1、ICS 35.240.01L67 DB32江 苏 省 地 方 标 准DB32/T 3514.4 2019电 子 政 务 外 网 建 设 规 范第 4 部 分 :安 全 实 施 指 南 Construction Specifications of E-Government NetworkPart 4: Guidelines for safety implementation 2019-01- 12发 布 2019- 01-30实 施江 苏 省 市 场 监 督 管 理 局 发 布 DB32/T 3514.42019 I 目 次前 言 .IV1 范 围 .12 规 范 性 引 用 文 件 .13 术
2、 语 和 定 义 .14 总 体 要 求 .25 建 设 原 则 .25.1 等 级 保 护 原 则 .25.2 多 重 防 护 原 则 .2 5.3 分 级 管 理 原 则 .35.4 规 范 管 理 原 则 .36 网 络 安 全 架 构 及 安 全 域 划 分 .36.1 网 络 安 全 架 构 及 安 全 域 划 分 原 则 .36.2 网 络 安 全 架 构 划 分 .36.2.1 网 络 安 全 架 构 划 分 概 述 .36.2.2 广 域 网 安 全 .36.2.3 城 域 网 安 全 .36.2.4 部 门 接 入 网 安 全 .36.3 业 务 区 划 分 .46.4 安
3、全 域 划 分 .46.4.1 总 体 要 求 .4 6.4.2 互 联 网 接 入 域 .46.4.3 安 全 管 理 域 .56.4.4 数 据 中 心 域 .57 网 络 互 联 安 全 要 求 .57.1 广 域 网 互 联 .57.2 广 域 网 与 城 域 网 互 联 .57.3 城 域 网 与 部 门 接 入 网 互 联 .57.4 城 域 网 与 互 联 网 互 联 .67.5 IPv6的 支 持 与 过 渡 要 求 .68 电 子 认 证 .69 终 端 安 全 防 护 .6 9.1 终 端 安 全 防 护 概 述 .79.2 电 子 政 务 外 网 终 端 .79.2.1
4、身 份 鉴 别 .7 DB32/T 3514.42019 II 9.2.2 准 入 控 制 .79.2.3 安 全 防 护 .79.2.4 安 全 审 计 .79.2.5 终 端 复 用 .79.3 互 联 网 接 入 终 端 .79.3.1 总 体 要 求 .79.3.2 PC终 端 及 业 务 应 用 主 机 .79.3.3 移 动 终 端 .810 安 全 综 合 管 理 平 台 .810.1 扫 描 采 集 层 .810.2 安 全 管 理 层 .910.3 分 析 展 现 层 .9 10.4 对 外 接 口 层 .911 等 级 保 护 要 求 .911.1 概 述 .911.2 定
5、 级 方 法 .911.3 边 界 划 分 .911.4 定 级 要 求 .911.5 实 施 要 求 .10附 录 A( 规 范 性 附 录 ) 表 A.1 江 苏 省 电 子 政 务 外 网 安 全 等 级 保 护 基 本 要 求 实 施 建 议 表 .11附 录 B( 资 料 性 附 录 ) 安 全 等 级 保 护 第 三 级 政 务 外 网 ( 以 设 区 市 为 例 ) .18附 录 C( 资 料 性 附 录 ) 安 全 等 级 保 护 第 二 级 政 务 外 网 案 例 ( 以 区 、 县 为 例 ) .20附 录 D( 资 料 性 附 录 ) 政 务 外 网 安 全 等 级 保
6、护 定 级 报 告 模 板 .21 DB32/T 3514.42019 III 前 言DB32/T 3514-2018 电 子 政 务 外 网 建 设 规 范 分 为 八 个 部 分 : 第 1部 分 : 网 络 平 台 ; 第 2部 分 : IPv4地 址 、 路 由 规 划 ; 第 3部 分 : IPv4域 名 规 划 ; 第 4部 分 : 安 全 实 施 指 南 ; 第 5部 分 : 安 全 综 合 管 理 平 台 技 术 要 求 与 接 口 规 范 ; 第 6部 分 : 安 全 接 入 平 台 技 术 要 求 ; 第 7部 分 : 电 子 认 证 注 册 服 务 机 构 建 设 ; 第
