《電子政務外網(wǎng)單位接入網(wǎng)安全接入技術規(guī)范》

ICS35.020

CCSL70

團體標準

T/EGAGXXXX—XXXX

電子政務外網(wǎng)單位接入網(wǎng)安全接入

技術規(guī)范

TechnicalrequirementsforsecureconnectionofDepartmentAccessNetworkwith

E-GovernmentNetwork

（征求意見稿）

在提交反饋意見時，請將您知道的相關專利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實施

廣東省電子政務協(xié)會??發(fā)布

T/EGAGXXXX—XXXX

電子政務外網(wǎng)單位接入網(wǎng)安全接入

技術規(guī)范

1范圍

本文件規(guī)定了廣東省單位接入網(wǎng)接入電子政務外網(wǎng)的安全技術規(guī)范。

本文件適用于指導廣東省各單位接入網(wǎng)按安全技術規(guī)范接入電子政務外網(wǎng)。單位接入網(wǎng)內(nèi)的網(wǎng)絡和

安全工作由各單位自行建設管理。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GW0015-2022政務外網(wǎng)終端一機兩用安全管控技術指南

GW0206-2014接入政務外網(wǎng)的局域網(wǎng)安全技術規(guī)范

3術語和定義

下列術語和定義適用于本文件。

電子政務外網(wǎng)E-GovernmentNetwork

我國電子政務的重要基礎設施，與互聯(lián)網(wǎng)安全邏輯隔離，與政務內(nèi)網(wǎng)物理隔離，滿足各級政務部門

經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務等方面需要的政務公用網(wǎng)絡。

單位接入網(wǎng)DepartmentAccessNetwork

電子政務外網(wǎng)接入單位自行建設和管理的內(nèi)部局域網(wǎng)絡或業(yè)務專網(wǎng)。

終端Terminal

通過固定網(wǎng)絡或移動通訊網(wǎng)絡接入的輸入輸出設備。本規(guī)范內(nèi)一般指單位接入網(wǎng)內(nèi)辦公人員日常辦

公或輔助辦公所用的計算機終端、移動終端、物聯(lián)終端，如臺式計算機、筆記本電腦、智能手機或視頻

會議終端、攝像頭、打印機、IP電話、門禁等。

城域網(wǎng)MetropolitanAreaNetwork

用于實現(xiàn)本級行政區(qū)域內(nèi)政務部門的橫向連接，包括中央、省、市、縣四級城域網(wǎng)。

廣域網(wǎng)WideAreaNetwork

用于實現(xiàn)各級城域網(wǎng)縱向跨級互聯(lián)，包括央省、省市、市縣三級廣域網(wǎng)。

4縮略語

下列縮略語適用于本文件。

IP：網(wǎng)際互連協(xié)議（InternetProtocol）

IPv6：網(wǎng)際互連協(xié)議第6版（InternetProtocolVersion6）

VPDN：虛擬專有撥號網(wǎng)絡（VirtualPrivateDialNetwork）

IPS：入侵防御系統(tǒng)（IntrusionPreventionSystem）

1

T/EGAGXXXX—XXXX

WAF：Web應用防護系統(tǒng)（WebApplicationFirewall）

DDOS：分布式拒絕服務攻擊（DistributedDenialofService）

ICP：網(wǎng)絡內(nèi)容服務商（InternetContentProvider）

CA：數(shù)字證書認證中心(CertificateAuthority)

IPSec：IP安全協(xié)議(InternetProtocolSecurity)

SSL：安全套接層(SecureSocketLayer)

VPN：虛擬專用網(wǎng)(VirtualPrivateNetwork)

MAC：網(wǎng)絡設備物理地址(MediaAccessControlAddress)

NAT：網(wǎng)絡地址轉(zhuǎn)換（NetworkAddressTranslation）

5電子政務外網(wǎng)單位接入網(wǎng)安全接入基礎架構(gòu)

