项目需求

1、总体目标

本项目的总体目标是对盐城市电子政务外网进行IPv6整体升级改造，实现各类政务系统数据互联互通，数据共享，全面支撑政务办公的协同化、分析决策的科学化，降低行政运行成本，提高政务效率，创新行政管理方式，促进一体化政府和服务型政府的实现，最终实现智慧政务，提升服务民生的能力。

项目重点需要针对盐城市电子政务外网应用（政府门户网站群等）进行IPv6升级改造，主要提供IPv6协议栈下的业务应用，支持IPv6互联网用户的正常访问。目前站群只支持IPv4协议，站群升级改造需实现下列目标：域名系统支持IPv6用户访问，域名服务器能够响应用户的AAAA记录的查询情况，支持域名AAAA记录解析，能够将AAAA解析结果返回用户；改造后的门户网站应支持IPv4/IPv6双栈模式，能够同时接入IPv4和IPv6网络，分别处理IPv4和IPv6报文，满足IPv4网络用户和IPv6网络用户的访问需求；在一天内任意时间段，门户网站互联网应用都应具备IPv6接入访问能力，同时有效解决网站内外链访问时产生的“天窗”问题。

2、建设内容

本次项目的建设内容：

（1）、市电子政务外网IPv6双栈网络改造；

（2）、融合共享安全运维管理平台升级改造；

（3）、其他配套设施建设。

具体建设清单：

序号	需求	说明
1	市电子政务外网IPv6双栈网络改造	外网IPV4平滑升级至IPV6
2	IPv6环境下的安全管理和运行维护系统建设	根据苏政务办发〔2020〕18号文件要求，完善系统功能建设实现与省级平台无缝对接
3	IPv6数据共享中心	行政中心机房和政务云华为机房各部署一套
4	等保测评及服务	含1年等保测评服务
5	系统集成（含辅材等）

3、市电子政务外网IPv6双栈网络改造

本次IPv4/IPv6双栈网络改造主要涉及盐城市行政中心电子政务外网网络设备、安全设备、运营支撑系统等软硬件,使其同时运行IPv4和IPv6两套协议，能够同时处理IPv4和IPv6数据包。

3.1、电子政务外网基础网络IPv6升级改造

行政中心IPv4/IPv6双栈改造工作主要涉及8个功能区域，具体见下图。

（图1）电子政务外网网络拓扑图

共涉及调整网络设备306台，安全设备22台，各类运营支撑系统2套，需改造设备具体清单如下：

（1）、网络设备：2台核心路由器（华为NE40E-X8）；2台核心交换机（华为S12712）；2台汇聚交换机（华为S7703）；130台接入交换机（华为S5720-52P）；20台市直部门接入路由器AR3260；70台市直部门接入路由器AR2240C；80台市直部门接入路由器AR1220C等。

（2）、安全设备：网神抗DDOS攻击设备F5000-TG04P（2台）、深信服链路负载均衡AD-1000-C620（2台）、天融信安全网关NGFW4000-UF（2台）、瑞星防病毒安全网关RSW3800I（2台）、网神运维安全管控（堡垒机）C6000-H-TF10M（1台）、深信服安全网关AF-1000-F440（1台）、网神VPN网关X5000-TG21M（1台）、山石安全网关SG-6000-E2860（1台）、360网神安全网关NSG7000-TX35M-Q（1台）、瑞星安全网关RFW-NG6080（1台）、终端防病毒及补丁分发系统——360天擎终端安全管理系统一套、终端安全接入管控系统TQ-NAC-1000SX-PA（1台）、全网入侵检测系统D9000-TG43M（1台）、全网网络审计系统K5000-TF10M（1台）、漏洞扫描系统S9000-U030M（1台）、安全管理系统M5000-SNI-ESM-H（1台）；安全隔离与信息交换系统（网闸1台）；高级持续性威胁检测与管理系统（APT1台）等。

3.2、实施要求

技术指标	服务要求
项目目标	完成全市电子政务外网清单设备IPv4/IPv6双栈改造任务
项目实施要求	基础网络环境调研，根据网络改造清单内容，组织技术专家对整体改造内容进行评估
	实施准备，根据现网环境，针对每个改造区域合理制定升级改造方案
	制定详细实施方案，包括IPv6地址规划、IPv6路由规划、IPv6安全管理规划；
	实施计划制定，根据用户情况和实施方案细则，合理制定实施时间计划表、并通知各方实施
	联调测试，组织对整个基础网络联调，协调完成功能验证测试
业务连续性	项目实施过程中不能影响原网络环境和业务系统的稳定性，整个项目实施过程中不能出现计划外因网络改造所导致的业务中断
中标供应商服务要求	中标供应商自项目验收合格后需成立针对本项目的服务小组，提供服务小组名单，负责合同有效期内针对本项目的相关服务
	项目三年质保期内，若全省电子政务外网IPv6网络重新规划，中标方需组织项目组成员重新对政务外网按规范要求进行调整

4、IPv6环境下的安全管理和运行维护系统建设

4.1、安全防护和管理系统

★根据苏政务办发〔2020〕18号文件要求，完善我市电子政务外网现有安全管理平台系统，实现与省级平台无缝对接。

根据《江苏省电子政务外网安全管理平台接口与数据对接规范》要求实现盐城市电子政务外网安全管理系统升级改造。本项目要求升级完善政务外网现有奇安信M5000-SNI-ESM-H系统，并实现与省平台数据无缝对接。

全市电子政务外网网络规模较大，需要管理的设备较多，升级中心机房的安全防护和管理系统，对数据中心的设备进行管理的同时，对各个业务网的设备进行管理。

安管系统提供实用、易用的网络管理功能，在网络资源的集中管理基础上，实现拓扑、故障、性能、配置、安全、ACL、报表、IP/MAC、来宾接入等管理功能，不仅提供功能，更通过流程向导的方式告诉运维人员如何使用功能满足业务需求，提供了网络精细化管理最佳的工具软件。

4.1.1功能升级需求：

（1）、资产管理：

为保证后续安全运营工作开展效率，需要尽可能全面准确地掌握资产信息以及资产面临的风险。这就需要基于态势感知系统的资产管理能力，对各类资产进行梳理，识别资产属性，进行资产应用识别、资产攻击面分析、资产变更管理，结合安全运营人员监控分析结果及时发现资产异常连接，发现脆弱性资产。

（2）、漏洞管理：

通常情况下安全漏洞修复是一个缓慢的过程，安全漏洞利用的风险是从补丁发布到补丁修复期间的窗口期，攻击者往往利用这个时间发起攻击，因此对于如何快速有效推进漏洞和补丁的管理，消除已知漏洞，发现新的漏洞是一个挑战。在漏洞管理过程中需综合考虑漏洞危害程度和业务危害程度关联性、漏洞修补优先性、漏洞修补对业务影响等因素，并通过漏洞预警的方式来驱动漏洞管理，结合可视化的手段，可实时掌握漏洞修复的具体情况。

（3）、告警监控：

安全运营人员开展日常监控工作，筛选过滤告警日志，记录并统计告警信息，协助告警信息的通告下发，定期跟踪事件处置情况，高危安全事件的通告工作等。

（4）、威胁分析：

信息化资产所面临的攻击类型种类繁多，攻击手法不一，对于攻击手段较为隐秘的威胁行为，单次攻击行为被发现的概率较低，而以态势感知系统采集的安全日志、网络流量日志或服务器日志数据为基础，依托平台先进的威胁情报检测能力、丰富的关联规则、强大的机器学习检测能力，结合安全运营人员对告警威胁信息进行深入分析研判，就能够发现有价值潜在威胁；

（5）、预警通知：

安全运营人员分析确定重大影响的安全问题时，通过email、即时通讯软件、电话等方式，快速向相关方推出安全预警信息及解决方案。并协助相关部门根据实际情况制定应急预案，充分检验预案可行性。在发生确切的安全事件时，可利用态势感知系统的威胁预警能力，导入威胁预警包，配合应急人员及时采取行动限制事件扩散和影响的范围，降低潜在的损失与破坏；

（6）、安全事件管理：

安全事件管理的主要工作包括：所有事件的记录、优先次序、业务影响、分类、更新、升级、解决和正式关闭。首先根据事件发生的原因和所需支持的类别对事件进行分类，结合事件的影响范围和程度定义事件的优先级和级别，若是新产生的事件，需要将其和己知的问题进行匹配，匹配成功就能根据方案解决问题，匹配不成功，则将事件转交给安全事件分析员进行调查和研究，提出快速解决事件的应急措施或方法。事件解决的过程中，需要跟踪事件的进度，并对相关责任人进行反馈。事件管理过程所涉及的所有人员都应可以访问相关的信息，如己知错误、问题解决方案，对重大事件进行分类及管理等。

4.1.2与省平台对接需求：

根据2020年7月发布《江苏省电子政务外网安全管理平台接口与数据对接规范（征求意见稿）》要求，升级原有平台能最少提供以下对接接口功能模块:

（1）、级联认证接口。

（2）、运行状态上报接口。

（3）、风险上报接口。

（4）、漏洞上报接口。

（5）、告警上报接口。

（6）、告警统计上报接口。

（7）、安全事件上报接口。

（8）、报表上报接口。

（9）、案例上报接口。

（10）、预警通报下发接口。

（11）、案例知识库查询接口。

（12）、威胁情报共享接口。

（13）、漏洞信息共享接口。

（14）、文件传输接口。

4.2、电子政务外网运维系统

★根据江苏省政务服务管理办公室《关于做好2020年电子政务外网建设管理工作的通知》（苏政务办发〔2020〕18号）文件要求：“开展电子政务外网运维系统建设，年底前与省级运维系统对接， 推动形成国家、省、市三级协同的电子政务外网运维管理体系”。

根据《江苏省电子政务外网运维平台接口与数据对接规范》要求实现盐城市电子政务外网网管系统升级改造。本项目要求升级完善政务外网现有华为eSight 系统，并实现与省平台数据无缝对接。

升级功能需求如下：

定制开发esight数据接口，按照《江苏省电子政务外网运维平台接口与数据对接规范》，提取esight中的资源类及告警类数据，完成该数据的校验、转换、存储、传输方案设计，并完成此数据的上报，同时，预留性能类提取接口，便于后期提取并上报给省平台告警及性能信息。

（1）、资源类上报开发：

为加强资源情况及资源使用情况管理，需要省、市两级尽可能全面准确地掌握资源信息。需按照省级对接规范，开发适配器，提取eSight系统中的资源类数据，并进行数据格式转换后，完成资源类数据上报，资源类数据包括接入节点信息、资源信息、拓扑关系等信息，涵盖目前市电子政务外网eSight所纳管的所有网络设备对象。

（2）、告警类上报开发：

需按照省级对接规范，开发适配器，提取eSight系统中的告警类数据，并进行数据格式转换后，完成告警类数据上报，告警类数据包括设备离线、端口断开等信息。

（3）、上报日志开发：

接口交互过程须记录为日志，记录内容包括：时间、操作账号、调用接口、调用是否成功、数据格式是否符合要求等。

（4）、数据要求：

按照省级平台的接口规范报送数据，保证数据的准确性、及时性和全面性，对数据进行合规性验证、数据清洗，通过HTTPS协议数据加密后报送至省级平台；

（5）、性能类接口预留：

预留性能类上报接口，便于后期项目进行性能类数据的上报开发，性能类数据包括设备数量、资源使用率、端口流量等信息。

5、IPv6数据共享中心

5.1、 IPv6 转换平台

5.1.1、 IPv6 DNS功能

通过分布式架构技术，消息总线技术、构建高性能和高可靠的平台，采用管理与业务解耦等方式设备提供本地的DNS 解析服务，提供稳定可靠的域名解析服务功能。

5.1.2 、IPv6负载均衡功能

支持图形化和命令行等多种管理模式，可以通过统一的运维管理界面，管理平台设备，实现系统状态监测、故障管理、配置管理、日志管理、统计分析等多项功能。同时支持用户溯源存储和管理，详细记录用户访问日志及IPv4/IPv6转换日志，并提供对外接口，方便网管系统或用户溯源系统读取日志信息，为用户行为分析和非法行为追溯提供原始数据。

*详情请见招标文件