DB23T-黑龍江省電子政務(wù)外網(wǎng)安全管理規(guī)范：第二部分：終端設(shè)備接入安全規(guī)范

ICS35.240.01CCSL67DB23DB23/TXXXX-XXXX電子政務(wù)外網(wǎng)安全管理規(guī)范

第二部分：終端設(shè)備接入安全規(guī)范聯(lián)系單位：黑龍江省政務(wù)大數(shù)據(jù)中心聯(lián)系人：董月成王生瑤聯(lián)系人：51896217XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施黑龍江省市場(chǎng)監(jiān)督管理局發(fā)布DB23/TXXXX-XXXX前言本文件按照GB/T1.1-2020給出的規(guī)則起草。本文件由黑龍江省營(yíng)商環(huán)境建設(shè)監(jiān)督局提出并歸口。本文件主要起草單位：黑龍江省營(yíng)商環(huán)境建設(shè)監(jiān)督局、黑龍江省政務(wù)大數(shù)據(jù)中心、黑龍江省標(biāo)準(zhǔn)化研究院、哈爾濱金斗云科技有限公司。本文件主要起草人：謝曉菲、孫雷、曹維、羅南、王東、范曉明、楊鵬宇

電子政務(wù)外網(wǎng)安全管理規(guī)范

第二部分：終端設(shè)備接入安全規(guī)范范圍本文件規(guī)定了黑龍江省電子政務(wù)外網(wǎng)終端設(shè)備接入的基礎(chǔ)框架和要求。本文件適用于指導(dǎo)黑龍江省電子政務(wù)外網(wǎng)建設(shè)運(yùn)維單位終端設(shè)備接入的規(guī)劃、建設(shè)和管理工作，也可作為電子政務(wù)外網(wǎng)管理部門指導(dǎo)、監(jiān)督和檢查的依據(jù)。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件，不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。本文件沒有規(guī)范性引用文件。術(shù)語和定義下列術(shù)語和定義適用于本文件。辦公終端指接入政務(wù)外網(wǎng)并訪問政務(wù)外網(wǎng)公共區(qū)業(yè)務(wù)的辦公終端，包括臺(tái)式微型計(jì)算機(jī)系統(tǒng)、便攜微型計(jì)算機(jī)系統(tǒng)、瘦客戶機(jī)系統(tǒng)或虛擬終端系統(tǒng)等。移動(dòng)終端指在移動(dòng)業(yè)務(wù)中使用的，基于互聯(lián)網(wǎng)進(jìn)行通信，從電子政務(wù)外網(wǎng)安全接入?yún)^(qū)接入的智能終端設(shè)備，包括手機(jī)、PAD等通用終端和專用終端設(shè)備。服務(wù)終端指接入政務(wù)外網(wǎng)的不具備常規(guī)操作系統(tǒng)的服務(wù)型終端，包括門禁、網(wǎng)絡(luò)打印機(jī)、攝像頭、視頻會(huì)議終端等。終端安全隔離同一終端、同一時(shí)間只能訪問一個(gè)網(wǎng)絡(luò)區(qū)域，且應(yīng)實(shí)現(xiàn)網(wǎng)絡(luò)隔離、會(huì)話隔離和數(shù)據(jù)隔離。沙箱一種虛擬化系統(tǒng)程序，允許在該系統(tǒng)內(nèi)運(yùn)行瀏覽器、辦公軟件等應(yīng)用程序，用戶可使用沙箱中的應(yīng)用程序訪問業(yè)務(wù)，業(yè)務(wù)數(shù)據(jù)在沙箱中運(yùn)行、加密存儲(chǔ)并與本地環(huán)境隔離。桌面云一種基于云計(jì)算的桌面交付模式。