中央企业商业秘密安全保护技术指引2015版

中央企业商业秘密安全保护技术指引国资委保密委员会2015年4月目录TOC\o"1-4"\h\z\u引言 1中央企业商业秘密安全保护技术指引 21范围 22规范性引用文件 23术语和定义 23.1商业秘密commercialsecret 23.2信息系统informationsystem 23.3商业秘密信息系统commercialsecretinformationsystem 23.4商业秘密终端commercialterminal 33.5安全域securitydomain 33.6密级标识classificationlabel 33.7存储介质storagemedium 34商业秘密安全保护概述 34.1商业秘密的保护范围 34.2指引实施的目标 34.3指引实施的原则 34.3.1分级分域管理原则 44.3.2全生命周期管理原则 44.3.3整体规划和分步实施原则 44.4商业秘密安全保护的基本要求 44.4.1定密与密级标识 44.4.2商业秘密数据分类保护 44.4.3商业秘密数据分级安全保护 44.4.4商业秘密数据分域安全保护 54.4.5安全保密产品选择 55商业秘密全生命周期数据安全保护 55.1商业秘密全生命周期阶段划分 55.1.1商业秘密形成阶段 55.1.2商业秘密流转与应用阶段 55.1.3商业秘密存储阶段 55.1.4商业秘密脱密及销毁阶段 65.2非结构化商业秘密数据安全保护 65.2.1形成阶段数据安全 65.2.2流转与应用阶段数据安全 65.2.3存储阶段数据安全 85.2.4脱密及销毁阶段数据安全 95.3结构化商业秘密数据安全保护 96商业秘密信息系统安全保护 106.1物理安全 106.2网络安全 116.2.1网络边界安全防护 116.2.2网络区域防护 116.3服务器与应用安全 126.3.1身份鉴别 126.3.2权限管理 136.3.3安全防护 136.3.4安全审计 146.3.5资源控制 146.3.6备份与恢复 146.4终端安全 146.4.1终端准入控制 146.4.2终端安全管理 156.4.3运行安全管理 166.5移动存储介质安全 176.5.1介质标记 176.5.2介质使用 176.5.3介质审计 176.6打印和刻录安全 176.6.1打印控制 176.6.2刻录控制 187商业秘密安全保护监测与审计 187.1商业秘密安全保护监测 187.2商业秘密安全保护审计 197.2.1审计范围 197.2.2安全审计记录内容 197.2.3审计记录的存储 197.2.4审计记录的查阅 207.2.5审计记录的保护 208管理保障 208.1管理制度 208.2职责分工 208.3人员管理 21引言中央企业商业秘密是中央企业的重要无形资产，是企业的核心竞争力所在，因此,加强商业秘密保护是有效维护中央企业自身权益，确保国有资产保值增值的必要前提和重要途径。2010年3月25日，国务院国有资产监督管理委员会公布施行《中央企业商业秘密保护暂行规定》（以下简称《暂行规定》），明确规定中央企业商业秘密保护的机构、职责和措施，要求企业建立法定代表人负责制。随着信息化时代的来临，中央企业商业秘密主要存在于信息系统中，因此企业的生产经营极度依赖于信息系统的安全，一旦信息系统内的商业秘密保护不当，导致企业的经营信息、技术信息等商业秘密泄密或被窃取，将给企业生产经营带来重大风险与隐患，因此，为了提高中央企业商业秘密的安全防护水平，须重点保护承载有商业秘密的信息系统安全。2012年5月14日，国资委公布施行第一版《中央企业商业秘密信息系统安全技术指引》（以下简称《指引》），提出了“突出重点，分步实施”的原则，要求各中央企业对集团层面的承载有商业秘密的信息系统在1-3年内部署完成有关安全保密措施，并结合本单位实际，利用3-5年的时间，在本企业系统内分步部署完成相关安全保密措施。