DB3209T 1257-2023電子政務(wù)外網(wǎng) 建設(shè)標(biāo)準(zhǔn)技術(shù)規(guī)范

DB3209鹽城市地方標(biāo)準(zhǔn)E-governmentnetworkTechnicalspeci鹽城市市場(chǎng)監(jiān)督管理局發(fā)布 5.2市級(jí)電子政務(wù)外網(wǎng)建設(shè)規(guī)范 5.3縣級(jí)電子政務(wù)外網(wǎng)建設(shè)規(guī)范 5.5網(wǎng)絡(luò)服務(wù)質(zhì)量設(shè)計(jì)規(guī)范 5.6專(zhuān)網(wǎng)接入規(guī)范 6.1地址分級(jí)管理 6.2地址分配原則 7.1總體要求 7.2市級(jí)安全技術(shù)要求 7.3縣級(jí)安全技術(shù)要求 8.1管理工作要求 8.2管理平臺(tái)建設(shè)要求 電子政務(wù)外網(wǎng)建設(shè)技術(shù)規(guī)范3.1全邏輯隔離，滿(mǎn)足各級(jí)部門(mén)經(jīng)濟(jì)調(diào)節(jié)、市場(chǎng)監(jiān)管、社會(huì)管理和），3.2地（市）網(wǎng)絡(luò)稱(chēng)為省級(jí)廣域網(wǎng)、地（市）到3.3把同一城市內(nèi)不同單位的局域網(wǎng)絡(luò)連接起來(lái)的網(wǎng)絡(luò)稱(chēng)為城域網(wǎng)，實(shí)現(xiàn)不同單位跨部門(mén)業(yè)務(wù)的數(shù)據(jù)3.43.54縮略語(yǔ)2)AAA：認(rèn)證、授權(quán)和計(jì)費(fèi)（authentication,authorization,anda3)APT：高級(jí)持續(xù)性威脅（AdvancedPers）；4)ARP：地址解析協(xié)議（AddressResolutionP6)C&C：命令控制（Commandan）；）；8)DDoS：分布式拒絕服務(wù)(DistributedDenialofS9)DGA：域名生成算法(DomainGenerationAl10)DHCP：動(dòng)態(tài)主機(jī)配置協(xié)議(DynamicHostCo13)EGP：外部網(wǎng)關(guān)協(xié)議(Exter14)GRE：通用路由封裝協(xié)議(GenericR15)EUI-64：64位擴(kuò)展唯一標(biāo)識(shí)符(64-16)IGP：內(nèi)部網(wǎng)關(guān)協(xié)議(Inter17)IMSI：國(guó)際移動(dòng)用戶(hù)識(shí)別碼（InternationalMobile18)IMEI：國(guó)際移動(dòng)設(shè)備標(biāo)識(shí)（InternationalMobil19)IPSecVPN：互聯(lián)網(wǎng)協(xié)議安全協(xié)議虛擬專(zhuān)用網(wǎng)絡(luò)(InternetProtocolsecurityvirtual20)IPv4：互聯(lián)網(wǎng)協(xié)議版本4（InternetPro21)IPv6：互聯(lián)網(wǎng)協(xié)議版本6（Internet）；23)IS-IS：中間系統(tǒng)到中間系統(tǒng)（IntermediateSystemt24)LACP：鏈路聚合控制協(xié)議（LinkAggregationControl25)MP：多鏈路協(xié)議（Multilin26)MPLS：多協(xié)議標(biāo)記交換（Multi-ProtocolLabel27)MSTP：多業(yè)務(wù)傳送平臺(tái)（Multi-serviceTransmissi）；28)NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressT29)NFS：網(wǎng)絡(luò)文件系統(tǒng)(NetworkFil30)OSPF：開(kāi)放式最短路徑優(yōu)先(OpenShortestPat32)PPP：點(diǎn)到點(diǎn)協(xié)議（point-to-poi33)QoS：服務(wù)質(zhì)量(Qualityo34)RIP：路由信息協(xié)議(RoutingInformati36)SDH：同步數(shù)字體系(SynchronousDigita37)SDN：軟件定義網(wǎng)絡(luò)(SoftwareDefined38)SIM：用戶(hù)身份模塊（SubscriberId39)SLA：服務(wù)水平協(xié)議(ServiceLevel40)SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProt41)SRv6：IPv6段路由（IPv6）；42)SSLVPN：基于安全套接層的虛擬專(zhuān)用網(wǎng)絡(luò)(VirtualPrivateNetworkoverSecureSockets43)TWAMP：雙向主動(dòng)測(cè)量協(xié)議（Two-WayActiveMeasurementPro44)URL：統(tǒng)一資源定位符(UniformResourceLoc46)VLAN：虛擬局域網(wǎng)(VirtualLocalAreaNet47)VPN：虛擬專(zhuān)用網(wǎng)絡(luò)（VirtualPrivateNe）；48)VxLAN：虛擬擴(kuò)展局域網(wǎng)（VirtualeXtensibleLocalAreaNe49)Wi-Fi：無(wú)線(xiàn)網(wǎng)絡(luò)技術(shù)（WirelessFid5.2市級(jí)電子政務(wù)外網(wǎng)建設(shè)規(guī)范b)市城域匯聚層設(shè)備主要匯接各政務(wù)部門(mén)局域網(wǎng)的接入設(shè)備，應(yīng)使用雙上聯(