DB3209鹽城市地方標(biāo)準(zhǔn)E-governmentnetworkTechnicalspeci鹽城市市場(chǎng)監(jiān)督管理局發(fā)布2 2 3 4 4 4 5 6 65.2市級(jí)電子政務(wù)外網(wǎng)建設(shè)規(guī)范 6 9 6.2地址分配原則 7.2市級(jí)安全技術(shù)要求 24 29 34電子政務(wù)外網(wǎng)建設(shè)技術(shù)規(guī)范本文件適用于鹽城市級(jí)、縣（區(qū)）級(jí)電子政務(wù)外網(wǎng)建設(shè)，以及各級(jí)政務(wù)部門局域網(wǎng)接GB/T21061國(guó)家電子政務(wù)網(wǎng)絡(luò)技術(shù)和運(yùn)行GB/T25070信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用DB32/T4318.2電子政務(wù)外網(wǎng)安全大數(shù)據(jù)和3.1全邏輯隔離，滿足各級(jí)部門經(jīng)濟(jì)調(diào)節(jié)、市場(chǎng)監(jiān)管、社會(huì)管理和注：電子政務(wù)外網(wǎng)縱向連通國(guó)家、省、地（市）），3.2地（市）網(wǎng)絡(luò)稱為省級(jí)廣域網(wǎng)、地（市）到3.35把同一城市內(nèi)不同單位的局域網(wǎng)絡(luò)連接起來(lái)的網(wǎng)絡(luò)稱為城域網(wǎng)，實(shí)現(xiàn)不同單位跨部門業(yè)務(wù)的數(shù)據(jù)3.43.54縮略語(yǔ)2)AAA：認(rèn)證、授權(quán)和計(jì)費(fèi)（authentication,authorization,anda3)APT：高級(jí)持續(xù)性威脅（AdvancedPers）；4)ARP：地址解析協(xié)議（AddressResolutionP6)C&C：命令控制（Commandan）；）；8)DDoS：分布式拒絕服務(wù)(DistributedDenialofS9)DGA：域名生成算法(DomainGenerationAl10)DHCP：動(dòng)態(tài)主機(jī)配置協(xié)議(DynamicHostCo13)EGP：外部網(wǎng)關(guān)協(xié)議(Exter14)GRE：通用路由封裝協(xié)議(GenericR15)EUI-64：64位擴(kuò)展唯一標(biāo)識(shí)符(64-16)IGP：內(nèi)部網(wǎng)關(guān)協(xié)議(Inter17)IMSI：國(guó)際移動(dòng)用戶識(shí)別碼（InternationalMobile18)IMEI：國(guó)際移動(dòng)設(shè)備標(biāo)識(shí)（InternationalMobil19)IPSecVPN：互聯(lián)網(wǎng)協(xié)議安全協(xié)議虛擬專用網(wǎng)絡(luò)(InternetProtocolsecurityvirtual20)IPv4：互聯(lián)網(wǎng)協(xié)議版本4（InternetPro21)IPv6：互聯(lián)網(wǎng)協(xié)議版本6（Internet）；23)IS-IS：中間系統(tǒng)到中間系統(tǒng)（IntermediateSystemt24)LACP：鏈路聚合控制協(xié)議（LinkAggregationControl25)MP：多鏈路協(xié)議（Multilin626)MPLS：多協(xié)議標(biāo)記交換（Multi-ProtocolLabel27)MSTP：多業(yè)務(wù)傳送平臺(tái)（Multi-serviceTransmissi）；28)NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressT29)NFS：網(wǎng)絡(luò)文件系統(tǒng)(NetworkFil30)OSPF：開(kāi)放式最短路徑優(yōu)先(OpenShortestPat32)PPP：點(diǎn)到點(diǎn)協(xié)議（point-to-poi33)QoS：服務(wù)質(zhì)量(Qualityo34)RIP：路由信息協(xié)議(RoutingInformati36)SDH：同步數(shù)字體系(SynchronousDigita37)SDN：軟件定義網(wǎng)絡(luò)(SoftwareDefined38)SIM：用戶身份模塊（SubscriberId39)SLA：服務(wù)水平協(xié)議(ServiceLevel40)SNMP：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProt41)SRv6：IPv6段路由（IPv6）；42)SSLVPN：基于安全套接層的虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetworkoverSecureSockets43)TWAMP：雙向主動(dòng)測(cè)量協(xié)議（Two-WayActiveMeasurementPro44)URL：統(tǒng)一資源定位符(UniformResourceLoc46)VLAN：虛擬局域網(wǎng)(VirtualLocalAreaNet47)VPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNe）；48)VxLAN：虛擬擴(kuò)展局域網(wǎng)（VirtualeXtensibleLocalAreaNe49)Wi-Fi：無(wú)線網(wǎng)絡(luò)技術(shù)（WirelessFidb)縣級(jí)電子政務(wù)外網(wǎng)包含縣級(jí)城域網(wǎng)、縣級(jí)部門接入網(wǎng)、鄉(xiāng)（鎮(zhèn)、街道）接入網(wǎng)市級(jí)廣域核心節(jié)點(diǎn)橫向連接市級(jí)城域網(wǎng)，縱向上聯(lián)省級(jí)廣域接入節(jié)7b)市城域匯聚層設(shè)備主要匯接各政務(wù)部門局域網(wǎng)的接入設(shè)備，應(yīng)使用雙上聯(lián)方式連接核心層設(shè)d)互聯(lián)網(wǎng)接入?yún)^(qū)主要提供本級(jí)移動(dòng)辦公用戶VPN方式安全可靠接入政務(wù)需要采用信道加密技術(shù)結(jié)合政務(wù)外網(wǎng)數(shù)字證書(shū)進(jìn)行數(shù)據(jù)傳輸?shù)募用鼙Ｗo(hù)，實(shí)現(xiàn)移動(dòng)辦公用戶邏輯隔離，條件允許的情況下，建議實(shí)現(xiàn)帶外g)運(yùn)營(yíng)商5G政務(wù)網(wǎng)絡(luò)通過(guò)政務(wù)專用UPF與政務(wù)外網(wǎng)城域5G接入路由器進(jìn)行8a)線路帶寬應(yīng)能滿足峰值業(yè)務(wù)需求，帶寬月c)市級(jí)城域網(wǎng)核心設(shè)備與廣域網(wǎng)核心設(shè)備之間均應(yīng)采用雙線路萬(wàn)兆光口對(duì)接，線路總帶寬均應(yīng)e)城域網(wǎng)核心層與匯聚層設(shè)備承載城市駕駛艙的匯聚流量，城域網(wǎng)核心層與匯聚層設(shè)備之間互g)一類接入單位城域網(wǎng)接入層設(shè)備上聯(lián)線路總帶寬應(yīng)滿足政務(wù)部門內(nèi)用戶忙時(shí)峰值業(yè)務(wù)流量需a)同一機(jī)房?jī)?nèi)設(shè)備互聯(lián)可采用光纖或屏蔽雙絞線，推薦使用光5.2.4市級(jí)單位接入要求市級(jí)電子政務(wù)外網(wǎng)接入單位根據(jù)性質(zhì)和業(yè)務(wù)分為一、二、三類單位，單位分9a)市級(jí)接入單位局域網(wǎng)接入市級(jí)電子政務(wù)外網(wǎng)需要向市級(jí)電子級(jí)電子政務(wù)管理機(jī)構(gòu)備案，各單位嚴(yán)格按照備案范圍接入市級(jí)電b)市級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)應(yīng)為各部門提供接入政務(wù)外網(wǎng)和接入地1)一類接入部門通過(guò)冗余設(shè)備、冗余鏈路連接市級(jí)2)二類接入部門通過(guò)冗余設(shè)備、冗余鏈路連接市級(jí)電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)3)三類接入部門通過(guò