DB23 T 2829-2021 电子政务外网安全管理规范第一部分： 网络安全总体要求.pdf

1、ICS 35.240.01CCS L 67 DB23黑 龙 江 省 地 方 标 准DB23/T 2829 2021电 子 政 务 外 网 安 全 管 理 规 范第 1部 分 ： 网 络 安 全 总 体 要 求 2021 - 04 - 13 发 布 2021 - 05 - 12 实 施黑 龙 江 省 市 场 监 督 管 理 局 发 布 DB23/T 2829-2021 II DB23/T 2829-2021 I 前 言本 文 件 按 照 GB/T 1.1-2020给 出 的 规 则 起 草 。本 文 件 由 黑 龙 江 省 营 商 环 境 建 设 监 督 局 提 出 并 归 口 。本 文 件 主

2、 要 起 草 单 位 ： 黑 龙 江 省 营 商 环 境 建 设 监 督 局 、 黑 龙 江 省 政 务 大 数 据 中 心 、 黑 龙 江 省 标准 化 研 究 院 。本 文 件 主 要 起 草 人 ： 王 峰 、 曹 维 、 董 月 成 、 谢 晓 菲 、 孙 雷 、 王 东 、 罗 南 、 李 慧 颖 、 孟 令 权 、 范 晓 明 、杨 鹏 宇 、 陈 要 武 、 杨 大 志 、 吕 猛 、 王 磊 、 李 严 、 王 艳 君 。 DB23/T 2829-2021 1 电 子 政 务 外 网 安 全 管 理 规 范第 1 部 分 ： 网 络 安 全 总 体 要 求1 范 围本 文 件

3、规 定 了 电 子 政 务 外 网 安 全 管 理 规 范 第 1 部 分 ： 网 络 安 全 总 体 要 求 并 描 述 述 了 安 全 等 级 保 护 、跨 网 数 据 交 换 技 术 要 求 和 安 全 接 入 平 台 、 安 全 管 理 、 安 全 监 测 系 统 、 接 口 、 接 入 单 位 局 域 网 安 全 等 技 术规 范 。本 文 件 适 用 于 指 导 黑 龙 江 省 政 务 外 网 安 全 等 级 保 护 的 建 设 、 整 改 、 自 查 和 检 测 工 作 ； 指 导 各 级 政 务外 网 建 设 运 维 单 位 进 行 安 全 接 入 平 台 的 规 划 、 设

4、计 、 选 型 及 实 施 等 工 作 。 2 规 范 性 引 用 文 件下 列 文 件 中 的 内 容 通 过 文 中 的 规 范 性 引 用 而 构 成 本 文 件 必 不 可 少 的 条 款 。 其 中 ， 注 日 期 的 引 用 文 件 ，仅 该 日 期 对 应 的 版 本 适 用 于 本 文 件 ； 不 注 日 期 的 引 用 文 件 ， 其 最 新 版 本 （ 包 括 所 有 的 修 改 单 ） 适 用 于 本文 件 。GB/T 5271.8 信 息 技 术 词 汇 第 8 部 分 ： 安 全GB/T 21061-2007 国 家 电 子 政 务 网 络 技 术 和 运 行 管 理

5、 规 范GB/T 22239-2019 信 息 安 全 技 术 网 络 安 全 等 级 保 护 基 本 要 求GB/T 25070-2019 信 息 安 全 技 术 网 络 安 全 等 级 保 护 安 全 设 计 技 术 要 求GB/T 28448-2019 信 息 安 全 技 术 网 络 安 全 等 级 保 护 测 评 要 求GB/T 36958-2018 信 息 安 全 技 术 网 络 安 全 等 级 保 护 安 全 管 理 中 心 技 术 要 求YD/T 1746-2008 IP 承 载 网 安 全 防 护 要 求国 密 局 发 20097 号 电 子 政 务 电 子 认 证 服 务 管

6、 理 办 法 3 术 语 和 定 义下 列 术 语 和 定 义 适 用 于 本 文 件 。3.1 广 域 网把 城 市 之 间 连 接 起 来 的 宽 带 网 络 称 广 域 网 ， 政 务 外 网 从 省 到 各 地 （ 市 ） 网 络 称 为 省 级 广 域 网 、 地 （ 市 ）到 各 县 的 广 域 网 称 为 地 （ 市 ） 级 广 域 网 。 实 现 省 、 市 、 县 纵 向 业 务 的 互 联 网 通 。3.2 城 域 网把 同 一 城 市 内 不 同 单 位 的 局 域 网 络 连 接 起 来 的 网 络 称 为 城 域 网 ， 实 现 不 同 单 位 跨 部 门 业 务 的

