安徽省电子政务外网建设实施方案1010(打印).doc

安徽省政务外网建设实施方案安徽省人民政府办公厅安徽省经济信息中心二九年十月目 录1 建设背景32 建设目标43 建设原则44 建设内容54.1网络传输平台54.2运维服务体系64.3安全保障体系65 实施方案75.1网络传输平台75.1.1国家政务外网网络总体架构75.1.2国家政务外网网络业务模型95.1.3省政务外网网络拓扑设计115.1.4省政务外网广域骨干网125.1.5路由总体设计135.1.6 IP地址规划145.1.7域名规划与管理165.1.8移动用户VPN接入设计185.1.9 MPLS VPN设计195.1.10关键业务QoS保障215.1.11网络管理中心建设235.1.12市级政务外网建设245.1.13县级政务外网建设305.2 政务外网运维服务体系365.2.1运维组织体系365.2.2运维管理385.2.3运维队伍建设395.3 政务外网安全保障体系405.3.1安全策略与建设原则405.3.2 安全防护体系425.3.3 网络信任体系435.3.5 安全管理系统456 实施进度466.1实施进度安排461 建设背景根据国家信息化领导小组关于推进国家电子政务网络建设的意见（中办发200618号）文件的要求，电子政务建设的主要任务之一就是建设和整合全国统一的电子政务网络。国家电子政务外网（以下简称国家政务外网）是18号文件中明确要求建设的政务网络，目前已经完成中央城域网和覆盖全国31个省、自治区、直辖市和新疆生产建设兵团的中央广域骨干网建设。为进一步加快国家政务外网建设，维护国家政务外网的统一、完整和有效运营，推动各级政务部门利用政务外网开展各类业务应用，充分发挥国家电子政务公共设施的作用和效能，2009年4月国家发展改革委、财政部发布关于加快推进国家电子政务外网建设工作的通知(发改高技2009988号)文件，要求“力争到2010年底前，基本建成从中央到地方统一的国家政务外网，横向要连接各级党委、人大、政府、法院、检察院等各级政务部门，纵向要覆盖中央、省、地（市）、县，满足各级政务部门社会管理和公共服务的需要”。“各部门各地方要充分认识加快国家政务外网建设的重要性和紧迫性，严格按照中办发200618号文件提出的建设目标，充分利用已有资源，采取切实有效措施，加快推进国家政务外网建设。”2009年5月安徽省发改委、财政厅为进一步落实国家发改委、财政部988号文件精神，确保我省在2010年底前，能基本建成纵向连接省、市、县，横向连接党委、人大、政府、政协、法院、检察院等政务部门的全省政务外网，全文转发了国家发改委、财政部988号文件。2 建设目标根据国家两部委988号文件要求，在国家政务外网的总体规划下，结合我省实际情况，整合现有政务 网络资源，建设安徽省政务外网。网络覆盖省内所有政务部门，整体接入国家电子政务外网，承载国家部委行业的重点应用系统向省、市、县级延伸，为政府部门开展公共应用系统、协同办公系统、面向社会公众服务系统等提供可靠、高效的网络传输平台、安全保障和运维服务体系。3 建设原则1、统一规划，分级建设。按照国家政务外网的统一规划和标准规范，统一技术路线和网络架构，分级做好本级政务外网的建设和运行维护工作。 按照分级投资建设的原则，安徽省经济信息中心主要负责省市广域骨干网、省级政务外网的建设和管理，对市、县政务外网的建设进行统一规划指导和协同运维。市级政务外网节点管理单位负责市县广域网和市政务外网的建设和管理，并对所辖县政务外网建设提供业务指导和技术支持。县级政务外网节点管理单位负责本地政务外网的建设和管理。2、整合资源、信息共享。政务外网建设必须充分利用各地已有的网络基础和业务系统，按照国家政务外网的统一标准规范加快整合，促进互联互通和信息共享，使有限的资源发挥最大效益。各地建设与互联网逻辑隔离的政务网络都归属整合范围内。3、统一标准、保障安全。政务外网建设必须在国家政务外网统一标准的指导下开展，相关技术、标准、协议和接口必须遵循国家政务外网的有关规定，保证系统的标准性、规范性，确保国家政务外网全网能安全可靠运行。