DB23∕T 2829—2021 电子政务外网安全管理规范第一部分： 网络安全总体要求(黑龙江省).pdf

ICS 35.240.01CCS L 67DB23黑龙江省地方标准DB23/T 28292021电子政务外网安全管理规范第 1 部分：网络安全总体要求2021-04-13 发布2021-05-12 实施黑龙江省市场监督管理局发布DB23/T 2829-2021IIDB23/T 2829-2021I前言本文件按照 GB/T 1.1-2020 给出的规则起草。本文件由黑龙江省营商环境建设监督局提出并归口。本文件主要起草单位：黑龙江省营商环境建设监督局、黑龙江省政务大数据中心、黑龙江省标准化研究院。本文件主要起草人：王峰、曹维、董月成、谢晓菲、孙雷、王东、罗南、李慧颖、孟令权、范晓明、杨鹏宇、陈要武、杨大志、吕猛、王磊、李严、王艳君。DB23/T 2829-20211电子政务外网安全管理规范第 1 部分：网络安全总体要求1范围本文件规定了电子政务外网安全管理规范 第 1 部分：网络安全总体要求并描述述了安全等级保护、跨网数据交换技术要求和安全接入平台、安全管理、安全监测系统、接口、接入单位局域网安全等技术规范。本文件适用于指导黑龙江省政务外网安全等级保护的建设、整改、自查和检测工作；指导各级政务外网建设运维单位进行安全接入平台的规划、设计、选型及实施等工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 5271.8信息技术词汇第 8 部分：安全GB/T 21061-2007国家电子政务网络技术和运行管理规范GB/T 22239-2019信息安全技术网络安全等级保护基本要求GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求GB/T 28448-2019信息安全技术网络安全等级保护测评要求GB/T 36958-2018信息安全技术网络安全等级保护安全管理中心技术要求YD/T 1746-2008 IP 承载网安全防护要求国密局发20097 号 电子政务电子认证服务管理办法3术语和定义下列术语和定义适用于本文件。3.1广域网把城市之间连接起来的宽带网络称广域网，政务外网从省到各地（市）网络称为省级广域网、地（市）到各县的广域网称为地（市）级广域网。实现省、市、县纵向业务的互联网通。3.2城域网把同一城市内不同单位的局域网络连接起来的网络称为城域网，实现不同单位跨部门业务的数据共享与交换。DB23/T 2829-202123.3局域网把本单位终端、主机/服务器、存储等设备，通过网络设备连接起来的网络，实现本单位业务系统、数据的互访、共享等称为局域网。局域网是政务部门开展电子政务业务的基础，其安全、建设、运维等相关工作由网络所属单位自行负责。3.4逻辑隔离逻辑隔离是一种不同网络间的安全防护措施，被隔离的两端仍然存在物理上数据通道连线。一般使用协议转换、数据格式剥离或数据流控制的方法来实现在两个逻辑隔离区域之间传输数据，并且传输的方向可以是单向或双向。3.5公用网络区公用网络区采用统一分配的公共IP地址，是实现各部门、各地区互联互通，为跨地区、跨部门的业务应用提供数据共享与交换的网络支撑平台。3.6专用网络区依托省内政务外网基础设施，为特定需求的部门或业务设置 VPN 区域，主要满足部门横向、纵向业务的需要，实现省、地（市）和县端到端业务和数据的互联互通，实现与其它业务之间的逻辑隔离。3.7政务外网服务于各级党委、人大、政府、政协、法院和检察院等政务部门，满足其经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。政务外网支持跨地区、跨部门的业务应用、信息共享和业务协同，以及不需在政务内网上运行的业务，与互联网逻辑隔离。3.8安全管理系统采用多种技术手段，收集和整合各类网络设备、安全设备、操作系统等安全事件，并运用关联分析技术、智能推理技术和风险管理技术，实现对安全事件信息的深度分析和识别，能快速做出报警响应，实现对安全事件进行统一监控分析和预警处理。3.9跨网政务外网城域网内采用VPN技术逻辑隔离且无协议通信的网络之间，或者是物理隔离的网络之间。