7、 数 据 共享 与 交 换 。 DB23/T 2829-2021 2 3.3 局 域 网把 本 单 位 终 端 、 主 机 /服 务 器 、 存 储 等 设 备 ， 通 过 网 络 设 备 连 接 起 来 的 网 络 ， 实 现 本 单 位 业 务 系 统 、数 据 的 互 访 、 共 享 等 称 为 局 域 网 。 局 域 网 是 政 务 部 门 开 展 电 子 政 务 业 务 的 基 础 ， 其 安 全 、 建 设 、 运维 等 相 关 工 作 由 网 络 所 属 单 位 自 行 负 责 。3.4 逻 辑 隔 离逻 辑 隔 离 是 一 种 不 同 网 络 间 的 安 全 防 护 措 施 ，

8、 被 隔 离 的 两 端 仍 然 存 在 物 理 上 数 据 通 道 连 线 。 一 般 使用 协 议 转 换 、 数 据 格 式 剥 离 或 数 据 流 控 制 的 方 法 来 实 现 在 两 个 逻 辑 隔 离 区 域 之 间 传 输 数 据 ， 并 且 传输 的 方 向 可 以 是 单 向 或 双 向 。3.5 公 用 网 络 区公 用 网 络 区 采 用 统 一 分 配 的 公 共 IP地 址 ， 是 实 现 各 部 门 、 各 地 区 互 联 互 通 ， 为 跨 地 区 、 跨 部 门 的 业务 应 用 提 供 数 据 共 享 与 交 换 的 网 络 支 撑 平 台 。3.6 专 用

9、 网 络 区依 托 省 内 政 务 外 网 基 础 设 施 ， 为 特 定 需 求 的 部 门 或 业 务 设 置 VPN 区 域 ， 主 要 满 足 部 门 横 向 、 纵 向业 务 的 需 要 ， 实 现 省 、 地 （ 市 ） 和 县 端 到 端 业 务 和 数 据 的 互 联 互 通 ， 实 现 与 其 它 业 务 之 间 的 逻 辑 隔离 。3.7 政 务 外 网服 务 于 各 级 党 委 、 人 大 、 政 府 、 政 协 、 法 院 和 检 察 院 等 政 务 部 门 ， 满 足 其 经 济 调 节 、 市 场 监 管 、 社 会 管 理 和 公 共 服 务 等 方 面 需 要

10、的 政 务 公 用 网 络 。 政 务 外 网 支 持 跨 地 区 、 跨 部 门 的 业 务 应 用 、 信 息 共享 和 业 务 协 同 ， 以 及 不 需 在 政 务 内 网 上 运 行 的 业 务 ， 与 互 联 网 逻 辑 隔 离 。3.8 安 全 管 理 系 统采 用 多 种 技 术 手 段 ， 收 集 和 整 合 各 类 网 络 设 备 、 安 全 设 备 、 操 作 系 统 等 安 全 事 件 ， 并 运 用 关 联 分 析技 术 、 智 能 推 理 技 术 和 风 险 管 理 技 术 ， 实 现 对 安 全 事 件 信 息 的 深 度 分 析 和 识 别 ， 能 快 速 做

11、出 报 警 响应 ， 实 现 对 安 全 事 件 进 行 统 一 监 控 分 析 和 预 警 处 理 。3.9 跨 网政 务 外 网 城 域 网 内 采 用 VPN技 术 逻 辑 隔 离 且 无 协 议 通 信 的 网 络 之 间 ， 或 者 是 物 理 隔 离 的 网 络 之 间 。 4 安 全 等 级 保 护 要 求4.1 总 体 原 则 DB23/T 2829-2021 3 电 子 政 务 外 网 安 全 等 级 保 护 遵 循 国 家 安 全 等 级 保 护 文 件 要 求 ， 电 子 政 务 外 网 开 展 安 全 等 级 保 护 工 作的 重 点 是 广 域 网 和 各 级 城 域

12、 网 。政 务 外 网 主 要 满 足 各 级 政 务 部 门 业 务 应 用 系 统 传 输 和 跨 部 门 数 据 交 换 与 共 享 的 需 要 ， 保 证 其 在 广 域网 和 城 域 网 上 的 畅 通 、 安 全 和 可 靠 。 不 同 安 全 等 级 保 护 的 政 务 外 网 互 联 ， 应 在 配 置 网 络 边 界 访 问 控 制 的情 况 下 ， 确 保 业 务 的 畅 通 。4.2 具 体 要 求政 务 外 网 省 至 地 （ 市 ） 广 域 网 和 省 级 、 地 （ 市 ） 级 城 域 网 应 达 到 安 全 等 级 保 护 第 三 级 要 求 ， 地 （ 市 ）级

