DB32T 3514.6-2019電子政務(wù)外網(wǎng)建設(shè)規(guī)范 第6部分：安全接入平臺(tái)技術(shù)要求

ICS35.240.01L67江蘇省地DB32方標(biāo)準(zhǔn)DBT514.6—2019structionSpecificationsofEGovernmentNetworkPart:thetechnicalrequirementsofnetworksecurityaccessplatform江蘇省市場(chǎng)監(jiān)督管理局發(fā)布IDB32/T3514.6—2019前言 DB32/T3514.6—2019 附錄A(資料性附錄)接入模式及接入流程 15B IDB32/T3514.6—2019前言DB32/T3514-2018《電子政務(wù)外網(wǎng)建設(shè)規(guī)范》分為八個(gè)部分：——第1部分：網(wǎng)絡(luò)平臺(tái)；——第2部分：IPv4地址、路由規(guī)劃；——第3部分：IPv4域名規(guī)劃；——第4部分：安全實(shí)施指南；——第5部分：安全綜合管理平臺(tái)技術(shù)要求與接口規(guī)范；——第6部分：安全接入平臺(tái)技術(shù)要求；——第7部分：電子認(rèn)證注冊(cè)服務(wù)機(jī)構(gòu)建設(shè)；——第8部分：運(yùn)維服務(wù)。本部分為DB32/T3514-2018《電子政務(wù)外網(wǎng)建設(shè)規(guī)范》第6部分。本部分按照GB/T1.1-2009給出的規(guī)則起草。本部分由江蘇省人民政府辦公廳電子政務(wù)辦公室提出并歸口。本部分起草單位：江蘇省人民政府辦公廳電子政務(wù)辦公室本部分起草人：吳中東、李強(qiáng)、朱德宇、李寒、李永杰、楊波、杭欣竹、徐莎莎。1DB32/T3514.6—2019電子政務(wù)外網(wǎng)建設(shè)規(guī)范第6部分：外網(wǎng)安全接入平臺(tái)技術(shù)要求1范圍本標(biāo)準(zhǔn)規(guī)定了電子政務(wù)外網(wǎng)建設(shè)規(guī)范外網(wǎng)安全接入平臺(tái)技術(shù)要求的術(shù)語(yǔ)和定義、縮略語(yǔ)、概述、基礎(chǔ)框架、基本要求。本規(guī)范適用于指導(dǎo)電子政務(wù)外網(wǎng)建設(shè)運(yùn)維單位安全接入平臺(tái)的規(guī)劃、建設(shè)和管理工作，也可作為電子政務(wù)外網(wǎng)管理部門指導(dǎo)、監(jiān)督和檢查的依據(jù)。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T25069-2010信息安全技術(shù)術(shù)語(yǔ)GB/T30284-2013移動(dòng)通信智能終端操作系統(tǒng)安全技術(shù)要求EAL2級(jí)GB/T30278-2013信息安全技術(shù)政務(wù)計(jì)算機(jī)終端核心配置規(guī)范GM/T0022-2014IPSecVPN技術(shù)規(guī)范GM/T0024-2014SSLVPN技術(shù)規(guī)范GM/T0025-2014SSLVPN網(wǎng)關(guān)產(chǎn)品規(guī)范3術(shù)語(yǔ)和定義GB/T25069-2010確立的以及下列術(shù)語(yǔ)和定義適用于本規(guī)范。3.1AAAAAA是Authentication(驗(yàn)證)、Authorization(授權(quán))和Accounting(記賬)三個(gè)英文單詞的簡(jiǎn)稱，驗(yàn)證是驗(yàn)證用戶是否可以獲得訪問(wèn)權(quán)限，確定哪些用戶可以訪問(wèn)網(wǎng)絡(luò)；授權(quán)確定用戶可以使用哪些服務(wù)；記賬記錄用戶使用網(wǎng)絡(luò)資源的情況。3.2RADIUS協(xié)議RADIUS是RemoteAuthenticationDial-InUserService(遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù))的簡(jiǎn)稱，是目前應(yīng)用較廣泛的AAA協(xié)議，是同時(shí)兼顧驗(yàn)證、授權(quán)、計(jì)費(fèi)三種服務(wù)的一種網(wǎng)絡(luò)傳輸協(xié)議。3.3AD2DB32/T3514.6—2019AD是ActiveDirectory(活動(dòng)目錄)的簡(jiǎn)稱，是Windows平臺(tái)服務(wù)器核心組件之一，活動(dòng)目錄是一種目錄服務(wù),它可將網(wǎng)絡(luò)中各種對(duì)象組合起來(lái)進(jìn)行管理。它存儲(chǔ)有關(guān)網(wǎng)絡(luò)對(duì)象的信息，例如用戶、組、計(jì)算機(jī)、共享資源、打印機(jī)和聯(lián)系人等信息，使管理員和用戶可以方便的查找和使用這些網(wǎng)絡(luò)信息。3.4VPDNVPDN是VirtualPrivateDial-upNetworks(虛擬專用撥號(hào)網(wǎng))的簡(jiǎn)稱，是電信運(yùn)營(yíng)商基于撥號(hào)用戶的虛擬專用撥號(hào)網(wǎng)業(yè)務(wù)，利用L2TP、IP網(wǎng)絡(luò)的承載功能結(jié)合相應(yīng)的認(rèn)證和授權(quán)機(jī)制建立起來(lái)的虛擬專用網(wǎng)。3.5部門接入網(wǎng)DepartmentAccessNetwork部門接入網(wǎng)是指電子政務(wù)外網(wǎng)接入用戶自行建設(shè)和管理的本地局域網(wǎng)絡(luò)或部門業(yè)務(wù)專網(wǎng)。多部門合駐辦公樓且樓內(nèi)網(wǎng)絡(luò)由專門機(jī)構(gòu)統(tǒng)一管理時(shí)，可以實(shí)現(xiàn)整體接入政務(wù)外網(wǎng)，辦公樓內(nèi)的局域網(wǎng)絡(luò)可以視為一個(gè)接入局域網(wǎng)。3.6安全管理平臺(tái)SecurityOperationCenter安全管理平臺(tái)是通過(guò)采用多種技術(shù)手段，收集和整合各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)等安全事件，并運(yùn)用關(guān)聯(lián)分析技術(shù)、智能推理技術(shù)和風(fēng)險(xiǎn)管理技術(shù)，實(shí)現(xiàn)對(duì)安全事件信息的深度分析，能快速做出智能響應(yīng)，實(shí)現(xiàn)對(duì)安全風(fēng)險(xiǎn)進(jìn)行統(tǒng)一監(jiān)控分析和預(yù)警處理。