DB51T3121-2023电子政务外网技术规范.docx
《DB51T3121-2023电子政务外网技术规范.docx》由会员分享,可在线阅读,更多相关《DB51T3121-2023电子政务外网技术规范.docx(20页珍藏版)》请在咨信网上搜索。
1、ICS35.240.01CCSL 70DB51 四川省地方标准DB51/T 31212023电子政务外网技术规范2023 - 10 - 11 发布2023 - 11 - 12 实施四川省市场监督管理局 发 布目次前言II 1 范围1 2 规范性引用文件1 3 术语和定义1 4 缩略语2 5 总体要求3 6 网络技术架构3 6.1 网络总体架构3 6.2 省级政务外网3 6.3 市级政务外网5 6.4 县级政务外网7 7 IP 地址分配9 7.1 地址管理9 7.2 分配原则10 7.3 IPv4 地址10 7.4 IPv6 地址10 8 自治域及路由10 8.1 自治域10 8.2 路由11
2、9 虚拟专用网11 9.1 总体要求11 9.2 MPLS 或 SRv6 VPN 技术11 9.3 部门自建 IPsec VPN 技术11 9.4 网络切片技术11 10 部门局域网接入12 10.1 局域网接入架构12 10.2 局域网接入13 10.3 终端13 11 政务外网机房13 12 运维监测体系13 12.1 网络运维体系14 12.2 安全监测体系14 附录 A(规范性) 政务外网核心网络设备要求15 参考文献16 前言本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。 本文件由四川省大数据中心提出、归口并解释。 本文件起草单位:
3、四川省大数据中心、成都市大数据中心、德阳市政务服务和大数据管理局、德阳市旌阳区行政审批局、德阳市旌阳区数字化中心、成都市标准化研究院、华为技术有限公司、新华三技术有限公司。 本文件主要起草人:唐志恩、周学立、陈雅维、郑 畅、谷磊 、刘伟 、杜勇、 李艳芳、杨超、 刘欣、 徐辉、王 先勇、李超、赵 斌、赵红 瑛、邓星月、吴小斌、赵紫冰、曾艳、刘莎 、左汪敬 、杨玖宏、李茂春、武林、丰 春霞、王永江、曲凯飞、陈冉、张 勇、邹 昌盛、耿文鑫、庞明君、刘林涛、王婵、张艺帆。本文件为首次发布。 电子政务外网技术规范1 范围本文件规定了电子政务外网(以下简称政务外网)网络建设的术语与定义、缩略语、总体要求
4、、网络技术架构、IP地址分配、自治域及路由、虚拟专用网、部门局域网接入、政务外网机房建设和运维体系建设。 本文件适用于指导四川省行政范围内,省级、市级、县级政务外网网络的设计、建设和运维管理。 2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 21061 国家电子政务网络技术和运行管理规范GB/T 22239 信息安全技术 网络安全等级保护基本要求GB/T 25069 信息安全技术 术语 GB/T 25647 电子政务术语 GB
5、501742017 数据中心设计规范 3 术语和定义GB/T 25069、GB/T 25647界定的以及下列术语和定义适用于本文件。 3.1电子政务外网 E-government network服务于各级党委、人大、政府、政协、法院和检察院等政务部门,满足其经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。 3.2广域网 wide area network用于纵向覆盖省、市、县各层级行政区域,由各级行政区域内广域骨干节点设备和节点设备之间的长途线路组成的网络。 3.3城域网 metropolitan area network用于实现本级行政区域内的政务部门的横向连接的网络,包括中
6、央、省、市、县四级城域网,各级城域网通过纵向广域网实现互联。 3.4IPv6 单栈 IPv6 single stack网络中所有终端、网络设备仅工作在IPv6模式,其对应模式为IPv4单栈模式、IPv4和IPv6双栈模式。 3.5威胁情报 threat intelligenceGB/T 32910.3 数据中心 资源利用 第3部分:电能能效要求和测量方法 收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。 3.6Option A 方式 Option A mode一种MPLS/SRv6不同域之间对接的方式,即本区域边界路由器把其他区域边界路由器看作自己的VPN
7、接入设备。 4 缩略语以下缩略语适用于本文件。 ARP:地址解析协议(Address Resolution Protocol) AS:自治系统(Autonomous System) BGP:边界网关协议(Border Gateway Protocol) BGP-LS: 边界网关协议链路状态(Border Gateway Protocol Link-state) EVPN:下一代虚拟专用网络(Ethernet Virtual Private Network) FlexE:灵活以太网(Flexible Ethernet) GRE:通用路由封装协议(Generic Routing Encapsula
