35.020 L70 备案号: ICS 北 DB11 京 市 地 方 标 准 DB11/T 1041—2013 政务办公终端安全管理规范 Security management specification for government office computer 2013 - 12 - 20 发布 北京市质量技术监督局 2014 - 04 - 01 实施 发 布 DB11/T 1041—2013 目 次 前言................................................................................. II 1 范围............................................................................... 1 2 规范性引用文件..................................................................... 1 3 术语、定义和缩略语 ................................................................. 1 3.1 术语和定义..................................................................... 1 3.2 缩略语......................................................................... 1 4 安全管理原则....................................................................... 1 4.1 明确责任....................................................................... 1 4.2 综合防范....................................................................... 1 4.3 适度保护....................................................................... 1 5 安全管理要求....................................................................... 2 5.1 责任人员....................................................................... 2 5.2 软件管理....................................................................... 2 5.3 安全制度....................................................................... 2 6 软件配置基本要求 ................................................................... 2 6.1 操作系统配置要求 ............................................................... 2 6.2 应用软件配置要求 ............................................................... 3 7 外围控制基本要求 ................................................................... 4 7.1 准入控制要求................................................................... 4 7.2 流量监控要求................................................................... 4 附录 A（规范性附录） 政务办公终端安全增强要求 ........................................ 6 I DB11/T 1041—2013 前 言 本标准按照GB/T 1.1-2009给出的规则起草。 本标准由北京市经济和信息化委员会提出并归口。 本标准由北京市经济和信息化委员会组织实施。 本标准起草单位：北京信息安全测评中心、北京市统计局信息中心、北京东祥骏昌科技有限公司。 本标准主要起草人：刘海峰、钱秀槟、王春佳、黄少青、赵章界、张晓梅、梁博、李晨旸、贺海、 史蓉、李晓燕。 II DB11/T 1041—2013 政务办公终端安全管理规范 1 范围 本标准规定了政务办公终端的安全管理原则、安全管理要求、软件配置基本要求和外围控制基本要 求。 本标准适用于政务办公终端，不适用于处理涉及国家秘密信息的计算机终端。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069-2010 信息安全技术 术语 3 术语、定义和缩略语 3.1 术语和定义 GB/T 25069-2010界定的以及下列术语和定义适用于本文件。 政务办公终端 government office computer 用于处理涉及政务工作的台式、便携式微型计算机系统，不包含移动智能终端（如掌上电脑、智能 手机等）。 3.2 缩略语 下列缩略语适用于本标准： IP 网络之间互连的协议 MAC 介质访问控制 Internet Protocol Media Access Control 4 安全管理原则 4.1 明确责任 政务办公终端的主管单位、运维单位和使用者应按照“谁主管谁负责、谁运行谁负责、谁使用谁负 责”的原则明确安全责任。 4.2 综合防范 进行政务办公终端安全管理时，应全面综合考虑操作系统软件、应用软件、网络接入、外联控制、 安全审计等各个层面对政务办公终端安全的影响。 4.3 适度保护 1 DB11/T 1041—2013 应根据政务办公终端处理信息的重要程度给予相应的保护。本标准规定了政务办公终端的基本安全 防护要求，对安全有更高要求的政务办公终端应符合附录A中对应的安全增强要求。 5 安全管理要求 5.1 责任人员 5.1.1 岗位 5.1.1.1 明确一名主管领导，负责政务办公终端安全管理的领导和协调工作。 5.1.1.2 明确政务办公终端安全管理的责任部门和岗位，并在部门和岗位职责中明确相应的责任。岗 位职责应包含本单位政务办公终端的安全配置、日常维护以及定期的安全检查工作。 5.1.2 培训 5.1.2.1 用于政务办公终端的软件要制定配套的安装、配置及使用等操作手册，按需求组织宣贯培训， 指导用户正确使用。 5.1.2.2 结合本单位信息化工作实际情况，组织内部和外部培训，包括但不限于信息化相关法律法规 的宣贯、信息安全意识培训、信息化和信息安全常识和基础技能的培训等。 5.2 软件管理 5.2.1 根据日常业务需求，建立政务办公终端软件选用列表，提供支撑业务开展所必需的政务办公终 端软件。列表应包含系统软件和应用软件等类别，其中系统软件可包括操作系统、系统补丁等；应用软 件可包括输入法软件、文档编辑软件、文件压缩软件、网页浏览软件、邮件客户端软件、文件阅读器、 图片查看、媒体播放、安全防护软件以及打印机等办公设备驱动程序等。根据部门业务需要还可包括财 务软件、远程管理软件以及专用业务系统客户端等。 5.2.2 应依照政务办公终端软件选用列表，采用正版软件，建立软件资产清单。 5.2.3 对政务办公终端进行定期安全漏洞扫描，并通过正规渠道获取操作系统及应用软件的补丁程序。 5.3 安全制度 5.3.1 信息安全工作总体方针和安全策略中应包含政务办公终端安全。 5.3.2 对政务办公终端软件安全管理活动中重要的管理内容建立安全管理制度；对安全管理人员或操 作人员执行的重要政务办公终端软件管理操作建立操作规程。 5.3.3 通过正式有效的方式将管理制度和操作规程发布。 5.3.4 建立政务办公终端软件安装和变更的审批制度。因工作需要在政务办公终端中增加或减少安装 的软件、对软件进行升级、或变更软件配置前，应按照审批流程进行审核，经审核批准并备案后，由责 任部门或责任人对相关政务办公终端实施软件变更或监督实施软件变更。变更完成后，应及时更新软件 配置清单。 6 软件配置基本要求 6.1 操作系统配置要求 6.1.1 安装配置 6.1.1.1 按照统一规则为政务办公终端命名，名称应易于识别。 2 DB11/T 1041—2013 6.1.1.2 根据日常业务需求确定需要的组件和服务，仅安装支撑业务开展所必需的系统组件和服务。 6.1.2 账号配置 6.1.2.1 使用非系统管理员账号作为日常办公的账号，不应使用其他高权限或特殊权限账号进行日常 办公操作，不应将日常办公用的普通账号赋予系统管理员权限、其他高权限或特殊权限。 6.1.2.2 删除或禁用系统中的特殊账号、无用账号。 6.1.3 口令配置 6.1.3.1 设置账号口令保护机制，不应使用空口令账号登录系统。 6.1.3.2 账号口令应由字母、数字及特殊字符组成，长度应不少于6位。 6.1.3.3 重要账号口令应不少于8位。 6.1.4 日志配置 6.1.4.1 设置系统日志审计，对账号登录、策略更改、对象访问、服务访问、系统事件、账户管理等 行为进行日志记录。 6.1.4.2 日志记录的内容应包括事件发生的时间、主体、客体、行为（结果）等。 6.1.4.3 系统日志保留时间应不少于7天。 6.1.5 安全配置 6.1.5.1 6.1.5.2 6.1.5.3 6.1.5.4 6.1.5.5 6.1.5.6 IP地址。 关闭默认共享，明确共享文件夹的共享权限。 关闭移动存储介质的自动播放功能。 禁用远程桌面服务。 设置并启用带口令的屏幕保护程序，设定屏幕保护等待时间。 启用补丁自动更新功能。 为网络连接设置统一、可信的域名解析服务器IP地址，并至少设置1个备用的域名解析服务器 6.2 应用软件配置要求 6.2.1 一