DB31DSJZ 003-2024電子政務外網(wǎng)網(wǎng)絡建設規(guī)范

DB31SpecificationforconstructionofE-governmentnetwork上海市數(shù)據(jù)局發(fā)布I 3 3 3 3 4 4 4 4 5 5 5 6 7 7 8 8 9 9 9 9 本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定楊昊、高麗、王韻凱、章建兵、連婭、寧庭勇、韓兆祥、李冰、彭煒、楚鑫偉、吳堅、3電子政務外網(wǎng)網(wǎng)絡建設規(guī)范本文件適用于指導上海市政務外網(wǎng)網(wǎng)絡規(guī)劃、設計、建設及GB/T22239—2019信息安全技術網(wǎng)絡安全等級保護基本要求邏輯隔離，滿足各級部門經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務等方面需要的政務公用網(wǎng)絡。4縮略語BGP：邊界網(wǎng)關協(xié)議(BorderGatewayProtocol)DDoS：分布式拒絕服務(DistributedDenialofServiFRR：快速重路由（FastRerouH-QOS：層次化服務質(zhì)量（HierachicalQuIGP：內(nèi)部網(wǎng)關協(xié)議（InteriorIS-IS：中間系統(tǒng)-中間系統(tǒng)協(xié)議（IntermediateMPLS：多協(xié)議標記交換（Multi-ProtocolLabelSwitching）4NAT：網(wǎng)絡地址轉(zhuǎn)換（NetworkAddressTranslation）OSPF：開放式最短路徑優(yōu)先（OpenOTN：光傳送網(wǎng)（OpticalTransportNeQOS：服務質(zhì)量（QualityofSerVLAN：虛擬局域網(wǎng)（VirtualLoVPN：虛擬專用網(wǎng)絡（VirtalPrivateNetwork）VxLAN：虛擬可擴展局域網(wǎng)（VirtuSDN：軟件定義網(wǎng)絡（SoftwareDefined5.1概述a)光傳輸網(wǎng)絡：在政務外網(wǎng)的重要節(jié)點采用光傳輸設備組建底層光傳輸網(wǎng)絡。b)業(yè)務網(wǎng)絡：基于IP技術，采用數(shù)據(jù)平面和視頻平面互為備份的“一網(wǎng)雙平面”架構。c)管理系統(tǒng)承載網(wǎng)：基于IP技術，為市、區(qū)兩級政務外網(wǎng)運行和安全監(jiān)測支撐系統(tǒng)提供獨立、5.2光傳輸網(wǎng)絡架構5.2.1光傳輸網(wǎng)絡采用OTN技術組網(wǎng)，為業(yè)務網(wǎng)絡提供大帶寬、低時延、高可靠的傳輸通道。置分布、機房和光纖鏈路資源的配置等因素，設置核心節(jié)點和匯聚節(jié)點。5.3業(yè)務網(wǎng)絡架構政務外網(wǎng)業(yè)務網(wǎng)絡采用分層架構，分為核心層、匯聚層和接5b)采用“一網(wǎng)雙平面”的架構設計，數(shù)據(jù)平面承載數(shù)據(jù)流量，視頻平面承載視頻流量，兩個平c)核心層承擔高速數(shù)據(jù)交換任務，同時與上一級政務外網(wǎng)和互聯(lián)網(wǎng)連接。政務外網(wǎng)與互聯(lián)網(wǎng)之間采用安全技術邏輯隔離。為提升網(wǎng)絡可靠性，應至少設置兩個或兩個以上核心節(jié)點，并確d)匯聚層將來自接入層的訪問進行集中和匯聚，承擔路由聚合和訪問控制的功能。匯聚層節(jié)點e)接入層提供政務外網(wǎng)各使用單位的網(wǎng)絡接入。