DB5305T 19.6-2019保山市信息惠民工程綜合標(biāo)準(zhǔn) 第6部分：電子政務(wù)外網(wǎng)建設(shè)技術(shù)標(biāo)準(zhǔn)

ICS35.240L67保山市DB5305地方標(biāo)準(zhǔn)DB5/T19.6—2019替代DG5305/T19.6—2017保山市市場(chǎng)監(jiān)督管理局發(fā)布DB5305/T19.6-2019前言本標(biāo)準(zhǔn)按照GB/T1.1—2009《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)的結(jié)構(gòu)和編寫》給出的規(guī)則起草。本標(biāo)準(zhǔn)中附錄A為規(guī)范性附錄，附錄B為規(guī)范性附錄。本標(biāo)準(zhǔn)由保山市大數(shù)據(jù)管理局提出。本標(biāo)準(zhǔn)由保山市工業(yè)和信息化委員會(huì)歸口。本標(biāo)準(zhǔn)起草單位：保山市大數(shù)據(jù)管理局。本標(biāo)準(zhǔn)主要起草人：劉志胡、王明超、李祖燕、丁威、羅紅建、張忠信、陳秋玲。本標(biāo)準(zhǔn)替代DG5305/T19.6—2017。1DB5305/T19.6-2019保山市信息惠民工程綜合標(biāo)準(zhǔn)電子政務(wù)外網(wǎng)建設(shè)技術(shù)標(biāo)準(zhǔn)1范圍本標(biāo)準(zhǔn)規(guī)定了保山市電子政務(wù)外網(wǎng)的整體架構(gòu)和組網(wǎng)技術(shù)標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)適用于保山市電子政務(wù)外網(wǎng)平臺(tái)的立項(xiàng)、規(guī)劃、設(shè)計(jì)、實(shí)施和運(yùn)行管理。2規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)根據(jù)本標(biāo)準(zhǔn)達(dá)成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。國(guó)家電子政務(wù)外網(wǎng)IP地址及域名管理規(guī)劃(試行)DB5305/T19.3-2019保山市信息惠民工程綜合標(biāo)準(zhǔn)術(shù)語3術(shù)語和定義DB5305/T19.3-2019確立的以及下列術(shù)語和定義適用于本標(biāo)準(zhǔn)。3.1電子政務(wù)外網(wǎng)電子政務(wù)外網(wǎng)(簡(jiǎn)稱政務(wù)外網(wǎng))是按照《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)指導(dǎo)意見》(中辦發(fā)〔2002〕17號(hào))文件和《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于推進(jìn)國(guó)家電子政務(wù)網(wǎng)絡(luò)建設(shè)的意見》(〔2006〕18號(hào))文件要求建設(shè)的我國(guó)電子政務(wù)重要公共基礎(chǔ)設(shè)施，是服務(wù)于各級(jí)黨委、人大、政府、政協(xié)、法院和檢察院等政務(wù)部門，滿足其經(jīng)濟(jì)調(diào)節(jié)、市場(chǎng)監(jiān)管、社會(huì)管理和公共服務(wù)等方面需要的政務(wù)公用網(wǎng)絡(luò)。政務(wù)外網(wǎng)支持跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用、信息共享和業(yè)務(wù)協(xié)同，以及不需在政務(wù)內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)。政務(wù)外網(wǎng)由中央政務(wù)外網(wǎng)和地方政務(wù)外網(wǎng)組成，與互聯(lián)網(wǎng)邏輯隔離。3.2互聯(lián)網(wǎng)互聯(lián)網(wǎng)，又稱網(wǎng)際網(wǎng)絡(luò)，或音譯因特網(wǎng)(Internet)、英特網(wǎng)，互聯(lián)網(wǎng)始于1969年美國(guó)的阿帕網(wǎng)。