书 书 书犐犆犛 ３５ ． ０４０ 犔 ８０ 中华人民共和国国家标准化指导性技术文件 犌犅 ／ 犣 ２４２９４ ． ４ — ２０１７ 部分代替 ＧＢ ／ Ｚ２４２９４ — ２００９ 信息安全技术基于互联网电子政务信息安全实施指南第 ４ 部分 ： 终端安全防护 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔 — 犌狌犻犱犲狅犳犻犿狆犾犲犿犲狀狋犪狋犻狅狀犳狅狉犐狀狋犲狉狀犲狋犫犪狊犲犱犲犵狅狏犲狉狀犿犲狀狋犻狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔 — 犘犪狉狋 ４ ： 犇犲犳犲狀狊犲犳狅狉狋犲狉犿犻狀犪犾狊犲犮狌狉犻狋狔 ２０１７  ０５  １２ 发布 ２０１７  １２  ０１ 实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会 发布书 书 书目 　　 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… １ 　 范围 １ ……………………………………………………………………………………………………… ２ 　 规范性引用文件 １ ………………………………………………………………………………………… ３ 　 术语和定义 １ ……………………………………………………………………………………………… ４ 　 缩略语 １ …………………………………………………………………………………………………… ５ 　 终端安全功能与实施原则 １ ……………………………………………………………………………… 　 ５．１ 　 安全脆弱点 １ ………………………………………………………………………………………… 　 ５．２ 　 安全功能 ２ …………………………………………………………………………………………… 　 ５．３ 　 实施原则 ２ …………………………………………………………………………………………… ６ 　 终端安全应用模式 ２ ……………………………………………………………………………………… 　 ６．１ 　 终端基本安全应用模式 ２ …………………………………………………………………………… 　 ６．２ 　 终端增强安全应用模式 ３ …………………………………………………………………………… 　 ６．３ 　 移动终端安全应用模式 ３ …………………………………………………………………………… ７ 　 终端基本安全防护要求 ３ ………………………………………………………………………………… 　 ７．１ 　 系统服务配置 ３ ……………………………………………………………………………………… 　 ７．２ 　 账户策略配置 ３ ……………………………………………………………………………………… 　 ７．３ 　 日志与审核策略配置 ３ ……………………………………………………………………………… 　 ７．４ 　 浏览器安全配置 ４ …………………………………………………………………………………… 　 ７．５ 　 恶意代码防范 ４ ……………………………………………………………………………………… 　 ７．６ 　 个人防火墙 ４ ………………………………………………………………………………………… 　 ７．７ 　 系统漏洞补丁升级 ４ ………………………………………………………………………………… ８ 　 终端增强安全防护要求 ４ ………………………………………………………………………………… 　 ８．１ 　 安全性检测 ４ ………………………………………………………………………………………… 　 ８．２ 　 程序运行授权 ５ ……………………………………………………………………………………… 　 ８．３ 　 安全电子邮件 ５ ……………………………………………………………………………………… 　 ８．４ 　 安全公文包 ５ ………………………………………………………………………………………… 　 ８．５ 　 安全审计 ５ …………………………………………………………………………………………… ９ 　 移动终端安全防护要求 ６ ………………………………………………………………………………… 　 ９．１ 　 便携式终端安全 ６ …………………………………………………………………………………… 　 ９．２ 　 手持式终端安全 ７ …………………………………………………………………………………… 参考文献 ８ ……………………………………………………………………………………………………… Ⅰ 犌犅 ／ 犣 ２４２９４ ． ４ — ２０１７ 前 　　 言 　　 ＧＢ ／ Ｚ２４２９４ 《 信息安全技术 　 基于互联网电子政务信息安全实施指南 》 分为 ４ 个部分 ： ——— 第 １ 部分 ： 总则 ； ——— 第 ２ 部分 ： 接入控制与安全交换 ； ——— 第 ３ 部分 ： 身份认证与授权管理 ； ——— 第 ４ 部分 ： 终端安全防护 。 