DB34T 4283-2022 电子政务外网安全接入技术规范.pdf

ICS 35.020 CCS L 79 34 安徽省地方标准 DB34/T 42832022 电子政务外网安全接入技术规范 Specification for secure access technology of e-government network 2022-08-31 发布 2022-09-30 实施 安徽省市场监督管理局 发 布 DB34/T 42832022 I 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由安徽省大数据中心提出。本文件由安徽省数据资源管理局归口。本文件起草单位：安徽省大数据中心、六安市大数据中心、滁州市数据资源管理局、六安市数据资源管理局、阜阳市数据资源管理局、马鞍山市大数据中心、天融信科技集团股份有限公司、合肥竹云信息科技有限公司、广州热点软件科技股份有限公司、深信服科技股份有限公司、安徽省电子认证管理中心有限责任公司、国泰新点软件股份有限公司。本文件主要起草人：朱典、张明阳、张静、陈先才、邹莉强、杨阳、陶峰、顾纺、李晓飞、龚政、戴国建、潘磊、赵雷、陈鑫宇、刘涛、王彦翔、琚扬、王远。DB34/T 42832022 1 电子政务外网安全接入技术规范 1 范围 本文件规定了电子政务外网安全接入分类和接入安全要求。本文件适用于指导政务部门安全接入电子政务外网，也可为政务部门接入电子政务外网前的安全自查、整改提供参考。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 25069 信息安全技术 术语 3 术语和定义 GB/T 25069 界定的以及下列术语和定义适用于本文件。政务部门终端用户 government department end users 政务部门中具有独立操作系统、自安装软件并可通过网络实现网络接入的终端使用者，本规范中特指政务部门需要接入电子政务外网的终端使用者。电子政务外网统一身份认证平台 e-government network unified identity authentication platform 对接入电子政务外网的政务部门终端进行身份认证和身份信息管理的平台。政务外网 VPN 集群 VPN cluster of e-government network 政务部门建设部署接入电子政务外网的、在公共通信基础网络上通过逻辑方式隔离出来的网络的集合。跨网数据安全交换系统 cross network data security exchange system 基于网闸和单向光闸技术，综合利用设备认证、格式检查等安全措施实现两个不同网络业务区服务器之间数据同步的平台。准入控制 access control 是否允许政务部门终端接入电子政务外网的判断和控制。双因素认证 two-factor authentication DB34/T 42832022 2 采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术来实现。4 接入分类 电子政务外网安全接入技术的分类、适用场景以及接入方式见表1。表1 电子政务外网安全接入技术的分类、适用场景以及接入方式 5 接入安全要求 终端专线 终端专线安全接入方式见图1，安全接入要求如下：a)采用安全认证网关进行准入控制；b)采用统一身份认证平台进行身份认证；c)对终端访问行为进行审计；d)支持基于数字证书和口令的双因素认证接入。接入分类 适用场景 接入方式 专线安全接入 适用于政务部门通过专线（裸光纤、SDH 专线、MSTP 专线、IPRAN 专线和 PTN 专线）接入方式安全接入电子政务外网场景 政务部门终端用户通过安全准入和电子政务外网统一身份认证平台，实现专线安全接入电子政务外网 互联网远程安全接入/移动安全接入 适用于各级政务部门的电子政务远程办公、移动办公及相关工作人员利用互联网等社会公众网络，满足各类远程终端、移动终端安全接入到政务外网的场景 政务部门终端用户使用非专线方式安全接入电子政务外网 部门专网安全接入电子政务外网 适用于各级政务部门专网安全接入电子政务外网的场景 专网安全接入方式可同时支持终端访问电子政务外网和政务部门业务数据传输 业务安全接入电子政务外网 适用于各级政务部门专网安全接入电子政务外网进行业务应用数据安全交换的场景 支持政务部门业务与电子政务外网业务之间的安全数据交换 DB34/T 42832022 3 图1 终端专线安全接入电子政务外网 互联网远程和移动端 政务部门终端互联网远程安全接入/移动安全接入方式见图2，安全接入要求如下：a)采用 IPSec VPN 或 SSL VPN 进行传输加密防护，加密算法应符合国家密码管理局相关规范要求；b)采用安全认证网关进行准入控制；c)采用统一身份认证平台进行身份认证；d)对终端访问行为进行审计；e)支持基于数字证书和口令的双因素认证接入。图2 政务部门终端互联网远程安全接入/移动安全接入电子政务外网 专网 5.3.1 互联网 不具备专线接入政务外网条件的政务部门可通过互联网IPSec VPN安全接入政务外网，政务部门专网互联网方式安全接入见图3，安全接入要求如下：a)采用安全认证网关进行准入控制；b)采用统一身份认证平台进行身份认证；c)对终端访问行为进行审计；d)支持基于数字证书和口令的双因素认证接入。DB34/T 42832022 4 图3 互联网方式安全接入电子政务外网 5.3.2 专线 具备专线接入政务外网条件的政务部门可通过专线IPSec VPN接入政务外网，政务部门专网专线方式安全接入见图4，安全接入要求如下：a)采用安全认证网关进行准入控制；b)采用统一身份认证平台进行身份认证；c)对终端访问行为进行审计；d)支持基于数字证书和口令的双因素认证接入。图4 专线方式安全接入电子政务外网 业务 政务部门业务应用通过电子政务外网跨网数据安全交换系统进行安全接入，基于网闸和单向光闸技术，综合利用设备认证、格式检查等安全措施实现两个不同网络业务区服务器之间数据同步，政务部门业务安全接入方式见图5，安全接入要求如下：a)采用安全认证网关进行准入控制；b)采用统一身份认证平台进行身份认证；c)对政务部门业务数据交换行为进行审计；d)支持基于数字证书和口令的双因素认证接入。DB34/T 42832022 5 图5 业务安全接入电子政务外网