GB/T30278-2013
信息安全技术政务计算机终端核心配置规范
Informationsecuritytechnology—Chinesegovernmentdesktopcoreconfigurationspecifications
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2014-07-15
- 文件格式PDF
- 文本页数32页
- 文件大小643.56KB
以图片形式预览信息安全技术政务计算机终端核心配置规范
信息安全技术政务计算机终端核心配置规范
国家标准 GB/T30278一2013 信息安全技术 政务计算机终端核心配置规范 Informationseceuritytechnology一Chinesegoermment desktopcoreconfigurationspecifications 2013-12-31发布 2014-07-15实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/I30278一2013 目 次 前言 范围 规范性引用文件 术语和定义 缩略语 概述 核心配置基本要求 核心配置清单 核心配置基线包 核心配置自动化部署及监测技术要求 l0 实施流程 附录A(资料性附录)身份鉴别配置要求示例 26 附录B(资料性附录核心配置清单 2
GB/T30278一2013 前 言 本标准按照GB/T1.1一2009给出的规则起草
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口 本标准起草单位:国家信息中心,信息安全测评中心,信息安全认证中心,国家税务总局电 子税务管理中心、三零卫士公司、北京北信源软件股份有限公司、天津市信息中心、上海市信息中心,山 西省经济信息中心、江苏省信息中心,安徽省经济信息中心,山东省信息中心,河南省信息中心,湖南省 人民政府经济研究信息中心、广东省发展和改革委员会信息中心,四川省经济信息中心、贵州省信息中 心,甘肃省信息中心,青海省信息中心,新疆维吾尔自治区经济信息中心、宁波市信息中心、西安市信息 中心 本标准主要起草人;李新友,刘蓓,许祷,蔡军霞,刘帅,程造,王啸天、沈大风,吴亚非、袁志强、张海昆、 刘海峰,甘杰夫,李建彬、闵京华、林浩、王华峰、,陆小敏,马志红、谷和启、彭云峰,洪之民、宋苏宇,柳松、 马占飞、余靖浊、袁继会、闫加元、靳力、赵俊、史小列、阮高峰 m
GB/I30278一2013 信息安全技术 政务计算机终端核心配置规范 范围 本标准规定了政务计算机终端核心配置的基本概念和要求,核心配置的自动化实现方法,规范了核 心配置实施流程
本标准适用于政务部门开展计算机终端的核心配置工作
涉密政务计算机终端安全配置工作应参 照国家保密局相关保密规定和标准执行
规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T22239一2008信息系统安全等级保护基本要求 术语和定义 下列术语和定义适用于本文件
3.1 政务部门govermentdepartment 从事涉及政府性事务工作的国家机关、企事业单位和大型社会团体等机构
3.2 eamtigewr rationitem 核心配置项(配置项 cOre 计算机操作系统、办公软件、浏览器、,BO5系统和防恶意代码软件等基础软件中影响计算机安全 的关键参数可选项
注;核心配置项类型包括开关项、枚举项,区间项和复合项,可以根据安全要求对其进行赋值
3.3 核心配置 configuratiom cOre 对核心配置项进行参数设置的过程
注,通过核心配置限制或禁止存在安全隐患或漏洞的功能,启用或加强安全保护功能,来增强计算机抵抗安全风险 的能力
3.4 核心配置项基值 coreconfiguratioitembasevale 按照核心配置基本要求对配置项的参数设置
3.5 核心配置基线eoreconigurationbaseline 能够满足计算机安全基本要求的一组核心配置项基值构成的集合
3.6 核心配置清单 coreconfigurationlist 由核心配置项构成的一种列表,是对核心配置项属性的一种形式描述
GB/T30278一2013 核心配置基线包 configurationbaselinepackage cOre 为实现核心配置基线自动化部署而制定的一种具有特定语法格式的核心配置数据文件 缩略语 下列缩略语适用于本文件