13、 至 区 县 广 域 网 和 地 （ 市 ） 以 下 城 域 网 应 至 少 达 到 安 全 等 级 保 护 第 三 级 的 要 求 。5 安 全 接 入 平 台 技 术 规 范5.1 安 全 接 入 平 台 政 务 在 省 、 市 （ 地 ） 分 别 建 设 两 级 安 全 接 入 平 台 ， 形 成 政 务 外 网 安 全 接 入 体 系 。 县 级 可 通 过 市 级 平台 接 入 。 安 全 接 入 平 台 架 构 见 图 1。 图 1 安 全 接 入 平 台 架 构5.2 接 入 模 式5.2.1 IPSecVPN隧 道 接 入主 要 应 用 于 非 专 线 接 入 政 务 外 网

14、的 单 位 ， 采 用 网 关 对 网 关 接 入 进 行 组 网 以 及 远 程 终 端 接 入 进 行 长 时间 连 接 、 数 据 上 报 、 视 频 会 议 等 非 WEB 方 式 访 问 的 业 务 。 对 于 专 线 接 入 单 位 ， 当 专 线 发 生 故 障 时 ， 应急 情 况 下 也 可 采 用 网 关 对 网 关 接 入 方 式 ， 通 过 Internet 或 移 动 通 信 网 的 VPDN 实 现 业 务 的 不 中 断 传 输 。5.2.2 SSL VPN安 全 接 入 DB23/T 2829-2021 4 主 要 应 用 于 接 入 终 端 WEB 方 式 接

15、 入 政 务 外 网 ， 访 问 业 务 系 统 、 远 程 桌 面 管 理 、 远 程 办 公 等 。5.2.3 VPDN接 入专 线 接 入 用 户 可 使 用 智 能 终 端 通 过 VPDN 专 线 接 入 ， VPDN 专 线 接 入 和 Internet 接 入 类 似 ， 统 一 从政 务 外 网 安 全 接 入 平 台 入 口 进 入 。 各 级 安 全 接 入 平 台 依 据 用 户 所 要 访 问 的 业 务 应 用 系 统 的 安 全 情 况 应 采取 IPSec VPN 或 SSL VPN 网 关 对 传 输 链 路 进 行 加 密 。5.3 接 入 流 程5.3.1

16、网 关 对 网 关 接 入该 模 式 适 用 于 不 具 备 政 务 外 网 专 线 接 入 条 件 的 单 位 ， 通 过 IPSec VPN网 关 接 入 政 务 外 网 ， 具 体 接 入流 程 如 下 ：a) 接 入 单 位 通 过 公 众 网 络 登 录 安 全 接 入 平 台 门 户 发 起 申 请 ， 由 本 级 政 务 外 网 运 维 单 位 审 核 通 过 后 下 发 接 入 网 关 配 置 信 息 、 设 备 证 书 等 ；b) 接 入 网 关 向 安 全 接 入 平 台 IPSec VPN 网 关 集 群 服 务 网 关 发 起 连 接 请 求 ；c) 服 务 网 关 通

17、 过 认 证 平 台 对 接 入 网 关 进 行 认 证 ， 认 证 成 功 后 双 方 建 立 隧 道 ；d) 接 入 单 位 用 户 通 过 VPN 设 备 建 立 的 安 全 隧 道 访 问 政 务 外 网 业 务 。5.3.2 移 动 接 入5.3.2.1 接 入 单 位 通 过 公 众 网 络 登 录 安 全 接 入 平 台 门 户 发 起 申 请 ， 由 本 级 政 务 外 网 运 维 单 位 审 核 通 过后 ， 根 据 接 入 业 务 不 同 下 发 接 入 必 需 资 源 ， 如 统 一 业 务 入 口 或 者 SSL VPN服 务 地 址 、 客 户 端 软 件 、 用户

18、证 书 等 。5.3.2.2 PSec VPN 接 入 用 户 通 过 客 户 端 发 起 请 求 ， SSL VPN 接 入 用 户 通 过 WEB 方 式 发 起 请 求 ， 智 终端 用 户 利 用 移 动 终 端 安 全 接 入 软 件 （ APP） 发 起 请 求 。5.3.2.3 网 关 通 过 认 证 平 台 对 接 入 用 户 进 行 认 证 ， 认 证 成 功 后 双 方 建 立 安 全 连 接 。 5.3.2.4 接 入 用 户 通 过 VPN 网 关 建 立 的 安 全 连 接 访 问 政 务 外 网 业 务 。5.3.3 VPDN 移 动 专 线 接 入适 用 于 智

19、能 终 端 用 户 通 过 移 动 通 信 网 的 VPDN 方 式 接 入 或 PC 端 用 户 通 过 ADSL 等 方 式 ， 接 入 用 户需 先 通 过 Internet 登 录 安 全 接 入 平 台 门 户 申 请 VPDN 账 号 ， 在 账 号 审 核 成 功 后 ， VPDN用 户 向 LNS 发起 拨 号 并 通 过 认 证 建 立 隧 道 ， VPDN隧 道 建 立 成 功 后 ， 用 户 向 SSL VPN 网 关 发 起 请 求 ， 网 关 通 过 认 证 平台 对 VPDN 用 户 进 行 认 证 ， 认 证 成 功 后 双 方 建 立 安 全 连 接 ， VPD

