/1/2/3/41.1電子政務(wù)外網(wǎng)發(fā)展趨勢1.2面臨的主要挑戰(zhàn)03電子政務(wù)外網(wǎng)整體解決方案042.1方案概述052.2方案價值07典型應(yīng)用場景103.1多種專網(wǎng)整合方案,實現(xiàn)業(yè)務(wù)統(tǒng)—承載113.2關(guān)鍵業(yè)務(wù)重保敏捷部署,實現(xiàn)高效高質(zhì)保障163.3多級聯(lián)動統(tǒng)籌管理,增強政務(wù)外網(wǎng)跨域協(xié)同能力223.4全景運維地圖,多維可視,—圖統(tǒng)覽263.5固移融合,實現(xiàn)終端全域泛在接入293.6—機兩用零信任技術(shù),加強政務(wù)終端安全管控343.7政務(wù)外網(wǎng)密碼“零改造”,—體化快速交付383.8SRv6安全資源池助力城域網(wǎng)邊界防御,集約化部署403.9網(wǎng)安聯(lián)動,異常流量精細化識別,近源早阻斷433.10電子政務(wù)外網(wǎng)融合算力網(wǎng),算力資源即插即用463.11—網(wǎng)兩線,異構(gòu)備份,實現(xiàn)業(yè)務(wù)綜合承載50總結(jié)與展望56/102電子政務(wù)外網(wǎng)是構(gòu)建數(shù)字政府的關(guān)鍵基礎(chǔ)設(shè)施,它對于促進數(shù)據(jù)的整合共享和推動業(yè)務(wù)流程的協(xié)同工作起著至關(guān)重要的作用。國家對電子政務(wù)外網(wǎng)建設(shè)給予了高度關(guān)注,通過統(tǒng)—規(guī)劃和集中部署,推動構(gòu)建—個集約化、—體化、智能化、服務(wù)化的網(wǎng)絡(luò)平臺支撐體系,為數(shù)字政府的建設(shè)打下堅實的基礎(chǔ)。最近幾年,隨著《“十四五”推進國家政務(wù)信息化規(guī)劃》 (以下簡稱《規(guī)劃》)、《國務(wù)院關(guān)于加強數(shù)字政府建設(shè)的指導(dǎo)意見》(以下簡稱《指導(dǎo)意見》)以及2023年4月工業(yè)和信息化部等八部門《關(guān)于推進IPv6技術(shù)演進和應(yīng)用創(chuàng)新發(fā)展的實施意見》(以下簡稱《實施意見》)等政策文件的發(fā)布,《規(guī)劃》中明確提出“推進各類政務(wù)專網(wǎng)向統(tǒng)—電子政務(wù)網(wǎng)絡(luò)整合遷移或可控互聯(lián)”,《指導(dǎo)意見》也提出“各地區(qū)各部門原則上不再新建業(yè)務(wù)專網(wǎng)”。加強電子政務(wù)外網(wǎng)的統(tǒng)—規(guī)劃與管理,高效構(gòu)建云網(wǎng)等政務(wù)基礎(chǔ)設(shè)施建設(shè),推動不同政府部門專網(wǎng)向統(tǒng)—的電子政務(wù)外網(wǎng)整合,打破信息孤島,實現(xiàn)跨地區(qū)、跨部門、跨層級的互聯(lián)互通和信息共享。保證政務(wù)數(shù)據(jù)共享和政務(wù)業(yè)務(wù)高效運行,已成為電子政務(wù)外網(wǎng)建設(shè)的基本要求。推動IPv6單棧演進與IPv6+創(chuàng)新技術(shù)應(yīng)用《實施意見》中明確提到政務(wù)應(yīng)用場景“重點推廣分段路由、隨流檢測等IPv6+技術(shù)在政務(wù)網(wǎng)絡(luò)中的應(yīng)用”,隨著IPv6的快速推廣和應(yīng)用,IPv6升級從省市電子政務(wù)外網(wǎng)向區(qū)縣電子政務(wù)外網(wǎng)延伸,并加速向IPv6單棧網(wǎng)絡(luò)演進。同時,IPv6+創(chuàng)新技術(shù)為業(yè)務(wù)上云、視頻會議等應(yīng)用場景提供快速開通、業(yè)務(wù)保障、安全隔離、智能運維等服務(wù)能力,實現(xiàn)基礎(chǔ)設(shè)施集約化建設(shè)、業(yè)務(wù)高品質(zhì)承載、安全精準管控、運維效率提升,構(gòu)建數(shù)字政府堅實新底座。提升5G移動接入能力《規(guī)劃》與《指導(dǎo)意見》均著重指出了“提高電子政務(wù)外網(wǎng)移動接入能力”,以增強電子政務(wù)外網(wǎng)的服務(wù)功能。旨在滿足移動辦公、政務(wù)服務(wù)、應(yīng)急指揮、社會治理以及對重大活動推進零信任落地,重構(gòu)政務(wù)外網(wǎng)終端安全管控體系為保障政務(wù)外網(wǎng)整體安全性,防范化解政務(wù)外網(wǎng)終端安全風(fēng)險,國家電子政務(wù)外網(wǎng)管理中心牽頭制定了《政務(wù)外網(wǎng)終端—機兩用安全管控技術(shù)指南》,針對各級政務(wù)部門終端“—機兩用”接入政務(wù)外網(wǎng)的情況,基于零信任理念構(gòu)建政務(wù)外網(wǎng)終端安全管控體系,實現(xiàn)政務(wù)外網(wǎng)終端準入控制(包括身份認證、終端安全檢查、資源訪問控制)、終端安全隔離(包括網(wǎng)絡(luò)隔離、會話隔離、數(shù)據(jù)隔離)。密碼是國家重要的戰(zhàn)略資源,是保障網(wǎng)絡(luò)安全和信息安全的核心技術(shù)和基礎(chǔ)支撐。新修訂的《商用密碼管理條例》細化和完善了關(guān)鍵信息基礎(chǔ)設(shè)施商用密碼應(yīng)用要求,壓實了政務(wù)外網(wǎng)主管單位密碼應(yīng)用的主體責任,為構(gòu)建以密碼技術(shù)為核心、多種技術(shù)相融合的關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護體系提供了有力支撐。密碼安全在電子政務(wù)外網(wǎng)中的03絡(luò)安全防護能力,助力打通數(shù)據(jù)融通的信任瓶頸,促進了信息資源的開放共享,還有助于提升政府治理能力和服務(wù)效率。加強核心技術(shù)攻關(guān),提高自主可控水平《指導(dǎo)意見》中提出“加強自主創(chuàng)新,加快數(shù)字政府建設(shè)領(lǐng)域關(guān)鍵核心技術(shù)攻關(guān),強化安全可靠技術(shù)和產(chǎn)品應(yīng)用,切實提高自主可控水平”。自主創(chuàng)新是電子政務(wù)外網(wǎng)建設(shè)的核心訴求和安全基礎(chǔ),從源頭解決網(wǎng)絡(luò)安全重大隱患。1.2面臨的主要挑戰(zhàn)國家信息中心數(shù)據(jù)顯示,截止24年4月,政務(wù)外網(wǎng)已覆蓋中央、省、市、縣四級全部行政區(qū)域,連接中央部門及相關(guān)機構(gòu)225家,地方政務(wù)部門及相關(guān)機構(gòu)達到51.85萬家,鄉(xiāng)鎮(zhèn)街道接入率達到99.4%以上。全國31個省(區(qū)、市)和95%的地市已建設(shè)政務(wù)云。省級政務(wù)云平均計算能力27萬核,承載政務(wù)應(yīng)用1000余個。打通公安、民政、衛(wèi)健、教育等部門的1000余個數(shù)據(jù)接口,為1000余個業(yè)務(wù)系統(tǒng)提供數(shù)據(jù)調(diào)用服務(wù),累計調(diào)用140億次,為各級政務(wù)部門開展縱橫聯(lián)動的業(yè)務(wù)應(yīng)用提供了堅實的基礎(chǔ)。隨著數(shù)字政府建設(shè)不斷深入,電子政務(wù)外網(wǎng)建設(shè)仍舊面臨著較大的挑戰(zhàn)。隨著各部門專網(wǎng)的不斷整合,承載的業(yè)務(wù)類型持續(xù)增多,電子政務(wù)外網(wǎng)面臨差異化承載的挑戰(zhàn),需要提供更加精細化的服務(wù)以滿足不同業(yè)務(wù)需求。社會治理和應(yīng)急管理等關(guān)鍵業(yè)務(wù)對網(wǎng)絡(luò)的實時性、可靠性和并發(fā)處理能力提出了更高要求;移動政務(wù)應(yīng)用的爆發(fā)增長對電子政務(wù)外網(wǎng)的接入能力提出了新的挑戰(zhàn),需要提升網(wǎng)絡(luò)的泛在接入能力;同時,隨著AIGC的興起,算力資源像水、電、氣—樣,逐漸成為現(xiàn)代數(shù)字社會的—種基礎(chǔ)設(shè)施,電子政務(wù)外網(wǎng)亟需具備算力數(shù)據(jù)傳輸及算力資源調(diào)控的能力,以實現(xiàn)算力資源即取即用。部門專網(wǎng)整合加速,電子政務(wù)外網(wǎng)逐漸向企事業(yè)單位和村社延伸,網(wǎng)絡(luò)覆蓋范圍不斷增大安全邊界逐漸模糊。當前,電子政務(wù)外網(wǎng)對于威脅擴散的防御能力較為薄弱,在終端接入側(cè)的安全管理控制方面存在欠缺,難以阻止病毒在網(wǎng)絡(luò)內(nèi)部的蔓延擴散,無法有效應(yīng)對數(shù)字政府“—張網(wǎng)”后面臨的安全風(fēng)險。同時,商用密碼作為網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐,在電子政務(wù)外網(wǎng)的仍未得到有效應(yīng)用,骨干網(wǎng)配置的防護設(shè)備數(shù)量普遍不足,并且網(wǎng)絡(luò)日趨復(fù)雜,面臨的安全事件處理不及電子政務(wù)外網(wǎng)運維存在省、市及區(qū)縣上下聯(lián)動不足、協(xié)同效率不高等問題,難以支撐跨層級、跨地域、跨系統(tǒng)、跨部門、跨業(yè)務(wù)的協(xié)同管理和服務(wù)。同時,電子政務(wù)外網(wǎng)智能化管理能力相對較弱,網(wǎng)絡(luò)運維仍主要以人工為主,網(wǎng)絡(luò)運行狀態(tài)和業(yè)務(wù)質(zhì)量感知能力差,運維響應(yīng)不及時,故障定位效率低,對運維人員技能要求高,無法實現(xiàn)電子政務(wù)外網(wǎng)基礎(chǔ)設(shè)施的可04/2052.1方案概述電子政務(wù)外網(wǎng)是加快政府數(shù)字化轉(zhuǎn)型的助推器，是政務(wù)數(shù)據(jù)高效流通的大動脈，未來會進一步提升政務(wù)外網(wǎng)的承載能力、安全保障及智能化水平，新華三新一代電子政務(wù)外網(wǎng)解決方案，以IPv6+技術(shù)為基，以等保、密評、零信任為軸，輔以大數(shù)據(jù)、大模型，構(gòu)建“全域覆蓋、全網(wǎng)共享、全時可用、全程可控、全景可視”的新一代電子政務(wù)外網(wǎng)，多維度創(chuàng)新，讓網(wǎng)絡(luò)擁抱業(yè)務(wù)，持續(xù)助力數(shù)字政府“一網(wǎng)通辦”“一網(wǎng)統(tǒng)管”“一網(wǎng)協(xié)同”的決策、服務(wù)和治理新模式，全面引領(lǐng)數(shù)字化新華三新一代電子政務(wù)外網(wǎng)解決方案秉承“承載一張網(wǎng)”、“安全一道墻”、“運維一張圖”的建設(shè)理念，總體架構(gòu)分為網(wǎng)絡(luò)控制器智能分析器安全監(jiān)測平臺零信任管理平臺網(wǎng)絡(luò)控制器智能分析器安全監(jiān)測平臺零信任管理平臺城域網(wǎng)城域網(wǎng)核心城域網(wǎng)城域網(wǎng)核心統(tǒng)一互聯(lián)網(wǎng)出口安全接入平臺政務(wù)云移動政務(wù)專網(wǎng)企事業(yè)單位接入統(tǒng)一互聯(lián)網(wǎng)出口安全接入平臺政務(wù)云移動政務(wù)專網(wǎng)企事業(yè)單位接入06>廣域網(wǎng)與城域網(wǎng)是電子政務(wù)外網(wǎng)的核心承載網(wǎng)絡(luò),應(yīng)用IPv6+新技術(shù),通過SRv6實現(xiàn)網(wǎng)絡(luò)可編程、業(yè)務(wù)路徑靈活調(diào)度,滿足應(yīng)用對網(wǎng)絡(luò)的差異化服務(wù)需求,有效提升帶寬利用率;通過網(wǎng)絡(luò)切片實現(xiàn)—網(wǎng)多平面,關(guān)鍵業(yè)務(wù)資源獨享,不同業(yè)務(wù)相互隔離,隨用隨切,實現(xiàn)專網(wǎng)品質(zhì);城域網(wǎng)部署安全資源池,安全池化部署,彈性擴展,靈活編排,統(tǒng)—運維,降低維護成本,網(wǎng)安聯(lián)動,近源風(fēng)險阻斷,為電子政務(wù)外網(wǎng)提供安全屏障,確保電子政務(wù)外網(wǎng)的穩(wěn)定可靠運行;統(tǒng)—互聯(lián)網(wǎng)出口為各級政務(wù)部門提供互聯(lián)網(wǎng)訪問服務(wù);移動政務(wù)專網(wǎng)提供電子政務(wù)外網(wǎng)4G、5G等移動接入服務(wù),通過端到端的網(wǎng)絡(luò)切片為移動用戶提供高質(zhì)量的網(wǎng)絡(luò)接入;企事業(yè)單位通過安全邊界防護應(yīng)接盡接。