lián)方式連接核心層設(shè)d)互聯(lián)網(wǎng)接入?yún)^(qū)主要提供本級(jí)移動(dòng)辦公用戶(hù)VPN方式安全可靠接入政務(wù)需要采用信道加密技術(shù)結(jié)合政務(wù)外網(wǎng)數(shù)字證書(shū)進(jìn)行數(shù)據(jù)傳輸?shù)募用鼙Ｗo(hù)，實(shí)現(xiàn)移動(dòng)a)線(xiàn)路帶寬應(yīng)能滿(mǎn)足峰值業(yè)務(wù)需求，帶寬月c)市級(jí)城域網(wǎng)核心設(shè)備與廣域網(wǎng)核心設(shè)備之間均應(yīng)采用雙線(xiàn)路萬(wàn)兆光口對(duì)接，線(xiàn)路總帶寬均應(yīng)e)城域網(wǎng)核心層與匯聚層設(shè)備承載城市駕駛艙的匯聚流量，城域網(wǎng)核心層與匯聚層設(shè)備之間互g)一類(lèi)接入單位城域網(wǎng)接入層設(shè)備上聯(lián)線(xiàn)路總帶寬應(yīng)滿(mǎn)足政務(wù)部門(mén)內(nèi)用戶(hù)忙時(shí)峰值業(yè)務(wù)流量需a)同一機(jī)房?jī)?nèi)設(shè)備互聯(lián)可采用光纖或屏蔽雙絞線(xiàn)，推薦使用光5.2.4市級(jí)單位接入要求市級(jí)電子政務(wù)外網(wǎng)接入單位根據(jù)性質(zhì)和業(yè)務(wù)分為一、二、三類(lèi)單位，單位分a)市級(jí)接入單位局域網(wǎng)接入市級(jí)電子政務(wù)外網(wǎng)需要向市級(jí)電子級(jí)電子政務(wù)管理機(jī)構(gòu)備案，各單位嚴(yán)格按照備案范圍接入市級(jí)電1)一類(lèi)接入部門(mén)通過(guò)冗余設(shè)備、冗余鏈路連接市級(jí)2)二類(lèi)接入部門(mén)通過(guò)冗余設(shè)備、冗余鏈路連接市級(jí)電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)3)三類(lèi)接入部門(mén)通過(guò)單設(shè)備、單鏈路連接市級(jí)電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)e)未采用市級(jí)電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃地址的部門(mén)需自行政務(wù)外網(wǎng)，IPv6地址應(yīng)直接使用市級(jí)分配的IPvf)局域網(wǎng)應(yīng)支持動(dòng)態(tài)分配IPv6地址，宜支持h)接入部門(mén)應(yīng)按照國(guó)家及行業(yè)相關(guān)安全標(biāo)準(zhǔn)規(guī)范做好邊界以?xún)?nèi)自身局域網(wǎng)的安全a)政務(wù)外網(wǎng)5G平面應(yīng)支持為接入終端設(shè)備分b)通過(guò)5G平面接入政務(wù)外網(wǎng)的終端應(yīng)使用政務(wù)專(zhuān)用的IP地址體系，不應(yīng)使用e)終端設(shè)備應(yīng)支持不少于1個(gè)的用戶(hù)身份識(shí)別卡插槽或端、局域網(wǎng)網(wǎng)關(guān)等專(zhuān)用終端設(shè)備的SIM卡應(yīng)進(jìn)行實(shí)名認(rèn)證，并經(jīng)政務(wù)外網(wǎng)運(yùn)行管理5.3縣級(jí)電子政務(wù)外網(wǎng)建設(shè)規(guī)范縣級(jí)電子政務(wù)外網(wǎng)遵循層次化設(shè)計(jì)的原則，按照使用功能和網(wǎng)絡(luò)建設(shè)規(guī)模大小，可采用“核心b)匯聚層主要匯接各政務(wù)部門(mén)局域網(wǎng)的接入設(shè)備，應(yīng)使用雙上聯(lián)方式連接核心c)接入層設(shè)備用于政務(wù)部門(mén)局域網(wǎng)的接入，部署于各政務(wù)部門(mén)機(jī)房，備之間可按政務(wù)部門(mén)業(yè)務(wù)重要程度酌情采用冗余設(shè)計(jì)，增加業(yè)d)互聯(lián)網(wǎng)接入?yún)^(qū)主要提供本級(jí)移動(dòng)辦公用戶(hù)提供VP臺(tái)，需要采用信道加密技術(shù)結(jié)合政務(wù)外網(wǎng)數(shù)字證書(shū)進(jìn)行數(shù)據(jù)傳輸?shù)募用鼙Ｗo(hù)，實(shí)現(xiàn)移用戶(hù)訪(fǎng)問(wèn)政務(wù)外網(wǎng)內(nèi)部信息資源，可通過(guò)市級(jí)安全接入平臺(tái)統(tǒng)一接入，有條件的縣級(jí)理應(yīng)通過(guò)運(yùn)維管理區(qū)實(shí)現(xiàn)，并應(yīng)實(shí)現(xiàn)對(duì)運(yùn)維管理行為進(jìn)行審計(jì)，運(yùn)維管理區(qū)流量與其他f)縣級(jí)用戶(hù)接入?yún)^(qū)主要為縣級(jí)政務(wù)部門(mén)提供用戶(hù)接入服務(wù)，各政務(wù)還包括縣合駐辦公點(diǎn)，直接通過(guò)接入設(shè)備接入縣城域匯聚節(jié)g)鎮(zhèn)級(jí)用戶(hù)接入?yún)^(qū)為縣所轄各鄉(xiāng)鎮(zhèn)及下轄行政村接入政務(wù)外網(wǎng)的區(qū)域，各鎮(zhèn)集中辦公節(jié)點(diǎn)通過(guò)鎮(zhèn)匯聚設(shè)備統(tǒng)一對(duì)接縣城域核心節(jié)點(diǎn)，鎮(zhèn)匯聚設(shè)備同時(shí)匯聚下轄各行政村接入點(diǎn)為下轄各行政村接入政務(wù)外網(wǎng)提供支持，偏遠(yuǎn)地區(qū)也可通過(guò)安全接入平臺(tái)以IPsecVPN形式接入電子5.3.2通