從縣到鄉(xiāng)的政務網(wǎng)絡構(gòu)建

1、<p>　　從縣到鄉(xiāng)的政務網(wǎng)絡構(gòu)建</p><p>　　江西省政務信息網(wǎng)二期市、縣、區(qū)聯(lián)網(wǎng)工程已于2004年4月投入運行，為縣、區(qū)級政府相關部門的電子政務系統(tǒng)提供了承載平臺；隨著全省電子政務系統(tǒng)的深入，需將該承載平臺延伸致鄉(xiāng)鎮(zhèn)、街辦和社區(qū)，為政府部門全面實現(xiàn)電子政務系統(tǒng)提供平臺保障。本次工程是為了將青山湖區(qū)轄區(qū)內(nèi)鄉(xiāng)鎮(zhèn)、街辦等政府基層單位納入省政務信息網(wǎng)系統(tǒng)（部分鄉(xiāng)鎮(zhèn)、街辦已通過連接南昌市信息中心的網(wǎng)絡設

2、備接入政務網(wǎng)），滿足轄區(qū)內(nèi)基層單位的數(shù)據(jù)共享及實現(xiàn)信息化辦公的需求；另一方面，對南昌市政務信息網(wǎng)及青山湖區(qū)政務信息網(wǎng)的網(wǎng)絡結(jié)構(gòu)進行優(yōu)化，把原電信基站內(nèi)南昌市信息中心的設備替換下來，并將青山湖區(qū)政務信息網(wǎng)的核心移至青山湖區(qū)政府信息中心機房，形成一個市、區(qū)分層，區(qū)內(nèi)集中的網(wǎng)絡環(huán)境，方便后期對網(wǎng)絡的維護管理。 </p><p>　　縣級政務網(wǎng)絡現(xiàn)狀分析 </p><p>　　實施南昌市、縣、區(qū)的

3、政務信息網(wǎng)建設工程時，已經(jīng)完成部份青山湖區(qū)轄區(qū)內(nèi)的鄉(xiāng)鎮(zhèn)、街辦接入省電子政務網(wǎng)的光纜資源覆蓋工作，光纖資源通過電信的6個基站以及青山湖區(qū)政府進行覆蓋；其中各基站匯聚層設備采用的均是南昌市政府前期采購的港灣uHammer3550-24交換機；青山湖區(qū)政府匯聚設備為港灣FlexHammer5010，通過單模光纖千兆匯聚至830基站的骨干交換機3com 4007（原港灣Big6808移至南昌市信息中心機房內(nèi)滿足市政府大樓內(nèi)各事業(yè)單位接入使用）和

4、680基站的骨干交換機BigHammer6808。 </p><p>　　本次網(wǎng)絡工程的目的是對青山湖區(qū)政務信息網(wǎng)設備升級與擴容規(guī)劃，完成所有所需接入網(wǎng)絡的用戶及實現(xiàn)接入層、匯聚層、核心層的設備由本區(qū)管理，同時完成規(guī)劃內(nèi)的單位與政務信息網(wǎng)的互聯(lián)。目前，隨著網(wǎng)絡用戶數(shù)和網(wǎng)絡應用的急速增長，按照建網(wǎng)要求，需要把各鄉(xiāng)鎮(zhèn)、工業(yè)園區(qū)和街辦接入到政務外網(wǎng)，我們把網(wǎng)絡設備分成三層結(jié)構(gòu)，以830基站為核心層，以其他8個基站為各接

5、入單位的匯聚層，各鄉(xiāng)鎮(zhèn)接入單位為接入層，各基站匯聚層與核心層之間采用千兆光纖互聯(lián)，匯聚層與接入層采用百兆光纖互聯(lián)。 </p><p>　　由于很多社區(qū)目前用戶數(shù)還比較少，目前還沒有條件通過光纖直接接入政務外網(wǎng)，但各社區(qū)需要通過政務外網(wǎng)來傳輸相關信息，為了滿足各社區(qū)的需求，各社區(qū)可以通過VPN來訪問政務外網(wǎng)，在830基站增加一臺VPN網(wǎng)關來解決各區(qū)訪問政務外網(wǎng)的問題。 </p><p>　　

