DB23/T 2829-2021 电子政务外网安全管理规范 第一部分:网络安全总体要求.pdf
- 文档部分内容预览:
5.3.2.1接人单位通过公众网络登录安全接人平台门户发起申请,由本级政务外网运维单位审核通过 后,根据接入业务不同下发接入必需资源,如统一业务入口或者SSLVPN服务地址、客户端软件、用 户证书等。 5.3.2.2PSecVPN接入用户通过客户端发起请求,SSLVPN接入用户通过WEB方式发起请求,智终 瑞用户利用移动终端安全接入软件(APP)发起请求。 5.3.2.3网关通过认证平台对接入用户进行认证,认证成功后双方建立安全连接。 5.3.2.4接入用户通过VPN网关建立的安全连接访问政务外网业务。
5.3.3VPDN移动专线接入
5.4.1省级安全接入平台部署
5.4.1.2统一入口区由防火墙、VPDN接入所需的LNS路由器、移动终端管理系统、门户组成;防火 墙实现安全接入平台的访问控制;移动终端管理系统用于接入智能终端的策略下发玻璃钢管标准,远程擦除;门户提 共用户注册申请、客户端软件下载、SSLVPN登录、业务异常申报等功能。LNS路由器提供VPDN专线 用户二次认证功能。
5.4.1.3VPN网关集群是由IPSecVPN网关、SSLVPN网关组成的VPN网关池,实现用户的身份认 证、权限管理、传输加密;负载均衡设备提供VPN网关的负载分配。 5.4.1.4接入管理区部署配置管理系统、监测系统、安全审计系统,实现平台设备的配置管理、安全 接入平台的运行监测和接入用户行为审计。 5.4.1.5认证区部署LDAP、RADIUS等认证系统,实现接入用户的统一认证授权功能。如果已建设政 务外网CA,LDAP可从CA导入证书条目、证书注销列表等信息用于用户证书有效性检查协助认证。
5.4.2市(地)级安全接入平台部署
5.4.2.1市(地)级安全接入平台划分为四个区域进行部署
5.4.2.2统一入口区由防火墙、门户组成;防火墙实现安全接入平台的访问控制。门户提供用户注册 申请、客户端软件下载、SSLVPN登录、业务异常申报等功能,如有移动接入需求,应增加必要移动终 端管理系统。 5.4.2.3VPN网关由IPSecVPN网关和SSLVPN网关组成,实现用户的身份认证、权限管理、传输 加密。 5.4.2.4接入管理区配置管理/审计服务器,实现VPN网关的配置管理、安全接入平台的运行监测、 用户的接入审计和安全接入平台的安全审计。 5.4.2.5认证区配置LDAP、RADIUS等认证服务器,实现接入用户的统一认证功能。市(地)VPDN用 户可通过省级安全接入平台接入。县级安全接入平台可参照市(地)级安全接入平台部署。
6.1网络安全管理职责
5.1.1网络管理系统要分别设立网络管理员和网络安全审计员,并分别由不同的人员担任。 6.1.2网络管理员根据网络访问控制策略要求,进行网络设备参数设置,更新和维护等工作;对网络 设备实行分级授权管理,按照不同的管理级别进行权限分配。 6.1.3网络安全审计员对网络管理员的登录和操作内容进行审计,一月内至少审计一次日志报表;对 网络配置与网络访问控制策略进行符合性检查。
6.2.6网络管理员负责网络拓扑图的绘制。若网络结构发生变化要及时更新拓扑图,确保网络拓扑图 完整、真实。 6.2.7未经批准,任何人不得改变网络拓扑结构、网络设备布局、服务器和路由器配置以及网络参数, 6.2.8在未经许可的情况下,任何人不得进入计算机系统更改系统信息和用户数据。 6.2.9任何人不得利用计算机技术侵害用户合法利益,不得制作和传播有害信息
6.3.1建立纵向贯通省、市(地)、县(区),横向连接各接入单位的全省电子政务外网运维管理体 系,实现对全网的网络设备、链路、业务运行状况的统一运维监控管理。 3.3.2对信息系统核心设备采取元余措施(包括线路及设备元余),确保网络正常运行。 6.3.3对网络、安全设备进行管理时须采用安全的方式(如加密、SSH等),并严格控制可访问该设 备的地址和网段。 3.3.4定期对网络系统(服务器、网络设备)进行漏洞扫描,并及时修补已发现的安全漏洞。 6.3.5根据设备厂商提供的更新软件对网络设备和安全设备进行升级,在升级之前要注意对重要文件 的配置进行备份。 6.3.6定期对重要的网络、安全设备进行巡检,确保重要设施工作正常,并填写相关记录表单归档保 存。若在巡检中发现安全问题要及时上报处理。 6.3.7定期对重要系统服务器和相关业务数据进行备份,备份数据应一式两份,分别进行保存管理。 6.3.8部署专用的网络审计设备记录网络访问日志,日志的最小保存期限不低于60天,且应保证无 天以上的中断。
