GW0202-2014 国家电子政务外网安全接入平台技术规范.docx
《GW0202-2014 国家电子政务外网安全接入平台技术规范.docx》由会员分享,可在线阅读,更多相关《GW0202-2014 国家电子政务外网安全接入平台技术规范.docx(20页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、目次前 言I引 言II1范围12规范性引用文件13术语和定义14缩略语25概述26基础框架26. 1平台架构27. 2功能框架37基本要求48. 1 统一入口 49. 2 VPN网关集群57. 3统一认证平台68. 4接入终端79. 5管理与审计77.6安全防护78建设指南810. 1建设目标88.2 建设原则88.3 建设内容8附录A (资料性附录)接入模式及接入流程10A.1接入模式设计10A. 2接入流程设计10附录B (资料性附录)典型部署案例12B. 1省级安全接入平台的典型部署12C. 2地(市)级安全接入平台的典型部署12引言为了满足各级政务部门的移动办公、远程访问、现场执法以及
2、相关企事业单位和工作人员利用公众 网络安全接入到政务外网的业务需求,规范中央、省(自治区、直辖市)、地(市)、县级政务外网建 设运维单位建设安全接入平台,特编制本规范。国家电子政务外网安全接入平台技术规范1范围本规范适用于指导各级政务外网建设运维单位进行安全接入平台的规划、设计、选型及实施等工作, 也可作为政务外网职能部门进行指导、监督和检查的依据。2规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡是标注日期的引用文件,其后所有的修改(不包括勘误的内容)或修订版均不适用于本规范。凡是不标注日期的引用文件,其最新版本适用 于本规范。GB/T GM/T GM/T GM/T GM
3、/T22239-20080022-20140023-20140024-20140025-2014信息安全技术信息系统安全等级保护基本要求IPSec VPN技术规范IPSec VPN网关产品规范SSL VPN技术规范SSL VPN网关产品规范国家电子政务外网IPSec VPN安全接入技术要求与实施指南(政务外网2011 11号)国家电子政务外网安全等级保护基本要求(政务外网201115号) 国家电子政务外网安全等级保护实施指南(政务外网2014l号)商用密码管理条例(国务院273号令)3术语和定义GB/T 25069-2010确立的以及下列术语和定义适用于本规范。3.1AAAAAA 是 Auth
4、entication (验证)、Authorization (授权)和 Accounting (记账)三个英文单词的 简称,验证是验证用户是否可以获得访问权限,确定哪些用户可以访问网络;授权确定用户可以使用哪 些服务;记账记录用户使用网络资源的情况。3.2RADlUS协议RADlUS 是 RemOte Authentication Dial-In User Service (远程用户拨号认证服务)的简称,是 目前应用较广泛的AAA协议,是同时兼顾验证、授权、计费三种服务的一种网络传输协议。3.3ADAD是Active Directory (活动目录)的简称,是WindOWS平台服务器核心组件之
5、一,活动目录是 一种目录服务,它可将网络中各种对象组合起来进行管理。它存储有关网络对象的信息,例如用户、组、 计算机、共享资源、打印机和联系人等信息,使管理员和用户可以方便的查找和使用这些网络信息。 3.4VPDNVPDN是VirtUal Private Dial-up Networks (虚拟专用拨号网)的简称,是电信运营商基于拨号 用户的虚拟专用拨号网业务,利用L2TP、IP网络的承载功能结合相应的认证和授权机制建立起来的虚 拟专用网。3.5安全管理平台 Security Operation Center安全管理平台是通过采用多种技术手段,收集和整合各类网络设备、安全设备、操作系统等安全事
