电子政务外网升级改造及网络安全项目建设方案.docx

1、电子政务外网升级改造及网络安全项目建设方案目录第一章项目概述21.1 背景概述21.2 建设依据21、关于促进电子政务协调发展的实施意见（皖政办201525号）32、关于印发“数字江淮”建设总体规划（2020-2025年）的通知（皖数江20202 号）33、2020年数字江淮工作要点34、“数字政府”建设规划（2020-2025年）（皖政202044号）35、关于印发全面推进“数字江淮”建设实施方案（2021-2023年）的通知（皖数江20213 号）36、数据资源管理局财政厅关于印发省级政务信息化系统建设及整合指南（试行）的通知（皖数资函202144号）电子政务外网管理办法（试行）37、数据

2、资源管理局关于征求非涉密专网整合和非涉密数据中心承载系统上云意见的函31.3建设目标、规模及内容41.3.1建设目标4第二章需求分析52.1 项目背景52.2 建设内容及规模5第三章预计服务清单8第一章项目概述1.1背景概述电子政务网目前建成了横向至脑纵向到底,覆盖跛政务外网以及县以下乡镇（街道）、村（社区）政务外网的接入工作。为进一步提高业务服务能力，急需提升政务外网可靠性、安全性,规范网络边界,强化运解理目前核心出口、域设备单设备运行,政务网59段及10段防护手段单一,用户接入电子政务网络无认证、授权机制，出现网络安全事故难以溯源，互联网无上网行为管理，在当前业务可靠性日益成为关注重点时，

3、相关冗余改造工作亟待开展。1. 2建设依据（一）国家政策文件1 .国家发展改革委关于印发“十三五”国家吸信息化工程建谢既J的通知（发改而201449#）2、国务院办公厅关于促进电子政务协调发展的指导意见（国办发201466号）3、国务院关于ER发“十三五”国家信息化规划的通知（国发（2016）73号）4、国务院关于加麟型互联网+政务服务”工作附旨导意见X国发（2016）55号）5、国务院关于印发政务信息资源共享管理暂行办法的通知（国发201651号）6、关于E暖国家电子政务外网甯1中心2017年工作思路和重煎工作的通知政务外网20173号）7、国家电子政务外网网络技术指南（2013版）8、国家

4、电子政务外网IPv4地切规划（GW0206-2015）9、国家电子政务外网IpV4地址地方分配部署指南（GW0207-2015）10、接入政务外网的局域网安全技术规范（GW0206-2014）Ih国家电子政务外网安全监测体系技术规范与实耐旨南（GW0203-2014）12、国家电子政务外网安全管理系领术要求与接口规范（GW0204-2014）13、国家电子政务外网安全翎断实前旨南（正稿）14、关于加雌SS联网协议第六版（IPV6）规模部署和应工作的通知（中网办202115号）5、国家发展改革委关于E3发“十四五”推进国家政务信息化规划的通知（发改高技20211898号）（二）我省政策文件1、关

5、于促进电子政务协调发展的实施意见（皖政办201525号）2、关于印发“数字江淮”建设总体规划（2020-2025年）的通知（皖数江20202号）3、2020年数字江淮工作要点4、“数字政府”建设规划（2020-2025年）（皖政202044号）5、关于印发全面推进“数字江淮”建设实施方案（2021-2023年）的通知（皖数江20212号）6、数据资源管理局财政厅关于印发省级政务信息化系统建设及整合指南（试行）的通知（皖数资函202144号）电子政务外网管理办法（试行）7、数据资源管理局关于征求非涉密专网整合和非涉密数据中心承载系统上云意见的函1.3建设目标、规模及内容1.3.1 建设目标核心区

6、域：双核心集群部署实现汇聚、接入、边界双归属互联电子政务出口区域：针对来内、外内部的病毒、入侵、攻击行为予以拦截且安全设备的高可用互联网出口区：针对互联网用户的上网行为予以规范,有效阻止访问捕去网站，减少财产损及信息泄露等网络安全事故发生。政务云边界：确保安全设备特征库由殿更新，针对新的病毒、攻击、入侵行为能够锁蜕截安全运维区：此对电子政务接入的用户进行PortaI认证，可以针对特定用户、用户组赋予特定的权P艮，结合日志审计系统可以针对用户上网勃迹溯源。规范运维及设备调试进行记M第二章需求分析2.1 项目背景目前政务外网和互联网的核心设备部署于在县政务云计算中心机房。目前主要包括1台华为NE2

