何黎明 何光明 江西省信息中心 南昌市 330046

0 引言

推進“互聯(lián)網+政務”工作是黨中央、國務院作出的一項重大決策部署。不少政府部門通過加快移動辦公服務平臺和建設，有效解決了群眾“辦事難”、“辦事慢”等問題。在此形勢下，政務外網承載業(yè)務應用的重要程度和深度廣度日益提升，政務外網用戶（公務員、執(zhí)法人員、企事業(yè)單位、公眾用戶等）通過互聯(lián)網、移動網絡等公共網絡開展移動辦公、現(xiàn)場執(zhí)法、數據上報等安全接入業(yè)務的需求越來越多，特別是鄉(xiāng)鎮(zhèn)、村級用戶非專網接入和移動辦公用戶接入政務外網的需求越來越大，用戶通過移動方式接入各廳局業(yè)務系統(tǒng)的需求日漸明顯，如何建設一個全省統(tǒng)一的政務外網安全接入平臺成為擺在全省政務外網管理者面前的一個難題。

1 面臨的問題和需求分析

目前，全省電子政務外網覆蓋了省市縣鄉(xiāng)，但并沒有延伸到村（社區(qū)），雖然按照效率優(yōu)先、節(jié)約投資、滿足需求的原則，部分廳局和部分地區(qū)建設了各自的安全接入VPN系統(tǒng)，各自的用戶通過互聯(lián)網就能夠安全地聯(lián)入電子政務外網。但是基于“互聯(lián)網+政務”環(huán)境下，這些零散系統(tǒng)的功能和性能存在較大不足。一是各自安全接入平臺結構簡單，沒有冗余備份，而且存在設備重復利用的情況，可靠性差；二是各自平臺支撐的用戶數量不多，難以支撐好各類業(yè)務應用及聯(lián)網用戶各類需求；三是安全防護能力較弱，安全設備的部署不到位，不能滿足國家政務外網安全接入平臺技術規(guī)范要求。

“互聯(lián)網+政務”環(huán)境下的政務終端具有移動性，便攜性等特點，消除了時間和地域的限制。因此，如何利用互聯(lián)網、運營商公共承載網等基礎網絡，為不具備專線接入政務外網的各級政務部門、移動辦公人員、現(xiàn)場執(zhí)法人員、企事業(yè)單位和公眾用戶等接入對象，通過計算機、智能終端等多種類型終端或接入網關，通過全省電子政務外網安全接入平臺，安全地接入到政務外網內部網絡或業(yè)務應用服務系統(tǒng)，實現(xiàn)安全、便捷、高效辦公，是全省政務外網安全接入平臺急需解決的困惑。

2 平臺設計與實現(xiàn)

全省電子政務外網安全接入平臺方案的設計，必須首先考慮作為政府部門的安全性要求，同時需要符合計算機信息系統(tǒng)的安全等級保護要求，在進行電子政務安全接入平臺方案設計時，必須充分考慮通過互聯(lián)網接入內部辦公網絡、智能終端快速發(fā)展所帶來的各種安全隱患。

考慮到經濟型、技術合理、初期的用戶數等多種因素，全省電子政務外網安全接入平臺宜采用省、市兩級部署，省級和11個設區(qū)市分別部署一套安全接入平臺，采用分級屬地化原則進行接入。每套安全接入平臺應部署VPN接入區(qū)、接入認證區(qū)、接入管理區(qū)、移動安全管理平臺。各級移動辦公用戶或不具備專線的用戶通過互聯(lián)網或運營商公共承載網絡，經安全接入平臺聯(lián)入政務外網?？紤]到投入成效比，市級安全接入平臺先行部署VPN接入區(qū)、接入認證區(qū)、接入管理區(qū)，以滿足基本業(yè)務應用的承載。

在VPN接入區(qū)部署SSL VPN設備和防火墻設備，作為電子政務安全接入平臺身份認證和鏈路認證設備。在接入認證區(qū)部署認證設備，統(tǒng)一對入網終端PC、移動用戶的合法性進行驗證。在接入管理區(qū)部署管理平臺，對平臺設備和平臺日志進行監(jiān)控和管理。在移動安全管理平臺部署移動終端管理設備，負責對需要接入政務外網的手機、平板電腦等移動終端提供統(tǒng)一安全接入認證的入口，并進行設備管理、應用管理、內容管理的安全管理服務。為確保內部數據安全，采用國密SM4算法對數據進行加密。采用基于SSL VPN設備的網絡Hook SDK包作為智能終端APP應用集成使用，確保智能終端設備可以通過VPN設備實現(xiàn)身份認證、鏈路加密等功能。

