DB23 T 3344-2022 电子政务外网安全管理规范第2部分：终端设备接入安全规范.pdf

1、ICS 35.240.01CCS L 67DB23黑龙江省地方标准DB23/T 33442022电子政务外网安全管理规范第 2 部分：终端设备接入安全规范2022-09-27 发布2022-10-26 实施黑龙江省市场监督管理局发 布DB23/T 3344-2022I前言本文件按照GB/T 1.1-2020给出的规则起草。本文件由黑龙江省营商环境建设监督局提出并归口。本文件主要起草单位：黑龙江省营商环境建设监督局、黑龙江省政务大数据中心、黑龙江省标准化研究院、哈尔滨金斗云科技有限公司。本文件主要起草人：谢晓菲、孙雷、赵文敬、曹维、罗南、王东、李婷、任秉嘉、范晓明、陈要武、杨大志、吕猛、王磊、李

2、严、王艳君、刘思妤、张敬。DB23/T 3344-20221电子政务外网安全管理规范第2部分：终端设备接入安全规范1范围本文件规定了黑龙江省电子政务外网终端设备接入的基础框架和要求。本文件适用于接入黑龙江省电子政务外网终端设备的安全规范。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。本文件没有规范性引用文件。3术语和定义下列术语和定义适用于本文件。3.1办公终端指接入政务外网并访问政务外网公共区业务的办公终端，包括台式微型计算机系统、便携微型

3、计算机系统、瘦客户机系统或虚拟终端系统等。3.2移动终端指在移动业务中使用的，基于互联网进行通信，从电子政务外网安全接入区接入的智能终端设备，包括手机、PAD等通用终端和专用终端设备。3.3物联网终端指接入政务外网的不具备常规操作系统的服务型终端，包括门禁、网络打印机、摄像头、视频会议终端等。4缩略语下列缩略语适用于本文件。CA：证书颁发机构（Certificate Authority）MAC：媒体接入控制（Media Access Control）IP：网际互联协议（Internet Protocol）DB23/T 3344-202225办公终端接入安全管控技术要求5.1终端准入控制5.1.

4、1身份认证身份认证包括：a)接入政务外网的用户终端应具备唯一标识，唯一标识的信息至少包括使用者信息和终端设备信息，并实现用户与终端实名绑定，以便后续审计溯源；b)用户终端接入政务外网宜使用双因素进行身份认证；c)当用户终端接入政务外网时，应加密鉴别信息，保障传输和存储过程中的安全；d)口令应至少由 8 位字符组成,包含字母、数字和特殊字符等三种以上类型，并定期进行口令更换，禁止使用弱口令；e)可支持单点登录，避免重复认证。5.1.2安全检查终端接入政务外网之前，应通过安全接入检查，不符合要求的终端不允许接入政务外网。包括但不限于检查以下内容：a)检查终端是否安装运行了防病毒软件，病毒库版本是否

5、为最新版本；b)检查终端是否存在弱口令账户；c)检查终端是否存在恶意进程或软件；d)检查终端是否存在未修复的高危漏洞。5.2访问控制与安全隔离办公终端存在多个网络情况下，满足但不限于以下需求：a)终端接入政务外网时，应至少实现基于用户的资源访问控制，并实现最小授权；b)可对终端环境进行持续检测和评估，根据评估情况动态调整其权限；a)可对终端进行网络隔离，确保终端获得准入授权后访问政务外网，不能同时访问其他网络。5.3终端安全防护5.3.1基本要求应对终端进行恶意代码防范、终端入侵防护、非法外联控制、安全基线检查、漏洞检测修复、数据安全防护、终端软件补丁、操作系统系统补丁等。5.3.2恶意代码防

