DB23_T3344—2022_电子政务外网安全管理规范第2部分:终端设备接入安全规范_黑龙江省.docx
ICS35.240.01
CCSL67
DB23
黑龙江省地方标准
DB23/T3344—2022
电子政务外网安全管理规范
第2部分:终端设备接入安全规范
黑龙江省市场监督管理局
发布
DB23/T3344-2022
前
言
本文件按照GB/T1.1-2020给出的规则起草。
本文件由黑龙江省营商环境建设监督局提出并归口。
本文件主要起草单位:黑龙江省营商环境建设监督局、黑龙江省政务大数据中心、黑龙江省标
准化研究院、哈尔滨金斗云科技有限公司。
本文件主要起草人:谢晓菲、孙雷、赵文敬、曹维、罗南、王东、李婷、任秉嘉、范晓明、陈要武、
杨大志、吕猛、王磊、李严、王艳君、刘思妤、张敬。
I
DB23/T3344-2022
电子政务外网安全管理规范
第2部分:终端设备接入安全规范
1范围
本文件规定了黑龙江省电子政务外网终端设备接入的基础框架和要求。
本文件适用于接入黑龙江省电子政务外网终端设备的安全规范。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件,不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
本文件没有规范性引用文件。
3术语和定义
下列术语和定义适用于本文件。
指接入政务外网并访问政务外网公共区业务的办公终端,包括台式微型计算机系统、便携微型计算
机系统、瘦客户机系统或虚拟终端系统等。
指在移动业务中使用的,基于互联网进行通信,从电子政务外网安全接入区接入的智能终端设备,
包括手机、PAD等通用终端和专用终端设备。
指接入政务外网的不具备常规操作系统的服务型终端,包括门禁、网络打印机、摄像头、视频会议
终端等。
CA:证书颁发机构(CertificateAuthority)
MAC:媒体接入控制(MediaAccessControl)
IP:网际互联协议(InternetProtocol)
1
DB23/T3344-2022
5办公终端接入安全管控技术要求
5.1终端准入控制
5.1.1
身份认证
身份认证包括:
a)
接入政务外网的用户终端应具备唯一标识,唯一标识的信息至少包括使用者信息和终端设备信
息,并实现用户与终端实名绑定,以便后续审计溯源;
b)
c)
用户终端接入政务外网宜使用双因素进行身份认证;
当用户终端接入政务外网时,应加密鉴别信息,保障传输和存储过程中的安全;
d)口令应至少由8位字符组成,包含字母、数字和特殊字符等三种以上类型,并定期进行口令更
换,禁止使用弱口令;
e)可支持单点登录,避免重复认证。
5.1.2安全检查
终端接入政务外网之前,应通过安全接入检查,不符合要求的终端不允许接入政务外网。包括但不
限于检查以下内容:
a)检查终端是否安装运行了防病毒软件,病毒库版本是否为最新版本;
b)
c)
检查终端是否存在弱口令账户;
检查终端是否存在恶意进程或软件;
d)检查终端是否存在未修复的高危漏洞。
终端接入政务外网时,应至少实现基于用户的资源访问控制,并实现最小授权;
b)可对终端环境进行持续检测和评估,根据评估情况动态调整其权限;
a)可对终端进行网络隔离,确保终端获得准入授权后访问政务外网,不能同时访问其他网络。
应对终端进行恶意代码防范、终端入侵防护、非法外联控制、安全基线检查、漏洞检测修复、数据
安全防护、终端软件补丁、操作系统系统补丁等。
接入政务外网的用户终端应安装病毒与恶意代码防护软件,并及时更新病毒与恶意代码库,支持终
端入侵防护,开启实时防护,以防止系统破坏、数据窃取。
终端连接政务外网时,应能检测终端通过无线热点、双网卡、非法网关连接互联网的行为,并应对
该行为进行告警和阻断。
2
DB23/T3344-2022
接入政务外网的终端应通过安全检查策略配置,进行安全基线检查,发现并识别与基线不符的配置
项进行引导修复。
5.3.5
漏洞检测修复
及时通过检测发现办公终端存在的漏洞包括:
a)对操作系统等对象进行安全扫描,及时发现终端操作系统等存在的漏洞;
b)可识别终端操作系统开放的端口及服务,及时发现高危端口或服务存在的安全漏洞;
c)对终端存在的漏洞进行补丁修复。
5.3.6数据安全防护
数据安全防护包括:
a)对通过邮件、即时通信、网盘、移动存储介质等通道泄露数据的行为进行控制,防止政务敏感
数据外泄;
b)
c)
业务数据通信访问加密保护,防止政务数据外泄,且支持国密算法;
对剪贴、截屏等数据外泄行为进行控制;
d)对用户拍照、截屏等行为进行审计溯源;
e)
可对文件追踪溯源。
5.3.7终端补丁管理
对终端补丁进行统一管理包括:
a)从官方途径获取补丁修复信息,整合生成补丁库;
b)自动、手动补丁导入,导入补丁原则不能直接与互联网连通;