《信息安全技術(shù) 基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南 第2部分：接入控制與安全交換》

GA/T××××—2001

ICS3b5e.i0ji4n0g

L80GB

中華人民共和國國家標(biāo)準(zhǔn)化指導(dǎo)性技術(shù)文件

GB/Z××××—××××

信息安全技術(shù)

基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南

第2部分：接入控制與安全交換

Informationsecuritytechnology–GuideofimplementationforInternet-based

e-governmentinformationsecurity-Part2:accesscontrolandinformationsecurity

exchange

（征求意見稿）

××××-××-××發(fā)布××××-××-××實(shí)施

中華人民共和國國家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局

1發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會

GB/TXXXXX.1—XXXX

前言

GB/TXXXXX《信息安全技術(shù)基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南》分為四個部分：

——第1部分：總則；

——第2部分：接入控制與安全交換；

——第3部分：身份認(rèn)證與授權(quán)管理；

——第4部分：終端安全防護(hù)。

本部分為GB/TXXXXX的第2部分。

本部分按照GB/T1.1－2009給出的規(guī)則起草。

本規(guī)范由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會提出并歸口。

本規(guī)范起草單位：解放軍信息工程大學(xué)、中國電子技術(shù)標(biāo)準(zhǔn)化研究所。

本規(guī)范主要起草人：陳性元、杜學(xué)繪、孫奕、夏春濤、任志宇、曹利峰、張東巍、羅鋒盈、上官曉

麗。

II

GB/TXXXXX.1—XXXX

引言

互聯(lián)網(wǎng)已成為重要的信息基礎(chǔ)設(shè)施，積極利用互聯(lián)網(wǎng)進(jìn)行我國電子政務(wù)建設(shè)，既能提高效率、擴(kuò)大

服務(wù)的覆蓋面，又能節(jié)約資源、降低成本。利用開放的互聯(lián)網(wǎng)開展電子政務(wù)建設(shè)，面臨著計算機(jī)病毒、

網(wǎng)絡(luò)攻擊、信息泄漏、身份假冒等安全威脅和風(fēng)險。為推進(jìn)互聯(lián)網(wǎng)在我國電子政務(wù)中的應(yīng)用，指導(dǎo)基于

互聯(lián)網(wǎng)電子政務(wù)信息安全保障工作，特制定本指導(dǎo)性技術(shù)文件。

基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南標(biāo)準(zhǔn)由基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南總則、接入控

制與安全交換、身份認(rèn)證與授權(quán)管理、終端安全防護(hù)四部分組成?；诨ヂ?lián)網(wǎng)電子政務(wù)信息安全實(shí)施指

南總則，是基于互聯(lián)網(wǎng)電子政務(wù)信息安全建設(shè)的總攬,可指導(dǎo)政府部門建立基于互聯(lián)網(wǎng)電子政務(wù)信息安

全系統(tǒng)，構(gòu)建基于互聯(lián)網(wǎng)電子政務(wù)信息安全體系；接入控制與安全交換、身份認(rèn)證與授權(quán)管理與終端安

全防護(hù)三個規(guī)范，分別從互聯(lián)網(wǎng)電子政務(wù)中安全互聯(lián)與接入控制、政務(wù)辦公與政務(wù)服務(wù)安全、政務(wù)終端

安全防護(hù)三個關(guān)鍵實(shí)施點(diǎn)，對基于互聯(lián)網(wǎng)電子信息安全系統(tǒng)建設(shè)進(jìn)行規(guī)范。

本指導(dǎo)性技術(shù)文件主要適用于沒有電子政務(wù)外網(wǎng)專線或沒有租用通信網(wǎng)絡(luò)專線條件的組織機(jī)構(gòu)，開

展基于互聯(lián)網(wǎng)開展非涉及國家秘密的電子政務(wù)建設(shè)，當(dāng)建設(shè)需要時，可根據(jù)安全策略與電子政務(wù)外網(wǎng)進(jìn)

行安全對接。

III

GB/TXXXXX.1—XXXX

信息安全技術(shù)基于互聯(lián)網(wǎng)電子政務(wù)信息安全實(shí)施指南

第2部分：接入控制與安全交換

1范圍

本指導(dǎo)性技術(shù)文件按照分類防護(hù)、分域控制兩個策略，明確了互聯(lián)網(wǎng)電子政務(wù)分域控制

的兩個階段，在接入控制階段，對接入控制結(jié)構(gòu)、接入安全設(shè)備功能、接入認(rèn)證、接入控制

規(guī)則、接入控制管理等方面給出指南性建議要求；在安全交換階段，對安全交換模式、定制

數(shù)據(jù)安全交換要求、數(shù)據(jù)流安全交換要求給出指南性建議要求。

本指導(dǎo)性技術(shù)文件適用于沒有電子政務(wù)外網(wǎng)專線或沒有租用通信網(wǎng)絡(luò)專線條件的組織

機(jī)構(gòu)，基于互聯(lián)網(wǎng)開展不涉及國家秘密的電子政務(wù)安全接入控制策略設(shè)計、工程實(shí)施與系統(tǒng)

研發(fā)，為管理人員、工程技術(shù)人員、信息安全產(chǎn)品提供者進(jìn)行信息安全規(guī)劃與建設(shè)提供管理

和技術(shù)參考。

2規(guī)范性引用文件

下列文件中的條款通過在本指南的引用而成為本指南的條款。凡注明日期的引用文件，

其后的任何修改（不包括勘誤的內(nèi)容）或修訂版都不適用于本指南。凡未注明日期的引用文

件，其最新版本適用于本指南。

GB/TAAAA-BBBB信息安全技術(shù)政府部門互聯(lián)網(wǎng)安全接入要求

3術(shù)語和定義

下列術(shù)語和定義適用于本指導(dǎo)性技術(shù)文件。

3.1

接入主體(accesssubject)

