什么是电子政务外网？

电子政务外网发展趋势

国家高度重视电子政务领域网络和安全建设，通过统筹推进、顶层规划、集中部署，指导构建结构合理、智能集约的网络平台支撑体系，全面夯实数字政府建设根基。近年来，《“十四五”推进国家政务信息化规划》（以下简称《规划》）、《深入推进IPv6规模部署和应用2022年工作安排》（以下简称《工作安排》）、《国务院关于加强数字政府建设的指导意见》（以下简称《指导意见》）等文件相继出台，对电子政务外网（以下简称政务外网）建设提出了以下要求。

• 提高政务外网移动接入能力。《规划》和《指导意见》中明确要求“提高电子政务外网移动接入能力”，强化政务外网服务功能，以满足移动办公、政务服务、应急管理、社会管理、重大活动保障等移动应用场景需求。
• 推进业务专网向政务外网整合迁移。《规划》中明确要求“推进各类政务专网向统一电子政务网络整合迁移或可控互联”，《指导意见》也提出“各地区各部门原则上不再新建业务专网”。强化政务外网统筹建设管理，集约节约建设云网等政务基础设施，满足数据共享需求和业务运转需要，是政务外网建设面临的新要求。
• 提升跨层级、跨地域网络协同能力。《指导意见》提出将坚持整体协同作为基本原则，充分发挥数字技术创新变革优势，优化业务流程，创新协同方式，推动政府履职效能持续优化。实现跨层级、跨地域、跨系统、跨部门、跨业务的数据互联互通和协同联动，必须依靠上下协同、整体联动的政务外网为其提供有力支撑。
• 开展县级政务外网IPv6改造升级。《工作安排》中要求“全面提升政务服务平台和政务外网IPv6（Internet Protocol Version 6，第六版因特网协议）支持能力”，“指导开展县级政务外网IPv6升级改造”，“探索推动IPv6单栈和SRv6（Segment Routing over IPv6，基于IPv6的段路由）技术现网部署”。政务外网建设需扎实推进IPv6规模部署，推广IPv6应用，贯彻落实党中央国务院关于网络强国的战略部署。
• 切实提高政务外网自主可控水平。政务外网是政务领域的关键信息基础设施，《指导意见》要求“强化安全可靠技术和产品应用，切实提高自主可控水平”，从源头解决网络安全重大隐患，优先采购安全可控、自主可信的网络产品及服务。
• 增强安全监测、主动防御、协同响应能力。《关键信息基础设施安全保护条例》中明确指出，电子政务网络设施、信息系统均属于关键信息基础设施，必须严格落实《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等各项法律法规。《指导意见》也强调要“建立健全动态监控、主动防御、协同响应的安全技术保障体系”，“强化日常监测、通报预警、应急处置，拓展网络安全态势感知监测范围，加强大规模网络安全事件、网络泄密事件预警和发现能力”。

电子政务外网能带来哪些价值？

政务外网作为数字中国底层基础设施，随着数字中国、智慧城市的发展，其业务范畴、服务范围不断扩展，需要更好地提升政务外网的服务能力，通过解决政务终端接入、专网整合、业务质量保障、安全防御、运维管理等方面的难题，打造高效、安全、可靠、先进的政务外网。它主要具备如下价值：

全场景政务业务承载，提升数据共享效率

基于“一张网”的建网理念，以前瞻性的眼光对政务外网进行架构规划。它满足政务办公、高清视频、城市物联、数字孪生、专网整合等长远发展诉求，支撑全域各级政府对社会治理及相关信息共享、信息安全等层面的要求，降低各个单位利用各类资源的门槛和成本，有效避免重复建设。

• 一网多用，保障业务确定性体验。一网多用是通过层次化切片技术，将一张物理网络切成多个切片网络，每个逻辑平面拥有独立的带宽资源，不能相互抢占，最大化保障关键业务网络质量。基于网络切片等技术，提升政务外网的刚性带宽保障能力、安全隔离能力，为各体验敏感的业务提供保障。
• 固移融合，使能政务泛在接入。通过5G政务专网彻底打通城市末梢和盲点，满足移动办公、移动执法、城市物联感知、偏远乡村覆盖的接入诉求，实现业务应接尽接。5G政务专网是政务外网的延伸，5G政务专网与政务外网的相互融合让政务业务获得端到端质量保障。

