《電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入技術(shù)規(guī)范》

ICS35.020

CCSL70

團體標(biāo)準(zhǔn)

T/EGAGXXXX—XXXX

電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入

技術(shù)規(guī)范

TechnicalrequirementsforsecureconnectionofDepartmentAccessNetworkwith

E-GovernmentNetwork

（征求意見稿）

在提交反饋意見時，請將您知道的相關(guān)專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

廣東省電子政務(wù)協(xié)會??發(fā)布

T/EGAGXXXX—XXXX

電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入

技術(shù)規(guī)范

1范圍

本文件規(guī)定了廣東省單位接入網(wǎng)接入電子政務(wù)外網(wǎng)的安全技術(shù)規(guī)范。

本文件適用于指導(dǎo)廣東省各單位接入網(wǎng)按安全技術(shù)規(guī)范接入電子政務(wù)外網(wǎng)。單位接入網(wǎng)內(nèi)的網(wǎng)絡(luò)和

安全工作由各單位自行建設(shè)管理。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GW0015-2022政務(wù)外網(wǎng)終端一機兩用安全管控技術(shù)指南

GW0206-2014接入政務(wù)外網(wǎng)的局域網(wǎng)安全技術(shù)規(guī)范

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

電子政務(wù)外網(wǎng)E-GovernmentNetwork

我國電子政務(wù)的重要基礎(chǔ)設(shè)施，與互聯(lián)網(wǎng)安全邏輯隔離，與政務(wù)內(nèi)網(wǎng)物理隔離，滿足各級政務(wù)部門

經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務(wù)等方面需要的政務(wù)公用網(wǎng)絡(luò)。

單位接入網(wǎng)DepartmentAccessNetwork

電子政務(wù)外網(wǎng)接入單位自行建設(shè)和管理的內(nèi)部局域網(wǎng)絡(luò)或業(yè)務(wù)專網(wǎng)。

終端Terminal

通過固定網(wǎng)絡(luò)或移動通訊網(wǎng)絡(luò)接入的輸入輸出設(shè)備。本規(guī)范內(nèi)一般指單位接入網(wǎng)內(nèi)辦公人員日常辦

公或輔助辦公所用的計算機終端、移動終端、物聯(lián)終端，如臺式計算機、筆記本電腦、智能手機或視頻

會議終端、攝像頭、打印機、IP電話、門禁等。

城域網(wǎng)MetropolitanAreaNetwork

用于實現(xiàn)本級行政區(qū)域內(nèi)政務(wù)部門的橫向連接，包括中央、省、市、縣四級城域網(wǎng)。

廣域網(wǎng)WideAreaNetwork

用于實現(xiàn)各級城域網(wǎng)縱向跨級互聯(lián)，包括央省、省市、市縣三級廣域網(wǎng)。

4縮略語

下列縮略語適用于本文件。

IP：網(wǎng)際互連協(xié)議（InternetProtocol）

IPv6：網(wǎng)際互連協(xié)議第6版（InternetProtocolVersion6）

VPDN：虛擬專有撥號網(wǎng)絡(luò)（VirtualPrivateDialNetwork）

IPS：入侵防御系統(tǒng)（IntrusionPreventionSystem）

1

T/EGAGXXXX—XXXX

WAF：Web應(yīng)用防護系統(tǒng)（WebApplicationFirewall）

DDOS：分布式拒絕服務(wù)攻擊（DistributedDenialofService）

ICP：網(wǎng)絡(luò)內(nèi)容服務(wù)商（InternetContentProvider）

CA：數(shù)字證書認(rèn)證中心(CertificateAuthority)

IPSec：IP安全協(xié)議(InternetProtocolSecurity)

SSL：安全套接層(SecureSocketLayer)

VPN：虛擬專用網(wǎng)(VirtualPrivateNetwork)

MAC：網(wǎng)絡(luò)設(shè)備物理地址(MediaAccessControlAddress)

NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）

5電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入基礎(chǔ)架構(gòu)

網(wǎng)絡(luò)接入模式

電子政務(wù)外網(wǎng)接入模式可分為終端接入、系統(tǒng)接入和整網(wǎng)對接三種，接入單位可采用其中一種或多

種接入模式接入電子政務(wù)外網(wǎng)：

a)終端接入模式適用于單位接入網(wǎng)內(nèi)中僅有終端設(shè)備接入需求的場景；

b)系統(tǒng)接入模式適用于單位接入網(wǎng)內(nèi)中僅有應(yīng)用系統(tǒng)接入需求的場景；

c)整網(wǎng)對接模式適用于非涉密業(yè)務(wù)專網(wǎng)與電子政務(wù)外網(wǎng)對接場景。

圖1給出了三種單位接入網(wǎng)安全接入模式場景示意。

圖1三種單位接入網(wǎng)安全接入模式示意

2

T/EGAGXXXX—XXXX

網(wǎng)絡(luò)功能架構(gòu)

單位接入網(wǎng)接入電子政務(wù)外網(wǎng)通常利用Internet、移動通信網(wǎng)絡(luò)、VPDN等基礎(chǔ)網(wǎng)絡(luò)，為各級政務(wù)

部門、企事業(yè)單位、移動辦公人員、現(xiàn)場執(zhí)法人員和公眾用戶提供安全接入。單位接入網(wǎng)接入電子政務(wù)

外網(wǎng)共用業(yè)務(wù)網(wǎng)絡(luò)平面的，其網(wǎng)絡(luò)功能架構(gòu)如圖2所示。

圖2單位接入網(wǎng)接入電子政務(wù)外網(wǎng)網(wǎng)絡(luò)功能架構(gòu)示意

6電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入要求

根據(jù)廣東省電子政務(wù)外網(wǎng)單位接入網(wǎng)接入模式的不同，其安全接入要求分為三種不同接入模式的安

全技術(shù)要求及管理要求，具體規(guī)范如下：

終端接入安全技術(shù)要求

6.1.1總體要求

單位接入網(wǎng)終端接入政務(wù)外網(wǎng)的，需遵循終端接入安全的總體要求如下：

a)各單位接入終端需明確接入終端范圍及各終端的接入方式；

b)各單位接入終端需通過身份認(rèn)證技術(shù)要求，明確接入終端的合法身份；

c)辦公終端安全要求應(yīng)包括準(zhǔn)入控制、惡意代碼防范、終端入侵防護、非法外聯(lián)控制、安全基

線檢查、漏洞檢測修復(fù)、數(shù)據(jù)安全防護、終端軟件管理、終端補丁管理、終端資產(chǎn)管理、終

端精準(zhǔn)阻斷等方面，具體應(yīng)滿足GW0015—2022的要求；；

d)移動終端安全要求應(yīng)包括軟硬件環(huán)境安全、準(zhǔn)入控制、隧道加密、數(shù)據(jù)安全防護等方面。對

移動終端訪問政務(wù)外網(wǎng)敏感業(yè)務(wù)時，應(yīng)采用沙箱技術(shù)，實現(xiàn)終端數(shù)據(jù)安全防護，具體應(yīng)滿足

GW0015-2022的要求；

e)各單位接入終端接入多個網(wǎng)絡(luò)時，應(yīng)滿足安全隔離要求，實現(xiàn)接入政務(wù)外網(wǎng)時實現(xiàn)與其他網(wǎng)

絡(luò)的隔離；

f)接入終端訪問政務(wù)外網(wǎng)敏感業(yè)務(wù)時，應(yīng)采用沙箱及密碼技術(shù)，確保敏感數(shù)據(jù)落入終端沙箱后

加密存儲，限制終端數(shù)據(jù)外發(fā)途徑，防止終端數(shù)據(jù)的泄露；

g)物聯(lián)終端應(yīng)通過網(wǎng)絡(luò)準(zhǔn)入認(rèn)證后方可接入電子政務(wù)外網(wǎng)，應(yīng)識別物聯(lián)終端資產(chǎn)類型，主動發(fā)

