FDCC及政務終端安全核心配置PPT演示文稿

1、終端安全核心配置研究,國家信息中心 信息安全研究與服務中心北京 2011.1.,2,什么是終端安全核心配置？,對操作系統(tǒng)、辦公軟件、瀏覽器等常用軟件中關鍵的安全屬性進行參數(shù)設置，限制或禁止存在安全隱患或漏洞的功能，啟用或加強安全保護功能，增強終端抵抗安全風險的能力,禁止 高危服務和端口 非法程序腳本執(zhí)行 未授權程序驅動安裝 限制 用戶權限 程序內存配額 遠程進程調用(RPC) 加強 密碼管理 身份認證 系統(tǒng)審核 啟用 數(shù)字簽名 進程保護,終端安全配置,4,起 源,最早起源于2003年美國空軍實施的標準桌面配置（SDC）。美國空軍在435,000個終端上部署SDC，并進行了10個月的試驗性測試，

2、兩年內全面投入使用。 標準桌面配置（SDC）中采用的安全配置主要基于微軟發(fā)布的操作系統(tǒng)安全指南。 2007年在SDC基礎上，美國聯(lián)邦政府提出聯(lián)邦桌面核心配置計劃（ Federal Desktop Core Configuration ），稱為 FDCC。 該計劃由美國聯(lián)邦預算管理辦公室（OMB）和美國國家標準與技術研究院（NIST）共同負責實施，旨在提高美國聯(lián)邦政府所使用的Windows安全性，并使聯(lián)邦政府桌面計算機的安全管理實現(xiàn)標準化和自動化。,GAO的審計報告FDCC實施步驟,2010年3月，GAO發(fā)布審計報告政府機構必須實施桌面核心配置 為了實施FDCC，OMB要求各個聯(lián)邦機構采取如下步

3、驟： 制定FDCC實施計劃，并提交OMB； 2008年3月前，在所有終端上完成全部安全配置； 記錄實際配置與標準配置之間的偏差，并需通過授權機構的認可； 使用經NIST認證的工具來監(jiān)測安全配置達標情況； 保證未來采購的信息技術產品符合安全配置要求； 向NIST提交配置狀態(tài)報告。,GAO的審計報告FDCC實施情況,2008年12月至2010年3月， GAO對24個主要聯(lián)邦機構執(zhí)行FDCC的情況進行了審計 各機構已經按照要求開始行動，但還沒有一個機構全部完成安全配置 79的機構向OMB提交了FDCC部署計劃 96的機構制定了存在偏差的配置（OMB允許在一定范圍內與FDCC存在偏差）；46的政府機構

4、完成了有偏差的安全配置 2008年3月31日前，88的機構向NIST提交了FDCC合規(guī)性檢測報告，其中57的機構達標,7,一 FDCC安全基線,FDCC安全基線對Windows XP、Vista、IE及Windows防火墻的安全配置做出具體規(guī)定。 其主要關注四個要點： 一是刪除管理員和超級用戶權限； 二是啟用防火墻； 三是將FDCC設置應用于Windows和IE； 四是隨時進行配置管理。,8,二 FDCC安全配置包,為方便FDCC的測試、部署和應用，美國標準技術研究院發(fā)布了四種形式的FDCC安全配置包，分別是： （1）安全配置策略電子表格 該配置包以Excel表的形式列出了XP及Vista的安

5、全配置策略，主要列出策略路徑、策略配置名稱、Vista/XP環(huán)境下的配置值、注冊表設置、配置標識、策略描述等內容。 （2）組策略對象（GPOs） Windows的安全策略主要是以組策略的形式進行配置和管理，因此美國國家標準技術研究院提供了FDCC的組策略對象配置包，以便用戶直接利用組策略控制臺或組策略加速器等工具部署和應用FDCC的安全配置。 （3）虛擬硬盤（VHDs） 虛擬硬盤配置包提供了FDCC的虛擬運行環(huán)境，用戶可以在當前操作系統(tǒng)上直接運行該虛擬環(huán)境，以便進行軟件兼容性和適用性方面的測試和評估。因此虛擬硬盤可作為FDCC的測試工具。 （4）安全內容自動化協(xié)議內容（SCAP Content

