DB5305T 19.6-2019保山市信息惠民工程綜合標準 第6部分：電子政務外網(wǎng)建設技術(shù)標準

ICS35.240L67保山市DB5305地方標準DB5/T19.6—2019替代DG5305/T19.6—2017保山市市場監(jiān)督管理局發(fā)布DB5305/T19.6-2019前言本標準按照GB/T1.1—2009《標準化工作導則第1部分：標準的結(jié)構(gòu)和編寫》給出的規(guī)則起草。本標準中附錄A為規(guī)范性附錄，附錄B為規(guī)范性附錄。本標準由保山市大數(shù)據(jù)管理局提出。本標準由保山市工業(yè)和信息化委員會歸口。本標準起草單位：保山市大數(shù)據(jù)管理局。本標準主要起草人：劉志胡、王明超、李祖燕、丁威、羅紅建、張忠信、陳秋玲。本標準替代DG5305/T19.6—2017。1DB5305/T19.6-2019保山市信息惠民工程綜合標準電子政務外網(wǎng)建設技術(shù)標準1范圍本標準規(guī)定了保山市電子政務外網(wǎng)的整體架構(gòu)和組網(wǎng)技術(shù)標準。本標準適用于保山市電子政務外網(wǎng)平臺的立項、規(guī)劃、設計、實施和運行管理。2規(guī)范性引用文件下列文件中的條款通過本標準的引用而成為本標準的條款。凡是注日期的引用文件，其隨后所有的修改單(不包括勘誤的內(nèi)容)或修訂版均不適用于本標準，然而，鼓勵根據(jù)本標準達成協(xié)議的各方研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標準。國家電子政務外網(wǎng)IP地址及域名管理規(guī)劃(試行)DB5305/T19.3-2019保山市信息惠民工程綜合標準術(shù)語3術(shù)語和定義DB5305/T19.3-2019確立的以及下列術(shù)語和定義適用于本標準。3.1電子政務外網(wǎng)電子政務外網(wǎng)(簡稱政務外網(wǎng))是按照《國家信息化領導小組關于我國電子政務建設指導意見》(中辦發(fā)〔2002〕17號)文件和《國家信息化領導小組關于推進國家電子政務網(wǎng)絡建設的意見》(〔2006〕18號)文件要求建設的我國電子政務重要公共基礎設施，是服務于各級黨委、人大、政府、政協(xié)、法院和檢察院等政務部門，滿足其經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務等方面需要的政務公用網(wǎng)絡。政務外網(wǎng)支持跨地區(qū)、跨部門的業(yè)務應用、信息共享和業(yè)務協(xié)同，以及不需在政務內(nèi)網(wǎng)上運行的業(yè)務。政務外網(wǎng)由中央政務外網(wǎng)和地方政務外網(wǎng)組成，與互聯(lián)網(wǎng)邏輯隔離。3.2互聯(lián)網(wǎng)互聯(lián)網(wǎng)，又稱網(wǎng)際網(wǎng)絡，或音譯因特網(wǎng)(Internet)、英特網(wǎng)，互聯(lián)網(wǎng)始于1969年美國的阿帕網(wǎng)。是網(wǎng)絡與網(wǎng)絡之間所串連成的龐大網(wǎng)絡，這些網(wǎng)絡以一組通用的協(xié)議相連，形成邏輯上的單一巨大國際3.3虛擬專用網(wǎng)VPNVPN，即虛擬專用網(wǎng)，指的是依靠ISP(Internet服務提供商)和其它NSP(網(wǎng)絡服務提供商)，在公用網(wǎng)絡中建立專用的數(shù)據(jù)通信網(wǎng)絡的技術(shù)。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的。3.4多協(xié)議標簽交換MPLSVPNMPLSVPN指在電子政務二三四級網(wǎng)絡中，為了實現(xiàn)業(yè)務的隔離和安全，采用BGP/MPLSIPVPN進行安全隔離，將不同的業(yè)務進行縱向和橫向隔離，保證在信息共享的基礎上實現(xiàn)業(yè)務安全隔離。3.5網(wǎng)元管理系統(tǒng)網(wǎng)元管理系統(tǒng)是管理特定類型的一個或多個電信網(wǎng)絡單元(NE)的系統(tǒng)。一般來說，EMS管理著每2DB5305/T19.6-2019個NE的功能和容量，但并不理會網(wǎng)絡中不同NE之間的交流。4縮略語下列縮略語適用于本標準?！