FDCC及政务终端安全核心配置学习教案

《FDCC及政务终端安全核心配置学习教案》由会员分享，可在线阅读，更多相关《FDCC及政务终端安全核心配置学习教案（26页珍藏版）》请在装配图网上搜索。

1、会计学1FDCC及政务终端安全核心配置及政务终端安全核心配置第一页，编辑于星期六：十点 四十二分。 2禁止高危服务和端口高危服务和端口非法程序脚本执行非法程序脚本执行未授权程序驱动安装未授权程序驱动安装限制用户权限用户权限程序内存配额程序内存配额远程进程调用远程进程调用(RPC)加强密码管理密码管理身份认证身份认证系统审核系统审核启用数字签名数字签名进程保护进程保护第1页/共26页第二页，编辑于星期六：十点 四十二分。终端安全配置终端软件环境安全配置终端硬件环境安全配置终端安全核心配置外部设备安全配置网络端口安全配置存储设备安全配置不可安装软件列表可安装软件列表应安装软件列表其他常用软件安全配

2、置办公软件安全配置操作系统安全配置第2页/共26页第三页，编辑于星期六：十点 四十二分。最早起源于最早起源于2003年美国空军实施的标准桌面配置（年美国空军实施的标准桌面配置（SDC）。美国空军在）。美国空军在435,000个终端上部署个终端上部署SDC，并进行了，并进行了10个月的试验性测试，个月的试验性测试，两年内全面投入使用。两年内全面投入使用。标准桌面配置（标准桌面配置（SDC）中采用的安全配置主要基于微软发布的操作系统安全指南。）中采用的安全配置主要基于微软发布的操作系统安全指南。2007年在年在SDC基础上，美国联邦政府提出联邦桌面核心配置计划（基础上，美国联邦政府提出联邦桌面核心

3、配置计划（ Federal Desktop Core Configuration ），称为），称为 FDCC。该计划由美国联邦预算管理办公室（该计划由美国联邦预算管理办公室（OMB）和美国国家标准与技术研究院（）和美国国家标准与技术研究院（NIST）共同负责实施，旨在提高美国联邦政府所使用）共同负责实施，旨在提高美国联邦政府所使用的的Windows安全性，并使联邦政府桌面计算机的安全管理实现标准化和自动化。安全性，并使联邦政府桌面计算机的安全管理实现标准化和自动化。4第3页/共26页第四页，编辑于星期六：十点 四十二分。 2010年年3月，月，GAO发布审计报告发布审计报告政府机构必须实施桌面

4、核心配置政府机构必须实施桌面核心配置u为了实施为了实施FDCC，OMB要求各个联邦机构采取如下步骤：要求各个联邦机构采取如下步骤： 制定制定FDCC实施计划，并提交实施计划，并提交OMB； 2008年年3月前，在所有终端上完成全部安全配置；月前，在所有终端上完成全部安全配置； 记录实际配置与标准配置之间的偏差，并需通过授权机构的认可；记录实际配置与标准配置之间的偏差，并需通过授权机构的认可； 使用经使用经NIST认证的工具来监测安全配置达标情况；认证的工具来监测安全配置达标情况； 保证未来采购的信息技术产品符合安全配置要求；保证未来采购的信息技术产品符合安全配置要求； 向向NIST提交配置状态

5、报告。提交配置状态报告。第4页/共26页第五页，编辑于星期六：十点 四十二分。 2008年年12月至月至2010年年3月，月， GAO对对24个主要联邦机构执行个主要联邦机构执行FDCC的情况进行了审计的情况进行了审计u 各机构已经按照要求开始行动，但还没有一个机构全部各机构已经按照要求开始行动，但还没有一个机构全部完成安全配置完成安全配置u 79的机构向的机构向OMB提交了提交了FDCC部署计划部署计划u 96的机构制定了存在偏差的配置（的机构制定了存在偏差的配置（OMB允许在一定范围内与允许在一定范围内与FDCC存在偏差）；存在偏差）；46的政府机构完成了有偏差的安全配置的政府机构完成了有

6、偏差的安全配置u 2008年年3月月31日前，日前，88的机构向的机构向NIST提交了提交了FDCC合规性检测合规性检测报告，其中报告，其中57的机构达标的机构达标第5页/共26页第六页，编辑于星期六：十点 四十二分。FDCC安全基线对安全基线对Windows XP、Vista、IE及及Windows防火墙的防火墙的安全配置做出具体规定安全配置做出具体规定。 其主要关注四个要点：其主要关注四个要点： 一是删除管理员和超级用户权限；一是删除管理员和超级用户权限； 二是启用防火墙；二是启用防火墙； 三是将三是将FDCC设置应用于设置应用于Windows和和IE； 四四是随时进行配置管理。是随时进行