是網(wǎng)絡(luò)與網(wǎng)絡(luò)之間所串連成的龐大網(wǎng)絡(luò)，這些網(wǎng)絡(luò)以一組通用的協(xié)議相連，形成邏輯上的單一巨大國(guó)際3.3虛擬專用網(wǎng)VPNVPN，即虛擬專用網(wǎng)，指的是依靠ISP(Internet服務(wù)提供商)和其它NSP(網(wǎng)絡(luò)服務(wù)提供商)，在公用網(wǎng)絡(luò)中建立專用的數(shù)據(jù)通信網(wǎng)絡(luò)的技術(shù)。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。3.4多協(xié)議標(biāo)簽交換MPLSVPNMPLSVPN指在電子政務(wù)二三四級(jí)網(wǎng)絡(luò)中，為了實(shí)現(xiàn)業(yè)務(wù)的隔離和安全，采用BGP/MPLSIPVPN進(jìn)行安全隔離，將不同的業(yè)務(wù)進(jìn)行縱向和橫向隔離，保證在信息共享的基礎(chǔ)上實(shí)現(xiàn)業(yè)務(wù)安全隔離。3.5網(wǎng)元管理系統(tǒng)網(wǎng)元管理系統(tǒng)是管理特定類型的一個(gè)或多個(gè)電信網(wǎng)絡(luò)單元(NE)的系統(tǒng)。一般來說，EMS管理著每2DB5305/T19.6-2019個(gè)NE的功能和容量，但并不理會(huì)網(wǎng)絡(luò)中不同NE之間的交流。4縮略語下列縮略語適用于本標(biāo)準(zhǔn)?！狝BR：AreaBorderRouter，區(qū)域邊界路由器——AS：AutonomousSystem，自治系統(tǒng)——ASBR：AutonomousSystemBoundaryRouter，自治系統(tǒng)邊界路由器——BDR：Back-UpDesignatedRouter，備份指定路由器——BGP：BorderGatewayProtocol，邊界網(wǎng)關(guān)協(xié)議——DR：DesignatedRouter，指定路由器——EBGP：ExternalBorderGatewayProtocol，外部邊界網(wǎng)關(guān)協(xié)議——EMS:NetworkElementManagementSystem，網(wǎng)元管理系統(tǒng)——IBGP：InternalBorderGatewayProtocol，內(nèi)部邊界網(wǎng)關(guān)協(xié)議——ID：Identity，標(biāo)識(shí)號(hào)——IP：InternetProtocol，網(wǎng)絡(luò)之間互連的協(xié)議——IGP：InteriorGatewayProtocol，內(nèi)部網(wǎng)關(guān)協(xié)議——IPS:IntrusionPreventionSystem，入侵防御系統(tǒng)——ISP：InternetServiceProvider，互聯(lián)網(wǎng)服務(wù)提供商——ITIL：InformationTechnologyInfrastructureLibrary，IT基礎(chǔ)架構(gòu)庫(kù)——LSA：Link-StateAdvertisement，鏈路狀態(tài)廣播——MPLS：Multi-ProtocolLabelSwitch，多協(xié)議標(biāo)簽交換——NSP：NetworkServicesProvider，網(wǎng)絡(luò)服務(wù)提供商——OSPF：OpenShortestPathFirst，開放式最短路徑優(yōu)先，是一個(gè)內(nèi)部網(wǎng)關(guān)協(xié)議——SDH：SynchronousDigitalHierarchy，同步數(shù)字體系——SNMP：SimpleNetworkManagementProtocol，簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議——SSL：SecureSocketsLayer，安全套接層——STM：SynchronousTransferModule，同步傳輸模式——VPN：VirtualPrivateNetwork，虛擬專用網(wǎng)絡(luò)5政務(wù)外網(wǎng)總體構(gòu)成政務(wù)外網(wǎng)建設(shè)將嚴(yán)格按照國(guó)家電子政務(wù)外網(wǎng)的總體規(guī)劃和技術(shù)標(biāo)準(zhǔn)，系統(tǒng)整體采用模塊化與分層架構(gòu)來設(shè)計(jì)。