GB/Z 24294.2-2017信息安全技術(shù)基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南第2部分：接入控制與安全交換

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件

GB/Z242942—2017

部分代替.

GB/Z24294—2009

信息安全技術(shù)

基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南

第2部分接入控制與安全交換

:

Informationsecuritytechnology—GuideofimplementationforInternet-based

e-overnmentinformationsecurit—Part2Accesscontrolandsecureexchane

gy:g

2017-05-31發(fā)布2017-12-01實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/Z242942—2017

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………2

分域控制

5…………………3

接入控制

6…………………3

接入控制結(jié)構(gòu)

6.1………………………3

接入控制組成

6.1.1…………………3

接入控制方式

6.1.2…………………4

接入控制功能

6.2………………………4

接入控制安全功能

6.2.1……………4

接入控制適應(yīng)性

6.2.2………………5

接入認(rèn)證

6.3……………5

用戶接入認(rèn)證策略

6.3.1……………5

用戶接入平臺

6.3.2…………………5

用戶接入認(rèn)證

6.3.3…………………5

接入控制規(guī)則

6.4………………………6

用戶接入控制規(guī)則

6.4.1……………6

分組接入控制規(guī)則

6.4.2……………6

終端隔離與補(bǔ)救規(guī)則

6.4.3…………7

接入控制管理

6.5………………………7

統(tǒng)一接入安全管理

6.5.1……………7

接入用戶管理

6.5.2…………………7

安全策略管理

6.5.3…………………7

安全審計管理

6.5.4…………………7

信息安全交換

7……………8

信息安全交換需求

7.1…………………8

信息安全隔離需求

7.1.1……………8

信息安全共享需求

7.1.2……………8

交換策略定制需求

7.1.3……………8

交換數(shù)據(jù)安全性需求

7.1.4…………9

交換行為監(jiān)管需求

7.1.5……………9

信息安全交換模式

7.2…………………9

定制數(shù)據(jù)安全交換模式

7.2.1………………………9

Ⅰ

GB/Z242942—2017

.

數(shù)據(jù)流安全交換模式

7.2.2…………10

定制數(shù)據(jù)安全交換模式技術(shù)要求

7.3…………………11

定制交換策略

7.3.1…………………11

定制數(shù)據(jù)安全交換適配

7.3.2………………………11

交換數(shù)據(jù)內(nèi)容安全

7.3.3……………11

交換進(jìn)程安全

7.3.4…………………11

交換網(wǎng)絡(luò)連接安全

7.3.5……………12

交換行為審計

7.3.6…………………12

數(shù)據(jù)流安全交換模式技術(shù)要求

7.4……………………12

數(shù)據(jù)流源認(rèn)證

7.4.1…………………12

數(shù)據(jù)流完整性驗(yàn)證

7.4.2……………13

數(shù)據(jù)流內(nèi)容檢測

7.4.3………………13

Ⅱ

GB/Z242942—2017

.

前言

信息安全技術(shù)基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南分為個部分

GB/Z24294《》4:

第部分總則

———1:;

第部分接入控制與安全交換

———2:;

第部分身份認(rèn)證與授權(quán)管理

———3:;

第部分終端安全防護(hù)

———4:。

本部分為的第部分

GB/Z242942。

本部分按照給出的規(guī)則起草

GB/T1.1—2009。

本部分部分代替信息安全技術(shù)基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南與

GB/Z24294—2009《》,

相比主要技術(shù)變化如下

GB/Z24294—2009,:

給出了接入控制組成結(jié)構(gòu)與實(shí)施辦法

———;

對接入控制功能網(wǎng)絡(luò)適應(yīng)性提出了新的基本要求詳細(xì)細(xì)化了接入認(rèn)證接入控制規(guī)則以及

———、,、

接入控制管理要求更加適合電子政務(wù)安全接入控制需求

,;

針對安全交換補(bǔ)充了信息安全交換模式分類

———;

針對安全交換補(bǔ)充了定制數(shù)據(jù)安全交換模式技術(shù)要求和數(shù)據(jù)流安全交換模式技術(shù)要求

———。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本部分由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口

(SAC/TC260)。

本部分起草單位解放軍信息工程大學(xué)中國電子技術(shù)標(biāo)準(zhǔn)化研究所北京天融信科技有限公司鄭

:、、、

州信大捷安信息技術(shù)股份有限公司

。

本部分主要起草人陳性元杜學(xué)繪孫奕夏春濤曹利峰張東巍任志宇羅鋒盈上官曉麗

:、、、、、、、、、

董國華

。

本部分所代替標(biāo)準(zhǔn)的歷次版本發(fā)布情況為

:

———GB/Z24294—2009。

Ⅲ

GB/Z242942—2017

.

