ICS35.240.01

CCSL07

DB3701

濟南市地方標準

DB3701/T49—2023

政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全應(yīng)用要求

Governmentinformationsystem—Applicationrequirementsofcybersecurityforzero

trust

2023-12-29發(fā)布2024-01-29實施

濟南市市場監(jiān)督管理局??發(fā)布

DB3701/T49—2023

目次

前言..................................................................................II

引言.................................................................................III

1范圍................................................................................1

2規(guī)范性引用文件......................................................................1

3術(shù)語和定義..........................................................................1

4縮略語..............................................................................1

5總體原則............................................................................2

6零信任網(wǎng)絡(luò)安全應(yīng)用要求..............................................................2

6.1已建政務(wù)信息系統(tǒng)................................................................2

6.2新建政務(wù)信息系統(tǒng)................................................................3

7網(wǎng)絡(luò)安全應(yīng)用管理要求................................................................4

附錄A（資料性）已建政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全應(yīng)用示例................................5

附錄B（資料性）新建政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全應(yīng)用示例................................8

附錄C（資料性）政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全體系參考架構(gòu)...............................13

參考文獻..............................................................................17

I

DB3701/T49—2023

前言

本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。

本文件由濟南市大數(shù)據(jù)局提出、歸口并組織實施。

II

DB3701/T49—2023

引言

2022年6月，國務(wù)院下發(fā)《關(guān)于加強數(shù)字政府建設(shè)的指導(dǎo)意見》（國發(fā)〔2022〕14號），提出構(gòu)建

數(shù)字政府全方位安全保障體系，其中包括提升安全保障能力、建立健全動態(tài)監(jiān)控、主動防御、協(xié)同響應(yīng)

的數(shù)字政府安全技術(shù)保障體系。

為更好保障濟南市政務(wù)信息系統(tǒng)網(wǎng)絡(luò)安全，有必要在各部門、各區(qū)（縣）政務(wù)信息系統(tǒng)建設(shè)運營中

借鑒零信任框架，加強政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全體系建設(shè)。本文件主要為各部門、各區(qū)（縣）在政

務(wù)信息系統(tǒng)網(wǎng)絡(luò)安全建設(shè)及運營過程中應(yīng)用零信任提供規(guī)范和指導(dǎo)。

III

DB3701/T49—2023

政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全應(yīng)用要求

1范圍

本文件規(guī)定了政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全應(yīng)用總體原則、應(yīng)用要求和管理要求。

本文件適用于政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全建設(shè)和運維管理。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求

GB/T25069信息安全技術(shù)術(shù)語

GB/T28827.1信息技術(shù)服務(wù)運行維護第1部分：通用要求

GB/T35282信息安全技術(shù)電子政務(wù)移動辦公系統(tǒng)安全技術(shù)規(guī)范

GB/T36626信息安全技術(shù)信息系統(tǒng)安全運維管理指南

GB/T40692政務(wù)信息系統(tǒng)定義和范圍

3術(shù)語和定義

GB/T25069、GB/T40692界定的術(shù)語和定義適用于本文件。

4縮略語

以下縮略語適用于本文件。

API：應(yīng)用程序接口（ApplicationProgramInterface）

DDos：分布式拒絕服務(wù)（DistributedDenialofService）

DGA：域名生成算法（DomainGenerateAlgorithm）

H5：第5代超文本標記語言（FifthHyperTextMarkupLanguage）

HTTP：超文本傳輸協(xié)議（HyperTextTransferProtocol）

HTTPS：基于安全嵌套層的超文本傳輸協(xié)議（HyperTextTransferProtocoloverSecureSocket

Layer）

PHP：超文本預(yù)處理器（HypertextPreprocessor）

SDK：軟件開發(fā)工具包（SoftwareDevelopmentKit）

SDP：軟件定義邊界（SoftwareDefinedPerimeter）

SLB：服務(wù)器負載均衡（ServerLoadBalancing）

SQL：結(jié)構(gòu)化查詢語言（(StructuredQueryLanguage）

SSL：安全嵌套層（SecureSocketsLayer）

TCP：傳輸控制協(xié)議（TransmissionControlProtocol）

UDP：用戶數(shù)據(jù)報協(xié)議（UserDatagramProtocol）

1

DB3701/T49—2023

WIFI：無線網(wǎng)絡(luò)（WirelessFidelity）

5總體原則

政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全應(yīng)用應(yīng)遵循以下原則：

a)最小特權(quán)原則：用戶和設(shè)備只獲得必要的訪問權(quán)限，最大程度地減少攻擊面；

b)動態(tài)訪問控制原則：建立基于環(huán)境評估的動態(tài)訪問控制策略，結(jié)合網(wǎng)絡(luò)環(huán)境、用戶行為、終

端環(huán)境等因素持續(xù)評估訪問主體，根據(jù)評估結(jié)果對訪問主體進行動態(tài)授權(quán)；

c)實時監(jiān)控和響應(yīng)原則：對網(wǎng)絡(luò)流量和安全事件進行實時監(jiān)控和響應(yīng)，發(fā)現(xiàn)問題立即處理，防

止惡意攻擊擴散；

d)多層次驗證和審批原則：對訪問主體的多重身份進行驗證和授權(quán)審批，保證訪問的合法性；

e)應(yīng)用與數(shù)據(jù)分離原則：對政務(wù)信息系統(tǒng)前端應(yīng)用和后端數(shù)據(jù)進行分層解耦，為實現(xiàn)政務(wù)信息

