政务终端安全配置标准cgdcc的背景

政务终端安全配置标准cgdcc的背景

一、我国终端安全的现状随着政府计算机科学进程的加快，网络安全网络环境变得越来越复杂，安全形势也越来越严重。敏感信息泄露、政府网站被篡改、非法用户入侵、恶意软件攻击等安全事件屡见不鲜,如何保障电子政务网络安全的问题已引起政府部门的高度重视。传统的安全网关、防火墙、VPN等技术已经不能彻底有效地保障政务网络的安全,为了寻求解决之道,我们不得不从传统的安全边界中解放出来。据2009年有关资料统计,政府和企事业网络的安全事件有80%源自终端问题。终端已成为新的安全边界,终端安全问题已成为中国乃至全球所面临的新挑战。国外很多国家已经开始研究并实施相应的标准来提升终端的安全水平。联邦桌面核心配置计划(FDCC)是由美国联邦预算管理办公室(OMB)和美国国家标准与技术研究院(NIST)共同负责研制并由美国联邦政府强制执行的桌面计算机安全配置标准,旨在提高美国联邦政府所使用Windows的安全性,并使联邦政府桌面计算机的安全管理实现标准化和自动化。自美国2007年实施该配置计划以来,美国政府终端安全性得到了很大程度的提升,政府网络的运维成本大大减少,运维效率也得到了很大的改善。与此同时,英国也加强了重要基础设施的终端安全,制定了《国家信息保障战略》,启动了windows配置计划。国家信息中心为了加强政务终端的安全性,提高桌面系统一致性,降低运维成本,在我国率先开始研制符合我国国情的政务终端安全核心配置标准(CGDCC)。2008年,国家信息中心与微软(中国)有限公司签订了信息安全合作协议(SCP),开展FDCC研究和转化应用研究。2010年,国家信息中心与微软公司签署了合作发展CGDCC备忘录,在对CGDCC的应用与推广方面建立了更进一步的合作关系。到目前为止,CGDCC标准草案已经完成,相关部署工具也已进入测试阶段,为下一步的应用推广奠定了良好的基础。二、政务终端安全核心配置标准目前,我国政务终端安全需求主要集中在以下几个方面:(1)身份认证,防止非法用户远程盗用终端;(2)访问控制,防止用户越权操作;(3)特权管理,防止用户滥用权限;(4)审计,提供安全可追究性;(5)免疫机制,包括防火墙软件管理;(6)文件机密性保证,如文件加密;(7)网络安全管理,如加密传输;(8)软件管理,增强常用软件的安全机能;(9)设备管理,如移动存储介质的管理等。从上述电子政务安全需求分析出发,依据计算机信息系统安全等级保护相关要求,借鉴现有国家信息安全标准制定成果,国家信息中心经过大量的研究工作,制定了政务终端安全核心配置标准(CGDCC)。CGDCC是介于计算机硬件设备管理和业务应用软件管理之间,主要针对操作系统、浏览器、办公软件、邮件系统和其他常用软件制定相关的安全配置,对终端进行安全和性能双层加固。其功能主要表现在以下几个方面:(1)加强系统安全,包括密码管理、身份认证、系统审核等;(2)杜绝安全隐患,包括禁用高危服务和端口、禁止非法程序脚本执行、禁止非授权程序安装等;(3)限制非法操作,包括用户权限管理和进程内存配额管理等;(4)启用安全保护,包括进行数字签名和进程保护等;(5)减低资源浪费,包括系统空间的占用管理等。由此,政务终端安全核心配置标准框架从总体上可分为三大类:(1)管理要求类:主要根据安全需求制定终端所要达到的要求,包括政务终端安全核心配置规范和政务终端等级保护安全配置要求;(2)技术指标类。主要为各配置项设定具体内容,通过不同的策略值满足不同层次的要求,包括操作系统安全基线、浏览器安全基线、办公软件安全基线、邮件系统安全基线和常用软件安全基线五部分内容;(3)应用支撑类。主要为了增强标准的实用性和可用性,制定了相关的要求规范,内容包括政务终端安全核心配置目录、政务终端安全配置格式规范和政务终端安全配置实施指南。在上述每一大类的基础上,可按照标准所涉及的主要内容再进行细分。政务终端安全核心配置标准框架如图1所示。三、标准c内容根据上述政务终端核心安全配置框架中所涉及的各个标准,以下分别对其主要内容进行介绍。