ICS35.240.01

CCSL67

DB23

黑龍江省地方標(biāo)準(zhǔn)

DB23/T2829—2021

電子政務(wù)外網(wǎng)安全管理規(guī)范

第1部分：網(wǎng)絡(luò)安全總體要求

2021-04-13發(fā)布2021-05-12實(shí)施

黑龍江省市場(chǎng)監(jiān)督管理局發(fā)布

DB23/T2829-2021

II

DB23/T2829-2021

前??言

本文件按照GB/T1.1-2020給出的規(guī)則起草。

本文件由黑龍江省營(yíng)商環(huán)境建設(shè)監(jiān)督局提出并歸口。

本文件主要起草單位：黑龍江省營(yíng)商環(huán)境建設(shè)監(jiān)督局、黑龍江省政務(wù)大數(shù)據(jù)中心、黑龍江省標(biāo)

準(zhǔn)化研究院。

本文件主要起草人：王峰、曹維、董月成、謝曉菲、孫雷、王東、羅南、李慧穎、孟令權(quán)、范曉明、

楊鵬宇、陳要武、楊大志、呂猛、王磊、李嚴(yán)、王艷君。

I

DB23/T2829-2021

電子政務(wù)外網(wǎng)安全管理規(guī)范

第1部分：網(wǎng)絡(luò)安全總體要求

1范圍

本文件規(guī)定了電子政務(wù)外網(wǎng)安全管理規(guī)范第1部分：網(wǎng)絡(luò)安全總體要求并描述述了安全等級(jí)保護(hù)、

跨網(wǎng)數(shù)據(jù)交換技術(shù)要求和安全接入平臺(tái)、安全管理、安全監(jiān)測(cè)系統(tǒng)、接口、接入單位局域網(wǎng)安全等技術(shù)

規(guī)范。

本文件適用于指導(dǎo)黑龍江省政務(wù)外網(wǎng)安全等級(jí)保護(hù)的建設(shè)、整改、自查和檢測(cè)工作；指導(dǎo)各級(jí)政務(wù)

外網(wǎng)建設(shè)運(yùn)維單位進(jìn)行安全接入平臺(tái)的規(guī)劃、設(shè)計(jì)、選型及實(shí)施等工作。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T5271.8信息技術(shù)詞匯第8部分：安全

GB/T21061-2007國(guó)家電子政務(wù)網(wǎng)絡(luò)技術(shù)和運(yùn)行管理規(guī)范

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求

GB/T25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求

GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求

GB/T36958-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全管理中心技術(shù)要求

YD/T1746-2008IP承載網(wǎng)安全防護(hù)要求

國(guó)密局發(fā)[2009]7號(hào)《電子政務(wù)電子認(rèn)證服務(wù)管理辦法》

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

3.1

廣域網(wǎng)

把城市之間連接起來(lái)的寬帶網(wǎng)絡(luò)稱廣域網(wǎng)，政務(wù)外網(wǎng)從省到各地（市）網(wǎng)絡(luò)稱為省級(jí)廣域網(wǎng)、地（市）

到各縣的廣域網(wǎng)稱為地（市）級(jí)廣域網(wǎng)。實(shí)現(xiàn)省、市、縣縱向業(yè)務(wù)的互聯(lián)網(wǎng)通。

3.2

城域網(wǎng)

把同一城市內(nèi)不同單位的局域網(wǎng)絡(luò)連接起來(lái)的網(wǎng)絡(luò)稱為城域網(wǎng)，實(shí)現(xiàn)不同單位跨部門業(yè)務(wù)的數(shù)據(jù)共

享與交換。

1

DB23/T2829-2021

3.3

局域網(wǎng)

把本單位終端、主機(jī)/服務(wù)器、存儲(chǔ)等設(shè)備，通過(guò)網(wǎng)絡(luò)設(shè)備連接起來(lái)的網(wǎng)絡(luò)，實(shí)現(xiàn)本單位業(yè)務(wù)系統(tǒng)、

數(shù)據(jù)的互訪、共享等稱為局域網(wǎng)。局域網(wǎng)是政務(wù)部門開(kāi)展電子政務(wù)業(yè)務(wù)的基礎(chǔ)，其安全、建設(shè)、運(yùn)

維等相關(guān)工作由網(wǎng)絡(luò)所屬單位自行負(fù)責(zé)。

3.4

邏輯隔離

邏輯隔離是一種不同網(wǎng)絡(luò)間的安全防護(hù)措施，被隔離的兩端仍然存在物理上數(shù)據(jù)通道連線。一般使

用協(xié)議轉(zhuǎn)換、數(shù)據(jù)格式剝離或數(shù)據(jù)流控制的方法來(lái)實(shí)現(xiàn)在兩個(gè)邏輯隔離區(qū)域之間傳輸數(shù)據(jù)，并且傳

輸?shù)姆较蚩梢允菃蜗蚧螂p向。

3.5

公用網(wǎng)絡(luò)區(qū)