网端安一体防护，全方位提升安全防护能力

基于网端安一体防护理念，将零信任、网安协同、安全服务化等引入政务外网，打造态势可感知、事件可预警、事故可追溯、技术大融合的政务外网安全体系，为政务业务保驾护航。它能实现接入终端的精细化管控和分时访问，泛在感知的物联网安全接入，敏感数据的安全可控交换，全网设备协同联动的纵深防御，以及安全监测、分析和处置的全流程自动化。

• 终端零信任接入，杜绝跨网攻击。终端安全包含办公、物联、运维三类终端的安全，涉及固定、移动两类接入方式。通过对终端准入认证、网络隔离、数据隔离等手段，最大限度保护应用的数据安全。
• 精准溯源，网安联动，快速处置。针对政务外网IP地址重叠的场景，通过在报文中插入APN6（Application-aware IPv6 Networking，应用感知型IPv6网络） ID携带用户、业务、位置信息，可以为威胁溯源提供精准的数据支撑，通过网安联动，就近处置威胁，实现威胁快速闭环，防止安全风险扩散。

智能化运维，打造高品质的政务业务体验

通过构建智能分析系统，基于智能的故障分析推理、多维度海量数据精准筛查，使故障从人工定位走向自动故障预测预防、自动闭环。

• 通过构建省、市、县联动机制，形成全省运维一张图。通过全省统一的运维平台对接各个单域运维平台，基于网络能力服务化、接口API标准化，拉通省、市、县网络的一体监管，形成省、市、县一体的运维体系。
• 网络、应用一体协同，运维无死角。在网络业务流量实时监测的基础上，积极探索跨域网络协同管理、网络与应用融合，打造终端、网络、应用一体协同保障能力，为最终用户体验保驾护航。

电子政务外网总体架构

近年来，各级政务外网管理单位积极探索以技术应用创新提升网络支撑能力，新技术应用成效不断显现。以SRv6、IFIT（In-situ Flow Information Telemetry，随流检测）、网络切片为代表的IPv6+技术在全国政务外网广泛部署和应用，提升了政务外网综合业务承载和运维能力，采用IPv6+技术实现政务外网强基固本成为业内共识，通过构建可信可控的数字政府网络基础设施，为政务服务和社会治理提供强有力的网络保障。以集约化、敏捷化、智能化为设计原则，政务外网总体架构分为网络层、管控层和运维层。

网络层

网络层主要包括城域网、广域网、5G政务专网和部门局域网。

• 城域网和广域网是政务外网的核心转发网络。它采用IPv6+组网方案，通过SRv6实现全网路径自动计算和流量负载均衡；通过网络切片在一张物理网络上实现不同业务平面的资源隔离，每个网络切片独享带宽资源，满足各部门业务隔离和刚性带宽保障的诉求。网络安全方面，在城域网构建集中安全资源池，对政务外网的流量进行采集分析、安全检测、清洗，并通过安全态势感知平台和网络控制器的联动处置，近源阻断威胁，为各政务部门提供安全防护，保障政务业务的安全运行。
• 5G政务专网提供移动业务的泛在接入。利用5G网络的高质量网络承载能力，结合固定网络采用的IPv6+技术实现政务外网的端到端高品质业务体验。同时通过零信任技术构建移动终端的安全管控体系，实时监测移动终端安全状态，进行动态风险评估及访问权限调整，保证移动终端在安全管控的前提下访问政务应用。
• 部门局域网是政务部门的办公网络，终端通过部门局域网接入政务外网。针对办公终端安全，通过在办公终端部署零信任客户端、政务外网部署零信任安全网关及SDP（Software Defined Perimeter，软件定义边界）控制器，构建零信任终端安全管控体系，确保接入网络的终端安全合规、访问行为可管可控。针对物联终端安全，通过持续环境感知评估和动态策略管控，实现政务外网物联终端细粒度的访问控制，构筑从物联终端接入网络、访问应用等端到端的信任链，确保物联终端接入的安全可信。针对运维终端，通过严格的网络访问控制防止运维人员通过运维管理网络随意访问网络资源。

