FDCC及政務(wù)終端安全核心配置PPT演示文稿

1、終端安全核心配置研究,國(guó)家信息中心 信息安全研究與服務(wù)中心北京 2011.1.,2,什么是終端安全核心配置？,對(duì)操作系統(tǒng)、辦公軟件、瀏覽器等常用軟件中關(guān)鍵的安全屬性進(jìn)行參數(shù)設(shè)置，限制或禁止存在安全隱患或漏洞的功能，啟用或加強(qiáng)安全保護(hù)功能，增強(qiáng)終端抵抗安全風(fēng)險(xiǎn)的能力,禁止 高危服務(wù)和端口 非法程序腳本執(zhí)行 未授權(quán)程序驅(qū)動(dòng)安裝 限制 用戶權(quán)限 程序內(nèi)存配額 遠(yuǎn)程進(jìn)程調(diào)用(RPC) 加強(qiáng) 密碼管理 身份認(rèn)證 系統(tǒng)審核 啟用 數(shù)字簽名 進(jìn)程保護(hù),終端安全配置,4,起 源,最早起源于2003年美國(guó)空軍實(shí)施的標(biāo)準(zhǔn)桌面配置（SDC）。美國(guó)空軍在435,000個(gè)終端上部署SDC，并進(jìn)行了10個(gè)月的試驗(yàn)性測(cè)試，

2、兩年內(nèi)全面投入使用。 標(biāo)準(zhǔn)桌面配置（SDC）中采用的安全配置主要基于微軟發(fā)布的操作系統(tǒng)安全指南。 2007年在SDC基礎(chǔ)上，美國(guó)聯(lián)邦政府提出聯(lián)邦桌面核心配置計(jì)劃（ Federal Desktop Core Configuration ），稱為 FDCC。 該計(jì)劃由美國(guó)聯(lián)邦預(yù)算管理辦公室（OMB）和美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）共同負(fù)責(zé)實(shí)施，旨在提高美國(guó)聯(lián)邦政府所使用的Windows安全性，并使聯(lián)邦政府桌面計(jì)算機(jī)的安全管理實(shí)現(xiàn)標(biāo)準(zhǔn)化和自動(dòng)化。,GAO的審計(jì)報(bào)告FDCC實(shí)施步驟,2010年3月，GAO發(fā)布審計(jì)報(bào)告政府機(jī)構(gòu)必須實(shí)施桌面核心配置 為了實(shí)施FDCC，OMB要求各個(gè)聯(lián)邦機(jī)構(gòu)采取如下步

3、驟： 制定FDCC實(shí)施計(jì)劃，并提交OMB； 2008年3月前，在所有終端上完成全部安全配置； 記錄實(shí)際配置與標(biāo)準(zhǔn)配置之間的偏差，并需通過(guò)授權(quán)機(jī)構(gòu)的認(rèn)可； 使用經(jīng)NIST認(rèn)證的工具來(lái)監(jiān)測(cè)安全配置達(dá)標(biāo)情況； 保證未來(lái)采購(gòu)的信息技術(shù)產(chǎn)品符合安全配置要求； 向NIST提交配置狀態(tài)報(bào)告。,GAO的審計(jì)報(bào)告FDCC實(shí)施情況,2008年12月至2010年3月， GAO對(duì)24個(gè)主要聯(lián)邦機(jī)構(gòu)執(zhí)行FDCC的情況進(jìn)行了審計(jì) 各機(jī)構(gòu)已經(jīng)按照要求開(kāi)始行動(dòng)，但還沒(méi)有一個(gè)機(jī)構(gòu)全部完成安全配置 79的機(jī)構(gòu)向OMB提交了FDCC部署計(jì)劃 96的機(jī)構(gòu)制定了存在偏差的配置（OMB允許在一定范圍內(nèi)與FDCC存在偏差）；46的政府機(jī)構(gòu)

4、完成了有偏差的安全配置 2008年3月31日前，88的機(jī)構(gòu)向NIST提交了FDCC合規(guī)性檢測(cè)報(bào)告，其中57的機(jī)構(gòu)達(dá)標(biāo),7,一 FDCC安全基線,FDCC安全基線對(duì)Windows XP、Vista、IE及Windows防火墻的安全配置做出具體規(guī)定。 其主要關(guān)注四個(gè)要點(diǎn)： 一是刪除管理員和超級(jí)用戶權(quán)限； 二是啟用防火墻； 三是將FDCC設(shè)置應(yīng)用于Windows和IE； 四是隨時(shí)進(jìn)行配置管理。,8,二 FDCC安全配置包,為方便FDCC的測(cè)試、部署和應(yīng)用，美國(guó)標(biāo)準(zhǔn)技術(shù)研究院發(fā)布了四種形式的FDCC安全配置包，分別是： （1）安全配置策略電子表格 該配置包以Excel表的形式列出了XP及Vista的安

