《信息安全技術(shù) 計算機(jī)終端核心配置基線結(jié)構(gòu)規(guī)范》編制說明

一、任務(wù)來源

經(jīng)國標(biāo)委批準(zhǔn)，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會（SAC/TC260）主任辦公會

討論通過，由中國信息協(xié)會信息安全專業(yè)委員會牽頭，中國信息安全測評中心、

中國科學(xué)院大學(xué)、公安部科信局信息中心、民航局信息中心、北信源公司、華為

技術(shù)有限公司和杭州盈高科技有限公司等單位參與，編制國家標(biāo)準(zhǔn)《信息安全技

術(shù)計算機(jī)終端核心配置基線結(jié)構(gòu)規(guī)范》，項目編號20141140-T-469。

二、任務(wù)背景

隨著政府信息化進(jìn)程的加速，電子政務(wù)網(wǎng)絡(luò)環(huán)境日益復(fù)雜，計算機(jī)終端已成

為政府信息安全保障工作的薄弱環(huán)節(jié)。國務(wù)院辦公廳《關(guān)于加強(qiáng)政府信息系統(tǒng)安

全和保密管理工作的通知》（國辦發(fā)[2008]17號文）要求實行計算機(jī)配置管理和

安全審計，抓緊制訂行政機(jī)關(guān)辦公用計算機(jī)配置指南；工信部《關(guān)于印發(fā)<信息

安全產(chǎn)業(yè)“十二五”發(fā)展規(guī)劃>的通知》（工信部（2011）554號）要求大力發(fā)展

終端安全管理和配置技術(shù)，在信息安全支撐工具方面重點(diǎn)發(fā)展安全配置核查類工

具等，無不說明如何強(qiáng)化計算機(jī)終端的安全配置，并實現(xiàn)集中自動化配置管理，

已成為政府部門的高度關(guān)注的重點(diǎn)。

美國聯(lián)邦政府2007年提出聯(lián)邦桌面核心配置計劃（FDCC）以提高美國聯(lián)邦

政府所使用的Windows操作系統(tǒng)安全性，并使聯(lián)邦政府桌面計算機(jī)的安全管理實

現(xiàn)標(biāo)準(zhǔn)化和自動化。該計劃由美國聯(lián)邦預(yù)算管理辦公室（OMB）和美國國家標(biāo)準(zhǔn)

與技術(shù)研究院（NIST）共同負(fù)責(zé)實施，國防部、國土安全部、國家安全局等參與

制定。該計劃中高效、快捷、低成本的配置管理模式主要?dú)w因于美國國家標(biāo)準(zhǔn)與

技術(shù)研究院（NIST）發(fā)布的安全內(nèi)容自動化協(xié)議標(biāo)準(zhǔn)（SCAP）。SCAP從配置內(nèi)容

的定義、部署、檢測和評估等方面，系統(tǒng)的制訂了一整套支持安全配置的標(biāo)準(zhǔn)體

系，為我國開展終端安全配置工作提供了寶貴的經(jīng)驗和參考依據(jù)。

國家信息中心是國內(nèi)最早開展終端安全配置研究的單位之一，在分析我國

當(dāng)前電子政務(wù)網(wǎng)絡(luò)環(huán)境安全狀況的基礎(chǔ)上，借鑒美國聯(lián)邦政府實施的聯(lián)邦桌面核

心配置（FDCC）計劃，結(jié)合我國信息安全等級保護(hù)技術(shù)標(biāo)準(zhǔn)成果，率先在國內(nèi)研

制國家標(biāo)準(zhǔn)《政務(wù)計算機(jī)終端核心配置規(guī)范》，并于2014年正式頒布實施。2013

年，圓滿完成國家高技術(shù)發(fā)展項目“政務(wù)終端安全核心配置標(biāo)準(zhǔn)研制及其驗證、

應(yīng)用平臺建設(shè)”，在終端安全核心配置標(biāo)準(zhǔn)體系框架研究、技術(shù)實施和試點(diǎn)應(yīng)用

1

等方面均取得了顯著的成果。

三、編制原則

編制標(biāo)準(zhǔn)遵循以下原則：

一致性：在編制中努力做到遵循已頒布的國家標(biāo)準(zhǔn)，與國家標(biāo)準(zhǔn)所規(guī)定的

內(nèi)容相一致。

明確性：按照數(shù)據(jù)文件的嵌套式結(jié)構(gòu)，逐一明確基線各要素和屬性，使標(biāo)

