电子政务解决方案（4）-H3C公司电子政务解决方案介绍

4.1H3C公司电子政务解决方案的核心理念

4.1.1全面的网络安全

建设安全的电子政务网络是电子政务建设的关键。电子政务的安全建设需要管理与技术并重。在技术层面， H3C公司提供防御、隔离、认证、授权、策略等多种手段为网络安全提供保证；在设备层面， H3C公司自主开发的系列化路由器、交换机、防火墙设备、 CAMS综合安全管理系统和统一的网络操作系统 VRP可以保证电子政务网络安全。

针对于政府系统的网络 H3C公司提供了i³ 安全 三维度端到端集成安全体系架构，在该架构中，除了可以从熟悉的网络层次视角来看待安全问题，同时还可以从时间及空间的角度来审视安全问题，从而大大拓展了安全的思路与视觉，具备全面考虑与实施安全防护的模型与能力。

图 3：H3C公司i³ 安全 三维度端到端集成安全体系架构

H3C公司i³安全三维度端到端集成安全体系架构：

l           i － intelligence（智能）， integrated（集成）， individuality（个性化）；

l           3 －时间、空间及网络层次三个维度的端到端（ End to End）；

l           安全－所有 IP信息网络的安全架构。

网络层次（网络层、用户层、业务层）端到端安全理念

网络的各层次均存在安全威胁的可能， H3C的集成安全架构充分体现了网络安全防范的分层思想，根据不同网络层次的特点进行有针对性的防范。

l           网络层： 保障网络路由、网络设备等基础网络的安全；

l           用户接入层： 确保合法的用户接入，访问合法的网络范围，并保障用户信息的隔离等用户接入网络的安全；

l           业务层： 保证用户访问内容的合法性与安全性。

H3C公司的i³安全集成安全架构针对传统网络在用户层防范比较薄弱的缺陷，采取了大量的增强措施，如用户接入认证、地址防盗用、访问控制等能力。

时间（事前、事后）端到端安全理念

以前政府行业更关注网络的事前防范能力，往往在网络的用户认证、入侵检测、防 DOS攻击、防火墙等方面投入力量较多，对事后跟踪能力实施的有效措施不多。而在安全事件发生前后，要求网络所能提供的支持也是不同的，其花费的代价与技术实现难度有非常大的差别：

l           事前防范： 主要通过数据隔离、加密、过滤、管理等技术，加强整个网络的健壮性；

l           事后跟踪： 华为 3C om公司的“i³安全”架构提供在网络级做日志记录的能力， 通过对用户上网端口、时间、访问地的记录，全面提供用户上网的追溯能力，从而为后期的分析提供第一手的资料。

空间（外网、内网）端到端安全理念

l           外网： 通过 VPN、加密等保证信息安全，通过网络防火墙、病毒防火墙等防范网络攻击，侧重的是防范；

l           内网： 通过对用户的识别，保证合法的用户访问合法的网络范围，并做好访问记录，侧重的是监控。

目前政府内网即涉秘网、政府外网即办公专网，两张网按照 17号文件要求严格的物理隔离分别进行建设，保证政府网络的安全。

H3C公司三纬度集成安全架构提供端到端集成安全服务：

图 4：H3C公司i³安全三维度端到端集成安全体系架构

随着政府网络网上应用的进一步增多，随着网络进一步深入人们的生活，入侵与反入侵、盗用与反盗用的斗争也必将升级。而政府网络的安全防护作为一个系统工程，只有从网络管理、用户管理、业务管理及管理制度等多层次、多方位地多管齐下才能做到“天网恢恢，疏而不漏”。

4.1.2完善的端到端的可靠性

网络可靠性主要是指当设备或网络出现故障时，网络提供服务的不间断性。可靠性一般通过设备本身的可靠性和组网设计的可靠性来实现。包括以下内容：

设备可靠性

H3C公司的全系列数据产品均采用电信级的可靠性设计。

H3C公司高端路由器和交换机产品采用分布式体系结构，不存在单点故障；采用无源背板，支持真正热插拔、热备份，同时设备的交换网络、路由处理系统等所有关键部件采用冗余热备份设计，能充分满足电子政务网络对设备高可靠性的要求。

组网设计的可靠性

在控制投资的前提下，在电子政务网络的部分省地骨干节点，可采取 VRRP双机备份方式或采取RPR方式进行环网自愈保护，接入骨干传输网的链路可采取双归链路设计或采取RPR方式进行环网自愈保护，从组网角度避免单点故障。

另外，可采用 备份中心技术，为路由器上的任意接口提供备份接口；路由器上的任一接口可以作为其它接口 (或逻辑链路 )的备份接口；可对接口上的某条逻辑链路提供备份。

通过灵活的备份机制及完善的技术，可以充分利用备份资源，确保网络互联互通的可靠性。

4.1.3简单高效的维护和管理

政府网络信息点数量众多，而且较为稠密，所以网络设备数量众多，特别是接入最终用户的楼层交换机。 H3C公司的网络管理系统在支持全网设备统一管理、实现拓扑管理、图形化操作界面、实时声光报警、中文操作系统的同时，利用H3C组管理协议HGMP可以实现对数量庞大的楼层交换机的动态发现、动态拓扑生成、自动配置的功能，降低网络管理人员的工作量，提高效率。

图5：简单高效的管理与维护

4.1.4丰富的业务承载能力

政府信息化的一个重要特点是以业务牵引网络需求，应用不断更新，对网络设备的需求不断提高，在这样的一个动态网络中，网络设备本身的业务承载能力就显得非常重要。因此， H3C公司提出了第 5代基于网络处理器技术，可以保证在后续新增业务对网络平台有特殊要求时，实现快速定制、快速支持，保证对网络设备投资的连续性。

