国家标准《信息安全技术 计算机终端核心配置基线结构规范》（征求意见稿）编制说明

PAGE3PAGE任务来源经国标委批准，全国信息安全标准化技术委员会（SAC/TC260）主任办公会讨论通过，由中国信息协会信息安全专业委员会牵头，中国信息安全测评中心、中国科学院大学、公安部科信局信息中心、民航局信息中心、北信源公司、华为技术有限公司和杭州盈高科技有限公司等单位参与，编制国家标准《信息安全技术计算机终端核心配置基线结构规范》，项目编号20141140-T-469。任务背景随着政府信息化进程的加速，电子政务网络环境日益复杂，计算机终端已成为政府信息安全保障工作的薄弱环节。国务院办公厅《关于加强政府信息系统安全和保密管理工作的通知》（国办发[2008]17号文）要求实行计算机配置管理和安全审计，抓紧制订行政机关办公用计算机配置指南；工信部《关于印发<信息安全产业“十二五”发展规划>的通知》（工信部（2011）554号）要求大力发展终端安全管理和配置技术，在信息安全支撑工具方面重点发展安全配置核查类工具等，无不说明如何强化计算机终端的安全配置，并实现集中自动化配置管理，已成为政府部门的高度关注的重点。美国联邦政府2007年提出联邦桌面核心配置计划（FDCC）以提高美国联邦政府所使用的Windows操作系统安全性，并使联邦政府桌面计算机的安全管理实现标准化和自动化。该计划由美国联邦预算管理办公室（OMB）和美国国家标准与技术研究院（NIST）共同负责实施，国防部、国土安全部、国家安全局等参与制定。该计划中高效、快捷、低成本的配置管理模式主要归因于美国国家标准与技术研究院（NIST）发布的安全内容自动化协议标准（SCAP）。SCAP从配置内容的定义、部署、检测和评估等方面，系统的制订了一整套支持安全配置的标准体系，为我国开展终端安全配置工作提供了宝贵的经验和参考依据。国家信息中心是国内最早开展终端安全配置研究的单位之一，在分析我国当前电子政务网络环境安全状况的基础上，借鉴美国联邦政府实施的联邦桌面核心配置（FDCC）计划，结合我国信息安全等级保护技术标准成果，率先在国内研制国家标准《政务计算机终端核心配置规范》，并于2014年正式颁布实施。2013年，圆满完成国家高技术发展项目“政务终端安全核心配置标准研制及其验证、应用平台建设”，在终端安全核心配置标准体系框架研究、技术实施和试点应用等方面均取得了显著的成果。编制原则编制标准遵循以下原则：一致性：在编制中努力做到遵循已颁布的国家标准，与国家标准所规定的内容相一致。明确性：按照数据文件的嵌套式结构，逐一明确基线各要素和属性，使标准做到可依据和可落地。通畅性：文字符合中文的语言习惯，做到表述通畅。主要工作过程1、2013年10月，《计算机终端核心配置基线结构规范》国家标准编制任务正式下达，我单位在原标准草案V1.0的基础上，根据主流操作系统升级情况，安全配置基线格式中兼容了PowerShell技术，并扩充了策略属性重要级别和可选级别。同时，为了增加基线格式的普适性和灵活性，引入了脚本策略类型和自定义产品基线类型，完成了《计算机终端核心配置基线结构规范》（草案）V2.0版本。2、2014年8月7日，我单位组织召开《计算机终端核心配置基线结构规范》标准启动会，会议由中国信息协会信息安全专业委员会召集，中国信息安全测评中心、民航局信息中心、中国科学院大学、华为技术有限公司、北京北信源软件股份有限公司等合作单位的专家参与组成了国标研制工作组。启动会上专家对《计算机终端核心配置结构规范》（草案）V2.0版本进行了充分讨论，对明晰基线结构、理顺描述顺序等方面提出了建议。会后工作组认真修改，形成了《计算机终端核心配置结构规范》（草案）V3.0版本。3、2015年1月8日，我单位组织召开了“《计算机终端核心配置基线结构规范》专家咨询会”。