公用網(wǎng)絡(luò)區(qū)采用統(tǒng)一分配的公共IP地址，是實(shí)現(xiàn)各部門、各地區(qū)互聯(lián)互通，為跨地區(qū)、跨部門的業(yè)

務(wù)應(yīng)用提供數(shù)據(jù)共享與交換的網(wǎng)絡(luò)支撐平臺(tái)。

3.6

專用網(wǎng)絡(luò)區(qū)

依托省內(nèi)政務(wù)外網(wǎng)基礎(chǔ)設(shè)施，為特定需求的部門或業(yè)務(wù)設(shè)置VPN區(qū)域，主要滿足部門橫向、縱向

業(yè)務(wù)的需要，實(shí)現(xiàn)省、地（市）和縣端到端業(yè)務(wù)和數(shù)據(jù)的互聯(lián)互通，實(shí)現(xiàn)與其它業(yè)務(wù)之間的邏輯隔

離。

3.7

政務(wù)外網(wǎng)

服務(wù)于各級(jí)黨委、人大、政府、政協(xié)、法院和檢察院等政務(wù)部門，滿足其經(jīng)濟(jì)調(diào)節(jié)、市場(chǎng)監(jiān)管、社

會(huì)管理和公共服務(wù)等方面需要的政務(wù)公用網(wǎng)絡(luò)。政務(wù)外網(wǎng)支持跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用、信息共

享和業(yè)務(wù)協(xié)同，以及不需在政務(wù)內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)，與互聯(lián)網(wǎng)邏輯隔離。

3.8

安全管理系統(tǒng)

采用多種技術(shù)手段，收集和整合各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)等安全事件，并運(yùn)用關(guān)聯(lián)分析

技術(shù)、智能推理技術(shù)和風(fēng)險(xiǎn)管理技術(shù)，實(shí)現(xiàn)對(duì)安全事件信息的深度分析和識(shí)別，能快速做出報(bào)警響

應(yīng)，實(shí)現(xiàn)對(duì)安全事件進(jìn)行統(tǒng)一監(jiān)控分析和預(yù)警處理。

3.9

跨網(wǎng)

政務(wù)外網(wǎng)城域網(wǎng)內(nèi)采用VPN技術(shù)邏輯隔離且無(wú)協(xié)議通信的網(wǎng)絡(luò)之間，或者是物理隔離的網(wǎng)絡(luò)之間。

4安全等級(jí)保護(hù)要求

4.1總體原則

2

DB23/T2829-2021

電子政務(wù)外網(wǎng)安全等級(jí)保護(hù)遵循國(guó)家安全等級(jí)保護(hù)文件要求，電子政務(wù)外網(wǎng)開(kāi)展安全等級(jí)保護(hù)工作

的重點(diǎn)是廣域網(wǎng)和各級(jí)城域網(wǎng)。

政務(wù)外網(wǎng)主要滿足各級(jí)政務(wù)部門業(yè)務(wù)應(yīng)用系統(tǒng)傳輸和跨部門數(shù)據(jù)交換與共享的需要，保證其在廣域

網(wǎng)和城域網(wǎng)上的暢通、安全和可靠。不同安全等級(jí)保護(hù)的政務(wù)外網(wǎng)互聯(lián)，應(yīng)在配置網(wǎng)絡(luò)邊界訪問(wèn)控制的

情況下，確保業(yè)務(wù)的暢通。

4.2具體要求

政務(wù)外網(wǎng)省至地（市）廣域網(wǎng)和省級(jí)、地（市）級(jí)城域網(wǎng)應(yīng)達(dá)到安全等級(jí)保護(hù)第三級(jí)要求，地（市）

級(jí)至區(qū)縣廣域網(wǎng)和地（市）以下城域網(wǎng)應(yīng)至少達(dá)到安全等級(jí)保護(hù)第三級(jí)的要求。

5安全接入平臺(tái)技術(shù)規(guī)范

5.1安全接入平臺(tái)

政務(wù)在省、市（地）分別建設(shè)兩級(jí)安全接入平臺(tái)，形成政務(wù)外網(wǎng)安全接入體系?？h級(jí)可通過(guò)市級(jí)平

臺(tái)接入。安全接入平臺(tái)架構(gòu)見(jiàn)圖1。

圖1安全接入平臺(tái)架構(gòu)

5.2接入模式

5.2.1IPSecVPN隧道接入

主要應(yīng)用于非專線接入政務(wù)外網(wǎng)的單位，采用網(wǎng)關(guān)對(duì)網(wǎng)關(guān)接入進(jìn)行組網(wǎng)以及遠(yuǎn)程終端接入進(jìn)行長(zhǎng)時(shí)

間連接、數(shù)據(jù)上報(bào)、視頻會(huì)議等非WEB方式訪問(wèn)的業(yè)務(wù)。對(duì)于專線接入單位，當(dāng)專線發(fā)生故障時(shí)，應(yīng)

