电子政务外网 5G平面和IPv6网络技术规范 5G平面安全要求

电子政务外网5G平面和IPv6网络技术规范5G平面安全要求范围本文件规定了电子政务外网（以下简称“政务外网”）5G平面的基本要求、安全技术框架、终端安全、边界安全、监测管理要求。本文件适用于政务外网管理机构、接入部门、设计单位对5G平面安全进行规划、建设和管理。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求GB/T25070信息安全技术网络安全等级保护安全设计技术要求GB/T35282信息安全技术电子政务移动办公系统安全技术规范YD/T36285G移动通信网络安全技术要求DB32/T3514.1电子政务外网建设规范第1部分：网络平台DB32/TXXXX电子政务外网5G平面和IPv6网络技术规范第1部分：5G平面网络建设术语和定义DB32/T3514.1、DB32/TXXXX《电子政务外网5G平面和IPv6网络技术规范第1部分：5G平面网络建设》界定的术语和定义适用于本文件。缩略语下列缩略语适用于本文件。5G：第五代移动通信技术（5thGeneration）DNN：数据网络名称（DataNetworkName）IMSI：国际移动用户识别码（InternationalMobileSubscriberIdentity）IMEI：国际移动设备标识（InternationalMobileEquipmentIdentity）ISDN：综合业务数字网（IntegratedServicesDigitalNetwork）MAC：媒体接入控制（MediaAccessControl）MSISDN：移动台国际ISDN号码（MobileSubscriberISDNNumber）SIM：

用户身份模块（SubscriberIdentityModule）SRv6：基于IPv6的段路由（SegmentRoutingoverIPv6）TLS：安全传输层协议（TransportLayerSecurity）UPF：用户面功能（UserPlaneFunction）VPN：虚拟专用网络（VirtualPrivateNetwork）基本要求政务外网5G平面应符合GB/T22239、GB/T25070等网络安全等级保护第三级相关要求。政务外网5G平面应具备抵御各类安全风险的能力，包括但不限于：防止恶意攻击；及时发现、检测攻击行为，并进行处置；发现重要的安全漏洞，并进行修复；自身遭到损害时能够迅速恢复核心能力。政务外网5G平面应通过部署不同网络切片、政务专用UPF等方式，确保政务5G终端访问政务外网和运营商互联网隔离。政务专用UPF设备、边界安全防护设备、5G专用接入设备和通信线路应具备冗余能力，避免单点故障，保证系统的可用性。运营商5G网络的安全架构、安全功能以及相关安全流程等应符合YD/T3628的要求。政务外网5G平面建设应符合自主可控相关要求。安全技术框架政务外网5G平面和固网平面一体化融合，安全技术框架如图1所示，包括：终端安全：对接入5G平面的各类终端进行加固，实现机卡绑定和固定IP地址分配；边界安全：对固移边界进行安全隔离，配置最小化安全策略，实现对5G终端接入流量的访问控制、入侵防护和病毒防护等；监测管理：对5G平面所有接入流量进行实时监测、安全审计，实现对5G平面安全的统一管理。5G平面安全防护体系终端安全应采用政务外网专用SIM卡，满足关闭语音、关闭短信、关闭互联网访问、定向短信、定向数据访问等安全要求。运营商应对入网的专用SIM卡进行一次认证，并使用专用DNN承载。终端IP地址应固定分配，不应配置地址转换。地址分配记录应至少保存6个月。5G接入网关应能够对下联设备进行接入认证，包括Portal认证、MAC认证、802.1x认证、VPN拨号认证等。对于敏感的业务数据访问，应采用沙箱等技术实现终端数据隔离，防止终端数据泄露。边界安全应部署认证服务平台对终端进行二次认证，认证内容包括DNN、SIM卡信息（IMSI，MSISDN）、设备信息（IMEI）等。应基于角色、SIM卡信息（IMSI、MSISDN）或者设备信息（IMEI）进行访问控制，授予最小访问权限，并对终端环境进行持续检测和评估，根据评估情况动态调整其访问权限。应对非授权终端接入政务外网进行检查、限制。边界安全设备应支持对SRv6、网络切片报文的安全解析，宜支持SRv6三层转发。应检测、防止和限制从运营商网络发起的网络攻击行为，当检测到攻击行为时，应记录攻击源IP、攻击类型、攻击目标、攻击时间。在发生严重入侵事件时，应及时告警。应对恶意代码进行检测和清除，并定期进行恶意代码库的升级与更新。应支持对TLS等常用协议加密流量进行检测，满足网络对加密流量的防护需求。监测管理安全监测安全监测具体要求如下：应对通过5G平面接入政务外网的业务流量进行动态监测，实现安全态势感知和安全趋势分析；应对5G终端访问行为进行持续监测，分析异常情况并动态调整其访问权限；应对监测结果按照重要程度、影响范围等进行分级别预警，并提供预警涉及的终端、SIM卡、安全风险等内容；应在网络边界对监测发现的威胁进行处置，实现近源阻断，避免威胁扩散；运营商应实时向政务外网运行管理机构同步政务外网5G平面的安全态势情况；监测数据应至少保存6个月。管理审计管理审计具体要