会上，专家组对《计算机终端核心配置基线结构规范》（草案）v3.0版本进行了讨论，提出需进一步明晰核心配置的概念，流程，以及标准内容结构。会后编制组进行认真修改，完成了《计算机终端核心配置基线结构规范》（草案）v4.0版本。4、2015年3月27日，我单位组织召开了“《计算机终端核心配置基线结构规范》专家审查会”。会上，专家组对《计算机终端核心配置基线结构规范》（草案）v4.0版本进行了充分讨论，提出增加引言，修改文本格式，调整正文结构等建议。会后编制组进行认真修改，完成了《计算机终端核心配置基线结构规范》（草案）v5.0。5、2015年8月，全国信息安全标准化技术委员会WG5工作组成员单位对《计算机终端核心配置基线结构规范》（征求意见稿）v1.0投票表决。编制组收到反馈意见后，经过反复讨论，采纳了全部修改意见，完成了《计算机终端核心配置基线结构规范》（征求意见稿）V1.0版本。主要内容本标准规定了计算机终端核心配置基线的基本概念、分类和应用流程，规范了基于XML的核心配置基线标记规则。本标准适用于机构开展的大规模计算机终端自动化核心配置管理工作，可用于指导计算机终端核心配置基线自动化工具的设计、开发和应用。本标准的主要框架如下：1范围2规范性引用文件 3术语和定义 3.1核心配置项（配置项）coreconfigurationitem 3.2核心配置coreconfiguration 3.3核心配置基线coreconfigurationbaseline 3.4核心配置基线包coreconfigurationbaselinepackage 3.5元素element 3.6属性attribute 4缩略语 5核心配置基线概述 6基于XML的核心配置基线标记规则 6.1核心配置基线结构 6.2第一层元素标记 6.3第二层元素标记 6.4第三层元素标记 6.5第四层元素标记 6.6第五层元素标记 6.7第六层元素标记 6.7第七层元素标记 附录A（规范性附录）核心配置基线的格式定义 主要试验（或验证）的分析、综述报告，技术经济论证，预期的经济效果该标准用于指导组织开发核心配置基线，解决非域环境下大规模计算机终端的自动化配置管理问题。同时，为第三方机构对核心配置基线的验证评估提供依据。按照标准生成的配置基线实用性强，切合市场需求，原本很多需要手工处理的工作通过标准化基线工具自动完成，管理人员可在远程部署安全策略，实时监测和解决终端安全问题，从而极大地降低信息安全运维和管理成本，并可获得一定的经济利益。采用国际标准和国外先进标准的程度，以及与国际、国外同类标准水平的对比情况，或与测试的国外样品、样机的有关数据对比情况SCAP（安全内容自动化协议）标准是美国当前比较成熟的一套信息安全评估标准体系，可实现域环境下的基线自动化配置,但这种方法不适用于非域管理模式，而且不支持安全配置符合性检查。本标准可基于客户端代理的核心配置方法，可实现非域环境自动化部署，在国内的普适性更强。与有关的现行法律、法规和强制性国家标准的关系该标准符合我国现行的法律、法规和强制性国家标准。另外，该标准与现有推荐性国家标准《GB/T30278-2013政务计算机终端核心配置规范》相关概念及方法具有一致性。重大分歧意见的处理经过和依据尚无。国家标准作为强制性国家标准或推荐性国家标准的建议建议该标准作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）该标准的宣贯和应用应配合已颁布的国家标准《政务计算机终端核心配置规范》集成实施，在宣贯核心配置及相关概念的基础上，指导科研机构或公司按照标准内容开发核心配置基线数据文件，以满足单位信息安全要求。同时，应由第三方开展合规性测试，通过后可部署