DB3209T 1257-2023 电子政务外网 建设标准技术规范

ICS35.240.01CCSL67盐 城 市 地 方 标 准DB3209/T1257—2023电子政务外网建设技术规范E-governmentnetworkTechnicalspecification2023-12-15发布 2024-03-15实施盐城市市场监督管理局 发布DB3209/T1257-2023DB3209/T1257-2023PAGEPAGE2目 次目次 2前言 31范围 42规性用件 43术和义 44缩语 55网平建规范 6络体构 6级子务网设规范 6级子务网设规范 9治和由范 12络务量计范 13网入范 146IP地规划 15址级理 15址配则 15IPv4地分配 16IPv6地分配 167安体建规范 17体求 17级全术求 18级全术求 248管体建规范 29理作求 29理台设求 31附录规性）网设备求 34附录规性）安设备求 36附录资性）盐市各区行区代及务IPv6址照表 41附录资性）委局分统表 42参考献 45前 言GB/T《标准化工作导则第1本文件由盐城市电子政务办公室提出并归口。本文件起草单位：盐城市电子政务办公室。本文件主要起草人：刘强、赵启萌、王磊、孙约。DB3209/T1257-2023DB3209/T1257-2023PAGEPAGE4电子政务外网建设技术规范范围IP本文件适用于盐城市级、县（区）级电子政务外网建设，以及各级政务部门局域网接入。（GB/T21061GB/T22239GB/T25070GB/T39786DB32/T4318.1电子政务外网安全大数据和运维保障平台接入规范第1部分：安全大数据平台DB32/T4318.2电子政务外网安全大数据和运维保障平台接入规范第2部分：运维保障平台以及下列术语和定义适用于本文件。电子政务外网e-governmentnetwork注：电子政务外网纵向连通国家、省、地（市）、县（市、区）、乡（镇、街道）、村（社区），横向覆盖各级党委、人大、政府、政协、法院和检察院等部门。广域网WideAreaNetworks）（）（）metronetwork把同一城市内不同单位的局域网络连接起来的网络称为城域网，实现不同单位跨部门业务的数据共享与交换。网络切片networkslicingSLA随流测 in-situflowinformationtelemetry一种直接对业务报文进行端到端测量，从而得到网络的真实丢包率、时延等性能指标的检测方式，具有部署方便、统计精度高等突出优点。缩略语下列缩略语适用于本文件。5G：（5thGeneration）；AAA（authentication,authorization,andaccounting）；APT（AdvancedPersistentThreat）；ARP（AddressResolutionProtocol）；APN6IPv6（application-awareIPv6networking）；C&C（CommandandControl）；CE：（CustomerEdge）；DDoSDistributedDenialofService)；DGADomainGenerationAlgorithmDHCPDynamicHostConfigurationProtocol)；DNN（DataNetworkName）；DNS(DomainNameServer)；EGPExteriorGatewayProtocol)；GREGenericRoutingEncapsulation)；EUI-64：6464-bitExtendedUniqueIdentifier)；IGPInteriorGatewayProtocol)；IMSI（InternationalMobileSubscriberIdentity）；IMEI（InternationalMobileEquipmentIdentity）；IPSecVPN：互联网协议安全协议虚拟专用网络(InternetProtocolsecurityvirtualprivatenetwork)；IPv44（InternetProtocolversion4）；IPv66（InternetProtocolversion6）；IPv6IPv6（IPv6Plus）；IS-IS（IntermediateSystemtoIntermediateSystem）；LACP（LinkAggregationControlProtocol）；MP：（MultilinkProtocol）；DB3209/T1257-2023DB3209/T1257-2023PAGEPAGE6MPLS（Multi-ProtocolLabelSwitching）；MSTP（Multi-serviceTransmissionPlatform）；NAT（NetworkAddressTranslation）；NFSNetworkFileSystem)；OSPF(OpenShortestPathFirst)；PE(ProviderEdge)；PPP（point-to-pointprotocol）；QoSQualityofService)；RIPRoutingInformationProtocol)；RR(RouteReflector)；SDHSynchronousDigitalHierarchy)；SDNSoftwareDefinedNetwork)；SIM（SubscriberIdentityModule）；SLAServiceLevelAgreement)；SNMPSimpleNetworkManagementProtocol)；SRv6：IPv6（IPv6SegmentRouting）；SSLVPN(VirtualPrivateNetworkoverSecureSocketsLayer)；TWAMP（Two-WayActiveMeasurementProtocol）；URL(UniformResourceLocatorUPF：5GSBA（userplanefunction）；VLANVirtualLocalAreaNetwork)；VPN（VirtualPrivateNetworks）；VxLAN（VirtualeXtensibleLocalAreaNetwork）；Wi-Fi（WirelessFidelity电子政务外网由市、县（区）二级组成，具体如下：（镇、街道）（）电子政务外网网络实行统一规划、统一标准、分级建设、分级管理。市级电子政务外网组网示意见图1。市级广域核心节点横向连接市级城域网，纵向上联省级广域接入节点形成背靠背联接，下联各县广域核心，采用双设备双线路冗余设计，形成“口”字型组网结构。市城域汇聚层设备主要汇接各政务部门局域网的接入设备，应使用双上联方式连接核心层设VPN5GUPF5G5G5G图1市级电子政务外网架构图本项要求如下：DB3209/T1257-2023DB3209/T1257-2023PAGEPAGE87020Gbps；50Gbps50Gbps；10Gbps；10Gbps线路类型本项要求如下：MSTPSDHOTNVPNMTUMTU20009000/政务外网建设应向IPv6单栈模式发展演进。SDN+SRv6技术为IPv6SRv6VPNIPv4、IPv6应采用网络切片技术为IPv6业务提供确定性带宽保障，具体要求如下：（10G40G100G）1G2G5G10GIGPIGPIPv6应根据业务需要进行带宽实时保障和网络质量监控，宜采用APN6技术对IPv6业务进行识别。IPv6网络不应使用NAT转换技术。IPv6设备应符合自主可控相关要求。网络设备技术能力应符合附录A要求。市级电子政务外网接入单位根据性质和业务分为一、二、三类单位，单位分类列表见附录D，接入要求如下：/IPv6IPv6IPv6IPv6IPv6IPv4/IPv6VPN5G5G移动用户接入要求如下：5GIPv4IPv6通过5GIPIP5GSATDD-LTE\FDD-LTEIPv6IPv6IPv4IPv4IPv6SIMWi-Fi、BlueToothVPNLAN县级电子政务外网遵循层次化设计的原则，按照使用功能和网络建设规模大小，可采用“核心层-接入层”二层架构或“核心层-汇聚层-接入层”三层架构规划。组网架构示意见图2。组网要求如下：DB3209/T1257-2023DB3209/T1257-2023PAGEPAGE10VPNIPsecVPN图2县级电子政务外网架构图线路带宽本项要求如下：7010Gbps；10Gbps；100Mbps。线路类型本项要求如下：MSTP、SDH、OTNVPNMTU；MTU20009000政务外网建设应向IPv6单栈模式发展演进。SRv6技术为IPv6SRv6VPNIPv4、IPv6SDN网可以在市级SDN应采用网络切片技术为IPv6业务提供确定性带宽保障，具体要求如下：10G40G100G1G、2G、5G10GIGPIGP应采用随流检测技术为IPv6业务提供状态实时感知和故障快速定界能力，检测粒度应细化到单个部门或具体业务。APN6IPv6IPv6网络不应使用NAT转换技术。IPv6设备应符合自主可控相关要求。网络设备技术能力应符合附录A要求。