DB23/T 2829-2021标准规范下载简介
DB23/T 2829-2021 电子政务外网安全管理规范 第一部分:网络安全总体要求.pdf简介:
DB23/T 2829-2021 标准名为“电子政务外网安全管理规范 第一部分:网络安全总体要求”,这是一份由中国电子工业标准化技术委员会发布的行业标准。该标准主要针对电子政务外网(Electronic政务 External Network)的安全管理,其目的是为了规范和提升电子政务系统的网络安全防护能力,确保政务信息系统的安全运行和数据的完整性、保密性。
“网络安全总体要求”部分可能包括了对网络架构、访问控制、数据加密、安全审计、风险评估、应急响应、安全培训等多个方面的规定。具体内容可能涵盖如何设计和实施安全策略,如何防止未经授权的访问,如何处理网络安全事件,以及如何定期检查和更新安全措施等。
这份标准适用于各级政府部门、企事业单位和其他组织在设计、建设、运行电子政务外网时参考,以确保在信息化环境下,电子政务系统的安全性和稳定性。
DB23/T 2829-2021 电子政务外网安全管理规范 第一部分:网络安全总体要求.pdf部分内容预览:
诚域网 把同一城市内不同单位的局域网络连接起来的网络称为城域网,实现不同单位跨部门业务的数 享与交换。
电子政务外网安全等级保护遵循国家安全等级保护文件要求,电子政务外网开展安全等级保护工作 的重点是广域网和各级城域网。 政务外网主要满足各级政务部门业务应用系统传输和跨部门数据交换与共享的需要,保证其在广域 网和城域网上的畅通、安全和可靠。不同安全等级保护的政务外网互联,应在配置网络边界访问控制的 情况下,确保业务的畅通。
政务外网省至地(市)产域网和省级、地(市)级城域网应达到安全等级保护第三级要求,地 至区县广域网和地(市)以下城域网应至少达到安全等级保护第三级的要求。
5安全接入平台技术规范
政务在省、市(地)分别建设两级安全接入平台DBJ/T15-161-2019标准下载,形成政务外网安全接入体系。县级可通过市 接入。安全接入平台架构见图1
2.1IPSecVPN隧道接入
图1安全接入平台架构
5.2.2SSL VPN 安全接入
主要应用于接入终端WEB方式接入政务外网,访问业务系统、远程桌面管理、远程办公等。
5.2.3VPDN接入
5.3. 1网关对网关接入
该模式适用于不具备政务外网专线接入条件的单位,通过IPSecVPN网关接人政务外网,具体接人 流程如下: a 接入单位通过公众网络登录安全接入平台门户发起申请,由本级政务外网运维单位审核通过后 下发接入网关配置信息、设备证书等: 接入网关向安全接入平台IPSecVPN网关集群服务网关发起连接请求; c)服务网关通过认证平台对接入网关进行认证,认证成功后双方建立隧道: d)接入单位用户通过VPN设备建立的安全隧道访问政务外网业务
5.3.2.1接人单位通过公众网络登录安全接人平台门户发起申请,由本级政务外网运维单位审核通过 后,根据接入业务不同下发接入必需资源,如统一业务入口或者SSLVPN服务地址、客户端软件、用 户证书等。 5.3.2.2PSecVPN接入用户通过客户端发起请求,SSLVPN接入用户通过WEB方式发起请求,智终 瑞用户利用移动终端安全接入软件(APP)发起请求。 5.3.2.3网关通过认证平台对接入用户进行认证,认证成功后双方建立安全连接。 5.3.2.4接入用户通过VPN网关建立的安全连接访问政务外网业务。
5.3.3VPDN移动专线接入
5.4.1省级安全接入平台部署
5.4.1.2统一入口区由防火墙、VPDN接入所需的LNS路由器、移动终端管理系统、门户组成;防火 墙实现安全接入平台的访问控制;移动终端管理系统用于接入智能终端的策略下发,远程擦除;门户提 共用户注册申请、客户端软件下载、SSLVPN登录、业务异常申报等功能。LNS路由器提供VPDN专线 用户二次认证功能。