2.1 省級設備部署

省級政務外網安全接入平臺部署四臺防火墻、兩臺VPN網關、一臺移動安全管理平臺設備、兩臺匯聚交換機及認證等設備，各設備互聯(lián)采用千兆線路連接。VPN網關和防火墻宜采用雙機熱備組網。通過配置VRRP協(xié)議，兩臺設備對外提供一個公網IP地址供用戶訪問，兩臺設備之間通過協(xié)議進行配置信息及會話信息的同步。當一臺設備故障時，VPN業(yè)務能夠快速切換到另一臺VPN網關設備，保證了業(yè)務的平穩(wěn)正常運行。當主設備恢復后，設備上所有已建立的連接無縫切換到原備設備上，VPN隧道無需重新建立，當前業(yè)務不中斷，設備切換對用戶無感知。AD服務器采用雙機模式部署，作為用戶名認證服務器使用。應用身份認證網關采用雙機旁路模式部署。網絡認證功能由VPN網關完成。省級安全接入平臺部署圖如圖1所示：

圖1 省級安全接入平臺部署圖

2.2 市級設備部署

市級政務外網安全接入平臺初期部署一臺防火墻、一臺VPN網關、一臺匯聚交換機及認證等設備，各設備互聯(lián)采用千兆線路連接。VPN網關設備采用旁掛模式連接防火墻，實現(xiàn)數據進、出均能被防火墻防護。配置一臺日志服務器，用于記錄VPN網關和防火墻日志；配置一臺AD服務器，作為用戶名認證服務器使用；網絡認證功能由VPN網關完成。市級安全接入平臺部署圖如圖2所示：

圖2 市級安全接入平臺部署圖

通過政務外網安全接入平臺訪問政務外網業(yè)務的傳統(tǒng)終端電腦，首先通過安裝在終端中的SSL VPN客戶端與SSL VPN設備連接，經過網絡準入認證后加密訪問政務外網內部業(yè)務應用系統(tǒng)。SSL VPN正常連通時，整個鏈路數據采用128位AES算法進行加密傳輸，同時傳統(tǒng)終端電腦上的正常桌面均不能訪問互聯(lián)網數據，但可以訪問政務外網內部辦公業(yè)務。

智能手機終端首先需要安裝進過二次開發(fā)的手機app軟件，通過智能終端中安裝的手機APP軟件與SSL VPN設備相連接，經過網絡準入認證后，用戶可直接訪問已授權的資源。在訪問內部辦公數據過程中，整個鏈路數據采用128位AES算法進行加密傳輸，保證鏈路傳輸中數據的安全性。

全省電子政務外網安全接入平臺部署完成后，應進入測試階段。測試主要從傳統(tǒng)終端和智能終端兩方面進行測試，主要測試內部辦公業(yè)務是否能夠安全、正常、便捷運轉，確定平臺已基本滿足政府移動辦公所需的安全、便捷等要求，才能正式上線運行。

3 結束語

本論文來源于國家電子政務外網安全安全接入平臺試點省的建設經驗總結，依據《國家電子政務外網安全接入平臺技術規(guī)范》，充分結合“互聯(lián)網+政務”環(huán)境我省業(yè)務應用的實際需求，開展我省政務外網安全接入平臺相關研究工作。期間，梳理了政務外網安全接入平臺方面的具體需求。在需求分析的基礎上，結合當前安全接入的主流技術，設計平臺的總體功能架構，整理安全接入業(yè)務流程，形成政務外網安全接入平臺的整體方案，并最終部署實現(xiàn)。同時，經過測試并實際應用，包括十多個廳局用戶的案例使用，特別是省委組織部全國黨員管理信息系統(tǒng)全省10.8萬基層黨組織的測試使用，驗證了本論文所研究的安全接入平臺架構能夠實現(xiàn)了預期目標。一是實現(xiàn)了面向不同用戶類型（不具備專線接入條件的各級政務部門、移動辦公用戶、現(xiàn)場執(zhí)法人員、企事業(yè)單位和公眾用戶等）、多種公用網絡（互聯(lián)網、2G/3G/4G網絡、VPDN等）和各類終端設備（計算機、智能終端、專用執(zhí)法設備等）的一體化解決方案；二是課題中形成的政務外網安全接入平臺整體設計思路與解決方案, 在平臺設計、功能劃分以及應用對接等方面，將為“互聯(lián)網+政務”環(huán)境下的各級接入政務部門提供便捷安全的接入業(yè)務支撐，為各級政務外網安全接入平臺建設提供指導和參考，也可為其他領域和行業(yè)同類平臺的設計與建設提供有益的參考和借鑒。

[1]楊陽 蔡明敏.“基于SSL VPN的安全接入平臺設計與實現(xiàn)”. 科技展望.2015年第33卷

[2]宋超.“電子政務安全接入平臺方案設計與實現(xiàn)”.青島大學.2014

[3]李堅. 移動電子政務安全設計與實現(xiàn)[D]. 吉林大學,2015.