系統(tǒng)分層授權(quán)和可信訪問控制提供支撐；

f)日志留存原則：記錄并保存零信任網(wǎng)絡(luò)安全應(yīng)用的行為

6零信任網(wǎng)絡(luò)安全應(yīng)用要求

6.1已建政務(wù)信息系統(tǒng)

6.1.1工作流程

已建政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全應(yīng)用工作流程包括網(wǎng)絡(luò)安全能力梳理、政務(wù)信息系統(tǒng)改造和網(wǎng)絡(luò)

安全應(yīng)用驗證測試等內(nèi)容，如圖1所示。具體應(yīng)用示例見附錄A。

圖1已建政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全應(yīng)用工作流程

6.1.2網(wǎng)絡(luò)安全能力梳理

應(yīng)對政務(wù)信息系統(tǒng)當(dāng)前的網(wǎng)絡(luò)安全能力進行梳理，包括但不限于以下內(nèi)容：

a)用戶情況；

b)設(shè)備、數(shù)據(jù)和應(yīng)用等資產(chǎn)清單；

c)用戶與政務(wù)信息系統(tǒng)，以及不同政務(wù)信息系統(tǒng)間的訪問關(guān)系和訪問權(quán)限。

6.1.3政務(wù)信息系統(tǒng)改造

2

DB3701/T49—2023

政務(wù)信息系統(tǒng)改造應(yīng)遵循以下內(nèi)容：

a)對用戶與政務(wù)信息系統(tǒng)，以及不同政務(wù)信息系統(tǒng)間的訪問關(guān)系和訪問權(quán)限進行統(tǒng)一管理；

b)政務(wù)信息系統(tǒng)中的每項服務(wù)具備認證、授權(quán)和鑒權(quán)能力；

c)采用國密算法對政務(wù)信息系統(tǒng)數(shù)據(jù)進行加密傳輸；

d)可將政務(wù)信息系統(tǒng)與身份管理系統(tǒng)進行集成，并建立多種認證機制。

6.1.4網(wǎng)絡(luò)安全應(yīng)用驗證測試

網(wǎng)絡(luò)安全應(yīng)用驗證測試應(yīng)遵循以下內(nèi)容：

a)制定驗證測試方案和測試用例，詳細記錄測試數(shù)據(jù)，形成測試報告；

b)指定或授權(quán)專門的部門負責(zé)驗收；

c)組織相關(guān)部門和人員對驗證測試報告進行復(fù)核。

6.1.5應(yīng)用要求

網(wǎng)絡(luò)安全應(yīng)用應(yīng)遵循以下內(nèi)容：

a)根據(jù)網(wǎng)絡(luò)安全能力梳理情況，制定零信任網(wǎng)絡(luò)安全建設(shè)方案，并通過專家評審；

b)系統(tǒng)驗證測試通過后，進行系統(tǒng)上線運行，開展相關(guān)人員的培訓(xùn)，移交系統(tǒng)建設(shè)過程文檔及

系統(tǒng)運行維護文檔；

c)對訪問主體的身份、行為、網(wǎng)絡(luò)環(huán)境、終端環(huán)境等因素進行持續(xù)風(fēng)險評估，根據(jù)評估結(jié)果動

態(tài)調(diào)整訪問主體對資源的訪問權(quán)限，確保訪問主體安全可信；

d)對不滿足改造條件的政務(wù)信息系統(tǒng)，按照GB/T22239要求進行安全加固。

6.2新建政務(wù)信息系統(tǒng)

6.2.1工作流程

新建政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全應(yīng)用工作流程包括政務(wù)信息系統(tǒng)設(shè)計開發(fā)、政務(wù)信息系統(tǒng)驗證測

試和政務(wù)信息系統(tǒng)上線等內(nèi)容，如圖2所示。具體應(yīng)用示例見附錄B。

圖2新建政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全應(yīng)用工作流程

6.2.2政務(wù)信息系統(tǒng)設(shè)計開發(fā)

政務(wù)信息系統(tǒng)設(shè)計開發(fā)應(yīng)遵循以下內(nèi)容：

a)參考零信任網(wǎng)絡(luò)安全體系參考架構(gòu)進行系統(tǒng)設(shè)計開發(fā)（見附錄C）；

b)采用國密算法對政務(wù)信息系統(tǒng)數(shù)據(jù)進行加密傳輸；

c)宜使用云資源提供的零信任網(wǎng)絡(luò)安全服務(wù)。

3

DB3701/T49—2023

6.2.3網(wǎng)絡(luò)安全應(yīng)用驗證測試

見6.1.4。

6.2.4網(wǎng)絡(luò)安全應(yīng)用要求

網(wǎng)絡(luò)安全應(yīng)用要求應(yīng)遵循以下內(nèi)容：：

a)零信任網(wǎng)絡(luò)安全應(yīng)用與政務(wù)信息系統(tǒng)同步規(guī)劃、同步建設(shè)、同步使用；

b)系統(tǒng)驗證測試通過后，進行系統(tǒng)上線運行，開展相關(guān)人員的培訓(xùn)，移交系統(tǒng)建設(shè)過程文檔及

系統(tǒng)運行維護文檔；

c)對訪問主體的身份、行為、網(wǎng)絡(luò)環(huán)境、終端環(huán)境等因素進行持續(xù)風(fēng)險評估，根據(jù)評估結(jié)果動

