USGCB历史和介绍.docx

USGCB（U.S. Government Configuration Baseline）是美国政府配置基线,它脱胎于FDCC(Federal Desktop Core Configuration，联邦桌面核心配置）FDCC项目介绍:FDCC是在美国政府支持下建立的桌面系统（Windows XP、Windows vista等）相关安全基线要求规范，并通过自动化的工具进行检查。FDCC基于NVD、NCP等内容进行基线安全核查。NVD（National Vulnerability Database，国家漏洞数据库）为自动化漏洞管理、安全评估和合规性检查提供数据支撑，包含安全核查名单、与安全相关的软件漏洞、配置错误以及量化影响等。NVD数据库针对数据库中的漏洞等提出了一整套核查名单（Checklist），划归到NCP（National Checklist Program）计划中。简言之,FDCC体现了两个方面的特性： 标准化：在NVD、NCP的基础上，构建了一套针对桌面系统的安全基线（检查项），这些检查项由安全漏洞、安全配置等有关检查内容构成，为标准化的技术安全操作提供了框架。 自动化：针对桌面系统的特性，采用标准化的检查内容和检查方法，通过自动化的工具来执行，为自动化的技术安全操作提供支持其主要关注四个要点： 一是删除管理员和超级用户权限； 二是启用防火墙； 三是将FDCC设置应用与Windows和IE； 四是随时进行配置管理。为方便FDCC的测试、部署和应用，美国标准技术研究院发布了四种形式的FDCC安全配置包，分别是： （1）安全配置策略电子表格该配置包以Excel表格的形式列出了XP和Vista的安全配置策略，主要列出策略路径、策略配置名称、Vista/XP环境下的配置值、注册表设置、配置标识、策略描述等内容。 （2）组策略对象（GPOs）Windows安全策略主要是以组策略形式进行配置和管理，因此美国国家安全标准技术研究院提供了FDCC的组策略对象配置包，以便用户直接用组策略控制台或组策略加速器等工具部署和应用FDCC的安全配置。 （3）虚拟硬盘（VHDs）虚拟硬盘配置包提供了FDCC的虚拟运行环境，用户可以在当前操作系统上直接运行该虚拟环境，以便进行软件兼容性和适用性方面的测试和评估。因此虚拟硬盘可作为FDCC的测试工具。 （4）安全内容自动化协议内容（SCAP Content）FDCC提供了用于自动化配置检查的安全配置包SCAP Content。该配置包采用XML格式，描述了XP、Vista、Windows防火墙和IE7的配置检查项，可以通过实施自动化检查，提供第三方的安全配置合规性评估检查。FDCC配套实施工具 微软提供的FDCC配套工具主要用于FDCC的测试、评估和部署。 （1）虚拟机 虚拟机主要用于应用程序兼容性和开发测试。 （2）微软评估和规划工具 微软评估和规划工具（MAP）主要用于评估当前信息技术基础设施情况，从而确定是否可满足需求的系统移植技术方案。 （3）应用程序兼容性测试工具 应用程序兼容性测试工具（ACT）属于生命周期管理工具，通过测试分析兼容性指标数据，合理化虚拟组织应用程序、网站和计算机终端等应用资产 （4）微软布署工具 微软布署工具将桌面和服务器所用布署工具和过程集成为一个通用部署控制台。 （5）组策略部署工具 组策略加速器可以自动生成安全配置部署所需的组策略对象，比托运配置过程节省大量的时间和工作量。FDCC实施方法 准备u 分析安全目标和安全需求，评估安全配置要求及实施FDCC对本机构的影响u 检查设备及软件情况，测试应用程序兼容性u 确定是制作镜像还是创建GPO 制作u 确定操作系统所需的组件/功能，并创建镜像/GPOu 向NIST提交与FDCC标准配置之间的偏差及纠正偏差的最终计划u 在测试环境中测试和解决由FDCC引起的潜在的系统和应用程序的兼容性问题u 验证安全配置的有效性 部署u 开发用于生产环境的部署计划u 与IT用户沟通所产生的计划u 具体部署方法： 小型机构一般通过批处理文件结合.inf文件的方法实施 推荐的方法是通过组策略或MS提供的企业组策略管理工具部署桌面配置，并通过组策略控制台来管理GPO 通过制作映像来进行批量部署 检测与评估u FDCC利用SCAP标准框架进行描述，建立了一套针对桌面终端的安全配置检查项，描述了安全配置、安全漏洞等检查内容u 可采用经过SCAP认证的FDCC检查工具自动执行合规性检查安全基线的理论基础FISMA的全称是The Federal Information Security Management Act，联邦信息安全管理法案，是由美国国家标准和技术研究所(NIST)牵头制定。