DB32 T 3514.6-2019 电子政务外网建设规范 第6部分：安全接入平台技术要求.pdf

《DB32 T 3514.6-2019 电子政务外网建设规范 第6部分：安全接入平台技术要求.pdf》由会员分享，可在线阅读，更多相关《DB32 T 3514.6-2019 电子政务外网建设规范 第6部分：安全接入平台技术要求.pdf（22页珍藏版）》请在麦多课文档分享上搜索。

1、ICS 35.240.01L67 DB32江 苏 省 地 方 标 准DB32/T 3514.6 2019电 子 政 务 外 网 建 设 规 范第 6部 分 ： 安 全 接 入 平 台 技 术 要 求 Construction Specifications of E-Government NetworkPart 6: the technical requirements of network security access platform 2019 -01- 12发 布 2019- 01-30实 施江 苏 省 市 场 监 督 管 理 局 发 布 DB32/T 3514.62019 I 目 次前

2、 言 .IV1 范 围 .12 规 范 性 引 用 文 件 .13 术 语 和 定 义 .14 缩 略 语 .35 总 体 要 求 .36 基 础 框 架 .46.1 安 全 接 入 体 系 .4 6.2 平 台 架 构 .46.3 功 能 框 架 .57 基 本 要 求 .77.1 统 一 入 口 .77.1.1 WEB门 户 .77.1.2 统 一 客 户 端 .77.1.3 网 关 接 入 .77.2 VPN网 关 集 群 .77.2.1 网 关 要 求 .77.2.2 集 群 要 求 .87.2.3 传 输 加 密 .87.2.4 身 份 认 证 .8 7.2.5 权 限 控 制 .8

3、7.3 统 一 认 证 平 台 .97.4 互 联 网 接 入 终 端 .97.5 管 理 与 审 计 .97.6 安 全 防 护 .107.6.1 网 络 访 问 控 制 .107.6.2 入 侵 检 测 与 防 御 .107.6.3 防 病 毒 .107.7 移 动 终 端 安 全 .107.7.1 通 用 配 置 .107.7.2 数 字 证 书 .107.7.3 VPN客 户 端 .117.7.4 MDM客 户 端 .11 7.7.5 MAM客 户 端 .117.7.6 MCM客 户 端 .11 DB32/T 3514.62019 II 7.7.7 移 动 安 全 应 用 支 撑 客

4、户 端 .117.7.8 身 份 鉴 别 .127.7.9 数 据 安 全 存 储 .127.7.10 安 全 防 护 .127.7.11 运 行 环 境 隔 离 .127.8 信 道 安 全 .127.9 接 入 安 全 .127.9.1 接 入 认 证 网 关 .127.9.2 MDM平 台 .137.9.3 移 动 安 全 应 用 支 撑 平 台 .137.10 服 务 端 安 全 .147.10.1 MAM平 台 .147.10.2 MCM平 台 .14 7.11 IPv6的 支 持 与 过 渡 要 求 .14附 录 A（ 资 料 性 附 录 ） 接 入 模 式 及 接 入 流 程 .

5、 15附 录 B（ 资 料 性 附 录 ） 典 型 部 署 案 例 .17 DB32/T 3514.62019 III 前 言DB32/T 3514-2018 电 子 政 务 外 网 建 设 规 范 分 为 八 个 部 分 ： 第 1部 分 ： 网 络 平 台 ； 第 2部 分 ： IPv4地 址 、 路 由 规 划 ； 第 3部 分 ： IPv4域 名 规 划 ； 第 4部 分 ： 安 全 实 施 指 南 ； 第 5部 分 ： 安 全 综 合 管 理 平 台 技 术 要 求 与 接 口 规 范 ； 第 6部 分 ： 安 全 接 入 平 台 技 术 要 求 ； 第 7部 分 ： 电 子 认 证