態(tài)調(diào)整訪問主體對資源的訪問權(quán)限，確保訪問主體安全可信。

7網(wǎng)絡(luò)安全應(yīng)用管理要求

政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全應(yīng)用管理應(yīng)滿足以下要求：

a)符合GB/T36626、GB/T28827.1的相關(guān)規(guī)定；

b)制定政務(wù)信息系統(tǒng)運維策略，并定期評估；

c)為政務(wù)信息系統(tǒng)運維定義和分配相關(guān)角色和職責(zé)；

d)對運維人員身份進行認證，定期檢查運維人員訪問權(quán)限；

e)采用運維服務(wù)外包的，明確外包運維范圍、工作職責(zé)等內(nèi)容；

f)加強安全風(fēng)險管理，制定突發(fā)事件應(yīng)急預(yù)案，規(guī)范處置流程，定期組織應(yīng)急培訓(xùn)及應(yīng)急演練。

4

DB3701/T49—2023

A

A

B

C

C

D

D

E

附錄A

（資料性）

已建政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全應(yīng)用示例

A.1應(yīng)用背景

某市公積金管理中心（以下簡稱管理中心）在信創(chuàng)云的基礎(chǔ)上，全面推進住房公積金數(shù)字化轉(zhuǎn)型，

將數(shù)字技術(shù)廣泛應(yīng)用于住房公積金管理服務(wù)，助推經(jīng)濟社會快速發(fā)展。住房公積金系統(tǒng)屬于關(guān)鍵基礎(chǔ)設(shè)

施且涉及大量敏感信息，為保障數(shù)字化轉(zhuǎn)型的順利實施，需要推動網(wǎng)絡(luò)安全與信息化一體化規(guī)劃、一體

化建設(shè)、一體化使用，全方位筑牢網(wǎng)絡(luò)安全工作體系。

A.1.1現(xiàn)狀分析

管理中心整體業(yè)務(wù)架構(gòu)見圖A.1。

圖A.1業(yè)務(wù)架構(gòu)

管理中心的所有業(yè)務(wù)均部署在信創(chuàng)政務(wù)云上，核心業(yè)務(wù)包括內(nèi)部業(yè)務(wù)和互聯(lián)網(wǎng)業(yè)務(wù)，分別部署在政

務(wù)云的內(nèi)部業(yè)務(wù)區(qū)和互聯(lián)網(wǎng)業(yè)務(wù)區(qū)。兩個區(qū)之間邏輯隔離，通過數(shù)據(jù)交換平臺進行數(shù)據(jù)交換。內(nèi)部辦公

人員可以訪問內(nèi)部業(yè)務(wù)區(qū)的業(yè)務(wù)，在本地辦公時可以通過政務(wù)外網(wǎng)直接訪問，遠程辦公或移動辦公時，

需要通過政務(wù)外網(wǎng)接入?yún)^(qū)的VPN進行訪問。第三方（主要是銀行等金融機構(gòu)）和互聯(lián)網(wǎng)應(yīng)用（如微信和

支付寶）只能訪問互聯(lián)網(wǎng)區(qū)的業(yè)務(wù)，通過互聯(lián)網(wǎng)接入?yún)^(qū)進行訪問。

管理中心在安全防護方面還是采用傳統(tǒng)的基于網(wǎng)絡(luò)的防護手段，已無法滿足日益復(fù)雜的安全環(huán)境，

面臨的主要風(fēng)險包括：一是對于內(nèi)部人員竊密以及單點突破后的橫向攻擊缺乏有效的防護手段；二是互

聯(lián)網(wǎng)業(yè)務(wù)暴露在公網(wǎng)，針對DDos攻擊、權(quán)限控制以及越權(quán)訪問等難以防范；三是辦公終端和移動終端普

遍存在一機兩用現(xiàn)象，既能訪問互聯(lián)網(wǎng)又能訪問政務(wù)外網(wǎng)，導(dǎo)致失泄密安全風(fēng)險。

A.1.2需求分析

為保證管理中心內(nèi)外部業(yè)務(wù)的安全穩(wěn)定運行，基于零信任構(gòu)建網(wǎng)絡(luò)安全體系，需在以下幾個方面加

強安全防護：

5

DB3701/T49—2023

——強化應(yīng)用身份鑒別。每個合法用戶或應(yīng)用都需要設(shè)置唯一的身份標識，并對身份進行鑒別，

只有具有合法身份的人或應(yīng)用才能訪問中心業(yè)務(wù)；

——業(yè)務(wù)隱身。通過代理網(wǎng)關(guān)將互聯(lián)網(wǎng)業(yè)務(wù)進行隱藏，只對具有合法身份的人或應(yīng)用可見；

——精細化動態(tài)訪問控制。采用白名單策略，默認最小授權(quán)原則，給各個用戶或應(yīng)用分配相應(yīng)的

訪問權(quán)限。并依據(jù)環(huán)境的變化對訪問權(quán)限進行動態(tài)調(diào)整；

——增加API接口安全審計。所有訪問API接口的行為都需要記錄日志，并提供審計服務(wù)，及時

發(fā)現(xiàn)數(shù)據(jù)違規(guī)導(dǎo)出、越權(quán)調(diào)用、數(shù)據(jù)泄露、API接口濫用、轉(zhuǎn)發(fā)等風(fēng)險；

——部署終端安全沙箱。終端安全沙箱將終端隔離成不同的工作區(qū)，其中只有工作區(qū)才能訪問政

務(wù)外網(wǎng)業(yè)務(wù)，有效規(guī)避終端一機兩用帶來的數(shù)據(jù)失泄密風(fēng)險。

A.2解決方案

A.2.1總體架構(gòu)

