1、ICS 点 击 此 处 添 加 ICS 号 点 击 此 处 添 加 中 国 标 准 文 献 分 类 号 DB北 京 市 地 方 标 准DB XX/ XXXXXXXXX政 务 办 公 终 端 安 全 管 理 规 范Security Configuration Specifications for Government Computer(征求意见稿) XXXX - XX - XX 发布 XXXX - XX - XX 实施北 京 市 质 量 技 术 监 督 局 发 布DBXX/ XXXXXXXXXI 目 次前 言 . II引 言 III1 范 围 . 12 规 范 性 引 用 文 件 . 13 术
2、语 和 定 义 . 14 计 算 机 安 全 配 置 原 则 . 24.1 集 约 管 理 . 24.2 综 合 防 护 . 24.3 明 确 责 任 . 25 安 全 管 理 基 线 要 求 . 25.1 责 任 人 员 . 25.2 资 产 管 理 . 35.3 安 全 制 度 管 理 . 36 软 件 配 置 基 线 要 求 . 36.1 系 统 软 件 配 置 要 求 . 36.2 应 用 软 件 配 置 要 求 . 47 外 围 配 置 基 线 要 求 . 57.1 接 入 控 制 配 置 要 求 . 57.2 流 量 监 控 配 置 要 求 . 5附录 A( 规 范 性 附 录 )
3、 关 于 办 公 终 端 应 用 的 不 同 场 景 和 安 全 要 求 7DBXX/ XXXXXXXXXII 前 言本 标 准 按 照 GB/T 1.12009给 出 的 规 则 起 草 。 本 标 准 由 北 京 信 息 安 全 测 评 中 心 提 出 。 本 标 准 由 北 京 市 经 济 和 信 息 化 委 员 会 归 口 。 本 标 准 的 起 草 单 位 : 北 京 信 息 安 全 测 评 中 心 。 本 标 准 的 主 要 起 草 人 员 : 。 DBXX/ XXXXXXXXXIII 引 言随着北 京市 信息 化的 不断 推进, 计算 机在 党政 机关 的日常 办公 中得 到了
4、广泛 应用, 为提 高政 府 行 政 效率、 提 升 管理 水平 发挥 了重要 作用 。 同 时, 由于 计算机 自身 漏洞 和外 来威 胁而导 致信 息失 泄 密 、 病 毒 木马传 播 、 网 络 瘫 痪等 信 息安全 事件 层出 不穷 , 严 重威胁 了电 子政 务的 安全 , 影 响了 政府 部门 社会 管 理 和 公 共 服 务 职 能 的 充 分 发 挥 。 根 据 中 华 人 民 共 和 国 计 算 机 信 息 系 统 安 全 保 护 条 例 ( 国 务 院 147号 令 ) 、 国 务 院 办 公 厅 关 于 加强政 府 信 息系 统安 全和 保密管 理工 作的 通知 ( 国办
5、发 20 08 17号) 、 国务院 办公 厅关 于加 强政 府信息 系 统 安全 和保 密管 理工作 的通 知 ( 国办 发 2009 28号) 、 2 010年 度政府 信息 系统 安全 检查 指 南 ( 工 信 部 协 2010 143号 ) , 参 照 信 息 系 统 安 全 等 级 保 护 基 本 要 求 ( GB/T 22239) 、 面 向IT专 家 的 微软 Windows XP系统 安全 指南: NIST安全 配置列 表 (N IST SP 800-68) 等 标准的 有关 部分 , 结合国 内 软 件管 理核 心技 术研发 、 典 型操 作系 统安 全配置 方法 、 计 算
