利用广西电子政务平台 开展广西住房和城乡建设行 业市场监管与决策支持系统
应用
技术方案
广西建设信息中心 广西经济信息中心
二〇一二年二月
一、广西电子政务业务区域的划分
按照安全等级的不同,广西电子政务划分为三个业务区域----专用网络区、公用网络区及互联网接入区。三个区域在网络层实现相互隔离,即路由不可达。所有部门应用按需要部署在相应的区域中。
图1广西电子政务业务承载模型
三个业务区域的具体功能如下:
1、公用网络区。该区是、省、地市、县四级贯通的业务平台,技术上由政务的IP网络实现,与互联网逻辑隔离(路由不可达)。各级部门可以通过公用网络区实现互联互通。公用网络区采用国家政务注册的公有地址(59.192.0.0/10)部署,全网采用统一的地址规划。所有业务系统在进入公用网络区之前应当确保地址一致性(按需转换成公有地址)。各级政务主管部门分别为本级公用网络区的数据中心及数据托管中心提供安全防护,各用户单位自行
部署的业务系统的安全防护工作由各单位自行负责。
2、专用网络区。该区是依托国家政务基础设施,为有特定需求的业务部门开辟的虚拟专网,技术上采用MPLS-VPN 实现(部分地区由于条件不成熟暂由IPSec-VPN或VLAN透传等方式过渡)。专用网络区主要为少数部门到地方垂直部门的敏感数据传输提供相对隔离的通道、IP地址可由各单位自行规划,与公用网络区共享链路带宽。专用网络区具有一定的私密性(与其他部门路由隔离,互相不能访问)和更高的安全等级,但操作复杂、管理不便,且不利于跨部门的资源共享和业务协同,因此仅推荐有特定业务需求的部门采用。
3、互联网接入区。该区是各级政务部门通过逻辑隔离安全接入互联网的网络区域,满足各级政务部门利用互联网的需要。
政务部门供公众访问的互联网门户网站及相关业务系统均部署在该区域。为有效利用网络资源,节约骨干链路带宽,政务互联网接入区建设采用分级隔离的方式,即、省、地市、部分县分别建设本级的互联网接入区,各区之间互相隔离,本级用户单位通过本级的互联网接入区访问互联网。在自治区一级,互联网接入区技术上由MPLS-VPN 实现与公用网络区路由隔离。在自治区级互联网接入区出口处采用了综合安全防护措施,包括防火墙、入侵防御系统和网络防病毒系统,一定程度上保障互联网访问安全。同时,互联网访问区也是移动办公的公务人员通过数字证书认证,安全接入政务的途径。
二、住房和城乡建设系统接入政务技术方案 1、网络接入需求
自治区住房和城乡建设厅利用广西电子政务连接全区住房城乡建设系统各委、局、办、住房公积金管理中心和厅属有关单位,开展住房和城乡建设行业市场监管与决策支持系统应用。根据自治区住房和城乡建设厅的业务应用需求,要求各市级住房城乡建设委(局)接入带宽原则上不低于10Mbps,市级住房城乡建设系统其他单位接入带宽不低于6Mbps,厅直属单位、县级住房城乡建设系统单位接入带宽不小于2Mbps。具体接入带宽要求见附表1。 2、总体技术方案
自治区、地市、县三级住房和城乡建设系统单位接入电子政务的整体拓扑结构见图2。
图2 利用电子政务构建住房和城乡建设系统三级纵向业务
网络
按图所示,自治区住房和城乡建设厅由自治区级电子政务接入到政务公用网络区;市级住房和城乡建设委(局)和市级住房城乡建设系统其他单位由市级政务接入到公用网络区;县级住房和城乡建设系统单位由县级政务接入公用网络区;厅直属单位通过租用电路(自治区政务有线路到的单位由自治区提供线路接入)直接接入住房和城乡建设厅。住房和城乡建设系统三级行政部门
通过政务公用网络区实现互联互通,并在公用网络区部署各类业务应用系统。
自治区政务纵向骨干带宽为共享使用方式,纵向骨干通过适当轻载、流量控制、QoS等方式保障全区住房和城乡建设系统的业务应用。
3、自治区住房和城乡建设厅接入方案
图3 网络接入示意图
住房城乡建设厅将通过自治区级政务提供的边界路由器接入电子政务,上联链路为裸光纤,接口带宽为1000M。边界接入路由器提供了三个下联端口,分别对应政务公用网络区、专用网络区和互联网接入区。
目前,已为住房城乡建设厅本级分配了一段地址:
公用网络区59.211.0.128 /27,含地址32个,用于住房城乡建设厅相关业务应用的部署,以及终端用户进入政务时私有地址的地址转换使用;
由于住房城乡建设厅拥有自己的互联网出口,所以电子政务
的互联网接入区暂未使用。
4、市级住房城乡建设委(局)、市级住房城乡建设系统其他单位和县级住房城乡建设局接入方案
目前,广西电子政务广域骨干网已覆盖了14个市和106个县(区),其中有7个县(区)尚未开通目前还在建设中。由于市级和县(区)级政务横向城域网络的建设进度不同,市、县(区)两级政务建设可分为三种情况:广域骨干网已覆盖且城域网已建成、广域骨干网已覆盖但城域网未建和广域骨干网未覆盖。
参照上述情况,市、县两级住房城乡建设系统接入政务可选用如下三种方式中的一种。
方式一:通过城域网接入。此方案适用于骨干网已覆盖且城域网已建成的市、县。
住房城乡建设系统单位可以通过当地的政务城域网实现与住房城乡建设厅的联通。地方住房城乡建设系统单位直接与属地政务节点单位交流沟通接入事宜。如接入条件具备,地方政务要为当地住房城乡建设系统单位提供接入线路,负责地方住房城乡建设系统单位接入当地政务的具体实施工作。
本地城域网已建成的市、县,住房城乡建设系统单位的接入应遵循本地政务节点城域网的网络规划,本地政务节点负责对城域网配置进行调整并实现与自治区的互通。需要自治区配合协调配置的,请与自治区网管中心联系。
图4 政务广域覆盖且已建本地城域网的地方住房城乡建设
系统单位接入示意图
方式二:通过本级广域骨干网接入。此方案适用于骨干网已覆盖,城域网未建的市、县。
对于广域覆盖但未建本地城域网的地区,地方住房城乡建设系统单位可直接接入到属地政务节点广域骨干汇聚设备上。该种方式由地方住房城乡建设系统单位按照自治区住房城乡建设厅的带宽要求,自行租用一条本地电路到属地政务节点,政务节点完成相应配置(本次配置暂由自治区操作,政务节点配合实施)后使得住房城乡建设系统各单位互通。
方式二是本次项目主要使用的接入方式,市级住房城乡建设委(局)原则上要求采用防火墙或路由器(带NAT功能)的方式与政务节点设备互联,设备之间的互联地址见附表2;市级住房城乡建设系统其他单位和县级住房城乡建设局可以根据自身条件采用单台
电脑接入模式或采用市级住房城乡建设委(局)的模式接入。
图5 政务广域覆盖但未建本地城域网的地方住建局接入 方式三:通过上级政务节点或VPN接入。本方案适用于骨干网暂时未覆盖的县(区)。对于部分广域骨干网未覆盖的县(区),当地住房城乡建设系统单位可暂时租用电路接入上级政务节点,或可采用基于互联网的IPSEC VPN方式接入自治区电子政务节点,具体采用的接入方式由当地住房城乡建设系统单位根据自身情况决定。本方案中推荐方式三采用VPN的方式接入。待当地政务条件具备后,由地方政务管理单位负责进行迁移。
其结构如下:
图6 政务未覆盖地区住建局接入方式示意图
5、住房城乡建设厅直属单位接入方案
住房城乡建设厅直属单位采用租用电路直接接入厅内部网络的方式实现互联互通。厅直属单位采用何种设备接入以及接入IP和路由的规划统一由住房城乡建设厅实施。广西城乡规划设计院、广西建设工程质量安全监督总站和广西区直单位房改办可以利用自治区政务城域网的光纤线路资源接入,其他厅直属单位则需要租用通讯运营商电路。
住房城乡建设系统单位接入政务的路由规划遵循地方政务的路由统一规划,一般采用静态路由方式与地方政务互联互通。其所需的地址将遵从申请与分配相结合的基本原则,需根据业务需要从地方政务节点单位申请。此次方案暂由自治区统一地
址分配,IP地址表见附表2 广西住房和城乡建设系统电子政务接入单位地址规划。附表2中的IP地址分为192段地址和59段地址。如果分配的59段地址全部作为业务地址使用时,则预分配的192段地址作为设备互联接口地址,用于政务广域骨干汇聚设备和住房城乡建设系统单位接入设备互联使用;如果分配的59段地址作为接口地址使用时,可以实现单台PC接入或设备互联对接,此时192段地址不再使用且对接的用户端设备需要将所有业务映射到59接口地址。已建成城域网的市级政务节点,IP地址的使用不受附表2,以本地规划为主。
附表1:全区住房城乡建设系统单位接入带宽要求