急情況下也可采用網(wǎng)關(guān)對(duì)網(wǎng)關(guān)接入方式，通過(guò)Internet或移動(dòng)通信網(wǎng)的VPDN實(shí)現(xiàn)業(yè)務(wù)的不中斷傳輸。

5.2.2SSLVPN安全接入

3

DB23/T2829-2021

主要應(yīng)用于接入終端WEB方式接入政務(wù)外網(wǎng)，訪問(wèn)業(yè)務(wù)系統(tǒng)、遠(yuǎn)程桌面管理、遠(yuǎn)程辦公等。

5.2.3VPDN接入

專線接入用戶可使用智能終端通過(guò)VPDN專線接入，VPDN專線接入和Internet接入類似，統(tǒng)一從

政務(wù)外網(wǎng)安全接入平臺(tái)入口進(jìn)入。各級(jí)安全接入平臺(tái)依據(jù)用戶所要訪問(wèn)的業(yè)務(wù)應(yīng)用系統(tǒng)的安全情況應(yīng)采

取IPSecVPN或SSLVPN網(wǎng)關(guān)對(duì)傳輸鏈路進(jìn)行加密。

5.3接入流程

5.3.1網(wǎng)關(guān)對(duì)網(wǎng)關(guān)接入

該模式適用于不具備政務(wù)外網(wǎng)專線接入條件的單位，通過(guò)IPSecVPN網(wǎng)關(guān)接入政務(wù)外網(wǎng)，具體接入

流程如下：

a)接入單位通過(guò)公眾網(wǎng)絡(luò)登錄安全接入平臺(tái)門戶發(fā)起申請(qǐng)，由本級(jí)政務(wù)外網(wǎng)運(yùn)維單位審核通過(guò)后

下發(fā)接入網(wǎng)關(guān)配置信息、設(shè)備證書(shū)等；

b)接入網(wǎng)關(guān)向安全接入平臺(tái)IPSecVPN網(wǎng)關(guān)集群服務(wù)網(wǎng)關(guān)發(fā)起連接請(qǐng)求；

c)服務(wù)網(wǎng)關(guān)通過(guò)認(rèn)證平臺(tái)對(duì)接入網(wǎng)關(guān)進(jìn)行認(rèn)證，認(rèn)證成功后雙方建立隧道；

d)接入單位用戶通過(guò)VPN設(shè)備建立的安全隧道訪問(wèn)政務(wù)外網(wǎng)業(yè)務(wù)。

5.3.2移動(dòng)接入

5.3.2.1接入單位通過(guò)公眾網(wǎng)絡(luò)登錄安全接入平臺(tái)門戶發(fā)起申請(qǐng)，由本級(jí)政務(wù)外網(wǎng)運(yùn)維單位審核通過(guò)

后，根據(jù)接入業(yè)務(wù)不同下發(fā)接入必需資源，如統(tǒng)一業(yè)務(wù)入口或者SSLVPN服務(wù)地址、客戶端軟件、用

戶證書(shū)等。

5.3.2.2PSecVPN接入用戶通過(guò)客戶端發(fā)起請(qǐng)求，SSLVPN接入用戶通過(guò)WEB方式發(fā)起請(qǐng)求，智終

端用戶利用移動(dòng)終端安全接入軟件（APP）發(fā)起請(qǐng)求。

5.3.2.3網(wǎng)關(guān)通過(guò)認(rèn)證平臺(tái)對(duì)接入用戶進(jìn)行認(rèn)證，認(rèn)證成功后雙方建立安全連接。

5.3.2.4接入用戶通過(guò)VPN網(wǎng)關(guān)建立的安全連接訪問(wèn)政務(wù)外網(wǎng)業(yè)務(wù)。

5.3.3VPDN移動(dòng)專線接入

適用于智能終端用戶通過(guò)移動(dòng)通信網(wǎng)的VPDN方式接入或PC端用戶通過(guò)ADSL等方式，接入用戶

需先通過(guò)Internet登錄安全接入平臺(tái)門戶申請(qǐng)VPDN賬號(hào)，在賬號(hào)審核成功后，VPDN用戶向LNS發(fā)

起撥號(hào)并通過(guò)認(rèn)證建立隧道，VPDN隧道建立成功后，用戶向SSLVPN網(wǎng)關(guān)發(fā)起請(qǐng)求，網(wǎng)關(guān)通過(guò)認(rèn)證平

臺(tái)對(duì)VPDN用戶進(jìn)行認(rèn)證，認(rèn)證成功后雙方建立安全連接，VPDN用戶須通過(guò)VPN設(shè)備建立的加密隧道

安全連接訪問(wèn)政務(wù)外網(wǎng)業(yè)務(wù)。

5.4平臺(tái)部署

5.4.1省級(jí)安全接入平臺(tái)部署

5.4.1.1省級(jí)安全接入平臺(tái)劃分為四個(gè)區(qū)域進(jìn)行部署。

5.4.1.2統(tǒng)一入口區(qū)由防火墻、VPDN接入所需的LNS路由器、移動(dòng)終端管理系統(tǒng)、門戶組成；防火

墻實(shí)現(xiàn)安全接入平臺(tái)的訪問(wèn)控制；移動(dòng)終端管理系統(tǒng)用于接入智能終端的策略下發(fā)，遠(yuǎn)程擦除；門戶提