6.3.1建立纵向贯通省、市(地)、县(区),横向连接各接入单位的全省电子政务外网运维管理体 系,实现对全网的网络设备、链路、业务运行状况的统一运维监控管理。 3.3.2对信息系统核心设备采取元余措施(包括线路及设备元余),确保网络正常运行。 6.3.3对网络、安全设备进行管理时须采用安全的方式(如加密、SSH等),并严格控制可访问该设 备的地址和网段。 6.3.4定期对网络系统(服务器、网络设备)进行漏洞扫描,并及时修补已发现的安全漏洞 6.3.5根据设备厂商提供的更新软件对网络设备和安全设备进行升级,在升级之前要注意对重要文件 的配置进行备份。 6.3.6定期对重要的网络、安全设备进行巡检,确保重要设施工作正常,并填写相关记录表单归档保 存。若在巡检中发现安全问题要及时上报处理。 6.3.7定期对重要系统服务器和相关业务数据进行备份,备份数据应一式两份,分别进行保存管理。 6.3.8部署专用的网络审计设备记录网络访问日志,日志的最小保存期限不低于60天,且应保证无 天以上的中断。
6.4.1对网络管理员、安全审计员等不同用户建立不同的账号,并对资源管理权限进行划分,以便于 审计。 6.4.2 网络账号、密码设计必须满足长度、复杂度要求,用户须定期更改密码以保障网络账户安全。 6.4.3指定专人对服务器和网络设备的账号、密码进行统一登记,一式两份存档管理。管理员须严守 职业道德和职业纪律,不得将任何账号、密码等信息泄露出去。
6.5.1不得制造和传播任何计算机病毒。 6.5.2网络服务器的病毒防治由网络管理员负责,网络管理员负责对各部门计算机的病毒防治工作进 行指导和协助。 6.5.3及时更新网络系统服务器病毒库,定期对服务器进行全盘扫描杀毒。 6.5.4提高自身的恶意代码防范意识,在接收文件或邮件之前,必须先进行恶意代码检查。 6.5.5已授权的外来计算机或存储设备在接入网络之前,必须对其进行恶意代码扫描。
7安全监测系统技术规范
对电子政务外网网络安全态势进行多维度分析,实现对电子政务外网的全面安全态势的掌握
具备对电子政务外网中涉及到的资产发现、属性识别、资产弱口令、资产脆弱性等情况进行识 析。
具备接口流量信息和黑客信息统计功能,掌握电子政务外网流量情况和外部威胁情况,为攻击 源提供手段。
具备对采集到的安全数据进行挖掘分析后的网络安全态势的综合展示能力,为电子政务外网安 提供辅助决策。
威胁情报功能的数据来源应支持包括各级平台共享情报、探针扫描检测数据、日志分析数据以及第三方 威胁情报。
8.1.2数据采集方式要求
数据采集应支持(但不限于)通过下述手段实现数据的主动或被动采集: a)SNMPTrap:应启动SNMPService服务,使用统一的团体串在默认或自定义端口上监听,以 获取安全设备发来的SNMPTrap信息。 b)SYSLOG:应启动SYSLOG服务,使用默认或自定义端口监听,以获取安全设备发来的SYSLOG信 息。 c)文件:应具备网络文件、本地文件的定期或触发提取功能,获取其中的日志信息。 数据库:应具备网络数据库、本地数据库的定期或触发提取功能,获取其中的日志信息。 e)代理:对于特殊的、缺乏共性的信息存储方式,应支持通过编写代理程序方式获取其中的日志 信息,代理程序应支持与目标数据部署在一起,也支持远程部署。
8.1.3系统运行状态上报接口
8.1.5下级安全管理系统周期性上报自已状态的心跳消息,上级系统根据是否能周期收到下级状态的 心跳消息,来判断下级系统上报是否正常。 8.1.6上报接口状态分为: a)1一一正常:上级系统收到下级系统的上报消息后,将下级的上报接口判断为正常: b)0一一离线:当上级系统在一个上报周期内未收到上报信息,则判断下级系统的上报接口离线: 同时产生该下级安全管理系统上报接口离线告警。 8.1.7上报频率为10分钟一次。
8.2.1下级安全管理系统需要向上级系统上报本级系统的安全域的风险值和风险等级。上报频率至少 为10分钟一次。 8.2.2风险的上报由上级安全管理系统进行请求。下级安全管理系统按照请求的内容进行风险的实时 上报。 8.2.3风险上报的内容包括:系统所属行政区编码,安全域名称,风险值,风险等级
9跨网数据交换技术要求
2.1.1数据库数据交换
