DB32 T 3514.6-2019 电子政务外网建设规范第6部分：安全接入平台技术要求.pdf-资源下载-麦多课文库

DB32 T 3514.6-2019 电子政务外网建设规范第6部分：安全接入平台技术要求.pdf

1、ICS 35.240.01L67 DB32江苏省地方标准DB32/T 3514.6 2019电子政务外网建设规范第 6部分：安全接入平台技术要求 Construction Specifications of E-Government NetworkPart 6: the technical requirements of network security access platform 2019 -01- 12发布 2019- 01-30实施江苏省市场监督管理局发布 DB32/T 3514.62019 I 目次前

2、言 .IV1 范围 .12 规范性引用文件 .13 术语和定义 .14 缩略语 .35 总体要求 .36 基础框架 .46.1 安全接入体系 .4 6.2 平台架构 .46.3 功能框架 .57 基本要求 .77.1 统一入口 .77.1.1 WEB门户 .77.1.2 统一客户端 .77.1.3 网关接入 .77.2 VPN网关集群 .77.2.1 网关要求 .77.2.2 集群要求 .87.2.3 传输加密 .87.2.4 身份认证 .8 7.2.5 权限控制 .8

3、7.3 统一认证平台 .97.4 互联网接入终端 .97.5 管理与审计 .97.6 安全防护 .107.6.1 网络访问控制 .107.6.2 入侵检测与防御 .107.6.3 防病毒 .107.7 移动终端安全 .107.7.1 通用配置 .107.7.2 数字证书 .107.7.3 VPN客户端 .117.7.4 MDM客户端 .11 7.7.5 MAM客户端 .117.7.6 MCM客户端 .11 DB32/T 3514.62019 II 7.7.7 移动安全应用支撑客

4、户端 .117.7.8 身份鉴别 .127.7.9 数据安全存储 .127.7.10 安全防护 .127.7.11 运行环境隔离 .127.8 信道安全 .127.9 接入安全 .127.9.1 接入认证网关 .127.9.2 MDM平台 .137.9.3 移动安全应用支撑平台 .137.10 服务端安全 .147.10.1 MAM平台 .147.10.2 MCM平台 .14 7.11 IPv6的支持与过渡要求 .14附录 A（资料性附录）接入模式及接入流程 .

5、 15附录 B（资料性附录）典型部署案例 .17 DB32/T 3514.62019 III 前言DB32/T 3514-2018 电子政务外网建设规范分为八个部分：第 1部分：网络平台；第 2部分： IPv4地址、路由规划；第 3部分： IPv4域名规划；第 4部分：安全实施指南；第 5部分：安全综合管理平台技术要求与接口规范；第 6部分：安全接入平台技术要求；第 7部分：电子认证

6、注册服务机构建设；第 8部分：运维服务。本部分为 DB32/T 3514-2018 电子政务外网建设规范第 6部分。本部分按照 GB/T 1.1-2009给出的规则起草。本部分由江苏省人民政府办公厅电子政务办公室提出并归口。本部分起草单位：江苏省人民政府办公厅电子政务办公室本部分起草人：吴中东、李强、朱德宇、李寒、李永杰、杨波、杭欣竹、徐莎莎

7、。 DB32/T 3514.62019 1 电子政务外网建设规范第 6 部分：外网安全接入平台技术要求1 范围本标准规定了电子政务外网建设规范外网安全接入平台技术要求的术语和定义、缩略语、概述、基础框架、基本要求。本规范适用于指导电子政务外网建设运维单位安全接入平台的规划、建设和管理工作，也可作为电子政务外网管理部门指导、监督和检

8、查的依据。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求GB/T 25069-2010 信息安全技术术语GB/T 30284-2013 移动通信智能终端操

9、作系统安全技术要求 EAL2级GB/T 30278-2013 信息安全技术政务计算机终端核心配置规范GM/T 0022-2014 IPSec VPN 技术规范GM/T 0024-2014 SSL VPN 技术规范GM/T 0025-2014 SSL VPN 网关产品规范3 术语和定义GB/T 25069-2010 确立的以及下列术语和定义适用于本规范。 3.1 AAAAAA是 Authentication（验证）、 Authorization（授权）和 Acc