信鏈路及帶寬選擇c)縣級(jí)城域網(wǎng)核心設(shè)備與縣廣域網(wǎng)核心設(shè)備之間均應(yīng)采用雙線(xiàn)路e)城域網(wǎng)接入層設(shè)備與匯聚層設(shè)備之間的線(xiàn)路總帶寬應(yīng)滿(mǎn)足政務(wù)b)縣級(jí)用戶(hù)接入網(wǎng)因用戶(hù)地點(diǎn)與政務(wù)外網(wǎng)核心機(jī)房不在一棟大樓或大院需要租的，其接入與城域網(wǎng)匯聚層設(shè)備之間互聯(lián)可采用裸光纖或Md)MTU值應(yīng)設(shè)置合理，滿(mǎn)足業(yè)務(wù)承載傳輸需要；MTU值設(shè)置應(yīng)不5.3.4與市級(jí)電子政務(wù)外網(wǎng)對(duì)接規(guī)范a)縣級(jí)電子政務(wù)外網(wǎng)接入市級(jí)電子政務(wù)外網(wǎng)需要向市級(jí)電子政務(wù)管理機(jī)構(gòu)提出申請(qǐng)并備案，各5.3.5縣級(jí)單位接入要求縣級(jí)電子政務(wù)外網(wǎng)接入單位根據(jù)性質(zhì)和業(yè)務(wù)分為一、二、三類(lèi)單位，具體接入要求如a)縣級(jí)接入單位局域網(wǎng)接入縣級(jí)電子政務(wù)外網(wǎng)需要向縣級(jí)電子政務(wù)外網(wǎng)b)各縣級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)應(yīng)為各部門(mén)提供接入政務(wù)外網(wǎng)和接入地址段統(tǒng)e)未采用電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃地址的部門(mén)需自行轉(zhuǎn)換f)局域網(wǎng)應(yīng)支持動(dòng)態(tài)分配IPv6地址，宜支h)接入部門(mén)應(yīng)按照國(guó)家及行業(yè)相關(guān)安全標(biāo)準(zhǔn)規(guī)范做好邊界以?xún)?nèi)本部門(mén)接入網(wǎng)絡(luò)5.4自治域和路由規(guī)范），），5.5網(wǎng)絡(luò)服務(wù)質(zhì)量設(shè)計(jì)規(guī)范5.5.3政務(wù)外網(wǎng)可根據(jù)業(yè)務(wù)類(lèi)型、保障級(jí)別、部門(mén)訴求三個(gè)維度定義網(wǎng)絡(luò)切片模型：各政務(wù)單位對(duì)外服務(wù)窗口，市民辦理社保、公積金、不動(dòng)產(chǎn)滿(mǎn)足通過(guò)撤網(wǎng)整合的方式接入電子政務(wù)外網(wǎng)的專(zhuān)網(wǎng)業(yè)為通過(guò)撤線(xiàn)整合穿越電子政務(wù)外網(wǎng)的所有業(yè)務(wù)專(zhuān)基礎(chǔ)網(wǎng)絡(luò)要求：帶寬盡力而為，時(shí)延<30ms參與重大事件保障政務(wù)部門(mén)共用切片，按需使用，重保結(jié)束后政務(wù)部5.6專(zhuān)網(wǎng)接入規(guī)范5.6.1市級(jí)非涉密業(yè)務(wù)專(zhuān)網(wǎng)向電子政務(wù)外網(wǎng)遷移整合主要有撤網(wǎng)整合、撤線(xiàn)整合、對(duì)接融合三種方5.6.2撤網(wǎng)整合方案指將業(yè)務(wù)專(zhuān)網(wǎng)的設(shè)備、租賃專(zhuān)線(xiàn)等整體裁撤，專(zhuān)網(wǎng)接入單位作為新的政務(wù)外網(wǎng)接a)市、縣級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)應(yīng)為專(zhuān)網(wǎng)接入單位提供接入設(shè)備、接入線(xiàn)路，原專(zhuān)網(wǎng)業(yè)b)市、縣級(jí)電子政務(wù)外網(wǎng)應(yīng)具備差異化質(zhì)量保障能力，如SRv6、網(wǎng)絡(luò)切片5.6.3撤線(xiàn)整合方案指僅裁撤業(yè)務(wù)專(zhuān)網(wǎng)所租賃的運(yùn)營(yíng)商專(zhuān)線(xiàn)，利用政務(wù)外網(wǎng)作為專(zhuān)網(wǎng)線(xiàn)路，保留專(zhuān)網(wǎng)a)原則上專(zhuān)網(wǎng)整合應(yīng)采用撤網(wǎng)整合方式，有特殊需求需要采用撤線(xiàn)整合的業(yè)務(wù)專(zhuān)網(wǎng)部門(mén)應(yīng)f)為保障電子政務(wù)外網(wǎng)整體網(wǎng)絡(luò)質(zhì)量和安全，宜為穿越電子政務(wù)外網(wǎng)的所有業(yè)務(wù)專(zhuān)a)原則上專(zhuān)網(wǎng)整合應(yīng)采用撤網(wǎng)整合方式，有特殊需求需要采用對(duì)接融合方式的業(yè)務(wù)專(zhuān)網(wǎng)部b)市級(jí)電子政務(wù)外網(wǎng)應(yīng)建設(shè)專(zhuān)網(wǎng)對(duì)接融合區(qū)，通過(guò)部署網(wǎng)閘/防火墻等安全設(shè)備，安全可控地打f)應(yīng)對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)、防止、限制、報(bào)警等，并記錄g)應(yīng)對(duì)用戶(hù)行為和安全事件等進(jìn)行行為審計(jì)，審計(jì)記錄應(yīng)至市級(jí)電子政務(wù)外網(wǎng)IP地址總體規(guī)劃由市級(jí)電子政務(wù)管理機(jī)構(gòu)負(fù)責(zé)，各區(qū)縣級(jí)電子政務(wù)外網(wǎng)根據(jù)總體規(guī)劃，對(duì)所屬本級(jí)的IP地址資源進(jìn)行再次分配、管理和6.2地址