GW0202-2014 国家电子政务外网 安全接入平台技术规范.pdf
- 文档编号:14661334
- 上传时间:2023-06-25
- 格式:PDF
- 页数:19
- 大小:939.25KB
GW0202-2014 国家电子政务外网 安全接入平台技术规范.pdf
《GW0202-2014 国家电子政务外网 安全接入平台技术规范.pdf》由会员分享,可在线阅读,更多相关《GW0202-2014 国家电子政务外网 安全接入平台技术规范.pdf(19页珍藏版)》请在冰点文库上搜索。
国家电子政务外网安全接入平台技术规范TechnicalRequirementsforSecuringAccessPlatformofNationalE-GovernmentNetwork2014-11-13发布2015-1-1实施国家电子政务外网管理中心国家电子政务外网管理中心国家电子政务外网标准GW02022014目次前言.I引言.II1范围.12规范性引用文件.13术语和定义.14缩略语.25概述.26基础框架.26.1平台架构.26.2功能框架.37基本要求.47.1统一入口.47.2VPN网关集群.57.3统一认证平台.67.4接入终端.77.5管理与审计.77.6安全防护.78建设指南.88.1建设目标.88.2建设原则.88.3建设内容.8附录A(资料性附录)接入模式及接入流程.10A.1接入模式设计.10A.2接入流程设计.10附录B(资料性附录)典型部署案例.12B.1省级安全接入平台的典型部署.12B.2地(市)级安全接入平台的典型部署.12I前言为指导国家电子政务外网(以下简称“政务外网”)安全接入平台设计和建设,根据我国有关法律、法规和技术规范,结合政务外网实际应用需求及产品部署经验,编制本规范。
本规范包括安全接入平台概述、基础框架、基本要求、建设指南、接入模式及接入流程、典型部署案例等内容。
本规范由国家电子政务外网管理中心提出并归口。
本规范起草单位:
国家电子政务外网管理中心、中安网脉(北京)技术股份有限公司、网神信息技术(北京)股份有限公司、北京天融信科技有限公司、华为技术有限公司、北京国联天成信息技术有限公司。
本规范主要起草人:
罗海宁、冷默、邵国安、周民、吕品、徐惠清、任献永、张锐卿、黄敏、孙涛元、赵燕杰、刘歆、吴科科。
II引言为了满足各级政务部门的移动办公、远程访问、现场执法以及相关企事业单位和工作人员利用公众网络安全接入到政务外网的业务需求,规范中央、省(自治区、直辖市)、地(市)、县级政务外网建设运维单位建设安全接入平台,特编制本规范。
1国家电子政务外网安全接入平台技术规范1范围本规范适用于指导各级政务外网建设运维单位进行安全接入平台的规划、设计、选型及实施等工作,也可作为政务外网职能部门进行指导、监督和检查的依据。
2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是标注日期的引用文件,其后所有的修改(不包括勘误的内容)或修订版均不适用于本规范。
凡是不标注日期的引用文件,其最新版本适用于本规范。
GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GM/T0022-2014IPSecVPN技术规范GM/T0023-2014IPSecVPN网关产品规范GM/T0024-2014SSLVPN技术规范GM/T0025-2014SSLVPN网关产品规范国家电子政务外网IPSecVPN安全接入技术要求与实施指南(政务外网201111号)国家电子政务外网安全等级保护基本要求(政务外网201115号)国家电子政务外网安全等级保护实施指南(政务外网20141号)商用密码管理条例(国务院273号令)3术语和定义GB/T25069-2010确立的以及下列术语和定义适用于本规范。