根据当前信息安全形势的发展及数据安全技术的发展进步，结合第一、二批部分试点单位建设中的经验，对《指引》进行修订形成本指引，修订版在原有基础上，结合商业秘密的形成、流转、存储、脱密以及销毁等阶段，着重强调了商业秘密数据全生命周期安全保护理念，提出了针对不同阶段数据的安全保护标准，突出了商业秘密自身的安全保护，并将《指引》中的技术要求与现有的国家有关标准体系进行了有效衔接。中央企业在开展信息系统中的商业秘密保护时，应本着“讲求效益、遵循标准、突出重点、便于操作”的建设原则，以“保数据、保核心、保安全”为目标，按照本指引有关内容，切实加强各类信息系统内商业秘密安全保护水平，最终实现“进不来、拿不走、打不开、赖不掉”的商业秘密安全保护目标。中央企业应根据本指引，结合实际，对承载于各类信息系统中的商业秘密安全防护体系进行建设或完善。本指引可与国家其他相关标准结合使用。本指引由国务院国资委保密委员会制定并负责解释。中央企业商业秘密安全保护技术指引范围本指引规定了中央企业商业秘密的等级划分准则，对商业秘密全生命周期进行了阶段划分，并对不同阶段中商业秘密的保护提出了具体的安全防护措施。本指引适用于中央企业商业秘密保护的安全建设和管理，中央企业中所有信息系统中的商业秘密的安全保护须符合本指引。规范性引用文件《中央企业商业秘密保护暂行规定》（国资保密﹝2010﹞41号）《中央企业商业秘密信息系统安全技术指引》（国资保密〔2012〕003号）《信息系统安全等级保护基本要求》GB/T22239—2008《信息系统安全等级保护实施指南》GB/T25058—2010《涉及国家秘密的信息系统分级保护技术要求》BMB17-2006术语和定义商业秘密commercialsecret是指不为公众所知悉、具有实用性、能为企业带来经济利益，并且需要采取保密措施进行安全保护的经营信息和技术信息。信息系统informationsystem信息系统是由计算机硬件、网络和通讯设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息流为目的的人机一体化系统。商业秘密信息系统commercialsecretinformationsystem指处理商业秘密的信息系统。商业秘密终端commercialterminal是指处理涉及商业秘密但不涉及国家秘密的计算机终端设备，以下简称终端。安全域securitydomain安全域是由一组具有相同安全保护需求、并相互信任的信息系统组成的逻辑区域。密级标识classificationlabel用于标明商业秘密等级的数字化信息。存储介质storagemedium存储介质是指存储数据的载体,如光盘、DVD、硬盘、U盘、SD卡、纸质等。商业秘密安全保护概述商业秘密的保护范围依据《暂行规定》，商业秘密的保护范围主要包括：战略规划、管理方法、商业模式、改制上市、并购重组、产权交易、财务信息、投融资决策、产购销策略、资源储备、客户信息、招投标事项等经营信息；设计、程序、产品配方、制作工艺、制作方法、技术诀窍等技术信息。各中央企业需根据《暂行规定》的要求，并结合企业实际情况，明确本企业商业秘密的具体范围。具体范围应包括商业秘密事项、密级、保密期限、责任部门等。中央企业商业秘密的密级，根据信息泄露会使企业利益遭受损害的程度，确定为普通商业秘密、核心商业秘密两级，密级标注统一为“普通商密”、“核心商密”，并根据不同密级实行不同的保护要求。本指引中未特别说明之处均指对“普通商密”的保护要求，对“普通商密”的保护要求为一般性安全防护等级的技术要求；对“核心商密”的保护要求为高安全防护等级的技术要求，是在“普通商密”保护要求的基础之上进行针对性加强的保护要求。指引实施的目标通过全面实施本技术指引，对中央企业商业秘密保护工作进行规范和指导，促进中央企业加强商业秘密安全技术保护建设，实现中央企业对商业秘密保护能力的动态管理，从而提升中央企业的商业秘密防护水平。指引实施的原则分级分域管理原则本指引针对普通商密和核心商密两个级别的商业秘密数据采用不同的技术要求。根据信息系统网络平台和业务功能的不同，应明确划分商业秘密信息系统的安全域，对于存在非商密、普通商密和核心商密的安全域应按照高级别安全域进行标识。安全域之间应有明确清晰的边界。