電子政務(wù)外網(wǎng)建設(shè)規(guī)范第6部分：安全接入平臺技術(shù)要求ConstructionspecificationsofE-GovernmentnetwPart6:Thetechnicalrequirement2022-12-09實施2022-12-09實施新疆維吾爾自治區(qū)市場監(jiān)督管理局發(fā)布I起草?！?部分：網(wǎng)絡(luò)架構(gòu)； ——第5部分：網(wǎng)絡(luò)安全實施指南；——第6部分：安全接入平臺技術(shù)要求；——第7部分：政務(wù)云安全要求； 第8部分：網(wǎng)絡(luò)質(zhì)量規(guī)范。本文件起草單位：新疆維吾爾自治區(qū)信息中心(新疆維吾爾自治區(qū)電子政務(wù)外網(wǎng)管理中心)、新疆鄧攀、陳超、周斌、李國強、關(guān)成杰、雷佳佳本文件實施應(yīng)用中的疑問，請咨詢新疆維吾爾自治區(qū)信息中心(新疆維吾爾自治區(qū)電子政務(wù)外網(wǎng)管理中心)。對本文件的修改意見和建議，請反饋至新疆維吾爾自治區(qū)信息中心(新疆維吾爾自治區(qū)電子政務(wù)外網(wǎng)管理中心)(烏魯木齊市天山區(qū)人民路325號通寶大廈7樓)、新疆維吾爾自治區(qū)工業(yè)和信息化廳(烏魯木齊市友好南路179號)、新疆維吾爾自治區(qū)市場監(jiān)督管理局(烏魯木齊市新華南路167號)。新疆維吾爾自治區(qū)信息中心(新疆維吾爾自治區(qū)電子政務(wù)外網(wǎng)管理中心)聯(lián)系電話傳真郵編：830002新疆維吾爾自治區(qū)工業(yè)和信息化廳聯(lián)系電話傳真郵編：830091新疆維吾爾自治區(qū)市場監(jiān)督管理局聯(lián)系電話傳真郵編：830004第6部分：安全接入平臺技術(shù)要求本文件規(guī)定了電子政務(wù)外網(wǎng)安全接入平臺技術(shù)要求的術(shù)語和定義、縮略語、總體要求、基礎(chǔ)框架、2規(guī)范性引用文件僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T25069信息安全技術(shù)術(shù)語DB65/T4536.1電子政務(wù)外網(wǎng)建設(shè)規(guī)范第1部分：網(wǎng)絡(luò)架電子政務(wù)外網(wǎng)中采用多種技術(shù)手段，收集和整合2基于互聯(lián)網(wǎng)進行通信，從電子政務(wù)外網(wǎng)安全接入?yún)^(qū)接入的移動終端、PC終端或業(yè)務(wù)應(yīng)4縮略語AD:活動目錄(ActiveDireIPSec:互聯(lián)網(wǎng)安全協(xié)議(InternetProtocolSecurity)L2TP:第二層隧道協(xié)議(Layer2TunnelingProtocol)LNS:L2TP網(wǎng)絡(luò)服務(wù)器(L2TPNOCSP:在線證書狀態(tài)協(xié)議(OnlineCRADIUS:遠程用戶撥號認(rèn)證服務(wù)(RemoteAuthenticationDiSDK:軟件開發(fā)工具包(SoftwareDevelopmentKit)SNMP:簡單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol)SSL:安全套接字協(xié)議(SecureSocketsLayer)5.1電子政務(wù)外網(wǎng)安全接入平臺由各級電子政務(wù)外網(wǎng)建設(shè)運維單位負(fù)責(zé)建設(shè)運維，部署于電子政務(wù)外網(wǎng)互聯(lián)網(wǎng)接入?yún)^(qū)與公用網(wǎng)絡(luò)區(qū)(或?qū)Ｓ镁W(wǎng)絡(luò)區(qū))獨立的互聯(lián)網(wǎng)出口，有遠程安全接入需求建設(shè)安全接入平臺時也應(yīng)參照本文件。