B1Os;基本输人输出系统(BasieInputOutputsystem) cGDCC;政务计算机终端核心配置(ChineseGovernmentDesktopCoreConfiguration) FTP;文件传输协议(FileTransferProtocol GUID;全球唯一标识符(GloballyUniqueIdentifer) TCM可信密码模块(TrustedCryptographyModule wMI;桌面管理规范(windowsManagementInstrumentation XML;可扩展置标语言(Ex xtensibleMarkuplanguage) 概述 5.1 核心配置对象 本标准针对应用于政务部门的联网计算机终端提出核心配置要求,包括连接到互联网,政务专网 (政务内网,政务外网)的桌面计算机、膝上型计算机和瘦客户机等
5.2核心配置范围 核心配置的范围包括如下方面 a)操作系统,如windows系列、国外Linux和国产Linux等, b) 办公软件,如国外Offiee软件和国产wPs软件等, 浏览器软件,如国外lnternetExplore,Chrome,Firefox和国产邀游,360浏览器等; c) 邮件系统软件,如国外Outlook和国产Foxmail等; BIOS系统软件,如AMIBIOS,AwardBIOS等; 防恶意代码软件,如内防病毒、防木马软件等
依据GB/T22239一2008中7.1.3和7.1.4对于第三级主机安全和应用安全的要求,上述基础软件 应符合如下配置要求: 身份鉴别包括账户登录和口令管理 a 访问控制;包括账户管理和权限分配 b 安全审计;包括账户行为审计和资源访问审计; c d)剩余信息保护;包括临时文件,历史文件和虚拟文件管理, 人侵防范包括对组件的保护功能开启、应用程序的更新升级; 恶意代码防范;包括杀毒软件的安装、升级和病毒查杀管理; f g)资源控制:包括服务、端口,协议等资源管理和数据的加密保护 5.3核心配置项基本类型 根据核心配置项的取值范围,核心配置项分为开关项、枚举项,区间项和复合项等基本类型
开关项;取值仅为“0”或“1”
例如,配置项“下载未签名的Active控件”,可赋值为“启用(1)” 或“禁用(0)”
GB/T30278一2013 b枚举项;取值是离散的,可数的且多于两种
例如,配置项“具有从网络访问本地计算机权限的 账户”,可赋值为“管理员Administrators)”“超级用户(PowerUsers) )"“一般用户(Users)"或 “来宾(Guests)” 区间项;取值连续分布在一个区间内
例如,配置项“账户锁定时间",赋值范围为“1min~ 99999min” 复合项;由上述两种或多种关联配置项组合而成
例如,配置项“启动屏幕保护程序的等待时 间”,由开关项和区间项组成
首先“启用”屏幕保护程序,再设置“等待时间” 5.4核心配置项赋值方法 根据核心配置项赋值路径不同,可分为注册表赋值和配置文件赋值两种方法: a)注册表赋值方法 通过修改核心配置项对应的注册表键值等,实现对配置项的赋值,例如windows操作系统
配置文件赋值方法 通过修改配置文件中有关的配置项,实现对配置项的赋值,例如Linux操作系统
根据核心配置部署方式不同,可分为手动和自动两种方法 手动赋值 对核心配置项进行人工逐项赋值
该方法适用于针对少量终端的少量配置部署
例如,在 windows系统环境下,运行组策略编辑器(GPEdit),由人工对核心配置项进行赋值;在Linux 系统环境下,直接编辑配置文件,对核心配置项逐项进行赋值;在BIOS系统中,直接在人机界 面上,逐项进行手动赋值
自动赋值 b 编辑核心配置基线包,调用自动部署工具,对核心配置项进行赋值
该方法适用于大量终端批 量配置部署
5.5核心配置对安全的作用 核心配置主要通过如下四种方式提高终端安全性 a)应启用数字签名、数据执行保护(DEP),加密存储,更新升级等安全保护功能" b 应禁用存在或可能存在安全漏洞的服务、端口、程序、脚本和驱动等; c)应加强口令管理、身份鉴别、账户管理和安全审计等安全保护手段 d)应限制软硬件访问权限、资源共享和远程登录等功能
5.6核心配置自动化实施框架 核心配置自动化实施框架包括以下四个部分 提出核心配置基本要求,根据计算机终端所属系统或环境的安全需求及安全级别,确定核心配 a 置具体要求
核心配置基本要求见第7章
编制核心配置清单,采用清单方式描述核心配置要求,包括配置项标识、配置项名称、配置项组 别安全级别取值范围,配置项基值、赋值路径和检查规则等
核心配置清单格式要求见第 8章
生成核心配置基线包.将配置清单转化成为一种符合XMI语法的嵌套式结构数据文件,以供 自动化部署工具实随
核心配置基线包格式要求见第9章
自动部署及监测,通过搭建核心配置自动化部署平台,实现核心配置项的批量自动赋值和合规 性实时检测
具体技术要求见第10章
