GB/T 30278-2013
基本信息
标准号: GB/T 30278-2013
中文名称:信息安全技术 政务计算机终端核心配置规范
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:1938KB
相关标签: 信息安全 技术 政务 计算机 终端 核心 配置 规范
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 30278-2013 信息安全技术 政务计算机终端核心配置规范
GB/T30278-2013
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T30278—2013
信息安全技术
政务计算机终端核心配置规范
Information security technology--Chinese governmentdesktop core configuration specifications2013-12-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2014-07-15实施
规范性引用文件
3术语和定义
缩略语
核心配置基本要求
核心配置清单
8核心配置基线包
9核心配置自动化部署及监测技术要求10实施流程
附录A(资料性附录)
身份鉴别配置要求示例:
附录B(资料性附录)
核心配置清单:
GB/T30278—2013
本标准按照GB/T1.1—2009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。GB/T30278—2013
本标准起草单位:国家信息中心中国信息安全测评中心、中国信息安全认证中心、国家税务总局电子税务管理中心、三零卫士公司、北京北信源软件股份有限公司、天津市信息中心、上海市信息中心、山西省经济信息中心、江苏省信息中心、安徽省经济信息中心山东省信息中心、河南省信息中心、湖南省人民政府经济研究信息中心广东省发展和改革委员会信息中心、四川省经济信息中心、贵州省信息中心、甘肃省信息中心,青海省信息中心,新疆维吾尔自治区经济信息中心、宁波市信息中心、西安市信息中心
本标准主要起草人:李新友、刘蓓、许涛、蔡军霞、刘帅、程浩、王啸天、沈大风、吴亚非、袁志强、张海昆、刘海峰、甘杰大,李建彬、闵京华,林浩,王华峰、陆小敏、马志红、谷和启、彭云峰、洪之民、宋苏宇,柳松,马占飞、余靖浊、袁继会,闫加元、靳力、赵俊,史小列、阮高峰。1范围
信息安全技术
政务计算机终端核心配置规范
GB/T30278—2013
本标准规定了政务计算机终端核心配置的基本概念和要求,核心配置的自动化实现方法,规范了核心配置实施流程,
本标准适用于政务部门开展计算机终端的核心配置工作。涉密致务计算机终端安全配置工作应参照国家保密局相关保密规定和标准执行2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件其最新版本(包括所有的修改单)适用于本文件。GB/T22239一2008信息系统安全等级保护基本要求3术语和定义
下列术语和定义适用于本文件,3.1
政务部门
governmentdepartment
从事涉及政府性事务工作的国家机关、企事业单位和大型社会团体等机构3.2
核心配置项(配置项)coreconfigurationitem计算机操作系统、办公软件、浏览器、BIOS系统和防恶意代码软件等基础软件中影响计算机安全的关键参数可选项。
注:核心配置项类型包括开关项、枚举项、区间项和复合项,可以根据安全要求对其进行赋值3.3
核心配置
coreconfiguration
对核心配置项进行餐数设置的过程。注:通过核心配置限制或禁止存在安全隐患或漏漏的功能,启用或加强安全保护功能,来增蛋计算机抵航安全风险的能力。
核心配置项基值core configuration itembase value按照核心配置基本要求对配置项的参数设置。3.5
core configuration baseine
核心配置基线
能够满足计算机安全基本要求的一组核心配置项基值构成的集合。3.6
核心配置清单
core configuration list
由核心配置项构成的一种列表,是对核心配置项属性的一种形式描述。1
iiKacaQiaiKAca-
GB/T302782013
核心配置基线包coreconfigurationbaselinepackage为实现核心配置基线自动化部署而制定的一种具有特定语法格式的核心配置数据文件。缩略语
下列缩略语适用于本文件。
BIOS:基本输入输出系统(BasicInputOutputSystem)CGDCC:政务计算机终端核心配置(ChineseGovernmentDesktopCoreConfiguration)FTP:文件传输协议(FileTransferProtocol)GUID:全球唯一标识符(GloballyUniqueIdentifier)TCM,可信密码模块(TrustedCryptographyModule)WMl:桌面管理规范(WindowsManagementInstrumentation)XML:可扩展置标语言(ExtensibleMarkupLanguage)5概述