現(xiàn)私接、仿冒等終端異常接入電子政務(wù)外網(wǎng)行為；

h)對于終端用戶的登錄行為應(yīng)留存日志，并標(biāo)記為終端安全日志，便于快速審計定位。

3

T/EGAGXXXX—XXXX

6.1.2身份認(rèn)證

用戶使用終端接入政務(wù)外網(wǎng)時，應(yīng)使用身份鑒別的認(rèn)證機制，確保非授權(quán)的終端與用戶無法接入政

務(wù)外網(wǎng)。終端與用戶的身份認(rèn)證應(yīng)滿足以下要求：

a)接入政務(wù)外網(wǎng)的用戶終端應(yīng)實現(xiàn)用戶與終端實名綁定，以便后續(xù)審計溯源；

b)對于接入政務(wù)外網(wǎng)的移動智能終端、計算機終端應(yīng)采用口令認(rèn)證、基于密碼技術(shù)的認(rèn)證或硬

件MAC地址認(rèn)證等鑒別技術(shù)提供多因子統(tǒng)一身份認(rèn)證功能；對于視頻會議終端，應(yīng)結(jié)合視頻

傳輸協(xié)議，采用硬件MAC地址、端口或目的地址等設(shè)備唯一性因素進行合法性鑒別；

c)支持實時或定時對各類入網(wǎng)設(shè)備的設(shè)備類型、設(shè)備廠商、品牌型號、操作系統(tǒng)等識別，并及

時發(fā)現(xiàn)入網(wǎng)設(shè)備仿冒行為；

d)身份認(rèn)證觸發(fā)異常場景時，應(yīng)完成基于用戶生物特征識別或非對稱密碼技術(shù)的增強認(rèn)證才可

登錄。異常場景包括但不限于：賬號首次登錄、用戶在某終端首次登錄、空閑帳號登錄、弱

密碼登錄、非常規(guī)時間登錄、非常用地點登錄等；

e)登錄用戶的身份鑒別信息應(yīng)具有復(fù)雜度要求并定期更換。

6.1.3安全檢查

每次終端接入政務(wù)外網(wǎng)前，單位接入網(wǎng)內(nèi)的安全設(shè)備或接入?yún)R聚設(shè)備應(yīng)對終端進行安全檢查，不符