基于零信任參考架構(gòu)，整個管理中心的網(wǎng)絡(luò)安全體系總體框架見圖A.2所示。

圖A.2零信任網(wǎng)絡(luò)安全體系總體框架

零信任網(wǎng)絡(luò)安全體系包括身份認證中心、零信任控制中心、零信任網(wǎng)關(guān)、流量探針、終端安全沙箱

和零信任客戶端。

a)身份認證中心。為所有用戶和應(yīng)用建立統(tǒng)一的身份認證機制，強化了身份認證的安全性，同

時方便認證過程。

b)零信任控制中心。主要負責(zé)對合法應(yīng)用進行身份認證并授權(quán)；收集各個應(yīng)用的環(huán)境信息和行

為信息，通過大數(shù)據(jù)平臺進行用戶行為分析和信用評估，依據(jù)分析和評估結(jié)果動態(tài)調(diào)整各個

應(yīng)用的訪問策略；收集交換站側(cè)的API訪問日志，分析識別API訪問相關(guān)風(fēng)險。

c)零信任網(wǎng)關(guān)。部署在內(nèi)部業(yè)務(wù)和互聯(lián)網(wǎng)業(yè)務(wù)前面，對業(yè)務(wù)系統(tǒng)進行安全防護，具備身份和授

權(quán)驗證、流量過濾、通訊加密、以及協(xié)議識別等核心能力，提供便捷、安全的通信環(huán)境和訪

問控制機制，防止非法應(yīng)用、非法設(shè)備訪問等風(fēng)險。其中，互聯(lián)網(wǎng)業(yè)務(wù)區(qū)的網(wǎng)關(guān)還具備業(yè)務(wù)

隱身功能，可有效避免DDos攻擊和各種非法入侵。

d)流量探針。部署在業(yè)務(wù)協(xié)同交換系統(tǒng)內(nèi)部，對各個交換站的API接口進行監(jiān)聽，采集、解析

API訪問日志，并上報給零信任控制中心進行分析。

e)終端安全沙箱。部署在每個需要訪問內(nèi)部業(yè)務(wù)的辦公終端，將辦公終端隔離成兩個工作區(qū)，

一個是辦公區(qū)，用于訪問政務(wù)外網(wǎng)相關(guān)業(yè)務(wù)，一個是生活區(qū)，可以訪問互聯(lián)網(wǎng)。兩個區(qū)之間

實現(xiàn)了存儲隔離、網(wǎng)絡(luò)隔離和會話隔離，有效規(guī)避辦公終端失泄密風(fēng)險。

6

DB3701/T49—2023

f)零信任客戶端。部署在應(yīng)用側(cè)，一方面，負責(zé)與零信任控制中心進行交互，進行身份認證，

采集并上報環(huán)境信息和用戶操作訪問日志等內(nèi)容，并接收和執(zhí)行控制中心下發(fā)的安全策略；

另一方面，負責(zé)與零信任網(wǎng)關(guān)之間建立安全隧道，進行加密通信。

A.2.2總體部署

管理中心的零信任網(wǎng)絡(luò)安全體系部署情況見圖A.3所示。

圖A.3零信任網(wǎng)絡(luò)安全體系部署

身份認證中心、零信任控制中心、審計中心以及終端沙箱管理系統(tǒng)部署在安全管理區(qū)，零信任網(wǎng)關(guān)

分別部署在內(nèi)部業(yè)務(wù)區(qū)和互聯(lián)網(wǎng)業(yè)務(wù)區(qū)對各個關(guān)鍵業(yè)務(wù)進行隱身和安全防護。每個核心業(yè)務(wù)服務(wù)端都部

署有流量探針，實時采集用戶或應(yīng)用的訪問行為并上報審計中心。各類終端要想訪問內(nèi)部業(yè)務(wù)都需要安

裝終端安全沙箱，否則無法訪問。第三方應(yīng)用需要安裝零信任客戶端代理，才能訪問互聯(lián)網(wǎng)業(yè)務(wù)。用戶

使用互聯(lián)網(wǎng)應(yīng)用經(jīng)過身份認證后可直接訪問互聯(lián)網(wǎng)業(yè)務(wù)。

A.3效益分析

通過構(gòu)建零信任網(wǎng)絡(luò)安全體系，對管理中心業(yè)務(wù)系統(tǒng)進行安全加固，達到以下效果：

——提高了管理中心整體安全性。基于零信任構(gòu)建的網(wǎng)絡(luò)安全體系，從端、網(wǎng)、云各個層次強化

了管理中心的整體安全性。通過對所有用戶和應(yīng)用實施身份認證和鑒權(quán)，有效避免了非法侵

入；通過終端安全沙箱有效規(guī)避了終端失泄密的風(fēng)險；通過應(yīng)用隱藏，規(guī)避了遭受DDos攻擊

和非法入侵等風(fēng)險；通過實時的用戶行為分析和動態(tài)信用評估，及時發(fā)現(xiàn)和應(yīng)對非法入侵、

勒索等安全風(fēng)險。

——提升了管理中心的整體運行效率?；诹阈湃螛?gòu)建的網(wǎng)絡(luò)安全體系，以身份認證為基石，在

強化安全認證的同時方便了認證流程，提升了業(yè)務(wù)整體訪問效率。此外，通過提高整體安全

性，減少了安全事件對管理中心各類業(yè)務(wù)運行的影響，減少了因安全問題而導(dǎo)致的業(yè)務(wù)中斷

或數(shù)據(jù)丟失，保障管理中心辦公流程順暢、高效運行。

7

DB3701/T49—2023

E

F

附錄B

（資料性）

新建政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全應(yīng)用示例

B.1概述

“山東通”安全接入平臺（見圖B.1）是為解決各級政府工作人員移動辦公需要而建設(shè)的安全管控

系統(tǒng)，旨在解決全省在移動信息化建設(shè)過程中，面臨的多樣化終端設(shè)備、多樣化移動應(yīng)用接入所帶來的

信息、數(shù)據(jù)安全問題，如圖B.1所示。

圖B.1“山東通”安全接入平臺架構(gòu)

