2024年3月20日发(作者:)

电子政务外网安全管理规范:终端设备接入安全规范

1范围

本文件规定了XX省电子政务外网终端设备接入的基础框架和要求。

本文件适用于指导XX省电子政务外网建设运维单位终端设备接入的规划、建设和管理工作,也可作为

电子政务外网管理部门指导、监督和检查的依据。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该

日期对应的版本适用于本文件,不注日期的引用文件,其最新版本(包括所有的修改单)适用于木文件。

本文件没有规范性引用文件。

3术语和定义

下列术语和定义适用于本文件。

3. 1

办公终端

指接入政务外网并访问政务外网公共区业务的办公终端,包括台式微型计算机系统、便携微型计算机系

统、瘦客户机系统或虚拟终端系统等。

3.2

移动终端

指在移动业务中使用的,基于互联网进行通信,从电子政务外网安全接入区接入的智能终端设备,包括

手机、PAD等通用终端和专用终端设备。

3.3

服务终端

指接入政务外网的不具备常规操作系统的服务型终端,包括门禁、网络打印机、摄像头、视频会议终端

等。

3.4

终端安全隔离

同一终端、同一时间只能访问一个网络区域,且应实现网络隔离、会话隔离和数据隔离。

3.5

沙箱

一种虚拟化系统程序,允许在该系统内运行浏览器、办公软件等应用程序,用户可使用沙箱中的应用

程序访问业务,业务数据在沙箱中运行、加密存储并与本地环境隔离。

3.6

桌面云

一种基于云计算的桌面交付模式。在该模式下,通过将计算机桌面进行虚拟化,把个人计算环境集中存

储于数据中心,为用户提供按需分配快速交付的桌面,用户使用终端设备通过网络访问该桌面。

4缩略语

下列缩略语适用于本文件。

CA:证书颁发机构(CertificateAuthority)

MAC:媒体接入控制(MediaAccessControl)

IP:网际互联协议(InternetProtocol)

5办公终端接入安全管控技术要求

5.1 终端准入控制

5.1.1 身份认证

身份认证包括:

a)接入政务外网的用户终端应具备唯一标识,唯一标识的信息应至少包括使用者信息和终端设备信息,

并实现用户与终端实名绑定,以便后续审计溯源;

b)应支持账户口令认证、CA证书认证、扫码认证、短信认证、生物识别等身份认证方式,用户终端接

入政务外网应使用双因素进行身份认证:

c)当用户终端接入政务外网时,应采取措施保证鉴别信息在传输和存储过程中的安全;

d)口令应至少由8位字符组成,包含字母、数字和特殊字符等三种以上类型,并定期进行口令更换;

e)可支持单点登录,避免重复认证。

5 .1.2安全检查

终端接入政务外网之前,应通过安全接入检查,不符合要求的终端不允许接入政务外网,至少可以检查

以下内容:

a)检查终端是否安装运行了防病毒软件;

b)检查终端是否存在弱口令账户;

c)检查终端是否运行了恶意进程或软件;

d)检查终端是否存在未修复的高危漏洞。

6 .1.3资源访问控制

a)终端接入政务外网时,应至少实现基于用户的资源访问控制,并实现最小授权;

b)可对终端环境进行持续检测和评估,根据评估情况动态调整其权限。

5.2 终端安全隔离

办公终端存在访问多个网络的情况下,应当满足以下要求:

a)支持网络隔离,确保终端获得准入授权后通过安全隧道访问政务外网,不能同时访问其他网络;

b)支持会话隔离,确保每个终端访问政务外网时采用唯一会话,可通过添加有效期内唯一的会话状态信

息来实现;

c)对于敏感的业务数据访问,可采用沙箱、桌面云等技术实现办公终端数据隔离,防止终端数据泄露。

5.3 终端安全防护

5.3.1基本要求

应对终端进行恶意代码防范、终端入侵防护、非法外联控制、安全基线检查、漏洞检测修复、数据安全

防护、终端软件/补丁、资产管理等。

接入政务外网的用户终端应安装病毒与恶意代码防护软件,并及时更新病毒与恶意代码库,以防止系统