合要求的終端不允許接入政務(wù)外網(wǎng)。終端安全檢查應(yīng)包括但不限于以下內(nèi)容：

a)終端是否安裝運行了防病毒軟件；

b)終端是否存在弱口令賬戶；

c)終端是否運行了惡意進程或軟件；

d)終端是否開啟系統(tǒng)防火墻；

e)終端登錄的時間和地點是否在規(guī)定范圍內(nèi)。

f)終端網(wǎng)絡(luò)行為和流量是否存在異常，禁止私接和異常訪問行為。

6.1.4傳輸加密

終端應(yīng)采用國家核準(zhǔn)的密碼技術(shù)保證通信傳輸?shù)陌踩?，包括但不限于采用SSL或IPSEC等密碼技術(shù)手

段，對終端通信數(shù)據(jù)進行加密傳輸，保證數(shù)據(jù)在傳輸過程中的安全性。

6.1.5權(quán)限控制

單位接入終端對政務(wù)外網(wǎng)的訪問進行動態(tài)權(quán)限控制，應(yīng)包括但不限于以下內(nèi)容；

a)根據(jù)終端接入方式（無線AP接入、有線接入）、終端類型、用戶部門等不同接入類型，采用

網(wǎng)絡(luò)隔離、虛擬化等方式進行管控；

b)按權(quán)限最小化原則嚴(yán)格控制訪問資源，控制接入終端所能訪問的網(wǎng)段或指定應(yīng)用端口及協(xié)議；

按近源策略控制原則防御終端風(fēng)險，防止終端風(fēng)險在接入網(wǎng)內(nèi)部進行擴散；

c)對接入終端進行持續(xù)的信任評估，結(jié)合終端類型、用戶身份、安全狀態(tài)、網(wǎng)絡(luò)行為、訪問時

間、接入位置等信息動態(tài)調(diào)整信任評估值，并根據(jù)信任評估值對接入用戶實現(xiàn)動態(tài)準(zhǔn)入控制、

動態(tài)授權(quán)管理等。

6.1.6安全隔離

接入終端在電子政務(wù)外網(wǎng)接入時如需多網(wǎng)絡(luò)訪問，應(yīng)對各網(wǎng)絡(luò)訪問進行安全隔離。隔離手段應(yīng)滿足：

a)當(dāng)終端同時訪問互聯(lián)網(wǎng)和政務(wù)外網(wǎng)時，應(yīng)支持網(wǎng)絡(luò)隔離，確保訪問政務(wù)外網(wǎng)時，終端不能同

時訪問互聯(lián)網(wǎng)，終端訪問互聯(lián)網(wǎng)時，不能同時訪問政務(wù)外網(wǎng)；

b)對終端訪問政務(wù)外網(wǎng)敏感業(yè)務(wù)時，對終端數(shù)據(jù)進行安全隔離和加密存儲，采用沙箱和密碼技

術(shù)，確保敏感數(shù)據(jù)落入終端沙箱后加密存儲，限制終端數(shù)據(jù)外發(fā)途徑，防止終端數(shù)據(jù)的泄露。

c)二級單位獨立建設(shè)接入網(wǎng)，通過一級單位接入網(wǎng)接入政務(wù)外網(wǎng)時，應(yīng)在一級單位建立二級單

位接入?yún)^(qū)，對訪問流量進行策略控制、入侵檢測和病毒檢測。

6.1.7邊界防護

政務(wù)外網(wǎng)城域網(wǎng)安全防護區(qū)應(yīng)具備對終端訪問的邊界安全防護能力，包括但不限于：

4

T/EGAGXXXX—XXXX

a)按權(quán)限最小化原則嚴(yán)格控制訪問資源，控制粒度達端口級，能基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容對數(shù)

據(jù)流實現(xiàn)訪問控制；

b)支持入侵防范安全策略部署，通過分析網(wǎng)絡(luò)流量檢測僵尸、木馬、蠕蟲等惡意威脅入侵，并

通過入侵防御能力，實時地終止入侵行為；

c)支持對病毒、蠕蟲、僵尸網(wǎng)絡(luò)等惡意流量的檢測、分析、阻斷和清除，支持對多層壓縮文件

查殺，支持基于文件MD5值設(shè)置惡意文件/程序白名單。

系統(tǒng)接入安全技術(shù)要求

6.2.1總體要求

系統(tǒng)接入安全總體要求如下：

a)各單位申請接入電子政務(wù)外網(wǎng)時，應(yīng)明確本單位接入網(wǎng)的邊界和范圍，單位接入網(wǎng)內(nèi)的應(yīng)用

系統(tǒng)應(yīng)經(jīng)登記備案后接入，后續(xù)若有調(diào)整，應(yīng)向本級政務(wù)外網(wǎng)主管單位申請變更；

b)各單位應(yīng)根據(jù)GW0206-2014的要求做好單位接入網(wǎng)內(nèi)部的安全防護；

c)各接入應(yīng)用系統(tǒng)和網(wǎng)絡(luò)設(shè)備等均應(yīng)支持IPv6協(xié)議，宜部署雙棧模式接入；不支持IPv6協(xié)議