分配原則應(yīng)按照2n的大小分配連續(xù)地址段，有助于路由聚申請(qǐng)單位根據(jù)網(wǎng)絡(luò)建設(shè)情況申請(qǐng)政務(wù)外網(wǎng)全局業(yè)務(wù)IP地址，申請(qǐng)的地址在一年內(nèi)必須充分有效使b)在局域網(wǎng)中必須采用政務(wù)外網(wǎng)統(tǒng)一規(guī)劃的地址，避免全局業(yè)務(wù)IP地址出現(xiàn)資源短缺；e)已建城域網(wǎng)的市、縣級(jí)節(jié)點(diǎn)，建議根據(jù)用戶(hù)總體訪(fǎng)問(wèn)量使用若干個(gè)全局業(yè)務(wù)地f)IPv6地址具備語(yǔ)義化，結(jié)構(gòu)定義清晰，通過(guò)在IPv6地址不同分段嵌入?yún)^(qū)域、g)IPv6地址在設(shè)備或者管理界面以1b)25～44位，區(qū)劃域，ZZ:ZZZ，用于標(biāo)識(shí)中央、省、市、縣四級(jí)行政區(qū)域；c)視頻會(huì)議業(yè)務(wù)地址（T=2主要用于部署政務(wù)外網(wǎng)視頻會(huì)議業(yè)務(wù)及終端，包括d)視頻監(jiān)控業(yè)務(wù)地址（T=3主要用于部署政務(wù)外網(wǎng)視頻監(jiān)控業(yè)務(wù)及終端，包括視頻監(jiān)控平部門(mén)域（W碼）用于標(biāo)識(shí)市、縣（市、區(qū)）各級(jí)政務(wù)部門(mén)、鄉(xiāng)鎮(zhèn)及以下行政區(qū)域，由W1、W2、W3三子網(wǎng)域（Y碼）用于標(biāo)識(shí)不同系統(tǒng)類(lèi)型所屬的業(yè)務(wù)子網(wǎng)（Y1、Y2分別表示十六進(jìn)制字符，取值范圍7.1.1IPv6網(wǎng)絡(luò)建設(shè)應(yīng)符合Ga)市級(jí)電子政務(wù)外網(wǎng)達(dá)到網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)要求，并達(dá)到密碼應(yīng)用第三級(jí)基本b)縣級(jí)及以下政務(wù)外網(wǎng)達(dá)到網(wǎng)絡(luò)安全等級(jí)保護(hù)第二級(jí)及密碼應(yīng)用第二級(jí)基本要求，或以上要求，且不低于承載在政務(wù)外網(wǎng)數(shù)據(jù)中心上業(yè)務(wù)系統(tǒng)的7.2市級(jí)安全技術(shù)要求物理環(huán)境安全目的是保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有良好的電磁兼容工作環(huán)境，并入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生，本項(xiàng)關(guān)鍵要求包a)機(jī)房出入口應(yīng)配置電子門(mén)禁系統(tǒng)，控制、鑒別和記錄進(jìn)c)宜采用密碼技術(shù)保證電子門(mén)禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)d)應(yīng)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)或設(shè)置有專(zhuān)人值守的視頻監(jiān)控系統(tǒng)，宜采用密碼技術(shù)保e)應(yīng)采取措施防止感應(yīng)雷，例如設(shè)置防雷保安器g)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防b)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到電子政務(wù)外網(wǎng)的行為進(jìn)行檢測(cè)或限制；c)應(yīng)能夠?qū)﹄娮诱?wù)外網(wǎng)用戶(hù)非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)e)應(yīng)對(duì)時(shí)間、用戶(hù)、源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查f)應(yīng)能根據(jù)會(huì)話(huà)狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒g)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)h)可采用密碼技術(shù)對(duì)從外部連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行接入認(rèn)證,確保接入的設(shè)備身份真實(shí)b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；c)應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊d)當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類(lèi)型、攻擊目b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信a)防火墻、入侵防御等核心安全設(shè)備需要保障自身安全，避免被黑客控制作為攻擊跳板，信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信b)宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)c)宜采用自主可控安全防護(hù)區(qū)設(shè)備，設(shè)備CPU、操作系統(tǒng)、轉(zhuǎn)測(cè)和清洗?？