FDCC及政務(wù)終端安全核心配置模版課件

終端安全核心配置研究

國家信息中心信息安全研究與服務(wù)中心

北京2011.1.終端安全核心配置研究

什么是終端安全核心配置？對操作系統(tǒng)、辦公軟件、瀏覽器等常用軟件中關(guān)鍵的安全屬性進(jìn)行參數(shù)設(shè)置，限制或禁止存在安全隱患或漏洞的功能，啟用或加強(qiáng)安全保護(hù)功能，增強(qiáng)終端抵抗安全風(fēng)險(xiǎn)的能力

2禁止高危服務(wù)和端口非法程序腳本執(zhí)行未授權(quán)程序驅(qū)動安裝限制用戶權(quán)限程序內(nèi)存配額遠(yuǎn)程進(jìn)程調(diào)用(RPC)加強(qiáng)密碼管理身份認(rèn)證系統(tǒng)審核啟用數(shù)字簽名進(jìn)程保護(hù)

什么是終端安全核心配置？對操作系統(tǒng)、辦公軟終端安全配置終端安全配置終端軟件環(huán)境安全配置終端硬件環(huán)境安全配置終端安全核心配置外部設(shè)備安全配置網(wǎng)絡(luò)端口安全配置存儲設(shè)備安全配置不可安裝軟件列表可安裝軟件列表應(yīng)安裝軟件列表其他常用軟件安全配置辦公軟件安全配置操作系統(tǒng)安全配置終端安全配置終端安全配置終端軟件環(huán)境終端硬件環(huán)境終端安全核心起源最早起源于2003年美國空軍實(shí)施的標(biāo)準(zhǔn)桌面配置（SDC）。美國空軍在435,000個(gè)終端上部署SDC，并進(jìn)行了10個(gè)月的試驗(yàn)性測試，兩年內(nèi)全面投入使用。標(biāo)準(zhǔn)桌面配置（SDC）中采用的安全配置主要基于微軟發(fā)布的操作系統(tǒng)安全指南。2007年在SDC基礎(chǔ)上，美國聯(lián)邦政府提出聯(lián)邦桌面核心配置計(jì)劃（FederalDesktopCoreConfiguration），稱為FDCC。該計(jì)劃由美國聯(lián)邦預(yù)算管理辦公室（OMB）和美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）共同負(fù)責(zé)實(shí)施，旨在提高美國聯(lián)邦政府所使用的Windows安全性，并使聯(lián)邦政府桌面計(jì)算機(jī)的安全管理實(shí)現(xiàn)標(biāo)準(zhǔn)化和自動化。4起源4GAO的審計(jì)報(bào)告－FDCC實(shí)施步驟2010年3月，GAO發(fā)布審計(jì)報(bào)告《政府機(jī)構(gòu)必須實(shí)施桌面核心配置》為了實(shí)施FDCC，OMB要求各個(gè)聯(lián)邦機(jī)構(gòu)采取如下步驟：制定FDCC實(shí)施計(jì)劃，并提交OMB；2008年3月前，在所有終端上完成全部安全配置；記錄實(shí)際配置與標(biāo)準(zhǔn)配置之間的偏差，并需通過授權(quán)機(jī)構(gòu)的認(rèn)可；使用經(jīng)NIST認(rèn)證的工具來監(jiān)測安全配置達(dá)標(biāo)情況；保證未來采購的信息技術(shù)產(chǎn)品符合安全配置要求；向NIST提交配置狀態(tài)報(bào)告。GAO的審計(jì)報(bào)告－FDCC實(shí)施步驟2010年3月，GAO發(fā)布GAO的審計(jì)報(bào)告－FDCC實(shí)施情況2008年12月至2010年3月，GAO對24個(gè)主要聯(lián)邦機(jī)構(gòu)執(zhí)行FDCC的情況進(jìn)行了審計(jì)各機(jī)構(gòu)已經(jīng)按照要求開始行動，但還沒有一個(gè)機(jī)構(gòu)全部完成安全配置79％的機(jī)構(gòu)向OMB提交了FDCC部署計(jì)劃96％的機(jī)構(gòu)制定了存在偏差的配置（OMB允許在一定范圍內(nèi)與FDCC存在偏差）；46％的政府機(jī)構(gòu)完成了有偏差的安全配置2008年3月31日前，88％的機(jī)構(gòu)向NIST提交了FDCC合規(guī)性檢測報(bào)告，其中57％的機(jī)構(gòu)達(dá)標(biāo)GAO的審計(jì)報(bào)告－FDCC實(shí)施情況2008年12月至2010

一FDCC安全基線

FDCC安全基線對WindowsXP、Vista、IE及Windows防火墻的安全配置做出具體規(guī)定。

其主要關(guān)注四個(gè)要點(diǎn)：

一是刪除管理員和超級用戶權(quán)限；二是啟用防火墻；三是將FDCC設(shè)置應(yīng)用于Windows和IE；四是隨時(shí)進(jìn)行配置管理。7