3.1AAAAAA是Authentication(验证)、Authorization(授权)和Accounting(记账)三个英文单词的简称,验证是验证用户是否可以获得访问权限,确定哪些用户可以访问网络;授权确定用户可以使用哪些服务;记账记录用户使用网络资源的情况。
3.2RADIUS协议RADIUS是RemoteAuthenticationDial-InUserService(远程用户拨号认证服务)的简称,是目前应用较广泛的AAA协议,是同时兼顾验证、授权、计费三种服务的一种网络传输协议。
3.3ADAD是ActiveDirectory(活动目录)的简称,是Windows平台服务器核心组件之一,活动目录是一种目录服务,它可将网络中各种对象组合起来进行管理。
它存储有关网络对象的信息,例如用户、组、计算机、共享资源、打印机和联系人等信息,使管理员和用户可以方便的查找和使用这些网络信息。
3.4VPDNVPDN是VirtualPrivateDial-upNetworks(虚拟专用拨号网)的简称,是电信运营商基于拨号用户的虚拟专用拨号网业务,利用L2TP、IP网络的承载功能结合相应的认证和授权机制建立起来的虚拟专用网。
23.5安全管理平台SecurityOperationCenter安全管理平台是通过采用多种技术手段,收集和整合各类网络设备、安全设备、操作系统等安全事件,并运用关联分析技术、智能推理技术和风险管理技术,实现对安全事件信息的深度分析,能快速做出智能响应,实现对安全风险进行统一监控分析和预警处理。
3.6移动终端管理系统MobileDeviceManagement移动终端管理系统为移动智能终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑,实现用户身份与设备的绑定管理、设备安全策略配置管理、设备应用数据安全管理等功能4缩略语下列缩略语适用于本规范。
CA数字证书认证中心(CertificateAuthority)IPSecIP安全协议(InternetProtocolSecurity)LDAP轻量级目录访问协议(LightDirectoryAccessProtocol)MPLS多协议标签交换(Multi-protocolLabelSwitching)SSL安全套接层(SecureSocketLayer)VPN虚拟专用网(VirtualPrivateNetwork)OCSP在线证书状态协议(OnlineCertificateStatusProtocol)SOC安全管理平台(SecurityOperationCenter)VRFVPN路由转发(VPNRoutingForwarding)SNMP简单网络管理协议(SimpleNetworkManagementProtocol)L2TP第二层隧道协议(Layer2TunnelingProtocol)LNSL2TP网络服务器(L2TPNetworkServer)APP智能终端应用程序(Application)MDM移动终端管理系统(MobileDeviceManagement)5概述政务外网安全接入平台是利用Internet、移动通信网络(如2G、3G、4G)、VPDN等基础网络,面向不具备专线接入条件的各级政务部门、企事业单位、移动办公人员、现场执法人员和公众用户,提供安全接入到政务外网网络或业务的服务平台。
政务外网安全接入平台由各级政务外网建设运维单位负责建设运维,部署于政务外网互联网接入区与公用网络区(或专用网络区)之间,采取中央、省、地市分级建设,有需求的县级单位可参考建设。
接入政务外网的政务部门原则上使用本级政务外网安全接入平台公共设施,如有独立的互联网出口,有远程安全接入需求建设安全接入平台时也应参照本规范。
6基础框架6.1平台架构政务外网安全接入平台架构如图1所示:
3统一入口政务外网接入用户(局域网、计算机、智能终端)安全防护管理与审计VPN网关集群政务外网安全接入平台统一认证专用网络区公用网络区政务外网业务区政务外网业务区互联网接入区互联网接入区政务外网安全接入区政务外网安全接入区InternetVPDN2G3G4G等图1安全接入平台架构示意图政务外网安全接入平台架构包含如下内容:
a)互联网接入区包括Internet、移动通信网(2G3G4G等)、VPDN等基础网络环境。
政务外网接入用户通过上述基础网络连接到安全接入平台。
b)政务外网安全接入区1)统一入口:
为接入用户提供服务接口或链路接口。
2)VPN网关集群:
采用负载均衡技术实现IPSecVPN、SSLVPN等网关集群,为用户提供安全接入服务。
3)统一认证:
采用RADIUS、LDAP等认证协议实现基于数字证书的身份认证,为网关集群用户身份统一认证和权限管理提供支撑。
4)管理与审计:
提供安全接入平台的运行情况监测、用户行为审计和安全接入平台设备的配置管理功能。
5)安全防护:
通过使用网络访问控制、入侵检测与防御、防病毒等安全措施实现基础安全防护。
c)政务外网业务区安全接入平台的VPN网关采用虚拟子接口、VRF等方式实现与政务外网公用网络区、专用网络区的网络和业务对接。
6.2功能框架政务外网安全接入平台的基本功能框架如图2所示:
4政务外网安全接入平台VPN网关集群统一入口统一认证管理与审计安全防护传输加密集群权限控制身份认证用户集中认证用户管理访问权限统一控制平台监测安全审计配置管理WEB门户统一客户端网关接入入口访问控制入侵检测与防御病毒检测图2安全接入平台功能框架图政务外网安全接入平台的基本功能模块包括如下内容:
a)统一入口:
通过WEB门户提供安全接入所需的注册、审核、软件下载等功能,为用户提供PC机、移动智能终端统一接入客户端,设置网关设备接入入口,实现接入用户统一接入;b)VPN网关集群:
提供终端到网关或网关到网关的传输加密、身份认证、权限控制等功能,通过负载均衡、链路汇聚实现VPN网关集群;c)统一认证:
为安全接入的身份认证和权限控制提供支撑,提供用户集中认证、用户管理、访问权限统一控制等功能;d)管理与审计:
提供安全接入平台的运行情况监测、平台设备的配置管理和用户行为审计等功能;e)安全防护:
为安全接入平台提供访问控制、入侵检测与防御、防病毒等基础安全防护功能。
7基本要求7.1统一入口7.1.1WEB门户安全接入平台提供WEB方式接入服务入口,实现如下功能:
a)提供统一的接入用户注册申请页面,申请成功后,注册信息可提交至LDAP、RADIUS等系统;b)提供IPSecVPN统一客户端、移动终端安全接入软件(APP)的发布、更新、下载等;c)提供SSLVPN登录页面;d)提供信息发布、移动智能终端消息推送;e)面向用户单位的业务应用,提供WebService等标准协议服务接口;f)WEB门户页面应采用Html5等标准同时兼容并适配PC机、移动智能终端的主流浏览器。
7.1.2统一客户端5a)PC机用户采用IPSecVPN接入时应使用政务外网统一IPSecVPN客户端,该客户端应兼容国家电子政务外网IPSecVPN安全接入技术要求与实施指南中的网关设备并符合该标准中相关要求,应支持IKE协议,符合IPSecVPN技术规范“5.1密钥协商”章节要求。
;b)智能终端用户采用统一的移动终端安全接入软件(APP),内嵌移动终端管理模块,支持不同安全需求的认证与加密方式,多种网络接入模式,如VPDN拨号、IPSecVPN拨号采用专用SSL客户端软件接入。
7.1.3网关接入政务部门局域网非专线接入到政务外网时,应使用网关对网关方式接入,接入部署设备应符合国家电子政务外网IPSecVPN安全接入技术要求与实施指南“5.1IPSecVPN网关技术要求”章节要求。
7.2VPN网关集群7.2.1网关要求VPN网关应具有国家密码管理局颁发的密码产品型号证书。
a)IPSecVPN网关1)应符合国家密码管理局发布的IPSecVPN技术规范(GM/T0022-2014)和IPSecVPN网关产品规范(GM/T0023-2014);2)应符合国家电子政务外网IPSecVPN安全接入技术要求与实施指南“5IPSecVPN技术要求”。
