DB3209 T 1257-2023 电子政务外网 建设标准技术规范.pdf

1、ICS 35.240.01 CCS L 67 盐城市地方标准 电子政务外网建设技术规范 E-government network Technical specification 2023-12-15 发布2024-03-15 实施盐城市市场监督管理局 发布 DB3209/T 12572023DB3209DB3209/T 1257-2023 2 目 次目 次.2 前 言.3 1 范围.4 2 规范性引用文件.4 3 术语和定义.4 4 缩略语.5 5 网络平台建设规范.6 网络总体结构.6 市级电子政务外网建设规范.6 县级电子政务外网建设规范.9 自治域和路由规范.12 网络服务质量设计规范.

2、13 专网接入规范.14 6 IP 地址规划.15 地址分级管理.15 地址分配原则.15 IPv4 地址分配.16 IPv6 地址分配.16 7 安全体系建设规范.17 总体要求.17 市级安全技术要求.18 县级安全技术要求.24 8 管理体系建设规范.29 管理工作要求.29 管理平台建设要求.31 附录 A（规范性）网络设备要求.34 附录 B（规范性）安全设备要求.36 附录 C（资料性）盐城市各设区县行政区划代码及业务 IPv6 地址对照表.41 附录 D（资料性）委办局分类统计表.42 参考文献.45 DB3209/T 1257-2023 3 前 言 本文件按照GB/T 1.12

3、020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。本文件由盐城市电子政务办公室提出并归口。本文件起草单位：盐城市电子政务办公室。本文件主要起草人：刘强、赵启萌、王磊、孙约。DB3209/T 1257-2023 4 电子政务外网建设技术规范 1 范围 本文件界定了电子政务外网建设技术的术语和定义、缩略语，规定了网络平台建设规范、IP地址规划、安全体系建设规范及管理体系建设规范。本文件适用于盐城市级、县（区）级电子政务外网建设，以及各级政务部门局域网接入。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版

4、本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 21061 国家电子政务网络技术和运行管理规范 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25070 信息安全技术 网络安全等级保护安全设计技术要求 GB/T 39786 信息安全技术 信息系统密码应用基本要求 DB32/T 4318.1 电子政务外网 安全大数据和运维保障平台接入规范 第 1 部分：安全大数据平台 DB32/T 4318.2 电子政务外网 安全大数据和运维保障平台接入规范 第 2 部分：运维保障平台 3 术语和定义 以及下列术语和定义适用于本文件。电子政务外

5、网 e-government network承载跨地区、跨部门业务应用、信息共享、业务协同和不需在政务内网上运行的业务，与互联网安全逻辑隔离，满足各级部门经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。注：电子政务外网纵向连通国家、省、地（市）、县（市、区）、乡（镇、街道）、村（社区），横向覆盖各级党委、人大、政府、政协、法院和检察院等部门。广域网 Wide Area Networks把城市之间连接起来的宽带网络称广域网，政务外网从中央到各省的网络称为中央广域网、省到各地（市）网络称为省级广域网、地（市）到各县的广域网称为地（市）级广域网。实现国家、省、市、县纵向业务的互联网通

6、。城域网 metro networkDB3209/T 1257-2023 5 把同一城市内不同单位的局域网络连接起来的网络称为城域网，实现不同单位跨部门业务的数据共享与交换。网络切片 network slicing 提供特定网络能力和网络特征(如资源隔离、SLA 保障特性等)，为客户提供多种业务属性的逻辑网络。随流检测 in-situ flow information telemetry 一种直接对业务报文进行端到端测量，从而得到网络的真实丢包率、时延等性能指标的检测方式，具有部署方便、统计精度高等突出优点。4 缩略语 下列缩略语适用于本文件。1)5G：第五代移动通信技术（5th Genera

7、tion）；2)AAA：认证、授权和计费（authentication,authorization,and accounting）；3)APT：高级持续性威胁（Advanced Persistent Threat）；4)ARP：地址解析协议（Address Resolution Protocol）；5)APN6：应用感知的 IPv6 网络（application-aware IPv6 networking）；6)C&C：命令控制（Command and Control）；7)CE：用户边缘设备（Customer Edge）；8)DDoS：分布式拒绝服务(Distributed Denial o

