DB5305∕T 19.6-2019 保山市信息惠民工程综合标准 第6部分：电子政务外网建设技术标准.docx

《DB5305∕T 19.6-2019 保山市信息惠民工程综合标准 第6部分：电子政务外网建设技术标准.docx》由会员分享，可在线阅读，更多相关《DB5305∕T 19.6-2019 保山市信息惠民工程综合标准 第6部分：电子政务外网建设技术标准.docx（10页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS35.240L67DB5305保山市地方标准DB5305/T19.62019替代DG5305/T19.62017保山市信息惠民工程综合标准第6部分:电子政务外网建设技术标准2019-10-30发布2019-11-01实施保山市市场监督管理局发布DB5305/T19.6-2019前言本标准按照GB/T1.12009标准化工作导则第1部分：标准的结构和编写给出的规则起草。本标准中附录A为规范性附录，附录B为规范性附录。本标准由保山市大数据管理局提出。本标准由保山市工业和信息化委员会归口。本标准起草单位：保山市大数据管理局。本标准主要起草人：刘志胡、王明超、李祖燕、丁威、罗红建、张忠信、陈秋玲

2、。本标准替代DG5305/T19.62017。DB5305/T19.6-2019保山市信息惠民工程综合标准第6部分电子政务外网建设技术标准1范围本标准规定了保山市电子政务外网的整体架构和组网技术标准。本标准适用于保山市电子政务外网平台的立项、规划、设计、实施和运行管理。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。国家电子政务外网IP地址及域名管理规划(试行)DB5305/

3、T19.3-2019保山市信息惠民工程综合标准术语3术语和定义DB5305/T19.3-2019确立的以及下列术语和定义适用于本标准。3.1电子政务外网电子政务外网（简称政务外网）是按照国家信息化领导小组关于我国电子政务建设指导意见中办发200217号）文件和国家信息化领导小组关于推进国家电子政务网络建设的意见（200618号）文件要求建设的我国电子政务重要公共基础设施，是服务于各级党委、人大、政府、政协、法院和检察院等政务部门，满足其经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。政务外网支持跨地区、跨部门的业务应用、信息共享和业务协同，以及不需在政务内网上运行的业务。政务外

4、网由中央政务外网和地方政务外网组成，与互联网逻辑隔离。3.2互联网互联网，又称网际网络，或音译因特网(Internet)、英特网，互联网始于1969年美国的阿帕网。是网络与网络之间所串连成的庞大网络，这些网络以一组通用的协议相连，形成逻辑上的单一巨大国际网络。3.3虚拟专用网VPNVPN，即虚拟专用网，指的是依靠ISP（Internet服务提供商）和其它NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。3.4多协议标签交换MPLSVPNMPLSVPN指在电子政务二三

5、四级网络中，为了实现业务的隔离和安全，采用BGP/MPLSIPVPN进行安全隔离，将不同的业务进行纵向和横向隔离，保证在信息共享的基础上实现业务安全隔离。3.5网元管理系统网元管理系统是管理特定类型的一个或多个电信网络单元（NE）的系统。一般来说，EMS管理着每1DB5305/T19.6-2019个NE的功能和容量，但并不理会网络中不同NE之间的交流。4缩略语下列缩略语适用于本标准。ABR：AreaBorderRouter，区域边界路由器AS：AutonomousSystem，自治系统ASBR：AutonomousSystemBoundaryRouter，自治系统边界路由器BDR：Back-U

6、pDesignatedRouter，备份指定路由器BGP：BorderGatewayProtocol，边界网关协议DR：DesignatedRouter，指定路由器EBGP：ExternalBorderGatewayProtocol，外部边界网关协议EMS:NetworkElementManagementSystem，网元管理系统IBGP：InternalBorderGatewayProtocol，内部边界网关协议ID：Identity，标识号IP：InternetProtocol，网络之间互连的协议IGP：InteriorGatewayProtocol，内部网关协议IPS:Intrusion

7、PreventionSystem，入侵防御系统ISP：InternetServiceProvider，互联网服务提供商ITIL：InformationTechnologyInfrastructureLibrary，IT基础架构库LSA：Link-StateAdvertisement，链路状态广播MPLS：Multi-ProtocolLabelSwitch，多协议标签交换NSP：NetworkServicesProvider，网络服务提供商OSPF：OpenShortestPathFirst，开放式最短路径优先，是一个内部网关协议SDH：SynchronousDigitalHierarchy，同

8、步数字体系SNMP：SimpleNetworkManagementProtocol，简单网络管理协议SSL：SecureSocketsLayer，安全套接层STM：SynchronousTransferModule，同步传输模式VPN：VirtualPrivateNetwork，虚拟专用网络5政务外网总体构成政务外网建设将严格按照国家电子政务外网的总体规划和技术标准，系统整体采用模块化与分层架构来设计。政务外网应考虑未来IPv6的发展，支持MPLSVPN，支持数据、语音、视频业务，并实现网络管理和运行服务支撑。保山市政务外网主要包括如下：省-市-县三级纵向网；市级横向网、县(市、区)横向网；统

