ICS01.140.03

CCSA12

DB52

貴州省地方標(biāo)準(zhǔn)

DB52/T1619—2021

電子政務(wù)外網(wǎng)與業(yè)務(wù)專網(wǎng)融合規(guī)范

Integrationstandardofe-governmentextranetandbusinessprivate

network

2021-08-18發(fā)布2021-12-01實(shí)施

貴州省市場監(jiān)督管理局發(fā)布

DB52/T1619—2021

目次

前言............................................................................II

1范圍..............................................................................1

2規(guī)范性引用文件....................................................................1

3術(shù)語和定義........................................................................1

4縮略語............................................................................2

5融合平臺架構(gòu)及功能................................................................2

6融合接入要求......................................................................4

7融合管理要求......................................................................5

參考文獻(xiàn).......................................................................6

I

DB52/T1619—2021

前言

本文件按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起

草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任。

本文件由貴州省大數(shù)據(jù)發(fā)展管理局提出并歸口。

本文件起草單位：貴州省機(jī)械電子產(chǎn)品質(zhì)量檢驗(yàn)檢測院、貴州省信息中心、奇安信科技集團(tuán)股份有

限公司、云上貴州大數(shù)據(jù)產(chǎn)業(yè)發(fā)展有限公司、貴陽高科中環(huán)信息技術(shù)有限公司。

本文件主要起草人：宿睿智、劉彥嘉、曾家順、蔣開明、何利江、吳思遠(yuǎn)、韓朱旸、王靜、王世均、

張洋、邵建平、伍思睿、鄧竹義、陳馳、唐昶、孫瑾、王珂。

II

DB52/T1619—2021

電子政務(wù)外網(wǎng)與業(yè)務(wù)專網(wǎng)融合規(guī)范

1范圍

本文件規(guī)定了電子政務(wù)網(wǎng)絡(luò)業(yè)務(wù)融合的術(shù)語和定義、縮略語、融合平臺架構(gòu)及功能、融合接入要求、

融合管理要求等。

本文件適用于電子政務(wù)網(wǎng)絡(luò)外網(wǎng)與非涉密業(yè)務(wù)專網(wǎng)的融合和管理。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

電子政務(wù)網(wǎng)絡(luò)E-governmentnetwork

由基于電子政務(wù)傳輸骨干網(wǎng)的政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)組成的網(wǎng)絡(luò)。

3.2

業(yè)務(wù)專網(wǎng)serviceprivatenetwork

運(yùn)行政務(wù)部門面向社會的專業(yè)性服務(wù)業(yè)務(wù)的網(wǎng)絡(luò)。

3.3

電子政務(wù)外網(wǎng)E-governmentextranet

滿足各級政務(wù)部門向社會提供服務(wù)和管理的業(yè)務(wù)網(wǎng)絡(luò)。

[GB/T25647-2010，定義3.4.3]

3.4

安全策略securityPolicy

用于治理組織及其系統(tǒng)在安全上如何管理、保護(hù)和分發(fā)資產(chǎn)（包括敏感信息）的一組規(guī)則、指導(dǎo)和

實(shí)踐，特別是那些對系統(tǒng)安全及相關(guān)元素具有影響的資產(chǎn)。

[GB/T25069-2010，定義2.3.2]

1

DB52/T1619—2021

3.5

告警warning

針對收集到的安全事件形成的報(bào)警事件。

3.6

邏輯隔離logicIsolation

通過技術(shù)手段使物理上有數(shù)據(jù)通道連接的兩端發(fā)生隔離。

3.7

文件擺渡fileferry.

在網(wǎng)絡(luò)隔離的條件下，在業(yè)務(wù)專網(wǎng)和電子政務(wù)外網(wǎng)之間進(jìn)行的數(shù)據(jù)傳導(dǎo)。

4縮略語

下列縮略語適用于本文件。

APT：高級持續(xù)威脅（AdvancedPersistentThreat）

DDOS:分布式拒絕服務(wù)攻擊（DistributedDenialofService）

FTP：文件傳輸協(xié)議（FileTransferProtocol）

HTTP：超文本傳輸協(xié)議（HyperTextTransferProtocol）

IMAP：交互郵件訪問協(xié)議（InternetMailAccessProtocol）

IP：網(wǎng)際互連協(xié)議（InternetProtocol）

POP3：郵局協(xié)議版本3（PostOfficeProtocol-Version3）

SMB：服務(wù)器信息塊(ServerMessageBlock)

SMTP：簡單郵件傳輸協(xié)議（SimpleMailTransferProtocol）

SQL：結(jié)構(gòu)化查詢語言(StructuredQueryLanguage)

TCP/IP：傳輸控制協(xié)議/網(wǎng)際協(xié)議（TransmissionControlProtocol/InternetProtocol）

VLAN：虛擬局域網(wǎng)（VirtualLocalAreaNetwork）

WWW：全球廣域網(wǎng)（WorldWideWeb）

5融合平臺架構(gòu)及功能

5.1融合平臺邏輯架構(gòu)