8、f Service)；9)DGA：域名生成算法(Domain Generation Algorithm)；10)DHCP：动态主机配置协议(Dynamic Host Configuration Protocol)；11)DNN：数据网络名称（Data Network Name）；12)DNS：网域名称服务器(Domain Name Server)；13)EGP：外部网关协议(Exterior Gateway Protocol)；14)GRE：通用路由封装协议(Generic Routing Encapsulation)；15)EUI-64：64 位扩展唯一标识符(64-bit Extended

9、 Unique Identifier)；16)IGP：内部网关协议(Interior Gateway Protocol)；17)IMSI：国际移动用户识别码（International Mobile Subscriber Identity）；18)IMEI：国际移动设备标识（International Mobile Equipment Identity）；19)IPSec VPN：互联网协议安全协议虚拟专用网络(Internet Protocol security virtual private network)；20)IPv4：互联网协议版本 4（Internet Protocol vers

10、ion 4）；21)IPv6：互联网协议版本 6（Internet Protocol version 6）；22)IPv6+：基于 IPv6 的协议演进（IPv6 Plus）；23)IS-IS：中间系统到中间系统（Intermediate System to Intermediate System）；24)LACP：链路聚合控制协议（Link Aggregation Control Protocol）；25)MP：多链路协议（Multilink Protocol）；DB3209/T 1257-2023 6 26)MPLS：多协议标记交换（Multi-Protocol Label Switchi

11、ng）；27)MSTP：多业务传送平台（Multi-service Transmission Platform）；28)NAT：网络地址转换（Network Address Translation）；29)NFS：网络文件系统(Network File System)；30)OSPF：开放式最短路径优先(Open Shortest Path First)；31)PE：运营商边缘(Provider Edge)；32)PPP：点到点协议（point-to-point protocol）；33)QoS：服务质量(Quality of Service)；34)RIP：路由信息协议(Routing In

12、formation Protocol)；35)RR：路由反射器(Route Reflector)；36)SDH：同步数字体系(Synchronous Digital Hierarchy)；37)SDN：软件定义网络(Software Defined Network)；38)SIM：用户身份模块（Subscriber Identity Module）；39)SLA：服务水平协议(Service Level Agreement)；40)SNMP：简单网络管理协议(Simple Network Management Protocol)；41)SRv6：IPv6 段路由（IPv6 Segment Ro

13、uting）；42)SSL VPN：基于安全套接层的虚拟专用网络(Virtual Private Network over Secure Sockets Layer)；43)TWAMP：双向主动测量协议（Two-Way Active Measurement Protocol）；44)URL：统一资源定位符(Uniform Resource Locator)；45)UPF：5G 网络 SBA 架构下的用户面网元（user plane function）；46)VLAN：虚拟局域网(Virtual Local Area Network)；47)VPN：虚拟专用网络（Virtual Private

14、Networks）；48)VxLAN：虚拟扩展局域网（Virtual eXtensible Local Area Network）；49)Wi-Fi：无线网络技术（WirelessFidelity)。5 网络平台建设规范 网络总体结构 电子政务外网由市、县（区）二级组成，具体如下：a)市级电子政务外网包含市级广域网、市级城域网、市级部门接入网；b)县级电子政务外网包含县级城域网、县级部门接入网、乡（镇、街道）接入网、村（社区）接入网。电子政务外网网络实行统一规划、统一标准、分级建设、分级管理。市级电子政务外网建设规范 5.2.1 网络组成 市级电子政务外网组网示意见图 1。市级广域核心节点横向

15、连接市级城域网，纵向上联省级广域接入节点形成背靠背联接，下联各县广域核心，采用双设备双线路冗余设计，形成“口”字型组网结构。DB3209/T 1257-2023 7 市级城域网组网要求如下：a)市城域核心设备与市广域核心设备互联，采用双设备双线路冗余设计，形成“口”字型组网结构；b)市城域汇聚层设备主要汇接各政务部门局域网的接入设备，应使用双上联方式连接核心层设备，形成“口”字型组网结构，实现冗余可靠；c)市城域接入层设备用于政务部门局域网的接入，部署于各政务部门机房，接入设备到汇聚或核心设备之间可按政务部门业务重要程度适当采用冗余设计，选择双设备双归部署、单设备双归部署或单设备单归部署三种模

16、式；d)互联网接入区主要提供本级移动办公用户 VPN 方式安全可靠接入政务外网的安全接入平台，需要采用信道加密技术结合政务外网数字证书进行数据传输的加密保护，实现移动办公用户访问政务外网内部信息资源；e)政务云对接区主要用于对接本级非涉密数据中心，电子政务外网提供双线路冗余设计，实现政务部门对数据中心应用的访问；f)运维管理区是集中建设的独立运维管理区域，与城域网核心设备相连，各网络设备的运维管理应通过运维管理区实现，并应实现对运维管理行为进行审计，运维管理区流量与其他网络流量逻辑隔离，条件允许的情况下，建议实现带外管理；g)运营商 5G 政务网络通过政务专用 UPF 与政务外网城域 5G 接

