聯(lián)邦桌面核心配置計劃介紹

1、終端安全核心配置研究,docin/sundae_meng,FDCC簡介,聯(lián)邦桌面核心配置計劃（ Federal Desktop Core Configuration ）由美國聯(lián)邦政府提出，稱為 FDCC。該計劃由美國聯(lián)邦預算管理辦公室（OMB）和美國國家標準與技術研究院（NIST）共同負責實施，旨在提高美國聯(lián)邦政府所使用的Windows安全性，并使聯(lián)邦政府桌面計算機的安全管理實現(xiàn)標準化和自動化。美國國土安全部 (DHS)、美國空

2、軍 (USAF)、美國國家安全局 (NSA)、美國國防情報系統(tǒng)機構 (DISA)等參與制定, 是美國國家網(wǎng)絡安全綜合計劃（CNCI）的一個部分。FDCC強制規(guī)定, 聯(lián)邦政府所有使用Windows的計算機必須符合一定的標準化配置要求 (對Windows XP、 Vista、IE和Office作出了具體規(guī)定). 原因是為了加強減少黑客訪問和利用政府電腦系統(tǒng)的機會。基于SCAP標準進行自動化檢查與評估。,docin/sundae

3、_meng,計算機硬件設備,操作系統(tǒng),瀏覽器,辦公軟件,郵件系統(tǒng),其它常用軟件,“終端安全核心配置”定位,設備配置管理,加強密碼管理身份認證系統(tǒng)審核禁止不必要或高危服務和端口非法程序腳本執(zhí)行未授權程序驅動安裝限制用戶權限程序內存配額遠程進程調用(RPC)啟用數(shù)字簽名系統(tǒng)空間占用進程保護降低和,業(yè)務應用軟件,安全加固,優(yōu)化加速,軟件配置管理,操作系統(tǒng),docin/sundae_meng,FDC

4、C的起源,最早起源于2019年美國空軍實施的標準桌面配置（SDC）。美國空軍在435,000個終端上部署SDC，并進行了10個月的試驗性測試，兩年內全面投入使用。標準桌面配置（SDC）中采用的安全配置主要基于微軟發(fā)布的操作系統(tǒng)安全指南。,docin/sundae_meng,FDCC的形成,2019,2019,2019,2019,2019 年 11 月NSA、DISA、NIST、CIS 和 Microsoft 就 XP 達成

5、共識,,2019 年 2 月USAF 司令部達成共識XP、IE6 和Office 2019 設置,2019 第 4 季度USAF 司令部達成共識Vista、IE7 和 Office 2019 設置,,,,,,2019,2019 年第 1 季度DoD 就 Vista 設置達成共識,,,,,2019 年 3 月OMB 備忘錄,,,2019 年 2 月民用標準桌面標準,,2019 年第 1 季度

6、Microsoft 對于 XP 的安全指南,,2019 年中期NIST SCAP,,民用機構和軍事機構的標準配置工作,2019 第 4 季度Microsoft 對于 Vista 的安全指南,,,docin/sundae_meng,FDCC的形成,在美國空軍成功部署 SDC 后，美國行政管理和預算局向所有聯(lián)邦機構發(fā)布了關于采用以下做法的備忘錄：采用 Windows XP/Vista 的標準配置限制用戶的登錄權限根據(jù)美國空

7、軍 SDC 實施 FDCC 中定義的安全標準,docin/sundae_meng,實施FDCC的意義,提高一致性簡化部署簡化了網(wǎng)絡管理和工具的復雜性增強安全性減小了標準用戶的管理權限，要求啟動防火墻有效防止用戶調節(jié)降低系統(tǒng)安全性降低運維成本需要的信息技術支持人員大大減少系統(tǒng)更新的測試和安裝時間大大縮短,docin/sundae_meng,FDCC實施效果,實施FDCC以來，美國空軍節(jié)省了1億多美元精簡了8000名信息技

