1、江西省电子政务技术规范江西省电子政务外网安全接入平台规范Specification for Security Access Platform of Jiangxi Province E-government Network江西省信息中心前 言为指导江西省电子政务外网(以下简称“政务外网”)安全接入平台的接入和使用,规范安全接入平台运维管理,根据国家有关技术规范,结合政务外网实际应用需求,编制本规范。本规范包括安全接入平台概述、接入原则、接入流程、应用基本原则及总体架构、接入访问模式、接入终端要求、账号管理、故障报修等内容。本规范由江西省信息中心提出并归口。本规范起草单位:江西省信息中心。本规范
2、主要起草人:曹成立、吁元卿、赖敬坤、梅洪。引 言为保障省市县乡村五级政务部门的移动办公、远程访问、现场执法以及企事业单位和工作人员利用公众网络安全接入到政务外网,规范省、市政务外网建设运维单位运维管理安全接入平台,特编制本规范。全省政务外网安全接入平台规范1 范围本规范适用于指导各级政务部门进行安全接入平台的接入和使用,规范省、市政务外网建设运维单位运维管理安全接入平台。2 规范性引用文件下列文件中的条款通过本规范的引用而成为本规范的条款。凡是标注日期的引用文件,其后所有的修改(不包括勘误的内容)或修订版均不适用于本规范。凡是不标注日期的引用文件,其最新版本适用于本规范。GM/T 0022-2
3、014 IPSec VPN 技术规范GM/T 0023-2014 IPSec VPN 网关产品规范GM/T 0024-2014 SSL VPN 技术规范GM/T 0025-2014 SSL VPN 网关产品规范国家电子政务外网 IPSec VPN安全接入技术要求与实施指南(政务外网201111号)国家电子政务外网安全等级保护基本要求(政务外网201115 号)GW0202-2014 国家电子政务外网安全接入平台技术规范3 术语和定义GB/T 25069-2010信息安全技术术语确定的以及下列术语和定义适用于本规范。3.1 统一认证采用 RADIUS、LDAP、AD 等认证方式实现登录用户的身份
4、认证,为用户身份统一认证和权限管理提供支撑。3.2 移动终端管理系统 Mobile Device Management移动终端管理系统为移动智能终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑,实现用户身份与设备的绑定管理、设备安全策略配置管理、设备应用数据安全管理等功能。3.3 VPDNVPDN是 Virtual Dial-up Networks(虚拟专用拨号网)的简称,是电信运营商基于拨号用户的虚拟专用拨号网业务,利用 L2TP、IP 网络的承载功能结合相应的认证和授权机制建立起来的虚拟专用网。 3.4 IPSec VPNIPSec VPN是指采用 IPSec协议来实现远程接入的一
5、种 VPN技术,用以提供公用和专用网络的端对端加密和验证服务。3.5 SSL VPNSSL VPN是指采用 SSL协议来实现远程接入的一种新型 VPN技术,用以提供公用和专用网络的端对端加密和验证服务。4 缩略语下列缩略语适用于本规范。CA 数字证书认证中心(Certificate Authority)IPSec IP安全协议(Internet Protocol Security)MPLS 多协议标签交换(Multi-protocol Label Switching)SSL 安全套接层(Secure Socket Layer)VPN 虚拟专用网(Virtual Private Network)
6、SNMP 简单网络管理协议(Simple Network Management Protocol)APP 智能终端应用程序(Application)MDM 移动终端管理系统(Mobile Device Management) 5 概述全省电子政务外网安全接入平台是利用 Internet、VPDN 等基础网络,面向不具备专线接入条件的各级政务部门、企事业单位及已接入政务外网单位的移动办公人员、现场执法人员等,提供安全接入到政务外网网络、访问政务外网上业务系统的服务平台。全省政务外网安全接入平台采用省、市两级部署模式,部署于政务外网互联网接入区与政务外网之间,由省、市政务外网建设运维单位负责运维管