網(wǎng)絡接入模式

電子政務外網(wǎng)接入模式可分為終端接入、系統(tǒng)接入和整網(wǎng)對接三種，接入單位可采用其中一種或多

種接入模式接入電子政務外網(wǎng)：

a)終端接入模式適用于單位接入網(wǎng)內(nèi)中僅有終端設備接入需求的場景；

b)系統(tǒng)接入模式適用于單位接入網(wǎng)內(nèi)中僅有應用系統(tǒng)接入需求的場景；

c)整網(wǎng)對接模式適用于非涉密業(yè)務專網(wǎng)與電子政務外網(wǎng)對接場景。

圖1給出了三種單位接入網(wǎng)安全接入模式場景示意。

圖1三種單位接入網(wǎng)安全接入模式示意

2

T/EGAGXXXX—XXXX

網(wǎng)絡功能架構(gòu)

單位接入網(wǎng)接入電子政務外網(wǎng)通常利用Internet、移動通信網(wǎng)絡、VPDN等基礎網(wǎng)絡，為各級政務

部門、企事業(yè)單位、移動辦公人員、現(xiàn)場執(zhí)法人員和公眾用戶提供安全接入。單位接入網(wǎng)接入電子政務

外網(wǎng)共用業(yè)務網(wǎng)絡平面的，其網(wǎng)絡功能架構(gòu)如圖2所示。

圖2單位接入網(wǎng)接入電子政務外網(wǎng)網(wǎng)絡功能架構(gòu)示意

6電子政務外網(wǎng)單位接入網(wǎng)安全接入要求

根據(jù)廣東省電子政務外網(wǎng)單位接入網(wǎng)接入模式的不同，其安全接入要求分為三種不同接入模式的安

全技術要求及管理要求，具體規(guī)范如下：

終端接入安全技術要求

6.1.1總體要求

單位接入網(wǎng)終端接入政務外網(wǎng)的，需遵循終端接入安全的總體要求如下：

a)各單位接入終端需明確接入終端范圍及各終端的接入方式；

b)各單位接入終端需通過身份認證技術要求，明確接入終端的合法身份；

c)辦公終端安全要求應包括準入控制、惡意代碼防范、終端入侵防護、非法外聯(lián)控制、安全基

線檢查、漏洞檢測修復、數(shù)據(jù)安全防護、終端軟件管理、終端補丁管理、終端資產(chǎn)管理、終

端精準阻斷等方面，具體應滿足GW0015—2022的要求；；

d)移動終端安全要求應包括軟硬件環(huán)境安全、準入控制、隧道加密、數(shù)據(jù)安全防護等方面。對

移動終端訪問政務外網(wǎng)敏感業(yè)務時，應采用沙箱技術，實現(xiàn)終端數(shù)據(jù)安全防護，具體應滿足

GW0015-2022的要求；

e)各單位接入終端接入多個網(wǎng)絡時，應滿足安全隔離要求，實現(xiàn)接入政務外網(wǎng)時實現(xiàn)與其他網(wǎng)

絡的隔離；

f)接入終端訪問政務外網(wǎng)敏感業(yè)務時，應采用沙箱及密碼技術，確保敏感數(shù)據(jù)落入終端沙箱后

加密存儲，限制終端數(shù)據(jù)外發(fā)途徑，防止終端數(shù)據(jù)的泄露；

g)物聯(lián)終端應通過網(wǎng)絡準入認證后方可接入電子政務外網(wǎng)，應識別物聯(lián)終端資產(chǎn)類型，主動發(fā)

