ICS

..CCS

L

DB

.

電子政務外網

G

IPV

G

E?GOVERNMENT

NETWORK

G

AND

IPV

NETWORK

PART

G

REQUIREMENT??

發

布 ??

實

施江蘇省市場監督管理局 發布DB

.目次前言

……………………………Ⅲ引言………………41

范圍

…………………………12

規范性引用文件

……………13

術語和定義

…………………14

縮略語

………………………15

基本要求

……………………26

安全技術框架

………………27

終端安全

……………………38

邊界安全

……………………39

監測管理

……………………3

安全監測

………………3

管理審計

………………3DB

.本文件按照

GB/T

—2020《標準化工作導則第

1

部分：標準化文件的結構和起草規規定起草。本文件是

DB32/T

4617《電子政務外網5G

平面和

IPV6

2

部分。DB32/T

4617

已經發布了以下部分：——第

1

部分：5G

平面網絡建設；——第

2

部分：5G

平面安全要求；——第

3

部分：IPV6

部署要求；——第

4

部分：IPV6

地址及路由規劃。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由江蘇省政務服務管理辦公室提出并歸口。本文件起草單位：江蘇省大數據管理中心。本文件主要起草人：吳中東、忻超、付勍、夏國光、曹銀美、王子文、陸雨韜、黃敏、王光鑫、吳欣、汪忠瑞、劉曉紅、盧冬冬、張培勇、張泊遠、趙靖雯。DB

. 電子政務外網是數字政府建設的重要基礎底座，是政府數字化轉型的重要基礎支撐。開展電子政務外網

5G

平面和

IPV6

網絡建設能夠強化提升電子政務外網高效、泛在、安全的承載能力和業務保障能力，推動各類政務應用創新發展，提高政務數字化、智能化水平。DB32/T

4617子政務外網5G

平面和

IPV6

網絡技術規指導江蘇省電子政務外網

5G

平面和

IPV6

網絡建設的基礎性、通用性標準，由四個部分構成。——第

1

部分：5G

平面網絡建設。目的在于規范和指導江蘇省電子政務外網

5G

平面網絡建設；——第

2

部分：5G

平面安全要求。目的在于規范和指導江蘇省電子政務外網

5G

平面安全建設；——第

3

部分：IPV6

部署要求。目的在于規范和指導江蘇省電子政務外網

IPV6

部署；——第

4

部分：IPV6

地址及路由規劃。目的在于規范江蘇省電子政務外網

IPV6

地址及路由規劃。DB

.

G

IPV

G

范圍）本文件規定了電子政務外下簡稱“政務外網”

5G

平面的基本要求、安全技術框架、終端安全、）邊界安全、監測管理要求。本文件適用于政務外網管理機構、接入部門、設計單位對

5G

平面安全進行規劃、建設和管理。

規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版括所有的修改用于本文件。GB/T

22239信息安全技術網絡安全等級保護基本要求GB/T

25070信息安全技術網絡安全等級保護安全設計技術要求YD/T

36285G

移動通信網安全技術要求DB32/T

3514.1電子政務外網建設規范第

1

部分：網絡平臺DB32/T

4617.1電子政務外網5G

平面和

IPV6

網絡技術規范第

1

部分：5G

平面網絡建設

術語和定義DB32/T

3514.1、DB32/T

4617.1

界定的術語和定義適用于本文件。

縮略語下列縮略語適用于本文件。DNN：數據網絡名稱（DATA

NETWORK

NAME）IMSI：國際移動用戶識別碼（

MOBILE

）IMEI：國際移動設備標識（

MOBILE

EQUIPMENT

）ISDN：綜合業務數字網（

NETWORK）MAC：媒體接入控制（MEDIA

ACCESS

）MSISDN：移動臺國際

ISDN

號碼（MOBILE

ISDN

NUMBER）SIM：用戶身份模塊（

MODULE）SRV6：基于

IPV6

的段路由（SEGMENT

ROUTING

IPV6）TLS：安全傳輸層協議（

LAYER

）UPF：用戶面功能（USER

）VPN：虛擬專用網絡（

NETWORK）5G：第五代移動通信技術（

）DB

.