3.7移動(dòng)終端MobileDevice移動(dòng)終端指在移動(dòng)業(yè)務(wù)中使用的，基于互聯(lián)網(wǎng)進(jìn)行通信，從電子政務(wù)外網(wǎng)安全接入?yún)^(qū)接入的智能終端設(shè)備，包括手機(jī)、PAD等通用終端和專用終端設(shè)備。3.8互聯(lián)網(wǎng)接入終端InternetAccessTerminal互聯(lián)網(wǎng)接入終端指基于互聯(lián)網(wǎng)進(jìn)行通信，從電子政務(wù)外網(wǎng)安全接入?yún)^(qū)接入的移動(dòng)終端、PC終端或業(yè)務(wù)應(yīng)用主機(jī)。3.9電子政務(wù)移動(dòng)辦公系統(tǒng)MobileE-GovernmentSystem利用移動(dòng)終端，隨時(shí)隨地通過(guò)無(wú)線網(wǎng)絡(luò)、互聯(lián)網(wǎng)等訪問(wèn)電子政務(wù)辦公系統(tǒng)，進(jìn)行網(wǎng)上辦公的應(yīng)用系3.10移動(dòng)終端管理MobileDeviceManagement3DB32/T3514.6—2019移動(dòng)終端管理為移動(dòng)終端設(shè)備提供注冊(cè)、激活、使用、淘汰各個(gè)環(huán)節(jié)的遠(yuǎn)程管理支撐，實(shí)現(xiàn)用戶身份與設(shè)備的綁定管理、設(shè)備安全策略配置管理、設(shè)備應(yīng)用數(shù)據(jù)安全管理等功能，簡(jiǎn)稱MDM。3.11移動(dòng)應(yīng)用管理MobileApplicationManagement針對(duì)移動(dòng)應(yīng)用軟件，提供從分發(fā)、安裝、使用、升級(jí)和卸載等過(guò)程和行為的監(jiān)控和管理，簡(jiǎn)稱MAM。3.12移動(dòng)內(nèi)容管理MobileContentManagement針對(duì)移動(dòng)終端訪問(wèn)、存儲(chǔ)、傳輸或處理的數(shù)據(jù)內(nèi)容，提供信息過(guò)濾、訪問(wèn)控制、數(shù)據(jù)加密、安全隔離、剩余信息清除等管理措施，簡(jiǎn)稱MCM。4縮略語(yǔ)下列縮略語(yǔ)適用于本規(guī)范。CA數(shù)字證書認(rèn)證中心(CertificateAuthority)IPSecIP安全協(xié)議(InternetProtocolSecurity)LDAP輕量級(jí)目錄訪問(wèn)協(xié)議(LightDirectoryAccessProtocol)MPLS多協(xié)議標(biāo)簽交換(Multi-protocolLabelSwitching)SSL安全套接層(SecureSocketLayer)VPN虛擬專用網(wǎng)(VirtualPrivateNetwork)OCSP在線證書狀態(tài)協(xié)議(OnlineCertificateStatusProtocol)SOC安全管理平臺(tái)(SecurityOperationCenter)VRFVPN路由轉(zhuǎn)發(fā)(VPNRoutingForwarding)SNMP簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(SimpleNetworkManagementProtocol)L2TP第二層隧道協(xié)議(Layer2TunnelingProtocol)LNSL2TP網(wǎng)絡(luò)服務(wù)器(L2TPNetworkServer)APP移動(dòng)終端應(yīng)用程序(Application)SM1SM1分組密碼算法SM2SM2橢圓曲線公鑰密碼算法SM3SM3密碼雜湊算法SM4SM4分組密碼算法5總體要求5.1政務(wù)外網(wǎng)安全接入平臺(tái)是利用互聯(lián)網(wǎng)、移動(dòng)通信、VPDN等基礎(chǔ)網(wǎng)絡(luò)，面向不具備專線接入條件的各級(jí)政務(wù)部門、企事業(yè)單位、移動(dòng)辦公人員、現(xiàn)場(chǎng)執(zhí)法人員和公眾用戶，提供安全接入到政務(wù)外網(wǎng)的服務(wù)平臺(tái)。5.2政務(wù)外網(wǎng)安全接入平臺(tái)由各級(jí)政務(wù)外網(wǎng)建設(shè)運(yùn)維單位負(fù)責(zé)建設(shè)和管理，采用省、市兩級(jí)建設(shè)模式，縣(市)根據(jù)實(shí)際需求參照?qǐng)?zhí)行。接入政務(wù)外網(wǎng)的各級(jí)部門接入網(wǎng)不允許直接連接互聯(lián)網(wǎng)，統(tǒng)一使用本級(jí)政務(wù)外網(wǎng)安全接入平臺(tái)。4DB32/T3514.6—20195.3設(shè)區(qū)市VPDN用戶可通過(guò)省級(jí)安全接入平臺(tái)接入。縣級(jí)安全接入平臺(tái)可參照設(shè)區(qū)市安全接入平臺(tái)部署。6基礎(chǔ)框架6.1安全接入體系省、設(shè)區(qū)市分別建設(shè)本級(jí)安全接入平臺(tái)，全省政務(wù)外網(wǎng)形成面向互聯(lián)網(wǎng)的安全接入體系。如圖1所示。圖1政務(wù)外網(wǎng)安全接入體系示意圖6.2平臺(tái)架構(gòu)政務(wù)外網(wǎng)安全接入平臺(tái)架構(gòu)如圖2所示：5DB32/T3514.6—2019圖2安全接入平臺(tái)架構(gòu)示意圖政務(wù)外網(wǎng)安全接入平臺(tái)架構(gòu)包含如下內(nèi)容：a)互聯(lián)網(wǎng)接入包括互聯(lián)網(wǎng)基礎(chǔ)網(wǎng)絡(luò)環(huán)境。互聯(lián)網(wǎng)接入終端通過(guò)上述基礎(chǔ)網(wǎng)絡(luò)連接到安全接入平臺(tái)。b)互聯(lián)網(wǎng)區(qū)——統(tǒng)一入口：為互聯(lián)網(wǎng)接入終端提供服務(wù)接口或鏈路接口?！