聯(lián)邦桌面核心配置計(jì)劃介紹

1、終端安全核心配置研究,docin/sundae_meng,FDCC簡介,聯(lián)邦桌面核心配置計(jì)劃（ Federal Desktop Core Configuration ）由美國聯(lián)邦政府提出，稱為 FDCC。該計(jì)劃由美國聯(lián)邦預(yù)算管理辦公室（OMB）和美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）共同負(fù)責(zé)實(shí)施，旨在提高美國聯(lián)邦政府所使用的Windows安全性，并使聯(lián)邦政府桌面計(jì)算機(jī)的安全管理實(shí)現(xiàn)標(biāo)準(zhǔn)化和自動(dòng)化。美國國土安全部 (DHS)、美國空

2、軍 (USAF)、美國國家安全局 (NSA)、美國國防情報(bào)系統(tǒng)機(jī)構(gòu) (DISA)等參與制定, 是美國國家網(wǎng)絡(luò)安全綜合計(jì)劃（CNCI）的一個(gè)部分。FDCC強(qiáng)制規(guī)定, 聯(lián)邦政府所有使用Windows的計(jì)算機(jī)必須符合一定的標(biāo)準(zhǔn)化配置要求 (對Windows XP、 Vista、IE和Office作出了具體規(guī)定). 原因是為了加強(qiáng)減少黑客訪問和利用政府電腦系統(tǒng)的機(jī)會?；赟CAP標(biāo)準(zhǔn)進(jìn)行自動(dòng)化檢查與評估。,docin/sundae

3、_meng,計(jì)算機(jī)硬件設(shè)備,操作系統(tǒng),瀏覽器,辦公軟件,郵件系統(tǒng),其它常用軟件,“終端安全核心配置”定位,設(shè)備配置管理,加強(qiáng)密碼管理身份認(rèn)證系統(tǒng)審核禁止不必要或高危服務(wù)和端口非法程序腳本執(zhí)行未授權(quán)程序驅(qū)動(dòng)安裝限制用戶權(quán)限程序內(nèi)存配額遠(yuǎn)程進(jìn)程調(diào)用(RPC)啟用數(shù)字簽名系統(tǒng)空間占用進(jìn)程保護(hù)降低和,業(yè)務(wù)應(yīng)用軟件,安全加固,優(yōu)化加速,軟件配置管理,操作系統(tǒng),docin/sundae_meng,FDC

4、C的起源,最早起源于2019年美國空軍實(shí)施的標(biāo)準(zhǔn)桌面配置（SDC）。美國空軍在435,000個(gè)終端上部署SDC，并進(jìn)行了10個(gè)月的試驗(yàn)性測試，兩年內(nèi)全面投入使用。標(biāo)準(zhǔn)桌面配置（SDC）中采用的安全配置主要基于微軟發(fā)布的操作系統(tǒng)安全指南。,docin/sundae_meng,FDCC的形成,2019,2019,2019,2019,2019 年 11 月NSA、DISA、NIST、CIS 和 Microsoft 就 XP 達(dá)成

5、共識,,2019 年 2 月USAF 司令部達(dá)成共識XP、IE6 和Office 2019 設(shè)置,2019 第 4 季度USAF 司令部達(dá)成共識Vista、IE7 和 Office 2019 設(shè)置,,,,,,2019,2019 年第 1 季度DoD 就 Vista 設(shè)置達(dá)成共識,,,,,2019 年 3 月OMB 備忘錄,,,2019 年 2 月民用標(biāo)準(zhǔn)桌面標(biāo)準(zhǔn),,2019 年第 1 季度

6、Microsoft 對于 XP 的安全指南,,2019 年中期NIST SCAP,,民用機(jī)構(gòu)和軍事機(jī)構(gòu)的標(biāo)準(zhǔn)配置工作,2019 第 4 季度Microsoft 對于 Vista 的安全指南,,,docin/sundae_meng,FDCC的形成,在美國空軍成功部署 SDC 后，美國行政管理和預(yù)算局向所有聯(lián)邦機(jī)構(gòu)發(fā)布了關(guān)于采用以下做法的備忘錄：采用 Windows XP/Vista 的標(biāo)準(zhǔn)配置限制用戶的登錄權(quán)限根據(jù)美國空