GB/T30278一2013 核心配置基本要求 6.1 操作系统核心配置要求 6.1.1概述 本标准依据GB/T222392008中7.1.3对第三级主机安全的要求,针对国内外主流操作系统,在 身份鉴别,访问控制,安全审计,剩余信息保护,人侵防范和资源控制等方面提出核心配置基本要求 6.1.2身份鉴别 S 身份鉴别配置要求包括 a) 账户登录时,应启动身份验证机制,限制连续登录失败次数,连续多次登录失败后应锁定账户 b) 应配置安全的口令长度、复杂度、有效期和加密强度,应禁止不设置口令; e)启动账户登录界面时,应禁止无关进程的启动和运行,防止鉴别信息被窃听 注:附录A给出了身份鉴别配置要求示例
6.1.3访问控制 访问控制配置要求包括 应禁用匿名账户(Anonymous),来宾账户(Guest),产品支持账户(Support),限用管理员账户 a Administrator),重命名管理员账户,限制普通用户的访问权限,禁止任何账户远程访问; b)应限制账户对文件,硬件,驱动,内存和进程等重要资源的访问权限 c 应限制账户权限提升和授权访问等操作
6.1.4安全审计 安全审计配置要求包括 a)应启用安全日志,记录账户的创建、更改、删除、启用、禁用和重命名等操作,记录账户登录和注 销、开关机、配置变更等操作; b)应启用系统日志,记录对文件,文件夹,注册表和系统资源的访问操作
6.1.5剩余信息保护 剩余信息保护配置要求包括 a)关闭系统时,应清除虚拟内存页面文件; b 断开会话时,应清除临时文件夹; 应禁止剪贴板存储信息与远程计算机共享
c 6.1.6入侵防范 人侵防范配置要求包括: a 应启用资源管理器数据执行保护(DEP)模式和Shell协议保护模式; b)打开邮件的附件时,应启用杀毒软件进行扫描 e)应启动屏幕保护和休眠功能,设置唤醒口令 d)应开启系统定期备份功能; 应限制应用程序的下载和安装,保持操作系统补丁及时更新
6.1.7资源控制 资源控制配置要求包括:
GB/T30278一2013 应禁用信息共享、动态数据交换(Dynamie DataExchange)、互联网信息服务(InternetInfor mmationServiees)、FTP和Telnet等网络连接、远程网络访问等服务,限制蓝牙等无线连接; b)应禁止介质自动运行(Autorun); 应关闭FTP,HTTP(超文本传输协议HypertextTransportProtocol),RPc(远程过程调用协 议RemoteProcedureCallProtocol),UPNP(通用即插即用UniversalPlugandPlay),远程桌 面服务、远程控制类软件服务端监听,木马软件等对应开放的端口 应禁止IPC(进程间通信InterProcessCommunication)管道连接,限制sYN(同步字符syn chronize)的传输次数和发送时间 应启用磁盘加密系统等数据保密配置
对于三级以上政务计算机应配置TCM模块保护敏感 数据
6.2办公软件核心配置要求 依据GB/T222392008中7.1.4对第三级应用安全的要求,针对国内外主流办公软件提出如下核 心配置要求 a)应禁止ActirveX控件的使用 b) 应禁用所有未经验证的加载项; c 应限用未数字签名的宏; d应限制在线自动更新升级、网上下载剪贴画和模板等资源,以及访问超级链接 6.3浏览器核心配置要求 6.3.1概述 依据GB/T22239一2008中7.1.4对第三级应用安全的要求,针对国内外主流浏览器,在浏览器安 全选项、域安全管理和隐私保护等方面提出核心配置基本要求
6.3.2浏览器安全选项 浏览器安全选项配置要求包括: a)应严格禁止运行java小程序脚本; b)应限制下载和安装未签名的Activex控件; 应开启浏览器的保护模式
c 6.3.3域安全管理 城安全管理配置要求包括 a)访问以太网的安全限制应设为中或高 b 访问企业专网的安全限制可设为中 c 访问可信站点的安全限制可设为低 d)应限制访问受限站点,禁止从受限站点下载或保存文件
6.3.4隐私保护 隐私保护配置要求包括: 退出网页时,应删除Cookie文件、下载记录、访问网站历史记录和临时文件夹; a b)应限制输人框自动关联功能 邮件系统核心配置要求 6.4 依据GB/222392008中7.1.4对第三级应用安全的要求,针对国内外主流邮件系统软件提出如
GB/T30278一2013 下配置要求: 应配置安全的邮箱登录口令的长度和复杂度; a b)对本地存储的邮件应开启加密功能; 发送邮件应使用数字签名和数字加密技术,接收邮件应对数字签名进行验证 c 应开启加密协议收发邮件; 应禁止直接运行附件中存在安全隐患的文件类型; 应禁止运行邮件中的超链接 应启用垃圾邮件过滤功能 6.5BoS系统核心配置要求 依据GB/T222392008中7.1.3对第三级主机安全的要求,对BOS系统提出如下配置要求 a)开机时应启动身份鉴别机制,并设置安全的口令长度和复杂度; b 应限制硬件资源使用,包括软驱,硬盘、内存,USB设备、,网卡和CPU等; e)应启用硬盘写保护 d)应限制使用定时开机,远程模式控制开机、键盘鼠标开机等开机模式; 操作系统操作关机后,应立即断开计算机电源 应限制由外部设备,如U盘、,光驱等引导启动计算机终端
