ICS35.040

L80

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/TXXXXX.1—XXXX

信息安全技術(shù)政府部門(mén)互聯(lián)網(wǎng)安全接入要

求第1部分：基本要求

InformationsecuritytechnologyRequirementsforgovernmentdepartmentsecure

Internetconnection—Part1:Generalrequirements

（草案）

（本稿完成日期：2014-4-30）

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

GB/TXXXXX.1—XXXX

目次

前言.................................................................錯(cuò)誤！未定義書(shū)簽。

引言.................................................................................II

信息安全技術(shù)政府部門(mén)互聯(lián)網(wǎng)安全接入要求第1部分：基本要求............................1

1范圍................................................................................1

2規(guī)范性引用文件......................................................................1

3術(shù)語(yǔ)、定義和縮略語(yǔ)..................................................................1

3.1術(shù)語(yǔ)和定義......................................................................1

3.2縮略語(yǔ)..........................................................................2

4互聯(lián)網(wǎng)安全接入模型..................................................................3

4.1組成與功能......................................................................3

4.2角色與職責(zé)......................................................................5

4.3安全接入形式....................................................................5

5安全接入口要求......................................................................6

5.1安全接入口的設(shè)立................................................................6

5.2流量匯聚........................................................................6

5.3安全管理與防護(hù)..................................................................7

5.4網(wǎng)絡(luò)接入.......................................................................10

5.5聯(lián)動(dòng)代理.......................................................................11

I

GB/TXXXXX.1—XXXX

引言

隨著現(xiàn)代信息技術(shù)的快速發(fā)展，互聯(lián)網(wǎng)在政府各部門(mén)得到了廣泛應(yīng)用，對(duì)于政府部門(mén)履行社會(huì)管理

和公共服務(wù)職能，加強(qiáng)政府有效管理，促進(jìn)政府職能轉(zhuǎn)變，提高行政辦事效率和管理水平，推動(dòng)政務(wù)公

開(kāi)發(fā)揮重要作用。與此同時(shí)，目前政府部門(mén)互聯(lián)網(wǎng)安全管理還存在薄弱環(huán)節(jié)，管理制度尚不完善，缺乏

統(tǒng)一的規(guī)劃和標(biāo)準(zhǔn)，各部門(mén)接入互聯(lián)網(wǎng)的入口數(shù)量眾多,安全防護(hù)水平參差不齊,互聯(lián)網(wǎng)接入成為信息安

全管理中的薄弱環(huán)節(jié)和“短板”，使政府部門(mén)信息安全面臨新的威脅和風(fēng)險(xiǎn)。因此，迫切需要規(guī)范政府

部門(mén)互聯(lián)網(wǎng)接入工作，減少互聯(lián)網(wǎng)入口數(shù)量，增強(qiáng)互聯(lián)網(wǎng)接入的安全防護(hù)能力，提高政府部門(mén)信息系統(tǒng)

的防攻擊、防篡改、防惡意代碼、防癱瘓和防竊密能力。

為推進(jìn)政府部門(mén)互聯(lián)網(wǎng)安全接入工作，特制定本要求,用于指導(dǎo)政府部門(mén)建設(shè)互聯(lián)網(wǎng)安全接入口，

選擇合適的第三方服務(wù)商，并實(shí)現(xiàn)政府部門(mén)和政府信息安全主管部門(mén)的安全管理與防護(hù)的聯(lián)動(dòng)。

II

GB/TXXXXX.1—XXXX

信息安全技術(shù)政府部門(mén)互聯(lián)網(wǎng)安全接入要求第1部分：基本要求

1范圍

GB/TXXXXX的第1部分規(guī)定了政府部門(mén)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的安全接入模型，并規(guī)定了政府部門(mén)接入互

聯(lián)網(wǎng)的安全接入口要求。

本部分適用于政府部門(mén)建設(shè)安全接入口和互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)提供商建設(shè)安全接入口的技術(shù)指導(dǎo)。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)

GB/TXXXXX.2-XXXX信息安全技術(shù)政府部門(mén)互聯(lián)網(wǎng)安全接入要求第2部分：第三方服務(wù)商選擇要求

GB/TXXXXX.3-XXXX信息安全技術(shù)政府部門(mén)互聯(lián)網(wǎng)安全接入要求第3部分：網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)接口

技術(shù)規(guī)范

3術(shù)語(yǔ)、定義和縮略語(yǔ)

3.1術(shù)語(yǔ)和定義

GB/T25069-2010中界定的術(shù)語(yǔ)和定義適用于本文件。

3.1.1

政府部門(mén)聯(lián)網(wǎng)終端（聯(lián)網(wǎng)終端）governmentdepartmentInternetterminal

政府部門(mén)內(nèi)部可以訪問(wèn)互聯(lián)網(wǎng)的計(jì)算機(jī)等設(shè)備。

3.1.2

政府部門(mén)聯(lián)網(wǎng)信息系統(tǒng)（聯(lián)網(wǎng)信息系統(tǒng)）governmentdepartmentInternetinformationsystem

政府部門(mén)接入互聯(lián)網(wǎng)并且提供政務(wù)業(yè)務(wù)服務(wù)的應(yīng)用系統(tǒng)。

3.1.3

互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)提供商Internetdatacenterserviceprovider