17、入路由器进行对接；h)物联、应急等 5G 移动接入用户通过运营商 5G 政务网络接入电子政务外网。图 1 市级电子政务外网架构图 5.2.2 通信链路及带宽选择 线路带宽 本项要求如下：DB3209/T 1257-2023 8 a)线路带宽应能满足峰值业务需求，带宽月平均利用率超过 70%时应进行扩容；b)每年应进行带宽评估，评估应考虑下一年度的业务发展需要；c)市级城域网核心设备与广域网核心设备之间均应采用双线路万兆光口对接，线路总带宽均应不低于 20Gbps；d)城域网核心设备之间线路总带宽应不低于 50Gbps 链路带宽；e)城域网核心层与汇聚层设备承载城市驾驶舱的汇聚流量，城域网核心层

18、与汇聚层设备之间互联线路总带宽应不低于 50Gbps；f)城域网核心设备与互联网接入区设备之间的线路总带宽建议不低于 10Gbps；g)一类接入单位城域网接入层设备上联线路总带宽应满足政务部门内用户忙时峰值业务流量需求，应不低于 10Gbps。线路类型 本项要求如下：a)同一机房内设备互联可采用光纤或屏蔽双绞线，推荐使用光纤互联；b)市级用户接入网因用户地点与政务外网核心机房不在一栋大楼或大院需要租用运营商电路的，其接入设备与城域网汇聚层设备之间互联可采用裸光纤或 MSTP、SDH、OTN、裸光纤、切片专线等传输电路，在使用其他类型线路时，需确保传输设备与线路为政务外网专用且为纯二层点对点线路

19、；c)基于网络层的电路、任何形式的 VPN 电路都不符合政务外网的安全要求，不能使用；d)MTU 值应设置合理，满足业务承载传输需要，MTU 值设置应不低于 2000，推荐 9000。5.2.3 广域网/城域网技术要求 政务外网建设应向 IPv6 单栈模式发展演进。应采用 SDN+SRv6 技术为 IPv6 业务承载提供网络路径可编程能力，结合链路资源使用情况，实时动态调整流量路径。过渡期内可通过 SRv6 VPN 技术统一承载 IPv4、IPv6 业务。应采用网络切片技术为 IPv6 业务提供确定性带宽保障，具体要求如下：a)常用以太网接口（如10G接口、40G接口、100G接口等）应支持网

20、络切片；b)网络应具备不同层次的切片能力，如1G、2G、5G、10G等；c)网络切片技术应与IGP技术解耦，不同的网络切片可共用相同的接口地址和IGP路由协议。应采用随流检测技术为 IPv6 业务提供状态实时感知和故障快速定界能力，检测粒度应细化到单个部门或具体业务。应根据业务需要进行带宽实时保障和网络质量监控，宜采用 APN6 技术对 IPv6 业务进行识别。IPv6 网络不应使用 NAT 转换技术。IPv6 设备应符合自主可控相关要求。网络设备技术能力应符合附录 A 要求。5.2.4 市级单位接入要求 市级电子政务外网接入单位根据性质和业务分为一、二、三类单位，单位分类列表见附录D，接入要

21、求如下：DB3209/T 1257-2023 9 a)市级接入单位局域网接入市级电子政务外网需要向市级电子政务管理机构提出申请，并由市级电子政务管理机构备案，各单位严格按照备案范围接入市级电子政务外网；b)市级电子政务外网管理机构应为各部门提供接入政务外网和接入地址段统一规划，不同类型单位接入能力要求如下：1)一类接入部门通过冗余设备、冗余链路连接市级电子政务外网，接入设备性能应保证万兆接入能力，2)二类接入部门通过冗余设备、冗余链路连接市级电子政务外网，接入设备性能应保证千兆接入能力，3)三类接入部门通过单设备、单链路连接市级电子政务外网，接入设备性能应保证千兆接入能力；c)接入部门提供的对

