电子政务外网安全接入平台技术规范DB36／T 979-2017.pdf

ICS 35.240.01 L 67 DB36 江西省地方标准 DB36/T 979 2017 电子政务 外网安全 接入平台 技术 规范 Technical specification for security access platform of outer E-government Network 2017-12-29 发布 2018-03-01 实施 江 西 省 质 量 技 术 监 督 局 发布 DB36/T 979 2017 I 目 次 前言.II 引言.III 1 范围.1 2 规 范性 引用 文件.1 3 术 语和 定义.1 4 平 台架 构.2 5 接 入原 则.3 6 接 入流 程.3 7 接 入访 问模 式.4 8 接 入终 端要 求.4 9 账 户管 理.4 10 故 障报 修.5 附录A（规 范性 附录）安全接 入平 台接 入申 请表.6 附录B（规 范性 附录）安全接 入平 台变 更申 请表.7 附录C（规 范性 附录）安全接 入平 台注 销申 请表.8 附录D（资 料性 附录）全省安 全接 入平 台用 户名 规则.9 参考文 献.10 DB36/T 979 2017 II 前 言 本标准 按照GB/T 1.1-2009 标 准化 工作 导则 第1 部分：标准 的结 构和 编写 的规 定编 写。本标准 由江 西省 发展 和改 革委员 会 提 出并 归口。本标准 起草 单位：江 西省 信息中 心。本标准 主要 起草 人：金俊 平、曹 成立、吁 元卿、胡 坚勇、赖敬 坤、梅洪、郑 自、占 晓华。DB36/T 979 2017 III 引 言 江西省 电子 政务 外网（简 称政务 外网）是 按照 中办 发 2002 17 号文 件和 2006 18 号文 件要 求建设的我 省 电 子政 务重 要公 共基础 设施，是 服务 于各 级党委、人 大、政府、政 协、法 院和 检察 院等 政 务 部门，满 足其 经济 调节、市 场监管、社 会管 理和 公共 服务等 方面 需要 的政 务公 用网络。政 务外 网支 持 跨 地区、跨 部门 的业 务应 用、信息共 享和 业务 协同，以 及不需 在政 务内 网上 运行 的业务。政 务外 网与互联网逻辑隔 离，目前 物理 专线 网络已 覆盖 省、市、县、乡四级。DB36/T 979 2017 1 电 子政务 外网安全 接入平 台 技术规范 1 范围 本 标准 规定 了安 全接 入平台 架构、接 入原 则、接 入流 程、接 入访 问模 式、接 入 终 端要求、账 户 管 理、故障报 修等 内容。本 标准 适用 于指 导各 级政 务部门 进行 安全 接入 平台 的 建设，规 范省、市 政务 外 网建设 运维 单位 运维管理安 全接 入平 台。2 规范性 引用 文件 下列文 件对 于本 文件 的应 用是必 不可 少的。凡 是注 日期的 引 用 文件，仅 所注 日期的 版本 适用 于本 文件。凡 是不 注日 期的 引用 文件，其最 新版 本（包括 所有的 修改 单）适用 于本 文件。GB/T 25069-2010 信息 安 全技术 术语 3 术语和 定义 GB/T 25069-2010 规 定的 及 下列 术 语和 定义 适用 于 本 文件。3.1 电子 政 务外 网 outer e-government network 电子 政 务外 网是 电子 政务 重要公 共基 础设 施，是服 务于各 级党 委、人大、政 府、政 协、法院 和检 察院等政 务部 门，满足 其经 济调节、市 场监 管、社会 管理和 公共 服务 等方 面需 要的政 务公 用网 络。3.2 统一认 证 uniform identity authentication 采用RADIUS、LDAP、AD 等 认证方 式实 现登 录用 户的 身份认 证，为 用户 身份 统 一认证 和权 限管 理提 供支撑。3.3 移动终 端管 理系 统 mobile device management（MDM）移动终 端管 理系 统为 移动 终端设 备提 供注 册、激活、使用、注销 各 个环 节的 远程管 理支 撑，实现 用户身份 与设 备的 绑定 管理、设备 安全 策略 配置 管理、设备 应用 数据 安全 管理 等功能。