电子政务外网安全运维技术规范.docx

电子政务外网安全运维技术规范

1范围

本文件规定了电子政务外网安全运维工作应具备的技术要求。

本文件适用于指导各级电子政务外网安全运维工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不住日期的引用文件，其中最新版本（包括所有的修改单）适用于本文件。

GB/T22081信息技术安全技术信息安全控制实践指南

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T25069信息安全技术术语

GB/T29246信息技术安全技术信息安全管理体系概述和词汇

GB/T32925信息安全技术政府联网计算机终端安全管理基本要求

GB/T36626信息安全技术信息系统安全运维管理指南

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1

电子政务外网e-governmentnetwork

服务于各级党委、人大、政府、政协、法院和检察院等政务部门，满足其经济调节、市场监管、社会管理和公共服务等方面需要的政务公用网络。

3.2

运维终端operationandmaintenanceterminal

指接入电子政务外网并在运维维护工作中使用的终端设备，包括台式微型计算机、便携微型计算机或虚拟终端系统等。

3.3

访问控制accesscontrol

确保对资产的访问是基于业务和安全要求进行授权和限制的手段。

[来源GB/T29246-2017,2.1]

3.4

运维对象operationandmaintenanceobject

运维对象包括电子政务外网基础设施、物理资源、虚拟资源、信息系统和数据等。

3.5

安全审计securityaudit

对电子政务外网运维活动记录进行独立评审和考察，以测试过程控制的充分程度，确保对于既定安全策略和运行规程的符合性，发现安全违规，并在控制、安全策略和过程三方面提出改进建议。

4总则

电子政务外网安全运维工作针对运维对象应满足网络准入要求、运维终端要求、安全审计要求、运维技术要求以及运维支撑系统要求。

5网络准入要求

5.1接入方式

应采用安全的网络接入方式接入电子政务外网，严格控制被访问的地址和网段。

5.1.1本地运维

经本级电子政务外网安全接入平台认证通过后，通过堡垒机访问运维对象。

5.1.2远程运维

经VPN连接本级电子政务外网后，通过堡垒机访问运维对象。

5.2身份认证

身份认证包括但不限于以下要求：

a）接入电子政务外网的运维终端应具备唯一标识，唯一标识信息应包括用户信息和终端设备信息，

并完成用户与终端实名绑定；

b）应采用双因素进行身份认证；

c）应加密鉴别信息，保障传输和存储过程中的安全；

d）账号口令应按照强口令策略设置，并定期更换。

5.3安全检查

运维终端接入电子政务外网之前，应通过安全接入检查，检查不通过的终端禁止接入电子政务外网，检查内容包括但不限于以下要求：

a）终端应安装运行防病毒软件，病毒库版本应为最新版本；

b）终端不存在弱口令账户；

c）终端不存在恶意进程或软件；

d）终端不存在未修复的高危漏洞。

5.4访问控制与安全隔离

运维终端在同时接入多个不同的网络情况下，应满足但不限于以下要求：

a）终端接入电子政务外网时，应采用基于用户的资源访问控制，并最小化授权；b）应对终端环境进行持续监测和评估，根据评估结果动态调整权限；

c）应对终端进行网络隔离，确保终端获得准入授权后访问电子政务外网，不能同时访问其他网络。

6运维终端要求

6.1基本要求

应对运维终端进行恶意代码防范、终端入侵防护、非法外联控制、安全基线检查、漏洞检测修复和数据安全防护。

6.2恶意代码防范及入侵防护

接入电子政务外网的运维终端应安装病毒与恶意代码防护软件，及时更新病毒与恶意代码库，支持终端入侵防护，开启实时防护。

6.3非法外联控制

运维终端接入电子政务外网时，应能检测终端通过无线热点、双网卡、非法网关连接互联网的行为，并应对该行为进行告警和阻断。

6.4安全基线检查

接入电子政务外网的终端应按照GB/T32925中8.2，8.3和8.4的要求，进行安全基线检查，并对发现的不符合项进行修复。

6.5漏洞检测修复

应对运维终端定期进行安全扫描，并对发现的漏洞、高危端口或服务进行修复。

6.6数据安全防护

数据安全防护包括但不限于以下要求：

a）对通过邮件、即时通信、网盘、移动存储介质以及其他传输数据的行为进行监控，防止政务敏感数据外泄；

b）数据通信访问应采用