6、 件,并运用关联分析技术、智能推理技术和风险管理技术,实现对安全事件信息的深度分析,能快速做 出智能响应,实现对安全风险进行统一监控分析和预警处理。3.6移动终端管理系统Mob i I e Dev i ce Management移动终端管理系统为移动智能终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑,实 现用户身份与设备的绑定管理、设备安全策略配置管理、设备应用数据安全管理等功能4缩略语下列缩略语适用于本规范。CA数字证书认证中心(CertifiCate Authority)IPSecIP安全协议(Internet Protocol Security)LDAP 轻量级目录访问协议(L
7、ight Directory Access Protocol)MPLS多协议标签交换(MUIti-PrOtOCOI Label Switching)SSL安全套接层(Secure Socket Layer)VPN虚拟专用网(Virtual Private Network)OCSP在线证书状态协议(OnIine Certificate Status Protocol)SOC安全管理平台(Security Operation Center)VRFVPN路由转发(VPN Routing Forwarding)SNMP简单网络管理协议(SimPie Network Management Protoco
8、l)L2TP第二层隧道协议(Layer 2 Tunneling Protocol)LNSL2TP网络服务器(L2TP Network Server)APP智能终端应用程序(Application)MDM移动终端管理系统(Mobile Device Management)5概述政务外网安全接入平台是利用Internet、移动通信网络(如2G、3G、4G)、VPDN等基础网络,面 向不具备专线接入条件的各级政务部门、企事业单位、移动办公人员、现场执法人员和公众用户,提供 安全接入到政务外网网络或业务的服务平台。政务外网安全接入平台由各级政务外网建设运维单位负责建设运维,部署于政务外网互联网接入区
9、与公用网络区(或专用网络区)之间,采取中央、省、地市分级建设,有需求的县级单位可参考建设。 接入政务外网的政务部门原则上使用本级政务外网安全接入平台公共设施,如有独立的互联网出口,有 远程安全接入需求建设安全接入平台时也应参照本规范。6基础框架6. 1平台架构政务外网安全接入平台架构如图1所示:改务外网业务区政务外网安全接入区互联网接入区政务外网安全接入平台2G 3G IC公用I网络区IVPN网关集群统入I I专用网络区统一认证管理与审计Internet 工 VPDN政务外网接入用户Sf网、计机、智能终端)安全防护图1安全接入平台架构示意图政务外网安全接入平台架构包含如下内容:a)互联网接入区
10、包括Internet、移动通信网(2G3G4G等)、VPDN等基础网络环境。政务外网接入用户通过上述基础网络连接到安全接入平台。b)政务外网安全接入区1)统一入口:为接入用户提供服务接口或链路接口。2) VPN网关集群:采用负载均衡技术实现IPSeCVPN、SSLVPN等网关集群,为用户提供安全 接入服务。3)统一认证:采用RADlUS、LDAP等认证协议实现基于数字证书的身份认证,为网关集群用户 身份统一认证和权限管理提供支撑。4)管理与审计:提供安全接入平台的运行情况监测、用户行为审计和安全接入平台设备的配 置管理功能。5)安全防护:通过使用网络访问控制、入侵检测与防御、防病毒等安全措施实
11、现基础安全防 护。c)政务外网业务区安全接入平台的VPN网关采用虚拟子接口、VRF等方式实现与政务外网公用网络区、专用网络 区的网络和业务对接。6.2功能框架政务外网安全接入平台的基本功能框架如图2所示:政务外网安全接入平台安全防护 访问控制入侵检测与防御病毒检测图2安全接入平台功能框架图政务外网安全接入平台的基本功能模块包括如下内容:a)统一入口:通过WEB门户提供安全接入所需的注册、审核、软件下载等功能,为用户提供PC机、 移动智能终端统一接入客户端,设置网关设备接入入口,实现接入用户统一接入;b) VPN网关集群:提供终端到网关或网关到网关的传输加密、身份认证、权限控制等功能,通过 负载
