《電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入技術(shù)規(guī)范》

ICS35.020

CCSL70

團(tuán)體標(biāo)準(zhǔn)

T/EGAGXXXX—XXXX

電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入

技術(shù)規(guī)范

TechnicalrequirementsforsecureconnectionofDepartmentAccessNetworkwith

E-GovernmentNetwork

（征求意見(jiàn)稿）

在提交反饋意見(jiàn)時(shí)，請(qǐng)將您知道的相關(guān)專(zhuān)利連同支持性文件一并附上。

XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施

廣東省電子政務(wù)協(xié)會(huì)??發(fā)布

T/EGAGXXXX—XXXX

電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入

技術(shù)規(guī)范

1范圍

本文件規(guī)定了廣東省單位接入網(wǎng)接入電子政務(wù)外網(wǎng)的安全技術(shù)規(guī)范。

本文件適用于指導(dǎo)廣東省各單位接入網(wǎng)按安全技術(shù)規(guī)范接入電子政務(wù)外網(wǎng)。單位接入網(wǎng)內(nèi)的網(wǎng)絡(luò)和

安全工作由各單位自行建設(shè)管理。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GW0015-2022政務(wù)外網(wǎng)終端一機(jī)兩用安全管控技術(shù)指南

GW0206-2014接入政務(wù)外網(wǎng)的局域網(wǎng)安全技術(shù)規(guī)范

3術(shù)語(yǔ)和定義

下列術(shù)語(yǔ)和定義適用于本文件。

電子政務(wù)外網(wǎng)E-GovernmentNetwork

我國(guó)電子政務(wù)的重要基礎(chǔ)設(shè)施，與互聯(lián)網(wǎng)安全邏輯隔離，與政務(wù)內(nèi)網(wǎng)物理隔離，滿足各級(jí)政務(wù)部門(mén)

經(jīng)濟(jì)調(diào)節(jié)、市場(chǎng)監(jiān)管、社會(huì)管理和公共服務(wù)等方面需要的政務(wù)公用網(wǎng)絡(luò)。

單位接入網(wǎng)DepartmentAccessNetwork

電子政務(wù)外網(wǎng)接入單位自行建設(shè)和管理的內(nèi)部局域網(wǎng)絡(luò)或業(yè)務(wù)專(zhuān)網(wǎng)。

終端Terminal

通過(guò)固定網(wǎng)絡(luò)或移動(dòng)通訊網(wǎng)絡(luò)接入的輸入輸出設(shè)備。本規(guī)范內(nèi)一般指單位接入網(wǎng)內(nèi)辦公人員日常辦

公或輔助辦公所用的計(jì)算機(jī)終端、移動(dòng)終端、物聯(lián)終端，如臺(tái)式計(jì)算機(jī)、筆記本電腦、智能手機(jī)或視頻

會(huì)議終端、攝像頭、打印機(jī)、IP電話、門(mén)禁等。

城域網(wǎng)MetropolitanAreaNetwork

用于實(shí)現(xiàn)本級(jí)行政區(qū)域內(nèi)政務(wù)部門(mén)的橫向連接，包括中央、省、市、縣四級(jí)城域網(wǎng)。

廣域網(wǎng)WideAreaNetwork

用于實(shí)現(xiàn)各級(jí)城域網(wǎng)縱向跨級(jí)互聯(lián)，包括央省、省市、市縣三級(jí)廣域網(wǎng)。

4縮略語(yǔ)

下列縮略語(yǔ)適用于本文件。

IP：網(wǎng)際互連協(xié)議（InternetProtocol）

IPv6：網(wǎng)際互連協(xié)議第6版（InternetProtocolVersion6）

VPDN：虛擬專(zhuān)有撥號(hào)網(wǎng)絡(luò)（VirtualPrivateDialNetwork）

IPS：入侵防御系統(tǒng)（IntrusionPreventionSystem）

1

T/EGAGXXXX—XXXX

WAF：Web應(yīng)用防護(hù)系統(tǒng)（WebApplicationFirewall）

DDOS：分布式拒絕服務(wù)攻擊（DistributedDenialofService）

ICP：網(wǎng)絡(luò)內(nèi)容服務(wù)商（InternetContentProvider）

CA：數(shù)字證書(shū)認(rèn)證中心(CertificateAuthority)