5.2電子政務(wù)外網(wǎng)安全接入平臺由各級電子政務(wù)外網(wǎng)建設(shè)運維單位負(fù)責(zé)建設(shè)和管理，采用自治區(qū)、地(州、市)(以下簡稱“地州”)兩級建設(shè)模式。地州級安全接入平臺典型部署案例參見附錄A,縣(市、區(qū))(以下簡稱“區(qū)縣”)級安全接入平臺根據(jù)實際需求參照執(zhí)行。5.3接入電子政務(wù)外網(wǎng)的各級部門接入網(wǎng)不應(yīng)直接連接互聯(lián)網(wǎng)，統(tǒng)一使用本級電子政務(wù)外網(wǎng)安全接入5.4地州、區(qū)縣的VPDN用戶可通過自治區(qū)級安全接入平臺接入，接入模式及流程參見附錄B。自治區(qū)、地州分別建設(shè)本級安全接入平臺，形成面向互聯(lián)網(wǎng)的安全接入體系如圖1所示。3移動終端移動終端業(yè)務(wù)應(yīng)用主機移動終端PC終端業(yè)務(wù)應(yīng)用主機移動終端PC終端業(yè)務(wù)應(yīng)用主機國家級電子政務(wù)外網(wǎng)自治區(qū)級電子政務(wù)外網(wǎng)地州級電子政務(wù)外網(wǎng)區(qū)縣級電子政務(wù)外網(wǎng)互聯(lián)網(wǎng).互聯(lián)網(wǎng)互聯(lián)網(wǎng)專線接入自治區(qū)政務(wù)部門專線接入?yún)^(qū)縣政務(wù)部門專線接入地州政務(wù)部門電子政務(wù)外網(wǎng)安全接入平臺架構(gòu)如圖2所示：政務(wù)外網(wǎng)業(yè)務(wù)區(qū)政務(wù)外網(wǎng)業(yè)務(wù)區(qū)政務(wù)外網(wǎng)安全接入平臺公用網(wǎng)絡(luò)區(qū)統(tǒng)一認(rèn)證網(wǎng)絡(luò)區(qū)政務(wù)外網(wǎng)接入用戶政務(wù)外網(wǎng)安全接入?yún)^(qū)互聯(lián)網(wǎng)接入?yún)^(qū)管理與審計統(tǒng)一入口a)互聯(lián)網(wǎng)接入包括互聯(lián)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)環(huán)境，互聯(lián)網(wǎng)接入終端通過上述基礎(chǔ)網(wǎng)絡(luò)連接到安全接入平41)統(tǒng)一入口：為互聯(lián)網(wǎng)接入終端提供服務(wù)接口或鏈路接口；認(rèn)證，為網(wǎng)關(guān)集群用戶身份統(tǒng)一認(rèn)證和權(quán)限管理提供支撐；6.2.2互聯(lián)網(wǎng)區(qū)通過安全接入平臺實現(xiàn)與電子政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)、專用網(wǎng)絡(luò)區(qū)的業(yè)務(wù)對接。6.3.1安全接入平臺的基本功能框架如圖3所示：安全接入平臺安全接入平臺身份認(rèn)證權(quán)限控制集群統(tǒng)一客戶端網(wǎng)關(guān)接入入口安全審計配置管理安全防護入侵檢測與防御統(tǒng)一控制用戶集中認(rèn)管理與審計訪問控制病毒檢測平臺監(jiān)測端提供統(tǒng)一接入，設(shè)置網(wǎng)關(guān)設(shè)備接入入口，實現(xiàn)接入用戶統(tǒng)一管控；b)VPN網(wǎng)關(guān)集群：提供終端到網(wǎng)關(guān)或網(wǎng)關(guān)到網(wǎng)關(guān)的傳輸c)統(tǒng)一認(rèn)證：為安全接入的身份認(rèn)證和權(quán)限控制提供支撐，提供用戶集中認(rèn)e)安全防護：為安全接入平臺提供訪問控制、入侵檢測與防御、防病毒等基礎(chǔ)安全防護功能。