DB3209T 1257-2023電子政務(wù)外網(wǎng) 建設(shè)標(biāo)準(zhǔn)技術(shù)規(guī)范

DB3209鹽城市地方標(biāo)準(zhǔn)E-governmentnetworkTechnicalspeci鹽城市市場監(jiān)督管理局發(fā)布 5.2市級電子政務(wù)外網(wǎng)建設(shè)規(guī)范 5.3縣級電子政務(wù)外網(wǎng)建設(shè)規(guī)范 5.5網(wǎng)絡(luò)服務(wù)質(zhì)量設(shè)計規(guī)范 5.6專網(wǎng)接入規(guī)范 6.1地址分級管理 6.2地址分配原則 7.1總體要求 7.2市級安全技術(shù)要求 7.3縣級安全技術(shù)要求 8.1管理工作要求 8.2管理平臺建設(shè)要求 電子政務(wù)外網(wǎng)建設(shè)技術(shù)規(guī)范3.1全邏輯隔離，滿足各級部門經(jīng)濟(jì)調(diào)節(jié)、市場監(jiān)管、社會管理和），3.2地（市）網(wǎng)絡(luò)稱為省級廣域網(wǎng)、地（市）到3.3把同一城市內(nèi)不同單位的局域網(wǎng)絡(luò)連接起來的網(wǎng)絡(luò)稱為城域網(wǎng)，實現(xiàn)不同單位跨部門業(yè)務(wù)的數(shù)據(jù)3.43.54縮略語2)AAA：認(rèn)證、授權(quán)和計費（authentication,authorization,anda3)APT：高級持續(xù)性威脅（AdvancedPers）；4)ARP：地址解析協(xié)議（AddressResolutionP6)C&C：命令控制（Commandan）；）；8)DDoS：分布式拒絕服務(wù)(DistributedDenialofS9)DGA：域名生成算法(DomainGenerationAl10)DHCP：動態(tài)主機(jī)配置協(xié)議(DynamicHostCo13)EGP：外部網(wǎng)關(guān)協(xié)議(Exter14)GRE：通用路由封裝協(xié)議(GenericR15)EUI-64：64位擴(kuò)展唯一標(biāo)識符(64-16)IGP：內(nèi)部網(wǎng)關(guān)協(xié)議(Inter17)IMSI：國際移動用戶識別碼（InternationalMobile18)IMEI：國際移動設(shè)備標(biāo)識（InternationalMobil19)IPSecVPN：互聯(lián)網(wǎng)協(xié)議安全協(xié)議虛擬專用網(wǎng)絡(luò)(InternetProtocolsecurityvirtual20)IPv4：互聯(lián)網(wǎng)協(xié)議版本4（InternetPro21)IPv6：互聯(lián)網(wǎng)協(xié)議版本6（Internet）；23)IS-IS：中間系統(tǒng)到中間系統(tǒng)（IntermediateSystemt24)LACP：鏈路聚合控制協(xié)議（LinkAggregationControl25)MP：多鏈路協(xié)議（Multilin26)MPLS：多協(xié)議標(biāo)記交換（Multi-ProtocolLabel27)MSTP：多業(yè)務(wù)傳送平臺（Multi-serviceTransmissi）；28)NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressT29)NFS：網(wǎng)絡(luò)文件系統(tǒng)(NetworkFil30)OSPF：開放式最短路徑優(yōu)先(OpenShortestPat32)PPP：點到點協(xié)議（point-to-poi33)QoS：服務(wù)質(zhì)量(Qualityo34)RIP：路由信息協(xié)議(RoutingInformati36)SDH：同步數(shù)字體系(SynchronousDigita37)SDN：軟件定義網(wǎng)絡(luò)(SoftwareDefined38)SIM：用戶身份模塊（SubscriberId39)SLA：服務(wù)水平協(xié)議(ServiceLevel40)SNMP：簡單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProt41)SRv6：IPv6段路由（IPv6）；42)SSLVPN：基于安全套接層的虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetworkoverSecureSockets43)TWAMP：雙向主動測量協(xié)議（Two-WayActiveMeasurementPro44)URL：統(tǒng)一資源定位符(UniformResourceLoc46)VLAN：虛擬局域網(wǎng)(VirtualLocalAreaNet47)VPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNe）；48)VxLAN：虛擬擴(kuò