8、術人員，呼叫服務的次數(shù)減少了40％補丁安裝時間從57天下降到3天每年預期節(jié)約能源1500萬美元加強了基礎結構優(yōu)化,docin/sundae_meng,FDCC主要內容,FDCC計劃的核心是制定美國聯(lián)邦政府Windows桌面計算機的安全配置標準，又稱為FDCC安全基線。目前美國標準技術研究院已發(fā)布基于Windows XP和Vista操作系統(tǒng)的FDCC安全基線。同時為支持FDCC的規(guī)劃、測試和部署，微軟推出了多個配套實施工具。,do

9、cin/sundae_meng,一 FDCC安全基線,FDCC安全基線對Windows XP、Vista、IE及Windows防火墻的安全配置做出了具體規(guī)定。其主要關注四個要點：一是刪除管理員和超級用戶權限；二是啟用防火墻；三是將FDCC設置應用于Windows和IE；四是隨時進行配置管理。,docin/sundae_meng,二 FDCC安全配置包,為方便FDCC的測試、部署和應用，美國標準技術研究院發(fā)布了四種

10、形式的FDCC安全配置包，分別是：（1）安全配置策略電子表格該配置包以Excel表的形式列出了XP及Vista的安全配置策略，主要列出策略路徑、策略配置名稱、Vista/XP環(huán)境下的配置值、注冊表設置、配置標識、策略描述等內容。（2）組策略對象（GPOs）Windows的安全策略主要是以組策略的形式進行配置和管理，因此美國國家標準技術研究院提供了FDCC的組策略對象配置包，以便用戶直接利用組策略控制臺或組策略加速器等工具部署和應

11、用FDCC的安全配置。（3）虛擬硬盤（VHDs）虛擬硬盤配置包提供了FDCC的虛擬運行環(huán)境，用戶可以在當前操作系統(tǒng)上直接運行該虛擬環(huán)境，以便進行軟件兼容性和適用性方面的測試和評估。因此虛擬硬盤可作為FDCC的測試工具。（4）安全內容自動化協(xié)議內容（SCAP Content）FDCC提供了用于自動化安全配置檢查的安全配置包SCAP Content（安全內容自動化協(xié)議內容）。該配置包采用XML格式，描述了XP、Vista、Windo

12、ws防火墻和IE7的配置檢查項，可通過實施自動化檢查（FDCC Scan），提供第三方的安全配置合規(guī)性評估檢查。,docin/sundae_meng,安全內容自動化協(xié)議（SCAP）,是由美國標準技術研究院制定的一套支持自動化漏洞管理、測量和政策合規(guī)評估的安全標準規(guī)范。其主要對通信的方式和內容進行標準化，包括建立國家漏洞數(shù)據(jù)庫NVD，確定評估報告的格式和頻率，并提供產品測試和認證。SCAP由以下六個標準構成：1）通用脆弱性和漏洞目錄（C

13、VE）：該標準定義了與軟件漏洞相關的安全脆弱性的標準標識符和目錄；2）通用配置目錄（CCE）：該標準定義了與安全相關的系統(tǒng)配置項的標準標識符和目錄；3）通用平臺目錄（CPE）：該標準定義了平臺及產品的標準名稱和目錄；4）可擴展配置控制列表描述格式（XCCDF）：該標準定義了控制列表和檢測報告的XML描述格式；5）開放性脆弱性評估描述語言（OVAL）：該標準定義了與軟件缺陷、配置問題、補丁相關的安全測試過程以及測試報告XML描述格

14、式；6）通用脆弱性評分系統(tǒng)（CVSS）：該標準定義了脆弱性對系統(tǒng)影響的評分和傳遞標準。CVE、OVAL和CVSS主要用于漏洞管理，CCE主要用于配置管理，CPE主要用于資產管理，XCCDF主要用于配置管理和合規(guī)性管理。上述標準為FDCC的自動化檢查，包括漏洞檢查、配置檢查以及檢查方法，提供了標準化的描述格式。,docin/sundae_meng,三 FDCC配套實施工具,微軟提供的FDCC配套工具主要用于FDCC的測試、評估和