5.4.1.3VPN网关集群是由IPSecVPN网关、SSLVPN网关组成的VPN网关池,实现用户的身份认 证、权限管理、传输加密;负载均衡设备提供VPN网关的负载分配。 5.4.1.4接入管理区部署配置管理系统、监测系统、安全审计系统,实现平台设备的配置管理、安全 接入平台的运行监测和接入用户行为审计。 5.4.1.5认证区部署LDAP、RADIUS等认证系统,实现接入用户的统一认证授权功能。如果已建设政 务外网CA,LDAP可从CA导入证书条目、证书注销列表等信息用于用户证书有效性检查协助认证。
5.4.2市(地)级安全接入平台部署
5.4.2.1市(地)级安全接入平台划分为四个区域进行部署
5.4.2.2统一入口区由防火墙、门户组成;防火墙实现安全接入平台的访问控制。门户提供用户注册 申请、客户端软件下载、SSLVPN登录、业务异常申报等功能,如有移动接入需求,应增加必要移动终 端管理系统。 5.4.2.3VPN网关由IPSecVPN网关和SSLVPN网关组成,实现用户的身份认证、权限管理、传输 加密。 5.4.2.4接入管理区配置管理/审计服务器,实现VPN网关的配置管理、安全接入平台的运行监测、 用户的接入审计和安全接入平台的安全审计。 5.4.2.5认证区配置LDAP、RADIUS等认证服务器,实现接入用户的统一认证功能。市(地)VPDN用 户可通过省级安全接入平台接入。县级安全接入平台可参照市(地)级安全接入平台部署。
6.1网络安全管理职责
5.1.1网络管理系统要分别设立网络管理员和网络安全审计员,并分别由不同的人员担任。 6.1.2网络管理员根据网络访问控制策略要求,进行网络设备参数设置,更新和维护等工作;对网络 设备实行分级授权管理,按照不同的管理级别进行权限分配。 6.1.3网络安全审计员对网络管理员的登录和操作内容进行审计,一月内至少审计一次日志报表;对 网络配置与网络访问控制策略进行符合性检查。
6.2.6网络管理员负责网络拓扑图的绘制。若网络结构发生变化要及时更新拓扑图,确保网络拓扑图 完整、真实。 6.2.7未经批准,任何人不得改变网络拓扑结构、网络设备布局、服务器和路由器配置以及网络参数, 6.2.8在未经许可的情况下,任何人不得进入计算机系统更改系统信息和用户数据。 6.2.9任何人不得利用计算机技术侵害用户合法利益,不得制作和传播有害信息
6.3.1建立纵向贯通省、市(地)、县(区),横向连接各接入单位的全省电子政务外网运维管理体 系,实现对全网的网络设备、链路、业务运行状况的统一运维监控管理。 3.3.2对信息系统核心设备采取元余措施(包括线路及设备元余),确保网络正常运行。 6.3.3对网络、安全设备进行管理时须采用安全的方式(如加密、SSH等),并严格控制可访问该设 备的地址和网段。 3.3.4定期对网络系统(服务器、网络设备)进行漏洞扫描,并及时修补已发现的安全漏洞。 6.3.5根据设备厂商提供的更新软件对网络设备和安全设备进行升级,在升级之前要注意对重要文件 的配置进行备份。 6.3.6定期对重要的网络、安全设备进行巡检,确保重要设施工作正常,并填写相关记录表单归档保 存。若在巡检中发现安全问题要及时上报处理。 6.3.7定期对重要系统服务器和相关业务数据进行备份,备份数据应一式两份,分别进行保存管理。 6.3.8部署专用的网络审计设备记录网络访问日志,日志的最小保存期限不低于60天,且应保证无 天以上的中断。
