GW0202-2014 国家电子政务外网 安全接入平台技术规范.pdf
《GW0202-2014 国家电子政务外网 安全接入平台技术规范.pdf》由会员分享,可在线阅读,更多相关《GW0202-2014 国家电子政务外网 安全接入平台技术规范.pdf(19页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、 国家电子政务外网安全接入平台技术规范 Technical Requirements for Securing Access Platform of National E-Government Network 2014-11-13 发布 2015-1-1 实施 国家电子政务外网管理中心国家电子政务外网管理中心 国家电子政务外网标准 GW02022014 目 次 前 言.I 引 言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 缩略语.2 5 概述.2 6 基础框架.2 6.1 平台架构.2 6.2 功能框架.3 7 基本要求.4 7.1 统一入口.4 7.2 VPN 网关
2、集群.5 7.3 统一认证平台.6 7.4 接入终端.7 7.5 管理与审计.7 7.6 安全防护.7 8 建设指南.8 8.1 建设目标.8 8.2 建设原则.8 8.3 建设内容.8 附 录 A(资料性附录)接入模式及接入流程.10 A.1 接入模式设计.10 A.2 接入流程设计.10 附 录 B(资料性附录)典型部署案例.12 B.1 省级安全接入平台的典型部署.12 B.2 地(市)级安全接入平台的典型部署.12 I 前 言 为指导国家电子政务外网(以下简称“政务外网”)安全接入平台设计和建设,根据我国有关法律、法规和技术规范,结合政务外网实际应用需求及产品部署经验,编制本规范。本规
3、范包括安全接入平台概述、基础框架、基本要求、建设指南、接入模式及接入流程、典型部署案例等内容。本规范由国家电子政务外网管理中心提出并归口。本规范起草单位:国家电子政务外网管理中心、中安网脉(北京)技术股份有限公司、网神信息技术(北京)股份有限公司、北京天融信科技有限公司、华为技术有限公司、北京国联天成信息技术有限公司。本规范主要起草人:罗海宁、冷默、邵国安、周民、吕品、徐惠清、任献永、张锐卿、黄敏、孙涛元、赵燕杰、刘歆、吴科科。II 引 言 为了满足各级政务部门的移动办公、远程访问、现场执法以及相关企事业单位和工作人员利用公众网络安全接入到政务外网的业务需求,规范中央、省(自治区、直辖市)、地
4、(市)、县级政务外网建设运维单位建设安全接入平台,特编制本规范。1 国家电子政务外网安全接入平台技术规范 1 范围 本规范适用于指导各级政务外网建设运维单位进行安全接入平台的规划、设计、选型及实施等工作,也可作为政务外网职能部门进行指导、监督和检查的依据。2 规范性引用文件 下列文件中的条款通过本规范的引用而成为本规范的条款。凡是标注日期的引用文件,其后所有的修改(不包括勘误的内容)或修订版均不适用于本规范。凡是不标注日期的引用文件,其最新版本适用于本规范。GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GM/T 0022-2014 IPSec VPN 技术规范 G
5、M/T 0023-2014 IPSec VPN 网关产品规范 GM/T 0024-2014 SSL VPN 技术规范 GM/T 0025-2014 SSL VPN 网关产品规范 国家电子政务外网 IPSec VPN 安全接入技术要求与实施指南(政务外网201111 号)国家电子政务外网安全等级保护基本要求(政务外网201115 号)国家电子政务外网安全等级保护实施指南(政务外网20141 号)商用密码管理条例(国务院 273 号令)3 术语和定义 GB/T 25069-2010 确立的以及下列术语和定义适用于本规范。3.1 AAA AAA 是 Authentication(验证)、Author
6、ization(授权)和 Accounting(记账)三个英文单词的简称,验证是验证用户是否可以获得访问权限,确定哪些用户可以访问网络;授权确定用户可以使用哪些服务;记账记录用户使用网络资源的情况。3.2 RADIUS 协议 RADIUS 是 Remote Authentication Dial-In User Service(远程用户拨号认证服务)的简称,是目前应用较广泛的 AAA 协议,是同时兼顾验证、授权、计费三种服务的一种网络传输协议。3.3 AD AD 是 Active Directory(活动目录)的简称,是 Windows 平台服务器核心组件之一,活动目录是一种目录服务,它可将网