9.1.1.1单向数据传输采用单向光闸或网闸作为唯一连接通道,通过协议转换,以信息摆渡的方式实 现单向数据交换,同时必须确保数据无反向传输。 9.1.1.2双向数据传输采用网闸作为唯一连接通道,通过协议转换,以信息摆渡的方式实现双向数据 交换。
9.1.2文件数据交换
9.1.2.1单向数据传输采用单向光闸或网闸作为唯一连接通道,通过协议转换,以信息摆渡的方式实 现单向数据交换,同时必须确保数据无反向传输。 9.1.2.2双向数据传输采用网闸作为唯一连接通道,通过协议转换,以信息摆渡的方式实现双向数据 交换。
9.1.3设备认证要求
9.1.3.1应确保非法设备无法通过数据安全交换系统实现数据交换,交换对象应采用IP地址绑定、 设备数字证书或SNMP等方式进行设备认证 9.1.3.2若采用设备数字证书认证方式,应支持政务外网数字证书。
9.1.4访问控制要求
9.1.4.1支持通过用户名口令、数字证书方式对系统管理员和操作员进行身份认证,认证支持政务外 网数字证书,应通过政务外网现有认证体系进行认证,也可离线认证。 9.1.4.2支持对系统管理员、系统安全员、系统审计员进行不同角色的授权管理,
9.1.5安全管理与审计要求
9.1.6支持实时监控跨网数据安全交换系统业务状态、通道运行状态。 9.1.7支持通过图、表等方式展现跨网数据安全交换系统业务相关统计信息,并应按不同时间粒度和 区间汇总。 9.1.8支持对跨网数据安全交换系统的行为、安全事件和交换内容等进行审计。 9.1.9支持对系统管理员、系统安全员、系统审计员管理行为进行审计。 9.1.10支持安全事件报警功能, 9.1.11支持配置文件、审计日志的备份功能,并提供备份数据的导入、导出、查询功能 9.1.12支持接收符合标准SYSLOG或SNMP接口规范的审计日志。 9.1.13支持对审计数据保存大小上限进行动态设置
10接入单位局域网安全技术规范
圆钢标准10.1单位局域网安全等级保护要求
收务外网的局域网应依据等保2.0三级的要求进行
10.2.1公共网络区接入边界安全要求
公用网络区边界为接入单位局域网与本级政务外网城域网的接入边界,接入单位局域网应通过防火 墙系统、入侵防御系统和安全审计系统等与政务外网进行逻辑隔离并对局域网进行安全防护。 本项要求包括: a)访控制: 1) 根据会话状态信息为数据流提供明确的允许/拒绝访问能力,控制粒度至少达到端口级; 应对用户设置有限权限访问政务外网资源,并限制政务外网地址访问局域网; 3) 对外提供服务节点时,应设置公用网络业务DMZ区,对该区单独实施安全策略,允许公用 网络区访问内部业务区,禁止内部业务区服务器向外访问。 b) 入侵防范: 1)进行病毒过滤和入侵防御,并及时升级病毒和攻击特征库; 2)对病毒和入侵攻击行为进行实时告警及阻断。 C 安全审计: 1)记录攻击源IP、攻击类型、攻击目的IP、攻击时间等关键信息; 2 记录公用网络访问行为、网络地址转换日志等信息; 3)审计信息应至少保存6个月
10.2.2互联网接入区接入边界安全要求
利用政务外网互联网接人区接入的单位,应单独设置防火墙系统、人侵防御系统、安全审计系统等 进行安全防护。接入单位部署IPSecVPN、SSLVPN等安全接入设备时,应符合《国家电子政务外网IPSecVPN 安全接入技术要求与实施指南》和《国家电子政务外网安全接入平台技术规范》要求。 本项要求包括: a)访问控制: 1)根据会话状态信息为数据流提供明确的允许或拒绝访问能力,控制粒度至少达到端口级; 2)能够对互联网流量和最大连接数进行控制,控制粒度为终端用户级:
3)应对用户访问互联网进行流量控制和管理; 4)对外提供服务节点时,应设置互联网DMZ区工程质量标准规范范本,对该区单独实施安全策略,允许互联网访 问互联网DMZ区服务器,禁止互联网DMZ区服务器向外访问。 b)入侵防范: 1)应对攻击行为进行实时告警; 2)应针对端口扫描、强力攻击、木马后门攻击、缓冲区溢出攻击、IP碎片和网络蠕虫等攻击 行为进行阻断: 3)应提供针对文件型、混合型病毒过滤功能,并及时更新病毒特征库。 C)安全审计 1)记录攻击源IP、攻击类型、攻击目的IP、攻击时间等关键信息; 2)记录互联网访问行为、网络地址转换NAT日志等信息; 3)审计信息应至少保存6个月
10.2.3专用网络区接入边界安全要求
专用网络区边界安全由接入单位按照该专用网络区的纵向电子政务外网主管单位要求进行 问控制、入侵防范和安全审计等要求可参照公用网络区接入边界安全要求,
....- 电子标准
- 相关专题: 电子政务