見圖1。

2

DB52/T1619—2021

圖1電子政務(wù)外網(wǎng)與業(yè)務(wù)專網(wǎng)融合邏輯架構(gòu)圖

5.2融合平臺描述

5.2.1接入安全系統(tǒng)

對業(yè)務(wù)專網(wǎng)接入機(jī)構(gòu)的邊界接入進(jìn)行安全防護(hù)；保障各業(yè)務(wù)專網(wǎng)單位之間的安全隔離。

5.2.2接入?yún)R聚系統(tǒng)

對各個(gè)業(yè)務(wù)專網(wǎng)至電子政務(wù)外網(wǎng)網(wǎng)絡(luò)流量進(jìn)行匯聚與邏輯隔離，阻止各業(yè)務(wù)專網(wǎng)間在接入?yún)R聚時(shí)進(jìn)

行互通，同時(shí)對匯聚鏈路協(xié)議進(jìn)行解封裝。

5.2.3邊界防護(hù)系統(tǒng)

在接入?yún)R聚的業(yè)務(wù)專網(wǎng)與電子政務(wù)外網(wǎng)之間形成安全防御，并監(jiān)測處置安全威脅；為業(yè)務(wù)專網(wǎng)提供

接入節(jié)點(diǎn)，實(shí)現(xiàn)業(yè)務(wù)專網(wǎng)與電子政務(wù)外網(wǎng)的互聯(lián)互通。

5.2.4訪問交換系統(tǒng)

對于通過訪問交換系統(tǒng)接入到電子政務(wù)外網(wǎng)中的高敏感業(yè)務(wù)，系統(tǒng)提供沒有網(wǎng)絡(luò)協(xié)議穿透的安全接

入，通過固定的文件格式完成對傳輸數(shù)據(jù)的裝載、共享與傳輸。

5.2.5高級威脅監(jiān)測系統(tǒng)

可通過威脅情報(bào)、關(guān)聯(lián)規(guī)則等方式對業(yè)務(wù)專網(wǎng)接入機(jī)構(gòu)流量信息進(jìn)行分析，發(fā)現(xiàn)安全威脅并發(fā)送威

脅情報(bào)和安全事件。

5.3融合平臺功能要求

5.3.1接入安全系統(tǒng)

接入安全系統(tǒng)至少應(yīng)包括以下要求：

a)應(yīng)具備將各業(yè)務(wù)專網(wǎng)安全的與運(yùn)營商城域網(wǎng)鏈路進(jìn)行連接的功能；

b)應(yīng)具備業(yè)務(wù)專網(wǎng)地址到電子政務(wù)外網(wǎng)地址的轉(zhuǎn)換的功能；

3

DB52/T1619—2021

c)應(yīng)具備通過電子政務(wù)外網(wǎng)訪問業(yè)務(wù)專網(wǎng)的應(yīng)用或數(shù)據(jù)服務(wù)映射的功能；

d)應(yīng)具備對網(wǎng)絡(luò)病毒進(jìn)行檢測與過濾的功能；

e)應(yīng)具備對網(wǎng)絡(luò)入侵進(jìn)行檢測與過濾的功能。

5.3.2接入?yún)R聚系統(tǒng)

接入?yún)R聚系統(tǒng)至少應(yīng)包括以下要求：

a)應(yīng)具備與運(yùn)營商城域網(wǎng)鏈路的連接功能；

b)應(yīng)具備將各業(yè)務(wù)專網(wǎng)接入到電子政務(wù)外網(wǎng)的功能；

c)應(yīng)具備通過劃分VLAN或訪問控制等手段將各業(yè)務(wù)專網(wǎng)進(jìn)行邏輯隔離的功能；

d)應(yīng)具備對匯聚鏈路協(xié)議進(jìn)行解封裝，還原原始數(shù)據(jù)包的功能；

e)應(yīng)具備連接邊界防護(hù)系統(tǒng)和訪問交換系統(tǒng)的功能。

5.3.3邊界防護(hù)系統(tǒng)

邊界防護(hù)系統(tǒng)至少應(yīng)包括以下要求：

a)應(yīng)具備抵御DDoS攻擊的功能；

b)應(yīng)具備對惡意IP、端口進(jìn)行封堵的功能；

c)應(yīng)具備對網(wǎng)絡(luò)病毒進(jìn)行檢測與過濾的功能；

d)應(yīng)具備對網(wǎng)絡(luò)入侵進(jìn)行檢測與過濾的功能。

5.3.4訪問交換系統(tǒng)

訪問交換系統(tǒng)至少應(yīng)包括以下要求：

a)應(yīng)具備通過NFS、SMB、FTP等文件傳輸協(xié)議，實(shí)現(xiàn)文件的交換的功能；

b)應(yīng)具備實(shí)時(shí)音視頻傳輸?shù)墓δ埽?/p>

c)應(yīng)具備數(shù)據(jù)庫和異構(gòu)數(shù)據(jù)庫同步更新的功能；

d)應(yīng)具備對傳輸數(shù)據(jù)類型進(jìn)行檢查及過濾；對數(shù)據(jù)內(nèi)容進(jìn)行識別和過濾的功能。

5.3.5高級威脅監(jiān)測系統(tǒng)