6、机 安全 管理系 统开 发等 领 域 的 研 究 成 果 , 并 通 过 对 国 内 外 相 关 技 术 和 案 例 的 深 入 调 研 , 制 定 本 标 准 。 同 时 , 针 对 办 公 计 算 机 ( 以 下 称 为 办 公 终 端 ) 处 理 业 务 的 特 点 , 在 基 线 要 求 的 基 础 上 , 针 对 四 种 典 型 应 用 场 景 , 在 附 录 A中 提 出 了 不 同 的 增 强 配 置 要 求 。 DBXX/ XXXXXXXXX1 政务办公终端安全管理规范1 范围本 标 准 规 定 了 政 务 办 公 终 端 的 软 件 及 其 外 围 环 境 的 安 全 配 置
7、 和 管 理 基 线 要 求 。 本标准 适用 于党 政机 关处 理日常 事务 的政 务办 公终 端;不 适用 于处 理涉 及国 家秘密 的专 用 计 算 机 。 2 规 范 性 引 用 文 件下列文 件对 于本 文件 的应 用是必 不可 少的 。 凡 是注 日期的 引用 文件 , 仅 所注 日期的 版本 适用 于 本 文 件 。 凡 是 不 注 日 期 的 引 用 文 件 , 其 最 新 版 本 ( 包 括 所 有 的 修 改 单 ) 适 用 于 本 文 件 。 GB/T 5271.1-2000 信 息 技 术 词汇 第 1部 分 : 基 本 术 语 GB/T 5271.8-2001 信 息
8、 技 术 词汇 第 8部 分 : 安 全 GB/T 22239-2008 信 息 系 统 安 全 等 级 保 护 基 本 要 求 GB/T 25069-2010 信 息 安 全 技 术 术 语 3 术 语 和 定 义下 列 术 语 和 定 义 适 用 于 本 规 范 。 3.1计 算 机 安 全 Computer Security采取适 当措 施保 护数 据和 资源, 使计 算机 系统 免受 偶然或 恶意 的修 改、 损害 、 访问 、 泄 露等 操 作 的危 害 。 3.2计 算 机 软 件 Computer Software是 指 计 算 机 系 统 中 的 程 序 及 其 文 档 , 分
9、 为 操 作 系 统 软 件 和 应 用 软 件 。 3.3系 统 软 件 System Software是 指 控 制 其 他 软 件 运 行 , 管 理 系 统 资 源 并 为 用 户 提 供 操 作 界 面 的 系 统 软 件 的 集 合 。 3.4应 用 软 件 Application Software是 为 满 足 用 户 不 同 领 域 、 不 同 问 题 的 应 用 需 求 而 提 供 的 软 件 。 3.5资 产 Asset是 指 对 组 织 具 有 价 值 的 任 何 东 西 。 DBXX/ XXXXXXXXX2 3.6敏 感 信 息 Sensitive Informatio
10、n由权威 机构 确定 的必 须受 保护的 信息 , 该信 息的 泄 露、 修改 、 破坏 或丢 失会 对 人或事 产生 可预 知的损 害 。 3.7脆 弱 性 Vulnerability资 产 中 能 被 威 胁 所 利 用 的 弱 点 。 3.8威 胁 Threat对 资 产 或 组 织 可 能 导 致 负 面 结 果 的 一 个 事 件 的 潜 在 源 。 3.9安 全 域 Security Domain一 种 具 有 相 同 安 全 策 略 的 资 产 和 资 源 的 集 合 。 4 计 算 机 安 全 配 置 原 则4.1 集 约 管 理通过实 施集 约化 安全 管理 , 规 范软 硬
11、件 安装 , 采取 统 一的病 毒防 护措 施和 系统 升级 , 是 提高 政务 办 公 终 端 安 全 性 的 有 效 方 法 。 4.2 综 合 防 护系统软 件 、 应 用软 件 、 接 入 外联 、 安 全审 计等 各个 层 面的脆 弱性 都将 直接 或间 接影响 办公 终端 的安 全 , 因 此 在 政 务 办 公 终 端 的 安 全 配 置 时 须 全 面 综 合 考 虑 。 4.3 明 确 责 任切 实 贯 彻 落 实 “谁 主 管 谁 负 责 、 谁 运 行 谁 负 责 、 谁 使 用 谁 负 责 ”要 求 , 明 确 主 管 单 位 、 运 维 单 位 和 使 用 单 位 的
