《信息安全技术 基于互联网电子政务信息安全实施指南 第4部分：终端安全防护》.docVIP

GB/Z××××—2011

GB/Z××××—××××

PAGE2

PAGE1

发布中国国家标准化管理委员会GB中华人民共和国国家质量监督检验检疫总局××××-××-××实施××××-××

发布

中国国家标准化管理委员会

GB

中华人民共和国国家质量监督检验检疫总局

××××-××-××实施

××××-××-××发布

信息安全技术

基于互联网电子政务信息安全实施指南

第4部分：终端安全防护

Informationsecuritytechnology–GuideofImplementationforInternet-basedE-GovernmentInformationSecurity-Part4:DefenseforTerminal

（征求意见稿）

GB/Z××××—××××

中华人民共和国国家标准化指导性技术文件

ICS35.040

L80

PAGE8

PAGE7

信息安全技术基于互联网电子政务信息安全实施指南

第4部分：终端安全防护

范围

本指导性技术文件按照终端安全防护策略，明确了基于互联网电子政务终端的安全防护技术要求，为管理人员、工程技术人员、信息安全产品提供者进行政务终端的安全防护提供管理和技术参考。

规范性引用文件

下列文件中的条款通过在本指导性技术文件的引用而成为本指导性技术文件的条款。凡注明日期的引用文件，其后的任何修改（不包括勘误的内容）或修订版都不适用于本指导性技术文件。凡未注明日期的引用文件，其最新版本适用于本指导性技术文件。

GB/T302781－2013信息安全技术政务计算机终端核心配置规范

GB/TEEEEEE－FFFF信息安全技术政府联网计算机终端安全基本要求

术语和定义

下列术语和定义适用于本指导性技术文件。

安全政务终端securityterminalofgovernment

满足政务办公安全防护技术要求，能够开展政务办公与业务应用的计算机终端。

缩略语

Email 电子邮件（Electronicmail）

FTP 文件传输协议（FileTransferProtocol）

IIS互联网信息服务（InternetInformationServices）

IP 互联网协议（InternetProtocol）

WWW万维网（WorldWideWeb）

终端安全功能与实施原则

安全脆弱点

计算机终端作为基于互联网电子政务系统的基本工作单元，承担和参与政务信息的加工、处理、存储和传输等重要工作，主要安全威胁和脆弱点包括：

互联网恶意攻击

基于互联网电子政务终端极易遭受来自互联网的病毒、木马等恶意代码攻击，将会导致政务终端产生信息泄漏、身份假冒、虚假消息发布和工作效率降低等安全风险。

补丁升级滞后

操作系统、应用软件漏洞补丁不能及时更新，将会给病毒和木马等恶意代码带来可乘之机，进而威胁整个应用系统。

终端非法接入

当非授权终端接入电子政务系统进行政务办公访问网络资源时，会对政务网络、合法终端以及应用系统带来安全隐患。

系统安全配置不合理

操作系统安全配置项如果不能进行合理的选择和部署,不仅消弱系统自身的防护能力,降低防范的实施效率,同时造成维护成本的增加。

安全功能

基于互联网电子政务终端围绕统一安全策略，需实现核心安全配置、状态实时监测、系统补丁升级、恶意代码查杀和用户操作审计等功能。

核心安全配置

核心安全配置适用于使用windows操作系统的终端，对终端的帐户密码策略、账户锁定策略、本地审核策略、本地用户权限指派、事件日志、IE安全配置和系统服务等项进行配置，加固操作系统。

状态实时监测

管理员可以实时监测到终端运行状态，实现对接入政务网络终端的实时管理和维护，终端状态包括运行进程、启动服务和网络连接等信息。

系统软件升级

计算机终端系统软件和主要应用软件的升级宜及时和安全，通过监测终端的漏洞和补丁等信息，由统一的补丁漏洞管理平台自动下发给终端。

恶意代码查杀

为防范恶意代码，宜采用杀毒引擎阻断未知病毒和网络入侵。恶意代码查杀包括有效清除木马、蠕虫、后门、流氓软件、间谍软件、广告程序、ARP病毒和网页挂马等威胁。

用户操作审计

对终端用户和管理员用户的行为进行识别、记录、存储和分析，为安全管理人员和决策者提供有效数据，便于事件分析调查、适时调整安全策略。

实施原则

基于互联网电子政务终端安全防护的实施原则包括：

适度安全

政务终端应根据不同的安全应用模式采用适度的安全防护措施，合理配置和部署，进行有效管理和实施。

操作方便

充分考虑到我国信息安全技术发展和应用现状，基于互联网电子政务终端安全防护措施应易于实施，操作方便。

兼容性

终端安全防护产品与电子政务办公