8、tion) H-QoS:分层服务质量(Hierarchical Quality of Service) IDC:互联网数据中心(Internet Data Center) iFIT:随流检测(in-situ Flow Information Telemetry) ISIS:中间系统到中间系统(Intermediate System to Intermediate System) IPSec VPN:互联网协议安全协议虚拟专用网络(Internet Protocol security virtual private network) IPv4:互联网协议第4版(Internet Protocol
9、 version 4) IPv6:互联网协议第6版(Internet Protocol version 6) IPv6+:基于IPv6下一代互联网的升级(IPv6 Plus) LACP:链路汇聚控制协议(Link Aggregation Control Protocol) LDP:标签分发协议(Label Distribution Protocol) MPLS:多协议标记交换(Multi-Protocol Label Switching) MSTP:多业务传送平台(Multi-Service Transport Platform) NAT:网络地址转换(Network Address Tran
10、slation) OSPF:开放式最短路径优先(Open Shortest Path First) OTN:光传送网(Optical Transport Network) QoS:服务质量(Quality of Service) RSVP-TE :基于流量工程扩展的资源预留协议( Resource Reservation Protocol-Traffic Engineering) SDH:同步数字体系(Synchronous Digital Hierarchy) SDN:软件定义网络(Soft Defined Network) SLA:服务级别协议(Service Level Agreemen
11、t) SNMP:简单网络管理协议(Simple Network Management Protocol) SRv6:IPv6段路由(IPv6 Segment Routing) VLAN:虚拟局域网(Virtual Local Area Network) VPN:虚拟专用网络(Virtual Private Network) VRRP:虚拟路由冗余协议(Virtual Router Redundancy Protocol) VRRPv3:虚拟路由冗余协议第三版(VRRP version 3) 5 总体要求5.1 政务外网应采用扁平化网络架构,减少网络层级,并具备可扩展性、开放性和兼容性。 5.2
12、 政务外网应具备高可用性、高可靠性、高安全性、高可管理性,并具备向 IPv6 单栈的演进能力。 5.3 省级和市级政务外网应符合 GB/T 22239 第三级安全要求,县级政务外网应符合 GB/T 22239 第二级安全要求。 6 网络技术架构6.1 网络总体架构政务外网骨干网络应按照省级广域网、市级广域网和县级广域网三级建设,省级广域网连接中央广域网,网络总体架构如图1所示。 图1 政务外网网络总体架构图6.2 省级政务外网6.2.1 网络架构6.2.1.1 网络架构图省级政务外网应分为省级广域网和省级城域网,网络架构如图2所示。 运 维 管理区中央广域网省级政务云互联网政务云接入区互 联
13、网 安全接入区省级广域网 省级城域网核心路由器省级城域网省级单位市级广域网省级广域网核心路由器市(州) 落地路由器 图2 省级政务外网架构图6.2.1.2 省级广域网省级广域网由省-市节点的设备组成,广域网核心路由器应采用双设备冗余结构,省级广域网核心路由器纵向上连接中央广域网,向下连接市级广域网,横向连接省级城域网。 6.2.1.3 省级城域网省级城域网扁平化部署,省级城域网核心路由器应采用冗余设备组网,主要包括但不限于以下业务区域: a) 政务云接入区 1) 政务云接入区用于连接本级政务云数据中心、省级部门整合云数据中心; 2) 各数据中心宜通过专线,采用双设备双链路方式连接至政务云接入区
14、汇聚设备。 b) 省级单位接入区 1) 省级城域网核心路由器直连到省级广域网核心路由器,应采用冗余设备组网; 2) 接入设备应采用支持 SRv6 的路由器,满足政务外网向 IPv6 单栈演进; 3) 根据各省级接入单位业务类型和需求,可采用单线路或双线路接入。 c) 互联网安全接入区 1) 互联网安全接入区连接本地通信运营商,为不具备专线接入条件的接入单位和有移动接入需求的单位提供接入政务外网的服务; 2) 接入用户可通过互联网、移动通信网等基础网络连接到互联网安全接入区,经安全接入平台访问政务外网; 3) 安全接入平台建设应参照 GW 0202 中规定的要求,安全设备应支持国产密码算法,满足