(一)制定统一的安全策略针对目前流行的Windows操作系统所面临的安全现状,对影响政务终端安全的主要配置对象制定统一的安全策略,提高终端的整体安全性能,从而减少整个政务网络的安全隐患。根据安全配置对象的不同,政务终端安全核心配置规范将终端安全核心配置分为以下三类:账户管理配置此类安全配置用于保护用户的登录信息,增加账户信息被窃取的复杂度。配置的安全策略主要包括账户策略和密码策略。联合系统降低风险的方法,提高风险此类配置有利于加固操作系统自身的安全性,降低由于权限、漏洞、监控等问题带来的风险。配置内容主要包括审核策略、安全选项、用户权限分配、事件日志。危害情况的控制终端组件主要加强用户安装的软硬件管理,对可能造成危害的情况实施控制或者限制使用范围。主要包括IE管理、附件管理、电源管理、显示管理、聊天工具、会话、终端服务、网络会议、远程协助、网络通信等配置内容。(二)安全核心配置目录参照CCE(CommonConfigurationEnumeration)格式,列出《政务终端安全核心配置目录》。此目录将与《政务终端安全核心配置规范》保持一致。内容包括编号、策略配置名称、配置值和功能描述。其中,编号由5位组成,最高位代表策略类别,包括账户管理、终端组件和系统安全;千位和百位用来表示每一大类中的小类;十位和个位用来编号小类中的每条策略。表1是《政务终端安全核心配置目录》的一个例子。(三)检查和检查配置的版本信息《政务终端安全核心配置描述格式规范》用来规定描述安全配置的格式,以XML语言的树形结构来描述数据,主要由四部分内容组成:Versioncontrol、Settinggroup、Check和Document。VersionControl描述了安全配置的版本信息,比如PublisherID、Revisionnumber等。Settinggroup主要对基线所有的配置进行分组,Setting的具体信息同时也列在此部分。Setting部分主要包括Content、DiscoveryInfo、Policy、ADMLDefinition、SupportOn、ExportInfo等信息。Check定义了检查哪个配置值以及它的标准值,包括三个元素:SettingRef、ExistentialRule和ValidationRules。其中,SettingRef说明对哪个Setting进行检查,ExistentialRule说明如何检查这个Setting的存在,ValidationRules说明如何检查这个Setting的期望值。Document定义了配置的相关解释。(四)操作系统安全基线根据网络和信息系统等级保护的要求,《政务终端操作系统安全基线》规定政务终端操作系统至少要达到的安全配置,从而保证政务终端既安全又具备较好使用性能。《政务终端操作系统安全基线》研制内容主要包括:WindowsXP安全基线、Vista安全基线和Windows7安全基线。政务终端操作系统安全基线分类结构如图2所示。操作系统安全基线分为五个级别:用户自主保护级、系统审计保护级、安全标记保护级、机构化保护级、访问验证保护级。在每一个等保级别中,根据终端设备的不同,本标准将操作系统安全基线分为台式机和笔记本两类。具体内容如下:(1)台式机安全基线主要内容包括Windows防火墙、系统配置、Windows组件、本地策略、安全特性;(2)笔记本安全基线主要内容包括Windows防火墙、系统配置、Windows组件、远程桌面会话和安全特性配置。根据终端使用方式的不同,操作系统安全基线又可分为域环境和用户环境两类。具体内容如下:(1)域环境安全基线主要内容有账户策略和安全选项;(2)用户环境安全基线主要内容有Windows组件、IE配置、管理员模式、Internet控制面板和安全页。(五)主要用户安全管理《政务终端浏览器软件安全基线》规定在政务终端上使用的上网浏览器至少要达到的安全配置。主要配置内容包括:浏览器权限管理、浏览历史记录管理、互联网控制面板管理、高级页管理、安全页中的互联网域和限制站点域管理以及安全属性管理等。涉及的主要浏览器包括:IE、Firefox、世界之窗、QQ浏览器等。(六)保证基本的安全性为了减少政务终端办公软件使用时给终端带来的风险,《政务终端办公软件安全基线》规定了常用办公软件的安全配置要求,保证其基本的安全性。