6、為了緩解網(wǎng)絡流量壓力，通過VPN接入政務外網(wǎng)的用戶，當訪問Internet時通過策略路由把流量指向VPN網(wǎng)關的Internet出口，當訪問政務外網(wǎng)相關信息時通過策略路由把流量指向VPN網(wǎng)關的內(nèi)網(wǎng)接口，這可以提升網(wǎng)絡負載平衡。 </p><p><b>　　網(wǎng)絡安全分析 </b></p><p>　　從青山湖區(qū)政府網(wǎng)絡的實際情況來看，我們認為應該從以下幾個方面進行全面的

7、分析。 </p><p>　　1.網(wǎng)絡層的安全分析 </p><p>　　網(wǎng)絡設備主要包括青山湖區(qū)政府網(wǎng)絡各節(jié)點上的路由器、交換機等設備。網(wǎng)絡層不僅為青山湖區(qū)政府網(wǎng)絡提供連接通路和網(wǎng)絡數(shù)據(jù)交換的連接，而且是網(wǎng)絡入侵者進攻信息系統(tǒng)的渠道和通路。由于大型網(wǎng)絡系統(tǒng)內(nèi)運行的TCP/IP協(xié)議并非專為安全通訊而設計，所以網(wǎng)絡系統(tǒng)存在大量安全隱患和威脅。整個網(wǎng)絡面臨著來自網(wǎng)絡外部和內(nèi)部的雙重威脅。 &l

8、t;/p><p>　　2.系統(tǒng)層的安全分析 </p><p>　　在青山湖區(qū)政府網(wǎng)絡中有著多種不同的操作系統(tǒng)，如：Windows、 Linux等等，這些系統(tǒng)都或多或少地存在著各種各樣的漏洞。如果這些操作系統(tǒng)沒有進行系統(tǒng)的加固和正確的安全配置，而只是按照原來系統(tǒng)的默認安裝，這樣的主機系統(tǒng)是極其不安全的。一名黑客可以通過Unicode、緩存溢出、造成死機等方式進行破壞，甚至取得主機管理員的權限。此

9、外，在網(wǎng)絡中，一些黑客利用系統(tǒng)管理員的疏忽用缺省用戶的權限和密碼口令就可以輕松地進入系統(tǒng)修改權限，從而控制主機。 </p><p>　　3.應用層的安全分析 </p><p>　　青山湖區(qū)政府網(wǎng)絡與Internet相連，存在著包括Web、FTP、E-mail、DNS等各種Internet應用。應用系統(tǒng)的安全性主要考慮應用系統(tǒng)與系統(tǒng)層和網(wǎng)絡層的安全服務無縫連接。在應用層的安全問題，黑客往往抓

10、住一些應用服務的缺陷和弱點來對其進行攻擊的，比如針對錯誤的Web目錄結(jié)構(gòu)、CGI腳本缺陷、Web服務器應用程序缺陷、為索引的Web頁、有缺陷的瀏覽器甚至是利用Oracle、 SAP、 Peoplesoft 缺省帳戶。 </p><p>　　應用層的安全威脅還包括對各種不良網(wǎng)絡內(nèi)容的訪問，比如內(nèi)網(wǎng)用戶訪問非法（如發(fā)布反動言論、宣揚法輪功等）或不良（色情、迷信）網(wǎng)站等。有的Internet站點上還包含有害的Java

11、Applet或ActiveX小程序，如果不慎訪問將有可能帶入病毒和木馬程序，甚至有的網(wǎng)頁可以通過一段簡單的代碼直接破壞訪問者計算機的數(shù)據(jù)和系統(tǒng)，對網(wǎng)絡安全和效率都將造成極大破壞。 </p><p>　　4.出口病毒風險分析 </p><p>　　計算機病毒一直是計算機安全的主要威脅。而隨著網(wǎng)絡的不斷發(fā)展，網(wǎng)絡速度越來越快，網(wǎng)絡應用也越來越豐富多彩，使得病毒傳播的風險也越來越大，造成的破壞也