7、軍 SDC 實(shí)施 FDCC 中定義的安全標(biāo)準(zhǔn),docin/sundae_meng,實(shí)施FDCC的意義,提高一致性簡化部署簡化了網(wǎng)絡(luò)管理和工具的復(fù)雜性增強(qiáng)安全性減小了標(biāo)準(zhǔn)用戶的管理權(quán)限，要求啟動(dòng)防火墻有效防止用戶調(diào)節(jié)降低系統(tǒng)安全性降低運(yùn)維成本需要的信息技術(shù)支持人員大大減少系統(tǒng)更新的測試和安裝時(shí)間大大縮短,docin/sundae_meng,FDCC實(shí)施效果,實(shí)施FDCC以來，美國空軍節(jié)省了1億多美元精簡了8000名信息技

8、術(shù)人員，呼叫服務(wù)的次數(shù)減少了40％補(bǔ)丁安裝時(shí)間從57天下降到3天每年預(yù)期節(jié)約能源1500萬美元加強(qiáng)了基礎(chǔ)結(jié)構(gòu)優(yōu)化,docin/sundae_meng,FDCC主要內(nèi)容,FDCC計(jì)劃的核心是制定美國聯(lián)邦政府Windows桌面計(jì)算機(jī)的安全配置標(biāo)準(zhǔn)，又稱為FDCC安全基線。目前美國標(biāo)準(zhǔn)技術(shù)研究院已發(fā)布基于Windows XP和Vista操作系統(tǒng)的FDCC安全基線。同時(shí)為支持FDCC的規(guī)劃、測試和部署，微軟推出了多個(gè)配套實(shí)施工具。,do

9、cin/sundae_meng,一 FDCC安全基線,FDCC安全基線對Windows XP、Vista、IE及Windows防火墻的安全配置做出了具體規(guī)定。其主要關(guān)注四個(gè)要點(diǎn)：一是刪除管理員和超級用戶權(quán)限；二是啟用防火墻；三是將FDCC設(shè)置應(yīng)用于Windows和IE；四是隨時(shí)進(jìn)行配置管理。,docin/sundae_meng,二 FDCC安全配置包,為方便FDCC的測試、部署和應(yīng)用，美國標(biāo)準(zhǔn)技術(shù)研究院發(fā)布了四種

10、形式的FDCC安全配置包，分別是：（1）安全配置策略電子表格該配置包以Excel表的形式列出了XP及Vista的安全配置策略，主要列出策略路徑、策略配置名稱、Vista/XP環(huán)境下的配置值、注冊表設(shè)置、配置標(biāo)識、策略描述等內(nèi)容。（2）組策略對象（GPOs）Windows的安全策略主要是以組策略的形式進(jìn)行配置和管理，因此美國國家標(biāo)準(zhǔn)技術(shù)研究院提供了FDCC的組策略對象配置包，以便用戶直接利用組策略控制臺或組策略加速器等工具部署和應(yīng)

11、用FDCC的安全配置。（3）虛擬硬盤（VHDs）虛擬硬盤配置包提供了FDCC的虛擬運(yùn)行環(huán)境，用戶可以在當(dāng)前操作系統(tǒng)上直接運(yùn)行該虛擬環(huán)境，以便進(jìn)行軟件兼容性和適用性方面的測試和評估。因此虛擬硬盤可作為FDCC的測試工具。（4）安全內(nèi)容自動(dòng)化協(xié)議內(nèi)容（SCAP Content）FDCC提供了用于自動(dòng)化安全配置檢查的安全配置包SCAP Content（安全內(nèi)容自動(dòng)化協(xié)議內(nèi)容）。該配置包采用XML格式，描述了XP、Vista、Windo

12、ws防火墻和IE7的配置檢查項(xiàng)，可通過實(shí)施自動(dòng)化檢查（FDCC Scan），提供第三方的安全配置合規(guī)性評估檢查。,docin/sundae_meng,安全內(nèi)容自動(dòng)化協(xié)議（SCAP）,是由美國標(biāo)準(zhǔn)技術(shù)研究院制定的一套支持自動(dòng)化漏洞管理、測量和政策合規(guī)評估的安全標(biāo)準(zhǔn)規(guī)范。其主要對通信的方式和內(nèi)容進(jìn)行標(biāo)準(zhǔn)化，包括建立國家漏洞數(shù)據(jù)庫NVD，確定評估報(bào)告的格式和頻率，并提供產(chǎn)品測試和認(rèn)證。SCAP由以下六個(gè)標(biāo)準(zhǔn)構(gòu)成：1）通用脆弱性和漏洞目錄（C

