ICS 35.240 L67 保 DB5305 山 市 地 方 标 准 DB 5305/T 19.6—2019 替代 DG5305/T 19.6—2017 保山市信息惠民工程综合标准 第 6 部分:电子政务外网建设技术标准 2019 - 10 - 30 发布 保山市市场监督管理局 2019 - 11 - 01 实施 发 布 DB5305/T 19.6-2019 前    言 本标准按照GB/T 1.1—2009《标准化工作导则 第1部分：标准的结构和编写》给出的规则起草。 本标准中附录A为规范性附录，附录B为规范性附录。 本标准由保山市大数据管理局提出。 本标准由保山市工业和信息化委员会归口。 本标准起草单位：保山市大数据管理局。 本标准主要起草人：刘志胡、王明超、李祖燕、丁威、罗红建、张忠信、陈秋玲。 本标准替代DG5305/T 19.6—2017。 DB5305/T 19.6-2019 保山市信息惠民工程综合标准 第 6 部分 电子政务外网建设技术标准 1 范围 本标准规定了保山市电子政务外网的整体架构和组网技术标准。本标准适用于保山市电子政务外网 平台的立项、规划、设计、实施和运行管理。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的 修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 国家电子政务外网 IP 地址及域名管理规划(试行) DB5305/T 19.3-2019 保山市信息惠民工程综合标准 术语 3 术语和定义 DB5305/T 19.3-2019 确立的以及下列术语和定义适用于本标准。 3.1 电子政务外网 电子政务外网（简称政务外网）是按照《国家信息化领导小组关于我国电子政务建设指导意见》 （中 办发〔2002〕17 号）文件和《国家信息化领导小组关于推进国家电子政务网络建设的意见》（〔2006〕 18 号）文件要求建设的我国电子政务重要公共基础设施，是服务于各级党委、人大、政府、政协、法 院和检察院等政务部门，满足其经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。 政务外网支持跨地区、跨部门的业务应用、信息共享和业务协同，以及不需在政务内网上运行的业务。 政务外网由中央政务外网和地方政务外网组成，与互联网逻辑隔离。 3.2 互联网 互联网，又称网际网络，或音译因特网(Internet)、英特网，互联网始于 1969 年美国的阿帕网。 是网络与网络之间所串连成的庞大网络，这些网络以一组通用的协议相连，形成逻辑上的单一巨大国际 网络。 3.3 虚拟专用网 VPN VPN，即虚拟专用网，指的是依靠 ISP（Internet 服务提供商）和其它 NSP（网络服务提供商），在 公用网络中建立专用的数据通信网络的技术。在虚拟专用网中，任意两个节点之间的连接并没有传统专 网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的。 3.4 多协议标签交换 MPLS VPN MPLS VPN 指在电子政务二三四级网络中，为了实现业务的隔离和安全，采用 BGP/MPLS IP VPN 进 行安全隔离，将不同的业务进行纵向和横向隔离，保证在信息共享的基础上实现业务安全隔离。 3.5 网元管理系统 网元管理系统是管理特定类型的一个或多个电信网络单元（NE）的系统。一般来说，EMS 管理着每 1 DB5305/T 19.6-2019 个 NE 的功能和容量，但并不理会网络中不同 NE 之间的交流。 4 缩略语 下列缩略语适用于本标准。 ——ABR：Area Border Router，区域边界路由器 ——AS：Autonomous System，自治系统 ——ASBR：Autonomous System Boundary Router，自治系统边界路由器 ——BDR：Back-Up Designated Router，备份指定路由器 ——BGP：Border Gateway Protocol，边界网关协议 ——DR： Designated Router，指定路由器 ——EBGP：External Border Gateway Protocol，外部边界网关协议 ——EMS:Network Element Management System，网元管理系统 ——IBGP：Internal Border Gateway Protocol，内部边界网关协议 ——ID：Identity，标识号 ——IP：Internet Protocol，网络之间互连的协议 ——IGP：Interior Gateway Protocol，内部网关协议 ——IPS: Intrusion Prevention System，入侵防御系统 ——ISP：Internet Service Provider，互联网服务提供商 ——ITIL：Information Technology Infrastructure Library，IT 基础架构库 ——LSA：Link-State Advertisement，链路状态广播 ——MPLS：Multi-Protocol Label Switch，多协议标签交换 ——NSP：Network Services Provider，网络服务提供商 ——OSPF：Open Shortest Path First，开放式最短路径优先，是一个内部网关协议 ——SDH：Synchronous Digital Hierarchy，同步数字体系 ——SNMP：Simple Network Management Protocol，简单网络管理协议 ——SSL：Secure Sockets Layer，安全套接层 ——STM：Synchronous Transfer Module，同步传输模式 ——VPN：Virtual Private Network，虚拟专用网络 5 政务外网总体构成 政务外网建设将严格按照国家电子政务外网的总体规划和技术标准，系统整体采用模块化与分层架 构来设计。政务外网应考虑未来 IPv6 的发展，支持 MPLS VPN，支持数据、语音、视频业务，并实现网 络管理和运行服务支撑。保山市政务外网主要包括如下： ——省-市-县三级纵向网； ——市级横向网、县(市、区)横向网； ——统一市级互联网出口； ——行政村互联网 VPN 接入与移动办公 VPN 接入系统； ——上连省电子政务外网； ——市、县两级外网数据中心。 6 政务外网业务模型 6.1 政务外网模型 2 DB5305/T 19.6-2019 6.1.1 政务外网公共基础设施业务模型 政务外网公共基础设施业务模型如图1。 图 1 政务外网公共基础设施业务模型 VPN VPN 逻 辑隔离 防火墙、入侵防御逻辑 逻 隔离 辑隔离 政务 VPN 用户 主要政务用户 专用网络区 公用网络区 委厅 VPN1 政务互联网用户 互联网接入区 政务外网 互联网 共享平台 服务 安 全 委厅 VPN2 安 全 交换 委厅 VPNn 公共网络 交换 服务 安全和 认证服务 G-C 业务 公众用户 G-B 业务 internet 企业 外网安全 接入平台 G-G 业务 移动办公 安 全 互联 政务部门 （MPLS VPN） （Global） （internet VPN） 政务外网公共基础设施 6.1.2 政务外网逻辑分区 根据政务外网所承载的业务和系统服务类型的不同，在逻辑上将政务外网划分为公用网络区 (Global)、专用网络区(MPLS VPN)和互联网接入区(Internet VPN)三个功能域，分别提供政务外网互联 互通业务、专用 VPN 业务和互联网业务。 6.1.3 功能区间安全手段 功能域相互之间安全隔离，公用网络区用于实现各部门、各地区互联互通，实现数据共享；专用网 络区用于实现不同部门或不同业务之间的 MPLS VPN 相互隔离，用于专门部门和专有业务的通信；互联 网接入区用于实现各级政务部门通过逻辑隔离手段安全接入互联网，提供面向社会的公共服务和互联网 访问。政务外网通过构建互联网安全接入平台，实现各级政务部门移动办公的公务人员利用互联网通道， 通过数字证书认证和密码技术，安全接入政务外网，访问指定的业务应用系统。 6.2 政务外网网络架构 保山市政务外网向上连接省电子政务外网、向下连接保山各县区政务网。市级节点建设市数据中心， 实现市级各单位数据共享。保山市政务外网如图 2。 3 DB5305/T 19.6-2019 图 2 保山市政务外网示意图 省电子 Internet 政务外网 入侵检 测系统 市数据中心/云平台 市级电子政务外网 Vpn 接入 核心路由器 网关 局域网接入 手机接入无线终端接入 市横向接入单位 区县横向接入 6.2.1 市级单位接入汇聚路由器 区县汇聚路由器 电子政务外网骨干图 传输线路 政务外网骨干网络尽量采用光纤连接，政务外网核心设备之间采用冗余线路连接，核心与汇聚以及 汇聚与接入设备之间也采用冗余线路连接。 6.2.2 路由协议 电子政务外网核心、汇聚以及接入层设备可采用 OSPF 路由协议，实现冗余线路的切换。 6.2.3 网络带宽 核心设备以及核心与汇聚之间采用万兆链路连接，汇聚与接入之间可以采用千兆链路连接。 6.3 6.3.1 互联网出口与远程 VPN 接入 市互联网出口 市电子政务办设置统一的互联网出口，与互联网进行安全可控连接，提供公共服务与 VPN 接入、互 联网访问使用。市互联网出口安全设备包括防火墙设备、入侵防御系统。防火墙的性能能够达到小包 64 字节的吞吐量 4Gbps 以上，同时能够支持虚拟防火墙和 SSL VPN 接入。IPS 入侵防御系统的部署，配 合防火墙进行 2～7 层的全面安全防护。考虑到当前应用层攻击的多样化，越来越多的攻击事情都是通 过木马、病毒等方式发起，IPS 具有防病毒网关的功能，能够同时阻断病毒和恶意攻击。 6.3.2 远程 VPN 接入 市级阶段设置 VPN 接入网关和 1 套认证管理系统；VPN 接入认证通过认证管理系统，实现对接入 用户的身份认证。VPN 接入网关通过提供 SSL VPN 方式提供用户拨号认证和加密，用户认证管理系统采 用标准的 RADIUS 协议进行身份认证。市管理员管理维护属于自己区域的用户信息和策略定义。 4 DB5305/T 19.6-2