网络l2tp是什么
l2tp是什么 时间:2021-05-07 阅读:()
二:ICS中华人民共和国国家环境保护标准HJ/T环境信息网络建设规范Constructionspecificationforenvironmentalinformationnetwork(征求意见稿)环境保护部HJ20--发布20--实施发布HJ/TI目次前言II1适用范围12规范性引用文件13术语和定义14缩略语25全国环境信息网络建设原则和基本流程.
26全国环境信息骨干网网际互连.
37全国环境信息局域网网络建设.
98全国环境信息网络机房建设.
149全国环境信息网络验收测试标准.
21附录A(规范性附录)全国环境信息网络系统域名命名规则29附录B(规范性附录)全国环境信息网络IP地址规划表.
31附录C(资料性附录)路由器性能指标32附录D(规范性附录)防火墙安全等级划分33附录E(资料性附录)防火墙性能指标35附录F(规范性附录)对不同高度房间的火灾探测器的选择.
36附录G(资料性附录)感烟、感温探测器的保护面积和保护半径36HJ/TII前言为加强对全国环境信息网络建设的统一规范,保障环境业务数据的有效传输和信息共享,实现全国环境保护部门网络的互联互通,制定本标准.
本标准规范了全国环境信息网络建设的原则、基本流程;骨干网络建设、局域网络建设;IP地址和域名的规划以及机房建设的技术要求.
本标准附录A、附录B、附录D、附录F为规范性附录,附录C、附录E、附录G为资料性附录.
本标准为首次发布.
本标准为指导性标准.
本标准由环境保护部科技标准司提出.
本标准主要起草单位:环境保护部信息中心.
本标准环境保护部20年月日批准.
本标准自20年月日起实施.
本标准由环境保护部解释.
HJ/T1环境信息网络建设规范1适用范围本标准规定了全国环境信息三级骨干网络网际互连,中华人民共和国环境保护部(以下简称环境保护部)、各省级和市级环境保护部门内部局域网建设、机房建设和管理、以及网络测试方面的基本要求和技术指标.
本标准适用于环境保护部,全国省、自治区、直辖市、新疆生产建设兵团和市级环境保护部门;县级环境保护部门及各级环境保护部门直属单位亦可参照执行.
2规范性引用文件本标准内容引用了下列文件中的条款.
凡是不注日期的引用文件,其有效版本适用于本标准.
GB/T19668《信息化工程监理规范》GB/T20281-2006信息安全技术—防火墙技术要求和测试评价方法GB/T20275-2006信息安全技术—入侵检测系统技术要求和测试评价方法GB/T20278-2006《信息安全技术网络脆弱性扫描产品技术要求》GB/T20280-2006《信息安全技术网络脆弱性扫描产品测试评价方法》GB/T50311-2000建筑与建筑群综合布线系统工程设计规范YD/T1096-2001路由器设备技术规范-低端路由器YD/T1097-2001路由器设备技术规范-高端路由器YD/T1099-2001千兆比以太网交换机设备技术规范YD/T1170-2001IP网络技术要求-网络总体YD/T926.
1-2001大楼通信综合布线系统第1部分:总规则YD/T926.
2-2001大楼通信综合布线系统第2部分:综合布线用电缆、光缆技术要求YD/T926.
3-2001大楼通信综合布线系统第3部分:综合布线用连接硬件技术要求ISO/IEC11801-2002建筑物通用布线国际标准3术语和定义下列术语和定义适用于本标准.
3.
1环保系统电子政务内网全国环境保护系统各级环境保护局建设的用于电子公文传输、内部政务管理以及内部信息服务等的网络.
电子政务内网为独立的网络,必须与互联网和电子政务外网物理隔离.
3.
2环保系统电子政务外网全国环境保护系统各省、市、自治区环境保护局内部局域网通过专线互连,用于污染源监测数据传输、环保系统综合业务平台、以及数据共享的网络.
电子政务外网为全国性互连网络,该网络必须与互联网安全隔离.
3.
3环保系统城域网指环境保护部连接其在京环保单位所形成的网络;各省、自治区环境保护局连接其同城环境保护单位所形成的网络;直辖市、各城市级环境保护局连接其同城环境保护单位所形成的网络.
3.
4国家级环境信息广域网指环境保护部通过专线连接全国各省、自治区、直辖市环境保护局所形成的广域网.
3.
5省级环境信息广域网HJ/T2指省级环境保护局通过专线连接省、自治区内各城市级环境保护局所形成的广域网.
4缩略语DMZ非军事区DemilitaryZoneDNAT目的网络地址转换DestinationNATDNS域名系统DomainNameSystemFTP文件传输协议FileTransferProtocolHTTP超文本传输协议HypertextTransferProtocolICMP网间控制报文协议InternetControlMessagesProtocolIDS入侵检测系统IntrusionDetectionSystemIP网际协议InternetProtocolNAT网络地址转换NetworkAddressTranslationPOP3邮局协议3PostOfficeProtocol3SMTP简单邮件传送协议SimpleMailTransferProtocolSNAT源网络地址转换SourceNATVLAN虚拟局域网VirtualLocalAreaNetworkVPN虚拟专用网VirtualPrivateNetwork5全国环境信息网络建设原则和基本流程5.
1网络建设原则网络建设应根据以下主要原则组建:a)应满足各政务部门的应用业务系统的要求;b)应利用已有的网络资源,与已有的专用政务网络兼容;c)电子政务网络体系结构应以TCP/IP互连技术组建,即三层及三层以上统一采用TCP/IP协议栈,各种物理传输媒体之上采用多种协议栈的形式支持统一的IP层协议;d)应根据应用业务系统及安全保障的不同需求,满足可分级管理和控制等特殊需要,采用分布式组织架构进行分级、分权的管理;e)应是安全可靠、可管理、可控制和可扩展的网络,应具有服务分类和服务质量保障能力.
5.
2网络建设基本流程全国环境信息网络建设应该经过立项阶段、确定监理公司及签订合同、招标投标阶段、工程设计阶段、工程实施阶段、工程验收阶段和运行及维护阶段.
5.
2.
1立项阶段立项及可行性研究阶段在环境信息网络建设的整个生命周期中,属于前期阶段.
网络建设项目的建设方须向相应的政府管理部门提交立项申请报告及可行性研究报告,待相应部门批准及项目资金到位后,开展下一阶段的项目招投标工作.
立项阶段需编制立项申请报告和项目可行性研究报告.
报告应依据主管部门的要求和适用的技术标准编制.
5.
2.
2确定监理公司及签订合同根据《国务院信息化工作办公室、科学技术部、信息产业部关于印发《电子政务工程技术指南》的通知》(国信办[2003]2号)的第十六条规定:"电子政务工程建设要按照信息产业部《信息系统工程监理暂行规定》(信部信[2002]570号),加强电子政务工程监理市场的规范化管理,确保电子政务工程的安全和质量.
从事电子政务工程监理活动的单位要具备信息产业部信息系统工程监理的相应资质,同一工程的建设和监理要由相互独立的机构分别承担,监理单位要先于承建单位介入,没有确立监理单位的工程,建设单位不得开始建设.
",在招投标确定承建方之前,应确定监理合同,以便在技术上得到支持.
监理合同在工程中作用,可见GB/T19668《信息化工程监理规范》5.
2.
3招标投标阶段为了规范环境信息网络建设工程建设项目施工招标投标活动,所涉及的法规、管理规定和技术标准包括:a)《工程建设项目施工招标投标办法》;b)《计算机信息系统集成资质管理办法》;c)工程建设项目符合《工程建设项目招标范围和规模标准规定》(国家计委令第3号)规定的范HJ/T3围和标准的,必须通过招标选择施工单位.
任何单位和个人不得将依法必须进行招标的项目化整为零或者以其他任何方式规避招标;d)涉密系统集成单位必须经过保密工作部门资质认定,并取得《涉及国家秘密的计算机系统集成资质证书》,涉密系统建设单位应选择具有《涉及国家秘密的计算机系统集成资质证书》的集成单位来承建涉密系统;e)相关技术标准.
5.
2.
4工程设计阶段环境信息网络系统工程的设计阶段是保证工程质量的关键性环节,工程管理方应该重视工程设计的重要性.
承担工程设计任务的单位可以是:建设方、相关咨询或设计方、承建方.
建设方可以根据工程的实际情况来选择设计方.
承建方、建设方和监理方在网络建设工程设计应当遵循国家标准、行业标准和地方标准,并符合网络建设工程招标合同的要求.
5.
2.
5工程实施阶段环境信息网络建设工程实施应当符合国家标准、行业标准和地方标准,符合网络建设工程设计方案的要求.
5.
2.
6工程验收阶段重大项目的竣工验收,必须有信息化主管部门、质量技术监督部门推荐的专家参与评审;其他项目的竣工验收,建设单位应当根据工程备案管辖邀请市或者区、县信息化主管部门参加.
重大项目在验收前应当通过国家指定的测评认证机构的测试,未经测评认证的,不予验收.
信息网络建设工程验收应当符合国家标准、行业标准和地方标准,符合信息化工程招标合同的要求,涉及保密和隐蔽工程的验收参照相关规定.
从事工程验收设计的单位,应当执行有关的国家标准、行业标准和地方标准.
主管部门要在信息化建设中遵循《电子政务标准化指南》和《电子政务标准体系》.
5.
2.
7运行及维护阶段网络维护是环境信息网络正常运行的保证,必须给予充分的重视,并从人员、规章制度和资金等各个方面作好相应的安排.
应建立网络建设工程质量保修制度.
承建方应按合同,履行保修责任.
保修期自工程竣工验收合格之日起不得少于两年.
6全国环境信息骨干网网际互连6.
1网络结构及拓扑全国环境信息网络结构可分为三级网络,一级骨干网主要负责环境保护部至各省级、自治区、直辖市和新疆建设兵团环保局的网络互连;二级网络主要负责各省级、自治区至其所属城市环保局的网络互连和直辖市至其所属区、县级环保局的网络互连;三级网络主要负责各城市至其所属县、区级环保局的网络互连.
环境保护部为一级骨干网络核心节点,各省级、自治区、直辖市环保局为二级网络核心节点,各市级环保局为三级网络核心节点.
全国环境信息网络分为四级节点:环境保护部为一级节点,各省级、自治区、直辖市环境保护局为二级节点,各城市环境保护局为三级节点,各区、县环境保护局为四级节点,各级环境保护局直属单位可以根据其业务需要由各级环保局自行规划建设.
6.
1.
1互联网网际互连网络结构及拓扑互联网接口为全国各级环保部门连接国际互联网的出口,内部局域网(外网)为星型拓扑结构.
6.
1.
2广域网网络结构及拓扑全国环境信息广域网络主要包括环境保护部与各省级、自治区、直辖市、新疆生产建设兵团环保局的网络互连(一级网络),各省级、自治区、新疆建设兵团与其所属城市级环保局的网络互连(二级网络),各直辖市、城市至其所属县、区级环保局的网络互连(三级网络),广域网为星型拓扑结构.
6.
1.
3城域网络结构及拓扑全国环境信息城域网络主要包括:各级环保部门至同城直属单位的网络互连,城域网为星型拓扑结构.
6.
2链路和带宽6.
2.
1互联网链路和带宽互联网的链路由运行商提供,互联网的带宽由业务需求而定,以下为带宽升级的参考标准:当一条链路具有高的利用率,由于优先级高的流量还可以被正常的路由,业务应用质量还不是问题,Ping测试时所经历的延迟也不显著.
在这些情况下,可以不必升级带宽.
但是,如果优先级高的流量的可用带宽接近带宽的极限,那么就需要开始考虑升级带宽了.
如果网络正常业务流量长时间达到整个互HJ/T4联网带宽的70%,并且关键业务应用明显受到影响,在Ping测试时所经历的延迟显著,并伴随一定的丢包率,则须考虑互联网带宽升级.
6.
2.
2城域网链路和带宽环境保护部与在京环保单位的网络互连应采用专线连接,带宽不低于2M,总局连接总局信息中心数据中心带宽不低于100M.
各省级、自治区、直辖市、新疆建设兵团与其同城环保单位的网络互连可采用专线连接,带宽不低于2M.
6.
2.
3广域网链路和带宽环境保护部与各省级、自治区、直辖市、新疆建设兵团环保局的网络互连线路(一级网络)采用专线连接,带宽不低于6M.