5.1核心配置对象
本标准针对应用于政务部门的联网计算机终端提出核心配置要求,包括连接到互联网、政务专网(政务内网、政务外网)的桌面计算机、膝上型计算机和瘦客户机等。5.2核心配置范围
核心配置的范围包括如下方面:a)操作系统,如Windows系列、国外Linux和国产Linux等;b)办公软件,如国外Office软件和国产WPS软件等;浏览器软件,如国外InternetExplore、Chrome、Firefox和国产邀游,360浏览器等;e
邮件系统软件,如国外Outlook和国产Foxmail等;d
BIOS系统软件,如AMIBIOS、AwardBIOS等;e)
防恶意代码软件,如内防病毒、防木马软件等。依据GB/T222392008中7.1.3和7.1.4对于第三级主机安全和应用安全的要求,上述基础软件应符合如下配置要求:
a)身份鉴别:包括账户登录和口令管理b)访间控制:包括账户管理和权限分配;安全审计:包括账户行为审计和资源访问审计:剩余信息保护:包括临时文件、历史文件和虚拟文件管理;d)
e)人侵防范:包括对组件的保护功能开启、应用程序的更新升级;恶意代码防范:包括杀毒软件的安装、升级和病毒查杀管理:资源控制:包括服务、端口、协议等资源管理和数据的加密保护。g)
核心配置项基本类型
根据核心配置项的取值范围,核心配置项分为开关项、枚举项、区间项和复合项等基本类型。a)开关项:取值仅为\o”或“1\。例如,配置项“下载未签名的Active控件”,可赋值为\启用(1)”或“禁用(0)”。
GB/T30278—2013
b)枚举项,取值是离散的、可数的且多于两种。例如,配置项具有从网络访问本地计算机权限的账户”,可赋值为“管理员(Administrators)\\超级用户(PowerUsers)\4-般用户(Users)\或“来宾(Guests)\
c)区间项:取值连续分布在一个区间内。例如,配置项“账户锁定时间”,藏值范围为“1min~99999min\
d)复合项:由上述两种或多种关联配置项组合而成。例如,配置项“启动屏幕保护程序的等待时间”,由开关项和区间项组成。首先“启用”屏幕保护程序,再设置“等待时间”。5.4核心配置项赋值方法
根据核心配置项赋值路径不同,可分为注册表题值和配置文件赋值两种方法a)注册表赋值方法
通过修改核心配置项对应的注册表键值等,实现对配置项的赋值,例如Windows操作系统,b)配置文件赋值方法
通过修改配置文件中有关的配置项,实现对配置项的赋值,例如LinuXx操作系统,根据核心配置部署方式不同,间分为手动和自动两种方法:手动账值
对核心配置项进行人工逐项斌值,该方法适用于针对少量终端的少量配置部署。例如,在Windows系统环境下,运行组策略编辑器(GPEdit),由人工对核心配置项进行赋值:在Linux系统环境下·直接缩辑配置文件,对核心配置项逐项进行赋值:在BIOS系统中,直接在人机界面上,逐项进行手动赋值,
b)自动赋值
编辑核心配置基线包,调用自动部署工具,对核心配置项进行赋值。该方法适用于大量终端批量配置部署
5核心配置对安全的作用
核心配置主要通过如下四种方式提高终端安全性:a)应启用数字签名、数据执行保护(DEP)、加密存储、更新升级等安全保护功能:b)应禁用存在或可能存在安全漏洞的服务、端口、程序、脚本和驱动等:应加强口令管理、身份鉴别、账户管理和安全审计等安全保护手段:d)应限制软硬件访问权限、资源共享和远程登录等功能。5.6核心配置自动化实施框架
核心配置自动化实施框架包括以下四个部分a)提出核心配置基本要求,根据计算机终端所属系统或环境的安全需求及安全级别,确定核心配置具体要求。核心配置基本要求见第7章。b)编制核心配置清单,采用清单方式描述核心配置要求,包括配置项标识,配置项名称,配置项组别、安全级别、取值范围、配置项基值,慧值路径和检查规则等。核心配置清单格式要求见第8章。
c)生成核心配置基线包,将配置清单转化成为一种符合XML语法的嵌套式结构数据文件,以供自动化部署工具实施。核心配置基线包格式要求见第9章,自动部署及监测,通过搭建核心配置自动化部署平台,实现核心配置项的批量自动赋值和合规d)
性实时检测。具体技术要求见第10章。3
iiKacaQiaiKAca-
GB/T30278-2013
6核心配置基本要求
6.1操作系统核心配置要求
6.1.1概述
本标准依据GB/T22239一2008中7.1.3对第三级主机安全的要求,针对国内外主流操作系统,在身份鉴别、访间控制、安全审计、剩余信息保护、人侵防范和资源控制等方面提出核心配置基本要求。6.1.2身份鉴别
身份鉴别配置要求包括:
a)账户登录时,应启动身份验证机制,限制连续登录失败次数,连续多次登录失败后应锁定账户;b)应配置安全的口令长度、复杂度、有效期和加密强度,应禁止不设置口令;C)启动账户登录界面时,应禁止无关进程的启动和运行,防止鉴别信息被窃听。注:附录A给出了身份鉴别配置要求示例。6.1.3访问控制
访问控制配置要求包括:
应禁用匿名账户(Anonymous)、来宾账户(Guest)、产品支持账户(Support),限用管理员账户a
