DB3209-T 1257-2023 電子政務(wù)外網(wǎng)建設(shè)技術(shù)規(guī)范

ICS

35.240.01CCS

L

67DB3209鹽 城 市 地 方 標(biāo) 準(zhǔn)DB3209/T

—2023電子政務(wù)外網(wǎng)建設(shè)技術(shù)規(guī)范

2023

-

-

發(fā)布 2024

-

03

-

實(shí)施鹽城市市場(chǎng)監(jiān)督管理局 發(fā)布DB3209/T

1257-2023 目 次2前 言31

范圍 42

規(guī)范性引用文件 43

術(shù)語(yǔ)和定義 44

縮略語(yǔ) 55

網(wǎng)絡(luò)平臺(tái)建設(shè)規(guī)范 6網(wǎng)絡(luò)總體結(jié)構(gòu) 6市級(jí)電子政務(wù)外網(wǎng)建設(shè)規(guī)范 6縣級(jí)電子政務(wù)外網(wǎng)建設(shè)規(guī)范 9自治域和路由規(guī)范 12網(wǎng)絡(luò)服務(wù)質(zhì)量設(shè)計(jì)規(guī)范 13專網(wǎng)接入規(guī)范 146

IP

地址規(guī)劃

15地址分級(jí)管理 15地址分配原則 15IPv4

地址分配

16IPv6

地址分配

167

安全體系建設(shè)規(guī)范 17總體要求 17市級(jí)安全技術(shù)要求 18縣級(jí)安全技術(shù)要求 248

管理體系建設(shè)規(guī)范 29管理工作要求 29管理平臺(tái)建設(shè)要求 31附錄

A

（規(guī)范性）

網(wǎng)絡(luò)設(shè)備要求

34附錄

B

（規(guī)范性）

安全設(shè)備要求

36附錄

C

（資料性）

鹽城市各設(shè)區(qū)縣行政區(qū)劃代碼及業(yè)務(wù)

IPv6

地址對(duì)照表 41附錄

D

（資料性）

委辦局分類統(tǒng)計(jì)表

42參考文獻(xiàn) 45DB3209/T

1257-2023 本文件按照GB/T

1.1—《標(biāo)準(zhǔn)化工作導(dǎo)則

第1草。本文件由鹽城市電子政務(wù)辦公室提出并歸口。本文件起草單位：鹽城市電子政務(wù)辦公室。本文件主要起草人：劉強(qiáng)、趙啟萌、王磊、孫約。DB3209/T

1257-20231范圍地址規(guī)劃、安全體系建設(shè)規(guī)范及管理體系建設(shè)規(guī)范。本文件適用于鹽城市級(jí)、縣（區(qū)）級(jí)電子政務(wù)外網(wǎng)建設(shè)，以及各級(jí)政務(wù)部門(mén)局域網(wǎng)接入。2 規(guī)范性引用文件文件。GB/T

21061 國(guó)家電子政務(wù)網(wǎng)絡(luò)技術(shù)和運(yùn)行管理規(guī)范GB/T

22239 信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T

25070 信息安全技術(shù)

網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T

39786 信息安全技術(shù)

信息系統(tǒng)密碼應(yīng)用基本要求DB32/T

4318.1

電子政務(wù)外網(wǎng)

安全大數(shù)據(jù)和運(yùn)維保障平臺(tái)接入規(guī)范

第

1

部分：安全大數(shù)據(jù)平臺(tái)DB32/T

4318.2

電子政務(wù)外網(wǎng)

安全大數(shù)據(jù)和運(yùn)維保障平臺(tái)接入規(guī)范

第

2

部分：運(yùn)維保障平臺(tái)3 術(shù)語(yǔ)和定義以及下列術(shù)語(yǔ)和定義適用于本文件。電子政務(wù)外網(wǎng)

network全邏輯隔離，滿足各級(jí)部門(mén)經(jīng)濟(jì)調(diào)節(jié)、市場(chǎng)監(jiān)管、社會(huì)管理和公共服務(wù)等方面需要的政務(wù)公用網(wǎng)絡(luò)。廣域網(wǎng)

Wide

Area

Networks地（市）網(wǎng)絡(luò)稱為省級(jí)廣域網(wǎng)、地（市）到各縣的廣域網(wǎng)稱為地（市）級(jí)廣域網(wǎng)。實(shí)現(xiàn)國(guó)家、省、市、縣縱向業(yè)務(wù)的互聯(lián)網(wǎng)通。城域網(wǎng)

networkDB3209/T

1257-2023把同一城市內(nèi)不同單位的局域網(wǎng)絡(luò)連接起來(lái)的網(wǎng)絡(luò)稱為城域網(wǎng)，實(shí)現(xiàn)不同單位跨部門(mén)業(yè)務(wù)的數(shù)據(jù)共享與交換。網(wǎng)絡(luò)切片

提供特定網(wǎng)絡(luò)能力和網(wǎng)絡(luò)特征(如資源隔離、

保障特性等)絡(luò)。隨流檢測(cè) in-situ

flow

information

telemetry一種直接對(duì)業(yè)務(wù)報(bào)文進(jìn)行端到端測(cè)量，從而得到網(wǎng)絡(luò)的真實(shí)丟包率、時(shí)延等性能指標(biāo)的檢測(cè)方式，具有部署方便、統(tǒng)計(jì)精度高等突出優(yōu)點(diǎn)。4 縮略語(yǔ)下列縮略語(yǔ)適用于本文件。1) 5G：第五代移動(dòng)通信技術(shù)（5th

Generation2) AAA：認(rèn)證、授權(quán)和計(jì)費(fèi)（authentication,

accounting）；3) APT：高級(jí)持續(xù)性威脅（Advanced

Persistent

）；4) ARP：地址解析協(xié)議（

Resolution

Protocol）；5) APN6：應(yīng)用感知的

IPv6

網(wǎng)絡(luò)（application-aware

IPv6

networking）；6) C&C：命令控制（Command

and

7) CE：用戶邊緣設(shè)備（Customer

Edge8) DDoS：分布式拒絕服務(wù)(Distributed

Denial

Service)；9) DGA：域名生成算法

Generation

Algorithm

)；10)

DHCP：動(dòng)態(tài)主機(jī)配置協(xié)議(Dynamic

Host

Protocol)；11)

DNN：數(shù)據(jù)網(wǎng)絡(luò)名稱（Data

Network

Name）；12)

DNS：網(wǎng)域名稱服務(wù)器

Name

；13)

EGP：外部網(wǎng)關(guān)協(xié)議

Protocol)；14)

GRE：通用路由封裝協(xié)議(Generic

Routing

Encapsulation)；15)

EUI-64：

位擴(kuò)展唯一標(biāo)識(shí)符

Extended

；16)

IGP：內(nèi)部網(wǎng)關(guān)協(xié)議

Protocol)；17)

IMSI：國(guó)際移動(dòng)用戶識(shí)別碼（International

Subscriber

Identity18)

IMEI：國(guó)際移動(dòng)設(shè)備標(biāo)識(shí)（International

Mobile

Equipment

Identity）；19)

IPSec

VPN：互聯(lián)網(wǎng)協(xié)議安全協(xié)議虛擬專用網(wǎng)絡(luò)

(Internet

Protocol

security

private

network)；20)

IPv4：互聯(lián)網(wǎng)協(xié)議版本

4（Internet

Protocol

4）；21)

IPv6：互聯(lián)網(wǎng)協(xié)議版本

6（Internet

Protocol

6）；22)

IPv6+：基于

IPv6

的協(xié)議演進(jìn)（IPv6

Plus）；23)

IS-IS：中間系統(tǒng)到中間系統(tǒng)（Intermediate

to

Intermediate

）；24)

LACP：鏈路聚合控制協(xié)議（Link

Aggregation

Protocol25)

MP：多鏈路協(xié)議（

ProtocolDB3209/T

1257-202326)

MPLS：多協(xié)議標(biāo)記交換（Multi-Protocol

Label

Switching）；27)

MSTP：多業(yè)務(wù)傳送平臺(tái)（Multi-service

Platform28)

NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（

）；29)

NFS：網(wǎng)絡(luò)文件系統(tǒng)

File

；30)

OSPF：開(kāi)放式最短路徑優(yōu)先(Open

Shortest

Path

First)；31)

PE：運(yùn)營(yíng)商邊緣(Provider

Edge)；32)

PPP：點(diǎn)到點(diǎn)協(xié)議（

protocol）；33)

QoS：服務(wù)質(zhì)量(Quality

Service)；34)

RIP：路由信息協(xié)議

Information

；35)

RR：路由反射器(Route

；36)

SDH：同步數(shù)字體系(Synchronous

Digital

；37)

SDN：軟件定義網(wǎng)絡(luò) Network)；38)

SIM：用戶身份模塊（

Identity

）；39)

SLA：服務(wù)水平協(xié)議

Level

；40)

SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(Simple

Network

Protocol)；41)

SRv6：IPv6

段路由（IPv6

Segment

42)

SSL

VPN：基于安全套接層的虛擬專用網(wǎng)絡(luò)(Virtual

Private

Network

over

Secure

Layer)；43)

TWAMP：雙向主動(dòng)測(cè)量協(xié)議（Two-Way

Active

Protocol）；44)

URL：統(tǒng)一資源定位符(Uniform

Resource

Locator

)；45)

UPF：

架構(gòu)下的用戶面網(wǎng)元（user

function）；46)

VLAN：虛擬局域網(wǎng)

Local

Area

Network)；47)

VPN：虛擬專用網(wǎng)絡(luò)（

Networks48)

VxLAN：虛擬擴(kuò)展局域網(wǎng)（Virtual

eXtensible

Area

Network）；49)

Wi-Fi：無(wú)線網(wǎng)絡(luò)技術(shù)（。5網(wǎng)絡(luò)平臺(tái)建設(shè)規(guī)范網(wǎng)絡(luò)總體結(jié)構(gòu)電子政務(wù)外網(wǎng)由市、縣（區(qū)）二級(jí)組成，具體如下：a) 市級(jí)電子政務(wù)外網(wǎng)包含市級(jí)廣域網(wǎng)、

市級(jí)城域網(wǎng)、

市級(jí)部門(mén)接入網(wǎng)；b) 縣級(jí)電子政務(wù)外網(wǎng)包含縣級(jí)城域網(wǎng)、

縣級(jí)部門(mén)接入網(wǎng)、鄉(xiāng)（鎮(zhèn)、

街道）接入網(wǎng)、村（社區(qū)）接入網(wǎng)。電子政務(wù)外網(wǎng)網(wǎng)絡(luò)實(shí)行統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、分級(jí)建設(shè)、分級(jí)管理。市級(jí)電子政務(wù)外網(wǎng)建設(shè)規(guī)范5.2.1 網(wǎng)絡(luò)組成市級(jí)電子政務(wù)外網(wǎng)組網(wǎng)示意見(jiàn)圖

1。市級(jí)廣域核心節(jié)點(diǎn)橫向連接市級(jí)城域網(wǎng)，縱向上聯(lián)省級(jí)廣域接入節(jié)點(diǎn)形成背靠背聯(lián)接，下聯(lián)各縣廣域核心，采用雙設(shè)備雙線路冗余設(shè)計(jì)，形成“口”字型組網(wǎng)結(jié)構(gòu)。DB3209/T

1257-2023市級(jí)城域網(wǎng)組網(wǎng)要求如下：a) 構(gòu)；b) 市城域匯聚層設(shè)備主要匯接各政務(wù)部門(mén)局域網(wǎng)的接入設(shè)備，應(yīng)使用雙上聯(lián)方式連接核心層設(shè)備，形成“口”字型組網(wǎng)結(jié)構(gòu)，實(shí)現(xiàn)冗余可靠；c) 部署或單設(shè)備單歸部署三種模式；d) 互聯(lián)網(wǎng)接入?yún)^(qū)主要提供本級(jí)移動(dòng)辦公用戶

方式安全可靠接入政務(wù)外網(wǎng)的安全接入平臺(tái)，需要采用信道加密技術(shù)結(jié)合政務(wù)外網(wǎng)數(shù)字證書(shū)進(jìn)行數(shù)據(jù)傳輸?shù)募用鼙Ｗo(hù)，實(shí)現(xiàn)移動(dòng)辦公用戶訪問(wèn)政務(wù)外網(wǎng)內(nèi)部信息資源；e) 務(wù)部門(mén)對(duì)數(shù)據(jù)中心應(yīng)用的訪問(wèn)；f)邏輯隔離，條件允許的情況下，建議實(shí)現(xiàn)帶外管理；g) 運(yùn)營(yíng)商

5G

政務(wù)網(wǎng)絡(luò)通過(guò)政務(wù)專用

UPF

與政務(wù)外網(wǎng)城域

5G

接入路由器進(jìn)行對(duì)接；h) 物聯(lián)、應(yīng)急等

5G

政務(wù)網(wǎng)絡(luò)接入電子政務(wù)外網(wǎng)。圖

1

市級(jí)電子政務(wù)外網(wǎng)架構(gòu)圖5.2.2 通信鏈路及帶寬選擇線路帶寬本項(xiàng)要求如下：DB3209/T

1257-2023a) 線路帶寬應(yīng)能滿足峰值業(yè)務(wù)需求，帶寬月平均利用率超過(guò)

70%時(shí)應(yīng)進(jìn)行擴(kuò)容；b) 每年應(yīng)進(jìn)行帶寬評(píng)估，評(píng)估應(yīng)考慮下一年度的業(yè)務(wù)發(fā)展需要；c) 市級(jí)城域網(wǎng)核心設(shè)備與廣域網(wǎng)核心設(shè)備之間均應(yīng)采用雙線路萬(wàn)兆光口對(duì)接，線路總帶寬均應(yīng)不低于

20Gbps；d) 城域網(wǎng)核心設(shè)備之間線路總帶寬應(yīng)不低于

50Gbps

鏈路帶寬；e) 城域網(wǎng)核心層與匯聚層設(shè)備承載城市駕駛艙的匯聚流量，城域網(wǎng)核心層與匯聚層設(shè)備之間互聯(lián)線路總帶寬應(yīng)不低于

