DB32-T 4617.2-2023 电子政务外网 5G平面和IPv6网络技术规范 第2部分：5G平面安全要求

ICS

..CCS

L

DB

.

电子政务外网

G

IPV

G

E⁃GOVERNMENT

NETWORK

G

AND

IPV

NETWORK

PART

G

REQUIREMENT⁃⁃

发

布 ⁃⁃

实

施江苏省市场监督管理局 发布DB

.目次前言

……………………………Ⅲ引言………………41

范围

…………………………12

规范性引用文件

……………13

术语和定义

…………………14

缩略语

………………………15

基本要求

……………………26

安全技术框架

………………27

终端安全

……………………38

边界安全

……………………39

监测管理

……………………3

安全监测

………………3

管理审计

………………3DB

.本文件按照

GB/T

—2020《标准化工作导则第

1

部分：标准化文件的结构和起草规规定起草。本文件是

DB32/T

4617《电子政务外网5G

平面和

IPV6

2

部分。DB32/T

4617

已经发布了以下部分：——第

1

部分：5G

平面网络建设；——第

2

部分：5G

平面安全要求；——第

3

部分：IPV6

部署要求；——第

4

部分：IPV6

地址及路由规划。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由江苏省政务服务管理办公室提出并归口。本文件起草单位：江苏省大数据管理中心。本文件主要起草人：吴中东、忻超、付勍、夏国光、曹银美、王子文、陆雨韬、黄敏、王光鑫、吴欣、汪忠瑞、刘晓红、卢冬冬、张培勇、张泊远、赵靖雯。DB

. 电子政务外网是数字政府建设的重要基础底座，是政府数字化转型的重要基础支撑。开展电子政务外网

5G

平面和

IPV6

网络建设能够强化提升电子政务外网高效、泛在、安全的承载能力和业务保障能力，推动各类政务应用创新发展，提高政务数字化、智能化水平。DB32/T

4617子政务外网5G

平面和

IPV6

网络技术规指导江苏省电子政务外网

5G

平面和

IPV6

网络建设的基础性、通用性标准，由四个部分构成。——第

1

部分：5G

平面网络建设。目的在于规范和指导江苏省电子政务外网

5G

平面网络建设；——第

2

部分：5G

平面安全要求。目的在于规范和指导江苏省电子政务外网

5G

平面安全建设；——第

3

部分：IPV6

部署要求。目的在于规范和指导江苏省电子政务外网

IPV6

部署；——第

4

部分：IPV6

地址及路由规划。目的在于规范江苏省电子政务外网

IPV6

地址及路由规划。DB

.

G

IPV

G

范围）本文件规定了电子政务外下简称“政务外网”

5G

平面的基本要求、安全技术框架、终端安全、）边界安全、监测管理要求。本文件适用于政务外网管理机构、接入部门、设计单位对

5G

平面安全进行规划、建设和管理。

规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版括所有的修改用于本文件。GB/T

22239信息安全技术网络安全等级保护基本要求GB/T

25070信息安全技术网络安全等级保护安全设计技术要求YD/T

36285G

移动通信网安全技术要求DB32/T

3514.1电子政务外网建设规范第

1

部分：网络平台DB32/T

4617.1电子政务外网5G

平面和

IPV6

网络技术规范第

1

部分：5G

平面网络建设

术语和定义DB32/T

3514.1、DB32/T

4617.1

界定的术语和定义适用于本文件。

缩略语下列缩略语适用于本文件。DNN：数据网络名称（DATA

NETWORK

NAME）IMSI：国际移动用户识别码（

MOBILE

）IMEI：国际移动设备标识（

MOBILE

EQUIPMENT

）ISDN：综合业务数字网（

NETWORK）MAC：媒体接入控制（MEDIA

ACCESS

）MSISDN：移动台国际

ISDN

号码（MOBILE

ISDN

NUMBER）SIM：用户身份模块（

MODULE）SRV6：基于

IPV6

的段路由（SEGMENT

ROUTING

IPV6）TLS：安全传输层协议（

LAYER

）UPF：用户面功能（USER

）VPN：虚拟专用网络（

NETWORK）5G：第五代移动通信技术（

）DB

.

