信息通信網(wǎng)與公共網(wǎng)絡(luò)單向數(shù)據(jù)傳輸安全規(guī)范

1、公共網(wǎng)絡(luò)與公安信息通信網(wǎng)單向數(shù)據(jù)傳輸安全規(guī)范（試行）公安部科技信息化局二一年四月目錄1.適用范圍32.規(guī)范性引用文件33.術(shù)語與定義33.1公網(wǎng)接入鏈路33.1.1單向入鏈路33.1.2單向出鏈路43.2格式化數(shù)據(jù)43.3單向數(shù)據(jù)傳輸43.2.1單向入數(shù)據(jù)傳輸43.2.2單向出數(shù)據(jù)傳輸44.安全技術(shù)要求54.1公網(wǎng)接入鏈路54.1.1總體要求54.1.1.1單向入鏈路54.1.1.2單向出鏈路64.1.2業(yè)務(wù)操作方法64.1.2.1單向入數(shù)據(jù)傳輸64.1.2.2單向出數(shù)據(jù)傳輸64.1.3區(qū)域劃分74.1.4單向入鏈路網(wǎng)絡(luò)安全74.1.5單向出鏈路網(wǎng)絡(luò)安全84.1.6主機安全94.1.7應(yīng)用安全

2、94.2集中監(jiān)控審計94.2.1接入鏈路安全監(jiān)控管理95.安全管理要求106.公網(wǎng)接入鏈路測評要求107.設(shè)備安全要求101. 適用范圍本規(guī)范適用于公共網(wǎng)絡(luò)與公安信息通信網(wǎng)進行單向數(shù)據(jù)傳輸，包括公安機關(guān)從社會企事業(yè)單位采集信息、黨政機關(guān)向公安機關(guān)共享信息，以及公安信息通信網(wǎng)通過公共網(wǎng)絡(luò)向社會各行業(yè)和黨政機關(guān)提供數(shù)據(jù)訪問。本規(guī)范規(guī)定了公共網(wǎng)絡(luò)與公安信息通信網(wǎng)進行單向數(shù)據(jù)傳輸?shù)陌踩夹g(shù)要求、安全管理要求、安全評測要求以及設(shè)備安全要求。2. 規(guī)范性引用文件本規(guī)范的制訂參照了以下規(guī)范和標準：公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）（公安部信息通信局，二七年六月）公安信息通信網(wǎng)聯(lián)網(wǎng)設(shè)備及應(yīng)用系統(tǒng)注冊管

3、理辦法（公信通2007139號）3. 術(shù)語與定義3.1 公網(wǎng)接入鏈路公共網(wǎng)絡(luò)與公安信息通信網(wǎng)進行數(shù)據(jù)傳輸?shù)臄?shù)據(jù)通路，分為單向入鏈路和單向出鏈路。3.1.1 單向入鏈路社會各行業(yè)和黨政機關(guān)通過公共網(wǎng)絡(luò)向公安信息通信網(wǎng)傳輸數(shù)據(jù)的業(yè)務(wù)，稱為“公網(wǎng)對公安信息通信網(wǎng)單向數(shù)據(jù)傳輸業(yè)務(wù)”，簡稱“單向入業(yè)務(wù)”。為“單向入業(yè)務(wù)”建設(shè)的、包括各種安全設(shè)備在內(nèi)的數(shù)據(jù)通路簡稱為“單向入鏈路”。3.1.2 單向出鏈路公安機關(guān)所有要求通過公安信息通信網(wǎng)通過公共網(wǎng)絡(luò)向社會各行業(yè)和黨政機關(guān)提供數(shù)據(jù)的業(yè)務(wù)，稱為“公安信息通信網(wǎng)對公網(wǎng)單向數(shù)據(jù)傳輸業(yè)務(wù)”，簡稱“單向出業(yè)務(wù)”。為“單向出業(yè)務(wù)”建設(shè)的、包括各種安全設(shè)備在內(nèi)的數(shù)據(jù)通路簡

4、稱為“單向出鏈路”。3.2 格式化數(shù)據(jù)格式化數(shù)據(jù)是指數(shù)據(jù)內(nèi)容的表示方式具備明確定義的數(shù)據(jù)。3.3 單向數(shù)據(jù)傳輸單向數(shù)據(jù)傳輸是社會各行業(yè)和黨政機關(guān)通過公網(wǎng)與公安信息通信網(wǎng)進行的數(shù)據(jù)傳輸，其傳輸?shù)膯蜗蛐杂砂踩綦x區(qū)的單向傳輸隔離設(shè)備提供保障，包括單向入數(shù)據(jù)傳輸和單向出數(shù)據(jù)傳輸。3.2.1 單向入數(shù)據(jù)傳輸社會各行業(yè)和黨政機關(guān)的應(yīng)用數(shù)據(jù)通過公網(wǎng)，由單向入鏈路向公安信息通信網(wǎng)進行的數(shù)據(jù)傳輸。3.2.2 單向出數(shù)據(jù)傳輸格式化數(shù)據(jù)從公安信息通信網(wǎng)通過單向出鏈路的單向傳輸隔離系統(tǒng)傳輸?shù)絾蜗虺鲦溌返膽?yīng)用服務(wù)區(qū)，供通過公網(wǎng)接入的社會各行業(yè)和黨政機關(guān)終端訪問。4. 安全技術(shù)要求4.1 公網(wǎng)接入鏈路公網(wǎng)接入鏈路是社會