4安全等级保护要求4.1总体原则DB23/T 2829-20213电子政务外网安全等级保护遵循国家安全等级保护文件要求，电子政务外网开展安全等级保护工作的重点是广域网和各级城域网。政务外网主要满足各级政务部门业务应用系统传输和跨部门数据交换与共享的需要，保证其在广域网和城域网上的畅通、安全和可靠。不同安全等级保护的政务外网互联，应在配置网络边界访问控制的情况下，确保业务的畅通。4.2具体要求政务外网省至地（市）广域网和省级、地（市）级城域网应达到安全等级保护第三级要求，地（市）级至区县广域网和地（市）以下城域网应至少达到安全等级保护第三级的要求。5安全接入平台技术规范5.1安全接入平台政务在省、市（地）分别建设两级安全接入平台，形成政务外网安全接入体系。县级可通过市级平台接入。安全接入平台架构见图1。图1 安全接入平台架构5.2接入模式5.2.1IPSecVPN 隧道接入主要应用于非专线接入政务外网的单位，采用网关对网关接入进行组网以及远程终端接入进行长时间连接、数据上报、视频会议等非 WEB 方式访问的业务。对于专线接入单位，当专线发生故障时，应急情况下也可采用网关对网关接入方式，通过 Internet 或移动通信网的 VPDN 实现业务的不中断传输。5.2.2SSL VPN 安全接入DB23/T 2829-20214主要应用于接入终端 WEB 方式接入政务外网，访问业务系统、远程桌面管理、远程办公等。5.2.3VPDN 接入专线接入用户可使用智能终端通过 VPDN 专线接入，VPDN 专线接入和Internet 接入类似，统一从政务外网安全接入平台入口进入。各级安全接入平台依据用户所要访问的业务应用系统的安全情况应采取 IPSec VPN 或 SSL VPN 网关对传输链路进行加密。5.3接入流程5.3.1网关对网关接入该模式适用于不具备政务外网专线接入条件的单位，通过 IPSec VPN网关接入政务外网，具体接入流程如下：a)接入单位通过公众网络登录安全接入平台门户发起申请，由本级政务外网运维单位审核通过后下发接入网关配置信息、设备证书等；b)接入网关向安全接入平台 IPSec VPN 网关集群服务网关发起连接请求；c)服务网关通过认证平台对接入网关进行认证，认证成功后双方建立隧道；d)接入单位用户通过 VPN 设备建立的安全隧道访问政务外网业务。5.3.2移动接入5.3.2.1接入单位通过公众网络登录安全接入平台门户发起申请，由本级政务外网运维单位审核通过后，根据接入业务不同下发接入必需资源，如统一业务入口或者 SSL VPN 服务地址、客户端软件、用户证书等。5.3.2.2PSec VPN 接入用户通过客户端发起请求，SSL VPN 接入用户通过 WEB 方式发起请求，智终端用户利用移动终端安全接入软件（APP）发起请求。5.3.2.3网关通过认证平台对接入用户进行认证，认证成功后双方建立安全连接。5.3.2.4接入用户通过 VPN 网关建立的安全连接访问政务外网业务。5.3.3VPDN 移动专线接入适用于智能终端用户通过移动通信网的 VPDN 方式接入或 PC 端用户通过 ADSL 等方式，接入用户需先通过 Internet 登录安全接入平台门户申请 VPDN 账号，在账号审核成功后，VPDN用户向 LNS 发起拨号并通过认证建立隧道，VPDN隧道建立成功后，用户向 SSL VPN 网关发起请求，网关通过认证平台对 VPDN 用户进行认证，认证成功后双方建立安全连接，VPDN用户须通过 VPN 设备建立的加密隧道安全连接访问政务外网业务。5.4平台部署5.4.1省级安全接入平台部署5.4.1.1省级安全接入平台划分为四个区域进行部署。5.4.1.2统一入口区由防火墙、VPDN 接入所需的 LNS 路由器、移动终端管理系统、门户组成；防火墙实现安全接入平台的访问控制；移动终端管理系统用于接入智能终端的策略下发，远程擦除；门户提供用户注册申请、客户端软件下载、SSL VPN 登录、业务异常申报等功能。LNS 路由器提供 VPDN 专线用户二次认证功能。DB23/T 2829-202155.4.1.3VPN 网关集群是由 IPSec VPN 网关、SSL VPN 网关组成的 VPN 网关池，实现用户的身份认证、权限管理、传输加密；负载均衡设备提供 VPN 网关的负载分配。