下载文档原格式
国家标准《信息安全技术政府网站系统安全指南》(征求意见稿)修订编制说明一、工作简况1、任务来源《WG5工作组第 2 次会议(2018)工作组会议纪要》指出,为有效应对政府网站入云等新型运营模式,以及网站服务对象多元化、系统结构复杂化和数据集中化等应用新形势,切实保障政府网站系统安全运行,建议着力完善当前政府网站类安全标准。
经中国国家标准化管理委员会批准,全国信息安全标准化技术委员会(SAC/TC260)主任办公会讨论通过,研究修订GB/T 31506-2015《政府门户网站安全技术指南》国家标准。
根据《全国信息安全标准化技术委员会关于2019年网络安全标准项目立项的通知》(信安秘字[2019]050号),该项目由全国信息安全标准化技术委员会提出,全国信息安全标准化技术委员会归口,由北京信息安全测评中心负责主办。
2、起草单位在接到标准的任务后,北京信息安全测评中心立即与相关机构、厂商进行沟通,并得到了政府网站运营机构、高校、业内知名厂商及测评机构的积极参与和反馈。
经筛选,最后确定由中电数据服务有限公司、首都之窗运营管理中心、中电长城网际系统应用有限公司、黑龙江省测评中心、北京市城乡经济信息中心、杭州安恒信息技术有限公司、北京天融信网络安全技术有限公司、桂林电子科技大学、北京神州绿盟信息安全科技股份有限公司、新华三技术有限公司、深圳开源互联网安全技术有限公司、武汉网安教育科技有限公司、国家应用软件产品质量检测检验中心、北京数字认证股份有限公司、湖北省标准化与质量研究院、国家工业信息安全发展研究中心、北京北信源软件股份有限公司、江苏省信息安全测评中心、陕西省信息化工程研究院、国家计算机网络应急技术处理协调中心、江远盛邦(北京)网络安全科技有限公司、恒安嘉新(北京)科技股份公司、山谷网安科技股份有限公司、北京知道创宇信息技术股份有限公司和陕西省网络与信息安全测评中心等单位共同参与编制。
3、主要工作过程(一)标准制定的主要工作过程如下:1)工作启动2018年10月,北京信息安全测评中心联合政府网站运营单位、业内知名安全服务厂商、科研机构及测评机构等组建标准编制组,编制组成员具有丰富的标准编制经验、政务领域网络安全研究经验、信息系统安全控制研究等经验。
ICS35.240.01L67 DB45 广西壮族自治区地方标准DB 45/ Txx.1—2019政府系统综合办公信息化建设规范第1部分:总则Technical specification of government office system—Part1: General principles点击此处添加与国际标准一致性程度的标识(征求意见稿)2019-XX-XX发布2019-XX-XX实施前言《政府系统综合办公信息化建设规范》分为以下8个部分:——第1部分:总则;——第2部分:资源与应用支撑;——第3部分:电子公文;——第4部分:政务活动;——第5部分:政务督查;——第6部分:政务值守;——第7部分:移动办公;——第8部分:综合效能评价。
本部分为DB45/TXXX-2019的第1部分。
本部分按照GB/T 1.1—2009给出的规则起草。
本部分由广西壮族自治区人民政府办公厅提出。
本部分起草单位:广西壮族自治区人民政府办公厅、广西壮族自治区财政厅、广西壮族自治区卫生健康委员会、广西壮族自治区市场监督管理局、北海市人民政府办公室、钦州市人民政府办公室、桂林市人民政府办公室、电子科技大学。
本部分主要起草人:政府系统综合办公信息化建设规范第1部分:总则1 范围DB45/TXXXX-2019的本部分规定全区政府系统综合办公信息化建设的总体架构、总体建设要求及对建设内容的一般性要求,包括政府系统综合办公信息化建设的基础设施、资源与应用支撑、业务应用、展示、运维管理、信息安全等内容。
本部分适用于广西政府系统各级各部门综合办公业务信息化建设与管理。
