ICS 35.240.01 CCS L 67 黑 DB23 龙 江 省 地 方 标 准 DB23/T 3344—2022 电子政务外网安全管理规范 第 2 部分：终端设备接入安全规范 2022 - 09 - 27 发布 黑龙江省市场监督管理局 2022 - 10 - 26 实施 发 布 DB23/T 3344-2022 前 言 本文件按照GB/T 1.1-2020给出的规则起草。 本文件由黑龙江省营商环境建设监督局提出并归口。 本文件主要起草单位：黑龙江省营商环境建设监督局、黑龙江省政务大数据中心、黑龙江省标 准化研究院、哈尔滨金斗云科技有限公司。 本文件主要起草人：谢晓菲、孙雷、赵文敬、曹维、罗南、王东、李婷、任秉嘉、范晓明、陈要武、 杨大志、吕猛、王磊、李严、王艳君、刘思妤、张敬。 I DB23/T 3344-2022 电子政务外网安全管理规范 第2部分：终端设备接入安全规范 1 范围 本文件规定了黑龙江省电子政务外网终端设备接入的基础框架和要求。 本文件适用于接入黑龙江省电子政务外网终端设备的安全规范。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件，不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 本文件没有规范性引用文件。 3 术语和定义 下列术语和定义适用于本文件。 3.1 办公终端 指接入政务外网并访问政务外网公共区业务的办公终端，包括台式微型计算机系统、便携微型计算 机系统、瘦客户机系统或虚拟终端系统等。 3.2 移动终端 指在移动业务中使用的，基于互联网进行通信，从电子政务外网安全接入区接入的智能终端设备， 包括手机、PAD等通用终端和专用终端设备。 3.3 物联网终端 指接入政务外网的不具备常规操作系统的服务型终端，包括门禁、网络打印机、摄像头、视频会议 终端等。 4 缩略语 下列缩略语适用于本文件。 CA：证书颁发机构（Certificate Authority） MAC：媒体接入控制（Media Access Control） IP：网际互联协议（Internet Protocol） 1 DB23/T 3344-2022 5 办公终端接入安全管控技术要求 5.1 终端准入控制 5.1.1 身份认证 身份认证包括： a) 接入政务外网的用户终端应具备唯一标识，唯一标识的信息至少包括使用者信息和终端设备信 息，并实现用户与终端实名绑定，以便后续审计溯源； b) 用户终端接入政务外网宜使用双因素进行身份认证； c) 当用户终端接入政务外网时，应加密鉴别信息，保障传输和存储过程中的安全； d) 口令应至少由 8 位字符组成,包含字母、数字和特殊字符等三种以上类型，并定期进行口令更 换，禁止使用弱口令； e) 可支持单点登录，避免重复认证。 5.1.2 安全检查 终端接入政务外网之前，应通过安全接入检查，不符合要求的终端不允许接入政务外网。包括但不 限于检查以下内容： a) 检查终端是否安装运行了防病毒软件，病毒库版本是否为最新版本； b) 检查终端是否存在弱口令账户； c) 检查终端是否存在恶意进程或软件； d) 检查终端是否存在未修复的高危漏洞。 5.2 访问控制与安全隔离 办公终端存在多个网络情况下，满足但不限于以下需求： a) 终端接入政务外网时，应至少实现基于用户的资源访问控制，并实现最小授权； b) 可对终端环境进行持续检测和评估，根据评估情况动态调整其权限； a) 可对终端进行网络隔离，确保终端获得准入授权后访问政务外网，不能同时访问其他网络。 5.3 5.3.1 终端安全防护 基本要求 应对终端进行恶意代码防范、终端入侵防护、非法外联控制、安全基线检查、漏洞检测修复、数据 安全防护、终端软件补丁、操作系统系统补丁等。 5.3.2 恶意代码防范及入侵防护 接入政务外网的用户终端应安装病毒与恶意代码防护软件，并及时更新病毒与恶意代码库，支持终 端入侵防护，开启实时防护，以防止系统破坏、数据窃取。 