)展局域網(wǎng)（VirtualeXtensibleLocalAreaNe49)Wi-Fi：無線網(wǎng)絡(luò)技術(shù)（WirelessFid5.2市級電子政務(wù)外網(wǎng)建設(shè)規(guī)范b)市城域匯聚層設(shè)備主要匯接各政務(wù)部門局域網(wǎng)的接入設(shè)備，應(yīng)使用雙上聯(lián)方式連接核心層設(shè)d)互聯(lián)網(wǎng)接入?yún)^(qū)主要提供本級移動辦公用戶VPN方式安全可靠接入政務(wù)需要采用信道加密技術(shù)結(jié)合政務(wù)外網(wǎng)數(shù)字證書進(jìn)行數(shù)據(jù)傳輸?shù)募用鼙Ｗo(hù)，實現(xiàn)移動a)線路帶寬應(yīng)能滿足峰值業(yè)務(wù)需求，帶寬月c)市級城域網(wǎng)核心設(shè)備與廣域網(wǎng)核心設(shè)備之間均應(yīng)采用雙線路萬兆光口對接，線路總帶寬均應(yīng)e)城域網(wǎng)核心層與匯聚層設(shè)備承載城市駕駛艙的匯聚流量，城域網(wǎng)核心層與匯聚層設(shè)備之間互g)一類接入單位城域網(wǎng)接入層設(shè)備上聯(lián)線路總帶寬應(yīng)滿足政務(wù)部門內(nèi)用戶忙時峰值業(yè)務(wù)流量需a)同一機(jī)房內(nèi)設(shè)備互聯(lián)可采用光纖或屏蔽雙絞線，推薦使用光5.2.4市級單位接入要求市級電子政務(wù)外網(wǎng)接入單位根據(jù)性質(zhì)和業(yè)務(wù)分為一、二、三類單位，單位分a)市級接入單位局域網(wǎng)接入市級電子政務(wù)外網(wǎng)需要向市級電子級電子政務(wù)管理機(jī)構(gòu)備案，各單位嚴(yán)格按照備案范圍接入市級電1)一類接入部門通過冗余設(shè)備、冗余鏈路連接市級2)二類接入部門通過冗余設(shè)備、冗余鏈路連接市級電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)3)三類接入部門通過單設(shè)備、單鏈路連接市級電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)e)未采用市級電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃地址的部門需自行政務(wù)外網(wǎng)，IPv6地址應(yīng)直接使用市級分配的IPvf)局域網(wǎng)應(yīng)支持動態(tài)分配IPv6地址，宜支持h)接入部門應(yīng)按照國家及行業(yè)相關(guān)安全標(biāo)準(zhǔn)規(guī)范做好邊界以內(nèi)自身局域網(wǎng)的安全a)政務(wù)外網(wǎng)5G平面應(yīng)支持為接入終端設(shè)備分b)通過5G平面接入政務(wù)外網(wǎng)的終端應(yīng)使用政務(wù)專用的IP地址體系，不應(yīng)使用e)終端設(shè)備應(yīng)支持不少于1個的用戶身份識別卡插槽或端、局域網(wǎng)網(wǎng)關(guān)等專用終端設(shè)備的SIM卡應(yīng)進(jìn)行實名認(rèn)證，并經(jīng)政務(wù)外網(wǎng)運行管理5.3縣級電子政務(wù)外網(wǎng)建設(shè)規(guī)范縣級電子政務(wù)外網(wǎng)遵循層次化設(shè)計的原則，按照使用功能和網(wǎng)絡(luò)建設(shè)規(guī)模大小，可采用“核心b)匯聚層主要匯接各政務(wù)部門局域網(wǎng)的接入設(shè)備，應(yīng)使用雙上聯(lián)方式連接核心c)接入層設(shè)備用于政務(wù)部門局域網(wǎng)的接入，部署于各政務(wù)部門機(jī)房，備之間可按政務(wù)部門業(yè)務(wù)重要程度酌情采用冗余設(shè)計，增加業(yè)d)互聯(lián)網(wǎng)接入?yún)^(qū)主要提供本級移動辦公用戶提供VP臺，需要采用信道加密技術(shù)結(jié)合政務(wù)外網(wǎng)數(shù)字證書進(jìn)行數(shù)據(jù)傳輸?shù)募用鼙Ｗo(hù)，實現(xiàn)移用戶訪問政務(wù)外網(wǎng)內(nèi)部信息資源，可通過市級安全接入平臺統(tǒng)一接入，有條件的縣級理應(yīng)通過運維管理區(qū)實現(xiàn)，并應(yīng)實現(xiàn)對運維管理行為進(jìn)行審計，運維管理區(qū)流量與其他f)縣級用戶接入?yún)^(qū)主要為縣級政務(wù)部門提供用戶接入服務(wù)，各政務(wù)還包括縣合駐辦公點，直接通過接入設(shè)備接入縣城域匯聚節(jié)g)鎮(zhèn)級用戶接入?yún)^(qū)為縣所轄各鄉(xiāng)鎮(zhèn)及下轄行政村接入政務(wù)外網(wǎng)的區(qū)域，各鎮(zhèn)集中辦公節(jié)點通過鎮(zhèn)匯聚設(shè)備統(tǒng)一對接縣城域核心節(jié)點，鎮(zhèn)匯聚設(shè)備同時匯聚下轄各行政村接入點為下轄各行政村接入政