12、 安 全 责 任 。 5 安 全 管 理 基 线 要 求5.1 责 任 人 员5.1.1 岗位a) 办公终 端安 全管 理工 作应 由本单 位分 管信 息化 或信 息安全 相关 工作 的领 导负 责, 应 能够 协 调 用 于 本 项 工 作 所 需 的 各 种 资 源 。 b) 应明确 办公 终端 安全 管理 的责任 部门 和岗 位, 并在 部门和 岗位 职责 中明 确相 应的责 任。 岗 位 职 责 应 包 括 本 单 位 办 公 终 端 的 安 全 配 置 、 日 常 维 护 , 以 及 定 期 的 安 全 检 查 工 作 。 5.1.2 培训DBXX/ XXXXXXXXX3 a) 应建
13、立 办公 终端 用软 件配 套的安 装 、 配 置及 使用 操 作手册 , 定期 组织 宣贯 培 训, 指导 用户 正确使 用 。 b) 应结合 本单 位信 息化 工作 实际情 况, 组织 内部 和外 部的培 训, 包括 但不 限于 信息法 律法 规 的 宣 贯 、 信 息 安 全 意 识 培 训 、 信 息 化 和 信 息 安 全 常 识 和 基 础 技 能 的 培 训 等 。 5.2 资 产 管 理5.2.1 软 件 管 理a) 应根据 办公 终端 的日 常业 务需求 , 建 立计 算机 软件 选用列 表, 安装 支撑 业务 开展所 必需 的 计 算 机软件 。 列 表应 包含 系统 软
14、件和应 用软 件等 类别 , 其 中 系统软 件可 包括 操作 系统 、 系统补 丁等 ; 应用软 件可 包括 输入 法软 件、 文 档编 辑软 件、 文件 压 缩软件 、 网 页浏 览软 件、 邮 件客户 端软 件、 文件阅 读器 、 图 片查 看、 媒体播 放、 安全 防护 软件 以及打 印机 等办 公设 备驱 动程序 等, 其 中 安 全防护 软件 可包 括恶 意代 码防范 软件 (客 户端 ) 等 。 根据部 门业 务需 要还 可包 括财务 软件 、 远 程 管 理 软 件 以 及 专 用 业 务 系 统 客 户 端 等 。 b) 应 依 照 办 公 终 端 软 件 选 用 列 表 ,
15、 采 购 正 版 或 合 法 软 件 以 及 相 关 服 务 , 建 立 软 件 资 产 清 单 。 5.2.2 日 常 运 维a) 应 对 办 公 终 端 软 件 进 行 定 期 安 全 漏 洞 扫 描 , 及 时 评 估 和 修 补 已 经 发 布 的 软 件 安 全 漏 洞 。 b) 应 定 期 对 办 公 终 端 安 全 配 置 情 况 进 行 检 查 。 c) 应 定 期 检 查 办 公 终 端 是 否 处 理 或 存 储 涉 密 信 息 。 5.3 安 全 制 度 管 理a) 应制定 信息 安全 工作 的总 体方针 和安 全策 略, 对计 算 机软件 安全 管理 活动 中重 要的管
16、 理内 容 建 立 安 全 管 理 制 度 , 对 安 全 管 理 人 员 或 操 作 人 员 执 行 的 重 要 计 算 机 软 件 管 理 操 作 建 立 操 作 规 程 。 应 以 消 息 分 发 的 形 式 将 管 理 制 度 和 操 作 规 程 发 放 给 相 关 人 员 。 b) 应建立 计算 机软 件安 装和 变更的 审批 制度 。 因 工作 需要增 加、 减少 安装 软件 或对软 件进 行 升 级 及其他 配置 变更 前 , 应 按 照审批 流程 进行 审核 , 经 审核批 准并 备案 后 , 由 责 任部门 或责 任人 对 相 关 计 算 机 实 施 软 件 变 更 或 监
