DB37 T 4630.2-2023 电子政务外网 第2部分：网络接入要求.pdf

1、 ICS 35.240.01 CCS L 67 37 山东省地方标准 DB37/T 4630.22023 电子政务外网 第 2 部分：网络接入要求 E-government extranetPart 2:Network access requirements 2023-07-24 发布2023-08-24 实施山东省市场监督管理局发 布 DB37/T 4630.22023 I 目次 前言.II 引言.III 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 缩略语.1 5 基本要求.1 5.1 申请接入.1 5.2 属地化接入.2 5.3 多点接入.2 6 接入框架.2 7 接入方

2、式.3 7.1 专线接入.3 7.2 VPN 接入.4 8 接入流程.4 8.1 接入申请.4 8.2 接入审核.4 8.3 接入实施.4 8.4 接入变更.4 8.5 接入撤销.4 9 接入安全.4 9.1 部门接入网安全.4 9.2 部门接入终端安全.5 附录 A（资料性）接入申请表.6 A.1 专线接入申请表.6 A.2 VPN 接入申请表.7 附录 B（规范性）VPN 账号要求.8 B.1 账号命名.8 B.2 账号使用.8 参考文献.9 DB37/T 4630.22023 II 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。本

3、文件是DB37/T 4630电子政务外网的第2部分。DB37/T 4630已经发布了以下部分：第 1 部分：总体要求；第 2 部分：网络接入要求。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由山东省大数据局提出、归口并组织实施。DB37/T 4630.22023 III 引言 电子政务外网是我省电子政务重要的基础设施，为跨层级、跨地域、跨系统、跨部门、跨业务的网络互联互通、信息共享和业务协同提供网络支撑，满足各级政务部门经济调节、市场监管、社会管理、公共服务和生态环境保护等方面的网络需要。本文件旨在为电子政务外网的建设和管理提供指导，有效推进各级电子政务外网

4、的规划、建设、运行和管理。DB37/T 4630拟分为2个部分。第 1 部分：总体要求。本部分旨在规范电子政务外网总体架构、网络层级架构、网络生命周期、网络资源、监督管理、安全管理等内容。第 2 部分：网络接入要求。本部分旨在规范各部门接入网接入电子政务外网的基本要求、接入框架、接入方式、接入流程、接入安全等内容。DB37/T 4630.22023 1 电子政务外网 第 2 部分：网络接入要求 1 范围 本文件规定了电子政务外网网络接入基本要求、接入框架、接入方式、接入流程和接入安全要求。本文件适用于各级电子政务外网的网络接入和管理。注：本文件规定的电子政务外网适用范围为电子政务外网公共服务域

5、。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 210612007 国家电子政务网络技术和运行管理规范 GB/T 222392019 信息安全技术 网络安全等级保护基本要求 GB/T 250692022 信息安全技术 术语 DB37/T 4630.12023 电子政务外网 第1部分：总体要求 3 术语和定义 GB/T 250692022、DB37/T 4630.12023界定的术语和定义适用于本文件。4 缩略语 下列缩略语适用于

6、本文件。EVPN：以太虚拟私有网络（Ethernet Virtual Private Network）IP：网际互联协议（Internet Protocol）IPv6：互联网协议第6版（Internet Protocol Version 6）IPSec：网际互联安全协议（Internet Protocol Security）MPLS：多协议标签交换（Multi Protocol Label Switching）NAT：网络地址转换（Network Address Translation）PC：个人计算机（Personal Computer）SRv6：基于IPv6转发平面的段路由（Segment

7、 Routing IPv6）SSL：安全套接层（Secure Sockets Layer）VPN：虚拟专用网（Virtual Private Network）5 基本要求 5.1 申请接入 电子政务外网接入部门应按照实际需求向本级大数据工作主管部门（以下简称“主管部门”）提交接入申请，申请审核通过后，接入电子政务外网。DB37/T 4630.22023 2 5.2 属地化接入 省级、市级接入部门应接入本级电子政务外网，县级及以下接入部门接入县级电子政务外网。接入部门驻地不在本级电子政务外网接入服务范围内的应属地化接入电子政务外网。5.3 多点接入 接入部门有多个办公地点的，可自行组网后，统一接

