公务员期刊网 精选范文 网络专线安全范文

网络专线安全精选(九篇)

前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络专线安全主题范文,仅供参考,欢迎阅读并收藏。

网络专线安全

第1篇:网络专线安全范文

数据传输、语音沟通无碍

据中国移动贵州分公司工作人员介绍:“集团专线”是指中国移动通信基于自身强大的CMNET数据网,利用自己的接入网和传输网络资源,采用固线方式(XDSL、光纤宽带网、LMDS、3.5G微波传输、2.4G无线局域网等)为集团用户提供专线接入,从而实现集团客户专享各种高质量高安全性的数据传输服务。通过中国移动强大的CMNET数据网络,采用专线的方式为集团客户提供多种带宽的国际互联网接入业务,并可提供静态IP地址,既可实现集团内部员工高速上网,又方便集团客户利用INTERNET直接开展网上业务,进行电子商务活动。

目前,中国移动贵州分公司推出的专线服务内容包括“语音通信需求”、“数据通信需求”、“互联网需求”三大部分,为企业提供传送语音、数据、视频等业务的专门服务,适用于速率高、信息量大、实时性强的数据传输应用,并且保证信息安全、速度快捷,从而满足企业运转过程中的各项需要,特别是有效解决了跨区域企业在业务对接、客户维系等各方面的工作问题。专线业务不仅可与企业信息机,GPRS企业接入等多种产品组合成整体解决方案,也是未来移动信息化应用的载体。

优质网络成就出色工作

中国移动贵州分公司的集团专线全程管道光纤接入,采用业界成熟的SDH网络,并引入领先的智能化IP―VPN光交换网络、大容量DWDM城域网,确保网络质量安全稳定。另外,专线有丰富的带宽支持,可根据用户的实际需求,提供各类带宽的信息化业务,如2M、10M、100M、155M、最大可以达到2.5G带宽的信息化业务。高质量的网络、先进的技术支撑、多样的个性化选择,使得中国移动贵州分公司集团专线在金融、电力、贸易、商业、政府、科技、教育等众多领域都有广泛的应用, 广受企业欢迎。

某企业信息中心负责人表示:选择中国移动贵州分公司集团专线,一方面是因为看中它强大的网络资源;另一方面则是因为服务好,能够针对不同企业的实际需求,提供个性化的解决方案。“在实际使用过程中,也感受到了集团专线的确方便快捷,甚至帮我们节省了不少成本。”负责人说。

第2篇:网络专线安全范文

【关键词】 专网专线 网络故障 策略

一、前言

专网专线服务范畴广泛,例如公安系统、银行以及教育系统等,均可通过专网专线提升运行效率,优化服务质量。当然专网专项网络无可避免的包含一些故障问题。通常应用光纤收发装置以及光缆进行系统组网。该系统模式呈现出组网简单便利、网络系统可靠稳定、应用设备具有较强的兼容性以及通用性,后期维护较为方便的优势特征。

二、光纤收发原理与种类

光纤收发基础功能在于可实现光电转化,也就是一面将网络信号变化成光信号,借助光芯完成发送。另一端则转化光信号变成电信号。当前专网专线系统之中,通常应用了两种收发装置,一种为双纤单网接口,另一种为单纤单网或是双网口。

三、专网专线网络故障分析与应对策略

专网专线网络常见故障问题一类为光纤收发装置出现故障,另一类为网络系统出现丢包或者服务运行速度较慢。

3.1 光纤收发装置故障分析与应对策略

专网专线网络中单纤单网口装置运行下,如果出现网络不畅通的问题,首先应检查FX灯,倘若为绿色,则说明光纤连接正常,不存在光路问题。如果FX灯出现闪烁状况,则表明数据在传输。而倘若FX灯灭掉,则表明有可能存在下述几方面问题。即对端设备形成损坏或不加电;两端光纤系统的收发装置出现了线路故障问题。倘若对端机房并没有断电,且近期没出现过雷击现象,则可选择相应型号的光纤收发装置进行替换调试,倘若更换之后线路仍然为不通的状态,则可以肯定为光缆线路出现了故障问题。专网专线系统中TP也就是网口,其输出线路通常进入到交换机装置,倘若TP灯显示绿色,则表明系统双绞线工作状态正常、连接良好,而在传输数据过程中,TP灯会不断的闪烁。FDX灯显示了全双工具体的工作现状,当A向B发送信号的过程中,B同步向A发出信号。可完成一百兆全双工运行的光纤收发装置,则可实现送发传输工作效率均达到一百兆。这对于高效、大容量信息数据传输应用,例如网络视频文件传输十分必要。对于单纤单网口或者双网口收发装置,如果光口指示灯常亮,表明光口接收以及发送链路为正常的状态,相反则说明链路存在错误。同理,电口链路灯常亮表明链路工作正常,否则为链路错误。速率灯常亮则表明电路速率达到一百兆,反之则速率仅为十兆。

3.2 网络丢包以及网速过慢故障分析与应对策略

专网专线网络系统中,如果网头处理压制存在不规范问题,光纤接口灰尘过多,没有及时清洁,将会对运行网速形成直接影响。因此在维修阶段中应首先检验网头是否可靠规范。而后可用酒精对光纤接头做清洁处理。完成上述步骤后可实施后续的排查工作。另外,尾纤弯曲半径应控制有度,不应过小。机房之中,不应为了单纯的外在美观性,将尾纤捆扎的过死,或将尾纤捆扎为小圈,该类做法会导致光纤线路形成大量的损耗,影响运行网速。一些单位应用交换机,设置成了端口速率以及双工模式,该功能倘若设置不佳,则会形成反作用,并引起明显的丢包现象。例如,原交换机同SDH连接端口为一百兆全双工,在后续的改进过程中,则将该端口变成与光纤收发装置相连,而后设置成一百兆全双工,这样一来光纤收发装置不能良好工作。为此将交换机对应端口速率以及双工模式调节成自适应,而后专网专线网络立即趋于稳定,且不再出现丢包现象。同双纤光纤收发装置存在区别的是,单纤手法装置需要配对应用,同时型号应保持相同一致。这是由于不同型号装置有可能存在不同的收发光信号工作功率,如果不配对应用则会破坏光口,令传输信息数据面临安全隐患。为此实践工作中应对该类现象进行有效排查,明确故障所在。管理人员应具备基础素质,能够快速精准的判别出引发故障问题的根源,有效的应对网络故障。

四、结语

总之,专网专线网络系统的可靠持续运行,需要做好故障问题分析、故障来源研究,精准快速的找到故障部件。通过制定科学有效的策略,完善应对处理,令专网专线快速的恢复到正常状态,畅通、快速、安全的应用,为各行业工作、生产,实践管理提供优质、人性化的服务,提升系统整体运行效能,开创安全可靠的服务应用环境,进而创设明显的经济效益与社会效益,真正实现可持续的全面发展。

参 考 文 献

第3篇:网络专线安全范文

【关键词】 3G 路由器 WCDMA VPN

随着我国信息化进程的不断推进,如何构架安全、稳定、可靠、高效的通讯网络系统,是必须着重考虑的问题。而随着通信事业的高速发展,移动数据通信已逐渐发展成为一种重要的通信方式。3G移动通信不仅可以替代有线通信,作为有线通信的补充及延伸,而且还可以与有线网络环境互为备份。

一、技术特征

3G路由器基于CDMA无线公共网,在成熟的CDMA网络上构建无线数据网络,使各行业实现无线数据传输的成本和技术大为降低。可以广泛运用于环保、油田、电力、金融、公共事业等需要无线数据通信的领域。

1.1 功能特性

3G在集团客户接入段应急通信中可实现以下功能:(1)集团客户线路新开。随着组织机构的不断发展壮大,业务扩展的边界也越来越远,那么对于一些偏远地区(专线无法铺设的地方),可以提供一种联通3G专线服务于大客户单位总部的网络进行安全、高效、稳定的互联。联通的3G专线服务可以实现任何地点的接入。(2)集团客户线路备份。传统有线专线作为备份链路,在主线路正常的情况下跑的数据量相当少,相当于空闲带宽,而专线的价格很高,用来作为备份链路成本浪费太大。因此,采用联通3G专线服务,保证主线路故障的情况下数据稳定高效、安全的传输。同时,可以实现不用改动客户原有网络结构,实现线路备份。(3)集团客户线路抢修临时代通。专线一旦发生了线路故障,而无法马上实现维修处理的情况下,我们要能提供一种临时性的手段为客户搭建临时“专网”。而一般用户数据量都不小,我们可采用3G专线服务,建立快速、加密的安全网络,为用户提供临时的专用网络搭建,从而保障实施维修,减少因线路故障给客户带来的业务影响。除此之外,3G专线中的无线设备还具有:支持有线与无线两种链路互为备份;支持主备链路自动切换;支持冷、热备份模式选择等功能。