10、ounting（记账）三个英文单词的简称，验证是验证用户是否可以获得访问权限，确定哪些用户可以访问网络；授权确定用户可以使用哪些服务；记账记录用户使用网络资源的情况。3.2 RADIUS 协议RADIUS是 Remote Authentication Dial-In User Service（远程用户拨号认证服务）的简称，是目前应用较广泛的 AAA协议，是同时兼顾验证、授权、

11、计费三种服务的一种网络传输协议。3.3 AD DB32/T 3514.62019 2 AD是 Active Directory（活动目录）的简称，是 Windows平台服务器核心组件之一，活动目录是一种目录服务 ,它可将网络中各种对象组合起来进行管理。它存储有关网络对象的信息，例如用户、组、计算机、共享资源、打印机和联系人等信息，使管理员和用户可以方便的查找和

12、使用这些网络信息。3.4 VPDNVPDN是 Virtual Private Dial-up Networks（虚拟专用拨号网）的简称，是电信运营商基于拨号用户的虚拟专用拨号网业务，利用 L2TP、 IP网络的承载功能结合相应的认证和授权机制建立起来的虚拟专用网。3.5 部门接入网 Department Access Network 部门接入网是指电子政务外网接入用户自行建设和管理的本地局

13、域网络或部门业务专网。多部门合驻办公楼且楼内网络由专门机构统一管理时，可以实现整体接入政务外网，办公楼内的局域网络可以视为一个接入局域网。3.6 安全管理平台 Security Operation Center安全管理平台是通过采用多种技术手段，收集和整合各类网络设备、安全设备、操作系统等安全事件，并运用关联分析技术、智能推理技术和风

14、险管理技术，实现对安全事件信息的深度分析，能快速做出智能响应，实现对安全风险进行统一监控分析和预警处理。3.7 移动终端 Mobile Device 移动终端指在移动业务中使用的，基于互联网进行通信，从电子政务外网安全接入区接入的智能终端设备，包括手机、 PAD等通用终端和专用终端设备。3.8 互联网接入终端 Internet Access Termin

15、al互联网接入终端指基于互联网进行通信，从电子政务外网安全接入区接入的移动终端、 PC终端或业务应用主机。3.9 电子政务移动办公系统 Mobile E-Government System利用移动终端，随时随地通过无线网络、互联网等访问电子政务办公系统，进行网上办公的应用系统。 3.10移动终端管理 Mobile Device Management DB32/T 3514.62019 3 移

16、动终端管理为移动终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑，实现用户身份与设备的绑定管理、设备安全策略配置管理、设备应用数据安全管理等功能，简称 MDM。3.11移动应用管理 Mobile Application Management针对移动应用软件，提供从分发、安装、使用、升级和卸载等过程和行为的监控和管理，简称 MAM。3.12移动

17、内容管理 Mobile Content Management针对移动终端访问、存储、传输或处理的数据内容，提供信息过滤、访问控制、数据加密、安全隔离、剩余信息清除等管理措施，简称 MCM。 4 缩略语下列缩略语适用于本规范。CA 数字证书认证中心（ Certificate Authority）IPSec IP安全协议（ Internet Protocol Security）LDAP 轻量级目录访问协议（ Li

18、ght Directory Access Protocol）MPLS 多协议标签交换（ Multi-protocol Label Switching）SSL 安全套接层（ Secure Socket Layer）VPN 虚拟专用网（ Virtual Private Network）OCSP 在线证书状态协议 (Online Certificate Status Protocol)SOC 安全管理平台（ Security Operation Center）VRF VPN路由转发（ VPN Routing Forwarding）S

19、NMP 简单网络管理协议（ Simple Network Management Protocol） L2TP 第二层隧道协议（ Layer 2 Tunneling Protocol）LNS L2TP网络服务器（ L2TP Network Server）APP 移动终端应用程序（ Application）SM1 SM1分组密码算法SM2 SM2椭圆曲线公钥密码算法SM3 SM3密码杂凑算法SM4 SM4分组密码算法5 总体要求5.1 政务外网安全接入平台是利用互