“山東通”安全接入平臺提供了端、網(wǎng)、云一體化安全防護能力，構(gòu)建起統(tǒng)一的應(yīng)用安全保障平臺。

平臺由三大核心賦能功能組成，包括業(yè)務(wù)應(yīng)用安全賦能、網(wǎng)絡(luò)傳輸安全賦能和“安全沙箱”技術(shù)賦能。

B.2整體架構(gòu)設(shè)計

“山東通”安全接入平臺整體架構(gòu)設(shè)計主要包括：

a)業(yè)務(wù)應(yīng)用安全賦能。業(yè)務(wù)應(yīng)用安全賦能是通過安全沙箱技術(shù)手段，與安全沙箱服務(wù)聯(lián)動對移

動應(yīng)用進行重新封裝并賦予其額外能力的過程。其實現(xiàn)原理是移動端使用HOOK技術(shù)，基于服

務(wù)端的安全設(shè)置對可能造成數(shù)據(jù)泄密的操作進行攔截，防止敏感數(shù)據(jù)的泄漏?？少x能能力包

括防截屏、防錄屏、防復(fù)制粘貼、應(yīng)用水印、數(shù)據(jù)加密等。

b)網(wǎng)絡(luò)傳輸安全賦能?！吧綎|通”安全接入平臺賦能應(yīng)用準入能力，減少自身互聯(lián)網(wǎng)暴露面，

通過與SDP-SDK集成賦能安全接入能力（如信道加密、應(yīng)用準入、應(yīng)用校驗）。該平臺是一

種基于零信任模型、以基于身份的細粒度訪問代替廣泛的安全接入平臺，為用戶提供安全可

靠的訪問業(yè)務(wù)系統(tǒng)方案。

c)“安全沙箱”技術(shù)賦能。PC安全工作空間通過領(lǐng)先的“安全沙箱”技術(shù)為不同區(qū)域的網(wǎng)絡(luò)訪

問提供了安全的邏輯隔離方法，使用戶能夠在一臺計算機上，同時建立多個邏輯隔離空間（如

互聯(lián)網(wǎng)安全空間、普通業(yè)務(wù)區(qū)安全空間、涉密區(qū)安全空間）。在每個安全空間中可進行不同

8

DB3701/T49—2023

的網(wǎng)絡(luò)訪問，安全空間內(nèi)的操作通過應(yīng)用的安全策略得到控制，安全空間中數(shù)據(jù)在個人桌面

無法訪問和讀取。

“山東通”安全接入平臺以零信任終端為邊界，結(jié)合零信任代理網(wǎng)關(guān)建立起一塊邏輯安全域，同時

結(jié)合零信任代理網(wǎng)關(guān)基于端口動態(tài)授權(quán)的網(wǎng)絡(luò)隱身技術(shù)構(gòu)建起一張隱形的網(wǎng)絡(luò)，即網(wǎng)絡(luò)應(yīng)用只對“特定

的用戶+特定的設(shè)備”可見，對其他人完全不可見，并且該用戶訪問應(yīng)用的行為可以進行嚴格控制和記

錄。這種模式很好地解決了移動辦公、上云帶來的系統(tǒng)暴露面過多的問題，同時也可增強現(xiàn)有政務(wù)外網(wǎng)

辦公的安全性。應(yīng)用接入“山東通”安全接入平臺的流程（見圖B.2）如下：

a)零信任終端登錄鑒權(quán)并上報設(shè)備環(huán)境信息；

b)零信任控制中心判斷接入身份合法性。身份非法無響應(yīng)；身份合法回應(yīng)零信任終端；

c)零信任控制中心下發(fā)訪問策略和安全策略；

d)零信任終端和零信任代理網(wǎng)關(guān)建立加密隧道；

e)零信任終端定時上報設(shè)備、網(wǎng)絡(luò)等環(huán)境信息，零信任控制中心動態(tài)評估，調(diào)整信任等級，變

更訪問策略。

圖B.2應(yīng)用接入流程

B.3業(yè)務(wù)安全設(shè)計

可信認證根據(jù)“零信任”的安全框架，零信任應(yīng)用數(shù)據(jù)安全及接入代理服務(wù)網(wǎng)關(guān)控制中心對包括用

戶、設(shè)備、網(wǎng)絡(luò)、時間、位置等多因素的身份信息進行驗證，確認身份的可信度和可靠性。在默認不可

信的前提下，只有全部身份信息符合安全要求，才能認證通過，客戶端才能與安全網(wǎng)關(guān)建立加密的隧道

連接，由安全網(wǎng)關(guān)代理可訪問的服務(wù)。針對異地登錄、新設(shè)備登錄的等風(fēng)險行為，系統(tǒng)將追加二次驗證，

防止賬號信息泄露而導(dǎo)致的內(nèi)網(wǎng)入侵。

B.4應(yīng)用安全設(shè)計

B.4.1應(yīng)用安全封裝與發(fā)布

“山東通”安全接入平臺建設(shè)，除了主應(yīng)用“山東通”的搭建外，還包含大量政務(wù)辦公或部門業(yè)務(wù)

