T-DGAG 023-2024 電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入技術(shù)規(guī)范

ICS35.020CCSL70TechnicalrequirementsforsecuringaccessofdepartmentaccessnetworkwithIT/DGAG023—2024前言 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 25電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入基礎(chǔ)架構(gòu) 25.1網(wǎng)絡(luò)接入模式 25.2網(wǎng)絡(luò)安全架構(gòu) 36電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入要求 46.1終端接入安全技術(shù)要求 46.2系統(tǒng)接入安全技術(shù)要求 56.3整網(wǎng)對接安全技術(shù)要求 66.4管理與審計(jì) 6參考文獻(xiàn) 8T/DGAG023—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由廣東省數(shù)字政務(wù)協(xié)會歸口。本文件起草單位：華南師范大學(xué)、數(shù)字廣東網(wǎng)絡(luò)建設(shè)有限公司、工業(yè)和信息化部電子第五研究所、國家計(jì)算機(jī)網(wǎng)絡(luò)與信息安全管理中心廣東分中心、深信服科技股份有限公司、深圳奧聯(lián)信息安全技術(shù)有限公司、廣東省信息安全測評中心、華為技術(shù)有限公司、深圳市聯(lián)軟科技股份有限公司、廣州綠盟網(wǎng)絡(luò)安全技術(shù)有限公司、深圳市智慧城市通信有限公司、廣東中科實(shí)數(shù)科技有限公司、廣州力麒智能科技有限公司、廣州啟睿信息科技有限公司。本文件主要起草人：鄭偉平、趙弘洋、陳偉洪、王宜陽、常曉宇、戰(zhàn)鵬、龔征、趙淦森、王文佳、羅文晉、夏藝、謝英婷、洪偉杰、石煒君、陳嘉旺、李立、曾磊、林曉明、蔡先勇、鄧思賢、薛佳瑞、鄭召坤、黃其森、呂立民、丁麗萍、陳乜云、羅海飆、劉寧。1T/DGAG023—2024電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入技術(shù)規(guī)范本文件規(guī)定了廣東省單位接入網(wǎng)接入電子政務(wù)外網(wǎng)的安全技術(shù)規(guī)范。本文件適用于指導(dǎo)廣東省各單位接入網(wǎng)按安全技術(shù)規(guī)范接入電子政務(wù)外網(wǎng)。單位接入網(wǎng)內(nèi)的網(wǎng)絡(luò)及其安全工作由各單位自行建設(shè)管理。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GW0015-2022政務(wù)外網(wǎng)終端一機(jī)兩用安全管控技術(shù)指南GW0206-2014接入政務(wù)外網(wǎng)的局域網(wǎng)安全技術(shù)規(guī)范3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1電子政務(wù)外網(wǎng)E-GovernmentNetwork我國電子政務(wù)的重要基礎(chǔ)設(shè)施，與互聯(lián)網(wǎng)安全邏輯隔離，與政務(wù)內(nèi)網(wǎng)物理隔離，滿足各級政務(wù)部門經(jīng)濟(jì)調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務(wù)等方面需要的政務(wù)公用網(wǎng)絡(luò)。