FDCC及政务终端安全核心配置模版课件

终端安全核心配置研究

国家信息中心信息安全研究与服务中心

北京2011.1.终端安全核心配置研究

什么是终端安全核心配置？对操作系统、办公软件、浏览器等常用软件中关键的安全属性进行参数设置，限制或禁止存在安全隐患或漏洞的功能，启用或加强安全保护功能，增强终端抵抗安全风险的能力

2禁止高危服务和端口非法程序脚本执行未授权程序驱动安装限制用户权限程序内存配额远程进程调用(RPC)加强密码管理身份认证系统审核启用数字签名进程保护

什么是终端安全核心配置？对操作系统、办公软终端安全配置终端安全配置终端软件环境安全配置终端硬件环境安全配置终端安全核心配置外部设备安全配置网络端口安全配置存储设备安全配置不可安装软件列表可安装软件列表应安装软件列表其他常用软件安全配置办公软件安全配置操作系统安全配置终端安全配置终端安全配置终端软件环境终端硬件环境终端安全核心起源最早起源于2003年美国空军实施的标准桌面配置（SDC）。美国空军在435,000个终端上部署SDC，并进行了10个月的试验性测试，两年内全面投入使用。标准桌面配置（SDC）中采用的安全配置主要基于微软发布的操作系统安全指南。2007年在SDC基础上，美国联邦政府提出联邦桌面核心配置计划（FederalDesktopCoreConfiguration），称为FDCC。该计划由美国联邦预算管理办公室（OMB）和美国国家标准与技术研究院（NIST）共同负责实施，旨在提高美国联邦政府所使用的Windows安全性，并使联邦政府桌面计算机的安全管理实现标准化和自动化。4起源4GAO的审计报告－FDCC实施步骤2010年3月，GAO发布审计报告《政府机构必须实施桌面核心配置》为了实施FDCC，OMB要求各个联邦机构采取如下步骤：制定FDCC实施计划，并提交OMB；2008年3月前，在所有终端上完成全部安全配置；记录实际配置与标准配置之间的偏差，并需通过授权机构的认可；使用经NIST认证的工具来监测安全配置达标情况；保证未来采购的信息技术产品符合安全配置要求；向NIST提交配置状态报告。GAO的审计报告－FDCC实施步骤2010年3月，GAO发布GAO的审计报告－FDCC实施情况2008年12月至2010年3月，GAO对24个主要联邦机构执行FDCC的情况进行了审计各机构已经按照要求开始行动，但还没有一个机构全部完成安全配置79％的机构向OMB提交了FDCC部署计划96％的机构制定了存在偏差的配置（OMB允许在一定范围内与FDCC存在偏差）；46％的政府机构完成了有偏差的安全配置2008年3月31日前，88％的机构向NIST提交了FDCC合规性检测报告，其中57％的机构达标GAO的审计报告－FDCC实施情况2008年12月至2010

