摘要：文章介紹了VPN技術(shù)在江西省財(cái)政廳電子政務(wù)網(wǎng)絡(luò)環(huán)境下的應(yīng)用，重點(diǎn)對(duì)VPN系統(tǒng)中的設(shè)計(jì)實(shí)施做了詳細(xì)的需求分析和系統(tǒng)結(jié)構(gòu)設(shè)計(jì)，全面考慮了VPN實(shí)施中的機(jī)密性、完整性、真實(shí)性等特性，對(duì)電子政務(wù)網(wǎng)中的IPSec等關(guān)鍵技術(shù)提出可行性解決方案。
　　關(guān)鍵詞：VPN；電子政務(wù)；IPSec
　　
　　一、研究背景
　　
　　電子政務(wù)安全尤其是應(yīng)用VPN技術(shù)的宗旨是要在電子政務(wù)系統(tǒng)建設(shè)和實(shí)施過程中充分考慮各種風(fēng)險(xiǎn)，最大限度地保護(hù)硬件、軟件、信息和網(wǎng)絡(luò)安全，其核心是保護(hù)電子政務(wù)信息安全，以確保電子政府能夠有效行使政府職能。
　　
　　二、VPN技術(shù)
　　
　　江西省財(cái)政廳電子政務(wù)網(wǎng)絡(luò)建設(shè)目前采用MPLS VPN組網(wǎng)技術(shù)，建成高安全性、高帶寬、能開展靈活多樣的業(yè)務(wù)、擴(kuò)展性能良好、性價(jià)比最好的電路接入平臺(tái)。為簡(jiǎn)化網(wǎng)絡(luò)體系結(jié)構(gòu)，提高傳輸效率，方便網(wǎng)絡(luò)規(guī)劃和IP地址的分配，保障系統(tǒng)安全，易于兼容不同技術(shù)體系和實(shí)現(xiàn)網(wǎng)間互聯(lián)，同時(shí)盡可能地利用已有的公網(wǎng)資源，電子政務(wù)外網(wǎng)電路接入平臺(tái)主要基于中國電信MPLS VPN網(wǎng)絡(luò)來構(gòu)建。
　?。ㄒ唬￢PN技術(shù)
　　VPN的基本思想就是利用Internet來傳輸私有信息而形成邏輯網(wǎng)絡(luò)，從而為企業(yè)級(jí)用戶提供比專線價(jià)格低廉和高安全性的資源共享和互連服務(wù)。
　　VPN是一種在基于共享體系結(jié)構(gòu)的企業(yè)級(jí)的連接業(yè)務(wù)，它有著與私有網(wǎng)相同的策略，可以在IP、幀中繼、ATM或INTERNET上建立VPN。它具有同客戶原有的私有網(wǎng)絡(luò)相同的安全性、優(yōu)先級(jí)特性、易管理性和穩(wěn)定性。它可以滿足使用者對(duì)原政務(wù)網(wǎng)與Remote office、移動(dòng)用戶、遠(yuǎn)程用戶間無縫連接的要求，即將網(wǎng)絡(luò)連接擴(kuò)展到使用者、政務(wù)管理員、省級(jí)各部門和關(guān)鍵用戶以形成Extranet來降低商業(yè)運(yùn)作開支和提升服務(wù)質(zhì)量。
　?。ǘ㊣PSec
　　IPSec是一個(gè)第3層VPN協(xié)議標(biāo)準(zhǔn)，它支持信息通過IP公網(wǎng)的安全傳輸。IPSec可用兩種方式對(duì)數(shù)據(jù)流進(jìn)行加密：隧道方式和傳輸方式。隧道方式對(duì)整個(gè)IP包進(jìn)行加密，使用一個(gè)新的IPSec包打包。這種隧道協(xié)議是在IP上進(jìn)行的，因此不支持多協(xié)議。傳輸方式時(shí)IP包的地址部分不處理，僅對(duì)數(shù)據(jù)凈荷進(jìn)行加密。IPSec支持的組網(wǎng)方式包括：主機(jī)之間、主機(jī)與網(wǎng)關(guān)、網(wǎng)關(guān)之間的組網(wǎng)。IPSec還支持對(duì)遠(yuǎn)程訪問用戶的支持。IPSec可以和L2TP、GRE等隧道協(xié)議一起使用，給用戶提供更大的靈活性和可靠性。IPSec的ESP協(xié)議和報(bào)文完整性協(xié)議認(rèn)證的協(xié)議框架已趨成熟，IKE協(xié)議也已經(jīng)增加了橢圓曲線密鑰交換協(xié)議。由于IPSec必須在端系統(tǒng)的操作系統(tǒng)內(nèi)核的IP層或網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備的IP層實(shí)現(xiàn)，因此需要進(jìn)一步完善IPSec的密鑰管理協(xié)議。
　　