一FDCC安全基線

FDCC安全基線對Window二FDCC安全配置包為方便FDCC的測試、部署和應(yīng)用，美國標(biāo)準(zhǔn)技術(shù)研究院發(fā)布了四種形式的FDCC安全配置包，分別是：（1）安全配置策略電子表格該配置包以Excel表的形式列出了XP及Vista的安全配置策略，主要列出策略路徑、策略配置名稱、Vista/XP環(huán)境下的配置值、注冊表設(shè)置、配置標(biāo)識、策略描述等內(nèi)容。（2）組策略對象（GPOs）Windows的安全策略主要是以組策略的形式進(jìn)行配置和管理，因此美國國家標(biāo)準(zhǔn)技術(shù)研究院提供了FDCC的組策略對象配置包，以便用戶直接利用組策略控制臺或組策略加速器等工具部署和應(yīng)用FDCC的安全配置。（3）虛擬硬盤（VHDs）虛擬硬盤配置包提供了FDCC的虛擬運(yùn)行環(huán)境，用戶可以在當(dāng)前操作系統(tǒng)上直接運(yùn)行該虛擬環(huán)境，以便進(jìn)行軟件兼容性和適用性方面的測試和評估。因此虛擬硬盤可作為FDCC的測試工具。（4）安全內(nèi)容自動化協(xié)議內(nèi)容（SCAPContent）FDCC提供了用于自動化安全配置檢查的安全配置包SCAPContent（安全內(nèi)容自動化協(xié)議內(nèi)容）。該配置包采用XML格式，描述了XP、Vista、Windows防火墻和IE7的配置檢查項(xiàng)，可通過實(shí)施自動化檢查（FDCCScan），提供第三方的安全配置合規(guī)性評估檢查。8二FDCC安全配置包為方便FDCC的測試、部署和應(yīng)用三安全內(nèi)容自動化協(xié)議（SCAP）美國標(biāo)準(zhǔn)技術(shù)研究院制定的一套支持自動化漏洞管理、測量和政策合規(guī)評估的安全標(biāo)準(zhǔn)規(guī)范。其主要對通信的方式和內(nèi)容進(jìn)行標(biāo)準(zhǔn)化，包括建立國家漏洞數(shù)據(jù)庫NVD，確定評估報(bào)告的格式和頻率，并提供產(chǎn)品測試和認(rèn)證。SCAP由以下六個(gè)標(biāo)準(zhǔn)構(gòu)成：1）通用脆弱性和漏洞目錄（CVE）：該標(biāo)準(zhǔn)定義了與軟件漏洞相關(guān)的安全脆弱性的標(biāo)準(zhǔn)標(biāo)識符和目錄；2）通用配置目錄（CCE）：該標(biāo)準(zhǔn)定義了與安全相關(guān)的系統(tǒng)配置項(xiàng)的標(biāo)準(zhǔn)標(biāo)識符和目錄；3）通用平臺目錄（CPE）：該標(biāo)準(zhǔn)定義了平臺及產(chǎn)品的標(biāo)準(zhǔn)名稱和目錄；4）可擴(kuò)展配置控制列表描述格式（XCCDF）：該標(biāo)準(zhǔn)定義了控制列表和檢測報(bào)告的XML描述格式；5）開放性脆弱性評估描述語言（OVAL）：該標(biāo)準(zhǔn)定義了與軟件缺陷、配置問題、補(bǔ)丁相關(guān)的安全測試過程以及測試報(bào)告XML描述格式；6）通用脆弱性評分系統(tǒng)（CVSS）：該標(biāo)準(zhǔn)定義了脆弱性對系統(tǒng)影響的評分和傳遞標(biāo)準(zhǔn)。CVE、OVAL和CVSS主要用于漏洞管理，CCE主要用于配置管理，CPE主要用于資產(chǎn)管理，XCCDF主要用于配置管理和合規(guī)性管理。上述標(biāo)準(zhǔn)為FDCC的自動化檢查，包括漏洞檢查、配置檢查以及檢查方法，提供了標(biāo)準(zhǔn)化的描述格式。9三安全內(nèi)容自動化協(xié)議（SCAP）美國標(biāo)準(zhǔn)技術(shù)研究院制定的