(Administrator),重命名管理员账户,限制善通用户的访间权限,禁止任何账户远程访间;应限制账户对文件、硬件、驱动、内存和进程等重要资源的访间权限;b)
应限制账户权限提升和授权访间等操作。6.1.4安全审计
安全审计配置要求包括:
应启用安全日志,记录账户的创建、更改、删除、启用、禁用和重命名等操作,记录账户登录和注a
销、开关机、配置变更等操作:b
应启用系统日志,记录对文件、文件夹,注册表和系统资源的访问操作。6.1.5剩余信息保护
剩余信息保护配置要求包括:
关闭系统时,应清除虚拟内存页面文件;a)
断开会话时,应清除临时文件夹:b)
应禁止剪贴板存储信息与远程计算机共享。6.1.6入侵防范
人侵防范配置要求包括:
应启用资源管理器数据执行保护(DEP)模式和Shell协议保护模式:a)
打开邮件的附件时,应启用杀毒软件进行扫描;b)
应启动屏幕保护和休眠功能,设置唤醒口令:d)
应开启系统定期备份功能;
应限制应用程序的下载和安装,保持操作系统补丁及时更新。6.1.7资源控制
资源控制配置要求包括:
GB/T30278—2013
a)应禁用信息共享、动态数据交换(DynamicDataExchange),互联网信息服务(InternetInformationServices),FTP和Telnet等网络连接、远程网络访问等服务,限制蓝牙等无线连接b)应禁止介质自动运行(Autorun):e)应关闭FTP、HTTP(超文本传输协议HypertextTransportProtocol),RPC(远程过程调用协议RemoteProcedureCallProtocol)UPNP(通用即插即用UniversalPlugandPlay),远程桌面服务、远程控制类软件服务端监听、木马软件等对应开放的端口:d)应禁止IPCC进程间通信InterProcessConmunication)管道连接,限制SYN(同步字符Syn-chronize)的传输次数和发送时间应启用磁盘加密系统等数据保密配置:对于三级以上政务计算机应配置TCM模块保护敏感e
数据。
6.2办公软件核心配置要求
依据GB/T222392008中7.1.4对第三级应用安全的要求,针对国内外主流办公软件提出如下核心配置要求:
)应禁止ActiveX控件的使用;
b)应禁用所有未经验证的加载项:e)应限用未数字签名的宏;
d)应限制在线自动更新升级、网上下载剪贴画和模板等资源,以及访问超级链接。6.3浏览器核心配置要求
6.3.1概述
依据GB/T22239一2008中7.1.4对第三级应用安全的要求,针对国内外主流浏览器,在浏览器安全选项,域安全管理和隐私保护等方面提出核心配置基本要求。6.3.2浏览器安全选项
览器安全选项配置要求包括:
a)应严格禁止运行java小程序脚本:b)应限制下载和安装未签名的ActiveX控件:e)应开启浏览器的保护模式。
6.3.3域安全管理
域安全管理配置要求包括:
8)访间以太网的安全限制应设为中或高;b)访问企业专网的安全限制可设为中:e
访问可信站点的安全限制可设为低:d)应限制访问受限站点,禁止从受限站点下载或保存文件。6.3.4隐私保护
隐私保护配置要求包括:
a)退出网页时,应删除Cookie文件、下载记录、访间网站历史记录和临时文件夹;b)应限制输人框自动关联功能
6.4邮件系统核心配置要求
依据GB/T222392008中7.1.4对第三级应用安全的要求,针对国内外主流邮件系统软件提出如5
iiKacaQiaiKAca-
GB/T30278—2013
下配置要求:
应配置安全的邮箱登录口令的长度和复杂度;a)
b)对本地存储的邮件应开启加密功能;发送邮件应使用数字签名和数字加密技术,接收邮件应对数字签名进行验证;d)
应开启加密协议收发邮件:
应禁止直接运行附件中存在安全隐患的文件类型:应禁止运行邮件中的超链接:
应启用垃圾邮件过滤功能。
5BIOS系统核心配置要求
依据GB/T222392008中7.1.3对第三级主机安全的要求,对BIOS系统提出如下配置要求:a)开机时应启动身份鉴别机制,并设置安全的口令长度和复杂度:应限制硬件资源使用,包括软驱、硬盘、内存、USB设备、网卡和CPU等b)
应启用硬盘写保护:
应限制使用定时开机、远程模式控制开机、键盘鼠标开机等开机模式:操作系统操作关机后,应立即断开计算机电源;应限制由外部设备,如U盘、光驱等引导启动计算机终端。6.6防恶意代码软件核心配置要求防恶意代码软件核心配置要求包括:应开启实时保护功能;
应及时升级防恶意代码软件至最新版本,开启自动更新病毒库功能;c)
应定期进行病毒、木马等恶意代码扫描,发现恶意代码立即隔离或删除。7核心配置清单
7.1概述
核心配置清单描述配置项的属性,包括配置项标识、配置项名称、配置项描述、配置项组别、安全级别、取值范围、配置项基值、赋值路径和检查规则。2配置项属性
7.2.1配置项标识
配置项标识是配置项的唯一编码,由三组字符构成,通过“”进行分隔,标识规则如图1所示。最高组位的字符使用CGDCC,代表政务终端核心配置:中间组位引用软件产品标识;最低组位使用4位数字代表配置项序号,例如“Window7口令长度”配置项,其标识为\CGDCC-win7-0011”。CGDCC-X×××-X×××