>部門政務(wù)外網(wǎng)是各級政務(wù)部門工作人員的辦公網(wǎng)絡(luò)。為充分保障電子政務(wù)外網(wǎng)的安全,實現(xiàn)高效業(yè)務(wù)訪問,杜絕“—機兩用”,在需要接入電子政務(wù)外網(wǎng)的終端上部署零信任客戶端,在電子政務(wù)外網(wǎng)部署零信任網(wǎng)關(guān)與零信任管理平臺,解決終端環(huán)境安全不可視、入網(wǎng)身份安全不可知、訪問行為安全不可控、終端安全管理不統(tǒng)—的政務(wù)終端難題。包括統(tǒng)—數(shù)字底座、網(wǎng)絡(luò)控制器、智能分析>統(tǒng)—數(shù)字底座基于InstaIIer平臺,該平臺基于kubernetes,實現(xiàn)了對Docker容器的編排調(diào)度。>網(wǎng)絡(luò)控制器提供面向廣域網(wǎng)流量調(diào)優(yōu)能力,全局視角下結(jié)合帶寬、時延、抖動、丟包、時間段、鏈路親和屬性、優(yōu)選、排除等多種選路策略,實現(xiàn)業(yè)務(wù)轉(zhuǎn)發(fā)路徑優(yōu)化及將相關(guān)配置下發(fā)到設(shè)備。針對NativeIP公網(wǎng)業(yè)務(wù)和VPN業(yè)務(wù),可以基于五元組/DSCP/VPN進行精細化的流分類,自動化隧道引流,采用集中算路的方式調(diào)整隧道路徑,實現(xiàn)全網(wǎng)資源優(yōu)化,使網(wǎng)絡(luò)帶寬資源利用率最大化,同時兼顧不同業(yè)務(wù)的SLA差異化管理,優(yōu)先保障高優(yōu)先級業(yè)務(wù)需求。并且,實時感知網(wǎng)絡(luò)狀態(tài)變化,提供毫秒級故障切換能力以及秒級路徑重優(yōu)化能力,確保廣域網(wǎng)提供高品質(zhì)、高可靠的>智能分析器基于TeIemetry遙測技術(shù)實現(xiàn)網(wǎng)絡(luò)狀態(tài)快速感知、秒級運維。向用戶展示呈現(xiàn)網(wǎng)絡(luò)中關(guān)鍵的價值元素,輔助網(wǎng)絡(luò)運維。智能分析器將AI應(yīng)用于運維領(lǐng)域,匯集新華三多年來深耕于行業(yè)客戶的運維經(jīng)驗和網(wǎng)絡(luò)能力形成運維能力知識庫,通過人機交互的方式提供智能化的輔助運維能力,極大降低客戶運維工作量,簡化運維難度。同時,智能分析器借助大數(shù)據(jù)分析能力,通過機器學(xué)習(xí)和深度分析算法,從應(yīng)用的視角來觀察網(wǎng)絡(luò),主動感知網(wǎng)絡(luò)和應(yīng)用存在的問題。針對網(wǎng)絡(luò)和業(yè)務(wù)問題,提供自動化排障能力,幫助用戶快速進行故障定界定位,進—步降低運維成本,提升運>安全控制器對安全資源進行統(tǒng)—管理并集中下發(fā)安全策略,從而縮短了對安全風(fēng)險的響應(yīng)時間,同時將安全業(yè)務(wù)路徑進行統(tǒng)—編排,大幅度簡化了電子政務(wù)外網(wǎng)中繁瑣的引流策略部署。>零信任管理平臺主要實現(xiàn)終端、用戶、資源的身份化,對終端、用戶、資源身份進行風(fēng)險評估,對用戶訪問資源的權(quán)限進行訪問控制,其訪問權(quán)限主要依據(jù)終端、用戶的風(fēng)險實時動態(tài)調(diào)整,實現(xiàn)實時最小化權(quán)限控制。07>安全監(jiān)測平臺以網(wǎng)絡(luò)流量分析、資產(chǎn)管理、漏洞檢測、日志分析與處理等為核心,實現(xiàn)覆蓋全網(wǎng)、全域、全業(yè)務(wù)的政務(wù)安全監(jiān)測體系,建立全域范圍內(nèi)的網(wǎng)絡(luò)威脅預(yù)警及統(tǒng)—指揮調(diào)度的應(yīng)急響應(yīng)處置機制,形成實時發(fā)現(xiàn)、精準溯源、>靈犀大模型采用最新的Transformer架構(gòu),自主研發(fā)動態(tài)混合專家(DynamicMixtureofExperts)模型技術(shù),基于多年積累的高質(zhì)量網(wǎng)絡(luò)與安全知識庫,對接外部情報,進行模型微調(diào),本地私有化部署,結(jié)合知識圖譜、檢索增強等,實現(xiàn)告警降噪、攻擊研判、安全策略管理、故障根因分析、自動響應(yīng)與處置、運營輔助等能力,為網(wǎng)絡(luò)與安全賦能,重塑運維運營模式。2.2方案價值在政務(wù)業(yè)務(wù)全面上云、政務(wù)數(shù)據(jù)高效流通、各類算力—點接入的業(yè)務(wù)驅(qū)動下,電子政務(wù)外網(wǎng)的重要性愈加凸顯,對其承載能力、覆蓋范圍、服務(wù)質(zhì)量、安全保障、運維效率等提出了更高的要求。新華三新—代電子政務(wù)外網(wǎng)解決方案旨在解決承載能力不強、服務(wù)質(zhì)量不高、安全體系不全、保障能力不足,運維協(xié)同不暢等難題,構(gòu)建“全域覆蓋、全網(wǎng)共享、全時可承載—張網(wǎng)構(gòu)建堅實數(shù)字底座,實現(xiàn)高質(zhì)量泛在接入基于數(shù)字政府“—張網(wǎng)”的集約化建設(shè)理念,消除“網(wǎng)絡(luò)壁壘”和“數(shù)據(jù)高墻”,暢通業(yè)務(wù)訪問、數(shù)據(jù)流通、算力共享的“大動脈”,采用IPv6+、V2V系列新興技術(shù),IPv6單棧承載,提升電子政務(wù)外網(wǎng)多層次接入承載能力,為視頻會議、視頻監(jiān)控、現(xiàn)場執(zhí)法、移動辦公、應(yīng)急指揮、重大活動保障等業(yè)務(wù)提供網(wǎng)絡(luò)保障;在視頻采集、物聯(lián)感知、移動終端等成為主要信息入口的情況下,基于統(tǒng)—規(guī)范、協(xié)同互聯(lián)的電子政務(wù)外網(wǎng),打造安全高效、快速響應(yīng)的泛在接入體系;電子政務(wù)外網(wǎng)與算力網(wǎng)可融合承載,算力資源全局調(diào)度,實現(xiàn)各類算力的—點接入,即取即用。>—網(wǎng)統(tǒng)載,加快專網(wǎng)整合,實現(xiàn)專網(wǎng)品質(zhì):新華三新—代電子政務(wù)外網(wǎng)解決方案采用IPv6單棧和SRv6協(xié)議的能力來實現(xiàn)網(wǎng)絡(luò)的統(tǒng)—承載。通過應(yīng)用層次化的網(wǎng)絡(luò)切片技術(shù),可以將單—的物理網(wǎng)絡(luò)劃分為多個邏輯上的切片網(wǎng)絡(luò),每個切片都擁有獨立的硬件資源,確保它們之間不會發(fā)生資源搶占,從而實現(xiàn)專網(wǎng)的品質(zhì)。新華三新—代電子政務(wù)外網(wǎng)解決方案依托SRv6和網(wǎng)絡(luò)切片等先進技術(shù),為各類電子政務(wù)外網(wǎng)的業(yè)務(wù)實現(xiàn)帶寬保障、安全隔離能力,進而加速推動了>—網(wǎng)兩線,協(xié)議自主創(chuàng)新,業(yè)務(wù)高質(zhì)承載:—網(wǎng)兩線包括IP數(shù)據(jù)平面和V2V視聯(lián)網(wǎng)平面兩條線,分別承載IP數(shù)據(jù)業(yè)務(wù)和視頻業(yè)務(wù),兩個平面互為備份。相對于傳統(tǒng)電子政務(wù)外網(wǎng)和視頻網(wǎng)絡(luò)建設(shè)時均為“—主—備”模式,—網(wǎng)兩線方案僅需—條IP數(shù)據(jù)線路和—條視聯(lián)網(wǎng)線路即可實現(xiàn)主備效果,—網(wǎng)多用、—網(wǎng)多能,大幅節(jié)省建設(shè)和運營費用?！W(wǎng)兩線方案支持構(gòu)建縱向到底、橫向到邊的視頻系統(tǒng)和政務(wù)服務(wù),實現(xiàn)全域無縫覆蓋,統(tǒng)—平臺、統(tǒng)—調(diào)度、共享互動,>電子政務(wù)外網(wǎng)融合算力網(wǎng),算力即取即用:算力已經(jīng)成為現(xiàn)代社會的—種新型基礎(chǔ)設(shè)施,其重要性堪比水、電、氣,08是數(shù)字時代不可或缺的生產(chǎn)力之—。算力網(wǎng)使得分散的算力資源能夠匯聚形成—個虛擬的大規(guī)模計算池,實現(xiàn)資源在全網(wǎng)范圍內(nèi)的共享,解決算力供需不平衡的現(xiàn)狀,顯著提升了資源利用率。對電子政務(wù)外網(wǎng)進行迭代升級,從而具備算力承載能力,為政務(wù)用戶提供便捷、高效、安全、可靠的算力接入服務(wù)。安全—道墻筑牢立體防御體系,提升安全防護能力基于網(wǎng)安端—體化、縱深安全的防御理念,以主動發(fā)現(xiàn)和防護新型威脅為主要目標,將AI安全大模型、網(wǎng)安聯(lián)動、零信任、密碼服務(wù)、安全資源池化等技術(shù)優(yōu)勢融入電子政務(wù)外網(wǎng)安全建設(shè)中,形成覆蓋終端、網(wǎng)絡(luò)、應(yīng)用、數(shù)據(jù)、情報等層面的風(fēng)險評估、溯源取證、應(yīng)急處置—體安全能力,建立—套可信的安全威脅防御體系。>基于零信任理念,保障政務(wù)終端安全管控,可信接入:遵循《電子政務(wù)外網(wǎng)終端—機兩用安全管控技術(shù)指南》,基于SDP(SoftwareDefinedPerimeter,軟件定義邊界)架構(gòu),滿足政務(wù)終端在多網(wǎng)—終端場景下的準入認證、網(wǎng)絡(luò)隔離等安全需求,杜絕“—機兩用”跨網(wǎng)訪問現(xiàn)象。同時具備部署靈活、網(wǎng)安聯(lián)動、維護簡單等技術(shù)優(yōu)勢,為政務(wù)>電子政務(wù)外網(wǎng)密碼“零改造”,—體化快速交付:商用密碼作為網(wǎng)絡(luò)安全的核心技術(shù)和基礎(chǔ)支撐,在電子政務(wù)外網(wǎng)的環(huán)境中應(yīng)用仍然薄弱,密碼安全場景化方案針對網(wǎng)絡(luò)運維管理系統(tǒng)密碼應(yīng)用改造方案和密碼基礎(chǔ)設(shè)施的設(shè)計從用戶接入認證層面,到服務(wù)端密碼應(yīng)用支撐層面進行統(tǒng)—規(guī)劃設(shè)計,新華三全套密碼能力與網(wǎng)管系統(tǒng)無縫適配對接,實現(xiàn)密>SRv6安全資源池助力城域網(wǎng)邊界防御,集約化部署:SRv6安全資源池場景化方案通過集中部署的形式,為城域網(wǎng)內(nèi)的政務(wù)接入單位提供安全防護服務(wù),通過使用安全控制器,對安全資源進行統(tǒng)—管理并集中下發(fā)安全策略,從而縮短對安全風(fēng)險的響應(yīng)時間。通過安全設(shè)備與安全監(jiān)測平臺/安全控制器分析聯(lián)動,快速響應(yīng)處置威脅,補齊邊界安全防護>網(wǎng)安聯(lián)動,異常流量精細化識別,近源早阻斷:網(wǎng)安聯(lián)動場景化方案通過靈活部署的探針全面覆蓋所有潛在的威脅路徑,實現(xiàn)全網(wǎng)監(jiān)測,在威脅發(fā)生時,系統(tǒng)能夠迅速準確地識別和追蹤威脅來源。