現(xiàn)私接、仿冒等終端異常接入電子政務外網(wǎng)行為；

h)對于終端用戶的登錄行為應留存日志，并標記為終端安全日志，便于快速審計定位。

3

T/EGAGXXXX—XXXX

6.1.2身份認證

用戶使用終端接入政務外網(wǎng)時，應使用身份鑒別的認證機制，確保非授權的終端與用戶無法接入政

務外網(wǎng)。終端與用戶的身份認證應滿足以下要求：

a)接入政務外網(wǎng)的用戶終端應實現(xiàn)用戶與終端實名綁定，以便后續(xù)審計溯源；

b)對于接入政務外網(wǎng)的移動智能終端、計算機終端應采用口令認證、基于密碼技術的認證或硬

件MAC地址認證等鑒別技術提供多因子統(tǒng)一身份認證功能；對于視頻會議終端，應結(jié)合視頻

傳輸協(xié)議，采用硬件MAC地址、端口或目的地址等設備唯一性因素進行合法性鑒別；

c)支持實時或定時對各類入網(wǎng)設備的設備類型、設備廠商、品牌型號、操作系統(tǒng)等識別，并及

時發(fā)現(xiàn)入網(wǎng)設備仿冒行為；

d)身份認證觸發(fā)異常場景時，應完成基于用戶生物特征識別或非對稱密碼技術的增強認證才可

登錄。異常場景包括但不限于：賬號首次登錄、用戶在某終端首次登錄、空閑帳號登錄、弱

密碼登錄、非常規(guī)時間登錄、非常用地點登錄等；

e)登錄用戶的身份鑒別信息應具有復雜度要求并定期更換。

6.1.3安全檢查

每次終端接入政務外網(wǎng)前，單位接入網(wǎng)內(nèi)的安全設備或接入?yún)R聚設備應對終端進行安全檢查，不符

合要求的終端不允許接入政務外網(wǎng)。終端安全檢查應包括但不限于以下內(nèi)容：

a)終端是否安裝運行了防病毒軟件；

b)終端是否存在弱口令賬戶；

c)終端是否運行了惡意進程或軟件；

d)終端是否開啟系統(tǒng)防火墻；

e)終端登錄的時間和地點是否在規(guī)定范圍內(nèi)。

f)終端網(wǎng)絡行為和流量是否存在異常，禁止私接和異常訪問行為。

6.1.4傳輸加密

終端應采用國家核準的密碼技術保證通信傳輸?shù)陌踩ǖ幌抻诓捎肧SL或IPSEC等密碼技術手

段，對終端通信數(shù)據(jù)進行加密傳輸，保證數(shù)據(jù)在傳輸過程中的安全性。

6.1.5權限控制

單位接入終端對政務外網(wǎng)的訪問進行動態(tài)權限控制，應包括但不限于以下內(nèi)容；

a)根據(jù)終端接入方式（無線AP接入、有線接入）、終端類型、用戶部門等不同接入類型，采用

網(wǎng)絡隔離、虛擬化等方式進行管控；

b)按權限最小化原則嚴格控制訪問資源，控制接入終端所能訪問的網(wǎng)段或指定應用端口及協(xié)議；

按近源策略控制原則防御終端風險，防止終端風險在接入網(wǎng)內(nèi)部進行擴散；

c)對接入終端進行持續(xù)的信任評估，結(jié)合終端類型、用戶身份、安全狀態(tài)、網(wǎng)絡行為、訪問時

間、接入位置等信息動態(tài)調(diào)整信任評估值，并根據(jù)信任評估值對接入用戶實現(xiàn)動態(tài)準入控制、

動態(tài)授權管理等。

6.1.6安全隔離

接入終端在電子政務外網(wǎng)接入時如需多網(wǎng)絡訪問，應對各網(wǎng)絡訪問進行安全隔離。隔離手段應滿足：

a)當終端同時訪問互聯(lián)網(wǎng)和政務外網(wǎng)時，應支持網(wǎng)絡隔離，確保訪問政務外網(wǎng)時，終端不能同

時訪問互聯(lián)網(wǎng)，終端訪問互聯(lián)網(wǎng)時，不能同時訪問政務外網(wǎng)；

b)對終端訪問政務外網(wǎng)敏感業(yè)務時，對終端數(shù)據(jù)進行安全隔離和加密存儲，采用沙箱和密碼技

術，確保敏感數(shù)據(jù)落入終端沙箱后加密存儲，限制終端數(shù)據(jù)外發(fā)途徑，防止終端數(shù)據(jù)的泄露。

c)二級單位獨立建設接入網(wǎng)，通過一級單位接入網(wǎng)接入政務外網(wǎng)時，應在一級單位建立二級單

位接入?yún)^(qū)，對訪問流量進行策略控制、入侵檢測和病毒檢測。

6.1.7邊界防護

政務外網(wǎng)城域網(wǎng)安全防護區(qū)應具備對終端訪問的邊界安全防護能力，包括但不限于：

4

T/EGAGXXXX—XXXX

a)按權限最小化原則嚴格控制訪問資源，控制粒度達端口級，能基于應用協(xié)議和應用內(nèi)容對數(shù)

