電子政務(wù)終端安全護(hù)理實施策劃方案探析

1、信息安全風(fēng)險評估需求方案一、項目背景(放進(jìn)建議)二、項目目標(biāo)通過開展信息“安全風(fēng)險評估”, 完善安全治理機(jī)制；通過安全服務(wù)的引入，進(jìn)一步建立健全安全治理策略，實現(xiàn)安全風(fēng)險的可知、可控和可治理；通過建立信息安全風(fēng)險評估機(jī)制，實現(xiàn)信息安全風(fēng)險的動態(tài)跟蹤分析，為信息安全整體規(guī)劃提供科學(xué)的決策依據(jù)，進(jìn)一步加強(qiáng)網(wǎng)絡(luò)的整體安全防護(hù)能力，全面提升我信息系統(tǒng)整體安全防范能力，極大提高網(wǎng)絡(luò)與信息安全治理水平；通過深入挖掘網(wǎng)絡(luò)與信息系統(tǒng)存在的脆弱點，并以業(yè)務(wù)系統(tǒng)為關(guān)鍵要素，對現(xiàn)有的信息安全治理制度和技術(shù)措施的有效性進(jìn)行評估，不斷增強(qiáng)系統(tǒng)的網(wǎng)絡(luò)和信息系統(tǒng)抵御風(fēng)險安全風(fēng)險能力，促進(jìn)安全治理水平的提高，增強(qiáng)信息安全風(fēng)險

2、治理意識，培養(yǎng)信息安全專業(yè)人才，為各項業(yè)務(wù)提供安全可靠的支撐平臺。三、項目需求（一）服務(wù)要求1差不多要求 “安全風(fēng)險評估服務(wù)”全過程要求有據(jù)可依，并在產(chǎn)品使用有據(jù)可查，并保持項目之后的持續(xù)改進(jìn)。針對用戶單位網(wǎng)絡(luò)中的IT設(shè)備及應(yīng)用軟件，需要有軟件產(chǎn)品識不所有設(shè)備及其安全配置，或以其他方式收集、保存設(shè)備明細(xì)及安全配置，進(jìn)行資產(chǎn)收集作為建立信息安全體系的基礎(chǔ)。安全評估的過程及結(jié)果要求通過軟件或其他形式進(jìn)行展示。關(guān)于風(fēng)險的處理包括：協(xié)助用戶制定安全加固方案、在工程建設(shè)及日常運(yùn)維中提供安全值守、咨詢及支持服務(wù)，通過安全產(chǎn)品解決已知的安全風(fēng)險。在日常安全治理方面提供安全支持服務(wù)，并依照國家及行業(yè)標(biāo)準(zhǔn)制定信

3、息安全治理體系，針對安全治理員提供安全培訓(xùn)，遇有可能的安全事件發(fā)生時，提供應(yīng)急的安全分析、緊急響應(yīng)服務(wù)。2安全評估評估的范圍應(yīng)全面，涉及到網(wǎng)絡(luò)信息系統(tǒng)的各個方面，包括物理環(huán)境、網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、服務(wù)器及網(wǎng)絡(luò)安全設(shè)備的安全性、安全產(chǎn)品和技術(shù)的應(yīng)用狀況以及治理體系是否完善等等；同時對治理風(fēng)險、綜合安全風(fēng)險以及應(yīng)用系統(tǒng)安全性進(jìn)行評估；評估采納專業(yè)工具掃描（漏洞掃描、數(shù)據(jù)庫掃描采納產(chǎn)品必須為商業(yè)化產(chǎn)品）、人工評估、滲透測試三種相結(jié)合的方式，對各種操作系統(tǒng)進(jìn)行評估，包括：帳戶與口令安全、網(wǎng)絡(luò)服務(wù)安全、內(nèi)核參數(shù)安全、文件系統(tǒng)安全、日志安全等；從應(yīng)用系統(tǒng)相關(guān)硬件、軟件和數(shù)據(jù)等方面來審核應(yīng)用所處環(huán)境

