DHJB 460-2009 環(huán)境信息網(wǎng)絡(luò)建設(shè)規(guī)范

I 2規(guī)范性引用文件 3術(shù)語和定義 4全國環(huán)境信息網(wǎng)絡(luò)建設(shè)原則和基本流程 25全國環(huán)境信息骨干網(wǎng)網(wǎng)際互連 36全國環(huán)境信息局域網(wǎng)網(wǎng)絡(luò)建設(shè) 97全國環(huán)境信息網(wǎng)絡(luò)機房建設(shè) 8全國環(huán)境信息網(wǎng)絡(luò)驗收測試 附錄A（資料性附錄）全國環(huán)境信息網(wǎng)絡(luò)系統(tǒng)域名命名規(guī)則 附錄B（規(guī)范性附錄）全國環(huán)境信息網(wǎng)絡(luò)IP地址規(guī)劃表 附錄C（資料性附錄）路由器性能指標 附錄D（規(guī)范性附錄）防火墻安全等級劃分 附錄E（資料性附錄）防火墻性能指標 附錄F（規(guī)范性附錄）對不同高度房間的火災探測器的選擇 附錄G（資料性附錄）機房面積公式 附錄H（資料性附錄）局域網(wǎng)系統(tǒng)性能測試工具要求 II為加強和規(guī)范全國環(huán)境信息網(wǎng)絡(luò)的統(tǒng)一建設(shè)、管理，實現(xiàn)全國環(huán)境保護部門網(wǎng)絡(luò)互聯(lián)互通，保障環(huán)境業(yè)務數(shù)據(jù)的實時、有效傳輸，為環(huán)境保護管理和決策提供信息服務，制定本標本標準規(guī)定了全國信息網(wǎng)絡(luò)建設(shè)的原則、基本流程、骨干網(wǎng)絡(luò)建設(shè)、局域網(wǎng)絡(luò)建設(shè)，IP地址和域名規(guī)劃，機房建設(shè)等技術(shù)要求。本標準附錄B、附錄D、附錄F為規(guī)范性附錄，附錄A、附錄C、附錄E、附錄G、附錄H為資料性附錄。本標準由環(huán)境保護部科技標準司組織制訂。本標準起草單位：環(huán)境保護部信息中心。本標準由環(huán)境保護部2009年3月20日批準。本標準自2009年6月1日起實施。本標準由環(huán)境保護部解釋。1環(huán)境信息網(wǎng)絡(luò)建設(shè)規(guī)范本標準規(guī)定了全國環(huán)境信息三級骨干網(wǎng)絡(luò)網(wǎng)際互連，以及全國信息網(wǎng)絡(luò)建設(shè)的原則、基本流程、骨干網(wǎng)絡(luò)建設(shè)、局域網(wǎng)絡(luò)建設(shè)，IP地址和域名規(guī)劃，機房建設(shè)等技術(shù)要求。本標準適用于環(huán)境保護部、各省、自治區(qū)、直轄市環(huán)境保護廳（局）、新疆生產(chǎn)建設(shè)兵團環(huán)境保護局（以下簡稱省級環(huán)境保護廳(局)）和地市級環(huán)境保護局環(huán)境信息網(wǎng)絡(luò)建設(shè)工作。區(qū)、縣級環(huán)境保護局及各級環(huán)境保護部門直屬單位、派出機構(gòu)亦可參照執(zhí)行。2規(guī)范性引用文件本標準內(nèi)容引用了下列文件或其中的條款。凡是不注日期的引用文件，其有效版本適用于本標準。GB18030-2005信息技術(shù)中文編碼字符集GB50057-1994建筑物防雷設(shè)計規(guī)范GB50174電子計算機機房設(shè)計規(guī)范GB/T1988-1998信息技術(shù)信息交換用七位編碼字符集GB/T2260中華人民共和國行政區(qū)劃代碼GB/T2887電子計算機場地通用規(guī)范GB/T18233-2008信息技術(shù)用戶建筑群的通用布纜GB/T19668信息化工程監(jiān)理規(guī)范GB/T20275-2006信息安全技術(shù)入侵檢測系統(tǒng)技術(shù)要求和測試評價方法GB/T20278-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品技術(shù)要求GB/T20280-2006信息安全技術(shù)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品測試評價方法GB/T20281-2006信息安全技術(shù)防火墻技術(shù)要求和測試評價方法GB/T50311-2007建筑與建筑群綜合布線系統(tǒng)工程設(shè)計規(guī)范GB/T50312-2007綜合部線系統(tǒng)工程驗收規(guī)范GB/T21671-2008基于以太網(wǎng)技術(shù)的局域網(wǎng)系統(tǒng)驗收測評規(guī)范GA372-2001防火墻產(chǎn)品的安全功能檢測YD/T1096-2001路由器設(shè)備技術(shù)規(guī)范-低端路由器YD/T1097-2001路由器設(shè)備技術(shù)規(guī)范-高端路由器YD/T1098-2001路由器測試規(guī)范-低端路由器YD/T1099-2005千兆比以太網(wǎng)交換機設(shè)備技術(shù)規(guī)范YD/T1141-2001千兆比以太網(wǎng)交換機測試方法YD/T1156-2001路由器測試規(guī)范-高端路由器YD/T1170-2001IP網(wǎng)絡(luò)技術(shù)要求-網(wǎng)絡(luò)總體YD/T1255-2003具有路由功能的以太網(wǎng)交換機技術(shù)要求YD/T1287-2003具有路由功能的以太網(wǎng)交換機測試方法IEC61935:2005按照GB/T18233/ISO/IEC11801的平衡通信布纜測試第1部分：IEC61280-4-1:2003纖維光學通信子系統(tǒng)試驗程序第4-1部分:光纜設(shè)備及鏈接多模光纜設(shè)備的衰減測量IEC61280-4-2:1999光纖通信子系統(tǒng)基本試驗程序第4-2部分：光纜設(shè)施單模光纜設(shè)施衰減RFC2544網(wǎng)絡(luò)互聯(lián)設(shè)備基準測試方法3術(shù)語和定義2下列術(shù)語和定義適用于本標準。3.1環(huán)保系統(tǒng)骨干網(wǎng)及核心節(jié)點全國環(huán)境信息網(wǎng)絡(luò)分為三級骨干網(wǎng)：一級骨干網(wǎng)：環(huán)境保護部至各省級環(huán)境保護廳（局）的網(wǎng)絡(luò)互連。二級骨干網(wǎng)：省級環(huán)境保護廳（局）至其所屬地市級(含計劃單列城市和副省級城市)環(huán)境保護局的網(wǎng)絡(luò)互連，以及直轄市環(huán)境保護局至其區(qū)、縣級環(huán)境保護局的網(wǎng)絡(luò)互連。三級骨干網(wǎng)：各地市級(含計劃單列城市和副省級城市)環(huán)境保護局至其所屬縣、區(qū)級環(huán)境保護局的網(wǎng)絡(luò)互連。全國環(huán)境信息網(wǎng)絡(luò)分為四級節(jié)點：環(huán)境保護部為一級節(jié)點，各省級環(huán)境保護廳（局）為二級節(jié)點，各地市級(含計劃單列城市和副省級城市)環(huán)境保護局為三級節(jié)點，區(qū)、縣級環(huán)境保護局為四級節(jié)點。3.2環(huán)保系統(tǒng)電子政務內(nèi)網(wǎng)環(huán)境保護部及全國各省級(含計劃單列城市和副省級城市)環(huán)境保護廳（局）建設(shè)的用于電子公文傳輸、內(nèi)部政務管理以及內(nèi)部信息服務等的網(wǎng)絡(luò)。電子政務內(nèi)網(wǎng)為獨立的網(wǎng)絡(luò)，須與互聯(lián)網(wǎng)和電子政務外網(wǎng)物理隔離。3.3環(huán)保系統(tǒng)電子政務外網(wǎng)環(huán)境保護部及全國各級環(huán)境保護廳（局）內(nèi)部局域網(wǎng)通過專線互連，用于污染源監(jiān)測數(shù)據(jù)傳輸、環(huán)境保護系統(tǒng)綜合業(yè)務平臺、以及數(shù)據(jù)共享的網(wǎng)絡(luò)。電子政務外網(wǎng)為全國性互連網(wǎng)絡(luò)，須與互聯(lián)網(wǎng)安全隔離。3.4環(huán)保系統(tǒng)城域網(wǎng)環(huán)境保護部連接其在京直屬單位所形成的網(wǎng)絡(luò)；省級環(huán)境保護廳（局）連接其同城直屬單位所形成的網(wǎng)絡(luò)；地市級環(huán)境保護局連接其同城直屬單位所形成的網(wǎng)絡(luò)。3.5國家級環(huán)境信息廣域網(wǎng)指環(huán)境保護部通過專線連接各省級環(huán)境保護廳（局）所形成的廣域網(wǎng)。3.6省級環(huán)境信息廣域網(wǎng)指省級環(huán)境保護廳（局）通過專線連接其管轄范圍內(nèi)各地市級(含計劃單列城市和副省級城市)環(huán)境保護局所形成的廣域網(wǎng)。