1、ICS35.240.01L67DB32江苏省地方标准DB32/T 3514.42019电子政务外网建设规范第 4 部分:安全实施指南Construction Specifications of E-Government NetworkPart 4:Guidelines for safety implementation2019- 01 - 12 发布2019 - 01 - 30 实施江苏省市场监督管理局发 布DB32/T 3514.42019I目次前言.IV1范围.12规范性引用文件.13术语和定义.14总体要求.25建设原则.25.1等级保护原则.25.2多重防护原则.25.3分级管理原则.
2、35.4规范管理原则.36网络安全架构及安全域划分.36.1网络安全架构及安全域划分原则.36.2网络安全架构划分.36.2.1网络安全架构划分概述.36.2.2广域网安全.36.2.3城域网安全.36.2.4部门接入网安全.36.3业务区划分.46.4安全域划分.46.4.1总体要求.46.4.2互联网接入域.46.4.3安全管理域.56.4.4数据中心域.57网络互联安全要求.57.1广域网互联.57.2广域网与城域网互联.57.3城域网与部门接入网互联.57.4城域网与互联网互联.67.5IPv6 的支持与过渡要求.68电子认证.69终端安全防护.69.1终端安全防护概述.79.2电子政
3、务外网终端.79.2.1身份鉴别.7DB32/T 3514.42019II9.2.2准入控制.79.2.3安全防护.79.2.4安全审计.79.2.5终端复用.79.3互联网接入终端.79.3.1总体要求.79.3.2PC 终端及业务应用主机.79.3.3移动终端.810安全综合管理平台.810.1扫描采集层.810.2安全管理层.910.3分析展现层.910.4对外接口层.911等级保护要求.911.1概述.911.2定级方法.911.3边界划分.911.4定级要求.911.5实施要求.10附录 A(规范性附录)表 A.1江苏省电子政务外网安全等级保护基本要求实施建议表.11附录 B(资料性
4、附录)安全等级保护第三级政务外网(以设区市为例).18附录 C(资料性附录)安全等级保护第二级政务外网案例(以区、县为例).20附录 D(资料性附录)政务外网安全等级保护定级报告模板.21DB32/T 3514.42019III前言DB32/T 3514-2018 电子政务外网建设规范分为八个部分:第1部分:网络平台;第2部分:IPv4地址、路由规划;第3部分:IPv4域名规划;第4部分:安全实施指南;第5部分:安全综合管理平台技术要求与接口规范;第6部分:安全接入平台技术要求;第7部分:电子认证注册服务机构建设;第8部分:运维服务。本部分为DB32/T 3514-2018电子政务外网建设规范
5、第4部分。本部分按照GB/T 1.1-2009给出的规则起草。本部分由江苏省人民政府办公厅电子政务办公室提出并归口。本部分起草单位:江苏省人民政府办公厅电子政务办公室。本部分起草人:吴中东、李强、黄敏、朱德宇、李永杰、李寒、吴凡、熊章远、杭欣竹。DB32/T 3514.420191电子政务外网建设规范 第 4 部分:安全实施指南1范围本标准规定了电子政务外网建设规范安全实施指南的总体要求、 建设原则、 网络安全架构及安全域划分、网络互联安全要求、电子认证、终端安全防护及安全综合管理平台等内容。本标准适用于指导全省电子政务外网安全防护体系的建设, 主要涉及网络安全架构设计、 业务区及安全域的划分
6、及防护、边界安全防护、身份认证、终端安全防护和安全综合管理平台建设等工作,也可作为各级电子政务外网管理部门进行指导、监督和检查的依据。2规范性引用文件下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 5271.8信息技术 词汇 第8部分:安全GB 17859计算机信息系统安全保护等级划分准则GB/T 22239信息安全技术 信息系统安全等级保护基本要求GB/T 22240信息安全技术 信息系统安全等级保护定级指南GB/T 30278信息安全技术政务计算机终端核心配置规范GW
7、 0202-2014国家电子政务外网安全接入平台技术规范GW 0201-2011国家电子政务外网IPSec VPN安全接入技术要求与实施指南关于加快推进国家电子政务外网安全等级保护工作的通知(政务外网201115号)3术语和定义GB/T 5271.8和GB 17859-1999界定的以及下列术语和定义适用于本文件。3.1部门接入网 Department Access Network指电子政务外网接入用户自行建设和管理的本地局域网络或部门业务专网。 多部门合驻办公楼且楼内网络由专门机构统一管理时, 可以实现整体接入政务外网, 办公楼内的局域网络可以视为一个接入局域网。3.2移动终端 Mobile
