DB3209/T 1257-2023 电子政务外网 建设标准技术规范

DB3209/T 1257-2023 Electronic Government Outside Network Construction Standards Technical Specification

江苏省地方标准 简体中文 现行 页数:44页 | 格式:PDF

基本信息

标准号
DB3209/T 1257-2023
标准类型
江苏省地方标准
标准状态
现行
中国标准分类号(CCS)
国际标准分类号(ICS)
发布日期
2023-12-15
实施日期
2024-03-15
发布单位/组织
盐城市市场监督管理局
归口单位
盐城市电子政务办公室
适用范围
本文件界定了电子政务外网建设技术的术语和定义、缩略语,规定了网络平台建设规范、IP地址规划、安全体系建设规范及管理体系建设规范。本文件适用于盐城市级、县(区)级电子政务外网建设,以及各级政务部门局域网接入。

发布历史

研制信息

起草单位:
盐城市电子政务办公室
起草人:
刘强、赵启萌、王磊、孙约
出版信息:
页数:44页 | 字数:- | 开本: -

内容描述

ICS35.240.01

CCSL67

DB3209

盐城市地方标准

DB3209/T1257—2023

电子政务外网建设技术规范

E-governmentnetworkTechnicalspecification

2023-12-15发布2024-03-15实施

盐城市市场监督管理局发布

DB3209/T1257-2023

目次

目次2

前言3

1范围4

2规范性引用文件4

3术语和定义4

4缩略语5

5网络平台建设规范6

网络总体结构6

市级电子政务外网建设规范6

县级电子政务外网建设规范9

自治域和路由规范12

网络服务质量设计规范13

专网接入规范14

6IP地址规划15

地址分级管理15

地址分配原则15

IPv4地址分配16

IPv6地址分配16

7安全体系建设规范17

总体要求17

市级安全技术要求18

县级安全技术要求24

8管理体系建设规范29

管理工作要求29

管理平台建设要求31

附录A(规范性)网络设备要求34

附录B(规范性)安全设备要求36

附录C(资料性)盐城市各设区县行政区划代码及业务IPv6地址对照表41

附录D(资料性)委办局分类统计表42

参考文献45

2

DB3209/T1257-2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起

草。

本文件由盐城市电子政务办公室提出并归口。

本文件起草单位:盐城市电子政务办公室。

本文件主要起草人:刘强、赵启萌、王磊、孙约。

3

DB3209/T1257-2023

电子政务外网建设技术规范

1范围

本文件界定了电子政务外网建设技术的术语和定义、缩略语,规定了网络平台建设规范、IP地址规

划、安全体系建设规范及管理体系建设规范。

本文件适用于盐城市级、县(区)级电子政务外网建设,以及各级政务部门局域网接入。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,

仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本

文件。

GB/T21061国家电子政务网络技术和运行管理规范

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T25070信息安全技术网络安全等级保护安全设计技术要求

