电子政务外网建设规范 第6部分：安全接入平台技术要求

ICS L67 江 35.240.01 DB32 苏 省 地 方 标 准 DB32/T 3514.6—2019 电子政务外网建设规范 第 6 部分：安全接入平台技术要求 Construction Specifications of E-Government Network Part 6: the technical requirements of network security access platform 2019 - 01 - 12 发布 江苏省市场监督管理局 2019 - 01 - 30 实施 发 布 DB32/T 3514.6—2019 目 次 前言..................................................................................................................................................................... IV 1 范围................................................................................................................................................................. 1 2 规范性引用文件............................................................................................................................................. 1 3 术语和定义..................................................................................................................................................... 1 4 缩略语............................................................................................................................................................. 3 5 总体要求......................................................................................................................................................... 3 6 基础框架......................................................................................................................................................... 4 6.1 6.2 6.3 7 安全接入体系......................................................................................................................................... 4 平台架构................................................................................................................................................. 4 功能框架................................................................................................................................................. 5 基本要求......................................................................................................................................................... 7 7.1 统一入口................................................................................................................................................. 7 7.1.1 WEB 门户.......................................................................................................................................... 7 7.1.2 统一客户端..................................................................................................................................... 7 7.1.3 网关接入......................................................................................................................................... 7 7.2 VPN 网关集群.......................................................................................................................................... 7 7.2.1 网关要求......................................................................................................................................... 7 7.2.2 集群要求......................................................................................................................................... 8 7.2.3 传输加密......................................................................................................................................... 8 7.2.4 身份认证......................................................................................................................................... 8 7.2.5 权限控制......................................................................................................................................... 8 7.3 统一认证平台......................................................................................................................................... 9 7.4 互联网接入终端..................................................................................................................................... 9 7.5 管理与审计............................................................................................................................................. 9 7.6 安全防护............................................................................................................................................... 10 7.6.1 网络访问控制............................................................................................................................... 10 7.6.2 入侵检测与防御........................................................................................................................... 10 7.6.3 防病毒........................................................................................................................................... 10 7.7 移动终端安全....................................................................................................................................... 10 7.7.1 通用配置....................................................................................................................................... 10 7.7.2 数字证书....................................................................................................................................... 10 7.7.3 VPN 客户端.................................................................................................................................... 11 7.7.4 MDM 客户端.................................................................................................................................... 11 7.7.5 MAM 客户端.................................................................................................................................... 11 7.7.6 MCM 客户端.................................................................................................................................... 11 