前页

电子政务外网构成了数字政府建设的坚实基础，它在推动数据共享与整合、促进业务全面协同方面发挥着关键作用。我国对电子政务领域的网络安全建设给予了高度重视，通过统筹规划、制定高瞻远瞩的顶层设计、统一部署，引领构建了一个结构优化、资源集约的网络平台支撑体系，从而全面加固了数字政府建设的根基。

电子政务外网的发展趋势

我国对电子政务领域的网络安全建设给予了高度重视，通过统一规划、高层次的战略部署以及集中资源投入，引领构建了一个结构科学、资源集中的网络平台支撑体系，从而为数字政府的坚实基础提供了全面保障。近期，《国家政务信息化“十四五”推进规划》（简称《规划》）、《关于深入推进IPv6大规模部署及应用的2022年度工作部署》（简称《工作安排》）、《国务院关于强化数字政府建设的指导性意见》（简称《指导意见》）等政策文件陆续发布，对电子政务外部网络（以下简称政务外网）的建设提出了具体要求。

提升政务外网在移动端的接入效能。《规划》与《指导意见》均明确提出需“增强电子政务外网移动接入效能”，旨在加强政务外网的服务性能，以适应移动办公、政务服务、应急处理、社会事务管理以及大型活动保障等多种移动应用场景的需求。同时，推动业务专用网络向政务外网进行整合与迁移。《规划》明确提出要“推动各类政务专用网络向统一的电子政务网络进行整合迁移或实现可控互联”，而《指导意见》亦强调“各地区各部门原则上应停止新建业务专用网络”。加强政务外网的统一规划和建设管理，集中高效地构建云网等政务基础设施，以满足数据共享和业务运营的需求，这成为了政务外网建设所面临的新挑战。同时，提高不同层级、不同地区之间的网络协同效率也是一项重要任务。《指导意见》强调，必须秉持整体协同的基本原则，充分利用数字技术的创新变革力量，对业务流程进行优化，创新协同手段，不断促进政府履职效能的提升。为了实现不同层级、不同地域、不同系统、不同部门以及不同业务间的数据互联互通和协同互动，务必依赖上下级之间以及整体协同的政务外网，为其提供坚实的支撑。同时，需对县级政务外网进行IPv6改造和升级工作。《工作安排》明确指出需“增强政务服务平台及政务外网IPv6的适配能力”，“指导进行县级政务外网IPv6的升级与改造工作”，“积极研究和推进IPv6单栈技术与SRv6技术在现有网络中的实际应用部署”。政务外网建设应稳步推进IPv6的大规模部署，广泛推广IPv6技术的应用，严格执行党中央、国务院对网络强国战略的规划部署。同时，务必切实提升政务外网在自主控制和安全性方面的能力。政务外网作为政务信息领域的重要基础设施，《指导意见》明确指出需“加强安全可靠技术和产品的应用，切实提升自主可控能力”，旨在从根本处消除网络安全的关键风险，优先选用那些既安全又可控、自主性强的网络产品与服务。同时，还需加强安全监测、主动防御和协同响应的能力。《关键信息基础设施安全保护条例》明确提及，电子政务网络设施以及信息系统均被界定为关键信息基础设施，对此，必须严格执行《中华人民共和国网络安全法》以及《信息安全等级保护管理办法》等相关法律法规。《指导意见》同样着重指出，需构建一个包括动态监控、主动防御和协同响应在内的安全技术保障体系，并加强日常监测、预警通报以及应急处置工作，同时扩大网络安全态势感知的监测领域，提升对大规模网络安全事件和网络泄密事件的预警与发现能力。那么，电子政务外网究竟能够为我们带来哪些益处呢？

政务外网作为构建数字中国的基石，伴随着数字中国和智慧城市的进步，其业务领域和服务边界持续扩大。为此，我们必须着力增强政务外网的服务效能，针对政务终端接入、专网融合、业务品质保障、安全防护、运维管理等关键问题进行攻关，以构建一个运作高效、安全稳固、可靠性强、技术先进的政务外网体系。该网络体系主要拥有以下几大价值：

全场景政务业务承载，提升数据共享效率

秉持“一张网”的构建理念，我们以远见卓识对政务外网进行了架构设计。这一规划旨在满足政务办公、高清视频传输、城市物联网、数字孪生技术、专网整合等多方面的长远发展需求，为各级政府提供全面的社会治理和信息共享支持，同时确保信息安全。此外，它还旨在降低各单位使用各类资源的门槛和成本，有效防止重复建设现象的发生。

网端安一体防护，全方位提升安全防护能力

以网络端安全一体化防护为原则，将零信任机制、网络安全协同、安全服务化等理念融入政务外网，构筑起能够感知态势、预警事件、追溯事故、技术深度融合的政务外网安全保障体系，从而有效保障政务业务的顺利进行。该系统具备对终端接入的细致化管理与分时段访问控制功能，支持物联网的广泛感知安全接入，确保敏感数据交换的安全性，实现全网设备间的深度协同防御，并能自动化完成安全监测、分析及处理的全过程。