20、N用 户 须 通 过 VPN 设 备 建 立 的 加 密 隧 道安 全 连 接 访 问 政 务 外 网 业 务 。5.4 平 台 部 署5.4.1 省 级 安 全 接 入 平 台 部 署5.4.1.1 省 级 安 全 接 入 平 台 划 分 为 四 个 区 域 进 行 部 署 。 5.4.1.2 统 一 入 口 区 由 防 火 墙 、 VPDN 接 入 所 需 的 LNS 路 由 器 、 移 动 终 端 管 理 系 统 、 门 户 组 成 ； 防 火墙 实 现 安 全 接 入 平 台 的 访 问 控 制 ； 移 动 终 端 管 理 系 统 用 于 接 入 智 能 终 端 的 策 略 下 发 ，

21、 远 程 擦 除 ； 门 户 提供 用 户 注 册 申 请 、 客 户 端 软 件 下 载 、 SSL VPN 登 录 、 业 务 异 常 申 报 等 功 能 。 LNS 路 由 器 提 供 VPDN 专 线用 户 二 次 认 证 功 能 。 DB23/T 2829-2021 5 5.4.1.3 VPN 网 关 集 群 是 由 IPSec VPN 网 关 、 SSL VPN 网 关 组 成 的 VPN 网 关 池 ， 实 现 用 户 的 身 份 认证 、 权 限 管 理 、 传 输 加 密 ； 负 载 均 衡 设 备 提 供 VPN 网 关 的 负 载 分 配 。5.4.1.4 接 入 管 理

22、 区 部 署 配 置 管 理 系 统 、 监 测 系 统 、 安 全 审 计 系 统 ， 实 现 平 台 设 备 的 配 置 管 理 、 安 全接 入 平 台 的 运 行 监 测 和 接 入 用 户 行 为 审 计 。5.4.1.5 认 证 区 部 署 LDAP、 RADIUS 等 认 证 系 统 ， 实 现 接 入 用 户 的 统 一 认 证 授 权 功 能 。 如 果 已 建 设 政务 外 网 CA， LDAP 可 从 CA 导 入 证 书 条 目 、 证 书 注 销 列 表 等 信 息 用 于 用 户 证 书 有 效 性 检 查 协 助 认 证 。5.4.2 市 （ 地 ） 级 安 全

23、接 入 平 台 部 署5.4.2.1 市 （ 地 ） 级 安 全 接 入 平 台 划 分 为 四 个 区 域 进 行 部 署 。5.4.2.2 统 一 入 口 区 由 防 火 墙 、 门 户 组 成 ； 防 火 墙 实 现 安 全 接 入 平 台 的 访 问 控 制 。 门 户 提 供 用 户 注 册申 请 、 客 户 端 软 件 下 载 、 SSLVPN 登 录 、 业 务 异 常 申 报 等 功 能 ， 如 有 移 动 接 入 需 求 ， 应 增 加 必 要 移 动 终端 管 理 系 统 。 5.4.2.3 VPN网 关 由 IPSec VPN 网 关 和 SSL VPN 网 关 组 成

24、， 实 现 用 户 的 身 份 认 证 、 权 限 管 理 、 传 输加 密 。5.4.2.4 接 入 管 理 区 配 置 管 理 /审 计 服 务 器 ， 实 现 VPN 网 关 的 配 置 管 理 、 安 全 接 入 平 台 的 运 行 监 测 、用 户 的 接 入 审 计 和 安 全 接 入 平 台 的 安 全 审 计 。5.4.2.5 认 证 区 配 置 LDAP、 RADIUS 等 认 证 服 务 器 ， 实 现 接 入 用 户 的 统 一 认 证 功 能 。 市 （ 地 ） VPDN 用户 可 通 过 省 级 安 全 接 入 平 台 接 入 。 县 级 安 全 接 入 平 台 可

25、参 照 市 （ 地 ） 级 安 全 接 入 平 台 部 署 。6 安 全 管 理 技 术 规 范6.1 网 络 安 全 管 理 职 责6.1.1 网 络 管 理 系 统 要 分 别 设 立 网 络 管 理 员 和 网 络 安 全 审 计 员 ， 并 分 别 由 不 同 的 人 员 担 任 。6.1.2 网 络 管 理 员 根 据 网 络 访 问 控 制 策 略 要 求 ， 进 行 网 络 设 备 参 数 设 置 ， 更 新 和 维 护 等 工 作 ； 对 网 络 设 备 实 行 分 级 授 权 管 理 ， 按 照 不 同 的 管 理 级 别 进 行 权 限 分 配 。6.1.3 网 络 安 全