22、接设备应具备路由、交换功能、边界安全防护功能，与市级电子政务外网设备完成对接，应采用静态路由/动态路由进行对接，宜采用静态路由，若采用动态路由，应对收到的接入部门路由进行合规性过滤；d)接入部门局域网进行IPv6改造时，网络设备、安全设备、终端均应支持IPv6协议，建议部署双栈模式；e)未采用市级电子政务外网统一规划地址的部门需自行转换成统一规划分配地址段后方可接入政务外网，IPv6地址应直接使用市级分配的IPv6地址；f)局域网应支持动态分配IPv6地址，宜支持IPv4/IPv6地址监控、溯源；g)接入部门局域网应对业务进行分区隔离，政务公共、部门专网业务应采用物理隔离、网络切片隔离方式或V

23、PN隔离方式接入政务外网；h)接入部门应按照国家及行业相关安全标准规范做好边界以内自身局域网的安全防护工作。5.2.5 5G 移动用户接入要求 5G移动用户接入要求如下：a)政务外网5G平面应支持为接入终端设备分配IPv4和IPv6地址；b)通过5G平面接入政务外网的终端应使用政务专用的IP地址体系，不应使用运营商IP地址体系；c)终端设备应支持5G SA网络，兼容TDD-LTEFDD-LTE两种制式；d)终端设备应支持IPv6协议，宜支持IPv6单栈，当业务为IPv4 时应选择IPv4和IPv6双栈设备；e)终端设备应支持不少于1个的用户身份识别卡插槽或嵌入式用户身份识别模块，应用于物联终端

24、、局域网网关等专用终端设备的SIM卡应进行实名认证，并经政务外网运行管理机构备案后使用；f)作为网关的终端设备，应禁止Wi-Fi、BlueTooth等无线功能，并内置防火墙、反病毒、入侵防御等安全功能，应支持接入认证，支持远程管理，支持通过虚拟专网VPN技术进行业务逻辑隔离，支持不低于千兆的LAN侧以太网接口。县级电子政务外网建设规范 5.3.1 网络组成 县级电子政务外网遵循层次化设计的原则，按照使用功能和网络建设规模大小，可采用“核心层-接入层”二层架构或“核心层-汇聚层-接入层”三层架构规划。组网架构示意见图 2。组网要求如下：DB3209/T 1257-2023 10 a)县城域核心设

25、备与县广域核心设备互联，采用双设备双线路冗余设计，形成“口”字型组网结构；b)汇聚层主要汇接各政务部门局域网的接入设备，应使用双上联方式连接核心层设备，形成“口”字型组网结构，实现冗余可靠；c)接入层设备用于政务部门局域网的接入，部署于各政务部门机房，接入设备到汇聚或核心设备之间可按政务部门业务重要程度酌情采用冗余设计，增加业务可靠性；d)互联网接入区主要提供本级移动办公用户提供VPN方式安全可靠接入政务外网的安全接入平台，需要采用信道加密技术结合政务外网数字证书进行数据传输的加密保护，实现移动办公用户访问政务外网内部信息资源，可通过市级安全接入平台统一接入，有条件的县级可自建安全接入平台；e

26、)运维管理区是集中建设的独立运维管理区域，与城域网核心设备相连。各网络设备的运维管理应通过运维管理区实现，并应实现对运维管理行为进行审计，运维管理区流量与其他网络流量逻辑隔离，条件允许的情况下，建议实现带外管理；f)县级用户接入区主要为县级政务部门提供用户接入服务，各政务部门可根据业务类型和重要程度，选择双设备双归部署，单设备双归部署和单设备单归部署三种模式，县级用户接入区还包括县合驻办公点，直接通过接入设备接入县城域汇聚节点；g)镇级用户接入区为县所辖各乡镇及下辖行政村接入政务外网的区域，各镇集中办公节点通过镇汇聚设备统一对接县城域核心节点，镇汇聚设备同时汇聚下辖各行政村接入点为下辖各行政村

27、接入政务外网提供支持，偏远地区也可通过安全接入平台以IPsec VPN形式接入电子政务外网。图 2 县级电子政务外网架构图 5.3.2 通信链路及带宽选择 DB3209/T 1257-2023 11 线路带宽 本项要求如下：a)线路带宽应能满足峰值业务需求，带宽月平均利用率超过70%时应进行扩容；b)每年应进行带宽评估，评估应考虑下一年度的业务发展需要；c)县级城域网核心设备与县广域网核心设备之间均应采用双线路万兆光口对接，线路总带宽建议不低于10Gbps；d)县级城域网核心设备之间线路总带宽建议不低于10Gbps；e)城域网接入层设备与汇聚层设备之间的线路总带宽应满足政务部门内用户忙时峰值业