5、全配置策略，主要列出策略路徑、策略配置名稱、Vista/XP環(huán)境下的配置值、注冊(cè)表設(shè)置、配置標(biāo)識(shí)、策略描述等內(nèi)容。 （2）組策略對(duì)象（GPOs） Windows的安全策略主要是以組策略的形式進(jìn)行配置和管理，因此美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院提供了FDCC的組策略對(duì)象配置包，以便用戶直接利用組策略控制臺(tái)或組策略加速器等工具部署和應(yīng)用FDCC的安全配置。 （3）虛擬硬盤（VHDs） 虛擬硬盤配置包提供了FDCC的虛擬運(yùn)行環(huán)境，用戶可以在當(dāng)前操作系統(tǒng)上直接運(yùn)行該虛擬環(huán)境，以便進(jìn)行軟件兼容性和適用性方面的測(cè)試和評(píng)估。因此虛擬硬盤可作為FDCC的測(cè)試工具。 （4）安全內(nèi)容自動(dòng)化協(xié)議內(nèi)容（SCAP Content

6、） FDCC提供了用于自動(dòng)化安全配置檢查的安全配置包SCAP Content（安全內(nèi)容自動(dòng)化協(xié)議內(nèi)容）。該配置包采用XML格式，描述了XP、Vista、Windows防火墻和IE7的配置檢查項(xiàng)，可通過(guò)實(shí)施自動(dòng)化檢查（FDCC Scan），提供第三方的安全配置合規(guī)性評(píng)估檢查。,9,三 安全內(nèi)容自動(dòng)化協(xié)議（SCAP）,美國(guó)標(biāo)準(zhǔn)技術(shù)研究院制定的一套支持自動(dòng)化漏洞管理、測(cè)量和政策合規(guī)評(píng)估的安全標(biāo)準(zhǔn)規(guī)范。其主要對(duì)通信的方式和內(nèi)容進(jìn)行標(biāo)準(zhǔn)化，包括建立國(guó)家漏洞數(shù)據(jù)庫(kù)NVD，確定評(píng)估報(bào)告的格式和頻率，并提供產(chǎn)品測(cè)試和認(rèn)證。SCAP由以下六個(gè)標(biāo)準(zhǔn)構(gòu)成： 1）通用脆弱性和漏洞目錄（CVE）：該標(biāo)準(zhǔn)定義了與軟件漏洞

7、相關(guān)的安全脆弱性的標(biāo)準(zhǔn)標(biāo)識(shí)符和目錄； 2）通用配置目錄（CCE）：該標(biāo)準(zhǔn)定義了與安全相關(guān)的系統(tǒng)配置項(xiàng)的標(biāo)準(zhǔn)標(biāo)識(shí)符和目錄； 3）通用平臺(tái)目錄（CPE）：該標(biāo)準(zhǔn)定義了平臺(tái)及產(chǎn)品的標(biāo)準(zhǔn)名稱和目錄； 4）可擴(kuò)展配置控制列表描述格式（XCCDF）：該標(biāo)準(zhǔn)定義了控制列表和檢測(cè)報(bào)告的XML描述格式； 5）開(kāi)放性脆弱性評(píng)估描述語(yǔ)言（OVAL）：該標(biāo)準(zhǔn)定義了與軟件缺陷、配置問(wèn)題、補(bǔ)丁相關(guān)的安全測(cè)試過(guò)程以及測(cè)試報(bào)告XML描述格式； 6）通用脆弱性評(píng)分系統(tǒng)（CVSS）：該標(biāo)準(zhǔn)定義了脆弱性對(duì)系統(tǒng)影響的評(píng)分和傳遞標(biāo)準(zhǔn)。 CVE、OVAL和CVSS主要用于漏洞管理，CCE主要用于配置管理，CPE主要用于資產(chǎn)管理，XCCD

