聯(lián)邦桌面核心配置-FDCC

FDCC簡介聯(lián)邦桌面核心配置計劃（FederalDesktopCoreConfiguration)由美國聯(lián)邦政府提出，稱為FDCC。該計劃由美國聯(lián)邦政府預算管理辦公室(OMB)和美國國家標準與技術研究院(NIST)共同負責實施，旨在提高美國聯(lián)邦政府所使用的Windows的安全性，并使聯(lián)邦政府的桌面計算機的安全管理實現(xiàn)標準化和自動化。美國國土安全部、美國空軍、美國國家安全局、美國國防情報系統(tǒng)機構等參與制定，是美國國家網絡安全綜合計劃（CNCI)的一部分。FDCC強制規(guī)定，聯(lián)邦政府使用的所有Windows計算機必須符合一定的標準化配置要求（對windowsXP、Vista、IE和Office作出了具體規(guī)定），原因是為了減少黑客訪問和利用政府電腦的機會?；赟CAP標準進行自動化檢查與評估。FDCC的起源最早起源于美國空軍實施的標準桌面配置（SDC）。美國空軍在435，000個終端上配置SDC，并進行了10個月的試驗性測試，兩年內全面投入使用。標準桌面配置（SDC）中采用的安全配置主要基于微軟發(fā)布的操作系統(tǒng)安全指南。FDCC實施效果實施FDCC以來，美國空軍節(jié)省了1億多美元精簡了8000多名信息技術人員，呼叫服務的次數(shù)減少了40%補丁安裝的時間從57天下降到3天每年預期節(jié)約能源1500萬美元加強了基礎結構優(yōu)化實施FDCC的意義提高一致性簡化部署簡化了網絡管理和工具的復雜性增強安全性減小了標準用戶的管理權限，要求啟動防火墻有效防止用戶調節(jié)降低系統(tǒng)的安全性降低運維成本需要的信息技術支持人員大大減少系統(tǒng)更新的測試和安裝時間大大縮短FDCC主要內容FDCC的核心是制定美國聯(lián)邦政府Windows桌面計算機的安全配置標準，又稱為FDCC安全基線。目前美國標準技術研究院已發(fā)布基于WindowsXP和Vista操作系統(tǒng)的FDCC安全基線。同時為支持FDCC的規(guī)劃、測試和部署，微軟推出了多個配套實施工具。一 FDCC安全基線FDCC安全基線對windowsXP、Vista、IE和防火墻的安全配置作了具體規(guī)定。其主要關注四個要點：一是刪除管理員和超級用戶權限；二是啟用防火墻；三是將FDCC設置應用與Windows和IE；四是隨時進行配置管理。安全內容自動化協(xié)議（SCAP）三 FDCC配套實施工具微軟提供的FDCC配套工具主要用于FDCC的測試、評估和部署。（1）虛擬機虛擬機主要用于應用程序兼容性和開發(fā)測試。（2）微軟評估和規(guī)劃工具微軟評估和規(guī)劃工具（MAP）主要用于評估當前信息技術基礎設施情況，從而確定是否可滿足需求的系統(tǒng)移植技術方案。（3）應用程序兼容性測試工具應用程序兼容性測試工具（ACT）屬于生命周期管理工具，通過測試分析兼容性指標數(shù)據(jù)，合理化虛擬組織應用程序、網站和計算機終端等應用資產（4）微軟布署工具微軟布署工具將桌面和服務器所用布署工具和過程集成為一個通用部署控制臺。（5）組策略部署工具組策略加速器可以自動生成安全配置部署所需的組策略對象，比托運配置過程節(jié)省大量的時間和工作量。FDCC實施方法準備分析安全目標和安全需求，評估安全配置要求及實施FDCC對本機構的影響檢查設備及軟件情況，測試應用程序兼容性確定是制作鏡像還是創(chuàng)建GPO制作確定操作系統(tǒng)所需的組件/功能，并創(chuàng)建鏡像/GPO向NIST提交與FDCC標準配置之間的偏差及糾正偏差的最終計劃在測試環(huán)境中測試和解決由FDCC引起的潛在的系統(tǒng)和應用程序的兼容性問題驗證安全配置的有效性FDCC實施方法檢測與評估FDCC利用SCAP標準框架進行描述，建立了一套針對桌面終端的安全配置檢查項，描述了安全配置、安全漏洞等檢查內容可采用經過SCAP認證的FDCC檢查工具自動執(zhí)行合規(guī)性檢查微軟安全基線FDCC是在微軟安全基線基礎上制定的。微軟安全基線是針對Windows產品的安全指南，屬于指導性技術文件，主要指明安全配置可能的值、漏洞及策略等。微軟安全基線由微軟獨立開發(fā)，并通過美國標準技術研究院、國防部等機構的審查和認可。已發(fā)布WindowsXP、Vista、Server2003/2008、Office2007、Hyper-V、Win7、IE8等產品的安全基線。微軟安全基線資源由一系列安全配置文檔和數(shù)據(jù)組成。包括安全配置指南、安全配置的Excel列表，組策略（GPOs）、XML數(shù)據(jù)文件、SCAP數(shù)據(jù)文件、預期配置管理（DCM）配置包等。配套實施工具：組策略加速器和基線監(jiān)控管理工具SCM（達標基線管理員）CGDCC研究背景2007年初，國家信息安全中心與微軟（中國）簽定合作備忘錄，開始合作終端安全方面的研究和技術開發(fā)。2009年在全國范圍內啟動政務終端安全護理計劃。國家信息中心聯(lián)合中國信息安全測評中心等單位共同推出政務終端安全護理整體解決方案建設全國性的政務終端安全護理平臺研發(fā)政務終端安全護理軟件（PCcare）研制我國政務終端安全配置標準CGDCC研究背景2008年，在國際可信計算機聯(lián)盟的支持下，微軟支持國家信息安全中心開展FDCC的研究與轉化應用，并在終端安全配置基線核心技術方面提供支持。2009年5月召開FDCC培訓會。每月定期召開電話技術會議，提供技術指導2010年3月，培訓和現(xiàn)場指導2010年4月開始指導標準配套實施工具的開發(fā)工作CGDCC研究目標分析我國電子政務網絡環(huán)境安全狀況，借鑒FDCC內容，結合我國信息安全等級保護等相關技術標準成果，制定我國政務安全核心配置標準（CGDCC）。通過全國政務終端安全護理平臺，對CGDCC實現(xiàn)統(tǒng)一部署。爭取國標立項，并獲得政府支持，推動國家政務終端安全配置管理的標準化和統(tǒng)一化。CGDCC研究工作進展建立政務終端安全核心配置標準框架CGDCC研究工作進展政務終端操作系統(tǒng)安全基線政務終端瀏覽器安全核心配置安全基線針對IE等常用瀏覽器，提出如下安全配置要求：瀏覽器管理、瀏覽器記錄管理、互聯(lián)網控制面板管理、高級頁管理、安全頁中互聯(lián)網域和限制站點域管理和安全屬性管理政務終端辦公軟件安全核心配置安全基線針對Office等常用辦公軟件，提出如下安全配置要求：文件類型、文件加密處理、管理員控制模式、宏管理、文件隱藏管理、信息模式控制、自動升級控制、操作與提示管理等。CGDCC研究工作進展標準配套實施工具研發(fā)進展已編制成標準配套實施工具設計報告終端安全配置編輯工具終端安全配置部署工具終端安全基線符合性測試工具終端安全配置部署狀態(tài)報告工具系統(tǒng)軟