《信息安全技术 政务计算机终端核心配置规范》编制说明

1任务来源

《信息安全技术政务计算机终端核心配置规范》是全国信息安全标准技术委员会2010

年度国家标准制修订项目之一。该标准由中国信息协会信息安全专业委员会牵头研制，合作

单位包括：中国信息安全测评中心、中国信息安全认证中心、国家税务总局电子税务管理中

心、三零卫士公司和北京北信源软件股份有限公司。

2研究目标

在分析我国电子政务网络环境安全状况的基础上，结合我国信息安全等级保护技术标准

成果，借鉴美国联邦政府实施的FDCC（联邦桌面核心配置），研究制定符合我国国情的国家

推荐性标准《政务计算机终端核心配置规范》，实现我国政务计算机终端安全配置管理的标

准化和自动化，切实落实等级保护对于主机安全的相关要求，为加强终端安全保障及监督检

查提供标准支撑。

3国内外现状

随着各国信息化建设进程的加快，政务部门对信息系统的依赖性越来越强，计算机终端

作为电子政务的最基本单元，承载着信息加工、处理、存储和传输等重要任务，其安全性受

到了广泛的重视。但是，由于政务终端量大面广，并且缺少统一的安全防范策略和安全护理

措施，使得计算机终端的可控性变得越来越低。抓紧制订政务部门的计算机终端安全配置规

范，加快对办公用计算机安全配置实施，已成为加强政务部门信息化安全的一种趋势。

美国联邦政府2007年提出联邦桌面核心配置计划（FDCC）以提高美国联邦政府所使用

的Windows操作系统安全性，并使联邦政府桌面计算机的安全管理实现标准化和自动化。

该计划由美国联邦预算管理办公室（OMB）和美国国家标准与技术研究院（NIST）共同负责

实施，国防部、国土安全部、国家安全局等参与制定。FDCC作为联邦政府所有桌面计算机

的安全配置标准，已经成为美国国家网络安全综合计划（CNCI）的重要组成部分。美国联邦

政府强制规定所有使用Windows的计算机必须符合FDCC的配置要求。

澳大利亚国防信息情报局（DSD）经过各政府部门的漏洞风险评估和渗透测试，根据多

年信息网络安全工作的经验总结，借鉴多起严重安全事件的处理方法，于2010年2月，首

次公开发布了35条安全防御策略列。其中前4项控制措施是所有内阁机构必须实施的，包

括：为应用程序打补丁并进行安全配置，为操作系统打补丁并进行安全配置，限制本地及域

管理员权限，以及建立应用软件白名单。虽然这些控制措施不能完全防御所有的攻击事件，

但是对于防御80%以上的中低复杂度的网络攻击行为极为有效，以极低的成本取得了极大的

安全保障效果。

近年来，我国逐步认识到终端安全配置管理对于加强计算机终端安全保障工作的重要作

用，开始重视终端安全防护和管理工作。国家信息中心是国内最早开展终端安全配置研究的

单位之一，并率先在国内提出政务终端安全核心配置标准体系框架，在终端安全核心配置标

准研究、技术实施和试点应用等方面均取得了显著的成果。2010年国家信息负责牵头研制

国家标准《政务计算机终端核心配置规范》。同年，“政务终端安全核心配置标准研制及其验

证、应用平台建设”项目列入国家高技术发展项目计划。

4主要工作过程

2011年2月，《政务计算机终端核心配置规范》国家标准编制任务正式下达，我单位在

原标准草案V1.0的基础上，进一步研究桌面终端安全核心配置方法。对美国FDCC、USGCB

以及微软安全基线的内容和实施机制进行了跟踪研究。重点参照GB/T22239-2008对于主机

安全的要求，提出了Windows桌面操作系统的详细安全核心配置要求，完成了《政务计算

机终端核心配置规范》（草案）V2.0版本。

2011年8月15日，我单位组织召开“《政务计算机终端核心配置规范》标准启动会”。

由中国信息协会信息安全专业委员会牵头，中国信息安全测评中心、中国信息安全认证中心、

国家税务总局电子税务管理中心、三零卫士公司、北京北信源软件股份有限公司等单位的专

家组成了国标研制工作组。启动会上专家对《政务计算机终端核心配置规范》（草案）V2.0

版本进行了充分讨论，会后形成了《政务计算机终端核心配置规范》（草案）V2.1版本。

2011年8月17日，由全国信息安全标准技术委员会组织召开了“《政务计算机终端核

心配置规范》中期检查会”。检查会上专家组对《政务计算机终端核心配置规范》（草案）

V2.1版本中的“安全核心配置”等概念进行讨论，提出了标准要有动态性发展的要求。同

时，专家组建议从“什么是配置”、“为什么做配置”、“怎样做配置”三个方面进行修改。会

后，国标研制工作组经过十余次内部讨论和修改，明确了安全配置的基本要求、安全配置清

单、安全配置基线包、应用支撑技术要求和实施流程的五部分内容，形成了《政务计算机终

端核心配置规范》（草案）v3.0版本。

2012年3月27日，全国信息安全标准技术委员会组织召开了“《政务计算机终端核心

配置规范》标准协调会”。会上，我单位与北京信息安全测评中心分别介绍了安全配置工作

成果，同时更加明确了核心配置与软硬件配备的关系。

2012年5月25日，我单位组织召开了“《政务计算机终端核心配置规范》专家咨询会”。

会上，专家组对《政务计算机终端核心配置规范》（草案）v3.0版本进行了讨论，提出需进

一步明晰核心配置的概念，范围，以及标准内容结构。会后编制组进行认真修改，完成了《政

务计算机终端核心配置规范》（草案）v4.0版本。

2012年7月11日，我单位组织召开了“《政务计算机终端核心配置规范》（草案）专家