供用戶注冊(cè)申請(qǐng)、客戶端軟件下載、SSLVPN登錄、業(yè)務(wù)異常申報(bào)等功能。LNS路由器提供VPDN專線

用戶二次認(rèn)證功能。

4

DB23/T2829-2021

5.4.1.3VPN網(wǎng)關(guān)集群是由IPSecVPN網(wǎng)關(guān)、SSLVPN網(wǎng)關(guān)組成的VPN網(wǎng)關(guān)池，實(shí)現(xiàn)用戶的身份認(rèn)

證、權(quán)限管理、傳輸加密；負(fù)載均衡設(shè)備提供VPN網(wǎng)關(guān)的負(fù)載分配。

5.4.1.4接入管理區(qū)部署配置管理系統(tǒng)、監(jiān)測(cè)系統(tǒng)、安全審計(jì)系統(tǒng)，實(shí)現(xiàn)平臺(tái)設(shè)備的配置管理、安全

接入平臺(tái)的運(yùn)行監(jiān)測(cè)和接入用戶行為審計(jì)。

5.4.1.5認(rèn)證區(qū)部署LDAP、RADIUS等認(rèn)證系統(tǒng)，實(shí)現(xiàn)接入用戶的統(tǒng)一認(rèn)證授權(quán)功能。如果已建設(shè)政

務(wù)外網(wǎng)CA，LDAP可從CA導(dǎo)入證書(shū)條目、證書(shū)注銷列表等信息用于用戶證書(shū)有效性檢查協(xié)助認(rèn)證。

5.4.2市（地）級(jí)安全接入平臺(tái)部署

5.4.2.1市（地）級(jí)安全接入平臺(tái)劃分為四個(gè)區(qū)域進(jìn)行部署。

5.4.2.2統(tǒng)一入口區(qū)由防火墻、門戶組成；防火墻實(shí)現(xiàn)安全接入平臺(tái)的訪問(wèn)控制。門戶提供用戶注冊(cè)

申請(qǐng)、客戶端軟件下載、SSLVPN登錄、業(yè)務(wù)異常申報(bào)等功能，如有移動(dòng)接入需求，應(yīng)增加必要移動(dòng)終

端管理系統(tǒng)。

5.4.2.3VPN網(wǎng)關(guān)由IPSecVPN網(wǎng)關(guān)和SSLVPN網(wǎng)關(guān)組成，實(shí)現(xiàn)用戶的身份認(rèn)證、權(quán)限管理、傳輸

加密。

5.4.2.4接入管理區(qū)配置管理/審計(jì)服務(wù)器，實(shí)現(xiàn)VPN網(wǎng)關(guān)的配置管理、安全接入平臺(tái)的運(yùn)行監(jiān)測(cè)、

用戶的接入審計(jì)和安全接入平臺(tái)的安全審計(jì)。

5.4.2.5認(rèn)證區(qū)配置LDAP、RADIUS等認(rèn)證服務(wù)器，實(shí)現(xiàn)接入用戶的統(tǒng)一認(rèn)證功能。市（地）VPDN用

戶可通過(guò)省級(jí)安全接入平臺(tái)接入?？h級(jí)安全接入平臺(tái)可參照市（地）級(jí)安全接入平臺(tái)部署。

6安全管理技術(shù)規(guī)范

6.1網(wǎng)絡(luò)安全管理職責(zé)

6.1.1網(wǎng)絡(luò)管理系統(tǒng)要分別設(shè)立網(wǎng)絡(luò)管理員和網(wǎng)絡(luò)安全審計(jì)員，并分別由不同的人員擔(dān)任。

6.1.2網(wǎng)絡(luò)管理員根據(jù)網(wǎng)絡(luò)訪問(wèn)控制策略要求，進(jìn)行網(wǎng)絡(luò)設(shè)備參數(shù)設(shè)置，更新和維護(hù)等工作；對(duì)網(wǎng)絡(luò)

設(shè)備實(shí)行分級(jí)授權(quán)管理，按照不同的管理級(jí)別進(jìn)行權(quán)限分配。

6.1.3網(wǎng)絡(luò)安全審計(jì)員對(duì)網(wǎng)絡(luò)管理員的登錄和操作內(nèi)容進(jìn)行審計(jì)，一月內(nèi)至少審計(jì)一次日志報(bào)表；對(duì)

網(wǎng)絡(luò)配置與網(wǎng)絡(luò)訪問(wèn)控制策略進(jìn)行符合性檢查。

6.2網(wǎng)絡(luò)管理

6.2.1應(yīng)在信息系統(tǒng)內(nèi)外網(wǎng)網(wǎng)絡(luò)邊界部署防火墻、審計(jì)系統(tǒng)、IPS/IDS等安全設(shè)備；對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行