能夠接入到內(nèi)部網(wǎng)絡(luò)中的終端用戶、設(shè)備、區(qū)域、網(wǎng)段等。接入到內(nèi)部網(wǎng)絡(luò)的訪問者均

有相應(yīng)的別名，該別名被稱為對象名。

3.2

接入認(rèn)證方式（accessauthenciationmethod）

對接入主體進(jìn)行身份合法性檢查所采用的方法與手段，以保證接入主體的合法性。

3.3

接入控制規(guī)則(accesscontrolrule)

針對不同的接入主體，制定相應(yīng)的安全規(guī)則，防止接入主體對內(nèi)部網(wǎng)絡(luò)資源的非法訪問

和越權(quán)訪問。

3.4

接入主體組（AccessObjectGroup）

將屬于同一安全域內(nèi)的用戶、主機(jī)、子網(wǎng)、地址段、物理網(wǎng)絡(luò)接口、服務(wù)等按照相同的

訪問屬性歸屬為同一個組，每個組內(nèi)成員訪問的資源內(nèi)容是相同的，組由組對象名來標(biāo)識。

3.5

基于用戶的安全審計(securityauditbasedonuser)

1

GB/TXXXXX.1—XXXX

對接入主體的訪問行為進(jìn)行審計，審計的粒度限定到用戶級，使得管理人員能夠識別用

戶的操作行為，便于事后追蹤與責(zé)任認(rèn)定。

3.6

交換節(jié)點(diǎn)exchangenode

在內(nèi)部數(shù)據(jù)處理區(qū)域和公開數(shù)據(jù)處理區(qū)域之間，實(shí)現(xiàn)信息安全、可信、可控傳遞和處理

的一套信息安全交換運(yùn)行環(huán)境的集合，交換節(jié)點(diǎn)分為主交換節(jié)點(diǎn)和從交換節(jié)點(diǎn)兩類。

3.7

從交換節(jié)點(diǎn)secondaryexchangenode

為交換對象提供數(shù)據(jù)源提取、轉(zhuǎn)換、過濾、傳輸及加載等功能的交換節(jié)點(diǎn)，從交換節(jié)點(diǎn)

通常部署于需要交換數(shù)據(jù)的政務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)或數(shù)據(jù)中心等。

3.8

主交換節(jié)點(diǎn)primaryexchangenode

為交換從交換節(jié)點(diǎn)提供路由信息、信息完整性驗(yàn)證、信息過濾等功能的交換節(jié)點(diǎn)，主交

換節(jié)點(diǎn)通常部署于網(wǎng)關(guān)，用于控制從交換節(jié)點(diǎn)之間的信息安全交換。

3.9

專用交換進(jìn)程privateexchangeprocess

為信息安全交換提供特定操作的應(yīng)用程序。

3.10

交換管理平臺exchangemanagementplatform

是指對交換用戶、交換任務(wù)、交換策略、交換行為審計等功能進(jìn)行統(tǒng)一管理的平臺。

3.11

定制交換customizedexchange

基于交換策略對特定格式的、靜態(tài)的異構(gòu)數(shù)據(jù)進(jìn)行統(tǒng)一適配、轉(zhuǎn)換、過濾、傳輸與加載

的處理過程。

3.12

流交換streamexchange

一種連續(xù)的、無限的、不可預(yù)測的流進(jìn)行跨域請求與響應(yīng)的過程。

4縮略語

CA數(shù)字證書認(rèn)證中心機(jī)構(gòu)（CertificationAuthority）

AS認(rèn)證服務(wù)器（AuthenciationServer）

NAT網(wǎng)絡(luò)地址轉(zhuǎn)換（NetworkAddressTranslation）

SNAT源網(wǎng)絡(luò)地址轉(zhuǎn)換（SourceNAT）

DNAT目的網(wǎng)絡(luò)地址轉(zhuǎn)換（DestinationNAT）

PC個人計算機(jī)(PersonalComputer)

IP互聯(lián)網(wǎng)協(xié)議（InternetProtocol）

IPAD平板電腦或手機(jī)（IPAD）

HTTP超文本傳送協(xié)議（HypertextTransferProtocol）

ICMPInternet控制報文協(xié)議（InternetControlMessageProtocol）

5分域控制

2

GB/TXXXXX.1—XXXX

分域控制是將基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)劃分為內(nèi)部數(shù)據(jù)處理區(qū)域、公開數(shù)據(jù)處理區(qū)域、

安全服務(wù)區(qū)域和安全管理區(qū)域，制定安全策略，實(shí)施基于安全域的接入控制，提供有效的域

間信息安全交換功能，如圖1所示。

圖1分域控制示意圖

為防止域間信息的泄漏，宜制定域間安全防護(hù)策略，具體要求如下：

a)安全管理區(qū)可對內(nèi)部數(shù)據(jù)處理區(qū)、公開數(shù)據(jù)處理區(qū)進(jìn)行管理。

b)公開數(shù)據(jù)處理區(qū)的數(shù)據(jù)流可流入內(nèi)部數(shù)據(jù)處理區(qū)，但內(nèi)部數(shù)據(jù)處理區(qū)的數(shù)據(jù)流未經(jīng)

允許禁止流向公開數(shù)據(jù)處理區(qū)。

c)在特定情況下，若內(nèi)部數(shù)據(jù)處理區(qū)數(shù)據(jù)流需流入公開數(shù)據(jù)處理區(qū)，宜符合訪問控制

策略，進(jìn)行數(shù)據(jù)敏感度的檢查、過濾，防止內(nèi)部敏感信息的泄漏。

e)內(nèi)部數(shù)據(jù)處理區(qū)可對服務(wù)進(jìn)行標(biāo)識，便于接入用戶數(shù)據(jù)的分流，實(shí)現(xiàn)對政務(wù)信息的

分類訪問。

f)公開數(shù)據(jù)處理區(qū)提供的公開服務(wù)，宜避免數(shù)據(jù)聚合引起敏感信息的泄漏。

6接入控制

6.1接入控制結(jié)構(gòu)