；f) 城域網(wǎng)核心設(shè)備與互聯(lián)網(wǎng)接入?yún)^(qū)設(shè)備之間的線路總帶寬建議不低于

10Gbps；g) 一類接入單位城域網(wǎng)接入層設(shè)備上聯(lián)線路總帶寬應(yīng)滿足政務(wù)部門(mén)內(nèi)用戶忙時(shí)峰值業(yè)務(wù)流量需求，應(yīng)不低于

。線路類型本項(xiàng)要求如下：a) 同一機(jī)房?jī)?nèi)設(shè)備互聯(lián)可采用光纖或屏蔽雙絞線，推薦使用光纖互聯(lián)；b)市級(jí)用戶接入網(wǎng)因用戶地點(diǎn)與政務(wù)外網(wǎng)核心機(jī)房不在一棟大樓或大院需要租用運(yùn)營(yíng)商電路的，其接入設(shè)備與城域網(wǎng)匯聚層設(shè)備之間互聯(lián)可采用裸光纖或

MSTP、SDH、OTN點(diǎn)線路；c) 基于網(wǎng)絡(luò)層的電路、任何形式的

VPN

電路都不符合政務(wù)外網(wǎng)的安全要求，不能使用；d) MTU

值應(yīng)設(shè)置合理，滿足業(yè)務(wù)承載傳輸需要，MTU

值設(shè)置應(yīng)不低于

2000

9000。5.2.3 廣域網(wǎng)/城域網(wǎng)技術(shù)要求政務(wù)外網(wǎng)建設(shè)應(yīng)向

單棧模式發(fā)展演進(jìn)。應(yīng)采用

SDN+SRv6

技術(shù)為

業(yè)務(wù)承載提供網(wǎng)絡(luò)路徑可編程能力，結(jié)合鏈路資源使用情況，實(shí)時(shí)動(dòng)態(tài)調(diào)整流量路徑。過(guò)渡期內(nèi)可通過(guò)

SRv6

技術(shù)統(tǒng)一承載

IPv4、IPv6

業(yè)務(wù)。應(yīng)采用網(wǎng)絡(luò)切片技術(shù)為

業(yè)務(wù)提供確定性帶寬保障，具體要求如下：a)

常用以太網(wǎng)接口（如10G接口、接口、接口等）應(yīng)支持網(wǎng)絡(luò)切片；b)

網(wǎng)絡(luò)應(yīng)具備不同層次的切片能力，如1G、2G、5G、等；c)

網(wǎng)絡(luò)切片技術(shù)應(yīng)與技術(shù)解耦，不同的網(wǎng)絡(luò)切片可共用相同的接口地址和路由協(xié)議。應(yīng)采用隨流檢測(cè)技術(shù)為

業(yè)務(wù)提供狀態(tài)實(shí)時(shí)感知和故障快速定界能力，檢測(cè)粒度應(yīng)細(xì)化到單個(gè)部門(mén)或具體業(yè)務(wù)。應(yīng)根據(jù)業(yè)務(wù)需要進(jìn)行帶寬實(shí)時(shí)保障和網(wǎng)絡(luò)質(zhì)量監(jiān)控，宜采用

APN6

技術(shù)對(duì)

業(yè)務(wù)進(jìn)行識(shí)別。IPv6

網(wǎng)絡(luò)不應(yīng)使用

轉(zhuǎn)換技術(shù)。IPv6

設(shè)備應(yīng)符合自主可控相關(guān)要求。網(wǎng)絡(luò)設(shè)備技術(shù)能力應(yīng)符合附錄

A

要求。5.2.4 市級(jí)單位接入要求市級(jí)電子政務(wù)外網(wǎng)接入單位根據(jù)性質(zhì)和業(yè)務(wù)分為一、二、三類單位，單位分類列表見(jiàn)附錄D要求如下：DB3209/T

1257-2023a)

市級(jí)接入單位局域網(wǎng)接入市級(jí)電子政務(wù)外網(wǎng)需要向市級(jí)電子政務(wù)管理機(jī)構(gòu)提出申請(qǐng)，并由市級(jí)電子政務(wù)管理機(jī)構(gòu)備案，各單位嚴(yán)格按照備案范圍接入市級(jí)電子政務(wù)外網(wǎng)；b)

市級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)應(yīng)為各部門(mén)提供接入政務(wù)外網(wǎng)和接入地址段統(tǒng)一規(guī)劃，不同類型單位接入能力要求如下：1) 一類接入部門(mén)通過(guò)冗余設(shè)備、冗余鏈路連接市級(jí)電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)保證萬(wàn)兆接入能力，2) 二類接入部門(mén)通過(guò)冗余設(shè)備、冗余鏈路連接市級(jí)電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)保證千兆接入能力，3) 三類接入部門(mén)通過(guò)單設(shè)備、單鏈路連接市級(jí)電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)保證千兆接入能力；c)

接入部門(mén)提供的對(duì)接設(shè)備應(yīng)具備路由、交換功能、邊界安全防護(hù)功能，與市級(jí)電子政務(wù)外網(wǎng)設(shè)備完成對(duì)接，應(yīng)采用靜態(tài)路由/動(dòng)態(tài)路由進(jìn)行對(duì)接，宜采用靜態(tài)路由，若采用動(dòng)態(tài)路由，應(yīng)對(duì)收到的接入部門(mén)路由進(jìn)行合規(guī)性過(guò)濾；d)

接入部門(mén)局域網(wǎng)進(jìn)行IPv6改造時(shí)，網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端均應(yīng)支持IPv6協(xié)議，建議部署雙棧模式；e)

未采用市級(jí)電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃地址的部門(mén)需自行轉(zhuǎn)換成統(tǒng)一規(guī)劃分配地址段后方可接入政務(wù)外網(wǎng)，IPv6地址應(yīng)直接使用市級(jí)分配的IPv6地址；f)

局域網(wǎng)應(yīng)支持動(dòng)態(tài)分配地址，宜支持IPv4/IPv6地址監(jiān)控、溯源；g)

接入部門(mén)局域網(wǎng)應(yīng)對(duì)業(yè)務(wù)進(jìn)行分區(qū)隔離，政務(wù)公共、部門(mén)專網(wǎng)業(yè)務(wù)應(yīng)采用物理隔離、網(wǎng)絡(luò)切片隔離方式或隔離方式接入政務(wù)外網(wǎng)；h)

接入部門(mén)應(yīng)按照國(guó)家及行業(yè)相關(guān)安全標(biāo)準(zhǔn)規(guī)范做好邊界以內(nèi)自身局域網(wǎng)的安全防護(hù)工作。5.2.5 5G

移動(dòng)用戶接入要求5G移動(dòng)用戶接入要求如下：a)

政務(wù)外網(wǎng)5G平面應(yīng)支持為接入終端設(shè)備分配IPv4和IPv6地址；b)

通過(guò)5G平面接入政務(wù)外網(wǎng)的終端應(yīng)使用政務(wù)專用的地址體系，不應(yīng)使用運(yùn)營(yíng)商IP地址體系；c)

終端設(shè)備應(yīng)支持5G

網(wǎng)絡(luò)，兼容TDD-LTE\FDD-LTE兩種制式；d)

終端設(shè)備應(yīng)支持IPv6協(xié)議，宜支持IPv6單棧，當(dāng)業(yè)務(wù)為IPv4

時(shí)應(yīng)選擇IPv4和IPv6雙棧設(shè)備；e)

終端設(shè)備應(yīng)支持不少于1個(gè)的用戶身份識(shí)別卡插槽或嵌入式用戶身份識(shí)別模塊，應(yīng)用于物聯(lián)終端、局域網(wǎng)網(wǎng)關(guān)等專用終端設(shè)備的卡應(yīng)進(jìn)行實(shí)名認(rèn)證，并經(jīng)政務(wù)外網(wǎng)運(yùn)行管理機(jī)構(gòu)備案后使用；f)

作為網(wǎng)關(guān)的終端設(shè)備，應(yīng)禁止Wi-Fi、BlueTooth等無(wú)線功能，并內(nèi)置防火墻、反病毒、入侵防御等安全功能，應(yīng)支持接入認(rèn)證，支持遠(yuǎn)程管理，支持通過(guò)虛擬專網(wǎng)VPN技術(shù)進(jìn)行業(yè)務(wù)邏輯隔離，支持不低于千兆的側(cè)以太網(wǎng)接口?？h級(jí)電子政務(wù)外網(wǎng)建設(shè)規(guī)范5.3.1 網(wǎng)絡(luò)組成縣級(jí)電子政務(wù)外網(wǎng)遵循層次化設(shè)計(jì)的原則，按照使用功能和網(wǎng)絡(luò)建設(shè)規(guī)模大小，可采用“核心層-層”二層架構(gòu)或“核心層-匯聚層-

2。組網(wǎng)要求如下：DB3209/T

1257-2023a)

縣城域核心設(shè)備與縣廣域核心設(shè)備互聯(lián)，采用雙設(shè)備雙線路冗余設(shè)計(jì)，形成“口”字型組網(wǎng)結(jié)構(gòu)；b)

匯聚層主要匯接各政務(wù)部門(mén)局域網(wǎng)的接入設(shè)備，應(yīng)使用雙上聯(lián)方式連接核心層設(shè)備，形成“口”字型組網(wǎng)結(jié)構(gòu)，實(shí)現(xiàn)冗余可靠；c)

接入層設(shè)備用于政務(wù)部門(mén)局域網(wǎng)的接入，部署于各政務(wù)部門(mén)機(jī)房，接入設(shè)備到匯聚或核心設(shè)備之間可按政務(wù)部門(mén)業(yè)務(wù)重要程度酌情采用冗余設(shè)計(jì)，增加業(yè)務(wù)可靠性；d)

互聯(lián)網(wǎng)接入?yún)^(qū)主要提供本級(jí)移動(dòng)辦公用戶提供VPN方式安全可靠接入政務(wù)外網(wǎng)的安全接入平臺(tái)，需要采用信道加密技術(shù)結(jié)合政務(wù)外網(wǎng)數(shù)字證書(shū)進(jìn)行數(shù)據(jù)傳輸?shù)募用鼙Ｗo(hù)，實(shí)現(xiàn)移動(dòng)辦公用戶訪問(wèn)政務(wù)外網(wǎng)內(nèi)部信息資源，可通過(guò)市級(jí)安全接入平臺(tái)統(tǒng)一接入，有條件的縣級(jí)可自建安全接入平臺(tái)；e)

運(yùn)維管理區(qū)是集中建設(shè)的獨(dú)立運(yùn)維管理區(qū)域，與城域網(wǎng)核心設(shè)備相連。各網(wǎng)絡(luò)設(shè)備的運(yùn)維管理應(yīng)通過(guò)運(yùn)維管理區(qū)實(shí)現(xiàn)，并應(yīng)實(shí)現(xiàn)對(duì)運(yùn)維管理行為進(jìn)行審計(jì)，運(yùn)維管理區(qū)流量與其他網(wǎng)絡(luò)流量邏輯隔離，條件允許的情況下，建議實(shí)現(xiàn)帶外管理；f)

縣級(jí)用戶接入?yún)^(qū)主要為縣級(jí)政務(wù)部門(mén)提供用戶接入服務(wù)，各政務(wù)部門(mén)可根據(jù)業(yè)務(wù)類型和重要程度，選擇雙設(shè)備雙歸部署，單設(shè)備雙歸部署和單設(shè)備單歸部署三種模式，縣級(jí)用戶接入?yún)^(qū)還包括縣合駐辦公點(diǎn)，直接通過(guò)接入設(shè)備接入縣城域匯聚節(jié)點(diǎn)；g)

鎮(zhèn)級(jí)用戶接入?yún)^(qū)為縣所轄各鄉(xiāng)鎮(zhèn)及下轄行政村接入政務(wù)外網(wǎng)的區(qū)域，各鎮(zhèn)集中辦公節(jié)點(diǎn)通過(guò)鎮(zhèn)匯聚設(shè)備統(tǒng)一對(duì)接縣城域核心節(jié)點(diǎn)，鎮(zhèn)匯聚設(shè)備同時(shí)匯聚下轄各行政村接入點(diǎn)為下轄各行政村接入政務(wù)外網(wǎng)提供支持，偏遠(yuǎn)地區(qū)也可通過(guò)安全接入平臺(tái)以IPsec

VPN形式接入電子政務(wù)外網(wǎng)。

圖

2

縣級(jí)電子政務(wù)外網(wǎng)架構(gòu)圖5.3.2 通信鏈路及帶寬選擇10DB3209/T

1257-2023線路帶寬本項(xiàng)要求如下：a)

線路帶寬應(yīng)能滿足峰值業(yè)務(wù)需求，帶寬月平均利用率超過(guò)70%時(shí)應(yīng)進(jìn)行擴(kuò)容；b)

每年應(yīng)進(jìn)行帶寬評(píng)估，評(píng)估應(yīng)考慮下一年度的業(yè)務(wù)發(fā)展需要；c)

縣級(jí)城域網(wǎng)核心設(shè)備與縣廣域網(wǎng)核心設(shè)備之間均應(yīng)采用雙線路萬(wàn)兆光口對(duì)接，線路總帶寬建議不低于10Gbps；d)

縣級(jí)城域網(wǎng)核心設(shè)備之間線路總帶寬建議不低于；e)

城域網(wǎng)接入層設(shè)備與匯聚層設(shè)備之間的線路總帶寬應(yīng)滿足政務(wù)部門(mén)內(nèi)用戶忙時(shí)峰值業(yè)務(wù)流量需求，建議不低于。線路類型本項(xiàng)要求如下：a)

同一機(jī)房?jī)?nèi)設(shè)備互聯(lián)可采用光纖或屏蔽雙絞線，推薦使用光纖互聯(lián)；b)