　　三、VPN總體設(shè)計(jì)目標(biāo)
　　
　　通過對(duì)江西省財(cái)政廳及各下屬單位，尤其以省廳和江西財(cái)經(jīng)職業(yè)學(xué)院為重點(diǎn)的調(diào)研，多次技術(shù)交流之后，認(rèn)為需求分析首先要明確江西省財(cái)政廳電子政務(wù)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)的各項(xiàng)要求、工作流程，以及需要達(dá)到的效果。通過對(duì)需求的分析，針對(duì)目前要解決的問題，做出完整的系統(tǒng)分析，結(jié)合當(dāng)前的現(xiàn)狀，提出系統(tǒng)和網(wǎng)絡(luò)的綜合安全解決方案。
　　江西省財(cái)政廳電子政務(wù)網(wǎng)絡(luò)基礎(chǔ)電路接入平臺(tái)以省級(jí)網(wǎng)絡(luò)基礎(chǔ)硬件平臺(tái)（數(shù)據(jù)中心）為核心，各級(jí)財(cái)政局和江西財(cái)經(jīng)職業(yè)學(xué)院通過路由器或交換機(jī)與當(dāng)?shù)豓PN節(jié)點(diǎn)連接，各級(jí)VPN節(jié)點(diǎn)縱向互聯(lián)匯入政務(wù)網(wǎng)骨干網(wǎng)絡(luò)，實(shí)現(xiàn)MPLS VPN連接。連接的物理信道主要采用以太網(wǎng)線或光纖。各級(jí)財(cái)政局和江西財(cái)經(jīng)職業(yè)學(xué)院采用ADSL等寬帶方式主要以IPSEC VPN接入當(dāng)?shù)厣霞?jí)市（州）數(shù)據(jù)中心，因?yàn)镮PSEC VPN較容易匯入MPLS VPN網(wǎng)絡(luò)中，所以能形成一個(gè)整合在一起的信息安全平臺(tái)。連接的物理信道主要采用模擬線路。
　　
　　四、VPN系統(tǒng)詳細(xì)設(shè)計(jì)
　　
　　江西省財(cái)政廳電子政務(wù)網(wǎng)省級(jí)數(shù)據(jù)中心分為政務(wù)網(wǎng)和互聯(lián)網(wǎng)兩部分，政務(wù)網(wǎng)包括數(shù)據(jù)中心的網(wǎng)絡(luò)交換設(shè)備和數(shù)據(jù)庫及其他應(yīng)用系統(tǒng)，互聯(lián)網(wǎng)主要是INTERNET的接入以及信息發(fā)布系統(tǒng)。政務(wù)網(wǎng)與互聯(lián)網(wǎng)間設(shè)置防火墻，實(shí)現(xiàn)邏輯隔離，以保護(hù)政務(wù)網(wǎng)的內(nèi)部安全。在下文實(shí)例中，將充分考慮以上設(shè)計(jì)原則，互聯(lián)網(wǎng)與政務(wù)網(wǎng)分離，兩網(wǎng)設(shè)置防火墻，以邏輯隔離的方式實(shí)現(xiàn)安全應(yīng)用。
　?。ㄒ唬┚W(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)
　　數(shù)據(jù)中心網(wǎng)絡(luò)系統(tǒng)的主要作用是連接各種應(yīng)用服務(wù)器、信息發(fā)布系統(tǒng)及托管服務(wù)器。網(wǎng)絡(luò)結(jié)構(gòu)采用典型3層網(wǎng)絡(luò)結(jié)構(gòu)：核心層、匯聚層和接入層。
　?。ǘ┌踩到y(tǒng)
　　江西省財(cái)政廳電子政務(wù)網(wǎng)絡(luò)必須建立必要的安全系統(tǒng)，為電子政務(wù)提供可靠的安全保障機(jī)制。江西省財(cái)政廳電子政務(wù)網(wǎng)絡(luò)的安全保密框架主要由電路層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全、門戶網(wǎng)站的統(tǒng)一認(rèn)證平臺(tái)、安全管理體系和相應(yīng)與回復(fù)機(jī)制幾部分構(gòu)成。在以上的安全措施中，除了電路層安全由MPLS VPN網(wǎng)絡(luò)實(shí)現(xiàn)外，其他幾項(xiàng)都要在數(shù)據(jù)中心來實(shí)現(xiàn)，作為網(wǎng)絡(luò)匯聚中心、數(shù)據(jù)存儲(chǔ)中心、信息處理中心的省級(jí)基礎(chǔ)硬件平臺(tái)—省級(jí)數(shù)據(jù)中心更是實(shí)施安全的必不可少的關(guān)鍵環(huán)節(jié)。