6、 注 册 服 务 机 构 建 设 ； 第 8部 分 ： 运 维 服 务 。 本 部 分 为 DB32/T 3514-2018 电 子 政 务 外 网 建 设 规 范 第 6部 分 。本 部 分 按 照 GB/T 1.1-2009给 出 的 规 则 起 草 。本 部 分 由 江 苏 省 人 民 政 府 办 公 厅 电 子 政 务 办 公 室 提 出 并 归 口 。本 部 分 起 草 单 位 ： 江 苏 省 人 民 政 府 办 公 厅 电 子 政 务 办 公 室本 部 分 起 草 人 ： 吴 中 东 、 李 强 、 朱 德 宇 、 李 寒 、 李 永 杰 、 杨 波 、 杭 欣 竹 、 徐 莎 莎

7、 。 DB32/T 3514.62019 1 电 子 政 务 外 网 建 设 规 范 第 6 部 分 ： 外 网 安 全 接 入 平 台 技 术 要 求1 范 围本 标 准 规 定 了 电 子 政 务 外 网 建 设 规 范 外 网 安 全 接 入 平 台 技 术 要 求 的 术 语 和 定 义 、 缩 略 语 、 概 述 、 基础 框 架 、 基 本 要 求 。本 规 范 适 用 于 指 导 电 子 政 务 外 网 建 设 运 维 单 位 安 全 接 入 平 台 的 规 划 、 建 设 和 管 理 工 作 ， 也 可 作 为 电子 政 务 外 网 管 理 部 门 指 导 、 监 督 和 检

8、查 的 依 据 。2 规 范 性 引 用 文 件下 列 文 件 对 于 本 文 件 的 应 用 是 必 不 可 少 的 。 凡 是 注 日 期 的 引 用 文 件 ， 仅 所 注 日 期 的 版 本 适 用 于 本 文 件 。 凡 是 不 注 日 期 的 引 用 文 件 ， 其 最 新 版 本 （ 包 括 所 有 的 修 改 单 ） 适 用 于 本 文 件 。GB/T 22239-2008 信 息 安 全 技 术 信 息 系 统 安 全 等 级 保 护 基 本 要 求GB/T 25069-2010 信 息 安 全 技 术 术 语GB/T 30284-2013 移 动 通 信 智 能 终 端 操

9、 作 系 统 安 全 技 术 要 求 EAL2级GB/T 30278-2013 信 息 安 全 技 术 政 务 计 算 机 终 端 核 心 配 置 规 范GM/T 0022-2014 IPSec VPN 技 术 规 范GM/T 0024-2014 SSL VPN 技 术 规 范GM/T 0025-2014 SSL VPN 网 关 产 品 规 范3 术 语 和 定 义GB/T 25069-2010 确 立 的 以 及 下 列 术 语 和 定 义 适 用 于 本 规 范 。 3.1 AAAAAA是 Authentication（ 验 证 ） 、 Authorization（ 授 权 ） 和 Acc

10、ounting（ 记 账 ） 三 个 英 文 单 词 的简 称 ， 验 证 是 验 证 用 户 是 否 可 以 获 得 访 问 权 限 ， 确 定 哪 些 用 户 可 以 访 问 网 络 ； 授 权 确 定 用 户 可 以 使 用 哪些 服 务 ； 记 账 记 录 用 户 使 用 网 络 资 源 的 情 况 。3.2 RADIUS 协 议RADIUS是 Remote Authentication Dial-In User Service（ 远 程 用 户 拨 号 认 证 服 务 ） 的 简 称 ， 是 目前 应 用 较 广 泛 的 AAA协 议 ， 是 同 时 兼 顾 验 证 、 授 权 、

11、计 费 三 种 服 务 的 一 种 网 络 传 输 协 议 。3.3 AD DB32/T 3514.62019 2 AD是 Active Directory（ 活 动 目 录 ） 的 简 称 ， 是 Windows平 台 服 务 器 核 心 组 件 之 一 ， 活 动 目 录 是 一种 目 录 服 务 ,它 可 将 网 络 中 各 种 对 象 组 合 起 来 进 行 管 理 。 它 存 储 有 关 网 络 对 象 的 信 息 ， 例 如 用 户 、 组 、计 算 机 、 共 享 资 源 、 打 印 机 和 联 系 人 等 信 息 ， 使 管 理 员 和 用 户 可 以 方 便 的 查 找 和