笵DoS攻擊應(yīng)支持常見(jiàn)的SYN應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪(fǎng)問(wèn)控制。防火墻應(yīng)只開(kāi)放政務(wù)網(wǎng)提入侵和傳播，進(jìn)行及時(shí)的查殺。防病毒模塊宜集成在防火墻的安全檢測(cè)技術(shù)，識(shí)別網(wǎng)絡(luò)中傳輸?shù)膼阂馕募?yīng)為接入用戶(hù)提供服務(wù)接口或鏈路接口等統(tǒng)應(yīng)采用RADIUS、LDAP等認(rèn)證協(xié)議實(shí)現(xiàn)基于數(shù)字證書(shū)的身應(yīng)提供安全接入平臺(tái)的運(yùn)行情況監(jiān)測(cè)、用戶(hù)行為審計(jì)和安全接入平臺(tái)設(shè)備的配置管理功應(yīng)通過(guò)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制、入侵檢測(cè)與防御、防病毒等安全措施實(shí)現(xiàn)基礎(chǔ)安全防護(hù)?？赏ㄟ^(guò)在安全接入平臺(tái)的網(wǎng)絡(luò)入口、內(nèi)部安全域邊界部署防火墻實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪(fǎng)問(wèn)控制?？稍诎踩尤肫脚_(tái)的網(wǎng)絡(luò)入口處部署入侵檢測(cè)設(shè)備或入侵防御系統(tǒng)，動(dòng)態(tài)監(jiān)視網(wǎng)絡(luò)上流過(guò)的所有數(shù)據(jù)包，及時(shí)發(fā)現(xiàn)非法或異常對(duì)于市級(jí)政務(wù)部門(mén)局域網(wǎng)接入到電子政務(wù)外網(wǎng)城域網(wǎng)，應(yīng)設(shè)部門(mén)用戶(hù)接入應(yīng)在部門(mén)用戶(hù)接入?yún)^(qū)部署防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪(fǎng)問(wèn)控制。防火墻應(yīng)只開(kāi)放政務(wù)網(wǎng)絡(luò)所提供接性，防火墻應(yīng)支持雙機(jī)部署，且支持性能的可政務(wù)云對(duì)接區(qū)應(yīng)具備網(wǎng)絡(luò)邊界保護(hù)和訪(fǎng)問(wèn)控制功能。應(yīng)只開(kāi)放必要的服務(wù)端口，并對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合b)城域網(wǎng)的核心、匯聚設(shè)備應(yīng)具有設(shè)備冗余，接入設(shè)備宜具備設(shè)備冗余；c)城域網(wǎng)核心設(shè)備、匯聚設(shè)備以及匯聚到核心設(shè)備之間應(yīng)至少保證不同路由主護(hù)，接入設(shè)備到匯聚設(shè)備之間宜采用不同路由主備鏈路進(jìn)行保護(hù)，在采用主備方式或負(fù)e)應(yīng)根據(jù)需要采用有效的QoS和流量管理策略，確保重要信息系統(tǒng)和數(shù)據(jù)具f)根據(jù)所部署系統(tǒng)的重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)h)應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，應(yīng)劃分互聯(lián)網(wǎng)區(qū)域，將電子政務(wù)核心業(yè)務(wù)與互聯(lián)網(wǎng)業(yè)a)用戶(hù)通過(guò)互聯(lián)網(wǎng)接入政務(wù)外網(wǎng)時(shí)，應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的性，應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的保密性，應(yīng)使用國(guó)家密碼管理局認(rèn)證核b)其他通信場(chǎng)景時(shí)，宜采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性，宜采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的保密性，采用的密碼技術(shù)應(yīng)經(jīng)過(guò)國(guó)家密碼管理局認(rèn)證a)需基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等b)宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)c)宜采用自主可控通信設(shè)備，設(shè)備CPU、操作系統(tǒng)、a)各級(jí)政務(wù)部門(mén)局域網(wǎng)的安全及等級(jí)保護(hù)工作由各政務(wù)部門(mén)會(huì)同本級(jí)電子政務(wù)外網(wǎng)管理機(jī)增加終端安全管理系統(tǒng)和選擇不同網(wǎng)絡(luò)區(qū)域的安全a)部門(mén)局域網(wǎng)與公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，使用防火墻或者安全網(wǎng)關(guān)進(jìn)行安全防b)專(zhuān)用網(wǎng)絡(luò)區(qū)邊界安全由接入單位按照該專(zhuān)用網(wǎng)絡(luò)區(qū)的縱a)接入終端應(yīng)使用政務(wù)部門(mén)局域網(wǎng)統(tǒng)一分配的c)政務(wù)部門(mén)局域網(wǎng)終端應(yīng)僅具備一個(gè)網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)限，訪(fǎng