DB3209/T1257-2023DB3209/T1257-2023PAGEPAGE12县级电子政务外网与市级电子政务外网对接要求如下：VPNASVPNIGP县级电子政务外网接入单位根据性质和业务分为一、二、三类单位，具体接入要求如下：/IPv6IPv6；IPv6IPv6IPv4/IPv6VPNIGP，IGPIS-ISv6BFDforIS-ISOSPFISISBGPRRRRIBGPRRRRIBGP市级本级、各县级电子政务外网共用1个自治域号码：64794。ASIPv6OptionAOptionBEBGPOptionASLAIGPIPIGP1表1基于业务类型的要求业务类型要求政务业务各政务单位对外服务窗口，市民办理社保、公积金、不动产登记等各种一站式服务雪亮工程覆盖市、县、镇、村各级的公共安全视频图像共享交换体系和应用支撑体系公共视频满足各级政务部门内、部门之间高品质视频会议需要物联业务满足物联终端接入需要办公业务满足各级政务部门办公需要专网业务满足通过撤网整合的方式接入电子政务外网的专网业务SLA需要撤线专网业务为通过撤线整合穿越电子政务外网的所有业务专网划分统一的专用切片22保障等级要求普通级别基础网络要求：带宽尽力而为，时延<30ms，丢包≤1E-3关键级别丢包：≤1E-5特殊级别时延：<4ms3DB3209/T1257-2023DB3209/T1257-2023PAGEPAGE14表3基于部门诉求的要求单位诉求要求公共类所有政务部门共享的默认切片。重保类参与重大事件保障政务部门共用切片，按需使用，重保结束后政务部门切换回原有切片专用类为具有特殊诉求的政务部门提供的专用切片。SRv6IPsec考虑IPv6IPv6如SRv6//IPIP市级电子政务外网IP地址总体规划由市级电子政务管理机构负责，各区县级电子政务外网根据总体规划，对所属本级的IP地址资源进行再次分配、管理和使用。IP应按照2n的大小分配连续地址段，有助于路由聚合、缩减路由表、提高路由算法效率。地址分配在每一层次上都留有余量，当网络规模扩展时能保证地址聚合所需的连续性。同一个IP网络中不能有两个主机采用相同的IP地址。严格按照IP地址分配原则进行IP地址的规划及项目实施。IP申请单位根据网络建设情况申请政务外网全局业务IP地址，申请的地址在一年内必须充分有效使用，否则将酌情收回。其它原则如下：IPIPIPIPIPDB3209/T1257-2023DB3209/T1257-2023PAGEPAGE16用户单位访问政务外网公用网络区的转换地址池；IPv6IPv6IPv16bit，IPIPv4IPv4地址分配方式保持不变。IPv6IPv6IPv6：240B:8TZZ:ZZZW:WWYY::/64IPv6IPv631～24240B:8T25～44，ZZ:ZZZ45～56，W:WW57～64，YY65～128EUI-64MAC图3IPv6地址结构市级及级行政区划代码及业务IPv6地址对照表应符合附录A的要求。（T（T（T（T=T=1IPT=2T=3台、视频监控终端、应用软件等；预留T=47（Z（Z）（：Z1、Z2、Z3Z4Z56（5（Z码），Z3：AA、BBCC转码（AAAA为16）6（BB转换成（CC转换成组码2位1（W（W））W1、W2、W3三A、、C、A（W15W、WW3B（1=W1W2、W3C（=D（=e)预留W1=f) W1A⁓F1535::/56（Y子网域（Y码）用于标识不同系统类型所属的业务子网（Y1、Y2分别表示十六进制字符，取值范围00-FF），子网域（Y码）00-7F（前128个）部分由各部门单位自行规划分配；Y码80-FF（后128个）预留。DB3209/T1257-2023DB3209/T1257-2023PAGEPAGE18IPv6GB/T22239、GB/T25070、GB/T39786IPv6IPv4IPv6B物理环境安全目的是保护网络中计算机网络通信有良好的电磁兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生，本项关键要求包括：本项要求如下：访问控制本项要求如下：/,入侵防范本项要求如下：IP安全审计本项要求如下：可信验证本项要求如下：CPU互联网接入区要求市级电子政务外网城域网应建设独立的互联网接入区。DDoSDDoSDDoSDDoSSYNFloodACKFloodFIN/RSTFloodHTTP、HTTPSFlood应在互联网接入区的网络出口部署防火墙，实现网络边界保护和访问控制。防火墙应只开放政务网提供接入服务的必需的服务端口，对流经互联网接入区的网络数据进行合法性检查。为了保证业务的可服务性，防火墙应双机部署，且支持性能的可扩容。防火墙应支持IPv6协议栈、NAT64转换技术。