DB3209T 1257-2023電子政務(wù)外網(wǎng) 建設(shè)標(biāo)準(zhǔn)技術(shù)規(guī)范

ICS35.240.01

CCSL67

DB3209

鹽城市地方標(biāo)準(zhǔn)

DB3209/T1257—2023

電子政務(wù)外網(wǎng)建設(shè)技術(shù)規(guī)范

E-governmentnetworkTechnicalspecification

2023-12-15發(fā)布2024-03-15實(shí)施

鹽城市市場(chǎng)監(jiān)督管理局發(fā)布

DB3209/T1257-2023

電子政務(wù)外網(wǎng)建設(shè)技術(shù)規(guī)范

1范圍

本文件界定了電子政務(wù)外網(wǎng)建設(shè)技術(shù)的術(shù)語(yǔ)和定義、縮略語(yǔ)，規(guī)定了網(wǎng)絡(luò)平臺(tái)建設(shè)規(guī)范、IP地址規(guī)

劃、安全體系建設(shè)規(guī)范及管理體系建設(shè)規(guī)范。

本文件適用于鹽城市級(jí)、縣（區(qū)）級(jí)電子政務(wù)外網(wǎng)建設(shè)，以及各級(jí)政務(wù)部門(mén)局域網(wǎng)接入。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T21061國(guó)家電子政務(wù)網(wǎng)絡(luò)技術(shù)和運(yùn)行管理規(guī)范

GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T25070信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求

GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求

DB32/T4318.1電子政務(wù)外網(wǎng)安全大數(shù)據(jù)和運(yùn)維保障平臺(tái)接入規(guī)范第1部分：安全大數(shù)據(jù)平臺(tái)

DB32/T4318.2電子政務(wù)外網(wǎng)安全大數(shù)據(jù)和運(yùn)維保障平臺(tái)接入規(guī)范第2部分：運(yùn)維保障平臺(tái)

3術(shù)語(yǔ)和定義

以及下列術(shù)語(yǔ)和定義適用于本文件。

電子政務(wù)外網(wǎng)e-governmentnetwork

承載跨地區(qū)、跨部門(mén)業(yè)務(wù)應(yīng)用、信息共享、業(yè)務(wù)協(xié)同和不需在政務(wù)內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)，與互聯(lián)網(wǎng)安

全邏輯隔離，滿足各級(jí)部門(mén)經(jīng)濟(jì)調(diào)節(jié)、市場(chǎng)監(jiān)管、社會(huì)管理和公共服務(wù)等方面需要的政務(wù)公用網(wǎng)絡(luò)。

注：電子政務(wù)外網(wǎng)縱向連通國(guó)家、省、地（市）、縣（市、區(qū)）、鄉(xiāng)（鎮(zhèn)、街道）、村（社區(qū)），橫向覆蓋各級(jí)黨

委、人大、政府、政協(xié)、法院和檢察院等部門(mén)。

廣域網(wǎng)WideAreaNetworks

把城市之間連接起來(lái)的寬帶網(wǎng)絡(luò)稱廣域網(wǎng)，政務(wù)外網(wǎng)從中央到各省的網(wǎng)絡(luò)稱為中央廣域網(wǎng)、省到各

地（市）網(wǎng)絡(luò)稱為省級(jí)廣域網(wǎng)、地（市）到各縣的廣域網(wǎng)稱為地（市）級(jí)廣域網(wǎng)。實(shí)現(xiàn)國(guó)家、省、市、

縣縱向業(yè)務(wù)的互聯(lián)網(wǎng)通。

城域網(wǎng)metronetwork

4

DB3209/T1257-2023

把同一城市內(nèi)不同單位的局域網(wǎng)絡(luò)連接起來(lái)的網(wǎng)絡(luò)稱為城域網(wǎng)，實(shí)現(xiàn)不同單位跨部門(mén)業(yè)務(wù)的數(shù)據(jù)

共享與交換。

網(wǎng)絡(luò)切片networkslicing

提供特定網(wǎng)絡(luò)能力和網(wǎng)絡(luò)特征(如資源隔離、SLA保障特性等)，為客戶提供多種業(yè)務(wù)屬性的邏輯網(wǎng)

絡(luò)。

隨流檢測(cè)in-situflowinformationtelemetry

一種直接對(duì)業(yè)務(wù)報(bào)文進(jìn)行端到端測(cè)量，從而得到網(wǎng)絡(luò)的真實(shí)丟包率、時(shí)延等性能指標(biāo)的檢測(cè)方式，

具有部署方便、統(tǒng)計(jì)精度高等突出優(yōu)點(diǎn)。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

1)5G：第五代移動(dòng)通信技術(shù)（5thGeneration）；

2)AAA：認(rèn)證、授權(quán)和計(jì)費(fèi)（authentication,authorization,andaccounting）；

3)APT：高級(jí)持續(xù)性威脅（AdvancedPersistentThreat）；

4)ARP：地址解析協(xié)議（AddressResolutionProtocol）；

5)APN6：應(yīng)用感知的IPv6網(wǎng)絡(luò)（application-awareIPv6networking）；

6)C&C：命令控制（CommandandControl）；

7)CE：用戶邊緣設(shè)備（CustomerEdge）；

8)DDoS：分布式拒絕服務(wù)(DistributedDenialofService)；

9)DGA：域名生成算法(DomainGenerationAlgorithm)；

10)DHCP：動(dòng)態(tài)主機(jī)配置協(xié)議(DynamicHostConfigurationProtocol)；

11)DNN：數(shù)據(jù)網(wǎng)絡(luò)名稱（DataNetworkName）；

12)DNS：網(wǎng)域名稱服務(wù)器(DomainNameServer)；

13)EGP：外部網(wǎng)關(guān)協(xié)議(ExteriorGatewayProtocol)；

14)GRE：通用路由封裝協(xié)議(GenericRoutingEncapsulation)；

15)EUI-64：64位擴(kuò)展唯一標(biāo)識(shí)符(64-bitExtendedUniqueIdentifier)；

16)IGP：內(nèi)部網(wǎng)關(guān)協(xié)議(InteriorGatewayProtocol)；

17)IMSI：國(guó)際移動(dòng)用戶識(shí)別碼（InternationalMobileSubscriberIdentity）；

18)IMEI：國(guó)際移動(dòng)設(shè)備標(biāo)識(shí)（InternationalMobileEquipmentIdentity）；

19)IPSecVPN：互聯(lián)網(wǎng)協(xié)議安全協(xié)議虛擬專(zhuān)用網(wǎng)絡(luò)(InternetProtocolsecurityvirtual

privatenetwork)；

20)IPv4：互聯(lián)網(wǎng)協(xié)議版本4（InternetProtocolversion4）；

21)IPv6：互聯(lián)網(wǎng)協(xié)議版本6（InternetProtocolversion6）；

22)IPv6+：基于IPv6的協(xié)議演進(jìn)（IPv6Plus）；

23)IS-IS：中間系統(tǒng)到中間系統(tǒng)（IntermediateSystemtoIntermediateSystem）；

24)LACP：鏈路聚合控制協(xié)議（LinkAggregationControlProtocol）；

25)MP：多鏈路協(xié)議（MultilinkProtocol）；

5

DB3209/T1257-2023

26)MPLS：多協(xié)議標(biāo)記交換（Multi-ProtocolLabelSwitching）；

27)MSTP：多業(yè)務(wù)傳送平臺(tái)（Multi-serviceTransmissionPlatform）；

28)NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）；

29)NFS：網(wǎng)絡(luò)文件系統(tǒng)(NetworkFileSystem)；

30)OSPF：開(kāi)放式最短路徑優(yōu)先(OpenShortestPathFirst)；

31)PE：運(yùn)營(yíng)商邊緣(ProviderEdge)；

32)PPP：點(diǎn)到點(diǎn)協(xié)議（point-to-pointprotocol）；

33)QoS：服務(wù)質(zhì)量(QualityofService)；

34)RIP：路由信息協(xié)議(RoutingInformationProtocol)；

35)RR：路由反射器(RouteReflector)；

36)SDH：同步數(shù)字體系(SynchronousDigitalHierarchy)；

37)SDN：軟件定義網(wǎng)絡(luò)(SoftwareDefinedNetwork)；

38)SIM：用戶身份模塊（SubscriberIdentityModule）；

39)SLA：服務(wù)水平協(xié)議(ServiceLevelAgreement)；

40)SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol)；

41)SRv6：IPv6段路由（IPv6SegmentRouting）；

42)SSLVPN：基于安全套接層的虛擬專(zhuān)用網(wǎng)絡(luò)(VirtualPrivateNetworkoverSecureSockets

Layer)；

43)TWAMP：雙向主動(dòng)測(cè)量協(xié)議（Two-WayActiveMeasurementProtocol）；

44)URL：統(tǒng)一資源定位符(UniformResourceLocator)；

45)UPF：5G網(wǎng)絡(luò)SBA架構(gòu)下的用戶面網(wǎng)元（userplanefunction）；

46)VLAN：虛擬局域網(wǎng)(VirtualLocalAreaNetwork)；

47)VPN：虛擬專(zhuān)用網(wǎng)絡(luò)（VirtualPrivateNetworks）；

48)VxLAN：虛擬擴(kuò)展局域網(wǎng)（VirtualeXtensibleLocalAreaNetwork）；

49)Wi-Fi：無(wú)線網(wǎng)絡(luò)技術(shù)（WirelessFidelity)。

5網(wǎng)絡(luò)平臺(tái)建設(shè)規(guī)范

網(wǎng)絡(luò)總體結(jié)構(gòu)