8、Device指在移动业务中使用的,基于互联网进行通信,从电子政务外网安全接入区接入的智能终端设备,包括手机、PAD等通用终端和专用终端设备。3.3DB32/T 3514.420192互联网接入终端 Internet Access Terminal指基于互联网进行通信,从电子政务外网安全接入区接入的移动终端、PC终端或业务应用主机。3.4电子政务外网终端 E-Government Network Terminal指位于电子政务外网内部,基于电子政务外网网络设施(不含互联网等公用网络)进行通信的PC终端。3.5电子政务移动办公系统 Mobile E-Government System利用移动终端,
9、随时随地通过无线网络、互联网等访问电子政务办公系统,进行网上办公的应用系统。3.6移动终端管理MobileDevice Management移动终端管理为移动终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑,实现用户身份与设备的绑定管理、设备安全策略配置管理、设备应用数据安全管理等功能,简称MDM。3.7移动应用管理 Mobile Application Management针对移动应用软件,提供从分发、安装、使用、升级和卸载等过程和行为的监控和管理,简称MAM。3.8移动内容管理 Mobile Content Management针对移动终端访问、存储、传输或处理的数据内容,提供信息
10、过滤、访问控制、数据加密、安全隔离、剩余信息清除等管理措施,简称MCM。4总体要求贯彻执行国家信息安全相关法律法规,在国家信息安全主管部门的指导下,统筹规划,分级建设,通过不断加强电子政务外网的整体安全防护能力, 建立起能够有效抵御安全风险, 适合电子政务外网可持续发展的信息安全防护体系,为电子政务外网的业务应用提供坚实的安全保障。5建设原则5.1等级保护原则按照GB17859、GB/T 22239、GB/T 22240及关于加快推进国家电子政务外网安全等级保护工作的通知(政务外网201115号),确定本级电子政务外网的安全等级,并对所辖网络实施安全保护。5.2多重防护原则DB32/T 351
11、4.420193强化预防优先、管控并重的安全意识,基于多维度安全防护手段,构建可持续发展的立体纵深安全防护体系。5.3分级管理原则省政府办公厅电子政务办公室负责全省电子政务外网安全防护体系建设指导工作; 各设区市政府办公室负责本地区安全防护体系建设指导工作。 各地各部门按照相关法律法规实施等级保护, 定期开展安全评估。5.4规范管理原则建立领导负责制,从机构、制度、人员、运行维护、资金保障等方面实现全面、有效、规范管理。6网络安全架构及安全域划分6.1网络安全架构及安全域划分原则统一的国家电子政务外网应由国家、省、市、县级广域网和城域网组成。各级部门可通过本级城域网接入电子政务外网。 各级城域
12、网边界可建设互联网区, 为本级政务部门访问互联网及部署面向公众服务的应用系统提供服务。6.2网络安全架构划分6.2.1网络安全架构划分概述省电子政务外网骨干网基于电信传输网络建设,传输网按技术类型可分为MSTP网、 SDH网和光纤网络等,基于传输网之上的IP承载网按电子政务网络结构及所处位置可划分为广域网、 城域网和部门接入网。6.2.2广域网安全省电子政务外网广域网主要包括省级广域网、市级广域网和县级广域网:a)省电子政务外网广域网内主要传输数据、视频、图像等相关业务。政务外网可通过 MPLS/VPN或其他网络隔离技术,对不同的业务系统进行隔离。b)省至设区市广域网主干不应承载直接访问互联网
13、的业务。 设区市政务外网互联网出口应实行统一集中管理,采取有效技术手段分区分域,做好安全防护工作。c)县级及以下政务外网接入部门原则上不应设互联网出口,在使用设区市统一互联网出口时,应采用有效的隔离技术,保证电子政务外网业务的安全。6.2.3城域网安全省电子政务外网城域网包括省级城域网、 市级城域网和县级城域网, 各级城域网可通过部署统一互联网安全域与互联网进行连接:a)省电子政务外网城域网在各级网络互联汇聚层边界, 根据业务需求应部署安全边界访问控制策略,采取相关技术防护措施。b)各级政务外网城域网为政务部门提供统一互联网接入服务时,应做好相应的安全防护工作,对互联网业务和电子政务外网业务加
14、以区分,做好区域安全防护,确保电子政务外网业务系统安全。6.2.4部门接入网安全DB32/T 3514.420194省级政务外网部门本地局域网络或部门业务专网安全系统建设和管理应由各部门自行负责, 各设区市政务外网部门本地局域网络或部门业务专网安全系统应根据实际情况进行统建或自建, 并应达到相应的安全保护等级。 多部门合驻办公且楼内局域网络由专门机构统一建设和管理时, 在达到等级保护要求后,可整体接入政务外网。6.3业务区划分按照国家电子政务外网统一要求,结合省电子政务外网业务需求,应划分不同业务安全区,并根据安全区域的重要性进行相应的安全防护。通过使用VPN、路由控制、防火墙、认证网关、边界
