服务需求

一、网络现状

鞍山市电子政务外网是按照国家电子政务外网管理规范和辽宁省相关文件要求，采用独立组网建设，按其功能划分为物理网络层和逻辑网络层，物理网络层由网络设备、传输线路以及IP协议组成的底层Underlay物理网络，逻辑网络层是基于底层网络采用标签、隧道和加密等协议等构建的上层Overlay逻辑网络。整体网络按照核心网、汇聚网、接入网三级的架构设计建设，通过构建逻辑网络层实现电子政务外网各类业务的逻辑划分和安全隔离。市电子政务外网与互联网安全逻辑隔离。2011年投入运营，至今已运行12年，具有核心机房2个、汇聚机房18个，整体由广域网与城域网组成。纵向通过广域网与辽宁省电子政务外网相连，实现省、市两级的互联互通；横向通过城域网连接全市各级政务部门及所属单位，实现市、县（市）区、乡镇（街道）、村（社区）四级全覆盖，满足全市各级政务部门开展社会管理和公共服务等需求。

随着我市数字政府建设与智慧城市发展工作的持续推进，跨层级、跨地域、跨系统、跨部门的协同管理和网络应用服务需求大幅增长，我市电子政务外网在网络设备承载、安全管控、出口带宽、运维管理、IPv6部署等方面亟待提升与完善。

★二、服务内容

（一）本次项目服务主要内容是为提升电子政务外网安全保护能力，保障各类重要业务系统平台的安全稳定运行，政府通过购买服务的方式租赁网络链路为市直各部门、县（市）区和开发区各部门及各部门所属相关单位提供电子政务外网接入服务。供应商要提供与乡镇（街道）、村（社区）现有电子政务外网链路的统一对接节点，并负责与乡镇（街道）、村（社区）电子政务外网服务提供商共同配合完成接入节点互联互访的联调联测。

（二）服务期内，国家或省如下发最新建设规范和建设要求时，供应商应根据最新规范和要求进行调整和升级，以达到国家和省对政务外网最新的要求标准，属本次合同服务内容范围内，费用由供应商承担。

（三）服务期内，供应商需根据省里非涉密业务专网向政务外网整合工作的推进情况，适时制定专网迁移整合实施方案和具体对接方案，满足省市县非涉密业务专网稳定有序迁移整合的工作要求，并指导有关委办局完成迁移整合相关技术工作。

★三、总体要求

鞍山市电子政务外网采用“核心—汇聚—接入”三层架构，通过MPLS VPN技术实现业务隔离和接入点隔离，核心节点采用双设备，分别部署在两个核心机房。市核心-市汇聚互联链路应采用物理双路由链路，节点设备均需支持路由交换的双向热切冷备能力。纵向与辽宁省电子政务外网相连，实现省、市两级的互联互通；横向连接所有市、县（市）区、乡镇（街道）、村（社区）单位，实现全市各级政务部门及所属单位的统一接入，为各级政务部门提供互联网访问服务。全网需满足专网整合、数云网业务快速部署需要，能为重要业务系统的差异化服务需求提供质量更高更可靠路径保障。具备网络路径，业务，转发行为三层可编程空间和高扩展性，满足未来IPv6的规模化部署和管理的便捷化需求，本次项目需在IPv6+技术体系的基础上采用SRv6+SDN技术，网络核心层和接入层两端PE支持SRv6，全网实现SRv6网络和MPLS网络的兼容并存，根据省里统一要求和鞍山实际需要支持现存MPLS网络到SRv6的平滑过渡。全网设备必须支持IPv6，全网采用IPv4/IPv6双栈部署。全网通过隔离技术、路由控制、防火墙、综合网关、入侵检测、病毒防护、日志审计、安全感知、边界访问控制设备等技术手段保证网络体系的安全。全网要通过信息安全等级保护第三级测评。全网要实现智能化监管和自动化运管。组网链路和设备、各级部门接入设备均由供应商提供，且提供软件、设备为国内自主品牌。电子政务外网链路服务必须满足国家安全可靠、自主可控的要求。各级接入部门自行负责完成本部门局域网的组网建设，所涉及的相关设备由各级部门自行解决，不在本次招标范围内。

（一）主要内容

1.互联网链路服务需求。

2.电子政务外网链路服务需求。

3.对接省政务外网服务需求。

4.对接市政务云平台服务需求。

5.自动化运维管理管平台服务需求。

6.安全监管平台服务需求。

7.IPv4/IPv6部署服务需求。

8.跨网数据安全交换平台服务需求。

9.等保和密码服务需求。

10.机房服务需求。

11.重要时期安全保障服务需求。

12.网络容灾服务需求。

13.实施服务要求。

14.运维团队服务要求。

15.服务水平需求。

16.验收要求。

17.其他要求。

（二）建设目的

1.提升电子政务外网的全网业务负载能力。

2.优化电子政务外网各层设备的数据转发与交换能力。

3.解决电子政务外网智能化运维能力。

4.完善电子政务外网的双向安全防护能力。

5.推动电子政务外网重点区域的IPv6建设工作。

6.构建电子政务外网安全监管体系。

（三）依据标准

《国家电子政务外网安全监测体系技术规范与实施指南》（GW0203-2014）

《政务网络安全监测平台总体技术要求》（T/CIIA 005-2019）

《信息安全技术 信息系统安全等级保护基本要求》（GB/T 22239-2019）

《中华人民共和国网络安全法》

《中华人民共和国密码法》

《网络安全等级保护 2.0》（GB/T22239-2019）

《关键信息基础设施安全保护条例》（国务院令第745号）

《推进互联网协议第六版（IPv6）规模部署行动计划》

《关于加快推进互联网协议第六版（IPv6）规模部署和应用工作的通知》（中网办〔2021〕15 号）

《“十四五”推进国家政务信息化规划》

《关于加强数字政府建设的指导意见》

《辽宁省人民政府关于印发辽宁省加快推进全省一体化在线政务服务平台建设实施方案的通知》（辽政发〔2019〕5号）

《辽宁省电子政务外网建设技术规范（试行）》

《辽宁省电子政务外网安全等级保护规范（试行）》

《辽宁省电子政务外网安全监测管理平台建设技术要求和接口规范（试行）》

《辽宁省电子政务外网运维管理平台建设技术要求和接口规范（试行）》

（四）交付工期

自签订合同之日起，60个日历日内，按要求完成包括机房在内的全部设施、设备安装调试、网络链路的全部交付使用。

四、互联网链路服务需求

★（一）接入专线要求。分别以两条物理光纤链路接入市电子政务外网两个核心机房。

★（二）接入带宽要求。每条物理光纤链路上下行网络带宽均为10Gbps独享IPv4、IPv6带宽。（服务期内，互联网链路带宽占用达到70%免费增加带宽）。

★（三）提供IP要求。提供不少于连续的4个C段互联网独立IPv4地址，即不少于1024个；提供不少于1块前缀为/48互联网独立IPv6地址，即不少于65535个。

★（四）安全要求。互联网出口应部署防火墙、IPS、防DDOS攻击设备、流量负载均衡及流量控制设备等，或具有上述功能的综合网关类设备，保证自身业务和全网的安全。供应商需提供两台防火墙以双机热备模式运行，以保证互联网链路的安全可靠。

（五）参数要求。

1.互联网出口防火墙

★（1）设备≥2台，处理器采用国产化芯片。

★（2）性能参数：吞吐量≥70G，并发连接数≥850万，HTTP新建连接数≥60万。

★（3）硬件参数：内存大小≥32G，系统硬盘容量≥64GB SSD，存储硬盘容量≥480GB SSD，冗余电源，千兆电口≥4个、千兆光口≥8个、万兆光口≥6个。

★（4）产品至少包含IPS、网关杀毒、链路负载均衡及流控等功能。

（5）产品支持路由模式、透明模式、虚拟网线模式、旁路镜像模式等多种部署方式，适应复杂使用环境的接入要求。

（6）支持对ICMP、UDP、DNS、SYN等协议进行DDOS防护。

（7）支持静态路由和多播路由，支持RIP、OSPF、BGP等动态路由协议。

★（8）支持IPv4/IPv6双栈工作模式。

（9）产品支持多维度安全策略设置，可基于时间、用户、应用、IP、域名等内容进行安全策略设置。

（10）产品支持多种用户认证方式，用户认证方式要求支持本地密码认证、外部密码认证和单点登陆等方式。

●（11）支持勒索病毒检测与防御功能。

●（12）支持对跨站脚本（XSS）攻击、SQL注入、文件包含攻击、信息泄露攻击、WEBSHELL、网站扫描、网页木马等攻击类型进行防护。

★（13）提供所投产品不少于三年质保服务、不少于三年软件升级服务、不少于三年病毒特征库升级、不少于三年IPS特征库升级。

2.DDoS清洗检测系统

★（1）设备≥2台。

★（2）吞吐性能≥40G，新建连接数≥60万，并发连接数≥3000万。

★（3）接口：千兆电口≥2个，万兆光口≥4个，额外提供不少于3个插槽。

（4）支持对HTTP/HTTPS/DNS/CC攻击防护，支持DNS request首包丢弃功能。

（5）支持针对缓存DNS服务器及授权DNS服务器宕机保护、域名劫持防护，支持DNS IP地址TopN、DNS域名TopN、DNS Qps 统计。

（6）支持UDP防御策略定制灵活，可实现应用多协议关联防御。

（7）支持动态黑洞能力丰富，支持根据单一地址流量、全局、地址段总流量黑洞地址，支持黑洞地址时间随频次增长，加黑时间延长操作。

（8）支持超级ACL（协议、端口、IP、协议CODE、协议标志位、州、国家、省份组合过滤）。

（9）支持多维度特征码过滤策略编制（特征码、特征码包长、特征码包频率、特征码流信任、特征码自动加白/加黑源IP）。

（10）支持自动抓包功能，当受到攻击时，自动抓被攻击主机的报攻击文，便于网络管理人员监控、取证。

（11）支持二层回注、策略路由回注、GRE回注、MPLS LSP回注、MPLS VPN回注等多种方式。

（12）支持每域名限速/指定域名限速；支持域名白黑名单功能；分级防护，支持一级与二级域名分开防护，可设置一级域名为放行，二级域名为屏蔽。

★（13）提供所投产品不少于三年质保服务。

五、电子政务外网链路服务需求

★（一）链路要求。服务期内，按照市、县（市）区和开发区两级直属部门及部门所属单位全覆盖要求，按需提供1Gbps专线和100Mbps专线裸光纤直连服务，服务内容包括但不限于光纤铺设接入服务、光纤带宽测试服务、光纤例行检测服务、光纤故障维护服务、光纤迁移服务、备品配件更换以及突发情况下临时光纤铺设接入服务等内容。

★（二）组网要求。通过物理隔离链路或逻辑隔离链路将市直机关各部门、县（市）区和开发区各部门的局域网络连接起来，实现不同单位跨部门业务的数据共享与交换。局域网接入边界需做访问控制，如异常流量的监测、非授权访问、病毒攻击等安全策略及防护措施。具备SDN业务扩展能力。考虑到国家电子政务外网推进工作，组网设备应预留相应业务接口，以支持未来的业务接入工作。

★（三）带宽要求。采用有效的QoS保障机制，部署QoS保障技术，优先保证网络传输带宽和服务质量。

1.核心层：包括核心层路由器和核心层千兆汇聚交换机，要保障具备互联网、政务外网双网络环境，提供双链路设计，单条不少于10Gbps的互联网出口带宽，且具备不少于40Gbps带宽的扩容能力。

2.汇聚层：包括汇聚层交换机，要保障具备上行双路万兆带宽能力，下行千兆带宽能力，具备万兆扩容能力。

3.接入层：包括接入层交换机和接入层路由器，按需提供，要保障具备上行千兆带宽能力，下行百兆带宽能力，具备千兆扩容能力。

★（四）部署要求

1.核心层。提供两个核心节点机房，单核心节点应配置主备核心路由设备，确保核心层设备冗余和链路冗余，通过核心路由器互联各功能区域和汇聚节点。两台核心路由器应放置在不同物理位置的核心机房。核心路由器至省级广域网接入路由器、互联网出入口区、安全接入平台和网络管理平台均为双链路上联，业务流量在两条链路上以双机热备负载分担的方式进行承载。核心路由器支持虚拟化技术，可多个节点机房的核心路由器虚拟化为1台路由器，可解耦独立运行。同时，核心机房内需提供同级别冷备设备，保障主设备故障后30分钟内的业务恢复能力。

详情见招标文件