)單設(shè)備、單鏈路連接市級(jí)電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)c)接入部門提供的對(duì)接設(shè)備應(yīng)具備路由、交換功能、邊界安全防護(hù)功設(shè)備完成對(duì)接，應(yīng)采用靜態(tài)路由/動(dòng)態(tài)路由進(jìn)行對(duì)接，宜采用靜態(tài)路d)接入部門局域網(wǎng)進(jìn)行IPv6改造時(shí)，網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端均應(yīng)支持e)未采用市級(jí)電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃地址的部門需自行政務(wù)外網(wǎng)，IPv6地址應(yīng)直接使用市級(jí)分配的IPvf)局域網(wǎng)應(yīng)支持動(dòng)態(tài)分配IPv6地址，宜支持g)接入部門局域網(wǎng)應(yīng)對(duì)業(yè)務(wù)進(jìn)行分區(qū)隔離，政務(wù)公共、部門專網(wǎng)業(yè)務(wù)h)接入部門應(yīng)按照國(guó)家及行業(yè)相關(guān)安全標(biāo)準(zhǔn)規(guī)范做好邊界以內(nèi)自身局域網(wǎng)的安全a)政務(wù)外網(wǎng)5G平面應(yīng)支持為接入終端設(shè)備分b)通過(guò)5G平面接入政務(wù)外網(wǎng)的終端應(yīng)使用政務(wù)專用的IP地址體系，不應(yīng)使用e)終端設(shè)備應(yīng)支持不少于1個(gè)的用戶身份識(shí)別卡插槽或端、局域網(wǎng)網(wǎng)關(guān)等專用終端設(shè)備的SIM卡應(yīng)進(jìn)行實(shí)名認(rèn)證，并經(jīng)政務(wù)外網(wǎng)運(yùn)行管理f)作為網(wǎng)關(guān)的終端設(shè)備，應(yīng)禁止Wi-Fi、BlueTooth等無(wú)線功能，并防御等安全功能，應(yīng)支持接入認(rèn)證，支持遠(yuǎn)程管理，支持通過(guò)縣級(jí)電子政務(wù)外網(wǎng)遵循層次化設(shè)計(jì)的原則，按照使用功能和網(wǎng)絡(luò)建設(shè)規(guī)模大小，可采用“核心層”二層架構(gòu)或“核心層-匯聚層-接入層”三層架構(gòu)規(guī)b)匯聚層主要匯接各政務(wù)部門局域網(wǎng)的接入設(shè)備，應(yīng)使用雙上聯(lián)方式連接核心c)接入層設(shè)備用于政務(wù)部門局域網(wǎng)的接入，部署于各政務(wù)部門機(jī)房，備之間可按政務(wù)部門業(yè)務(wù)重要程度酌情采用冗余設(shè)計(jì)，增加業(yè)d)互聯(lián)網(wǎng)接入?yún)^(qū)主要提供本級(jí)移動(dòng)辦公用戶提供VP臺(tái)，需要采用信道加密技術(shù)結(jié)合政務(wù)外網(wǎng)數(shù)字證書(shū)進(jìn)行數(shù)據(jù)傳輸?shù)募用鼙Ｗo(hù)，實(shí)現(xiàn)移用戶訪問(wèn)政務(wù)外網(wǎng)內(nèi)部信息資源，可通過(guò)市級(jí)安全接入平臺(tái)統(tǒng)一接入，有條件的縣級(jí)e)運(yùn)維管理區(qū)是集中建設(shè)的獨(dú)立運(yùn)維管理區(qū)域，與城域網(wǎng)核心設(shè)理應(yīng)通過(guò)運(yùn)維管理區(qū)實(shí)現(xiàn)，并應(yīng)實(shí)現(xiàn)對(duì)運(yùn)維管理行為進(jìn)行審計(jì)，運(yùn)維管理區(qū)流量與其他f)縣級(jí)用戶接入?yún)^(qū)主要為縣級(jí)政務(wù)部門提供用戶接入服務(wù)，各政務(wù)程度，選擇雙設(shè)備雙歸部署，單設(shè)備雙歸部署和單設(shè)備單歸部署三種模式，縣級(jí)用戶接入?yún)^(qū)還包括縣合駐辦公點(diǎn)，直接通過(guò)接入設(shè)備接入縣城域匯聚節(jié)g)鎮(zhèn)級(jí)用戶接入?yún)^(qū)為縣所轄各鄉(xiāng)鎮(zhèn)及下轄行政村接入政務(wù)外網(wǎng)的區(qū)域，各鎮(zhèn)集中辦公節(jié)點(diǎn)通過(guò)鎮(zhèn)匯聚設(shè)備統(tǒng)一對(duì)接縣城域核心節(jié)點(diǎn)，鎮(zhèn)匯聚設(shè)備同時(shí)匯聚下轄各行政村接入點(diǎn)為下轄各行政村接入政務(wù)外網(wǎng)提供支持，偏遠(yuǎn)地區(qū)也可通過(guò)安全接入平臺(tái)以IPsecVPN形式接入電子5.3.2通信鏈路及帶寬選擇a)線路帶寬應(yīng)能滿足峰值業(yè)務(wù)需求，帶寬月平均利c)縣級(jí)城域網(wǎng)核心設(shè)備與縣廣域網(wǎng)核心設(shè)備之間均應(yīng)采用雙線路e)城域網(wǎng)接入層設(shè)備與匯聚層設(shè)備之間的線路總帶寬應(yīng)滿足政務(wù)b)縣級(jí)用戶接入網(wǎng)因用戶地點(diǎn)與政務(wù)外網(wǎng)核心機(jī)房不在一棟大樓或大院需要租的，其接入與城域網(wǎng)匯聚層設(shè)備之間互聯(lián)可采用裸光纖或M線等傳輸電路，在使用其他類型線路時(shí)，需確保傳輸設(shè)備與線路為政務(wù)外網(wǎng)專用且d)MTU值應(yīng)設(shè)置合理，滿足業(yè)務(wù)承載傳輸需要；MTU值設(shè)置應(yīng)不5.3.4與市級(jí)電子政務(wù)外網(wǎng)對(duì)接規(guī)范a)縣級(jí)電子政務(wù)外網(wǎng)接入市級(jí)電子政務(wù)外網(wǎng)需要向市級(jí)電子政務(wù)管理機(jī)構(gòu)提出申請(qǐng)并備案，各務(wù)部署VPN，實(shí)現(xiàn)不同業(yè)務(wù)之間的隔離，原則上市級(jí)電子政務(wù)外網(wǎng)不5.3.5縣級(jí)單位接入要求縣級(jí)電子政務(wù)外網(wǎng)接入單位根據(jù)性質(zhì)和業(yè)務(wù)分為一、二、三類單位，具體接入要求如a)縣級(jí)接入單位局域網(wǎng)接入縣級(jí)電子政務(wù)外網(wǎng)需要向縣級(jí)電子政務(wù)外網(wǎng)b)各縣級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)應(yīng)為各部門提供接入政務(wù)外網(wǎng)和接入地址段統(tǒng)1)一類接入部門通過(guò)冗余設(shè)備、冗余鏈路連接縣電2)二類接入部門通過(guò)冗余設(shè)備、冗余鏈路連接縣電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)3)三類接入部門通過(guò)單設(shè)備、單鏈路連接縣電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)保c)接入部門提供的對(duì)接設(shè)備應(yīng)具備路由、交換功能、邊界安全防護(hù)完成對(duì)接，應(yīng)采用靜態(tài)路由/動(dòng)態(tài)路由進(jìn)行對(duì)接，宜采用靜態(tài)路由，若采用動(dòng)態(tài)路由d)接入部門局域網(wǎng)進(jìn)行IPv6改造時(shí)，網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端均應(yīng)e)未采用電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃地址的部門需自行轉(zhuǎn)換f)局域網(wǎng)應(yīng)支持動(dòng)態(tài)分配IPv6地址，宜支g)接入部門局域網(wǎng)應(yīng)對(duì)業(yè)務(wù)進(jìn)行分區(qū)隔離，政務(wù)公共、部門專網(wǎng)業(yè)務(wù)h)接入部門應(yīng)按照國(guó)家及行業(yè)相關(guān)安全標(biāo)準(zhǔn)規(guī)范做好邊界以內(nèi)本部門接入網(wǎng)絡(luò)），），5.5.1對(duì)政務(wù)外網(wǎng)中敏感數(shù)據(jù)和SLA要求高的業(yè)務(wù)，應(yīng)采用網(wǎng)邏輯業(yè)務(wù)平面進(jìn)行硬隔離。