利用相應(yīng)的機(jī)房設(shè)施，以外包出租的方式為政府部門(mén)聯(lián)網(wǎng)信息系統(tǒng)提供放置、代理維護(hù)、系統(tǒng)配置

及管理服務(wù)，以及提供數(shù)據(jù)庫(kù)系統(tǒng)或服務(wù)器等設(shè)備的出租及其存儲(chǔ)空間的出租，通信線路和出口帶寬的

代理租用和其他應(yīng)用服務(wù)的業(yè)務(wù)運(yùn)營(yíng)者。

3.1.4

互聯(lián)網(wǎng)服務(wù)提供商Internetserviceprovider

1

GB/TXXXXX.1—XXXX

利用接入服務(wù)器和相應(yīng)的軟硬件資源建立業(yè)務(wù)節(jié)點(diǎn)，并利用公共電信基礎(chǔ)設(shè)施將業(yè)務(wù)節(jié)點(diǎn)與互聯(lián)網(wǎng)

骨干網(wǎng)相連接，為政府部門(mén)網(wǎng)絡(luò)提供接入互聯(lián)網(wǎng)服務(wù)的業(yè)務(wù)運(yùn)營(yíng)者。

3.1.5

政府部門(mén)網(wǎng)絡(luò)governmentdepartmentnetwork

政府部門(mén)的全部聯(lián)網(wǎng)終端、本地建設(shè)的聯(lián)網(wǎng)信息系統(tǒng)、托管在互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)提供商的聯(lián)網(wǎng)信

息系統(tǒng)以及相關(guān)網(wǎng)絡(luò)設(shè)施，可以由分布在不同物理區(qū)域的部分網(wǎng)絡(luò)組成。

3.1.6

互聯(lián)網(wǎng)安全接入secureInternetconnection

政府部門(mén)網(wǎng)絡(luò)在采用通信線路接入互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)時(shí)，滿足規(guī)定的安全技術(shù)要求，具備對(duì)互

聯(lián)網(wǎng)接入的安全防控和管理能力。

3.1.7

互聯(lián)網(wǎng)安全接入口（安全接入口）secureInternetconnectionportal

政府部門(mén)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的連接系統(tǒng)，具有流量匯聚、安全管理與防護(hù)、網(wǎng)絡(luò)接入及聯(lián)動(dòng)代理等功

能。政府部門(mén)網(wǎng)絡(luò)必須通過(guò)安全接入口接入互聯(lián)網(wǎng)。

3.1.8

政府部門(mén)互聯(lián)網(wǎng)接入鏈路（互聯(lián)網(wǎng)接入鏈路）governmentdepartmentInternetconnectionlink

從安全接入口到互聯(lián)網(wǎng)的物理鏈路。

3.1.9

網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)系統(tǒng)cybersecuritymonitoringandservingsystem

政府網(wǎng)絡(luò)信息安全主管部門(mén)所運(yùn)行管理的，為接入互聯(lián)網(wǎng)的政府部門(mén)網(wǎng)絡(luò)提供網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)的

系統(tǒng)。

3.1.10

聯(lián)動(dòng)代理linkageagent

與網(wǎng)絡(luò)監(jiān)測(cè)服務(wù)系統(tǒng)聯(lián)動(dòng)對(duì)接的安全接入口數(shù)據(jù)通信代理設(shè)施，負(fù)責(zé)安全接入口的相關(guān)設(shè)備（包含

安全防護(hù)、安全管理、日志服務(wù)器等設(shè)備）與網(wǎng)絡(luò)監(jiān)測(cè)服務(wù)系統(tǒng)之間的聯(lián)動(dòng)數(shù)據(jù)交換。

3.1.11

網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)接口cybersecuritymonitoringandservinginterface

安全接入口聯(lián)動(dòng)代理與網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)系統(tǒng)之間的接口。

3.2縮略語(yǔ)

ARP地址解析協(xié)議（AddressResolutionProtocol）

CMSI網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)接口（CybersecurityMonitoring&ServingInterface）

CMSS網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)系統(tǒng)（CybersecurityMonitoring&ServingSystem）

DDN數(shù)字?jǐn)?shù)據(jù)網(wǎng)（DigitalDataNetwork）

DNS域名系統(tǒng)（DomainNameSystem）

2

GB/TXXXXX.1—XXXX

DoS拒絕服務(wù)（DenialofService）

FTP文件傳輸協(xié)議（FileTransferProtocol）

HTTP超文本傳送協(xié)議（HypertextTransferProtocol）

IMAP交互式郵件存取協(xié)議（InternetMailAccessProtocol）

IP互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

IPv4互聯(lián)網(wǎng)協(xié)議第4版（InternetProtocolversion4）

ISP互聯(lián)網(wǎng)服務(wù)提供商（InternetServiceProvider）

LA聯(lián)動(dòng)代理（InteractLinkageAgent）

MAC媒體訪問(wèn)控制（MediaAccessControl）

MD5消息摘要算法第5版（Message-DigestAlgorithm5）

NAT網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）

NTP網(wǎng)絡(luò)時(shí)間協(xié)議（NetworkTimeProtocol）

POP3郵局協(xié)議第3版（PostOfficeProtocol3）

QoS服務(wù)質(zhì)量（QualityofService）

SICP互聯(lián)網(wǎng)安全接入口（SecureInternetConnectionPortal）

SMTP簡(jiǎn)單郵件傳送協(xié)議（SimpleMailTransferProtocol）

URL統(tǒng)一資源定位器（UniformResourceLocator）

VPN虛擬專(zhuān)用網(wǎng)絡(luò)（VirtualPrivateNetwork）

4互聯(lián)網(wǎng)安全接入模型

4.1組成與功能

互聯(lián)網(wǎng)安全接入模型規(guī)定了政府部門(mén)網(wǎng)絡(luò)安全接入互聯(lián)網(wǎng)時(shí)各相關(guān)部門(mén)及其系統(tǒng)的相互關(guān)系，它應(yīng)