區(qū)域隔離、保護(hù)；重要的業(yè)務(wù)應(yīng)用服務(wù)器區(qū)部署單獨(dú)的防火墻進(jìn)行保護(hù)。

6.2.2內(nèi)外網(wǎng)網(wǎng)絡(luò)之間要實(shí)行物理隔離。如需進(jìn)行數(shù)據(jù)交換時(shí)，應(yīng)使用符合國(guó)家政策和保密部門認(rèn)可

的安全產(chǎn)品或技術(shù)措施進(jìn)行數(shù)據(jù)傳輸。

6.2.3所有在互聯(lián)網(wǎng)發(fā)布的應(yīng)用系統(tǒng)必須使用網(wǎng)頁(yè)防篡改技術(shù)或?qū)Ｓ冒踩O(shè)備進(jìn)行保護(hù)，確保網(wǎng)站在

受到破壞時(shí)能自動(dòng)恢復(fù)。

6.2.4所有在互聯(lián)網(wǎng)發(fā)布的應(yīng)用系統(tǒng)必須經(jīng)過(guò)有資質(zhì)的專業(yè)信息安全公司或第三方技術(shù)機(jī)構(gòu)的安全測(cè)

評(píng)，確保網(wǎng)站的安全性。

6.2.5采用技術(shù)手段對(duì)網(wǎng)絡(luò)接入進(jìn)行控制。內(nèi)部終端如因工作需要接入Internet或其他網(wǎng)絡(luò)，應(yīng)向所

在部門領(lǐng)導(dǎo)提出申請(qǐng)，經(jīng)批準(zhǔn)后由網(wǎng)絡(luò)管理員提供接入服務(wù)。管理員對(duì)接入端信息做詳細(xì)登記并存檔備

案。外部人員如需接入網(wǎng)絡(luò)，需由部門主管領(lǐng)導(dǎo)批準(zhǔn)，再由網(wǎng)絡(luò)管理員提供臨時(shí)接入服務(wù)。

5

DB23/T2829-2021

6.2.6網(wǎng)絡(luò)管理員負(fù)責(zé)網(wǎng)絡(luò)拓?fù)鋱D的繪制。若網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化要及時(shí)更新拓?fù)鋱D，確保網(wǎng)絡(luò)拓?fù)鋱D

完整、真實(shí)。

6.2.7未經(jīng)批準(zhǔn)，任何人不得改變網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備布局、服務(wù)器和路由器配置以及網(wǎng)絡(luò)參數(shù)。

6.2.8在未經(jīng)許可的情況下，任何人不得進(jìn)入計(jì)算機(jī)系統(tǒng)更改系統(tǒng)信息和用戶數(shù)據(jù)。

6.2.9任何人不得利用計(jì)算機(jī)技術(shù)侵害用戶合法利益，不得制作和傳播有害信息。

6.3運(yùn)維管理

6.3.1建立縱向貫通省、市（地）、縣（區(qū)），橫向連接各接入單位的全省電子政務(wù)外網(wǎng)運(yùn)維管理體

系，實(shí)現(xiàn)對(duì)全網(wǎng)的網(wǎng)絡(luò)設(shè)備、鏈路、業(yè)務(wù)運(yùn)行狀況的統(tǒng)一運(yùn)維監(jiān)控管理。

6.3.2對(duì)信息系統(tǒng)核心設(shè)備采取冗余措施（包括線路及設(shè)備冗余），確保網(wǎng)絡(luò)正常運(yùn)行。

6.3.3對(duì)網(wǎng)絡(luò)、安全設(shè)備進(jìn)行管理時(shí)須采用安全的方式（如加密、SSH等），并嚴(yán)格控制可訪問(wèn)該設(shè)

備的地址和網(wǎng)段。

6.3.4定期對(duì)網(wǎng)絡(luò)系統(tǒng)（服務(wù)器、網(wǎng)絡(luò)設(shè)備）進(jìn)行漏洞掃描，并及時(shí)修補(bǔ)已發(fā)現(xiàn)的安全漏洞。

6.3.5根據(jù)設(shè)備廠商提供的更新軟件對(duì)網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行升級(jí)，在升級(jí)之前要注意對(duì)重要文件

的配置進(jìn)行備份。

6.3.6定期對(duì)重要的網(wǎng)絡(luò)、安全設(shè)備進(jìn)行巡檢，確保重要設(shè)施工作正常，并填寫(xiě)相關(guān)記錄表單歸檔保

存。若在巡檢中發(fā)現(xiàn)安全問(wèn)題要及時(shí)上報(bào)處理。

6.3.7定期對(duì)重要系統(tǒng)服務(wù)器和相關(guān)業(yè)務(wù)數(shù)據(jù)進(jìn)行備份，備份數(shù)據(jù)應(yīng)一式兩份，分別進(jìn)行保存管理。

6.3.8部署專用的網(wǎng)絡(luò)審計(jì)設(shè)備記錄網(wǎng)絡(luò)訪問(wèn)日志，日志的最小保存期限不低于60天，且應(yīng)保證無(wú)一