7、 8部 分 : 运 维 服 务 。 本 部 分 为 DB32/T 3514-2018 电 子 政 务 外 网 建 设 规 范 第 4部 分 。本 部 分 按 照 GB/T 1.1-2009给 出 的 规 则 起 草 。本 部 分 由 江 苏 省 人 民 政 府 办 公 厅 电 子 政 务 办 公 室 提 出 并 归 口 。本 部 分 起 草 单 位 : 江 苏 省 人 民 政 府 办 公 厅 电 子 政 务 办 公 室 。本 部 分 起 草 人 : 吴 中 东 、 李 强 、 黄 敏 、 朱 德 宇 、 李 永 杰 、 李 寒 、 吴 凡 、 熊 章 远 、 杭 欣 竹 。 DB32/T 35
8、14.42019 1 电 子 政 务 外 网 建 设 规 范 第 4 部 分 :安 全 实 施 指 南1 范 围本 标 准 规 定 了 电 子 政 务 外 网 建 设 规 范 安 全 实 施 指 南 的 总 体 要 求 、 建 设 原 则 、 网 络 安 全 架 构 及 安 全 域划 分 、 网 络 互 联 安 全 要 求 、 电 子 认 证 、 终 端 安 全 防 护 及 安 全 综 合 管 理 平 台 等 内 容 。本 标 准 适 用 于 指 导 全 省 电 子 政 务 外 网 安 全 防 护 体 系 的 建 设 , 主 要 涉 及 网 络 安 全 架 构 设 计 、 业 务 区 及安 全
9、 域 的 划 分 及 防 护 、 边 界 安 全 防 护 、 身 份 认 证 、 终 端 安 全 防 护 和 安 全 综 合 管 理 平 台 建 设 等 工 作 , 也 可作 为 各 级 电 子 政 务 外 网 管 理 部 门 进 行 指 导 、 监 督 和 检 查 的 依 据 。2 规 范 性 引 用 文 件 下 列 文 件 对 于 本 文 件 的 应 用 是 必 不 可 少 的 。 凡 是 注 日 期 的 引 用 文 件 , 仅 所 注 日 期 的 版 本 适 用 于 本 文件 。 凡 是 不 注 日 期 的 引 用 文 件 , 其 最 新 版 本 ( 包 括 所 有 的 修 改 单 )
10、适 用 于 本 文 件 。GB/T 5271.8 信 息 技 术 词 汇 第 8部 分 : 安 全GB 17859 计 算 机 信 息 系 统 安 全 保 护 等 级 划 分 准 则GB/T 22239 信 息 安 全 技 术 信 息 系 统 安 全 等 级 保 护 基 本 要 求GB/T 22240 信 息 安 全 技 术 信 息 系 统 安 全 等 级 保 护 定 级 指 南GB/T 30278 信 息 安 全 技 术 政 务 计 算 机 终 端 核 心 配 置 规 范GW 0202-2014 国 家 电 子 政 务 外 网 安 全 接 入 平 台 技 术 规 范GW 0201-2011
11、国 家 电 子 政 务 外 网 IPSec VPN安 全 接 入 技 术 要 求 与 实 施 指 南 关 于 加 快 推 进 国 家 电 子 政 务 外 网 安 全 等 级 保 护 工 作 的 通 知 ( 政 务 外 网 201115号 )3 术 语 和 定 义 GB/T 5271.8和 GB 17859-1999界 定 的 以 及 下 列 术 语 和 定 义 适 用 于 本 文 件 。3.1 部 门 接 入 网 Department Access Network指 电 子 政 务 外 网 接 入 用 户 自 行 建 设 和 管 理 的 本 地 局 域 网 络 或 部 门 业 务 专 网 。
12、多 部 门 合 驻 办 公 楼 且 楼内 网 络 由 专 门 机 构 统 一 管 理 时 , 可 以 实 现 整 体 接 入 政 务 外 网 , 办 公 楼 内 的 局 域 网 络 可 以 视 为 一 个 接 入 局域 网 。3.2 移 动 终 端 Mobile Device指 在 移 动 业 务 中 使 用 的 , 基 于 互 联 网 进 行 通 信 , 从 电 子 政 务 外 网 安 全 接 入 区 接 入 的 智 能 终 端 设 备 ,包 括 手 机 、 PAD等 通 用 终 端 和 专 用 终 端 设 备 。 3.3 DB32/T 3514.42019 2 互 联 网 接 入 终 端
13、Internet Access Terminal指 基 于 互 联 网 进 行 通 信 , 从 电 子 政 务 外 网 安 全 接 入 区 接 入 的 移 动 终 端 、 PC终 端 或 业 务 应 用 主 机 。3.4 电 子 政 务 外 网 终 端 E-Government Network Terminal指 位 于 电 子 政 务 外 网 内 部 , 基 于 电 子 政 务 外 网 网 络 设 施 ( 不 含 互 联 网 等 公 用 网 络 ) 进 行 通 信 的 PC终 端 。3.5 电 子 政 务 移 动 办 公 系 统 Mobile E-Government System利 用 移
