ICS 35.030 CCS L 80 34 安徽省 地方标准 DB34/T 5301—2025 电子政务外网安全运维技术规范 Technical specification for safety operation and maintenance of e -government network 2025 - 09 - 03发布 2025 - 10 - 03实施 安徽省市场监督管理局 发布 DB34/T 5301 —2025 I 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由安徽省大数据中心提出。 本文件由安徽省数据资源管理局归口。 本文件起草单位：安徽省大数据中心、安徽省数据资源管理局、安徽省电子产品监督检验所（安徽 省信息安全测评中心）、滁州市大数据中心、安徽省数字江淮中心、数字安徽有限责任公司、阜阳市数 据资源管理局、六安市数据资源管理局、马鞍山市大数据中心、池州市数据资源管理局、池州市大数据 中心、滁州市数据资源管理局、蚌埠市信息中心、阜阳市 大数据产业发展中心、六安市大数据中心、铜 陵市大数据中心、北京天融信网络安全技术有限公司、深信服科技股份有限公司、安徽省电子认证管理 中心有限责任公司、安徽中科晶格技术有限公司、科来网络技术股份有限公司、联通（安徽）产业互联 网有限公司、北京知道创宇信息技术股份有限公司、中国电信股份有限公司安徽分公司、中科国昱（合 肥）科技有限公司、安徽中科国金智能科技有限公司、安徽成方智能科技有限公司。 本文件主要起草人：王理冬、朱典、邹莉强、魏玉玉、于东、闫飞、杨阳、陶峰、李春艳、过丽丽、 陈思佳、黄璜、张翔宇、陈钢、童武俊、姜 思思、郑平、吴文秀、王雅运、顾勇健、李厚民、王梦林、 陈先才、白修灵、李渊、罗川、康健、蒋毅、余青松、邹岳明、彭珲、李星、盛念祖、鲍旭东、赵刚、 徐善祥、徐灏、查正朋、丁存凯、尤海宁。 DB34/T 5301 —2025 1 电子政务外网安全运维技术规范 1 范围 本文件规定了电子政务外网安全运维的 基本要求、网络准入 要求、运维终端 及安全审计 要求。 本文件适用于电子政务外网安全运维工作。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 25069 信息安全技术 术语 GB/T 32925 -2016 信息安全技术 政府联网计算机终端安全管理基本要求 GB/T 36626 -2018 信息安全技术 信息系统安全运维管理指南 3 术语和定义 GB/T 25069 界定的以及下列术语和定义适用于本文件。 3.1 安全运维 safety operation and maintenance 在对电子政务外网 开展维护、监控和配置工作时， 确保电子政务外网免 受各种安全威胁所采取的一 系列预先定义的活动。 3.2 运维终端 operation and ma intenance terminal 接入电子政务外网并在运维工作中使用的终端设备。 注： 包括台式微型计算机、便携微型计算机或虚拟终端系统等。 4 基本要求 安全管理 4.1 应建立健全安全运维相关管理制度，明确安全运维 的管理机构和职责， 采取技术防护措施 ，制定安 全运维规程， 并根据等级保护要求， 对安全措施的实施情况进行定期评估 。 外包安全 4.2 委托外包单位开展电子政务外网运维时，应以合同等手段明确外包单位网络和数据安全责任，并加 强日常监督管理和考核 。应督促外包单位严格按照约定使用、存储、处理数据。未经委托单位同意，外 包单位不得访问、修改、披露、利用、转让、销毁数据。 DB34/T 5301 —2025 2 安全运维规程 4.3 应符合GB/T 36626 -2018中第8章的规定。 安全运维支撑系统 4.4 应符合GB/T 36626 -2018中第9章的规定。 5 网络准入 本地运维 5.1 应通过本级电子政务外网安全接入平台认证后，经堡垒机访问运维对象。 注： 电子政务外网安全接入平台是面向各级政务部门、 企事业单位及其他工作人员， 提供安全接入到政务外网网络、 访问政务外网上业务系统的服务平台。 远程运维 5.2 应通过VPN、零信任控制 网关、商用密码等技术接入本级电子政务外网，经堡垒机访问运维对象。 身份认证 5.3 5.3.1 接入电子政务外网的运维终端应具备唯一标识， 唯一标识信息应包括用户信息和终端设备信息， 用户与终端 应实名绑定。 5.3.2 应采用双因素身份认证。 5.3.3 应加密鉴别信息，保障传输和存储过程中的安全。 5.3.4 账号口令应按照强口令策略设置，并定期更换。 安全检查 5.4 运维终端接入电子政务外网之前， 应通过安全接入检查， 检查不通过的终端禁止接入电子政务外网。 访问控制 5.5 5.5.1 运维终端在接入电子政务外网时，不能同时接入其他网络。 5.5.2 应采用基于用户的资源访问控制，并最小化授权。 5.5.3 应对运维终端环境进行持续监测和评估，根据评估结果动态调整资源访问权限。 6 运维终端 恶意代码防范及入侵防护 6.1 接入电子政务外网的运维终端应安装病毒与恶意代码防护软件，及时更新病毒与恶意代码库，支持 终端入侵防护，开启实时防护 策略。 非法外联控制 6.2 运维终端接入电子政务外网时， 应能检测终端通过无线热点、 双网卡、 非法网关连接互联网的行为， 并应对该行为进行告警和阻断。 安全基线检查 6.3 DB34/T 5301 —2025 3 接入电子政务外网的终端应按 GB/T 32925 -2016中8.2、8.3和8.4的规定进行安全基线检查，并对不 符合项进行修复。 漏洞检测修复 6.4 应对运维终端定期进行安全扫描，并对发现的漏洞、高危端口或服务进行修复。 数据安全防护 6.5 6.5.1 应对通过邮件、即时通信、网盘、移动存储介质以及其他传输数据的行为进行监控，防止政务 敏感数据外泄。 6.5.2 应对数据通信 访问采用国密算法进行加密保护，防止政务数据外泄。 6.5.3 应采用数字水印 技术对偷拍、截屏行为进行追踪溯源 。 7 运维安全审计 审计范围应覆盖每个运维操作及应用系统重要安全事件，如登录 /退出、改变访问控制策略、增加 7.1 /删除用户、改变用户权限和增加 /删除/修改业务数据。 日志内容应包括事件的日期、时间、发起者信息、类型、描述和结果。 7.2 日志留存时间应符合 GB/T 22239 的规定。 7.3 应对日志数据进行统计、查询、分析，生成审计报表。 7.4 应保护审计进程，避免单独结束审计进程。 7.5 审计记录产生的时间应由唯一确定的时钟产生 。 7.6 DB34/T 5301 —2025 4 参考文 献 [1] GB/T 22081 信息技术 安全技术 信息安全控制实践指南