DB5305T 19.6-2019保山市信息惠民工程綜合標準 第6部分：電子政務(wù)外網(wǎng)建設(shè)技術(shù)標準

ICS35.240L67保山市DB5305地方標準DB5/T19.6—2019替代DG5305/T19.6—2017保山市市場監(jiān)督管理局發(fā)布DB5305/T19.6-2019前言本標準按照GB/T1.1—2009《標準化工作導則第1部分：標準的結(jié)構(gòu)和編寫》給出的規(guī)則起草。本標準中附錄A為規(guī)范性附錄，附錄B為規(guī)范性附錄。本標準由保山市大數(shù)據(jù)管理局提出。本標準由保山市工業(yè)和信息化委員會歸口。本標準起草單位：保山市大數(shù)據(jù)管理局。本標準主要起草人：劉志胡、王明超、李祖燕、丁威、羅紅建、張忠信、陳秋玲。本標準替代DG5305/T19.6—2017。1DB5305/T19.6-2019保山市信息惠民工程綜合標準電子政務(wù)外網(wǎng)建設(shè)技術(shù)標準1范圍本標準規(guī)定了保山市電子政務(wù)外網(wǎng)的整體架構(gòu)和組網(wǎng)技術(shù)標準。本標準適用于保山市電子政務(wù)外網(wǎng)平臺的立項、規(guī)劃、設(shè)計、實施和運行管理。2規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標準，然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。國家電子政務(wù)外網(wǎng)IP地址及域名管理規(guī)劃(試行)DB5305/T19.3-2019保山市信息惠民工程綜合標準術(shù)語3術(shù)語和定義DB5305/T19.3-2019確立的以及下列術(shù)語和定義適用于本標準。3.1電子政務(wù)外網(wǎng)電子政務(wù)外網(wǎng)(簡稱政務(wù)外網(wǎng))是按照《國家信息化領(lǐng)導小組關(guān)于我國電子政務(wù)建設(shè)指導意見》(中辦發(fā)〔2002〕17號)文件和《國家信息化領(lǐng)導小組關(guān)于推進國家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見》(〔2006〕18號)文件要求建設(shè)的我國電子政務(wù)重要公共基礎(chǔ)設(shè)施，是服務(wù)于各級黨委、人大、政府、政協(xié)、法院和檢察院等政務(wù)部門，滿足其經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務(wù)等方面需要的政務(wù)公用網(wǎng)絡(luò)。政務(wù)外網(wǎng)支持跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用、信息共享和業(yè)務(wù)協(xié)同，以及不需在政務(wù)內(nèi)網(wǎng)上運行的業(yè)務(wù)。政務(wù)外網(wǎng)由中央政務(wù)外網(wǎng)和地方政務(wù)外網(wǎng)組成，與互聯(lián)網(wǎng)邏輯隔離。3.2互聯(lián)網(wǎng)互聯(lián)網(wǎng)，又稱網(wǎng)際網(wǎng)絡(luò)，或音譯因特網(wǎng)(Internet)、英特網(wǎng)，互聯(lián)網(wǎng)始于1969年美國的阿帕網(wǎng)。是網(wǎng)絡(luò)與網(wǎng)絡(luò)之間所串連成的龐大網(wǎng)絡(luò)，這些網(wǎng)絡(luò)以一組通用的協(xié)議相連，形成邏輯上的單一巨大國際3.3虛擬專用網(wǎng)VPNVPN，即虛擬專用網(wǎng)，指的是依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商)，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。