配置项序列号
软件产品标识
一政务终端核心配置
图1配置项标识规则
7.2.2配置项名称
描述配置项名称的字符串。
7.2.3配置项描述
GB/T30278-2013
从终端的安全风险、配置项的应对措施和潜在影响等三个方面对配置项进行解释说明。其中,安全风险主要描述配置项所对应的系统晚弱性;应对措施主要描述配置项推荐参数赋值:潜在影响主要描述配置生效后可能对终端系统造成的影响。7.2.4配置项组别
需对配置项进行分组时,描述配置项所属的组别。7.2.5安全级别
描述配置项对计算机终端安全性的影响程度,分为一般,重要和严重三个级别。7.2.6取值范围
措述配置项允许赋值的范围,可用开关、枚举和区间表示,7.2.7配置项基值
描述符合核心配置基本要求的配置项基值,当配置项安全级别为严重时,此配置项必须按照基值进行赋值。
7.2.8赋值路径
指述配置项的赋值路径,对手Windows的配置项,可以依据配置项的赋值路径,使用相应的配置工具进行赋值,例如,配置项“账户锁定时间”的赋值路径为“ComputerConfiguration\\WindowsSettingsSecuritySettingslAccountPolicies\\AccountLockoutPolicy”,通过组策略编辑器(GPEdit)工具,在该路径下可对“账户锁定时间”进行赋值,7.2.9:检查规则
描述检查配置项的实际值是否达到基值的判断规则,如大于配置项基值、小于配置项基值、等于配置项基值、大于或等于配置项基值、小于或等于配置项基值。8核心配置基线包
8.1概述
核心配置基线包是一种嵌套式结构的数据文件,采用XML格式对核心配置基线中各配置项的属性进行规范性标记,以实现核心配置部署及监测的自动化。核心配置基线包由格式版本标记、基线标记和产品标记三部分组成。其中,基线标记包括基线版本标记、配置组标记、配置项标记和检查标记。核心配置基线包格式结构如图2所示。7
-iiKacaQiaiKAca
GB/T30278-—2013
8.2主标记
格式版本标记
主体标记
核心配置基线包
格式版本
基线头标记
配置组标记
配置质标记
检查标记
产温标记
基线买
配置组
配置项
验查项
图2核心配置基线包格式结构
核心配置基线包用\CGDCC-Package作为主标记,其结构如表1所示。表1主标记
CGDCC-Formatlnfo
CGDCC-Baseline
CGDCCProduet
示例:
(CGDCC-Package)
格式版本信息
基线信息
产品信息
(CGDCC.Formatlnfo)/CGDCC-Formatlnfo)(CGDCC-Baseline).+/CGDCC-Baseline)(CGDCC-Beseline)..-/CGDCC-Baseline)(CGDCC-Product>..-/CGDCC-Product)(CGDCC-Produet).-(/CGDCC-Produet>8.3格式版本标记
解释说明
描述核心配置基线包格式的基本信息摘述核心配置基线的完成信息,可以描述多条基线摧述软件产品基本信息,可以描多个产品信息格式版本用\CGDCC-FormatInfo\作为标记,描述核心配置基线包格式版本的基本信息,其结构如8wwW.bzxz.Net
表2所示。
Version
Description
示例:
版本编号
概要介绍
(CGDCC-Formatinfo)
(Version Minor=\o\Major-\T\/)表2
格式版本标记
解释说明
核心配置基线包规则版本的唯一标识对版本规则进行要说明
《Deseription》此格式专用于核心配置基线包,版本为1.0,《/Description)基线标记
基线主标记
GB/T30278—2013
用\CGDCC-Baseline\作为基线主标记,描述核心配置基线的基本信息,其结构如表3所示。表3
RevisionNumber
Version
VersionCantrot
SettingGroup
ProductID
基缓名称
基线标识
基线修订版本次数
基线版本
基线状态
版本控制
配置组信息
检查信息
基线所属产品标识
基线标记
摘述核心配置基线名称
解释说明
描速核心配置基线唯一标识。此标识按照唯一标识(GUID)生成规则自动生成
撒述核心配置基线的够订版本号,并与ID一起可用来追潮基线的修订过程
播述所生成核心配置基线的版本包括可编辑状态和已发布状本两种描述核心配置基线版本相关信息措述核心配置基线所包含的每个策略组的基本信息,可包措多个基线组
摘述策略组所包含的核心配置项的检查信息,每个配置项都有一条相应的检查信息
摘递该核心配置基线所属的软件产品标识,用手基线适用性检查
(CGDCC-BaselineNamieCGDCC-Win7-v1.0°ID=\(0ff11dd2-2186-4670-939d-968347e81558))《RevisionNumber)o(/RevisionNumber)(VersionMinor\o\Major=\1\/)(Mode)Edit/Mode)
(VersionControl)....(/VersionControl)(SettingGroup)..(/SettingGroup)(Check)..../Check)