在該模式下，通過將計(jì)算機(jī)桌面進(jìn)行虛擬化，把個(gè)人計(jì)算環(huán)境集中存儲(chǔ)于數(shù)據(jù)中心，為用戶提供按需分配快速交付的桌面，用戶使用終端設(shè)備通過網(wǎng)絡(luò)訪問該桌面。縮略語下列縮略語適用于本文件。CA：證書頒發(fā)機(jī)構(gòu)（CertificateAuthority）MAC：媒體接入控制（MediaAccessControl）IP：網(wǎng)際互聯(lián)協(xié)議（InternetProtocol）辦公終端接入安全管控技術(shù)要求終端準(zhǔn)入控制身份認(rèn)證身份認(rèn)證包括：接入政務(wù)外網(wǎng)的用戶終端應(yīng)具備唯一標(biāo)識(shí)，唯一標(biāo)識(shí)的信息應(yīng)至少包括使用者信息和終端設(shè)備信息，并實(shí)現(xiàn)用戶與終端實(shí)名綁定，以便后續(xù)審計(jì)溯源；應(yīng)支持賬戶口令認(rèn)證、CA證書認(rèn)證、掃碼認(rèn)證、短信認(rèn)證、生物識(shí)別等身份認(rèn)證方式，用戶終端接入政務(wù)外網(wǎng)應(yīng)使用雙因素進(jìn)行身份認(rèn)證；當(dāng)用戶終端接入政務(wù)外網(wǎng)時(shí)，應(yīng)采取措施保證鑒別信息在傳輸和存儲(chǔ)過程中的安全；口令應(yīng)至少由8位字符組成,包含字母、數(shù)字和特殊字符等三種以上類型，并定期進(jìn)行口令更換；可支持單點(diǎn)登錄，避免重復(fù)認(rèn)證。安全檢查終端接入政務(wù)外網(wǎng)之前，應(yīng)通過安全接入檢查，不符合要求的終端不允許接入政務(wù)外網(wǎng)，至少可以檢查以下內(nèi)容：檢查終端是否安裝運(yùn)行了防病毒軟件；檢查終端是否存在弱口令賬戶；檢查終端是否運(yùn)行了惡意進(jìn)程或軟件；檢查終端是否存在未修復(fù)的高危漏洞。資源訪問控制終端接入政務(wù)外網(wǎng)時(shí)，應(yīng)至少實(shí)現(xiàn)基于用戶的資源訪問控制，并實(shí)現(xiàn)最小授權(quán)；可對(duì)終端環(huán)境進(jìn)行持續(xù)檢測(cè)和評(píng)估，根據(jù)評(píng)估情況動(dòng)態(tài)調(diào)整其權(quán)限。終端安全隔離辦公終端存在訪問多個(gè)網(wǎng)絡(luò)的情況下，應(yīng)當(dāng)滿足以下要求：支持網(wǎng)絡(luò)隔離，確保終端獲得準(zhǔn)入授權(quán)后通過安全隧道訪問政務(wù)外網(wǎng)，不能同時(shí)訪問其他網(wǎng)絡(luò)；支持會(huì)話隔離，確保每個(gè)終端訪問政務(wù)外網(wǎng)時(shí)采用唯一會(huì)話，可通過添加有效期內(nèi)唯一的會(huì)話狀態(tài)信息來實(shí)現(xiàn)；對(duì)于敏感的業(yè)務(wù)數(shù)據(jù)訪問，可采用沙箱、桌面云等技術(shù)實(shí)現(xiàn)辦公終端數(shù)據(jù)隔離，防止終端數(shù)據(jù)泄露。終端安全防護(hù)基本要求應(yīng)對(duì)終端進(jìn)行惡意代碼防范、終端入侵防護(hù)、非法外聯(lián)控制、安全基線檢查、漏洞檢測(cè)修復(fù)、數(shù)據(jù)安全防護(hù)、終端軟件/補(bǔ)丁、資產(chǎn)管理等。