1.2 技术特征

3G技术在应急通信中的应用,是将归属于不同基站(BTS)的客户终端设备,利用3G路由器、VPN加速器等设备通过软件配置连接到WCDMA网络。WCDMA 内网连接后可采用专线接入或WCDMA终端连接。专线接入由数据专线连接至中心数据库,中心获得内网固定IP地址。获得的内网IP地址与路由器同在一个网段,这样保证了数据安全性好;时延亦小。CDMA终端连接需要分配给监控中心WCDMA内网固定IP地址;开放WCDMA用户端对端数据通讯。路由器根据配置的监控中心内网IP地址与监控中心建立数据通道。

二、技术应用

2.1 客户总部和分支都有路由器的网络

A用户需要和B用户进行通信,首先交给分支路由器C,然后到加速VPN设备D,通过加速VPN设备D的隧道交给对端加速VPN设备E;对端加速VPN设备E解开数据包,查看路由表,会将数据交给路由器F,该路由器收到数据后会将数据较给路由器G,于是可以到达用户B;用户B收到数据后需要回包给 A用户 。首先将数据交给路由器G ,然后再交给路由器F,再到加速VPN设备E。通过VPN隧道交给对端加速VPN设备D;对端的加速VPN设备D解开数据包,查看路由表,会将数据交给分支路由器C ,所以可以给到用户A 。

2.2 客户分支没有路由器,客户总部有路由器的网络

用户A需要和用户B进行通信。首先将数据交给到路由器C,然后再交给加速VPN设备D,通过VPN隧道交给对端加速VPN设备E; 对端加速VPN设备E解开数据包后,可以设置将所有VPN过来的数据包源IP转换成1.1.1.2,再将数据发送出去。于是可以到达用户B; 用户B收到数据包后,需要回包,首先将数据交给总部路由器G,然后交给加速VPN设备E(因为步骤2中数据包源IP变成了1.1.1.2,所以可以交给它),通过VPN隧道交给对端加速VPN设备D;对端加速VPN设备D解开数据包后查看路由表,会将数据交给路由器C,然后在到达内网路由器,从而达到用户A。

2.3 客户总部和分支都没有路由器的网络

在3G路由器上分别给用户分支内网、用户总部内网做相应的NAT转换,来实现在不动客户网络参数的情况下通过3G传输数据的需求。

三、结论

我公司现有集团客户专线使用方式均为有线网络通信方式,虽然保了证业务传输的安全性,但其缺点为不仅系统安装费昂贵,而且系统的扩展性也不强,给系统的维护带来了诸多不便。3G技术在不改变集团客户网络结构和数据配置的前提下,实现了集团客户接入段线路以3G无线网络接入方式替代传统有线网络接入方式;实现了集团客户接入段线路以无线网络与有线网络进行双网备份,规避单网通信带来的风险,将障碍历时缩短到60分钟以内;有效节约光缆线路建设投资,并且可广泛应用到各个行业。

参 考 文 献

[1] 彭木根. 无线资源管理与3G网络规划优化[M]. 人民邮电出版社,2008

[2] 赵晓秋. 3G/B3G网络核心技术与应用[M]. 机械工业出版社,2008

第4篇:网络专线安全范文

优化标准化产品

据了解,在此轮调整中,中小企业普通宽带速率免费提升至50Mbps,提速最高超6倍。在此前免费提速至8Mbps的基础上,对使用50Mbps以下企业普通宽带的中小企业客户,进一步免费升速至50Mbps,全力支持中小企业利用互联网手段创新创业。

大幅调低资费标准,同时中小企业互联网专线速率免费翻倍。在近几年持续降低互联网专线接入资费的基础上,进一步大幅下调资费标准。针对带宽低于100Mbps的中小企业在用互联网专线,客户经理将主动上门,与客户深入沟通,提供速率免费倍增的续签协议优惠服务。

推出定制化产品

中国电信此次推出了更优惠的“商兆ㄏ摺毙虏品,以智慧化服务助力中小微企业双创。为满足各类中小微企业的个性化、差异化需求,推出“商务专线”新产品,同时充分发挥中国电信云计算、物联网、视频会议、智能组网及各类行业信息化应用等综合能力优势,向中小微企业提供更优惠、更智能的企业信息化服务新解决方案。

提供高质量国际精品专线,以全球化网络能力服务海外拓展。面向访问境外互联网需求大、质量要求高的国内客户,如国际贸易、电子商务、高端酒店、合资企业和外资企业在华分支机构等相关企业,推出高速稳定的国际精品专线服务,利用中国电信高速率、大容量的精品互联网(CN2)网络,为企业显著改善互联网专线的时延、抖动和丢包率等关键性能指标。

以运营商级别的高等级安全服务守护中小企业创新创业。中国电信面向业务连续性要求高、敏感性强、品牌形象重要的客户,提供互联网专线加“云堤”服务,为中小企业“互联网+”的安全保驾护航。中国电信的“云堤”是基于遍布全网的智能管道、海量的带宽、丰富的安全大数据资源优势以及安全能力,所构建的全方位“云、管、端”联动的互联网安全产品体系。

支持“双创”

第5篇:网络专线安全范文

关键词:分布式校园网;MPLS;VPN;多校区

1 技术背景

MPLS-VPN业务是目前在IP网开展的一项重要业务,该业务主要面向政府、教育、企业等集团用户,能够为客户提供高可靠、高带宽、高安全的虚拟专业网络。目前很多学校存在多校区联合办学的情况,电子图书、教务系统以及网上办公等的重要平台一般放在某个校区的专用服务器上,其他校区的用户要访问这些资源,必须通过运营商网络进行三层路由,因此可能存在网络带宽受限、网络安全性低、网络延时大等问题。为了更好的服务广大校园用户,有必要建设基于MPLS-VPN的虚拟专用网络,使得各校区的校园用户和服务器资源能够实现安全快速的数据交换。本文介绍了基于MPLS-VPN的分布式校园架构以及相关的安全技术。

2 网络的架构

传统基于VLAND的虚拟专线业务覆盖方式,少量用户时能够满足基本转发要求, 但是不利于校园虚拟专线业务的长期发展,主要有如下缺点:

①VLAN实现用户专线的方式太落后,电信等运营商基本已经淘汰此技术。

②VLAN技术实现用户专线,单个业务使用同一个VLAN,会造成MAC地址表太大,难以维护。

③VLAN技术仅适合网内专线,在实现跨区域或者跨运营商实现对接是较为困难。

④VLAN方式全网仅能够4096个专线业务,无法实现大规模专线用户的接入。

MPLS-VPN能够在逻辑上将客户的数据和路由相互分离,在每个分校区之间通过服务提供商主干相互连接。用户边缘接入层(CE)是单个站点用户业务的转发汇聚点,CE 可直接通过MPLS-VPN城域网的各边缘PE实现灵活接入;CE和PE之间采用千兆光纤链路互联,且使用双链路备份机制,实现业务的可靠转发.考虑到成本因素,一般每个校区配置1台CE设备直接接入到运营商PE,同时单台CE设备能够支撑5000以上的并发用户。该方案具有投资小、建设周期短、接入方式灵活等特点,完全可以满足现有校园网络的业务需求。具体架构如下:

①在运营商城域网内配置多台PE路由器和1台PE对接路由器。

②在PE路由器上启用MPLS LDP协议,配置MP-BGP协议,使用MP-IBGP与核心P路由器相连,传递各个VPN内部路由信息,使用普通IP技术和CE(原专线核心设备或者直接与用户接入点)相连,传递各接入点信息。

③MPLS-VPN所有的AS自治域内路由采用MP-iBGP的实现方式,AS域间的路由使用EBGP的方式。

④利用现有的运营商城域网,使用MP-IBGP与核心P路由器相连,传递各个VPN内部路由信息,CE通过IGP协议获取用户路由。

⑤主校区、分校区以及联合办学点等CE接入点下用户规模较大,此类接入点选用三层交换机作为CE,CE直接与PE三层互联,实现业务的MPLS转发。用户边缘接入层(CE)是单个site用户业务的转发汇聚点,CE 可直接通过MPLS-VPN城域网的各边缘PE实现灵活接入;CE和PE之间采用千兆光纤链路互联,且使用双链路备份机制,实现业务的可靠转发。

