ICS35040

L80.

中華人民共和國國家標準化指導性技術文件

GB/Z242942—2017

部分代替.

GB/Z24294—2009

信息安全技術

基于互聯網電子政務信息安全實施指南

第2部分接入控制與安全交換

:

Informationsecuritytechnology—GuideofimplementationforInternet-based

e-overnmentinformationsecurit—Part2Accesscontrolandsecureexchane

gy:g

2017-05-31發布2017-12-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/Z242942—2017

.

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………2

分域控制

5…………………3

接入控制

6…………………3

接入控制結構

6.1………………………3

接入控制組成

6.1.1…………………3

接入控制方式

6.1.2…………………4

接入控制功能

6.2………………………4

接入控制安全功能

6.2.1……………4

接入控制適應性

6.2.2………………5

接入認證

6.3……………5

用戶接入認證策略

6.3.1……………5

用戶接入平臺

6.3.2…………………5

用戶接入認證

6.3.3…………………5

接入控制規則

6.4………………………6

用戶接入控制規則

6.4.1……………6

分組接入控制規則

6.4.2……………6

終端隔離與補救規則

6.4.3…………7

接入控制管理

6.5………………………7

統一接入安全管理

6.5.1……………7

接入用戶管理

6.5.2…………………7

安全策略管理

6.5.3…………………7

安全審計管理

6.5.4…………………7

信息安全交換

7……………8

信息安全交換需求

7.1…………………8

信息安全隔離需求

7.1.1……………8

信息安全共享需求

7.1.2……………8

交換策略定制需求

7.1.3……………8

交換數據安全性需求

7.1.4…………9

交換行為監管需求

7.1.5……………9

信息安全交換模式

7.2…………………9

定制數據安全交換模式

7.2.1………………………9

Ⅰ

GB/Z242942—2017

.

數據流安全交換模式

7.2.2…………10

定制數據安全交換模式技術要求

7.3…………………11

定制交換策略

7.3.1…………………11

定制數據安全交換適配

7.3.2………………………11

交換數據內容安全

7.3.3……………11

交換進程安全

7.3.4…………………11

交換網絡連接安全

7.3.5……………12

交換行為審計

7.3.6…………………12

數據流安全交換模式技術要求

7.4……………………12

數據流源認證

7.4.1…………………12

數據流完整性驗證

7.4.2……………13

數據流內容檢測

7.4.3………………13

Ⅱ

GB/Z242942—2017

.

前言

信息安全技術基于互聯網電子政務信息安全實施指南分為個部分

GB/Z24294《》4:

第部分總則

———1:;

第部分接入控制與安全交換

———2:;

第部分身份認證與授權管理

———3:;

第部分終端安全防護

———4:。

本部分為的第部分

GB/Z242942。

本部分按照給出的規則起草

GB/T1.1—2009。

本部分部分代替信息安全技術基于互聯網電子政務信息安全實施指南與

GB/Z24294—2009《》,

相比主要技術變化如下

GB/Z24294—2009,:

給出了接入控制組成結構與實施辦法

———;

對接入控制功能網絡適應性提出了新的基本要求詳細細化了接入認證接入控制規則以及

———、,、

接入控制管理要求更加適合電子政務安全接入控制需求

,;

針對安全交換補充了信息安全交換模式分類

———;

針對安全交換補充了定制數據安全交換模式技術要求和數據流安全交換模式技術要求

———。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本部分由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本部分起草單位解放軍信息工程大學中國電子技術標準化研究所北京天融信科技有限公司鄭

:、、、

州信大捷安信息技術股份有限公司

。

本部分主要起草人陳性元杜學繪孫奕夏春濤曹利峰張東巍任志宇羅鋒盈上官曉麗

:、、、、、、、、、

董國華

。

本部分所代替標準的歷次版本發布情況為

:

———GB/Z24294—2009。

Ⅲ

GB/Z242942—2017

.

引言

互聯網作為我國電子政務的重要信息基礎設施盡管提高了辦公的效率節約了資源與成本但是

,,,

互聯網的開放性接入用戶接入終端接入手段的多樣化電子政務系統的安全要求與電子政務系統的

,、、,

開放性之間的矛盾等將使得電子政務系統面臨著非法接入非授權訪問信息無法安全共享等安全問

,、、

題應該引起高度重視為確保政務用戶能夠合法接入互聯網電子政務系統安全區域防止非法接入與

,。,

非授權訪問以及域間信息安全交換特制定本部分推動互聯網在我國電子政務中的安全應用

,,。

本部分提出了安全接入與安全交換兩個階段的安全功能要求對基于互聯網電子政務信息安全系

,

統結構設計網絡接入方式信息安全共享提供指導本部分首先對分域控制與域間信息安全交換模式

、、。

進行描述然后分別從接入控制和信息安全交換技術兩個階段進行描述在接入控制階段首先對接入

,。,

控制模式進行了描述明確了接入控制的組成功能以及接入方式的要求接著對接入認證分域控制要

,、;、

求進行了規范明確了接入認證接入設備功能等要求并描述了分域控制實施細則最后對接入控制規

,、,;

則接入管理進行了描述明確了不同情況下接入控制策略以及安全管理要求在安全交換階段首先

、,。,

對互聯網電子政務信息安全交換的安全需求進行描述明確了基于互聯網電子政務信息安全交換的模

;

式然后分別對在定制數據安全交換模式和數據流安全交換模式下實施信息安全交換的關鍵環節提出

;

相關要求

。

本部分主要適用于沒有電子政務外網專線或沒有租用通信網絡專線條件的組織機構基于互聯網

,

開展非涉及國家秘密的電子政務建設當建設需要時可根據安全策略與電子政務外網進行安全對接

,,。

Ⅳ

GB/Z242942—2017

.

信息安全技術

基于互聯網電子政務信息安全實施指南

第2部分接入控制與安全交換

:

1范圍

的本部分明確了互聯網電子政務分域控制的兩個階段在接入控制階段對接入控制

GB/Z24294,,

結構接入安全設備功能接入認證接入控制規則接入控制管理等方面給出指南性建議要求在安全

、、、、;

交換階段對安全交換模式定制數據安全交換要求數據流安全交換要求給出指南性建議要求

,、、。

本部分適用于沒有電子政務外網專線或沒有租用通信網絡專線條件的組織機構基于互聯網開展

,

不涉及國家秘密的電子政務安全接入控制策略設計工程實施與系統研發為管理人員工程技術人員

、,、、

信息安全產品提供者進行信息安全規劃與建設提供管理和技術參考涉及國家秘密或所存儲處理

。,、、

傳輸信息匯聚后可能涉及國家秘密的按照國家保密規定和標準執行

,。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件