狝BR：AreaBorderRouter，區(qū)域邊界路由器——AS：AutonomousSystem，自治系統(tǒng)——ASBR：AutonomousSystemBoundaryRouter，自治系統(tǒng)邊界路由器——BDR：Back-UpDesignatedRouter，備份指定路由器——BGP：BorderGatewayProtocol，邊界網(wǎng)關協(xié)議——DR：DesignatedRouter，指定路由器——EBGP：ExternalBorderGatewayProtocol，外部邊界網(wǎng)關協(xié)議——EMS:NetworkElementManagementSystem，網(wǎng)元管理系統(tǒng)——IBGP：InternalBorderGatewayProtocol，內(nèi)部邊界網(wǎng)關協(xié)議——ID：Identity，標識號——IP：InternetProtocol，網(wǎng)絡之間互連的協(xié)議——IGP：InteriorGatewayProtocol，內(nèi)部網(wǎng)關協(xié)議——IPS:IntrusionPreventionSystem，入侵防御系統(tǒng)——ISP：InternetServiceProvider，互聯(lián)網(wǎng)服務提供商——ITIL：InformationTechnologyInfrastructureLibrary，IT基礎架構(gòu)庫——LSA：Link-StateAdvertisement，鏈路狀態(tài)廣播——MPLS：Multi-ProtocolLabelSwitch，多協(xié)議標簽交換——NSP：NetworkServicesProvider，網(wǎng)絡服務提供商——OSPF：OpenShortestPathFirst，開放式最短路徑優(yōu)先，是一個內(nèi)部網(wǎng)關協(xié)議——SDH：SynchronousDigitalHierarchy，同步數(shù)字體系——SNMP：SimpleNetworkManagementProtocol，簡單網(wǎng)絡管理協(xié)議——SSL：SecureSocketsLayer，安全套接層——STM：SynchronousTransferModule，同步傳輸模式——VPN：VirtualPrivateNetwork，虛擬專用網(wǎng)絡5政務外網(wǎng)總體構(gòu)成政務外網(wǎng)建設將嚴格按照國家電子政務外網(wǎng)的總體規(guī)劃和技術(shù)標準，系統(tǒng)整體采用模塊化與分層架構(gòu)來設計。政務外網(wǎng)應考慮未來IPv6的發(fā)展，支持MPLSVPN，支持數(shù)據(jù)、語音、視頻業(yè)務，并實現(xiàn)網(wǎng)絡管理和運行服務支撐。保山市政務外網(wǎng)主要包括如下：——省-市-縣三級縱向網(wǎng)；——市級橫向網(wǎng)、縣(市、區(qū))橫向網(wǎng)；——統(tǒng)一市級互聯(lián)網(wǎng)出口；——行政村互聯(lián)網(wǎng)VPN接入與移動辦公VPN接入系統(tǒng)；——上連省電子政務外網(wǎng)；——市、縣兩級外網(wǎng)數(shù)據(jù)中心。6政務外網(wǎng)業(yè)務模型6.1政務外網(wǎng)模型3公用網(wǎng)絡區(qū)政務外網(wǎng)共享平臺公共網(wǎng)絡服務安全交換專用網(wǎng)絡區(qū)(MPLSVPN)G-C業(yè)務G-B業(yè)務公用網(wǎng)絡區(qū)政務外網(wǎng)共享平臺公共網(wǎng)絡服務安全交換專用網(wǎng)絡區(qū)(MPLSVPN)G-C業(yè)務G-B業(yè)務internet公眾用戶互聯(lián)網(wǎng)服務安全交換企業(yè)G-G業(yè)務移動辦公安全和認證服務安全互聯(lián)政務部門(Global)互聯(lián)網(wǎng)接入?yún)^(qū)外網(wǎng)安全接入平臺(internetVPN)6.1.1政務外網(wǎng)公共基礎設施業(yè)務模型政務外網(wǎng)公共基礎設施業(yè)務模型如圖1。