390 likes | 602 Views
终端安全核心配置研究. 中国 国家信息中心 2011.1. FDCC 简介. 联邦桌面核心配置计划( Federal Desktop Core Configuration )由美国联邦政府提出,称为 FDCC 。 该计划由美国联邦预算管理办公室( OMB )和美国国家标准与技术研究院( NIST )共同负责实施, 旨在提高美国联邦政府所使用的 Windows 安全性,并使联邦政府桌面计算机的 安全管理实现标准化和自动化 。
E N D
终端安全核心配置研究 中国 国家信息中心 2011.1.
FDCC简介 • 联邦桌面核心配置计划( Federal Desktop Core Configuration )由美国联邦政府提出,称为 FDCC。 • 该计划由美国联邦预算管理办公室(OMB)和美国国家标准与技术研究院(NIST)共同负责实施,旨在提高美国联邦政府所使用的Windows安全性,并使联邦政府桌面计算机的安全管理实现标准化和自动化。 • 美国国土安全部 (DHS)、美国空军 (USAF)、美国国家安全局 (NSA)、美国国防情报系统机构 (DISA)等参与制定, 是美国国家网络安全综合计划(CNCI)的一个部分。 • FDCC强制规定, 联邦政府所有使用Windows的计算机必须符合一定的标准化配置要求 (对Windows XP、 Vista、IE和Office作出了具体规定). 原因是为了加强减少黑客访问和利用政府电脑系统的机会。 • 基于SCAP标准进行自动化检查与评估。
“终端安全核心配置”定位 优化加速 业务应用软件 • 加强 • 密码管理 • 身份认证 • 系统审核 • 禁止 • 不必要或高危服务和端口 • 非法程序脚本执行 • 未授权程序驱动安装 • 限制 • 用户权限 • 程序内存配额 • 远程进程调用(RPC) • 启用 • 数字签名 • 系统空间占用 • 进程保护 • 降低 • 和 安全加固 操作系统 软件配置管理 终端安全 浏览器 办公 软件 邮件 系统 其它常 用软件 核心配置 计算机硬件设备 操作系统 设备配置管理
FDCC的起源 • 最早起源于2003年美国空军实施的标准桌面配置(SDC)。美国空军在435,000个终端上部署SDC,并进行了10个月的试验性测试,两年内全面投入使用。 • 标准桌面配置(SDC)中采用的安全配置主要基于微软发布的操作系统安全指南。
FDCC的形成 2008 年 2 月 民用标准桌面标准 2007 年3 月 OMB 备忘录 2007 年第 1 季度 DoD 就 Vista 设置达成共识 2006 第 4 季度 Microsoft 对于 Vista 的安全指南 2006 第 4 季度 USAF 司令部达成共识 Vista、IE7 和Office 2007 设置 2006 年中期 NIST SCAP 2005 年 2 月 USAF 司令部达成共识 XP、IE6 和 Office 2003 设置 2004 年 11 月 NSA、DISA、NIST、CIS和 Microsoft 就 XP 达成共识 2004 年第 1 季度 Microsoft 对于XP 的安全指南 2004 2005 2006 2007 2008 民用机构和军事机构的标准配置工作
FDCC的形成 • 在美国空军成功部署 SDC 后,美国行政管理和预算局向所有联邦机构发布了关于采用以下做法的备忘录: • 采用 Windows XP/Vista 的标准配置 • 限制用户的登录权限 • 根据美国空军 SDC 实施 FDCC 中定义的安全标准
实施FDCC的意义 • 提高一致性 • 简化部署 • 简化了网络管理和工具的复杂性 • 增强安全性 • 减小了标准用户的管理权限,要求启动防火墙 • 有效防止用户调节降低系统安全性 • 降低运维成本 • 需要的信息技术支持人员大大减少 • 系统更新的测试和安装时间大大缩短
FDCC实施效果 • 实施FDCC以来,美国空军节省了1亿多美元 • 精简了8000名信息技术人员,呼叫服务的次数减少了40% • 补丁安装时间从57天下降到3天 • 每年预期节约能源1500万美元 • 加强了基础结构优化
FDCC主要内容 • FDCC计划的核心是制定美国联邦政府Windows桌面计算机的安全配置标准,又称为FDCC安全基线。目前美国标准技术研究院已发布基于Windows XP和Vista操作系统的FDCC安全基线。 • 同时为支持FDCC的规划、测试和部署,微软推出了多个配套实施工具。
一 FDCC安全基线 • FDCC安全基线对Windows XP、Vista、IE及Windows防火墙的安全配置做出了具体规定。 • 其主要关注四个要点: • 一是删除管理员和超级用户权限; • 二是启用防火墙; • 三是将FDCC设置应用于Windows和IE; • 四是随时进行配置管理。