⑥利用现有光线等接入方式,或者根据用户需求实现改造,实现专线需求用户的快速接入。

⑦用户可以自己分配地址,也可以由局方分配,IPv4地址采用A类私有地址,且每个接入用户在同一个VPN内为分配唯一的IP地址,IP地址数量完全能够保证用户的需求。

⑧MPLS PE地址分配。包括Loopback1地址和相互之间的互连地址分配、用户地址分配等;在PE路由器内通过VRF隔离VPN路由与数据,保护VPN的独立安全。RD(路由区分符)规则的确定可以使用AS号(16bit)+自定义号码(32bit)的方式。PE配置包括配置Loopback地址,启动MPLS,配VRF,PE-CE路由;配MBGP,PE-PE路由等等。

⑨作为运营商来侧,PE设备作为用户接入的边缘,余下实现VPN配置,路由转发等功能,其功能和性能要求较高,建议使用高性能的路由器。要求能够支持64K以上的VRF实例,支持十万条以上的整机路由,单个VRF支持不少于32k的路由,支持百万级的MAC和ARP表项。可以实现静态、OSPF、RIPv2、IS-IS和BGP等多种路由协议,支持两台PE的热备份协议,支持子接口功能和以太网、SDH等多种物理接口。

⑩MPLS-VPN所有的AS自治域内路由采用MP-iBGP的实现方式,AS域间的路由使用EBGP的方式。

3 安全设计

通过设置防止对CE设备的信息的探测,保障CE设备的安全运行;CE应该关闭IP TLL、限制VTY 访问、禁止通过VPN 登录到CE 设备、SNMP 配置增加ACL、 防止VPN 用户访问CE,同时关闭不必要的网络端口。

通过MPLS VPN MIB,通过SNMP 收集不同用户接口的流量以及不同QoS 等级的流量。实现NetFlow 方式采集VPN 业务流量,分析网络层(含MPLS 层)至应用层的流量,提取校园用户流量分析报告,从而实现查找和定位网络流量攻击行为,有利于实现VPN 安全。实现利用VRF-Ping、LSP ping 等MPLS VPN 除障工具,快速测试MPLS VPN 连通性。

4 总结

本文从总体上介绍了基于MPLS-VPN的分布式校园网络组网架构以及安全性的考虑,通过设计分布式的校园虚拟网可以极大地提高网络的可用性和安全性,有助于提升校园的信息化水平。

课题项目:乐山职业技术学院科学研究计划资助项目(KY2015008)。

第6篇:网络专线安全范文

关键词:CM-IMS;企业语音专线;接入控制

中图分类号:F49 文献标识码:A 文章编号:1672-3198(2014)15-0161-03

1 背景与意义

CM-IMS是一种全新的多媒体业务实现形式,基于IP分组网承载业务,采用SIP协议,独立于现有的软交换网络并建立连接。面对新的网络架构,原有基于软交换实现的企业语音专线业务接入控制机制已不适用,需要重新确定。

IMS建立在开放的IP协议基础上,使得基于IMS的业务接入安全要求比传统交换网络更高,尤其是应用于重要客户的业务,接入安全问题不容忽视。

为此,有必要研究符合企业客户业务特征需求的业务接入控制策略,以保障企业客户语音业务使用安全,同时指导网络人员有效开展网络施工,从而推动IMS的业务拓展。

2 CM-IMS相关基础简介

2.1 CM-IMS体系结构

CM-IMS是一个端到端的解决方案,涉及接入层、承载层、核心层、业务层、以及终端和支撑系统。

(1)接入层提供用户的接入,接入设备即客户终端,包括PBX、SIP-GW、IAD和AG设备,分别适用于不同的企业场景。

(2)承载层提供接入业务的承载通道,主要包括城域数据网和城域传送网。

(3)核心层负责IMS域会话控制和路由、用户数据管理和认证鉴权,以及与其它网络互通等功能。主要的网元包括SBC、P/I/S-CSCF、HSS/SLF、ENUM/DNS、MGCF、IM-MGW等。

SBC是用户接入IMS的接入点,网络边缘安全设备,承载信令面和媒体面。

CSCF是负责呼叫接续的实体,IMS中有三种类型的CSCF:

P-CSCF(Proxy CSCF):接入IMS系统。

S-CSCF(Serving CSCF):注册,呼叫控制,业务触发。

I-CSCF(Interrogating CSCF):选择S-CSCF与其他IMS网络的路由。

HSS保存所有IMS用户数据和业务数据。

MGCF和IM-MGW用于IMS系统与CS域(GSM,R4,PSTN)网络的互联互通。

ENUM/DNS将E.164号码转化为域名、域名解析,供CSCF查询,用于路由查询。

(4)业务层为用户提供业务应用服务,即业务平台AS,比如统一Centrex业务应用、MMTEL多媒体电话业务应用等。

2.2 IMS相关协议简介

IMS业务实现需的关键协议包括:SIP、SDP、Diameter等。

SIP(会话初始协议)是一个在IP网络上进行多媒体通信的应用层控制协议,用于在参与者之间建立、改变和终止多媒体会话,是IETF的RFC 3261。SIP协议具有简单、开放、容易配置、与IP协议兼容的特点。SIP与HTTP相似,是一种基于文本的协议,使得开发人员很容易编写各种应用。

SIP消息是SIP协议中的逻辑实体即客户端和服务器之间通信的基本信息单元,SIP协议消息分请求和响应两类,SIP消息统一格式如下:

SIP message = SIP消息起始行

*SIP消息头域(可包含多个)

CRLF

[SIP消息体](可选项)

SIP消息起始行包括:用于请求消息的请求行、用于响应消息的状态行。

SIP消息头域(简称为SIP头)是SIP消息的重要组成部分,用于会话路由、标识会话、传递会话控制信息等功能。

SIP消息体是SIP消息的净荷部分,可以携带不同协议的消息体用于完成不同的功能,例如:SIP携带SDP,用于媒体协商。

SDP协议,用于媒体描述。

RTP协议,用于实时媒体传输。

H.248协议(主要功能与IETF MEGACO协议类似),用于媒体网关控制。

Diameter协议,用于与HSS等数据库的AAA安全交互。

CM-IMS采用SIP协议作为核心控制协议,在CM-IMS核心网中,呼叫控制全部使用SIP协议,同时SIP协议与SDP协议、Diameter协议、ENUM/DNS查询协议等相互配合完成多媒体业务提供过程中的信息传递、网元控制等功能。

3 企业语音专线业务接入现状与需求

3.1 传统普通语音专线业务接入控制机制

传统的企业语音专线基于软交换网络进行组网,同样涉及接入层、承载层、汇聚层、核心层、业务层,其组网存在以下特点:

(1)核心层由软交换网络组成,下行主要提供E1端口,业务接入方式以E1接入为主。

(2)为了缓解核心网接口容量紧张问题,部分地为企业客户业务专项建设了TDM PBX、IP PBX、IP前置机等设备,称为汇聚设备,所以存在汇聚层。下行扩充接口数量的同时,扩展接口协议类型为:NO7、PRI,以及少量的FE接口。

(3)传统企业普通语音专线业务,传输依然主要采用时分复用(TDM)的专线,用户之间采用面向连接的通道进行通信,可以避免来自其他终端用户的各种窃听和攻击。

(4)传统企业普通语音专线业务接入安全,通过在核心交换网元或汇聚交换网元预先人工配置主叫号码进行鉴权控制,可以避免企业客户的业务被盗用。

3.2 IMS企业语音业务接入方式需求

根据CM-IMS体系架构,可以知道IMS业务接入存在以下两种类型:

lIP接入:由SBC提供语音接入能力。

主要的接入方案组合是:IAD/AG/SIPGW/IP PBX+GPON/PTN/SDH(传送驻地网)+MAN(数据城域网)+SBC。

lE1接入:由IM-MGW提供语音接入能力。

主要的接入方案组合是:TDM PBX /IP PBX+PTN/SDH+IM-MGW。

根据IMS特点,基于CM-IMS企业语音业务接入控制存在以下待解决的问题:

(1)IMS业务采用基于IP的SIP协议和开放的网络架构,通过采用多种不同的接入方式可以共享业务平台,如何限制未经授权地客户访问业务?

