重庆信息港建设中邮政信息系统与其他系统的互连互通
重庆邮电学院 陈 波 王 劲 王 平
信息技术是当代最具潜力的新的生产力,信息资源是国民经济和社会发展的战略资源,信息化水平已成为国家现代化水平和综合国力的重要标志。为了面对21世纪信息产业的挑战,抓紧西部大开发带来的机遇,全面推动国民经济与社会信息化的进程,重庆信息港的建设被列为重庆信息化的首要工程。在此背景下建设重庆邮政信息系统,就是要充分发挥邮政“三流合一”的综合优势,开创信息时代邮政发展新模式,加快邮政的现代化建设。
一、邮政信息系统概述
l.邮政信息系统总体框架
重庆信息港中邮政信息系统建设的总目标是,利用邮政自身的网络(物流网、信息网和金融网)优势,在充分发挥邮政运输递送网络点多面广、连接千家万户的特点,建立一个立足重庆、连接东西、辐射西部的第三方物流配送体系,解决电子商务问题的同时,通过邮政内外资源的整合,建成重庆电子商务综合服务支持平台。 重庆信息港中邮政信息系统的基本框架包括:接入平台、基础网络、安全认证体系、支付体系、业务平台和业务应用系统、物品递送和信息调度系统,以及相应的法律、法规、标准和规范等。如图1中所示。
2.邮政信息系统在重庆信息港的位置和作用
邮政信息系统是重庆信息港主要的应用信息系统之一,涉及到重庆信息港中的金融、商业贸易服务和公众服务三个应用信息系统,并负担物流信息系统的建设工作;同时还是重庆信息港中信息资源的重要来源,提供商业金融类信息资源、公众服务信息资源以及物流配送类信息资源;另外,邮政信息还必须与重庆信息港中其它信息系统实现互连互通、资源共享,如实现重庆邮政RA与重庆地方CA的交叉认证。 图1 重庆邮政信息系统总体框架结构图 重庆邮政信息系统在重庆信息港中的位置如图2所示。
二、邮政信息系统与重庆信息港其他系统的互连互通
l.邮政信息系统与重庆信息港中其它系统间的关系
重庆邮政信息系统既是重庆信息港的一个重要的应用子系统,同时也是“中国电子邮政”工程的一个重要组成部分。邮政信息系统既要实现与重庆信息港的12个应用系统之间的互连互通和信息共享,形成一个不可分割的整体,还要遵从“中国电子邮政”工程的要求,成为“中国电子邮政”的一个分系统。 根据重庆信息港邮政信息系统和其它子系统间的关系,其数据传输包括纵向和横向两种流向。从纵向看,需要与上一级系统相连,使上级系统能全面、及时、准确地掌握相关信息。从横向看,与其他相关应用系统相连,实现业务数据的交流和信息资源的共享。 图2 邮政信息系统在重庆信息港中的位置
2.邮政信息系统与重庆信息港中其它系统互连方式
鉴于重庆信息港中邮政信息系统与其它应用系统之间需要有数据信号、视频信号和语音信号的交换以及网络技术的发展趋势,故采用宽带多媒体网络进行互连。又因为重庆信息港的基础网络平台就是一个宽带多媒体网络,所以网间互连可以直接采用重庆信息港的基础网络设施。 为了提高互连的可靠性,邮政信息系统与其它应用系统的连接采用主从备份方式,以宽带多媒体传输网络为主干网,考虑到应用系统间信息交换的可靠性。准确性和及时性要求的差别,其中与政务管理信息系统、金融信息系统和商业贸易信息系统互连的备用线路仍采用宽带多媒体传输网络;对其它应用系统的互连可以与公用电话网PSTN为备用网。当主干线路发生故障时可迅速切换到备用线路上。同时可以采用IP隧道技术(turnneling),在不同的网络之间实现互连,该技术把IP地址和WAN地址相联系,使得不同的局域网可以在使用不同的WAN技术的骨干网上实现互连。
3.邮政信息系统与重庆信息港中其它系统的数据交换
(1)互换信息的规划
依据重庆信息港中各类信息安全性和保密性的重要程度,将其分为三类: 第一类是重要信息,主要包括政务管理信息系统中办公自动化信息系统和人事管理信息系统、金融信息系统、商业贸易信息系统中的电子商务系统和EDI通关自动化系统、社会公共安全信息系统。 第三类是公众服务信息。 第二类是除第一、三类之外的次重要信息。 与之对应,邮政信息系统也可根据各类信息的安全性、保密性分为三类: 第一类是重要信息,包括邮政办公信息、机要业务信息、汇兑业务信息、邮政金融信息、电子商务信息等。 第三类是公众服务信息。 第二类是除第一、三类之外的次重要信息。
