DB32∕T 3514.6-2019 电子政务外网建设规范 第6部分:安全接入平台技术要求(江苏省).pdf
《DB32∕T 3514.6-2019 电子政务外网建设规范 第6部分:安全接入平台技术要求(江苏省).pdf》由会员分享,可在线阅读,更多相关《DB32∕T 3514.6-2019 电子政务外网建设规范 第6部分:安全接入平台技术要求(江苏省).pdf(22页珍藏版)》请在咨信网上搜索。
1、ICS35.240.01L67DB32江苏省地方标准DB32/T 3514.62019电子政务外网建设规范第 6 部分:安全接入平台技术要求Construction Specifications of E-Government NetworkPart 6: the technical requirements of network security access platform2019 - 01 - 12 发布2019 - 01 - 30 实施江苏省市场监督管理局发 布DB32/T 3514.62019I目次前言.IV1范围.12规范性引用文件.13术语和定义.14缩略语.35总体要求.36
2、基础框架.46.1安全接入体系.46.2平台架构.46.3功能框架.57基本要求.77.1统一入口.77.1.1WEB 门户.77.1.2统一客户端.77.1.3网关接入.77.2VPN 网关集群.77.2.1网关要求.77.2.2集群要求.87.2.3传输加密.87.2.4身份认证.87.2.5权限控制.87.3统一认证平台.97.4互联网接入终端.97.5管理与审计.97.6安全防护.107.6.1网络访问控制.107.6.2入侵检测与防御.107.6.3防病毒.107.7移动终端安全.107.7.1通用配置.107.7.2数字证书.107.7.3VPN 客户端.117.7.4MDM 客户
3、端.117.7.5MAM 客户端.117.7.6MCM 客户端.11DB32/T 3514.62019II7.7.7移动安全应用支撑客户端.117.7.8身份鉴别.127.7.9数据安全存储.127.7.10安全防护.127.7.11运行环境隔离.127.8信道安全.127.9接入安全.127.9.1接入认证网关.127.9.2MDM 平台.137.9.3移动安全应用支撑平台.137.10服务端安全.147.10.1MAM 平台.147.10.2MCM 平台.147.11IPv6 的支持与过渡要求.14附录 A(资料性附录)接入模式及接入流程. 15附录 B(资料性附录)典型部署案例.17DB
4、32/T 3514.62019III前言DB32/T 3514-2018 电子政务外网建设规范分为八个部分:第1部分:网络平台;第2部分:IPv4地址、路由规划;第3部分:IPv4域名规划;第4部分:安全实施指南;第5部分:安全综合管理平台技术要求与接口规范;第6部分:安全接入平台技术要求;第7部分:电子认证注册服务机构建设;第8部分:运维服务。本部分为DB32/T 3514-2018电子政务外网建设规范第6部分。本部分按照GB/T 1.1-2009给出的规则起草。本部分由江苏省人民政府办公厅电子政务办公室提出并归口。本部分起草单位:江苏省人民政府办公厅电子政务办公室本部分起草人:吴中东、李强
5、、朱德宇、李寒、李永杰、杨波、杭欣竹、徐莎莎。DB32/T 3514.620191电子政务外网建设规范 第 6 部分:外网安全接入平台技术要求1范围本标准规定了电子政务外网建设规范外网安全接入平台技术要求的术语和定义、缩略语、概述、基础框架、基本要求。本规范适用于指导电子政务外网建设运维单位安全接入平台的规划、 建设和管理工作, 也可作为电子政务外网管理部门指导、监督和检查的依据。2规范性引用文件下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22239-2008信息安全
6、技术 信息系统安全等级保护基本要求GB/T 25069-2010信息安全技术 术语GB/T 30284-2013移动通信智能终端操作系统安全技术要求EAL2级GB/T 30278-2013信息安全技术 政务计算机终端核心配置规范GM/T 0022-2014IPSec VPN 技术规范GM/T 0024-2014SSL VPN 技术规范GM/T 0025-2014SSL VPN 网关产品规范3术语和定义GB/T 25069-2010 确立的以及下列术语和定义适用于本规范。3.1AAAAAA是Authentication(验证)、Authorization(授权)和 Accounting(记账)三