8、入电子政务外网，也可分别接入电子政务外网。6 接入框架 电子政务外网接入框架见图1，包括以下内容：a)电子政务外网层级：包括省级、市级、县（市、区）级电子政务外网城域网；b)接入方式：包括专线、VPN 两种方式，专线、VPN 接入要求应分别符合 7.1、7.2 的相关规定；c)接入设备：1)以专线方式接入电子政务外网的接入部门，应通过网络设备或者安全设备等方式接入电子政务外网；2)不具备专线接入条件的接入部门，应通过 VPN 网关或 VPN 终端等方式接入电子政务外网，县级及以下接入部门直接接入市级电子政务外网。DB37/T 4630.22023 3 图1 接入框架 7 接入方式 7.1 专线

9、接入 7.1.1 网络设备 7.1.1.1 三层交换机或路由器等网络设备应通过光纤链路与电子政务外网城域网核心节点或汇聚节点设备连接，支持子接口、MPLS VPN、EVPN、SRv6、动态路由协议等。7.1.1.2 接入部门应使用三层交换机或路由器等网络设备连接。7.1.1.3 接入部门访问电子政务外网时，宜使用省内终端地址，也可根据实际需求使用地址转换设备。7.1.1.4 接入部门访问互联网时，可使用地址转换设备。7.1.2 安全设备 7.1.2.1 防火墙等安全设备应通过光纤链路与电子政务外网城域网核心节点或汇聚节点设备连接，支持子接口、MPLS VPN、IPv6、动态路由协议、入侵防御、

10、防病毒等。7.1.2.2 防火墙应支持透明模式及三层模式。为更有效保障网络安全，接入部门宜使用三层工作模式。DB37/T 4630.22023 4 7.2 VPN 接入 7.2.1 VPN 网关 不具备专线接入条件的部门接入网可通过VPN网关接入。VPN网关接入要求包括但不限于：a)应具备良好的互通兼容性，与电子政务外网的 VPN 接入设备兼容、互联互通；b)应支持 NAT 功能，通过标准网络协议双向穿透 NAT 设备。7.2.2 VPN 终端 不具备专线接入条件的接入部门终端可使用IPSec/SSL VPN或通过安全沙箱接入电子政务外网。8 接入流程 8.1 接入申请 接入部门应按要求向本级

11、主管部门提交接入申请，接入申请要求包括：a)接入部门通过专线方式接入电子政务外网时，应提供接入部门联系人信息、网络开通时间、IP 地址需求数量、接入地址、接入带宽需求等申请信息，见附录 A；b)接入部门通过 VPN 方式接入电子政务外网时，应提供接入部门联系人信息、使用人信息、互联网服务提供商信息、接入终端位置信息、申请性质、VPN 账号、有效期等申请信息，见附录 A，VPN 账号命名和使用要求应符合附录 B 的相关规定。8.2 接入审核 经本级主管部门接入审核通过后，接入部门应做好电子政务外网接入设备、接入线路等的接入实施准备工作。如接入申请审核未通过，本级主管部门应反馈接入部门修改意见，接

12、入部门按照8.1的要求重新提交接入申请。8.3 接入实施 电子政务外网接入准备工作完成后，主管部门应安排人员配合接入部门完成网络接入工作。部门接入网接入电子政务外网后，主管部门应将电子政务外网的IP地址等相关资料移交给接入部门。8.4 接入变更 接入部门网络需求发生新增、延期等变更时，应向本级主管部门重新提交接入申请，说明变更内容。本级主管部门审核通过后，应配合接入部门完成网络变更。8.5 接入撤销 接入部门不再有电子政务外网应用需求或机构注销时，应向本级主管部门提出撤销申请。本级主管部门审核通过后，应回收网络资源。9 接入安全 9.1 部门接入网安全 9.1.1 省级、市级、县（市、区）级部

