“互联网+”环境下政务外网安全接入平台的设计与实现

何黎明 何光明 江西省信息中心 南昌市 330046

0 引言

推进“互联网+政务”工作是党中央、国务院作出的一项重大决策部署。不少政府部门通过加快移动办公服务平台和建设，有效解决了群众“办事难”、“办事慢”等问题。在此形势下，政务外网承载业务应用的重要程度和深度广度日益提升，政务外网用户（公务员、执法人员、企事业单位、公众用户等）通过互联网、移动网络等公共网络开展移动办公、现场执法、数据上报等安全接入业务的需求越来越多，特别是乡镇、村级用户非专网接入和移动办公用户接入政务外网的需求越来越大，用户通过移动方式接入各厅局业务系统的需求日渐明显，如何建设一个全省统一的政务外网安全接入平台成为摆在全省政务外网管理者面前的一个难题。

1 面临的问题和需求分析

目前，全省电子政务外网覆盖了省市县乡，但并没有延伸到村（社区），虽然按照效率优先、节约投资、满足需求的原则，部分厅局和部分地区建设了各自的安全接入VPN系统，各自的用户通过互联网就能够安全地联入电子政务外网。但是基于“互联网+政务”环境下，这些零散系统的功能和性能存在较大不足。一是各自安全接入平台结构简单，没有冗余备份，而且存在设备重复利用的情况，可靠性差；二是各自平台支撑的用户数量不多，难以支撑好各类业务应用及联网用户各类需求；三是安全防护能力较弱，安全设备的部署不到位，不能满足国家政务外网安全接入平台技术规范要求。

“互联网+政务”环境下的政务终端具有移动性，便携性等特点，消除了时间和地域的限制。因此，如何利用互联网、运营商公共承载网等基础网络，为不具备专线接入政务外网的各级政务部门、移动办公人员、现场执法人员、企事业单位和公众用户等接入对象，通过计算机、智能终端等多种类型终端或接入网关，通过全省电子政务外网安全接入平台，安全地接入到政务外网内部网络或业务应用服务系统，实现安全、便捷、高效办公，是全省政务外网安全接入平台急需解决的困惑。

2 平台设计与实现

全省电子政务外网安全接入平台方案的设计，必须首先考虑作为政府部门的安全性要求，同时需要符合计算机信息系统的安全等级保护要求，在进行电子政务安全接入平台方案设计时，必须充分考虑通过互联网接入内部办公网络、智能终端快速发展所带来的各种安全隐患。

考虑到经济型、技术合理、初期的用户数等多种因素，全省电子政务外网安全接入平台宜采用省、市两级部署，省级和11个设区市分别部署一套安全接入平台，采用分级属地化原则进行接入。每套安全接入平台应部署VPN接入区、接入认证区、接入管理区、移动安全管理平台。各级移动办公用户或不具备专线的用户通过互联网或运营商公共承载网络，经安全接入平台联入政务外网。考虑到投入成效比，市级安全接入平台先行部署VPN接入区、接入认证区、接入管理区，以满足基本业务应用的承载。

在VPN接入区部署SSL VPN设备和防火墙设备，作为电子政务安全接入平台身份认证和链路认证设备。在接入认证区部署认证设备，统一对入网终端PC、移动用户的合法性进行验证。在接入管理区部署管理平台，对平台设备和平台日志进行监控和管理。在移动安全管理平台部署移动终端管理设备，负责对需要接入政务外网的手机、平板电脑等移动终端提供统一安全接入认证的入口，并进行设备管理、应用管理、内容管理的安全管理服务。为确保内部数据安全，采用国密SM4算法对数据进行加密。采用基于SSL VPN设备的网络Hook SDK包作为智能终端APP应用集成使用，确保智能终端设备可以通过VPN设备实现身份认证、链路加密等功能。

