ICS35.240.01L00團(tuán) 體 標(biāo) 準(zhǔn)T/ZJSZJJ0004—2025國產(chǎn)桌面終端安全基線配置與防護(hù)通用技術(shù)規(guī)范Generaltechnicalspecificationsforsecuritybaselineconfigurationandprotectionofdomesticdesktopterminals2025-12-05發(fā)布 2025-12-06實施浙江省數(shù)字經(jīng)濟(jì)聯(lián)合會 發(fā)布T/ZJSZJJ0004-2025T/ZJSZJJ0004-2025PAGE\*ROMANPAGE\*ROMANIII版權(quán)保護(hù)文件版權(quán)所有歸屬于該標(biāo)準(zhǔn)的發(fā)布機構(gòu)，除非有其他規(guī)定，否則未經(jīng)許可，此發(fā)行物及其章節(jié)不得以其他形式或任何手段進(jìn)行復(fù)制、再版或使用，包括電子版，影印件，或發(fā)布在互聯(lián)網(wǎng)及內(nèi)部網(wǎng)絡(luò)等。使用許可可于發(fā)布機構(gòu)獲取。目??次前 言 III范圍 1規(guī)范性引用文件 1術(shù)語和定義 1基線配置流程及要求 2主動防御防護(hù)技術(shù)要求 3主動防御防護(hù)技術(shù)測試方法 4前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則 第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件浙江省數(shù)字經(jīng)濟(jì)聯(lián)合會提出并歸口管理。T/ZJSZJJ0004-2025T/ZJSZJJ0004-2025PAGEPAGE1國產(chǎn)桌面終端安全基線配置與防護(hù)通用技術(shù)規(guī)范范圍規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求GB/T29240-2024網(wǎng)絡(luò)安全技術(shù)終端計算機通用安全技術(shù)規(guī)范GB/T37092—2018信息安全技術(shù)密碼模塊安全要求術(shù)語和定義GB/T29240-2024、GB/T22239—2019界定的以及下列術(shù)語和定義適用于本文件。安全基線（含虛擬化環(huán)境國產(chǎn)桌面終端配置了麒麟、統(tǒng)信等國產(chǎn)操作系統(tǒng)及其他國產(chǎn)硬件的計算機終端。身份鑒別用特定信息對用戶身份的真實性進(jìn)行確認(rèn)。用于鑒別的信息一般是非公開的、難以仿造的。訪問控制對主體訪問客體的權(quán)限進(jìn)行限制，以確保只有經(jīng)過授權(quán)的主體才能訪問特定客體的安全機制。基線配置流程及要求基線數(shù)據(jù)采集采集結(jié)果應(yīng)包含配置項的原始值、所屬安全域、配置路徑、采集時間、采集工具版本等元數(shù)據(jù)，確?？勺匪菪?。5%。采集頻率應(yīng)至少每月一次，高風(fēng)險環(huán)境應(yīng)提高至每周一次，并支持按需觸發(fā)采集。采集數(shù)據(jù)在傳輸和存儲過程中應(yīng)進(jìn)行加密處理，防止敏感信息泄露。基線制定基線配置項應(yīng)覆蓋身份鑒別、訪問控制、安全審計、剩余信息保護(hù)、入侵防范、惡意代碼防范、資源控制等安全控制點，并明確各配置項的取值范圍、推薦值及安全影響說明?；€制定應(yīng)遵循最小權(quán)限原則和默認(rèn)拒絕原則，確保安全性與可用性的平衡?；€檢查100%。檢查功能應(yīng)支持策略導(dǎo)入、合規(guī)性判定及結(jié)果輸出，其中合規(guī)性判定需明確符合項、不符合項、未檢查項及風(fēng)險等級，并支持偏差統(tǒng)計和趨勢分析。PDF、WORD基線加固加固操作前應(yīng)進(jìn)行影響評估和備份，確保系統(tǒng)異常時可快速恢復(fù)。應(yīng)建立加固跟蹤機制，對未及時整改的不符合項進(jìn)行告警和升級處理，確保整改時效性。主動防御防護(hù)技術(shù)要求身份鑒別843（5（鎖定時間可配置）或其他限制登錄的安全措施。90（5）。GB/T37092—2018賬號權(quán)限應(yīng)限制超級用戶（root）的遠(yuǎn)程登錄權(quán)限，確需遠(yuǎn)程操作時，應(yīng)采用加密通道并嚴(yán)格限制訪問來源；普通用戶如需執(zhí)行高權(quán)限操作，應(yīng)通過臨時提權(quán)機制實現(xiàn)。臨時賬號的創(chuàng)建應(yīng)明確有效期，任務(wù)完成后應(yīng)立即禁用或刪除，且權(quán)限應(yīng)隨賬號失效自動清除。