6.1.1接入控制組成

在基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中，接入控制的實(shí)施主要通過對接入主體的合法性認(rèn)證，依

據(jù)接入控制規(guī)則與安全傳輸機(jī)制，來保障電子政務(wù)系統(tǒng)接入訪問的合法性、保密性、完整性

與可控性。其組成結(jié)構(gòu)如圖2所示。

圖2接入控制組成結(jié)構(gòu)

在互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中，接入控制主要由接入主體、安全接入設(shè)備、接入?yún)^(qū)域組成。

接入主體是接入電子政務(wù)系統(tǒng)的請求者，依托的平臺宜支持多樣化，如筆記本、智能終

端、PC終端等，以適應(yīng)各類應(yīng)用環(huán)境。

3

GB/TXXXXX.1—XXXX

接入安全設(shè)備是集接入認(rèn)證、訪問控制、安全通道處理等多種安全功能為一體的用戶接

入控制設(shè)備，具有多個鏈路接入端口，是接入控制的主要實(shí)施者。

接入?yún)^(qū)域一般包括安全管理區(qū)、安全服務(wù)區(qū)、內(nèi)部數(shù)據(jù)處理區(qū)、公開數(shù)據(jù)處理區(qū)。

終端隔離與補(bǔ)救服務(wù)，為接入終端環(huán)境提供安全評估與補(bǔ)救服務(wù)，對未通過評估的接入

終端，宜進(jìn)行安全隔離與補(bǔ)救。

6.1.2接入控制方式

接入鏈路

用戶接入政務(wù)系統(tǒng)時，接入設(shè)備宜具有廣泛的網(wǎng)絡(luò)適應(yīng)性，宜支持電信、聯(lián)通、移動等

多家運(yùn)營商提供的互聯(lián)網(wǎng)接入方式，如移動通信網(wǎng)、基站等。

多線路接入

為提高互聯(lián)網(wǎng)電子政務(wù)的接入訪問效率，增強(qiáng)接入的網(wǎng)絡(luò)適應(yīng)性，基于互聯(lián)網(wǎng)電子政務(wù)

系統(tǒng)宜支持多線路接入，具體要求如下：

a)支持電信、聯(lián)通、移動等多線路接入，滿足不同地域、不同網(wǎng)絡(luò)、不同用戶的接入

訪問需求。具體要求參照國家標(biāo)準(zhǔn)GB/TCCCC-DDDD《政府部門互聯(lián)網(wǎng)安全接入要求》。

b)支持接入安全設(shè)備的集群化管理，保證安全接入的可靠性。

c)接入客戶端宜能夠根據(jù)接入環(huán)境的變化，動態(tài)選擇接入線路、接入安全設(shè)備，提高

接入訪問的成功率。

d)接入安全設(shè)備宜滿足大容量多用戶的安全接入需求，支持的接入并發(fā)數(shù)不少于2000

個。

6.2接入控制功能

6.2.1接入控制安全功能

依據(jù)電子政務(wù)系統(tǒng)的安全需求，接入安全設(shè)備宜具有的功能包括：

a)接入認(rèn)證。采用統(tǒng)一身份認(rèn)證技術(shù)，將用戶認(rèn)證與接入設(shè)備認(rèn)證相結(jié)合，，驗(yàn)證接