14、 动 终 端 , 随 时 随 地 通 过 无 线 网 络 、 互 联 网 等 访 问 电 子 政 务 办 公 系 统 , 进 行 网 上 办 公 的 应 用 系 统 。3.6 移 动 终 端 管 理 Mobile Device Management移 动 终 端 管 理 为 移 动 终 端 设 备 提 供 注 册 、 激 活 、 使 用 、 淘 汰 各 个 环 节 的 远 程 管 理 支 撑 , 实 现 用 户 身份 与 设 备 的 绑 定 管 理 、 设 备 安 全 策 略 配 置 管 理 、 设 备 应 用 数 据 安 全 管 理 等 功 能 , 简 称 MDM。3.7 移 动 应 用 管
15、 理 Mobile Application Management针 对 移 动 应 用 软 件 , 提 供 从 分 发 、 安 装 、 使 用 、 升 级 和 卸 载 等 过 程 和 行 为 的 监 控 和 管 理 , 简 称 MAM。3.8 移 动 内 容 管 理 Mobile Content Management针 对 移 动 终 端 访 问 、 存 储 、 传 输 或 处 理 的 数 据 内 容 , 提 供 信 息 过 滤 、 访 问 控 制 、 数 据 加 密 、 安 全 隔离 、 剩 余 信 息 清 除 等 管 理 措 施 , 简 称 MCM。4 总 体 要 求贯 彻 执 行 国 家
16、 信 息 安 全 相 关 法 律 法 规 , 在 国 家 信 息 安 全 主 管 部 门 的 指 导 下 , 统 筹 规 划 , 分 级 建 设 ,通 过 不 断 加 强 电 子 政 务 外 网 的 整 体 安 全 防 护 能 力 , 建 立 起 能 够 有 效 抵 御 安 全 风 险 , 适 合 电 子 政 务 外 网 可持 续 发 展 的 信 息 安 全 防 护 体 系 , 为 电 子 政 务 外 网 的 业 务 应 用 提 供 坚 实 的 安 全 保 障 。5 建 设 原 则 5.1 等 级 保 护 原 则按 照 GB17859、 GB/T 22239、 GB/T 22240及 关 于
17、加 快 推 进 国 家 电 子 政 务 外 网 安 全 等 级 保 护 工 作 的通 知 ( 政 务 外 网 201115号 ) , 确 定 本 级 电 子 政 务 外 网 的 安 全 等 级 , 并 对 所 辖 网 络 实 施 安 全 保 护 。5.2 多 重 防 护 原 则 DB32/T 3514.42019 3 强 化 预 防 优 先 、 管 控 并 重 的 安 全 意 识 , 基 于 多 维 度 安 全 防 护 手 段 , 构 建 可 持 续 发 展 的 立 体 纵 深 安 全防 护 体 系 。5.3 分 级 管 理 原 则省 政 府 办 公 厅 电 子 政 务 办 公 室 负 责 全
18、 省 电 子 政 务 外 网 安 全 防 护 体 系 建 设 指 导 工 作 ; 各 设 区 市 政 府 办公 室 负 责 本 地 区 安 全 防 护 体 系 建 设 指 导 工 作 。 各 地 各 部 门 按 照 相 关 法 律 法 规 实 施 等 级 保 护 , 定 期 开 展 安全 评 估 。5.4 规 范 管 理 原 则建 立 领 导 负 责 制 , 从 机 构 、 制 度 、 人 员 、 运 行 维 护 、 资 金 保 障 等 方 面 实 现 全 面 、 有 效 、 规 范 管 理 。6 网 络 安 全 架 构 及 安 全 域 划 分 6.1 网 络 安 全 架 构 及 安 全 域
19、划 分 原 则统 一 的 国 家 电 子 政 务 外 网 应 由 国 家 、 省 、 市 、 县 级 广 域 网 和 城 域 网 组 成 。 各 级 部 门 可 通 过 本 级 城 域网 接 入 电 子 政 务 外 网 。 各 级 城 域 网 边 界 可 建 设 互 联 网 区 , 为 本 级 政 务 部 门 访 问 互 联 网 及 部 署 面 向 公 众 服务 的 应 用 系 统 提 供 服 务 。6.2 网 络 安 全 架 构 划 分6.2.1 网 络 安 全 架 构 划 分 概 述省 电 子 政 务 外 网 骨 干 网 基 于 电 信 传 输 网 络 建 设 ,传 输 网 按 技 术 类