3.4多協(xié)議標簽交換MPLSVPNMPLSVPN指在電子政務(wù)二三四級網(wǎng)絡(luò)中，為了實現(xiàn)業(yè)務(wù)的隔離和安全，采用BGP/MPLSIPVPN進行安全隔離，將不同的業(yè)務(wù)進行縱向和橫向隔離，保證在信息共享的基礎(chǔ)上實現(xiàn)業(yè)務(wù)安全隔離。3.5網(wǎng)元管理系統(tǒng)網(wǎng)元管理系統(tǒng)是管理特定類型的一個或多個電信網(wǎng)絡(luò)單元(NE)的系統(tǒng)。一般來說，EMS管理著每2DB5305/T19.6-2019個NE的功能和容量，但并不理會網(wǎng)絡(luò)中不同NE之間的交流。4縮略語下列縮略語適用于本標準?！狝BR：AreaBorderRouter，區(qū)域邊界路由器——AS：AutonomousSystem，自治系統(tǒng)——ASBR：AutonomousSystemBoundaryRouter，自治系統(tǒng)邊界路由器——BDR：Back-UpDesignatedRouter，備份指定路由器——BGP：BorderGatewayProtocol，邊界網(wǎng)關(guān)協(xié)議——DR：DesignatedRouter，指定路由器——EBGP：ExternalBorderGatewayProtocol，外部邊界網(wǎng)關(guān)協(xié)議——EMS:NetworkElementManagementSystem，網(wǎng)元管理系統(tǒng)——IBGP：InternalBorderGatewayProtocol，內(nèi)部邊界網(wǎng)關(guān)協(xié)議——ID：Identity，標識號——IP：InternetProtocol，網(wǎng)絡(luò)之間互連的協(xié)議——IGP：InteriorGatewayProtocol，內(nèi)部網(wǎng)關(guān)協(xié)議——IPS:IntrusionPreventionSystem，入侵防御系統(tǒng)——ISP：InternetServiceProvider，互聯(lián)網(wǎng)服務(wù)提供商——ITIL：InformationTechnologyInfrastructureLibrary，IT基礎(chǔ)架構(gòu)庫——LSA：Link-StateAdvertisement，鏈路狀態(tài)廣播——MPLS：Multi-ProtocolLabelSwitch，多協(xié)議標簽交換——NSP：NetworkServicesProvider，網(wǎng)絡(luò)服務(wù)提供商——OSPF：OpenShortestPathFirst，開放式最短路徑優(yōu)先，是一個內(nèi)部網(wǎng)關(guān)協(xié)議——SDH：SynchronousDigitalHierarchy，同步數(shù)字體系——SNMP：SimpleNetworkManagementProtocol，簡單網(wǎng)絡(luò)管理協(xié)議——SSL：SecureSocketsLayer，安全套接層——STM：SynchronousTransferModule，同步傳輸模式——VPN：VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)5政務(wù)外網(wǎng)總體構(gòu)成政務(wù)外網(wǎng)建設(shè)將嚴格按照國家電子政務(wù)外網(wǎng)的總體規(guī)劃和技術(shù)標準，系統(tǒng)整體采用模塊化與分層架構(gòu)來設(shè)計。政務(wù)外網(wǎng)應(yīng)考慮未來IPv6的發(fā)展，支持MPLSVPN，支持數(shù)據(jù)、語音、視頻業(yè)務(wù)，并實現(xiàn)網(wǎng)絡(luò)管理和運行服務(wù)支撐。