由政府部門(mén)網(wǎng)絡(luò)、安全接入口、網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)系統(tǒng)、互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)和互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)

提供商網(wǎng)絡(luò)等相關(guān)部分構(gòu)成，見(jiàn)圖1。

3

GB/TXXXXX.1—XXXX

圖1互聯(lián)網(wǎng)安全接入模型

4.1.1政府部門(mén)網(wǎng)絡(luò)

政府部門(mén)網(wǎng)絡(luò)可以分布在不同物理區(qū)域，如圖1中的物理區(qū)域1、物理區(qū)域2和物理區(qū)域3。聯(lián)網(wǎng)信息

系統(tǒng)可在本地建設(shè)，也可托管于互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)提供商，如托管聯(lián)網(wǎng)信息系統(tǒng)1和托管聯(lián)網(wǎng)信息系

統(tǒng)2。

4.1.2安全接入口

安全接入口應(yīng)具備流量匯聚、安全管理與防護(hù)、網(wǎng)絡(luò)接入和聯(lián)動(dòng)代理等四個(gè)功能：

a)流量匯聚功能應(yīng)將政府部門(mén)網(wǎng)絡(luò)中所有訪問(wèn)互聯(lián)網(wǎng)的網(wǎng)絡(luò)流量進(jìn)行匯聚，實(shí)施統(tǒng)一的安全管

理。流量匯聚應(yīng)實(shí)現(xiàn)對(duì)政府部門(mén)網(wǎng)絡(luò)的線路整合、流量歸并與數(shù)據(jù)傳輸。如果政府部門(mén)網(wǎng)絡(luò)有

多個(gè)出口接入互聯(lián)網(wǎng)，在接入互聯(lián)網(wǎng)之前應(yīng)進(jìn)行流量匯聚。

4

GB/TXXXXX.1—XXXX

b)安全管理與防護(hù)功能應(yīng)包括流量分析、訪問(wèn)控制、入侵檢測(cè)與防御、接入行為監(jiān)控、惡意代碼

防護(hù)、漏洞掃描、補(bǔ)丁升級(jí)和設(shè)備防護(hù)等功能，并通過(guò)收集網(wǎng)絡(luò)安全事件和數(shù)據(jù)，實(shí)現(xiàn)權(quán)限管

理、威脅預(yù)警、事件處置、日志留存、安全審計(jì)和設(shè)備管理等功能。

c)網(wǎng)絡(luò)接入功能可通過(guò)交換、路由和負(fù)載均衡等設(shè)備，經(jīng)互聯(lián)網(wǎng)接入鏈路實(shí)現(xiàn)與互聯(lián)網(wǎng)服務(wù)提供

商網(wǎng)絡(luò)的物理連接。對(duì)于互聯(lián)網(wǎng)服務(wù)提供商的選擇要求見(jiàn)GB/TXXXXX.2—XXXX。

d)聯(lián)動(dòng)代理功能應(yīng)實(shí)現(xiàn)安全接入口與網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)系統(tǒng)的聯(lián)動(dòng)對(duì)接，包括安全接入口的安全

防護(hù)、安全管理設(shè)備與網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)系統(tǒng)之間的聯(lián)動(dòng)數(shù)據(jù)交換。

安全接入口應(yīng)首先將政府部門(mén)網(wǎng)絡(luò)的網(wǎng)絡(luò)流量進(jìn)行匯聚，然后對(duì)流量進(jìn)行分析，并實(shí)現(xiàn)安全管理與

防護(hù)功能，最后通過(guò)互聯(lián)網(wǎng)服務(wù)提供商實(shí)現(xiàn)網(wǎng)絡(luò)接入，在實(shí)現(xiàn)安全管理與防護(hù)功能的過(guò)程中，可通過(guò)聯(lián)

動(dòng)代理與網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)系統(tǒng)進(jìn)行數(shù)據(jù)交換和協(xié)同工作。

4.1.3網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)系統(tǒng)

網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)系統(tǒng)應(yīng)通過(guò)CMSI接口與各安全接入口的聯(lián)動(dòng)代理連接，提供終端狀態(tài)信息匯總、

網(wǎng)絡(luò)攻擊特征下發(fā)、網(wǎng)絡(luò)安全事件下發(fā)、網(wǎng)絡(luò)安全態(tài)勢(shì)預(yù)警信息下發(fā)、網(wǎng)絡(luò)安全自主監(jiān)測(cè)事件上報(bào)、終

端惡意代碼特征下發(fā)及查詢、網(wǎng)絡(luò)安全事件NAT日志查詢等功能。聯(lián)動(dòng)代理與網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)系統(tǒng)的