(2)IP接入方式下的IMS业务基于分组网承载,属于固定类的语音专线业务的接入变得不可控,是否通过同一个用户名和密码可同时使用多个企业的专线业务?如何限制企业用户的游牧行为?

(3)IP接入方式下的IMS业务基于分组网承载,直接与互联网相联,如何控制语音业务不受因特网干扰?

4 CM-IMS企业语音业务接入控制机制分析及策略

4.1 IMS多种鉴权机制分析

在IMS网络中,为用户进行正常的业务触发和被叫路由都需要用户进行IMS网络注册。

UE完成IMS网络注册后,需要定期进行重注册以维持其在网络中的注册状态。当用户下线时,UE需要完成IMS注销流程。

在IMS网络注册过程中,接入层设备UE(如IAD)接入访问地的P-CSCF网络,提交基于SIP协议的注册请求消息,I-CSCF通过与HSS交互基于DIAMETER协议的UAR/UAA(用户鉴权请求/应答)消息确定UE归属的S-CSCF名称,S-CSCF通过与HSS交互基于DIAMETER协议的MAR/MAA(媒体鉴权请求/应答)获取UE和网络间认证所需要的数据,S-CSCF返回401响应给UE,UE根据401响应重新发送注册请求消息给S-CSCF,鉴权成功后S-CSCF通过SAR/SAA(服务指派请求/响应)从HSS下载用户签约数据并存储用户地址,并向UE返回鉴权成功响应。

在IMS网络注册完成后,S-CSCF会用户向AS进行第三方注册。

CM-IMS规定了4种常用的鉴权算法:

(1)lIMS AKA鉴权方式

UE的注册参数存储在USIM、ISIM中,用户使用带SIM卡的终端接入IMS网络时进行认证的一种机制。

(2)lHTTP Digest鉴权方式。

UE的注册参数存储在软终端、硬终端中,用户使用SIP终端接入IMS 网络时进行认证的一种机制。

(3)l与NASS绑定的鉴权方式。

是早期NGN网络体系中是固网用户接入IMS 网络时进行认证的一种机制,一般通过wlan接入的场景下使用。

(4)l与GPRS绑定的鉴权方式。

是终端通过GPRS网络接入IMS时进行的一种认证机制。

企业语音专线业务在接入层使用硬件SIP终端进行接入,应当使用HTTP Digest鉴权方式。

HTTP摘要认证是一种基于挑战-响应结构的安全机制。当服务器收到UE注册请求消息时,就会向请求的UE发送挑战,UE提供认证信息以实现服务器对其身份的验证。挑战包含此次生成的临时值nonce,请求者和服务器共用同一密码,请求者将用户名、密码、nonce值、HTTP方法以及被请求的URI经过MD5(hash算法)运算后,得到一个响应值。请求者再次发送包含运算所得响应值的注册请求,服务器就通过比较自己计算与UE计算的两个响应值进行认证。采用这种机制,使得密码不采用明文形式在网络上发送,提高安全性。

4.2 业务层控制策略:接入地绑定

CM-IMS信令会话业务皆通过IP承载,IP接入模式的客户终端将被分配一个固定IP地址用于与IMS网络通信,虽然通过HTTP Digest鉴权机制提高了业务接入的安全性,但鉴权只是针对用户名与密码进行认证。

在实际业务提供过程中,可能存在两种情况:一是用户使用自己的用户名称与密码在其他客户终端上接入IMS网络使用业务,属于游牧行为;二是用户名称与密码被他人窃取后,他人私下安装另一台客户设备接入IMS网络,属于盗打行为。这两种情况损害了运营商或用户的利益,有必要建立一种对客户终端设备归属IP地址进行验证的机制。

经过研究SIP协议,在REGISTER请求消息的消息头中有一个字段:P-Access-Network-Info用于携带用户接入地信息,其中包含UE归属的IP地址信息。在IMS的HSS配置指定IMPU用户的归属IP地址段。这样可在注册请求会话中,HSS根据UE在注册请求中提交的与自己记录的IP地址进行校验,校验一致允许业务接入,否则拒绝业务接入,从而解决被盗打的问题。

4.3 承载层控制策略:业务隔离

在业务初次测试过程中发现,基于IP接入模式的企业语音业务,客户端设备配置公网IP后,实现语音业务的同时,也可以访问internet。这是因为CM-IMS业务接入由数据城域网承载,城域网的路由与internet直接连接引起。

经过相关研究,鉴于VPN下可实现数据安全、地址隔离,考虑公网IPv4地址紧缺,考虑我省多采用MPLS VPN等因素,提出为接入IMS的企业语音业务在数据分组网上建立基于私网IP地址的MPLS VPN的解决策略。

数据网部署原则是:

为方便管理,每个本地网各部署一个VPN;城域网SR作为PE,在SR子接口上绑定VPN,在企业侧的SR子接口对应语音业务终端,在SBC侧的SR子接口对应SBC;城域网全网部署Mpls vpn、Mpls ldp;SBC需要重新规划私网IP,对城域网侧需要把该私网IP绑定子接口;另外SBC位于IP承载网内,与SR之间经过上联2个CE、2个FW,通过选择某条物理链路,启用子接口承载此业务,2个SR、2个CE、2个FW之间的子接口启用OSPF,CE把指向SBC的静态地址引入OSPF,通过OSPF传到SR。

5 应用实例

5.1 环境搭建

l组网选择

IMS接入模式:IP

语音接入组网方案:IAD+GPON+MAN+SBC(最典型)

测试号码:66221234

SBC地址:10.186.15.49

lIP城域网配置的数据:

客户IP:10.210.22.206 掩码:255.255.255.0

网关IP:10.210.22.1/24

SVLAN:1004;CVLAN:100

VPN名称 20000200

VPN RD 65000:50005000

lHSS配置

通过配置界面,在指定的IMPU下,设置归属的IP地址为10.210.22.206/24;

配置指定的IMPU的密码。

l客户端IAD配置:

用城域网分配的客户IP、网关IP,配置IAD的IP设置;

配置SIP服务器:

填写用户域名为;

服务器IP为SBC的IP、端口为5060、失效时间为3600秒。

配置用户号码:

用户ID IMPU:+862066221234

用户名 IMPI:

密码:用于鉴权的密码。

5.2 信令跟踪结果

在SBC上跟踪SIP信令,获取了注册过程与接入控制相关的信令消息,下面列出关键消息头的内容:

(1)注册消息的消息头。

这样就可以将UE注册使用的IP地址送HSS验证。

5.3 应用成果

(1)正常配置情况下:

①IAD向IMS注册成功。

②用户能正常打电话,通过IAD无法访问INTENET。

(2)调整IAD配置的密码。

①IAD向IMS注册失败。

(3)调整HSS配置的该用户归属IP地址情况下:

①IAD向IMS注册失败。

参考文献

[1]中国移动CM-IMS(SIP)技术规范_第1部分:SIP的总体要求[C].中国移动通信有限公司研究院,中国移动通信有限公司.

第7篇:网络专线安全范文

关键词:小型远程办公网络;模块设计;网络实施;防火墙

中图分类号:TP368 文献标识码:A文章编号:1007-9599 (2011) 10-0000-02

The Design and Implementation of Small Remote Office Network

Long Yi

(Beijing WanShengYun Modern Scientific Technology Institute,Beijing100088,China)

Abstract:This article demonstrates two design proposals for small remote office network’s communication and integration,as well as analysis between the two proposals.These solutions effectively utilize network technologies to increase communication efficiency and decrease operating cost,also provide protection against security concerns.Yuxiang Technology LLC was used as the sample in this article.