縣級(jí)用戶接入網(wǎng)因用戶地點(diǎn)與政務(wù)外網(wǎng)核心機(jī)房不在一棟大樓或大院需要租用運(yùn)營(yíng)商電路的，其接入與城域網(wǎng)匯聚層設(shè)備之間互聯(lián)可采用裸光纖或MSTP、、、裸光纖、切片專線等傳輸電路，在使用其他類型線路時(shí)，需確保傳輸設(shè)備與線路為政務(wù)外網(wǎng)專用且為純二層點(diǎn)對(duì)點(diǎn)線路；c)

基于網(wǎng)絡(luò)層的電路、任何形式的VPN電路都不符合政務(wù)外網(wǎng)的安全要求，不能使用；d)

MTU值應(yīng)設(shè)置合理，滿足業(yè)務(wù)承載傳輸需要；值設(shè)置應(yīng)不低于2000，推薦。5.3.3 城域網(wǎng)技術(shù)要求政務(wù)外網(wǎng)建設(shè)應(yīng)向

單棧模式發(fā)展演進(jìn)。應(yīng)采用

SRv6

技術(shù)為

IPv6

業(yè)務(wù)承載提供網(wǎng)絡(luò)路徑可編程能力，結(jié)合鏈路資源使用情況，實(shí)時(shí)動(dòng)態(tài)調(diào)整流量路徑，過(guò)渡期內(nèi)可通過(guò)

SRv6

技術(shù)統(tǒng)一承載

IPv4、IPv6

業(yè)務(wù)，未部署

SDN

的縣級(jí)電子政務(wù)外網(wǎng)可以在市級(jí)

控制器統(tǒng)一設(shè)備納管，分權(quán)分域管理。應(yīng)采用網(wǎng)絡(luò)切片技術(shù)為

業(yè)務(wù)提供確定性帶寬保障，具體要求如下：a) 常用以太網(wǎng)接口（如

10G

接口、40G

接口、100G

接口等）應(yīng)支持網(wǎng)絡(luò)切片；b) 網(wǎng)絡(luò)應(yīng)具備不同層次的切片能力，如

1G、2G、5G、10G

c) 網(wǎng)絡(luò)切片技術(shù)應(yīng)與

技術(shù)解耦，不同的網(wǎng)絡(luò)切片可共用相同的接口地址和

IGP

路由協(xié)議。應(yīng)采用隨流檢測(cè)技術(shù)為

業(yè)務(wù)提供狀態(tài)實(shí)時(shí)感知和故障快速定界能力，檢測(cè)粒度應(yīng)細(xì)化到單個(gè)部門(mén)或具體業(yè)務(wù)。應(yīng)根據(jù)業(yè)務(wù)需要進(jìn)行帶寬實(shí)時(shí)保障和網(wǎng)絡(luò)質(zhì)量監(jiān)控，宜采用

APN6

技術(shù)對(duì)

業(yè)務(wù)進(jìn)行識(shí)別。行政村級(jí)網(wǎng)絡(luò)設(shè)備宜具備即插即用、免配置上線能力，降低運(yùn)維難度。IPv6

網(wǎng)絡(luò)不應(yīng)使用

轉(zhuǎn)換技術(shù)。IPv6

設(shè)備應(yīng)符合自主可控相關(guān)要求。網(wǎng)絡(luò)設(shè)備技術(shù)能力應(yīng)符合附錄

A

要求。5.3.4 與市級(jí)電子政務(wù)外網(wǎng)對(duì)接規(guī)范11DB3209/T

1257-2023縣級(jí)電子政務(wù)外網(wǎng)與市級(jí)電子政務(wù)外網(wǎng)對(duì)接要求如下：a) 縣級(jí)電子政務(wù)外網(wǎng)接入市級(jí)電子政務(wù)外網(wǎng)需要向市級(jí)電子政務(wù)管理機(jī)構(gòu)提出申請(qǐng)并備案，各縣嚴(yán)格按照備案范圍接入市級(jí)電子政務(wù)外網(wǎng)；b) 子政務(wù)外網(wǎng)，嚴(yán)禁將縣廣域核心設(shè)備作為業(yè)務(wù)網(wǎng)關(guān)；c) 務(wù)部署

VPN，實(shí)現(xiàn)不同業(yè)務(wù)之間的隔離，原則上市級(jí)電子政務(wù)外網(wǎng)不對(duì)接互聯(lián)網(wǎng)業(yè)務(wù)；d) 縣級(jí)和市級(jí)電子政務(wù)外網(wǎng)共用一個(gè)

號(hào)碼，宜采用基于

的靜態(tài)路由與市級(jí)背靠背對(duì)接，若采用

IGP

動(dòng)態(tài)路由協(xié)議對(duì)接，需要控制路由避免形成路由環(huán)路。5.3.5 縣級(jí)單位接入要求縣級(jí)電子政務(wù)外網(wǎng)接入單位根據(jù)性質(zhì)和業(yè)務(wù)分為一、二、三類單位，具體接入要求如下：a)

縣級(jí)接入單位局域網(wǎng)接入縣級(jí)電子政務(wù)外網(wǎng)需要向縣級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)提出申請(qǐng)并備案，各單位嚴(yán)格按照備案范圍接入電子政務(wù)外網(wǎng)；b)

各縣級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)應(yīng)為各部門(mén)提供接入政務(wù)外網(wǎng)和接入地址段統(tǒng)一規(guī)劃，不同類型單位接入能力要求如下：1) 一類接入部門(mén)通過(guò)冗余設(shè)備、冗余鏈路連接縣電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)保證萬(wàn)兆接入能力，2) 二類接入部門(mén)通過(guò)冗余設(shè)備、冗余鏈路連接縣電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)保證千兆接入能力，3) 三類接入部門(mén)通過(guò)單設(shè)備、單鏈路連接縣電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)保證千兆接入能力；c)

接入部門(mén)提供的對(duì)接設(shè)備應(yīng)具備路由、交換功能、邊界安全防護(hù)功能，與電子政務(wù)外網(wǎng)設(shè)備完成對(duì)接，應(yīng)采用靜態(tài)路由/動(dòng)態(tài)路由進(jìn)行對(duì)接，宜采用靜態(tài)路由，若采用動(dòng)態(tài)路由，應(yīng)對(duì)收到的接入部門(mén)路由進(jìn)行合規(guī)性過(guò)濾；d)

接入部門(mén)局域網(wǎng)進(jìn)行改造時(shí)，網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端均應(yīng)支持協(xié)議，建議部署雙棧模式；e)

未采用電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃地址的部門(mén)需自行轉(zhuǎn)換成統(tǒng)一規(guī)劃分配地址段后方可接入政務(wù)外網(wǎng)，地址應(yīng)直接使用分配的地址；f)

局域網(wǎng)應(yīng)支持動(dòng)態(tài)分配地址，宜支持地址監(jiān)控、溯源；g)

接入部門(mén)局域網(wǎng)應(yīng)對(duì)業(yè)務(wù)進(jìn)行分區(qū)隔離，政務(wù)公共、部門(mén)專網(wǎng)業(yè)務(wù)應(yīng)采用物理隔離、網(wǎng)絡(luò)切片隔離方式或VPN隔離方式接入政務(wù)外網(wǎng)；h)

接入部門(mén)應(yīng)按照國(guó)家及行業(yè)相關(guān)安全標(biāo)準(zhǔn)規(guī)范做好邊界以內(nèi)本部門(mén)接入網(wǎng)絡(luò)的安全防護(hù)工作。自治域和路由規(guī)范5.4.1 IGP

技術(shù)規(guī)范在電子政務(wù)外網(wǎng)網(wǎng)絡(luò)骨干區(qū)域內(nèi)，

宜采用

協(xié)議；同時(shí)為了保障節(jié)點(diǎn)或鏈路故障時(shí)業(yè)務(wù)可以快速收斂，建議全網(wǎng)使能

BFD

for

IS-IS。縣級(jí)電子政務(wù)外網(wǎng)存量網(wǎng)絡(luò)部分，可先繼承原有

路由協(xié)議規(guī)劃不做更新，后續(xù)逐步向

ISIS

遷移。12各政務(wù)單位對(duì)外服務(wù)窗口，市民辦理社保、公積金、不動(dòng)產(chǎn)登記等各種一站式服務(wù)覆蓋市、縣、鎮(zhèn)、村各級(jí)的公共安全視頻圖像共享交換體系和應(yīng)用支撐體系滿足各級(jí)政務(wù)部門(mén)內(nèi)、部門(mén)之間高品質(zhì)視頻會(huì)議需要滿足通過(guò)撤網(wǎng)整合的方式接入電子政務(wù)外網(wǎng)的專網(wǎng)業(yè)務(wù)SLA為通過(guò)撤線整合穿越電子政務(wù)外網(wǎng)的所有業(yè)務(wù)專網(wǎng)劃分統(tǒng)一的專用切片1E-3丟包：≤1E-5DB3209/T

1257-20235.4.2BGP

技術(shù)規(guī)范在市級(jí)電子政務(wù)外網(wǎng)，市城域網(wǎng)部署

RR

反射器（選擇市城域核心作為

），接入路由器、匯聚路由器、縣廣域核心、市廣域核心等分別與

IBGP

鄰居，交換域內(nèi)的業(yè)務(wù)路由信息。在縣級(jí)電子政務(wù)外網(wǎng)，縣城域網(wǎng)部署

RR

反射器（選擇縣城域核心作為

），接入路由器、匯聚路由器分別與

反射器建立

IBGP

鄰居，交換域內(nèi)的業(yè)務(wù)路由信息。5.4.3自治域技術(shù)規(guī)范市級(jí)本級(jí)、各縣級(jí)電子政務(wù)外網(wǎng)共用

1

個(gè)自治域號(hào)碼：64794。AS

IPv6

網(wǎng)絡(luò)對(duì)接應(yīng)采用

A

方式，當(dāng)前采用

B

方式對(duì)接的，可通過(guò)在域間設(shè)備增加業(yè)務(wù)互聯(lián)接口，配置靜態(tài)路由或

EBGP

進(jìn)行業(yè)務(wù)路由交換，實(shí)現(xiàn)

A

方式。網(wǎng)絡(luò)服務(wù)質(zhì)量設(shè)計(jì)規(guī)范5.5.1 對(duì)政務(wù)外網(wǎng)中敏感數(shù)據(jù)和

SLA

要求高的業(yè)務(wù)，應(yīng)采用網(wǎng)絡(luò)切片技術(shù)，將網(wǎng)絡(luò)劃分為多個(gè)獨(dú)立的邏輯業(yè)務(wù)平面進(jìn)行硬隔離。每個(gè)邏輯業(yè)務(wù)平面應(yīng)擁有獨(dú)立的帶寬資源，不能相互搶占，最大化保障關(guān)鍵業(yè)務(wù)網(wǎng)絡(luò)質(zhì)量。5.5.2 網(wǎng)絡(luò)切片宜將切片與

IGP

解耦，多個(gè)網(wǎng)絡(luò)切片平面可共用一套接口

IP

地址和

IGP

路由協(xié)議，降低網(wǎng)絡(luò)協(xié)議的復(fù)雜性。5.5.3 政務(wù)外網(wǎng)可根據(jù)業(yè)務(wù)類型、保障級(jí)別、部門(mén)訴求三個(gè)維度定義網(wǎng)絡(luò)切片模型：a) 基于業(yè)務(wù)類型，可按表

1

的要求進(jìn)行切片；表

1

基于業(yè)務(wù)類型的要求b) 基于保障級(jí)別，可按表

2

的要求設(shè)定三個(gè)保障級(jí)別進(jìn)行切片；表

2

基于級(jí)別的要求c)

3

門(mén)有單獨(dú)切片訴求，可保持未來(lái)可擴(kuò)展性。13所有政務(wù)部門(mén)共享的默認(rèn)切片。參與重大事件保障政務(wù)部門(mén)共用切片，按需使用，重保結(jié)束后政務(wù)部門(mén)切換回原有切片為具有特殊訴求的政務(wù)部門(mén)提供的專用切片。DB3209/T

