DB5305T 19.6-2019保山市信息惠民工程综合标准 第6部分：电子政务外网建设技术标准

ICS35.240L67保山市DB5305地方标准DB5/T19.6—2019替代DG5305/T19.6—2017保山市市场监督管理局发布DB5305/T19.6-2019前言本标准按照GB/T1.1—2009《标准化工作导则第1部分：标准的结构和编写》给出的规则起草。本标准中附录A为规范性附录，附录B为规范性附录。本标准由保山市大数据管理局提出。本标准由保山市工业和信息化委员会归口。本标准起草单位：保山市大数据管理局。本标准主要起草人：刘志胡、王明超、李祖燕、丁威、罗红建、张忠信、陈秋玲。本标准替代DG5305/T19.6—2017。1DB5305/T19.6-2019保山市信息惠民工程综合标准电子政务外网建设技术标准1范围本标准规定了保山市电子政务外网的整体架构和组网技术标准。本标准适用于保山市电子政务外网平台的立项、规划、设计、实施和运行管理。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。国家电子政务外网IP地址及域名管理规划(试行)DB5305/T19.3-2019保山市信息惠民工程综合标准术语3术语和定义DB5305/T19.3-2019确立的以及下列术语和定义适用于本标准。3.1电子政务外网电子政务外网(简称政务外网)是按照《国家信息化领导小组关于我国电子政务建设指导意见》(中办发〔2002〕17号)文件和《国家信息化领导小组关于推进国家电子政务网络建设的意见》(〔2006〕18号)文件要求建设的我国电子政务重要公共基础设施，是服务于各级党委、人大、政府、政协、法院和检察院等政务部门，满足其经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。政务外网支持跨地区、跨部门的业务应用、信息共享和业务协同，以及不需在政务内网上运行的业务。政务外网由中央政务外网和地方政务外网组成，与互联网逻辑隔离。3.2互联网互联网，又称网际网络，或音译因特网(Internet)、英特网，互联网始于1969年美国的阿帕网。是网络与网络之间所串连成的庞大网络，这些网络以一组通用的协议相连，形成逻辑上的单一巨大国际3.3虚拟专用网VPNVPN，即虚拟专用网，指的是依靠ISP(Internet服务提供商)和其它NSP(网络服务提供商)，在公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。3.4多协议标签交换MPLSVPNMPLSVPN指在电子政务二三四级网络中，为了实现业务的隔离和安全，采用BGP/MPLSIPVPN进行安全隔离，将不同的业务进行纵向和横向隔离，保证在信息共享的基础上实现业务安全隔离。3.5网元管理系统网元管理系统是管理特定类型的一个或多个电信网络单元(NE)的系统。一般来说，EMS管理着每2DB5305/T19.6-2019个NE的功能和容量，但并不理会网络中不同NE之间的交流。4缩略语下列缩略语适用于本标准。——ABR：AreaBorderRouter，区域边界路由器——AS：AutonomousSystem，自治系统——ASBR：AutonomousSystemBoundaryRouter，自治系统边界路由器——BDR：Back-UpDesignatedRouter，备份指定路由器——BGP：BorderGatewayProtocol，边界网关协议——DR：DesignatedRouter，指定路由器——EBGP：ExternalBorderGatewayProtocol，外部边界网关协议——EMS:NetworkElementManagementSystem，网元管理系统——IBGP：InternalBorderGatewayProtocol，内部边界网关协议——ID：Identity，标识号——IP：InternetProtocol，网络之间互连的协议——IGP：InteriorGatewayProtocol，内部网关协议——IPS:IntrusionPreventionSystem，入侵防御系统——ISP：InternetServiceProvider，互联网服务提供商——ITIL：InformationTechnologyInfrastructureLibrary，IT基础架构库——LSA：Link-StateAdvertisement，链路状态广播——MPLS：Multi-ProtocolLabelSwitch，多协议标签交换——NSP：NetworkServicesProvider，网络服务提供商——OSPF：OpenShortestPathFirst，开放式最短路径优先，是一个内部网关协议——SDH：SynchronousDigitalHierarchy，同步数字体系——SNMP：SimpleNetworkManagementProtocol，简单网络管理协议——SSL：SecureSocketsLayer，安全套接层——STM：SynchronousTransferModule，同步传输模式——VPN：VirtualPrivateNetwork，虚拟专用网络5政务外网总体构成政务外网建设将严格按照国家电子政务外网的总体规划和技术标准，系统整体采用模块化与分层架构来设计。政务外网应考虑未来IPv6的发展，支持MPLSVPN，支持数据、语音、视频业务，并实现网络管理和运行服务支撑。保山市政务外网主要包括如下：——省-市-县三级纵向网；——市级横向网、县(市、区)横向网；——统一市级互联网出口；——行政村互联网VPN接入与移动办公VPN接入系统；——上连省电子政务外网；——市、县两级外网数据中心。6政务外网业务模型6.1政务外网模型3公用网络区政务外网共享平台公共网络服务安全交换专用网络区(MPLSVPN)G-C业务G-B业务公用网络区政务外网共享平台公共网络服务安全交换专用网络区(MPLSVPN)G-C业务G-B业务internet公众用户互联网服务安全交换企业G-G业务移动办公安全和认证服务安全互联政务部门(Global)互联网接入区外网安全接入平台(internetVPN)6.1.1政务外网公共基础设施业务模型政务外网公共基础设施业务模型如图1。图1政务外网公共基础设施业务模型VPN逻VPN逻VPN逻辑隔离辑辑隔离政务VPN政务VPN用户主要政务用户政务外网公共基础设施6.1.2政务外网逻辑分区根据政务外网所承载的业务和系统服务类型的不同，在逻辑上将政务外网划分为公用网络区(Global)、专用网络区(MPLSVPN)和互联网接入区(InternetVPN)三个功能域，分别提供政务外网互联互通业务、专用VPN业务和互联网业务。6.1.3功能区间安全手段功能域相互之间安全隔离，公用网络区用于实现各部门、各地区互联互通，实现数据共享；专用网络区用于实现不同部门或不同业务之间的MPLSVPN相互隔离，用于专门部门和专有业务的通信；互联网接入区用于实现各级政务部门通过逻辑隔离手段安全接入互联网，提供面向社会的公共服务和互联网访问。政务外网通过构建互联网安全接入平台，实现各级政务部门移动办公的公务人员利用互联网通道，通过数字证书认证和密码技术，安全接入政务外网，访问指定的业务应用系统。6.2政务外网网络架构保山市政务外网向上连接省电子政务外网、向下连接保山各县区政务网。市级节点建设市数据中心，实现市级各单位数据共享。保山市政务外网如图2。4省电子政务外网市级单位接入汇聚路由器区县汇聚路由器电子政务外网骨干图区县横向接入DB5305/T19.6-2019省电子政务外网市级单位接入汇聚路由器区县汇聚路由器电子政务外网骨干图区县横向接入图2保山市政务外网示意图InternetInternet入侵检测系统Vpn接入Vpn接入市数据中心/云平台核心路由器局域网接入手机接入无线终端接入市市横向接入单位6.2.1传输线路政务外网骨干网络尽量采用光纤连接，政务外网核心设备之间采用冗余线路连接，核心与汇聚以及汇聚与接入设备之间也采用冗余线路连接。6.2.2路由协议电子政务外网核心、汇聚以及接入层设备可采用OSPF路由协议，实现冗余线路的切换。6.2.3网络带宽核心设备以及核心与汇聚之间采用万兆链路连接，汇聚与接入之间可以采用千兆链路连接。6.3互联网出口与远程VPN接入6.3.1市互联网出口市电子政务办设置统一的互联网出口，与互联网进行安全可控连接，提供公共服务与VPN接入、互联网访问使用。市互联网出口安全设备包括防火墙设备、入侵防御系统。