電子政務(wù)外網(wǎng)由市、縣（區(qū)）二級(jí)組成，具體如下：

a)市級(jí)電子政務(wù)外網(wǎng)包含市級(jí)廣域網(wǎng)、市級(jí)城域網(wǎng)、市級(jí)部門(mén)接入網(wǎng)；

b)縣級(jí)電子政務(wù)外網(wǎng)包含縣級(jí)城域網(wǎng)、縣級(jí)部門(mén)接入網(wǎng)、鄉(xiāng)（鎮(zhèn)、街道）接入網(wǎng)、村（社區(qū)）

接入網(wǎng)。

電子政務(wù)外網(wǎng)網(wǎng)絡(luò)實(shí)行統(tǒng)一規(guī)劃、統(tǒng)一標(biāo)準(zhǔn)、分級(jí)建設(shè)、分級(jí)管理。

市級(jí)電子政務(wù)外網(wǎng)建設(shè)規(guī)范

5.2.1網(wǎng)絡(luò)組成

市級(jí)電子政務(wù)外網(wǎng)組網(wǎng)示意見(jiàn)圖1。

市級(jí)廣域核心節(jié)點(diǎn)橫向連接市級(jí)城域網(wǎng)，縱向上聯(lián)省級(jí)廣域接入節(jié)點(diǎn)形成背靠背聯(lián)接，下聯(lián)各縣廣域

核心，采用雙設(shè)備雙線路冗余設(shè)計(jì)，形成“口”字型組網(wǎng)結(jié)構(gòu)。

6

DB3209/T1257-2023

市級(jí)城域網(wǎng)組網(wǎng)要求如下：

a)市城域核心設(shè)備與市廣域核心設(shè)備互聯(lián)，采用雙設(shè)備雙線路冗余設(shè)計(jì)，形成“口”字型組網(wǎng)結(jié)

構(gòu)；

b)市城域匯聚層設(shè)備主要匯接各政務(wù)部門(mén)局域網(wǎng)的接入設(shè)備，應(yīng)使用雙上聯(lián)方式連接核心層設(shè)

備，形成“口”字型組網(wǎng)結(jié)構(gòu)，實(shí)現(xiàn)冗余可靠；

c)市城域接入層設(shè)備用于政務(wù)部門(mén)局域網(wǎng)的接入，部署于各政務(wù)部門(mén)機(jī)房，接入設(shè)備到匯聚或核

心設(shè)備之間可按政務(wù)部門(mén)業(yè)務(wù)重要程度適當(dāng)采用冗余設(shè)計(jì)，選擇雙設(shè)備雙歸部署、單設(shè)備雙歸

部署或單設(shè)備單歸部署三種模式；

d)互聯(lián)網(wǎng)接入?yún)^(qū)主要提供本級(jí)移動(dòng)辦公用戶VPN方式安全可靠接入政務(wù)外網(wǎng)的安全接入平臺(tái)，

需要采用信道加密技術(shù)結(jié)合政務(wù)外網(wǎng)數(shù)字證書(shū)進(jìn)行數(shù)據(jù)傳輸?shù)募用鼙Ｗo(hù)，實(shí)現(xiàn)移動(dòng)辦公用戶

訪問(wèn)政務(wù)外網(wǎng)內(nèi)部信息資源；

e)政務(wù)云對(duì)接區(qū)主要用于對(duì)接本級(jí)非涉密數(shù)據(jù)中心，電子政務(wù)外網(wǎng)提供雙線路冗余設(shè)計(jì)，實(shí)現(xiàn)政

務(wù)部門(mén)對(duì)數(shù)據(jù)中心應(yīng)用的訪問(wèn)；

f)運(yùn)維管理區(qū)是集中建設(shè)的獨(dú)立運(yùn)維管理區(qū)域，與城域網(wǎng)核心設(shè)備相連，各網(wǎng)絡(luò)設(shè)備的運(yùn)維管理

應(yīng)通過(guò)運(yùn)維管理區(qū)實(shí)現(xiàn)，并應(yīng)實(shí)現(xiàn)對(duì)運(yùn)維管理行為進(jìn)行審計(jì)，運(yùn)維管理區(qū)流量與其他網(wǎng)絡(luò)流量

邏輯隔離，條件允許的情況下，建議實(shí)現(xiàn)帶外管理；

g)運(yùn)營(yíng)商5G政務(wù)網(wǎng)絡(luò)通過(guò)政務(wù)專(zhuān)用UPF與政務(wù)外網(wǎng)城域5G接入路由器進(jìn)行對(duì)接；

h)物聯(lián)、應(yīng)急等5G移動(dòng)接入用戶通過(guò)運(yùn)營(yíng)商5G政務(wù)網(wǎng)絡(luò)接入電子政務(wù)外網(wǎng)。

圖1市級(jí)電子政務(wù)外網(wǎng)架構(gòu)圖

5.2.2通信鏈路及帶寬選擇

線路帶寬

本項(xiàng)要求如下：

7

DB3209/T1257-2023

a)線路帶寬應(yīng)能滿足峰值業(yè)務(wù)需求，帶寬月平均利用率超過(guò)70%時(shí)應(yīng)進(jìn)行擴(kuò)容；

b)每年應(yīng)進(jìn)行帶寬評(píng)估，評(píng)估應(yīng)考慮下一年度的業(yè)務(wù)發(fā)展需要；

c)市級(jí)城域網(wǎng)核心設(shè)備與廣域網(wǎng)核心設(shè)備之間均應(yīng)采用雙線路萬(wàn)兆光口對(duì)接，線路總帶寬均應(yīng)

不低于20Gbps；

d)城域網(wǎng)核心設(shè)備之間線路總帶寬應(yīng)不低于50Gbps鏈路帶寬；

e)城域網(wǎng)核心層與匯聚層設(shè)備承載城市駕駛艙的匯聚流量，城域網(wǎng)核心層與匯聚層設(shè)備之間互

聯(lián)線路總帶寬應(yīng)不低于50Gbps；

f)城域網(wǎng)核心設(shè)備與互聯(lián)網(wǎng)接入?yún)^(qū)設(shè)備之間的線路總帶寬建議不低于10Gbps；

g)一類(lèi)接入單位城域網(wǎng)接入層設(shè)備上聯(lián)線路總帶寬應(yīng)滿足政務(wù)部門(mén)內(nèi)用戶忙時(shí)峰值業(yè)務(wù)流量需

求，應(yīng)不低于10Gbps。

線路類(lèi)型

本項(xiàng)要求如下：

a)同一機(jī)房?jī)?nèi)設(shè)備互聯(lián)可采用光纖或屏蔽雙絞線，推薦使用光纖互聯(lián)；

b)市級(jí)用戶接入網(wǎng)因用戶地點(diǎn)與政務(wù)外網(wǎng)核心機(jī)房不在一棟大樓或大院需要租用運(yùn)營(yíng)商電路的，

其接入設(shè)備與城域網(wǎng)匯聚層設(shè)備之間互聯(lián)可采用裸光纖或MSTP、SDH、OTN、裸光纖、切片專(zhuān)線

等傳輸電路，在使用其他類(lèi)型線路時(shí)，需確保傳輸設(shè)備與線路為政務(wù)外網(wǎng)專(zhuān)用且為純二層點(diǎn)對(duì)

點(diǎn)線路；

c)基于網(wǎng)絡(luò)層的電路、任何形式的VPN電路都不符合政務(wù)外網(wǎng)的安全要求，不能使用；

d)MTU值應(yīng)設(shè)置合理，滿足業(yè)務(wù)承載傳輸需要，MTU值設(shè)置應(yīng)不低于2000，推薦9000。

5.2.3廣域網(wǎng)/城域網(wǎng)技術(shù)要求

政務(wù)外網(wǎng)建設(shè)應(yīng)向IPv6單棧模式發(fā)展演進(jìn)。

應(yīng)采用SDN+SRv6技術(shù)為IPv6業(yè)務(wù)承載提供網(wǎng)絡(luò)路徑可編程能力，結(jié)合鏈路資源使用情況，實(shí)時(shí)動(dòng)態(tài)

調(diào)整流量路徑。過(guò)渡期內(nèi)可通過(guò)SRv6VPN技術(shù)統(tǒng)一承載IPv4、IPv6業(yè)務(wù)。

應(yīng)采用網(wǎng)絡(luò)切片技術(shù)為IPv6業(yè)務(wù)提供確定性帶寬保障，具體要求如下：

a)常用以太網(wǎng)接口（如10G接口、40G接口、100G接口等）應(yīng)支持網(wǎng)絡(luò)切片；

b)網(wǎng)絡(luò)應(yīng)具備不同層次的切片能力，如1G、2G、5G、10G等；

c)網(wǎng)絡(luò)切片技術(shù)應(yīng)與IGP技術(shù)解耦，不同的網(wǎng)絡(luò)切片可共用相同的接口地址和IGP路由協(xié)議。

應(yīng)采用隨流檢測(cè)技術(shù)為IPv6業(yè)務(wù)提供狀態(tài)實(shí)時(shí)感知和故障快速定界能力，檢測(cè)粒度應(yīng)細(xì)化到單個(gè)部門(mén)

或具體業(yè)務(wù)。

應(yīng)根據(jù)業(yè)務(wù)需要進(jìn)行帶寬實(shí)時(shí)保障和網(wǎng)絡(luò)質(zhì)量監(jiān)控，宜采用APN6技術(shù)對(duì)IPv6業(yè)務(wù)進(jìn)行識(shí)別。

IPv6網(wǎng)絡(luò)不應(yīng)使用NAT轉(zhuǎn)換技術(shù)。

IPv6設(shè)備應(yīng)符合自主可控相關(guān)要求。

網(wǎng)絡(luò)設(shè)備技術(shù)能力應(yīng)符合附錄A要求。

5.2.4市級(jí)單位接入要求

市級(jí)電子政務(wù)外網(wǎng)接入單位根據(jù)性質(zhì)和業(yè)務(wù)分為一、二、三類(lèi)單位，單位分類(lèi)列表見(jiàn)附錄D，接入

要求如下：

8

DB3209/T1257-2023

a)市級(jí)接入單位局域網(wǎng)接入市級(jí)電子政務(wù)外網(wǎng)需要向市級(jí)電子政務(wù)管理機(jī)構(gòu)提出申請(qǐng)，并由市

級(jí)電子政務(wù)管理機(jī)構(gòu)備案，各單位嚴(yán)格按照備案范圍接入市級(jí)電子政務(wù)外網(wǎng)；

b)市級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)應(yīng)為各部門(mén)提供接入政務(wù)外網(wǎng)和接入地址段統(tǒng)一規(guī)劃，不同類(lèi)型

單位接入能力要求如下：

1)一類(lèi)接入部門(mén)通過(guò)冗余設(shè)備、冗余鏈路連接市級(jí)電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)保證萬(wàn)

兆接入能力，

2)二類(lèi)接入部門(mén)通過(guò)冗余設(shè)備、冗余鏈路連接市級(jí)電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)保證千

兆接入能力，

3)三類(lèi)接入部門(mén)通過(guò)單設(shè)備、單鏈路連接市級(jí)電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)保證千兆接

入能力；

c)接入部門(mén)提供的對(duì)接設(shè)備應(yīng)具備路由、交換功能、邊界安全防護(hù)功能，與市級(jí)電子政務(wù)外網(wǎng)

設(shè)備完成對(duì)接，應(yīng)采用靜態(tài)路由/動(dòng)態(tài)路由進(jìn)行對(duì)接，宜采用靜態(tài)路由，若采用動(dòng)態(tài)路由，應(yīng)

對(duì)收到的接入部門(mén)路由進(jìn)行合規(guī)性過(guò)濾；

d)接入部門(mén)局域網(wǎng)進(jìn)行IPv6改造時(shí)，網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端均應(yīng)支持IPv6協(xié)議，建議部署

雙棧模式；

e)未采用市級(jí)電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃地址的部門(mén)需自行轉(zhuǎn)換成統(tǒng)一規(guī)劃分配地址段后方可接入

政務(wù)外網(wǎng)，IPv6地址應(yīng)直接使用市級(jí)分配的IPv6地址；

f)局域網(wǎng)應(yīng)支持動(dòng)態(tài)分配IPv6地址，宜支持IPv4/IPv6地址監(jiān)控、溯源；

g)接入部門(mén)局域網(wǎng)應(yīng)對(duì)業(yè)務(wù)進(jìn)行分區(qū)隔離，政務(wù)公共、部門(mén)專(zhuān)網(wǎng)業(yè)務(wù)應(yīng)采用物理隔離、網(wǎng)絡(luò)切

片隔離方式或VPN隔離方式接入政務(wù)外網(wǎng)；

h)接入部門(mén)應(yīng)按照國(guó)家及行業(yè)相關(guān)安全標(biāo)準(zhǔn)規(guī)范做好邊界以內(nèi)自身局域網(wǎng)的安全防護(hù)工作。

5.2.55G移動(dòng)用戶接入要求

5G移動(dòng)用戶接入要求如下：

a)政務(wù)外網(wǎng)5G平面應(yīng)支持為接入終端設(shè)備分配IPv4和IPv6地址；

b)通過(guò)5G平面接入政務(wù)外網(wǎng)的終端應(yīng)使用政務(wù)專(zhuān)用的IP地址體系，不應(yīng)使用運(yùn)營(yíng)商IP地址體

系；

c)終端設(shè)備應(yīng)支持5GSA網(wǎng)絡(luò)，兼容TDD-LTE\FDD-LTE兩種制式；

d)終端設(shè)備應(yīng)支持IPv6協(xié)議，宜支持IPv6單棧，當(dāng)業(yè)務(wù)為IPv4時(shí)應(yīng)選擇IPv4和IPv6雙棧設(shè)備；

e)終端設(shè)備應(yīng)支持不少于1個(gè)的用戶身份識(shí)別卡插槽或嵌入式用戶身份識(shí)別模塊，應(yīng)用于物聯(lián)終

端、局域網(wǎng)網(wǎng)關(guān)等專(zhuān)用終端設(shè)備的SIM卡應(yīng)進(jìn)行實(shí)名認(rèn)證，并經(jīng)政務(wù)外網(wǎng)運(yùn)行管理機(jī)構(gòu)備案后

使用；

f)作為網(wǎng)關(guān)的終端設(shè)備，應(yīng)禁止Wi-Fi、BlueTooth等無(wú)線功能，并內(nèi)置防火墻、反病毒、入侵

防御等安全功能，應(yīng)支持接入認(rèn)證，支持遠(yuǎn)程管理，支持通過(guò)虛擬專(zhuān)網(wǎng)VPN技術(shù)進(jìn)行業(yè)務(wù)邏輯

隔離，支持不低于千兆的LAN側(cè)以太網(wǎng)接口。

縣級(jí)電子政務(wù)外網(wǎng)建設(shè)規(guī)范

5.3.1網(wǎng)絡(luò)組成

縣級(jí)電子政務(wù)外網(wǎng)遵循層次化設(shè)計(jì)的原則，按照使用功能和網(wǎng)絡(luò)建設(shè)規(guī)模大小，可采用“核心層-接入

層”二層架構(gòu)或“核心層-匯聚層-接入層”三層架構(gòu)規(guī)劃。組網(wǎng)架構(gòu)示意見(jiàn)圖2。

組網(wǎng)要求如下：

9

DB3209/T1257-2023

a)縣城域核心設(shè)備與縣廣域核心設(shè)備互聯(lián)，采用雙設(shè)備雙線路冗余設(shè)計(jì)，形成“口”字型組網(wǎng)

結(jié)構(gòu)；

b)匯聚層主要匯接各政務(wù)部門(mén)局域網(wǎng)的接入設(shè)備，應(yīng)使用雙上聯(lián)方式連接核心層設(shè)備，形成

“口”字型組網(wǎng)結(jié)構(gòu)，實(shí)現(xiàn)冗余可靠；

c)接入層設(shè)備用于政務(wù)部門(mén)局域網(wǎng)的接入，部署于各政務(wù)部門(mén)機(jī)房，接入設(shè)備到匯聚或核心設(shè)

備之間可按政務(wù)部門(mén)業(yè)務(wù)重要程度酌情采用冗余設(shè)計(jì)，增加業(yè)務(wù)可靠性；

d)互聯(lián)網(wǎng)接入?yún)^(qū)主要提供本級(jí)移動(dòng)辦公用戶提供VPN方式安全可靠接入政務(wù)外網(wǎng)的安全接入平

臺(tái)，需要采用信道加密技術(shù)結(jié)合政務(wù)外網(wǎng)數(shù)字證書(shū)進(jìn)行數(shù)據(jù)傳輸?shù)募用鼙Ｗo(hù)，實(shí)現(xiàn)移動(dòng)辦公

用戶訪問(wèn)政務(wù)外網(wǎng)內(nèi)部信息資源，可通過(guò)市級(jí)安全接入平臺(tái)統(tǒng)一接入，有條件的縣級(jí)可自建

安全接入平臺(tái)；

e)運(yùn)維管理區(qū)是集中建設(shè)的獨(dú)立運(yùn)維管理區(qū)域，與城域網(wǎng)核心設(shè)備相連。各網(wǎng)絡(luò)設(shè)備的運(yùn)維管

理應(yīng)通過(guò)運(yùn)維管理區(qū)實(shí)現(xiàn)，并應(yīng)實(shí)現(xiàn)對(duì)運(yùn)維管理行為進(jìn)行審計(jì)，運(yùn)維管理區(qū)流量與其他網(wǎng)絡(luò)

流量邏輯隔離，條件允許的情況下，建議實(shí)現(xiàn)帶外管理；

f)縣級(jí)用戶接入?yún)^(qū)主要為縣級(jí)政務(wù)部門(mén)提供用戶接入服務(wù)，各政務(wù)部門(mén)可根據(jù)業(yè)務(wù)類(lèi)型和重要

程度，選擇雙設(shè)備雙歸部署，單設(shè)備雙歸部署和單設(shè)備單歸部署三種模式，縣級(jí)用戶接入?yún)^(qū)

還包括縣合駐辦公點(diǎn)，直接通過(guò)接入設(shè)備接入縣城域匯聚節(jié)點(diǎn)；

g)鎮(zhèn)級(jí)用戶接入?yún)^(qū)為縣所轄各鄉(xiāng)鎮(zhèn)及下轄行政村接入政務(wù)外網(wǎng)的區(qū)域，各鎮(zhèn)集中辦公節(jié)點(diǎn)通過(guò)

鎮(zhèn)匯聚設(shè)備統(tǒng)一對(duì)接縣城域核心節(jié)點(diǎn)，鎮(zhèn)匯聚設(shè)備同時(shí)匯聚下轄各行政村接入點(diǎn)為下轄各行

政村接入政務(wù)外網(wǎng)提供支持，偏遠(yuǎn)地區(qū)也可通過(guò)安全接入平臺(tái)以IPsecVPN形式接入電子政務(wù)

外網(wǎng)。

圖2縣級(jí)電子政務(wù)外網(wǎng)架構(gòu)圖

5.3.2通信鏈路及帶寬選擇

10

DB3209/T1257-2023

線路帶寬

本項(xiàng)要求如下：

a)線路帶寬應(yīng)能滿足峰值業(yè)務(wù)需求，帶寬月平均利用率超過(guò)70%時(shí)應(yīng)進(jìn)行擴(kuò)容；

b)每年應(yīng)進(jìn)行帶寬評(píng)估，評(píng)估應(yīng)考慮下一年度的業(yè)務(wù)發(fā)展需要；

c)縣級(jí)城域網(wǎng)核心設(shè)備與縣廣域網(wǎng)核心設(shè)備之間均應(yīng)采用雙線路萬(wàn)兆光口對(duì)接，線路總帶寬建

議不低于10Gbps；

d)縣級(jí)城域網(wǎng)核心設(shè)備之間線路總帶寬建議不低于10Gbps；

e)城域網(wǎng)接入層設(shè)備與匯聚層設(shè)備之間的線路總帶寬應(yīng)滿足政務(wù)部門(mén)內(nèi)用戶忙時(shí)峰值業(yè)務(wù)流量

需求，建議不低于100Mbps。

線路類(lèi)型

本項(xiàng)要求如下：

a)同一機(jī)房?jī)?nèi)設(shè)備互聯(lián)可采用光纖或屏蔽雙絞線，推薦使用光纖互聯(lián)；

b)縣級(jí)用戶接入網(wǎng)因用戶地點(diǎn)與政務(wù)外網(wǎng)核心機(jī)房不在一棟大樓或大院需要租用運(yùn)營(yíng)商電路

的，其接入與城域網(wǎng)匯聚層設(shè)備之間互聯(lián)可采用裸光纖或MSTP、SDH、OTN、裸光纖、切片專(zhuān)

線等傳輸電路，在使用其他類(lèi)型線路時(shí)，需確保傳輸設(shè)備與線路為政務(wù)外網(wǎng)專(zhuān)用且為純二層

點(diǎn)對(duì)點(diǎn)線路；

c)基于網(wǎng)絡(luò)層的電路、任何形式的VPN電路都不符合政務(wù)外網(wǎng)的安全要求，不能使用；

d)MTU值應(yīng)設(shè)置合理，滿足業(yè)務(wù)承載傳輸需要；MTU值設(shè)置應(yīng)不低于2000，推薦9000。

5.3.3城域網(wǎng)技術(shù)要求

政務(wù)外網(wǎng)建設(shè)應(yīng)向IPv6單棧模式發(fā)展演進(jìn)。

應(yīng)采用SRv6技術(shù)為IPv6業(yè)務(wù)承載提供網(wǎng)絡(luò)路徑可編程能力，結(jié)合鏈路資源使用情況，實(shí)時(shí)動(dòng)態(tài)調(diào)整

流量路徑，過(guò)渡期內(nèi)可通過(guò)SRv6VPN技術(shù)統(tǒng)一承載IPv4、IPv6業(yè)務(wù)，未部署SDN的縣級(jí)電子政務(wù)外

網(wǎng)可以在市級(jí)SDN控制器統(tǒng)一設(shè)備納管，分權(quán)分域管理。

應(yīng)采用網(wǎng)絡(luò)切片技術(shù)為IPv6業(yè)務(wù)提供確定性帶寬保障，具體要求如下：

a)常用以太網(wǎng)接口（如10G接口、40G接口、100G接口等）應(yīng)支持網(wǎng)絡(luò)切片；

b)網(wǎng)絡(luò)應(yīng)具備不同層次的切片能力，如1G、2G、5G、10G等；

c)網(wǎng)絡(luò)切片技術(shù)應(yīng)與IGP技術(shù)解耦，不同的網(wǎng)絡(luò)切片可共用相同的接口地址和IGP路由協(xié)議。

應(yīng)采用隨流檢測(cè)技術(shù)為IPv6業(yè)務(wù)提供狀態(tài)實(shí)時(shí)感知和故障快速定界能力，檢測(cè)粒度應(yīng)細(xì)化到單個(gè)部門(mén)

或具體業(yè)務(wù)。

應(yīng)根據(jù)業(yè)務(wù)需要進(jìn)行帶寬實(shí)時(shí)保障和網(wǎng)絡(luò)質(zhì)量監(jiān)控，宜采用APN6技術(shù)對(duì)IPv6業(yè)務(wù)進(jìn)行識(shí)別。

行政村級(jí)網(wǎng)絡(luò)設(shè)備宜具備即插即用、免配置上線能力，降低運(yùn)維難度。

IPv6網(wǎng)絡(luò)不應(yīng)使用NAT轉(zhuǎn)換技術(shù)。

IPv6設(shè)備應(yīng)符合自主可控相關(guān)要求。

網(wǎng)絡(luò)設(shè)備技術(shù)能力應(yīng)符合附錄A要求。

5.3.4與市級(jí)電子政務(wù)外網(wǎng)對(duì)接規(guī)范

11

DB3209/T1257-2023

縣級(jí)電子政務(wù)外網(wǎng)與市級(jí)電子政務(wù)外網(wǎng)對(duì)接要求如下：

a)縣級(jí)電子政務(wù)外網(wǎng)接入市級(jí)電子政務(wù)外網(wǎng)需要向市級(jí)電子政務(wù)管理機(jī)構(gòu)提出申請(qǐng)并備案，各

縣嚴(yán)格按照備案范圍接入市級(jí)電子政務(wù)外網(wǎng)；

b)市、縣兩級(jí)之間有明確的維護(hù)邊界，只允許邊界傳遞路由，嚴(yán)禁縣級(jí)通過(guò)二層網(wǎng)絡(luò)接入市級(jí)電

子政務(wù)外網(wǎng)，嚴(yán)禁將縣廣域核心設(shè)備作為業(yè)務(wù)網(wǎng)關(guān)；

c)縣級(jí)電子政務(wù)外網(wǎng)業(yè)務(wù)在與市級(jí)電子政務(wù)外網(wǎng)對(duì)接時(shí)，應(yīng)分別為公用網(wǎng)絡(luò)區(qū)業(yè)務(wù)、部門(mén)專(zhuān)網(wǎng)業(yè)

務(wù)部署VPN，實(shí)現(xiàn)不同業(yè)務(wù)之間的隔離，原則上市級(jí)電子政務(wù)外網(wǎng)不對(duì)接互聯(lián)網(wǎng)業(yè)務(wù)；

d)縣級(jí)和市級(jí)電子政務(wù)外網(wǎng)共用一個(gè)AS號(hào)碼，宜采用基于VPN的靜態(tài)路由與市級(jí)背靠背對(duì)接，

若采用IGP動(dòng)態(tài)路由協(xié)議對(duì)接，需要控制路由避免形成路由環(huán)路。

5.3.5縣級(jí)單位接入要求

縣級(jí)電子政務(wù)外網(wǎng)接入單位根據(jù)性質(zhì)和業(yè)務(wù)分為一、二、三類(lèi)單位，具體接入要求如下：

a)縣級(jí)接入單位局域網(wǎng)接入縣級(jí)電子政務(wù)外網(wǎng)需要向縣級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)提出申請(qǐng)并備

案，各單位嚴(yán)格按照備案范圍接入電子政務(wù)外網(wǎng)；

b)各縣級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)應(yīng)為各部門(mén)提供接入政務(wù)外網(wǎng)和接入地址段統(tǒng)一規(guī)劃，不同類(lèi)

型單位接入能力要求如下：

1)一類(lèi)接入部門(mén)通過(guò)冗余設(shè)備、冗余鏈路連接縣電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)保證萬(wàn)兆

接入能力，

2)二類(lèi)接入部門(mén)通過(guò)冗余設(shè)備、冗余鏈路連接縣電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)保證千兆

接入能力，

3)三類(lèi)接入部門(mén)通過(guò)單設(shè)備、單鏈路連接縣電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)保證千兆接入

能力；

c)接入部門(mén)提供的對(duì)接設(shè)備應(yīng)具備路由、交換功能、邊界安全防護(hù)功能，與電子政務(wù)外網(wǎng)設(shè)備

完成對(duì)接，應(yīng)采用靜態(tài)路由/動(dòng)態(tài)路由進(jìn)行對(duì)接，宜采用靜態(tài)路由，若采用動(dòng)態(tài)路由，應(yīng)對(duì)收

到的接入部門(mén)路由進(jìn)行合規(guī)性過(guò)濾；

d)接入部門(mén)局域網(wǎng)進(jìn)行IPv6改造時(shí)，網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端均應(yīng)支持IPv6協(xié)議，建議部署雙

棧模式；

e)未采用電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃地址的部門(mén)需自行轉(zhuǎn)換成統(tǒng)一規(guī)劃分配地址段后方可接入政務(wù)

外網(wǎng)，IPv6地址應(yīng)直接使用分配的IPv6地址；

f)局域網(wǎng)應(yīng)支持動(dòng)態(tài)分配IPv6地址，宜支持IPv4/IPv6地址監(jiān)控、溯源；

g)接入部門(mén)局域網(wǎng)應(yīng)對(duì)業(yè)務(wù)進(jìn)行分區(qū)隔離，政務(wù)公共、部門(mén)專(zhuān)網(wǎng)業(yè)務(wù)應(yīng)采用物理隔離、網(wǎng)絡(luò)切

片隔離方式或VPN隔離方式接入政務(wù)外網(wǎng)；

h)接入部門(mén)應(yīng)按照國(guó)家及行業(yè)相關(guān)安全標(biāo)準(zhǔn)規(guī)范做好邊界以內(nèi)本部門(mén)接入網(wǎng)絡(luò)的安全防護(hù)工

作。

自治域和路由規(guī)范

5.4.1IGP技術(shù)規(guī)范

在電子政務(wù)外網(wǎng)網(wǎng)絡(luò)骨干區(qū)域內(nèi)，IGP宜采用IS-ISv6協(xié)議；同時(shí)為了保障節(jié)點(diǎn)或鏈路故障時(shí)業(yè)務(wù)可

以快速收斂，建議全網(wǎng)使能BFDforIS-IS。

縣級(jí)電子政務(wù)外網(wǎng)存量網(wǎng)絡(luò)部分，可先繼承原有OSPF路由協(xié)議規(guī)劃不做更新，后續(xù)逐步向ISIS遷

移。

12

DB3209/T1257-2023

5.4.2BGP技術(shù)規(guī)范

在市級(jí)電子政務(wù)外網(wǎng)，市城域網(wǎng)部署RR反射器（選擇市城域核心作為RR），接入路由器、匯聚路由

器、縣廣域核心、市廣域核心等分別與RR反射器建立IBGP鄰居，交換域內(nèi)的業(yè)務(wù)路由信息。

在縣級(jí)電子政務(wù)外網(wǎng)，縣城域網(wǎng)部署RR反射器（選擇縣城域核心作為RR），接入路由器、匯聚路由

器分別與RR反射器建立IBGP鄰居，交換域內(nèi)的業(yè)務(wù)路由信息。

5.4.3自治域技術(shù)規(guī)范

市級(jí)本級(jí)、各縣級(jí)電子政務(wù)外網(wǎng)共用1個(gè)自治域號(hào)碼：64794。

AS域間IPv6網(wǎng)絡(luò)對(duì)接應(yīng)采用OptionA方式，當(dāng)前采用OptionB方式對(duì)接的，可通過(guò)在域間設(shè)備增

加業(yè)務(wù)互聯(lián)接口，配置靜態(tài)路由或EBGP進(jìn)行業(yè)務(wù)路由交換，實(shí)現(xiàn)OptionA方式。

網(wǎng)絡(luò)服務(wù)質(zhì)量設(shè)計(jì)規(guī)范

5.5.1對(duì)政務(wù)外網(wǎng)中敏感數(shù)據(jù)和SLA要求高的業(yè)務(wù)，應(yīng)采用網(wǎng)絡(luò)切片技術(shù)，將網(wǎng)絡(luò)劃分為多個(gè)獨(dú)立的

邏輯業(yè)務(wù)平面進(jìn)行硬隔離。每個(gè)邏輯業(yè)務(wù)平面應(yīng)擁有獨(dú)立的帶寬資源，不能相互搶占，最大化保障關(guān)

鍵業(yè)務(wù)網(wǎng)絡(luò)質(zhì)量。

5.5.2網(wǎng)絡(luò)切片宜將切片與IGP解耦，多個(gè)網(wǎng)絡(luò)切片平面可共用一套接口IP地址和IGP路由協(xié)議，

降低網(wǎng)絡(luò)協(xié)議的復(fù)雜性。

5.5.3政務(wù)外網(wǎng)可根據(jù)業(yè)務(wù)類(lèi)型、保障級(jí)別、部門(mén)訴求三個(gè)維度定義網(wǎng)絡(luò)切片模型：

a)基于業(yè)務(wù)類(lèi)型，可按表1的要求進(jìn)行切片；

表1基于業(yè)務(wù)類(lèi)型的要求

業(yè)務(wù)類(lèi)型要求

政務(wù)業(yè)務(wù)各政務(wù)單位對(duì)外服務(wù)窗口，市民辦理社保、公積金、不動(dòng)產(chǎn)登記等各種一站式服務(wù)

雪亮工程覆蓋市、縣、鎮(zhèn)、村各級(jí)的公共安全視頻圖像共享交換體系和應(yīng)用支撐體系

公共視頻滿足各級(jí)政務(wù)部門(mén)內(nèi)、部門(mén)之間高品質(zhì)視頻會(huì)議需要

物聯(lián)業(yè)務(wù)滿足物聯(lián)終端接入需要

辦公業(yè)務(wù)滿足各級(jí)政務(wù)部門(mén)辦公需要

專(zhuān)網(wǎng)業(yè)務(wù)滿足通過(guò)撤網(wǎng)整合的方式接入電子政務(wù)外網(wǎng)的專(zhuān)網(wǎng)業(yè)務(wù)SLA需要

撤線專(zhuān)網(wǎng)業(yè)務(wù)為通過(guò)撤線整合穿越電子政務(wù)外網(wǎng)的所有業(yè)務(wù)專(zhuān)網(wǎng)劃分統(tǒng)一的專(zhuān)用切片

b)基于保障級(jí)別，可按表2的要求設(shè)定三個(gè)保障級(jí)別進(jìn)行切片；

表2基于級(jí)別的要求

保障等級(jí)要求

普通級(jí)別基礎(chǔ)網(wǎng)絡(luò)要求：帶寬盡力而為，時(shí)延<30ms，丟包≤1E-3

關(guān)鍵級(jí)別丟包：≤1E-5

特殊級(jí)別時(shí)延：<4ms

c)基于部門(mén)訴求，可按表3的要求分為公共類(lèi)、重保類(lèi)、專(zhuān)用類(lèi)共三類(lèi)切片，若未來(lái)一些政務(wù)部

門(mén)有單獨(dú)切片訴求，可保持未來(lái)可擴(kuò)展性。

13

DB3209/T1257-2023

表3基于部門(mén)訴求的要求

單位訴求要求

公共類(lèi)所有政務(wù)部門(mén)共享的默認(rèn)切片。

重保類(lèi)參與重大事件保障政務(wù)部門(mén)共用切片，按需使用，重保結(jié)束后政務(wù)部門(mén)切換回原有切片

專(zhuān)用類(lèi)為具有特殊訴求的政務(wù)部門(mén)提供的專(zhuān)用切片。

專(zhuān)網(wǎng)接入規(guī)范

5.6.1市級(jí)非涉密業(yè)務(wù)專(zhuān)網(wǎng)向電子政務(wù)外網(wǎng)遷移整合主要有撤網(wǎng)整合、撤線整合、對(duì)接融合三種方

式，原則上專(zhuān)網(wǎng)整合應(yīng)采用撤網(wǎng)整合方式。

5.6.2撤網(wǎng)整合方案指將業(yè)務(wù)專(zhuān)網(wǎng)的設(shè)備、租賃專(zhuān)線等整體裁撤，專(zhuān)網(wǎng)接入單位作為新的政務(wù)外網(wǎng)接

入單位連接到政務(wù)外網(wǎng)，同時(shí)將部署于業(yè)務(wù)專(zhuān)網(wǎng)內(nèi)的業(yè)務(wù)系統(tǒng)逐步遷移至同級(jí)政務(wù)云平臺(tái)，要求如

下：

a)市、縣級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)應(yīng)為專(zhuān)網(wǎng)接入單位提供接入設(shè)備、接入線路，原專(zhuān)網(wǎng)業(yè)務(wù)通

過(guò)電子政務(wù)外網(wǎng)進(jìn)行承載；

b)市、縣級(jí)電子政務(wù)外網(wǎng)應(yīng)具備差異化質(zhì)量保障能力，如SRv6、網(wǎng)絡(luò)切片、隨流檢測(cè)等滿足不

同業(yè)務(wù)專(zhuān)網(wǎng)的整合需求；

c)不得為專(zhuān)網(wǎng)業(yè)務(wù)繞過(guò)防火墻。

5.6.3撤線整合方案指僅裁撤業(yè)務(wù)專(zhuān)網(wǎng)所租賃的運(yùn)營(yíng)商專(zhuān)線，利用政務(wù)外網(wǎng)作為專(zhuān)網(wǎng)線路，保留專(zhuān)網(wǎng)

的網(wǎng)絡(luò)設(shè)備。專(zhuān)網(wǎng)接入單位負(fù)責(zé)業(yè)務(wù)專(zhuān)網(wǎng)應(yīng)用系統(tǒng)的維護(hù)和網(wǎng)絡(luò)部署規(guī)劃，保持相對(duì)獨(dú)立，要求如

下：

a)原則上專(zhuān)網(wǎng)整合應(yīng)采用撤網(wǎng)整合方式，有特殊需求需要采用撤線整合的業(yè)務(wù)專(zhuān)網(wǎng)部門(mén)應(yīng)提供

證明材料并備案說(shuō)明；

b)專(zhuān)網(wǎng)接入單位應(yīng)負(fù)責(zé)業(yè)務(wù)專(zhuān)網(wǎng)的業(yè)務(wù)部署和運(yùn)維；

c)若專(zhuān)網(wǎng)業(yè)務(wù)敏感需要加密，應(yīng)由業(yè)務(wù)專(zhuān)網(wǎng)接入單位自行部署IPsec等技術(shù)來(lái)實(shí)現(xiàn)；

d)考慮IPv6演進(jìn)要求，專(zhuān)網(wǎng)接入單位宜采用IPv6單棧技術(shù)（如SRv6技術(shù)）穿越電子政務(wù)外網(wǎng)；

e)市、縣級(jí)電子政務(wù)外網(wǎng)應(yīng)為業(yè)務(wù)專(zhuān)網(wǎng)提供路由互通；

f)為保障電子政務(wù)外網(wǎng)整體網(wǎng)絡(luò)質(zhì)量和安全，宜為穿越電子政務(wù)外網(wǎng)的所有業(yè)務(wù)專(zhuān)網(wǎng)劃分統(tǒng)一

的專(zhuān)用切片；

g)不得為專(zhuān)網(wǎng)業(yè)務(wù)繞過(guò)防火墻。

5.6.4對(duì)接融合方案指整體保留業(yè)務(wù)專(zhuān)網(wǎng)的網(wǎng)絡(luò)設(shè)備和租賃運(yùn)營(yíng)商專(zhuān)線，應(yīng)用系統(tǒng)仍然部署在專(zhuān)網(wǎng)

內(nèi)，專(zhuān)網(wǎng)接入單位仍然基于該業(yè)務(wù)專(zhuān)網(wǎng)開(kāi)展業(yè)務(wù)，并實(shí)現(xiàn)條線內(nèi)各級(jí)單位網(wǎng)絡(luò)互通，為滿足業(yè)務(wù)專(zhuān)網(wǎng)

和政務(wù)外網(wǎng)之間的數(shù)據(jù)共享和數(shù)據(jù)交換需求，建設(shè)網(wǎng)絡(luò)對(duì)接融合區(qū)，通過(guò)部署網(wǎng)閘/防火墻等安全設(shè)

備，安全可控地打通業(yè)務(wù)專(zhuān)網(wǎng)與政務(wù)外網(wǎng)，要求如下：

a)原則上專(zhuān)網(wǎng)整合應(yīng)采用撤網(wǎng)整合方式，有特殊需求需要采用對(duì)接融合方式的業(yè)務(wù)專(zhuān)網(wǎng)部門(mén)應(yīng)

提供備案說(shuō)明；

b)市級(jí)電子政務(wù)外網(wǎng)應(yīng)建設(shè)專(zhuān)網(wǎng)對(duì)接融合區(qū)，通過(guò)部署網(wǎng)閘/防火墻等安全設(shè)備，安全可控地打

通業(yè)務(wù)專(zhuān)網(wǎng)與政務(wù)外網(wǎng)；

c)若專(zhuān)網(wǎng)業(yè)務(wù)較敏感，或者高于電子政務(wù)外網(wǎng)信息安全等級(jí)保護(hù)級(jí)別，應(yīng)通過(guò)網(wǎng)閘進(jìn)行數(shù)據(jù)安

全交換；

14

DB3209/T1257-2023

d)若專(zhuān)網(wǎng)業(yè)務(wù)非敏感，或者不高于與電子政務(wù)外網(wǎng)信息安全等級(jí)保護(hù)級(jí)別，應(yīng)通過(guò)防火墻進(jìn)行

數(shù)據(jù)安全交換；

e)應(yīng)具備終端和系統(tǒng)之間的訪問(wèn)控制能力，控制粒度宜為單個(gè)地址或者端口，宜采用白名單的

訪問(wèn)控制策略；

f)應(yīng)對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)、防止、限制、報(bào)警等，并記錄攻擊源IP、目標(biāo)、類(lèi)型、時(shí)間等

信息；

g)應(yīng)對(duì)用戶行為和安全事件等進(jìn)行行為審計(jì)，審計(jì)記錄應(yīng)至少保留6個(gè)月。

6IP地址規(guī)劃

地址分級(jí)管理

市級(jí)電子政務(wù)外網(wǎng)IP地址總體規(guī)劃由市級(jí)電子政務(wù)管理機(jī)構(gòu)負(fù)責(zé)，各區(qū)縣級(jí)電子政務(wù)外網(wǎng)根據(jù)總

體規(guī)劃，對(duì)所屬本級(jí)的IP地址資源進(jìn)行再次分配、管理和使用。

地址分配原則

6.2.1層次性原則

IP地址分配應(yīng)根據(jù)網(wǎng)絡(luò)中的應(yīng)用級(jí)別成塊劃分，為每一級(jí)別應(yīng)用分配一個(gè)獨(dú)立的地址段，形成易于

擴(kuò)展的層次性結(jié)構(gòu)，便于網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理，降低網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)雜性。

6.2.2連續(xù)性原則

應(yīng)按照2n的大小分配連續(xù)地址段，有助于路由聚合、縮減路由表、提高路由算法效率。

6.2.3可擴(kuò)展性原則

地址分配在每一層次上都留有余量，當(dāng)網(wǎng)絡(luò)規(guī)模擴(kuò)展時(shí)能保證地址聚合所需的連續(xù)性。

6.2.4唯一性原則

同一個(gè)IP網(wǎng)絡(luò)中不能有兩個(gè)主機(jī)采用相同的IP地址。

6.2.5規(guī)范性原則

嚴(yán)格按照IP地址分配原則進(jìn)行IP地址的規(guī)劃及項(xiàng)目實(shí)施。

6.2.6全局業(yè)務(wù)IP地址按需申請(qǐng)?jiān)瓌t

申請(qǐng)單位根據(jù)網(wǎng)絡(luò)建設(shè)情況申請(qǐng)政務(wù)外網(wǎng)全局業(yè)務(wù)IP地址，申請(qǐng)的地址在一年內(nèi)必須充分有效使

用，否則將酌情收回。

6.2.7其他原則

其它原則如下：

a)應(yīng)采用域名而不是IP地址作為各類(lèi)主機(jī)提供服務(wù)的方式，避免IP地址改動(dòng)導(dǎo)致服務(wù)中斷；

b)在局域網(wǎng)中必須采用政務(wù)外網(wǎng)統(tǒng)一規(guī)劃的地址，避免全局業(yè)務(wù)IP地址出現(xiàn)資源短缺；

c)服務(wù)器IP地址應(yīng)使用低地址段，從最小可編地址開(kāi)始依次順序分配使用；

d)網(wǎng)絡(luò)設(shè)備IP地址應(yīng)使用高地址段，從最大可編地址開(kāi)始逆序分配使用；

e)已建城域網(wǎng)的市、縣級(jí)節(jié)點(diǎn)，建議根據(jù)用戶總體訪問(wèn)量使用若干個(gè)全局業(yè)務(wù)地址作為城域網(wǎng)

15

DB3209/T1257-2023

用戶單位訪問(wèn)政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)的轉(zhuǎn)換地址池；

f)IPv6地址具備語(yǔ)義化，結(jié)構(gòu)定義清晰，通過(guò)在IPv6地址不同分段嵌入?yún)^(qū)域、業(yè)務(wù)類(lèi)型等信

息，便于識(shí)別用戶所在區(qū)域及用途，可讀性強(qiáng)；

g)IPv6地址在設(shè)備或者管理界面以16進(jìn)制顯示配置（4bits），IPv6地址規(guī)劃盡量不要破壞半字

節(jié)結(jié)構(gòu)，以便進(jìn)行網(wǎng)絡(luò)管理和運(yùn)維。

IPv4地址分配

IPv4地址分配方式保持不變。

IPv6地址分配

6.4.1IPv6地址結(jié)構(gòu)

政務(wù)外網(wǎng)IPv6地址段結(jié)構(gòu)為：240B:8TZZ:ZZZW:WWYY::/64，主要用于政務(wù)外網(wǎng)全局的IPv6地址規(guī)

劃。政務(wù)外網(wǎng)IPv6地址采用結(jié)構(gòu)化編址方式，按圖3所示分為五個(gè)字段：

a)1～24位，類(lèi)型域，240B:8T，用于標(biāo)識(shí)政務(wù)外網(wǎng)各類(lèi)業(yè)務(wù)；

b)25～44位，區(qū)劃域，ZZ:ZZZ，用于標(biāo)識(shí)中央、省、市、縣四級(jí)行政區(qū)域；

c)45～56位，部門(mén)域，W:WW，用于標(biāo)識(shí)各級(jí)政務(wù)部門(mén)、鄉(xiāng)鎮(zhèn)及以下行政區(qū)域；

d)57～64位，子網(wǎng)域，YY，由各級(jí)政務(wù)部門(mén)自行規(guī)劃分配；

e)65～128位，主機(jī)域，支持EUI-64地址，并根據(jù)接口MAC地址自動(dòng)生成唯一標(biāo)識(shí)。

圖3IPv6地址結(jié)構(gòu)

市級(jí)及級(jí)行政區(qū)劃代碼及業(yè)務(wù)IPv6地址對(duì)照表應(yīng)符合附錄A的要求。

6.4.2類(lèi)型域（T碼）編碼規(guī)則

類(lèi)型域（T碼）用于標(biāo)識(shí)政務(wù)外網(wǎng)各類(lèi)業(yè)務(wù)（T表示十六進(jìn)制字符，取值范圍0—7），按照政務(wù)外網(wǎng)

業(yè)務(wù)系統(tǒng)類(lèi)型，劃分為網(wǎng)絡(luò)平臺(tái)、基礎(chǔ)數(shù)據(jù)業(yè)務(wù)、視頻會(huì)議業(yè)務(wù)、視頻監(jiān)控業(yè)務(wù)等，類(lèi)型域（T碼）設(shè)

計(jì)如下：

a)政務(wù)外網(wǎng)網(wǎng)絡(luò)平臺(tái)地址（T=0）：主要用于政務(wù)外網(wǎng)的各級(jí)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，包括鏈路、網(wǎng)絡(luò)設(shè)

備（環(huán)回口地址、設(shè)備互聯(lián)地址、設(shè)備管理地址）、安全設(shè)備（設(shè)備互聯(lián)地址、設(shè)備管理地

址）、網(wǎng)管平臺(tái)、安管平臺(tái)、云管平臺(tái)、運(yùn)行管理系統(tǒng)及終端等軟硬件設(shè)備；

b)基礎(chǔ)數(shù)據(jù)業(yè)務(wù)地址（T=1）：主要用于部署政務(wù)外網(wǎng)基礎(chǔ)業(yè)務(wù)及終端，包括服務(wù)器、IP存儲(chǔ)、

云主機(jī)、云存儲(chǔ)、應(yīng)用軟件、業(yè)務(wù)終端等；

c)視頻會(huì)議業(yè)務(wù)地址（T=2）：主要用于部署政務(wù)外網(wǎng)視頻會(huì)議業(yè)務(wù)及終端，包括視頻會(huì)議平

臺(tái)、視頻會(huì)議終端、應(yīng)用軟件等；

d)視頻監(jiān)控業(yè)務(wù)地址（T=3）：主要用于部署政務(wù)外網(wǎng)視頻監(jiān)控業(yè)務(wù)及終端，包括視頻監(jiān)控平