1257-2023表

3

基于部門(mén)訴求的要求專網(wǎng)接入規(guī)范5.6.1 市級(jí)非涉密業(yè)務(wù)專網(wǎng)向電子政務(wù)外網(wǎng)遷移整合主要有撤網(wǎng)整合、撤線整合、對(duì)接融合三種方式，原則上專網(wǎng)整合應(yīng)采用撤網(wǎng)整合方式。5.6.2 撤網(wǎng)整合方案指將業(yè)務(wù)專網(wǎng)的設(shè)備、租賃專線等整體裁撤，專網(wǎng)接入單位作為新的政務(wù)外網(wǎng)接入單位連接到政務(wù)外網(wǎng)，同時(shí)將部署于業(yè)務(wù)專網(wǎng)內(nèi)的業(yè)務(wù)系統(tǒng)逐步遷移至同級(jí)政務(wù)云平臺(tái)，要求如下：a) 市、縣級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)應(yīng)為專網(wǎng)接入單位提供接入設(shè)備、接入線路，原專網(wǎng)業(yè)務(wù)通過(guò)電子政務(wù)外網(wǎng)進(jìn)行承載；b) 市、縣級(jí)電子政務(wù)外網(wǎng)應(yīng)具備差異化質(zhì)量保障能力，如SRv6、網(wǎng)絡(luò)切片、隨流檢測(cè)等滿足不同業(yè)務(wù)專網(wǎng)的整合需求；c) 不得為專網(wǎng)業(yè)務(wù)繞過(guò)防火墻。5.6.3 撤線整合方案指僅裁撤業(yè)務(wù)專網(wǎng)所租賃的運(yùn)營(yíng)商專線，利用政務(wù)外網(wǎng)作為專網(wǎng)線路，保留專網(wǎng)的網(wǎng)絡(luò)設(shè)備。專網(wǎng)接入單位負(fù)責(zé)業(yè)務(wù)專網(wǎng)應(yīng)用系統(tǒng)的維護(hù)和網(wǎng)絡(luò)部署規(guī)劃，保持相對(duì)獨(dú)立，要求如下：a) 原則上專網(wǎng)整合應(yīng)采用撤網(wǎng)整合方式，有特殊需求需要采用撤線整合的業(yè)務(wù)專網(wǎng)部門(mén)應(yīng)提供證明材料并備案說(shuō)明；b) 專網(wǎng)接入單位應(yīng)負(fù)責(zé)業(yè)務(wù)專網(wǎng)的業(yè)務(wù)部署和運(yùn)維；c) 若專網(wǎng)業(yè)務(wù)敏感需要加密，應(yīng)由業(yè)務(wù)專網(wǎng)接入單位自行部署IPsec等技術(shù)來(lái)實(shí)現(xiàn)；d) 考慮IPv6演進(jìn)要求，專網(wǎng)接入單位宜采用IPv6單棧技術(shù)（如SRv6技術(shù)）穿越電子政務(wù)外網(wǎng)；e) 市、縣級(jí)電子政務(wù)外網(wǎng)應(yīng)為業(yè)務(wù)專網(wǎng)提供路由互通；f) 為保障電子政務(wù)外網(wǎng)整體網(wǎng)絡(luò)質(zhì)量和安全，宜為穿越電子政務(wù)外網(wǎng)的所有業(yè)務(wù)專網(wǎng)劃分統(tǒng)一的專用切片；g) 不得為專網(wǎng)業(yè)務(wù)繞過(guò)防火墻。5.6.4 對(duì)接融合方案指整體保留業(yè)務(wù)專網(wǎng)的網(wǎng)絡(luò)設(shè)備和租賃運(yùn)營(yíng)商專線，應(yīng)用系統(tǒng)仍然部署在專網(wǎng)內(nèi)，專網(wǎng)接入單位仍然基于該業(yè)務(wù)專網(wǎng)開(kāi)展業(yè)務(wù)，并實(shí)現(xiàn)條線內(nèi)各級(jí)單位網(wǎng)絡(luò)互通，為滿足業(yè)務(wù)專網(wǎng)和政務(wù)外網(wǎng)之間的數(shù)據(jù)共享和數(shù)據(jù)交換需求，建設(shè)網(wǎng)絡(luò)對(duì)接融合區(qū)，通過(guò)部署網(wǎng)閘/防火墻等安全設(shè)備，安全可控地打通業(yè)務(wù)專網(wǎng)與政務(wù)外網(wǎng)，要求如下：a) 原則上專網(wǎng)整合應(yīng)采用撤網(wǎng)整合方式，有特殊需求需要采用對(duì)接融合方式的業(yè)務(wù)專網(wǎng)部門(mén)應(yīng)提供備案說(shuō)明；b) 市級(jí)電子政務(wù)外網(wǎng)應(yīng)建設(shè)專網(wǎng)對(duì)接融合區(qū)，通過(guò)部署網(wǎng)閘/防火墻等安全設(shè)備，安全可控地打通業(yè)務(wù)專網(wǎng)與政務(wù)外網(wǎng)；c) 若專網(wǎng)業(yè)務(wù)較敏感，或者高于電子政務(wù)外網(wǎng)信息安全等級(jí)保護(hù)級(jí)別，應(yīng)通過(guò)網(wǎng)閘進(jìn)行數(shù)據(jù)安全交換；14DB3209/T

1257-2023d) 若專網(wǎng)業(yè)務(wù)非敏感，或者不高于與電子政務(wù)外網(wǎng)信息安全等級(jí)保護(hù)級(jí)別，應(yīng)通過(guò)防火墻進(jìn)行數(shù)據(jù)安全交換；e) 應(yīng)具備終端和系統(tǒng)之間的訪問(wèn)控制能力，控制粒度宜為單個(gè)地址或者端口，宜采用白名單的訪問(wèn)控制策略；f) 應(yīng)對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)、防止、限制、報(bào)警等，并記錄攻擊源IP、目標(biāo)、類型、時(shí)間等信息；g) 應(yīng)對(duì)用戶行為和安全事件等進(jìn)行行為審計(jì)，審計(jì)記錄應(yīng)至少保留6個(gè)月。6 IP

地址規(guī)劃地址分級(jí)管理市級(jí)電子政務(wù)外網(wǎng)IP地址總體規(guī)劃由市級(jí)電子政務(wù)管理機(jī)構(gòu)負(fù)責(zé)，各區(qū)縣級(jí)電子政務(wù)外網(wǎng)根據(jù)總體規(guī)劃，對(duì)所屬本級(jí)的IP地址資源進(jìn)行再次分配、管理和使用。地址分配原則6.2.1 層次性原則IP擴(kuò)展的層次性結(jié)構(gòu)，便于網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理，降低網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性。6.2.2 連續(xù)性原則應(yīng)按照2n的大小分配連續(xù)地址段，有助于路由聚合、縮減路由表、提高路由算法效率。6.2.3 可擴(kuò)展性原則地址分配在每一層次上都留有余量，當(dāng)網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址聚合所需的連續(xù)性。6.2.4 唯一性原則同一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址。6.2.5 規(guī)范性原則嚴(yán)格按照IP地址分配原則進(jìn)行IP地址的規(guī)劃及項(xiàng)目實(shí)施。6.2.6 全局業(yè)務(wù)

地址按需申請(qǐng)?jiān)瓌t申請(qǐng)單位根據(jù)網(wǎng)絡(luò)建設(shè)情況申請(qǐng)政務(wù)外網(wǎng)全局業(yè)務(wù)地址，申請(qǐng)的地址在一年內(nèi)必須充分有效使用，否則將酌情收回。6.2.7 其他原則其它原則如下：a) 應(yīng)采用域名而不是IP地址作為各類主機(jī)提供服務(wù)的方式，避免IP地址改動(dòng)導(dǎo)致服務(wù)中斷；b) 在局域網(wǎng)中必須采用政務(wù)外網(wǎng)統(tǒng)一規(guī)劃的地址，避免全局業(yè)務(wù)IP地址出現(xiàn)資源短缺；c) 服務(wù)器IP地址應(yīng)使用低地址段，從最小可編地址開(kāi)始依次順序分配使用；d) 網(wǎng)絡(luò)設(shè)備IP地址應(yīng)使用高地址段，從最大可編地址開(kāi)始逆序分配使用；e) 已建城域網(wǎng)的市、縣級(jí)節(jié)點(diǎn)，建議根據(jù)用戶總體訪問(wèn)量使用若干個(gè)全局業(yè)務(wù)地址作為城域網(wǎng)15DB3209/T

1257-2023用戶單位訪問(wèn)政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)的轉(zhuǎn)換地址池；f) IPv6地址具備語(yǔ)義化，結(jié)構(gòu)定義清晰，通過(guò)在IPv6地址不同分段嵌入?yún)^(qū)域、業(yè)務(wù)類型等信息，便于識(shí)別用戶所在區(qū)域及用途，可讀性強(qiáng)；g) IPv6地址在設(shè)備或者管理界面以16進(jìn)制顯示配置（4bits），IPv6地址規(guī)劃盡量不要破壞半字節(jié)結(jié)構(gòu)，以便進(jìn)行網(wǎng)絡(luò)管理和運(yùn)維。IPv4

地址分配IPv4地址分配方式保持不變。IPv6

地址分配6.4.1 IPv6

地址結(jié)構(gòu)政務(wù)外網(wǎng)

IPv6

地址段結(jié)構(gòu)為：240B:8TZZ:ZZZW:WWYY::/64，主要用于政務(wù)外網(wǎng)全局的

IPv6

地址規(guī)劃。政務(wù)外網(wǎng)

IPv6

地址采用結(jié)構(gòu)化編址方式，按圖

3

所示分為五個(gè)字段：a)

1～24

位，類型域，，用于標(biāo)識(shí)政務(wù)外網(wǎng)各類業(yè)務(wù)；b)

25～44

位，區(qū)劃域，，用于標(biāo)識(shí)中央、省、市、縣四級(jí)行政區(qū)域；c)

45～56

位，部門(mén)域，W:WW，用于標(biāo)識(shí)各級(jí)政務(wù)部門(mén)、鄉(xiāng)鎮(zhèn)及以下行政區(qū)域；d)

57～64

位，子網(wǎng)域，YY，由各級(jí)政務(wù)部門(mén)自行規(guī)劃分配；e)

65～

位，主機(jī)域，支持EUI-64地址，并根據(jù)接口MAC地址自動(dòng)生成唯一標(biāo)識(shí)。圖

3

IPv6

地址結(jié)構(gòu)市級(jí)及級(jí)行政區(qū)劃代碼及業(yè)務(wù)

IPv6

地址對(duì)照表應(yīng)符合附錄

A

的要求。6.4.2 類型域（T

碼）編碼規(guī)則TT0—7業(yè)務(wù)系統(tǒng)類型，劃分為網(wǎng)絡(luò)平臺(tái)、基礎(chǔ)數(shù)據(jù)業(yè)務(wù)、視頻會(huì)議業(yè)務(wù)、視頻監(jiān)控業(yè)務(wù)等，類型域（T計(jì)如下：a)政務(wù)外網(wǎng)網(wǎng)絡(luò)平臺(tái)地址（b)基礎(chǔ)數(shù)據(jù)業(yè)務(wù)地址（T=1IP存儲(chǔ)、云主機(jī)、云存儲(chǔ)、應(yīng)用軟件、業(yè)務(wù)終端等；c)視頻會(huì)議業(yè)務(wù)地址（T=2臺(tái)、視頻會(huì)議終端、應(yīng)用軟件等；d)視頻監(jiān)控業(yè)務(wù)地址（T=316DB3209/T

1257-2023臺(tái)、視頻監(jiān)控終端、應(yīng)用軟件等；e)預(yù)留（T=4-76.4.3 區(qū)劃域（Z

碼）編碼規(guī)則區(qū)劃域（Z碼）用于標(biāo)識(shí)中央、省、市、縣四級(jí)行政區(qū)域，區(qū)劃域編碼規(guī)則如下（其中：Z1、Z2、Z3、、Z56進(jìn)制”字符（區(qū)劃代碼）轉(zhuǎn)換為5位“十六進(jìn)制”字符（Z碼），Z碼轉(zhuǎn)換算法設(shè)計(jì)如下：a) 拆碼：將6位“十進(jìn)制”區(qū)劃代碼分為3AA、BB、CC

；b) 1) 省級(jí)區(qū)域編碼（AA，江蘇對(duì)應(yīng)AA為16）轉(zhuǎn)換成6位“二進(jìn)制”字符，2) 地市地址編碼（BB，行政區(qū)劃代碼）

轉(zhuǎn)換成7位“二進(jìn)制”字符，3) 區(qū)縣地址編碼（CC，行政區(qū)劃代碼）

轉(zhuǎn)換成7位“二進(jìn)制”字符；c) 20位“二進(jìn)制”字符，按4位1組，轉(zhuǎn)換成5位“十六進(jìn)制”字符，生成對(duì)應(yīng)的區(qū)劃域Z碼。6.4.4部門(mén)域（W

碼）編碼規(guī)則部門(mén)域（W碼）用于標(biāo)識(shí)市、縣（市、區(qū)）各級(jí)政務(wù)部門(mén)、鄉(xiāng)鎮(zhèn)及以下行政區(qū)域，由、W2、W3三000?FFFW1碼取值1?9外網(wǎng)管理機(jī)構(gòu)分配，共分為A、B、C、D和其它預(yù)留5個(gè)大類，縣（市、區(qū)）級(jí)部門(mén)單位可參照?qǐng)?zhí)行。部門(mén)域規(guī)劃應(yīng)符合下列要求：a) A類級(jí)部門(mén)單位（W1=1?5W1、W2由市級(jí)政務(wù)外網(wǎng)管理機(jī)構(gòu)分配，W3由市級(jí)政府部門(mén)自行規(guī)劃。政府部門(mén)的下屬單位劃歸此類，由其上級(jí)主管部門(mén)進(jìn)行地址分配；b) B類市級(jí)部門(mén)單位（W1=6部門(mén)域W1、W2、W3由市級(jí)政務(wù)外網(wǎng)管理機(jī)構(gòu)分配；c) C類市級(jí)其它部門(mén)單位（類，由央企提出申請(qǐng)，市級(jí)政務(wù)外網(wǎng)管理機(jī)構(gòu)進(jìn)行地址分配；d) D類地方其它部門(mén)單位（e) 預(yù)留（W1=9）；f) 部門(mén)域W1碼取值為A?F時(shí)，用于標(biāo)識(shí)鄉(xiāng)鎮(zhèn)及以下行政區(qū)域或基層組織借用部門(mén)域，從W1W2W3=A00開(kāi)始，到W1W2W3=FFF結(jié)束，共支持1535個(gè)::/56地址段，由上級(jí)政務(wù)外網(wǎng)運(yùn)行管理機(jī)構(gòu)分配。6.4.5 子網(wǎng)域（Y

碼）編碼規(guī)則子網(wǎng)域（Y碼）用于標(biāo)識(shí)不同系統(tǒng)類型所屬的業(yè)務(wù)子網(wǎng)（Y1、Y2分別表示十六進(jìn)制字符，取值范圍00-FF），子網(wǎng)域（Y碼）00-7F128個(gè)）部分由各部門(mén)單位自行規(guī)劃分配；Y碼80-FF（后128個(gè)）預(yù)留。7 安全體系建設(shè)規(guī)范總體要求17DB3209/T

1257-20237.1.1 IPv6

網(wǎng)絡(luò)建設(shè)應(yīng)符合

GB/T

22239、GB/T

25070、

39786

等網(wǎng)絡(luò)安全等級(jí)保護(hù)及信息系統(tǒng)密碼應(yīng)用相關(guān)要求，定級(jí)如下:a)市級(jí)電子政務(wù)外網(wǎng)達(dá)到網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)要求，并達(dá)到密碼應(yīng)用第三級(jí)基本要求；b) 縣級(jí)及以下政務(wù)外網(wǎng)達(dá)到網(wǎng)絡(luò)安全等級(jí)保護(hù)第二級(jí)及密碼應(yīng)用第二級(jí)基本要求，或以上要求，且不低于承載在政務(wù)外網(wǎng)數(shù)據(jù)中心上業(yè)務(wù)系統(tǒng)的要求級(jí)別。7.1.2 存量網(wǎng)絡(luò)

