DB3209T 1257-2023电子政务外网 建设标准技术规范

ICS35.240.01

CCSL67

DB3209

盐城市地方标准

DB3209/T1257—2023

电子政务外网建设技术规范

E-governmentnetworkTechnicalspecification

2023-12-15发布2024-03-15实施

盐城市市场监督管理局发布

DB3209/T1257-2023

电子政务外网建设技术规范

1范围

本文件界定了电子政务外网建设技术的术语和定义、缩略语，规定了网络平台建设规范、IP地址规

划、安全体系建设规范及管理体系建设规范。

本文件适用于盐城市级、县（区）级电子政务外网建设，以及各级政务部门局域网接入。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T21061国家电子政务网络技术和运行管理规范

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T25070信息安全技术网络安全等级保护安全设计技术要求

GB/T39786信息安全技术信息系统密码应用基本要求

DB32/T4318.1电子政务外网安全大数据和运维保障平台接入规范第1部分：安全大数据平台

DB32/T4318.2电子政务外网安全大数据和运维保障平台接入规范第2部分：运维保障平台

3术语和定义

以及下列术语和定义适用于本文件。

电子政务外网e-governmentnetwork

承载跨地区、跨部门业务应用、信息共享、业务协同和不需在政务内网上运行的业务，与互联网安

全逻辑隔离，满足各级部门经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。

注：电子政务外网纵向连通国家、省、地（市）、县（市、区）、乡（镇、街道）、村（社区），横向覆盖各级党

委、人大、政府、政协、法院和检察院等部门。

广域网WideAreaNetworks

把城市之间连接起来的宽带网络称广域网，政务外网从中央到各省的网络称为中央广域网、省到各

地（市）网络称为省级广域网、地（市）到各县的广域网称为地（市）级广域网。实现国家、省、市、

县纵向业务的互联网通。

城域网metronetwork

4

DB3209/T1257-2023

把同一城市内不同单位的局域网络连接起来的网络称为城域网，实现不同单位跨部门业务的数据

共享与交换。

网络切片networkslicing

提供特定网络能力和网络特征(如资源隔离、SLA保障特性等)，为客户提供多种业务属性的逻辑网

络。

随流检测in-situflowinformationtelemetry

一种直接对业务报文进行端到端测量，从而得到网络的真实丢包率、时延等性能指标的检测方式，

具有部署方便、统计精度高等突出优点。

4缩略语

下列缩略语适用于本文件。

1)5G：第五代移动通信技术（5thGeneration）；

2)AAA：认证、授权和计费（authentication,authorization,andaccounting）；

3)APT：高级持续性威胁（AdvancedPersistentThreat）；

4)ARP：地址解析协议（AddressResolutionProtocol）；

5)APN6：应用感知的IPv6网络（application-awareIPv6networking）；

6)C&C：命令控制（CommandandControl）；

7)CE：用户边缘设备（CustomerEdge）；

8)DDoS：分布式拒绝服务(DistributedDenialofService)；

9)DGA：域名生成算法(DomainGenerationAlgorithm)；

10)DHCP：动态主机配置协议(DynamicHostConfigurationProtocol)；

11)DNN：数据网络名称（DataNetworkName）；

12)DNS：网域名称服务器(DomainNameServer)；

13)EGP：外部网关协议(ExteriorGatewayProtocol)；

14)GRE：通用路由封装协议(GenericRoutingEncapsulation)；

15)EUI-64：64位扩展唯一标识符(64-bitExtendedUniqueIdentifier)；

16)IGP：内部网关协议(InteriorGatewayProtocol)；

17)IMSI：国际移动用户识别码（InternationalMobileSubscriberIdentity）；

18)IMEI：国际移动设备标识（InternationalMobileEquipmentIdentity）；

19)IPSecVPN：互联网协议安全协议虚拟专用网络(InternetProtocolsecurityvirtual

privatenetwork)；

20)IPv4：互联网协议版本4（InternetProtocolversion4）；

21)IPv6：互联网协议版本6（InternetProtocolversion6）；

22)IPv6+：基于IPv6的协议演进（IPv6Plus）；

23)IS-IS：中间系统到中间系统（IntermediateSystemtoIntermediateSystem）；

24)LACP：链路聚合控制协议（LinkAggregationControlProtocol）；

25)MP：多链路协议（MultilinkProtocol）；

5

DB3209/T1257-2023

26)MPLS：多协议标记交换（Multi-ProtocolLabelSwitching）；

27)MSTP：多业务传送平台（Multi-serviceTransmissionPlatform）；