DB3209/T1257-2023DB3209/T1257-2023PAGEPAGE20宜在互联网接入区的网络出口部署入侵防御系统，动态检测网络上所有流过的数据包，进行实时检测和分析，及时发现漏洞、蠕虫、木马等非法和异常行为，并且支持告警、阻断等功能；应在互联网接入区部署防病毒功能，可在防火墙或入侵检测设备上开启，及时更新病毒库，阻止病毒入侵和传播，进行及时的查杀。防病毒模块宜集成在防火墙内。APTC&C宜部署流量探针，对流经网络边界的流量进行提取和还原，送至后端大数据分析平台进行安全分析，识别潜在安全攻击风险。安全设备所产生的日志应发送给日志审计系统，并要求审计日志至少保存6个月。安全接入平台要求VPN网关应采用虚拟子接口、VRF等方式实现与政务外网公用网络区、专用网络区的网络和业务对接。VPNSM2应为接入用户提供服务接口或链路接口等统一入口。应采用高性能、高可靠性、可扩展性的VPN网关，支持IPSecVPN、SSLVPN等功能。RADIUS、LDAP应提供安全接入平台的运行情况监测、用户行为审计和安全接入平台设备的配置管理功能。应通过网络访问控制、入侵检测与防御、防病毒等安全措施实现基础安全防护。可通过在安全接入平台的网络入口、内部安全域边界部署防火墙实现网络边界保护和访问控制。可在安全接入平台的网络入口处部署入侵检测设备或入侵防御系统，动态监视网络上流过的所有数据包，及时发现非法或异常行为。安全设备所产生的日志应发送给日志审计系统，并要求审计日志至少保存6个月。部门局域网接入要求对于市级政务部门局域网接入到电子政务外网城域网，应设部门用户接入区。应在部门用户接入区部署防火墙，实现网络边界保护和访问控制。防火墙应只开放政务网络所提供接入服务的必要服务端口，对流经部门用户接入区的网络数据进行合法性检查。为了保证业务的可服务性，防火墙应支持双机部署，且支持性能的可扩容。应在部门用户接入区部署入侵防御系统，可在防火墙上开启入侵防御功能，动态检测网络上所有流过的数据包，进行实时检测和分析，及时发现漏洞、蠕虫、木马等非法和异常行为，并且支持告警、阻断等功能。应在部门用户接入区部署防病毒功能，可在防火墙上开启，及时更新病毒库，阻止病毒入侵和传播，进行及时的查杀。宜在部门用户接入区部署流量探针，对流经网络边界的流量进行提取和还原，送至后端大数据分析平台进行安全分析，识别潜在安全攻击风险。安全设备所产生的日志应发送给日志审计系统，并要求审计日志至少保存6个月。政务云对接区要求应在政务云对接区部署防火墙，并开启访问控制、入侵防御、病毒防护等安全防护功能。政务云对接区应具备网络边界保护和访问控制功能。应只开放必要的服务端口，并对网络数据进行合法性检查。防火墙应支持双机部署，支持性能的动态扩容。政务云对接区应具备入侵防御功能，可动态检测网络上所有流过的数据包，进行实时检测和分析，及时发现漏洞、蠕虫、木马等非法和异常行为，并且支持告警、阻断等功能。6通信网络安全要求网络架构本项要求包括：QoSVPN通信传输本项要求包括：可信验证DB3209/T1257-2023DB3209/T1257-2023PAGEPAGE22本项要求包括：CPU网络接入安全要求总体要求本项要求包括：IP接入网络边界安全本项要求包括：接入终端安全本项要求包括：IP5G移动终端接入安全本项要求包括：通过5G/5G/（IMSISIM）端接入控制设施，供各接入单位用户使用。本项要求包括：IT运维审计系统要求本项要求包括：IT漏洞扫描系统要求本项要求包括：CVE、CVSSCNVID、CNNVDCNCVE、Bugtraq日志审计系统要求本项要求包括：DB3209/T1257-2023DB3209/T1257-2023PAGEPAGE246本项要求包括：物理访问控制本项要求包括：防盗窃和防破坏本项要求包括：防雷击应将各类机柜、设施和设备等通过接地系统安全接地。防火本项要求包括：防水和防潮：本项要求包括：防静电：应采用防静电地板或地面并采用必要的接地防静电措施。温湿度控制：应设置温湿度自动调节措施，是机房温湿度的变化在设备运行所允许的范围之内。电力供应：本项要求包括：电磁防护：电源线和通信线缆应隔离铺设，避免互相干扰。本项要求包括：//入侵防范应在关键网络节点处监视网络攻击行为。恶意代码防范应在关键网络节点处对恶意代码进行检测和清除，并维护恶意代码防护机制的升级和更新。安全审计本项要求包括：可信验证本项要求包括：CPUDB3209/T1257-2023DB3209/T1257-2023PAGEPAGE26有互联网业务访问诉求的县级电子政务外网应建设独立的互联网接入区域。应在互联网接入区的网络出口部署防火墙，实现网络边界保护和访问控制。防火墙应只开放政务网提供接入服务的必需的服务端口，对流经互联网接入区的网络数据进行合法性检查。