6、范及入侵防护接入政务外网的用户终端应安装病毒与恶意代码防护软件，并及时更新病毒与恶意代码库，支持终端入侵防护，开启实时防护，以防止系统破坏、数据窃取。5.3.3非法外联控制终端连接政务外网时，应能检测终端通过无线热点、双网卡、非法网关连接互联网的行为，并应对该行为进行告警和阻断。5.3.4安全基线检查DB23/T 3344-20223接入政务外网的终端应通过安全检查策略配置，进行安全基线检查，发现并识别与基线不符的配置项进行引导修复。5.3.5漏洞检测修复及时通过检测发现办公终端存在的漏洞包括：a)对操作系统等对象进行安全扫描，及时发现终端操作系统等存在的漏洞；b)可识别终端操作系统开放的端口

7、及服务，及时发现高危端口或服务存在的安全漏洞；c)对终端存在的漏洞进行补丁修复。5.3.6数据安全防护数据安全防护包括：a)对通过邮件、即时通信、网盘、移动存储介质等通道泄露数据的行为进行控制，防止政务敏感数据外泄；b)业务数据通信访问加密保护，防止政务数据外泄，且支持国密算法；c)对剪贴、截屏等数据外泄行为进行控制；d)对用户拍照、截屏等行为进行审计溯源；e)可对文件追踪溯源。5.3.7终端补丁管理对终端补丁进行统一管理包括：a)从官方途径获取补丁修复信息，整合生成补丁库；b)自动、手动补丁导入，导入补丁原则不能直接与互联网连通；c)补丁分发、补丁安装等补丁管理。6移动终端接入安全管控技术要

8、求6.1移动终端准入控制6.1.1身份认证身份认证包括：a)移动终端接入政务外网的用户终端应具备唯一标识，唯一标识的信息应至少包括使用者信息和终端设备信息，并实现用户与终端实名绑定，以便后续审计溯源；b)移动设备接入政务外网应开启接入认证功能，并且禁止使用 WEP 方式进行认证，如使用口令长度不小于 8 位字符。6.1.2安全检查移动终端接入政务外网之前，应通过安全接入检查，不符合要求的终端不允许接入政务外网。检查但不限于以下内容：a)能检查终端是否安装和运行了必备应用；b)能检查终端是否存在恶意应用；c)应保证移动业务应用软件的签名证书合法性。6.1.3资源访问控制DB23/T 3344-2

9、0224资源访问控制包括：a)移动终端接入政务外网时，应至少实现基于用户的资源访问控制，并实现最小授权；b)可对移动终端环境进行持续检测和评估，根据评估情况动态调整其权限。6.2终端安全隔离移动终端存在访问多个网络的情况下，满足以下要求：a)可对终端进行网络隔离，确保终端获得准入授权后访问政务外网，不能同时访问其他网络；b)移动终端首次接入政务外网对移动终端和 SSID 进行绑定。7物联网终端接入安全管控技术要求7.1终端准入控制7.1.1身份认证身份认证包括：a)接入政务外网的物联网终端应具备唯一标识，唯一标识的信息应至少包括终端设备的 IP、MAC、端口信息；b)能够阻止非法终端同时伪造合

10、法物联网终端的 IP 和 MAC 信息接入网络。7.1.2安全检查物联网终端接入政务外网之前，应通过安全接入检查，不符合要求的终端不允许接入政务外网。检查但不限于以下内容：a)检查物联网终端是否存在弱口令账户；b)检查物联网终端是否存在未修复的高危漏洞；c)检查物联网终端是否开启高危网络端口；d)检查物联网终端的固件版本是否为最新版本。7.1.3资源访问控制资源访问控制包括：a)物联网终端接入政务外网时，应至少实现基于设备类型的资源访问控制，并实现最小授权；b)可对物联网终端环境进行持续检测和评估，根据评估情况动态调整其权限。7.1.4异常行为检测对物联网终端进行异常行为检测，检测物联网终端的网络访问是否超出连接数、网络流量阈值，并能对异常进行告警、隔离等处置。7.1.5物联网终端资产管理能发现并识别接入政务外网的物联网终端，形成资产清单，至少包括IP、MAC、服务端口、操作系统、设备类型、设备型号、生产厂家等信息。