[來源：GDZW0080.6-2023，3.1]3.2城域網(wǎng)MetropolitanAreaNetwork用于實(shí)現(xiàn)本級行政區(qū)域內(nèi)政務(wù)部門的橫向連接，包括中央、省、市、縣四級城域網(wǎng)。[來源：GDZW0080.6-2023，3.2]3.3單位接入網(wǎng)DepartmentAccessNetwork電子政務(wù)外網(wǎng)接入單位自行建設(shè)和管理的內(nèi)部局域網(wǎng)絡(luò)或業(yè)務(wù)專網(wǎng)。[來源：GDZW0080.6-2023，3.4]3.4業(yè)務(wù)專網(wǎng)ServicePrivateNetwork由行業(yè)或業(yè)務(wù)主管部門自行建設(shè)管理滿足其行業(yè)用戶或組織內(nèi)部網(wǎng)絡(luò)通信需求、獨(dú)立于電子政務(wù)外網(wǎng)運(yùn)行的專用網(wǎng)絡(luò)。[來源：GDZW0080.6-2023，3.7]3.5終端Terminal通過固定網(wǎng)絡(luò)或移動(dòng)通訊網(wǎng)絡(luò)接入的輸入輸出設(shè)備。本規(guī)范內(nèi)一般指單位接入網(wǎng)內(nèi)辦公人員日常辦公或輔助辦公所用的計(jì)算機(jī)終端、移動(dòng)終端、物聯(lián)終端，如臺式計(jì)算機(jī)、筆記本電腦、智能手機(jī)或視頻會議終端、攝像頭、打印機(jī)、IP電話、門禁等。3.6應(yīng)用系統(tǒng)ApplicationSystem指為支撐特定業(yè)務(wù)需求，而提供某一系列功能的一個(gè)實(shí)例，一般包括應(yīng)用軟件、OS軟件、服務(wù)器、數(shù)據(jù)存儲等IT組件。[來源：GDZW0080.6-2023，3.6]2T/DGAG023—20243.7網(wǎng)絡(luò)平面NetworkPlane基于基礎(chǔ)承載網(wǎng)絡(luò)，使用虛擬專用網(wǎng)絡(luò)技術(shù)建設(shè)的虛擬網(wǎng)絡(luò)。[來源：GDZW0080.6-2023，3.8]注：廣東省電子政務(wù)外網(wǎng)通過在統(tǒng)一的政務(wù)外網(wǎng)基礎(chǔ)承載網(wǎng)絡(luò)上，劃），）；行業(yè)或?qū)Ｓ妙I(lǐng)域內(nèi)的業(yè)務(wù)。[來源：GDZW0080.5-23.8安全接入平臺SecureAccessPlatform利用互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)（如4G）、VPDN等基礎(chǔ)網(wǎng)絡(luò)，面向不具備專線接入條件的各級政務(wù)部門、企事業(yè)單位、移動(dòng)辦公人員、現(xiàn)場執(zhí)法人員等，提供安全接入到政務(wù)外網(wǎng)網(wǎng)絡(luò)或業(yè)務(wù)的服務(wù)平臺。[來源：GDZW0080.3-2023，3.6]3.9安全防護(hù)區(qū)SecurityProtectionZone由多種安全設(shè)備和引流節(jié)點(diǎn)構(gòu)成的安全功能區(qū)，主要為接入政務(wù)外網(wǎng)的應(yīng)用系統(tǒng)、終端業(yè)務(wù)等流量提供安全防護(hù)服務(wù)，防范威脅橫向擴(kuò)散，實(shí)現(xiàn)政務(wù)外網(wǎng)安全加固。[來源：GDZW0080.3-2023，3.7]4縮略語下列縮略語適用于本文件。