入用戶的合法性，獲取接入訪問權(quán)限。

b)基于安全策略的訪問控制。將<地址、協(xié)議、端口>三元組與<接入主體、接入?yún)^(qū)域、

接入服務(wù)>相關(guān)聯(lián)，建立訪問控制策略庫，實(shí)施基于安全策略的訪問控制。

c)安全通道建立與處理。針對移動安全接入、網(wǎng)絡(luò)安全互聯(lián)兩種模式，在接入用戶與

訪問對象之間，建立靜動態(tài)安全通道，提供政務(wù)數(shù)據(jù)傳輸?shù)谋Ｃ苄浴⑼暾?、抗重放攻擊?/p>

務(wù)等。

d)NAT處理。支持正向SNAT功能，為電子政務(wù)系統(tǒng)內(nèi)部用戶提供互聯(lián)網(wǎng)訪問服務(wù)；

支持反向DNAT功能，為互聯(lián)網(wǎng)公共用戶提供政務(wù)網(wǎng)絡(luò)內(nèi)部公開服務(wù)；支持反向SNAT功

能，將遠(yuǎn)程用戶地址虛擬映射為政務(wù)網(wǎng)絡(luò)內(nèi)部地址，以方便安全接入與接入控制。

e)接入安全狀態(tài)評估。通過安全狀態(tài)評估，和終端隔離與補(bǔ)救服務(wù)的聯(lián)動，確保接入

終端的安全，防止風(fēng)險的傳遞。

f)域間安全防護(hù)。采用基于安全策略的訪問控制、信息內(nèi)容檢測等技術(shù)，對不同區(qū)域

的信息進(jìn)行檢測、過濾與控制，實(shí)現(xiàn)域間安全防護(hù)。

4

GB/TXXXXX.1—XXXX

6.2.2接入控制適應(yīng)性

良好的網(wǎng)絡(luò)適應(yīng)性是接入控制得以正常運(yùn)行的關(guān)鍵。其基本要求為：

a)無縫接入。支持安全接入的無縫化，滿足不同接入鏈路下不同用戶的接入需求。

b)透明安全服務(wù)。支持多種應(yīng)用，如http、ftp、POP3、SMTP等，為用戶提供透明的

安全服務(wù)。

c)部署與實(shí)施靈活性。支持路由、網(wǎng)橋等網(wǎng)絡(luò)互聯(lián)模式。

d)兼容性。應(yīng)與其他安全系統(tǒng)兼容，避免影響其工作效率，進(jìn)而影響電子政務(wù)系統(tǒng)的

正常運(yùn)轉(zhuǎn)。

e)平滑遷移。宜支持平滑遷移能力，支持系統(tǒng)的容災(zāi)備份，防止單點(diǎn)失效，保證電子

政務(wù)系統(tǒng)的正常運(yùn)行。

6.3接入認(rèn)證

6.3.1用戶接入認(rèn)證策略

按照電子政務(wù)系統(tǒng)各安全域的功能及其安全需求，宜明確各安全域的用戶接入策略，以

限定不同類型用戶的接入訪問區(qū)域，防止非授權(quán)訪問。用戶接入策略如下：

a)互聯(lián)網(wǎng)公眾可接入訪問公開數(shù)據(jù)處理區(qū)域。

b)僅允許政府單位辦公人員和其他授權(quán)用戶接入訪問內(nèi)部數(shù)據(jù)處理區(qū)，僅允許政務(wù)系

統(tǒng)內(nèi)部人員以及其他系統(tǒng)的授權(quán)人員接入訪問。

c)僅允許電子政務(wù)系統(tǒng)安全管理人員接入訪問安全管理區(qū)域。

d)僅允許政府單位辦公人員、注冊用戶接入訪問安全服務(wù)區(qū)。

e)宜禁止接入用戶的越權(quán)訪問、跨區(qū)域訪問，防止內(nèi)部數(shù)據(jù)的泄漏與破壞。

6.3.2用戶接入平臺

接入平臺是用戶安全接入政務(wù)網(wǎng)絡(luò)所依托的終端設(shè)備，其安全性也是保證用戶安全接入

的關(guān)鍵。為防止外部風(fēng)險傳遞到電子政務(wù)網(wǎng)絡(luò)，用戶接入平臺須滿足以下要求：

a)接入平臺環(huán)境安全。不論接入平臺是PC機(jī)，還是智能終端，其系統(tǒng)環(huán)境宜是安全

可信的，未被木馬、病毒等感染。

b)接入進(jìn)程合法性驗(yàn)證。當(dāng)用戶接入訪問政務(wù)內(nèi)部網(wǎng)絡(luò)時，接入進(jìn)程可進(jìn)行合法性驗(yàn)

證，防止接入進(jìn)程被木馬注入，保證接入進(jìn)程的可信性。

c)便攜式終端安全接入。當(dāng)采用便攜式終端進(jìn)行安全接入時，則須與不可信環(huán)境及其

平臺進(jìn)行系統(tǒng)的有效隔離，防止風(fēng)險的交叉?zhèn)鬟f。

6.3.3用戶接入認(rèn)證

接入認(rèn)證是接入控制的前提，用于驗(yàn)證用戶的合法性。用戶在接入政務(wù)網(wǎng)絡(luò)時，宜滿足

以下接入認(rèn)證要求：

a)電子政務(wù)系統(tǒng)宜支持多種接入認(rèn)證方式，以適應(yīng)于不同類別的接入用戶。如口令認(rèn)

證、數(shù)字證書認(rèn)證、多認(rèn)證方式組合等。

b)接入認(rèn)證的時機(jī)。在用戶聯(lián)網(wǎng)成功以后，當(dāng)訪問政務(wù)網(wǎng)絡(luò)時觸發(fā)接入認(rèn)證。

d)接入認(rèn)證的撤銷。為保證接入認(rèn)證的時效性及系統(tǒng)的安全，宜在用戶完成訪問，或

5

GB/TXXXXX.1—XXXX

在一段時間內(nèi)用戶未進(jìn)行訪問時，撤銷其認(rèn)證。

e)個人終端接入項(xiàng)。當(dāng)接入平臺為PC機(jī)、筆記本時，接入認(rèn)證項(xiàng)可為用戶ID、數(shù)字

證書，如圖3所示。通過驗(yàn)證數(shù)字證書的合法性，裁決用戶是否可以進(jìn)行接入。

圖3個人終端接入認(rèn)證項(xiàng)

f)智能終端接入項(xiàng)。當(dāng)接入平臺為智能手機(jī)時，接入認(rèn)證項(xiàng)可為用戶ID、手機(jī)號碼、

SIM卡號，如圖4所示。通過手機(jī)號碼、SIM卡號，獲取用戶數(shù)字證書，驗(yàn)證數(shù)字證書的

合法性，裁決用戶是否可以進(jìn)行接入。

圖4智能終端接入認(rèn)證項(xiàng)

6.4接入控制規(guī)則

6.4.1用戶接入控制規(guī)則

在基于互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中，用戶的接入控制規(guī)則滿足以下要求：

a)當(dāng)為網(wǎng)絡(luò)互聯(lián)模式時，用戶接入控制規(guī)則的格式可包括用戶IP地址、服務(wù)IP地址、

協(xié)議、端口號、接入安全區(qū)域標(biāo)識、策略等，控制粒度限定在IP地址和端口，可實(shí)現(xiàn)粗粒

度的接入控制。

b)當(dāng)為移動安全接入時，用戶接入控制規(guī)則的格式可包括用戶對象名、權(quán)限、資源、

接入安全區(qū)域標(biāo)識、策略等，控制的粒度限定在資源，可實(shí)現(xiàn)細(xì)粒度訪問控制。

c)當(dāng)接入用戶的IP地址動態(tài)變化時，宜依據(jù)用戶數(shù)字證書判定其合法身份，動態(tài)生

成用戶接入控制規(guī)則。若接入用戶身份無法得到確認(rèn)，僅允許接入到公開數(shù)據(jù)處理區(qū)。

d)支持用戶接入控制規(guī)則的動態(tài)變化。當(dāng)用戶可信度降低，或接入平臺可信性較差時，

可適當(dāng)調(diào)整用戶的接入控制規(guī)則。

6.4.2分組接入控制規(guī)則

在電子政務(wù)系統(tǒng)中，宜支持組、子網(wǎng)的接入控制，以降低接入控制規(guī)則管理的復(fù)雜度。

分組接入控制規(guī)則滿足以下要求：

a)子網(wǎng)接入控制規(guī)則的格式可包括IP地址、子網(wǎng)掩碼、接入的安全區(qū)域標(biāo)識、服務(wù)