28、务流量需求，建议不低于100Mbps。线路类型 本项要求如下：a)同一机房内设备互联可采用光纤或屏蔽双绞线，推荐使用光纤互联；b)县级用户接入网因用户地点与政务外网核心机房不在一栋大楼或大院需要租用运营商电路的，其接入与城域网汇聚层设备之间互联可采用裸光纤或MSTP、SDH、OTN、裸光纤、切片专线等传输电路，在使用其他类型线路时，需确保传输设备与线路为政务外网专用且为纯二层点对点线路；c)基于网络层的电路、任何形式的VPN电路都不符合政务外网的安全要求，不能使用；d)MTU值应设置合理，满足业务承载传输需要；MTU值设置应不低于2000，推荐9000。5.3.3 城域网技术要求 政务外网建设

29、应向 IPv6 单栈模式发展演进。应采用 SRv6 技术为 IPv6 业务承载提供网络路径可编程能力，结合链路资源使用情况，实时动态调整流量路径，过渡期内可通过 SRv6 VPN 技术统一承载 IPv4、IPv6 业务，未部署 SDN 的县级电子政务外网可以在市级 SDN 控制器统一设备纳管，分权分域管理。应采用网络切片技术为 IPv6 业务提供确定性带宽保障，具体要求如下：a)常用以太网接口（如 10G 接口、40G 接口、100G 接口等）应支持网络切片；b)网络应具备不同层次的切片能力，如 1G、2G、5G、10G 等；c)网络切片技术应与 IGP 技术解耦，不同的网络切片可共用相同的接

30、口地址和 IGP 路由协议。应采用随流检测技术为 IPv6 业务提供状态实时感知和故障快速定界能力，检测粒度应细化到单个部门或具体业务。应根据业务需要进行带宽实时保障和网络质量监控，宜采用 APN6 技术对 IPv6 业务进行识别。行政村级网络设备宜具备即插即用、免配置上线能力，降低运维难度。IPv6 网络不应使用 NAT 转换技术。IPv6 设备应符合自主可控相关要求。网络设备技术能力应符合附录 A 要求。5.3.4 与市级电子政务外网对接规范 DB3209/T 1257-2023 12 县级电子政务外网与市级电子政务外网对接要求如下：a)县级电子政务外网接入市级电子政务外网需要向市级电子政

31、务管理机构提出申请并备案，各县严格按照备案范围接入市级电子政务外网；b)市、县两级之间有明确的维护边界，只允许边界传递路由，严禁县级通过二层网络接入市级电子政务外网，严禁将县广域核心设备作为业务网关；c)县级电子政务外网业务在与市级电子政务外网对接时，应分别为公用网络区业务、部门专网业务部署 VPN，实现不同业务之间的隔离，原则上市级电子政务外网不对接互联网业务；d)县级和市级电子政务外网共用一个 AS 号码，宜采用基于 VPN 的静态路由与市级背靠背对接，若采用 IGP 动态路由协议对接，需要控制路由避免形成路由环路。5.3.5 县级单位接入要求 县级电子政务外网接入单位根据性质和业务分为一

32、、二、三类单位，具体接入要求如下：a)县级接入单位局域网接入县级电子政务外网需要向县级电子政务外网管理机构提出申请并备案，各单位严格按照备案范围接入电子政务外网；b)各县级电子政务外网管理机构应为各部门提供接入政务外网和接入地址段统一规划，不同类型单位接入能力要求如下：1)一类接入部门通过冗余设备、冗余链路连接县电子政务外网，接入设备性能应保证万兆接入能力，2)二类接入部门通过冗余设备、冗余链路连接县电子政务外网，接入设备性能应保证千兆接入能力，3)三类接入部门通过单设备、单链路连接县电子政务外网，接入设备性能应保证千兆接入能力；c)接入部门提供的对接设备应具备路由、交换功能、边界安全防护功能

33、，与电子政务外网设备完成对接，应采用静态路由/动态路由进行对接，宜采用静态路由，若采用动态路由，应对收到的接入部门路由进行合规性过滤；d)接入部门局域网进行IPv6改造时，网络设备、安全设备、终端均应支持IPv6协议，建议部署双栈模式；e)未采用电子政务外网统一规划地址的部门需自行转换成统一规划分配地址段后方可接入政务外网，IPv6地址应直接使用分配的IPv6地址；f)局域网应支持动态分配IPv6地址，宜支持IPv4/IPv6地址监控、溯源；g)接入部门局域网应对业务进行分区隔离，政务公共、部门专网业务应采用物理隔离、网络切片隔离方式或VPN隔离方式接入政务外网；h)接入部门应按照国家及行业相