猇PN網(wǎng)關(guān)集群：采用負(fù)載均衡技術(shù)實(shí)現(xiàn)IPSecVPN、SSLVPN等網(wǎng)關(guān)集群，為互聯(lián)網(wǎng)接入終端提供安全接入服務(wù)。——統(tǒng)一認(rèn)證：采用RADIUS、LDAP等認(rèn)證協(xié)議實(shí)現(xiàn)基于數(shù)字證書的身份認(rèn)證，為網(wǎng)關(guān)集群用戶身份統(tǒng)一認(rèn)證和權(quán)限管理提供支撐?！芾砼c審計(jì)：提供安全接入平臺(tái)的運(yùn)行情況監(jiān)測(cè)，互聯(lián)網(wǎng)接入終端的行為審計(jì)和安全管理功能。——安全防護(hù)：通過(guò)使用網(wǎng)絡(luò)訪問(wèn)控制、入侵檢測(cè)與防御、防病毒等安全措施實(shí)現(xiàn)互聯(lián)網(wǎng)接入?yún)^(qū)的基礎(chǔ)安全防護(hù)。c)政務(wù)外網(wǎng)業(yè)務(wù)區(qū)互聯(lián)網(wǎng)區(qū)通過(guò)安全接入平臺(tái)實(shí)現(xiàn)與政務(wù)外網(wǎng)公用網(wǎng)絡(luò)區(qū)、專用網(wǎng)絡(luò)區(qū)的業(yè)務(wù)對(duì)接。6.3功能框架安全接入平臺(tái)的基本功能框架如圖3所示：6DB32/T3514.6—2019圖3安全接入平臺(tái)功能框架圖安全接入平臺(tái)的基本功能模塊包括如下：a)統(tǒng)一入口：通過(guò)WEB門戶提供安全接入所需的注冊(cè)、審核、軟件下載等功能，為互聯(lián)網(wǎng)接入終端提供統(tǒng)一接入，設(shè)置網(wǎng)關(guān)設(shè)備接入入口，實(shí)現(xiàn)接入用戶統(tǒng)一管控；b)VPN網(wǎng)關(guān)集群：提供終端到網(wǎng)關(guān)或網(wǎng)關(guān)到網(wǎng)關(guān)的傳輸加密、身份認(rèn)證、權(quán)限控制等功能，通過(guò)負(fù)載均衡、鏈路匯聚實(shí)現(xiàn)VPN網(wǎng)關(guān)集群；c)統(tǒng)一認(rèn)證：為安全接入的身份認(rèn)證和權(quán)限控制提供支撐，提供用戶集中認(rèn)證、用戶管理、訪問(wèn)權(quán)限統(tǒng)一控制等功能；d)管理與審計(jì)：提供安全接入平臺(tái)的運(yùn)行情況監(jiān)測(cè)，互聯(lián)網(wǎng)接入終端的行為審計(jì)和安全管理功能。e)安全防護(hù)：為安全接入平臺(tái)提供訪問(wèn)控制、入侵檢測(cè)與防御、防病毒等基礎(chǔ)安全防護(hù)功能。7DB32/T3514.6—20197基本要求7.1統(tǒng)一入口7.1.1WEB門戶安全接入平臺(tái)提供WEB方式接入服務(wù)入口，實(shí)現(xiàn)如下功能：a)提供統(tǒng)一的接入用戶注冊(cè)申請(qǐng)頁(yè)面，申請(qǐng)成功后，注冊(cè)信息可提交至LDAP、RADIUS等系統(tǒng)；b)提供IPSecVPN統(tǒng)一客戶端、移動(dòng)終端安全接入軟件(APP)的發(fā)布、更新、下載等；c)提供SSLVPN登錄頁(yè)面；d)提供信息發(fā)布、移動(dòng)終端消息推送；e)面向用戶單位的業(yè)務(wù)應(yīng)用，提供WebService等標(biāo)準(zhǔn)協(xié)議服務(wù)接口；f)WEB門戶頁(yè)面應(yīng)采用Html5等標(biāo)準(zhǔn)同時(shí)兼容并適配PC機(jī)、移動(dòng)終端的主流瀏覽器。7.1.2統(tǒng)一客戶端具體要求如下：a)固定PC用戶采用IPSecVPN接入時(shí)應(yīng)使用政務(wù)外網(wǎng)統(tǒng)一IPSecVPN客戶端，該客戶端應(yīng)兼容GW0201-2011中的網(wǎng)關(guān)設(shè)備并符合該標(biāo)準(zhǔn)中相關(guān)要求，應(yīng)支持IKE協(xié)議，符合GM/T0022-2014“5.1密鑰協(xié)商”章節(jié)要求；b)移動(dòng)終端用戶采用統(tǒng)一的移動(dòng)終端安全接入軟件(APP)，內(nèi)嵌移動(dòng)終端管理模塊，支持不同安全需求的認(rèn)證與加密方式，多種網(wǎng)絡(luò)接入模式，如VPDN撥號(hào)、IPSecVPN撥號(hào)采用專用SSL客戶端軟件接入。7.1.3網(wǎng)關(guān)接入接入部門不在電子政務(wù)外網(wǎng)網(wǎng)絡(luò)區(qū)域內(nèi)，同時(shí)需訪問(wèn)接入電子政務(wù)外網(wǎng)的其他專用網(wǎng)絡(luò)，網(wǎng)絡(luò)連接時(shí)應(yīng)使用網(wǎng)關(guān)對(duì)網(wǎng)關(guān)方式接入，接入設(shè)備應(yīng)符合GW0201-2011“5.1IPSecVPN網(wǎng)關(guān)技術(shù)要求”章節(jié)要求，并達(dá)到GB/T22239-2008中規(guī)定的信息系統(tǒng)安全等級(jí)保護(hù)相應(yīng)等級(jí)防護(hù)要求。7.2VPN網(wǎng)關(guān)集群7.2.1網(wǎng)關(guān)要求7.2.1.1選型要求VPN網(wǎng)關(guān)應(yīng)具有國(guó)家密碼管理局頒發(fā)的《密碼產(chǎn)品型號(hào)證書》。7.2.1.2IPSecVPN網(wǎng)關(guān)具體要求如下：a)應(yīng)符合國(guó)家密碼管理局發(fā)布的GM/T0022-2014和GM/T0023-2014；b)應(yīng)符合GW0201-2011“5IPSecVPN技術(shù)要求”。