保山市政務(wù)外網(wǎng)主要包括如下：——省-市-縣三級縱向網(wǎng)；——市級橫向網(wǎng)、縣(市、區(qū))橫向網(wǎng)；——統(tǒng)一市級互聯(lián)網(wǎng)出口；——行政村互聯(lián)網(wǎng)VPN接入與移動辦公VPN接入系統(tǒng)；——上連省電子政務(wù)外網(wǎng)；——市、縣兩級外網(wǎng)數(shù)據(jù)中心。6政務(wù)外網(wǎng)業(yè)務(wù)模型6.1政務(wù)外網(wǎng)模型3公用網(wǎng)絡(luò)區(qū)政務(wù)外網(wǎng)共享平臺公共網(wǎng)絡(luò)服務(wù)安全交換專用網(wǎng)絡(luò)區(qū)(MPLSVPN)G-C業(yè)務(wù)G-B業(yè)務(wù)公用網(wǎng)絡(luò)區(qū)政務(wù)外網(wǎng)共享平臺公共網(wǎng)絡(luò)服務(wù)安全交換專用網(wǎng)絡(luò)區(qū)(MPLSVPN)G-C業(yè)務(wù)G-B業(yè)務(wù)internet公眾用戶互聯(lián)網(wǎng)服務(wù)安全交換企業(yè)G-G業(yè)務(wù)移動辦公安全和認證服務(wù)安全互聯(lián)政務(wù)部門(Global)互聯(lián)網(wǎng)接入?yún)^(qū)外網(wǎng)安全接入平臺(internetVPN)6.1.1政務(wù)外網(wǎng)公共基礎(chǔ)設(shè)施業(yè)務(wù)模型政務(wù)外網(wǎng)公共基礎(chǔ)設(shè)施業(yè)務(wù)模型如圖1。圖1政務(wù)外網(wǎng)公共基礎(chǔ)設(shè)施業(yè)務(wù)模型VPN邏VPN邏VPN邏輯隔離輯輯隔離政務(wù)VPN政務(wù)VPN用戶主要政務(wù)用戶政務(wù)外網(wǎng)公共基礎(chǔ)設(shè)施6.1.2政務(wù)外網(wǎng)邏輯分區(qū)根據(jù)政務(wù)外網(wǎng)所承載的業(yè)務(wù)和系統(tǒng)服務(wù)類型的不同，在邏輯上將政務(wù)外網(wǎng)劃分為公用網(wǎng)絡(luò)區(qū)(Global)、專用網(wǎng)絡(luò)區(qū)(MPLSVPN)和互聯(lián)網(wǎng)接入?yún)^(qū)(InternetVPN)三個功能域，分別提供政務(wù)外網(wǎng)互聯(lián)互通業(yè)務(wù)、專用VPN業(yè)務(wù)和互聯(lián)網(wǎng)業(yè)務(wù)。6.1.3功能區(qū)間安全手段功能域相互之間安全隔離，公用網(wǎng)絡(luò)區(qū)用于實現(xiàn)各部門、各地區(qū)互聯(lián)互通，實現(xiàn)數(shù)據(jù)共享；專用網(wǎng)絡(luò)區(qū)用于實現(xiàn)不同部門或不同業(yè)務(wù)之間的MPLSVPN相互隔離，用于專門部門和專有業(yè)務(wù)的通信；互聯(lián)網(wǎng)接入?yún)^(qū)用于實現(xiàn)各級政務(wù)部門通過邏輯隔離手段安全接入互聯(lián)網(wǎng)，提供面向社會的公共服務(wù)和互聯(lián)網(wǎng)訪問。政務(wù)外網(wǎng)通過構(gòu)建互聯(lián)網(wǎng)安全接入平臺，實現(xiàn)各級政務(wù)部門移動辦公的公務(wù)人員利用互聯(lián)網(wǎng)通道，通過數(shù)字證書認證和密碼技術(shù)，安全接入政務(wù)外網(wǎng)，訪問指定的業(yè)務(wù)應(yīng)用系統(tǒng)。6.2政務(wù)外網(wǎng)網(wǎng)絡(luò)架構(gòu)保山市政務(wù)外網(wǎng)向上連接省電子政務(wù)外網(wǎng)、向下連接保山各縣區(qū)政務(wù)網(wǎng)。