4、纵向到底，横向到边。确保全省政务外网纵向覆盖省、市、县三级，横向覆盖同级所有政务部门。5、突出应用，强化服务。立足我省实际，结合政府职能转变和管理体制改革，紧扣政府业务和社会公众的需求，突出应用，强化服务，务求实效。6、经济性和实用性。建设原则都要以实际需求为出发点，以满足网络应用需求和适应一定时间内的发展规划为原则。4 建设内容安徽省政务外网的建设内容主要包括：1、网络传输平台2、运维服务体系3、安全保障体系 4.1网络传输平台建设向上联接国家政务外网，向下联接省、市、县三级政务外网，横向联通同级党委、人大、政府、政协、法院、检察院等所有政务部门的网络传输平台，实现省内各级政务部门专用高速通道互联与互联网逻辑隔离。网络传输平台主要由全省政务外网广域骨干网、省直政务外网城域网、各市及县政务外网和网管中心四部分组成。1）全省政务外网广域骨干网：构建省、市、县三级政务外网广域骨干网，实现省与17个市及61个县的专线互联互通。2）省直政务外网城域网：在原有省直城域光纤网的基础上，完善建成省直政务外网城域网，实现省直各部门政务外网网络的高速互联。3）各市和县级政务外网：按照国家统一标准规范，由各市、县建设本级政务外网，建议由市政务外网建设管理单位牵头进行市县一体化建设，实现市属政务部门的网络覆盖。4）网管中心：建设省级网管中心、17个市级接入网网管中心（二级网管）和61个县级接入网网管中心（三级网管），负责网络日常的运行维护和管理。4.2运维服务体系按照国家政务外网统一运维服务体系的总体规划，建设覆盖省、市、县三级的统一外网运维服务体系，按照“统一规划，分级响应，协同运维”的原则，省经济信息中心负责省级政务外网和省政务外网广域骨干网的维护管理，各市政务外网建设管理单位负责本级政务外网和市县广域网的维护管理，各县政务外网建设管理单位负责本级政务外网的维护管理。各级政务外网建设管理单位接受上级建设管理单位的业务指导和协同运维。各级政务外网建设管理单位可灵活采用多种代维方式维护本地政务外网，但要求具备网络管理权。省政务外网运维服务体系的建设目标是要保障全省政务外网承载的业务应用在各级政务外网上畅通、高效、安全、稳定运行。主要建设内容包括运维组织体系建设、运维管理和运维队伍建设。4.3安全保障体系按照国家政务外网整体安全规划，构建省政务外网统一安全保障体系，主要有四部分内容：一是制订政务外网的安全策略和管理制度，合理划分安全域，实施安全等级保护；二是建设安全防护体系，确保政务外网与互联网的有效逻辑隔离和正常运行；三是建设以国家政务外网CA为根CA的安徽省政务外网RA，为全省政务外网用户提供数字证书服务，初步建立全省统一的政务外网安全信任体系；四是建设安全管理体系，对全省政务外网的网络系统、安全设备、重要应用系统实施统一管理、统一监控、统一审计、协同防护。5 实施方案5.1网络传输平台根据国家政务外网的总体规划，安徽省政务外网的建设目标是纵向联接国家政务外网中央骨干网、17个市政务外网和61个县政务外网，横向联接同级党委、人大、政府、政协等各政务部门的网络传输平台，实现我省各级政务部门专用高速通道互联，整体接入国家政务外网。省政务外网与互联网逻辑隔离，与省党政专网物理隔离。5.1.1国家政务外网网络总体架构国家政务外网网络平台横向联接国务院、中央各部委、局、署，纵向联接32个省、自治区、直辖市、新疆生产建设兵团，该网络平台主要由政务外网广域骨干网、中央城域网、部委接入网和地方政务外网组成。国家政务外网按照管理层次划分为一级网、二级网、三级网和四级网。一级网络主要指中央广域骨干网、中央城域网，二级网络主要指省级广域骨干网、省级城域网，三级网络主要指地（市）级广域骨干网和地（市）级城域网，四级网络主要指县级及以下接入网。图5-1国家政务外网网络总体示意图我省政务外网网络传输平台主要由省政务外网广域骨干网和省、市、县三级政务城域网组成。省政务外网总体为“三横两纵”网络架构，“三横”为省、市、县同级政府部门组成的城域网，“两纵”为连接省市的省市广域骨干网和连接市县的市县广域骨干网。