DB32／T 4617.2—2023 电子政务外网 5G平面和IPv6网络技术规范 第2部分：5G平面安全要求.pdf

1、!7,江苏省市场监督管理局发布中 国 标 准 出 版 社出版电子政务外网 5G平面和 IPv6网络技术规范第 2部分：5G平面安全要求Egovernment networkTechnical specifications of 5G plane and IPv6 network platformPart 2：5G plane securityrequirement20231213 发布20240113 实施CCS L 67DB32/T 4617.22023ICS 35.240.01DB32/T 4617.22023前言引言41 范围12 规范性引用文件13 术语和定义14 缩略语15 基本要求

2、26 安全技术框架27 终端安全38 边界安全39 监测管理39.1 安全监测39.2 管理审计3目次DB32/T 4617.22023前言本文件按照 GB/T 1.12020 标准化工作导则第 1 部分：标准化文件的结构和起草规则 的规定起草。本文件是 DB32/T 4617 电子政务外网5G 平面和 IPv6 网络技术规范 的第 2 部分。DB32/T 4617 已经发布了以下部分：第 1 部分：5G 平面网络建设；第 2 部分：5G 平面安全要求；第 3 部分：IPv6 部署要求；第 4 部分：IPv6 地址及路由规划。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的

3、责任。本文件由江苏省政务服务管理办公室提出并归口。本文件起草单位：江苏省大数据管理中心。本文件主要起草人：吴中东、忻超、付勍、夏国光、曹银美、王子文、陆雨韬、黄敏、王光鑫、吴欣、汪忠瑞、刘晓红、卢冬冬、张培勇、张泊远、赵靖雯。DB32/T 4617.22023引言电子政务外网是数字政府建设的重要基础底座，是政府数字化转型的重要基础支撑。开展电子政务外网 5G 平面和 IPv6 网络建设能够强化提升电子政务外网高效、泛在、安全的承载能力和业务保障能力，推动各类政务应用创新发展，提高政务数字化、智能化水平。DB32/T 4617 电子政务外网5G 平面和 IPv6 网络技术规范 是指导江苏省电子政

4、务外网 5G 平面和 IPv6 网络建设的基础性、通用性标准，由四个部分构成。第 1 部分：5G 平面网络建设。目的在于规范和指导江苏省电子政务外网 5G 平面网络建设；第 2 部分：5G 平面安全要求。目的在于规范和指导江苏省电子政务外网 5G 平面安全建设；第 3 部分：IPv6 部署要求。目的在于规范和指导江苏省电子政务外网 IPv6 部署；第 4 部分：IPv6 地址及路由规划。目的在于规范江苏省电子政务外网 IPv6 地址及路由规划。DB32/T 4617.22023电子政务外网5G平面和 IPv6网络技术规范第 2部分：5G平面安全要求1 范围本文件规定了电子政务外网（以下简称“政

5、务外网”）5G 平面的基本要求、安全技术框架、终端安全、边界安全、监测管理要求。本文件适用于政务外网管理机构、接入部门、设计单位对 5G 平面安全进行规划、建设和管理。2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 22239信息安全技术网络安全等级保护基本要求GB/T 25070信息安全技术网络安全等级保护安全设计技术要求YD/T 36285G 移动通信网安全技术要求DB32/T 3514.1电子政务外网建设规范第 1 部分：网络

6、平台DB32/T 4617.1电子政务外网5G 平面和 IPv6 网络技术规范第 1 部分：5G 平面网络建设3 术语和定义DB32/T 3514.1、DB32/T 4617.1 界定的术语和定义适用于本文件。4 缩略语下列缩略语适用于本文件。DNN：数据网络名称（Data Network Name）IMSI：国际移动用户识别码（International Mobile Subscriber Identity）IMEI：国际移动设备标识（International Mobile Equipment Identity）ISDN：综合业务数字网（Integrated Services Digita

7、l Network）MAC：媒体接入控制（Media Access Control）MSISDN：移动台国际 ISDN 号码（Mobile Subscriber ISDN Number）SIM：用户身份模块（Subscriber Identity Module）SRv6：基于 IPv6 的段路由（Segment Routing over IPv6）TLS：安全传输层协议（Transport Layer Security）UPF：用户面功能（User Plane Function）VPN：虚拟专用网络（Virtual Private Network）5G：第五代移动通信技术（5th Genera