一FDCC安全基线

FDCC安全基线对WindowsXP、Vista、IE及Windows防火墙的安全配置做出具体规定。

其主要关注四个要点：

一是删除管理员和超级用户权限；二是启用防火墙；三是将FDCC设置应用于Windows和IE；四是随时进行配置管理。7

一FDCC安全基线

FDCC安全基线对Window二FDCC安全配置包为方便FDCC的测试、部署和应用，美国标准技术研究院发布了四种形式的FDCC安全配置包，分别是：（1）安全配置策略电子表格该配置包以Excel表的形式列出了XP及Vista的安全配置策略，主要列出策略路径、策略配置名称、Vista/XP环境下的配置值、注册表设置、配置标识、策略描述等内容。（2）组策略对象（GPOs）Windows的安全策略主要是以组策略的形式进行配置和管理，因此美国国家标准技术研究院提供了FDCC的组策略对象配置包，以便用户直接利用组策略控制台或组策略加速器等工具部署和应用FDCC的安全配置。（3）虚拟硬盘（VHDs）虚拟硬盘配置包提供了FDCC的虚拟运行环境，用户可以在当前操作系统上直接运行该虚拟环境，以便进行软件兼容性和适用性方面的测试和评估。因此虚拟硬盘可作为FDCC的测试工具。（4）安全内容自动化协议内容（SCAPContent）FDCC提供了用于自动化安全配置检查的安全配置包SCAPContent（安全内容自动化协议内容）。该配置包采用XML格式，描述了XP、Vista、Windows防火墙和IE7的配置检查项，可通过实施自动化检查（FDCCScan），提供第三方的安全配置合规性评估检查。8二FDCC安全配置包为方便FDCC的测试、部署和应用三安全内容自动化协议（SCAP）美国标准技术研究院制定的一套支持自动化漏洞管理、测量和政策合规评估的安全标准规范。其主要对通信的方式和内容进行标准化，包括建立国家漏洞数据库NVD，确定评估报告的格式和频率，并提供产品测试和认证。SCAP由以下六个标准构成：1）通用脆弱性和漏洞目录（CVE）：该标准定义了与软件漏洞相关的安全脆弱性的标准标识符和目录；2）通用配置目录（CCE）：该标准定义了与安全相关的系统配置项的标准标识符和目录；3）通用平台目录（CPE）：该标准定义了平台及产品的标准名称和目录；4）可扩展配置控制列表描述格式（XCCDF）：该标准定义了控制列表和检测报告的XML描述格式；5）开放性脆弱性评估描述语言（OVAL）：该标准定义了与软件缺陷、配置问题、补丁相关的安全测试过程以及测试报告XML描述格式；6）通用脆弱性评分系统（CVSS）：该标准定义了脆弱性对系统影响的评分和传递标准。CVE、OVAL和CVSS主要用于漏洞管理，CCE主要用于配置管理，CPE主要用于资产管理，XCCDF主要用于配置管理和合规性管理。上述标准为FDCC的自动化检查，包括漏洞检查、配置检查以及检查方法，提供了标准化的描述格式。9三安全内容自动化协议（SCAP）美国标准技术研究院制定的

四FDCC配套实施工具

微软提供的FDCC配套工具主要用于FDCC的测试、评估和部署。（1）虚拟机虚拟机（VM）主要用于应用程序兼容性和开发测试。（2）微软评估和规划工具微软评估和规划工具（MAP）主要用于评估当前信息技术基础设施情况，从而确定可满足需求的系统移植技术方案。（3）应用程序兼容性测试工具应用程序兼容性测试工具（ACT）属于生命周期管理工具，通过测试分析兼容性指标数据，合理化组织应用程序、网站和计算机终端等应用资产（4）微软部署工具微软部署工具将桌面和服务器部署所需的工具和过程集成为一个通用部署控制台。（5）组策略部署工具组策略加速器（GPOAccelerator）可以自动生成安全配置部署所需的所有组策略对象（GPOs），比手动配置过程要节省大量时间和工作量10

四FDCC配套实施工具

微软提供的FDCC配套工具FDCC对我国提高政务计算机终端安全的启示（1）终端安全重要性凸显，安全配置管理是关键。终端是信息加工、处理和存储的重要基础设备，其安全性会严重影响整个网络的安全，而安全漏洞的大量存在是终端脆弱性的主要原因。因此通过限制用户权限、关闭部分服务功能等安全配置管理可有效减少系统漏洞，提高终端防护能力。（2）实行终端安全配置统一化和标准化，不仅有利于降低系统风险、方便信息安全防范措施的统一部署和实施效率，还可有效降低终端安全管理的复杂性和维护成本。因此应研究制定符合我国国情的政务终端安全配置指南标准，并推动相关计划的实施。这对于降低我国政府信息化成本特别是信息安全成本也有着重要作用。（3）加强关键技术产品的自主可控。我国在操作系统等关键技术产品方面还依赖于美国，而通过实施类似FDCC的安全配置计划，则可实现终端安全配置和管理的自主化。并且我国终端安全配置标准的推出，及配套实施工具的研发，有利于推动软件等关键技术产品的升级改造和自主创新，也是利用政府应用推动国产化的一个契机。11FDCC对我国提高政务计算机终端安全的启示（1）终端安全重要CGDCC研究背景2007年初，国家信息中心与微软（中国）有限公司签定合作备忘录，开始合作终端安全方面的研究和技术开发。2008年，在国际可信计算联盟的支持下，微软支持国家信息中心开展FDCC研究与转化应用，并在终端安全配置基线核心技术方面提供支持。2009年5月召开FDCC培训会。每月定期召开电话会议，提供技术指导2010年3月，培训和现场技术指导2010年4月开始指导标准配套实施工具的开发工作12CGDCC研究背景2007年初，国家信息中心与微软（中国）有我国加快终端安全配置标准立项工作2008年，开展针对FDCC及SCAP标准的跟踪研究《政务终端安全核心配置规范》——2010年国家信息标准正式立项(计划号:20100392-T-469）“政务终端安全核心配置（CGDCC）标准研制及其验证、应用平台建设项目”