天以上的中斷。

6.4賬號(hào)管理

6.4.1對(duì)網(wǎng)絡(luò)管理員、安全審計(jì)員等不同用戶建立不同的賬號(hào)，并對(duì)資源管理權(quán)限進(jìn)行劃分，以便于

審計(jì)。

6.4.2網(wǎng)絡(luò)賬號(hào)、密碼設(shè)計(jì)必須滿足長(zhǎng)度、復(fù)雜度要求，用戶須定期更改密碼以保障網(wǎng)絡(luò)賬戶安全。

6.4.3指定專人對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備的賬號(hào)、密碼進(jìn)行統(tǒng)一登記，一式兩份存檔管理。管理員須嚴(yán)守

職業(yè)道德和職業(yè)紀(jì)律，不得將任何賬號(hào)、密碼等信息泄露出去。

6.5惡意代碼管理

6.5.1不得制造和傳播任何計(jì)算機(jī)病毒。

6.5.2網(wǎng)絡(luò)服務(wù)器的病毒防治由網(wǎng)絡(luò)管理員負(fù)責(zé)，網(wǎng)絡(luò)管理員負(fù)責(zé)對(duì)各部門計(jì)算機(jī)的病毒防治工作進(jìn)

行指導(dǎo)和協(xié)助。

6.5.3及時(shí)更新網(wǎng)絡(luò)系統(tǒng)服務(wù)器病毒庫(kù)，定期對(duì)服務(wù)器進(jìn)行全盤掃描殺毒。

6.5.4提高自身的惡意代碼防范意識(shí)，在接收文件或郵件之前，必須先進(jìn)行惡意代碼檢查。

6.5.5已授權(quán)的外來(lái)計(jì)算機(jī)或存儲(chǔ)設(shè)備在接入網(wǎng)絡(luò)之前，必須對(duì)其進(jìn)行惡意代碼掃描。

7安全監(jiān)測(cè)系統(tǒng)技術(shù)規(guī)范

7.1網(wǎng)絡(luò)安全分析

7.1.1對(duì)電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)進(jìn)行多維度分析，實(shí)現(xiàn)對(duì)電子政務(wù)外網(wǎng)的全面安全態(tài)勢(shì)的掌握.

6

DB23/T2829-2021

7.1.2具備基于大數(shù)據(jù)分析能力，對(duì)關(guān)注度級(jí)別較高的安全事件進(jìn)行獨(dú)立模塊化分析，如高危攻擊、

惡意文件、C&C攻擊、郵件威脅、暴力破解、拒絕服務(wù)、異常訪問(wèn)、高危漏洞等。

7.1.3具備通過(guò)從內(nèi)部威脅、外部威脅兩個(gè)層面對(duì)網(wǎng)絡(luò)安全威脅進(jìn)行細(xì)化分析能力。

7.2資產(chǎn)風(fēng)險(xiǎn)分析

具備對(duì)電子政務(wù)外網(wǎng)中涉及到的資產(chǎn)發(fā)現(xiàn)、屬性識(shí)別、資產(chǎn)弱口令、資產(chǎn)脆弱性等情況進(jìn)行識(shí)別和

分析。

7.3溯源取證

具備接口流量信息和黑客信息統(tǒng)計(jì)功能，掌握電子政務(wù)外網(wǎng)流量情況和外部威脅情況，為攻擊事件

溯源提供手段。

7.4安全態(tài)勢(shì)呈現(xiàn)

具備對(duì)采集到的安全數(shù)據(jù)進(jìn)行挖掘分析后的網(wǎng)絡(luò)安全態(tài)勢(shì)的綜合展示能力，為電子政務(wù)外網(wǎng)安全管

理提供輔助決策。

7.5威脅情報(bào)

具備對(duì)于電子政務(wù)外網(wǎng)中出現(xiàn)的惡意IP、惡意文件、惡意域名等通過(guò)威脅情報(bào)進(jìn)行一鍵查詢功能。

威脅情報(bào)功能的數(shù)據(jù)來(lái)源應(yīng)支持包括各級(jí)平臺(tái)共享情報(bào)、探針掃描檢測(cè)數(shù)據(jù)、日志分析數(shù)據(jù)以及第三方

威脅情報(bào)。

8接口技術(shù)規(guī)范

8.1數(shù)據(jù)采集接口

8.1.1接口實(shí)現(xiàn)

接口實(shí)現(xiàn)安全管理系統(tǒng)從安全對(duì)象采集日志數(shù)據(jù)、脆弱性數(shù)據(jù)、配置數(shù)據(jù)和狀態(tài)數(shù)據(jù)信息。

8.1.2數(shù)據(jù)采集方式要求

數(shù)據(jù)采集應(yīng)支持（但不限于）通過(guò)下述手段實(shí)現(xiàn)數(shù)據(jù)的主動(dòng)或被動(dòng)采集：

a)SNMPTrap：應(yīng)啟動(dòng)SNMPService服務(wù)，使用統(tǒng)一的團(tuán)體串在默認(rèn)或自定義端口上監(jiān)聽(tīng)，以