基本要求.

政务外网

5G

平面应符合

GB/T

22239、GB/T

25070

中网络安全等级保护第三级相关要求。.

政务外网

5G

平面应具备抵御各类安全风险的能力，包括但不限于：）

防止恶意攻击；B）

及时发现、检测攻击行为，并进行处置；）

发现重要的安全漏洞，并进行修复；D）

自身遭到损害时能够迅速恢复核心能力。.

政务外网

5G

平面应通过部署不同网络切片、政务专用

UPF

等方式，确保政务

5G

终端访问政务外网与运营商互联网隔离。.

政务专用

UPF

设备、边界安全防护设备、5G

专用接入设备和通信线路应具备冗余能力，避免单点故障，保证系统的可用性。.

运营商

5G

网络的安全架构、安全功能以及相关安全流程等应符合

YD/T

3628

的要求。.

政务外网

5G

平面建设应符合自主可控相关要求。

安全技术框架政务外网

5G

平面和固网平面一体化融合，5G

平面安全防护体系如图

1

所示，包括：）

终端安全：对接入政务外网5G平面的各类终端进行加固，实现机卡绑定和固定IP地址分配；B）

边界安全：对固移边界进行安全隔离，配置最小化安全策略，实现对

5G终端接入流量的访问控制、入侵防护和病毒防护等；）

监测管理：对政务外网5G平面所有接入流量进行实时监测、安全审计，实现对政务外网5G平面安全的统一管理。图政务外网G平面安全防护体系DB

.

终端安全.

应采用政务外网专用

SIM

卡，满足关闭语音、关闭短信、关闭互联网访问、定向短信、定向数据访问等安全要求。运营商应对入网的专用

SIM

卡进行一次认证，并使用专用

DNN

承载。.

终端

IP

地址应固定分配，不应配置地址转换。地址分配记录应至少保存

6

个月。. 5G

接

入

网

关

应

能

够

对

下

联

设

备

进

行

接

入

认

证

，包

括

认

证、MAC

认

证、802.1X

认

证、VPN

拨号认证等。.

对于敏感的业务数据访问，应采用沙箱等技术实现终端数据隔离，防止终端数据泄露。

边界安全.

应部署认证服务平台对终端进行二次认证，认证内容包括

DNN，SIM

卡信息（IMSI、MSISDN），设备信息（IMEI）等。. 应基于角色、SIM

卡信IMSI、MSISDN者设备信IMEI行访问控制，授予最小访问权限，并对终端环境进行持续检测和评估，根据评估情况动态调整其访问权限。.

应对非授权终端接入政务外网进行检查、限制。.

边界安全设备应支持对

SRV6、网络切片报文的安全解析，宜支持

SRV6

三层转发。.

应检测、防止和限制从运营商网络发起的网络攻击行为。当检测到攻击行为时，应记录攻击源

IP、攻击类型、攻击目标、攻击时间。在发生严重入侵事件时，应及时告警。.

应对恶意代码进行检测和清除，并定期进行恶意代码库的升级与更新。.

应支持对

TLS

等常用协议加密流量进行检测，满足网络对加密流量的防护需求。

监测管理.

安全监测安全监测具体要求如下：）

应对通过5G平面接入政务外网的业务流量进行动态监测，实现安全态势感知和安全趋势分析；B）

应对5G终端访问行为进行持续监测，分析异常情况并动态调整其访问权限；）

应对监测结果按照重要程度、影响范围等进行分级别预警，并提供预警涉及的终端、SIM

卡、安全风险等内容；D）

应在网络边界对监测发现的威胁进行处置，实现近源阻断，避免威胁扩散；）

运营商应实时向政务外网运行管理机构同步政务外网5G平面的安全态势情况；F）

监测数据应至少保存6个月。