15、访问控制等技术手段,在省电子政务外网中至少应划分公用网络区、专用网络区、互联网区等区域来保证政务外网基础设施和业务信息系统的安全,各区域之间应实现逻辑隔离和安全控制。a)公用网络区:是实现省电子政务外网全网访问的重要网络区域,是部门实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务的主要区域。该区应提供政务外网内的公共服务,如政务外网门户网站、DNS 服务、综合协同办公等。公用网络区 IP 地址与路由规划应参照省级规划进行统一建设。公用网络区应实行属地化管理,由设区市、县自行规划并做好安全防护工作。b)互联网区:是各部门业务系统通过逻辑隔离安全接入互联网的区域,满足部门利用互联网开展公
16、共服务、社会管理、经济调节和市场监管等电子政务业务需要。互联网区实行属地化管理,由设区市、县自行规划并做好安全防护工作。c)专用网络区:基于电子政务外网为特定需求的部门或业务开通的网络区域,实现本部门系统纵向跨地区业务在政务外网上开展,与公用网络区内其它部门的业务应用系统相互逻辑隔离。注 1:公用网络区和专用网络区按照国家统一要求实现国家-省-市-县四级贯通。 互联网区作为各地电子政务外网与互联网业务打通的区域,采用分级属地化管理。注 2:公用网络区与互联网区之间应建设完备的安全防护体系,确保互联网区及互联网的用户未经授权不能直接访问公用网络区的数据和信息系统。6.4安全域划分6.4.1总体要
17、求在省电子政务外网城域网内根据安全边界防护及等级保护的级别要求而划分出的相应安全域, 通常有互联网接入域、 安全管理域和数据中心域等。 各安全域需按照等级保护的相关要求采取有效安全防护手段严格管控,保障省电子政务外网基础设施的整体安全可控。6.4.2互联网接入域为各级政务部门提供互联网访问和面向社会公众服务业务,互联网出口应部署防火墙、入侵防御、防DDOS攻击、防病毒等安全防护设备,或具有上述功能的综合网关类设备,同时对互联网出入口应实施流量控制、行为审计、入侵检测等措施,保证自身业务和全网的安全,达到相应的等级保护要求。互联网接入域可细分为以下子安全域:门户网站群安全域、互联网云平台域、安全
18、接入平台域(含VPN集群、移动应用安全认证等)、互联网接入安全管理域。具体内容如下:a)门户网站群安全域:各单位、部门的网站应统一部署到该区域,并通过统一的网站发布、管理平台对所属网站进行信息维护、站点管理,满足电子政务部门利用互联网开展公共服务、社会管理、经济调节和市场监管的电子政务业务需要,并对安全实行统一管控。b)互联网云平台域:为各单位、部门的互联网访问业务、移动办公等提供由基础设施、硬件、资源抽象控制层、虚拟化计算资源、软件平台和应用软件等组成的云计算资源,应具备软件即服务(SaaS)、DB32/T 3514.420195平台即服务(PaaS)、基础设施即服务(IaaS)三种基本的服
19、务模式,实现互联网区的计算资源动态分配和统一、高效管理。c)安全接入平台域:通过IPSec/SSL、数字证书、VPDN等技术手段,应将互联网接入终端通过3G/4G网络或互联网安全接入政务外网公用网络区或政务部门的专用网络区,实现移动办公、现场执法等各类移动政务业务安全接入至政务外网。安全域应具有对各类互联网接入终端的实时管理等安全保障功能,通过身份认证、传输加密等安全手段将互联网接入终端接入到相应的业务应用系统,保证数据和应用系统的使用安全。安全接入平台域应部署VPN集群、移动应用安全认证等安全保障措施。d)互联网接入安全管理域:为互联网接入域提供安全管理功能,部署网络审计、数据库审计、病毒和
20、恶意代码防护、互联网接入终端管控、日志审计、堡垒机集群等安全防护系统,应能与电子政务外网的安全管理综合平台进行联动, 统一进行策略管理和安全管控。 堡垒机集群应提供互联网接入域的本地和远程运维人员的身份鉴别、权限分配和行为审计的安全管控服务。6.4.3安全管理域根据网络业务及安全自身的需要,应将网络管理系统、安全管理系统、电子认证服务等信息系统部署在管理区,并设置与之相适应的访问控制策略。 安全等级保护确定为第三级的政务外网,应建立安全管理综合平台,通过开放接口实时推送安全管理综合数据并与省级平台互联互通,对安全防护设备的日志进行采集和综合关联分析,提出安全整改建议。 对于网络攻击等安全事件应
21、能实时告警,有条件的相关设备应能联动,防止网络攻击等事件的进一步扩大,主动有效地保护政务外网的安全。6.4.4数据中心域按业务区域可分为公用网络数据中心域、 专用网络数据中心域。 实现相关政务部门各类业务的集中托管或分区部署, 放置在数据中心公用网络区、 专用网络区机房托管的各相关信息系统应由责任主体单位与托管中心的责任单位签订合同、明确责任和边界,并按照国家信息系统安全等级保护的要求进行定级和采取相应的安全防护措施。7网络互联安全要求7.1广域网互联7.1.1省电子政务外网广域网互联时,应加强对边界接入设备的监控和管理,采取有效的边界访问控制策略,保证所承载各类业务的畅通和安全可靠。7.1.