I DB32/T 3514.6—2019 7.7.7 移动安全应用支撑客户端...........................................................................................................11 7.7.8 身份鉴别....................................................................................................................................... 12 7.7.9 数据安全存储............................................................................................................................... 12 7.7.10 安全防护..................................................................................................................................... 12 7.7.11 运行环境隔离............................................................................................................................. 12 7.8 信道安全............................................................................................................................................... 12 7.9 接入安全............................................................................................................................................... 12 7.9.1 接入认证网关............................................................................................................................... 12 7.9.2 MDM 平台........................................................................................................................................ 13 7.9.3 移动安全应用支撑平台...............................................................................................................13 7.10 服务端安全......................................................................................................................................... 14 7.10.1 MAM 平台...................................................................................................................................... 14 7.10.2 MCM 平台...................................................................................................................................... 14 7.11 IPv6 的支持与过渡要求.................................................................................................................... 14 附录 A（资料性附录） 接入模式及接入流程............................................................................................. 15 附录 B（资料性附录） 典型部署案例..........................................................................................................17 II DB32/T 3514.6—2019 前 言 DB32/T 3514-2018 《电子政务外网建设规范》分为八个部分： ——第1部分：网络平台； ——第2部分：IPv4地址、路由规划； ——第3部分：IPv4域名规划； ——第4部分：安全实施指南； ——第5部分：安全综合管理平台技术要求与接口规范； ——第6部分：安全接入平台技术要求； ——第7部分：电子认证注册服务机构建设； ——第8部分：运维服务。 本部分为DB32/T 3514-2018《电子政务外网建设规范》第6部分。 本部分按照GB/T 1.1-2009给出的规则起草。 本部分由江苏省人民政府办公厅电子政务办公室提出并归口。 本部分起草单位：江苏省人民政府办公厅电子政务办公室 本部分起草人：吴中东、李强、朱德宇、李寒、李永杰、杨波、杭欣竹、徐莎莎。 III DB32/T 3514.6—2019 电子政务外网建设规范 第 6 部分：外网安全接入平台技术要求 1 范围 本标准规定了电子政务外网建设规范外网安全接入平台技术要求的术语和定义、缩略语、概述、基 础框架、基本要求。 本规范适用于指导电子政务外网建设运维单位安全接入平台的规划、建设和管理工作，也可作为电 子政务外网管理部门指导、监督和检查的依据。