| 标准编号 | GB/Z 24294.2-2017 (GB/Z24294.2-2017) | | 中文名称 | 信息安全技术 基于互联网电子政务信息安全实施指南 第2部分:... | | 英文名称 | Information security technology -- Guide of implementation for Internet-based e-government information security -- Part 2: Access control and secure exchange | | 行业 | 国家标准 | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 18,139 | | 发布日期 | 2017-05-31 | | 实施日期 | 2017-12-01 | | 旧标准 (被替代) | GB/Z 24294-2009部分 | | 引用标准 | GM/T 0022-2014 | | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | | 范围 | GB/Z 24294的本部分明确了互联网电子政务分域控制的两个阶段,在接入控制阶段,对接入控制结构、接入安全设备功能、接入认证、接入控制规则、接入控制管理等方面给出指南性建议要求;在安全交换阶段,对安全交换模式、定制数据安全交换要求、数据流安全交换要求给出指南性建议要求。本部分适用于没有电子政务外网专线或没有租用通信网络专线条件的组织机构,基于互联网开展不涉及国家秘密的电子政务安全接入控制策略设计、工程实施与系统研发,为管理人员、工程技术人员、信息安全产品提供者进行信息安全规划与建设提供管理和技术参考。涉 | GB/Z 24294.2-2017
Information security technology.Guide of implementation for Internet-based e-government information security.Part 2.Access control and secure exchange
ICS 35.040
L80
中华人民共和国国家标准化指导性技术文件
部分代替GB/Z 24294-2009
信息安全技术
基于互联网电子政务信息安全实施指南
第2部分.接入控制与安全交换
2017-05-31发布
2017-12-01实施
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 分域控制 3
6 接入控制 3
6.1 接入控制结构 3
6.1.1 接入控制组成 3
6.1.2 接入控制方式 4
6.2 接入控制功能 4
6.2.1 接入控制安全功能 4
6.2.2 接入控制适应性 5
6.3 接入认证 5
6.3.1 用户接入认证策略 5
6.3.2 用户接入平台 5
6.3.3 用户接入认证 5
6.4 接入控制规则 6
6.4.1 用户接入控制规则 6
6.4.2 分组接入控制规则 6
6.4.3 终端隔离与补救规则 7
6.5 接入控制管理 7
6.5.1 统一接入安全管理 7
6.5.2 接入用户管理 7
6.5.3 安全策略管理 7
6.5.4 安全审计管理 7
7 信息安全交换 8
7.1 信息安全交换需求 8
7.1.1 信息安全隔离需求 8
7.1.2 信息安全共享需求 8
7.1.3 交换策略定制需求 8
7.1.4 交换数据安全性需求 9
7.1.5 交换行为监管需求 9
7.2 信息安全交换模式 9
7.2.1 定制数据安全交换模式 9
7.2.2 数据流安全交换模式 10
7.3 定制数据安全交换模式技术要求 11
7.3.1 定制交换策略 11
7.3.2 定制数据安全交换适配 11
7.3.3 交换数据内容安全 11
7.3.4 交换进程安全 11
7.3.5 交换网络连接安全 12
7.3.6 交换行为审计 12
7.4 数据流安全交换模式技术要求 12
7.4.1 数据流源认证 12
7.4.2 数据流完整性验证 13
7.4.3 数据流内容检测 13
前言
GB/Z 24294《信息安全技术 基于互联网电子政务信息安全实施指南》分为4个部分.
---第1部分.总则;
---第2部分.接入控制与安全交换;
---第3部分.身份认证与授权管理;
---第4部分.终端安全防护。
本部分为GB/Z 24294的第2部分。
本部分按照GB/T 1.1-2009给出的规则起草。
本部分部分代替GB/Z 24294-2009《信息安全技术 基于互联网电子政务信息安全实施指南》,与
GB/Z 24294-2009相比,主要技术变化如下.