15、部署。（1）虛擬機虛擬機（VM）主要用于應用程序兼容性和開發(fā)測試。（2）微軟評估和規(guī)劃工具微軟評估和規(guī)劃工具（MAP）主要用于評估當前信息技術基礎設施情況，從而確定可滿足需求的系統(tǒng)移植技術方案。（3）應用程序兼容性測試工具應用程序兼容性測試工具（ACT）屬于生命周期管理工具，通過測試分析兼容性指標數(shù)據(jù)，合理化組織應用程序、網(wǎng)站和計算機終端等應用資產（4）微軟部署工具微軟部署工具將桌面和服務器部署所需的工具和過程集成為一個

16、通用部署控制臺。（5）組策略部署工具組策略加速器（GPOAccelerator）可以自動生成安全配置部署所需的所有組策略對象（GPOs），比手動配置過程要節(jié)省大量時間和工作量,docin/sundae_meng,四 FDCC實施方法,,docin/sundae_meng,FDCC實施方法,,docin/sundae_meng,FDCC實施方法,,docin/sundae_meng,微軟安全基線,FDCC是在微軟安全基線基礎上制定的

17、。微軟安全基線是針對Windows 產品的通用安全指南，屬于指導性技術文件，主要指明安全配置可能的值、漏洞及對策等等。微軟安全基線由微軟獨立開發(fā)，并通過美國標準技術研究院、美國國防部等部門的審查和認可。已發(fā)布Windows XP, Vista, Server 2019, Server 2019, Office2019, Hyper-V, Win7, IE8, Exchange Server2019等產品的安全基線。,docin

18、/sundae_meng,微軟安全基線資源,由一系列安全配置管理文檔和數(shù)據(jù)組成。包括安全指南、安全配置的Excel列表，組策略（GPOs）、XML數(shù)據(jù)文件、SCAP數(shù)據(jù)文件、預期配置管理（DCM）配置包等。配套實施工具：組策略加速器（GPOAccelerator）和基線監(jiān)控管理工具SCM（達標基線管理員）,docin/sundae_meng,微軟安全基線配置方案,微軟安全基線提供了兩個層次的配置方案：適用于多數(shù)企業(yè)和組織的基線配置方

19、案，稱為企業(yè)配置（EC）。為了確保安全而對功能做出限制的基線配置方案，稱為專用安全限制功能（SSLF）。用戶可以根據(jù)自己的安全目標和應用需求選擇使用。,docin/sundae_meng,Microsoft技術資源,經過實踐檢驗的大量指導文檔(Guidance)，和部署工具(toolkits)：Windows Security Baseline虛擬機鏡像Microsoft評估和規(guī)劃工具應用程序兼容性測試工具包Micro

20、soft部署工具,docin/sundae_meng,FDCC對我國提高政務計算機終端安全的啟示,（1）終端安全重要性凸顯，安全配置管理是關鍵。終端是信息加工、處理和存儲的重要基礎設備，其安全性會嚴重影響整個網(wǎng)絡的安全，而安全漏洞的大量存在是終端脆弱性的主要原因。因此通過限制用戶權限、關閉部分服務功能等安全配置管理可有效減少系統(tǒng)漏洞，提高終端防護能力。（2）實行終端安全配置統(tǒng)一化和標準化，不僅有利于降低系統(tǒng)風險、方便信息安全防范措施的

21、統(tǒng)一部署和實施效率，還可有效降低終端安全管理的復雜性和維護成本。因此應研究制定符合我國國情的政務終端安全配置指南標準，并推動相關計劃的實施。這對于降低我國政府信息化成本特別是信息安全成本也有著重要作用。（3）加強關鍵技術產品的自主可控。我國在操作系統(tǒng)等關鍵技術產品方面還依賴于美國，而通過實施類似FDCC的安全配置計劃，則可實現(xiàn)終端安全配置和管理的自主化。并且我國終端安全配置標準的推出，及配套實施工具的研發(fā)，有利于推動軟件等關鍵技術產品

22、的升級改造和自主創(chuàng)新，也是利用政府應用推動國產化的一個契機。,docin/sundae_meng,CGDCC研究背景,2019年初，國家信息中心與微軟（中國）有限公司簽定合作備忘錄，開始合作終端安全方面的研究和技術開發(fā)。2009年在全國范圍內啟動政務終端安全護理計劃國家信息中心聯(lián)合中國信息安全測評中心等單位共同推出政務終端安全護理整體解決方案建設全國性的政務終端安全護理平臺研發(fā)政務終端安全護理系統(tǒng)軟件（PCcare）研制我國政

