GB/Z 24294.2-2017信息安全技术基于互联网电子政务信息安全实施指南第2部分：接入控制与安全交换

ICS35040

L80.

中华人民共和国国家标准化指导性技术文件

GB/Z242942—2017

部分代替.

GB/Z24294—2009

信息安全技术

基于互联网电子政务信息安全实施指南

第2部分接入控制与安全交换

:

Informationsecuritytechnology—GuideofimplementationforInternet-based

e-overnmentinformationsecurit—Part2Accesscontrolandsecureexchane

gy:g

2017-05-31发布2017-12-01实施

中华人民共和国国家质量监督检验检疫总局发布

中国国家标准化管理委员会

GB/Z242942—2017

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

分域控制

5…………………3

接入控制

6…………………3

接入控制结构

6.1………………………3

接入控制组成

6.1.1…………………3

接入控制方式

6.1.2…………………4

接入控制功能

6.2………………………4

接入控制安全功能

6.2.1……………4

接入控制适应性

6.2.2………………5

接入认证

6.3……………5

用户接入认证策略

6.3.1……………5

用户接入平台

6.3.2…………………5

用户接入认证

6.3.3…………………5

接入控制规则

6.4………………………6

用户接入控制规则

6.4.1……………6

分组接入控制规则

6.4.2……………6

终端隔离与补救规则

6.4.3…………7

接入控制管理

6.5………………………7

统一接入安全管理

6.5.1……………7

接入用户管理

6.5.2…………………7

安全策略管理

6.5.3…………………7

安全审计管理

6.5.4…………………7

信息安全交换

7……………8

信息安全交换需求

7.1…………………8

信息安全隔离需求

7.1.1……………8

信息安全共享需求

7.1.2……………8

交换策略定制需求

7.1.3……………8

交换数据安全性需求

7.1.4…………9

交换行为监管需求

7.1.5……………9

信息安全交换模式

7.2…………………9

定制数据安全交换模式

7.2.1………………………9

Ⅰ

GB/Z242942—2017

.

数据流安全交换模式

7.2.2…………10

定制数据安全交换模式技术要求

7.3…………………11

定制交换策略

7.3.1…………………11

定制数据安全交换适配

7.3.2………………………11

交换数据内容安全

7.3.3……………11

交换进程安全

7.3.4…………………11

交换网络连接安全

7.3.5……………12

交换行为审计

7.3.6…………………12

数据流安全交换模式技术要求

7.4……………………12

数据流源认证

7.4.1…………………12

数据流完整性验证

7.4.2……………13

数据流内容检测

7.4.3………………13

Ⅱ

GB/Z242942—2017

.

前言

信息安全技术基于互联网电子政务信息安全实施指南分为个部分

GB/Z24294《》4:

第部分总则

———1:;

第部分接入控制与安全交换

———2:;

第部分身份认证与授权管理

———3:;

第部分终端安全防护

———4:。

本部分为的第部分

GB/Z242942。

本部分按照给出的规则起草

GB/T1.1—2009。

本部分部分代替信息安全技术基于互联网电子政务信息安全实施指南与

GB/Z24294—2009《》,

相比主要技术变化如下

GB/Z24294—2009,:

给出了接入控制组成结构与实施办法

———;

对接入控制功能网络适应性提出了新的基本要求详细细化了接入认证接入控制规则以及

———、,、

接入控制管理要求更加适合电子政务安全接入控制需求

,;

针对安全交换补充了信息安全交换模式分类

———;

针对安全交换补充了定制数据安全交换模式技术要求和数据流安全交换模式技术要求

———。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本部分由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本部分起草单位解放军信息工程大学中国电子技术标准化研究所北京天融信科技有限公司郑

:、、、

州信大捷安信息技术股份有限公司

。

本部分主要起草人陈性元杜学绘孙奕夏春涛曹利峰张东巍任志宇罗锋盈上官晓丽

:、、、、、、、、、

董国华

。

本部分所代替标准的历次版本发布情况为

:

———GB/Z24294—2009。

Ⅲ

GB/Z242942—2017

.

引言

互联网作为我国电子政务的重要信息基础设施尽管提高了办公的效率节约了资源与成本但是

,,,

互联网的开放性接入用户接入终端接入手段的多样化电子政务系统的安全要求与电子政务系统的

,、、,

开放性之间的矛盾等将使得电子政务系统面临着非法接入非授权访问信息无法安全共享等安全问

,、、

题应该引起高度重视为确保政务用户能够合法接入互联网电子政务系统安全区域防止非法接入与

,。,

非授权访问以及域间信息安全交换特制定本部分推动互联网在我国电子政务中的安全应用

,,。

本部分提出了安全接入与安全交换两个阶段的安全功能要求对基于互联网电子政务信息安全系

,

统结构设计网络接入方式信息安全共享提供指导本部分首先对分域控制与域间信息安全交换模式

、、。

进行描述然后分别从接入控制和信息安全交换技术两个阶段进行描述在接入控制阶段首先对接入

,。,

控制模式进行了描述明确了接入控制的组成功能以及接入方式的要求接着对接入认证分域控制要

,、;、

求进行了规范明确了接入认证接入设备功能等要求并描述了分域控制实施细则最后对接入控制规

,、,;

则接入管理进行了描述明确了不同情况下接入控制策略以及安全管理要求在安全交换阶段首先

、,。,

对互联网电子政务信息安全交换的安全需求进行描述明确了基于互联网电子政务信息安全交换的模

;

式然后分别对在定制数据安全交换模式和数据流安全交换模式下实施信息安全交换的关键环节提出

;

相关要求

。

本部分主要适用于没有电子政务外网专线或没有租用通信网络专线条件的组织机构基于互联网

,

开展非涉及国家秘密的电子政务建设当建设需要时可根据安全策略与电子政务外网进行安全对接

,,。

Ⅳ

GB/Z242942—2017

.

信息安全技术

基于互联网电子政务信息安全实施指南

第2部分接入控制与安全交换

:

1范围

的本部分明确了互联网电子政务分域控制的两个阶段在接入控制阶段对接入控制

GB/Z24294,,

结构接入安全设备功能接入认证接入控制规则接入控制管理等方面给出指南性建议要求在安全

、、、、;

交换阶段对安全交换模式定制数据安全交换要求数据流安全交换要求给出指南性建议要求

,、、。

本部分适用于没有电子政务外网专线或没有租用通信网络专线条件的组织机构基于互联网开展

,

不涉及国家秘密的电子政务安全接入控制策略设计工程实施与系统研发为管理人员工程技术人员

、,、、

信息安全产品提供者进行信息安全规划与建设提供管理和技术参考涉及国家秘密或所存储处理

。,、、

传输信息汇聚后可能涉及国家秘密的按照国家保密规定和标准执行

,。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件