接入層網(wǎng)絡采用單鏈路或雙鏈路上行的方式接f)建立安全接入?yún)^(qū)（分無線通信網(wǎng)安全接入?yún)^(qū)、安全接入?yún)^(qū)等），滿足部分機構、部門通過衛(wèi)5.4管理系統(tǒng)承載網(wǎng)架構理系統(tǒng)的互聯(lián)互通，與業(yè)務網(wǎng)絡采用不同光傳輸通道進行數(shù)據(jù)傳送，實現(xiàn)與業(yè)務網(wǎng)絡的波至市級政務外網(wǎng)運行和安全監(jiān)測支撐系統(tǒng)，進行數(shù)據(jù)的綜合分析及匯政務外網(wǎng)光傳輸網(wǎng)能與現(xiàn)有網(wǎng)絡兼容，具體a)宜采用單波速率100G及以上的OTN技術；b)應支持帶寬平滑擴容，網(wǎng)絡具備向200G及以上速率帶寬平滑擴容的能力；c)應采用分層分域的組網(wǎng)架構，網(wǎng)絡具有自愈能力，并為政務應用提供安全可靠的傳輸通道；d)應采用保護路徑和工作路徑物理光纖分離的保護策略，端到端保護倒換時間小于50ms；e)應具有多種業(yè)務統(tǒng)一承載的能力，提供FE、GE、155M、10GE、40GE等多種業(yè)務類型的接口，f)應支持光纖線路診斷功能，快速定位光纖線路故障；g)宜采用SDN技術，實現(xiàn)對業(yè)務和鏈路的快速下發(fā)和調(diào)整；h)市級政務外網(wǎng)應使用G.652D或G.654E規(guī)格的光纜，光纖在1550nm附近的每公里線路衰耗在0.3dB以下；區(qū)級政務外網(wǎng)應使用G.652或G.655規(guī)格的光纜，光纜每公里線路衰耗在0.3dB以a)核心層節(jié)點設備應具備帶寬易擴容、升級的特點，宜支持集群功能；b)核心節(jié)點之間互聯(lián)應采用網(wǎng)狀或環(huán)形組網(wǎng)結構；c)核心層節(jié)點設備的光層宜使用業(yè)務靈活調(diào)度的技術，減少網(wǎng)絡組網(wǎng)和運維的復雜度；d)核心節(jié)點之間開通兩個不同路由的光傳輸通道，對承載業(yè)務進行冗余保護；6匯聚節(jié)點設備應根據(jù)機房環(huán)境的復雜性和多樣政務外網(wǎng)傳輸設備應符合YD/T3966、YD/T2484、YD/T38a)基于TCP/IP技術構建政務外網(wǎng)業(yè)務網(wǎng)絡，采用支持IPv4/IPv6雙棧技術的網(wǎng)絡設備；b)符合GB/T22239—2019中的相關規(guī)定；c)不同應用在業(yè)務網(wǎng)絡相互獨立，可選用VLAN、VxLAN、VPN、網(wǎng)絡切片等方式實現(xiàn)不同業(yè)務的d)采用國產(chǎn)化的網(wǎng)絡和安全設備和系統(tǒng)；e)采用SDN技術，實現(xiàn)業(yè)務快速部署；f)基于大數(shù)據(jù)分析技術和智能檢測技術，對網(wǎng)絡中不同業(yè)務的運行狀態(tài)、服務質(zhì)量進行實時監(jiān)N×1Gbps或N×10GbpsN×1Gbps或N×10GbpsN×1Gbps或N×10GbpsN×1Gbps或N×10Gbps7a)核心層設備支持用戶流量安全、高速、可靠轉(zhuǎn)發(fā)的功能；b)核心節(jié)點設備選型滿足面向未來業(yè)務發(fā)展平滑擴展的需要；c)核心節(jié)點采用高冗余設計，保證核心網(wǎng)絡的高可靠性；d)核心節(jié)點數(shù)不少于2個，每個核心節(jié)點部署不少于兩臺路由器設備。市級兩臺設備之間不少于100G鏈路互相冗余，區(qū)級兩臺設備之間為40Gbps～100Gb應有多條冗余鏈路，市級核心節(jié)點之間互聯(lián)帶寬不少于100G，區(qū)級不少于40Gbps～100Gbps。市級政務外網(wǎng)匯聚節(jié)點向上通過100Gbps鏈路分別連接至兩個核心節(jié)點，向下通過N×1Gbps或N×區(qū)級政務外網(wǎng)匯聚節(jié)點向上通過40Gbps～100Gbps鏈路連接核心節(jié)點，向下通過N×1Gbps鏈路或N各接入節(jié)點根據(jù)實際情況選擇單設備單鏈路、單管理系統(tǒng)承載網(wǎng)應支持智能檢測技術,實市、區(qū)兩級政務外網(wǎng)光傳輸網(wǎng)通過電層客戶側接口對接a)通過傳輸設備的電層客戶側接口（GE/10GE/100GE、FC等）直接對接；b)兩方傳輸設備通過GE/10GE/100GE接口，聯(lián)接至指定的路由器或交換機設備，在該設備上完成區(qū)級政務外網(wǎng)的出口設備放置于同一機房，兩者通過光纖直聯(lián)。接入設備宜通過N×10Gbps鏈路與市級政務外網(wǎng)的匯聚交換機聯(lián)接，宜通過N×1Gbps或N×10Gbp求。