26、 审 计 员 对 网 络 管 理 员 的 登 录 和 操 作 内 容 进 行 审 计 ， 一 月 内 至 少 审 计 一 次 日 志 报 表 ； 对网 络 配 置 与 网 络 访 问 控 制 策 略 进 行 符 合 性 检 查 。6.2 网 络 管 理6.2.1 应 在 信 息 系 统 内 外 网 网 络 边 界 部 署 防 火 墙 、 审 计 系 统 、 IPS/IDS等 安 全 设 备 ； 对 内 部 网 络 进 行区 域 隔 离 、 保 护 ； 重 要 的 业 务 应 用 服 务 器 区 部 署 单 独 的 防 火 墙 进 行 保 护 。6.2.2 内 外 网 网 络 之 间 要 实 行

27、 物 理 隔 离 。 如 需 进 行 数 据 交 换 时 ， 应 使 用 符 合 国 家 政 策 和 保 密 部 门 认 可的 安 全 产 品 或 技 术 措 施 进 行 数 据 传 输 。6.2.3 所 有 在 互 联 网 发 布 的 应 用 系 统 必 须 使 用 网 页 防 篡 改 技 术 或 专 用 安 全 设 备 进 行 保 护 ， 确 保 网 站 在受 到 破 坏 时 能 自 动 恢 复 。6.2.4 所 有 在 互 联 网 发 布 的 应 用 系 统 必 须 经 过 有 资 质 的 专 业 信 息 安 全 公 司 或 第 三 方 技 术 机 构 的 安 全 测 评 ， 确 保 网

28、 站 的 安 全 性 。6.2.5 采 用 技 术 手 段 对 网 络 接 入 进 行 控 制 。 内 部 终 端 如 因 工 作 需 要 接 入 Internet或 其 他 网 络 ， 应 向 所在 部 门 领 导 提 出 申 请 ， 经 批 准 后 由 网 络 管 理 员 提 供 接 入 服 务 。 管 理 员 对 接 入 端 信 息 做 详 细 登 记 并 存 档 备案 。 外 部 人 员 如 需 接 入 网 络 ， 需 由 部 门 主 管 领 导 批 准 ， 再 由 网 络 管 理 员 提 供 临 时 接 入 服 务 。 DB23/T 2829-2021 6 6.2.6 网 络 管 理

29、 员 负 责 网 络 拓 扑 图 的 绘 制 。 若 网 络 结 构 发 生 变 化 要 及 时 更 新 拓 扑 图 ， 确 保 网 络 拓 扑 图完 整 、 真 实 。6.2.7 未 经 批 准 ， 任 何 人 不 得 改 变 网 络 拓 扑 结 构 、 网 络 设 备 布 局 、 服 务 器 和 路 由 器 配 置 以 及 网 络 参 数 。6.2.8 在 未 经 许 可 的 情 况 下 ， 任 何 人 不 得 进 入 计 算 机 系 统 更 改 系 统 信 息 和 用 户 数 据 。6.2.9 任 何 人 不 得 利 用 计 算 机 技 术 侵 害 用 户 合 法 利 益 ， 不 得 制

30、 作 和 传 播 有 害 信 息 。6.3 运 维 管 理6.3.1 建 立 纵 向 贯 通 省 、 市 （ 地 ） 、 县 （ 区 ） ， 横 向 连 接 各 接 入 单 位 的 全 省 电 子 政 务 外 网 运 维 管 理 体系 ， 实 现 对 全 网 的 网 络 设 备 、 链 路 、 业 务 运 行 状 况 的 统 一 运 维 监 控 管 理 。6.3.2 对 信 息 系 统 核 心 设 备 采 取 冗 余 措 施 （ 包 括 线 路 及 设 备 冗 余 ） ， 确 保 网 络 正 常 运 行 。6.3.3 对 网 络 、 安 全 设 备 进 行 管 理 时 须 采 用 安 全 的

31、方 式 （ 如 加 密 、 SSH等 ） ， 并 严 格 控 制 可 访 问 该 设备 的 地 址 和 网 段 。 6.3.4 定 期 对 网 络 系 统 （ 服 务 器 、 网 络 设 备 ） 进 行 漏 洞 扫 描 ， 并 及 时 修 补 已 发 现 的 安 全 漏 洞 。6.3.5 根 据 设 备 厂 商 提 供 的 更 新 软 件 对 网 络 设 备 和 安 全 设 备 进 行 升 级 ， 在 升 级 之 前 要 注 意 对 重 要 文 件的 配 置 进 行 备 份 。6.3.6 定 期 对 重 要 的 网 络 、 安 全 设 备 进 行 巡 检 ， 确 保 重 要 设 施 工 作 正

