信息通信网与公共网络单向数据传输安全规范.docVIP

公共网络与公安信息通信网 单向数据传输安全规范（试行） 公安部科技信息化局 二〇一〇年四月 目录 1. 适用范围 3 2. 规范性引用文件 3 3. 术语与定义 3 3.1 公网接入链路 3 3.1.1 单向入链路 3 3.1.2 单向出链路 4 3.2 格式化数据 4 3.3 单向数据传输 4 3.2.1 单向入数据传输 4 3.2.2 单向出数据传输 4 4. 安全技术要求 5 4.1 公网接入链路 5 4.1.1 总体要求 5 4.1.1.1 单向入链路 5 4.1.1.2 单向出链路 6 4.1.2 业务操作方法 6 4.1.2.1 单向入数据传输 6 4.1.2.2 单向出数据传输 6 4.1.3 区域划分 7 4.1.4 单向入链路网络安全 7 4.1.5 单向出链路网络安全 8 4.1.6 主机安全 9 4.1.7 应用安全 9 4.2 集中监控审计 9 4.2.1 接入链路安全监控管理 9 5. 安全管理要求 10 6. 公网接入链路测评要求 10 7. 设备安全要求 10  适用范围 本规范适用于公共网络与公安信息通信网进行单向数据传输，包括公安机关从社会企事业单位采集信息、党政机关向公安机关共享信息，以及公安信息通信网通过公共网络向社会各行业和党政机关提供数据访问。 本规范规定了公共网络与公安信息通信网进行单向数据传输的安全技术要求、安全管理要求、安全评测要求以及设备安全要求。 规范性引用文件 本规范的制订参照了以下规范和标准： 《公安信息通信网边界接入平台安全规范（试行）》（公安部信息通信局，二〇〇七年六月） 《公安信息通信网联网设备及应用系统注册管理办法》（公信通[2007]139号 公共网络与公安信息通信网进行数据传输的数据通路，分为单向入链路和单向出链路。 单向入链路 社会各行业和党政机关通过公共网络向公安信息通信网传输数据的业务，称为“公网对公安信息通信网单向数据传输业务”，简称“单向入业务”。为“单向入业务”建设的、包括各种安全设备在内的数据通路简称为“单向入链路”。 单向出链路 公安机关所有要求通过公安信息通信网通过公共网络向社会各行业和党政机关提供数据的业务，称为“公安信息通信网对公网单向数据传输业务”，简称“单向出业务”。为“单向出业务”建设的、包括各种安全设备在内的数据通路简称为“单向出链路”。 格式化数据 格式化数据是指数据内容的表示方式具备明确定义的数据。 单向数据传输 单向数据传输是社会各行业和党政机关通过公网与公安信息通信网进行的数据传输，其传输的单向性由安全隔离区的单向传输隔离设备提供保障，包括单向入数据传输和单向出数据传输。 单向入数据传输 社会各行业和党政机关的应用数据通过公网，由单向入链路向公安信息通信网进行的数据传输。 单向出数据传输 格式化数据从公安信息通信网通过单向出链路的单向传输隔离系统传输到单向出链路的应用服务区，供通过公网接入的社会各行业和党政机关终端访问。 安全技术要求 公网接入链路 公网接入链路是社会各行业和党政机关通过公共网络与公安信息通信网进行单向数据传输的网络通道，分为单向入链路和单向出链路两条独立链路。 总体要求 总体要求遵循《公安信息通信网边界接入平台安全规范（试行）》的4.2.1节。 单向入链路 在单向入链路中，社会各行业的数据采集应用终止于应用服务区。在应用服务区与公安信息通信网之间，通过单向传输隔离系统进行单向传输。单向传输隔离设备的主要安全功能为：实现前置服务器与后置服务器的安全隔离；根据安全策略，对从前置服务器到后置服务器的数据进行格式检查和内容过滤，从而保证数据由应用服务区安全地传输到公安信息通信网，如图1所示： 图1 接入平台公网接入链路架构图（单向入） 单向出链路 单向出链路实现从公安信息通信网到应用服务区的单向数据传输。单向传输隔离设备的主要安全功能为：实现后置服务器与前置服务器的安全隔离；根据安全策略，对从后置服务器到前置服务器的传输数据进行格式检查和内容过滤，实现公安信息通信网到应用服务区的单向数据传输，如图2所示： 图2 接入平台公网接入链路架构图（单向出） 业务操作方法 单向入数据传输 单向入数据传输允许的业务操作方式：应用数据只能由经过认证的终端/代理服务器，通过单向入链路单向传输到公安信息通信网。 单向出数据传输 单向出数据传输允许的业务操作方式：格式化数据从从公安信息通信网通过单向传输隔离系统传输到应用服务区，，供公网接入的社会各行业和党政机关终端访问。 区域划分 遵循《公安信息通信网边界接入平台安全规范（试行）》的4.2.2节。 单向入链路网络安全 单向数据传输与隔离 采用光纤、数据二极管等单向传输与隔离技术实现并经国家权威部门认可的单向传输隔离设备，实现公共网络向公安信息通信网的单向数据传输，保障公