全生命周期管理原则商业秘密数据应从全生命周期角度进行全程全域的安全保护，做到事前防范、事中控制和事后追溯相结合，以有效保护商业秘密全生命周期的安全，避免商业秘密外泄，给企业带来重大损失。整体规划和分步实施原则商业秘密的安全保护建设应进行整体规划和顶层设计。新建信息系统时，应同步规划、同步设计、同步建设相应的商业秘密安全保护措施；已建的信息系统，根据企业的实际情况，可通过分步实施的途径逐步实施。商业秘密安全保护的基本要求定密与密级标识企业应根据自身商业秘密数据安全管理的实际情况，建立商业秘密定密管理规范和定密流程，确定责任人、审核人、承办人，并授予其相应定密权限，确定单位的定密依据、定密细目等。信息系统中的商业秘密应根据定密结果设定相应的密级标识，密级标注统一为“核心商密”、“普通商密”。商业秘密数据分类保护商业秘密数据分为结构化商密数据和非结构化商密数据两个类别。非结构化商密数据应综合运用身份鉴别、数据加密、细粒度访问控制以及安全审计等多种技术进行全程全域的安全保护，以确保商业秘密数据全生命周期的安全；结构化商密数据应综合运用身份鉴别、细粒度访问控制以及安全审计等多种技术进行全程全域的安全保护，结构化商密数据在导出时应采用加密等技术确保使用过程中的安全。商业秘密数据分级安全保护商业秘密分为普通商密和核心商密两个密级，商业秘密数据的安全保护应根据自身密级遵循相应的安全防护等级进行防护。即普通商密数据遵循普通商密安全等级进行防护，核心商密数据遵循核心商密安全等级进行防护。同一信息系统中，存在不同密级的商业秘密数据需要保护时，须遵循核心商密安全防护等级进行防护。商业秘密数据分域安全保护商业秘密信息系统应明确划分安全域进行安全防护，安全域的安全防护须遵循域中最高密级的商业秘密数据的安全防护等级进行防护。不同安全域之间应划分明确的边界，安全域与安全域之间的所有数据通信应安全可控。对于不同等级的安全域之间的通信，应采取访问控制措施禁止高密级信息由高等级安全域流向低等级安全域。处理商业秘密数据的安全域应采取适当的隔离或密码保护等措施才能接入国际互联网。既处理商密数据又处理非商密数据的同一终端，应综合采用加密等多种技术手段确保终端上所承载的商密数据的安全。安全保密产品选择商业秘密信息系统中使用的安全保密产品原则上应选用国产产品。所选用的安全保密产品应通过国家相关主管部门授权的测评机构的检测。商业秘密全生命周期数据安全保护商业秘密全生命周期阶段划分商业秘密形成阶段商业秘密形成阶段主要分为非结构化商密数据形成阶段和结构化商密数据形成阶段。结构化商密数据形成阶段为录入商密数据并保存到数据库的阶段；非结构化商密数据形成阶段主要包括文件的起草、定密、审核及签发等。商业秘密流转与应用阶段商业秘密流转与应用阶段主要分为结构化商密数据流转与应用阶段与非结构化商密数据流转与应用阶段。结构化商密数据流转与应用阶段为数据库表单数据的存取和利用；非结构化商密数据流转与应用阶段包括商密数据内部网络应用与外部网络传输阶段。商业秘密存储阶段商业秘密存储阶段主要包括终端存储、服务器存储以及非信息系统存储。商业秘密脱密及销毁阶段商业秘密脱密及销毁阶段主要包括信息系统中处理商密数据的设备、存储介质以及商密数据本身等进行脱密或销毁。非结构化商业秘密数据安全保护形成阶段数据安全本阶段主要以密级标识的设定与管理为核心，在商业秘密安全保护过程中，定密是商业秘密保护的首要环节，同时也是为商业秘密在信息系统中的保护提供依据。应采取统一定密、统一变更等措施管理密级标识；应对服务器、应用系统、数据库中的商密数据及载体等设置并管理密级标识；密级标识应与商密数据主体不可分离，其自身不可篡改；密级标识应由权属（单位规范简称或者标识等）、密级、保密期限三部分组成；商业秘密的密级、保密期限变更后，应在原标明位置的附近作出新标志，原标志以明显方式废除；应对终端上创建的商密数据及其使用过程中产生的数据采取加密等技术进行保护；应对商业秘密的知悉范围和访问权限进行细粒度的控制；应对商密数据在形成阶段的操作行为进行安全审计,并形成安全审计统计分析报告；核心商密保护还应符合：核心商业秘密发生密级变更须经过流程审批并可追溯。