IPv6

改造后安全防護(hù)能力應(yīng)不低于原有

的要求。7.1.3 安全設(shè)備應(yīng)具備“IPv6+”技術(shù)能力，其功能應(yīng)符合附錄

B

要求。市級(jí)安全技術(shù)要求7.2.1 物理環(huán)境安全要求物理環(huán)境安全目的是保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有良好的電磁兼容工作環(huán)境，并防止非法用戶進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生，本項(xiàng)關(guān)鍵要求包括：a) 機(jī)房出入口應(yīng)配置電子門(mén)禁系統(tǒng)，控制、鑒別和記錄進(jìn)入人員；b)宜采用密碼技術(shù)進(jìn)行物理訪問(wèn)身份鑒別，保證重要區(qū)域進(jìn)入人員身份的真實(shí)性；c) 宜采用密碼技術(shù)保證電子門(mén)禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)的存儲(chǔ)完整性；d) 應(yīng)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)，宜采用密碼技術(shù)保證視頻監(jiān)控音像記錄數(shù)據(jù)的存儲(chǔ)完整性；e) 應(yīng)采取措施防止感應(yīng)雷，例如設(shè)置防雷保安器或過(guò)壓保護(hù)裝置等；f) 應(yīng)對(duì)機(jī)房劃分分域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置隔離防火措施；g)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；h) 應(yīng)采取措施防止靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手環(huán)等；i)應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；j) 應(yīng)對(duì)關(guān)鍵設(shè)備實(shí)施電磁屏蔽。7.2.2 通用區(qū)域邊界安全要求邊界防護(hù)本項(xiàng)要求如下：a) 應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)防火墻提供的受控接口進(jìn)行通信，不得繞過(guò)防火墻；b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到電子政務(wù)外網(wǎng)的行為進(jìn)行檢測(cè)或限制；c) 應(yīng)能夠?qū)﹄娮诱?wù)外網(wǎng)用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢測(cè)或限制；d) 應(yīng)支持基于應(yīng)用層協(xié)議設(shè)置流控策略，包括設(shè)置最大帶寬、保證帶寬、協(xié)議流量?jī)?yōu)先級(jí)等；e) 宜采用密碼技術(shù)保證網(wǎng)絡(luò)邊界訪問(wèn)控制信息的完整性。訪問(wèn)控制本項(xiàng)要求如下：a) 建設(shè)用戶準(zhǔn)入與非法外聯(lián)系統(tǒng)，增強(qiáng)用戶入網(wǎng)準(zhǔn)入控制和非法外聯(lián)的監(jiān)控與處置能力；b) 需對(duì)電子政務(wù)外網(wǎng)系統(tǒng)進(jìn)行資產(chǎn)和身份管理，設(shè)備需經(jīng)過(guò)身份認(rèn)證才能接入電子政務(wù)外網(wǎng)系統(tǒng)；c) 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，按照最小化訪問(wèn)原則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信；18DB3209/T

1257-2023d) 應(yīng)具備安全策略調(diào)優(yōu)能力，可發(fā)現(xiàn)冗余安全策略，長(zhǎng)時(shí)間不用的安全策略，以刪除多余或無(wú)效的訪問(wèn)控制規(guī)則，優(yōu)化訪問(wèn)控制列表，并保證訪問(wèn)控制規(guī)則數(shù)量最小化；e) 應(yīng)對(duì)時(shí)間、用戶、源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出；f)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力；g)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問(wèn)控制；h) 可采用密碼技術(shù)對(duì)從外部連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行接入認(rèn)證,確保接入的設(shè)備身份真實(shí)性。入侵防范本項(xiàng)要求如下：a) 在網(wǎng)絡(luò)邊界處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；b) 應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；c) 應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析；d) 當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目標(biāo)、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事件時(shí)應(yīng)提供報(bào)警；e) 支持對(duì)加密流量進(jìn)行攻擊威脅識(shí)別。安全審計(jì)本項(xiàng)要求如下：a) 應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)；b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息?？尚膨?yàn)證本項(xiàng)要求如下：a) 防火墻、入侵防御等核心安全設(shè)備需要保障自身安全，避免被黑客控制作為攻擊跳板，設(shè)備需內(nèi)置可信根，可對(duì)系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證；b) 宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)證；c) 宜采用自主可控安全防護(hù)區(qū)設(shè)備，設(shè)備、操作系統(tǒng)、轉(zhuǎn)發(fā)芯片等具備國(guó)產(chǎn)化能力，并確保設(shè)備穩(wěn)定可靠，具有大型網(wǎng)絡(luò)使用能力?；ヂ?lián)網(wǎng)接入?yún)^(qū)要求市級(jí)電子政務(wù)外網(wǎng)城域網(wǎng)應(yīng)建設(shè)獨(dú)立的互聯(lián)網(wǎng)接入?yún)^(qū)。應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)部署抗

DDoS

攻擊設(shè)備，針對(duì)互聯(lián)網(wǎng)上的

DDoS

DDoS

檢測(cè)和清洗?？?/p>

DDoS

攻擊應(yīng)支持常見(jiàn)的

SYN

Flood、

Flood、FIN/RST

Flood

功能，能抵抗

HTTP、HTTPS

Flood

等攻擊，并且支持流量自學(xué)習(xí)功能，可識(shí)別出超過(guò)防御閾值的攻擊流量。應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制。防火墻應(yīng)只開(kāi)放政務(wù)網(wǎng)提供接入服務(wù)的必需的服務(wù)端口，對(duì)流經(jīng)互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合法性檢查。為了保證業(yè)務(wù)的可服務(wù)性，防火墻應(yīng)雙機(jī)部署，且支持性能的可擴(kuò)容。防火墻應(yīng)支持

IPv6

協(xié)議棧、NAT64

轉(zhuǎn)換技術(shù)。19DB3209/T

1257-2023宜在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署入侵防御系統(tǒng)，動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)上所有流過(guò)的數(shù)據(jù)包，進(jìn)行實(shí)時(shí)檢測(cè)和分析，及時(shí)發(fā)現(xiàn)漏洞、蠕蟲(chóng)、木馬等非法和異常行為，并且支持告警、阻斷等功能；應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)部署防病毒功能，可在防火墻或入侵檢測(cè)設(shè)備上開(kāi)啟，及時(shí)更新病毒庫(kù)，阻止病毒入侵和傳播，進(jìn)行及時(shí)的查殺。防病毒模塊宜集成在防火墻內(nèi)。應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)旁路部署沙箱，針對(duì)

高級(jí)持續(xù)威脅，利用沙箱多引擎虛擬檢測(cè)技術(shù)，以及傳統(tǒng)的安全檢測(cè)技術(shù)，識(shí)別網(wǎng)絡(luò)中傳輸?shù)膼阂馕募?/p>

攻擊。沙箱宜支持和防火墻聯(lián)動(dòng)以實(shí)現(xiàn)對(duì)威脅的實(shí)時(shí)阻斷。宜部署流量探針，對(duì)流經(jīng)網(wǎng)絡(luò)邊界的流量進(jìn)行提取和還原，送至后端大數(shù)據(jù)分析平臺(tái)進(jìn)行安全分析，識(shí)別潛在安全攻擊風(fēng)險(xiǎn)。安全設(shè)備所產(chǎn)生的日志應(yīng)發(fā)送給日志審計(jì)系統(tǒng)，并要求審計(jì)日志至少保存

6

個(gè)月。安全接入平臺(tái)要求VPN

網(wǎng)關(guān)應(yīng)采用虛擬子接口、

等方式實(shí)現(xiàn)與政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)、專用網(wǎng)絡(luò)區(qū)的網(wǎng)絡(luò)和業(yè)務(wù)對(duì)接。VPN

網(wǎng)關(guān)應(yīng)具有國(guó)家密碼管理局頒發(fā)的《密碼產(chǎn)品型號(hào)證書(shū)》，支持

國(guó)密算法和政務(wù)外網(wǎng)數(shù)字證書(shū)。應(yīng)為接入用戶提供服務(wù)接口或鏈路接口等統(tǒng)一入口。應(yīng)采用高性能、高可靠性、可擴(kuò)展性的

網(wǎng)關(guān)，支持

IPSec

VPN、

等功能。應(yīng)采用

RADIUS、LDAP

等認(rèn)證協(xié)議實(shí)現(xiàn)基于數(shù)字證書(shū)的身份認(rèn)證，為用戶身份統(tǒng)一認(rèn)證和權(quán)限管理提供支撐。應(yīng)提供安全接入平臺(tái)的運(yùn)行情況監(jiān)測(cè)、用戶行為審計(jì)和安全接入平臺(tái)設(shè)備的配置管理功能。應(yīng)通過(guò)網(wǎng)絡(luò)訪問(wèn)控制、入侵檢測(cè)與防御、防病毒等安全措施實(shí)現(xiàn)基礎(chǔ)安全防護(hù)?？赏ㄟ^(guò)在安全接入平臺(tái)的網(wǎng)絡(luò)入口、內(nèi)部安全域邊界部署防火墻實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制?？稍诎踩尤肫脚_(tái)的網(wǎng)絡(luò)入口處部署入侵檢測(cè)設(shè)備或入侵防御系統(tǒng)，動(dòng)態(tài)監(jiān)視網(wǎng)絡(luò)上流過(guò)的所有數(shù)據(jù)包，及時(shí)發(fā)現(xiàn)非法或異常行為。安全設(shè)備所產(chǎn)生的日志應(yīng)發(fā)送給日志審計(jì)系統(tǒng)，并要求審計(jì)日志至少保存

6

個(gè)月。部門(mén)局域網(wǎng)接入要求對(duì)于市級(jí)政務(wù)部門(mén)局域網(wǎng)接入到電子政務(wù)外網(wǎng)城域網(wǎng)，應(yīng)設(shè)部門(mén)用戶接入?yún)^(qū)。應(yīng)在部門(mén)用戶接入?yún)^(qū)部署防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制。防火墻應(yīng)只開(kāi)放政務(wù)網(wǎng)絡(luò)所提供接入服務(wù)的必要服務(wù)端口，對(duì)流經(jīng)部門(mén)用戶接入?yún)^(qū)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合法性檢查。為了保證業(yè)務(wù)的可服務(wù)性，防火墻應(yīng)支持雙機(jī)部署，且支持性能的可擴(kuò)容。應(yīng)在部門(mén)用戶接入?yún)^(qū)部署入侵防御系統(tǒng)，可在防火墻上開(kāi)啟入侵防御功能，動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)上所有流過(guò)的數(shù)據(jù)包，進(jìn)行實(shí)時(shí)檢測(cè)和分析，及時(shí)發(fā)現(xiàn)漏洞、蠕蟲(chóng)、木馬等非法和異常行為，并且支持告警、阻斷等功能。應(yīng)在部門(mén)用戶接入?yún)^(qū)部署防病毒功能，可在防火墻上開(kāi)啟，及時(shí)更新病毒庫(kù)，阻止病毒入侵和傳播，進(jìn)行及時(shí)的查殺。20DB3209/T

1257-2023宜在部門(mén)用戶接入?yún)^(qū)部署流量探針，對(duì)流經(jīng)網(wǎng)絡(luò)邊界的流量進(jìn)行提取和還原，送至后端大數(shù)據(jù)分析平臺(tái)進(jìn)行安全分析，識(shí)別潛在安全攻擊風(fēng)險(xiǎn)。安全設(shè)備所產(chǎn)生的日志應(yīng)發(fā)送給日志審計(jì)系統(tǒng)，并要求審計(jì)日志至少保存

6

個(gè)月。政務(wù)云對(duì)接區(qū)要求應(yīng)在政務(wù)云對(duì)接區(qū)部署防火墻，并開(kāi)啟訪問(wèn)控制、入侵防御、病毒防護(hù)等安全防護(hù)功能。政務(wù)云對(duì)接區(qū)應(yīng)具備網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制功能。應(yīng)只開(kāi)放必要的服務(wù)端口，并對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合法性檢查。防火墻應(yīng)支持雙機(jī)部署，支持性能的動(dòng)態(tài)擴(kuò)容。政務(wù)云對(duì)接區(qū)應(yīng)具備入侵防御功能，可動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)上所有流過(guò)的數(shù)據(jù)包，進(jìn)行實(shí)時(shí)檢測(cè)和分析，及時(shí)發(fā)現(xiàn)漏洞、蠕蟲(chóng)、木馬等非法和異常行為，并且支持告警、阻斷等功能。政務(wù)云對(duì)接區(qū)應(yīng)具備病毒防護(hù)功能，可在線或離線更新病毒庫(kù)，阻止病毒入侵和傳播。安全設(shè)備所產(chǎn)生的日志應(yīng)發(fā)送給日志審計(jì)系統(tǒng)，并要求審計(jì)日志至少保存

6

個(gè)月。通信網(wǎng)絡(luò)安全要求網(wǎng)絡(luò)架構(gòu)本項(xiàng)要求包括：a) 合理劃分現(xiàn)有網(wǎng)的邊界和訪問(wèn)策略，實(shí)現(xiàn)不同網(wǎng)絡(luò)間的有效分離；b) 城域網(wǎng)的核心、匯聚設(shè)備應(yīng)具有設(shè)備冗余，接入設(shè)備宜具備設(shè)備冗余；c) 城域網(wǎng)核心設(shè)備、匯聚設(shè)備以及匯聚到核心設(shè)備之間應(yīng)至少保證不同路由主備鏈路進(jìn)行保護(hù)，接入設(shè)備到匯聚設(shè)備之間宜采用不同路由主備鏈路進(jìn)行保護(hù)，在采用主備方式或負(fù)載均衡等方式時(shí)，不同鏈路的安全策略應(yīng)該保持一致；d)應(yīng)保證網(wǎng)絡(luò)各個(gè)部分的帶寬滿足業(yè)務(wù)高峰期需要；e) 應(yīng)根據(jù)需要采用有效的和流量管理策略，確保重要信息系統(tǒng)和數(shù)據(jù)具備較高的優(yōu)先級(jí)；f) 根據(jù)所部署系統(tǒng)的重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；g) 各級(jí)政務(wù)部門(mén)根據(jù)業(yè)務(wù)需求在政務(wù)外網(wǎng)上構(gòu)建專用網(wǎng)絡(luò)承載其業(yè)務(wù)時(shí)，應(yīng)采用VPN技術(shù)，實(shí)現(xiàn)與其他政務(wù)部門(mén)的業(yè)務(wù)邏輯隔離；h) 應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，應(yīng)劃分互聯(lián)網(wǎng)區(qū)域，將電子政務(wù)核心業(yè)務(wù)與互聯(lián)網(wǎng)業(yè)務(wù)分區(qū)隔離。通信傳輸本項(xiàng)要求包括：a) 用戶通過(guò)互聯(lián)網(wǎng)接入政務(wù)外網(wǎng)時(shí)，應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性，應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的保密性，應(yīng)使用國(guó)家密碼管理局認(rèn)證核準(zhǔn)的密碼技術(shù)；b) 其他通信場(chǎng)景時(shí)，宜采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性，宜采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的保密性，采用的密碼技術(shù)應(yīng)經(jīng)過(guò)國(guó)家密碼管理局認(rèn)證核準(zhǔn)；c) 可考慮對(duì)接量子密鑰分發(fā)系統(tǒng)，實(shí)現(xiàn)關(guān)鍵節(jié)點(diǎn)的量子加密通信。可信驗(yàn)證21DB3209/T

