SF T 0012-2017 全国司法行政系统网络平台技术规范.pdf

1、 ICS 35.240.01 L67 SF 中 华 人 民 共 和 国 司法 行政 行 业 标 准 SF/T 0012 2017 代替 SF 01001-2016 全国司法行政系统网络平台技术规范 Technique specification for network platform for administration of justice 2017 - 03 - 31 发布 2017 - 04 - 01 实施 中 华 人民共和国司法部 发布 SF/T 0012 2017 I 目 次 前言 . III 1 范围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 1 3.1 术

2、语和定义 . 1 3.2 缩略语 . 2 4 全国司法行政系统网络整体架构 . 3 4.1 整体网络拓扑结构 . 3 4.2 广域网联网技术要求 . 4 4.3 城域网联网技术要求 . 8 4.4 局域网技术要求 . 8 4.5 电子政务外网（或政府部门专网）接入要求 . 9 4.6 备份联网 . 10 5 IP 地址分配及编址规则 . 10 5.1 IP 地址分配原则 . 10 5.2 IP 地址编址范围 . 10 5.3 IP 地址编址规则 . 10 5.4 IP 地址分配表 . 13 5.5 IP 地址分配 示例 . 13 6 基础网络传输技术要求 . 13 6.1 传输类型要求 . 1

3、3 6.2 抖动要求 . 13 6.3 时延要求 . 13 6.4 丢包率要求 . 13 6.5 传输可靠性要求 . 13 6.6 网络通断要求 . 14 7 网络设备命名规则 . 14 7.1 命名编码要求及范围 . 14 7.2 网络设备命名 . 14 8 网络边界交互及连接技术要求 . 16 8.1 司法行政系统网络与其他非涉密专网 . 16 8.2 司法行政系统网络与互联网 . 16 8.3 司法行政系统网络与涉密专网 . 16 9 安全防范视频监控系统接入技术要求 . 17 SF/T 0012 2017 II 9.1 安全防范视频监控子网接入技术要求 . 17 9.2 安全防范视频监

4、控系统联网平台要求 . 17 10 视频会议系统接入技术要求 . 18 10.1 网络承载基本要求 . 18 10.2 组网技术 . 18 10.3 视频会议终端注册方式 . 18 10.4 接入地址 . 18 10.5 可靠性要求 . 18 11 应急指挥系统接入技术要求 . 18 11.1 网络承载基本要求 . 19 11.2 组网技术 . 19 11.3 网络可靠性要求 . 19 11.4 接入地址 . 19 12 有线 /无线通信系统接入技术要求 . 19 12.1 有线通信系统接入技术要求 . 19 12.2 无线通信系统接入技术要求 . 20 12.3 有线通信系统与无线通信系统对

5、接 . 21 13 移动终端接入技术要求 . 21 13.1 公网移动终端接入技术要求 . 21 13.2 移动终端 无线局域网接入技术要求 . 21 14 网络平台安全技术要求 . 21 14.1 部级、省（区、市）级网络平台安全技术要求 . 21 14.2 地（市、州）级、监狱、戒毒所网络平台安全技术要求 . 21 14.3 县（市、区）级网络平台安全技术要求 . 21 14.4 其他单位网络平台安全技术要求 . 22 15 网络平台运行管理技术要求 . 22 15.1 网络平台运行管理范围 . 22 15.2 网络运行管理系统功能要求 . 22 15.3 通信网络管理 . 23 15.4

6、 安全防范视频监控系统运行管理 . 23 16 其他 . 23 16.1 域名解析系统 . 23 16.2 网络时钟系统 . 24 附录 A（规范性附录） IP 地址分配表 . 25 附录 B（资料性附录） IP 地址分配示例 . 49 参考文献 . 52 SF/T 0012 2017 III 前 言 本标准 依据 GB/T 1.1 2009给出的规则起草 。 本标准由司法部信息中心 提出并 归口 。 本标准主要起草单位 ： 司法部信息中心、 安徽省司法厅。 本标准代替了 SF 01001 2016。 SF/T 0012 2017 1 全 国司法行政系统网络平台 技术规范 1 范围 本 标准