——列入2010年国家发改委高技术产业发展项目计划我国加快终端安全配置标准立项工作2008年，开展针对FDCCCGDCC研究目标分析我国当前电子政务网络环境安全状况，借鉴FDCC内容，结合我国信息安全等级保护等相关技术标准成果，制定我国政务终端安全核心配置标准（CGDCC）。通过全国政务终端安全护理平台，对CGDCC实现统一部署。通过国标研制，推进国家政务终端安全配置管理的统一化和标准化。14CGDCC研究目标分析我国当前电子政务网络环境安全状况，借鉴CGDCC研究线路研制政务终端安全核心配置标准，主要包括：政务终端安全核心配置规范；政务终端安全核心配置目录；操作系统、浏览器、办公软件、邮件系统、媒体播放、即时通讯等常用软件等安全基线政务终端安全核心配置描述格式规范；政务终端安全核心配置实施指南。研发CGDCC编辑、部署、检测、报告等配套实施工具开展CGDCC的验证、试点及应用推广15CGDCC研究线路研制政务终端安全核心配置标准，主要包括：1CGDCC标准体系框架

16政务终端安全核心配置技术规范总体要求应用支撑配置包描述语言规范等(分)级保护配置要求终端安全核心配置规范其他常用软件安全配置要求操作系统安全配置要求配置清单描述规范配置状态描述规范邮件系统安全配置要求办公软件安全配置要求浏览器安全配置要求安全配置实施指南CGDCC标准体系框架16政务终端安全核心配置技术规范总体CGDCC标准之间的关系分级保护安全配置要求安全核心配置技术规范第1部分：WINDOWS桌面操作系统安全配置要求第2部分：LINUX桌面操作系统安全配置要求第3部分：办公软件安全配置要求第4部分：浏览器软件安全配置要求第5部分：邮件系统安全配置要求第6部分：其他常见软件安全配置要求配置清单描述规范终端安全核心配置规范等(分)级保护安全配置要求配置状态描述规范总体标准应用支撑标准12346配置包描述语言规范安全配置实施指南57CGDCC标准之间的关系分级保护安全配置要求安全核心配置技术安全核心配置应用支撑框架配置验证平台配置分发平台配置部署系统配置编辑平台配置状态监测平台安全核心配置应用支撑框架配置验证平台配置分发平台配置部署系统安全配置实施流程配置编辑配置验证配置部署配置检查例外处理安全配置实施流程配置编辑配置验证配置部署配置检查例外处理CGDCC研究工作进展基础研究标准预研国标立项翻译FDCC安全配置策略翻译整理微软安全基线已完成6大类,46条基线,3000条策略的翻译与整理工作国家信息中心牵头，组织国家经济信息系统、行业单位及企业开展操作系统、浏览器等安全配置标准的预研工作已完成《政务终端安全核心配置规范》国标立项正在申请《政务终端安全核心配置目录》国标立项逐步开展后续标准立项工作CGDCC研究工作进展基础研究标准预研国标立项翻译FDCC安标准应用支撑平台建设进展依托国家经济信息系统在全国范围内建设政务终端安全核心配置应用支撑平台在国家信息中心建立中央节点在24个省市信息中心建立地方节点自主研制核心配置应用支撑软件PCcare2011123地方政府用户终端国家信息中心主节点省级节点省级节点省级节点互联网政务外网地方政府用户终端地方政府用户终端部委节点标准应用支撑平台建设进展依托国家经济信息系统在全国范围内建标准应用支撑平台功能PCcare安全策略配置安全状态监测补丁测评分发安全预警通告地方政府用户终端国家信息中心主节点省级节点省级节点省级节点互联网政务外网地方政府用户终端地方政府用户终端部委节点标准应用支撑平台功能PCcare安全策略配置安全状态监测补丁安全核心配置功能PCcare安全策略配置安全状态监测补丁测评分发安全预警通告安全核心配置工具配置基线管理配置分发部署配置状态监测配置状态报告配置检查（专用）配置包编辑器配置验证测试工具安全核心配置功能PCcare安全策略配置安全状态监测补丁测评试点应用情况网络安全部其他部门所有部门试点应用情况网络安全部其他部门所有部门安全核心配置服务发展安全配置库IT产品库漏洞补丁库IT产品配置标准安全配置基线安全配置指南安全配置服务平台IT产品厂商终端服务器网络设备安全设备办公设备安全核心配置服务发展安全配置库IT产品库漏洞补丁库IT产品配谢谢谢谢终端安全核心配置研究