的H5應(yīng)用。平臺以“山東通”為統(tǒng)一入口，H5應(yīng)用通過進入“山東通”后進行跳轉(zhuǎn)。

為了對主應(yīng)用以及其余大量H5應(yīng)用進行統(tǒng)一加固與防護，確保相關(guān)應(yīng)用均需要通過嚴格身份評估才

可接入訪問，同時受到APP沙箱或桌面沙箱保護，故需要對所有應(yīng)用分別進行安全加固改造。

9

DB3701/T49—2023

考慮應(yīng)用更新頻率、業(yè)務(wù)上線要求以及應(yīng)用二次開發(fā)難易程度，此次規(guī)劃將主應(yīng)用使用SDK進行代

碼封裝，H5應(yīng)用通過零信任控制平臺建立SDP隧道進行訪問。

零信任安全廠商提供SDK代碼包，由軟件開發(fā)將代碼集成到“山東通”APP中，集成后軟件的更新、

大版本的迭代均不會影響零信任接入能力，實現(xiàn)“一次SDK代碼封裝，業(yè)務(wù)應(yīng)用始終體驗零信任能力”

的安全接入。

B.4.2H5應(yīng)用對接安全

基于代理網(wǎng)關(guān)提供的“山東通”服務(wù)端的全生命周期管理服務(wù)，為H5應(yīng)用提供身份鑒權(quán)、過載保護、

異常響應(yīng)等能力。

B.4.3支持HTTPS

移動端和PC端接入服務(wù)端的協(xié)議宜支持HTTP與HTTPS協(xié)議。

B.4.4訪問鑒權(quán)流程

所有從客戶端發(fā)起的請求，代理網(wǎng)關(guān)會將流量截獲，自動進入身份認證過程，認證后將請求轉(zhuǎn)發(fā)至

站點的服務(wù)端。

B.5最小化授權(quán)

當(dāng)用戶行為或環(huán)境發(fā)生變化時，零信任代理網(wǎng)關(guān)會持續(xù)監(jiān)視上下文，基于位置、時間、安全狀態(tài)和

一些自定義屬性實施訪問控制管理。通過用戶身份、終端類型、設(shè)備屬性、接入方式、接入位置、接入

時間來感知用戶的訪問上下文行為，并動態(tài)調(diào)整用戶信任級別。

對用戶需要設(shè)定其最小業(yè)務(wù)集及最大業(yè)務(wù)集，對于每次訪問，基于用戶屬性、職務(wù)、業(yè)務(wù)組、操作

系統(tǒng)安全等進行安全等級評估，按照其安全等級，動態(tài)調(diào)整開放對應(yīng)的業(yè)務(wù)系統(tǒng)訪問權(quán)限。

B.6業(yè)務(wù)服務(wù)隱身

SDP零信任應(yīng)用數(shù)據(jù)安全及接入安全服務(wù)認證采用基于UDP協(xié)議的認證機制，默認“拒絕一切”請求，

僅在接收到合法認證數(shù)據(jù)包的情況下，對用戶身份進行認證。認證通過后，接入終端和網(wǎng)關(guān)之間建立基

于UDP協(xié)議的加密隧道。UDP協(xié)議和加密隧道協(xié)議技術(shù)實現(xiàn)對外關(guān)閉所有的TCP端口，保證了潛在的網(wǎng)絡(luò)

攻擊者嗅探不到SDP零信任應(yīng)用安全接入平臺的端口，無法對網(wǎng)關(guān)進行掃描，預(yù)防網(wǎng)絡(luò)攻擊行為，有效

地減少互聯(lián)網(wǎng)暴露面。

B.7WEB服務(wù)防護

WEB應(yīng)用作為政務(wù)業(yè)務(wù)系統(tǒng)重要的實現(xiàn)方式，讓其逐漸成為互聯(lián)網(wǎng)攻擊中的主要目標，安全事件頻

