终端安全配置管理系统技术白皮书幻灯片.pdfVIP

终端安全配置管理系统 技术白皮书 国家信息中心 0 终端安全配置管理系统技术白皮书 目 录 第一章 终端安全配置管理系统简介 1 1.1 为什么要做终端安全配置 1 1.2 机构如何实现机构高效的终端安全配置管理 2 1.3 终端安全配置管理系统技术优势3 第二章 终端安全配置管理系统逻辑结构5 第三章 终端安全配置管理系统功能7 第四章 终端安全配置基线介绍9 4.1 基线概述9 4.2 终端硬件安全配置9 4.3 终端软件安全配置 10 4.4 终端核心安全配置 11 第五章 系统应用方案 14 5.1 应用架构 14 5.2 实施流程 16 5.3 运行环境要求 16 第六章 技术支持服务 18 附录一 WINDOW7 操作系统安全配置清单（示例） 19 附录二 国家信息中心简介 24 i 终端安全配置管理系统技术白皮书 第一章 终端安全配置管理系统简介 1.1 为什么要做终端安全配置 在构成信息系统的网络、服务器和终端三要素中，对终端的攻击和利用终端实施的 窃密事件急剧增多，终端安全问题日益突显。攻击和窃密是终端安全的外部原因，计算 机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。外因通过内因起作用， 内因是决定因素。据调查，针对系统核心的攻击中，5%是零日攻击，30%是没有打补丁， 65%是由于错误的配置。因此正确的安全配置才是保障终端安全性的必要条件。 计算机终端核心配置最早由美国联邦政府提出，称为联邦桌面核心配置计划 （FDCC ）。该计划由美国联邦预算管理办公室（OMB ）负责推动，旨在提高美国联邦 政府计算机终端的安全性，并实现计算机管理的统一化和标准化。美国空军最先实施桌 面标准配置并取得了良好的应用效果。2007 年，美国联邦政府强制规定所有使用 Windows 的计算机必须符合FDCC 的配置要求。 近年来，我国逐步认识到终端安全配置管理对于加强计算机终端安全保障工作的重 要作用，对美国联邦政府实施的桌面核心配置进行了跟踪研究，并开展了我国终端安全 配置标准的研制工作。多家科研院所和安全厂商参与了相关研究工作，其中，国家信息 中心是国内最早开展终端安全配置研究的单位之一，目前已编制完成政务终端安全核心 配置标准草案，并开发出一整套标准应用支撑工具—终端安全配置管理系统。该系统在 各地方的试点应用取得了明显的成效。 终端安全配置分为硬件安全配置、软件安全配置和核心安全配置，如图1 所示。分 别介绍如下： 硬件安全配置：根据计算机硬件列装的安全要求，仅可安装符合规定的硬件和外联 设备，关闭存在安全隐患的接口以及驱动，以满足政府机构和大型企业对硬件环境的安 全需求。包括计算机部件清单、外联设备清单、外联接口安全配置和硬件驱动安全配置； 软件安全配置：根据计算机软件安装的安全要求，仅可安装符合规定的操作系统和 软件，禁止非法软件安装，以满足政府机构和大型机构对软件环境的安全需求。包括应 安装软件列表、可安装软件列表和禁止安装软件列表； 核心安全配置：对终端操作系统、办公软件和浏览器、邮件系统软件、其它常用软 件等与安全有关的可选项进行参数设置，限制或禁止存在安全隐患或漏洞的功能，启用 1 终端安全配置管理系统技术白皮书 或加强安全保护功能，增强终端抵抗安全风险的能力。包括操作系统安全配置、常用软 件安全配置和业务应用软件安全配置。