信息安全技術(shù)政務(wù)計算機終端核心配置規(guī)范

1、ics 35.040 l80中華人民共和國國家標準gb/t xxxxxxxxx4主自右全"4 7政務(wù)計算終端核心配置規(guī)范information security technology - chinese governmentdesktop core configuration specifications點擊此處添加與國際標準一致性程度的標識（工作組討論稿）（本稿完成日期：2012.7. 15）xxxx - xx - xx 實施xxxx - xx - xx 發(fā)布目 次fltfw ill1關(guān)12規(guī)范性引用文件13 術(shù)語和定義13. 1 核心配置項（配置項）coreconfigurati

2、on item 13.2核心配罝 core configuration 13. 3 核心酉己置項基值 coreconfiguration item base value 13.4核心配置基線 core configuration baseline 13.5 核心酉己置清單 core configurationlist 13.6 核心0己置基線包 core configurationbaseline package 24輔i吾25 文本結(jié)構(gòu)26觀26. 1核心配置對象26.2核心配罝范圍26.3核心配置項基本類型36.4核心配置項賦值方法36.5核心配置對安企的作用36.6核心配置自動化實施框架

3、37核心配置基本要求47.1操作系統(tǒng)核心配置要求47.2辦公軟件核心配罝要求57.3瀏覽器核心配置要求57.4郵件系統(tǒng)核心配置要求67.5 bios系統(tǒng)核心配置要求68核心配置清單68. 1觀68.2 配置項屬性69核心配置基線包79.2 主標記89.3格式版本標記99.4基線標記99.5 7% 標記1410核心配置自動化部署及監(jiān)測技術(shù)要求1410.1自動化部署及監(jiān)測平臺基木架構(gòu)1410.2配罝編輯模塊1510.3配置驗證模塊1510.4配置部署模塊1610.5狀態(tài)監(jiān)測模塊1611管理實施流程1611.1實施流程框架1611.2 實施準備1711.3 基線制定1811.4測試驗證1811.5配

4、置部署1811.6配置檢查1911. 7 例外處理19附錄a （資料性附錄）身份鑒別配置要求示例20a. 1身份鑒別配置要求20a.2賬戶登錄20a. 3口令管理20附錄b （資料性附錄）核心配置清單21b. 1觀21b.2配置清單21閣1配置項標識規(guī)則7閣2核心配罝包格式結(jié)構(gòu)8圖3自動化部署及監(jiān)測平臺15圖4實施流程17表1主標記8表2格式版本標記9表3基線標記9表4配置項組別標記10表5配置項標記10表6配賈項a容標記11表7取值映射表標記12表8配置項取值標記12表9配置項賦值標記13表10配置項檢查標記13表11產(chǎn)品標記14本標準的附錄a和附錄b為資料性附錄。本標準由全國信息安全標準化

5、技術(shù)委員會提出并歸口。本標準起草單位：國家信息中心、中國信息安全測評中心、中國信息安全認證中心、國家稅務(wù)總局 電子稅務(wù)管理屮心、三零衛(wèi)士公司、北京北信源軟件股份有限公司。本標準主要起草人：信息安全技術(shù)政務(wù)計算機終端核心配置規(guī)范1范圍本標準提出了政務(wù)計算機終端核心配置的基本概念和要求，規(guī)定了核心配置的自動化實現(xiàn)方法，包 括核心配置清單和核心配置基線包格式，核心配置自動化部署及監(jiān)測技術(shù)要求，規(guī)范了核心配置實施流 程。木標準適用于規(guī)范政務(wù)部門幵展的計算機終端核心配置工作。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文 件。凡是不注日期的引用文件

6、，某最新版木（包括所有的修改單）適用于木文件。gb/t22239-2008信息系統(tǒng)安全等級保護基本要求3術(shù)語和定義3. 1核心配置項（配置項）core configuration item計算機操作系統(tǒng)、辦公軟件、瀏覽器和bios系統(tǒng)等基礎(chǔ)軟件屮影響計算機安全的關(guān)鍵參數(shù)可選項。 其類型包括開關(guān)項、枚舉項、區(qū)間項和笈合項，可以根據(jù)安全要求對其進行賦值。3. 2核心酉己置 core configuration對核心配置項進行參數(shù)設(shè)置的過程。它要限制或禁止存在安全隱患或漏洞的功能，啟用或加強安全 保護功能，來增強計算機抵抗安全風險的能力。3. 3核心配置項基值 core configuration

7、item base value按照核心配置基本要求對配置項的最低參數(shù)設(shè)置。3.4核心配置基線 core configuration baseline能夠滿足計算機安全基本要求的一組核心配置項基位構(gòu)成的集合。3.5核心配置清單 core configuration list由核心配置項構(gòu)成的一種列表，是對核心配置項屬性的一種形式描述。3.6核心配置基線包core conf igurat ion base ii ne package為實現(xiàn)核心配貫基線向動化部署而制定的一種具有特定語法格式的核心配貫數(shù)據(jù)文件。4縮略語下列縮略語適用于本標準。bios：基本輸入輸出系統(tǒng)(basic input outp