3.4 虚拟专 用拨 号网 virtual dial-up networks（VPDN）VPDN 是 电信 运营 商基 于拨 号用户 的虚 拟 专 用拨 号网 业务，利用L2TP、IP 网络 的 承载功 能结 合相 应的认证和 授权 机制 建立 起来 的虚拟 专用 网。3.5 DB36/T 979 2017 2 IPSec 虚拟 专用 网 IPSec virtual private network（IPSec VPN）IPSec VPN 是 指采 用IPSec 协议来 实现远 程接入 的一 种VPN技 术，用以提 供公用 和专用 网络的 端对 端加密和 验证 服务。3.6 安全套 接层 虚拟 专用 网 secure sockets layer virtual private network（SSL VPN）SSL VPN 是指 采用SSL 协议 来实现 远程接 入的一 种新 型VPN技 术，用以提 供公 用 和专用 网络的 端对 端加密和 验证 服务。3.7 数字认 证 certificate authority（CA）数字认 证是 指为 保证 网上 数字信 息的 传输 安全 而建 立的一 种信 任及 信任 验证 机制。它利 用证 书技 术实现各 类实 体在 网上 信息 交流及 政务、商 务活 动中 的身份 证明。通 常将 提供 数字认 证服 务的 机构 或 实 体称为数 字认 证中 心。3.8 简单网 络管 理协 议 simple network management protocol（SNMP）简单网 络管 理协 议是 专门 设计用 于在 IP 网络 管理 网络节 点（服务 器、工作 站、路 由器、交 换机 及HUBS 等）的 一种 标准 协议，它是 一种 应用 层协议。3.9 移动终 端应 用程 序 application（APP）移动终 端应 用程 序 主 要指 安装在 移动 终端 设备 上的 软件，完善 原始 系统 的不 足与个 性化。4 平台架 构 4.1 总则 全省电 子政 务外 网安 全接 入平台 是利 用Internet、VPDN 等 基础 网络，面向 不具 备专线 接入 条件 的 各级政务 部门、企事 业单 位 及已接 入政 务外 网单 位的 移动办 公人 员等，提供 安 全接入 到政 务外 网网 络、访问政务 外网 上业 务系 统的 服务平 台。全省 电子 政 务 外网安 全接 入平 台采 用省、市 两级 部署 模式，部 署 于政务外 网互 联网 接入 区与 政务外 网之 间，由省、市 政务外 网建 设运 维单 位负 责运维 管理。4.2 IP 地 址规 划 VPN接入 体系 的IP地 址主 要 涉及网 关地址 池及 设备管 理地址（不包 括互 联网接 入地址），应 遵循 统一规划 管理，各 级用 户单 位应严 格按 照地 址规 划要 求统一 分配 使用。4.3 功能区 划分 4.3.1 VPN 接入 区 实现用户由 外 到 内建 立 安全 隧 道，主要 包 括防 火 墙、VPN 网关、负 载均 衡 等 设备。VPN 网关 包括PC终端接 入网 关和 移动 终端 接入网 关，应支 持双 机热 备功能、支 持与 江西 省电 子政务 外网 多个 IP 地址复用的 MPLS VPN 业务 对接、必须 支持 双因 子认 证，并支持 混合 使用。DB36/T 979 2017 3 4.3.2 接入 认证 区 通过用 户名/密码+证 书双 因子认 证方 式实 现安 全接 入政务 外网 用户 的 合 法性 验证。主要 包括AD（活动目录）认 证服 务器、身 份认证 网关。4.3.3 接入 管理 区 实现安 全接 入 平 台所 有设 备 的管理、监控 和防 火墙、MDM、VPN 网 关的 日志 记录，主要包 括网 管软 件、审计设 备、日志 采集 服务 器、MDM 服 务器 等设 备。5 接入原 则 5.1 接入申 请范围 全省各 级党 政机 关、事业 单位、政府 直属 企业、中 央驻赣 单位、以 及法 律、法规授 权的 具有 管理 公共事务 职能 的组 织可 以申 请使用 全省 电子 政务 外网 安全接 入平 台。乡镇（街 办）、村（社区）单位 接 入电子政 务外 网安 全接 入平 台需向 区县 级电 子政 务外 网建设 和管 理单 位申 请。未 经允许 任何 单位 和个 人不得接入 电子 政务 外网 安全 接入平 台。5.2 接入受理 省、市、县 各级 政务 部门 经 同级电 子政 务外 网建 设和 管理单 位审 核同 意后 接入 电子政 务外 网安 全接入平台。