| 索引号: | 11330600002577014T/2006-167752 | 公开方式: | 主动公开 |
| 发布机构: | 市政府办公室(市政府研究室、市机关事务局) | 公开日期: | 2006-09-13 |
| 主题分类: | 网络 | 发文字号: | 绍政办发〔2006〕184号 |
| 有效性: | 有效 |
绍兴市人民政府办公室关于建设市电子政务网络平台的通知
各县(市、区)人民政府,市政府各部门:
根据《浙江省人民政府办公厅关于建设省电子政务网络平台的通知》(浙政办函〔2003〕88号)和《浙江省人民政府办公厅关于印发浙江省电子政务网络技术规范的通知》(浙政办发〔2005〕95号)精神,结合我市实际,经研究决定,建设统一的市电子政务网络平台。现将有关事项通知如下:
一、建设内容。根据“统筹规划、统一标准、分步实施、分级管理”的原则,在充分利用现有电子政务网络基础的前提下,建设与整合统一的市电子政务内网和市电子政务外网平台。
二、组织领导。市电子政务网络平台建设是全市电子政务的一项主要基础工作,各级各部门应给予高度的重视,要确定一位分管领导,负责电子政务网络建设。要积极配合市、县(市、区)信息中心,共同推进我市电子政务网络建设。市信息中心负责全市电子政务网络规划和市电子政务骨干网络建设与管理,负责对各县(市、区)电子政务网络和市级直属各单位或因需接入单位的网络建设的监督及技术支持。各县(市、区)信息中心负责本县(市、区)电子政务网络建设与管理,负责对本县(市、区)直属各单位或因需接入单位的网络建设的监督及技术支持。各接入电子政务网络的单位负责本单位内部局域网络及部门业务专网的建设与管理,负责配合市、县(市、区)信息中心做好电子政务网络的接入,同时对本单位接入电子政务网络的用户进行维护和安全管理。
三、经费管理和使用维护。市本级专线建设一次性所需经费和城域骨干网络相关设备费用由市财政统一解决,各接入市电子政务网络的单位的专线租用、网络运行维护、接入市电子政务网络所需的相关安全设备、部门内部局域网络及部门业务专网建设费用由各接入单位自行解决。市电子政务网络平台建成后,已有的部门业务网络应逐步向市电子政务网络平台迁移,确因工作需要保留单独部门业务网络的,应于2006年9月底前报经市信息中心同意。
四、时间安排。市级各联网单位应对照本文件要求,认真研究本单位网络情况,并于2006年9月30日前将本单位联系人、联系电话、详细联网地址(具体为运营商光纤专线到单位网络设备的所在房间号)、IP地址需求、是否需在单位设立公共服务专网、资源共享专网、部门业务专网等三种专网情况报市信息中心。对已有部门业务专网的单位应将已有部门业务专网情况一并上报市信息中心。争取在2006年9月底前实现省、市、县(市、区)三级电子政务网络的连接,逐步实现市级各相关部门的部门业务网络向市电子政务网络迁移。各县(市、区)政府根据绍政办发〔2005〕156号文件精神,落实好本县(市、区)电子政务网络建设各项工作。
附件:1.绍兴市电子政务网络技术规范
2.市级各联网单位网络情况调查表
附件1:
绍兴市电子政务网络平台是浙江省电子政务网络平台在绍兴市的延伸,由市电子政务内网(以下简称市政务内网)和市电子政务外网(以下简称市政务外网)构成,市政务内网与市政务外网、市政务内网与因特网之间物理隔离,市政务外网与因特网之间逻辑隔离并通过网络安全系统(国家保密推荐产品)实现信息交换。
市政务内网是全市党政机关的涉密办公专网,主要用于接收省级部门的电子公文,传输本市相关涉密信息及公文,以及不适合通过外网传输的信息。通过在政务内网上配备核心密码设备或普通密码设备构建党政加密内网。
市政务内网联网范围:市、县(市、区)二级党委、人大、政府、政协四套班子领导及办公室(到此截至不再向下延伸),以及因需接入的单位。
市政务内网以省行政首脑机关信息中心提供给我市的专线线路与省政务内网相连;以专线方式与各县(市、区)政务内网相连;市级直属各单位及因需接入的单位如在市机关大院内以千兆以太网方式接入,在大院外则以专线线路接入。接入市政务内网的单位一律使用由市信息中心统一规划的IP地址和路由协议。
市政务外网是全市各级各部门的业务专网和资源共享专网,凡不需要在市政务内网上运行的业务系统可接入市政务外网;市政务外网同时对因特网公众提供服务。
市政务外网联网范围:市、县(市、区)党委、人大、政府、政协、及其直属各单位,法院、检察院,乡(镇、街道),以及因需接入的单位。
