(高清版)DB36∕T 979-2017 電子政務(wù)外網(wǎng)安全接入平臺技術(shù)規(guī)范

ICS35.240.01DB36/T979—2017電子政務(wù)外網(wǎng)安全接入平臺技術(shù)規(guī)范2017-12-29發(fā)布2018-03-01實施江西省質(zhì)量技術(shù)監(jiān)督局發(fā)布IDB36/T979-2017 引言 12規(guī)范性引用文件 13術(shù)語和定義 1 25接入原則 36接入流程 37接入訪問模式 48接入終端要求 49賬戶管理 410故障報修 5附錄A(規(guī)范性附錄)安全接入平臺接入申請表 6附錄B(規(guī)范性附錄)安全接入平臺變更申請表 7附錄C(規(guī)范性附錄)安全接入平臺注銷申請表 8附錄D(資料性附錄)全省安全接入平臺用戶名規(guī)則 9參考文獻 本標準按照GB/T1.1-2009《標準化工作導(dǎo)則第1部分：標準的結(jié)構(gòu)和編寫》的規(guī)定編寫。本標準由江西省發(fā)展和改革委員會提出并歸口。本標準起草單位：江西省信息中心。本標準主要起草人：金俊平、曹成立、吁元卿、胡堅勇、賴敬坤、梅洪、鄭自、占曉華。DB36/T979-2017江西省電子政務(wù)外網(wǎng)(簡稱政務(wù)外網(wǎng))是按照中辦發(fā)〔2002〕17號文件和〔2006〕18號文件要求建設(shè)的我省電子政務(wù)重要公共基礎(chǔ)設(shè)施，是服務(wù)于各級黨委、人大、政府、政協(xié)、法院和檢察院等政務(wù)部門，滿足其經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務(wù)等方面需要的政務(wù)公用網(wǎng)絡(luò)。政務(wù)外網(wǎng)支持跨地區(qū)、跨部門的業(yè)務(wù)應(yīng)用、信息共享和業(yè)務(wù)協(xié)同，以及不需在政務(wù)內(nèi)網(wǎng)上運行的業(yè)務(wù)。政務(wù)外網(wǎng)與互聯(lián)網(wǎng)邏輯隔離，目前物理專線網(wǎng)絡(luò)已覆蓋省、市、縣、鄉(xiāng)四級。1DB36/T979-20171范圍故障報修等內(nèi)容。本標準適用于指導(dǎo)各級政務(wù)部門進行安全接入平臺的建設(shè)，規(guī)范省、市政務(wù)外網(wǎng)建設(shè)運維單位運維管理安全接入平臺。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069-2010信息安全技術(shù)術(shù)語3術(shù)語和定義GB/T25069-2010規(guī)定的及下列術(shù)語和定義適用于本文件。3.1電子政務(wù)外網(wǎng)是電子政務(wù)重要公共基礎(chǔ)設(shè)施，是服務(wù)于各級黨委、人大、政府、政協(xié)、法院和檢察院等政務(wù)部門，滿足其經(jīng)濟調(diào)節(jié)、市場監(jiān)管、社會管理和公共服務(wù)等方面需要的政務(wù)公用網(wǎng)絡(luò)。3.2等認證方式實現(xiàn)登錄用戶的身份認證，為用戶身份統(tǒng)一認證和權(quán)限管理提供支撐。3.3移動終端管理系統(tǒng)mobiledevicemanagement(MDM)移動終端管理系統(tǒng)為移動終端設(shè)備提供注冊、激活、使用、注銷各個環(huán)節(jié)的遠程管理支撐，實現(xiàn)用戶身份與設(shè)備的綁定管理、設(shè)備安全策略配置管理、設(shè)備應(yīng)用數(shù)據(jù)安全管理等功能。