7、规定了 全国 司法行政系统 网络整体架构、 IP地址分配及编址规则、基础网络传输 技术要求 、 网络设备命名规则、网络边界交互及连接技术 要求 、 安全防范视频监控系统接入技术要求、 视频会议接 入系统技术要求、应急指挥系统接入技术要求、有线 /无线通信系统接入技术要求、移动终端接入技术 要求、 网络平台安全技术 要求 、 网络平台运行管理技术等内容。 本 标准 适用于全国 及地方 司法行政系统网络平台建设与应用，为各类业务系统组网，实现全国互联 互通提供依据。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引 用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文

8、件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 20988-2007 信息系统灾难恢复规范 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件 。 3.1.1 国家电子政务外网 national e-government extranet 服务于各级党委、人大、政府、政协、法院和检察院等政务部门，满足其经济调节、市场监管、社 会管理和公共服务等方面需要的政务共用网络。 3.1.2 专 网 private network 根据业务需求自行组建的与互联网物理隔离的通信网络。 3.1.3 部门

9、专网 department private network 部门自建的专用网络。 3.1.4 专线 special line 网络服务提供商给用户提供专用的信道，让用户的数据传输变得可靠可信。 SF/T 0012 2017 2 3.1.5 接入设备 access device 一个硬件网络设备，通常用于远程访问网络资源。 3.1.6 服务质量 Quality of Service/QoS 网络系统的性能度量，反映了其数据传输以及对业务提供服务的质量。 3.1.7 全国司法行政本地应用 local application of national judicial administration 各

10、省（区、市）自行建设的业务应用。 3.1.8 全国司法行政纵向业务 longitudinal business of national judicial administration 全国司法行政系统纵向统一的业务应用。 3.2 缩略语 下列缩略语适用于本文件 。 ACL 访问控制列表 （ Access Control List） ATM (Asynchronous Transfer Mode) 异步传输模式 bps 比特 /秒 （ bits per second） CIDR (Classless Inter-Domain Routing) 无类别域际路由选择 CLOS 以减少交叉点数，实现无

11、阻塞网络 Crossbar 交叉开关 矩阵或纵横式交换矩阵 DSCP 差分服务代码点 （ Differentiated Services Code Point） DNS 域名系统 （ Domain Name System） IP 因特网协议 （ Internet Protocol） IPV4/IPV6 IP协议的版本 4号 / IP协议的版本 6号 (Internet Protocol Version 4/Internet Protocol Version 6) MPLS 多协议标签交换 （ Multi-Protocol Label Switching） MSO 移动通信交换控制中心 （ Mo

12、bile Switching Office） MSTP 基于 SDH 的 多业务传送平台 （ Multi-Service Transfer Platform） MCU 视频会议中协调及控制多个终端间的视讯传输 (Multi-point control unit) NO.7/Pri 电话 7号信令 NTP 网络时间协议 （ Network Time Protocol） OSI 开放式系统互联 （ Open System Interconnection） OTN 光 传送网 （ Optical Transport Network） OSPF (Open Shortest Path First) 开

13、放式最短路径优先 PTN 分组 传送网 （ Packet Transport Network） PBX 电话业务网络用户级 交换机 （ Private Branch Exchange） PSTN ( Public Switched Telephone Network )公共交换 电话网 络 QoS 服务质量 （ Quality of Service） SF/T 0012 2017 3 SONET 同步 光纤网络 （ Synchronous Optical Network） SDH 同步数字体系 （ Synchronous Digital Hierarchy） STN 智能传输网络 （ Smar

14、t Transport Network） SIP 会话初始协议 （ Session Initiation Protocol） SDN 软件定义网络 （ Software Defined Network） SNMP 简单网络管理协议 (Simple Network Management Protocol) TDM 时分复用模式 (Time Division Multiplexing) TCP/IP 传输控制协议 /因特网互联协议 （ Transmission Control Protocol/Internet Protocol） VPN 虚拟专用网 (Virtual Private Networ