2 规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22239 信息安全技术网络安全等级保护基本要求GB/T 25070 信息安全技术网络安全等级保护安全设计技术要求GB/T 28448 信息安全技术网络安全等级保护测评要求GB/T 30850.1 电子政务标准化指南第1部分:总则GB/T 30850.3 电子政务标准化指南第3部分:网络建设GB/T 30850.4 电子政务标准化指南第4部分:信息共享GB/T 30850.6 电子政务标准化指南第6部分:信息安全GB/T 33482 党政机关电子公文系统建设规范GB/T 35282 信息安全技术电子政务移动办公系统安全技术规范DB45/T 950 政府系统电子公文传输与交换3 术语和定义下列术语和定义适用于本文件。
《信息安全技术政务计算机终端核心配置规范》(工作组讨论稿)编制说明1 任务来源《信息安全技术政务计算机终端核心配置规范》是全国信息安全标准技术委员会2010年度国家标准制修订项目之一。
该标准由中国信息协会信息安全专业委员会牵头研制,合作单位包括:中国信息安全测评中心、中国信息安全认证中心、国家税务总局电子税务管理中心、三零卫士公司和北京北信源软件股份有限公司。
2 研究目标在分析我国电子政务网络环境安全状况的基础上,结合我国信息安全等级保护技术标准成果,借鉴美国联邦政府实施的FDCC(联邦桌面核心配置),研究制定符合我国国情的国家推荐性标准《政务计算机终端核心配置规范》,实现我国政务计算机终端安全配置管理的标准化和自动化,切实落实等级保护对于主机安全的相关要求,为加强终端安全保障及监督检查提供标准支撑。
3 国内外现状随着各国信息化建设进程的加快,政务部门对信息系统的依赖性越来越强,计算机终端作为电子政务的最基本单元,承载着信息加工、处理、存储和传输等重要任务,其安全性受到了广泛的重视。
但是,由于政务终端量大面广,并且缺少统一的安全防范策略和安全护理措施,使得计算机终端的可控性变得越来越低。
抓紧制订政务部门的计算机终端安全配置规范,加快对办公用计算机安全配置实施,已成为加强政务部门信息化安全的一种趋势。
美国联邦政府2007年提出联邦桌面核心配置计划(FDCC)以提高美国联邦政府所使用的Windows操作系统安全性,并使联邦政府桌面计算机的安全管理实现标准化和自动化。
该计划由美国联邦预算管理办公室(OMB)和美国国家标准与技术研究院(NIST)共同负责实施,国防部、国土安全部、国家安全局等参与制定。
FDCC作为联邦政府所有桌面计算机的安全配置标准,已经成为美国国家网络安全综合计划(CNCI)的重要组成部分。
美国联邦政府强制规定所有使用Windows的计算机必须符合FDCC的配置要求。
澳大利亚国防信息情报局(DSD)经过各政府部门的漏洞风险评估和渗透测试,根据多年信息网络安全工作的经验总结,借鉴多起严重安全事件的处理方法,于2010年2月,首次公开发布了35条安全防御策略列。
信息安全技术政务计算机终端核心配置规范Information security technology - Chinese government desktop core configuration specifications目次前言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 核心配置项(配置项)core configuration item (1)3.2 核心配置core configuration (1)3.3 核心配置项基值core configuration item base value (1)3.4 核心配置基线core configuration baseline (1)3.5 核心配置清单core configuration list (1)3.6 核心配置基线包Core configuration baseline package (2)4 缩略语 (2)5 文本结构 (2)6 概述 (2)6.1 核心配置对象 (2)6.2 核心配置范围 (2)6.3 核心配置项基本类型 (3)6.4 核心配置项赋值方法 (3)6.5 核心配置对安全的作用 (3)6.6 核心配置自动化实施框架 (3)7 核心配置基本要求 (4)7.1 操作系统核心配置要求 (4)7.2 办公软件核心配置要求 (5)7.3 浏览器核心配置要求 (5)7.4 邮件系统核心配置要求 (6)7.5 BIOS 系统核心配置要求 (6)8 核心配置清单 (6)8.1 概要 (6)8.2 配置项属性 (6)9 核心配置基线包 (7)9.2 主标记 (8)9.3 格式版本标记 (9)9.4 基线标记 (9)9.5 产品标记 (14)10 核心配置自动化部署及监测技术要求 (14)10.1 自动化部署及监测平台基本架构 (14)10.2 配置编辑模块 (15)10.3 配置验证模块 (15)10.4 配置部署模块 (16)10.5 状态监测模块 (16)11 管理实施流程 (16)11.1 实施流程框架 (16)11.2 实施准备 (17)11.3 基线制定 (18)11.4 测试验证 (18)11.5 配置部署 (18)11.6 配置检查 (19)11.7 例外处理 (19)附录A(资料性附录)身份鉴别配置要求示例 (20)A.1 身份鉴别配置要求 (20)A.2 账户登录 (20)A.3 口令管理 (20)附录B(资料性附录)核心配置清单 (21)B.1 概要 (21)B.2 配置清单 (21)图1 配置项标识规则 (7)图2 核心配置包格式结构 (8)图3 自动化部署及监测平台 (15)图4 实施流程 (17)表1 主标记 (8)表2 格式版本标记 (9)表3 基线标记 (9)表4 配置项组别标记 (10)表5 配置项标记 (10)表6 配置项内容标记 (11)表7 取值映射表标记 (12)表8 配置项取值标记 (12)表9 配置项赋值标记 (13)表10 配置项检查标记 (13)表11 产品标记 (14)前言本标准的附录A和附录B为资料性附录。
联网计算机终端安全基本要求1 范围本标准规定了政府部门联网计算机终端的安全要求。
本标准适用于政府部门开展联网计算机终端安全配置、使用、维护与管理工作。
2 规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求GB/T 25069-2010 信息安全技术术语GB/T 29245-2012 信息安全技术政府部门信息安全管理基本要求3 术语和定义GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
3.1计算机终端 computer terminal供个人日常办公使用的、能独立进行数据处理及提供网络服务访问的台式微型计算机系统、便携微型计算机系统、瘦客户机系统或虚拟终端系统等,不包含智能移动终端(如掌上电脑、智能移动电话等)。
3.2联网 networked联接政府部门非涉密办公局域网。
4 缩略语下列缩略语适用于本标准:BIOS 基本输入输出系统 Basic Input Output SystemCPU 中央处理器 Central Processing UnitIP 网络之间互连的协议 Internet ProtocolMAC 介质访问控制 Media Access ControlUSB 通用串行总线 Universal Serial Bus5 计算机终端安全总体要求5.1 安全策略制定联网计算机终端的安全策略应是本单位总体信息安全策略的重要组成部分,并为单位的信息安全总体目标服务。
安全策略的制定应从人员管理、资产管理、软件管理、接入安全、运行安全、BIOS配置要求等方面综合考虑。
5.2 安全防护要求处理或保存敏感程度较低数据的联网计算机终端,如处理一般性公文或访问无敏感信息的政务系统等的联网计算机终端,安全防护应满足本标准正文所提出的安全基本要求;保存或处理较敏感信息的联网计算机终端,如处理敏感公文、访问有敏感信息的政务系统、发布门户网站信息的联网计算机终端,或GB/T 22239-2008规定的三级以上信息系统中的计算机终端,在满足本标准正文要求的基础上,还应满足附录A所规定的增强要求。