28)NAT：网络地址转换（NetworkAddressTranslation）；

29)NFS：网络文件系统(NetworkFileSystem)；

30)OSPF：开放式最短路径优先(OpenShortestPathFirst)；

31)PE：运营商边缘(ProviderEdge)；

32)PPP：点到点协议（point-to-pointprotocol）；

33)QoS：服务质量(QualityofService)；

34)RIP：路由信息协议(RoutingInformationProtocol)；

35)RR：路由反射器(RouteReflector)；

36)SDH：同步数字体系(SynchronousDigitalHierarchy)；

37)SDN：软件定义网络(SoftwareDefinedNetwork)；

38)SIM：用户身份模块（SubscriberIdentityModule）；

39)SLA：服务水平协议(ServiceLevelAgreement)；

40)SNMP：简单网络管理协议(SimpleNetworkManagementProtocol)；

41)SRv6：IPv6段路由（IPv6SegmentRouting）；

42)SSLVPN：基于安全套接层的虚拟专用网络(VirtualPrivateNetworkoverSecureSockets

Layer)；

43)TWAMP：双向主动测量协议（Two-WayActiveMeasurementProtocol）；

44)URL：统一资源定位符(UniformResourceLocator)；

45)UPF：5G网络SBA架构下的用户面网元（userplanefunction）；

46)VLAN：虚拟局域网(VirtualLocalAreaNetwork)；

47)VPN：虚拟专用网络（VirtualPrivateNetworks）；

48)VxLAN：虚拟扩展局域网（VirtualeXtensibleLocalAreaNetwork）；

49)Wi-Fi：无线网络技术（WirelessFidelity)。

5网络平台建设规范

网络总体结构

电子政务外网由市、县（区）二级组成，具体如下：

a)市级电子政务外网包含市级广域网、市级城域网、市级部门接入网；

b)县级电子政务外网包含县级城域网、县级部门接入网、乡（镇、街道）接入网、村（社区）

接入网。

电子政务外网网络实行统一规划、统一标准、分级建设、分级管理。

市级电子政务外网建设规范

5.2.1网络组成

市级电子政务外网组网示意见图1。

市级广域核心节点横向连接市级城域网，纵向上联省级广域接入节点形成背靠背联接，下联各县广域

核心，采用双设备双线路冗余设计，形成“口”字型组网结构。

6

DB3209/T1257-2023

市级城域网组网要求如下：

a)市城域核心设备与市广域核心设备互联，采用双设备双线路冗余设计，形成“口”字型组网结

构；

b)市城域汇聚层设备主要汇接各政务部门局域网的接入设备，应使用双上联方式连接核心层设

备，形成“口”字型组网结构，实现冗余可靠；

c)市城域接入层设备用于政务部门局域网的接入，部署于各政务部门机房，接入设备到汇聚或核

心设备之间可按政务部门业务重要程度适当采用冗余设计，选择双设备双归部署、单设备双归

部署或单设备单归部署三种模式；

d)互联网接入区主要提供本级移动办公用户VPN方式安全可靠接入政务外网的安全接入平台，

需要采用信道加密技术结合政务外网数字证书进行数据传输的加密保护，实现移动办公用户

访问政务外网内部信息资源；

e)政务云对接区主要用于对接本级非涉密数据中心，电子政务外网提供双线路冗余设计，实现政

务部门对数据中心应用的访问；

f)运维管理区是集中建设的独立运维管理区域，与城域网核心设备相连，各网络设备的运维管理

应通过运维管理区实现，并应实现对运维管理行为进行审计，运维管理区流量与其他网络流量

逻辑隔离，条件允许的情况下，建议实现带外管理；

g)运营商5G政务网络通过政务专用UPF与政务外网城域5G接入路由器进行对接；

h)物联、应急等5G移动接入用户通过运营商5G政务网络接入电子政务外网。

图1市级电子政务外网架构图

5.2.2通信链路及带宽选择

线路带宽

本项要求如下：

7

DB3209/T1257-2023

a)线路带宽应能满足峰值业务需求，带宽月平均利用率超过70%时应进行扩容；

b)每年应进行带宽评估，评估应考虑下一年度的业务发展需要；

c)市级城域网核心设备与广域网核心设备之间均应采用双线路万兆光口对接，线路总带宽均应

不低于20Gbps；

d)城域网核心设备之间线路总带宽应不低于50Gbps链路带宽；

e)城域网核心层与汇聚层设备承载城市驾驶舱的汇聚流量，城域网核心层与汇聚层设备之间互

联线路总带宽应不低于50Gbps；

f)城域网核心设备与互联网接入区设备之间的线路总带宽建议不低于10Gbps；

g)一类接入单位城域网接入层设备上联线路总带宽应满足政务部门内用户忙时峰值业务流量需

求，应不低于10Gbps。

线路类型

本项要求如下：

a)同一机房内设备互联可采用光纤或屏蔽双绞线，推荐使用光纤互联；

b)市级用户接入网因用户地点与政务外网核心机房不在一栋大楼或大院需要租用运营商电路的，

其接入设备与城域网汇聚层设备之间互联可采用裸光纤或MSTP、SDH、OTN、裸光纤、切片专线

等传输电路，在使用其他类型线路时，需确保传输设备与线路为政务外网专用且为纯二层点对

点线路；

c)基于网络层的电路、任何形式的VPN电路都不符合政务外网的安全要求，不能使用；

d)MTU值应设置合理，满足业务承载传输需要，MTU值设置应不低于2000，推荐9000。

5.2.3广域网/城域网技术要求