四FDCC配套實(shí)施工具

微軟提供的FDCC配套工具主要用于FDCC的測試、評估和部署。（1）虛擬機(jī)虛擬機(jī)（VM）主要用于應(yīng)用程序兼容性和開發(fā)測試。（2）微軟評估和規(guī)劃工具微軟評估和規(guī)劃工具（MAP）主要用于評估當(dāng)前信息技術(shù)基礎(chǔ)設(shè)施情況，從而確定可滿足需求的系統(tǒng)移植技術(shù)方案。（3）應(yīng)用程序兼容性測試工具應(yīng)用程序兼容性測試工具（ACT）屬于生命周期管理工具，通過測試分析兼容性指標(biāo)數(shù)據(jù)，合理化組織應(yīng)用程序、網(wǎng)站和計(jì)算機(jī)終端等應(yīng)用資產(chǎn)（4）微軟部署工具微軟部署工具將桌面和服務(wù)器部署所需的工具和過程集成為一個(gè)通用部署控制臺。（5）組策略部署工具組策略加速器（GPOAccelerator）可以自動生成安全配置部署所需的所有組策略對象（GPOs），比手動配置過程要節(jié)省大量時(shí)間和工作量10

四FDCC配套實(shí)施工具

微軟提供的FDCC配套工具FDCC對我國提高政務(wù)計(jì)算機(jī)終端安全的啟示（1）終端安全重要性凸顯，安全配置管理是關(guān)鍵。終端是信息加工、處理和存儲的重要基礎(chǔ)設(shè)備，其安全性會嚴(yán)重影響整個(gè)網(wǎng)絡(luò)的安全，而安全漏洞的大量存在是終端脆弱性的主要原因。因此通過限制用戶權(quán)限、關(guān)閉部分服務(wù)功能等安全配置管理可有效減少系統(tǒng)漏洞，提高終端防護(hù)能力。（2）實(shí)行終端安全配置統(tǒng)一化和標(biāo)準(zhǔn)化，不僅有利于降低系統(tǒng)風(fēng)險(xiǎn)、方便信息安全防范措施的統(tǒng)一部署和實(shí)施效率，還可有效降低終端安全管理的復(fù)雜性和維護(hù)成本。因此應(yīng)研究制定符合我國國情的政務(wù)終端安全配置指南標(biāo)準(zhǔn)，并推動相關(guān)計(jì)劃的實(shí)施。這對于降低我國政府信息化成本特別是信息安全成本也有著重要作用。（3）加強(qiáng)關(guān)鍵技術(shù)產(chǎn)品的自主可控。我國在操作系統(tǒng)等關(guān)鍵技術(shù)產(chǎn)品方面還依賴于美國，而通過實(shí)施類似FDCC的安全配置計(jì)劃，則可實(shí)現(xiàn)終端安全配置和管理的自主化。并且我國終端安全配置標(biāo)準(zhǔn)的推出，及配套實(shí)施工具的研發(fā)，有利于推動軟件等關(guān)鍵技術(shù)產(chǎn)品的升級改造和自主創(chuàng)新，也是利用政府應(yīng)用推動國產(chǎn)化的一個(gè)契機(jī)。11FDCC對我國提高政務(wù)計(jì)算機(jī)終端安全的啟示（1）終端安全重要CGDCC研究背景2007年初，國家信息中心與微軟（中國）有限公司簽定合作備忘錄，開始合作終端安全方面的研究和技術(shù)開發(fā)。2008年，在國際可信計(jì)算聯(lián)盟的支持下，微軟支持國家信息中心開展FDCC研究與轉(zhuǎn)化應(yīng)用，并在終端安全配置基線核心技術(shù)方面提供支持。2009年5月召開FDCC培訓(xùn)會。每月定期召開電話會議，提供技術(shù)指導(dǎo)2010年3月，培訓(xùn)和現(xiàn)場技術(shù)指導(dǎo)2010年4月開始指導(dǎo)標(biāo)準(zhǔn)配套實(shí)施工具的開發(fā)工作12CGDCC研究背景2007年初，國家信息中心與微軟（中國）有我國加快終端安全配置標(biāo)準(zhǔn)立項(xiàng)工作2008年，開展針對FDCC及SCAP標(biāo)準(zhǔn)的跟蹤研究《政務(wù)終端安全核心配置規(guī)范》——2010年國家信息標(biāo)準(zhǔn)正式立項(xiàng)(計(jì)劃號:20100392-T-469）“政務(wù)終端安全核心配置（CGDCC）標(biāo)準(zhǔn)研制及其驗(yàn)證、應(yīng)用平臺建設(shè)項(xiàng)目”