安全接入?yún)^(qū)應包括但不限于出口路由器、入侵防御、防火墻、防病毒等a)應選用IS-IS/IS-ISv6、OSPF/OSPFv3、BGP(BGP4+)作為互聯(lián)協(xié)議；b)應選用MPLSVPN、VLAN、VxLAN、EVPN、網(wǎng)絡切片等技術實現(xiàn)不同政務業(yè)務子網(wǎng)的邏輯隔離；8c)可選用OTN光傳輸網(wǎng)絡進行市、區(qū)兩級政務外網(wǎng)的對接；a)宜采用光傳輸設備的彩光技術對接（單個波長λ的波分側信號80km內(nèi)直接對接，兩者采用同一波長，λ1~λ40可選），即市、區(qū)兩級政b)可采用光傳輸設備的灰光技術對接（如OTU2灰光），即市、區(qū)兩級政務外網(wǎng)的光傳輸環(huán)網(wǎng)設a)國家政務外網(wǎng)互聯(lián)共享地址（59.X.X.X）應以區(qū)級政務外網(wǎng)為單位向市級政務外網(wǎng)管理單位b)市政務外網(wǎng)本地網(wǎng)絡地址（10.X.X.X/16）應以1個B類地址為單位，按需分配給各區(qū)政務外網(wǎng)及接入單位使用，若增加應向政務外網(wǎng)管理單位申請。視頻為/16，視頻終端地址IP地址范圍為/16-10.171.0..1IPv4地址由政務外網(wǎng)管理單位.3IPv4地址存在沖突時，應向政務外網(wǎng)管理單位進行申IPv6地址由128位二進制數(shù)組成，采用十六進制表示。IPv6地址格式為x:x:x:x:x:一個4位十六進制整數(shù)，每一個十六進制整數(shù)IPv6地址分為固定前綴區(qū)、自定義前綴區(qū)a)固定前綴區(qū)共30位，包括固定前綴、類9路由設備的互聯(lián)地址和Loopback地址應由政務外網(wǎng)管b)市級接入單位采用上海市政務外網(wǎng)的子域名“委辦局.”作為域名，如市統(tǒng)計局c)各區(qū)接入單位采用上海市政務外網(wǎng)的子域外網(wǎng)域名見附錄B；d)政務外網(wǎng)域名原則上不超過5段，如“主機名.單位名e)接入上海市政務外網(wǎng)的四級域名（四級域名.）應向政務外網(wǎng)管理單位申請并向域注冊，各區(qū)可基于上海市政務外網(wǎng)建設子域（四級域名.f)域名優(yōu)先注冊順序為各單位中文簡稱首字母、各單位英文簡稱以及其它能夠標識本單位的字7.2.2域名服務應支持IPv4/IPv6），7.3.2政務外網(wǎng)應分離業(yè)務網(wǎng)絡路由和用戶路由。區(qū)級政務外網(wǎng)業(yè)務網(wǎng)絡路由和用戶路由可以由IGP政務外網(wǎng)業(yè)務網(wǎng)絡設備應支持IPv4/IPv6雙棧技術，同時支持IPv4和IPv6網(wǎng)絡的接b)支持流量動態(tài)調(diào)整、隧道帶寬動態(tài)調(diào)整、隧道路徑控制和調(diào)優(yōu)、節(jié)點和鏈路流量控制、維護a)支持根據(jù)用戶需求查詢、修改、備份網(wǎng)絡設備信息，包括系統(tǒng)信息、路由信息、接口信息以b)通過SDN控制器和設備配置進行比對，控制器自動發(fā)c)提供統(tǒng)一拓撲發(fā)現(xiàn)功能，支持全網(wǎng)監(jiān)控，實時監(jiān)控所有網(wǎng)絡設備的運行狀況；d)支持業(yè)務自動化發(fā)放、部署及按需調(diào)整，支持的業(yè)務類型包括動態(tài)L3VPN、動態(tài)TE隧道、QOS/H-QOS；支持的業(yè)務組合包括動態(tài)L3Va)性能監(jiān)控：支持創(chuàng)建、修改、刪除、掛起、恢復性能監(jiān)控實例功能；支持性能監(jiān)控實例分組b)設置性能監(jiān)視門限值：支持性能參數(shù)越過或低于一定c)性能分析和管理：支持對性能數(shù)據(jù)進行分析、統(tǒng)計和計算性能指標；支持管理性能數(shù)據(jù)、查a)故障信息采集：支持采集網(wǎng)元設備的告警信息，包括設備故障告警、鏈路故障告警、門限告b)故障監(jiān)視：支持監(jiān)視網(wǎng)元和網(wǎng)絡路由，出現(xiàn)故障時c)故障處理過程管理：記錄故障產(chǎn)生、a)用戶權限管理：管理不同職責的用