DB3209-T 1257-2023 电子政务外网建设技术规范

DB3209盐城市地方标准E-governmentnetworkTechnicalspeci盐城市市场监督管理局发布2 2 3 4 4 4 5 6 65.2市级电子政务外网建设规范 6 9 6.2地址分配原则 7.2市级安全技术要求 34电子政务外网建设技术规范本文件适用于盐城市级、县（区）级电子政务外网建设，以及各级政务部门局域网接GB/T21061国家电子政务网络技术和运行GB/T25070信息安全技术网络安全等级保护安全设计GB/T39786信息安全技术信息系统密码应用DB32/T4318.2电子政务外网安全大数据和3.1全逻辑隔离，满足各级部门经济调节、市场监管、社会管理和注：电子政务外网纵向连通国家、省、地（市）），3.2地（市）网络称为省级广域网、地（市）到3.35把同一城市内不同单位的局域网络连接起来的网络称为城域网，实现不同单位跨部门业务的数据3.43.54缩略语2)AAA：认证、授权和计费（authentication,authorization,anda3)APT：高级持续性威胁（AdvancedPers）；4)ARP：地址解析协议（AddressResolutionP6)C&C：命令控制（Commandan）；）；8)DDoS：分布式拒绝服务(DistributedDenialofS9)DGA：域名生成算法(DomainGenerationAl10)DHCP：动态主机配置协议(DynamicHostCo13)EGP：外部网关协议(Exter14)GRE：通用路由封装协议(GenericR15)EUI-64：64位扩展唯一标识符(64-16)IGP：内部网关协议(Inter17)IMSI：国际移动用户识别码（InternationalMobile18)IMEI：国际移动设备标识（InternationalMobil19)IPSecVPN：互联网协议安全协议虚拟专用网络(InternetProtocolsecurityvirtual20)IPv4：互联网协议版本4（InternetPro21)IPv6：互联网协议版本6（Internet）；23)IS-IS：中间系统到中间系统（IntermediateSystemt24)LACP：链路聚合控制协议（LinkAggregationControl25)MP：多链路协议（Multilin626)MPLS：多协议标记交换（Multi-ProtocolLabel27)MSTP：多业务传送平台（Multi-serviceTransmissi）；28)NAT：网络地址转换（NetworkAddressT29)NFS：网络文件系统(NetworkFil30)OSPF：开放式最短路径优先(OpenShortestPat32)PPP：点到点协议（point-to-poi33)QoS：服务质量(Qualityo34)RIP：路由信息协议(RoutingInformati36)SDH：同步数字体系(SynchronousDigita37)SDN：软件定义网络(SoftwareDefined38)SIM：用户身份模块（SubscriberId39)SLA：服务水平协议(ServiceLevel40)SNMP：简单网络管理协议(SimpleNetworkManagementProt41)SRv6：IPv6段路由（IPv6）；42)SSLVPN：基于安全套接层的虚拟专用网络(VirtualPrivateNetworkoverSecureSockets43)TWAMP：双向主动测量协议（Two-WayActiveMeasurementPro44)URL：统一资源定位符(UniformResourceLoc46)VLAN：虚拟局域网(VirtualLocalAreaNet47)VPN：虚拟专用网络（VirtualPrivateNe）；48)VxLAN：虚拟扩展局域网（VirtualeXtensibleLocalAreaNe49)Wi-Fi：无线网络技术（WirelessFidb)县级电子政务外网包含县级城域网、县级部门接入网、乡（镇、街道）接入网市级广域核心节点横向连接市级城域网，纵向上联省级广域接入节7b)市城域汇聚层设备主要汇接各政务部