为了满足中央、省(自治区、直辖市)、地(市)、县各级政务部门使用 IPSec VPN 技术实现安全接入政务外网的需求,特编制本指南用以规范各级政务部门 IPSec VPN 技术体系的建设,保证各级政 务部门业务应用的顺利开展。本指南包括 IPSec VPN 系统整体框架、根本原则、技术方面的要求、建设实施、过程管理和典型应用场景等主要内容,规范了 IPSec VPN 技术实施的核心内容和技术要点,适用于指导各级政务部门进行 IPSec VPN 安全接入体系的规划设计、设备选型、建设实施、运行维护和管理等工作。
本指南适用于国家电子政务外网 IPSec VPN 安全接入体系规划设计、设备选型、建设实施、运行维护和管理。为政务外网各级建设运维单位、各级政务外网接入单位提供应用指导和参考。
各级政务部门能够最终靠互联网 IPSec VPN 接入政务外网,尤其是不具备专线接入政务外网条件的政务部门以及一些偏远地区,以保证各项业务的贯通,同时实现不同部门不同业务的安全隔离。
另一方面,众多政务部门均有人员出差或移动办公的需求,部分政务部门需要相应群体的公众或企业机构上报相关数据,这就要求政务外网为移动办公用户提供 IPSec VPN 接入服务。
a) 纵向互通:各下级政务部门通过IPSec VPN与其所属的上级政务部门互通;
b) 横向互通:各政务部门通过IPSec VPN与有业务需求的其它政务部门互通;
c) 移动办公接入:各政务部门移动办公用户和上报数据的单位、公众用户通过IPSec VPN系统安全接入政务外网;
d) 安全隔离:各级政务部门及移动办公用户的互联网IPSec VPN接入体系与政务外网骨干网上的 MPLS VPN体系安全对接,一一映射,以保证本部门的数据利用互联网IPSec VPN接入政务外网之后,只能按照需求进入该部门所属的MPLS VPN通道,保证各部门业务安全隔离。
安全接入平台由 IPSec VPN 网关(含 SSL 功能)、基于 LDAP 或 RADIUS 的认证服务器、VPN 管 理服务器等设备或软件构建而成,应具备对接入用户(含数字证书 KEY)和接入网关统一的身份认证与权限管理,并按接入网关类型和访问业务需求来配置 VPN 策略的功能。多台 IPSec VPN 设备可以与 IPSec VPN 负载均衡设备搭建形成 VPN 网关集群,通过对集群网关的负载均衡管理,设置负载策略灵活分配隧道,满足大量用户接入的高性能、高可靠性要求。同时,应增加防火墙、入侵检测、病毒防护、安全审计等措施,用于满足基本防护、安全监测与行为审计等方面的安全需求。安全接入与交换平台设 置在政务外网互联网出入口和政务外网之间的单独区域内,采取严格的安全策略,保证利用互联网入口进入政务外网的信息和行为安全可控。中央、省、地市政务外网中心分别建设,最终形成全国全网统一管理的安全接入综合平台,实现全网政务用户移动办公便捷接入、各级机构局域网快速接入、各类业务 数据安全高效交换等整体安全服务目标。
a) 政务部门接入政务外网:对于不具备专线接入条件的各级政务部门使用IPSec VPN接入政务外网,应采用IPSec VPN网关对网关部署模式;
b) 移动办公用户接入政务外网:中央、省、地市、县等各级政务部门的出差及移动办公人员通过 IPSec VPN接入本级政务外网,可采用IPSec VPN客户端对网关模式;
c) 上报数据的单位、公众用户接入政务外网:各单位、公众用户接入到对口部门归属地的IPSec VPN服务网关进行数据上报,可采用IPSec VPN客户端对网关模式。
政务外网 IPSec VPN 技术规范体系主要由根本原则、技术方面的要求和实施指南构成。根本原则是实施指南的基础前提,实施指南中的建设实施和接入过程管理是从 IPSec VPN 建设运行管理到开展业务不同角度的指导性说明。各级政务部门在建设政务外网 IPSec VPN 安全接入体系过程中,应参考政务外网 IPSec VPN 技术规范框架,从建设、运行、管理所有的环节对应遵照规范开展工作。
对于不具备专线条件接入政务外网的各级政务部门和移动办公用户,能够使用互联网等接入方式作为政务外网的补充接入方式,组网原则遵循优先使用 IPSec VPN 技术体系组网,保证互联网等接入业务的安全性,实现政务外网的完整性覆盖。
附:国家电子政务外网 IPSec VPN安全接入技术方面的要求与实施指南.pdf