Keywords:Remote office network;Modular design;Network implementation;Firewall

随着互联网的普及,各个行业的管理和经营模式的发展日新月异。通过设置的专用网络通讯设施进行通讯,不论是公司内部职员之间的联系还是与客户的合作洽谈都能灵活方便的进行。在众多的关注因素中,网络的安全性最为突出,其次,网络的性能、可扩展性、可管理性等也受到一定程度的重视。

小型远程办公网络既能保障公司内部数据传输的安全性,又可以节约成本,可谓一举多得的好方法,但针对不同的公司规模、投入资金等硬性要求,就要采取略有不同的设计方案。影响组建网络的因素大致分为外部因素和内部因素,其中,外部因素主要是资金问题,包括硬件设备购置、线路租用和管理等费用,其次是网络的性能;内部因素包括人员及资源分配和设备应用,例如:验证授权,共享文件,邮件,VPN服务等。

本文利用宇翔科技公司远程办公网络设计作为实际案例,针对外部和内部因素,对公司员工数在100人内的小型公司的远程办公网络设计,开发了两种网络设计方案,并加以比较分析。

一、需求分析

宇翔科技有限公司总部坐落于国贸科技大厦,其客户服务支持部门设立于和平里,总部有员工75人,远程客户服务支持部门有员工20人。此次网络设计主要是实现两地办公室之间的通讯,并保证资源共享以及资源内部安全,同时总部需要提供VPN服务以便员工远程登录公司内部网络完成工作。

二、网络模块设计

针对于两个办公地点,构建一个10/100M的交换以太网就能够完全满足应用需求。在接入线路方面,小型办公网络环境对于流量的需求,一般是获取信息或收发电子邮件等流量,使用ADSL接入方式比较节约成本。在小型办公网络环境中,对可管理性和安全性因素的考虑也必不可少。

综合分析公司的组织结构,决定设计以下两种网络模块:

(一)总部互联网模块

总部互联网模块拥有与互联网的连接,同时也端接VPN与公共服务(包括DNS,HTTP,FTP,SMTP)信息流。互联网模块不仅为内部用户提供了与互联网的连接,而且允许用户通过互联网访问公共服务器上的信息,同时还为远程工作人员提供了VPN访问能力。互联网模块涉及的关键设备有:SMTP服务器、DNS服务器、FTP/HTTP服务器、防火墙或防火墙路由器。

(二)远程办公室网络模块

远程办公室网络模块包含远程办公室最终用户工作站、分支验证服务器、管理服务器和支持这些设备所需的相关第2层基础设施。目前可以选用已经集成这些第2层交换功能的交换机来降低成本。

下面对两种模块的实现方法进行几点解释。

首先,无论选用哪种设备,都要考虑一些VPN的因素。在互联网模块中,一般使用带有防火墙和VPN功能的路由器。它使小型网络变的更加灵活。在目前的环境中,大多数有线和DSL路由器和调制解调器都是由电信服务供应商提供的,可用于连接以太网防火墙。如果设备要求WAN连接(如电信供应商的DSL电路),那么,就必须使用路由器,此时使用专用防火墙不具备轻松配置安全性和VPN服务的优势。路由器倾向于允许信息流通过,防火墙的缺省设置则倾向于阻止信息通过。

此外,从过滤的角度讲,除了将公共服务区域的信息流限定到相关地址和端口外,在相反的方向上也在进行过滤。如果某个攻击涉及到一个公共服务器(通过规避防火墙和基于主机的IDS),那么这个服务器应该不会再进一步攻击网络。为了缓解这种攻击,具体的过滤将防止公共服务器向其他任何地点发出任何未授权请求。此外,DMI上的专用VLAN可以防止一个被破坏的公共服务器攻击同一区域的其他服务器。这种信息流甚至不能被防火墙发现,由此可以证明专用VLAN的重要性。在邮件服务方面,防火墙在第7层过滤SMTP信息,以便只允许必要的命令到达邮件服务器。防火墙与路由器的安全功能中通常包括一些有限的NIDS功能。这种功能会影响设备的性能,但是在遭受到了攻击的情况下却能提供一些关于攻击的信息。这之间存在着一些平衡,牺牲了一些性能来换取信息的透明度。如果不使用IDS,许多攻击将被放弃,但监控站不会知道发生了什么具体攻击。VPN连通性是通过防火墙或防火墙/路由器实现的。远程地点用预共享的密钥进行彼此验证,远程用户则通过远程办公室模块中的访问控制服务器得到验证。考虑到宇翔科技公司的规模和资源分配,倾向于选择集成防火墙功能的路由器方案。

远程办公室模块的主要功能是交换生产和管理信息流,并为公司管理服务器和用户提供连接,可以选用集成所需第2层交换功能的交换机。在交换机内部实施VLAN,以减少设备间的信任关系利用攻击,但这样远程办公室模块中就没有第3层服务,由于内部网络的开放性,这种设计应该注重应用和主机的安全性。所以,远程办公室的系统中建议安装杀毒软件和监测网络系统。

三、方案设计

根据以上的模块化设计,拟定两种方案如下:

方案一:总部办公室和远程办公室全部使用互联网模块,办公室之间用低速DDN专线连接,在两间办公室设立分别的动态目录管理,即不同的域,但是都归属于同一个森林,两间办公室都存在自己的DNS解析,并且设定对方的DNS来解析来自对方网络的需求。

方案二:总部办公室使用互联网模块,连接到ISP提供的网络服务,而远程办公室只使用远程办公室模块,所有验证都通过总部服务器进行。但是为了保证远程办公室的员工使用互联网资源,两间办公室之间必须用高速T1专线连接,以保障带宽和响应速度。在该方案中,若当所有的远程办公室的员工同时试图登陆到域中时,专线就容易产生拥塞甚至超时。为了解决同时间内大量的请求使得专线负担过重的问题,在远程办公室模块中加入AD缓存,定期以小流量与总部办公室的动态目录进行同步,这样就能对专线拥塞起到一定的缓解作用。

四、性能分析

对比两种设计方案,在方案一中,两间办公室分别有自己的互联网介入,这无疑提高了员工访问外部网的速度,然而在两个网段之间互访的过程中,低速的DDN专线经常造成超时,或者资源不能定位。这种不利因素影响了集成两间办公室之间的业务联系和资源整合。另外考虑到费用因素,方案一无疑增加了租用线路的费用,而且硬件成本也相应增加。两间办公室都需要完整的公共服务支持,如DNS,HTTP,VPN等。

表1.方案一和方案二优缺点比较

优点 缺点

方案一  每间办公室都有自己的互联网访问,速度有保障

 VPN连接到远程办公室比较稳定  租用线路和购买硬件费用高

 DNS更新容易拥堵低速专线

 同步2个动态目录

 需要多个备份/监测系统

方案二  总成本低

 办公室之间资源共享以及分配管理统一

 统一的VPN接入管理  远程办公室访问外部网速度低

 登录高峰容易出现拥堵

在方案二中,远程办公室只使用了远程办公室模块,基本上完成第2层交换,所有的登录验证和互联网访问都会通过T1专线达到总部办公室,这样节约了在远程办公室设置第2套互联网访问设备的费用,并且基本上解决了公司内部资源共享问题。根据上面提到,为了能够避免在网络高峰期造成拥塞,本地的AD缓存可以帮助远程办公室的员工登录进入域,并且定期更新资源分配。相应的网络监测软件可以协助确定网络的繁忙期,这样利用空闲事情完成AD更新和DNS更新。如上表1列举了两种方案的优缺点。

根据两种方案的优缺点比较,最终确定了第二种设计方案更合适,使用高速专线连接远程办公室到总部办公室,两间办公室共享互联网模块来访问外部网。为了能有效地利用专线,在远程办公室设计AD缓存,能够在网络的非繁忙期进行同步。

五、结论

通过分析宇翔科技有限公司的资源以及网络分布状况,进而对小型远程办公网络的架构给出了两种设计方案,并在文中进行了分析探讨。通过这次的方案选择,深入地了解了一般小型公司的网络设计技巧和性能分析,以及如何利用路由器和第2层交换机进行网络信息交换。同时,对于DNS,HTTP,VPN等领域有了新的认识,并且应用于实践中。对于中小型公司远程访问的安全考虑方面也进行了一些研究,利用网络技术中的过滤功能等来预防潜在的攻击以及隐患。

参考文献:

[1]常新杰.第三层VPN技术方案比较[J].技术研究,2003,9:21-23

[2]张永.利用ADSL组建基于VLAN远程办公网络的组网方案研究[D].济南:山东大学,2005,10

第8篇:网络专线安全范文

国家电子政务外网(以下简称政务外网)是按照中办发〔2002〕17号文件和〔2006〕18号文件要求全面推进的我国电子政务重要基础设施建设工程,是实现与互联网安全逻辑隔离,满足各级政务部门经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。目前,全国统一的政务外网平台初步建成,横向连接了118个中央单位和14.4万个地方单位,纵向基本覆盖了中央、省、地、县四级,承载了47个全国性业务系统和5000余项地方业务系统,接入终端超过180万台。通过共建共享,政务外网取得显著的经济社会效益,为实现跨部门、跨层级信息共享和业务协同发挥着重要支撑和促进作用。