各省级、自治区与其所属城市级环保局的网络互连(二级网络)可采用专线连接,带宽不低于2M.
各城市至其所属县、区级环保局的网络互连(三级网络)可采用VPN技术,带宽不低于512K.
6.
3网络接入设备标准6.
3.
1接入设备6.
3.
1.
1互联网接入设备互联网接入路由器可选择支持百兆带宽的中低端路由器.
6.
3.
1.
2城域网接入设备全国环境信息城域网络接入设备等级主要由设备所在节点角色功能来决定.
环境保护部与在京环保单位的网络互连,总局为一级核心节点,采用高端路由器,各在京环保单位可采用低端路由器.
各省级、自治区与同城环保单位的网络互连,各省、自治区环境保护局为二级核心节点,采用中高端路由器,各同城环保单位可采用低端路由器.
6.
3.
1.
3广域网接入设备全国环境信息广域网络主要包括环境保护部与各省级、自治区、直辖市环境保护局的网络互连(一级网络),总局为一级节点,应采用高端路由器.
各省级、自治区与其所属城市级环境保护局的网络互连(二级网络),各省级、自治区、直辖市环境保护局为二级节点,采用中高端路由器,各城市级环境保护局采用低端路由器.
6.
3.
2接入设备标准6.
3.
2.
1高端路由器高端路由器通常位于骨干网接入节点,为骨干网转发数据提供路由处理能力和传输带宽.
1.
高端路由器功能主要包括:a)路由器的功能特性b)通信规程c)协议要求d)路由协议e)接口类型f)网管协议等2.
高端路由器性能指标主要包括:a)吞吐量b)丢包率c)包转发率d)可靠性和安全性e)路由表容量f)接口转发时延等有关高端核心路由器的详细要求见YD/T1097-2001,《路由器设备技术规范-高端路由器》.
6.
3.
2.
2低端路由器低端路由器一般位于网络边缘,是通过数据转发包来实现连接一级网与二级网的路由器.
1.
高端路由器功能主要包括:a)路由器的功能特性b)通信规程c)协议要求HJ/T5d)路由协议e)接口类型f)网管协议等2.
高端路由器性能指标主要包括:a)接口转发时延b)丢包率c)包转发率d)内存容量等有关低端核心路由器的详细要求见YD/T1096-2001,《路由器设备技术规范-低端路由器》.
路由器性能标转请参见附录C路由器性能指标6.
4网络安全设备标准6.
4.
1安全设备6.
4.
1.
1互联网安全设备互联网接入的安全设备可以选择支持百兆带宽的中低端防火墙.
并可根据实际情况部署入侵检测设备、上网行为管理设备、流量管理设备等安全产品.
6.
4.
1.
2广域网和城域网安全设备在全国环境信息广域网和城域网建设中网络安全设备主要是指防火墙设备,入侵检测系统和网络脆弱性扫描系统.
环境保护部、各省级、市级环保局必须在网络节点部署防火墙、入侵检测系统和网络脆弱性扫描系统,区、县级环保局可以采用软件防火墙.
6.
4.
2防火墙设备标准防火墙作为一个或一组在不同安全策略的网络或安全域之间实施访问控制的系统,通用技术要求分为功能、性能、安全和保证要求四大类.
1.
防火墙设备主要功能如下:a)包过滤b)应用代理c)内容过滤d)NATe)动态开放端口f)VPNg)安全审计h)安全管理等2.
防火墙设备主要性能指标如下:a)吞吐量b)延迟c)最大并发连接数d)最大连接速率3.
安全要求是对防火墙自身安全和防护能力提出具体的要求,例如:a)抗渗透b)恶意代码防御c)系统应构建于安全增强的操作系统之上4.
保证要求则针对防火墙开发者和防火墙自身提出具体的要求,例如:a)管理配置b)交付与操作c)指南文件等防火墙等级分为一级、二级、三级三个逐级提高的级别,功能强弱、安全强度和保证要求高低是等级划分的具体依据.
安全等级突出安全特性,性能高低不作为等级划分依据.
详细划分情况见:附录D防火墙安全等级划分有关防火墙设备要求详见:GB/T20281-2006《信息安全技术防火墙技术要求和测试评价方法》6.
4.
3入侵检测设备标准HJ/T6入侵检测设备可分为主机型入侵检测系统和网络型入侵检测系统,可划分为三个等级.
三个逐级提高的级别,功能强弱、安全强度和保证要求高低是等级划分的具体依据.
1.
入侵检测设备主要功能如下:a)数据探测b)入侵分析c)入侵响应d)管理控制e)检测结果处理f)安全审计2.
入侵检测设备主要性能指标如下:a)误报率b)漏报率有关入侵检测系统要求详见:GB/T20275-2006《信息安全技术入侵检测系统技术要求和测试评价方法》6.
4.
4网络脆弱性扫描系统网络脆弱性扫描是网络安全防御中的一项重要技术,其原理是对采用的安全策略和规章制度进行评审,发现不合理的地方,采用模拟攻击的形式对目标可能存在的已知网络脆弱性进行逐项检查,确定存在的安全隐患和风险级别.
使用网络脆弱性扫描产品可自动对计算机系统进行安全评估分析,对网络进行检查,发现其中可能被利用的脆弱性,并提出解决的建议或自动进行修复,提高网络系统的安全性能,达到在入侵发生之前及时弥补系统及网络安全脆弱性,消除入侵隐患的目的,保证网络安全的运行.
网络脆弱性扫描主要功能如下:a)自身安全要求b)脆弱性扫描c)网络旁路检查d)信息获取e)端口和服务扫描f)授权管理员访问g)扫描结果分析处理h)扫描策略定制i)扫描对象的安全性等网络脆弱性扫描主要性能指标如下:a)速度b)稳定性c)容错性有关网络脆弱性扫描产品详见:GB/T20278-2006《信息安全技术网络脆弱性扫描产品技术要求》和GB/T20280-2006《信息安全技术网络脆弱性扫描产品测试评价方法》.
6.
5网络管理平台标准6.
5.
1网络管理软件系统平台主要功能要求全国环境信息网络网管系统主要功能包括:故障管理、性能管理、拓扑管理、综合视图呈现等.
6.
5.
1.
1故障管理a)网络全面监控,集成整个网络的告警/故障事件信息,统一处理、呈现和分析告警/故障事件信息,以便提高网络事件处理效率.
b)实现告警/故障事件信息的实时交换,通过将这些事件信息进行集中的相关性和关联性分析,可以使操作维护人员迅速找到根源问题所在,并能够通过这些相关联的事件信息,确定对网络承载业务的影响情况.
6.
5.
1.
2网络性能管理a)通过专用网络管理工具监测网络性能,对全国环境信息网络运行状况进行监控,通过性能管理,判断网络的运行质量、运行效率、流量流向以及连通率水平等.
网络性能监控制定性能测量的标准和手段,分析网络服务的趋势和行为,在发现性能下降时立即报告,使管理员及时采取措施进行处理.
HJ/T7b)生成的性能报告必须提供实时和历史的性能报告,可以实时查看每个性能当前的状态和服务水平状态,并查看详细的性能曲线,报告包括小时、三小时、天、周、月报表.
性能报表可以按照每个配置文件的要求分发到相应的Web站点上.
运行在不同地点的监视器报表可以汇集到某个集中的地点,从而可以完整地反映出服务的性能状况.
6.
5.
1.
3网络拓扑管理a)网络拓扑管理系统能提供准确的网络三层、二层连接视图,可以清楚的反映网络实际的物理连接,发现网络拓扑结构包括网络所有节点之间的连接关系,如交换机划分的VLAN、每个VLAN包含的端口、端口连接的节点,路由器的端口,其连接的设备,服务器或PC地址、连接在交换机的哪个端口上,通过这些网络连接信息构建完整的网络拓扑视图.
在其拓扑图中,可以准确的标识出PC或服务器是通过哪个交换机进行连接,属于交换机的哪个VLAN,交换机与路由器之间是如何连接的,而且精确到物理端口一级.
b)网络拓扑管理系统能针对不同用户,定制用户的拓扑查看权限.
6.
5.
1.
4综合视图呈现网络管理软件系统综合视图呈现须具备以下特点:a)灵活直观,根据管理需要和习惯定义适合客户的实时监控界面,这种界面可以综合网络的信息,而不是单个功能的简单呈现,因此管理界面可以更加切合运维的监控需要和领导了解全网状况的需要b)集成,由于采用浏览器界面,不同的管理功能之间更容易集成,可以真正建立网管的统一界面,并实现不同功能的互操作.
c)分权,不同的管理人员根据管理权限和职能,可以定义不同的管理界面,可以使用的工具,可以查看的事件,可以访问的拓扑等等.
这种分权管理能力,可以充分保证国家环保局网络管理分布式管理的需要,可以充分支持不同网络的分权管理,保证每个操作维护人员只查看和处理自己的拓扑信息、事件信息.
实现各网络设备的统一管理.
6.
6网络互连协议及典型业务协议全国环境信息网络骨干网网际互连协议选择TCP/IP协议,并基于TCP/IP协议可以开展如下典型业务.
1.
Web业务a)基本技术基于Web技术,为了增强多媒体检索的功能,采用JAVA、公共网关接口(CGI)等技术,以适合各种场合的需要.
b)协议及标准通信协议:超文本传送协议(HTTP).
c)多媒体信息检索业务可应用于:新闻、信息查询、课程培训、文化教育、法律、法规、广告等.
2.
E-maila)基本技术利用电子邮件技术b)协议及标准通信协议:简单邮件传输协议(SMTP)、POP3.
c)电子邮件业务可应用于:接收信件、发送信件、文件转发等.
3.
FTPa)基本技术利用异地主机的FTP文件交换或用Telnet仿真终端接入,完成远程异地科学计算及信息处理.
b)协议及标准通信协议:FTP等.
c)科学计算及信息处理业务可应用于:翻译业务、软件共享业务、远程计算机辅助设计业务等.
4.
虚拟专用网(VPN)业务a)基本技术在IP网上实现VPN业务,就是使用加密的IP隧道,实现专有IP包和其他网络协议(IPX、NetBEUI等)包在Internet上传输,从而实现不同的虚拟专用网(VPN).
b)协议和标准HJ/T8点对点隧道协议:点到点隧道协议(PPTP).
第二层隧道协议:第2层隧道协议(L2TP).
第三层隧道协议:通用路由协议GRE(参见RFC1071/1072).
IP安全协议:IPSec协议.
c)虚拟专用网(VPN)业务可应用于:内联网互连、外联网互连、远程用户接入等.
有关IPVPN业务的具体要求参见相关的标准.
5.
多媒体会议业务a)基本技术基于TCP/IP的会议业务.
由于LAN上业务质量得不到保证,因而图像编码和语音编码都要尺度可伸缩的.
为保证实时及同步的要求,实时信息(视频音频)RTP、RTCP、UDP协议栈,数据信息用TCP协议栈.
为了进一步保证一定的质量,要有一定的信道带宽预约机制.
b)协议和标准通信协议:H.
323、H.
225、RTP、UDP、HTTP.
服务质量协议:RSVP、Diffserv.
语音编码协议:G723.
1、G.
729.
图像编码协议:H.
263.
多点会议协议:T.
120协议、T.
130协议.
c)多媒体会议业务可应用于:专网或虚拟专网中的多媒体会议业务、公众多点多媒体会议业务等.
6.
7全国环保系统IP地址规划6.
7.
1原则a)国家电子政务网络地址统一规划,中央和地方分级管理,支持各部门、各地方网络的互连b)IP地址的分配应具有层次性、连续性,以提高IP地址利用率、减少路由表表项;6.
7.
2政务内网地址政务内网网络地址分为三类:系统地址、共享地址和互联地址.
各部门内部网络使用系统地址,部门间、系统间网络互通使用共享地址或互联地址.
a)系统地址:是指部门内部网络的设备地址和接入政务内网所需使用的地址,包括个人主机地址、部门网络设备地址、部门应用服务器地址等.
b)共享地址:是指用于政务内网中提供信息服务的主机地址.
c)互联地址:包括链路地址(网络设备间的点对点互联地址)和设备管理地址.
对未使用本规划地址的网络设备,在连接政务内网进行设备地址转换时,采用互联地址.
互联地址分配到用户接入设备的上连(网络侧)端口,不包含用户内部网络接入政务内网所使用的地址.
6.
7.
3政务外网地址政务外网的网络地址包括用户地址和互联共享地址.