6.6防恶意代码软件核心配置要求 防恶意代码软件核心配置要求包括 应开启实时保护功能; a b 应及时升级防恶意代码软件至最新版本,开启自动更新病毒库功能" c 应定期进行病毒、木马等恶意代码扫描,发现恶意代码立即隔离或删除
核心配置清单 7.1概述 核心配置清单描述配置项的属性,包括配置项标识、配置项名称、配置项描述、配置项组别、安全级 别,取值范围,配置项基值、赋值路径和检查规则
7.2配置项属性 7.2.1配置项标识 配置项标识是配置项的唯一编码由三组字符构成,通过“-”进行分隔,标识规则如图1所示
最高 组位的字符使用CGDCC,代表政务终端核心配置;中间组位引用软件产品标识;最低组位使用4位数 字代表配置项序号
例如"wimdow7口令长度"配置项,其标识为"cGDcc-win7-4o1”" cGDccx ×××-XX> 配置项序列号 软件产品标识 政务终端核心配置 图1配置项标识规则
GB/T30278一2013 7.2.2配置项名称 描述配置项名称的字符串 7.2.3配置项描述 从终端的安全风险、配置项的应对措施和潜在影响等三个方面对配置项进行解释说明
其中,安全 风险主要描述配置项所对应的系统脆弱性;应对措施主要描述配置项推荐参数赋值;潜在影响主要描述 配置生效后可能对终端系统造成的影响
7.2.4配置项组别 需对配置项进行分组时,描述配置项所属的组别 7.2.5安全级别 描述配置项对计算机终端安全性的影响程度,分为一般、重要和严重三个级别 7.2.6取值范围 描述配置项允许赋值的范围,可用开关、枚举和区间表示
配置项基值 7.2.7 描述符合核心配置基本要求的配置项基值
当配置项安全级别为严重时,此配置项必须按照基值 进行赋值
7.2.8赋值路径 描述配置项的赋值路径
对于windows的配置项,可以依据配置项的赋值路径,使用相应的配置 工具进行赋值
例如,配置项“账户锁定时间”的赋值路径为“ComputercConfiguration\windows Settings\SeeuritySettings\AccountPolieies\Accountl.ockoutPoliey”,通过组策略编辑器(GPEdit)工 具,在该路径下可对“账户锁定时间”进行赋值
7.2.9检查规则 描述检查配置项的实际值是否达到基值的判断规则,如大于配置项基值、小于配置项基值,等于配 置项基值、大于或等于配置项基值、小于或等于配置项基值
核心配置基线包 8.1概述 核心配置基线包是一种嵌套式结构的数据文件,采用XML格式对核心配置基线中各配置项的属 性进行规范性标记以实现核心配置部署及监测的自动化
核心配置基线包由格式版本标记,基线标记和产品标记三部分组成
其中,基线标记包括基线版本 标记、配置组标记、配置项标记和检查标记
核心配置基线包格式结构如图2所示
GB/T30278一2013 核心配置基线但 格式版本标记 格式版本 主体 基线头标记 基线头 主体标记 配置组 配置组标记 配置项 配置项标记 检查标记 检查项 产品标记 产品 图2核心配置基线包格式结构 8.2主标记 核心配置基线包用“CGDcCC-Package”作为主标记,其结构如表1所示
表1主标记 标记 名称 解释说明 CGDCC-Formatlnlo 格式版本信息 描述核心配置基线包格式的基本信息 CGDCCBaseine 基线信息 描述核心配置基线的完成信息,可以描述多条基线 CGDCCProduct 产品信息 描述软件产品基本信息,可以描述多个产品信息 示例 CGCC-Package
GB/T30278一2013 配置清单 基线包生成器 某线包编辑器 配置编辑模块 配置基线包 有效性检渊 适用性检测 兼容性检测 配置验证模块 工具集 工具集 工具集 可部署 配置基线包 基线包 基线包 配置执行 配置部署模块 管理工具 分发工具 工具 基线包分发通道 服务器 终端 状态上报通道 配置状态 配置监测模块 配置状态统计分析器 收集器 配置状态 配置状态图标展示平台 上报系统 图3自动化部署及监测平台 9.2 配置编辑模块 配置编辑模块用来生成核心配置基线包,安全管理员依照核心配置基本要求制定配置清单,并对其 进行转换和处理,生成可以编辑,可以解析,可以分发和可以部署的核心配置基线包
配置编辑模块应 包括基线包生成器和基线包编辑器两个部件: 基线包生成器主要用于生成原始的核心配置基线包,可根据清单内容逐项录人或由清单模版 自动录人; 基线包编辑器主要用于修改核心配置基线包中的配置项的基值,并可进行舔加、修改、合并、删 b 除等编辑操作
9.3 配置验证模块 配置验证模块用于验证核心配置基线包的有效性,适用性和兼容性,保证所要部署的配置基线包的 实施效果和安全
有效性测试可采用人工测试与工具测试相结合的方法,验证核心配置基线包是否生效