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 25069-2010 信息安全技术 术语 GB/T 30284-2013 移动通信智能终端操作系统安全技术要求EAL2级 GB/T 30278-2013 信息安全技术 政务计算机终端核心配置规范 GM/T 0022-2014 IPSec VPN 技术规范 GM/T 0024-2014 SSL VPN 技术规范 GM/T 0025-2014 SSL VPN 网关产品规范 3 术语和定义 GB/T 25069-2010 确立的以及下列术语和定义适用于本规范。 3.1 AAA AAA是Authentication（验证）、Authorization（授权）和 Accounting（记账）三个英文单词的 简称，验证是验证用户是否可以获得访问权限，确定哪些用户可以访问网络；授权确定用户可以使用哪 些服务；记账记录用户使用网络资源的情况。 3.2 RADIUS 协议 RADIUS是Remote Authentication Dial-In User Service（远程用户拨号认证服务）的简称，是目 前应用较广泛的AAA协议，是同时兼顾验证、授权、计费三种服务的一种网络传输协议。 3.3 AD 1 DB32/T 3514.6—2019 AD是Active Directory（活动目录）的简称，是Windows平台服务器核心组件之一，活动目录是一 种目录服务,它可将网络中各种对象组合起来进行管理。它存储有关网络对象的信息，例如用户、组、 计算机、共享资源、打印机和联系人等信息，使管理员和用户可以方便的查找和使用这些网络信息。 3.4 VPDN VPDN是Virtual Private Dial-up Networks（虚拟专用拨号网）的简称，是电信运营商基于拨号用 户的虚拟专用拨号网业务，利用L2TP、IP网络的承载功能结合相应的认证和授权机制建立起来的虚拟专 用网。 3.5 部门接入网 Department Access Network 部门接入网是指电子政务外网接入用户自行建设和管理的本地局域网络或部门业务专网。多部门合 驻办公楼且楼内网络由专门机构统一管理时，可以实现整体接入政务外网，办公楼内的局域网络可以视 为一个接入局域网。 3.6 安全管理平台 Security Operation Center 安全管理平台是通过采用多种技术手段，收集和整合各类网络设备、安全设备、操作系统等安全事 件，并运用关联分析技术、智能推理技术和风险管理技术，实现对安全事件信息的深度分析，能快速做 出智能响应，实现对安全风险进行统一监控分析和预警处理。 3.7 移动终端 Mobile Device 移动终端指在移动业务中使用的，基于互联网进行通信，从电子政务外网安全接入区接入的智能终 端设备，包括手机、PAD等通用终端和专用终端设备。 3.8 互联网接入终端 Internet Access Terminal 互联网接入终端指基于互联网进行通信，从电子政务外网安全接入区接入的移动终端、PC终端或业 务应用主机。 3.9 电子政务移动办公系统 Mobile E-Government System 利用移动终端，随时随地通过无线网络、互联网等访问电子政务办公系统，进行网上办公的应用系 统。 3.10 移动终端管理 Mobile Device Management 2 DB32/T 3514.6—2019 移动终端管理为移动终端设备提供注册、激活、使用、淘汰各个环节的远程管理支撑，实现用户身 份与设备的绑定管理、设备安全策略配置管理、设备应用数据安全管理等功能，简称MDM。 3.11 移动应用管理 Mobile Application Management 针对移动应用软件，提供从分发、安装、使用、升级和卸载等过程和行为的监控和管理，简称MAM。 3.12 移动内容管理 Mobile Content Management 针对移动终端访问、存储、传输或处理的数据内容，提供信息过滤、访问控制、数据加密、安全隔 离、剩余信息清除等管理措施，简称MCM。 4 缩略语 下列缩略语适用于本规范。 CA 数字证书认证中心（Certificate Authority） IPSec IP安全协议（Internet Protocol Security） LDAP 轻量级目录访问协议（Light Directory Access Protocol） MPLS 多协议标签交换（Multi-protocol Label Switching） SSL 安全套接层（Secure Socket Layer） VPN 虚拟专用网（Virtual Private Network） OCSP 在线证书状态协议(Online Certificate Status Protocol) SOC 安全管理平台（Security Operation Center） VRF VPN路由转发（VPN Routing Forwarding） SNMP 简单网络管理协议（Simple Network Management Protocol） L2TP 第二层隧道协议（Layer 2 Tunneling Protocol） LNS L2TP网络服务器（L2TP Network Server） APP 移动终端应用程序（Application） SM1 SM1分组密码算法 SM2 SM2椭圆曲线公钥密码算法 SM3 SM3密码杂凑算法 SM4 SM4分组密码算法 5 总体要求 5.1 政务外网安全接入平台是利用互联网、移动通信、VPDN 等基础网络，面向不具备专线接入条件的 各级政务部门、企事业单位、移动办公人员、现场执法人员和公众用户，提供安全接入到政务外网的服 务平台。 5.2 政务外网安全接入平台由各级政务外网建设运维单位负责建设和管理，采用省、市两级建设模式， 县（市）根据实际需求参照执行。接入政务外网的各级部门接入网不允许直接连接互联网，统一使用本 级政务外网安全接入平台。 3 DB32/T 3514.6—2019 5.3 设区市 VPDN 用户可通过省级安全接入平台接入。县级安全接入平台可参照设区市安全接入平台部 署。 6 基础框架 6.1 安全接入体系 省、设区市分别建设本级安全接入平台，全省政务外网形成面向互联网的安全接入体系。如图1所 示。 图1 6.2 政务外网安全接入体系示意图 平台架构 政务外网安全接入平台架构如图2所示： 4 DB32/T 3514.6—2019 图2 安全接入平台架构示意图 政务外网安全接入平台架构包含如下内容： a) 互联网接入 包括互联网基础网络环境。互联网接入终端通过上述基础网络连接到安全接入平台。 