政务外网建设应向IPv6单栈模式发展演进。

应采用SDN+SRv6技术为IPv6业务承载提供网络路径可编程能力，结合链路资源使用情况，实时动态

调整流量路径。过渡期内可通过SRv6VPN技术统一承载IPv4、IPv6业务。

应采用网络切片技术为IPv6业务提供确定性带宽保障，具体要求如下：

a)常用以太网接口（如10G接口、40G接口、100G接口等）应支持网络切片；

b)网络应具备不同层次的切片能力，如1G、2G、5G、10G等；

c)网络切片技术应与IGP技术解耦，不同的网络切片可共用相同的接口地址和IGP路由协议。

应采用随流检测技术为IPv6业务提供状态实时感知和故障快速定界能力，检测粒度应细化到单个部门

或具体业务。

应根据业务需要进行带宽实时保障和网络质量监控，宜采用APN6技术对IPv6业务进行识别。

IPv6网络不应使用NAT转换技术。

IPv6设备应符合自主可控相关要求。

网络设备技术能力应符合附录A要求。

5.2.4市级单位接入要求

市级电子政务外网接入单位根据性质和业务分为一、二、三类单位，单位分类列表见附录D，接入

要求如下：

8

DB3209/T1257-2023

a)市级接入单位局域网接入市级电子政务外网需要向市级电子政务管理机构提出申请，并由市

级电子政务管理机构备案，各单位严格按照备案范围接入市级电子政务外网；

b)市级电子政务外网管理机构应为各部门提供接入政务外网和接入地址段统一规划，不同类型

单位接入能力要求如下：

1)一类接入部门通过冗余设备、冗余链路连接市级电子政务外网，接入设备性能应保证万

兆接入能力，

2)二类接入部门通过冗余设备、冗余链路连接市级电子政务外网，接入设备性能应保证千

兆接入能力，

3)三类接入部门通过单设备、单链路连接市级电子政务外网，接入设备性能应保证千兆接

入能力；

c)接入部门提供的对接设备应具备路由、交换功能、边界安全防护功能，与市级电子政务外网

设备完成对接，应采用静态路由/动态路由进行对接，宜采用静态路由，若采用动态路由，应

对收到的接入部门路由进行合规性过滤；

d)接入部门局域网进行IPv6改造时，网络设备、安全设备、终端均应支持IPv6协议，建议部署

双栈模式；

e)未采用市级电子政务外网统一规划地址的部门需自行转换成统一规划分配地址段后方可接入

政务外网，IPv6地址应直接使用市级分配的IPv6地址；

f)局域网应支持动态分配IPv6地址，宜支持IPv4/IPv6地址监控、溯源；

g)接入部门局域网应对业务进行分区隔离，政务公共、部门专网业务应采用物理隔离、网络切

片隔离方式或VPN隔离方式接入政务外网；

h)接入部门应按照国家及行业相关安全标准规范做好边界以内自身局域网的安全防护工作。

5.2.55G移动用户接入要求

5G移动用户接入要求如下：

a)政务外网5G平面应支持为接入终端设备分配IPv4和IPv6地址；

b)通过5G平面接入政务外网的终端应使用政务专用的IP地址体系，不应使用运营商IP地址体

系；

c)终端设备应支持5GSA网络，兼容TDD-LTE\FDD-LTE两种制式；

d)终端设备应支持IPv6协议，宜支持IPv6单栈，当业务为IPv4时应选择IPv4和IPv6双栈设备；

e)终端设备应支持不少于1个的用户身份识别卡插槽或嵌入式用户身份识别模块，应用于物联终

端、局域网网关等专用终端设备的SIM卡应进行实名认证，并经政务外网运行管理机构备案后

使用；

f)作为网关的终端设备，应禁止Wi-Fi、BlueTooth等无线功能，并内置防火墙、反病毒、入侵

防御等安全功能，应支持接入认证，支持远程管理，支持通过虚拟专网VPN技术进行业务逻辑

隔离，支持不低于千兆的LAN侧以太网接口。

县级电子政务外网建设规范

5.3.1网络组成

县级电子政务外网遵循层次化设计的原则，按照使用功能和网络建设规模大小，可采用“核心层-接入

层”二层架构或“核心层-汇聚层-接入层”三层架构规划。组网架构示意见图2。

组网要求如下：

9

DB3209/T1257-2023

a)县城域核心设备与县广域核心设备互联，采用双设备双线路冗余设计，形成“口”字型组网

结构；

b)汇聚层主要汇接各政务部门局域网的接入设备，应使用双上联方式连接核心层设备，形成

“口”字型组网结构，实现冗余可靠；

c)接入层设备用于政务部门局域网的接入，部署于各政务部门机房，接入设备到汇聚或核心设

备之间可按政务部门业务重要程度酌情采用冗余设计，增加业务可靠性；

d)互联网接入区主要提供本级移动办公用户提供VPN方式安全可靠接入政务外网的安全接入平

台，需要采用信道加密技术结合政务外网数字证书进行数据传输的加密保护，实现移动办公

用户访问政务外网内部信息资源，可通过市级安全接入平台统一接入，有条件的县级可自建

安全接入平台；

e)运维管理区是集中建设的独立运维管理区域，与城域网核心设备相连。各网络设备的运维管

理应通过运维管理区实现，并应实现对运维管理行为进行审计，运维管理区流量与其他网络

流量逻辑隔离，条件允许的情况下，建议实现带外管理；

f)县级用户接入区主要为县级政务部门提供用户接入服务，各政务部门可根据业务类型和重要

程度，选择双设备双归部署，单设备双归部署和单设备单归部署三种模式，县级用户接入区

还包括县合驻办公点，直接通过接入设备接入县城域汇聚节点；

g)镇级用户接入区为县所辖各乡镇及下辖行政村接入政务外网的区域，各镇集中办公节点通过

镇汇聚设备统一对接县城域核心节点，镇汇聚设备同时汇聚下辖各行政村接入点为下辖各行

政村接入政务外网提供支持，偏远地区也可通过安全接入平台以IPsecVPN形式接入电子政务

外网。

图2县级电子政务外网架构图

5.3.2通信链路及带宽选择

10

DB3209/T1257-2023

线路带宽

本项要求如下：