4、下存在哪些威脅，依照顧用系統(tǒng)所存在的威脅，來確定需要達(dá)到哪些系統(tǒng)安全目標(biāo)才能保證應(yīng)用系統(tǒng)能夠抵擋預(yù)期的安全威脅。其他評估內(nèi)容應(yīng)至少包括以下幾方面：信息探測類網(wǎng)絡(luò)設(shè)備與防火墻RPC服務(wù)Web服務(wù)CGI問題文件服務(wù)域名服務(wù)Mail服務(wù)Windows遠(yuǎn)程訪問數(shù)據(jù)庫問題SQL 注入跨站腳本攻擊后門程序其他服務(wù)網(wǎng)絡(luò)拒絕服務(wù)(DOS)其他問題安全評估服務(wù)范圍應(yīng)包括但不只限于協(xié)助用戶完成2010年度信息安全專項檢查工作。 3安全加固每次對用戶單位網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行全面評估后應(yīng)立即制定安全加固方案，另外如用戶單位有緊急需求時可隨時安排制定安全加固方案。安全加固方案應(yīng)覆蓋用戶單位IT系統(tǒng)中所有服務(wù)器和網(wǎng)絡(luò)設(shè)備，以

5、及不同類不的操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用系統(tǒng)。安全加固方案不能阻礙用戶單位各項業(yè)務(wù)的正常進(jìn)行，假如加固過程需要臨時中斷業(yè)務(wù)，須設(shè)計具體的解決方案。同時，隨著信息技術(shù)的進(jìn)展，當(dāng)新的漏洞出現(xiàn)時，評估單位有責(zé)任和義務(wù)告知用戶，并配合用戶判定是否進(jìn)行相應(yīng)的加固工作；4緊急響應(yīng) 當(dāng)用戶單位信息系統(tǒng)出現(xiàn)安全事件后，用戶可立即啟動緊急響應(yīng)服務(wù)，服務(wù)應(yīng)包括遠(yuǎn)程緊急響應(yīng)和現(xiàn)場緊急響應(yīng)；緊急響應(yīng)均要求724小時提供。 緊急響應(yīng)要求在響應(yīng)請求發(fā)出2小時內(nèi)由工程師到達(dá)事故現(xiàn)場，協(xié)助用戶進(jìn)行處理； 響應(yīng)服務(wù)完成后評估單位需整理詳細(xì)的事故處理報告，內(nèi)容至少包括事故緣故分析、已造成的阻礙、處理方法、處理結(jié)果、預(yù)防和改進(jìn)建議；5安

6、全咨詢評估單位應(yīng)依照ISO17799等多個標(biāo)準(zhǔn)的相關(guān)要求對安全策略、安全制度、安全流程進(jìn)行審計，提供改進(jìn)建議，建立信息安全的“統(tǒng)一”策略治理機(jī)制，并對用戶單位信息安全體系建設(shè)規(guī)劃、信息安全治理體系、信息安全治理制度建設(shè)、安全域劃分等相關(guān)內(nèi)容提出符合國家及行業(yè)標(biāo)準(zhǔn)的合理化建議，并制定完整的解決方案。關(guān)于新建信息化項目應(yīng)從業(yè)務(wù)需求分析、系統(tǒng)設(shè)計、部署實施、測試驗收等全周期提供技術(shù)咨詢支持。6 安全事件通告 評估單位應(yīng)具備專門的安全研究人員以跟蹤最新安全技術(shù)進(jìn)展、收集業(yè)界公布的最新安全信息及時通告用戶單位最新的安全動態(tài)、安全技術(shù)的進(jìn)展趨勢，以及時效性專門強(qiáng)的漏洞、攻擊手法、病毒碼的預(yù)先通知； 評估單