7.2.1.3SSLVPN網(wǎng)關(guān)具體要求如下：a)應(yīng)符合國(guó)家密碼管理局發(fā)布的GM/T0024-2014和GM/T0025-2014；b)應(yīng)支持政務(wù)外網(wǎng)證書、用戶名/密碼、短信、動(dòng)態(tài)口令等認(rèn)證方式，并支持雙因子認(rèn)證等混合認(rèn)證模式；8DB32/T3514.6—2019c)應(yīng)支持訪問(wèn)權(quán)限設(shè)置；dVPN群部署；e)應(yīng)支持隧道模式，并且能夠?qū)崿F(xiàn)和MPLSVPN無(wú)縫對(duì)接；f)可通過(guò)發(fā)布虛擬桌面、虛擬應(yīng)用或提供SDK的方式，為移動(dòng)終端提供接入接口,并與統(tǒng)一客戶端軟件實(shí)現(xiàn)集成；g)支持標(biāo)準(zhǔn)SNMPv3管理協(xié)議，支持Syslog等標(biāo)準(zhǔn)日志格式導(dǎo)出，可通過(guò)安全管理平臺(tái)進(jìn)行集中監(jiān)控和管理。7.2.2集群要求7.2.2.1多臺(tái)VPN網(wǎng)關(guān)可通過(guò)負(fù)載均衡設(shè)備組成IPSecVPN網(wǎng)關(guān)集群或SSLVPN網(wǎng)關(guān)集群。7.2.2.2負(fù)載均衡服務(wù)應(yīng)符合以下要求：a)通過(guò)負(fù)載均衡設(shè)備鏈路負(fù)載功能，將VPN網(wǎng)關(guān)的接入請(qǐng)求根據(jù)IP地址、端口等策略分配到集群中相應(yīng)網(wǎng)關(guān)設(shè)備，實(shí)現(xiàn)網(wǎng)關(guān)的自動(dòng)調(diào)度;b)負(fù)載均衡設(shè)備與VPN網(wǎng)關(guān)、LNS網(wǎng)關(guān)、Portal服務(wù)器應(yīng)使用內(nèi)部IP地址互聯(lián)，通過(guò)地址映射將互聯(lián)網(wǎng)地址作為對(duì)外提供服務(wù)的IP地址。7.2.2.3負(fù)載均衡設(shè)備應(yīng)滿足如下要求：a)支持最小連接數(shù)、輪詢、比例、最快響應(yīng)、哈希、預(yù)測(cè)、觀察、動(dòng)態(tài)比例等負(fù)載均衡算法；b)支持設(shè)備狀態(tài)檢測(cè)，用于檢查設(shè)備、應(yīng)用和內(nèi)容的可用性；c)支持集群服務(wù)域名智能解析；d)支持帶寬控制；e)支持冗余備份。7.2.3傳輸加密應(yīng)采用IPSecVPN或SSLVPN進(jìn)行傳輸加密防護(hù)，加密算法應(yīng)符合國(guó)家密碼管理局相關(guān)規(guī)范要求。7.2.4身份認(rèn)證安全接入平臺(tái)應(yīng)對(duì)接入的用戶和接入的設(shè)備進(jìn)行身份認(rèn)證：a)用戶身份認(rèn)證——用戶身份應(yīng)由VPN網(wǎng)關(guān)或網(wǎng)關(guān)集群提交至統(tǒng)一認(rèn)證平臺(tái)認(rèn)證，要求如下：——支持?jǐn)?shù)字證書、用戶名/口令、短信、動(dòng)態(tài)口令等多種用戶身份認(rèn)證方式。數(shù)字證書由政務(wù)外網(wǎng)電子認(rèn)證中心頒發(fā)。——支持LDAP、RADIUS、AD等第三方認(rèn)證系統(tǒng)?！删W(wǎng)關(guān)解析證書中用戶名等辨識(shí)信息，通過(guò)RADIUS或LDAP協(xié)議把認(rèn)證信息傳送到統(tǒng)一認(rèn)證平臺(tái)，并支持群組認(rèn)證。b)設(shè)備身份認(rèn)證——IPSecVPN網(wǎng)關(guān)對(duì)網(wǎng)關(guān)接入身份認(rèn)證應(yīng)采用數(shù)字證書認(rèn)證方式，設(shè)備數(shù)字證書由政務(wù)外網(wǎng)數(shù)字認(rèn)證中心頒發(fā)；——移動(dòng)終端設(shè)備通過(guò)移動(dòng)終端管理系統(tǒng)注冊(cè)認(rèn)證，并通過(guò)SSLVPN實(shí)現(xiàn)訪問(wèn)隧道認(rèn)證。7.2.5權(quán)限控制安全接入平臺(tái)應(yīng)對(duì)接入的用戶和設(shè)備進(jìn)行權(quán)限控制：9DB32/T3514.6—2019a)用戶權(quán)限控制——根據(jù)接入業(yè)務(wù)需求，對(duì)用戶訪問(wèn)權(quán)限進(jìn)行控制，阻止用戶訪問(wèn)非授權(quán)資源；——根據(jù)用戶的屬性查詢授權(quán)信息，確定授予用戶的服務(wù)資源，包括給用戶分配IP地址、用戶可訪b)設(shè)備接入控制:對(duì)設(shè)備的接入采取訪問(wèn)控制措施，根據(jù)設(shè)備數(shù)字證書屬性設(shè)置接入設(shè)備的授權(quán)資源及訪問(wèn)權(quán)限，阻止非授權(quán)訪問(wèn)。7.3統(tǒng)一認(rèn)證平臺(tái)統(tǒng)一認(rèn)證平臺(tái)為VPN網(wǎng)關(guān)、LNS撥號(hào)接入設(shè)備提供支撐，一般包含LDAP或RADIUS認(rèn)證服務(wù)器等。設(shè)區(qū)市安全接入平臺(tái)應(yīng)建設(shè)獨(dú)立的統(tǒng)一認(rèn)證平臺(tái)?？h級(jí)安全接入平臺(tái)可采用VPN網(wǎng)關(guān)內(nèi)置的認(rèn)證服務(wù)模塊實(shí)現(xiàn)用戶的身份認(rèn)證。統(tǒng)一認(rèn)證平臺(tái)要求如下：a)支持標(biāo)準(zhǔn)LDAP、RADIUS、OCSP等認(rèn)證協(xié)議；b)LDAP認(rèn)證服務(wù)器應(yīng)提供證書認(rèn)證和用戶名/口令認(rèn)證，RADIUS認(rèn)證服務(wù)器應(yīng)提供用戶名/口令認(rèn)證；c)應(yīng)建立統(tǒng)一的用戶認(rèn)證信息庫(kù)，用于用戶集中認(rèn)證、訪問(wèn)權(quán)限統(tǒng)一控制；d)用戶認(rèn)證信息應(yīng)包括證書用戶信息、用戶名、口令、用戶單位、郵箱、手機(jī)號(hào)碼等；e)支持用戶信息維護(hù)、在線用戶管理等用戶管理功能；f)支持IP地址統(tǒng)一管理、統(tǒng)一分配，支持動(dòng)態(tài)、靜態(tài)IP地址分配，用戶按指定地址組動(dòng)態(tài)分配g)可擴(kuò)展支持第三方認(rèn)證組件，如動(dòng)態(tài)口令、短信認(rèn)證組件；h)支持負(fù)載均衡或冗余備份；i)RADIUS數(shù)據(jù)庫(kù)應(yīng)與LDAP數(shù)據(jù)庫(kù)進(jìn)行關(guān)聯(lián)，可基于某個(gè)用戶標(biāo)識(shí)進(jìn)行同步更新；j)應(yīng)支持分級(jí)管理，支持省、設(shè)區(qū)市等各級(jí)統(tǒng)一認(rèn)證平臺(tái)可遠(yuǎn)程同步用戶信息，并分角色管理。