b) 互联网区 ——统一入口：为互联网接入终端提供服务接口或链路接口。 ——VPN 网关集群：采用负载均衡技术实现 IPSec VPN、SSL VPN 等网关集群，为互联网接入终端 提供安全接入服务。 ——统一认证：采用 RADIUS、LDAP 等认证协议实现基于数字证书的身份认证，为网关集群用户身份 统一认证和权限管理提供支撑。 ——管理与审计：提供安全接入平台的运行情况监测，互联网接入终端的行为审计和安全管理功能。 ——安全防护：通过使用网络访问控制、入侵检测与防御、防病毒等安全措施实现互联网接入区的 基础安全防护。 c) 政务外网业务区 互联网区通过安全接入平台实现与政务外网公用网络区、专用网络区的业务对接。 6.3 功能框架 安全接入平台的基本功能框架如图3所示： 5 DB32/T 3514.6—2019 图3 安全接入平台功能框架图 安全接入平台的基本功能模块包括如下： a) 统一入口：通过 WEB 门户提供安全接入所需的注册、审核、软件下载等功能，为互联网接入终 端提供统一接入，设置网关设备接入入口，实现接入用户统一管控； b) VPN 网关集群：提供终端到网关或网关到网关的传输加密、身份认证、权限控制等功能，通过 负载均衡、链路汇聚实现 VPN 网关集群； c) 统一认证：为安全接入的身份认证和权限控制提供支撑，提供用户集中认证、用户管理、访问 权限统一控制等功能； d) 管理与审计：提供安全接入平台的运行情况监测，互联网接入终端的行为审计和安全管理功能。 e) 安全防护：为安全接入平台提供访问控制、入侵检测与防御、防病毒等基础安全防护功能。 6 DB32/T 3514.6—2019 7 基本要求 7.1 统一入口 7.1.1 WEB 门户 安全接入平台提供WEB方式接入服务入口，实现如下功能： a) 提供统一的接入用户注册申请页面，申请成功后，注册信息可提交至 LDAP、RADIUS 等系统； b) 提供 IPSec VPN 统一客户端、移动终端安全接入软件（APP）的发布、更新、下载等； c) 提供 SSL VPN 登录页面； d) 提供信息发布、移动终端消息推送； e) 面向用户单位的业务应用，提供 WebService 等标准协议服务接口； f) WEB 门户页面应采用 Html5 等标准同时兼容并适配 PC 机、移动终端的主流浏览器。 7.1.2 统一客户端 具体要求如下： a) 固定 PC 用户采用 IPSec VPN 接入时应使用政务外网统一 IPSec VPN 客户端，该客户端应兼容 GW0201-2011 中的网关设备并符合该标准中相关要求，应支持 IKE 协议，符合 GM/T 0022-2014 “5.1 密钥协商”章节要求； b) 移动终端用户采用统一的移动终端安全接入软件（APP），内嵌移动终端管理模块，支持不同 安全需求的认证与加密方式，多种网络接入模式，如 VPDN 拨号、IPSec VPN 拨号采用专用 SSL 客户端软件接入。 7.1.3 网关接入 接入部门不在电子政务外网网络区域内，同时需访问接入电子政务外网的其他专用网络，网络连接 时应使用网关对网关方式接入，接入设备应符合GW0201-2011 “5.1 IPSec VPN网关技术要求”章节要求， 并达到GB/T 22239-2008中规定的信息系统安全等级保护相应等级防护要求。 7.2 VPN 网关集群 7.2.1 网关要求 7.2.1.1 选型要求 VPN 网关应具有国家密码管理局颁发的《密码产品型号证书》。 7.2.1.2 IPSec VPN 网关 具体要求如下： a) 应符合国家密码管理局发布的 GM/T 0022-2014 和 GM/T 0023-2014； b) 应符合 GW 0201-2011 “5 IPSec VPN 技术要求”。 7.2.1.3 SSL VPN 网关 具体要求如下： a) 应符合国家密码管理局发布的 GM/T 0024-2014 和 GM/T 0025-2014； b) 应支持政务外网证书、用户名/密码、短信、动态口令等认证方式，并支持双因子认证等混合 认证模式； 7 DB32/T 3514.6—2019 c) d) e) 应支持访问权限设置； 应支持 VPN 集群部署； 应支持隧道模式，并且能够实现和 MPLS VPN 无缝对接； f) 可通过发布虚拟桌面、虚拟应用或提供 SDK 的方式，为移动终端提供接入接口,并与统一客户 端软件实现集成； g) 支持标准 SNMP v3 管理协议，支持 Syslog 等标准日志格式导出，可通过安全管理平台进行集 中监控和管理。 7.2.2 集群要求 7.2.2.1 多台 VPN 网关可通过负载均衡设备组成 IPSec VPN 网关集群或 SSL VPN 网关集群。 7.2.2.2 负载均衡服务应符合以下要求： a) 通过负载均衡设备链路负载功能，将 VPN 网关的接入请求根据 IP 地址、端口等策略分配到集 群中相应网关设备，实现网关的自动调度; b) 负载均衡设备与 VPN 网关、LNS 网关、Portal 服务器应使用内部 IP 地址互联，通过地址映射 将互联网地址作为对外提供服务的 IP 地址。 7.2.2.3 a) b) c) d) e) 7.2.3 负载均衡设备应满足如下要求： 支持最小连接数、轮询、比例、最快响应、哈希、预测、观察、动态比例等负载均衡算法； 支持设备状态检测，用于检查设备、应用和内容的可用性； 支持集群服务域名智能解析； 支持带宽控制； 支持冗余备份。 传输加密 应采用IPSec VPN或SSL VPN进行传输加密防护，加密算法应符合国家密码管理局相关规范要求。 7.2.4 身份认证 安全接入平台应对接入的用户和接入的设备进行身份认证： a) 用户身份认证 ——用户身份应由 VPN 网关或网关集群提交至统一认证平台认证，要求如下： ——支持数字证书、用户名/口令、短信、动态口令等多种用户身份认证方式。数字证书由政务外 网电子认证中心颁发。 ——支持 LDAP、RADIUS、AD 等第三方认证系统。 ——由网关解析证书中用户名等辨识信息，通过 RADIUS 或 LDAP 协议把认证信息传送到统一认证平 台，并支持群组认证。 b) 设备身份认证 ——IPSec VPN 网关对网关接入身份认证应采用数字证书认证方式，设备数字证书由政务外网数字 认证中心颁发； ——移动终端设备通过移动终端管理系统注册认证，并通过 SSL VPN 实现访问隧道认证。 7.2.5 权限控制 安全接入平台应对接入的用户和设备进行权限控制： 8 DB32/T 3514.6—2019 a) 用户权限控制 ——根据接入业务需求，对用户访问权限进行控制，阻止用户访问非授权资源； ——根据用户的属性查询授权信息，确定授予用户的服务资源，包括给用户分配 IP 地址、用户可访 问的 IP 地址和服务等。 