高級威脅監(jiān)測系統(tǒng)至少應(yīng)包括以下要求：

a)應(yīng)具備對APT攻擊、新型木馬、特種免殺木馬進(jìn)行描述的功能并能確認(rèn)攻擊手段、攻擊對象和

攻擊目的；

b)應(yīng)具備檢測網(wǎng)絡(luò)攻擊（如sql注入、跨站、webshell、命令執(zhí)行、文件包含等web攻擊行為）

并發(fā)出報(bào)警的功能。

c)應(yīng)具備對所有網(wǎng)絡(luò)行為進(jìn)行記錄、預(yù)處理、檢索和攻擊定位的功能；

d)應(yīng)具備對所有網(wǎng)絡(luò)流量進(jìn)行采集并還原的功能。

6融合接入要求

6.1接入方式

6.1.1電子政務(wù)外網(wǎng)應(yīng)與本地網(wǎng)絡(luò)運(yùn)營機(jī)構(gòu)城域網(wǎng)專線進(jìn)行連接。

6.1.2應(yīng)通過專線將業(yè)務(wù)專網(wǎng)與電子政務(wù)外網(wǎng)進(jìn)行網(wǎng)絡(luò)連接。

6.1.3應(yīng)通過劃分VLAN、訪問控制等手段將業(yè)務(wù)專網(wǎng)數(shù)據(jù)進(jìn)行邏輯隔離。

6.1.4應(yīng)對業(yè)務(wù)專網(wǎng)傳輸?shù)臄?shù)據(jù)進(jìn)行協(xié)議轉(zhuǎn)換，并可在電子政務(wù)外網(wǎng)骨干網(wǎng)傳輸。

4

DB52/T1619—2021

6.2互通方式

6.2.1數(shù)據(jù)文件交換

數(shù)據(jù)交換通過文件擺渡方式進(jìn)行交換。

默認(rèn)關(guān)閉所有TCP/IP端口，僅允許開放必要TCP/IP端口。

對交換的數(shù)據(jù)包括數(shù)據(jù)來源、傳輸發(fā)生時(shí)間、傳輸完整性、是否遵守策略規(guī)則、行為是否成功、

交換結(jié)束時(shí)間等進(jìn)行審計(jì)留存。

對訪問控制策略的制定、實(shí)施和管理應(yīng)由業(yè)務(wù)專網(wǎng)接入機(jī)構(gòu)與電子政務(wù)外網(wǎng)管理機(jī)構(gòu)共同負(fù)

責(zé)。

6.3接入安全

應(yīng)符合GB/T22239的規(guī)定。

7融合管理要求

7.1申請

由業(yè)務(wù)專網(wǎng)接入機(jī)構(gòu)向電子政務(wù)外網(wǎng)管理機(jī)構(gòu)提交申請表，申請接入電子政務(wù)外網(wǎng)。

7.2審核

由電子政務(wù)外網(wǎng)管理機(jī)構(gòu)審查核準(zhǔn)，聯(lián)系業(yè)務(wù)專網(wǎng)接入機(jī)構(gòu)、網(wǎng)絡(luò)運(yùn)營機(jī)構(gòu)接通專線并做好網(wǎng)絡(luò)數(shù)

據(jù)配置。

7.3地址映射

由電子政務(wù)外網(wǎng)管理單位統(tǒng)一分配政務(wù)網(wǎng)業(yè)務(wù)地址，并按以下情況處理地址映射：

a)業(yè)務(wù)系統(tǒng)IP地址為非電子政務(wù)外網(wǎng)地址時(shí)，由電子政務(wù)外網(wǎng)管理機(jī)構(gòu)的外網(wǎng)側(cè)將業(yè)務(wù)專網(wǎng)真

實(shí)業(yè)務(wù)系統(tǒng)地址映射到電子政務(wù)外網(wǎng)業(yè)務(wù)地址；

b)業(yè)務(wù)系統(tǒng)IP地址為電子政務(wù)外網(wǎng)地址的，不應(yīng)做地址映射。

7.4配置

電子政務(wù)外網(wǎng)管理機(jī)構(gòu)在電子政務(wù)外網(wǎng)的外網(wǎng)側(cè)配置邊界防護(hù)與訪問交換策略。

7.5測試

電子政務(wù)外網(wǎng)管理機(jī)構(gòu)與業(yè)務(wù)專網(wǎng)接入機(jī)構(gòu)共同測試業(yè)務(wù)數(shù)據(jù)訪問。

7.6監(jiān)測

應(yīng)監(jiān)測業(yè)務(wù)專網(wǎng)傳輸至電子政務(wù)外網(wǎng)的數(shù)據(jù)流量