IP地址、策略等；或?yàn)樽泳W(wǎng)對象名、接入的安全區(qū)域標(biāo)識、服務(wù)IP地址、策略等。

b)組的接入控制規(guī)則的格式可包括組對象名、接入的安全區(qū)域標(biāo)識、服務(wù)IP地址、

策略等。

6.4.3終端隔離與補(bǔ)救規(guī)則

終端隔離與補(bǔ)救規(guī)則滿足以下要求：

a)當(dāng)終端接入政務(wù)網(wǎng)絡(luò)時，檢測其是否已遭受木馬病毒的攻擊，若遭受，則禁止其接

入政務(wù)網(wǎng)絡(luò)，并將其接入補(bǔ)救區(qū)域，進(jìn)行病毒庫的升級，強(qiáng)制要求病毒查殺。

b)當(dāng)終端接入政務(wù)網(wǎng)絡(luò)時，檢測其是否存在嚴(yán)重的系統(tǒng)漏洞，若存在，則將其接入補(bǔ)

6

GB/TXXXXX.1—XXXX

救區(qū)，進(jìn)行在線的系統(tǒng)補(bǔ)丁下載與更新。

c)當(dāng)接入終端無法進(jìn)行病毒、木馬的查殺，以及系統(tǒng)漏洞無法修復(fù)時，宜禁止其接入

政務(wù)網(wǎng)絡(luò)。

d)當(dāng)終端接入政務(wù)網(wǎng)絡(luò)時，宜對接入進(jìn)程進(jìn)行認(rèn)證，防止非授權(quán)進(jìn)程的接入。

6.5接入控制管理

6.5.1統(tǒng)一接入安全管理

在互聯(lián)網(wǎng)電子政務(wù)系統(tǒng)中，安全管理要求如下：

a)統(tǒng)一安全管理要求。支持接入安全設(shè)備、接入用戶的集中、統(tǒng)一化管理。

b)可視化安全管理要求。對電子政務(wù)系統(tǒng)中的接入安全設(shè)備、接入用戶、網(wǎng)絡(luò)狀態(tài)

等進(jìn)行可視化的管理，更加直觀、形象地進(jìn)行管理。

c)遠(yuǎn)程安全管理要求。統(tǒng)一接入安全管理宜支持遠(yuǎn)程安全管理，使得管理用戶無須

親臨現(xiàn)場就能進(jìn)行接入安全設(shè)備的管理與調(diào)試。

d)統(tǒng)一接入安全管理宜包括安全策略管理、安全通道管理、系統(tǒng)管理、網(wǎng)絡(luò)管理以

及安全審計管理等。

e)安全管理宜支持三權(quán)分離，即安全管理、系統(tǒng)管理、審計管理的相互隔離。

6.5.2接入用戶管理

接入用戶管理要求如下：

a)用戶注冊。接入到電子政務(wù)系統(tǒng)的用戶，宜在統(tǒng)一接入安全管理系統(tǒng)中進(jìn)行注冊。

注冊用戶具有唯一的標(biāo)識。

b)用戶撤銷。支持用戶的撤銷功能，防止失效用戶的非法接入訪問。

c)用戶接入策略模板。支持用戶接入策略模板，可實(shí)現(xiàn)安全策略的生成、下載、編

輯、刪除等功能。

6.5.3安全策略管理

接入控制安全策略管理要求如下：

a)支持安全策略的添加、刪除與修改。依據(jù)電子政務(wù)系統(tǒng)的安全需求，可靈活地對

安全策略進(jìn)行調(diào)整。

b)支持安全策略的下發(fā)。對接入用戶、接入安全設(shè)備的安全策略進(jìn)行分發(fā)、加載。

c)支持組策略管理。主要包括組的管理、組策略的添加、刪除與修改等。

d)支持安全策略的一致性檢測。通過檢測安全策略的一致性，保證安全策略的可用

性。

e)支持策略沖突與消解。檢測并消除安全策略間的沖突，防止由于策略沖突而引起

的安全隱患。

6.5.4安全審計管理

基于數(shù)據(jù)流的安全審計

基于數(shù)據(jù)流的安全審計，主要依據(jù)數(shù)據(jù)報文信息，對過往接入安全設(shè)備的數(shù)據(jù)流進(jìn)行日

志記錄。其實(shí)施與管理要求如下：

a)安全審計格式。審計格式可為序號、源IP地址、目標(biāo)IP地址、源端口號、目標(biāo)端

7

GB/TXXXXX.1—XXXX

口號、協(xié)議、策略以及審計時間等。

b)審計轉(zhuǎn)存。支持審計日志的轉(zhuǎn)儲功能，實(shí)現(xiàn)審計數(shù)據(jù)的長期保存。

c)審計操作。具有審計日志存儲、查詢、刪除等功能。

d)審計分析。支持基于IP地址的訪問行為分析功能，依據(jù)分析結(jié)果，可評估電子政

務(wù)系統(tǒng)存在的安全風(fēng)險。

基于用戶的安全審計

基于用戶的安全審計，主要依據(jù)用戶身份與數(shù)據(jù)流的關(guān)聯(lián)，對過往接入安全設(shè)備的數(shù)據(jù)

流進(jìn)行安全審計，以防止IP地址假冒攻擊。其實(shí)施與管理要求如下：

a)用戶身份與數(shù)據(jù)流綁定。將用戶身份標(biāo)識與數(shù)據(jù)安全處理進(jìn)行關(guān)聯(lián)綁定，依據(jù)綁定