獲取安全設(shè)備發(fā)來(lái)的SNMPTrap信息。

b)SYSLOG：應(yīng)啟動(dòng)SYSLOG服務(wù)，使用默認(rèn)或自定義端口監(jiān)聽(tīng)，以獲取安全設(shè)備發(fā)來(lái)的SYSLOG信

息。

c)文件：應(yīng)具備網(wǎng)絡(luò)文件、本地文件的定期或觸發(fā)提取功能，獲取其中的日志信息。

d)數(shù)據(jù)庫(kù)：應(yīng)具備網(wǎng)絡(luò)數(shù)據(jù)庫(kù)、本地?cái)?shù)據(jù)庫(kù)的定期或觸發(fā)提取功能，獲取其中的日志信息。

e)代理：對(duì)于特殊的、缺乏共性的信息存儲(chǔ)方式，應(yīng)支持通過(guò)編寫(xiě)代理程序方式獲取其中的日志

信息，代理程序應(yīng)支持與目標(biāo)數(shù)據(jù)部署在一起，也支持遠(yuǎn)程部署。

8.1.3系統(tǒng)運(yùn)行狀態(tài)上報(bào)接口

8.1.4上級(jí)安全管理系統(tǒng)需要對(duì)下級(jí)系統(tǒng)的上報(bào)接口實(shí)施周期檢測(cè)，及時(shí)發(fā)現(xiàn)接口異常，減少上報(bào)數(shù)

據(jù)的丟失。

7

DB23/T2829-2021

8.1.5下級(jí)安全管理系統(tǒng)周期性上報(bào)自己狀態(tài)的心跳消息，上級(jí)系統(tǒng)根據(jù)是否能周期收到下級(jí)狀態(tài)的

心跳消息，來(lái)判斷下級(jí)系統(tǒng)上報(bào)是否正常。

8.1.6上報(bào)接口狀態(tài)分為：

a)1——正常：上級(jí)系統(tǒng)收到下級(jí)系統(tǒng)的上報(bào)消息后，將下級(jí)的上報(bào)接口判斷為正常；

b)0——離線：當(dāng)上級(jí)系統(tǒng)在一個(gè)上報(bào)周期內(nèi)未收到上報(bào)信息，則判斷下級(jí)系統(tǒng)的上報(bào)接口離線，

同時(shí)產(chǎn)生該下級(jí)安全管理系統(tǒng)上報(bào)接口離線告警。

8.1.7上報(bào)頻率為10分鐘一次。

8.2風(fēng)險(xiǎn)上報(bào)接口

8.2.1下級(jí)安全管理系統(tǒng)需要向上級(jí)系統(tǒng)上報(bào)本級(jí)系統(tǒng)的安全域的風(fēng)險(xiǎn)值和風(fēng)險(xiǎn)等級(jí)。上報(bào)頻率至少

為10分鐘一次。

8.2.2風(fēng)險(xiǎn)的上報(bào)由上級(jí)安全管理系統(tǒng)進(jìn)行請(qǐng)求。下級(jí)安全管理系統(tǒng)按照請(qǐng)求的內(nèi)容進(jìn)行風(fēng)險(xiǎn)的實(shí)時(shí)

上報(bào)。

8.2.3風(fēng)險(xiǎn)上報(bào)的內(nèi)容包括：系統(tǒng)所屬行政區(qū)編碼，安全域名稱，風(fēng)險(xiǎn)值，風(fēng)險(xiǎn)等級(jí)。

9跨網(wǎng)數(shù)據(jù)交換技術(shù)要求

9.1隔離性要求

9.1.1數(shù)據(jù)庫(kù)數(shù)據(jù)交換

9.1.1.1單向數(shù)據(jù)傳輸采用單向光閘或網(wǎng)閘作為唯一連接通道，通過(guò)協(xié)議轉(zhuǎn)換，以信息擺渡的方式實(shí)

現(xiàn)單向數(shù)據(jù)交換，同時(shí)必須確保數(shù)據(jù)無(wú)反向傳輸。

9.1.1.2雙向數(shù)據(jù)傳輸采用網(wǎng)閘作為唯一連接通道，通過(guò)協(xié)議轉(zhuǎn)換，以信息擺渡的方式實(shí)現(xiàn)雙向數(shù)據(jù)

交換。

9.1.2文件數(shù)據(jù)交換

9.1.2.1單向數(shù)據(jù)傳輸采用單向光閘或網(wǎng)閘作為唯一連接通道，通過(guò)協(xié)議轉(zhuǎn)換，以信息擺渡的方式實(shí)

現(xiàn)單向數(shù)據(jù)交換，同時(shí)必須確保數(shù)據(jù)無(wú)反向傳輸。

9.1.2.2雙向數(shù)據(jù)傳輸采用網(wǎng)閘作為唯一連接通道，通過(guò)協(xié)議轉(zhuǎn)換，以信息擺渡的方式實(shí)現(xiàn)雙向數(shù)據(jù)