7、0E的政务网出口路由器、1台华为S9303政务网域机，1台华为S12700E-8核心越机，1台华为USG6625E下一代Al防火墙，1台S5300服务器接入与银行专线接入礴九县直单位通过在S12700E-8汇聚，防火墙作为互联网出口，实现业务逻辑隔离。2.2 建设内容及规模本次政务网与互联网采用了业务逻辑隔离的方式,三三电子政务外网市县建设技术指南，结合我县政务外网及互联网现状情况，针对网络承载、业务支撑、安全防护和运行御h能力等方面不足，进行县（区）广域网升级改造。核心区域：目前核心是1台华为S12700E-8承载互联网、电子政务（59段及10段），本次升级建议增加1台核心殛机采用集群（CS

8、S）部署，与之互联设备可以同时双上行到两台核心，核心侧可跨板做链路聚合,实现核心域区域设备冗余以及链路冗余,支持区域认证系统进行安全策略下发,针对各单位接入的用户基本账号实现权限管理。三务出口区域:新增2台防火墙全为电子政务网络的边界防火墙,新增1台路由器作电子政务网络的出口路由器，原电子政务出口路由器利旧，新增1台IPS设备旁挂核心侧，防御来自电子政务、互联网内外的攻击及入侵。路由器支持省中心管理平台进行f及通过netconf协议进行配置下发以实现SRV6和Flex-E功能。防火墙支持区域认证系统进行安全策略配互联网出口区域：原互联出口USG6625E防火墙利旧，同时作为SSLVPN设备，新

9、增台上网行为管理设备。上网行为管理同时喝两台核集群礴儿安全接AE域：此区域南渐建部分，建海曙1套W1三三M统、1台日志审计、1台堡垒机、1套金库审计系统。认权襁:实现对各单（加翔理户进行U证并在核心沏喙一配置三户组安全策略,实现基于用户账号进行要视的空制。针对电子政务接入的用户进行POrtaI认证，可以针对特定用户、用户组赋予特定的权P艮。缴库审计系统：针对日益严峻的摩库安全形势，胸核心娄据库安全,茄辘强被篡改或泄露。对娄强库操作行为和内容进行全面的审计和管理,对数据库操作进行辆f、记录、分析，帮助客户监控麴S库操作，*J三操作可实时发现,发生事故有源可溯，提高管理者对业务系统信息资源的全局才

10、因空和调度能力。审计范围覆盖I悔个用户，从耐隰数据库系统的整体安全。日志审计獭：可以针对用户上网轨迹溯源。堡垒机：为了规范维及设备调试进行记三将相关网络设备纳入堡垒机。网翎附卜简图如下：郎溪电子政务及互联网拓扑图乡镇OLT+ONUONU第三章预计服务清单序号服务项目设备名称参数单位数量单价（元）总价（元）1网络部分核心区域核心交换机1 .采用CLOS架构，主控和交换分离，当前单槽位带宽与4.8Tbps,交换容量与512Tbps,包转发率与96000Mpps,主控板槽位数22,独立交换网板槽位数4,业务板槽位数8,风扇槽位数4,集中监控板槽位2,提供官网截图及链接证明；2 .设备深度W600m1

11、1i设备高度W15U；采用机箱（包括业务板卡区）后出风风道设计，提供官网截图证明；3 .支持RIP、OSPF、ISIS、BGP等IPv4动态路由协议,支持RIPng0SPFv3ISISv6BGP4+等IPv6动态路由协议；4 .支持整机MAC表容量与1M、ARP表容量N380K、IPV4路由表容量N3M；5 .设备核心芯片CPU、NP芯片为国产自研，提供具有CNAS或CMA标识的第三方检测报告证明；6 .VLAN规格24094；7 .支撑设备级、链路级、网络级丢包检测，无额外流量开销，提供证明材料；8 .要求此核心交换机与原核心交换机能够无缝对接组成集群交换系统，提供承诺函；硬件配置：9 .每

12、台配置完整主机，主控引擎与2、独立交换网板与2、独立风扇框4,300OW交流电源2、实配独立集中监控板卡1个；10 .每台配置2块48个万兆光接口板，1块48个千兆电接口板；4根5米IOGE集群线缆。台1路由器1. 转发性能N14200Mpps,交换容量2115Tbps,整机业务载板插槽三8个，整机高度W3U,提供官网截图及链接证明；2. 设备关键芯片（包括CPU、NP.W、TCAM,交换芯片等）采用自研国产化芯片，提供具有CNAS或CMA标识的第三方检测报告证明；3. 路由协议:支持RIP、OSPF、ISIS、BGP等；台14.支持VXLAN、GRE等隧道技术；5 .支持iFIT技术，支持S

