FDCC及政务终端安全核心配置PPT课件.ppt

终端安全核心配置研究 国家信息中心信息安全研究与服务中心北京2011 1 2004 1 12 1 什么是终端安全核心配置 对操作系统 办公软件 浏览器等常用软件中关键的安全属性进行参数设置 限制或禁止存在安全隐患或漏洞的功能 启用或加强安全保护功能 增强终端抵抗安全风险的能力 2 禁止高危服务和端口非法程序脚本执行未授权程序驱动安装限制用户权限程序内存配额远程进程调用 RPC 加强密码管理身份认证系统审核启用数字签名进程保护 终端安全配置 3 起源 最早起源于2003年美国空军实施的标准桌面配置 SDC 美国空军在435 000个终端上部署SDC 并进行了10个月的试验性测试 两年内全面投入使用 标准桌面配置 SDC 中采用的安全配置主要基于微软发布的操作系统安全指南 2007年在SDC基础上 美国联邦政府提出联邦桌面核心配置计划 FederalDesktopCoreConfiguration 称为FDCC 该计划由美国联邦预算管理办公室 OMB 和美国国家标准与技术研究院 NIST 共同负责实施 旨在提高美国联邦政府所使用的Windows安全性 并使联邦政府桌面计算机的安全管理实现标准化和自动化 4 GAO的审计报告 FDCC实施步骤 2010年3月 GAO发布审计报告 政府机构必须实施桌面核心配置 为了实施FDCC OMB要求各个联邦机构采取如下步骤 制定FDCC实施计划 并提交OMB 2008年3月前 在所有终端上完成全部安全配置 记录实际配置与标准配置之间的偏差 并需通过授权机构的认可 使用经NIST认证的工具来监测安全配置达标情况 保证未来采购的信息技术产品符合安全配置要求 向NIST提交配置状态报告 5 GAO的审计报告 FDCC实施情况 2008年12月至2010年3月 GAO对24个主要联邦机构执行FDCC的情况进行了审计各机构已经按照要求开始行动 但还没有一个机构全部完成安全配置79 的机构向OMB提交了FDCC部署计划96 的机构制定了存在偏差的配置 OMB允许在一定范围内与FDCC存在偏差 46 的政府机构完成了有偏差的安全配置2008年3月31日前 88 的机构向NIST提交了FDCC合规性检测报告 其中57 的机构达标 6 一FDCC安全基线 FDCC安全基线对WindowsXP Vista IE及Windows防火墙的安全配置做出具体规定 其主要关注四个要点 一是删除管理员和超级用户权限 二是启用防火墙 三是将FDCC设置应用于Windows和IE 四是随时进行配置管理 7 二FDCC安全配置包 为方便FDCC的测试 部署和应用 美国标准技术研究院发布了四种形式的FDCC安全配置包 分别是 1 安全配置策略电子表格该配置包以Excel表的形式列出了XP及Vista的安全配置策略 主要列出策略路径 策略配置名称 Vista XP环境下的配置值 注册表设置 配置标识 策略描述等内容 2 组策略对象 GPOs Windows的安全策略主要是以组策略的形式进行配置和管理 因此美国国家标准技术研究院提供了FDCC的组策略对象配置包 以便用户直接利用组策略控制台或组策略加速器等工具部署和应用FDCC的安全配置 3 虚拟硬盘 VHDs 虚拟硬盘配置包提供了FDCC的虚拟运行环境 用户可以在当前操作系统上直接运行该虚拟环境 以便进行软件兼容性和适用性方面的测试和评估 因此虚拟硬盘可作为FDCC的测试工具 4 安全内容自动化协议内容 SCAPContent FDCC提供了用于自动化安全配置检查的安全配置包SCAPContent 安全内容自动化协议内容 该配置包采用XML格式 描述了XP Vista Windows防火墙和IE7的配置检查项 可通过实施自动化检查 FDCCScan 提供第三方的安全配置合规性评估检查 8 三安全内容自动化协议 SCAP 美国标准技术研究院制定的一套支持自动化漏洞管理 测量和政策合规评估的安全标准规范 其主要对通信的方式和内容进行标准化 包括建立国家漏洞数据库NVD 确定评估报告的格式和频率 并提供产品测试和认证 SCAP由以下六个标准构成 1 通用脆弱性和漏洞目录 CVE 该标准定义了与软件漏洞相关的安全脆弱性的标准标识符和目录 2 通用配置目录 CCE 该标准定义了与安全相关的系统配置项的标准标识符和目录 3 通用平台目录 CPE 该标准定义了平台及产品的标准名称和目录 4 可扩展配置控制列表描述格式 XCCDF 该标准定义了控制列表和检测报告的XML描述格式 5 开放性脆弱性评估描述语言 OVAL 该标准定义了与软件缺陷 配置问题 补丁相关的安全测试过程以及测试报告XML描述格式 6 通用脆弱性评分系统 CVSS 该标准定义了脆弱性对系统影响的评分和传递标准 CVE OVAL和CVSS主要用于漏洞管理 CCE主要用于配置管理 CPE主要用于资产管理 