图5-2省政务外网网络结构图5.1.2国家政务外网网络业务模型根据所承载的业务和系统服务的类型不同，在逻辑上，国家政务外网划分为公用网络区、专用网络区和互联网接入区三个功能域，分别提供政务外网互联互通业务，专用VPN业务和互联网业务。网络业务模型如下图所示：图5-3国家政务外网网络业务模型图1公用网络区：即采用国家政务外网注册地址（59.203.0.0/16）的网络区域，是国家政务外网的主通道，实现省内各部门、各地区互联互通，为跨地区、跨部门的业务应用提供支撑平台。国家政务外网公用网络区仅路由国家政务外网注册地址，对于政务部门办公协同的业务系统将部署在公共网络区。2专用网络区：是依托国家政务外网基础设施，开辟为有特定需求的部门或业务设置的VPN网络区域，主要满足部门纵向业务的需要，实现不同部门之间的业务隔离，用于满足部门特殊需求。该区域主要采用私有地址，在骨干网上采取标签进行数据传输。对于行业纵向业务系统将采用MPLS-VPN方式部署在专用网络区。3互联网接入区：是各级政务部门通过逻辑隔离手段安全接入互联网的网络区域，满足各级政务部门利用互联网的需要。在互联网接入区，要求采取综合的安全防护措施，对互联网接入提供安全防护。按照国家统一的安全策略，分级接入互联网，提供互联网业务服务。各地政务外网自行使用本地互联网出口，采取NAT技术，通过静态路由连接本地互联网。原则上，国家政务外网骨干网不提供互联网业务路由。对于电子政务中对公众服务的业务系统部署在互联网接入区。5.1.3省政务外网网络拓扑设计省政务外网网络采用层次化设计，分为骨干层、分布层和接入层。骨干层负责整个网络的数据交换，设在省经济信息中心（核心节点），配备主备双路由器，实现向上与国家政务外网骨干网，向下与各市政务外网骨干网高速连接。分布层负责整个网络的数据汇聚，全省共设置17个市级节点和61个县级节点。合肥市政务外网位置较近，通过1000M光纤直接接入省中心网络，其余16个市分别通过155M POS环（南北环）与省中心网络设备相连。在17个市级节点下设县级节点，市与各县通过10兆MSTP链路连接，实现县级政务外网与市级政务外网的互联。接入层负责各政务部门的接入。网络总体拓扑见下图：图5-4省政务外网网络拓扑图5.1.4省政务外网广域骨干网省政务外网广域骨干网采用租用运营商的基础传输资源的方式，由省市广域骨干网和市县广域骨干网组成。省市广域骨干网：为了实现通信网络平台安全、稳定、可靠，省、市二级广域骨干网采用155M POS环网线路，全省除合肥市外的16个市分南北两个环网，带宽选择为SDH 155M。市县广域骨干网：建议市到县级采用单独10兆MSTP链路连接，有条件的市可采取100M的链路连接。图5-5 省政务外网线路示意图5.1.5路由总体设计根据国家政务外网的设计原则，省政务外网主要使用的路由协议为域间路由协议（EGP）和域内路由协议(IGP）。省政务外网路由器的管理地址和省政务外网内部地址的路由由IGP承载；省政务外网跨AS的路由、互联网路由由BGP承载；在AS边界通过BGP协议由ASBR控制路由的发送、接收、汇总和属性修改。各级政务外网总体为双出口结构，访问互联网采用默认路由，外网上各级政务部门走外网路由。图5-6省政务外网路由总体示意图5.1.6 IP地址规划全省政务外网将全网采用国家政务外网IP地址段部署。目前，国家政务外网统一采用国家信息中心从中国电信申请的公网地址段，已申请的地址段59.192.0.0- 59.255.255.255(/10）作为全网通信用地址，其中安徽省分配的地址段为5920300/16。1、全省IP地址按照省、市、县三层体系结构分配。省网地址段包括省级政务外网平台地址段和省直厅局系统业务地址段。其中省政务外网平台地址段包括网络设备管理地址、互联地址和平台地址；市网地址段包括市级政务外网平台地址、市直单位系统业务地址和县级地址。 