GB/T 30278-2024 网络安全技术 政务计算机终端核心配置规范

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T30278—2024

代替GB/T30278—2013GB/T35283—2017

、

网络安全技术

政务计算机终端核心配置规范

Cybersecuritytechnology—

Governmentclientcomputercoreconfigurationspecifications

2024-11-28发布2025-06-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T30278—2024

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………2

概述

5………………………2

配置要求

6…………………3

配置要求

6.1BIOS………………………3

操作系统配置要求

6.2…………………4

办公软件配置要求

6.3…………………6

浏览器配置要求

6.4……………………6

电子邮件客户端配置要求

6.5…………6

安全防护软件配置要求

6.6……………7

即时通信软件配置要求

6.7……………7

自动化部署及监测要求

7…………………8

自动化部署及监测平台逻辑架构

7.1…………………8

配置编辑功能要求

7.2…………………8

配置验证功能要求

7.3…………………9

配置部署功能要求

7.4…………………9

配置监测功能要求

7.5…………………9

实施流程

8…………………10

配置要求证实方法

9………………………12

自动化部署及监测要求证实方法

10……………………21

附录规范性核心配置基线包

A()………………………22

附录资料性访问控制配置示例

B()BIOS……………25

附录资料性操作系统身份鉴别配置示例

C()…………27

参考文献

……………………32

Ⅰ

GB/T30278—2024

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技术政务计算机终端核心配置规范和

GB/T30278—2013《》GB/T35283—

信息安全技术计算机终端核心配置基线结构规范本文件以为基础纳

2017《》。GB/T30278—2013,

入的相关内容与相比除结构调整和编

GB/T35283—2017。GB/T30278—2013、GB/T35283—2017,

辑性改动外主要技术变化如下

,:

增加了即时通信软件个安全控制点见

———,5(5.1,5.2);

增加了身份鉴别访问控制可信验证数据保密性的配置要求见

———、、、(6.1);

增加了可信验证数据保密性数据备份回复个人信息保护应用管控数据发送控制的配置

———、、、、、

要求见

(6.2);

增加了访问控制入侵防范个人信息保护剩余信息保护数据发送控制的配置要求见

———、、、、(6.4);

增加了即时通信软件配置要求见

———(6.7);

增加了配置要求证实方法和自动化部署及监测要求证实方法见章章

———(9,10);

增加了规范性引用文件替代自定义基线配置自动化文件格式见附

———ISO/IEC18180:2013(

录

A)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国网络安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位神州网信技术有限公司国家信息中心麒麟软件有限公司华为技术有限公司

:、、、、

北京天融信网络安全技术有限公司长扬科技北京股份有限公司统信软件技术有限公司电子政务

、()、、

云技术应用国家工程实验室中国电子技术标准化研究院联想北京有限公司北京升鑫网络科技有

、、()、

限公司中科信息安全共性技术国家工程研究中心有限公司阿里云计算有限公司郑州信大捷安信息

、、、

技术股份有限公司北京奇虎科技有限公司三六零科技集团有限公司西安邮电大学昆仑太科北京

、、、、()

技术股份有限公司北京神州绿盟科技有限公司奇安信科技集团股份有限公司西安交大捷普网络科

、、、

技有限公司北京中科微澜科技有限公司浪潮山东计算机科技有限公司吉林信息安全测评中心

、、()、、

北京北信源软件股份有限公司北京山石网科信息技术有限公司深圳市能信安科技股份有限公司

、、、

启明星辰信息技术集团股份有限公司国家保密科技测评中心国网新疆电力有限公司电力科学研究

、、

院大唐高鸿信安浙江信息科技有限公司工业和信息化部电子第五研究所安天科技集团股份有限

、()、、

公司中国软件评测中心工业和信息化部软件与集成电路促进中心北京邮电大学联通四川产业

、()、、()