3.4VPDN是電信運營商基于撥號用戶的虛擬專用撥號網(wǎng)業(yè)務(wù)，利用L2TP、IP網(wǎng)絡(luò)的承載功能結(jié)合相應(yīng)的認證和授權(quán)機制建立起來的虛擬專用網(wǎng)。3.52IPSecVPN是指采用IPSec協(xié)議來實現(xiàn)遠程接入的一種VPN技術(shù)，用以提供公用和專用網(wǎng)加密和驗證服務(wù)。3.6安全套接層虛擬專用網(wǎng)securesocketslayervirtualprivatenetwork(SSLVPN)SSLVPN是指采用SSL協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術(shù)，用以提供公用和專用網(wǎng)絡(luò)的端對端3.7數(shù)字認證是指為保證網(wǎng)上數(shù)字信息的傳輸安全而建立的一種信任及信任驗證機制。它利用證書技術(shù)實現(xiàn)各類實體在網(wǎng)上信息交流及政務(wù)、商務(wù)活動中的身份證明。通常將提供數(shù)字認證服務(wù)的機構(gòu)或?qū)嶓w稱為數(shù)字認證中心。3.8簡單網(wǎng)絡(luò)管理協(xié)議是專門設(shè)計用于在IP網(wǎng)絡(luò)管理網(wǎng)絡(luò)節(jié)點(服務(wù)器、工作站、路由器、交換機及HUBS等)的一種標準協(xié)議，它是一種應(yīng)用層協(xié)議。3.9移動終端應(yīng)用程序application(APP)移動終端應(yīng)用程序主要指安裝在移動終端設(shè)備上的軟件，完善原始系統(tǒng)的不足與個性化。4平臺架構(gòu)4.1總則全省電子政務(wù)外網(wǎng)安全接入平臺是利用Internet、VPDN等基礎(chǔ)網(wǎng)絡(luò)，面向不具備專線接入條件的各級政務(wù)部門、企事業(yè)單位及已接入政務(wù)外網(wǎng)單位的移動辦公人員等，提供安全接入到政務(wù)外網(wǎng)網(wǎng)絡(luò)、訪問政務(wù)外網(wǎng)上業(yè)務(wù)系統(tǒng)的服務(wù)平臺。全省電子政務(wù)外網(wǎng)安全接入平臺采用省、市兩級部署模式，部署于政務(wù)外網(wǎng)互聯(lián)網(wǎng)接入?yún)^(qū)與政務(wù)外網(wǎng)之間，由省、市政務(wù)外網(wǎng)建設(shè)運維單位負責運維管理。4.2IP地址規(guī)劃VPN接入體系的IP地址主要涉及網(wǎng)關(guān)地址池及設(shè)備管理地址(不包括互聯(lián)網(wǎng)接入地址),應(yīng)遵循統(tǒng)一規(guī)劃管理，各級用戶單位應(yīng)嚴格按照地址規(guī)劃要求統(tǒng)一分配使用。4.3功能區(qū)劃分4.3.1VPN接入?yún)^(qū)終端接入網(wǎng)關(guān)和移動終端接入網(wǎng)關(guān)，應(yīng)支持雙機熱備功能、支持與江西省電子政務(wù)外網(wǎng)多個IP地址復(fù)3DB36/T979—20174.3.2接入認證區(qū)通過用戶名/密碼+證書雙因子認證方式實現(xiàn)安全接入政務(wù)外網(wǎng)用戶的合法性驗證。主要包括AD(活動目錄)認證服務(wù)器、身份認證網(wǎng)關(guān)。4.3.3接入管理區(qū)審計設(shè)備、日志采集服務(wù)器、MDM服務(wù)器等設(shè)備。