繁發(fā)生。該平臺提供應(yīng)用層的安全防護，執(zhí)行一系列HTTP、HTTPS的安全策略，針對來自WEB應(yīng)用程序客

戶端的各類請求進行內(nèi)容檢測和驗證，有效防御應(yīng)用層的XSS攻擊、PHP攻擊、遠程命令執(zhí)行、SQL注入、

本地/遠程文件注入、SESSION攻擊等7層網(wǎng)絡(luò)攻擊，確保其安全性與合法性，對非法的請求予以實時阻

斷/記錄，從而對政務(wù)各類WEB應(yīng)用進行有效安全防護。

B.8應(yīng)用數(shù)據(jù)安全設(shè)計

B.8.1概述

PC安全工作空間通過領(lǐng)先的“安全沙箱”技術(shù)為不同區(qū)域的網(wǎng)絡(luò)訪問提供了安全的邏輯隔離方法，

使用戶能夠在一臺計算機上，同時建立多個邏輯隔離空間（如互聯(lián)網(wǎng)安全空間、普通業(yè)務(wù)區(qū)安全空間、

10

DB3701/T49—2023

涉密區(qū)安全空間），在每個安全空間中可進行不同的網(wǎng)絡(luò)訪問，安全空間內(nèi)的操作通過應(yīng)用的安全策略

得到控制，安全空間中數(shù)據(jù)全程在個人桌面無法訪問和讀取。

工作空間解決方案可有效阻止病毒、木馬對政務(wù)外網(wǎng)的攻擊，防止政府機密數(shù)據(jù)有意泄漏（如外接

設(shè)備、截錄屏、URL二次跳轉(zhuǎn)、文件打印）和無意泄漏（如病毒侵入、木馬攻擊、未鎖屏）。

B.8.2數(shù)據(jù)隔離

用戶在日常使用電腦時產(chǎn)生的數(shù)據(jù)是最敏感的資源，也是需要重點保護的對象。數(shù)據(jù)隔離最主要的

目標就是空間內(nèi)的數(shù)據(jù)文件。工作空間和基于虛擬機的重量級的方案不同，不需要為不同的空間安裝操

作系統(tǒng)和應(yīng)用二進制文件，而是在運行過程中盡量利用系統(tǒng)已有的文件，同時把用戶實際產(chǎn)生的數(shù)據(jù)，

按照“寫時拷貝”的原則，由重定向引擎將數(shù)據(jù)文件重定向到安全加密的虛擬磁盤中，實現(xiàn)了數(shù)據(jù)文件

的隔離。

安全空間可通過掛鉤剪貼板操作，在發(fā)生粘貼相關(guān)的API調(diào)用時，判斷數(shù)據(jù)的來源，根據(jù)安全策略

判斷是否允許操作，從而返回不同的結(jié)果，這樣就實現(xiàn)了對于拷貝粘貼的數(shù)據(jù)隔離和流動控制。

更進一步，重定向引擎可支持多實例化機制，保證不同空間內(nèi)操作的數(shù)據(jù)保存在不同的工作空間中，

達到了更深層次的數(shù)據(jù)隔離目的。

B.8.3數(shù)據(jù)加密

文件在沙箱內(nèi)落地后，如何防止被泄露，加密是有效的手段。PC安全工作空間針對磁盤使用透明加

解密技術(shù)，可支持AES等多種加密算法。

B.8.4應(yīng)用控制

應(yīng)用控制可實現(xiàn)對于工作空間內(nèi)運行應(yīng)用的精確控制，工作空間的控制程序在工作空間啟動或者活

動過程中，可設(shè)置指定的工作空間內(nèi)允許運行的應(yīng)用以及時間范圍。

工作空間管理驅(qū)動注冊了系統(tǒng)進程創(chuàng)建的回調(diào)函數(shù)，在回調(diào)函數(shù)里，判斷相關(guān)的應(yīng)用是否可在沙箱

里運行，從而實現(xiàn)了進程控制的功能。

當(dāng)應(yīng)用特征匹配時，允許應(yīng)用運行，這樣在保證安全性的同時，也提高了應(yīng)用程序運行的平滑，保

證用戶使用過程不會被打斷。

B.8.5網(wǎng)絡(luò)攔截

傳統(tǒng)的系統(tǒng)防火墻可實現(xiàn)基于進程名或者基于包特征的過濾，而工作空間則希望空間內(nèi)的應(yīng)用可訪

問政務(wù)外網(wǎng)系統(tǒng)或攔截互聯(lián)網(wǎng)訪問動作，而對于空間外的應(yīng)用，則不允許訪問政務(wù)外網(wǎng)系統(tǒng)。

B.8.6水印技術(shù)

根據(jù)工作空間的策略，策略控制模塊會截獲工作空間應(yīng)用窗口的創(chuàng)建過程，按需給工作空間應(yīng)用窗

口建立對應(yīng)的透明窗口并添加水印，并屏幕上顯示。

通過添加水印的方式保護沙箱內(nèi)應(yīng)用窗口數(shù)據(jù)安全，防止信息泄露。

B.8.7截圖監(jiān)控

相對于文件和網(wǎng)絡(luò)等方式，通過截圖造成的信息泄露雖然較弱，但在政務(wù)外網(wǎng)環(huán)境下，仍然希望對

其進行一定的控制和審計。策略控制模塊通過掛鉤實現(xiàn)截圖功能的關(guān)鍵API，結(jié)合發(fā)起應(yīng)用程序的其他

特征，有效地判斷截圖行為。在截圖數(shù)據(jù)返回給截圖應(yīng)用的時候，根據(jù)配置的策略，可將應(yīng)用窗口涂黑

或添加水印，并主動上報服務(wù)端進行審計。

11

DB3701/T49—2023

B.8.8文檔安全設(shè)計

終端用戶使用沙箱辦公，有跨空間拷貝文本的訴求，在剪切板以及文件導(dǎo)入導(dǎo)出的過程中需要相應(yīng)

的技術(shù)手段實現(xiàn)權(quán)限控制或者全面的審計回溯手段。

剪切板拷貝審計，用戶在文檔或網(wǎng)頁復(fù)制文本內(nèi)容，此時拷貝工具會自動捕獲用戶復(fù)制的文本內(nèi)容

（純文本格式，保留換行、段落信息），當(dāng)用戶在拷貝工具中點擊“復(fù)制”按鈕時，客戶端將剪切板拷

貝行為日志及拷貝內(nèi)容上報到代理網(wǎng)關(guān)（代理網(wǎng)關(guān)轉(zhuǎn)發(fā)給外置日志中心），在審計日志上報成功后，用

戶可切換至個人空間拷貝剪切板內(nèi)容，而上報至外置數(shù)據(jù)中心的剪切板拷貝行為日志則形成日志列表供

管理員審計追溯。

文件導(dǎo)入導(dǎo)出審計，用戶在進行文件導(dǎo)入導(dǎo)出時，客戶端將文件導(dǎo)入或?qū)С鲂袨槿罩旧蠄蟮酱砭W(wǎng)

關(guān)（代理網(wǎng)關(guān)轉(zhuǎn)發(fā)給外置數(shù)據(jù)中心），在上報成功后才允許用戶進行下一步的文件導(dǎo)入導(dǎo)出操作，而上

