ICS35.240.01 CCS L 67 DB65 新疆维吾尔自治区地方标准 DB65/T4536.5--2022 电子政务外网建设规范 第5部分：网络安全实施指南 Construction specifications of E-Government network- Part 5 : Guidelines for safety implementation 地方标准信息服务平 2022-10-10发布 2022-12-09实施 新疆维吾尔自治区市场监督管理局 发布 地方标准信息服务平台 DB65/T4536.5—2022 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件是DB65/T4536—2022《电子政务外网建设规范》的第5部分。DB65/T4536—2022 《电 子政务外网建设规范》分为8个部分： 第1部分：网络架构； 第2部分：IPv4地址规划； 第3部分：IPv6地址规划； 第4部分：IP域名规划； 第5部分：网络安全实施指南； 第6部分：安全接入平台技术要求； 第7部分：政务云安全要求； 第8部分：网络质量规范。 本文件由新疆维吾尔自治区电子政务外网管理中心提出。 本文件由新疆维吾尔自治区工业和信息化厅归口并组织实施。 本文件起草单位：新疆维吾尔自治区信息中心（新疆维吾尔自治区电子政务外网管理中心）、新疆 维吾尔自治区产品质量监督检验研究院、新疆维吾尔自治区信息技术工程质量监督检验站、新疆维吾尔 自治区标准化研究院、中国电信集团系统集成有限责任公司新疆分公司。 本文件主要起草人：赵若平、袁学海、韦导、石常海、白荣华、姚婉玉、安军、郭瑞、朱焕宇、钱 寅、宋海翔、哈斯铁尔·德孜木汗、周斌、邓攀、伊里夏提·库马尔、刘金、刘军、张睿。 本文件实施应用中的疑问，请咨询新疆维吾尔自治区信息中心（新疆维吾尔自治区电子政务外网管 理中心）。 对本文件的修改意见和建议，请反馈至新疆维吾尔自治区信息中心（新疆维吾尔自治区电子政务外 网管理中心）（乌鲁木齐市天山区人民路325号通宝大厦7楼）、新疆维吾尔自治区工业和信息化厅（乌 鲁木齐市友好南路179号）、新疆维吾尔自治区市场监督管理局（乌鲁木齐市新华南路167号）。 新疆维吾尔自治区信息中心（新疆维吾尔自治区电子政务外网管理中心）联系电话：0991-2823026； 传真：0991-2810350；邮编：830002 新疆维吾尔自治区工业和信息化厅联系电话：0991-4523947；传真：0991-4543050；邮编：830091 信息服务平台 新疆维吾尔自治区市场监督管理局联系电话：0991-2818750；传真：0991-2311250；邮编：830004 1 地方标准信息服务平台 DB 65/T4536.5—2022 电子政务外网建设规范 第5部分：网络安全实施指南 1范围 本文件规定了电子政务外网建设规范网络安全实施指南的术语和定义、缩略语、总体要求、建设原 则、网络安全架构及安全域划分、网络互联安全要求、国产密码应用、终端安全防护及网络安全等级保 护的要求。 本文件适用于自治区电子政务外网安全防护体系的建设，也可作为各级电子政务外网管理部门指 导、监督和检查的依据。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T5271.8信息技术词汇第8部分：安全 GB17859计算机信息系统安全保护等级划分准则 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T22240信息安全技术网络安全等级保护定级指南 GB/T30278信息安全技术政务计算机终端核心配置规范 GB/T37092信息安全技术密码模块安全要求 GB/T39786信息安全技术信息系统密码应用基本要求 DB65/T4536.1电子政务外网建设规范第1部分：网络架构 DB65/T4536.2电子政务外网建设规范第2部分：IPv4地址规划 DB65/T4536.6电子政务外网建设规范第6部分：安全接入平台技术要求 《国家电子政务外网IPSecVPN安全接入技术要求与实施指南》 《国家电子政务外网安全接入平台技术规范》 《国家电子政务外网安全等级保护基本要求》 3术语和定义 GB/T5271.8、GB17859、DB65/T4536.1界定的以及下列术语和定义适用于本文件。 3.1 移动终端mobiledevice 在移动业务中使用，基于互联网进行信息传输，从电子政务外网安全接入区接入的智能终端设备， 包括手机、PAD等通用终端和专用终端设备。 DB 65/T 4536.5—2022 3. 