通過網(wǎng)絡(luò)控制器、安全控制器與安全監(jiān)測平臺進行聯(lián)動,可以將阻斷策略下發(fā)給相應(yīng)網(wǎng)絡(luò)設(shè)備,實現(xiàn)近源阻斷、防護前置,防止攻擊進—步的擴散。運維—張圖實現(xiàn)全域可視可控可管,確保穩(wěn)定高效運行通過AI與全景運維地圖結(jié)合,網(wǎng)絡(luò)和業(yè)務(wù)狀態(tài)全息感知,應(yīng)用轉(zhuǎn)發(fā)路徑可視可控,—圖統(tǒng)覽;綜合運用SDN、IPv6+等技術(shù),設(shè)備即插即用,業(yè)務(wù)快速部署,關(guān)鍵業(yè)務(wù)重點保障,實現(xiàn)全網(wǎng)可控;通過多級聯(lián)動,上下協(xié)同,實現(xiàn)全網(wǎng)統(tǒng)管;通過意圖網(wǎng)絡(luò)、數(shù)字孿生提升網(wǎng)絡(luò)預(yù)測與預(yù)防能力,加快故障定界與定位,多措并舉,賦能網(wǎng)絡(luò)運維高度自動化和智能化,加>關(guān)鍵業(yè)務(wù)重保敏捷部署,實現(xiàn)高效高質(zhì)保障:綜合運用SDN、SRv6、網(wǎng)絡(luò)切片、iFIT等技術(shù),簡化關(guān)鍵業(yè)務(wù)重保流程,從事前規(guī)劃部署、事中實時監(jiān)控、事后報表統(tǒng)計實現(xiàn)全程自動化,優(yōu)化了運維效能,還提升了業(yè)務(wù)使用體驗。通過對業(yè)務(wù)的重點保障,網(wǎng)絡(luò)運維人員能夠更輕松地監(jiān)控和維護網(wǎng)絡(luò)中業(yè)務(wù)狀態(tài),減少故障時處理時間和工作壓力,同09時業(yè)務(wù)使用人員能夠享受流暢的應(yīng)用和服務(wù)體驗,提升整體工作效率和滿意度。>多級聯(lián)動統(tǒng)籌管理,增強電子政務(wù)外網(wǎng)跨域協(xié)同能力:省、市、區(qū)縣政務(wù)外網(wǎng)通過SDN控制器多級聯(lián)動管理,實現(xiàn)網(wǎng)絡(luò)和業(yè)務(wù)的統(tǒng)—管控和業(yè)務(wù)協(xié)同,提升了運維運營效率,增強了跨層跨級上下協(xié)同的能力,釋放電子政務(wù)外網(wǎng)服務(wù)效能。>全景運維地圖多維可視,—圖統(tǒng)覽:電子政務(wù)外網(wǎng)全景運維地圖為網(wǎng)絡(luò)管理帶來了重大改變,通過全網(wǎng)數(shù)據(jù)可視和故障秒級定位等關(guān)鍵能力,降低了運維復(fù)雜度,提升了運維便捷性,加速政務(wù)外網(wǎng)運維和運營邁向自治網(wǎng)絡(luò)時代。/33.13.1多種專網(wǎng)整合方案,實現(xiàn)業(yè)務(wù)統(tǒng)一承載隨著數(shù)字政府的集中化管理水平的不斷提升,各地正致力于加強政務(wù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的統(tǒng)—規(guī)劃與建設(shè)。通過有計劃地將非涉密業(yè)務(wù)專網(wǎng)整合到電子政務(wù)外網(wǎng),實現(xiàn)部門專網(wǎng)與電子政務(wù)外網(wǎng)的有效對接和融合,逐步解決“網(wǎng)絡(luò)孤島”和“數(shù)據(jù)煙囪”等問題,實現(xiàn)政務(wù)網(wǎng)絡(luò)資源的統(tǒng)—建設(shè)和整合共享。3.1.1業(yè)務(wù)挑戰(zhàn)目前,電子政務(wù)外網(wǎng)管理機構(gòu)以及專網(wǎng)使用單位,對于將專網(wǎng)整合進電子政務(wù)外網(wǎng)還存在—些擔憂。專網(wǎng)整合的進—步實施,正面臨著—系列挑戰(zhàn)。業(yè)務(wù)專網(wǎng)差異大,難以打造統(tǒng)—的整合策略各業(yè)務(wù)專網(wǎng)在應(yīng)用系統(tǒng)部署、數(shù)據(jù)敏感性、網(wǎng)絡(luò)覆蓋和運維管理等方面存在顯著差異?！﹩挝挥捎谄鋺?yīng)用系統(tǒng)的復(fù)雜性,傾向于維持現(xiàn)有的專網(wǎng)配置,以減少對業(yè)務(wù)的影響;另—些單位由于運維資源有限,期望電子政務(wù)外網(wǎng)管理機構(gòu)能夠在網(wǎng)絡(luò)整合后承擔運維責任;還有—些單位因業(yè)務(wù)數(shù)據(jù)的敏感性而無法進行整合,但又有數(shù)據(jù)共享的需求。鑒于各業(yè)務(wù)專網(wǎng)的具體情況和需求差異,需要針對每個網(wǎng)絡(luò)制定個性化的整合策略,以選擇最合適的整合方案。專網(wǎng)業(yè)務(wù)SLA差異化大,需求難以同時滿足不同的專網(wǎng),業(yè)務(wù)需求呈現(xiàn)出高度的復(fù)雜性和多樣性,這要求電子政務(wù)外網(wǎng)在提供服務(wù)時能夠展現(xiàn)出更加精細化的保障能力。例如,應(yīng)急指揮業(yè)務(wù)對網(wǎng)絡(luò)傳輸質(zhì)量有著嚴格的要求,特別是在誤碼率方面,要求鏈路通道的ES(誤碼秒)和SES (嚴重誤碼秒)在兩小時內(nèi)的累計數(shù)量不得超過6個。另—方面,醫(yī)保結(jié)算業(yè)務(wù)對網(wǎng)絡(luò)時延的容忍度較低,要求本地鏈路的延時不得超過10毫秒。隨著專網(wǎng)整合的推進,電子政務(wù)外網(wǎng)將承擔起承載各類專網(wǎng)業(yè)務(wù)的重任,這就需要電子政務(wù)外網(wǎng)能夠根據(jù)不同業(yè)務(wù)的具體需求,提供差異化的服務(wù)保障。專網(wǎng)整合面臨安全挑戰(zhàn),確保專網(wǎng)業(yè)務(wù)安全隨著專網(wǎng)整合的深入,接入電子政務(wù)外網(wǎng)的終端數(shù)量急劇上升,接入手段也從單—的有線方式向無線和有線混合方式轉(zhuǎn)變。目前,專網(wǎng)接入單位對于整合后的電子政務(wù)外網(wǎng)安全性也存在普遍擔憂,因為電子政務(wù)外網(wǎng)承載的業(yè)務(wù)類型多樣,與原有的單—業(yè)務(wù)專網(wǎng)相比,安全風(fēng)險更高。因此,迫切需要通過不同VPN隔離,并通過隨路加密技術(shù),實現(xiàn)隧道和加密解耦,降低配置復(fù)雜性,提高專網(wǎng)安全性和可靠性以消除接入單位的安全顧慮,促進專網(wǎng)整合的順利進行。3.1.2場景化方案根據(jù)國家的政策要求,為應(yīng)對專網(wǎng)整合過程中所面臨的業(yè)務(wù)挑戰(zhàn),新華三基于豐富的電子政務(wù)外網(wǎng)實踐經(jīng)驗,對專網(wǎng)整合的不同應(yīng)用場景進行了深入分析,并提煉出了三種主要的整合模式:互聯(lián)互通、撤線整合、撤網(wǎng)整合?；ヂ?lián)互通就是保留現(xiàn)有的業(yè)務(wù)專網(wǎng),通過網(wǎng)閘/防火墻等安全設(shè)備,安全可控地打通業(yè)務(wù)專網(wǎng)與電子政務(wù)外網(wǎng),實現(xiàn)業(yè)務(wù)互通與數(shù)據(jù)互通。這種場景下,應(yīng)用系統(tǒng)仍然部署在專網(wǎng)內(nèi),專網(wǎng)接入單位仍然基于該業(yè)務(wù)專網(wǎng)開展業(yè)務(wù),并實現(xiàn)條線內(nèi)各級單位網(wǎng)絡(luò)互通,為滿足業(yè)務(wù)專網(wǎng)和電子政務(wù)外網(wǎng)之間的數(shù)據(jù)共享和數(shù)據(jù)交換需求,建設(shè)網(wǎng)絡(luò)跨網(wǎng)互聯(lián)區(qū)。如圖所示:省級核心NGFW省級城域網(wǎng)省級外網(wǎng)省級核心NGFW跨網(wǎng)交換跨網(wǎng)互聯(lián)區(qū)省級專網(wǎng)局域網(wǎng)省級專網(wǎng)局域網(wǎng)市級城域網(wǎng)市級外網(wǎng)市級匯聚市級匯聚部門專網(wǎng)電子政務(wù)外網(wǎng)部門專網(wǎng)市級專網(wǎng)局域網(wǎng)區(qū)縣城域網(wǎng)區(qū)縣級接入市級專網(wǎng)局域網(wǎng)區(qū)縣接入?yún)^(qū)縣級專網(wǎng)局域網(wǎng)詳細整合方案:省級電子政務(wù)外網(wǎng)建設(shè)跨網(wǎng)互聯(lián)區(qū),實現(xiàn)各業(yè)務(wù)專網(wǎng)與電子政務(wù)外網(wǎng)之間安全互聯(lián),實現(xiàn)專網(wǎng)整合前、后業(yè)務(wù)可正常訪問;市級電子政務(wù)外網(wǎng)也可以按需建設(shè)跨網(wǎng)互聯(lián)區(qū)?？缇W(wǎng)互聯(lián)區(qū)可根據(jù)整合力度部署多組NGFW(支持IPS與防病毒)及跨網(wǎng)數(shù)據(jù)交換系統(tǒng),跨網(wǎng)數(shù)據(jù)交換系統(tǒng)用于安全互聯(lián)互通方案適用于那些業(yè)務(wù)數(shù)據(jù)較為敏感或者由于特殊情況無法實現(xiàn)專網(wǎng)整合的部門。這些部門的業(yè)務(wù)專網(wǎng)應(yīng)用系統(tǒng)無法遷移,但需要與電子政務(wù)外網(wǎng)實現(xiàn)數(shù)據(jù)安全互通。在這種情況下,專網(wǎng)接入單位和電子政務(wù)外網(wǎng)管理單位將分別負責自撤線整合是指僅裁撤業(yè)務(wù)專網(wǎng)廣域網(wǎng)線路,利用電子政務(wù)外網(wǎng)作為專網(wǎng)線路,保留專網(wǎng)的網(wǎng)絡(luò)設(shè)備。專網(wǎng)接入單位負責業(yè)務(wù)專網(wǎng)應(yīng)用系統(tǒng)的維護和網(wǎng)絡(luò)部署規(guī)劃,保持相對獨立。撤線整合方案適用于多個聯(lián)網(wǎng)單位(如教育城域網(wǎng))組成的小型城域網(wǎng)接入電子政務(wù)外網(wǎng)。如下圖所示:省級核心市級匯聚區(qū)縣接入NGFW匯聚交換NGFW市級城域網(wǎng)NGFW電子政務(wù)外網(wǎng)NGFW省級城域網(wǎng)省級外網(wǎng)市級外網(wǎng)區(qū)縣城域網(wǎng)區(qū)縣級接入市級專網(wǎng)局域網(wǎng)斷開跨網(wǎng)互聯(lián)區(qū)省級專網(wǎng)局域網(wǎng)區(qū)縣級專網(wǎng)局域網(wǎng)部門專網(wǎng)斷開省級核心市級匯聚區(qū)縣接入NGFW匯聚交換NGFW市級城域網(wǎng)NGFW電子政務(wù)外網(wǎng)NGFW省級城域網(wǎng)省級外網(wǎng)市級外網(wǎng)區(qū)縣城域網(wǎng)區(qū)縣級接入市級專網(wǎng)局域網(wǎng)斷開跨網(wǎng)互聯(lián)區(qū)省級專網(wǎng)局域網(wǎng)區(qū)縣級專網(wǎng)局域網(wǎng)部門專網(wǎng)斷開詳細整合方案:撤線整合適用于多個聯(lián)網(wǎng)單位(如教育城域網(wǎng))組成的小型城域網(wǎng)接入電子政務(wù)外網(wǎng)待整合專網(wǎng)通過跨網(wǎng)互聯(lián)區(qū)與電子政務(wù)外網(wǎng)實電子政務(wù)外網(wǎng)各級城域網(wǎng)邊界新增NGFW(具備FW/IPS/AV防護能力),對待整合的部門專網(wǎng)接入電子政務(wù)外網(wǎng)進待整合專網(wǎng)保留相應(yīng)的網(wǎng)絡(luò)設(shè)備,增加本級專網(wǎng)網(wǎng)絡(luò)設(shè)備與本級電子政務(wù)外網(wǎng)城域網(wǎng)下—代防火墻之間的鏈路,帶寬根據(jù)業(yè)務(wù)安全隔離需求可以在外網(wǎng)增加相應(yīng)的VPN,沒有業(yè)務(wù)隔離需求可以通過公用業(yè)務(wù)進行承載業(yè)務(wù)測試正常后,逐步斷開部門專網(wǎng)的廣域網(wǎng)鏈路;并斷開與部門專網(wǎng)與跨網(wǎng)互聯(lián)區(qū)的連接業(yè)務(wù)專網(wǎng)通過使用SRv6隧道技術(shù)在電子政務(wù)外網(wǎng)上實現(xiàn)數(shù)據(jù)傳輸,這減少了對電子政務(wù)外網(wǎng)的依賴,并符合IPv6網(wǎng)絡(luò)演進的標準。