7、理。6 接入原则6.1 接入申请权限全省各级党政机关、事业单位、政府直属企业、中央驻赣单位、以及法律、法规授权的具有管理公共事务职能的组织可以申请使用全省电子政务外网安全接入平台,省、市、县各级政务部门经同级电子政务外网建设和管理单位审核同意后接入电子政务外网安全接入平台。乡镇(街办)、村(社区)单位接入电子政务外网安全接入平台需向区县级电子政务外网建设和管理单位申请。未经允许任何单位和个人不得接入电子政务外网安全接入平台。6.2 接入区域划分原则上采取属地化接入的方式,省级单位和派驻各地方的直属机构接入省级电子政务外网安全接入平台,各设区市及所辖县(市、区)、乡镇(街办)、村(社区)政务部门
8、接入市级电子政务外网安全接入平台。7 接入流程省级政务部门接入省政务外网安全接入平台的流程如下,市级参照执行。7.1 新用户单位接入申请7.1.1 用户单位向省信息中心提出申请,并填写安全接入平台接入申请表(详见附件);7.1.2 用户单位将申请函与申请表一并提交至省信息中心,网络部对材料审核,通过后上报分管主任审核;7.1.3 分管主任审核后报中心主任审批;7.1.4 经中心主任审批通过后,网络部为用户单位分配 AD服务器委派控制管理账号;7.1.5 用户单位使用委派控制管理账号登录 AD服务器创建本单位用户账号,账号管理参照 11.1;7.1.6 用户单位向江西 CA公司申请数字证书;7.
9、1.7 网络部为用户单位做好安全接入平台相关技术开通服务工作。7.2 接入用户数量变更申请7.2.1 对于已开通安全接入平台业务的用户单位,需要变更接入用户数量时,须以函件形式向省信息中心提出申请,明确变更的接入用户数量以及变更后的接入用户数量,并将函件提交至省信息中心;7.2.2 网络部对材料审核,通过后上报分管主任审批;7.2.3 分管主任审批后,网络部为用户单位做好接入用户数量变更相关技术服务工作。8 总体规划8.1 IP地址规划VPN接入体系的 IP地址主要涉及网关地址池及设备管理地址(不包括互联网接入地址),应遵循统一规划管理,各级用户单位应严格按照地址规划要求统一分配使用。8.2
10、功能区规划8.2.1 VPN接入区实现用户由外到内建立安全隧道,主要包括防火墙、VPN 网关、负载均衡等设备。VPN 网关应支持双机热备功能、支持与江西省电子政务外网多个 IP 地址复用的 MPLS VPN 业务对接、必须支持双因子认证,并支持混合使用、支持第三方 CA 根证书导入,支持多个第三方 CA 机构根证书导入,支持第三方 CA 机构 CRL 导入及自动更新。8.2.2 接入认证区通过用户名/密码+证书双因子认证方式实现安全接入政务外网用户的合法性验证。主要包括AD(活动目录)认证服务器、身份认证网关。8.2.3 接入管理区实现安全接入平台所有设备的管理、监控和防火墙、VPN 网关的日
11、志记录,主要包括网管软件、审计设备、日志采集服务器等设备。日志内容包括:操作行为,包括登录认证、参数配置、策略配置、密钥管理等操作;安全事件,安全联盟的协商成功、协商失败、过期等事件;异常事件,解密失败、完整性校验失败等异常事件的统计;8.2.4 移动安全管理区实现移动智能终端的安全管理及安全接入,主要包括移动安全接入平台VPN网关、MDM服务器等设备。9 接入访问模式用户需具备能够访问互联网的 PC或智能终端,经互联网连接至政务外网安全接入平台,并建立 IPSec VPN隧道或 SSL VPN隧道。不论是 IPSec VPN还是SSL VPN,均依托操作系统使用,操作系统的稳定性也会间接影响