互联网有限公司

。

本文件主要起草人张建军刘蓓杨尚欣孟亚平陈韵然王强战茅董军平王震桂耀张宇

:、、、、、、、、、、、

安高峰赵华何雪林许涛闫桂勋李占伟朱华李汝鑫刘俊孙亮何建锋卞建超程度胡建勋

、、、、、、、、、、、、、、

龙勤刘为华姚一楠张志磊李富钦廖百成张勇李德全华昌安锦程郭维白欣璐李岩刘占丰

、、、、、、、、、、、、、、

杨泳赵勇梁桂铅李德庆马进贾楠刘博马玮刘海洁柴思跃张生华张雷周润松郭盈马向亮

、、、、、、、、、、、、、、、

李诗婧张涛

、。

本文件及其所代替文件的历次版本发布情况为

:

———GB/T30278—2013;

———GB/T35283—2017;

本次为第一次修订

———。

Ⅲ

GB/T30278—2024

引言

政务计算机终端核心配置规范是为了保障政务部门计算机安全降低因配置不当导致系统出现安

,

全漏洞的风险为政务计算机建立安全基线指导安全配置基线在政务办公环境中部署应用

,,。

本文件以信息安全技术网络安全等级保护基本要求的三级安全要求为安

GB/T22239—2019《》

全配置基线以政务计算机上常用的七类软件为本文件的核心配置范围对核心配置范围内的软件提出

,,

安全配置要求指导软件供应商安全厂商根据要求制定核心配置基线指导政务部门对计算机完成核

,、,

心配置基线的部署与监测工作用户参考本文件保护政务终端数据时根据政务终端数据分类分级标

。,

准选择遵照本文件或基于本文件降低增强配置基线发布实施已十余年这期

,、。GB/T30278—2013,

间政务计算机终端安全基线概念受到越来越广泛的重视政务办公环境和计算机技术都发生了变化

,。

首先政务办公环境随着计算机技术变化呈现同类型软件多样化安全配置复杂化原有标准定义的基

,、,

线格式难以应对其次计算机软硬件技术进步基于生物识别技术可信计算技术等的广泛使用计算

。,,、,

机安全技术不断发展鉴于此有必要适时修订完善和以不断适应政务环

。,GB/T30278GB/T35283,

境的新变化以及安全基线的新需求

。

Ⅳ

GB/T30278—2024

网络安全技术

政务计算机终端核心配置规范

1范围

本文件明确了政务计算机终端核心配置对象和配置范围规定了配置要求自动化部署及监测要

,、

求提供了配置要求和自动化部署及监测要求的证实方法

,。

本文件适用于政务计算机终端的核心配置技术实施和测试验证工作

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术网络安全等级保护基本要求

GB/T22239—2019

信息安全技术术语

GB/T25069—2022

信息与文献都柏林核心元数据元素集

GB/T25100—2010

电子政务术语

GB/T25647—2010

政务信息系统定义和范围

GB/T40692—2021

信息技术可扩展配置清单描述格式规范

ISO/IEC18180:2013[Informationtechnology—Specifi-

cationfortheExtensibleConfigurationChecklistDescriptionFormat(XCCDF)]

3术语和定义

和界定的以及

GB/T22239—2019、GB/T25069—2022、GB/T25647—2010GB/T40692—2021

下列术语和定义适用于本文件

。

31

.

政务计算机终端governmentclientcomputer

支撑政务部门开展业务工作的计算机终端

。

注如桌面计算机便携式计算机和虚拟桌面等

:、。

32

.

核心配置coreconfiguration

对核心配置项进行参数设置的过程

(3.3)。

注通过核心配置限制或禁止存在安全隐患或漏洞的功能启用或加强安全保护功能来增强计算机抵抗安全风险

:,,

的能力

。

33

.

核心配置项coreconfigurationitem

影响政务计算机终端系统或软件安全的关键参数配置项

。

注核心配置项类型包括开关项枚举项区间项和复合项

:、、。

1

GB/T30278—2024

34

.

核心配置项基值coreconfigurationitembasevalue

按照配置要求对核心配置项设置的参数值

。

35

.