政務(wù)外網(wǎng)應(yīng)考慮未來IPv6的發(fā)展，支持MPLSVPN，支持?jǐn)?shù)據(jù)、語音、視頻業(yè)務(wù)，并實(shí)現(xiàn)網(wǎng)絡(luò)管理和運(yùn)行服務(wù)支撐。保山市政務(wù)外網(wǎng)主要包括如下：——省-市-縣三級(jí)縱向網(wǎng)；——市級(jí)橫向網(wǎng)、縣(市、區(qū))橫向網(wǎng)；——統(tǒng)一市級(jí)互聯(lián)網(wǎng)出口；——行政村互聯(lián)網(wǎng)VPN接入與移動(dòng)辦公VPN接入系統(tǒng)；——上連省電子政務(wù)外網(wǎng)；——市、縣兩級(jí)外網(wǎng)數(shù)據(jù)中心。6政務(wù)外網(wǎng)業(yè)務(wù)模型6.1政務(wù)外網(wǎng)模型3公用網(wǎng)絡(luò)區(qū)政務(wù)外網(wǎng)共享平臺(tái)公共網(wǎng)絡(luò)服務(wù)安全交換專用網(wǎng)絡(luò)區(qū)(MPLSVPN)G-C業(yè)務(wù)G-B業(yè)務(wù)公用網(wǎng)絡(luò)區(qū)政務(wù)外網(wǎng)共享平臺(tái)公共網(wǎng)絡(luò)服務(wù)安全交換專用網(wǎng)絡(luò)區(qū)(MPLSVPN)G-C業(yè)務(wù)G-B業(yè)務(wù)internet公眾用戶互聯(lián)網(wǎng)服務(wù)安全交換企業(yè)G-G業(yè)務(wù)移動(dòng)辦公安全和認(rèn)證服務(wù)安全互聯(lián)政務(wù)部門(Global)互聯(lián)網(wǎng)接入?yún)^(qū)外網(wǎng)安全接入平臺(tái)(internetVPN)6.1.1政務(wù)外網(wǎng)公共基礎(chǔ)設(shè)施業(yè)務(wù)模型政務(wù)外網(wǎng)公共基礎(chǔ)設(shè)施業(yè)務(wù)模型如圖1。圖1政務(wù)外網(wǎng)公共基礎(chǔ)設(shè)施業(yè)務(wù)模型VPN邏VPN邏VPN邏輯隔離輯輯隔離政務(wù)VPN政務(wù)VPN用戶主要政務(wù)用戶政務(wù)外網(wǎng)公共基礎(chǔ)設(shè)施6.1.2政務(wù)外網(wǎng)邏輯分區(qū)根據(jù)政務(wù)外網(wǎng)所承載的業(yè)務(wù)和系統(tǒng)服務(wù)類型的不同，在邏輯上將政務(wù)外網(wǎng)劃分為公用網(wǎng)絡(luò)區(qū)(Global)、專用網(wǎng)絡(luò)區(qū)(MPLSVPN)和互聯(lián)網(wǎng)接入?yún)^(qū)(InternetVPN)三個(gè)功能域，分別提供政務(wù)外網(wǎng)互聯(lián)互通業(yè)務(wù)、專用VPN業(yè)務(wù)和互聯(lián)網(wǎng)業(yè)務(wù)。6.1.3功能區(qū)間安全手段功能域相互之間安全隔離，公用網(wǎng)絡(luò)區(qū)用于實(shí)現(xiàn)各部門、各地區(qū)互聯(lián)互通，實(shí)現(xiàn)數(shù)據(jù)共享；專用網(wǎng)絡(luò)區(qū)用于實(shí)現(xiàn)不同部門或不同業(yè)務(wù)之間的MPLSVPN相互隔離，用于專門部門和專有業(yè)務(wù)的通信；互聯(lián)網(wǎng)接入?yún)^(qū)用于實(shí)現(xiàn)各級(jí)政務(wù)部門通過邏輯隔離手段安全接入互聯(lián)網(wǎng)，提供面向社會(huì)的公共服務(wù)和互聯(lián)網(wǎng)訪問。政務(wù)外網(wǎng)通過構(gòu)建互聯(lián)網(wǎng)安全接入平臺(tái)，實(shí)現(xiàn)各級(jí)政務(wù)部門移動(dòng)辦公的公務(wù)人員利用互聯(lián)網(wǎng)通道，通過數(shù)字證書認(rèn)證和密碼技術(shù)，安全接入政務(wù)外網(wǎng)，訪問指定的業(yè)務(wù)應(yīng)用系統(tǒng)。6.2政務(wù)外網(wǎng)網(wǎng)絡(luò)架構(gòu)保山市政務(wù)外網(wǎng)向上連接省電子政務(wù)外網(wǎng)、向下連接保山各縣區(qū)政務(wù)網(wǎng)。