市政务外网以省行政首脑机关信息中心提供给我市的专线线路与省政务外网相连;各县(市、区)政务外网通过租用裸光纤或MSTP专线线路与市政务外网相连;市级直属各单位及因需接入的单位如在市机关大院内以千兆以太网方式接入市政务外网,在大院外则以专线线路接入市政务外网:其中有纵向业务的单位以裸光纤、MSTP专线、电路方式接入,无纵向业务的单位以裸光纤、MSTP专线或其他专线方式接入。今后根据各单位业务量的需求,动态调整各接入政务外网的单位的接入带宽及接入方式。远程移动办公用户,通过IPSec和Remote Access to MPLS VPN 相结合的技术,从Internet进行VPDN拨号进入市政务外网,访问相关资源。
市政务外网设立资源共享专网、公共服务专网和部门业务专网三种专网。
一、公共服务专网(VPN1)部署
公众服务专网对因特网公众提供服务,放置门户网站和邮件等服务器,通过网络安全系统与因特网逻辑相连,允许因特网主动访问公众服务专网的服务资源,一般不允许公众服务专网访问因特网。为加强网络安全管理,减少重复投资,充分利用资源,在市信息中心设立统一出口的综合公共服务专网,接入政务外网的市级各单位必须将门户网站和邮件等系统放置在统一出口的综合公共服务专网中。因工作需要须设立公共服务专网的单位,须在其出口处部署网络安全系统或通过综合公共服务专网统一出口与因特网相连,并按照省、市有关规定,在本单位内正确部署各相关对因特网公众提供服务的服务器,且须经市信息中心审核同意。
二、资源共享专网(VPN2)部署
资源共享专网是各级各部门实现信息共享与交换的网络。市政务外网在资源共享专网设立因特网统一出口,接入市政务外网的市级各单位必须通过统一出口访问因特网。因工作需要须保留因特网及其他网络出口的单位,必须经市信息中心审核同意,其出口才能与市政务外网相连。同时保留因特网及其他网络出口的单位必须在资源共享专网架设防火墙、入侵检测、防病毒软件等安全系统才能访问因特网及其他网络,否则市信息中心将切断其与市政务外网的连接。
三、部门业务专网(VPN3)部署
部门业务专网是利用MPLS VPN技术,连接本系统内部省、市、县(市、区)相关部门的纵向业务网络。在市政务外网上支持MPLS VPN,VPN由市信息中心建立和维护,市级各单位如有连接省、市、县(市、区)部门业务专网需求,须提供接入市政务外网的支持多路由转发功能的三层路由交换设备,并由市信息中心为其提供部门业务专网接入技术支持。
市信息中心负责规划和分配全市电子政务网络的IP地址,为接入单位提供IP地址资源以及技术支持等服务。
为避免IP地址的分配冲突,市级各单位需要IP地址须向市信息中心申请,各县(市、区)的IP地址由各县(市、区)信息中心分配和管理。
市政务内网IP地址编址范围使用省行政首脑机关信息中心分配给我市的IP地址段。具体分配到各单位的IP地址均已下发至各单位。
市政务外网使用IP地址分以下几种类型:公共服务专网、资源共享专网IP地址段由市信息中心统一规划和分配;有纵向业务单位的部门业务专网网络互联IP地址段由市信息中心统一规划和分配,各部门业务专网系统内部IP地址段由各单位本系统内部自行规划与分配,且有部门业务专网的单位在接入市政务外网时,须提供支持多路由转发功能的三层路由交换设备;无部门业务专网单位的IP地址段统一由市信息中心规划和分配。具体分配到各单位的IP地址另行公布。
市信息中心负责规划市电子政务网络的域名规范,为接入单位提供域名资源以及技术支持等服务。各县(市、区)信息中心负责本县(市、区)电子政务网络的域名规范,为接入单位提供域名资源的域名分配及管理,并上报市信息中心审批备案。
一、市政务内网域名规范
市政务内网域名按国务院办公厅和省行政首脑机关信息中心的要求进行规划。因市政务内网联网范围较小,故相关域名规划方法另行公布。
二、市政务外网域名规范
市政务外网公众服务专网中的服务器采用因特网域名体系;市政务外网资源共享专网中的服务器采取如下命名规范:
统一使用.sx顶级域名,县(市、区)政府和市级各单位设置为.sx下的二级域名,域名用单位名字简称的汉字拼音缩写表示。县(市、区)政府直属各单位和乡(镇、街道)域名规划在其所在二级域名下进行统一管理分配。
市本级二级域名规划表 | |||
市政府办公室 | sfb.sx | 市发展改革委 | fgw.sx |
市经贸委 | jmw.sx | 市教育局 | jyj.sx |
市科技局 | kjj.sx | 市公安局 | gaj.sx |