每個(gè)邏輯業(yè)務(wù)平面應(yīng)擁有獨(dú)立的帶寬資源，不能相互搶占，最大化保障關(guān)5.5.3政務(wù)外網(wǎng)可根據(jù)業(yè)務(wù)類型、保障級(jí)別、部門訴求三個(gè)維度定義網(wǎng)絡(luò)切片模型：各政務(wù)單位對(duì)外服務(wù)窗口，市民辦理社保、公積金、不動(dòng)產(chǎn)滿足通過(guò)撤網(wǎng)整合的方式接入電子政務(wù)外網(wǎng)的專網(wǎng)業(yè)為通過(guò)撤線整合穿越電子政務(wù)外網(wǎng)的所有業(yè)務(wù)?；A(chǔ)網(wǎng)絡(luò)要求：帶寬盡力而為，時(shí)延<30ms參與重大事件保障政務(wù)部門共用切片，按需使用，重保結(jié)束后政務(wù)部5.6專網(wǎng)接入規(guī)范5.6.1市級(jí)非涉密業(yè)務(wù)專網(wǎng)向電子政務(wù)外網(wǎng)遷移整合主要有撤網(wǎng)整合、撤線整合、對(duì)接融合三種方5.6.2撤網(wǎng)整合方案指將業(yè)務(wù)專網(wǎng)的設(shè)備、租賃專線等整體裁撤，專網(wǎng)接入單位作為新的政務(wù)外網(wǎng)接入單位連接到政務(wù)外網(wǎng)，同時(shí)將部署于業(yè)務(wù)專網(wǎng)內(nèi)的業(yè)務(wù)系統(tǒng)逐步遷移至同級(jí)政務(wù)云平臺(tái)，要求如a)市、縣級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)應(yīng)為專網(wǎng)接入單位提供接入設(shè)備、接入線路，原專網(wǎng)業(yè)b)市、縣級(jí)電子政務(wù)外網(wǎng)應(yīng)具備差異化質(zhì)量保障能力，如SRv6、網(wǎng)絡(luò)切片5.6.3撤線整合方案指僅裁撤業(yè)務(wù)專網(wǎng)所租賃的運(yùn)營(yíng)商專線，利用政務(wù)外網(wǎng)作為專網(wǎng)線路，保留專網(wǎng)的網(wǎng)絡(luò)設(shè)備。專網(wǎng)接入單位負(fù)責(zé)業(yè)務(wù)專網(wǎng)應(yīng)用系統(tǒng)的維護(hù)a)原則上專網(wǎng)整合應(yīng)采用撤網(wǎng)整合方式，有特殊需求需要采用撤線整合的業(yè)務(wù)專網(wǎng)部門應(yīng)d)考慮IPv6演進(jìn)要求，專網(wǎng)接入f)為保障電子政務(wù)外網(wǎng)整體網(wǎng)絡(luò)質(zhì)量和安全，宜為穿越電子政務(wù)外網(wǎng)的所有業(yè)務(wù)專5.6.4對(duì)接融合方案指整體保留業(yè)務(wù)專網(wǎng)的網(wǎng)絡(luò)設(shè)備和租賃運(yùn)營(yíng)商專線，應(yīng)用系統(tǒng)仍然部署在專網(wǎng)內(nèi)，專網(wǎng)接入單位仍然基于該業(yè)務(wù)專網(wǎng)開(kāi)展業(yè)務(wù)，并實(shí)現(xiàn)條線內(nèi)各級(jí)單位網(wǎng)絡(luò)互通，為滿足業(yè)務(wù)和政務(wù)外網(wǎng)之間的數(shù)據(jù)共享和數(shù)據(jù)交換需求，建設(shè)網(wǎng)絡(luò)對(duì)接融合區(qū)，通過(guò)部署網(wǎng)閘/防火墻等安a)原則上專網(wǎng)整合應(yīng)采用撤網(wǎng)整合方式，有特殊需求需要采用對(duì)接融合方式的業(yè)務(wù)專網(wǎng)部b)市級(jí)電子政務(wù)外網(wǎng)應(yīng)建設(shè)專網(wǎng)對(duì)接融合區(qū)，通過(guò)部署網(wǎng)閘/防火墻等安全設(shè)備，安全可控地打c)若專網(wǎng)業(yè)務(wù)較敏感，或者高于電子政務(wù)外網(wǎng)信息安全等級(jí)保護(hù)級(jí)別，應(yīng)通過(guò)網(wǎng)閘d)若專網(wǎng)業(yè)務(wù)非敏感，或者不高于與電子政務(wù)外網(wǎng)信息安全等級(jí)保護(hù)級(jí)別，應(yīng)通e)應(yīng)具備終端和系統(tǒng)之間的訪問(wèn)控制能力，控制粒度宜為單個(gè)地址或者端口，宜f)應(yīng)對(duì)網(wǎng)絡(luò)攻擊行為進(jìn)行檢測(cè)、防止、限制、報(bào)警等，并記錄g)應(yīng)對(duì)用戶行為和安全事件等進(jìn)行行為審計(jì)，審計(jì)記錄應(yīng)至市級(jí)電子政務(wù)外網(wǎng)IP地址總體規(guī)劃由市級(jí)電子政務(wù)管理機(jī)構(gòu)負(fù)責(zé)，各區(qū)縣級(jí)電子政務(wù)外網(wǎng)根據(jù)總體規(guī)劃，對(duì)所屬本級(jí)的IP地址資源進(jìn)行再次分配、管理和6.2地址分配原則擴(kuò)展的層次性結(jié)構(gòu)，便于網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理，降低網(wǎng)絡(luò)結(jié)構(gòu)的復(fù)應(yīng)按照2n的大小分配連續(xù)地址段，有助于路由聚地址分配在每一層次上都留有余量，當(dāng)網(wǎng)絡(luò)規(guī)模申請(qǐng)單位根據(jù)網(wǎng)絡(luò)建設(shè)情況申請(qǐng)政務(wù)外網(wǎng)全局業(yè)務(wù)IP地址，申請(qǐng)的地址在一年內(nèi)必須充分有效使a)應(yīng)采用域名而不是IP地址作為各類主機(jī)提供服務(wù)的方式，避免IP地址改動(dòng)導(dǎo)致服務(wù)中b)在局域網(wǎng)中必須采用政務(wù)外網(wǎng)統(tǒng)一規(guī)劃的地址，避免全局業(yè)務(wù)IP地址出現(xiàn)資源短缺；c)服務(wù)器IP地址應(yīng)使用低地址段，從最小可編地址開(kāi)始依次e)已建城域網(wǎng)的市、縣級(jí)節(jié)點(diǎn)，建議根據(jù)用戶總體訪問(wèn)量使用若干個(gè)全局業(yè)務(wù)地f)IPv6地址具備語(yǔ)義化，結(jié)構(gòu)定義清晰，通過(guò)在IPv6地址不同分段嵌入?yún)^(qū)域、g)IPv6地址在設(shè)備或者管理界面以1劃。政務(wù)外網(wǎng)IPv6地址采用結(jié)構(gòu)化編址方式，按圖3所示分為五個(gè)字段：a)1～24位，類型域，240B:8T，用于標(biāo)識(shí)政務(wù)外網(wǎng)b)25～44位，區(qū)劃域，ZZ:ZZZ，用于標(biāo)識(shí)中央、省、市、縣四級(jí)行政區(qū)域；e)65～128位，主機(jī)域，支持EUI業(yè)務(wù)系統(tǒng)類型，劃分為網(wǎng)絡(luò)平臺(tái)、基礎(chǔ)數(shù)據(jù)業(yè)務(wù)、視頻會(huì)議業(yè)務(wù)、視頻監(jiān)控業(yè)務(wù)等，類型域（T碼）設(shè)b)基礎(chǔ)數(shù)據(jù)業(yè)務(wù)地址（T=1主要用于部署政務(wù)外網(wǎng)基礎(chǔ)c)視頻會(huì)議業(yè)務(wù)地址（T=2主要用于部署政務(wù)外網(wǎng)視頻會(huì)議業(yè)務(wù)及終端，包括d)視頻監(jiān)控業(yè)務(wù)地址（T=3主要用于部署政務(wù)外網(wǎng)視頻監(jiān)控業(yè)務(wù)及終端，包括視頻監(jiān)控平區(qū)劃域（Z碼）用于標(biāo)識(shí)中央、省、市、縣四級(jí)行政區(qū)域，區(qū)劃域編碼規(guī)則如），a)拆碼：將6位“十進(jìn)制”區(qū)劃代碼分為3段：A2)地市地址編碼（BB，行政區(qū)劃代碼）轉(zhuǎn)換成7位“二進(jìn)c)組碼（二進(jìn)制轉(zhuǎn)十六進(jìn)制合計(jì)共20位“二進(jìn)制”字符，按4位1組，轉(zhuǎn)換成5位“十六進(jìn)部門域（W碼）用于標(biāo)識(shí)市、縣（市、區(qū)）各級(jí)政務(wù)部門、鄉(xiāng)鎮(zhèn)及以下行政區(qū)域，由W1、W2、W3三a)A類級(jí)部門單位（W1=1?5用于標(biāo)識(shí)與國(guó)家對(duì)口的政府部門，部門域W1、W2由市級(jí)政務(wù)外網(wǎng)管理機(jī)構(gòu)分配，W3由市級(jí)政府部門自行規(guī)劃。