12、安全接入平台的访问。9.1 IPSec VPN采用 IPSec VPN方式接入政务外网,分为局域网接入和单机接入两种接入方式 。9.1.1 局域网接入用户局域网使用 IPSec VPN接入用户网络,应采用 IPSec VPN网关对网关部署模式。网关连接后,局域网内用户则无需拨号即可访问政务外网资源。9.1.2 单机接入单机通过 IPSec VPN接入用户网络,可采用 IPSec VPN客户端对网关模式。9.2 SSL VPN9.2.1 浏览器方式访问用户终端无须安装客户端软件,直接使用浏览器,与 VPN网关建立 SSL VPN隧道,继而访问政务外网业务资源。目前浏览器方式支持 Win XP 3
13、2/64位、Win7 32/64位、Win 10 32/64位等主流操作系统,浏览器支持 Internet explorer 7-11 32/64位。SSL VPN应具有端口转发功能,通过端口转发功能可使用远程桌面、sql、telnet、smtp 等其它网络端口协议。9.2.2 客户端方式访问SSL VPN方式也可采用客户端方式,采用客户端方式可以实现开机后自动连接 VPN网关建立 SSL VPN隧道。10 接入终端要求10.1 PC终端设备须安装个人防火墙、防病毒软件等,定期对终端进行扫描。10.2 手机手机操作系统为安卓 4.0以上,手机不得进行 ROOT(超级用户)破解。10.3 MDM
14、管理智能终端设备,实现安全策略下发、业务 APP管理、禁止 ROOT破解后的手机联入安全接入平台。用户在遗失移动终端后需及时通知本单位网络管理员,并由网络管理员口头通知信息中心,并补充书面通知存底。信息中心则及时对遗失的移动终端进行注销,防止因设备遗失而造成的数据泄露。11 账号管理11.1 账号管理11.1.1 管理方式:用户账号采用分级管理的方式,最终的管理主体为使用安全接入平台的各政务部门。省信息中心为省直部门分配一个 AD服务器委派控制管理账号,各省直部门使用此账号自行管理本单位用户账号的创建、修改、删除等。市级信息中心给市级、县级、乡镇、村(社区)单位委派控制管理账号,进行本单位用户
15、账号的创建、修改、删除等管理。11.1.2 账号类型:政务外网上部署了两类业务,一是采用 MPLS VPN技术构建的纵向业务网,二是跨部门访问的公共区业务,两类业务逻辑隔离,根据各单位业务需求,分配相应账号。两类需求均有的单位,则需分配两个账号,以保障业务的安全性。11.1.3 账号命名规范:用户账号采用格式化方式规划,并做到账号能标识该账号所属的单位、哪级的单位及访问业务类型。详细命名规范见全省安全接入平台用户账号命名规范11.1.4 账号分配:同一账号既可用于 PC设备登录也可用于移动设备登录,账号口令由用户单位对用户统一设置,用户可在后期使用中对口令更改。11.1.5 账号使用:用户账号
16、只能账号所属人一人使用,不可将账号借与他人使用。11.1.6 账号注销:若用户账号不再使用,需由本单位账号管理人员立即注销。11.2 CA证书申请单位机构(包括企业、事业单位、行政机关)接入安全接入平台所需数字证书自行向江西省数字证书有限公司申请。网址:。12 故障报修12.1 访问互联网故障12.1.1 用户联系本单位网络管理员查找故障原因,逐步排查用户终端、局域网通信链路、局域网网络设备和互联网通信链路。12.1.2 除互联网通信链路故障需由本单位网络管理员联系通信运营商处理外,其余故障均由本单位网络管理员负责处理。12.2 访问平台故障12.2.1 如果故障原因为终端访问互联网故障,则按
17、照 7.1处理。12.2.2 如果个别终端不能访问安全接入平台,则用户需联系本单位网络管理员处理,如果所有用户都不能访问安全接入平台,则由本单位网络管理员负责联系本级信息中心,确认安全接入平台是否存在故障。12.3 访问业务系统故障12.3.1 如果个别用户终端能登陆平台而不能访问业务服务器,则用户需联系本单位网络管理员查找终端故障原因。12.3.2 如果本单位所有用户终端能登陆平台而不能访问业务服务器,则用户需联系本单位网络管理员,由网络管理员负责与业务系统维护人员联系,确认故障原因。附件:安全接入平台业务申请表单位名称(盖章)业务需求说明终端数量终端范围 PC 手机终端 二者都有 业务应用服务器是否需要使用 CA认证是 否 联系人 联系电话预计开通日期已建设 服务器 IP地址业务系统未建设