a)线路带宽应能满足峰值业务需求，带宽月平均利用率超过70%时应进行扩容；

b)每年应进行带宽评估，评估应考虑下一年度的业务发展需要；

c)县级城域网核心设备与县广域网核心设备之间均应采用双线路万兆光口对接，线路总带宽建

议不低于10Gbps；

d)县级城域网核心设备之间线路总带宽建议不低于10Gbps；

e)城域网接入层设备与汇聚层设备之间的线路总带宽应满足政务部门内用户忙时峰值业务流量

需求，建议不低于100Mbps。

线路类型

本项要求如下：

a)同一机房内设备互联可采用光纤或屏蔽双绞线，推荐使用光纤互联；

b)县级用户接入网因用户地点与政务外网核心机房不在一栋大楼或大院需要租用运营商电路

的，其接入与城域网汇聚层设备之间互联可采用裸光纤或MSTP、SDH、OTN、裸光纤、切片专

线等传输电路，在使用其他类型线路时，需确保传输设备与线路为政务外网专用且为纯二层

点对点线路；

c)基于网络层的电路、任何形式的VPN电路都不符合政务外网的安全要求，不能使用；

d)MTU值应设置合理，满足业务承载传输需要；MTU值设置应不低于2000，推荐9000。

5.3.3城域网技术要求

政务外网建设应向IPv6单栈模式发展演进。

应采用SRv6技术为IPv6业务承载提供网络路径可编程能力，结合链路资源使用情况，实时动态调整

流量路径，过渡期内可通过SRv6VPN技术统一承载IPv4、IPv6业务，未部署SDN的县级电子政务外

网可以在市级SDN控制器统一设备纳管，分权分域管理。

应采用网络切片技术为IPv6业务提供确定性带宽保障，具体要求如下：

a)常用以太网接口（如10G接口、40G接口、100G接口等）应支持网络切片；

b)网络应具备不同层次的切片能力，如1G、2G、5G、10G等；

c)网络切片技术应与IGP技术解耦，不同的网络切片可共用相同的接口地址和IGP路由协议。

应采用随流检测技术为IPv6业务提供状态实时感知和故障快速定界能力，检测粒度应细化到单个部门

或具体业务。

应根据业务需要进行带宽实时保障和网络质量监控，宜采用APN6技术对IPv6业务进行识别。

行政村级网络设备宜具备即插即用、免配置上线能力，降低运维难度。

IPv6网络不应使用NAT转换技术。

IPv6设备应符合自主可控相关要求。

网络设备技术能力应符合附录A要求。

5.3.4与市级电子政务外网对接规范

11

DB3209/T1257-2023

县级电子政务外网与市级电子政务外网对接要求如下：

a)县级电子政务外网接入市级电子政务外网需要向市级电子政务管理机构提出申请并备案，各

县严格按照备案范围接入市级电子政务外网；

b)市、县两级之间有明确的维护边界，只允许边界传递路由，严禁县级通过二层网络接入市级电

子政务外网，严禁将县广域核心设备作为业务网关；

c)县级电子政务外网业务在与市级电子政务外网对接时，应分别为公用网络区业务、部门专网业

务部署VPN，实现不同业务之间的隔离，原则上市级电子政务外网不对接互联网业务；

d)县级和市级电子政务外网共用一个AS号码，宜采用基于VPN的静态路由与市级背靠背对接，

若采用IGP动态路由协议对接，需要控制路由避免形成路由环路。

5.3.5县级单位接入要求

县级电子政务外网接入单位根据性质和业务分为一、二、三类单位，具体接入要求如下：

a)县级接入单位局域网接入县级电子政务外网需要向县级电子政务外网管理机构提出申请并备

案，各单位严格按照备案范围接入电子政务外网；

b)各县级电子政务外网管理机构应为各部门提供接入政务外网和接入地址段统一规划，不同类

型单位接入能力要求如下：

1)一类接入部门通过冗余设备、冗余链路连接县电子政务外网，接入设备性能应保证万兆

接入能力，

2)二类接入部门通过冗余设备、冗余链路连接县电子政务外网，接入设备性能应保证千兆

接入能力，

3)三类接入部门通过单设备、单链路连接县电子政务外网，接入设备性能应保证千兆接入

能力；

c)接入部门提供的对接设备应具备路由、交换功能、边界安全防护功能，与电子政务外网设备

完成对接，应采用静态路由/动态路由进行对接，宜采用静态路由，若采用动态路由，应对收

到的接入部门路由进行合规性过滤；

d)接入部门局域网进行IPv6改造时，网络设备、安全设备、终端均应支持IPv6协议，建议部署双

栈模式；

e)未采用电子政务外网统一规划地址的部门需自行转换成统一规划分配地址段后方可接入政务

外网，IPv6地址应直接使用分配的IPv6地址；

f)局域网应支持动态分配IPv6地址，宜支持IPv4/IPv6地址监控、溯源；

g)接入部门局域网应对业务进行分区隔离，政务公共、部门专网业务应采用物理隔离、网络切

片隔离方式或VPN隔离方式接入政务外网；

h)接入部门应按照国家及行业相关安全标准规范做好边界以内本部门接入网络的安全防护工

作。

自治域和路由规范

5.4.1IGP技术规范

在电子政务外网网络骨干区域内，IGP宜采用IS-ISv6协议；同时为了保障节点或链路故障时业务可

以快速收敛，建议全网使能BFDforIS-IS。

县级电子政务外网存量网络部分，可先继承原有OSPF路由协议规划不做更新，后续逐步向ISIS迁

移。

12

DB3209/T1257-2023

5.4.2BGP技术规范

在市级电子政务外网，市城域网部署RR反射器（选择市城域核心作为RR），接入路由器、汇聚路由

器、县广域核心、市广域核心等分别与RR反射器建立IBGP邻居，交换域内的业务路由信息。

在县级电子政务外网，县城域网部署RR反射器（选择县城域核心作为RR），接入路由器、汇聚路由

器分别与RR反射器建立IBGP邻居，交换域内的业务路由信息。

5.4.3自治域技术规范

市级本级、各县级电子政务外网共用1个自治域号码：64794。