17、督 实 施 软 件 变 更 。 变 更 完 成 后 , 应 及 时 更 新 软 件 配 置 清 单 。 6 软 件 配 置 基 线 要 求6.1 系 统 软 件 配 置 要 求6.1.1 系 统 安 装 配 置a) 应根据 日常 业务 需求 确定 需要的 操作 系统 组件 和服 务, 安 装支 撑业 务开 展所 必 需的系 统组 件 和服 务 。 b) 办 公 终 端 应 按 照 统 一 规 则 命 名 , 名 称 应 易 于 识 别 。 6.1.2 系 统 账 号 配 置a) 应使用 非系 统管 理员 账号 作为日 常办 公的 账号 , 禁 止 其他高 权限 或特 殊权 限账 号进行 日常
18、办 公操 作 , 禁 止 将 日 常 办 公 用 的 普 通 账 号 赋 予 系 统 管 理 员 权 限 、 其 他 高 权 限 或 特 殊 权 限 。 b) 应 删 除 或 禁 用 系 统 中 的 特 殊 账 号 、 无 用 账 号 。6.1.3 系 统 口 令 配 置DBXX/ XXXXXXXXX4 应设置 操作 系统 账号 口令 保护机 制 , 禁 止空 口令 账 号登录 系统 ; 账号 口令 应 由大小 写字 母 、 数 字及 特 殊 字 符 组 成 , 长 度 不 小 于 6位 , 重 要 账 号 的 口 令 不 少 于 8位 。6.1.4 系 统 日 志 配 置a) 应 设 置 系
19、 统 日 志 审 计 , 对 系 统 账 号 登 录 、 策 略 更 改 、 对 象 访 问 、 服 务 访 问 、 系 统 事 件 、 账 户 管 理 等 行 为 进 行 日 志 记 录 。 b) 日 志 记 录 的 内 容 应 包 括 事 件 发 生 的 时 间 、 主 体 、 客 体 、 行 为 ( 结 果 ) 等 。 c) 系 统 日 志 保 留 时 间 不 少 于 7 天 。 6.1.5 系 统 安 全 配 置a) 应 加 强 系 统 安 全 配 置 , 关 闭 系 统 默 认 共 享 , 明 确 共 享 文 件 夹 的 共 享 权 限 。 b) 应 关 闭 系 统 自 动 播 放
20、功 能 。 c) 应 设 置 并 启 用 系 统 带 口 令 的 屏 幕 保 护 程 序 , 设 定 屏 幕 保 护 等 待 时 间 。 d) 应 定 期 进 行 系 统 漏 洞 扫 描 , 及 时 实 行 系 统 软 件 更 新 升 级 。 e) 应 使 用 统 一 、 可 信 的 域 名 解 析 服 务 器 , 并 至 少 设 置 1 个 备 用 的 域 名 解 析 服 务 器 。 6.2 应 用 软 件 配 置 要 求6.2.1 通 用 软 件 配 置a) 应 根 据 办 公 终 端 软 件 选 用 列 表 , 安 装 软 件 及 相 关 控 件 。 b) 应在办 公终 端系 统中 设置
21、 固定的 应用 程序 安装 目录 、 数据 临时 存储 目录 。 应 用 程序应 集中 安 装 在应用 程序 安装 目录 中; 对于存 在临 时文 件的 应用 程序, 应在 数据 临时 存储 目录中 建立 独 立 的 子 目 录 , 用 于 保 存 该 程 序 的 临 时 文 件 或 缓 存 文 件 。 c) 应 定 期 进 行 软 件 安 全 扫 描 , 及 时 进 行 软 件 更 新 升 级 。 6.2.2 文 档 编 辑 软 件 配 置a) 针 对 文 档 编 辑 软 件 , 应 设 置 用 于 标 识 用 户 的 基 本 信 息 。 b) 应 限 制 文 档 编 辑 软 件 自 动 批
22、 量 处 理 功 能 。 c) 除软件 自身 升级 外, 应通 过软件 自身 功能 或通 过本 机防火 墙限 制文 档编 辑软 件访问 外 部 网 络 。 d) 应 启 用 文 档 定 时 保 存 功 能 。 6.2.3 网 页 浏 览 器 配 置a) 针 对 网 页 浏 览 器 , 应 设 置 统 一 、 可 信 的 初 始 页 面 或 设 置 为 空 白 页 。 b) 应 指 定 下 载 文 件 保 存 的 默 认 目 录 , 并 将 该 目 录 设 置 到 系 统 统 一 的 临 时 文 件 目 录 中 。 c) 应 设 定 本 地 缓 存 空 间 大 小 , 并 定 期 清 理 本 地
