DB3209鹽城市地方標準E-governmentnetworkTechnicalspeci鹽城市市場監(jiān)督管理局發(fā)布2 2 3 4 4 4 5 6 65.2市級電子政務(wù)外網(wǎng)建設(shè)規(guī)范 6 9 6.2地址分配原則 7.2市級安全技術(shù)要求 34電子政務(wù)外網(wǎng)建設(shè)技術(shù)規(guī)范本文件適用于鹽城市級、縣（區(qū)）級電子政務(wù)外網(wǎng)建設(shè)，以及各級政務(wù)部門局域網(wǎng)接GB/T21061國家電子政務(wù)網(wǎng)絡(luò)技術(shù)和運行GB/T25070信息安全技術(shù)網(wǎng)絡(luò)安全等級保護安全設(shè)計GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用DB32/T4318.2電子政務(wù)外網(wǎng)安全大數(shù)據(jù)和3.1全邏輯隔離，滿足各級部門經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理和注：電子政務(wù)外網(wǎng)縱向連通國家、省、地（市）），3.2地（市）網(wǎng)絡(luò)稱為省級廣域網(wǎng)、地（市）到3.35把同一城市內(nèi)不同單位的局域網(wǎng)絡(luò)連接起來的網(wǎng)絡(luò)稱為城域網(wǎng)，實現(xiàn)不同單位跨部門業(yè)務(wù)的數(shù)據(jù)3.43.54縮略語2)AAA：認證、授權(quán)和計費（authentication,authorization,anda3)APT：高級持續(xù)性威脅（AdvancedPers）；4)ARP：地址解析協(xié)議（AddressResolutionP6)C&C：命令控制（Commandan）；）；8)DDoS：分布式拒絕服務(wù)(DistributedDenialofS9)DGA：域名生成算法(DomainGenerationAl10)DHCP：動態(tài)主機配置協(xié)議(DynamicHostCo13)EGP：外部網(wǎng)關(guān)協(xié)議(Exter14)GRE：通用路由封裝協(xié)議(GenericR15)EUI-64：64位擴展唯一標識符(64-16)IGP：內(nèi)部網(wǎng)關(guān)協(xié)議(Inter17)IMSI：國際移動用戶識別碼（InternationalMobile18)IMEI：國際移動設(shè)備標識（InternationalMobil19)IPSecVPN：互聯(lián)網(wǎng)協(xié)議安全協(xié)議虛擬專用網(wǎng)絡(luò)(InternetProtocolsecurityvirtual20)IPv4：互聯(lián)網(wǎng)協(xié)議版本4（InternetPro21)IPv6：互聯(lián)網(wǎng)協(xié)議版本6（Internet）；23)IS-IS：中間系統(tǒng)到中間系統(tǒng)（IntermediateSystemt24)LACP：鏈路聚合控制協(xié)議（LinkAggregationControl25)MP：多鏈路協(xié)議（Multilin626)MPLS：多協(xié)議標記交換（Multi-ProtocolLabel27)MSTP：多業(yè)務(wù)傳送平臺（Multi-serviceTransmissi）；28)NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressT29)NFS：網(wǎng)絡(luò)文件系統(tǒng)(NetworkFil30)OSPF：開放式最短路徑優(yōu)先(OpenShortestPat32)PPP：點到點協(xié)議（point-to-poi33)QoS：服務(wù)質(zhì)量(Qualityo34)RIP：路由信息協(xié)議(RoutingInformati36)SDH：同步數(shù)字體系(SynchronousDigita37)SDN：軟件定義網(wǎng)絡(luò)(SoftwareDefined38)SIM：用戶身份模塊（SubscriberId39)SLA：服務(wù)水平協(xié)議(ServiceLevel40)SNMP：簡單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProt41)SRv6：IPv6段路由（IPv6）；42)SSLVPN：基于安全套接層的虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetworkoverSecureSockets43)TWAMP：雙向主動測量協(xié)議（Two-WayActiveMeasurementPro44)URL：統(tǒng)一資源定位符(UniformResourceLoc46)VLAN：虛擬局域網(wǎng)(VirtualLocalAreaNet47)VPN：虛擬專用網(wǎng)絡(luò)（VirtualPrivateNe）；48)VxLAN：虛擬擴展局域網(wǎng)（VirtualeXtensibleLocalAreaNe49)Wi-Fi：無線網(wǎng)絡(luò)技術(shù)（WirelessFidb)縣級電子政務(wù)外網(wǎng)包含縣級城域網(wǎng)、縣級部門接入網(wǎng)、鄉(xiāng)（鎮(zhèn)、街道）接入網(wǎng)市級廣域核心節(jié)點橫向連接市級城域網(wǎng)，縱向上聯(lián)省級廣域接入節(jié)7b)市城域匯聚層設(shè)備主要匯接各政務(wù)部門局域網(wǎng)的接入設(shè)備，應(yīng)使用雙上聯(lián)方式連接核心層設(shè)d)互聯(lián)網(wǎng)接入?yún)^(qū)主要提供本級移動辦公用戶VPN方式安全可靠接入政務(wù)需要采用信道加密技術(shù)結(jié)合政務(wù)外網(wǎng)數(shù)字證書進行數(shù)據(jù)傳輸?shù)募用鼙Ｗo，實現(xiàn)移動辦公用戶邏輯隔離，條件允許的情況下，建議實現(xiàn)帶外g)運營商5G政務(wù)網(wǎng)絡(luò)通過政務(wù)專用UPF與政務(wù)外網(wǎng)城域5G接入路由器進行8a)線路帶寬應(yīng)能滿足峰值業(yè)務(wù)需求，帶寬月c)市級城域網(wǎng)核心設(shè)備與廣域網(wǎng)核心設(shè)備之間均應(yīng)采用雙線路萬兆光口對接，線路總帶寬均應(yīng)e)城域網(wǎng)核心層與匯聚層設(shè)備承載城市駕駛艙的匯聚流量，城域網(wǎng)核心層與匯聚層設(shè)備之間互g)一類接入單位城域網(wǎng)接入層設(shè)備上聯(lián)線路總帶寬應(yīng)滿足政務(wù)部門內(nèi)用戶忙時峰值業(yè)務(wù)流量需a)同一機房內(nèi)設