ICS35.040 L80 中华人民共和国国家标准 GB/T32925—2016 信息安全技术 政府联网计算机终端 安全管理基本要求 Informationsecuritytechnology—Basicsecurityrequirementsfornetworked computerterminalofgovernment 2016-08-29发布 2017-03-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 缩略语 1 …………………………………………………………………………………………………… 5 计算机终端安全总体要求 1 ……………………………………………………………………………… 5.1 安全策略制定 1 ……………………………………………………………………………………… 5.2 安全防护要求 2 ……………………………………………………………………………………… 5.3 文件管理要求 2 ……………………………………………………………………………………… 6 人员管理要求 2 …………………………………………………………………………………………… 6.1 角色和责任 2 ………………………………………………………………………………………… 6.2 岗位管理与培训 2 …………………………………………………………………………………… 6.3 临时访问人员管理 2 ………………………………………………………………………………… 7 资产管理要求 3 …………………………………………………………………………………………… 7.1 采购 3 ………………………………………………………………………………………………… 7.2 登记与使用维护 3 …………………………………………………………………………………… 7.3 报废与停用 3 ………………………………………………………………………………………… 8 软件管理要求 3 …………………………………………………………………………………………… 8.1 软件安装 3 …………………………………………………………………………………………… 8.2 操作系统配置管理 4 ………………………………………………………………………………… 8.3 应用软件配置管理 4 ………………………………………………………………………………… 8.3.1 网页浏览器 4 …………………………………………………………………………………… 8.3.2 邮件客户端软件系统 4 ………………………………………………………………………… 8.3.3 文档编辑软件 4 ………………………………………………………………………………… 8.4 安全防护软件配置管理 5 …………………………………………………………………………… 9 接入安全要求 5 …………………………………………………………………………………………… 9.1 网络接入 5 …………………………………………………………………………………………… 9.2 介质接入 5 …………………………………………………………………………………………… 10 运行安全要求 5 …………………………………………………………………………………………… 10.1 统一管理 5 …………………………………………………………………………………………… 10.2 监控审计 5 …………………………………………………………………………………………… 10.2.1 操作系统审计 5 ………………………………………………………………………………… 10.2.2 流量监控 6 ……………………………………………………………………………………… 10.2.3 软件漏洞扫描 6 ………………………………………………………………………………… ⅠGB/T32925—2016 10.3 备份管理 6 …………………………………………………………………………………………… 10.4 信息安全事件管理 6 ………………………………………………………………………………… 10.5 监督检查 6 …………………………………………………………………………………………… 10.6 例外处置 6 …………………………………………………………………………………………… 附录A(规范性附录) 政府联网计算机终端安全增强要求 7 …………………………………………… 附录B(资料性附录) 政府联网计算机终端安全管理制度要素 9 ……………………………………… ⅡGB/T32925—2016 前 言 本标准按照GB/T1.1—2009给出的规则起草。 本标准由工业和信息化部提出。 本标准由全国信息安全标准化技术委员会(SAC/TC260)归口。 本标准起草单位:北京信息安全测评中心、国家计算机网络应急技术处理协调中心、中国科学院软 件研究所、中国铁路总公司运输局信息化部、黑龙江省信息安全测评中心、北京市石景山区经济和信息 化委员会、北京朋创天地科技有限公司、黄山市委市政府信息办公室、北京市统计局计算中心。 本标准主要起草人:刘海峰、钱秀槟、王春佳、赵章界、张晓梅、梁博、李晨旸、贺海、孙永生、舒敏、 苏璞睿、刘刚、黄俊强、王燕春、李晓勇、曹卫东、王晓路、强倩、王希忠、宋超臣、卢跃庆、史蓉。 ⅢGB/T32925—2016 引 言 本标准是GB/T29245—2012《信息安全技术 政府部门信息安全管理基本要求》框架下的政府部 门信息安全保障标准体系的组成部分,用于指导各级政府部门对所管辖范围内联网计算机终端的管理 和安全检查工作,使其具备一定的安全防护能力。本标准可与各种具体的计算机终端应用场景、操作系 统和应用软件的配置指南配合使用。另外,政府部门可根据自身工作特点,按照“综合防护”“适度保护” 的原则选择使用,在满足基本要求的基础上,选择执行附录A中的增强安全要求,以进一步提高本部门 联网计算机终端的安全防护水平。 ⅣGB/T32925—2016 信息安全技术 政府联网计算机终端 安全管理基本要求 1 范围 本标准规定了政府部门联网计算机终端的安全要求。 本标准适用于政府部门开展联网计算机终端安全配置、使用、维护与管理工作。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T22239—2008 信息安全技术 信息系统安全等级保护基本要求 GB/T25069—2010 信息安全技术 术语 GB/T29245—2012 信息安全技术 政府部门信息安全管理基本要求 3 术语和定义 GB/T25069—2010界定的以及下列术语和定义适用于本文件。 3.1 计算机终端 computerterminal 供个人日常办公使用的、能独立进行数据处理及提供网络服务访问的台式微型计算机系统、便携微 型计算机系统、瘦客户机系统或虚拟终端系统等,不包含智能移动终端(如掌上电脑、智能移动电话等)。 3.2 联网 networked 联接政府部门非涉密办公局域网。 4 缩略语 下列缩略语适用于本文件: BIOS:基本输入输出系统(BasicInputOutputSystem) CPU:中央处理器(CentralProcessingUnit) IP:网络之间互连的协议(InternetProtocol) MAC:介质访问控制(MediaAccessControl) USB:通用串行总线(UniversalSerialBus) 5 计算机终端安全总体要求 5.1 安全策略制定 联网计算机终端的安全策略应是本单位总体信息安全策略的重要组成部分,并为单位的信息安全 1GB/T32925—2016 总体目标服务。安全策略的制定应从人员管理、资产管理、软件管理、接入安全、运行安全、BIOS配置 要求等方面综合考虑。 5.2 安全防护要求 处理或保存敏感程度较低数据的联网计算机终端,如处理一般性公文或访问无敏感信息的政务系 统等的联网计算机终端,安全防护应满足本标准正文所提出的安全基本要求;保存或处理较敏感信息的 联网计算机终端,如处理敏感公文、访问有敏感信息的政务系统、发布门户网站信息的联网计算机终端, 或GB/T22239—2008规定的三级以上信息系统中的计算机终端,在满足本标准正文要求的基础上,还 应满足附录A所规定的增强要求。 5.3 文件管理要求 应将与联网计算机终端安全管理和支撑日常维护工作的各类软硬件使用相关的规范、流程、操作指 导书等制定成文件(文件需考虑要素可参见附录B)。文件应通过正式有效的方式发布,并确保计算机 终端管理和使用人员能够获取、理解和执行。 6 人员管理要求 6.1 角色和责任 6.1.1 应按照GB/T29245—2