二 FDCC安全配置包 • 为方便FDCC的测试、部署和应用,美国标准技术研究院发布了四种形式的FDCC安全配置包,分别是: • (1)安全配置策略电子表格 • 该配置包以Excel表的形式列出了XP及Vista的安全配置策略,主要列出策略路径、策略配置名称、Vista/XP环境下的配置值、注册表设置、配置标识、策略描述等内容。 • (2)组策略对象(GPOs) • Windows的安全策略主要是以组策略的形式进行配置和管理,因此美国国家标准技术研究院提供了FDCC的组策略对象配置包,以便用户直接利用组策略控制台或组策略加速器等工具部署和应用FDCC的安全配置。 • (3)虚拟硬盘(VHDs) • 虚拟硬盘配置包提供了FDCC的虚拟运行环境,用户可以在当前操作系统上直接运行该虚拟环境,以便进行软件兼容性和适用性方面的测试和评估。因此虚拟硬盘可作为FDCC的测试工具。 • (4)安全内容自动化协议内容(SCAP Content) • FDCC提供了用于自动化安全配置检查的安全配置包SCAP Content(安全内容自动化协议内容)。该配置包采用XML格式,描述了XP、Vista、Windows防火墙和IE7的配置检查项,可通过实施自动化检查(FDCC Scan),提供第三方的安全配置合规性评估检查。
安全内容自动化协议(SCAP) • 是由美国标准技术研究院制定的一套支持自动化漏洞管理、测量和政策合规评估的安全标准规范。其主要对通信的方式和内容进行标准化,包括建立国家漏洞数据库NVD,确定评估报告的格式和频率,并提供产品测试和认证。SCAP由以下六个标准构成: • 1)通用脆弱性和漏洞目录(CVE):该标准定义了与软件漏洞相关的安全脆弱性的标准标识符和目录; • 2)通用配置目录(CCE):该标准定义了与安全相关的系统配置项的标准标识符和目录; • 3)通用平台目录(CPE):该标准定义了平台及产品的标准名称和目录; • 4)可扩展配置控制列表描述格式(XCCDF):该标准定义了控制列表和检测报告的XML描述格式; • 5)开放性脆弱性评估描述语言(OVAL):该标准定义了与软件缺陷、配置问题、补丁相关的安全测试过程以及测试报告XML描述格式; • 6)通用脆弱性评分系统(CVSS):该标准定义了脆弱性对系统影响的评分和传递标准。 • CVE、OVAL和CVSS主要用于漏洞管理,CCE主要用于配置管理,CPE主要用于资产管理,XCCDF主要用于配置管理和合规性管理。上述标准为FDCC的自动化检查,包括漏洞检查、配置检查以及检查方法,提供了标准化的描述格式。
三 FDCC配套实施工具 • 微软提供的FDCC配套工具主要用于FDCC的测试、评估和部署。 • (1)虚拟机 • 虚拟机(VM)主要用于应用程序兼容性和开发测试。 • (2)微软评估和规划工具 • 微软评估和规划工具(MAP)主要用于评估当前信息技术基础设施情况,从而确定可满足需求的系统移植技术方案。 • (3)应用程序兼容性测试工具 • 应用程序兼容性测试工具(ACT)属于生命周期管理工具,通过测试分析兼容性指标数据,合理化组织应用程序、网站和计算机终端等应用资产 • (4)微软部署工具 • 微软部署工具将桌面和服务器部署所需的工具和过程集成为一个通用部署控制台。 • (5)组策略部署工具 • 组策略加速器(GPOAccelerator)可以自动生成安全配置部署所需的所有组策略对象(GPOs),比手动配置过程要节省大量时间和工作量
微软安全基线 • FDCC是在微软安全基线基础上制定的。 • 微软安全基线是针对Windows 产品的通用安全指南,属于指导性技术文件,主要指明安全配置可能的值、漏洞及对策等等。 • 微软安全基线由微软独立开发,并通过美国标准技术研究院、美国国防部等部门的审查和认可。 • 已发布Windows XP, Vista, Server 2003, Server 2008, Office2007, Hyper-V, Win7, IE8, Exchange Server2007等产品的安全基线。
微软安全基线资源 • 由一系列安全配置管理文档和数据组成。包括安全指南、安全配置的Excel列表,组策略(GPOs)、XML数据文件、SCAP数据文件、预期配置管理(DCM)配置包等。 • 配套实施工具:组策略加速器(GPOAccelerator)和基线监控管理工具SCM(达标基线管理员)
微软安全基线配置方案 • 微软安全基线提供了两个层次的配置方案: • 适用于多数企业和组织的基线配置方案,称为企业配置(EC)。 • 为了确保安全而对功能做出限制的基线配置方案,称为专用安全限制功能(SSLF)。 • 用户可以根据自己的安全目标和应用需求选择使用。
Microsoft技术资源 • 经过实践检验的大量指导文档(Guidance),和部署工具(toolkits): • Windows Security Baseline • 虚拟机镜像 • Microsoft评估和规划工具 • 应用程序兼容性测试工具包 • Microsoft部署工具