務(wù)外網(wǎng)提供支持，偏遠(yuǎn)地區(qū)也可通過安全接入平臺以IPsecVPN形式接入電子5.3.2通信鏈路及帶寬選擇c)縣級城域網(wǎng)核心設(shè)備與縣廣域網(wǎng)核心設(shè)備之間均應(yīng)采用雙線路e)城域網(wǎng)接入層設(shè)備與匯聚層設(shè)備之間的線路總帶寬應(yīng)滿足政務(wù)b)縣級用戶接入網(wǎng)因用戶地點與政務(wù)外網(wǎng)核心機(jī)房不在一棟大樓或大院需要租的，其接入與城域網(wǎng)匯聚層設(shè)備之間互聯(lián)可采用裸光纖或Md)MTU值應(yīng)設(shè)置合理，滿足業(yè)務(wù)承載傳輸需要；MTU值設(shè)置應(yīng)不5.3.4與市級電子政務(wù)外網(wǎng)對接規(guī)范a)縣級電子政務(wù)外網(wǎng)接入市級電子政務(wù)外網(wǎng)需要向市級電子政務(wù)管理機(jī)構(gòu)提出申請并備案，各5.3.5縣級單位接入要求縣級電子政務(wù)外網(wǎng)接入單位根據(jù)性質(zhì)和業(yè)務(wù)分為一、二、三類單位，具體接入要求如a)縣級接入單位局域網(wǎng)接入縣級電子政務(wù)外網(wǎng)需要向縣級電子政務(wù)外網(wǎng)b)各縣級電子政務(wù)外網(wǎng)管理機(jī)構(gòu)應(yīng)為各部門提供接入政務(wù)外網(wǎng)和接入地址段統(tǒng)e)未采用電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃地址的部門需自行轉(zhuǎn)換f)局域網(wǎng)應(yīng)支持動態(tài)分配IPv6地址，宜支h)接入部門應(yīng)按照國家及行業(yè)相關(guān)安全標(biāo)準(zhǔn)規(guī)范做好邊界以內(nèi)本部門接入網(wǎng)絡(luò)5.4自治域和路由規(guī)范），），5.5網(wǎng)絡(luò)服務(wù)質(zhì)量設(shè)計規(guī)范5.5.3政務(wù)外網(wǎng)可根據(jù)業(yè)務(wù)類型、保障級別、部門訴求三個維度定義網(wǎng)絡(luò)切片模型：各政務(wù)單位對外服務(wù)窗口，市民辦理社保、公積金、不動產(chǎn)滿足通過撤網(wǎng)整合的方式接入電子政務(wù)外網(wǎng)的專網(wǎng)業(yè)為通過撤線整合穿越電子政務(wù)外網(wǎng)的所有業(yè)務(wù)?；A(chǔ)網(wǎng)絡(luò)要求：帶寬盡力而為，時延<30ms參與重大事件保障政務(wù)部門共用切片，按需使用，重保結(jié)束后政務(wù)部5.6專網(wǎng)接入規(guī)范5.6.1市級非涉密業(yè)務(wù)專網(wǎng)向電子政務(wù)外網(wǎng)遷移整合主要有撤網(wǎng)整合、撤線整合、對接融合三種方5.6.2撤網(wǎng)整合方案指將業(yè)務(wù)專網(wǎng)的設(shè)備、租賃專線等整體裁撤，專網(wǎng)接入單位作為新的政務(wù)外網(wǎng)接a)市、縣級電子政務(wù)外網(wǎng)管理機(jī)構(gòu)應(yīng)為專網(wǎng)接入單位提供接入設(shè)備、接入線路，原專網(wǎng)業(yè)b)市、縣級電子政務(wù)外網(wǎng)應(yīng)具備差異化質(zhì)量保障能力，如SRv6、網(wǎng)絡(luò)切片5.6.3撤線整合方案指僅裁撤業(yè)務(wù)專網(wǎng)所租賃的運營商專線，利用政務(wù)外網(wǎng)作為專網(wǎng)線路，保留專網(wǎng)a)原則上專網(wǎng)整合應(yīng)采用撤網(wǎng)整合方式，有特殊需求需要采用撤線整合的業(yè)務(wù)專網(wǎng)部門應(yīng)f)為保障電子政務(wù)外網(wǎng)整體網(wǎng)絡(luò)質(zhì)量和安全，宜為穿越電子政務(wù)外網(wǎng)的所有業(yè)務(wù)專a)原則上專網(wǎng)整合應(yīng)采用撤網(wǎng)整合方式，有特殊需求需要采用對接融合方式的業(yè)務(wù)專網(wǎng)部b)市級電子政務(wù)外網(wǎng)應(yīng)建設(shè)專網(wǎng)對接融合區(qū)，通過部署網(wǎng)閘/防火墻等安全設(shè)備，安全可控地打f)應(yīng)對網(wǎng)絡(luò)攻擊行為進(jìn)行檢測、防止、限制、報警等，并記錄g)應(yīng)對用戶行為和安全事件等進(jìn)行行為審計，審計記錄應(yīng)至市級電子政務(wù)外網(wǎng)IP地址總體規(guī)劃由市級電子政務(wù)管理機(jī)構(gòu)負(fù)責(zé)，各區(qū)縣級電子政務(wù)外網(wǎng)根據(jù)總體規(guī)劃，對所屬本級的IP地址資源進(jìn)行再次分配、管理和6.2地址分配原則應(yīng)按照2n的大小分配連續(xù)地址段，有助于路由聚申請單位根據(jù)網(wǎng)絡(luò)建設(shè)情況申請政務(wù)外網(wǎng)全局業(yè)務(wù)IP地址，申請