20、联网、移动通信、 VPDN等基础网络，面向不具备专线接入条件的各级政务部门、企事业单位、移动办公人员、现场执法人员和公众用户，提供安全接入到政务外网的服务平台。 5.2 政务外网安全接入平台由各级政务外网建设运维单位负责建设和管理，采用省、市两级建设模式，县（市）根据实际需求参照执行。接入政务外网的各级部门接入网

21、不允许直接连接互联网，统一使用本级政务外网安全接入平台。 DB32/T 3514.62019 4 5.3 设区市 VPDN 用户可通过省级安全接入平台接入。县级安全接入平台可参照设区市安全接入平台部署。6 基础框架6.1 安全接入体系省、设区市分别建设本级安全接入平台，全省政务外网形成面向互联网的安全接入体系。如图 1所示。图 1 政务外网安全接入体

22、系示意图6.2 平台架构政务外网安全接入平台架构如图 2所示： DB32/T 3514.62019 5 图 2 安全接入平台架构示意图政务外网安全接入平台架构包含如下内容：a) 互联网接入包括互联网基础网络环境。互联网接入终端通过上述基础网络连接到安全接入平台。b) 互联网区统一入口：为互联网接入终端提供服务接口或链路接口。 VPN 网关集群：采用负

23、载均衡技术实现 IPSec VPN、 SSL VPN 等网关集群，为互联网接入终端提供安全接入服务。统一认证：采用 RADIUS、 LDAP等认证协议实现基于数字证书的身份认证，为网关集群用户身份统一认证和权限管理提供支撑。管理与审计：提供安全接入平台的运行情况监测，互联网接入终端的行为审计和安全管理功能。安全防护：通过使用网络访问控

24、制、入侵检测与防御、防病毒等安全措施实现互联网接入区的基础安全防护。c) 政务外网业务区互联网区通过安全接入平台实现与政务外网公用网络区、专用网络区的业务对接。6.3 功能框架安全接入平台的基本功能框架如图 3所示： DB32/T 3514.62019 6 图 3 安全接入平台功能框架图安全接入平台的基本功能模块包括如下：a) 统一入口：通过 WE

25、B门户提供安全接入所需的注册、审核、软件下载等功能，为互联网接入终端提供统一接入，设置网关设备接入入口，实现接入用户统一管控；b) VPN网关集群：提供终端到网关或网关到网关的传输加密、身份认证、权限控制等功能，通过负载均衡、链路汇聚实现 VPN网关集群；c) 统一认证：为安全接入的身份认证和权限控制提供支撑，提供用户

26、集中认证、用户管理、访问权限统一控制等功能；d) 管理与审计：提供安全接入平台的运行情况监测，互联网接入终端的行为审计和安全管理功能。e) 安全防护：为安全接入平台提供访问控制、入侵检测与防御、防病毒等基础安全防护功能。 DB32/T 3514.62019 7 7 基本要求7.1 统一入口7.1.1 WEB门户安全接入平台提供 WEB方式接入服务入口，

27、实现如下功能：a) 提供统一的接入用户注册申请页面，申请成功后，注册信息可提交至 LDAP、 RADIUS 等系统；b) 提供 IPSec VPN统一客户端、移动终端安全接入软件（ APP）的发布、更新、下载等；c) 提供 SSL VPN 登录页面；d) 提供信息发布、移动终端消息推送；e) 面向用户单位的业务应用，提供 WebService等标准协议服务接口；f) WEB门户页面应采用 H

邮箱/手机：
温馨提示：	如需开发票，请勿充值！快捷下载时，用户名和密码都是您填写的邮箱或者手机号，方便查询和重复下载（系统自动生成）。如填写123，账号就是123，密码也是123。
特别说明：	请自助下载，系统不会自动发送文件的哦；如果您已付费，想二次下载，请登录后访问：我的下载记录
支付方式：	注意：如需开发票，请勿充值！
验证码：	换一换

账号：
密码：
验证码：	换一换
当日自动登录忘记密码？

DB32 T 3514.6-2019 电子政务外网建设规范 第6部分：安全接入平台技术要求.pdf