6、） FDCC提供了用于自動化安全配置檢查的安全配置包SCAP Content（安全內容自動化協(xié)議內容）。該配置包采用XML格式，描述了XP、Vista、Windows防火墻和IE7的配置檢查項，可通過實施自動化檢查（FDCC Scan），提供第三方的安全配置合規(guī)性評估檢查。,9,三 安全內容自動化協(xié)議（SCAP）,美國標準技術研究院制定的一套支持自動化漏洞管理、測量和政策合規(guī)評估的安全標準規(guī)范。其主要對通信的方式和內容進行標準化，包括建立國家漏洞數(shù)據(jù)庫NVD，確定評估報告的格式和頻率，并提供產品測試和認證。SCAP由以下六個標準構成： 1）通用脆弱性和漏洞目錄（CVE）：該標準定義了與軟件漏洞

7、相關的安全脆弱性的標準標識符和目錄； 2）通用配置目錄（CCE）：該標準定義了與安全相關的系統(tǒng)配置項的標準標識符和目錄； 3）通用平臺目錄（CPE）：該標準定義了平臺及產品的標準名稱和目錄； 4）可擴展配置控制列表描述格式（XCCDF）：該標準定義了控制列表和檢測報告的XML描述格式； 5）開放性脆弱性評估描述語言（OVAL）：該標準定義了與軟件缺陷、配置問題、補丁相關的安全測試過程以及測試報告XML描述格式； 6）通用脆弱性評分系統(tǒng)（CVSS）：該標準定義了脆弱性對系統(tǒng)影響的評分和傳遞標準。 CVE、OVAL和CVSS主要用于漏洞管理，CCE主要用于配置管理，CPE主要用于資產管理，XCCD

8、F主要用于配置管理和合規(guī)性管理。上述標準為FDCC的自動化檢查，包括漏洞檢查、配置檢查以及檢查方法，提供了標準化的描述格式。,10,四 FDCC配套實施工具,微軟提供的FDCC配套工具主要用于FDCC的測試、評估和部署。 （1）虛擬機 虛擬機（VM）主要用于應用程序兼容性和開發(fā)測試。 （2）微軟評估和規(guī)劃工具 微軟評估和規(guī)劃工具（MAP）主要用于評估當前信息技術基礎設施情況，從而確定可滿足需求的系統(tǒng)移植技術方案。 （3）應用程序兼容性測試工具 應用程序兼容性測試工具（ACT）屬于生命周期管理工具，通過測試分析兼容性指標數(shù)據(jù)，合理化組織應用程序、網站和計算機終端等應用資產 （4）微軟部署工具 微

9、軟部署工具將桌面和服務器部署所需的工具和過程集成為一個通用部署控制臺。 （5）組策略部署工具 組策略加速器（GPOAccelerator）可以自動生成安全配置部署所需的所有組策略對象（GPOs），比手動配置過程要節(jié)省大量時間和工作量,11,FDCC對我國提高政務計算機終端安全的啟示,（1）終端安全重要性凸顯，安全配置管理是關鍵。終端是信息加工、處理和存儲的重要基礎設備，其安全性會嚴重影響整個網絡的安全，而安全漏洞的大量存在是終端脆弱性的主要原因。因此通過限制用戶權限、關閉部分服務功能等安全配置管理可有效減少系統(tǒng)漏洞，提高終端防護能力。 （2）實行終端安全配置統(tǒng)一化和標準化，不僅有利于降低系統(tǒng)風

