信息安全技術(shù) 政府聯(lián)網(wǎng)計(jì)算機(jī)終端安全基本要求-編制說明

一、任務(wù)來源國辦發(fā)〔2008〕17號(hào)《國務(wù)院辦公廳關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》提出要在政府部門實(shí)行計(jì)算機(jī)配置管理;國辦發(fā)〔2009〕28號(hào)《國務(wù)院辦公廳關(guān)于印發(fā)〈政府信息系統(tǒng)安全檢查辦法〉的通知》將終端安全納入安全檢查范圍，計(jì)算機(jī)終端安全逐步受到重視。自2009年,工業(yè)和信息化部開始組織政府機(jī)關(guān)辦公終端安全配置研究，北京信息安全測評(píng)中心承擔(dān)了該項(xiàng)工作。2012年底，基于前期研究和試點(diǎn)成果，由北京信息安全測評(píng)中心牽頭，向全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)申請(qǐng)并立項(xiàng)了國家標(biāo)準(zhǔn)《信息安全技術(shù)政府聯(lián)網(wǎng)計(jì)算機(jī)安全配置指南》制定項(xiàng)目（計(jì)劃編號(hào)20130345-T-469），該標(biāo)準(zhǔn)被列為2013年國家標(biāo)準(zhǔn)重點(diǎn)研制項(xiàng)目。該標(biāo)準(zhǔn)編制牽頭單位為北京信息安全測評(píng)中心，國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、中國科學(xué)院軟件研究所、鐵道部信息技術(shù)中心、黑龍江電子信息產(chǎn)品監(jiān)督檢驗(yàn)院（黑龍江省信息安全測評(píng)中心）、北京市石景山區(qū)經(jīng)信委、北京朋創(chuàng)天地科技有限公司等單位參與了標(biāo)準(zhǔn)的起草。主要起草人為劉海峰、錢秀檳、王春佳、趙章界等。二、標(biāo)準(zhǔn)必要性和意義隨著我國電子政務(wù)的不斷推進(jìn)，計(jì)算機(jī)在政府部門得到了廣泛應(yīng)用，為提高政府行政效率、提升管理水平發(fā)揮了重要作用。同時(shí)，政府聯(lián)網(wǎng)計(jì)算機(jī)終端自身存在的漏洞和外來威脅成為電子政務(wù)的信息安全防護(hù)的薄弱環(huán)節(jié)，信息失泄密、病毒木馬傳播、網(wǎng)絡(luò)癱瘓等信息安全事件層出不窮，影響了政府部門社會(huì)管理和公共服務(wù)職能的充分發(fā)揮。《國務(wù)院辦公廳關(guān)于加強(qiáng)政府信息系統(tǒng)安全和保密管理工作的通知》（國辦發(fā)〔2008〕17號(hào)）要求“實(shí)行計(jì)算機(jī)配置管理和安全審計(jì)，加快對(duì)辦公用計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備實(shí)行配置管理”；《國務(wù)院辦公廳關(guān)于印發(fā)<政府信息系統(tǒng)安全檢查辦法>的通知》（國辦發(fā)〔2009〕28號(hào)）要求檢查終端計(jì)算機(jī)和移動(dòng)存儲(chǔ)設(shè)備安全防護(hù)情況；《國務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》(國發(fā)〔2012〕23號(hào))“禁止辦公用計(jì)算機(jī)安裝使用與工作無關(guān)的軟件”;《關(guān)于加強(qiáng)黨政機(jī)關(guān)和涉密單位互聯(lián)網(wǎng)接入安全管理工作的通知》（工信部聯(lián)協(xié)〔2012〕187號(hào)）要求強(qiáng)化互聯(lián)網(wǎng)接入終端管理。另外，GB/T29245-2012《信息安全技術(shù)政府部門信息安全管理基本要求》也提出明確的終端計(jì)算機(jī)信息安全防護(hù)管理要求，并要求作為信息安全檢查的重要內(nèi)容。本標(biāo)準(zhǔn)的制定，可以為政府部門開展辦公用計(jì)算機(jī)終端安全管理和防護(hù)提供指導(dǎo)，也可以作為信息安全主管部門開展計(jì)算機(jī)終端信息安全保障工作的檢查和考核提供依據(jù)。三、主要工作過程2009年4月，北京信息安全測評(píng)中心承接了工業(yè)和信息化部信息安全協(xié)調(diào)司任務(wù)，開展政府機(jī)關(guān)辦公用計(jì)算機(jī)安全配置研究。