2.1 省级设备部署

省级政务外网安全接入平台部署四台防火墙、两台VPN网关、一台移动安全管理平台设备、两台汇聚交换机及认证等设备，各设备互联采用千兆线路连接。VPN网关和防火墙宜采用双机热备组网。通过配置VRRP协议，两台设备对外提供一个公网IP地址供用户访问，两台设备之间通过协议进行配置信息及会话信息的同步。当一台设备故障时，VPN业务能够快速切换到另一台VPN网关设备，保证了业务的平稳正常运行。当主设备恢复后，设备上所有已建立的连接无缝切换到原备设备上，VPN隧道无需重新建立，当前业务不中断，设备切换对用户无感知。AD服务器采用双机模式部署，作为用户名认证服务器使用。应用身份认证网关采用双机旁路模式部署。网络认证功能由VPN网关完成。省级安全接入平台部署图如图1所示：

图1 省级安全接入平台部署图

2.2 市级设备部署

市级政务外网安全接入平台初期部署一台防火墙、一台VPN网关、一台汇聚交换机及认证等设备，各设备互联采用千兆线路连接。VPN网关设备采用旁挂模式连接防火墙，实现数据进、出均能被防火墙防护。配置一台日志服务器，用于记录VPN网关和防火墙日志；配置一台AD服务器，作为用户名认证服务器使用；网络认证功能由VPN网关完成。市级安全接入平台部署图如图2所示：

图2 市级安全接入平台部署图

通过政务外网安全接入平台访问政务外网业务的传统终端电脑，首先通过安装在终端中的SSL VPN客户端与SSL VPN设备连接，经过网络准入认证后加密访问政务外网内部业务应用系统。SSL VPN正常连通时，整个链路数据采用128位AES算法进行加密传输，同时传统终端电脑上的正常桌面均不能访问互联网数据，但可以访问政务外网内部办公业务。

智能手机终端首先需要安装进过二次开发的手机app软件，通过智能终端中安装的手机APP软件与SSL VPN设备相连接，经过网络准入认证后，用户可直接访问已授权的资源。在访问内部办公数据过程中，整个链路数据采用128位AES算法进行加密传输，保证链路传输中数据的安全性。

全省电子政务外网安全接入平台部署完成后，应进入测试阶段。测试主要从传统终端和智能终端两方面进行测试，主要测试内部办公业务是否能够安全、正常、便捷运转，确定平台已基本满足政府移动办公所需的安全、便捷等要求，才能正式上线运行。

3 结束语

本论文来源于国家电子政务外网安全安全接入平台试点省的建设经验总结，依据《国家电子政务外网安全接入平台技术规范》，充分结合“互联网+政务”环境我省业务应用的实际需求，开展我省政务外网安全接入平台相关研究工作。期间，梳理了政务外网安全接入平台方面的具体需求。在需求分析的基础上，结合当前安全接入的主流技术，设计平台的总体功能架构，整理安全接入业务流程，形成政务外网安全接入平台的整体方案，并最终部署实现。同时，经过测试并实际应用，包括十多个厅局用户的案例使用，特别是省委组织部全国党员管理信息系统全省10.8万基层党组织的测试使用，验证了本论文所研究的安全接入平台架构能够实现了预期目标。一是实现了面向不同用户类型（不具备专线接入条件的各级政务部门、移动办公用户、现场执法人员、企事业单位和公众用户等）、多种公用网络（互联网、2G/3G/4G网络、VPDN等）和各类终端设备（计算机、智能终端、专用执法设备等）的一体化解决方案；二是课题中形成的政务外网安全接入平台整体设计思路与解决方案, 在平台设计、功能划分以及应用对接等方面，将为“互联网+政务”环境下的各级接入政务部门提供便捷安全的接入业务支撑，为各级政务外网安全接入平台建设提供指导和参考，也可为其他领域和行业同类平台的设计与建设提供有益的参考和借鉴。

[1]杨阳 蔡明敏.“基于SSL VPN的安全接入平台设计与实现”. 科技展望.2015年第33卷

[2]宋超.“电子政务安全接入平台方案设计与实现”.青岛大学.2014

[3]李坚. 移动电子政务安全设计与实现[D]. 吉林大学,2015.