智能化运维，打造高品质的政务业务体验

通过搭建智能化的分析平台，依托智能化的故障诊断推理技术以及多维度、海量数据的精确筛选，实现了故障从传统的人工检测向自动预测和预防、以及自动闭环处理的转变。

电子政务外的总体结构是什么样的

近期，众多政务外网管理部门不断寻求通过技术革新来增强网络支持能力，创新技术的应用成果持续显现。SRv6、IFIT（即现场流量信息遥测技术）以及网络切片等IPv6+技术已在全国政务外网得到大规模部署和应用，这不仅增强了政务外网的业务承载与运维能力，而且形成了业内普遍认同的观点，即利用IPv6+技术加固政务外网的基础设施。通过打造一个既可信又可控的数字政府网络架构，这些技术为政务服务及社会治理提供了坚实的网络支撑。遵循集中化、高效化、智能化的设计理念，政务外网的总体布局被划分为网络基础层、管理控制层以及运维保障层。

政务外网总体架构

网络层

网络层主要包括城域网、广域网、5G政务专网和部门局域网。

管控层

管控层涵盖了网络控制器、安全控制器、SDP控制器以及安全态势感知平台。

运维层

该统一运维服务平台按照省、市、县三级架构设计，遵循统一规划、分级管理的建设思路，与政务外网管控层相连接，拥有资源整合与管理工作、态势感知信息展示、跨平台网络资源编排及调度等多项功能。统一运维服务平台可依据政务外网管理单位设定的关键网络架构标准，对网络运行状况及政务部门的业务品质进行全方位评估，助力网络升级与发展的决策制定，契合政府数字化转型的需求。

电子政务外网有哪些典型应用场景？

政务外网的主要应用领域涵盖了视频联网协同、多层级联动、固定与移动网络融合、一机多用途等多种模式。

视网联动保障重要视频会议质量，敏捷高效一屏统览

数字政府建设的步伐不断加快，政策宣传、紧急指挥、远程教育、视频讨论、招标采购等众多事务纷纷通过视频会议的方式进行，视频会议已经成为提高政府工作效率和推动数字化转型的显著标志，也是激发数字政府生产力的核心工具。

利用SRv6、网络切片、IFIT等先进技术，确保会议网络从端到端的安全可靠，并借助APN6技术实现视频与网络的协同运作，构建会议网络拓扑图；依托统一的运维服务平台，提供会议保障的专项服务，将保障工作流程化，实时监控会议及网络状况，记录整个流程的数据，从而提高会前协调工作的效率，增强会中体验的保障效果；会议结束后，保障报告可自动生成，全面展示会议接入数据、网络资源使用情况以及全程质量数据，助力保障人员高效完成报告，直观呈现保障工作的成效。

政务外网视网联动场景总体架构

多级联动提升业务保障效率，统筹管理上下协同

为了增强政府服务效能和行政协作能力，各地政府正着力打造全省范围内的统一数字政府平台，形成分级构建、多层级协同的政务业务架构。此举旨在突破地域限制，促进不同层级、不同地区、不同系统、不同部门和不同业务间的服务效率提高。政务服务领域的“一网通办”、“一网统管”以及“一网协同”不断深化，省、市、县三级之间的业务交流日益频繁，网络数据流量持续攀升。在此背景下，如何实现政务外网各级网络管理系统的有效协同与联动，已成为确保纵向多级业务运维安全的关键所在。

借助SRv6和SDN技术，我们实现了对跨域SRv6隧道、网络切片以及IFIT随流检测的统一规划、部署和展示，并建立了省、市、县三级协同调度体系，从而提升了跨层级、跨部门的业务质量保障水平以及运维协同效率。在分级建设管理模式中，省、市、县各级政务外网普遍采用了SRv6网络可编程技术，以此构建了统一的IPv6+网络架构。同时，各级单位均配备了SDN控制器，并借助SDN技术的灵活性和创新性，实现了运维能力的集中统一。省级政务外网SDN控制器与市级政务外网SDN控制器相连政务外网如何控制带宽，市级政务外网SDN控制器再与县级政务外网SDN控制器相连接，从而实现了省、市、县三级网络控制器的级联与协同。在单域内，省、市、县各级政务外网运维单位通过本地控制器进行业务的部署。而对于多级纵向业务，则是通过上级网络控制器与各级控制器共同协作来完成部署的。

政务外网多级联动场景总体架构

固移融合增强泛在接入能力，移动政务安全高效

政务信息化的步伐持续加快，政府对于在移动办公、应急指挥、大型活动支持、城市物联网感知以及乡村政务拓展等领域的移动办公需求急剧上升。将政务应用转移到指尖已成为信息化发展的潮流，构建一个移动化、协同化、集约化的移动办公平台已成为各省的普遍认识。通过构建5G政务专用网络，增强政务外网的移动接入效能，达成固定网络与5G移动网络在承载能力、安全防护以及运营管理方面的协调一致。

