DB34T4319-2022电子政务外网与非涉密业务专网互联规范

ICS35.240.01

CCSL67

34

安徽省地方标准

DB34/T4319—2022

电子政务外网与非涉密业务专网互联规范

SpecificationforinterconnectionbetweentheNEGNextranetandnon-secretprivate

network

2022-10-26发布2022-11-26实施

安徽省市场监督管理局发布

DB34/T4319—2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由安徽省数据资源管理局提出并归口。

本文件起草单位：安徽省大数据中心、安徽省自然资源信息中心、合肥市信息中心、中通服和信科

技有限公司。

本文件主要起草人：刘扬、张静、王悄、潘柳、胡飞、张明阳、刘兵、张海涛。

I

DB34/T4319—2022

电子政务外网与非涉密业务专网互联规范

1范围

本文件确立了电子政务外网与非涉密业务专网互联的基本要求，并规定了电子政务外网与敏感专

网、普通专网的互联要求和安全要求。

本文件适用于电子政务外网与同级政务部门的业务专网的互联。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20279信息安全技术网络和终端隔离产品安全技术要求

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T25069信息安全技术术语

GB/T25647电子政务术语

DB34/T3074电子政务外网IPv4地址规范

3术语和定义

GB/T25069和GB/T25647界定的以及下列术语和定义适用于本文件。

非涉密业务专网non-secretprivatenetwork

由政务部门建设管理的承载部门自身政务职能非涉密信息系统和数据的，与互联网之间隔离的专

用网络。

敏感信息sensitiveinformation

不涉及国家秘密，但与国家安全、经济发展、社会稳定，以及企业和公众利益密切相关的信息，这

些信息一旦未经授权纰漏、丢失、滥用、篡改或销毁可能损害国家社会公众利益或侵犯个人法定权益。

敏感信息系统sensitiveinformationsystem

采集、存储、处理或传输敏感信息的计算机信息系统。

敏感专网sensitiveprivatenetwork

承载敏感信息系统或敏感数据的非涉密业务专网。

普通专网generalprivatenetwork

不承载敏感信息系统和敏感数据的非涉密业务专网。

1

DB34/T4319—2022

4基本要求

非涉密业务专网的互联设施应满足与电子政务外网互联的要求。

非涉密业务专网的互联地址应符合DB34/T3074的要求。

电子政务外网与非涉密业务专网互联区的通信链路和关键设备应满足网间通信需要。

电子政务外网与非涉密业务专网互联区的网络安全应满足GB/T22239中三级等级保护要求。

5非涉密业务专网分类

非涉密业务专网分为敏感专网和普通专网。

6敏感专网互联要求

电子政务外网与敏感专网互联网络拓扑

电子政务外网与敏感专网互联的网络拓扑见图1。

12

汇聚控制区隔离交换区

电子政务

外网

敏感专网或

汇聚交换机

边界防火墙网络隔离产品网络单向导入产品核心交换机

安全防护区

恶意代码

访问控制入侵防范安全审计身份鉴别加密保护

防范

标引序号说明：

1——终端访问流量；

2——数据交换流量。

图1电子政务外网与敏感专网互联网络拓扑图

电子政务外网与敏感专网互联汇聚控制

6.2.1敏感专网边界设备应设置防火墙，通过汇聚交换机汇聚不同敏感专网链路，实现电子政务外网

与敏感专网之间的通信传输和访问控制。

6.2.2敏感专网应通过不同专用链路分别接入互联区的汇聚交换机的不同物理接口，并采用划分VLAN

或访问控制等手段将不同敏感专网进行逻辑隔离。

电子政务外网与敏感专网互联隔离措施

6.3.1应采用网络隔离产品或网络单向导入产品，实现数据交换或单向导入。

6.3.2宜使用内外交换服务器，采用设备认证、格式检查等安全措施，组成跨网数据安全交换系统，

实现电子政务外网与敏感专网的数据交换。

2

DB34/T4319—2022

6.3.3网络隔离产品和网络单向导入产品应符合GB/T20279的要求。

电子政务外网与敏感专网网间通信

6.4.1终端访问

敏感专网的终端发起访问请求，经认证通过后可单向访问电子政务外网的指定资源。电子政务外网

的终端不应访问敏感专网的资源。

6.4.2数据交换

电子政务外网的数据应单向交换至敏感专网。经敏感专网主管部门同意，可进行双向数据交换。

7普通专网互联要求

电子政务外网与普通专网互联网络拓扑

电子政务外网与普通专网互联的网络拓扑见图2。

12

汇聚控制区

隔离交换区电子政务

普通专网外网

汇聚交换机

边界防火墙隔离防火墙核心交换机

安全防护区

访问控制入侵防范安全审计

恶意代码

加密保护身份鉴别

防范

标引序号说明：

1——终端访问流量；

2——数据交换流量。

图2电子政务外网与普通专网互联网络拓扑图

电子政务外网与普通专网互联汇聚控制

参照6.2的规定执行。

电子政务外网与普通专网互联隔离措施

电子政务外网与普通专网应使用防火墙进行隔离。

电子政务外网与普通专网网间通信

3

DB34/T4319—2022

7.4.1终端访问

电子政务外网与普通专网之间应采用单向访问。经双方网络主管部门同意，可进行双向访问。

7.4.2数据交换

电子政务外网与普通专网之间应采用单向数据交换。经双方网络主管部门同意，可进行双向数据交

换。

8安全要求

访问控制

8.1.1应具备终端和系统之间的访问控制能力，控制粒度为单个地址或端口等。

8.1.2宜采用白名单的访问控制策略。

入侵防范

应对网络攻击行为进行检测、防止、限制、报警，并记录攻击源IP、目标、类型、时间等信息。

恶意代码防范

8.3.1应采用基于特征码匹配或其他方式，对恶意代码进行检测、告警和清除。

8.3.2应及时升级和更新恶意代码防护机制。

身份鉴别

8.4.1应基于用户名口令、IP地址绑定、数字证书等技术对跨网访问的用户进行身份认证。

8.4.2用户名口令复杂度应符合GB/T22239的要求。

8.4.3应对用户进行不同角色的授权。

安全审计

应对用户行为和安全事件等进行审计，审计记录应包括事件的时间、用户、事件类型等信息，审计

记录至少保留6个月。

加密保护

8.6.1对远程数据传输宜采取加密保护。

8.6.2使用的密码设备和密码算法应符合国家密码管理规定。

其他

宜部署监测探针等其他安全技术产品，将安全相关信息推送至安全监测平台。

4

DB34/T4319—2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由安徽省数据资源管理局提出并归口。

本文件起草单位：安徽省大数据中心、安徽省自然资源信息中心、合肥市信息中心、中通服和信科

技有限公司。

本文件主要起草人：刘扬、张静、王悄、潘柳、胡飞、张明阳、刘兵、张海涛。

I

DB34/T4319—2022

电子政务外网与非涉密业务专网互联规范

1范围

本文件确立了电子政务外网与非涉密业务专网互联的基本要求，并规定了电子政务外网与敏感专

网、普通专网的互联要求和安全要求。

本文件适用于电子政务外网与同级政务部门的业务专网的互联。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T20279信息安全技术