——列入2010年國家發(fā)改委高技術(shù)產(chǎn)業(yè)發(fā)展項(xiàng)目計(jì)劃我國加快終端安全配置標(biāo)準(zhǔn)立項(xiàng)工作2008年，開展針對FDCCCGDCC研究目標(biāo)分析我國當(dāng)前電子政務(wù)網(wǎng)絡(luò)環(huán)境安全狀況，借鑒FDCC內(nèi)容，結(jié)合我國信息安全等級保護(hù)等相關(guān)技術(shù)標(biāo)準(zhǔn)成果，制定我國政務(wù)終端安全核心配置標(biāo)準(zhǔn)（CGDCC）。通過全國政務(wù)終端安全護(hù)理平臺，對CGDCC實(shí)現(xiàn)統(tǒng)一部署。通過國標(biāo)研制，推進(jìn)國家政務(wù)終端安全配置管理的統(tǒng)一化和標(biāo)準(zhǔn)化。14CGDCC研究目標(biāo)分析我國當(dāng)前電子政務(wù)網(wǎng)絡(luò)環(huán)境安全狀況，借鑒CGDCC研究線路研制政務(wù)終端安全核心配置標(biāo)準(zhǔn)，主要包括：政務(wù)終端安全核心配置規(guī)范；政務(wù)終端安全核心配置目錄；操作系統(tǒng)、瀏覽器、辦公軟件、郵件系統(tǒng)、媒體播放、即時(shí)通訊等常用軟件等安全基線政務(wù)終端安全核心配置描述格式規(guī)范；政務(wù)終端安全核心配置實(shí)施指南。研發(fā)CGDCC編輯、部署、檢測、報(bào)告等配套實(shí)施工具開展CGDCC的驗(yàn)證、試點(diǎn)及應(yīng)用推廣15CGDCC研究線路研制政務(wù)終端安全核心配置標(biāo)準(zhǔn)，主要包括：1CGDCC標(biāo)準(zhǔn)體系框架

16政務(wù)終端安全核心配置技術(shù)規(guī)范總體要求應(yīng)用支撐配置包描述語言規(guī)范等(分)級保護(hù)配置要求終端安全核心配置規(guī)范其他常用軟件安全配置要求操作系統(tǒng)安全配置要求配置清單描述規(guī)范配置狀態(tài)描述規(guī)范郵件系統(tǒng)安全配置要求辦公軟件安全配置要求瀏覽器安全配置要求安全配置實(shí)施指南CGDCC標(biāo)準(zhǔn)體系框架16政務(wù)終端安全核心配置技術(shù)規(guī)范總體CGDCC標(biāo)準(zhǔn)之間的關(guān)系分級保護(hù)安全配置要求安全核心配置技術(shù)規(guī)范第1部分：WINDOWS桌面操作系統(tǒng)安全配置要求第2部分：LINUX桌面操作系統(tǒng)安全配置要求第3部分：辦公軟件安全配置要求第4部分：瀏覽器軟件安全配置要求第5部分：郵件系統(tǒng)安全配置要求第6部分：其他常見軟件安全配置要求配置清單描述規(guī)范終端安全核心配置規(guī)范等(分)級保護(hù)安全配置要求配置狀態(tài)描述規(guī)范總體標(biāo)準(zhǔn)應(yīng)用支撐標(biāo)準(zhǔn)12346配置包描述語言規(guī)范安全配置實(shí)施指南57CGDCC標(biāo)準(zhǔn)之間的關(guān)系分級保護(hù)安全配置要求安全核心配置技術(shù)安全核心配置應(yīng)用支撐框架配置驗(yàn)證平臺配置分發(fā)平臺配置部署系統(tǒng)配置編輯平臺配置狀態(tài)監(jiān)測平臺安全核心配置應(yīng)用支撐框架配置驗(yàn)證平臺配置分發(fā)平臺配置部署系統(tǒng)安全配置實(shí)施流程配置編輯配置驗(yàn)證配置部署配置檢查例外處理安全配置實(shí)