(shè)備互聯(lián)可采用光纖或屏蔽雙絞線，推薦使用光5.2.4市級單位接入要求市級電子政務(wù)外網(wǎng)接入單位根據(jù)性質(zhì)和業(yè)務(wù)分為一、二、三類單位，單位分9a)市級接入單位局域網(wǎng)接入市級電子政務(wù)外網(wǎng)需要向市級電子級電子政務(wù)管理機構(gòu)備案，各單位嚴格按照備案范圍接入市級電b)市級電子政務(wù)外網(wǎng)管理機構(gòu)應(yīng)為各部門提供接入政務(wù)外網(wǎng)和接入地1)一類接入部門通過冗余設(shè)備、冗余鏈路連接市級2)二類接入部門通過冗余設(shè)備、冗余鏈路連接市級電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)3)三類接入部門通過單設(shè)備、單鏈路連接市級電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)c)接入部門提供的對接設(shè)備應(yīng)具備路由、交換功能、邊界安全防護功設(shè)備完成對接，應(yīng)采用靜態(tài)路由/動態(tài)路由進行對接，宜采用靜態(tài)路d)接入部門局域網(wǎng)進行IPv6改造時，網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端均應(yīng)支持e)未采用市級電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃地址的部門需自行政務(wù)外網(wǎng)，IPv6地址應(yīng)直接使用市級分配的IPvf)局域網(wǎng)應(yīng)支持動態(tài)分配IPv6地址，宜支持g)接入部門局域網(wǎng)應(yīng)對業(yè)務(wù)進行分區(qū)隔離，政務(wù)公共、部門專網(wǎng)業(yè)務(wù)h)接入部門應(yīng)按照國家及行業(yè)相關(guān)安全標準規(guī)范做好邊界以內(nèi)自身局域網(wǎng)的安全a)政務(wù)外網(wǎng)5G平面應(yīng)支持為接入終端設(shè)備分b)通過5G平面接入政務(wù)外網(wǎng)的終端應(yīng)使用政務(wù)專用的IP地址體系，不應(yīng)使用e)終端設(shè)備應(yīng)支持不少于1個的用戶身份識別卡插槽或端、局域網(wǎng)網(wǎng)關(guān)等專用終端設(shè)備的SIM卡應(yīng)進行實名認證，并經(jīng)政務(wù)外網(wǎng)運行管理f)作為網(wǎng)關(guān)的終端設(shè)備，應(yīng)禁止Wi-Fi、BlueTooth等無線功能，并防御等安全功能，應(yīng)支持接入認證，支持遠程管理，支持通過縣級電子政務(wù)外網(wǎng)遵循層次化設(shè)計的原則，按照使用功能和網(wǎng)絡(luò)建設(shè)規(guī)模大小，可采用“核心b)匯聚層主要匯接各政務(wù)部門局域網(wǎng)的接入設(shè)備，應(yīng)使用雙上聯(lián)方式連接核心c)接入層設(shè)備用于政務(wù)部門局域網(wǎng)的接入，部署于各政務(wù)部門機房，備之間可按政務(wù)部門業(yè)務(wù)重要程度酌情采用冗余設(shè)計，增加業(yè)d)互聯(lián)網(wǎng)接入?yún)^(qū)主要提供本級移動辦公用戶提供VP臺，需要采用信道加密技術(shù)結(jié)合政務(wù)外網(wǎng)數(shù)字證書進行數(shù)據(jù)傳輸?shù)募用鼙Ｗo，實現(xiàn)移用戶訪問政務(wù)外網(wǎng)內(nèi)部信息資源，可通過市級安全接入平臺統(tǒng)一接入，有條件的縣級e)運維管理區(qū)是集中建設(shè)的獨立運維管理區(qū)域，與城域網(wǎng)核心設(shè)理應(yīng)通過運維管理區(qū)實現(xiàn)，并應(yīng)實現(xiàn)對運維管理行為進行審計，運維管理區(qū)流量與其他f)縣級用戶接入?yún)^(qū)主要為縣級政務(wù)部門提供用戶接入服務(wù)，各政務(wù)程度，選擇雙設(shè)備雙歸部署，單設(shè)備雙歸部署和單設(shè)備單歸部署三種模式，縣級用戶接入?yún)^(qū)還包括縣合駐辦公點，直接通過接入設(shè)備接入縣城域匯聚節(jié)g)鎮(zhèn)級用戶接入?yún)^(qū)為縣所轄各鄉(xiāng)鎮(zhèn)及下轄行政村接入政務(wù)外網(wǎng)的區(qū)域，各鎮(zhèn)集中辦公節(jié)點通過鎮(zhèn)匯聚設(shè)備統(tǒng)一對接縣城域核心節(jié)點，鎮(zhèn)匯聚設(shè)備同時匯聚下轄各行政村接入點為下轄各行政村接入政務(wù)外網(wǎng)提供支持，偏遠地區(qū)也可通過安全接入平臺以IPsecVPN形式接入電子5.3.2通信鏈路及帶寬選擇a)線路帶寬應(yīng)能滿足峰值業(yè)務(wù)需求，帶寬月平均利c)縣級城域網(wǎng)核心設(shè)備與縣廣域網(wǎng)核心設(shè)備之間均應(yīng)采用雙線路e)城域網(wǎng)接入層設(shè)備與匯聚層設(shè)備之間的線路總帶寬應(yīng)滿足政務(wù)b)縣級用戶接入網(wǎng)因用戶地點與政務(wù)外網(wǎng)核心機房不在一棟大樓或大院需要租的，其接入與城域網(wǎng)匯聚層設(shè)備之間互聯(lián)可采用裸光纖或M線等傳輸電路，在使用其他類型線路時，需確保傳輸設(shè)備與線路為政務(wù)外網(wǎng)專用且d)MTU值應(yīng)設(shè)置合理，滿足業(yè)務(wù)承載傳輸需要；MTU值設(shè)置應(yīng)不5.3.4與市級電子政務(wù)外網(wǎng)對接規(guī)范a)縣級電子政務(wù)外網(wǎng)接入市級電子政務(wù)外網(wǎng)需要向市級電子政務(wù)管理機構(gòu)提出申請并備案，各務(wù)部署VPN，實現(xiàn)不同業(yè)務(wù)之間的隔離，原則上市級電子政務(wù)外網(wǎng)不5.3.5縣級單位接入要求縣級電子政務(wù)外網(wǎng)接入單位根據(jù)性質(zhì)和業(yè)務(wù)分為一、二、三類單位，具體接入要求如a)縣級接入單位局域網(wǎng)接入縣級電子政務(wù)外網(wǎng)需要向縣級電子政務(wù)外網(wǎng)b)各縣級電子政務(wù)外網(wǎng)管理機構(gòu)應(yīng)為各部門提供接入政務(wù)外網(wǎng)和接入地址段統(tǒng)1)一類接入部門通過冗余設(shè)備、冗余鏈路連接縣電2)二類接入部門通過冗余設(shè)備、冗余鏈路連接縣電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)3)三類接入部門通過單設(shè)備、單鏈路連接縣電子政務(wù)外網(wǎng)，接入設(shè)備性能應(yīng)保c)接入部門提供的對接設(shè)備應(yīng