1江西省电子政务外网安全接入平台.docx
- 文档编号:26295985
- 上传时间:2023-06-17
- 格式:DOCX
- 页数:9
- 大小:22.90KB
1江西省电子政务外网安全接入平台.docx
《1江西省电子政务外网安全接入平台.docx》由会员分享,可在线阅读,更多相关《1江西省电子政务外网安全接入平台.docx(9页珍藏版)》请在冰豆网上搜索。
1江西省电子政务外网安全接入平台
江西省电子政务技术规范
江西省电子政务外网安全接入平台规范
SpecificationforSecurityAccessPlatformofJiangxiProvinceE-governmentNetwork
江西省信息中心
前言
为指导江西省电子政务外网(以下简称“政务外网”)安全接入平台的接入和使用,规范安全接入平台运维管理,根据国家有关技术规范,结合政务外网实际应用需求,编制本规范。
本规范包括安全接入平台概述、接入原则、接入流程、应用基本原则及总体架构、接入访问模式、接入终端要求、账号管理、故障报修等内容。
本规范由江西省信息中心提出并归口。
本规范起草单位:
江西省信息中心。
本规范主要起草人:
曹成立、吁元卿、赖敬坤、梅洪。
引言
为保障省市县乡村五级政务部门的移动办公、远程访问、现场执法以及企事业单位和工作人员利用公众网络安全接入到政务外网,规范省、市政务外网建设运维单位运维管理安全接入平台,特编制本规范。
全省政务外网安全接入平台规范
1范围
本规范适用于指导各级政务部门进行安全接入平台的接入和使用,规范省、市政务外网建设运维单位运维管理安全接入平台。
2规范性引用文件
下列文件中的条款通过本规范的引用而成为本规范的条款。
凡是标注日期的引用文件,其后所有的修改(不包括勘误的内容)或修订版均不适用于本规范。
凡是不标注日期的引用文件,其最新版本适用于本规范。
GM/T0022-2014《IPSecVPN技术规范》
GM/T0023-2014《IPSecVPN网关产品规范》
GM/T0024-2014《SSLVPN技术规范》
GM/T0025-2014《SSLVPN网关产品规范》
《国家电子政务外网IPSecVPN安全接入技术要求与实施指南》(政务外网[2011]11号)
《国家电子政务外网安全等级保护基本要求》(政务外网[2011]15号)
GW0202-2014《国家电子政务外网安全接入平台技术规范》
3术语和定义
GB/T25069-2010《信息安全技术术语》确定的以及下列术语和定义适用于本规范。
3.1统一认证
采用RADIUS、LDAP、AD等认证方式实现登录用户的身份认证,为用户身份统一认证和权限管理提供支撑。
3.2移动终端管理系统MobileDeviceManagement
移动终端管理系统为移动智能终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑,实现用户身份与设备的绑定管理、设备安全策略配置管理、设备应用数据安全管理等功能。
3.3VPDN
VPDN是VirtualDial-upNetworks(虚拟专用拨号网)的简称,是电信运营商基于拨号用户的虚拟专用拨号网业务,利用L2TP、IP网络的承载功能结合相应的认证和授权机制建立起来的虚拟专用网。
3.4IPSecVPN
IPSecVPN是指采用IPSec协议来实现远程接入的一种VPN技术,用以提供公用和专用网络的端对端加密和验证服务。
3.5SSLVPN
SSLVPN是指采用SSL协议来实现远程接入的一种新型VPN技术,用以提供公用和专用网络的端对端加密和验证服务。
4缩略语
下列缩略语适用于本规范。
CA数字证书认证中心(CertificateAuthority)
IPSecIP安全协议(InternetProtocolSecurity)
MPLS多协议标签交换(Multi-protocolLabelSwitching)
SSL安全套接层(SecureSocketLayer)
VPN虚拟专用网(VirtualPrivateNetwork)
SNMP简单网络管理协议(SimpleNetworkManagementProtocol)
APP智能终端应用程序(Application)