施流程配置編輯配置驗(yàn)證配置部署配置檢查例外處理CGDCC研究工作進(jìn)展基礎(chǔ)研究標(biāo)準(zhǔn)預(yù)研國標(biāo)立項(xiàng)翻譯FDCC安全配置策略翻譯整理微軟安全基線已完成6大類,46條基線,3000條策略的翻譯與整理工作國家信息中心牽頭，組織國家經(jīng)濟(jì)信息系統(tǒng)、行業(yè)單位及企業(yè)開展操作系統(tǒng)、瀏覽器等安全配置標(biāo)準(zhǔn)的預(yù)研工作已完成《政務(wù)終端安全核心配置規(guī)范》國標(biāo)立項(xiàng)正在申請《政務(wù)終端安全核心配置目錄》國標(biāo)立項(xiàng)逐步開展后續(xù)標(biāo)準(zhǔn)立項(xiàng)工作CGDCC研究工作進(jìn)展基礎(chǔ)研究標(biāo)準(zhǔn)預(yù)研國標(biāo)立項(xiàng)翻譯FDCC安標(biāo)準(zhǔn)應(yīng)用支撐平臺建設(shè)進(jìn)展依托國家經(jīng)濟(jì)信息系統(tǒng)在全國范圍內(nèi)建設(shè)政務(wù)終端安全核心配置應(yīng)用支撐平臺在國家信息中心建立中央節(jié)點(diǎn)在24個(gè)省市信息中心建立地方節(jié)點(diǎn)自主研制核心配置應(yīng)用支撐軟件PCcare2011123地方政府用戶終端國家信息中心主節(jié)點(diǎn)省級節(jié)點(diǎn)省級節(jié)點(diǎn)省級節(jié)點(diǎn)互聯(lián)網(wǎng)政務(wù)外網(wǎng)地方政府用戶終端地方政府用戶終端部委節(jié)點(diǎn)標(biāo)準(zhǔn)應(yīng)用支撐平臺建設(shè)進(jìn)展依托國家經(jīng)濟(jì)信息系統(tǒng)在全國范圍內(nèi)建標(biāo)準(zhǔn)應(yīng)用支撐平臺功能PCcare安全策略配置安全狀態(tài)監(jiān)測補(bǔ)丁測評分發(fā)安全預(yù)警通告地方政府用戶終端國家信息中心主節(jié)點(diǎn)省級節(jié)點(diǎn)省級節(jié)點(diǎn)省級節(jié)點(diǎn)互聯(lián)網(wǎng)政務(wù)外網(wǎng)地方政府用戶終端地方政府用戶終端部委節(jié)點(diǎn)標(biāo)準(zhǔn)應(yīng)用支撐平臺功能PCcare安全策略配置安全狀態(tài)監(jiān)測補(bǔ)丁安全核心配置功能PCcare安全策略配置安全狀態(tài)監(jiān)測補(bǔ)丁測評分發(fā)安全預(yù)警通告安全核心配置工具配置基線管理配置分發(fā)部署配置狀態(tài)監(jiān)測配置狀態(tài)報(bào)告配置檢查（專用）配置包編輯器配置驗(yàn)證測試工具安全核心配置功能PCcare安全策略配置安全狀態(tài)監(jiān)測補(bǔ)丁測評試點(diǎn)應(yīng)用情況網(wǎng)絡(luò)安全部其他部門所有部門試點(diǎn)應(yīng)用情況網(wǎng)絡(luò)安全部其他部門所有部門安全核心配置服務(wù)發(fā)展安全配置庫IT產(chǎn)品庫漏洞補(bǔ)丁庫IT產(chǎn)品配置標(biāo)準(zhǔn)安全配置基線安全配置指南安全配置服務(wù)平臺IT產(chǎn)品廠商終端服務(wù)器網(wǎng)絡(luò)設(shè)備安全設(shè)備辦公設(shè)備安全核心配置服務(wù)發(fā)展安全配置庫IT產(chǎn)品庫漏洞補(bǔ)丁庫IT產(chǎn)品配謝謝謝謝終端安全核心配置研究