8、F主要用于配置管理和合規(guī)性管理。上述標(biāo)準(zhǔn)為FDCC的自動(dòng)化檢查，包括漏洞檢查、配置檢查以及檢查方法，提供了標(biāo)準(zhǔn)化的描述格式。,10,四 FDCC配套實(shí)施工具,微軟提供的FDCC配套工具主要用于FDCC的測(cè)試、評(píng)估和部署。 （1）虛擬機(jī) 虛擬機(jī)（VM）主要用于應(yīng)用程序兼容性和開(kāi)發(fā)測(cè)試。 （2）微軟評(píng)估和規(guī)劃工具 微軟評(píng)估和規(guī)劃工具（MAP）主要用于評(píng)估當(dāng)前信息技術(shù)基礎(chǔ)設(shè)施情況，從而確定可滿足需求的系統(tǒng)移植技術(shù)方案。 （3）應(yīng)用程序兼容性測(cè)試工具 應(yīng)用程序兼容性測(cè)試工具（ACT）屬于生命周期管理工具，通過(guò)測(cè)試分析兼容性指標(biāo)數(shù)據(jù)，合理化組織應(yīng)用程序、網(wǎng)站和計(jì)算機(jī)終端等應(yīng)用資產(chǎn) （4）微軟部署工具 微

9、軟部署工具將桌面和服務(wù)器部署所需的工具和過(guò)程集成為一個(gè)通用部署控制臺(tái)。 （5）組策略部署工具 組策略加速器（GPOAccelerator）可以自動(dòng)生成安全配置部署所需的所有組策略對(duì)象（GPOs），比手動(dòng)配置過(guò)程要節(jié)省大量時(shí)間和工作量,11,FDCC對(duì)我國(guó)提高政務(wù)計(jì)算機(jī)終端安全的啟示,（1）終端安全重要性凸顯，安全配置管理是關(guān)鍵。終端是信息加工、處理和存儲(chǔ)的重要基礎(chǔ)設(shè)備，其安全性會(huì)嚴(yán)重影響整個(gè)網(wǎng)絡(luò)的安全，而安全漏洞的大量存在是終端脆弱性的主要原因。因此通過(guò)限制用戶權(quán)限、關(guān)閉部分服務(wù)功能等安全配置管理可有效減少系統(tǒng)漏洞，提高終端防護(hù)能力。 （2）實(shí)行終端安全配置統(tǒng)一化和標(biāo)準(zhǔn)化，不僅有利于降低系統(tǒng)風(fēng)

10、險(xiǎn)、方便信息安全防范措施的統(tǒng)一部署和實(shí)施效率，還可有效降低終端安全管理的復(fù)雜性和維護(hù)成本。因此應(yīng)研究制定符合我國(guó)國(guó)情的政務(wù)終端安全配置指南標(biāo)準(zhǔn)，并推動(dòng)相關(guān)計(jì)劃的實(shí)施。這對(duì)于降低我國(guó)政府信息化成本特別是信息安全成本也有著重要作用。 （3）加強(qiáng)關(guān)鍵技術(shù)產(chǎn)品的自主可控。我國(guó)在操作系統(tǒng)等關(guān)鍵技術(shù)產(chǎn)品方面還依賴于美國(guó)，而通過(guò)實(shí)施類似FDCC的安全配置計(jì)劃，則可實(shí)現(xiàn)終端安全配置和管理的自主化。并且我國(guó)終端安全配置標(biāo)準(zhǔn)的推出，及配套實(shí)施工具的研發(fā)，有利于推動(dòng)軟件等關(guān)鍵技術(shù)產(chǎn)品的升級(jí)改造和自主創(chuàng)新，也是利用政府應(yīng)用推動(dòng)國(guó)產(chǎn)化的一個(gè)契機(jī)。,12,CGDCC研究背景,2007年初，國(guó)家信息中心與微軟（中國(guó)）有限公

11、司簽定合作備忘錄，開(kāi)始合作終端安全方面的研究和技術(shù)開(kāi)發(fā)。 2008年，在國(guó)際可信計(jì)算聯(lián)盟的支持下，微軟支持國(guó)家信息中心開(kāi)展FDCC研究與轉(zhuǎn)化應(yīng)用，并在終端安全配置基線核心技術(shù)方面提供支持。 2009年5月召開(kāi)FDCC培訓(xùn)會(huì)。 每月定期召開(kāi)電話會(huì)議，提供技術(shù)指導(dǎo) 2010年3月，培訓(xùn)和現(xiàn)場(chǎng)技術(shù)指導(dǎo) 2010年4月開(kāi)始指導(dǎo)標(biāo)準(zhǔn)配套實(shí)施工具的開(kāi)發(fā)工作,我國(guó)加快終端安全配置標(biāo)準(zhǔn)立項(xiàng)工作,2008年，開(kāi)展針對(duì)FDCC及SCAP標(biāo)準(zhǔn)的跟蹤研究 政務(wù)終端安全核心配置規(guī)范 2010年國(guó)家信息標(biāo)準(zhǔn)正式立項(xiàng)(計(jì)劃號(hào): 20100392-T-469） “政務(wù)終端安全核心配置（CGDCC）標(biāo)準(zhǔn)研制及其驗(yàn)證、應(yīng)用平臺(tái)建