22、2在省级广域网跨域边界,当市级向省级通告路由时,只通告政务外网分配地址并在市级对接设备边界处做好路由汇总,省级接入路由器负责对市级通告的路由信息进行过滤。7.2广域网与城域网互联7.2.1安全保护等级定级均为第三级的广域网与城域网互联时,应有主电路和备用电路,按主备电路互为备份或负载分担的方式提供网络承载服务。其核心路由设备应放置在不同的机房,保证其可靠性。广域网应与城域网的两个不同的汇聚设备或具有 PE 功能的核心设备互联,原则上不宜串接防火墙等边界访问控制设备。7.2.2安全保护等级定级为第三级的广域网与安全保护等级定级为第二级的城域网互联时,广域网应在边界接入设备上采取有效的边界访问控制
23、策略,对非授权访问、异常流量、病毒木马、网络攻击等行为进行控制,如串接防火墙作为边界访问控制设备时,应保证所承载各类业务的畅通和连续性。7.3城域网与部门接入网互联DB32/T 3514.4201967.3.1各级政务部门接入网及其信息系统的等级保护工作应由各单位自行负责,经过相应的等级保护测评并达到相应的等级保护要求后接入电子政务外网。7.3.2在城域网汇聚层设备上,应做好部门接入网接入的边界访问控制,如异常流量的监测、非授权访问、 病毒攻击等安全策略及防护措施,如串接防火墙作为边界访问控制设备时,应保证所承载各类业务的畅通和连续性。7.3.3部门接入网与本级政务外网城域网的接入边界,应通过
24、访问控制、 入侵防范和安全审计等功能对部门接入网边界进行安全防护。具体要求如下:a)访问控制: 根据会话状态信息为数据流提供明确的允许/拒绝访问能力,控制粒度至少达到端口级;应对用户设置有限权限访问政务外网资源,并限制政务外网地址访问局域网;对外提供服务节点时,应设置公用网络业务 DMZ 区,对该区单独实施安全策略,允许公用网络区访问业务DMZ 区,禁止业务区服务器向外访问。b)入侵防范:进行病毒过滤和入侵防御,并及时升级病毒和攻击特征库;对病毒和入侵攻击行为进行实时告警及阻断。c)安全审计:记录攻击源 IP、攻击类型、攻击目的 IP、攻击时间等关键信息;记录公用网络访问行为、网络地址转换日志
25、等信息;审计信息应至少保存 6 个月。7.4城域网与互联网互联7.4.1城域网应通过互联网区安全域与互联网进行互联,并与当地信息安全管理部门联合做好统一互联网出入口的监测与管理工作。7.4.2在省级和设区市应统一建设安全接入平台,通过对各类接入终端进行身份认证、 权限控制、 传输加密、行为审计等各类安全措施,实现外出用户通过多种接入方式安全接入城域网。7.5IPv6 的支持与过渡要求电子政务外网应逐步支持IPv6协议,过渡期间互联网区应从接入电路、DNS解析、网络设备、安全设备、安全管理、业务应用等方面支持IPv4/IPv6双栈协议,使用IPv4-IPv6协议转换等方式,平滑升级支持IPv6协
26、议栈下的业务访问。8电子认证8.1电子政务外网电子认证基础设施建设应符合国家电子政务外网 CA 体系架构,按照 CA 中心、RA 中心、LRA 中心三个层次进行建设,为全省各级政务部门工作人员制作、发放和管理各类数字证书;设区市按照国家、省电子认证服务标准和规范,建设注册服务分中心(LRA)及注册服务点,负责本地区证书发放;省各有关部门和单位根据实际需要,可独立建设注册服务分中心(LRA)或注册服务点,也可使用省级注册服务中心(RA)统一发放的证书。8.2设区市应建设本地区统一用户管理系统,并开放接口,实现与省级统一用户管理平台对接,将用户身份信息同应用帐号信息有机结合, 实现省电子政务外网用
27、户在各类应用系统中身份的有效管理。 通过与业务系统结合,依托统一用户管理系统对用户属性的管理,建设统一授权管理体系,为省电子政务外网各业务应用系统提供统一的权限管理服务。8.3省、市各有关部门和单位应根据实际需要,建设统一认证的应用支撑环境,对政务外网的应用提供身份认证和安全支撑。9终端安全防护DB32/T 3514.4201979.1终端安全防护概述各地各部门接入电子政务外网的电子政务外网终端和互联网接入终端应部署终端安全管控系统、 防病毒、恶意代码防护、补丁分发、身份鉴别等系统,并按照国家信息安全等级保护相应等级要求进行防护,实行统一管理。9.2电子政务外网终端9.2.1身份鉴别身份鉴别应
