《信息安全技術政務計算機終端核心配置規范》（工作組討論稿）編制說明任務來源《信息安全技術政務計算機終端核心配置規范》是全國信息安全標準技術委員會2010年度國家標準制修訂項目之一。該標準由中國信息協會信息安全專業委員會牽頭研制，合作單位包括：中國信息安全測評中心、中國信息安全認證中心、國家稅務總局電子稅務管理中心、三零衛士公司和北京北信源軟件股份有限公司。研究目標在分析我國電子政務網絡環境安全狀況的基礎上，結合我國信息安全等級保護技術標準成果，借鑒美國聯邦政府實施的FDCC（聯邦桌面核心配置），研究制定符合我國國情的國家推薦性標準《政務計算機終端核心配置規范》，實現我國政務計算機終端安全配置管理的標準化和自動化，切實落實等級保護對于主機安全的相關要求，為加強終端安全保障及監督檢查提供標準支撐。國內外現狀隨著各國信息化建設進程的加快，政務部門對信息系統的依賴性越來越強，計算機終端作為電子政務的最基本單元，承載著信息加工、處理、存儲和傳輸等重要任務，其安全性受到了廣泛的重視。但是，由于政務終端量大面廣，并且缺少統一的安全防范策略和安全護理措施，使得計算機終端的可控性變得越來越低。抓緊制訂政務部門的計算機終端安全配置規范，加快對辦公用計算機安全配置實施，已成為加強政務部門信息化安全的一種趨勢。美國聯邦政府2007年提出聯邦桌面核心配置計劃（FDCC）以提高美國聯邦政府所使用的Windows操作系統安全性，并使聯邦政府桌面計算機的安全管理實現標準化和自動化。該計劃由美國聯邦預算管理辦公室（OMB）和美國國家標準與技術研究院（NIST）共同負責實施，國防部、國土安全部、國家安全局等參與制定。FDCC作為聯邦政府所有桌面計算機的安全配置標準，已經成為美國國家網絡安全綜合計劃（CNCI）的重要組成部分。美國聯邦政府強制規定所有使用Windows的計算機必須符合FDCC的配置要求。澳大利亞國防信息情報局（DSD）經過各政府部門的漏洞風險評估和滲透測試，根據多年信息網絡安全工作的經驗總結，借鑒多起嚴重安全事件的處理方法，于2010年2月，首次公開發布了35條安全防御策略列。其中前4項控制措施是所有內閣機構必須實施的，包括：為應用程序打補丁并進行安全配置，為操作系統打補丁并進行安全配置，限制本地及域管理員權限，以及建立應用軟件白名單。雖然這些控制措施不能完全防御所有的攻擊事件，但是對于防御80%以上的中低復雜度的網絡攻擊行為極為有效，以極低的成本取得了極大的安全保障效果。近年來，我國逐步認識到終端安全配置管理對于加強計算機終端安全保障工作的重要作用，開始重視終端安全防護和管理工作。國家信息中心是國內最早開展終端安全配置研究的單位之一，并率先在國內提出政務終端安全核心配置標準體系框架，在終端安全核心配置標準研究、技術實施和試點應用等方面均取得了顯著的成果。2010年國家信息負責牽頭研制國家標準《政務計算機終端核心配置規范》。同年，“政務終端安全核心配置標準研制及其驗證、應用平臺建設”項目列入國家高技術發展項目計劃。主要工作過程2011年2月，《政務計算機終端核心配置規范》國家標準編制任務正式下達，我單位在原標準草案V1.0的基礎上，進一步研究桌面終端安全核心配置方法。對美國FDCC、USGCB以及微軟安全基線的內容和實施機制進行了跟蹤研究。重點參照GB/T22239-2008對于主機安全的要求，提出了Windows桌面操作系統的詳細安全核心配置要求，完成了《政務計算機終端核心配置規范》（草案）V2.0版本。2011年8月15日，我單位組織召開“《政務計算機終端核心配置規范》標準啟動會”。由中國信息協會信息安全專業委員會牽頭，中國信息安全測評中心、中國信息安全認證中心、國家稅務總局電子稅務管理中心、三零衛士公司、北京北信源軟件股份有限公司等單位的專家組成了國標研制工作組。啟動會上專家對《政務計算機終端核心配置規范》（草案）V2.0版本進行了充分討論，會后形成了《政務計算機終端核心配置規范》（草案）V2.1版本。2011年8月17日，由全國信息安全標準技術委員會組織召開了“《政務計算機終端核心配置規范》中期檢查會”。檢查會上專家組對《政務計算機終端核心配置規范》（草案）V2.1版本中的“安全核心配置”等概念進行討論，提出了標準要有動態性發展的要求。同時，專家組建議從“什么是配置”、“為什么做配置”、“怎樣做配置”三個方面進行修改。會后，國標研制工作組經過十余次內部討論和修改，明確了安全配置的基本要求、安全配置清單、安全配置基線包、應用支撐技術要求和實施流程的五部分內容，形成了《政務計算機終端核心配置規范》（草案）v3.0版本。2012年3月27日，全國信息安全標準技術委員會組織召開了“《政務計算機終端核心配置規范》標準協調會”。會上，我單位與北京信息安全測評中心分別介紹了安全配置工作成果，同時更加明確了核心配置與軟硬件配備的關系。2012年5月25日，我單位組織召開了“《政務計算機終端核心配置規范》專家咨詢會”。