论文部分内容阅读
摘 要 随着我省政务部门网络系统的建设和发展,目前以IPv4技术为基础构建的网络系统逐渐暴露出许多问题和缺点,为满足下一代互联网发展需要,为政务部门提供一个高质量、高安全、高可靠的办公网络环境,对陕西省政务外网实施了IPv6升级改造工作,从根本上解决了IPv4地址短缺和网络带宽限制等问题,促进政务网络的IPV6技术的应用与发展,提升了电子政务网络建设水平,锻炼出一批熟悉IPV6技术的应用人才。
关键词 IPv6;双栈技术;电子政务
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)14-0096-01
陕西省政务外网IPV6网络的建设、改造和优化,以原有网络架构为基础,建成覆盖全省的IPv4/IPv6双栈网络,进一步提高网络整体的处理性能,提升新环境下的网络安全和信息安全保障水平,在IPv6网络环境下为各级政务部门的应用系统提供一个安全可靠地网络基础平台。
1 建设目标规模
在陕西省政务外网的基础上扩充建设,实现用户IPv4/IPv6普遍访问和信息资源的IPv4/IPv6普遍服务,使其成为我省电子政务建设和政府信息化建设的基础设施。
在省级政务网络基础上,通过改造升级,建立安全、可控、可管和能运营的全面支持IPv6 的网络环境,使我省政务外网全面支持IPv6各项应用,为各级政务应用系统和公共资源服务提供一个高速、安全、可靠的IPv4/IPv6双栈网络平台,在省级部门全面普及和提供IPv6网络服务,全面实现IPv4和IPv6网页浏览业务互通。建设规模达到接入超过3万IPv6用户的服务能力,为全省电子政务应用提供先进、安全、快捷的IPv6网络服务,为电子政务建设和信息化奠定坚实的基础。
2 主要建设内容
1)在现有政务外网基础上,结合实际,对网络核心、汇聚、接入层等设备更新或扩充,使关键网元设备包括路由器、交换机、网络安全设备等均支持IPv4/IPv6双协议栈,为政府部门用户提供IPv4/IPv6双栈网络服务。
2)以国家政务外网IPv6地址规划和相关技术规范为标准,对政务外网各级节点进行IPv6技术升级,配置必要的支持IPV6网络设备和信息安全设备,为各级节点开展IPv6应用服务提供支持环境。
3)建设支持IPv4/IPV6的中国陕西、信用陕西等门户网站,对现有200多个省级政府部门、机构、社会团体的网站进行IPv6升级,使其支持IPv4/V6双栈协议,支持IPv4和IPv6用户访问。
4)扩大IPv6用户接入规模,对部分接入和汇聚设备升级,提升IPv6用户的接入能力。建设改造覆盖全省的信息应用系统,使其能够在IPv6网络中运行。
5)建立IPv4/IPv6网络运维管理系统,包括设备管理与流量监控系统、业务管理系统,保证网络可管、可控和安全。
6)探索开展在IPv6环境下支持政务外网CA系统的应用,探索开展在IPv6环境下,支持MPLS VPN等安全措施的应用。
3 技术方案选择
技术方案的选择,第一需考虑保护既有投资,包括现有设备情况、人员技术能力等多个方面。只有充分利用现有的网络资源和人力物力的技术方案才具有较高的实用性。第二需保证现有应用系统正常运行,IPv6技术的引入不能影响已有IPv4的业务,如应用系统的性能、网络可靠性、网络安全性等。第三要求网络结构简单、易于管理。过于复杂的组网方案会增加网络故障发生的机率和增加实施成本。第四要求能够保证网络服务质量。采用IPv4/IPv6双栈方式组网以后,网络的整体性能可能下降,但是不能影响业务系统的服务质量,同时,网络的可靠性和稳定性也不能削弱。综上所述,在技术方案的选择中,从技术角度和我们已有网络环境考虑,采用IPv4/IPv6双协议栈共享技术是最理想的方案。它不改变现有的网络应用环境,能为不同类型的用户单独部署网络试验环境,管理简单、IPv4和IPv6的逻辑界面清晰。
4 安全系统建设
虽然IPv6解决了IPv4有限的地址空间问题,并提供身份验证、数据保密和保存等诸多内置安全特性,但是,它没有注重服务的可用性与安全性,这些问题也许会由于IPv6的内在漏洞与缺点而产生,由此带来新的安全威胁。在IPv4网络中的攻击方式和方法,在IPv6网络中一样存在,传统的安全设备和防护系统,能识别和发现IPv4的攻击方式,而对于IPv6类型的攻击报文则无法识别,要么当作未知流量全部丢弃,要么不经检测直接放过,使得网络攻击和异常流量可绕过安全设备,这对应用系统造成了新的威胁。因此有必要在各级IPV6节点出口处配置支持IPV6的安全设备或系统,以支持IPv6流量的安全检测和安全防护。如通过部署防火墙来实现边界访问控制,通过入侵防护系统准确监测IPV4和IPV6网络中异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,提供动态的、深度的、主动的安全防御。通过部署支持IPV6的审计系统实时动态监测网络通信流量和网络行为,发现并捕获各类敏感信息、违规网络行为,全面记录IPV6网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,为整体网络安全策略的制定提供权威可靠的支持。