ICS 35.020L70备案号:40354-2014 DB11 北京市地方标准DB11/T 1041—2013政务办公终端安全管理规范Security management specification for government office computer 2013-12-20发布2014-04-01实施目次前言 (II)1 范围 (1)2 规范性引用文件 (1)3 术语、定义和缩略语 (1)3.1 术语和定义 (1)3.2 缩略语 (1)4 安全管理原则 (1)4.1 明确责任 (1)4.2 综合防范 (1)4.3 适度保护 (1)5 安全管理要求 (2)5.1 责任人员 (2)5.2 软件管理 (2)5.3 安全制度 (2)6 软件配置基本要求 (2)6.1 操作系统配置要求 (2)6.2 应用软件配置要求 (3)7 外围控制基本要求 (4)7.1 准入控制要求 (4)7.2 流量监控要求 (4)附录A(规范性附录)政务办公终端安全增强要求 (6)前言本标准按照GB/T 1.1-2009给出的规则起草。
本标准由北京市经济和信息化委员会提出并归口。
本标准由北京市经济和信息化委员会组织实施。
本标准起草单位:北京信息安全测评中心、北京市统计局信息中心、北京东祥骏昌科技有限公司。
本标准主要起草人:刘海峰、钱秀槟、王春佳、黄少青、赵章界、张晓梅、梁博、李晨旸、贺海、史蓉、李晓燕。
II政务办公终端安全管理规范1 范围本标准规定了政务办公终端的安全管理原则、安全管理要求、软件配置基本要求和外围控制基本要求。
本标准适用于政务办公终端,不适用于处理涉及国家秘密信息的计算机终端。
2 规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术术语3 术语、定义和缩略语3.1 术语和定义GB/T 25069-2010界定的以及下列术语和定义适用于本文件。
信息安全技术基于互联网电子政务信息安全实施指南(可编辑)beijing目次前言 III引言 IV1 范围 12 规范性引用文件 13 术语和定义 14 缩略语 25 基于互联网电子政务安全需求与实施原则 35.1 威胁分析 35.2 安全需求 35.3 实施原则 36 基于互联网电子政务安全保障总体架构 46.1 政务系统安全架构 4 6.2 政务网络结构 46.3 安全系统组成 56.4 安全系统配置 67 系统分类分域防护机制 7 7.1 概述 77.2 政务信息和应用分类 7 7.3 信息分类防护措施 87.4 系统分域控制措施 8 8 安全技术要求 98.1 网络互联、接入控制与边界防护 98.2 区域安全 108.3 桌面安全 118.4 安全管理技术要求 12 8.5 安全服务 138.6 应用安全 139 安全管理要求 149.1 综述 149.2 安全策略 149.3 安全管理制度 14 9.4 组织安全 149.5 数据安全 159.6 人员安全 159.7 物理和环境安全 15 9.8 设备安全 159.9 安全管理人员的配置与职责 169.10 安全评估 1610 信息安全工程实施 16 10.1 基于互联网电子政务信息安全工程流程 1610.2 需求分析 1610.3 系统定级 1710.4 方案设计 1710.5 系统实施与集成 1810.6 系统试运行与完善 1810.7 安全评估 1910.8 系统正式运行 19附录A(资料型附录)某市基于互联网电子政务网络拓扑 20 附录B(资料型附录)某市基于互联网电子政务安全制度管理体系 21 附录C(资料型附录)某市基于互联网电子政务信息安全实施评估流程 24 参考文献 31前言附录A、附录B和附录C是资料性附录。
本指导性技术文件由全国信息安全标准化技术委员会提出并归口。
本指导性技术文件起草单位:解放军信息工程大学电子技术学院、中国电子技术标准化研究所。
铁路Wi-Fi应用分析与建议 戴未央 等网络安全带来新威胁。
(2)铁路内部热点。
一些攻击者还会故意在车站、货站、站场等附近建立恶意热点,采用与铁路内部热点相同的名称,使旅客或员工的终端在有意或无意间尝试连接该热点,而攻击者可通过该热点的流量分析,获取旅客及铁路站场相关内部业务信息。