市級(jí)節(jié)點(diǎn)建設(shè)市數(shù)據(jù)中心，實(shí)現(xiàn)市級(jí)各單位數(shù)據(jù)共享。保山市政務(wù)外網(wǎng)如圖2。4省電子政務(wù)外網(wǎng)市級(jí)單位接入?yún)R聚路由器區(qū)縣匯聚路由器電子政務(wù)外網(wǎng)骨干圖區(qū)縣橫向接入DB5305/T19.6-2019省電子政務(wù)外網(wǎng)市級(jí)單位接入?yún)R聚路由器區(qū)縣匯聚路由器電子政務(wù)外網(wǎng)骨干圖區(qū)縣橫向接入圖2保山市政務(wù)外網(wǎng)示意圖InternetInternet入侵檢測(cè)系統(tǒng)Vpn接入Vpn接入市數(shù)據(jù)中心/云平臺(tái)核心路由器局域網(wǎng)接入手機(jī)接入無線終端接入市市橫向接入單位6.2.1傳輸線路政務(wù)外網(wǎng)骨干網(wǎng)絡(luò)盡量采用光纖連接，政務(wù)外網(wǎng)核心設(shè)備之間采用冗余線路連接，核心與匯聚以及匯聚與接入設(shè)備之間也采用冗余線路連接。6.2.2路由協(xié)議電子政務(wù)外網(wǎng)核心、匯聚以及接入層設(shè)備可采用OSPF路由協(xié)議，實(shí)現(xiàn)冗余線路的切換。6.2.3網(wǎng)絡(luò)帶寬核心設(shè)備以及核心與匯聚之間采用萬兆鏈路連接，匯聚與接入之間可以采用千兆鏈路連接。6.3互聯(lián)網(wǎng)出口與遠(yuǎn)程VPN接入6.3.1市互聯(lián)網(wǎng)出口市電子政務(wù)辦設(shè)置統(tǒng)一的互聯(lián)網(wǎng)出口，與互聯(lián)網(wǎng)進(jìn)行安全可控連接，提供公共服務(wù)與VPN接入、互聯(lián)網(wǎng)訪問使用。市互聯(lián)網(wǎng)出口安全設(shè)備包括防火墻設(shè)備、入侵防御系統(tǒng)。防火墻的性能能夠達(dá)到小包64字節(jié)的吞吐量4Gbps以上，同時(shí)能夠支持虛擬防火墻和SSLVPN接入。IPS入侵防御系統(tǒng)的部署，配合防火墻進(jìn)行2~7層的全面安全防護(hù)?？紤]到當(dāng)前應(yīng)用層攻擊的多樣化，越來越多的攻擊事情都是通過木馬、病毒等方式發(fā)起，IPS具有防病毒網(wǎng)關(guān)的功能，能夠同時(shí)阻斷病毒和惡意攻擊。6.3.2遠(yuǎn)程VPN接入市級(jí)階段設(shè)置VPN接入網(wǎng)關(guān)和1套認(rèn)證管理系統(tǒng)；VPN接入認(rèn)證通過認(rèn)證管理系統(tǒng)，實(shí)現(xiàn)對(duì)接入用戶的身份認(rèn)證。VPN接入網(wǎng)關(guān)通過提供SSLVPN方式提供用戶撥號(hào)認(rèn)證和加密，用戶認(rèn)證管理系統(tǒng)采用標(biāo)準(zhǔn)的RADIUS協(xié)議進(jìn)行身份認(rèn)證。市管理員管理維護(hù)屬于自己區(qū)域的用戶信息和策略定義。5DB5305/T19.6-20196.3.3移動(dòng)辦公VPN接入VPN接入網(wǎng)關(guān)同時(shí)能滿足行政村用戶和政務(wù)移動(dòng)用戶VPN接入需要，以及解決零散分布的用戶在異地訪問政務(wù)外網(wǎng)，并提供身份驗(yàn)證、授權(quán)功能。6.4系統(tǒng)安全與保障在政務(wù)外網(wǎng)與互聯(lián)網(wǎng)出口之間需要部署防火墻和入侵防護(hù)設(shè)備，在數(shù)據(jù)中心(云平臺(tái))部署防火墻以及專用系統(tǒng)防護(hù)安全設(shè)備，在與省平臺(tái)連接邊界，與各橫向單位連接邊界，與縣區(qū)接入邊界部署防火墻設(shè)備。同時(shí)參考云南省頒布的相關(guān)電子政務(wù)外網(wǎng)安全規(guī)定做好相應(yīng)系統(tǒng)防護(hù)。6.5網(wǎng)絡(luò)管理政務(wù)外網(wǎng)實(shí)現(xiàn)基于SNMP級(jí)基礎(chǔ)網(wǎng)管系統(tǒng)(網(wǎng)元管理系統(tǒng))，實(shí)現(xiàn)基于ITIL業(yè)務(wù)與服務(wù)管理。各級(jí)網(wǎng)管系統(tǒng)實(shí)現(xiàn)互聯(lián)互通，聯(lián)合監(jiān)控。