5 应用系统建设
网站系统是面向IPV6网络用户的综合应用系统。它是用户访问IPv6资源的门户,能够根据用户的身份提供满足其需求的特定信息和应用系统,为用户提供完善的个性化服务。通过升级服务器硬件设备和操作系统,升级现有网站的核心模块,使现有网站同时支持IPv4用户和IPv6用户访问。在网站服务器支持IPv4/IPv6双协议栈的情况下,通过分别配置IPv4地址和IPv6地址并将网站域名分别解析到IPv4地址和IPv6地址的方法,同时将同一个站点文件配置成一个IPv4地址网站和一个IPv6地址网站,这样就可以实现IPv4用户和IPv6用户使用同一个网站域名对同一台网站服务器上同一个网站的访问。
视频服务系统是IPv6高带宽的特性的一个重要应用,现有的视频服务系统由于IPv4网络带宽限制,即使局域网内的用户也会出现缓冲过久的情况。开发基于IPv6网络环境的视频服务系统,包括电视频道直播、培训视频点播或影视剧的在线观看等内容,充分利用IPv6网络带宽来实现流畅的视频服务。
基于IPV6的用户认证系统。目前政务网站的网上办事和交流互动是通过注册时候的账号和密码登录的模式来对用户进行身份验证,如果用户忘记密码或者密码被盗,则无法确认用户身份,无法进行任何操作。IPv6网站中,用户在注册过程中可以选择是否将注册信息和IPv6地址进行绑定。若选择绑定,网站会将IPv6地址和客户端MAC地址与用户注册信息挂钩,则用户以后每次访问网站,网站可以通过用户的IPv6地址和MAC地址自动解析出用户的个人信息,省去用户登录的过程。用户访问网站时可以随时解除IPv6地址和MAC地址与个人信息的绑定,解除以后,用户注册时的账号和密码将成为唯一的身份认证标识。
陕西省政务外网IPv6改造升级为我省政务网络提供了一个全新的网络环境,从根本上解决了IPv4地址短缺和带宽问题,促进政务网络IPV6技术的应用与发展,提升了电子政务网络建设的水平,为下一代互联网在政府信息化中开展应用起到积极推动作用。
参考文献
[1]范柯,刘瑞,李亮亮,曹声.电子公文监控在黄委电子政务中的应用[J].办公自动化,2010(18).
关键词 IPv6;双栈技术;电子政务
中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)14-0096-01
陕西省政务外网IPV6网络的建设、改造和优化,以原有网络架构为基础,建成覆盖全省的IPv4/IPv6双栈网络,进一步提高网络整体的处理性能,提升新环境下的网络安全和信息安全保障水平,在IPv6网络环境下为各级政务部门的应用系统提供一个安全可靠地网络基础平台。
1 建设目标规模
在陕西省政务外网的基础上扩充建设,实现用户IPv4/IPv6普遍访问和信息资源的IPv4/IPv6普遍服务,使其成为我省电子政务建设和政府信息化建设的基础设施。
在省级政务网络基础上,通过改造升级,建立安全、可控、可管和能运营的全面支持IPv6 的网络环境,使我省政务外网全面支持IPv6各项应用,为各级政务应用系统和公共资源服务提供一个高速、安全、可靠的IPv4/IPv6双栈网络平台,在省级部门全面普及和提供IPv6网络服务,全面实现IPv4和IPv6网页浏览业务互通。建设规模达到接入超过3万IPv6用户的服务能力,为全省电子政务应用提供先进、安全、快捷的IPv6网络服务,为电子政务建设和信息化奠定坚实的基础。
2 主要建设内容
1)在现有政务外网基础上,结合实际,对网络核心、汇聚、接入层等设备更新或扩充,使关键网元设备包括路由器、交换机、网络安全设备等均支持IPv4/IPv6双协议栈,为政府部门用户提供IPv4/IPv6双栈网络服务。
2)以国家政务外网IPv6地址规划和相关技术规范为标准,对政务外网各级节点进行IPv6技术升级,配置必要的支持IPV6网络设备和信息安全设备,为各级节点开展IPv6应用服务提供支持环境。
3)建设支持IPv4/IPV6的中国陕西、信用陕西等门户网站,对现有200多个省级政府部门、机构、社会团体的网站进行IPv6升级,使其支持IPv4/V6双栈协议,支持IPv4和IPv6用户访问。