23、 缓 存 、 历 史 记 录 以 及 临 时 文 件 内 容 。 d) 应 根 据 需 要 建 立 浏 览 器 插 件 或 组 件 列 表 。 e) 应 对 所 有 下 载 资 源 进 行 及 时 的 恶 意 代 码 扫 描 。 6.2.4 邮 件 服 务 配 置a) 针 对 邮 件 服 务 , 应 设 置 用 于 标 识 用 户 的 基 本 信 息 ; b) 应设置 邮箱 账户 的访 问口 令, 邮箱 账户 口令 应不 同 于系统 口令 , 并定 期更 新 , 口令更 新周 期不长于 3 个 月 ; c) 应建立 独立 于应 用程 序安 装目录 之外 的独 立目 录, 用 于存储 已接 收、
24、 已发 送及 分 类保存 的邮 件 ; DBXX/ XXXXXXXXX5 d) 应 禁 止 或 限 制 邮 件 客 户 端 软 件 对 带 格 式 邮 件 、 附 件 的 自 动 处 理 或 显 示 功 能 ; e) 应 定 期 清 除 、 转 移 或 归 档 已 收 取 的 邮 件 , 避 免 信 息 泄 露 。 6.2.5 防 护 软 件 配 置a) 针对安 全防 护软 件 , 应 实 行恶意 代码 防范 软件 策略 设置 , 设 置软 件开 机自 动 启动 , 定 期对 所有 本地存 储介 质进 行安 全扫 描, 及 时对 接入 介质 及其 文件进 行安 全扫 描, 并及 时更新 升级
25、恶 意 代 码 防 范 规 则 库 。 b) 应 启 用 办 公 终 端 的 本 机 防 火 墙 , 并 以 白 名 单 的 方 式 设 置 访 问 控 制 规 则 。 7 外 围 配 置 基 线 要 求7.1 接 入 控 制 配 置 要 求7.1.1 网 络 规 划 配 置应根据 各部 门的 工作 职能 和处理 业务 的重 要程 度, 划分不 同的 子网 或网 段, 并按照 方便 管理 和 控 制 的 原 则 为 各 子 网 、 网 段 分 配 IP地 址 段 。 7.1.2 接 入 控 制 配 置应 设 置 并 启 用 办 公 终 端 接 入 控 制 策 略 , 通 过 物 理 接 入 点
26、 或 计 算 机 MAC地 址 等 物 理 因 素 , 将 办 公 终 端 接 入 限 定 在 指 定 的 物 理 子 网 或 逻 辑 子 网 中 。7.1.3 介 质 接 入 配 置a) 应 设 置 并 启 用 移 动 存 储 介 质 接 入 控 制 策 略 , 自 动 实 行 存 储 数 据 安 全 性 扫 描 。 b) 接 入 介 质 不 能 与 处 理 涉 密 信 息 的 设 备 交 叉 使 用 。 7.2 流 量 监 控 配 置 要 求7.2.1 办 公 网 流 量 监 控 配 置应设置 并启 用办 公网 络流 量监控 策略 , 实时 监测 办 公网带 宽使 用等 情况 , 并 能够
27、对 指定 子网 、 网段 和 节 点 网 络 中 的 办 公 终 端 带 宽 使 用 进 行 限 制 。 7.2.2 流 量 内 容 分 析应具备 对网 络出 口、 骨干 链 路等关 键部 位网 络流 量的 分析, 能够 根据 特征 监测 发 现典型 的网 络攻 击、 恶 意 软 件 传 播 等 行 为 。 DBXX/ XXXXXXXXX6 附 录 A( 规 范 性 附 录 ) 关 于 办 公 终 端 应 用 的 不 同 场 景 和 安 全 要 求本标准 提出 了所 有办 公终 端必须 满足 的安 全配 置基 线, 满 足安 全配 置基 线是 保 证所有 办公 终端 具 有 基本安 全 防 护