)具備路由、交換功能、邊界安全防護完成對接，應(yīng)采用靜態(tài)路由/動態(tài)路由進行對接，宜采用靜態(tài)路由，若采用動態(tài)路由d)接入部門局域網(wǎng)進行IPv6改造時，網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端均應(yīng)e)未采用電子政務(wù)外網(wǎng)統(tǒng)一規(guī)劃地址的部門需自行轉(zhuǎn)換f)局域網(wǎng)應(yīng)支持動態(tài)分配IPv6地址，宜支g)接入部門局域網(wǎng)應(yīng)對業(yè)務(wù)進行分區(qū)隔離，政務(wù)公共、部門專網(wǎng)業(yè)務(wù)h)接入部門應(yīng)按照國家及行業(yè)相關(guān)安全標準規(guī)范做好邊界以內(nèi)本部門接入網(wǎng)絡(luò)），），5.5.1對政務(wù)外網(wǎng)中敏感數(shù)據(jù)和SLA要求高的業(yè)務(wù)，應(yīng)采用網(wǎng)邏輯業(yè)務(wù)平面進行硬隔離。每個邏輯業(yè)務(wù)平面應(yīng)擁有獨立的帶寬資源，不能相互搶占，最大化保障關(guān)5.5.3政務(wù)外網(wǎng)可根據(jù)業(yè)務(wù)類型、保障級別、部門訴求三個維度定義網(wǎng)絡(luò)切片模型：各政務(wù)單位對外服務(wù)窗口，市民辦理社保、公積金、不動產(chǎn)滿足通過撤網(wǎng)整合的方式接入電子政務(wù)外網(wǎng)的專網(wǎng)業(yè)為通過撤線整合穿越電子政務(wù)外網(wǎng)的所有業(yè)務(wù)專基礎(chǔ)網(wǎng)絡(luò)要求：帶寬盡力而為，時延<30ms參與重大事件保障政務(wù)部門共用切片，按需使用，重保結(jié)束后政務(wù)部5.6專網(wǎng)接入規(guī)范5.6.1市級非涉密業(yè)務(wù)專網(wǎng)向電子政務(wù)外網(wǎng)遷移整合主要有撤網(wǎng)整合、撤線整合、對接融合三種方5.6.2撤網(wǎng)整合方案指將業(yè)務(wù)專網(wǎng)的設(shè)備、租賃專線等整體裁撤，專網(wǎng)接入單位作為新的政務(wù)外網(wǎng)接入單位連接到政務(wù)外網(wǎng)，同時將部署于業(yè)務(wù)專網(wǎng)內(nèi)的業(yè)務(wù)系統(tǒng)逐步遷移至同級政務(wù)云平臺，要求如a)市、縣級電子政務(wù)外網(wǎng)管理機構(gòu)應(yīng)為專網(wǎng)接入單位提供接入設(shè)備、接入線路，原專網(wǎng)業(yè)b)市、縣級電子政務(wù)外網(wǎng)應(yīng)具備差異化質(zhì)量保障能力，如SRv6、網(wǎng)絡(luò)切片5.6.3撤線整合方案指僅裁撤業(yè)務(wù)專網(wǎng)所租賃的運營商專線，利用政務(wù)外網(wǎng)作為專網(wǎng)線路，保留專網(wǎng)的網(wǎng)絡(luò)設(shè)備。專網(wǎng)接入單位負責業(yè)務(wù)專網(wǎng)應(yīng)用系統(tǒng)的維護a)原則上專網(wǎng)整合應(yīng)采用撤網(wǎng)整合方式，有特殊需求需要采用撤線整合的業(yè)務(wù)專網(wǎng)部門應(yīng)d)考慮IPv6演進要求，專網(wǎng)接入f)為保障電子政務(wù)外網(wǎng)整體網(wǎng)絡(luò)質(zhì)量和安全，宜為穿越電子政務(wù)外網(wǎng)的所有業(yè)務(wù)專5.6.4對接融合方案指整體保留業(yè)務(wù)專網(wǎng)的網(wǎng)絡(luò)設(shè)備和租賃運營商專線，應(yīng)用系統(tǒng)仍然部署在專網(wǎng)內(nèi)，專網(wǎng)接入單位仍然基于該業(yè)務(wù)專網(wǎng)開展業(yè)務(wù)，并實現(xiàn)條線內(nèi)各級單位網(wǎng)絡(luò)互通，為滿足業(yè)務(wù)和政務(wù)外網(wǎng)之間的數(shù)據(jù)共享和數(shù)據(jù)交換需求，建設(shè)網(wǎng)絡(luò)對接融合區(qū)，通過部署網(wǎng)閘/防火墻等安a)原則上專網(wǎng)整合應(yīng)采用撤網(wǎng)整合方式，有特殊需求需要采用對接融合方式的業(yè)務(wù)專網(wǎng)部b)市級電子政務(wù)外網(wǎng)應(yīng)建設(shè)專網(wǎng)對接融合區(qū)，通過部署網(wǎng)閘/防火墻等安全設(shè)備，安全可控地打c)若專網(wǎng)業(yè)務(wù)較敏感，或者高于電子政務(wù)外網(wǎng)信息安全等級保護級別，應(yīng)通過網(wǎng)閘d)若專網(wǎng)業(yè)務(wù)非敏感，或者不高于與電子政務(wù)外網(wǎng)信息安全等級保護級別，應(yīng)通e)應(yīng)具備終端和系統(tǒng)之間的訪問控制能力，控制粒度宜為單個地址或者端口，宜f)應(yīng)對網(wǎng)絡(luò)攻擊行為進行檢測、防止、限制、報警等，并記錄g)應(yīng)對用戶行為和安全事件等進行行為審計，審計記錄應(yīng)至市級電子政務(wù)外網(wǎng)IP地址總體規(guī)劃由市級電子政務(wù)管理機構(gòu)負責，各區(qū)縣級電子政務(wù)外網(wǎng)根據(jù)總體規(guī)劃，對所屬本級的IP地址資源進行再次分配、管理和6.2地址分配原則擴展的層次性結(jié)構(gòu)，便于網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理，降低網(wǎng)絡(luò)結(jié)構(gòu)的復應(yīng)按照2n的大小分配連續(xù)地址段，有助于路由聚申請單位根據(jù)網(wǎng)絡(luò)建設(shè)情況申請政務(wù)外網(wǎng)全局業(yè)務(wù)IP地址，申請的地址在一年內(nèi)必須充分有效使a)應(yīng)采用域名而不是IP地址作為各類主機提供服務(wù)的方式，避免IP地址改動導致服務(wù)中b)在局域網(wǎng)中必須采用政務(wù)外網(wǎng)統(tǒng)一規(guī)劃的地址，避免全局業(yè)務(wù)IP地址出現(xiàn)資源短缺；c)服務(wù)器IP地址應(yīng)使用低地址段，從最小可編地址開始依次e)已建城域網(wǎng)的市、縣級節(jié)點，建議根據(jù)用戶總體訪問量使用若干個全局業(yè)務(wù)地f)IPv6地址具備語義化，結(jié)構(gòu)定義清晰，通過在IPv6地址不同分段嵌入?yún)^(qū)域、g)IPv6地址在設(shè)備或者管理界面以1劃。