国家信息中心信息安全研究与服务中心

北京2011.1.终端安全核心配置研究

什么是终端安全核心配置？对操作系统、办公软件、浏览器等常用软件中关键的安全属性进行参数设置，限制或禁止存在安全隐患或漏洞的功能，启用或加强安全保护功能，增强终端抵抗安全风险的能力

28禁止高危服务和端口非法程序脚本执行未授权程序驱动安装限制用户权限程序内存配额远程进程调用(RPC)加强密码管理身份认证系统审核启用数字签名进程保护

什么是终端安全核心配置？对操作系统、办公软终端安全配置终端安全配置终端软件环境安全配置终端硬件环境安全配置终端安全核心配置外部设备安全配置网络端口安全配置存储设备安全配置不可安装软件列表可安装软件列表应安装软件列表其他常用软件安全配置办公软件安全配置操作系统安全配置终端安全配置终端安全配置终端软件环境终端硬件环境终端安全核心起源最早起源于2003年美国空军实施的标准桌面配置（SDC）。美国空军在435,000个终端上部署SDC，并进行了10个月的试验性测试，两年内全面投入使用。标准桌面配置（SDC）中采用的安全配置主要基于微软发布的操作系统安全指南。2007年在SDC基础上，美国联邦政府提出联邦桌面核心配置计划（FederalDesktopCoreConfiguration），称为FDCC。该计划由美国联邦预算管理办公室（OMB）和美国国家标准与技术研究院（NIST）共同负责实施，旨在提高美国联邦政府所使用的Windows安全性，并使联邦政府桌面计算机的安全管理实现标准化和自动化。30起源4GAO的审计报告－FDCC实施步骤2010年3月，GAO发布审计报告《政府机构必须实施桌面核心配置》为了实施FDCC，OMB要求各个联邦机构采取如下步骤：制定FDCC实施计划，并提交OMB；2008年3月前，在所有终端上完成全部安全配置；记录实际配置与标准配置之间的偏差，并需通过授权机构的认可；使用经NIST认证的工具来监测安全配置达标情况；保证未来采购的信息技术产品符合安全配置要求；向NIST提交配置状态报告。GAO的审计报告－FDCC实施步骤2010年3月，GAO发布GAO的审计报告－FDCC实施情况2008年12月至2010年3月，GAO对24个主要联邦机构执行FDCC的情况进行了审计各机构已经按照要求开始行动，但还没有一个机构全部完成安全配置79％的机构向OMB提交了FDCC部署计划96％的机构制定了存在偏差的配置（OMB允许在一定范围内与FDCC存在偏差）；46％的政府机构完成了有偏差的安全配置2008年3月31日前，88％的机构向NIST提交了FDCC合规性检测报告，其中57％的机构达标GAO的审计报告－FDCC实施情况2008年12月至2010