1257-2023本項(xiàng)要求包括：a)需基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在執(zhí)行程序的關(guān)鍵環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心；b) 宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)證；c) 宜采用自主可控通信設(shè)備，設(shè)備CPU、操作系統(tǒng)、轉(zhuǎn)發(fā)芯片等具備國(guó)產(chǎn)化能力，并確保設(shè)備穩(wěn)定可靠，具有大型網(wǎng)絡(luò)使用能力。網(wǎng)絡(luò)接入安全要求總體要求本項(xiàng)要求包括：a) 各級(jí)政務(wù)部門(mén)局域網(wǎng)的安全及等級(jí)保護(hù)工作由各政務(wù)部門(mén)會(huì)同本級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)具體協(xié)商并確認(rèn)職責(zé)；b) 政務(wù)部門(mén)局域網(wǎng)接入政務(wù)外網(wǎng)，應(yīng)在部門(mén)局域網(wǎng)做好訪問(wèn)控制、IP地址管理，對(duì)于訪問(wèn)政務(wù)外網(wǎng)的系統(tǒng)和終端應(yīng)具有病毒防范，接入部門(mén)應(yīng)做好審計(jì)等功能，應(yīng)根據(jù)各單位的安全要求增加終端安全管理系統(tǒng)和選擇不同網(wǎng)絡(luò)區(qū)域的安全措施等。接入網(wǎng)絡(luò)邊界安全本項(xiàng)要求包括：a) 部門(mén)局域網(wǎng)與公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，使用防火墻或者安全網(wǎng)關(guān)進(jìn)行安全防護(hù)；b) 專用網(wǎng)絡(luò)區(qū)邊界安全由接入單位按照該專用網(wǎng)絡(luò)區(qū)的縱向業(yè)務(wù)主管單位要求進(jìn)行防護(hù)。接入終端安全本項(xiàng)要求包括：a) 接入終端應(yīng)使用政務(wù)部門(mén)局域網(wǎng)統(tǒng)一分配的IP地址；b) 應(yīng)對(duì)計(jì)算機(jī)終端進(jìn)行安全防護(hù)和準(zhǔn)入控制，計(jì)算機(jī)終端安裝病毒與惡意代碼防護(hù)軟件，并及時(shí)更新病毒與惡意代碼特征庫(kù)；c) 政務(wù)部門(mén)局域網(wǎng)終端應(yīng)僅具備一個(gè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，訪問(wèn)政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)的終端不能訪問(wèn)互聯(lián)網(wǎng)，避免跨網(wǎng)攻擊；d) 終端宜具備安全沙箱隔離能力，并能通過(guò)動(dòng)態(tài)威脅監(jiān)控手段實(shí)時(shí)調(diào)整用戶訪問(wèn)權(quán)限；e) 應(yīng)及時(shí)對(duì)終端漏洞進(jìn)行修復(fù)；f) 應(yīng)對(duì)用戶操作進(jìn)行行為審計(jì)。5G

移動(dòng)終端接入安全本項(xiàng)要求包括：a) 通過(guò)5G接入政務(wù)外網(wǎng)應(yīng)滿足終端二次認(rèn)證/鑒權(quán)管控，一次認(rèn)證為接入運(yùn)營(yíng)商回傳網(wǎng)的接入控制，基于用戶身份識(shí)別卡的唯一標(biāo)識(shí)和設(shè)備標(biāo)識(shí)對(duì)用戶識(shí)別卡和設(shè)備進(jìn)行接入5G網(wǎng)絡(luò)的準(zhǔn)入認(rèn)證，電子政務(wù)外網(wǎng)應(yīng)提供網(wǎng)絡(luò)側(cè)的二次認(rèn)證能力，二次認(rèn)證/鑒權(quán)通過(guò)后，政務(wù)外網(wǎng)認(rèn)證服務(wù)器授權(quán)安全網(wǎng)關(guān)允許接入市級(jí)政務(wù)外網(wǎng)；b) 安全網(wǎng)關(guān)應(yīng)基于移動(dòng)終端（標(biāo)識(shí)一般為IMSI或SIM卡號(hào)）進(jìn)行精細(xì)網(wǎng)絡(luò)訪問(wèn)控制、安全防護(hù)策略，限制終端可訪問(wèn)的后端應(yīng)用；c) 宜采用“永不信任，持續(xù)驗(yàn)證”的零信任理念進(jìn)行防護(hù)，宜在邊界建設(shè)基于零信任理念的終22DB3209/T

1257-2023端接入控制設(shè)施，供各接入單位用戶使用。7.2.3 管理中心安全要求安全管理中心要求本項(xiàng)要求包括：a) 應(yīng)對(duì)信息資產(chǎn)、威脅情報(bào)、漏洞信息等進(jìn)行生命周期管理，包含網(wǎng)絡(luò)和IT資產(chǎn)管理、知識(shí)管理、漏洞管理等；b) 應(yīng)匯聚安全告警、風(fēng)險(xiǎn)、安全態(tài)勢(shì)等信息，進(jìn)行關(guān)聯(lián)分析、智能推理、分析研判和決策，形成安全防護(hù)控制策略和業(yè)務(wù)安全控制策略，基于決策結(jié)果進(jìn)行服務(wù)的編排、調(diào)度和配置，包括業(yè)務(wù)安全策略控制和安全防護(hù)策略控制；c) 應(yīng)具備針對(duì)安全風(fēng)險(xiǎn)主動(dòng)發(fā)現(xiàn)、趨勢(shì)分析、風(fēng)險(xiǎn)預(yù)判、即時(shí)通報(bào)預(yù)警能力，以及針對(duì)特權(quán)賬號(hào)的違規(guī)行為發(fā)現(xiàn)能力，包含安全態(tài)勢(shì)、安全審計(jì)、安全風(fēng)險(xiǎn)評(píng)估和安全風(fēng)險(xiǎn)預(yù)警；d) 應(yīng)具備與安全網(wǎng)元、網(wǎng)絡(luò)網(wǎng)元自動(dòng)聯(lián)動(dòng)處置能力，可將威脅近源快速阻斷，保證安全威脅被快速處置，避免攻擊擴(kuò)散和蔓延；e) 宜采用密碼技術(shù)保證安全管理中心的完整性和機(jī)密性。運(yùn)維審計(jì)系統(tǒng)要求本項(xiàng)要求包括：a) 等各種

資源的帳號(hào)、認(rèn)證、授權(quán)和審計(jì)的集中控制和管理；b)應(yīng)對(duì)所有運(yùn)維人員建立一對(duì)一的自然人用戶，解決業(yè)務(wù)資產(chǎn)賬號(hào)共享問(wèn)題；c) 應(yīng)對(duì)臨時(shí)運(yùn)維訪問(wèn)進(jìn)行統(tǒng)一管理，建立人走號(hào)銷的訪客運(yùn)維機(jī)制；d)針對(duì)運(yùn)維人員不直接接觸業(yè)務(wù)資產(chǎn)賬號(hào)口令，資產(chǎn)賬號(hào)口令由運(yùn)維管理平臺(tái)統(tǒng)一保管；e) 作進(jìn)行控制或報(bào)警，提高運(yùn)維合理性和風(fēng)險(xiǎn)防范能力；f) 業(yè)務(wù)擴(kuò)充的情況下依然能夠進(jìn)行有效的運(yùn)維管理；g)應(yīng)對(duì)運(yùn)維審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；h) 宜采用密碼技術(shù)保證運(yùn)維審計(jì)系統(tǒng)的完整性和機(jī)密性。漏洞掃描系統(tǒng)要求本項(xiàng)要求包括：a) 發(fā)生；b) 應(yīng)支持系統(tǒng)掃描、

掃描、數(shù)據(jù)庫(kù)掃描、基線掃描及弱口令等多項(xiàng)功能；c) 漏洞庫(kù)應(yīng)涵蓋豐富的安全漏洞和攻擊特征，支持

CVE、CVSS、、CNNVD、CNCVE、Bugtraq

等漏洞種類；d) e) 宜采用密碼技術(shù)保證漏洞掃描系統(tǒng)的完整性和機(jī)密性。日志審計(jì)系統(tǒng)要求本項(xiàng)要求包括：23DB3209/T

1257-2023a) 應(yīng)對(duì)資產(chǎn)進(jìn)行全面的安全事件和安全日志收集；b)

6

以上的存儲(chǔ)；c)d) 應(yīng)能根據(jù)收集到的安全事件和安全日志分析信息資產(chǎn)的安全狀況，通過(guò)內(nèi)置的關(guān)聯(lián)場(chǎng)景判斷網(wǎng)絡(luò)攻擊、違規(guī)操作等信息安全違規(guī)行為，并給出報(bào)警；e) 應(yīng)提供可定制的相關(guān)的安全報(bào)表，便于管理和決策；f) 宜采用密碼技術(shù)保證日志審計(jì)系統(tǒng)的完整性和機(jī)密性?？h級(jí)安全技術(shù)要求7.3.1 物理環(huán)境安全要求物理位置選擇本項(xiàng)要求包括：a) 機(jī)房場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；b) 機(jī)房場(chǎng)地應(yīng)避免設(shè)在建筑物的頂層或地下室，否則應(yīng)加強(qiáng)防水和防潮措施。物理訪問(wèn)控制本項(xiàng)要求包括：a) 機(jī)房出入口應(yīng)安排專人值守或配置電子門(mén)禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的人員；b) 宜采用密碼技術(shù)進(jìn)行物理訪問(wèn)身份鑒別，保證重要區(qū)域進(jìn)入人員身份的真實(shí)性；c) 宜采用密碼技術(shù)保證電子門(mén)禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)的存儲(chǔ)完整性。防盜竊和防破壞本項(xiàng)要求包括：a) 應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去的標(biāo)識(shí)；b) 應(yīng)將通信線纜鋪設(shè)在隱蔽安全處。防雷擊應(yīng)將各類機(jī)柜、設(shè)施和設(shè)備等通過(guò)接地系統(tǒng)安全接地。防火本項(xiàng)要求包括：a) 機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自動(dòng)滅火；b) 機(jī)房及相關(guān)的工作房間和輔助房應(yīng)采用具有耐火等級(jí)的建筑材料。防水和防潮：本項(xiàng)要求包括：a) 應(yīng)采取措施防止雨水通過(guò)機(jī)房窗戶、屋頂和墻壁滲透；b) 應(yīng)采取措施防止機(jī)房?jī)?nèi)水蒸氣結(jié)露和地下積水的轉(zhuǎn)移與滲透。防靜電：應(yīng)采用防靜電地板或地面并采用必要的接地防靜電措施。24DB3209/T

1257-2023溫濕度控制：應(yīng)設(shè)置溫濕度自動(dòng)調(diào)節(jié)措施，是機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范圍之內(nèi)。電力供應(yīng)：本項(xiàng)要求包括：a) 應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓防護(hù)設(shè)備；b) 應(yīng)提供短期的備用電力供應(yīng)，至少滿足設(shè)備在斷電情況下的正常運(yùn)行要求。電磁防護(hù)：電源線和通信線纜應(yīng)隔離鋪設(shè)，避免互相干擾。7.3.2 通用區(qū)域邊界安全要求訪問(wèn)控制本項(xiàng)要求包括：a) 應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，默認(rèn)情況下除允許通信外受控接口拒絕所有通信；b) 應(yīng)刪除多余或無(wú)效的訪問(wèn)控制規(guī)則，優(yōu)化訪問(wèn)控制列表，并保證訪問(wèn)控制規(guī)則數(shù)量最小化；c) 應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)據(jù)包進(jìn)出；d) 應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/e) 宜采用密碼技術(shù)保證網(wǎng)絡(luò)邊界訪問(wèn)控制信息的完整性。入侵防范應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處監(jiān)視網(wǎng)絡(luò)攻擊行為。惡意代碼防范應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè)和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更新。安全審計(jì)本項(xiàng)要求包括：a) 應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重要安全事件進(jìn)行審計(jì)；b) 審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信息?？尚膨?yàn)證本項(xiàng)要求包括：a) 可基于可信根對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心；b) 宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)證；c) 宜采用自主可控安全防護(hù)區(qū)設(shè)備，設(shè)備、操作系統(tǒng)、轉(zhuǎn)發(fā)芯片等具備國(guó)產(chǎn)化能力，并確保設(shè)備穩(wěn)定可靠，具有大型網(wǎng)絡(luò)使用能力。25DB3209/T

1257-20237.3.3 互聯(lián)網(wǎng)接入?yún)^(qū)要求有互聯(lián)網(wǎng)業(yè)務(wù)訪問(wèn)訴求的縣級(jí)電子政務(wù)外網(wǎng)應(yīng)建設(shè)獨(dú)立的互聯(lián)網(wǎng)接入?yún)^(qū)域。應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制。防火墻應(yīng)只開(kāi)放政務(wù)網(wǎng)提供接入服務(wù)的必需的服務(wù)端口，對(duì)流經(jīng)互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合法性檢查。為了保證業(yè)務(wù)的可服務(wù)性，防火墻應(yīng)雙機(jī)部署，且支持性能的可擴(kuò)容。防火墻應(yīng)支持

