發(fā)布日期:2023-03-27 20:10 瀏覽次數(shù):
本標準規(guī)定了辦公信息系統(tǒng)的安全基本技術(shù)要求。
本標準適用于指導黨政部門的辦公信息系統(tǒng)建設(shè),包括在系統(tǒng)設(shè)計、產(chǎn)品采購、系統(tǒng)集成等方面應(yīng)遵循的基本原則,以及應(yīng)滿足的基本技術(shù)要求。涉密辦公信息系統(tǒng)的建設(shè)管理依據(jù)相關(guān)國家保密法規(guī)和標準要求實施。
下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 2887-2011 計算機場地通用規(guī)范
GB/T 18018 信息安全技術(shù) 路由器安全技術(shù)要求
GB 18030-2005 信息技術(shù) 中文編碼字符集
GB/T 20272 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求
GB/T 20273 信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求
GB/T 20275-2013 信息安全技術(shù) 網(wǎng)絡(luò)入侵檢測系統(tǒng)技術(shù)要求和測試評價方法
GB/T 20281-2015 信息安全技術(shù) 防火墻技術(shù)要求和測試評價方法
GB/T 21028-2007 信息安全技術(shù) 服務(wù)器安全技術(shù)要求
GB/T 21050-2007 信息安全技術(shù) 網(wǎng)絡(luò)交換機安全技術(shù)要求(評估保證級3)
GB/T 21052-2007 信息安全技術(shù) 信息系統(tǒng)物理安全技術(shù)要求
GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求
GB/T 25069-2010 信息安全技術(shù) 術(shù)語
GB/T 26856-2011 中文辦公軟件基礎(chǔ)要求及符合性測試規(guī)范
GB/T 28452-2012 信息安全技術(shù) 應(yīng)用軟件系統(tǒng)通用安全技術(shù)要求
GB/T 29240-2012 信息安全技術(shù) 終端計算機通用安全技術(shù)要求與測試評價方法
GB/T 33190-2016 電子文件存儲與交換格式 版式文檔
GB/T 25069-2010界定的以及下列術(shù)語和定義適用于本文件。
3.1
辦公信息系統(tǒng) office information system
由服務(wù)器、桌面PC、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用服務(wù)器中間件、辦公軟件、網(wǎng)絡(luò)設(shè)施、應(yīng)用軟件系統(tǒng)等軟硬件組成,通過數(shù)據(jù)的收集、存儲、傳遞、管理和處理等手段,提供辦公服務(wù)的信息系統(tǒng)。
3.2
用戶相關(guān)信息 user related information
使用辦公信息系統(tǒng)的自然人或法人的信息及其元數(shù)據(jù)。
注:用戶相關(guān)信息包括用戶個人信息,辦公信息系統(tǒng)中用戶生成的文檔、程序、多媒體資料,用戶通信的內(nèi)容、地址、時間,產(chǎn)品的配置、運行及位置數(shù)據(jù)等。
3.3
第三方測試機構(gòu) third party test organization
與產(chǎn)品供應(yīng)方、產(chǎn)品應(yīng)用方等相關(guān)各方均獨立的專業(yè)測試機構(gòu)。
下列縮略語適用于本文件。
BIOS:基本輸入輸出系統(tǒng)(Basic Input Output System)
CA:認證授權(quán)(Certificate Authority)
CPU:中央處理器(Central Processing Unit)
PC:個人計算機(Personal Computer)
USB:通用串行總線(Universal Serial Bus)
5.1 標準符合原則
辦公信息系統(tǒng)所采用的軟硬件產(chǎn)品在功能性、性能、可靠性、安全性等方面應(yīng)符合相關(guān)的國家標準。
5.2 開放兼容原則
辦公信息系統(tǒng)所采用的軟硬件產(chǎn)品應(yīng)在同類產(chǎn)品之間可替換,并支持兩種或以上操作系統(tǒng)架構(gòu),相關(guān)產(chǎn)品之間應(yīng)具備良好的兼容適配性,保證辦公信息系統(tǒng)的互操作性和可移植性。
5.3 安全性原則
辦公信息系統(tǒng)軟硬件產(chǎn)品提供商應(yīng)當為其產(chǎn)品、服務(wù)持續(xù)提供安全維護;不得在產(chǎn)品中預置、加載禁用安全機制或繞過安全機制的功能;承諾在產(chǎn)品維護升級更新活動中,不侵害用戶信息安全;收集用戶個人敏感信息前,應(yīng)取得用戶的明示同意;不將搜集掌握的用戶相關(guān)信息在境外存儲和處理,不得泄退止提供安全維護。
6.1 概述
本章對辦公信息系統(tǒng)部署和運維的物理環(huán)境提出了要求,并對辦公信息系統(tǒng)的重要組成部分,包括基礎(chǔ)軟硬件產(chǎn)品、網(wǎng)絡(luò)設(shè)施、應(yīng)用軟件系統(tǒng)提出了要求。
6.2 通用要求
辦公信息系統(tǒng)應(yīng)按照GB/T 22239-2008的第三級及以上要求進行設(shè)計、建設(shè)和運維。
6.3 物理環(huán)境
辦公信息系統(tǒng)的物理環(huán)境應(yīng)滿足以下要求:
a)辦公信息系統(tǒng)部署、運維的機房建設(shè)應(yīng)符合GB/T 2887-2011的相應(yīng)要求;
b)辦公信息系統(tǒng)部署、運維的物理環(huán)境應(yīng)符合GB/T 21052-2007的相應(yīng)要求。
6.4 基礎(chǔ)軟硬件產(chǎn)品
6.4.1 硬件產(chǎn)品
6.4.1.1 服務(wù)器
6.4.1.1.1 服務(wù)器硬件指標
服務(wù)器硬件指標應(yīng)符合GB/T 21028-2007中第三級及以上安全要求。
6.4.1.1.2 BIOS
服務(wù)器的BIOS要求主要包括:
a)BIOS的配置界面應(yīng)支持中文顯示;
b)BIOS應(yīng)支持固件軟件安全升級;
c)針對CPU及芯片組固件驅(qū)動、操作系統(tǒng)內(nèi)核等,BIOS應(yīng)支持上述設(shè)備經(jīng)過國家認可的第三方CA機構(gòu)頒發(fā)的代碼簽名驗證。
6.4.1.2 桌面PC
6.4.1.2.1 桌面PC硬件指標
桌面PC硬件指標主要包括:
a)應(yīng)符合GB/T 29240-2012中安全技術(shù)要求第三級及以上要求;
b)應(yīng)提供禁止無線網(wǎng)絡(luò)模塊、紅外模塊、藍牙模塊、接入USB設(shè)備的功能。
6.4.1.2.2 BIOS
桌面PC的BIOS要求主要包括:
a) BIOS的配置界面應(yīng)支持中文顯示;
b)BIOS應(yīng)支持固件軟件安全升級;
c)針對CPU及芯片組固件驅(qū)動、操作系統(tǒng)內(nèi)核等,BIOS應(yīng)支持上述設(shè)備經(jīng)過國家認可的第三方CA機構(gòu)頒發(fā)的代碼簽名驗證。
以上為標準部分內(nèi)容,如需看標準全文,請到相關(guān)授權(quán)網(wǎng)站購買標準正版。