8、ut system)ftp：文件傳輸協(xié)議(file transfer protocol)xml：可擴展標記語言(extensible markup language)麗t:桌由管理規(guī)范(wi ndows management tnstruinentati on)guid：全球唯一標識符(globally unique identifier)5文本結(jié)構(gòu)本標準分為三個部分。第一部分為概述，見第6章，闡述了核心配置基本概念，包括核心配置的對 象、范圍、基本類型、賦值方法、對安全的作用以及a動化實施框架。第二部分巾第7章到第10章組成, 在技術(shù)層而上詳細規(guī)定了核心配貫的自動化實現(xiàn)方法，包括核心配置基本

9、要求、核心配置清單、核心配 罝基線包、核心配罝自動化部署及監(jiān)測技術(shù)要求。第三部分見第11章，在管理層面上詳細規(guī)定了核心配 置的實施流程，包括實施準備、基線制定、測試驗證、配置部署、配置檢查和例外處理等六個環(huán)節(jié)。6概述6. 1核心配置對象木標準針對政務(wù)計算機終端提出核心配貫要求。政務(wù)計算機終端包括我國各級政務(wù)部門應(yīng)用于政務(wù) 的聯(lián)網(wǎng)計算機設(shè)備，如連接到互聯(lián)網(wǎng)、政務(wù)專網(wǎng)(政務(wù)am、政務(wù)外網(wǎng))的桌面計算機、膝上型計算機 和瘦客戶機等。6.2核心配置范圍核心配賈的范圍包括如下方而：a) 操作系統(tǒng)，如windows系列、國外linux和國產(chǎn)linux等；b) 辦公軟件，如office軟件等；c) 瀏覽器軟

10、件，如因外internet explore、chrome、eirefox和國產(chǎn)瀏覽器等；d) 郵件系統(tǒng)軟件，如outlook、foxmail等；e) bios 系統(tǒng)軟件,如 ami bios、award bios 等。依據(jù)gb/t22239-2008 7.1.3和7.1.4節(jié)中對于第三級主機安全和應(yīng)用安全的要求，從如下方面對上 述基礎(chǔ)軟件提出配置要求：f) 身份鑒別：包括賬戶登錄和口令管理；g) 訪問控制：包拈帳戶管理、權(quán)限管理、服務(wù)管理和操作管理；h) 信息保護：包括臨時文件、歷史文件和虛擬文件管理；i) 安全審計：包括賬戶行為審計和資源訪問審計。6.3核心配置項基本類型根據(jù)核心配置項的取位

11、范圍，核心配置項分為開關(guān)項、枚舉項、區(qū)間項和復合項等基本類型。a）開關(guān)項：取值僅為“0”或“1”。例如，配置項“下載未簽名的active控件”，可賦值為“啟 用（1） ”或“禁用（） ”。b）枚舉項：取值是離散的、可數(shù)的且多于兩種。例如，配置項“具有從m絡(luò)訪問本地計算機權(quán)限 的賬戶”，可賦值為“管理員（administrators） ”、“超級用戶（power users） ”、“一 般用戶（users） ” 或“來賓（guests） ” oc）區(qū)間項：取值連續(xù)分布在一個區(qū)間內(nèi)。例如，配置項“賬戶鎖定時間”，賦伉范闈為“h99999” 分鐘。d）復合項：由上述兩種或多種關(guān)聯(lián)配置項組合而成。例如

12、，配置項“啟動屏幕保護程序的等待吋 間”，由開關(guān)項和區(qū)間項組成。首先“啟用”屏幕保護程序，再設(shè)置“等待時間”。6.4核心配置項賦值方法根據(jù)核心配罝項賦值路徑不同，可分為注冊表賦值和配罝文件賦值兩種方法，分別說明如下：a）注冊表賦值方法通過修改核心配置項對應(yīng)的注冊表鍵值等，實現(xiàn)對配置項的賦值，例如windows操作系統(tǒng)；b）配置文件賦值方法通過修改配置文件屮有關(guān)的配置項，實現(xiàn)對配貫項的賦伉，例如lirwx操作系統(tǒng)。根據(jù)核心配置部署方式不同，可分為手動和自動兩種方法，分別說明如下：c）手動賦值對核心配置項進行人工逐項賦值。該方法適用于針對少量終端的少量配置部署。例如，在 windows系統(tǒng)環(huán)境下，

13、運行組策略編輯器（gpedit）,由人工對核心配置項進行賦值；在linux 系統(tǒng)環(huán)境下，直接編輯配賈文件，對核心配賈項逐項進行賦值；在bios系統(tǒng)中，直接在人機 界面上，逐項進行手動賦值。d）自動賦值編輯核心配置基線包，調(diào)用自動部署工具，對核心配置項進行賦值。該方法適川于大量終端批 量配置部署。6.5核心配置對安全的作用核心配置通過如下叫種方式提高終端安全性：a）啟用數(shù)字簽名、數(shù)據(jù)執(zhí)行保護（drp）、加密存儲、更新升級等安全保護功能；b）禁止使用存在或可能存在安企漏洞的服務(wù)、端口、程序、腳本和驅(qū)動等；c）加強密碼管理、身份認證、賬戶管理和安全審計等安全保護手段；d）限制軟硬件訪問權(quán)限、資源共享