34、关安全标准规范做好边界以内本部门接入网络的安全防护工作。自治域和路由规范 5.4.1 IGP 技术规范 在电子政务外网网络骨干区域内，IGP 宜采用 IS-ISv6 协议；同时为了保障节点或链路故障时业务可以快速收敛，建议全网使能 BFD for IS-IS。县级电子政务外网存量网络部分，可先继承原有 OSPF 路由协议规划不做更新，后续逐步向 ISIS 迁移。DB3209/T 1257-2023 13 5.4.2 BGP 技术规范 在市级电子政务外网，市城域网部署 RR 反射器（选择市城域核心作为 RR），接入路由器、汇聚路由器、县广域核心、市广域核心等分别与 RR 反射器建立 IBGP 邻

35、居，交换域内的业务路由信息。在县级电子政务外网，县城域网部署 RR 反射器（选择县城域核心作为 RR），接入路由器、汇聚路由器分别与 RR 反射器建立 IBGP 邻居，交换域内的业务路由信息。5.4.3 自治域技术规范 市级本级、各县级电子政务外网共用 1 个自治域号码：64794。AS 域间 IPv6 网络对接应采用 Option A 方式，当前采用 Option B 方式对接的，可通过在域间设备增加业务互联接口，配置静态路由或 EBGP 进行业务路由交换，实现 Option A 方式。网络服务质量设计规范 5.5.1 对政务外网中敏感数据和 SLA 要求高的业务，应采用网络切片技术，将网络

36、划分为多个独立的逻辑业务平面进行硬隔离。每个逻辑业务平面应拥有独立的带宽资源，不能相互抢占，最大化保障关键业务网络质量。5.5.2 网络切片宜将切片与 IGP 解耦，多个网络切片平面可共用一套接口 IP 地址和 IGP 路由协议，降低网络协议的复杂性。5.5.3 政务外网可根据业务类型、保障级别、部门诉求三个维度定义网络切片模型：a)基于业务类型，可按表 1 的要求进行切片；表 1 基于业务类型的要求 业务类型 要求 政务业务 各政务单位对外服务窗口，市民办理社保、公积金、不动产登记等各种一站式服务 雪亮工程 覆盖市、县、镇、村各级的公共安全视频图像共享交换体系和应用支撑体系 公共视频 满足各

37、级政务部门内、部门之间高品质视频会议需要 物联业务 满足物联终端接入需要 办公业务 满足各级政务部门办公需要 专网业务 满足通过撤网整合的方式接入电子政务外网的专网业务SLA需要 撤线专网业务 为通过撤线整合穿越电子政务外网的所有业务专网划分统一的专用切片 b)基于保障级别，可按表 2 的要求设定三个保障级别进行切片；表 2 基于级别的要求 保障等级要求普通级别基础网络要求：带宽尽力而为，时延30ms，丢包1E-3关键级别丢包：1E-5特殊级别时延：4msc)基于部门诉求，可按表 3 的要求分为公共类、重保类、专用类共三类切片，若未来一些政务部门有单独切片诉求，可保持未来可扩展性。DB3209

38、/T 1257-2023 14 表 3 基于部门诉求的要求 单位诉求要求公共类所有政务部门共享的默认切片。重保类参与重大事件保障政务部门共用切片，按需使用，重保结束后政务部门切换回原有切片专用类为具有特殊诉求的政务部门提供的专用切片。专网接入规范 5.6.1 市级非涉密业务专网向电子政务外网迁移整合主要有撤网整合、撤线整合、对接融合三种方式，原则上专网整合应采用撤网整合方式。5.6.2 撤网整合方案指将业务专网的设备、租赁专线等整体裁撤，专网接入单位作为新的政务外网接入单位连接到政务外网，同时将部署于业务专网内的业务系统逐步迁移至同级政务云平台，要求如下：a)市、县级电子政务外网管理机构应为专