的，應(yīng)逐步進行改造，改造詳情可參照GDZW0034.3-2020的要求執(zhí)行；

d)應(yīng)用系統(tǒng)應(yīng)使用政務(wù)外網(wǎng)IP地址接入，明細(xì)地址由接入單位在政務(wù)外網(wǎng)主管單位分配的IP

地址段內(nèi)進行二次分配；

e)單位接入網(wǎng)內(nèi)的應(yīng)用系統(tǒng)若已使用私有IP地址且無法改造的，應(yīng)采用一對一方式進行NAT地

址轉(zhuǎn)換；

f)應(yīng)用系統(tǒng)應(yīng)分別匯聚后通過不同的物理端口或邏輯子接口與城域網(wǎng)接入層設(shè)備對接；

g)單位接入網(wǎng)接入電子政務(wù)外網(wǎng)專用業(yè)務(wù)網(wǎng)絡(luò)平面的，應(yīng)遵循其網(wǎng)絡(luò)平面管理單位制定的專用

業(yè)務(wù)網(wǎng)絡(luò)平面接入要求；

h)應(yīng)用系統(tǒng)接入應(yīng)具備運行情況監(jiān)測、安全防護、行為審計和配置管理能力，小規(guī)模系統(tǒng)可采

用設(shè)備自帶的相關(guān)能力；

i)應(yīng)用系統(tǒng)在接入前應(yīng)完成系統(tǒng)的等級保護測評、商密評估、ICP備案（如需對外服務(wù)）等符合

國家相關(guān)法律法規(guī)的工作；

j)應(yīng)用系統(tǒng)應(yīng)按照需要在用戶側(cè)按需部署政務(wù)外網(wǎng)公共區(qū)、互聯(lián)網(wǎng)區(qū)、專網(wǎng)區(qū)防火墻實現(xiàn)接入。

6.2.2身份認(rèn)證

系統(tǒng)接入的身份認(rèn)證應(yīng)滿足但不限于以下要求：

a)單位接入網(wǎng)的政務(wù)外網(wǎng)接入網(wǎng)關(guān)應(yīng)對接入應(yīng)用系統(tǒng)的源及目的ip地址、業(yè)務(wù)端口、授權(quán)訪問

的資源等進行驗證，并拒絕非授權(quán)的訪問；

b)單位接入網(wǎng)的政務(wù)外網(wǎng)接入網(wǎng)關(guān)應(yīng)采用符合國家密碼管理要求的密碼技術(shù)（如數(shù)字證書、標(biāo)

識密碼）對應(yīng)用系統(tǒng)進行認(rèn)證。

6.2.3傳輸加密

單位接入網(wǎng)內(nèi)應(yīng)用系統(tǒng)和安全設(shè)備或匯聚設(shè)備之間，單位接入網(wǎng)的出口設(shè)備與城域網(wǎng)的接入設(shè)備之

間應(yīng)采用IPSecVPN或SSLVPN進行傳輸加密防護，加密算法應(yīng)符合國家密碼管理政策的相關(guān)規(guī)范要

求。

6.2.4權(quán)限控制

系統(tǒng)接入的權(quán)限控制應(yīng)滿足但不限于以下要求：

a)應(yīng)用系統(tǒng)應(yīng)按需申請政務(wù)外網(wǎng)訪問權(quán)限并遵循最小需求原則，應(yīng)用系統(tǒng)的設(shè)備變更、業(yè)務(wù)調(diào)

整應(yīng)先申請后實施；

b)單位接入網(wǎng)系統(tǒng)接入側(cè)應(yīng)部署防火墻，對相關(guān)訪問權(quán)限進行配置校驗，并對訪問系統(tǒng)的流量

進行入侵檢測和病毒檢測；

5

T/EGAGXXXX—XXXX

c)單位接入網(wǎng)系統(tǒng)設(shè)備接入應(yīng)提供訪問控制措施，包括但不限于根據(jù)設(shè)備的數(shù)字證書身份或標(biāo)