15、k) VLAN 虚拟局域网 （ Virtual Local Area Network） VOIP 模拟信号 数字化 （ Voice over Internet Protocol） 4 全国司法行政系统网络整体架构 4.1 整体网络拓扑结构 图 1 整体网络拓扑 结构图 全国司法行政系统网络平台是基于电子政务外网（或政府部门专网）实现数据、语音、视频三网融 合，为司法行政系统提供信息化网络基础环境，承载着各类业务应用的非涉密专用网络平台。 司法行政系统网络为部、省（区、市）、地（市、州）、县（市、区）、乡镇（街道）五级层次架 构。 司法行政系统网络整体网络拓扑结构见图 1。 部省（区、市）之间、

16、省（区、市）地（市、州）之间纵向依托电子政务外网（或政府部门专网） 建立司法行政系统主干网络。 地（市、州）县（市、区）之间联网采用电子政务外网（或政府部门专网）或自建专网，建立司法 SF/T 0012 2017 4 行 政系统分支网络。 乡镇（街道）条件具备的依托乡镇（街道）电子政务外网接入，条件不具备的通过专线接入县（市、 区）或地（市、州） 广域网节点 ，建立司法行政系统接入网络。 同城司法行政单位 依托 电子政务外网（或政府部门专网），建立司法行政系统同城网络。 4.2 广域网联网技术要求 4.2.1 部到省（区、市）广域网联网技术要求 4.2.1.1 部到省（区、市）广域网联网 司法

17、部与省（区、市）依托国家电子政务外网资源，部署路由设备实现纵向全国司法行政系统的互 联互通，构成部到省（区、市）广域网。 4.2.1.2 网络结构要求 司法行政系统网络平台部到省（区、市）级每个广域 网节点采用冗余结构设计。网络结构示意图 见 图 2。 图 2 省（区、市）级 网络结构示意图 4.2.1.3 网络设备要求 司法行政系统网络平台中，核心网络设备关键部件（如主控板、交换网板、电源等） 应 采用冗余设 计，支持 VPN 功能，满足 MPLS VPN 部署要求。 4.2.1.4 互联链路及带宽要求 司法行政系统网络平台部到省（区、市）广域网节点互联链路应具备冗余能力。部到各省（区、市）

18、 的广域网传输链路带宽不低于 50Mbps，正常情况带宽峰值利用率不超过 70%。具体网络带宽可参考公式 1 计算： BW=（ A+B+C+D） *X （ 1） A IP 通信业务和无线通信业务承载带宽值，原则上不低于 4Mbps； B 视频会议业务承载带宽值，原则上不低于 12Mbps，保证 3 路高清并发； C 应急指挥及安全防范视频监控业务承载带宽值，原则上不低于 20Mbps，保证 5 路并发； D 其他纵向业务承载带宽值，原则上不低于 6Mbps； SF/T 0012 2017 5 X 系数值为 120%，作为带宽预留。 4.2.2 省（区、市）到地（市、州）广域联网技术要求 4.2

19、.2.1 省（区、市）到地（市、州）广域网联网 省（区、市）与各地（市、州）司法行政单位之间原则上依托电子政务外网（或政 府部门专网）， 部署路由设备实现省（区、市）内司法行政系统的纵向互联互通，构成省（区、市）到地（市、州）级 广域网。 省（区、市）监狱管理局、戒毒管理局与监狱、戒毒所之间联网 也可通过自建 专网实现 互联互通。 4.2.2.2 网络结构要求 司法行政系统网络平台省（区、市）到地（市、州）每个广域网节点采用冗余结构设计。网络结构 示意图 见图 3 图 3 省（区、市）到地（市、州）网络结构图 省（区、市）监狱管理局、戒毒管理局与监狱、戒毒所每个广域网节点采用冗余结构设计。网络

20、结 构示意图 见图 4。 图 4 省（区、市）监狱管理局、戒毒管理局与监狱、戒毒 所网络结构图 4.2.2.3 网络设备要求 司法行政系统网络平台中，核心网络设备关键部件（如主控板、交换网板、电源等）采用冗余备份 设计，支持 VPN 功能，满足 MPLS VPN 部署要求 。 SF/T 0012 2017 6 4.2.2.4 互联链路及带宽要求 司法行政系统网络平台省（区、市）到地（市、州）每个广域网节点互联链路应具备冗余能力，互 联链路带宽需具备平滑的升级能力。省（区、市）到地（市、州）广域网链路传输带宽不低于 100Mbps， 正常情况带宽峰值利用率不超过 70%。 具体网络带宽可参考公式