防火墙的性能能够达到小包64字节的吞吐量4Gbps以上，同时能够支持虚拟防火墙和SSLVPN接入。IPS入侵防御系统的部署，配合防火墙进行2~7层的全面安全防护。考虑到当前应用层攻击的多样化，越来越多的攻击事情都是通过木马、病毒等方式发起，IPS具有防病毒网关的功能，能够同时阻断病毒和恶意攻击。6.3.2远程VPN接入市级阶段设置VPN接入网关和1套认证管理系统；VPN接入认证通过认证管理系统，实现对接入用户的身份认证。VPN接入网关通过提供SSLVPN方式提供用户拨号认证和加密，用户认证管理系统采用标准的RADIUS协议进行身份认证。市管理员管理维护属于自己区域的用户信息和策略定义。5DB5305/T19.6-20196.3.3移动办公VPN接入VPN接入网关同时能满足行政村用户和政务移动用户VPN接入需要，以及解决零散分布的用户在异地访问政务外网，并提供身份验证、授权功能。6.4系统安全与保障在政务外网与互联网出口之间需要部署防火墙和入侵防护设备，在数据中心(云平台)部署防火墙以及专用系统防护安全设备，在与省平台连接边界，与各横向单位连接边界，与县区接入边界部署防火墙设备。同时参考云南省颁布的相关电子政务外网安全规定做好相应系统防护。6.5网络管理政务外网实现基于SNMP级基础网管系统(网元管理系统)，实现基于ITIL业务与服务管理。各级网管系统实现互联互通，联合监控。建设SNMP基础网管系统和ITIL运维管理系统。6.6计算机接入终端计算机终端网络接入的原则性规定如下：禁止一机两用；外网、政务网的计算机终端可采用一台计算机通过有关部门认可的隔离卡切行切换，也可分别采用单独的计算机终端；采用的隔离卡应是经过有关部门鉴定的产品，且应是国产的。7政务外网组网技术标准7.1传输链路电子政务传输骨干网络是实现电子政务外网建设的物质基础，一般租用运营商光纤、电路等构成的物理传输骨干。7.2IP及域名规划政务外网IP地址及域名规划遵循《国家电子政务外网IP地址及域名管理规划(试行)》(2006年9月)，采用“正式地址＋保留地址”相结合的综合地址规划方案，即“公有IP地址＋私有地址”双轨制编址方案。7.3路由体系IGP类协议用于自治区域内部路由发布，推荐OSPFV2作为统一的IGP协议；BGP类协议用于自治区域间路由发布或承载MPLSVPN，推荐BGPv4作为统一的BGP协议。7.3.1IGP规范7.3.1.1IGP协议应采用OSPFV2作为自治区域内部的IGP路由协议。7.3.1.2OSPF区域市级自治区域内OSPF区域划分由市电子政务外网管理部门自行设计，应将市骨干作为OSPF0号区域，并为每个区和县划分独立的OSPF区域。7.3.1.3OSPFRouterID应采用网络设备的loopback0或loopback1(考虑到某些厂商设备在不支持loopback0时采用loopback1)的接口地址作为设备的RouterID。RouterID应统一规划，作为路由域内的该设备的唯一地址标识以及管理地址。6DB5305/T19.6-20197.3.1.4OSPF时间参数OSPF时间参数如下：——相邻路由器间失效时间为3秒；——外部路由引入采用OE1方式(即到外部路由的花费值=本路由器到相应的ASBR的花费值+ASBR到该路由目的地址的花费值)，应只引入需要发布的路由；域间路由条目的发布只发布域汇总路由信息(路由条目≤4条)；——采用MD5对报文(接口、区域)进行验证。7.3.1.5OSPFCOSTCOST值应设置为：.6OSPFDR与BDROSPFDR与BDR选择应按照如下原则进行：——应手动指定，上级设备为DR；——OSPF接口上所有网络类型均配置为广播；——OSPF区域支持报文验证；——在市核心路由器上必须配置OSPF路由滤，包含对引入和发布的路由都需要过滤(推荐配置策略只允许合法路由条目发布和接受)；——不应采用OSPF虚连接的方式连接区域。7.3.2BGP7.3.2.1BGP市级电子政务外网BPG区域覆盖市核心与汇聚路由器、区县接入路由器、市直单位接入路由器等。市级核心路由/交换设备作为反射器，反射器的群ID配置为loopback0或loopback1(考虑到某些厂商设备在不支持loopback0时采用loopback1)的接口地址作为设备的反射器的群ID。7.3.2.2BGP对等体BGP对等体的要求