b)SSLVPN网关1)应符合国家密码管理局发布的SSLVPN技术规范(GM/T0024-2014)和SSLVPN网关产品规范(GM/T0025-2014);2)应支持政务外网证书、用户名/密码、短信、动态口令等认证方式,并支持双因子认证等混合认证模式;3)应支持访问权限设置;4)应支持VPN集群部署;5)应支持隧道模式,并且能够实现和MPLSVPN无缝对接;6)可通过发布虚拟桌面、虚拟应用或提供SDK的方式,为智能终端提供接入接口,并与统一客户端软件实现集成;7)支持标准SNMPv3管理协议,支持Syslog等标准日志格式导出,可通过安全管理平台进行集中监控和管理。
7.2.2集群要求多台VPN网关可通过负载均衡设备组成IPSecVPN网关集群或SSLVPN网关集群。
负载均衡服务应符合以下要求:
a)通过负载均衡设备链路负载功能,将VPN网关的接入请求根据IP地址、端口等策略分配到集群中相应网关设备,实现网关的自动调度。
b)负载均衡设备与VPN网关、LNS网关、Portal服务器应使用内部IP地址互联,通过地址映射将互联网地址作为对外提供服务的IP地址。
c)负载均衡设备应满足如下要求:
1)支持最小连接数、轮询、比例、最快响应、哈希、预测、观察、动态比例等负载均衡算法;2)支持设备状态检测,用于检查设备、应用和内容的可用性;3)支持集群服务域名智能解析;4)支持带宽控制;5)支持冗余备份。
67.2.3传输加密应采用IPSecVPN或SSLVPN进行传输加密防护,加密算法应符合国家密码管理局相关规范要求。
7.2.4身份认证安全接入平台应对接入的用户和接入的设备进行身份认证:
a)用户身份认证用户身份应由VPN网关或网关集群提交至统一认证平台认证,要求如下:
1)支持数字证书、用户名/口令、短信、动态口令等多种用户身份认证方式。
数字证书应由政务外网数字认证中心颁发;2)支持LDAP、RADIUS、AD等第三方认证系统;3)由网关解析证书中用户名等辨识信息,通过RADIUS或LDAP协议把认证信息传送到统一认证平台,并支持群组认证。
b)设备身份认证1)IPSecVPN网关对网关接入身份认证应采用数字证书认证方式,设备数字证书由政务外网数字认证中心颁发;2)智能终端设备通过移动终端管理系统注册认证,并通过SSLVPN实现访问隧道认证。
7.2.5权限控制安全接入平台应对接入的用户和设备进行权限控制:
a)用户权限控制1)根据接入业务需求,对用户访问权限进行控制,阻止用户访问非授权资源;2)根据用户的属性查询授权信息,确定授予用户的服务资源,包括给用户分配IP地址、用户可访问的IP地址和服务等。
b)设备接入控制对设备的接入采取访问控制措施,根据设备数字证书属性设置接入设备的授权资源及访问权限阻止非授权访问。
7.3统一认证平台统一认证平台为VPN网关、LNS拨号接入设备提供支撑,一般包含LDAP或RADIUS认证服务器、短信网关等。
中央、省级安全接入平台,可建设独立的统一认证平台。
县级安全接入平台可采用VPN网关内置的认证服务模块实现用户的身份认证。
统一认证平台要求如下:
a)支持标准LDAP、RADIUS、OCSP等认证协议;b)LDAP认证服务器应提供证书认证和用户名/口令认证,RADIUS认证服务器应提供用户名/口令认证;c)应建立统一的用户认证信息库,用于用户集中认证、访问权限统一控制;d)用户认证信息应包括证书用户信息、用户名、口令、用户单位、邮箱、手机号码等;e)支持用户信息维护、在线用户管理等用户管理功能;f)支持IP地址统一管理、统一分配,支持动态、静态IP地址分配,用户按指定地址组动态分配IP;g)可扩展支持第三方认证组件,如动态口令、短信认证组件;h)支持负载均衡或冗余备份;i)RADIUS数据库应与LDAP数据库进行关联,可基于某个用户标识进行同步更新;j)应支持分级管理,支持省、地市等各级统一认证平台可远程同步用户信息,并分角色管理。
