GBT 30278-2013 信息安全技术 政务计算机终端核心配置规范

GBT 30278-2013 信息安全技术 政务计算机终端核心配置规范 本标准按照GB/T 1.1-2009给出的规则起草，本标准由全国信息安全标准化技术委员会（SAC/TC 260）提出并归口。 范围 本标准规定了改务计算机终端核心配置的基本概念和要求，核心配置的自动化实现方法，规范了核心配置实施流程。 本标准适用于政务部门开展计算机终端的核心配置工作，非密我务计算机终端安全配置工作应参照国家保密局相关保密规定和标准执行 2 规范性引用文件 下列文件对于本文件的应用是必不可少的，凡是注日期的引用文件，仅注日期的取本适用于本文件。凡是不注日期的引用文件，其最新版本《包括所有的修改单》适用于本文件GB/T 22239-2008 信息系统安全等级保护基本要求术语和定义 下列术语和定义通用于本文件。 3.1政务部门 government department从事涉及政府性事务工作的国家机关、企事业单位和大型社会团体等机构。 3.2核心配置項（配置項）core configuration item计算机操作系统、办公软件、浏览器.BIOS系统和防思意代码软件等基础软件中影响计算机安全的关键参数可选项 注：核心配置项类型包括开关项，枚举项、区制项和复合项，可以鲸务安全要求对其进行献值 3.3核心配置 core configuration对核心配置项进行参数设置的过程。 注：通过核心配置限制成禁止存在安全勤要成漏制的动能，启用或加强安全保护功能，末增遇计算机抵枕安全风险的能力。 3.4核心配置项基值 core configeration item base value按照核心配置基本要求对配置项的参数设置。 3.5核心配置蒸线 core configuration baseline能够满足计算机安全基本要求的一组核心配置项基值构成的集合 3.6核心配置清单 core configuratien list由核心配置项构成的一种列表，是对核心配置项属性的一种形式描述。 缩略语 下列缩略语适用于本文件。 BIOS：基本输入输出系统（Basic Input Output System） CGDCC；致务计算机终端核心配置（Chinese Government Desktop Core Configuration） FTP：文件传输协议（File Transfer Protocol） GUID：全球唯一标识符（Globally Unique Identifier） TCM；可信密码模块（Trusted Cryptography Module WMI：桌面管理规范（Windows Management Instrumentation） XML：可扩展置标语言（Extensible Markup Language） 5概述 5.1核心配置对象 本标准针对应用于政务部门的联网计算机终端提出核心配置要求，包括连接到互联网、政务专网 （政务内网、政务外网）的桌面计算机、膝上型计算机和瘦客户机等。 5.2核心配置范围 核心配置的范围包括如下方面： a）操作系统，如Windows系列、国外Linux和国产Linux等b）办公软件，如国外Office软件和国产WPS 软件等；c）浏览器软件，如国外 Internet Explore，Chrome，Firefox 和国产遨游，360 浏览器等；另d）邮件系统软件，如国外 Outlook 和国产 Foxmail 等；e）BIOS 系统软件，如 AMI BIOS，Award BIOS 等；f）防思意代码软件，如内防病毒、防木马软件等。 依据GB/T 22239-2008中7.1.3和7.1.4对于第三级主机安全和应用安全的要求，上述基础软件应符合如下配置要求： a） 身份鉴别：包括账户登录和口令管理；b） 访问控制；包括账户管理和权限分配；c）d）e） 安全审计，包括账户行为审计和资源访问审计；剩余信息保护：包括临时文件、历史文件和虚拟文件管理；人侵防范：包括对组件的保护功能开启、应用程序的更新升级；D惠意代码防范：包括杀毒软件的安装、升级和病毒查杀管理；资源控制：包括服务、端口、协议等资源管理和数据的加密保护。 核心配置項赋值方法 5.4根据核心配置项赋值路径不同，可分为注册表赋值和配置文件赋值两种方法： a） 注册表赋值方法 通过修改核心配置项对应的注册表键值等，实现对配置项的献值，例如Windows操作系统。 b）配置文件赋值方法 通过修改配置文件中有关的配置项，实现对配置项的默值，例如Linux操作系统。 根据核心配置部署方式不同，可分为手动和自动两种方法： a） 手动赋值 对核心配置项进行人工逐项赋值，该方法适用于针对少量终端的少量配置部署。例如，在Windows系统环境下，运行组策略编辑器（GPEdit），由人工对核心配置项进行赋值；在Linux系统环境下，直接编辑配置文件，对核心配置项逐项进行赋值；在BIOS系统中，直接在人机界面上，逐项进行手动赋值。 b） 自动赋值 编辑核心配置基线包，调用自动部署工具，对核心配置项进行赋值，该方法适用于大量终缩推量配置部署。 5.5 核心配置对安全的作用 核心配置主要通过如下四种方式提高终端安全性：a）应启用数字签名、数据执行保护（DEP）、加密存储、更新升级等安全保护功能： b）应禁用存在或可能存在安全漏洞的服务、端口、程序、解本和驱动等；c）应加强口令管理、身份鉴别、账户管理和安全审计等安全保护手段；d）应限制软硬件访问权限、资源共享和远程登录等功能。 5.6 核心配置自动化实施框架 核心配置自动化实施框架包括以下四个部分： a）提出核心配置基本要求，根据计算机终端所属系统或环境的安全需求及安全级别，确定核心配置具体要求，核心配置基本要求见第 7 章，b）编制核心配置清单，采用清单方式描述核心配置要求，包括配置项标识、配置项名称、配置项组别、安全级别、取值范围、配置项基值、赋值路径和检查规则等。核心配置清单格式要求见第8 章。 生成核心配置基线包，将配置清单转化成为一种符合XML语法的嵌套式结构数据文件，以供自动化部署工具实施，核心配置基线包格式要求见第9章。 c） d）自动部署及监测，通过搭建核心配置自动化部署平台，实现核心配置项的批量自动献值和合规性实时检测，具体技术要求见第 10章。