国家电子政务外网标准 GW0206—2014 接入政务外网的局域网安全技术规范 Security Technology Specification of Local Area Networking Connecting to CEGN 2014 - 11 - 13 发布 2015 - 1 - 1 实施 国家电子政务外网管理中心 目 次 前 言 ................................................................................................................................................................... I 引 言 .................................................................................................................................................................. II 1 范围 .................................................................................................................................................................. 1 2 规范性引用文件 .............................................................................................................................................. 1 3 术语和定义 ...................................................................................................................................................... 1 4 总体安全要求 .................................................................................................................................................. 2 5 局域网安全等级保护要求 .............................................................................................................................. 2 6 局域网安全域划分与隔离防护 ...................................................................................................................... 2 7 边界安全要求 .................................................................................................................................................. 3 7.1 接入政务外网边界安全要求 ................................................................................................................... 3 7.2 原有互联网出口边界安全要求 ............................................................................................................... 4 7.3 -AP 接入区接入边界安全要求 .................................................................................................................. 4 7.4 其他网络边界安全要求 ........................................................................................................................... 4 8 接入终端安全要求 .......................................................................................................................................... 4 8.1 计算机终端 ............................................................................................................................................... 4 8.2 移动智能终端 ........................................................................................................................................... 5 前 言 为指导各级政务部门局域网通过专线接入到国家电子政务外网（以下简称“政务外网”） ， 并在各单 位局域网接入后保障政务外网及所承载的政务业务安全，根据我国有关法律、法规和技术规范，结合政 务外网实际应用需求及建设经验编制本规范。 局域网自身安全防护建设由各单位按照信息安全等级保护相关要求和标准执行。 本规范由国家电子政务外网管理中心提出并归口。 本规范主要起草单位：国家电子政务外网管理中心、北京天融信科技有限公司、北京星网锐捷网络 技术有限公司、杭州迪普科技有限公司、深信服网络科技有限公司、北京艾科网信科技有限公司、 北 京国联天成信息技术有限公司。 本规范主要起草人：罗海宁、吕品、周民、邵国安、张锐卿、路剑华、徐涛、弓睿智、闫春保、梁 鹏、韩帅、赵迪。 I 引 言 各级政务部门局域网在接入政务外网后，局域网终端既可访问互联网，又可访问政务外网相关业务 系统。由于各单位局域网建设和管理均由各单位自行负责，信息安全等级保护和运维保障情况各不相同， 为保障政务外网相关业务连续性和整体安全性，本规范提出了局域网总体、接入政务外网边界和局域网 终端接入等安全技术要求。 II 接入政务外网的局域网安全技术规范 1 范围 本规范适用于指导各级政务外网建设、运维和管理单位对专线接入政务外网的局域网提出具体安全 要求，也可为各级政务部门局域网接入政务外网前的安全自查、整改提供参考。 2 规范性引用文件 下列文件条款通过本指南引用而成为本指南条款。凡是注明日期引用文件，其后所有修改版（不包 括勘误内容）或修订版均不适用于本指南。凡是不注明日期引用文件，其最新版本适用于本指南。 GB/T 5271.8-2001 信息技术 词汇 第 8 部分：安全 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 30278-2013 信息安全技术 政务计算机终端核心配置规范 《国家电子政务外网 IPSec VPN 安全接入技术要求与实施指南》（政务外网[2011]11 号） 《国家电子政务外网安全等级保护基本要求》 （政务外网[2011]15 号） 《国家电子政务外网安全等级保护实施指南》 （政务外网[2014]1 号） 3 术语和定义 GB/T 5271.8-2001 确定的以及下列术语和定义适用于本规范。 3.1 DMZ Demilitarized Zone（非军事区）的简称，它是一个对外提供网络服务的网络区域，一般设置在内 部网络和外部网络之间，受防火墙等访问控制措施保护，通过防火墙与内部网络、外部网络隔离，执行 与内部网络不同的安全策略，也有的称之为对外服务区。 3.2 AP Access Point（接入点）的简称，它作为有线网络向外延伸的接口之一，通过 Wi-Fi 方式可将各类 无线终端接入到有线网络。 3.3 移动智能终端 具有独立操作系统、用户自安装软件并可通过移动通讯网络来实现无线网络接入的终端，本规范中 特指政务部门内部办公人员在移动办公环境下所使用的智能手机和平板电脑。 3.4 国家电子政务外网安全接入平台 利用 Internet、移动通信网络（2G、3G、4G 等） 、VPDN 等基础网络，面向不具备专线接入条件的 各级政务部门、企事业单位、移动办公人员、现场执法人员和公众用户，提供安全接入到政务外网网络 1 或业务的服务平台。 4 总体安全要求 a) 局域网内部安全由接入单位按照信息安全等级保护相关标准进行安全防护； b) 局域网应根据业务需求划分安全域，进行区域隔离； c) 局域网在接入政务外网时，边界安全应符合以下要求： 1) 局域网接入政务外网时，应根据不同业务安全需求，进行边界安全防护； 2) 对原有的互联网出口进行安全防护； 3) 局域网与其他专有网络出口边界安全防护应遵循专网的安全要求。 d) 局域网终端安全应符合以下要求： 1) 终端跨网访问时，应采取必要安全隔离与控制措施； 2) 对计算机终端接入进行安全防护与准入控制； 3) 对移动智能终端接入进行安全防护与准入控制。 e) 局域网内对外提供服务节点应进行安全防护。 5 局域网安全等级保护要求 接入政务外网的局域网应依据信息安全等级保护的要求进行建设。 6 局域网安全域划分与隔离防护 接入单位可将局域网逻辑划分为内部业务区、终端接入区、AP 接入区、安全管理区以及不同 DMZ 区等安全域（如图 1 所示） ，局域网的外部边界主要有政务外网提供的公用网络区接入、互联网接