IP：網(wǎng)際互連協(xié)議（InternetProtocol）IPv6：網(wǎng)際互連協(xié)議第6版（InternetProtocolVersion6）VPDN：虛擬專有撥號網(wǎng)絡(luò)（VirtualPrivateDialNetwork）IPS：入侵防御系統(tǒng)（IntrusionPreventionSystem）DDOS：分布式拒絕服務(wù)攻擊（DistributedDenialofService）ICP：網(wǎng)絡(luò)內(nèi)容服務(wù)商（InternetContentProvider）IPSec：IP安全協(xié)議（InternetProtocolSecurity）SSL：安全套接層（SecureSocketLayer）VPN：虛擬專用網(wǎng)（VirtualPrivateNetwork)MAC：介質(zhì)訪問控制（MediaAccessControl）NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）AP：無線接入點(diǎn)（AccessPoint）CPE：客戶終端設(shè)備（CustomerPremiseEquipment）PE：接入路由器（ProviderEdge）MCU：多點(diǎn)控制單元（MultipointControlUnit）5電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入基礎(chǔ)架構(gòu)5.1網(wǎng)絡(luò)接入模式單位接入網(wǎng)接入電子政務(wù)外網(wǎng)的接入模式分為終端接入、系統(tǒng)接入和整網(wǎng)對接三種，接入單位應(yīng)采用其中一種或多種接入模式接入電子政務(wù)外網(wǎng)：a)終端接入模式適用于單位接入網(wǎng)內(nèi)僅有終端設(shè)備接入需求的場景；b)系統(tǒng)接入模式適用于單位接入網(wǎng)內(nèi)僅有應(yīng)用系統(tǒng)接入需求的場景；c)整網(wǎng)對接模式適用于非涉密業(yè)務(wù)專網(wǎng)與電子政務(wù)外網(wǎng)對接的場景。三種單位接入網(wǎng)的安全接入模式場景示意如圖1所示。3T/DGAG023—2024圖1三種單位接入網(wǎng)安全接入模式示意單位接入網(wǎng)接入電子政務(wù)外網(wǎng)的接入形式以專線接入為主。針對固定場所無專線資源的，可基于互聯(lián)網(wǎng)通過政務(wù)外網(wǎng)安全接入平臺，采用IPSECVPN的方式安全接入政務(wù)外網(wǎng)；也可通過專用政務(wù)外網(wǎng)5GCPE設(shè)備，采用端到端5G切片方式安全接入政務(wù)外網(wǎng)。終端直接接入政務(wù)外網(wǎng)安全接入平臺，未經(jīng)過接入單位網(wǎng)絡(luò)設(shè)施承載的，不屬于單位接入網(wǎng)范疇，如移動(dòng)辦公或者現(xiàn)場執(zhí)法終端，通過移動(dòng)互聯(lián)網(wǎng)，采用SSLVPN安全隧道方式或VPDN方式接入政務(wù)外網(wǎng)安全接入平臺，或物聯(lián)終端通過5G方式接入政務(wù)外網(wǎng)。5.2網(wǎng)絡(luò)安全架構(gòu)單位接入網(wǎng)內(nèi)部安全防護(hù)由各接入單位保障。在電子政務(wù)外網(wǎng)城域網(wǎng)側(cè)有安全防護(hù)區(qū)和安全接入平臺，安全防護(hù)區(qū)為單位接入網(wǎng)提供訪問權(quán)限控制和流量清洗防護(hù)等功能，實(shí)現(xiàn)政務(wù)外網(wǎng)的安全補(bǔ)盲和安全加固；安全接入平臺利用互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)（如4G、5G）、VPDN等基礎(chǔ)網(wǎng)絡(luò)，面向不具備專線接入條件的單位或人員，提供安全接入到政務(wù)外網(wǎng)網(wǎng)絡(luò)或業(yè)務(wù)的功能。單位接入網(wǎng)、安全防護(hù)區(qū)和安全接入平臺及訪問流量的邏輯關(guān)系如圖2所示。