具体分层结构如下表所示：地址类型分配IP地址范围备份IP地址范围地址数量省级政务外网管理平台地址段省网网络设备管理地址59.203.0.0/24使用1个C类地址省网网络设备互联地址59.203.1.0/2459.203.2.0/24使用1个C类地址，备份1个C类地址平台地址59.203.3.0/24-59.203.6.0/2459.203.7.0/24-59.203.10.0/24使用4个C类地址，备份4个C类地址省直厅局系统业务地址段59.203.11.0/24-59.203.20.0/2459.203.21.0/24-59.203.30.0/24使用10个C类地址（每个厅局16个IP），备份10个 C类地址各市网络地址段(已包含区县地址段）59.203.31.0/24-59.203.132.0/2459.203.133.0/24-59.203.234.0/24每个市6个C类地址，备份6个 C，17个市共分配204个C类地址应急地址段59.203.235.0/24-59.203.254.0/24无共有20个C类应急地址段2、5920300/16的地址总容量为256个C类地址段，考虑到业务量的飞速增长，本次IP地址划分配到省直厅局采用1:1的分配方式，也就是使用地址数量备份地址数量1:1，其中省经济信息中心平台地址段共分配4个C类地址段，同时保留4个C类地址段作为业务发展预留。省直单位每个厅局分配16个IP，共分配10个C类地址段，同时预留10个C类地址段。在各市网络地址分配中，每个市分配6个C类地址段，备份6个 C类地址段，共分配204个C类地址段。应急地址段预留20个C类地址段。3、原则上每个县分配一个C类地址段。由于各市所辖县的数量差别比较大，各市地址段的具体分配由各市网络管理中心安排，地址结构可以参考省网地址的分配方式。4、具体地址分配见附表5.1.7域名规划与管理1、省政务外网省网及市网分别采用独立的三级域名系统，域名由根域和若干个子域名且用“.”连接而成，采用作为省网根域名，采用ahXX作为各市网根域名。2、省政务外网中已建省级或市县级网络的，可以暂时采用现有域名，然后逐步过渡到统一的域名规范中。3、各级网络的子域名由英文字母（大小写等价）、数字（09）和连接符（-）组合而成。4、域名的范围应以4-5段为主，原则上不超过5段。如：“主机名”或“主机名.ahXX”。5、省政务外网管理中心负责统一规划命名本省内所有三级根域名，由国家政务外网管理中心统一解析。省及各市县网络的三级根域名分别由对应的政务外网管理中心负责管理，即省政务外网管理中心对根域进行管理，各市、县政务外网管理中心分别对本地的ahXX根域进行管理，所有单位的四级域名及四级DNS均向对应的政务外网管理中心或ahXX域进行注册。6、省及各市级、县级节点的三级根域（或ahXX）规划命名见下表；省属及市各级政务部门用户接入网也可建设本部门的四级子域（或yyy.ahXX）。各市名称三级根域名省 属Ah.cegn，cn合 肥滁 州蚌 埠宿 州淮 北亳 州阜 阳淮 南巢 湖马鞍山芜 湖宣 城黄 山池 州铜 陵安 庆六 安例：长丰县A 天长县A7、原则上各单位向本属地的外网管理中心注册域名（如或aaa.ahXX）。对于厅局用户接入网，各申请单位也可向上级单位注册域名（如）。5.1.8移动用户VPN接入设计按照国家政务外网的统一规划，政务外网移动用户的接入，主要是通过VPN隧道技术和CA认证的方式实现用户接入访问。虚拟专用网络VPN主要解决局域网和广域网线路的数据传输加密保护，通过在网络中采用VPN系统，可以提供加密、认证等网络安全防护措施，从而构建可控的安全虚拟专网。安徽省政务外网主要采用IPSec+国家政务外网CA证书方式。图5-7 政务外网移动用户VPN接入示意图通过在各级政务外网边界统一部署一台VPN网关，为各级政务外网移动用户提供VPN接入。移动用户通过互联网与外网VPN网关建立通讯，VPN网关通过身份认证后建立加密VPN隧道。隧道建立成功后，身份认证采用国家政务外网CA证书认证方式，验证通过后用户就得到一个由VPN网关分配的系统内部IP地址，完成用户对政务外网内部资源的访问。