國家信息中心信息安全研究與服務(wù)中心

北京2011.1.終端安全核心配置研究

什么是終端安全核心配置？對操作系統(tǒng)、辦公軟件、瀏覽器等常用軟件中關(guān)鍵的安全屬性進(jìn)行參數(shù)設(shè)置，限制或禁止存在安全隱患或漏洞的功能，啟用或加強(qiáng)安全保護(hù)功能，增強(qiáng)終端抵抗安全風(fēng)險(xiǎn)的能力

28禁止高危服務(wù)和端口非法程序腳本執(zhí)行未授權(quán)程序驅(qū)動安裝限制用戶權(quán)限程序內(nèi)存配額遠(yuǎn)程進(jìn)程調(diào)用(RPC)加強(qiáng)密碼管理身份認(rèn)證系統(tǒng)審核啟用數(shù)字簽名進(jìn)程保護(hù)

什么是終端安全核心配置？對操作系統(tǒng)、辦公軟終端安全配置終端安全配置終端軟件環(huán)境安全配置終端硬件環(huán)境安全配置終端安全核心配置外部設(shè)備安全配置網(wǎng)絡(luò)端口安全配置存儲設(shè)備安全配置不可安裝軟件列表可安裝軟件列表應(yīng)安裝軟件列表其他常用軟件安全配置辦公軟件安全配置操作系統(tǒng)安全配置終端安全配置終端安全配置終端軟件環(huán)境終端硬件環(huán)境終端安全核心起源最早起源于2003年美國空軍實(shí)施的標(biāo)準(zhǔn)桌面配置（SDC）。美國空軍在435,000個(gè)終端上部署SDC，并進(jìn)行了10個(gè)月的試驗(yàn)性測試，兩年內(nèi)全面投入使用。標(biāo)準(zhǔn)桌面配置（SDC）中采用的安全配置主要基于微軟發(fā)布的操作系統(tǒng)安全指南。2007年在SDC基礎(chǔ)上，美國聯(lián)邦政府提出聯(lián)邦桌面核心配置計(jì)劃（FederalDesktopCoreConfiguration），稱為FDCC。該計(jì)劃由美國聯(lián)邦預(yù)算管理辦公室（OMB）和美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）共同負(fù)責(zé)實(shí)施，旨在提高美國聯(lián)邦政府所使用的Windows安全性，并使聯(lián)邦政府桌面計(jì)算機(jī)的安全管理實(shí)現(xiàn)標(biāo)準(zhǔn)化和自動化。30起源4GAO的審計(jì)報(bào)告－FDCC實(shí)施步驟2010年3月，GAO發(fā)布審計(jì)報(bào)告《政府機(jī)構(gòu)必須實(shí)施桌面核心配置》為了實(shí)施FDCC，OMB要求各個(gè)聯(lián)邦機(jī)構(gòu)采取如下步驟：制定FDCC實(shí)施計(jì)劃，并提交OMB；2008年3月前，在所有終端上完成全部安全配置；記錄實(shí)際配置與標(biāo)準(zhǔn)配置之間的偏差，并需通過授權(quán)機(jī)構(gòu)的認(rèn)可；使用經(jīng)NIST認(rèn)證的工具來監(jiān)測安全配置達(dá)標(biāo)情況；保證未來采購的信息技術(shù)產(chǎn)品符合安全配置要求；向NIST提交配置狀態(tài)報(bào)告。GAO的審計(jì)報(bào)告－FDCC實(shí)施步驟2010年3月，GAO發(fā)布GAO的審計(jì)報(bào)告－FDCC實(shí)施情況2008年12月至2010年3月，GAO對24個(gè)主要聯(lián)邦機(jī)構(gòu)執(zhí)行FDCC的情況進(jìn)行了審計(jì)各機(jī)構(gòu)已經(jīng)按照要求開始行動，但還沒有一個(gè)機(jī)構(gòu)全部完成安全配置79％的機(jī)構(gòu)向OMB提交了FDCC部署計(jì)劃96％的機(jī)構(gòu)制定了存在偏差的配置（OMB允許在一定范圍內(nèi)與FDCC存在偏差）；46％的政府機(jī)構(gòu)完成了有偏差的安全配置2008年3月31日前，88％的機(jī)構(gòu)向NIST提交了FDCC合規(guī)性檢測報(bào)告，其中57％的機(jī)構(gòu)達(dá)標(biāo)GAO的審計(jì)報(bào)告－FDCC實(shí)施情況2008年12月至2010