7、个英文单词的简称,验证是验证用户是否可以获得访问权限,确定哪些用户可以访问网络;授权确定用户可以使用哪些服务;记账记录用户使用网络资源的情况。3.2RADIUS 协议RADIUS是Remote Authentication Dial-In User Service(远程用户拨号认证服务)的简称,是目前应用较广泛的AAA协议,是同时兼顾验证、授权、计费三种服务的一种网络传输协议。3.3ADDB32/T 3514.620192AD是Active Directory(活动目录)的简称,是Windows平台服务器核心组件之一,活动目录是一种目录服务,它可将网络中各种对象组合起来进行管理。它存储有关网络
8、对象的信息,例如用户、组、计算机、共享资源、打印机和联系人等信息,使管理员和用户可以方便的查找和使用这些网络信息。3.4VPDNVPDN是Virtual Private Dial-up Networks(虚拟专用拨号网)的简称,是电信运营商基于拨号用户的虚拟专用拨号网业务, 利用L2TP、 IP网络的承载功能结合相应的认证和授权机制建立起来的虚拟专用网。3.5部门接入网Department Access Network部门接入网是指电子政务外网接入用户自行建设和管理的本地局域网络或部门业务专网。 多部门合驻办公楼且楼内网络由专门机构统一管理时, 可以实现整体接入政务外网, 办公楼内的局域网络可
9、以视为一个接入局域网。3.6安全管理平台Security Operation Center安全管理平台是通过采用多种技术手段,收集和整合各类网络设备、安全设备、操作系统等安全事件,并运用关联分析技术、智能推理技术和风险管理技术,实现对安全事件信息的深度分析,能快速做出智能响应,实现对安全风险进行统一监控分析和预警处理。3.7移动终端Mobile Device移动终端指在移动业务中使用的, 基于互联网进行通信, 从电子政务外网安全接入区接入的智能终端设备,包括手机、PAD等通用终端和专用终端设备。3.8互联网接入终端 Internet Access Terminal互联网接入终端指基于互联网进行
10、通信, 从电子政务外网安全接入区接入的移动终端、 PC终端或业务应用主机。3.9电子政务移动办公系统 Mobile E-Government System利用移动终端,随时随地通过无线网络、互联网等访问电子政务办公系统,进行网上办公的应用系统。3.10移动终端管理Mobile Device ManagementDB32/T 3514.620193移动终端管理为移动终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑,实现用户身份与设备的绑定管理、设备安全策略配置管理、设备应用数据安全管理等功能,简称MDM。3.11移动应用管理 Mobile Application Management针对
11、移动应用软件,提供从分发、安装、使用、升级和卸载等过程和行为的监控和管理,简称MAM。3.12移动内容管理 Mobile Content Management针对移动终端访问、存储、传输或处理的数据内容,提供信息过滤、访问控制、数据加密、安全隔离、剩余信息清除等管理措施,简称MCM。4缩略语下列缩略语适用于本规范。CA数字证书认证中心(Certificate Authority)IPSecIP安全协议(Internet Protocol Security)LDAP轻量级目录访问协议(Light Directory Access Protocol)MPLS多协议标签交换(Multi-protoc
12、ol Label Switching)SSL安全套接层(Secure Socket Layer)VPN虚拟专用网(Virtual Private Network)OCSP在线证书状态协议(Online Certificate Status Protocol)SOC安全管理平台(Security Operation Center)VRFVPN路由转发(VPN Routing Forwarding)SNMP简单网络管理协议(Simple Network Management Protocol)L2TP第二层隧道协议(Layer 2 Tunneling Protocol)LNSL2TP网络服务器(L