MDM移动终端管理系统(MobileDeviceManagement)
5概述
全省电子政务外网安全接入平台是利用Internet、VPDN等基础网络,面向不具备专线接入条件的各级政务部门、企事业单位及已接入政务外网单位的移动办公人员、现场执法人员等,提供安全接入到政务外网网络、访问政务外网上业务系统的服务平台。
全省政务外网安全接入平台采用省、市两级部署模式,部署于政务外网互联网接入区与政务外网之间,由省、市政务外网建设运维单位负责运维管理。
6接入原则
6.1接入申请权限
全省各级党政机关、事业单位、政府直属企业、中央驻赣单位、以及法律、法规授权的具有管理公共事务职能的组织可以申请使用全省电子政务外网安全接入平台,省、市、县各级政务部门经同级电子政务外网建设和管理单位审核同意后接入电子政务外网安全接入平台。
乡镇(街办)、村(社区)单位接入电子政务外网安全接入平台需向区县级电子政务外网建设和管理单位申请。
未经允许任何单位和个人不得接入电子政务外网安全接入平台。
6.2接入区域划分
原则上采取属地化接入的方式,省级单位和派驻各地方的直属机构接入省级电子政务外网安全接入平台,各设区市及所辖县(市、区)、乡镇(街办)、村(社区)政务部门接入市级电子政务外网安全接入平台。
7接入流程
省级政务部门接入省政务外网安全接入平台的流程如下,市级参照执行。
7.1新用户单位接入申请
7.1.1用户单位向省信息中心提出申请,并填写安全接入平台接入申请表(详见附件);
7.1.2用户单位将申请函与申请表一并提交至省信息中心,网络部对材料审核,通过后上报分管主任审核;
7.1.3分管主任审核后报中心主任审批;
7.1.4经中心主任审批通过后,网络部为用户单位分配AD服务器委派控制管理账号;
7.1.5用户单位使用委派控制管理账号登录AD服务器创建本单位用户账号,账号管理参照11.1;
7.1.6用户单位向江西CA公司申请数字证书;
7.1.7网络部为用户单位做好安全接入平台相关技术开通服务工作。
7.2接入用户数量变更申请
7.2.1对于已开通安全接入平台业务的用户单位,需要变更接入用户数量时,须以函件形式向省信息中心提出申请,明确变更的接入用户数量以及变更后的接入用户数量,并将函件提交至省信息中心;
7.2.2网络部对材料审核,通过后上报分管主任审批;
7.2.3分管主任审批后,网络部为用户单位做好接入用户数量变更相关技术服务工作。
8总体规划
8.1IP地址规划
VPN接入体系的IP地址主要涉及网关地址池及设备管理地址(不包括互联网接入地址),应遵循统一规划管理,各级用户单位应严格按照地址规划要求统一分配使用。
8.2功能区规划
8.2.1VPN接入区
实现用户由外到内建立安全隧道,主要包括防火墙、VPN网关、负载均衡等设备。
VPN网关应支持双机热备功能、支持与江西省电子政务外网多个IP地址复用的MPLSVPN业务对接、必须支持双因子认证,并支持混合使用、支持第三方CA根证书导入,支持多个第三方CA机构根证书导入,支持第三方CA机构CRL导入及自动更新。
8.2.2接入认证区
通过用户名/密码+证书双因子认证方式实现安全接入政务外网用户的合法性验证。
主要包括AD(活动目录)认证服务器、身份认证网关。
8.2.3接入管理区
实现安全接入平台所有设备的管理、监控和防火墙、VPN网关的日志记录,主要包括网管软件、审计设备、日志采集服务器等设备。
日志内容包括:
操作行为,包括登录认证、参数配置、策略配置、密钥管理等操作;
安全事件,安全联盟的协商成功、协商失败、过期等事件;
异常事件,解密失败、完整性校验失败等异常事件的统计;
8.2.4移动安全管理区
实现移动智能终端的安全管理及安全接入,主要包括移动安全接入平台VPN网关、MDM服务器等设备。
9接入访问模式
用户需具备能够访问互联网的PC或智能终端,经互联网连接至政务外网安全接入平台,并建立IPSecVPN隧道或SSLVPN隧道。
不论是IPSecVPN还是SSLVPN,均依托操作系统使用,操作系统的稳定性也会间接影响安全接入平台的访问。
9.1IPSecVPN
采用IPSecVPN方式接入政务外网,分为局域网接入和单机接入两种接入方式。
9.1.1局域网接入
用户局域网使用IPSecVPN接入用户网络,应采用IPSecVPN网关对网关部署模式。