圖1政務外網(wǎng)公共基礎設施業(yè)務模型VPN邏VPN邏VPN邏輯隔離輯輯隔離政務VPN政務VPN用戶主要政務用戶政務外網(wǎng)公共基礎設施6.1.2政務外網(wǎng)邏輯分區(qū)根據(jù)政務外網(wǎng)所承載的業(yè)務和系統(tǒng)服務類型的不同，在邏輯上將政務外網(wǎng)劃分為公用網(wǎng)絡區(qū)(Global)、專用網(wǎng)絡區(qū)(MPLSVPN)和互聯(lián)網(wǎng)接入?yún)^(qū)(InternetVPN)三個功能域，分別提供政務外網(wǎng)互聯(lián)互通業(yè)務、專用VPN業(yè)務和互聯(lián)網(wǎng)業(yè)務。6.1.3功能區(qū)間安全手段功能域相互之間安全隔離，公用網(wǎng)絡區(qū)用于實現(xiàn)各部門、各地區(qū)互聯(lián)互通，實現(xiàn)數(shù)據(jù)共享；專用網(wǎng)絡區(qū)用于實現(xiàn)不同部門或不同業(yè)務之間的MPLSVPN相互隔離，用于專門部門和專有業(yè)務的通信；互聯(lián)網(wǎng)接入?yún)^(qū)用于實現(xiàn)各級政務部門通過邏輯隔離手段安全接入互聯(lián)網(wǎng)，提供面向社會的公共服務和互聯(lián)網(wǎng)訪問。政務外網(wǎng)通過構(gòu)建互聯(lián)網(wǎng)安全接入平臺，實現(xiàn)各級政務部門移動辦公的公務人員利用互聯(lián)網(wǎng)通道，通過數(shù)字證書認證和密碼技術(shù)，安全接入政務外網(wǎng)，訪問指定的業(yè)務應用系統(tǒng)。6.2政務外網(wǎng)網(wǎng)絡架構(gòu)保山市政務外網(wǎng)向上連接省電子政務外網(wǎng)、向下連接保山各縣區(qū)政務網(wǎng)。市級節(jié)點建設市數(shù)據(jù)中心，實現(xiàn)市級各單位數(shù)據(jù)共享。保山市政務外網(wǎng)如圖2。4省電子政務外網(wǎng)市級單位接入?yún)R聚路由器區(qū)縣匯聚路由器電子政務外網(wǎng)骨干圖區(qū)縣橫向接入DB5305/T19.6-2019省電子政務外網(wǎng)市級單位接入?yún)R聚路由器區(qū)縣匯聚路由器電子政務外網(wǎng)骨干圖區(qū)縣橫向接入圖2保山市政務外網(wǎng)示意圖InternetInternet入侵檢測系統(tǒng)Vpn接入Vpn接入市數(shù)據(jù)中心/云平臺核心路由器局域網(wǎng)接入手機接入無線終端接入市市橫向接入單位6.2.1傳輸線路政務外網(wǎng)骨干網(wǎng)絡盡量采用光纖連接，政務外網(wǎng)核心設備之間采用冗余線路連接，核心與匯聚以及匯聚與接入設備之間也采用冗余線路連接。6.2.2路由協(xié)議電子政務外網(wǎng)核心、匯聚以及接入層設備可采用OSPF路由協(xié)議，實現(xiàn)冗余線路的切換。6.2.3網(wǎng)絡帶寬核心設備以及核心與匯聚之間采用萬兆鏈路連接，匯聚與接入之間可以采用千兆鏈路連接。6.3互聯(lián)網(wǎng)出口與遠程VPN接入6.3.1市互聯(lián)網(wǎng)出口市電子政務辦設置統(tǒng)一的互聯(lián)網(wǎng)出口，與互聯(lián)網(wǎng)進行安全可控連接，提供公共服務與VPN接入、互聯(lián)網(wǎng)訪問使用。市互聯(lián)網(wǎng)出口安全設備包括防火墻設備、入侵防御系統(tǒng)。防火墻的性能能夠達到小包64字節(jié)的吞吐量4Gbps以上，同時能夠支持虛擬防火墻和SSLVPN接入。IPS入侵防御系統(tǒng)的部署，配合防火墻進行2~7層的全面安全防護?？紤]到當前應用層攻擊的多樣化，越來越多的攻擊事情都是通過木馬、病毒等方式發(fā)起，IPS具有防病毒網(wǎng)關的功能，能夠同時阻斷病毒和惡意攻擊。6.3.2遠程VPN接入市級階段設置VPN接入網(wǎng)關和1套認證管理系統(tǒng)；VPN接入認證通過認證管理系統(tǒng)，實現(xiàn)對接入用戶的身份認證。VPN接入網(wǎng)關通過提供SSLVPN方式提供用戶撥號認證和加密，用戶認證管理系統(tǒng)采用標準的RADIUS協(xié)議進行身份認證。市管理員管理維護屬于自己區(qū)域的用戶信息和策略定義。5DB5305/T19.6-20196.3.3移動辦公VPN接入VPN接入網(wǎng)關同時能滿足行政村用戶和政務移動用戶VPN接入需要，以及解決零散分布的用戶在異地訪問政務外網(wǎng)，并提供身份驗證、授權(quán)功能。