DB34 T 4319-2022 电子政务外网与非涉密业务专网互联规范.pdf

1、 ICS 35.240.01 CCS L 67 34 安徽省地方标准 DB34/T 43192022 电子政务外网与非涉密业务专网互联规范 Specification for interconnection between the NEGN extranet and non-secret private network2022-10-26 发布2022-11-26 实施安徽省市场监督管理局发 布 DB34/T 43192022 I 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识

2、别专利的责任。本文件由安徽省数据资源管理局提出并归口。本文件起草单位：安徽省大数据中心、安徽省自然资源信息中心、合肥市信息中心、中通服和信科技有限公司。本文件主要起草人：刘扬、张静、王悄、潘柳、胡飞、张明阳、刘兵、张海涛。DB34/T 43192022 1 电子政务外网与非涉密业务专网互联规范 1 范围 本文件确立了电子政务外网与非涉密业务专网互联的基本要求，并规定了电子政务外网与敏感专网、普通专网的互联要求和安全要求。本文件适用于电子政务外网与同级政务部门的业务专网的互联。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应

3、的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 20279 信息安全技术 网络和终端隔离产品安全技术要求 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB/T 25647 电子政务术语 DB34/T 3074 电子政务外网IPv4地址规范 3 术语和定义 GB/T 25069 和 GB/T 25647 界定的以及下列术语和定义适用于本文件。非涉密业务专网 non-secret private network 由政务部门建设管理的承载部门自身政务职能非涉密信息系统和数据的，与互联网之间隔离的

4、专用网络。敏感信息 sensitive information 不涉及国家秘密，但与国家安全、经济发展、社会稳定，以及企业和公众利益密切相关的信息，这些信息一旦未经授权纰漏、丢失、滥用、篡改或销毁可能损害国家社会公众利益或侵犯个人法定权益。敏感信息系统 sensitive information system 采集、存储、处理或传输敏感信息的计算机信息系统。敏感专网 sensitive private network 承载敏感信息系统或敏感数据的非涉密业务专网。普通专网 general private network 不承载敏感信息系统和敏感数据的非涉密业务专网。DB34/T 43192022

5、 2 4 基本要求 非涉密业务专网的互联设施应满足与电子政务外网互联的要求。非涉密业务专网的互联地址应符合 DB34/T 3074 的要求。电子政务外网与非涉密业务专网互联区的通信链路和关键设备应满足网间通信需要。电子政务外网与非涉密业务专网互联区的网络安全应满足 GB/T 22239 中三级等级保护要求。5 非涉密业务专网分类 非涉密业务专网分为敏感专网和普通专网。6 敏感专网互联要求 电子政务外网与敏感专网互联网络拓扑 电子政务外网与敏感专网互联的网络拓扑见图1。标引序号说明：1终端访问流量；2数据交换流量。图1 电子政务外网与敏感专网互联网络拓扑图 电子政务外网与敏感专网互联汇聚控制 6

6、.2.1 敏感专网边界设备应设置防火墙，通过汇聚交换机汇聚不同敏感专网链路，实现电子政务外网与敏感专网之间的通信传输和访问控制。6.2.2 敏感专网应通过不同专用链路分别接入互联区的汇聚交换机的不同物理接口，并采用划分 VLAN或访问控制等手段将不同敏感专网进行逻辑隔离。电子政务外网与敏感专网互联隔离措施 6.3.1 应采用网络隔离产品或网络单向导入产品，实现数据交换或单向导入。6.3.2 宜使用内外交换服务器，采用设备认证、格式检查等安全措施，组成跨网数据安全交换系统，实现电子政务外网与敏感专网的数据交换。边界防火墙或汇聚交换机入侵防范恶意代码防范身份鉴别安全审计加密保护网络单向导入产品网络

7、隔离产品汇聚控制区隔离交换区安全防护区敏感专网电子政务外网核心交换机12访问控制DB34/T 43192022 3 6.3.3 网络隔离产品和网络单向导入产品应符合 GB/T 20279 的要求。电子政务外网与敏感专网网间通信 6.4.1 终端访问 敏感专网的终端发起访问请求，经认证通过后可单向访问电子政务外网的指定资源。电子政务外网的终端不应访问敏感专网的资源。6.4.2 数据交换 电子政务外网的数据应单向交换至敏感专网。经敏感专网主管部门同意，可进行双向数据交换。7 普通专网互联要求 电子政务外网与普通专网互联网络拓扑 电子政务外网与普通专网互联的网络拓扑见图2。标引序号说明：1终端访问流

8、量；2数据交换流量。图2 电子政务外网与普通专网互联网络拓扑图 电子政务外网与普通专网互联汇聚控制 参照6.2的规定执行。电子政务外网与普通专网互联隔离措施 电子政务外网与普通专网应使用防火墙进行隔离。电子政务外网与普通专网网间通信 边界防火墙 汇聚交换机入侵防范恶意代码防范身份鉴别安全审计加密保护汇聚控制区隔离交换区安全防护区普通专网电子政务外网核心交换机12隔离防火墙访问控制DB34/T 43192022 4 7.4.1 终端访问 电子政务外网与普通专网之间应采用单向访问。经双方网络主管部门同意，可进行双向访问。7.4.2 数据交换 电子政务外网与普通专网之间应采用单向数据交换。经双方网络

9、主管部门同意，可进行双向数据交换。8 安全要求 访问控制 8.1.1 应具备终端和系统之间的访问控制能力，控制粒度为单个地址或端口等。8.1.2 宜采用白名单的访问控制策略。入侵防范 应对网络攻击行为进行检测、防止、限制、报警，并记录攻击源IP、目标、类型、时间等信息。恶意代码防范 8.3.1 应采用基于特征码匹配或其他方式，对恶意代码进行检测、告警和清除。8.3.2 应及时升级和更新恶意代码防护机制。身份鉴别 8.4.1 应基于用户名口令、IP 地址绑定、数字证书等技术对跨网访问的用户进行身份认证。8.4.2 用户名口令复杂度应符合 GB/T 22239 的要求。8.4.3 应对用户进行不同角色的授权。安全审计 应对用户行为和安全事件等进行审计，审计记录应包括事件的时间、用户、事件类型等信息，审计记录至少保留 6 个月。加密保护 8.6.1 对远程数据传输宜采取加密保护。8.6.2 使用的密码设备和密码算法应符合国家密码管理规定。其他 宜部署监测探针等其他安全技术产品，将安全相关信息推送至安全监测平台。