15、自主可控要求。 d) 运维管理区 1) 运维管理区是集中建设的独立运维管理区域,应包括运维管理平台和安全管理平台,运维管理区与城域网核心设备相连; 2) 运维管理区流量与其他网络流量逻辑隔离,宜采用带外管理; 3) 部署运维管理平台,对各网络设备进行统一运维管理,对运维管理行为进行审计; 4) 部署安全管理平台,通过流量采集、日志采集、获取威胁情报等方式,实时监测政务外网安全运行状态,智能分析安全趋势,及时对网络安全事件告警,对网络安全风险进行预警。 6.2.2 通信线路及带宽6.2.2.1 省级广域网建设符合以下要求: a) 省到市(州)广域网线路总带宽应不低于 3Gbps,带宽使用率不高于
16、 60%; b) 省级广域网核心路由器应采用两条及以上的不同运营商的物理线路下联各市(州)落地路由器; c) 线路类型可选择 OTN、MSTP、SDH 或裸光纤等; d) 每年应对带宽使用率进行评估,并根据需求适时对带宽进行扩容。 6.2.2.2 省级城域网建设应符合以下要求: a) 省级城域网核心路由器与省级广域网核心路由器之间的连接线路总带宽应不低于 20Gbps; b) 省级城域网核心路由器之间相互连接的线路总带宽应不低于 40Gbps; c) 省级接入单位接入到省级城域网核心路由器的单条物理线路带宽应不低于 1Gbps; d) 省级城域网核心路由器与政务云接入设备采用口字形互连,总带宽
17、应不低于 20Gbps; e) 线路类型可选择 OTN、MSTP、SDH 或裸光纤等; f) 每年应对带宽使用率进行评估,并根据需求适时对带宽进行扩容。 6.2.3 网络设备省级政务外网核心网络设备应支持表A.1所述功能和要求。 6.3 市级政务外网6.3.1 网络架构6.3.1.1 网络架构图市级政务外网应分为市级广域网和市级城域网,网络架构如图3所示。 省级广域网市级政务云互联网运维管理区政务云接入区互 联 网 安全接入区市级广域 市级城域网核心路由器市级城域网市级单位县级广域网市级广域网核心路由器 图3 市级政务外网架构图6.3.1.2 市级广域网市级广域网核心路由器应采用双设备冗余结构
18、,市级广域网核心路由器纵向上连接省级广域网,向下连接县级广域网,横向连接市级城域网。 6.3.1.3 市级城域网市级城域网扁平化部署,市级城域网核心路由器应采用冗余设备组网,可建设如下业务区域: a) 政务云接入区 市级政务云接入区用于连接本级政务云数据中心,政务云数据中心宜通过专线,采用双设备双链路方式连接至政务云接入区汇聚设备。 b) 互联网安全接入区 1) 互联网安全接入区连接本地通信运营商,为不具备专线接入条件的接入单位和有移动接入需求的单位提供接入政务外网的服务; 2) 接入用户可通过互联网、移动通信网等基础网络连接到互联网安全接入区,经安全接入平台访问政务外网; 3) 安全接入平台
19、建设应参照 GW 0202 要求,安全设备应支持国产密码算法。 c) 统一互联网出口 1) 市级政务外网可根据本地实际建设统一互联网出口,为接入单位提供互联网访问服务; 2) 统一互联网出口应由两家及以上通信运营商提供互联网接入服务; 3) 统一互联网出口应配置防火墙、入侵防御、防病毒、行为审计等安全设备,应与政务外网实现逻辑隔离。 d) 运维管理区 1) 运维管理区是集中建设的独立运维管理区域,应包括运维管理平台和安全管理平台,运维管理区与城域网核心设备相连; 2) 运维管理区流量与其他网络流量逻辑隔离,条件允许的情况下,宜采用带外管理; 3) 部署运维管理平台,对各网络设备进行统一运维管理
20、,对运维管理行为进行审计; 4) 部署安全管理平台,通过流量采集、日志采集、获取威胁情报等方式,实时监测政务外网安全运行状态,网络安全事件告警,对网络安全风险进行预警。 e) 市级单位接入区 1) 市级城域网核心路由器直连到市级广域网核心路由器,应采用冗余设备组网; 2) 接入设备应采用支持 SRv6 的路由器,满足政务外网向 IPv6 单栈演进; 3) 根据各市级接入单位业务类型和重要程度,可采用单线路或双线路接入。 6.3.2.1 市级广域网建设应符合以下要求: a) 市级到县级广域网线路总带宽宜不低于 1Gbps; b) 市级广域网核心路由器宜采用两条及以上不同运营商的物理线路下连各县级
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB51T3121 2023 电子政务 技术规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。