20、 型 可 分 为 MSTP网 、 SDH网 和 光 纤 网 络等 ,基 于 传 输 网 之 上 的 IP承 载 网 按 电 子 政 务 网 络 结 构 及 所 处 位 置 可 划 分 为 广 域 网 、 城 域 网 和 部 门 接 入 网 。6.2.2 广 域 网 安 全省 电 子 政 务 外 网 广 域 网 主 要 包 括 省 级 广 域 网 、 市 级 广 域 网 和 县 级 广 域 网 : a) 省 电 子 政 务 外 网 广 域 网 内 主 要 传 输 数 据 、 视 频 、 图 像 等 相 关 业 务 。 政 务 外 网 可 通 过 MPLS/VPN或 其 他 网 络 隔 离 技 术
21、 ,对 不 同 的 业 务 系 统 进 行 隔 离 。b) 省 至 设 区 市 广 域 网 主 干 不 应 承 载 直 接 访 问 互 联 网 的 业 务 。 设 区 市 政 务 外 网 互 联 网 出 口 应 实 行 统一 集 中 管 理 ,采 取 有 效 技 术 手 段 分 区 分 域 , 做 好 安 全 防 护 工 作 。c) 县 级 及 以 下 政 务 外 网 接 入 部 门 原 则 上 不 应 设 互 联 网 出 口 ,在 使 用 设 区 市 统 一 互 联 网 出 口 时 , 应采 用 有 效 的 隔 离 技 术 ,保 证 电 子 政 务 外 网 业 务 的 安 全 。6.2.3
22、城 域 网 安 全省 电 子 政 务 外 网 城 域 网 包 括 省 级 城 域 网 、 市 级 城 域 网 和 县 级 城 域 网 , 各 级 城 域 网 可 通 过 部 署 统 一 互联 网 安 全 域 与 互 联 网 进 行 连 接 :a) 省 电 子 政 务 外 网 城 域 网 在 各 级 网 络 互 联 汇 聚 层 边 界 , 根 据 业 务 需 求 应 部 署 安 全 边 界 访 问 控 制 策略 , 采 取 相 关 技 术 防 护 措 施 。b) 各 级 政 务 外 网 城 域 网 为 政 务 部 门 提 供 统 一 互 联 网 接 入 服 务 时 ,应 做 好 相 应 的 安
23、全 防 护 工 作 ,对 互 联 网 业 务 和 电 子 政 务 外 网 业 务 加 以 区 分 ,做 好 区 域 安 全 防 护 , 确 保 电 子 政 务 外 网 业 务 系 统 安全 。6.2.4 部 门 接 入 网 安 全 DB32/T 3514.42019 4 省 级 政 务 外 网 部 门 本 地 局 域 网 络 或 部 门 业 务 专 网 安 全 系 统 建 设 和 管 理 应 由 各 部 门 自 行 负 责 , 各 设 区市 政 务 外 网 部 门 本 地 局 域 网 络 或 部 门 业 务 专 网 安 全 系 统 应 根 据 实 际 情 况 进 行 统 建 或 自 建 , 并
24、 应 达 到 相 应的 安 全 保 护 等 级 。 多 部 门 合 驻 办 公 且 楼 内 局 域 网 络 由 专 门 机 构 统 一 建 设 和 管 理 时 , 在 达 到 等 级 保 护 要 求后 , 可 整 体 接 入 政 务 外 网 。6.3 业 务 区 划 分按 照 国 家 电 子 政 务 外 网 统 一 要 求 ,结 合 省 电 子 政 务 外 网 业 务 需 求 , 应 划 分 不 同 业 务 安 全 区 , 并 根 据安 全 区 域 的 重 要 性 进 行 相 应 的 安 全 防 护 。 通 过 使 用 VPN、 路 由 控 制 、 防 火 墙 、 认 证 网 关 、 边 界
25、访 问 控 制等 技 术 手 段 ,在 省 电 子 政 务 外 网 中 至 少 应 划 分 公 用 网 络 区 、 专 用 网 络 区 、 互 联 网 区 等 区 域 来 保 证 政 务 外网 基 础 设 施 和 业 务 信 息 系 统 的 安 全 , 各 区 域 之 间 应 实 现 逻 辑 隔 离 和 安 全 控 制 。a) 公 用 网 络 区 :是 实 现 省 电 子 政 务 外 网 全 网 访 问 的 重 要 网 络 区 域 , 是 部 门 实 现 跨 层 级 、 跨 地 域 、跨 系 统 、 跨 部 门 、 跨 业 务 的 协 同 管 理 和 服 务 的 主 要 区 域 。 该 区 应 提 供 政 务 外 网 内 的 公 共 服 务 ,如 政 务 外 网 门 户 网 站 、 DNS 服 务 、 综 合 协 同 办 公 等 。 公 用 网 络 区 IP 地 址 与 路 由 规 划 应 参 照 省 级 规 划 进 行 统 一 建 设 。 公 用 网 络 区 应 实 行 属 地 化 管 理 , 由