一FDCC安全基线

FDCC安全基线对WindowsXP、Vista、IE及Windows防火墙的安全配置做出具体规定。

其主要关注四个要点：

一是删除管理员和超级用户权限；二是启用防火墙；三是将FDCC设置应用于Windows和IE；四是随时进行配置管理。33

一FDCC安全基线

FDCC安全基线对Window二FDCC安全配置包为方便FDCC的测试、部署和应用，美国标准技术研究院发布了四种形式的FDCC安全配置包，分别是：（1）安全配置策略电子表格该配置包以Excel表的形式列出了XP及Vista的安全配置策略，主要列出策略路径、策略配置名称、Vista/XP环境下的配置值、注册表设置、配置标识、策略描述等内容。（2）组策略对象（GPOs）Windows的安全策略主要是以组策略的形式进行配置和管理，因此美国国家标准技术研究院提供了FDCC的组策略对象配置包，以便用户直接利用组策略控制台或组策略加速器等工具部署和应用FDCC的安全配置。（3）虚拟硬盘（VHDs）虚拟硬盘配置包提供了FDCC的虚拟运行环境，用户可以在当前操作系统上直接运行该虚拟环境，以便进行软件兼容性和适用性方面的测试和评估。因此虚拟硬盘可作为FDCC的测试工具。（4）安全内容自动化协议内容（SCAPContent）FDCC提供了用于自动化安全配置检查的安全配置包SCAPContent（安全内容自动化协议内容）。该配置包采用XML格式，描述了XP、Vista、Windows防火墙和IE7的配置检查项，可通过实施自动化检查（FDCCScan），提供第三方的安全配置合规性评估检查。34二FDCC安全配置包为方便FDCC的测试、部署和应用三安全内容自动化协议（SCAP）美国标准技术研究院制定的一套支持自动化漏洞管理、测量和政策合规评估的安全标准规范。其主要对通信的方式和内容进行标准化，包括建立国家漏洞数据库NVD，确定评估报告的格式和频率，并提供产品测试和认证。SCAP由以下六个标准构成：1）通用脆弱性和漏洞目录（CVE）：该标准定义了与软件漏洞相关的安全脆弱性的标准标识符和目录；2）通用配置目录（CCE）：该标准定义了与安全相关的系统配置项的标准标识符和目录；3）通用平台目录（CPE）：该标准定义了平台及产品的标准名称和目录；4）可扩展配置控制列表描述格式（XCCDF）：该标准定义了控制列表和检测报告的XML描述格式；5）开放性脆弱性评估描述语言（OVAL）：该标准定义了与软件缺陷、配置问题、补丁相关的安全测试过程以及测试报告XML描述格式；6）通用脆弱性评分系统（CVSS）：该标准定义了脆弱性对系统影响的评分和传递标准。CVE、OVAL和CVSS主要用于漏洞管理，CCE主要用于配置管理，CPE主要用于资产管理，XCCDF主要用于配置管理和合规性管理。上述标准为FDCC的自动化检查，包括漏洞检查、配置检查以及检查方法，提供了标准化的描述格式。35三安全内容自动化协议（SCAP）美国标准技术研究院制定的

四FDCC配套实施工具

微软提供的FDCC配套工具主要用于FDCC的测试、评估和部署。（1）虚拟机虚拟机（VM）主要用于应用程序兼容性和开发测试。（2）微软评估和规划工具微软评估和规划工具（MAP）主要用于评估当前信息技术基础设施情况，从而确定可满足需求的系统移植技术方案。（3）应用程序兼容性测试工具应用程序兼容性测试工具（ACT）属于生命周期管理工具，通过测试分析兼容性指标数据，合理化组织应用程序、网站和计算机终端等应用资产（4）微软部署工具微软部署工具将桌面和服务器部署所需的工具和过程集成为一个通用部署控制台。（5）组策略部署工具组策略加速器（GPOAccelerator）可以自动生成安全配置部署所需的所有组策略对象（GPOs），比手动配置过程要节省大量时间和工作量36