政务终端办公软件安全基线主要涉及MicrosoftOffice和WPS系列办公软件。《政务终端办公软件安全基线》对Word、Access、Excel、PowerPoint等办公软件的文件加密处理、打开或存储文件格式管理、信任模式控制管理、超级链接管理、不可信文件处理、升级管理和宏控制等方面进行配置限定。(七)政务终端电话系统安全保障《政务终端邮件系统软件安全基线》规定了邮件系统安全配置的最低要求,从而降低了邮件系统对政务终端所造成的安全风险。《政务终端邮件系统软件安全基线》规范的内容包括:附件管理、自动下载附件管理、可信邮件的自动查收管理、设定信任等级、密码的管理、邮件许可权的变更、可下载附件安全管理、邮件内容连接控制、邮件加密、对Internet或Intranet图片下载管理、默认设置失败后的安全设置、上载附件的限制管理、宏的安全设置、S/MIME的URL认证,等等。(八)软件安全配置为了加强终端常用软件的安全管理,减少终端的安全威胁,《政务终端常用软件安全基线》规定了通信软件、下载软件、应用软件的安全配置。通信软件包括MSN、QQ;下载软件包括BT、Flashget、迅雷;应用软件包括:Mediaplayer、Moviemaker。配置有以下几个方面:使用权限管理、开机自动启动管理、流量控制、更新管理、自动下载管理等。(九)政务终端等级保护要求依据《GB17859-1999计算机信息系统安全保护等级划分准则》和《GA/T709-2007信息系统安全等级保护基本模型》,针对五种安全保护等级,《政务终端等级保护安全配置要求》从物理安全、系统安全、网络安全和应用安全四个层面对政务终端安全核心配置提出等级保护要求。(十)安全目标配置《政务终端安全核心配置实施指南》从标准的研制、验证、管理、分发、部署、检测六个方面,系统地描述政务终端安全核心配置标准的实施过程(参见图3)。实施指南将规范标准的实施过程,提高标准的可用性和适用性。四、部署安全配置研发过程政务终端安全核心配置规范验证实施环境主要由政务终端模拟应用环境和标准配套实施工具及验证工具组成,可支持标准研制,可验证由各版本操作系统、不同系统组件以及各种常用应用软件及其构成的终端应用场景下的标准应用效果。整个验证过程可实现安全核心配置的统一制定、自动部署、测试和报告。标准验证环境逻辑部署结构如图4所示。标准验证环境主要划分为两个区:标准研究区和标准验证测试区。其中,研究区主要供研究人员和测试人员开展终端安全核心配置的研究、测试工作。该区的工作机上部署安全配置编辑工具、安全配置兼容性测试工具以及安全配置效果检查工具等。标准验证测试区主要供测试人员和管理人员开展标准有效性、可用性和适用性验证等安全性能测试。该区部署验证服务器,安全配置数据库服务器,模拟网络攻击主机,一批测试终端以及必需的网络设备及安全设备,如路由器、防火墙等:(1)验证服务器上部署安全配置部署工具(服务器端)、安全配置部署状态报告工具(服务器端)和安全基线符合性测试工具,可部署终端安全核心配置,可查看终端部署情况和安全配置执行情况,以验证标准的可行性。(2)安全配置数据库服务器负责存储所有终端安全配置状态数据、安全核心配置数据、以及安全基线数据等,以供验证服务器查询调用,数据库按照《政务终端安全配置目录》标准构建;(3)模拟攻击服务器上主要部署安全配置效果检查工具,如扫描工具、渗透测试工具、远程连接工具等主要验证安全配置的有效性;(4)测试终端上主要部署安全配置部署工具(客户端)、安全配置部署状态报告工具(客户端)、安全基线符合性测试工具(客户端)、终端适用性评估工具、安全配置兼容性测试工具和安全配置效果检查手工工具等;并分别部署WindowsXP、Vista、Windows7等操作系统,以及主流办公软件、浏览器软件、邮件系统、常见软件及业务应用软件等。支持标准应用效果验证、终端适用性测试评估、以及终端安全性测试验证。五、下一步工作重点目前,政务终端安全核心配置(CGDCC)标准立项和相关工具的开发等工作已经基本完成,并进入了标准验证部署阶段,这为以后的应用和改