政務(wù)外網(wǎng)IPv6地址采用結(jié)構(gòu)化編址方式，按圖3所示分為五個字段：a)1～24位，類型域，240B:8T，用于標識政務(wù)外網(wǎng)b)25～44位，區(qū)劃域，ZZ:ZZZ，用于標識中央、省、市、縣四級行政區(qū)域；e)65～128位，主機域，支持EUI業(yè)務(wù)系統(tǒng)類型，劃分為網(wǎng)絡(luò)平臺、基礎(chǔ)數(shù)據(jù)業(yè)務(wù)、視頻會議業(yè)務(wù)、視頻監(jiān)控業(yè)務(wù)等，類型域（T碼）設(shè)b)基礎(chǔ)數(shù)據(jù)業(yè)務(wù)地址（T=1主要用于部署政務(wù)外網(wǎng)基礎(chǔ)c)視頻會議業(yè)務(wù)地址（T=2主要用于部署政務(wù)外網(wǎng)視頻會議業(yè)務(wù)及終端，包括d)視頻監(jiān)控業(yè)務(wù)地址（T=3主要用于部署政務(wù)外網(wǎng)視頻監(jiān)控業(yè)務(wù)及終端，包括視頻監(jiān)控平區(qū)劃域（Z碼）用于標識中央、省、市、縣四級行政區(qū)域，區(qū)劃域編碼規(guī)則如），a)拆碼：將6位“十進制”區(qū)劃代碼分為3段：Ac)組碼（二進制轉(zhuǎn)十六進制合計共20位“二進制”字符，按4位1組，轉(zhuǎn)換成5位“十六進部門域（W碼）用于標識市、縣（市、區(qū)）各級政務(wù)部門、鄉(xiāng)鎮(zhèn)及以下行政區(qū)域，由W1、W2、W3三a)A類級部門單位（W1=1?5用于標識與國家對口的政府部門，部門域W1、W2由市級政務(wù)外網(wǎng)管理機構(gòu)分配，W3由市級政府部門自行規(guī)劃。政府部門的下屬單位劃歸此類，由其上f)部門域W1碼取值為A?F時，用于標識鄉(xiāng)鎮(zhèn)及以下行政區(qū)域或基層組織借用W1W2W3=A00開始，到W1W2W3=FFF結(jié)束，共支持1535個::/56地址段，由上級政務(wù)外網(wǎng)運行管理子網(wǎng)域（Y碼）用于標識不同系統(tǒng)類型所屬的業(yè)務(wù)子網(wǎng)（Y1、Y2分別表示十六進制字符，取值范圍00-FF子網(wǎng)域（Y碼）00-7F（前128個）部分由各部門單位自行規(guī)劃分配；Y碼80-FF（后1287.1.1IPv6網(wǎng)絡(luò)建設(shè)應(yīng)符合G密碼應(yīng)用相關(guān)要求，定級如下:a)市級電子政務(wù)外網(wǎng)達到網(wǎng)絡(luò)安全等級保護第三級要求，并達到密碼應(yīng)用第三級基本要b)縣級及以下政務(wù)外網(wǎng)達到網(wǎng)絡(luò)安全等級保護第二級及密碼應(yīng)用第二級基本要求，或以上要求，且不低于承載在政務(wù)外網(wǎng)數(shù)據(jù)中心上業(yè)務(wù)系統(tǒng)的7.1.3安全設(shè)備應(yīng)具備“IPv6+”技7.2市級安全技術(shù)要求物理環(huán)境安全目的是保護網(wǎng)絡(luò)中計算機網(wǎng)絡(luò)通信有良好的電磁兼容工作環(huán)境，并防止非法用戶進入計算機控制室和各種偷竊、破壞活動的發(fā)生，本項關(guān)鍵要求包a)機房出入口應(yīng)配置電子門禁系統(tǒng)，控制、鑒別和記錄進c)宜采用密碼技術(shù)保證電子門禁系統(tǒng)進出記錄數(shù)據(jù)d)應(yīng)設(shè)置機房防盜報警系統(tǒng)或設(shè)置有專人值守的視頻監(jiān)控系統(tǒng)，宜采用密碼技術(shù)保e)應(yīng)采取措施防止感應(yīng)雷，例如設(shè)置防雷保安器g)應(yīng)安裝對水敏感的檢測儀表或元件，對機房進行防h)應(yīng)采取措施防止靜電的產(chǎn)生，例如采用靜電消除器、佩戴防靜電手環(huán)等；a)應(yīng)保證跨越邊界的訪問和數(shù)據(jù)流通過防火墻提供的受控接口進行通信，不得繞過防火b)應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到電子政務(wù)外網(wǎng)的行為進行檢測或限制；c)應(yīng)能夠?qū)﹄娮诱?wù)外網(wǎng)用戶非授權(quán)聯(lián)到外部網(wǎng)絡(luò)的行為進d)應(yīng)支持基于應(yīng)用層協(xié)議設(shè)置流控策略，包括設(shè)置最大帶寬、保證帶寬、協(xié)議b)需對電子政務(wù)外網(wǎng)系統(tǒng)進行資產(chǎn)和身份管理，設(shè)備需經(jīng)過身份認證才能接入電子政務(wù)外網(wǎng)系c)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，按照最小化訪d)應(yīng)具備安全策略調(diào)優(yōu)能力，可發(fā)現(xiàn)冗余安全策略，長時間不用的安全策略，以e)應(yīng)對時間、用戶、源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查f)應(yīng)能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒g)應(yīng)對進出網(wǎng)絡(luò)的數(shù)據(jù)流實現(xiàn)基于應(yīng)用協(xié)議和應(yīng)用內(nèi)b)應(yīng)在關(guān)鍵網(wǎng)絡(luò)節(jié)點處檢測、防止或限制從內(nèi)部發(fā)起的網(wǎng)絡(luò)攻擊行為；c)應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是新型網(wǎng)絡(luò)攻擊d)當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信a)防火墻、入侵防御等核心安全設(shè)備需要保障自身安全，避免被黑客控制作為攻擊跳板，需內(nèi)置可信根，可對系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應(yīng)用程序等進行可信驗證，并在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進行動態(tài)可信b)宜采用密碼技術(shù)對重要可執(zhí)行程序進行完整性保護,并對其來源進行真實性驗c)宜采用自主可控安全防護區(qū)設(shè)備，設(shè)備CPU、操作系統(tǒng)、轉(zhuǎn)測和清洗?？笵DoS攻擊應(yīng)支持常見的SYNHTTPSFlood等攻擊，并且支持流量自學習功能，可識別出超過防御應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署防火墻，實現(xiàn)網(wǎng)絡(luò)邊界保護和訪問控制。防火墻應(yīng)只開放政務(wù)網(wǎng)提供接入服務(wù)的必需的服務(wù)端口，對流經(jīng)互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)數(shù)據(jù)進行合法性檢查。