政府部門的下屬單位劃歸此類，由其上f)部門域W1碼取值為A?F時(shí)，用于標(biāo)識(shí)鄉(xiāng)鎮(zhèn)及以下行政區(qū)域或基層組織借用W1W2W3=A00開(kāi)始，到W1W2W3=FFF結(jié)束，共支持1535個(gè)::/56地址段，由上級(jí)政務(wù)外網(wǎng)運(yùn)行管理子網(wǎng)域（Y碼）用于標(biāo)識(shí)不同系統(tǒng)類型所屬的業(yè)務(wù)子網(wǎng)（Y1、Y2分別表示十六進(jìn)制字符，取值范圍00-FF子網(wǎng)域（Y碼）00-7F（前128個(gè)）部分由各部門單位自行規(guī)劃分配；Y碼80-FF（后1287.1.1IPv6網(wǎng)絡(luò)建設(shè)應(yīng)符合G密碼應(yīng)用相關(guān)要求，定級(jí)如下:a)市級(jí)電子政務(wù)外網(wǎng)達(dá)到網(wǎng)絡(luò)安全等級(jí)保護(hù)第三級(jí)要求，并達(dá)到密碼應(yīng)用第三級(jí)基本要b)縣級(jí)及以下政務(wù)外網(wǎng)達(dá)到網(wǎng)絡(luò)安全等級(jí)保護(hù)第二級(jí)及密碼應(yīng)用第二級(jí)基本要求，或以上要求，且不低于承載在政務(wù)外網(wǎng)數(shù)據(jù)中心上業(yè)務(wù)系統(tǒng)的7.1.3安全設(shè)備應(yīng)具備“IPv6+”技7.2市級(jí)安全技術(shù)要求物理環(huán)境安全目的是保護(hù)網(wǎng)絡(luò)中計(jì)算機(jī)網(wǎng)絡(luò)通信有良好的電磁兼容工作環(huán)境，并防止非法用戶進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生，本項(xiàng)關(guān)鍵要求包a)機(jī)房出入口應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)c)宜采用密碼技術(shù)保證電子門禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)d)應(yīng)設(shè)置機(jī)房防盜報(bào)警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)，宜采用密碼技術(shù)保e)應(yīng)采取措施防止感應(yīng)雷，例如設(shè)置防雷保安器g)應(yīng)安裝對(duì)水敏感的檢測(cè)儀表或元件，對(duì)機(jī)房進(jìn)行防h)應(yīng)采取措施防止靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手環(huán)等；a)應(yīng)保證跨越邊界的訪問(wèn)和數(shù)據(jù)流通過(guò)防火墻提供的受控接口進(jìn)行通信，不得繞過(guò)防火b)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到電子政務(wù)外網(wǎng)的行為進(jìn)行檢測(cè)或限制；c)應(yīng)能夠?qū)﹄娮诱?wù)外網(wǎng)用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)d)應(yīng)支持基于應(yīng)用層協(xié)議設(shè)置流控策略，包括設(shè)置最大帶寬、保證帶寬、協(xié)議b)需對(duì)電子政務(wù)外網(wǎng)系統(tǒng)進(jìn)行資產(chǎn)和身份管理，設(shè)備需經(jīng)過(guò)身份認(rèn)證才能接入電子政務(wù)外網(wǎng)系c)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，按照最小化訪d)應(yīng)具備安全策略調(diào)優(yōu)能力，可發(fā)現(xiàn)冗余安全策略，長(zhǎng)時(shí)間不用的安全策略，以e)應(yīng)對(duì)時(shí)間、用戶、源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查f)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒g)應(yīng)對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流實(shí)現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處檢測(cè)、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；c)應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊d)當(dāng)檢測(cè)到攻擊行為時(shí)，記錄攻擊源IP、攻擊類型、攻擊目a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信a)防火墻、入侵防御等核心安全設(shè)備需要保障自身安全，避免被黑客控制作為攻擊跳板，需內(nèi)置可信根，可對(duì)系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信b)宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)c)宜采用自主可控安全防護(hù)區(qū)設(shè)備，設(shè)備CPU、操作系統(tǒng)、轉(zhuǎn)測(cè)和清洗。抗DDoS攻擊應(yīng)支持常見(jiàn)的SYNHTTPSFlood等攻擊，并且支持流量自學(xué)習(xí)功能，可識(shí)別出超過(guò)防御應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制。防火墻應(yīng)只開(kāi)放政務(wù)網(wǎng)提供接入服務(wù)的必需的服務(wù)端口，對(duì)流經(jīng)互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合法性檢查。為了保證業(yè)務(wù)的可宜在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署入侵防御系統(tǒng)，動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)上所有流過(guò)的數(shù)據(jù)包，進(jìn)和分析，及時(shí)發(fā)現(xiàn)漏洞、蠕蟲(chóng)、木馬等非法和異常行為，并且支持告警、阻斷等應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)部署防病毒功能，可在防火墻或入侵檢測(cè)設(shè)備上開(kāi)啟，及時(shí)更新病毒庫(kù)，阻止病毒入侵和傳播，進(jìn)行及時(shí)的查殺。防病毒模塊宜集成在防火墻應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)旁路部署沙箱，針對(duì)APT高級(jí)持續(xù)威的安全檢測(cè)技術(shù)，識(shí)別網(wǎng)絡(luò)中傳輸?shù)膼阂馕募?yīng)為接入用戶提供服務(wù)接口或鏈路接口等統(tǒng)應(yīng)采用RADIUS、LDAP等認(rèn)證協(xié)議實(shí)現(xiàn)基于數(shù)字證書(shū)的身應(yīng)提供安全接入平臺(tái)的運(yùn)行情況監(jiān)測(cè)、用戶行為審計(jì)和安全接入平臺(tái)設(shè)備的配置管理功應(yīng)通過(guò)網(wǎng)絡(luò)訪問(wèn)控制、入侵檢測(cè)與防御、防病毒等安全措施實(shí)現(xiàn)基礎(chǔ)安全防護(hù)。可通過(guò)在安全接入平臺(tái)的網(wǎng)絡(luò)入口、內(nèi)部安全域邊界部署防火墻實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制?？