IPv6

協(xié)議棧、NAT64

轉(zhuǎn)換技術(shù)。宜在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署入侵防御系統(tǒng)，動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)上所有流過(guò)的數(shù)據(jù)包，進(jìn)行實(shí)時(shí)檢測(cè)和分析，及時(shí)發(fā)現(xiàn)漏洞、蠕蟲(chóng)、木馬等非法和異常行為，并且支持告警、阻斷等功能。應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)部署防病毒功能，可在防火墻或入侵檢測(cè)設(shè)備上開(kāi)啟，及時(shí)更新病毒庫(kù)，阻止病毒入侵和傳播，進(jìn)行及時(shí)的查殺。防病毒模塊宜集成在防火墻內(nèi)。部署流量探針，對(duì)流經(jīng)網(wǎng)絡(luò)邊界的流量進(jìn)行提取和還原，送至后端大數(shù)據(jù)分析平臺(tái)進(jìn)行安全分析，識(shí)別潛在安全攻擊風(fēng)險(xiǎn)。安全設(shè)備所產(chǎn)生的日志應(yīng)發(fā)送給日志審計(jì)系統(tǒng)，并要求審計(jì)日志至少保存

6

個(gè)月。7.3.4 安全接入平臺(tái)要求不具備專線接入條件的縣級(jí)政務(wù)部門(mén)、企事業(yè)單位和人員，在接入政務(wù)外網(wǎng)網(wǎng)絡(luò)或業(yè)務(wù)服務(wù)平臺(tái)時(shí)，可通過(guò)市級(jí)安全接入平臺(tái)統(tǒng)一接入。有特殊需求的縣級(jí)單位自建安全接入平臺(tái)時(shí)，可參考市級(jí)要求進(jìn)行建設(shè)。7.3.5 部門(mén)用戶接入?yún)^(qū)要求對(duì)于縣級(jí)政務(wù)部門(mén)局域網(wǎng)接入到政務(wù)外網(wǎng)城域網(wǎng)，應(yīng)設(shè)部門(mén)用戶接入?yún)^(qū)。應(yīng)在該區(qū)域部署防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制。防火墻應(yīng)只開(kāi)放政務(wù)網(wǎng)絡(luò)所提供接入服務(wù)的必要服務(wù)端口，對(duì)流經(jīng)部門(mén)用戶接入?yún)^(qū)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合法性檢查。為了保證業(yè)務(wù)的可服務(wù)性，防火墻應(yīng)支持雙機(jī)部署，且支持性能的可擴(kuò)容。應(yīng)在該區(qū)域部署入侵防御系統(tǒng)，可在防火墻上開(kāi)啟入侵防御功能，動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)上所有流過(guò)的數(shù)據(jù)包，進(jìn)行實(shí)時(shí)檢測(cè)和分析，及時(shí)發(fā)現(xiàn)漏洞、蠕蟲(chóng)、木馬等非法和異常行為，并且支持告警、阻斷等功能。應(yīng)在該區(qū)域部署防病毒功能，可在防火墻上開(kāi)啟，及時(shí)更新病毒庫(kù)，阻止病毒入侵和傳播，進(jìn)行及時(shí)的查殺。宜部署流量探針，對(duì)流經(jīng)網(wǎng)絡(luò)邊界的流量進(jìn)行提取和還原，送至后端大數(shù)據(jù)分析平臺(tái)進(jìn)行安全分析，識(shí)別潛在安全攻擊風(fēng)險(xiǎn)。安全設(shè)備所產(chǎn)生的日志應(yīng)發(fā)送給日志審計(jì)系統(tǒng)，并要求審計(jì)日志至少保存

6

個(gè)月。7.3.6 通信網(wǎng)絡(luò)安全要求網(wǎng)絡(luò)架構(gòu)本項(xiàng)要求包括：a) 應(yīng)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址；26DB3209/T

1257-2023b) 應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)隔離手段。通信傳輸宜采用校驗(yàn)技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性?？尚膨?yàn)證本項(xiàng)要求包括：a) 可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管理中心；b) 宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)證；c) 宜采用自主可控通信設(shè)備，設(shè)備CPU、操作系統(tǒng)、轉(zhuǎn)發(fā)芯片等具備國(guó)產(chǎn)化能力，并確保設(shè)備穩(wěn)定可靠，具有大型網(wǎng)絡(luò)使用能力。7.3.7 網(wǎng)絡(luò)接入安全要求總體要求本項(xiàng)要求包括：a) 各級(jí)政務(wù)部門(mén)局域網(wǎng)的安全及等級(jí)保護(hù)工作由各政務(wù)部門(mén)會(huì)同本級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)具體協(xié)商并確認(rèn)職責(zé)；b) 政務(wù)部門(mén)局域網(wǎng)接入政務(wù)外網(wǎng)，應(yīng)在部門(mén)局域網(wǎng)做好訪問(wèn)控制、IP地址管理，對(duì)于訪問(wèn)政務(wù)外網(wǎng)的系統(tǒng)和終端應(yīng)具有病毒防范，接入部門(mén)應(yīng)做好審計(jì)等功能，應(yīng)根據(jù)各單位的安全要求增加終端安全管理系統(tǒng)和選擇不同網(wǎng)絡(luò)區(qū)域的安全措施等。接入網(wǎng)絡(luò)邊界安全本項(xiàng)要求包括：a) 部門(mén)局域網(wǎng)與公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，使用防火墻或者安全網(wǎng)關(guān)進(jìn)行安全防護(hù)；b) 專用網(wǎng)絡(luò)區(qū)邊界安全由接入單位按照該專用網(wǎng)絡(luò)區(qū)的縱向業(yè)務(wù)主管單位要求進(jìn)行防護(hù)。接入終端安全本項(xiàng)要求包括：a) 接入終端應(yīng)使用政務(wù)部門(mén)局域網(wǎng)統(tǒng)一分配的IP地址；b) 應(yīng)對(duì)計(jì)算機(jī)終端進(jìn)行安全防護(hù)和準(zhǔn)入控制，計(jì)算機(jī)終端安裝病毒與惡意代碼防護(hù)軟件，并及時(shí)更新病毒與惡意代碼特征庫(kù)；c) 政務(wù)部門(mén)局域網(wǎng)終端應(yīng)僅具備一個(gè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，訪問(wèn)政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)的終端不能訪問(wèn)互聯(lián)網(wǎng)，避免跨網(wǎng)攻擊；d) 終端宜具備安全沙箱隔離能力，并能通過(guò)動(dòng)態(tài)威脅監(jiān)控手段實(shí)時(shí)調(diào)整用戶訪問(wèn)權(quán)限；e) 應(yīng)及時(shí)對(duì)終端漏洞進(jìn)行修復(fù)；f) 應(yīng)對(duì)用戶操作進(jìn)行行為審計(jì)。7.3.8 管理中心安全要求安全管理中心要求27DB3209/T

1257-2023本項(xiàng)要求包括：a) 應(yīng)對(duì)信息資產(chǎn)、威脅情報(bào)、漏洞信息等進(jìn)行生命周期管理，包含網(wǎng)絡(luò)和IT資產(chǎn)管理、知識(shí)管理、漏洞管理等；b) 應(yīng)匯聚安全告警、風(fēng)險(xiǎn)、安全態(tài)勢(shì)等信息，進(jìn)行關(guān)聯(lián)分析、智能推理、分析研判和決策，形成安全防護(hù)控制策略和業(yè)務(wù)安全控制策略，基于決策結(jié)果進(jìn)行服務(wù)的編排、調(diào)度和配置，包括業(yè)務(wù)安全策略控制和安全防護(hù)策略控制；c) 應(yīng)具備針對(duì)安全風(fēng)險(xiǎn)主動(dòng)發(fā)現(xiàn)、趨勢(shì)分析、風(fēng)險(xiǎn)預(yù)判、即時(shí)通報(bào)預(yù)警能力，以及針對(duì)特權(quán)賬號(hào)的違規(guī)行為發(fā)現(xiàn)能力，包含安全態(tài)勢(shì)、安全審計(jì)、安全風(fēng)險(xiǎn)評(píng)估和安全風(fēng)險(xiǎn)預(yù)警；d) 應(yīng)具備與安全網(wǎng)元、網(wǎng)絡(luò)網(wǎng)元自動(dòng)聯(lián)動(dòng)處置能力，可將威脅近源快速阻斷，保證安全威脅被快速處置，避免攻擊擴(kuò)散和蔓延；e) 宜采用密碼技術(shù)保證安全管理中心的完整性和機(jī)密性。運(yùn)維審計(jì)系統(tǒng)要求本項(xiàng)要求包括：a) 應(yīng)對(duì)所有運(yùn)維人員建立一對(duì)一的自然人用戶，解決業(yè)務(wù)資產(chǎn)賬號(hào)共享問(wèn)題；b) 應(yīng)對(duì)臨時(shí)運(yùn)維訪問(wèn)進(jìn)行統(tǒng)一管理，建立人走號(hào)銷的訪客運(yùn)維機(jī)制；c) 針對(duì)運(yùn)維人員不直接接觸業(yè)務(wù)資產(chǎn)賬號(hào)口令，資產(chǎn)賬號(hào)口令由運(yùn)維管理平臺(tái)統(tǒng)一保管；d) 運(yùn)維審計(jì)系統(tǒng)對(duì)所有運(yùn)維操作進(jìn)行實(shí)時(shí)監(jiān)控和歷史回放，打造透明化、可視化運(yùn)維，對(duì)高危操作進(jìn)行控制或報(bào)警，提高運(yùn)維合理性和風(fēng)險(xiǎn)防范能力；e) 運(yùn)維管理平臺(tái)需要對(duì)當(dāng)前所有的非標(biāo)準(zhǔn)協(xié)議、客戶端工具進(jìn)行支持，包括授權(quán)和審計(jì)，確保在業(yè)務(wù)擴(kuò)充的情況下依然能夠進(jìn)行有效的運(yùn)維管理；f)應(yīng)對(duì)運(yùn)維審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修改或覆蓋等；g) 宜采用密碼技術(shù)保證運(yùn)維審計(jì)系統(tǒng)的完整性和機(jī)密性。漏洞掃描系統(tǒng)要求本項(xiàng)要求包括：a) 漏洞掃描系統(tǒng)應(yīng)提供安全自查能力、營(yíng)造安全可靠的網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)風(fēng)險(xiǎn)提前發(fā)現(xiàn)，避免攻擊發(fā)生；b) 應(yīng)支持系統(tǒng)掃描、掃描、數(shù)據(jù)庫(kù)掃描、基線掃描及弱口令等多項(xiàng)功能；c) 漏洞庫(kù)應(yīng)涵蓋豐富的安全漏洞和攻擊特征，支持、CVSS、CNVID、CNNVD、CNCVE、Bugtraq等漏洞種類；d) 應(yīng)支持設(shè)備的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)安全檢查、日常安全檢查和安全服務(wù)；e) 宜采用密碼技術(shù)保證漏洞掃描系統(tǒng)的完整性和機(jī)密性。日志審計(jì)系統(tǒng)要求本項(xiàng)要求包括：a) 應(yīng)對(duì)資產(chǎn)進(jìn)行全面的安全事件和安全日志收集；b) 應(yīng)能收集的安全事件和日志進(jìn)行集中式、防篡改、防盜取、大容量的持久化保存，滿足6以上的存儲(chǔ)；c) 應(yīng)支持保存的安全事件和日志進(jìn)行快速查詢、檢索，便于管理人員定位異常安全行為；d) 應(yīng)支持根據(jù)收集到的安全事件和安全日志分析信息資產(chǎn)的安全狀況，通過(guò)內(nèi)置的關(guān)聯(lián)場(chǎng)景判斷網(wǎng)絡(luò)攻擊、違規(guī)操作等信息安全違規(guī)行為，并給出報(bào)警；28DB3209/T