39、网接入单位提供接入设备、接入线路，原专网业务通过电子政务外网进行承载；b)市、县级电子政务外网应具备差异化质量保障能力，如SRv6、网络切片、随流检测等满足不同业务专网的整合需求；c)不得为专网业务绕过防火墙。5.6.3 撤线整合方案指仅裁撤业务专网所租赁的运营商专线，利用政务外网作为专网线路，保留专网的网络设备。专网接入单位负责业务专网应用系统的维护和网络部署规划，保持相对独立，要求如下：a)原则上专网整合应采用撤网整合方式，有特殊需求需要采用撤线整合的业务专网部门应提供证明材料并备案说明；b)专网接入单位应负责业务专网的业务部署和运维；c)若专网业务敏感需要加密，应由业务专网接入单位自行部

40、署IPsec等技术来实现；d)考虑IPv6演进要求，专网接入单位宜采用IPv6单栈技术（如SRv6技术）穿越电子政务外网；e)市、县级电子政务外网应为业务专网提供路由互通；f)为保障电子政务外网整体网络质量和安全，宜为穿越电子政务外网的所有业务专网划分统一的专用切片；g)不得为专网业务绕过防火墙。5.6.4 对接融合方案指整体保留业务专网的网络设备和租赁运营商专线，应用系统仍然部署在专网内，专网接入单位仍然基于该业务专网开展业务，并实现条线内各级单位网络互通，为满足业务专网和政务外网之间的数据共享和数据交换需求，建设网络对接融合区，通过部署网闸/防火墙等安全设备，安全可控地打通业务专网与政务外

41、网，要求如下：a)原则上专网整合应采用撤网整合方式，有特殊需求需要采用对接融合方式的业务专网部门应提供备案说明；b)市级电子政务外网应建设专网对接融合区，通过部署网闸/防火墙等安全设备，安全可控地打通业务专网与政务外网；c)若专网业务较敏感，或者高于电子政务外网信息安全等级保护级别，应通过网闸进行数据安全交换；DB3209/T 1257-2023 15 d)若专网业务非敏感，或者不高于与电子政务外网信息安全等级保护级别，应通过防火墙进行数据安全交换；e)应具备终端和系统之间的访问控制能力，控制粒度宜为单个地址或者端口，宜采用白名单的访问控制策略；f)应对网络攻击行为进行检测、防止、限制、报警等

42、，并记录攻击源IP、目标、类型、时间等信息；g)应对用户行为和安全事件等进行行为审计，审计记录应至少保留6个月。6 IP 地址规划 地址分级管理 市级电子政务外网IP地址总体规划由市级电子政务管理机构负责，各区县级电子政务外网根据总体规划，对所属本级的IP地址资源进行再次分配、管理和使用。地址分配原则 6.2.1 层次性原则 IP地址分配应根据网络中的应用级别成块划分，为每一级别应用分配一个独立的地址段，形成易于扩展的层次性结构，便于网络设备的统一管理，降低网络结构的复杂性。6.2.2 连续性原则 应按照2n的大小分配连续地址段，有助于路由聚合、缩减路由表、提高路由算法效率。6.2.3 可扩展

43、性原则 地址分配在每一层次上都留有余量，当网络规模扩展时能保证地址聚合所需的连续性。6.2.4 唯一性原则 同一个IP网络中不能有两个主机采用相同的IP地址。6.2.5 规范性原则 严格按照IP地址分配原则进行IP地址的规划及项目实施。6.2.6 全局业务 IP 地址按需申请原则 申请单位根据网络建设情况申请政务外网全局业务IP地址，申请的地址在一年内必须充分有效使用，否则将酌情收回。6.2.7 其他原则 其它原则如下：a)应采用域名而不是IP地址作为各类主机提供服务的方式，避免IP地址改动导致服务中断；b)在局域网中必须采用政务外网统一规划的地址，避免全局业务IP地址出现资源短缺；c)服务器

44、IP地址应使用低地址段，从最小可编地址开始依次顺序分配使用；d)网络设备IP地址应使用高地址段，从最大可编地址开始逆序分配使用；e)已建城域网的市、县级节点，建议根据用户总体访问量使用若干个全局业务地址作为城域网DB3209/T 1257-2023 16 用户单位访问政务外网公用网络区的转换地址池；f)IPv6地址具备语义化，结构定义清晰，通过在IPv6地址不同分段嵌入区域、业务类型等信息，便于识别用户所在区域及用途，可读性强；g)IPv6地址在设备或者管理界面以16进制显示配置（4bits），IPv6地址规划尽量不要破坏半字节结构，以便进行网络管理和运维。IPv4 地址分配 IPv4地址分配