3.7縮略語DMZ非軍事區(qū)DemilitaryZoneDNS域名解析系統(tǒng)DomainNameSystemFTP文件傳輸協(xié)議FileTransferProtocolHTTP超文本傳輸協(xié)議HypertextTransferProtocolIDS入侵檢測系統(tǒng)IntrusionDetectionSystemIP互聯(lián)網(wǎng)協(xié)議InternetProtocolNAT網(wǎng)絡(luò)地址轉(zhuǎn)換器NetworkAddressTranslationPOP3郵局協(xié)議3PostOfficeProtocol3SMTP簡單郵件傳送協(xié)議SimpleMailTransferProtocolVLAN虛擬局域網(wǎng)VirtualLocalAreaNetworkVPN虛擬專用網(wǎng)VirtualPrivateNetwork4全國環(huán)境信息網(wǎng)絡(luò)建設(shè)原則和基本流程4.1網(wǎng)絡(luò)建設(shè)原則網(wǎng)絡(luò)建設(shè)依據(jù)以下主要原則：a)滿足各級環(huán)境保護部門的業(yè)務應用系統(tǒng)的要求；b)利用已有的網(wǎng)絡(luò)資源，與已有的專用政務網(wǎng)絡(luò)兼容；c)網(wǎng)絡(luò)體系結(jié)構(gòu)應以TCP/IP互連技術(shù)組建，即三層及三層以上統(tǒng)一采用TCP/IP協(xié)議棧，各種物理傳輸媒體之上采用多種協(xié)議棧的形式支持統(tǒng)一的IP層協(xié)議；d)根據(jù)應用業(yè)務系統(tǒng)及安全保障的不同需求，滿足可分級管理和控制等特殊需要，采用分布式組織架構(gòu)進行分級、分權(quán)的管理；e)應是安全可靠、可管理、可控制和可擴展的網(wǎng)絡(luò)，具有服務分類和服務質(zhì)量保障能34.2網(wǎng)絡(luò)建設(shè)基本流程4.2.1立項階段立項階段需編制立項申請報告和項目可行性研究報告。報告應依據(jù)相應部門的要求和適用的技術(shù)標準編制。4.2.2確定監(jiān)理機構(gòu)電子政務項目實行工程監(jiān)理制。項目建設(shè)單位應按照信息系統(tǒng)工程監(jiān)理的有關(guān)規(guī)定，委托具有信息系統(tǒng)工程相應監(jiān)理資質(zhì)的工程監(jiān)理單位，對項目建設(shè)進行工程監(jiān)理。有關(guān)規(guī)定見4.2.3招標投標階段環(huán)境信息網(wǎng)絡(luò)建設(shè)工程、建設(shè)項目招標投標活動應滿足以下要求：a)遵守《工程建設(shè)項目施工招標投標辦法》的規(guī)定；b)遵守《計算機信息系統(tǒng)集成資質(zhì)管理辦法》的規(guī)定；c)工程建設(shè)項目屬于《工程建設(shè)項目招標范圍和規(guī)模標準規(guī)定》（國家計委令第3號）規(guī)定的范圍和標準的，須通過招標選擇施工單位。不得將依法必須進行招標的項目化整為零或者以其他任何方式規(guī)避招標；d)涉密系統(tǒng)集成單位必須經(jīng)過保密工作部門資質(zhì)認定，并取得《涉及國家秘密的計算機系統(tǒng)集成資質(zhì)證書》，涉密系統(tǒng)建設(shè)單位應選擇具有《涉及國家秘密的計算機系統(tǒng)集成資質(zhì)證書》的單位來承建涉密系統(tǒng)；e)遵守其他相關(guān)技術(shù)標準的規(guī)定。4.2.4工程設(shè)計階段網(wǎng)絡(luò)建設(shè)工程設(shè)計應當遵循國家標準、行業(yè)標準和地方標準，并符合網(wǎng)絡(luò)建設(shè)工程招標合同的要求。4.2.5工程實施階段環(huán)境信息網(wǎng)絡(luò)建設(shè)工程實施應當符合國家標準、行業(yè)標準和地方標準，符合網(wǎng)絡(luò)建設(shè)工程設(shè)計方案的要求。4.2.6工程驗收階段重大項目的竣工驗收，必須有各級環(huán)境保護信息部門參與評審；其他項目的竣工驗收，建設(shè)單位應當根據(jù)工程備案管轄邀請市或者區(qū)、縣各級環(huán)境保護信息部門參加。環(huán)境信息網(wǎng)絡(luò)建設(shè)工程驗收應當符合國家標準、行業(yè)標準和地方標準，符合網(wǎng)絡(luò)建設(shè)工程招標合同的要求，涉及保密和隱蔽工程的驗收參照相關(guān)規(guī)定。從事工程驗收設(shè)計的單位，應當執(zhí)行有關(guān)的國家標準、行業(yè)標準和地方標準。4.2.7運行及維護階段網(wǎng)絡(luò)維護是環(huán)境信息網(wǎng)絡(luò)正常運行的保證，必須給予充分的重視，并從人員、規(guī)章制度和資金等各個方面作好相應的安排。應建立網(wǎng)絡(luò)建設(shè)工程質(zhì)量保修制度。承建方應按合同，履行保修責任。保修期自工程竣工驗收合格之日起不得少于兩年。5全國環(huán)境信息骨干網(wǎng)網(wǎng)際互連5.1網(wǎng)絡(luò)結(jié)構(gòu)及拓撲全國環(huán)境信息網(wǎng)絡(luò)結(jié)構(gòu)可分為三級骨干網(wǎng)，四級節(jié)點。5.1.1互聯(lián)網(wǎng)網(wǎng)際互連網(wǎng)絡(luò)結(jié)構(gòu)及拓撲互聯(lián)網(wǎng)接口為全國各級環(huán)境保護部門連接國際互聯(lián)網(wǎng)的出口。局域網(wǎng)（外網(wǎng)）為星型拓5.1.2廣域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)及拓撲全國環(huán)境信息廣域網(wǎng)絡(luò)主要包括：一、二、三級骨干網(wǎng)。廣域網(wǎng)為星型拓撲結(jié)構(gòu)。5.1.3環(huán)保系統(tǒng)城域網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)及拓撲環(huán)保系統(tǒng)城域網(wǎng)是全國各級環(huán)境保護部門至同城直屬單位的網(wǎng)絡(luò)互連，為星型拓撲結(jié)5.2鏈路和帶寬5.2.1互聯(lián)網(wǎng)鏈路和帶寬4互聯(lián)網(wǎng)的鏈路由運行商提供。互聯(lián)網(wǎng)的帶寬根據(jù)業(yè)務需求確定，以下為帶寬升級的參考標準：a)當一條鏈路具有高的利用率，如果優(yōu)先級高的流量還可以被正常的路由，業(yè)務應用質(zhì)量尚可，Ping測試時所經(jīng)歷的延遲也不顯著，可不升級帶寬；b)如果優(yōu)先級高的流量的可用帶寬接近帶寬的極限，宜升級帶寬；c)如果網(wǎng)絡(luò)正常業(yè)務流量長時間達到整個互聯(lián)網(wǎng)帶寬的70%，并且關(guān)鍵業(yè)務應用明顯受到影響，在Ping測試時所經(jīng)歷的延遲顯著，并伴隨一定的丟包率，應升級互聯(lián)網(wǎng)5.2.2城域網(wǎng)鏈路和帶寬環(huán)境保護部與在京直屬單位的網(wǎng)絡(luò)互連應采用專線連接，帶寬不低于2M，環(huán)境保護部連接環(huán)境保護部信息中心數(shù)據(jù)中心帶寬不低于100M。省級環(huán)境保護廳（局）與其同城直屬單位的網(wǎng)絡(luò)互連可采用專線連接，帶寬不低于2M。地市級環(huán)境保護局與其同城直屬單位的網(wǎng)絡(luò)互連可采用專線連接，帶寬不低于2M。5.2.3廣域網(wǎng)鏈路和帶寬一級骨干網(wǎng)采用專線連接，帶寬不低于6M。二級骨干網(wǎng)采用專線連接，帶寬不低于2M。三級骨干網(wǎng)可采用專線連接，帶寬不低于2M，也可采用VPN技術(shù)，帶寬不低于512K。5.3網(wǎng)絡(luò)接入設(shè)備5.3.1接入設(shè)備類型互聯(lián)網(wǎng)接入設(shè)備互聯(lián)網(wǎng)接入路由器可選擇支持百兆帶寬的中低端路由器。城域網(wǎng)接入設(shè)備全國環(huán)境信息城域網(wǎng)接入設(shè)備等級主要由設(shè)備所在節(jié)點角色功能決定。環(huán)境保護部與在京直屬單位的網(wǎng)絡(luò)互連，采用高端路由器，各在京直屬單位可采用低端路由器。各省級環(huán)境保護廳（局）與同城直屬單位的網(wǎng)絡(luò)互連，采用中高端路由器，各同城直屬單位可采用低端路由器。各地市級環(huán)境保護局與同城直屬單位的網(wǎng)絡(luò)互連，采用中低端路由器，各同城直屬單位可采用低端路由器。廣域網(wǎng)接入設(shè)備全國環(huán)境信息廣域網(wǎng)一級骨干網(wǎng)絡(luò)中，環(huán)境保護部為一級節(jié)點，應采用高端路由器。二級骨干網(wǎng)絡(luò)中，各省級環(huán)境保護廳（局）為二級節(jié)點，采用中高端路由器；各地市級環(huán)境保護局采用中低端路由器。5.3.2接入設(shè)備要求高端路由器高端路由器通常位于骨干網(wǎng)接入節(jié)點，為骨干網(wǎng)轉(zhuǎn)發(fā)數(shù)據(jù)提供路由處理能力和傳輸帶a)高端路由器功能主要包括：1)路由器的功能特性；4)路由協(xié)議；b)高端路由器性能指標主要包括：4)可靠性和安全性；6)接口轉(zhuǎn)發(fā)時延等。有關(guān)高端核心路由器的詳細要求見YD/T1097-2001。路由器性能指標參見附錄C。