32、 常 ， 并 填 写 相 关 记 录 表 单 归 档 保存 。 若 在 巡 检 中 发 现 安 全 问 题 要 及 时 上 报 处 理 。6.3.7 定 期 对 重 要 系 统 服 务 器 和 相 关 业 务 数 据 进 行 备 份 ， 备 份 数 据 应 一 式 两 份 ， 分 别 进 行 保 存 管 理 。6.3.8 部 署 专 用 的 网 络 审 计 设 备 记 录 网 络 访 问 日 志 ， 日 志 的 最 小 保 存 期 限 不 低 于 60天 ， 且 应 保 证 无 一天 以 上 的 中 断 。6.4 账 号 管 理6.4.1 对 网 络 管 理 员 、 安 全 审 计 员 等 不

33、 同 用 户 建 立 不 同 的 账 号 ， 并 对 资 源 管 理 权 限 进 行 划 分 ， 以 便 于审 计 。 6.4.2 网 络 账 号 、 密 码 设 计 必 须 满 足 长 度 、 复 杂 度 要 求 ， 用 户 须 定 期 更 改 密 码 以 保 障 网 络 账 户 安 全 。6.4.3 指 定 专 人 对 服 务 器 和 网 络 设 备 的 账 号 、 密 码 进 行 统 一 登 记 ， 一 式 两 份 存 档 管 理 。 管 理 员 须 严 守职 业 道 德 和 职 业 纪 律 ， 不 得 将 任 何 账 号 、 密 码 等 信 息 泄 露 出 去 。6.5 恶 意 代 码

34、 管 理6.5.1 不 得 制 造 和 传 播 任 何 计 算 机 病 毒 。6.5.2 网 络 服 务 器 的 病 毒 防 治 由 网 络 管 理 员 负 责 ， 网 络 管 理 员 负 责 对 各 部 门 计 算 机 的 病 毒 防 治 工 作 进行 指 导 和 协 助 。6.5.3 及 时 更 新 网 络 系 统 服 务 器 病 毒 库 ， 定 期 对 服 务 器 进 行 全 盘 扫 描 杀 毒 。6.5.4 提 高 自 身 的 恶 意 代 码 防 范 意 识 ， 在 接 收 文 件 或 邮 件 之 前 ， 必 须 先 进 行 恶 意 代 码 检 查 。6.5.5 已 授 权 的 外 来

35、 计 算 机 或 存 储 设 备 在 接 入 网 络 之 前 ， 必 须 对 其 进 行 恶 意 代 码 扫 描 。 7 安 全 监 测 系 统 技 术 规 范7.1 网 络 安 全 分 析7.1.1 对 电 子 政 务 外 网 网 络 安 全 态 势 进 行 多 维 度 分 析 ， 实 现 对 电 子 政 务 外 网 的 全 面 安 全 态 势 的 掌 握 . DB23/T 2829-2021 7 7.1.2 具 备 基 于 大 数 据 分 析 能 力 ， 对 关 注 度 级 别 较 高 的 安 全 事 件 进 行 独 立 模 块 化 分 析 ， 如 高 危 攻 击 、恶 意 文 件 、 C

36、&C 攻 击 、 邮 件 威 胁 、 暴 力 破 解 、 拒 绝 服 务 、 异 常 访 问 、 高 危 漏 洞 等 。7.1.3 具 备 通 过 从 内 部 威 胁 、 外 部 威 胁 两 个 层 面 对 网 络 安 全 威 胁 进 行 细 化 分 析 能 力 。7.2 资 产 风 险 分 析具 备 对 电 子 政 务 外 网 中 涉 及 到 的 资 产 发 现 、 属 性 识 别 、 资 产 弱 口 令 、 资 产 脆 弱 性 等 情 况 进 行 识 别 和分 析 。7.3 溯 源 取 证具 备 接 口 流 量 信 息 和 黑 客 信 息 统 计 功 能 ， 掌 握 电 子 政 务 外 网

37、 流 量 情 况 和 外 部 威 胁 情 况 ， 为 攻 击 事 件溯 源 提 供 手 段 。7.4 安 全 态 势 呈 现 具 备 对 采 集 到 的 安 全 数 据 进 行 挖 掘 分 析 后 的 网 络 安 全 态 势 的 综 合 展 示 能 力 ， 为 电 子 政 务 外 网 安 全 管理 提 供 辅 助 决 策 。7.5 威 胁 情 报具 备 对 于 电 子 政 务 外 网 中 出 现 的 恶 意 IP、 恶 意 文 件 、 恶 意 域 名 等 通 过 威 胁 情 报 进 行 一 键 查 询 功 能 。威 胁 情 报 功 能 的 数 据 来 源 应 支 持 包 括 各 级 平 台 共

38、 享 情 报 、 探 针 扫 描 检 测 数 据 、 日 志 分 析 数 据 以 及 第 三 方威 胁 情 报 。8 接 口 技 术 规 范8.1 数 据 采 集 接 口8.1.1 接 口 实 现 接 口 实 现 安 全 管 理 系 统 从 安 全 对 象 采 集 日 志 数 据 、 脆 弱 性 数 据 、 配 置 数 据 和 状 态 数 据 信 息 。8.1.2 数 据 采 集 方 式 要 求数 据 采 集 应 支 持 （ 但 不 限 于 ） 通 过 下 述 手 段 实 现 数 据 的 主 动 或 被 动 采 集 ：a) SNMP Trap： 应 启 动 SNMP Service 服 务 ，

