信息安全技术 政府联网计算机终端安全基本要求-编制说明

一、任务来源国办发〔2008〕17号《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》提出要在政府部门实行计算机配置管理;国办发〔2009〕28号《国务院办公厅关于印发〈政府信息系统安全检查办法〉的通知》将终端安全纳入安全检查范围，计算机终端安全逐步受到重视。自2009年,工业和信息化部开始组织政府机关办公终端安全配置研究，北京信息安全测评中心承担了该项工作。2012年底，基于前期研究和试点成果，由北京信息安全测评中心牵头，向全国信息安全标准化技术委员会申请并立项了国家标准《信息安全技术政府联网计算机安全配置指南》制定项目（计划编号20130345-T-469），该标准被列为2013年国家标准重点研制项目。该标准编制牵头单位为北京信息安全测评中心，国家计算机网络应急技术处理协调中心、中国科学院软件研究所、铁道部信息技术中心、黑龙江电子信息产品监督检验院（黑龙江省信息安全测评中心）、北京市石景山区经信委、北京朋创天地科技有限公司等单位参与了标准的起草。主要起草人为刘海峰、钱秀槟、王春佳、赵章界等。二、标准必要性和意义随着我国电子政务的不断推进，计算机在政府部门得到了广泛应用，为提高政府行政效率、提升管理水平发挥了重要作用。同时，政府联网计算机终端自身存在的漏洞和外来威胁成为电子政务的信息安全防护的薄弱环节，信息失泄密、病毒木马传播、网络瘫痪等信息安全事件层出不穷，影响了政府部门社会管理和公共服务职能的充分发挥。《国务院办公厅关于加强政府信息系统安全和保密管理工作的通知》（国办发〔2008〕17号）要求“实行计算机配置管理和安全审计，加快对办公用计算机和移动存储设备实行配置管理”；《国务院办公厅关于印发<政府信息系统安全检查办法>的通知》（国办发〔2009〕28号）要求检查终端计算机和移动存储设备安全防护情况；《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)“禁止办公用计算机安装使用与工作无关的软件”;《关于加强党政机关和涉密单位互联网接入安全管理工作的通知》（工信部联协〔2012〕187号）要求强化互联网接入终端管理。另外，GB/T29245-2012《信息安全技术政府部门信息安全管理基本要求》也提出明确的终端计算机信息安全防护管理要求，并要求作为信息安全检查的重要内容。本标准的制定，可以为政府部门开展办公用计算机终端安全管理和防护提供指导，也可以作为信息安全主管部门开展计算机终端信息安全保障工作的检查和考核提供依据。三、主要工作过程2009年4月，北京信息安全测评中心承接了工业和信息化部信息安全协调司任务，开展政府机关办公用计算机安全配置研究。2009年4～9月对国内外办公终端安全管理相关标准和规范进行了调研；2010年4月，编制形成《党政机关办公终端安全配置指南》。2010-2012年，根据标准提出部门意见、试点单位意见和专家意见，对标准进行过反复修改完善。其框架也经历了两级配置要求、三级配置要求、基线要求等变化过程，形成了基于基线思路的国家标准草案。2012年底，《信息安全技术政府联网计算机安全配置指南》标准在全国信息安全标准化技术委员会立项（计划编号20130345-T-469）。2013年4月18日、5月23日先后组织了两次专家会，专家均提出标准名称与内容定位不匹配的问题,并建议标准内容要围绕需重点解决的问题，建议梳理与国家信息中心牵头制定的国家标准《政务计算机终端核心配置规范》的关系，建议参考ISO/IEC27002、NISTSP800-53等标准的结构对标准框架进行调整。随后，标准编制组根据专家意见对标准草案框架进行了调整，并明确了本标准定位在GB/T29245-2012《信息安全技术政府部门信息安全管理基本要求》的下位，《政务计算机终端核心配置规范》的上位。