6.4系統(tǒng)安全與保障在政務外網(wǎng)與互聯(lián)網(wǎng)出口之間需要部署防火墻和入侵防護設備，在數(shù)據(jù)中心(云平臺)部署防火墻以及專用系統(tǒng)防護安全設備，在與省平臺連接邊界，與各橫向單位連接邊界，與縣區(qū)接入邊界部署防火墻設備。同時參考云南省頒布的相關電子政務外網(wǎng)安全規(guī)定做好相應系統(tǒng)防護。6.5網(wǎng)絡管理政務外網(wǎng)實現(xiàn)基于SNMP級基礎網(wǎng)管系統(tǒng)(網(wǎng)元管理系統(tǒng))，實現(xiàn)基于ITIL業(yè)務與服務管理。各級網(wǎng)管系統(tǒng)實現(xiàn)互聯(lián)互通，聯(lián)合監(jiān)控。建設SNMP基礎網(wǎng)管系統(tǒng)和ITIL運維管理系統(tǒng)。6.6計算機接入終端計算機終端網(wǎng)絡接入的原則性規(guī)定如下：禁止一機兩用；外網(wǎng)、政務網(wǎng)的計算機終端可采用一臺計算機通過有關部門認可的隔離卡切行切換，也可分別采用單獨的計算機終端；采用的隔離卡應是經(jīng)過有關部門鑒定的產(chǎn)品，且應是國產(chǎn)的。7政務外網(wǎng)組網(wǎng)技術(shù)標準7.1傳輸鏈路電子政務傳輸骨干網(wǎng)絡是實現(xiàn)電子政務外網(wǎng)建設的物質(zhì)基礎，一般租用運營商光纖、電路等構(gòu)成的物理傳輸骨干。7.2IP及域名規(guī)劃政務外網(wǎng)IP地址及域名規(guī)劃遵循《國家電子政務外網(wǎng)IP地址及域名管理規(guī)劃(試行)》(2006年9月)，采用“正式地址＋保留地址”相結(jié)合的綜合地址規(guī)劃方案，即“公有IP地址＋私有地址”雙軌制編址方案。7.3路由體系IGP類協(xié)議用于自治區(qū)域內(nèi)部路由發(fā)布，推薦OSPFV2作為統(tǒng)一的IGP協(xié)議；BGP類協(xié)議用于自治區(qū)域間路由發(fā)布或承載MPLSVPN，推薦BGPv4作為統(tǒng)一的BGP協(xié)議。7.3.1IGP規(guī)范7.3.1.1IGP協(xié)議應采用OSPFV2作為自治區(qū)域內(nèi)部的IGP路由協(xié)議。7.3.1.2OSPF區(qū)域市級自治區(qū)域內(nèi)OSPF區(qū)域劃分由市電子政務外網(wǎng)管理部門自行設計，應將市骨干作為OSPF0號區(qū)域，并為每個區(qū)和縣劃分獨立的OSPF區(qū)域。7.3.1.3OSPFRouterID應采用網(wǎng)絡設備的loopback0或loopback1(考慮到某些廠商設備在不支持loopback0時采用loopback1)的接口地址作為設備的RouterID。RouterID應統(tǒng)一規(guī)劃，作為路由域內(nèi)的該設備的唯一地址標識以及管理地址。6DB5305/T19.6-20197.3.1.4OSPF時間參數(shù)OSPF時間參數(shù)如下：——相鄰路由器間失效時間為3秒；——外部路由引入采用OE1方式(即到外部路由的花費值=本路由器到相應的ASBR的花費值+ASBR到該路由目的地址的花費值)，應只引入需要發(fā)布的路由；域間路由條目的發(fā)布只發(fā)布域匯總路由信息(路由條目≤4條)；——采用MD5對報文(接口、區(qū)域)進行驗證。7.3.1.5OSPFCOSTCOST值應設置為：.6OSPFDR與BDROSPFDR與BDR選擇應按照如下原則進行：——應手動指定，上級設備為DR；——OSPF接口上所有網(wǎng)絡類型均配置為廣播；——OSPF區(qū)域支持報文驗證；——在市核心路由器上必須配置OSPF路由濾，包含對引入和發(fā)布的路由都需要過濾(推薦配置策略只允許合法路由條目發(fā)布和接受)；——不應采用OSPF虛連接的方式連接區(qū)域。7.3.2BGP7.3.2.1BGP市級電子政務外網(wǎng)BPG區(qū)域覆蓋市核心與匯聚路由器、區(qū)縣接入路由器、市直單位接入路由器等。市級核心路由/交換設備作為反射器，反射器的群ID配置為loopback0或loopback1(考慮到某些廠商設備在不支持loopback0時采用loopback1)的接口地址作為設備的反射器的群ID。7.3.2.2BGP對等體BGP對等體的要求