GB/T 30278-2013 信息安全技术 政务计算机终端核心配置规范

ICS35.040

L80

中华人民共和国国彖标准

GB/T30278—2013

信息安全技术

政务计算机终端核心配置规范

Informationsecuritytechnology——Chinesegovernment

desktopcoreconfigurationspecifications

2013-12-31发2014-07-15实施

GB/T30278—2013

目次

前言m

i范围1

2规范性引用文件1

3术语和定义1

4缩略语2

5概述2

6核心配置基本要求4

7核心配置清单6

8核心配置基线包7

9核心配置自动化部署及监测技术要求14

10实施流程16

附录A（资料性附录）身份鉴别配置要求示例20

附录B（资料性附录）核心配置清单21

T

GB/T30278—2013

■ir■■i

刖吕

本标准按照GB/T1.1—2009给出的规则起草。

本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。

本标准起草单位：国家信息中心、中国信息安全测评中心、中国信息安全认证中心、国家税务总局电

子税务管理中心、三零卫士公司、北京北信源软件股份有限公司、天津市信息中心、上海市信息中心、山

西省经济信息中心、江苏省信息中心、安徽省经济信息中心、山东省信息中心、河南省信息中心、湖南省

人民政府经济研究信息中心、广东省发展和改革委员会信息中心、四川省经济信息中心、贵州省信息中

心、甘肃省信息中心、青海省信息中心、新疆维吾尔自治区经济信息中心、宁波市信息中心、西安市信息

中心。

本标准主要起草人:李新友、刘禧、许涛、蔡军霞、刘帅、程浩、王啸天、沈大风、吴亚非、袁志强、张海昆、

刘海峰、甘杰夫、李建彬、闵京华、林浩、王华峰、陆小敏、马志红、谷和启、彭云峰、洪之民、宋苏宇、柳松、

马占飞、余靖浊、袁继会、闫加元、靳力、赵俊、史小列、阮高峰。

m

GB/T30278—2013

信息安全技术

政务计算机终端核心配置规范

1范围

本标准规定了政务计算机终端核心配置的基本概念和要求,核心配置的自动化实现方法，规范了核

心配置实施流程。

本标准适用于政务部门开展计算机终端的核心配置工作。涉密政务计算机终端安全配置丁作应参

照国家保密局相关保密规定和标准执行。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239—2008信息系统安全等级保护基本要求

