您的位置: 网界网 > 周报全文 > 正文

[周报全文]智能——电子政务新方向

2013年08月06日 15:54:22 | 作者:网界网记者 岑义涛 | 来源:网界网 | 查看本文手机版

摘要:作为中新两国政府间重要的合作项目,苏州工业园区于1994年2月经国务院批准设立,已发展成为拥有数万家入驻企业、八个国家级科技成果转化基地的大型国家级经济园区,并连续多年名列“中国城市最具竞争力开发区”排序榜首。

标签
电子政务
外网安全

作为中新两国政府间重要的合作项目,苏州工业园区于1994年2月经国务院批准设立,已发展成为拥有数万家入驻企业、八个国家级科技成果转化基地的大型国家级经济园区,并连续多年名列“中国城市最具竞争力开发区”排序榜首。园区管委会下属的信息中心即是为园区内各政府职能部门提供基础IT资源服务,以及提供统一互联网接入服务的专业技术管理部门。着了解这样一个园区电子政务网安全建设情况之目的,笔者走进了苏州工业园区管委会,并有幸采访到了管委会信息中心负责政务云及政务网的杨迪科长。在交流中,一种全新的安全建设思路蓝图逐渐呈现在笔者眼前。

性能和可靠性是根本需求

苏州工业园区的信息化建设要追溯到2000年,由于刚刚起步,每一个业务部门都是按照自己的业务需求进行信息化建设和发展,逐渐形成了一个个信息孤岛。设备利用率不足,各个业务之间信息交流不畅等弊端逐渐显现出来。

这种现象持续到了2005年。因为就从那时起虚拟化技术被采用了,园区管委会信息中心开始了循序渐进的虚拟化整合征程,随后又进行了大量的技术研究、实践和整合工作。2009年,随着云计算[注]应用的落地,结合苏州工业园区政府多年使用虚拟化IT架构的经验,开始着手建设一套先进的IaaS[注]架构,为各类政府信息系统提供运算和存储资源。随着园区政府职能部门数量的快速增长,对信息中心网络的规模提出了越来越高的要求。因此园区管委会对原有的孤岛式数据中心进行大规模改造,以云计算为依托,构建了一个覆盖整个苏州工业园区的电子政务云。

电子政务云的主要服务对象包括园区整个政府部门内部的运营系统,以及这些部门对公众服务的所有应用系统。这其中还包括公共医疗、一站式服务、基于政府和企业之间的政企交互空间、门户网站、数字城管、智慧环保、智慧教育,以及社保系统等多达八十种不同电子政务应用。为此管委会多次对网络进行了升级改造,而这又使得数据中心网络[注]越来越复杂,网络运行维护的难度越来越大,安全管控的需求越来越紧迫。

苏州工业园区管委会信息中心杨科长接受采访时谈到:“既然是一个基于云模式资源管控体系,那么云的安全,以及应对措施就必须要慎重考虑。从网络结构上来讲,我们的电子政务云是依托于遍布整个园区的政务网之上的。凡是涉及到政务管理及服务的单位与部门全部接入这个网内,部门之间独立存在。随之而来就是网络边界的大量产生,以及对于各个逻辑体之间访问控制和安全解决方案的迫切需求。”

对于安全解决方案的选择,杨科长解释道:“目前电子政务网上运行着超过2000个VLAN,因此我们需要的解决方案要能够应对大量的子网接口,而且必须保证能快速地响应。此外,还要能监控端到资源之间访问过程中的异常情况,并且做出及时预警。访问者想要访问到云内的资源,必须要通过一个安全边界,但是又不能因为安全的控制影响访问体验。所以我们整个安全网关部署的方式是集中部署在网络中心,所有端到服务器的访问必须要经过这个安全设备,安全网关的性能直接决定了这种访问模式的效果。我们在电子政务外网的核心部署了山石网科的安全解决方案,其灵活、多样性的配置模式,以及高性能引擎帮助我们快速地在云资源中心部署安全策略,能够满足对安全管控的需求,提前预知安全风险,以便迅速做出响应,保障业务连续性,提升服务质量。”

苏州工业园区电子政务外网的出口带宽为3Gbps,但是由于集中部署的原因,每一个网络区域全都接在这个安全网关上,而且拥有如此大量的逻辑网络,所以要求安全网关既能对外部网络做安全控制,也可以对内部网络做安全控制。因此它的可靠性、可用性,以及性能和安全性都是至关重要的。

锦上添花的流控和智能分析

“除了安全的隔离和控制之外,我们的第二步需求就是要有一种透视的机制,能够看到网络的内部到底发生了什么,同时还需要对这种看到的数据进行分析”,杨迪表示:“我们希望既可以通过安全网关认识到网络内部发生了什么,它又能智能地给出一些建议来告诉我们什么原因导致了性能的下降,或是整个业务的不可用。”