(2)互换信息传输模式与数据交换的安全性
重庆信息港中各应用系统间需要交换的信息有三类,考虑到数据传输的安全性,信息港中邮政信息系统的数据传输采用VPN(虚拟专用网)技术。VPN技术是使用加密的IP隧道,实现私有的IP包和其他网络协议(IPX、NETBEUI等)包在Internet上的传输,从而实现位于WAN上的不同LAN的各种协议虚拟连接,即虚拟的局域网。由于采用VPN技术可以把WAN上不同的LAN虚拟成一个LAN,而且其安全性较高[IEEE的IP安全(IPsec)加密标准解决了安全性的保密问题。IPsec的安全有效载荷封装(ESP)允许选择数据加密标准(DES)或三重DES(3DES)]这两种标准都提供了严格的保密性和强大的验证功能,可以将其应用于安全性较高的网络间的互连,如邮政金融计算机网与其它金融网之间的互连等。
VPN具有以下几大功能:可以替换现有的专用网段或子网;通过把特定应用分离出来满足相应需求,为专用网络提供有益的补充;在不影响现有专用网的情况下,处理新应用,增加新位置,特别是国际性网站,另外,VPN还具有成本低、开销小、灵活性高等优点。 重庆信息港中邮政信息系统与其他应用系统的互连互通的结构如图3所示。 图3 邮政信息系统与重庆信息港其他系统互连 互通结构示意图 对于局域网的技术,从网络的观点考察,若三类信息在同一网络当中传输,则很难保证信息的安全性,但若分别建立三个网络,则既不经济也不现实。这可以采用以下两种方式加以建设: 第一,采用VLAN(虚拟局域网)。可以基于网络协议或网络地址两种方法来进行VLAN的划分。基于网络协议的划分是在使用多种协议的情况下,可以据使用协议的不同划分为不同的VLAN;而基于网络地址的划分则对每个协议可能有不同的虚拟拓扑形式,每个拓扑方式有它自己的规则、防火墙等,VLAN间的路由是自动的,不需要外部路由器,基于网络地址的VLAN可以在一个端口上设置多个VLAN。 采用VLAN方式可以增强网络的安全性,由于多个VLAN间不能直接进行数据通信,而必须通过路由器,那么VLAN就与外界其他机器相隔离,相当于一个独立的局域网,安全性得到较大程度的提高,另外,可在VLAN间的路由器上进行适当的配置,以实现VLAN间网络访问的安全控制。从而通过VLAN技术来防止大部分以网络监听为手段的入侵。所以可以在重庆信息港邮政信息系统中采用划分VLAN的方式来解决这个问题,为每类信息分别组建VLAN。 其次,通过设置NAT(Network address translation,网络地址转换)服务器解决信息分类。由于一个站点可以同时属于多个VPN,依据一定的策略,属于多个VPN的站点就可以在两个VPN之间提供一定的转发能力。当一个站点同时属于多个VPN时,它必须具有一个在所有VPN中唯一的地址空间。 NAT技术提供了一种掩饰网络内部本质的方法,即NAT通过一个外部地址来回应外部世界的寻址,从而在防火墙中得到了广泛的应用。NAT技术可以对TCP、UDP及ICMP的部分信息提供透明中继。
NAT网关上运行的TCP/IP网关软件与常规的网关软件不同。常规路由器只是机械地根据IP包中的目的IP地址以及路由表将IP数据包从一个网络转发给另一个网络,而NAT网关在Internet内部网路和 Internet之间中继 IP数据包并非凭借目的IP地址,它的中继是面向连接的。NAT网关具有内网端口和外网端口,2个端口各被分配一个IP地址,其中外网端口的IP地址是合法的全球唯一的IP地址,内网端口的IP地址一般为保留地址。
在建设重庆邮政信息系统时,应充分重视与重庆信息港其它信息系统的互连互通问题,建立一个高效率、低成本、电子化、网络化、新型的重庆邮政信息系统,推动整个重庆信息港的建设,促进其互连互通网络环境的形成,实现信息资源共享,加快新重庆信息化、网络化、现代化和国际化的进程。■