5低端路由器低端路由器一般位于網(wǎng)絡(luò)邊緣，是通過數(shù)據(jù)轉(zhuǎn)發(fā)包來實現(xiàn)連接一級網(wǎng)絡(luò)與二級網(wǎng)絡(luò)的路a)低端路由器功能主要包括：1)路由器的功能特性；4)路由協(xié)議；b)低端路由器性能指標主要包括：1)接口轉(zhuǎn)發(fā)時延；有關(guān)低端核心路由器的詳細要求見YD/T1096-2001。路由器性能指標參見附錄C。5.4網(wǎng)絡(luò)安全設(shè)備5.4.1安全設(shè)備類型互聯(lián)網(wǎng)安全設(shè)備互聯(lián)網(wǎng)接入的安全設(shè)備可以選擇支持百兆帶寬的中低端防火墻，并可根據(jù)實際情況部署入侵檢測設(shè)備、上網(wǎng)行為管理設(shè)備、流量管理設(shè)備等安全產(chǎn)品。廣域網(wǎng)和城域網(wǎng)安全設(shè)備在全國環(huán)境信息廣域網(wǎng)和城域網(wǎng)建設(shè)中網(wǎng)絡(luò)安全設(shè)備主要是指防火墻設(shè)備、入侵檢測系統(tǒng)和網(wǎng)絡(luò)脆弱性掃描系統(tǒng)。環(huán)境保護部、省級環(huán)境保護廳（局）、地市級環(huán)境保護局必須在網(wǎng)絡(luò)節(jié)點部署防火墻、入侵檢測系統(tǒng)和網(wǎng)絡(luò)脆弱性掃描系統(tǒng)，區(qū)、縣級環(huán)境保護局可以采用軟件防火墻。5.4.2防火墻設(shè)備防火墻作為一個或一組在不同安全策略的網(wǎng)絡(luò)或安全域之間實施訪問控制的系統(tǒng)，通用技術(shù)要求分為功能、性能、安全和保證要求四大類。a)防火墻設(shè)備主要功能：4)NAT；5)動態(tài)開放端口；6)VPN；8)安全管理等。b)防火墻設(shè)備主要性能指標：3)最大并發(fā)連接數(shù)；4)最大連接速率。c)安全要求是對防火墻自身安全和防護能力提出具體的要求，例如：3)系統(tǒng)應構(gòu)建于安全增強的操作系統(tǒng)之上。d)保證要求則針對防火墻開發(fā)者和防火墻自身提出具體的要求，例如：63)指南文件等。防火墻等級分為一級、二級、三級三個逐級提高的級別，功能強弱、安全強度和保證要求高低是等級劃分的具體依據(jù)。安全等級突出安全特性，性能高低不作為等級劃分依據(jù)，詳細劃分情況見附錄D。有關(guān)防火墻設(shè)備要求詳見GB/T20281-2006。5.4.3入侵檢測設(shè)備入侵檢測設(shè)備可分為主機型入侵檢測系統(tǒng)和網(wǎng)絡(luò)型入侵檢測系統(tǒng)，可劃分為三個等級。三個逐級提高的級別，功能強弱、安全強度和保證要求高低是等級劃分的具體依據(jù)。a)入侵檢測設(shè)備主要功能：2)入侵分析；4)管理控制；5)檢測結(jié)果處理；6)安全審計。b)入侵檢測設(shè)備主要性能指標：有關(guān)入侵檢測系統(tǒng)要求詳見GB/T20275-2006。5.4.4網(wǎng)絡(luò)脆弱性掃描系統(tǒng)網(wǎng)絡(luò)脆弱性掃描是網(wǎng)絡(luò)安全防御中的一項重要技術(shù)，其原理是對采用的安全策略和規(guī)章制度進行評審，發(fā)現(xiàn)不合理的地方，采用模擬攻擊的形式對目標可能存在的已知網(wǎng)絡(luò)脆弱性進行逐項檢查，確定存在的安全隱患和風險級別。使用網(wǎng)絡(luò)脆弱性掃描產(chǎn)品可自動對計算機系統(tǒng)進行安全評估分析，對網(wǎng)絡(luò)進行檢查，發(fā)現(xiàn)其中可能被利用的脆弱性，并提出解決的建議或自動進行修復，提高網(wǎng)絡(luò)系統(tǒng)的安全性能，達到在入侵發(fā)生之前及時彌補系統(tǒng)及網(wǎng)絡(luò)安全脆弱性，消除入侵隱患的目的，保證網(wǎng)絡(luò)安全的運行。網(wǎng)絡(luò)脆弱性掃描主要功能：e)端口和服務掃描；f)授權(quán)管理員訪問；g)掃描結(jié)果分析處理；h)掃描策略定制；i)掃描對象的安全性等。網(wǎng)絡(luò)脆弱性掃描主要性能指標：a)速度；c)容錯性。有關(guān)網(wǎng)絡(luò)脆弱性掃描產(chǎn)品詳見：GB/T20278-2006和GB/T20280-2006。5.5網(wǎng)絡(luò)管理平臺5.5.1網(wǎng)絡(luò)管理軟件系統(tǒng)平臺主要功能要求故障管理a)網(wǎng)絡(luò)全面監(jiān)控，集成整個網(wǎng)絡(luò)的告警/故障事件信息，統(tǒng)一處理、呈現(xiàn)和分析告警/故障事件信息，以便提高網(wǎng)絡(luò)事件處理效率；b)實現(xiàn)告警/故障事件信息的實時交換，通過將這些事件信息進行集中的相關(guān)性和關(guān)聯(lián)性分析，可以使操作維護人員迅速找到根源問題所在，并能夠通過這些相關(guān)聯(lián)的事件信息，確定對網(wǎng)絡(luò)承載業(yè)務的影響情況。網(wǎng)絡(luò)性能管理7a)通過專用網(wǎng)絡(luò)管理工具監(jiān)測網(wǎng)絡(luò)性能，對全國環(huán)境信息網(wǎng)絡(luò)運行狀況進行監(jiān)控，通過性能管理，判斷網(wǎng)絡(luò)的運行質(zhì)量、運行效率、流量流向以及連通率水平等。網(wǎng)絡(luò)性能監(jiān)控制定性能測量的標準和手段，分析網(wǎng)絡(luò)服務的趨勢和行為，在發(fā)現(xiàn)性能下降時立即報告，使管理員及時采取措施進行處理；b)生成的性能報告必須提供實時和歷史的性能報告，可以實時查看每個性能當前的狀態(tài)和服務水平狀態(tài)，并查看詳細的性能曲線，報告包括小時、三小時、天、周、月報表。性能報表可以按照每個配置文件的要求分發(fā)到相應的Web站點上。運行在不同地點的監(jiān)視器報表可以匯集到某個集中的地點，從而可以完整地反映出服務的性網(wǎng)絡(luò)拓撲管理a)網(wǎng)絡(luò)拓撲管理系統(tǒng)能提供準確的網(wǎng)絡(luò)三層、二層連接視圖，可以清楚地反映網(wǎng)絡(luò)實際的物理連接，發(fā)現(xiàn)網(wǎng)絡(luò)拓撲結(jié)構(gòu)包括網(wǎng)絡(luò)所有節(jié)點之間的連接關(guān)系，如交換機劃分的VLAN、每個VLAN包含的端口、端口連接的節(jié)點，路由器的端口，其連接的設(shè)備，服務器或PC地址、連接在交換機的哪個端口上，通過這些網(wǎng)絡(luò)連接信息構(gòu)建完整的網(wǎng)絡(luò)拓撲視圖。在其拓撲圖中，可以準確地標識出PC或服務器是通過哪個交換機進行連接，屬于交換機的哪個VLAN，交換機與路由器之間是如何連接的，而且精確到物理端口一級；b)網(wǎng)絡(luò)拓撲管理系統(tǒng)能針對不同用戶，定制用戶的拓撲查看權(quán)限。綜合視圖呈現(xiàn)網(wǎng)絡(luò)管理軟件系統(tǒng)綜合視圖呈現(xiàn)須具備以下特點：a)靈活直觀。根據(jù)管理需要和習慣定義適合客戶的實時監(jiān)控界面，這種界面可以綜合網(wǎng)絡(luò)的信息，而不是單個功能的簡單呈現(xiàn)，因此管理界面可以更加切合運維的監(jiān)控需要和領(lǐng)導了解全網(wǎng)狀況的需要；b)集成。由于采用瀏覽器界面，不同的管理功能之間更容易集成，可以真正建立網(wǎng)管的統(tǒng)一界面，并實現(xiàn)不同功能的互操作；c)分權(quán)。不同的管理人員根據(jù)管理權(quán)限和職能，可以定義不同的管理界面，可以使用的工具，可以查看的事件，可以訪問的拓撲等等。這種分權(quán)管理能力，可以充分保證全國環(huán)境信息網(wǎng)絡(luò)管理分布式管理的需要，充分支持不同網(wǎng)絡(luò)的分權(quán)管理，保證每個操作維護人員只查看和處理自己的拓撲信息、事件信息。實現(xiàn)各網(wǎng)絡(luò)設(shè)備的統(tǒng)5.6網(wǎng)絡(luò)互連協(xié)議及典型業(yè)務協(xié)議全國環(huán)境信息網(wǎng)絡(luò)骨干網(wǎng)網(wǎng)際互連協(xié)議選擇TCP/IP協(xié)議，并基于TCP/IP協(xié)議可以開展如下典型業(yè)務。5.6.1Web業(yè)務a)基本技術(shù)：基于Web技術(shù)，為了增強多媒體檢索的功能，采用JAVA、公共網(wǎng)關(guān)接口（CGI）等技術(shù)，以適合各種場合的需要；b)協(xié)議及標準：通信協(xié)議采用超文本傳送協(xié)議（HTTP）；c)多媒體信息檢索業(yè)務可應用于新聞、信息查詢、課程培訓、文化教育、法律、法規(guī)、5.6.2E-maila)基本技術(shù)：利用電子郵件技術(shù)；b)協(xié)議及標準：通信協(xié)議采用簡單郵件傳輸協(xié)議（SMTP）、POP3；c)電子郵件業(yè)務可應用于接收信件、發(fā)送信件、文件轉(zhuǎn)發(fā)等。