核心配置基线coreconfigurationbaseline

能满足计算机安全基本要求的一组核心配置项基值构成的集合

(3.4)。

36

.

核心配置清单coreconfigurationlist

由配置要求列项构成的一种列表对核心配置项属性的形式描述

,。

37

.

核心配置基线包coreconfigurationbaselinepackage

为实现核心配置基线自动化部署而制定的一种具有特定语法格式的核心配置数据文件

(3.5)。

4缩略语

下列缩略语适用于本文件

。

基本输入输出系统

BIOS:(BasicInputOutputSystem)

统一资源标识符

URI:(UniformResourceIdentifier)

可扩展配置检查表描述格式

XCCDF:(ExtensibleConfigurationChecklistDescriptionFormat)

可扩展标记语言

XML:(ExtensibleMarkupLanguage)

5概述

51核心配置对象与范围

.

核心配置对象包括连接到互联网政务网络的政务计算机终端

:、。

核心配置范围包括计算机操作系统办公软件浏览器电子邮件客户端安全防护软件即

:BIOS、、、、、、

时通信软件

。

注其中办公软件包括文档软件表格软件演示软件等安全防护软件包括杀毒软件审计软件和防火墙软件等

:、、,、。

52安全控制点

.

依据中和等章节对于第三级安全计算环境的要求表列出安全

GB/T22239—20198.1.48.3.3,1

控制点第章将依据安全控制点提出配置要求

,6。

表1安全控制点列表

安全控制点描述

身份鉴别包括账户登录和凭证管理

访问控制包括账户管理和权限分配

安全审计包括账户行为审计和资源访问审计

入侵防范包括对组件的保护功能开启应用程序的更新升级

、

恶意代码防范包括杀毒软件的安装升级和病毒查杀管理

、

可信验证包括可信验证配置和应用程序白名单管理

2

GB/T30278—2024

表1安全控制点列表续

()

安全控制点描述

数据完整性包括对终端上数据的完整性保存传输的配置

、

数据保密性包括对终端上数据的保密性保存传输的配置

、

数据备份恢复包括本地数据备份异地实时备份和热冗余配置

、

剩余信息保护包括临时文件历史文件和虚拟文件管理

、

个人信息保护包括对个人信息的收集使用和展示的配置

、

应用管控包括对应用安全性的配置和应用申请权限的配置

53部署与实施

.

第章给出了核心配置实施的流程指导依据该章实施核心配置基线部署工作时可根据终端规模

8,,

选择手动部署或自动化部署核心配置基线包见附录

。A。

选择手动部署时见附录附录的编制核心配置清单经内部审核后根据此清单对目标配置对

,B、C,

象进行人工逐项赋值并定期检查核心配置项

。

对于有一定规模的政务终端核心配置应用场景需要配备自动化部署及监测平台协助完成核心配

,,

置的编辑验证部署和监测工作第章给出了自动化部署及检测平台的功能要求用户需按附录

、、。7。A

将核心配置清单落实为核心配置基线包附录给出了将配置要求落实为核心配置清单的示例附录

,B,C

给出了将核心配置清单落实为基线配置文件的示例

。

6配置要求

61BIOS配置要求

.

611身份鉴别

..

身份鉴别配置要求包括

:

应启动身份鉴别机制并设置符合安全策略的口令长度复杂度

a),BIOS、;

应限制连续登录失败次数达到登录尝试次数后中止本次启动

b),。

612访问控制

..

访问控制配置要求包括

:

应默认关闭定时开机远程模式控制开机等开机模式

a)、;

在启用管理员账户和普通用户账户时管理员账户应配置启动顺序并设置优先从本地磁盘启

b),,

动普通用户仅能查看启动顺序

,。

注附录给出了的访问控制配置示例

:BBIOS。

613可信验证

..

可信验证配置要求包括

:

应默认开启可信根模块和可信验证功能

a);

应启用对自身的可信验证功能

b)BIOS。

3

GB/T30