的地址在一年內(nèi)必須充分有效使b)在局域網(wǎng)中必須采用政務(wù)外網(wǎng)統(tǒng)一規(guī)劃的地址，避免全局業(yè)務(wù)IP地址出現(xiàn)資源短缺；e)已建城域網(wǎng)的市、縣級節(jié)點，建議根據(jù)用戶總體訪問量使用若干個全局業(yè)務(wù)地f)IPv6地址具備語義化，結(jié)構(gòu)定義清晰，通過在IPv6地址不同分段嵌入?yún)^(qū)域、g)IPv6地址在設(shè)備或者管理界面以1b)25～44位，區(qū)劃域，ZZ:ZZZ，用于標(biāo)識中央、省、市、縣四級行政區(qū)域；c)視頻會議業(yè)務(wù)地址（T=2主要用于部署政務(wù)外網(wǎng)視頻會議業(yè)務(wù)及終端，包括d)視頻監(jiān)控業(yè)務(wù)地址（T=3主要用于部署政務(wù)外網(wǎng)視頻監(jiān)控業(yè)務(wù)及終端，包括視頻監(jiān)控平部門域（W碼）用于標(biāo)識市、縣（市、區(qū)）各級政務(wù)部門、鄉(xiāng)鎮(zhèn)及以下行政區(qū)域，由W1、W2、W3三子網(wǎng)域（Y碼）用于標(biāo)識不同系統(tǒng)類型所屬的業(yè)務(wù)子網(wǎng)（Y1、Y2分別表示十六進(jìn)制字符，取值范圍7.1.1IPv6網(wǎng)絡(luò)建設(shè)應(yīng)符合Ga)市級電子政務(wù)外網(wǎng)達(dá)到網(wǎng)絡(luò)安全等級保護(hù)第三級要求，并達(dá)到密碼應(yīng)用第三級基本b)縣級及以下政務(wù)外網(wǎng)達(dá)到網(wǎng)絡(luò)安全等級保護(hù)第二級及密碼應(yīng)用第二級基本要求，或以上要求，且不低于承載在政務(wù)外網(wǎng)數(shù)據(jù)中心上業(yè)務(wù)系統(tǒng)的7.2市級安全技術(shù)要求物理環(huán)境安全目的是保護(hù)網(wǎng)絡(luò)中計算機(jī)網(wǎng)絡(luò)通信有良好的電磁兼容工作環(huán)境，并入計算機(jī)控制室和各種偷竊、破壞活動的發(fā)生，本項關(guān)鍵要求包a)機(jī)房出入口應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)c)宜采用密碼技術(shù)保證電子門禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)d)應(yīng)設(shè)置機(jī)房防盜報警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)，宜采用密碼技術(shù)保e)應(yīng)采取措施防止感應(yīng)雷，例如設(shè)置防雷保安器g)應(yīng)安裝對水敏感的檢測儀表或元件，對機(jī)房進(jìn)行防b)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到電子政務(wù)外網(wǎng)的行為進(jìn)行檢測或限制；c)應(yīng)能夠?qū)﹄娮诱?wù)外網(wǎng)用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)e)應(yīng)對時間、用戶、源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查f)應(yīng)能根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒g)應(yīng)對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)h)可采用密碼技術(shù)對從外部連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行接入認(rèn)證,確保接入的設(shè)備身份真實b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；c)應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進(jìn)行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊d)當(dāng)檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信a)防火墻、入侵防御等核心安全設(shè)備需要保障自身安全，避免被黑客控制作為攻擊跳板，信驗證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信b)宜采用密碼技術(shù)對重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對其來源進(jìn)行真實性驗c)宜采用自主可控安全防護(hù)區(qū)設(shè)備，設(shè)備CPU、操作系統(tǒng)、轉(zhuǎn)測和清洗?？