39、 使 用 统 一 的 团 体 串 在 默 认 或 自 定 义 端 口 上 监 听 ， 以获 取 安 全 设 备 发 来 的 SNMP Trap 信 息 。b) SYSLOG： 应 启 动 SYSLOG 服 务 ， 使 用 默 认 或 自 定 义 端 口 监 听 ， 以 获 取 安 全 设 备 发 来 的 SYSLOG 信息 。 c) 文 件 ： 应 具 备 网 络 文 件 、 本 地 文 件 的 定 期 或 触 发 提 取 功 能 ， 获 取 其 中 的 日 志 信 息 。d) 数 据 库 ： 应 具 备 网 络 数 据 库 、 本 地 数 据 库 的 定 期 或 触 发 提 取 功 能 ，

40、获 取 其 中 的 日 志 信 息 。e) 代 理 ： 对 于 特 殊 的 、 缺 乏 共 性 的 信 息 存 储 方 式 ， 应 支 持 通 过 编 写 代 理 程 序 方 式 获 取 其 中 的 日 志信 息 ， 代 理 程 序 应 支 持 与 目 标 数 据 部 署 在 一 起 ， 也 支 持 远 程 部 署 。 8.1.3 系 统 运 行 状 态 上 报 接 口8.1.4 上 级 安 全 管 理 系 统 需 要 对 下 级 系 统 的 上 报 接 口 实 施 周 期 检 测 ， 及 时 发 现 接 口 异 常 ， 减 少 上 报 数据 的 丢 失 。 DB23/T 2829-2021

41、8 8.1.5 下 级 安 全 管 理 系 统 周 期 性 上 报 自 己 状 态 的 心 跳 消 息 ， 上 级 系 统 根 据 是 否 能 周 期 收 到 下 级 状 态 的心 跳 消 息 ， 来 判 断 下 级 系 统 上 报 是 否 正 常 。8.1.6 上 报 接 口 状 态 分 为 ：a) 1 正 常 ： 上 级 系 统 收 到 下 级 系 统 的 上 报 消 息 后 ， 将 下 级 的 上 报 接 口 判 断 为 正 常 ；b) 0 离 线 ： 当 上 级 系 统 在 一 个 上 报 周 期 内 未 收 到 上 报 信 息 ， 则 判 断 下 级 系 统 的 上 报 接 口 离

42、线 ，同 时 产 生 该 下 级 安 全 管 理 系 统 上 报 接 口 离 线 告 警 。8.1.7 上 报 频 率 为 10 分 钟 一 次 。8.2 风 险 上 报 接 口8.2.1 下 级 安 全 管 理 系 统 需 要 向 上 级 系 统 上 报 本 级 系 统 的 安 全 域 的 风 险 值 和 风 险 等 级 。 上 报 频 率 至 少为 10 分 钟 一 次 。8.2.2 风 险 的 上 报 由 上 级 安 全 管 理 系 统 进 行 请 求 。 下 级 安 全 管 理 系 统 按 照 请 求 的 内 容 进 行 风 险 的 实 时 上 报 。8.2.3 风 险 上 报 的 内

43、 容 包 括 ： 系 统 所 属 行 政 区 编 码 ， 安 全 域 名 称 ， 风 险 值 ， 风 险 等 级 。9 跨 网 数 据 交 换 技 术 要 求9.1 隔 离 性 要 求9.1.1 数 据 库 数 据 交 换9.1.1.1 单 向 数 据 传 输 采 用 单 向 光 闸 或 网 闸 作 为 唯 一 连 接 通 道 ， 通 过 协 议 转 换 ， 以 信 息 摆 渡 的 方 式 实现 单 向 数 据 交 换 ， 同 时 必 须 确 保 数 据 无 反 向 传 输 。9.1.1.2 双 向 数 据 传 输 采 用 网 闸 作 为 唯 一 连 接 通 道 ， 通 过 协 议 转 换 ，

44、 以 信 息 摆 渡 的 方 式 实 现 双 向 数 据交 换 。 9.1.2 文 件 数 据 交 换9.1.2.1 单 向 数 据 传 输 采 用 单 向 光 闸 或 网 闸 作 为 唯 一 连 接 通 道 ， 通 过 协 议 转 换 ， 以 信 息 摆 渡 的 方 式 实现 单 向 数 据 交 换 ， 同 时 必 须 确 保 数 据 无 反 向 传 输 。9.1.2.2 双 向 数 据 传 输 采 用 网 闸 作 为 唯 一 连 接 通 道 ， 通 过 协 议 转 换 ， 以 信 息 摆 渡 的 方 式 实 现 双 向 数 据交 换 。9.1.3 设 备 认 证 要 求9.1.3.1 应