12、使 用 这 些 网 络 信 息 。3.4 VPDNVPDN是 Virtual Private Dial-up Networks（ 虚 拟 专 用 拨 号 网 ） 的 简 称 ， 是 电 信 运 营 商 基 于 拨 号 用户 的 虚 拟 专 用 拨 号 网 业 务 ， 利 用 L2TP、 IP网 络 的 承 载 功 能 结 合 相 应 的 认 证 和 授 权 机 制 建 立 起 来 的 虚 拟 专用 网 。3.5 部 门 接 入 网 Department Access Network 部 门 接 入 网 是 指 电 子 政 务 外 网 接 入 用 户 自 行 建 设 和 管 理 的 本 地 局

13、域 网 络 或 部 门 业 务 专 网 。 多 部 门 合驻 办 公 楼 且 楼 内 网 络 由 专 门 机 构 统 一 管 理 时 ， 可 以 实 现 整 体 接 入 政 务 外 网 ， 办 公 楼 内 的 局 域 网 络 可 以 视为 一 个 接 入 局 域 网 。3.6 安 全 管 理 平 台 Security Operation Center安 全 管 理 平 台 是 通 过 采 用 多 种 技 术 手 段 ， 收 集 和 整 合 各 类 网 络 设 备 、 安 全 设 备 、 操 作 系 统 等 安 全 事件 ， 并 运 用 关 联 分 析 技 术 、 智 能 推 理 技 术 和 风

14、 险 管 理 技 术 ， 实 现 对 安 全 事 件 信 息 的 深 度 分 析 ， 能 快 速 做出 智 能 响 应 ， 实 现 对 安 全 风 险 进 行 统 一 监 控 分 析 和 预 警 处 理 。3.7 移 动 终 端 Mobile Device 移 动 终 端 指 在 移 动 业 务 中 使 用 的 ， 基 于 互 联 网 进 行 通 信 ， 从 电 子 政 务 外 网 安 全 接 入 区 接 入 的 智 能 终端 设 备 ， 包 括 手 机 、 PAD等 通 用 终 端 和 专 用 终 端 设 备 。3.8 互 联 网 接 入 终 端 Internet Access Termin

15、al互 联 网 接 入 终 端 指 基 于 互 联 网 进 行 通 信 ， 从 电 子 政 务 外 网 安 全 接 入 区 接 入 的 移 动 终 端 、 PC终 端 或 业务 应 用 主 机 。3.9 电 子 政 务 移 动 办 公 系 统 Mobile E-Government System利 用 移 动 终 端 ， 随 时 随 地 通 过 无 线 网 络 、 互 联 网 等 访 问 电 子 政 务 办 公 系 统 ， 进 行 网 上 办 公 的 应 用 系统 。 3.10移 动 终 端 管 理 Mobile Device Management DB32/T 3514.62019 3 移

16、动 终 端 管 理 为 移 动 终 端 设 备 提 供 注 册 、 激 活 、 使 用 、 淘 汰 各 个 环 节 的 远 程 管 理 支 撑 ， 实 现 用 户 身份 与 设 备 的 绑 定 管 理 、 设 备 安 全 策 略 配 置 管 理 、 设 备 应 用 数 据 安 全 管 理 等 功 能 ， 简 称 MDM。3.11移 动 应 用 管 理 Mobile Application Management针 对 移 动 应 用 软 件 ， 提 供 从 分 发 、 安 装 、 使 用 、 升 级 和 卸 载 等 过 程 和 行 为 的 监 控 和 管 理 ， 简 称 MAM。3.12移 动