7、位至少每月提供一次匯總的安全通告信息，當(dāng)廠商或安全組織公布緊急安全通告后評估單位應(yīng)在三天之內(nèi)提供給人保相關(guān)通告信息； 及時提供最新的設(shè)備補(bǔ)丁，隨時依照用戶需求，提供相應(yīng)安全漏洞與響應(yīng)的安全系統(tǒng)升級代碼；及時向招標(biāo)人提供國家頒發(fā)的最新安全制度與法規(guī)。7安全巡檢包括不限于以人工方式檢查主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備的日志信息、安全配置以及審計信息等，提出安全策略建議；如發(fā)覺異常現(xiàn)象或安全問題，及時向用戶單位反饋，并提供后續(xù)技術(shù)支持，配合問題的查處和解決。要求每月對安全防護(hù)產(chǎn)品進(jìn)行一次巡檢服務(wù)，并生成巡檢報告；每季度對所有主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)、安全產(chǎn)品進(jìn)行一次全面巡檢，并生成巡檢報告。8安全值守服務(wù)要求評估單位在

8、重大節(jié)假日及專門時期安排技術(shù)人員提供安全值守服務(wù)（包含在用戶單位值守及遠(yuǎn)程值守）。9安全培訓(xùn)服務(wù)要求每年安排兩次信息安全治理及技術(shù)培訓(xùn)（培訓(xùn)只負(fù)責(zé)提供師資及培訓(xùn)教材，培訓(xùn)教材可為電子版），同時，要求提供四人次專業(yè)技術(shù)認(rèn)證培訓(xùn)（含食宿）。10應(yīng)急演練服務(wù)要求配合用戶制定信息系統(tǒng)風(fēng)險應(yīng)急響應(yīng)方案，并每年至少安排一次信息系統(tǒng)風(fēng)險應(yīng)急演練。（二）服務(wù)原則 為保障安全風(fēng)險評估工作的有序進(jìn)行，特提出以下原則：1.保密性原則要求評估單位與用戶簽訂保密協(xié)議，在進(jìn)行信息安全風(fēng)險評估的過程中，嚴(yán)格遵循保密原則，評估過程中采取嚴(yán)格的治理措施，確保所涉及到的任何用戶保密信息，可不能泄露給第三方單位或個人，不得利用這些

9、信息損害用戶利益。2.最小阻礙原則要求從項目治理和技術(shù)應(yīng)用的層面，在風(fēng)險評估工作實施過程對現(xiàn)有信息系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行所可能的阻礙降到最低程度；要求制定風(fēng)險評估過程中的風(fēng)險規(guī)避方案及應(yīng)急措施。3.規(guī)范性原則要求評估機(jī)構(gòu)在充分總結(jié)多年開展信息系統(tǒng)安全風(fēng)險評估實踐經(jīng)驗的基礎(chǔ)上，確定規(guī)范的方案；在此次信息安全風(fēng)險評估任務(wù)執(zhí)行過程中，通過規(guī)范的項目治理，在人員、項目實施環(huán)節(jié)、質(zhì)量保障和時刻進(jìn)度等方面進(jìn)行嚴(yán)格管控。4.標(biāo)準(zhǔn)化原則風(fēng)險評估工作要求嚴(yán)格遵守國家和行業(yè)的相關(guān)法規(guī)、標(biāo)準(zhǔn)，并參考國際的標(biāo)準(zhǔn)來實施。5.完整性原則完整性原則包含以下兩個層次的內(nèi)容：評估內(nèi)容的完整性要求在風(fēng)險評估工作中，要綜合考慮所評估

10、信息系統(tǒng)的技術(shù)措施、人員、業(yè)務(wù)及運(yùn)行維護(hù)等方面，含蓋信息安全風(fēng)險評估合同要求。評估流程的完整性要求信息安全評估過程應(yīng)遵循科學(xué)性、規(guī)范性、嚴(yán)謹(jǐn)性原則。6.互動性原則在進(jìn)行信息安全風(fēng)險評估過程中，要求必須有用戶單位人員參與，雙方共同組成項目實施部門，進(jìn)行項目實施，從而保證項目執(zhí)行的效果并提高受的整體安全技能和安全意識。（三）評估內(nèi)容1.信息系統(tǒng)安全治理狀況檢查 評估各種安全制度的建立情況，包括：對終端計算機(jī)訪問互聯(lián)網(wǎng)的相關(guān)制度；對終端計算機(jī)接入內(nèi)網(wǎng)的相關(guān)制度；使用移動存儲介質(zhì)的制度；系統(tǒng)的業(yè)務(wù)應(yīng)用人員、系統(tǒng)的開發(fā)、維護(hù)、治理人員、系統(tǒng)開發(fā)、維護(hù)人員相關(guān)安全治理制度等。2.網(wǎng)絡(luò)架構(gòu)、網(wǎng)絡(luò)安全設(shè)備評估