杨科长还表示,对于政务外网的第二步需求,园区管委会信息中心也在不断摸索和研究。由于园区电子政务云承载了近80个业务系统,而其中又有一些是数据交换平台,也就是说,所有的应用都要访问这个平台,那么在各个应用系统之间的交互就必须通过防火墙。而他们最终的需求是将防火墙结合流控机制,做到整个带宽的QoS和访问质量保证。

在这里有一点需要提出,园区的教育网是和电子政务网复用的。由于教育行业的特性决定了整个学校的流量在白天相当大。据杨科长说,政务外网的视频流量在白天会占用800-900MB的出口带宽,这绝大多数都是由教育网用户“贡献”的。用教育网举例,它的流量会访问各式各样的资源,需要细分访问的内容,如细分P2P的?量是出于视频还是下载,因此流控设备最好是可以做出分析。

杨科长说:“我们希望保证一些关键应用的访问。假设视频的访问中有班级正在通过网络教育资源上视频课,那么这些目标的流量我们必须要保证。而如果有使用者在做一些其他无关紧要的事情,那么我们就要对带宽进行限制。所以流控一定是动态和智能化的,并且是可以弹性收缩地进行控制的。如果流控只是一个固化模式(+微信关注网络世界),只针对固定管道的流控,那其实是没有太大的用处。”

由于安全网关处于网络核心部位,所以它能够“看到”所有的数据流量,比任何其他位置的设备“看到”的更最准确、更全面。所以流控设备的部署位置也必须是在网络的核心。对于流控与防火墙的集成问题,杨科长表示:“对于防火墙的评估,首先要达到性能要求。对于含有流控的设备,我们希望在设计防火墙时,它是以模块化的方式去处理,不能因为进行流控而对原来的性能产生影响。流量确实是需要控,但要有保障的控。”

杨科长还说道:“将流控功能集成进防火墙是由防火墙的特性所决定。防火墙一般部署在整个网络核心,或者放在整个网络的边缘。以前防火墙因为性能比较低,所以不得已在每个地方都部署。但目前防火墙的性能已经足够高了,就没有必要再去做分布式的部署。一旦将防火墙置于网络的核心,只要是跨网络数据交换就必须要经过防火墙,如果流控功能能被集成到防火墙,当然是一个最合适的位置。”

对于项目的测试效果,杨科长表示,从目前的测试情况来看,在所测试的解决方案中,流控的表现不俗。此外,还有一些功能是相对比较好的。杨科长进一步解释道:“假设一个应用发生故障,我们很难判断故障或者网络不通的原因。但是现在解决方案中有一个智能机器人的机制,它会模拟从端到访问目标的全过程。在这个过程中去做检测,最终反馈一个报告,通知我们是什么原因导致网络或应用的故障。这个报告是可视化的,就像拓扑图一样,显示中间一层层的访问,并告知哪个节点是什么问题,是由于防火墙策略导致呢,还是网络本身不可到达。对于此类问题,它可以做出一个分析,其实也是一个很好的分析工具。

苏州工业园区安全网关部署拓扑示例图

采访后记

据了解,在管委会数据中心托管了500台以上的虚拟机,这些虚拟机上运行的业务普遍对连续性的要求很高。因此,若要完全支撑苏州工业园区电子政务网的负载压力,防火墙必须具有极高的吞吐和并发能力,单台设备必须支持数G的业务访问流量,支撑数万人并发访问。在满足上述条件的同时,高可用性和可靠性也是绝对不能遗漏的考虑因素。

此外,在传统的解决方案中,由于缺乏有效的监控手段,在发生安全事件之前往往没有及时跟踪到异常状态,导致安全响应工作比较滞后。因此通过定期的网络健康状态检测配合异常预警,能够使运维人员及时了解托管服务器的安全状态,并对突发的事件做到提前响应,大大加快了安全运维的效率。而流量控制和监控技术的使用,更合理地节约了出口链路的带宽资源。同时由于压缩了P2P等过度占用带宽的应用后,会使得各接入单位的网络访问更加流畅,对提升用户使用体验也是极大的帮助。

参考资料

1.数据中心网络:(Data Center Network)是应用于数据中心内的网络,因为数据中心内的流量呈现出典型的交换数据集中、东西流量增多等特征,对数据中心网络提出了进一步的要求:大规模、高扩...详情>>

2.云计算:(Cloud Computing)描述了一种基于互联网的新的IT服务增加、使用和交付模式,通常涉及通过互联网来提供动态易扩展而且经常是虚拟化的资源。云计算是继1980年代大型计算机到...详情>>

3.IaaS:(Infrastructure as a service )是消费者使用处理、储存、网络以及各种基础运算资源,部署与执行操作系统或应用程式等各种软件。客户端无须购买服务器、软件等网络设备,...详情>>

[责任编辑:孙可 sun_ke@cnw.com.cn]