3术语和定义

下列术语和定义适用于本文件。

3.1

政务部门governmentdepartment

从事涉及政府性事务工作的国家机关、企事业单位和大型社会团体等机构。

3.2

核心配置项（配置项）coreconfigurationitem

计算机操作系统、办公软件、浏览器、BIOS系统和防恶意代码软件等基础软件中影响计算机安全

的关键参数可选项。

注：核心配置项类型包括开关项、枚举项、区间项和复合项，可以根据安全要求对其进行赋值。

3.3

核心配置coreconfiguration

对核心配置项进行参数设置的过程。

注：通过核心配置限制或禁止存在安全隐患或漏洞的功能，启用或加强安全保护功能，来增强计算机抵抗安全风险

的能力。

3.4

核心配置项基值coreconfigurationitembasevalue

按照核心配置基本要求对配置项的参数设置。

3.5

核心配置基线coreconfigurationbaseline

能够满足计算机安全基本要求的一组核心配置项基值构成的集合。

3.6

核心配置清单coreconfigurationlist

由核心配置项构成的一种列表，是对核心配置项属性的一种形式描述。

GB/T30278—2013

3.7

核心配置基线包coreconfigurationbaselinepackage

为实现核心配置基线自动化部署而制定的一种具有特定语法格式的核心配置数据文件。

4缩略语

下列缩略语适用于本文件。

BIOS：基本输入输出系统（BasicInpuOutpuSystem）

CGDCC：政务计算机终端核心配置（ChineseGovernmenDesktopCoreConfiguration）

FTP：文件传输协议（FileTransferProtocol）

GUID：全球唯一标识符（GloballyUniqueIdentifier）

TCM：可信密码模块（TrustedCryptographyModule）

WMI：桌面管理规范（WindowsManagemenInstrumentation）

XML：可扩展置标语言（ExtensibleMarkupLanguage）

5概述

5.1核心配置对象

本标准针对应用于政务部门的联网计算机终端提出核心配置要求，包括连接到互联网、政务专网

（政务内网、政务外网）的桌面计算机、膝上型计算机和瘦客户机等。

5.2核心配置范围

核心配置的范围包括如下方面：

a）操作系统，如Windows系列、国外Linux和国产Linux等；

b）办公软件,如国外Office软件和国产WPS软件等；

c）浏览器软件，如国外InterneExplore>ChromeFirefox和国产遨游、360浏览器等；

d）邮件系统软件，如国外Outlook和国产Foxmail等；

e）BIOS系统软件，如AMIBIOS.AwardBIOS等；

f）防恶意代码软件，如内防病毒、防木马软件等。

依据GB/T22239—2008中7.1.3和7.1.4对于第三级主机安全和应用安全的要求，上述基础软件

应符合如下配置要求：

a）身份鉴別：包括账户登录和口令管理；

b）访问控制：包括账户管理和权限分配；

c）安全审计:包括账户行为审计和资源访问审计；

d）剩余信息保护:包括临时文件、历史文件和虚拟文件管理；

e）入侵防范:包括对组件的保护功能开启、应用程序的更新升级；

f）恶意代码防范:包括杀毒软件的安装、升级和病毒查杀管理；

g）资源控制：包括服务、端口、协议等资源管理和数据的加密保护。

5.3核心配置项基本类型

根据核心配置项的取值范围，核心配置项分为开关项、枚举项、区间项和复合项等基本类型。

a）开关项:取值仅为“0”或“1”。例如，配置项“下载未签名的Active控件”，可赋值为“启用（1）”

