DB32T 4617.2-2023 电子政务外网 5G平面和IPv6网络技术规范 第2部分：5G平面安全要求　　

电子政务外网5G平面和IPv6网络技术规范第2部分：5G平面安全要求发出布版发出布版江苏省市场监督管理局Ⅰ前言 Ⅲ引言 2规范性引用文件 3术语和定义 4缩略语 5基本要求 6安全技术框架 7终端安全 8边界安全 9监测管理 9.1安全监测 9.2管理审计 Ⅲ本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。本文件是DB32/T4617《电子政务外网5G平面和IPv6网络技术规范》的第2部分。DB32/T4617已经发布了以下部分：——第1部分：5G平面网络建设；——第2部分：5G平面安全要求；——第3部分：IPv6部署要求；——第4部分：IPv6地址及路由规划。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江苏省政务服务管理办公室提出并归口。本文件起草单位：江苏省大数据管理中心。Ⅳ电子政务外网是数字政府建设的重要基础底座，是政府数字化转型的重要基础支撑。开展电子政务外网5G平面和IPv6网络建设能够强化提升电子政务外网高效、泛在、安全的承载能力和业务保障能力，推动各类政务应用创新发展，提高政务数字化、智能化水平。DB32/T4617《电子政务外网5G平面和IPv6网络技术规范》是指导江苏省电子政务外网5G平面和IPv6网络建设的基础性、通用性标准，由四个部分构成。——第1部分：5G平面网络建设。目的在于规范和指导江苏省电子政务外网5G平面网络建设；——第2部分：5G平面安全要求。目的在于规范和指导江苏省电子政务外网5G平面安全建设；——第3部分：IPv6部署要求。目的在于规范和指导江苏省电子政务外网IPv6部署；——第4部分：IPv6地址及路由规划。目的在于规范江苏省电子政务外网IPv6地址及路由规划。1电子政务外网5G平面和IPv6网络技术规范第2部分：5G平面安全要求本文件规定了电子政务外网（以下简称“政务外网”）5G平面的基本要求、安全技术框架、终端安全、边界安全、监测管理要求。本文件适用于政务外网管理机构、接入部门、设计单位对5G平面安全进行规划、建设和管理。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求GB/T25070信息安全技术网络安全等级保护安全设计技术要求YD/T36285G移动通信网安全技术要求DB32/T3514.1电子政务外网建设规范第1部分：网络平台DB32/T4617.1电子政务外网5G平面和IPv6网络技术规范第1部分：5G平面网络建设3术语和定义DB32/T3514.1、DB32/T4617.1界定的术语和定义适用于本文件。4缩略语下列缩略语适用于本文件。TLS：安全传输层协议（TransportLayerSecurity）2DB32/T4617.2—20235.1政务外网5G平面应符合GB/T22239、GB/T25070中网络安全等级保护第三级相关要求。5.3政务外网5G平面应通过部署不同网络切片、政务专用UPF等5.5运营商5G网络的安全架构、安全功能以及相关安全流程等应符合YD/T36285.6政务外网5G平面建设应符合自主可控相关要求。入侵防范入侵防范接入认证基础安全数据隔离安全监测管理审计访问控制病毒防护图1政务外网5G平面安全防护体系37终端安全7.1应采用政务外网专用SIM卡，满足关闭语音、关闭短信、关闭互联网访问、定向短信、定向数据访问等安全要求。运营商应对入网的专用SIM卡进行一次认证，并使用专用DNN承载。7.2终端IP地址应固定分配，不应配置地址转换。地址分配记录应至少保存6个月。7.35G接入网关应能够对下联设备进行接入认证，包括Portal认证、MAC认证、802.1x认证、VPN拨号认证等。7.4对于敏感的业务数据访问，应采用沙箱等技术实现终端数据隔离，防止终端数据泄露。8边界安全8.1应部署认证服务平台对终端进行二次认证，认证内容包括DNN，SIM卡信息（IMSI、MSISDN设8.2应基于角色、SIM卡信息（IMSI、MSISDN）或者设备信息（IMEI）进行访问控制，授予最小访问权限，并对终端环境进行持续检测和评估，根据评估情况动态调整其访问权限。8.3应对非授权终端接入政务外网进行检查、限制。8.4边界安全设备应支持对SRv6、网络切片报文的安全解析，宜支持SRv6三层转发。8.5应检测、防止和限制从运营商网络发起的网络攻击行为。当检测到攻击行为时，应记录攻击源IP、攻击类型、攻击目标、攻击时间。在发生严重入侵事件时，应及时告警。8.6应对恶意代码进行检测和清除，并定期进行恶意代码库的升级与更新。8.7应支持对TLS等常用协议加密流量进行检测，满足网络对加密流量的防护需求。9监测管理9.1安全监测安全监测具体要求如下：a）应对通过5G平面接入政务外网的业务流量进行动态监测，实现安全态势感知和安全趋势分析；b）应对5G终端访问行为进行持续监测，分析异常情况并动态调整其访问权限；c）应对监测结果按照重要程度、影响范围等进行分级别预警，并提供预警涉及的终端、SIM卡、安全风险等内容；d）应在网络边界对监测发现的威胁进行处置，实现近源阻断，避免威胁扩散；e）运营商应实时向政务外网运行管理机构同步政务外网5G平面的安全态势情况；f）监测数据应至少保存6个月。9.2管理审计管理审计具体要求如下：a）应对安全资产、安全事件、安全策略等安全相关事项进行统一管理；b）应支持对终端行为