5.3.3 非法外联控制 终端连接政务外网时，应能检测终端通过无线热点、双网卡、非法网关连接互联网的行为，并应对 该行为进行告警和阻断。 5.3.4 安全基线检查 2 DB23/T 3344-2022 接入政务外网的终端应通过安全检查策略配置，进行安全基线检查，发现并识别与基线不符的配置 项进行引导修复。 5.3.5 漏洞检测修复 及时通过检测发现办公终端存在的漏洞包括： a) 对操作系统等对象进行安全扫描，及时发现终端操作系统等存在的漏洞； b) 可识别终端操作系统开放的端口及服务，及时发现高危端口或服务存在的安全漏洞； c) 对终端存在的漏洞进行补丁修复。 5.3.6 数据安全防护 数据安全防护包括： a) 对通过邮件、即时通信、网盘、移动存储介质等通道泄露数据的行为进行控制，防止政务敏感 数据外泄； b) 业务数据通信访问加密保护，防止政务数据外泄，且支持国密算法； c) 对剪贴、截屏等数据外泄行为进行控制； d) 对用户拍照、截屏等行为进行审计溯源； e) 可对文件追踪溯源。 5.3.7 终端补丁管理 对终端补丁进行统一管理包括： a) 从官方途径获取补丁修复信息，整合生成补丁库； b) 自动、手动补丁导入，导入补丁原则不能直接与互联网连通； c) 补丁分发、补丁安装等补丁管理。 6 移动终端接入安全管控技术要求 6.1 移动终端准入控制 6.1.1 身份认证 身份认证包括： a) 移动终端接入政务外网的用户终端应具备唯一标识，唯一标识的信息应至少包括使用者信息和 终端设备信息，并实现用户与终端实名绑定，以便后续审计溯源； b) 移动设备接入政务外网应开启接入认证功能，并且禁止使用 WEP 方式进行认证，如使用口令长 度不小于 8 位字符。 6.1.2 安全检查 移动终端接入政务外网之前，应通过安全接入检查，不符合要求的终端不允许接入政务外网。检查 但不限于以下内容： a) 能检查终端是否安装和运行了必备应用； b) 能检查终端是否存在恶意应用； c) 应保证移动业务应用软件的签名证书合法性。 6.1.3 资源访问控制 3 DB23/T 3344-2022 资源访问控制包括： a) 移动终端接入政务外网时，应至少实现基于用户的资源访问控制，并实现最小授权； b) 可对移动终端环境进行持续检测和评估，根据评估情况动态调整其权限。 6.2 终端安全隔离 移动终端存在访问多个网络的情况下，满足以下要求： a) 可对终端进行网络隔离，确保终端获得准入授权后访问政务外网，不能同时访问其他网络； b) 7 移动终端首次接入政务外网对移动终端和 SSID 进行绑定。 物联网终端接入安全管控技术要求 7.1 终端准入控制 7.1.1 身份认证 身份认证包括： a) 接入政务外网的物联网终端应具备唯一标识，唯一标识的信息应至少包括终端设备的 IP、MAC、 端口信息； b) 能够阻止非法终端同时伪造合法物联网终端的 IP 和 MAC 信息接入网络。 7.1.2 安全检查 物联网终端接入政务外网之前，应通过安全接入检查，不符合要求的终端不允许接入政务外网。检 查但不限于以下内容： a) 检查物联网终端是否存在弱口令账户； b) 检查物联网终端是否存在未修复的高危漏洞； c) 检查物联网终端是否开启高危网络端口； d) 检查物联网终端的固件版本是否为最新版本。 7.1.3 资源访问控制 资源访问控制包括： a) 物联网终端接入政务外网时，应至少实现基于设备类型的资源访问控制，并实现最小授权； b) 可对物联网终端环境进行持续检测和评估，根据评估情况动态调整其权限。 7.1.4 异常行为检测 对物联网终端进行异常行为检测，检测物联网终端的网络访问是否超出连接数、网络流量阈值，并 能对异常进行告警、隔离等处置。 7.1.5 物联网终端资产管理 能发现并识别接入政务外网的物联网终端，形成资产清单，至少包括IP、MAC、服务端口、操作系 统、设备类型、设备型号、生产厂家等信息。 4