14、和遠程登錄等功能。6.6核心配置自動化實施框架核心配置自動化實施框架包桮以下四個部分：a）提出核心配置基本要求，根據(jù)計算機終端所屬系統(tǒng)或環(huán)境的安全需求及安全級別，確定核心配 罝具體要求。核心配罝基本要求見第7章。b）編制核心配置清單，采用清單方式描述核心配置要求，包括配置項標識、配置項名稱、配置項 組別、安全級別、取值范圍、配置項基值、賦值路徑和檢查規(guī)則等。核心配置清單格式要求見 第8章。c）生成核心配置基線包，將配置清單轉(zhuǎn)化成為一種符合xml語法的嵌套式結(jié)構(gòu)數(shù)據(jù)文件，以供向 動化部署工具實施。核心配罝基線包格式要求見第9章。d）自動部署及監(jiān)測，通過搭建核心配置自動化部署平臺，實現(xiàn)核心配置項的

15、批量自動賦值和合規(guī) 性實時檢測。具體技術(shù)要求見第10章。7核心配置基本要求7.1操作系統(tǒng)核心配置要求7.1.1概要本標準依據(jù)gb/t22239-2008 7. 1. 3節(jié)對于第三級主機安全要求，針對國n外主流操作系統(tǒng)，在身份 鑒別、訪問控制、數(shù)據(jù)保密、剩余信息保護、安全審計、網(wǎng)絡(luò)通信安全、系統(tǒng)組件安全等方面提出核心 配置基本要求。7.1.2身份鑒別身份鑒別配置要求包括：a）賬戶登錄時應(yīng)啟動身份驗證機制，限制連續(xù)登錄失敗次數(shù)，連續(xù)多次登錄失敗后應(yīng)鎖定賬戶；b）應(yīng)配置安全的口令長度、復雜度、有效期和加密強度，禁止不設(shè)置口令；c）啟動賬戶登錄界面時，應(yīng)禁止無關(guān)進程的啟動和運行，防止鑒別信息被竊聽。注

16、：附錄a給出了身份鑒別配置要求示例。7.1.3訪問控制訪問控制配置要求包括：a）禁用匿名賬戶（anonymous）、來賓賬戶（guest）、產(chǎn)品支持賬戶（support），限用管理員 賬戶（administrator）,限制普通用戶的訪問權(quán)限，禁止所有賬戶或未登錄賬戶遠程訪問；b）限制對文件、硬件、驅(qū)動、內(nèi)存和進程等重要資源的訪問權(quán)限；c）禁用信息共享、動態(tài)數(shù)據(jù)交換（dynamic data exchange）、互聯(lián)m信息服務(wù)（internet information services）、ftp和telnet等網(wǎng)絡(luò)連接、遠程網(wǎng)絡(luò)訪問等服務(wù)，限制藍牙等無 線連接；d）限制權(quán)限提升和授權(quán)訪問等操作

17、，禁止介質(zhì)自動運行（auto rim）,限制軟件t載、安裝和升 級操作。7.1.4數(shù)據(jù)保密應(yīng)啟川磁盤加密系統(tǒng)等數(shù)據(jù)保密配置。7.1.5剩余信息保護剩余信息保護配置要求包括：a）關(guān)閉系統(tǒng)吋應(yīng)清除虛擬內(nèi)存貞ifif文件；b）斷開會話時應(yīng)清除臨時文件夾；c）禁止剪貼板存儲信息與遠程計算機共享。7.1.6安全審計安全*4/計配置要求包括:a）啟用安全日志，記錄賬戶的創(chuàng)建、更改、刪除、啟用、禁用和重命名等操作，記錄賬戶登錄和 注銷、開關(guān)機、配置變更等操作；b）啟用系統(tǒng)日志，記錄對文件、文件夾、注冊表和系統(tǒng)資源的訪問操作。7. 1.7網(wǎng)絡(luò)通信安全網(wǎng)絡(luò)通信配賈要求包括：a）應(yīng)關(guān)閉ftp、http （超文本傳

18、輸協(xié)議hypertext transport protocol ）、rpc （遠程過程調(diào)用 協(xié)議 remote procedure call protocol）、upnp （通用即插即用 universal plug and play）、 遠程桌面服務(wù)、遠程控制類軟件服務(wù)端監(jiān)聽、木馬軟件等對應(yīng)開放的端口；b）應(yīng)設(shè)置syn （同步字符synchronize）的傳輸次數(shù)和發(fā)送時間，防范dos攻擊；c）禁止1pc （進程間通信inter process communication）管道連接。7. 1.8系統(tǒng)組件安全系統(tǒng)組件配置要求包括：a）啟用資源管理器數(shù)據(jù)執(zhí)行保護（dep）模式和shell協(xié)議保護