圖2單位接入網(wǎng)接入電子政務(wù)外網(wǎng)網(wǎng)絡(luò)安全架構(gòu)示意4T/DGAG023—20246電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入要求6.1終端接入安全技術(shù)要求6.1.1總體要求終端接入安全總體要求如下：a)各單位接入終端需明確接入終端范圍及各終端的接入方式；b)各單位接入終端需通過身份認(rèn)證技術(shù)要求，明確接入終端的合法身份；c)辦公終端安全要求應(yīng)包括準(zhǔn)入控制、惡意代碼防范、終端入侵防護(hù)、非法外聯(lián)控制、安全基線檢查、漏洞檢測修復(fù)、數(shù)據(jù)安全防護(hù)、終端軟件管理、終端補(bǔ)丁管理、終端資產(chǎn)管理、終端精準(zhǔn)阻斷等方面，具體應(yīng)滿足GW0015—2022的要求；d)移動(dòng)終端安全要求應(yīng)包括軟硬件環(huán)境安全、準(zhǔn)入控制、隧道加密、數(shù)據(jù)安全防護(hù)等方面。移動(dòng)終端訪問政務(wù)外網(wǎng)敏感業(yè)務(wù)時(shí)，應(yīng)采用沙箱技術(shù)，實(shí)現(xiàn)終端數(shù)據(jù)安全防護(hù)，具體應(yīng)滿足GW0015-2022的要求；e)各單位接入終端接入多個(gè)網(wǎng)絡(luò)時(shí)，應(yīng)滿足安全隔離要求，實(shí)現(xiàn)接入政務(wù)外網(wǎng)時(shí)與其他網(wǎng)絡(luò)的f)接入終端訪問政務(wù)外網(wǎng)敏感業(yè)務(wù)時(shí)，應(yīng)采用沙箱及密碼技術(shù)，確保敏感數(shù)據(jù)落入終端沙箱后加密存儲，限制終端數(shù)據(jù)外發(fā)途徑，防止終端數(shù)據(jù)的泄露；g)物聯(lián)終端應(yīng)通過網(wǎng)絡(luò)準(zhǔn)入認(rèn)證后方可接入電子政務(wù)外網(wǎng)，應(yīng)識別物聯(lián)終端資產(chǎn)類型，主動(dòng)發(fā)現(xiàn)私接、仿冒等終端異常接入電子政務(wù)外網(wǎng)的行為；h)對于終端用戶的登錄行為應(yīng)留存日志，并標(biāo)記為終端安全日志，便于快速審計(jì)定位。6.1.2身份認(rèn)證用戶使用終端接入政務(wù)外網(wǎng)時(shí)，應(yīng)使用身份鑒別的認(rèn)證機(jī)制，確保非授權(quán)的終端與用戶無法接入政務(wù)外網(wǎng)。終端與用戶的身份認(rèn)證應(yīng)滿足以下要求：a)接入政務(wù)外網(wǎng)的用戶終端應(yīng)實(shí)現(xiàn)用戶與終端實(shí)名綁定，以便后續(xù)審計(jì)溯源；b)對于接入政務(wù)外網(wǎng)的移動(dòng)智能終端、計(jì)算機(jī)終端應(yīng)采用口令認(rèn)證、基于密碼技術(shù)的認(rèn)證或硬件MAC地址認(rèn)證等鑒別技術(shù)提供多因子統(tǒng)一身份認(rèn)證功能；對于視頻會議終端，應(yīng)結(jié)合視頻傳輸協(xié)議，采用硬件MAC地址、端口或目的地址等設(shè)備唯一性因素進(jìn)行合法性鑒別；c)支持實(shí)時(shí)或定時(shí)對各類入網(wǎng)設(shè)備的設(shè)備類型、操作系統(tǒng)等進(jìn)行識別，并及時(shí)發(fā)現(xiàn)入網(wǎng)設(shè)備仿d)身份認(rèn)證觸發(fā)異常場景時(shí)，應(yīng)完成基于用戶生物特征識別或非對稱密碼技術(shù)的增強(qiáng)認(rèn)證后方可登錄。異常場景包括但不限于：賬號首次登錄、用戶在某終端首次登錄、空閑帳號登錄、弱密碼登錄、非常規(guī)時(shí)間登錄、非常用地點(diǎn)登錄等；e)登錄用戶的身份鑒別信息應(yīng)具有復(fù)雜度要求并定期更換。6.1.3安全檢查終端接入政務(wù)外網(wǎng)前，單位接入網(wǎng)內(nèi)的安全檢測設(shè)備應(yīng)對終端進(jìn)行安全檢查，不符合要求的終端不允許接入政務(wù)外網(wǎng)。