據(jù)流實現(xiàn)訪問控制；

b)支持入侵防范安全策略部署，通過分析網(wǎng)絡流量檢測僵尸、木馬、蠕蟲等惡意威脅入侵，并

通過入侵防御能力，實時地終止入侵行為；

c)支持對病毒、蠕蟲、僵尸網(wǎng)絡等惡意流量的檢測、分析、阻斷和清除，支持對多層壓縮文件

查殺，支持基于文件MD5值設置惡意文件/程序白名單。

系統(tǒng)接入安全技術要求

6.2.1總體要求

系統(tǒng)接入安全總體要求如下：

a)各單位申請接入電子政務外網(wǎng)時，應明確本單位接入網(wǎng)的邊界和范圍，單位接入網(wǎng)內(nèi)的應用

系統(tǒng)應經(jīng)登記備案后接入，后續(xù)若有調(diào)整，應向本級政務外網(wǎng)主管單位申請變更；

b)各單位應根據(jù)GW0206-2014的要求做好單位接入網(wǎng)內(nèi)部的安全防護；

c)各接入應用系統(tǒng)和網(wǎng)絡設備等均應支持IPv6協(xié)議，宜部署雙棧模式接入；不支持IPv6協(xié)議

的，應逐步進行改造，改造詳情可參照GDZW0034.3-2020的要求執(zhí)行；

d)應用系統(tǒng)應使用政務外網(wǎng)IP地址接入，明細地址由接入單位在政務外網(wǎng)主管單位分配的IP

地址段內(nèi)進行二次分配；

e)單位接入網(wǎng)內(nèi)的應用系統(tǒng)若已使用私有IP地址且無法改造的，應采用一對一方式進行NAT地

址轉(zhuǎn)換；

f)應用系統(tǒng)應分別匯聚后通過不同的物理端口或邏輯子接口與城域網(wǎng)接入層設備對接；

g)單位接入網(wǎng)接入電子政務外網(wǎng)專用業(yè)務網(wǎng)絡平面的，應遵循其網(wǎng)絡平面管理單位制定的專用

業(yè)務網(wǎng)絡平面接入要求；

h)應用系統(tǒng)接入應具備運行情況監(jiān)測、安全防護、行為審計和配置管理能力，小規(guī)模系統(tǒng)可采

用設備自帶的相關能力；

i)應用系統(tǒng)在接入前應完成系統(tǒng)的等級保護測評、商密評估、ICP備案（如需對外服務）等符合

國家相關法律法規(guī)的工作；

j)應用系統(tǒng)應按照需要在用戶側(cè)按需部署政務外網(wǎng)公共區(qū)、互聯(lián)網(wǎng)區(qū)、專網(wǎng)區(qū)防火墻實現(xiàn)接入。

6.2.2身份認證

系統(tǒng)接入的身份認證應滿足但不限于以下要求：

a)單位接入網(wǎng)的政務外網(wǎng)接入網(wǎng)關應對接入應用系統(tǒng)的源及目的ip地址、業(yè)務端口、授權訪問

的資源等進行驗證，并拒絕非授權的訪問；

b)單位接入網(wǎng)的政務外網(wǎng)接入網(wǎng)關應采用符合國家密碼管理要求的密碼技術（如數(shù)字證書、標

識密碼）對應用系統(tǒng)進行認證。

6.2.3傳輸加密

單位接入網(wǎng)內(nèi)應用系統(tǒng)和安全設備或匯聚設備之間，單位接入網(wǎng)的出口設備與城域網(wǎng)的接入設備之

間應采用IPSecVPN或SSLVPN進行傳輸加密防護，加密算法應符合國家密碼管理政策的相關規(guī)范要

求。

6.2.4權限控制

系統(tǒng)接入的權限控制應滿足但不限于以下要求：

a)應用系統(tǒng)應按需申請政務外網(wǎng)訪問權限并遵循最小需求原則，應用系統(tǒng)的設備變更、業(yè)務調(diào)