一FDCC安全基線

FDCC安全基線對WindowsXP、Vista、IE及Windows防火墻的安全配置做出具體規(guī)定。

其主要關(guān)注四個(gè)要點(diǎn)：

一是刪除管理員和超級用戶權(quán)限；二是啟用防火墻；三是將FDCC設(shè)置應(yīng)用于Windows和IE；四是隨時(shí)進(jìn)行配置管理。33

一FDCC安全基線

FDCC安全基線對Window二FDCC安全配置包為方便FDCC的測試、部署和應(yīng)用，美國標(biāo)準(zhǔn)技術(shù)研究院發(fā)布了四種形式的FDCC安全配置包，分別是：（1）安全配置策略電子表格該配置包以Excel表的形式列出了XP及Vista的安全配置策略，主要列出策略路徑、策略配置名稱、Vista/XP環(huán)境下的配置值、注冊表設(shè)置、配置標(biāo)識、策略描述等內(nèi)容。（2）組策略對象（GPOs）Windows的安全策略主要是以組策略的形式進(jìn)行配置和管理，因此美國國家標(biāo)準(zhǔn)技術(shù)研究院提供了FDCC的組策略對象配置包，以便用戶直接利用組策略控制臺或組策略加速器等工具部署和應(yīng)用FDCC的安全配置。（3）虛擬硬盤（VHDs）虛擬硬盤配置包提供了FDCC的虛擬運(yùn)行環(huán)境，用戶可以在當(dāng)前操作系統(tǒng)上直接運(yùn)行該虛擬環(huán)境，以便進(jìn)行軟件兼容性和適用性方面的測試和評估。因此虛擬硬盤可作為FDCC的測試工具。（4）安全內(nèi)容自動化協(xié)議內(nèi)容（SCAPContent）FDCC提供了用于自動化安全配置檢查的安全配置包SCAPContent（安全內(nèi)容自動化協(xié)議內(nèi)容）。該配置包采用XML格式，描述了XP、Vista、Windows防火墻和IE7的配置檢查項(xiàng)，可通過實(shí)施自動化檢查（FDCCScan），提供第三方的安全配置合規(guī)性評估檢查。34二FDCC安全配置包為方便FDCC的測試、部署和應(yīng)用三安全內(nèi)容自動化協(xié)議（SCAP）美國標(biāo)準(zhǔn)技術(shù)研究院制定的一套支持自動化漏洞管理、測量和政策合規(guī)評估的安全標(biāo)準(zhǔn)規(guī)范。其主要對通信的方式和內(nèi)容進(jìn)行標(biāo)準(zhǔn)化，包括建立國家漏洞數(shù)據(jù)庫NVD，確定評估報(bào)告的格式和頻率，并提供產(chǎn)品測試和認(rèn)證。SCAP由以下六個(gè)標(biāo)準(zhǔn)構(gòu)成：1）通用脆弱性和漏洞目錄（CVE）：該標(biāo)準(zhǔn)定義了與軟件漏洞相關(guān)的安全脆弱性的標(biāo)準(zhǔn)標(biāo)識符和目錄；2）通用配置目錄（CCE）：該標(biāo)準(zhǔn)定義了與安全相關(guān)的系統(tǒng)配置項(xiàng)的標(biāo)準(zhǔn)標(biāo)識符和目錄；3）通用平臺目錄（CPE）：該標(biāo)準(zhǔn)定義了平臺及產(chǎn)品的標(biāo)準(zhǔn)名稱和目錄；4）可擴(kuò)展配置控制列表描述格式（XCCDF）：該標(biāo)準(zhǔn)定義了控制列表和檢測報(bào)告的XML描述格式；5）開放性脆弱性評估描述語言（OVAL）：該標(biāo)準(zhǔn)定義了與軟件缺陷、配置問題、補(bǔ)丁相關(guān)的安全測試過程以及測試報(bào)告XML描述格式；6）通用脆弱性評分系統(tǒng)（CVSS）：該標(biāo)準(zhǔn)定義了脆弱性對系統(tǒng)影響的評分和傳遞標(biāo)準(zhǔn)。CVE、OVAL和CVSS主要用于漏洞管理，CCE主要用于配置管理，CPE主要用于資產(chǎn)管理，XCCDF主要用于配置管理和合規(guī)性管理。上述標(biāo)準(zhǔn)為FDCC的自動化檢查，包括漏洞檢查、配置檢查以及檢查方法，提供了標(biāo)準(zhǔn)化的描述格式。35三安全內(nèi)容自動化協(xié)議（SCAP）美國標(biāo)準(zhǔn)技術(shù)研究院制定的