IPSec：IP安全協(xié)議(InternetProtocolSecurity)

SSL：安全套接層(SecureSocketLayer)

VPN：虛擬專(zhuān)用網(wǎng)(VirtualPrivateNetwork)

MAC：網(wǎng)絡(luò)設(shè)備物理地址(MediaAccessControlAddress)

NAT：網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）

5電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入基礎(chǔ)架構(gòu)

網(wǎng)絡(luò)接入模式

電子政務(wù)外網(wǎng)接入模式可分為終端接入、系統(tǒng)接入和整網(wǎng)對(duì)接三種，接入單位可采用其中一種或多

種接入模式接入電子政務(wù)外網(wǎng)：

a)終端接入模式適用于單位接入網(wǎng)內(nèi)中僅有終端設(shè)備接入需求的場(chǎng)景；

b)系統(tǒng)接入模式適用于單位接入網(wǎng)內(nèi)中僅有應(yīng)用系統(tǒng)接入需求的場(chǎng)景；

c)整網(wǎng)對(duì)接模式適用于非涉密業(yè)務(wù)專(zhuān)網(wǎng)與電子政務(wù)外網(wǎng)對(duì)接場(chǎng)景。

圖1給出了三種單位接入網(wǎng)安全接入模式場(chǎng)景示意。

圖1三種單位接入網(wǎng)安全接入模式示意

2

T/EGAGXXXX—XXXX

網(wǎng)絡(luò)功能架構(gòu)

單位接入網(wǎng)接入電子政務(wù)外網(wǎng)通常利用Internet、移動(dòng)通信網(wǎng)絡(luò)、VPDN等基礎(chǔ)網(wǎng)絡(luò)，為各級(jí)政務(wù)

部門(mén)、企事業(yè)單位、移動(dòng)辦公人員、現(xiàn)場(chǎng)執(zhí)法人員和公眾用戶(hù)提供安全接入。單位接入網(wǎng)接入電子政務(wù)

外網(wǎng)共用業(yè)務(wù)網(wǎng)絡(luò)平面的，其網(wǎng)絡(luò)功能架構(gòu)如圖2所示。

圖2單位接入網(wǎng)接入電子政務(wù)外網(wǎng)網(wǎng)絡(luò)功能架構(gòu)示意

6電子政務(wù)外網(wǎng)單位接入網(wǎng)安全接入要求

根據(jù)廣東省電子政務(wù)外網(wǎng)單位接入網(wǎng)接入模式的不同，其安全接入要求分為三種不同接入模式的安

全技術(shù)要求及管理要求，具體規(guī)范如下：

終端接入安全技術(shù)要求

6.1.1總體要求

單位接入網(wǎng)終端接入政務(wù)外網(wǎng)的，需遵循終端接入安全的總體要求如下：

a)各單位接入終端需明確接入終端范圍及各終端的接入方式；

b)各單位接入終端需通過(guò)身份認(rèn)證技術(shù)要求，明確接入終端的合法身份；

c)辦公終端安全要求應(yīng)包括準(zhǔn)入控制、惡意代碼防范、終端入侵防護(hù)、非法外聯(lián)控制、安全基

線檢查、漏洞檢測(cè)修復(fù)、數(shù)據(jù)安全防護(hù)、終端軟件管理、終端補(bǔ)丁管理、終端資產(chǎn)管理、終

端精準(zhǔn)阻斷等方面，具體應(yīng)滿足GW0015—2022的要求；；

d)移動(dòng)終端安全要求應(yīng)包括軟硬件環(huán)境安全、準(zhǔn)入控制、隧道加密、數(shù)據(jù)安全防護(hù)等方面。對(duì)