市級節(jié)點建設(shè)市數(shù)據(jù)中心，實現(xiàn)市級各單位數(shù)據(jù)共享。保山市政務(wù)外網(wǎng)如圖2。4省電子政務(wù)外網(wǎng)市級單位接入?yún)R聚路由器區(qū)縣匯聚路由器電子政務(wù)外網(wǎng)骨干圖區(qū)縣橫向接入DB5305/T19.6-2019省電子政務(wù)外網(wǎng)市級單位接入?yún)R聚路由器區(qū)縣匯聚路由器電子政務(wù)外網(wǎng)骨干圖區(qū)縣橫向接入圖2保山市政務(wù)外網(wǎng)示意圖InternetInternet入侵檢測系統(tǒng)Vpn接入Vpn接入市數(shù)據(jù)中心/云平臺核心路由器局域網(wǎng)接入手機接入無線終端接入市市橫向接入單位6.2.1傳輸線路政務(wù)外網(wǎng)骨干網(wǎng)絡(luò)盡量采用光纖連接，政務(wù)外網(wǎng)核心設(shè)備之間采用冗余線路連接，核心與匯聚以及匯聚與接入設(shè)備之間也采用冗余線路連接。6.2.2路由協(xié)議電子政務(wù)外網(wǎng)核心、匯聚以及接入層設(shè)備可采用OSPF路由協(xié)議，實現(xiàn)冗余線路的切換。6.2.3網(wǎng)絡(luò)帶寬核心設(shè)備以及核心與匯聚之間采用萬兆鏈路連接，匯聚與接入之間可以采用千兆鏈路連接。6.3互聯(lián)網(wǎng)出口與遠程VPN接入6.3.1市互聯(lián)網(wǎng)出口市電子政務(wù)辦設(shè)置統(tǒng)一的互聯(lián)網(wǎng)出口，與互聯(lián)網(wǎng)進行安全可控連接，提供公共服務(wù)與VPN接入、互聯(lián)網(wǎng)訪問使用。市互聯(lián)網(wǎng)出口安全設(shè)備包括防火墻設(shè)備、入侵防御系統(tǒng)。防火墻的性能能夠達到小包64字節(jié)的吞吐量4Gbps以上，同時能夠支持虛擬防火墻和SSLVPN接入。IPS入侵防御系統(tǒng)的部署，配合防火墻進行2~7層的全面安全防護?？紤]到當前應(yīng)用層攻擊的多樣化，越來越多的攻擊事情都是通過木馬、病毒等方式發(fā)起，IPS具有防病毒網(wǎng)關(guān)的功能，能夠同時阻斷病毒和惡意攻擊。6.3.2遠程VPN接入市級階段設(shè)置VPN接入網(wǎng)關(guān)和1套認證管理系統(tǒng)；VPN接入認證通過認證管理系統(tǒng)，實現(xiàn)對接入用戶的身份認證。VPN接入網(wǎng)關(guān)通過提供SSLVPN方式提供用戶撥號認證和加密，用戶認證管理系統(tǒng)采用標準的RADIUS協(xié)議進行身份認證。市管理員管理維護屬于自己區(qū)域的用戶信息和策略定義。5DB5305/T19.6-20196.3.3移動辦公VPN接入VPN接入網(wǎng)關(guān)同時能滿足行政村用戶和政務(wù)移動用戶VPN接入需要，以及解決零散分布的用戶在異地訪問政務(wù)外網(wǎng)，并提供身份驗證、授權(quán)功能。6.4系統(tǒng)安全與保障在政務(wù)外網(wǎng)與互聯(lián)網(wǎng)出口之間需要部署防火墻和入侵防護設(shè)備，在數(shù)據(jù)中心(云平臺)部署防火墻以及專用系統(tǒng)防護安全設(shè)備，在與省平臺連接邊界，與各橫向單位連接邊界，與縣區(qū)接入邊界部署防火墻設(shè)備。同時參考云南省頒布的相關(guān)電子政務(wù)外網(wǎng)安全規(guī)定做好相應(yīng)系統(tǒng)防護。6.5網(wǎng)絡(luò)管理政務(wù)外網(wǎng)實現(xiàn)基于SNMP級基礎(chǔ)網(wǎng)管系統(tǒng)(網(wǎng)元管理系統(tǒng))，實現(xiàn)基于ITIL業(yè)務(wù)與服務(wù)管理。各級網(wǎng)管系統(tǒng)實現(xiàn)互聯(lián)互通，聯(lián)合監(jiān)控。建設(shè)SNMP基礎(chǔ)網(wǎng)管系統(tǒng)和ITIL運維管理系統(tǒng)。