7、络中各种对象组合起来进行管理。它存储有关网络对象的信息,例如用户、组、计算机、共享资源、打印机和联系人等信息,使管理员和用户可以方便的查找和使用这些网络信息。3.4 VPDN VPDN 是 Virtual Private Dial-up Networks(虚拟专用拨号网)的简称,是电信运营商基于拨号用户的虚拟专用拨号网业务,利用 L2TP、IP 网络的承载功能结合相应的认证和授权机制建立起来的虚拟专用网。2 3.5 安全管理平台 Security Operation Center 安全管理平台是通过采用多种技术手段,收集和整合各类网络设备、安全设备、操作系统等安全事件,并运用关联分析技术、智能
8、推理技术和风险管理技术,实现对安全事件信息的深度分析,能快速做出智能响应,实现对安全风险进行统一监控分析和预警处理。3.6 移动终端管理系统 Mobile Device Management 移动终端管理系统为移动智能终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑,实现用户身份与设备的绑定管理、设备安全策略配置管理、设备应用数据安全管理等功能 4 缩略语 下列缩略语适用于本规范。CA 数字证书认证中心(Certificate Authority)IPSec IP安全协议(Internet Protocol Security)LDAP 轻量级目录访问协议(Light Directory
9、 Access Protocol)MPLS 多协议标签交换(Multi-protocol Label Switching)SSL 安全套接层(Secure Socket Layer)VPN 虚拟专用网(Virtual Private Network)OCSP 在线证书状态协议(Online Certificate Status Protocol)SOC 安全管理平台(Security Operation Center)VRF VPN路由转发(VPN Routing Forwarding)SNMP 简单网络管理协议(Simple Network Management Protocol)L2TP
10、第二层隧道协议(Layer 2 Tunneling Protocol)LNS L2TP网络服务器(L2TP Network Server)APP 智能终端应用程序(Application)MDM 移动终端管理系统(Mobile Device Management)5 概述 政务外网安全接入平台是利用 Internet、移动通信网络(如 2G、3G、4G)、VPDN 等基础网络,面向不具备专线接入条件的各级政务部门、企事业单位、移动办公人员、现场执法人员和公众用户,提供安全接入到政务外网网络或业务的服务平台。政务外网安全接入平台由各级政务外网建设运维单位负责建设运维,部署于政务外网互联网接入区与
11、公用网络区(或专用网络区)之间,采取中央、省、地市分级建设,有需求的县级单位可参考建设。接入政务外网的政务部门原则上使用本级政务外网安全接入平台公共设施,如有独立的互联网出口,有远程安全接入需求建设安全接入平台时也应参照本规范。6 基础框架 6.1 平台架构 政务外网安全接入平台架构如图 1 所示:3 统一入口政务外网接入用户(局域网、计算机、智能终端)安全防护管理与审计VPN网关集群政务外网安全接入平台统一认证专用网络区公用网络区政务外网业务区政务外网业务区互联网接入区互联网接入区政务外网安全接入区政务外网安全接入区InternetVPDN2G3G4G等 图 1 安全接入平台架构示意图 政务
12、外网安全接入平台架构包含如下内容:a)互联网接入区 包括 Internet、移动通信网(2G3G4G 等)、VPDN 等基础网络环境。政务外网接入用户通过上述基础网络连接到安全接入平台。b)政务外网安全接入区 1)统一入口:为接入用户提供服务接口或链路接口。2)VPN 网关集群:采用负载均衡技术实现 IPSec VPN、SSL VPN 等网关集群,为用户提供安全接入服务。3)统一认证:采用 RADIUS、LDAP 等认证协议实现基于数字证书的身份认证,为网关集群用户身份统一认证和权限管理提供支撑。4)管理与审计:提供安全接入平台的运行情况监测、用户行为审计和安全接入平台设备的配置管理功能。5)