11、范圍包括：業(yè)務(wù)辦公內(nèi)網(wǎng)、業(yè)務(wù)外網(wǎng)、辦公外網(wǎng)、外部單位聯(lián)網(wǎng)等；分析網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否清晰劃分網(wǎng)絡(luò)邊界；評估網(wǎng)絡(luò)的安全區(qū)域劃分以及訪問操縱措施。3.對資產(chǎn)自身存在的脆弱性進(jìn)行收集和整理物理環(huán)境， 包括 UPS、變電設(shè)備、空調(diào)、門禁等。交換機(jī)，包括核心交換機(jī)20臺，接入交換機(jī)20臺。檢查安全漏洞和補(bǔ)丁的升級情況，各VLAN間的訪問操縱策略；口令設(shè)置和治理，口令文件的安全存儲形式；配置文件的備份。路由器，包括核心路由器5臺，接入路由器10臺。檢查操作系統(tǒng)是否存在安全漏洞；配置方面，檢測端口開放、治理員口令設(shè)置與治理、口令文件安全存儲形式、訪問操縱表；是否能對配置文件進(jìn)行備份和導(dǎo)出；關(guān)鍵位置路由器是否有冗

12、余配置。安全設(shè)備，包括防火墻、入侵檢測系統(tǒng)、網(wǎng)閘、防病毒、桌面治理、審計、加密機(jī)、身份鑒不等；共約20臺。查看安全設(shè)備的部署情況。查看安全設(shè)備的配置策略；查看安全的日志記錄；通過漏洞掃描系統(tǒng)對安全進(jìn)行掃描。通過滲透性測試檢安全配置的有效性。4.重要服務(wù)器的安全配置小型機(jī)約60臺、服務(wù)器約200臺。登錄安全檢測；用戶及口令安全檢測；共享資源安全檢測；系統(tǒng)服務(wù)安全檢測；系統(tǒng)安全補(bǔ)丁檢測；日志記錄審計檢測；木馬檢測。5.核心業(yè)務(wù)系統(tǒng)的安全性對核心業(yè)務(wù)信息系統(tǒng)，在需求分析和設(shè)計時期是否充分識不安全需求；是否能確保系統(tǒng)文件的安全；是否能采取措施愛護(hù)應(yīng)用系統(tǒng)開發(fā)和維護(hù)過程中的信息安全。核查重要業(yè)務(wù)系統(tǒng)數(shù)據(jù)

13、訪問操盡情況，敏感文檔資料、服務(wù)器、用戶終端、數(shù)據(jù)庫等數(shù)據(jù)加密愛護(hù)能力。對門戶網(wǎng)站進(jìn)行滲透性測試；對網(wǎng)上報稅等核心業(yè)務(wù)系統(tǒng)進(jìn)行滲透性測試；對網(wǎng)絡(luò)邊界進(jìn)行滲透性測試；對內(nèi)網(wǎng)進(jìn)行滲透性測試。（四）評估的應(yīng)用系統(tǒng)1.應(yīng)用系統(tǒng)2.數(shù)據(jù)庫3.外部數(shù)據(jù)交換4.操作系統(tǒng)應(yīng)用系統(tǒng)和數(shù)據(jù)庫涉及到的主機(jī)操作系統(tǒng)。5.配電系統(tǒng)（1）供電系統(tǒng)（2）UPS（3）應(yīng)急供電系統(tǒng)6.機(jī)房環(huán)境系統(tǒng)（五）質(zhì)量操縱為保證信息安全風(fēng)險評估項目質(zhì)量，要求在風(fēng)險評估過程中就風(fēng)險評估過程操縱、風(fēng)險評估過程監(jiān)督、風(fēng)險評估結(jié)果的驗證等方面嚴(yán)格相關(guān)標(biāo)準(zhǔn)。四、服務(wù)周期信息安全風(fēng)險評估服務(wù)自2010年9月1日2011年8月31日。信息安全風(fēng)險評估是

