国家标准《信息安全技术 政务计算机终端核心配置规范》编制说明

国家标准报批材料一、工作简况1.1任务来源根据2022年网络安全国家标准立项工作部署安排，神州网信技术有限公司完成了项目申报、秘书处初审、工作组研讨等环节。按照《全国信息安全标准化技术委员会标准制修订工作程序》向秘书处提交标准文本、实施应用方案及其他阶段性研究成果。经全国信息安全标准化技术委员会审议，由神州网信技术有限公司负责承办，计划号：20230238-T-469。该标准由全国信息安全标准化技术委员会归口管理。1.2制定背景桌面计算机核心配置最早由美国联邦政府提出，称为联邦桌面核心配置计划（FDCC）。该计划由美国联邦预算管理办公室（OMB）和美国国家标准与技术研究院（NIST）共同负责实施，旨在提高美国联邦政府所使用的Windows安全性，并使联邦政府桌面计算机的安全管理实现标准化和自动化。2010年起，美国实施了USGCB（U.S.GovernmentConfigurationBaseline）项目，该项目是美国政府配置基线,它基于FDCC，该项目在两方面做了重要改进，1.用户范围从联邦政府扩展到美国政府；2.项目范围由Windowsxp、WindowsVista扩展到当时最新的Windows7操作系统，并增加了红帽系统（RHEL5）、防火墙产品、浏览器产品和虚拟磁盘等内容。经过对美国FDCC和USGCB项目和相关标准的研究，为保障政务终端计算机安全，我国在2012年和2016年先后制定了GB/T30278—2013和GB/T35283—2017标准，随着GB/T30278—2013和GB/T35283—2017标准的相继实施，我国政务部门终端安全有标准可依，政务部门终端安全得到大幅加强。《2002年网络安全研究与发展法案》要求NIST制定并在必要时修订一份清单，列出程序配置和选择项，将每个计算机硬件或软件系统相关的安全风险降至最低。未来可能在联邦政府内部被广泛使用。随着项目的不断发展推进，2015年公开发布了《IT产品国家清单程序》以实现项目最初的目的。在后续的发展中，先后制定了NISTSP800-70（最新版本Rev4）NISTSP800-179（面向AppleOS）。随着NCP（/）的不断完善，USGCB项目也被包含在NCP项目中，截止2022年12月9日，配置列表库已收录600款软件配置清单，门类涵盖底层虚拟化软件、桌面操作系统、移动操作系统、IOT设备系统、BIOS、办公软件、浏览器、即时通信软件、图形图像处理软件、安全软件、数据库、容器系统等。随着时代的发展，产品不断更新迭代、新技术被应用到产品中；参考标准GB/T22239《网络安全等级保护基本要求》的更新；信创产品在国内的快速发展以及新威胁、新挑战的产生，GB/T30278—2013和GB/T35283—2017标准已经无法完全满足客户要求，其中主要问题包括：1.标准依据的GB/T22239—2008被GB/T22239—2019替代且有重大变更；2.实践过程中发现标准中部分要求不清晰、不准确，难以落地；3.GB/T30278—2013标准第7、8章内容只针对Windows7和更早版本的操作系统，不兼容国产操作系统。经过对国际标准的研究、美国NCP项目的深入了解，综合GB/T30278—2013和GB/T35283—2017标准在国内的实施情况以及两项标准的用户反馈情况，由神州网信技术有限公司牵头修订GB/T30278—2013和GB/T35283—2017标准，以解决大规模终端自动化安全配置问题，提升终端安全防护能力。1.3起草过程建立标准修订小组

根据2022年网络安全国家标准立项工作部署安排，该标准修订工作由神州网信技术有限公司牵头，于2022年4月建立修订小组。确定标准修订方向和修订内容框架

标准修订小组在2022年4月至5月讨论确定标准修订方向和修订内容刚要，并形成进一步研究任务列表；形成标准草案

修订小组根据各单位实际项目经验领取修订任务，在2022年5月-7月完成第一批修订任务，经整合、讨论后形成第一版修订草案。草案版本更新

2022年12月7日-9日的信安标委会议周上汇报了草案编制工作情况，听取专家组意见：保持标准“规范”不变，依照《GB/T20001.5—2017标准编写规则第5部分：规范标准》要求修订标准框架和文本内容、增加证实方法。会后编制组整理专家意见，并修订形成了第二版标准草案。草案版本更新

2023年4月26日在WG5标准试点工作方案讨论会议上汇报了V2.0标准修订工作进展，组内专家围绕V2.0标准进行了深入的讨论，提出数条修改建议。会后编制组按照计划完成标准修改，形成标准草案V2.1版本。草案版本更新

