《信息安全技术 政府部门互联网安全接入要求 第1部分：基本要求》

ICS35.040

L80

中华人民共和国国家标准

GB/TXXXXX.1—XXXX

信息安全技术政府部门互联网安全接入要

求第1部分：基本要求

InformationsecuritytechnologyRequirementsforgovernmentdepartmentsecure

Internetconnection—Part1:Generalrequirements

（草案）

（本稿完成日期：2014-4-30）

XXXX-XX-XX发布XXXX-XX-XX实施

GB/TXXXXX.1—XXXX

目次

前言.................................................................错误！未定义书签。

引言.................................................................................II

信息安全技术政府部门互联网安全接入要求第1部分：基本要求............................1

1范围................................................................................1

2规范性引用文件......................................................................1

3术语、定义和缩略语..................................................................1

3.1术语和定义......................................................................1

3.2缩略语..........................................................................2

4互联网安全接入模型..................................................................3

4.1组成与功能......................................................................3

4.2角色与职责......................................................................5

4.3安全接入形式....................................................................5

5安全接入口要求......................................................................6

5.1安全接入口的设立................................................................6

5.2流量汇聚........................................................................6

5.3安全管理与防护..................................................................7

5.4网络接入.......................................................................10

5.5联动代理.......................................................................11

I

GB/TXXXXX.1—XXXX

引言

随着现代信息技术的快速发展，互联网在政府各部门得到了广泛应用，对于政府部门履行社会管理

和公共服务职能，加强政府有效管理，促进政府职能转变，提高行政办事效率和管理水平，推动政务公

开发挥重要作用。与此同时，目前政府部门互联网安全管理还存在薄弱环节，管理制度尚不完善，缺乏

统一的规划和标准，各部门接入互联网的入口数量众多,安全防护水平参差不齐,互联网接入成为信息安

全管理中的薄弱环节和“短板”，使政府部门信息安全面临新的威胁和风险。因此，迫切需要规范政府

部门互联网接入工作，减少互联网入口数量，增强互联网接入的安全防护能力，提高政府部门信息系统

的防攻击、防篡改、防恶意代码、防瘫痪和防窃密能力。

为推进政府部门互联网安全接入工作，特制定本要求,用于指导政府部门建设互联网安全接入口，

选择合适的第三方服务商，并实现政府部门和政府信息安全主管部门的安全管理与防护的联动。

II

GB/TXXXXX.1—XXXX

信息安全技术政府部门互联网安全接入要求第1部分：基本要求

1范围

GB/TXXXXX的第1部分规定了政府部门网络接入互联网的安全接入模型，并规定了政府部门接入互

联网的安全接入口要求。

本部分适用于政府部门建设安全接入口和互联网数据中心业务提供商建设安全接入口的技术指导。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