17、内 容 管 理 Mobile Content Management针 对 移 动 终 端 访 问 、 存 储 、 传 输 或 处 理 的 数 据 内 容 ， 提 供 信 息 过 滤 、 访 问 控 制 、 数 据 加 密 、 安 全 隔离 、 剩 余 信 息 清 除 等 管 理 措 施 ， 简 称 MCM。 4 缩 略 语下 列 缩 略 语 适 用 于 本 规 范 。CA 数 字 证 书 认 证 中 心 （ Certificate Authority）IPSec IP安 全 协 议 （ Internet Protocol Security）LDAP 轻 量 级 目 录 访 问 协 议 （ Li

18、ght Directory Access Protocol）MPLS 多 协 议 标 签 交 换 （ Multi-protocol Label Switching）SSL 安 全 套 接 层 （ Secure Socket Layer）VPN 虚 拟 专 用 网 （ Virtual Private Network）OCSP 在 线 证 书 状 态 协 议 (Online Certificate Status Protocol)SOC 安 全 管 理 平 台 （ Security Operation Center）VRF VPN路 由 转 发 （ VPN Routing Forwarding）S

19、NMP 简 单 网 络 管 理 协 议 （ Simple Network Management Protocol） L2TP 第 二 层 隧 道 协 议 （ Layer 2 Tunneling Protocol）LNS L2TP网 络 服 务 器 （ L2TP Network Server）APP 移 动 终 端 应 用 程 序 （ Application）SM1 SM1分 组 密 码 算 法SM2 SM2椭 圆 曲 线 公 钥 密 码 算 法SM3 SM3密 码 杂 凑 算 法SM4 SM4分 组 密 码 算 法5 总 体 要 求5.1 政 务 外 网 安 全 接 入 平 台 是 利 用 互

20、 联 网 、 移 动 通 信 、 VPDN等 基 础 网 络 ， 面 向 不 具 备 专 线 接 入 条 件 的各 级 政 务 部 门 、 企 事 业 单 位 、 移 动 办 公 人 员 、 现 场 执 法 人 员 和 公 众 用 户 ， 提 供 安 全 接 入 到 政 务 外 网 的 服务 平 台 。 5.2 政 务 外 网 安 全 接 入 平 台 由 各 级 政 务 外 网 建 设 运 维 单 位 负 责 建 设 和 管 理 ， 采 用 省 、 市 两 级 建 设 模 式 ，县 （ 市 ） 根 据 实 际 需 求 参 照 执 行 。 接 入 政 务 外 网 的 各 级 部 门 接 入 网

21、不 允 许 直 接 连 接 互 联 网 ， 统 一 使 用 本级 政 务 外 网 安 全 接 入 平 台 。 DB32/T 3514.62019 4 5.3 设 区 市 VPDN 用 户 可 通 过 省 级 安 全 接 入 平 台 接 入 。 县 级 安 全 接 入 平 台 可 参 照 设 区 市 安 全 接 入 平 台 部署 。6 基 础 框 架6.1 安 全 接 入 体 系省 、 设 区 市 分 别 建 设 本 级 安 全 接 入 平 台 ， 全 省 政 务 外 网 形 成 面 向 互 联 网 的 安 全 接 入 体 系 。 如 图 1所示 。 图 1 政 务 外 网 安 全 接 入 体

22、系 示 意 图6.2 平 台 架 构政 务 外 网 安 全 接 入 平 台 架 构 如 图 2所 示 ： DB32/T 3514.62019 5 图 2 安 全 接 入 平 台 架 构 示 意 图政 务 外 网 安 全 接 入 平 台 架 构 包 含 如 下 内 容 ：a) 互 联 网 接 入包 括 互 联 网 基 础 网 络 环 境 。 互 联 网 接 入 终 端 通 过 上 述 基 础 网 络 连 接 到 安 全 接 入 平 台 。b) 互 联 网 区 统 一 入 口 ： 为 互 联 网 接 入 终 端 提 供 服 务 接 口 或 链 路 接 口 。 VPN 网 关 集 群 ： 采 用 负