b) 设备接入控制:对设备的接入采取访问控制措施，根据设备数字证书属性设置接入设备的授权 资源及访问权限，阻止非授权访问。 7.3 统一认证平台 统一认证平台为VPN网关、LNS拨号接入设备提供支撑，一般包含LDAP或RADIUS认证服务器等。设区 市安全接入平台应建设独立的统一认证平台。县级安全接入平台可采用VPN网关内置的认证服务模块实 现用户的身份认证。统一认证平台要求如下： a) 支持标准 LDAP、RADIUS、OCSP 等认证协议； b) LDAP 认证服务器应提供证书认证和用户名/口令认证，RADIUS 认证服务器应提供用户名/口令 认证； c) 应建立统一的用户认证信息库，用于用户集中认证、访问权限统一控制； d) 用户认证信息应包括证书用户信息、用户名、口令、用户单位、邮箱、手机号码等； e) 支持用户信息维护、在线用户管理等用户管理功能； f) 支持 IP 地址统一管理、统一分配，支持动态、静态 IP 地址分配，用户按指定地址组动态分配 IP； g) 可扩展支持第三方认证组件，如动态口令、短信认证组件； h) 支持负载均衡或冗余备份； i) RADIUS 数据库应与 LDAP 数据库进行关联，可基于某个用户标识进行同步更新； j) 应支持分级管理，支持省、设区市等各级统一认证平台可远程同步用户信息，并分角色管理。 7.4 互联网接入终端 7.4.1 互联网接入终端通过 VPN 接入政务外网时，应由 VPN 客户端阻断其他的互联网应用连接。 7.4.2 PC 终端包括办公使用的台式电脑、笔记本电脑等设备；业务应用主机是根据业务需求，部署在 互联网，并通过 VPN 等安全措施接入政务外网的服务器；PC 终端及业务应用主机接入政务外网时应满 足如下要求： a) 满足相应的信息系统安全等级保护中关于终端安全的相关要求，以及接入业务单位的接入终端 安全要求，终端或服务器应安装统一的安全防护组件并达到相关安全要求后方可接入； b) 接入到安全等级保护要求为第三级的政务外网业务应用系统时，应使用数字证书认证方式； c) 使用证书方式协商时， 证书应使用政务外网电子认证中心统一颁发的数字证书， 并由硬件设备承 载。 7.4.3 移动终端接入政务外网时需满足以下要求： a) b) c) d) 7.5 移动终端，应安装安全防护软件并达到相关安全要求后方可接入； 移动终端需集成移动终端管理模块，用于终端注册及远程管理； 接入到安全等级保护要求为第三级的政务外网业务应用系统时，应使用数字证书认证方式； 使用证书方式协商时，证书应使用政务外网电子认证中心统一颁发的数字证书。 管理与审计 9 DB32/T 3514.6—2019 对安全保护等级确定为第三级的政务外网，其安全接入平台，可建设独立的安全管理与审计平台； 县级安全接入平台可根据业务系统的安全保护等级进行相应的管理与审计系统建设。安全管理与审计平 台要求如下： a) 支持对平台整体运行情况、异常事件和行为的实时监测，并提供电子邮件、短信等告警功能； b) 支持对用户接入行为和平台设备系统日志、运行日志、告警日志的审计； c) 支持使用标准 SNMP v3 对平台设备配置的集中管理； d) 支持监测与审计包括接入设备、安全设备、服务器主机、数据库等； e) 支持终端上线时间、下线时间、登录账号等重要操作的日志审计； f) 支持对移动终端设备的软硬件信息收集，记录硬件变更信息，并可远程管理与接入相关的数据 和配置； g) 支持日志统一格式输出，报表生成功能，支持图形化展示功能； h) 监测和审计日志应至少保存 6 个月。 7.6 安全防护 7.6.1 网络访问控制 应在安全接入平台的网络入口、内部安全域边界部署防火墙实现网络边界保护和访问控制。防火墙 应只开放安全接入平台提供接入服务必需的服务端口，对流经接入平台的网络数据进行包过滤检测。 7.6.2 入侵检测与防御 应在安全接入平台的网络入口处部署入侵检测和防御系统，通过检测和分析网络数据，实时发现非 法或异常行为，通过防火墙等安全设备和安全管理系统进行联动，实现触发告警、阻断等操作功能，并 记录相应的事件日志。 7.6.3 防病毒 在安全接入平台的网络入口处部署防病毒系统，对接入终端、互联网区应用服务器进行统一的病毒 和恶意代码防护，阻止病毒和恶意代码的侵入和传播。 7.7 移动终端安全 7.7.1 通用配置 7.7.1.1 a) b) c) d) e) 应支持数字证书的安装和运行； 应支持 VPN 客户端的安装和运行，以及在线升级； 应支持 MDM 客户端的安装和运行，以及在线升级； 应支持 MAM 客户端的安装和运行，以及在线升级； 应支持移动安全应用支撑客户端的安装和运行，以及在线升级。 7.7.1.2 a) b) 7.7.2 移动终端的通用配置要求包括： 增强要求： 应支持硬介质形式的数字证书； 应支持 MCM 客户端的安装和运行，以及在线升级。 数字证书 10 DB32/T 3514.6—2019 移动终端应支持使用软件形式或硬件介质形式的数字证书，支持国家密码主管部门认可的密码算 法。 7.7.3 VPN 客户端 VPN客户端和VPN服务端通讯，在公共无线网络上构建政务数据传输的安全信道，VPN客户端启动时 应作为网络通信的唯一通道。 7.7.4 MDM 客户端 MDM客户端与MDM平台通讯，实现移动政务办公时对移动终端的安全管理，具体要求包括： a) 应开机自动运行，保持移动政务应用访问过程中对移动终端的实时监测； b) 应支持移动终端的注册和登录管理； c) 应支持移动终端运行状态的收集上报，如终端标识、位置信息、固件版本、系统版本、网络类 型、用户信息等； d) 应支持 MDM 服务端管理策略执行，包括终端锁定、整机远程擦除、出厂设置恢复、数据擦除、 ROOT 检测、策略更新、SD 卡检测等； e) 应支持将移动终端本地的政务办公数据远程备份至服务端； f) 应具备防卸载机制，当 MDM 客户端被卸载时，政务应用客户端及本地办公数据将被自动擦除。 7.7.5 MAM 客户端 MAM客户端与MAM平台通讯，实现对移动政务应用的安全管理，具体要求包括： a) 应在移动政务应用开启时自动运行，保持对移动政务应用的实施监测； b) 应支持移动政务应用及第三方应用信息收集上报，如程序标识、名称、版本、平台、开发商等； c) 应支持 MAM 服务端管理策略执行，包括移动应用分发、安装、卸载、应用黑白名单设置等； d) 具备防卸载机制，可与 MDM 客户端联动，当 MAM 客户端被卸载时，执行终端锁定或信息擦除 策略。 