19、模式；b）打開郵件的附件時，應(yīng)啟用殺毒軟件進行掃描；c）應(yīng)啟動屏幕保護和休眠功能，設(shè)罝喚醒口令；d）應(yīng)開啟系統(tǒng)定期備份功能。7.2辦公軟件核心配置要求本標準依據(jù)gb/t22239-2008 7. 1. 4節(jié)對于第三級應(yīng)用安全要求，針對國閃外主流辦公軟件提出如下 核心配罝要求：a）禁止activex控件的使用；b）禁用所有未經(jīng)驗證的加載項；c）限用未數(shù)字簽名的宏；d）限制在線自動更新升級、網(wǎng)上下載剪貼畫和模板等資源，和訪問超級鏈接。7.3瀏覽器核心配置要求7.3. 1概要本標準依據(jù)gb/t22239-2008 7. 1. 4節(jié)對于第三級應(yīng)用安全要求，針對國內(nèi)外主流瀏覽器，在瀏覽 器安全選項、域安

20、全管理和隱私保護等方面提出核心配置基本要求。7.3.2瀏覽器安全選項瀏覽器安全選項配罝要求包括：a）嚴格禁止運行java小程序腳本；b）限制下載和安裝未簽名的active x控件；c）開啟瀏覽器的保護模式。7.3.3域安全管理域安全管理配置要求包括：a）訪問以太網(wǎng)的安全級別應(yīng)設(shè)為中或高；b）訪問企業(yè)專網(wǎng)的安全級別可沒為中；c）受信站點的安全級別可設(shè)為低；d）限制訪問受限站點，禁止從受限站點下載或保存文件。7.3.4隱私保護隱私保護配置要求包桮：a）退出網(wǎng)頁時，刪除cookie文件、下載記錄、訪問網(wǎng)站歷史記錄和臨時文件夾；b）限制輸入框自動關(guān)聯(lián)功能。7.4郵件系統(tǒng)核心配置要求本鉍準依據(jù)gb/t2

21、2239-2008 7. 1. 4節(jié)對于第三級應(yīng)用安全要求，針對國內(nèi)外主流郵件系統(tǒng)軟件提 出如下配置要求：a）應(yīng)配罝安全的郵箱登錄口令的長度和fi雜度；b）對本地存儲的郵件應(yīng)開啟加密功能；c）發(fā)送郵件應(yīng)使用數(shù)字簽名和數(shù)字加密技術(shù)，接收郵件應(yīng)對數(shù)字簽名進行驗證；d）應(yīng)開啟加密協(xié)議收發(fā)郵件；e）禁止直接運行附件屮存在安全隱患的文件類型；f）禁止運行郵件中的超鏈接；g）啟用垃圾郵件過濾功能。7.5 bios系統(tǒng)核心配置要求本標準依據(jù)gb/t22239-2008 7. 1. 4節(jié)對于第三級應(yīng)用安全要求，對bios系統(tǒng)提出如下配賈要求:a）開機時應(yīng)啟動身份認證機制，并設(shè)罝安全的口令長度和fi雜度；b）限

22、制硬件資源使用，包括軟驅(qū)、硬盤、內(nèi)存、usb設(shè)備、網(wǎng)卡和cpu等；c）啟用硬盤寫保護；d）限制使用定時開機、遠程模式控制開機、鍵盤鼠標開機等開機模式；e）操作系統(tǒng)操作關(guān)機后，計算機應(yīng)立即關(guān)閉計算機；f）限制由外部設(shè)備，如u盤、光驅(qū)等引導啟動計算機終端。8核心配置清單8. 1概要核心配置清單描述配置項的屬性，包拈配置項標識、配置項名稱、配置項描述、配置項組別、安全 級別、取值范圍、配賈項基值、賦值路徑和檢查規(guī)則。8. 2配置項屬性8. 2. 1配置項標識配置項標識是配置項的唯一編碼，由三組字符構(gòu)成，通過進行分隔，標識規(guī)則如圖1所示。最 高組位的字符使川cgdcc,代表政務(wù)終端核心配置：中間組位引

23、川軟件產(chǎn)品標識；最低組位使用4位數(shù)字 代表配置項序號。例如“win（bw7口令長度”配置項，其標識為“cgdcciin7-0011”。cg rxcxjkxxx xxxci賢項序兮:l!-政務(wù)蜱斕核.wtw圖1配置項標識規(guī)則8.2.2配置項名稱描述配置項名稱的字符串。8.2.3配置項描述從終端的安全風險、配置項的應(yīng)對措施和潛在影響等三個方而對配貫項進行解釋說明。其屮，安全 風險主要描述配置項所對應(yīng)的系統(tǒng)脆弱性；應(yīng)對措施主要描述配置項推薦參數(shù)賦值；潛在影響主要描述 配置生效后可能對終端系統(tǒng)造成的影響。8.2.4配置項組別需對配置項進行分組時，描述配置項所屬的組別。8.2.5安全級別描述配置項對計算

24、機終端安全性的影響程度，分為一般、重要和嚴重三個級別。8.2.6取值范圍描述配罝項允許賦值的范圍，可用開關(guān)、枚舉和區(qū)間表示。8.2.7配置項基值描述符合核心配置基本要求的配置項基伉。當配置項安全級別為嚴重時，此配置項的必須按照基伉 進行賦值。8.2.8賦值路徑描述配置項的賦值路徑。對于windows的配置項，可以依據(jù)配置項的賦值路徑，使用相應(yīng)的配置工 具進行賦值。例如，配置項“賬戶鎖定時間”的賦值路徑為“computer configurationffindows settingssecurity settingsaccount policiesaccount lockout policy”，