21、 2 计算： BW=（ A+B+C+D+E） *X （ 2） A IP 通信业务和无线通信业务承载带宽值，原则上不低于 8Mbps； B 视频会议及其他远程视讯业务承载带宽值，原则上不低于 20Mbps，保证 5 路并发； C 应急指挥及安全防范视频监控业务承载带宽值，原则上不低于 20Mbps，保证 5 路并发； D 社区矫正业务承载带宽值，原则上不低于 10Mbps； E 其他纵向业务承载带宽值，原则上不低于 10Mbps； X 系数值为 140%，作为带宽预留。 4.2.3 地（市、州）到县（市、区）广域联网技术要求 4.2.3.1 地（市、州）到县（市、区）广域网联网 司法行政系统 网

22、络平台地（市、州）与各县（市、区）司法行政单位依托电子政务外网（或政府部 门专网）或通过自建专网，实现地（市、州）到县（市、区）互联互通。 4.2.3.2 网络结构要求 司法行政系统网络平台地（市、州）到县（市、区）每个广域网节点采用冗余结构设计。分两种组 网类型，网络结构示意图 见图 5。 图 5 地（市、州）到县（市、区）网络结构图 4.2.3.3 网络设备要求 司法行政系统网络平台中，核心网络设备关键部件（如主控板、电源等）应采用冗余备份设计，支 持 VPN 功能，满足 MPLS VPN 部署要求。 4.2.3.4 互联链路及带宽要求 司法行政系统网络平台地（市、州） 到县（市、区）联网

23、节点互联链路应满足可靠性要求；链路质 SF/T 0012 2017 7 量良好，具有较强的业务保障能力。地（市、州）到县（市、区）的广域网链路传输带宽不低于 20Mbps， 正常情况带宽峰值利用率不超过 70%。 具体网络带宽可参考公式 3 计算： BW=（ A+B+C+D） *X （ 3） A IP 通信业务承载带宽值，原则上不低于 2Mbps； B 视频会议及其他远程视讯业务承载带宽值，原则上不低于 6Mbps； C 社区矫正业务承载带宽值，原则上不低于 2Mbps； D 其他纵向业务承载带宽 值，原则上不低于 4Mbps； X 系数值为 140%，作为带宽预留。 4.2.4 县（市、区）

24、到乡镇（街道）接入联网技术要求 4.2.4.1 县（市、区）到乡镇（街道）接入联网 县（市、区）与乡镇（街道）司法行政单位之间依托乡镇（街道）电子政务外网或自建专网，实现 基层司法行政单位接入。 乡镇（街道）司法行政单位也可通过自建专网直接接入到地（市、州），实现基层司法行政单位接 入。 4.2.4.2 网络结构要求 司法行政系统网络平台县（市、区）与乡镇（街道）每个广域网节点采用单设备、单链路构设计。 分两种组网类型，网络结构示意图 见图 6。 图 6 县（市、区）与 乡镇（街道）网络结构图 4.2.4.3 网络设备要求 司法行政系统网络平台中，核心网络设备关键部件（如主控板、电源等）应采用

25、冗余备份设计，支 持 VPN 功能。 4.2.4.4 互联链路及带宽要求 SF/T 0012 2017 8 司法行政系统网络平台县（市、区）到乡镇（街道）联网节点互联链路应满足可靠性要求；链路质 量良好，具有业务保障能力。县（市、区）到乡镇（街道）联网带宽能满足数据传输、 IP 通信及视频 会议等使用要求，正常情况带宽峰值利用率不超过 70%。 4.3 城域网联网技术要求 4.3.1 同城汇聚要求 同城司法行政各单位所属局域网通过接入电子政务外网（或政府部门专网）并汇聚，实现司法行政 系 统的互联互通，接入带宽满足纵向业务需求。 4.3.2 城域网网络设备要求 司法行政系统网络平台中，核心网络