23、 载 均 衡 技 术 实 现 IPSec VPN、 SSL VPN 等 网 关 集 群 ， 为 互 联 网 接 入 终 端提 供 安 全 接 入 服 务 。 统 一 认 证 ： 采 用 RADIUS、 LDAP等 认 证 协 议 实 现 基 于 数 字 证 书 的 身 份 认 证 ， 为 网 关 集 群 用 户 身 份统 一 认 证 和 权 限 管 理 提 供 支 撑 。 管 理 与 审 计 ： 提 供 安 全 接 入 平 台 的 运 行 情 况 监 测 ， 互 联 网 接 入 终 端 的 行 为 审 计 和 安 全 管 理 功 能 。 安 全 防 护 ： 通 过 使 用 网 络 访 问 控

24、制 、 入 侵 检 测 与 防 御 、 防 病 毒 等 安 全 措 施 实 现 互 联 网 接 入 区 的基 础 安 全 防 护 。c) 政 务 外 网 业 务 区互 联 网 区 通 过 安 全 接 入 平 台 实 现 与 政 务 外 网 公 用 网 络 区 、 专 用 网 络 区 的 业 务 对 接 。6.3 功 能 框 架安 全 接 入 平 台 的 基 本 功 能 框 架 如 图 3所 示 ： DB32/T 3514.62019 6 图 3 安 全 接 入 平 台 功 能 框 架 图安 全 接 入 平 台 的 基 本 功 能 模 块 包 括 如 下 ：a) 统 一 入 口 ： 通 过 WE

25、B门 户 提 供 安 全 接 入 所 需 的 注 册 、 审 核 、 软 件 下 载 等 功 能 ， 为 互 联 网 接 入 终端 提 供 统 一 接 入 ， 设 置 网 关 设 备 接 入 入 口 ， 实 现 接 入 用 户 统 一 管 控 ；b) VPN网 关 集 群 ： 提 供 终 端 到 网 关 或 网 关 到 网 关 的 传 输 加 密 、 身 份 认 证 、 权 限 控 制 等 功 能 ， 通 过负 载 均 衡 、 链 路 汇 聚 实 现 VPN网 关 集 群 ；c) 统 一 认 证 ： 为 安 全 接 入 的 身 份 认 证 和 权 限 控 制 提 供 支 撑 ， 提 供 用 户

26、 集 中 认 证 、 用 户 管 理 、 访 问权 限 统 一 控 制 等 功 能 ；d) 管 理 与 审 计 ： 提 供 安 全 接 入 平 台 的 运 行 情 况 监 测 ， 互 联 网 接 入 终 端 的 行 为 审 计 和 安 全 管 理 功 能 。e) 安 全 防 护 ： 为 安 全 接 入 平 台 提 供 访 问 控 制 、 入 侵 检 测 与 防 御 、 防 病 毒 等 基 础 安 全 防 护 功 能 。 DB32/T 3514.62019 7 7 基 本 要 求7.1 统 一 入 口7.1.1 WEB门 户安 全 接 入 平 台 提 供 WEB方 式 接 入 服 务 入 口 ，

27、 实 现 如 下 功 能 ：a) 提 供 统 一 的 接 入 用 户 注 册 申 请 页 面 ， 申 请 成 功 后 ， 注 册 信 息 可 提 交 至 LDAP、 RADIUS 等 系 统 ；b) 提 供 IPSec VPN统 一 客 户 端 、 移 动 终 端 安 全 接 入 软 件 （ APP） 的 发 布 、 更 新 、 下 载 等 ；c) 提 供 SSL VPN 登 录 页 面 ；d) 提 供 信 息 发 布 、 移 动 终 端 消 息 推 送 ；e) 面 向 用 户 单 位 的 业 务 应 用 ， 提 供 WebService等 标 准 协 议 服 务 接 口 ；f) WEB门 户 页 面 应 采 用 H