戶對系統(tǒng)和資源的操作權限；b)用戶維護和監(jiān)控：在權限維護期內(nèi)，根據(jù)需要查看或編輯用戶信息、角色信息、操作集信息c)遠端認證：通過配置AAA認證協(xié)議實現(xiàn)與第三方系統(tǒng)的對接；d)賬號安全策略：支持對用戶的帳號進行登錄或鎖定策略的設置；e)密碼安全策略：支持設置密碼的復雜度、更新周期、字符限制等；f)登錄IP地址控制策略：支持根據(jù)需要設置登錄IP地址控制策略，限制用戶僅從特定IP地址區(qū)g)登錄時間控制策略：支持根據(jù)需要設置登錄時間控制策略，限制用戶僅在特定的時間段內(nèi)登和轉(zhuǎn)儲日志功能。日志導出格式應統(tǒng)一，能自動生成報表，支持圖形化展示。審計日志應至少保存6個a)支持IPv4地址對各種IPv6地址b)支持對IPv6設備和雙棧設備的性能、資源、故障等數(shù)據(jù)采集能力，滿足對IPv6設備和雙棧設c)支持對雙棧設備進行IPv4及IPv6的關聯(lián)，使雙棧設備資源、性能、故障等數(shù)據(jù)與歷史數(shù)據(jù)平d)支持通過基于IPv4的SNMP訪問相關設備IPv6MIB，通過IPva)第一類區(qū)域：政務外網(wǎng)到互聯(lián)網(wǎng)的接入邊界，防范從互聯(lián)網(wǎng)b)第二類區(qū)域：各級政務外網(wǎng)互聯(lián)的邊界，如市級政務外網(wǎng)到國家級政務外網(wǎng)、區(qū)級政務外網(wǎng)c)第三類區(qū)域：各單位政務網(wǎng)接入到對應市、區(qū)級政務外網(wǎng)的邊界，防范非法跨網(wǎng)用戶對政務d)第四類區(qū)域：3G、4G、5G以及衛(wèi)星通信等無線網(wǎng)絡接入到政務外網(wǎng)的邊界，防范非法無線網(wǎng)e)第五類區(qū)域：部分機構、部門等單位接入到政務外網(wǎng)的邊界，防范非法接入單位用戶對政務政務外網(wǎng)接入單位應當在符合國家網(wǎng)絡安全等級保護要求的前提下接入政務外政務外網(wǎng)管理單位應當建立運行和安全事件上報、風險上報、案例上報、威脅情報共享、預警通報、漏洞政務外網(wǎng)管理單位應當依托政務外網(wǎng)運行和安全監(jiān)測支撐系統(tǒng)，開展網(wǎng)絡安全監(jiān)測、大數(shù)據(jù)√證√√√√√√√√√√√御√√√√√APT檢測√√√√√程辦公用戶或撥號接入的無線通信網(wǎng)用戶，提供√√署√√√√√計√√√√√a)數(shù)據(jù)采集層：通過部署探針、接收安全設備日志、漏洞掃描設備掃描日志等方式獲取原始數(shù)通報預警子系統(tǒng)可基于態(tài)勢感知子系統(tǒng)的態(tài)勢展現(xiàn)模塊進行接口開發(fā)，或單獨建設開發(fā)。通報預警按照安全風險和影響程度分為高危、中危和低危事件。威脅情報共享子系統(tǒng)可基于漏洞掃描子系統(tǒng)可單獨部署漏洞掃描設備，或集成在態(tài)勢感知子系統(tǒng)內(nèi)部相關功能模塊。漏洞掃描子系統(tǒng)應支持對操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備、安全設備、Web系統(tǒng)、弱口令等的漏洞掃描，支持系統(tǒng)配置基線核查、資產(chǎn)自動發(fā)現(xiàn)、遠程自動升級、本地升級最新漏洞庫等a)設備管理：支持設備自動發(fā)現(xiàn)、設備及設備組的增刪改查、設備配置一致性對比、設備單點b)策略管理：支持設置源/目的安全區(qū)域、源/目的地址、服務、時間段等匹配條件；支持對策略組視圖和設備視圖進行策略快速管理；支持策略變更統(tǒng)計、配置一致性統(tǒng)計、部署狀態(tài)統(tǒng)c)策略合規(guī)性檢查：支持定義白名單、風險規(guī)則、混合規(guī)則等檢查方式；支持低風險策略自動d)策略仿真：支持通過學習業(yè)務互訪關系，對比待部署策略，并模擬部署方式，評估策略對業(yè)e)協(xié)同聯(lián)動：支持安全管理控制子系統(tǒng)聯(lián)動態(tài)勢感知子系統(tǒng)，以實現(xiàn)威脅檢測結果自動轉(zhuǎn)化為a)1-24位，類型域，240B: