环境信息网络建设规范（HJ 460—2009）.pdf

HJ 中华人民共和国国家环境保护标准 HJ 4602009 环境信息网络建设规范 Specification for environmental information network building 2009-03-20 发布 2009-06-01 实施 环 境 保 护 部 发 布 HJ 4602009 中华人民共和国环境保护部 公 告 2009年 第13号 为贯彻中华人民共和国环境保护法，促进环境信息化建设，现批准环境信息网络建设规范等两项标准为国家环境保护标准，并予发布。 标准名称、编号如下： 一、环境信息网络建设规范（HJ 460 2009 ） 二、环境信息网络管理维护规范（HJ 461 2009） 以上标准自 2009 年 6 月 1 日起实施，由中国环境科学出版社出版，标准内容可在环境保护部网站（www.mep.gov.cn ）查询。 特此公告。 2009 年 3 月 20 日 i HJ 4602009 ii HJ 4602009 目 次 前 言 . iv 1 适用范围 . 1 2 规范性引用文件 . 1 3 术语和定义 . 2 4 全国环境信息网络建设原则和基本流程 . 3 5 全国环境信息骨干网网际互连 . 4 6 全国环境信息局域网网络建设 . 10 7 全国环境信息网络机房建设 . 14 8 全国环境信息网络验收测试 . 16 附录 A（资料性附录） 全国环境信息网络系统域名命名规则 . 18 附录 B（规范性附录） 全国环境信息网络 IP 地址规划表 . 20 附录 C（资料性附录） 路由器性能指标 . 24 附录 D（规范性附录） 防火墙安全等级划分 . 25 附录 E（资料性附录） 防火墙性能指标 . 27 附录 F（规范性附录） 对不同高度房间的火灾探测器的选择 . 28 附录 G（资料性附录） 机房面积公式 . 29 附录 H（资料性附录） 局域网系统性能测试工具要求 . 30 iii HJ 4602009 前 言 为加强和规范全国环境信息网络的统一建设、管理，实现全国环境保护部门网络互连互通，保障环境业务数据的实时、有效传输，为环境保护管理和决策提供信息服务，制定本标准。 本标准规定了全国环境信息网络建设的原则、基本流程、骨干网络建设、局域网络建设， IP 地址和域名规划，机房建设等技术要求。 本标准附录 B、附录 D、附录 F 为规范性附录，附录 A、附录 C、附录 E、附录 G、附录 H 为资料性附录。 本标准由环境保护部科技标准司组织制订。 本标准起草单位：环境保护部信息中心。 本标准由环境保护部 2009 年 3 月 20 日批准。 本标准自 2009 年 6 月 1 日起实施。 本标准由环境保护部解释。 iv HJ 4602009 环境信息网络建设规范 1 适用范围 本标准规定了全国环境信息三级骨干网络网际互连，以及全国环境信息网络建设的原则、基本流程、骨干网络建设、局域网络建设，IP 地址和域名规划，机房建设等技术要求。 本标准适用于环境保护部、各省、自治区、直辖市环境保护厅（局）、新疆生产建设兵团环境保护局（以下简称省级环境保护厅（局）和地市级环境保护局环境信息网络建设工作。区、县级环境保护局及各级环境保护部门直属单位、派出机构亦可参照执行。 2 规范性引用文件 本标准内容引用了下列文件或其中的条款。凡是不注日期的引用文件，其有效版本适用于本标准。 GB/T 1988 1998 信息技术 信息交换用七位编码字符集 GB/T 2260 中华人民共和国行政区划代码 GB/T 2887 电子计算机场地通用规范 GB 180302005 信息技术 中文编码字符集 GB/T 182332008 信息技术 用户建筑群的通用布缆 GB/T 19668 信息化工程监理规范 GB/T 202752006 信息安全技术 入侵检测系统技术要求和测试评价方法 GB/T 202782006 信息安全技术 网络脆弱性扫描产品技术要求 GB/T 202802006 信息安全技术 网络脆弱性扫描产品测试评价方法 GB/T 202812006 信息安全技术 防火墙技术要求和测试评价方法 GB/T 216712008 基于以太网技术的局域网系统验收测评规范 GB 500571994 建筑物防雷设计规范 GB 50174 电子计算机机房设计规范 GB/T 503112007 建筑与建筑群综合布线系统工程设计规范 GB/T 503122007 综合部线系统工程验收规范 GA 3722001 防火墙产品的安全功能检测 YD/T 1096 2001 路由器设备技术规范低端路由器 YD/T 1097 2001 路由器设备技术规范高端路由器 YD/T 1098 2001 路由器测试规范低端路由器 YD/T 1099 2005 千兆比以太网交换机设备技术规范 YD/T 1141 2001 千兆比以太网交换机测试方法 YD/T 1156 2001 路由器测试规范高端路由器 YD/T 1170 2001 IP 网络技术要求网络总体 YD/T 1255 2003 具有路由功能的以太网交换机技术要求 YD/T 1287 2003 具有路由功能的以太网交换机测试方法 IEC 61935： 2005 按照 GB/T 18233/ISO/IEC 11801 的平衡通信布缆测试 第 1 部分：已安装布缆 IEC 61280-4-1： 2003 纤维光学通信子系统试验程序 第 4-1 部分：光缆设备及链接 多模光缆设备的衰减测量 1 HJ 4602009 IEC 61280-4-2： 1999 光纤通信子系统基本试验程序 第 4-2 部分：光缆设施 单模光缆设施衰减 RFC 2544 网络互联设备基准测试方法 3 术语和定义 下列术语和定义适用于本标准。 3.1 环保系统骨干网及核心节点 全国环境信息网络分为三级骨干网： 一级骨干网：环境保护部至各省级环境保护厅（局）的网络互连。 二级骨干网：省级环境保护厅（局）至其所属地市级（含计划单列城市和副省级城市）环境保护局的网络互连，以及直辖市环境保护局至其区、县级环境保护局的网络互连。 三级骨干网：各地市级（含计划单列城市和副省级城市）环境保护局至其所属县、区级环境保护局的网络互连。 全国环境信息网络分为四级节点： 环境保护部为一级节点，各省级环境保护厅（局）为二级节点，各地市级（含计划单列城市和副省级城市）环境保护局为三级节点，区、县级环境保护局为四级节点。 3.2 环保系统电子政务内网 环境保护部及全国各省级、计划单列城市和副省级城市环境保护厅（局）建设的用于电子公文传输、内部政务管理以及内部信息服务等的网络。电子政务内网为独立的网络，须与互联网和电子政务外网物理隔离。 3.3 环保系统电子政务外网 环境保护部及全国各级环境保护厅（局）内部局域网通过专线互连，用于污染源监测数据传输、环境保护系统综合业务平台以及数据共享的网络。电子政务外网为全国性互连网络，须与互联网安全隔离。 3.4 环保系统城域网 环境保护部连接其在京直属单位所形成的网络；省级环境保护厅（局）连接其同城直属单位所形成的网络；地市级环境保护局连接其同城直属单位所形成的网络。 3.5 国家级环境信息广域网 指环境保护部通过专线连接各省级环境保护厅（局）所形成的广域网。 3.6 省级环境信息广域网 指省级环境保护厅（局）通过专线连接其管辖范围内各地市级（含计划单列城市和副省级城市）环境保护局所形成的广域网。 