建設(shè)SNMP基礎(chǔ)網(wǎng)管系統(tǒng)和ITIL運(yùn)維管理系統(tǒng)。6.6計(jì)算機(jī)接入終端計(jì)算機(jī)終端網(wǎng)絡(luò)接入的原則性規(guī)定如下：禁止一機(jī)兩用；外網(wǎng)、政務(wù)網(wǎng)的計(jì)算機(jī)終端可采用一臺(tái)計(jì)算機(jī)通過有關(guān)部門認(rèn)可的隔離卡切行切換，也可分別采用單獨(dú)的計(jì)算機(jī)終端；采用的隔離卡應(yīng)是經(jīng)過有關(guān)部門鑒定的產(chǎn)品，且應(yīng)是國(guó)產(chǎn)的。7政務(wù)外網(wǎng)組網(wǎng)技術(shù)標(biāo)準(zhǔn)7.1傳輸鏈路電子政務(wù)傳輸骨干網(wǎng)絡(luò)是實(shí)現(xiàn)電子政務(wù)外網(wǎng)建設(shè)的物質(zhì)基礎(chǔ)，一般租用運(yùn)營(yíng)商光纖、電路等構(gòu)成的物理傳輸骨干。7.2IP及域名規(guī)劃政務(wù)外網(wǎng)IP地址及域名規(guī)劃遵循《國(guó)家電子政務(wù)外網(wǎng)IP地址及域名管理規(guī)劃(試行)》(2006年9月)，采用“正式地址＋保留地址”相結(jié)合的綜合地址規(guī)劃方案，即“公有IP地址＋私有地址”雙軌制編址方案。7.3路由體系IGP類協(xié)議用于自治區(qū)域內(nèi)部路由發(fā)布，推薦OSPFV2作為統(tǒng)一的IGP協(xié)議；BGP類協(xié)議用于自治區(qū)域間路由發(fā)布或承載MPLSVPN，推薦BGPv4作為統(tǒng)一的BGP協(xié)議。7.3.1IGP規(guī)范7.3.1.1IGP協(xié)議應(yīng)采用OSPFV2作為自治區(qū)域內(nèi)部的IGP路由協(xié)議。7.3.1.2OSPF區(qū)域市級(jí)自治區(qū)域內(nèi)OSPF區(qū)域劃分由市電子政務(wù)外網(wǎng)管理部門自行設(shè)計(jì)，應(yīng)將市骨干作為OSPF0號(hào)區(qū)域，并為每個(gè)區(qū)和縣劃分獨(dú)立的OSPF區(qū)域。7.3.1.3OSPFRouterID應(yīng)采用網(wǎng)絡(luò)設(shè)備的loopback0或loopback1(考慮到某些廠商設(shè)備在不支持loopback0時(shí)采用loopback1)的接口地址作為設(shè)備的RouterID。RouterID應(yīng)統(tǒng)一規(guī)劃，作為路由域內(nèi)的該設(shè)備的唯一地址標(biāo)識(shí)以及管理地址。6DB5305/T19.6-20197.3.1.4OSPF時(shí)間參數(shù)OSPF時(shí)間參數(shù)如下：——相鄰路由器間失效時(shí)間為3秒；——外部路由引入采用OE1方式(即到外部路由的花費(fèi)值=本路由器到相應(yīng)的ASBR的花費(fèi)值+ASBR到該路由目的地址的花費(fèi)值)，應(yīng)只引入需要發(fā)布的路由；域間路由條目的發(fā)布只發(fā)布域匯總路由信息(路由條目≤4條)；——采用MD5對(duì)報(bào)文(接口、區(qū)域)進(jìn)行驗(yàn)證。7.3.1.5OSPFCOSTCOST值應(yīng)設(shè)置為：.6OSPFDR與BDROSPFDR與BDR選擇應(yīng)按照如下原則進(jìn)行：——應(yīng)手動(dòng)指定，上級(jí)設(shè)備為DR；——OSPF接口上所有網(wǎng)絡(luò)類型均配置為廣播；——OSPF區(qū)域支持報(bào)文驗(yàn)證；——在市核心路由器上必須配置OSPF路由濾，包含對(duì)引入和發(fā)布的路由都需要過濾(推薦配置策略只允許合法路由條目發(fā)布和接受)；——不應(yīng)采用OSPF虛連接的方式連接區(qū)域。7.3.2BGP7.3.2.1BGP市級(jí)電子政務(wù)外網(wǎng)BPG區(qū)域覆蓋市核心與匯聚路由器、區(qū)縣接入路由器、市直單位接入路由器等。市級(jí)核心路由/交換設(shè)備作為反射器，反射器的群ID配置為loopback0或loopback1(考慮到某些廠商設(shè)備在不支持loopback0時(shí)采用loopback1)的接口地址作為設(shè)備的反射器的群ID。7.3.2.2BGP對(duì)等體BGP對(duì)等體的要求