識密碼身份設(shè)置接入設(shè)備的授權(quán)資源及訪問權(quán)限阻止非授權(quán)訪問。

整網(wǎng)對接安全技術(shù)要求

6.3.1基本原則

整網(wǎng)對接應(yīng)結(jié)合已有業(yè)務(wù)專網(wǎng)實際情況和對接后網(wǎng)絡(luò)訪問需求，按照“一事一議”原則，根據(jù)國家

電子政務(wù)外網(wǎng)頂層互聯(lián)技術(shù)標(biāo)準(zhǔn)配置安全措施?？傮w應(yīng)遵循以下原則：

a)接入單位應(yīng)明確業(yè)務(wù)專網(wǎng)內(nèi)訪問政務(wù)外網(wǎng)的終端和系統(tǒng)范圍，并在與政務(wù)外網(wǎng)的邊界處啟用

訪問控制措施，按最小化原則嚴(yán)格控制訪問資源，控制粒度應(yīng)達端口級，宜基于應(yīng)用協(xié)議和

應(yīng)用內(nèi)容對數(shù)據(jù)流實施更細(xì)粒度訪問控制；

b)業(yè)務(wù)專網(wǎng)內(nèi)地址到政務(wù)外網(wǎng)地址若存在NAT地址轉(zhuǎn)換，宜采用一對一方式轉(zhuǎn)換；

c)政務(wù)外網(wǎng)接入網(wǎng)關(guān)應(yīng)采取技術(shù)措施，對業(yè)務(wù)專網(wǎng)出口設(shè)備進行識別和驗證，確認(rèn)出口設(shè)備不

被仿冒；

d)政務(wù)外網(wǎng)城域網(wǎng)安全防護區(qū)應(yīng)對業(yè)務(wù)專網(wǎng)與政務(wù)外網(wǎng)之間流量進行訪問控制和安全防護，應(yīng)

根據(jù)接入單位申請，按最小化原則嚴(yán)格控制訪問，控制粒度應(yīng)達端口級，宜基于應(yīng)用協(xié)議和

應(yīng)用內(nèi)容對數(shù)據(jù)流實施更細(xì)粒度訪問控制。

6.3.2邊界防護

整網(wǎng)對接時，需對接入邊界進行安全防護，應(yīng)滿足如下要求:

a)按權(quán)限最小化原則嚴(yán)格控制訪問資源，控制粒度達端口級，能基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容對數(shù)

據(jù)流實現(xiàn)訪問控制;

b)支持入侵防范安全策略部署，通過分析網(wǎng)絡(luò)流量檢測僵尸、木馬、蠕蟲等惡意威脅入侵，并

通過入侵防御能力，實時地中止入侵行為;

c)支持對病毒、蠕蟲、僵尸網(wǎng)絡(luò)等惡意流量的檢測、分析、阻斷和清除，支持對多層壓縮文件

查殺，支持基于MD5值設(shè)置惡意文件/程序白名單。

管理與審計

6.4.1日常運行管理

日常運行管理滿足以下要求：

a)接入單位具體負(fù)責(zé)本單位接入設(shè)備的維護、安全監(jiān)測等管理工作。制定內(nèi)部安全管理制度和

操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實網(wǎng)絡(luò)安全保護責(zé)任；

b)接入單位明確運行管理部門和職責(zé)，配備專職管理員，制定日常維護管理制度，形成健全的

日常運維機制，建立完善的應(yīng)急響應(yīng)預(yù)案，保障接入設(shè)備的安全運行；

c)接入單位應(yīng)定期對接入設(shè)備狀態(tài)、網(wǎng)絡(luò)流量、應(yīng)用及系統(tǒng)運行狀態(tài)等情況進行巡檢，分析各

類設(shè)備日志及管理審計報表，及時發(fā)現(xiàn)異常情況，并根據(jù)告警提示采取相應(yīng)的處理措施；