5.3 接入区 域划 分 原则上 采取 属地 化接 入的 方式，省级 单位 和派 驻各 地 方的直 属机 构接 入省 级电 子政务 外网 安全 接入平台，各设 区市 及所 辖县（市、区）、乡 镇（街办）、村（社 区）政务 部门 接入市 级电 子政 务外 网 安 全接入平 台。6 接入流 程 6.1 接入申 请 1、用户 单位 向 省级 政务外 网建设 运维单 位提出 接入 申请，并填写 安全 接入平 台接入 申请表（详 见附录A）；2、省 级政 务外 网建 设运 维 单位 对 用户 单位 的接 入申 请进行 审核；3、对 符合 条件 的用 户单 位 开通安 全接 入平 台业 务，对不符 合条 件的 用户 单位 说明拒 接理 由。6.2 变更申 请 1、用户 单 位向 省级 政务 外 网建设 运维 单位 提出 变更 申请，并填 写安 全接 入平 台 变更 申请 表（详见附录B）；2、省 级政 务外 网建 设运 维 单位 对 用户 单位 的变 更申 请进行 审核；3、对 同意 的变 更申 请实 施 变更，对拒绝 的 变更 申请 说明理 由。6.3 注销申 请 DB36/T 979 2017 4 1、用 户单 位确 定不 再使 用 安全接 入平 台，应向 省级 政务外 网建 设运 维单 位 提 出注销 申请，并 填写安全接 入平 台注 销申 请表（详见 附 录 C）；2、省 级政 务外网 建设 运维 单位收到 注 销申 请 表 后，按操作 流程 注销 该用 户单 位 安全 接入 平台 业 务。7 接入访 问模 式 7.1 IPSec VPN 7.1.1 局域 网接 入 用户局 域网 使用IPSec VPN 接入用 户网 络，应采 用IPSec VPN 网关 对网 关部 署 模 式。网 关连 接后，局域网内 用户 则无 需拨 号即 可访问 政务 外网 资源。7.1.2 单机 接入 单机通 过IPSec VPN 接入 用 户网络，可 采用IPSec VPN 客户端 对网 关模 式。7.2 SSL VPN SSL VPN 接入 访问模 式下，用户可 以通过 浏览 器方式 接入访 问，也 可以 通过客 户端方 式接入 访问。使用浏 览器 接入 访问 方式 时，用户 直 接使 用浏 览器 与VPN 网关 建立SSL VPN 隧 道，继 而访 问政 务外 网 业 务资源；使用客 户端 接入访 问方式 时，用 户安 装专用 客户端，通过 客户 端建立SSL VPN 隧道，继而 访问 政务外网 业务 资源，采 用客 户端方 式可 以实 现开 机后 自动连 接VPN 网 关建 立SSL VPN 隧 道。8 接入终 端要 求 8.1 PC 终端 PC终端 须安 装个 人 防 火墙、防病 毒软 件 等，定 期对 终端进 行安全 扫 描。8.2 移动终 端 移动终 端必须 支持VPN协议，当前 操作 系 统 支持 安卓4.0 以上，不 得进 行ROOT(超 级用户)破 解。9 账户管理 9.1 账户管理 9.1.1 管理 方式 用户账 户采 用分 级管 理的 方式，最终 的管 理主 体为 使用安 全接 入平 台的 各政 务部门。省 级政 务外 网建设运 维单 位 为 省直 部门 分配一 个AD 服务 器委 派控 制管理 账户，各 省直 部门 使 用此账 户 自 行管 理本 单位用户账 户 的 创建、修 改、删除等。市 级信 息中 心给 市级、县级、乡 镇、村（社区）单位 委派 控制 管 理 账户，进 行本 单位 用户 账户 的创建、修 改、删除 等管 理。9.1.2 账户 类型 DB36/T 979 2017 5 政务外 网上 部署 了两 类业 务，一 是采 用MPLS VPN 技 术 构建的 纵向 业务 网，二是 跨部门 访问 的公 共区业务，两类 业务 逻辑 隔离，根据 各单 位业 务需 求，分配相 应账 户。两类 需求 均有的 单位，则 需分 配 两 个账户，以保 障业 务的 安全 性。9.1.3 账户 命名 规范 用户账 户采 用格 式化 方式 规划，并做 到账 户能 标识 该 账户 所 属的 单位、哪 级的 单 位及访 问业 务类 型。账户分 配，同一 账户 既可 用 于PC设 备登 录也 可用 于移 动设备 登录，账 户 口 令由 用 户单位 对用 户统 一设 置，用户可 在后 期使 用中 对口 令更改。详 细命 名 规 则见 附录B。9.1.4 账户 使用 用户账 户只 能账 户所 属人 一人使 用，不可 将账 户 借 与他人 使用。