门局域网的接入设备，应使用双上联方式连接核心层设d)互联网接入区主要提供本级移动办公用户VPN方式安全可靠接入政务需要采用信道加密技术结合政务外网数字证书进行数据传输的加密保护，实现移动办公用户逻辑隔离，条件允许的情况下，建议实现带外g)运营商5G政务网络通过政务专用UPF与政务外网城域5G接入路由器进行8a)线路带宽应能满足峰值业务需求，带宽月c)市级城域网核心设备与广域网核心设备之间均应采用双线路万兆光口对接，线路总带宽均应e)城域网核心层与汇聚层设备承载城市驾驶舱的汇聚流量，城域网核心层与汇聚层设备之间互g)一类接入单位城域网接入层设备上联线路总带宽应满足政务部门内用户忙时峰值业务流量需a)同一机房内设备互联可采用光纤或屏蔽双绞线，推荐使用光5.2.4市级单位接入要求市级电子政务外网接入单位根据性质和业务分为一、二、三类单位，单位分9a)市级接入单位局域网接入市级电子政务外网需要向市级电子级电子政务管理机构备案，各单位严格按照备案范围接入市级电b)市级电子政务外网管理机构应为各部门提供接入政务外网和接入地1)一类接入部门通过冗余设备、冗余链路连接市级2)二类接入部门通过冗余设备、冗余链路连接市级电子政务外网，接入设备性能应3)三类接入部门通过单设备、单链路连接市级电子政务外网，接入设备性能应c)接入部门提供的对接设备应具备路由、交换功能、边界安全防护功设备完成对接，应采用静态路由/动态路由进行对接，宜采用静态路d)接入部门局域网进行IPv6改造时，网络设备、安全设备、终端均应支持e)未采用市级电子政务外网统一规划地址的部门需自行政务外网，IPv6地址应直接使用市级分配的IPvf)局域网应支持动态分配IPv6地址，宜支持g)接入部门局域网应对业务进行分区隔离，政务公共、部门专网业务h)接入部门应按照国家及行业相关安全标准规范做好边界以内自身局域网的安全a)政务外网5G平面应支持为接入终端设备分b)通过5G平面接入政务外网的终端应使用政务专用的IP地址体系，不应使用e)终端设备应支持不少于1个的用户身份识别卡插槽或端、局域网网关等专用终端设备的SIM卡应进行实名认证，并经政务外网运行管理f)作为网关的终端设备，应禁止Wi-Fi、BlueTooth等无线功能，并防御等安全功能，应支持接入认证，支持远程管理，支持通过县级电子政务外网遵循层次化设计的原则，按照使用功能和网络建设规模大小，可采用“核心b)汇聚层主要汇接各政务部门局域网的接入设备，应使用双上联方式连接核心c)接入层设备用于政务部门局域网的接入，部署于各政务部门机房，备之间可按政务部门业务重要程度酌情采用冗余设计，增加业d)互联网接入区主要提供本级移动办公用户提供VP台，需要采用信道加密技术结合政务外网数字证书进行数据传输的加密保护，实现移用户访问政务外网内部信息资源，可通过市级安全接入平台统一接入，有条件的县级e)运维管理区是集中建设的独立运维管理区域，与城域网核心设理应通过运维管理区实现，并应实现对运维管理行为进行审计，运维管理区流量与其他f)县级用户接入区主要为县级政务部门提供用户接入服务，各政务程度，选择双设备双归部署，单设备双归部署和单设备单归部署三种模式，县级用户接入区还包括县合驻办公点，直接通过接入设备接入县城域汇聚节g)镇级用户接入区为县所辖各乡镇及下辖行政村接入政务外网的区域，各镇集中办公节点通过镇汇聚设备统一对接县城域核心节点，镇汇聚设备同时汇聚下辖各行政村接入点为下辖各行政村接入政务外网提供支持，偏远地区也可通过安全接入平台以IPsecVPN形式接入电子5.3.2通信链路及带宽选择a)线路带宽应能满足峰值业务需求，带宽月平均利c)县级城域网核心设备与县广域网核心设备之间均应采用双线路e)城域网接入层设备与汇聚层设备之间的线路总带宽应满足政务b)县级用户接入网因用户地点与政务外网核心机房不在一栋大楼或大院需要租的，其接入与城域网汇聚层设备之间互联可采用裸光纤或M线等传输电路，在使用其他类型线路时，需确保传输设备与线路为政务外网专用且d)MTU值应设置合理，满足业务承载传输需要；MTU值设置应不5.3.4与市级电子政务外网对接规范a)县级电子政务外网接入市级电子政务外网需要向市级电子政务管理机构提出申请并备案，各务部署VPN，实现不同业务之间的隔离，原则上市级电子