交換。

9.1.3設(shè)備認(rèn)證要求

9.1.3.1應(yīng)確保非法設(shè)備無(wú)法通過(guò)數(shù)據(jù)安全交換系統(tǒng)實(shí)現(xiàn)數(shù)據(jù)交換，交換對(duì)象應(yīng)采用IP地址綁定、

設(shè)備數(shù)字證書(shū)或SNMP等方式進(jìn)行設(shè)備認(rèn)證。

9.1.3.2若采用設(shè)備數(shù)字證書(shū)認(rèn)證方式，應(yīng)支持政務(wù)外網(wǎng)數(shù)字證書(shū)。

9.1.4訪問(wèn)控制要求

9.1.4.1支持通過(guò)用戶名口令、數(shù)字證書(shū)方式對(duì)系統(tǒng)管理員和操作員進(jìn)行身份認(rèn)證，認(rèn)證支持政務(wù)外

網(wǎng)數(shù)字證書(shū)，應(yīng)通過(guò)政務(wù)外網(wǎng)現(xiàn)有認(rèn)證體系進(jìn)行認(rèn)證，也可離線認(rèn)證。

9.1.4.2支持對(duì)系統(tǒng)管理員、系統(tǒng)安全員、系統(tǒng)審計(jì)員進(jìn)行不同角色的授權(quán)管理。

9.1.5安全管理與審計(jì)要求

8

DB23/T2829-2021

9.1.6支持實(shí)時(shí)監(jiān)控跨網(wǎng)數(shù)據(jù)安全交換系統(tǒng)業(yè)務(wù)狀態(tài)、通道運(yùn)行狀態(tài)。

9.1.7支持通過(guò)圖、表等方式展現(xiàn)跨網(wǎng)數(shù)據(jù)安全交換系統(tǒng)業(yè)務(wù)相關(guān)統(tǒng)計(jì)信息，并應(yīng)按不同時(shí)間粒度和

區(qū)間匯總。

9.1.8支持對(duì)跨網(wǎng)數(shù)據(jù)安全交換系統(tǒng)的行為、安全事件和交換內(nèi)容等進(jìn)行審計(jì)。

9.1.9支持對(duì)系統(tǒng)管理員、系統(tǒng)安全員、系統(tǒng)審計(jì)員管理行為進(jìn)行審計(jì)。

9.1.10支持安全事件報(bào)警功能。

9.1.11支持配置文件、審計(jì)日志的備份功能，并提供備份數(shù)據(jù)的導(dǎo)入、導(dǎo)出、查詢功能。

9.1.12支持接收符合標(biāo)準(zhǔn)SYSLOG或SNMP接口規(guī)范的審計(jì)日志。

9.1.13支持對(duì)審計(jì)數(shù)據(jù)保存大小上限進(jìn)行動(dòng)態(tài)設(shè)置。

10接入單位局域網(wǎng)安全技術(shù)規(guī)范

10.1單位局域網(wǎng)安全等級(jí)保護(hù)要求

接入政務(wù)外網(wǎng)的局域網(wǎng)應(yīng)依據(jù)等保2.0三級(jí)的要求進(jìn)行建設(shè)。

10.2邊界安全要求

10.2.1公共網(wǎng)絡(luò)區(qū)接入邊界安全要求

公用網(wǎng)絡(luò)區(qū)邊界為接入單位局域網(wǎng)與本級(jí)政務(wù)外網(wǎng)城域網(wǎng)的接入邊界，接入單位局域網(wǎng)應(yīng)通過(guò)防火

墻系統(tǒng)、入侵防御系統(tǒng)和安全審計(jì)系統(tǒng)等與政務(wù)外網(wǎng)進(jìn)行邏輯隔離并對(duì)局域網(wǎng)進(jìn)行安全防護(hù)。

本項(xiàng)要求包括：

a)訪問(wèn)控制：

1)根據(jù)會(huì)話狀態(tài)信息為數(shù)據(jù)流提供明確的允許/拒絕訪問(wèn)能力，控制粒度至少達(dá)到端口級(jí)；

2)應(yīng)對(duì)用戶設(shè)置有限權(quán)限訪問(wèn)政務(wù)外網(wǎng)資源，并限制政務(wù)外網(wǎng)地址訪問(wèn)局域網(wǎng)；

3)對(duì)外提供服務(wù)節(jié)點(diǎn)時(shí)，應(yīng)設(shè)置公用網(wǎng)絡(luò)業(yè)務(wù)DMZ區(qū)，對(duì)該區(qū)單獨(dú)實(shí)施安全策略，允許公用

網(wǎng)絡(luò)區(qū)訪問(wèn)內(nèi)部業(yè)務(wù)區(qū)，禁止內(nèi)部業(yè)務(wù)區(qū)服務(wù)器向外訪問(wèn)。

b)入侵防范：

1)進(jìn)行病毒過(guò)濾和入侵防御，并及時(shí)升級(jí)病毒和攻擊