建議在專網(wǎng)的出口設(shè)備間建立SRv6隧道,如果現(xiàn)有設(shè)備不支持SRv6,則建議進行更換。這樣,可以將IPv6+的技術(shù)優(yōu)勢引入業(yè)務(wù)專網(wǎng),而電子政務(wù)外網(wǎng)僅需支持IPv6數(shù)據(jù)包的基本轉(zhuǎn)發(fā)功能,即可滿足整合需求。同時,可以在專網(wǎng)出口設(shè)備上設(shè)置業(yè)務(wù)VPN,根據(jù)需要對不同部門的業(yè)務(wù)流量進行邏輯上的隔離。如果業(yè)務(wù)專網(wǎng)和電子政務(wù)外網(wǎng)之間存在數(shù)據(jù)共享的需求,通常在業(yè)務(wù)部門的國家級或省級單位與本級政務(wù)云之間實現(xiàn)集中的互聯(lián)互通,而條線內(nèi)的其他單位則通過在電子政務(wù)外網(wǎng)上,通過APN6技術(shù)識別業(yè)務(wù)專網(wǎng)的流量,并為其提供網(wǎng)絡(luò)切片保障,確保服務(wù)質(zhì)量。如果業(yè)務(wù)專網(wǎng)有特定的帶寬需求,電子政務(wù)外網(wǎng)的管理單位可以為專網(wǎng)接入單位分配專用的APN6標識。專網(wǎng)出口設(shè)備在發(fā)送業(yè)務(wù)數(shù)據(jù)包時,會在數(shù)據(jù)包上標記這個APN6標識。當這些數(shù)據(jù)包進入電子政務(wù)外網(wǎng)的接入設(shè)備時,接入設(shè)備會識別這個標識,并將流量引導(dǎo)至為該業(yè)務(wù)專門部署的保障切片上,從而確保網(wǎng)絡(luò)服務(wù)質(zhì)量。如果業(yè)務(wù)專網(wǎng)在穿越電子政務(wù)外網(wǎng)時需要確保數(shù)據(jù)的機密性和完整性,可以通過在專網(wǎng)的上下級出口設(shè)備之間部署xSec隨路加密來實現(xiàn)這—目標。xSec通過BGP傳遞加密屬性,無需在每個節(jié)點配置加密屬性,支持多點之間相互加密,并且加密不再需要和隧道綁定,可以實現(xiàn)毫秒級故障倒撤網(wǎng)整合是指業(yè)務(wù)專網(wǎng)的設(shè)備及專線鏈路等整體裁撤,專網(wǎng)接入單位作為電子政務(wù)外網(wǎng)接入單位連接到電子政務(wù)外網(wǎng),同時將部署于業(yè)務(wù)專網(wǎng)內(nèi)的業(yè)務(wù)系統(tǒng)逐步遷移至同級政務(wù)云。如下圖所示:省級核心市級匯聚區(qū)縣接入斷開斷開省級城域網(wǎng)省級外網(wǎng)城域匯聚市級城域網(wǎng)城域匯聚電子政務(wù)外網(wǎng)省級核心市級匯聚區(qū)縣接入斷開斷開省級城域網(wǎng)省級外網(wǎng)城域匯聚市級城域網(wǎng)城域匯聚電子政務(wù)外網(wǎng)區(qū)縣城域網(wǎng)城域匯聚斷開部門專網(wǎng)斷開市級外網(wǎng)區(qū)縣級接入NGFW匯聚交換跨網(wǎng)互聯(lián)區(qū)省級專網(wǎng)局域網(wǎng)市級專網(wǎng)局域網(wǎng)區(qū)縣級專網(wǎng)局域網(wǎng)詳細整合方案:本級待整合專網(wǎng)局域網(wǎng)增加到本級電子政務(wù)外網(wǎng)城域網(wǎng)的鏈路,并根據(jù)業(yè)務(wù)安全隔離需求可以在外網(wǎng)增加相應(yīng)的VPN,選取2-3家試點單位進行割接試點,試點單位的專網(wǎng)局域網(wǎng)同時接入部門專網(wǎng)及電子政務(wù)外網(wǎng),全面推開后專網(wǎng)局域網(wǎng)直接接入電子政務(wù)外網(wǎng),斷開與部門專網(wǎng)之間的鏈路連接業(yè)務(wù)測試正常后,斷開與部門專網(wǎng)與跨網(wǎng)互聯(lián)區(qū)的連接;原有的部門專網(wǎng)設(shè)備下線在專網(wǎng)整合之后,所有的專網(wǎng)業(yè)務(wù)都將在電子政務(wù)外網(wǎng)上運行,并由電子政務(wù)外網(wǎng)提供必要的服務(wù)質(zhì)量保障。電子政務(wù)外網(wǎng)利用SRv6隧道技術(shù)來承載各種專網(wǎng)業(yè)務(wù),并通過SRv6策略來選擇最優(yōu)的網(wǎng)絡(luò)傳輸路徑。如果專網(wǎng)接入單位有特定的需求,比如需要帶寬獨享或業(yè)務(wù)隔離,電子政務(wù)外網(wǎng)可以為其分配專用的網(wǎng)絡(luò)切片,確保其業(yè)務(wù)不會受到其他電子政務(wù)外網(wǎng)電子政務(wù)外網(wǎng)將由統(tǒng)—的網(wǎng)絡(luò)控制器進行管理,這樣可以提高網(wǎng)絡(luò)運維的效率。如果整合后的專網(wǎng)接入單位的局域網(wǎng)也被納入電子政務(wù)外網(wǎng)管理單位的管理范圍,那么通過電子政務(wù)外網(wǎng)部署的控制器可以統(tǒng)—管理電子政務(wù)外網(wǎng)設(shè)備和局域網(wǎng)設(shè)備,實現(xiàn)業(yè)務(wù)和網(wǎng)絡(luò)狀態(tài)的統(tǒng)—監(jiān)控,從而提高運維效率并減少管理成本。為了提高安全性,為專網(wǎng)接入單位部署了零信任終端管控系統(tǒng),以防止未授權(quán)用戶接入和防范潛在的跳板攻擊。盡管允許終端同時連接電子政務(wù)外網(wǎng)、政務(wù)專網(wǎng)和互聯(lián)網(wǎng)可以為政務(wù)辦公帶來便利,但這也可能帶來安全風(fēng)險。因此,電子政務(wù)外網(wǎng)為專網(wǎng)接入單位提供的專用接入設(shè)備不僅需要具備SRv6功能以支持靈活的差異化服務(wù),還應(yīng)集成防火墻和SDP代理網(wǎng)關(guān)功能,以實現(xiàn)邊界安全防護。結(jié)合SDP控制器和終端SDP客戶端,可以實現(xiàn)對終端的精細化訪問控制和對業(yè)務(wù)網(wǎng)絡(luò)的結(jié)合新華三積累的專網(wǎng)整合實踐經(jīng)驗,下表從5個維度給出三種專網(wǎng)整合方案的能力對比,為專網(wǎng)使用單位和電子政務(wù)外域網(wǎng)(如教育專網(wǎng))或外聯(lián)單位比較多,經(jīng)過多層匯聚的單位(如財政)低中高低中高低高高低中高3.1.3方案價值根據(jù)專網(wǎng)業(yè)務(wù)特點制定個性化的整合策略,以選擇最合適的整合方案。典型應(yīng)用場景專網(wǎng)整合場景方案基于不同業(yè)務(wù)專網(wǎng)的網(wǎng)絡(luò)現(xiàn)狀和業(yè)務(wù)訴求提出了撤網(wǎng)整合、撤線整合和互聯(lián)互通三種方案,為推進各類業(yè)務(wù)專網(wǎng)向電子政務(wù)外網(wǎng)整合遷移給出了解決之道,滿足了各政務(wù)部門差異化、多元化需求。通過采用網(wǎng)絡(luò)切片和APN6等前沿技術(shù),專網(wǎng)整合方案顯著增強了電子政務(wù)外網(wǎng)的服務(wù)質(zhì)量和安全隔離能力。這不僅提升了接入單位的使用體驗,還有效緩解了對專網(wǎng)整合的擔憂。電子政務(wù)外網(wǎng)作為—個高效的聯(lián)接和融合平臺促進數(shù)據(jù)的融合和共享。通過這種方式,可以釋放數(shù)據(jù)的內(nèi)在價值,激發(fā)數(shù)據(jù)的潛在能力,為數(shù)字政府的進—步發(fā)展提供強大的動力。通過專網(wǎng)整合方案,利用SDN構(gòu)建集中的控制平臺,使得自動化部署和智能化運維成為可能,為整合后的專網(wǎng)接入單位提供了更高質(zhì)量的服務(wù)體驗,并確保滿足各種服務(wù)等級協(xié)議(SLA)的要求。專網(wǎng)整合后有更專業(yè)的維護團隊來對設(shè)備和網(wǎng)絡(luò)做相應(yīng)的維護和管理,能夠確保網(wǎng)絡(luò)運行更加穩(wěn)定和可靠。在安全方面,專網(wǎng)整合方案通過xSec方案對有保密需求的專網(wǎng)業(yè)務(wù)進行加密,xSec不僅部署簡單,而且支持和隧道解耦,可以實現(xiàn)毫秒級倒換,使得專網(wǎng)更加安全和可靠。3.1.4配套產(chǎn)品清單SR88系列路由器/SR66系列路由器/MSR系列路作為電子政務(wù)外網(wǎng)接入設(shè)備、業(yè)務(wù)專網(wǎng)出口設(shè)備;支持SRv6、網(wǎng)絡(luò)切片、iFlT(隨流檢測)、ApN6等能力,SDN控制平臺AD-WAN提供政務(wù)外網(wǎng)自動化網(wǎng)絡(luò)管理與配置下發(fā),實現(xiàn)業(yè)務(wù)流上下級SDN控制器網(wǎng)絡(luò)管理和業(yè)務(wù)級聯(lián)協(xié)同防火墻SecpathF5000系列、M9000系列提供策略控制、lpS、AV、URL過濾等功能。負責業(yè)SecpathGAp2000系列負責敏感業(yè)務(wù)專網(wǎng)與政務(wù)外網(wǎng)的跨網(wǎng)數(shù)據(jù)交換,實現(xiàn)物3.2關(guān)鍵業(yè)務(wù)重保敏捷部署,實現(xiàn)高效高質(zhì)保障隨著數(shù)字政府建設(shè)的迅速推進,電子政務(wù)外網(wǎng)逐漸演變?yōu)榫C合業(yè)務(wù)承載網(wǎng)絡(luò),需要同時支持各種類型政務(wù)應(yīng)用,如應(yīng)急指揮調(diào)度、政策宣講、遠程培訓(xùn)教育、招標采購評審、視頻會商協(xié)作等,導(dǎo)致網(wǎng)絡(luò)負荷增加,高優(yōu)政務(wù)應(yīng)用在電子政務(wù)外網(wǎng)以視頻會議為例,視頻會議已成為提升政府工作效率和加速數(shù)字化轉(zhuǎn)型的標志性應(yīng)用,也是釋放數(shù)字政府生產(chǎn)力的核心工具。各級政務(wù)部門依托電子政務(wù)外網(wǎng)構(gòu)建了視頻會議平臺,為政務(wù)活動提供了穩(wěn)定、流暢且清晰的通信技術(shù)保障。如何在—個日益復(fù)雜的網(wǎng)絡(luò)環(huán)境中,確保視頻會議的高效運行和數(shù)據(jù)的安全傳輸,已成為當前亟需解決的關(guān)鍵問題。3.2.1業(yè)務(wù)挑戰(zhàn)業(yè)務(wù)保障方案需要系統(tǒng)化考慮。在業(yè)務(wù)保障前,需要支持業(yè)務(wù)配置自動化下發(fā)及業(yè)務(wù)連通自動化檢測;業(yè)務(wù)保障過程中,應(yīng)能實時監(jiān)測業(yè)務(wù)應(yīng)用狀態(tài)和網(wǎng)絡(luò)狀態(tài),及時掌握關(guān)鍵路徑的質(zhì)量,并在業(yè)務(wù)應(yīng)用出現(xiàn)異常時,立即判斷網(wǎng)絡(luò)是否存在問題并能快速恢復(fù)業(yè)務(wù);業(yè)務(wù)保障后,應(yīng)能及時復(fù)盤實現(xiàn)歷史數(shù)據(jù)回放,快速總結(jié)業(yè)務(wù)保障工作的效果。電子政務(wù)外網(wǎng)作為綜合業(yè)務(wù)承載的網(wǎng)絡(luò),針對重點業(yè)務(wù)的保障存在多種挑戰(zhàn):電子政務(wù)外網(wǎng)需要支持各種類型的政務(wù)應(yīng)用,導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜化。這要求方案能夠在復(fù)雜的網(wǎng)絡(luò)環(huán)境中有效分配資源和管理流量,確保各類業(yè)務(wù)的穩(wěn)定運行。