4)扩大IPv6用户接入规模,对部分接入和汇聚设备升级,提升IPv6用户的接入能力。建设改造覆盖全省的信息应用系统,使其能够在IPv6网络中运行。
5)建立IPv4/IPv6网络运维管理系统,包括设备管理与流量监控系统、业务管理系统,保证网络可管、可控和安全。
6)探索开展在IPv6环境下支持政务外网CA系统的应用,探索开展在IPv6环境下,支持MPLS VPN等安全措施的应用。
3 技术方案选择
技术方案的选择,第一需考虑保护既有投资,包括现有设备情况、人员技术能力等多个方面。只有充分利用现有的网络资源和人力物力的技术方案才具有较高的实用性。第二需保证现有应用系统正常运行,IPv6技术的引入不能影响已有IPv4的业务,如应用系统的性能、网络可靠性、网络安全性等。第三要求网络结构简单、易于管理。过于复杂的组网方案会增加网络故障发生的机率和增加实施成本。第四要求能够保证网络服务质量。采用IPv4/IPv6双栈方式组网以后,网络的整体性能可能下降,但是不能影响业务系统的服务质量,同时,网络的可靠性和稳定性也不能削弱。综上所述,在技术方案的选择中,从技术角度和我们已有网络环境考虑,采用IPv4/IPv6双协议栈共享技术是最理想的方案。它不改变现有的网络应用环境,能为不同类型的用户单独部署网络试验环境,管理简单、IPv4和IPv6的逻辑界面清晰。
4 安全系统建设
虽然IPv6解决了IPv4有限的地址空间问题,并提供身份验证、数据保密和保存等诸多内置安全特性,但是,它没有注重服务的可用性与安全性,这些问题也许会由于IPv6的内在漏洞与缺点而产生,由此带来新的安全威胁。在IPv4网络中的攻击方式和方法,在IPv6网络中一样存在,传统的安全设备和防护系统,能识别和发现IPv4的攻击方式,而对于IPv6类型的攻击报文则无法识别,要么当作未知流量全部丢弃,要么不经检测直接放过,使得网络攻击和异常流量可绕过安全设备,这对应用系统造成了新的威胁。因此有必要在各级IPV6节点出口处配置支持IPV6的安全设备或系统,以支持IPv6流量的安全检测和安全防护。如通过部署防火墙来实现边界访问控制,通过入侵防护系统准确监测IPV4和IPV6网络中异常流量,自动对各类攻击性的流量,尤其是应用层的威胁进行实时阻断,提供动态的、深度的、主动的安全防御。通过部署支持IPV6的审计系统实时动态监测网络通信流量和网络行为,发现并捕获各类敏感信息、违规网络行为,全面记录IPV6网络系统中的各种会话和事件,实现对网络信息的智能关联分析、评估及安全事件的准确全程跟踪定位,为整体网络安全策略的制定提供权威可靠的支持。
5 应用系统建设
网站系统是面向IPV6网络用户的综合应用系统。它是用户访问IPv6资源的门户,能够根据用户的身份提供满足其需求的特定信息和应用系统,为用户提供完善的个性化服务。通过升级服务器硬件设备和操作系统,升级现有网站的核心模块,使现有网站同时支持IPv4用户和IPv6用户访问。在网站服务器支持IPv4/IPv6双协议栈的情况下,通过分别配置IPv4地址和IPv6地址并将网站域名分别解析到IPv4地址和IPv6地址的方法,同时将同一个站点文件配置成一个IPv4地址网站和一个IPv6地址网站,这样就可以实现IPv4用户和IPv6用户使用同一个网站域名对同一台网站服务器上同一个网站的访问。
视频服务系统是IPv6高带宽的特性的一个重要应用,现有的视频服务系统由于IPv4网络带宽限制,即使局域网内的用户也会出现缓冲过久的情况。开发基于IPv6网络环境的视频服务系统,包括电视频道直播、培训视频点播或影视剧的在线观看等内容,充分利用IPv6网络带宽来实现流畅的视频服务。
基于IPV6的用户认证系统。目前政务网站的网上办事和交流互动是通过注册时候的账号和密码登录的模式来对用户进行身份验证,如果用户忘记密码或者密码被盗,则无法确认用户身份,无法进行任何操作。IPv6网站中,用户在注册过程中可以选择是否将注册信息和IPv6地址进行绑定。若选择绑定,网站会将IPv6地址和客户端MAC地址与用户注册信息挂钩,则用户以后每次访问网站,网站可以通过用户的IPv6地址和MAC地址自动解析出用户的个人信息,省去用户登录的过程。用户访问网站时可以随时解除IPv6地址和MAC地址与个人信息的绑定,解除以后,用户注册时的账号和密码将成为唯一的身份认证标识。
陕西省政务外网IPv6改造升级为我省政务网络提供了一个全新的网络环境,从根本上解决了IPv4地址短缺和带宽问题,促进政务网络IPV6技术的应用与发展,提升了电子政务网络建设的水平,为下一代互联网在政府信息化中开展应用起到积极推动作用。
参考文献
[1]范柯,刘瑞,李亮亮,曹声.电子公文监控在黄委电子政务中的应用[J].办公自动化,2010(18).