　　
　　五、江西省財(cái)政廳電子政務(wù)網(wǎng)
　　
　?。ㄒ唬?yīng)用背景
　　江西省財(cái)政下屬區(qū)、市財(cái)政局11個(gè)和縣級(jí)財(cái)政局99個(gè)以及江西財(cái)經(jīng)職業(yè)學(xué)院。電子政務(wù)外網(wǎng)項(xiàng)目通過VPN網(wǎng)絡(luò)建設(shè)實(shí)現(xiàn)各單位的聯(lián)網(wǎng)，從而訪問省財(cái)政廳的網(wǎng)絡(luò)資源。此VPN網(wǎng)絡(luò)包含省財(cái)政廳數(shù)據(jù)中心、各市、各縣。省中心局域網(wǎng)規(guī)模較大，局域網(wǎng)內(nèi)有數(shù)據(jù)庫服務(wù)器、內(nèi)部OA系統(tǒng)和內(nèi)部郵件系統(tǒng)等，并且通過專線（光纖、DDN等）連接并可訪問互聯(lián)網(wǎng)?？h級(jí)的網(wǎng)絡(luò)規(guī)模較小，不超過10臺(tái)計(jì)算機(jī)。部分縣級(jí)網(wǎng)絡(luò)具有內(nèi)部的數(shù)據(jù)庫服務(wù)器和內(nèi)部OA系統(tǒng)，大多數(shù)通過ADSL方式連接Internet，局域網(wǎng)內(nèi)計(jì)算機(jī)可通過此ADSL共享上網(wǎng)。
　　（二）目標(biāo)
　　需通過此次VPN網(wǎng)絡(luò)建設(shè)，實(shí)現(xiàn)VPN接入和原有ATM網(wǎng)絡(luò)的無縫結(jié)合，縣級(jí)單位除了都可以訪問省財(cái)政廳的資源外，還可以實(shí)現(xiàn)縣到其所屬市之間的通訊。
　　通過VPN網(wǎng)絡(luò)建設(shè)，可以實(shí)現(xiàn)全網(wǎng)的文件共享、遠(yuǎn)程教學(xué)、數(shù)字圖書館、網(wǎng)上會(huì)議系統(tǒng)以及所有基于TCP/IP的應(yīng)用。
　　（三）解決方案
　　1、省財(cái)政廳網(wǎng)絡(luò)規(guī)模較大，區(qū)級(jí)、縣級(jí)單位及財(cái)校都需要與它通信，進(jìn)行數(shù)據(jù)交換。這樣顯得穩(wěn)定性要求更高，接入帶寬要求更大。建議使用兩臺(tái)GW5000的包含VDN模塊型號(hào)設(shè)備。使用10M的上網(wǎng)專線接入Internet，因?yàn)樾枰獙?duì)外提供VDN服務(wù)，所以要求有兩個(gè)或以上的固定的公網(wǎng)IP地址。
　　2、定義管理域的節(jié)點(diǎn)之間的網(wǎng)絡(luò)拓?fù)潢P(guān)系。在初期建設(shè)中，縣級(jí)節(jié)點(diǎn)跟省中心形成星型網(wǎng)絡(luò)；當(dāng)以后上語音、視頻等其他系統(tǒng)時(shí)，需要縣節(jié)點(diǎn)間通信時(shí)，可在VDN上進(jìn)行網(wǎng)絡(luò)拓?fù)涞闹囟x，非常簡(jiǎn)單、快速。
　　3、GW5000除了包含VDN功能模塊外，還具有最高性能的VPN接入設(shè)備（中心點(diǎn)的終端設(shè)備）提供作為智能接入終端的所有功能。
　　4、兩臺(tái)GW5000互為熱備份，充分保證VDN服務(wù)和中心點(diǎn)VPN接入的穩(wěn)定可靠性。需要兩個(gè)公網(wǎng)IP地址。
　　5、所有終端都提供基于SSL的移動(dòng)客戶端接入。用戶可選擇使用安全性高的USB Key證書認(rèn)證方式，也可以選擇比較簡(jiǎn)單的用戶名和密碼認(rèn)證方式。
　　
　　六、結(jié)束語
　　
　　將VPN技術(shù)應(yīng)用于江西省財(cái)政廳電子政務(wù)網(wǎng)中，對(duì)于電子政務(wù)的實(shí)施、各財(cái)政局及江西財(cái)經(jīng)職業(yè)學(xué)院實(shí)現(xiàn)互聯(lián)互通、政務(wù)信息資源共享、開展電子政務(wù)應(yīng)用構(gòu)建骨干平臺(tái)和提供硬件支持，具有重大意義。
　　
　　參考文獻(xiàn)：
　　1、信息產(chǎn)業(yè)部計(jì)算機(jī)技術(shù)培訓(xùn)中心組.電子政務(wù)實(shí)用技術(shù)[M].人民郵電