HJ 460-2009
基本信息
标准号: HJ 460-2009
中文名称:环境信息网络建设规范
标准类别:环境保护行业标准(HJ)
标准状态:现行
发布日期:2009-03-20
实施日期:2009-06-01
出版语种:简体中文
下载格式:.rar .pdf
下载大小:769602
标准分类号
关联标准
出版信息
出版社:中国环境科学出版社
标准价格:0.0 元
出版日期:2009-06-01
相关单位信息
起草单位:环境保护部信息中心
发布部门:环境保护部
标准简介
本标准规定了全国环境信息三级骨干网络网际互连,以及全国信息网络建设的原则、基本流程、骨干网络建设、局域网建设、IP地址和域名规划,机房建设等技术要求。本标准适用于环境保护部、各省、自治区、直辖市环境保护厅(局)、新疆生产建设兵团环境保护局和地市级环境保护局环境信息网络建设工作。区、县级环境保护局及各级环境保护部门直属单位、派出机构亦可参照执行。 HJ 460-2009 环境信息网络建设规范 HJ460-2009 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
中华人民共和国国家环境保护标准HJ460—2009
环境信息网络建设规范
Specificationforenvironmental information networkbuilding(发布稿)
本电子版为发布稿。请以中国环境科学出版社出版的正式标准文本为准。2009-03-20发布
2009-06-01实施
环境保护部发布
前言.
2规范性引用文件
3术语和定义.
4全国环境信息网络建设原则和基本流程5全国环境信息骨干网网际互连
6全国环境信息局域网网络建设
7全国环境信息网络机房建设,.8全国环境信息网络验收测试.
附录A
(资料性附录)
附录 B
附录C
附录D
附录E
附录 F
附录G
附录H
(规范性附录)
(资料性附录)
(规范性附录)
(资料性附录)
(规范性附录)
(资料性附录)
(资料性附录)
全国环境信息网络系统域名命名规则全国环境信息网络IP地址规划表路由器性能指标
防火墙安全等级划分。
防火墙性能指标,
对不同高度房间的火灾探测器的选择机房面积公式,
局域网系统性能测试工具要求
为加强和规范全国环境信息网络的统一建设、管理,实现全国环境保护部门网络互联互保障环境业务数据的实时、有效传输,为环境保护管理和决策提供信息服务,制定本标通,
本标准规定了全国信息网络建设的原则、基本流程、骨干网络建设、局域网络建设,IP地址和域名规划,机房建设等技术要求。本标准附录B、附录D、附录F为规范性附录,附录A、附录C、附录E、附录G、附录H为资料性附录。
本标准由环境保护部科技标准司组织制订。本标准起草单位:环境保护部信息中心。本标准由环境保护部2009年3月20日批准。本标准自2009年6月1日起实施,本标准由环境保护部解释
1范围
环境信息网络建设规范
本标准规定了全国环境信息三级骨干网络网际互连,以及全国信息网络建设的原则、基本流程、骨干网络建设、局域网络建设,IP地址和域名规划,机房建设等技术要求。本标准适用于环境保护部、各省、自治区、直辖市环境保护厅(局)、新疆生产建设兵团环境保护局(以下简称省级环境保护厅(局))和地市级环境保护局环境信息网络建设工作。区、县级环境保护局及各级环境保护部门直属单位、派出机构亦可参照执行。2规范性引用文件
本标准内容引用了下列文件或其中的条款。凡是不注日期的引用文件,其有效版本适用于本标准。
GB18030-2005
GB50057-1994
GB50174
GB/T1988-1998
GB/T2260
GB/T2887
GB/T18233-2008
GB/T19668
GB/T20275-2006
GB/T20278-2006
GB/T20280-2006
GB/T20281-2006
GB/T50311-2007
GB/T50312-2007
GB/T21671-2008
GA 372-2001
YD/T1096-2001
YD/T1097-2001
YD/T1098-2001
YD/T1099-2005
YD/T1141-2001
YD/T1156-2001
YD/T1170-2001
YD/T1255-2003
YD/T1287-2003
IEC61935:2005
已安装布缆
IEC61280-4-1:2003
模光缆设备的衰减测量
IEC61280-4-2:1999
缆设施衰减
RFC2544
3术语和定义
信息技术中文编码字符集
建筑物防雷设计规范
电子计算机机房设计规范
信息技术信息交换用七位编码字符集中华人民共和国行政区划代码
电子计算机场地通用规范
信息技术用户建筑群的通用布缆信息化工程监理规范
信息安全技术入侵检测系统技术要求和测试评价方法信息安全技术网络脆弱性扫描产品技术要求信息安全技术网络脆弱性扫描产品测试评价方法信息安全技术防火墙技术要求和测试评价方法建筑与建筑群综合布线系统工程设计规范综合部线系统工程验收规范
基于以太网技术的局域网系统验收测评规范防火墙产品的安全功能检测
路由器设备技术规范-低端路由器路由器设备技术规范-高端路由器路由器测试规范-低端路由器
千兆比以太网交换机设备技术规范千兆比以太网交换机测试方法
路由器测试规范-高端路由器
IP网络技术要求-网络总体
具有路由功能的以太网交换机技术要求具有路由功能的以太网交换机测试方法按照GB/T18233/IS0/IEC11801的平衡通信布缆测试第1部分:纤维光学通信子系统试验程序第4-1部分:光缆设备及链接多光纤通信子系统基本试验程序第4-2部分:光缆设施单模光网络互联设备基准测试方法
下列术语和定义适用于本标准。3.1
环保系统骨干网及核心节点
全国环境信息网络分为三级骨干网:一级骨于网:环境保护部至各省级环境保护厅(局)的网络互连。二级骨于网:省级环境保护厅(局)至其所属地市级(含计划单列城市和副省级城市)环境保护局的网络互连,以及直辖市环境保护局至其区、县级环境保护局的网络互连三级骨干网:各地市级(含计划单列城市和副省级城市)环境保护局至其所属县、区级环境保护局的网络互连。
全国环境信息网络分为四级节点:环境保护部为一级节点,各省级环境保护厅(局)为二级节点,各地市级(含计划单列城市和副省级城市)环境保护局为三级节点,区、县级环境保护局为四级节点。3.2环保系统电子政务内网
环境保护部及全国各省级(含计划单列城市和副省级城市)环境保护厅(局)建设的用于电子公文传输、内部政务管理以及内部信息服务等的网络。电子政务内网为独立的网络,须与互联网和电子政务外网物理隔离。3.3环保系统电子政务外网
环境保护部及全国各级环境保护厅(局)内部局域网通过专线互连,用于污染源监测数据传输、环境保护系统综合业务平台、以及数据共享的网络。电子政务外网为全国性互连网络,须与互联网安全隔离。
3.4环保系统城域网
环境保护部连接其在京直属单位所形成的网络:省级环境保护厅(局)连接其同城直属单位所形成的网络:地市级环境保护局连接其同城直属单位所形成的网络。3.5国家级环境信息广域网
指环境保护部通过专线连接各省级环境保护厅(局)所形成的广域网。3.6省级环境信息广域网
指省级环境保护厅(局)通过专线连接其管辖范围内各地市级(含计划单列城市和副省级城市)环境保护局所形成的广域网。3.7缩略语
非军事区
域名解析系统
文件传输协议
超文本传输协议
入侵检测系统
互联网协议
网络地址转换器
邮局协议3
简单邮件传送协议
虚拟局域网
虚拟专用网
全国环境信息网络建设原则和基本流程4
网络建设原则
网络建设依据以下主要原则:
DemilitaryZone
Domain Name System
File Transfer Protocol
HypertextTransfer Protocol
Intrusion Detection System
Internet Protocol
NetworkAddressTranslation
PostOfficeProtocol3
SimpleMailTransferProtocol
Virtual Local Area Network
Virtual Private Network
a)满足各级环境保护部门的业务应用系统的要求b)利用已有的网络资源,与已有的专用政务网络兼容:c)
网络体系结构应以TCP/IP互连技术组建,即三层及三层以上统一采用TCP/IP协议栈,各种物理传输媒体之上采用多种协议栈的形式支持统一的IP层协议;根据应用业务系统及安全保障的不同需求,满足可分级管理和控制等特殊需要,采用分布式组织架构进行分级、分权的管理:应是安全可靠、可管理、可控制和可扩展的网络,具有服务分类和服务质量保障能e)
4.2网络建设基本流程
4.2.1立项阶段
立项阶段需编制立项申请报告和项目可行性研究报告。报告应依据相应部门的要求和适用的技术标准编制。
4.2.2确定监理机构
电子政务项目实行工程监理制。项目建设单位应按照信息系统工程监理的有关规定,委托具有信息系统工程相应监理资质的工程监理单位,对项目建设进行工程监理。有关规定见GB/T19668。
4.2.3招标投标阶段
环境信息网络建设工程、建设项目招标投标活动应满足以下要求:a)遵守《工程建设项目施工招标投标办法》的规定;b)遵守《计算机信息系统集成资质管理办法》的规定;c)
工程建设项目属于《工程建设项目招标范围和规模标准规定》(国家计委令第3号)规定的范围和标准的,须通过招标选择施工单位。不得将依法必须进行招标的项目化整为零或者以其他任何方式规避招标;d)涉密系统集成单位必须经过保密工作部门资质认定,并取得《涉及国家秘密的计算机系统集成资质证书》,涉密系统建设单位应选择具有《涉及国家秘密的计算机系统集成资质证书》的单位来承建涉密系统;e)遵守其他相关技术标准的规定。4.2.4工程设计阶段
网络建设工程设计应当遵循国家标准、行业标准和地方标准,并符合网络建设工程招标合同的要求。
4.2.5工程实施阶段
环境信息网络建设工程实施应当符合国家标准、行业标准和地方标准,符合网络建设工程设计方案的要求。
4.2.6工程验收阶段
重大项目的竣工验收,必须有各级环境保护信息部门参与评审;其他项目的竣工验收,建设单位应当根据工程备案管辖邀请市或者区、县各级环境保护信息部门参加。环境信息网络建设工程验收应当符合国家标准、行业标准和地方标准,符合网络建设工程招标合同的要求,涉及保密和隐蔽工程的验收参照相关规定。从事工程验收设计的单位,应当执行有关的国家标准、行业标准和地方标准。4.2.7运行及维护阶段
网络维护是环境信息网络正常运行的保证,必须给予充分的重视,并从人员、规章制度和资金等各个方面作好相应的安排。应建立网络建设工程质量保修制度。承建方应按合同,履行保修责任。保修期自工程工验收合格之日起不得少于两年。5全国环境信息骨干网网际互连
网络结构及拓扑
全国环境信息网络结构可分为三级骨干网,四级节点。5.1.1互联网网际互连网络结构及拓扑互联网接口为全国各级环境保护部门连接国际互联网的出口。局域网(外网)为星型拓扑结构。
5.1.2广域网网络结构及拓扑
全国环境信息广域网络主要包括:一、二、三级骨干网。广域网为星型拓扑结构。5.1.3环保系统城域网网络结构及拓扑环保系统城域网是全国各级环境保护部门至同城直属单位的网络互连,为星型拓扑结构。
5.2链路和带宽
5.2.1互联网链路和带宽
互联网的链路由运行商提供。互联网的带宽根据业务需求确定,以下为带宽升级的参考标准:
当一条链路具有高的利用率,如果优先级高的流量还可以被正常的路由,业务应用a
质量尚可,Ping测试时所经历的延迟也不显著,可不升级带宽:b)如果优先级高的流量的可用带宽接近带宽的极限,宜升级带宽;c)如果网络正常业务流量长时间达到整个互联网带宽的70%,并且关键业务应用明显受到影响,在Ping测试时所经历的延迟显著,并伴随一定的丢包率,应升级互联网带宽。
5.2.2城域网链路和带宽
环境保护部与在京直属单位的网络互连应采用专线连接,带宽不低于2M,环境保护部连接环境保护部信息中心数据中心带宽不低于100M。省级环境保护厅(局)与其同城直属单位的网络互连可采用专线连接,带宽不低于2M。地市级环境保护局与其同城直属单位的网络互连可采用专线连接,带宽不低于2M。5.2.3广域网链路和带宽
一级骨于网采用专线连接,带宽不低于6M。二级骨于网采用专线连接,带宽不低于2M。三级骨干网可采用专线连接,带宽不低于2M,也可采用VPN技术,带宽不低于512K5.3网络接入设备
5.3.1接入设备类型
5.3.1.1互联网接入设备
互联网接入路由器可选择支持百兆带宽的中低端路由器。5.3.1.2城域网接入设备
全国环境信息城域网接入设备等级主要由设备所在节点角色功能决定。环境保护部与在京直属单位的网络互连,采用高端路由器,各在京直属单位可采用低端路由器。各省级环境保护厅(局)与同城直属单位的网络互连,采用中高端路由器,各同城直属单位可采用低端路由器。各地市级环境保护局与同城直属单位的网络互连,采用中低端路由器,各同城直属单位可采用低端路由器,
5.3.1.3广域网接入设备
全国环境信息广域网一级骨干网络中,环境保护部为一级节点,应采用高端路由器。二级骨干网络中,各省级环境保护厅(局)为二级节点,采用中高端路由器:各地市级环境保护局采用中低端路由器。
5.3.2接入设备要求
5.3.2.1高端路由器
高端路由器通常位于骨干网接入节点,为骨干网转发数据提供路由处理能力和传输带宽。
)高端路由器功能主要包括:
1)路由器的功能特性;
通信规程:
协议要求:
路由协议;
接口类型;
网管协议等
高端路由器性能指标主要包括:1)吞吐量;
丢包率:
包转发率;
可靠性和安全性;
路由表容量:
6)接口转发时延等。
有关高端核心路由器的详细要求见YD/T1097-2001。路由器性能指标参见附录C。4
5.3.2.2低端路由器
低端路由器一般位于网络边缘,是通过数据转发包来实现连接一级网络与二级网络的路由器。
低端路由器功能主要包括:
路由器的功能特性:
通信规程;
协议要求;
路由协议;
接口类型;
网管协议等
低端路由器性能指标主要包括:1
接口转发时延;
丢包率:
包转发率:
内存容量等。
有关低端核心路由器的详细要求见YD/T1096-2001。路由器性能指标参见附录C。5.4网络安全设备
5.4.1安全设备类型
5.4.1.1互联网安全设备
互联网接入的安全设备可以选择支持百兆带宽的中低端防火墙,并可根据实际情况部署入侵检测设备、上网行为管理设备、流量管理设备等安全产品。5.4.1.2广域网和城域网安全设备在全国环境信息广域网和城域网建设中网络安全设备主要是指防火墙设备、入侵检测系统和网络脆弱性扫描系统。环境保护部、省级环境保护厅(局)、地市级环境保护局必须在网络节点部署防火墙、入侵检测系统和网络脆弱性扫描系统,区、县级环境保护局可以采用软件防火墙。
5.4.2防火墙设备
防火墙作为一个或一组在不同安全策略的网络或安全域之间实施访问控制的系统,通用技术要求分为功能、性能、安全和保证要求四大类。防火墙设备主要功能:
1)包过滤;wwW.bzxz.Net
应用代理;
内容过滤:
动态开放端口;
安全审计:
安全管理等。
防火墙设备主要性能指标:
吞吐量:
延迟;
最大并发连接数;
最大连接速率。
安全要求是对防火墙自身安全和防护能力提出具体的要求,例如:1)
抗渗透:
2)恶意代码防御;
系统应构建于安全增强的操作系统之上。保证要求则针对防火墙开发者和防火墙自身提出具体的要求,例如:1)管理配置;
2)交付与操作:
3)指南文件等。
防火墙等级分为一级、二级、三级三个逐级提高的级别,功能强弱、安全强度和保证要求高低是等级划分的具体依据。安全等级突出安全特性,性能高低不作为等级划分依据,详细划分情况见附录D。
有关防火墙设备要求详见GB/T20281-2006。5.4.3入侵检测设备
入侵检测设备可分为主机型入侵检测系统和网络型入侵检测系统,可划分为三个等级。三个逐级提高的级别,功能强弱、安全强度和保证要求高低是等级划分的具体依据。a)入侵检测设备主要功能:
1)数据探测:
入侵分析;
入侵响应;
管理控制:
检测结果处理;
安全审计。
入侵检测设备主要性能指标:
1)误报率:
2)漏报率。
有关入侵检测系统要求详见GB/T20275-2006。5.4.4网络脆弱性扫描系统
网络脆弱性扫描是网络安全防御中的一项重要技术,其原理是对采用的安全策略和规章制度进行评审,发现不合理的地方,采用模拟攻击的形式对自标可能存在的己知网络脆弱性进行逐项检查,确定存在的安全隐患和风险级别。使用网络脆弱性扫描产品可自动对计算机系统进行安全评估分析,对网络进行检查,发现其中可能被利用的脆弱性,并提出解决的建议或自动进行修复,提高网络系统的安全性能,达到在入侵发生之前及时弥补系统及网络安全脆弱性,消除入侵隐患的目的,保证网络安全的运行。网络脆弱性扫描主要功能:
自身安全要求;
b)脆弱性扫描;
c)网络旁路检查;
d)信息获取:
端口和服务扫描:
f)授权管理员访问;
g)扫描结果分析处理;
h)扫描策略定制;
i)扫描对象的安全性等。
网络脆弱性扫描主要性能指标:a)速度;
b))稳定性;
c)容错性。
有关网络脆弱性扫描产品详见:GB/T20278-2006和GB/T20280-2006。5.5网络管理平台
5.5.1网络管理软件系统平台主要功能要求5.5.1.1故障管理
a)网络全面监控,集成整个网络的告警整/故障事件信息,统一处理、呈现和分析告整故障事件信息,以便提高网络事件处理效率;Q)
实现告警/故障事件信息的实时交换,通过将这些事件信息进行集中的相关性和关联性分析,可以使操作维护人员迅速找到根源问题所在,并能够通过这些相关联的事件信息,确定对网络承载业务的影响情况。5.5.1.2网络性能管理
a)通过专用网络管理工具监测网络性能,对全国环境信息网络运行状况进行监控,通过性能管理,判断网络的运行质量、运行效率、流量流向以及连通率水平等。网络性能监控制定性能测量的标准和手段,分析网络服务的趋势和行为,在发现性能下降时立即报告,使管理员及时采取措施进行处理:生成的性能报告必须提供实时和历史的性能报告,可以实时查看每个性能当前的状b)
态和服务水平状态,并查看详细的性能曲线,报告包括小时、三小时、天、周、月报表。性能报表可以按照每个配置文件的要求分发到相应的Web站点上。运行在不同地点的监视器报表可以汇集到某个集中的地点,从而可以完整地反映出服务的性能状况。
5.5.1.3网络拓扑管理
a)网络拓扑管理系统能提供准确的网络三层、二层连接视图,可以清楚地反映网络实际的物理连接,发现网络拓扑结构包括网络所有节点之间的连接关系,如交换机划分的VLAN、每个VLAN包含的端口、端口连接的节点,路由器的端口,其连接的设备,服务器或PC地址、连接在交换机的哪个端口上,通过这些网络连接信息构建完整的网络拓扑视图。在其拓扑图中,可以准确地标识出PC或服务器是通过哪个交换机进行连接,属于交换机的哪个VLAN,交换机与路由器之间是如何连接的,而且精确到物理端口一级;
b)网络拓扑管理系统能针对不同用户,定制用户的拓扑查看权限。5.5.1.4综合视图呈现
网络管理软件系统综合视图呈现须具备以下特点:a)灵活直观。根据管理需要和习惯定义适合客户的实时监控界面,这种界面可以综合网络的信息,而不是单个功能的简单呈现,因此管理界面可以更加切合运维的监控需要和领导了解全网状况的需要;b)集成。由于采用浏览器界面,不同的管理功能之间更容易集成,可以真正建立网管的统一界面,并实现不同功能的互操作分权。不同的管理人员根据管理权限和职能,可以定义不同的管理界面,可以使用c)
的工具,可以查看的事件,可以访问的拓扑等等。这种分权管理能力,可以充分保证全国环境信息网络管理分布式管理的需要,充分支持不同网络的分权管理,保证每个操作维护人员只查看和处理自己的拓扑信息、事件信息。实现各网络设备的统管理。
5.6网络互连协议及典型业务协议全国环境信息网络骨干网网际互连协议选择TCP/IP协议,并基于TCP/IP协议可以开展如下典型业务。
5.6.1Web业务
a)基本技术:基于Web技术,为了增强多媒体检索的功能,采用JAVA、公共网关接口(CGI)等技术,以适合各种场合的需要:b)
协议及标准:通信协议采用超文本传送协议(HTTP):多媒体信息检索业务可应用于新闻、信息查询、课程培训、文化教育、法律、法规、广告等。
E-mail
基本技术:利用电子邮件技术
协议及标准:通信协议采用简单邮件传输协议(SMTP)、POP3;电子邮件业务可应用于接收信件、发送信件、文件转发等。5.6.3FTP
基本技术:利用异地主机的FTP文件交换或用Telnet仿真终端接入,完成远程异地a
科学计算及信息处理;
协议及标准:通信协议采用FTP等:b))
科学计算及信息处理业务可应用于翻译业务、软件共享业务、远程计算机辅助设计c
业务等。
5.6.4虚拟专用网(VPN)业务
a)基本技术:在IP网上实现VPN业务,就是使用加密的IP隧道,实现专有IP包和其他网络协议(IPX、NetBEUI等)包在Internet上传输,从而实现不同的虚拟专用网(VPN):
b)协议和标准:
1)点对点隧道协议:点到点隧道协议(PPTP):第二层隧道协议:第2层隧道协议(L2TP):2
3)第三层隧道协议:通用路由协议GRE(参见RFC1071/1072);4)IP安全协议:IPSec协议。
虚拟专用网(VPN)业务可应用于内联网互连、外联网互连、远程用户接入等。有关IPVPN业务的具体要求参见相关的标准。多媒体会议业务
a)基本技术。基于TCP/IP的会议业务。由于LAN上得不到稳定的业务质量,因而需要图像编码和语音编码的尺度均可伸缩。为保证实时及同步的要求,实时信息(视频音频)RTP、RTCP、UDP协议栈,数据信息用TCP协议栈。为了进一步保证质量,要有一定的信道带宽预约机制;
b)协议和标准:
1)通信协议:H.323、H.225、RTP、UDP、HTTP:服务质量协议:RSVP、Diffserv;2)
语音编码协议:G723.1、G.729:图像编码协议:H.263;
5)多点会议协议:T.120协议、T.130协议。c)多媒体会议业务可应用于专网或虚拟专网中的多媒体会议业务、公众多点多媒体会议业务等。
5.7全国环保系统IP地址规划
5.7.1原则
a)全国环保系统网络地址统一规划,中央和地方分级管理,支持各部门、各地方网络的互连;
b)IP地址的分配应具有层次性、连续性,以提高IP地址利用率、减少路由表表项。5.7.2全国环保系统网络地址
全国环保系统网络地址包括用户地址和互联共享地址。各部门内部网络使用用户地址,部门间、系统间网络互通使用互联共享地址a)用户地址,是指部门内部网络的设备地址和接入全国环境信息网络所需使用的地址,包括个人主机地址、部门网络设备地址、部门应用服务器地址等。此地址作为全国环境信息网络内部地址专用,不使用于互联网:b)互联共享地址,是指全国环境信息网络中提供信息服务的主机地址,该地址能够在整个政务外网范围内被访问。互联共享地址包括链路地址(网络设备间的点对点互联地址)和设备管理地址,互联共享地址分配到用户接入设备的上连(网络侧)端口。
5.8全国环保系统域名管理
5.8.1原则
a)全国环保系统网络的域名系统统筹规划,中央和地方分级管理:b)域名命名主要采用中文域名,辅以英文域名。中文域名的命名应符合中文书写的特点;
全国环保系统电子政务内网域名系统采用三级域名管理,全国环保系统电子政务外网域名系统可采用多级域名管理。5.8.2中文域名
5.8.2.1使用原则
a)不使用含有“China”、“Chinese”、“CN”、“National”、“中国”、“中华”字样的名称:
b)不应使用其他国家或地区名称、国外地名、国际组织名称:8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
环境信息网络建设规范
Specificationforenvironmental information networkbuilding(发布稿)
本电子版为发布稿。请以中国环境科学出版社出版的正式标准文本为准。2009-03-20发布
2009-06-01实施
环境保护部发布
前言.
2规范性引用文件
3术语和定义.
4全国环境信息网络建设原则和基本流程5全国环境信息骨干网网际互连
6全国环境信息局域网网络建设
7全国环境信息网络机房建设,.8全国环境信息网络验收测试.
附录A
(资料性附录)
附录 B
附录C
附录D
附录E
附录 F
附录G
附录H
(规范性附录)
(资料性附录)
(规范性附录)
(资料性附录)
(规范性附录)
(资料性附录)
(资料性附录)
全国环境信息网络系统域名命名规则全国环境信息网络IP地址规划表路由器性能指标
防火墙安全等级划分。
防火墙性能指标,
对不同高度房间的火灾探测器的选择机房面积公式,
局域网系统性能测试工具要求
为加强和规范全国环境信息网络的统一建设、管理,实现全国环境保护部门网络互联互保障环境业务数据的实时、有效传输,为环境保护管理和决策提供信息服务,制定本标通,
本标准规定了全国信息网络建设的原则、基本流程、骨干网络建设、局域网络建设,IP地址和域名规划,机房建设等技术要求。本标准附录B、附录D、附录F为规范性附录,附录A、附录C、附录E、附录G、附录H为资料性附录。
本标准由环境保护部科技标准司组织制订。本标准起草单位:环境保护部信息中心。本标准由环境保护部2009年3月20日批准。本标准自2009年6月1日起实施,本标准由环境保护部解释
1范围
环境信息网络建设规范
本标准规定了全国环境信息三级骨干网络网际互连,以及全国信息网络建设的原则、基本流程、骨干网络建设、局域网络建设,IP地址和域名规划,机房建设等技术要求。本标准适用于环境保护部、各省、自治区、直辖市环境保护厅(局)、新疆生产建设兵团环境保护局(以下简称省级环境保护厅(局))和地市级环境保护局环境信息网络建设工作。区、县级环境保护局及各级环境保护部门直属单位、派出机构亦可参照执行。2规范性引用文件
本标准内容引用了下列文件或其中的条款。凡是不注日期的引用文件,其有效版本适用于本标准。
GB18030-2005
GB50057-1994
GB50174
GB/T1988-1998
GB/T2260
GB/T2887
GB/T18233-2008
GB/T19668
GB/T20275-2006
GB/T20278-2006
GB/T20280-2006
GB/T20281-2006
GB/T50311-2007
GB/T50312-2007
GB/T21671-2008
GA 372-2001
YD/T1096-2001
YD/T1097-2001
YD/T1098-2001
YD/T1099-2005
YD/T1141-2001
YD/T1156-2001
YD/T1170-2001
YD/T1255-2003
YD/T1287-2003
IEC61935:2005
已安装布缆
IEC61280-4-1:2003
模光缆设备的衰减测量
IEC61280-4-2:1999
缆设施衰减
RFC2544
3术语和定义
信息技术中文编码字符集
建筑物防雷设计规范
电子计算机机房设计规范
信息技术信息交换用七位编码字符集中华人民共和国行政区划代码
电子计算机场地通用规范
信息技术用户建筑群的通用布缆信息化工程监理规范
信息安全技术入侵检测系统技术要求和测试评价方法信息安全技术网络脆弱性扫描产品技术要求信息安全技术网络脆弱性扫描产品测试评价方法信息安全技术防火墙技术要求和测试评价方法建筑与建筑群综合布线系统工程设计规范综合部线系统工程验收规范
基于以太网技术的局域网系统验收测评规范防火墙产品的安全功能检测
路由器设备技术规范-低端路由器路由器设备技术规范-高端路由器路由器测试规范-低端路由器
千兆比以太网交换机设备技术规范千兆比以太网交换机测试方法
路由器测试规范-高端路由器
IP网络技术要求-网络总体
具有路由功能的以太网交换机技术要求具有路由功能的以太网交换机测试方法按照GB/T18233/IS0/IEC11801的平衡通信布缆测试第1部分:纤维光学通信子系统试验程序第4-1部分:光缆设备及链接多光纤通信子系统基本试验程序第4-2部分:光缆设施单模光网络互联设备基准测试方法
下列术语和定义适用于本标准。3.1
环保系统骨干网及核心节点
全国环境信息网络分为三级骨干网:一级骨于网:环境保护部至各省级环境保护厅(局)的网络互连。二级骨于网:省级环境保护厅(局)至其所属地市级(含计划单列城市和副省级城市)环境保护局的网络互连,以及直辖市环境保护局至其区、县级环境保护局的网络互连三级骨干网:各地市级(含计划单列城市和副省级城市)环境保护局至其所属县、区级环境保护局的网络互连。
全国环境信息网络分为四级节点:环境保护部为一级节点,各省级环境保护厅(局)为二级节点,各地市级(含计划单列城市和副省级城市)环境保护局为三级节点,区、县级环境保护局为四级节点。3.2环保系统电子政务内网
环境保护部及全国各省级(含计划单列城市和副省级城市)环境保护厅(局)建设的用于电子公文传输、内部政务管理以及内部信息服务等的网络。电子政务内网为独立的网络,须与互联网和电子政务外网物理隔离。3.3环保系统电子政务外网
环境保护部及全国各级环境保护厅(局)内部局域网通过专线互连,用于污染源监测数据传输、环境保护系统综合业务平台、以及数据共享的网络。电子政务外网为全国性互连网络,须与互联网安全隔离。
3.4环保系统城域网
环境保护部连接其在京直属单位所形成的网络:省级环境保护厅(局)连接其同城直属单位所形成的网络:地市级环境保护局连接其同城直属单位所形成的网络。3.5国家级环境信息广域网
指环境保护部通过专线连接各省级环境保护厅(局)所形成的广域网。3.6省级环境信息广域网
指省级环境保护厅(局)通过专线连接其管辖范围内各地市级(含计划单列城市和副省级城市)环境保护局所形成的广域网。3.7缩略语
非军事区
域名解析系统
文件传输协议
超文本传输协议
入侵检测系统
互联网协议
网络地址转换器
邮局协议3
简单邮件传送协议
虚拟局域网
虚拟专用网
全国环境信息网络建设原则和基本流程4
网络建设原则
网络建设依据以下主要原则:
DemilitaryZone
Domain Name System
File Transfer Protocol
HypertextTransfer Protocol
Intrusion Detection System
Internet Protocol
NetworkAddressTranslation
PostOfficeProtocol3
SimpleMailTransferProtocol
Virtual Local Area Network
Virtual Private Network
a)满足各级环境保护部门的业务应用系统的要求b)利用已有的网络资源,与已有的专用政务网络兼容:c)
网络体系结构应以TCP/IP互连技术组建,即三层及三层以上统一采用TCP/IP协议栈,各种物理传输媒体之上采用多种协议栈的形式支持统一的IP层协议;根据应用业务系统及安全保障的不同需求,满足可分级管理和控制等特殊需要,采用分布式组织架构进行分级、分权的管理:应是安全可靠、可管理、可控制和可扩展的网络,具有服务分类和服务质量保障能e)
4.2网络建设基本流程
4.2.1立项阶段
立项阶段需编制立项申请报告和项目可行性研究报告。报告应依据相应部门的要求和适用的技术标准编制。
4.2.2确定监理机构
电子政务项目实行工程监理制。项目建设单位应按照信息系统工程监理的有关规定,委托具有信息系统工程相应监理资质的工程监理单位,对项目建设进行工程监理。有关规定见GB/T19668。
4.2.3招标投标阶段
环境信息网络建设工程、建设项目招标投标活动应满足以下要求:a)遵守《工程建设项目施工招标投标办法》的规定;b)遵守《计算机信息系统集成资质管理办法》的规定;c)
工程建设项目属于《工程建设项目招标范围和规模标准规定》(国家计委令第3号)规定的范围和标准的,须通过招标选择施工单位。不得将依法必须进行招标的项目化整为零或者以其他任何方式规避招标;d)涉密系统集成单位必须经过保密工作部门资质认定,并取得《涉及国家秘密的计算机系统集成资质证书》,涉密系统建设单位应选择具有《涉及国家秘密的计算机系统集成资质证书》的单位来承建涉密系统;e)遵守其他相关技术标准的规定。4.2.4工程设计阶段
网络建设工程设计应当遵循国家标准、行业标准和地方标准,并符合网络建设工程招标合同的要求。
4.2.5工程实施阶段
环境信息网络建设工程实施应当符合国家标准、行业标准和地方标准,符合网络建设工程设计方案的要求。
4.2.6工程验收阶段
重大项目的竣工验收,必须有各级环境保护信息部门参与评审;其他项目的竣工验收,建设单位应当根据工程备案管辖邀请市或者区、县各级环境保护信息部门参加。环境信息网络建设工程验收应当符合国家标准、行业标准和地方标准,符合网络建设工程招标合同的要求,涉及保密和隐蔽工程的验收参照相关规定。从事工程验收设计的单位,应当执行有关的国家标准、行业标准和地方标准。4.2.7运行及维护阶段
网络维护是环境信息网络正常运行的保证,必须给予充分的重视,并从人员、规章制度和资金等各个方面作好相应的安排。应建立网络建设工程质量保修制度。承建方应按合同,履行保修责任。保修期自工程工验收合格之日起不得少于两年。5全国环境信息骨干网网际互连
网络结构及拓扑
全国环境信息网络结构可分为三级骨干网,四级节点。5.1.1互联网网际互连网络结构及拓扑互联网接口为全国各级环境保护部门连接国际互联网的出口。局域网(外网)为星型拓扑结构。
5.1.2广域网网络结构及拓扑
全国环境信息广域网络主要包括:一、二、三级骨干网。广域网为星型拓扑结构。5.1.3环保系统城域网网络结构及拓扑环保系统城域网是全国各级环境保护部门至同城直属单位的网络互连,为星型拓扑结构。
5.2链路和带宽
5.2.1互联网链路和带宽
互联网的链路由运行商提供。互联网的带宽根据业务需求确定,以下为带宽升级的参考标准:
当一条链路具有高的利用率,如果优先级高的流量还可以被正常的路由,业务应用a
质量尚可,Ping测试时所经历的延迟也不显著,可不升级带宽:b)如果优先级高的流量的可用带宽接近带宽的极限,宜升级带宽;c)如果网络正常业务流量长时间达到整个互联网带宽的70%,并且关键业务应用明显受到影响,在Ping测试时所经历的延迟显著,并伴随一定的丢包率,应升级互联网带宽。
5.2.2城域网链路和带宽
环境保护部与在京直属单位的网络互连应采用专线连接,带宽不低于2M,环境保护部连接环境保护部信息中心数据中心带宽不低于100M。省级环境保护厅(局)与其同城直属单位的网络互连可采用专线连接,带宽不低于2M。地市级环境保护局与其同城直属单位的网络互连可采用专线连接,带宽不低于2M。5.2.3广域网链路和带宽
一级骨于网采用专线连接,带宽不低于6M。二级骨于网采用专线连接,带宽不低于2M。三级骨干网可采用专线连接,带宽不低于2M,也可采用VPN技术,带宽不低于512K5.3网络接入设备
5.3.1接入设备类型
5.3.1.1互联网接入设备
互联网接入路由器可选择支持百兆带宽的中低端路由器。5.3.1.2城域网接入设备
全国环境信息城域网接入设备等级主要由设备所在节点角色功能决定。环境保护部与在京直属单位的网络互连,采用高端路由器,各在京直属单位可采用低端路由器。各省级环境保护厅(局)与同城直属单位的网络互连,采用中高端路由器,各同城直属单位可采用低端路由器。各地市级环境保护局与同城直属单位的网络互连,采用中低端路由器,各同城直属单位可采用低端路由器,
5.3.1.3广域网接入设备
全国环境信息广域网一级骨干网络中,环境保护部为一级节点,应采用高端路由器。二级骨干网络中,各省级环境保护厅(局)为二级节点,采用中高端路由器:各地市级环境保护局采用中低端路由器。
5.3.2接入设备要求
5.3.2.1高端路由器
高端路由器通常位于骨干网接入节点,为骨干网转发数据提供路由处理能力和传输带宽。
)高端路由器功能主要包括:
1)路由器的功能特性;
通信规程:
协议要求:
路由协议;
接口类型;
网管协议等
高端路由器性能指标主要包括:1)吞吐量;
丢包率:
包转发率;
可靠性和安全性;
路由表容量:
6)接口转发时延等。
有关高端核心路由器的详细要求见YD/T1097-2001。路由器性能指标参见附录C。4
5.3.2.2低端路由器
低端路由器一般位于网络边缘,是通过数据转发包来实现连接一级网络与二级网络的路由器。
低端路由器功能主要包括:
路由器的功能特性:
通信规程;
协议要求;
路由协议;
接口类型;
网管协议等
低端路由器性能指标主要包括:1
接口转发时延;
丢包率:
包转发率:
内存容量等。
有关低端核心路由器的详细要求见YD/T1096-2001。路由器性能指标参见附录C。5.4网络安全设备
5.4.1安全设备类型
5.4.1.1互联网安全设备
互联网接入的安全设备可以选择支持百兆带宽的中低端防火墙,并可根据实际情况部署入侵检测设备、上网行为管理设备、流量管理设备等安全产品。5.4.1.2广域网和城域网安全设备在全国环境信息广域网和城域网建设中网络安全设备主要是指防火墙设备、入侵检测系统和网络脆弱性扫描系统。环境保护部、省级环境保护厅(局)、地市级环境保护局必须在网络节点部署防火墙、入侵检测系统和网络脆弱性扫描系统,区、县级环境保护局可以采用软件防火墙。
5.4.2防火墙设备
防火墙作为一个或一组在不同安全策略的网络或安全域之间实施访问控制的系统,通用技术要求分为功能、性能、安全和保证要求四大类。防火墙设备主要功能:
1)包过滤;wwW.bzxz.Net
应用代理;
内容过滤:
动态开放端口;
安全审计:
安全管理等。
防火墙设备主要性能指标:
吞吐量:
延迟;
最大并发连接数;
最大连接速率。
安全要求是对防火墙自身安全和防护能力提出具体的要求,例如:1)
抗渗透:
2)恶意代码防御;
系统应构建于安全增强的操作系统之上。保证要求则针对防火墙开发者和防火墙自身提出具体的要求,例如:1)管理配置;
2)交付与操作:
3)指南文件等。
防火墙等级分为一级、二级、三级三个逐级提高的级别,功能强弱、安全强度和保证要求高低是等级划分的具体依据。安全等级突出安全特性,性能高低不作为等级划分依据,详细划分情况见附录D。
有关防火墙设备要求详见GB/T20281-2006。5.4.3入侵检测设备
入侵检测设备可分为主机型入侵检测系统和网络型入侵检测系统,可划分为三个等级。三个逐级提高的级别,功能强弱、安全强度和保证要求高低是等级划分的具体依据。a)入侵检测设备主要功能:
1)数据探测:
入侵分析;
入侵响应;
管理控制:
检测结果处理;
安全审计。
入侵检测设备主要性能指标:
1)误报率:
2)漏报率。
有关入侵检测系统要求详见GB/T20275-2006。5.4.4网络脆弱性扫描系统
网络脆弱性扫描是网络安全防御中的一项重要技术,其原理是对采用的安全策略和规章制度进行评审,发现不合理的地方,采用模拟攻击的形式对自标可能存在的己知网络脆弱性进行逐项检查,确定存在的安全隐患和风险级别。使用网络脆弱性扫描产品可自动对计算机系统进行安全评估分析,对网络进行检查,发现其中可能被利用的脆弱性,并提出解决的建议或自动进行修复,提高网络系统的安全性能,达到在入侵发生之前及时弥补系统及网络安全脆弱性,消除入侵隐患的目的,保证网络安全的运行。网络脆弱性扫描主要功能:
自身安全要求;
b)脆弱性扫描;
c)网络旁路检查;
d)信息获取:
端口和服务扫描:
f)授权管理员访问;
g)扫描结果分析处理;
h)扫描策略定制;
i)扫描对象的安全性等。
网络脆弱性扫描主要性能指标:a)速度;
b))稳定性;
c)容错性。
有关网络脆弱性扫描产品详见:GB/T20278-2006和GB/T20280-2006。5.5网络管理平台
5.5.1网络管理软件系统平台主要功能要求5.5.1.1故障管理
a)网络全面监控,集成整个网络的告警整/故障事件信息,统一处理、呈现和分析告整故障事件信息,以便提高网络事件处理效率;Q)
实现告警/故障事件信息的实时交换,通过将这些事件信息进行集中的相关性和关联性分析,可以使操作维护人员迅速找到根源问题所在,并能够通过这些相关联的事件信息,确定对网络承载业务的影响情况。5.5.1.2网络性能管理
a)通过专用网络管理工具监测网络性能,对全国环境信息网络运行状况进行监控,通过性能管理,判断网络的运行质量、运行效率、流量流向以及连通率水平等。网络性能监控制定性能测量的标准和手段,分析网络服务的趋势和行为,在发现性能下降时立即报告,使管理员及时采取措施进行处理:生成的性能报告必须提供实时和历史的性能报告,可以实时查看每个性能当前的状b)
态和服务水平状态,并查看详细的性能曲线,报告包括小时、三小时、天、周、月报表。性能报表可以按照每个配置文件的要求分发到相应的Web站点上。运行在不同地点的监视器报表可以汇集到某个集中的地点,从而可以完整地反映出服务的性能状况。
5.5.1.3网络拓扑管理
a)网络拓扑管理系统能提供准确的网络三层、二层连接视图,可以清楚地反映网络实际的物理连接,发现网络拓扑结构包括网络所有节点之间的连接关系,如交换机划分的VLAN、每个VLAN包含的端口、端口连接的节点,路由器的端口,其连接的设备,服务器或PC地址、连接在交换机的哪个端口上,通过这些网络连接信息构建完整的网络拓扑视图。在其拓扑图中,可以准确地标识出PC或服务器是通过哪个交换机进行连接,属于交换机的哪个VLAN,交换机与路由器之间是如何连接的,而且精确到物理端口一级;
b)网络拓扑管理系统能针对不同用户,定制用户的拓扑查看权限。5.5.1.4综合视图呈现
网络管理软件系统综合视图呈现须具备以下特点:a)灵活直观。根据管理需要和习惯定义适合客户的实时监控界面,这种界面可以综合网络的信息,而不是单个功能的简单呈现,因此管理界面可以更加切合运维的监控需要和领导了解全网状况的需要;b)集成。由于采用浏览器界面,不同的管理功能之间更容易集成,可以真正建立网管的统一界面,并实现不同功能的互操作分权。不同的管理人员根据管理权限和职能,可以定义不同的管理界面,可以使用c)
的工具,可以查看的事件,可以访问的拓扑等等。这种分权管理能力,可以充分保证全国环境信息网络管理分布式管理的需要,充分支持不同网络的分权管理,保证每个操作维护人员只查看和处理自己的拓扑信息、事件信息。实现各网络设备的统管理。
5.6网络互连协议及典型业务协议全国环境信息网络骨干网网际互连协议选择TCP/IP协议,并基于TCP/IP协议可以开展如下典型业务。
5.6.1Web业务
a)基本技术:基于Web技术,为了增强多媒体检索的功能,采用JAVA、公共网关接口(CGI)等技术,以适合各种场合的需要:b)
协议及标准:通信协议采用超文本传送协议(HTTP):多媒体信息检索业务可应用于新闻、信息查询、课程培训、文化教育、法律、法规、广告等。
基本技术:利用电子邮件技术
协议及标准:通信协议采用简单邮件传输协议(SMTP)、POP3;电子邮件业务可应用于接收信件、发送信件、文件转发等。5.6.3FTP
基本技术:利用异地主机的FTP文件交换或用Telnet仿真终端接入,完成远程异地a
科学计算及信息处理;
协议及标准:通信协议采用FTP等:b))
科学计算及信息处理业务可应用于翻译业务、软件共享业务、远程计算机辅助设计c
业务等。
5.6.4虚拟专用网(VPN)业务
a)基本技术:在IP网上实现VPN业务,就是使用加密的IP隧道,实现专有IP包和其他网络协议(IPX、NetBEUI等)包在Internet上传输,从而实现不同的虚拟专用网(VPN):
b)协议和标准:
1)点对点隧道协议:点到点隧道协议(PPTP):第二层隧道协议:第2层隧道协议(L2TP):2
3)第三层隧道协议:通用路由协议GRE(参见RFC1071/1072);4)IP安全协议:IPSec协议。
虚拟专用网(VPN)业务可应用于内联网互连、外联网互连、远程用户接入等。有关IPVPN业务的具体要求参见相关的标准。多媒体会议业务
a)基本技术。基于TCP/IP的会议业务。由于LAN上得不到稳定的业务质量,因而需要图像编码和语音编码的尺度均可伸缩。为保证实时及同步的要求,实时信息(视频音频)RTP、RTCP、UDP协议栈,数据信息用TCP协议栈。为了进一步保证质量,要有一定的信道带宽预约机制;
b)协议和标准:
1)通信协议:H.323、H.225、RTP、UDP、HTTP:服务质量协议:RSVP、Diffserv;2)
语音编码协议:G723.1、G.729:图像编码协议:H.263;
5)多点会议协议:T.120协议、T.130协议。c)多媒体会议业务可应用于专网或虚拟专网中的多媒体会议业务、公众多点多媒体会议业务等。
5.7全国环保系统IP地址规划
5.7.1原则
a)全国环保系统网络地址统一规划,中央和地方分级管理,支持各部门、各地方网络的互连;
b)IP地址的分配应具有层次性、连续性,以提高IP地址利用率、减少路由表表项。5.7.2全国环保系统网络地址
全国环保系统网络地址包括用户地址和互联共享地址。各部门内部网络使用用户地址,部门间、系统间网络互通使用互联共享地址a)用户地址,是指部门内部网络的设备地址和接入全国环境信息网络所需使用的地址,包括个人主机地址、部门网络设备地址、部门应用服务器地址等。此地址作为全国环境信息网络内部地址专用,不使用于互联网:b)互联共享地址,是指全国环境信息网络中提供信息服务的主机地址,该地址能够在整个政务外网范围内被访问。互联共享地址包括链路地址(网络设备间的点对点互联地址)和设备管理地址,互联共享地址分配到用户接入设备的上连(网络侧)端口。
5.8全国环保系统域名管理
5.8.1原则
a)全国环保系统网络的域名系统统筹规划,中央和地方分级管理:b)域名命名主要采用中文域名,辅以英文域名。中文域名的命名应符合中文书写的特点;
全国环保系统电子政务内网域名系统采用三级域名管理,全国环保系统电子政务外网域名系统可采用多级域名管理。5.8.2中文域名
5.8.2.1使用原则
a)不使用含有“China”、“Chinese”、“CN”、“National”、“中国”、“中华”字样的名称:
b)不应使用其他国家或地区名称、国外地名、国际组织名称:8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。