FDCC及政务终端安全核心配置.pptxVIP

FDCC及政务终端安全核心配置会计学第1页/共26页什么是终端安全核心配置？ 对操作系统、办公软件、浏览器等常用软件中关键的安全属性进行参数设置，限制或禁止存在安全隐患或漏洞的功能，启用或加强安全保护功能，增强终端抵抗安全风险的能力禁止高危服务和端口非法程序脚本执行未授权程序驱动安装限制用户权限程序内存配额远程进程调用(RPC)加强密码管理身份认证系统审核启用数字签名进程保护 终端安全配置终端安全配置第2页/共26页终端硬件环境安全配置终端软件环境安全配置终端安全核心配置应安装软件列表可安装软件列表不可安装软件列表操作系统安全配置办公软件安全配置其他常用软件安全配置存储设备安全配置网络端口安全配置外部设备安全配置起 源第3页/共26页最早起源于2003年美国空军实施的标准桌面配置（SDC）。美国空军在435,000个终端上部署SDC，并进行了10个月的试验性测试，两年内全面投入使用。标准桌面配置（SDC）中采用的安全配置主要基于微软发布的操作系统安全指南。2007年在SDC基础上，美国联邦政府提出联邦桌面核心配置计划（ Federal Desktop Core Configuration），称为 FDCC。该计划由美国联邦预算管理办公室（OMB）和美国国家标准与技术研究院（NIST）共同负责实施，旨在提高美国联邦政府所使用的Windows安全性，并使联邦政府桌面计算机的安全管理实现标准化和自动化。第4页/共26页GAO的审计报告－FDCC实施步骤2010年3月，GAO发布审计报告《政府机构必须实施桌面核心配置》为了实施FDCC，OMB要求各个联邦机构采取如下步骤：制定FDCC实施计划，并提交OMB；2008年3月前，在所有终端上完成全部安全配置；记录实际配置与标准配置之间的偏差，并需通过授权机构的认可；使用经NIST认证的工具来监测安全配置达标情况；保证未来采购的信息技术产品符合安全配置要求；向NIST提交配置状态报告。GAO的审计报告－FDCC实施情况第5页/共26页2008年12月至2010年3月， GAO对24个主要联邦机构执行FDCC的情况进行了审计各机构已经按照要求开始行动，但还没有一个机构全部完成安全配置79％的机构向OMB提交了FDCC部署计划96％的机构制定了存在偏差的配置（OMB允许在一定范围内与FDCC存在偏差）；46％的政府机构完成了有偏差的安全配置2008年3月31日前，88％的机构向NIST提交了FDCC合规性检测报告，其中57％的机构达标一FDCC安全基线第6页/共26页FDCC安全基线对Windows XP、Vista、IE及Windows防火墙的安全配置做出具体规定。 其主要关注四个要点： 一是删除管理员和超级用户权限； 二是启用防火墙； 三是将FDCC设置应用于Windows和IE； 四是随时进行配置管理。二FDCC安全配置包第7页/共26页为方便FDCC的测试、部署和应用，美国标准技术研究院发布了四种形式的FDCC安全配置包，分别是：（1）安全配置策略电子表格该配置包以Excel表的形式列出了XP及Vista的安全配置策略，主要列出策略路径、策略配置名称、Vista/XP环境下的配置值、注册表设置、配置标识、策略描述等内容。（2）组策略对象（GPOs）Windows的安全策略主要是以组策略的形式进行配置和管理，因此美国国家标准技术研究院提供了FDCC的组策略对象配置包，以便用户直接利用组策略控制台或组策略加速器等工具部署和应用FDCC的安全配置。（3）虚拟硬盘（VHDs）虚拟硬盘配置包提供了FDCC的虚拟运行环境，用户可以在当前操作系统上直接运行该虚拟环境，以便进行软件兼容性和适用性方面的测试和评估。因此虚拟硬盘可作为FDCC的测试工具。（4）安全内容自动化协议内容（SCAP Content）FDCC提供了用于自动化安全配置检查的安全配置包SCAP Content（安全内容自动化协议内容）。该配置包采用XML格式，描述了XP、Vista、Windows防火墙和IE7的配置检查项，可通过实施自动化检查（FDCC Scan），提供第三方的安全配置合规性评估检查。第8页/共26页三 安全内容自动化协议（SCAP）美国标准技术研究院制定的一套支持自动化漏洞管理、测量和政策合规评估的安全标准规范。其主要对通信的方式和内容进行标准化，包括建立国家漏洞数据库NVD，确定评估报告的格式和频率，并提供产品测试和认证。SCAP由以下六个标准构成：1）通用脆弱性和漏洞目录（CVE）：该标准定义了与软件漏洞相关的安全脆弱性的标准标识符和目录；2）通用配置目录（CCE）：该标准定义了与安全相关的系统配置项的标准标识符和目录；3）通用平台目录（CPE）：该标准定义了平台及产品的标准名称和目录；4