政务外网不5.3.5县级单位接入要求县级电子政务外网接入单位根据性质和业务分为一、二、三类单位，具体接入要求如a)县级接入单位局域网接入县级电子政务外网需要向县级电子政务外网b)各县级电子政务外网管理机构应为各部门提供接入政务外网和接入地址段统1)一类接入部门通过冗余设备、冗余链路连接县电2)二类接入部门通过冗余设备、冗余链路连接县电子政务外网，接入设备性能应3)三类接入部门通过单设备、单链路连接县电子政务外网，接入设备性能应保c)接入部门提供的对接设备应具备路由、交换功能、边界安全防护完成对接，应采用静态路由/动态路由进行对接，宜采用静态路由，若采用动态路由d)接入部门局域网进行IPv6改造时，网络设备、安全设备、终端均应e)未采用电子政务外网统一规划地址的部门需自行转换f)局域网应支持动态分配IPv6地址，宜支g)接入部门局域网应对业务进行分区隔离，政务公共、部门专网业务h)接入部门应按照国家及行业相关安全标准规范做好边界以内本部门接入网络），），5.5.1对政务外网中敏感数据和SLA要求高的业务，应采用网逻辑业务平面进行硬隔离。每个逻辑业务平面应拥有独立的带宽资源，不能相互抢占，最大化保障关5.5.3政务外网可根据业务类型、保障级别、部门诉求三个维度定义网络切片模型：各政务单位对外服务窗口，市民办理社保、公积金、不动产满足通过撤网整合的方式接入电子政务外网的专网业为通过撤线整合穿越电子政务外网的所有业务专基础网络要求：带宽尽力而为，时延<30ms参与重大事件保障政务部门共用切片，按需使用，重保结束后政务部5.6专网接入规范5.6.1市级非涉密业务专网向电子政务外网迁移整合主要有撤网整合、撤线整合、对接融合三种方5.6.2撤网整合方案指将业务专网的设备、租赁专线等整体裁撤，专网接入单位作为新的政务外网接入单位连接到政务外网，同时将部署于业务专网内的业务系统逐步迁移至同级政务云平台，要求如a)市、县级电子政务外网管理机构应为专网接入单位提供接入设备、接入线路，原专网业b)市、县级电子政务外网应具备差异化质量保障能力，如SRv6、网络切片5.6.3撤线整合方案指仅裁撤业务专网所租赁的运营商专线，利用政务外网作为专网线路，保留专网的网络设备。专网接入单位负责业务专网应用系统的维护a)原则上专网整合应采用撤网整合方式，有特殊需求需要采用撤线整合的业务专网部门应d)考虑IPv6演进要求，专网接入f)为保障电子政务外网整体网络质量和安全，宜为穿越电子政务外网的所有业务专5.6.4对接融合方案指整体保留业务专网的网络设备和租赁运营商专线，应用系统仍然部署在专网内，专网接入单位仍然基于该业务专网开展业务，并实现条线内各级单位网络互通，为满足业务和政务外网之间的数据共享和数据交换需求，建设网络对接融合区，通过部署网闸/防火墙等安a)原则上专网整合应采用撤网整合方式，有特殊需求需要采用对接融合方式的业务专网部b)市级电子政务外网应建设专网对接融合区，通过部署网闸/防火墙等安全设备，安全可控地打c)若专网业务较敏感，或者高于电子政务外网信息安全等级保护级别，应通过网闸d)若专网业务非敏感，或者不高于与电子政务外网信息安全等级保护级别，应通e)应具备终端和系统之间的访问控制能力，控制粒度宜为单个地址或者端口，宜f)应对网络攻击行为进行检测、防止、限制、报警等，并记录g)应对用户行为和安全事件等进行行为审计，审计记录应至市级电子政务外网IP地址总体规划由市级电子政务管理机构负责，各区县级电子政务外网根据总体规划，对所属本级的IP地址资源进行再次分配、管理和6.2地址分配原则扩展的层次性结构，便于网络设备的统一管理，降低网络结构的复应按照2n的大小分配连续地址段，有助于路由聚申请单位根据网络建设情况申请政务外网全局业务IP地址，申请的地址在一年内必须充分有效使a)应采用域名而不是IP地址作为各类主机提供服务的方式，避免IP地址改动导致服务中b)在局域网中必须采用政务外网统一规划的地址，避免全局业务IP地址出现资源短缺；c)服务器IP地址应使用低地址段，从最小可编地址开始依次e)已建城域网的市、县级节点，建议根据用户总体访问量使用若干个全局业务地f)IPv6地址具备语义化，结构定义清晰，通过在IPv6地址不同分段嵌入区域、g)IPv6地址在设备或者管理界面以1划。