惡意代碼防范接入政務(wù)外網(wǎng)的用戶終端應(yīng)安裝病毒與惡意代碼防護(hù)軟件，并及時(shí)更新病毒與惡意代碼庫(kù)，以防止系統(tǒng)破壞、數(shù)據(jù)竊取，本項(xiàng)要求包括：至少支持對(duì)終端磁盤、終端內(nèi)存、終端引導(dǎo)區(qū)、移動(dòng)存儲(chǔ)介質(zhì)等位置進(jìn)行病毒檢測(cè)；至少支持對(duì)文件感染型病毒、宏病毒、蠕蟲、木馬程序、間諜軟件、腳本惡意程序、后門程序、僵尸程序、勒索軟件等惡意代碼進(jìn)行檢測(cè)；對(duì)檢測(cè)到的病毒進(jìn)行處理，至少包括阻止、刪除、隔離、清除還原；及時(shí)完成病毒庫(kù)更新。終端入侵防護(hù)終端入侵防護(hù)包括：支持終端基本信息、終端事件記錄、終端變更記錄等信息的采集，并至少保存6個(gè)月；能發(fā)現(xiàn)釣魚郵件攻擊、劫持、暴力破解、端口掃描等終端入侵行為，并支持入侵行為溯源取證。非法外聯(lián)控制終端連接政務(wù)外網(wǎng)時(shí)，應(yīng)能檢測(cè)終端通過無線熱點(diǎn)、雙網(wǎng)卡、非法網(wǎng)關(guān)連接互聯(lián)網(wǎng)的行為，并應(yīng)對(duì)該行為進(jìn)行告警和阻斷。安全基線檢查接入政務(wù)外網(wǎng)的終端應(yīng)通過安全檢查策略配置，識(shí)別與基線不符的配置項(xiàng)，并提供相應(yīng)安全整改建議，本項(xiàng)要求包括：支持對(duì)終端網(wǎng)絡(luò)環(huán)境進(jìn)行檢查，并根據(jù)檢查結(jié)果進(jìn)行加固；支持終端安全檢查，如終端安全策略檢查、軟件安全檢查、補(bǔ)丁安裝檢查、防病毒軟件檢查、默認(rèn)共享檢查等，并根據(jù)檢查結(jié)果進(jìn)行加固。漏洞檢測(cè)修復(fù)及時(shí)通過檢測(cè)發(fā)現(xiàn)辦公終端存在的漏洞，并提供修復(fù)建議，本項(xiàng)要求包括：支持對(duì)操作系統(tǒng)等對(duì)象進(jìn)行安全掃描，及時(shí)發(fā)現(xiàn)終端操作系統(tǒng)等存在的漏洞，并提供修復(fù)建議；可識(shí)別終端操作系統(tǒng)開放的端口及服務(wù)，及時(shí)發(fā)現(xiàn)高危端口或服務(wù)存在的安全漏洞，并提供修復(fù)建議；對(duì)終端存在的漏洞進(jìn)行補(bǔ)丁修復(fù)。數(shù)據(jù)安全防護(hù)數(shù)據(jù)安全防護(hù)包括：對(duì)支持對(duì)通過郵件、即時(shí)通信、網(wǎng)盤、移動(dòng)存儲(chǔ)介質(zhì)等通道泄露數(shù)據(jù)的行為進(jìn)行控制，防止政務(wù)敏感數(shù)據(jù)外泄；支持業(yè)務(wù)數(shù)據(jù)通信訪問加密保護(hù)，防止政務(wù)數(shù)據(jù)外泄，且支持國(guó)密算法；對(duì)剪貼、截屏等數(shù)據(jù)外泄行為進(jìn)行控制；對(duì)用戶拍照、截屏等行為進(jìn)行審計(jì)溯源；可支持文件追蹤，一旦泄露可追蹤溯源。終端軟件管理提供政務(wù)終端軟件資產(chǎn)、軟件分發(fā)、軟件安裝卸載、軟件使用的管理能力，本項(xiàng)要求包括：辦公終端應(yīng)僅安裝必須的組件和應(yīng)用程序，并可通過黑白名單管控防止惡意進(jìn)程或惡意軟件在辦公終端運(yùn)行；支持軟件分發(fā)、卸載、升級(jí)管理，可支持手動(dòng)、自動(dòng)安裝；支持客戶端自我保護(hù)，禁止停止、修改、刪除客戶端。終端補(bǔ)丁管理對(duì)終端補(bǔ)丁進(jìn)行統(tǒng)一管理，本項(xiàng)要求包括：支持從廠商官方途徑獲取補(bǔ)丁修復(fù)信息，整合生成補(bǔ)丁庫(kù)；支持自動(dòng)、手動(dòng)補(bǔ)丁導(dǎo)入，導(dǎo)入補(bǔ)丁原則不能直接與互聯(lián)網(wǎng)連通；支持補(bǔ)丁分發(fā)、補(bǔ)丁安裝等補(bǔ)丁管理。