GB/T39786信息安全技术信息系统密码应用基本要求

DB32/T4318.1电子政务外网安全大数据和运维保障平台接入规范第1部分:安全大数据平台

DB32/T4318.2电子政务外网安全大数据和运维保障平台接入规范第2部分:运维保障平台

3术语和定义

以及下列术语和定义适用于本文件。

电子政务外网e-governmentnetwork

承载跨地区、跨部门业务应用、信息共享、业务协同和不需在政务内网上运行的业务,与互联网安

全逻辑隔离,满足各级部门经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。

注:电子政务外网纵向连通国家、省、地(市)、县(市、区)、乡(镇、街道)、村(社区),横向覆盖各级党

委、人大、政府、政协、法院和检察院等部门。

广域网WideAreaNetworks

把城市之间连接起来的宽带网络称广域网,政务外网从中央到各省的网络称为中央广域网、省到各

地(市)网络称为省级广域网、地(市)到各县的广域网称为地(市)级广域网。实现国家、省、市、

县纵向业务的互联网通。

城域网metronetwork

4

DB3209/T1257-2023

把同一城市内不同单位的局域网络连接起来的网络称为城域网,实现不同单位跨部门业务的数据

共享与交换。

网络切片networkslicing

提供特定网络能力和网络特征(如资源隔离、SLA保障特性等),为客户提供多种业务属性的逻辑网

络。

随流检测in-situflowinformationtelemetry

一种直接对业务报文进行端到端测量,从而得到网络的真实丢包率、时延等性能指标的检测方式,

具有部署方便、统计精度高等突出优点。

4缩略语

下列缩略语适用于本文件。

1)5G:第五代移动通信技术(5thGeneration);

2)AAA:认证、授权和计费(authentication,authorization,andaccounting);

3)APT:高级持续性威胁(AdvancedPersistentThreat);

4)ARP:地址解析协议(AddressResolutionProtocol);

5)APN6:应用感知的IPv6网络(application-awareIPv6networking);

6)C&C:命令控制(CommandandControl);

7)CE:用户边缘设备(CustomerEdge);

8)DDoS:分布式拒绝服务(DistributedDenialofService);

9)DGA:域名生成算法(DomainGenerationAlgorithm);

10)DHCP:动态主机配置协议(DynamicHostConfigurationProtocol);

11)DNN:数据网络名称(DataNetworkName);

12)DNS:网域名称服务器(DomainNameServer);

13)EGP:外部网关协议(ExteriorGatewayProtocol);

14)GRE:通用路由封装协议(GenericRoutingEncapsulation);

15)EUI-64:64位扩展唯一标识符(64-bitExtendedUniqueIdentifier);

16)IGP:内部网关协议(InteriorGatewayProtocol);

17)IMSI:国际移动用户识别码(InternationalMobileSubscriberIdentity);

18)IMEI:国际移动设备标识(InternationalMobileEquipmentIdentity);

19)IPSecVPN:互联网协议安全协议虚拟专用网络(InternetProtocolsecurityvirtual

privatenetwork);

20)IPv4:互联网协议版本4(InternetProtocolversion4);

21)IPv6:互联网协议版本6(InternetProtocolversion6);

22)IPv6+:基于IPv6的协议演进(IPv6Plus);

23)IS-IS:中间系统到中间系统(IntermediateSystemtoIntermediateSystem);

24)LACP:链路聚合控制协议(LinkAggregationControlProtocol);

25)MP:多链路协议(MultilinkProtocol);

5

DB3209/T1257-2023

26)MPLS:多协议标记交换(Multi-ProtocolLabelSwitching);

27)MSTP:多业务传送平台(Multi-serviceTransmissionPlatform);

28)NAT:网络地址转换(NetworkAddressTranslation);

29)NFS:网络文件系统(NetworkFileSystem);

30)OSPF:开放式最短路径优先(OpenShortestPathFirst);

31)PE:运营商边缘(ProviderEdge);

32)PPP:点到点协议(point-to-pointprotocol);

33)QoS:服务质量(QualityofService);

34)RIP:路由信息协议(RoutingInformationProtocol);

35)RR:路由反射器(RouteReflector);

36)SDH:同步数字体系(SynchronousDigitalHierarchy);

37)SDN:软件定义网络(SoftwareDefinedNetwork);

38)SIM:用户身份模块(SubscriberIdentityModule);

39)SLA:服务水平协议(ServiceLevelAgreement);

40)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol);

41)SRv6:IPv6段路由(IPv6SegmentRouting);

42)SSLVPN:基于安全套接层的虚拟专用网络(VirtualPrivateNetworkoverSecureSockets

Layer);

43)TWAMP:双向主动测量协议(Two-WayActiveMeasurementProtocol);

44)URL:统一资源定位符(UniformResourceLocator);

45)UPF:5G网络SBA架构下的用户面网元(userplanefunction);

46)VLAN:虚拟局域网(VirtualLocalAreaNetwork);