終端安全檢查應(yīng)包括但不限于以下內(nèi)容：a)終端是否安裝運(yùn)行了防病毒軟件；b)終端是否存在弱口令賬戶；c)終端是否運(yùn)行了惡意進(jìn)程或軟件；d)終端是否開啟系統(tǒng)防火墻；e)終端登錄的時(shí)間和地點(diǎn)是否在規(guī)定范圍內(nèi)；f)終端網(wǎng)絡(luò)行為和流量是否存在異常，禁止私接和異常訪問行為。6.1.4傳輸加密終端應(yīng)采用國家核準(zhǔn)的密碼技術(shù)保證通信傳輸?shù)陌踩?，包括但不限于采用SSL或IPSec等密碼技術(shù)手段，對終端通信數(shù)據(jù)進(jìn)行加密傳輸，保證數(shù)據(jù)在傳輸過程中的安全性。5T/DGAG023—20246.1.5權(quán)限控制單位接入終端對政務(wù)外網(wǎng)的訪問進(jìn)行動(dòng)態(tài)權(quán)限控制，應(yīng)包括但不限于以下內(nèi)容；a)根據(jù)終端接入方式、終端類型等不同接入形式，采用網(wǎng)絡(luò)隔離、虛擬化等方式進(jìn)行管控；b)按權(quán)限最小化原則嚴(yán)格控制訪問資源，包括但不限于終端所能訪問的網(wǎng)段或指定應(yīng)用端口及協(xié)議；按近源策略控制原則防御終端風(fēng)險(xiǎn)，防止終端風(fēng)險(xiǎn)在接入網(wǎng)內(nèi)部進(jìn)行擴(kuò)散；c)對接入終端進(jìn)行持續(xù)的信任評估，結(jié)合終端類型、用戶身份、安全狀態(tài)、網(wǎng)絡(luò)行為、訪問時(shí)間、接入位置等信息動(dòng)態(tài)調(diào)整信任評估值，并根據(jù)信任評估值對接入用戶實(shí)現(xiàn)動(dòng)態(tài)準(zhǔn)入控制、動(dòng)態(tài)授權(quán)管理等。6.1.6安全隔離終端接入電子政務(wù)外網(wǎng)時(shí)如需多網(wǎng)絡(luò)訪問，應(yīng)對各網(wǎng)絡(luò)訪問進(jìn)行安全隔離。隔離手段應(yīng)滿足：a)當(dāng)終端同時(shí)訪問互聯(lián)網(wǎng)和政務(wù)外網(wǎng)時(shí)，應(yīng)支持網(wǎng)絡(luò)隔離，確保訪問政務(wù)外網(wǎng)時(shí)，終端不能同時(shí)訪問互聯(lián)網(wǎng)，終端訪問互聯(lián)網(wǎng)時(shí)，不能同時(shí)訪問政務(wù)外網(wǎng)；b)當(dāng)終端訪問政務(wù)外網(wǎng)敏感業(yè)務(wù)時(shí)，對終端數(shù)據(jù)進(jìn)行安全隔離和加密存儲，采用沙箱和密碼技術(shù)，確保敏感數(shù)據(jù)落入終端沙箱后加密存儲，限制終端數(shù)據(jù)外發(fā)途徑，防止終端數(shù)據(jù)的泄露；c)二級單位獨(dú)立建設(shè)接入網(wǎng)，通過一級單位接入網(wǎng)接入政務(wù)外網(wǎng)時(shí)，應(yīng)在一級單位建立二級單位接入?yún)^(qū)，對訪問流量進(jìn)行策略控制、入侵檢測和病毒檢測。6.1.7邊界防護(hù)電子政務(wù)外網(wǎng)城域網(wǎng)安全防護(hù)區(qū)應(yīng)具備對終端訪問的邊界安全防護(hù)能力，包括但不限于：a)按權(quán)限最小化原則嚴(yán)格控制訪問資源，控制粒度達(dá)端口級，能基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容對數(shù)據(jù)流實(shí)現(xiàn)訪問控制；b)支持入侵防范安全策略部署，通過分析網(wǎng)絡(luò)流量檢測僵尸、木馬、蠕蟲等惡意威脅入侵，并通過入侵防御能力，實(shí)時(shí)地終止入侵行為；c)支持對病毒、蠕蟲、僵尸網(wǎng)絡(luò)等惡意流量的檢測、分析、阻斷和清除；支持對多層壓縮文件查殺，支持基于文件散列值設(shè)置惡意文件或程序白名單。