5.4.1.4接入管理区部署配置管理系统、监测系统、安全审计系统，实现平台设备的配置管理、安全接入平台的运行监测和接入用户行为审计。5.4.1.5认证区部署 LDAP、RADIUS 等认证系统，实现接入用户的统一认证授权功能。如果已建设政务外网 CA，LDAP 可从 CA 导入证书条目、证书注销列表等信息用于用户证书有效性检查协助认证。5.4.2市（地）级安全接入平台部署5.4.2.1市（地）级安全接入平台划分为四个区域进行部署。5.4.2.2统一入口区由防火墙、门户组成；防火墙实现安全接入平台的访问控制。门户提供用户注册申请、客户端软件下载、SSL VPN 登录、业务异常申报等功能，如有移动接入需求，应增加必要移动终端管理系统。5.4.2.3VPN 网关由 IPSec VPN 网关和 SSL VPN 网关组成，实现用户的身份认证、权限管理、传输加密。5.4.2.4接入管理区配置管理/审计服务器，实现 VPN 网关的配置管理、安全接入平台的运行监测、用户的接入审计和安全接入平台的安全审计。5.4.2.5认证区配置 LDAP、RADIUS 等认证服务器，实现接入用户的统一认证功能。市（地）VPDN 用户可通过省级安全接入平台接入。县级安全接入平台可参照市（地）级安全接入平台部署。6安全管理技术规范6.1网络安全管理职责6.1.1网络管理系统要分别设立网络管理员和网络安全审计员，并分别由不同的人员担任。6.1.2网络管理员根据网络访问控制策略要求，进行网络设备参数设置，更新和维护等工作；对网络设备实行分级授权管理，按照不同的管理级别进行权限分配。6.1.3网络安全审计员对网络管理员的登录和操作内容进行审计，一月内至少审计一次日志报表；对网络配置与网络访问控制策略进行符合性检查。6.2网络管理6.2.1应在信息系统内外网网络边界部署防火墙、审计系统、IPS/IDS 等安全设备；对内部网络进行区域隔离、保护；重要的业务应用服务器区部署单独的防火墙进行保护。6.2.2内外网网络之间要实行物理隔离。如需进行数据交换时，应使用符合国家政策和保密部门认可的安全产品或技术措施进行数据传输。6.2.3所有在互联网发布的应用系统必须使用网页防篡改技术或专用安全设备进行保护，确保网站在受到破坏时能自动恢复。6.2.4所有在互联网发布的应用系统必须经过有资质的专业信息安全公司或第三方技术机构的安全测评，确保网站的安全性。6.2.5采用技术手段对网络接入进行控制。内部终端如因工作需要接入 Internet 或其他网络，应向所在部门领导提出申请，经批准后由网络管理员提供接入服务。管理员对接入端信息做详细登记并存档备案。外部人员如需接入网络，需由部门主管领导批准，再由网络管理员提供临时接入服务。DB23/T 2829-202166.2.6网络管理员负责网络拓扑图的绘制。若网络结构发生变化要及时更新拓扑图，确保网络拓扑图完整、真实。6.2.7未经批准，任何人不得改变网络拓扑结构、网络设备布局、服务器和路由器配置以及网络参数。6.2.8在未经许可的情况下，任何人不得进入计算机系统更改系统信息和用户数据。6.2.9任何人不得利用计算机技术侵害用户合法利益，不得制作和传播有害信息。6.3运维管理6.3.1建立纵向贯通省、市（地）、县（区），横向连接各接入单位的全省电子政务外网运维管理体系，实现对全网的网络设备、链路、业务运行状况的统一运维监控管理。6.3.2对信息系统核心设备采取冗余措施（包括线路及设备冗余），确保网络正常运行。6.3.3对网络、安全设备进行管理时须采用安全的方式（如加密、SSH 等），并严格控制可访问该设备的地址和网段。6.3.4定期对网络系统（服务器、网络设备）进行漏洞扫描，并及时修补已发现的安全漏洞。6.3.5根据设备厂商提供的更新软件对网络设备和安全设备进行升级，在升级之前要注意对重要文件的配置进行备份。6.3.6定期对重要的网络、安全设备进行巡检，确保重要设施工作正常，并填写相关记录表单归档保存。若在巡检中发现安全问题要及时上报处理。6.3.7定期对重要系统服务器和相关业务数据进行备份，备份数据应一式两份，分别进行保存管理。6.3.8部署专用的网络审计设备记录网络访问日志，日志的最小保存期限不低于 60 天，且应保证无一天以上的中断。