FISMA把责任分配到各种各样的机构上来确保联邦政府的信息系统和数据安全。FISMA的推出使得一直忽视计算机安全的联邦政府开始关注计算机安全。FISMA（The Federal Information Security Management Act）提出了一个包含八个步骤的信息安全生命周期模型，这个模型的执行过程涉及面非常广泛且全面，但实施、落地的难度也非常大。如图1.1所示，FISMA规范落地的过程好像从高空到地面，真正实施起来非常复杂。 图 1 FISMA法案的落地FISMA的目的：促进和发展美国的主要安全标准和准则，主要内容包括： 指导信息系统的安全标准分类 指导制订信息系统的最低安全要求 指导针对信息系统选择适当的安全控制 指导对信息系统的安全控制进行评估 指导对信息系统的认证测评 NIST（National Institute of Standards and Technology）美国国家标准与技术研究所。 是美国商务部所属的联邦研究机构, 集科研、计量、标准化、技术创新为一体, 并根据国会授权制定事关国家重大利益的标准 NIST 作为美国高端的联邦研究机构, 以集科研、计量、标准化和技术创新于一体的实力与优势, 确立了美国国家标准研究中心的地位。同时, 它还是美国标准化活动的战略管理者和美国标准化技术服务中心。FISMA与NIST是什么关系？FISMA中指定NIST的作用，制定信息安全标准（Federal Information Processing Standards）和指导方针（Special Publications in the 800-series） 并指定NIST的一些具体职责：制定标准、技术支持、信息系统分类和最低安全要求。为了实现FISMA法案的落地，由NIST牵头针对其中的技术安全问题提出了一套自动化的计划称为ISAP（information security automation program）来促进FISMA的执行，ISAP出来后延伸出SCAP框架（security content automation protocol），SCAP框架由CVE、CCE、CPE、XCCDF、OVAL、CVSS等6个支撑标准构成（检查的标准，一致性标准等）。）。这6个支撑标准需要检查的内容、检查的方式由NVD和NCP来提供，由此SCAP框架就实现了标准化和自动化安全检查，及形成了一套针对系统的安全检查基线。SCAP安全内容自动化协议（SCAP：Security Content Automation Protocol），它列举了各种软件产品的漏洞，各种与安全有关的软件配置问题，并提供了漏洞管理自动化的机制。它用开放性标准实现了自动化脆弱性管理、衡量和策略符合性评估。 SCAP是信息安全自动化计划ISAP的一部分，主要由很多现有的标准组成。（这些组成部分被称为Scap Component） CVE(通用漏洞披露) CVSS(通用漏洞评价体系) CPE(通用平台枚举)：可以利用该平台列举出各项企业资产，为各项资产的数据提供基本的管理依据 CCE(通用配置枚举)：与CVE很相似，但是主要用于处理错误配置问题 OVAL(开放漏洞和评估语言)：说明计算机的配置和发现的漏洞情况 XCCDF(可扩展配置清单说明格式)：用于描述安全配置列表（checklists）、基准点（benchmarks）相关文档。一般用于描述目标系统安全配置规则。 SCAP诞生的背景1.很多大型机构有大量的计算机及应用软件需要进行安全配置，而且信息系统中往往有很多不同的操作系统，有不同安全等级要求的计算机，同一个软件可能在不同安全需求的计算机上要进行不同的配置，这些都给系统安全配置带来很大的挑战。-需要快速、准确性高、自动化的配置手段 2.2009年共计有5700多个软件漏洞被添加到NVD中，如何识别系统中的高风险威胁并作出快速反应，如打补丁和修改相应配置等 3.现在很多漏洞都有很多不同的名字，比如：CVE-2010-3326/MS10-071实际上是相