（訪問控制本地訪問控制（IP遠(yuǎn)程訪問控制遠(yuǎn)程訪問需采用TLS1.2（Telnet）。IP應(yīng)設(shè)置遠(yuǎn)程會話超時機制（30），超時后自動斷開連接；重新操作時需重新進(jìn)行身份鑒別。應(yīng)限制遠(yuǎn)程登錄的最大認(rèn)證嘗試次數(shù)（3），超過次數(shù)后自動斷開連接。（2超過限制時應(yīng)阻止新會話建立或斷開最早的會話。應(yīng)啟用遠(yuǎn)程訪問審計功能，記錄登錄、注銷、命令執(zhí)行等操作，日志應(yīng)包含用戶標(biāo)識、IP端口防護(hù)（如33823等，并及時禁用或限制訪問。應(yīng)對敏感服務(wù)端口（如數(shù)據(jù)庫端口、管理端口）IP默認(rèn)狀態(tài)下應(yīng)關(guān)閉所有非必要端口，僅保留業(yè)務(wù)必需的端口，且端口用途應(yīng)在系統(tǒng)文檔中明示。系統(tǒng)服務(wù)（SYNFloodICMP。應(yīng)禁用所有非必要的系統(tǒng)服務(wù)（TelnetFTP），僅保留維持終端基本功能和業(yè)務(wù)運行的服務(wù)。主動防御防護(hù)技術(shù)測試方法身份鑒別測試測試內(nèi)容測試內(nèi)容如下：嘗試使用空口令登錄，驗證是否被拒絕；檢查口令長度和復(fù)雜度是否符合要求；測試鑒別失敗次數(shù)限制及鎖定功能；驗證口令有效期和歷史重用限制；檢查口令存儲是否加密；測試多種鑒別方式的組合應(yīng)用。預(yù)期結(jié)果預(yù)期結(jié)果如下：空口令登錄被拒絕；口令長度≥83失敗次數(shù)達(dá)限時賬戶被鎖定（鎖定時間可配置）；口令超期提醒且禁止重用近期口令（5）；GB/T37092—2018多種鑒別方式組合應(yīng)用時，安全性得到增強。結(jié)果判定全部滿足預(yù)期結(jié)果為符合，否則為不符合。賬號權(quán)限測試測試內(nèi)容測試內(nèi)容如下：檢查普通用戶是否能訪問超權(quán)限資源；root檢查臨時賬號是否按時失效；測試權(quán)限分離和定期審計機制；檢查權(quán)限變更日志是否完整；驗證最小權(quán)限原則的實施情況。預(yù)期結(jié)果預(yù)期結(jié)果如下：普通用戶無超權(quán)限訪問；root臨時賬號按時失效，權(quán)限隨賬號失效自動清除；權(quán)限分離明確，每季度至少進(jìn)行一次權(quán)限審計；權(quán)限變更日志包含操作人、時間、內(nèi)容及結(jié)果等信息；所有用戶權(quán)限遵循最小權(quán)限原則。結(jié)果判定全部滿足預(yù)期結(jié)果為符合，否則為不符合。訪問控制測試本地訪問控制測試測試內(nèi)容檢查關(guān)鍵文件權(quán)限配置是否合理；驗證本地防火墻是否限制非授權(quán)訪問；測試新建文件和目錄的默認(rèn)權(quán)限；檢查訪問控制策略的有效性。預(yù)期結(jié)果關(guān)鍵文件僅授權(quán)用戶可修改；IP新建文件和目錄自動應(yīng)用預(yù)設(shè)默認(rèn)權(quán)限（非授權(quán)用戶無寫權(quán)限）；訪問控制策略有效，未出現(xiàn)越權(quán)訪問。結(jié)果判定全部滿足預(yù)期結(jié)果為符合，否則為不符合。遠(yuǎn)程訪問控制測試測試內(nèi)容檢查遠(yuǎn)程訪問是否使用加密協(xié)議；驗證是否限制用戶和來源主機；測試會話超時、并發(fā)數(shù)限制功能；檢查遠(yuǎn)程操作審計日志；測試認(rèn)證嘗試次數(shù)限制功能。預(yù)期結(jié)果SSH/TLS非授權(quán)用戶或主機被拒絕訪問；超時后自動斷開，并發(fā)數(shù)不超過限制；審計日志記錄完整，包含用戶標(biāo)識、IP認(rèn)證嘗試次數(shù)超過限制后自動斷開連接。結(jié)果判定全部滿足預(yù)期結(jié)果為符合，否則為不符合。端口防護(hù)測試測試內(nèi)容測試內(nèi)容如下：檢查是否定期掃描端口及結(jié)果記錄；驗證敏感端口是否限制訪問；檢查非必要端口是否關(guān)閉；測試端口訪問控制策略的有效性；驗證高危端口的識別和處理。預(yù)期結(jié)果預(yù)期結(jié)果如下：每周至少一次端口掃描，記錄完整；IP非必要端口默認(rèn)關(guān)閉；端口訪問控制策略有效，未授權(quán)訪問被阻斷；高危端口被及時識別并處理（禁用或限制訪問）。結(jié)果判定全部滿足預(yù)期結(jié)果為符合，否則為不符合。系統(tǒng)服務(wù)測試測試內(nèi)容測試內(nèi)容如下：檢查內(nèi)核參數(shù)配置是否增強安全性；驗證非必要服務(wù)是否禁用；測試