XCCDF主要用于配置管理和合规性管理 上述标准为FDCC的自动化检查 包括漏洞检查 配置检查以及检查方法 提供了标准化的描述格式 9 四FDCC配套实施工具 微软提供的FDCC配套工具主要用于FDCC的测试 评估和部署 1 虚拟机虚拟机 VM 主要用于应用程序兼容性和开发测试 2 微软评估和规划工具微软评估和规划工具 MAP 主要用于评估当前信息技术基础设施情况 从而确定可满足需求的系统移植技术方案 3 应用程序兼容性测试工具应用程序兼容性测试工具 ACT 属于生命周期管理工具 通过测试分析兼容性指标数据 合理化组织应用程序 网站和计算机终端等应用资产 4 微软部署工具微软部署工具将桌面和服务器部署所需的工具和过程集成为一个通用部署控制台 5 组策略部署工具组策略加速器 GPOAccelerator 可以自动生成安全配置部署所需的所有组策略对象 GPOs 比手动配置过程要节省大量时间和工作量 10 FDCC对我国提高政务计算机终端安全的启示 1 终端安全重要性凸显 安全配置管理是关键 终端是信息加工 处理和存储的重要基础设备 其安全性会严重影响整个网络的安全 而安全漏洞的大量存在是终端脆弱性的主要原因 因此通过限制用户权限 关闭部分服务功能等安全配置管理可有效减少系统漏洞 提高终端防护能力 2 实行终端安全配置统一化和标准化 不仅有利于降低系统风险 方便信息安全防范措施的统一部署和实施效率 还可有效降低终端安全管理的复杂性和维护成本 因此应研究制定符合我国国情的政务终端安全配置指南标准 并推动相关计划的实施 这对于降低我国政府信息化成本特别是信息安全成本也有着重要作用 3 加强关键技术产品的自主可控 我国在操作系统等关键技术产品方面还依赖于美国 而通过实施类似FDCC的安全配置计划 则可实现终端安全配置和管理的自主化 并且我国终端安全配置标准的推出 及配套实施工具的研发 有利于推动软件等关键技术产品的升级改造和自主创新 也是利用政府应用推动国产化的一个契机 11 CGDCC研究背景 2007年初 国家信息中心与微软 中国 有限公司签定合作备忘录 开始合作终端安全方面的研究和技术开发 2008年 在国际可信计算联盟的支持下 微软支持国家信息中心开展FDCC研究与转化应用 并在终端安全配置基线核心技术方面提供支持 2009年5月召开FDCC培训会 每月定期召开电话会议 提供技术指导2010年3月 培训和现场技术指导2010年4月开始指导标准配套实施工具的开发工作 12 我国加快终端安全配置标准立项工作 2008年 开展针对FDCC及SCAP标准的跟踪研究 政务终端安全核心配置规范 2010年国家信息标准正式立项 计划号 20100392 T 469 政务终端安全核心配置 CGDCC 标准研制及其验证 应用平台建设项目 列入2010年国家发改委高技术产业发展项目计划 13 CGDCC研究目标 分析我国当前电子政务网络环境安全状况 借鉴FDCC内容 结合我国信息安全等级保护等相关技术标准成果 制定我国政务终端安全核心配置标准 CGDCC 通过全国政务终端安全护理平台 对CGDCC实现统一部署 通过国标研制 推进国家政务终端安全配置管理的统一化和标准化 14 CGDCC研究线路 研制政务终端安全核心配置标准 主要包括 政务终端安全核心配置规范 政务终端安全核心配置目录 操作系统 浏览器 办公软件 邮件系统 媒体播放 即时通讯等常用软件等安全基线政务终端安全核心配置描述格式规范 政务终端安全核心配置实施指南 研发CGDCC编辑 部署 检测 报告等配套实施工具开展CGDCC的验证 试点及应用推广 15 CGDCC标准体系框架 16 政务终端安全核心配置 技术规范 总体要求 应用支撑 配置包描述语言规范 等 分 级保护配置要求 终端安全核心配置规范 其他常用软件安全配置要求 操作系统安全配置要求 配置清单描述规范 配置状态描述规范 邮件系统安全配置要求 办公软件安全配置要求 浏览器安全配置要求 安全配置实施指南 CGDCC标准之间的关系 分级保护安全配置要求 安全核心配置技术规范 第1部分 WINDOWS桌面操作系统安全配置要求 第2部分 LINUX桌面操作系统安全配置要求 第3部分 办公软件安全配置要求 第4部分 浏览器软件安全配置要求 第5部分 邮件系统安全配置要求 第6部分 其他常见软件安全配置要求 配置清单描述规范 终端安全核心配置规范 等 分 级保护安全配置要求 配置状态描述规范 总体标准 应用支撑标准 1 2 3 4 6 配置包描述语言规范 安全配置实施指南 5 7 17 安全核心配置应用支撑框架 18 安全配置实施流程 19 CGDCC研究工作进展 翻译FDCC安全配置策略翻译整理微软安全基线已完成6大类 46条基线 3000条策略的翻译与整理工作 国家信息中心牵头 组织国家经济信息系统 行业单位及企业开展操作系统 浏览器等安全配置标准的预研工作 已完成 政务终端安全核心配