GB/TXXXXX.2-XXXX信息安全技术政府部门互联网安全接入要求第2部分：第三方服务商选择要求

GB/TXXXXX.3-XXXX信息安全技术政府部门互联网安全接入要求第3部分：网络安全监测服务接口

技术规范

3术语、定义和缩略语

3.1术语和定义

GB/T25069-2010中界定的术语和定义适用于本文件。

3.1.1

政府部门联网终端（联网终端）governmentdepartmentInternetterminal

政府部门内部可以访问互联网的计算机等设备。

3.1.2

政府部门联网信息系统（联网信息系统）governmentdepartmentInternetinformationsystem

政府部门接入互联网并且提供政务业务服务的应用系统。

3.1.3

互联网数据中心业务提供商Internetdatacenterserviceprovider

利用相应的机房设施，以外包出租的方式为政府部门联网信息系统提供放置、代理维护、系统配置

及管理服务，以及提供数据库系统或服务器等设备的出租及其存储空间的出租，通信线路和出口带宽的

代理租用和其他应用服务的业务运营者。

3.1.4

互联网服务提供商Internetserviceprovider

1

GB/TXXXXX.1—XXXX

利用接入服务器和相应的软硬件资源建立业务节点，并利用公共电信基础设施将业务节点与互联网

骨干网相连接，为政府部门网络提供接入互联网服务的业务运营者。

3.1.5

政府部门网络governmentdepartmentnetwork

政府部门的全部联网终端、本地建设的联网信息系统、托管在互联网数据中心业务提供商的联网信

息系统以及相关网络设施，可以由分布在不同物理区域的部分网络组成。

3.1.6

互联网安全接入secureInternetconnection

政府部门网络在采用通信线路接入互联网服务提供商网络时，满足规定的安全技术要求，具备对互

联网接入的安全防控和管理能力。

3.1.7

互联网安全接入口（安全接入口）secureInternetconnectionportal

政府部门网络接入互联网的连接系统，具有流量汇聚、安全管理与防护、网络接入及联动代理等功

能。政府部门网络必须通过安全接入口接入互联网。

3.1.8

政府部门互联网接入链路（互联网接入链路）governmentdepartmentInternetconnectionlink

从安全接入口到互联网的物理链路。

3.1.9

网络安全监测服务系统cybersecuritymonitoringandservingsystem

政府网络信息安全主管部门所运行管理的，为接入互联网的政府部门网络提供网络安全监测服务的

系统。

3.1.10

联动代理linkageagent

与网络监测服务系统联动对接的安全接入口数据通信代理设施，负责安全接入口的相关设备（包含

安全防护、安全管理、日志服务器等设备）与网络监测服务系统之间的联动数据交换。

3.1.11

网络安全监测服务接口cybersecuritymonitoringandservinginterface

安全接入口联动代理与网络安全监测服务系统之间的接口。

3.2缩略语

ARP地址解析协议（AddressResolutionProtocol）

CMSI网络安全监测服务接口（CybersecurityMonitoring&ServingInterface）

CMSS网络安全监测服务系统（CybersecurityMonitoring&ServingSystem）

DDN数字数据网（DigitalDataNetwork）

DNS域名系统（DomainNameSystem）

2

GB/TXXXXX.1—XXXX

DoS拒绝服务（DenialofService）

FTP文件传输协议（FileTransferProtocol）

HTTP超文本传送协议（HypertextTransferProtocol）

IMAP交互式邮件存取协议（InternetMailAccessProtocol）

IP互联网协议（InternetProtocol）

IPv4互联网协议第4版（InternetProtocolversion4）

