ICS：35.240.01 M 67 福 建 DB35 省 地 方 标 准 DB35/T 1745—2018 电子政务外网应用安全保障技术规范 Technological Standards on Application Security of E-Government Extranet 2018-02-05 发布 福建省质量技术监督局 2018-05-05 实施 发 布 DB35/T 1745—2018 目 次 前言 ................................................................................. II 引言 ................................................................................ III 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语与定义 .......................................................................... 1 4 缩略语 .............................................................................. 2 5 安全目标 ............................................................................ 3 6 第二级安全保障要求 .................................................................. 3 6.1 物理安全 ...................................................................... 3 6.2 网络安全 ...................................................................... 3 6.3 主机安全 ...................................................................... 5 6.4 应用安全 ...................................................................... 6 6.5 数据安全及备份恢复 ........................................................... 12 6.6 安全管理 ..................................................................... 12 7 第三级安全保障要求 ................................................................. 13 7.1 物理安全 ..................................................................... 13 7.2 网络安全 ..................................................................... 13 7.3 主机安全 ..................................................................... 14 7.4 应用安全 ..................................................................... 15 7.5 数据安全及备份恢复 ........................................................... 21 7.6 安全管理 ..................................................................... 22 附录 A（资料性附录）政务外网架构及安全域划分 .......................................... 23  I DB35/T 1745—2018 前 言 本规范按照 GB/T 1.1—2009《标准化工作导则 第 1 部分：标准的结构和编写》所规定的编写格式 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本规范由福建省网络与信息安全测评中心提出,由福建省信息化标准化技术委员会归口。 本规范起草单位：福建六壬网安股份有限公司、福建省网络与信息安全测评中心、福建省网络计算 与智能信息处理重点实验室。 本规范主要起草人：郭文忠、王琦、高松涛、康仲生、蔡滨海、陈羽中、刘延华、钟尚平、陈旺茂、 林子忠、林崟。 II DB35/T 1745—2018 引 言 为保障福建省电子政务外网相关业务应用系统安全稳定运行，规范省电子政务外网业务应用系统安 全建设行为，避免建设中出现重复建设、错误建设等情况，参照《关于加强信息安全保障工作的意见》、 《电子政务信息安全等级保护实施指南》等国家标准和文件，为提高应用电子政务外网信息的安全性、 完整性、可用性、可控性与可审查性以及综合安全防范能力，为电子政务外网应用安全提供技术指导， 特制定本规范。 III DB35/T 1745—2018 电子政务外网应用安全保障技术规范 1 范围 本规范规定了福建省电子政务外网应用安全的术语和定义、缩略语、安全目标、第二级及第三级 安全保障技术要求。 本规范适用于福建省电子政务外网的应用与管理。 2 规范性引用文件 下列文件对本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 GB 17859 计算机信息系统安全保护等级划分准则 GB/T 22239—2008 信息系统安全等级保护基本要求 GB/T 22240—2008 信息安全技术 信息系统安全等级保护定级指南 GB/T 25058—2010 信息安全技术 信息系统安全等级保护实施指南 GB/T 25069—2010 信息安全技术 术语 3 术语与定义 下列术语和定义适用于本规范。 3.1 电子政务外网安全体系 security system for electronic government external network 电子政务建设网络环境下的安全模型、技术、结构及其关系的总体构架。 3.2 逻辑隔离 logic isolation 逻辑隔离是一种不同网络间的安全防护措施，被隔离的两端仍然存在物理上数据通道连线。 3.3 公用网络区 public network area 公用网络区采用统一分配公共IP地址，是实现各部门、各地区互联互通，为跨地区、跨部门的业 务应用提供数据共享与交换的网络支撑平台。 3.4 专用网络区 private network area 1 DB35/T 1745—2018 依托国家政务外网基础设施，为特定需求的部门或业务设置VPN区域，主要满足部门横向、纵向 业务的需要，实现部委、省、地(市)和县端到端业务和数据的互联互通，实现与其他业务之间的逻辑 隔离。 3.5 互联网接入区 internet access area 是各级政务部门通过逻辑隔离安全接入互联网的网络区域，满足各级政务部门访问互联网的需 要。同时也是移动办公的公务人员通过政务外网数字证书，经网关认证后安全接入政务外网的途径。 3.6 文件数据 file data 主要指办公文档、文本文档、视频文件、图片文件、图纸文件等。 3.7 请求命令与响应数据 request and response data 基于服务器之间一方发送的请求数据和另一方返回的响应数据所形成的应用交互协议数据，这里 主要指应用服务器与数据库服务器之间、应用服务器与文件服务器之间的请求命令与响应数据。 3.8 信息摆渡 information ferry 信息传输时，信息先由信息源所在的网络一端传输至中间缓存区域，同时物理断开中间缓存区域 与信息目的地所在网络的连接；随后在信道上物理断开信息源所在网络与中间缓存区域的连接，接通 中间缓存区域与信息目的所在网络的传输信道，将信息传输至信息目的地所在网络。在任一时刻，中 间缓存区域只与一端网络相连。 3.9 网闸 gap 一种信息安全隔离设备，位于两个不同物理网络或安全域之间，通过协议转换的手段，以信息摆 渡的方式实现数据交换。 3.10 单向光闸 unilateral optical gap 结合网闸技术和光传输技术的一种信息安全隔离设备，其特性是利用光的单向传播特性进行信息 传输，确保信息在物理传导上的单向性，同时具有网闸的协议转换手段和信息摆渡方式。 4 缩略语 下列缩略语适用于本文件。 DNS: 域名系统(Domain Name System) DKIM:域密钥识别邮件(DomainKeys Identified Mail) FTP:文件传输协议(File Transfer Protocol) HTTP:超文本传送协议(Hypertext Transport Protocol) HTTP(S):基于SSL的HTTP(HTTP Over SSL) 2 DB35/T 1745—2018 ISP:互联网服务提供商(Internet Service Provider) IMAP:邮件访问协议(Internet Mail Access Protocol) POP3:邮局协议版本3(Post Office Protocol — Version 3) PIN:个人标识密码(Personal Identification Number) SSH:安全外壳协议(Secure Shell) SMTP:简单邮件传输协议(Simple Mail Transfer Protocol) SPF:发送方策略框架(Sender Policy Fr