DB3209T1257-2023电子政务外网 建设标准技术规范.docx
《DB3209T1257-2023电子政务外网 建设标准技术规范.docx》由会员分享,可在线阅读,更多相关《DB3209T1257-2023电子政务外网 建设标准技术规范.docx(44页珍藏版)》请在咨信网上搜索。
1、ICS 35.240.01CCS L 67盐城市地方标准DB3209/T 12572023电子政务外网建设技术规范E-government network Technical specification2023 - 12 - 15 发布2024 - 03 - 15 实施盐城市市场监督管理局发布DB3209/T 1257-2023目次目 次2 前 言3 1 范围4 2 规范性引用文件4 3 术语和定义4 4 缩略语5 5 网络平台建设规范6 网络总体结构6 市级电子政务外网建设规范6 县级电子政务外网建设规范9 自治域和路由规范12 网络服务质量设计规范13 专网接入规范14 6 IP 地址规划
2、15 地址分级管理15 地址分配原则15 IPv4 地址分配16 IPv6 地址分配16 7 安全体系建设规范17 总体要求17 市级安全技术要求18 县级安全技术要求24 8 管理体系建设规范29 管理工作要求29 管理平台建设要求31 附录 A (规范性) 网络设备要求34 附录 B (规范性) 安全设备要求36 附录 C (资料性) 盐城市各设区县行政区划代码及业务 IPv6 地址对照表41 附录 D (资料性) 委办局分类统计表42 参考文献45 3 前言本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。 本文件由盐城市电子政务办公室提出
3、并归口。本文件起草单位:盐城市电子政务办公室。 本文件主要起草人:刘强、赵启萌、王磊、孙约。 DB3209/T 1257-2023电子政务外网建设技术规范1 范围本文件界定了电子政务外网建设技术的术语和定义、缩略语,规定了网络平台建设规范、IP地址规划、安全体系建设规范及管理体系建设规范。本文件适用于盐城市级、县(区)级电子政务外网建设,以及各级政务部门局域网接入。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 21061 国家
4、电子政务网络技术和运行管理规范GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25070 信息安全技术 网络安全等级保护安全设计技术要求GB/T 39786 信息安全技术 信息系统密码应用基本要求 DB32/T 4318.1 电子政务外网 安全大数据和运维保障平台接入规范 第 1 部分:安全大数据平台 DB32/T 4318.2 电子政务外网 安全大数据和运维保障平台接入规范 第 2 部分:运维保障平台 3 术语和定义以及下列术语和定义适用于本文件。 电子政务外网 e-government network承载跨地区、跨部门业务应用、信息共享、业务协同和不需在政务内网上运
5、行的业务,与互联网安全逻辑隔离,满足各级部门经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。注:电子政务外网纵向连通国家、省、地(市)、县(市、区)、乡(镇、街道)、村(社区),横向覆盖各级党委、人大、政府、政协、法院和检察院等部门。广域网 Wide Area Networks把城市之间连接起来的宽带网络称广域网,政务外网从中央到各省的网络称为中央广域网、省到各地(市)网络称为省级广域网、地(市)到各县的广域网称为地(市)级广域网。实现国家、省、市、县纵向业务的互联网通。 城域网 metro network5 把同一城市内不同单位的局域网络连接起来的网络称为城域网,实现不同单位
6、跨部门业务的数据共享与交换。网络切片 network slicing提供特定网络能力和网络特征(如资源隔离、SLA 保障特性等),为客户提供多种业务属性的逻辑网络。 随流检测 in-situ flow information telemetry一种直接对业务报文进行端到端测量,从而得到网络的真实丢包率、时延等性能指标的检测方式, 具有部署方便、统计精度高等突出优点。 4 缩略语下列缩略语适用于本文件。1) 5G:第五代移动通信技术(5th Generation); 2) AAA:认证、授权和计费(authentication, authorization, and accounting); 3
7、) APT:高级持续性威胁(Advanced Persistent Threat); 4) ARP:地址解析协议(Address Resolution Protocol); 5) APN6:应用感知的 IPv6 网络(application-aware IPv6 networking); 6) C&C:命令控制(Command and Control); 7) CE:用户边缘设备(Customer Edge); 8) DDoS:分布式拒绝服务(Distributed Denial of Service); 9) DGA:域名生成算法(Domain Generation Algorithm );
