一种政务部门接入电子政务外网技术研究

2018-08-16彭云峰

电脑与电信 2018年6期

彭云峰

（安徽省经济信息中心，安徽合肥 230001）

1 引言

随着政务信息化的持续发展，电子政务外网已成为我国助力服务型政府建设的重要行政基础设施，各政务部门依托政务外网开展内部办公、审批、管理和面向公众服务的业务日益增多，连接政务外网的需求也日益强烈。与此同时，各政务部门内部网络结构和接入需求多种多样，接入不规范的情况普遍存在。按国家要求做好电子政务外网接入，有利于推动各级政务部门依托电子政务外网开展业务应用，进一步提高政府社会管理和公共服务的水平。

本文主要针对分散办公且具有全业务的政务部门，设计了一种接入电子政务外网的网络架构，提出部门内部不同分区间如何进行逻辑隔离和访问管理，为政务部门接入电子政务外网提供技术参考。

2 接入需求

政务部门网络接入需求如下：

（1）访问政务外网公用网络区和专用网络区；

（2）通过自有互联网出口访问互联网；

（3）互联网服务器除部署在内部局域网外，还部分托管在电子政务外网政务云平台和第三方公有云，可通过内部局域网管理托管服务器；

（4）公共区服务器除部署在内部局域网外，还部分托管在电子政务外网政务云平台，可通过内部局域网管理托管服务器；

（5）内部局域网符合国家电子政务外网逻辑隔离的要求。

3 网络架构设计

电子政务外网接入的政务部门主要包括在行政中心园区内集中办公的单位和分散办公的单位两类。本文分散办公的政务部门既有公用网络区、专用网络区和互联网接入区访问的需求，又有公用网络区和互联网业务，且部分公用网络区和互联网业务具有数据交互的需求。根据上述特点，本文设计了一种政务部门接入电子政务外网的网络架构，可实现各分区之间的逻辑隔离和业务的访问。政务部门接入电子政务外网的网络架构如图1所示。

政务部门局域网通过防火墙和VLAN技术实现各分区之间逻辑隔离。其中，三个分区通过防火墙实现逻辑隔离，访问终端通过内部网络的VLAN划分实现隔离。公共区服务器部署在内部局域网公用网络区的DMZ区，部分托管在政务云平台的公共区；互联网服务器部署在自有互联网的DMZ区，部分托管在政务云平台的互联网接入区和第三方公有云，两个区之间的业务服务器不能互访。

3.1 逻辑隔离设计

在政务部门的前端配置一台接入路由器，对上连接政务外网，对下连接部门局域网。通过在路由器上划分的三个逻辑通道，分别连接局域网互联网接入区、专用网络区和公用网络区防火墙，通过防火墙实现三个分区之间的逻辑隔离。三个防火墙下连核心交换机，通过VLAN划分实现普通终端与专网区终端的逻辑隔离。

3.2 业务部署和管理设计

业务服务器主要包括公共区服务器和互联网服务器。

公共服务器分为两部分部署，一部分部署在内部局域网公用网络区防火墙的DMZ区，可直接管理；一部分托管在政务云平台，主要是内部管理和审批等业务，内部用户可通过电子政务外网管理托管虚拟主机。

在政务信息化发展的过程中，部门互联网服务器可能分为三处部署情况：一部分部署在自有互联网防火墙的DMZ区，可直接管理；一部分托管在第三方公有云平台，主要是门户网站等业务，可通过云平台与自有互联网防火墙之间的专线，实现托管虚拟主机的管理；一部分托管在政务云平台的互联网接入区，主要是面向公众的政务服务业务，可通过接入路由器与园区汇聚交换机之间建立的MPLSVPN通道，实现互联网区虚拟主机的管理。

托管在政务云平台互联网区、公共区的服务器可通过云平台内部的跨网数据安全交换平台实现数据同步。