)問(wèn)政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)的a)通過(guò)5G接入政務(wù)外網(wǎng)應(yīng)滿(mǎn)足終端二次認(rèn)證/鑒權(quán)管控，一次認(rèn)證為接入運(yùn)營(yíng)商回傳網(wǎng)制，基于用戶(hù)身份識(shí)別卡的唯一標(biāo)識(shí)和設(shè)備標(biāo)識(shí)對(duì)用戶(hù)識(shí)別卡和設(shè)備進(jìn)行接入5G網(wǎng)絡(luò)的準(zhǔn)入b)安全網(wǎng)關(guān)應(yīng)基于移動(dòng)終端（標(biāo)識(shí)一般為IMSI或SIM卡號(hào)）進(jìn)行精細(xì)網(wǎng)絡(luò)訪(fǎng)問(wèn)控制、安全防護(hù)策a)應(yīng)對(duì)信息資產(chǎn)、威脅情報(bào)、漏洞信息等進(jìn)行生命周期管理，包含網(wǎng)絡(luò)和IT資產(chǎn)管理、知b)應(yīng)匯聚安全告警、風(fēng)險(xiǎn)、安全態(tài)勢(shì)等信息，進(jìn)行關(guān)聯(lián)分析、智能推理、分成安全防護(hù)控制策略和業(yè)務(wù)安全控制策略，基于決策結(jié)果進(jìn)行服務(wù)的編排、調(diào)度和配置，包號(hào)的違規(guī)行為發(fā)現(xiàn)能力，包含安全態(tài)勢(shì)、安全審計(jì)、安全風(fēng)險(xiǎn)評(píng)估和安h)宜采用密碼技術(shù)保證運(yùn)維審計(jì)系統(tǒng)的完整性和機(jī)b)應(yīng)支持系統(tǒng)掃描、Web掃描、數(shù)據(jù)庫(kù)a)應(yīng)對(duì)資產(chǎn)進(jìn)行全面的安全事件和安全d)應(yīng)能根據(jù)收集到的安全事件和安全日志分析信息資產(chǎn)的安全狀況，通過(guò)內(nèi)置的關(guān)聯(lián)場(chǎng)景判斷f)宜采用密碼技術(shù)保證日志審計(jì)系統(tǒng)7.3縣級(jí)安全技術(shù)要求a)機(jī)房場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的c)宜采用密碼技術(shù)保證電子門(mén)禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)b)應(yīng)將通信線(xiàn)纜鋪設(shè)在隱蔽安全處。應(yīng)采用防靜電地板或地面并采用必要的接地防靜應(yīng)設(shè)置溫濕度自動(dòng)調(diào)節(jié)措施，是機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范圍之a(chǎn))應(yīng)在機(jī)房供電線(xiàn)路上配置穩(wěn)壓器和過(guò)電壓b)應(yīng)提供短期的備用電力供應(yīng)，至少滿(mǎn)足設(shè)a)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪(fǎng)問(wèn)控制策略設(shè)置訪(fǎng)問(wèn)控制規(guī)則，默認(rèn)情況下除允許通信c)應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒d)應(yīng)能根據(jù)會(huì)話(huà)狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶(hù)、事件類(lèi)型、事件是否成功及其他與審計(jì)相關(guān)的信a)可基于可信根對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程b)宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)c)宜采用自主可控安全防護(hù)區(qū)設(shè)備，設(shè)備CPU、操作系統(tǒng)、轉(zhuǎn)應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪(fǎng)問(wèn)控制。防火墻應(yīng)只開(kāi)放政務(wù)網(wǎng)提入侵和傳播，進(jìn)行及時(shí)的查殺。防病毒模塊宜集成在防火墻b)應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)a)可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等b)宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)c)宜采用自主可控通信設(shè)備，設(shè)備CPU、操作系統(tǒng)、a)各級(jí)政務(wù)部門(mén)局域網(wǎng)的安全及等級(jí)保護(hù)工作由各政務(wù)部門(mén)會(huì)同本級(jí)電子政務(wù)外網(wǎng)管理機(jī)增加終端安全管理系統(tǒng)和選擇不同網(wǎng)絡(luò)區(qū)域的安全a)部門(mén)局域網(wǎng)與公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，使用防火墻或者安全網(wǎng)關(guān)進(jìn)行安全防b)專(zhuān)用網(wǎng)絡(luò)區(qū)邊界安全由接入單位按照該專(zhuān)用網(wǎng)絡(luò)區(qū)的縱a)接入終端應(yīng)使用政務(wù)部門(mén)局域網(wǎng)統(tǒng)一分配的c)政務(wù)部門(mén)局域網(wǎng)終端應(yīng)僅具備一個(gè)網(wǎng)絡(luò)的訪(fǎng)