6.2系統(tǒng)接入安全技術(shù)要求6.2.1總體要求系統(tǒng)接入安全總體要求如下：a)各單位申請接入電子政務(wù)外網(wǎng)時(shí)，應(yīng)明確本單位接入網(wǎng)的邊界和范圍，單位接入網(wǎng)內(nèi)的應(yīng)用系統(tǒng)應(yīng)經(jīng)登記備案后接入，后續(xù)若有調(diào)整，應(yīng)向本級政務(wù)外網(wǎng)主管單位申請變更；b)各單位應(yīng)根據(jù)GW0206-2014的要求做好單位接入網(wǎng)內(nèi)部的安全防護(hù)；c)各接入應(yīng)用系統(tǒng)和網(wǎng)絡(luò)設(shè)備等均應(yīng)支持IPv6協(xié)議，宜部署雙棧模式接入；不支持IPv6協(xié)議的，應(yīng)逐步進(jìn)行改造，改造詳情可參照GDZW0034.3-2020的要求執(zhí)行；d)應(yīng)用系統(tǒng)應(yīng)使用政務(wù)外網(wǎng)IP地址接入，明細(xì)地址由接入單位在政務(wù)外網(wǎng)主管單位分配的IP地址段內(nèi)進(jìn)行二次分配；e)單位接入網(wǎng)內(nèi)的應(yīng)用系統(tǒng)若已使用私有IP地址且無法改造的，應(yīng)采用一對一方式進(jìn)行NAT地址轉(zhuǎn)換；f)應(yīng)用系統(tǒng)應(yīng)分別匯聚后通過不同的物理端口或邏輯子接口與城域網(wǎng)接入層設(shè)備對接；g)單位接入網(wǎng)接入電子政務(wù)外網(wǎng)專用業(yè)務(wù)網(wǎng)絡(luò)平面的，應(yīng)遵循其網(wǎng)絡(luò)平面管理單位制定的專用業(yè)務(wù)網(wǎng)絡(luò)平面接入要求；h)接入的應(yīng)用系統(tǒng)應(yīng)具備運(yùn)行情況監(jiān)測、安全防護(hù)、行為審計(jì)和配置管理能力，小規(guī)模系統(tǒng)可采用設(shè)備自帶的相關(guān)能力；i)應(yīng)用系統(tǒng)在接入前應(yīng)完成系統(tǒng)的等級保護(hù)測評、商密評估、ICP備案（如需對外服務(wù)）等符合國家相關(guān)法律法規(guī)的工作；j)應(yīng)用系統(tǒng)應(yīng)在用戶側(cè)按需部署政務(wù)外網(wǎng)公共區(qū)、互聯(lián)網(wǎng)區(qū)、專網(wǎng)區(qū)防火墻以實(shí)現(xiàn)接入。6T/DGAG023—20246.2.2身份認(rèn)證系統(tǒng)接入的身份認(rèn)證應(yīng)滿足但不限于以下要求：a)單位接入網(wǎng)的政務(wù)外網(wǎng)接入網(wǎng)關(guān)應(yīng)對接入應(yīng)用系統(tǒng)的源及目的IP地址、業(yè)務(wù)端口、授權(quán)訪問的資源等進(jìn)行驗(yàn)證，并拒絕非授權(quán)的訪問；b)單位接入網(wǎng)的政務(wù)外網(wǎng)接入網(wǎng)關(guān)應(yīng)采用符合國家密碼管理要求的密碼技術(shù)（如數(shù)字證書、標(biāo)識密碼）對應(yīng)用系統(tǒng)進(jìn)行認(rèn)證。6.2.3傳輸加密單位接入網(wǎng)內(nèi)應(yīng)用系統(tǒng)和安全設(shè)備或匯聚設(shè)備之間，單位接入網(wǎng)的出口設(shè)備與城域網(wǎng)的接入設(shè)備之間應(yīng)采用IPSecVPN或SSLVPN進(jìn)行傳輸加密防護(hù)，加密算法應(yīng)符合國家密碼管理政策的相關(guān)規(guī)范要求。