6.6計算機接入終端計算機終端網(wǎng)絡(luò)接入的原則性規(guī)定如下：禁止一機兩用；外網(wǎng)、政務(wù)網(wǎng)的計算機終端可采用一臺計算機通過有關(guān)部門認可的隔離卡切行切換，也可分別采用單獨的計算機終端；采用的隔離卡應(yīng)是經(jīng)過有關(guān)部門鑒定的產(chǎn)品，且應(yīng)是國產(chǎn)的。7政務(wù)外網(wǎng)組網(wǎng)技術(shù)標準7.1傳輸鏈路電子政務(wù)傳輸骨干網(wǎng)絡(luò)是實現(xiàn)電子政務(wù)外網(wǎng)建設(shè)的物質(zhì)基礎(chǔ)，一般租用運營商光纖、電路等構(gòu)成的物理傳輸骨干。7.2IP及域名規(guī)劃政務(wù)外網(wǎng)IP地址及域名規(guī)劃遵循《國家電子政務(wù)外網(wǎng)IP地址及域名管理規(guī)劃(試行)》(2006年9月)，采用“正式地址＋保留地址”相結(jié)合的綜合地址規(guī)劃方案，即“公有IP地址＋私有地址”雙軌制編址方案。7.3路由體系IGP類協(xié)議用于自治區(qū)域內(nèi)部路由發(fā)布，推薦OSPFV2作為統(tǒng)一的IGP協(xié)議；BGP類協(xié)議用于自治區(qū)域間路由發(fā)布或承載MPLSVPN，推薦BGPv4作為統(tǒng)一的BGP協(xié)議。7.3.1IGP規(guī)范7.3.1.1IGP協(xié)議應(yīng)采用OSPFV2作為自治區(qū)域內(nèi)部的IGP路由協(xié)議。7.3.1.2OSPF區(qū)域市級自治區(qū)域內(nèi)OSPF區(qū)域劃分由市電子政務(wù)外網(wǎng)管理部門自行設(shè)計，應(yīng)將市骨干作為OSPF0號區(qū)域，并為每個區(qū)和縣劃分獨立的OSPF區(qū)域。7.3.1.3OSPFRouterID應(yīng)采用網(wǎng)絡(luò)設(shè)備的loopback0或loopback1(考慮到某些廠商設(shè)備在不支持loopback0時采用loopback1)的接口地址作為設(shè)備的RouterID。RouterID應(yīng)統(tǒng)一規(guī)劃，作為路由域內(nèi)的該設(shè)備的唯一地址標識以及管理地址。6DB5305/T19.6-20197.3.1.4OSPF時間參數(shù)OSPF時間參數(shù)如下：——相鄰路由器間失效時間為3秒；——外部路由引入采用OE1方式(即到外部路由的花費值=本路由器到相應(yīng)的ASBR的花費值+ASBR到該路由目的地址的花費值)，應(yīng)只引入需要發(fā)布的路由；域間路由條目的發(fā)布只發(fā)布域匯總路由信息(路由條目≤4條)；——采用MD5對報文(接口、區(qū)域)進行驗證。7.3.1.5OSPFCOSTCOST值應(yīng)設(shè)置為：.6OSPFDR與BDROSPFDR與BDR選擇應(yīng)按照如下原則進行：——應(yīng)手動指定，上級設(shè)備為DR；——OSPF接口上所有網(wǎng)絡(luò)類型均配置為廣播；——OSPF區(qū)域支持報文驗證；——在市核心路由器上必須配置OSPF路由濾，包含對引入和發(fā)布的路由都需要過濾(推薦配置策略只允許合法路由條目發(fā)布和接受)；——不應(yīng)采用OSPF虛連接的方式連接區(qū)域。7.3.2BGP7.3.2.1BGP市級電子政務(wù)外網(wǎng)BPG區(qū)域覆蓋市核心與匯聚路由器、區(qū)縣接入路由器、市直單位接入路由器等。市級核心路由/交換設(shè)備作為反射器，反射器的群ID配置為loopback0或loopback1(考慮到某些廠商設(shè)備在不支持loopback0時采用loopback1)的接口地址作為設(shè)備的反射器的群ID。7.3.2.2BGP對等體BGP對等體的要求