7、配置管理。7第6页/共26页第七页，编辑于星期六：十点 四十二分。 为方便为方便FDCC的测试、部署和应用，美国标准技术研究院发布了四种形式的的测试、部署和应用，美国标准技术研究院发布了四种形式的FDCC安全配置包，分别是：安全配置包，分别是：（1）安全配置策略电子表格）安全配置策略电子表格该配置包以该配置包以Excel表的形式列出了表的形式列出了XP及及Vista的安全配置策略，主要列出策略路径、策略配置名称、的安全配置策略，主要列出策略路径、策略配置名称、Vista/XP环境下的配置值、注册表设置、配置标识、策略描述环境下的配置值、注册表设置、配置标识、策略描述等内容。等内容。（2）组策略

8、对象（）组策略对象（GPOs）Windows的安全策略主要是以组策略的形式进行配置和管理，因此美国国家标准技术研究院提供了的安全策略主要是以组策略的形式进行配置和管理，因此美国国家标准技术研究院提供了FDCC的组策略对象配置包，以便用的组策略对象配置包，以便用户直接利用组策略控制台或组策略加速器等工具部署和应用户直接利用组策略控制台或组策略加速器等工具部署和应用FDCC的安全配置。的安全配置。（3）虚拟硬盘（）虚拟硬盘（VHDs）虚拟硬盘配置包提供了虚拟硬盘配置包提供了FDCC的虚拟运行环境，用户可以在当前操作系统上直接运行该虚拟环境，以便进行软件兼容性和适用性方面的测试和评估。因此虚拟硬盘可

9、作为的虚拟运行环境，用户可以在当前操作系统上直接运行该虚拟环境，以便进行软件兼容性和适用性方面的测试和评估。因此虚拟硬盘可作为FDCC的测试工具。的测试工具。（4）安全内容自动化协议内容（）安全内容自动化协议内容（SCAP Content）FDCC提供了用于自动化安全配置检查的安全配置包提供了用于自动化安全配置检查的安全配置包SCAP Content（安全内容自动化协议内容）。该配置包采用（安全内容自动化协议内容）。该配置包采用XML格式，描述了格式，描述了XP、Vista、Windows防火墙和防火墙和IE7的配置检查项，可通过实施自动化检查（的配置检查项，可通过实施自动化检查（FDCC S

10、can），提供第三方的安全配置合规性评估检查。），提供第三方的安全配置合规性评估检查。8第7页/共26页第八页，编辑于星期六：十点 四十二分。 美国标准技术研究院制定的一套支持自动化漏洞管理、测量和政策合规评估的安美国标准技术研究院制定的一套支持自动化漏洞管理、测量和政策合规评估的安全标准规范。全标准规范。其主要对通信的其主要对通信的方式和内容进行标准化，包括建立国家漏洞数据库方式和内容进行标准化，包括建立国家漏洞数据库NVD，确定评估报告的格，确定评估报告的格式和频率，并提供产品测试和认证。式和频率，并提供产品测试和认证。SCAP由以下六个标准构成：由以下六个标准构成：1）通用脆弱性和漏洞目

11、录（）通用脆弱性和漏洞目录（CVE）：该标准定义了与软件漏洞相关的安全脆弱性的标准标识符和目录；）：该标准定义了与软件漏洞相关的安全脆弱性的标准标识符和目录；2）通用配置目录（）通用配置目录（CCE）：该标准定义了与安全相关的系统配置项的标准标识符和目录；）：该标准定义了与安全相关的系统配置项的标准标识符和目录；3）通用平台目录（）通用平台目录（CPE）：该标准定义了平台及产品的标准名称和目录；）：该标准定义了平台及产品的标准名称和目录；4）可扩展配置控制列表描述格式（）可扩展配置控制列表描述格式（XCCDF）：该标准定义了控制列表和检测报告的）：该标准定义了控制列表和检测报告的XML描述格式