6.4账号管理6.4.1对网络管理员、安全审计员等不同用户建立不同的账号，并对资源管理权限进行划分，以便于审计。6.4.2网络账号、密码设计必须满足长度、复杂度要求，用户须定期更改密码以保障网络账户安全。6.4.3指定专人对服务器和网络设备的账号、密码进行统一登记，一式两份存档管理。管理员须严守职业道德和职业纪律，不得将任何账号、密码等信息泄露出去。6.5恶意代码管理6.5.1不得制造和传播任何计算机病毒。6.5.2网络服务器的病毒防治由网络管理员负责，网络管理员负责对各部门计算机的病毒防治工作进行指导和协助。6.5.3及时更新网络系统服务器病毒库，定期对服务器进行全盘扫描杀毒。6.5.4提高自身的恶意代码防范意识，在接收文件或邮件之前，必须先进行恶意代码检查。6.5.5已授权的外来计算机或存储设备在接入网络之前，必须对其进行恶意代码扫描。7安全监测系统技术规范7.1网络安全分析7.1.1对电子政务外网网络安全态势进行多维度分析，实现对电子政务外网的全面安全态势的掌握.DB23/T 2829-202177.1.2具备基于大数据分析能力，对关注度级别较高的安全事件进行独立模块化分析，如高危攻击、恶意文件、C&C 攻击、邮件威胁、暴力破解、拒绝服务、异常访问、高危漏洞等。7.1.3具备通过从内部威胁、外部威胁两个层面对网络安全威胁进行细化分析能力。7.2资产风险分析具备对电子政务外网中涉及到的资产发现、属性识别、资产弱口令、资产脆弱性等情况进行识别和分析。7.3溯源取证具备接口流量信息和黑客信息统计功能，掌握电子政务外网流量情况和外部威胁情况，为攻击事件溯源提供手段。7.4安全态势呈现具备对采集到的安全数据进行挖掘分析后的网络安全态势的综合展示能力，为电子政务外网安全管理提供辅助决策。7.5威胁情报具备对于电子政务外网中出现的恶意 IP、恶意文件、恶意域名等通过威胁情报进行一键查询功能。威胁情报功能的数据来源应支持包括各级平台共享情报、探针扫描检测数据、日志分析数据以及第三方威胁情报。8接口技术规范8.1数据采集接口8.1.1接口实现接口实现安全管理系统从安全对象采集日志数据、脆弱性数据、配置数据和状态数据信息。8.1.2数据采集方式要求数据采集应支持（但不限于）通过下述手段实现数据的主动或被动采集：a)SNMP Trap：应启动 SNMP Service 服务，使用统一的团体串在默认或自定义端口上监听，以获取安全设备发来的 SNMP Trap 信息。b)SYSLOG：应启动 SYSLOG 服务，使用默认或自定义端口监听，以获取安全设备发来的 SYSLOG 信息。c)文件：应具备网络文件、本地文件的定期或触发提取功能，获取其中的日志信息。d)数据库：应具备网络数据库、本地数据库的定期或触发提取功能，获取其中的日志信息。e)代理：对于特殊的、缺乏共性的信息存储方式，应支持通过编写代理程序方式获取其中的日志信息，代理程序应支持与目标数据部署在一起，也支持远程部署。8.1.3系统运行状态上报接口8.1.4上级安全管理系统需要对下级系统的上报接口实施周期检测，及时发现接口异常，减少上报数据的丢失。DB23/T 2829-202188.1.5下级安全管理系统周期性上报自己状态的心跳消息，上级系统根据是否能周期收到下级状态的心跳消息，来判断下级系统上报是否正常。8.1.6上报接口状态分为：a)1正常：上级系统收到下级系统的上报消息后，将下级的上报接口判断为正常；b)0离线：当上级系统在一个上报周期内未收到上报信息，则判断下级系统的上报接口离线，同时产生该下级安全管理系统上报接口离线告警。8.1.7上报频率为 10 分钟一次。8.2风险上报接口8.2.1下级安全管理系统需要向上级系统上报本级系统的安全域的风险值和风险等级。上报频率至少为 10 分钟一次。8.2.2风险的上报由上级安全管理系统进行请求。下级安全管理系统按照请求的内容进行风险的实时上报。8.2.3风险上报的内容包括：系统所属行政区编码，安全域名称，风险值，风险等级。9跨网数据交换技术要求9.1隔离性要求9.1.1数据库数据交换9.1.1.1单向数据传输采用单向光闸或网闸作为唯一连接通道，通过协议转换，以信息摆渡的方式实现单向数据交换，同时必须确保数据无反向传输。9.1.1.2双向数据传输采用网闸作为唯一连接通道，通过协议转换，以信息摆渡的方式实现双向数据交换。