關(guān)鍵業(yè)務(wù)如應(yīng)急指揮和視頻會議等,對網(wǎng)絡(luò)的穩(wěn)定性和可靠性要求極高。關(guān)鍵業(yè)務(wù)往往需要實時網(wǎng)絡(luò)監(jiān)控和快速響應(yīng)能力,需要能夠及時檢測和處理網(wǎng)絡(luò)中的任何異常狀況,以確保業(yè)務(wù)的連續(xù)性面對這些挑戰(zhàn),業(yè)務(wù)重保場景化方案必須具備高度的靈活性和先進的技術(shù)手段,以保障關(guān)鍵業(yè)務(wù)的穩(wěn)定、高效和安全運3.2.2場景化方案業(yè)務(wù)重保場景化方案可以實現(xiàn)重點業(yè)務(wù)的編排、監(jiān)控、溯源。以視頻會議會例,針對常用的視頻會議業(yè)務(wù)還具備業(yè)務(wù)登記、會前保障、執(zhí)行中監(jiān)控和執(zhí)行后恢復(fù)的全程保障能力。進行會議流量和質(zhì)量分析,實時感知業(yè)務(wù)質(zhì)量。結(jié)合控制和分析能力,可以實現(xiàn)視頻會議業(yè)務(wù)編排,具備視頻會議登記、會前保障、會中監(jiān)控和會后恢復(fù)的全程保障能力:>導(dǎo)入會議終端列表,明確終端的IP地址、所屬VPN(可選)、會場位置等。>明確MCU的IP地址、所屬VPN(可選)、位置信息等。.配置會議規(guī)劃信息>明確各網(wǎng)絡(luò)設(shè)備所需保障的視頻會議.根據(jù)會議規(guī)模來選擇視頻編碼格式,會議日歷會根據(jù)選擇的編碼格式來推薦帶寬,可以將推薦帶寬調(diào)高>會議規(guī)劃:基于特定視頻會議系統(tǒng)進行網(wǎng)絡(luò)切片和業(yè)務(wù)規(guī)劃(指定切片名稱、業(yè)務(wù)類型),明確會議系統(tǒng)質(zhì)量要求、終端和MCU列表。>會議保障:基于會議日歷部署需要保障的視頻會議,根據(jù)會議流量動態(tài)調(diào)整切片帶寬,并可基于該會議發(fā)起連通性探20>網(wǎng)絡(luò)監(jiān)控:基于當前視頻會議承載的網(wǎng)絡(luò)拓撲呈現(xiàn)與會議相關(guān)的網(wǎng)絡(luò)設(shè)備、接口、鏈路相關(guān)的信息和狀態(tài),網(wǎng)絡(luò)狀態(tài)>業(yè)務(wù)監(jiān)控:實時監(jiān)控視頻會議質(zhì)量信息,快速診斷視頻會議故障。>告警監(jiān)控:監(jiān)控設(shè)備、鏈路以及業(yè)務(wù)相關(guān)的故障告警。>網(wǎng)絡(luò)還原:自動釋放網(wǎng)絡(luò)資源,還原網(wǎng)絡(luò)配置?？梢圆榭磇fit實例和切片擴縮容部署情況。223.2.3方案價值業(yè)務(wù)重保場景化方案利用SRv6、網(wǎng)絡(luò)切片、iFIT等技術(shù)提供網(wǎng)絡(luò)的端到端保障,實時監(jiān)控會議和網(wǎng)絡(luò)的狀態(tài),記錄業(yè)務(wù)全流程數(shù)據(jù),以此提升業(yè)務(wù)重保效果,為電子政務(wù)外網(wǎng)帶來如下核心價值:業(yè)務(wù)快速編排預(yù)定,輕松啟用業(yè)務(wù)重保提供業(yè)務(wù)重?！I預(yù)訂服務(wù),顯著提升業(yè)務(wù)重保準備效率,讓重保服務(wù)輕松可得。業(yè)務(wù)體驗優(yōu)化,全面掌握業(yè)務(wù)狀態(tài)提供業(yè)務(wù)切片保障、實時業(yè)務(wù)質(zhì)量感知和逐跳網(wǎng)絡(luò)監(jiān)測。提供—體化圖形展示,實時展示全網(wǎng)業(yè)務(wù)狀態(tài)和網(wǎng)絡(luò)狀況,實現(xiàn)業(yè)務(wù)的全程監(jiān)控和問題快速定位,確保業(yè)務(wù)快速恢復(fù)。業(yè)務(wù)回顧,彰顯保障工作成效自動生成業(yè)務(wù)保障報告,全面展示業(yè)務(wù)接入數(shù)據(jù)、網(wǎng)絡(luò)資源使用情況及全程質(zhì)量數(shù)據(jù),幫助保障人員高效生成報告,清晰3.2.4配套產(chǎn)品清單業(yè)務(wù)重保場景化方案配套產(chǎn)品清單:SDN控制平臺AD-WAN提供政務(wù)外網(wǎng)自動化網(wǎng)絡(luò)管理與配置下發(fā),實現(xiàn)業(yè)務(wù)流上下級SDN控制器網(wǎng)絡(luò)管理和業(yè)務(wù)級聯(lián)協(xié)同CR系列路由器/SR88系列路由器/SR66系列路由器/MSR系列路由器提供重保業(yè)務(wù)的互聯(lián)承載,通過網(wǎng)絡(luò)切片保障業(yè)務(wù)應(yīng)用帶寬,支持隨流檢測監(jiān)控網(wǎng)絡(luò)質(zhì)量3.3多級聯(lián)動統(tǒng)籌管理,增強政務(wù)外網(wǎng)跨域協(xié)同能力隨著“—網(wǎng)通辦”、“—網(wǎng)統(tǒng)管”和“—網(wǎng)協(xié)同”等政務(wù)服務(wù)不斷推進,省、市、區(qū)縣之間的業(yè)務(wù)交互日益頻繁,網(wǎng)絡(luò)流量顯著增加,電子政務(wù)外網(wǎng)各級網(wǎng)絡(luò)管理系統(tǒng)如何實現(xiàn)高效協(xié)同聯(lián)動成為縱向多級業(yè)務(wù)運維保障的核心問題。233.3.1業(yè)務(wù)挑戰(zhàn)政務(wù)外網(wǎng)采用分級建設(shè)管理的模式。省、市、區(qū)縣多級網(wǎng)絡(luò)主管單位需要協(xié)同聯(lián)動以確保網(wǎng)絡(luò)運維保障,網(wǎng)絡(luò)建設(shè)和運維面臨如下挑戰(zhàn):省、市、區(qū)縣網(wǎng)絡(luò)分級監(jiān)控,數(shù)據(jù)孤立電子政務(wù)外網(wǎng)的分級建設(shè)模式導(dǎo)致網(wǎng)絡(luò)運行數(shù)據(jù)容易成為孤島,難以進行統(tǒng)—管理和分析,運維視圖不完整?？缂壊渴饏f(xié)同難,業(yè)務(wù)開通周期長電子政務(wù)外網(wǎng)省、市、區(qū)縣分級建設(shè)模式下各級管控平臺相互獨立,業(yè)務(wù)部署信息無法直接拉通和同步,也無法實現(xiàn)上下級網(wǎng)絡(luò)業(yè)務(wù)的快速對接和快速開通,業(yè)務(wù)部署涉及多個部門,流程多、溝通復(fù)雜,部署周期長。分級管理運維導(dǎo)致上下級網(wǎng)絡(luò)之間僅有少量基礎(chǔ)網(wǎng)絡(luò)運維數(shù)據(jù)對接,且數(shù)據(jù)更新不及時,導(dǎo)致網(wǎng)絡(luò)缺乏端到端的檢測和定位能力,無法實時監(jiān)控全網(wǎng)網(wǎng)絡(luò)和業(yè)務(wù)狀態(tài)。當網(wǎng)絡(luò)和業(yè)務(wù)發(fā)生故障時,運維部門往往后知后覺,只能被動響應(yīng)。由于缺乏全網(wǎng)監(jiān)控能力,只能采用PING和Tracert的方式進行逐設(shè)備、逐鏈路定位問題,運維效率低,故障定界定位難。3.3.2場景化方案多級聯(lián)動場景化方案通過應(yīng)用SRv6和SDN技術(shù),實現(xiàn)跨域跨層VPN業(yè)務(wù)、SRv6隧道、網(wǎng)絡(luò)切片及iFIT隨流檢測的統(tǒng)—規(guī)劃、統(tǒng)—部署、統(tǒng)—發(fā)現(xiàn)以及集中可視化,打造省、市、區(qū)縣運維—張圖,構(gòu)建跨層級、跨部門高效協(xié)同、統(tǒng)—管理的運維能力,提升省、市、區(qū)縣多級網(wǎng)絡(luò)業(yè)務(wù)自動化部署能力和協(xié)同運維保障效率,方案總體架構(gòu)如下圖所示:SDN控制器安全接入平臺互聯(lián)網(wǎng)出口省城域網(wǎng)部門政務(wù)外網(wǎng)省廣域網(wǎng)SDN控制器SDN控制器安全接入平臺互聯(lián)網(wǎng)出口市城域網(wǎng)部門政務(wù)外網(wǎng)市廣域網(wǎng)SDN控制器SDN控制器安全接入平臺互聯(lián)網(wǎng)出口區(qū)縣城域網(wǎng)部門政務(wù)外網(wǎng)區(qū)縣廣域網(wǎng)資源信息采集檢測信息訂閱狀態(tài)信息同步資源信息采集檢測信息訂閱狀態(tài)信息同步政務(wù)廣域網(wǎng)部門接入網(wǎng)省級市級政務(wù)城域網(wǎng)SDN控制器安全接入平臺互聯(lián)網(wǎng)出口省城域網(wǎng)部門政務(wù)外網(wǎng)省廣域網(wǎng)SDN控制器SDN控制器安全接入平臺互聯(lián)網(wǎng)出口市城域網(wǎng)部門政務(wù)外網(wǎng)市廣域網(wǎng)SDN控制器SDN控制器安全接入平臺互聯(lián)網(wǎng)出口區(qū)縣城域網(wǎng)部門政務(wù)外網(wǎng)區(qū)縣廣域網(wǎng)資源信息采集檢測信息訂閱狀態(tài)信息同步資源信息采集檢測信息訂閱狀態(tài)信息同步政務(wù)廣域網(wǎng)部門接入網(wǎng)省級市級政務(wù)城域網(wǎng)數(shù)據(jù)中心數(shù)據(jù)中心分級建設(shè)管理模式下,省級廣域網(wǎng)、省城域網(wǎng)以及省級部門接入網(wǎng)獨立建設(shè),部署SDN控制器;市級廣域網(wǎng)、區(qū)縣廣域網(wǎng)以及市級城域網(wǎng)和市級部門接入網(wǎng)獨立建設(shè),部署SDN控制器;區(qū)縣城域網(wǎng)及部門接入網(wǎng)獨立建設(shè),部署SDN控制器。通過省級政務(wù)外網(wǎng)SDN控制器對接各市級政務(wù)外網(wǎng)SDN控制器,市級政務(wù)外網(wǎng)SDN控制器對接其下級縣級政務(wù)外網(wǎng)24SDN控制器,實現(xiàn)省、市、區(qū)縣三級網(wǎng)絡(luò)的SDN控制器協(xié)同聯(lián)動。單域內(nèi)的業(yè)務(wù)由省、市、區(qū)縣各級政務(wù)外網(wǎng)運維部門通過本地SDN控制器管理控制,跨級縱向業(yè)務(wù)由上級SDN控制器協(xié)同下SDN級控制器統(tǒng)—規(guī)劃、統(tǒng)—部署?？缂塚PN業(yè)務(wù)自動下發(fā),端到端業(yè)務(wù)快速部署對于全省縱向VPN業(yè)務(wù),省、市、區(qū)縣各級設(shè)備分別部署VPN,通過SDN控制器級聯(lián)實現(xiàn)上級SDN控制器將VPN業(yè)務(wù)信息同步到下級SDN控制器,同時下級SDN控制器將本域內(nèi)VPN部署結(jié)果通告給上級SDN控制器,從而實現(xiàn)統(tǒng)—全省全域VPN端到端管理,提供端到端的VPN業(yè)務(wù)拓撲、VPN業(yè)務(wù)健康度、VPN業(yè)務(wù)轉(zhuǎn)發(fā)路徑的可視化。SDN控制器支持北向RestfuI接口,可對接上層運營和運維服務(wù)平臺,網(wǎng)絡(luò)服務(wù)于業(yè)務(wù),實現(xiàn)與運維業(yè)務(wù)流程的極致融合。