笵DoS攻擊應(yīng)支持常見的SYN應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署防火墻，實現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問控制。防火墻應(yīng)只開放政務(wù)網(wǎng)提入侵和傳播，進(jìn)行及時的查殺。防病毒模塊宜集成在防火墻的安全檢測技術(shù)，識別網(wǎng)絡(luò)中傳輸?shù)膼阂馕募?yīng)為接入用戶提供服務(wù)接口或鏈路接口等統(tǒng)應(yīng)采用RADIUS、LDAP等認(rèn)證協(xié)議實現(xiàn)基于數(shù)字證書的身應(yīng)提供安全接入平臺的運行情況監(jiān)測、用戶行為審計和安全接入平臺設(shè)備的配置管理功應(yīng)通過網(wǎng)絡(luò)訪問控制、入侵檢測與防御、防病毒等安全措施實現(xiàn)基礎(chǔ)安全防護(hù)。可通過在安全接入平臺的網(wǎng)絡(luò)入口、內(nèi)部安全域邊界部署防火墻實現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問控制?？稍诎踩尤肫脚_的網(wǎng)絡(luò)入口處部署入侵檢測設(shè)備或入侵防御系統(tǒng)，動態(tài)監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包，及時發(fā)現(xiàn)非法或異常對于市級政務(wù)部門局域網(wǎng)接入到電子政務(wù)外網(wǎng)城域網(wǎng)，應(yīng)設(shè)部門用戶接入應(yīng)在部門用戶接入?yún)^(qū)部署防火墻，實現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問控制。防火墻應(yīng)只開放政務(wù)網(wǎng)絡(luò)所提供接性，防火墻應(yīng)支持雙機(jī)部署，且支持性能的可政務(wù)云對接區(qū)應(yīng)具備網(wǎng)絡(luò)邊界保護(hù)和訪問控制功能。應(yīng)只開放必要的服務(wù)端口，并對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合b)城域網(wǎng)的核心、匯聚設(shè)備應(yīng)具有設(shè)備冗余，接入設(shè)備宜具備設(shè)備冗余；c)城域網(wǎng)核心設(shè)備、匯聚設(shè)備以及匯聚到核心設(shè)備之間應(yīng)至少保證不同路由主護(hù)，接入設(shè)備到匯聚設(shè)備之間宜采用不同路由主備鏈路進(jìn)行保護(hù)，在采用主備方式或負(fù)e)應(yīng)根據(jù)需要采用有效的QoS和流量管理策略，確保重要信息系統(tǒng)和數(shù)據(jù)具f)根據(jù)所部署系統(tǒng)的重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)h)應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，應(yīng)劃分互聯(lián)網(wǎng)區(qū)域，將電子政務(wù)核心業(yè)務(wù)與互聯(lián)網(wǎng)業(yè)a)用戶通過互聯(lián)網(wǎng)接入政務(wù)外網(wǎng)時，應(yīng)采用校驗技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的性，應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性，應(yīng)使用國家密碼管理局認(rèn)證核b)其他通信場景時，宜采用校驗技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性，宜采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性，采用的密碼技術(shù)應(yīng)經(jīng)過國家密碼管理局認(rèn)證a)需基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等b)宜采用密碼技術(shù)對重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對其來源進(jìn)行真實性驗c)宜采用自主可控通信設(shè)備，設(shè)備CPU、操作系統(tǒng)、a)各級政務(wù)部門局域網(wǎng)的安全及等級保護(hù)工作由各政務(wù)部門會同本級電子政務(wù)外網(wǎng)管理機(jī)增加終端安全管理系統(tǒng)和選擇不同網(wǎng)絡(luò)區(qū)域的安全a)部門局域網(wǎng)與公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，使用防火墻或者安全網(wǎng)關(guān)進(jìn)行安全防b)專用網(wǎng)絡(luò)區(qū)邊界安全由接入單位按