DB32∕T 3514.4-2019 电子政务外网建设规范 第4部分:安全实施指南(江苏省).pdf
《DB32∕T 3514.4-2019 电子政务外网建设规范 第4部分:安全实施指南(江苏省).pdf》由会员分享,可在线阅读,更多相关《DB32∕T 3514.4-2019 电子政务外网建设规范 第4部分:安全实施指南(江苏省).pdf(26页珍藏版)》请在咨信网上搜索。
1、ICS35.240.01L67DB32江苏省地方标准DB32/T 3514.42019电子政务外网建设规范第 4 部分:安全实施指南Construction Specifications of E-Government NetworkPart 4:Guidelines for safety implementation2019- 01 - 12 发布2019 - 01 - 30 实施江苏省市场监督管理局发 布DB32/T 3514.42019I目次前言.IV1范围.12规范性引用文件.13术语和定义.14总体要求.25建设原则.25.1等级保护原则.25.2多重防护原则.25.3分级管理原则.
2、35.4规范管理原则.36网络安全架构及安全域划分.36.1网络安全架构及安全域划分原则.36.2网络安全架构划分.36.2.1网络安全架构划分概述.36.2.2广域网安全.36.2.3城域网安全.36.2.4部门接入网安全.36.3业务区划分.46.4安全域划分.46.4.1总体要求.46.4.2互联网接入域.46.4.3安全管理域.56.4.4数据中心域.57网络互联安全要求.57.1广域网互联.57.2广域网与城域网互联.57.3城域网与部门接入网互联.57.4城域网与互联网互联.67.5IPv6 的支持与过渡要求.68电子认证.69终端安全防护.69.1终端安全防护概述.79.2电子政
3、务外网终端.79.2.1身份鉴别.7DB32/T 3514.42019II9.2.2准入控制.79.2.3安全防护.79.2.4安全审计.79.2.5终端复用.79.3互联网接入终端.79.3.1总体要求.79.3.2PC 终端及业务应用主机.79.3.3移动终端.810安全综合管理平台.810.1扫描采集层.810.2安全管理层.910.3分析展现层.910.4对外接口层.911等级保护要求.911.1概述.911.2定级方法.911.3边界划分.911.4定级要求.911.5实施要求.10附录 A(规范性附录)表 A.1江苏省电子政务外网安全等级保护基本要求实施建议表.11附录 B(资料性
4、附录)安全等级保护第三级政务外网(以设区市为例).18附录 C(资料性附录)安全等级保护第二级政务外网案例(以区、县为例).20附录 D(资料性附录)政务外网安全等级保护定级报告模板.21DB32/T 3514.42019III前言DB32/T 3514-2018 电子政务外网建设规范分为八个部分:第1部分:网络平台;第2部分:IPv4地址、路由规划;第3部分:IPv4域名规划;第4部分:安全实施指南;第5部分:安全综合管理平台技术要求与接口规范;第6部分:安全接入平台技术要求;第7部分:电子认证注册服务机构建设;第8部分:运维服务。本部分为DB32/T 3514-2018电子政务外网建设规范
5、第4部分。本部分按照GB/T 1.1-2009给出的规则起草。本部分由江苏省人民政府办公厅电子政务办公室提出并归口。本部分起草单位:江苏省人民政府办公厅电子政务办公室。本部分起草人:吴中东、李强、黄敏、朱德宇、李永杰、李寒、吴凡、熊章远、杭欣竹。DB32/T 3514.420191电子政务外网建设规范 第 4 部分:安全实施指南1范围本标准规定了电子政务外网建设规范安全实施指南的总体要求、 建设原则、 网络安全架构及安全域划分、网络互联安全要求、电子认证、终端安全防护及安全综合管理平台等内容。本标准适用于指导全省电子政务外网安全防护体系的建设, 主要涉及网络安全架构设计、 业务区及安全域的划分
6、及防护、边界安全防护、身份认证、终端安全防护和安全综合管理平台建设等工作,也可作为各级电子政务外网管理部门进行指导、监督和检查的依据。2规范性引用文件下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 5271.8信息技术 词汇 第8部分:安全GB 17859计算机信息系统安全保护等级划分准则GB/T 22239信息安全技术 信息系统安全等级保护基本要求GB/T 22240信息安全技术 信息系统安全等级保护定级指南GB/T 30278信息安全技术政务计算机终端核心配置规范GW
7、 0202-2014国家电子政务外网安全接入平台技术规范GW 0201-2011国家电子政务外网IPSec VPN安全接入技术要求与实施指南关于加快推进国家电子政务外网安全等级保护工作的通知(政务外网201115号)3术语和定义GB/T 5271.8和GB 17859-1999界定的以及下列术语和定义适用于本文件。3.1部门接入网 Department Access Network指电子政务外网接入用户自行建设和管理的本地局域网络或部门业务专网。 多部门合驻办公楼且楼内网络由专门机构统一管理时, 可以实现整体接入政务外网, 办公楼内的局域网络可以视为一个接入局域网。3.2移动终端 Mobile