流转与应用阶段数据安全本阶段主要以商密数据安全管控为核心，通过加强数据管控，为商业秘密在不同流转与应用阶段的安全保护提供强有力的保障。流转过程控制商密数据在非内部网络传输时，应采取商用密码加密等技术措施进行保护，防止传输的信息被窃取；应采取数字签名、时间戳等技术防止参与通信的双方或一方对自己行为以及所做的操作（如文件创建、信息发送、信息接收以及批示）进行部分或全部的否认；运行商业秘密信息系统的网络中，未经授权不得使用带有网络嗅探功能（包括抓包、监听、数据包回放分析等）的工具或设备；应通过黑/白名单等方式管理电子邮件的收发，并对邮件的相关信息进行审计；应通过黑/白名单等方式管理网页访问及FTP、P2P、即时通信等软件的使用；核心商密保护还应符合：禁止租用第三方服务商提供的网络应用服务传输核心商密数据，包括外部邮件服务、外部基于云计算技术的服务、即时通信服务等；使用无线网络传输包含核心商密数据时，须对传输中的数据采用动态加密技术手段；核心商密数据如需通过内部网络传输时，须采用加密的VPN或其他技术手段，防止数据被截获后被解密或被破解；应能够检测到核心商密数据在传输过程中完整性，并采取必要的恢复措施。应用控制应根据企业自身实际情况对不同类别的商密数据设置相应权限。如：财务数据，只允许财务部具有编辑权限；董事长、总经理和相关人员具有阅读权限；其他人员没有阅读或编辑的权限；应对商密数据的应用操作行为进行审计，对违规操作行为进行报警，审计的记录至少保存半年；对商密数据的管理和控制，须以不影响员工正常的编辑阅读、数据处理、数据交换、出差和在外办公为前提，并且不受到网络连通与否状况的影响；核心商密保护还应符合：在终端上使用核心商密数据时，须在终端屏幕上自动显示水印，水印位置、格式、透明度等可自定义，以防止通过拍照方式泄露商业秘密；应用开发人员原则上不准直接访问核心商密数据，确有需要时须对其进行控制和管理，开发任务完成后应对相关的核心商密数据进行及时回收或转移。外发过程控制应对商业秘密数据的外发行为进行审批、授权等控制；应对商密数据知悉范围和权限进行控制，限制阅读人员、阅读次数以及阅读期限，并且不受网络连通情况的影响；应使用数据加密等安全技术，对外发的商业秘密数据内容进行安全保护；应对商密数据的外发行为进行审计，对违规操作行为进行报警，审计的记录至少保存半年；核心商密保护还应符合：应对外发核心商密数据的设备进行保密检查；核心商密数据的外发只能在指定地点及设备进行集中操作，对外发商密数据做集中式留档便于审计；核心商密数据必须由两个及以上相关人员审批通过后方可外发，外发后未经相关人员授权禁止脱离安全环境。存储阶段数据安全本阶段主要以商密数据保密为核心，通过数据保密等相关技术，确保商业秘密不被泄露或窃取。终端存储保护应采用商用密码加密等技术措施，对终端上的商密数据进行保护，并对加密数据做读写访问控制，避免保留在终端上商密数据被窃取；应启动访问控制措施，保护终端上的商业秘密数据不被非授权访问；存储在终端的商业秘密数据导出时须履行审批，并在系统中可审计；对采用虚拟化技术的终端应进行相关技术防护，防止商业秘密数据泄露；存放有商密数据的终端使用移动存储介质时应进行严格的授权访问控制；对下载到移动终端设备存储区域的商密数据，应采取商用密码加密等技术措施进行安全保护，防止存储的信息被窃取；核心商密保护还应符合：终端上禁止大量存放核心商密数据，对核心商密数据应实现集中加密存储，实现细粒度的使用权限控制，对使用情况进行统计分析，实现对企图非法访问的主动屏蔽和及时告警；应可实现对存储在移动终端设备上的核心商密数据进行远程销毁。服务器存储保护商密数据在服务器中存储应采取商用密码加密等技术措施进行机密性保护，防止存储的商密数据被窃取；商密数据在存储过程中应采取完整性监测措施，防止存储的信息被篡改、被破坏，并采取必要的恢复措施；对于保存在服务器上的商密数据，应启动访问+++6对于因故障需要到外部机构维修的服务器存储介质，应通过数据擦除工具/设备擦除介质中的数据，并确保被擦除的数据无法通过常规数据恢复工具得到恢复，再送出维修；服务器存储介质的维修、报废和销毁应集中由专人统一处理，并进行登记。