稍诎踩尤肫脚_(tái)的網(wǎng)絡(luò)入口處部署入侵檢測(cè)設(shè)備或入侵防御系統(tǒng)，動(dòng)態(tài)監(jiān)視網(wǎng)絡(luò)上流過(guò)的所有數(shù)據(jù)包，及時(shí)發(fā)現(xiàn)非法或異常對(duì)于市級(jí)政務(wù)部門局域網(wǎng)接入到電子政務(wù)外網(wǎng)城域網(wǎng)，應(yīng)設(shè)部門用戶接入應(yīng)在部門用戶接入?yún)^(qū)部署防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制。防火墻應(yīng)只開(kāi)放政務(wù)網(wǎng)絡(luò)所提供接入服務(wù)的必要服務(wù)端口，對(duì)流經(jīng)部門用戶接入?yún)^(qū)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合法性檢查。為了保證業(yè)務(wù)的可服務(wù)性，防火墻應(yīng)支持雙機(jī)部署，且支持性能的可應(yīng)在部門用戶接入?yún)^(qū)部署入侵防御系統(tǒng)，可在防火墻上開(kāi)啟入侵防御功能，動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)上所有流過(guò)的數(shù)據(jù)包，進(jìn)行實(shí)時(shí)檢測(cè)和分析，及時(shí)發(fā)現(xiàn)漏洞、蠕蟲(chóng)、木馬宜在部門用戶接入?yún)^(qū)部署流量探針，對(duì)流經(jīng)網(wǎng)絡(luò)邊界的流量進(jìn)行提取和還原，送至后端應(yīng)在政務(wù)云對(duì)接區(qū)部署防火墻，并開(kāi)啟訪問(wèn)控制、入侵防御、病毒防護(hù)等安全防護(hù)功政務(wù)云對(duì)接區(qū)應(yīng)具備網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制功能。應(yīng)只開(kāi)放必要的服務(wù)端口，并對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合法性檢查。防火墻應(yīng)支持雙機(jī)部署，支持性能的動(dòng)政務(wù)云對(duì)接區(qū)應(yīng)具備入侵防御功能，可動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)上所有流過(guò)的數(shù)據(jù)包時(shí)發(fā)現(xiàn)漏洞、蠕蟲(chóng)、木馬等非法和異常行為政務(wù)云對(duì)接區(qū)應(yīng)具備病毒防護(hù)功能，可在線或離線更新病毒庫(kù)，阻止病毒入侵和傳b)城域網(wǎng)的核心、匯聚設(shè)備應(yīng)具有設(shè)備冗余，接入設(shè)備宜具備設(shè)備冗余；c)城域網(wǎng)核心設(shè)備、匯聚設(shè)備以及匯聚到核心設(shè)備之間應(yīng)至少保證不同路由主護(hù)，接入設(shè)備到匯聚設(shè)備之間宜采用不同路由主備鏈路進(jìn)行保護(hù)，在采用主備方式或負(fù)e)應(yīng)根據(jù)需要采用有效的QoS和流量管理策略，確保重要信息系統(tǒng)和數(shù)據(jù)具f)根據(jù)所部署系統(tǒng)的重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)g)各級(jí)政務(wù)部門根據(jù)業(yè)務(wù)需求在政務(wù)外網(wǎng)上構(gòu)建專用網(wǎng)絡(luò)承載其業(yè)務(wù)時(shí)，應(yīng)采用VPh)應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，應(yīng)劃分互聯(lián)網(wǎng)區(qū)域，將電子政務(wù)核心業(yè)務(wù)與互聯(lián)網(wǎng)業(yè)a)用戶通過(guò)互聯(lián)網(wǎng)接入政務(wù)外網(wǎng)時(shí)，應(yīng)采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的性，應(yīng)采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的保密性，應(yīng)使用國(guó)家密碼管理局認(rèn)證核b)其他通信場(chǎng)景時(shí)，宜采用校驗(yàn)技術(shù)或密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性，宜采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的保密性，采用的密碼技術(shù)應(yīng)經(jīng)過(guò)國(guó)家密碼管理局認(rèn)證c)可考慮對(duì)接量子密鑰分發(fā)系統(tǒng)，實(shí)現(xiàn)關(guān)鍵節(jié)點(diǎn)的a)需基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等可信驗(yàn)證，并在執(zhí)行程序的關(guān)鍵環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證，在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至安全管b)宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)c)宜采用自主可控通信設(shè)備，設(shè)備CPU、操作系統(tǒng)、a)各級(jí)政務(wù)部門局域網(wǎng)的安全及等級(jí)保護(hù)工作由各政務(wù)部門會(huì)同本級(jí)電子政務(wù)外網(wǎng)管理機(jī)b)政務(wù)部門局域網(wǎng)接入政務(wù)外網(wǎng)，應(yīng)在部門局域網(wǎng)做好訪問(wèn)控制、IP地址管理，對(duì)于訪問(wèn)政務(wù)外網(wǎng)的系統(tǒng)和終端應(yīng)具有病毒防范，接入部門應(yīng)做好審計(jì)等功能，應(yīng)根據(jù)各單位的安全增加終端安全管理系統(tǒng)和選擇不同網(wǎng)絡(luò)區(qū)域的安全a)部門局域網(wǎng)與公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，使用防火墻或者安全網(wǎng)關(guān)進(jìn)行安全防a)接入終端應(yīng)使用政務(wù)部門局域網(wǎng)統(tǒng)一分配的b)應(yīng)對(duì)計(jì)算機(jī)終端進(jìn)行安全防護(hù)和準(zhǔn)入控制，計(jì)算機(jī)終端安裝病毒與惡意代碼防護(hù)軟件，并及c)政務(wù)部門局域網(wǎng)終端應(yīng)僅具備一個(gè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，訪問(wèn)政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)的d)終端宜具備安全沙箱隔離能力，并能通過(guò)動(dòng)態(tài)威脅監(jiān)控手段實(shí)時(shí)調(diào)整用a)通過(guò)5G接入政務(wù)外網(wǎng)應(yīng)滿足終端二次認(rèn)證/鑒權(quán)管控，一次認(rèn)證為接入運(yùn)營(yíng)商回傳網(wǎng)制，基于用戶身份識(shí)別卡的唯一標(biāo)識(shí)和設(shè)備標(biāo)識(shí)對(duì)用戶識(shí)別卡和設(shè)備進(jìn)行接入5G網(wǎng)絡(luò)的準(zhǔn)入認(rèn)證，電子政務(wù)外網(wǎng)應(yīng)提供網(wǎng)絡(luò)側(cè)的二次認(rèn)證能力，二次認(rèn)證/鑒權(quán)通過(guò)后，政務(wù)外網(wǎng)b)安全網(wǎng)關(guān)應(yīng)基于移動(dòng)終端（標(biāo)識(shí)一般為IMSI或SIM卡號(hào)）進(jìn)行精細(xì)網(wǎng)絡(luò)訪問(wèn)控制、安全防護(hù)策c)宜采用“永不信任，持續(xù)驗(yàn)證”的零信任理念進(jìn)行防護(hù)，宜在邊界建a)應(yīng)對(duì)信息資產(chǎn)、威脅情報(bào)、漏洞信息等進(jìn)行生命周期管理，包含網(wǎng)絡(luò)和IT資產(chǎn)管理、知b)應(yīng)匯聚安全告警、風(fēng)險(xiǎn