13、安全防护:通过使用网络访问控制、入侵检测与防御、防病毒等安全措施实现基础安全防护。c)政务外网业务区 安全接入平台的 VPN 网关采用虚拟子接口、VRF 等方式实现与政务外网公用网络区、专用网络区的网络和业务对接。6.2 功能框架 政务外网安全接入平台的基本功能框架如图2所示:4 政务外网安全接入平台VPN网关集群统一入口统一认证管理与审计安全防护传输加密集群权限控制身份认证用户集中认证用户管理访问权限统一控制平台监测安全审计配置管理WEB门户统一客户端网关接入入口访问控制入侵检测与防御病毒检测 图2 安全接入平台功能框架图 政务外网安全接入平台的基本功能模块包括如下内容:a)统一入口:通过W
14、EB门户提供安全接入所需的注册、审核、软件下载等功能,为用户提供PC机、移动智能终端统一接入客户端,设置网关设备接入入口,实现接入用户统一接入;b)VPN网关集群:提供终端到网关或网关到网关的传输加密、身份认证、权限控制等功能,通过负载均衡、链路汇聚实现VPN网关集群;c)统一认证:为安全接入的身份认证和权限控制提供支撑,提供用户集中认证、用户管理、访问权限统一控制等功能;d)管理与审计:提供安全接入平台的运行情况监测、平台设备的配置管理和用户行为审计等功能;e)安全防护:为安全接入平台提供访问控制、入侵检测与防御、防病毒等基础安全防护功能。7 基本要求 7.1 统一入口 7.1.1 WEB
15、门户 安全接入平台提供 WEB 方式接入服务入口,实现如下功能:a)提供统一的接入用户注册申请页面,申请成功后,注册信息可提交至LDAP、RADIUS等系统;b)提供IPSec VPN统一客户端、移动终端安全接入软件(APP)的发布、更新、下载等;c)提供SSL VPN登录页面;d)提供信息发布、移动智能终端消息推送;e)面向用户单位的业务应用,提供WebService等标准协议服务接口;f)WEB门户页面应采用Html5等标准同时兼容并适配PC机、移动智能终端的主流浏览器。7.1.2 统一客户端 5 a)PC机用户采用IPSec VPN接入时应使用政务外网统一IPSec VPN客户端,该客户
16、端应兼容国家电子政务外网IPSec VPN安全接入技术要求与实施指南中的网关设备并符合该标准中相关要求,应支持IKE协议,符合IPSec VPN技术规范“5.1 密钥协商”章节要求。;b)智能终端用户采用统一的移动终端安全接入软件(APP),内嵌移动终端管理模块,支持不同安全需求的认证与加密方式,多种网络接入模式,如VPDN拨号、IPSec VPN拨号采用专用SSL客户端软件接入。7.1.3 网关接入 政务部门局域网非专线接入到政务外网时,应使用网关对网关方式接入,接入部署设备应符合国家电子政务外网IPSec VPN安全接入技术要求与实施指南“5.1 IPSec VPN网关技术要求”章节要求。
17、7.2 VPN 网关集群 7.2.1 网关要求 VPN 网关应具有国家密码管理局颁发的密码产品型号证书。a)IPSec VPN网关 1)应符合国家密码管理局发布的IPSec VPN技术规范(GM/T 0022-2014)和IPSec VPN网关产品规范(GM/T 0023-2014);2)应符合国家电子政务外网IPSec VPN安全接入技术要求与实施指南“5 IPSec VPN技术要求”。b)SSL VPN网关 1)应符合国家密码管理局发布的SSL VPN技术规范(GM/T 0024-2014)和SSL VPN网关产品规范(GM/T 0025-2014);2)应支持政务外网证书、用户名/密码、
18、短信、动态口令等认证方式,并支持双因子认证等混合认证模式;3)应支持访问权限设置;4)应支持VPN集群部署;5)应支持隧道模式,并且能够实现和MPLS VPN无缝对接;6)可通过发布虚拟桌面、虚拟应用或提供SDK的方式,为智能终端提供接入接口,并与统一客户端软件实现集成;7)支持标准SNMP v3管理协议,支持Syslog等标准日志格式导出,可通过安全管理平台进行集中监控和管理。7.2.2 集群要求 多台VPN网关可通过负载均衡设备组成IPSec VPN网关集群或SSL VPN网关集群。负载均衡服务应符合以下要求:a)通过负载均衡设备链路负载功能,将VPN网关的接入请求根据IP地址、端口等策略
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GW0202-2014 国家电子政务外网 安全接入平台技术规范 GW0202 2014 国家 电子政务 安全 接入 平台 技术规范
限制150内