市监察局 | jcj.sx | 市民政局 | mzj.sx |
市司法局 | sfj.sx | 市财政局 | czj.sx |
市人事局 | rsj.sx | 市劳动保障局 | lbj.sx |
市国土局 | gtj.sx | 市规划局 | ghj.sx |
市建设局 | jsj.sx | 市交通局 | jtj.sx |
市水利局 | slj.sx | 市农业局 | nyj.sx |
市林业局 | lyj.sx | 市外经贸局 | wjmj.sx |
市文广局 | wgj.sx | 市卫生局 | wsj.sx |
市人口计生委 | jsw.sx | 市审计局 | sjj.sx |
市旅游局 | lvyj.sx | 市环保局 | hbj.sx |
市民宗局 | mizj.sx | 市统计局 | tjj.sx |
市城管执法局 | cgj.sx | 市安监局 | ajj.sx |
市外侨办 | wqb.sx | 市台办 | tb.sx |
市国资委 | gzw.sx | 市人防办 | rfb.sx |
市建管局 | jigj.sx | 市体育局 | tyj.sx |
市机关事务局 | jgj.sx | 市安全局 | aqj.sx |
市国税局 | gsj.sx | 市工商局 | gsj.sx |
绍兴检验检疫局 | jyjy.sx | 绍兴海关 | hg.sx |
市质监局 | zjj.sx | 市食品药品监管局 | yjj.sx |
市气象局 | qxj.sx | 绍兴电力局 | dlj.sx |
市烟草局 | ycj.sx | 经济开发区管委会 | kfq.sx |
袍江工业区管委会 | pj.sx | 镜湖新区管委会 | jh.sx |
市便民中心 | bm.sx | 市长电话受理中心 | szdh.sx |
市招投标办公室 | ztb.sx | 市公积金管理中心 | gjj.sx |
曹娥江大闸管委会 | cej.sx | 市文物局 | wwj.sx |
市招商局 | zsj.sx | ||
市政务内网使用静态路由配置。市政务外网采用OSPF动态路由协议。各县(市、区)路由规划详见绍政办发〔2005〕156号文件。
市电子政务网采用PIM-SM作为域内组播路由协议,二层交换机如果支持IGMP Snooping,要求启用IGMP Snooping;二层交换机如果是Cisco的设备,要求启用CGMP协议。
市电子政务网使用由省行政首脑信息中心分配给我市的4个B的组播地址段,由市信息中心统一规划和分配。市级各单位根据业务需求向市信息中心申请。各县(市、区)组播地址情况详见绍政办发〔2005〕156号文件。
为了保证以后的管理方便,对设备采用以下命名方法:AABB_CCDD_X_YYYY_Z。
电子政务的基础是网络平台,各党政机关公文往来、资料存储以及各种政务服务都必须通过网络来实现。必须严格按国家、省相关标准对网络进行管理。
网络安全的含义很广,本章主要就骨干、汇聚及接入层的安全运行方面做了相应要求。
一、网络设备安全规范
网络设备的安全主要包括:一是严格控制对网络设备的访问,对于本地控制口登录和远程登录(Telnet或SSH方式),可能的情况下,尽量选择SSH方式进行登录。但无论选用哪种登录方式,对访问用户都必须进行认证和授权管理。二是严格管理网络设备的日常运行,包括如下:完整备份网络设备的系统软件;定期备份网络设备的配置文件;及时升级网络设备的系统软件,安装软件补丁;定期保存网络设备的安全访问和维护记录日志。
二、网络协议安全规范
对于网络运行所必需的协议,如路由协议等,应保护正常运行,必要时系统必须采用一些加密技术或邻机校验方法,以完成认证,防止非法路由器及伪造路由信息的加入。路由器上也存在着一些默认开启的TCP/IP服务,而有些服务对网络运行是无关紧要的,应严格限制或关闭。
例如,将骨干路由器的以下协议或服务关闭:X.25 PAD服务;小堆UDP包服务(防止UDP flood攻击);小堆TCP包服务(防止TCP flood攻击);BOOTP服务;IP源路由(防止源路由欺骗攻击);IP重定向;代理ARP;IP定向广播(防止IP地址欺骗攻击);IP不可达消息;不必要的TCP/UDP端口号(如445,6667等,防止蠕虫病毒攻击)。
对于能够提高网络安全的一些服务应予开启。例如将骨干路由器的以下协议或功能打开:单播反向路径检查(防止IP地址欺骗攻击);日志服务;用户级密码加密;特权级密码加密。
(一)路由协议的安全规范。
市政务外网目前使用的是OSPF路由协议,为防止OPSF路由欺骗,确保路由的合法性和安全性,OSPF骨干区域Area0必须使用MD5认证,如果划分了子区域,应确保各子区域与OSPF骨干路由器之间至少采用明文认证。
(二)网管SNMP安全规范。
SNMP是另一种访问网络设备的方式。使用SNMP,可以收集网络设备的状态,配置管理网络设备。政务网路由器必须支持SNMPv2以上的协议,并支持MD5认证。
对于无需进行网管的路由器或交换机,应当关闭SNMP服务,当需要配置SNMP进行网管时,则应满足以下要点:只打开必要的SNMP Trap,对于其他的Trap必须关闭;Community的只读和读写密码不应相同,尽量使用由字母、数字及符号组成的复杂字符串,禁止使用缺省字符串;必须使用ACL和指定端口号允许网管计算机对设备进行远程管理,防止非法访问。
(三)双机热备份协议的安全规范。
双机热备份路由协议根据同一热备组中的优先级和IP地址来选举活动路由器,最高优先级的路由器被选举为活动路由器,如果同一组中存在多台路由器,根据优先级来选举活动路由器,如果优先级相同,则最高IP的被选举为活动路由器。
市电子政务网中需要配置双机热备时应当配置双机热备组的MD5认证,防止非授权设备加入热备组。
(四)网络时间协议安全规范。
网络时间协议(NTP)用于全网的时间同步控制,为syslog日志记录提供准确的时间(精确到毫秒),为网络管理员有效地管理省电子政务网提供了良好的工具。为了给网络设备提供有效安全的时间服务,只允许给通过认证的NTP客户端提供时间同步服务。为确保网络时间服务器的合法性,配置NTP时应当配置MD5认证。
三、现阶段政务网络管理及各单位局域网的安全防范
市信息中心负责市电子政务骨干网络的安全,在市政务内网平台上,通过在各县(市、区)政务内网联入市政务内网的总入口、市政务内网联入省政务内网的总出口处分别部署防火墙、入侵检测等网络安全系统,做到省、市、县(市、区)三级政务内网的安全互联;在市政务外网平台上,通过分别在统一出口的公众服务专网(VPN1)和资源共享专网(VPN2)两个专网上各架设防火墙、入侵检测、安全审计、杀毒软件等网络安全设施作为与因特网的安全隔离。
各县(市、区)及市级各联网单位负责本级本部门网络的安全,各级各部门必须在本级本部门内正确部署防火墙、入侵检测、安全审计等网络安全设施,在保证网络安全的基础上,接入市电子政务网络。
市、县(市、区)电子政务内、外网统一建立防病毒中心和补丁升级系统,为联网各单位提供防病毒安装升级和补丁升级平台。联网各单位的所有客户端必须安装正版杀毒软件且必须保证及时升级杀毒软件及升级补丁。各单位负责做好本单位内客户端防病毒软件安装和补丁升级。如果发现某单位病毒大规模爆发时,为保障其他单位网络的正常使用,则必须立即切断本单位局域网与电子政务网的物理连接。
绍兴市MPLS VPN骨干网部署如下:省行政首脑信息中心下发给我市的路由器(NE40-8)作为P(Provide Device,运营商设备),在市本级与6个县(市、区)部署PE(Provide Edge,运营商边缘)设备,在市级直属相关各单位与各县(市、区)相关单位分别部署CE(Client Edge,用户边缘)设备。根据属地管理的原则,市信息中心负责管理核心P、市本级PE设备,并对分散部署在各县(市、区)的PE设备、市级直属相关各单位的CE设备进行监控和提供技术支持等服务,市级直属相关各单位负责管理部署在本单位内部的CE设备;各县(市、区)负责管理本县(市、区)PE设备,负责对分散部署在本级直属相关各单位的CE设备进行监控和提供技术支持等服务。市电子政务网络MPLS/VPN命名规范、MPLS/VPN IP地址和路由规范另行公布。
单位名称(盖章)
| 网络管理 | 联系人 | 联系电话 | ||||
| 详细联网地址 | ||||||
| 公网IP地址 需求说明 | ||||||
| 设立三种专网需求说明 | ||||||
| 接入市政务外网所需支持多路由转发功能三层路由交换设备情况 | □有 □无 | |||||
| 已有部门业务专网情况 | 专线租用运营商名称 | |||||
| 专线租用方式 | ||||||
| 专线数量 | ||||||
| 专线租用费用 | ||||||
| 拟迁移时间 | ||||||
注:1.已有部门业务专网情况由已有部门业务专网单位填写;
2.设立三种专网需求说明是指设立公共服务专网、资源共享专网、部门业务专网等三种专网需求说明。