77.4接入终端接入终端通过VPN接入政务外网时,应由VPN客户端阻断其他的互联网应用。
a)PC机PC机包括办公使用的台式电脑、笔记本等设备,接入政务外网时应满足如下要求:
1)满足相应的信息系统安全等级保护中关于终端安全的相关要求,以及接入业务单位的接入终端安全要求;2)接入到安全等级保护要求为第三级的政务外网业务应用系统时,应使用证书认证方式;3)使用证书方式协商时,证书应使用政务外网数字认证中心统一颁发的数字证书,并由硬件设备承载。
b)智能终端智能终端接入政务外网时需满足以下要求:
1)平板电脑、智能手机等移动智能终端,应安装安全防护软件并达到相关安全要求后方可接入;2)智能终端需集成移动终端管理模块,用于终端注册及远程管理。
7.5管理与审计对安全保护等级确定为第三级的政务外网,其安全接入平台,可建设独立的安全管理与审计平台;县级安全接入平台可使用各类安全接入、安全防护设备自身配置的安全审计模块实现安全管理、审计功能。
安全管理与审计平台要求如下:
a)支持对平台整体运行情况、异常事件和行为的实时监测,并提供电子邮件、短信等告警功能;b)支持对用户接入行为和平台设备系统日志、运行日志、告警日志的审计;c)支持使用标准SNMPv3对平台设备配置的集中管理;d)支持监测与审计包括接入设备、安全设备、服务器主机、数据库等;e)支持终端上线时间、下线时间、登录账号等重要操作的日志审计;f)支持对智能终端设备的软硬件信息收集,记录硬件变更信息,并可远程管理与接入相关的数据和配置;g)支持日志统一格式输出,报表生成功能,支持图形化展示功能;h)监测和审计日志应至少保存6个月;7.6安全防护7.6.1网络访问控制应在安全接入平台的网络入口、内部安全域边界部署防火墙实现网络边界保护和访问控制。
防火墙应只开放安全接入平台提供接入服务必需的服务端口(如标准IPSecVPN服务端口UDP500、4500,统一入口WEB门户与标准SSLVPN服务端口为TCP80,TCP443,对流经接入平台的网络数据进行包过滤检测。
7.6.2入侵检测与防御应在安全接入平台的网络入口处部署入侵检测探测器或入侵防御系统,动态监视网络上流过的所有数据包,进行实时检测和分析,及时发现非法或异常行为,并且执行告警、阻断等功能并记录相应的事件日志,并能够与防火墙进行联动。
7.6.3防病毒8在安全接入平台的网络入口处部署防病毒网关,及时更新病毒库,阻止病毒侵入和传播情况,进行及时的查杀。
8建设指南8.1建设目标建设政务外网安全接入体系,通过分层建设、属地化接入的方式,为不具备专线接入条件的政务部门提供接入政务外网的方案,扩大政务外网的覆盖范围,提升政务外网安全接入服务能力,满足各级政务部门横向和纵向业务需求;同时为公务员、现场执法、应急处置及企事业单位相关人员等提供移动办公、现场执法、数据上报等业务的安全接入服务。
8.2建设原则8.2.1部署原则政务外网安全接入平台部署应遵循以下原则:
a)分级部署原则安全接入体系分为中央级、省级、地市级三级平台,由国家电子政务外网管理中心提出规范,各级政务外网建设运维单位分别建设和运维。
b)属地化接入原则通过公众网络访问到政务外网的各类用户和各种终端,应通过本级属地安全接入平台接入到政务外网。
8.2.2管理原则a)等级保护合规性原则安全接入平台作为政务外网的一部分,应按照同级政务外网的信息安全等级保护要求进行建设和整改。
b)层级化管理原则政务外网安全接入平台的管理遵循统一规划、分层分级的管理原则,由各级政务外网建设运维单位负责管理和维护。
c)统一测试选型原则国家电子政务外网管理中心定期组织安全接入平台相关设备的技术测试、产品选型与发布,各级政务外网单位应按照发布目录进行产品选型和部署。
8.3建设内容安全接入平台应结合业务需求,按照第7章设计实现VPN网关集群、统一入口、统一认证平台、管理与审计、安全防护等主体模块,分别选型、部署相应的软硬件产品。
中央、省、地市分别建设本级安全接入平台,形成政务外网安全接入体系。