47)VPN:虚拟专用网络(VirtualPrivateNetworks);

48)VxLAN:虚拟扩展局域网(VirtualeXtensibleLocalAreaNetwork);

49)Wi-Fi:无线网络技术(WirelessFidelity)。

5网络平台建设规范

网络总体结构

电子政务外网由市、县(区)二级组成,具体如下:

a)市级电子政务外网包含市级广域网、市级城域网、市级部门接入网;

b)县级电子政务外网包含县级城域网、县级部门接入网、乡(镇、街道)接入网、村(社区)

接入网。

电子政务外网网络实行统一规划、统一标准、分级建设、分级管理。

市级电子政务外网建设规范

5.2.1网络组成

市级电子政务外网组网示意见图1。

市级广域核心节点横向连接市级城域网,纵向上联省级广域接入节点形成背靠背联接,下联各县广域

核心,采用双设备双线路冗余设计,形成“口”字型组网结构。

6

DB3209/T1257-2023

市级城域网组网要求如下:

a)市城域核心设备与市广域核心设备互联,采用双设备双线路冗余设计,形成“口”字型组网结

构;

b)市城域汇聚层设备主要汇接各政务部门局域网的接入设备,应使用双上联方式连接核心层设

备,形成“口”字型组网结构,实现冗余可靠;

c)市城域接入层设备用于政务部门局域网的接入,部署于各政务部门机房,接入设备到汇聚或核

心设备之间可按政务部门业务重要程度适当采用冗余设计,选择双设备双归部署、单设备双归

部署或单设备单归部署三种模式;

d)互联网接入区主要提供本级移动办公用户VPN方式安全可靠接入政务外网的安全接入平台,

需要采用信道加密技术结合政务外网数字证书进行数据传输的加密保护,实现移动办公用户

访问政务外网内部信息资源;

e)政务云对接区主要用于对接本级非涉密数据中心,电子政务外网提供双线路冗余设计,实现政

务部门对数据中心应用的访问;

f)运维管理区是集中建设的独立运维管理区域,与城域网核心设备相连,各网络设备的运维管理

应通过运维管理区实现,并应实现对运维管理行为进行审计,运维管理区流量与其他网络流量

逻辑隔离,条件允许的情况下,建议实现带外管理;

g)运营商5G政务网络通过政务专用UPF与政务外网城域5G接入路由器进行对接;

h)物联、应急等5G移动接入用户通过运营商5G政务网络接入电子政务外网。

图1市级电子政务外网架构图

5.2.2通信链路及带宽选择

线路带宽

本项要求如下:

7

DB3209/T1257-2023

a)线路带宽应能满足峰值业务需求,带宽月平均利用率超过70%时应进行扩容;

b)每年应进行带宽评估,评估应考虑下一年度的业务发展需要;

c)市级城域网核心设备与广域网核心设备之间均应采用双线路万兆光口对接,线路总带宽均应

不低于20Gbps;

d)城域网核心设备之间线路总带宽应不低于50Gbps链路带宽;

e)城域网核心层与汇聚层设备承载城市驾驶舱的汇聚流量,城域网核心层与汇聚层设备之间互

联线路总带宽应不低于50Gbps;

f)城域网核心设备与互联网接入区设备之间的线路总带宽建议不低于10Gbps;

g)一类接入单位城域网接入层设备上联线路总带宽应满足政务部门内用户忙时峰值业务流量需

求,应不低于10Gbps。

线路类型

本项要求如下:

a)同一机房内设备互联可采用光纤或屏蔽双绞线,推荐使用光纤互联;

b)市级用户接入网因用户地点与政务外网核心机房不在一栋大楼或大院需要租用运营商电路的,

其接入设备与城域网汇聚层设备之间互联可采用裸光纤或MSTP、SDH、OTN、裸光纤、切片专线

等传输电路,在使用其他类型线路时,需确保传输设备与线路为政务外网专用且为纯二层点对

点线路;

