ICS 35.080 CSS L 07 江 DB36 西 省 地 方 标 准 DB36/T 1584 —2022 电子政务外网企事业单位接入技术规范 Technical specification for enterprises and institutions accessing e-government extranet 2022 - 05 - 30 发布 江西省市场监督管理局 2022 - 12 - 01 实施 发 布 DB36/T 1584—2022 目 次 前言 ................................................................................ II 引言 ............................................................................... III 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 缩略语 ............................................................................ 2 5 企事业接入区 ...................................................................... 2 6 管理要求 .......................................................................... 5 7 安全要求 .......................................................................... 5 8 线路要求 .......................................................................... 6 9 服务流程 .......................................................................... 6 附录 A（规范性附录） 企事业单位申请表 ................................................ 8 附录 B（规范性附录） 主管政务部门审核表 ............................................. 10 附录 C（规范性附录） 实施授权函 ..................................................... 12 参考文献 ............................................................................ 14 I DB36/T 1584—2022 前 言 本文件按照GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由江西省发展和改革委员会提出并归口。 本文件起草单位：江西省信息中心。 本文件主要起草人：杜军龙、孙杨、吁元卿、何黎明、赖敬坤、梅洪、淦华山、曾诗亮、蔡明明、 林林、冯一德、王一名、苏文韬。 II DB36/T 1584—2022 引 言 随着数字经济的发展和数字政府的建设，电子政务的应用不断深入和丰富，政务部门的业务应用正 逐步向关联企事业单位延伸，企事业单位接入电子政务外网的需求越来越迫切。与政务部门相比，企事 业单位在安全风险防范方面存在更多的不确定性，需采用更严格的安全防护联网方式。为规范电子政务 外网的企事业单位接入行为，明确企事业单位的联网方式和联网要求，保障电子政务外网安全稳定运行， 特制定本规范。 III DB36/T 1584—2022 电子政务外网企事业单位接入技术规范 1 范围 本文件规定了企事业接入区整体架构和技术要求，明确了企事业单位接入电子政务外网的接入原 则、管理要求、安全要求、线路要求和服务流程。 本文件适用于企事业单位接入电子政务外网。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GW 0202 国家电子政务外网安全接入平台技术规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 电子政务外网 e-government extranet 电子政务重要基础设施，服务于各级党委、人大、政府、政协、纪委监委、法院和检察院等政务部 门，满足其社会管理、公共服务、经济调节和市场监管等方面需要的政务公用网络。电子政务外网支持 跨地区、跨部门的业务应用、信息共享和业务协同，以及不需在政务内网上运行的业务。电子政务外网 与互联网逻辑隔离。 3.2 电子政务外网管理单位 e-government extranet management unit 负责本级电子政务外网建设和运维管理工作，省市县均设有电子政务外网管理单位。 3.3 电子政务外网城域网 metropolitan area network of e-government extranet 在一个城市范围内建立的电子政务外网，用于实现同城不同位置的各单位网络接入和互联互通。 3.4 接入单位 enterprises and institutions access area access unit 从事公益服务的一、二、三类事业单位，国有、集体、私营及混合所有制企业，与政务部门进行线 1 DB36/T 1584—2022 上业务互通的商会、行业协会等自治性组织。 3.5 企事业接入区 enterprises and institutions access area 用于企事业单位接入电子政务外网的专用网络接入和安全防控区域。 3.6 运营单位 enterprises and institutions access area operation unit 由电子政务外网管理单位授权，承担电子政务外网企事业接入日常运营服务工作。 3.7 接入终端 terminal 企事业单位接入电子政务外网的服务器、个人计算机、移动智能终端、物联网终端等。 4 缩略语 下列缩略语适用于本文件。 MD5：信息－摘要算法（Message-Digest Algorithm 5） MAC：媒体接入控制（Media Access Control） IP：网际互联协议（Internet Protocol） SSL VPN：安全套接层虚拟专用网（Secure Socket Layer Virtual Private Network） 5 企事业接入区 5.1 整体架构 5.1.1 为完善企事业单位电子政务外网联网规范，进一步提升企事业单位政务网络安全防护能力，应 建立覆盖端到端全链条的防护链，建立涵盖终端、线路、边界、平台、数据等全要素的防护网，建立具 备事前防护、事中监测、事后溯源全流程的防护墙。电子政务外网边界域内，应部署设置专用的企事业 单位接入区。 2 DB36/T 1584—2022 图 1 企事业接入区架构示意图 5.1.2 企事业接入区位于电子政务外网城域网和接入单位之间，省市分别部署省级企事业接入区和市 级企事业接入区，县级原则上不部署企事业接入区。如图 1 所示，省市企事业接入区包括如下五个功能 区域： a) 隔离交换区：提供接入单位局域网内部数据和电子政务外网业务应用系统的安全隔离、信息交 换功能； b) 边界接入区：提供接入单位汇聚接入电子政务外网功能； c) 准入控制区：提供身份管理、准入控制、违规外联检测和授权管理等功能，保证终端安全可控 地接入电子政务外网； d) 边界防护区：保障企事业接入区和电子政务外网安全隔离； e) 安全管理区：提供用户认证、终端管理、终端杀毒和统一安全管理等功能，对接入单位接入终 端统一安全管理和运维。 5.2 技术要求 5.2.1 隔离交换区 隔离交换区应满足如下要求： a) 采用双主机系统和一个固态介质存储交换系统架构； b) 保证数据交换时无任何通信和网络协议连接，实现电子政务外网和互联网等其他网络物理隔 3 DB36/T 1584—2022 离； c) 具备恶意代码防范功能，防止病毒和黑客非法访问，支持在线更新。 5.2.2 边界接入区 边界接入区应满足如下要求： a) 按照方便管理和控制的原则，划分不同的网络区域； b) 保证接入设备的业务处理能力、线路带宽满足业务高峰期需要； c) 关键接入设备和通信线路采用冗余架构，保证系统的高稳定性。 5.2.3 准入控制区 准入控制区应满足如下要求： a) 身份认证：提供多因子统一身份认证功能，实现先认证后连接的准入方式； b) 安全防护：能够对接入终端的基本信息、补丁信息、杀毒软件信息、违规外联信息等安全状态 进行全方位监测，具备禁止高风险主机入网功能，能够抵御端口扫描、分布式拒绝服务（DDoS） 等多种网络攻击行为； c) 动态授权：能对接入用户持续信任评估，结合用户终端安全状态、网络行为、访问时间等动态 调整信任评估值，并能根据信任评估值对接入用户实现动态准入控制、动态授权管理。 5.2.4 边界防护区 边界防护区应满足如下要求： a) 访问控制：按权限最小化原则严格控制访问资源，控制粒度达端口级，能基于应用协议和应用 内容对数据流实现访问控制； b) 入侵防范：支持入侵防范安全策略部署，对攻击行为进行实时告警并阻断，实现入侵防御，支 持攻击特征库实时升级； c) 恶意代码防范：支持对病毒、蠕虫、僵尸网络等恶意流量的检测、分析、阻断和清除，支持对 多层压缩文件查杀，支持基于文件 MD5 值设置病毒白名单。 5.2.5 安全管理区 安全管理区应满足如下要求： a) 具备接入线路质量感知