资源描述
单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,INFORMATION SECURITY RESEARCH &,SERVICE INSTITUTION OF,STATE INFORMATION CERTER,信息安全研究与服务中心,SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC,FDCC简介,联邦桌面核心配置计划(Federal Desktop Core Configuration)由美国联邦政府提出,称为FDCC。,该计划由美国联邦政府预算管理办公室(OMB)和美国国家标准与技术研究院(NIST)共同负责实施,旨在,提高美国联邦政府所使用的Windows的安全性,并使联邦政府的桌面计算机的安全管理实现标准化和自动化,。,美国国土安全部、美国空军、美国国家安全局、美国国防情报系统机构等参与制定,是美国国家网络安全综合计划(CNCI)的一部分。,FDCC强制规定,联邦政府使用的所有Windows计算机必须符合一定的标准化配置要求(对windows XP、Vista、IE和Office作出了具体规定),原因是为了减少黑客访问和利用政府电脑的机会。,基于SCAP标准进行自动化检查与评估。,FDCC的起源,最早起源于美国空军实施的标准桌面配置(SDC)。美国空军在435,000个终端上配置SDC,并进行了10个月的试验性测试,两年内全面投入使用。,标准桌面配置(SDC)中采用的安全配置主要基于微软发布的操作系统安全指南。,FDCC实施效果,实施FDCC以来,美国空军节省了1亿多美元,精简了8000多名信息技术人员,呼叫服务的次数减少了40%,补丁安装的时间从57天下降到3天,每年预期节约能源1500万美元,加强了基础结构优化,FDCC的形成,在美国空军成功部署SDC后,美国行政管理和预算局向所有联邦机构发布了关于采用以下做法的备忘录:,采用,Windows XP,、,Vista,的标准配置,限制用户的登录权限,根据美国空军,SDC,实施,FDCC,中定义的安全标准,实施FDCC的意义,提高一致性,简化部署,简化了网络管理和工具的复杂性,增强安全性,减小了标准用户的管理权限,要求启动防火墙,有效防止用户调节降低系统的安全性,降低运维成本,需要的信息技术支持人员大大减少,系统更新的测试和安装时间大大缩短,FDCC主要内容,FDCC的核心是制定美国联邦政府Windows桌面计算机的安全配置标准,又称为FDCC安全基线。目前美国标准技术研究院已发布基于Windows XP和Vista操作系统的FDCC安全基线。,同时为支持FDCC的规划、测试和部署,微软推出了多个配套实施工具。,一 FDCC安全基线,FDCC安全基线对windows XP、Vista、IE和防火墙的安全配置作了具体规定。,其主要关注四个要点:,一是删除管理员和超级用户权限;,二是启用防火墙;,三是将FDCC设置应用与Windows和IE;,四是随时进行配置管理。,二FDCC安全配置包,为方便FDCC的测试、部署和应用,美国标准技术研究院发布了四种形式的FDCC安全配置包,分别是:,(1)安全配置策略电子表格,该配置包以Excel表格的形式列出了XP和Vista的安全配置策略,主要列出策略路径、策略配置名称、Vista/XP环境下的配置值、注册表设置、配置标识、策略描述等内容。,(2)组策略对象(GPOs),Windows安全策略主要是以组策略形式进行配置和管理,因此美国国家安全标准技术研究院提供了FDCC的组策略对象配置包,以便用户直接用组策略控制台或组策略加速器等工具部署和应用FDCC的安全配置。,(3)虚拟硬盘(VHDs),虚拟硬盘配置包提供了FDCC的虚拟运行环境,用户可以在当前操作系统上直接运行该虚拟环境,以便进行软件兼容性和适用性方面的测试和评估。因此虚拟硬盘可作为FDCC的测试工具。,(4)安全内容自动化协议内容(SCAP Content),FDCC提供了用于自动化配置检查的安全配置包SCAP Content。该配置包采用XML格式,描述了XP、Vista、Windows防火墙和IE7的配置检查项,可以通过实施自动化检查,提供第三方的安全配置合规性评估检查。,安全内容自动化协议(SCAP),三FDCC配套实施工具,微软提供的FDCC配套工具主要用于FDCC的测试、评估和部署。,(1)虚拟机,虚拟机主要用于应用程序兼容性和开发测试。,(2)微软评估和规划工具,微软评估和规划工具(MAP)主要用于评估当前信息技术基础设施情况,从而确定是否可满足需求的系统移植技术方案。,(3)应用程序兼容性测试工具,应用程序兼容性测试工具(ACT)属于生命周期管理工具,通过测试分析兼容性指标数据,合理化虚拟组织应用程序、网站和计算机终端等应用资产,(4)微软布署工具,微软布署工具将桌面和服务器所用布署工具和过程集成为一个通用部署控制台。,(5)组策略部署工具,组策略加速器可以自动生成安全配置部署所需的组策略对象,比托运配置过程节省大量的时间和工作量。