或“禁用（0）”。

2

GB/T30278—2013

b）枚举项：取值是离散的、可数的且多于两种。例如，配置项“具有从网络访问本地计算机权限的

账户”，可赋值为“管理员（Administrators）超级用户（PowerUsers）”“一般用户（Users）”或

“来宾（Guests）"。

c）区间项:取值连续分布在一个区间内。例如，配置项“账户锁定时间”，赋值范围为“1min〜

99999min”。

d）复合项：由上述两种或多种关联配置项组合而成。例如，配置项“启动屏幕保护程序的等待时

间”，由开关项和区间项组成。首先“启用”屏幕保护程序，再设置“等待时间”。

5.4核心配置项赋值方法

根据核心配置项赋值路径不同，可分为注册表赋值和配置文件赋值两种方法：

a）注册表赋值方法

通过修改核心配置项对应的注册表键值等，实现对配置项的赋值，例如Windows操作系统。

b）配置文件赋值方法

通过修改配置文件中有关的配置项，实现对配置项的赋值，例如Linux操作系统。

根据核心配置部署方式不同，可分为手动和自动两种方法：

a）手动赋值

对核心配置项进行人T逐项赋值。该方法适用于针对少量终端的少量配置部署。例如，在

Windows系统环境下，运行组策略编辑器（GPEdi）,由人工对核心配置项进行赋值；在Linux

系统环境下，直接编辑配置文件，对核心配置项逐项进行赋值；在BIOS系统中，直接在人机界

面上,逐项进行手动赋值。

b）自动赋值

编辑核心配置基线包，调用自动部署工具，对核心配置项进行赋值。该方法适用于大量终端批

量配置部署。

5.5核心配置对安全的作用

核心配置主要通过如下四种方式提高终端安全性：

a）应启用数字签名、数据执行保护（DEP）、加密存储、更新升级等安全保护功能；

b）应禁用存在或可能存在安全漏洞的服务、端口、程序、脚本和驱动等；

c）应加强口令管理、身份鉴別、账户管理和安全审计等安全保护手段；

d）应限制软硬件访问权限、资源共享和远程登录等功能。

5.6核心配置自动化实施框架

核心配置自动化实施框架包括以下四个部分：

a）提出核心配置基本要求，根据计算机终端所属系统或坏境的安全需求及安全级别，确定核心配

置具体要求。核心配置基本要求见第7章。

b）编制核心配置清单，采用清单方式描述核心配置要求，包括配置项标识、配置项名称、配置项组

另U、安全级别、取值范围、配置项基值、赋值路径和检查规则等。核心配置清单格式要求见第

8章。

c）生成核心配置基线包，将配置清单转化成为一种符合XML语法的嵌套式结构数据文件，以供

自动化部署工具实施。核心配置基线包格式要求见第9章。

d）自动部署及监测，通过搭建核心配置自动化部署平台，实现核心配置项的批量自动赋值和合规

性实时检测。具体技术要求见第10章。

3

GB/T30278—2013

6核心配置基本要求

6.1操作系统核心配置要求

6.1.1概述

本标准依据GB/T22239—2008中7.1.3对第三级主机安全的要求，针对国内外主流操作系统，在

身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范和资源控制等方面提出核心配置基本要求。

6.1.2身份鉴别

身份鉴别配置要求包括：

a）账户登录时,应启动身份验证机制，限制连续登录失败次数,连续多次登录失败后应锁定账户；

b）应配置安全的口令长度、复杂度、有效期和加密强度，应禁止不设置口令；

c）启动账户登录界面时，应禁止无关进程的启动和运行，防止鉴別信息被窃听。

注：附录A给出了身份鉴别配置要求示例。

6.1.3访问控制

访问控制配置要求包括：

a）应禁用匿名账户（Anonymous）、来宾账户（Gues）、产品支持账户（Suppor）,限用管理员账户

（Administrator）,重命名管理员账户，限制普通用户的访问权限，禁止任何账户远程访问；

b）应限制账户对文件、硬件、驱动、内存和进程等重要资源的访问权限；

c）应限制账户权限提升和授权访问等操作。

6.1.4安全审计

安全审计配置要求包括：

a）应启用安全日志，记录账户的创建、更改、删除、启用、禁用和重命名等操作，记录账户登录和注

销、开关机、配置变更等操作；

b）应启用系统日志，记录对文件、文件夹、注册表和系统资源的访问操作。

6.1.5剩余信息保护

剩余信息保护配置要求包括：

a）关闭系统时，应清除虚拟内存页面文件；

b）断开会话时，应清除临时文件夹；

c）应禁止剪贴板存储信息与远程计算机共享。

6.1.6入侵防范

入侵防范配置要求包括：

a）应启用资源管理器数据执行保护（DEP）模式和Shell协议保护模式；

b）打开邮件的附件时,应启用杀毒软件进行扫描；

c）应启动屏幕保护和休眠功能，设置唤醒口令；

d）应开启系统定期备份功能；

e）应限制应用程序的下载和安装，保持操作系统补丁及时更新。

6.1.7资源控制

资源控制配置要求包括：

4

GB/T30278—2013

a）应禁用信息共享、动态数据交换（DynamicDataExchange）、互联网信息服务（InterneInfor­

mationServices）.FTP和Telne等网络连接、远程网络访问等服务，限制蓝牙等无线连接；

b）应禁止介质自动运行（Autorun）；

c）应关闭FTP,HTTP（超文本传输协议HypertexTransporProtocol）,RPC（远程过程调用协

议RemoteProcedureCallProtocol）、UPNP（通用即插即用UniversalPlugandPlay）、远程桌

面服务、远程控制类软件服务端监听、木马软件等对应开放的端口；

d）应禁止IPC（进程间通信InterProcessCommunication）管道连接，限制SYN（同步字符Syn-

chronize）的传输次数和发送时间；

e）应启用磁盘加密系统等数据保密配置。对于三级以上政务计算机应配置TCM模块保护敏感

数据。

6.2办公软件核心配置要求

依据GB/T22239—2008中7.1.4对第三级应用安全的要求，针对国内外主流办公软件提出如下核

心配置要求：

a）应禁止ActiveX控件的使用；

b）应禁用所有未经验证的加载项；

c）应限用未数字签名的宏；

d）应限制在线自动更新升级、网上下载剪贴画和模板等资源，以及访问超级链接。

6.3浏览器核心配置要求

6.3.1概述

依据GB/T22239—2008中7.1.4对第三级应用安全的要求，针对国内外主流浏览器，在浏览器安

全选项、域安全管理和隐私保护等方面提出核心配置基本要求。

6.3.2浏览器安全选项

浏览器安全选项配置要求包括：

a）应严格禁止运行java小程序脚本；

b）应限制下载和安装未签名的ActiveX控件；

c）应开启浏览器的保护模式。

6.3.3域安全管理

域安全管理配置要求包括：

a）访问以太网的安全限制应设为中或高；

b）访问企业专网的安全限制可设为中；

c）访问可信站点的安全限制可设为低；

d）应限制访问受限站点，禁止从受限站点下载或保存文件。

6.3.4隐私保护

隐私保护配置要求包括：

a）退出网页时,应删除Cookie文件、下载记录、访问网站历史记录和临时文件夹；

b）应限制输入框自动关联功能。

6.4邮件系统核心配置要求

依据GB/T22239—2008中7.1.4对第三级应用安全的要求，针对国内外主流邮件系统软件提出如

5

GB/T30278—2013

下配置要求：

a）应配置安全的邮箱登录口令的长度和复杂度；

b）对本地存储的邮件应开启加密功能；

c）发送邮件应使用数字签名和数字加密技术，接收邮件应对数字签名进行验证;