具体要求 包括 核心配置部署前,自动收集测试终端的脆弱性情况; a 15
GB/T30278一2013 b核心配置部署后,检测核心配置项的实际赋值是否与基值相一致 对测试终端进行渗透测试,检验核心配置项是否发挥安全作用
兼容性测试用于测试核心配置项之间的兼容性,解决终端核心配置项之间的冲突问题
具体要求 包括 a)支持核心配置项的分析对比,找出有冲突的核心配置项 b)可修改存在兼容性问题的核心配置项
适用性测试用于评估核心配置基线对终端应用环境的影响,包括功能影响、性能影响,系统异常风 险等
具体要求包括: a)能够收集测试终端软硬件环境信息,识别操作系统版本,以及已安装的应用程序 b 能够针对具体的配置项,检查其影响范围,识别出受其影响的软件清单及其原因 能够识别异常现象,追溯其产生的原因,定位相关配置项 c) d支持多用户环境下的适用性测试,支持常用软件和业务应用软件的适用性测试
配置部署模块 9.4 配置部署模块可进行核心配置基线包管理、分发和部署执行,由基线包管理工具、基线包分发工具 和配置执行工具三个部分组成
基线包管理工具具备核心配置基线包上载、内容查看、网络分发,以及基线包更新和删除等 功能; b)基线包分发工具将基线包按照IP或部门区域定向分发到客户端,可采用服务器推送和客户端 相结合的分发模式 配置执行工具自动解析配置基线包赋值方法和路径,并对配置项进行参数赋值,赋值前应对注 册表及相关配置文件进行备份,然后在系统(system)权限下执行赋值过程
9.5状态监测模块 状态监测模块是安全管理员掌握全网终端核心配置状况的一个重要手段,主要由安装在终端上的 配置状态收集器、配置状态上报工具和部署在服务器上的配置状态分析器、配置状态图展示平台组成
a)配置状态收集器定时收集终端的核心配置项参数设置情况; b) 配置状态上报系统用于将收集的配置状态上传至服务器; c)配置状态分析器用于对上报的配置状态与核心配置基线进行比对和统计分析; d)配置状态图展示平台通过图、表等展示手段输出配置状态分析结果
l 实施流程 10.1实施流程框架 政务计算机终端核心配置实施流程主要包括实施准备、基线制定、测试验证、配置部署、配置检查和 例外处理等六个阶段,如图4所示 16
GB/T30278一2013 实施准备 需求调研 制定方案 组织保障 制定配置 生成配置 基线制定 清单 基线包 搭建 验证渊试 验证测试 配置调整 测试环填 配置部署 腔显分发 配置执行 合规性 纠正 配置检查 检查 配置偏差 例外处理 整改计划 审批备案 图4实施流程 10.2实施准备 10.2.1概述 本环节重点从技术和管理两个方面做好实施前准备,主要步骤包括 a)需求分析和调研 制定总体实施方案; b 建立组织管理架构,制定相关管理制度,提供组织保障
c 10.2.2需求调研 通过调研网络终端的分布、软硬件资产配备及应用情况,分析政务部门安全目标和安全需求,从而 确定实施终端核心配置的目标、范围和基本要求.并评估核心配置实施可能带来的风险
10.2.3制定方案 制定政务部门实施终端核心配置总体工作计划,指导后续开展的工作,方案的主要内容包括 工作计划:各阶段的具体工作计划,包括工作内容,工作形式,工作成果等内容 a) 进度计划;核心配置实施的时间进度安排; b 平台搭建技术方案;规模应用条件下,应搭建核心配置自动化部署及监测平台
应制定平台建 e) 设技术方案,并在实施前完成平台搭建工作
10.2.4组织保障 组建由领导层、管理层、相关业务骨干和安全技术人员构成的实施团队
必要时,可聘请相关专业 17
GB/T30278一2013 的技术专家和技术骨干组成专家小组,指导实施过程 组织核心配置技术培训和保密教育,制定核心配置管理制度,明确工作职责和任务,得到政务部门 最高管理者的支持和批准,必要时签署个人保密协议 10.3基线制定 10.3.1概述 本环节主要根据政务部门确定的核心配置基本要求,制定核心配置清单,并利用核心配置自动化部 署及监测平台生成核心配置基线包
10.3.2制定配置清单 在第7章提出的核心配置基本要求的基础上,制定符合政务部门安全目标和安全要求的核心配置 清单,其格式应符合本标准第8章的规定
附录B列举了身份鉴别配置要求对应的核心基线配置清单示例
10.3.3生成配置基线包 将配置清单内容逐项录人基线包生成器或者利用清单模板自动录人,可生成原始的核心配置基线 包,然后在此基础上进一步筛选配置项或者调节配置项基值,生成用于部署的核心配置基线包 10.4验证测试 10.4.1概述 本环节主要目标是验证测试核心配置基线包的有效性,适用性和兼容性,尽量避免首次部署核心配 置基线所可能引发新的安全风险
本阶段的主要工作包括 搭建验证测试环境; a 对核心配置基线包进行有效性,适用性和兼容性测试; b 对存在问题的核心配置项参数进行重新设置
c 10.4.2搭建测试环境 从验证核心配置基线包的有效性,适用性及兼容性的需求出发,搭建验证测试环境