8、 10) DHCP:动态主机配置协议(Dynamic Host Configuration Protocol); 11) DNN:数据网络名称(Data Network Name); 12) DNS:网域名称服务器(Domain Name Server); 13) EGP:外部网关协议(Exterior Gateway Protocol); 14) GRE:通用路由封装协议(Generic Routing Encapsulation); 15) EUI-64:64 位扩展唯一标识符(64-bit Extended Unique Identifier); 16) IGP:内部网关协议(Inter
9、ior Gateway Protocol); 17) IMSI:国际移动用户识别码(International Mobile Subscriber Identity); 18) IMEI:国际移动设备标识(International Mobile Equipment Identity); 19) IPSec VPN:互联网协议安全协议虚拟专用网络(Internet Protocol security virtual private network); 20) IPv4:互联网协议版本 4(Internet Protocol version 4); 21) IPv6:互联网协议版本 6(Inte
10、rnet Protocol version 6); 22) IPv6+:基于 IPv6 的协议演进(IPv6 Plus); 23) IS-IS:中间系统到中间系统(Intermediate System to Intermediate System); 24) LACP:链路聚合控制协议(Link Aggregation Control Protocol); 25) MP:多链路协议(Multilink Protocol); DB3209/T 1257-202326) MPLS:多协议标记交换(Multi-Protocol Label Switching); 27) MSTP:多业务传送平台(
11、Multi-service Transmission Platform); 28) NAT:网络地址转换(Network Address Translation); 29) NFS:网络文件系统(Network File System); 30) OSPF:开放式最短路径优先(Open Shortest Path First); 31) PE:运营商边缘(Provider Edge); 32) PPP:点到点协议(point-to-point protocol); 33) QoS:服务质量(Quality of Service); 34) RIP:路由信息协议(Routing Informat
12、ion Protocol); 35) RR:路由反射器(Route Reflector); 36) SDH:同步数字体系(Synchronous Digital Hierarchy); 37) SDN:软件定义网络(Software Defined Network); 38) SIM: 用户身份模块(Subscriber Identity Module); 39) SLA:服务水平协议(Service Level Agreement); 40) SNMP:简单网络管理协议(Simple Network Management Protocol); 41) SRv6:IPv6 段路由(IPv6 S
13、egment Routing); 42) SSL VPN:基于安全套接层的虚拟专用网络(Virtual Private Network over Secure Sockets Layer); 43) TWAMP:双向主动测量协议(Two-Way Active Measurement Protocol); 44) URL:统一资源定位符(Uniform Resource Locator ); 45) UPF:5G 网络 SBA 架构下的用户面网元(user plane function); 46) VLAN:虚拟局域网(Virtual Local Area Network); 47) VPN:虚
14、拟专用网络(Virtual Private Networks); 48) VxLAN:虚拟扩展局域网(Virtual eXtensible Local Area Network); 49) Wi-Fi:无线网络技术(WirelessFidelity)。 5 网络平台建设规范 网络总体结构电子政务外网由市、县(区)二级组成,具体如下: a) 市级电子政务外网包含市级广域网、 市级城域网、 市级部门接入网; b) 县级电子政务外网包含县级城域网、 县级部门接入网、乡(镇、 街道)接入网、村(社区) 接入网。 电子政务外网网络实行统一规划、统一标准、分级建设、分级管理。 市级电子政务外网建设规范5.
15、2.1 网络组成市级电子政务外网组网示意见图 1。 市级广域核心节点横向连接市级城域网,纵向上联省级广域接入节点形成背靠背联接,下联各县广域核心,采用双设备双线路冗余设计,形成“口”字型组网结构。 7 市级城域网组网要求如下: a) 市城域核心设备与市广域核心设备互联,采用双设备双线路冗余设计,形成“口”字型组网结构; b) 市城域汇聚层设备主要汇接各政务部门局域网的接入设备,应使用双上联方式连接核心层设备,形成“口”字型组网结构,实现冗余可靠; c) 市城域接入层设备用于政务部门局域网的接入,部署于各政务部门机房,接入设备到汇聚或核心设备之间可按政务部门业务重要程度适当采用冗余设计,选择双设