7.4互聯(lián)網(wǎng)接入終端7.4.1互聯(lián)網(wǎng)接入終端通過(guò)VPN接入政務(wù)外網(wǎng)時(shí)，應(yīng)由VPN客戶端阻斷其他的互聯(lián)網(wǎng)應(yīng)用連接。7.4.2PC終端包括辦公使用的臺(tái)式電腦、筆記本電腦等設(shè)備；業(yè)務(wù)應(yīng)用主機(jī)是根據(jù)業(yè)務(wù)需求，部署在互聯(lián)網(wǎng)，并通過(guò)VPN等安全措施接入政務(wù)外網(wǎng)的服務(wù)器；PC終端及業(yè)務(wù)應(yīng)用主機(jī)接入政務(wù)外網(wǎng)時(shí)應(yīng)滿足如下要求：a)滿足相應(yīng)的信息系統(tǒng)安全等級(jí)保護(hù)中關(guān)于終端安全的相關(guān)要求，以及接入業(yè)務(wù)單位的接入終端安全要求，終端或服務(wù)器應(yīng)安裝統(tǒng)一的安全防護(hù)組件并達(dá)到相關(guān)安全要求后方可接入；b)接入到安全等級(jí)保護(hù)要求為第三級(jí)的政務(wù)外網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)時(shí)，應(yīng)使用數(shù)字證書認(rèn)證方式；c)使用證書方式協(xié)商時(shí)，證書應(yīng)使用政務(wù)外網(wǎng)電子認(rèn)證中心統(tǒng)一頒發(fā)的數(shù)字證書，并由硬件設(shè)備承載。7.4.3移動(dòng)終端接入政務(wù)外網(wǎng)時(shí)需滿足以下要求：a)移動(dòng)終端，應(yīng)安裝安全防護(hù)軟件并達(dá)到相關(guān)安全要求后方可接入；b)移動(dòng)終端需集成移動(dòng)終端管理模塊，用于終端注冊(cè)及遠(yuǎn)程管理；c)接入到安全等級(jí)保護(hù)要求為第三級(jí)的政務(wù)外網(wǎng)業(yè)務(wù)應(yīng)用系統(tǒng)時(shí)，應(yīng)使用數(shù)字證書認(rèn)證方式；d)使用證書方式協(xié)商時(shí)，證書應(yīng)使用政務(wù)外網(wǎng)電子認(rèn)證中心統(tǒng)一頒發(fā)的數(shù)字證書。7.5管理與審計(jì)DB32/T3514.6—2019對(duì)安全保護(hù)等級(jí)確定為第三級(jí)的政務(wù)外網(wǎng)，其安全接入平臺(tái)，可建設(shè)獨(dú)立的安全管理與審計(jì)平臺(tái)；縣級(jí)安全接入平臺(tái)可根據(jù)業(yè)務(wù)系統(tǒng)的安全保護(hù)等級(jí)進(jìn)行相應(yīng)的管理與審計(jì)系統(tǒng)建設(shè)。安全管理與審計(jì)平臺(tái)要求如下：a)支持對(duì)平臺(tái)整體運(yùn)行情況、異常事件和行為的實(shí)時(shí)監(jiān)測(cè)，并提供電子郵件、短信等告警功能；b)支持對(duì)用戶接入行為和平臺(tái)設(shè)備系統(tǒng)日志、運(yùn)行日志、告警日志的審計(jì)；c)支持使用標(biāo)準(zhǔn)SNMPv3對(duì)平臺(tái)設(shè)備配置的集中管理；d)支持監(jiān)測(cè)與審計(jì)包括接入設(shè)備、安全設(shè)備、服務(wù)器主機(jī)、數(shù)據(jù)庫(kù)等；e)支持終端上線時(shí)間、下線時(shí)間、登錄賬號(hào)等重要操作的日志審計(jì)；f)支持對(duì)移動(dòng)終端設(shè)備的軟硬件信息收集，記錄硬件變更信息，并可遠(yuǎn)程管理與接入相關(guān)的數(shù)據(jù)和配置；g)支持日志統(tǒng)一格式輸出，報(bào)表生成功能，支持圖形化展示功能；h)監(jiān)測(cè)和審計(jì)日志應(yīng)至少保存6個(gè)月。7.6安全防護(hù)7.6.1網(wǎng)絡(luò)訪問(wèn)控制應(yīng)在安全接入平臺(tái)的網(wǎng)絡(luò)入口、內(nèi)部安全域邊界部署防火墻實(shí)現(xiàn)網(wǎng)絡(luò)邊界保護(hù)和訪問(wèn)控制。防火墻應(yīng)只開放安全接入平臺(tái)提供接入服務(wù)必需的服務(wù)端口，對(duì)流經(jīng)接入平臺(tái)的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行包過(guò)濾檢測(cè)。7.6.2入侵檢測(cè)與防御應(yīng)在安全接入平臺(tái)的網(wǎng)絡(luò)入口處部署入侵檢測(cè)和防御系統(tǒng)，通過(guò)檢測(cè)和分析網(wǎng)絡(luò)數(shù)據(jù)，實(shí)時(shí)發(fā)現(xiàn)非法或異常行為，通過(guò)防火墻等安全設(shè)備和安全管理系統(tǒng)進(jìn)行聯(lián)動(dòng)，實(shí)現(xiàn)觸發(fā)告警、阻斷等操作功能，并記錄相應(yīng)的事件日志。7.6.3防病毒在安全接入平臺(tái)的網(wǎng)絡(luò)入口處部署防病毒系統(tǒng)，對(duì)接入終端、互聯(lián)網(wǎng)區(qū)應(yīng)用服務(wù)器進(jìn)行統(tǒng)一的病毒和惡意代碼防護(hù)，阻止病毒和惡意代碼的侵入和傳播。7.7移動(dòng)終端安全7.7.1通用配置7.7.1.1移動(dòng)終端的通用配置要求包括：a)應(yīng)支持?jǐn)?shù)字證書的安裝和運(yùn)行；b)應(yīng)支持VPN客戶端的安裝和運(yùn)行，以及在線升級(jí)；c)應(yīng)支持MDM客戶端的安裝和運(yùn)行，以及在線升級(jí)；d)應(yīng)支持MAM客戶端的安裝和運(yùn)行，以及在線升級(jí)；e)應(yīng)支持移動(dòng)安全應(yīng)用支撐客戶端的安裝和運(yùn)行，以及在線升級(jí)。7.7.1.2增強(qiáng)要求：a)應(yīng)支持硬介質(zhì)形式的數(shù)字證書；b)應(yīng)支持MCM客戶端的安裝和運(yùn)行，以及在線升級(jí)。