關(guān)系，審計到用戶。

b)審計格式。審計格式主要為序號、用戶、訪問服務(wù)信息、策略以及審計時間等。

c)審計操作。具有審計日志存儲、查詢、刪除等功能。

d)審計分析。支持基于用戶的訪問行為分析功能，依據(jù)分析結(jié)果，可評估用戶訪問行

為對電子政務(wù)系統(tǒng)的安全威脅。

7信息安全交換

7.1信息安全交換需求

7.1.1信息安全隔離需求

根據(jù)信息的重要程度和不同類別，采取不同的保護(hù)措施，實(shí)施分類防護(hù)；根據(jù)系統(tǒng)和數(shù)

據(jù)的重要程度和敏感程度不同，進(jìn)行分域存儲。按照電子政務(wù)應(yīng)用系統(tǒng)信息和應(yīng)用分類的安

全需求，劃分為內(nèi)部數(shù)據(jù)處理區(qū)域和公開數(shù)據(jù)處理區(qū)域；根據(jù)安全系統(tǒng)的功能不同，劃分為

安全管理區(qū)域和安全服務(wù)區(qū)域。要求對不同區(qū)域?qū)嵤┌踩綦x，應(yīng)能夠?qū)嵤└靼踩蜷g的信

息流控制，防止域間信息的非授權(quán)流動。

7.1.2信息安全共享需求

根據(jù)基于互聯(lián)網(wǎng)電子政務(wù)信息分域控制的要求，互聯(lián)網(wǎng)電子政務(wù)安全域劃分為內(nèi)部數(shù)據(jù)

處理區(qū)域、公開數(shù)據(jù)處理區(qū)域、安全管理區(qū)域和安全服務(wù)區(qū)域。其中公開數(shù)據(jù)處理區(qū)域用來

承載處理公開信息的電子政務(wù)應(yīng)用系統(tǒng)及其數(shù)據(jù)庫，處理對公眾和企業(yè)開放的服務(wù)，如政策

發(fā)布、政府網(wǎng)站或便民服務(wù)等，這些都是提供給公眾訪問的公開數(shù)據(jù)。內(nèi)部數(shù)據(jù)處理區(qū)用來

承載處理內(nèi)部信息的電子政務(wù)應(yīng)用系統(tǒng)及其數(shù)據(jù)庫，處理政府內(nèi)部和部門之間的業(yè)務(wù)，這些

是僅允許系統(tǒng)內(nèi)部人員訪問的內(nèi)部數(shù)據(jù)。依據(jù)基于互聯(lián)網(wǎng)的電子政務(wù)辦公需求，需要內(nèi)部數(shù)

據(jù)處理區(qū)域和公開數(shù)據(jù)處理區(qū)域進(jìn)行信息共享。

7.1.3交換策略定制需求

為了保證內(nèi)部數(shù)據(jù)處理區(qū)域和公開數(shù)據(jù)處理區(qū)域之間信息的安全隔離和共享，需要在內(nèi)

部數(shù)據(jù)處理區(qū)和公開數(shù)據(jù)處理區(qū)之間實(shí)現(xiàn)信息的安全交換。由于內(nèi)部數(shù)據(jù)處理區(qū)和公開數(shù)據(jù)

處理區(qū)屬于不同的安全域，在互聯(lián)網(wǎng)環(huán)境下除了要應(yīng)對來自互聯(lián)網(wǎng)的攻擊，還要防止內(nèi)部數(shù)

據(jù)處理區(qū)的敏感信息泄露到公開數(shù)據(jù)處理區(qū)。因此需要對內(nèi)部數(shù)據(jù)處理區(qū)域和公開數(shù)據(jù)處理

區(qū)之間交換的行為和信息進(jìn)行控制，需要根據(jù)交換任務(wù)和安全需求，制定安全交換策略并實(shí)

8

GB/TXXXXX.1—XXXX

現(xiàn)對安全交換策略的動態(tài)管理。

7.1.4交換數(shù)據(jù)安全性需求

在域間進(jìn)行信息安全交換時，需要保證交換數(shù)據(jù)的安全性。交換數(shù)據(jù)的安全性主要包括

交換數(shù)據(jù)源可信、交換信息保密、交換信息完整及交換內(nèi)容過濾等。交換數(shù)據(jù)源可信應(yīng)支持

交換數(shù)據(jù)生成者對交換數(shù)據(jù)的數(shù)字簽名，確保交換數(shù)據(jù)源的真實(shí)性和不可否認(rèn)性。交換信息

保密宜支持對交換信息的加密存儲和傳輸，確保交換信息的保密性。交換信息完整宜支持對

交換信息的完整性驗(yàn)證，防止交換過程中的木馬夾帶攻擊與信息非法篡改。交換內(nèi)容過濾應(yīng)

支持對交換信息實(shí)施基于安全交換策略的內(nèi)容過濾。

7.1.5交換行為監(jiān)管需求

為了防范木馬夾帶攻擊和敏感信息的泄漏，要求在安全策略控制下實(shí)施受控交換，要求

使用專用的交換進(jìn)程，要求對交換進(jìn)程行為進(jìn)行全周期管控，保證交換行為的可管可控。

7.2信息安全交換模式

基于互聯(lián)網(wǎng)電子政務(wù)信息安全交換模式宜支持定制交換及流交換兩種交換模式。

7.2.1定制數(shù)據(jù)安全交換模式

定制數(shù)據(jù)交換模式是指基于交換策略對特定格式的、靜態(tài)的異構(gòu)數(shù)據(jù)進(jìn)行統(tǒng)一適配、轉(zhuǎn)

換、過濾、傳輸與加載的處理過程。這種模式的特點(diǎn)是一般面向特定的交換對象，對信息安

全交換行為的控制能力較強(qiáng)，主要適合于交換信息固定、交換行為可預(yù)定義的跨域交換，如

文件交換、數(shù)據(jù)庫同步等。

圖5定制數(shù)據(jù)安全交換模式

定制數(shù)據(jù)交換模式如圖5所示，分別在內(nèi)部數(shù)據(jù)處理區(qū)和公開數(shù)據(jù)處理區(qū)部署從交換節(jié)