脱密及销毁阶段数据安全本阶段主要以数据安全脱密及销毁为核心,确保商密数据在超出有效期后得到及时处理。商密数据的脱密须经审批后执行解密，审批过程遵循严格的审批流程和制度约定，通过相关技术对审批行为以及脱密的商密数据进行审计，并对审计记录进行集中管理；商密数据销毁后应该对处理商密数据的载体进行数据擦除、盘体销毁；应对超过使用权限的外发商业秘密数据，执行自动销毁，以防超出知悉范围人员越权查阅商密数据；核心商密保护还应符合：对处理核心商密的载体应采取物理销毁的方式。结构化商业秘密数据安全保护应确保结构化商密数据访问者身份的真实性、合法性；应提供访问控制功能，依据安全策略控制用户对结构化商密数据的访问；应授予不同帐户为完成各自承担任务所需的最小权限，并在它们之间形成相互制约的关系；应提供覆盖到每个用户的安全审计功能，对结构化商密数据操作的重要安全事件进行审计，对违规操作行为及时告警；应提供覆盖到每个系统运维人员的安全审计功能，对结构化商密数据维护的重要安全事件进行审计，对违规运维行为及时告警；应用系统与数据库中商业秘密的导出，应采取商用密码加密等技术进行保护，对数据库的直接访问应能防止通过拷贝、截屏、录屏等方式造成的泄密；核心商密保护还应符合：应能够检测到结构化核心商密数据在存储过程中完整性受到破坏，并在检测到完整性错误时采取必要的恢复措施；应通过商用密码等技术保证结构化商密数据传输过程中的完整性和机密性；应通过商用密码加密等技术保证结构化数据的存储安全；应通过商用密码等技术保证结构化核心商用数据的使用安全；应保证结构化核心商用数据所在的存储空间被释放或重新分配给其他用户前得到完全清除。商业秘密信息系统安全保护物理安全应满足GB9361-2011中B类安全机房场地选择要求；应满足GB50174，GB/T2887-2000的要求，并在防火、防水、温湿度、防雷、防静电等方面达到GB9361-2011中B类安全机房建设要求；机房或数据中心的所有出入口，应采取电子门禁系统或者专人值守的方式对进出的人员进行审核和登记，所有对机房进行物理访问的人员须留有审计记录。应安装视频监控系统对机房的关键通道进行不间断的监控；非授权人员出入机房时须由机房值班人员陪同。网络安全网络边界安全防护应根据安全域划分情况，明确需进行安全保密防护的边界；在明确的安全域边界实施有效的访问控制策略和机制；应根据信息安全对抗技术的发展，在系统或安全域边界的关键点采用严格的安全防护机制，如严格的登录/访问控制、信息过滤、边界完整性检查等；应对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；应对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断；核心商密保护还应符合：网络边界处应具备入侵检测能力；应在网络边界处对恶意代码进行检测和清除。网络区域防护根据业务功能的不同，将处理商业秘密的应用系统划分到一个或多个安全区域，安全区域间需设置访问控制策略；处理商业秘密的安全域与其他安全域之间的边界应划分明确，安全域与安全域之间的所有数据通信都应安全可控：对于不同等级的安全域间通信，应禁止高密级信息由高等级安全域流向低等级安全域；同一网络区域办公计算机应通过统一出口连接外部网络，对办公计算机未经授权外联行为进行监测和处置；应通过网络区域的划分，保证操作商业秘密的业务终端与产生商业秘密的应用服务器之间建立安全的访问路径；核心商密保护还应符合：重要网络区域应采取技术手段防止地址欺骗。服务器与应用安全身份鉴别身份鉴别策略应制定明确的商密用户的身份鉴别策略；应制定能够确保身份鉴别策略正确实施的规章制度。