7.7.2數(shù)字證書DB32/T3514.6—2019移動(dòng)終端應(yīng)支持使用軟件形式或硬件介質(zhì)形式的數(shù)字證書，支持國(guó)家密碼主管部門認(rèn)可的密碼算法。7.7.3VPN客戶端VPN客戶端和VPN服務(wù)端通訊，在公共無(wú)線網(wǎng)絡(luò)上構(gòu)建政務(wù)數(shù)據(jù)傳輸?shù)陌踩诺?，VPN客戶端啟動(dòng)時(shí)應(yīng)作為網(wǎng)絡(luò)通信的唯一通道。7.7.4MDM客戶端MDM客戶端與MDM平臺(tái)通訊，實(shí)現(xiàn)移動(dòng)政務(wù)辦公時(shí)對(duì)移動(dòng)終端的安全管理，具體要求包括：a)應(yīng)開機(jī)自動(dòng)運(yùn)行，保持移動(dòng)政務(wù)應(yīng)用訪問(wèn)過(guò)程中對(duì)移動(dòng)終端的實(shí)時(shí)監(jiān)測(cè)；b)應(yīng)支持移動(dòng)終端的注冊(cè)和登錄管理；c)應(yīng)支持移動(dòng)終端運(yùn)行狀態(tài)的收集上報(bào)，如終端標(biāo)識(shí)、位置信息、固件版本、系統(tǒng)版本、網(wǎng)絡(luò)類型、用戶信息等；d)應(yīng)支持MDM服務(wù)端管理策略執(zhí)行，包括終端鎖定、整機(jī)遠(yuǎn)程擦除、出廠設(shè)置恢復(fù)、數(shù)據(jù)擦除、ROOT檢測(cè)、策略更新、SD卡檢測(cè)等；e)應(yīng)支持將移動(dòng)終端本地的政務(wù)辦公數(shù)據(jù)遠(yuǎn)程備份至服務(wù)端；f)應(yīng)具備防卸載機(jī)制，當(dāng)MDM客戶端被卸載時(shí)，政務(wù)應(yīng)用客戶端及本地辦公數(shù)據(jù)將被自動(dòng)擦除。7.7.5MAM客戶端MAM客戶端與MAM平臺(tái)通訊，實(shí)現(xiàn)對(duì)移動(dòng)政務(wù)應(yīng)用的安全管理，具體要求包括：a)應(yīng)在移動(dòng)政務(wù)應(yīng)用開啟時(shí)自動(dòng)運(yùn)行，保持對(duì)移動(dòng)政務(wù)應(yīng)用的實(shí)施監(jiān)測(cè)；b)應(yīng)支持移動(dòng)政務(wù)應(yīng)用及第三方應(yīng)用信息收集上報(bào)，如程序標(biāo)識(shí)、名稱、版本、平臺(tái)、開發(fā)商等；c)應(yīng)支持MAM服務(wù)端管理策略執(zhí)行，包括移動(dòng)應(yīng)用分發(fā)、安裝、卸載、應(yīng)用黑白名單設(shè)置等；d)具備防卸載機(jī)制，可與MDM客戶端聯(lián)動(dòng)，當(dāng)MAM客戶端被卸載時(shí)，執(zhí)行終端鎖定或信息擦除策略。7.7.6MCM客戶端MCM客戶端與MCM平臺(tái)通訊，實(shí)現(xiàn)對(duì)移動(dòng)政務(wù)數(shù)據(jù)文件的安全管理，具體要求包括：a)應(yīng)在移動(dòng)政務(wù)應(yīng)用開啟時(shí)自動(dòng)運(yùn)行，支持自動(dòng)更新升級(jí)；b)應(yīng)支持MCM服務(wù)端對(duì)移動(dòng)政務(wù)數(shù)據(jù)文件信息的統(tǒng)計(jì)采集，如文件名稱、格式、大小、時(shí)間等；c)應(yīng)支持MCM服務(wù)管理策略執(zhí)行，對(duì)PNG、JPG、GIF、BMP、PDF、DOC、DOCX、XSL、CSV、TXT、HTML等格式數(shù)據(jù)文件進(jìn)行加解密和安全展現(xiàn)，如按頁(yè)加載、按頁(yè)清除等；d，可與MDM客戶端聯(lián)動(dòng)，當(dāng)MAM客戶端被卸載時(shí)，執(zhí)行終端鎖定或信息擦除策略。7.7.7移動(dòng)安全應(yīng)用支撐客戶端7.7.7.1移動(dòng)安全應(yīng)用支撐客戶端與移動(dòng)安全應(yīng)用支撐平臺(tái)通訊，實(shí)現(xiàn)移動(dòng)應(yīng)用的安全展現(xiàn)和安全運(yùn)行，具體要求包括：a)應(yīng)支持移動(dòng)應(yīng)用安裝及運(yùn)行環(huán)境的安全隔離；b)應(yīng)支持應(yīng)用頁(yè)面安全加載顯示，應(yīng)用運(yùn)行時(shí)禁止截屏操作；c)應(yīng)支持移動(dòng)應(yīng)用臨時(shí)文件加密存儲(chǔ)；d)應(yīng)支持移動(dòng)應(yīng)用退出及時(shí)清除緩存頁(yè)面、臨時(shí)文件等剩余信息。DB32/T3514.6—20197.7.7.2增強(qiáng)要求為：應(yīng)采用動(dòng)態(tài)加載、虛擬化或其他技術(shù)實(shí)現(xiàn)客戶端僅顯示用戶界面和傳輸用戶交互數(shù)據(jù)，辦公數(shù)據(jù)不在移動(dòng)終端留存。7.7.8身份鑒別移動(dòng)終端在身份鑒別方面的要求包括：a)應(yīng)支持設(shè)置開機(jī)口令或利用生物特征識(shí)別等，開啟移動(dòng)終端時(shí)進(jìn)行身份鑒別；b)應(yīng)支持屏幕鎖定口令，移動(dòng)終端空閑時(shí)間達(dá)到設(shè)定閾值時(shí)鎖定屏幕；解鎖時(shí)應(yīng)重新進(jìn)行身份鑒c)訪問(wèn)政務(wù)應(yīng)用和本地政務(wù)數(shù)據(jù)之前應(yīng)采用數(shù)字證書進(jìn)行身份驗(yàn)證；d)在限定時(shí)間段內(nèi)多次連續(xù)嘗試身份驗(yàn)證失敗，應(yīng)鎖定系統(tǒng)。7.7.9數(shù)據(jù)安全存儲(chǔ)7.7.9.1移動(dòng)終端數(shù)據(jù)存儲(chǔ)方面的要求包括：a)政務(wù)數(shù)據(jù)應(yīng)與個(gè)人數(shù)據(jù)隔離存儲(chǔ)；b)政務(wù)數(shù)據(jù)應(yīng)加密存儲(chǔ)，采用的加密算法應(yīng)符合國(guó)家密碼主管部門的相關(guān)規(guī)定。7.7.9.2增強(qiáng)要求為：政務(wù)數(shù)據(jù)不應(yīng)存儲(chǔ)在移動(dòng)終端上。