7.7.6 MCM 客户端 MCM客户端与MCM平台通讯，实现对移动政务数据文件的安全管理，具体要求包括： a) 应在移动政务应用开启时自动运行，支持自动更新升级； b) 应支持 MCM 服务端对移动政务数据文件信息的统计采集，如文件名称、格式、大小、时间等； c) 应支持 MCM 服务管理策略执行，对 PNG、JPG、GIF、BMP、PDF、DOC、DOCX、XSL、CSV、TXT、 HTML 等格式数据文件进行加解密和安全展现，如按页加载、按页清除等； d) 具备防御机制，可与 MDM 客户端联动，当 MAM 客户端被卸载时，执行终端锁定或信息擦除策略。 7.7.7 移动安全应用支撑客户端 7.7.7.1 移动安全应用支撑客户端与移动安全应用支撑平台通讯，实现移动应用的安全展现和安全运 行，具体要求包括： a) b) c) d) 应支持移动应用安装及运行环境的安全隔离； 应支持应用页面安全加载显示，应用运行时禁止截屏操作； 应支持移动应用临时文件加密存储； 应支持移动应用退出及时清除缓存页面、临时文件等剩余信息。 11 DB32/T 3514.6—2019 7.7.7.2 增强要求为：应采用动态加载、虚拟化或其他技术实现客户端仅显示用户界面和传输用户交 互数据，办公数据不在移动终端留存。 7.7.8 身份鉴别 移动终端在身份鉴别方面的要求包括： a) 应支持设置开机口令或利用生物特征识别等，开启移动终端时进行身份鉴别； b) 应支持屏幕锁定口令，移动终端空闲时间达到设定阈值时锁定屏幕；解锁时应重新进行身份鉴 别； c) 访问政务应用和本地政务数据之前应采用数字证书进行身份验证； d) 在限定时间段内多次连续尝试身份验证失败，应锁定系统。 7.7.9 数据安全存储 7.7.9.1 a) b) 政务数据应与个人数据隔离存储； 政务数据应加密存储，采用的加密算法应符合国家密码主管部门的相关规定。 7.7.9.2 7.7.10 移动终端数据存储方面的要求包括： 增强要求为：政务数据不应存储在移动终端上。 安全防护 移动终端的安全防护要求包括： a) 应支持对病毒、木马的查杀，拦截恶意软件的攻击； b) 应支持对系统漏洞的修复； c) 应支持系统补丁的升级； d) 应支持移动办公应用关闭时及时清理缓存页面等临时文件； e）手持式移动终端（如手机、PAD）的操作系统安全应符合GB/T 30284-2013规定的技术要求； f）笔记本电脑在安全防护方面应符合GB/T 30278-2013第7章规定的核心配置基本要求。 7.7.11 运行环境隔离 移动终端的运行环境隔离要求包括： a) 应采用沙箱等隔离技术保证移动政务应用与个人应用运行环境的有效隔离； b) 应在移动应用关闭时及时清除临时文件等剩余信息。 7.8 信道安全 信道安全的具体要求包括： a) 移动终端通过移动蜂窝网络或公共无线网络接入政务网时，应采用 VPN 方式接入； b) 应支持系统级或应用级 VPN，在移动政务应用启动时自动启动 VPN。通过应用专属的安全隧道， 实现多政务应用之间的安全隔离。 7.9 接入安全 7.9.1 接入认证网关 接入认证网关的要求包括： a) 应支持国家密码主管部门认可的密码算法； 12 DB32/T 3514.6—2019 b) 密钥协商数据的加密保护应采用非对称密码算法（如 SM2）,报文数据的加密保护采用对称密 码算法（如 SM1 或 SM4） ； 应支持 SSL/TLS 或 IPSec 等网络安全协议； 应支持基于用户账户的权限分配的细粒度访问控制，支持仅授权用户才能访问特定资源； 应支持网关运行情况的集中监控。 c) d) e) 7.9.2 MDM 平台 7.9.2.1 设备管理 MDM平台对已授权的移动终端的设备管理要求包括： a) 应支持移动终端首次访问移动政务应用前注册到 MDM 平台，支持建立设备序列号、证书序列号、 人员和手机号码信息等绑定关系； b) 应支持移动终端设备信息统计，包括硬件、网络、系统、应用、位置及用户信息等； c) 应支持远程对发生异常（如丢失）或废弃的移动终端进行注销、禁用和锁定管理； d) 应支持基于用户进行管理，支持一个用户绑定多个移动终端或者一个移动终端绑定多个用户， 支持通过用户分组和关联角色进行管理控制； e) 应支持限制或禁用移动终端硬件模块功能，如摄像头、录音、蓝牙、麦克风等。 7.9.2.2 安全管控 MDM平台对已授权的移动终端的安全管控要求包括： a) 应支持移动终端的安全准入检查，不合规的移动终端不应注册； b) 应支持与接入认证网关联动，不合规的移动终端不应接入； c) 应支持对移动终端软硬件环境、运行状态及安全事件的持续监控、安全审计及预警； d) 应支持针对移动终端违规行为采取有效控制措施，包括限制访问、警告、锁定、禁用、系统还 原、数据擦除等； e) 若检测到移动终端有 ROOT 行为，应立即锁定终端； f) 应支持对移动终端允许使用的地理区域进行限制； g) 支持远程禁用或重新启用移动终端。 7.9.2.3 安全审计 MDM平台对已授权的移动终端的安全审计要求包括： a) 应支持对移动终端的政务应用访问操作进行审计； b) 应支持对移动终端的状态变化及用户违规行为等安全事件行为审计； c) 审计日志记录应包含如下字段：日期、时间、发起者信息、类型、描述和结果等。 7.9.3 移动安全应用支撑平台 7.9.3.1 a) b) c) 移动安全应用支撑平台的要求包括： 应支持政务办公系统 WEB 应用到移动应用的安全转换，包括页面适配、文件解析、格式转换等； 应支持政务办公应用的访问控制和授权管理； 应支持对用户访问请求和移动应用内容的安全过滤。 7.9.3.2 增强要求为：应采用动态加载、虚拟化或其他技术，支持政务应用和政务数据仅在服务端运 行和存储，办公数据不在移动终端设备留存。 13 DB32/T 3514.6—2019 7.10 服务端安全 7.10.1 MAM 平台 7.10.1.1 资源分类管理 MAM平台的资源分类管理要求包括： a) 应支持远程推送安装移动政务应用到指定的移动终端； b) 应支持对移动政务应用的安装、使用情况进行统计； c) 应支持对移动政务应用的版本管理，并可回退至指定历史版本； d) 可通过建立企业移动应用商店实现对移动政务应用的统一发布、更新和管理。 7.10.1.2 应用访问控制 MAM平台的应用访问控制要求包括： a) 应支持移动应用黑白名单策略，并设置移动政务应用的用户访问权限； b) 应支持远程监控和管理移动终端上安装的政务应用，包括应用安装、更新和删除等； c) 删除移动政务应用时应同时擦除应用数据； d) 移动政务应用不应在未认证的移动终端中安装和运行； e) 应支持将沙箱等安全容器推送至移动终端默认安装，增加应用访问的安全性。 