5.6.3FTPa)基本技術(shù)：利用異地主機的FTP文件交換或用Telnet仿真終端接入，完成遠程異地科學計算及信息處理；b)協(xié)議及標準：通信協(xié)議采用FTP等；c)科學計算及信息處理業(yè)務可應用于翻譯業(yè)務、軟件共享業(yè)務、遠程計算機輔助設(shè)計5.6.4虛擬專用網(wǎng)（VPN）業(yè)務8a)基本技術(shù)：在IP網(wǎng)上實現(xiàn)VPN業(yè)務，就是使用加密的IP隧道，實現(xiàn)專有IP包和其他網(wǎng)絡(luò)協(xié)議（IPX、NetBEUI等）包在Internet上傳輸，從而實現(xiàn)不同的虛擬專用網(wǎng)b)協(xié)議和標準：1)點對點隧道協(xié)議：點到點隧道協(xié)議（PPTP）；2)第二層隧道協(xié)議：第2層隧道協(xié)議（L2TP）；3)第三層隧道協(xié)議：通用路由協(xié)議GRE（參見RFC1071/1072c)虛擬專用網(wǎng)（VPN）業(yè)務可應用于內(nèi)聯(lián)網(wǎng)互連、外聯(lián)網(wǎng)互連、遠程用戶接入等。有關(guān)IPVPN業(yè)務的具體要求參見相關(guān)的標準。5.6.5多媒體會議業(yè)務a)基本技術(shù)。基于TCP/IP的會議業(yè)務。由于LAN上得不到穩(wěn)定的業(yè)務質(zhì)量，因而需要圖像編碼和語音編碼的尺度均可伸縮。為保證實時及同步的要求，實時信息（視頻音頻）RTP、RTCP、UDP協(xié)議棧，數(shù)據(jù)信息用TCP協(xié)議棧。為了進一步保證質(zhì)量，要有一定的信道帶寬預約機制；b)協(xié)議和標準：1)通信協(xié)議：H.323、H.225、RTP、UDP、HTTP；2)服務質(zhì)量協(xié)議：RSVP、Diffserv；3)語音編碼協(xié)議：G723.1、G.729；4)圖像編碼協(xié)議：H.263；5)多點會議協(xié)議：T.120協(xié)議、T.130協(xié)議。c)多媒體會議業(yè)務可應用于專網(wǎng)或虛擬專網(wǎng)中的多媒體會議業(yè)務、公眾多點多媒體會5.7全國環(huán)保系統(tǒng)IP地址規(guī)劃5.7.1原則a)全國環(huán)保系統(tǒng)網(wǎng)絡(luò)地址統(tǒng)一規(guī)劃，中央和地方分級管理，支持各部門、各地方網(wǎng)絡(luò)b)IP地址的分配應具有層次性、連續(xù)性，以提高IP地址利用率、減少路由表表項。5.7.2全國環(huán)保系統(tǒng)網(wǎng)絡(luò)地址全國環(huán)保系統(tǒng)網(wǎng)絡(luò)地址包括用戶地址和互聯(lián)共享地址。各部門內(nèi)部網(wǎng)絡(luò)使用用戶地址，部門間、系統(tǒng)間網(wǎng)絡(luò)互通使用互聯(lián)共享地址。a)用戶地址，是指部門內(nèi)部網(wǎng)絡(luò)的設(shè)備地址和接入全國環(huán)境信息網(wǎng)絡(luò)所需使用的地址，包括個人主機地址、部門網(wǎng)絡(luò)設(shè)備地址、部門應用服務器地址等。此地址作為全國環(huán)境信息網(wǎng)絡(luò)內(nèi)部地址專用，不使用于互聯(lián)網(wǎng)；b)互聯(lián)共享地址，是指全國環(huán)境信息網(wǎng)絡(luò)中提供信息服務的主機地址，該地址能夠在整個政務外網(wǎng)范圍內(nèi)被訪問?；ヂ?lián)共享地址包括鏈路地址（網(wǎng)絡(luò)設(shè)備間的點對點互聯(lián)地址）和設(shè)備管理地址，互聯(lián)共享地址分配到用戶接入設(shè)備的上連（網(wǎng)絡(luò)側(cè)）端5.8全國環(huán)保系統(tǒng)域名管理5.8.1原則a)全國環(huán)保系統(tǒng)網(wǎng)絡(luò)的域名系統(tǒng)統(tǒng)籌規(guī)劃，中央和地方分級管理；b)域名命名主要采用中文域名，輔以英文域名。中文域名的命名應符合中文書寫的特c)全國環(huán)保系統(tǒng)電子政務內(nèi)網(wǎng)域名系統(tǒng)采用三級域名管理，全國環(huán)保系統(tǒng)電子政務外網(wǎng)域名系統(tǒng)可采用多級域名管理。5.8.2中文域名使用原則a)不使用含有“China”、“Chinese”、“CN”、“National”、“中國”、“中華”字樣的名稱；b)不應使用其他國家或地區(qū)名稱、國外地名、國際組織名稱；9c)不應使用行業(yè)名稱或商品名稱；d)不應使用他人已在中國注冊過的企業(yè)名稱或者商標名稱；e)不應使用對國家、社會或者公共利益有損害的名稱。語法域::=<子域><子域>::=<頂級域>|<子域><分隔符><標記><頂級域>::=<漢字串><漢字串>::=<漢字>|<漢字串><漢字><標記>::=<字符>|<標記><字符><字符>::=<漢字>|<字母>|<數(shù)字>|<連字符><數(shù)字>::=[0..9]<連字符>::=-在中文域名中，不區(qū)分英文字母大小寫，即A和a在域名中是等同的。域名必須以漢字、字母或數(shù)字開始，以漢字、字母或數(shù)字結(jié)束，內(nèi)部可以使用漢字、字母、數(shù)字和連字符。域名字段必須小于64個字節(jié)。-2005中規(guī)定的字符。為了區(qū)分中文域名和英文域名，所輸入的中文域名應當至少出現(xiàn)一個非GB/T1988-19985.8.3結(jié)構(gòu)中文域名采用三級結(jié)構(gòu)。其中地方名稱按照GB/T2260的規(guī)定命名。5.8.4英文域名英文域名使用原則同中文域名使用原則，見。全國環(huán)保系統(tǒng)在全國環(huán)境信息網(wǎng)絡(luò)中使用的域名均從各級環(huán)境保護部門環(huán)境信息主管部門申請域名。次一級域名為各省級環(huán)境保護廳（局）名，再下一級域名由分配到次一級域名的各省自定，各下級單位域名由上級部門統(tǒng)一管理。全國環(huán)境信息網(wǎng)絡(luò)系統(tǒng)域名命名規(guī)則6全國環(huán)境信息局域網(wǎng)網(wǎng)絡(luò)建設(shè)6.1環(huán)保系統(tǒng)電子政務內(nèi)網(wǎng)局域網(wǎng)網(wǎng)絡(luò)建設(shè)6.1.1網(wǎng)絡(luò)平臺網(wǎng)絡(luò)選型網(wǎng)絡(luò)結(jié)構(gòu)選用星型拓撲結(jié)構(gòu)，支持或擴展后能夠支持三層交換技術(shù)；局域網(wǎng)應使用TCP/IP協(xié)議，所需IP地址要使用私有內(nèi)部地址，內(nèi)部IP地址的使用必須由各單位、各部門統(tǒng)一規(guī)劃，統(tǒng)一配置；局域網(wǎng)須支持以太網(wǎng)協(xié)議，網(wǎng)絡(luò)主干的傳輸速率不低于1000Mbit/s，到桌面的傳輸速率不低于100Mbit/s。網(wǎng)絡(luò)接口設(shè)備核心網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)接口速率不低于1000Mbit/s；網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)接口速率不低于100Mbit/s；為客戶端提供接入服務的交換設(shè)備接口速率不低于100Mbit/s。核心應用服務器端均應配備速率不低于1000Mbit/s的網(wǎng)絡(luò)接口卡；普通應用服務器端均應配備速率不低于100Mbit/s的網(wǎng)絡(luò)接口卡；客戶端應盡量選用兼容性強的網(wǎng)卡，并且傳輸速率不低于100Mbit/s。網(wǎng)絡(luò)交換設(shè)備網(wǎng)絡(luò)交換設(shè)備主要應用于局域網(wǎng)網(wǎng)絡(luò)建設(shè)，分為匯聚層交換設(shè)備和接入層交換設(shè)備，匯聚層交換設(shè)備應使用千兆比以太網(wǎng)第3層交換設(shè)備，接入層交換設(shè)備應使用千兆比以太網(wǎng)第2層交換設(shè)備。千兆比以太網(wǎng)第3層交換設(shè)備是擁有第3層路由功能的以太網(wǎng)交換設(shè)備，其主要功能包b)邏輯鏈路層功能；c)數(shù)據(jù)幀轉(zhuǎn)發(fā)功能；d)數(shù)據(jù)幀過濾功能；f)路由信息維護功能；g)維護決定數(shù)據(jù)幀轉(zhuǎn)發(fā)及過濾的信息；h)運行維護和網(wǎng)絡(luò)管理功能。除實現(xiàn)數(shù)據(jù)幀轉(zhuǎn)發(fā)功能外，第3層交換設(shè)備還能根據(jù)收到的數(shù)據(jù)包中網(wǎng)絡(luò)層地址以及交換設(shè)備內(nèi)部維護的路由表決定輸出端口以及下一條交換設(shè)備地址或主機地址，并且重寫鏈路層數(shù)據(jù)包頭。第3層交換設(shè)備路由表必須動態(tài)維護來反映當前的網(wǎng)絡(luò)拓撲。有關(guān)千兆比以太網(wǎng)第3層交換設(shè)備詳細要求見YD/T1099-2001。千兆比以太網(wǎng)第2層交換設(shè)備通常擁有多個千兆比特以太網(wǎng)口，以硬件實現(xiàn)MAC層報轉(zhuǎn)發(fā)。其主要功能包括：b)業(yè)務量控制功能；c)VLAN功能；d)支持組播功能；e)支持帶寬管理；g)支持生成樹功能。有關(guān)千兆比以太網(wǎng)第2層交換設(shè)備詳細要求見YD/T1099-2001。