(ProductID)(1739795a-9a4f4032-b8db8834dba5aoea)-iKacadiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T30278—2013
信息安全技术
政务计算机终端核心配置规范
Information security technology--Chinese governmentdesktop core configuration specifications2013-12-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2014-07-15实施
规范性引用文件
3术语和定义
缩略语
核心配置基本要求
核心配置清单
8核心配置基线包
9核心配置自动化部署及监测技术要求10实施流程
附录A(资料性附录)
身份鉴别配置要求示例:
附录B(资料性附录)
核心配置清单:
GB/T30278—2013
本标准按照GB/T1.1—2009给出的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。GB/T30278—2013
本标准起草单位:国家信息中心中国信息安全测评中心、中国信息安全认证中心、国家税务总局电子税务管理中心、三零卫士公司、北京北信源软件股份有限公司、天津市信息中心、上海市信息中心、山西省经济信息中心、江苏省信息中心、安徽省经济信息中心山东省信息中心、河南省信息中心、湖南省人民政府经济研究信息中心广东省发展和改革委员会信息中心、四川省经济信息中心、贵州省信息中心、甘肃省信息中心,青海省信息中心,新疆维吾尔自治区经济信息中心、宁波市信息中心、西安市信息中心
本标准主要起草人:李新友、刘蓓、许涛、蔡军霞、刘帅、程浩、王啸天、沈大风、吴亚非、袁志强、张海昆、刘海峰、甘杰大,李建彬、闵京华,林浩,王华峰、陆小敏、马志红、谷和启、彭云峰、洪之民、宋苏宇,柳松,马占飞、余靖浊、袁继会,闫加元、靳力、赵俊,史小列、阮高峰。1范围
信息安全技术
政务计算机终端核心配置规范
GB/T30278—2013
本标准规定了政务计算机终端核心配置的基本概念和要求,核心配置的自动化实现方法,规范了核心配置实施流程,
本标准适用于政务部门开展计算机终端的核心配置工作。涉密致务计算机终端安全配置工作应参照国家保密局相关保密规定和标准执行2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件,凡是不注日期的引用文件其最新版本(包括所有的修改单)适用于本文件。GB/T22239一2008信息系统安全等级保护基本要求3术语和定义
下列术语和定义适用于本文件,3.1
政务部门
governmentdepartment
从事涉及政府性事务工作的国家机关、企事业单位和大型社会团体等机构3.2
核心配置项(配置项)coreconfigurationitem计算机操作系统、办公软件、浏览器、BIOS系统和防恶意代码软件等基础软件中影响计算机安全的关键参数可选项。
注:核心配置项类型包括开关项、枚举项、区间项和复合项,可以根据安全要求对其进行赋值3.3
核心配置
coreconfiguration
对核心配置项进行餐数设置的过程。注:通过核心配置限制或禁止存在安全隐患或漏漏的功能,启用或加强安全保护功能,来增蛋计算机抵航安全风险的能力。
核心配置项基值core configuration itembase value按照核心配置基本要求对配置项的参数设置。3.5
core configuration baseine
核心配置基线
能够满足计算机安全基本要求的一组核心配置项基值构成的集合。3.6
核心配置清单
core configuration list
由核心配置项构成的一种列表,是对核心配置项属性的一种形式描述。1
iiKacaQiaiKAca-
GB/T302782013
核心配置基线包coreconfigurationbaselinepackage为实现核心配置基线自动化部署而制定的一种具有特定语法格式的核心配置数据文件。缩略语
下列缩略语适用于本文件。
BIOS:基本输入输出系统(BasicInputOutputSystem)CGDCC:政务计算机终端核心配置(ChineseGovernmentDesktopCoreConfiguration)FTP:文件传输协议(FileTransferProtocol)GUID:全球唯一标识符(GloballyUniqueIdentifier)TCM,可信密码模块(TrustedCryptographyModule)WMl:桌面管理规范(WindowsManagementInstrumentation)XML:可扩展置标语言(ExtensibleMarkupLanguage)5概述
5.1核心配置对象
本标准针对应用于政务部门的联网计算机终端提出核心配置要求,包括连接到互联网、政务专网(政务内网、政务外网)的桌面计算机、膝上型计算机和瘦客户机等。5.2核心配置范围