9、一市级互联网出口；行政村互联网VPN接入与移动办公VPN接入系统；上连省电子政务外网；市、县两级外网数据中心。6政务外网业务模型6.1政务外网模型2DB5305/T19.6-20196.1.1政务外网公共基础设施业务模型政务外网公共基础设施业务模型如图1。图1政务外网公共基础设施业务模型VPN逻辑隔离VPN逻辑隔离防火墙、入侵防御逻辑隔离政务VPN用户主要政务用户政务互联网用户专用网络区委厅VPN1公用网络区政务外网共享平台互联网接入区互联网服务G-C业务G-B业务公众用户安全internet企业委厅VPN2安全交换公共网络服务交换外网安全接入平台G-G业务移动办公委厅VPNn安全和认证服务安

10、全互联政务部门（MPLSVPN）（Global）政务外网公共基础设施（internetVPN）6.1.2政务外网逻辑分区根据政务外网所承载的业务和系统服务类型的不同，在逻辑上将政务外网划分为公用网络区(Global)、专用网络区(MPLSVPN)和互联网接入区(InternetVPN)三个功能域，分别提供政务外网互联互通业务、专用VPN业务和互联网业务。6.1.3功能区间安全手段功能域相互之间安全隔离，公用网络区用于实现各部门、各地区互联互通，实现数据共享；专用网络区用于实现不同部门或不同业务之间的MPLSVPN相互隔离，用于专门部门和专有业务的通信；互联网接入区用于实现各级政务部门通过逻辑隔

11、离手段安全接入互联网，提供面向社会的公共服务和互联网访问。政务外网通过构建互联网安全接入平台，实现各级政务部门移动办公的公务人员利用互联网通道，通过数字证书认证和密码技术，安全接入政务外网，访问指定的业务应用系统。6.2政务外网网络架构保山市政务外网向上连接省电子政务外网、向下连接保山各县区政务网。市级节点建设市数据中心，实现市级各单位数据共享。保山市政务外网如图2。3图2保山市政务外网示意图省电子政务外网入侵检测系统DB5305/T19.6-2019Internet市数据中心/云平台市级电子政务外网核心路由器Vpn接入网关局域网接入手机接入无线终端接入市横向接入单位区县横向接入市级单位接入汇

12、聚路由器区县汇聚路由器电子政务外网骨干图6.2.1传输线路政务外网骨干网络尽量采用光纤连接，政务外网核心设备之间采用冗余线路连接，核心与汇聚以及汇聚与接入设备之间也采用冗余线路连接。6.2.2路由协议电子政务外网核心、汇聚以及接入层设备可采用OSPF路由协议，实现冗余线路的切换。6.2.3网络带宽核心设备以及核心与汇聚之间采用万兆链路连接，汇聚与接入之间可以采用千兆链路连接。6.3互联网出口与远程VPN接入6.3.1市互联网出口市电子政务办设置统一的互联网出口，与互联网进行安全可控连接，提供公共服务与VPN接入、互联网访问使用。市互联网出口安全设备包括防火墙设备、入侵防御系统。防火墙的性能能够

13、达到小包64字节的吞吐量4Gbps以上，同时能够支持虚拟防火墙和SSLVPN接入。IPS入侵防御系统的部署，配合防火墙进行27层的全面安全防护。考虑到当前应用层攻击的多样化，越来越多的攻击事情都是通过木马、病毒等方式发起，IPS具有防病毒网关的功能，能够同时阻断病毒和恶意攻击。6.3.2远程VPN接入市级阶段设置VPN接入网关和1套认证管理系统；VPN接入认证通过认证管理系统，实现对接入用户的身份认证。VPN接入网关通过提供SSLVPN方式提供用户拨号认证和加密，用户认证管理系统采用标准的RADIUS协议进行身份认证。市管理员管理维护属于自己区域的用户信息和策略定义。4DB5305/T19.6

14、-20196.3.3移动办公VPN接入VPN接入网关同时能满足行政村用户和政务移动用户VPN接入需要，以及解决零散分布的用户在异地访问政务外网，并提供身份验证、授权功能。6.4系统安全与保障在政务外网与互联网出口之间需要部署防火墙和入侵防护设备，在数据中心（云平台）部署防火墙以及专用系统防护安全设备，在与省平台连接边界，与各横向单位连接边界，与县区接入边界部署防火墙设备。同时参考云南省颁布的相关电子政务外网安全规定做好相应系统防护。6.5网络管理政务外网实现基于SNMP级基础网管系统(网元管理系统)，实现基于ITIL业务与服务管理。各级网管系统实现互联互通，联合监控。建设SNMP基础网管系统和

