01.140.03 CCS A 12 ICS DB52 贵 州 省 地 方 标 准 DB52/T 1619—2021 电子政务外网与业务专网融合规范 Integration standard of e-government extranet and business private network 2021 - 08 - 18 发布 贵州省市场监督管理局 2021 - 12 - 01 实施 发 布 DB52/T 1619—2021 目 前 次 言 ............................................................................ II  1 范围 .............................................................................. 1  2 规范性引用文件 .................................................................... 1  3 术语和定义 ........................................................................ 1  4 缩略语 ............................................................................ 2  5 融合平台架构及功能 ................................................................ 2  6 融合接入要求 ...................................................................... 4  7 融合管理要求 ...................................................................... 5  参 考 文 献 ....................................................................... 6  I DB52/T 1619—2021 前 本文件按照GB/T 1.1-2020《标准化工作导则 言 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由贵州省大数据发展管理局提出并归口。 本文件起草单位：贵州省机械电子产品质量检验检测院、贵州省信息中心、奇安信科技集团股份有 限公司、云上贵州大数据产业发展有限公司、贵阳高科中环信息技术有限公司。 本文件主要起草人：宿睿智、刘彦嘉、曾家顺、蒋开明、何利江、吴思远、韩朱旸、王静、王世均、 张洋、邵建平、伍思睿、邓竹义、陈驰、唐昶、孙瑾、王珂。 II DB52/T 1619—2021 电子政务外网与业务专网融合规范 1 范围 本文件规定了电子政务网络业务融合的术语和定义、缩略语、融合平台架构及功能、融合接入要求、 融合管理要求等。 本文件适用于电子政务网络外网与非涉密业务专网的融合和管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239 信息安全技术 网络安全等级保护基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 电子政务网络 E-government network 由基于电子政务传输骨干网的政务内网和政务外网组成的网络。 3.2 业务专网 service private network 运行政务部门面向社会的专业性服务业务的网络。 3.3 电子政务外网 E-government extranet 满足各级政务部门向社会提供服务和管理的业务网络。 [GB/T 25647-2010，定义3.4.3] 3.4 安全策略 security Policy 用于治理组织及其系统在安全上如何管理、保护和分发资产（包括敏感信息）的一组规则、指导和 实践，特别是那些对系统安全及相关元素具有影响的资产。 [GB/T 25069-2010，定义2.3.2] 1 DB52/T 1619—2021 3.5 告警 warning 针对收集到的安全事件形成的报警事件。 3.6 逻辑隔离 logic Isolation 通过技术手段使物理上有数据通道连接的两端发生隔离。 3.7 文件摆渡 file ferry. 在网络隔离的条件下，在业务专网和电子政务外网之间进行的数据传导。 4 缩略语 下列缩略语适用于本文件。 