ISP互联网服务提供商（InternetServiceProvider）

LA联动代理（InteractLinkageAgent）

MAC媒体访问控制（MediaAccessControl）

MD5消息摘要算法第5版（Message-DigestAlgorithm5）

NAT网络地址转换（NetworkAddressTranslation）

NTP网络时间协议（NetworkTimeProtocol）

POP3邮局协议第3版（PostOfficeProtocol3）

QoS服务质量（QualityofService）

SICP互联网安全接入口（SecureInternetConnectionPortal）

SMTP简单邮件传送协议（SimpleMailTransferProtocol）

URL统一资源定位器（UniformResourceLocator）

VPN虚拟专用网络（VirtualPrivateNetwork）

4互联网安全接入模型

4.1组成与功能

互联网安全接入模型规定了政府部门网络安全接入互联网时各相关部门及其系统的相互关系，它应

由政府部门网络、安全接入口、网络安全监测服务系统、互联网服务提供商网络和互联网数据中心业务

提供商网络等相关部分构成，见图1。

3

GB/TXXXXX.1—XXXX

图1互联网安全接入模型

4.1.1政府部门网络

政府部门网络可以分布在不同物理区域，如图1中的物理区域1、物理区域2和物理区域3。联网信息

系统可在本地建设，也可托管于互联网数据中心业务提供商，如托管联网信息系统1和托管联网信息系

统2。

4.1.2安全接入口

安全接入口应具备流量汇聚、安全管理与防护、网络接入和联动代理等四个功能：

a)流量汇聚功能应将政府部门网络中所有访问互联网的网络流量进行汇聚，实施统一的安全管

理。流量汇聚应实现对政府部门网络的线路整合、流量归并与数据传输。如果政府部门网络有

多个出口接入互联网，在接入互联网之前应进行流量汇聚。

4

GB/TXXXXX.1—XXXX

b)安全管理与防护功能应包括流量分析、访问控制、入侵检测与防御、接入行为监控、恶意代码

防护、漏洞扫描、补丁升级和设备防护等功能，并通过收集网络安全事件和数据，实现权限管

理、威胁预警、事件处置、日志留存、安全审计和设备管理等功能。

c)网络接入功能可通过交换、路由和负载均衡等设备，经互联网接入链路实现与互联网服务提供

商网络的物理连接。对于互联网服务提供商的选择要求见GB/TXXXXX.2—XXXX。

d)联动代理功能应实现安全接入口与网络安全监测服务系统的联动对接，包括安全接入口的安全

防护、安全管理设备与网络安全监测服务系统之间的联动数据交换。

安全接入口应首先将政府部门网络的网络流量进行汇聚，然后对流量进行分析，并实现安全管理与

防护功能，最后通过互联网服务提供商实现网络接入，在实现安全管理与防护功能的过程中，可通过联

动代理与网络安全监测服务系统进行数据交换和协同工作。

4.1.3网络安全监测服务系统

网络安全监测服务系统应通过CMSI接口与各安全接入口的联动代理连接，提供终端状态信息汇总、

网络攻击特征下发、网络安全事件下发、网络安全态势预警信息下发、网络安全自主监测事件上报、终

端恶意代码特征下发及查询、网络安全事件NAT日志查询等功能。联动代理与网络安全监测服务系统的

接口流程见GB/TXXXXX.3—XXXX。

4.1.4互联网服务提供商网络和互联网数据中心业务提供商网络

互联网服务提供商网络是互联网服务提供商利用自身的接入服务器和相应的软硬件资源建立的业

务节点网络，并与互联网骨干网相连，为政府部门网络提供互联网接入服务。互联网数据中心业务提供

商网络是为政府部门网络中托管的联网信息系统提供空间托管、主机托管等服务的互联网数据中心的网

络，该网络通过安全接入口连接到互联网服务提供商网络，最终接入互联网。

对于互联网服务提供商和互联网数据中心业务提供商的选择要求在GB/TXXXXX.2—XXXX提出。

4.2角色与职责

本模型中共涉及四种角色：政府部门、政府网络信息安全主管部门、互联网服务提供商和互联网数