28、能 力的 前提 。 本 附 录根 据政 务办 公终 端处理 的业 务特 点, 总结 列举出 几种 具有 特 点 的 典 型 应 用 场 景 , 从 而 进 一 步 提 取 不 同 应 用 场 景 下 的 办 公 终 端 安 全 需 求 类 型 , 具 体 如 下 : (一) 自动 化管 理型 : 主 要面向 实现 计算 机自 动化 管理、 提高 计算 机管 理效 率为重 点, 保证 办 公 终 端实时 有 效 运行 、 数 据实 时可 用 等需 求, 解决 被管 理办公 终端 数量 过大 或可 承担终 端管 理的 人 员 过 少 等 问 题 , 或 办 公 终 端 不 存 储 业 务 数 据
29、的 单 位 。 (二 ) 数 据保 护型 : 主要 面 向以办 公终 端数 据保 护性 为重点 , 保证 被管 理办 公 终端用 于处 理敏 感信 息、 访 问涉 及敏 感信 息的 重 要系统 时, 数据 不被 恶意 泄 露和 篡 改, 确保 将办 公终 端 数据保 护性 放在 首位 。 (三 ) 监 控审 计型 : 主要 面 向以规 范办 公终 端用 户操 作为原 则 , 及 时发 现安 全 问题以 及事 后定 位信 息安全 事 件 , 能 够实 时监 测办 公 终端 软件 使用 行为 , 在发 生安 全事 件后 能够 为管理 人员 提供 有 效 的 网 络 访 问 行 为 和 内 容 审
30、计 记 录 。 (四) 外设 可控 型: 主要 面向对 办公 终端 安全 要求 严格, 明确 办公 终端 外设 控制力 度, 主要 面 向 军 工等敏 感 和 特殊 单位 的办 公终端 , 能 够保 证办 公终 端在安 全、 可信 、 可 控的 网络环 境中 运行 , 并 能 有 效 禁 止 任 何 违 反 安 全 要 求 的 行 为 发 生 。 为 了 满 足 上 述 四 类 办 公 终 端 对 于 处 理 业 务 和 数 据 的 特 殊 安 全 需 求 , 在 符 合 规 范 安 全 基 线 的 基 础 上 , 分 别 提 出 了 针 对 以 下 几 种 安 全 需 求 类 型 的 增 强
31、 配 置 要 求 。 A.1 自 动 化 管 理 型 增 强 配 置 要 求A.1.1 系 统 配 置 要 求应 选 用 同 一 类 型 操 作 系 统 。 应 在 系 统 安 装 时 统 一 系 统 恢 复 设 置 。 A.1.2 终 端 管 理 系 统 配 置 要 求应部 署统 一的 终端 管理 系统 , 实 现对 所管 辖终 端 的自动 化管 理 。 管 理的 内 容应至 少包 括 : 资 产管 理 、 状 态 监 测 、 系 统 补 丁 分 发 、 软 件 安 装 管 理 、 主 机 访 问 控 制 、 远 程 管 理 等 。 A.1.3 安 全 防 护 软 件 配 置 要 求应 设
32、置 安 全 防 护 软 件 统 一 管 理 , 实 行 恶 意 代 码 防 范 规 则 库 自 动 、 集 中 、 定 时 更 新 。 A.2 数 据 保 护 型 增 强 配 置 要 求DBXX/ XXXXXXXXX7 A.2.1 软 件 维 护 管 理 要 求应 定 期 对 安 全 域 中 的 网 络 设 备 、 办 公 终 端 进 行 安 全 扫 描 , 及 时 发 现 可 能 的 安 全 隐 患 。 A.2.2 账 号 安 全 配 置 要 求应 禁 止 直 接 使 用 操 作 系 统 管 理 员 账 号 , 严 格 禁 止 多 人 共 同 使 用 一 个 系 统 账 号 。 如 启 用
33、了 口 令 鉴 别 方 式 , 账 号 的 口 令 应 包 含 大 写 字 母 、 小 写 字 母 、 数 字 、 特 殊 字 符 等 四 类 字 符 。口 令 应 定 期 更 换 , 更 换 周 期 不 长 于 3 个 月 。 应 设 置 延 时 、 尝 试 次 数 阈 值 , 并 在 达 到 阈 值 时 采 取 响 应 措 施 , 防 范 暴 力 口 令 破 解 。 A.2.3 系 统 日 志 配 置 要 求应 设 置 日 志 文 件 大 小 及 达 到 设 定 值 或 无 存 储 空 间 时 的 操 作 方 式 。 A.2.4 文 档 编 辑 软 件 配 置 要 求应 禁 用 文 档 编