为了保证业务的可服务性，防火墙应双机部署，且支持性能的可扩容。防火墙应支持IPv6协议栈、NAT64转换技术。宜在互联网接入区的网络出口部署入侵防御系统，动态检测网络上所有流过的数据包，进行实时检测和分析，及时发现漏洞、蠕虫、木马等非法和异常行为，并且支持告警、阻断等功能。应在互联网接入区部署防病毒功能，可在防火墙或入侵检测设备上开启，及时更新病毒库，阻止病毒入侵和传播，进行及时的查杀。防病毒模块宜集成在防火墙内。部署流量探针，对流经网络边界的流量进行提取和还原，送至后端大数据分析平台进行安全分析，识别潜在安全攻击风险。安全设备所产生的日志应发送给日志审计系统，并要求审计日志至少保存6个月。不具备专线接入条件的县级政务部门、企事业单位和人员，在接入政务外网网络或业务服务平台时，可通过市级安全接入平台统一接入。有特殊需求的县级单位自建安全接入平台时，可参考市级要求进行建设。对于县级政务部门局域网接入到政务外网城域网，应设部门用户接入区。应在该区域部署防火墙，实现网络边界保护和访问控制。防火墙应只开放政务网络所提供接入服务的必要服务端口，对流经部门用户接入区的网络数据进行合法性检查。为了保证业务的可服务性，防火墙应支持双机部署，且支持性能的可扩容。应在该区域部署防病毒功能，可在防火墙上开启，及时更新病毒库，阻止病毒入侵和传播，进行及时的查杀。宜部署流量探针，对流经网络边界的流量进行提取和还原，送至后端大数据分析平台进行安全分析，识别潜在安全攻击风险。安全设备所产生的日志应发送给日志审计系统，并要求审计日志至少保存6个月。通信传输宜采用校验技术保证通信过程中数据的完整性。可信验证本项要求包括：CPUIP接入网络边界安全本项要求包括：本项要求包括：IPDB3209/T1257-2023DB3209/T1257-2023PAGEPAGE28本项要求包括：IT运维审计系统要求本项要求包括：漏洞扫描系统要求本项要求包括：WebCVE、CVSS、CNVID、CNNVDCNCVEBugtraq日志审计系统要求本项要求包括：6（街道、村）本项要求包括：本项要求包括：县（））IP本项要求包括：IPv6、SRv6、MTUIPS、DDOSDB3209/T1257-2023DB3209/T1257-2023PAGEPAGE30（（USBPCI-E本项要求包括：对电子政务外网网络平台故障事件按以下规定分为三个等级：处理流程故障升级按照GB/T21061的规定执行。——I类：网络重大通信故障、网间通信故障、各种自然灾害、突发事件等导致大量网络中断；——II类：由于网络资源提供者的原因造成电子政务业务网络全阻或部分阻断；——III类：重要链路在通信保障期间发生的故障；业务承载：评估电子政务外网IPv6应用的承载支撑质量情况。网络安全：评估全年网络安全工作及重大活动期间网络安全保障等专项工作情况、网络安全事件发生及处置应对情况。管理平台整体结构及互联互通关系见图4。DB3209/T1257-2023DB3209/T1257-20233232图4管理平台总体结构图市本级及区县电子政务外网运维服务管理系统建设及交互要求如下：应DB32/T4318.2DB32/T4318.2VPN。市本级及区县电子政务外网安全大数据管理系统建设及交互要求如下：器、数据库、中间件、应用系统等安全操作行为；安全大数据平台应具备采集本级的边界检测数据，本级协议接口采集对象应包括：IDSIPS、WAF、漏洞扫描、防火墙、防毒墙、网闸、抗DDOS等；为进行态势感知和事件溯源分析，支持通过网安联动策略，在网络设备上近源阻断处置；对接模式、对接范围、对接技术要求、对接开发等按DB32/T4318.1的要求实现；接模式、对接范围、对接技术要求、对接开发等按DB32/T4318.1的要求实现；否认性需求的应遵循密码相关国家标准和行业标准。DB3209/T1257-2023DB3209/T1257-2023PAGEPAGE34附录A（）2-5表A.1网络设备技术要求大项小项技术规范网络互连局域网协议Ethernet_II、基本VLAN链路层协议（如果采用SDH链路）PPP、MP、LACP网络协议IP服务ARP、IP包过滤、策略路由IP路由静态、OSPF、ISIS、BGP、MP-BGPIPv6特性支持IPv6的IP服务和IP路由功能业务隧道SRv6支持SRv6-TEPolicy，SRv6BE协议和转发能力MPLSLDP、基本转发虚拟专网VPNBGP-VPN、BGP-EVPN网络安全性验证、授权、记账服务AAACHAP验证、PAP验证、RADIUS其它安全特性NAT、接口镜像、接口流量采样、业务接口板与主控板流量控制、URPF设备可靠性冗余双主控、电源模块冗余其他特性支持VRRP、硬件BFD服务质量保障流分类分类流量监管与整形CARsrTCMtrTCMDiffServEFAF形拥塞管理WFQ拥塞避免WRED策略路由路由重定向网络切片支持FlexE、逻辑子端口；常用的以太接口类型应支持网络切片；网络1G2G5G10GIGP提供切片扩缩容和切片内业务路径的动态调整能力APN6网络应支持对IPv6APN6进行带宽保障和网络质量监控业务质量检测随流检测技术，支持跨市县的协同故障检测表A.1网络设备技术要求（续）大项小项技术规范设备管理设备管理时间服务NTP、timezone、1588v2、1588ATR网络管理信息处理中心eerecyalertcriticalerror、warning、notification、informational、debugging，支持信息输出到日志主机和用户终端，日志类及告警类信息科通过snmpagent和缓冲区输出SDN技术telemetry、twamp、BGP-LS多级联动IPv6网络拓扑、SRv6VPN拓扑、网络切片拓扑宜支持分权分域控制能力，对县级网络进行统一管理管理协议支持标准snmpv1/v2/v3，rmon，yang自主可控芯片设备关键芯片应自主可控（如CPU、转发芯片、交换芯片等）设备选型该设备应在国内省级政务外网项目中已成熟商用DB3209/T1257-2023DB3209/T1257-2023PAGEPAGE36附录B（）电子政务外网关键安全设备应支持下表所述功能，设备的性能指标应能满足电子政务外网未来业务增长需求，设备可参考以下技术要求。表B.1防火墙技术要求项目技术规范硬件要求应满足自主可控应支持电源、风扇等关键器件冗余，支持2路Bypass链路，提升设备可靠性策略管控能够基于IP、IPv6、MAC地址、时间进行访问控制策略控制支持自定义安全策略，安全策略组功能，支持策略冗余/命中分析路由功能支持静态路由、策略路由、RIP、OSPF、BGP等路由协议IPv6支持IPv6协议栈、IPV6穿越技术、IPV6路由协议，支持NAT66，NAT64，6RD隧道支持对IPv6流量的安全威胁的检测和防护，支持SRv6、网络切片等部署场景下的业务流量安全检测和安全防护接口设置MTU值取值范围支持2000-9000可设置策略管理支持将基于端口的安全策略转换为基于应用的安全策略，分析设备策略风险，及冗余策略，提供安全策略优化建议DDoS防护支持HTTP、HTTPS、DNS、SIP等应用层Flood攻击，支持流量自学习功能，可设置自学习时间，并自动生成DDoS防范策略入侵防御及病毒防护支持对常见应用服务（HTTP、FTP、SSH、SMTP、IMAP）和数据库软件（MySQL、Oracle、MSSQL）的口令暴力破解防护功能支持恶意域名过滤，实现对C&C进行阻断可以支持HTTP、FTP、SMTP、POP3、IMAP、NFS等协议的病毒防护智能威胁防御支持对HTTPS，POP3S，SMTPS，IMAPS加密流量代理解密后，并进行内容过滤，审计，安全防护，并能镜像给第三方设备做审计支持对未知恶意文件渗透及C&C恶意外联等APT攻击进行防御表B.2入侵防御系统技术要求项目技术规范硬件要求支持自主可控部署方式支持透明直路部署模式、旁路部署模式路由支持静态路由、策略路由等可靠性支持双机热备、支持主主部署模式、主备部署模式入侵防护功能能够防范各种应用层攻击，包括但不限于：后门程序，木马程序，间谍软件，蠕虫，僵尸主机，异常代码，协议异常，扫描，可疑行为审计类等能够对跨站攻击、SQL注入等WEB攻击行为进行有效防护支持用户自定义签名规则，支持正则表达式报文检测类型支持对VLAN、IPv4、MPLS、GRE、IPv6、IPv4overIPv6、IPv6overIPv4报文的入侵防护支持SSL加密流量检测应用识别及控制配置应用识别控制功能模块，包括对P2P，IM流媒体，常用邮件以及远程控制软件等的识别和控制防病毒功能支持对SMTP、POP3、HTTP、FTP协议实现病毒扫描检测APT防护对含有未知威胁的文件进行检测，并能阻断响应方式支持日志告警、SNMPTRAP告警、会话阻断、IP隔离、抓包取证等多种响应方式签名库升级支持应用威胁签名库的在线升级、离线升级多种升级方式；支持每周定期升级威胁签名库、病毒库，遇到重大安全事件，支持即时升级威胁报表支持安全威胁的分析报表，提供基于威胁趋势、排行等呈现方式，支持接口流量、应用流量的分析报表支持按日、周、月、导出报表DB3209/T1257-2023DB3209/T1257-2023PAGEPAGE38表B.3抗DDOS设备技术要求项目技术规范硬件要求支持自主可控，采用专业的硬件架构和专用安全操作系统电源模块配置冗余电源且支持