甚至攻击者直接在铁路单位周边伪造企业Wi-Fi热点,诱使铁路员工连接后获取内网登录凭证,进而入侵企业内网,甚至通过入侵该终端,进入铁路内部网络。
综上所述,在铁路企业内可能出现很多种热点,这些热点有业务单位内部合法建立的,也有其他原因建立在单位内可访问的,这些热点都存在不同程度的安全隐患和问题。
为保证铁路业务单位信息安全,必须切实做好防护工作,避免因无线网络导致的信息安全问题。
2 相关政策法规由于无线网络已出现导致信息安全的问题,国家和铁路主管部门近些年陆续出台了相关法律法规、防护标准、技术要求、行业规范等,这些文件系统地提出了现有技术手段能够实现的安全防护等级要求[1]。
(1)国家标准。
2014年工业和信息化部发布YD/ T 2696—2014《公众无线局域网网络安全防护要求》,规定了公众无线局域网安全保护等级的安全防护要求,涉及到业务安全、设备及软件系统安全、网络安全、物理环境安全和管理安全。
在国标GB/T 22239《信息安全技术:信息系统安全等级保护基本要求》V2.0版本(此标准已经进入审批稿阶段)中,增加了无线网络的安全防护条款,要求能够检测、记录、定位非授权无线接入设备,具备对恶意进行无线接入设备的网络扫描、DDoS攻击、密钥破解、中间人攻击和欺骗攻击等行为进行检测、记录、分析定位的能力[2-3]。
(2)铁路行业规范。
2014年7月,中国铁路总公司发布《铁路站(场)局域网无线安全接入暂行技术要求》(铁总运〔2014〕214号),规定了铁路站(场)局域网无线安全接入总体架构、功能要求、安全要求。
要求铁路客站、货运站(场)在进行无线网络规划、工程设计、维护管理时应遵守相关的网络安全和终端安全技术要求。
信息安全技术政务计算机终端核心配置规范Information security technology - Chinese government desktop core configuration specifications目次前言 (III)1 范围 (1)2 规范性引用文件 (1)3 术语和定义 (1)3.1 核心配置项(配置项)core configuration item (1)3.2 核心配置core configuration (1)3.3 核心配置项基值core configuration item base value (1)3.4 核心配置基线core configuration baseline (1)3.5 核心配置清单core configuration list (1)3.6 核心配置基线包Core configuration baseline package (2)4 缩略语 (2)5 文本结构 (2)6 概述 (2)6.1 核心配置对象 (2)6.2 核心配置范围 (2)6.3 核心配置项基本类型 (3)6.4 核心配置项赋值方法 (3)6.5 核心配置对安全的作用 (3)6.6 核心配置自动化实施框架 (3)7 核心配置基本要求 (4)7.1 操作系统核心配置要求 (4)7.2 办公软件核心配置要求 (5)7.3 浏览器核心配置要求 (5)7.4 邮件系统核心配置要求 (6)7.5 BIOS 系统核心配置要求 (6)8 核心配置清单 (6)8.1 概要 (6)8.2 配置项属性 (6)9 核心配置基线包 (7)9.2 主标记 (8)9.3 格式版本标记 (9)9.4 基线标记 (9)9.5 产品标记 (14)10 核心配置自动化部署及监测技术要求 (14)10.1 自动化部署及监测平台基本架构 (14)10.2 配置编辑模块 (15)10.3 配置验证模块 (15)10.4 配置部署模块 (16)10.5 状态监测模块 (16)11 管理实施流程 (16)11.1 实施流程框架 (16)11.2 实施准备 (17)11.3 基线制定 (18)11.4 测试验证 (18)11.5 配置部署 (18)11.6 配置检查 (19)11.7 例外处理 (19)附录A(资料性附录)身份鉴别配置要求示例 (20)A.1 身份鉴别配置要求 (20)A.2 账户登录 (20)A.3 口令管理 (20)附录B(资料性附录)核心配置清单 (21)B.1 概要 (21)B.2 配置清单 (21)图1 配置项标识规则 (7)图2 核心配置包格式结构 (8)图3 自动化部署及监测平台 (15)图4 实施流程 (17)表1 主标记 (8)表2 格式版本标记 (9)表3 基线标记 (9)表4 配置项组别标记 (10)表5 配置项标记 (10)表6 配置项内容标记 (11)表7 取值映射表标记 (12)表8 配置项取值标记 (12)表9 配置项赋值标记 (13)表10 配置项检查标记 (13)表11 产品标记 (14)前言本标准的附录A和附录B为资料性附录。
本标准由全国信息安全标准化技术委员会提出并归口。
本标准起草单位:国家信息中心、中国信息安全测评中心、中国信息安全认证中心、国家税务总局电子税务管理中心、三零卫士公司、北京北信源软件股份有限公司。
本标准主要起草人:刘蓓、许涛、吴亚非等。
信息安全技术政务计算机终端核心配置规范1 范围本标准提出了政务计算机终端核心配置的基本概念和要求,规定了核心配置的自动化实现方法,包括核心配置清单和核心配置基线包格式,核心配置自动化部署及监测技术要求,规范了核心配置实施流程。
本标准适用于规范政务部门开展的计算机终端核心配置工作。
2 规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22239-2008 《信息系统安全等级保护基本要求》3 术语和定义下列术语和定义适用于本文件。
3.1核心配置项(配置项) core configuration item计算机操作系统、办公软件、浏览器和BIOS系统等基础软件中影响计算机安全的关键参数可选项。
注:核心配置项类型包括开关项、枚举项、区间项和复合项,可以根据安全要求对其进行赋值。
3.2核心配置 core configuration对核心配置项进行参数设置的过程。
主要通过核心配置限制或禁止存在安全隐患或漏洞的功能,启用或加强安全保护功能,来增强计算机抵抗安全风险的能力。
3.3核心配置项基值 core configuration item base value按照核心配置基本要求对配置项的最低参数设置。
3.4核心配置基线 core configuration baseline能够满足计算机安全基本要求的一组核心配置项基值构成的集合。
3.5核心配置清单core configuration list由核心配置项构成的一种列表,是对核心配置项属性的一种形式描述。
3.6核心配置基线包 Core configuration baseline package为实现核心配置基线自动化部署而制定的一种具有特定语法格式的核心配置数据文件。
4 缩略语下列缩略语适用于本文件。
BIOS:基本输入输出系统(Basic Input Output System)FTP:文件传输协议(File Transfer Protocol)XML:可扩展标记语言(Extensible Markup Language)WMI:桌面管理规范(Windows Management Instrumentation)GUID:全球唯一标识符(Globally Unique Identifier)5 文本结构本标准分为三个部分。
第一部分为概述,见第6章,阐述了核心配置基本概念,包括核心配置的对象、范围、基本类型、赋值方法、对安全的作用以及自动化实施框架。
第二部分由第7章到第10章组成,在技术层面上详细规定了核心配置的自动化实现方法,包括核心配置基本要求、核心配置清单、核心配置基线包、核心配置自动化部署及监测技术要求。
第三部分见第11章,在管理层面上详细规定了核心配置的实施流程,包括实施准备、基线制定、测试验证、配置部署、配置检查和例外处理等六个环节。
6 概述6.1 核心配置对象本标准针对政务计算机终端提出核心配置要求。
政务计算机终端包括我国各级政务部门应用于政务的联网计算机设备,如连接到互联网、政务专网(政务内网、政务外网)的桌面计算机、膝上型计算机和瘦客户机等。