13、门接入网安全应符合 GB/T 222392019 中的信息安全等级保护相关要求。DB37/T 4630.22023 5 9.1.2 部门接入网应采取边界安全防护措施，符合 GB/T 210612007 中 10.3.3 相关要求。9.1.3 部门接入网终端如需访问互联网的，可使用本级统一互联网出口平台。9.1.4 部门接入网终端跨网访问互联网时，应采取必要的安全隔离与控制措施，禁止同时访问电子政务外网和互联网。9.2 部门接入终端安全 9.2.1 PC 终端 9.2.1.1 接入 PC 终端安全要求包括身份鉴别、准入控制、安全防护、安全审计、远程接入等方面。9.2.1.2 PC 终端通过 VP

14、N 方式接入到电子政务外网时，应支持双因子认证接入方式。9.2.1.3 VPN 客户端接入电子政务外网时，应与互联网应用隔离。9.2.2 移动终端 9.2.2.1 接入移动终端安全要求包括软硬件安全、接入控制、安全防护、安全审计等方面。9.2.2.2 移动终端访问电子政务外网业务应用系统时，应采取授权访问控制、网络传输加密等防护措施，宜使用安全沙箱等技术进行数据安全防护。9.2.2.3 破解超级用户权限的移动终端不应接入电子政务外网。DB37/T 4630.22023 6 附 录 A （资料性）接入申请表 A.1 专线接入申请表 电子政务外网专线接入申请表见表A.1。表A.1 专线接入申请表

15、接入部门（盖章）联系人 联系电话 安全责任联系人 联系电话 开通时间 年 月 联网方式 IP 地址需求 种类 全局业务地址 省内业务地址 其他 地址 数量 16 个 32 个 64 个 其他 个，默认分配省内终端地址 1024 个 接入地址 接入带宽需求 100Mbps 1Gbps 5Gbps 部门接入网的安全防护措施 接入部门安全承诺 主管部门审核意见：年 月 日 DB37/T 4630.22023 7 A.2 VPN 接入申请表 电子政务外网VPN接入申请表见表A.2。表A.2 VPN 接入申请表 接入部门（盖章）负责人 职务 办公电话 移动电话 使用人 职务 办公电话 移动电话 邮箱地址

16、 通讯地址 互联网服务提供商 接入终端所在详细地理位置（包含地址、楼层、房间号、邮编等信息）申请性质（新建、撤销、延期）VPN 账号 有效期 备注 接入部门安全承诺 主管部门审核意见：年 月 日 DB37/T 4630.22023 8 附 录 B （规范性）VPN 账号要求 B.1 账号命名 VPN账号应能标识账号所属部门、所属层级，VPN账号名称应由地域名称、部门名称、用户标识字段组成，各组成部分之间用“_”连接：a)地域名称：地域命名规则应符合 DB37/T 4630.12023 中附录 B 的相关要求；b)部门名称：应采用部门名称的汉语拼音全拼，其首字母应大写；c)用户标识字段：应采用自定义阿拉伯数字。B.2 账号使用 VPN账号使用要求主要包括：a)仅允许账号本人使用，未经其允许，不应将账户给他人使用；b)同一账号可用于 PC 终端、移动终端的登录；c)账号初始口令由主管部门统一分配，接入部门首次登录使用时应自行更改密码，密码长度不应少于 8 位，由英文大小写字母、特殊字符、阿拉伯数字三种或三种以上组成。DB37/T 4630.22023 9 参 考 文 献 1 GW01032011 国家电子政务外网安全等级保护基本要求 2 GW02012011 国家电子政务外网IPSec VPN安全接入技术要求与实施指南 3 GW02062014 接入政务外网的局域网安全技术规范