接口流程見(jiàn)GB/TXXXXX.3—XXXX。

4.1.4互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)和互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)提供商網(wǎng)絡(luò)

互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)是互聯(lián)網(wǎng)服務(wù)提供商利用自身的接入服務(wù)器和相應(yīng)的軟硬件資源建立的業(yè)

務(wù)節(jié)點(diǎn)網(wǎng)絡(luò)，并與互聯(lián)網(wǎng)骨干網(wǎng)相連，為政府部門(mén)網(wǎng)絡(luò)提供互聯(lián)網(wǎng)接入服務(wù)?；ヂ?lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)提供

商網(wǎng)絡(luò)是為政府部門(mén)網(wǎng)絡(luò)中托管的聯(lián)網(wǎng)信息系統(tǒng)提供空間托管、主機(jī)托管等服務(wù)的互聯(lián)網(wǎng)數(shù)據(jù)中心的網(wǎng)

絡(luò)，該網(wǎng)絡(luò)通過(guò)安全接入口連接到互聯(lián)網(wǎng)服務(wù)提供商網(wǎng)絡(luò)，最終接入互聯(lián)網(wǎng)。

對(duì)于互聯(lián)網(wǎng)服務(wù)提供商和互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)提供商的選擇要求在GB/TXXXXX.2—XXXX提出。

4.2角色與職責(zé)

本模型中共涉及四種角色：政府部門(mén)、政府網(wǎng)絡(luò)信息安全主管部門(mén)、互聯(lián)網(wǎng)服務(wù)提供商和互聯(lián)網(wǎng)數(shù)

據(jù)中心業(yè)務(wù)提供商。政府部門(mén)應(yīng)根據(jù)自身網(wǎng)絡(luò)情況，建設(shè)政府部門(mén)網(wǎng)絡(luò)接入互聯(lián)網(wǎng)的安全接入口，如圖

1中的安全接入口1；政府網(wǎng)絡(luò)信息安全主管部門(mén)負(fù)責(zé)建設(shè)網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)系統(tǒng)，通過(guò)安全接入口的聯(lián)

動(dòng)代理與政府部門(mén)進(jìn)行聯(lián)動(dòng)；互聯(lián)網(wǎng)服務(wù)提供商應(yīng)為政府部門(mén)網(wǎng)絡(luò)提供互聯(lián)網(wǎng)接入服務(wù)；互聯(lián)網(wǎng)數(shù)據(jù)中

心業(yè)務(wù)提供商應(yīng)為政府部門(mén)的托管聯(lián)網(wǎng)信息系統(tǒng)提供托管服務(wù)，并應(yīng)建設(shè)用于托管聯(lián)網(wǎng)信息系統(tǒng)接入互

聯(lián)網(wǎng)的安全接入口，如圖1中的安全接入口2。

4.3安全接入形式

針對(duì)政府部門(mén)網(wǎng)絡(luò)的不同形式，通過(guò)安全接入口實(shí)現(xiàn)安全接入的方式應(yīng)有三種：

e)對(duì)于聯(lián)網(wǎng)終端和聯(lián)網(wǎng)信息系統(tǒng)都在本地建設(shè)的政府部門(mén)網(wǎng)絡(luò)（如圖1的物理區(qū)域1），其接入

方式應(yīng)為：聯(lián)網(wǎng)終端和聯(lián)網(wǎng)信息系統(tǒng)通過(guò)政府部門(mén)自行建設(shè)的安全接入口（如圖1的安全接入

口1）連接到互聯(lián)網(wǎng)；

f)對(duì)于部分聯(lián)網(wǎng)信息系統(tǒng)托管于互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)提供商網(wǎng)絡(luò)的政府部門(mén)網(wǎng)絡(luò)（如圖1的物理

區(qū)域2和托管聯(lián)網(wǎng)信息系統(tǒng)2），如果托管的聯(lián)網(wǎng)信息系統(tǒng)直接通過(guò)互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)提供

商網(wǎng)絡(luò)連入互聯(lián)網(wǎng)，則接入方式應(yīng)為：將該聯(lián)網(wǎng)信息系統(tǒng)通過(guò)互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)提供商建設(shè)

的安全接入口（如圖1的安全接入口2）接入互聯(lián)網(wǎng)。

g)對(duì)于部分聯(lián)網(wǎng)信息系統(tǒng)托管于互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)提供商網(wǎng)絡(luò)的政府部門(mén)網(wǎng)絡(luò)（如圖1的物理

區(qū)域3和托管聯(lián)網(wǎng)信息系統(tǒng)1），如果托管的聯(lián)網(wǎng)信息系統(tǒng)并不直接從互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)提

5

GB/TXXXXX.1—XXXX

供商網(wǎng)絡(luò)連入互聯(lián)網(wǎng)，則接入方式應(yīng)為：先將該聯(lián)網(wǎng)信息系統(tǒng)通過(guò)專(zhuān)線接入本地的政府部門(mén)網(wǎng)

絡(luò)，再通過(guò)政府部門(mén)自行建設(shè)的安全接入口（如圖1的安全接入口1）連接到互聯(lián)網(wǎng)；

5安全接入口要求

5.1安全接入口的設(shè)立

本項(xiàng)要求包括：

a)政府部門(mén)網(wǎng)絡(luò)應(yīng)通過(guò)安全接入口接入互聯(lián)網(wǎng)。

b)安全接入口的相關(guān)設(shè)備應(yīng)放置在機(jī)房的獨(dú)立區(qū)域，不得與其他單位或組織共用接入設(shè)備。

c)安全接入口的總數(shù)應(yīng)限制在2個(gè)以內(nèi)（含2個(gè)），托管信息系統(tǒng)的安全接入口不計(jì)入在內(nèi)。