四FDCC配套实施工具

微软提供的FDCC配套工具FDCC对我国提高政务计算机终端安全的启示（1）终端安全重要性凸显，安全配置管理是关键。终端是信息加工、处理和存储的重要基础设备，其安全性会严重影响整个网络的安全，而安全漏洞的大量存在是终端脆弱性的主要原因。因此通过限制用户权限、关闭部分服务功能等安全配置管理可有效减少系统漏洞，提高终端防护能力。（2）实行终端安全配置统一化和标准化，不仅有利于降低系统风险、方便信息安全防范措施的统一部署和实施效率，还可有效降低终端安全管理的复杂性和维护成本。因此应研究制定符合我国国情的政务终端安全配置指南标准，并推动相关计划的实施。这对于降低我国政府信息化成本特别是信息安全成本也有着重要作用。（3）加强关键技术产品的自主可控。我国在操作系统等关键技术产品方面还依赖于美国，而通过实施类似FDCC的安全配置计划，则可实现终端安全配置和管理的自主化。并且我国终端安全配置标准的推出，及配套实施工具的研发，有利于推动软件等关键技术产品的升级改造和自主创新，也是利用政府应用推动国产化的一个契机。37FDCC对我国提高政务计算机终端安全的启示（1）终端安全重要CGDCC研究背景2007年初，国家信息中心与微软（中国）有限公司签定合作备忘录，开始合作终端安全方面的研究和技术开发。2008年，在国际可信计算联盟的支持下，微软支持国家信息中心开展FDCC研究与转化应用，并在终端安全配置基线核心技术方面提供支持。2009年5月召开FDCC培训会。每月定期召开电话会议，提供技术指导2010年3月，培训和现场技术指导2010年4月开始指导标准配套实施工具的开发工作38CGDCC研究背景2007年初，国家信息中心与微软（中国）有我国加快终端安全配置标准立项工作2008年，开展针对FDCC及SCAP标准的跟踪研究《政务终端安全核心配置规范》——2010年国家信息标准正式立项(计划号:20100392-T-469）“政务终端安全核心配置（CGDCC）标准研制及其验证、应用平台建设项目”

——列入2010年国家发改委高技术产业发展项目计划我国加快终端安全配置标准立项工作2008年，开展针对FDCCCGDCC研究目标分析我国当前电子政务网络环境安全状况，借鉴FDCC内容，结合我国信息安全等级保护等相关技术标准成果，制定我国政务终端安全核心配置标准（CGDCC）。通过全国政务终端安全护理平台，对CGDCC实现统一部署。通过国标研制，推进国家政务终端安全配置管理的统一化和标准化。40CGDCC研究目标分析我国当前电子政务网络环境安全状况，借鉴CGDCC研究线路研制政务终端安全核心配置标准，主要包括：政务终端安全核心配置规范；政务终端安全核心配置目录；操作系统、浏览器、办公软件、邮件系统、媒体播放、即时通讯等常用软件等安全基线政务终端安全核心配置描述格式规范；政务终端安全核心配置实施指南。研发CGDCC编辑、部署、检测、报告等配套实施工具开展CGDCC的验证、试点及应用推广41CGDCC研究线路研制政务终端安全核心配置标准，主要包括：1CGDCC标准体系框架

42政务终端安全核心配置技术规范总体要求应用支撑配置包描述语言规范等(分)级保护配置要求终端安全核心配置规范其他常用软件安全配置要求操作系统安全配置要求配置清单描述规范配置状态描述规范邮件系统安全配置要求办公软件安全配置要求浏览器安全配置要求安全配置实施指南CGDCC标准体系框架16政务终端安全核心配置技术规范总体CGDCC标准之间的关系分级保护安全配置要求安全核心配置技术规范第1部分：WINDOWS桌面操作系统安全配置要求第2部分：LINUX桌面操作系统安全配置要求第3部分：办公软件安全配置要求第4部分：浏览器软件安全配置要求第5部分：邮件系