13、VE）：該標(biāo)準(zhǔn)定義了與軟件漏洞相關(guān)的安全脆弱性的標(biāo)準(zhǔn)標(biāo)識符和目錄；2）通用配置目錄（CCE）：該標(biāo)準(zhǔn)定義了與安全相關(guān)的系統(tǒng)配置項(xiàng)的標(biāo)準(zhǔn)標(biāo)識符和目錄；3）通用平臺目錄（CPE）：該標(biāo)準(zhǔn)定義了平臺及產(chǎn)品的標(biāo)準(zhǔn)名稱和目錄；4）可擴(kuò)展配置控制列表描述格式（XCCDF）：該標(biāo)準(zhǔn)定義了控制列表和檢測報(bào)告的XML描述格式；5）開放性脆弱性評估描述語言（OVAL）：該標(biāo)準(zhǔn)定義了與軟件缺陷、配置問題、補(bǔ)丁相關(guān)的安全測試過程以及測試報(bào)告XML描述格

14、式；6）通用脆弱性評分系統(tǒng)（CVSS）：該標(biāo)準(zhǔn)定義了脆弱性對系統(tǒng)影響的評分和傳遞標(biāo)準(zhǔn)。CVE、OVAL和CVSS主要用于漏洞管理，CCE主要用于配置管理，CPE主要用于資產(chǎn)管理，XCCDF主要用于配置管理和合規(guī)性管理。上述標(biāo)準(zhǔn)為FDCC的自動(dòng)化檢查，包括漏洞檢查、配置檢查以及檢查方法，提供了標(biāo)準(zhǔn)化的描述格式。,docin/sundae_meng,三 FDCC配套實(shí)施工具,微軟提供的FDCC配套工具主要用于FDCC的測試、評估和

15、部署。（1）虛擬機(jī)虛擬機(jī)（VM）主要用于應(yīng)用程序兼容性和開發(fā)測試。（2）微軟評估和規(guī)劃工具微軟評估和規(guī)劃工具（MAP）主要用于評估當(dāng)前信息技術(shù)基礎(chǔ)設(shè)施情況，從而確定可滿足需求的系統(tǒng)移植技術(shù)方案。（3）應(yīng)用程序兼容性測試工具應(yīng)用程序兼容性測試工具（ACT）屬于生命周期管理工具，通過測試分析兼容性指標(biāo)數(shù)據(jù)，合理化組織應(yīng)用程序、網(wǎng)站和計(jì)算機(jī)終端等應(yīng)用資產(chǎn)（4）微軟部署工具微軟部署工具將桌面和服務(wù)器部署所需的工具和過程集成為一個(gè)

16、通用部署控制臺。（5）組策略部署工具組策略加速器（GPOAccelerator）可以自動(dòng)生成安全配置部署所需的所有組策略對象（GPOs），比手動(dòng)配置過程要節(jié)省大量時(shí)間和工作量,docin/sundae_meng,四 FDCC實(shí)施方法,,docin/sundae_meng,FDCC實(shí)施方法,,docin/sundae_meng,FDCC實(shí)施方法,,docin/sundae_meng,微軟安全基線,FDCC是在微軟安全基線基礎(chǔ)上制定的

17、。微軟安全基線是針對Windows 產(chǎn)品的通用安全指南，屬于指導(dǎo)性技術(shù)文件，主要指明安全配置可能的值、漏洞及對策等等。微軟安全基線由微軟獨(dú)立開發(fā)，并通過美國標(biāo)準(zhǔn)技術(shù)研究院、美國國防部等部門的審查和認(rèn)可。已發(fā)布Windows XP, Vista, Server 2019, Server 2019, Office2019, Hyper-V, Win7, IE8, Exchange Server2019等產(chǎn)品的安全基線。,docin

18、/sundae_meng,微軟安全基線資源,由一系列安全配置管理文檔和數(shù)據(jù)組成。包括安全指南、安全配置的Excel列表，組策略（GPOs）、XML數(shù)據(jù)文件、SCAP數(shù)據(jù)文件、預(yù)期配置管理（DCM）配置包等。配套實(shí)施工具：組策略加速器（GPOAccelerator）和基線監(jiān)控管理工具SCM（達(dá)標(biāo)基線管理員）,docin/sundae_meng,微軟安全基線配置方案,微軟安全基線提供了兩個(gè)層次的配置方案：適用于多數(shù)企業(yè)和組織的基線配置方