23、務終端安全核心配置標準,docin/sundae_meng,CGDCC研究背景,2019年，在國際可信計算聯(lián)盟的支持下，微軟支持國家信息中心開展FDCC研究與轉化應用，并在終端安全配置基線核心技術方面提供支持。2009年5月召開FDCC培訓會。每月定期召開電話會議，提供技術指導2019年3月，培訓和現(xiàn)場技術指導2019年4月開始指導標準配套實施工具的開發(fā)工作,docin/sundae_meng,CGDCC研究目標,分析我國當前電

24、子政務網(wǎng)絡環(huán)境安全狀況，借鑒FDCC內容，結合我國信息安全等級保護等相關技術標準成果，制定我國政務終端安全核心配置標準（CGDCC）。通過全國政務終端安全護理平臺，對CGDCC實現(xiàn)統(tǒng)一部署。爭取國標立項，并獲得政府的支持，推進國家政務終端安全配置管理的統(tǒng)一化和標準化。,docin/sundae_meng,CGDCC研究線路,研制政務終端安全核心配置標準，主要包括：政務終端安全核心配置規(guī)范；政務終端安全核心配置目錄；操作系統(tǒng)、瀏

25、覽器、辦公軟件、郵件系統(tǒng)、媒體播放、即時通訊等常用軟件等安全基線政務終端安全核心配置描述格式規(guī)范；政務終端安全核心配置實施指南。研發(fā)CGDCC編輯、部署、檢測、報告等配套實施工具開展CGDCC的驗證、試點及應用推廣,docin/sundae_meng,CGDCC研究工作進展,前期調研深入的研究和分析微軟安全配置基線及FDCC，對所有安全配置策略進行了翻譯、整理，并逐條進行了測試驗證研究應用基線管理工具SCM調研我國政務終端

26、安全需求,docin/sundae_meng,CGDCC研究工作進展,建立政務終端安全核心配置標準框架,docin/sundae_meng,CGDCC研究工作進展,政務終端安全核心配置規(guī)范內容目前基本完成了規(guī)范標準草案的編制,docin/sundae_meng,CGDCC研究工作進展,政務終端安全核心配置描述格式規(guī)范,,docin/sundae_meng,CGDCC研究工作進展,政務終端操作系統(tǒng)安全基線,docin/s

27、undae_meng,CGDCC研究工作進展,政務終端瀏覽器安全核心配置基線針對IE等常用瀏覽器，提出如下安全配置要求瀏覽器管理、瀏覽記錄管理、互聯(lián)網(wǎng)控制面板管理、高級頁管理、安全頁中的互聯(lián)網(wǎng)域和限制站點域管理和安全屬性管理。政務終端辦公軟件安全核心配置基線針對Office等常用辦公軟件，提出如下安全配置要求文件類型、文件加密處理、管理員控制模式、宏管理、文件隱藏管理、信任模式控制、自動升級控制、操作與提示管理等。,docin

28、/sundae_meng,CGDCC研究工作進展,政務終端安全核心配置實施指南從標準的研制、驗證、管理、分發(fā)、部署、檢測六方面，系統(tǒng)地描述政務終端安全核心配置標準的實施過程,docin/sundae_meng,標準配套實施工具研發(fā)進展,已編制完成標準配套實施工具設計報告終端安全配置編輯工具終端安全配置部署工具終端安全基線符合性測試工具終端安全配置部署狀態(tài)報告工具,,docin/sundae_meng,系統(tǒng)軟件開發(fā)進展,在國家信

29、息中心的指導下，北信源公司于2009年6月底，完成PCcare的第一個版本。并通過了公安部測評認證，獲得公安部頒發(fā)的銷售許可證。目前配合政務終端安全核心配置標準的研制工作進行安全策略配置模塊的升級、軟件界面的優(yōu)化和功能完善工作下一步要實現(xiàn)與標準配套實施工具的集成,docin/sundae_meng,終端安全策略統(tǒng)一配置,docin/sundae_meng,全國政務終端安全狀態(tài)監(jiān)測,docin/sundae_meng,國家信息中心開展