对于开通MPLS-VPN的行业移动用户，由各厅局单独提供VPN网关建立加密VPN隧道，并且采用国家政务外网CA证书认证方式，验证通过用户才可对行业MPLS-VPN内的资源进行访问。5.1.9 MPLS VPN设计省政务外网划分为专用网络区、公用网络区和互联网接入区三个功能域，相互之间安全隔离。其中专用网络区是为有特定需求的部门业务而设置的网络区域，实现不同部门或不同业务之间的相互隔离，主要应用于部委行业的纵向业务系统。按照国家政务外网统一规划和设计原则，省政务外网采用统一的MPLS-VPN规划和技术在省、市、县三级进行MPLS-VPN部署，实现专用网络区的安全隔离，保证部委行业的纵向业务系统在省、市、县各级政务外网上的安全可靠运行。1MPLS VPN网络基本设计纵向VPN是指行业系统内部（例如国土、林业、环保等）从国家到省、市、县的虚拟专网。目前我省政务外网按照国家统一规划，与国家采用统一RT和RD，纵向VPN的CE、PE、P设备的分布如下（如图所示）： 图5-8省政务外网MPLS VPN拓扑图2、MPLS VPN路由策略设计 全网部署3层BGP/MPLS VPN，负责纵向行业网之间的互联。 省政务外网核心设备出口同国家政务外网骨干网之间采用MP-EBGP方式进行跨域，完成各纵向网同国家部委的互通。 省政务外网两台核心高端路由器配置为RR（路由反射器），负责PE（省中心的两台核心设备SR8805与17个市及61个县级节点设备）之间的IBGP peer的建立，解决组网带来的full mesh问题。 省政务外网各级骨干网设备同时充当二级反射器，与各级政务外网核心设备建立IBGP peer连接。3、市县MPLS-VPN部署模式为满足国家部委业务系统在市、县的部署，需要各地政务外网骨干设备在国家政务外网MPLS-VPN统一规划下，统一部署，实现国家部委业务系统在本级政务外网的开通运行。市、县级政务外网技术线路原则上采用MPLS-VPN+MCE方式，要求各级政务外网核心交换机充当PE设备，汇聚交换机充当MCE，采用统一的RD和RT规划，在省政务外网上统一部署国家部委纵向业务系统。对于已经在本级政务外网上部署MPLS-VPN的政务外网，考虑到稳定性和统一性，建议按照国家统一建设规划进行改造，作为过渡方案，可采用VPN实例映射的方式，将本级政务部门规划的VPN实例与国家规划的VPN实例进行一对一映射。图5-9市县政务外网MPLS VPN拓扑图5.1.10关键业务QoS保障全省政务外网是一个以IP为传输平台的网络，在这个网络上，需要将承载的国家部委行业的重点应用系统向省、市、县级延伸，这些业务对可靠性、时延、时延抖动等服务质量有不同需求。为了保证关键业务高质量的传输，需要在网络中实施QoS技术以保证关键业务在网络上传输的带宽和时延。QoS策略业务划分见下表：业务类型业务优先级IPv4配置标记QoS保证类型说 明网络管理业务7EF绝对保证对其流量进行绝对保护，即在发生拥塞时仍然尽量保证其流量应急业务6流媒体业务5语音、信令等5集中式数据汇报4AF普通保证对一定范围内的流量进行绝对保护，在网络拥塞时，超出额定范围的流量将被丢弃VPN业务1，2，3，4一般网络应用0BE无保证当网络拥塞时将被丢弃全省政务外网网络中将主要实现对不同数据流的分类和标记，其他QoS技术将主要应用于广域网，保障策略将采用以下几种方式： 对于普通业务不限制接入的流量，也不进行保证，采用尽力转发策略。对于高优先级业务接入限制流量（限制为2M或着4M等，这个流量不宜过高），对于高优先级业务确保转发。 在各功能区的接入层，根据不同Input端口、MAC地址、源/目的IP地址、IP协议或应用端口号，对不同应用数据流进行分类，并采用DSCP对数据包进行标记。 在连接广域网的路由器上设置相应的业务队列（如：EF、AF4、AF3以及AF2队列），采用CBQ（CBWFQ）、WRED等技术，控制打了不同优先级标记的数据流能占用的网络带宽及其被丢弃的次序。 采用CBQ（CBWFQ）+LLQ的方式，根据已经定义的DSCP标记，对不同的数据流分配不同的带宽。 采用Tail Dropping或WRED机制，实现网络拥塞时的数据包丢弃。