移動(dòng)終端訪問(wèn)政務(wù)外網(wǎng)敏感業(yè)務(wù)時(shí)，應(yīng)采用沙箱技術(shù)，實(shí)現(xiàn)終端數(shù)據(jù)安全防護(hù)，具體應(yīng)滿足

GW0015-2022的要求；

e)各單位接入終端接入多個(gè)網(wǎng)絡(luò)時(shí)，應(yīng)滿足安全隔離要求，實(shí)現(xiàn)接入政務(wù)外網(wǎng)時(shí)實(shí)現(xiàn)與其他網(wǎng)

絡(luò)的隔離；

f)接入終端訪問(wèn)政務(wù)外網(wǎng)敏感業(yè)務(wù)時(shí)，應(yīng)采用沙箱及密碼技術(shù)，確保敏感數(shù)據(jù)落入終端沙箱后

加密存儲(chǔ)，限制終端數(shù)據(jù)外發(fā)途徑，防止終端數(shù)據(jù)的泄露；

g)物聯(lián)終端應(yīng)通過(guò)網(wǎng)絡(luò)準(zhǔn)入認(rèn)證后方可接入電子政務(wù)外網(wǎng)，應(yīng)識(shí)別物聯(lián)終端資產(chǎn)類(lèi)型，主動(dòng)發(fā)

現(xiàn)私接、仿冒等終端異常接入電子政務(wù)外網(wǎng)行為；

h)對(duì)于終端用戶(hù)的登錄行為應(yīng)留存日志，并標(biāo)記為終端安全日志，便于快速審計(jì)定位。

3

T/EGAGXXXX—XXXX

6.1.2身份認(rèn)證

用戶(hù)使用終端接入政務(wù)外網(wǎng)時(shí)，應(yīng)使用身份鑒別的認(rèn)證機(jī)制，確保非授權(quán)的終端與用戶(hù)無(wú)法接入政

務(wù)外網(wǎng)。終端與用戶(hù)的身份認(rèn)證應(yīng)滿足以下要求：

a)接入政務(wù)外網(wǎng)的用戶(hù)終端應(yīng)實(shí)現(xiàn)用戶(hù)與終端實(shí)名綁定，以便后續(xù)審計(jì)溯源；

b)對(duì)于接入政務(wù)外網(wǎng)的移動(dòng)智能終端、計(jì)算機(jī)終端應(yīng)采用口令認(rèn)證、基于密碼技術(shù)的認(rèn)證或硬

件MAC地址認(rèn)證等鑒別技術(shù)提供多因子統(tǒng)一身份認(rèn)證功能；對(duì)于視頻會(huì)議終端，應(yīng)結(jié)合視頻

傳輸協(xié)議，采用硬件MAC地址、端口或目的地址等設(shè)備唯一性因素進(jìn)行合法性鑒別；

c)支持實(shí)時(shí)或定時(shí)對(duì)各類(lèi)入網(wǎng)設(shè)備的設(shè)備類(lèi)型、設(shè)備廠商、品牌型號(hào)、操作系統(tǒng)等識(shí)別，并及

時(shí)發(fā)現(xiàn)入網(wǎng)設(shè)備仿冒行為；

d)身份認(rèn)證觸發(fā)異常場(chǎng)景時(shí)，應(yīng)完成基于用戶(hù)生物特征識(shí)別或非對(duì)稱(chēng)密碼技術(shù)的增強(qiáng)認(rèn)證才可

登錄。異常場(chǎng)景包括但不限于：賬號(hào)首次登錄、用戶(hù)在某終端首次登錄、空閑帳號(hào)登錄、弱

密碼登錄、非常規(guī)時(shí)間登錄、非常用地點(diǎn)登錄等；

e)登錄用戶(hù)的身份鑒別信息應(yīng)具有復(fù)雜度要求并定期更換。

6.1.3安全檢查

每次終端接入政務(wù)外網(wǎng)前，單位接入網(wǎng)內(nèi)的安全設(shè)備或接入?yún)R聚設(shè)備應(yīng)對(duì)終端進(jìn)行安全檢查，不符