終端資產(chǎn)管理終端資產(chǎn)管理包括：針對(duì)接入政務(wù)外網(wǎng)的用戶終端，應(yīng)發(fā)現(xiàn)、識(shí)別政務(wù)外網(wǎng)中終端軟硬件資產(chǎn)，形成資產(chǎn)清單，至少包括終端硬件、終端操作系統(tǒng)、終端軟件等；支持對(duì)設(shè)備硬件信息變化情況進(jìn)行監(jiān)控并可預(yù)警；對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行管理，可支持移動(dòng)存儲(chǔ)介質(zhì)注冊(cè)使用、外來移動(dòng)存儲(chǔ)介質(zhì)禁用等。終端精準(zhǔn)阻斷終端精準(zhǔn)阻斷包括：針對(duì)接入政務(wù)外網(wǎng)的終端應(yīng)具備響應(yīng)處置能力，能對(duì)失陷終端進(jìn)行精準(zhǔn)處置，包括查殺、阻斷；對(duì)于NAT場(chǎng)景下，應(yīng)能夠基于會(huì)話進(jìn)行精準(zhǔn)阻斷。移動(dòng)終端接入安全管控技術(shù)要求終端準(zhǔn)入控制身份認(rèn)證身份認(rèn)證包括：接入政務(wù)外網(wǎng)的用戶終端應(yīng)具備唯一標(biāo)識(shí)，唯一標(biāo)識(shí)的信息應(yīng)至少包括使用者信息和終端設(shè)備信息，并實(shí)現(xiàn)用戶與終端實(shí)名綁定，以便后續(xù)審計(jì)溯源；支持賬戶口令認(rèn)證、CA證書認(rèn)證、掃碼認(rèn)證、短信認(rèn)證、生物識(shí)別等身份認(rèn)證方式，用戶終端接入政務(wù)外網(wǎng)應(yīng)使用雙因素進(jìn)行身份認(rèn)證；當(dāng)用戶終端接入政務(wù)外網(wǎng)時(shí)，應(yīng)采取措施保證鑒別信息在傳輸和存儲(chǔ)過程中的安全；口令應(yīng)至少由8位字符組成,包含字母、數(shù)字和特殊字符等三種以上類型，并定期進(jìn)行口令更換；可支持單點(diǎn)登錄，避免重復(fù)認(rèn)證。安全檢查終端接入政務(wù)外網(wǎng)之前，應(yīng)通過安全接入檢查，不符合要求的終端不允許接入政務(wù)外網(wǎng)，至少可以檢查以下內(nèi)容：能檢查終端是否安裝和運(yùn)行了必備應(yīng)用；能檢查終端是否安裝和運(yùn)行了惡意應(yīng)用。資源訪問控制資源訪問控制包括：終端接入政務(wù)外網(wǎng)時(shí)，應(yīng)至少實(shí)現(xiàn)基于用戶的資源訪問控制，并實(shí)現(xiàn)最小授權(quán)；可對(duì)終端環(huán)境進(jìn)行持續(xù)檢測(cè)和評(píng)估，根據(jù)評(píng)估情況動(dòng)態(tài)調(diào)整其權(quán)限。終端安全隔離移動(dòng)終端存在訪問多個(gè)網(wǎng)絡(luò)的情況下，應(yīng)當(dāng)滿足以下要求：支持網(wǎng)絡(luò)隔離，確保終端獲得準(zhǔn)入授權(quán)后通過安全隧道訪問政務(wù)外網(wǎng)，不能同時(shí)訪問其他網(wǎng)絡(luò)；支持會(huì)話隔離，確保每個(gè)終端訪問政務(wù)外網(wǎng)時(shí)采用唯一會(huì)話，可通過添加有效期內(nèi)唯一的會(huì)話狀態(tài)信息來實(shí)現(xiàn)；對(duì)于敏感的業(yè)務(wù)數(shù)據(jù)訪問，可采用沙箱等技術(shù)實(shí)現(xiàn)移動(dòng)終端數(shù)據(jù)隔離，防止終端數(shù)據(jù)泄露。