16、备双归部署、单设备双归部署或单设备单归部署三种模式; d) 互联网接入区主要提供本级移动办公用户 VPN 方式安全可靠接入政务外网的安全接入平台, 需要采用信道加密技术结合政务外网数字证书进行数据传输的加密保护,实现移动办公用户访问政务外网内部信息资源; e) 政务云对接区主要用于对接本级非涉密数据中心,电子政务外网提供双线路冗余设计,实现政务部门对数据中心应用的访问; f) 运维管理区是集中建设的独立运维管理区域,与城域网核心设备相连,各网络设备的运维管理应通过运维管理区实现,并应实现对运维管理行为进行审计,运维管理区流量与其他网络流量逻辑隔离,条件允许的情况下,建议实现带外管理; g) 运
17、营商 5G 政务网络通过政务专用 UPF 与政务外网城域 5G 接入路由器进行对接; h) 物联、应急等 5G 移动接入用户通过运营商 5G 政务网络接入电子政务外网。图 1 市级电子政务外网架构图5.2.2 通信链路及带宽选择线路带宽本项要求如下: DB3209/T 1257-2023a) 线路带宽应能满足峰值业务需求,带宽月平均利用率超过 70%时应进行扩容; b) 每年应进行带宽评估,评估应考虑下一年度的业务发展需要; c) 市级城域网核心设备与广域网核心设备之间均应采用双线路万兆光口对接,线路总带宽均应不低于 20Gbps; d) 城域网核心设备之间线路总带宽应不低于 50Gbps 链
18、路带宽; e) 城域网核心层与汇聚层设备承载城市驾驶舱的汇聚流量,城域网核心层与汇聚层设备之间互联线路总带宽应不低于 50Gbps; f) 城域网核心设备与互联网接入区设备之间的线路总带宽建议不低于 10Gbps; g) 一类接入单位城域网接入层设备上联线路总带宽应满足政务部门内用户忙时峰值业务流量需求,应不低于 10Gbps。 线路类型本项要求如下: a) 同一机房内设备互联可采用光纤或屏蔽双绞线,推荐使用光纤互联; b) 市级用户接入网因用户地点与政务外网核心机房不在一栋大楼或大院需要租用运营商电路的, 其接入设备与城域网汇聚层设备之间互联可采用裸光纤或 MSTP、SDH、OTN、裸光纤、
19、切片专线等传输电路,在使用其他类型线路时,需确保传输设备与线路为政务外网专用且为纯二层点对点线路; c) 基于网络层的电路、任何形式的 VPN 电路都不符合政务外网的安全要求,不能使用; d) MTU 值应设置合理,满足业务承载传输需要,MTU 值设置应不低于 2000,推荐 9000。 5.2.3 广域网/城域网技术要求政务外网建设应向 IPv6 单栈模式发展演进。 应采用 SDN+SRv6 技术为IPv6 业务承载提供网络路径可编程能力,结合链路资源使用情况,实时动态调整流量路径。过渡期内可通过 SRv6 VPN 技术统一承载 IPv4、IPv6 业务。 应采用网络切片技术为 IPv6 业
20、务提供确定性带宽保障,具体要求如下: a) 常用以太网接口(如10G接口、40G接口、100G接口等)应支持网络切片; b) 网络应具备不同层次的切片能力,如1G、2G、5G、10G等; c) 网络切片技术应与IGP技术解耦,不同的网络切片可共用相同的接口地址和IGP路由协议。 应采用随流检测技术为 IPv6 业务提供状态实时感知和故障快速定界能力,检测粒度应细化到单个部门或具体业务。 应根据业务需要进行带宽实时保障和网络质量监控,宜采用 APN6 技术对 IPv6 业务进行识别。IPv6 网络不应使用NAT 转换技术。 IPv6 设备应符合自主可控相关要求。网络设备技术能力应符合附录 A 要
21、求。 5.2.4 市级单位接入要求市级电子政务外网接入单位根据性质和业务分为一、二、三类单位,单位分类列表见附录D,接入要求如下: 9 a) 市级接入单位局域网接入市级电子政务外网需要向市级电子政务管理机构提出申请,并由市级电子政务管理机构备案,各单位严格按照备案范围接入市级电子政务外网; b) 市级电子政务外网管理机构应为各部门提供接入政务外网和接入地址段统一规划,不同类型单位接入能力要求如下: 1) 一类接入部门通过冗余设备、冗余链路连接市级电子政务外网,接入设备性能应保证万兆接入能力, 2) 二类接入部门通过冗余设备、冗余链路连接市级电子政务外网,接入设备性能应保证千兆接入能力, 3)
22、三类接入部门通过单设备、单链路连接市级电子政务外网,接入设备性能应保证千兆接入能力; c) 接入部门提供的对接设备应具备路由、交换功能、边界安全防护功能,与市级电子政务外网设备完成对接,应采用静态路由/动态路由进行对接,宜采用静态路由,若采用动态路由,应对收到的接入部门路由进行合规性过滤; d) 接入部门局域网进行IPv6改造时,网络设备、安全设备、终端均应支持IPv6协议,建议部署双栈模式; e) 未采用市级电子政务外网统一规划地址的部门需自行转换成统一规划分配地址段后方可接入政务外网,IPv6地址应直接使用市级分配的IPv6地址; f) 局域网应支持动态分配IPv6地址,宜支持IPv4/I
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB3209T1257-2023电子政务外网 建设标准技术规范 DB3209T1257 2023 电子政务 建设 标准 技术规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。