合要求的終端不允許接入政務(wù)外網(wǎng)。終端安全檢查應(yīng)包括但不限于以下內(nèi)容：

a)終端是否安裝運(yùn)行了防病毒軟件；

b)終端是否存在弱口令賬戶(hù)；

c)終端是否運(yùn)行了惡意進(jìn)程或軟件；

d)終端是否開(kāi)啟系統(tǒng)防火墻；

e)終端登錄的時(shí)間和地點(diǎn)是否在規(guī)定范圍內(nèi)。

f)終端網(wǎng)絡(luò)行為和流量是否存在異常，禁止私接和異常訪問(wèn)行為。

6.1.4傳輸加密

終端應(yīng)采用國(guó)家核準(zhǔn)的密碼技術(shù)保證通信傳輸?shù)陌踩ǖ幌抻诓捎肧SL或IPSEC等密碼技術(shù)手

段，對(duì)終端通信數(shù)據(jù)進(jìn)行加密傳輸，保證數(shù)據(jù)在傳輸過(guò)程中的安全性。

6.1.5權(quán)限控制

單位接入終端對(duì)政務(wù)外網(wǎng)的訪問(wèn)進(jìn)行動(dòng)態(tài)權(quán)限控制，應(yīng)包括但不限于以下內(nèi)容；

a)根據(jù)終端接入方式（無(wú)線AP接入、有線接入）、終端類(lèi)型、用戶(hù)部門(mén)等不同接入類(lèi)型，采用

網(wǎng)絡(luò)隔離、虛擬化等方式進(jìn)行管控；

b)按權(quán)限最小化原則嚴(yán)格控制訪問(wèn)資源，控制接入終端所能訪問(wèn)的網(wǎng)段或指定應(yīng)用端口及協(xié)議；

按近源策略控制原則防御終端風(fēng)險(xiǎn)，防止終端風(fēng)險(xiǎn)在接入網(wǎng)內(nèi)部進(jìn)行擴(kuò)散；

c)對(duì)接入終端進(jìn)行持續(xù)的信任評(píng)估，結(jié)合終端類(lèi)型、用戶(hù)身份、安全狀態(tài)、網(wǎng)絡(luò)行為、訪問(wèn)時(shí)

間、接入位置等信息動(dòng)態(tài)調(diào)整信任評(píng)估值，并根據(jù)信任評(píng)估值對(duì)接入用戶(hù)實(shí)現(xiàn)動(dòng)態(tài)準(zhǔn)入控制、

動(dòng)態(tài)授權(quán)管理等。

6.1.6安全隔離

接入終端在電子政務(wù)外網(wǎng)接入時(shí)如需多網(wǎng)絡(luò)訪問(wèn)，應(yīng)對(duì)各網(wǎng)絡(luò)訪問(wèn)進(jìn)行安全隔離。隔離手段應(yīng)滿足：

a)當(dāng)終端同時(shí)訪問(wèn)互聯(lián)網(wǎng)和政務(wù)外網(wǎng)時(shí)，應(yīng)支持網(wǎng)絡(luò)隔離，確保訪問(wèn)政務(wù)外網(wǎng)時(shí)，終端不能同

時(shí)訪問(wèn)互聯(lián)網(wǎng)，終端訪問(wèn)互聯(lián)網(wǎng)時(shí)，不能同時(shí)訪問(wèn)政務(wù)外網(wǎng)；

b)對(duì)終端訪問(wèn)政務(wù)外網(wǎng)敏感業(yè)務(wù)時(shí)，對(duì)終端數(shù)據(jù)進(jìn)行安全隔離和加密存儲(chǔ)，采用沙箱和密碼技