主要部署必要 的硬件设备和测试工具软件,模拟终端的实际运行环境
10.43验证测试过程 利用核心配置自动化部署及监测平台的配置验证模块分别进行核心配置有效性、适用性和兼容性 验证测试,记录测试结果,定位存在问题的核心配置项
10.44配置调整 对存在有效性、适用性或兼容性问题的核心配置项参数进行修改和调整,重新生成用于部署的核心 配置基线包
原则上配置项的赋值不应低于基值
10.5配置部署 10.5.1概述 本环节主要完成核心配置基线包的分发和本地执行过程
可采用自动部署方式和手动部署方式 18
GB/T30278一2013 10.5.2配置分发 通过核心配置自动化部署及监测平台在一定的网络范围内,自动分发核心配置基线包
可以面向 不同安全域,不同IP地址段,或者不同部门进行定向分发
10.5.3配置执行 利用配置部署模块的客户端,或以手工方式,或镜像方式在本地计算机终端执行核心配置项赋值过 程
一般部署核心配置基线包前,应备份当前计算机终端的配置状态,以便部署过程中出现问题时可以 及时恢复
10.6配置检查 10.6.1概述 核心配置部署完成后定期进行配置状态检查是保证终端始终处于安全状态的重要手段
本环节的 工作重点是进行核心配置合规性检查,并及时纠正存在偏差的配置项参数值
10.6.2合规性检查 合规性检查主要检查终端核心配置状态是否达到核心配置基线要求,可以定期如每月或每周一 次)进行检查,或者通过部署核心配置状态监测模块进行实时监测,以保证终端核心配置状态达标
10.6.3纠正配置偏差 核心配置部署完成后,在实际运行过程中配置项值可能会由于软硬件环境变化、系统调试需要,或 人为原因等发生改变,与配置项基值存在偏差,一般是低于配置项基值
此情况下,应及时重新部署核 心配置基线,,纠正配置偏差
10.7例外处理 10.7.1概述 政务部门首次部署核心配置基线时,应充分考虑到不同终端在软硬件资产配备方面的差异性
如、 个别终端的操作系统版本过低,不适用于部署核心配置基线,或者发生软硬件不兼容的情况,均应作为 例外处理
关健步骤包括审批备案和制定整改计划
10.7.2审批备案 例外主要分如下三种情况: a)无法部署核心配置基线; 可以部分部署 b 需调低某些核心配置项值后进行部署
安全管理员应及时将例外终端软硬件环境信息,例外原因,处理方法等报告领导层进行审批备案
经过审批的例外终端可以暂时不部署或部分部署核心配置基线,或者允许某些核心配置项值暂时低于 核心配置项基值进行部署
10.7.3整改计划 例外处理是一种临时性处理措施,应制定针对例外终端的有效整改计划,包括整改期限,整改措施 相关责任人等
整改计划经领导层审批后由管理层负责监督执行
19
GB/T30278一2013 附 录A 资料性附录 身份鉴别配置要求示例 A.1身份鉴别配置要求 依据GB/T222392008中7.1.3对于第三级主机安全的要求,身份鉴别配置要求分为账户登录和 口令管理两部分
A.2账户登录 账户登录具体配置要求如下: a用户连续登录失败5次后锁定用户账户至少60min. b不显示上次登录到计算机的用户名
用户登录时应按CTRL十ALT十DE1进人安全登录界面
d)应设置用户登录安全警告提示 e 可使用智能卡登录本地,但智能卡移除时,应锁定计算机
应禁止无口令账户登录
限制批处理账户登录
A.3口令管理 口令管理具体配置要求如下 a 账户口令至少包含8个字符
b口令最长有效期不能超过90d,最短有效期不低于1d
口令过期前7d提示用户修改口令 D 更换口令时,新口令必须与先前历史记载的8个口令不匹配
口令复杂度必须符合下列最低要求 不能包含用户账户名中超过两个连续字符的部分
必须包含以下四类字符中的三类字符 2 -英文大写字母(A一Z) 英文小写字母(a一2) 0个基本数字(0~9) 非字母字符(例如!!、$、井、%)
使用不可还原的NT加密方式来储存口令
f 2o0
GB/T30278一2013 附 录 B 资料性附录 核心配置清单 B.1概述 本附录给出了windows桌面操作系统关于身份鉴别配置要求核心配置部分清单 B.2配置清单 【产品名称】windows7操作系统专业版 【配置项标识】:CGDCC-win7-0001 【配置项名称】账户锁定 【配置项描述】;此配置项指定锁定用户账户之前所允许的失败登陆尝试次数
在管理员重置锁定 账户或账户锁定时间期满之前,无法使用该锁定账户
登录尝试失败次数设置范围介于0g99之间 0代表永远不会锁定账户
【配置项组别】:账户登录 【安全级别】严重 【取值范围】;0999次 【配置项基值】;5次 【赋值路径】:ComputerConfiguration\windowsSettings\securitySetings\AccountPolicies AccountlockoutPolicy 【检查规则】等于配置项基值 【配置编号】:cGDCcwin7-0002 【配置项名称】账户锁定时间 【配置项描述】;此安全设置指定到达“账户锁定值”后锁定账户在自动解锁之前保持锁定的分钟 数