c)基于网络层的电路、任何形式的VPN电路都不符合政务外网的安全要求,不能使用;

d)MTU值应设置合理,满足业务承载传输需要,MTU值设置应不低于2000,推荐9000。

5.2.3广域网/城域网技术要求

政务外网建设应向IPv6单栈模式发展演进。

应采用SDN+SRv6技术为IPv6业务承载提供网络路径可编程能力,结合链路资源使用情况,实时动态

调整流量路径。过渡期内可通过SRv6VPN技术统一承载IPv4、IPv6业务。

应采用网络切片技术为IPv6业务提供确定性带宽保障,具体要求如下:

a)常用以太网接口(如10G接口、40G接口、100G接口等)应支持网络切片;

b)网络应具备不同层次的切片能力,如1G、2G、5G、10G等;

c)网络切片技术应与IGP技术解耦,不同的网络切片可共用相同的接口地址和IGP路由协议。

应采用随流检测技术为IPv6业务提供状态实时感知和故障快速定界能力,检测粒度应细化到单个部门

或具体业务。

应根据业务需要进行带宽实时保障和网络质量监控,宜采用APN6技术对IPv6业务进行识别。

IPv6网络不应使用NAT转换技术。

IPv6设备应符合自主可控相关要求。

网络设备技术能力应符合附录A要求。

5.2.4市级单位接入要求

市级电子政务外网接入单位根据性质和业务分为一、二、三类单位,单位分类列表见附录D,接入

要求如下:

8

DB3209/T1257-2023

a)市级接入单位局域网接入市级电子政务外网需要向市级电子政务管理机构提出申请,并由市

级电子政务管理机构备案,各单位严格按照备案范围接入市级电子政务外网;

b)市级电子政务外网管理机构应为各部门提供接入政务外网和接入地址段统一规划,不同类型

单位接入能力要求如下:

1)一类接入部门通过冗余设备、冗余链路连接市级电子政务外网,接入设备性能应保证万

兆接入能力,

2)二类接入部门通过冗余设备、冗余链路连接市级电子政务外网,接入设备性能应保证千

兆接入能力,

3)三类接入部门通过单设备、单链路连接市级电子政务外网,接入设备性能应保证千兆接

入能力;

c)接入部门提供的对接设备应具备路由、交换功能、边界安全防护功能,与市级电子政务外网

设备完成对接,应采用静态路由/动态路由进行对接,宜采用静态路由,若采用动态路由,应

对收到的接入部门路由进行合规性过滤;

d)接入部门局域网进行IPv6改造时,网络设备、安全设备、终端均应支持IPv6协议,建议部署

双栈模式;

e)未采用市级电子政务外网统一规划地址的部门需自行转换成统一规划分配地址段后方可接入

政务外网,IPv6地址应直接使用市级分配的IPv6地址;

f)局域网应支持动态分配IPv6地址,宜支持IPv4/IPv6地址监控、溯源;

g)接入部门局域网应对业务进行分区隔离,政务公共、部门专网业务应采用物理隔离、网络切

片隔离方式或VPN隔离方式接入政务外网;

h)接入部门应按照国家及行业相关安全标准规范做好边界以内自身局域网的安全防护工作。

5.2.55G移动用户接入要求

5G移动用户接入要求如下:

a)政务外网5G平面应支持为接入终端设备分配IPv4和IPv6地址;

b)通过5G平面接入政务外网的终端应使用政务专用的IP地址体系,不应使用运营商IP地址体

系;

c)终端设备应支持5GSA网络,兼容TDD-LTE\FDD-LTE两种制式;

d)终端设备应支持IPv6协议,宜支持IPv6单栈,当业务为IPv4时应选择IPv4和IPv6双栈设备;

e)终端设备应支持不少于1个的用户身份识别卡插槽或嵌入式用户身份识别模块,应用于物联终

端、局域网网关等专用终端设备的SIM卡应进行实名认证,并经政务外网运行管理机构备案后

使用;

f)作为网关的终端设备,应禁止Wi-Fi、BlueTooth等无线功能,并内置防火墙、反病毒、入侵

防御等安全功能,应支持接入认证,支持远程管理,支持通过虚拟专网VPN技术进行业务逻辑

隔离,支持不低于千兆的LAN侧以太网接口。

县级电子政务外网建设规范

5.3.1网络组成

县级电子政务外网遵循层次化设计的原则,按照使用功能和网络建设规模大小,可采用“核心层-接入

层”二层架构或“核心层-汇聚层-接入层”三层架构规划。组网架构示意见图2。

组网要求如下:

9

DB3209/T1257-2023

a)县城域核心设备与县广域核心设备互联,采用双设备双线路冗余设计,形成“口”字型组网

结构;

b)汇聚层主要汇接各政务部门局域网的接入设备,应使用双上联方式连接核心层设备,形成

“口”字型组网结构,实现冗余可靠;

c)接入层设备用于政务部门局域网的接入,部署于各政务部门机房,接入设备到汇聚或核心设

备之间可按政务部门业务重要程度酌情采用冗余设计,增加业务可靠性;

d)互联网接入区主要提供本级移动办公用户提供VPN方式安全可靠接入政务外网的安全接入平

台,需要采用信道加密技术结合政务外网数字证书进行数据传输的加密保护,实现移动办公

用户访问政务外网内部信息资源,可通过市级安全接入平台统一接入,有条件的县级可自建

安全接入平台;

e)运维管理区是集中建设的独立运维管理区域,与城域网核心设备相连。各网络设备的运维管

理应通过运维管理区实现,并应实现对运维管理行为进行审计,运维管理区流量与其他网络

流量逻辑隔离,条件允许的情况下,建议实现带外管理;

f)县级用户接入区主要为县级政务部门提供用户接入服务,各政务部门可根据业务类型和重要

程度,选择双设备双归部署,单设备双归部署和单设备单归部署三种模式,县级用户接入区

还包括县合驻办公点,直接通过接入设备接入县城域汇聚节点;

g)镇级用户接入区为县所辖各乡镇及下辖行政村接入政务外网的区域,各镇集中办公节点通过

镇汇聚设备统一对接县城域核心节点,镇汇聚设备同时汇聚下辖各行政村接入点为下辖各行

政村接入政务外网提供支持,偏远地区也可通过安全接入平台以IPsecVPN形式接入电子政务

外网。

图2县级电子政务外网架构图

5.3.2通信链路及带宽选择

10

DB3209/T1257-2023

线路带宽

本项要求如下:

a)线路带宽应能满足峰值业务需求,带宽月平均利用率超过70%时应进行扩容;

b)每年应进行带宽评估,评估应考虑下一年度的业务发展需要;

c)县级城域网核心设备与县广域网核心设备之间均应采用双线路万兆光口对接,线路总带宽建

议不低于10Gbps;

d)县级城域网核心设备之间线路总带宽建议不低于10Gbps;

e)城域网接入层设备与汇聚层设备之间的线路总带宽应满足政务部门内用户忙时峰值业务流量

需求,建议不低于100Mbps。

线路类型

本项要求如下:

a)同一机房内设备互联可采用光纤或屏蔽双绞线,推荐使用光纤互联;

b)县级用户接入网因用户地点与政务外网核心机房不在一栋大楼或大院需要租用运营商电路

的,其接入与城域网汇聚层设备之间互联可采用裸光纤或MSTP、SDH、OTN、裸光纤、切片专

线等传输电路,在使用其他类型线路时,需确保传输设备与线路为政务外网专用且为纯二层

点对点线路;

c)基于网络层的电路、任何形式的VPN电路都不符合政务外网的安全要求,不能使用;