据中心业务提供商。政府部门应根据自身网络情况，建设政府部门网络接入互联网的安全接入口，如图

1中的安全接入口1；政府网络信息安全主管部门负责建设网络安全监测服务系统，通过安全接入口的联

动代理与政府部门进行联动；互联网服务提供商应为政府部门网络提供互联网接入服务；互联网数据中

心业务提供商应为政府部门的托管联网信息系统提供托管服务，并应建设用于托管联网信息系统接入互

联网的安全接入口，如图1中的安全接入口2。

4.3安全接入形式

针对政府部门网络的不同形式，通过安全接入口实现安全接入的方式应有三种：

e)对于联网终端和联网信息系统都在本地建设的政府部门网络（如图1的物理区域1），其接入

方式应为：联网终端和联网信息系统通过政府部门自行建设的安全接入口（如图1的安全接入

口1）连接到互联网；

f)对于部分联网信息系统托管于互联网数据中心业务提供商网络的政府部门网络（如图1的物理

区域2和托管联网信息系统2），如果托管的联网信息系统直接通过互联网数据中心业务提供

商网络连入互联网，则接入方式应为：将该联网信息系统通过互联网数据中心业务提供商建设

的安全接入口（如图1的安全接入口2）接入互联网。

g)对于部分联网信息系统托管于互联网数据中心业务提供商网络的政府部门网络（如图1的物理

区域3和托管联网信息系统1），如果托管的联网信息系统并不直接从互联网数据中心业务提

5

GB/TXXXXX.1—XXXX

供商网络连入互联网，则接入方式应为：先将该联网信息系统通过专线接入本地的政府部门网

络，再通过政府部门自行建设的安全接入口（如图1的安全接入口1）连接到互联网；

5安全接入口要求

5.1安全接入口的设立

本项要求包括：

a)政府部门网络应通过安全接入口接入互联网。

b)安全接入口的相关设备应放置在机房的独立区域，不得与其他单位或组织共用接入设备。

c)安全接入口的总数应限制在2个以内（含2个），托管信息系统的安全接入口不计入在内。

5.2流量汇聚

本项要求包括：

a)应对政府部门网络的各物理区域的互联网流量进行汇聚，根据政府部门网络的分布情况不同，

可分别采用专线或VPN方式进行流量汇聚。

b)物理区域集中的情况。对于物理区域位于同一楼宇或同一园区内的政府部门网络，可直接设立

1－2个安全接入口，见图2。

图2集中办公汇聚方案

c)物理区域分散的情况。对于物理区域位于不同地理位置的政府部门网络，可使用以下两种方案

实现网络汇聚，再统一设置1－2个安全接入口：

1)专线接入模式：通过DDN、帧中继、以太网、光纤直连等专线方式进行汇聚，应通过访问

控制措施阻断除汇聚流量之外的其他所有通信协议流量，见图3。如采用租用互联网服务

提供商的专线进行流量汇聚，必须选择符合本要求第2部分要求的互联网服务提供商。

图3专线接入方案

2)VPN接入模式：通过VPN方式进行汇聚，见图4。采用VPN方式进行流量汇聚时，应通过

访问控制措施阻断除VPN流量之外的所有其他通信协议流量，并选择符合国家密码主管部

门要求的商用密码产品进行VPN组网。

6

GB/TXXXXX.1—XXXX

图4VPN接入方案

5.3安全管理与防护

5.3.1流量分析

本项要求包括：

a)应能实时监测和分析信息系统的网络流量，发现流量异常事件，包括：1）流量激增、骤降、

波动；2）恶意扫描、拒绝服务攻击；3）与恶意服务器有可疑连接等。

b)应监控安全接入口总流量、每个IP流量。

c)应能够通过IP地址、网络服务、应用类型、时间和协议类型等参数或其组合进行流量统计分

析。

d)应能支持90d内历史流量详细记录(包括但不限于源地址、目标地址、源端口、目标端口、协

议类型、时间)回溯。

5.3.2访问控制

本项要求包括：

a)应实现互联网与政府部门网络之间的访问控制，采取技术手段控制网络访问权限。

b)应能根据会话状态信息为数据流提供明确的允许/拒绝访问的能力。

c)应在会话处于非活跃状态一定时间后或会话结束后终止网络连接。

d)应能根据用户标识为数据流提供明确的允许/拒绝访问的能力。

e)应能实时查看政府部门用户互联网访问行为的详细信息，包括在线流量、最新速率、网络会话

信息会话数、上线时间等信息。

f)应具备限制互联网各类应用最大流量数及网络连接数的能力。