---给出了接入控制组成结构与实施办法;
---对接入控制功能、网络适应性提出了新的基本要求,详细细化了接入认证、接入控制规则以及
接入控制管理要求,更加适合电子政务安全接入控制需求;
---针对安全交换补充了信息安全交换模式分类;
---针对安全交换补充了定制数据安全交换模式技术要求和数据流安全交换模式技术要求。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本部分由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本部分起草单位.解放军信息工程大学、中国电子技术标准化研究所、北京天融信科技有限公司、郑
州信大捷安信息技术股份有限公司。
本部分主要起草人.陈性元、杜学绘、孙奕、夏春涛、曹利峰、张东巍、任志宇、罗锋盈、上官晓丽、
董国华。
本部分所代替标准的历次版本发布情况为.
---GB/Z 24294-2009。
引 言
互联网作为我国电子政务的重要信息基础设施,尽管提高了办公的效率,节约了资源与成本,但是
互联网的开放性,接入用户、接入终端、接入手段的多样化,电子政务系统的安全要求与电子政务系统的
开放性之间的矛盾等,将使得电子政务系统面临着非法接入、非授权访问、信息无法安全共享等安全问
题,应该引起高度重视。为确保政务用户能够合法接入互联网电子政务系统安全区域,防止非法接入与
非授权访问,以及域间信息安全交换特制定本部分,推动互联网在我国电子政务中的安全应用。
本部分提出了安全接入与安全交换两个阶段的安全功能要求,对基于互联网电子政务信息安全系
统结构设计、网络接入方式、信息安全共享提供指导。本部分首先对分域控制与域间信息安全交换模式
进行描述,然后分别从接入控制和信息安全交换技术两个阶段进行描述。在接入控制阶段,首先对接入
控制模式进行了描述,明确了接入控制的组成、功能以及接入方式的要求;接着对接入认证、分域控制要
求进行了规范,明确了接入认证、接入设备功能等要求,并描述了分域控制实施细则;最后对接入控制规
则、接入管理进行了描述,明确了不同情况下接入控制策略以及安全管理要求。在安全交换阶段,首先
对互联网电子政务信息安全交换的安全需求进行描述;明确了基于互联网电子政务信息安全交换的模
式;然后分别对在定制数据安全交换模式和数据流安全交换模式下实施信息安全交换的关键环节提出
相关要求。
本部分主要适用于没有电子政务外网专线或没有租用通信网络专线条件的组织机构,基于互联网
开展非涉及国家秘密的电子政务建设,当建设需要时,可根据安全策略与电子政务外网进行安全对接。
信息安全技术
基于互联网电子政务信息安全实施指南
第2部分.接入控制与安全交换
1 范围
GB/Z 24294的本部分明确了互联网电子政务分域控制的两个阶段,在接入控制阶段,对接入控制
结构、接入安全设备功能、接入认证、接入控制规则、接入控制管理等方面给出指南性建议要求;在安全
交换阶段,对安全交换模式、定制数据安全交换要求、数据流安全交换要求给出指南性建议要求。
本部分适用于没有电子政务外网专线或没有租用通信网络专线条件的组织机构,基于互联网开展
不涉及国家秘密的电子政务安全接入控制策略设计、工程实施与系统研发,为管理人员、工程技术人员、
信息安全产品提供者进行信息安全规划与建设提供管理和技术参考。涉及国家秘密,或所存储、处理、
传输信息汇聚后可能涉及国家秘密的,按照国家保密规定和标准执行。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GM/T 0022-2014 IPsecVPN技术规范
3 术语和定义
下列术语和定义适用于本文件。
3.1
对接入主体进行身份合法性检查所采用的方法与手段,以保证接入主体的合法性。
3.2
接入控制规则 accesscontrolrule
针对不同的接入主体,制定相应的安全规则,防止接入主体对内部网络资源的非法访问和越权
访问。
3.3
......
|