28、符合下列要求:a)部门接入网终端应注册,注册信息至少要包括 MAC 地址、使用者信息和终端配置信息。b)使用 CA 证书认证时,应与用户实名绑定。c)口令应至少由 8 位字符组成,包含字母、 数字和特殊字符等两种以上类型,至少每 6 个月修改一次,连续 6 次内口令不重复。9.2.2准入控制准入控制应符合下列要求:a)终端应通过接入单位安全准入检查。b)接入设备应进行 IP、MAC 和端口绑定。9.2.3安全防护安全防护应符合下列要求:a)应安装病毒与恶意代码防护软件,并及时更新病毒与恶意代码特征库。b)应及时对终端系统漏洞进行修补。c)终端不应开启代理服务、无线热点等功能。d)应及时告警并阻
29、断部门接入网内终端非法外联。e)终端配置应符合 GB/T 30278 的要求。9.2.4安全审计安全审计应符合下列要求:a)应对用户操作行为和终端系统日志进行审计。b)审计记录应提供统计、查询和分析功能,并至少保存 6 个月。9.2.5终端复用终端应专机专用,不应同时连接政务外网和互联网。9.3互联网接入终端9.3.1总体要求互联网接入终端通过VPN接入政务外网时,应由VPN客户端阻断其他的互联网应用连接。9.3.2PC 终端及业务应用主机DB32/T 3514.420198PC终端包括办公使用的台式电脑、笔记本电脑等设备;业务应用主机是根据业务需求,部署在互联网,并通过VPN等安全措施接入政
30、务外网的服务器;PC终端及业务应用主机接入政务外网时应满足如下要求:a)应符合相应的信息系统安全等级保护中关于终端安全的相关要求, 以及接入业务单位的接入终端安全要求,终端或服务器应安装统一的安全防护组件并达到相关安全要求后方可接入;b)接入到安全等级保护要求为第三级的政务外网业务应用系统时,应使用数字证书认证方式;c)使用证书方式协商时, 证书应使用政务外网电子认证中心统一颁发的数字证书, 并由硬件设备承载。9.3.3移动终端移动终端接入政务外网时应符合以下要求:a)移动终端应安装安全防护软件并达到相关安全要求后方可接入;b)移动终端应集成移动终端管理模块,用于终端注册及远程管理;c)接入到
31、安全等级保护要求为第三级的政务外网业务应用系统时,应使用数字证书认证方式;d)使用证书方式协商时,证书应使用政务外网电子认证中心统一颁发的数字证书;e)终端通过互联网远程接入到政务外网时应符合 GW 0201-2011、GW 0202-2014 和电子政务外网建设规范 第 6 部分:安全接入平台技术要求的要求。10安全综合管理平台安全综合管理平台监测和管理安全设备的运行状态,对安全事件、脆弱性、配置、可用性与安全相关的数据进行统一采集、集中分析,并进行宏观可视化展现,发现事件或安全风险时可实时触发告警。安全综合管理平台提供标准的外部通信与数据接口,与上下级平台和第三方系统实现连接。详见图1。图
32、 1安全综合管理平台整体功能框架图10.1扫描采集层扫描采集层采集安全设备及核心设备的运行状态信息、安全事件信息、脆弱性信息、安全配置信息和流量信息,并将所采集的安全事件信息转化为安全综合管理平台内部统一的数据格式。DB32/T 3514.42019910.2安全管理层通过综合分析方法对采集数据进行关联分析以识别判断安全事件或事态, 生成风险信息、 事件信息、告警信息,由监测与事件处理模块、系统管理与配置模块、基础信息库等组成。监测与事件处理模块主要包括资产管理、可用性监测、事件管理、告警管理、风险管理、安全审计、安全响应、安全通告、脆弱性管理、合规性管理、关联分析、统计分析、态势分析、策略管
33、理、工单管理;系统管理与配置模块主要包括报表管理、权限管理、存储管理、级联管理;基础信息库主要包括规则库、案例库、漏洞库、策略库。10.3分析展现层通过可视化的方式将资产信息、网络拓扑、监测对象的运行状态、设备可用性、安全风险、安全事件、安全告警等信息展现给用户,并用工单的形式管理安全风险、事件和告警,采用Portal技术统一展现。10.4对外接口层在安全综合管理平台中应构建标准化接口服务层, 实现与上下级安全监测系统、 外部系统接口连接。安全综合管理平台对外接口应具有良好的兼容性, 可方便地与第三方系统进行连接, 支持Syslog事件转发、SNMP Trap事件转发、Web Service接