點(diǎn)，在網(wǎng)關(guān)處部署主交換節(jié)點(diǎn)，具體交換步驟如下：

a)交換數(shù)據(jù)生成過程。內(nèi)部數(shù)據(jù)處理區(qū)中的交換適配區(qū)根據(jù)定制的交換策略從政務(wù)辦

公系統(tǒng)中提取交換信息，將交換信息轉(zhuǎn)換為統(tǒng)一的格式，放入交換緩沖區(qū)。

9

GB/TXXXXX.1—XXXX

b)交換數(shù)據(jù)傳遞過程。合閉專用進(jìn)程控制點(diǎn)，啟動內(nèi)部處理區(qū)和交換主節(jié)點(diǎn)的專用進(jìn)

程將信息從內(nèi)部處理區(qū)的緩沖區(qū)交換到主節(jié)點(diǎn)的緩沖區(qū)中，任務(wù)完成后打開專用進(jìn)程控制

點(diǎn)。

c)交換數(shù)據(jù)過濾過程。對緩沖區(qū)中的信息進(jìn)行過濾并依據(jù)定制的交換任務(wù)將過濾后的

信息調(diào)度到相應(yīng)的接收緩沖區(qū)中，

d)交換數(shù)據(jù)加載過程。交換主節(jié)點(diǎn)和公開數(shù)據(jù)處理區(qū)的專用交換進(jìn)程控制點(diǎn)合閉，啟

動專用進(jìn)程將信息交換到公開數(shù)據(jù)處理區(qū)的交換緩沖區(qū)中，經(jīng)過適配區(qū)的轉(zhuǎn)換發(fā)送給公共服

務(wù)系統(tǒng)。

整個交換過程均在交換行為的管控下進(jìn)行，當(dāng)出現(xiàn)異常行為時立即終止信息交換。

7.2.2數(shù)據(jù)流安全交換模式

一種連續(xù)的、無限的、不可預(yù)測的流進(jìn)行跨域請求與響應(yīng)的過程。這種模式的特點(diǎn)是一

般面向不可知的交換對象，對信息安全交換行為的控制能力較弱，主要適合于交換實(shí)時性高、

交互性強(qiáng)、交換終端計算能力較弱的跨域交換，如視頻會議、實(shí)時監(jiān)控等。

圖6數(shù)據(jù)流安全交換模式

流交換模式如圖6所示，具體工作步驟如下：

a)流連接建立過程。在流交換開始之前進(jìn)行的會話連接建立。發(fā)送端通過請求建立連

接，接收端基于安全連接檢測機(jī)制，依據(jù)制定的策略對請求進(jìn)行檢測，從而判斷請求建立的

連接是否安全可信。

b)流嵌入過程。流從流源頭產(chǎn)生后進(jìn)入輸入緩存，在流身份信息嵌入器中對流進(jìn)行處

理將流指紋、流摘要、流哈希等流身份相關(guān)的信息嵌入到流中，并將嵌入身份信息的流轉(zhuǎn)移

到發(fā)送緩存。

c)流檢測過程。嵌入身份信息的流傳輸?shù)竭吔缇W(wǎng)關(guān)處首先進(jìn)入輸入緩存，待過濾的流

基于流交換策略對流進(jìn)行過濾檢測，只有符合策略的流才能通過過濾并流入輸出緩存中。

d)流驗(yàn)證過程。經(jīng)過流過濾后流入接收緩存。從流的包頭、包時間間隔等載體中提取

流指紋或流哈希等流身份相關(guān)的信息進(jìn)行流身份可信性驗(yàn)證。同時利用流簽名、流認(rèn)證等技

術(shù)進(jìn)行流完整性驗(yàn)證。最終通過驗(yàn)證的流傳送到接收端進(jìn)行數(shù)據(jù)處理。

10

GB/TXXXXX.1—XXXX

7.3定制數(shù)據(jù)安全交換模式技術(shù)要求

7.3.1定制交換策略

定制交換模式的策略制定應(yīng)包括以下幾個方面：

a)從公開到內(nèi)部的策略。允許通過制定交換流向、交換任務(wù)和交換方式等將數(shù)據(jù)從公

開處理數(shù)據(jù)區(qū)交換到內(nèi)部數(shù)據(jù)處理區(qū)。

b)從內(nèi)部到公開的策略。允許通過制定交換流向、交換任務(wù)和交換方式等將不涉及政

務(wù)辦公敏感信息的數(shù)據(jù)從內(nèi)部數(shù)據(jù)處理區(qū)交換到公開數(shù)據(jù)處理區(qū)。

c)交換任務(wù)的制定。允許制定交換任務(wù)的交換目錄。

d)交換內(nèi)容的制定。允許制定交換的內(nèi)容，如對交換信息的屬性、粒度等進(jìn)行定制。

e)交換方式的制定。允許制定交換的方式，如一次交換、周期交換、定時交換、自動

交換、手動交換等。

7.3.2定制數(shù)據(jù)安全交換適配

交換數(shù)據(jù)適配要求應(yīng)包括以下幾個方面：

a)交換數(shù)據(jù)源提取。應(yīng)支持Java、.Net、C、C++等多種語言開發(fā)業(yè)務(wù)系統(tǒng)；應(yīng)支持辦

公自動化系統(tǒng)、文件傳輸系統(tǒng)、數(shù)據(jù)庫同步系統(tǒng)、公共服務(wù)等多種類型應(yīng)用的業(yè)務(wù)系統(tǒng)；應(yīng)

支持文件級、數(shù)據(jù)庫級、表單級、字段/域級等不同粒度數(shù)據(jù)的提取。

b)交換數(shù)據(jù)轉(zhuǎn)換。應(yīng)支持不同業(yè)務(wù)應(yīng)用系統(tǒng)的數(shù)據(jù)結(jié)構(gòu)按照不同業(yè)務(wù)數(shù)據(jù)格式的要