會上，專家組對《政務計算機終端核心配置規范》（草案）v3.0版本進行了討論，提出需進一步明晰核心配置的概念，范圍，以及標準內容結構。會后編制組進行認真修改，完成了《政務計算機終端核心配置規范》（草案）v4.0版本。2012年7月11日，我單位組織召開了“《政務計算機終端核心配置規范》（草案）專家審查會”。會上，專家組聽取了編制組關于標準編制過程的匯報，審閱了標準文本，肯定了標準組工作成果，同意該標準草案通過審查。建議編制組根據本次審查會專家意見進行修改后提交WG5工作組成員單位進行表決，形成征求意見稿。會后，編制組根據專家意見進一步完善了標準草案，形成了《政務計算機終端核心配置規范》（草案）V5.0版本。2012年8月，全國信息安全標準化技術委員會WG5工作組成員單位對《政務計算機終端核心配置規范》（征求意見稿）V5.0投票表決。其中，中國信息安全認證中心、公安部第三研究所、中科網威、解放軍測評認證委和浙江維爾五家單位贊成通過，江南天安、上海三零兩家單位贊成通過但需修改，并在核心配置范圍、安全配置要求依據及文本格式等方面提出修改意見。編制組收到反饋意見后，經過反復討論，采納了部分修改意見，完成了《政務計算機終端核心配置規范》（征求意見稿）V5.1版本。5標準主要內容本標準提出了政務計算機終端核心配置的基本概念和要求，規定了核心配置的自動化實現方法，包括核心配置清單、核心配置基線包格式和自動化部署及監測技術要求，并規范了核心配置實施流程。本標準適用于規范政務部門開展的計算機終端核心配置工作。本標準的主要框架如下：范圍規范性引用文件術語和定義縮略語文本結構概述核心配置對象核心配置范圍核心配置項基本類型核心配置項賦值方法核心配置對安全的作用核心配置自動化實施框架核心配置基本要求操作系統核心配置要求辦公軟件核心配置要求瀏覽器核心配置要求郵件系統核心配置要求BIOS系統核心配置要求核心配置清單概要配置項屬性核心配置基線包主標記格式版本標記基線標記產品標記核心配置自動化部署及監測技術要求自動化部署及監測平臺基本架構配置編輯模塊配置驗證模塊配置部署模塊狀態監測模塊管理實施流程實施流程框架實施準備基線制定測試驗證配置部署配置檢查例外處理附錄A（資料性附錄）身份鑒別配置要求示例附錄B（資料性附錄）核心配置清單6關鍵技術說明核心配置基本概念核心配置是指對計算機操作系統、辦公軟件、瀏覽器和BIOS系統等基礎軟件中影響計算機安全的關鍵參數可選項進行設置的過程。主要限制或禁止存在安全隱患或漏洞的功能，啟用或加強安全保護功能，來增強計算機抵抗安全風險的能力。核心配置技術實現要素核心配置自動化實施包括以下四個要素：1）核心配置基本要求根據計算機終端所屬系統或環境的安全需求及安全級別，確定核心配置具體要求。以GB/T22239-20087.1.3-7.14對于第三級主機安全和應用安全要求為例，針對國內外主流操作系統、辦公軟件、瀏覽器軟件、郵件系統軟件和BIOS系統等基礎軟件，在身份鑒別、訪問控制、信息保護、安全審計等方面提出核心配置基本要求。2）核心配置清單編制核心配置清單，采用清單方式描述核心配置要求，包括配置項標識、配置項名稱、配置項組別、安全級別、取值范圍、配置項基值、賦值路徑和檢查規則等。3）核心配置基線包生成核心配置基線包，將配置清單轉化成為一種符合特定規則的數據文件，以供自動化部署工具實施。核心配置基線包是一種嵌套式結構的數據文件，采用XML格式對核心配置基線中各配置項的屬性進行規范性標記，以實現核心配置部署及監測的自動化。核心配置基線包由格式版本標記、基線標記和產品標記三部分組成。其中，基線標記包括基線版本標記、配置組標記、配置項標記和檢查標記。4）自動化部署及監測技術平臺對于有一定規模的政務終端核心配置應用，需要配備自動化部署及監測平臺，進行核心配置編輯、驗證、部署和監測，實現核心配置項的批量自動賦值和合規性實時檢測。自動化部署及監測平臺由四個基本功能模塊構成，分別是配置編輯模塊、配置驗證模塊、配置部署模塊和配置監測模塊。其中，配置編輯模塊主要用于將核心配置清單自動轉換生成核心配置基線包，配置驗證模塊用于對核心配置基線包進行驗證和測試，生成可部署的配置基線包；配置部署模塊用于對核心配置基線包進行自動化部署；配置監測模塊用于對核心配置進行自動和規性監測。核心配置實施流程政務計算機終端核心配置實施流程主要包括實施準備、基線制定、測試驗證、配置部署、配置檢查和例外處理等六個階段。實施準備重點從技術和管理兩個方面做好實施前準備，主要步驟包括：需求分析和調研；制定總體實施方案；建立組織管理架構，制定相關管理制度提供組織保障。基線制定主要根據政務部門確定的核心配置基本要求，制定核心配置清單，并利用核心配置自動化部署及監測平臺生成核心配置基線包。測試驗證主要目標是驗證測試核心配置基線包的有效性、適用性和兼容性，盡量避免首次部署核心配置基線所可能引發的新的安全風險。配置部署主要完成核心配置基線包的分發和本地執行過程。可采用