图5-10 省政务外网QoS配置策略示意图5.1.11网络管理中心建设安徽省政务外网网络管理中心由省级网管中心、17个市级网管中心（二级网管）和61个县级网管中心（三级网管）组成，负责全省政务外网网络日常的运行维护和管理。网络管理是保障网络运行的主要管理手段，主要工作包括监管网络运行情况、排除日常网络故障、统计网络性能参数、定期备份辖内路由器配置文件、编写网络设备配置文档等。各级网络管理中心要对所辖网络进行性能监控、网络应用和业务管理，实现对政务外网网络系统的统一监控和分级管理，保证政务外网运行的高可靠性。5.1.12市级政务外网建设1、现状与差距全省各17个市根据本地电子政务发展的需要，8个市已建设了市级政务城域网和市到县的广域网，与互联网逻辑隔离。其余9个市只建设了覆盖市级各政务部门的城域网，与互联网逻辑隔离。根据各市的建设情况，我们将市政务网络建设分为A、B两类。2、A类市政务外网建设A类市政务网络含有合肥、安庆、巢湖、滁州、淮北、淮南、马鞍山、宣城八个市，基本上是通过“以租代建”的方式委托当地电信部门建设了覆盖各市级政务部门的政务外网，同时建设了带宽不一的市县广域网，实现了与所辖县的专线连接。上述八市基本实现了统一网络平台，统一数据中心，市县地址统一分配，中心机房都位于当地电信机房，委托电信部门管理维护。本实施方案要求八个A类市的建设重点一是扩大网络覆盖范围，二是按照国家政务外网的统一标准，整合或改造网络，接入国家政务外网。 扩大网络覆盖范围。目前各市政务外网覆盖范围大小不一，根据国家政务外网要求，网络必须覆盖所有市级政务部门，市政务外网建设单位需要将未接入的市级政务部门全部接入。 地址更换。1）骨干设备地址更换 按照国家政务外网的统一规划和建设要求，市政务外网需要将骨干设备管理地址和互联地址更换为国家政务外网59地址段，纳入国家政务外网，具体分配表详见地址分配附表。2）市网平台地址更换 与国家政务外网的对接。通过市政务外网核心交换设备与国家政务外网广域网市级设备（SR6608）进行高速专线连接，从而整体接入国家政务外网。目前市政务外网中心机房位于电信机房，而国家政务外网广域网市级设备都部署在市节点建设管理单位，两地距离比较远，需要解决市政务外网中心机房与市节点建设管理单位的光纤线路连接问题。 市县广域网改造。上述八市已经完成了市县广域网建设，基本上是通过市政务外网核心路由设备与县骨干路由设备互联。根据国家政务外网统一规划，国家政务外网广域骨干网是覆盖中央、省、市、县，边界清晰，统一网管监控的广域网，因此市县广域网需要进行线路迁移，与所辖县的连接必须通过省政务外网广域网市级设备与省政务外网广域网县级设备互联，同时互联地址必须采用国家政务外网59地址段。市县广域网链路最低要保证10M带宽，对于低于10M带宽的市县广域网要进行线路扩容。统一部署国家纵向业务系统MPLS-VPN。国家政务外网的重要功能之一就是支持国家部委纵向应用系统在中央、省、市、县四级部署MPLS-VPN业务，各市必须在市级政务外网骨干设备上按照国家统一规划开通MPLS-VPN功能，对不支持MPLS-VPN功能的骨干设备进行升级更换，满足国家部委业务系统在市级政务外网上的延伸，具体技术要求见5.1.9。 统一互联网出口。国家政务外网是与互联网整体逻辑隔离的政府部门专用网络，考虑到安全防护和统一管理问题，建议各市政务外网统一出口，统一安全部署和安全防护。3、B类市政务外网建设B类市政务网络含有池州、亳州、阜阳、黄山、六安、宿州、铜陵、芜湖、蚌埠九个市，除蚌埠市为自行建设外，其余八市基本上是通过“以租代建”的方式委托当地电信部门建设了覆盖各市级政务部门的政务外网，但未建设市县广域网。上述九个市基本实现了市级政务部门统一网络平台，统一政务数据中心，统一地址分配，中心机房除蚌埠市外都位于当地电信机房，委托电信部门管理维护。本实施方案要求九个B类市的建设重点一是建设市县广域网，扩大城域政务网络的覆盖范围，二是按照国家政务外网的统一标准，整合或改造网络，接入国家政务外网。 市县广域网统一建设。