国家电子政务外网标准 GW0103—2011 国家电子政务外网 安全等级保护基本要求 Baseline for classified protection of National E-government Network 2011- 12 - 31 发布 2011 - 12 - 31 实施 国家电子政务外网管理中心 目 次 前 言 ............................................................................... I 引 言 .............................................................................. II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 政务外网资产、威胁分析和脆弱性 ..................................................... 4 4.1 资产分析 ....................................................................... 4 4.2 威胁分析 ....................................................................... 5 4.3 脆弱性分析 ..................................................................... 6 5 政务外网安全等级保护概述 ........................................................... 7 5.1 政务外网安全保护等级 ........................................................... 7 5.2 不同等级的安全保护能力 ......................................................... 7 6 第二级基本要求 ..................................................................... 8 6.1IP 承载网 ........................................................................ 8 6.2 业务区域网络 .................................................................... 9 6.3 管理区域网络 .................................................................... 9 7 第三级基本要求 .................................................................... 10 7.1 IP 承载网 ...................................................................... 10 7.2 业务区域网络 .................................................................. 12 前 言 为了贯彻国家信息安全相关法律法规，落实信息安全等级保护相关技术要求，根据国家标准GB/T 22239-2008 《信息系统安全等级保护基本要求》的要求，为规范国家电子政务外网安全等级保护的工 作，针对政务外网的具体情况，特制定本标准。 本标准由国家电子政务外网管理中心提出。 本标准由国家电子政务外网管理中心归口。 本标准主要起草单位：国家电子政务外网管理中心办公室、国家信息中心信息安全研究与服务中 心 本标准主要起草人：孙大奇、周民、沈解伍、吴亚非、刘建国、邵国安、禄凯、陈永刚、罗海宁、 吕品、徐春学、刘晓光 本标准由国家电子政务外网管理中心负责解释。 I 引 言 本标准是国家电子政务外网安全等级保护相关系列标准之一。 本标准与国标《计算机信息系统安全保护等级划分准则》（GB 17859-1999）、《信息系统安全等 级保护基本要求》（GB/T 22239-2008）等标准共同构成了国家电子政务外网安全等级保护的相关配套 标准。其中GB 17859-1999、GB/T 22239-2008是基础性标准，为政务外网安全等级保护遵从的基本标 准。本标准是针对国家电子政务外网现状、技术特点和安全防护要求作进一步细化和扩展，是对GB/T 22239-2008的补充，本标准未提到部分均按 GB/T 22239-2008的信息系统安全等级保护基本要求执行。 与本标准相关的系列标准包括： ——《国家电子政务外网安全等级保护实施指南》 在本标准文本中，黑体字表示较低等级中没有出现或增强的要求。 对于承载涉及国家秘密信息系统的网络保护要求，按照国家相关法律法规和信息安全主管部门的 相关规定和标准实施。 对于涉及密码的使用和管理，按照国家密码管理主管部门的相关规定和标准实施。 凡涉及政务外网数字证书的相关要求，参照国家电子政务外网管理中心印发的相关管理和技术规 定执行。 II 国家电子政务外网安全等级保护基本要求 1 范围 本标准规定了国家电子政务外网（以下简称政务外网）不同安全保护等级网络的基本技术保护要 求，适用于指导政务外网安全等级保护的建设、整改、自查和测评工作，可作为安全等级保护和信息 安全主管部门对政务外网安全进行检查和指导时的依据。 本标准只涉及政务外网安全等级保护的基本技术要求，有关物理环境、主机/服务器、应用、数据 和管理安全等共性要求，请按照国家标准 GB/T 22239-2008 执行。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有 的修改单（不包括勘误的内容）或修订版均不适用于本标准。凡是不注明日期的引用文件，其最新版 本适用于本标准。 GB/T 5271.8 信息技术 词汇 第 8 部分：安全 GB 17859 计算机信息系统安全保护等级划分准则 GB/T 20270 信息安全技术 网络基础安全技术要求 GB/T 20984 信息安全技术 信息安全风险评估规范 GB/T 21061 国家电子政务网络技术和运行管理规范 GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 GB/T 22240 信息安全技术 信息系统安全等级保护定级指南 YD/T 1746 IP 承载网安全防护要求 《<信息安全等级保护商用密码管理办法>实施意见》 （国密局发[2009]10 号） 《电子政务电子认证服务管理办法》 （国密局发[2009]7 号） 3 术语和定义 GB/T 5271.8 和 GB 17859-1999 确定的以及下列术语和定义适用于本标准。 3.1 安全保护能力 Security Protection Ability 系统能够抵御威胁、发现安全事件以及在系统遭到损害后能够恢复先前状态等的程度。 3.2 虚拟专用网络 Virtual Private Network （VPN） 一种在 IP 承载网络上通过逻辑方式隔离出来的网络。它是一组封闭的网络网段，即使用同一台 IP 设备和开放互联协议与其他 VPN 共享同一主干网络，不同 VPN 之间的通信保持分离，路由不可达， 形成隔离，在一个虚拟网内，所有用户共享相同的安全策略、优先级服务和管理策略，提供端到端的 1 业务连接。所谓“虚拟”指网络连接特性是逻辑的而不是物理的。VPN 技术可用于网关与网关之间的 连接、网关与端点之间的连接、端点与端点之间的连接。 3.3 多协议标签交换的虚拟专用网 Multi-Protocol Label Switch VPN （MPLS VPN） MPLS-VPN 是指采用多协议标签交换（MPLS）技术在骨干的宽带 IP 网络上构建虚拟专用网络，实 现跨地域、安全、高速、可靠的数据、语音、图像多业务通信，并结合差别服务、流量工程等相关技 术，将公众网可靠的性能、良好的扩展性、丰富的功能与专用网的安全 、灵活、高效结合在一起，为 用户提供高质量的服务。 3.4 广域网 Wide Area Networks （WAN） 把城市之间连接起来的宽带网络称广域网，政务外网从中央到各省的网络称为中央广域网、省到 各地（市）网络称为省级广域网、地（市）到各县的广域网称为地（市）级广域网。实现国家、省、 市、县纵向业务的互联网通。 3.5 城域网 Metropolitan Area Networks （MAN） 把同一城市内不同单位的局域网络连接起来的网络称为城域网，实现不同单位跨部门业务的数据 共享与交换。 3.6 局域网 Local Area Network （LAN) 把本单位终端、主机/服务器、存储等设备，通过网络设备连接起来的网络，实现本单位业务系统、 数据的互访、共享等，称为局域网。局域网是政务部门开展电子政务业务的基础，其安全、建设、运 维等相关工作由网络所属单位自行负责。 3.7 逻辑隔离 Logic Isolation 逻辑隔离是一种不同网络间的安全防护措施，被隔离的两端仍然存在物理上数据通道连线。一 般使用协议转换、数据格式剥离或数据流控制的方法来实现在两个逻辑隔离区域之间传输数据，并且 传输的方向可以是单向或双向。 3.8 国家电子政务外网 National E-Government Network 国家电子政务外网是国家电子政务重要基础设施，是承载各级政务部门用于经济调节、市场监管、 社会管理和公共服务等非涉及国家秘密的业务应用系统的政务公用网络。包括中央级政务外网和地方 2 政务外网，二者均由相应的广域网和城域网构成。中央广域网与 31 个省、直辖市、自治区和新疆生产 建设兵团的省级政务外网互联。中央城域网用于连接在京中央政务部门