12、；描述格式；5）开放性脆弱性评估描述语言（）开放性脆弱性评估描述语言（OVAL）：该标准定义了与软件缺陷、配置问题、补丁相关的安全测试过程以及测试报告）：该标准定义了与软件缺陷、配置问题、补丁相关的安全测试过程以及测试报告XML描述格式；描述格式；6）通用脆弱性评分系统（）通用脆弱性评分系统（CVSS）：该标准定义了脆弱性对系统影响的评分和传递标准。）：该标准定义了脆弱性对系统影响的评分和传递标准。CVE、OVAL和和CVSS主要用于漏洞管理，主要用于漏洞管理，CCE主要用于配置管理，主要用于配置管理，CPE主要用于资产管理，主要用于资产管理，XCCDF主要用于配置管理和合规性管理。上述标准为

13、主要用于配置管理和合规性管理。上述标准为FDCC的自动化检查，包括漏洞检查、配置检查以及检查方法，提供了标准化的描述格式。的自动化检查，包括漏洞检查、配置检查以及检查方法，提供了标准化的描述格式。9第8页/共26页第九页，编辑于星期六：十点 四十二分。微软提供的微软提供的FDCC配套工具主要用于配套工具主要用于FDCC的测试、评估和部署。的测试、评估和部署。（1）虚拟机）虚拟机虚拟机（虚拟机（VM）主要用于应用程序兼容性和开发测试。）主要用于应用程序兼容性和开发测试。（2）微软评估和规划工具）微软评估和规划工具微软评估和规划工具（微软评估和规划工具（MAP）主要用于评估当前信息技术基础设施情况

14、，从而确定可满足需求的系统移植技术方案。）主要用于评估当前信息技术基础设施情况，从而确定可满足需求的系统移植技术方案。（3）应用程序兼容性测试工具）应用程序兼容性测试工具应用程序兼容性测试工具（应用程序兼容性测试工具（ACT）属于生命周期管理工具，通过测试分析兼容性指标数据，合理化组织应用程序、网站和计算机终端等应用资产）属于生命周期管理工具，通过测试分析兼容性指标数据，合理化组织应用程序、网站和计算机终端等应用资产（4）微软部署工具）微软部署工具微软部署工具将桌面和服务器部署所需的工具和过程集成为一个通用部署控制台。微软部署工具将桌面和服务器部署所需的工具和过程集成为一个通用部署控制台。（5

15、）组策略部署工具）组策略部署工具组策略加速器（组策略加速器（GPOAccelerator）可以自动生成安全配置部署所需的所有组策略对象（）可以自动生成安全配置部署所需的所有组策略对象（GPOs），比手动配置过程要节省大量时间和工作量），比手动配置过程要节省大量时间和工作量10第9页/共26页第十页，编辑于星期六：十点 四十二分。11第10页/共26页第十一页，编辑于星期六：十点 四十二分。20072007年初，国家信息中心与微软（中国）有限公司签定合作备年初，国家信息中心与微软（中国）有限公司签定合作备忘录，开始合作终端安全方面的研究和技术开发。忘录，开始合作终端安全方面的研究和技术开发。 2

16、008年，在国际可信计算联盟的支持下，微软支持国家信息中年，在国际可信计算联盟的支持下，微软支持国家信息中心开展心开展FDCC研究与转化应用，并在终端安全配置基线研究与转化应用，并在终端安全配置基线核心技术方面提供支持。核心技术方面提供支持。u 2009年年5月召开月召开FDCC培训会。培训会。u 每月定期召开电话会议，提供技术指导每月定期召开电话会议，提供技术指导u 2010年年3月，培训和现场技术指导月，培训和现场技术指导u 2010年年4月开始指导标准配套实施工具的开发工作月开始指导标准配套实施工具的开发工作12第11页/共26页第十二页，编辑于星期六：十点 四十二分。 2008年，开展

17、针对年，开展针对FDCC及及SCAP标准的跟踪研究标准的跟踪研究政务终端安全核心配置规范政务终端安全核心配置规范 2010年年国家信息标准正式国家信息标准正式立项立项(计划号计划号: 20100392-T-469）“政务终端安全核心配置（政务终端安全核心配置（CGDCC）标准研制及其验证、应用）标准研制及其验证、应用平台建设项目平台建设项目” 列入列入2010年年国家国家发改委发改委高技术产业高技术产业发展项目发展项目计计 划划第12页/共26页第十三页，编辑于星期六：十点 四十二分。分析我国当前电子政务网络环境安全状况，借鉴分析我国当前电子政务网络环境安全状况，借鉴FDCC内容，结合我国信息