12、設(shè)項(xiàng)目” 列入2010年國(guó)家發(fā)改委高技術(shù)產(chǎn)業(yè)發(fā)展項(xiàng)目計(jì) 劃,14,CGDCC研究目標(biāo),分析我國(guó)當(dāng)前電子政務(wù)網(wǎng)絡(luò)環(huán)境安全狀況，借鑒FDCC內(nèi)容，結(jié)合我國(guó)信息安全等級(jí)保護(hù)等相關(guān)技術(shù)標(biāo)準(zhǔn)成果，制定我國(guó)政務(wù)終端安全核心配置標(biāo)準(zhǔn)（CGDCC）。 通過(guò)全國(guó)政務(wù)終端安全護(hù)理平臺(tái)，對(duì)CGDCC實(shí)現(xiàn)統(tǒng)一部署。 通過(guò)國(guó)標(biāo)研制，推進(jìn)國(guó)家政務(wù)終端安全配置管理的統(tǒng)一化和標(biāo)準(zhǔn)化。,15,CGDCC研究線路,研制政務(wù)終端安全核心配置標(biāo)準(zhǔn)，主要包括： 政務(wù)終端安全核心配置規(guī)范； 政務(wù)終端安全核心配置目錄； 操作系統(tǒng)、瀏覽器、辦公軟件、郵件系統(tǒng)、媒體播放、即時(shí)通訊等常用軟件等安全基線 政務(wù)終端安全核心配置描述格式規(guī)范； 政務(wù)終

13、端安全核心配置實(shí)施指南。 研發(fā)CGDCC編輯、部署、檢測(cè)、報(bào)告等配套實(shí)施工具 開(kāi)展CGDCC的驗(yàn)證、試點(diǎn)及應(yīng)用推廣,16,CGDCC標(biāo)準(zhǔn)體系框架,政務(wù)終端安全核心配置,技術(shù)規(guī)范,總體要求,應(yīng)用支撐,配置包描述語(yǔ)言規(guī)范,等(分)級(jí)保護(hù)配置要求,終端安全核心配置規(guī)范,其他常用軟件安全配置要求,操作系統(tǒng)安全配置要求,配置清單描述規(guī)范,配置狀態(tài)描述規(guī)范,郵件系統(tǒng)安全配置要求,辦公軟件安全配置要求,瀏覽器安全配置要求,安全配置實(shí)施指南,CGDCC標(biāo)準(zhǔn)之間的關(guān)系,分級(jí)保護(hù)安全配置要求,安全核心配置技術(shù)規(guī)范,第1部分：WINDOWS桌面操作系統(tǒng)安全配置要求,第2部分：LINUX桌面操作系統(tǒng)安全配置要求,第3部分：辦公軟件安全配置要求,第4部分：瀏覽器軟件安全配置要求,第5部分：郵件系統(tǒng)安全配置要求,第6部分：其他常見(jiàn)軟件安全配置要求,配置清單 描述規(guī)范,終端安全核心配置規(guī)范,等(分)級(jí)保護(hù)安全配置要求,配置狀態(tài) 描述規(guī)范,總體標(biāo)準(zhǔn),應(yīng)用支撐標(biāo)準(zhǔn),1,2,3,4,6,配置包描 述語(yǔ)言規(guī)范,安全配置 實(shí)施指南,5,7,安全核心配置應(yīng)用支撐框架,安全配置實(shí)施流程,CGDCC研究工作進(jìn)展,翻譯FDCC安全配置策略 翻譯整理微軟安全基線已完成6大類,46條基線,3000條策略的翻譯與整理工作,國(guó)家信息中心牽頭，組織國(guó)家經(jīng)濟(jì)信息系統(tǒng)、行業(yè)單位及企業(yè)開(kāi)展操作系統(tǒng)、瀏覽器等安全配置標(biāo)準(zhǔn)的預(yù)研工作,已完