34、口调用等常用标准接口。11等级保护要求11.1概述依据国家电子政务外网管理中心关于加快推进国家电子政务外网安全等级保护工作的通知 (政务外网201115号),各级政务外网建设运维单位按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”原则,负责组织开展本级政务外网安全等级保护工作。省级政务外网建设运维单位负责对设区市、县(区)的政务外网安全等级保护工作进行监督指导。11.2定级方法省电子政务外网安全等级的确定,首先应针对服务地域、责任主体、管理范围等因素,确定本级政务外网的管辖范围和边界。其次是对政务外网合理划分不同安全域,并确定其边界。三是依据所承载的各级政务部门业务信息系统,明确每个安全域的业
35、务内容和安全要求,科学合理的划分安全等级。11.3边界划分省电子政务外网可划分为省级电子政务外网、设区市电子政务外网和县(区)级电子政务外网,依据其管辖范围来确定管理边界。通常该边界为广域网络与广域网络之间、广域网络与城域网络之间,以广域网的接入路由器为边界。 各级城域网络与部门接入网之间, 以城域网络放在接入部门内的接入路由器为边界。政务外网与互联网或其他公众网络之间,以接入设备或安全网关设备为边界,按边界设备的资产归属为划分原则(含自建或租用的长途电路)确定管理范围。11.4定级要求具体要求如下:a)根据国家电子政务外网等级保护的基本要求, 电子政务外网开展安全等级保护工作的重点是广域网和
36、各级城域网。政务外网中央至省、省至设区市广域网和中央、省级、设区市级城域网应达到安全等DB32/T 3514.4201910级保护第三级要求,设区市至县(区)广域网和设区市以下城域网应至少达到安全等级保护第二级的要求。b)省电子政务外网在确定管理边界和责任主体的前提下, 依据政务外网的社会影响、 规模和服务范围及服务对象重要性三个定级要素来确定相应的赋值,最高赋值在2及以下的,其安全等级可定级为第二级及以下,最高赋值为3的,其安全等级可定级为第三级。c)省电子政务外网作为承载网, 可以承载不同安全等级保护的政务信息系统, 各级电子政务外网的安全保护等级最高可定为第三级。 如果所承载的政务信息系
37、统安全等级高于第三级时, 其信息系统按国家标准的规定对数据和信息系统进行保护,使其达到信息系统相应安全等级保护的要求。d)省电子政务外网承载的各级政务部门业务应用系统应由所属单位或主要责任单位按国家相关要求和标准自主定级、备案,相应安全责任自行承担。11.5实施要求省电子政务外网安全等级保护实施的基本要求包括两部分,一是国家标准GB/T 22239,二是国家电子政务外网管理中心针对政务外网的特点并作为国家标准的补充印发的 关于加快推进国家电子政务外网安全等级保护工作的通知 (政务外网201115号)。省电子政务外网作为国家电子政务外网的组成部分,在实施安全等级保护时应同时满足国家标准要求和国家
38、电子政务外网基本要求。DB32/T 3514.4201911AA附录A(规范性附录)表 A.1 江苏省电子政务外网安全等级保护基本要求实施建议表序号基本要求指标项实施建议政务外网标准国家电子政务外网安全等级保护基本要求中第三级基本要求的全部内容以下提出的实施建议仅供参考, 如有其他方法能达到基本要求,也认可达到相关安全等级要求。17.1.1.广域网27.1.1.1. 结构安全31)关键设备的业务处理能力应具有一定的设备和链路冗余等保护措施,网络的组织和分布应满足各类业务稳定性、可靠性和安全性的要求;广域网的核心设备属于关键设备, 其业务处理能力应满足所有经过核心设备的各类业务流量和管理开销的要