18、安全等级内容，结合我国信息安全等级保护等相关技术标准成果，制定我国政务终端安全核心配置标准（保护等相关技术标准成果，制定我国政务终端安全核心配置标准（CGDCC）。）。通过全国政务终端安全护理平台，对通过全国政务终端安全护理平台，对CGDCC实现统一部署。实现统一部署。通过国标研制，推进国家政务终端安全配置管理的统一化和标准化。通过国标研制，推进国家政务终端安全配置管理的统一化和标准化。14第13页/共26页第十四页，编辑于星期六：十点 四十二分。 研制政务终端安全核心配置标准，主要包括：研制政务终端安全核心配置标准，主要包括：u 政务终端安全核心配置规范；政务终端安全核心配置规范；u 政务终

19、端安全核心配置目录；政务终端安全核心配置目录； 操作系统、浏览器、办公软件、邮件系统、媒体播放、即时通讯等常用软件等安全基线操作系统、浏览器、办公软件、邮件系统、媒体播放、即时通讯等常用软件等安全基线u 政务终端安全核心配置描述格式规范；政务终端安全核心配置描述格式规范；u政务终端安全核心配置实施指南。政务终端安全核心配置实施指南。 研发研发CGDCC编辑、部署、检测、报告等配套实施工具编辑、部署、检测、报告等配套实施工具开展开展CGDCC的验证、试点及应用推广的验证、试点及应用推广15第14页/共26页第十五页，编辑于星期六：十点 四十二分。 16政务终端安全核心配置技术规范总体要求应用支撑

20、配置包描述语言规范等(分)级保护配置要求终端安全核心配置规范其他常用软件安全配置要求操作系统安全配置要求配置清单描述规范配置状态描述规范邮件系统安全配置要求办公软件安全配置要求浏览器安全配置要求安全配置实施指南第15页/共26页第十六页，编辑于星期六：十点 四十二分。分级保护安全配置要求安全核心配置技术规范第1部分：WINDOWS桌面操作系统安全配置要求第2部分：LINUX桌面操作系统安全配置要求第3部分：办公软件安全配置要求第4部分：浏览器软件安全配置要求第5部分：邮件系统安全配置要求第6部分：其他常见软件安全配置要求配置清单描述规范终端安全核心配置规范等(分)级保护安全配置要求配置状态描述

21、规范总体标准应用支撑标准1 12 23 34 46 6 配置包描述语言规范安全配置实施指南5 57 7第16页/共26页第十七页，编辑于星期六：十点 四十二分。配置验证平台配置分发平台配置部署系统配置编辑平台配置状态监测平台第17页/共26页第十八页，编辑于星期六：十点 四十二分。配置编辑配置验证配置部署配置检查例外处理第18页/共26页第十九页，编辑于星期六：十点 四十二分。基础研究标准预研国标立项翻译FDCC安全配置策略翻译整理微软安全基线已完成6大类,46条基线,3000条策略的翻译与整理工作已完成政务终端安全核心配置规范国标立项正在申请政务终端安全核心配置目录 国标立项逐步开展后续标准

22、立项工作第19页/共26页第二十页，编辑于星期六：十点 四十二分。v 依托国家经济信息系统在全国范围内建设政务终端安全核心配置应用支撑平台 在国家信息中心建立中央节点 在24个省市信息中心建立地方节点 自主研制核心配置应用支撑软件PCcare2011地方政府用户终端国家信息中心主节点省级节点省级节点省级节点互联网政务外网地方政府用户终端地方政府用户终端部委节点第20页/共26页第二十一页，编辑于星期六：十点 四十二分。PCcare安全策略配置安全状态监测补丁测评分发安全预警通告地方政府用户终端国家信息中心主节点省级节点省级节点省级节点互联网政务外网地方政府用户终端地方政府用户终端部委节点第21

23、页/共26页第二十二页，编辑于星期六：十点 四十二分。PCcare安全策略配置安全状态监测补丁测评分发安全预警通告安全核心配置工具安全核心配置工具配置基线管理配置分发部署配置状态监测配置状态报告配置检查（专用）配置包编辑器配置验证测试工具第22页/共26页第二十三页，编辑于星期六：十点 四十二分。网络安全部其他部门所有部门第23页/共26页第二十四页，编辑于星期六：十点 四十二分。安全配置库IT产品库漏洞补丁库IT产品配置标准安全配置基线安全配置指南安 全 配 置 服 务 平 台I T 产 品 厂 商终端服务器网络设备安全设备办公设备第24页/共26页第二十五页，编辑于星期六：十点 四十二分。第25页/共26页第二十六页，编辑于星期六：十点 四十二分。