管控层

管控层主要包括网络控制器、安全控制器、SDP控制器和安全态势感知平台。

• 网络控制器实现全局网络的集中管理、控制和分析，负责网络拓扑和流量采集、集中路径计算、业务发放和网络优化等。通过网络控制器使能SRv6端到端SLA智能算路，实现网络带宽自动调优。
• 安全控制器实现安全设备的集中管理，自动完成安全策略的生成与部署，全面快速消除网络威胁，实现从单点防御到全网协防。
• SDP控制器与终端Agent和安全网关实现终端的零信任认证，SDP控制器可以提供认证功能，也可以与现网认证系统对接，解决终端接入的安全问题。
• 安全态势感知平台高效采集全网流量、日志和资产信息进行统一关联，从全局的视角对网络的安全状态提供直观的认知，将大数据分析能力引入云网端一体安全防护体系，可进行多维度海量数据关联分析，主动实时发现各类安全威胁事件。

运维层

统一运维服务平台分为省级、市级、县级三级，采用统一规划、分级负责的建设原则，对接政务外网管控层，具备资源整合管理、态势感知呈现、跨平台网络资源编排和调度等功能。统一运维服务平台能根据政务外网管理单位制定的网络关键架构指标，对网络健康度和政务单位的业务质量进行全面评价，辅助政务外网网络升级演进的决策，满足政府数字化转型的诉求

电子政务外网有哪些典型应用场景？

政务外网的典型应用场景包含视网联动、多级联动、固移融合、一机两用等。

视网联动保障重要视频会议质量，敏捷高效一屏统览

随着数字政府建设加速，政策宣导、应急指挥、远程培训、视频会商、招标采购等越来越多的事务以视频会议的形式召开，视频会议已成为政府效率提升和数字化转型的典型代表，是释放数字政府生产力的关键应用。

通过SRv6、网络切片、IFIT等技术为会议提供网络的端到端保障，结合APN6技术实现视频与网络的协同，生成会议网络拓扑图；通过统一运维服务平台提供视网一张图会议保障专项服务，实现保障工作流程化处理，实时监控会议和网络的状态，记录全流程数据，提升会前协调工作效率，提高会中体验保障效果；会后保障报告自动生成，会议接入数据、网络资源使用数据和全程质量数据等全面呈现，支撑保障人员高效输出报告，呈现保障工作效果。

多级联动提升业务保障效率，统筹管理上下协同

为提升政务服务能力和行政协调水平，各地方政府积极建设全省一体化数字政府，构建分级建设、多级联动的政务业务体系，打破区域局限，推进跨层级、跨地域、跨系统、跨部门、跨业务服务的效能提升。随着政务服务“一网通办”、“一网统管”、“一网协同”不断推进，省、市、县间跨层级的业务交互越来越多、网络流量越来越大，政务外网各级网络管理系统如何进行高效协同联动成为纵向多级业务运维保障的关键。

通过应用SRv6和SDN技术，实现跨域SRv6隧道、网络切片及IFIT随流检测的统一规划、统一部署、统一呈现，构建省、市、县多级协同调度能力，提高跨层级、跨部门的纵向多级业务质量保障能力和运维协同保障效率。分级建设管理模式下，在省、市、县各级政务外网均应用SRv6网络可编程技术实现IPv6+网络结构统一。各级均部署SDN控制器，应用SDN灵活业务创新能力实现运维能力统一。通过省级政务外网SDN控制器对接各市级政务外网SDN控制器，市级政务外网SDN控制器对接其下级县级政务外网SDN控制器，实现省、市、县三级网络的控制器级联协同。单域内的业务由省、市、县各级政务外网运维单位通过本地控制器实施部署，多级纵向业务由上级网络控制器协同各级控制器实施部署。

固移融合增强泛在接入能力，移动政务安全高效

随着政务信息化进程的不断推进，政府在移动办公、应急指挥、重大活动保障、城市物联感知、乡村政务延伸等场景下的移动办公需求显著增加。政务应用逐渐转移到“指尖”是政务信息化发展的趋势，建设移动化、协同化、集约化的移动办公平台已成为各省的共识。通过建设5G政务专网来提升政务外网的移动接入能力，实现固定网络平面与5G移动网络平承载能力的统一、安全防护能力的统一、运营管理能力的统一。