13、Rv6协议，支持SRv6承载NatiVeIP及VPN业务，提供具有CNAS或CMA标识的第三方检测报告证明；6 .支持双主控、双交换、电源冗余、风扇冗余，均支持热插拔(包含业务板卡)，提供具有CNAS或CMA标识的第三方检测报告证明；7 .VPN技术:支持L2VPN、L3VPN、EVPN等VPN技术;8 .MPLS技术：支持LDPLSP、RSVP-TESRTE等MPLS技术;9 .支持端口散列技术，可将100GE端口散列成IOGE口或者25GE口进行使用，可灵活进行设备的端口容量和类型控制使用，提供具有CNAS或CMA标识的第三方检测报告证明；10 .配置：双主控，双交流电源，万兆光口与10个

14、IoknI万兆单模光模块4个，80km千兆单模光模块4个。运维区域堡垒机1 .以太网千兆电口24个,万兆光口三2个，内存N16G,硬盘N8000GB；2 .最大图形并发连接数N200,最大字符并发连接数700；3 .支持批量导入、导出用户信息及设备信息；4 .支持与AD、LDAP、RADnJS系统联动登录堡垒机；5 .支持通过堡垒机页面直接调用本地WindOWS系统里的PlSq1、SqlPlUs、toadsqlwbssmsmysql.exe等数据库客户端工具，提供功能截图；6 .可以通过socks5httpssh等代理协议连接管理异地云资源区中私有网络的云主机，提供功能截图；7 .支持在ma

15、c电脑里使用navicat工具通过堡垒机登录mysqloracle等数据库服务器，提供功能截图；8 .支持短信口令认证对接，实现短信动态口令双因素认证机制；9 .实配双电源，50个可管理设备授权；台1互联网区域上网行为管理1 .机架式独立硬件设备(2U),系统硬件为全内置封闭式结构，多核非X86架构，功能采用模块化结构设计；2 .吞吐量238G,并发连接数2500万，新建连接数N15万；台13 .支持路由模式、透明(网桥)模式、混合模式、旁路模式；旁路部署支持加入2个以上物理接口，部署模式切换无需重启设备；4 .支持4GUSB插卡,支持在4G接口上运行IPSecVPN；5 .支持端口镜像功能，

16、支持入流量、出流量和双向流量等维度镜像，支持将接口的流量镜像到另一个接口，方便网络问题定位；6 .支持花生壳DDNS客户端功能；7 .支持基于负载链路进行dnsYnat机制，解决用户主机配置DNS解析结果，与实际转发运营商链路解析结果有冲突，从而导致跨运营商访问慢的问题；支持进行DNS探测，针对探测失败情况，支持选择禁用dns-dnat功能或禁用负载链路出接口，提供Web配置界面截图；8 .支持外置ReSet插孔，提供设备截图证明；9 .硬件要求：千兆电口二12(不低于2对ByPaSS口)，千兆光口12,万兆光口与4,内置硬盘与2T,配置4个万兆多模光模块，3年特征库升级授权。电子政务区域防火

17、墙1 .机箱高度1U,固定端口满足：IoGE(SFP+)10GERJ45口与12、GE(SFP)8,支持扩展槽位三2,提供官网截图；2 .防火墙吞吐量Z35Gbps,最大并发连接数与2000万，每秒新建连接数50万，IPS吞吐量12Gbps,IPSeCVPN吞吐量230Gbps,IPSeCVPN隧道数N20000,SSLVPN并发在线用户数三5000；3 .散热系统由个可插拔风扇组成，形成3+1冗余备份，系统风道为前进、后出的风道形式，提供设备槽位截图；4 .支持路由、交换、混合工作模式，支持静态路由、RIP、RIPNG.OSPFv2v3.BGP；5 .支持全面NAT功能，对多种应用层协议支持

18、ALG功能；6 .系统预定义IPS签名数量与20000,提供安全智能中心查询截图证明；7 .为确保县市两级联动，要求所投设备支持SRv6协议，提供功能截图证明；8 .支持每IP的最大连接数限制，防护服务器，提供功能截图；9 .响应产品采用国产自研的CPU芯片，提供国家相关部委认可的第三方实验室测试报告证明；台210.配置：8个万兆多模光模块，双交流电源，240G硬盘,提供3年防病毒、URL过滤特征库升级服务；电子政务区域IPS1 .机箱高度1U,固定端口满足：IOGE(SFP+)26GERJ45口212、GE(SFP)212；2 .IPS检测吞吐量NloGbPs,最大并发连接数N8M,每秒新建