25、通過組策略編輯器 (gpedit)工具，在該路徑下可對“賬戶鎖定時間”進行賦值。8.2.9檢查規(guī)則描述檢查配置項的實際值是否達到基值的判斷規(guī)則，如大于、小于、等于、大于等于、小于等于。9核心配置基線包9.1.1概要核心配置基線包是一種嵌套式結(jié)構(gòu)的數(shù)據(jù)文件，采用xml格式對核心配置基線屮各配置項的屬性進 行規(guī)范性標記，以實現(xiàn)核心配罝部署及監(jiān)測的自動化。核心配置基線包由格式版本標記、基線標記和產(chǎn)品標記三部分組成。其屮，基線標記包括基線版本 標記、配置組標記、配置項標記和檢查標記。核心配置基線包格式結(jié)構(gòu)如圖2所示。安全配置基線包格aft本fce格式瓶本產(chǎn)品標記產(chǎn)沾圖2核心配置基線包格式結(jié)構(gòu)9.2主標

26、記核心配賈基線包用“cgdcc-package”作為主標記，其結(jié)構(gòu)如表1所示。表1主標記標記名稱解釋說明cgdcc-formatinfo格式版本信息描述核心配i筮線包格式的基本信息。cgdcc-baseline基線信息描述核心配賈坫線的完成信息，可以描述多條坫線。cgdcc-product產(chǎn)品信息描述軟件產(chǎn)品基本信息，可以描述多個產(chǎn)品信息。舉例：<cgdcc-package><cgdcc-format tnfo></cgdcc-formatinfo><cgdcc-baseline></cgdcc-baseline>cgdccbase1

27、i ne</cgdcc-basclinc>< cgdcc-product ></ cgdcc-product >< cgdcc product ></ cgdcc product ></ cgdcc-package9.3格式版本標記格式版本用“cgdcc-formatlnfo”作為標記，描述核心配置基線包格式版本的基本信息，其結(jié)構(gòu)如 表2所示。表2格式版本標記標記名稱解釋說明version版本編號核心配置基線包規(guī)則版本的唯一標識。description概要介紹對版本規(guī)則進行簡要說叨。舉例：<cgdcc-formatlnfo

28、>version minor="0" major="l"/>description此格式專用于核心piiii基線色，版本為1.0。/description</cgdcc-formatinfo>9.4基線標記9.4.1基線主標記用“cgdcc-baseline”作為基線主標記，描述核心配置基線的基本信息，其結(jié)構(gòu)如表3所示。表3基線標記標記名稱解釋說明name基線名稱描述核心配置棊線名稱。id基線標識描述核心配置基線唯一標識。此標識按照唯一標識（guid）生成規(guī)則自動生成。rcvisionnumbcr基線修訂版本次數(shù)描述核心配.胃.基

29、線的修訂版本號，并與id 起可用來追溯基線的修訂過程。version基線版本描述所生成核心配置棊線的版木。mode基線狀態(tài)包桮可編輯狀態(tài)和已發(fā)布狀態(tài)兩種。versioncontrol版本控制描述核心配a難線版本相關(guān)信息。settinggroup配界.組信息描述核心配咒基線所包含的每個策略組的基木信息，可包括多個基線組。check檢斉信息描述策略組所包含的核心配置項的檢奔信息，每個配置項都有-條相應(yīng)的檢杏信息。product id難線所屬產(chǎn)品標識描述該核心配罝基線所屬的軟件產(chǎn)品標識,用于基線適用性檢査。舉例：<cgdcc-baselinename="cgdcc_w i n7-v1

30、.0" id="0f11dd2-2186_4670_939d-968347e81558"<rcvisionnumbcr>0</rcv i s i onnumbcrversion minor="0" .major="l/< mode>edit</mocle>< versioncontrol></versioncontrol>< settinggroup>/settinggroupcheck/check<producttd>1739795a-9a4f

31、-4032-b8db-8834dba5a0ca</producttd></cgdcc-baseline>9.4.2配置項組別標記用“settinggroup”作為配置項組別標記，描述配置項分類的基本信息，其結(jié)構(gòu)如表4所示。表4配置項組別標記標記名稱解釋說明name配置項組別名稱描述配置項組別的名稱。id配s項組別標識描述配h項組別的唯一標識(gum)。description配買項組別描述描述配.胃.項組別的功能介紹。version配置項組別版本描述配置項組別的版本序號。settingltem配置項信息描述配置項的基本信息，可以包含多個配置項。舉例：< settin

32、ggro叩 name=帳戶鎖定策略組 id=,z p74636ac-0619-4be7-ac00-6ae9887707b6)"< description/description< version minor="0 major:*lv>< settingltem</ settingltem< settingttem></ settinggroup></ settingttem>9. 4. 3配置項標記9.4. 3.1配置項主標記用“settingltem”作為配置項標記，描述各核心配置項的基本信息，如表5所示。