網(wǎng)絡(luò)服務器在服務器的選型標準上，應考慮Web服務器、應用服務器、數(shù)據(jù)庫服務器等，以保證數(shù)據(jù)庫資源中心數(shù)據(jù)的統(tǒng)一、完整、安全的存放。服務器需要有強大的數(shù)據(jù)處理能力，提供并行處理功能和負載均衡措施。當多個用戶同時在線訪問數(shù)據(jù)庫時，保證系統(tǒng)能夠正常運行；當系統(tǒng)未來的業(yè)務量增加時，應通過系統(tǒng)升級平滑地適應用戶的要求；作為系統(tǒng)的核心處理部件，服務器應有足夠的容量，提供海量級數(shù)據(jù)的存儲能力和強大的處理能力，保障高響應速度；它應具備可靠的數(shù)據(jù)備份和恢復工具，應付可能出現(xiàn)的意外；服務器應具有高度的可靠性、可用性，保證系統(tǒng)能夠長時間無故障運行。因此，服務器的設(shè)計與選型必須滿足如下a)一體化原則：對于硬件產(chǎn)品和系統(tǒng)軟件應作為一個有機的整體來考慮，包括包內(nèi)部各組成部分的合理性、兼容性和一致性。因此需考慮硬件產(chǎn)品與系統(tǒng)軟件之間的合理性、兼容性和一致性；b)兼容性和可擴展性：考慮到整個國家環(huán)境數(shù)據(jù)中心，以及整個環(huán)境數(shù)據(jù)共享平臺建設(shè)項目，從目前和發(fā)展的角度考慮各種軟硬系統(tǒng)的兼容性和可擴展性；c)可靠性，易維護原則：要求選擇成熟、可靠的主流產(chǎn)品，保證系統(tǒng)高可靠性，高可管理性，易操作性，有良好的售后服務和承諾支持；d)標準化原則：所選產(chǎn)品需遵循國際通用標準和行業(yè)規(guī)范；e)前瞻性原則：所選服務器必須是當前成熟的產(chǎn)品，同時還應滿足先進性要求。在網(wǎng)絡(luò)服務器選型中，如使用計算機集群技術(shù)、負載均衡技術(shù)、單元組合技術(shù)，配以N層模式，還需考慮：a)采用高可用集群系統(tǒng)，保證系統(tǒng)的不間斷運行；必須具有足夠的CPU處理能力、內(nèi)存、外存容量；b)CPU數(shù)量、內(nèi)存、內(nèi)置或外置硬盤容量、I/O及系統(tǒng)本身都有能滿足未來要求的擴展能力，以適應處理大數(shù)據(jù)量及系統(tǒng)發(fā)展的需要；c)數(shù)據(jù)的存放采用高可靠性的數(shù)據(jù)存儲管理系統(tǒng)，并對重要的數(shù)據(jù)有可靠的備份機制，硬盤應具有工業(yè)標準的熱插拔功能，保證更換硬盤時系統(tǒng)仍能繼續(xù)正常運行；d)操作系統(tǒng)必須具有C2級以上的安全性，運行穩(wěn)定可靠，支持大規(guī)模數(shù)據(jù)庫系統(tǒng)，界面友好，方便管理維護和應用軟件開發(fā)，并保證應用軟件有良好的可移植性。6.1.2網(wǎng)絡(luò)存儲設(shè)備存儲設(shè)備可根據(jù)實際需求選用容量合適的存儲設(shè)備，選用專門的存儲備份系統(tǒng)和專用的備份服務器，并制定相應的存儲備份及恢復方案。如大容量硬盤、磁盤陣列、帶庫、備份軟6.1.3網(wǎng)絡(luò)綜合布線綜合布線系統(tǒng)應在充分考慮信息點分布和數(shù)量的基礎(chǔ)上，統(tǒng)籌規(guī)劃，合理設(shè)計，精心施工。信息點分布和數(shù)量應至少能滿足未來5-10年內(nèi)的應用和用戶需求，避免短期內(nèi)重復施在綜合布線系統(tǒng)中，布線硬件主要包括：配線架、傳輸介質(zhì)、通信插座、插座板、線槽和管道等。綜合布線包括六個子系統(tǒng)：工作區(qū)子系統(tǒng)、水平布線子系統(tǒng)、管理子系統(tǒng)、干線子系統(tǒng)、設(shè)備間子系統(tǒng)和建筑群主干子系統(tǒng)。關(guān)于網(wǎng)絡(luò)綜合布線標準詳見：GB/T18233-2008；GB/T50311-2007；GB/T50312-2007。6.1.4安全平臺網(wǎng)絡(luò)防病毒系統(tǒng)局域網(wǎng)內(nèi)計算機在20臺以上的網(wǎng)絡(luò)中應部署網(wǎng)絡(luò)版防病毒系統(tǒng)，20臺以下的網(wǎng)絡(luò)中可部署單機版防病毒軟件。a)網(wǎng)絡(luò)版防病毒系統(tǒng)便于維護和管理，安裝專用的集中管理服務器，用做病毒的防、控系統(tǒng)中心。這個監(jiān)控中心應具備以下功能：1)強大、靈活的管理和任務調(diào)度手段，可以通過中心控制臺，集中地實現(xiàn)全網(wǎng)范圍內(nèi)防毒策略的定制、分發(fā)和執(zhí)行；2)通過控制臺，集中地實現(xiàn)所有節(jié)點上防毒軟件的監(jiān)控、配置、查詢等管理工作。能夠通過控制臺看到客戶端的病毒版本、查殺毒記錄及各種日志信息；3)負責病毒掃描引擎和代碼庫的更新，并能將此掃描引擎和代碼庫自動提供給各種服務器和工作站；4)提供多種軟件安裝和軟件升級的手段，必須提供遠程安裝客戶端、基于WEB的軟件安裝和手動、定時病毒庫版本升級功能；5)提供遠程病毒報警手段，網(wǎng)內(nèi)任何一臺計算機上發(fā)現(xiàn)病毒時，殺毒軟件自動將病毒信息傳遞給網(wǎng)絡(luò)防病毒監(jiān)控中心；6)分組管理：對所有的網(wǎng)絡(luò)終端結(jié)點進行任意分組?？蓪⒉煌锢淼攸c的服務器分組，對于客戶端也可根據(jù)配置的需要分組，包括設(shè)置客戶端密碼、實時監(jiān)控客戶端配置、統(tǒng)一刷新客戶端狀態(tài)、統(tǒng)一發(fā)送廣播、查詢歷史記錄等。不同組可以執(zhí)行不同的防病毒策略；7)傳染源統(tǒng)計功能：網(wǎng)絡(luò)中一旦有病毒發(fā)作，部署防病毒軟件的眾多機器就可以將傳染源機器的IP或機器名記錄下來，在管理控制臺上生成傳染源排行榜，便于掌握網(wǎng)絡(luò)中的薄弱節(jié)點并快速采取措施；8)掃描有防病毒部署漏洞的計算機：通過防毒系統(tǒng)自帶的客戶機漏洞掃描工具，可以將網(wǎng)絡(luò)中所有客戶機做一個整體的掃描，將沒有安裝防病毒客戶端軟件的計算機的IP地址，計算機名字，操作系統(tǒng)等詳細的信息生成報表，便于防病毒管理人員及時定位網(wǎng)絡(luò)中未安裝防病毒軟件的計算機；b)網(wǎng)絡(luò)防病毒系統(tǒng)客戶端基本功能：1)應用層病毒的防護：客戶機的文件共享，訪問WEB網(wǎng)頁，客戶端收發(fā)郵件等應用進行全面防護，徹底消除應用層病毒對客戶機的破壞，保證所有用戶都有一個干凈、安全的平臺；2)網(wǎng)絡(luò)層病毒的防護：直接在網(wǎng)絡(luò)層針對像沖擊波、震蕩波等病毒的攻擊包進行清除，降低的網(wǎng)絡(luò)病毒的危害，提高了病毒的防護效果；3)病毒爆發(fā)阻止策略：應用該策略能夠有選擇性的關(guān)閉某些病毒攻擊網(wǎng)絡(luò)服務器和客戶機的端口或共享文件夾等，從而阻擋大量的蠕蟲病毒在網(wǎng)絡(luò)中大面積爆發(fā)，保護用戶網(wǎng)絡(luò)中的所有計算機不受到病毒攻擊。當網(wǎng)絡(luò)內(nèi)部不幸遭遇到新病毒攻擊而病毒碼尚未更新時，利用病毒爆發(fā)阻止策略能夠?qū)⑿虏《舅玫木W(wǎng)絡(luò)漏洞和系統(tǒng)漏洞完全堵死，使尚未入侵的病毒無法入侵，使已經(jīng)入侵的病毒無法擴散；4)集成網(wǎng)絡(luò)版防火墻和IDS抵御復合式攻擊：通過防火墻在客戶機和網(wǎng)絡(luò)之間創(chuàng)建屏障，來幫助保護客戶機免受黑客和網(wǎng)絡(luò)病毒的侵擾，同時，IDS確?？蛻魴C不受到內(nèi)部或外部的入侵攻擊，確保內(nèi)部網(wǎng)絡(luò)計算機的系統(tǒng)安全和資料安5)集成病毒專殺工具，清除病毒更徹底：病毒專殺工具和客戶端防病毒軟件無縫集成，專殺工具的掃描引擎和病毒碼可以自動更新；6)抵御間諜軟件和其他類型灰件的侵害：防病毒網(wǎng)絡(luò)版下載間諜軟件/灰件特征碼文件以保護網(wǎng)絡(luò)內(nèi)計算機免受病毒之外各種潛在威脅（包括廣告軟件和間諜軟件）的侵害。c)單機版防病毒軟件可以參照b）網(wǎng)絡(luò)防病毒系統(tǒng)客戶端基本功能。網(wǎng)絡(luò)安全域邏輯劃分環(huán)保系統(tǒng)電子政務內(nèi)網(wǎng)安全域只包含內(nèi)部域。內(nèi)部域主要是指內(nèi)部局域網(wǎng)的辦公、運維和應用計算機，在內(nèi)部域中又可以劃分為：各業(yè)務用戶域（按照職能部門）、內(nèi)部平臺域、管理員域等。各業(yè)務用戶域主要是指辦公人員按照所在職能部門劃分的邏輯區(qū)域；內(nèi)部平臺域主要是指內(nèi)部應用服務器；管理員域是指運維人員辦公設(shè)備所在用區(qū)域。在環(huán)保系統(tǒng)電子政務內(nèi)網(wǎng)建設(shè)中通過配置三層交換設(shè)備來劃分內(nèi)部域，將各業(yè)務用戶域按照辦公人員所在職能部門劃分VLAN，將內(nèi)部平臺域和管理員域劃分VLAN，并可根據(jù)業(yè)務需求劃分更多的VLAN。6.1.5用戶平臺用戶平臺用戶平臺主要包括客戶計算機、桌面操作系統(tǒng)、瀏覽器及客戶端應用軟件等。用戶操作系統(tǒng)計算機需安裝具有較強網(wǎng)絡(luò)功能的操作系統(tǒng)。