準(zhǔn)做到可依據(jù)和可落地。

通暢性：文字符合中文的語言習(xí)慣，做到表述通暢。

四、主要工作過程

1、2013年10月，《計算機(jī)終端核心配置基線結(jié)構(gòu)規(guī)范》國家標(biāo)準(zhǔn)編制任務(wù)

正式下達(dá)，我單位在原標(biāo)準(zhǔn)草案V1.0的基礎(chǔ)上，根據(jù)主流操作系統(tǒng)升級情況，

安全配置基線格式中兼容了PowerShell技術(shù)，并擴(kuò)充了策略屬性重要級別和可

選級別。同時，為了增加基線格式的普適性和靈活性，引入了腳本策略類型和自

定義產(chǎn)品基線類型，完成了《計算機(jī)終端核心配置基線結(jié)構(gòu)規(guī)范》（草案）V2.0

版本。

2、2014年8月7日，我單位組織召開《計算機(jī)終端核心配置基線結(jié)構(gòu)規(guī)范》

標(biāo)準(zhǔn)啟動會，會議由中國信息協(xié)會信息安全專業(yè)委員會召集，中國信息安全測評

中心、民航局信息中心、中國科學(xué)院大學(xué)、華為技術(shù)有限公司、北京北信源軟件

股份有限公司等合作單位的專家參與組成了國標(biāo)研制工作組。啟動會上專家對

《計算機(jī)終端核心配置結(jié)構(gòu)規(guī)范》（草案）V2.0版本進(jìn)行了充分討論，對明晰基

線結(jié)構(gòu)、理順描述順序等方面提出了建議。會后工作組認(rèn)真修改，形成了《計算

機(jī)終端核心配置結(jié)構(gòu)規(guī)范》（草案）V3.0版本。

3、2015年1月8日，我單位組織召開了“《計算機(jī)終端核心配置基線結(jié)構(gòu)

規(guī)范》專家咨詢會”。會上，專家組對《計算機(jī)終端核心配置基線結(jié)構(gòu)規(guī)范》（草

案）v3.0版本進(jìn)行了討論，提出需進(jìn)一步明晰核心配置的概念，流程，以及標(biāo)

準(zhǔn)內(nèi)容結(jié)構(gòu)。會后編制組進(jìn)行認(rèn)真修改，完成了《計算機(jī)終端核心配置基線結(jié)構(gòu)

規(guī)范》（草案）v4.0版本。

4、2015年3月27日，我單位組織召開了“《計算機(jī)終端核心配置基線結(jié)

構(gòu)規(guī)范》專家審查會”。會上，專家組對《計算機(jī)終端核心配置基線結(jié)構(gòu)規(guī)范》

2

（草案）v4.0版本進(jìn)行了充分討論，提出增加引言，修改文本格式，調(diào)整正文

結(jié)構(gòu)等建議。會后編制組進(jìn)行認(rèn)真修改，完成了《計算機(jī)終端核心配置基線結(jié)構(gòu)

規(guī)范》（草案）v5.0。

5、2015年8月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會WG5工作組成員單位對《計

算機(jī)終端核心配置基線結(jié)構(gòu)規(guī)范》（征求意見稿）v1.0投票表決。編制組收到反

饋意見后，經(jīng)過反復(fù)討論，采納了全部修改意見，完成了《計算機(jī)終端核心配置

基線結(jié)構(gòu)規(guī)范》（征求意見稿）V1.0版本。

五、主要內(nèi)容

本標(biāo)準(zhǔn)規(guī)定了計算機(jī)終端核心配置基線的基本概念、分類和應(yīng)用流程，規(guī)