33、表5配置項標記標記名稱解釋說明name配.胃.項名稱描述配靑項的名稱。td配置項標識描述配置項的唯一標識(gutd)。content配置項內(nèi)容描述配置項內(nèi)容，包括：賦值路徑、脆弱性、應(yīng)對措施、潛在影響等，詳見9. 4. 3. 2節(jié)。discovery info配a項取值描述配a項取值類型，包括：作用范圍、取值方式、取值數(shù)裾類型等，詳見9. 4. 3. 3節(jié)。exporttnfo配置項賦值描述配置項賦值的過程，包拈組策略導出文件類型、導出文件中配h項的名稱等，詳見9. 4. 3. 4。舉例：settingltem帳戶鎖定時間id=" 7ddcb250-58ff-452b-8b38-ba

34、fa8b782675"><content> </content><d i scoveryinfo</d i scoveryinfo>exportinfo/exportinfo</settingitem>9. 4. 3. 2配置項內(nèi)容標記9. 4. 3. 2.1配置項內(nèi)容主標記用“content”作為配置項內(nèi)容標記，描述各核心配置項內(nèi)容的主要信息，如表6所示。表6配置項內(nèi)容標記標記名稱解釋說明description介紹描述配置項功能及相關(guān)參數(shù)。ulpath賦值路徑描述配置項的賦值具體路徑。vulnerability脆弱性描述該

35、配置項所對應(yīng)的系統(tǒng)脆弱性。countermeasure應(yīng)對措施解決如何對配h項參數(shù)正確賦值。potentialimpact潛在影響說明啟用配靑項后可能會造成不確定的影響。valuerange取值范圍允許配置項賦值的范圍。unit計量單位配置項參數(shù)的計量單位。valuemappingtable取值映射表如果配置項的參數(shù)是兒個可枚舉值，比如是代表顏色的紅(oxffoooo)、綠(oxooffoo)和藍(oxooooff)，拈號內(nèi)為真正取值，此表描述取值與代表此值的顯示名稱的映射關(guān)系，可幫助用戶在界面上對取值進行指定。舉例：contentdescription本配置項內(nèi)容的解釋/descriptio

36、n<upath計算機配rwindows設(shè)界.安全設(shè)畀帳戶策略帳戶鎖定策略/ulpath<vulnerability對本配置項的解決的脆弱點進行描述。/vulnerabilitycountermeasure使用ptd置項建議的描述。/countermeasurepotentialimpact采用m置項后所帶來的潛在風險描述。/potentialimpactvaluerange high="99999low二"0></valuerange><unit> 分鐘/unit<va1uemapp i ngtab1e ></va

37、luemappingtable>/content9.4. 3.2.2配置項取值映射表標記用“valuemappingtable”作為配罝項取值映射表標記，描述核心配置項取值映射表的主要信息， 如表7所示。表7取值映射表標記標記名稱解釋說明mapping一個映射描述一個取值和與之相對應(yīng)的顯示名稱的對應(yīng)關(guān)系。displayname顯示名稱取值相對應(yīng)的顯示名稱。value配置項真正取值。舉例：<valucmappingtablc>mapping displayname="enabled value=” 1” /mapping displayname disabled* v

38、alue="0" /</valuemapp i ngtable>9.4. 3.3配置項取值標記用“discoverylnfo”作:為配置項取值標記，描述核心配置項取值方法，如表8所示。表8配置項取值標記標記名稱解釋說明scope作用范圍指配.胃.項作用范圍：本機（machine）或當前賬戶（user）。discoverytype取值方式描述配置項的取值方式，包括wmi、注冊表等。datatype取值數(shù)裾類型描述配罝項取值的數(shù)據(jù)類型，比如：整型、字符中。wmi discoveryinfowmi取值信息描述值在wmi中的位置。registrydiscoverylnf

39、o注冊表取值信息描述值在注冊表中的位置。scriptdiscovcrylnfo腳本取值信息描述用來取值的腳本。舉例：例1 （注冊表類型）：discoveryinfosettingdiscoveryinfo discoverytype=/zregistry，/ scope=/zmachine，><registrydiscovery t nf0<mssasc-core:hive>hkey local mach ine</mssasc-core:h i ve>mssasc-core:datatype>reg_dword</mssasc-core:dat

40、atype<mssasc-core:keypath>systemcurrentcontrolsetserviceslanmanserverparameters</mssasc-core:keypath><mssasc-core:valuename>enab1e forced 1ogoff</mssasc-core:valuename>/registrydiscoverylnfo</settingdiscoveryinfo><datatype>int64</datatype></discoverytnfo&

41、gt;例2 （wmi類型）：discoverylnfo scope'machine" discovcrytype=/zwmr，datatype=” int64”<wmidiscoveryinfocgdcc-core:namcspace>rootrsopcomputer</cgdcc-core:namespacecgdcc-core:class>rs0p securitysettingnumeric</cgdcc-core:class>cgdcc-corc:propcrty>sctting</cgdcc-core:property

42、<cgdcc-core:where>keynanie=，lockoutduration andprecedence=l</cgdcc-core:where </wmidiscoveryinfo></discoverytnfo注：cgdcc-core是命名空間的前綴。9. 4. 3. 4配置項賦值標記用“exportlnfo”作為配置項賦值標記，描述核心配置項賦值方法，如表9所示。在組策略工具屮, 通過加載組策略導出文件(gpo backup)進行賦值。表9配置項賦值標記標記名稱解釋說明gpogenerateeormat組策略導出文件類型描述組策略導出文件的類