19、案，稱為企業(yè)配置（EC）。為了確保安全而對功能做出限制的基線配置方案，稱為專用安全限制功能（SSLF）。用戶可以根據(jù)自己的安全目標(biāo)和應(yīng)用需求選擇使用。,docin/sundae_meng,Microsoft技術(shù)資源,經(jīng)過實(shí)踐檢驗(yàn)的大量指導(dǎo)文檔(Guidance)，和部署工具(toolkits)：Windows Security Baseline虛擬機(jī)鏡像Microsoft評估和規(guī)劃工具應(yīng)用程序兼容性測試工具包Micro

20、soft部署工具,docin/sundae_meng,FDCC對我國提高政務(wù)計(jì)算機(jī)終端安全的啟示,（1）終端安全重要性凸顯，安全配置管理是關(guān)鍵。終端是信息加工、處理和存儲的重要基礎(chǔ)設(shè)備，其安全性會嚴(yán)重影響整個(gè)網(wǎng)絡(luò)的安全，而安全漏洞的大量存在是終端脆弱性的主要原因。因此通過限制用戶權(quán)限、關(guān)閉部分服務(wù)功能等安全配置管理可有效減少系統(tǒng)漏洞，提高終端防護(hù)能力。（2）實(shí)行終端安全配置統(tǒng)一化和標(biāo)準(zhǔn)化，不僅有利于降低系統(tǒng)風(fēng)險(xiǎn)、方便信息安全防范措施的

21、統(tǒng)一部署和實(shí)施效率，還可有效降低終端安全管理的復(fù)雜性和維護(hù)成本。因此應(yīng)研究制定符合我國國情的政務(wù)終端安全配置指南標(biāo)準(zhǔn)，并推動(dòng)相關(guān)計(jì)劃的實(shí)施。這對于降低我國政府信息化成本特別是信息安全成本也有著重要作用。（3）加強(qiáng)關(guān)鍵技術(shù)產(chǎn)品的自主可控。我國在操作系統(tǒng)等關(guān)鍵技術(shù)產(chǎn)品方面還依賴于美國，而通過實(shí)施類似FDCC的安全配置計(jì)劃，則可實(shí)現(xiàn)終端安全配置和管理的自主化。并且我國終端安全配置標(biāo)準(zhǔn)的推出，及配套實(shí)施工具的研發(fā)，有利于推動(dòng)軟件等關(guān)鍵技術(shù)產(chǎn)品

22、的升級改造和自主創(chuàng)新，也是利用政府應(yīng)用推動(dòng)國產(chǎn)化的一個(gè)契機(jī)。,docin/sundae_meng,CGDCC研究背景,2019年初，國家信息中心與微軟（中國）有限公司簽定合作備忘錄，開始合作終端安全方面的研究和技術(shù)開發(fā)。2009年在全國范圍內(nèi)啟動(dòng)政務(wù)終端安全護(hù)理計(jì)劃國家信息中心聯(lián)合中國信息安全測評中心等單位共同推出政務(wù)終端安全護(hù)理整體解決方案建設(shè)全國性的政務(wù)終端安全護(hù)理平臺研發(fā)政務(wù)終端安全護(hù)理系統(tǒng)軟件（PCcare）研制我國政

23、務(wù)終端安全核心配置標(biāo)準(zhǔn),docin/sundae_meng,CGDCC研究背景,2019年，在國際可信計(jì)算聯(lián)盟的支持下，微軟支持國家信息中心開展FDCC研究與轉(zhuǎn)化應(yīng)用，并在終端安全配置基線核心技術(shù)方面提供支持。2009年5月召開FDCC培訓(xùn)會。每月定期召開電話會議，提供技術(shù)指導(dǎo)2019年3月，培訓(xùn)和現(xiàn)場技術(shù)指導(dǎo)2019年4月開始指導(dǎo)標(biāo)準(zhǔn)配套實(shí)施工具的開發(fā)工作,docin/sundae_meng,CGDCC研究目標(biāo),分析我國當(dāng)前電