)、安全態(tài)勢(shì)等信息，進(jìn)行關(guān)聯(lián)分析、智能推理、分成安全防護(hù)控制策略和業(yè)務(wù)安全控制策略，基于決策結(jié)果進(jìn)行服務(wù)的編排、調(diào)度和配置，包c(diǎn))應(yīng)具備針對(duì)安全風(fēng)險(xiǎn)主動(dòng)發(fā)現(xiàn)、趨勢(shì)分析、風(fēng)險(xiǎn)預(yù)判、即時(shí)通報(bào)預(yù)警能力，以號(hào)的違規(guī)行為發(fā)現(xiàn)能力，包含安全態(tài)勢(shì)、安全審計(jì)、安全風(fēng)險(xiǎn)評(píng)估和安d)應(yīng)具備與安全網(wǎng)元、網(wǎng)絡(luò)網(wǎng)元自動(dòng)聯(lián)動(dòng)處置能力，可將威脅近源快速阻斷，保g)應(yīng)對(duì)運(yùn)維審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修h)宜采用密碼技術(shù)保證運(yùn)維審計(jì)系統(tǒng)的完整性和機(jī)b)應(yīng)支持系統(tǒng)掃描、Web掃描、數(shù)據(jù)庫(kù)a)應(yīng)對(duì)資產(chǎn)進(jìn)行全面的安全事件和安全d)應(yīng)能根據(jù)收集到的安全事件和安全日志分析信息資產(chǎn)的安全狀況，通過(guò)內(nèi)置的關(guān)聯(lián)場(chǎng)景判斷f)宜采用密碼技術(shù)保證日志審計(jì)系統(tǒng)7.3縣級(jí)安全技術(shù)要求a)機(jī)房場(chǎng)地應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的a)機(jī)房出入口應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進(jìn)入的c)宜采用密碼技術(shù)保證電子門禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)a)應(yīng)將設(shè)備或主要部件進(jìn)行固定，并設(shè)置明顯的不易除去b)應(yīng)將通信線纜鋪設(shè)在隱蔽安全處。a)機(jī)房應(yīng)設(shè)置火災(zāi)自動(dòng)消防系統(tǒng)，能夠自動(dòng)檢測(cè)火情、自動(dòng)報(bào)警，并自應(yīng)采用防靜電地板或地面并采用必要的接地防靜應(yīng)設(shè)置溫濕度自動(dòng)調(diào)節(jié)措施，是機(jī)房溫濕度的變化在設(shè)備運(yùn)行所允許的范圍之a(chǎn))應(yīng)在機(jī)房供電線路上配置穩(wěn)壓器和過(guò)電壓a)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問(wèn)控制策略設(shè)置訪問(wèn)控制規(guī)則，默認(rèn)情況下除允許通信b)應(yīng)刪除多余或無(wú)效的訪問(wèn)控制規(guī)則，優(yōu)c)應(yīng)對(duì)源地址、目的地址、源端口、目的端口和協(xié)議等進(jìn)行檢查，以允許/拒d)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為進(jìn)出數(shù)據(jù)流提供明確的允許/拒應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼進(jìn)行檢測(cè)和清除，并維護(hù)惡意代碼防護(hù)機(jī)制的升級(jí)和更a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行安全審計(jì)，審計(jì)覆蓋到每個(gè)用戶，對(duì)重要的用戶行為b)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)的信a)可基于可信根對(duì)邊界設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程進(jìn)行可信驗(yàn)證，并在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送至b)宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)c)宜采用自主可控安全防護(hù)區(qū)設(shè)備，設(shè)備CPU、操作系統(tǒng)、轉(zhuǎn)應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制。防火墻應(yīng)只開(kāi)放政務(wù)網(wǎng)提供接入服務(wù)的必需的服務(wù)端口，對(duì)流經(jīng)互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合法性檢查。為了保證業(yè)務(wù)的可宜在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署入侵防御系統(tǒng)，動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)上所有流過(guò)的數(shù)據(jù)包，進(jìn)和分析，及時(shí)發(fā)現(xiàn)漏洞、蠕蟲(chóng)、木馬等非法和應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)部署防病毒功能，可在防火墻或入侵檢測(cè)設(shè)備上開(kāi)啟，及時(shí)更新病毒庫(kù)，阻止病毒入侵和傳播，進(jìn)行及時(shí)的查殺。防病毒模塊宜集成在防火墻部署流量探針，對(duì)流經(jīng)網(wǎng)絡(luò)邊界的流量進(jìn)行提取和還原，送至后有特殊需求的縣級(jí)單位自建安全接入平臺(tái)時(shí)，可參考市級(jí)要求進(jìn)行對(duì)于縣級(jí)政務(wù)部門局域網(wǎng)接入到政務(wù)外網(wǎng)城域網(wǎng)，應(yīng)設(shè)部門用戶接入應(yīng)在該區(qū)域部署防火墻，實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制。防火墻應(yīng)只開(kāi)放政務(wù)網(wǎng)絡(luò)所提供接入服務(wù)的必要服務(wù)端口，對(duì)流經(jīng)部門用戶接入?yún)^(qū)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行合法性檢查。為了保證業(yè)務(wù)的可服務(wù)性，防火應(yīng)在該區(qū)域部署入侵防御系統(tǒng)，可在防火墻上開(kāi)啟入侵防御功能，動(dòng)態(tài)檢測(cè)網(wǎng)絡(luò)上所有流過(guò)的數(shù)據(jù)包，進(jìn)行實(shí)時(shí)檢測(cè)和分析，及時(shí)發(fā)現(xiàn)漏洞、蠕蟲(chóng)、木馬等非法和異常行為，并且支持告警、阻斷等功應(yīng)在該區(qū)域部署防病毒功能，可在防火墻上開(kāi)啟，及時(shí)更新病毒庫(kù)，阻止病毒入侵和傳播，進(jìn)行及時(shí)b)應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)a)可基于可信根對(duì)通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等可信驗(yàn)證，并在檢測(cè)到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄送b)宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)c)宜采用自主可控通信設(shè)備，設(shè)備CPU、操作系統(tǒng)、a)各級(jí)政務(wù)部門局域網(wǎng)的安全及等級(jí)保護(hù)工作由各政務(wù)部門會(huì)同本級(jí)電子政務(wù)外網(wǎng)管理機(jī)b)政務(wù)部門局域網(wǎng)接入政務(wù)外網(wǎng)，應(yīng)在部門局域網(wǎng)做好訪問(wèn)控制、IP地址管理，對(duì)于訪問(wèn)政務(wù)外網(wǎng)的系統(tǒng)和終端應(yīng)具有病毒防