d)MTU值应设置合理,满足业务承载传输需要;MTU值设置应不低于2000,推荐9000。

5.3.3城域网技术要求

政务外网建设应向IPv6单栈模式发展演进。

应采用SRv6技术为IPv6业务承载提供网络路径可编程能力,结合链路资源使用情况,实时动态调整

流量路径,过渡期内可通过SRv6VPN技术统一承载IPv4、IPv6业务,未部署SDN的县级电子政务外

网可以在市级SDN控制器统一设备纳管,分权分域管理。

应采用网络切片技术为IPv6业务提供确定性带宽保障,具体要求如下:

a)常用以太网接口(如10G接口、40G接口、100G接口等)应支持网络切片;

b)网络应具备不同层次的切片能力,如1G、2G、5G、10G等;

c)网络切片技术应与IGP技术解耦,不同的网络切片可共用相同的接口地址和IGP路由协议。

应采用随流检测技术为IPv6业务提供状态实时感知和故障快速定界能力,检测粒度应细化到单个部门

或具体业务。

应根据业务需要进行带宽实时保障和网络质量监控,宜采用APN6技术对IPv6业务进行识别。

行政村级网络设备宜具备即插即用、免配置上线能力,降低运维难度。

IPv6网络不应使用NAT转换技术。

IPv6设备应符合自主可控相关要求。

网络设备技术能力应符合附录A要求。

5.3.4与市级电子政务外网对接规范

11

DB3209/T1257-2023

县级电子政务外网与市级电子政务外网对接要求如下:

a)县级电子政务外网接入市级电子政务外网需要向市级电子政务管理机构提出申请并备案,各

县严格按照备案范围接入市级电子政务外网;

b)市、县两级之间有明确的维护边界,只允许边界传递路由,严禁县级通过二层网络接入市级电

子政务外网,严禁将县广域核心设备作为业务网关;

c)县级电子政务外网业务在与市级电子政务外网对接时,应分别为公用网络区业务、部门专网业

务部署VPN,实现不同业务之间的隔离,原则上市级电子政务外网不对接互联网业务;

d)县级和市级电子政务外网共用一个AS号码,宜采用基于VPN的静态路由与市级背靠背对接,

若采用IGP动态路由协议对接,需要控制路由避免形成路由环路。

5.3.5县级单位接入要求

县级电子政务外网接入单位根据性质和业务分为一、二、三类单位,具体接入要求如下:

a)县级接入单位局域网接入县级电子政务外网需要向县级电子政务外网管理机构提出申请并备

案,各单位严格按照备案范围接入电子政务外网;

b)各县级电子政务外网管理机构应为各部门提供接入政务外网和接入地址段统一规划,不同类

型单位接入能力要求如下:

1)一类接入部门通过冗余设备、冗余链路连接县电子政务外网,接入设备性能应保证万兆

接入能力,

2)二类接入部门通过冗余设备、冗余链路连接县电子政务外网,接入设备性能应保证千兆

接入能力,

3)三类接入部门通过单设备、单链路连接县电子政务外网,接入设备性能应保证千兆接入

能力;

c)接入部门提供的对接设备应具备路由、交换功能、边界安全防护功能,与电子政务外网设备

完成对接,应采用静态路由/动态路由进行对接,宜采用静态路由,若采用动态路由,应对收

到的接入部门路由进行合规性过滤;

d)接入部门局域网进行IPv6改造时,网络设备、安全设备、终端均应支持IPv6协议,建议部署双

栈模式;

e)未采用电子政务外网统一规划地址的部门需自行转换成统一规划分配地址段后方可接入政务

外网,IPv6地址应直接使用分配的IPv6地址;

f)局域网应支持动态分配IPv6地址,宜支持IPv4/IPv6地址监控、溯源;

g)接入部门局域网应对业务进行分区隔离,政务公共、部门专网业务应采用物理隔离、网络切

片隔离方式或VPN隔离方式接入政务外网;