上述九市未进行市、县广域网建设，需要租用运营商的线路建设市、县广域网，与所辖县联接。通过省政务外网广域网市级设备与省政务外网广域网县级设备实现互联互通。 扩大网络覆盖范围。目前各市政务外网覆盖范围大小不一，根据国家政务外网要求，网络必须覆盖所有市级政务部门，市政务外网建设单位需要将未接入的市级政务部门全部接入。 地址更换。按照国家政务外网的统一规划和建设要求，各市政务外网需要将骨干设备管理地址和互联地址更换为国家政务外网59地址段，纳入国家政务外网，具体分配表详见地址分配附表。与国家政务外网无缝联接。各市政务外网需要通过市网核心交换设备与国家政务外网广域网市级设备（SR6608）进行高速专线连接，从而整体接入国家政务外网。目前各市政务外网中心机房位于电信机房，而国家政务外网广域网市级设备都部署在各市节点建设管理单位，两地距离比较远，需要解决各市政务外网中心机房与各市节点建设管理单位的光纤线路连接问题。统一部署国家纵向业务系统MPLS-VPN。国家政务外网的重要功能之一就是支持国家部委纵向应用系统在中央、省、市、县四级部署MPLS-VPN业务，各市必须在市级政务外网骨干设备上按照国家统一规划开通MPLS-VPN功能，满足国家部委业务系统在市级政务外网上的延伸，具体技术要求见5.1.9。 统一互联网出口。国家政务外网是与互联网整体逻辑隔离的政府部门专用网络，考虑到安全防护和统一管理问题，建议各市政务外网统一出口，统一安全部署和安全防护。4、市政务外网建设原则 整合资源，统一标准。维护国家政务外网的完整性和统一性。市政务外网建设要在现有网络基础上，按照国家外网的统一规划和标准规范建设，避免重复投资。 上通下达，横向到边。确保本级网络纵向与上、下级网络的畅通运行，横向覆盖同级所有政务部门。 统一出口，统一管理。为确保本级网络的安全可靠和有效管理，建议市政务网络统一互联网出口。同时对于委托第三方代维的各市，要加强管理，对市政务网络具备管理权和设备配置权。 高效运维，保障安全。建设高效运维机制和运维队伍，加强安全保障。5、市政务外网拓扑模型各市分别在市节点中心机房采用两台路由器和两台三层核心交换机通过接入路由器连接省政务外网骨干网。根据市直单位的分布情况，分别部署多台二级汇聚交换机。针对部分已经建设市级政务中心大楼的市，楼内市直单位直接接入核心交换机，对离市级节点较远的单位可以就近接入市级二级交换点。网络以1000M的带宽连接多个二级交换点，市直各单位以100M带宽连接就近的二级交换点。各市直单位接入方案主要包括MSTP/裸光纤等。图5-11 市政务外网网络拓扑图6、设备性能要求根据国家政务外网统一规划，两台核心交换机必须支持MPLS-VPN，支持NAT地址转换，并且具有可靠的隔离安全功能。汇聚交换机必须支持MCE功能，同时对于市原有私网地址需要访问电子政务网，需要进行NAT地址转换，此部分功能建议在核心交换上完成，以减轻各市骨干路由器负担，同时维护上能够比较方便的交由各市负责完成。7、线路建设方式市级政务外网城域网可以采用租用运营商线路的方式，部分有条件的市也可以通过改建或扩建已有的光纤链路方式，降低运维费用。8、市政务外网接入方式和路由设计市政务外网城域网核心设备通过专线方式与省政务外网广域骨干网市级核心路由器SR6608互连，两设备之间不运行任何动态路由协议，通过静态路由相互发布信息，互不泄露对方的路由信息。SR6608通过BGP只发布市分配到的国家政务外网地址段，不发布市网私有地址路由信息。通过路由控制，市政务外网用户访问互联网资源时仍使用本地ISP出口，访问国家政务外网59地址段时使用省政务外网广域骨干网线路。9、地址规划本实施方案要求市网骨干设备互联地址和涉及国家业务系统的部门必须采用国家政务外网地址即59地址，暂时不涉及国家纵向业务系统的部门仍保留原有地址段。考虑到各市大部分已经建成政务网络，本实施方案建议市网中有纵向业务系统需求的单位，为方便部署纵向业务系统，用户地址需要改用国家政务外网统一分配的59地址；不涉及纵向业务系统需求的单位，保留原有地址。