,FDCC实施方法,准备,分析安全目标和安全需求,评估安全配置要求及实施FDCC对本机构的影响,检查设备及软件情况,测试应用程序兼容性,确定是制作镜像还是创建GPO,制作,确定操作系统所需的组件/功能,并创建镜像/GPO,向NIST提交与FDCC标准配置之间的偏差及纠正偏差的最终计划,在测试环境中测试和解决由FDCC引起的潜在的系统和应用程序的兼容性问题,验证安全配置的有效性,FDCC实施方法,部署,开发用于生产环境的部署计划,与,IT,用户沟通所产生的计划,具体部署方法:,小型机构一般通过批处理文件结合,.,inf,文件的方法实施,推荐的方法是通过组策略或,MS,提供的企业组策略管理工具部署桌面配置,并通过组策略控制台来管理,GPO,通过制作映像来进行批量部署,FDCC实施方法,检测与评估,FDCC,利用,SCAP,标准框架进行描述,建立了一套针对桌面终端的安全配置检查项,描述了安全配置、安全漏洞等检查内容,可采用经过,SCAP,认证的,FDCC,检查工具自动执行合规性检查,微软安全基线,FDCC是在微软安全基线基础上制定的。,微软安全基线是针对Windows产品的安全指南,属于指导性技术文件,主要指明安全配置可能的值、漏洞及策略等。,微软安全基线由微软独立开发,并通过美国标准技术研究院、国防部等机构的审查和认可。,已发布Windows XP、Vista、Server 2003/2008、Office 2007、Hyper-V、Win7、IE8等产品的安全基线。,微软安全基线资源,由一系列安全配置文档和数据组成。包括安全配置指南、安全配置的Excel列表,组策略(GPOs)、XML数据文件、SCAP数据文件、预期配置管理(DCM)配置包等。,配套实施工具:组策略加速器和基线监控管理工具SCM(达标基线管理员),FDCC对我国提高政务计算机终端安全的启示,CGDCC研究背景,2007年初,国家信息安全中心与微软(中国)签定合作备忘录,开始合作终端安全方面的研究和技术开发。,2009年在全国范围内启动政务终端安全护理计划。,国家信息中心联合中国信息安全测评中心等单位共同推出政务终端安全护理整体解决方案,建设全国性的政务终端安全护理平台,研发政务终端安全护理软件(PCcare),研制我国政务终端安全配置标准,CGDCC研究背景,2008年,在国际可信计算机联盟的支持下,微软支持国家信息安全中心开展FDCC的研究与转化应用,并在终端安全配置基线核心技术方面提供支持。,2009,年,5,月召开,FDCC,培训会。,每月定期召开电话技术会议,提供技术指导,2010,年,3,月,培训和现场指导,2010,年,4,月开始指导标准配套实施工具的开发工作,CGDCC研究目标,分析我国电子政务网络环境安全状况,借鉴FDCC内容,结合我国信息安全等级保护等相关技术标准成果,制定我国政务安全核心配置标准(CGDCC)。,通过全国政务终端安全护理平台,对CGDCC实现统一部署。,争取国标立项,并获得政府支持,推动国家政务终端安全配置管理的标准化和统一化。,CGDCC研究路线,研制政务终端安全核心配置标准,主要包括:,研发CGDCC编辑、部署、检测、报告等配套实施工具,政务终端安全核心配置规范;,政务终端安全核心配置目录;,操作系统、浏览器、办公软件、邮件系统、媒体播放、即时通讯等常用软件安全基线,政务终端安全核心配置描述格式规范;,政务终端安全核心配置实施指南;,开展,CGDCC,的验证、试点及应用推广,CGDCC研究工作进展,建立政务终端安全核心配置标准框架,CGDCC研究工作进展,政务终端操作系统安全基线,政务终端浏览器安全核心配置安全基线,针对IE等常用浏览器,提出如下安全配置要求:,浏览器管理、浏览器记录管理、互联网控制面板管理、高级页管理、安全页中互联网域和限制站点域管理和安全属性管理,政务终端办公软件安全核心配置安全基线,针对Office等常用办公软件,提出如下安全配置要求:,文件类型、文件加密处理、管理员控制模式、宏管理、文件隐藏管理、信息模式控制、自动升级控制、操作与提示管理等。,CGDCC研究工作进展,CGDCC研究工作进展,政务终端安全核心配置实施指南,从标准的研制、验证、管理、分发、部署、检测六方面,系统地描述政务终端安全核心配置标准的实施过程,标准配套实施工具研发进展,已编制成标准配套实施工具,设计报告,终端安全配置编辑工具,终端安全配置部署工具,终端安全基线符合性测试工具,终端安全配置部署状态报告工具,系统软件开发进展,在国家信息安全中心的指导下,北信源公司于2009年6月底,完成PCcare的第一个版本,并通过了公安部测评认证,获得公安部颁发的销售许可证。,目前配合政务终端安全核心配置标准的研制工作进行安全策略配置模块的升级、软件界面的优化和功能的完善。,下一步要实现与标准配套实施工具的集成,全国政务终端安全状况监测,国家信息中心开展(CGDCC)研究情况,2008年国家信息中心信息安全研究院与服务中心与微软(中国)签定的信息安全合作协议(SCP),双方开始在信息安全开展密切合作,其中一项内容就是微软首先支持国家信息安全中心开展FDCC研究与转化应用,并在核心技术和工具方面提供支持。,
展开阅读全文