2009年4～9月對(duì)國內(nèi)外辦公終端安全管理相關(guān)標(biāo)準(zhǔn)和規(guī)范進(jìn)行了調(diào)研；2010年4月，編制形成《黨政機(jī)關(guān)辦公終端安全配置指南》。2010-2012年，根據(jù)標(biāo)準(zhǔn)提出部門意見、試點(diǎn)單位意見和專家意見，對(duì)標(biāo)準(zhǔn)進(jìn)行過反復(fù)修改完善。其框架也經(jīng)歷了兩級(jí)配置要求、三級(jí)配置要求、基線要求等變化過程，形成了基于基線思路的國家標(biāo)準(zhǔn)草案。2012年底，《信息安全技術(shù)政府聯(lián)網(wǎng)計(jì)算機(jī)安全配置指南》標(biāo)準(zhǔn)在全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)立項(xiàng)（計(jì)劃編號(hào)20130345-T-469）。2013年4月18日、5月23日先后組織了兩次專家會(huì)，專家均提出標(biāo)準(zhǔn)名稱與內(nèi)容定位不匹配的問題,并建議標(biāo)準(zhǔn)內(nèi)容要圍繞需重點(diǎn)解決的問題，建議梳理與國家信息中心牽頭制定的國家標(biāo)準(zhǔn)《政務(wù)計(jì)算機(jī)終端核心配置規(guī)范》的關(guān)系，建議參考ISO/IEC27002、NISTSP800-53等標(biāo)準(zhǔn)的結(jié)構(gòu)對(duì)標(biāo)準(zhǔn)框架進(jìn)行調(diào)整。隨后，標(biāo)準(zhǔn)編制組根據(jù)專家意見對(duì)標(biāo)準(zhǔn)草案框架進(jìn)行了調(diào)整，并明確了本標(biāo)準(zhǔn)定位在GB/T29245-2012《信息安全技術(shù)政府部門信息安全管理基本要求》的下位，《政務(wù)計(jì)算機(jī)終端核心配置規(guī)范》的上位。2013年11月-2014年1月，標(biāo)準(zhǔn)草案通過了全國信息安全標(biāo)準(zhǔn)化委員會(huì)WG5工作組的專家審查。根據(jù)專家審查意見，將標(biāo)準(zhǔn)改名為《信息安全技術(shù)政府聯(lián)網(wǎng)計(jì)算機(jī)終端安全基本要求》。工作組專家審查會(huì)后，征求了工信部、海關(guān)總署、國家稅務(wù)總局、國家煙草專賣局、國務(wù)院應(yīng)急辦等部委使用部門專家的意見。標(biāo)準(zhǔn)編制組根據(jù)專家意見對(duì)標(biāo)準(zhǔn)進(jìn)行了進(jìn)一步的修改，于12月底通過WG5工作組成員單位投票，隨后根據(jù)成員單位意見完善后形成征求意見稿。四、制定標(biāo)準(zhǔn)的原則和依據(jù)，與現(xiàn)行法律、法規(guī)、標(biāo)準(zhǔn)的關(guān)系目前沒有專門針對(duì)辦公計(jì)算機(jī)終端安全管理標(biāo)準(zhǔn)的國家標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)主要針對(duì)政務(wù)辦公計(jì)算機(jī)終端提出安全保護(hù)要求，內(nèi)容基于國辦發(fā)〔2008〕17號(hào)、國辦發(fā)〔2009〕28號(hào)、國發(fā)〔2012〕23號(hào)、工信部聯(lián)協(xié)〔2012〕187號(hào)等文件要求，以及GB/T29245-2012《信息安全技術(shù)政府部門信息安全管理基本要求》中終端計(jì)算機(jī)防護(hù)管理等部分的要求，并參考了GB/T22081-2008《信息技術(shù)安全技術(shù)信息安全管理體系要求》的框架和GB/T22239-2008《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中主機(jī)安全要求部分的內(nèi)容和NISTSP800-68《面向IT專家的微軟WindowsXP系統(tǒng)安全指南：NIST安全配置列表》中基于WindowsXP系統(tǒng)的安全配置要求相關(guān)內(nèi)容等。