审查会”。会上，专家组听取了编制组关于标准编制过程的汇报，审阅了标准文本，肯定了

标准组工作成果，同意该标准草案通过审查。建议编制组根据本次审查会专家意见进行修改

后提交WG5工作组成员单位进行表决，形成征求意见稿。会后，编制组根据专家意见进一

步完善了标准草案，形成了《政务计算机终端核心配置规范》（草案）V5.0版本。

2012年8月，全国信息安全标准化技术委员会WG5工作组成员单位对《政务计算机终

端核心配置规范》（征求意见稿）V5.0投票表决。其中，中国信息安全认证中心、公安部第

三研究所、中科网威、解放军测评认证委和浙江维尔五家单位赞成通过，江南天安、上海三

零两家单位赞成通过但需修改，并在核心配置范围、安全配置要求依据及文本格式等方面提

出修改意见。编制组收到反馈意见后，经过反复讨论，采纳了部分修改意见，完成了《政务

计算机终端核心配置规范》（征求意见稿）V5.1版本。

5标准主要内容

本标准提出了政务计算机终端核心配置的基本概念和要求，规定了核心配置的自动化实

现方法，包括核心配置清单、核心配置基线包格式和自动化部署及监测技术要求，并规范了

核心配置实施流程。

本标准适用于规范政务部门开展的计算机终端核心配置工作。

本标准的主要框架如下：

1范围

2规范性引用文件

3术语和定义

4缩略语

5文本结构

6概述

6.1核心配置对象

6.2核心配置范围

6.3核心配置项基本类型

6.4核心配置项赋值方法

6.5核心配置对安全的作用

6.6核心配置自动化实施框架

7核心配置基本要求

7.1操作系统核心配置要求

7.2办公软件核心配置要求

7.3浏览器核心配置要求

7.4邮件系统核心配置要求

7.5BIOS系统核心配置要求

8核心配置清单

8.1概要

8.2配置项属性

9核心配置基线包

9.2主标记

9.3格式版本标记

9.4基线标记

9.5产品标记

10核心配置自动化部署及监测技术要求

10.1自动化部署及监测平台基本架构

10.2配置编辑模块

10.3配置验证模块

10.4配置部署模块

10.5状态监测模块

11管理实施流程

11.1实施流程框架

11.2实施准备

11.3基线制定

11.4测试验证

11.5配置部署

11.6配置检查

11.7例外处理

附录A（资料性附录）身份鉴别配置要求示例

附录B（资料性附录）核心配置清单

6关键技术说明

6.1核心配置基本概念

核心配置是指对计算机操作系统、办公软件、浏览器和BIOS系统等基础软件中影响计

算机安全的关键参数可选项进行设置的过程。主要限制或禁止存在安全隐患或漏洞的功能，

启用或加强安全保护功能，来增强计算机抵抗安全风险的能力。

6.2核心配置技术实现要素

核心配置自动化实施包括以下四个要素：

1）核心配置基本要求

根据计算机终端所属系统或环境的安全需求及安全级别，确定核心配置具体要求。以

GB/T22239-20087.1.3-7.14对于第三级主机安全和应用安全要求为例，针对国内外主流操作

系统、办公软件、浏览器软件、邮件系统软件和BIOS系统等基础软件，在身份鉴别、访问

控制、信息保护、安全审计等方面提出核心配置基本要求。

2）核心配置清单

编制核心配置清单，采用清单方式描述核心配置要求，包括配置项标识、配置项名称、

配置项组别、安全级别、取值范围、配置项基值、赋值路径和检查规则等。

3）核心配置基线包

生成核心配置基线包，将配置清单转化成为一种符合特定规则的数据文件，以供自动化

部署工具实施。核心配置基线包是一种嵌套式结构的数据文件，采用XML格式对核心配置基

线中各配置项的属性进行规范性标记，以实现核心配置部署及监测的自动化。核心配置基线

包由格式版本标记、基线标记和产品标记三部分组成。其中，基线标记包括基线版本标记、

配置组标记、配置项标记和检查标记。

4）自动化部署及监测技术平台

对于有一定规模的政务终端核心配置应用，需要配备自动化部署及监测平台，进行核心

配置编辑、验证、部署和监测，实现核心配置项的批量自动赋值和合规性实时检测。自动化

部署及监测平台由四个基本功能模块构成，分别是配置编辑模块、配置验证模块、配置部署

模块和配置监测模块。其中，配置编辑模块主要用于将核心配置清单自动转换生成核心配置

基线包，配置验证模块用于对核心配置基线包进行验证和测试，生成可部署的配置基线包；

配置部署模块用于对核心配置基线包进行自动化部署；配置监测模块用于对核心配置进行自

动和规性监测。

6.3核心配置实施流程

政务计算机终端核心配置实施流程主要包括实施准备、基线制定、测试验证、配置部署、

配置检查和例外处理等六个阶段。

1)实施准备重点从技术和管理两个方面做好实施前准备，主要步骤包括：需求分析和

调研；制定总体实施方案；建立组织管理架构，制定相关管理制度提供组织保障。

2)基线制定主要根据政务部门确定的核心配置基本要求，制定核心配置清单，并利用

核心配置自动化部署及监测平台生成核心配置基线包。

3)测试验证主要目标是验证测试核心配置基线包的有效性、适用性和兼容性，尽量避

免首次部署核心配置基线所可能引发的新的安全风险。

4)配置部署主要完成核心配置基线包的分发和本地执行过程。可采用自动部署方式和

手动部署方式。

5)核心配置部署完成后定期进行配置状态检查是保证终端始终处于安全状态的重要

手段。配置检查的工作重点是进行核心配置合规性检查，并及时纠正存在偏差的配

置