热插拔部署模式支持透明模式接入网络的部署模式支持静态引流部署模式支持逐包检测部署攻击响应时延从发现攻击到攻击防御，可支持秒级攻击响防护攻击防御能力系统需具备对常见DDoS攻击能有效的识别及阻断，涵盖的攻击类型至少需要包括：SYNFlood,SYN-ACKFlood，ACKFlood,FIN/RSTFlood,TCPMalformed，TCPConnectionFlood,TCPMalformedTCPFragmentFloodUDPFloodUDPFragmentFlood，ICMPFlood，OtherFlood，各类UDP反射放大系统至少需要支持DNS服务器、HTTP服务器及HTTPS服务器Flood攻击防御能力为适用网络能平滑地从IPv4向IPv6过渡，系统需支持IPV4/IPV6共栈DDoS攻击防御支持僵尸网络IP信誉，信誉库支持自动更新，以保证IP信誉的准确性支持自动及手动两种方式对防护IP的流量进行阻断/黑洞支持手工ACL抓包，按需抓取入流量或转发流量，支持自动抓取攻击报文及可疑流量策略管理为提供精细化的防御，系统支持基于客户防护业务或者租户业务特点配置客户化防御策略支持精细化的流量基线动态学习能力，学习结果可以直接作为防御阈值报表&护IP流量TOPN、防护对象流量TOPN等报表防御系统需对监控的网络的流量进行多维度的统计分析，流量统计分析维度至少需要包含清洗前后流量对比、流量TOPNTCP常见应用流量趋势分析引流回注支持BGP引流;支持策略路由引流支持PBR回注(策略路由)支持MPLSVPN和MPLSLSP回注支持GRETunnel回注表B.4安全态势感知系统技术要求项目技术规范平台要求支持适配国产操作系统支持采用Hadoop大数据架构进行数据存储、检索与计算大数据平台具备大规模集群交付能力威胁检测支持TLS协议解析支持VxLAN、GRE、VLAN、CAPWAP报文解析每周更新IPS签名库和IPS引擎，重大安全事件24小时内更新支持基于AI威胁模型分析，包括C&C流量检测、WEB应用攻击检测、DNSTunnel检测能力、DGA恶意域名检测等支持加密流量免解密检测支持精准识别即时通信类、社交网络类、远程访问类、电子邮箱类、业务应用类、数据备份类、网络代理类等多类别的应用识别自动化响应编排支持预置和自定义安全事件处置，可编排自动化的调查取证和告警联动，实现安全事件的自动化处置闭环支持多种编排动作，包括：终端取证、URL封堵和网络隔离等支持与网络安全设备（如防火墙、入侵检测）、网络控制器设备（如网络控制器）终端EDR联动响应方式表B.5APT防御系统技术要求项目技术规范支持的流量还原类型支持多种协议还原：支持HTTP、SMTP、POP3、IMAP、FTP协议的流量还原支持检测的文件类型压缩文件：gz,rar,cab,7zip,tar,bz2,zipPE：exe,dll,sys（不支持对32位PE格式文件的检测）Office97-2003：doc,xls,ppt；Office2007及以后：docm,dotx,dotm；xmsm,xmtx,xltm,xlam；pptm,potx,potm,ppsx,ppsm,ppam图片：jpg,jpeg,png,tif,gif,bmpWPS：wps,dt,dpsWEB页面：htm,html,jsOFD：OFD；PDF：pdf；可执行脚本：cmd,bat,vbs,vbe,ruby,swf,jar,class,ps1,py,pyc,pyo内置AV检测内置AV，除支持上述检测文件类型，还支持检测chm、asp、php、com等格式文件C&C异常检测C&C恶意服务器外联检测：基于DGA域名检测算法，检测C&C外联随机恶意域名IOC可机读威胁情报输出丰富机读情报IOC(IndicatorsofCompromise)，提供南北向接口共享情报加密流量监测支持加密流量免解密检测DB3209/T1257-2023DB3209/T1257-2023PAGEPAGE40表B.6日志审计系统技术要求项目技术规范硬件要求应满足自主可控、应支持冗余电源日志收集支持Syslog、SNMPTrap、HTTP、SFTP协议日志收集支持网络安全设备、交换设备、路由设备、操作系统、应用系统、虚拟环境等日志过滤支持通过日志等级进行过滤支持配置过滤规则，将低价值的日志过滤掉关联分析支持将不同设备上采集的日志进行关联分析，发现可能的风险日志备份支持通过磁盘使用率、日志保存天数等不同维度配置日志存储策略。