13、2TP Network Server)APP移动终端应用程序(Application)SM1SM1分组密码算法SM2SM2椭圆曲线公钥密码算法SM3SM3密码杂凑算法SM4SM4分组密码算法5总体要求5.1政务外网安全接入平台是利用互联网、移动通信、VPDN 等基础网络,面向不具备专线接入条件的各级政务部门、企事业单位、移动办公人员、现场执法人员和公众用户,提供安全接入到政务外网的服务平台。5.2政务外网安全接入平台由各级政务外网建设运维单位负责建设和管理, 采用省、 市两级建设模式,县(市)根据实际需求参照执行。接入政务外网的各级部门接入网不允许直接连接互联网,统一使用本级政务外网安全接入平
14、台。DB32/T 3514.6201945.3设区市 VPDN 用户可通过省级安全接入平台接入。 县级安全接入平台可参照设区市安全接入平台部署。6基础框架6.1安全接入体系省、设区市分别建设本级安全接入平台,全省政务外网形成面向互联网的安全接入体系。如图1所示。图 1政务外网安全接入体系示意图6.2平台架构政务外网安全接入平台架构如图2所示:DB32/T 3514.620195图 2安全接入平台架构示意图政务外网安全接入平台架构包含如下内容:a)互联网接入包括互联网基础网络环境。互联网接入终端通过上述基础网络连接到安全接入平台。b)互联网区统一入口:为互联网接入终端提供服务接口或链路接口。VP
15、N 网关集群:采用负载均衡技术实现 IPSec VPN、SSL VPN 等网关集群,为互联网接入终端提供安全接入服务。统一认证: 采用 RADIUS、LDAP 等认证协议实现基于数字证书的身份认证, 为网关集群用户身份统一认证和权限管理提供支撑。管理与审计: 提供安全接入平台的运行情况监测, 互联网接入终端的行为审计和安全管理功能。安全防护:通过使用网络访问控制、入侵检测与防御、防病毒等安全措施实现互联网接入区的基础安全防护。c)政务外网业务区互联网区通过安全接入平台实现与政务外网公用网络区、专用网络区的业务对接。6.3功能框架安全接入平台的基本功能框架如图3所示:DB32/T 3514.62
16、0196图 3安全接入平台功能框架图安全接入平台的基本功能模块包括如下:a)统一入口:通过 WEB 门户提供安全接入所需的注册、审核、软件下载等功能,为互联网接入终端提供统一接入,设置网关设备接入入口,实现接入用户统一管控;b)VPN 网关集群:提供终端到网关或网关到网关的传输加密、身份认证、权限控制等功能,通过负载均衡、链路汇聚实现 VPN 网关集群;c)统一认证:为安全接入的身份认证和权限控制提供支撑,提供用户集中认证、用户管理、访问权限统一控制等功能;d)管理与审计: 提供安全接入平台的运行情况监测, 互联网接入终端的行为审计和安全管理功能。e)安全防护:为安全接入平台提供访问控制、入侵
17、检测与防御、防病毒等基础安全防护功能。DB32/T 3514.6201977基本要求7.1统一入口7.1.1WEB 门户安全接入平台提供WEB方式接入服务入口,实现如下功能:a)提供统一的接入用户注册申请页面,申请成功后,注册信息可提交至 LDAP、RADIUS 等系统;b)提供 IPSec VPN 统一客户端、移动终端安全接入软件(APP)的发布、更新、下载等;c)提供 SSL VPN 登录页面;d)提供信息发布、移动终端消息推送;e)面向用户单位的业务应用,提供 WebService 等标准协议服务接口;f)WEB 门户页面应采用 Html5 等标准同时兼容并适配 PC 机、移动终端的主流
18、浏览器。7.1.2统一客户端具体要求如下:a)固定 PC 用户采用 IPSec VPN 接入时应使用政务外网统一 IPSec VPN 客户端,该客户端应兼容GW0201-2011 中的网关设备并符合该标准中相关要求,应支持 IKE 协议,符合 GM/T 0022-2014“5.1 密钥协商”章节要求;b)移动终端用户采用统一的移动终端安全接入软件(APP),内嵌移动终端管理模块,支持不同安全需求的认证与加密方式,多种网络接入模式,如 VPDN 拨号、IPSec VPN 拨号采用专用 SSL客户端软件接入。7.1.3网关接入接入部门不在电子政务外网网络区域内, 同时需访问接入电子政务外网的其他专