6.2 核心配置范围核心配置的范围包括如下方面:a)操作系统,如Windows系列、国外Linux和国产Linux等;b)办公软件,如国外Office软件和国产WPS软件等;c)浏览器软件,如国外Internet Explore、Chrome、Firefox和国产遨游、360浏览器等;d)邮件系统软件,如国外Outlook和国产Foxmail等;e)BIOS系统软件,如AMI BIOS、Award BIOS等。
依据GB/T 22239-2008 7.1.3和7.1.4节中对于第三级主机安全和应用安全的要求,从如下方面对上述基础软件提出配置要求:f)身份鉴别:包括账户登录和口令管理;g)访问控制:包括帐户管理、权限管理、服务管理和操作管理;h)信息保护:包括临时文件、历史文件和虚拟文件管理;i)安全审计:包括账户行为审计和资源访问审计。
6.3 核心配置项基本类型根据核心配置项的取值范围,核心配置项分为开关项、枚举项、区间项和复合项等基本类型。
a)开关项:取值仅为“0”或“1”。
例如,配置项“下载未签名的Active控件”,可赋值为“启用(1)”或“禁用(0)”。
b)枚举项:取值是离散的、可数的且多于两种。
例如,配置项“具有从网络访问本地计算机权限的账户”,可赋值为“管理员(Administrators)”、“超级用户(Power Users)”、“一般用户(Users)”或“来宾(Guests)”。
c)区间项:取值连续分布在一个区间内。
例如,配置项“账户锁定时间”,赋值范围为“1-99999”分钟。
d)复合项:由上述两种或多种关联配置项组合而成。
例如,配置项“启动屏幕保护程序的等待时间”,由开关项和区间项组成。
首先“启用”屏幕保护程序,再设置“等待时间”。
6.4 核心配置项赋值方法根据核心配置项赋值路径不同,可分为注册表赋值和配置文件赋值两种方法,分别说明如下:a)注册表赋值方法通过修改核心配置项对应的注册表键值等,实现对配置项的赋值,例如Windows操作系统;b)配置文件赋值方法通过修改配置文件中有关的配置项,实现对配置项的赋值,例如Linux操作系统。
根据核心配置部署方式不同,可分为手动和自动两种方法,分别说明如下:c)手动赋值对核心配置项进行人工逐项赋值。
该方法适用于针对少量终端的少量配置部署。
例如,在Windows系统环境下,运行组策略编辑器(GPEdit),由人工对核心配置项进行赋值;在Linux系统环境下,直接编辑配置文件,对核心配置项逐项进行赋值;在BIOS系统中,直接在人机界面上,逐项进行手动赋值。
d)自动赋值编辑核心配置基线包,调用自动部署工具,对核心配置项进行赋值。
该方法适用于大量终端批量配置部署。
6.5 核心配置对安全的作用核心配置主要通过如下四种方式提高终端安全性:a)启用数字签名、数据执行保护(DEP)、加密存储、更新升级等安全保护功能;b)禁止使用存在或可能存在安全漏洞的服务、端口、程序、脚本和驱动等;c)加强密码管理、身份认证、账户管理和安全审计等安全保护手段;d)限制软硬件访问权限、资源共享和远程登录等功能。
6.6 核心配置自动化实施框架核心配置自动化实施框架包括以下四个部分:a)提出核心配置基本要求,根据计算机终端所属系统或环境的安全需求及安全等级,确定核心配置具体要求。
核心配置基本要求见第7章。
b)编制核心配置清单,采用清单方式描述核心配置要求,包括配置项标识、配置项名称、配置项组别、重要性级别、取值范围、配置项基值、赋值路径和检查规则等。
核心配置清单格式要求见第8章。
c)生成核心配置基线包,将配置清单转化成为一种符合XML语法的嵌套式结构数据文件,以供自动化部署工具实施。
核心配置基线包格式要求见第9章。
d)自动部署及监测,通过搭建核心配置自动化部署平台,实现核心配置项的批量自动赋值和合规性实时检测。
具体技术要求见第10章。
7 核心配置基本要求7.1 操作系统核心配置要求7.1.1 概要本标准依据GB/T 22239-2008 7.1.3节对第三级主机安全的要求,针对国内外主流操作系统,在身份鉴别、访问控制、数据保密、剩余信息保护、安全审计、网络通信安全、系统组件安全等方面提出核心配置基本要求。