5.2流量匯聚

本項(xiàng)要求包括：

a)應(yīng)對(duì)政府部門(mén)網(wǎng)絡(luò)的各物理區(qū)域的互聯(lián)網(wǎng)流量進(jìn)行匯聚，根據(jù)政府部門(mén)網(wǎng)絡(luò)的分布情況不同，

可分別采用專(zhuān)線或VPN方式進(jìn)行流量匯聚。

b)物理區(qū)域集中的情況。對(duì)于物理區(qū)域位于同一樓宇或同一園區(qū)內(nèi)的政府部門(mén)網(wǎng)絡(luò)，可直接設(shè)立

1－2個(gè)安全接入口，見(jiàn)圖2。

圖2集中辦公匯聚方案

c)物理區(qū)域分散的情況。對(duì)于物理區(qū)域位于不同地理位置的政府部門(mén)網(wǎng)絡(luò)，可使用以下兩種方案

實(shí)現(xiàn)網(wǎng)絡(luò)匯聚，再統(tǒng)一設(shè)置1－2個(gè)安全接入口：

1)專(zhuān)線接入模式：通過(guò)DDN、幀中繼、以太網(wǎng)、光纖直連等專(zhuān)線方式進(jìn)行匯聚，應(yīng)通過(guò)訪問(wèn)

控制措施阻斷除匯聚流量之外的其他所有通信協(xié)議流量，見(jiàn)圖3。如采用租用互聯(lián)網(wǎng)服務(wù)

提供商的專(zhuān)線進(jìn)行流量匯聚，必須選擇符合本要求第2部分要求的互聯(lián)網(wǎng)服務(wù)提供商。

圖3專(zhuān)線接入方案

2)VPN接入模式：通過(guò)VPN方式進(jìn)行匯聚，見(jiàn)圖4。采用VPN方式進(jìn)行流量匯聚時(shí)，應(yīng)通過(guò)

訪問(wèn)控制措施阻斷除VPN流量之外的所有其他通信協(xié)議流量，并選擇符合國(guó)家密碼主管部

門(mén)要求的商用密碼產(chǎn)品進(jìn)行VPN組網(wǎng)。

6

GB/TXXXXX.1—XXXX

圖4VPN接入方案

5.3安全管理與防護(hù)

5.3.1流量分析

本項(xiàng)要求包括：

a)應(yīng)能實(shí)時(shí)監(jiān)測(cè)和分析信息系統(tǒng)的網(wǎng)絡(luò)流量，發(fā)現(xiàn)流量異常事件，包括：1）流量激增、驟降、

波動(dòng)；2）惡意掃描、拒絕服務(wù)攻擊；3）與惡意服務(wù)器有可疑連接等。

b)應(yīng)監(jiān)控安全接入口總流量、每個(gè)IP流量。

c)應(yīng)能夠通過(guò)IP地址、網(wǎng)絡(luò)服務(wù)、應(yīng)用類(lèi)型、時(shí)間和協(xié)議類(lèi)型等參數(shù)或其組合進(jìn)行流量統(tǒng)計(jì)分

析。

d)應(yīng)能支持90d內(nèi)歷史流量詳細(xì)記錄(包括但不限于源地址、目標(biāo)地址、源端口、目標(biāo)端口、協(xié)

議類(lèi)型、時(shí)間)回溯。

5.3.2訪問(wèn)控制

本項(xiàng)要求包括：

a)應(yīng)實(shí)現(xiàn)互聯(lián)網(wǎng)與政府部門(mén)網(wǎng)絡(luò)之間的訪問(wèn)控制，采取技術(shù)手段控制網(wǎng)絡(luò)訪問(wèn)權(quán)限。

b)應(yīng)能根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力。

c)應(yīng)在會(huì)話處于非活躍狀態(tài)一定時(shí)間后或會(huì)話結(jié)束后終止網(wǎng)絡(luò)連接。

d)應(yīng)能根據(jù)用戶標(biāo)識(shí)為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)的能力。

e)應(yīng)能實(shí)時(shí)查看政府部門(mén)用戶互聯(lián)網(wǎng)訪問(wèn)行為的詳細(xì)信息，包括在線流量、最新速率、網(wǎng)絡(luò)會(huì)話

信息會(huì)話數(shù)、上線時(shí)間等信息。

f)應(yīng)具備限制互聯(lián)網(wǎng)各類(lèi)應(yīng)用最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)的能力。

g)應(yīng)能對(duì)主流應(yīng)用協(xié)議進(jìn)行識(shí)別，包括但不限于HTTP、FTP、TELNET等，并可根據(jù)應(yīng)用類(lèi)型和應(yīng)