9.1.5 账户 注销 若用户 账户 不再 使用，需 由本单 位账 户 管 理人 员立 即注销。9.2 CA 证 书申 请 单位机 构（包括 企业、事 业单位、行 政机 关）接入 安全接 入平 台所 需数 字证 书自行 向 经 国家 密码 管理局、工业 和信 息化 部批 准的 江 西省 电子 认证 服务 机构 申 请。10 故障报 修 10.1 访问平 台故 障 1)若故障 原因 为终 端访 问互 联网故 障，用户 应自 行解 决。2)若个别 终端 不能 访问 安全 接入平 台，则用 户需 联系 本单位 网络 管理 员处 理。若 所有 用户 都不 能访问安 全接 入平 台，则由 本单位 网络 管理 员负 责联 系本级 信息 中心，确 认安 全接入 平台 是否 存在故障。10.2 访问业 务系 统故 障 1)若 个别 用户 终端 能登 陆平台 而不 能访 问业 务 服 务器，则用 户需 联系 本单 位 网络管 理员 查找 终端故障原 因。2)若本单 位所 有用 户终 端能 登陆平 台而 不能 访问 业务 服务器，则 用户 需联 系本 单位网 络管 理员，由网络 管理 员负 责与 业务 系统维 护人 员联 系，确认 故障原 因。DB36/T 979 2017 6 A A 附 录 A（规范 性附 录）安全接 入平 台接 入申 请表 单位名 称（盖章）业务需 求说 明 终端数 量 终端范 围 PC 移动终端 二者都 有 业务应 用服 务器 是否 需要 使用CA 认证 是 否 联系人 联系电 话 预计开 通日 期 业务系 统 已建设 服务器IP地址 未建设 DB36/T 979 2017 7 B B 附 录 B（规范 性附 录）安全接 入平 台变 更申 请表 单位名称（盖章）新增账户 访问资源变更 联系人 联系电话 DB36/T 979 2017 8 C C 附 录 C（规范 性附 录）安全接 入平 台注 销申 请表 单位名称（盖章）注销情况说明 联系人 联系电话 DB36/T 979 2017 9 D D 附 录 D（资料 性附 录）全省安 全接 入平 台用 户名 规则 规划目 的:在全 省政 务外网 上，部 署了大 量厅局MPLS VPN 业务，很 多不同 的MPLS VPN 业 务使用 相同的IP地 址。全 省安 全接入 平台建 成后，不同 厅局用 户有访 问各自VPN业 务和 公 共区业 务的需 求，为满足这一需 求，安 全接 入平 台 规划根 据源 地址 做策 略路 由，而源 地址 的分 配根 据 用户名 而定，因此 需对 用 户名进行 规划，使 其具 有一 定的规 则，便于 用户 的区 分、访 问业 务的 区分 和IP 地址的 分配。用户名 规划:规划用 户名是 为了区 分不同 地区、不同 单位用 户、不 同访 问需求，因此 用户名 中至 少需包含 地区 字段、单 位字 段、访 问业 务字 段和 用户 标识字 段。用户名 格式：地 区字 段_ 单 位字段_用 户标 识字 段。地区字 段：使用 地区 拼音 的首字 母，如九 江使 用jjs 表示。单位字 段：使用 单位 简称 首字母，如 统计 局使 用tjj 表示，二级 单位 使用 一级 单位简 称+dw 标 识，如统计局 下属 单 位 统一 使用tjjdw 表 示。访问业 务字 段：在用 户名 最前面 加v 标识MPLS VPN 业 务。用户标 识字 段：用户 自己 定义。示例：省审计 厅VPN 业 务用 户：vsj_sjt_yonghu1。省发改 委互 联互 通业 务用 户:sj_fgw_yonghu。南昌市 卫计 委公 共业 务用 户：ncs_wjw_yonghu2。九江市 统计 公共 业务 用户：jjs_tjj_yonghu3。DB36/T 979 2017 10 参 考 文 献 1GM/T 0022-2014 IPSec VPN 技 术规 范 2GM/T 0023-2014 IPSec VPN 网 关产 品规 范 3GM/T 0024-2014 SSL VPN 技术 规范 4GM/T 0025-2014 SSL VPN 网关 产品 规范 5 国 家电 子政 务外 网IPSec VPN 安全 接入 技术 要 求与实 施指 南（政 务外 网201111 号）6 国 家电 子政 务外 网 安全等 级保 护基 本要 求（政务 外网201115 号）7GW0202-2014 国家 电子政 务外 网安 全接 入平 台技术 规范 _