術(shù)，確保敏感數(shù)據(jù)落入終端沙箱后加密存儲(chǔ)，限制終端數(shù)據(jù)外發(fā)途徑，防止終端數(shù)據(jù)的泄露。

c)二級(jí)單位獨(dú)立建設(shè)接入網(wǎng)，通過(guò)一級(jí)單位接入網(wǎng)接入政務(wù)外網(wǎng)時(shí)，應(yīng)在一級(jí)單位建立二級(jí)單

位接入?yún)^(qū)，對(duì)訪問(wèn)流量進(jìn)行策略控制、入侵檢測(cè)和病毒檢測(cè)。

6.1.7邊界防護(hù)

政務(wù)外網(wǎng)城域網(wǎng)安全防護(hù)區(qū)應(yīng)具備對(duì)終端訪問(wèn)的邊界安全防護(hù)能力，包括但不限于：

4

T/EGAGXXXX—XXXX

a)按權(quán)限最小化原則嚴(yán)格控制訪問(wèn)資源，控制粒度達(dá)端口級(jí)，能基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容對(duì)數(shù)

據(jù)流實(shí)現(xiàn)訪問(wèn)控制；

b)支持入侵防范安全策略部署，通過(guò)分析網(wǎng)絡(luò)流量檢測(cè)僵尸、木馬、蠕蟲(chóng)等惡意威脅入侵，并

通過(guò)入侵防御能力，實(shí)時(shí)地終止入侵行為；

c)支持對(duì)病毒、蠕蟲(chóng)、僵尸網(wǎng)絡(luò)等惡意流量的檢測(cè)、分析、阻斷和清除，支持對(duì)多層壓縮文件

查殺，支持基于文件MD5值設(shè)置惡意文件/程序白名單。

系統(tǒng)接入安全技術(shù)要求

6.2.1總體要求

系統(tǒng)接入安全總體要求如下：

a)各單位申請(qǐng)接入電子政務(wù)外網(wǎng)時(shí)，應(yīng)明確本單位接入網(wǎng)的邊界和范圍，單位接入網(wǎng)內(nèi)的應(yīng)用

系統(tǒng)應(yīng)經(jīng)登記備案后接入，后續(xù)若有調(diào)整，應(yīng)向本級(jí)政務(wù)外網(wǎng)主管單位申請(qǐng)變更；

b)各單位應(yīng)根據(jù)GW0206-2014的要求做好單位接入網(wǎng)內(nèi)部的安全防護(hù)；

c)各接入應(yīng)用系統(tǒng)和網(wǎng)絡(luò)設(shè)備等均應(yīng)支持IPv6協(xié)議，宜部署雙棧模式接入；不支持IPv6協(xié)議

的，應(yīng)逐步進(jìn)行改造，改造詳情可參照GDZW0034.3-2020的要求執(zhí)行；

d)應(yīng)用系統(tǒng)應(yīng)使用政務(wù)外網(wǎng)IP地址接入，明細(xì)地址由接入單位在政務(wù)外網(wǎng)主管單位分配的IP

地址段內(nèi)進(jìn)行二次分配；

e)單位接入網(wǎng)內(nèi)的應(yīng)用系統(tǒng)若已使用私有IP地址且無(wú)法改造的，應(yīng)采用一對(duì)一方式進(jìn)行NAT地

址轉(zhuǎn)換；

f)應(yīng)用系統(tǒng)應(yīng)分別匯聚后通過(guò)不同的物理端口或邏輯子接口與城域網(wǎng)接入層設(shè)備對(duì)接；

g)單位接入網(wǎng)接入電子政務(wù)外網(wǎng)專(zhuān)用業(yè)務(wù)網(wǎng)絡(luò)平面的，應(yīng)遵循其網(wǎng)絡(luò)平面管理單位制定的專(zhuān)用

業(yè)務(wù)網(wǎng)絡(luò)平面接入要求；

h)應(yīng)用系統(tǒng)接入應(yīng)具備運(yùn)行情況監(jiān)測(cè)、安全防護(hù)、行為審計(jì)和配置管理能力，小規(guī)模系統(tǒng)可采