為了保證業(yè)務(wù)的可宜在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署入侵防御系統(tǒng)，動態(tài)檢測網(wǎng)絡(luò)上所有流過的數(shù)據(jù)包，進和分析，及時發(fā)現(xiàn)漏洞、蠕蟲、木馬等非法和異常行為，并且支持告警、阻斷等應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)部署防病毒功能，可在防火墻或入侵檢測設(shè)備上開啟，及時更新病毒庫，阻止病毒入侵和傳播，進行及時的查殺。防病毒模塊宜集成在防火墻應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)旁路部署沙箱，針對APT高級持續(xù)威的安全檢測技術(shù)，識別網(wǎng)絡(luò)中傳輸?shù)膼阂馕募?yīng)為接入用戶提供服務(wù)接口或鏈路接口等統(tǒng)應(yīng)采用RADIUS、LDAP等認證協(xié)議實現(xiàn)基于數(shù)字證書的身應(yīng)提供安全接入平臺的運行情況監(jiān)測、用戶行為審計和安全接入平臺設(shè)備的配置管理功應(yīng)通過網(wǎng)絡(luò)訪問控制、入侵檢測與防御、防病毒等安全措施實現(xiàn)基礎(chǔ)安全防護?？赏ㄟ^在安全接入平臺的網(wǎng)絡(luò)入口、內(nèi)部安全域邊界部署防火墻實現(xiàn)網(wǎng)絡(luò)邊界保護和訪問控制?？稍诎踩尤肫脚_的網(wǎng)絡(luò)入口處部署入侵檢測設(shè)備或入侵防御系統(tǒng)，動態(tài)監(jiān)視網(wǎng)絡(luò)上流過的所有數(shù)據(jù)包，及時發(fā)現(xiàn)非法或異常對于市級政務(wù)部門局域網(wǎng)接入到電子政務(wù)外網(wǎng)城域網(wǎng)，應(yīng)設(shè)部門用戶接入應(yīng)在部門用戶接入?yún)^(qū)部署防火墻，實現(xiàn)網(wǎng)絡(luò)邊界保護和訪問控制。防火墻應(yīng)只開放政務(wù)網(wǎng)絡(luò)所提供接入服務(wù)的必要服務(wù)端口，對流經(jīng)部門用戶接入?yún)^(qū)的網(wǎng)絡(luò)數(shù)據(jù)進行合法性檢查。為了保證業(yè)務(wù)的可服務(wù)性，防火墻應(yīng)支持雙機部署，且支持性能的可應(yīng)在部門用戶接入?yún)^(qū)部署入侵防御系統(tǒng)，可在防火墻上開啟入侵防御功能，動態(tài)檢測網(wǎng)絡(luò)上所有流過的數(shù)據(jù)包，進行實時檢測和分析，及時發(fā)現(xiàn)漏洞、蠕蟲、木馬宜在部門用戶接入?yún)^(qū)部署流量探針，對流經(jīng)網(wǎng)絡(luò)邊界的流量進行提取和還原，送至后端應(yīng)在政務(wù)云對接區(qū)部署防火墻，并開啟訪問控制、入侵防御、病毒防護等安全防護功政務(wù)云對接區(qū)應(yīng)具備網(wǎng)絡(luò)邊界保護和訪問控制功能。應(yīng)只開放必要的服務(wù)端口，并對網(wǎng)絡(luò)數(shù)據(jù)進行合法性檢查。防火墻應(yīng)支持雙機部署，支持性能的動政務(wù)云對接區(qū)應(yīng)具備入侵防御功能，可動態(tài)檢測網(wǎng)絡(luò)上所有流過的數(shù)據(jù)包時發(fā)現(xiàn)漏洞、蠕蟲、木馬等非法和異常行為b)城域網(wǎng)的核心、匯聚設(shè)備應(yīng)具有設(shè)備冗余，接入設(shè)備宜具備設(shè)備冗余；c)城域網(wǎng)核心設(shè)備、匯聚設(shè)備以及匯聚到核心設(shè)備之間應(yīng)至少保證不同路由主護，接入設(shè)備到匯聚設(shè)備之間宜采用不同路由主備鏈路進行保護，在采用主備方式或負e)應(yīng)根據(jù)需要采用有效的QoS和流量管理策略，確保重要信息系統(tǒng)和數(shù)據(jù)具f)根據(jù)所部署系統(tǒng)的重要性和所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)g)各級政務(wù)部門根據(jù)業(yè)務(wù)需求在政務(wù)外網(wǎng)上構(gòu)建專用網(wǎng)絡(luò)承載其業(yè)務(wù)時，應(yīng)采用VPh)應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，應(yīng)劃分互聯(lián)網(wǎng)區(qū)域，將電子政務(wù)核心業(yè)務(wù)與互聯(lián)網(wǎng)業(yè)a)用戶通過互聯(lián)網(wǎng)接入政務(wù)外網(wǎng)時，應(yīng)采用校驗技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的性，應(yīng)采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性，應(yīng)使用國家密碼管理局認證核b)其他通信場景時，宜采用校驗技術(shù)或密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性，宜采用密碼技術(shù)保證通信過程中數(shù)據(jù)的保密性，采用的密碼技術(shù)應(yīng)經(jīng)過國家密碼管理局認證a)需基于可信根對通信設(shè)備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等可信驗證，并在執(zhí)行程序的關(guān)鍵環(huán)節(jié)進行動態(tài)可信驗證，在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計記錄送至安全管b)宜采用密碼技術(shù)對重要可執(zhí)行程序進行完整性保護,并對其來源進行真實性驗c)宜采用自主可控通信設(shè)備，設(shè)備CPU、操作系統(tǒng)、a)各級政務(wù)部門局域網(wǎng)的安全及等級保護工作由各政務(wù)部門會同本級電子政務(wù)外網(wǎng)管理機b)政務(wù)部門局域網(wǎng)接入政務(wù)外網(wǎng)，應(yīng)在部門局域網(wǎng)做好訪問控制、IP地址管理，對于訪問政務(wù)外網(wǎng)的系統(tǒng)和終端應(yīng)具有病毒防范，接入部門應(yīng)做好審計等功能，應(yīng)根據(jù)各單位的安全增加終端安全管理系統(tǒng)和選擇不同網(wǎng)絡(luò)區(qū)域的安全a)部門局域網(wǎng)與公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，使用防火