h)接入部门应按照国家及行业相关安全标准规范做好边界以内本部门接入网络的安全防护工

作。

自治域和路由规范

5.4.1IGP技术规范

在电子政务外网网络骨干区域内,IGP宜采用IS-ISv6协议;同时为了保障节点或链路故障时业务可

以快速收敛,建议全网使能BFDforIS-IS。

县级电子政务外网存量网络部分,可先继承原有OSPF路由协议规划不做更新,后续逐步向ISIS迁

移。

12

DB3209/T1257-2023

5.4.2BGP技术规范

在市级电子政务外网,市城域网部署RR反射器(选择市城域核心作为RR),接入路由器、汇聚路由

器、县广域核心、市广域核心等分别与RR反射器建立IBGP邻居,交换域内的业务路由信息。

在县级电子政务外网,县城域网部署RR反射器(选择县城域核心作为RR),接入路由器、汇聚路由

器分别与RR反射器建立IBGP邻居,交换域内的业务路由信息。

5.4.3自治域技术规范

市级本级、各县级电子政务外网共用1个自治域号码:64794。

AS域间IPv6网络对接应采用OptionA方式,当前采用OptionB方式对接的,可通过在域间设备增

加业务互联接口,配置静态路由或EBGP进行业务路由交换,实现OptionA方式。

网络服务质量设计规范

5.5.1对政务外网中敏感数据和SLA要求高的业务,应采用网络切片技术,将网络划分为多个独立的

逻辑业务平面进行硬隔离。每个逻辑业务平面应拥有独立的带宽资源,不能相互抢占,最大化保障关

键业务网络质量。

5.5.2网络切片宜将切片与IGP解耦,多个网络切片平面可共用一套接口IP地址和IGP路由协议,

降低网络协议的复杂性。

5.5.3政务外网可根据业务类型、保障级别、部门诉求三个维度定义网络切片模型:

a)基于业务类型,可按表1的要求进行切片;

表1基于业务类型的要求

业务类型要求

政务业务各政务单位对外服务窗口,市民办理社保、公积金、不动产登记等各种一站式服务

雪亮工程覆盖市、县、镇、村各级的公共安全视频图像共享交换体系和应用支撑体系

公共视频满足各级政务部门内、部门之间高品质视频会议需要

物联业务满足物联终端接入需要

办公业务满足各级政务部门办公需要

专网业务满足通过撤网整合的方式接入电子政务外网的专网业务SLA需要

撤线专网业务为通过撤线整合穿越电子政务外网的所有业务专网划分统一的专用切片

b)基于保障级别,可按表2的要求设定三个保障级别进行切片;

表2基于级别的要求

保障等级要求

普通级别基础网络要求:带宽尽力而为,时延<30ms,丢包≤1E-3

关键级别丢包:≤1E-5

特殊级别时延:<4ms

c)基于部门诉求,可按表3的要求分为公共类、重保类、专用类共三类切片,若未来一些政务部

门有单独切片诉求,可保持未来可扩展性。

13

DB3209/T1257-2023

表3基于部门诉求的要求

单位诉求要求

公共类所有政务部门共享的默认切片。

重保类参与重大事件保障政务部门共用切片,按需使用,重保结束后政务部门切换回原有切片

专用类为具有特殊诉求的政务部门提供的专用切片。

专网接入规范

5.6.1市级非涉密业务专网向电子政务外网迁移整合主要有撤网整合、撤线整合、对接融合三种方

式,原则上专网整合应采用撤网整合方式。

5.6.2撤网整合方案指将业务专网的设备、租赁专线等整体裁撤,专网接入单位作为新的政务外网接

入单位连接到政务外网,同时将部署于业务专网内的业务系统逐步迁移至同级政务云平台,要求如

下:

a)市、县级电子政务外网管理机构应为专网接入单位提供接入设备、接入线路,原专网业务通

过电子政务外网进行承载;

b)市、县级电子政务外网应具备差异化质量保障能力,如SRv6、网络切片、随流检测等满足不

同业务专网的整合需求;