支持日志异地备份日志备份支持加密方式日志查询支持B/S模式访问，SSL加密模式访问支持高性能的全文检索告警功能支持告警阀值设置，超过阀值将产生告警支持通过邮件、短信和屏幕显示进行告警表B.75G终端认证系统技术要求项目技术规范接入认证DNN5GSIMIP地址分配应通过AAA系统对移动终端的机卡绑定关系分析，防止移动用户身份识别卡或移动终端的私接、仿冒、不合规使用宜基于移动终端位置信息对终端接入物理位置范围进行绑定，限定终端的合法接入物联范围以及防止终端被移动出合法接入位置安全防护5G终端接入政务外网时，应实现基于角色的应用访问控制，并实现最小授权宜采用“永不信任，持续验证”的零信任理念进行防护表B.8终端准入认证系统技术要求项目技术规范硬件要求支持冗余电源认证方式支持基于源MAC、源IP（IPv4、IPv6）的Portal方式认证用户管理支持动态添加用户组及用户，满足用户组规则的用户自动入组，并继承组所拥有的权限、访问策略等终端采集支持国产操作系统版本、高危端口、远控软件、虚拟机软件等终端信息采集，并形成资产报表安全策略系统集成威胁情报，支持发现木马、APT等攻击异常，以及对异常设备进行手工阻断告警功能支持告警阈值设置，超过阈值将产生告警支持通过邮件、短信和屏幕显示进行告警开放能力北向接口开放，支持认证数据北向导入，认证结果、告警、资产信息北向导出支持单点登录能力DB3209/T1257-2023附录CDB3209/T1257-2023附录C（资料性）PAGEPAGE41行政区行政区划编码电子政务外网网络平台基础数据业务视频会议业务视频监控业务盐城市320900240B:8040:4800::/44行政区行政区划编码电子政务外网网络平台基础数据业务视频会议业务视频监控业务盐城市320900240B:8040:4800::/44240B:8140:4800::/44240B:8240:4800::/44240B:8340:4800::/44响水县320921240B:8040:4950::/44240B:8140:4950::/44240B:8240:4950::/44240B:8340:4950::/44滨海县320922240B:8040:4960::/44240B:8140:4960::/44240B:8240:4960::/44240B:8340:4960::/44阜宁县320923240B:8040:4970::/44240B:8140:4970::/44240B:8240:4970::/44240B:8340:4970::/44射阳县320924240B:8040:4980::/44240B:8140:4980::/44240B:8240:4980::/44240B:8340:4980::/44建湖县320925240B:8040:4990::/44240B:8140:4990::/44240B:8240:4990::/44240B:8340:4990::/44东台市320981240B:8040:4d10::/44240B:8140:4d10::/44240B:8240:4d10::/44240B:8340:4d10::/44大丰区320904240B:8040:4840::/44240B:8140:4840::/44240B:8240:4840::/44240B:8340:4840::/44盐都区320903240B:8040:4830::/44240B:8140:4830::/44240B:8240:4830::/44240B:8340:4830::/44亭湖区320902240B:8040:4820::/44240B:8140:4820::/44240B:8240:4820::/44240B:8340:4820::/44经济技术开发区320900240B:8040:4802:8001::/64240B:8140:4802:8001::/64240B:8240:4802:8001::/64240B:8340:4802:8001::/64盐南高320900240B:8040:4802:8002::/64240B:8140:4802:8002::/64240B:8240:4802:8002::/64240B:8340:4802:8002::/64DB3209/T1257-2023附录DDB3209/T1257-2023附录D（资料性）PAGEPAGE42D.1序号单位名称序号单位名称1工信局6交通局2公安局7卫健委3自然资源和规划局8行政审批局4住建局9应急管理局5城管局D.2序号单位名称序号单位名称1市委办50体育局2人大办51统计局3政府办52金融监管局4政协办53机关事务局5纪委监委54供销社6军分区55遗保中心7组织部56珍禽保护区8宣传部57麋鹿保护区9统战部58农科院10政法委59民盟11法院60民建12检察院61民进13经济开发区62农工党14