实体鉴别应对登录涉及处理商密数据的操作系统、数据库系统和应用系统的用户进行身份鉴别；应根据安全策略设置延时处理或超时锁定；应定期对用户账号进行清查，及时禁用或删除混用账号、测试账号、临时账号等无关账号，离职人员的账号要及时禁用；应为系统的不同用户分配不同的用户名，确保用户名具有唯一性；同一用户登录不同处理商密数据的业务系统应采用不同口令，确保口令唯一性；口令账号应启用严格的口令策略，口令长度至少8位以上，采用大小写英文字母、数字及特殊字符的组合；应定期更换口令，更换周期不得长于一个月；存储口令的文件应采取商用密码加密措施存储、传播，并保证其安全；核心商密保护还应符合：处理核心商业秘密的服务器和应用系统应采用数字证书与口令两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。重鉴别用户身份鉴别成功后，当其空闲操作的时间超过规定值（通常为10分钟以内）后，在该用户需要执行前操作前，应对该用户重新进行身份鉴别。鉴别失败当用户身份鉴别尝试失败次数超过五次后，应采取以下措施：对于本地登录，应进行登录锁定，同时形成审计事件并告警；对于远程登录（域登录、网络数据库登录等），应对该用户标识进行锁定，并且只能由安全保密管理员恢复或重建该账号，同时形成审计信息并告警；对于应用程序，禁止使用该程序或延长一定时间后再允许尝试，同时形成审计事件并告警。权限管理应启用访问控制功能，依据安全策略控制系统用户对资源的访问；应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；数据库账号的权限应根据用户的角色分配，仅授予用户所需的最小权限；数据库账号应定期审核，对现有账号的状态、权限分配进行审查并及时清除无效账号，至少三个月审核一次；业务系统账号的权限应根据用户的角色分配，仅授予用户所需的最小权限；核心商密保护还应符合：数据库系统开设账号须经主管部门审批并留档；处理核心商密数据的业务系统开设账号须经主管部门审批，并留档。安全防护应对商业秘密信息系统、数据库和应用系统安装补丁；应对商业秘密信息系统安装防恶意代码软件，并及时更新软件版本和恶意代码库；核心商密保护还应符合：与核心商密相关的服务器，应采用白名单方式管理服务器上运行的软件；与核心商密相关的系统和设备，禁止通过互联网在线安装、升级软件；应能检测对重要系统进行入侵的行为，记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警；应保证操作系统和数据库系统用户鉴别信息所在的存储空间，被释放或再分配给其他用户前得到完全消除，无论信息存放在硬盘或内存中；应确保系统内的文件、目录和数据库记录等资源所在的存储空间，被释放或重新分配给其他用户前得到完全消除。安全审计须对账户管理、权限分配等重要的操作行为和事件进行审计；审计对象包括本地的操作行为和远程的操作行为；核心商密保护还应符合：应保护审计记录，避免受到未预期的删除、修改或覆盖等。资源控制应根据安全策略设置登录终端操作的延时处理或超时锁定；应对重要服务器及应用进行实时监视，包括监视服务器的CPU、硬盘、内存、网络等资源的使用情况；应限制单个用户对系统资源的最大或最小使用限度；应对系统的服务水平降低到预先规定的最小值进行检测和报警。备份与恢复应定期对服务器及应用系统进行备份，防止系统宕机、数据篡改、访问中断、网络被攻击时，给系统造成损失；应有经过完整测试和演练的服务器系统应急恢复预案，在系统恢复过程中要保障商密数据的安全。终端安全终端准入控制应在涉及商业秘密的网络部署并启用准入控制功能，对准入控制进行集中管理；应能自动发现未通过准入控制验证进入内部网络的终端及设备，并掌握其接入时间、网络端口、IP/MAC地址信息；应通过口令、证书、USB-Key、网卡信息、硬件特征等方式，或使用RADIUS实现对接入网络中的设备的身份进行确认，准确定位出接入设备的位置，并对其进行访问控制；应对接入设备的安全违规情况进行检查，包括防病毒策略的违规，账户口令的违规，系统补丁的违规等；应实现对接入网络中的外部人员进行管理，控制外部人员对内部资源访问，包括阻断、限制、临时允许其对特定资源的访问以及访问时长；应根据接入设备的身份和安全违规情况，对该设备可访问的域或者指定的资源进行阻断、允许或限制访问；应对接入设备的接入信息进行审计和集中处理，并实现对接入