5、各行業(yè)和黨政機關(guān)通過公共網(wǎng)絡(luò)與公安信息通信網(wǎng)進行單向數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)通道，分為單向入鏈路和單向出鏈路兩條獨立鏈路。4.1.1 總體要求總體要求遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的4.2.1節(jié)。4.1.1.1 單向入鏈路在單向入鏈路中，社會各行業(yè)的數(shù)據(jù)采集應(yīng)用終止于應(yīng)用服務(wù)區(qū)。在應(yīng)用服務(wù)區(qū)與公安信息通信網(wǎng)之間，通過單向傳輸隔離系統(tǒng)進行單向傳輸。單向傳輸隔離設(shè)備的主要安全功能為：實現(xiàn)前置服務(wù)器與后置服務(wù)器的安全隔離；根據(jù)安全策略，對從前置服務(wù)器到后置服務(wù)器的數(shù)據(jù)進行格式檢查和內(nèi)容過濾，從而保證數(shù)據(jù)由應(yīng)用服務(wù)區(qū)安全地傳輸?shù)焦残畔⑼ㄐ啪W(wǎng)，如圖1所示：圖1 接入平臺公網(wǎng)接入鏈路架構(gòu)圖（單向入

6、）4.1.1.2 單向出鏈路單向出鏈路實現(xiàn)從公安信息通信網(wǎng)到應(yīng)用服務(wù)區(qū)的單向數(shù)據(jù)傳輸。單向傳輸隔離設(shè)備的主要安全功能為：實現(xiàn)后置服務(wù)器與前置服務(wù)器的安全隔離；根據(jù)安全策略，對從后置服務(wù)器到前置服務(wù)器的傳輸數(shù)據(jù)進行格式檢查和內(nèi)容過濾，實現(xiàn)公安信息通信網(wǎng)到應(yīng)用服務(wù)區(qū)的單向數(shù)據(jù)傳輸，如圖2所示：圖2 接入平臺公網(wǎng)接入鏈路架構(gòu)圖（單向出）4.1.2 業(yè)務(wù)操作方法4.1.2.1 單向入數(shù)據(jù)傳輸單向入數(shù)據(jù)傳輸允許的業(yè)務(wù)操作方式：應(yīng)用數(shù)據(jù)只能由經(jīng)過認證的終端/代理服務(wù)器，通過單向入鏈路單向傳輸?shù)焦残畔⑼ㄐ啪W(wǎng)。4.1.2.2 單向出數(shù)據(jù)傳輸單向出數(shù)據(jù)傳輸允許的業(yè)務(wù)操作方式：格式化數(shù)據(jù)從從公安信息通信網(wǎng)通過單

7、向傳輸隔離系統(tǒng)傳輸?shù)綉?yīng)用服務(wù)區(qū)，供公網(wǎng)接入的社會各行業(yè)和黨政機關(guān)終端訪問。4.1.3 區(qū)域劃分遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的4.2.2節(jié)。4.1.4 單向入鏈路網(wǎng)絡(luò)安全4.1.4.1 單向數(shù)據(jù)傳輸與隔離采用光纖、數(shù)據(jù)二極管等單向傳輸與隔離技術(shù)實現(xiàn)并經(jīng)國家權(quán)威部門認可的單向傳輸隔離設(shè)備，實現(xiàn)公共網(wǎng)絡(luò)向公安信息通信網(wǎng)的單向數(shù)據(jù)傳輸，保障公安信息網(wǎng)內(nèi)的信息不會通過此通道流出。4.1.4.2 接入終端/代理服務(wù)器安全加強對接入終端/代理服務(wù)器采用設(shè)備信息注冊和認證方式，禁止未經(jīng)認證的設(shè)備接入到單向入鏈路，確保接入對象的合法性。采用各類安全技術(shù)提供網(wǎng)絡(luò)攻擊防御能力，保障接入終端/代理服