8、Device指在移动业务中使用的,基于互联网进行通信,从电子政务外网安全接入区接入的智能终端设备,包括手机、PAD等通用终端和专用终端设备。3.3DB32/T 3514.420192互联网接入终端 Internet Access Terminal指基于互联网进行通信,从电子政务外网安全接入区接入的移动终端、PC终端或业务应用主机。3.4电子政务外网终端 E-Government Network Terminal指位于电子政务外网内部,基于电子政务外网网络设施(不含互联网等公用网络)进行通信的PC终端。3.5电子政务移动办公系统 Mobile E-Government System利用移动终端,
9、随时随地通过无线网络、互联网等访问电子政务办公系统,进行网上办公的应用系统。3.6移动终端管理MobileDevice Management移动终端管理为移动终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑,实现用户身份与设备的绑定管理、设备安全策略配置管理、设备应用数据安全管理等功能,简称MDM。3.7移动应用管理 Mobile Application Management针对移动应用软件,提供从分发、安装、使用、升级和卸载等过程和行为的监控和管理,简称MAM。3.8移动内容管理 Mobile Content Management针对移动终端访问、存储、传输或处理的数据内容,提供信息
10、过滤、访问控制、数据加密、安全隔离、剩余信息清除等管理措施,简称MCM。4总体要求贯彻执行国家信息安全相关法律法规,在国家信息安全主管部门的指导下,统筹规划,分级建设,通过不断加强电子政务外网的整体安全防护能力, 建立起能够有效抵御安全风险, 适合电子政务外网可持续发展的信息安全防护体系,为电子政务外网的业务应用提供坚实的安全保障。5建设原则5.1等级保护原则按照GB17859、GB/T 22239、GB/T 22240及关于加快推进国家电子政务外网安全等级保护工作的通知(政务外网201115号),确定本级电子政务外网的安全等级,并对所辖网络实施安全保护。5.2多重防护原则DB32/T 351
11、4.420193强化预防优先、管控并重的安全意识,基于多维度安全防护手段,构建可持续发展的立体纵深安全防护体系。5.3分级管理原则省政府办公厅电子政务办公室负责全省电子政务外网安全防护体系建设指导工作; 各设区市政府办公室负责本地区安全防护体系建设指导工作。 各地各部门按照相关法律法规实施等级保护, 定期开展安全评估。5.4规范管理原则建立领导负责制,从机构、制度、人员、运行维护、资金保障等方面实现全面、有效、规范管理。6网络安全架构及安全域划分6.1网络安全架构及安全域划分原则统一的国家电子政务外网应由国家、省、市、县级广域网和城域网组成。各级部门可通过本级城域网接入电子政务外网。 各级城域
12、网边界可建设互联网区, 为本级政务部门访问互联网及部署面向公众服务的应用系统提供服务。6.2网络安全架构划分6.2.1网络安全架构划分概述省电子政务外网骨干网基于电信传输网络建设,传输网按技术类型可分为MSTP网、 SDH网和光纤网络等,基于传输网之上的IP承载网按电子政务网络结构及所处位置可划分为广域网、 城域网和部门接入网。6.2.2广域网安全省电子政务外网广域网主要包括省级广域网、市级广域网和县级广域网:a)省电子政务外网广域网内主要传输数据、视频、图像等相关业务。政务外网可通过 MPLS/VPN或其他网络隔离技术,对不同的业务系统进行隔离。b)省至设区市广域网主干不应承载直接访问互联网
13、的业务。 设区市政务外网互联网出口应实行统一集中管理,采取有效技术手段分区分域,做好安全防护工作。c)县级及以下政务外网接入部门原则上不应设互联网出口,在使用设区市统一互联网出口时,应采用有效的隔离技术,保证电子政务外网业务的安全。6.2.3城域网安全省电子政务外网城域网包括省级城域网、 市级城域网和县级城域网, 各级城域网可通过部署统一互联网安全域与互联网进行连接:a)省电子政务外网城域网在各级网络互联汇聚层边界, 根据业务需求应部署安全边界访问控制策略,采取相关技术防护措施。b)各级政务外网城域网为政务部门提供统一互联网接入服务时,应做好相应的安全防护工作,对互联网业务和电子政务外网业务加
14、以区分,做好区域安全防护,确保电子政务外网业务系统安全。6.2.4部门接入网安全DB32/T 3514.420194省级政务外网部门本地局域网络或部门业务专网安全系统建设和管理应由各部门自行负责, 各设区市政务外网部门本地局域网络或部门业务专网安全系统应根据实际情况进行统建或自建, 并应达到相应的安全保护等级。 多部门合驻办公且楼内局域网络由专门机构统一建设和管理时, 在达到等级保护要求后,可整体接入政务外网。6.3业务区划分按照国家电子政务外网统一要求,结合省电子政务外网业务需求,应划分不同业务安全区,并根据安全区域的重要性进行相应的安全防护。通过使用VPN、路由控制、防火墙、认证网关、边界