求，遵循統(tǒng)一的數(shù)據(jù)規(guī)范、數(shù)據(jù)字典和數(shù)據(jù)編碼，進(jìn)行統(tǒng)一轉(zhuǎn)換，傳給底層網(wǎng)絡(luò)傳輸接口。

c)交換數(shù)據(jù)傳輸。應(yīng)支持不同類型的底層網(wǎng)路傳輸接口，如：Socket接口、SSL接口、

IPSec接口與消息中間件接口等。

7.3.3交換數(shù)據(jù)內(nèi)容安全

定制交換數(shù)據(jù)安全性要求應(yīng)包括以下幾個方面：

a)定制交換數(shù)據(jù)源可信。應(yīng)支持基于密碼技術(shù)的對數(shù)據(jù)源生成者的身份認(rèn)證，確保交

換數(shù)據(jù)源的真實(shí)性和不可否認(rèn)性。

b)定制交換數(shù)據(jù)完整。應(yīng)支持對交換信息的完整性驗(yàn)證，防止交換過程中的木馬夾帶

攻擊與信息非法篡改。

c)定制交換數(shù)據(jù)保密。應(yīng)支持對交換信息的加密存儲和傳輸，確保交換信息的保密性。

d)定制交換數(shù)據(jù)過濾。應(yīng)支持基于域間信息安全交換策略的信息過濾；應(yīng)支持不同粒

度的信息過濾；應(yīng)支持基于黑/白名單的過濾規(guī)則的過濾管理。

7.3.4交換進(jìn)程安全

交換進(jìn)程安全要求應(yīng)該包含以下幾個方面：

a)在信息交換中，專用交換進(jìn)程的交換行為應(yīng)該是可預(yù)知、可控制的。專用交換進(jìn)程

的交換行為應(yīng)受到安全策略的約束、其軌跡應(yīng)是平穩(wěn)有序的。

b)專用交換進(jìn)程的任何行為都是經(jīng)過授權(quán)和認(rèn)證的，一切未經(jīng)授權(quán)或認(rèn)證的行為都是

非法并且被禁止的。其中包括專用交換進(jìn)程對于數(shù)據(jù)、網(wǎng)絡(luò)等客體的操作。

c)在交換進(jìn)行過程中，宜對交換行為進(jìn)行實(shí)時地評估，保證其符合正常行為。

11

GB/TXXXXX.1—XXXX

d)應(yīng)在安全的環(huán)境下，收集正常的交換行為序列，在該行為序列上建立交換行為評估

模型。交換行為評估應(yīng)具有良好的完備性和精確性。

e)交換進(jìn)程行為評估應(yīng)具有高效的行為收集方法，使行為的收集對交換進(jìn)程透明，不

影響交換的正常進(jìn)行及效率。

7.3.5交換網(wǎng)絡(luò)連接安全

交換網(wǎng)絡(luò)連接安全主要用于保證交換網(wǎng)絡(luò)連接的可信性，應(yīng)包括以下幾個方面：

a)應(yīng)保證接入到交換網(wǎng)絡(luò)的專用交換進(jìn)程的可信性，防止木馬等惡意程序接入到交換

網(wǎng)絡(luò)中，在網(wǎng)絡(luò)中傳輸數(shù)據(jù)。

b)專用交換進(jìn)程運(yùn)行環(huán)境安全。應(yīng)保證專用交換進(jìn)程執(zhí)行時所依賴的軟件包可信；應(yīng)

保證進(jìn)程運(yùn)行所依賴的內(nèi)核環(huán)境可信，內(nèi)核環(huán)境主要包括內(nèi)核代碼段、內(nèi)核只讀數(shù)據(jù)段、系

統(tǒng)調(diào)用表、中斷描述符表、全局描述符表以及內(nèi)核模塊。

c)專用交換進(jìn)程運(yùn)行時安全。應(yīng)保證專用交換進(jìn)程的關(guān)鍵段的可信，如防止代碼段篡

改、棧溢出、堆溢出。

7.3.6交換行為審計

交換行為審計應(yīng)支持對所執(zhí)行的交換任務(wù)進(jìn)行記錄，記錄每次交換任務(wù)的源節(jié)點(diǎn)/目的

節(jié)點(diǎn)的IP地址、端口號、交換時間、交換文件的hash值等信息，當(dāng)出現(xiàn)違規(guī)交換時應(yīng)能記

錄下相應(yīng)的違規(guī)事件，以便日后審查。

7.4數(shù)據(jù)流安全交換模式技術(shù)要求

7.4.1數(shù)據(jù)流源認(rèn)證

在流交換中，宜基于流簽名、流指紋等鑒別技術(shù)從不同方式主動認(rèn)證流源頭信息，保證

流源頭信息的真實(shí)性和不可否認(rèn)性。

方式1：基于流簽名的數(shù)據(jù)流源認(rèn)證要求應(yīng)該包括以下幾個方面：

a)高效性。采用的流簽名算法應(yīng)對數(shù)據(jù)流進(jìn)行高效的簽名和驗(yàn)證。具有高效性、實(shí)時

性、所需計算資源少等特點(diǎn)。

b)實(shí)時性。采用的流簽名算法應(yīng)能夠容忍包丟失、包延時，實(shí)現(xiàn)對數(shù)據(jù)包實(shí)時驗(yàn)證。

c)計算資源少。采用的流簽名算法應(yīng)支持流分片簽名功能，無需預(yù)先緩存整個流數(shù)據(jù)。

d)不可偽造性。采用的流簽名算法應(yīng)支持在適應(yīng)性選擇消息攻擊下是不可偽造的。

方式2：基于流指紋的數(shù)據(jù)流源頭可信性驗(yàn)證要求應(yīng)該包括以下幾個方面：

a)應(yīng)不受到通信系統(tǒng)異構(gòu)性的影響，適應(yīng)電子政務(wù)