12、越來越強。據(jù)國際計算機安全協(xié)會的統(tǒng)計，目前已經(jīng)有超過90%的病毒是通過網(wǎng)絡進行傳播的。青山湖區(qū)政府網(wǎng)絡內(nèi)用戶訪問Internet時，無論是瀏覽WEB頁面，通過FTP下載文件，或者是收發(fā)E-mail，都可能將Internet上的病毒帶入網(wǎng)內(nèi)。而近幾年泛濫成災的網(wǎng)絡蠕蟲病毒（如紅色代碼、尼姆達、沖擊波、振蕩波等）跟傳統(tǒng)的通過光盤、軟盤等介質(zhì)進行傳播的基于文件的病毒有很大的不同，它們本身是一個病毒與黑客工具的結(jié)合體。當網(wǎng)絡當中一臺計算機感染蠕

13、蟲病毒后，它會自動的以極快的速度（每秒幾百個線程）掃描網(wǎng)絡當中其他計算機的安全漏洞，并主動的將病毒傳播到那些存在安全漏洞的計算機上，只要相關的安全漏洞沒有通過安裝補丁的方式加以彌補，蠕蟲病毒就會這樣以幾何級數(shù)的增長速度在網(wǎng)絡當中傳播，即使計算機上安裝了帶有實時監(jiān)控功能的防病毒軟件（包括單機版和網(wǎng)絡版）對此也無能為力。蠕蟲病毒的傳播還會大量占用網(wǎng)絡帶寬，造成網(wǎng)絡擁堵，形成拒絕服務式攻擊（DoS）。因此，對于新型的</p>&

14、lt;p><b>　　安全解決方案 </b></p><p>　　上面分析了青山湖區(qū)政府網(wǎng)絡的網(wǎng)絡狀況與安全風險后會發(fā)現(xiàn)，整個網(wǎng)絡面臨著黑客、蠕蟲病毒、網(wǎng)絡入侵、不良內(nèi)容、垃圾郵件等的威脅，需要使用專門的安全產(chǎn)品，從網(wǎng)絡隔離、病毒防護、入侵檢測、內(nèi)容過濾等各方面進行全方位的保護。如果在青山湖區(qū)政府網(wǎng)絡出口分別部署防火墻、防病毒網(wǎng)關、入侵檢測系統(tǒng)、內(nèi)容過濾、VPN等一系列安全產(chǎn)品，采購產(chǎn)

15、品成本及將來的維護成本是非常高的。我建議使用多功能安全網(wǎng)關，在網(wǎng)絡網(wǎng)關出口處形成綜合安全防護體系，提供當前最高的性價比。 </p><p>　　我所選的多功能網(wǎng)關是必須是基于硬件技術的產(chǎn)品 </p><p>　　我們將多功能網(wǎng)關，部署在網(wǎng)絡邊界入，分別連接區(qū)政府辦公網(wǎng)、830基站分支接入點、市黨政網(wǎng)、以及互聯(lián)網(wǎng)出口。各個端口間通過訪問控制進行隔離，并對這些區(qū)域的流入數(shù)據(jù)開啟AV和IPS防護

16、功能，對來自基站、市黨政網(wǎng)、互聯(lián)網(wǎng)的數(shù)據(jù)進行入侵防御及病毒檢測。 </p><p>　　通過在多功能安全網(wǎng)關上配置防火墻、病毒防護、入侵檢測、內(nèi)容過濾、反垃圾郵件等安全設置，便可對進出青山湖區(qū)政府網(wǎng)絡的流量進行黑客攻擊、病毒、入侵、不良內(nèi)容和垃圾郵件等的進行全方位過濾。 </p><p><b>　　結(jié)論 </b></p><p>　　江西省政

17、務網(wǎng)鄉(xiāng)鄉(xiāng)通工程主要采用一網(wǎng)通的方式，統(tǒng)一解決我省各級黨政機關面向鄉(xiāng)鎮(zhèn)的聯(lián)網(wǎng)需要，進一步強化社會管理和公共服務能力。省“政務網(wǎng)鄉(xiāng)鄉(xiāng)通”工程建成后，將為各級部門向鄉(xiāng)鎮(zhèn)延伸提供統(tǒng)一的網(wǎng)絡平臺，相比各部門分散重復建設，可節(jié)省大量人力資源、建設投資和運行維護經(jīng)費。該工程還可有效遏制基層“信息孤島”和“業(yè)務割據(jù)”帶來的管理風險，為實現(xiàn)網(wǎng)絡環(huán)境下的“一體化政府”和“一站式服務”創(chuàng)造條件。 </p><p>　?。ㄗ髡邌挝唬?.