15、访问控制等技术手段,在省电子政务外网中至少应划分公用网络区、专用网络区、互联网区等区域来保证政务外网基础设施和业务信息系统的安全,各区域之间应实现逻辑隔离和安全控制。a)公用网络区:是实现省电子政务外网全网访问的重要网络区域,是部门实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务的主要区域。该区应提供政务外网内的公共服务,如政务外网门户网站、DNS 服务、综合协同办公等。公用网络区 IP 地址与路由规划应参照省级规划进行统一建设。公用网络区应实行属地化管理,由设区市、县自行规划并做好安全防护工作。b)互联网区:是各部门业务系统通过逻辑隔离安全接入互联网的区域,满足部门利用互联网开展公
16、共服务、社会管理、经济调节和市场监管等电子政务业务需要。互联网区实行属地化管理,由设区市、县自行规划并做好安全防护工作。c)专用网络区:基于电子政务外网为特定需求的部门或业务开通的网络区域,实现本部门系统纵向跨地区业务在政务外网上开展,与公用网络区内其它部门的业务应用系统相互逻辑隔离。注 1:公用网络区和专用网络区按照国家统一要求实现国家-省-市-县四级贯通。 互联网区作为各地电子政务外网与互联网业务打通的区域,采用分级属地化管理。注 2:公用网络区与互联网区之间应建设完备的安全防护体系,确保互联网区及互联网的用户未经授权不能直接访问公用网络区的数据和信息系统。6.4安全域划分6.4.1总体要
17、求在省电子政务外网城域网内根据安全边界防护及等级保护的级别要求而划分出的相应安全域, 通常有互联网接入域、 安全管理域和数据中心域等。 各安全域需按照等级保护的相关要求采取有效安全防护手段严格管控,保障省电子政务外网基础设施的整体安全可控。6.4.2互联网接入域为各级政务部门提供互联网访问和面向社会公众服务业务,互联网出口应部署防火墙、入侵防御、防DDOS攻击、防病毒等安全防护设备,或具有上述功能的综合网关类设备,同时对互联网出入口应实施流量控制、行为审计、入侵检测等措施,保证自身业务和全网的安全,达到相应的等级保护要求。互联网接入域可细分为以下子安全域:门户网站群安全域、互联网云平台域、安全
18、接入平台域(含VPN集群、移动应用安全认证等)、互联网接入安全管理域。具体内容如下:a)门户网站群安全域:各单位、部门的网站应统一部署到该区域,并通过统一的网站发布、管理平台对所属网站进行信息维护、站点管理,满足电子政务部门利用互联网开展公共服务、社会管理、经济调节和市场监管的电子政务业务需要,并对安全实行统一管控。b)互联网云平台域:为各单位、部门的互联网访问业务、移动办公等提供由基础设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成的云计算资源,应具备软件即服务(SaaS)、DB32/T 3514.420195平台即服务(PaaS)、基础设施即服务(IaaS)三种基本的服
19、务模式,实现互联网区的计算资源动态分配和统一、高效管理。c)安全接入平台域:通过IPSec/SSL、数字证书、VPDN等技术手段,应将互联网接入终端通过3G/4G网络或互联网安全接入政务外网公用网络区或政务部门的专用网络区,实现移动办公、现场执法等各类移动政务业务安全接入至政务外网。安全域应具有对各类互联网接入终端的实时管理等安全保障功能,通过身份认证、传输加密等安全手段将互联网接入终端接入到相应的业务应用系统,保证数据和应用系统的使用安全。安全接入平台域应部署VPN集群、移动应用安全认证等安全保障措施。d)互联网接入安全管理域:为互联网接入域提供安全管理功能,部署网络审计、数据库审计、病毒和
20、恶意代码防护、互联网接入终端管控、日志审计、堡垒机集群等安全防护系统,应能与电子政务外网的安全管理综合平台进行联动, 统一进行策略管理和安全管控。 堡垒机集群应提供互联网接入域的本地和远程运维人员的身份鉴别、权限分配和行为审计的安全管控服务。6.4.3安全管理域根据网络业务及安全自身的需要,应将网络管理系统、安全管理系统、电子认证服务等信息系统部署在管理区,并设置与之相适应的访问控制策略。 安全等级保护确定为第三级的政务外网,应建立安全管理综合平台,通过开放接口实时推送安全管理综合数据并与省级平台互联互通,对安全防护设备的日志进行采集和综合关联分析,提出安全整改建议。 对于网络攻击等安全事件应
21、能实时告警,有条件的相关设备应能联动,防止网络攻击等事件的进一步扩大,主动有效地保护政务外网的安全。6.4.4数据中心域按业务区域可分为公用网络数据中心域、 专用网络数据中心域。 实现相关政务部门各类业务的集中托管或分区部署, 放置在数据中心公用网络区、 专用网络区机房托管的各相关信息系统应由责任主体单位与托管中心的责任单位签订合同、明确责任和边界,并按照国家信息系统安全等级保护的要求进行定级和采取相应的安全防护措施。7网络互联安全要求7.1广域网互联7.1.1省电子政务外网广域网互联时,应加强对边界接入设备的监控和管理,采取有效的边界访问控制策略,保证所承载各类业务的畅通和安全可靠。7.1.