45、方式保持不变。IPv6 地址分配 6.4.1 IPv6 地址结构 政务外网 IPv6 地址段结构为：240B:8TZZ:ZZZW:WWYY:/64，主要用于政务外网全局的 IPv6 地址规划。政务外网 IPv6 地址采用结构化编址方式，按图 3 所示分为五个字段：a)124 位，类型域，240B:8T，用于标识政务外网各类业务；b)2544 位，区划域，ZZ:ZZZ，用于标识中央、省、市、县四级行政区域；c)4556 位，部门域，W:WW，用于标识各级政务部门、乡镇及以下行政区域；d)5764 位，子网域，YY，由各级政务部门自行规划分配；e)65128 位，主机域，支持EUI-64地址，并根

46、据接口MAC地址自动生成唯一标识。图 3 IPv6 地址结构 市级及级行政区划代码及业务 IPv6 地址对照表应符合附录 A 的要求。6.4.2 类型域（T 码）编码规则 类型域（T码）用于标识政务外网各类业务（T表示十六进制字符，取值范围07），按照政务外网业务系统类型，划分为网络平台、基础数据业务、视频会议业务、视频监控业务等，类型域（T码）设计如下：a)政务外网网络平台地址（T=0）：主要用于政务外网的各级网络基础设施，包括链路、网络设备（环回口地址、设备互联地址、设备管理地址）、安全设备（设备互联地址、设备管理地址）、网管平台、安管平台、云管平台、运行管理系统及终端等软硬件设备；b)基

47、础数据业务地址（T=1）：主要用于部署政务外网基础业务及终端，包括服务器、IP存储、云主机、云存储、应用软件、业务终端等；c)视频会议业务地址（T=2）：主要用于部署政务外网视频会议业务及终端，包括视频会议平台、视频会议终端、应用软件等；d)视频监控业务地址（T=3）：主要用于部署政务外网视频监控业务及终端，包括视频监控平DB3209/T 1257-2023 17 台、视频监控终端、应用软件等；e)预留（T=4-7）：未来政务外网业务发展，预留规划。6.4.3 区划域（Z 码）编码规则 区划域（Z码）用于标识中央、省、市、县四级行政区域，区划域编码规则如下（其中：Z1、Z2、Z3、Z4、Z5分

48、别表示十六进制字符，取值范围00000-FFFFF），以民政部行政区划代码为基础，将6位“十进制”字符（区划代码）转换为5位“十六进制”字符（Z码），Z码转换算法设计如下：a)拆码：将6位“十进制”区划代码分为3段：AA、BB、CC；b)转码（十进制转二进制）：1)省级区域编码（AA，江苏对应AA为16）转换成6位“二进制”字符，2)地市地址编码（BB，行政区划代码）转换成7位“二进制”字符，3)区县地址编码（CC，行政区划代码）转换成7位“二进制”字符；c)组码（二进制转十六进制）：合计共20位“二进制”字符，按4位1组，转换成5位“十六进制”字符，生成对应的区划域Z码。6.4.4 部门域（

49、W 码）编码规则 部门域（W码）用于标识市、县（市、区）各级政务部门、乡镇及以下行政区域，由W1、W2、W3三位“十六进制”字符组成，取值范围000FFF。部门域W1码取值19时，表示市级部门单位，由市级政务外网管理机构分配，共分为A、B、C、D和其它预留5个大类，县（市、区）级部门单位可参照执行。部门域规划应符合下列要求：a)A类级部门单位（W1=15）：用于标识与国家对口的政府部门，部门域W1、W2由市级政务外网管理机构分配，W3由市级政府部门自行规划。政府部门的下属单位划归此类，由其上级主管部门进行地址分配；b)B类市级部门单位（W1=6）：用于标识党委、人大、政协、高检、高法、群团、民

50、主党派等，部门域W1、W2、W3由市级政务外网管理机构分配；c)C类市级其它部门单位（W1=7）：用于标识部队、武警、央企、国企等。地方上的央企划归此类，由央企提出申请，市级政务外网管理机构进行地址分配；d)D类地方其它部门单位（W1=8）：用于标识与国家非对口的省级部门单位；e)预留（W1=9）；f)部门域W1码取值为AF时，用于标识乡镇及以下行政区域或基层组织借用部门域，从W1W2W3=A00开始，到W1W2W3=FFF结束，共支持1535个:/56地址段，由上级政务外网运行管理机构分配。6.4.5 子网域（Y 码）编码规则 子网域（Y码）用于标识不同系统类型所属的业务子网（Y1、Y2分别