引言

互聯(lián)網(wǎng)作為我國電子政務(wù)的重要信息基礎(chǔ)設(shè)施盡管提高了辦公的效率節(jié)約了資源與成本但是

,,,

互聯(lián)網(wǎng)的開放性接入用戶接入終端接入手段的多樣化電子政務(wù)系統(tǒng)的安全要求與電子政務(wù)系統(tǒng)的

,、、,

開放性之間的矛盾等將使得電子政務(wù)系統(tǒng)面臨著非法接入非授權(quán)訪問信息無法安全共享等安全問

,、、

題應(yīng)該引起高度重視為確保政務(wù)用戶能夠合法接入互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)安全區(qū)域防止非法接入與

,。,

非授權(quán)訪問以及域間信息安全交換特制定本部分推動互聯(lián)網(wǎng)在我國電子政務(wù)中的安全應(yīng)用

,,。

本部分提出了安全接入與安全交換兩個階段的安全功能要求對基于互聯(lián)網(wǎng)電子政務(wù)信息安全系

,

統(tǒng)結(jié)構(gòu)設(shè)計網(wǎng)絡(luò)接入方式信息安全共享提供指導(dǎo)本部分首先對分域控制與域間信息安全交換模式

、、。

進(jìn)行描述然后分別從接入控制和信息安全交換技術(shù)兩個階段進(jìn)行描述在接入控制階段首先對接入

,。,

控制模式進(jìn)行了描述明確了接入控制的組成功能以及接入方式的要求接著對接入認(rèn)證分域控制要

,、;、

求進(jìn)行了規(guī)范明確了接入認(rèn)證接入設(shè)備功能等要求并描述了分域控制實(shí)施細(xì)則最后對接入控制規(guī)

,、,;

則接入管理進(jìn)行了描述明確了不同情況下接入控制策略以及安全管理要求在安全交換階段首先

、,。,

對互聯(lián)網(wǎng)電子政務(wù)信息安全交換的安全需求進(jìn)行描述明確了基于互聯(lián)網(wǎng)電子政務(wù)信息安全交換的模

;

式然后分別對在定制數(shù)據(jù)安全交換模式和數(shù)據(jù)流安全交換模式下實(shí)施信息安全交換的關(guān)鍵環(huán)節(jié)提出

;

相關(guān)要求

。

本部分主要適用于沒有電子政務(wù)外網(wǎng)專線或沒有租用通信網(wǎng)絡(luò)專線條件的組織機(jī)構(gòu)基于互聯(lián)網(wǎng)

,

開展非涉及國家秘密的電子政務(wù)建設(shè)當(dāng)建設(shè)需要時可根據(jù)安全策略與電子政務(wù)外網(wǎng)進(jìn)行安全對接

,,。

Ⅳ

GB/Z242942—2017

.

信息安全技術(shù)

基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南

第2部分接入控制與安全交換

:

1范圍

的本部分明確了互聯(lián)網(wǎng)電子政務(wù)分域控制的兩個階段在接入控制階段對接入控制

GB/Z24294,,

結(jié)構(gòu)接入安全設(shè)備功能接入認(rèn)證接入控制規(guī)則接入控制管理等方面給出指南性建議要求在安全

、、、、;

交換階段對安全交換模式定制數(shù)據(jù)安全交換要求數(shù)據(jù)流安全交換要求給出指南性建議要求

,、、。

本部分適用于沒有電子政務(wù)外網(wǎng)專線或沒有租用通信網(wǎng)絡(luò)專線條件的組織機(jī)構(gòu)基于互聯(lián)網(wǎng)開展

,

不涉及國家秘密的電子政務(wù)安全接入控制策略設(shè)計工程實(shí)施與系統(tǒng)研發(fā)為管理人員工程技術(shù)人員

、,、、

信息安全產(chǎn)品提供者進(jìn)行信息安全規(guī)劃與建設(shè)提供管理和技術(shù)參考涉及國家秘密或所存儲處理

。,、、

傳輸信息匯聚后可能涉及國家秘密的按照國家保密規(guī)定和標(biāo)準(zhǔn)執(zhí)行

,。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件