市政务外网中将会是59地址和私网地址共存的情况，但59地址是公网地址并由国家政务外网统一分配，不会存在互相冲突的情况。具体分配表详见地址分配附表。10、安全部署市级政务外网采取的安全措施重点在边界访问控制、安全接入管理、网络攻击与病毒防范等三方面，要求在外网服务区与公用网络区、互联网与政务外网边界部署访问控制（如防火墙、VPN、UTM）和安全接入管理设备（移动用户VPN接入管理）以控制数据流访问和保证政务外网的区域隔离可控。在网络边界（尤其是数据中心以及互联网出入口）处部署入侵防御设备（如IPS、IDS、防病毒网关）监视清除病毒入侵和网络攻击。市级政务外网的安全监控和审计由本级安全管理平台及安全审计系统统一实现。在市级政务外网范围内的数据中心、管理中心服务器、终端统一安装网络版防病毒系统，用于防范计算机病毒。图5-12 市政务外网安全设备配置图5.1.13县级政务外网建设1、现状与差距全省61个县中有35个县已经根据本地电子政务发展的需要，建设了规模不一，与互联网逻辑隔离的政务网络，其余26个县未进行政务网络建设。县级政务外网建设根据建设情况分为两类，已经建设政务网络的35个县为A类县，未建设政务网络的26个县为B类县。2、A类县政务外网建设A类县基本上建设了覆盖各县级政务部门的政务外网，但覆盖范围大小不一。基本实现县级政务部门统一网络平台，统一政府数据中心，统一地址分配，中心机房都位于县级节点建设单位。A类县县级政务外网建设内容主要是扩大覆盖范围，按照国家统一标准，在网络整合或改造的基础上接入国家政务外网。 扩大网络覆盖范围。目前各县政务外网覆盖范围大小不一，根据国家政务外网要求，网络必须覆盖所有县级政务部门，县政务外网建设单位需要将未接入的县级政务部门全部接入。 地址更换。按照国家政务外网的统一规划和建设要求，各县政务外网需要将骨干设备管理地址和互联地址更换为国家政务外网59地址段，纳入国家政务外网，具体地址由市政务外网统一分配。与国家政务外网无缝联接。各县政务外网需要通过核心交换设备与国家政务外网广域网县级设备进行高速专线连接，从而整体接入国家政务外网。统一部署国家纵向业务系统MPLS-VPN。国家政务外网的重要功能之一就是支持国家部委纵向应用系统在中央、省、市、县四级部署MPLS-VPN业务，各县必须在市级政务外网骨干设备上按照国家统一规划开通MPLS-VPN功能，对不支持MPLS-VPN功能的骨干设备进行升级更换，满足国家部委业务系统在市级政务外网上的延伸，具体技术要求见5.1.9。 统一互联网出口。国家政务外网是与互联网整体逻辑隔离的政府部门专有网络，考虑到安全防护和统一管理，建议各县政务外网统一出口，统一安全部署和安全防护。3、B类县政务外网建设B类县基本上未建设县级政务网络，建设内容主要是按照国家政务外网统一规划和技术标准，建设上联国家政务外网，覆盖所有县本级政务部门的统一网络平台。主要建设内容包括： 城域网建设。县级城域网的建设目标是上联国家政务外网，横向覆盖所有县本级政务部门，保证高可靠性和安全性，具体建设参考县政务外网网络拓扑模型。 地址分配。按照国家政务外网的统一规划和建设要求，各县政务外网需要将骨干设备管理地址和互联地址统一使用国家政务外网59地址段，纳入国家政务外网，具体地址由市政务外网统一分配。 与国家政务外网无缝对接。各县政务外网需要通过核心交换设备与国家政务外网广域网县级设备进行高速专线连接，从而整体接入国家政务外网。统一部署国家纵向业务系统MPLS-VPN。国家政务外网的重要功能之一就是支持国家部委纵向应用系统在中央、省、市、县四级部署MPLS-VPN业务，各县必须在县级政务外网骨干设备上按照国家统一规划开通MPLS-VPN功能，满足国家部委业务系统在市级政务外网上的延伸，具体技术要求见5.1.9。 统一互联网出口。国家政务外网是与互联网整体逻辑隔离的政府部门专有网络，考虑到安全防护和统一管理，建议各县政务外网统一出口，统一安全部署和安全防护。4、县政务外网建设原则 整合资源，统一标准。维护国家政务外网的完整性和统一性。县政务外网建设要在现有网络基