政务外网IPv6地址采用结构化编址方式，按图3所示分为五个字段：a)1～24位，类型域，240B:8T，用于标识政务外网b)25～44位，区划域，ZZ:ZZZ，用于标识中央、省、市、县四级行政区域；e)65～128位，主机域，支持EUI业务系统类型，划分为网络平台、基础数据业务、视频会议业务、视频监控业务等，类型域（T码）设b)基础数据业务地址（T=1主要用于部署政务外网基础c)视频会议业务地址（T=2主要用于部署政务外网视频会议业务及终端，包括d)视频监控业务地址（T=3主要用于部署政务外网视频监控业务及终端，包括视频监控平区划域（Z码）用于标识中央、省、市、县四级行政区域，区划域编码规则如），a)拆码：将6位“十进制”区划代码分为3段：Ac)组码（二进制转十六进制合计共20位“二进制”字符，按4位1组，转换成5位“十六进部门域（W码）用于标识市、县（市、区）各级政务部门、乡镇及以下行政区域，由W1、W2、W3三a)A类级部门单位（W1=1⁓5用于标识与国家对口的政府部门，部门域W1、W2由市级政务外网管理机构分配，W3由市级政府部门自行规划。政府部门的下属单位划归此类，由其上f)部门域W1码取值为A⁓F时，用于标识乡镇及以下行政区域或基层组织借用W1W2W3=A00开始，到W1W2W3=FFF结束，共支持1535个::/56地址段，由上级政务外网运行管理子网域（Y码）用于标识不同系统类型所属的业务子网（Y1、Y2分别表示十六进制字符，取值范围00-FF子网域（Y码）00-7F（前128个）部分由各部门单位自行规划分配；Y码80-FF（后1287.1.1IPv6网络建设应符合G密码应用相关要求，定级如下:a)市级电子政务外网达到网络安全等级保护第三级要求，并达到密码应用第三级基本要b)县级及以下政务外网达到网络安全等级保护第二级及密码应用第二级基本要求，或以上要求，且不低于承载在政务外网数据中心上业务系统的7.1.3安全设备应具备“IPv6+”技7.2市级安全技术要求物理环境安全目的是保护网络中计算机网络通信有良好的电磁兼容工作环境，并防止非法用户进入计算机控制室和各种偷窃、破坏活动的发生，本项关键要求包a)机房出入口应配置电子门禁系统，控制、鉴别和记录进c)宜采用密码技术保证电子门禁系统进出记录数据d)应设置机房防盗报警系统或设置有专人值守的视频监控系统，宜采用密码技术保e)应采取措施防止感应雷，例如设置防雷保安器g)应安装对水敏感的检测仪表或元件，对机房进行防h)应采取措施防止静电的产生，例如采用静电消除器、佩戴防静电手环等；a)应保证跨越边界的访问和数据流通过防火墙提供的受控接口进行通信，不得绕过防火b)应能够对非授权设备私自联到电子政务外网的行为进行检测或限制；c)应能够对电子政务外网用户非授权联到外部网络的行为进d)应支持基于应用层协议设置流控策略，包括设置最大带宽、保证带宽、协议b)需对电子政务外网系统进行资产和身份管理，设备需经过身份认证才能接入电子政务外网系c)应在网络边界或区域之间根据访问控制策略设置访问控制规则，按照最小化访d)应具备安全策略调优能力，可发现冗余安全策略，长时间不用的安全策略，以e)应对时间、用户、源地址、目的地址、源端口、目的端口和协议等进行检查f)应能根据会话状态信息为进出数据流提供明确的允许/拒g)应对进出网络的数据流实现基于应用协议和应用内b)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为；c)应采取技术措施对网络行为进行分析，实现对网络攻击特别是新型网络攻击d)当检测到攻击行为时，记录攻击源IP、攻击类型、攻击目a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信a)防火墙、入侵防御等核心安全设备需要保障自身安全，避免被黑客控制作为攻击跳板，需内置可信根，可对系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证，并在应用程序的关键执行环节进行动态可信b)宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验c)宜采用自主可控安全防护区设备，设备CPU、操作系统、转测和清洗。