12、均衡、链路汇聚实现VPN网关集群:c)统一认证:为安全接入的身份认证和权限控制提供支撑,提供用户集中认证、用户管理、访问 权限统一控制等功能;d)管理与审计:提供安全接入平台的运行情况监测、平台设备的配置管理和用户行为审计等功能: e)安全防护:为安全接入平台提供访问控制、入侵检测与防御、防病毒等基础安全防护功能。7基本要求1 .1统一入口7 . 1. 1 WEB 门户安全接入平台提供WEB方式接入服务入口,实现如下功能:a)提供统一的接入用户注册申请页面,申请成功后,注册信息可提交至LDAP、RADlUS等系统;b)提供IPSeC VPN统一客户端、移动终端安全接入软件(APP)的发布、更新
13、、下载等;c)提供SSL VPN登录页面:d)提供信息发布、移动智能终端消息推送:e)面向用户单位的业务应用,提供WebSerViCe等标准协议服务接口;f) WEB门户页面应采用Html5等标准同时兼容并适配PC机、移动智能终端的主流浏览器。7.1.2 统一客户端a) PC机用户采用IPSeCVPN接入时应使用政务外网统一IPSeCVPN客户端,该客户端应兼容国家 电子政务外网IPSeC VPN安全接入技术要求与实施指南中的网关设备并符合该标准中相关要 求,应支持IKE协议,符合IPSec VPN技术规范“5.1密钥协商章节要求。;b)智能终端用户采用统一的移动终端安全接入软件(APP),内
14、嵌移动终端管理模块,支持不同 安全需求的认证与加密方式,多种网络接入模式,如VPDN拨号、IPSeC VPN拨号采用专用SSL 客户端软件接入。7.1.3 网关接入政务部门局域网非专线接入到政务外网时,应使用网关对网关方式接入,接入部署设备应符合国 家电子政务外网IPSeC VPN安全接入技术要求与实施指南5.1 IPSeC VPN网关技术要求章节要求。2 .2 VPN网关集群7 . 2.1网关要求VPN网关应具有国家密码管理局颁发的密码产品型号证书。a) IPSec VPN网关1)应符合国家密码管理局发布的IPSec VPN技术规范(GM/T 0022-2014)和IPSec VPN 网关产
15、品规范(GM/T 0023-2014);2)应符合国家电子政务外网IPSeC VPN安全接入技术要求与实施指南5 IPSec VPN技术 要求”。b) SSL VPN网关1)应符合国家密码管理局发布的SSL VPN技术规范(GM/T 0024-2014)和SSL VPN网关 产品规范(GM/T 0025-2014);2)应支持政务外网证书、用户名/密码、短信、动态口令等认证方式,并支持双因子认证等 混合认证模式;3)应支持访问权限设置;4)应支持VPN集群部署;5)应支持隧道模式,并且能够实现和MPLS VPN无缝对接;6)可通过发布虚拟桌面、虚拟应用或提供SDK的方式,为智能终端提供接入接口
16、,并与统一客 户端软件实现集成;7)支持标准SNMP v3管理协议,支持SySlOg等标准口志格式导出,可通过安全管理平台进行 集中监控和管理。7. 2.2集群要求多台VPN网关可通过负载均衡设备组成IPSeC VPN网关集群或SSL VPN网关集群。负载均衡服务应符合以下要求:a)通过负载均衡设备链路负载功能,将VPN网关的接入请求根据IP地址、端口等策略分配到集群 中相应网关设备,实现网关的自动调度。b)负载均衡设备与VPN网关、LNS网关、Portal服务器应使用内部IP地址互联,通过地址映射将互 联网地址作为对外提供服务的IP地址。c)负载均衡设备应满足如下要求:1)支持最小连接数、轮
17、询、比例、最快响应、哈希、预测、观察、动态比例等负载均衡算法; 2)支持设备状态检测,用于检查设备、应用和内容的可用性;3)支持集群服务域名智能解析;4)支持带宽控制;5)支持冗余备份。8. 2.3传输加密应采用IPSeC VPN或SSL VPN进行传输加密防护,加密算法应符合国家密码管理局相关规范要求。9. 2.4身份认证安全接入平台应对接入的用户和接入的设备进行身份认证:a)用户身份认证用户身份应由VPN网关或网关集群提交至统一认证平台认证,要求如下:1)支持数字证书、用户名/口令、短信、动态口令等多种用户身份认证方式。数字证书应由 政务外网数字认证中心颁发;2)支持LDAP、RADIUS
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GW0202-2014 国家电子政务外网安全接入平台技术规范 GW0202 2014 国家 电子政务 安全 接入 平台 技术规范
限制150内