d）应开启加密协议收发邮件；

e）应禁止直接运行附件中存在安全隐患的文件类型；

f）应禁止运行邮件中的超链接；

g）应启用垃圾邮件过滤功能。

6.5BIOS系统核心配置要求

依据GB/T22239—2008中7.1.3对第三级主机安全的要求，对BIOS系统提出如下配置要求:

a）开机时应启动身份鉴别机制，并设置安全的口令长度和复杂度；

b）应限制硬件资源使用，包括软驱、硬盘、内存、USB设备、网卡和CPU等；

c）应启用硬盘写保护；

d）应限制使用定时开机、远程模式控制开机、键盘鼠标开机等开机模式；

e）操作系统操作关机后，应立即断开计算机电源；

f）应限制由外部设备，如U盘、光驱等引导启动计算机终端。

6.6防恶意代码软件核心配置要求

防恶意代码软件核心配置要求包括：

a）应开启实时保护功能；

b）应及时升级防恶意代码软件至最新版本，开启自动更新病毒库功能；

c）应定期进行病毒、木马等恶意代码扫描，发现恶意代码立即隔离或删除。

7核心配置清单

7.1概述

核心配置清单描述配置项的属性，包括配置项标识、配置项名称、配置项描述、配置项组別、安全级

别、取值范围、配置项基值、赋值路径和检查规则。

7.2配置项属性

7.2.1配置项标识

配置项标识是配置项的唯一编码，由三组字符构成，通过进行分隔，标识规则如图1所示。最高

组位的字符使用CGDCC,代表政务终端核心配置；中间组位引用软件产品标识；最低组位使用4位数

字代表配置项序号。例如“Window7口令长度”配置项，其标识为uCGDCC-win7-00ir\

CGDCC-XXXX・XXXX

1

'软件产阳杯识

1玫务典缁楂心杞黄

图1配置项标识规则

6

GB/T30278—2013

7.2.2配置项名称

描述配置项名称的字符串。

7.2.3配置项描述

从终端的安全风险、配置项的应对措施和潜在影响等三个方面对配置项进行解释说明。其中，安全

风险主要描述配置项所对应的系统脆弱性;应对措施主要描述配置项推荐参数赋值;潜在影响主要描述

配置生效后可能对终端系统造成的影响。

7.2.4配置项组别

需对配置项进行分组时，描述配置项所属的组别。

7.2.5安全级别

描述配置项对计算机终端安全性的影响程度，分为一般、重要和严重三个级別。

7.2.6取值范围

描述配置项允许赋值的范围，可用开关、枚举和区间表示。

7.2.7配置项基值

描述符合核心配置基本要求的配置项基值。当配置项安全级別为严重时，此配置项必须按照基值

进行赋值。

7.2.8赋值路径

描述配置项的赋值路径。对于Windows的配置项，可以依据配置项的赋值路径，使用相应的配置

工具进行赋值。例如，配置项"账户锁定时间"的赋值路径为"ComputerConfiguration\Windows

Seings\SecuritySeings\AccounPolicies\AccounLockouPolicy",通过组策略编辑器（GPEdi）T.

具，在该路径下可对“账户锁定时间”进行赋值。

7.2.9检查规则

描述检查配置项的实际值是否达到基值的判断规则，如大于配置项基值、小于配置项基值、等于配

置项基值、大于或等于配置项基值、小于或等于配置项基值。

8核心配置基线包

&1概述

核心配置基线包是一种嵌套式结构的数据文件，采用XML格式对核心配置基线中各配置项的属

性进行规范性标记，以实现核心配置部署及监测的自动化。

核心配置基线包由格式版本标记、基线标记和产品标记三部分组成。其中，基线标记包括基线版本

标记、配置组标记、配置项标记和检查标记。核心配置基线包格式结构如图2所示。

7

GB/T30278—2013

仗心配er班

搐式扳叢紹记稻式0拿

X_____________

11“