3.7 缩略语 DMZ 非军事区 Demilitary Zone DNS 域名解析系统 Domain Name System FTP 文件传输协议 File Transfer Protocol HTTP 超文本传输协议 Hypertext Transfer Protocol IDS 入侵检测系统 Intrusion Detection System IP 互联网协议 Internet Protocol NAT 网络地址转换器 Network Address Translation POP3 邮局协议 3 Post Office Protocol 3 SMTP 简单邮件传送协议 Simple Mail Transfer Protocol VLAN 虚拟局域网 Virtual Local Area Network VPN 虚拟专用网 Virtual Private Network 2 HJ 4602009 4 全国环境信息网络建设原则和基本流程 4.1 网络建设原则 网络建设依据以下主要原则： a）满足各级环境保护部门的业务应用系统的要求； b）利用已有的网络资源，与已有的专用政务网络兼容； c）网络体系结构应以 TCP/IP 互连技术组建，即三层及三层以上统一采用 TCP/IP 协议栈，各种物理传输媒体之上采用多种协议栈的形式支持统一的 IP 层协议； d）根据应用业务系统及安全保障的不同需求，满足可分级管理和控制等特殊需要，采用分布式组织架构进行分级、分权的管理； e）应是安全可靠、可管理、可控制和可扩展的网络，具有服务分类和服务质量保障能力。 4.2 网络建设基本流程 4.2.1 立项阶段 立项阶段需编制立项申请报告和项目可行性研究报告。报告应依据相应部门的要求和适用的技术标准编制。 4.2.2 确定监理机构 电子政务项目实行工程监理制。项目建设单位应按照信息系统工程监理的有关规定，委托具有信息系统工程相应监理资质的工程监理单位，对项目建设进行工程监理。有关规定见 GB/T 19668。 4.2.3 招标投标阶段 环境信息网络建设工程、建设项目招标投标活动应满足以下要求： a）遵守工程建设项目施工招标投标办法的规定； b）遵守计算机信息系统集成资质管理办法的规定； c）工程建设项目属于工程建设项目招标范围和规模标准规定（国家计委令 第 3 号）规定的范围和标准的，须通过招标选择施工单位，不得将依法必须进行招标的项目化整为零或者以其他任何方式规避招标； d）涉密系统集成单位必须经过保密工作部门资质认定，并取得涉及国家秘密的计算机系统集成资质证书，涉密系统建设单位应选择具有涉及国家秘密的计算机系统集成资质证书的单位来承建涉密系统； e）遵守其他相关技术标准的规定。 4.2.4 工程设计阶段 网络建设工程设计应当遵循国家标准、行业标准和地方标准，并符合网络建设工程招标合同的要求。 4.2.5 工程实施阶段 环境信息网络建设工程实施应当符合国家标准、行业标准和地方标准，符合网络建设工程设计方案的要求。 4.2.6 工程验收阶段 重大项目的竣工验收，必须有各级环境保护信息部门参与评审；其他项目的竣工验收，建设单位应当根据工程备案管辖邀请市或者区、县各级环境保护信息部门参加。环境信息网络建设工程验收应当符合国家标准、行业标准和地方标准，符合网络建设工程招标合同的要求，涉及保密和隐蔽工程的验收参照相关规定。从事工程验收设计的单位，应当执行有关的国家标准、行业标准和地方标准。 4.2.7 运行及维护阶段 网络维护是环境信息网络正常运行的保证，必须给予充分的重视，并从人员、规章制度和资金等各个方面做好相应的安排。应建立网络建设工程质量保修制度。承建方应按合同，履行保修责任。保修期3 HJ 4602009 自工程竣工验收合格之日起不得少于两年。 5 全国环境信息骨干网网际互连 5.1 网络结构及拓扑 全国环境信息网络结构可分为三级骨干网，四级节点。 5.1.1 互联网网际互连网络结构及拓扑 互联网接口为全国各级环境保护部门连接国际互联网的出口。局域网（外网）为星型拓扑结构。 5.1.2 广域网网络结构及拓扑 全国环境信息广域网络主要包括：一、二、三级骨干网。广域网为星型拓扑结构。 5.1.3 环保系统城域网网络结构及拓扑 环保系统城域网是全国各级环境保护部门至同城直属单位的网络互连，为星型拓扑结构。 5.2 链路和带宽 5.2.1 互联网链路和带宽 互联网的链路由运营商提供。