系統(tǒng)應操作便捷，運行穩(wěn)定，具備容錯能力和故障恢復能力，支持圖像、圖形界面、視頻、音頻等多媒體功能，支持漢字輸入（國標碼）環(huán)境，支持多客戶、多線程、多處理工作方式。用戶應用軟件用戶計算機應安裝計算機防病毒客戶端、Web瀏覽器、辦公管理軟件等應用軟件。對于帶有安全漏洞，黑客程序的應用軟件嚴禁下載和安裝。6.2環(huán)保系統(tǒng)電子政務外網(wǎng)局域網(wǎng)網(wǎng)絡(luò)建設(shè)6.2.1網(wǎng)絡(luò)平臺網(wǎng)絡(luò)選型網(wǎng)絡(luò)結(jié)構(gòu)選用星型拓撲結(jié)構(gòu)，支持或擴展后能夠支持三層交換技術(shù)；局域網(wǎng)應使用TCP/IP協(xié)議，所需IP地址應使用私有內(nèi)部地址，內(nèi)部IP地址的使用必須由各單位、各部門統(tǒng)一規(guī)劃，統(tǒng)一配置；局域網(wǎng)須支持以太網(wǎng)協(xié)議，網(wǎng)絡(luò)主干的傳輸速率不低于1000Mbit/s，到桌面的傳輸速率不低于100Mbit/s。網(wǎng)絡(luò)傳輸設(shè)備核心應用服務器端均應配備速率不低于1000Mbit/s的網(wǎng)絡(luò)接口卡；普通應用服務器端均應配備速率不低于100Mbit/s的網(wǎng)絡(luò)接口卡；客戶端應盡量選用兼容性強的網(wǎng)卡，并且傳輸速率不低于100Mbit/s。網(wǎng)絡(luò)交換設(shè)備見。網(wǎng)絡(luò)服務器見。6.2.2網(wǎng)絡(luò)存儲設(shè)備見6.1.2。6.2.3網(wǎng)絡(luò)綜合布線見6.1.3。6.2.4安全平臺網(wǎng)絡(luò)防病毒系統(tǒng)見。網(wǎng)絡(luò)安全域邏輯劃分環(huán)保系統(tǒng)電子政務外網(wǎng)安全域可以劃分為三個大區(qū)域，分別是外部域、共享域（DMZ區(qū)域）和內(nèi)部域，安全等級從低到高，內(nèi)容如下：a)外部域主要是指各級環(huán)境保護部門連接的外部網(wǎng)絡(luò)；b)共享域（DMZ區(qū)域）主要指各級環(huán)境保護部門與外部接入部分和對外提供服務的邏輯邊界部分，如各級環(huán)境保護部門對外提供訪問的WEB服務器、MAIL服務器c)內(nèi)部域主要是指局域網(wǎng)的辦公、運維和應用計算機，在內(nèi)部域中又可以劃分為：各業(yè)務用戶域（按照職能部門）、內(nèi)部平臺域、管理員域等。各業(yè)務用戶域主要是指辦公人員按照所在職能部門劃分的邏輯區(qū)域；內(nèi)部平臺域主要是指內(nèi)部應用服務器，不需要向外發(fā)布的邏輯區(qū)域；管理員域是指運維人員辦公設(shè)備所在用區(qū)域。在環(huán)境信息網(wǎng)絡(luò)電子政務外網(wǎng)建設(shè)中可以通過配置防火墻來劃分外部域、接入域和內(nèi)部域這三大區(qū)域；通過配置三層交換設(shè)備來劃分內(nèi)部域，將各業(yè)務用戶域按照辦公人員所在職能部門劃分VLAN，將內(nèi)部平臺域和管理員域劃分VLAN，并根據(jù)業(yè)務需求劃分更多的VLAN。7全國環(huán)境信息網(wǎng)絡(luò)機房建設(shè)7.1機房建設(shè)的基本要求a)合理分布工作空間及各類設(shè)備安裝場所，縮短工藝流程，降低勞動強度，提高工作效率，確保電子設(shè)備系統(tǒng)穩(wěn)定可靠運行，保障機房工作人員良好的工作環(huán)境，并且以國家有關(guān)標準及規(guī)范為依據(jù)；b)根據(jù)實際需求與現(xiàn)場實際情況以及電子設(shè)備系統(tǒng)實際操作運行等情況進行設(shè)計，力求在設(shè)計、選材中做到整體布局的合理化和科學化；c)機房各項功能完整配套，達到專業(yè)規(guī)范、技術(shù)先進、經(jīng)濟合理、安全適用、質(zhì)量優(yōu)d)在經(jīng)濟實用的前提下，選擇優(yōu)質(zhì)機房專用裝修材料，主體裝修材料宜選用吸音效果e)室內(nèi)控制設(shè)備、電器設(shè)備、布線系統(tǒng)的選材注重其可靠性，全部采用符合國家標準的優(yōu)質(zhì)產(chǎn)品，以確保系統(tǒng)投入運行后故障率為最低。7.2機房環(huán)境機房環(huán)境應符合GB50174和GB/T2887的規(guī)定。7.3不間斷電源（UPS）7.3.1UPS額定輸出容量應根據(jù)所用設(shè)備的負荷量統(tǒng)計值來選擇所需的UPS輸出功率（KVA值）。為確保UPS系統(tǒng)的效率和盡可能延長UPS的使用壽命，一般推薦參數(shù)是：a)用戶的負載量僅占UPS的輸出功率的60%-70%為宜；b)盡可能先用單臺大容量UPS實踐；采用單臺容量較大的UPS集中供電方式，不僅有利于集中管理UPS，有效利用電池能量，而且降低了UPS的故障率。7.3.2UPS機型根據(jù)不同配送系統(tǒng)，有三種UPS機型可供選擇。a)單進（220V輸入）/單出（220V輸出）機型：選用此機型時，用戶須考慮市電配電的三相均衡帶載問題；b)三進（380V輸入）/單出（220V輸出）機型：用戶應為它的交流旁路市電輸入的相線和中線配置可單相承擔UPS額定輸出電流的導線截面積；c)三進（380V輸入）/三出（380V輸出）機型：用戶應將UPS輸出端的負載不平衡度控制在不超過30%-40%范圍內(nèi)。7.3.3UPS容錯冗余供電系統(tǒng)對供電質(zhì)量要求很高的計算中心、網(wǎng)管中心，為確保對負載供電的萬無一失，常需要采用如下幾種具有“容錯”功能的冗余供電系統(tǒng)：a)主機-從機型“熱備份”冗余供電系統(tǒng)，其結(jié)構(gòu)形式是將主機UPS的交流旁路連接到從機UPS的逆變器電源輸出端，當主機UPS出故障時，改由從機UPS帶載。由于這種冗余工作方式?jīng)]有“擴容”功能和可能出現(xiàn)4MS的供電中斷，而使其應用范圍有限；b)“1+1”型直接并機冗余供電系統(tǒng)，它是通過將兩臺具有相同功率UPS的輸出置于同幅度、同相位和同頻率的狀態(tài)而直接并聯(lián)起來。正常工作時，由兩臺UPS各承負載電流，當其中一臺UPS出故障時，由剩下的一臺UPS來承擔全部負載。這種并機系統(tǒng)的平均故障工作時間MTBF是單機UPS的7-8倍，從而大大提高系統(tǒng)的可靠性；c)多機直接并機冗余供電系統(tǒng)，某些UPS，可以將多臺UPS以“N+1”冗余方式直接并機工作。請注意：隨著多臺并機系統(tǒng)中的N數(shù)量增大，并機系統(tǒng)的MTBF值會逐漸下降。因此，在條件允許時，應盡可能減少多機并機系統(tǒng)中UPS單機的數(shù)量。7.3.4UPS運行環(huán)境a)應將UPS用蓄電池組置于20℃-25℃的環(huán)境下運行，無論UPS的充電器是否具有充電溫度補償功能，都必須將UPS用的蓄電池置于20℃-25℃范圍內(nèi)。過低的環(huán)境溫度會造成蓄電池的放電容量下降，超過25℃時，會造成蓄電池的使用壽命縮短；b)對于后備時間長，需要電池較多的UPS電源，應考慮機房的單位面積承重量；c)UPS應具備網(wǎng)管功能，可以進行遠程的監(jiān)測控制。7.3.5UPS供電系統(tǒng)中的中線截面積鑒于計算機和通訊設(shè)備等非線性負載均屬于“整流濾波型”負載，從而造成流過供電系統(tǒng)中的中線電流急劇增大，為防止因中線過流或中線電壓過高而造成不必要的麻煩，應將中線的截面積加粗為相線的1.5-2倍。7.3.6其他宜選用具有雙原邊繞組（交流旁路和逆變器）輸出隔離變壓器的UPS機型，大量運行實踐證明，如果出現(xiàn)在UPS輸出端的中線對地線的“干擾”電位過高，會導致計算機網(wǎng)絡(luò)的數(shù)據(jù)通訊的誤碼率增高。7.4機房空氣調(diào)節(jié)系統(tǒng)機房空氣調(diào)節(jié)系統(tǒng)應符合GB50174的規(guī)定。7.5機房消防機房消防應符合GB50174的規(guī)定。7.6防雷、接地保護系統(tǒng)機房防雷、接地保護系統(tǒng)應符合GB50057；GB50169；GB/T2887的規(guī)定。8全國環(huán)境信息網(wǎng)絡(luò)驗收測試8.1驗收測試范圍測試范圍包括廣域網(wǎng)和城域網(wǎng)鏈路測試、局域網(wǎng)系統(tǒng)測試、網(wǎng)絡(luò)設(shè)備測試等。8.2驗收測試方法驗收測試方法應符合GB/T21671-2008的規(guī)定。8.3驗收測試項目8.3.1傳輸媒體要求雙絞線布線系統(tǒng)局域網(wǎng)系統(tǒng)的傳輸媒體一般采用五類、超五類或六類等非屏蔽（屏蔽）雙絞線布線系統(tǒng)。雙絞線布線系統(tǒng)的傳輸指標、傳輸性能和測試方法應符合GB/T50311-2007、GB/T50312-2007、GB/T18233、IEC61935:2005等標準的規(guī)定。多模、單模光纜布線系統(tǒng)根據(jù)傳輸距離的長短，局域網(wǎng)系統(tǒng)可采用多?；騿文９饫|布線系統(tǒng)。光纜布線系統(tǒng)的傳輸指標和測試方法應符合GB/T50311-2007、GB/T50312-2007、IEC61280-4-1:2003、IEC61280-4-2:1999等標準的規(guī)定。