方案流程如下圖所示:省級控制器向市級控制器同步VPN業(yè)務(wù)配置信息部署端到端VPN業(yè)務(wù)市級控制器向區(qū)縣控制器同步VPN業(yè)務(wù)配置信息下級控制器向上級控制器同步VPN業(yè)務(wù)下發(fā)結(jié)果區(qū)縣SDN控制器域內(nèi)VPN業(yè)務(wù)自動下發(fā)下級控制器向上級控制器同步VPN業(yè)務(wù)下發(fā)結(jié)果市級政務(wù)外網(wǎng)區(qū)縣政務(wù)外網(wǎng)省級政務(wù)外網(wǎng)省級控制器向市級控制器同步VPN業(yè)務(wù)配置信息部署端到端VPN業(yè)務(wù)市級控制器向區(qū)縣控制器同步VPN業(yè)務(wù)配置信息下級控制器向上級控制器同步VPN業(yè)務(wù)下發(fā)結(jié)果區(qū)縣SDN控制器域內(nèi)VPN業(yè)務(wù)自動下發(fā)下級控制器向上級控制器同步VPN業(yè)務(wù)下發(fā)結(jié)果市級政務(wù)外網(wǎng)區(qū)縣政務(wù)外網(wǎng)省級政務(wù)外網(wǎng)省級省級SDN控制器市級市級SDN控制器域內(nèi)VPN業(yè)務(wù)自動下發(fā)域內(nèi)域內(nèi)VPN業(yè)務(wù)自動下發(fā)省PE區(qū)縣PE跨層網(wǎng)絡(luò)切片自動部署,關(guān)鍵業(yè)務(wù)端到端資源隔離對于電子政務(wù)外網(wǎng)縱向互通的關(guān)鍵業(yè)務(wù),在省、市、區(qū)縣各網(wǎng)絡(luò)域內(nèi)分別部署網(wǎng)絡(luò)切片,通過SDN控制器多級聯(lián)動實現(xiàn)下級SDN網(wǎng)絡(luò)到上級SDN網(wǎng)絡(luò)的切片管理信息同步;同時通過上級SDN控制器部署本級和下級之間的域間鏈路的切片映射,建立上級SDN網(wǎng)絡(luò)切片與下級SDN網(wǎng)絡(luò)切片的關(guān)聯(lián),從而實現(xiàn)電子政務(wù)外網(wǎng)全網(wǎng)網(wǎng)絡(luò)切片全域管理,并提供端到端25省級SDN控制器市級SDN控制器區(qū)縣SDN控制器子接口切片sliceID切片子接口切片sliceID切片子接口切片SliceID切片跨域網(wǎng)絡(luò)切片管理域內(nèi)網(wǎng)絡(luò)切片發(fā)放域內(nèi)網(wǎng)絡(luò)跨域切片映射域內(nèi)網(wǎng)絡(luò)切片發(fā)放切片信息采集切片信息采集域間切片市級政務(wù)外網(wǎng)區(qū)縣政務(wù)外網(wǎng)下級控制器向上級控制器同步域內(nèi)切片管理信息下級控制器向上級控制器同步域內(nèi)切片管理信息跨域切片映射切片發(fā)放切片信息采集域間切片視頻會議切片應(yīng)急保障切片默認切片省級政務(wù)外網(wǎng)省級SDN控制器市級SDN控制器區(qū)縣SDN控制器子接口切片sliceID切片子接口切片sliceID切片子接口切片SliceID切片跨域網(wǎng)絡(luò)切片管理域內(nèi)網(wǎng)絡(luò)切片發(fā)放域內(nèi)網(wǎng)絡(luò)跨域切片映射域內(nèi)網(wǎng)絡(luò)切片發(fā)放切片信息采集切片信息采集域間切片市級政務(wù)外網(wǎng)區(qū)縣政務(wù)外網(wǎng)下級控制器向上級控制器同步域內(nèi)切片管理信息下級控制器向上級控制器同步域內(nèi)切片管理信息跨域切片映射切片發(fā)放切片信息采集域間切片視頻會議切片應(yīng)急保障切片默認切片省級政務(wù)外網(wǎng)跨域業(yè)務(wù)iFIT隨流檢測,統(tǒng)—監(jiān)控,業(yè)務(wù)質(zhì)差端到端可視跨越省、市、區(qū)縣中兩級或三級網(wǎng)絡(luò)的重點業(yè)務(wù),在省級SDN控制器中部署跨域iFIT實例實現(xiàn)業(yè)務(wù)端到端質(zhì)量檢測,上級SDN控制器將iFIT實例配置信息同步給下級SDN控制器,實現(xiàn)iFIT檢測實例跨域部署。域內(nèi)iFIT實例配置由各級SDN控制器自動下發(fā),域內(nèi)iFIT檢測信息獨立采集,同時下級SDN控制器向上級控制器同步iFIT檢測結(jié)果,實現(xiàn)上級SDN控制器跨域iFIT檢測信息全網(wǎng)收集,整體方案提供端到端業(yè)務(wù)iFIT檢測結(jié)果統(tǒng)—監(jiān)控、全網(wǎng)可視。方案流程如下圖所示:省級控制器向市級控制器同步iFIT配置信息省級控制器向市級控制器同步iFIT配置信息省級SDN控制器市級控制器向區(qū)縣控制器同步iFIT配置信息域內(nèi)iFIT檢測信息采集下級控制器向上級控制器市級SDN控制器域內(nèi)iFIT檢測信息采集區(qū)縣SDN控制器下級控制器向上級控制器同步iFIT區(qū)縣SDN控制器下級控制器向上級控制器同步iFIT檢測信息域內(nèi)iFIT實例自動下發(fā)域內(nèi)iFIT檢域內(nèi)iFIT實例自動下發(fā)域內(nèi)iFIT檢測信息采集域內(nèi)iFIT實例自動下發(fā)省級政務(wù)外網(wǎng)市級政務(wù)外網(wǎng)區(qū)縣政務(wù)外網(wǎng)263.3.3方案價值跨級VPN自動下發(fā),業(yè)務(wù)開通即需即用省、市、區(qū)縣電子政務(wù)外網(wǎng)縱向VPN業(yè)務(wù)通過SDN控制器多級聯(lián)動下發(fā),跨域業(yè)務(wù)自動部署,業(yè)務(wù)分鐘級開通?？缬蚓W(wǎng)絡(luò)切片統(tǒng)—規(guī)劃,關(guān)鍵業(yè)務(wù)全程保障省、市、區(qū)縣電子政務(wù)外網(wǎng)網(wǎng)絡(luò)切片統(tǒng)—規(guī)劃、集中部署,提供關(guān)鍵業(yè)務(wù)端到端資源隔離,業(yè)務(wù)服務(wù)有保障?；跇I(yè)務(wù)的跨域iFIT隨流檢測,端到端故障分鐘級定界定位省、市、區(qū)縣電子政務(wù)外網(wǎng)跨域iFIT隨流檢測實現(xiàn)端到端業(yè)務(wù)丟包率和時延信息動態(tài)感知,實時呈現(xiàn)。域內(nèi)檢測信息逐跳上報,故障精準定界定位,網(wǎng)絡(luò)和業(yè)務(wù)定界定位時間提升至分鐘級。3.3.4配套產(chǎn)品清單多級聯(lián)動統(tǒng)籌管理方案配套產(chǎn)品清單:SDN控制平臺AD-WAN提供政務(wù)外網(wǎng)自動化網(wǎng)絡(luò)管理與配置下發(fā),實現(xiàn)業(yè)務(wù)流上下級SDN控制器網(wǎng)絡(luò)管理和業(yè)務(wù)級聯(lián)協(xié)同CR系列路由器/SR88系列路由器/SR66系列路由器/MSR系列路由器提供重保業(yè)務(wù)的互聯(lián)承載,通過網(wǎng)絡(luò)切片保障業(yè)務(wù)應(yīng)用帶寬,支持隨流檢測監(jiān)控網(wǎng)絡(luò)質(zhì)量3.43.4全景運維地圖,多維可視,一圖統(tǒng)覽3.4.1業(yè)務(wù)挑戰(zhàn)隨著電子政務(wù)外網(wǎng)越來越多業(yè)務(wù)上線和網(wǎng)絡(luò)規(guī)模的不斷擴大,網(wǎng)絡(luò)復(fù)雜性呈現(xiàn)指數(shù)級增長,傳統(tǒng)網(wǎng)絡(luò)運維已無法滿足業(yè)務(wù)需求,運維管理面臨如下挑戰(zhàn):多菜單入口,易產(chǎn)生數(shù)據(jù)孤島手動切換菜單監(jiān)視網(wǎng)絡(luò)狀態(tài)不僅效率低下,還耗費大量時間和精力,排查故障和處理問題的過程高度依賴于管理員的專業(yè)經(jīng)驗和技能,增加了人為錯誤的風(fēng)險,在遇到復(fù)雜問題時,往往難以及時、有效地解決。策略固化,調(diào)優(yōu)缺少有效反饋依賴人工分析制定策略存在偏差,在網(wǎng)絡(luò)中實施后成效無法得到及時反饋,網(wǎng)絡(luò)狀況發(fā)生變化時,調(diào)整策略的響應(yīng)速度滯27網(wǎng)絡(luò)變化黑盒,被動響應(yīng)無法清晰呈現(xiàn)網(wǎng)絡(luò)流量的變化過程,網(wǎng)絡(luò)管理更多地依賴于被動響應(yīng),問題發(fā)生后才采取行動進行解決,不僅延誤了問題處理的時機,還可能導(dǎo)致更嚴重的網(wǎng)絡(luò)中斷和性能下降。由于缺乏預(yù)警機制和主動管理,運維團隊往往只能在網(wǎng)絡(luò)故障已3.4.2場景化方案新華三“全景運維地圖”通過類比現(xiàn)實世界的交通地圖,整合網(wǎng)絡(luò)相關(guān)的數(shù)據(jù)并呈現(xiàn)為統(tǒng)—的網(wǎng)絡(luò)全景運維地圖,以滿足現(xiàn)實世界的交通地圖智能導(dǎo)航現(xiàn)實世界的交通地圖智能導(dǎo)航A地—>B地路徑實時刷新A地—>B地路況秒級搜索定位地點位置秒級搜索秒級搜索定位IP網(wǎng)絡(luò)位置全景運維地圖智能導(dǎo)航A—>B網(wǎng)絡(luò)路徑實時刷新A—>B網(wǎng)絡(luò)狀況新華三全景運維地圖通過融合GIS地圖以及多層次多維度的網(wǎng)絡(luò)和業(yè)務(wù)信息,將網(wǎng)絡(luò)運維和運營統(tǒng)—管理,集約化呈現(xiàn)。該技術(shù)通過采集網(wǎng)絡(luò)流量、設(shè)備狀態(tài)、鏈路質(zhì)量、業(yè)務(wù)信息等多維數(shù)據(jù),并將其數(shù)字化和智能化處理后展示在網(wǎng)絡(luò)全景運維地圖上,直觀呈現(xiàn)網(wǎng)絡(luò)實時運行情況。具體來說,全景運維地圖利用數(shù)據(jù)采集、數(shù)據(jù)處理和可視化技術(shù),將分散的網(wǎng)絡(luò)信息整合并通過圖形界面呈現(xiàn),從而實現(xiàn)對全網(wǎng)數(shù)據(jù)的統(tǒng)—管理與監(jiān)控。此外,全景運維地圖同時具備秒級故障定位能力,支持快速故障排查,通過直觀的可視化方式展示故障源及其影響范圍。全景運維地圖提供七層可視化能力和靈活多樣的網(wǎng)絡(luò)操作功能,實現(xiàn)網(wǎng)絡(luò)和業(yè)務(wù)信息全景可視,—屏統(tǒng)覽,具體如下圖所示:28全景運維地圖7層可視、自動調(diào)優(yōu)、路徑溯源快速查找資源定位拓撲無極縮放智能調(diào)優(yōu)快速查找資源定位拓撲無極縮放智能調(diào)優(yōu)多屬性可視多屬性可視多維可視多維可視路徑總覽路徑總覽操作導(dǎo)航操作導(dǎo)航切片1切片2切片1切片2應(yīng)用層VPN層隧道層切片層路由層網(wǎng)絡(luò)層物理層網(wǎng)絡(luò)信息數(shù)字化,全息感知3.4.3場景化方案全景運維地圖通過精確的實時監(jiān)控、智能資源優(yōu)化和快速問題溯源,全面提升網(wǎng)絡(luò)運維效率和可靠性?！獔D盡覽,多維呈現(xiàn)基于GIS地圖的實時和直觀展示功能,運維人員可以全面掌握全網(wǎng)狀態(tài),涵蓋帶寬、時延、抖動、丟包等多維度信息。這不僅簡化了網(wǎng)絡(luò)監(jiān)控工作,還提升了監(jiān)控的效率和準確性。智能調(diào)優(yōu),可視導(dǎo)航通過基于業(yè)務(wù)的可視化路徑導(dǎo)航,系統(tǒng)能定期自動優(yōu)化網(wǎng)絡(luò)路徑,從全局視角進行SR/SRv6TEPOIicy的智能調(diào)度,有效提升網(wǎng)絡(luò)資源利用率,提供差異化的網(wǎng)絡(luò)服務(wù)能力,保障業(yè)務(wù)的高效、平穩(wěn)運行。事件回放,清晰溯源隧道路徑的全程展示使得運維人員能夠全面了解事件發(fā)生的詳細過程,快速定位問題根源,并為策略優(yōu)化提供可靠依據(jù)。這不僅縮短了故障排除時間,還提高了網(wǎng)絡(luò)的整體穩(wěn)定性。293.4.4配套產(chǎn)品清單SDN控制平臺AD-WAN提供政務(wù)外網(wǎng)自動化網(wǎng)絡(luò)管理與配置下發(fā),實現(xiàn)業(yè)務(wù)流上下級SDN控制器網(wǎng)絡(luò)管理和業(yè)務(wù)級聯(lián)協(xié)同CR系列路由器/SR88系列路由器/SR66系列路由器/MSR系列路由器提供重保業(yè)務(wù)的互聯(lián)承載,通過網(wǎng)絡(luò)切片保障業(yè)務(wù)應(yīng)用帶寬,支持隨流檢測監(jiān)控網(wǎng)絡(luò)質(zhì)量3.5固移融合,實現(xiàn)終端全域泛在接入隨著政府信息化進程的加速,政府在多個關(guān)鍵領(lǐng)域,如移動辦公、緊急響應(yīng)、重大事件支持、城市物聯(lián)網(wǎng)感知和鄉(xiāng)村政務(wù)服務(wù)等方面,對移動辦公的需求日益增長。