照該專用網(wǎng)絡(luò)區(qū)的縱a)接入終端應(yīng)使用政務(wù)部門局域網(wǎng)統(tǒng)一分配的c)政務(wù)部門局域網(wǎng)終端應(yīng)僅具備一個網(wǎng)絡(luò)的訪問權(quán)限，訪問政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)的a)通過5G接入政務(wù)外網(wǎng)應(yīng)滿足終端二次認(rèn)證/鑒權(quán)管控，一次認(rèn)證為接入運營商回傳網(wǎng)制，基于用戶身份識別卡的唯一標(biāo)識和設(shè)備標(biāo)識對用戶識別卡和設(shè)備進(jìn)行接入5G網(wǎng)絡(luò)的準(zhǔn)入b)安全網(wǎng)關(guān)應(yīng)基于移動終端（標(biāo)識一般為IMSI或SIM卡號）進(jìn)行精細(xì)網(wǎng)絡(luò)訪問控制、安全防護(hù)策a)應(yīng)對信息資產(chǎn)、威脅情報、漏洞信息等進(jìn)行生命周期管理，包含網(wǎng)絡(luò)和IT資產(chǎn)管理、知b)應(yīng)匯聚安全告警、風(fēng)險、安全態(tài)勢等信息，進(jìn)行關(guān)聯(lián)分析、智能推理、分成安全防護(hù)控制策略和業(yè)務(wù)安全控制策略，基于決策結(jié)果進(jìn)行服務(wù)的編排、調(diào)度和配置，包號的違規(guī)行為發(fā)現(xiàn)能力，包含安全態(tài)勢、安全審計、安全風(fēng)險評估和安h)宜采用密碼技術(shù)保證運維審計系統(tǒng)的完整性和機(jī)b)應(yīng)支持系統(tǒng)掃描、Web掃描、數(shù)據(jù)庫a)應(yīng)對資產(chǎn)進(jìn)行全面的安全事件和安全d)應(yīng)能根據(jù)收集到的安全事件和安全日志分析信息資產(chǎn)的安全狀況，通過內(nèi)置的關(guān)聯(lián)場景判斷f)宜采用密碼技術(shù)保證日志審計系統(tǒng)7.3縣級安全技術(shù)要求a)機(jī)房場地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的c)宜采用密碼技術(shù)保證電子門禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)b)應(yīng)將通信線纜鋪設(shè)在隱蔽安全處。應(yīng)采用防靜電地板或地面并采用必要的接地防靜應(yīng)設(shè)置溫濕度自動調(diào)節(jié)措施，是機(jī)房溫濕度的變化在設(shè)備運行所允許的范圍之a(chǎn))應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過電壓b)應(yīng)提供短期的備用電力供應(yīng)，至少滿足設(shè)a)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認(rèn)情況下除允許通信c)應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒d)應(yīng)能根據(jù)會話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信a)可基于可信根對邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程b)宜采用密碼技術(shù)對重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對其來源進(jìn)行真實性驗c)宜采用自主可控安全防護(hù)區(qū)設(shè)備，設(shè)備CPU、操作系統(tǒng)、轉(zhuǎn)應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署防火墻，實現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問控制。防火墻應(yīng)只開放政務(wù)網(wǎng)提入侵和傳播，進(jìn)行及時的查殺。防病毒模塊宜集成在防火墻b)應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)a)可基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等b)宜采用密碼技術(shù)對重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對其來源進(jìn)行真實性驗c)宜采用自主可控通信設(shè)備，設(shè)備CPU、操作系統(tǒng)、a)各級政務(wù)部門局域網(wǎng)的安全及等級保護(hù)工作由各政務(wù)部門會同本級電子政務(wù)外網(wǎng)管理機(jī)增加終端安全管理系統(tǒng)和選擇不同網(wǎng)絡(luò)區(qū)域的安全a)部門局域網(wǎng)與公