范了基于XML的核心配置基線標(biāo)記規(guī)則。

本標(biāo)準(zhǔn)適用于機(jī)構(gòu)開展的大規(guī)模計算機(jī)終端自動化核心配置管理工作，可

用于指導(dǎo)計算機(jī)終端核心配置基線自動化工具的設(shè)計、開發(fā)和應(yīng)用。

本標(biāo)準(zhǔn)的主要框架如下：

1范圍

2規(guī)范性引用文件

3術(shù)語和定義

3.1核心配置項（配置項）coreconfigurationitem

3.2核心配置coreconfiguration

3.3核心配置基線coreconfigurationbaseline

3.4核心配置基線包c(diǎn)oreconfigurationbaselinepackage

3.5元素element

3.6屬性attribute

4縮略語

5核心配置基線概述

6基于XML的核心配置基線標(biāo)記規(guī)則

6.1核心配置基線結(jié)構(gòu)

6.2第一層元素標(biāo)記

6.3第二層元素標(biāo)記

6.4第三層元素標(biāo)記

3

6.5第四層元素標(biāo)記

6.6第五層元素標(biāo)記

6.7第六層元素標(biāo)記

6.7第七層元素標(biāo)記

附錄A（規(guī)范性附錄）核心配置基線的格式定義

六、主要試驗（或驗證）的分析、綜述報告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效果

該標(biāo)準(zhǔn)用于指導(dǎo)組織開發(fā)核心配置基線，解決非域環(huán)境下大規(guī)模計算機(jī)終

端的自動化配置管理問題。同時，為第三方機(jī)構(gòu)對核心配置基線的驗證評估提供

依據(jù)。按照標(biāo)準(zhǔn)生成的配置基線實用性強(qiáng)，切合市場需求，原本很多需要手工處

理的工作通過標(biāo)準(zhǔn)化基線工具自動完成，管理人員可在遠(yuǎn)程部署安全策略，實時

監(jiān)測和解決終端安全問題，從而極大地降低信息安全運(yùn)維和管理成本，并可獲得

一定的經(jīng)濟(jì)利益。

七、采用國際標(biāo)準(zhǔn)和國外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國際、國外同類標(biāo)準(zhǔn)水平的

對比情況，或與測試的國外樣品、樣機(jī)的有關(guān)數(shù)據(jù)對比情況

SCAP（安全內(nèi)容自動化協(xié)議）標(biāo)準(zhǔn)是美國當(dāng)前比較成熟的一套信息安全評估

標(biāo)準(zhǔn)體系，可實現(xiàn)域環(huán)境下的基線自動化配置,但這種方法不適用于非域管理模

式，而且不支持安全配置符合性檢查。本標(biāo)準(zhǔn)可基于客戶端代理的核心配置方法，

可實現(xiàn)非域環(huán)境自動化部署，在國內(nèi)的普適性更強(qiáng)。

八、與有關(guān)的現(xiàn)行法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)的關(guān)系

該標(biāo)準(zhǔn)符合我國現(xiàn)行的法律、法規(guī)和強(qiáng)制性國家標(biāo)準(zhǔn)。另外，該標(biāo)準(zhǔn)與現(xiàn)有

推薦性國家標(biāo)準(zhǔn)《GB/T30278-2013政務(wù)計算機(jī)終端核心配置規(guī)范》相關(guān)概念及

方法具有一致性。

九、重大分歧意見的處理經(jīng)過和依據(jù)

尚無。

十、國家標(biāo)準(zhǔn)作為強(qiáng)制性國家標(biāo)準(zhǔn)或推薦性國家標(biāo)準(zhǔn)的建議

建議該標(biāo)準(zhǔn)作為推薦性國家標(biāo)準(zhǔn)發(fā)布實施。

十一、貫徹國家標(biāo)準(zhǔn)的要求和措施建議（包括組織措施、技術(shù)措施、過渡辦法

等內(nèi)容）

該標(biāo)準(zhǔn)的宣貫和應(yīng)用應(yīng)配合已頒布的國家標(biāo)準(zhǔn)《政務(wù)計算機(jī)終端核心配置

4

規(guī)范》集成實施，在宣貫核心配置及相關(guān)概念的基礎(chǔ)上，指導(dǎo)科研機(jī)構(gòu)或公司按

照標(biāo)準(zhǔn)內(nèi)容開發(fā)核心配置基線數(shù)據(jù)文件，以滿足單位信息安全要求。同時，應(yīng)由

第三方開展合規(guī)性測試，通過后可部署應(yīng)用。

十二、其他