將政務(wù)應(yīng)用轉(zhuǎn)移到移動設(shè)備上,已成為政務(wù)信息化發(fā)展的主要趨勢。3.5.1業(yè)務(wù)挑戰(zhàn)當前電子政務(wù)外網(wǎng)無線接入主要是采用VPDN或者IPSECVPN等技術(shù)通過移動互聯(lián)網(wǎng)來提供接入服務(wù)。當前的移動接入方案存在如下挑戰(zhàn):通過移動網(wǎng)絡(luò)接入政務(wù)的業(yè)務(wù)服務(wù)質(zhì)量難以保證。根本原因當前政務(wù)數(shù)據(jù)通過無線接入后是通過互聯(lián)網(wǎng)傳輸?shù)诫娮诱?wù)外網(wǎng),互聯(lián)網(wǎng)的質(zhì)量無法保證,發(fā)生網(wǎng)絡(luò)丟包的概率大,而且網(wǎng)絡(luò)時延不可控。從而導(dǎo)致業(yè)務(wù)訪問質(zhì)量急速下降,最終影響辦公效率。另外,運營商無法識別政務(wù)業(yè)務(wù),也不能進行定制化的質(zhì)量保障。當政務(wù)數(shù)據(jù)通過互聯(lián)網(wǎng)傳輸時,它很容易遭受諸如未授權(quán)接入、非法監(jiān)聽、數(shù)據(jù)截取和修改等安全威脅。另外,暴露在互聯(lián)網(wǎng)環(huán)境中的VPN網(wǎng)關(guān)特別容易成為黑客攻擊的目標。不斷涌現(xiàn)的安全漏洞和創(chuàng)新的攻擊技術(shù)使得數(shù)據(jù)安全風(fēng)險變得尤為顯著。這些風(fēng)險可能導(dǎo)致敏感的政務(wù)數(shù)據(jù)泄露、關(guān)鍵基礎(chǔ)設(shè)施服務(wù)中斷,甚至可能對整個政務(wù)系統(tǒng)的穩(wěn)定運行造成嚴重影對于電子政務(wù)外網(wǎng)的管理單位來說,運營商網(wǎng)絡(luò)就像—個不透明的“黑箱”,因為它們無法直接獲得政務(wù)數(shù)據(jù)在運營商網(wǎng)絡(luò)中傳輸?shù)膶崟r狀態(tài),這無形中增加了保護關(guān)鍵政務(wù)數(shù)據(jù)的難度。當出現(xiàn)業(yè)務(wù)故障時,由于缺乏必要的數(shù)據(jù)和信息,快速準確地定位故障原因變得困難,這直接影響到政務(wù)業(yè)務(wù)的連續(xù)性和穩(wěn)定性。303.5.2場景化方案固移融合場景化方案通過構(gòu)建5G政務(wù)專用網(wǎng)絡(luò),旨在增強電子政務(wù)外網(wǎng)的移動接入能力,實現(xiàn)固定網(wǎng)絡(luò)與5G移動網(wǎng)絡(luò)在統(tǒng)一運維管理服務(wù)平臺統(tǒng)一運維管理服務(wù)平臺固網(wǎng)管理平臺安全控制器零信任控制器ADWAN固網(wǎng)管理平臺安全控制器零信任控制器ADWAN控制器5G定制管理平臺運營商5G2B專網(wǎng)切片管理認證信息5G核心網(wǎng)運營商AAA政務(wù)網(wǎng)AAA安全網(wǎng)關(guān)C主5G專網(wǎng)網(wǎng)關(guān)接入單位備5G專網(wǎng)網(wǎng)關(guān)安全網(wǎng)關(guān)5G專網(wǎng)切片切片通道映射固定網(wǎng)絡(luò)切片主專用UPF備專用UPF認證信息5G核心網(wǎng)運營商AAA政務(wù)網(wǎng)AAA安全網(wǎng)關(guān)C主5G專網(wǎng)網(wǎng)關(guān)接入單位備5G專網(wǎng)網(wǎng)關(guān)安全網(wǎng)關(guān)5G專網(wǎng)切片切片通道映射固定網(wǎng)絡(luò)切片主專用UPF備專用UPF運營商政務(wù)外網(wǎng)本方案利用運營商的5G網(wǎng)絡(luò)基礎(chǔ)架構(gòu),建立了專用的5G政務(wù)網(wǎng)絡(luò)。通過在固定網(wǎng)絡(luò)的邊緣區(qū)域設(shè)置5G互聯(lián)區(qū),實現(xiàn)了與5G政務(wù)專網(wǎng)的無縫連接。這種專網(wǎng)通常采用用戶面網(wǎng)元(UPF)下沉策略,將UPF直接與5G互聯(lián)區(qū)的路由和安全設(shè)備相連,增強了網(wǎng)絡(luò)的連接性和安全性。政務(wù)專網(wǎng)的UPF采用“1+1”的冗余設(shè)計,與5G接入路由器形成穩(wěn)定的網(wǎng)絡(luò)結(jié)構(gòu),確保了5G接入路由器與固定網(wǎng)絡(luò)核心路由器之間的高效互聯(lián),從而為電子政務(wù)外網(wǎng)提供了—個統(tǒng)—的接入點,實現(xiàn)全面覆蓋。此外,5G定制網(wǎng)絡(luò)管理平臺和固定網(wǎng)絡(luò)管理中心共同負責固移融合網(wǎng)絡(luò)的管理和控制,支持網(wǎng)絡(luò)全生命周期的可視化操作,包括規(guī)劃、建設(shè)、維護和優(yōu)化,滿足自動化需求并實現(xiàn)網(wǎng)絡(luò)狀態(tài)的實時監(jiān)控。同時,還引入了—個統(tǒng)—的運維服務(wù)平臺,具備規(guī)劃、維護和運營能力,能夠整合不同的管理平臺,實現(xiàn)跨網(wǎng)絡(luò)域的協(xié)同管理,提供資產(chǎn)、網(wǎng)絡(luò)、業(yè)務(wù)和安全的主要功能:>“不換卡不換號”實現(xiàn)政務(wù)辦公人員現(xiàn)有5G手機卡的基礎(chǔ)上增加接入電子政務(wù)外網(wǎng)服務(wù)。運營商負責根據(jù)SIM卡完成與電子政務(wù)外網(wǎng)的服務(wù)協(xié)議。運營商可以為政務(wù)工作人員在現(xiàn)有的5G手機卡上增加電子政務(wù)外網(wǎng)的接入服務(wù),從而實現(xiàn)無需更換SIM卡或電話號碼,便能接入電子政務(wù)外網(wǎng)的能力;另外,也可以選擇采購專用的政務(wù)SIM卡,確保每臺設(shè)備使用專用的SIM卡,滿足對設(shè)備和網(wǎng)絡(luò)訪問的嚴格管理需求。>能夠?qū)崿F(xiàn)把5G專網(wǎng)切片無縫映射到電子政務(wù)外網(wǎng),確保無線接入的業(yè)務(wù)端到端的SLA質(zhì)量。如圖所示:運營商側(cè)移動網(wǎng)絡(luò)平面,充分利用運營商5G移動通信網(wǎng)絡(luò)切片能力,構(gòu)建從5G基站到5G核心網(wǎng)、UPF的政務(wù)切片專網(wǎng),為不同類型的政務(wù)業(yè)務(wù)提供資源隔離、質(zhì)量可保障的網(wǎng)絡(luò)切片,不同業(yè)務(wù)間相互隔離互不干擾。電子政務(wù)外網(wǎng)固定網(wǎng)絡(luò)平面,利用路由器設(shè)備的物理接口、FIexE接口、子接口切片等不同接口間的物理隔離能力,配合SRv6、EVPN的邏輯隔離能力,打通電子政務(wù)外網(wǎng)內(nèi)的資源隔離、質(zhì)量可保障的網(wǎng)絡(luò)切片,為不同類型的政務(wù)業(yè)務(wù)提供從5G接入路由器到>新建5G政務(wù)專用UPF。與電子政務(wù)外網(wǎng)5G專網(wǎng)網(wǎng)關(guān)背靠背互聯(lián)。主備專用UPF和主備5G專用網(wǎng)關(guān)都是新建設(shè)備,并且是—起放在政府側(cè)機房。實現(xiàn)UPF專網(wǎng)專用,用戶接入不再需要到公共UPF再到公共網(wǎng)絡(luò)繞行了,可以在無線接入后直接到專用UPF接入到電子政務(wù)外網(wǎng)。通過在移動網(wǎng)絡(luò)邊緣部署專用的UPF,運營商能夠確保政務(wù)數(shù)據(jù)的傳輸?shù)?gt;支持移動終端通過運營商SMF和電子政務(wù)外網(wǎng)AAA認證信息的兩次認證,確保用戶認證安全。運營商完成SIM卡和電子政務(wù)外網(wǎng)服務(wù)綁定,政務(wù)用戶通過綁定政府業(yè)務(wù)的SIM卡訪問電子政務(wù)外網(wǎng)時,運營商的SMF和電子政務(wù)外網(wǎng)的AAA之間會進行兩次認證,確保只有合法用戶才能接入電子政務(wù)外網(wǎng),安全訪問電子政務(wù)外網(wǎng)的資源。固移融合,實現(xiàn)固移切片無縫黏連,保證端到端服務(wù)質(zhì)量主專用UPF城域網(wǎng)應(yīng)急指揮:FlexE接口25G專網(wǎng):FlexE接口310G主5G接入網(wǎng)關(guān)接入單位 應(yīng)急指揮:FIexE接口2主專用UPF城域網(wǎng)應(yīng)急指揮:FlexE接口25G專網(wǎng):FlexE接口310G主5G接入網(wǎng)關(guān)接入單位 應(yīng)急指揮:FIexE接口25G視頻會議視頻會議:FlexE接口11G視頻會議:FlexE接口11G應(yīng)急指揮:應(yīng)急指揮:FlexE接口25G應(yīng)急指揮:FlexE接口25G 專網(wǎng):FlexE接口310G專網(wǎng):FlexE接口3應(yīng)急指揮:FlexE接口25G備專用UPF備5G接入網(wǎng)關(guān)視頻會議:視頻會議:FIexE接口11G視頻會議:FlexE接口11G 專網(wǎng):FIexE接口310G為保障政務(wù)移動接入業(yè)務(wù)質(zhì)量,采用5G網(wǎng)絡(luò)的切片能力,確保政務(wù)數(shù)據(jù)在移動網(wǎng)絡(luò)轉(zhuǎn)發(fā)時的SLA。在充分利用5G移動網(wǎng)32絡(luò)切片能力的同時,創(chuàng)新的提出將5G網(wǎng)絡(luò)切片與固定網(wǎng)絡(luò)切片融合對接方案,5G無線鏈路與固定網(wǎng)絡(luò)鏈路完美融合,實現(xiàn)從終端到政務(wù)云、終端到局域網(wǎng)的—站式信息高速公路,真正滿足“—跳入云”、“—跳入網(wǎng)”。切片類型的規(guī)劃:>對于數(shù)據(jù)敏感度低,傳輸質(zhì)量要求較低的政務(wù)業(yè)務(wù),可以統(tǒng)—承載在—個融合的網(wǎng)絡(luò)切片上,不進行數(shù)據(jù)的邏輯隔離,所有政務(wù)單位的業(yè)務(wù)混跑在—起。>對于數(shù)據(jù)敏感度較高但傳輸質(zhì)量要求較低的政務(wù)業(yè)務(wù),統(tǒng)—承載在—個融合網(wǎng)絡(luò)切片上,通過DNN等形式進行邏輯隔離,保障敏感數(shù)據(jù)與其他政務(wù)單位業(yè)務(wù)安全隔離。>對于數(shù)據(jù)敏感度較高,且對傳輸質(zhì)量要求較高的政務(wù)業(yè)務(wù),分配—個專用的融合網(wǎng)絡(luò)切片,獨享網(wǎng)絡(luò)資源。移動終端兩次認證,為電子政務(wù)外網(wǎng)管理單位提供管控能力如下圖所示,移動終端需要通過5GSMF向電子政務(wù)外網(wǎng)AAA服務(wù)器發(fā)起兩次認證:運營商5G網(wǎng)絡(luò)5G核心網(wǎng)政務(wù)網(wǎng)AAASMF觸發(fā)兩次認證安全網(wǎng)關(guān)省級城域網(wǎng)專用UPF接入單位備5G網(wǎng)關(guān)安全網(wǎng)關(guān)執(zhí)行認證準入、授權(quán)、審計策略安全網(wǎng)關(guān)5G互聯(lián)區(qū)認證成功:分配5G終端IP地址,完成終端在安全網(wǎng)關(guān)上線準入SMF主5G網(wǎng)關(guān)專用UPF配置網(wǎng)絡(luò)路由轉(zhuǎn)發(fā)認證請求運營商5G網(wǎng)絡(luò)5G核心網(wǎng)政務(wù)網(wǎng)AAASMF觸發(fā)兩次認證安全網(wǎng)關(guān)省級城域網(wǎng)專用UPF接入單位備5G網(wǎng)關(guān)安全網(wǎng)關(guān)執(zhí)行認證準入、授權(quán)、審計策略安全網(wǎng)關(guān)5G互聯(lián)區(qū)認證成功:分配5G終端IP地址,完成終端在安全網(wǎng)關(guān)上線準入SMF主5G網(wǎng)關(guān)專用UPF配置網(wǎng)絡(luò)路由轉(zhuǎn)發(fā)認證請求②配置專用DNN接入>移動用戶帶DNN信息到SMF注冊,SMF識別DNN為政務(wù)專網(wǎng),SMF發(fā)起到政務(wù)AAA服務(wù)器—次認證,政務(wù)AAA上有對應(yīng)的SIM卡信息,則驗證通過。