14、從風(fēng)險治理角度，運(yùn)用定性、定量的科學(xué)分析方法和手段，依據(jù)有關(guān)信息安全技術(shù)與治理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評估的過程。風(fēng)險評估的差不多要素包括：需愛護(hù)的信息資產(chǎn)、信息資產(chǎn)的脆弱性、信息資產(chǎn)面臨的威脅、存在的可能風(fēng)險、安全防護(hù)措施等。風(fēng)險評估通過識不資產(chǎn)相關(guān)要素的關(guān)系，從而推斷資產(chǎn)面臨的風(fēng)險大小，要緊內(nèi)容有：一是對資產(chǎn)進(jìn)行識不并對資產(chǎn)的價值進(jìn)行賦值；二是對威脅進(jìn)行識不，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；三是對資產(chǎn)的脆弱性進(jìn)行識不并對具體資產(chǎn)脆弱性的嚴(yán)峻程度賦值；四是依照威脅及威脅利用弱點的難易程度推斷安全事件發(fā)生的可能性；五是依照脆弱性

15、的嚴(yán)峻程度及安全事件所作用資產(chǎn)的價值計算安全事件的損失；六是依照安全事件發(fā)生的可能性以及安全事件的損失，計算安全事件一旦發(fā)生對組織的阻礙，即風(fēng)險值。電子政務(wù)終端安全護(hù)理實施方案信息安全問題是所有國家在電子政務(wù)進(jìn)展中都十分關(guān)懷和重視的問題。隨著政府信息化進(jìn)程的加速，電子政務(wù)網(wǎng)絡(luò)環(huán)境日益復(fù)雜，安全形勢也日趨嚴(yán)峻。敏感信息被泄露、政府門戶網(wǎng)站被篡改，非法用戶入侵、惡意軟件攻擊等安全事件屢見不鮮。傳統(tǒng)的安全網(wǎng)關(guān)、防火墻、VPN等技術(shù)差不多不能完全有效地保障政務(wù)網(wǎng)絡(luò)的安全。據(jù)有關(guān)資料統(tǒng)計，網(wǎng)絡(luò)的安全事件有80%源自個人終端。終端差不多成為新的安全問題，是電子政務(wù)安全治理所面臨新的挑戰(zhàn)。目前國家機(jī)關(guān)中網(wǎng)絡(luò)

16、都具有相當(dāng)?shù)囊?guī)模，網(wǎng)絡(luò)中大量使用計算機(jī)終端設(shè)備，這些設(shè)備帶來高效應(yīng)用的同時，自身確實存在著安全風(fēng)險和隱患，因此應(yīng)該加強(qiáng)終端安全防護(hù)以保障整個電子政務(wù)網(wǎng)絡(luò)的安全運(yùn)行。由國家信息中心指導(dǎo)設(shè)計，中國信息安全測評中心，微軟中國有限公司、北信源自動化技術(shù)有限公司、北京瑞星信息技術(shù)有限公司等眾多行業(yè)優(yōu)勢部門和領(lǐng)先企業(yè)開發(fā)的政務(wù)終端安全護(hù)理整體解決方案，是面向各級政府部門的計算機(jī)終端，提供全面，強(qiáng)大易于治理的安全護(hù)理功能。政務(wù)終端安全護(hù)理整體解決方案采納分布式體系結(jié)構(gòu)，由全國級聯(lián)部署的終端安全護(hù)理平臺、系統(tǒng)補(bǔ)丁驗證測試實驗室、終端安全護(hù)理軟件和殺毒軟件構(gòu)成，可為全國各級政府部門提供全方位的安全護(hù)理服務(wù)。終端

