《信息安全技术政务计算机终端核心配置规范》（工作组讨论稿）编制说明1任务来源.docxVIP

《信息安全技术 政务计算机终端核心配置规范》 （工作组讨论稿）编制说明 1 任务来源 《信息安全技术 政务计算机终端核心配置规范》是全国信息安全标准技术委员会2010年度国家标准制修订项目之一。该标准由中国信息协会信息安全专业委员会牵头研制，合作单位包括：中国信息安全测评中心、中国信息安全认证中心、国家税务总局电子税务管理中心、三零卫士公司和北京北信源软件股份有限公司。 2 研究目标 在分析我国电子政务网络环境安全状况的基础上，结合我国信息安全等级保护技术标准成果，借鉴美国联邦政府实施的FDCC（联邦桌面核心配置），研究制定符合我国国情的国家推荐性标准《政务计算机终端核心配置规范》，实现我国政务计算机终端安全配置管理的标准化和自动化，切实落实等级保护对于主机安全的相关要求，为加强终端安全保障及监督检查提供标准支撑。 3 国内外现状 随着各国信息化建设进程的加快，政务部门对信息系统的依赖性越来越强，计算机终端作为电子政务的最基本单元，承载着信息加工、处理、存储和传输等重要任务，其安全性受到了广泛的重视。但是，由于政务终端量大面广，并且缺少统一的安全防范策略和安全护理措施，使得计算机终端的可控性变得越来越低。抓紧制订政务部门的计算机终端安全配置规范，加快对办公用计算机安全配置实施，已成为加强政务部门信息化安全的一种趋势。 美国联邦政府2007年提出联邦桌面核心配置计划（FDCC）以提高美国联邦政府所使用的Windows操作系统安全性，并使联邦政府桌面计算机的安全管理实现标准化和自动化。该计划由美国联邦预算管理办公室（OMB）和美国国家标准与技术研究院（NIST）共同负责实施，国防部、国土安全部、国家安全局等参与制定。FDCC作为联邦政府所有桌面计算机的安全配置标准，已经成为美国国家网络安全综合计划（CNCI）的重要组成部分。美国联邦政府强制规定所有使用Windows的计算机必须符合FDCC的配置要求。 澳大利亚国防信息情报局（DSD）经过各政府部门的漏洞风险评估和渗透测试，根据多年信息网络安全工作的经验总结，借鉴多起严重安全事件的处理方法，于2010年2月，首次公开发布了35条安全防御策略列。其中前4项控制措施是所有内阁机构必须实施的，包括：为应用程序打补丁并进行安全配置，为操作系统打补丁并进行安全配置，限制本地及域管理员权限，以及建立应用软件白名单。虽然这些控制措施不能完全防御所有的攻击事件，但是对于防御80%以上的中低复杂度的网络攻击行为极为有效，以极低的成本取得了极大的安全保障效果。 近年来，我国逐步认识到终端安全配置管理对于加强计算机终端安全保障工作的重要作用，开始重视终端安全防护和管理工作。国家信息中心是国内最早开展终端安全配置研究的单位之一，并率先在国内提出政务终端安全核心配置标准体系框架，在终端安全核心配置标准研究、技术实施和试点应用等方面均取得了显著的成果。2010年国家信息负责牵头研制国家标准《政务计算机终端核心配置规范》。同年，“政务终端安全核心配置标准研制及其验证、应用平台建设”项目列入国家高技术发展项目计划。 4 主要工作过程 2011年2月，《政务计算机终端核心配置规范》国家标准编制任务正式下达，我单位在原标准草案V1.0的基础上，进一步研究桌面终端安全核心配置方法。对美国FDCC、USGCB以及微软安全基线的内容和实施机制进行了跟踪研究。重点参照GB/T22239-2008对于主机安全的要求，提出了Windows桌面操作系统的详细安全核心配置要求，完成了《政务计算机终端核心配置规范》（草案）V2.0版本。 2011年8月15日，我单位组织召开“《政务计算机终端核心配置规范》标准启动会”。由中国信息协会信息安全专业委员会牵头，中国信息安全测评中心、中国信息安全认证中心、国家税务总局电子税务管理中心、三零卫士公司、北京北信源软件股份有限公司等单位的专家组成了国标研制工作组。启动会上专家对《政务计算机终端核心配置规范》（草案）V2.0版本进行了充分讨论，会后形成了《政务计算机终端核心配置规范》（草案）V2.1版本。 2011年8月17日，由全国信息安全标准技术委员会组织召开了“《政务计算机终端核心配置规范》中期检查会”。检查会上专家组对《政务计算机终端核心配置规范》（草案）V2.1版本中的“安全核心配置”等概念进行讨论，提出了标准要有动态性发展的要求。同时，专家组建议从“什么是配置”、“为什么做配置”、“怎样做配置”三个方面进行修改。会后，国标研制工作组经过十余次内部讨论和修改，明确了安全配置的基本要求、安全配置清单、安全配置基线包、应用支撑技术要求和实施流程的五部分内容，形成了《政务计算机终端核心配置规范》（草案）v3.0版本。 2012年3月27日，全国信息安全标准技术委员会组织召开了“《政务计算机终