互联网的带宽根据业务需求确定，以下为带宽升级的参考标准： a）当一条链路具有高的利用率，如果优先级高的流量还可以被正常路由，业务应用质量尚可， Ping测试时所经历的延迟也不显著，可不升级带宽； b）如果优先级高的流量的可用带宽接近带宽的极限，宜升级带宽； c）如果网络正常业务流量长时间达到整个互联网带宽的 70%，并且关键业务应用明显受到影响，在 Ping 测试时所经历的延迟显著，并伴随一定的丢包率，应升级互联网带宽。 5.2.2 城域网链路和带宽 环境保护部与在京直属单位的网络互连应采用专线连接，带宽不低于 2 M，环境保护部连接环境保护部信息中心数据中心带宽不低于 100 M。 省级环境保护厅（局）与其同城直属单位的网络互连可采用专线连接，带宽不低于 2 M。 地市级环境保护局与其同城直属单位的网络互连可采用专线连接，带宽不低于 2 M。 5.2.3 广域网链路和带宽 一级骨干网采用专线连接，带宽不低于 6 M。 二级骨干网采用专线连接，带宽不低于 2 M。 三级骨干网可采用专线连接，带宽不低于 2 M，也可采用 VPN 技术，带宽不低于 512 K。 5.3 网络接入设备 5.3.1 接入设备类型 5.3.1.1 互联网接入设备 互联网接入路由器可选择支持百兆带宽的中低端路由器。 5.3.1.2 城域网接入设备 环保系统城域网接入设备等级主要由设备所在节点角色功能决定。环境保护部与在京直属单位的网络互连，采用高端路由器，各在京直属单位可采用低端路由器。各省级环境保护厅（局）与同城直属单位的网络互连，采用中高端路由器，各同城直属单位可采用低端路由器。各地市级环境保护局与同城直属单位的网络互连，采用中低端路由器，各同城直属单位可采用低端路由器。 5.3.1.3 广域网接入设备 全国环境信息广域网一级骨干网络中，环境保护部为一级节点，应采用高端路由器。二级骨干网络中，各省级环境保护厅（局）为二级节点，采用中高端路由器；各地市级环境保护局采用中低端路由器。 5.3.2 接入设备要求 5.3.2.1 高端路由器 高端路由器通常位于骨干网接入节点，为骨干网转发数据提供路由处理能力和传输带宽。 4 HJ 4602009 a）高端路由器功能主要包括： 1）路由器的功能特性； 2）通信规程； 3）协议要求； 4）路由协议； 5）接口类型； 6）网管协议等。 b）高端路由器性能指标主要包括： 1）吞吐量； 2）丢包率； 3）包转发率； 4）可靠性和安全性； 5）路由表容量； 6）接口转发时延等。 有关高端核心路由器的详细要求见 YD/T 1097 2001。路由器性能指标参见附录 C。 5.3.2.2 低端路由器 低端路由器一般位于网络边缘，是通过数据转发包来实现连接一级网络与二级网络的路由器。 a）低端路由器功能主要包括： 1）路由器的功能特性； 2）通信规程； 3）协议要求； 4）路由协议； 5）接口类型； 6）网管协议等。 b）低端路由器性能指标主要包括： 1）接口转发时延； 2）丢包率； 3）包转发率； 4）内存容量等。 有关低端核心路由器的详细要求见 YD/T 1096 2001。路由器性能指标参见附录 C。 5.4 网络安全设备 5.4.1 安全设备类型 5.4.1.1 互联网安全设备 互联网接入的安全设备可以选择支持百兆带宽的中低端防火墙，并可根据实际情况部署入侵检测设备、上网行为管理设备、流量管理设备等安全产品。 5.4.1.2 广域网和城域网安全设备 在全国环境信息广域网和城域网建设中网络安全设备主要是指防火墙设备、入侵检测系统和网络脆弱性扫描系统。环境保护部、省级环境保护厅（局）、地市级环境保护局必须在网络节点部署防火墙、入侵检测系统和网络脆弱性扫描系统，区、县级环境保护局可以采用软件防火墙。 5.4.2 防火墙设备 防火墙作为一个或一组在不同安全策略的网络或安全域之间实施访问控制的系统，通用技术要求分为功能、性能、安全和保证要求四大类。 a）防火墙设备主要功能： 5