2013年11月-2014年1月，标准草案通过了全国信息安全标准化委员会WG5工作组的专家审查。根据专家审查意见，将标准改名为《信息安全技术政府联网计算机终端安全基本要求》。工作组专家审查会后，征求了工信部、海关总署、国家税务总局、国家烟草专卖局、国务院应急办等部委使用部门专家的意见。标准编制组根据专家意见对标准进行了进一步的修改，于12月底通过WG5工作组成员单位投票，随后根据成员单位意见完善后形成征求意见稿。四、制定标准的原则和依据，与现行法律、法规、标准的关系目前没有专门针对办公计算机终端安全管理标准的国家标准。本标准主要针对政务办公计算机终端提出安全保护要求，内容基于国办发〔2008〕17号、国办发〔2009〕28号、国发〔2012〕23号、工信部联协〔2012〕187号等文件要求，以及GB/T29245-2012《信息安全技术政府部门信息安全管理基本要求》中终端计算机防护管理等部分的要求，并参考了GB/T22081-2008《信息技术安全技术信息安全管理体系要求》的框架和GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》中主机安全要求部分的内容和NISTSP800-68《面向IT专家的微软WindowsXP系统安全指南：NIST安全配置列表》中基于WindowsXP系统的安全配置要求相关内容等。为使标准能够指导各级政府机构对办公计算机终端的安全管理工作，提高标准的有效性和可操作性，标准制定主要遵循了如下几个原则：1）符合国家有关政策法规要求原则；2)与已颁布实施的相关标准相协调原则；3)适度考虑目前处于发展成熟过程中的技术，保持一定前瞻性原则。五、主要条款的说明，主要技术指标、参数、实验验证的论述本标准根据政府联网计算机终端面临的重要安全问题和威胁，按照“集约管理、综合防护、适度保护”原则，从组织机构、人员管理、资产管理、软件管理、接入安全、运行安全等方面提出了对计算机终端的安全管理和技术防护的基本要求。并以附录的形式提出增强要求，对于安全防护要求高的计算机终端，应从BIOS配置、软件管理、网络接入、运行维护等方面提高要求或增加防护措施。标准结构如下图：2010年-2012年，北京信息安全测评中心编制形成的《政府机关办公用计算机安全配置指南》先后在北京市东城区建国门街道、北京市石景山区卫生局、北京市无线电管理局、北京市石景山区政府、安徽省马鞍山市、黑龙江省大庆市、黑龙江省商务厅、广西南宁市数字建设办公室、贵州省贵阳市等政务单位进行试点应用，试点明显的效果是提升了对计算机终端软件安装、上网行为、移动存储接入等的控制力度，提升了信息安全管理部门的管理效率，提高了计算机终端的安全防护能力，受到工信部以及北京市经信委相关领导认同。在石景山区政府，实现了该区政府办公大楼集中区域内联网计算机的集中管理，共覆盖了35个党政机关单位的800多台联网计算机，实现了对集中区域内联网计算机的准入控制、安全防护、补丁更新和行为监测等的集中统一管理。在安徽省马鞍山市试点，实现了客户端软件集中部署，数据加密、安全审计、安全桌面配置、系统补丁统一安装，禁止非法和不安全计算机接入网路，试点后病毒木马事件发生率下降了85%。在广西省南宁市，通过试点，发现的病毒、木马感染计算机数量下降约50%，计算机终端防病毒、防瘫痪能力明显提高。六、采用国际标准和国外先进标准的，说明采标程度，以及与国内外同类标准水平的对比情况据起草工作组查阅和掌握资料，目前我国上没有关于办公计算机终端安全的国家法规和标准。七、作为推荐性标准或者强制性标准的建议及其理由本标准以更好的指导政府联网计算机终端安全管理为目的，不涉及到人和财产的安全，建议将本标准作为推荐性标准发布实施。八、贯彻标准的措施建议为加强政府联网计算机终端安全管理工作，结合我国情况，提出以下贯彻本标准的建议：1）主管部门通过举办培训班、讲座形式进行标准的宣贯帮助各级政府机构的