电子政务外网政务部门外联改造技术指南

电子政务外网政务部门外联改造技术指南范围本规范规定了电子政务外网政务部门总体改造要求、改造思路、终端区改造、服务器区改造等内容。本标准适用于指导全省各级政务部门通过最小化改造，杜绝电子政务外网异常外联情况的出现，规范政务部门网络边界，满足安全隔离要求。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GW0205-2014《国家电子政务外网跨网数据安全交换技术要求与实施指南》GW0206-2014国家电子政务外网标准《接入政务外网的局域网安全技术规范》GW0207-2015国家电子政务外网IPv4地址地方分配部署指南DB34/T3607-2020XX省地方标准《电子政务外网政务部门接入规范》术语和定义下列术语和定义适用于本文件。终端terminal是政务部门局域网用户使用的台式办公电脑或便携式办公电脑，主要用于访问业务系统。终端区terminalarea是终端所在的区域，根据默认访问需求分为互联网区、电子政务外网区、专网区。服务器server是政务部门局域网内具备承担服务并且保障服务的能力的设备，主要用于业务系统发布。业务区servicearea是服务器所在的区域，根据业务发布地址分为互联网区、电子政务外网区、专网区。异常外联abnormalexternalconnection是指政务部门局域网内的终端、服务器在电子政务外网上进行访问、发布时，产生直接连接到互联网上的异常外联行为。跨网数据安全交换系统crossnetworkdatasecurityexchangesystem是基于网闸和单向光闸技术，综合利用设备认证、格式检查等安全措施实现电子政务外网区服务器与其他区域之间数据同步的平台。异常外联场景终端异常外联场景一：互联网区、专网区终端异常外联到电子政务外网。局域网内互联网区交换机、专网区交换机直连政务外网核心交换机，导致互联网区、专网区终端访问电子政务外网的行为未通过边界防火墙进行逻辑隔离。场景二：电子政务外网区终端异常外联到互联网、专网。部署在电子政务外网区的终端通过无线、直连等方式连接到互联网，导致电子政务外网区终端访问互联网、专网的行为未通过边界防火墙进行逻辑隔离。服务器异常外联场景一：业务区服务器通过双网卡同时连接到电子政务外网和互联网（或专网）。业务区服务器未划分安全域，通过对两个网卡分别配置路由的方式，直接联通了电子政务外网和互联网（或专网），产生不安全性。场景二：业务区服务器已划分安全域，互联网区业务、专网区业务与电子政务外网区业务数据通过边界防火墙交互。总体改造要求（1）局域网的内部安全由本单位按照国家安全等级保护的相关要求进行防护。（2）局域网内应根据业务需求，对终端、服务器划分不同的内部安全域，并进行区域隔离及相应的安全防护。（3）局域网的政务外网出口边界，应根据业务需求，进行边界安全防护。（4）局域网内若有本地互联网出口，其安全防护能力应不低于政务外网出口。（5）终端跨网访问时，应采取必要的安全隔离措施。（6）局域网内应对无线接入进行安全防护与准入控制。（7）服务器跨网交换时，应采用网闸进行数据摆渡。外联改造指南改造思路政务部门可将局域网逻辑划分为电子政务外网区、互联网区、专网区，根据终端、服务器、无线AP的需求将其部署在对应区域。局域网的外部边界主要有电子政务外网接入、互联网接入、专网网络区接入三个边界，各区域边界处通过划分虚拟局域网VLAN，设置路由策略与交换机访问控制列表、部署防火墙、部署网闸等措施实施不同强度的逻辑隔离防护。政务部门电子政务外网区与互联网区边界处部署示例见图1。图1政务部门电子政务外网区与互联网区边界处部署示例终端区改造指南同一终端、同一时间只能访问一个网络区域，且应实现网络隔离、会话隔离和数据隔离。各级政务部门局域网内应实现政务外网终端准入控制、终端网络隔离、终端数据隔离及终端安全防护。（1）终端准入控制包括身份认证、安全检查和资源访问控制，接入政务外网的用户终端应具备唯一标识，使用双因素进行身份认证，基于用户设置最小的资源访问控制授权。（2）终端获得准入授权后通过安全隧道访问政务外网，不能同时访问其他网络。（3）对于敏感的业务数据访问，可采用沙箱、桌面云等技术实现政务外网终端数据隔离。（4）终端安全防护包括恶意代码防范、终端入侵防护、非法外联控制、安全基线检查、漏洞监测修复、数据安全防护、终端软件/补丁、资产管理等。业务区改造指南业务区分为互联网区、电子政务外网区和专网区。各单位应分区部署互联网区、电子政务外网区和专网区业务，互联网区部署的业务仅面向互联网提供服务，电子政务外网区部署