信息进行长时间保存；应实现不同终端设备（包括Windows系统、Linux系统、IP电话、网络打印机、平板电脑、智能终端等）在不同接入环境下的网络准入控制，包括HUB、无线、VPN、LAN、WAN等网络接入方式；核心商密保护还应符合：针对处理核心商密的终端应实行端口绑定策略，实现终端只能通过限定的交换机端口接入网络；针对处理核心商密的终端准入身份验证应与PKI/CA进行集成，其认证过程无需用户干预；应能自动校验证书的合法性，自动判断不合法的吊销证书、过期证书、未知证书、其他软证书等，禁止使用不合法证书验证的用户接入网络；使用吊销证书、过期证书、未知证书、其他软证书等不合法的证书进行认证无法通过认证时，终端能够自动弹出信息框提示用户认证失败原因。终端安全管理应管理Windows密码权限、系统口令强度、BIOS口令强度，包括复杂性、长度、更新周期等，除BIOS口令外应实现集中管理；应集中监控Windows终端的本地安全策略及对注册表项、键的各类操作，同时对于一些重要或敏感的注册表项、键值具有保护功能；应安装防病毒软件，并确保实时在线并及时更新。应检查终端是否含有禁止安装使用的软件；应使用相关安全技术加强智能终端、平板电脑等的安全管理；应自动检测联网终端已安装和未安装补丁，针对未安装补丁终端能够自动分发并安装，根据补丁的重要性强制安装补丁和选择性安装补丁；可采用终端虚拟化技术，如云终端实现方式，提高商业秘密安全保护水平；对虚拟化终端的安全管理也应达到上述技术要求.核心商密保护还应符合：对于涉及核心商密的终端，缺省应禁用所有外设端口，只有经过审核才允许终端开启外设指定端口；对于涉及核心商密的终端，在离开网络环境的情况下，要自行关闭终端上所有外设端口；应管理终端网络环境，主要包括IP/MAC地址管理，终端端口的管理；对下载的补丁首先进行完整性和安全性测试，再进行大范围分发；与核心商密相关的终端，禁止通过互联网在线安装或升级软件。运行安全管理应能够采集终端设置了哪些共享目录，应能够统一关闭终端的默认共享，应能够针对指定终端关闭特定的共享目录；应对终端进行统一的防火墙管理，应能够对终端的IP访问、端口访问、协议访问等进行限制；应对终端的上网行为进行统一管理，禁止通过非指定的网关边界上网；应对终端操作系统账户的使用和变化情况进行审计，记录的日志信息至少包括系统用户和用户组的添加、删除、修改，用户权限的修改，用户状态（启用和停用）的修改等；核心商密保护还应符合：应对终端安装的软件情况进行统计和监控，自动统计终端安装的各类软件，通过黑白软件名单的方式对应用软件进行管控；应对涉及核心商密的终端流量进行管理，自动发现流量异常的终端，并能控制终端流量；应能收集系统的运行日志，并进行集中审计。移动存储介质安全介质标记应对存储商业秘密的移动存储介质（U盘、Flash卡、刻录光盘等）进行标记、注册、审核；未经标记、注册、审核过的移动存储介质，接入服务器和终端后无法使用或只能导入数据而无法导出数据；核心商密保护还应符合：应对存储核心商密的移动存储介质在外观上进行标记。介质使用存储商密数据的移动存储介质应通过口令、指纹、证书等方式进行身份鉴别，并在外部或非商业秘密的终端上无法使用； 应对移动存储介质的使用进行权限控制，可按照终端、用户、部门、安全级别等进行权限控制；核心商密保护还应符合：包含核心商密的数据保存到移动存介质中时，须加密保存；移动存储设备中保存的核心商密数据在使用完毕后须进行安全清除。介质审计应对移动存储介质的接入行为进行审计，包括接入时间、接入的终端等信息；应对移动存储介质的使用行为进行审计，审计内容应包括访问主体、被访问客体、访问方式、访问结果、日期及时间、访问所在的服务器或终端的主机名、IP地址、MAC地址、用户等信息；应对移动存储介质的使用行为进行审计，审计传输的数据内容。打印和刻录安全打印控制应对商业秘密文档的打印行为进行授权控制；应对商业秘密文档的打印人、打印时间、打印文件名等进行记录和审计；商业秘密文档的打印文件应显示包含使用者相关信息的背景水印；核心商密保护还应符合：核心商密文档的打印需经过审批授权，并