范，接入部門應(yīng)做好審計(jì)等功能，應(yīng)根據(jù)各單位的安全增加終端安全管理系統(tǒng)和選擇不同網(wǎng)絡(luò)區(qū)域的安全a)部門局域網(wǎng)與公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，使用防火墻或者安全網(wǎng)關(guān)進(jìn)行安全防a)接入終端應(yīng)使用政務(wù)部門局域網(wǎng)統(tǒng)一分配的b)應(yīng)對(duì)計(jì)算機(jī)終端進(jìn)行安全防護(hù)和準(zhǔn)入控制，計(jì)算機(jī)終端安裝病毒與惡意代碼防護(hù)軟件，并及c)政務(wù)部門局域網(wǎng)終端應(yīng)僅具備一個(gè)網(wǎng)絡(luò)的訪問(wèn)權(quán)限，訪問(wèn)政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)的d)終端宜具備安全沙箱隔離能力，并能通過(guò)動(dòng)態(tài)威脅監(jiān)控手段實(shí)時(shí)調(diào)整用a)應(yīng)對(duì)信息資產(chǎn)、威脅情報(bào)、漏洞信息等進(jìn)行生命周期管理，包含網(wǎng)絡(luò)和IT資產(chǎn)管理、知b)應(yīng)匯聚安全告警、風(fēng)險(xiǎn)、安全態(tài)勢(shì)等信息，進(jìn)行關(guān)聯(lián)分析、智能推理、分成安全防護(hù)控制策略和業(yè)務(wù)安全控制策略，基于決策結(jié)果進(jìn)行服務(wù)的編排、調(diào)度和配置，包c(diǎn))應(yīng)具備針對(duì)安全風(fēng)險(xiǎn)主動(dòng)發(fā)現(xiàn)、趨勢(shì)分析、風(fēng)險(xiǎn)預(yù)判、即時(shí)通報(bào)預(yù)警能力，以及號(hào)的違規(guī)行為發(fā)現(xiàn)能力，包含安全態(tài)勢(shì)、安全審計(jì)、安全風(fēng)險(xiǎn)評(píng)估和安d)應(yīng)具備與安全網(wǎng)元、網(wǎng)絡(luò)網(wǎng)元自動(dòng)聯(lián)動(dòng)處置能力，可將威脅近源快速阻斷，保證d)運(yùn)維審計(jì)系統(tǒng)對(duì)所有運(yùn)維操作進(jìn)行實(shí)時(shí)監(jiān)控和歷史回放，打造透明化、可視化運(yùn)e)運(yùn)維管理平臺(tái)需要對(duì)當(dāng)前所有的非標(biāo)準(zhǔn)協(xié)議、客戶端工具進(jìn)行支持，包括授權(quán)在業(yè)務(wù)擴(kuò)充的情況下依然能夠進(jìn)行有效的運(yùn)維f)應(yīng)對(duì)運(yùn)維審計(jì)記錄進(jìn)行保護(hù)，定期備份，避免受到未預(yù)期的刪除、修g)宜采用密碼技術(shù)保證運(yùn)維審計(jì)系統(tǒng)a)漏洞掃描系統(tǒng)應(yīng)提供安全自查能力、營(yíng)造安全可靠的網(wǎng)絡(luò)環(huán)境，實(shí)現(xiàn)風(fēng)險(xiǎn)提前發(fā)現(xiàn)，避b)應(yīng)支持系統(tǒng)掃描、Web掃描、數(shù)據(jù)庫(kù)掃描、基線掃描及弱口令等多項(xiàng)功能；c)漏洞庫(kù)應(yīng)涵蓋豐富的安全漏洞和攻擊特征，支持CVE、CVSS、CNVID、CNNVD、CNCVd)應(yīng)支持設(shè)備的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)安全檢查、日常安全檢a)應(yīng)對(duì)資產(chǎn)進(jìn)行全面的安全事件和安全b)應(yīng)能收集的安全事件和日志進(jìn)行集中式、防篡改、防盜取、大容量的持久化保存，滿足6個(gè)月c)應(yīng)支持保存的安全事件和日志進(jìn)行快速查詢、檢索，便于管理人員定位d)應(yīng)支持根據(jù)收集到的安全事件和安全日志分析信息資產(chǎn)的安全狀況，通過(guò)內(nèi)置的f)宜采用密碼技術(shù)保證日志審計(jì)系統(tǒng)a)市級(jí)電子政務(wù)管理機(jī)構(gòu)負(fù)責(zé)全市電子政務(wù)外網(wǎng)標(biāo)準(zhǔn)規(guī)范和安全保障體系建設(shè)，負(fù)責(zé)指導(dǎo)工作，具體負(fù)責(zé)市本級(jí)電子政務(wù)外網(wǎng)的規(guī)劃、建設(shè)、運(yùn)維和安全管理工作，以及市本級(jí)b)各縣級(jí)電子政務(wù)外網(wǎng)管理機(jī)構(gòu)具體負(fù)責(zé)本級(jí)電子政務(wù)外網(wǎng)的規(guī)劃、建設(shè)、運(yùn)維和安全管理工作，以及本地區(qū)非涉密業(yè)務(wù)專網(wǎng)整合遷移或融合互c)接入政務(wù)外網(wǎng)的部門和單位負(fù)責(zé)本部門本單a)市本級(jí)、各縣級(jí)電子政務(wù)外網(wǎng)需組建電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全管理小組，領(lǐng)導(dǎo)小組應(yīng)按照主管誰(shuí)負(fù)責(zé)，誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的原則，明確專人負(fù)責(zé)網(wǎng)絡(luò)安全管理工作，加強(qiáng)人員b)明確專業(yè)運(yùn)維人員，嚴(yán)格按照管理制度和業(yè)務(wù)流程形成網(wǎng)絡(luò)安全工作的閉環(huán)，做好電子政務(wù)外網(wǎng)鏈路業(yè)務(wù)實(shí)時(shí)狀態(tài)監(jiān)控、異常事件實(shí)時(shí)通報(bào)處理、設(shè)備狀態(tài)監(jiān)控維護(hù)和信息安c)應(yīng)具備密碼應(yīng)用安全管理制度,包括密碼人員管理、密鑰管理、建設(shè)運(yùn)行、應(yīng)a)定期梳理信息化資產(chǎn)、設(shè)備管理臺(tái)賬，對(duì)過(guò)保的軟、硬件設(shè)備，須采購(gòu)有效的維保服，b)縣（市、區(qū)）和鎮(zhèn)（街道）之間的邊界，可增設(shè)邊界防護(hù)設(shè)備和把控措施，如防火墻、入侵c)各網(wǎng)絡(luò)邊界設(shè)備嚴(yán)禁透明部署，安全策略須細(xì)化到IP及接口，安全設(shè)），機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報(bào)等信息匯集到審計(jì)中心，實(shí)現(xiàn)全市c)各地可根據(jù)實(shí)際情況，建設(shè)電子政務(wù)外網(wǎng)防病毒體系：一是在各類終端、應(yīng)用部署殺毒軟件，并定期進(jìn)行病毒查殺；二是增設(shè)管控平臺(tái)，對(duì)于驅(qū)動(dòng)、存儲(chǔ)等設(shè)備進(jìn)行嚴(yán)格管控，并對(duì)終端的各類信息進(jìn)行監(jiān)控記錄、日志留存，非必要不得開(kāi)放USB、PCI-E等無(wú)d)各單位應(yīng)定期對(duì)本領(lǐng)域政務(wù)外網(wǎng)的業(yè)務(wù)系統(tǒng)、操作系統(tǒng)、中間件、網(wǎng)絡(luò)設(shè)備、安行漏洞掃描，以評(píng)估各資產(chǎn)安全情況，結(jié)合威脅情報(bào)、資產(chǎn)等級(jí)、漏洞危害性等要素進(jìn)a)須加強(qiáng)機(jī)房基礎(chǔ)建設(shè)，確保強(qiáng)電、消防、精密空調(diào)、防雷防靜電等基礎(chǔ)設(shè)施正常運(yùn)轉(zhuǎn)，b)須強(qiáng)化電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)的隔離管理，嚴(yán)禁電子政務(wù)外網(wǎng)的業(yè)務(wù)系統(tǒng)與互聯(lián)a)一級(jí)故障事件（緊急直接導(dǎo)致系統(tǒng)癱瘓或者服務(wù)中斷、嚴(yán)b)二級(jí)故障事件（重要故障直接影響服務(wù)，會(huì)導(dǎo)致a)遵循先搶通后修復(fù)原則進(jìn)行故障處理，優(yōu)先保障業(yè)務(wù)和應(yīng)用b)接到故障申告或故障協(xié)查后，應(yīng)記錄故障信息，并生成故障紀(jì)錄單，故障紀(jì)錄單的內(nèi)容至少包括：網(wǎng)絡(luò)用戶標(biāo)識(shí)碼、用戶名稱、網(wǎng)絡(luò)通達(dá)方向、故障發(fā)生時(shí)間、故障現(xiàn)象描述、申告人c)對(duì)故障進(jìn)行預(yù)處理，判斷故障原因，需要上、下級(jí)政務(wù)外網(wǎng)管理機(jī)構(gòu)配合的，及e)初步恢復(fù)故障后，需要進(jìn)行業(yè)務(wù)相關(guān)測(cè)試，一方面確認(rèn)業(yè)務(wù)恢復(fù)，另一方面測(cè)f)應(yīng)及時(shí)向故障申告人反饋故障處理進(jìn)程，故障解決后，進(jìn)行記錄并與故障申告人當(dāng)出現(xiàn)重大網(wǎng)絡(luò)故障時(shí)，應(yīng)向主管單位進(jìn)行通告向上一級(jí)政務(wù)外網(wǎng)管理機(jī)構(gòu)提交故障升級(jí)報(bào)告括：故障的上報(bào)人、升級(jí)時(shí)間、升級(jí)對(duì)象、通報(bào)內(nèi)容、升級(jí)反饋時(shí)間和修復(fù)時(shí)間等。