19、用网络, 网络连接时应使用网关对网关方式接入,接入设备应符合GW0201-2011 “5.1 IPSec VPN网关技术要求”章节要求,并达到GB/T 22239-2008中规定的信息系统安全等级保护相应等级防护要求。7.2VPN 网关集群7.2.1网关要求7.2.1.1选型要求VPN 网关应具有国家密码管理局颁发的密码产品型号证书。7.2.1.2IPSec VPN 网关具体要求如下:a)应符合国家密码管理局发布的 GM/T 0022-2014 和 GM/T 0023-2014;b)应符合 GW 0201-2011 “5 IPSec VPN 技术要求”。7.2.1.3SSL VPN 网关具体要
20、求如下:a)应符合国家密码管理局发布的 GM/T 0024-2014 和 GM/T 0025-2014;b)应支持政务外网证书、用户名/密码、短信、动态口令等认证方式,并支持双因子认证等混合认证模式;DB32/T 3514.620198c)应支持访问权限设置;d)应支持 VPN 集群部署;e)应支持隧道模式,并且能够实现和 MPLS VPN 无缝对接;f)可通过发布虚拟桌面、 虚拟应用或提供 SDK 的方式,为移动终端提供接入接口,并与统一客户端软件实现集成;g)支持标准 SNMP v3 管理协议,支持 Syslog 等标准日志格式导出,可通过安全管理平台进行集中监控和管理。7.2.2集群要求
21、7.2.2.1多台 VPN 网关可通过负载均衡设备组成 IPSec VPN 网关集群或 SSL VPN 网关集群。7.2.2.2负载均衡服务应符合以下要求:a)通过负载均衡设备链路负载功能,将 VPN 网关的接入请求根据 IP 地址、端口等策略分配到集群中相应网关设备,实现网关的自动调度;b)负载均衡设备与 VPN 网关、LNS 网关、Portal 服务器应使用内部 IP 地址互联,通过地址映射将互联网地址作为对外提供服务的 IP 地址。7.2.2.3负载均衡设备应满足如下要求:a)支持最小连接数、轮询、比例、最快响应、哈希、预测、观察、动态比例等负载均衡算法;b)支持设备状态检测,用于检查设
22、备、应用和内容的可用性;c)支持集群服务域名智能解析;d)支持带宽控制;e)支持冗余备份。7.2.3传输加密应采用IPSec VPN或SSL VPN进行传输加密防护,加密算法应符合国家密码管理局相关规范要求。7.2.4身份认证安全接入平台应对接入的用户和接入的设备进行身份认证:a)用户身份认证用户身份应由 VPN 网关或网关集群提交至统一认证平台认证,要求如下:支持数字证书、用户名/口令、短信、动态口令等多种用户身份认证方式。数字证书由政务外网电子认证中心颁发。支持 LDAP、RADIUS、AD 等第三方认证系统。由网关解析证书中用户名等辨识信息, 通过 RADIUS 或 LDAP 协议把认证
23、信息传送到统一认证平台,并支持群组认证。b)设备身份认证IPSec VPN 网关对网关接入身份认证应采用数字证书认证方式,设备数字证书由政务外网数字认证中心颁发;移动终端设备通过移动终端管理系统注册认证,并通过 SSL VPN 实现访问隧道认证。7.2.5权限控制安全接入平台应对接入的用户和设备进行权限控制:DB32/T 3514.620199a)用户权限控制根据接入业务需求,对用户访问权限进行控制,阻止用户访问非授权资源;根据用户的属性查询授权信息, 确定授予用户的服务资源, 包括给用户分配 IP 地址、 用户可访问的 IP 地址和服务等。b)设备接入控制:对设备的接入采取访问控制措施,根据
24、设备数字证书属性设置接入设备的授权资源及访问权限,阻止非授权访问。7.3统一认证平台统一认证平台为VPN网关、LNS拨号接入设备提供支撑,一般包含LDAP或RADIUS认证服务器等。设区市安全接入平台应建设独立的统一认证平台。县级安全接入平台可采用VPN网关内置的认证服务模块实现用户的身份认证。统一认证平台要求如下:a)支持标准 LDAP、RADIUS、OCSP 等认证协议;b)LDAP 认证服务器应提供证书认证和用户名/口令认证,RADIUS 认证服务器应提供用户名/口令认证;c)应建立统一的用户认证信息库,用于用户集中认证、访问权限统一控制;d)用户认证信息应包括证书用户信息、用户名、口令
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB32T 3514.6-2019 电子政务外网建设规范 第6部分:安全接入平台技术要求江苏省 DB32 3514.6 2019 电子政务 建设 规范 部分 安全 接入 平台 技术 要求 江苏省
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
链接地址:https://www.zixin.com.cn/doc/133515.html