7.10.1.3 政务应用客户端（APP）安全管理 对政务应用客户端的安全管理要求包括： a) 可设置专门应用商店提供政务应用客户端发布、下载及更新服务； b) 支持对移动政务应用客户端进行安全扫描，阻止含恶意代码和严重漏洞的应用发布至应用商 店； c) 支持对移动政务应用客户端进行安全防护和加固，防止受到恶意程序的破坏、破解和篡改。 7.10.2 MCM 平台 7.10.2.1 MCM 平台的要求包括： a) b) c) d) e) 应支持 JPG、GIF、BMP、PDF、DOC、DOCX、XSL、CSV、TXT、HTML 等多种格式文件的识别、导 入、发布和下载； 应支持政务文档的分级分类管理，并设置用户访问权限，如读写、拷贝、下载等； 应支持向已授权的移动终端分发或推送政务文档； 应支持对移动政务文档内容展现时按页清除； 应支持对用户下载、查阅文档的统计记录。 7.10.2.2 增强要求为： a) b) 应支持对移动政务文档内容的加解密； 应支持移动政务文档内容不在移动终端留存并及时清除缓存。 7.11 IPv6 的支持与过渡要求 电子政务外网需逐步支持IPv6协议，过渡期间安全接入平台需从网络设备、安全设备、安全管理、 业务应用等方面支持IPv4/IPv6双栈协议，使用IPv4-IPv6协议转换等方式，平滑升级支持IPv6协议栈下 的业务访问。 14 DB32/T 3514.6—2019 AA 附 录 A （资料性附录） 接入模式及接入流程 A.1 接入模式设计 IPSec VPN和SSL VPN可应用于不同业务接入场景： a) IPSec VPN 主要应用于接入部门不在电子政务外网网络区域内，同时需接入电子政务外网的其他专用网络，采 用网关对网关接入进行组网以及远程终端接入进行长时间连接、数据上报、视频会议等非WEB方式访问 的业务。对于电子政务外网用户，当线路发生故障时，应急情况下也可采用网关对网关接入方式，通过 互联网或其他专用网络实现业务的不中断传输。 b) SSL VPN 主要应用于接入终端WEB方式接入政务外网，访问业务系统、远程桌面管理、远程办公等。 c) VPDN 专线接入 ——用户可使用移动终端通过 VPDN 专线接入,VPDN 专线接入和互联网接入类似，统一从政务外网 安全接入平台入口进入，根据认证需求不同，运营商提供 VPDN 两种建设方案，分别为自建 LNS 和完全外包，自建 LNS 可对接入用户进行二次认证，便于对用户接入管理和审计管理。各级安 全接入平台依据用户所要访问的业务应用系统的安全情况应采取 IPSec VPN 或 SSL VPN 网关对 传输链路进行加密，VPDN 专线接入时应满足如下要求： ——根据 VPDN 线路所属运营商不同，由省级等具备条件的单位独立建设 LNS 设备，用于实现 身份认证、传输加密的要求； ——运营商侧认证服务应向用户单位提供审核本单位手机号码权限； ——用户拨通 VPDN 专线后，应断开其与其他网络的路由，保证网络访问通道的唯一性； ——使用 VPDN 时，由安全接入平台统一认证服务分配用户 IP 地址。 ——政务外网建设单位按照远程组网、业务远程访问、数据传送等不同业务需求，可选择使用不同 的接入模式组建安全接入平台，满足身份认证、授权管理、传输加密等安全要求。 A.2 接入流程设计 a) 网关对网关接入 网关对网关接入模式适用于不具备政务外网专线接入条件的单位，通过IPSec VPN网关接入政务外 网，具体接入流程可设计如下： ——接入单位通过公众网络登录安全接入平台门户发起申请，由本级政务外网运维单位审核通过后 下发接入网关配置信息、设备证书等； ——接入网关向安全接入平台 IPSec VPN 网关集群服务网关发起连接请求； ——服务网关通过认证平台对接入网关进行认证，认证成功后双方建立隧道； ——接入单位用户通过 VPN 设备建立的安全隧道访问政务外网业务。 b) 移动接入 移动接入模式适用于移动办公人员、现场执法人员、公众用户等通过公众网络访问政务外网业务， 具体接入流程可设计如下： 15 DB32/T 3514.6—2019 ——接入单位通过公众网络登录安全接入平台门户发起申请,由本级政务外网运维单位审核通 过 后根据接入业务不同下发接入必需资源，如统一业务入口或者 SSL VPN 服务地址、客户端软件、 用户证书等； ——IPSec VPN 接入用户通过客户端发起请求，SSL VPN 接入用户通过 WEB 方式发起请求，移动终 端用户利用移动终端安全接入软件（APP）发起请求； ——网关通过认证平台对接入用户进行认证，认证成功后双方建立安全连接； ——接入用户通过 VPN 网关建立的安全连接访问政务外网业务。 c) VPDN 移动专线接入 适用于移动终端用户通过移动通信网的VPDN方式接入或PC端用户通过ADSL等方式，接入用户需先通 过Internet登录安全接入平台门户申请VPDN账号，在账号审核成功后，具体接入流程设计如下： ——VPDN 用户向 LNS 发起拨号并通过认证建立隧道； ——VPDN 隧道建立成功后，用户向 SSL VPN 网关发起请求； ——网关通过认证平台对 VPDN 用户进行认证，认证成功后双方建立安全连接； ——VPDN 用户须通过 VPN 设备建立的加密隧道安全连接访问政务外网业务。 16 DB32/T 3514.6—2019 BB 附 录 B （资料性附录） 典型部署案例 B.1 设区市安全接入平台的典型部署一 安全接入区与门户网站群共用互联网接入链路，如图B.1所示： 图 B.1 设区市安全接入平台典型部署示意图 17 DB32/T 3514.6—2019 B.2 设区市安全接入平台的典型部署二 安全接入区与门户网站群分别具有独立互联网接入链路，如图B.2所示： 图 B.2 设区市安全接入平台典型部署示意图 B.3 设区市安全接入平台按区域部署 设区市安全接入平台划分为四个区域进行部署： a) 统一入口区由防火墙、门户组成；防火墙实现安全接入平台的访问控制。门户提供用户注册申 请、客户端软件下载、SSL VPN 登录、业务异常申报等功能，如有移动接入需求，应增加必要 移动终端管理系统； b) VPN 网关由 IPSec VPN 网关和 SSL VPN 网关组成，实现用户的身份认证、权限管理、传输加密； c) 接入管理区配置管理/审计服务器，实现 VPN 网关的配置管理、安全接入平台的运行监测、用 户的接入审计和安全接入平台的安全审计； d) 认证区配置 LDAP、RADIUS 等认证服务器，实现接入用户的统一认证功能。 _________________________________ 18