7.7.10安全防護(hù)移動(dòng)終端的安全防護(hù)要求包括：a)應(yīng)支持對(duì)病毒、木馬的查殺，攔截惡意軟件的攻擊；b)應(yīng)支持對(duì)系統(tǒng)漏洞的修復(fù)；c)應(yīng)支持系統(tǒng)補(bǔ)丁的升級(jí)；d)應(yīng)支持移動(dòng)辦公應(yīng)用關(guān)閉時(shí)及時(shí)清理緩存頁(yè)面等臨時(shí)文件；e)手持式移動(dòng)終端(如手機(jī)、PAD)的操作系統(tǒng)安全應(yīng)符合GB/T30284-2013規(guī)定的技術(shù)要求；f)筆記本電腦在安全防護(hù)方面應(yīng)符合GB/T30278-2013第7章規(guī)定的核心配置基本要求。7.7.11運(yùn)行環(huán)境隔離移動(dòng)終端的運(yùn)行環(huán)境隔離要求包括：a)應(yīng)采用沙箱等隔離技術(shù)保證移動(dòng)政務(wù)應(yīng)用與個(gè)人應(yīng)用運(yùn)行環(huán)境的有效隔離；b)應(yīng)在移動(dòng)應(yīng)用關(guān)閉時(shí)及時(shí)清除臨時(shí)文件等剩余信息。7.8信道安全信道安全的具體要求包括：a)移動(dòng)終端通過(guò)移動(dòng)蜂窩網(wǎng)絡(luò)或公共無(wú)線網(wǎng)絡(luò)接入政務(wù)網(wǎng)時(shí)，應(yīng)采用VPN方式接入；b)應(yīng)支持系統(tǒng)級(jí)或應(yīng)用級(jí)VPN，在移動(dòng)政務(wù)應(yīng)用啟動(dòng)時(shí)自動(dòng)啟動(dòng)VPN。通過(guò)應(yīng)用專屬的安全隧道，實(shí)現(xiàn)多政務(wù)應(yīng)用之間的安全隔離。7.9接入安全7.9.1接入認(rèn)證網(wǎng)關(guān)接入認(rèn)證網(wǎng)關(guān)的要求包括：a)應(yīng)支持國(guó)家密碼主管部門認(rèn)可的密碼算法；DB32/T3514.6—2019b)密鑰協(xié)商數(shù)據(jù)的加密保護(hù)應(yīng)采用非對(duì)稱密碼算法(如SM2),報(bào)文數(shù)據(jù)的加密保護(hù)采用對(duì)稱密cSSLTLSIPSec安全協(xié)議；d)應(yīng)支持基于用戶賬戶的權(quán)限分配的細(xì)粒度訪問(wèn)控制，支持僅授權(quán)用戶才能訪問(wèn)特定資源；e)應(yīng)支持網(wǎng)關(guān)運(yùn)行情況的集中監(jiān)控。7.9.2MDM平臺(tái)7.9.2.1設(shè)備管理MDM平臺(tái)對(duì)已授權(quán)的移動(dòng)終端的設(shè)備管理要求包括：a)應(yīng)支持移動(dòng)終端首次訪問(wèn)移動(dòng)政務(wù)應(yīng)用前注冊(cè)到MDM平臺(tái)，支持建立設(shè)備序列號(hào)、證書序列號(hào)、人員和手機(jī)號(hào)碼信息等綁定關(guān)系；b)應(yīng)支持移動(dòng)終端設(shè)備信息統(tǒng)計(jì)，包括硬件、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、位置及用戶信息等；c)應(yīng)支持遠(yuǎn)程對(duì)發(fā)生異常(如丟失)或廢棄的移動(dòng)終端進(jìn)行注銷、禁用和鎖定管理；d)應(yīng)支持基于用戶進(jìn)行管理，支持一個(gè)用戶綁定多個(gè)移動(dòng)終端或者一個(gè)移動(dòng)終端綁定多個(gè)用戶，支持通過(guò)用戶分組和關(guān)聯(lián)角色進(jìn)行管理控制；e)應(yīng)支持限制或禁用移動(dòng)終端硬件模塊功能，如攝像頭、錄音、藍(lán)牙、麥克風(fēng)等。7.9.2.2安全管控MDM平臺(tái)對(duì)已授權(quán)的移動(dòng)終端的安全管控要求包括：a)應(yīng)支持移動(dòng)終端的安全準(zhǔn)入檢查，不合規(guī)的移動(dòng)終端不應(yīng)注冊(cè)；b)應(yīng)支持與接入認(rèn)證網(wǎng)關(guān)聯(lián)動(dòng)，不合規(guī)的移動(dòng)終端不應(yīng)接入；c)應(yīng)支持對(duì)移動(dòng)終端軟硬件環(huán)境、運(yùn)行狀態(tài)及安全事件的持續(xù)監(jiān)控、安全審計(jì)及預(yù)警；d)應(yīng)支持針對(duì)移動(dòng)終端違規(guī)行為采取有效控制措施，包括限制訪問(wèn)、警告、鎖定、禁用、系統(tǒng)還原、數(shù)據(jù)擦除等；e)若檢測(cè)到移動(dòng)終端有ROOT行為，應(yīng)立即鎖定終端；f)應(yīng)支持對(duì)移動(dòng)終端允許使用的地理區(qū)域進(jìn)行限制；g)支持遠(yuǎn)程禁用或重新啟用移動(dòng)終端。7.9.2.3安全審計(jì)MDM平臺(tái)對(duì)已授權(quán)的移動(dòng)終端的安全審計(jì)要求包括：a)應(yīng)支持對(duì)移動(dòng)終端的政務(wù)應(yīng)用訪問(wèn)操作進(jìn)行審計(jì)；b)應(yīng)支持對(duì)移動(dòng)終端的狀態(tài)變化及用戶違規(guī)行為等安全事件行為審計(jì)；c)審計(jì)日志記錄應(yīng)包含如下字段：日期、時(shí)間、發(fā)起者信息、類型、描述和結(jié)果等。7.9.3移動(dòng)安全應(yīng)用支撐平臺(tái)7.9.3.1移動(dòng)安全應(yīng)用支撐平臺(tái)的要求包括：a)應(yīng)支持政務(wù)辦公系統(tǒng)WEB應(yīng)用到移動(dòng)應(yīng)用的安全轉(zhuǎn)換，包括頁(yè)面適配、文件解析、格式轉(zhuǎn)換等；b)應(yīng)支持政務(wù)辦公應(yīng)用的訪問(wèn)控制和授權(quán)管理；c)應(yīng)支持對(duì)用戶訪問(wèn)請(qǐng)求和移動(dòng)應(yīng)用內(nèi)容的安全過(guò)濾。