APT：高级持续威胁（Advanced Persistent Threat） DDOS:分布式拒绝服务攻击（Distributed Denial of Service） FTP：文件传输协议（File Transfer Protocol） HTTP：超文本传输协议（Hyper Text Transfer Protocol） IMAP：交互邮件访问协议（Internet Mail Access Protocol） IP：网际互连协议（Internet Protocol） POP3：邮局协议版本3（Post Office Protocol - Version 3） SMB：服务器信息块(Server Message Block) SMTP：简单邮件传输协议（Simple Mail Transfer Protocol） SQL：结构化查询语言(Structured Query Language) TCP/IP：传输控制协议/网际协议（Transmission Control Protocol/Internet Protocol） VLAN：虚拟局域网（Virtual Local Area Network） WWW：全球广域网（World Wide Web） 5 融合平台架构及功能 5.1 融合平台逻辑架构 见图1。 2 DB52/T 1619—2021 图1 5.2 电子政务外网与业务专网融合逻辑架构图 融合平台描述 5.2.1 接入安全系统 对业务专网接入机构的边界接入进行安全防护；保障各业务专网单位之间的安全隔离。 5.2.2 接入汇聚系统 对各个业务专网至电子政务外网网络流量进行汇聚与逻辑隔离，阻止各业务专网间在接入汇聚时进 行互通，同时对汇聚链路协议进行解封装。 5.2.3 边界防护系统 在接入汇聚的业务专网与电子政务外网之间形成安全防御，并监测处置安全威胁；为业务专网提供 接入节点，实现业务专网与电子政务外网的互联互通。 5.2.4 访问交换系统 对于通过访问交换系统接入到电子政务外网中的高敏感业务，系统提供没有网络协议穿透的安全接 入，通过固定的文件格式完成对传输数据的装载、共享与传输。 5.2.5 高级威胁监测系统 可通过威胁情报、关联规则等方式对业务专网接入机构流量信息进行分析，发现安全威胁并发送威 胁情报和安全事件。 5.3 融合平台功能要求 5.3.1 接入安全系统 接入安全系统至少应包括以下要求： a) 应具备将各业务专网安全的与运营商城域网链路进行连接的功能； b) 应具备业务专网地址到电子政务外网地址的转换的功能； 3 DB52/T 1619—2021 c) 应具备通过电子政务外网访问业务专网的应用或数据服务映射的功能； d) 应具备对网络病毒进行检测与过滤的功能； e) 应具备对网络入侵进行检测与过滤的功能。 5.3.2 接入汇聚系统 接入汇聚系统至少应包括以下要求： a) 应具备与运营商城域网链路的连接功能； b) 应具备将各业务专网接入到电子政务外网的功能； c) 应具备通过划分 VLAN 或访问控制等手段将各业务专网进行逻辑隔离的功能； d) 应具备对汇聚链路协议进行解封装，还原原始数据包的功能； e) 应具备连接边界防护系统和访问交换系统的功能。 5.3.3 边界防护系统 边界防护系统至少应包括以下要求： a) 应具备抵御 DDoS 攻击的功能； b) 应具备对恶意 IP、端口进行封堵的功能； c) 应具备对网络病毒进行检测与过滤的功能； d) 应具备对网络入侵进行检测与过滤的功能。 5.3.4 访问交换系统 访问交换系统至少应包括以下要求： a) 应具备通过 NFS、SMB、FTP 等文件传输协议，实现文件的交换的功能； b) 应具备实时音视频传输的功能； c) 应具备数据库和异构数据库同步更新的功能； d) 应具备对传输数据类型进行检查及过滤；对数据内容进行识别和过滤的功能。 5.3.5 高级威胁监测系统 高级威胁监测系统至少应包括以下要求： a) 应具备对 APT 攻击、新型木马、特种免杀木马进行描述的功能并能确认攻击手段、攻击对象和 攻击目的； b) 应具备检测网络攻击（如 sql 注入、跨站、webshell、命令执行、文件包含等 web 攻击行为） 并发出报警的功能。 c) 应具备对所有网络行为进行记录、预处理、检索和攻击定位的功能； d) 应具备对所有网络流量进行采集并还原的功能。 6 融合接入要求 6.1 6.1.1 6.1.2 6.1.3 6.1.4 4 接入方式 电子政务外网应与本地网络运营机构城域网专线进行连接。 应通过专线将业务专网与电子政务外网进行网络连接。 应通过划分 VLAN、访问控制等手段将业务专网数据进行逻辑隔离。 应对业务专网传输的数据进行协议转换，并可在电子政务外网骨干网传输。 DB52/T 1619—2021 6.2 互通方式 6.2.1 数据文件交换 6.2.1.1 数据交换通过文件摆渡方式进行交换。 6.2.1.2 默认关闭所有 TCP/IP 端口，仅允许开放必要 TCP/IP 端口。 6.2.1.3 对交换的数据包括数据来源、传输发生时间、传输完整性、是否遵守策略规则、行为是否成功、 交换结束时间等进行审计留存。 6.2.1.4 对访问控制策略的制定、实施和管理应由业务专网接入机构与电子政务外网管理机构共同负 责。 6.3 接入安全 应符合GB/T 22239的规定。 7 7.1 融合管理要求 申请 由业务专网接入机构向电子政务外网管理机构提交申请表，申请接入电子政务外网。 7.2 审核 由电子政务外网管理机构审查核准，