10、險、方便信息安全防范措施的統(tǒng)一部署和實施效率，還可有效降低終端安全管理的復雜性和維護成本。因此應研究制定符合我國國情的政務終端安全配置指南標準，并推動相關計劃的實施。這對于降低我國政府信息化成本特別是信息安全成本也有著重要作用。 （3）加強關鍵技術產品的自主可控。我國在操作系統(tǒng)等關鍵技術產品方面還依賴于美國，而通過實施類似FDCC的安全配置計劃，則可實現(xiàn)終端安全配置和管理的自主化。并且我國終端安全配置標準的推出，及配套實施工具的研發(fā)，有利于推動軟件等關鍵技術產品的升級改造和自主創(chuàng)新，也是利用政府應用推動國產化的一個契機。,12,CGDCC研究背景,2007年初，國家信息中心與微軟（中國）有限公

11、司簽定合作備忘錄，開始合作終端安全方面的研究和技術開發(fā)。 2008年，在國際可信計算聯(lián)盟的支持下，微軟支持國家信息中心開展FDCC研究與轉化應用，并在終端安全配置基線核心技術方面提供支持。 2009年5月召開FDCC培訓會。 每月定期召開電話會議，提供技術指導 2010年3月，培訓和現(xiàn)場技術指導 2010年4月開始指導標準配套實施工具的開發(fā)工作,我國加快終端安全配置標準立項工作,2008年，開展針對FDCC及SCAP標準的跟蹤研究 政務終端安全核心配置規(guī)范 2010年國家信息標準正式立項(計劃號: 20100392-T-469） “政務終端安全核心配置（CGDCC）標準研制及其驗證、應用平臺建

12、設項目” 列入2010年國家發(fā)改委高技術產業(yè)發(fā)展項目計 劃,14,CGDCC研究目標,分析我國當前電子政務網絡環(huán)境安全狀況，借鑒FDCC內容，結合我國信息安全等級保護等相關技術標準成果，制定我國政務終端安全核心配置標準（CGDCC）。 通過全國政務終端安全護理平臺，對CGDCC實現(xiàn)統(tǒng)一部署。 通過國標研制，推進國家政務終端安全配置管理的統(tǒng)一化和標準化。,15,CGDCC研究線路,研制政務終端安全核心配置標準，主要包括： 政務終端安全核心配置規(guī)范； 政務終端安全核心配置目錄； 操作系統(tǒng)、瀏覽器、辦公軟件、郵件系統(tǒng)、媒體播放、即時通訊等常用軟件等安全基線 政務終端安全核心配置描述格式規(guī)范； 政務終

13、端安全核心配置實施指南。 研發(fā)CGDCC編輯、部署、檢測、報告等配套實施工具 開展CGDCC的驗證、試點及應用推廣,16,CGDCC標準體系框架,政務終端安全核心配置,技術規(guī)范,總體要求,應用支撐,配置包描述語言規(guī)范,等(分)級保護配置要求,終端安全核心配置規(guī)范,其他常用軟件安全配置要求,操作系統(tǒng)安全配置要求,配置清單描述規(guī)范,配置狀態(tài)描述規(guī)范,郵件系統(tǒng)安全配置要求,辦公軟件安全配置要求,瀏覽器安全配置要求,安全配置實施指南,CGDCC標準之間的關系,分級保護安全配置要求,安全核心配置技術規(guī)范,第1部分：WINDOWS桌面操作系統(tǒng)安全配置要求,第2部分：LINUX桌面操作系統(tǒng)安全配置要求,第3部分：辦公軟件安全配置要求,第4部分：瀏覽器軟件安全配置要求,第5部分：郵件系統(tǒng)安全配置要求,第6部分：其他常見軟件安全配置要求,配置清單 描述規(guī)范,終端安全核心配置規(guī)范,等(分)級保護安全配置要求,配置狀態(tài) 描述規(guī)范,總體標準,應用支撐標準,1,2,3,4,6,配置包描 述語言規(guī)范,安全配置 實施指南,5,7,安全核心配置應用支撐框架,安全配置實施流程,CGDCC研究工作進展,翻譯FDCC安全配置策略 翻譯整理微軟安全基線已完成6大類,46條基線,3000條策略的翻譯與整理工作,國家信息中心牽頭，組織國家經濟信息系統(tǒng)、行業(yè)單位及企業(yè)開展操作系統(tǒng)、瀏覽器等安全配置標準的預研工作,已完