抗DDoS攻击应支持常见的SYNHTTPSFlood等攻击，并且支持流量自学习功能，可识别出超过防御应在互联网接入区的网络出口部署防火墙，实现网络边界保护和访问控制。防火墙应只开放政务网提供接入服务的必需的服务端口，对流经互联网接入区的网络数据进行合法性检查。为了保证业务的可宜在互联网接入区的网络出口部署入侵防御系统，动态检测网络上所有流过的数据包，进和分析，及时发现漏洞、蠕虫、木马等非法和异常行为，并且支持告警、阻断等应在互联网接入区部署防病毒功能，可在防火墙或入侵检测设备上开启，及时更新病毒库，阻止病毒入侵和传播，进行及时的查杀。防病毒模块宜集成在防火墙应在互联网接入区旁路部署沙箱，针对APT高级持续威的安全检测技术，识别网络中传输的恶意文件应为接入用户提供服务接口或链路接口等统应采用RADIUS、LDAP等认证协议实现基于数字证书的身应提供安全接入平台的运行情况监测、用户行为审计和安全接入平台设备的配置管理功应通过网络访问控制、入侵检测与防御、防病毒等安全措施实现基础安全防护。可通过在安全接入平台的网络入口、内部安全域边界部署防火墙实现网络边界保护和访问控制。可在安全接入平台的网络入口处部署入侵检测设备或入侵防御系统，动态监视网络上流过的所有数据包，及时发现非法或异常对于市级政务部门局域网接入到电子政务外网城域网，应设部门用户接入应在部门用户接入区部署防火墙，实现网络边界保护和访问控制。防火墙应只开放政务网络所提供接入服务的必要服务端口，对流经部门用户接入区的网络数据进行合法性检查。为了保证业务的可服务性，防火墙应支持双机部署，且支持性能的可应在部门用户接入区部署入侵防御系统，可在防火墙上开启入侵防御功能，动态检测网络上所有流过的数据包，进行实时检测和分析，及时发现漏洞、蠕虫、木马宜在部门用户接入区部署流量探针，对流经网络边界的流量进行提取和还原，送至后端应在政务云对接区部署防火墙，并开启访问控制、入侵防御、病毒防护等安全防护功政务云对接区应具备网络边界保护和访问控制功能。应只开放必要的服务端口，并对网络数据进行合法性检查。防火墙应支持双机部署，支持性能的动政务云对接区应具备入侵防御功能，可动态检测网络上所有流过的数据包时发现漏洞、蠕虫、木马等非法和异常行为b)城域网的核心、汇聚设备应具有设备冗余，接入设备宜具备设备冗余；c)城域网核心设备、汇聚设备以及汇聚到核心设备之间应至少保证不同路由主护，接入设备到汇聚设备之间宜采用不同路由主备链路进行保护，在采用主备方式或负e)应根据需要采用有效的QoS和流量管理策略，确保重要信息系统和数据具f)根据所部署系统的重要性和所涉及信息的重要程度等因素，划分不同的子网或网g)各级政务部门根据业务需求在政务外网上构建专用网络承载其业务时，应采用VPh)应避免将重要网络区域部署在边界处，应划分互联网区域，将电子政务核心业务与互联网业a)用户通过互联网接入政务外网时，应采用校验技术或密码技术保证通信过程中数据的性，应采用密码技术保证通信过程中数据的保密性，应使用国家密码管理局认证核b)其他通信场景时，宜采用校验技术或密码技术保证通信过程中数据的完整性，宜采用密码技术保证通信过程中数据的保密性，采用的密码技术应经过国家密码管理局认证a)需基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等可信验证，并在执行程序的关键环节进行动态可信验证，在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至安全管b)宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验c)宜采用自主可控通信设备，设备CPU、操作系统、a)各级政务部门局域网的安全及等级保护工作由各政务部门会同本级电子政务外网管理机b)政务部门局域网接入政务外网，应在部门局域网做好访问控制、IP地址管理，对于访问政务外网的系统和终端应具有病毒防范，接入部门应做好审计等功能，应根据各单位的安全增加终端安全管理系统和选择不同网络区域的安全a)部门局域网与公用网络区、互联网接入区，使用防火墙或者安全网关进行安全防a)接入终端应使用政务部门局域网统一分配的b)应对计算机终端进行安全防