8.3.2網(wǎng)絡(luò)設(shè)備要求集線器集線器的端口密度、數(shù)據(jù)幀轉(zhuǎn)發(fā)功能應達到產(chǎn)品的明示要求。相應的測試方法應符合RFC2544的規(guī)定。交換機交換機的端口密度、數(shù)據(jù)幀轉(zhuǎn)發(fā)功能、數(shù)據(jù)幀過濾功能、數(shù)據(jù)幀轉(zhuǎn)發(fā)及過濾的信息維護功能、運行維護功能、網(wǎng)絡(luò)管理功能及性能指標應符合YD/T1099-2005、YD/T1255-2003的規(guī)定和產(chǎn)品明示要求。相應的測試方法應符合YD/T1141-2001、YD/T1287-2003的規(guī)定。路由器路由器設(shè)備的接口功能、通信協(xié)議功能、數(shù)據(jù)包轉(zhuǎn)發(fā)功能、路由信息維護、管理控制功能、安全功能及性能指標應符合YD/T1096-2001、YD/T1097-2001的規(guī)定及產(chǎn)品明示要求。相應的測試方法應符合YD/T1098-2001、YD/T1156-2001的規(guī)定。防火墻防火墻設(shè)備，則設(shè)備的用戶數(shù)據(jù)保護功能、識別和鑒別功能、密碼功能、安全審計功能及性能指標應符合GB/T20281-2006的規(guī)定及產(chǎn)品明示要求。相應的測試方法應符合GA8.4局域網(wǎng)絡(luò)性能驗收測試要求局域網(wǎng)絡(luò)性能驗收測試方法應符合GB/T21671-2008的規(guī)定。8.5環(huán)境信息網(wǎng)絡(luò)驗收測試文檔要求8.5.1項目概況及建設(shè)需求主要包括項目建設(shè)單位、設(shè)計單位、實施單位、項目規(guī)模，項目功能要求、項目技術(shù)指8.5.2設(shè)計方案主要包括用戶需求分析、組網(wǎng)方案、設(shè)備選型、網(wǎng)絡(luò)拓撲圖、配置功能說明、設(shè)計變更8.5.3線路接線表和設(shè)備布置圖主要包括綜合布線系統(tǒng)、局域網(wǎng)系統(tǒng)的設(shè)備布置圖、線路端接及配線架描述文件、線路端點對應表。8.5.4系統(tǒng)參數(shù)設(shè)定表主要包括IP地址分配表、子網(wǎng)劃分表、VLAN劃分表、路由表。8.5.5用戶操作和維護手冊主要包括系統(tǒng)操作說明，系統(tǒng)安裝、恢復和數(shù)據(jù)備份說明。主要包括綜合布線系統(tǒng)的自測報告、局域網(wǎng)系統(tǒng)的自測報告。8.5.7第三方測試報告綜合布線系統(tǒng)的第三方驗收測試報告、網(wǎng)絡(luò)設(shè)備的第三方抽查測試報告。8.5.8試運行報告主要包括局域網(wǎng)系統(tǒng)試運行期間的運行記錄、故障處理情況、硬件和軟件系統(tǒng)調(diào)整情況。8.5.9用戶報告用戶方針對局域網(wǎng)系統(tǒng)使用情況而出具的報告。全國環(huán)境信息網(wǎng)絡(luò)系統(tǒng)域名命名規(guī)則A.1頂級域名全國統(tǒng)一采用zhbA.2二級域名環(huán)境保護部、省級環(huán)境保護廳（局）用部門或單位的漢語拼音縮寫，其中，環(huán)境保護廳（局）縮寫為hb，如遼寧省環(huán)境保護局縮寫為lnhb，域名中省、直轄市、自治區(qū)的縮寫遵照《中國互聯(lián)網(wǎng)絡(luò)域名注冊暫行管理辦法》執(zhí)行。環(huán)境保護部直屬單位按單位簡稱的漢語拼音縮寫，如環(huán)境保護部信息中心縮寫為xxzx。詳見表A.1。各市、縣級環(huán)境保護局域名可由上級單位統(tǒng)一規(guī)劃制定。表A.1環(huán)境信息網(wǎng)絡(luò)系統(tǒng)二級域名表序號組織名二級域名1環(huán)境保護部zhb省級環(huán)境保護部門1北京市bjhb2天津市tjhb3河北省hehb4sxhb5內(nèi)蒙古自治區(qū)nmghb6遼寧省lnhb7吉林省jlhb8黑龍江省hljhb9上海市shhb江蘇省jshb浙江省zjhb安徽省ahhb福建省fjhb江西省jxhbsdhb河南省hahb湖北省hbhb湖南省hnhb廣東省gdhb20廣西壯族自治區(qū)gxhb21海南省hihb22重慶市cqhb23schb24貴州省gzhb25云南省ynhb26西藏自治區(qū)xzhb27snhb28甘肅省gshb29青海省qhhb序號組織名二級域名寧夏回族自治區(qū)nxhb新疆維吾爾自治區(qū)xjhb新疆生產(chǎn)建設(shè)兵團xjbthb計劃單列市環(huán)境保護局1大連市環(huán)境保護局dlhb2寧波市環(huán)境保護局nbhb3廈門市環(huán)境保護局xmhb4青島市環(huán)境保護局qdhb5深圳市環(huán)境保護局szhb環(huán)境保護部直屬單位、派出機構(gòu)1環(huán)境保護部應急與事故調(diào)查中心yjsgdczx2中國環(huán)境科學研究院zghjkxy3中國環(huán)境監(jiān)測總站zghjjczz4中日友好環(huán)境保護中心zryhhjbhzx5中國環(huán)境報社zghjbs6中國環(huán)境科學出版社zghjkxcbs7環(huán)境保護部核安全中心haqzx8環(huán)境保護部環(huán)境保護對外合作中心hjbhdwhzzx9環(huán)境保護部南京環(huán)境科學研究所njhjkxyjs環(huán)境保護部華南環(huán)境科學研究所hnhjkxyjs環(huán)境保護部環(huán)境規(guī)劃院hjghy環(huán)境保護部環(huán)境工程評估中心hjgcpgzx環(huán)境保護部華北環(huán)境保護督查中心hbhjbhdczx環(huán)境保護部華東環(huán)境保護督查中心hdhjbhdczx環(huán)境保護部華南環(huán)境保護督查中心hnhjbhdczx環(huán)境保護部東北環(huán)境保護督查中心dbhjbhdczx環(huán)境保護部西北環(huán)境保護督查中心xbhjbhdczx環(huán)境保護部西南環(huán)境保護督查中心xnhjbhdczx環(huán)境保護部北方核安全監(jiān)督站bfhaqjdz20環(huán)境保護部上海核安全監(jiān)督站shhaqjdz21環(huán)境保護部廣東核安全監(jiān)督站gdhaqjdz22環(huán)境保護部四川核安全監(jiān)督站schaqjdz23環(huán)境保護部東北核與輻射安全監(jiān)督站dbhfsaqjdz24環(huán)境保護部西北核與輻射安全監(jiān)督站xbhfsaqjdz25中國環(huán)境科學學會zghjkxxh26中國環(huán)境保護產(chǎn)業(yè)協(xié)會zghjbhcyxh27中華環(huán)境保護基金會zhhjbhjjh28中國環(huán)境文化促進會zghjwhcjh29中國環(huán)境新聞工作者協(xié)會zghjxwgzzxh中華環(huán)保聯(lián)合會zhhblhh環(huán)境保護部北京會議與培訓基地bjhypxjd環(huán)境保護部北戴河技術(shù)交流中心bdhjsjlzx環(huán)境保護部興城環(huán)境管理研究中心xchjglyjzxA.3三級和三級以下域名三級和三級以下域名由省級環(huán)境保護管理部門自行規(guī)劃。本標準中的域名作為全國環(huán)境信息網(wǎng)絡(luò)專有域名。各單位可參考制定互聯(lián)網(wǎng)域名命名規(guī)則，未注冊部門或單位可參照本標準注冊域名，已注冊并正在應用的域名不要求注銷。全國環(huán)境信息網(wǎng)絡(luò)IP地址規(guī)劃表全國環(huán)境信息網(wǎng)絡(luò)IP地址規(guī)劃表，包括各局域網(wǎng)絡(luò)IP地址、備用網(wǎng)絡(luò)IP地址、網(wǎng)絡(luò)設(shè)備IP地址。見表B.1。