16

DB3209/T1257-2023

臺(tái)、視頻監(jiān)控終端、應(yīng)用軟件等；

e)預(yù)留（T=4-7）：未來(lái)政務(wù)外網(wǎng)業(yè)務(wù)發(fā)展，預(yù)留規(guī)劃。

6.4.3區(qū)劃域（Z碼）編碼規(guī)則

區(qū)劃域（Z碼）用于標(biāo)識(shí)中央、省、市、縣四級(jí)行政區(qū)域，區(qū)劃域編碼規(guī)則如下（其中：Z1、Z2、

Z3、Z4、Z5分別表示十六進(jìn)制字符，取值范圍00000-FFFFF），以民政部行政區(qū)劃代碼為基礎(chǔ)，將6位“十

進(jìn)制”字符（區(qū)劃代碼）轉(zhuǎn)換為5位“十六進(jìn)制”字符（Z碼），Z碼轉(zhuǎn)換算法設(shè)計(jì)如下：

a)拆碼：將6位“十進(jìn)制”區(qū)劃代碼分為3段：AA、BB、CC；

b)轉(zhuǎn)碼（十進(jìn)制轉(zhuǎn)二進(jìn)制）：

1)省級(jí)區(qū)域編碼（AA，江蘇對(duì)應(yīng)AA為16）轉(zhuǎn)換成6位“二進(jìn)制”字符，

2)地市地址編碼（BB，行政區(qū)劃代碼）轉(zhuǎn)換成7位“二進(jìn)制”字符，

3)區(qū)縣地址編碼（CC，行政區(qū)劃代碼）轉(zhuǎn)換成7位“二進(jìn)制”字符；

c)組碼（二進(jìn)制轉(zhuǎn)十六進(jìn)制）：合計(jì)共20位“二進(jìn)制”字符，按4位1組，轉(zhuǎn)換成5位“十六進(jìn)

制”字符，生成對(duì)應(yīng)的區(qū)劃域Z碼。

6.4.4部門(mén)域（W碼）編碼規(guī)則

部門(mén)域（W碼）用于標(biāo)識(shí)市、縣（市、區(qū)）各級(jí)政務(wù)部門(mén)、鄉(xiāng)鎮(zhèn)及以下行政區(qū)域，由W1、W2、W3三

位“十六進(jìn)制”字符組成，取值范圍000?FFF。部門(mén)域W1碼取值1?9時(shí)，表示市級(jí)部門(mén)單位，由市級(jí)政務(wù)

外網(wǎng)管理機(jī)構(gòu)分配，共分為A、B、C、D和其它預(yù)留5個(gè)大類(lèi)，縣（市、區(qū)）級(jí)部門(mén)單位可參照?qǐng)?zhí)行。部

門(mén)域規(guī)劃應(yīng)符合下列要求：

a)A類(lèi)級(jí)部門(mén)單位（W1=1?5）：用于標(biāo)識(shí)與國(guó)家對(duì)口的政府部門(mén)，部門(mén)域W1、W2由市級(jí)政務(wù)外網(wǎng)

管理機(jī)構(gòu)分配，W3由市級(jí)政府部門(mén)自行規(guī)劃。政府部門(mén)的下屬單位劃歸此類(lèi)，由其上級(jí)主管

部門(mén)進(jìn)行地址分配；

b)B類(lèi)市級(jí)部門(mén)單位（W1=6）：用于標(biāo)識(shí)黨委、人大、政協(xié)、高檢、高法、群團(tuán)、民主黨派等，

部門(mén)域W1、W2、W3由市級(jí)政務(wù)外網(wǎng)管理機(jī)構(gòu)分配；

c)C類(lèi)市級(jí)其它部門(mén)單位（W1=7）：用于標(biāo)識(shí)部隊(duì)、武警、央企、國(guó)企等。地方上的央企劃歸此

類(lèi)，由央企提出申請(qǐng)，市級(jí)政務(wù)外網(wǎng)管理機(jī)構(gòu)進(jìn)行地址分配；

d)D類(lèi)地方其它部門(mén)單位（W1=8）：用于標(biāo)識(shí)與國(guó)家非對(duì)口的省級(jí)部門(mén)單位；

e)預(yù)留（W1=9）；

f)部門(mén)域W1碼取值為A?F時(shí)，用于標(biāo)識(shí)鄉(xiāng)鎮(zhèn)及以下行政區(qū)域或基層組織借用部門(mén)域，從

W1W2W3=A00開(kāi)始，到W1W2W3=FFF結(jié)束，共支持1535個(gè)::/56地址段，由上級(jí)政務(wù)外網(wǎng)運(yùn)行管理

機(jī)構(gòu)分配。

6.4.5子網(wǎng)域（Y碼）編碼規(guī)則

子網(wǎng)域（Y碼）用于標(biāo)識(shí)不同系統(tǒng)類(lèi)型所屬的業(yè)務(wù)子網(wǎng)（Y1、Y2分別表示十六進(jìn)制字符，取值范圍

00-FF），子網(wǎng)域（Y碼）00-7F（前128個(gè)）部分由各部門(mén)單位自行規(guī)劃分配；Y碼80-FF（后128個(gè)）預(yù)

留。

7安全體系建設(shè)規(guī)范

總體要求

17

DB3209/T1257-2023

7.1.1IPv6網(wǎng)絡(luò)建設(shè)應(yīng)符合GB/T22239、GB/T25070、GB/T39786等網(wǎng)絡(luò)安全等級(jí)保護(hù)及信息系統(tǒng)

密碼應(yīng)用相關(guān)要求，定級(jí)如下:

a)市級(jí)電子政務(wù)外網(wǎng)達(dá)到網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)要求，并達(dá)到密碼應(yīng)用第三級(jí)基本要求；

b)縣級(jí)及以下政務(wù)外網(wǎng)達(dá)到網(wǎng)絡(luò)安全等級(jí)保護(hù)第二級(jí)及密碼應(yīng)用第二級(jí)基本要求，或以上要

求，且不低于承載在政務(wù)外網(wǎng)數(shù)據(jù)中心上業(yè)務(wù)系統(tǒng)的要求級(jí)別。

7.1.2存量網(wǎng)絡(luò)IPv6改造后安全防護(hù)能力應(yīng)不低于原有IPv4的要求。

7.1.3安全設(shè)備應(yīng)具備“IPv6+”技術(shù)能力，其功能應(yīng)符合附錄B要求。

市級(jí)安全技術(shù)要求

7.2.1物理環(huán)境安全要求

物理環(huán)境安全目的是保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有良好的電磁兼容工作環(huán)境，并防止非法用戶進(jìn)

入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生，本項(xiàng)關(guān)鍵要求包括：

a)機(jī)房出入口應(yīng)配置電子門(mén)禁系統(tǒng)，控制、鑒別和記錄進(jìn)入人員；

b)宜采用密碼技術(shù)進(jìn)行物理訪問(wèn)身份鑒別，保證重要區(qū)域進(jìn)入人員身份的真實(shí)性；

c)宜采用密碼技術(shù)保證電子門(mén)禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)的存儲(chǔ)完整性；

d)應(yīng)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)或設(shè)置有專(zhuān)人值守的視頻監(jiān)控系統(tǒng)，宜采用密碼技術(shù)保證視頻監(jiān)控

音像記錄數(shù)據(jù)的存儲(chǔ)完整性；

e)應(yīng)采取措施防止感應(yīng)雷，例如設(shè)置防雷保安器或過(guò)壓保護(hù)裝置等；

f)應(yīng)對(duì)機(jī)房劃分分域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置隔離防火措施；

g)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防水檢測(cè)和報(bào)警；

h)應(yīng)采取措施防止靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手環(huán)等；

i)應(yīng)設(shè)置冗余或并行的電力電纜線路為計(jì)算機(jī)系統(tǒng)供電；

j)應(yīng)對(duì)關(guān)鍵設(shè)備實(shí)施電磁屏蔽。

7.2.2通用區(qū)域邊界安全要求

邊界防護(hù)

本項(xiàng)要求如下：

a)應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)防火墻提供的受控接口進(jìn)行通信，不得繞過(guò)防火墻；

b)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到電子政務(wù)外網(wǎng)的行為進(jìn)行檢測(cè)或限制；

c)應(yīng)能夠?qū)﹄娮诱?wù)外網(wǎng)用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢測(cè)或限制；

d)應(yīng)支持基于應(yīng)用層協(xié)議設(shè)置流控策略，包括設(shè)置最大帶寬、保證帶寬、協(xié)議流量?jī)?yōu)先級(jí)等；

e)宜采用密碼技術(shù)保證網(wǎng)絡(luò)邊界訪問(wèn)控制信息的完整性。

訪問(wèn)控制

本項(xiàng)要求如下：

a)建設(shè)用戶準(zhǔn)入與非法外聯(lián)系統(tǒng)，增強(qiáng)用戶入網(wǎng)準(zhǔn)入控制和非法外聯(lián)的監(jiān)控與處置能力；

b)需對(duì)電子政務(wù)外網(wǎng)系統(tǒng)進(jìn)行資產(chǎn)和身份管理，設(shè)備需經(jīng)過(guò)身份認(rèn)證才能接入電子政務(wù)外網(wǎng)系

統(tǒng)；

c)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，按照最小化訪問(wèn)原則，默認(rèn)

情況下除允許通信外受控接口拒絕所有通信；

18

DB3209/T1257-2023

d)應(yīng)具備安全策略調(diào)優(yōu)能力，可發(fā)現(xiàn)冗余安全策略，長(zhǎng)時(shí)間不用的安全策略，以刪除多余或無(wú)

效的訪問(wèn)控制規(guī)則，優(yōu)化訪問(wèn)控制列表，并保證訪問(wèn)控制規(guī)則數(shù)量最小化；

e)應(yīng)對(duì)時(shí)間、用戶、源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒絕數(shù)

據(jù)包進(jìn)出；

f)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力；

g)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問(wèn)控制；

h)可采用密碼技術(shù)對(duì)從外部連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行接入認(rèn)證,確保接入的設(shè)備身份真實(shí)性。

入侵防范

本項(xiàng)要求如下：

a)在網(wǎng)絡(luò)邊界處檢測(cè)、防止或限制從外部發(fā)起的網(wǎng)絡(luò)攻擊行為；

b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；

c)應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊行為的分析；

d)當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類(lèi)型、攻擊目標(biāo)、攻擊時(shí)間，在發(fā)生嚴(yán)重入侵事