如果定义了账户锁定阔值,则账户锁定时间必须大于或等于重置时间
取值范围从0一99min 999min,取值0代表账户将一直被锁定直到管理员明确解除对它的锁定
【配置项组别】;账户登录 【安全级别严重 【取值范围】:099999min 【配置项基值】15nminm 【赋值路径】:ComputerConfiguration\windowsSettings\SeeuritySettings\AccountPoliees\l AccountL.ockoutPolicy 【检查规则】等于配置项基值 【配置项标识】:CGDCCwin7-0003 【配置项名称】:复位账户锁定计数器 【配置项描述】此安全设置指定到达“账户锁定阔值”后锁定账户在自动解锁之前保持锁定的分钟 21
GB/T30278一2013 数
如果定义了账户锁定闵值,则账户锁定时间必须大于或等于重置时间
取值范围从099min 999 min,取值0代表账户将一直被锁定直到管理员明确解除对它的锁定
【配置项组别】账户登录 【安全级别】严重 【取值范围】l99min,999min 配置项基值】:15 min 【赋值路径】.ComputerConfiguration\windowsSettings\SecuritySetings\AccountPolicies' AccountLockoutPolieyy 【检查规则】:等于配置项基值 【配置项标识】:CGDCC-Win7-0004 【配置项名称】;交互式登录;不显示最后的用户名 配置项描述】该安全设置确定是否在winmlow登录屏幕中显示最后登录到计算机的用户的名 如果启用该配置,则不会在“登录到window”对话框中显示最后成功登录的用户的名称
如果禁 称
用该配置,则会显示最后登录的用户的名称
【配置项组别】账户登录 【安全级别】严重 【取值范围】;启用、禁用、未配置 【配置项基值】启用 【赋值路径】:ComputerConfiguration\windowsSetings\SeeuritySetings\L.ocalPolicies \SecurityO)ptions 【检查规则】;等于配置项基值 【配置项标识】CGDCC-win7-0005 【配置项名称】;交互式登录;无须按Ctrl十Alt十Del 【配置项描述】配置是否用户需要按Ctrl十Alt十Del才能登陆
禁用可以保用户输人口令时通过 信任路径通信,可以防止截获用户口令攻击
【配置项组别】;账户登录 【安全级别:严重 【取值范围】:启用、禁用,未配置 【配置项基值】禁用 【赋值路径】:ComputerConfiguration\windowsSetings\SeeuritySetings\L.ocalPolieies \SecurityOptions 【检查规则】等于配置项基值 【配置项标识】:CGDcCCwin7-0006 【配置项名称】;交互式登录;试图登录的用户的消息标题 【配置项描述】该安全设置允许在包含“交互式登录;试图登录的用户的消息文本”的窗口的标题栏 中显示标题的说明
【配置项组别】账户登录 【安全级别】:警告 【配置项基值】警告 s\LocalPolicies 【赋值路径】.computertConfiguration\wimdowsSeting\SecuritysSeting 22
GB/T30278一2013 \SeeurityOptions 【检查规则】等于 【配置项标识】:CGDcCC-win7-0007 【配置项名称】:交互式登录;试图登录的用户的消息文本 【配置项描述】:该安全设置指定用户登录时向其显示的文本消息
该文本通常用于法律原因,例 如,警告用户滥用公司信息的后果或其操作可能要经过审核
【配置项组别】账户登录 【安全级别】警告 【配置项基值】“本系统仅供政务授权用户使用
未经授权或者越权使用的用户所有行为将被系统 监督管理程序监控并记录
任何使用本系统的用户将会受到监控,一经发现有违法行为将其监控证据 上交法律相关部门
” eurtySeting 【赋值路径】:ComputerConfigurationWindowsSettings\Sec gs\LocalPolicies \SecurityOptions 【检查规则】等于配置项基值 配置项标识]cGDccwim7-0s8 【配置项名称】;交互式登录;智能卡移除行为 【配置项描述】配置当移除登录用户的智能卡时发生情况.O无操作锁定工作站强制注销如 果发生远程终端服务会话,则断开连接