終端安全防護(hù)基本要求對(duì)終端進(jìn)行惡意代碼防范、終端入侵防護(hù)、非法外聯(lián)控制、安全基線檢查、漏洞檢測(cè)修復(fù)、數(shù)據(jù)安全防護(hù)、資產(chǎn)管理等。惡意代碼防范接入政務(wù)外網(wǎng)的用戶終端應(yīng)安裝病毒與惡意代碼防護(hù)軟件，并及時(shí)更新病毒與惡意代碼庫(kù)，以防止系統(tǒng)破壞、數(shù)據(jù)竊取，本項(xiàng)要求包括：至少支持對(duì)終端磁盤、終端內(nèi)存、終端引導(dǎo)區(qū)、移動(dòng)存儲(chǔ)介質(zhì)等位置進(jìn)行病毒檢測(cè)；至少支持對(duì)文件感染型病毒、宏病毒、蠕蟲、木馬程序、間諜軟件、腳本惡意程序、后門程序、僵尸程序、勒索軟件等惡意代碼進(jìn)行檢測(cè)；對(duì)檢測(cè)到的病毒進(jìn)行處理，至少包括阻止、刪除、隔離、清除還原；及時(shí)完成病毒庫(kù)更新。終端入侵防護(hù)終端入侵防護(hù)包括：支持終端基本信息、終端事件記錄、終端變更記錄等信息的采集，并至少保存6個(gè)月；能發(fā)現(xiàn)釣魚郵件攻擊、劫持、暴力破解、端口掃描等終端入侵行為，并支持入侵行為溯源取證。非法外聯(lián)控制終端連接政務(wù)外網(wǎng)時(shí)，應(yīng)能檢測(cè)終端通過無線熱點(diǎn)、雙網(wǎng)卡、非法網(wǎng)關(guān)連接互聯(lián)網(wǎng)的行為，并應(yīng)對(duì)該行為進(jìn)行告警和阻斷。安全基線檢查接入政務(wù)外網(wǎng)的終端應(yīng)通過安全檢查策略配置，識(shí)別與基線不符的配置項(xiàng)，并提供相應(yīng)安全整改建議，本項(xiàng)要求包括：支持對(duì)終端網(wǎng)絡(luò)環(huán)境進(jìn)行檢查，并根據(jù)檢查結(jié)果進(jìn)行加固；支持終端安全檢查，如終端安全策略檢查、軟件安全檢查、補(bǔ)丁安裝檢查、防病毒軟件檢查、等，并根據(jù)檢查結(jié)果進(jìn)行加固。漏洞檢測(cè)修復(fù)及時(shí)通過檢測(cè)發(fā)現(xiàn)移動(dòng)終端存在的漏洞，并提供修復(fù)建議，本項(xiàng)要求包括：支持對(duì)操作系統(tǒng)等對(duì)象進(jìn)行安全掃描，及時(shí)發(fā)現(xiàn)終端操作系統(tǒng)等存在的漏洞，并提供修復(fù)建議；可識(shí)別終端操作系統(tǒng)開放的端口及服務(wù)，及時(shí)發(fā)現(xiàn)高危端口或服務(wù)存在的安全漏洞，并提供修復(fù)建議；對(duì)終端存在的漏洞進(jìn)行補(bǔ)丁修復(fù)。數(shù)據(jù)安全防護(hù)數(shù)據(jù)安全防護(hù)包括：對(duì)支持對(duì)通過郵件、即時(shí)通信、網(wǎng)盤、移動(dòng)存儲(chǔ)介質(zhì)等通道泄露數(shù)據(jù)的行為進(jìn)行控制，防止政務(wù)敏感數(shù)據(jù)外泄；支持業(yè)務(wù)數(shù)據(jù)通信訪問加密保護(hù)，防止政務(wù)數(shù)據(jù)外泄，且支持國(guó)密算法；對(duì)剪貼、拍照、截屏等行為進(jìn)行控制；對(duì)藍(lán)牙設(shè)備連接行為進(jìn)行控制可支持文件追蹤，一旦泄露可追蹤溯源。