5e)面向用戶單位的業(yè)務(wù)應(yīng)用，提供WebService等標(biāo)準(zhǔn)協(xié)議服務(wù)接口；a)個人計算機用戶采用IPSecVPN接入時應(yīng)使用電子政務(wù)外網(wǎng)統(tǒng)一IPSecVPN客戶端，該客戶密鑰交換協(xié)議，符合GM/T0022—2014中5.1的要求；網(wǎng)絡(luò)接入模式，如VPDN撥號、IPSecVPN撥號時應(yīng)使用網(wǎng)關(guān)對網(wǎng)關(guān)方式接入，接入設(shè)備應(yīng)符合《國家電子政務(wù)外網(wǎng)IPsecVPN安全接入技術(shù)要求與實施指南》中5.1的要求，同時應(yīng)符合GB/T27.2VPN網(wǎng)關(guān)集群VPN網(wǎng)關(guān)應(yīng)具有國家密碼管理局頒發(fā)的《商用密碼產(chǎn)品認(rèn)證證書7.2.1.2IPSecVPN網(wǎng)關(guān)b)應(yīng)符合《國家電子政務(wù)外網(wǎng)IPsecVPN安全接入技術(shù)要求與實施指南》中第5章的要求。a)應(yīng)符合GM/T0024和GM/T0025的規(guī)定；b)應(yīng)支持?jǐn)?shù)字證書、用戶名/密碼、短信、動態(tài)口令等認(rèn)證方式，并支持雙因子認(rèn)6f)可通過發(fā)布虛擬桌面、虛擬應(yīng)用或提供SDK的方式，為移動終端提供接入接口7.2.2.1多臺VPN網(wǎng)關(guān)可通過負(fù)載均衡設(shè)備組成IPSecVPN網(wǎng)關(guān)集群或SSL7.2.2.2負(fù)載均衡服務(wù)應(yīng)符合以下要求：a)通過負(fù)載均衡設(shè)備鏈路負(fù)載功能，將VPN網(wǎng)關(guān)的接入請求根據(jù)IP地址、端口等策略分配到集b)負(fù)載均衡設(shè)備與VPN網(wǎng)關(guān)、LNS將互聯(lián)網(wǎng)地址作為對外提供服務(wù)的IP地址。a)支持最小連接數(shù)、輪詢、比例、最快響應(yīng)、哈希、預(yù)測、觀察、動態(tài)比例等負(fù)載均衡算法；b)支持設(shè)備狀態(tài)檢測，用于檢查設(shè)備及應(yīng)用的運行狀態(tài)；安全接入平臺應(yīng)對接入的用戶和接入的設(shè)備進行身份認(rèn)證，要求如下：2)支持?jǐn)?shù)字證書、用戶名/口令、短信、動態(tài)口令等多種用戶身份認(rèn)證方式。使用數(shù)字證書認(rèn)證方式時，數(shù)字證書應(yīng)由電子政務(wù)外網(wǎng)電子認(rèn)證中心頒發(fā)；4)由網(wǎng)關(guān)解析證書中用戶名等信息，通過RADIUS或LDAP協(xié)議把相關(guān)信息傳送到統(tǒng)一認(rèn)證平臺，并支持群組認(rèn)證。1)IPSecVPN網(wǎng)關(guān)對網(wǎng)關(guān)接入身份認(rèn)證應(yīng)采用數(shù)字證書認(rèn)證方式；2)移動終端設(shè)備通過SSLVPN實現(xiàn)訪問隧道認(rèn)證。1)根據(jù)接入業(yè)務(wù)需求，對用戶訪問權(quán)限進行控制，阻止用戶訪問非授權(quán)資源；2)根據(jù)用戶的屬性查詢授權(quán)信息，確定授予用戶的服務(wù)資源，包括給用戶分配IP地址、用戶可訪問的IP地址和服務(wù)等。b)設(shè)備接入控制：對設(shè)備的接入采取訪問控制措施，根據(jù)設(shè)備屬性設(shè)置接入設(shè)DB65/T4536.6—20227d)用戶認(rèn)證信息應(yīng)包括證書用戶信息、f)支持IP地址統(tǒng)一管理、統(tǒng)一分配，支持動態(tài)、靜態(tài)IP地址分配，用戶按指定地址g)可擴展支持第三方認(rèn)證組件，如動態(tài)口令、短信認(rèn)證組件；對安全保護等級確定為第三級的電子政務(wù)外網(wǎng)，安全接入平臺宜建設(shè)獨d)支持對接入設(shè)備、安全設(shè)備、服務(wù)器主機、數(shù)據(jù)庫等訪問和操作的監(jiān)測與審計；f)支持日志統(tǒng)一格式輸出、報表生成、圖形化展g)監(jiān)測和審計日志保存期限應(yīng)不少于180d。