2014电子政务外网接入政务外网的局域网安全技术规范.docxVIP

接入政务外网的局域网安全技术规范

目 次

前言 I

引言 II

范围 1

规范性引用文件 1

术语和定义 1

总体安全要求 2

局域网安全等级保护要求 2

局域网安全域划分与隔离防护 2

边界安全要求 3

接入政务外网边界安全要求 3

原有互联网出口边界安全要求 4

AP接入区接入边界安全要求 4

其他网络边界安全要求 4

接入终端安全要求 4

计算机终端 4

移动智能终端 5

PAGE

PAGE1

PAGE

PAGE2

接入政务外网的局域网安全技术规范

范围

本规范适用于指导各级政务外网建设、运维和管理单位对专线接入政务外网的局域网提出具体安全要求，也可为各级政务部门局域网接入政务外网前的安全自查、整改提供参考。

规范性引用文件

下列文件条款通过本指南引用而成为本指南条款。凡是注明日期引用文件，其后所有修改版（不包括勘误内容）或修订版均不适用于本指南。凡是不注明日期引用文件，其必威体育精装版版本适用于本指南。

GB/T±271.8–2001信息技术词汇第8部分：安全

GB/T22239–2008 信息安全技术信息系统安全等级保护基本要求

GB/T30278–2013 信息安全技术政务计算机终端核心配置规范

《国家电子政务外网IPSecVPN安全接入技术要求与实施指南》（政务外网[2011]11号）

《国家电子政务外网安全等级保护基本要求》（政务外网[2011]1±号）

《国家电子政务外网安全等级保护实施指南》（政务外网[2014]1号）

术语和定义

GB/T±271.8–2001确定的以及下列术语和定义适用于本规范。

3.1

DMZ

Demilitari?edZone（非军事区）的简称，它是一个对外提供网络服务的网络区域，一般设置在内部网络和外部网络之间，受防火墙等访问控制措施保护，通过防火墙与内部网络、外部网络隔离，执行与内部网络不同的安全策略，也有的称之为对外服务区。

3.2

AP

Acce??Point（接入点）的简称，它作为有线网络向外延伸的接口之一，通过Wi–Fi方式可将各类无线终端接入到有线网络。

3.3

移动智能终端

具有独立操作系统、用户自安装软件并可通过移动通讯网络来实现无线网络接入的终端，本规范中特指政务部门内部办公人员在移动办公环境下所使用的智能手机和平板电脑。

3.4

国家电子政务外网安全接入平台

利用Internet、移动通信网络（2G、3G、4G等）、VPDN等基础网络，面向不具备专线接入条件的各级政务部门、企事业单位、移动办公人员、现场执法人员和公众用户，提供安全接入到政务外网网络

或业务的服务平台。

总体安全要求

局域网内部安全由接入单位按照信息安全等级保护相关标准进行安全防护；

局域网应根据业务需求划分安全域，进行区域隔离；

局域网在接入政务外网时，边界安全应符合以下要求：

局域网接入政务外网时，应根据不同业务安全需求，进行边界安全防护；

2) 对原有的互联网出口进行安全防护；

3) 局域网与其他专有网络出口边界安全防护应遵循专网的安全要求。

局域网终端安全应符合以下要求：

终端跨网访问时，应采取必要安全隔离与控制措施；

2) 对计算机终端接入进行安全防护与准入控制；

3) 对移动智能终端接入进行安全防护与准入控制。

局域网内对外提供服务节点应进行安全防护。

局域网安全等级保护要求

接入政务外网的局域网应依据信息安全等级保护的要求进行建设。

局域网安全域划分与隔离防护

接入单位可将局域网逻辑划分为内部业务区、终端接入区、AP接入区、安全管理区以及不同DMZ区等安全域（如图1所示），局域网的外部边界主要有政务外网提供的公用网络区接入、互联网接入区接入、专用网络区接入三个边界以及原有互联网出口边界、AP接入区接入边界等，各区域边界处通过划分虚拟局域网VLAN、设置路由策略与交换机访问控制列表、部署防火墙等措施实施不同强度的逻辑隔离防护。

图1局域网逻辑示意图

边界安全要求

接入政务外网边界安全要求

公用网络区接入边界安全要求

公用网络区边界为接入单位局域网与本级政务外网城域网的接入边界，接入单位局域网应通过防火墙系统、入侵防御系统和安全审计系统等与政务外网进行逻辑隔离并对局域网进行安全防护。

本项要求包括：

访问控制

根据会话状态信息为数据流提供明确的允许/拒绝访问能力，控制粒度至少达到端口级；

2) 应对用户设置有限权限访问政务外网资源，并限制政务外网地址访问局域网；

3) 对外提供服务节点时，应设置公用网络业务DMZ区，对该区单独实施安全策略，允许公用网络区访问内部业务区，禁止内部业务区服务器向外访问。

入侵防范

进行病毒过滤和入侵防御，并及时升级病毒