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，使用防火墻或者安全網(wǎng)關(guān)進(jìn)行安全防b)專用網(wǎng)絡(luò)區(qū)邊界安全由接入單位按照該專用網(wǎng)絡(luò)區(qū)的縱a)接入終端應(yīng)使用政務(wù)部門局域網(wǎng)統(tǒng)一分配的c)政務(wù)部門局域網(wǎng)終端應(yīng)僅具備一個網(wǎng)絡(luò)的訪問權(quán)限，訪問政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)的a)應(yīng)對信息資產(chǎn)、威脅情報、漏洞信息等進(jìn)行生命周期管理，包含網(wǎng)絡(luò)和IT資產(chǎn)管理、知b)應(yīng)匯聚安全告警、風(fēng)險、安全態(tài)勢等信息，進(jìn)行關(guān)聯(lián)分析、智能推理、分成安全防護(hù)控制策略和業(yè)務(wù)安全控制策略，基于決策結(jié)果進(jìn)行服務(wù)的編排、調(diào)度和配置，包號的違規(guī)行為發(fā)現(xiàn)能力，包含安全態(tài)勢、安全審計、安全風(fēng)險評估和安在業(yè)務(wù)擴(kuò)充的情況下依然能夠進(jìn)行有效的運維g)宜采用密碼技術(shù)保證運維審計系統(tǒng)a)漏洞掃描系統(tǒng)應(yīng)提供安全自查能力、營造安全可靠的網(wǎng)絡(luò)環(huán)境，實現(xiàn)風(fēng)險提前發(fā)現(xiàn)，避b)應(yīng)支持系統(tǒng)掃描、Web掃描、數(shù)據(jù)庫掃描、基線掃描及弱口令等多項功能；c)漏洞庫應(yīng)涵蓋豐富的安全漏洞和攻擊特征，支持CVE、CVSS、CNVID、CNNVD、CNCVd)應(yīng)支持設(shè)備的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)安全檢查、日常安全檢a)應(yīng)對資產(chǎn)進(jìn)行全面的安全事件和安全c)應(yīng)支持保存的安全事件和日志進(jìn)行快速查詢、檢索，便于管理人員定位d)應(yīng)支持根據(jù)收集到的安全事件和安全日志分析信息資產(chǎn)的安全狀況，通過內(nèi)置的f)宜采用密碼技術(shù)保證日志審計系統(tǒng)a)市級電子政務(wù)管理機(jī)構(gòu)負(fù)責(zé)全市電子政務(wù)外網(wǎng)標(biāo)準(zhǔn)規(guī)范和安全保障體系建設(shè)，負(fù)責(zé)指導(dǎo)b)各縣級電子政務(wù)外網(wǎng)管理機(jī)構(gòu)具體負(fù)責(zé)本級電子政務(wù)外網(wǎng)的規(guī)劃、建設(shè)、運維和安全管理工作，以及本地區(qū)非涉密業(yè)務(wù)專網(wǎng)整合遷移或融合互c)接入政務(wù)外網(wǎng)的部門和單位負(fù)責(zé)本部門本單a)市本級、各縣級電子政務(wù)外網(wǎng)需組建電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全管理小組，領(lǐng)導(dǎo)小組應(yīng)按照主管誰負(fù)責(zé)，誰運行誰負(fù)責(zé)”的原則，明確專人負(fù)責(zé)網(wǎng)絡(luò)安全管理工作，加強(qiáng)人員b)明確專業(yè)運維人員，嚴(yán)格按照管理制度和業(yè)務(wù)流程形成網(wǎng)絡(luò)安全工作的閉環(huán)，做好電子政務(wù)外網(wǎng)鏈路業(yè)務(wù)實時狀態(tài)監(jiān)控、異常事件實時通報處理、設(shè)備狀態(tài)監(jiān)控維護(hù)和信息安c)應(yīng)具備密碼應(yīng)用安全管理制度,包括密碼人員管理、密鑰管理、建設(shè)運行、應(yīng)），c)各地可根據(jù)實際情況，建設(shè)電子政務(wù)外網(wǎng)防病毒體系：一是在各類終端、應(yīng)用部署殺毒軟件，并定期進(jìn)行病毒查殺；二是增設(shè)管控平臺，對于驅(qū)動、存儲等設(shè)備進(jìn)行嚴(yán)格d)各單位應(yīng)定期對本領(lǐng)域政務(wù)外網(wǎng)的業(yè)務(wù)系統(tǒng)、操作系統(tǒng)、中間件、網(wǎng)絡(luò)設(shè)備、安行漏洞掃描，以評估各資產(chǎn)安全情況，結(jié)合威脅情報、資產(chǎn)等級、漏洞危害性等要素進(jìn)b)須強(qiáng)化電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)的隔離管理，嚴(yán)禁電子政務(wù)外網(wǎng)的業(yè)務(wù)系統(tǒng)與互聯(lián)b)二級故障事件（重要故障直接影響服務(wù)，會導(dǎo)致a)遵循先搶通后修復(fù)原則進(jìn)行故障處理，優(yōu)先保障業(yè)務(wù)和應(yīng)用b)接到故障申告或故障協(xié)查后，應(yīng)記錄故障信息，并生成故障紀(jì)錄單，故障紀(jì)錄單的內(nèi)容至少f)應(yīng)及時向故障申告人反饋故障處理進(jìn)程，故障解決后，進(jìn)行記錄并與故障申告人向上一級政務(wù)外網(wǎng)管理機(jī)構(gòu)提交故障升級報告括：故障的上報人、升級時間、升級對象、通報內(nèi)容、升級反饋時間和修復(fù)時間等。