AS域间IPv6网络对接应采用OptionA方式，当前采用OptionB方式对接的，可通过在域间设备增

加业务互联接口，配置静态路由或EBGP进行业务路由交换，实现OptionA方式。

网络服务质量设计规范

5.5.1对政务外网中敏感数据和SLA要求高的业务，应采用网络切片技术，将网络划分为多个独立的

逻辑业务平面进行硬隔离。每个逻辑业务平面应拥有独立的带宽资源，不能相互抢占，最大化保障关

键业务网络质量。

5.5.2网络切片宜将切片与IGP解耦，多个网络切片平面可共用一套接口IP地址和IGP路由协议，

降低网络协议的复杂性。

5.5.3政务外网可根据业务类型、保障级别、部门诉求三个维度定义网络切片模型：

a)基于业务类型，可按表1的要求进行切片；

表1基于业务类型的要求

业务类型要求

政务业务各政务单位对外服务窗口，市民办理社保、公积金、不动产登记等各种一站式服务

雪亮工程覆盖市、县、镇、村各级的公共安全视频图像共享交换体系和应用支撑体系

公共视频满足各级政务部门内、部门之间高品质视频会议需要

物联业务满足物联终端接入需要

办公业务满足各级政务部门办公需要

专网业务满足通过撤网整合的方式接入电子政务外网的专网业务SLA需要

撤线专网业务为通过撤线整合穿越电子政务外网的所有业务专网划分统一的专用切片

b)基于保障级别，可按表2的要求设定三个保障级别进行切片；

表2基于级别的要求

保障等级要求

普通级别基础网络要求：带宽尽力而为，时延<30ms，丢包≤1E-3

关键级别丢包：≤1E-5

特殊级别时延：<4ms

c)基于部门诉求，可按表3的要求分为公共类、重保类、专用类共三类切片，若未来一些政务部

门有单独切片诉求，可保持未来可扩展性。

13

DB3209/T1257-2023

表3基于部门诉求的要求

单位诉求要求

公共类所有政务部门共享的默认切片。

重保类参与重大事件保障政务部门共用切片，按需使用，重保结束后政务部门切换回原有切片

专用类为具有特殊诉求的政务部门提供的专用切片。

专网接入规范

5.6.1市级非涉密业务专网向电子政务外网迁移整合主要有撤网整合、撤线整合、对接融合三种方

式，原则上专网整合应采用撤网整合方式。

5.6.2撤网整合方案指将业务专网的设备、租赁专线等整体裁撤，专网接入单位作为新的政务外网接

入单位连接到政务外网，同时将部署于业务专网内的业务系统逐步迁移至同级政务云平台，要求如

下：

a)市、县级电子政务外网管理机构应为专网接入单位提供接入设备、接入线路，原专网业务通

过电子政务外网进行承载；

b)市、县级电子政务外网应具备差异化质量保障能力，如SRv6、网络切片、随流检测等满足不

同业务专网的整合需求；

c)不得为专网业务绕过防火墙。

5.6.3撤线整合方案指仅裁撤业务专网所租赁的运营商专线，利用政务外网作为专网线路，保留专网

的网络设备。专网接入单位负责业务专网应用系统的维护和网络部署规划，保持相对独立，要求如

下：

a)原则上专网整合应采用撤网整合方式，有特殊需求需要采用撤线整合的业务专网部门应提供

证明材料并备案说明；

b)专网接入单位应负责业务专网的业务部署和运维；

c)若专网业务敏感需要加密，应由业务专网接入单位自行部署IPsec等技术来实现；

d)考虑IPv6演进要求，专网接入单位宜采用IPv6单栈技术（如SRv6技术）穿越电子政务外网；

e)市、县级电子政务外网应为业务专网提供路由互通；

f)为保障电子政务外网整体网络质量和安全，宜为穿越电子政务外网的所有业务专网划分统一

的专用切片；

g)不得为专网业务绕过防火墙。

5.6.4对接融合方案指整体保留业务专网的网络设备和租赁运营商专线，应用系统仍然部署在专网

内，专网接入单位仍然基于该业务专网开展业务，并实现条线内各级单位网络互通，为满足业务专网

和政务外网之间的数据共享和数据交换需求，建设网络对接融合区，通过部署网闸/防火墙等安全设

备，安全可控地打通业务专网与政务外网，要求如下：

a)原则上专网整合应采用撤网整合方式，有特殊需求需要采用对接融合方式的业务专网部门应

提供备案说明；

b)市级电子政务外网应建设专网对接融合区，通过部署网闸/防火墙等安全设备，安全可控地打

通业务专网与政务外网；

c)若专网业务较敏感，或者高于电子政务外网信息安全等级保护级别，应通过网闸进行数据安

全交换；

14

DB3209/T1257-2023

d)若专网业务非敏感，或者不高于与电子政务外网信息安全等级保护级别，应通过防火墙进行

数据安全交换；

e)应具备终端和系统之间的访问控制能力，控制粒度宜为单个地址或者端口，宜采用白名单的

访问控制策略；

f)应对网络攻击行为进行检测、防止、限制、报警等，并记录攻击源IP、目标、类型、时间等

信息；

g)应对用户行为和安全事件等进行行为审计，审计记录应至少保留6个月。

6IP地址规划

地址分级管理

市级电子政务外网IP地址总体规划由市级电子政务管理机构负责，各区县级电子政务外网根据总

体规划，对所属本级的IP地址资源进行再次分配、管理和使用。

地址分配原则

6.2.1层次性原则

IP地址分配应根据网络中的应用级别成块划分，为每一级别应用分配一个独立的地址段，形成易于

扩展的层次性结构，便于网络设备的统一管理，降低网络结构的复杂性。

6.2.2连续性原则

应按照2n的大小分配连续地址段，有助于路由聚合、缩减路由表、提高路由算法效率。

6.2.3可扩展性原则

地址分配在每一层次上都留有余量，当网络规模扩展时能保证地址聚合所需的连续性。

6.2.4唯一性原则

同一个IP网络中不能有两个主机采用相同的IP地址。

6.2.5规范性原则

严格按照IP地址分配原则进行IP地址的规划及项目实施。

6.2.6全局业务IP地址按需申请原则

申请单位根据网络建设情况申请政务外网全局业务IP地址，申请的地址在一年内必须充分有效使