g)应能对主流应用协议进行识别，包括但不限于HTTP、FTP、TELNET等，并可根据应用类型和应

用内容进行细粒度控制。

h)应按最小安全访问原则设置网络设备的访问控制权限。

5.3.3入侵检测与防御

本项要求包括：

a)应采用入侵检测/入侵防御技术实现对互联网攻击行为的检测和阻断。

b)应制订合理的入侵检测/入侵防御安全策略，并定期（每月不能少于一次）进行安全事件分析

和安全策略配置优化。

c)应对流经安全接入口的数据包进行监测并分析，发现并记录违反安全策略行为和攻击行为，包

括但不限于：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎

片攻击、ARP攻击、WEB攻击等。

d)应能防范来自互联网的DoS/DDoS攻击，可参考的加固措施包括但不限于：与电信运营商签署

DoS/DDoS防护协议，使用DoS/DDoS防护设备等。

7

GB/TXXXXX.1—XXXX

e)应能在入侵发生时进行自动防御或提供告警信息，告警信息内容包括但不限于：攻击源IP、

攻击类型、攻击目标和攻击时间。

f)应及时更新检测规则，以快速应对新型网络攻击和零日攻击，更新周期不得长于7d。

g)入侵检测与防御系统本身应具有抗攻击能力。

5.3.4接入行为监控

本项要求包括：

a)应能够对联网终端的接入互联网行为进行监控和审计。

b)应能够及时发现、准确定位和有效阻断联网终端未经准许不通过安全接入口联到互联网的行

为。

c)应禁止外部终端通过安全接入口连接政府部门内部网络。如果政府部门有面向互联网提供公共

服务的信息系统，应采用符合本部分要求的访问控制机制与内部网络进行有效隔离。

d)应能够通过物理接入点、计算机MAC地址等物理因素将联网终端限定在指定物理区域内。

e)应能够实现政府部门联网终端接入互联网的用户身份鉴别，应支持多种身份鉴别方式，包括但

不限于：证书、口令、证书与口令结合等。其中口令设置应有复杂度要求（如由字母、数字、

特殊字符混合组成，长度不少于8位等）。更新周期不长于6个月。同时应提供登录失败处理

功能，对非法登录次数超过5次的，采取冻结身份标识和自动退出等措施。

f)应定期（每月不能少于一次）检查并及时清理无效的联网终端接入互联网用户，确保身份标识

的唯一性和认证信息的准确性。

g)应能够对联网终端数量、存活状态、IP地址、主机名、MAC地址、用户信息进行管理。

5.3.5恶意代码防护

本项要求包括：

a)应能检测和清除安全接入口设备上的恶意代码。

b)应能检测和阻断安全接入口内的恶意代码的传播。

c)应能实时监测流经安全接入口的数据包（包括但不限于HTTP、FTP、SMTP、POP3等常见网络协

议），根据数据包来源、目的、内容等特征进行分析，检测发现恶意代码或被恶意代码感染的

文件。

d)应能支持对主流的压缩格式（如ZIP、RAR等）文件进行恶意代码检测和处理。

e)应能发出恶意代码告警信息，告警信息包括但不限于：文件名、恶意代码名、源IP地址、目

的IP地址等。

f)应支持恶意代码策略和告警信息的统一管理，并留存恶意代码检测日志记录，检测日志留存时

间不少于90d。

g)恶意代码特征库应定期升级，更新周期不长于7d。

5.3.6漏洞扫描和补丁升级

本项要求包括：

a)应及时发现已公开的安全漏洞并进行修补，延迟时间不超过7d。

b)漏洞扫描结果应能及时上报，上报延迟时间不超过1min。

c)漏洞库应及时更新，更新延迟时间不超过7d。

d)应及时更新补丁程序，并对系统变更进行记录。

e)应在补丁进入实际运行环境前先行在测试运行环境进行验证。

8

GB/TXXXXX.1—XXXX

5.3.7设备防护

本项要求包括：

a)关键设备应存放在安全区域，应使用相应的安全防护设备和准入控制手段以及有明确标志的安

全隔离带。

b)应采用两种或两种以上组合的鉴别技术对设备管理人员进行身份鉴别。设备管理人员的标识应

唯一，身份鉴别信息应具有不易被冒用的特点，口令应有复杂度要求（应由字母、数字、特殊

字符混合组成，长度不少于8位）并且定期更换，更新周期不长于6个月。

c)应具有登录失败处理功能，可限制失败登录次数、IP地址或登录账号时间等措施。