7.9.3.2增強(qiáng)要求為：應(yīng)采用動(dòng)態(tài)加載、虛擬化或其他技術(shù)，支持政務(wù)應(yīng)用和政務(wù)數(shù)據(jù)僅在服務(wù)端運(yùn)行和存儲(chǔ)，辦公數(shù)據(jù)不在移動(dòng)終端設(shè)備留存。DB32/T3514.6—20197.10服務(wù)端安全7.10.1MAM平臺(tái)7.10.1.1資源分類管理MAM平臺(tái)的資源分類管理要求包括：a)應(yīng)支持遠(yuǎn)程推送安裝移動(dòng)政務(wù)應(yīng)用到指定的移動(dòng)終端；b)應(yīng)支持對(duì)移動(dòng)政務(wù)應(yīng)用的安裝、使用情況進(jìn)行統(tǒng)計(jì)；c)應(yīng)支持對(duì)移動(dòng)政務(wù)應(yīng)用的版本管理，并可回退至指定歷史版本；d)可通過(guò)建立企業(yè)移動(dòng)應(yīng)用商店實(shí)現(xiàn)對(duì)移動(dòng)政務(wù)應(yīng)用的統(tǒng)一發(fā)布、更新和管理。7.10.1.2應(yīng)用訪問(wèn)控制MAM平臺(tái)的應(yīng)用訪問(wèn)控制要求包括：a)應(yīng)支持移動(dòng)應(yīng)用黑白名單策略，并設(shè)置移動(dòng)政務(wù)應(yīng)用的用戶訪問(wèn)權(quán)限；b)應(yīng)支持遠(yuǎn)程監(jiān)控和管理移動(dòng)終端上安裝的政務(wù)應(yīng)用，包括應(yīng)用安裝、更新和刪除等；c)刪除移動(dòng)政務(wù)應(yīng)用時(shí)應(yīng)同時(shí)擦除應(yīng)用數(shù)據(jù)；d)移動(dòng)政務(wù)應(yīng)用不應(yīng)在未認(rèn)證的移動(dòng)終端中安裝和運(yùn)行；e)應(yīng)支持將沙箱等安全容器推送至移動(dòng)終端默認(rèn)安裝，增加應(yīng)用訪問(wèn)的安全性。7.10.1.3政務(wù)應(yīng)用客戶端(APP)安全管理對(duì)政務(wù)應(yīng)用客戶端的安全管理要求包括：a)可設(shè)置專門應(yīng)用商店提供政務(wù)應(yīng)用客戶端發(fā)布、下載及更新服務(wù)；b)支持對(duì)移動(dòng)政務(wù)應(yīng)用客戶端進(jìn)行安全掃描，阻止含惡意代碼和嚴(yán)重漏洞的應(yīng)用發(fā)布至應(yīng)用商店；c)支持對(duì)移動(dòng)政務(wù)應(yīng)用客戶端進(jìn)行安全防護(hù)和加固，防止受到惡意程序的破壞、破解和篡改。7.10.2MCM平臺(tái)7.10.2.1MCM平臺(tái)的要求包括：a)應(yīng)支持JPG、GIF、BMP、PDF、DOC、DOCX、XSL、CSV、TXT、HTML等多種格式文件的識(shí)別、導(dǎo)入、發(fā)布和下載；b)應(yīng)支持政務(wù)文檔的分級(jí)分類管理，并設(shè)置用戶訪問(wèn)權(quán)限，如讀寫、拷貝、下載等；c)應(yīng)支持向已授權(quán)的移動(dòng)終端分發(fā)或推送政務(wù)文檔；d)應(yīng)支持對(duì)移動(dòng)政務(wù)文檔內(nèi)容展現(xiàn)時(shí)按頁(yè)清除；e)應(yīng)支持對(duì)用戶下載、查閱文檔的統(tǒng)計(jì)記錄。7.10.2.2增強(qiáng)要求為：a)應(yīng)支持對(duì)移動(dòng)政務(wù)文檔內(nèi)容的加解密；b)應(yīng)支持移動(dòng)政務(wù)文檔內(nèi)容不在移動(dòng)終端留存并及時(shí)清除緩存。7.11IPv6的支持與過(guò)渡要求電子政務(wù)外網(wǎng)需逐步支持IPv6協(xié)議，過(guò)渡期間安全接入平臺(tái)需從網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全管理、業(yè)務(wù)應(yīng)用等方面支持IPv4/IPv6雙棧協(xié)議，使用IPv4-IPv6協(xié)議轉(zhuǎn)換等方式，平滑升級(jí)支持IPv6協(xié)議棧下的業(yè)務(wù)訪問(wèn)。DB32/T3514.6—2019AA附錄A(資料性附錄)接入模式及接入流程A.1接入模式設(shè)計(jì)IPSecVPN和SSLVPN可應(yīng)用于不同業(yè)務(wù)接入場(chǎng)景：a)IPSecVPN主要應(yīng)用于接入部門不在電子政務(wù)外網(wǎng)網(wǎng)絡(luò)區(qū)域內(nèi)，同時(shí)需接入電子政務(wù)外網(wǎng)的其他專用網(wǎng)絡(luò)，采用網(wǎng)關(guān)對(duì)網(wǎng)關(guān)接入進(jìn)行組網(wǎng)以及遠(yuǎn)程終端接入進(jìn)行長(zhǎng)時(shí)間連接、數(shù)據(jù)上報(bào)、視頻會(huì)議等非WEB方式訪問(wèn)的業(yè)務(wù)。對(duì)于電子政務(wù)外網(wǎng)用戶，當(dāng)線路發(fā)生故障時(shí)，應(yīng)急情況下也可采用網(wǎng)關(guān)對(duì)網(wǎng)關(guān)接入方式，通過(guò)互聯(lián)網(wǎng)或其他專用網(wǎng)絡(luò)實(shí)現(xiàn)業(yè)務(wù)的不中斷傳輸。b)SSLVPN主要應(yīng)用于接入終端WEB方式接入政務(wù)外網(wǎng)，訪問(wèn)業(yè)務(wù)系統(tǒng)、遠(yuǎn)程桌面管理、遠(yuǎn)程辦公等。c)VPDN專線接入——用戶可使用移動(dòng)終端通過(guò)VPDN專線接入,VPDN專線接入和互聯(lián)網(wǎng)接入類似，統(tǒng)一從政務(wù)外網(wǎng)安全接入平臺(tái)入口進(jìn)入，根據(jù)認(rèn)證需求不同，運(yùn)營(yíng)商提供VPDN兩種建設(shè)方案，分別為自建LNS和完全外包，自建LNS可對(duì)接入用戶進(jìn)行二次認(rèn)證，便于對(duì)用戶接入管理和審計(jì)管理。各級(jí)安全接入平臺(tái)依據(jù)用戶所要訪問(wèn)的業(yè)務(wù)應(yīng)用系統(tǒng)的安全情況應(yīng)采取IPSecVPN或SSLVPN網(wǎng)關(guān)對(duì)傳輸鏈路進(jìn)行加密，VPDN專線接入時(shí)應(yīng)滿足如下要