用內(nèi)容進(jìn)行細(xì)粒度控制。

h)應(yīng)按最小安全訪問(wèn)原則設(shè)置網(wǎng)絡(luò)設(shè)備的訪問(wèn)控制權(quán)限。

5.3.3入侵檢測(cè)與防御

本項(xiàng)要求包括：

a)應(yīng)采用入侵檢測(cè)/入侵防御技術(shù)實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)攻擊行為的檢測(cè)和阻斷。

b)應(yīng)制訂合理的入侵檢測(cè)/入侵防御安全策略，并定期（每月不能少于一次）進(jìn)行安全事件分析

和安全策略配置優(yōu)化。

c)應(yīng)對(duì)流經(jīng)安全接入口的數(shù)據(jù)包進(jìn)行監(jiān)測(cè)并分析，發(fā)現(xiàn)并記錄違反安全策略行為和攻擊行為，包

括但不限于：端口掃描、強(qiáng)力攻擊、木馬后門(mén)攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎

片攻擊、ARP攻擊、WEB攻擊等。

d)應(yīng)能防范來(lái)自互聯(lián)網(wǎng)的DoS/DDoS攻擊，可參考的加固措施包括但不限于：與電信運(yùn)營(yíng)商簽署

DoS/DDoS防護(hù)協(xié)議，使用DoS/DDoS防護(hù)設(shè)備等。

7

GB/TXXXXX.1—XXXX

e)應(yīng)能在入侵發(fā)生時(shí)進(jìn)行自動(dòng)防御或提供告警信息，告警信息內(nèi)容包括但不限于：攻擊源IP、

攻擊類(lèi)型、攻擊目標(biāo)和攻擊時(shí)間。

f)應(yīng)及時(shí)更新檢測(cè)規(guī)則，以快速應(yīng)對(duì)新型網(wǎng)絡(luò)攻擊和零日攻擊，更新周期不得長(zhǎng)于7d。

g)入侵檢測(cè)與防御系統(tǒng)本身應(yīng)具有抗攻擊能力。

5.3.4接入行為監(jiān)控

本項(xiàng)要求包括：

a)應(yīng)能夠?qū)β?lián)網(wǎng)終端的接入互聯(lián)網(wǎng)行為進(jìn)行監(jiān)控和審計(jì)。

b)應(yīng)能夠及時(shí)發(fā)現(xiàn)、準(zhǔn)確定位和有效阻斷聯(lián)網(wǎng)終端未經(jīng)準(zhǔn)許不通過(guò)安全接入口聯(lián)到互聯(lián)網(wǎng)的行

為。

c)應(yīng)禁止外部終端通過(guò)安全接入口連接政府部門(mén)內(nèi)部網(wǎng)絡(luò)。如果政府部門(mén)有面向互聯(lián)網(wǎng)提供公共

服務(wù)的信息系統(tǒng)，應(yīng)采用符合本部分要求的訪問(wèn)控制機(jī)制與內(nèi)部網(wǎng)絡(luò)進(jìn)行有效隔離。

d)應(yīng)能夠通過(guò)物理接入點(diǎn)、計(jì)算機(jī)MAC地址等物理因素將聯(lián)網(wǎng)終端限定在指定物理區(qū)域內(nèi)。

e)應(yīng)能夠?qū)崿F(xiàn)政府部門(mén)聯(lián)網(wǎng)終端接入互聯(lián)網(wǎng)的用戶身份鑒別，應(yīng)支持多種身份鑒別方式，包括但

不限于：證書(shū)、口令、證書(shū)與口令結(jié)合等。其中口令設(shè)置應(yīng)有復(fù)雜度要求（如由字母、數(shù)字、

特殊字符混合組成，長(zhǎng)度不少于8位等）。更新周期不長(zhǎng)于6個(gè)月。同時(shí)應(yīng)提供登錄失敗處理

功能，對(duì)非法登錄次數(shù)超過(guò)5次的，采取凍結(jié)身份標(biāo)識(shí)和自動(dòng)退出等措施。

f)應(yīng)定期（每月不能少于一次）檢查并及時(shí)清理無(wú)效的聯(lián)網(wǎng)終端接入互聯(lián)網(wǎng)用戶，確保身份標(biāo)識(shí)

的唯一性和認(rèn)證信息的準(zhǔn)確性。

g)應(yīng)能夠?qū)β?lián)網(wǎng)終端數(shù)量、存活狀態(tài)、IP地址、主機(jī)名、MAC地址、用戶信息進(jìn)行管理。

5.3.5惡意代碼防護(hù)

本項(xiàng)要求包括：

a)應(yīng)能檢測(cè)和清除安全接入口設(shè)備上的惡意代碼。

b)應(yīng)能檢測(cè)和阻斷安全接入口內(nèi)的惡意代碼的傳播。

c)應(yīng)能實(shí)時(shí)監(jiān)測(cè)流經(jīng)安全接入口的數(shù)據(jù)包（包括但不限于HTTP、FTP、SMTP、POP3等常見(jiàn)網(wǎng)絡(luò)協(xié)

議），根據(jù)數(shù)據(jù)包來(lái)源、目的、內(nèi)容等特征進(jìn)行分析，檢測(cè)發(fā)現(xiàn)惡意代碼或被惡意代碼感染的

文件。

d)應(yīng)能支持對(duì)主流的壓縮格式（如ZIP、RAR等）文件進(jìn)行惡意代碼檢測(cè)和處理。

e)應(yīng)能發(fā)出惡意代碼告警信息，告警信息包括但不限于：文件名、惡意代碼名、源IP地址、目

的IP地址等。

f)應(yīng)支持惡意代碼策略和告警信息的統(tǒng)一管理，并留存惡意代碼檢測(cè)日志記錄，檢測(cè)日志留存時(shí)