17、使用者不再需要任何安全方面的操作就能夠確保自己的計算機(jī)始終處于安全狀態(tài)。一、電子政務(wù)終端安全治理的重要性和功能要求（一）政務(wù)終端安全治理的重要性我們強(qiáng)調(diào)終端安全治理的重要性，一是終端安全是安全治理工作中最薄弱的環(huán)節(jié)，因為終端的使用一直是個人行為，每一個人的安全觀念、知識水平和法規(guī)意識不同，決定著終端的安全狀態(tài)，使用單位關(guān)于大量終端的安全又難于全面掌控；二是終端已成為進(jìn)行網(wǎng)絡(luò)攻擊的工具，攻擊者借助終端攻擊政府部門的信息系統(tǒng)，竊取國家的敏感信息，傳播黑客和木馬病毒，給整個信息系統(tǒng)造成危害。終端安全安全配置治理是關(guān)鍵。終端是信息加工、處理和存儲的重要基礎(chǔ)設(shè)備，其安全性會嚴(yán)峻阻礙整個網(wǎng)絡(luò)的安全，而安全

18、漏洞的大量存在是終端脆弱性的要緊緣故。因此通過限制用戶權(quán)限、關(guān)閉部分服務(wù)功能等安全配置治理可有效減少系統(tǒng)漏洞，提高終端防護(hù)能力。（二）政務(wù)終端安全治理的必要性2009年中國網(wǎng)民網(wǎng)絡(luò)信息安全狀況調(diào)查系列報告顯示52%的網(wǎng)絡(luò)終端曾遭遇過網(wǎng)絡(luò)安全事件。安全事件造成的損失要緊是時刻成本，平均每人需要花費(fèi)約10個小時處理安全事故。其次是經(jīng)濟(jì)方面的損失，2009年終端用戶在處理網(wǎng)絡(luò)系統(tǒng)、操作系統(tǒng)癱瘓、數(shù)據(jù)、文件等丟失或損壞等安全事件所支出的服務(wù)相關(guān)費(fèi)用共計153億元人民幣。實行終端安全配置統(tǒng)一化和標(biāo)準(zhǔn)化，不僅有利于降低系統(tǒng)風(fēng)險、方便信息安全防范措施的統(tǒng)一部署和實施效率，還可有效降低終端安全治理的復(fù)雜性和維

19、護(hù)成本。因此，推動終端安全護(hù)理的實施。關(guān)于降低政府信息化安全成本有著重要作用?？蓪崿F(xiàn)終端安全配置和治理的自主化，有利于推動系統(tǒng)軟件的升級改造和自主創(chuàng)新，也是利用政府應(yīng)用推動國產(chǎn)化的一個契機(jī)。（三）政務(wù)終端安全治理的要求在終端安全治理上實際工作中存在許多困難，一方面由于多數(shù)終端用戶缺乏必要的計算機(jī)安全治理知識，不能及時下載終端操作系統(tǒng)補(bǔ)丁，并對補(bǔ)丁進(jìn)行必要的安全測試。用戶對病毒等惡意軟件不能及時有效地查殺和清除，而過多地依靠殺毒軟件阻礙了終端系統(tǒng)的使用效率。另一方面信息系統(tǒng)治理者，不能及時了解計算機(jī)終端的安全狀態(tài)，無法配置計算機(jī)終端的安全策略，也缺乏對終端上網(wǎng)行為、移動設(shè)備使用、終端訪問權(quán)限操縱

20、等諸多阻礙整個信息系統(tǒng)安全行為的有效治理。上述問題的存在也就產(chǎn)生了對計算機(jī)終端安全的功能要求。目前，我國電子政務(wù)將網(wǎng)絡(luò)按其功能區(qū)分為：政務(wù)內(nèi)網(wǎng)、政務(wù)專網(wǎng)、政務(wù)外網(wǎng)三個架構(gòu)。其不同的電子政務(wù)網(wǎng)絡(luò)系統(tǒng)，關(guān)于信息安全要求是不同的，然而對政務(wù)終端的差不多安全要求卻是一致的，要緊集中在以下幾個方面：身份認(rèn)證、訪問操縱、特權(quán)治理、安全審計、免疫機(jī)制、文件愛護(hù)、安全傳輸、軟件治理、設(shè)備治理。（三）政務(wù)終端安全治理的功能政務(wù)終端安全治理要緊針對個人計算機(jī)的操作系統(tǒng)、掃瞄器、辦公軟件、郵件系統(tǒng)和其他常用軟件制定相關(guān)的安全配置，對終端進(jìn)行安全和性能雙層加固。其功能要緊表現(xiàn)在以下幾個方面：加強(qiáng)系統(tǒng)安全（口令治理、身