二、政务外网总体架构

政务外网由覆盖中央、省、地、县的广域骨干网、各级城域网和部门接入网构成,总体呈树状结构。政务外网逻辑上可以分为物理网络层和业务网络层两个功能平面。其中,物理网络层是基于运营商传输网建设的统一IP网络平台,中央-省-地-县广域链路主要采用SDH及MSTP专线,各级政务部门城域接入多为MSTP与裸光纤;业务网络层是基于物理网络平台通过MPLSVPN技术构建的逻辑网络环境,分为公用网络区、专用网络区和互联网接入区三个功能域,相互之间安全隔离,分别为政务部门之间互联互通、特定需求业务应用以及面向互联网公共服务业务的部署提供虚拟专用通道。

三、无线组网需求旺盛

随着电子政务向集约整合方向发展,政务外网的综合性平台效益不断增强,网络范围已从规划的四级覆盖开始向乡镇基层延伸,接入单位由政务部门为主加快向企事业单位和公共机构拓展,承载业务属性也从面向政务效能提升向更为注重有效支撑国家治理现代化演进,由此也涌现出多元化网络服务需求。•网络拓展:布线困难边远地区或大量分散机构接入•快速接入:需要快速响应的突发业务及临时性业务•线路备份:重点业务线路备份或专线中断应急保障•移动办公:办公地点不固定或出差人员的终端接入鉴此,以运营商专线为主的政务外网建设模式面临创新挑战。移动通信技术的迅猛发展恰为有效满足上述需求并进一步强化政务外网公共基础设施作用提供了坚实保障,基于3G/4G的无线接入模式以其部署便捷、安全稳定、计费灵活等优势,逐渐成为专线之外政务外网重要的组网方式。

四、无线接入平台建设

政务外网规划设计了安全接入体系,满足相关机构和人员利用互联网、移动通信网接入政务外网的需求。其中,无线接入平台是利用3G/4G、无线VPDN等基础网络,面向不具备有线接入条件的政务部门、企事业单位、公共机构和移动办公人员,提供安全接入政务外网网络或业务的服务平台。

1.建设原则分级建设:无线接入平台由中央、省、地分三级建设,国家电子政务外网管理中心负责制定规范,各级政务外网单位负责建设、管理和维护。属地接入:通过公众网络访问政务外网的各类用户和终端,应通过本级无线接入平台接入政务外网。等保合规:无线接入平台作为政务外网的组成部分,应按照同级政务外网信息安全等级保护要求进行建设和整改。统一选型:国家电子政务外网管理中心定期组织无线接入平台相关设备技术测试与产品选型,各级政务外网单位应按照目录进行产品选型和部署。

2.平台架构服务网关:采用负载均衡技术分别实现IPSecVPN、SSLVPN及L2TP(主要用于无线VPDN接入)等网关集群,为用户提供安全接入服务。统一认证:采用RADIUS、LDAP等认证协议实现基于数字证书的身份认证、权限管理和安全审计。安全防护:综合网络访问控制、入侵检测与防御、防病毒等安全措施实现基础安全防护。平台接口:为接入用户提供链路和服务接口,以及实现与政务外网MPLSVPN逻辑分区和业务的对接。

3.安全接入IPSecVPN:主要用于非专线接入政务外网的单位,采用网关对网关模式组网以及远程终端接入开展数据上报、视频会议等非Web方式访问的业务。专线接入单位发生线路故障时,也可采用网关对网关方式进行应急保障。SSLVPN:主要用于接入终端以Web方式接入政务外网,实现业务系统访问、远程桌面管理、移动办公等。无线VPDN:既可用于网关对网关组网,也适用于终端接入。

五、无线组网模式

1.3G/4G互联网接入部门无线接入网关装配用于访问互联网的SIM卡,配置公用APN参数(包括接入点名称、用户名、密码等),通过3G/4G网络连接互联网后登录政务外网无线接入平台并发起申请,由本级政务外网运维单位审核通过后下发配置信息和设备证书。接入网关向无线接入平台IPSecVPN服务网关发起连接请求,认证成功后建立安全隧道,进而将部门局域网接入政务外网。该模式亦适用于移动接入场景。移动办公人员经本级政务外网运维单位审核后获取客户端软件、用户证书、统一业务入口等接入必需资源,由客户端软件向无线接入平台发起连接请求,认证成功后可安全访问政务外网业务。移动接入场景中使用SSLVPN的原理与之类似,不再赘述。

2.无线VPDN接入部门无线网关装配用于接入政务外网的专用SIM卡,配置指定的APN参数(项目同前),通过3G/4G网络拨入运营商核心网(图中LAC设备负责接入认证),并经由VPDN专线连接政务外网无线接入平台(图中LNS设备负责二次认证并为接入用户分配政务外网IP地址),其中运营商所属LAC设备与政务外网LNS设备之间建立L2TP隧道,进而将部门局域网接入政务外网。为进一步保障数据安全,可在接入网关与服务网关之间创建IPSecVPN。

3.两种模式比较互联网接入模式简便性更高。互联网接入模式采用普通3G/4G上网卡即可,而无线VPDN模式需定制SIM卡并配置专用APN参数,同时还需租用VPDN专线,因此加大了管理复杂性与建设成本。无线VPDN模式安全性更好。通过APN筛查、接入认证、L2TP隧道保护等措施,无线VPDN模式构建形成了安全性近似专线的虚拟专用通道,保障接入用户与互联网及运营商其他业务有效隔离。

六、关键技术实现

无线组网关键问题在于确保安全接入基础上,实现接入部门局域网与政务外网基于MPLSVPN技术划分的安全域有效对接,从而保证业务流量端到端隔离。下面仅从IPSecVPN与MPLSVPN对接多种技术方案中选取一例加以说明。在无线接入平台IPSecVPN网关上配置多个地址池,可根据用户身份分配相应地址范围。IPSecVPN网关与MPLSVPN相连网口配置若干子接口,每个子接口与PE设备的子接口一一对应且属于同一VLAN,每个子接口的IP地址不在相同网段。在IPSecVPN网关上针对不同源IP地址和目的IP地址配置相应的策略路由。外部加密数据到达IPSecVPN网关经解密后,根据源、目的地址匹配策略路由并通过某一子接口发送给PE设备,而后PE根据接收子接口将数据封装到对应的VRF中。上述过程将在IPSecVPN网关建立状态表。从PE设备发送到IPSecVPN网关的数据会根据已建立的状态表及目的地址,送入相应的隧道加密后发往对端设备。

第9篇:网络专线安全范文

从3月1日起,阳光政府四项制度在全省县级以上行政机关实施。为及时传达贯彻全省政务信息查询工作业务培训会议和《*市人民政府办公室转发省政府办公厅关于做好政务信息查询准备工作文件的通知》等文件精神及全省政务信息查询工作业务培训会议要求,全省县级以上行政机关政务信息查询制度的推行由各级信息化主管部门负责。我市政务信息查询的指导、协调、技术支持和保障工作由市信息产业办负责。经市政府同意,由市信息产业办分别组织各县区政府和市直各部门进行政务信息查询工作业务培训。

这次培训会的主要任务是:学习传达全省政务信息查询工作业务培训会议精神,安排部署我市政务信息查询制度的推行工作,举行我市政务信息网络查询和96128政务专线信息查询业务培训。

一、全省政务信息查询工作会议的主要精神

全省政务信息查询工作培训会议于2009年3月6日在昆明召开。会议的议题是:贯彻落实《*省人民政府关于在全省县级以上行政机关推行重大决策听证重要事项公示重点工作通报政务信息查询四项制度的决定》、《*省人民政府办公厅关于印发重大决策听证重要事项公示重点工作通报政务信息查询四项制度实施办法的通知》、《*省人民政府办公厅关于做好政务信息查询准备工作的通知》等文件和全省县级以上行政机关实施阳光政府四项制度动员部署电视电话会议精神,安排部署全省政务信息查询准备工作。会议由省工业和信息化委员会巡视员吴洪同志作动员讲话,由省工业和信息化委员会副巡视员段宏同志主持。各州市政府信息公开主管部门(政务信息查询主管部门)负责人、政务服务中心(便民服务中心)负责人、网管中心负责人和技术培训教师参加了会议。会上,学习传达了推行政务信息查询制度的有关政策和文件,对建设政务信息网络查询系统和设立96128政务信息查询专线电话进行了业务培训。