表B.1全國環(huán)境信息網(wǎng)絡(luò)IP地址規(guī)劃表序號單位名稱局域網(wǎng)絡(luò)IP地址1環(huán)境保護部/1610.101-104.0.0/1610.1-9.10.0/24省級環(huán)境保護部門1北京市/1610.105-108.0.0/1610.1-9.11.0/242天津市/1610.109-112.0.0/1610.1-9.12.0/243河北省/1610.121-124.0.0/1610.1-9.13.0/244/1610.125-128.0.0/1610.1-9.14.0/245/1610.129-132.0.0/1610.1-9.15.0/246遼寧省/1610.133-136.0.0/1610.1-9.21.0/247吉林省/1610.137-140.0.0/1610.1-9.22.0/248黑龍江省/1610.141-144.0.0/1610.1-9.23.0/249上海市/1610.113-116.0.0/1610.1-9.31.0/24江蘇省/1610.145-148.0.0/1610.1-9.32.0/24浙江省/1610.149-152.0.0/1610.1-9.33.0/24安徽省/1610.153-156.0.0/1610.1-9.34.0/24福建省/1610.157-160.0.0/1610.1-9.35.0/24江西省/1610.161-164.0.0/1610.1-9.36.0/24/1610.165-168.0.0/1610.1-9.37.0/24河南省/1610.169-172.0.0/1610.1-9.41.0/24湖北省/1610.173-176.0.0/1610.1-9.42.0/24湖南省/1610.177-180.0.0/1610.1-9.43.0/24廣東省/1610.181-184.0.0/1610.1-9.44.0/24廣西壯族自治區(qū)/1610.185-188.0.0/1610.1-9.45.0/24海南省/1610.189-192.0.0/1610.1-9.46.0/24重慶市/1610.117-120.0.0/1610.1-9.50.0/24/1610.193-196.0.0/1610.1-9.51.0/24貴州省/1610.197-200.0.0/1610.1-9.52.0/24云南省/1610.201-204.0.0/1610.1-9.53.0/24西藏自治區(qū)/1610.205-208.0.0/1610.1-9.54.0/24/1610.209-212.0.0/1610.1-9.61.0/24甘肅省/1610.213-216.0.0/1610.1-9.62.0/24青海省/1610.217-220.0.0/1610.1-9.63.0/24寧夏回族自治區(qū)/1610.221-224.0.0/1610.1-9.64.0/24新疆維吾爾自治區(qū)/1610.225-228.0.0/1610.1-9.65.0/24新疆生產(chǎn)建設(shè)兵團/1610.229-232.0.0/1610.1-9.66.0/24計劃單列市環(huán)境保護局1大連市環(huán)境保護局/1610.1-9.24.0/24202寧波市環(huán)境保護局/1610.1-9.38.0/243廈門市環(huán)境保護局/1610.1-9.39.0/244青島市環(huán)境保護局/1610.1-9.40.0/245深圳市環(huán)境保護局/1610.1-9.47.0/24序號單位名稱局域網(wǎng)絡(luò)IP地址網(wǎng)絡(luò)設(shè)備IP地址環(huán)境保護部直屬單位、派出機構(gòu)1環(huán)境保護部應急與事故調(diào)查中心/1610.1-9.87.0/242中國環(huán)境科學研究院/1610.1-9.71.0/243中國環(huán)境監(jiān)測總站/1610.1-9.72.0/244中日友好環(huán)境保護中心/1610.1-9.73.0/245中國環(huán)境報社/1610.1-9.74.0/246中國環(huán)境科學出版社/1610.1-9.75.0/247環(huán)境保護部核安全中心/1610.1-9.76.0/248環(huán)境保護部環(huán)境保護對外合作中心/1610.1-9.77.0/249環(huán)境保護部南京環(huán)境科學研究所/1610.1-9.93.0/24環(huán)境保護部華南環(huán)境科學研究所/1610.1-9.94.0/24環(huán)境保護部環(huán)境規(guī)劃院/1610.1-9.78.0/24環(huán)境保護部環(huán)境工程評估中心/1610.1-9.79.0/24環(huán)境保護部華北環(huán)境保護督查中心/1610.1-9.80.0/24環(huán)境保護部華東環(huán)境保護督查中心/1610.1-9.95.0/24環(huán)境保護部華南環(huán)境保護督查中心/1610.1-9.96.0/24環(huán)境保護部東北環(huán)境保護督查中心/1610.1-9.97.0/24環(huán)境保護部西北環(huán)境保護督查中心/1610.1-9.98.0/24環(huán)境保護部西南環(huán)境保護督查中心/1610.1-9.99.0/24環(huán)境保護部北方核安全監(jiān)督站/1610.1-9.81.0/24環(huán)境保護部上海核安全監(jiān)督站/1610.1-9.233.0/24環(huán)境保護部廣東核安全監(jiān)督站/1610.1-9.234.0/24環(huán)境保護部四川核安全監(jiān)督站/1610.1-9.235.0/24環(huán)境保護部東北核與輻射安全監(jiān)督站/1610.1-9.236.0/24環(huán)境保護部西北核與輻射安全監(jiān)督站/1610.1-9.237.0/24中國環(huán)境科學學會/1610.1-9.82.0/24中國環(huán)境保護產(chǎn)業(yè)協(xié)會/1610.1-9.83.0/24中華環(huán)境保護基金會/1610.1-9.84.0/24中國環(huán)境文化促進會/1610.1-9.85.0/24中國環(huán)境新聞工作者協(xié)會/1610.1-9.86.0/24中華環(huán)保聯(lián)合會/1610.1-9.88.0/24環(huán)境保護部北京會議與培訓基地/1610.1-9.89.0/24環(huán)境保護部北戴河技術(shù)交流中心/1610.1-9.238.0/24環(huán)境保護部興城環(huán)境管理研究中心/1610.1-9.239.0/2410.1-9.0.0/16段地址為各單位與環(huán)境保護部網(wǎng)絡(luò)互連的網(wǎng)絡(luò)設(shè)備地址，路由器地址廣域網(wǎng)地址段為：/16，防火墻地址廣域網(wǎng)地址段為：/16。省級環(huán)境保護廳(局)地址規(guī)劃設(shè)計（以浙江省為例）：浙江省/1610.149-152.0.0/1610.1-9.33.0/24以下地址主要為辦公網(wǎng)絡(luò)的地址規(guī)劃，對于設(shè)備互聯(lián)地址和IP地址嚴格按照以上原則規(guī)劃，即分別采用30位、32位地址。21地市局域網(wǎng)及預留地址省環(huán)境保護局省中心/18/16杭州(/19)市局/22/19（市局）余杭/23/24/23/24/23/24蕭山/23/24淳安/23/24桐廬/23/24建德/23/24湖州(/20)市局/23/19德清/24/24長興/24/24安吉/24/24嘉興市局/23/17平湖/24/24海寧/24/24桐鄉(xiāng)/24/24海鹽/24/24嘉善/24/24紹興（/20）市局/23/17紹興局/24/24諸暨/24/24上虞/24/24嵊州/24/24新昌/24/24（/20）市局/23/17/24/24溫嶺/24/24玉環(huán)/24/24天臺/24/24仙居/24/24三門/24/24路橋/24/24黃巖/24/24椒江/24/24溫州（/20）市局/23/17樂清/24/24倉南/24/24永嘉/24/24瑞安/24/24平陽/24/24文成/24/24洞頭/24/2422地市局域網(wǎng)及預留地址泰順/24/24麗水（/20）市局/23/17青田/24/24松陽/24/24景寧/24/24慶元/24/24縉云/24/24龍泉/24/24遂昌/24/24云和/24/24金華（/20）市局/23/17武義/24/24磬安/24/24蘭溪/24/24東陽/24/24義烏/24/24永康/24/24舟山（/20）市局/23/17岱山/23/24嵊泗/23/24衢州（/20）市局/23/17龍游/23/24江山/24/24常山/24/24開化/24/24以上地址主要為辦公網(wǎng)絡(luò)的地址規(guī)劃，對于設(shè)備互聯(lián)地址和IP地址嚴格按照以上原則規(guī)劃，即分別采用30位、32位地址。23路由器性能指標性能名稱種類高端路由器中端路由器低端路由器包轉(zhuǎn)發(fā)率交換容量路由表容量可靠性和可用性要求系統(tǒng)必須達到或超過99.999%的可用性各組件均支持熱插拔功能支持接口模塊的熱插拔安全性支持用戶分級管理和口令保護防止網(wǎng)絡(luò)攻擊支持標準和擴展ACL支持標準ACL24防火墻安全等級劃分D.1一級防火墻功能要求細目功能分類功能項目要求包過濾支持默認禁止原則支持基于IP地址的訪問控制支持基于端口的訪問控制支持基于協(xié)議類型的訪問控制應用代理支持應用層協(xié)議代理NAT支持雙向NAT流量統(tǒng)計支持根據(jù)IP地址、協(xié)議、時間等參數(shù)對流量進行統(tǒng)計支持統(tǒng)計結(jié)果的報表形式輸出安全審計支持記錄來自外部網(wǎng)絡(luò)的被安全策略允許的訪問請求支持記錄來自內(nèi)部網(wǎng)絡(luò)和DMZ的被安全策略允許的訪問請求支持記錄任何試圖穿越或到達防火墻的違反安全策略的訪問請求支持記錄防火墻管理行為審計記錄內(nèi)容支持日志的訪問授權(quán)支持日志的管理提供日志管理工具管理支持對授權(quán)管理員的口令鑒別方式支持對授權(quán)管理員、可信主機、主機和用戶進行身份鑒別支持本地和遠程管理支持設(shè)置和修改安全管理相關(guān)的數(shù)據(jù)參數(shù)支持設(shè)置、查詢和修改安全策略支持管理審計日志D.2二級防火墻增加的功能要求細目二級防火墻除需滿足一級防火墻的功能要求外，還需增加如下的功能要求。功能分類功能項目要求包過濾支持基于MAC地址的訪問控制支持基于時間的訪問控制支持基于用戶自定義安全策略的訪問控制狀態(tài)檢測支持基于狀態(tài)檢測技術(shù)的訪問控制深度包檢測支持基于URL的訪問控制支持基于電子郵件信頭的訪問控制