2023年5月15日下午，在由全国信息安全标准化技术委员会WG5工作组组织的标准研讨会议上，汇报了V2.1版本标准修订工作进展及专家意见处理情况，组内专家围绕V2.1标准和专家意见汇总表进行了深入的讨论，提出数条修改建议。会后编制组按照计划完成标准修改，形成标准草案V2.2版本并更新了专家意见汇总表。转征求意见稿

2023年5月31日上午，在2023年第一次“标准周”WG5全体工作组会议上，汇报了V2.2版本标准修订工作进展及专家意见处理情况，组内专家围绕V2.2标准进行了深入的讨论，提出数条修改建议。会后经组内投票同意转征求意见稿。编制组按照计划完成标准修改，形成征求意见稿V3.0版本并更新了专家意见汇总表。二、标准编制原则、主要内容及其确定依据2.1标准编制原则按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的要求和规定编写本标准内容。以切实起到规范政务终端计算机配置的目的为前提，根据政务终端实际情况扩充核心配置范围；做好标准编制过程中的调研工作，不和现行标准、在研标准互相覆盖、交叉，保持和上位标准的一致性。修订标准过程中，增加对新技术应用的规范，对成熟国际标准的兼容。2.2主要内容及其确定依据此次修订的主要内容包括：依据客户需求，扩充政务终端计算机核心配置范围，增加对国产操作系统、即时通信软件的要求；参考技术发展增加对新技术的要求：例如生物识别、可信计算、数据安全等；响应“规范”类标准编写要求，根据第6章要求内容对应增加“第7章测试评价方法”；参考GB/T22239—2019《信息安全技术网络安全等级保护基本要求》中8.1.4、8.3.3对于第三级安全计算环境的要求更新原标准中的配置要求；将原标准中“第9章核心配置自动化部署及监测要求”和“第10章实施流程”章节修订后移动到附录中；采用ISO-IEC18180—2013《Informationtechnology—SpecificationfortheExtensibleConfigurationChecklistDescriptionFormat(XCCDF)Version1.2》规范格式替代30278标准中第7、8章配置文件的格式规范，并在附录中增加要求；根据标准修订情况将35283合并修订到30278标准中。2.3修订前后技术内容的对比根据现行标准GB/T22239—2019更新原标准中参考的被替代标准GB/T22239—2008中的章节内容（第5章、第6章）；核心配置范围增加国产操作系统，增加即时通信软件；采用国际标准ISO-IEC18180—2013规范基线包配置格式，兼容多系统基线配置格式。三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效益和生态效益3.1试验验证的分析、综述报告GB/T30278—2013和GB/T35283—2017实施期间，两项标准为修订小组成员单位产品的生产、部署、服务提供参考和指导，在各成员单位中形成了更详细、落地的安全配置列表，并以预配置、部署后配置、配置项检查、配置项安全修复等形式服务客户，落实了标准的实施工作。GB/T30278和GB/T35283标准拟修订的牵头单位长期致力于Windows10神州网信政府版操作系统生产研究、落实安全配置工作，参照标准要求，细化标准安全配置项，记录对比安全配置项的落地情况和标准待优化项。北信源、华为、360、瑞星、绿盟、深信服等主流终端安全产品厂商依据本标准开发终端安全配置策略管理模块，广泛应用于政务内网和外网的终端安全防护和管理。3.2技术经济论证标准桌面配置（SDC）起源于2003年美国空军，现已经过多轮技术和规范的迭代，形成了体系完整、标准完备、技术可靠的实践案例。30278标准对标后续FDCC相关标准，对30278的修订有参考意义。美国标准桌面配置实施以来，美国空军节省2亿多美元，精简8000名信息技术人员，呼叫服务次数减少40%，补丁安装周期从57天下降到3天，美预期节约能约价值1500万美元。3.3预期的经济效益、社会效益和生态效益该标准的修订将从以下几个方面体现经济效益和社会效益：简化部署、简化网络管理和工具的复杂性；增强安全性，降低因木桶短板效应导致的安全事故数量；降低运维成本，精简技术支持人员、缩短系统、程序更新时间。四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、样机的有关数据对比情况无五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外标准，并说明未采用国际标准的原因本标使用ISO-IEC18180—2013《Informationtechnology—SpecificationfortheExtensibleConfigurationChecklistDescriptionFormat(XCCDF)Version1.2》作为配置基线包格式要求，增加多系统基线配置格式的兼容性。六、与有关法律、行政法规及相关标准的关系本标准与现行法律、法规以及国家标准不存在冲突与矛盾。本标准参考GB/T22239—2019《信息安全技术网络安全等级保护基本要求》中8.1.4、8.3.3、8.4.3对于第三级安全计算环境的要求落实对政务计算机终端的配置要求。本标准参考ISO-IEC18180—2013《Informationtechnology—SpecificationfortheExtensibleConf