c)不得为专网业务绕过防火墙。

5.6.3撤线整合方案指仅裁撤业务专网所租赁的运营商专线,利用政务外网作为专网线路,保留专网

的网络设备。专网接入单位负责业务专网应用系统的维护和网络部署规划,保持相对独立,要求如

下:

a)原则上专网整合应采用撤网整合方式,有特殊需求需要采用撤线整合的业务专网部门应提供

证明材料并备案说明;

b)专网接入单位应负责业务专网的业务部署和运维;

c)若专网业务敏感需要加密,应由业务专网接入单位自行部署IPsec等技术来实现;

d)考虑IPv6演进要求,专网接入单位宜采用IPv6单栈技术(如SRv6技术)穿越电子政务外网;

e)市、县级电子政务外网应为业务专网提供路由互通;

f)为保障电子政务外网整体网络质量和安全,宜为穿越电子政务外网的所有业务专网划分统一

的专用切片;

g)不得为专网业务绕过防火墙。

5.6.4对接融合方案指整体保留业务专网的网络设备和租赁运营商专线,应用系统仍然部署在专网

内,专网接入单位仍然基于该业务专网开展业务,并实现条线内各级单位网络互通,为满足业务专网

和政务外网之间的数据共享和数据交换需求,建设网络对接融合区,通过部署网闸/防火墙等安全设

备,安全可控地打通业务专网与政务外网,要求如下:

a)原则上专网整合应采用撤网整合方式,有特殊需求需要采用对接融合方式的业务专网部门应

提供备案说明;

b)市级电子政务外网应建设专网对接融合区,通过部署网闸/防火墙等安全设备,安全可控地打

通业务专网与政务外网;

c)若专网业务较敏感,或者高于电子政务外网信息安全等级保护级别,应通过网闸进行数据安

全交换;

14

DB3209/T1257-2023

d)若专网业务非敏感,或者不高于与电子政务外网信息安全等级保护级别,应通过防火墙进行

数据安全交换;

e)应具备终端和系统之间的访问控制能力,控制粒度宜为单个地址或者端口,宜采用白名单的

访问控制策略;

f)应对网络攻击行为进行检测、防止、限制、报警等,并记录攻击源IP、目标、类型、时间等

信息;

g)应对用户行为和安全事件等进行行为审计,审计记录应至少保留6个月。

6IP地址规划

地址分级管理

市级电子政务外网IP地址总体规划由市级电子政务管理机构负责,各区县级电子政务外网根据总

体规划,对所属本级的IP地址资源进行再次分配、管理和使用。

地址分配原则

6.2.1层次性原则

IP地址分配应根据网络中的应用级别成块划分,为每一级别应用分配一个独立的地址段,形成易于

扩展的层次性结构,便于网络设备的统一管理,降低网络结构的复杂性。

6.2.2连续性原则

应按照2n的大小分配连续地址段,有助于路由聚合、缩减路由表、提高路由算法效率。

6.2.3可扩展性原则

地址分配在每一层次上都留有余量,当网络规模扩展时能保证地址聚合所需的连续性。

6.2.4唯一性原则

同一个IP网络中不能有两个主机采用相同的IP地址。

6.2.5规范性原则

严格按照IP地址分配原则进行IP地址的规划及项目实施。

6.2.6全局业务IP地址按需申请原则

申请单位根据网络建设情况申请政务外网全局业务IP地址,申请的地址在一年内必须充分有效使

用,否则将酌情收回。

6.2.7其他原则

其它原则如下:

a)应采用域名而不是IP地址作为各类主机提供服务的方式,避免IP地址改动导致服务中断;

b)在局域网中必须采用政务外网统一规划的地址,避免全局业务IP地址出现资源短缺;

c)服务器IP地址应使用低地址段,从最小可编地址开始依次顺序分配使用;

d)网络设备IP地址应使用高地址段,从最大可编地址开始逆序分配使用;

e)已建城域网的市、县级节点,建议根据用户总体访问量使用若干个全局业务地址作为城域网

15

定制服务

    推荐标准

    相似标准推荐

    更多>