核心配置的范围包括如下方面:a)操作系统,如Windows系列、国外Linux和国产Linux等;b)办公软件,如国外Office软件和国产WPS软件等;浏览器软件,如国外InternetExplore、Chrome、Firefox和国产邀游,360浏览器等;e
邮件系统软件,如国外Outlook和国产Foxmail等;d
BIOS系统软件,如AMIBIOS、AwardBIOS等;e)
防恶意代码软件,如内防病毒、防木马软件等。依据GB/T222392008中7.1.3和7.1.4对于第三级主机安全和应用安全的要求,上述基础软件应符合如下配置要求:
a)身份鉴别:包括账户登录和口令管理b)访间控制:包括账户管理和权限分配;安全审计:包括账户行为审计和资源访问审计:剩余信息保护:包括临时文件、历史文件和虚拟文件管理;d)
e)人侵防范:包括对组件的保护功能开启、应用程序的更新升级;恶意代码防范:包括杀毒软件的安装、升级和病毒查杀管理:资源控制:包括服务、端口、协议等资源管理和数据的加密保护。g)
核心配置项基本类型
根据核心配置项的取值范围,核心配置项分为开关项、枚举项、区间项和复合项等基本类型。a)开关项:取值仅为\o”或“1\。例如,配置项“下载未签名的Active控件”,可赋值为\启用(1)”或“禁用(0)”。
GB/T30278—2013
b)枚举项,取值是离散的、可数的且多于两种。例如,配置项具有从网络访问本地计算机权限的账户”,可赋值为“管理员(Administrators)\\超级用户(PowerUsers)\4-般用户(Users)\或“来宾(Guests)\
c)区间项:取值连续分布在一个区间内。例如,配置项“账户锁定时间”,藏值范围为“1min~99999min\
d)复合项:由上述两种或多种关联配置项组合而成。例如,配置项“启动屏幕保护程序的等待时间”,由开关项和区间项组成。首先“启用”屏幕保护程序,再设置“等待时间”。5.4核心配置项赋值方法
根据核心配置项赋值路径不同,可分为注册表题值和配置文件赋值两种方法a)注册表赋值方法
通过修改核心配置项对应的注册表键值等,实现对配置项的赋值,例如Windows操作系统,b)配置文件赋值方法
通过修改配置文件中有关的配置项,实现对配置项的赋值,例如LinuXx操作系统,根据核心配置部署方式不同,间分为手动和自动两种方法:手动账值
对核心配置项进行人工逐项斌值,该方法适用于针对少量终端的少量配置部署。例如,在Windows系统环境下,运行组策略编辑器(GPEdit),由人工对核心配置项进行赋值:在Linux系统环境下·直接缩辑配置文件,对核心配置项逐项进行赋值:在BIOS系统中,直接在人机界面上,逐项进行手动赋值,
b)自动赋值
编辑核心配置基线包,调用自动部署工具,对核心配置项进行赋值。该方法适用于大量终端批量配置部署
5核心配置对安全的作用
核心配置主要通过如下四种方式提高终端安全性:a)应启用数字签名、数据执行保护(DEP)、加密存储、更新升级等安全保护功能:b)应禁用存在或可能存在安全漏洞的服务、端口、程序、脚本和驱动等:应加强口令管理、身份鉴别、账户管理和安全审计等安全保护手段:d)应限制软硬件访问权限、资源共享和远程登录等功能。5.6核心配置自动化实施框架
核心配置自动化实施框架包括以下四个部分a)提出核心配置基本要求,根据计算机终端所属系统或环境的安全需求及安全级别,确定核心配置具体要求。核心配置基本要求见第7章。b)编制核心配置清单,采用清单方式描述核心配置要求,包括配置项标识,配置项名称,配置项组别、安全级别、取值范围、配置项基值,慧值路径和检查规则等。核心配置清单格式要求见第8章。
c)生成核心配置基线包,将配置清单转化成为一种符合XML语法的嵌套式结构数据文件,以供自动化部署工具实施。核心配置基线包格式要求见第9章,自动部署及监测,通过搭建核心配置自动化部署平台,实现核心配置项的批量自动赋值和合规d)
性实时检测。具体技术要求见第10章。3
iiKacaQiaiKAca-
GB/T30278-2013
6核心配置基本要求
6.1操作系统核心配置要求
6.1.1概述
本标准依据GB/T22239一2008中7.1.3对第三级主机安全的要求,针对国内外主流操作系统,在身份鉴别、访间控制、安全审计、剩余信息保护、人侵防范和资源控制等方面提出核心配置基本要求。6.1.2身份鉴别
身份鉴别配置要求包括:
a)账户登录时,应启动身份验证机制,限制连续登录失败次数,连续多次登录失败后应锁定账户;b)应配置安全的口令长度、复杂度、有效期和加密强度,应禁止不设置口令;C)启动账户登录界面时,应禁止无关进程的启动和运行,防止鉴别信息被窃听。注:附录A给出了身份鉴别配置要求示例。6.1.3访问控制
访问控制配置要求包括:
应禁用匿名账户(Anonymous)、来宾账户(Guest)、产品支持账户(Support),限用管理员账户a
(Administrator),重命名管理员账户,限制善通用户的访间权限,禁止任何账户远程访间;应限制账户对文件、硬件、驱动、内存和进程等重要资源的访间权限;b)
应限制账户权限提升和授权访间等操作。6.1.4安全审计
安全审计配置要求包括:
应启用安全日志,记录账户的创建、更改、删除、启用、禁用和重命名等操作,记录账户登录和注a