6.3.1建立纵向贯通省、市(地)、县(区),横向连接各接入单位的全省电子政务外网运维管理体 系,实现对全网的网络设备、链路、业务运行状况的统一运维监控管理。 3.3.2对信息系统核心设备采取元余措施(包括线路及设备元余),确保网络正常运行。 6.3.3对网络、安全设备进行管理时须采用安全的方式(如加密、SSH等),并严格控制可访问该设 备的地址和网段。 6.3.4定期对网络系统(服务器、网络设备)进行漏洞扫描,并及时修补已发现的安全漏洞 6.3.5根据设备厂商提供的更新软件对网络设备和安全设备进行升级,在升级之前要注意对重要文件 的配置进行备份。 6.3.6定期对重要的网络、安全设备进行巡检,确保重要设施工作正常,并填写相关记录表单归档保 存。若在巡检中发现安全问题要及时上报处理。 6.3.7定期对重要系统服务器和相关业务数据进行备份,备份数据应一式两份,分别进行保存管理。 6.3.8部署专用的网络审计设备记录网络访问日志,日志的最小保存期限不低于60天,且应保证无 天以上的中断。
6.4.1对网络管理员、安全审计员等不同用户建立不同的账号,并对资源管理权限进行划分,以便于 审计。 6.4.2 网络账号、密码设计必须满足长度、复杂度要求,用户须定期更改密码以保障网络账户安全。 6.4.3指定专人对服务器和网络设备的账号、密码进行统一登记,一式两份存档管理。管理员须严守 职业道德和职业纪律,不得将任何账号、密码等信息泄露出去。
6.5.1不得制造和传播任何计算机病毒。 6.5.2网络服务器的病毒防治由网络管理员负责,网络管理员负责对各部门计算机的病毒防治工作进 行指导和协助。 6.5.3及时更新网络系统服务器病毒库,定期对服务器进行全盘扫描杀毒。 6.5.4提高自身的恶意代码防范意识,在接收文件或邮件之前,必须先进行恶意代码检查。 6.5.5已授权的外来计算机或存储设备在接入网络之前,必须对其进行恶意代码扫描。
7安全监测系统技术规范
对电子政务外网网络安全态势进行多维度分析,实现对电子政务外网的全面安全态势的掌握
具备对电子政务外网中涉及到的资产发现、属性识别、资产弱口令、资产脆弱性等情况进行识 析。
具备接口流量信息和黑客信息统计功能,掌握电子政务外网流量情况和外部威胁情况,为攻击 源提供手段。
具备对采集到的安全数据进行挖掘分析后的网络安全态势的综合展示能力JIS A1108-1999 混凝土抗压强度的试验方法,为电子政务外网安 提供辅助决策。
威胁情报功能的数据来源应支持包括各级平台共享情报、探针扫描检测数据、日志分析数据以及第三方 威胁情报。
8.1.2数据采集方式要求
数据采集应支持(但不限于)通过下述手段实现数据的主动或被动采集: a)SNMPTrap:应启动SNMPService服务,使用统一的团体串在默认或自定义端口上监听,以 获取安全设备发来的SNMPTrap信息。 b)SYSLOG:应启动SYSLOG服务,使用默认或自定义端口监听,以获取安全设备发来的SYSLOG信 息。 c)文件:应具备网络文件、本地文件的定期或触发提取功能,获取其中的日志信息。 数据库:应具备网络数据库、本地数据库的定期或触发提取功能,获取其中的日志信息。 e)代理:对于特殊的、缺乏共性的信息存储方式,应支持通过编写代理程序方式获取其中的日志 信息,代理程序应支持与目标数据部署在一起,也支持远程部署。
给排水工程量计量规则总结(15页)8.1.3系统运行状态上报接口
8.1.5下级安全管理系统周期性上报自已状态的心跳消息,上级系统根据是否能周期收到下级状态的 心跳消息,来判断下级系统上报是否正常。 8.1.6上报接口状态分为: a)1一一正常:上级系统收到下级系统的上报消息后,将下级的上报接口判断为正常: b)0一一离线:当上级系统在一个上报周期内未收到上报信息,则判断下级系统的上报接口离线: 同时产生该下级安全管理系统上报接口离线告警。 8.1.7上报频率为10分钟一次。