43、型，包括ini csv、pol三種類型。inf name導出文件屮配置項的名稱組策略導出文件中描述配置項的名稱。sectionname導出文件中的段名稱組策略導出文件中描述配置項所在的段的名稱。舉例：exportinfo gk)generateformat="inf"><inf name=lockoutduration” sectionname=systeniaccess/></exporttnfo>9.4.4配置項檢查標記用“check”作為配置項檢查標記，描述判斷配置項是否存在，以及實際值是否達到基值的規(guī)則， 如表10所示。表10配置項檢查

44、標記標記名稱解釋說明settingref配罝項標識引用描述所要檢查配置項的標識。existcntialrulc配.胃.項存在規(guī)則檢査配買項是否存在。validationrules配置項冇效規(guī)則檢查配置項參數(shù)是否符合規(guī)定。舉例：< checksettingref setting_ref="7ddcb250-58ff-452b-8b38_bafa8b782675"/><existentialrule name=/，account lockout duration" value=/，0z，operator=/zgreaterthanz，severi t

45、y=tmportant><description>win7, vista, and xp have the same duration. their environment set to 15minutes./description/existentialrulevalidationrulessettingrule name=account lockout duration" （）perator=z，equalsz，sever i t y=” t n format i ona 1 <description>the setting does this by

46、 specifying the number of minutes a locked out account will remain unavailable. if the value for this policy setting is configured to 0, locked out accounts will remain locked out until an administrator manually unlocks them./descriptionvalue value="15"/></settingrule></validat

47、ionrules>/check9. 5產(chǎn)品標記用“cgdcc-product”作為配置基線的產(chǎn)品標記，描述配置基線適用產(chǎn)品的主要信息，如表11所示。表11產(chǎn)品標記標記名稱解釋說明id產(chǎn)品標識描述軟件產(chǎn)品的唯一標識（gu1d。displaynamc產(chǎn)品名稱描述軟件產(chǎn)品的名稱。operatingsystemlnfo操作系統(tǒng)版木描述操作系統(tǒng)的版木號。此項與 msilnfo 項、p1 atformapp 1 icabilitycondition項為三選一。msilnfo產(chǎn)品安裝信息描述軟件產(chǎn)品的安裝信息。platformapplicabilitycondition適用環(huán)境信息描述軟件產(chǎn)品適用的操

48、作系統(tǒng)。productfamilyref產(chǎn)品所屬家族描述軟件產(chǎn)品所屬的產(chǎn)品系列的總稱，如windows。用guid標識表示。例i （操作系統(tǒng)）：<cgdcc-product td="1739795a-9a4f-4032_b8db-8834dba5a0ea" displayname="windows7"<0peratingsystemtnfo buildversion=*7600" minorversion=1" majorversion=6"/><productfamilyrcl' produ

49、ctfamily_rcf="5cca53dl-8a08-4804-8886lddca5899aca*/></cgdcc-product>例2 （應(yīng)川軟件）：product displaynamc=/zmicrosoft office 2007 sp2"id=90120000-002c-0409flce*>msilnfo productcodc="90120000-002c-0409f1ce" ispcruscrfalsc" /><productkamil

50、yref productfamily_ref="e73048d6-ea6b-45d6-9218-d49404fda64e" />/product10核心配置自動化部署及監(jiān)測技術(shù)要求10.1自動化部署及監(jiān)測平臺基本架構(gòu)對于有一定規(guī)模的政務(wù)終端核心配置應(yīng)用，需要配備自動化部署及監(jiān)測平臺，進行核心配置編輯、 驗證、部署和監(jiān)測。自動化部署及監(jiān)測平臺由四個基本功能模塊構(gòu)成，分別是配罝編輯模塊、配罝驗證 模塊、配置部署模塊和配置監(jiān)測模塊，如圖3所示。其屮，配置編輯模塊主要川于將核心配置清單自動 轉(zhuǎn)換生成核心配置基線包，配置驗證模塊用于對核心配置基線包進行驗證和測試，生成可部署的配

51、置基 線包：配置部署模塊用于對核心配置基線包進行a動化部署；配置監(jiān)測模塊用于對核心配置狀態(tài)進行白 動監(jiān)測。配穴邡咒說塊監(jiān)測悅決圖3自動化部署及監(jiān)測平臺10.2配置編輯模塊配置編輯模塊用來生成核心配置基線包，安全管理員依照核心配置基本要求制定配置清單，并對其 進行轉(zhuǎn)換和處理，生成可以編輯、可以解析、可以分發(fā)和可以部署的核心配置基線包。配置編輯模塊應(yīng) 包括基線包生成器和基線包編輯器兩個部件：a）基線包生成器主要用于生成原始的核心配置基線包，可根據(jù)清單內(nèi)容逐項錄入或由清單模版自 動錄入；b）基線包編輯器主要用于修改核心配貫基線包屮的配置項的基值，并可進行添加、修改、合并、 刪除等編輯操作。10.3配