21、份認(rèn)證、系統(tǒng)審核）；杜絕安全隱患（禁用高危服務(wù)端口、非法程序腳本執(zhí)行、非授權(quán)程序安裝）；限制非法操作（用戶權(quán)限治理、進(jìn)程內(nèi)存配額治理）；啟用安全愛護(hù)（數(shù)字簽名、進(jìn)程愛護(hù)）；減低資源白費(fèi)（系統(tǒng)資源占用治理）。二、政務(wù)終端安全標(biāo)準(zhǔn)框架內(nèi)容政務(wù)終端安全核心配置標(biāo)準(zhǔn)框架從總體上可分為三大類：（一）總體標(biāo)準(zhǔn)要緊依照安全需求制定終端所有達(dá)到的要求。1、政務(wù)終端安全核心配置規(guī)范。賬戶治理配置。此類安全配置用于愛護(hù)用戶的登錄信息，增加賬戶信息被竊取的復(fù)雜度。要緊包括賬戶策略和密碼策略；系統(tǒng)安全配置。此類配置有利于加固操作系統(tǒng)自身的安全性，降低由于權(quán)限、漏洞、監(jiān)控等問題帶來的風(fēng)險。配置內(nèi)容要緊包括審核策略、安全

22、選項、用戶權(quán)限分配和事件日志；終端組件配置。要緊加強(qiáng)用戶安裝的軟硬件治理，對可能造成危害的情況實施操縱或限制使用范圍。要緊包括IE治理、附件治理、電源治理、顯示治理、談天工具、會話治理、終端服務(wù)治理、網(wǎng)絡(luò)會議等配置內(nèi)容；另外還有域配置和用戶等配置等規(guī)范。2、政務(wù)終端等級愛護(hù)安全配置要求。依據(jù)計算機(jī)信息系統(tǒng)安全愛護(hù)等級劃分準(zhǔn)則和信息系統(tǒng)安全等級愛護(hù)差不多模型，針對自主愛護(hù)級、指導(dǎo)愛護(hù)級、監(jiān)督愛護(hù)級、強(qiáng)制愛護(hù)級和?？貝圩o(hù)級五種安全愛護(hù)等級，從物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全和應(yīng)用安全四個層面，專門對政務(wù)終端安全核心配置提出等級愛護(hù)要求。（二）技術(shù)指標(biāo)類要緊為各配置項設(shè)定具體內(nèi)容，通過不同的策略值滿足不

23、同的層次要求。1、操作系統(tǒng)安全基線。依照網(wǎng)絡(luò)和信息系統(tǒng)等級愛護(hù)的要求，要達(dá)到的安全配置，保證即安全又有良好的使用性。包括賬戶策略、本地策略、系統(tǒng)策略、網(wǎng)絡(luò)策略和操作系統(tǒng)組件。其分為五個級不：用戶自主愛護(hù)、系統(tǒng)審計愛護(hù)、安全標(biāo)記愛護(hù)、機(jī)構(gòu)化愛護(hù)和訪問驗證愛護(hù)。2、掃瞄器安全基線。包括更新治理、站點治理、腳本操縱、開發(fā)語言權(quán)限、掃瞄器進(jìn)程治理和控件治理等內(nèi)容。要緊配置為：權(quán)限治理、歷史記錄、操縱面板、高級頁面、互聯(lián)網(wǎng)安全頁和限制站點治理。3、辦公軟件安全基線。為了減少辦公軟件使用時給終端帶來的危險，規(guī)定其安全配置要求。要緊包括文字處理、表格處理、圖片處理和閱讀器等辦公軟件的加密處理、打開或存儲文件