39、求。42)广域网的链路带宽应满足承载业务和数据传输的需要,其带宽至少为历史峰值的 1.5 倍;应符合要求53)IP 层的网络设备时钟应与上级设备时钟同步;应符合要求64)主用与备用的核心网络设备应放置在不同物理位置的机房;为保证网络的可靠性和系统的可用性, 备用的核心设备可以考虑放在提供网络服务的运营商的机房内。75)应采用物理路由分离的两条骨干链路来提供“1+1”的网络 保护方式,两条链路在技术和性能等方面应保持一致;设区市到县的广域网, 可根据实际情况, 随着承载业务的扩大,在保证业务不中断的情况下,完善备用链路的性能。86) 设区市级及以上网络设备应支持 MPLS VPN 的业务,并保证
40、国家相关业务部门到省、地(市)、县业务的连通;设区市级城域网应支持 MPLS VPN 功能,保证所承载的政务部门各业务之间的有效隔离及与国家、省相关业务的互通。97)应根据需要采用有效的 QoS 和流量管理策略,保证管理和控制信息具有较高的优先级;政务外网应能区分不同的业务类型, 对重要信息系统和重点保证单位的业务划分优先级108)应保证国家、省、设区市广域网的高速畅通,不允许串接相关安全防护设备。应符合要求117.1.1.2.网络保护与恢复121)国家、省、设区市的广域网主要设备、模块及链路应采用主备方式;为保证网络的可靠性和系统的可用性, 其备用链路可考虑由不同运营商提供,但性能、带宽等技
41、术要求应保持一致。132)应能根据各级政务部门业务应用的需要采用链路倒换、聚合 等安全保护措施,相关技术指标应达到网络和业务的需要;应符合要求143)链路的倒换、聚合应不影响各级政务部门重要信息系统和业务的正常使用;应符合要求154)广域网络设备原则上应与城域网的核心节点互联。应符合要求167.1.1.3.访问控制DB32/T 3514.4201912表 A.1 江苏省电子政务外网安全等级保护基本要求实施建议表(续)171)应在广域网与城域网或部门接入网之间的网络边界部署相关访问控制设备,启用访问控制功能;不同责任单位的广域网与城域网、 城域网与部门接入网之间应具有边界访问控制的功能, 可通过
42、在边界路由器加安全模块等手段,防止异常流量、非授权访问、病毒等危害业务及网络的安全。182)根据政务外网的网络承载力,应对网络中的广播、组播进行必要的控制;应符合要求193)在广域网内,专用网络区与公用网络区应采用MPLS VPN 技术隔离,专用网络区及公共网络区域之间路由不可达,数据不能直接访问;在政务外网广域网内, 应保证各 VPN 之间隔离的有效性, 每年至少应检查一次。204)应具备限制网络最大流量数及网络连接数的能力;根据网络带宽和实际业务应用的流量情况,进行限制。215)根据国家有关互联网出口属地化原则,政务外网中央和省级广域网不得承载互联网的流量。为保证国家、省、地(市)电子政务
43、业务的畅通和安全,其省级广域网内不得承载地 (市) 的访问互联网业务, 地 (市)访问互联网业务可通过本地的 ISP 出口。227.1.1.4.安全审计231)安全审计日志记录要求保存至少半年以上;应符合要求242)应能够根据记录数据进行分析,并生成审计报表,相关信息应报送安全管理系统。应符合要求257.1.2.城域网267.1.2.1.结构安全271)城域网的核心设备应具有一定的设备冗余,核心设备之间的骨干应至少保证不同路由主备链路或环进行保护,其链路带宽应满足业务的需要;核心设备至少有二台以上, 部署在不同的物理位置, 采用双链路或环型保护。282)城域网的骨干路由带宽应满足业务的需要;骨
44、干路由带宽应考虑所有接入单位的各类政务和互联网业务的流量,并应预留至少 50%的带宽容量。293)应根据实际需要及接入单位的分布情况,合理设置汇聚节点的数量和位置;当接入单位较集中时, 可设置汇聚层路由设备, 专线接入相关政务部门。304)城域网络设备的时钟应能与广域网络设备的时钟同步;应符合要求315)国家、省级城域网的核心原则上应采用网状或环状网络结构;应符合要求326)汇聚节点与核心节点原则上应至少有两条不同物理路径的连接,防止设备或链路故障影响业务系统的正常使用;应符合要求337)应根据需要采用有效的 QoS 和流量管理策略,保证重要信息系统和数据具有较高的优先级;要求给业务系统分类、