34、 辑 软 件 的 网 络 功 能 。 应限 制文 档编 辑软 件在 本地保 存副 本或 临时 文件 , 对重 要文 档应 设置 口令 保护, 限制 对文 档 的 读 写 。 A.2.5 网 页 浏 览 器 配 置 要 求应 禁 止 本 地 缓 存 网 页 文 件 。 应 禁 止 本 地 自 动 保 存 用 户 账 号 、 口 令 等 敏 感 信 息 。 A.2.6 主 机 防 护 配 置 要 求应 统 一 安 装 恶 意 软 件 防 范 工 具 , 并 定 期 更 新 恶 意 软 件 特 征 库 。 应 对 本 地 重 要 文 件 进 行 保 护 , 保 障 文 件 的 保 密 性 和 完 整
35、 性 。 A.2.7 接 入 控 制 要 求应 对 接 入 安 全 域 的 办 公 终 端 进 行 认 证 , 通 过 验 证 后 方 可 使 用 网 络 资 源 。 应 对 未 授 权 办 公 终 端 接 入 及 安 全 域 内 办 公 终 端 未 授 权 外 联 进 行 限 制 。 应 能 够 对 内 部 网 络 中 出 现 的 内 部 用 户 未 通 过 准 许 私 自 联 到 外 部 网 络 的 行 为 进 行 检 查 。 A.2.8 计 算 机 外 设 管 理 通 用 要 求应 加 强 移 动 存 储 介 质 的 管 理 , 检 验 接 入 介 质 的 合 法 性 , 并 进 行 必
36、 要 的 审 计 。 A.3 监 控 审 计 型 增 强 配 置 要 求A.3.1 基 础 要 求应 建 立 独 立 于 办 公 终 端 的 监 控 和 审 计 系 统 。 应在 核心 交换 机设 置端 口镜像 , 或 采取 其他 有效 措施, 将所 有网 络流 量数 据发送 至监 控和 审 计 系 统 。 8 DBXX/ XXXXXXXXXA.3.2 策 略 设 置 要 求应 依 照 办 公 终 端 软 件 运 行 需 求 , 设 置 并 启 用 软 件 进 程 监 测 策 略 , 对 违 反 策 略 的 行 为 进 行 处 置 。 应依 照办 公终 端软 件选 用列表 , 设 置并 启用
37、重要 软件日 志审 计策 略, 对软 件增加 、 修 改、 删 除 等 软 件 变 更 情 况 进 行 审 计 , 审 计 信 息 应 包 括 日 期 、 时 间 、 来 源 、 用 户 、 操 作 、 结 果 等 要 素 。 应 设 置 审 计 数 据 可 保 存 60 日 , 确 保 数 据 保 存 在 独 立 于 被 保 护 办 公 终 端 之 外 。 A.3.3 日 志 记 录 配 置 要 求应 将 日 志 记 录 通 过 网 络 远 程 保 存 在 外 部 日 志 服 务 器 中 。 日志 记录 应包 括: 事件 的日期 和时 间、 用户 、 事 件 类型、 事件 是否 成功 及其
38、他与审 计相 关的 信息 ,并 对 违 反 策 略 的 访 问 行 为 及 时 响 应 和 处 置 。 审 计 记 录 应 独 立 保 存 , 保 存 时 间 不 少 于 60 天。A.4 外 设 可 控 型 增 强 配 置 要 求应设 置并 启用 办公 终端 外联控 制策 略, 禁止 通过 无线局 域网 、 红 外线、 蓝牙 等无线 方式 连接 外 部 网 络 , 禁 止 通 过 USB口 、 COM口 、 LPT口 和 Modem等 外 设 接 口 连 接 外 部 网 络 , 禁 止 通 过 PPPOE虚 拟 拨 号 、 VPN 等 方 式 连 接 外 部 网 络 , 并 对 办 公 终 端 未 经 授 权 外 联 行 为 进 行 监 测 和 处 置 。