墻或者安全網(wǎng)關(guān)進行安全防a)接入終端應(yīng)使用政務(wù)部門局域網(wǎng)統(tǒng)一分配的b)應(yīng)對計算機終端進行安全防護和準入控制，計算機終端安裝病毒與惡意代碼防護軟件，并及c)政務(wù)部門局域網(wǎng)終端應(yīng)僅具備一個網(wǎng)絡(luò)的訪問權(quán)限，訪問政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)的d)終端宜具備安全沙箱隔離能力，并能通過動態(tài)威脅監(jiān)控手段實時調(diào)整用a)通過5G接入政務(wù)外網(wǎng)應(yīng)滿足終端二次認證/鑒權(quán)管控，一次認證為接入運營商回傳網(wǎng)制，基于用戶身份識別卡的唯一標識和設(shè)備標識對用戶識別卡和設(shè)備進行接入5G網(wǎng)絡(luò)的準入認證，電子政務(wù)外網(wǎng)應(yīng)提供網(wǎng)絡(luò)側(cè)的二次認證能力，二次認證/鑒權(quán)通過后，政務(wù)外網(wǎng)b)安全網(wǎng)關(guān)應(yīng)基于移動終端（標識一般為IMSI或SIM卡號）進行精細網(wǎng)絡(luò)訪問控制、安全防護策c)宜采用“永不信任，持續(xù)驗證”的零信任理念進行防護，宜在邊界建a)應(yīng)對信息資產(chǎn)、威脅情報、漏洞信息等進行生命周期管理，包含網(wǎng)絡(luò)和IT資產(chǎn)管理、知b)應(yīng)匯聚安全告警、風險、安全態(tài)勢等信息，進行關(guān)聯(lián)分析、智能推理、分成安全防護控制策略和業(yè)務(wù)安全控制策略，基于決策結(jié)果進行服務(wù)的編排、調(diào)度和配置，包c)應(yīng)具備針對安全風險主動發(fā)現(xiàn)、趨勢分析、風險預判、即時通報預警能力，以號的違規(guī)行為發(fā)現(xiàn)能力，包含安全態(tài)勢、安全審計、安全風險評估和安d)應(yīng)具備與安全網(wǎng)元、網(wǎng)絡(luò)網(wǎng)元自動聯(lián)動處置能力，可將威脅近源快速阻斷，保g)應(yīng)對運維審計記錄進行保護，定期備份，避免受到未預期的刪除、修b)應(yīng)支持系統(tǒng)掃描、Web掃描、數(shù)據(jù)庫a)應(yīng)對資產(chǎn)進行全面的安全事件和安全d)應(yīng)能根據(jù)收集到的安全事件和安全日志分析信息資產(chǎn)的安全狀況，通過內(nèi)置的關(guān)聯(lián)場景判斷f)宜采用密碼技術(shù)保證日志審計系統(tǒng)7.3縣級安全技術(shù)要求a)機房場地應(yīng)選擇在具有防震、防風和防雨等能力的a)機房出入口應(yīng)安排專人值守或配置電子門禁系統(tǒng)，控制、鑒別和記錄進入的a)應(yīng)將設(shè)備或主要部件進行固定，并設(shè)置明顯的不易除去a)機房應(yīng)設(shè)置火災自動消防系統(tǒng)，能夠自動檢測火情、自動報警，并自應(yīng)采用防靜電地板或地面并采用必要的接地防靜a)應(yīng)在機房供電線路上配置穩(wěn)壓器和過電壓a)應(yīng)在網(wǎng)絡(luò)邊界或區(qū)域之間根據(jù)訪問控制策略設(shè)置訪問控制規(guī)則，默認情況下除允許通信b)應(yīng)刪除多余或無效的訪問控制規(guī)則，優(yōu)c)應(yīng)對源地址、目的地址、源端口、目的端口和協(xié)議等進行檢查，以允許/拒d)應(yīng)能根據(jù)會話狀態(tài)信息為進出數(shù)據(jù)流提供明確的允許/拒a)應(yīng)在網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為b)審計記錄應(yīng)包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關(guān)的信a)可基于可信根對邊界設(shè)備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和邊界防護應(yīng)用程進行可信驗證，并在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計記錄送至b)宜采用密碼技術(shù)對重要可執(zhí)行程序進行完整性保護,并對其來源進行真實性驗c)宜采用自主可控安全防護區(qū)設(shè)備，設(shè)備CPU、操作系統(tǒng)、轉(zhuǎn)應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署防火墻，實現(xiàn)網(wǎng)絡(luò)邊界保護和訪問控制。防火墻應(yīng)只開放政務(wù)網(wǎng)提供接入服務(wù)的必需的服務(wù)端口，對流經(jīng)互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)數(shù)據(jù)進行合法性檢查。為了保證業(yè)務(wù)的可宜在互聯(lián)網(wǎng)接入?yún)^(qū)的網(wǎng)絡(luò)出口部署入侵防御系統(tǒng)，動態(tài)檢測網(wǎng)絡(luò)上所有流過的數(shù)據(jù)包，進和分析，及時發(fā)現(xiàn)漏洞、蠕蟲、木馬等非法和應(yīng)在互聯(lián)網(wǎng)接入?yún)^(qū)部署防病毒功能，可在防火墻或入侵檢測設(shè)備上開啟，及時更新病毒庫，阻止病毒入侵和傳播，進行及時的查殺。防病毒模塊宜集成在防火墻部署流量探針，對流經(jīng)網(wǎng)絡(luò)邊界的流量進行提取和還原，送至后有特殊需求的縣級單位自建安全接入平臺時，可參考市級要求進行對于縣級政務(wù)部門局域網(wǎng)接入到政務(wù)外網(wǎng)城域網(wǎng)，應(yīng)設(shè)部門用戶接入應(yīng)在該區(qū)域部署防火墻，實現(xiàn)網(wǎng)絡(luò)邊界保護和訪問控制。防火墻應(yīng)只開放政務(wù)網(wǎng)絡(luò)所提供接入服務(wù)的必要服務(wù)端口，對流經(jīng)部門用戶接入?yún)^(qū)的網(wǎng)絡(luò)數(shù)據(jù)進行合法性檢查。