用設(shè)備自帶的相關(guān)能力；

i)應(yīng)用系統(tǒng)在接入前應(yīng)完成系統(tǒng)的等級(jí)保護(hù)測(cè)評(píng)、商密評(píng)估、ICP備案（如需對(duì)外服務(wù)）等符合

國(guó)家相關(guān)法律法規(guī)的工作；

j)應(yīng)用系統(tǒng)應(yīng)按照需要在用戶(hù)側(cè)按需部署政務(wù)外網(wǎng)公共區(qū)、互聯(lián)網(wǎng)區(qū)、專(zhuān)網(wǎng)區(qū)防火墻實(shí)現(xiàn)接入。

6.2.2身份認(rèn)證

系統(tǒng)接入的身份認(rèn)證應(yīng)滿足但不限于以下要求：

a)單位接入網(wǎng)的政務(wù)外網(wǎng)接入網(wǎng)關(guān)應(yīng)對(duì)接入應(yīng)用系統(tǒng)的源及目的ip地址、業(yè)務(wù)端口、授權(quán)訪問(wèn)

的資源等進(jìn)行驗(yàn)證，并拒絕非授權(quán)的訪問(wèn)；

b)單位接入網(wǎng)的政務(wù)外網(wǎng)接入網(wǎng)關(guān)應(yīng)采用符合國(guó)家密碼管理要求的密碼技術(shù)（如數(shù)字證書(shū)、標(biāo)

識(shí)密碼）對(duì)應(yīng)用系統(tǒng)進(jìn)行認(rèn)證。

6.2.3傳輸加密

單位接入網(wǎng)內(nèi)應(yīng)用系統(tǒng)和安全設(shè)備或匯聚設(shè)備之間，單位接入網(wǎng)的出口設(shè)備與城域網(wǎng)的接入設(shè)備之

間應(yīng)采用IPSecVPN或SSLVPN進(jìn)行傳輸加密防護(hù)，加密算法應(yīng)符合國(guó)家密碼管理政策的相關(guān)規(guī)范要

求。

6.2.4權(quán)限控制

系統(tǒng)接入的權(quán)限控制應(yīng)滿足但不限于以下要求：

a)應(yīng)用系統(tǒng)應(yīng)按需申請(qǐng)政務(wù)外網(wǎng)訪問(wèn)權(quán)限并遵循最小需求原則，應(yīng)用系統(tǒng)的設(shè)備變更、業(yè)務(wù)調(diào)

整應(yīng)先申請(qǐng)后實(shí)施；

b)單位接入網(wǎng)系統(tǒng)接入側(cè)應(yīng)部署防火墻，對(duì)相關(guān)訪問(wèn)權(quán)限進(jìn)行配置校驗(yàn)，并對(duì)訪問(wèn)系統(tǒng)的流量

進(jìn)行入侵檢測(cè)和病毒檢測(cè)；

5

T/EGAGXXXX—XXXX

c)單位接入網(wǎng)系統(tǒng)設(shè)備接入應(yīng)提供訪問(wèn)控制措施，包括但不限于根據(jù)設(shè)備的數(shù)字證書(shū)身份或標(biāo)

識(shí)密碼身份設(shè)置接入設(shè)備的授權(quán)資源及訪問(wèn)權(quán)限阻止非授權(quán)訪問(wèn)。

整網(wǎng)對(duì)接安全技術(shù)要求

6.3.1基本原則

整網(wǎng)對(duì)接應(yīng)結(jié)合已有業(yè)務(wù)專(zhuān)網(wǎng)實(shí)際情況和對(duì)接后網(wǎng)絡(luò)訪問(wèn)需求，按照“一事一議”原則，根據(jù)國(guó)家

電子政務(wù)外網(wǎng)頂層互聯(lián)技術(shù)標(biāo)準(zhǔn)配置安全措施?？傮w應(yīng)遵循以下原則：

a)接入單位應(yīng)明確業(yè)務(wù)專(zhuān)網(wǎng)內(nèi)訪問(wèn)政務(wù)外網(wǎng)的終端和系統(tǒng)范圍，并在與政務(wù)外網(wǎng)的邊界處啟用