故障報(bào)告內(nèi)容應(yīng)包括：嚴(yán)重影響用戶通信的網(wǎng)絡(luò)故障、故障處理超時(shí)和疑難故障處理不當(dāng)?shù)刃畔?。?dāng)出現(xiàn)如下四類政——I類：網(wǎng)絡(luò)重大通信故障、網(wǎng)間通信故障、各種自然災(zāi)害、突發(fā)事件等導(dǎo)致大量網(wǎng)絡(luò)中斷；故障處理完成后，應(yīng)以書(shū)面或電子化形式提供統(tǒng)一格式的故障處理報(bào)告和網(wǎng)絡(luò)質(zhì)量運(yùn)行報(bào)告務(wù)外網(wǎng)管理機(jī)構(gòu)負(fù)責(zé)存檔。故障處理報(bào)告應(yīng)至少包括：用戶名稱、故障申業(yè)務(wù)承載：評(píng)估電子政務(wù)外網(wǎng)IPv6應(yīng)用的承載支撐質(zhì)量情接入管理：評(píng)估非涉密專網(wǎng)整合部門、中央駐蘇單位接入等應(yīng)接盡接工作完成情況。網(wǎng)絡(luò)安全：評(píng)估全年網(wǎng)絡(luò)安全工作及重大活動(dòng)期間網(wǎng)絡(luò)安全保8.2管理平臺(tái)建設(shè)要求8.2.2運(yùn)維服務(wù)管理平臺(tái)建設(shè)及對(duì)市本級(jí)及區(qū)縣電子政務(wù)外網(wǎng)運(yùn)維服務(wù)管理系統(tǒng)建a)應(yīng)提供開(kāi)放的南向?qū)幽芰ΓС峙c本級(jí)網(wǎng)絡(luò)控制系統(tǒng)，運(yùn)營(yíng)商網(wǎng)絡(luò)運(yùn)維系統(tǒng)和其它運(yùn)維支b)應(yīng)收集本級(jí)電子政務(wù)外網(wǎng)資源信息，呈現(xiàn)完整的網(wǎng)絡(luò)設(shè)備資源、鏈路資源、拓?fù)鋍)應(yīng)支持收集電子政務(wù)外網(wǎng)性能和告警信息，與拓?fù)溥M(jìn)行關(guān)聯(lián)和篩d)市級(jí)運(yùn)維平臺(tái)應(yīng)提供向上級(jí)聯(lián)能力，市級(jí)資源信息庫(kù)等同步到省級(jí)平臺(tái)跟蹤管理，省級(jí)平臺(tái)下發(fā)的預(yù)警、安全事件、通報(bào)、運(yùn)維工單等信市級(jí)平臺(tái)聯(lián)動(dòng)和協(xié)調(diào)處置，對(duì)接架構(gòu)、對(duì)接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對(duì)接模式、對(duì)e)縣級(jí)運(yùn)維平臺(tái)應(yīng)提供向上級(jí)聯(lián)能力，縣級(jí)資源信息、性能信庫(kù)等同步到市級(jí)平臺(tái)跟蹤管理，市級(jí)平臺(tái)下發(fā)的預(yù)警、安全事件、通報(bào)、運(yùn)維工單等信縣級(jí)平臺(tái)聯(lián)動(dòng)和協(xié)調(diào)處置，對(duì)接架構(gòu)、對(duì)接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對(duì)接模式、對(duì)f)市級(jí)運(yùn)維平臺(tái)宜支持與縣級(jí)運(yùn)維系統(tǒng)、運(yùn)營(yíng)商運(yùn)維系g)市、縣級(jí)運(yùn)維平臺(tái)級(jí)聯(lián)需要經(jīng)過(guò)安全身份認(rèn)證，數(shù)據(jù)算法的相關(guān)內(nèi)容,應(yīng)按國(guó)家有關(guān)法規(guī)實(shí)施，涉及采用密碼技術(shù)解決保密性、完整性、真實(shí)性、不可否認(rèn)性需求的應(yīng)遵循密碼相關(guān)國(guó)家標(biāo)8.2.3安全大數(shù)據(jù)管理平臺(tái)建設(shè)及對(duì)接a)安全大數(shù)據(jù)平臺(tái)應(yīng)具備綜合審計(jì)能力，綜合審計(jì)并實(shí)時(shí)采集本級(jí)對(duì)象應(yīng)包括：終端、網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)等安全操作行為；b)安全大數(shù)據(jù)平臺(tái)應(yīng)具備采集本級(jí)的邊界檢測(cè)數(shù)據(jù)，本級(jí)協(xié)議接口采集對(duì)象應(yīng)包括：IDS、堡壘機(jī)、IPS、WAF、漏洞掃描、防火墻、防毒墻、網(wǎng)閘、抗DDOS等；c)安全大數(shù)據(jù)平臺(tái)應(yīng)能夠?qū)Π踩袨楹蛿?shù)據(jù)進(jìn)行采集匯聚，并運(yùn)用數(shù)據(jù)挖掘分析技術(shù)對(duì)各種安全行為進(jìn)行態(tài)勢(shì)感知和事件溯源分析，支持通過(guò)網(wǎng)安聯(lián)動(dòng)策略，在網(wǎng)絡(luò)設(shè)備上近源阻斷處置；d)市級(jí)大數(shù)據(jù)平臺(tái)應(yīng)提供向上級(jí)聯(lián)能力，市級(jí)網(wǎng)絡(luò)風(fēng)險(xiǎn)隱患、漏洞情報(bào)、告警數(shù)據(jù)、安全事件、安全報(bào)表、案例數(shù)據(jù)、運(yùn)行狀態(tài)等同步到省級(jí)平臺(tái)跟蹤管理，省級(jí)平臺(tái)下發(fā)的預(yù)警通報(bào)數(shù)據(jù)，共享案例知識(shí)庫(kù)數(shù)據(jù)等信息在市級(jí)平臺(tái)聯(lián)動(dòng)和協(xié)調(diào)處置，對(duì)接架構(gòu)、對(duì)接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對(duì)接模式、對(duì)接范圍、對(duì)接技術(shù)要求、對(duì)接開(kāi)發(fā)等按DB32/T4318.1的要求實(shí)現(xiàn)；e)縣級(jí)大數(shù)據(jù)平臺(tái)應(yīng)提供向上級(jí)聯(lián)能力，縣級(jí)網(wǎng)絡(luò)風(fēng)險(xiǎn)隱患、漏洞情報(bào)、告警數(shù)據(jù)、安全事件、安全報(bào)表、案例數(shù)據(jù)、運(yùn)行狀態(tài)等同步到市級(jí)平臺(tái)跟蹤管理，市級(jí)平臺(tái)下發(fā)的警通報(bào)數(shù)據(jù)，共享案例知識(shí)庫(kù)數(shù)據(jù)等信息在縣級(jí)平臺(tái)聯(lián)動(dòng)和協(xié)調(diào)處置，對(duì)接架構(gòu)、對(duì)接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對(duì)接模式、對(duì)接范圍、對(duì)接技術(shù)要求、對(duì)接開(kāi)發(fā)等按DB32/T4318.1的要求實(shí)現(xiàn)；f)市、縣級(jí)大數(shù)據(jù)平臺(tái)級(jí)聯(lián)需要經(jīng)過(guò)安全身份認(rèn)證，數(shù)據(jù)