用，否则将酌情收回。

6.2.7其他原则

其它原则如下：

a)应采用域名而不是IP地址作为各类主机提供服务的方式，避免IP地址改动导致服务中断；

b)在局域网中必须采用政务外网统一规划的地址，避免全局业务IP地址出现资源短缺；

c)服务器IP地址应使用低地址段，从最小可编地址开始依次顺序分配使用；

d)网络设备IP地址应使用高地址段，从最大可编地址开始逆序分配使用；

e)已建城域网的市、县级节点，建议根据用户总体访问量使用若干个全局业务地址作为城域网

15

DB3209/T1257-2023

用户单位访问政务外网公用网络区的转换地址池；

f)IPv6地址具备语义化，结构定义清晰，通过在IPv6地址不同分段嵌入区域、业务类型等信

息，便于识别用户所在区域及用途，可读性强；

g)IPv6地址在设备或者管理界面以16进制显示配置（4bits），IPv6地址规划尽量不要破坏半字

节结构，以便进行网络管理和运维。

IPv4地址分配

IPv4地址分配方式保持不变。

IPv6地址分配

6.4.1IPv6地址结构

政务外网IPv6地址段结构为：240B:8TZZ:ZZZW:WWYY::/64，主要用于政务外网全局的IPv6地址规

划。政务外网IPv6地址采用结构化编址方式，按图3所示分为五个字段：

a)1～24位，类型域，240B:8T，用于标识政务外网各类业务；

b)25～44位，区划域，ZZ:ZZZ，用于标识中央、省、市、县四级行政区域；

c)45～56位，部门域，W:WW，用于标识各级政务部门、乡镇及以下行政区域；

d)57～64位，子网域，YY，由各级政务部门自行规划分配；

e)65～128位，主机域，支持EUI-64地址，并根据接口MAC地址自动生成唯一标识。

图3IPv6地址结构

市级及级行政区划代码及业务IPv6地址对照表应符合附录A的要求。

6.4.2类型域（T码）编码规则

类型域（T码）用于标识政务外网各类业务（T表示十六进制字符，取值范围0—7），按照政务外网

业务系统类型，划分为网络平台、基础数据业务、视频会议业务、视频监控业务等，类型域（T码）设

计如下：

a)政务外网网络平台地址（T=0）：主要用于政务外网的各级网络基础设施，包括链路、网络设

备（环回口地址、设备互联地址、设备管理地址）、安全设备（设备互联地址、设备管理地

址）、网管平台、安管平台、云管平台、运行管理系统及终端等软硬件设备；

b)基础数据业务地址（T=1）：主要用于部署政务外网基础业务及终端，包括服务器、IP存储、

云主机、云存储、应用软件、业务终端等；

c)视频会议业务地址（T=2）：主要用于部署政务外网视频会议业务及终端，包括视频会议平

台、视频会议终端、应用软件等；

d)视频监控业务地址（T=3）：主要用于部署政务外网视频监控业务及终端，包括视频监控平

16

DB3209/T1257-2023

台、视频监控终端、应用软件等；

e)预留（T=4-7）：未来政务外网业务发展，预留规划。

6.4.3区划域（Z码）编码规则

区划域（Z码）用于标识中央、省、市、县四级行政区域，区划域编码规则如下（其中：Z1、Z2、

Z3、Z4、Z5分别表示十六进制字符，取值范围00000-FFFFF），以民政部行政区划代码为基础，将6位“十

进制”字符（区划代码）转换为5位“十六进制”字符（Z码），Z码转换算法设计如下：

a)拆码：将6位“十进制”区划代码分为3段：AA、BB、CC；

b)转码（十进制转二进制）：

1)省级区域编码（AA，江苏对应AA为16）转换成6位“二进制”字符，

2)地市地址编码（BB，行政区划代码）转换成7位“二进制”字符，

3)区县地址编码（CC，行政区划代码）转换成7位“二进制”字符；

c)组码（二进制转十六进制）：合计共20位“二进制”字符，按4位1组，转换成5位“十六进

制”字符，生成对应的区划域Z码。

6.4.4部门域（W码）编码规则

部门域（W码）用于标识市、县（市、区）各级政务部门、乡镇及以下行政区域，由W1、W2、W3三

位“十六进制”字符组成，取值范围000⁓FFF。部门域W1码取值1⁓9时，表示市级部门单位，由市级政务

外网管理机构分配，共分为A、B、C、D和其它预留5个大类，县（市、区）级部门单位可参照执行。部

门域规划应符合下列要求：

a)A类级部门单位（W1=1⁓5）：用于标识与国家对口的政府部门，部门域W1、W2由市级政务外网

管理机构分配，W3由市级政府部门自行规划。政府部门的下属单位划归此类，由其上级主管

部门进行地址分配；

b)B类市级部门单位（W1=6）：用于标识党委、人大、政协、高检、高法、群团、民主党派等，

部门域W1、W2、W3由市级政务外网管理机构分配；

c)C类市级其它部门单位（W1=7）：用于标识部队、武警、央企、国企等。地方上的央企划归此

类，由央企提出申请，市级政务外网管理机构进行地址分配；

d)D类地方其它部门单位（W1=8）：用于标识与国家非对口的省级部门单位；

e)预留（W1=9）；

f)部门域W1码取值为A⁓F时，用于标识乡镇及以下行政区域或基层组织借用部门域，从

W1W2W3=A00开始，到W1W2W3=FFF结束，共支持1535个::/56地址段，由上级政务外网运行管理

机构分配。

6.4.5子网域（Y码）编码规则

子网域（Y码）用于标识不同系统类型所属的业务子网（Y1、Y2分别表示十六进制字符，取值范围

00-FF），子网域（Y码）00-7F（前128个）部分由各部门单位自行规划分配；Y码80-FF（后128个）预

留。

7安全体系建设规范

总体要求

17

DB3209/T1257-2023

7.1.1IPv6网络建设应符合GB/T22239、GB/T25070、GB/T39786等网络安全等级保护及信息系统

密码应用相关要求，定级如下:

a)市级电子政务外网达到网络安全等级保护第三级要求，并达到密码应用第三级基本要求；

b)县级及以下政务外网达到网络安全等级保护第二级及密码应用第二级基本要求，或以上要

求，且不低于承载在政务外网数据中心上业务系统的要求级别。

7.1.2存量网络IPv6改造后安全防护能力应不低于原有IPv4的要求。

7.1.3安全设备应具备“IPv6+”技术能力，其功能应符合附录B要求。

市级安全技术要求

7.2.1物理环境安全要求

物理环境安全目的是保护网络中计算机网络通信有良好的电磁兼容工作环境，并防止非法用户进

入计算机控制室和各种偷窃、破坏活动的发生，本项关键要求包括：

a)机房出入口应配置电子门禁系统，控制、鉴别和记录进入人员；

b)宜采用密码技术进行物理访问身份鉴别，保证重要区域进入人员身份的真实性；

c)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性；

d)应设置机房防盗报警系统或设置有专人值守的视频监控系统，宜采用密码技术保证视频监控

音像记录数据的存储完整性；

e)应采取措施防止感应雷，例如设置防雷保安器或过压保护装置等；

f)应对机房划分分域进行管理，区域和区域之间设置隔离防火措施；

g)应安装对水敏感的检测仪表或元件，对机房进行防水检测和报警；

h)应采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等；

i)应设置冗余或并行的电力电缆线路为计算机系统供电；

j)应对关键设备实施电磁屏蔽。

7.2.2通用区域边界安全要求

边界防护

本项要求如下：

a)应保证跨越边界的访问和数据流通过防火墙提供的受控接口进行通信，不得绕过防火墙；

b)应能够对非授权设备私自联到电子政务外网的行为进行检测或限制；

c)应能够对电子政务外网用户非授权联到外部网络的行为进行检测或限制；

d)应支持基于应用层协议设置流控策略，包括设置最大带宽、保证带宽、协议流量优先级等；

e)宜采用密码技术保证网络边界访问控制信息的完整性。

访问控制

本项要求如下：

a)建设用户准入与非法外联系统，增强用户入网准入控制和非法外联的监控与处置能力；

b)需对电子政务外网系统进行资产和身份管理，设备需经过身份认证才能接入电子政务外网系

统；

c)应在网络边界或区域之间根据访问控制策略设置访问控制规则，按照最小化访问原则，默认

情况下除允许通信外受控接口拒绝所有通信；

18

DB3209/T1257-2023

d)应具备安全策略调优能力，可发现冗余安全策略，长时间不用的安全策略，以删除多余或无

效的访问控制规则，优化访问控制列表，并保证访问控制规则数量最小化；

e)应对时间、用户、源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒绝数

据包进出；

f)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力；

g)应对进出网络的数据流实现基于应用协议和应用内容的访问控制；

h)可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性。

入侵防范

本项要求如下：

a)在网络边界处检测、防止或限制从外部发起的网络攻击行为；

b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；

c)应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为的分析；

d)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目标、攻击时间，在发生严重入侵事

件时应提供报警；

e)支持对加密流量进行攻击威胁识别。

安全审计

本项要求如下：

a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为和重

要安全事件进行审计；

b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信

息。

可信验证

本项要求如下：

a)防火墙、入侵防御等核心安全设备需要保障自身安全，避免被黑客控制作为攻击跳板，设备

需内置可信根，可对系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可

信验证，并在应用程序的关键执行环节进行动态可信验证；

b)宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证；