各部门内部网络使用用户地址,部门间、系统间网络互通使用互联共享地址.
a)用户地址:是指部门内部网络的设备地址和接入政务外网所需使用的地址,包括个人主机地址、部门网络设备地址、部门应用服务器地址等.
此地址作为政务外网内部地址专用,不使用于互联网.
b)互联共享地址:是指政务外网中提供信息服务的主机地址,该地址能够在整个政务外网范围内被访问.
互联共享地址包括链路地址(网络设备间的点对点互联地址)和设备管理地址,互联共享地址分配到用户接入设备的上连(网络侧)端口.
6.
8全国环保系统域名管理6.
8.
1原则a)国家电子政务网络的域名系统统筹规划,中央和地方分级管理.
b)域名命名主要采用中文域名,辅以英文域名.
中文域名的命名应符合中文书写的特点.
c)政务内网域名系统采用三级域名管理,政务外网域名系统可采用多级域名管理.
6.
8.
2中文域名6.
8.
2.
1使用原则a)不使用含有"China"、"Chinese"、"CN"、"National""中国"、"中华"字样的名称;b)不应使用其它国家或地区名称、国外地名、国际组织名称;c)不应使用行业名称或商品名称;HJ/T9d)不应使用他人已在中国注册过的企业名称或者商标名称;e)不应使用对国家、社会或者公共利益有损害的名称.
6.
8.
2.
2语法中文域名语法规则如下:域::=::=|::=.
|.
::=::=|::=|::=|||::=[A.
.
Z]|[a.
.
z]::=[0.
.
9]::=-在中文域名中,不区分英文字母大小写,即A和a在域名中是等同的.
域名必须以汉字或字母或数字开始,以汉字或字母或数字结束,内部可以使用汉字、字母、数字和连字符.
域名字段必须小于64个字节.
字母、数字、".
"和连字符是指GB/T1988-1998中规定的字符,汉字和".
"是指GB18030-2005中规定的字符.
为了区分中文域名和英文域名,所输入的中文域名应当至少出现一个非GB/T1988-1998的字符.
6.
8.
3结构中文域名采用三级结构.
其中地方名称按照GB/T2260的规定命名.
6.
8.
4英文域名英文域名使用原则同中文域名使用原则,见5.
9.
2.
1.
域名均在从域名管理部门申请的域名下,下一级域名为各省级环境保护局名、各下级单位域名由上级部门统一管理,再下一级域名由分配到次一级域名的各省自定.
域名中省、市、自治区的缩写遵照《中国互联网络域名注册暂行管理办法》执行.
全国环境信息网络系统域名命名规则请见表1.
1附录A:全国环境信息网络系统域名命名规则7全国环境信息局域网网络建设7.
1电子政务内网局域网网络建设7.
1.
1网络平台7.
1.
1.
1网络选型网络结构选用星型拓扑结构,支持或扩展后能够支持三层交换技术;局域网应使用TCP/IP协议,所需IP地址要使用私有内部地址,内部IP地址的使用必须由各单位、各部门统一规划,统一配置;局域网须支持以太网协议,网络主干的传输速率不低于1000Mbit/s,到桌面的传输速率不低于100Mbit/s.
7.
1.
1.
2网络接口设备核心网络设备网络接口速率不低于1000Mbit/s;网络设备网络接口速率不低于100Mbit/s;为客户端提供接入服务的交换设备接口速率不低于100Mbit/s.
核心应用服务器端均应配备速率不低于1000Mbit/s的网络接口卡;普通应用服务器端均应配备速率不低于100Mbit/s的网络接口卡;客户端应尽量选用兼容性强的网卡,并且传输速率不低于100Mbit/s.
7.
1.
1.
3网络交换设备网络交换设备主要应用于局域网络建设,分为汇聚层交换设备和接入层交换设备,汇聚层交换设备应使用千兆比以太网第3层交换设备,接入层交换设备应使用千兆比以太网第2层交换设备.
1.
千兆比以太网第3层交换设备千兆比以太网第3层交换设备是拥有第3层路由功能的以太网交换设备,主要功能除实现数据帧转发功能外,第3层交换设备能根据收到的数据包中网络层地址以及交换设备内部维护的路由表决定输出端口以及下一条交换设备地址或主机地址,并且重写链路层数据包头.
第3层交换设备路由表必须动态维护来反映当前的网络拓扑.
千兆比以太网第3层交换设备主要功能包括:HJ/T10a)接口功能b)逻辑链路层功能c)数据帧转发功能d)数据帧过滤功能e)IP包转发功能f)路由信息维护功能g)维护决定数据帧转发及过滤的信息h)运行维护和网络管理功能有关千兆比以太网第3层交换设备详细要求见YD/T1099-2001《千兆比以太网交换机设备技术规范》中相应的要求.
2.
千兆比以太网第2层交换设备千兆比以太网第2层交换设备通常拥有多个千兆比特以太网口,以硬件实现MAC层报转发.
千兆比以太网第2层交换设备主要功能包括a)接口功能b)业务量控制功能c)VLAN功能d)支持组播功能e)支持带宽管理f)管理维护g)支持生成树功能有关千兆比以太网第2层交换设备详细要求见YD/T1099-2001,《千兆比以太网交换机设备技术规范》中相应的要求.
7.
1.
1.
4网络服务器在服务器的选型标准上,应考虑Web服务器、应用服务器、数据库服务器等,以保证数据库资源中心数据的统一、完整、安全的存放.
服务器需要有强大的数据处理能力,提供并行处理功能和负载均衡措施.
当多个用户同时在线访问数据库时,保证系统能够正常运行;当系统未来的业务量增加时,应通过系统升级平滑地适应用户的要求;作为系统的核心处理部件,服务器应有足够的容量,提供海量级数据的存储能力和强大的处理能力,保障高响应速度;它应具备可靠的数据备份和恢复工具,应付可能出现的意外;服务器应具有高可靠性、高可用性,保证系统能够长时间无故障运行.
因此,服务器的设计与选型必须满足如下总原则.
a)一体化原则对于硬件产品和系统软件应作为一个有机的整体来考虑,包括包内部各组成部分的合理性、兼容性和一致性.
因此需考虑硬件产品与系统软件之间的合理性、兼容性和一致性.
b)兼容性和可扩展性考虑到整个国家环境数据中心,以及整个环境数据共享平台建设项目,从目前和发展的角度考虑各种软硬系统的兼容性和可扩展性.
c)可靠性,易维护原则要求选择成熟、可靠的主流产品,保证系统高可靠性,高可管理性,易操作性,有良好的售后服务和承诺支持.
d)标准化原则所选产品需遵循国际通用标准和行业规范.
e)前瞻性原则所选服务器必须是当前成熟的产品,同时还应满足先进性要求.
在网络服务器选型中,如使用计算机集群技术、负载均衡技术、单元组合技术,配以N层模式,还需考虑:a)采用高可用集群系统,保证系统的不间断运行;必须具有足够的CPU处理能力、内存、外存容量;b)CPU数量、内存、内置或外置硬盘容量、I/O及系统本身都有能满足未来要求的扩展能力,以适应处理大数据量及系统发展的需要;c)数据的存放采用高可靠性的数据存储管理系统,并对重要的数据有可靠的备份机制,硬盘应具HJ/T11有工业标准的热插拔功能,保证更换硬盘时系统仍能继续正常运行;d)操作系统必须具有C2级以上的安全性,运行稳定可靠,支持大规模数据库系统,界面友好,方便管理维护和应用软件开发,并保证应用软件有良好的可移植性.
7.
1.
2网络存储设备存储设备可根据实际需求选用合适容量的存储设备,选用专门的存储备份系统和专用的备份服务器,并制定相应的存储备份及恢复方案.
如大容量硬盘、磁盘阵列、带库等.
7.
1.
3网络综合布线7.
1.
3.
1综合布线系统设计综合布线系统应在充分考虑信息点分布和数量的基础上,统筹规划,合理设计,精心施工.
信息点分布和数量应能至少满足未来2-3年内的应用和用户需求,避免短期内重复施工.
在综合布线系统中,布线硬件主要包括:配线架、传输介质、通信插座、插座板、线槽和管道等.
综合布线包括六个子系统:工作区子系统、水平布线子系统、管理子系统、干线子系统、设备间子系统和建筑群主干子系统.
7.
1.
3.
2综合布线设计基本步骤a)获得建筑物平面图:这是整个综合布线系统的设计基础,因为无论哪个子系统都直接与建筑物结构平面图息息相关.
b)分析用户需求:具体选择哪种布线方式,哪个工作区布置多少个信息点,干线系统采用什么电缆,配线间和设备间打算安排在哪个位置等,都在相当大程度上是由分析用户需求基础决定的.
c)布线系统结构设计:这是综合布线系统设计的开始,主要完成布线系统的总体结构,特别是各工作区、水平子系统的布线系统设计.
d)布线系统的路由设计:这一步是完成整个布线系统中各个工作间子系统通过干线子系统与设备间子系统、管理子系统的路由连接设计,以及建筑群子系统(可选)之间的路由连接设计.
e)绘制布线施工图:这个施工图要对一些关键信息点、交接点、电缆拐点等位置的施工注意事项和布线线槽(或线管)规格、材质等进行详细的标注或说明.
f)编制布线用材料清单:编制具体布线施工中用到的材料清单,布线材料包括各种规格的电缆(如双绞线、光纤)、水晶头、跳线、配线架、线槽、线管等.
7.
1.
3.
3综合布线各主要组成部分设计a)工作区子系统工作区子系统是整个布线系统的终端子系统,是用户的最终工作区,包括终端设备(如计算机、电话等)到信息插座的的区域.
在用户工作区的信息插座要能同时提供相应功能的接口,语音接口是电话线RJ-11接口,数据用户接口是RJ-45双绞线接口,多媒体用户是单模光纤接口(LX),或多模光纤接口(SX),以满足多媒体用户的高带宽需求;注意工作区电缆总长度不能超过10m;最后,根据各工作区的用户需求决定具体信息点的数量.
b)水平子系统水平子系统是指从楼层配线间到工作区信息插座之间的连接,经过工作区信息插座、楼层配线间的配线架,最终是楼层各级交换机端口.
设计该子系统时要针对用户对带宽的需求选择相应的传输介质,目前一般是超5类、6类双绞线和光纤;要充分考虑到走线的距离,尽量采用最短路径方式,一定要位直,也应尽量以水平或垂直方式走线.
通常在水平子系统中是以双绞线为传输介质的,这就要求整个水平自系统布线长度不能大于90m.
如果是光纤则基本没有限制.
c)垂直子系统垂直子系统又叫干线子系统,指提供建筑物的主干电缆的路由,是实现中心配线架与楼层配线架、PBX(用户交换机)、控制中心与各管理子系统间的连接.
垂直子系统布线通常是通过弱电竖井统一布线的,所采用的电缆通常采用光纤,光线主要为62.
5/125μm多模光纤或10/125μm单模光纤.
d)设备间子系统设备间是在每幢大楼的适当地点设置进线设备,进行网络管理以及管理人员值班的场所.
设备间子系统的电话、数据、计算机主机设备及其保安配线设备宜集中设在一个设备间内,机架设备可以通过机柜统一安装在一起.
e)管理子系统管理子系统设置在楼层配线房间,是水平系统电缆端接的场所,也可是主干系统电缆端接的场HJ/T12所;由大楼主配线架、楼层分配线架、跳线、转换插座等组成.
可以在管理子系统中更改、增加、交接、扩展线缆,用于改变线缆路由.
f)建筑群子系统建筑群子系统是实现建筑之间的相互连接,提供楼群之间通信设施所需的硬件.
光纤、水平线接口模块和面板需符合国家标准GB/T50311-2000《建筑与建筑群综合布线系统工程设计规范》.
大楼综合布线,以及选用的电缆、光缆、各种联接器、跳线和配线等所有配件,均应符合ISO/IEC11801-2002《建筑物通用布线国际标准》.
7.
1.
4安全平台7.
1.
4.
1网络防病毒系统局域网内计算机在20台以上的网络中应部署网络版防病毒系统,20台以下的网络中可部署单机版防病毒软件.
1.
网络版防病毒系统便于维护和管理,安装专用的集中管理服务器,用做病毒的防、控系统中心.
这个监控中心的具备以下功能:a)强大、灵活的管理和任务调度手段,可以通过中心控制台,集中地实现全网范围内防毒策略的定制、分发和执行.
b)通过控制台,集中地实现所有节点上防毒软件的监控、配置、查询等管理工作.
能够通过控制台看到客户端的病毒版本、查杀毒记录及各种日志信息.
c)负责病毒扫描引擎和代码库的更新,并能将此扫描引擎和代码库自动提供给各种服务器和工作站.
d)提供多种软件安装和软件升级的手段,必须提供远程安装客户端、基于WEB的软件安装和手动、定时病毒库版本升级功能.
e)提供远程病毒报警手段,网内任何一台计算机上发现病毒时,杀毒软件自动将病毒信息传递给网络防病毒监控中心.
f)分组管理:对所有的网络终端结点进行任意分组.
可将不同物理地点的服务器分组,对于客户端也可根据配置的需要分组,包括设置客户端密码、实时监控客户端配置、统一刷新客户端状态、统一发送广播、查询历史记录等.
不同组可以执行不同的防病毒策略.
g)传染源统计功能:网络中一旦有病毒发作,部署防病毒软件的众多机器就可以将传染源机器的IP或机器名记录下来,在管理控制台上生成传染源排行榜,便于掌握网络中的薄弱节点并快速采取措施.
h)扫描有防病毒部署漏洞的计算机:通过防毒系统自带的客户机漏洞扫描工具,可以将网络中所有客户机做一个整体的扫描,将没有安装防病毒客户端软件的计算机的IP地址,计算机名字,操作系统等详细的信息生成报表,便于防病毒管理人员及时定位网络中未安装防病毒软件的计算机.
2.
网络防病毒系统客户端基本功能:a)应用层病毒的防护:客户机的文件共享,访问WEB网页,客户端收发邮件等应用进行全面防护,彻底消除应用层病毒对客户机的破坏,保证所有用户都有一个干净、安全的平台;b)网络层病毒的防护:直接在网络层针对像冲击波、震荡波等病毒的攻击包进行清除,降低的网络病毒的危害,提高了病毒的防护效果;c)病毒爆发阻止策略:应用该策略能够有选择性的关闭某些病毒攻击网络服务器和客户机的端口或共享文件夹等,从而阻挡大量的蠕虫病毒在网络中大面积爆发,保护用户网络中的所有计算机不受到病毒攻击.
当网络内部不幸遭遇到新病毒攻击而病毒码还未更新时,利用病毒爆发阻止策略能够将新病毒所利用的网络漏洞和系统漏洞完全堵死,让还没有进来的病毒进不进来,让已经进来的病毒无法扩散;d)集成网络版防火墙和IDS抵御复合式攻击:通过防火墙在客户机和网络之间创建屏障,来帮助保护客户机免受黑客和网络病毒的侵扰,同时,IDS确保客户机不受到内部或外部的入侵攻击,确保内部网络计算机的系统安全和资料安全;e)集成病毒专杀工具,清除病毒更彻底:病毒专杀工具和客户端防病毒软件无缝集成,专杀工具的扫描引擎和病毒码可以自动更新;f)抵御间谍软件和其他类型灰件的侵害:防病毒网络版下载间谍软件/灰件特征码文件以保护网HJ/T13络内计算机免受病毒之外各种潜在威胁(包括广告软件和间谍软件)的侵害.
3.
单机版防病毒软件可以参照网络防病毒系统客户端基本功能.
7.
1.
4.
2网络安全域逻辑划分电子政务内网安全域只包含内部域.
内部域主要是指内部局域网的办公、运维和应用计算机,在内部域中又可以划分为:各业务用户域(按照职能部门)、内部平台域、管理员域等.
各业务用户域主要是指办公人员按照所在职能部门划分的逻辑区域;内部平台域主要是指内部应用服务器,管理员域是指运维人员办公设备所在用区域.
在环境信息网络电子政务内网建设中通过配置三层交换设备来划分内部域,将各业务用户域按照办公人员所在职能部门划分VLAN,将内部平台域和管理员域划分VLAN,并可根据业务需求划分更多的VLAN.
7.
1.
5用户平台用户平台主要包括客户计算机、桌面操作系统、浏览器及客户端应用软件等7.
1.
5.
1用户操作系统计算机须安装Windows98版本以上,或linux的操作系统,具有较强网络功能;系统操作便捷,运行稳定;具备容错能力和故障恢复能力;支持图像、图形界面、视频、音频等多媒体功能;支持汉字输入(国标码)环境;支持多客户、多线程、多处理工作方式.
7.
1.
5.
2用户应用软件用户计算机应安装计算机防病毒客户端、Web浏览器、办公管理软件等应用软件.
对于带有安全漏洞,黑客程序的应用软件严禁下载和安装.
7.
2电子政务外网局域网网络建设7.
2.
1网络平台7.
2.
1.
1网络选型网络结构选用星型拓扑结构,支持或扩展后能够支持三层交换技术;局域网应使用TCP/IP协议,所需IP地址要使用私有内部地址,内部IP地址的使用必须由各单位、各部门统一规划,统一配置;局域网须支持以太网协议,网络主干的传输速率不低于1000Mbit/s,到桌面的传输速率不低于100Mbit/s.
7.
2.
1.
2网络传输设备核心应用服务器端均应配备速率不低于1000Mbit/s的网络接口卡;普通应用服务器端均应配备速率不低于100Mbit/s的网络接口卡;客户端应尽量选用兼容性强的网卡,并且传输速率不低于100Mbit/s.
7.
2.
1.
3网络交换设备见章节7.
1.
1.
37.
2.
1.
4网络服务器见章节7.
1.
1.
47.
2.
2网络存储设备见章节7.
1.
27.
2.
3网络综合布线见章节7.
1.
37.
2.
4安全平台7.
2.
4.
1网络防病毒系统见章节7.
1.
4.
17.
2.
4.
2网络安全域逻辑划分电子政务外网安全域可以划分为三个大区域,分别是外部域、接入域(DMZ区域)和内部域,安全等级从低到高,内容如下:1.
外部域主要是指各级环保部门连接的外部网络.
2.
接入域(DMZ区域)主要指各级环保部门与外部接入部分和对外提供服务的逻辑边界部分,如各级环保部门对外提供访问的WEB服务器、MAIL服务器等.
3.
内部域主要是指局域网的办公、运维和应用计算机,在内部域中又可以划分为:各业务用户域(按照职能部门)、内部平台域、管理员域等.
各业务用户域主要是指办公人员按照所在职能部门划分的逻辑区域;内部平台域主要是指内部应用服务器,不需要向外发布的逻辑区域;管理员域是指运维人员办公设备所在用区域.
HJ/T14在环境信息网络电子政务外网建设中可以通过配置防火墙来划分外部域、接入域和内部域这三大区域;通过配置三层交换设备来划分内部域,将各业务用户域按照办公人员所在职能部门划分VLAN,将内部平台域和管理员域划分VLAN,并根据业务需求划分更多的VLAN.
8全国环境信息网络机房建设8.
1机房建设8.
1.
1机房建设的指导思想a)合理分布工作空间及各类设备安装场所,缩短工艺流程,降低劳动强度,提高工作效率,确保电子设备系统稳定可靠运行,保障机房工作人员良好的工作环境,并且以国家有关标准及规范为依据.
b)根据实际需求与现场实际情况以及电子设备系统实际操作运行等情况进行设计,力求在设计、选材中做到整体布局的合理化和科学化.
c)机房各项功能完整配套,达到专业规范、技术先进、经济合理、安全适用、质量优良、管理方便之目的.
d)在经济实用的前提下,选择优质机房专用装修材料,主体装修材料宜选用吸音效果好、不易变形、变色、易清洁、防火性好,且高度耐用的材料,达到最佳装修效果.
e)室内控制设备、电器设备、布线系统的选材注重其可靠性,全部采用符合国家标准的优质产品,以确保系统投入运行后故障率为最低.
8.
1.
2机房总体建设8.
1.
2.
1机房土建结构方面的要求a)电子计算机机房的建筑平面和空间布局应具有适当的灵活性,主机房的主体结构宜彩大开间大跨度的柱网,内隔墙宜具有一定的可变性.
b)主机房净高,依机房面积大小而定,一般为2.
5m~3.
2m.
c)电子计算机机房的楼板荷载依设备而定.
一般分为两级.
A级:≥500Kg/m2B级:≥300Kg/m2d)空调设备、供电设备用房的楼板荷重应依据设备重量而定,一般应≥1000Kg/m2或采用加固措施e)电子计算机机房主体结构应具有耐久、抗震、防火、防止不均匀沉陷等性能.
变形缝和伸缩缝不应穿过主机房.
f)主机房中各类管线宜暗敷,当管线需穿楼层时,宜设技术竖井.
g)室内顶棚上安装的灯具、风口、火灾控测器及喷嘴等应协调布置,并应满足各专业的技术要求.
h)电子计算机机房围护结构的构造和材料应满足保温、隔热、防火等要求.
i)电子计算机机房各门的尺寸均应保证设备运输方便.
8.
2机房环境8.
2.
1机房地点电子计算机机房位置选择应符合下列要求:a)水源充足,电力比较稳定可靠,交通通讯方便,自然环境清洁.
b)远离产生粉尘、油烟、有害气体以及生产或贮存具有腐蚀性、易燃、易爆物品的工厂、仓库,堆场等.
c)远离强振源和强噪声源.
d)避开强电磁场干扰.
e)电子计算机机房在多层建筑或高层建筑物内宜设于第二、三层.
f)空气含尘量:机房应保持清洁,空气中大于0.
5Micron的杂质在每立方英尺不得多于45,000个,若空气中灰尘过多很容易造成资料读写错误及磁盘机中磁盘或读写磁头损毁.
注:机房颤动度:不得高于0.
5g.
磁场杂波干扰:机房附近无线电杂波干扰,应低于0.
5伏特/米(频率范围从14KHz到1GHz).
8.
2.
2机房面积计算机机房最小使用面积不得小于50平米,除了系统安放之外,应预留足够的空间作安装、维修及操作之用.
另外,还应预留空间作系统扩展之用.
计算机使用面积一般按照以下两种方法之一确定:HJ/T15第一种方法:当计算机系统设备已选型时,可按此公式计算:A=k∑S………………(1)此公式中:A——计算机主机房使用面积(m2);K——系数,取值为5~7;S——计算机系统及辅助设备的投影面积(m2);∑S——机房内所有设备占地面积的总和(m2);第二种方法:当计算机系统设备尚未选型时,可按此公式计算:A=KN………………(2)此公式中:A——计算机主机房内使用面积;K——单台设备占用面积,可取4.
5~5.
5(m2/台)N——计算机主机房内所有设备的总台数8.
2.
3机房内部环境要求8.
2.
3.
1机房温、湿度a)主机房、基板工作间内的温、湿度必须满足计算机设备要求;b)计算机机房内温、湿度应满足下列要求:1)开机时计算机机房内的温、湿度符合表1的规定2)关机时计算机机房内的温、湿度符合表2的规定表1开机时计算机机房内的温、湿度A级B级级别项目夏季冬季全年温度23±2℃20±2℃15~30℃相对湿度45%~65%40%~70%温度变化率﹤5℃/h并不得结露40万小时系统故障恢复时间300火灾探测器的种类地面面积S(m2)房间高度h(m)A(m2)R(m)A(m2)R(m)A(m2)R(m)S≤80h≤12806.
7807.
2809.
0680h≤6605.
8807.
21009.
0S≤30h≤8304.
4304.
9305.
5感温探测器S>30H≤8203.
6304.
9406.
3HJ/T37
26全国环境信息骨干网网际互连.
37全国环境信息局域网网络建设.
98全国环境信息网络机房建设.
149全国环境信息网络验收测试标准.
21附录A(规范性附录)全国环境信息网络系统域名命名规则29附录B(规范性附录)全国环境信息网络IP地址规划表.
31附录C(资料性附录)路由器性能指标32附录D(规范性附录)防火墙安全等级划分33附录E(资料性附录)防火墙性能指标35附录F(规范性附录)对不同高度房间的火灾探测器的选择.
36附录G(资料性附录)感烟、感温探测器的保护面积和保护半径36HJ/TII前言为加强对全国环境信息网络建设的统一规范,保障环境业务数据的有效传输和信息共享,实现全国环境保护部门网络的互联互通,制定本标准.
本标准规范了全国环境信息网络建设的原则、基本流程;骨干网络建设、局域网络建设;IP地址和域名的规划以及机房建设的技术要求.
本标准附录A、附录B、附录D、附录F为规范性附录,附录C、附录E、附录G为资料性附录.
本标准为首次发布.
本标准为指导性标准.
本标准由环境保护部科技标准司提出.
本标准主要起草单位:环境保护部信息中心.
本标准环境保护部20年月日批准.
本标准自20年月日起实施.
本标准由环境保护部解释.
HJ/T1环境信息网络建设规范1适用范围本标准规定了全国环境信息三级骨干网络网际互连,中华人民共和国环境保护部(以下简称环境保护部)、各省级和市级环境保护部门内部局域网建设、机房建设和管理、以及网络测试方面的基本要求和技术指标.
本标准适用于环境保护部,全国省、自治区、直辖市、新疆生产建设兵团和市级环境保护部门;县级环境保护部门及各级环境保护部门直属单位亦可参照执行.
2规范性引用文件本标准内容引用了下列文件中的条款.
凡是不注日期的引用文件,其有效版本适用于本标准.
GB/T19668《信息化工程监理规范》GB/T20281-2006信息安全技术—防火墙技术要求和测试评价方法GB/T20275-2006信息安全技术—入侵检测系统技术要求和测试评价方法GB/T20278-2006《信息安全技术网络脆弱性扫描产品技术要求》GB/T20280-2006《信息安全技术网络脆弱性扫描产品测试评价方法》GB/T50311-2000建筑与建筑群综合布线系统工程设计规范YD/T1096-2001路由器设备技术规范-低端路由器YD/T1097-2001路由器设备技术规范-高端路由器YD/T1099-2001千兆比以太网交换机设备技术规范YD/T1170-2001IP网络技术要求-网络总体YD/T926.
1-2001大楼通信综合布线系统第1部分:总规则YD/T926.
2-2001大楼通信综合布线系统第2部分:综合布线用电缆、光缆技术要求YD/T926.
3-2001大楼通信综合布线系统第3部分:综合布线用连接硬件技术要求ISO/IEC11801-2002建筑物通用布线国际标准3术语和定义下列术语和定义适用于本标准.
3.
1环保系统电子政务内网全国环境保护系统各级环境保护局建设的用于电子公文传输、内部政务管理以及内部信息服务等的网络.
电子政务内网为独立的网络,必须与互联网和电子政务外网物理隔离.
3.
2环保系统电子政务外网全国环境保护系统各省、市、自治区环境保护局内部局域网通过专线互连,用于污染源监测数据传输、环保系统综合业务平台、以及数据共享的网络.
电子政务外网为全国性互连网络,该网络必须与互联网安全隔离.
3.
3环保系统城域网指环境保护部连接其在京环保单位所形成的网络;各省、自治区环境保护局连接其同城环境保护单位所形成的网络;直辖市、各城市级环境保护局连接其同城环境保护单位所形成的网络.
3.
4国家级环境信息广域网指环境保护部通过专线连接全国各省、自治区、直辖市环境保护局所形成的广域网.
3.
5省级环境信息广域网HJ/T2指省级环境保护局通过专线连接省、自治区内各城市级环境保护局所形成的广域网.
4缩略语DMZ非军事区DemilitaryZoneDNAT目的网络地址转换DestinationNATDNS域名系统DomainNameSystemFTP文件传输协议FileTransferProtocolHTTP超文本传输协议HypertextTransferProtocolICMP网间控制报文协议InternetControlMessagesProtocolIDS入侵检测系统IntrusionDetectionSystemIP网际协议InternetProtocolNAT网络地址转换NetworkAddressTranslationPOP3邮局协议3PostOfficeProtocol3SMTP简单邮件传送协议SimpleMailTransferProtocolSNAT源网络地址转换SourceNATVLAN虚拟局域网VirtualLocalAreaNetworkVPN虚拟专用网VirtualPrivateNetwork5全国环境信息网络建设原则和基本流程5.
1网络建设原则网络建设应根据以下主要原则组建:a)应满足各政务部门的应用业务系统的要求;b)应利用已有的网络资源,与已有的专用政务网络兼容;c)电子政务网络体系结构应以TCP/IP互连技术组建,即三层及三层以上统一采用TCP/IP协议栈,各种物理传输媒体之上采用多种协议栈的形式支持统一的IP层协议;d)应根据应用业务系统及安全保障的不同需求,满足可分级管理和控制等特殊需要,采用分布式组织架构进行分级、分权的管理;e)应是安全可靠、可管理、可控制和可扩展的网络,应具有服务分类和服务质量保障能力.
5.
2网络建设基本流程全国环境信息网络建设应该经过立项阶段、确定监理公司及签订合同、招标投标阶段、工程设计阶段、工程实施阶段、工程验收阶段和运行及维护阶段.
5.
2.
1立项阶段立项及可行性研究阶段在环境信息网络建设的整个生命周期中,属于前期阶段.
网络建设项目的建设方须向相应的政府管理部门提交立项申请报告及可行性研究报告,待相应部门批准及项目资金到位后,开展下一阶段的项目招投标工作.
立项阶段需编制立项申请报告和项目可行性研究报告.
报告应依据主管部门的要求和适用的技术标准编制.
5.
2.
2确定监理公司及签订合同根据《国务院信息化工作办公室、科学技术部、信息产业部关于印发《电子政务工程技术指南》的通知》(国信办[2003]2号)的第十六条规定:"电子政务工程建设要按照信息产业部《信息系统工程监理暂行规定》(信部信[2002]570号),加强电子政务工程监理市场的规范化管理,确保电子政务工程的安全和质量.
从事电子政务工程监理活动的单位要具备信息产业部信息系统工程监理的相应资质,同一工程的建设和监理要由相互独立的机构分别承担,监理单位要先于承建单位介入,没有确立监理单位的工程,建设单位不得开始建设.
",在招投标确定承建方之前,应确定监理合同,以便在技术上得到支持.
监理合同在工程中作用,可见GB/T19668《信息化工程监理规范》5.
2.
3招标投标阶段为了规范环境信息网络建设工程建设项目施工招标投标活动,所涉及的法规、管理规定和技术标准包括:a)《工程建设项目施工招标投标办法》;b)《计算机信息系统集成资质管理办法》;c)工程建设项目符合《工程建设项目招标范围和规模标准规定》(国家计委令第3号)规定的范HJ/T3围和标准的,必须通过招标选择施工单位.
任何单位和个人不得将依法必须进行招标的项目化整为零或者以其他任何方式规避招标;d)涉密系统集成单位必须经过保密工作部门资质认定,并取得《涉及国家秘密的计算机系统集成资质证书》,涉密系统建设单位应选择具有《涉及国家秘密的计算机系统集成资质证书》的集成单位来承建涉密系统;e)相关技术标准.
5.
2.
4工程设计阶段环境信息网络系统工程的设计阶段是保证工程质量的关键性环节,工程管理方应该重视工程设计的重要性.
承担工程设计任务的单位可以是:建设方、相关咨询或设计方、承建方.
建设方可以根据工程的实际情况来选择设计方.
承建方、建设方和监理方在网络建设工程设计应当遵循国家标准、行业标准和地方标准,并符合网络建设工程招标合同的要求.
5.
2.
5工程实施阶段环境信息网络建设工程实施应当符合国家标准、行业标准和地方标准,符合网络建设工程设计方案的要求.
5.
2.
6工程验收阶段重大项目的竣工验收,必须有信息化主管部门、质量技术监督部门推荐的专家参与评审;其他项目的竣工验收,建设单位应当根据工程备案管辖邀请市或者区、县信息化主管部门参加.
重大项目在验收前应当通过国家指定的测评认证机构的测试,未经测评认证的,不予验收.
信息网络建设工程验收应当符合国家标准、行业标准和地方标准,符合信息化工程招标合同的要求,涉及保密和隐蔽工程的验收参照相关规定.
从事工程验收设计的单位,应当执行有关的国家标准、行业标准和地方标准.
主管部门要在信息化建设中遵循《电子政务标准化指南》和《电子政务标准体系》.
5.
2.
7运行及维护阶段网络维护是环境信息网络正常运行的保证,必须给予充分的重视,并从人员、规章制度和资金等各个方面作好相应的安排.
应建立网络建设工程质量保修制度.
承建方应按合同,履行保修责任.
保修期自工程竣工验收合格之日起不得少于两年.
6全国环境信息骨干网网际互连6.
1网络结构及拓扑全国环境信息网络结构可分为三级网络,一级骨干网主要负责环境保护部至各省级、自治区、直辖市和新疆建设兵团环保局的网络互连;二级网络主要负责各省级、自治区至其所属城市环保局的网络互连和直辖市至其所属区、县级环保局的网络互连;三级网络主要负责各城市至其所属县、区级环保局的网络互连.
环境保护部为一级骨干网络核心节点,各省级、自治区、直辖市环保局为二级网络核心节点,各市级环保局为三级网络核心节点.
全国环境信息网络分为四级节点:环境保护部为一级节点,各省级、自治区、直辖市环境保护局为二级节点,各城市环境保护局为三级节点,各区、县环境保护局为四级节点,各级环境保护局直属单位可以根据其业务需要由各级环保局自行规划建设.
6.
1.
1互联网网际互连网络结构及拓扑互联网接口为全国各级环保部门连接国际互联网的出口,内部局域网(外网)为星型拓扑结构.
6.
1.
2广域网网络结构及拓扑全国环境信息广域网络主要包括环境保护部与各省级、自治区、直辖市、新疆生产建设兵团环保局的网络互连(一级网络),各省级、自治区、新疆建设兵团与其所属城市级环保局的网络互连(二级网络),各直辖市、城市至其所属县、区级环保局的网络互连(三级网络),广域网为星型拓扑结构.
6.
1.
3城域网络结构及拓扑全国环境信息城域网络主要包括:各级环保部门至同城直属单位的网络互连,城域网为星型拓扑结构.
6.
2链路和带宽6.
2.
1互联网链路和带宽互联网的链路由运行商提供,互联网的带宽由业务需求而定,以下为带宽升级的参考标准:当一条链路具有高的利用率,由于优先级高的流量还可以被正常的路由,业务应用质量还不是问题,Ping测试时所经历的延迟也不显著.
在这些情况下,可以不必升级带宽.
但是,如果优先级高的流量的可用带宽接近带宽的极限,那么就需要开始考虑升级带宽了.
如果网络正常业务流量长时间达到整个互HJ/T4联网带宽的70%,并且关键业务应用明显受到影响,在Ping测试时所经历的延迟显著,并伴随一定的丢包率,则须考虑互联网带宽升级.
6.
2.
2城域网链路和带宽环境保护部与在京环保单位的网络互连应采用专线连接,带宽不低于2M,总局连接总局信息中心数据中心带宽不低于100M.
各省级、自治区、直辖市、新疆建设兵团与其同城环保单位的网络互连可采用专线连接,带宽不低于2M.
6.
2.
3广域网链路和带宽环境保护部与各省级、自治区、直辖市、新疆建设兵团环保局的网络互连线路(一级网络)采用专线连接,带宽不低于6M.
各省级、自治区与其所属城市级环保局的网络互连(二级网络)可采用专线连接,带宽不低于2M.
各城市至其所属县、区级环保局的网络互连(三级网络)可采用VPN技术,带宽不低于512K.
6.
3网络接入设备标准6.
3.
1接入设备6.
3.
1.
1互联网接入设备互联网接入路由器可选择支持百兆带宽的中低端路由器.
6.
3.
1.
2城域网接入设备全国环境信息城域网络接入设备等级主要由设备所在节点角色功能来决定.
环境保护部与在京环保单位的网络互连,总局为一级核心节点,采用高端路由器,各在京环保单位可采用低端路由器.
各省级、自治区与同城环保单位的网络互连,各省、自治区环境保护局为二级核心节点,采用中高端路由器,各同城环保单位可采用低端路由器.
6.
3.
1.
3广域网接入设备全国环境信息广域网络主要包括环境保护部与各省级、自治区、直辖市环境保护局的网络互连(一级网络),总局为一级节点,应采用高端路由器.
各省级、自治区与其所属城市级环境保护局的网络互连(二级网络),各省级、自治区、直辖市环境保护局为二级节点,采用中高端路由器,各城市级环境保护局采用低端路由器.
6.
3.
2接入设备标准6.
3.
2.
1高端路由器高端路由器通常位于骨干网接入节点,为骨干网转发数据提供路由处理能力和传输带宽.
1.
高端路由器功能主要包括:a)路由器的功能特性b)通信规程c)协议要求d)路由协议e)接口类型f)网管协议等2.
高端路由器性能指标主要包括:a)吞吐量b)丢包率c)包转发率d)可靠性和安全性e)路由表容量f)接口转发时延等有关高端核心路由器的详细要求见YD/T1097-2001,《路由器设备技术规范-高端路由器》.
6.
3.
2.
2低端路由器低端路由器一般位于网络边缘,是通过数据转发包来实现连接一级网与二级网的路由器.
1.
高端路由器功能主要包括:a)路由器的功能特性b)通信规程c)协议要求HJ/T5d)路由协议e)接口类型f)网管协议等2.
高端路由器性能指标主要包括:a)接口转发时延b)丢包率c)包转发率d)内存容量等有关低端核心路由器的详细要求见YD/T1096-2001,《路由器设备技术规范-低端路由器》.
路由器性能标转请参见附录C路由器性能指标6.
4网络安全设备标准6.
4.
1安全设备6.
4.
1.
1互联网安全设备互联网接入的安全设备可以选择支持百兆带宽的中低端防火墙.
并可根据实际情况部署入侵检测设备、上网行为管理设备、流量管理设备等安全产品.
6.
4.
1.
2广域网和城域网安全设备在全国环境信息广域网和城域网建设中网络安全设备主要是指防火墙设备,入侵检测系统和网络脆弱性扫描系统.
环境保护部、各省级、市级环保局必须在网络节点部署防火墙、入侵检测系统和网络脆弱性扫描系统,区、县级环保局可以采用软件防火墙.
6.
4.
2防火墙设备标准防火墙作为一个或一组在不同安全策略的网络或安全域之间实施访问控制的系统,通用技术要求分为功能、性能、安全和保证要求四大类.
1.
防火墙设备主要功能如下:a)包过滤b)应用代理c)内容过滤d)NATe)动态开放端口f)VPNg)安全审计h)安全管理等2.
防火墙设备主要性能指标如下:a)吞吐量b)延迟c)最大并发连接数d)最大连接速率3.
安全要求是对防火墙自身安全和防护能力提出具体的要求,例如:a)抗渗透b)恶意代码防御c)系统应构建于安全增强的操作系统之上4.
保证要求则针对防火墙开发者和防火墙自身提出具体的要求,例如:a)管理配置b)交付与操作c)指南文件等防火墙等级分为一级、二级、三级三个逐级提高的级别,功能强弱、安全强度和保证要求高低是等级划分的具体依据.
安全等级突出安全特性,性能高低不作为等级划分依据.
详细划分情况见:附录D防火墙安全等级划分有关防火墙设备要求详见:GB/T20281-2006《信息安全技术防火墙技术要求和测试评价方法》6.
4.
3入侵检测设备标准HJ/T6入侵检测设备可分为主机型入侵检测系统和网络型入侵检测系统,可划分为三个等级.
三个逐级提高的级别,功能强弱、安全强度和保证要求高低是等级划分的具体依据.
1.
入侵检测设备主要功能如下:a)数据探测b)入侵分析c)入侵响应d)管理控制e)检测结果处理f)安全审计2.
入侵检测设备主要性能指标如下:a)误报率b)漏报率有关入侵检测系统要求详见:GB/T20275-2006《信息安全技术入侵检测系统技术要求和测试评价方法》6.
4.
4网络脆弱性扫描系统网络脆弱性扫描是网络安全防御中的一项重要技术,其原理是对采用的安全策略和规章制度进行评审,发现不合理的地方,采用模拟攻击的形式对目标可能存在的已知网络脆弱性进行逐项检查,确定存在的安全隐患和风险级别.
使用网络脆弱性扫描产品可自动对计算机系统进行安全评估分析,对网络进行检查,发现其中可能被利用的脆弱性,并提出解决的建议或自动进行修复,提高网络系统的安全性能,达到在入侵发生之前及时弥补系统及网络安全脆弱性,消除入侵隐患的目的,保证网络安全的运行.
网络脆弱性扫描主要功能如下:a)自身安全要求b)脆弱性扫描c)网络旁路检查d)信息获取e)端口和服务扫描f)授权管理员访问g)扫描结果分析处理h)扫描策略定制i)扫描对象的安全性等网络脆弱性扫描主要性能指标如下:a)速度b)稳定性c)容错性有关网络脆弱性扫描产品详见:GB/T20278-2006《信息安全技术网络脆弱性扫描产品技术要求》和GB/T20280-2006《信息安全技术网络脆弱性扫描产品测试评价方法》.
6.
5网络管理平台标准6.
5.
1网络管理软件系统平台主要功能要求全国环境信息网络网管系统主要功能包括:故障管理、性能管理、拓扑管理、综合视图呈现等.
6.
5.
1.
1故障管理a)网络全面监控,集成整个网络的告警/故障事件信息,统一处理、呈现和分析告警/故障事件信息,以便提高网络事件处理效率.
b)实现告警/故障事件信息的实时交换,通过将这些事件信息进行集中的相关性和关联性分析,可以使操作维护人员迅速找到根源问题所在,并能够通过这些相关联的事件信息,确定对网络承载业务的影响情况.
6.
5.
1.
2网络性能管理a)通过专用网络管理工具监测网络性能,对全国环境信息网络运行状况进行监控,通过性能管理,判断网络的运行质量、运行效率、流量流向以及连通率水平等.
网络性能监控制定性能测量的标准和手段,分析网络服务的趋势和行为,在发现性能下降时立即报告,使管理员及时采取措施进行处理.
HJ/T7b)生成的性能报告必须提供实时和历史的性能报告,可以实时查看每个性能当前的状态和服务水平状态,并查看详细的性能曲线,报告包括小时、三小时、天、周、月报表.
性能报表可以按照每个配置文件的要求分发到相应的Web站点上.
运行在不同地点的监视器报表可以汇集到某个集中的地点,从而可以完整地反映出服务的性能状况.
6.
5.
1.
3网络拓扑管理a)网络拓扑管理系统能提供准确的网络三层、二层连接视图,可以清楚的反映网络实际的物理连接,发现网络拓扑结构包括网络所有节点之间的连接关系,如交换机划分的VLAN、每个VLAN包含的端口、端口连接的节点,路由器的端口,其连接的设备,服务器或PC地址、连接在交换机的哪个端口上,通过这些网络连接信息构建完整的网络拓扑视图.
在其拓扑图中,可以准确的标识出PC或服务器是通过哪个交换机进行连接,属于交换机的哪个VLAN,交换机与路由器之间是如何连接的,而且精确到物理端口一级.
b)网络拓扑管理系统能针对不同用户,定制用户的拓扑查看权限.
6.
5.
1.
4综合视图呈现网络管理软件系统综合视图呈现须具备以下特点:a)灵活直观,根据管理需要和习惯定义适合客户的实时监控界面,这种界面可以综合网络的信息,而不是单个功能的简单呈现,因此管理界面可以更加切合运维的监控需要和领导了解全网状况的需要b)集成,由于采用浏览器界面,不同的管理功能之间更容易集成,可以真正建立网管的统一界面,并实现不同功能的互操作.
c)分权,不同的管理人员根据管理权限和职能,可以定义不同的管理界面,可以使用的工具,可以查看的事件,可以访问的拓扑等等.
这种分权管理能力,可以充分保证国家环保局网络管理分布式管理的需要,可以充分支持不同网络的分权管理,保证每个操作维护人员只查看和处理自己的拓扑信息、事件信息.
实现各网络设备的统一管理.
6.
6网络互连协议及典型业务协议全国环境信息网络骨干网网际互连协议选择TCP/IP协议,并基于TCP/IP协议可以开展如下典型业务.
1.
Web业务a)基本技术基于Web技术,为了增强多媒体检索的功能,采用JAVA、公共网关接口(CGI)等技术,以适合各种场合的需要.
b)协议及标准通信协议:超文本传送协议(HTTP).
c)多媒体信息检索业务可应用于:新闻、信息查询、课程培训、文化教育、法律、法规、广告等.
2.
E-maila)基本技术利用电子邮件技术b)协议及标准通信协议:简单邮件传输协议(SMTP)、POP3.
c)电子邮件业务可应用于:接收信件、发送信件、文件转发等.
3.
FTPa)基本技术利用异地主机的FTP文件交换或用Telnet仿真终端接入,完成远程异地科学计算及信息处理.
b)协议及标准通信协议:FTP等.
c)科学计算及信息处理业务可应用于:翻译业务、软件共享业务、远程计算机辅助设计业务等.
4.
虚拟专用网(VPN)业务a)基本技术在IP网上实现VPN业务,就是使用加密的IP隧道,实现专有IP包和其他网络协议(IPX、NetBEUI等)包在Internet上传输,从而实现不同的虚拟专用网(VPN).
b)协议和标准HJ/T8点对点隧道协议:点到点隧道协议(PPTP).
第二层隧道协议:第2层隧道协议(L2TP).
第三层隧道协议:通用路由协议GRE(参见RFC1071/1072).
IP安全协议:IPSec协议.
c)虚拟专用网(VPN)业务可应用于:内联网互连、外联网互连、远程用户接入等.
有关IPVPN业务的具体要求参见相关的标准.
5.
多媒体会议业务a)基本技术基于TCP/IP的会议业务.
由于LAN上业务质量得不到保证,因而图像编码和语音编码都要尺度可伸缩的.
为保证实时及同步的要求,实时信息(视频音频)RTP、RTCP、UDP协议栈,数据信息用TCP协议栈.
为了进一步保证一定的质量,要有一定的信道带宽预约机制.
b)协议和标准通信协议:H.
323、H.
225、RTP、UDP、HTTP.
服务质量协议:RSVP、Diffserv.
语音编码协议:G723.
1、G.
729.
图像编码协议:H.
263.
多点会议协议:T.
120协议、T.
130协议.
c)多媒体会议业务可应用于:专网或虚拟专网中的多媒体会议业务、公众多点多媒体会议业务等.
6.
7全国环保系统IP地址规划6.
7.
1原则a)国家电子政务网络地址统一规划,中央和地方分级管理,支持各部门、各地方网络的互连b)IP地址的分配应具有层次性、连续性,以提高IP地址利用率、减少路由表表项;6.
7.
2政务内网地址政务内网网络地址分为三类:系统地址、共享地址和互联地址.
各部门内部网络使用系统地址,部门间、系统间网络互通使用共享地址或互联地址.
a)系统地址:是指部门内部网络的设备地址和接入政务内网所需使用的地址,包括个人主机地址、部门网络设备地址、部门应用服务器地址等.
b)共享地址:是指用于政务内网中提供信息服务的主机地址.
c)互联地址:包括链路地址(网络设备间的点对点互联地址)和设备管理地址.
对未使用本规划地址的网络设备,在连接政务内网进行设备地址转换时,采用互联地址.
互联地址分配到用户接入设备的上连(网络侧)端口,不包含用户内部网络接入政务内网所使用的地址.
6.
7.
3政务外网地址政务外网的网络地址包括用户地址和互联共享地址.
各部门内部网络使用用户地址,部门间、系统间网络互通使用互联共享地址.
a)用户地址:是指部门内部网络的设备地址和接入政务外网所需使用的地址,包括个人主机地址、部门网络设备地址、部门应用服务器地址等.
此地址作为政务外网内部地址专用,不使用于互联网.
b)互联共享地址:是指政务外网中提供信息服务的主机地址,该地址能够在整个政务外网范围内被访问.
互联共享地址包括链路地址(网络设备间的点对点互联地址)和设备管理地址,互联共享地址分配到用户接入设备的上连(网络侧)端口.
6.
8全国环保系统域名管理6.
8.
1原则a)国家电子政务网络的域名系统统筹规划,中央和地方分级管理.
b)域名命名主要采用中文域名,辅以英文域名.
中文域名的命名应符合中文书写的特点.
c)政务内网域名系统采用三级域名管理,政务外网域名系统可采用多级域名管理.
6.
8.
2中文域名6.
8.
2.
1使用原则a)不使用含有"China"、"Chinese"、"CN"、"National""中国"、"中华"字样的名称;b)不应使用其它国家或地区名称、国外地名、国际组织名称;c)不应使用行业名称或商品名称;HJ/T9d)不应使用他人已在中国注册过的企业名称或者商标名称;e)不应使用对国家、社会或者公共利益有损害的名称.
6.
8.
2.
2语法中文域名语法规则如下:域::=::=|::=.
|.
::=::=|::=|::=|||::=[A.
.
Z]|[a.
.
z]::=[0.
.
9]::=-在中文域名中,不区分英文字母大小写,即A和a在域名中是等同的.
域名必须以汉字或字母或数字开始,以汉字或字母或数字结束,内部可以使用汉字、字母、数字和连字符.
域名字段必须小于64个字节.
字母、数字、".
"和连字符是指GB/T1988-1998中规定的字符,汉字和".
"是指GB18030-2005中规定的字符.
为了区分中文域名和英文域名,所输入的中文域名应当至少出现一个非GB/T1988-1998的字符.
6.
8.
3结构中文域名采用三级结构.
其中地方名称按照GB/T2260的规定命名.
6.
8.
4英文域名英文域名使用原则同中文域名使用原则,见5.
9.
2.
1.
域名均在从域名管理部门申请的域名下,下一级域名为各省级环境保护局名、各下级单位域名由上级部门统一管理,再下一级域名由分配到次一级域名的各省自定.
域名中省、市、自治区的缩写遵照《中国互联网络域名注册暂行管理办法》执行.
全国环境信息网络系统域名命名规则请见表1.
1附录A:全国环境信息网络系统域名命名规则7全国环境信息局域网网络建设7.
1电子政务内网局域网网络建设7.
1.
1网络平台7.
1.
1.
1网络选型网络结构选用星型拓扑结构,支持或扩展后能够支持三层交换技术;局域网应使用TCP/IP协议,所需IP地址要使用私有内部地址,内部IP地址的使用必须由各单位、各部门统一规划,统一配置;局域网须支持以太网协议,网络主干的传输速率不低于1000Mbit/s,到桌面的传输速率不低于100Mbit/s.
7.
1.
1.
2网络接口设备核心网络设备网络接口速率不低于1000Mbit/s;网络设备网络接口速率不低于100Mbit/s;为客户端提供接入服务的交换设备接口速率不低于100Mbit/s.
核心应用服务器端均应配备速率不低于1000Mbit/s的网络接口卡;普通应用服务器端均应配备速率不低于100Mbit/s的网络接口卡;客户端应尽量选用兼容性强的网卡,并且传输速率不低于100Mbit/s.
7.
1.
1.
3网络交换设备网络交换设备主要应用于局域网络建设,分为汇聚层交换设备和接入层交换设备,汇聚层交换设备应使用千兆比以太网第3层交换设备,接入层交换设备应使用千兆比以太网第2层交换设备.
1.
千兆比以太网第3层交换设备千兆比以太网第3层交换设备是拥有第3层路由功能的以太网交换设备,主要功能除实现数据帧转发功能外,第3层交换设备能根据收到的数据包中网络层地址以及交换设备内部维护的路由表决定输出端口以及下一条交换设备地址或主机地址,并且重写链路层数据包头.
第3层交换设备路由表必须动态维护来反映当前的网络拓扑.
千兆比以太网第3层交换设备主要功能包括:HJ/T10a)接口功能b)逻辑链路层功能c)数据帧转发功能d)数据帧过滤功能e)IP包转发功能f)路由信息维护功能g)维护决定数据帧转发及过滤的信息h)运行维护和网络管理功能有关千兆比以太网第3层交换设备详细要求见YD/T1099-2001《千兆比以太网交换机设备技术规范》中相应的要求.
2.
千兆比以太网第2层交换设备千兆比以太网第2层交换设备通常拥有多个千兆比特以太网口,以硬件实现MAC层报转发.
千兆比以太网第2层交换设备主要功能包括a)接口功能b)业务量控制功能c)VLAN功能d)支持组播功能e)支持带宽管理f)管理维护g)支持生成树功能有关千兆比以太网第2层交换设备详细要求见YD/T1099-2001,《千兆比以太网交换机设备技术规范》中相应的要求.
7.
1.
1.
4网络服务器在服务器的选型标准上,应考虑Web服务器、应用服务器、数据库服务器等,以保证数据库资源中心数据的统一、完整、安全的存放.
服务器需要有强大的数据处理能力,提供并行处理功能和负载均衡措施.
当多个用户同时在线访问数据库时,保证系统能够正常运行;当系统未来的业务量增加时,应通过系统升级平滑地适应用户的要求;作为系统的核心处理部件,服务器应有足够的容量,提供海量级数据的存储能力和强大的处理能力,保障高响应速度;它应具备可靠的数据备份和恢复工具,应付可能出现的意外;服务器应具有高可靠性、高可用性,保证系统能够长时间无故障运行.
因此,服务器的设计与选型必须满足如下总原则.
a)一体化原则对于硬件产品和系统软件应作为一个有机的整体来考虑,包括包内部各组成部分的合理性、兼容性和一致性.
因此需考虑硬件产品与系统软件之间的合理性、兼容性和一致性.
b)兼容性和可扩展性考虑到整个国家环境数据中心,以及整个环境数据共享平台建设项目,从目前和发展的角度考虑各种软硬系统的兼容性和可扩展性.
c)可靠性,易维护原则要求选择成熟、可靠的主流产品,保证系统高可靠性,高可管理性,易操作性,有良好的售后服务和承诺支持.
d)标准化原则所选产品需遵循国际通用标准和行业规范.
e)前瞻性原则所选服务器必须是当前成熟的产品,同时还应满足先进性要求.
在网络服务器选型中,如使用计算机集群技术、负载均衡技术、单元组合技术,配以N层模式,还需考虑:a)采用高可用集群系统,保证系统的不间断运行;必须具有足够的CPU处理能力、内存、外存容量;b)CPU数量、内存、内置或外置硬盘容量、I/O及系统本身都有能满足未来要求的扩展能力,以适应处理大数据量及系统发展的需要;c)数据的存放采用高可靠性的数据存储管理系统,并对重要的数据有可靠的备份机制,硬盘应具HJ/T11有工业标准的热插拔功能,保证更换硬盘时系统仍能继续正常运行;d)操作系统必须具有C2级以上的安全性,运行稳定可靠,支持大规模数据库系统,界面友好,方便管理维护和应用软件开发,并保证应用软件有良好的可移植性.
7.
1.
2网络存储设备存储设备可根据实际需求选用合适容量的存储设备,选用专门的存储备份系统和专用的备份服务器,并制定相应的存储备份及恢复方案.
如大容量硬盘、磁盘阵列、带库等.
7.
1.
3网络综合布线7.
1.
3.
1综合布线系统设计综合布线系统应在充分考虑信息点分布和数量的基础上,统筹规划,合理设计,精心施工.
信息点分布和数量应能至少满足未来2-3年内的应用和用户需求,避免短期内重复施工.
在综合布线系统中,布线硬件主要包括:配线架、传输介质、通信插座、插座板、线槽和管道等.
综合布线包括六个子系统:工作区子系统、水平布线子系统、管理子系统、干线子系统、设备间子系统和建筑群主干子系统.
7.
1.
3.
2综合布线设计基本步骤a)获得建筑物平面图:这是整个综合布线系统的设计基础,因为无论哪个子系统都直接与建筑物结构平面图息息相关.
b)分析用户需求:具体选择哪种布线方式,哪个工作区布置多少个信息点,干线系统采用什么电缆,配线间和设备间打算安排在哪个位置等,都在相当大程度上是由分析用户需求基础决定的.
c)布线系统结构设计:这是综合布线系统设计的开始,主要完成布线系统的总体结构,特别是各工作区、水平子系统的布线系统设计.
d)布线系统的路由设计:这一步是完成整个布线系统中各个工作间子系统通过干线子系统与设备间子系统、管理子系统的路由连接设计,以及建筑群子系统(可选)之间的路由连接设计.
e)绘制布线施工图:这个施工图要对一些关键信息点、交接点、电缆拐点等位置的施工注意事项和布线线槽(或线管)规格、材质等进行详细的标注或说明.
f)编制布线用材料清单:编制具体布线施工中用到的材料清单,布线材料包括各种规格的电缆(如双绞线、光纤)、水晶头、跳线、配线架、线槽、线管等.
7.
1.
3.
3综合布线各主要组成部分设计a)工作区子系统工作区子系统是整个布线系统的终端子系统,是用户的最终工作区,包括终端设备(如计算机、电话等)到信息插座的的区域.
在用户工作区的信息插座要能同时提供相应功能的接口,语音接口是电话线RJ-11接口,数据用户接口是RJ-45双绞线接口,多媒体用户是单模光纤接口(LX),或多模光纤接口(SX),以满足多媒体用户的高带宽需求;注意工作区电缆总长度不能超过10m;最后,根据各工作区的用户需求决定具体信息点的数量.
b)水平子系统水平子系统是指从楼层配线间到工作区信息插座之间的连接,经过工作区信息插座、楼层配线间的配线架,最终是楼层各级交换机端口.
设计该子系统时要针对用户对带宽的需求选择相应的传输介质,目前一般是超5类、6类双绞线和光纤;要充分考虑到走线的距离,尽量采用最短路径方式,一定要位直,也应尽量以水平或垂直方式走线.
通常在水平子系统中是以双绞线为传输介质的,这就要求整个水平自系统布线长度不能大于90m.
如果是光纤则基本没有限制.
c)垂直子系统垂直子系统又叫干线子系统,指提供建筑物的主干电缆的路由,是实现中心配线架与楼层配线架、PBX(用户交换机)、控制中心与各管理子系统间的连接.
垂直子系统布线通常是通过弱电竖井统一布线的,所采用的电缆通常采用光纤,光线主要为62.
5/125μm多模光纤或10/125μm单模光纤.
d)设备间子系统设备间是在每幢大楼的适当地点设置进线设备,进行网络管理以及管理人员值班的场所.
设备间子系统的电话、数据、计算机主机设备及其保安配线设备宜集中设在一个设备间内,机架设备可以通过机柜统一安装在一起.
e)管理子系统管理子系统设置在楼层配线房间,是水平系统电缆端接的场所,也可是主干系统电缆端接的场HJ/T12所;由大楼主配线架、楼层分配线架、跳线、转换插座等组成.
可以在管理子系统中更改、增加、交接、扩展线缆,用于改变线缆路由.
f)建筑群子系统建筑群子系统是实现建筑之间的相互连接,提供楼群之间通信设施所需的硬件.
光纤、水平线接口模块和面板需符合国家标准GB/T50311-2000《建筑与建筑群综合布线系统工程设计规范》.
大楼综合布线,以及选用的电缆、光缆、各种联接器、跳线和配线等所有配件,均应符合ISO/IEC11801-2002《建筑物通用布线国际标准》.
7.
1.
4安全平台7.
1.
4.
1网络防病毒系统局域网内计算机在20台以上的网络中应部署网络版防病毒系统,20台以下的网络中可部署单机版防病毒软件.
1.
网络版防病毒系统便于维护和管理,安装专用的集中管理服务器,用做病毒的防、控系统中心.
这个监控中心的具备以下功能:a)强大、灵活的管理和任务调度手段,可以通过中心控制台,集中地实现全网范围内防毒策略的定制、分发和执行.
b)通过控制台,集中地实现所有节点上防毒软件的监控、配置、查询等管理工作.
能够通过控制台看到客户端的病毒版本、查杀毒记录及各种日志信息.
c)负责病毒扫描引擎和代码库的更新,并能将此扫描引擎和代码库自动提供给各种服务器和工作站.
d)提供多种软件安装和软件升级的手段,必须提供远程安装客户端、基于WEB的软件安装和手动、定时病毒库版本升级功能.
e)提供远程病毒报警手段,网内任何一台计算机上发现病毒时,杀毒软件自动将病毒信息传递给网络防病毒监控中心.
f)分组管理:对所有的网络终端结点进行任意分组.
可将不同物理地点的服务器分组,对于客户端也可根据配置的需要分组,包括设置客户端密码、实时监控客户端配置、统一刷新客户端状态、统一发送广播、查询历史记录等.
不同组可以执行不同的防病毒策略.
g)传染源统计功能:网络中一旦有病毒发作,部署防病毒软件的众多机器就可以将传染源机器的IP或机器名记录下来,在管理控制台上生成传染源排行榜,便于掌握网络中的薄弱节点并快速采取措施.
h)扫描有防病毒部署漏洞的计算机:通过防毒系统自带的客户机漏洞扫描工具,可以将网络中所有客户机做一个整体的扫描,将没有安装防病毒客户端软件的计算机的IP地址,计算机名字,操作系统等详细的信息生成报表,便于防病毒管理人员及时定位网络中未安装防病毒软件的计算机.
2.
网络防病毒系统客户端基本功能:a)应用层病毒的防护:客户机的文件共享,访问WEB网页,客户端收发邮件等应用进行全面防护,彻底消除应用层病毒对客户机的破坏,保证所有用户都有一个干净、安全的平台;b)网络层病毒的防护:直接在网络层针对像冲击波、震荡波等病毒的攻击包进行清除,降低的网络病毒的危害,提高了病毒的防护效果;c)病毒爆发阻止策略:应用该策略能够有选择性的关闭某些病毒攻击网络服务器和客户机的端口或共享文件夹等,从而阻挡大量的蠕虫病毒在网络中大面积爆发,保护用户网络中的所有计算机不受到病毒攻击.
当网络内部不幸遭遇到新病毒攻击而病毒码还未更新时,利用病毒爆发阻止策略能够将新病毒所利用的网络漏洞和系统漏洞完全堵死,让还没有进来的病毒进不进来,让已经进来的病毒无法扩散;d)集成网络版防火墙和IDS抵御复合式攻击:通过防火墙在客户机和网络之间创建屏障,来帮助保护客户机免受黑客和网络病毒的侵扰,同时,IDS确保客户机不受到内部或外部的入侵攻击,确保内部网络计算机的系统安全和资料安全;e)集成病毒专杀工具,清除病毒更彻底:病毒专杀工具和客户端防病毒软件无缝集成,专杀工具的扫描引擎和病毒码可以自动更新;f)抵御间谍软件和其他类型灰件的侵害:防病毒网络版下载间谍软件/灰件特征码文件以保护网HJ/T13络内计算机免受病毒之外各种潜在威胁(包括广告软件和间谍软件)的侵害.
3.
单机版防病毒软件可以参照网络防病毒系统客户端基本功能.
7.
1.
4.
2网络安全域逻辑划分电子政务内网安全域只包含内部域.
内部域主要是指内部局域网的办公、运维和应用计算机,在内部域中又可以划分为:各业务用户域(按照职能部门)、内部平台域、管理员域等.
各业务用户域主要是指办公人员按照所在职能部门划分的逻辑区域;内部平台域主要是指内部应用服务器,管理员域是指运维人员办公设备所在用区域.
在环境信息网络电子政务内网建设中通过配置三层交换设备来划分内部域,将各业务用户域按照办公人员所在职能部门划分VLAN,将内部平台域和管理员域划分VLAN,并可根据业务需求划分更多的VLAN.
7.
1.
5用户平台用户平台主要包括客户计算机、桌面操作系统、浏览器及客户端应用软件等7.
1.
5.
1用户操作系统计算机须安装Windows98版本以上,或linux的操作系统,具有较强网络功能;系统操作便捷,运行稳定;具备容错能力和故障恢复能力;支持图像、图形界面、视频、音频等多媒体功能;支持汉字输入(国标码)环境;支持多客户、多线程、多处理工作方式.
7.
1.
5.
2用户应用软件用户计算机应安装计算机防病毒客户端、Web浏览器、办公管理软件等应用软件.
对于带有安全漏洞,黑客程序的应用软件严禁下载和安装.
7.
2电子政务外网局域网网络建设7.
2.
1网络平台7.
2.
1.
1网络选型网络结构选用星型拓扑结构,支持或扩展后能够支持三层交换技术;局域网应使用TCP/IP协议,所需IP地址要使用私有内部地址,内部IP地址的使用必须由各单位、各部门统一规划,统一配置;局域网须支持以太网协议,网络主干的传输速率不低于1000Mbit/s,到桌面的传输速率不低于100Mbit/s.
7.
2.
1.
2网络传输设备核心应用服务器端均应配备速率不低于1000Mbit/s的网络接口卡;普通应用服务器端均应配备速率不低于100Mbit/s的网络接口卡;客户端应尽量选用兼容性强的网卡,并且传输速率不低于100Mbit/s.
7.
2.
1.
3网络交换设备见章节7.
1.
1.
37.
2.
1.
4网络服务器见章节7.
1.
1.
47.
2.
2网络存储设备见章节7.
1.
27.
2.
3网络综合布线见章节7.
1.
37.
2.
4安全平台7.
2.
4.
1网络防病毒系统见章节7.
1.
4.
17.
2.
4.
2网络安全域逻辑划分电子政务外网安全域可以划分为三个大区域,分别是外部域、接入域(DMZ区域)和内部域,安全等级从低到高,内容如下:1.
外部域主要是指各级环保部门连接的外部网络.
2.
接入域(DMZ区域)主要指各级环保部门与外部接入部分和对外提供服务的逻辑边界部分,如各级环保部门对外提供访问的WEB服务器、MAIL服务器等.
3.
内部域主要是指局域网的办公、运维和应用计算机,在内部域中又可以划分为:各业务用户域(按照职能部门)、内部平台域、管理员域等.
各业务用户域主要是指办公人员按照所在职能部门划分的逻辑区域;内部平台域主要是指内部应用服务器,不需要向外发布的逻辑区域;管理员域是指运维人员办公设备所在用区域.
HJ/T14在环境信息网络电子政务外网建设中可以通过配置防火墙来划分外部域、接入域和内部域这三大区域;通过配置三层交换设备来划分内部域,将各业务用户域按照办公人员所在职能部门划分VLAN,将内部平台域和管理员域划分VLAN,并根据业务需求划分更多的VLAN.
8全国环境信息网络机房建设8.
1机房建设8.
1.
1机房建设的指导思想a)合理分布工作空间及各类设备安装场所,缩短工艺流程,降低劳动强度,提高工作效率,确保电子设备系统稳定可靠运行,保障机房工作人员良好的工作环境,并且以国家有关标准及规范为依据.
b)根据实际需求与现场实际情况以及电子设备系统实际操作运行等情况进行设计,力求在设计、选材中做到整体布局的合理化和科学化.
c)机房各项功能完整配套,达到专业规范、技术先进、经济合理、安全适用、质量优良、管理方便之目的.
d)在经济实用的前提下,选择优质机房专用装修材料,主体装修材料宜选用吸音效果好、不易变形、变色、易清洁、防火性好,且高度耐用的材料,达到最佳装修效果.
e)室内控制设备、电器设备、布线系统的选材注重其可靠性,全部采用符合国家标准的优质产品,以确保系统投入运行后故障率为最低.
8.
1.
2机房总体建设8.
1.
2.
1机房土建结构方面的要求a)电子计算机机房的建筑平面和空间布局应具有适当的灵活性,主机房的主体结构宜彩大开间大跨度的柱网,内隔墙宜具有一定的可变性.
b)主机房净高,依机房面积大小而定,一般为2.
5m~3.
2m.
c)电子计算机机房的楼板荷载依设备而定.
一般分为两级.
A级:≥500Kg/m2B级:≥300Kg/m2d)空调设备、供电设备用房的楼板荷重应依据设备重量而定,一般应≥1000Kg/m2或采用加固措施e)电子计算机机房主体结构应具有耐久、抗震、防火、防止不均匀沉陷等性能.
变形缝和伸缩缝不应穿过主机房.
f)主机房中各类管线宜暗敷,当管线需穿楼层时,宜设技术竖井.
g)室内顶棚上安装的灯具、风口、火灾控测器及喷嘴等应协调布置,并应满足各专业的技术要求.
h)电子计算机机房围护结构的构造和材料应满足保温、隔热、防火等要求.
i)电子计算机机房各门的尺寸均应保证设备运输方便.
8.
2机房环境8.
2.
1机房地点电子计算机机房位置选择应符合下列要求:a)水源充足,电力比较稳定可靠,交通通讯方便,自然环境清洁.
b)远离产生粉尘、油烟、有害气体以及生产或贮存具有腐蚀性、易燃、易爆物品的工厂、仓库,堆场等.
c)远离强振源和强噪声源.
d)避开强电磁场干扰.
e)电子计算机机房在多层建筑或高层建筑物内宜设于第二、三层.
f)空气含尘量:机房应保持清洁,空气中大于0.
5Micron的杂质在每立方英尺不得多于45,000个,若空气中灰尘过多很容易造成资料读写错误及磁盘机中磁盘或读写磁头损毁.
注:机房颤动度:不得高于0.
5g.
磁场杂波干扰:机房附近无线电杂波干扰,应低于0.
5伏特/米(频率范围从14KHz到1GHz).
8.
2.
2机房面积计算机机房最小使用面积不得小于50平米,除了系统安放之外,应预留足够的空间作安装、维修及操作之用.
另外,还应预留空间作系统扩展之用.
计算机使用面积一般按照以下两种方法之一确定:HJ/T15第一种方法:当计算机系统设备已选型时,可按此公式计算:A=k∑S………………(1)此公式中:A——计算机主机房使用面积(m2);K——系数,取值为5~7;S——计算机系统及辅助设备的投影面积(m2);∑S——机房内所有设备占地面积的总和(m2);第二种方法:当计算机系统设备尚未选型时,可按此公式计算:A=KN………………(2)此公式中:A——计算机主机房内使用面积;K——单台设备占用面积,可取4.
5~5.
5(m2/台)N——计算机主机房内所有设备的总台数8.
2.
3机房内部环境要求8.
2.
3.
1机房温、湿度a)主机房、基板工作间内的温、湿度必须满足计算机设备要求;b)计算机机房内温、湿度应满足下列要求:1)开机时计算机机房内的温、湿度符合表1的规定2)关机时计算机机房内的温、湿度符合表2的规定表1开机时计算机机房内的温、湿度A级B级级别项目夏季冬季全年温度23±2℃20±2℃15~30℃相对湿度45%~65%40%~70%温度变化率﹤5℃/h并不得结露40万小时系统故障恢复时间300火灾探测器的种类地面面积S(m2)房间高度h(m)A(m2)R(m)A(m2)R(m)A(m2)R(m)S≤80h≤12806.
7807.
2809.
0680h≤6605.
8807.
21009.
0S≤30h≤8304.
4304.
9305.
5感温探测器S>30H≤8203.
6304.
9406.
3HJ/T37
iWebFusion:独立服务器月付57美元起/5个机房可选,10Gbps服务器月付149美元起
iWebFusion(iWFHosting)在部落分享过很多次了,这是成立于2001年的老牌国外主机商H4Y旗下站点,提供的产品包括虚拟主机、VPS和独立服务器租用等等,其中VPS主机基于KVM架构,数据中心可选美国洛杉矶、北卡、本德、蒙蒂塞洛等。商家独立服务器可选5个不同机房,最低每月57美元起,而大流量10Gbps带宽服务器也仅149美元起。首先我们分享几款常规服务器配置信息,以下机器可选择5...
硅云香港CN2+BGP云主机仅188元/年起(香港云服务器专区)
硅云怎么样?硅云是一家专业的云服务商,硅云的主营产品包括域名和服务器,其中香港云服务器、香港云虚拟主机是非常受欢迎的产品。硅云香港可用区接入了中国电信CN2 GIA、中国联通直连、中国移动直连、HGC、NTT、COGENT、PCCW在内的数十家优质的全球顶级运营商,是为数不多的多线香港云服务商之一。目前,硅云香港云服务器,CN2+BGP线路,1核1G香港云主机仅188元/年起,域名无需备案,支持个...
Hostiger发布哥伦布日提供VPS主机首月七折优惠 月费2.79美元
Hostiger商家我们可能以前也是有见过的,以前他们的域名是Hostigger,后来进行微调后包装成现在的。而且推出Columbus Day哥伦布日优惠活动,提供全场的VPS主机首月7折月付2.79美元起的优惠。这里我们普及一下基础知识,Columbus Day ,即为每年10月12日,是一些美洲国家的节日,纪念克里斯托弗·哥伦布在北美登陆,为美国的联邦假日。Hostiger 商家是一个成立于2...
l2tp是什么为你推荐
-
深圳route企业推广品牌推广的目的是什么?什么是支付宝支付宝是什么意思?什么是支付宝支付宝是什么意思支付宝账户是什么支付宝账户是什么?asp.net网页制作如何用DREAMWEAVER ASP.NET 做网页更新internal爱买网超艾比安高达厉害吗,今天在网上看到的万代的果断入手了,168贵吗,不知道这款高达厉不厉害网络u盘你们谁知道网络硬盘怎么用什么是通配符什么是介母