四FDCC配套實(shí)施工具

微軟提供的FDCC配套工具主要用于FDCC的測試、評估和部署。（1）虛擬機(jī)虛擬機(jī)（VM）主要用于應(yīng)用程序兼容性和開發(fā)測試。（2）微軟評估和規(guī)劃工具微軟評估和規(guī)劃工具（MAP）主要用于評估當(dāng)前信息技術(shù)基礎(chǔ)設(shè)施情況，從而確定可滿足需求的系統(tǒng)移植技術(shù)方案。（3）應(yīng)用程序兼容性測試工具應(yīng)用程序兼容性測試工具（ACT）屬于生命周期管理工具，通過測試分析兼容性指標(biāo)數(shù)據(jù)，合理化組織應(yīng)用程序、網(wǎng)站和計(jì)算機(jī)終端等應(yīng)用資產(chǎn)（4）微軟部署工具微軟部署工具將桌面和服務(wù)器部署所需的工具和過程集成為一個(gè)通用部署控制臺。（5）組策略部署工具組策略加速器（GPOAccelerator）可以自動生成安全配置部署所需的所有組策略對象（GPOs），比手動配置過程要節(jié)省大量時(shí)間和工作量36

四FDCC配套實(shí)施工具

微軟提供的FDCC配套工具FDCC對我國提高政務(wù)計(jì)算機(jī)終端安全的啟示（1）終端安全重要性凸顯，安全配置管理是關(guān)鍵。終端是信息加工、處理和存儲的重要基礎(chǔ)設(shè)備，其安全性會嚴(yán)重影響整個(gè)網(wǎng)絡(luò)的安全，而安全漏洞的大量存在是終端脆弱性的主要原因。因此通過限制用戶權(quán)限、關(guān)閉部分服務(wù)功能等安全配置管理可有效減少系統(tǒng)漏洞，提高終端防護(hù)能力。（2）實(shí)行終端安全配置統(tǒng)一化和標(biāo)準(zhǔn)化，不僅有利于降低系統(tǒng)風(fēng)險(xiǎn)、方便信息安全防范措施的統(tǒng)一部署和實(shí)施效率，還可有效降低終端安全管理的復(fù)雜性和維護(hù)成本。因此應(yīng)研究制定符合我國國情的政務(wù)終端安全配置指南標(biāo)準(zhǔn)，并推動相關(guān)計(jì)劃的實(shí)施。這對于降低我國政府信息化成本特別是信息安全成本也有著重要作用。（3）加強(qiáng)關(guān)鍵技術(shù)產(chǎn)品的自主可控。我國在操作系統(tǒng)等關(guān)鍵技術(shù)產(chǎn)品方面還依賴于美國，而通過實(shí)施類似FDCC的安全配置計(jì)劃，則可實(shí)現(xiàn)終端安全配置和管理的自主化。并且我國終端安全配置標(biāo)準(zhǔn)的推出，及配套實(shí)施工具的研發(fā)，有利于推動軟件等關(guān)鍵技術(shù)產(chǎn)品的升級改造和自主創(chuàng)新，也是利用政府應(yīng)用推動國產(chǎn)化的一個(gè)契機(jī)。37FDCC對我國提高政務(wù)計(jì)算機(jī)終端安全的啟示（1）終端安全重要CGDCC研究背景2007年初，國家信息中心與微軟（中國）有限公司簽定合作備忘錄，開始合作終端安全方面的研究和技術(shù)開發(fā)。2008年，在國際可信計(jì)算聯(lián)盟的支持下，微軟支持國家信息中心開展FDCC研究與轉(zhuǎn)化應(yīng)用，并在終端安全配置基線核心技術(shù)方面提供支持。2009年5月召開FDCC培訓(xùn)會。每月定期召開電話會議，提供技術(shù)指導(dǎo)2010年3月，培訓(xùn)和現(xiàn)場技術(shù)指導(dǎo)2010年4月開始指導(dǎo)標(biāo)準(zhǔn)配套實(shí)施工具的開發(fā)工作38CGDCC研究背景2007年初，國家信息中心與微軟（中國）有我國加快終端安全配置標(biāo)準(zhǔn)立項(xiàng)工作2008年，開展針對FDCC及SCAP標(biāo)準(zhǔn)的跟蹤研究《政務(wù)終端安全核心配置規(guī)范》——2010年國家信息標(biāo)準(zhǔn)正式立項(xiàng)(計(jì)劃號:20100392-T-469）“政務(wù)終端安全核心配置（CGDCC）標(biāo)準(zhǔn)研制及其驗(yàn)證、應(yīng)用平臺建設(shè)項(xiàng)目”

——列入2010年國家發(fā)改委高技術(shù)產(chǎn)業(yè)發(fā)展項(xiàng)目計(jì)劃我國加快終端安全配置標(biāo)準(zhǔn)立項(xiàng)工作2008年，開展針對FDCCCGDCC研究目標(biāo)分析我國當(dāng)前電子政務(wù)網(wǎng)絡(luò)環(huán)境安全狀況，借鑒FDCC內(nèi)容，結(jié)合我國信息安全等級保護(hù)等相關(guān)技術(shù)標(biāo)準(zhǔn)成果，制定我國政務(wù)終端安全核心配置標(biāo)準(zhǔn)（CGDCC）。通過全國政務(wù)終端安全護(hù)理平臺，對CGDCC實(shí)現(xiàn)統(tǒng)一部署。通過國標(biāo)研制，推進(jìn)國家政務(wù)終端安全配置管理的統(tǒng)一化和標(biāo)準(zhǔn)化。40CGDCC研究目標(biāo)分析我國當(dāng)前電子政務(wù)網(wǎng)絡(luò)環(huán)境安全狀況，借鑒CGDCC研究線路研制政務(wù)終端安全核心配置標(biāo)準(zhǔn)，主要包括：政務(wù)終端安全核心配置規(guī)范；政務(wù)終端安全核心配置目錄；操作系統(tǒng)、瀏覽器、辦公軟件、郵件系統(tǒng)、媒體播放、即時(shí)通訊等常用軟件等安全基線政務(wù)終端安全核心配置描述格式規(guī)范；政務(wù)終端安全核心配置實(shí)施指南。研發(fā)CGDCC編輯、部署、檢測、報(bào)告等配套實(shí)施工具開展CGDCC的驗(yàn)證、試點(diǎn)及應(yīng)用推廣41CGDCC研究線路研制政務(wù)終端安全核心配置標(biāo)準(zhǔn)，主要包括：1CGDCC標(biāo)準(zhǔn)體系框架

42政務(wù)終端安全核心配置技術(shù)規(guī)范總體要求應(yīng)用支撐配置包描述語言規(guī)范等(分)級保護(hù)配置要求終端安全核心配置規(guī)范其他常用軟件安全配置要求操作系統(tǒng)安全配置要求配置清單描述規(guī)范配置狀態(tài)描述規(guī)范郵件系統(tǒng)安全配置要求辦公軟件安全配置要求瀏覽器安全配置要求安全配置實(shí)施指南CGDCC標(biāo)準(zhǔn)體系框架16政務(wù)終端安全核心配置技術(shù)規(guī)范總體CGDCC標(biāo)準(zhǔn)之間的關(guān)系分級保護(hù)安全配置要求安全核心配置技術(shù)規(guī)范第1部分：WINDOWS桌面操作系統(tǒng)安全配置要求第2部分：LINUX桌面操作系統(tǒng)安全配置要求第3部分：辦公軟件安全配置要求第4部分：瀏覽器軟件安全配置要求第5部分：郵件系