护和准入控制，计算机终端安装病毒与恶意代码防护软件，并及c)政务部门局域网终端应仅具备一个网络的访问权限，访问政务外网公用网络区的d)终端宜具备安全沙箱隔离能力，并能通过动态威胁监控手段实时调整用a)通过5G接入政务外网应满足终端二次认证/鉴权管控，一次认证为接入运营商回传网制，基于用户身份识别卡的唯一标识和设备标识对用户识别卡和设备进行接入5G网络的准入认证，电子政务外网应提供网络侧的二次认证能力，二次认证/鉴权通过后，政务外网b)安全网关应基于移动终端（标识一般为IMSI或SIM卡号）进行精细网络访问控制、安全防护策c)宜采用“永不信任，持续验证”的零信任理念进行防护，宜在边界建a)应对信息资产、威胁情报、漏洞信息等进行生命周期管理，包含网络和IT资产管理、知b)应汇聚安全告警、风险、安全态势等信息，进行关联分析、智能推理、分成安全防护控制策略和业务安全控制策略，基于决策结果进行服务的编排、调度和配置，包c)应具备针对安全风险主动发现、趋势分析、风险预判、即时通报预警能力，以号的违规行为发现能力，包含安全态势、安全审计、安全风险评估和安d)应具备与安全网元、网络网元自动联动处置能力，可将威胁近源快速阻断，保g)应对运维审计记录进行保护，定期备份，避免受到未预期的删除、修b)应支持系统扫描、Web扫描、数据库a)应对资产进行全面的安全事件和安全d)应能根据收集到的安全事件和安全日志分析信息资产的安全状况，通过内置的关联场景判断f)宜采用密码技术保证日志审计系统7.3县级安全技术要求a)机房场地应选择在具有防震、防风和防雨等能力的a)机房出入口应安排专人值守或配置电子门禁系统，控制、鉴别和记录进入的a)应将设备或主要部件进行固定，并设置明显的不易除去a)机房应设置火灾自动消防系统，能够自动检测火情、自动报警，并自应采用防静电地板或地面并采用必要的接地防静a)应在机房供电线路上配置稳压器和过电压a)应在网络边界或区域之间根据访问控制策略设置访问控制规则，默认情况下除允许通信b)应删除多余或无效的访问控制规则，优c)应对源地址、目的地址、源端口、目的端口和协议等进行检查，以允许/拒d)应能根据会话状态信息为进出数据流提供明确的允许/拒a)应在网络边界、重要网络节点进行安全审计，审计覆盖到每个用户，对重要的用户行为b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信a)可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程进行可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送至b)宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验c)宜采用自主可控安全防护区设备，设备CPU、操作系统、转应在互联网接入区的网络出口部署防火墙，实现网络边界保护和访问控制。防火墙应只开放政务网提供接入服务的必需的服务端口，对流经互联网接入区的网络数据进行合法性检查。为了保证业务的可宜在互联网接入区的网络出口部署入侵防御系统，动态检测网络上所有流过的数据包，进和分析，及时发现漏洞、蠕虫、木马等非法和应在互联网接入区部署防病毒功能，可在防火墙或入侵检测设备上开启，及时更新病毒库，阻止病毒入侵和传播，进行及时的查杀。防病毒模块宜集成在防火墙部署流量探针，对流经网络边界的流量进行提取和还原，送至后有特殊需求的县级单位自建安全接入平台时，可参考市级要求进行对于县级政务部门局域网接入到政务外网城域网，应设部门用户接入应在该区域部署防火墙，实现网络边界保护和访问控制。防火墙应只开放政务网络所提供接入服务的必要服务端口，对流经部门用户接入区的网络数据进行合法性检查。