24、子政務(wù)網(wǎng)絡(luò)環(huán)境安全狀況，借鑒FDCC內(nèi)容，結(jié)合我國信息安全等級保護(hù)等相關(guān)技術(shù)標(biāo)準(zhǔn)成果，制定我國政務(wù)終端安全核心配置標(biāo)準(zhǔn)（CGDCC）。通過全國政務(wù)終端安全護(hù)理平臺，對CGDCC實(shí)現(xiàn)統(tǒng)一部署。爭取國標(biāo)立項(xiàng)，并獲得政府的支持，推進(jìn)國家政務(wù)終端安全配置管理的統(tǒng)一化和標(biāo)準(zhǔn)化。,docin/sundae_meng,CGDCC研究線路,研制政務(wù)終端安全核心配置標(biāo)準(zhǔn)，主要包括：政務(wù)終端安全核心配置規(guī)范；政務(wù)終端安全核心配置目錄；操作系統(tǒng)、瀏

25、覽器、辦公軟件、郵件系統(tǒng)、媒體播放、即時(shí)通訊等常用軟件等安全基線政務(wù)終端安全核心配置描述格式規(guī)范；政務(wù)終端安全核心配置實(shí)施指南。研發(fā)CGDCC編輯、部署、檢測、報(bào)告等配套實(shí)施工具開展CGDCC的驗(yàn)證、試點(diǎn)及應(yīng)用推廣,docin/sundae_meng,CGDCC研究工作進(jìn)展,前期調(diào)研深入的研究和分析微軟安全配置基線及FDCC，對所有安全配置策略進(jìn)行了翻譯、整理，并逐條進(jìn)行了測試驗(yàn)證研究應(yīng)用基線管理工具SCM調(diào)研我國政務(wù)終端

26、安全需求,docin/sundae_meng,CGDCC研究工作進(jìn)展,建立政務(wù)終端安全核心配置標(biāo)準(zhǔn)框架,docin/sundae_meng,CGDCC研究工作進(jìn)展,政務(wù)終端安全核心配置規(guī)范內(nèi)容目前基本完成了規(guī)范標(biāo)準(zhǔn)草案的編制,docin/sundae_meng,CGDCC研究工作進(jìn)展,政務(wù)終端安全核心配置描述格式規(guī)范,,docin/sundae_meng,CGDCC研究工作進(jìn)展,政務(wù)終端操作系統(tǒng)安全基線,docin/s

27、undae_meng,CGDCC研究工作進(jìn)展,政務(wù)終端瀏覽器安全核心配置基線針對IE等常用瀏覽器，提出如下安全配置要求瀏覽器管理、瀏覽記錄管理、互聯(lián)網(wǎng)控制面板管理、高級頁管理、安全頁中的互聯(lián)網(wǎng)域和限制站點(diǎn)域管理和安全屬性管理。政務(wù)終端辦公軟件安全核心配置基線針對Office等常用辦公軟件，提出如下安全配置要求文件類型、文件加密處理、管理員控制模式、宏管理、文件隱藏管理、信任模式控制、自動(dòng)升級控制、操作與提示管理等。,docin

28、/sundae_meng,CGDCC研究工作進(jìn)展,政務(wù)終端安全核心配置實(shí)施指南從標(biāo)準(zhǔn)的研制、驗(yàn)證、管理、分發(fā)、部署、檢測六方面，系統(tǒng)地描述政務(wù)終端安全核心配置標(biāo)準(zhǔn)的實(shí)施過程,docin/sundae_meng,標(biāo)準(zhǔn)配套實(shí)施工具研發(fā)進(jìn)展,已編制完成標(biāo)準(zhǔn)配套實(shí)施工具設(shè)計(jì)報(bào)告終端安全配置編輯工具終端安全配置部署工具終端安全基線符合性測試工具終端安全配置部署狀態(tài)報(bào)告工具,,docin/sundae_meng,系統(tǒng)軟件開發(fā)進(jìn)展,在國家信

29、息中心的指導(dǎo)下，北信源公司于2009年6月底，完成PCcare的第一個(gè)版本。并通過了公安部測評認(rèn)證，獲得公安部頒發(fā)的銷售許可證。目前配合政務(wù)終端安全核心配置標(biāo)準(zhǔn)的研制工作進(jìn)行安全策略配置模塊的升級、軟件界面的優(yōu)化和功能完善工作下一步要實(shí)現(xiàn)與標(biāo)準(zhǔn)配套實(shí)施工具的集成,docin/sundae_meng,終端安全策略統(tǒng)一配置,docin/sundae_meng,全國政務(wù)終端安全狀態(tài)監(jiān)測,docin/sundae_meng,國家信息中心開展