网关连接后,局域网内用户则无需拨号即可访问政务外网资源。
9.1.2单机接入
单机通过IPSecVPN接入用户网络,可采用IPSecVPN客户端对网关模式。
9.2SSLVPN
9.2.1浏览器方式访问
用户终端无须安装客户端软件,直接使用浏览器,与VPN网关建立SSLVPN隧道,继而访问政务外网业务资源。
目前浏览器方式支持WinXP32/64位、Win732/64位、Win1032/64位等主流操作系统,浏览器支持Internetexplorer7-1132/64位。
SSLVPN应具有端口转发功能,通过端口转发功能可使用远程桌面、sql、telnet、smtp等其它网络端口协议。
9.2.2客户端方式访问
SSLVPN方式也可采用客户端方式,采用客户端方式可以实现开机后自动连接VPN网关建立SSLVPN隧道。
10接入终端要求
10.1PC
终端设备须安装个人防火墙、防病毒软件等,定期对终端进行扫描。
10.2手机
手机操作系统为安卓4.0以上,手机不得进行ROOT(超级用户)破解。
10.3MDM
管理智能终端设备,实现安全策略下发、业务APP管理、禁止ROOT破解后的手机联入安全接入平台。
用户在遗失移动终端后需及时通知本单位网络管理员,并由网络管理员口头通知信息中心,并补充书面通知存底。
信息中心则及时对遗失的移动终端进行注销,防止因设备遗失而造成的数据泄露。
11账号管理
11.1账号管理
11.1.1管理方式:
用户账号采用分级管理的方式,最终的管理主体为使用安全接入平台的各政务部门。
省信息中心为省直部门分配一个AD服务器委派控制管理账号,各省直部门使用此账号自行管理本单位用户账号的创建、修改、删除等。
市级信息中心给市级、县级、乡镇、村(社区)单位委派控制管理账号,进行本单位用户账号的创建、修改、删除等管理。
11.1.2账号类型:
政务外网上部署了两类业务,一是采用MPLSVPN技术构建的纵向业务网,二是跨部门访问的公共区业务,两类业务逻辑隔离,根据各单位业务需求,分配相应账号。
两类需求均有的单位,则需分配两个账号,以保障业务的安全性。
11.1.3账号命名规范:
用户账号采用格式化方式规划,并做到账号能标识该账号所属的单位、哪级的单位及访问业务类型。
详细命名规范见《全省安全接入平台用户账号命名规范》
11.1.4账号分配:
同一账号既可用于PC设备登录也可用于移动设备登录,账号口令由用户单位对用户统一设置,用户可在后期使用中对口令更改。
11.1.5账号使用:
用户账号只能账号所属人一人使用,不可将账号借与他人使用。
11.1.6账号注销:
若用户账号不再使用,需由本单位账号管理人员立即注销。
11.2CA证书申请
单位机构(包括企业、事业单位、行政机关)接入安全接入平台所需数字证书自行向江西省数字证书有限公司申请。
网址:
。
12故障报修
12.1访问互联网故障
12.1.1用户联系本单位网络管理员查找故障原因,逐步排查用户终端、局域网通信链路、局域网网络设备和互联网通信链路。
12.1.2除互联网通信链路故障需由本单位网络管理员联系通信运营商处理外,其余故障均由本单位网络管理员负责处理。
12.2访问平台故障
12.2.1如果故障原因为终端访问互联网故障,则按照7.1处理。
12.2.2如果个别终端不能访问安全接入平台,则用户需联系本单位网络管理员处理,如果所有用户都不能访问安全接入平台,则由本单位网络管理员负责联系本级信息中心,确认安全接入平台是否存在故障。
12.3访问业务系统故障
12.3.1如果个别用户终端能登陆平台而不能访问业务服务器,则用户需联系本单位网络管理员查找终端故障原因。
12.3.2如果本单位所有用户终端能登陆平台而不能访问业务服务器,则用户需联系本单位网络管理员,由网络管理员负责与业务系统维护人员联系,确认故障原因。
附件:
安全接入平台业务申请表
单位名称(盖章)
业务需求说明
终端数量
终端范围
PC□
手机终端□
二者都有□
业务应用服务器是否需要使用CA认证
是□
否□
联系人
联系电话
预计开通日期
业务系统
已建设□
服务器IP地址
未建设□
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 江西省 电子政务 安全 接入 平台