5接入原則5.1接入申請范圍全省各級黨政機關(guān)、事業(yè)單位、政府直屬企業(yè)、中央駐贛單位、以及法律、法規(guī)授權(quán)的具有管理公共事務(wù)職能的組織可以申請使用全省電子政務(wù)外網(wǎng)安全接入平臺。鄉(xiāng)鎮(zhèn)(街辦)、村(社區(qū))單位接入電子政務(wù)外網(wǎng)安全接入平臺需向區(qū)縣級電子政務(wù)外網(wǎng)建設(shè)和管理單位申請。未經(jīng)允許任何單位和個人不得接入電子政務(wù)外網(wǎng)安全接入平臺。5.2接入受理省、市、縣各級政務(wù)部門經(jīng)同級電子政務(wù)外網(wǎng)建設(shè)和管理單位審核同意后接入電子政務(wù)外網(wǎng)安全接入平臺。5.3接入?yún)^(qū)域劃分原則上采取屬地化接入的方式，省級單位和派駐各地方的直屬機構(gòu)接入省級電子政務(wù)外網(wǎng)安全接入平臺，各設(shè)區(qū)市及所轄縣(市、區(qū))、鄉(xiāng)鎮(zhèn)(街辦)、村(社區(qū))政務(wù)部門接入市級電子政務(wù)外網(wǎng)安全接入平臺。6接入流程6.1接入申請1、用戶單位向省級政務(wù)外網(wǎng)建設(shè)運維單位提出接入申請，并填寫安全接入平臺接入申請表(詳見附錄A);2、省級政務(wù)外網(wǎng)建設(shè)運維單位對用戶單位的接入申請進行審核；3、對符合條件的用戶單位開通安全接入平臺業(yè)務(wù)，對不符合條件的用戶單位說明拒接理由。6.2變更申請1、用戶單位向省級政務(wù)外網(wǎng)建設(shè)運維單位提出變更申請，并填寫安全接入平臺變更申請表(詳見2、省級政務(wù)外網(wǎng)建設(shè)運維單位對用戶單位的變更申請進行審核；3、對同意的變更申請實施變更，對拒絕的變更申請說明理由。6.3注銷申請4DB36/T979—20171、用戶單位確定不再使用安全接入平臺，應(yīng)向省級政務(wù)外網(wǎng)建設(shè)運維單位提出注銷申請，并填寫安全接入平臺注銷申請表(詳見附錄C);2、省級政務(wù)外網(wǎng)建設(shè)運維單位收到注銷申請表后，按操作流程注銷該用戶單位安全接入平臺業(yè)務(wù)。7接入訪問模式7.1.1局域網(wǎng)接入用戶局域網(wǎng)使用IPSecVPN接入用戶網(wǎng)絡(luò)，應(yīng)采用IPSecVPN網(wǎng)關(guān)對網(wǎng)關(guān)部署模式。網(wǎng)關(guān)連接后，局域網(wǎng)內(nèi)用戶則無需撥號即可訪問政務(wù)外網(wǎng)資源。7.1.2單機接入單機通過IPSecVPN接入用戶網(wǎng)絡(luò)，可采用IPSecVPN客戶端對網(wǎng)關(guān)模式。SSLVPN接入訪問模式下，用戶可以通過瀏覽器方式接入訪問，也可以通過客戶端方式接入訪問。資源；使用客戶端接入訪問方式時，用戶安裝專用客戶端，通過客戶端建立SSLVPN隧道，繼而訪問政8接入終端要求PC終端須安裝個人防火墻、防病毒軟件等，定期對終端進行安全掃描。8.2移動終端9賬戶管理9.1賬戶管理9.1.1管理方式用戶賬戶采用分級管理的方式，最終的管理主體為使用安全接入平臺的各政務(wù)部門。省級政務(wù)外網(wǎng)用戶賬戶的創(chuàng)建、修改、刪除等。市級信息中心給市級、縣級、鄉(xiāng)鎮(zhèn)、村(社區(qū))單位委派控制管理賬戶，進行本單位用戶賬戶的創(chuàng)建、修改、刪除等管理。9.1.2賬戶類型5DB36/T979—2017業(yè)務(wù)，兩類業(yè)務(wù)邏輯隔離，根據(jù)各單位業(yè)務(wù)需求，分配相應(yīng)賬戶。