FDCC及政务端安全核心配置.pptVIP

网络环境需求和配置适应性调研分析。 组建项目组及人员培训。 软件及其相应设备采购。 明确实施目标和界定项目范围。 制定总体计划和阶段性项目计划。 项目风险评估及应对措施制定。 验证测试 搭建测试环境。 功能和兼容性测试。 根据发现问题调整实施方案。 9.4 配置部署 配置基线验证。 配置基线分发。 配置基线部署。 9.5 配置检查 9.6 例外处理 * * * 我们已经尝试了基于C/S B/S模式的服务模式和管理模式。用户规模，服务快捷，集约化，专业化的信息安全服务，把核心配置变成服务资源 保障服务的安全性和可靠性。 * SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 终端安全核心配置研究 国家信息中心 信息安全研究与服务中心北京 2011.1. 什么是终端安全核心配置？ 对操作系统、办公软件、浏览器等常用软件中关键的安全属性进行参数设置，限制或禁止存在安全隐患或漏洞的功能，启用或加强安全保护功能，增强终端抵抗安全风险的能力 * 禁止 高危服务和端口 非法程序脚本执行 未授权程序驱动安装 限制 用户权限 程序内存配额 远程进程调用(RPC) 加强 密码管理 身份认证 系统审核 启用 数字签名 进程保护 终端安全配置 终端安全配置 终端软件环境 安全配置 终端硬件环境 安全配置 终端安全核心配置 外部设备安全配置 网络端口安全配置 存储设备安全配置 不可安装软件列表 可安装软件列表 应安装软件列表 其他常用软件安全配置 办公软件安全配置 操作系统安全配置 起 源 最早起源于2003年美国空军实施的标准桌面配置（SDC）。美国空军在435,000个终端上部署SDC，并进行了10个月的试验性测试，两年内全面投入使用。 标准桌面配置（SDC）中采用的安全配置主要基于微软发布的操作系统安全指南。 2007年在SDC基础上，美国联邦政府提出联邦桌面核心配置计划（ Federal Desktop Core Configuration ），称为 FDCC。 该计划由美国联邦预算管理办公室（OMB）和美国国家标准与技术研究院（NIST）共同负责实施，旨在提高美国联邦政府所使用的Windows安全性，并使联邦政府桌面计算机的安全管理实现标准化和自动化。 * GAO的审计报告－FDCC实施步骤 2010年3月，GAO发布审计报告《政府机构必须实施桌面核心配置》 为了实施FDCC，OMB要求各个联邦机构采取如下步骤： 制定FDCC实施计划，并提交OMB； 2008年3月前，在所有终端上完成全部安全配置； 记录实际配置与标准配置之间的偏差，并需通过授权机构的认可； 使用经NIST认证的工具来监测安全配置达标情况； 保证未来采购的信息技术产品符合安全配置要求； 向NIST提交配置状态报告。 GAO的审计报告－FDCC实施情况 2008年12月至2010年3月， GAO对24个主要联邦机构执行FDCC的情况进行了审计 各机构已经按照要求开始行动，但还没有一个机构全部完成安全配置 79％的机构向OMB提交了FDCC部署计划 96％的机构制定了存在偏差的配置（OMB允许在一定范围内与FDCC存在偏差）；46％的政府机构完成了有偏差的安全配置 2008年3月31日前，88％的机构向NIST提交了FDCC合规性检测报告，其中57％的机构达标 一 FDCC安全基线 FDCC安全基线对Windows XP、Vista、IE及Windows防火墙的安全配置做出具体规定。 其主要关注四个要点： 一是删除管理员和超级用户权限； 二是启用防火墙； 三是将FDCC设置应用于Windows和IE； 四是随时进行配置管理。 * 二 FDCC安