为了保证业务的可服务性，防火应在该区域部署入侵防御系统，可在防火墙上开启入侵防御功能，动态检测网络上所有流过的数据包，进行实时检测和分析，及时发现漏洞、蠕虫、木马等非法和异常行为，并且支持告警、阻断等功应在该区域部署防病毒功能，可在防火墙上开启，及时更新病毒库，阻止病毒入侵和传播，进行及时b)应避免将重要网络区域部署在边界处，重要网络区域与其他网络区域之间应采取可靠的技术a)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等可信验证，并在检测到其可信性受到破坏后进行报警，并将验证结果形成审计记录送b)宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验c)宜采用自主可控通信设备，设备CPU、操作系统、a)各级政务部门局域网的安全及等级保护工作由各政务部门会同本级电子政务外网管理机b)政务部门局域网接入政务外网，应在部门局域网做好访问控制、IP地址管理，对于访问政务外网的系统和终端应具有病毒防范，接入部门应做好审计等功能，应根据各单位的安全增加终端安全管理系统和选择不同网络区域的安全a)部门局域网与公用网络区、互联网接入区，使用防火墙或者安全网关进行安全防a)接入终端应使用政务部门局域网统一分配的b)应对计算机终端进行安全防护和准入控制，计算机终端安装病毒与恶意代码防护软件，并及c)政务部门局域网终端应仅具备一个网络的访问权限，访问政务外网公用网络区的d)终端宜具备安全沙箱隔离能力，并能通过动态威胁监控手段实时调整用a)应对信息资产、威胁情报、漏洞信息等进行生命周期管理，包含网络和IT资产管理、知b)应汇聚安全告警、风险、安全态势等信息，进行关联分析、智能推理、分成安全防护控制策略和业务安全控制策略，基于决策结果进行服务的编排、调度和配置，包c)应具备针对安全风险主动发现、趋势分析、风险预判、即时通报预警能力，以及号的违规行为发现能力，包含安全态势、安全审计、安全风险评估和安d)应具备与安全网元、网络网元自动联动处置能力，可将威胁近源快速阻断，保证d)运维审计系统对所有运维操作进行实时监控和历史回放，打造透明化、可视化运e)运维管理平台需要对当前所有的非标准协议、客户端工具进行支持，包括授权在业务扩充的情况下依然能够进行有效的运维f)应对运维审计记录进行保护，定期备份，避免受到未预期的删除、修a)漏洞扫描系统应提供安全自查能力、营造安全可靠的网络环境，实现风险提前发现，避b)应支持系统扫描、Web扫描、数据库扫描、基线扫描及弱口令等多项功能；c)漏洞库应涵盖丰富的安全漏洞和攻击特征，支持CVE、CVSS、CNVID、CNNVD、CNCVd)应支持设备的上线安全检查、第三方入网安全检查、合规安全检查、日常安全检a)应对资产进行全面的安全事件和安全b)应能收集的安全事件和日志进行集中式、防篡改、防盗取、大容量的持久化保存，满足6个月c)应支持保存的安全事件和日志进行快速查询、检索，便于管理人员定位d)应支持根据收集到的安全事件和安全日志分析信息资产的安全状况，通过内置的f)宜采用密码技术保证日志审计系统a)市级电子政务管理机构负责全市电子政务外网标准规范和安全保障体系建设，负责指导工作，具体负责市本级电子政务外网的规划、建设、运维和安全管理工作，以及市本级b)各县级电子政务外网管理机构具体负责本级电子政务外网的规划、建设、运维和安全管理工作，以及本地区非涉密业务专网整合迁移或融合互c)接入政务外网的部门和单位负责本部门本单a)市本级、各县级电子政务外网需组建电子政务外网网络安全管理小组，领导小组应按照主管谁负责，谁运行谁负责”的原则，明确专人负责网络安全管理工作，加强人员b)明确专业运维人员，严格按照管理制度和业务流程形成网络安全工作的闭环，做好电子政务外网链路业务实时状态监控、异常事件实时通报处理、设备状态监控维护和信息安c)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应a)定期梳理信息化资产、设备管理台账，对过保的软、硬件设备，须采购有效的维保服，b)县（市、区）和镇（街道）之间的边界，可增设边界防护设备和把控措施，如防火墙、入侵c)各网络边界设备严禁透明部署，安全策略须细化到IP及接口，安全设），机、操作系统、数据库系统、用户业务系统的日志、警报等信息汇集到审计中心，实现全市c)各地可根据实际情况，建设电子政务外网防病毒体系：一是在各类终端、应用部署杀毒软件，并定期进行病毒查杀；二是增设管控平台，对于驱动、存储等设备进行严格管控，并对终端的各类信息进行监控记录、日志留存，非必要不得开放USB、PCI-E等无d)各单位应定期对本领域政务外网的业务系统、