8、tion）1DB32/T 4617.220235 基本要求5.1 政务外网 5G 平面应符合 GB/T 22239、GB/T 25070 中网络安全等级保护第三级相关要求。5.2 政务外网 5G 平面应具备抵御各类安全风险的能力，包括但不限于：a）防止恶意攻击；b）及时发现、检测攻击行为，并进行处置；c）发现重要的安全漏洞，并进行修复；d）自身遭到损害时能够迅速恢复核心能力。5.3 政务外网 5G 平面应通过部署不同网络切片、政务专用 UPF 等方式，确保政务 5G 终端访问政务外网与运营商互联网隔离。5.4 政务专用 UPF 设备、边界安全防护设备、5G 专用接入设备和通信线路应具备冗余能力

9、，避免单点故障，保证系统的可用性。5.5 运营商 5G 网络的安全架构、安全功能以及相关安全流程等应符合 YD/T 3628 的要求。5.6 政务外网 5G 平面建设应符合自主可控相关要求。6 安全技术框架 政务外网 5G 平面和固网平面一体化融合，5G 平面安全防护体系如图 1 所示，包括：a）终端安全：对接入政务外网 5G平面的各类终端进行加固，实现机卡绑定和固定 IP地址分配；b）边界安全：对固移边界进行安全隔离，配置最小化安全策略，实现对 5G 终端接入流量的访问控制、入侵防护和病毒防护等；c）监测管理：对政务外网 5G平面所有接入流量进行实时监测、安全审计，实现对政务外网 5G平面安

10、全的统一管理。图 1政务外网 5G平面安全防护体系2DB32/T 4617.220237 终端安全7.1 应采用政务外网专用 SIM 卡，满足关闭语音、关闭短信、关闭互联网访问、定向短信、定向数据访问等安全要求。运营商应对入网的专用 SIM 卡进行一次认证，并使用专用 DNN 承载。7.2 终端 IP 地址应固定分配，不应配置地址转换。地址分配记录应至少保存 6 个月。7.3 5G 接入网关应能够对下联设备进行接入认证，包括 Portal 认证、MAC 认证、802.1x 认证、VPN 拨号认证等。7.4 对于敏感的业务数据访问，应采用沙箱等技术实现终端数据隔离，防止终端数据泄露。8 边界安全

11、8.1 应部署认证服务平台对终端进行二次认证，认证内容包括 DNN，SIM 卡信息（IMSI、MSISDN），设备信息（IMEI）等。8.2 应基于角色、SIM 卡信息（IMSI、MSISDN）或者设备信息（IMEI）进行访问控制，授予最小访问权限，并对终端环境进行持续检测和评估，根据评估情况动态调整其访问权限。8.3 应对非授权终端接入政务外网进行检查、限制。8.4 边界安全设备应支持对 SRv6、网络切片报文的安全解析，宜支持 SRv6 三层转发。8.5 应检测、防止和限制从运营商网络发起的网络攻击行为。当检测到攻击行为时，应记录攻击源 IP、攻击类型、攻击目标、攻击时间。在发生严重入侵事

12、件时，应及时告警。8.6 应对恶意代码进行检测和清除，并定期进行恶意代码库的升级与更新。8.7 应支持对 TLS 等常用协议加密流量进行检测，满足网络对加密流量的防护需求。9 监测管理9.1 安全监测安全监测具体要求如下：a）应对通过 5G平面接入政务外网的业务流量进行动态监测，实现安全态势感知和安全趋势分析；b）应对 5G终端访问行为进行持续监测，分析异常情况并动态调整其访问权限；c）应对监测结果按照重要程度、影响范围等进行分级别预警，并提供预警涉及的终端、SIM 卡、安全风险等内容；d）应在网络边界对监测发现的威胁进行处置，实现近源阻断，避免威胁扩散；e）运营商应实时向政务外网运行管理机构同步政务外网 5G平面的安全态势情况；f）监测数据应至少保存 6个月。9.2 管理审计管理审计具体要求如下：a）应对安全资产、安全事件、安全策略等安全相关事项进行统一管理；b）应支持对终端行为进行审计，包括登录账号、上线时间、下线时间、访问对象等；c）应对政务专用 UPF、5G专用接入设备等的系统日志、运行日志和告警日志进行审计；d）审计日志应至少保存 6个月。3DB32/T 4617.22023参 考 文 献1 GB/T 35282信息安全技术电子政务移动办公系统安全技术规范4