終端軟件管理提供政務(wù)終端軟件資產(chǎn)、軟件分發(fā)、軟件安裝卸載、軟件使用的管理能力，本項(xiàng)要求包括：移動(dòng)終端應(yīng)僅安裝必須的組件和應(yīng)用程序，并可通過黑白名單管控防止惡意進(jìn)程或惡意軟件在移動(dòng)運(yùn)行；支持軟件分發(fā)、卸載、升級(jí)管理，可支持手動(dòng)、自動(dòng)安裝；支持客戶端自我保護(hù)，禁止停止、修改、刪除客戶端。終端資產(chǎn)管理終端資產(chǎn)管理包括：針對(duì)接入政務(wù)外網(wǎng)的用戶終端，應(yīng)發(fā)現(xiàn)、識(shí)別政務(wù)外網(wǎng)中終端軟硬件資產(chǎn)，形成資產(chǎn)清單，至少包括終端硬件、終端操作系統(tǒng)、終端軟件等；支持對(duì)設(shè)備硬件信息變化情況進(jìn)行監(jiān)控并可預(yù)警；對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行管理，可支持移動(dòng)存儲(chǔ)介質(zhì)注冊(cè)使用、外來移動(dòng)存儲(chǔ)介質(zhì)禁用等。終端精準(zhǔn)阻斷終端精準(zhǔn)阻斷包括：針對(duì)接入政務(wù)外網(wǎng)的終端應(yīng)具備響應(yīng)處置能力，能對(duì)失陷終端進(jìn)行精準(zhǔn)處置，包括查殺、阻斷；對(duì)于NAT場(chǎng)景下，應(yīng)能夠基于會(huì)話進(jìn)行精準(zhǔn)阻斷。服務(wù)終端接入安全管控技術(shù)要求終端準(zhǔn)入控制身份認(rèn)證身份認(rèn)證包括：接入政務(wù)外網(wǎng)的服務(wù)終端應(yīng)具備唯一標(biāo)識(shí)，唯一標(biāo)識(shí)的信息應(yīng)至少包括終端設(shè)備的IP、MAC、端口信息；能夠阻止非法終端同時(shí)偽造合法終端的IP和MAC信息接入網(wǎng)絡(luò)。安全檢查終端接入政務(wù)外網(wǎng)之前，應(yīng)通過安全接入檢查，不符合要求的終端不允許接入政務(wù)外網(wǎng)，至少可以檢查以下內(nèi)容：檢查終端是否存在弱口令賬戶；檢查終端是否存在未修復(fù)的高危漏洞；檢查終端是否開啟高危網(wǎng)絡(luò)端口；檢查終端是否存在傳播勒索病毒和挖礦行為。資源訪問控制資源訪問控制包括：終端接入政務(wù)外網(wǎng)時(shí)，應(yīng)至少實(shí)現(xiàn)基于設(shè)備類型的資源訪問控制，并實(shí)現(xiàn)最小授權(quán)；可對(duì)終端環(huán)境進(jìn)行持續(xù)檢測(cè)和評(píng)估，根據(jù)評(píng)估情況動(dòng)態(tài)調(diào)整其權(quán)限。終端安全防護(hù)基本要求對(duì)終端進(jìn)行惡意代碼防范、終端入侵防護(hù)、非法外聯(lián)控制、安全基線檢查、漏洞檢測(cè)修復(fù)、數(shù)據(jù)安全防護(hù)、終端軟件/補(bǔ)丁、資產(chǎn)管理等。安全基線檢查接入政務(wù)外網(wǎng)的終端應(yīng)通過安全檢查策略配置，識(shí)別與基線不符的配置項(xiàng)，并提供相應(yīng)安全整改建議，本項(xiàng)要求包括：支持對(duì)終端網(wǎng)絡(luò)環(huán)境進(jìn)行檢查，并根據(jù)檢查結(jié)果進(jìn)行加固；支持終端安全檢查，如弱口令賬戶、異常行為、風(fēng)險(xiǎn)端口、系統(tǒng)漏洞等，并根據(jù)檢查結(jié)果進(jìn)行加固。漏洞風(fēng)險(xiǎn)檢測(cè)及時(shí)通過檢測(cè)發(fā)現(xiàn)終端存在的漏