問(wèn)權(quán)限，訪(fǎng)問(wèn)政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)的a)應(yīng)對(duì)信息資產(chǎn)、威脅情報(bào)、漏洞信息等進(jìn)行生命周期管理，包含網(wǎng)絡(luò)和IT資產(chǎn)管理、知b)應(yīng)匯聚安全告警、風(fēng)險(xiǎn)、安全態(tài)勢(shì)等信息，進(jìn)行關(guān)聯(lián)分析、智能推理、分成安全防護(hù)控制策略和業(yè)務(wù)安全控制策略，基于決策結(jié)果進(jìn)行服務(wù)的編排、調(diào)度和配置，包號(hào)的違規(guī)行為發(fā)現(xiàn)能力，包含安全態(tài)勢(shì)、安全審計(jì)、安全風(fēng)險(xiǎn)評(píng)估和安在業(yè)務(wù)擴(kuò)充的情況下依然能夠進(jìn)行有效的運(yùn)維g)宜采用密碼技術(shù)保證運(yùn)維審計(jì)系統(tǒng)a)漏洞掃描系統(tǒng)應(yīng)提供安全自查能力、營(yíng)造安全可靠的網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)風(fēng)險(xiǎn)提前發(fā)現(xiàn)，避b)應(yīng)支持系統(tǒng)掃描、Web掃描、數(shù)據(jù)庫(kù)掃描、基線(xiàn)掃描及弱口令等多項(xiàng)功能；c)漏洞庫(kù)應(yīng)涵蓋豐富的安全漏洞和攻擊特征，支持CVE、CVSS、CNVID、CNNVD、CNCVd)應(yīng)支持設(shè)備的上線(xiàn)安全檢查、第三方入網(wǎng)安全檢查、合規(guī)安全檢查、日常安全檢a)應(yīng)對(duì)資產(chǎn)進(jìn)行全面的安全事件和安全c)應(yīng)支持保存的安全事件和日志進(jìn)行快速查詢(xún)、檢索，便于管理人員定位d)應(yīng)支持根據(jù)收集到的安全事件和安全日志分析信息資產(chǎn)的安全狀況，通過(guò)內(nèi)置的f)宜采用密碼技術(shù)保證日志審計(jì)系統(tǒng)a)市級(jí)電子政務(wù)管理機(jī)構(gòu)負(fù)責(zé)全市電子政務(wù)外網(wǎng)標(biāo)準(zhǔn)規(guī)范和安全保障體系建設(shè)，負(fù)責(zé)指導(dǎo)b)各縣級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)具體負(fù)責(zé)本級(jí)電子政務(wù)外網(wǎng)的規(guī)劃、建設(shè)、運(yùn)維和安全管理工作，以及本地區(qū)非涉密業(yè)務(wù)專(zhuān)網(wǎng)整合遷移或融合互c)接入政務(wù)外網(wǎng)的部門(mén)和單位負(fù)責(zé)本部門(mén)本單a)市本級(jí)、各縣級(jí)電子政務(wù)外網(wǎng)需組建電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全管理小組，領(lǐng)導(dǎo)小組應(yīng)按照主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的原則，明確專(zhuān)人負(fù)責(zé)網(wǎng)絡(luò)安全管理工作，加強(qiáng)人員b)明確專(zhuān)業(yè)運(yùn)維人員，嚴(yán)格按照管理制度和業(yè)務(wù)流程形成網(wǎng)絡(luò)安全工作的閉環(huán)，做好電子政務(wù)外網(wǎng)鏈路業(yè)務(wù)實(shí)時(shí)狀態(tài)監(jiān)控、異常事件實(shí)時(shí)通報(bào)處理、設(shè)備狀態(tài)監(jiān)控維護(hù)和信息安c)應(yīng)具備密碼應(yīng)用安全管理制度,包括密碼人員管理、密鑰管理、建設(shè)運(yùn)行、應(yīng)），c)各地可根據(jù)實(shí)際情況，建設(shè)電子政務(wù)外網(wǎng)防病毒體系：一是在各類(lèi)終端、應(yīng)用部署殺毒軟件，并定期進(jìn)行病毒查殺；二是增設(shè)管控平臺(tái)，對(duì)于驅(qū)動(dòng)、存儲(chǔ)等設(shè)備進(jìn)行嚴(yán)格d)各單位應(yīng)定期對(duì)本領(lǐng)域政務(wù)外網(wǎng)的業(yè)務(wù)系統(tǒng)、操作系統(tǒng)、中間件、網(wǎng)絡(luò)設(shè)備、安行漏洞掃描，以評(píng)估各資產(chǎn)安全情況，結(jié)合威脅情報(bào)、資產(chǎn)等級(jí)、漏洞危害性等要素進(jìn)b)須強(qiáng)化電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)的隔離管理，嚴(yán)禁電子政務(wù)外網(wǎng)的業(yè)務(wù)系統(tǒng)與互聯(lián)b)二級(jí)故障事件（重要故障直接影響服務(wù)，會(huì)導(dǎo)致a)遵循先搶通后修復(fù)原則進(jìn)行故障處理，優(yōu)先保障業(yè)務(wù)和應(yīng)用b)接到故障申告或故障協(xié)查后，應(yīng)記錄故障信息，并生成故障紀(jì)錄單，故障紀(jì)錄單的內(nèi)容至少f)應(yīng)及時(shí)向故障申告人反饋故障處理進(jìn)程，故障解決后，進(jìn)行記錄并與故障申告人向上一級(jí)政務(wù)外網(wǎng)管理機(jī)構(gòu)提交故障升級(jí)報(bào)告括：故障的上報(bào)人、升級(jí)時(shí)間、升級(jí)對(duì)象、通報(bào)內(nèi)容、升級(jí)反饋時(shí)間和修復(fù)時(shí)間等。