間不少于90d。

g)惡意代碼特征庫(kù)應(yīng)定期升級(jí)，更新周期不長(zhǎng)于7d。

5.3.6漏洞掃描和補(bǔ)丁升級(jí)

本項(xiàng)要求包括：

a)應(yīng)及時(shí)發(fā)現(xiàn)已公開(kāi)的安全漏洞并進(jìn)行修補(bǔ)，延遲時(shí)間不超過(guò)7d。

b)漏洞掃描結(jié)果應(yīng)能及時(shí)上報(bào)，上報(bào)延遲時(shí)間不超過(guò)1min。

c)漏洞庫(kù)應(yīng)及時(shí)更新，更新延遲時(shí)間不超過(guò)7d。

d)應(yīng)及時(shí)更新補(bǔ)丁程序，并對(duì)系統(tǒng)變更進(jìn)行記錄。

e)應(yīng)在補(bǔ)丁進(jìn)入實(shí)際運(yùn)行環(huán)境前先行在測(cè)試運(yùn)行環(huán)境進(jìn)行驗(yàn)證。

8

GB/TXXXXX.1—XXXX

5.3.7設(shè)備防護(hù)

本項(xiàng)要求包括：

a)關(guān)鍵設(shè)備應(yīng)存放在安全區(qū)域，應(yīng)使用相應(yīng)的安全防護(hù)設(shè)備和準(zhǔn)入控制手段以及有明確標(biāo)志的安

全隔離帶。

b)應(yīng)采用兩種或兩種以上組合的鑒別技術(shù)對(duì)設(shè)備管理人員進(jìn)行身份鑒別。設(shè)備管理人員的標(biāo)識(shí)應(yīng)

唯一，身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求（應(yīng)由字母、數(shù)字、特殊

字符混合組成，長(zhǎng)度不少于8位）并且定期更換，更新周期不長(zhǎng)于6個(gè)月。

c)應(yīng)具有登錄失敗處理功能，可限制失敗登錄次數(shù)、IP地址或登錄賬號(hào)時(shí)間等措施。

d)應(yīng)更改設(shè)備的初始密碼，并對(duì)默認(rèn)設(shè)置進(jìn)行安全優(yōu)化。

e)設(shè)備管理人員的登錄地址應(yīng)進(jìn)行限制。

f)設(shè)備應(yīng)僅開(kāi)啟必需的服務(wù)和端口。

g)設(shè)備的配置文件應(yīng)定期進(jìn)行備份，定期備份頻率不低于1次/月。發(fā)生變動(dòng)前后應(yīng)及時(shí)備份，

確保備份配置文件的安全性。

h)應(yīng)對(duì)關(guān)鍵設(shè)備(如路由器、核心交換機(jī)、防火墻等)進(jìn)行備份。應(yīng)根據(jù)需求對(duì)關(guān)鍵設(shè)備采取電源

備份。應(yīng)有經(jīng)過(guò)完整測(cè)試和演練的關(guān)鍵設(shè)備備份恢復(fù)預(yù)案。

i)應(yīng)禁用不需被遠(yuǎn)程管理的網(wǎng)絡(luò)設(shè)備的遠(yuǎn)程維護(hù)功能并關(guān)閉相應(yīng)端口。

5.3.8權(quán)限管理

本項(xiàng)要求包括：

a)應(yīng)加強(qiáng)關(guān)鍵設(shè)備和系統(tǒng)的配置管理，配置變更應(yīng)經(jīng)過(guò)相關(guān)人員的書(shū)面認(rèn)可或同意。

b)應(yīng)對(duì)管理人員按最小授權(quán)原則進(jìn)行權(quán)限劃分。

c)應(yīng)能按照角色配置不同管理人員權(quán)限，管理人員間的權(quán)限應(yīng)能夠相互制約，避免權(quán)限過(guò)于集中。

5.3.9威脅預(yù)警

本項(xiàng)要求包括：

a)應(yīng)能夠?qū)⒉煌瑏?lái)源、不同類(lèi)型的實(shí)時(shí)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，檢測(cè)發(fā)現(xiàn)異常事件。

b)應(yīng)能夠在歷史數(shù)據(jù)中，將不同來(lái)源、不同類(lèi)型的數(shù)據(jù)進(jìn)行場(chǎng)景分析，檢測(cè)發(fā)現(xiàn)并回溯異常事件。

c)應(yīng)能向主管部門(mén)及用戶發(fā)出預(yù)警信息。

d)應(yīng)能夠接收國(guó)家權(quán)威網(wǎng)絡(luò)信息安全管理和協(xié)調(diào)機(jī)構(gòu)以及其他網(wǎng)絡(luò)安全組織的預(yù)警支持。

5.3.10事件處置

本項(xiàng)要求包括：

a)應(yīng)能夠及時(shí)向相關(guān)主管部門(mén)報(bào)告網(wǎng)絡(luò)安全事件，安全事件發(fā)生后按相關(guān)預(yù)案和要求及時(shí)上報(bào)。

b)應(yīng)遵循完善的網(wǎng)絡(luò)安全事件應(yīng)急處置工作流程與操作規(guī)范，對(duì)安全事件按相關(guān)預(yù)案和要求及時(shí)