19、连接数250000/s；3 .散热系统由个可插拔风扇组成，形成3+1冗余备份，系统风道为前进、后出的风道形式，提供设备槽位截图；4 .支持静态路由、策略路由，OSFP、BGP.ISIS等路由；5 .能够防范各种应用层攻击，包括但不限于：后门程序，木马程序，间谍软件，蠕虫，僵尸主机，异常代码，协议异常，扫描，可疑行为审计类等；6 .系统预定义IPS签名数量与20000,提供安全智能中心查询截图证明；7 .提供NGIPS能力，能够感知网络环境中的客户端类型和应用，并根据环境的变化，自动调整安全策略；8 .配置：6个万兆多模光模块，双交流电源，提供3年特征库升级服务。台1运维区域认证系统1 .产品支

20、持场景化模版建网，按站点配置模板进行批量设备配置；2 .支持交换机和无线WIFI网络设备的批量自动化配置；3 .支持通过策略，保障VlP用户优先接入网络；4 .支持多种认证技术,如802.lx、MAC、基于HTTP2.0(HACA)和Portal2.0的Portal认证、VPN认证等多种认证方式；5 .支持内置CA服务，满足企业CA运维管理，提供功能截图；6 .支持与多个AD/LDAP域名服务器同步，支持基于帐号属性映射成本地角色，通过角色进行网络准入授权；7 .支持多种识别技术:User-AgentDHCPOption、MACOUI、mDNS、LLDPSNMP和NMAP对入网终端的操作系统、

21、厂家、终端型号等信息进行精准识别；支持终端识别规则自定义；8 .为保证网络稳定性及系统兼容性，需要与核心交换机、无线控制器同一品牌。9 .配置一台硬件服务器,2*16Core2.3GHzCPU,4*32GBDDR4,4*1200GBHDD,8*GE电口+4*OGE光口，2*9oowAC,提供100o个接入认证授权，同时需要纳管防火墙与核心交换机；套1运维区域日志审计1.2U设备，N16GB内存，硬盘N2*2T,接口至少4*GE+2*10GE,双电源；2 .部署方式：支持旁路部署，支持分布式部署，支持级联模式，分级管理；3 .提供全中文WEB管理界面，无需安装任意客户端软件或插件；4 .支持多厂

22、商多型号设备的SySlOg、SNMP、SFTP.TCP、HTTP等标准协议日志，支持多维度的细粒度日志解析，为各类大数据平台提供标准化数据；5 .内置故障一键排查功能，可对自身服务、资源、证书等相关核心要素进行检测；6 .支持更多维度的日志检索，如分类、来源、目的、资产、地理信息、协议、表达式、自定义字段等维度进行高级检索；7 .配置：2个万兆多模光模块，30个设备管理授权；台12数据安全部分数据库审计L支持审计流量（纯Oraele流量）400M,每秒最大处理事务数Z20000TPSs,内存与16GB,存储空间2UT,4个千兆电口,2个万兆光口;2 .支持OraCIe、SQLServerMyS

23、QL、DB2、Sybase、DM、GBASEKingbaseOSCARMongoDBRedis数据库的审计；3 .支持镜像模式、软探模式与混合模式等三种部署方式，提供功能截图；4 .支持中间件环境下的SQL语句关联到HTTP操作，HTTP操作关联到HTTP-ID,实现中间件环境下的审计追溯；5 .支持自动对比不同时期的行为模型，以区分其操作趋势变化，发现不同时期的用户、IP地址、操作类型、操作频次的差异情况，从而发现访问异常；6 .对于高风险操作所在的会话，支持旁路阻断功能，可基于IP地址、数据库用户、应用用户、数据库对象、工具或应用等制定规则，提供功能截图；7 .可设置分权管理，提供三权分立功能，系统可以对使用人员的操作进行审计记录，可以由审计员进行查询，具有自身安全审计功能；8 .支持按时间、级别、源目的IP、源目的MAC、协议名、源目的端口为条件进行查询，支持通过SqI语句关键字模糊查询，查询事件为sql语句中包含该关键字的所有符合条件的操作记录；9 .本次配置8个数据库审计授权，双交流电源。套13人员和运营服务定制包含设备安装、技术调试，割接服务，技术培训等，提供专业技术工程师1人，3年现场服务套1