销、开关机、配置变更等操作:b
应启用系统日志,记录对文件、文件夹,注册表和系统资源的访问操作。6.1.5剩余信息保护
剩余信息保护配置要求包括:
关闭系统时,应清除虚拟内存页面文件;a)
断开会话时,应清除临时文件夹:b)
应禁止剪贴板存储信息与远程计算机共享。6.1.6入侵防范
人侵防范配置要求包括:
应启用资源管理器数据执行保护(DEP)模式和Shell协议保护模式:a)
打开邮件的附件时,应启用杀毒软件进行扫描;b)
应启动屏幕保护和休眠功能,设置唤醒口令:d)
应开启系统定期备份功能;
应限制应用程序的下载和安装,保持操作系统补丁及时更新。6.1.7资源控制
资源控制配置要求包括:
GB/T30278—2013
a)应禁用信息共享、动态数据交换(DynamicDataExchange),互联网信息服务(InternetInformationServices),FTP和Telnet等网络连接、远程网络访问等服务,限制蓝牙等无线连接b)应禁止介质自动运行(Autorun):e)应关闭FTP、HTTP(超文本传输协议HypertextTransportProtocol),RPC(远程过程调用协议RemoteProcedureCallProtocol)UPNP(通用即插即用UniversalPlugandPlay),远程桌面服务、远程控制类软件服务端监听、木马软件等对应开放的端口:d)应禁止IPCC进程间通信InterProcessConmunication)管道连接,限制SYN(同步字符Syn-chronize)的传输次数和发送时间应启用磁盘加密系统等数据保密配置:对于三级以上政务计算机应配置TCM模块保护敏感e
数据。
6.2办公软件核心配置要求
依据GB/T222392008中7.1.4对第三级应用安全的要求,针对国内外主流办公软件提出如下核心配置要求:
)应禁止ActiveX控件的使用;
b)应禁用所有未经验证的加载项:e)应限用未数字签名的宏;
d)应限制在线自动更新升级、网上下载剪贴画和模板等资源,以及访问超级链接。6.3浏览器核心配置要求
6.3.1概述
依据GB/T22239一2008中7.1.4对第三级应用安全的要求,针对国内外主流浏览器,在浏览器安全选项,域安全管理和隐私保护等方面提出核心配置基本要求。6.3.2浏览器安全选项
览器安全选项配置要求包括:
a)应严格禁止运行java小程序脚本:b)应限制下载和安装未签名的ActiveX控件:e)应开启浏览器的保护模式。
6.3.3域安全管理
域安全管理配置要求包括:
8)访间以太网的安全限制应设为中或高;b)访问企业专网的安全限制可设为中:e
访问可信站点的安全限制可设为低:d)应限制访问受限站点,禁止从受限站点下载或保存文件。6.3.4隐私保护
隐私保护配置要求包括:
a)退出网页时,应删除Cookie文件、下载记录、访间网站历史记录和临时文件夹;b)应限制输人框自动关联功能
6.4邮件系统核心配置要求
依据GB/T222392008中7.1.4对第三级应用安全的要求,针对国内外主流邮件系统软件提出如5
iiKacaQiaiKAca-
GB/T30278—2013
下配置要求:
应配置安全的邮箱登录口令的长度和复杂度;a)
b)对本地存储的邮件应开启加密功能;发送邮件应使用数字签名和数字加密技术,接收邮件应对数字签名进行验证;d)
应开启加密协议收发邮件:
应禁止直接运行附件中存在安全隐患的文件类型:应禁止运行邮件中的超链接:
应启用垃圾邮件过滤功能。
5BIOS系统核心配置要求
依据GB/T222392008中7.1.3对第三级主机安全的要求,对BIOS系统提出如下配置要求:a)开机时应启动身份鉴别机制,并设置安全的口令长度和复杂度:应限制硬件资源使用,包括软驱、硬盘、内存、USB设备、网卡和CPU等b)
应启用硬盘写保护:
应限制使用定时开机、远程模式控制开机、键盘鼠标开机等开机模式:操作系统操作关机后,应立即断开计算机电源;应限制由外部设备,如U盘、光驱等引导启动计算机终端。6.6防恶意代码软件核心配置要求防恶意代码软件核心配置要求包括:应开启实时保护功能;
应及时升级防恶意代码软件至最新版本,开启自动更新病毒库功能;c)
应定期进行病毒、木马等恶意代码扫描,发现恶意代码立即隔离或删除。7核心配置清单
7.1概述
核心配置清单描述配置项的属性,包括配置项标识、配置项名称、配置项描述、配置项组别、安全级别、取值范围、配置项基值、赋值路径和检查规则。2配置项属性
7.2.1配置项标识
配置项标识是配置项的唯一编码,由三组字符构成,通过“”进行分隔,标识规则如图1所示。最高组位的字符使用CGDCC,代表政务终端核心配置:中间组位引用软件产品标识;最低组位使用4位数字代表配置项序号,例如“Window7口令长度”配置项,其标识为\CGDCC-win7-0011”。CGDCC-X×××-X×××
配置项序列号
软件产品标识
一政务终端核心配置
图1配置项标识规则
7.2.2配置项名称
描述配置项名称的字符串。
7.2.3配置项描述
GB/T30278-2013