啟動(dòng)處置流程。

c)應(yīng)具備7×24h安全響應(yīng)能力，能夠及時(shí)響應(yīng)網(wǎng)絡(luò)攻擊或其它緊急情況。

d)應(yīng)具備有效的外部攻擊事件處置能力，提供實(shí)時(shí)攻擊源IP地址列表和攻擊類(lèi)型分析等。

e)應(yīng)具備有效的內(nèi)部異常事件處理能力，能夠定位異常行為的類(lèi)型、影響范圍和發(fā)生源頭，并能

夠分析發(fā)生異常的原因。

f)應(yīng)具備攻擊事件取證能力，能夠提供90d內(nèi)的證據(jù)材料，包括：被攻擊的歷史流量記錄、異常

流量發(fā)生時(shí)間、主要流量分布和統(tǒng)計(jì)等。

5.3.11日志留存

9

GB/TXXXXX.1—XXXX

本項(xiàng)要求包括：

a)各設(shè)備應(yīng)通過(guò)網(wǎng)絡(luò)時(shí)間協(xié)議（NTP）對(duì)時(shí)間進(jìn)行同步，保證日志時(shí)間戳的一致性。

b)應(yīng)保存網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備的配置文件數(shù)據(jù)、配置修改記錄，應(yīng)具備對(duì)網(wǎng)絡(luò)設(shè)備、安全防

護(hù)設(shè)備的配置數(shù)據(jù)進(jìn)行追溯的能力。

c)應(yīng)保存網(wǎng)絡(luò)設(shè)備、安全防護(hù)設(shè)備的系統(tǒng)日志，應(yīng)具備對(duì)網(wǎng)絡(luò)通信事件、網(wǎng)絡(luò)安全事件進(jìn)行追溯

的能力。

d)應(yīng)保存NAT用戶日志，包括源IP地址、源端口、轉(zhuǎn)換后的源IP地址、轉(zhuǎn)換后的源端口、目的

IP地址、目的端口和協(xié)議號(hào)等數(shù)據(jù)項(xiàng)，具備對(duì)NAT網(wǎng)絡(luò)流量進(jìn)行追溯的能力，具備支撐網(wǎng)絡(luò)

安全事件的定位溯源能力。

e)應(yīng)具備對(duì)日志數(shù)據(jù)的統(tǒng)一管理、檢索和集中分析能力。NAT用戶日志檢索響應(yīng)時(shí)間不超過(guò)5min，

其他類(lèi)型日志檢索響應(yīng)時(shí)間不超過(guò)1min。

f)日志數(shù)據(jù)應(yīng)集中存儲(chǔ)，保存時(shí)間不少于90d。

5.3.12安全審計(jì)

本項(xiàng)要求包括：

a)應(yīng)能夠?qū)徲?jì)跟蹤發(fā)生的網(wǎng)絡(luò)通信事件和網(wǎng)絡(luò)安全事件。

b)應(yīng)能夠?qū)τ脩艟W(wǎng)絡(luò)行為和網(wǎng)絡(luò)傳輸數(shù)據(jù)包進(jìn)行審計(jì)，并對(duì)審計(jì)信息進(jìn)行加密存儲(chǔ)。

c)應(yīng)能對(duì)常見(jiàn)網(wǎng)絡(luò)協(xié)議進(jìn)行解析和審計(jì)，包括但不限于：HTTP、FTP、SMTP、POP3、IMAP、WEBMAIL、

TELNET、DNS等。

d)應(yīng)支持基于用戶名稱(chēng)的實(shí)名審計(jì)。

e)應(yīng)對(duì)安全審計(jì)記錄進(jìn)行保護(hù)使其具備不可篡改性。

f)應(yīng)具備90d以上的會(huì)話溯源與跟蹤能力，保留網(wǎng)絡(luò)安全事件相關(guān)數(shù)據(jù)180d以上。

5.3.13設(shè)備管理

本項(xiàng)要求包括：

a)應(yīng)進(jìn)行差異化的設(shè)備采購(gòu)，減少單一設(shè)備提供商帶來(lái)的安全風(fēng)險(xiǎn)。

b)關(guān)鍵設(shè)備上線前應(yīng)實(shí)施安全測(cè)試和審查，由有資質(zhì)的測(cè)試機(jī)構(gòu)通過(guò)簽訂服務(wù)合同的形式代為完

成。

c)關(guān)鍵設(shè)備(如路由器、核心交換機(jī)、防火墻等)應(yīng)進(jìn)行統(tǒng)一配置管理，包括統(tǒng)一收集配置信息、

統(tǒng)一下發(fā)配置策略和軟件版本管理等。

d)應(yīng)能夠監(jiān)控安全接入口關(guān)鍵設(shè)備(如路由器、核心交換機(jī)、防火墻等)的安全狀態(tài)，如CPU占用

率、會(huì)話數(shù)、端口流量等指標(biāo)。

e)應(yīng)能夠統(tǒng)一收集安全接入口關(guān)鍵設(shè)備(如路由器、核心交換機(jī)、防火墻等)的運(yùn)行日志，并能夠

統(tǒng)一展示和分析，展示設(shè)備風(fēng)險(xiǎn)信息。

5.4網(wǎng)絡(luò)接入

本項(xiàng)要求包括：

a)