為使標(biāo)準(zhǔn)能夠指導(dǎo)各級(jí)政府機(jī)構(gòu)對(duì)辦公計(jì)算機(jī)終端的安全管理工作，提高標(biāo)準(zhǔn)的有效性和可操作性，標(biāo)準(zhǔn)制定主要遵循了如下幾個(gè)原則：1）符合國家有關(guān)政策法規(guī)要求原則；2)與已頒布實(shí)施的相關(guān)標(biāo)準(zhǔn)相協(xié)調(diào)原則；3)適度考慮目前處于發(fā)展成熟過程中的技術(shù)，保持一定前瞻性原則。五、主要條款的說明，主要技術(shù)指標(biāo)、參數(shù)、實(shí)驗(yàn)驗(yàn)證的論述本標(biāo)準(zhǔn)根據(jù)政府聯(lián)網(wǎng)計(jì)算機(jī)終端面臨的重要安全問題和威脅，按照“集約管理、綜合防護(hù)、適度保護(hù)”原則，從組織機(jī)構(gòu)、人員管理、資產(chǎn)管理、軟件管理、接入安全、運(yùn)行安全等方面提出了對(duì)計(jì)算機(jī)終端的安全管理和技術(shù)防護(hù)的基本要求。并以附錄的形式提出增強(qiáng)要求，對(duì)于安全防護(hù)要求高的計(jì)算機(jī)終端，應(yīng)從BIOS配置、軟件管理、網(wǎng)絡(luò)接入、運(yùn)行維護(hù)等方面提高要求或增加防護(hù)措施。標(biāo)準(zhǔn)結(jié)構(gòu)如下圖：2010年-2012年，北京信息安全測評(píng)中心編制形成的《政府機(jī)關(guān)辦公用計(jì)算機(jī)安全配置指南》先后在北京市東城區(qū)建國門街道、北京市石景山區(qū)衛(wèi)生局、北京市無線電管理局、北京市石景山區(qū)政府、安徽省馬鞍山市、黑龍江省大慶市、黑龍江省商務(wù)廳、廣西南寧市數(shù)字建設(shè)辦公室、貴州省貴陽市等政務(wù)單位進(jìn)行試點(diǎn)應(yīng)用，試點(diǎn)明顯的效果是提升了對(duì)計(jì)算機(jī)終端軟件安裝、上網(wǎng)行為、移動(dòng)存儲(chǔ)接入等的控制力度，提升了信息安全管理部門的管理效率，提高了計(jì)算機(jī)終端的安全防護(hù)能力，受到工信部以及北京市經(jīng)信委相關(guān)領(lǐng)導(dǎo)認(rèn)同。在石景山區(qū)政府，實(shí)現(xiàn)了該區(qū)政府辦公大樓集中區(qū)域內(nèi)聯(lián)網(wǎng)計(jì)算機(jī)的集中管理，共覆蓋了35個(gè)黨政機(jī)關(guān)單位的800多臺(tái)聯(lián)網(wǎng)計(jì)算機(jī)，實(shí)現(xiàn)了對(duì)集中區(qū)域內(nèi)聯(lián)網(wǎng)計(jì)算機(jī)的準(zhǔn)入控制、安全防護(hù)、補(bǔ)丁更新和行為監(jiān)測等的集中統(tǒng)一管理。在安徽省馬鞍山市試點(diǎn)，實(shí)現(xiàn)了客戶端軟件集中部署，數(shù)據(jù)加密、安全審計(jì)、安全桌面配置、系統(tǒng)補(bǔ)丁統(tǒng)一安裝，禁止非法和不安全計(jì)算機(jī)接入網(wǎng)路，試點(diǎn)后病毒木馬事件發(fā)生率下降了85%。在廣西省南寧市，通過試點(diǎn)，發(fā)現(xiàn)的病毒、木馬感染計(jì)算機(jī)數(shù)量下降約50%，計(jì)算機(jī)終端防病毒、防癱瘓能力明顯提高。六、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的，說明采標(biāo)程度，以及與國內(nèi)外同類標(biāo)準(zhǔn)水平的對(duì)比情況據(jù)起草工作組查閱和掌握資料，目前我國上沒有關(guān)于辦公計(jì)算機(jī)終端安全的國家法規(guī)和標(biāo)準(zhǔn)。七、作為推薦性標(biāo)準(zhǔn)或者強(qiáng)制性標(biāo)準(zhǔn)的建議及其理由本標(biāo)準(zhǔn)以更好的指導(dǎo)政府聯(lián)網(wǎng)計(jì)算機(jī)終端安全管理為目的，不涉及到人和財(cái)產(chǎn)的安全，建議將本標(biāo)準(zhǔn)作為推薦性標(biāo)準(zhǔn)發(fā)布實(shí)施。八、貫徹標(biāo)準(zhǔn)的措施建議為加強(qiáng)政府聯(lián)網(wǎng)計(jì)算機(jī)終端安全管理工作，結(jié)合我國情況，提出以下貫徹本標(biāo)準(zhǔn)的建議：1）主管部門通過舉辦培訓(xùn)班、講座形式進(jìn)行標(biāo)準(zhǔn)的宣貫幫助各級(jí)政府機(jī)構(gòu)的