兩類需求均有的單位，則需分配兩個賬戶，以保障業(yè)務(wù)的安全性。9.1.3賬戶命名規(guī)范用戶可在后期使用中對口令更改。詳細命名規(guī)則見附錄B。9.1.4賬戶使用用戶賬戶只能賬戶所屬人一人使用，不可將賬戶借與他人使用。9.1.5賬戶注銷若用戶賬戶不再使用，需由本單位賬戶管理人員立即注銷。9.2CA證書申請單位機構(gòu)(包括企業(yè)、事業(yè)單位、行政機關(guān))接入安全接入平臺所需數(shù)字證書自行向經(jīng)國家密碼管理局、工業(yè)和信息化部批準的江西省電子認證服務(wù)機構(gòu)申請。10故障報修10.1訪問平臺故障1)若故障原因為終端訪問互聯(lián)網(wǎng)故障，用戶應(yīng)自行解決。2)若個別終端不能訪問安全接入平臺，則用戶需聯(lián)系本單位網(wǎng)絡(luò)管理員處理。若所有用戶都不能訪問安全接入平臺，則由本單位網(wǎng)絡(luò)管理員負責聯(lián)系本級信息中心，確認安全接入平臺是否存在故障。10.2訪問業(yè)務(wù)系統(tǒng)故障1)若個別用戶終端能登陸平臺而不能訪問業(yè)務(wù)服務(wù)器，則用戶需聯(lián)系本單位網(wǎng)絡(luò)管理員查找終端故障原因。2)若本單位所有用戶終端能登陸平臺而不能訪問業(yè)務(wù)服務(wù)器，則用戶需聯(lián)系本單位網(wǎng)絡(luò)管理員，由網(wǎng)絡(luò)管理員負責與業(yè)務(wù)系統(tǒng)維護人員聯(lián)系，確認故障原因。6DB36/T979—2017(規(guī)范性附錄)安全接入平臺接入申請表單位名稱(蓋章)業(yè)務(wù)需求說明終端數(shù)量終端范圍移動終端□業(yè)務(wù)應(yīng)用服務(wù)器是否需要使用CA認證聯(lián)系人聯(lián)系電話預(yù)計開通日期業(yè)務(wù)系統(tǒng)已建設(shè)□服務(wù)器IP地址7DB36/T979—2017(規(guī)范性附錄)安全接入平臺變更申請表單位名稱(蓋章)新增賬戶訪問資源變更聯(lián)系人聯(lián)系電話8DB36/T979—2017(規(guī)范性附錄)安全接入平臺注銷申請表單位名稱(蓋章)注銷情況說明聯(lián)系人聯(lián)系電話9DB36/T979-2017(資料性附錄)全省安全接入平臺用戶名規(guī)則的IP地址。全省安全接入平臺建成后，不同廳局用戶有訪問各自VPN業(yè)務(wù)和公共區(qū)業(yè)務(wù)的需求，為滿足這一需求，安全接入平臺規(guī)劃根據(jù)源地址做策略路由，而源地址的分配根據(jù)用戶名而定，因此需對用戶名進行規(guī)劃，使其具有一定的規(guī)則，便于用戶的區(qū)分、訪問業(yè)務(wù)的區(qū)分和IP地址的分配。用戶名規(guī)劃：規(guī)劃用戶名是為了區(qū)分不同地區(qū)、不同單位用戶、不同訪問需求，因此用戶名中至少需包含地區(qū)字段、單位字段、訪問業(yè)務(wù)字段和用戶標識字段。用戶名格式：地區(qū)字段_單位字段_用戶標識字段。地區(qū)字段：使用地區(qū)拼音的首字母，如九江使用jjs表示。單位字段：使用單位簡稱首字母，如統(tǒng)計局使用tjj表示，二級單位使用一級單位簡稱+dw標識，如統(tǒng)計局下屬單位統(tǒng)一使用tjjdw表示。用戶標識字段：用戶自己定義。省審計廳VPN業(yè)務(wù)用戶：vsj_sjt_yonghu1。省發(fā)改委互聯(lián)互通業(yè)務(wù)用戶：sj_fgw_yonghu。九江市統(tǒng)計公