USGCB历史和介绍.docxVIP

USGCB（U.S. Government Configuration Baseline）是美国政府配置基线,它脱胎于FDCC(Federal Desktop Core Configuration，联邦桌面核心配置）FDCC项目介绍:FDCC是在美国政府支持下建立的桌面系统（Windows XP、Windows vista等）相关安全基线要求规范，并通过自动化的工具进行检查。FDCC基于NVD、NCP等内容进行基线安全核查。NVD（National Vulnerability Database，国家漏洞数据库）为自动化漏洞管理、安全评估和合规性检查提供数据支撑，包含安全核查名单、与安全相关的软件漏洞、配置错误以及量化影响等。NVD数据库针对数据库中的漏洞等提出了一整套核查名单（Checklist），划归到NCP（National Checklist Program）计划中。简言之,FDCC体现了两个方面的特性：标准化：在NVD、NCP的基础上，构建了一套针对桌面系统的安全基线（检查项），这些检查项由安全漏洞、安全配置等有关检查内容构成，为标准化的技术安全操作提供了框架。自动化：针对桌面系统的特性，采用标准化的检查内容和检查方法，通过自动化的工具来执行，为自动化的技术安全操作提供支持其主要关注四个要点：一是删除管理员和超级用户权限；二是启用防火墙；三是将FDCC设置应用与Windows和IE；四是随时进行配置管理。为方便FDCC的测试、部署和应用，美国标准技术研究院发布了四种形式的FDCC安全配置包，分别是：（1）安全配置策略电子表格该配置包以Excel表格的形式列出了XP和Vista的安全配置策略，主要列出策略路径、策略配置名称、Vista/XP环境下的配置值、注册表设置、配置标识、策略描述等内容。（2）组策略对象（GPOs）Windows安全策略主要是以组策略形式进行配置和管理，因此美国国家安全标准技术研究院提供了FDCC的组策略对象配置包，以便用户直接用组策略控制台或组策略加速器等工具部署和应用FDCC的安全配置。（3）虚拟硬盘（VHDs）虚拟硬盘配置包提供了FDCC的虚拟运行环境，用户可以在当前操作系统上直接运行该虚拟环境，以便进行软件兼容性和适用性方面的测试和评估。因此虚拟硬盘可作为FDCC的测试工具。（4）安全内容自动化协议内容（SCAP Content）FDCC提供了用于自动化配置检查的安全配置包SCAP Content。该配置包采用XML格式，描述了XP、Vista、Windows防火墙和IE7的配置检查项，可以通过实施自动化检查，提供第三方的安全配置合规性评估检查。FDCC配套实施工具微软提供的FDCC配套工具主要用于FDCC的测试、评估和部署。（1）虚拟机虚拟机主要用于应用程序兼容性和开发测试。（2）微软评估和规划工具微软评估和规划工具（MAP）主要用于评估当前信息技术基础设施情况，从而确定是否可满足需求的系统移植技术方案。（3）应用程序兼容性测试工具应用程序兼容性测试工具（ACT）属于生命周期管理工具，通过测试分析兼容性指标数据，合理化虚拟组织应用程序、网站和计算机终端等应用资产（4）微软布署工具微软布署工具将桌面和服务器所用布署工具和过程集成为一个通用部署控制台。（5）组策略部署工具组策略加速器可以自动生成安全配置部署所需的组策略对象，比托运配置过程节省大量的时间和工作量。FDCC实施方法准备分析安全目标和安全需求，评估安全配置要求及实施FDCC对本机构的影响检查设备及软件情况，测试应用程序兼容性确定是制作镜像还是创建GPO制作确定操作系统所需的组件/功能，并创建镜像/GPO向NIST提交与FDCC标准配置之间的偏差及纠正偏差的最终计划在测试环境中测试和解决由FDCC引起的潜在的系统和应用程序的兼容性问题验证安全配置的有效性部署开发用于生产环境的部署计划与IT用户沟通所产生的计划具体部署方法：小型机构一般通过批处理文件结合.inf文件的方法实施推荐的方法是通过组策略或MS提供的企业组策略管理工具部署桌面配置，并通过组策略控制台来管理GPO通过制作映像来进行批量部署检测与评估FDCC利用SCAP标准框架进行描述，建立了一套针对桌面终端的安全配置检查项，描述了安全配置、安全漏洞等检查内容可采用经过SCAP认证的FDCC检查工具自动执行合规性检查安全基线的理论基础FISMA的全称是The Federal Information Security Management Act，联邦信息安全管理法案，是由美国国家标准和技术研究所(NIST)牵头制定。FISMA把责任分配到各种各样的机构上来确保联邦政府的信息系统和数据安全。FISMA的推出使得一直忽视计算机安全的联邦政府开始关注计算机安全。FISMA（The Fed