件時(shí)應(yīng)提供報(bào)警；

e)支持對(duì)加密流量進(jìn)行攻擊威脅識(shí)別。

安全審計(jì)

本項(xiàng)要求如下：

a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為和重

要安全事件進(jìn)行審計(jì)；

b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信

息。

可信驗(yàn)證

本項(xiàng)要求如下：

a)防火墻、入侵防御等核心安全設(shè)備需要保障自身安全，避免被黑客控制作為攻擊跳板，設(shè)備

需內(nèi)置可信根，可對(duì)系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可

信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證；

b)宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)證；

c)宜采用自主可控安全防護(hù)區(qū)設(shè)備，設(shè)備CPU、操作系統(tǒng)、轉(zhuǎn)發(fā)芯片等具備國(guó)產(chǎn)化能力，并確保

設(shè)備穩(wěn)定可靠，具有大型網(wǎng)絡(luò)使用能力。

互聯(lián)網(wǎng)接入?yún)^(qū)要求

市級(jí)電子政務(wù)外網(wǎng)城域網(wǎng)應(yīng)建設(shè)獨(dú)立的互聯(lián)網(wǎng)接入?yún)^(qū)。

應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)部署抗DDoS攻擊設(shè)備，針對(duì)互聯(lián)網(wǎng)上的DDoS攻擊進(jìn)行有效的防護(hù)，應(yīng)支持DDoS檢

測(cè)和清洗?？笵DoS攻擊應(yīng)支持常見(jiàn)的SYNFlood、ACKFlood、FIN/RSTFlood功能，能抵抗HTTP、

HTTPSFlood等攻擊，并且支持流量自學(xué)習(xí)功能，可識(shí)別出超過(guò)防御閾值的攻擊流量。

應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制。防火墻應(yīng)只開(kāi)放政務(wù)網(wǎng)提

供接入服務(wù)的必需的服務(wù)端口，對(duì)流經(jīng)互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合法性檢查。為了保證業(yè)務(wù)的可

服務(wù)性，防火墻應(yīng)雙機(jī)部署，且支持性能的可擴(kuò)容。防火墻應(yīng)支持IPv6協(xié)議棧、NAT64轉(zhuǎn)換技術(shù)。

19

DB3209/T1257-2023

宜在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署入侵防御系統(tǒng)，動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)上所有流過(guò)的數(shù)據(jù)包，進(jìn)行實(shí)時(shí)檢測(cè)

和分析，及時(shí)發(fā)現(xiàn)漏洞、蠕蟲(chóng)、木馬等非法和異常行為，并且支持告警、阻斷等功能；

應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)部署防病毒功能，可在防火墻或入侵檢測(cè)設(shè)備上開(kāi)啟，及時(shí)更新病毒庫(kù)，阻止病毒

入侵和傳播，進(jìn)行及時(shí)的查殺。防病毒模塊宜集成在防火墻內(nèi)。

應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)旁路部署沙箱，針對(duì)APT高級(jí)持續(xù)威脅，利用沙箱多引擎虛擬檢測(cè)技術(shù)，以及傳統(tǒng)

的安全檢測(cè)技術(shù)，識(shí)別網(wǎng)絡(luò)中傳輸?shù)膼阂馕募虲&C攻擊。沙箱宜支持和防火墻聯(lián)動(dòng)以實(shí)現(xiàn)對(duì)威脅的

實(shí)時(shí)阻斷。

宜部署流量探針，對(duì)流經(jīng)網(wǎng)絡(luò)邊界的流量進(jìn)行提取和還原，送至后端大數(shù)據(jù)分析平臺(tái)進(jìn)行安全分析，

識(shí)別潛在安全攻擊風(fēng)險(xiǎn)。

安全設(shè)備所產(chǎn)生的日志應(yīng)發(fā)送給日志審計(jì)系統(tǒng)，并要求審計(jì)日志至少保存6個(gè)月。

安全接入平臺(tái)要求

VPN網(wǎng)關(guān)應(yīng)采用虛擬子接口、VRF等方式實(shí)現(xiàn)與政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)、專(zhuān)用網(wǎng)絡(luò)區(qū)的網(wǎng)絡(luò)和業(yè)務(wù)對(duì)接。

VPN網(wǎng)關(guān)應(yīng)具有國(guó)家密碼管理局頒發(fā)的《密碼產(chǎn)品型號(hào)證書(shū)》，支持SM2國(guó)密算法和政務(wù)外網(wǎng)數(shù)字證

書(shū)。

應(yīng)為接入用戶提供服務(wù)接口或鏈路接口等統(tǒng)一入口。

應(yīng)采用高性能、高可靠性、可擴(kuò)展性的VPN網(wǎng)關(guān)，支持IPSecVPN、SSLVPN等功能。

應(yīng)采用RADIUS、LDAP等認(rèn)證協(xié)議實(shí)現(xiàn)基于數(shù)字證書(shū)的身份認(rèn)證，為用戶身份統(tǒng)一認(rèn)證和權(quán)限管理提供

支撐。

應(yīng)提供安全接入平臺(tái)的運(yùn)行情況監(jiān)測(cè)、用戶行為審計(jì)和安全接入平臺(tái)設(shè)備的配置管理功能。

應(yīng)通過(guò)網(wǎng)絡(luò)訪問(wèn)控制、入侵檢測(cè)與防御、防病毒等安全措施實(shí)現(xiàn)基礎(chǔ)安全防護(hù)?？赏ㄟ^(guò)在安全接入平

臺(tái)的網(wǎng)絡(luò)入口、內(nèi)部安全域邊界部署防火墻實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制?？稍诎踩尤肫脚_(tái)的網(wǎng)絡(luò)

入口處部署入侵檢測(cè)設(shè)備或入侵防御系統(tǒng)，動(dòng)態(tài)監(jiān)視網(wǎng)絡(luò)上流過(guò)的所有數(shù)據(jù)包，及時(shí)發(fā)現(xiàn)非法或異常

行為。

安全設(shè)備所產(chǎn)生的日志應(yīng)發(fā)送給日志審計(jì)系統(tǒng)，并要求審計(jì)日志至少保存6個(gè)月。

部門(mén)局域網(wǎng)接入要求

對(duì)于市級(jí)政務(wù)部門(mén)局域網(wǎng)接入到電子政務(wù)外網(wǎng)城域網(wǎng)，應(yīng)設(shè)部門(mén)用戶接入?yún)^(qū)。

應(yīng)在部門(mén)用戶接入?yún)^(qū)部署防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制。防火墻應(yīng)只開(kāi)放政務(wù)網(wǎng)絡(luò)所提供接

入服務(wù)的必要服務(wù)端口，對(duì)流經(jīng)部門(mén)用戶接入?yún)^(qū)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合法性檢查。為了保證業(yè)務(wù)的可服務(wù)

性，防火墻應(yīng)支持雙機(jī)部署，且支持性能的可擴(kuò)容。

應(yīng)在部門(mén)用戶接入?yún)^(qū)部署入侵防御系統(tǒng)，可在防火墻上開(kāi)啟入侵防御功能，動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)上所有流過(guò)

的數(shù)據(jù)包，進(jìn)行實(shí)時(shí)檢測(cè)和分析，及時(shí)發(fā)現(xiàn)漏洞、蠕蟲(chóng)、木馬等非法和異常行為，并且支持告警、阻

斷等功能。

應(yīng)在部門(mén)用戶接入?yún)^(qū)部署防病毒功能，可在防火墻上開(kāi)啟，及時(shí)更新病毒庫(kù)，阻止病毒入侵和傳播，

進(jìn)行及時(shí)的查殺。

20

DB3209/T1257-2023

宜在部門(mén)用戶接入?yún)^(qū)部署流量探針，對(duì)流經(jīng)網(wǎng)絡(luò)邊界的流量進(jìn)行提取和還原，送至后端大數(shù)據(jù)分析平

臺(tái)進(jìn)行安全分析，識(shí)別潛在安全攻擊風(fēng)險(xiǎn)。

安全設(shè)備所產(chǎn)生的日志應(yīng)發(fā)送給日志審計(jì)系統(tǒng)，并要求審計(jì)日志至少保存6個(gè)月。

政務(wù)云對(duì)接區(qū)要求

應(yīng)在政務(wù)云對(duì)接區(qū)部署防火墻，并開(kāi)啟訪問(wèn)控制、入侵防御、病毒防護(hù)等安全防護(hù)功能。

政務(wù)云對(duì)接區(qū)應(yīng)具備網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制功能。應(yīng)只開(kāi)放必要的服務(wù)端口，并對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合

法性檢查。防火墻應(yīng)支持雙機(jī)部署，支持性能的動(dòng)態(tài)擴(kuò)容。

政務(wù)云對(duì)接區(qū)應(yīng)具備入侵防御功能，可動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)上所有流過(guò)的數(shù)據(jù)包，進(jìn)行實(shí)時(shí)檢測(cè)和分析，及

時(shí)發(fā)現(xiàn)漏洞、蠕蟲(chóng)、木馬等非法和異常行為，并且支持告警、阻斷等功能。

政務(wù)云對(duì)接區(qū)應(yīng)具備病毒防護(hù)功能，可在線或離線更新病毒庫(kù)，阻止病毒入侵和傳播。

安全設(shè)備所產(chǎn)生的日志應(yīng)發(fā)送給日志審計(jì)系統(tǒng)，并要求審計(jì)日志至少保存6個(gè)月。

通信網(wǎng)絡(luò)安全要求

網(wǎng)絡(luò)架構(gòu)

本項(xiàng)要求包括：

a)合理劃分現(xiàn)有網(wǎng)的邊界和訪問(wèn)策略，實(shí)現(xiàn)不同網(wǎng)絡(luò)間的有效分離；

b)城域