8、務(wù)器的安全。4.1.4.3 用戶身份認證對利用公共網(wǎng)絡(luò)實現(xiàn)對公安信息通信網(wǎng)單向數(shù)據(jù)傳輸?shù)挠脩?，采用?shù)字證書等身份認證技術(shù)進行身份鑒別，保證傳輸用戶的合法。4.1.4.4 訪問控制必須對接入終端/代理服務(wù)器的用戶進行統(tǒng)一注冊和授權(quán)管理，嚴格權(quán)限控制，保證只有通過認證的用戶能訪問到已授權(quán)的應(yīng)用系統(tǒng)，杜絕非授權(quán)訪問。4.1.4.5 機密性與完整性遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的4.2.4.3節(jié)。4.1.4.6 入侵防范遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的4.2.4.4節(jié)。4.1.4.7 網(wǎng)絡(luò)設(shè)備安全遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的4.2.4.5節(jié)。4.1.

9、4.8 可用性保障遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的4.2.4.6節(jié)。4.1.5 單向出鏈路網(wǎng)絡(luò)安全4.1.5.1 單向數(shù)據(jù)傳輸與隔離采用光纖、數(shù)據(jù)二極管等單向傳輸與隔離技術(shù)實現(xiàn)并經(jīng)國家權(quán)威部門認可的單向傳輸隔離設(shè)備，實現(xiàn)公安信息通信網(wǎng)向公共網(wǎng)絡(luò)的單向數(shù)據(jù)傳輸，防范來自于公共網(wǎng)絡(luò)的攻擊。4.1.5.2 服務(wù)器安全加強對通過單向出鏈路進行數(shù)據(jù)傳輸?shù)墓残畔⑼ㄐ啪W(wǎng)內(nèi)的服務(wù)器采用設(shè)備信息注冊和認證，禁止未經(jīng)認證的設(shè)備通過此鏈路進行數(shù)據(jù)傳輸。4.1.5.3 身份認證對通過單向出鏈路進行數(shù)據(jù)傳輸?shù)墓残畔⑼ㄐ啪W(wǎng)內(nèi)的服務(wù)器對象通過采用數(shù)字證書等身份認證技術(shù)進行身份鑒別，保證傳輸對象的合法。4

10、.1.5.4 訪問控制必須對通過單向出鏈路進行數(shù)據(jù)傳輸?shù)墓残畔⑼ㄐ啪W(wǎng)內(nèi)的服務(wù)器對象進行統(tǒng)一注冊和授權(quán)管理，嚴格權(quán)限控制，保證只有通過認證的服務(wù)器能傳輸已授權(quán)的格式化數(shù)據(jù)，防止公安信息通信網(wǎng)的信息通過此通道非授權(quán)泄露。4.1.5.5 機密性與完整性遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的4.2.4.3節(jié)。4.1.5.6 入侵防范遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的4.2.4.4節(jié)。4.1.5.7 網(wǎng)絡(luò)設(shè)備安全遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的4.2.4.5節(jié)。4.1.5.8 可用性保障遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的4.2.4.6節(jié)。4.1.6

11、 主機安全遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的4.2.5節(jié)。4.1.7 應(yīng)用安全采用白名單機制進行數(shù)據(jù)內(nèi)容和格式檢查，采用病毒、木馬掃描技術(shù)保障數(shù)據(jù)安全性。只傳輸符合格式的數(shù)據(jù)，對不符合格式的數(shù)據(jù)進行阻斷和報警。采用加密技術(shù)對數(shù)據(jù)在公共網(wǎng)絡(luò)鏈路傳輸進行加密，保障在公共網(wǎng)絡(luò)傳輸過程中數(shù)據(jù)的機密性和完整性。非實時性的單向數(shù)據(jù)傳輸，可結(jié)合人工干預(yù)的方式保障單向數(shù)據(jù)傳輸?shù)目煽啃浴?.2 集中監(jiān)控審計遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的4.4節(jié)。4.2.1 接入鏈路安全監(jiān)控管理遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的4.4.1節(jié)。5. 安全管理要求遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的第5章。6. 公網(wǎng)接入鏈路測評要求遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的第7章。7. 設(shè)備安全要求公網(wǎng)接入鏈路內(nèi)的安全隔離設(shè)備必須符合公安部專門安全要求。其余設(shè)備遵循公安信息通信網(wǎng)邊界接入平臺安全規(guī)范（試行）的第8章。1、 系統(tǒng)硬件必須采用三部件架構(gòu)安全隔離設(shè)備（即內(nèi)、外置服務(wù)器和專用隔離硬件）。其中，專用隔離硬件采用光纖、數(shù)據(jù)二極管等單向傳輸與隔離技術(shù)實現(xiàn)并經(jīng)國家權(quán)威部門認可的單向傳輸隔離設(shè)備。2、