c)宜采用自主可控安全防护区设备，设备CPU、操作系统、转发芯片等具备国产化能力，并确保

设备稳定可靠，具有大型网络使用能力。

互联网接入区要求

市级电子政务外网城域网应建设独立的互联网接入区。

应在互联网接入区部署抗DDoS攻击设备，针对互联网上的DDoS攻击进行有效的防护，应支持DDoS检

测和清洗。抗DDoS攻击应支持常见的SYNFlood、ACKFlood、FIN/RSTFlood功能，能抵抗HTTP、

HTTPSFlood等攻击，并且支持流量自学习功能，可识别出超过防御阈值的攻击流量。

应在互联网接入区的网络出口部署防火墙，实现网络边界保护和访问控制。防火墙应只开放政务网提

供接入服务的必需的服务端口，对流经互联网接入区的网络数据进行合法性检查。为了保证业务的可

服务性，防火墙应双机部署，且支持性能的可扩容。防火墙应支持IPv6协议栈、NAT64转换技术。

19

DB3209/T1257-2023

宜在互联网接入区的网络出口部署入侵防御系统，动态检测网络上所有流过的数据包，进行实时检测

和分析，及时发现漏洞、蠕虫、木马等非法和异常行为，并且支持告警、阻断等功能；

应在互联网接入区部署防病毒功能，可在防火墙或入侵检测设备上开启，及时更新病毒库，阻止病毒

入侵和传播，进行及时的查杀。防病毒模块宜集成在防火墙内。

应在互联网接入区旁路部署沙箱，针对APT高级持续威胁，利用沙箱多引擎虚拟检测技术，以及传统

的安全检测技术，识别网络中传输的恶意文件和C&C攻击。沙箱宜支持和防火墙联动以实现对威胁的

实时阻断。

宜部署流量探针，对流经网络边界的流量进行提取和还原，送至后端大数据分析平台进行安全分析，

识别潜在安全攻击风险。

安全设备所产生的日志应发送给日志审计系统，并要求审计日志至少保存6个月。

安全接入平台要求

VPN网关应采用虚拟子接口、VRF等方式实现与政务外网公用网络区、专用网络区的网络和业务对接。

VPN网关应具有国家密码管理局颁发的《密码产品型号证书》，支持SM2国密算法和政务外网数字证

书。

应为接入用户提供服务接口或链路接口等统一入口。

应采用高性能、高可靠性、可扩展性的VPN网关，支持IPSecVPN、SSLVPN等功能。

应采用RADIUS、LDAP等认证协议实现基于数字证书的身份认证，为用户身份统一认证和权限管理提供

支撑。

应提供安全接入平台的运行情况监测、用户行为审计和安全接入平台设备的配置管理功能。

应通过网络访问控制、入侵检测与防御、防病毒等安全措施实现基础安全防护。可通过在安全接入平

台的网络入口、内部安全域边界部署防火墙实现网络边界保护和访问控制。可在安全接入平台的网络

入口处部署入侵检测设备或入侵防御系统，动态监视网络上流过的所有数据包，及时发现非法或异常

行为。

安全设备所产生的日志应发送给日志审计系统，并要求审计日志至少保存6个月。

部门局域网接入要求

对于市级政务部门局域网接入到电子政务外网城域网，应设部门用户接入区。

应在部门用户接入区部署防火墙，实现网络边界保护和访问控制。防火墙应只开放政务网络所提供接

入服务的必要服务端口，对流经部门用户接入区的网络数据进行合法性检查。为了保证业务的可服务

性，防火墙应支持双机部署，且支持性能的可扩容。

应在部门用户接入区部署入侵防御系统，可在防火墙上开启入侵防御功能，动态检测网络上所有流过

的数据包，进行实时检测和分析，及时发现漏洞、蠕虫、木马等非法和异常行为，并且支持告警、阻

断等功能。

应在部门用户接入区部署防病毒功能，可在防火墙上开启，及时更新病毒库，阻止病毒入侵和传播，

进行及时的查杀。

20

DB3209/T1257-2023

宜在部门用户接入区部署流量探针，对流经网络边界的流量进行提取和还原，送至后端大数据分析平

台进行安全分析，识别潜在安全攻击风险。

安全设备所产生的日志应发送给日志审计系统，并要求审计日志至少保存6个月。

政务云对接区要求

应在政务云对接区部署防火墙，并开启访问控制、入侵防御、病毒防护等安全防护功能。

政务云对接区应具备网络边界保护和访问控制功能。应只开放必要的服务端口，并对网络数据进行合

法性检查。防火墙应支持双机部署，支持性能的动态扩容。

政务云对接区应具备入侵防御功能，可动态检测网络上所有流过的数据包，进行实时检测和分析，及

时发现漏洞、蠕虫、木马等非法和异常行为，并且支持告警、阻断等功能。

政务云对接区应具备病毒防护功能，可在线或离线更新病毒库，阻止病毒入侵和传播。

安全设备所产生的日志应发送给日志审计系统，并要求审计日志至少保存6个月。

通信网络安全要求

网络架构

本项要求包括：

a)合理划分现有网的边界和访问策略，实现不同网络间的有效分离；

b)城域