会议要求,全省县级以上行政机关必须加强领导,尽快健全机制,明确责任,制定方案,落实经费,确定人员,搞好培训,扎实推进政务信息查询的各项工作。

(一)设立96128政务信息查询专线电话

会议要求,各州市人民政府按照“统一规划、统一号码、统一平台和分级负责”的原则,设立96128政务信息电话专线,并负责转接或者解答政务信息查询电话(全省开通16条专线)。电话查询专线要求2009年4月1日起在省级部门和昆明市、大理州开通试运行;其他州市要求6月30日前推广至县级以上行政机关(乡级政府是否推行,由各县区政府决定)。具体做法是:

1.设立服务电话

会议要求,县级以上各级行政机关和法律法规授权组织、委托执法单位设立服务电话,指定熟悉本部门工作业务的信息联络员,在法定工作时间内负责解答96128话务员转接的涉及本部门工作职能的公众查询事项;对不能解答的问题,信息联络员应当认真记录并按照限时办结制要求,向查询人进行反馈。

2.重视电话专线联络员队伍的建设工作

会议要求,各级政府职能部门要高度重视抓好电话专线联络员队伍的建设和培训工作。96128电话专线一旦开通,每个职能部门的联络员就承担着为公众提供电话咨询服务的任务,联络员的服务态度、服务水平、对部门工作和相关政策的熟悉程度,不仅会影响政务信息查询制度的执行效果,还关乎政府的形象。要通过集中培训,建设一支政治可靠、业务精湛、作风优良的高素质联络员队伍,确保96128政务信息查询专线的畅通,确保政务信息查询工作让人民群众满意。

3.加强政务服务中心信息化建设

会议要求,各级政府政务服务中心将提供政务信息查询服务作为重要职责,利用服务窗口受理服务事项、提供服务事项办理咨询、结果查询等政务信息查询,并将带普遍性、可以公开的答复信息添加到查询信息库,实现不同查询方式的相互补充和完善。

4.加大其他政务查询设施建设

会议要求,县级以上人民政府要加大对档案馆、图书馆等查阅场所查询设施建设力度,充分发挥档案馆和公共图书馆等政务信息查阅场所的作用,通过完善查询终端、信息公告栏、信息显示屏等设施,提供公众查询各级行政机关公开的政务信息。

(二)建设政务信息网络查询系统

由省工业信息化委依托全省统一的政府信息公开平台,按照“统一规划、统一系统软件、统一数据库”的要求,建设政务信息网络查询系统,并于3月30日前开通运行。具体做法是:

1.建立政务查询信息库,完善政务信息查询机制

会议要求,县级以上人民政府要按照“统一技术标准、分散维护、集中开发利用”的原则建立政务查询信息库。各级行政机关要建立和完善政务信息、更新、交换机制。要按照统一标准和规范整理的要求,在网上公开规范性文件、行政许可事项及办理程序等政务信息,并适时更新。要按照限时办结制要求和网络查询的相关规定,及时回复公众通过网络提交的查询,并将答复信息添加到查询信息库。对公众没有或者难以明确具体部门的电话查询、网络查询,由各级人民政府办公厅(室)统一区分并转交或者分发至相关行政机关进行处理。

2.认真做好公众提问的回复或者解答工作

会议要求,各级行政机关必须确保网络连接的畅通和热线电话在法定工作时间的及时响应,热线回答要求用语规范。

在回复或者解答问题时,按下列五种情况处理:

(1)属于本单位职权、职责范围的提问,能回复或者解答的及时给予回复或者解答;不能及时回复或者解答的,应告知查询人其他查询的方式、程序等信息。

(2)不属于本单位职权、职责范围或无法明确提问正确受理部门的提问,可转发至同级政府办,由本级政府办将问题转至正确受理部门进行受理回复,转发时必须填写“转发理由”,并经审核后方可转发。

(3)需要多个部门联合回复的提问,按照首问责任制,由第一受理部门按照实际情况选择问题所属分类,对问题进行本单位职权、职责范围内的回复,再转交下一相关部门继续进行回复处理。无法明确下一正确受理部门的问题,转交至同级政府办进行分发处理。转发时必须填写“转发理由”,并经审核后方可转发。

(4)办理时限。一般性问题在5个工作日内办结回复,重要复杂问题在10个工作日内回复;情况特殊的,经本单位负责人同意后可延长到20个工作日。投诉的办理时限为15个工作日,情况特殊的,经本单位负责人同意后可延长到30个工作日。

提问涉及多个部门的,其中每个部门办理时限按照上述标准办理;提问经由政府办转发的,每级政府办转发处理时限为5个工作日,具体受理部门办理时限按照上述标准办理。

(5)受理部门回复办理结束后,如果提问人对回复结果不满意,可根据提问时获取的“查询码”对问题回复进行投诉,投诉由监察管理部门受理,根据实际情况,将调查情况、处理意见和办理结果对投诉人进行回复。

3.完善制度,强化监督,营造氛围

会议要求,各级政务信息查询工作主管部门建立政务信息查询、信息采集更新、政务信息查询工作监督管理和绩效评估等管理制度,制定政务信息网络查询和电话查询建设、信息安全保障等方面的技术规范和操作规程。

各级行政机关要把政务信息查询制度的实施情况纳入目标管理和绩效考评的范围,建立网络查询系统的查询、受理、转交等工作流程的信息跟踪、统计制度和政务信息专线电话解答服务评价、通话记录制度;要开设政务信息查询举报投诉电话,受理并及时调查处理群众针对政务信息查询提出的举报投诉。

不能按期回复的,责任单位应及时向监督管理部门说明情况,并公开回复说明。对逾期未办,又未说明情况的,由监察机关进行问责。

监察机关要加强对政务信息查询制度贯彻落实情况的监督检查,对违反省政府实施办法的,依照行政问责办法的有关规定问责,涉及犯罪的,移交司法机关依法追究刑事责任。

会议强调,要认真制定宣传方案,加大宣传报道力度,创新方式,开展形式多样、广泛深入的宣传活动,大力宣传政务信息查询制度。要注重对先进典型的宣传,充分发挥典型的示范激励作用。同时,也要敢于曝光负面典型,发挥好新闻媒体的监督作用,促进工作落实。在开展宣传中,要正确宣传好政务信息网络查询系统和96128政务信息电话专线的作用,准确把握政务信息服务功能,避免公众把96128作为日常事务的查询电话。

二、贯彻落实全省政务信息查询工作会议精神的主要任务

根据全省政务信息查询工作培训会议和有关文件精神,我市推行政务信息查询制度要切实做好以下工作。

(一)提高认识,健全机制,落实责任

推行政务信息查询制度,是贯彻落实《*省人民政府关于在全省县级以上行政机关推行重大决策听证重要事项公示重点工作通报政务信息查询四项制度的决定》、《*省人民政府办公厅关于印发重大决策听证重要事项公示重点工作通报政务信息查询四项制度实施办法的通知》、全省县级以上行政机关实施阳光政府四项制度动员部署电视电话会议精神,加强各级政府自身建设的一项基础性和系统性工作,也是一项政策性和技术性较强的工作。做好这项工作,对于促进各级政府公开政务,对于推进各级政府机关信息化建设,都具有十分重大的现实意义。首先,有利于满足人民群众的需要。通过多种有效方式,提供政务信息查询服务,方便为公众查询政务信息,有利于促进政府信息公开,推进政府信息共享,有助于人民群众通过公开、公平、合法的渠道及时获取政府信息并加以利用,充分发挥政府信息对人民群众生产、生活和经济社会活动的服务作用。其次,有利于从制度上保障人民群众行使民主管理和民主监督的权利,实现人民群众对政府工作的知情权、表达权、参与权和监督权。第三,有利于强化公众对行政权力的监督和制约,有效促进政府自身建设,提升政府的执行力和公信力。

推行政务信息查询制度是政府信息公开工作的深化,根据市政府的实施方案,全市政务信息查询工作在市信息化领导小组、市四项制度联席会议、市政务公开领导小组的领导和指导下进行。工作中,要坚持“统筹规划、便民利民、资源共享、分级负责”的原则。

市政府办公室是全市政务信息查询工作的主管部门;市信息产业办是全市政务信息查询工作的承办部门,负责指导、协调、监督全市政务信息查询工作,提供技术支持和保障;市政府督查室,市监察局、便民服务中心、人事局、保密局、法制办、新闻办等部门通力合作,配合做好相关工作。