24、格式治理、信任模式操縱治理、超級鏈接治理、不可信文件處理、升級治理和宏操縱等方面的配置限定。4、郵件系統(tǒng)安全基線。規(guī)定了郵件系統(tǒng)安全配置的最低要求，降低對終端所造成的安全風(fēng)險。內(nèi)容包括附件治理、自動下載附件、可信郵件查收、設(shè)定信任等級、密碼治理、郵件許可僅變更、內(nèi)容連接操縱、郵件加密、上載附件治理和圖片下載治理等。5、常用軟件安全基線。加強(qiáng)終端常用軟件的安全治理，減少安全威脅。規(guī)定了網(wǎng)絡(luò)下載、媒體播放和即時通信等應(yīng)用軟件在使用權(quán)限、流量操縱、自動啟動、自動下載和升級治理等方面的內(nèi)容。（三）應(yīng)用支撐類要緊為了增強(qiáng)標(biāo)準(zhǔn)的有用性和可用性，制定了相關(guān)的要求規(guī)范。1、政務(wù)終端安全核心配置目錄。包括配置標(biāo)

25、識、配置名稱、配置值、策略路徑和策略描述等。2、政務(wù)終端安全配置格式規(guī)范。用來規(guī)定描述安全配置格式，以XML語言的樹形結(jié)構(gòu)來描述數(shù)據(jù)，要緊包括安全配置版本信息、基線配置分組、標(biāo)準(zhǔn)配置值檢查和有關(guān)配置解釋。3、政務(wù)終端安全配置實施指南。從標(biāo)準(zhǔn)的研制、驗證、治理、分發(fā)、部署、檢測六個方面，系統(tǒng)地描述政務(wù)終端安全核心配置標(biāo)準(zhǔn)的實施過程。要緊包括策略制定、策略治理、策略分發(fā)、策略配置和策略檢查。三、政務(wù)終端安全建設(shè)實施打算（一）政務(wù)終端安全部署打算依托國家政務(wù)外網(wǎng)（省公務(wù)外網(wǎng)）基礎(chǔ)設(shè)施，建設(shè)省、市、縣三級，覆蓋全省11個設(shè)區(qū)市和140個縣（市）的政務(wù)終端安全核心配置標(biāo)準(zhǔn)應(yīng)用支撐平臺。在國家信息中心建設(shè)

26、的政務(wù)終端標(biāo)準(zhǔn)應(yīng)用平臺中心節(jié)點的支撐下，在省政府辦公廳公務(wù)外網(wǎng)中心機(jī)房建設(shè)省級節(jié)點。依照平臺技術(shù)要求配備必要的服務(wù)器和存儲設(shè)備，首先在省政府辦公廳和部分省直部門部署政務(wù)終端安全護(hù)理。（二）組織政務(wù)終端安全護(hù)理平臺技術(shù)推廣隊伍政務(wù)終端安全護(hù)理平臺的推廣將采取市場化運(yùn)作的方式進(jìn)行，選擇省內(nèi)具有豐富信息安全實施經(jīng)驗，并得到國家權(quán)威部門認(rèn)可的專業(yè)信息技術(shù)公司，做為專業(yè)技術(shù)維護(hù)隊伍，進(jìn)行技術(shù)支持與應(yīng)用推廣工作。（三）組織市級節(jié)點應(yīng)用試點和驗證工作擴(kuò)大應(yīng)用范圍，完成全省所有市級節(jié)點的部署工作，選擇一個設(shè)區(qū)市展開政務(wù)終端安全核心配置標(biāo)準(zhǔn)示范應(yīng)用，進(jìn)行試點單位終端護(hù)理平臺統(tǒng)一的安全配置策略部署。省政府辦公廳依托指定的政務(wù)終端安全護(hù)理應(yīng)用推廣技術(shù)支持公司，會同省保密局和省安全測評中心，對全省的政府采購終端設(shè)備強(qiáng)制執(zhí)行配置預(yù)裝方式。（四）政務(wù)終端安全護(hù)理培訓(xùn)政務(wù)終端安全護(hù)理技術(shù)推廣將組織一系列的應(yīng)用培訓(xùn)工作。1、標(biāo)準(zhǔn)培訓(xùn)。針對機(jī)關(guān)工作人員，要緊介紹政務(wù)終端安全配置的基礎(chǔ)內(nèi)容和框架，增強(qiáng)培訓(xùn)人員對使