基本要求.

政務外網

5G

平面應符合

GB/T

22239、GB/T

25070

中網絡安全等級保護第三級相關要求。.

政務外網

5G

平面應具備抵御各類安全風險的能力，包括但不限于：）

防止惡意攻擊；B）

及時發現、檢測攻擊行為，并進行處置；）

發現重要的安全漏洞，并進行修復；D）

自身遭到損害時能夠迅速恢復核心能力。.

政務外網

5G

平面應通過部署不同網絡切片、政務專用

UPF

等方式，確保政務

5G

終端訪問政務外網與運營商互聯網隔離。.

政務專用

UPF

設備、邊界安全防護設備、5G

專用接入設備和通信線路應具備冗余能力，避免單點故障，保證系統的可用性。.

運營商

5G

網絡的安全架構、安全功能以及相關安全流程等應符合

YD/T

3628

的要求。.

政務外網

5G

平面建設應符合自主可控相關要求。

安全技術框架政務外網

5G

平面和固網平面一體化融合，5G

平面安全防護體系如圖

1

所示，包括：）

終端安全：對接入政務外網5G平面的各類終端進行加固，實現機卡綁定和固定IP地址分配；B）

邊界安全：對固移邊界進行安全隔離，配置最小化安全策略，實現對

5G終端接入流量的訪問控制、入侵防護和病毒防護等；）

監測管理：對政務外網5G平面所有接入流量進行實時監測、安全審計，實現對政務外網5G平面安全的統一管理。圖政務外網G平面安全防護體系DB

.

終端安全.

應采用政務外網專用

SIM

卡，滿足關閉語音、關閉短信、關閉互聯網訪問、定向短信、定向數據訪問等安全要求。運營商應對入網的專用

SIM

卡進行一次認證，并使用專用

DNN

承載。.

終端

IP

地址應固定分配，不應配置地址轉換。地址分配記錄應至少保存

6

個月。. 5G

接

入

網

關

應

能

夠

對

下

聯

設

備

進

行

接

入

認

證

，包

括

認

證、MAC

認

證、802.1X

認

證、VPN

撥號認證等。.

對于敏感的業務數據訪問，應采用沙箱等技術實現終端數據隔離，防止終端數據泄露。

邊界安全.

應部署認證服務平臺對終端進行二次認證，認證內容包括

DNN，SIM

卡信息（IMSI、MSISDN），設備信息（IMEI）等。. 應基于角色、SIM

卡信IMSI、MSISDN者設備信IMEI行訪問控制，授予最小訪問權限，并對終端環境進行持續檢測和評估，根據評估情況動態調整其訪問權限。.

應對非授權終端接入政務外網進行檢查、限制。.

邊界安全設備應支持對

SRV6、網絡切片報文的安全解析，宜支持

SRV6

三層轉發。.

應檢測、防止和限制從運營商網絡發起的網絡攻擊行為。當檢測到攻擊行為時，應記錄攻擊源

IP、攻擊類型、攻擊目標、攻擊時間。在發生嚴重入侵事件時，應及時告警。.

應對惡意代碼進行檢測和清除，并定期進行惡意代碼庫的升級與更新。.

應支持對

TLS

等常用協議加密流量進行檢測，滿足網絡對加密流量的防護需求。

監測管理.

安全監測安全監測具體要求如下：）

應對通過5G平面接入政務外網的業務流量進行動態監測，實現安全態勢感知和安全趨勢分析；B）

應對5G終端訪問行為進行持續監測，分析異常情況并動態調整其訪問權限；）

應對監測結果按照重要程度、影響范圍等進行分級別預警，并提供預警涉及的終端、SIM

卡、安全風險等內容；D）

應在網絡邊界對監測發現的威脅進行處置，實現近源阻斷，避免威脅擴散；）

運營商應實時向政務外網運行管理機構同步政務外網5G平面的安全態勢情況；F）

監測數據應至少保存6個月。