仅从IPSecVPN与MPLSVPN对接多种技术方案中选取一例加以说明。在无线接入平台IPSecVPN网关上配置多个地址池,可根据用户身份分配相应地址范围。IPSecVPN网关与MPLSVPN相连网口配置若干子接口,每个子接口与PE设备的子接口一一对应且属于同一VLAN,每个子接口的IP地址不在相同网段。在IPSecVPN网关上针对不同源IP地址和目的IP地址配置相应的策略路由。外部加密数据到达IPSecVPN网关经解密后,根据源、目的地址匹配策略路由并通过某一子接口发送给PE设备,而后PE根据接收子接口将数据封装到对应的VRF中。上述过程将在IPSecVPN网关建立状态表。从PE设备发送到IPSecVPN网关的数据会根据已建立的状态表及目的地址,送入相应的隧道加密后发往对端设备。
综上,基于3G/4G的无线组网解决方案可有效满足不适于专线接入的用户实时连接政务外网的需要,极大提高了网络适用性与便捷程度,为政务外网进一步发挥电子政务公用网络平台综合效能提供了有力支撑。
作者:蒋凯元 单位:国家信息中心