故障報(bào)告內(nèi)容應(yīng)故障處理完成后，應(yīng)以書(shū)面或電子化形式提供統(tǒng)一格式的故障處理報(bào)告和網(wǎng)絡(luò)質(zhì)量運(yùn)行報(bào)告務(wù)外網(wǎng)管理機(jī)構(gòu)負(fù)責(zé)存檔。故障處理報(bào)告應(yīng)至少包括：用戶(hù)名稱(chēng)、故障申業(yè)務(wù)承載：評(píng)估電子政務(wù)外網(wǎng)IPv6應(yīng)用的承載支撐質(zhì)量情接入管理：評(píng)估非涉密專(zhuān)網(wǎng)整合部門(mén)、中央駐蘇單位接入等應(yīng)接盡接工作完成情況。8.2管理平臺(tái)建設(shè)要求8.2.2運(yùn)維服務(wù)管理平臺(tái)建設(shè)及對(duì)市本級(jí)及區(qū)縣電子政務(wù)外網(wǎng)運(yùn)維服務(wù)管理系統(tǒng)建c)應(yīng)支持收集電子政務(wù)外網(wǎng)性能和告警信息，與拓?fù)溥M(jìn)行關(guān)聯(lián)和篩市級(jí)平臺(tái)聯(lián)動(dòng)和協(xié)調(diào)處置，對(duì)接架構(gòu)、對(duì)接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對(duì)接模式、對(duì)縣級(jí)平臺(tái)聯(lián)動(dòng)和協(xié)調(diào)處置，對(duì)接架構(gòu)、對(duì)接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對(duì)接模式、對(duì)性、不可否認(rèn)性需求的應(yīng)遵循密碼相關(guān)國(guó)家標(biāo)8.2.3安全大數(shù)據(jù)管理平臺(tái)建設(shè)及對(duì)接a)安全大數(shù)據(jù)平臺(tái)應(yīng)具備綜合審計(jì)能力，綜合審計(jì)并實(shí)時(shí)采集本級(jí)對(duì)象應(yīng)包括：終端、網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)等安全操作行為；b)安全大數(shù)據(jù)平臺(tái)應(yīng)具備采集本級(jí)的邊界檢測(cè)數(shù)據(jù)，本級(jí)協(xié)議接口采集對(duì)象應(yīng)包括：IDS、堡壘機(jī)、IPS、WAF、漏洞掃描、防火墻、防毒墻、網(wǎng)閘、抗DDOS等；c)安全大數(shù)據(jù)平臺(tái)應(yīng)能夠?qū)Π踩袨楹蛿?shù)據(jù)進(jìn)行采集匯聚，并運(yùn)用數(shù)據(jù)挖掘分析技術(shù)對(duì)各種安全行為進(jìn)行態(tài)勢(shì)感知和事件溯源分析，支持通過(guò)網(wǎng)安聯(lián)動(dòng)策略，在網(wǎng)絡(luò)設(shè)備上近源阻斷處置；d)市級(jí)大數(shù)據(jù)平臺(tái)應(yīng)提供向上級(jí)聯(lián)能力，市級(jí)網(wǎng)絡(luò)風(fēng)險(xiǎn)隱患、漏洞情報(bào)、告警數(shù)據(jù)、安全事件、安全報(bào)表、案例數(shù)據(jù)、運(yùn)行狀態(tài)等同步到省級(jí)平臺(tái)跟蹤管理，省級(jí)平臺(tái)下發(fā)的預(yù)警通報(bào)數(shù)據(jù)，共享案例知識(shí)庫(kù)數(shù)據(jù)等信息在市級(jí)平臺(tái)聯(lián)動(dòng)和協(xié)調(diào)處置，對(duì)接架構(gòu)、對(duì)接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對(duì)接模式、對(duì)接范圍、對(duì)接技術(shù)要求、對(duì)接開(kāi)發(fā)等按DB32/T4318.1的要求實(shí)現(xiàn)；e)縣級(jí)大數(shù)據(jù)平臺(tái)應(yīng)提供向上級(jí)聯(lián)能力，縣級(jí)網(wǎng)絡(luò)風(fēng)險(xiǎn)隱患、漏洞情報(bào)、告警數(shù)據(jù)、安全事件、安全報(bào)表、案例數(shù)據(jù)、運(yùn)行狀態(tài)等同步到市級(jí)平臺(tái)跟蹤管理，市級(jí)平臺(tái)下發(fā)的警通報(bào)數(shù)據(jù)，共享案例知識(shí)庫(kù)數(shù)據(jù)等信息在縣級(jí)平臺(tái)聯(lián)動(dòng)和協(xié)調(diào)處置，對(duì)接架構(gòu)、對(duì)接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對(duì)接模式、對(duì)接范圍、對(duì)接技術(shù)要求、對(duì)接開(kāi)發(fā)等按DB32/T4318.1的要求實(shí)現(xiàn)；f)市、縣級(jí)大數(shù)據(jù)平臺(tái)級(jí)聯(lián)需要經(jīng)過(guò)安全身份認(rèn)證，數(shù)據(jù)傳輸需要經(jīng)過(guò)可靠加密處理，涉及密碼算法的相關(guān)內(nèi)容,應(yīng)按國(guó)家有關(guān)法規(guī)實(shí)施，涉及采用密碼技術(shù)解決保密性、完整性、真實(shí)性、不可否認(rèn)性需求的應(yīng)遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。核心節(jié)點(diǎn)網(wǎng)絡(luò)設(shè)備應(yīng)支持下表所述功能，設(shè)備的性能指標(biāo)應(yīng)能滿(mǎn)足電子政務(wù)外網(wǎng)未來(lái)2-