国家电子政务外网标准 GW0202—2014 国家电子政务外网安全接入平台技术规范 Technical Requirements for Securing Access Platform of National E-Government Network 2014 - 11- 13 发布 2015 - 1 -1 实施 国家电子政务外网管理中心 目 次 前 言 ............................................................................... I 引 言 .............................................................................. II 1 2 3 4 5 6 范围 .............................................................................. 1 规范性引用文件 .................................................................... 1 术语和定义 ........................................................................ 1 缩略语 ............................................................................ 2 概述 .............................................................................. 2 基础框架 .......................................................................... 2 6.1 平台架构 ...................................................................... 2 6.2 功能框架 ...................................................................... 3 7 基本要求 .......................................................................... 4 7.1 统一入口 ...................................................................... 4 7.2 VPN 网关集群 ................................................................... 5 7.3 统一认证平台 .................................................................. 6 7.4 接入终端 ...................................................................... 7 7.5 管理与审计 .................................................................... 7 7.6 安全防护 ...................................................................... 7 8 建设指南 .......................................................................... 8 8.1 建设目标 ...................................................................... 8 8.2 建设原则 ...................................................................... 8 8.3 建设内容 ...................................................................... 8 附 录 A （资料性附录） 接入模式及接入流程 .......................................... 10 A.1 接入模式设计 .................................................................. 10 A.2 接入流程设计 .................................................................. 10 附 录 B （资料性附录） 典型部署案例 ...................................................................................................... 12 B.1 省级安全接入平台的典型部署 .................................................... 12 B.2 地（市）级安全接入平台的典型部署 .............................................. 12 前 言 为指导国家电子政务外网（以下简称“政务外网”）安全接入平台设计和建设，根据我国有关法律、 法规和技术规范，结合政务外网实际应用需求及产品部署经验，编制本规范。 本规范包括安全接入平台概述、基础框架、基本要求、建设指南、接入模式及接入流程、典型部署 案例等内容。 本规范由国家电子政务外网管理中心提出并归口。 本规范起草单位：国家电子政务外网管理中心、中安网脉（北京）技术股份有限公司、网神信息技 术（北京）股份有限公司、北京天融信科技有限公司、华为技术有限公司、北京国联天成信息技术有限 公司。 本规范主要起草人：罗海宁、冷默、邵国安、周民、吕品、徐惠清、任献永、张锐卿、黄敏、孙涛 元、赵燕杰、刘歆、吴科科。 I 引 言 为了满足各级政务部门的移动办公、远程访问、现场执法以及相关企事业单位和工作人员利用公众 网络安全接入到政务外网的业务需求，规范中央、省（自治区、直辖市）、地（市）、县级政务外网建 设运维单位建设安全接入平台，特编制本规范。 II 国家电子政务外网安全接入平台技术规范 1 范围 本规范适用于指导各级政务外网建设运维单位进行安全接入平台的规划、设计、选型及实施等工作， 也可作为政务外网职能部门进行指导、监督和检查的依据。 2 规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是标注日期的引用文件，其后所有的 修改（不包括勘误的内容）或修订版均不适用于本规范。凡是不标注日期的引用文件，其最新版本适用 于本规范。 GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》 GM/T 0022-2014 《IPSec VPN 技术规范》 GM/T 0023-2014 《IPSec VPN 网关产品规范》 GM/T 0024-2014 《SSL VPN 技术规范》 GM/T 0025-2014 《SSL VPN 网关产品规范》 《国家电子政务外网 IPSec VPN 安全接入技术要求与实施指南》 （政务外网[2011]11 号） 《国家电子政务外网安全等级保护基本要求》 （政务外网[2011]15 号） 《国家电子政务外网安全等级保护实施指南》 （政务外网[2014]1 号） 《商用密码管理条例》 （国务院 273 号令） 3 术语和定义 GB/T 25069-2010 确立的以及下列术语和定义适用于本规范。 3.1 AAA AAA 是 Authentication（验证） 、Authorization（授权）和 Accounting（记账）三个英文单词的 简称，验证是验证用户是否可以获得访问权限，确定哪些用户可以访问网络；授权确定用户可以使用哪 些服务；记账记录用户使用网络资源的情况。 3.2 RADIUS 协议 RADIUS 是 Remote Authentication Dial-In User Service（远程用户拨号认证服务）的简称，是 目前应用较广泛的 AAA 协议，是同时兼顾验证、授权、计费三种服务的一种网络传输协议。 3.3 AD AD 是 Active Directory（活动目录）的简称，是 Windows 平台服务器核心组件之一，活动目录是 一种目录服务,它可将网络中各种对象组合起来进行管理。它存储有关网络对象的信息，例如用户、组、 计算机、共享资源、打印机和联系人等信息，使管理员和用户可以方便的查找和使用这些网络信息。 3.4 VPDN VPDN 是 Virtual Private Dial-up Networks（虚拟专用拨号网）的简称，是电信运营商基于拨号 用户的虚拟专用拨号网业务，利用 L2TP、IP 网络的承载功能结合相应的认证和授权机制建立起来的虚 拟专用网。 1 3.5 安全管理平台 Security Operation Center 安全管理平台是通过采用多种技术手段，收集和整合各类网络设备、安全设备、操作系统等安全事 件，并运用关联分析技术、智能推理技术和风险管理技术，实现对安全事件信息的深度分析，能快速做 出智能响应，实现对安全风险进行统一监控分析和预警处理。 3.6 移动终端管理系统 Mobile Device Management 移动终端管理系统为移动智能终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑，实 现用户身份与设备的绑定管理、设备安全策略配置管理、设备应用数据安全管理等功能 4 缩略语 下列缩略语适用于本规范。 CA 数字证书认证中心（Certificate Authority） IPSec IP安全协议（Internet Protocol Security） LDAP 轻量级目录访问协议（Light Directory Access Protocol） MPLS 多协议标签交换（Multi-protocol Label Switching） SSL 安全套接层（Secure Socket La