整應先申請后實施；

b)單位接入網(wǎng)系統(tǒng)接入側(cè)應部署防火墻，對相關訪問權限進行配置校驗，并對訪問系統(tǒng)的流量

進行入侵檢測和病毒檢測；

5

T/EGAGXXXX—XXXX

c)單位接入網(wǎng)系統(tǒng)設備接入應提供訪問控制措施，包括但不限于根據(jù)設備的數(shù)字證書身份或標

識密碼身份設置接入設備的授權資源及訪問權限阻止非授權訪問。

整網(wǎng)對接安全技術要求

6.3.1基本原則

整網(wǎng)對接應結(jié)合已有業(yè)務專網(wǎng)實際情況和對接后網(wǎng)絡訪問需求，按照“一事一議”原則，根據(jù)國家

電子政務外網(wǎng)頂層互聯(lián)技術標準配置安全措施?？傮w應遵循以下原則：

a)接入單位應明確業(yè)務專網(wǎng)內(nèi)訪問政務外網(wǎng)的終端和系統(tǒng)范圍，并在與政務外網(wǎng)的邊界處啟用

訪問控制措施，按最小化原則嚴格控制訪問資源，控制粒度應達端口級，宜基于應用協(xié)議和

應用內(nèi)容對數(shù)據(jù)流實施更細粒度訪問控制；

b)業(yè)務專網(wǎng)內(nèi)地址到政務外網(wǎng)地址若存在NAT地址轉(zhuǎn)換，宜采用一對一方式轉(zhuǎn)換；

c)政務外網(wǎng)接入網(wǎng)關應采取技術措施，對業(yè)務專網(wǎng)出口設備進行識別和驗證，確認出口設備不

被仿冒；

d)政務外網(wǎng)城域網(wǎng)安全防護區(qū)應對業(yè)務專網(wǎng)與政務外網(wǎng)之間流量進行訪問控制和安全防護，應

根據(jù)接入單位申請，按最小化原則嚴格控制訪問，控制粒度應達端口級，宜基于應用協(xié)議和

應用內(nèi)容對數(shù)據(jù)流實施更細粒度訪問控制。

6.3.2邊界防護

整網(wǎng)對接時，需對接入邊界進行安全防護，應滿足如下要求:

a)按權限最小化原則嚴格控制訪問資源，控制粒度達端口級，能基于應用協(xié)議和應用內(nèi)容對數(shù)

據(jù)流實現(xiàn)訪問控制;

b)支持入侵防范安全策略部署，通過分析網(wǎng)絡流量檢測僵尸、木馬、蠕蟲等惡意威脅入侵，并

通過入侵防御能力，實時地中止入侵行為;

c)支持對病毒、蠕蟲、僵尸網(wǎng)絡等惡意流量的檢測、分析、阻斷和清除，支持對多層壓縮文件

查殺，支持基于MD5值設置惡意文件/程序白名單。

管理與審計

6.4.1日常運行管理

日常運行管理滿足以下要求：

a)接入單位具體負責本單位接入設備的維護、安全監(jiān)測等管理工作。制定內(nèi)部安全管理制度和

操作規(guī)程，確定網(wǎng)絡安全負責人，落實網(wǎng)絡安全保護責任；

b)接入單位明確運行管理部門和職責，配備專職管理員，制定日常維護管理制度，形成健全的

日常運維機制，建立完善的應急響應預案，保障接入設備的安全運行；

c)接入單位應定期對接入設備狀態(tài)、網(wǎng)絡流量、應用及系統(tǒng)運行狀態(tài)等情況進行巡檢，分析各

類設備日志及管理審計報表，及時發(fā)現(xiàn)異常情況，并根據(jù)告警提示采取相應的處理措施；