故障報告內(nèi)容應(yīng)故障處理完成后，應(yīng)以書面或電子化形式提供統(tǒng)一格式的故障處理報告和網(wǎng)絡(luò)質(zhì)量運行報告務(wù)外網(wǎng)管理機(jī)構(gòu)負(fù)責(zé)存檔。故障處理報告應(yīng)至少包括：用戶名稱、故障申業(yè)務(wù)承載：評估電子政務(wù)外網(wǎng)IPv6應(yīng)用的承載支撐質(zhì)量情接入管理：評估非涉密專網(wǎng)整合部門、中央駐蘇單位接入等應(yīng)接盡接工作完成情況。8.2管理平臺建設(shè)要求8.2.2運維服務(wù)管理平臺建設(shè)及對市本級及區(qū)縣電子政務(wù)外網(wǎng)運維服務(wù)管理系統(tǒng)建c)應(yīng)支持收集電子政務(wù)外網(wǎng)性能和告警信息，與拓?fù)溥M(jìn)行關(guān)聯(lián)和篩市級平臺聯(lián)動和協(xié)調(diào)處置，對接架構(gòu)、對接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對接模式、對縣級平臺聯(lián)動和協(xié)調(diào)處置，對接架構(gòu)、對接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對接模式、對性、不可否認(rèn)性需求的應(yīng)遵循密碼相關(guān)國家標(biāo)8.2.3安全大數(shù)據(jù)管理平臺建設(shè)及對接a)安全大數(shù)據(jù)平臺應(yīng)具備綜合審計能力，綜合審計并實時采集本級對象應(yīng)包括：終端、網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等安全操作行為；b)安全大數(shù)據(jù)平臺應(yīng)具備采集本級的邊界檢測數(shù)據(jù)，本級協(xié)議接口采集對象應(yīng)包括：IDS、堡壘機(jī)、IPS、WAF、漏洞掃描、防火墻、防毒墻、網(wǎng)閘、抗DDOS等；c)安全大數(shù)據(jù)平臺應(yīng)能夠?qū)Π踩袨楹蛿?shù)據(jù)進(jìn)行采集匯聚，并運用數(shù)據(jù)挖掘分析技術(shù)對各種安全行為進(jìn)行態(tài)勢感知和事件溯源分析，支持通過網(wǎng)安聯(lián)動策略，在網(wǎng)絡(luò)設(shè)備上近源阻斷處置；d)市級大數(shù)據(jù)平臺應(yīng)提供向上級聯(lián)能力，市級網(wǎng)絡(luò)風(fēng)險隱患、漏洞情報、告警數(shù)據(jù)、安全事件、安全報表、案例數(shù)據(jù)、運行狀態(tài)等同步到省級平臺跟蹤管理，省級平臺下發(fā)的預(yù)警通報數(shù)據(jù)，共享案例知識庫數(shù)據(jù)等信息在市級平臺聯(lián)動和協(xié)調(diào)處置，對接架構(gòu)、對接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對接模式、對接范圍、對接技術(shù)要求、對接開發(fā)等按DB32/T4318.1的要求實現(xiàn)；e)縣級大數(shù)據(jù)平臺應(yīng)提供向上級聯(lián)能力，縣級網(wǎng)絡(luò)風(fēng)險隱患、漏洞情報、告警數(shù)據(jù)、安全事件、安全報表、案例數(shù)據(jù)、運行狀態(tài)等同步到市級平臺跟蹤管理，市級平臺下發(fā)的警通報數(shù)據(jù)，共享案例知識庫數(shù)據(jù)等信息在縣級平臺聯(lián)動和協(xié)調(diào)處置，對接架構(gòu)、對接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對接模式、對接范圍、對接技術(shù)要求、對接開發(fā)等按DB32/T4318.1的要求實現(xiàn)；f)市、縣級大數(shù)據(jù)平臺級聯(lián)需要經(jīng)過安全身份認(rèn)證，數(shù)據(jù)傳輸需要經(jīng)過可靠加密處理，涉及密碼算法的相關(guān)內(nèi)容,應(yīng)按國家有關(guān)法規(guī)實施，涉及采用密碼技術(shù)解決保密性、完整性、真實性、不可否認(rèn)性需求的應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。核心節(jié)點網(wǎng)絡(luò)設(shè)備應(yīng)支持下表所述功能，設(shè)備的性能指標(biāo)應(yīng)能滿足電子政務(wù)外網(wǎng)未來2-