訪問(wèn)控制措施，按最小化原則嚴(yán)格控制訪問(wèn)資源，控制粒度應(yīng)達(dá)端口級(jí)，宜基于應(yīng)用協(xié)議和

應(yīng)用內(nèi)容對(duì)數(shù)據(jù)流實(shí)施更細(xì)粒度訪問(wèn)控制；

b)業(yè)務(wù)專(zhuān)網(wǎng)內(nèi)地址到政務(wù)外網(wǎng)地址若存在NAT地址轉(zhuǎn)換，宜采用一對(duì)一方式轉(zhuǎn)換；

c)政務(wù)外網(wǎng)接入網(wǎng)關(guān)應(yīng)采取技術(shù)措施，對(duì)業(yè)務(wù)專(zhuān)網(wǎng)出口設(shè)備進(jìn)行識(shí)別和驗(yàn)證，確認(rèn)出口設(shè)備不

被仿冒；

d)政務(wù)外網(wǎng)城域網(wǎng)安全防護(hù)區(qū)應(yīng)對(duì)業(yè)務(wù)專(zhuān)網(wǎng)與政務(wù)外網(wǎng)之間流量進(jìn)行訪問(wèn)控制和安全防護(hù)，應(yīng)

根據(jù)接入單位申請(qǐng)，按最小化原則嚴(yán)格控制訪問(wèn)，控制粒度應(yīng)達(dá)端口級(jí)，宜基于應(yīng)用協(xié)議和

應(yīng)用內(nèi)容對(duì)數(shù)據(jù)流實(shí)施更細(xì)粒度訪問(wèn)控制。

6.3.2邊界防護(hù)

整網(wǎng)對(duì)接時(shí)，需對(duì)接入邊界進(jìn)行安全防護(hù)，應(yīng)滿足如下要求:

a)按權(quán)限最小化原則嚴(yán)格控制訪問(wèn)資源，控制粒度達(dá)端口級(jí)，能基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容對(duì)數(shù)

據(jù)流實(shí)現(xiàn)訪問(wèn)控制;

b)支持入侵防范安全策略部署，通過(guò)分析網(wǎng)絡(luò)流量檢測(cè)僵尸、木馬、蠕蟲(chóng)等惡意威脅入侵，并

通過(guò)入侵防御能力，實(shí)時(shí)地中止入侵行為;

c)支持對(duì)病毒、蠕蟲(chóng)、僵尸網(wǎng)絡(luò)等惡意流量的檢測(cè)、分析、阻斷和清除，支持對(duì)多層壓縮文件

查殺，支持基于MD5值設(shè)置惡意文件/程序白名單。

管理與審計(jì)

6.4.1日常運(yùn)行管理

日常運(yùn)行管理滿足以下要求：

a)接入單位具體負(fù)責(zé)本單位接入設(shè)備的維護(hù)、安全監(jiān)測(cè)等管理工作。制定內(nèi)部安全管理制度和

操作規(guī)程，確定網(wǎng)絡(luò)安全負(fù)責(zé)人，落實(shí)網(wǎng)絡(luò)安全保護(hù)責(zé)任；

b)接入單位明確運(yùn)行管理部門(mén)和職責(zé)，配備專(zhuān)職管理員，制定日常維護(hù)管理制度，形成健全的

日常運(yùn)維機(jī)制，建立完善的應(yīng)急響應(yīng)預(yù)案，保障接入設(shè)備的安全運(yùn)行；

c)接入單位應(yīng)定期對(duì)接入設(shè)備狀態(tài)、網(wǎng)絡(luò)流量、應(yīng)用及系統(tǒng)運(yùn)行狀態(tài)等情況進(jìn)行巡檢，分析各

類(lèi)設(shè)備日志及管理審計(jì)報(bào)表，及時(shí)發(fā)現(xiàn)異常情況，并根據(jù)告警提示采取相應(yīng)的處理措施；