FDCC对我国提高政务计算机终端安全的启示 • (1)终端安全重要性凸显,安全配置管理是关键。终端是信息加工、处理和存储的重要基础设备,其安全性会严重影响整个网络的安全,而安全漏洞的大量存在是终端脆弱性的主要原因。因此通过限制用户权限、关闭部分服务功能等安全配置管理可有效减少系统漏洞,提高终端防护能力。 • (2)实行终端安全配置统一化和标准化,不仅有利于降低系统风险、方便信息安全防范措施的统一部署和实施效率,还可有效降低终端安全管理的复杂性和维护成本。因此应研究制定符合我国国情的政务终端安全配置指南标准,并推动相关计划的实施。这对于降低我国政府信息化成本特别是信息安全成本也有着重要作用。 • (3)加强关键技术产品的自主可控。我国在操作系统等关键技术产品方面还依赖于美国,而通过实施类似FDCC的安全配置计划,则可实现终端安全配置和管理的自主化。并且我国终端安全配置标准的推出,及配套实施工具的研发,有利于推动软件等关键技术产品的升级改造和自主创新,也是利用政府应用推动国产化的一个契机。
CGDCC研究背景 • 2007年初,国家信息中心与微软(中国)有限公司签定合作备忘录,开始合作终端安全方面的研究和技术开发。 • 2009年在全国范围内启动政务终端安全护理计划 • 国家信息中心联合中国信息安全测评中心等单位共同推出政务终端安全护理整体解决方案 • 建设全国性的政务终端安全护理平台 • 研发政务终端安全护理系统软件(PCcare) • 研制我国政务终端安全核心配置标准
CGDCC研究背景 • 2008年,在国际可信计算联盟的支持下,微软支持国家信息中心开展FDCC研究与转化应用,并在终端安全配置基线核心技术方面提供支持。 • 2009年5月召开FDCC培训会。 • 每月定期召开电话会议,提供技术指导 • 2010年3月,培训和现场技术指导 • 2010年4月开始指导标准配套实施工具的开发工作
CGDCC研究目标 • 分析我国当前电子政务网络环境安全状况,借鉴FDCC内容,结合我国信息安全等级保护等相关技术标准成果,制定我国政务终端安全核心配置标准(CGDCC)。 • 通过全国政务终端安全护理平台,对CGDCC实现统一部署。 • 争取国标立项,并获得政府的支持,推进国家政务终端安全配置管理的统一化和标准化。
CGDCC研究线路 • 研制政务终端安全核心配置标准,主要包括: • 政务终端安全核心配置规范; • 政务终端安全核心配置目录; • 操作系统、浏览器、办公软件、邮件系统、媒体播放、即时通讯等常用软件等安全基线 • 政务终端安全核心配置描述格式规范; • 政务终端安全核心配置实施指南。 • 研发CGDCC编辑、部署、检测、报告等配套实施工具 • 开展CGDCC的验证、试点及应用推广
CGDCC研究工作进展 • 前期调研 • 深入的研究和分析微软安全配置基线及FDCC,对所有安全配置策略进行了翻译、整理,并逐条进行了测试验证 • 研究应用基线管理工具SCM • 调研我国政务终端安全需求
CGDCC研究工作进展 • 建立政务终端安全核心配置标准框架
CGDCC研究工作进展 • 政务终端安全核心配置规范内容 • 目前基本完成了规范标准草案的编制
CGDCC研究工作进展 • 政务终端安全核心配置描述格式规范
CGDCC研究工作进展 • 政务终端操作系统安全基线
CGDCC研究工作进展 • 政务终端浏览器安全核心配置基线 • 针对IE等常用浏览器,提出如下安全配置要求 • 浏览器管理、浏览记录管理、互联网控制面板管理、高级页管理、安全页中的互联网域和限制站点域管理和安全属性管理。 • 政务终端办公软件安全核心配置基线 • 针对Office等常用办公软件,提出如下安全配置要求 • 文件类型、文件加密处理、管理员控制模式、宏管理、文件隐藏管理、信任模式控制、自动升级控制、操作与提示管理等。
CGDCC研究工作进展 • 政务终端安全核心配置实施指南 • 从标准的研制、验证、管理、分发、部署、检测六方面,系统地描述政务终端安全核心配置标准的实施过程
标准配套实施工具研发进展 • 已编制完成标准配套实施工具设计报告 • 终端安全配置编辑工具 • 终端安全配置部署工具 • 终端安全基线符合性测试工具 • 终端安全配置部署状态报告工具
系统软件开发进展 • 在国家信息中心的指导下,北信源公司于2009年6月底,完成PCcare的第一个版本。并通过了公安部测评认证,获得公安部颁发的销售许可证。 • 目前配合政务终端安全核心配置标准的研制工作进行安全策略配置模块的升级、软件界面的优化和功能完善工作 • 下一步要实现与标准配套实施工具的集成
国家信息中心开展CGDCC研究情况 • 2008年国家信息中心信息安全研究与服务中心与微软(中国)公司签订信息安全合作协议(SCP),双方开始在信息安全领域开展密切合作,其中一项重要内容就是微软首先支持国家信息中心开展FDCC研究与转化应用,并在核心技术和工具方面提供支持。