移動客戶端到專用UPF的PDUSession建立成功。>當終端訪問電子政務(wù)外網(wǎng)時,運營商SMF經(jīng)UPF向電子政務(wù)外網(wǎng)認證服務(wù)器發(fā)起二次鑒權(quán)請求,則電子政務(wù)外網(wǎng)認證服務(wù)器會基于SIM卡的IMSI信息、MSISDN信息、IMEI信息,以及DNN信息進行二次鑒權(quán)。若鑒權(quán)成功,則電子政務(wù)外網(wǎng)認證服務(wù)器會向SMF授權(quán)IP地址并向3A認證網(wǎng)關(guān)推送終端訪問策略。零信任理念加持,夯實終端安全防線在移動辦公過程中,5G智能終端如平板電腦和手機經(jīng)常需要處理敏感的政務(wù)數(shù)據(jù)。這些設(shè)備如果遭受黑客攻擊或不慎丟33失,關(guān)鍵信息的安全將面臨風(fēng)險。因此,對于使用智能終端的場景,建議采用移動終端零信任安全模型來提升安全防護級別。部署零信任客戶端后,它能夠強化智能終端的安全配置,并通過SPA(單點登錄)和SDP(軟件定義邊界)技術(shù)進行認證,確保數(shù)據(jù)通過加密通道安全地穿越運營商網(wǎng)絡(luò),從而動態(tài)獲得訪問電子政務(wù)外網(wǎng)的權(quán)限。此外,在智能終端訪問電子政務(wù)外網(wǎng)時,零信任客戶端將持續(xù)監(jiān)測終端的工作環(huán)境,利用水印和沙箱等技術(shù)確保業(yè)務(wù)和數(shù)據(jù)在安全可信的環(huán)境中運行?？梢源蠓档?.5.3方案價值固移融合助力全域覆蓋,提高政務(wù)服務(wù)能力5G政務(wù)專網(wǎng)提升了電子政務(wù)外網(wǎng)的移動接入能力,將電子政務(wù)外網(wǎng)打造成—個無所不在的泛在網(wǎng)絡(luò)。滿足各種政務(wù)業(yè)務(wù)在連接數(shù)量和覆蓋范圍上的廣泛需求。通過在5G和固定網(wǎng)絡(luò)之間應(yīng)用端到端的網(wǎng)絡(luò)切片技術(shù),政務(wù)業(yè)務(wù)能夠獲得全程的、確定性的網(wǎng)絡(luò)帶寬,確保了政務(wù)業(yè)務(wù)的高可用性、低延遲。提供終端安全管控功能,保障政務(wù)數(shù)據(jù)安全通過安全控制策略,涵蓋從終端資產(chǎn)管理到訪問授權(quán)和審計的各個環(huán)節(jié),可以顯著提高電子政務(wù)外網(wǎng)的安全性,消除政府機構(gòu)對安全的擔憂。采用零信任安全模型,基于“永不信任、持續(xù)驗證”的理念,為電子政務(wù)外網(wǎng)的移動辦公、多樣化服3.5.4配套產(chǎn)品清單CR系列路由器/SR88系列路由器/SR66系列路由器/MSR系列路由器提供業(yè)務(wù)的互聯(lián)承載,通過網(wǎng)絡(luò)切片保障業(yè)務(wù)應(yīng)用帶寬,支持隨流檢測監(jiān)控網(wǎng)絡(luò)質(zhì)量SDN控制平臺AD-WAN提供政務(wù)外網(wǎng)自動化網(wǎng)絡(luò)管理與配置下發(fā),實現(xiàn)業(yè)務(wù)流上下級SDN控制器網(wǎng)絡(luò)管理和業(yè)務(wù)級聯(lián)協(xié)同SecPathF5000系列零信任網(wǎng)關(guān)從零信任管理平臺接收動態(tài)防護策略,實現(xiàn)執(zhí)行SPA單包認證等SDP流程,監(jiān)測終端可信狀態(tài)對接安全態(tài)勢感知,集成終端沙箱實現(xiàn)敏感業(yè)務(wù)及其數(shù)據(jù)隔34Lls-seccenter控制器實現(xiàn)應(yīng)用申請及發(fā)布管理、零信任客戶端運維管理、評分動態(tài)授權(quán)等功能,以及終端安全策略集中管理和下發(fā)政務(wù)外網(wǎng)AAA認證服務(wù)器提供驗證授權(quán),對接運營商sMF實現(xiàn)基于3GPP標準的二次鑒權(quán),集成lP地址管理、網(wǎng)絡(luò)管理等功能secPathF5000系列基于零信任控制器二次鑒權(quán)后的權(quán)限信息下發(fā)到零信任安全網(wǎng)關(guān),根據(jù)用戶標識進行鑒權(quán)。并執(zhí)行安全訪問策略3.6一機兩用零信任技術(shù),加強政務(wù)終端安全管控隨著國家數(shù)字化建設(shè)步伐的加速推進,政務(wù)數(shù)字化轉(zhuǎn)型日益深化,“互聯(lián)網(wǎng)+政務(wù)服務(wù)”模式已成為不可逆轉(zhuǎn)的趨勢。在此背景下,政務(wù)人員頻繁需要在政務(wù)外網(wǎng)與互聯(lián)網(wǎng)間靈活切換,以滿足多樣化的工作需求。然而,互聯(lián)網(wǎng)環(huán)境的復(fù)雜性也帶來了跨網(wǎng)攻擊的風(fēng)險,針對政務(wù)外網(wǎng)的安全威脅時有發(fā)生。為此,國家電子政務(wù)外網(wǎng)管理中心適時發(fā)布了《政務(wù)外網(wǎng)終端—機兩用安全管控技術(shù)指南》,旨在強化政務(wù)終端的安全管理,防范外部安全威脅。為積極響應(yīng)這—技術(shù)指南,并提升電子政務(wù)外網(wǎng)的集約化水平和安全防護能力,新華三依托先進的零信任技術(shù)方案,致力于解決政務(wù)終端—機兩用時的安全管控難題。同時通過精細化的安全管控策略,有效抵御來自互聯(lián)網(wǎng)的安全威脅,為政務(wù)數(shù)字化轉(zhuǎn)型保駕護航。3.6.1業(yè)務(wù)挑戰(zhàn)電子政務(wù)外網(wǎng)在終端安全管控中面臨的挑戰(zhàn)主要體現(xiàn)在以下幾方面:>終端用戶非法訪問與越權(quán)操作:未經(jīng)授權(quán)的終端用戶可能嘗試訪問政務(wù)敏感資源,導(dǎo)致數(shù)據(jù)被非法獲取或篡改。合法用戶可能利用系統(tǒng)漏洞或管理不當,越權(quán)訪問不屬于其權(quán)限范圍內(nèi)的數(shù)據(jù)或資源。>終端跳板攻擊風(fēng)險:互聯(lián)網(wǎng)中充斥著大量的病毒、木馬等惡意軟件,—旦政務(wù)終端感染這些軟件,黑客從互聯(lián)網(wǎng)攻擊終端后,會以此為跳板入侵電子政務(wù)外網(wǎng),影響電子政務(wù)外網(wǎng)的穩(wěn)定運行。>終端數(shù)據(jù)泄露風(fēng)險:政務(wù)終端同時連接政務(wù)外網(wǎng)和互聯(lián)網(wǎng),使得惡意攻擊人員有機會通過攻擊政務(wù)終端,竊取敏感數(shù)據(jù)?！┱?wù)系統(tǒng)的數(shù)據(jù)泄露,將對政府部門的正常工作造成嚴重影響,甚至威脅到國家安全和社會穩(wěn)定。353.6.2場景化方案為保障政務(wù)外網(wǎng)整體安全性,防范化解政務(wù)外網(wǎng)終端安全風(fēng)險,針對各級政務(wù)部門終端“—機兩用”接入政務(wù)外網(wǎng)的情況,新華三遵循《政務(wù)外網(wǎng)終端—機兩用安全管控技術(shù)指南》推出的政務(wù)外網(wǎng)—機兩用場景方案,基于SDP架構(gòu)端到端零信任訪問控制,實現(xiàn)終端準入控制、終端安全隔離以及違規(guī)外聯(lián)檢測,同時對于敏感的業(yè)務(wù)數(shù)據(jù)訪問,采用沙箱等技術(shù)實現(xiàn)終端數(shù)據(jù)隔離,防止終端數(shù)據(jù)泄露,從而確保各級政務(wù)部門終端在接入政務(wù)外網(wǎng)時,杜絕政務(wù)終端“—機兩用”,其方案架構(gòu)如圖所示:零信任客戶端零信任客戶端零信任客戶端安全接入平臺④策略控制下發(fā)運維管理區(qū)零信任網(wǎng)關(guān) ③返回結(jié)果①應(yīng)用訪問零信任控制器零信任網(wǎng)關(guān)運營商城域網(wǎng)核心⑤建立加密隧道城域網(wǎng)接入政務(wù)部門外網(wǎng)城域網(wǎng)接入城域網(wǎng)接入②認證鑒權(quán)政務(wù)部門外網(wǎng)政務(wù)部門外網(wǎng)零信任客戶端零信任客戶端零信任客戶端安全接入平臺④策略控制下發(fā)運維管理區(qū)零信任網(wǎng)關(guān) ③返回結(jié)果①應(yīng)用訪問零信任控制器零信任網(wǎng)關(guān)運營商城域網(wǎng)核心⑤建立加密隧道城域網(wǎng)接入政務(wù)部門外網(wǎng)城域網(wǎng)接入城域網(wǎng)接入②認證鑒權(quán)政務(wù)部門外網(wǎng)政務(wù)部門外網(wǎng)本方案主要包括零信任管理平臺、零信任安全網(wǎng)關(guān)、零信任客戶端(含沙箱功能)三部分組成,其中零信任控制器部署于電子政務(wù)外網(wǎng)運維管理區(qū),零信任安全網(wǎng)關(guān)旁路部署于電子政務(wù)外網(wǎng)城域網(wǎng)核心路由器,零信任客戶端部署于政務(wù)單位部新華三政務(wù)外網(wǎng)—機兩用安全解決方案業(yè)務(wù)流程:零信任網(wǎng)關(guān)通過接收零信任控制器的動態(tài)訪問控制策略,實現(xiàn)對用戶“—機兩用”訪問控制。對“—機兩用”訪問控制,主要有三種場景:廳局委辦終端用戶訪問政務(wù)業(yè)務(wù)、廳局委辦終端用戶訪問互聯(lián)網(wǎng)業(yè)務(wù)、互聯(lián)網(wǎng)移動辦公用戶訪問政務(wù)業(yè)>廳局委辦終端用戶訪問政務(wù)業(yè)務(wù)或互聯(lián)網(wǎng)業(yè)務(wù)的安全防護業(yè)務(wù)流程如下:.零信任管理平臺設(shè)置允許的政務(wù)外網(wǎng)業(yè)務(wù)列表(或互聯(lián)網(wǎng))36.零信任管理平臺設(shè)置允許的政務(wù)外網(wǎng)業(yè)務(wù)列表(或互聯(lián)網(wǎng)).廳局委辦終端用戶設(shè)置訪問模式為“政務(wù)外網(wǎng)訪問”或“互聯(lián)網(wǎng)訪問”,之后由零信任客戶端發(fā)起終端和用戶認.認證通過后,零信任客戶端向零信任控制器通告其訪問模式。零信任控制器向零信任網(wǎng)關(guān)下發(fā)上線用戶信息、政務(wù).零信任客戶端和零信任網(wǎng)關(guān)建立加密隧道,用戶進行業(yè)務(wù)訪問,業(yè)務(wù)請求到達零信任網(wǎng)關(guān),零信任網(wǎng)關(guān)根據(jù)訪問模式進行“—機兩用”訪問控制:互聯(lián)網(wǎng)訪問模式:訪問的業(yè)務(wù)不匹配政務(wù)外網(wǎng)業(yè)務(wù)列表則放行,否則拒絕。政務(wù)外網(wǎng)模式:訪問的業(yè)務(wù)如果匹配政務(wù)外網(wǎng)業(yè)務(wù)列表則放行,否則拒絕。.零信任管理平臺持續(xù)獲取用戶、終端風(fēng)險,在風(fēng)險超過—定閾值后,阻斷用戶訪問政務(wù)外網(wǎng)?；ヂ?lián)網(wǎng)移動辦公用戶安全防護業(yè)務(wù)流程如下:.零信任管理平臺設(shè)置各廳局委辦的政務(wù)業(yè)務(wù)權(quán)限列表,為廳局委辦組織機構(gòu)授權(quán)的政務(wù)業(yè)務(wù)。.互聯(lián)網(wǎng)移動辦公用戶設(shè)置訪問模式為政務(wù)外網(wǎng)訪問模式。然后進行終端用戶認證,認證通過后客戶端向零信任管理平臺通過訪問模式,