87.6信道安全信道安全的具體要求如下：a)移動終端通過移動蜂窩網(wǎng)絡(luò)或公共無線網(wǎng)絡(luò)接入政務(wù)網(wǎng)時，應(yīng)采用VPN方式接入；b)應(yīng)支持系統(tǒng)級或應(yīng)用級VPN,在移動政務(wù)應(yīng)用啟動時自動啟動VPN。通過應(yīng)用專屬的安全隧道，實現(xiàn)多政務(wù)應(yīng)用之間的安全隔離。9(資料性)典型部署案例A.1地州級安全接入平臺的典型部署安全接入?yún)^(qū)與門戶網(wǎng)站群共用互聯(lián)網(wǎng)接入鏈路，如圖A.1所示：統(tǒng)統(tǒng)一入口區(qū)互聯(lián)網(wǎng)VPN網(wǎng)關(guān)集群管理/審計服務(wù)器門戶站點智能終端用戶自治區(qū)級VPDN電子政務(wù)外網(wǎng)(骨干網(wǎng))服務(wù)器認(rèn)證區(qū)VPN財務(wù)部門網(wǎng)絡(luò)區(qū)網(wǎng)絡(luò)區(qū)中心委辦局CA服務(wù)器服務(wù)器接入管理區(qū)圖A.1地州級安全接入平臺典型部署示意圖A.2地州級安全接入平臺按區(qū)域部署地州級安全接入平臺劃分為以下四個區(qū)域進行部署：a)統(tǒng)一入口區(qū)由防火墻、門戶組成；防火墻實現(xiàn)安全接入平臺的訪問控制。門戶提供用戶注冊申請、客戶端軟件下載、SSLVPN登錄、業(yè)務(wù)異常申報等功能，如有移動接入需求，應(yīng)增加必要移動終端管理系統(tǒng)；b)VPN網(wǎng)關(guān)集群由IPSecVPN網(wǎng)關(guān)和SSLVPN網(wǎng)關(guān)組成，實現(xiàn)用戶的身份認(rèn)證、權(quán)限管理、傳輸c)接入管理區(qū)配置管理/審計服務(wù)器，實現(xiàn)VPN網(wǎng)關(guān)的配置管理、安全接入平臺的運行監(jiān)測、用戶的接入審計和安全接入平臺的安全審計；d)認(rèn)證區(qū)配置LDAP、RADIUS等認(rèn)證服務(wù)器，實現(xiàn)接入用戶的統(tǒng)一認(rèn)證功能。(資料性)B.1接入模式設(shè)計a)IPSecVPN:主要應(yīng)用于接入部門不在電子政務(wù)外網(wǎng)網(wǎng)絡(luò)區(qū)域內(nèi)，同時需接入電子政務(wù)外網(wǎng)的也可采用網(wǎng)關(guān)對網(wǎng)關(guān)接入方式，通過互聯(lián)網(wǎng)或其他專用網(wǎng)絡(luò)實現(xiàn)業(yè)務(wù)的不中斷傳輸；b)SSLVPN:主要應(yīng)用于接入終端WEB方式接入電子政務(wù)外網(wǎng)，訪問業(yè)務(wù)系統(tǒng)、遠程桌面管理、分別為自建LNS和完全外包，自建LNS可對接入用戶進行二次認(rèn)證，便于對用戶接入管理和審計管理。各級安全接入平臺依據(jù)用戶所要訪問的業(yè)務(wù)應(yīng)用系統(tǒng)的安全情況應(yīng)采取2)根據(jù)VPDN線路所屬運營商不同，由具備條件的單位獨立建設(shè)LNS設(shè)備，用于實現(xiàn)身份認(rèn)3)運營商側(cè)認(rèn)證服務(wù)應(yīng)向用戶單位提供審核本單位手機號碼權(quán)限；B.2接入流程設(shè)計a)網(wǎng)關(guān)對網(wǎng)關(guān)接入適用于不具備電子政務(wù)外網(wǎng)專線接入條件的單位，通過IPSecVPN網(wǎng)關(guān)接入1)接入單位通過公眾網(wǎng)絡(luò)登錄安全接入平臺門戶發(fā)起申請，由本級電子政務(wù)外網(wǎng)運維單位2)接入網(wǎng)關(guān)向安全接入平臺IPSecVPN網(wǎng)關(guān)集群服務(wù)網(wǎng)關(guān)發(fā)起連接請求；3)服務(wù)網(wǎng)關(guān)通過認(rèn)證平臺對接入網(wǎng)關(guān)進