操作系统、中间件、网络设备、安行漏洞扫描，以评估各资产安全情况，结合威胁情报、资产等级、漏洞危害性等要素进a)须加强机房基础建设，确保强电、消防、精密空调、防雷防静电等基础设施正常运转，b)须强化电子政务外网与互联网等其他网络的隔离管理，严禁电子政务外网的业务系统与互联a)一级故障事件（紧急直接导致系统瘫痪或者服务中断、严b)二级故障事件（重要故障直接影响服务，会导致a)遵循先抢通后修复原则进行故障处理，优先保障业务和应用b)接到故障申告或故障协查后，应记录故障信息，并生成故障纪录单，故障纪录单的内容至少包括：网络用户标识码、用户名称、网络通达方向、故障发生时间、故障现象描述、申告人c)对故障进行预处理，判断故障原因，需要上、下级政务外网管理机构配合的，及e)初步恢复故障后，需要进行业务相关测试，一方面确认业务恢复，另一方面测f)应及时向故障申告人反馈故障处理进程，故障解决后，进行记录并与故障申告人当出现重大网络故障时，应向主管单位进行通告向上一级政务外网管理机构提交故障升级报告括：故障的上报人、升级时间、升级对象、通报内容、升级反馈时间和修复时间等。故障报告内容应包括：严重影响用户通信的网络故障、故障处理超时和疑难故障处理不当等信息。当出现如下四类政故障处理完成后，应以书面或电子化形式提供统一格式的故障处理报告和网络质量运行报告务外网管理机构负责存档。故障处理报告应至少包括：用户名称、故障申业务承载：评估电子政务外网IPv6应用的承载支撑质量情网络安全：评估全年网络安全工作及重大活动期间网络安全保8.2管理平台建设要求8.2.2运维服务管理平台建设及对市本级及区县电子政务外网运维服务管理系统建a)应提供开放的南向对接能力，支持与本级网络控制系统，运营商网络运维系统和其它运维支b)应收集本级电子政务外网资源信息，呈现完整的网络设备资源、链路资源、拓扑c)应支持收集电子政务外网性能和告警信息，与拓扑进行关联和筛d)市级运维平台应提供向上级联能力，市级资源信息库等同步到省级平台跟踪管理，省级平台下发的预警、安全事件、通报、运维工单等信市级平台联动和协调处置，对接架构、对接数据内容、数据传输架构、对接模式、对e)县级运维平台应提供向上级联能力，县级资源信息、性能信库等同步到市级平台跟踪管理，市级平台下发的预警、安全事件、通报、运维工单等信县级平台联动和协调处置，对接架构、对接数据内容、数据传输架构、对接模式、对f)市级运维平台宜支持与县级运维系统、运营商运维系g)市、县级运维平台级联需要经过安全身份认证，数据算法的相关内容,应按国家有关法规实施，涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的应遵循密码相关国家标8.2.3安全大数据管理平台建设及对接a)安全大数据平台应具备综合审计能力，综合审计并实时采集本级对象应包括：终端、网络、服务器、数据库、中间件、应用系统等安全操作行为；b)安全大数据平台应具备采集本级的边界检测数据，本级协议接口采集对象应包括：IDS、堡垒机、IPS、WAF、漏洞扫描、防火墙、防毒墙、网闸、抗DDOS等；c)安全大数据平台应能够对安全行为和数据进行采集汇聚，并运用数据挖掘分析技术对各种安全行为进行态势感知和事件溯源分析，支持通过网安联动策略，在网络设备上近源阻断处置；d)市级大数据平台应提供向上级联能力，市级网络风险隐患、漏洞情报、告警数据、安全事件、安全报表、案例数据、运行状态等同步到省级平台跟踪管理，省级平台下发的预警通报数据，共享案例知识库数据等信息在市级平台联动和协调处置，对接架构、对接数据内容、数据传输架构、对接模式、对接范围、对接技术要求、对接开发等按DB32/T4318.1的要求实现；e)县级大数据平台应提供向上级联能力，县级网络风险隐患、漏洞情报、告警数据、安全事件、安全报表、案例数据、运行状态等同步到市级平台跟踪管理，市级平台下发的警通报数据，共享案例知识库数据等信息在县级平台联动和协调处置，对接架构、对接数据内容、数据传输架构、对接模式、对接范围、对接技术要求、对接开发等按DB32/T4318.1的要求实现；f)市、县级大数据平台级联需要经过安全身份认证，数据传输需要经过可靠加密处理，涉及密码算法的相关内容,应按国家有关法规实施，涉及采用