報至外置數(shù)據(jù)中心的文件導(dǎo)入導(dǎo)出行為日志則形成日志列表供管理員審計追溯。

12

DB3701/T49—2023

F

G

附錄C

（資料性）

政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全體系參考架構(gòu)

C.1參考架構(gòu)

政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全體系參考架構(gòu)（如圖C.1所示）主要包括訪問主體、零信任控制中心

和政務(wù)云上的訪問客體。其中零信任控制中心包括環(huán)境感知、信任評估、策略管理、策略執(zhí)行等4個模

塊。

圖C.1政務(wù)信息系統(tǒng)零信任網(wǎng)絡(luò)安全體系參考架構(gòu)

C.2環(huán)境感知

環(huán)境感知包括網(wǎng)絡(luò)環(huán)境感知、用戶行為感知、終端環(huán)境感知，其由環(huán)境感知終端及環(huán)境感知代理兩

部分組成，環(huán)境感知代理負責(zé)接收環(huán)境感知終端采集的網(wǎng)絡(luò)、用戶行為、終端等事件，并實時上報信任

評估模塊。

環(huán)境感知宜實現(xiàn)以下功能及要求：

a)環(huán)境感知終端實時上報終端各類事件；

b)向訪問終端實時動態(tài)下發(fā)環(huán)境感知策略，當(dāng)終端觸發(fā)相關(guān)策略時，終端上報對應(yīng)事件；

c)獲取到訪問終端上報的各類事件后，形成日志上報給信任評估模塊進行用戶可信評分；

d)環(huán)境感知模塊支持用戶行為、終端環(huán)境、網(wǎng)絡(luò)環(huán)境等3種環(huán)境感知，相關(guān)感知能力可包括：

1)終端暴力破解檢測、賬號異地登錄檢測、用戶截屏/錄屏檢測、用戶使用第三方分享功能

檢測等用戶行為感知能力；

2)終端ROOT/越獄檢測、終端無鎖屏密碼檢測、高風(fēng)險應(yīng)用安裝檢測、終端病毒感染檢測、

操作系統(tǒng)漏洞檢測等終端環(huán)境檢測能力；

3)連接風(fēng)險WIFI檢測、命令注入攻擊檢測、SQL注入攻擊檢測、惡意加密流量檢測、DGA

域名請求等網(wǎng)絡(luò)環(huán)境感知能力。

13

DB3701/T49—2023

C.3信任評估

信任評估根據(jù)風(fēng)險感知上報的環(huán)境感知信息以及日志服務(wù)器收集的鑒權(quán)日志、認證日志等基于零信

任可信評分模型為用戶計算可信評分，并將評分結(jié)果上報零信任權(quán)限服務(wù)。

信任評估宜實現(xiàn)以下功能及要求：

a)具備可信評分計算能力，接收上報的各類事件、認證服務(wù)發(fā)送的認證日志及零信任權(quán)限服務(wù)

發(fā)送的鑒權(quán)日志，基于零信任可信評分模型計算用戶可信分，對用戶進行安全評級；

b)信任評估與零信任權(quán)限服務(wù)聯(lián)動，當(dāng)用戶的安全等級變更時，向零信任權(quán)限服務(wù)下發(fā)變更信

息；

c)支持日志檢索與審計；

d)記錄用戶的歷史評分以及資產(chǎn)信息。

C.4策略管理

C.4.1概述

策略管理主要包括零信任認證服務(wù)、零信任權(quán)限服務(wù)和零信任策略服務(wù)。

C.4.2零信任認證服務(wù)

零信任認證服務(wù)用于用戶零信任身份與用戶業(yè)務(wù)身份之間的映射轉(zhuǎn)換，當(dāng)用戶通過身份管理與訪問

控制的統(tǒng)一身份認證后，將通過認證的令牌發(fā)送至零信任認證服務(wù)，并以該令牌交換零信任專屬令牌，

作為訪問業(yè)務(wù)的用戶在零信任中的鑒權(quán)標識。

零信任認證服務(wù)宜實現(xiàn)以下功能及要求：

a)對接用戶的統(tǒng)一身份認證信息；

b)建立統(tǒng)一身份認證令牌與零信任令牌的映射關(guān)系，維護零信任令牌表；

c)向信任評估模塊發(fā)送用戶認證日志。

C.4.3零信任權(quán)限服務(wù)

零信任權(quán)限服務(wù)在零信任架構(gòu)中實現(xiàn)鑒權(quán)功能，零信任權(quán)限服務(wù)定義策略執(zhí)行點的動作、零信任用

戶的授權(quán)組、應(yīng)用訪問控制策略與用戶可信評分的關(guān)聯(lián)。零信任權(quán)限服務(wù)對接信任評估與零信任策略服

務(wù)，下發(fā)應(yīng)用訪問控制策略至各策略執(zhí)行點。

零信任權(quán)限服務(wù)宜實現(xiàn)以下功能及要求：

a)存儲用戶安全等級、應(yīng)用安全等級、API安全等級，用于判斷用戶是否有權(quán)限訪問應(yīng)用或API；

b)接收用戶可信評分并根據(jù)評分調(diào)整用戶安全等級；

c)支持自定義零信任用戶組；

d)支持基于零信任用戶組設(shè)置訪問控制策略；

e)支持基于用戶業(yè)務(wù)需求自定義應(yīng)用訪問控制策略。

C.4.4零信任策略服務(wù)

零信任策略服務(wù)與零信任權(quán)限服務(wù)、可信API代理、可信接入代理和應(yīng)用控制代理對接，零信任策

略服務(wù)接收可信接入代理的鑒權(quán)請求后，與