政务外网固移融合场景总体架构

一机两用安全管控，防范化解终端安全风险

为了满足政务终端在多网一终端环境（即通过专用线路接入，既能访问业务系统，也能访问互联网或其他网络的办公终端）中的准入认证、网络和数据的隔离等安全需求，最大程度地保障应用数据的安全，一机两用模式严格遵循《终端一机两用安全管控技术指南》的规定，实施基于SDP架构的端到端零信任访问控制。这一控制机制涵盖了终端准入控制（包括身份验证、终端安全检查、资源访问控制）、终端安全隔离（包括网络隔离、会话隔离、数据隔离）以及违规外联的检测。此外，对于敏感业务数据的访问，我们采用了沙箱等安全技术来确保终端数据的隔离，防止数据泄露。这样，就能确保各级政务部门的终端在接入政务外网时，实现互联网与政务外网之间的安全隔离。

政务外网一机两用场景总体架构图

政务物联终端可信接入，确保台账清晰、合法合规

专网整合的深入以及政务信息化建设的全面推进，使得接入政务外网的设备种类将日益繁多。除了常规的办公设备，还将包含众多物联网终端，比如政务服务大厅中的叫号机、打印设备、智能显示屏、自助服务终端、门禁系统以及监控摄像头等，此外，还包括政务集中办公区域内的监控摄像头、网络电话、打印设备以及考勤机等。这些物联网设备使得政府管理变得更加智能化，丰富了数据分析的内容，同时也使得政务服务变得更加便捷，触手可及。

以零信任原则为核心，依托对网络环境的不断评估以及安全策略的灵活调整，我们能够对政务外网中的物联网终端实施精确的访问权限管理。这样做，不仅能够建立起从终端接入网络到应用访问的全程信任链条，还能确保信任关系的持续稳定，进而打造出一种值得信赖的物联网终端接入方案。

政务外网物联终端可信接入场景总体架构图

网安联动近源阻断安全威胁，溯源精准快速防御

依据《中华人民共和国网络安全法》及国家网络安全等级保护制度的规定，政务外网的管理机构必须搭建安全监测系统，执行包括安全态势分析、威胁信息通报与预警、事件处理的闭环管理等日常安全工作，确保网络安全运行状况能够得到实时和全面的监控。伴随政务外网向基层单位的拓展，网络覆盖范围持续扩大，边界安全防护的必要性也随之增强。网络安全防线中，防火墙等安全设备扮演着至关重要的角色，它们位于边界线上，能够迅速且精确地拦截攻击，有效遏制威胁的蔓延，从而确保政务系统的安全稳定。

政务外网网安联动场景下，业务报文借助APN6 ID传递接入单位的相关信息。探针设备搜集APN6 ID及流量数据，并将其上报至安全态势感知平台。平台依托大数据智能技术进行关联分析，能够动态检索出威胁单位的具体名称，全面展示网络中的威胁状况。网络控制器依据APN6 ID准确追踪威胁源头，并发布阻断措施，确保威胁流量得到有效阻断。

政务外网网安联动场景总体架构图

网安联动场景的业务具体流程如下：

运维人员依据各单位接入政务外网的路由器配置、接口信息以及虚拟专用网络等数据，制定了APN6 ID的生成溯源表，并将此表导入至网络控制器。此溯源表详尽地记录了APN6 ID、设备型号、虚拟专用网络详情、接口类型以及接入单位名称等关键信息，确保了全网信息的唯一性，对于威胁的溯源工作至关重要。安全态势感知平台则从网络控制器中获取了完整的溯源表信息。运维人员依据溯源资料，在路由器上对APN6 ID进行设置。该路由器将APN6 ID嵌入至业务数据包中，并随之进行传输。同时，路由器通过流镜像技术，将待检测的数据流量引导至政务外网流量汇聚节点、核心节点等位置所部署的探针。探针能够解析SRv6数据包，提取流量详情及APN6 ID信息，并将这些数据上报至安全态势感知平台。安全态势感知平台依托APN6 ID查询溯源功能政务外网如何控制带宽，清晰界定威胁流量来源的接入机构，同时，亦可通过接入机构信息追溯其所有威胁活动，便于有效处理和通报威胁。该平台借助大数据关联分析技术识别威胁，并支持自动化或一键式处理。若启用自动处理模式，系统将自动向网络控制器发送联动策略；若采用一键处理，则需要人工介入，向网络控制器发送联动策略。网络控制器通过查询溯源表，依据APN6 ID和流信息，确定政务外网边界上最佳的威胁阻断点，进而向路由器发布针对不同威胁类型的策略指令。路由器接收到指令后，执行阻断操作，并能够根据需求灵活组合流量五元组（包括源IP、目的IP、协议号、源端口、目的端口）的信息，以实现针对威胁流的精细化管理，确保阻断效果达到最小粒度。安全态势感知系统具备手动或自动解除联动策略的功能。在威胁应对完毕后，运维人员可选择手动激活解除联动策略，亦或让预设的联动策略在达到预设老化期限后由系统自动执行解除操作。