本部分为 ＧＢ ／ Ｚ２４２９４ 的第 ４ 部分 。 本部分按照 ＧＢ ／ Ｔ１．１ — ２００９ 给出的规则起草 。 本部分部分代替 ＧＢ ／ Ｚ２４２９４ — ２００９ 《 信息安全技术 　 基于互联网电子政务信息安全实施指南 》。 与 ＧＢ ／ Ｚ２４２９４ — ２００９ 相比 ， 主要技术变化如下 ： ——— 新增了基于互联网电子政务终端的脆弱点和面临的主要威胁 ； ——— 补充明确了基于互联网电子政务终端的安全防护功能和实施原则 ； ——— 补充了划分基于互联网电子政务终端安全防护的主要应用模式 ； ——— 补充规范了基于互联网电子政务终端在三种应用模式下的安全防护要求 。 本部分由全国信息安全标准化技术委员会 （ ＳＡＣ ／ ＴＣ２６０ ） 提出并归口 。 本部分起草单位 ： 解放军信息工程大学 、 中国电子技术标准化研究所 、 北京天融信科技有限公司 、 郑州信大捷安信息技术股份有限公司 。 本部分主要起草人 ： 陈性元 、 杜学绘 、 孙奕 、 夏春涛 、 曹利峰 、 张东巍 、 任志宇 、 罗锋盈 、 上官晓丽 、 董国华 。 本部分所代替标准的历次版本发布情况为 ： ——— ＧＢ ／ Ｚ２４２９４ — ２００９ 。 Ⅲ 犌犅 ／ 犣 ２４２９４ ． ４ — ２０１７ 引 　　 言 　　 互联网已成为重要的信息基础设施 ， 积极利用互联网进行我国电子政务建设 ， 既能提高效率 、 扩大服务的覆盖面 ， 又能节约资源 、 降低成本 。 利用开放的互联网开展电子政务建设 ， 计算机终端在电子政务系统中承担和参与政务信息的处理 、 存储和传输等重要工作 ， 面临着恶意代码 、 网络攻击 、 信息泄漏和身份假冒等安全威胁和风险 。 为推进互联网在我国电子政务中的应用 ， 指导基于互联网电子政务终端安全防护工作 ， 特制定本部分 。 本部分主要适用于没有电子政务外网专线或没有租用通信网络专线条件的组织机构 ， 开展非涉及国家秘密的电子政务建设 ， 当建设需要时 ， 可根据安全策略与电子政务外网进行安全对接 。 Ⅳ 犌犅 ／ 犣 ２４２９４ ． ４ — ２０１７ 信息安全技术基于互联网电子政务信息安全实施指南第 ４ 部分 ： 终端安全防护 １ 　 范围 ＧＢ ／ Ｚ２４２９４ 的本部分按照终端安全防护策略 ， 明确了基于互联网电子政务终端的安全防护技术要求 。 本部分适用于没有电子政务外网专线或没有租用通信网络专线条件的组织机构 ， 基于互联网开展不涉及国家秘密的电子政务信息安全建设 ， 为管理人员 、 工程技术人员 、 信息安全产品提供者进行信息安全建设提供管理和技术参考 。 涉及国家秘密 ， 或所存储 、 处理 、 传输信息汇聚后可能涉及国家秘密的 ， 按照国家保密规定和标准执行 。 ２ 　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅注日期的版本适用于本文件 。 凡是不注日期的引用文件 ， 其最新版本 （ 包括所有的修改单 ） 适用于本文件 。 ＧＢ ／ Ｔ３０２７８ — ２０１３ 　 信息安全技术 　 政务计算机终端核心配置规范 ３ 　 术语和定义 下列术语和定义适用于本文件 。 ３ ． １ 安全政务终端 　 狋犲狉犿犻狀犪犾犳狅狉狊犲犮狌狉犲犵狅狏犲狉狀犿犲狀狋犪犳犳犪犻狉狊 满足政务办公安全防护技术要求 ， 能够开展政务办公与业务应用的计算机终端和手持式终端 。 ４ 　 缩略语 下列缩略语适用于本文件 。 ＦＴＰ 　　　 文件传输协议 （ ＦｉｌｅＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ ） ＩＩＳ 互联网信息服务 （ ＩｎｔｅｒｎｅｔＩｎｆｏｒｍａｔｉｏｎＳｅｒｖｉｃｅｓ ） ＩＰ 互联网协议 （ ＩｎｔｅｒｎｅｔＰｒｏｔｏｃｏｌ ） ＷＷＷ 万维网 （ ＷｏｒｌｄＷｉｄｅＷｅｂ ） ５ 　 终端安全功能与实施原则 ５ ． １ 　 安全脆弱点 计算机终端作为基于互联网电子政务系统的基本工作单元 ， 承担和参与政务信息的加工 、 处理 、 存储和传输等重要工作 ， 主要安全威胁和脆弱点包括 ： １ 犌犅 ／ 犣 ２４２９４ ． ４ — ２０１７ ａ ） 　 互联网恶意攻击 ——— 基于互联网电子政务终端极易遭受来自互联网的病毒 、 木马等恶意代码攻击 ， 将会导致政务终端产生信息泄漏 、 身份假冒 、 虚假消息发布和工作效率降低等安全风险 。 ｂ ） 补丁升级滞后 ——— 操作系统 、 应用软件漏洞补丁不能及时更新