9.1.2文件数据交换9.1.2.1单向数据传输采用单向光闸或网闸作为唯一连接通道，通过协议转换，以信息摆渡的方式实现单向数据交换，同时必须确保数据无反向传输。9.1.2.2双向数据传输采用网闸作为唯一连接通道，通过协议转换，以信息摆渡的方式实现双向数据交换。9.1.3设备认证要求9.1.3.1应确保非法设备无法通过数据安全交换系统实现数据交换，交换对象应采用 IP 地址绑定、设备数字证书或 SNMP 等方式进行设备认证。9.1.3.2若采用设备数字证书认证方式，应支持政务外网数字证书。9.1.4访问控制要求9.1.4.1支持通过用户名口令、数字证书方式对系统管理员和操作员进行身份认证，认证支持政务外网数字证书，应通过政务外网现有认证体系进行认证，也可离线认证。9.1.4.2支持对系统管理员、系统安全员、系统审计员进行不同角色的授权管理。9.1.5安全管理与审计要求DB23/T 2829-202199.1.6支持实时监控跨网数据安全交换系统业务状态、通道运行状态。9.1.7支持通过图、表等方式展现跨网数据安全交换系统业务相关统计信息，并应按不同时间粒度和区间汇总。9.1.8支持对跨网数据安全交换系统的行为、安全事件和交换内容等进行审计。9.1.9支持对系统管理员、系统安全员、系统审计员管理行为进行审计。9.1.10支持安全事件报警功能。9.1.11支持配置文件、审计日志的备份功能，并提供备份数据的导入、导出、查询功能。9.1.12支持接收符合标准 SYSLOG 或 SNMP 接口规范的审计日志。9.1.13支持对审计数据保存大小上限进行动态设置。10接入单位局域网安全技术规范10.1单位局域网安全等级保护要求接入政务外网的局域网应依据等保2.0三级的要求进行建设。10.2边界安全要求10.2.1公共网络区接入边界安全要求公用网络区边界为接入单位局域网与本级政务外网城域网的接入边界，接入单位局域网应通过防火墙系统、入侵防御系统和安全审计系统等与政务外网进行逻辑隔离并对局域网进行安全防护。本项要求包括：a)访问控制：1)根据会话状态信息为数据流提供明确的允许/拒绝访问能力，控制粒度至少达到端口级；2)应对用户设置有限权限访问政务外网资源，并限制政务外网地址访问局域网；3)对外提供服务节点时，应设置公用网络业务 DMZ 区，对该区单独实施安全策略，允许公用网络区访问内部业务区，禁止内部业务区服务器向外访问。b)入侵防范：1)进行病毒过滤和入侵防御，并及时升级病毒和攻击特征库；2)对病毒和入侵攻击行为进行实时告警及阻断。c)安全审计：1)记录攻击源 IP、攻击类型、攻击目的 IP、攻击时间等关键信息；2)记录公用网络访问行为、网络地址转换日志等信息；3)审计信息应至少保存 6 个月。10.2.2互联网接入区接入边界安全要求利用政务外网互联网接入区接入的单位，应单独设置防火墙系统、入侵防御系统、安全审计系统等进行安全防护。接入单位部署IPSec VPN、SSL VPN等安全接入设备时，应符合 国家电子政务外网IPSecVPN安全接入技术要求与实施指南和国家电子政务外网安全接入平台技术规范要求。本项要求包括：a)访问控制：1)根据会话状态信息为数据流提供明确的允许或拒绝访问能力，控制粒度至少达到端口级；2)能够对互联网流量和最大连接数进行控制，控制粒度为终端用户级；DB23/T 2829-2021103)应对用户访问互联网进行流量控制和管理；4)对外提供服务节点时，应设置互联网 DMZ 区，对该区单独实施安全策略，允许互联网访问互联网 DMZ 区服务器，禁止互联网 DMZ 区服务器向外访问。b)入侵防范：1)应对攻击行为进行实时告警；2)应针对端口扫描、强力攻击、木马后门攻击、缓冲区溢出攻击、IP 碎片和网络蠕虫等攻击行为进行阻断；3)应提供针对文件型、混合型病毒过滤功能，并及时更新病毒特征库。c)安全审计1)记录攻击源 IP、攻击类型、攻击目的 IP、攻击时间等关键信息；2)记录互联网访问行为、网络地址转换 NAT 日志等信息；3)审计信息应至少保存 6 个月。10.2.3专用网络区接入边界安全要求专用网络区边界安全由接入单位按照该专用网络区的纵向电子政务外网主管单位要求进行防护。访问控制、入侵防范和安全审计等要求可参照公用网络区接入边界安全要求。_