26、设备关键部件（如主控板、电源等）采用冗余备份，支持 VPN 功能，满足 MPLS VPN 部署要求。 4.3.3 城域网路由要求 城域网采用静态路由 或动态 路由协议。 4.4 局域网技术要求 司法行政各单位局域网应按功能配置进行区域划分。 4.4.1 局域网网络架构 局域网网络架构遵循模块化分区设计原则，整体网络架构应分为多个相对独立的功能区，包括联网 区、服务器区、运维管理区、用户接入区。其中部级、省（区、市）级、监狱、戒毒所，所属局域网的 服务器区采用云计 算模式，网络采用虚拟化技术。地（市、州）司法局根据情况自行选择。 网络架构图 见图 7。 图 7 局域网网络架构示意图 联网区：负责

27、接入电子政务外网及政府部门专网的边界连接。 服务器区：负责接入司法行政系统各类应用服务器。 运维管理区：负责数据中心网络的运维和管理。 用户接入区：负责接入局域网内用户和网络终端。 SF/T 0012 2017 9 4.4.2 局域网网络性能要求 部局域网核心交换机 应 至少采用先进的 CLOS+多级多平面正交交换架构，配置冗余主控、交换网 板，提供持续的带宽升级能力，支持多虚一、一虚多技术。 省（区、市）局域网核心交换机 应 至少采用先进的 CLOS 多级多平面交换架构，配置冗余主控、 交换网板，提供持续的带宽升级能力，支持多种虚拟化技术，业务槽位满足业务需求，交换机需具备全 线速转发能力，

28、需具备高密万兆转发能力，支持 40G、 100G 接口扩展以满足数据中心业务流量高速转 发要求。 地（市、州）局域网核心交换 应 采用先进的 Crossbar 交换架构，配置双主控，支持丰富的业务特 性，业务槽位满足业务需求，适应融合业务网络发展趋势。 监狱、戒毒所局域网核心交换 应 采用先进的 CLOS 多级多平面交换架构，配置冗余主控、交换网 板，支持丰富的业务特性，业务槽位满足业务需求， 适应融合业务网络发展趋势。 服务器接入交换机至少实现双千兆上行，并可提供 10G、 40G 接入能力。 控制网络流量收敛比，链路收敛比不超过 4:1。 4.4.3 局域网网络功能要求 局域网网络核心节点

29、设 备应支持 SDN、 QoS 等特性，支持 IPV4/IPV6 动态路 由。 4.5 电子政务外网（或政府部门专网） 接入 要求 4.5.1 接入方式 司法行政系统网络平台原则上依托电子政务外网 (或政府部门专网 )建立纵向主干网络。各级司法行 政网络平台横向接入同级电子政务外网 (或政府部门专网 )，实现全国司法行政系统的互联互通。广域网 互联设备与电子政务外网（或政府部门 专网）路由器形成“口”字型或“三角”型连接。现基于政府部 门专网组网的逐步迁入电子政务外网。 4.5.2 接入技术 司法行政系统网络平台 接入技术主要采用 MPLS、 MPLS VPN 、以太网、链路聚合、 ACL、

30、QoS、 DLDP、 BFD 等技术。 4.5.3 接入地址 司法行政系统网络平台接入电子政务外网 (或政府部门专网 )的接入地址由电子政务外网 (或政府部 门专网 )主管部门统一规划和分配。 4.5.4 网络性能 司法行政系统网络平台依托电子政务外网 (或政府部门专网 )实现部到省（区、市）、省（区、市） 到地（市、州）纵向联网， 原则上 部到各省（区、市）纵向带 宽不低于 50Mbps，司法部横向接入电子 政务外网（或政府部门专网）带宽，基于各省（区、市）到部纵向带宽总和，按 2:1 的带宽收敛，接入 带宽至少为千兆级。 省（区、市）到各地（市、州）纵向带宽原则上不低于 100Mbps，省