从终端的安全风险、配置项的应对措施和潜在影响等三个方面对配置项进行解释说明。其中,安全风险主要描述配置项所对应的系统晚弱性;应对措施主要描述配置项推荐参数赋值:潜在影响主要描述配置生效后可能对终端系统造成的影响。7.2.4配置项组别
需对配置项进行分组时,描述配置项所属的组别。7.2.5安全级别
描述配置项对计算机终端安全性的影响程度,分为一般,重要和严重三个级别。7.2.6取值范围
措述配置项允许赋值的范围,可用开关、枚举和区间表示,7.2.7配置项基值
描述符合核心配置基本要求的配置项基值,当配置项安全级别为严重时,此配置项必须按照基值进行赋值。
7.2.8赋值路径
指述配置项的赋值路径,对手Windows的配置项,可以依据配置项的赋值路径,使用相应的配置工具进行赋值,例如,配置项“账户锁定时间”的赋值路径为“ComputerConfiguration\\WindowsSettingsSecuritySettingslAccountPolicies\\AccountLockoutPolicy”,通过组策略编辑器(GPEdit)工具,在该路径下可对“账户锁定时间”进行赋值,7.2.9:检查规则
描述检查配置项的实际值是否达到基值的判断规则,如大于配置项基值、小于配置项基值、等于配置项基值、大于或等于配置项基值、小于或等于配置项基值。8核心配置基线包
8.1概述
核心配置基线包是一种嵌套式结构的数据文件,采用XML格式对核心配置基线中各配置项的属性进行规范性标记,以实现核心配置部署及监测的自动化。核心配置基线包由格式版本标记、基线标记和产品标记三部分组成。其中,基线标记包括基线版本标记、配置组标记、配置项标记和检查标记。核心配置基线包格式结构如图2所示。7
-iiKacaQiaiKAca
GB/T30278-—2013
8.2主标记
格式版本标记
主体标记
核心配置基线包
格式版本
基线头标记
配置组标记
配置质标记
检查标记
产温标记
基线买
配置组
配置项
验查项
图2核心配置基线包格式结构
核心配置基线包用\CGDCC-Package作为主标记,其结构如表1所示。表1主标记
CGDCC-Formatlnfo
CGDCC-Baseline
CGDCCProduet
示例:
(CGDCC-Package)
格式版本信息
基线信息
产品信息
(CGDCC.Formatlnfo)/CGDCC-Formatlnfo)(CGDCC-Baseline).+/CGDCC-Baseline)(CGDCC-Beseline)..-/CGDCC-Baseline)(CGDCC-Product>..-/CGDCC-Product)(CGDCC-Produet).-(/CGDCC-Produet>8.3格式版本标记
解释说明
描述核心配置基线包格式的基本信息摘述核心配置基线的完成信息,可以描述多条基线摧述软件产品基本信息,可以描多个产品信息格式版本用\CGDCC-FormatInfo\作为标记,描述核心配置基线包格式版本的基本信息,其结构如8wwW.bzxz.Net
表2所示。
Version
Description
示例:
版本编号
概要介绍
(CGDCC-Formatinfo)
(Version Minor=\o\Major-\T\/)表2
格式版本标记
解释说明
核心配置基线包规则版本的唯一标识对版本规则进行要说明
《Deseription》此格式专用于核心配置基线包,版本为1.0,《/Description)基线标记
基线主标记
GB/T30278—2013
用\CGDCC-Baseline\作为基线主标记,描述核心配置基线的基本信息,其结构如表3所示。表3
RevisionNumber
Version
VersionCantrot
SettingGroup
ProductID
基缓名称
基线标识
基线修订版本次数
基线版本
基线状态
版本控制
配置组信息
检查信息
基线所属产品标识
基线标记
摘述核心配置基线名称
解释说明
描速核心配置基线唯一标识。此标识按照唯一标识(GUID)生成规则自动生成
撒述核心配置基线的够订版本号,并与ID一起可用来追潮基线的修订过程
播述所生成核心配置基线的版本包括可编辑状态和已发布状本两种描述核心配置基线版本相关信息措述核心配置基线所包含的每个策略组的基本信息,可包措多个基线组
摘述策略组所包含的核心配置项的检查信息,每个配置项都有一条相应的检查信息
摘递该核心配置基线所属的软件产品标识,用手基线适用性检查
(CGDCC-BaselineNamieCGDCC-Win7-v1.0°ID=\(0ff11dd2-2186-4670-939d-968347e81558))《RevisionNumber)o(/RevisionNumber)(VersionMinor\o\Major=\1\/)(Mode)Edit/Mode)
(VersionControl)....(/VersionControl)(SettingGroup)..(/SettingGroup)(Check)..../Check)
(ProductID)(1739795a-9a4f4032-b8db8834dba5aoea)-iKacadiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。