52、置驗證模塊配置驗證模塊用于驗證核心配置基線包的有效性、適用性和兼界性，保證所要部署的配置基線包的 實施效果和安全。有效性測試可采用人工測試與工具測試相結(jié)合的方法，驗證核心配置基線包是否生效。具體要求包 括：a）核心配置部署前，自動收集測試終端的脆弱性情況；b）核心配置部署后，檢測核心配置項的實際賦值是否與基值相一致；c）對測試終端進行滲透測試，檢驗核心配置項是否發(fā)揮安全作用。兼容性測試用于測試核心配罝項之間的兼容性，解決終端核心配罝項之間的沖突問題。具體要求包 括：d）支持核心配置項的分析對比，找出有沖突的核心配置項；c）可修改存在兼容性問題的核心配置項。適用性測試用于評估核心配置基線對終端應(yīng)

53、用環(huán)境的影響，包括功能影響、性能影響、系統(tǒng)異常風 險等。具體要求包括：f）能夠收集測試終端軟硬件環(huán)境信息，識別操作系統(tǒng)版本，以及已安裝的應(yīng)用程序；g）能夠針對具體的配置項，檢查其影響范圍，識別出受其影響的軟件清單及其原因；h）能夠識別異?，F(xiàn)象，追溯其產(chǎn)生的原因，定位相關(guān)配置項：i）支持多用戶環(huán)境下的適用性測試，支持常用軟件和業(yè)務(wù)應(yīng)用軟件的適用性測試。10.4配置部署模塊配置部署模塊可進行核心配置基線包管理、分發(fā)和部署執(zhí)行，由基線包管理工具、基線包分發(fā)工具 和配置執(zhí)行工具三個部分組成。a）基線包管理工具具備核心配貫基線包上載、內(nèi)容査看、網(wǎng)絡(luò)分發(fā)，以及基線包更新和刪除等功 能；b）基線包分發(fā)工具將

54、基線包按照ip或部門區(qū)域定向分發(fā)到客戶端，可采用服務(wù)器推送和客戶端 相結(jié)合的分發(fā)模式；c）配置執(zhí)行工具自動解析配置基線包賦值方法和路徑，并對配置項進行參數(shù)賦值，賦值前應(yīng)對注 冊表及相關(guān)配置文件進行備份，然后在系統(tǒng)（system）權(quán)限下執(zhí)行賦值過程。10.5狀態(tài)監(jiān)測模塊狀態(tài)監(jiān)測模塊是安全管理員掌握全網(wǎng)終端核心配置狀況的一個重要手段，主要由安裝在終端上的配 置狀態(tài)收集器、配置狀態(tài)上報工具和部署在服務(wù)器上的配置狀態(tài)分析器、配置狀態(tài)圖展示平臺組成。a）配置狀態(tài)收集器定時收集終端的核心配置項參數(shù)設(shè)置情況；b）配罝狀態(tài)上報系統(tǒng)用于將收集的配罝狀態(tài)上傳至服務(wù)器；c）配置狀態(tài)分析器用于對上報的配置狀態(tài)與核心配

55、置基線進行比對和統(tǒng)計分析；d）配置狀態(tài)圖展示平臺通過圖、表等展示手段輸出配置狀態(tài)分析結(jié)果。11管理實施流程 11.1實施流程框架政務(wù)計算機終端核心配貫實施流程主要包括實施準備、基線制定、測試驗證、配置部署、配置檢查 和例外處理等六個階段，如圖4所示。合鏡性 檢査w定配置"生成1沽中r基淺包裕進 測bt環(huán)境糾芷小批各案穣改計劃驗證瀾w圖4實施流程11.2實施準備11.2.1概要本環(huán)節(jié)重點從技術(shù)和管理兩個方面做好實施前準備，主要步驟包括：a）需求分析和調(diào)研；b）制定總體實施方案；c）建立組織管理架構(gòu)，制定相關(guān)管理制度，提供組織保障。11.2.2需求調(diào)研通過調(diào)研網(wǎng)絡(luò)終端的分布、軟硬件資產(chǎn)配

56、備及應(yīng)用情況，分析政務(wù)部門安全目標和安全盂求，從而 確定實施終端核心配置的目標、范圍和基本要求，并評估核心配置實施可能帶來的風險。11.2.3制定方案制定政務(wù)部門實施終端核心配罝總體工作計劃，指導后續(xù)開展的工作，方案的主要內(nèi)容包括：a）工作計劃：各階段的具體工作計劃，包括工作內(nèi)容、工作形式、工作成果等內(nèi)容；b）進度計劃：核心配置實施的時間進度安排；c）平臺搭建技術(shù)方案：規(guī)模應(yīng)用條件下，應(yīng)搭建核心配置自動化部署及監(jiān)測平臺。應(yīng)制定平臺建 設(shè)技術(shù)方案，并在實施前完成平臺搭建工作。11.2.4組織保障組建巾領(lǐng)導層、管理層、相關(guān)業(yè)務(wù)骨干和安全技術(shù)人員構(gòu)成的實施團隊。必要時，可聘請相關(guān)專業(yè) 的技術(shù)專家和技術(shù)骨干組成專家小組，指導實施過程。組織核心配置技術(shù)培訓和保密教育，制定核心配置管理制度，明確工作職責和任務(wù)，得到政務(wù)部門 最高管理者的支持