利用 MPLS VPN表现出强大的扩展性和前所未见的高性能，电子政务网可任由业务的增长和变化，网络可以平滑地扩充和升级，可最大程度的减少对网络架构和设备的调整。作为少数能提供整网 MPLS技术的厂家， H3C公司致力于为政府提供基于先进的 MPLS VPN技术的 数据、语音和视讯的 三网合一技术。

4.2H3C公司电子政务解决方案的支撑技术

4.2.1强大的MPLS VPN技术

电子政务网建设的主要目标是：建立一个开放的、基于标准的电子政务统一网络平台，避免重复建设。在电子政务的统一网络平台之上，实现政府不同部门之间的信息交换和资源共享，提供面向公众提供服务，增强各部门工作的透明度。但是在实现政府不同部门之间的信息交换和资源共享同时，如何保证政务内网、政务外网信息的安全性；如何保证同一行业不同部门尤其是保密部门业务和信息的安全性；如何保证不同行业之间业务和信息的安全性，是政府信息化建设面临的不可避免的问题，安全对于政府来说是至关重要的。 MPLS VPN技术可以很好的解决该问题，通过将各机关部门办公系统划分为不同的VPN网络，实现各部门办公系统共享同一物理网络，但是在逻辑上却是相互隔离，从而既可以提高政府办公的自动化程度及效率，又可以保障各部门系统内数据不被其他人访问，满足了政府办公的安全需求。MPLS VPN技术作为一项有效的隔离技术，在灵活性、可扩展性、易开展性等方面具有很强的优势，目前已经成为电子政务网络建设的主要支撑技术之一。

针对 MPLS VPN技术的理解和实际部署经验，H3C采用了中国首个为IETF采纳的数据通信标准草案HOPE（注：HOPE全称是：Hiberarchy Of PE，即分层PE技术。HOPE是H3C公司专有技术，2002年初正式向IETF提交并且获得国际电联专家委员会大力推荐的RFC国际技术标准草案。），标志着MPLS VPN大规模商业部署的技术条件已经成熟。HOPE通过引入UPE和SPE等角色和新构建流程的方式解决了边缘网络设备对MPLS VPN和路由协议支持的性能等系列问题，将MPLS VPN的良好支持范围覆盖到了全线高端路由器、交换机甚至H3C公司系列中低端路由器上，这成为我们选择MPLS VPN技术体系作为电子政务网支撑技术的重要依据。结合HOPE 的MPLS VPN技术为新一代网络系统提供了一个硬件平台下构建多个纵向业务网络的有效途径。不同业务类别、应用区域从网络层就开始的完全“独立布设”使得网络安全的布署更加简明和坚固。（注:在分层PE的结构中直接连结用户的设备称为下层PE‘Underlayer PE‘或’User-end PE’，即用户侧PE，简写为UPE，连结UPE并位于网络内部的设备称为上层PE‘Superstratum PE’或‘Sevice Provider-end PE’，即服务网络侧PE，简写为SPE。）

H3C也提供方便的MPLS VPN部署管理软件―MPLS VPN MANAGER，使H3C公司的MPLS提供能力位于业界的最高水平。

H3C网络设备在MPLS VPN的支持能力上经过了多家第三方权威机构的测试，并且在目前国内政府行业、金融行业、教育行业及运营商的网络上有大量的商用以及与其他厂商设备的互通实例。作为业界少数几家能提供整网MPLS VPN技术的厂商之一，H3C公司致力在电子政务建设中提供基于MPLS VPN技术的网络受控互访与安全隔离解决方案。

4.2.2 先进的可控组播技术

政府有进行多媒体培训的需求、有开展网上会议直播的时候，组播技术必不可少。但从目前业界的标准组播模型来看，是无法实现对组播源和组播用户进行有效控制的，也就是说无法防止非法用户和无法防止非法组播源，这对于政府开展网上培训和会议直播无疑在安全性和可靠性方面都存在问题。根据政府网的实际现状， H3C公司提出利用设备和业务管理系统配合在组播源和组播用户加入前对两者进行认证，以实现可控制的组播业务。

4.2.3高效的可扩展弹性网络技术

在构建政务网络应用平台的过程中，除了广域网的建设之外，政府办公区域的局域网建设量也是非常大的，而且随着局域网络的不断扩展，如何多快好省地建设电子政务网络平台也面临着不小的挑战。

H3C公司eXpandable Resilient Netwoking（XRN）可扩展弹性网络技术在建设政府的楼宇局域网、大型楼宇和园区网络的骨干核心和网络汇聚层以及大型园区网络的过程中，不仅可以通过设备控制和调控各业务的享用带宽，利用带宽控制技术，为语音和数据等不同的业务提供不同优先级服务，保证整个网络的可用性；同时可以通过分步式的网络建设提供更高效的电子政务建网方案, 实现整个网络的高性能按需构建，能够提供性能灵活出色、性价比高的网络。

图 6是演示如何利用XRN技术构建政府局域网方案，XRN技术构成的网络核心冗余方案采用分布式路由技术完成路由交换冗余，采用分布式链路聚合技术完成第二层主干上连冗余。通过协同工作，可以智能分配网络流量，必要时在冗余点之间形成负载共享。分布式设备管理技术，使得冗余系统几乎不需要增加额外的系统配置管理负担和用户的投资，即增强网络的可靠性，又扩展网络核心的整体性能，而同时网络管理简单易行，有效减低管理成本和管理风险，一举而三得。

图6：基于XRN技术的高效率弹性局域网络