6.2.4權(quán)限控制系統(tǒng)接入的權(quán)限控制應(yīng)滿足但不限于以下要求：a)應(yīng)用系統(tǒng)應(yīng)按需申請政務(wù)外網(wǎng)訪問權(quán)限并遵循最小需求原則，應(yīng)用系統(tǒng)的設(shè)備變更、業(yè)務(wù)調(diào)整應(yīng)先申請后實(shí)施；b)單位接入網(wǎng)的系統(tǒng)接入側(cè)應(yīng)部署防火墻，對相關(guān)訪問權(quán)限進(jìn)行配置校驗(yàn)，并對訪問系統(tǒng)的流量進(jìn)行入侵檢測和病毒檢測；c)單位接入網(wǎng)的系統(tǒng)設(shè)備接入應(yīng)提供訪問控制措施，包括但不限于根據(jù)設(shè)備的數(shù)字證書身份或標(biāo)識密碼身份設(shè)置接入設(shè)備的授權(quán)資源及訪問權(quán)限，阻止非授權(quán)訪問。6.3整網(wǎng)對接安全技術(shù)要求6.3.1基本原則整網(wǎng)對接應(yīng)結(jié)合已有業(yè)務(wù)專網(wǎng)實(shí)際情況和對接后網(wǎng)絡(luò)訪問需求，按照“一事一議”原則，根據(jù)國家電子政務(wù)外網(wǎng)頂層互聯(lián)技術(shù)標(biāo)準(zhǔn)配置安全措施?？傮w應(yīng)遵循以下原則：a)接入單位應(yīng)明確業(yè)務(wù)專網(wǎng)內(nèi)訪問政務(wù)外網(wǎng)的終端和系統(tǒng)范圍，并在與政務(wù)外網(wǎng)的邊界處啟用訪問控制措施，按最小化原則嚴(yán)格控制訪問資源，控制粒度應(yīng)達(dá)端口級，宜基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容對數(shù)據(jù)流實(shí)施更細(xì)粒度的訪問控制；b)業(yè)務(wù)專網(wǎng)內(nèi)地址到政務(wù)外網(wǎng)地址若存在NAT地址轉(zhuǎn)換，宜采用一對一方式轉(zhuǎn)換；c)政務(wù)外網(wǎng)接入網(wǎng)關(guān)應(yīng)采取技術(shù)措施，對業(yè)務(wù)專網(wǎng)出口設(shè)備進(jìn)行識別和驗(yàn)證，確保出口設(shè)備不被仿冒；d)政務(wù)外網(wǎng)城域網(wǎng)安全防護(hù)區(qū)應(yīng)對業(yè)務(wù)專網(wǎng)與政務(wù)外網(wǎng)之間流量進(jìn)行訪問控制和安全防護(hù)，應(yīng)根據(jù)接入單位申請，按最小化原則嚴(yán)格控制訪問，控制粒度應(yīng)達(dá)端口級，宜基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容對數(shù)據(jù)流實(shí)施更細(xì)粒度的訪問控制。6.3.2邊界防護(hù)整網(wǎng)對接時(shí)，需對接入邊界進(jìn)行安全防護(hù)，應(yīng)滿足但不限于以下要求：a)按權(quán)限最小化原則嚴(yán)格控制訪問資源，控制粒度達(dá)端口級，能基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容對數(shù)據(jù)流實(shí)現(xiàn)訪問控制；b)支持入侵防范安全策略部署，通過分析網(wǎng)絡(luò)流量檢測僵尸、木馬、蠕蟲等惡意威脅入侵，并通過入侵防御能力，實(shí)時(shí)地終止入侵行為；c)支持對病毒、蠕蟲、僵尸網(wǎng)絡(luò)等惡意流量的檢測、分析、阻斷和清除，支持對多層壓縮文件查殺，支持基于散列值設(shè)置惡意文件或程序白名單。6.4管理與審計(jì)6.4.1日常運(yùn)行管理日常運(yùn)行管理滿足以下要求：a)接入單位具體負(fù)責(zé)本單位接入設(shè)備的維護(hù)、安全監(jiān)測等管理工作；制定內(nèi)部安全管理制度和操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保