45、确 保 非 法 设 备 无 法 通 过 数 据 安 全 交 换 系 统 实 现 数 据 交 换 ， 交 换 对 象 应 采 用 IP 地 址 绑 定 、设 备 数 字 证 书 或 SNMP等 方 式 进 行 设 备 认 证 。9.1.3.2 若 采 用 设 备 数 字 证 书 认 证 方 式 ， 应 支 持 政 务 外 网 数 字 证 书 。9.1.4 访 问 控 制 要 求 9.1.4.1 支 持 通 过 用 户 名 口 令 、 数 字 证 书 方 式 对 系 统 管 理 员 和 操 作 员 进 行 身 份 认 证 ， 认 证 支 持 政 务 外网 数 字 证 书 ， 应 通 过 政 务 外

46、 网 现 有 认 证 体 系 进 行 认 证 ， 也 可 离 线 认 证 。9.1.4.2 支 持 对 系 统 管 理 员 、 系 统 安 全 员 、 系 统 审 计 员 进 行 不 同 角 色 的 授 权 管 理 。9.1.5 安 全 管 理 与 审 计 要 求 DB23/T 2829-2021 9 9.1.6 支 持 实 时 监 控 跨 网 数 据 安 全 交 换 系 统 业 务 状 态 、 通 道 运 行 状 态 。9.1.7 支 持 通 过 图 、 表 等 方 式 展 现 跨 网 数 据 安 全 交 换 系 统 业 务 相 关 统 计 信 息 ， 并 应 按 不 同 时 间 粒 度 和

47、区 间 汇 总 。9.1.8 支 持 对 跨 网 数 据 安 全 交 换 系 统 的 行 为 、 安 全 事 件 和 交 换 内 容 等 进 行 审 计 。9.1.9 支 持 对 系 统 管 理 员 、 系 统 安 全 员 、 系 统 审 计 员 管 理 行 为 进 行 审 计 。9.1.10 支 持 安 全 事 件 报 警 功 能 。9.1.11 支 持 配 置 文 件 、 审 计 日 志 的 备 份 功 能 ， 并 提 供 备 份 数 据 的 导 入 、 导 出 、 查 询 功 能 。9.1.12 支 持 接 收 符 合 标 准 SYSLOG或 SNMP 接 口 规 范 的 审 计 日 志

48、 。9.1.13 支 持 对 审 计 数 据 保 存 大 小 上 限 进 行 动 态 设 置 。10 接 入 单 位 局 域 网 安 全 技 术 规 范 10.1 单 位 局 域 网 安 全 等 级 保 护 要 求接 入 政 务 外 网 的 局 域 网 应 依 据 等 保 2.0三 级 的 要 求 进 行 建 设 。10.2 边 界 安 全 要 求10.2.1 公 共 网 络 区 接 入 边 界 安 全 要 求公 用 网 络 区 边 界 为 接 入 单 位 局 域 网 与 本 级 政 务 外 网 城 域 网 的 接 入 边 界 ， 接 入 单 位 局 域 网 应 通 过 防 火墙 系 统 、

49、入 侵 防 御 系 统 和 安 全 审 计 系 统 等 与 政 务 外 网 进 行 逻 辑 隔 离 并 对 局 域 网 进 行 安 全 防 护 。本 项 要 求 包 括 ：a) 访 问 控 制 ：1) 根 据 会 话 状 态 信 息 为 数 据 流 提 供 明 确 的 允 许 /拒 绝 访 问 能 力 ， 控 制 粒 度 至 少 达 到 端 口 级 ；2) 应 对 用 户 设 置 有 限 权 限 访 问 政 务 外 网 资 源 ， 并 限 制 政 务 外 网 地 址 访 问 局 域 网 ；3) 对 外 提 供 服 务 节 点 时 ， 应 设 置 公 用 网 络 业 务 DMZ区 ， 对 该 区 单 独 实 施 安 全 策 略 ， 允 许 公 用 网 络 区 访 问 内 部 业 务 区 ， 禁 止 内 部 业 务 区 服 务 器 向 外 访 问 。b) 入 侵 防 范 ：1) 进 行 病 毒 过 滤 和 入 侵 防 御 ， 并 及 时 升 级 病 毒 和 攻 击 特 征 库 ；2) 对 病 毒 和 入 侵 攻 击 行 为 进 行 实 时 告 警 及 阻 断 。c) 安 全 审 计 ：1) 记 录 攻 击 源 IP、 攻 击 类 型 、 攻 击 目 的 IP、 攻 击 时 间 等 关 键 信 息 ；2) 记 录 公 用 网 络 访 问 行 为 、 网 络 地 址 转 换 日