2 互联网接入终端internetaccess terminal 基于互联网进行通信，从电子政务外网安全接入区接入的移动终端、PC终端或业务应用主机。 3.3 电子政务外网终端E-Governmentnetworkterminal 位于电子政务外网内部，基于电子政务外网网络设施（不含互联网等公用网络）进行通信的PC终端。 3. 4 电子政务移动办公系统mobileE-Governmentsystem 利用移动终端，随时随地通过无线网络、互联网等访问电子政务办公系统，进行网上办公的应用系 统。 3. 5 移动终端管理mobiledevicemanagement 为移动终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑，实现用户身份与设备的绑 定管理、设备安全策略配置管理、设备应用数据安全管理等功能。 3.6 移动应用管理mobileapplicationmanagement 针对移动应用软件，提供从分发、安装、使用、升级和卸载等过程和行为的监控和管理。 3. 7 移动内容管理mobilecontentmanagement 针对移动终端访问、存储、传输或处理的数据内容，提供信息过滤、访问控制、数据加密、安全隔 离、剩余信息清除等管理措施。 4缩略语 下列符号和缩略语适用于本文件。 CA：认证中心（Certificate Authority） DDOS：分布式拒绝服务攻击（Distributed Denial Of Service Attack） DMZ：隔离区（Demilitarized Zone) DNS：域名系统（Domain Name System) IP：网际互联协议（InternetProtocol） LRA：本地注册中心（Local Registration Authority） PAD：平板电脑（Portable Android Device） PC：个人计算机（Personal Computer） PE：边缘设备（ProviderEdge） MAC：介质访问控制地址（Media AccessControlAddress） MPLS：多协议标签交换(Multi—ProtocolLabel Switching) MSTP：多业务传输平台（MultiServiceTransportPlatform） QoS：服务质量（QualityofService） RA：注册中心（RegistrationAuthority） SDH：同步数字体系（SynchronousDigitalHierarchy） VLAN：虚拟局域网（Virtual Local Area Network） VPN：虚拟专用网络（Virtual PrivateNetwork） 2 DB65/T4536.5—2022 5总体要求 贯彻执行国家网络安全相关法律法规，统筹规划、分级建设，通过不断加强电子政务外网的整体安 全防护能力，建立起能够有效抵御安全风险，适合电子政务外网可持续发展的网络安全防护体系，为电 子政务外网的业务应用提供坚实的安全保障。 6建设原则 6.1网络安全等级保护原则 按照GB17859、GB/T22239、GB/T22240的规定，确定本级电子政务外网的安全保护等级，并对所 辖网络实施安全保护。 6.2多重防护原则 强化预防优先、管控并重的安全意识，基于多维度安全防护手段，构建可持续发展的立体纵深安全 防护体系。 6.3规范管理原则 建立领导责任制，从机构、制度、人员、运行维护、资金保障等方面实现全面、有效、规范管理。 6.4安全保护原则 电子政务外网安全保护措施应与电子政务外网同步规划、同步建设、同步使用。 7网络安全架构及安全域划分 7.1网络安全架构 7.1.1广域网安全 7.1.1.1自治区电子政务外网广域网内主要传输数据、视频、图像等相关业务。电子政务外网可通过 MPLS/VPN或其他网络隔离技术，对不同的业务系统进行隔离。 7.1.1.2自治区至地州广域网骨干不应承载直接访问互联网的业务。地州级电子政务外网互联网出口 应实行统一集中管理，采取有效技术手段分区、分域，做好安全防护工作。 7.1.1.3区县级及以下电子政务外网接入部门不应设互联网出口，在使用地州级统一互联网出口时， 应采用有效的隔离技术，保证电子政务外网业务的安全。 7.1.2城域网安全 7.1.2.1自治区电子政务外网城域网在各级网络安全域边界，根据业务需求应部署安全边界访问控制 策略，采取相关技术防护措施。 7.1.2.2各级电子政务外网城域网为政务部门提供统一互联网接入服务时，应做好相应的安全防护工 作，对互联网业务和电子政务外网业务加以区分，做好区域安全防护，确保电子政务外网业务系统安全。 7.1.3部门接入网安全 3