22、2在省级广域网跨域边界,当市级向省级通告路由时,只通告政务外网分配地址并在市级对接设备边界处做好路由汇总,省级接入路由器负责对市级通告的路由信息进行过滤。7.2广域网与城域网互联7.2.1安全保护等级定级均为第三级的广域网与城域网互联时,应有主电路和备用电路,按主备电路互为备份或负载分担的方式提供网络承载服务。其核心路由设备应放置在不同的机房,保证其可靠性。广域网应与城域网的两个不同的汇聚设备或具有 PE 功能的核心设备互联,原则上不宜串接防火墙等边界访问控制设备。7.2.2安全保护等级定级为第三级的广域网与安全保护等级定级为第二级的城域网互联时,广域网应在边界接入设备上采取有效的边界访问控制
23、策略,对非授权访问、异常流量、病毒木马、网络攻击等行为进行控制,如串接防火墙作为边界访问控制设备时,应保证所承载各类业务的畅通和连续性。7.3城域网与部门接入网互联DB32/T 3514.4201967.3.1各级政务部门接入网及其信息系统的等级保护工作应由各单位自行负责,经过相应的等级保护测评并达到相应的等级保护要求后接入电子政务外网。7.3.2在城域网汇聚层设备上,应做好部门接入网接入的边界访问控制,如异常流量的监测、非授权访问、 病毒攻击等安全策略及防护措施,如串接防火墙作为边界访问控制设备时,应保证所承载各类业务的畅通和连续性。7.3.3部门接入网与本级政务外网城域网的接入边界,应通过
24、访问控制、 入侵防范和安全审计等功能对部门接入网边界进行安全防护。具体要求如下:a)访问控制: 根据会话状态信息为数据流提供明确的允许/拒绝访问能力,控制粒度至少达到端口级;应对用户设置有限权限访问政务外网资源,并限制政务外网地址访问局域网;对外提供服务节点时,应设置公用网络业务 DMZ 区,对该区单独实施安全策略,允许公用网络区访问业务DMZ 区,禁止业务区服务器向外访问。b)入侵防范:进行病毒过滤和入侵防御,并及时升级病毒和攻击特征库;对病毒和入侵攻击行为进行实时告警及阻断。c)安全审计:记录攻击源 IP、攻击类型、攻击目的 IP、攻击时间等关键信息;记录公用网络访问行为、网络地址转换日志
25、等信息;审计信息应至少保存 6 个月。7.4城域网与互联网互联7.4.1城域网应通过互联网区安全域与互联网进行互联,并与当地信息安全管理部门联合做好统一互联网出入口的监测与管理工作。7.4.2在省级和设区市应统一建设安全接入平台,通过对各类接入终端进行身份认证、 权限控制、 传输加密、行为审计等各类安全措施,实现外出用户通过多种接入方式安全接入城域网。7.5IPv6 的支持与过渡要求电子政务外网应逐步支持IPv6协议,过渡期间互联网区应从接入电路、DNS解析、网络设备、安全设备、安全管理、业务应用等方面支持IPv4/IPv6双栈协议,使用IPv4-IPv6协议转换等方式,平滑升级支持IPv6协
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB32T 3514.4-2019 电子政务外网建设规范 第4部分:安全实施指南江苏省 DB32 3514.4 2019 电子政务 建设 规范 部分 安全 实施 指南 江苏省
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
链接地址:https://www.zixin.com.cn/doc/168900.html