為了保證業(yè)務(wù)的可服務(wù)性，防火應(yīng)在該區(qū)域部署入侵防御系統(tǒng)，可在防火墻上開啟入侵防御功能，動態(tài)檢測網(wǎng)絡(luò)上所有流過的數(shù)據(jù)包，進行實時檢測和分析，及時發(fā)現(xiàn)漏洞、蠕蟲、木馬等非法和異常行為，并且支持告警、阻斷等功應(yīng)在該區(qū)域部署防病毒功能，可在防火墻上開啟，及時更新病毒庫，阻止病毒入侵和傳播，進行及時b)應(yīng)避免將重要網(wǎng)絡(luò)區(qū)域部署在邊界處，重要網(wǎng)絡(luò)區(qū)域與其他網(wǎng)絡(luò)區(qū)域之間應(yīng)采取可靠的技術(shù)a)可基于可信根對通信設(shè)備的系統(tǒng)引導程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等可信驗證，并在檢測到其可信性受到破壞后進行報警，并將驗證結(jié)果形成審計記錄送b)宜采用密碼技術(shù)對重要可執(zhí)行程序進行完整性保護,并對其來源進行真實性驗c)宜采用自主可控通信設(shè)備，設(shè)備CPU、操作系統(tǒng)、a)各級政務(wù)部門局域網(wǎng)的安全及等級保護工作由各政務(wù)部門會同本級電子政務(wù)外網(wǎng)管理機b)政務(wù)部門局域網(wǎng)接入政務(wù)外網(wǎng)，應(yīng)在部門局域網(wǎng)做好訪問控制、IP地址管理，對于訪問政務(wù)外網(wǎng)的系統(tǒng)和終端應(yīng)具有病毒防范，接入部門應(yīng)做好審計等功能，應(yīng)根據(jù)各單位的安全增加終端安全管理系統(tǒng)和選擇不同網(wǎng)絡(luò)區(qū)域的安全a)部門局域網(wǎng)與公用網(wǎng)絡(luò)區(qū)、互聯(lián)網(wǎng)接入?yún)^(qū)，使用防火墻或者安全網(wǎng)關(guān)進行安全防a)接入終端應(yīng)使用政務(wù)部門局域網(wǎng)統(tǒng)一分配的b)應(yīng)對計算機終端進行安全防護和準入控制，計算機終端安裝病毒與惡意代碼防護軟件，并及c)政務(wù)部門局域網(wǎng)終端應(yīng)僅具備一個網(wǎng)絡(luò)的訪問權(quán)限，訪問政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)的d)終端宜具備安全沙箱隔離能力，并能通過動態(tài)威脅監(jiān)控手段實時調(diào)整用a)應(yīng)對信息資產(chǎn)、威脅情報、漏洞信息等進行生命周期管理，包含網(wǎng)絡(luò)和IT資產(chǎn)管理、知b)應(yīng)匯聚安全告警、風險、安全態(tài)勢等信息，進行關(guān)聯(lián)分析、智能推理、分成安全防護控制策略和業(yè)務(wù)安全控制策略，基于決策結(jié)果進行服務(wù)的編排、調(diào)度和配置，包c)應(yīng)具備針對安全風險主動發(fā)現(xiàn)、趨勢分析、風險預判、即時通報預警能力，以及號的違規(guī)行為發(fā)現(xiàn)能力，包含安全態(tài)勢、安全審計、安全風險評估和安d)應(yīng)具備與安全網(wǎng)元、網(wǎng)絡(luò)網(wǎng)元自動聯(lián)動處置能力，可將威脅近源快速阻斷，保證d)運維審計系統(tǒng)對所有運維操作進行實時監(jiān)控和歷史回放，打造透明化、可視化運e)運維管理平臺需要對當前所有的非標準協(xié)議、客戶端工具進行支持，包括授權(quán)在業(yè)務(wù)擴充的情況下依然能夠進行有效的運維f)應(yīng)對運維審計記錄進行保護，定期備份，避免受到未預期的刪除、修a)漏洞掃描系統(tǒng)應(yīng)提供安全自查能力、營造安全可靠的網(wǎng)絡(luò)環(huán)境，實現(xiàn)風險提前發(fā)現(xiàn)，避b)應(yīng)支持系統(tǒng)掃描、Web掃描、數(shù)據(jù)庫掃描、基線掃描及弱口令等多項功能；c)漏洞庫應(yīng)涵蓋豐富的安全漏洞和攻擊特征，支持CVE、CVSS、CNVID、CNNVD、CNCVd)應(yīng)支持設(shè)備的上線安全檢查、第三方入網(wǎng)安全檢查、合規(guī)安全檢查、日常安全檢a)應(yīng)對資產(chǎn)進行全面的安全事件和安全b)應(yīng)能收集的安全事件和日志進行集中式、防篡改、防盜取、大容量的持久化保存，滿足6個月c)應(yīng)支持保存的安全事件和日志進行快速查詢、檢索，便于管理人員定位d)應(yīng)支持根據(jù)收集到的安全事件和安全日志分析信息資產(chǎn)的安全狀況，通過內(nèi)置的f)宜采用密碼技術(shù)保證日志審計系統(tǒng)a)市級電子政務(wù)管理機構(gòu)負責全市電子政務(wù)外網(wǎng)標準規(guī)范和安全保障體系建設(shè)，負責指導工作，具體負責市本級電子政務(wù)外網(wǎng)的規(guī)劃、建設(shè)、運維和安全管理工作，以及市本級b)各縣級電子政務(wù)外網(wǎng)管理機構(gòu)具體負責本級電子政務(wù)外網(wǎng)的規(guī)劃、建設(shè)、運維和安全管理工作，以及本地區(qū)非涉密業(yè)務(wù)專網(wǎng)整合遷移或融合互c)接入政務(wù)外網(wǎng)的部門和單位負責本部門本單a)市本級、各縣級電子政務(wù)外網(wǎng)需組建電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全管理小組，領(lǐng)導小組應(yīng)按照主管誰負責，誰運行誰負責”的原則，明確專人負責網(wǎng)絡(luò)安全管理工作，加強人員b)明確專業(yè)運維人員，嚴格按照管理制度和業(yè)務(wù)流程形成網(wǎng)絡(luò)安全工作的閉環(huán)，做好電子政務(wù)外網(wǎng)鏈路業(yè)務(wù)實時狀態(tài)監(jiān)控、異常事件實時通報處理、設(shè)備狀態(tài)監(jiān)控維護和信息安c)應(yīng)具備密碼應(yīng)用安全管理制度,包括密碼人員管理、密鑰管理、建設(shè)運行、應(yīng)a)定期梳理信息化資產(chǎn)、設(shè)備管理臺賬，對過保的軟、硬件設(shè)備，須采購有效的維保服，b)縣（市、區(qū)）和鎮(zhèn)（街道）之間的邊界，可增設(shè)邊界防護設(shè)備和把控措施，如防火墻、入侵c)各網(wǎng)絡(luò)邊界設(shè)備嚴禁透明部署，安全策略須細化到IP及接口，安全設(shè)），機、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、用戶業(yè)務(wù)系統(tǒng)的日志、警報等信息匯集到審計中心，實現(xiàn)全市c)各地可根據(jù)實際情況，建設(shè)電子政務(wù)外網(wǎng)防病毒體系：一是在各類終端、應(yīng)用部署殺毒軟件，并定期進行病毒查殺；二是增設(shè)管控平臺，對于驅(qū)動、存儲等設(shè)備進行嚴格管控，并對終端的各類信息進行監(jiān)控記錄、日志留存，非必要不得開放USB、PCI-E等無d)各單位應(yīng)定期對本領(lǐng)域政務(wù)外網(wǎng)的業(yè)務(wù)系統(tǒng)、操作系統(tǒng)、中間件、網(wǎng)絡(luò)設(shè)備、安行漏洞掃描，以評估各資產(chǎn)安全情況，結(jié)合威脅情報、資產(chǎn)等級、漏洞危害性等要素進a)須加強機房基礎(chǔ)建設(shè)，確保強電、消防、精密空調(diào)、防雷防靜電等基礎(chǔ)設(shè)施正常運轉(zhuǎn)，b)須強化電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)等其他網(wǎng)絡(luò)的隔離管理，嚴禁電子政務(wù)外網(wǎng)的業(yè)務(wù)系統(tǒng)與互聯(lián)a)一級故障事件（緊急直接導致系統(tǒng)癱瘓或者服務(wù)中斷、嚴b)二級故障事件（重要故障直接影響服務(wù)，會導致a)遵循先搶通后修復原則進行故障處理，優(yōu)先保障業(yè)務(wù)和應(yīng)用b)接到故障申告或故障協(xié)查后，應(yīng)記錄故障信息，并生成故障紀錄單，故障紀錄單的內(nèi)容至少包括：網(wǎng)絡(luò)用戶標識碼、用戶名稱、網(wǎng)絡(luò)通達方向、故障發(fā)生時間、故障現(xiàn)象描述、申告人c)對故障進行預處理，判斷故障原因，需要上、下級政務(wù)外網(wǎng)管理機構(gòu)配合的，及e)初步恢復故障后，需要進行業(yè)務(wù)相關(guān)測試，一方面確認業(yè)務(wù)恢復，另一方面測f)應(yīng)及時向故障申告人反饋故障處理進程，故障解決后，進行記錄并與故障申告人當出現(xiàn)重大網(wǎng)絡(luò)故障時，應(yīng)向主管單位進行通告向上一級政務(wù)外網(wǎng)管理機構(gòu)提交故障升級報告括：故障的上報人、升級時間、升級對象、通報內(nèi)容、升級反饋時間和修復時間等。故障報告內(nèi)容應(yīng)包括：嚴重影響用戶通信的網(wǎng)絡(luò)故障、故障處理超時和疑難故障處理不當?shù)刃畔?。當出現(xiàn)如下四類政故障處理完成后，應(yīng)以書面或電子化形式提供統(tǒng)一格式的故障處理報告和網(wǎng)絡(luò)質(zhì)量運行報告務(wù)外網(wǎng)管理機構(gòu)負責存檔。故障處理報告應(yīng)至少包括：用戶名稱、故障申業(yè)務(wù)承載：評估電子政務(wù)外網(wǎng)IPv6應(yīng)用的承載支撐質(zhì)量情網(wǎng)絡(luò)安全：評估全年網(wǎng)絡(luò)安全工作及重大活動期間網(wǎng)絡(luò)安全保8.2管理平臺建設(shè)要求8.2.2運維服務(wù)管理平臺建設(shè)及對市本級及區(qū)縣電子政務(wù)外網(wǎng)運維服務(wù)管理系統(tǒng)建a)應(yīng)提供開放的南向?qū)幽芰?，支持與本級網(wǎng)絡(luò)控制系統(tǒng)，運營商網(wǎng)絡(luò)運維系統(tǒng)和其它運維支b)應(yīng)收集本級電子政務(wù)外網(wǎng)資源信息，呈現(xiàn)完整的網(wǎng)絡(luò)設(shè)備資源、鏈路資源、拓撲c)應(yīng)支持收集電子政務(wù)外網(wǎng)性能和告警信息，與拓撲進行關(guān)聯(lián)和篩d)市級運維平臺應(yīng)提供向上級聯(lián)能力，市級資源信息庫等同步到省級平臺跟蹤管理，省級平臺下發(fā)的預警、安全事件、通報、運維工單等信市級平臺聯(lián)動和協(xié)調(diào)處置，對接架構(gòu)、對接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對接模式、對e)縣級運維平臺應(yīng)提供向上級聯(lián)能力，縣級資源信息、性能信庫等同步到市級平臺跟蹤管理，市級平臺下發(fā)的預警、安全事件、通報、運維工單等信縣級平臺聯(lián)動和協(xié)調(diào)處置，對接架構(gòu)、對接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對接模式、對f)市級運維平臺宜支持與縣級運維系統(tǒng)、運營商運維系g)市、縣級運維平臺級聯(lián)需要經(jīng)過安全身份認證，數(shù)據(jù)算法的相關(guān)內(nèi)容,應(yīng)按國家有關(guān)法規(guī)實施，涉及采用密碼技術(shù)解決保密性、完整性、真實性、不可否認性需求的應(yīng)遵循密碼相關(guān)國家標8.2.3安全大數(shù)據(jù)管理平臺建設(shè)及對接a)安全大數(shù)據(jù)平臺應(yīng)具備綜合審計能力，綜合審計并實時采集本級對象應(yīng)包括：終端、網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、中間件、應(yīng)用系統(tǒng)等安全操作行為；b)安全大數(shù)據(jù)平臺應(yīng)具備采集本級的邊界檢測數(shù)據(jù)，本級協(xié)議接口采集對象應(yīng)包括：IDS、堡壘機、IPS、WAF、漏洞掃描、防火墻、防毒墻、網(wǎng)閘、抗DDOS等；c)安全大數(shù)據(jù)平臺應(yīng)能夠?qū)Π踩袨楹蛿?shù)據(jù)進行采集匯聚，并運用數(shù)據(jù)挖掘分析技術(shù)對各種安全行為進行態(tài)勢感知和事件溯源分析，支持通過網(wǎng)安聯(lián)動策略，在網(wǎng)絡(luò)設(shè)備上近源阻斷處置；d)市級大數(shù)據(jù)平臺應(yīng)提供向上級聯(lián)能力，市級網(wǎng)絡(luò)風險隱患、漏洞情報、告警數(shù)據(jù)、安全事件、安全報表、案例數(shù)據(jù)、運行狀態(tài)等同步到省級平臺跟蹤管理，省級平臺下發(fā)的預警通報數(shù)據(jù)，共享案例知識庫數(shù)據(jù)等信息在市級平臺聯(lián)動和協(xié)調(diào)處置，對接架構(gòu)、對接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對接模式、對接范圍、對接技術(shù)要求、對接開發(fā)等按DB32/T4318.1的要求實現(xiàn)；e)縣級大數(shù)據(jù)平臺應(yīng)提供向上級聯(lián)能力，縣級網(wǎng)絡(luò)風險隱患、漏洞情報、告警數(shù)據(jù)、安全事件、安全報表、案例數(shù)據(jù)、運行狀態(tài)等同步到市級平臺跟蹤管理，市級平臺下發(fā)的警通報數(shù)據(jù)，共享案例知識庫數(shù)據(jù)等信息在縣級平臺聯(lián)動和協(xié)調(diào)處置，對接架構(gòu)、對接數(shù)據(jù)內(nèi)容、數(shù)據(jù)傳輸架構(gòu)、對接模式、對接范圍、對接技術(shù)要求、對接開發(fā)等按DB32/T4318.1的要求實現(xiàn)；f)市、縣級大數(shù)據(jù)平臺級聯(lián)需要經(jīng)過安全身份認證，數(shù)據(jù)傳輸需要經(jīng)過可靠加密處理，涉及密碼算法的相關(guān)內(nèi)容,應(yīng)按國家有關(guān)法規(guī)實施，涉及采用