县级可通过市级平台接入,有条件的县级政务外网也可自行建设。
通过建设各级安全接入平台,全国政务外网形成统一的安全接入体系,如图3所示。
9图3政务外网安全接入体系示意图10附录A(资料性附录)接入模式及接入流程A.1接入模式设计IPSecVPN和SSLVPN可应用于不同业务接入场景:
a)IPSecVPN主要应用于非专线接入政务外网的单位,采用网关对网关接入进行组网以及远程终端接入进行长时间连接、数据上报、视频会议等非WEB方式访问的业务。
对于专线接入单位,当专线发生故障时,应急情况下也可采用网关对网关接入方式,通过Internet或移动通信网的VPDN实现业务的不中断传输。
b)SSLVPN主要应用于接入终端WEB方式接入政务外网,访问业务系统、远程桌面管理、远程办公等。
c)VPDN专线接入用户可使用智能终端通过VPDN专线接入,VPDN专线接入和Internet接入类似,统一从政务外网安全接入平台入口进入,根据认证需求不同,运营商提供VPDN两种建设方案,分别为自建LNS和完全外包,自建LNS可对接入用户进行二次认证,便于对用户接入管理和审计管理。
各级安全接入平台依据用户所要访问的业务应用系统的安全情况应采取IPSecVPN或SSLVPN网关对传输链路进行加密,VPDN专线接入时应满足如下要求:
1)根据VPDN线路所属运营商不同,由中央级、省级等具备条件的单位独立建设LNS设备,用于实现身份认证、传输加密的要求;2)运营商侧认证服务应向用户单位提供审核本单位手机号码权限;3)用户拨通VPDN专线后,应断开其与Internet的路由,保证网络访问通道的唯一性;4)使用VPDN时,由安全接入平台统一认证服务分配用户IP地址。
政务外网建设单位按照远程组网、业务远程访问、数据传送等不同业务需求,可选择使用不同的接入模式组建安全接入平台,满足身份认证、授权管理、传输加密等安全要求。
A.2接入流程设计a)网关对网关接入网关对网关接入模式适用于不具备政务外网专线接入条件的单位,通过IPSecVPN网关接入政务外网,具体接入流程可设计如下:
1)接入单位通过公众网络登录安全接入平台门户发起申请,由本级政务外网运维单位审核通过后下发接入网关配置信息、设备证书等;2)接入网关向安全接入平台IPSecVPN网关集群服务网关发起连接请求;3)服务网关通过认证平台对接入网关进行认证,认证成功后双方建立隧道;4)接入单位用户通过VPN设备建立的安全隧道访问政务外网业务。
b)移动接入移动接入模式适用于移动办公人员、现场执法人员、公众用户等通过公众网络访问政务外网业务,具体接入流程可设计如下:
1)接入单位通过公众网络登录安全接入平台门户发起申请,由本级政务外网运维单位审核通过后根据接入业务不同下发接入必需资源,如统一业务入口或者SSLVPN服务地址、客户端软件、用户证书等;2)IPSecVPN接入用户通过客户端发起请求,SSLVPN接入用户通过WEB方式发起请求,智能终端用户利用移动终端安全接入软件(APP)发起请求;3)网关通过认证平台对接入用户进行认证,认证成功后双方建立安全连接;4)接入用户通过VPN网关建立的安全连接访问政务外网业务。
11c)VPDN移动专线接入适用于智能终端用户通过移动通信网的VPDN方式接入或PC端用户通过ADSL等方式,接入用户需先通过Internet登录安全接入平台门户申请VPDN账号,在账号审核成功后,具体接入流程设计如下:
1)VPDN用户向LNS发起拨号并通过认证建立隧道;2)VPDN隧道建立成功后,用户向SSLVPN网关发起请求;3)网关通过认证平台对VPDN用户进行认证,认证成功后双方建立安全连接;4)VPDN用户须通过VPN设备建立的加密隧道安全连接访问政务外网业务。
12
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GW0202-2014 国家电子政务外网 安全接入平台技术规范 GW0202 2014 国家 电子政务 安全 接入 平台 技术规范