d)应更改设备的初始密码，并对默认设置进行安全优化。

e)设备管理人员的登录地址应进行限制。

f)设备应仅开启必需的服务和端口。

g)设备的配置文件应定期进行备份，定期备份频率不低于1次/月。发生变动前后应及时备份，

确保备份配置文件的安全性。

h)应对关键设备(如路由器、核心交换机、防火墙等)进行备份。应根据需求对关键设备采取电源

备份。应有经过完整测试和演练的关键设备备份恢复预案。

i)应禁用不需被远程管理的网络设备的远程维护功能并关闭相应端口。

5.3.8权限管理

本项要求包括：

a)应加强关键设备和系统的配置管理，配置变更应经过相关人员的书面认可或同意。

b)应对管理人员按最小授权原则进行权限划分。

c)应能按照角色配置不同管理人员权限，管理人员间的权限应能够相互制约，避免权限过于集中。

5.3.9威胁预警

本项要求包括：

a)应能够将不同来源、不同类型的实时数据进行关联分析，检测发现异常事件。

b)应能够在历史数据中，将不同来源、不同类型的数据进行场景分析，检测发现并回溯异常事件。

c)应能向主管部门及用户发出预警信息。

d)应能够接收国家权威网络信息安全管理和协调机构以及其他网络安全组织的预警支持。

5.3.10事件处置

本项要求包括：

a)应能够及时向相关主管部门报告网络安全事件，安全事件发生后按相关预案和要求及时上报。

b)应遵循完善的网络安全事件应急处置工作流程与操作规范，对安全事件按相关预案和要求及时

启动处置流程。

c)应具备7×24h安全响应能力，能够及时响应网络攻击或其它紧急情况。

d)应具备有效的外部攻击事件处置能力，提供实时攻击源IP地址列表和攻击类型分析等。

e)应具备有效的内部异常事件处理能力，能够定位异常行为的类型、影响范围和发生源头，并能

够分析发生异常的原因。

f)应具备攻击事件取证能力，能够提供90d内的证据材料，包括：被攻击的历史流量记录、异常

流量发生时间、主要流量分布和统计等。

5.3.11日志留存

9

GB/TXXXXX.1—XXXX

本项要求包括：

a)各设备应通过网络时间协议（NTP）对时间进行同步，保证日志时间戳的一致性。

b)应保存网络设备、安全防护设备的配置文件数据、配置修改记录，应具备对网络设备、安全防

护设备的配置数据进行追溯的能力。

c)应保存网络设备、安全防护设备的系统日志，应具备对网络通信事件、网络安全事件进行追溯

的能力。

d)应保存NAT用户日志，包括源IP地址、源端口、转换后的源IP地址、转换后的源端口、目的

IP地址、目的端口和协议号等数据项，具备对NAT网络流量进行追溯的能力，具备支撑网络

安全事件的定位溯源能力。

e)应具备对日志数据的统一管理、检索和集中分析能力。NAT用户日志检索响应时间不超过5min，

其他类型日志检索响应时间不超过1min。

f)日志数据应集中存储，保存时间不少于90d。

5.3.12安全审计

本项要求包括：

a)应能够审计跟踪发生的网络通信事件和网络安全事件。

b)应能够对用户网络行为和网络传输数据包进行审计，并对审计信息进行加密存储。

c)应能对常见网络协议进行解析和审计，包括但不限于：HTTP、FTP、SMTP、POP3、IMAP、WEBMAIL、

TELNET、DNS等。

d)应支持基于用户名称的实名审计。

e)应对安全审计记录进行保护使其具备不可篡改性。

f)应具备90d以上的会话溯源与跟踪能力，保留网络安全事件相关数据180d以上。

5.3.13设备管理

本项要求包括：

a)应进行差异化的设备采购，减少单一设备提供商带来的安全风险。

b)关键设备上线前应实施安全测试和审查，由有资质的测试机构通过签订服务合同的形式代为完

成。

c)关键设备(如路由器、核心交换机、防火墙等)应进行统一配置管理，包括统一收集配置信息、

统一下发配置策略和软件版本管理等。

d)应能够监控安全接入口关键设备(如路由器、核心交换机、防火墙等)的安全状态，如CPU占用

率、会话数、端口流量等指标。

e)应能够统一收集安全接入口关键设备(如路由器、核心交换机、防火墙等)的运行日志，并能够

统一展示和分析，展示设备风险信息。

5.4网络接入

本项要求包括：

a)