45、 分级, 以及有效的质量保证和流量管理策略。348)自建用于政务外网的传输系统(含管理软件、SDH设备、MSTP 多业务传输平台等),可与 IP 承载网同步定级,其安全等级应与城域网安全等级一致。底层的通信传输平台(包括光纤、传输设备、管理系统等),如果只为政务外网服务, 可作为政务外网的组成部分与政务外网一起定级, 反之, 则应分开分别确定安全等级并按要求实施保护。DB32/T 3514.4201913表 A.1 江苏省电子政务外网安全等级保护基本要求实施建议表(续)357.1.2.2.访问控制361)应在城域网与部门接入网连接边界及安全等级不同的网络边界配置相应的访问控制功能;为保证城域网
46、的安全,可在汇聚层设备做边界访问控制的保护,采用安全模块或旁挂防火墙设备等措施,做好边界访问控制。372)城域网内根据接入业务的需要划分其他区域(或服务层)时,应按业务和安全的要求,制定相应访问控制策略,保证数据和信息系统的安全;城域网可按接入单位的业务纵向划分 VPN,或按接入业务的类型横向划分 VPN,目标是保证政务业务系统和数据的安全。383)应在广域网与城域网或用户接入网之间的网络边界部署相关访问控制设备,启用访问控制功能,对接入用户的边界访问控制,根据条件其访问控制设备也可放在汇聚层;广域网与城域网之间,主要应保证业务和 VPN的连通,依据责任分工,在边界可旁挂防火墙或安全模块,主要
47、监测异常流量、病毒等网络攻击行为。394)城域网应支持 MPLS VPN 技术,按接入业务的需要和数据交换与共享的要求区分不同的网络区域;各设区市根据自身网络和业务的情况,可纵向按单位性质划分,也可横向按业务划分不同的网络区域,并保证不同 VPN 之间的隔离。405)城域网中的专用网络区、 公用网络区和互联网接入区等其他网络区域应采用 VPN 隔离措施,不同区域的系统和数据不能直接访问;应符合要求416)公用网络区与互联网接入区等区域之间需要进行数据交换时, 应采用防火墙、路由控制、网闸、数字证书等相关安全措施,并对交换数据进行病毒扫描和审计。具体措施可参考国家电子政务外网跨网数据安全交换技术
48、要求与实施指南427.1.3.部门接入网431)部门接入网内的安全防护和安全责任由用户单位自行负责;管理和责任边界以接入路由器为边界,按资产归属为原则来确定。442)用户单位的信息系统已按国家要求进行了安全等级保护二级或三级备案时, 在接入政务外网时需提供信息系统安全等级保护备案证明;政务部门的接入线路应根据其信息系统的重要性决定是否采用双线路上联到汇聚层交换设备,如果政务外网承载的政务部门信息系统定级为第三级重要信息系统,则政务外网应提供双路由上联, 保证其信息系统的可靠性。 一般情况下,则专线单路由接入政务外网即可。453)部门接入网内的终端如既能访问政务外网的业务、 又能访问互联网,各政
49、务部门可根据自身业务的重要性,采取技术措施,逐步达到控制该终端访问互联网, 其现有的技术手段如下, 但不仅限于此:(1)通过接入互联网侧的防火墙的访问控制策略对该终端访问互联网加以必要的限制;(2)通过对终端硬盘分区,加密保存业务数据或相关工作文档,通过安全软件,当进行工作文档编写、数据处理时,自动断开该终端的互联网连接;(3)通过插入 USBKey 时自动断开该终端的互联网连接,只能访问指定的政务外网服务器和应用系统;(4)可采用虚拟终端等的技术,保证同一台终端不能同时访问政务外网业务和互联网业务。由接入单位自行负责并决定采用何种方式。DB32/T 3514.4201914表 A.1 江苏省
50、电子政务外网安全等级保护基本要求实施建议表(续)467.2.业务区域网络477.2.1.公用网络区487.2.1.1.结构安全491)公用业务服务器应采用统一规划的 IP 地址,保证跨部门、跨地区业务的交换与共享;分配给各设区市的地址应符合电子政务外网建设规范第 2 部分:IPv4 地址、路由规划的要求。502)应根据所部署系统的重要性和所涉及信息的重要程度等因素,划分不同的子网或网段,并按照方便管理和控制的原则为各子网、网段分配地址段;为保证业务的安全, 根据不同业务划分安全域是必须的,如公共网络区应划分管理区 (如部署网管、 安管系统等) ,与共享区(如部署网站、共享系统等),并配备防火墙