各县(区)政府,市、县(区)政府各部门、法律法规授权或由行政机关依法委托行使行政权力的组织,是实施政务信息查询的责任主体,其主要负责人是政务信息查询工作的第一责任人;各县(区)政府办公室,市、县(区)政府部门办公室(综合科、秘书科)是本县(区)、本部门政务信息查询工作的主管部门;各县(区)政府办公室,市、县(区)政府部门的办公室(综合科、秘书科)设立政务信息网络查询管理员。政务信息网络查询管理员同时承担96128政务专线信息联络员的职责。

各县(区)政府、市直各部门要提高认识,从讲政治、讲学习的高度,增强紧迫感、责任感和使命感,采取强有力的措施,加强领导,建立健全工作机制,落实工作责任,制定实施方案,落实工作经费,设立服务电话,明确信息联络员,尽快搞好业务培训,按要求开通政务信息网络查询服务平台和96128政务专线电话,及时组织开展好政务信息查询的各项工作。

(二)准确把握推行政务信息查询制度的基本要求

推行政务信息查询制度,主要目的是及时、高效地满足社会公众对政务信息的多样化的需求。县以上各级行政机关,要通过96128政务信息电话专线、政府网站、政府政务服务中心、档案馆和公共图书馆等场所设立的政府信息公告栏和电子信息屏等设施、信函和来访等方式,为公众查询政务信息提供服务。按照首问责任制和限时办结制的要求,认真办理和解答公众查询事项,努力提高政务信息查询的服务质量。

李江副省长在全省县级以上行政机关实施阳光政府四项制度动员部署电视电话会议上指出:“网站、电话、政务服务中心及档案馆、公共图书馆的相应设施是阳光政府四项制度实施的重要载体和平台,没有完善的平台支撑,四项制度绝不可能落到实处。因此,各级政府,特别是县级政府要把平台建设作为今年上半年的重要任务,切实抓出实效。第一,要高度重视把政府网站建设好、维护好,使之切实发挥公开政府信息、方便公众查询的作用。政府信息公开行政管理部门,要进一步整合分散在各部门的政务信息,建立完善的政务信息数据库,及时更新、充实信息,确保公众全面、准确地获取政务信息;第二,要加快档案馆、公共图书馆、各级政府政务服务中心等场所政务信息公开设施的建设。各级政府要把这些设施的建设、完善列入重要工作日程,建设经费纳入本级财政预算,加大督办力度,力争上半年全面完成相关设施的建设任务;第三,要抓好96128政务信息电话专线的建设。”为我们推行政务信息查询制度指明了方向,我们要以政务信息网络查询系统和96128政务信息电话专线建设为突破口,多管齐下,充分发挥各种平台对政务信息查询的支撑作用,方便公众通过政务信息网络查询系统,查询需要的政务信息。同时,也可以通过96128政务信息电话专线、政务服务中心窗口、图书馆、档案馆等其他查询方式进行查询(政务信息网络查询系统提供接口对接96128政务信息电话专线、政务服务中心窗口、图书馆、档案馆等其他查询方式)。

(三)设立*市96128政务信息查询专线电话

1.指导思想

96128政务信息查询专线建设管理的指导思想是:按照推进阳光政府建设四项制度的要求,以提供更人性、更便捷的服务,方便群众获取政务信息、政府部门了解社情民意为出发点,充分利用呼叫中心专线的资源优势,建设96128政务信息查询专线,为公众提供政务信息查询指引信息,提供政务信息查询转接服务,通过现代信息技术手段推进透明、服务、民主政府建设,实现群众、政府多渠道双向互动信息传递,方便群众办事,服务群众生产生活,实现政府信息服务的新突破。

2.总体要求

——统筹规划。按统一技术平台、统一信息规范、统一服务标准统筹规划政务信息查询专线建设。

——首问责任。各部门联络员为首问责任人,在法定工作时间内负责接听96128专线转接的电话,热情、全面、准确地答复群众的问询。

——分级负责。市政府办负责全市96128政务信息查询专线建设管理工作,对呼叫中心话务接通率和转接质量进行监督考核。市信息产业办、市电信公司负责话务员培训、管理工作。市、县(区)政府办对本级部门服务电话响应性和答复满意率进行监督检查。所有查询立足于本级解决。

3.建设目标

全市设立统一的96128政务信息电话专线,各级各部门分别设96128政务信息电话查询联络员,逐步实现全市各级各部门政务信息电话查询服务,使群众能方便、及时获取政务信息;倾听民意关注民生,及时掌握群众关心关注的难点和重点问题;提高政府信息公开质量,提升政府的服务水平和服务效率。

6月30日前开通96128政务信息查询专线,实现全市各级各部门电话查询专线的连接。

4.建设内容

由市信息产业办牵头,会同市电信公司建设全市政务信息查询中心,通过查询专线,由查询中心话务人员提供指引信息,面向公众提供相关政务职能部门转接查询,由各部门联络员承接信息服务。

5.设备及运行环境建设

(1)呼叫中心:市信息产业办组织市电信公司建设具体针对各县区、各部门提供集中受理能力的呼叫中心,配备(由电信公司确定)名话务员,对话务员开展专业的业务培训,向公众提供法定工作时间内的政务信息查询指引及转接服务。

五位短号96128作为全市政务信息查询专线统一接入号码,也是政务信息查询专线投诉服务的统一接入号码。

(2)硬件设备:市电信公司按照实际需求提供数据库服务器、web应用服务器、磁盘存储整列、交换机等硬件设备;每个话务座席配置1台以上的pc计算机,并通过96128政务信息查询系统向公众提供指引及转接服务。

(3)软件系统:96128政务信息查询系统以政府信息公开数据库提供的数据为基础查询信息,以faq数据库收集的数据为核心增量信息建立查询数据库。查询系统具备基础政务信息查询、电话转接、语音记录、数据统计等功能。

(4)安全系统:为确保查询专线畅通安全有效,查询系统充分考虑呼入承载力和数据库安全,并采取配置路由器、安装硬件防火墙、防病毒网关等安全措施。

6.职责分工

(1)市政府办为96128政务信息查询的主管部门。市信息产业办为业务承办单位,具体负责96128政务信息查询专线建设管理的组织、指导、推进、协调工作;会同监察人事部门对政务信息查询工作进行监督检查、考评评议;对市电信公司提供的服务进行监督考核,对服务质量进行评估。

(2)各级政府办负责本级查询专线建设管理工作。明确工作机构负责人和专职工作人员,加强培训,做好96128政务信息查询专线的询问答复工作。

(3)法律法规授权的组织或委托执法单位的政务信息查询工作由其行政主管部门指导、管理和监督。

(4)各级监察机关对本级行政机关开展政务信息电话查询工作情况实施监察,并及时调查处理群众针对政务信息电话查询提出的举报投诉。

(5)96128政务信息查询专线将跟踪、记录、统计专线查询的受理、转交和答复,设立投诉通道,建设语音信箱和答复满意度评价系统,定期上报各项统计报表。

7.建设及运行管理要求

(1)规范服务流程和制度。按照统一规范的要求,做好96128政务信息查询专线服务流程设计和管理制度完善。

(2)落实服务质量管理责任。加强事前、事中、事后的服务管控,及时妥善地解决各类服务问题,促进服务流程各环节的畅通。

(3)确保各部门服务电话法定工作时间的及时响应。热线回答要热情,无法通过电话直接回答的问题,应告知查询人其他有关的公开方式、程序等信息,提高查询信息的回复率和回复质量。

(4)合理处理查询信息的转交。96128政务信息查询专线根据查询内容转接至相关部门联络员;专线话务人员无法明确转接部门的查询信息,由市、县(区)政府办统一区分并转交或分发到相应行政机关进行处理。

(5)加强监察考核体系建设。将跟踪、记录、统计查询受理、转交和答复等政务信息处理过程,设立投诉通道,建设语音信箱和答复满意度评价系统。

8.保障措施

(1)组织机构和人员保障。各级政府办负责落实查询专线负责人,切实组织协调好本地区96128政务信息查询专线建设管理工作以及后续建设、运行及管理的组织协调工作;各部门及时明确信息联络员和服务电话。

(2)管理制度保障。要积极建设完善各县(区)、各部门政务信息电话查询工作和管理制度。抓紧制定政务信息电话查询管理办法,建立内部考核机制;制定政务信息电话查询工作办法、服务保障工作规程、标准和制度。

(3)培训保障。落实首问责任制,加强话务员和各县(区)、各部门联络员服务培训,提高政务解答能力,切实保障工作规范、有效运转。