1257-2023e) 應(yīng)提供可定制的相關(guān)的安全報(bào)表，便于管理和決策；f) 宜采用密碼技術(shù)保證日志審計(jì)系統(tǒng)的完整性和機(jī)密性。8 管理體系建設(shè)規(guī)范管理工作要求8.1.1 管理模式及分工建設(shè)模式，縱向覆蓋“市-縣”兩級(jí)，建立相應(yīng)的兩級(jí)管理機(jī)構(gòu)。a)市級(jí)電子政務(wù)管理機(jī)構(gòu)負(fù)責(zé)全市電子政務(wù)外網(wǎng)標(biāo)準(zhǔn)規(guī)范和安全保障體系建設(shè)，負(fù)責(zé)指導(dǎo)協(xié)調(diào)工作，具體負(fù)責(zé)市本級(jí)電子政務(wù)外網(wǎng)的規(guī)劃、建設(shè)、運(yùn)維和安全管理工作，以及市本級(jí)非涉密業(yè)務(wù)專網(wǎng)整合遷移或融合互聯(lián)工作；b) 各縣級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)具體負(fù)責(zé)本級(jí)電子政務(wù)外網(wǎng)的規(guī)劃、建設(shè)、運(yùn)維和安全管理工作，以及本地區(qū)非涉密業(yè)務(wù)專網(wǎng)整合遷移或融合互聯(lián)工作；c) 接入政務(wù)外網(wǎng)的部門(mén)和單位負(fù)責(zé)本部門(mén)本單位內(nèi)部辦公網(wǎng)絡(luò)的建設(shè)、運(yùn)維和安全管理工作。8.1.2 管理制度要求本項(xiàng)要求包括：a) 市本級(jí)、各縣級(jí)電子政務(wù)外網(wǎng)需組建電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全管理小組，領(lǐng)導(dǎo)小組應(yīng)按照“誰(shuí)主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的原則，明確專人負(fù)責(zé)網(wǎng)絡(luò)安全管理工作，加強(qiáng)人員業(yè)務(wù)培訓(xùn)，完善各項(xiàng)安全管理制度和防范措施，建立健全網(wǎng)絡(luò)安全應(yīng)急預(yù)案和應(yīng)急響應(yīng)聯(lián)動(dòng)機(jī)制，定期開(kāi)展網(wǎng)絡(luò)安全分析評(píng)估和應(yīng)急演練，切實(shí)提升應(yīng)急處置能力；b) 明確專業(yè)運(yùn)維人員，嚴(yán)格按照管理制度和業(yè)務(wù)流程形成網(wǎng)絡(luò)安全工作的閉環(huán)，做好電子政務(wù)外網(wǎng)鏈路業(yè)務(wù)實(shí)時(shí)狀態(tài)監(jiān)控、異常事件實(shí)時(shí)通報(bào)處理、設(shè)備狀態(tài)監(jiān)控維護(hù)和信息安全管控等工作；c) 應(yīng)具備密碼應(yīng)用安全管理制度,包括密碼人員管理、密鑰管理、建設(shè)運(yùn)行、應(yīng)急處置、密碼軟硬件及介質(zhì)管理等制度。8.1.3 安全防護(hù)措施要求本項(xiàng)要求包括：a) 定期梳理信息化資產(chǎn)、設(shè)備管理臺(tái)賬，對(duì)過(guò)保的軟、硬件設(shè)備，須采購(gòu)有效的維保服，對(duì)無(wú)法續(xù)保的軟、硬件設(shè)備，須立即更換，以確保業(yè)務(wù)系統(tǒng)安全可靠穩(wěn)定運(yùn)行；b) 縣（市、區(qū)）和鎮(zhèn)（街道）之間的邊界，可增設(shè)邊界防護(hù)設(shè)備和把控措施，如防火墻、入侵防御、防病毒網(wǎng)關(guān)等，接入設(shè)備和安全設(shè)備需做好日志審計(jì)管理和匯集；c) 各網(wǎng)絡(luò)邊界設(shè)備嚴(yán)禁透明部署，安全策略須細(xì)化到及接口，安全設(shè)備須定期對(duì)特征庫(kù)進(jìn)行升級(jí)。8.1.4數(shù)據(jù)安全管理要求本項(xiàng)要求包括：a) 電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全設(shè)備須滿足電子政務(wù)外網(wǎng)接入管理規(guī)范，并網(wǎng)工作中的IPv6、SRv6、巨型幀和超大等相關(guān)特性數(shù)據(jù)不可越過(guò)防火墻、、DDOS等安全設(shè)備；29DB3209/T

1257-2023b) 機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)中心，實(shí)現(xiàn)全市署；c) 各地可根據(jù)實(shí)際情況，建設(shè)電子政務(wù)外網(wǎng)防病毒體系：一是在各類終端、應(yīng)用服務(wù)器系統(tǒng)上部署殺毒軟件，并定期進(jìn)行病毒查殺；二是增設(shè)管控平臺(tái)，對(duì)于驅(qū)動(dòng)、存儲(chǔ)等設(shè)備進(jìn)行嚴(yán)格管控，并對(duì)終端的各類信息進(jìn)行監(jiān)控記錄、日志留存，非必要不得開(kāi)放USB、PCI-E等無(wú)防護(hù)傳輸數(shù)據(jù)接口；d) 各單位應(yīng)定期對(duì)本領(lǐng)域政務(wù)外網(wǎng)的業(yè)務(wù)系統(tǒng)、操作系統(tǒng)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等進(jìn)行漏洞掃描，以評(píng)估各資產(chǎn)安全情況，結(jié)合威脅情報(bào)、資產(chǎn)等級(jí)、漏洞危害性等要素進(jìn)行重要性排序，制定漏洞修復(fù)計(jì)劃并執(zhí)行。8.1.5 日常安全管理要求本項(xiàng)要求包括：a) 須加強(qiáng)機(jī)房基礎(chǔ)建設(shè)，確保強(qiáng)電、消防、精密空調(diào)、防雷防靜電等基礎(chǔ)設(shè)施正常運(yùn)轉(zhuǎn)，保持定期維護(hù)，加強(qiáng)巡檢排除隱患；b) 須強(qiáng)化電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)的隔離管理，嚴(yán)禁電子政務(wù)外網(wǎng)的業(yè)務(wù)系統(tǒng)與互聯(lián)網(wǎng)及其他網(wǎng)絡(luò)進(jìn)行業(yè)務(wù)交互，應(yīng)通過(guò)統(tǒng)一的安全交換區(qū)進(jìn)行。8.1.6 故障處理要求總體要求對(duì)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)平臺(tái)故障事件按以下規(guī)定分為三個(gè)等級(jí)：a) b) c) 處理流程上、下級(jí)政務(wù)外網(wǎng)管理機(jī)構(gòu)發(fā)起的故障協(xié)查。故障處理流程建設(shè)應(yīng)符合如下要求：a) 遵循先搶通后修復(fù)原則進(jìn)行故障處理，優(yōu)先保障業(yè)務(wù)和應(yīng)用的恢復(fù)；b) 接到故障申告或故障協(xié)查后，應(yīng)記錄故障信息，并生成故障紀(jì)錄單，故障紀(jì)錄單的內(nèi)容至少包括：網(wǎng)絡(luò)用戶標(biāo)識(shí)碼、用戶名稱、網(wǎng)絡(luò)通達(dá)方向、故障發(fā)生時(shí)間、故障現(xiàn)象描述、申告人和聯(lián)系人等信息；c)對(duì)故障進(jìn)行預(yù)處理，判斷故障原因，需要上、下級(jí)政務(wù)外網(wǎng)管理機(jī)構(gòu)配合的，及時(shí)申請(qǐng)故障協(xié)查；d) 對(duì)于重大故障，應(yīng)啟動(dòng)應(yīng)急預(yù)案，并及時(shí)分析總結(jié)故障處理情況；e) 初步恢復(fù)故障后，需要進(jìn)行業(yè)務(wù)相關(guān)測(cè)試，一方面確認(rèn)業(yè)務(wù)恢復(fù)，另一方面測(cè)試是否引入新的故障；f) 應(yīng)及時(shí)向故障申告人反饋故障處理進(jìn)程，故障解決后，進(jìn)行記錄并與故障申告人確認(rèn)故障解決。故障升級(jí)30DB3209/T

1257-2023按照

GB/T

21061

的規(guī)定執(zhí)行。當(dāng)出現(xiàn)重大網(wǎng)絡(luò)故障時(shí)，應(yīng)向主管單位進(jìn)行通告并故障處理升級(jí)，優(yōu)先在同級(jí)內(nèi)升級(jí)。如有必要，可向上一級(jí)政務(wù)外網(wǎng)管理機(jī)構(gòu)提交故障升級(jí)報(bào)告，并對(duì)故障升級(jí)情況進(jìn)行記錄。故障升級(jí)記錄中應(yīng)包括：故障的上報(bào)人、升級(jí)時(shí)間、升級(jí)對(duì)象、通報(bào)內(nèi)容、升級(jí)反饋時(shí)間和修復(fù)時(shí)間等。故障報(bào)告內(nèi)容應(yīng)包括：嚴(yán)重影響用戶通信的網(wǎng)絡(luò)故障、故障處理超時(shí)和疑難故障處理不當(dāng)?shù)刃畔?。?dāng)出現(xiàn)如下四類政務(wù)外網(wǎng)重大故障時(shí)，應(yīng)及時(shí)進(jìn)行故障升級(jí)：——I類：網(wǎng)絡(luò)重大通信故障、網(wǎng)間通信故障、各種自然災(zāi)害、突發(fā)事件等導(dǎo)致大量網(wǎng)絡(luò)中斷；——II類：由于網(wǎng)絡(luò)資源提供者的原因造成電子政務(wù)業(yè)務(wù)網(wǎng)絡(luò)全阻或部分阻斷；——類：重要鏈路在通信保障期間發(fā)生的故障；——IV類：由于網(wǎng)絡(luò)資源提供者的原因造成的業(yè)務(wù)超時(shí)故障。故障處理完成后，應(yīng)以書(shū)面或電子化形式提供統(tǒng)一格式的故障處理報(bào)告和網(wǎng)絡(luò)質(zhì)量運(yùn)行報(bào)告，并由政務(wù)外網(wǎng)管理機(jī)構(gòu)負(fù)責(zé)存檔。故障處理報(bào)告應(yīng)至少包括：用戶名稱、故障申告時(shí)間、網(wǎng)絡(luò)恢復(fù)時(shí)間、故障歷時(shí)、故障處理過(guò)程、故障原因、處理結(jié)果、改進(jìn)措施和建議。8.1.7 評(píng)價(jià)考核要求業(yè)務(wù)承載：評(píng)估電子政務(wù)外網(wǎng)

IPv6

應(yīng)用的承載支撐質(zhì)量情況。接入管理：評(píng)估非涉密專網(wǎng)整合部門(mén)、中央駐蘇單位接入等應(yīng)接盡接工作完成情況。平臺(tái)對(duì)接：評(píng)估電子政務(wù)外網(wǎng)安全管理平臺(tái)和運(yùn)維管理平臺(tái)對(duì)接質(zhì)量情況。網(wǎng)絡(luò)安全：評(píng)估全年網(wǎng)絡(luò)安全工作及重大活動(dòng)期間網(wǎng)絡(luò)安全保障等專項(xiàng)工作情況、網(wǎng)絡(luò)安全事件發(fā)生及處置應(yīng)對(duì)情況。管理平臺(tái)建設(shè)要求8.2.1 平臺(tái)總體架構(gòu)管理平臺(tái)整體結(jié)構(gòu)及互聯(lián)互通關(guān)系見(jiàn)圖4。31DB3209/T

1257-2023圖

4

管理平臺(tái)總體結(jié)構(gòu)圖8.2.2 運(yùn)維服務(wù)管理平臺(tái)建設(shè)及對(duì)接要求市本級(jí)及區(qū)縣電子政務(wù)外網(wǎng)運(yùn)維服務(wù)管理系統(tǒng)建設(shè)及交互要求如下：a)

提供開(kāi)放的南向?qū)幽芰ΓС峙c本級(jí)網(wǎng)絡(luò)控制系統(tǒng)，運(yùn)營(yíng)商網(wǎng)絡(luò)運(yùn)維系統(tǒng)和其它運(yùn)維支撐系統(tǒng)的對(duì)接能力，宜提供基于政務(wù)業(yè)務(wù)的一頁(yè)式運(yùn)維業(yè)務(wù)頁(yè)面；b)

應(yīng)收集本級(jí)電子政務(wù)外網(wǎng)資源信息，呈現(xiàn)完整的網(wǎng)絡(luò)設(shè)備資源、鏈路資源、拓?fù)潢P(guān)系、接入政務(wù)單位信息等；c)

應(yīng)支持收集電子政務(wù)外網(wǎng)性能和告警信息，與拓?fù)溥M(jìn)行關(guān)聯(lián)和篩選呈現(xiàn)，呈現(xiàn)實(shí)時(shí)的網(wǎng)絡(luò)運(yùn)行態(tài)勢(shì)信息；d)

市級(jí)運(yùn)維平臺(tái)應(yīng)提供向上級(jí)聯(lián)能力，市級(jí)資源信息、性能信息、告警信息、運(yùn)維工單、知識(shí)庫(kù)等同步到省級(jí)平臺(tái)跟蹤管理，省級(jí)平臺(tái)下發(fā)的預(yù)警、安全事件、通報(bào)、運(yùn)維工單等信息在市級(jí)平臺(tái)聯(lián)動(dòng)和協(xié)調(diào)處置，對(duì)接架構(gòu)、對(duì)接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對(duì)接模式、對(duì)接范圍、對(duì)接技術(shù)要求、對(duì)接開(kāi)發(fā)等按DB32/T

4318.2的要求實(shí)現(xiàn)；e)

縣級(jí)運(yùn)維平臺(tái)應(yīng)提供向上級(jí)聯(lián)能力，縣級(jí)資源信息、性能信息、告警信息、運(yùn)維工單、知識(shí)庫(kù)等同步到市級(jí)平臺(tái)跟蹤管理，市級(jí)平臺(tái)下發(fā)的預(yù)警、安全事件、通報(bào)、運(yùn)維工單等信息在縣級(jí)平臺(tái)聯(lián)動(dòng)和協(xié)調(diào)處置，對(duì)接架構(gòu)、對(duì)接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對(duì)接模式、對(duì)接范圍、對(duì)接技術(shù)要求、對(duì)接開(kāi)發(fā)等按DB32/T

4318.2的要求實(shí)現(xiàn)；f)

市級(jí)運(yùn)維平臺(tái)宜支持與縣級(jí)運(yùn)維系統(tǒng)、運(yùn)營(yíng)商運(yùn)維系統(tǒng)對(duì)接，實(shí)現(xiàn)跨管理領(lǐng)域網(wǎng)絡(luò)切片通道開(kāi)通、VPN業(yè)務(wù)開(kāi)通、隨流檢測(cè)能力開(kāi)通能力，協(xié)同聯(lián)動(dòng)故障快速定界定位能力；g)

市、縣級(jí)運(yùn)維平臺(tái)級(jí)聯(lián)需要經(jīng)過(guò)安全身份認(rèn)證，數(shù)據(jù)傳輸需要經(jīng)過(guò)可靠加密處理，涉及密碼算法的相關(guān)內(nèi)容,應(yīng)按國(guó)家有關(guān)法規(guī)實(shí)施，涉及采用密碼技術(shù)解決保密性、完整性、

性、不可否認(rèn)性需求的應(yīng)遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)8.2.3 安全大數(shù)據(jù)管理平臺(tái)建設(shè)及對(duì)接要求市本級(jí)及區(qū)縣電子政務(wù)外網(wǎng)安全大數(shù)據(jù)管理系統(tǒng)建設(shè)及交互要求如下：a)

服務(wù)b)

IDSIPSDDOSc)

d)

DB32/T

e)

DB32/T

f)

32Ethernet_IIVLANSDHPPPMPLACPIPARPIP