一机两用安全管控，防范化解终端安全风险

为满足政务终端在多网一终端（通过专线接入，既可访问业务，也可访问互联网或其他网络的办公终端）场景下的准入认证、网络隔离、数据隔离等安全需求，最大限度保护应用的数据安全，一机两用场景遵循《终端一机两用安全管控技术指南》要求，采用基于SDP架构的端到端零信任访问控制，实现终端准入控制（包括身份认证、终端安全检查、资源访问控制）、终端安全隔离（包括网络隔离、会话隔离、数据隔离）以及违规外联检测，同时对于敏感的业务数据访问，采用沙箱等技术实现终端数据隔离，防止终端数据泄露，从而确保各级政务部门终端在接入政务外网时，实现互联网与政务外网安全隔离。

政务物联终端可信接入，确保台账清晰、合法合规

随着专网整合的推进以及政务信息化统筹建设的实施，接入政务外网的终端必将更加丰富多样。除传统办公终端外还存在大量物联终端，例如政务服务大厅内的取号机、打印机、智慧屏、自助机、闸机、摄像头等，又如政务集中办公园区的摄像头、IP电话、打印机、打卡机等。这些物联终端让政务管理更加智能，让研判数据更加丰富，让政务服务触手可及。

以零信任理念为基础，通过网络环境的持续评估和安全策略的动态管控，实现政务外网物联终端细粒度的访问控制，从而构筑从物联终端接入网络到访问应用的端到端信任链，确保持续保持信任状态，构建物联终端可信接入方案。

网安联动近源阻断安全威胁，溯源精准快速防御

根据《中华人民共和国网络安全法》和国家网络安全等级保护制度的相关要求，政务外网管理单位需要建设安全监测平台，完成安全趋势分析、威胁通报预警、事件处置闭环等日常安全操作，实现网络安全运行状态实时、全面监测。随着政务外网向基层单位延伸，网络覆盖面越来越大，边界安全防护也变得愈加重要。防火墙等安全设备作为网络安全的第一道屏障，在边界处及时、精准阻断攻击，能够避免威胁快速扩散，保障政务系统安全。

在政务外网网安联动场景中，业务报文通过APN6 ID携带接入单位信息。探针采集APN6 ID和流信息后上报安全态势感知平台，可实现大数据智能技术关联分析，动态查询威胁接入单位名称，呈现全网威胁态势。网络控制器根据APN6 ID精准溯源威胁阻断位置，下发阻断策略，实现威胁流阻断。

网安联动场景的业务具体流程如下：

1. 运维人员根据各单位接入政务外网的路由器和接口、VPN等信息，规划APN6 ID生成溯源表，并将其导入到网络控制器。该表包含APN6 ID、设备、VPN、接口、接入单位名称等信息，具备全网唯一性，是威胁溯源的必要基础。
2. 安全态势感知平台向网络控制器获取全量溯源表信息。
3. 运维人员根据溯源表在路由器上配置APN6 ID。
4. 路由器将APN6 ID封装到业务报文中，并随流转发。
5. 路由器采用流镜像的方式将待检测流量引流到政务外网流量汇聚节点、核心节点等位置部署的探针上。探针通过解析SRv6报文，获取流信息和APN6 ID信息并上报给安全态势感知平台。
6. 安全态势感知平台基于APN6 ID查询溯源表，明确威胁流量所属的接入单位，也可基于接入单位信息查看该单位带来的所有威胁，便于威胁处置和通报。安全态势感知平台应用大数据关联分析发现威胁后，支持自动或一键处置。若设置为自动处置，则向网络控制器下发联动策略；若为一键处置，则需人工下发联动策略。
7. 网络控制器根据APN6 ID和流信息查询溯源表，获取政务外网边界上最合适的威胁阻断点位置，并根据威胁类型向路由器下发策略以阻断威胁。
8. 路由器执行阻断策略，支持流量五元组（源IP、目的IP、协议号、源端口、目的端口）信息灵活组合，确保最小粒度精细化阻断威胁流。
9. 安全态势感知平台支持手工或自动化撤销联动策略。威胁处理完成后，运维人员既可以手工触发撤销联动策略，也可以等待固定联动策略达到老化时间后系统自动触发撤销联动策略。