【配置项组别;账户登录 【安全级别】重要 【配置项基值】锁定工作站 【赋值路径】.ComputerConfiguration\windowsSetings\seeuritySettings\LocalPolieies \SecurityOptions 【检查规则】等于配置项基值 【配置项标识:CGDCCwin7-0009 【配置项名称】账户;限制使用空白口令的本地账户只允许进行控制台登录 【配置项描述】配置无口令保护的账户是否仅允许在本地登录
【配置项组别】:账户登录 【安全级别】重要 【配置项基值】启用 【赋值路径】:ComputerConfiguration\windowsSetings\SeeuritySetings\L.ocalPolieies \SecurityOptions 【检查规则】等于配置项基值 【配置项标识】:CGDcCCwin7-0010 【配置项名称】账户;限制使用空白口令的本地账户只允许进行控制台登录 【配置项描述】配置无口令保护的账户是否仅允许在本地登录
【配置项组别】账户登录 安全级别】重要 【配置项基值】启用 23
GB/T30278一2013 【赋值路径】:ComputerConfiguration\windowsSetings\SeeuritySetings\LocalPolieies \SecurityOptions 【检查规则】等于配置项基值 【配置项标识】:CGDCC-win7-0011 配置项名称】:口令长度最小值 【配置项描述】此配置确定账户口令包含的最少字符数
0代表无口令设置
配置类型】WwMI配置 【配置项组别】口令管理 安全级别】严重 【取值范围】:024位字符 【配置项基值】8位字符 gs\SeeuriysSeting 【赋值路径】:ComputerConfiguration\WindowsSettin gs\AccountPolicies \PasswordPolicy 【检查规则】;大于或等于配置项基值 配置项标识]cGDccwim7-0o12 【配置项名称】;强制口令历史 【配置项描述】;配置最近历史口令存储个数,新设口令与存储历史口令不匹配时才能使用
防止口 令重复出现频率过大造成不安定因素
取值范围在0~24之间,0代表口令可以立即重复使用
【配置项组别:口令管理 【安全级别】:严重 【取值范围】:024位字符 【配置项基值】12位字符 【赋值路径】:ComputerConfiguration\windowsSettings\SeceuritySetings\AccountPolicie \PasswordPolicy 【检查规则】;大于或等于配置项基值 【配置项标识】:CGDcCCwin7-0013 【配置项名称】:口令复杂性要求 【配置项描述】此配置用于对口令的复杂性进行规定要求
如启用该项配置则口令必须满足以下 要求;1.不能包含用户名中超过两个连续字符部分
2.口令中需要包含以下字符中的四种;1)英文大写 字母;2)英文小写字母;3)09;4)非字母字符(如!、井、%)
【配置项组别】:口令管理 【安全级别】:严重 【取值范围】启用,禁用和未配置 配置项基值】;启用 【赋值路径】.computerconfigwration\wimdow.Ssetimg\seuritysSsetings\AcoumPoiee" \PasswordPoliey 【检查规则】:等于配置项基值 【配置项标识】:CGDcCC-win7-0014 【配置项名称】口令最长使用期限 2
信息安全技术政务计算机终端核心配置规范GB/T30278-2013介绍
随着信息化建设的不断发展,政务计算机在政府部门和企事业单位中得到了广泛应用。政务计算机作为重要的信息终端,必须具备高度安全性和稳定性。而信息安全技术政务计算机终端核心配置规范GB/T30278-2013正是针对这一需求而制定的。
GB/T30278-2013规范了政务计算机终端的核心配置,其中包括了硬件环境、系统软件、安全管理等方面的内容。该规范的主要目的是提高政务计算机的安全性和稳定性,保护政务信息的安全。
具体来说,GB/T30278-2013规定了政务计算机终端的硬件环境要求,包括计算机主机、显示器、键盘鼠标、打印机等硬件设备。此外,规范还要求政务计算机终端必须配备专业的系统软件和安全管理软件。
GB/T30278-2013还规定了政务计算机终端的基本配置要求,包括了操作系统、应用软件和系统安全措施等方面的内容。其中,操作系统要求使用经过安全加固的操作系统,应用软件要求符合国家标准或行业标准,系统安全措施则包括了网络安全、数据安全和用户安全等方面的内容。
除此之外,GB/T30278-2013还规定了政务计算机终端的管理要求,包括了终端配置管理、系统更新管理和安全事件处理等方面的内容。这些要求可以帮助相关部门对政务计算机进行有效的管理和监控,保障政务信息的安全性和稳定性。
总的来说,GB/T30278-2013的发布对于提高政务计算机的安全性和稳定性有着重要的意义。它规范了政务计算机终端的核心配置要求,并为政府部门和企事业单位提供了可靠的技术标准,使其在信息化建设中更加安全、稳定和高效。