31、（区、市）横向接入电子政务 外网（或政府部门专网）带宽，基于省（区、市）到部的上行带宽和到各地（市、州）的下行带宽总和， 按 2:1 的带宽收敛，接入带宽至少为千兆级。 地（市、州）到县（市、区）的纵向带宽原则上不低于 20Mbps，地（市、州）横向接入电子政务 SF/T 0012 2017 10 外网（或政府部门专网）带宽基于地（市、州） 到省（区、市）的上行带宽和到县（市、区）的下行带 宽的总和，按 2:1 的带宽收敛，接入带宽至少为百兆级。 4.5.5 路由协议 部、省（区、市）、地（市、州）司法行政系统网络平台 应 通过静态路由协议或动态路由协议与各 级电子政务外网（或政府部门专网）对

32、接。 4.5.6 服务质量保证 电子政务外网（或政府部门专网） 应 实施 QoS 策略保障司法行政系统网络平台中的 IP 通信、视频 会议和安全防范视频监控等关键业务的低时延、低抖动和高带宽。 4.6 备份联网 各级司法行政系统的灾备建设应符合 GB/T 20988-2007 建设要求，一般业务网络应满足灾难恢复等 级 第 4 级建设要求。 各省（区、市）根据实际情况选择构建省际备份网络。 5 IP 地址分配及编址规则 5.1 IP 地址分配原则 IP 地址应按以下原则分配 连续性：按照行政层级、关键业务类型，分配一段连续的 IP 地址 ； 可扩展性：地址分配要留有余量，便于后期扩展 ； 层次

33、性：按照连续比特分割法和 CIDR 标准，划分 IP 地址块 ； 可管理性： IP 地址的申请、变更和注销按照行政层级分配权限进行统一管理 ； 可识别性：通过 IP 地址可识别出行政单位和业务应用类型。 5.2 IP 地址编址范围 全国司法行政系统网络平台使用 A 类 IP 地址，地址段范围 16.0.0.0/8 48.0.0.0/8。对于独立组网的 应用使用 B 类 IP 地址，地址段为 172.16.0.0/16，此类地址由各省（区、市）自行规划，可通过地址转 换或安全交互方式接入到司法行政系统网络。 5.3 IP 地址编址规则 5.3.1 概述 IP 地址编址适用于全国司法行政系统网络平

34、台中的网络设备、安全设备、应用系统设备和用户终 端。 IP 地址编址须遵循以下规则： a) 全国司法行政系统 IP 地址按照业务系统进行编址 ,规划为司法行政本地应用系统和司法行政 纵向业务系统地址。 b) 全国司法行政各级本地应用系统和司法行政纵向业务系统，采用不同的 IP 地址编 码结构。 c) 本地应用服务器和用户终端地址从低到高分配，采用不同的地址区间段进行区分。网关地址从 高到低分配。 d) 同层级的设备互联地址，如同城司法行政单位到省（区、市）、地（市、州）级汇聚点的互联， 设备命名编号小的设备采用奇数地址，设备命名编号大的设备采用偶数地址。 SF/T 0012 2017 11 e

35、) 不同层级的设备互联地址，网络层级高的设备采用奇数地址，网络层级低的设备采用偶数地址。 5.3.2 全国司法行政本地应用系统及终端地址编码结构定义 全国司法行政本地应用系统及终端地址编码结构见表 1。 表 1 全国司法行政本地应用系统及终端地址编码结构 N W X H 16-48 XXXXXXXX (8bit) XXXXXXXX (8bit) XXXXXXXX (8bit) 省 （区、 市）级 标识 省（区、市）级单位 / 地 (市、州 ) 司法、监 狱、戒毒标识 地 (市、州 )级司法、监狱、 戒毒单位 /县（市、区）标识 乡镇（街道）司法所、监 区、大队等单位 主机标 识、 设备标识 N 段代码定义： 省（区、市）级标识：由司法部统一确定 33 省（区、市）级标识， 16 48 数字代表 33 个省（区、 市）级标识，每个省（区、市）级单位划分 1 个 A 类地址段，从低到高分配 ,如 16.*.*.*代表司法部。 W 段代码定 义： 0 作为省（区、市）级单位使用； 1 63 作为地（市、州