15、ITIL运维管理系统。6.6计算机接入终端计算机终端网络接入的原则性规定如下：禁止一机两用；外网、政务网的计算机终端可采用一台计算机通过有关部门认可的隔离卡切行切换，也可分别采用单独的计算机终端；采用的隔离卡应是经过有关部门鉴定的产品，且应是国产的。7政务外网组网技术标准7.1传输链路电子政务传输骨干网络是实现电子政务外网建设的物质基础，一般租用运营商光纤、电路等构成的物理传输骨干。7.2IP及域名规划政务外网IP地址及域名规划遵循国家电子政务外网IP地址及域名管理规划(试行)(2006年9月)，采用“正式地址保留地址”相结合的综合地址规划方案，即“公有IP地址私有地址”双轨制编址方案。7.3

16、路由体系IGP类协议用于自治区域内部路由发布，推荐OSPFV2作为统一的IGP协议；BGP类协议用于自治区域间路由发布或承载MPLSVPN，推荐BGPv4作为统一的BGP协议。7.3.1IGP规范7.3.1.1IGP协议应采用OSPFV2作为自治区域内部的IGP路由协议。7.3.1.2OSPF区域市级自治区域内OSPF区域划分由市电子政务外网管理部门自行设计，应将市骨干作为OSPF0号区域，并为每个区和县划分独立的OSPF区域。7.3.1.3OSPFRouterID应采用网络设备的loopback0或loopback1(考虑到某些厂商设备在不支持loopback0时采用loopback1)的接

17、口地址作为设备的RouterID。RouterID应统一规划，作为路由域内的该设备的唯一地址标识以及管理地址。5DB5305/T19.6-20197.3.1.4OSPF时间参数OSPF时间参数如下：Hello包间隔时间为1秒；相邻路由器间失效时间为3秒；LSA更新报文时间为1秒；邻接路由器重传LSA的间隔为5秒；OSPF的SPF计算间隔为5秒；外部路由引入采用OE1方式（即到外部路由的花费值=本路由器到相应的ASBR的花费值+ASBR到该路由目的地址的花费值），应只引入需要发布的路由；域间路由条目的发布只发布域汇总路由信息（路由条目4条）；采用MD5对报文（接口、区域）进行验证。7.3.1.5

18、OSPFCOSTCOST值应设置为：带宽10Gbps或SDHSTM-64为1；2.5Gbps或SDHSTM-16为3；1Gbps为8；155Mbps或STM-1为50；100Mbps为80；10Mbps为800；4E1为1000；E1为4000。7.3.1.6OSPFDR与BDROSPFDR与BDR选择应按照如下原则进行：应手动指定，上级设备为DR；OSPF接口上所有网络类型均配置为广播；OSPF区域支持报文验证；ABR与ASBR应至顶向下通过第5类LSA发布缺省路由；在市核心路由器上必须配置OSPF路由滤，包含对引入和发布的路由都需要过滤（推荐配置策略只允许合法路由条目发布和接受）；loop

19、back接口不应发送OSPF报文；不应采用OSPF虚连接的方式连接区域。7.3.2BGP7.3.2.1BGP市级电子政务外网BPG区域覆盖市核心与汇聚路由器、区县接入路由器、市直单位接入路由器等。市级核心路由/交换设备作为反射器，反射器的群ID配置为loopback0或loopback1(考虑到某些厂商设备在不支持loopback0时采用loopback1)的接口地址作为设备的反射器的群ID。7.3.2.2BGP对等体BGP对等体的要求如下：不应将IBGP对等体和EBGP对等体加入同一个组中；不允许同不直接相连网络上的EBGP对等体（组）建立连接。7.3.2.3BGP时间参数6DB5305/T

20、19.6-2019BGP时间参数应满足：BGPKeepalive报文的发送时间间隔为5秒；保持定时器为15秒；IBGP对等体（组）发送路由更新报文的时间间隔为1秒；EBGP对等体（组）发送路由更新报文的时间间隔为省内为5秒跨省为30秒。7.3.2.4BGP本地优先级BGP要求配置本地优先级属性，本地优先级的值为100。7.3.2.5BGPMEDBGP市州到省AS互联MED值为1，市州间AS互联MED值为0（MED值小的优先级高）。7.3.2.6BGP联盟一个IBGP域内只能存在一个联盟，并且联盟ID号与AS号保持一致。7.3.2.7BGP同步BGP与IGP的同步应关闭。7.3.2.8BGP路由

21、发布只在做MPLS-VPN时BGP与IGP的交互，仅允许在PE设备上进行交互。7.3.2.9BGP路由过滤在BGP接受路由信息时需要做基于IP前缀的路由过滤。7.4用户管理电子政务外网的用户管理应符合以下要求：建立用户管理制度，负责系统用户的登记造册、用户名分配、初始口令分配、用户权限分配、系统资源分配、账户注销等，并定期检查系统中的帐户分配情况，以及帐户权限设置的正确性；为不同用户分配不同的用户名或用户标识符，确保用户名或用户标识符具有唯一性；用户名或用户标识符在系统内部全局唯一，在用户名或用户标识符被删除后，同名用户名或用户标识符不可再被创建；记录用户的系统登录活动，定期审计和分析用户账户的使用情况，对发现的问题和异常情况进行相应处理。7