GB-T 30278-2013 信息安全技术 政务计算机终端核心配置规范.pdf

《GB-T 30278-2013 信息安全技术 政务计算机终端核心配置规范.pdf》由会员分享，可在线阅读，更多相关《GB-T 30278-2013 信息安全技术 政务计算机终端核心配置规范.pdf（32页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、I C S3 5.0 4 0L8 0中 华 人 民 共 和 国 国 家 标 准G B/T3 0 2 7 82 0 1 3信息安全技术政务计算机终端核心配置规范I n f o r m a t i o ns e c u r i t y t e c h n o l o g yC h i n e s eg o v e r n m e n td e s k t o pc o r e c o n f i g u r a t i o ns p e c i f i c a t i o n s2 0 1 3-1 2-3 1发布2 0 1 4-0 7-1 5实施中华人民共和国国家质量监督检验检疫总局中 国 国 家

2、 标 准 化 管 理 委 员 会发 布目 次前言1 范围12 规范性引用文件13 术语和定义14 缩略语25 概述26 核心配置基本要求47 核心配置清单68 核心配置基线包79 核心配置自动化部署及监测技术要求1 41 0 实施流程1 6附录A(资料性附录)身份鉴别配置要求示例2 0附录B(资料性附录)核心配置清单2 1G B/T3 0 2 7 82 0 1 3前 言 本标准按照G B/T1.12 0 0 9给出的规则起草。本标准由全国信息安全标准化技术委员会(S A C/T C2 6 0)提出并归口。本标准起草单位:国家信息中心、中国信息安全测评中心、中国信息安全认证中心、国家税务总局电子

3、税务管理中心、三零卫士公司、北京北信源软件股份有限公司、天津市信息中心、上海市信息中心、山西省经济信息中心、江苏省信息中心、安徽省经济信息中心、山东省信息中心、河南省信息中心、湖南省人民政府经济研究信息中心、广东省发展和改革委员会信息中心、四川省经济信息中心、贵州省信息中心、甘肃省信息中心、青海省信息中心、新疆维吾尔自治区经济信息中心、宁波市信息中心、西安市信息中心。本标准主要起草人:李新友、刘蓓、许涛、蔡军霞、刘帅、程浩、王啸天、沈大风、吴亚非、袁志强、张海昆、刘海峰、甘杰夫、李建彬、闵京华、林浩、王华峰、陆小敏、马志红、谷和启、彭云峰、洪之民、宋苏宇、柳松、马占飞、余靖浊、袁继会、闫加元、

4、靳力、赵俊、史小列、阮高峰。G B/T3 0 2 7 82 0 1 3信息安全技术政务计算机终端核心配置规范1 范围本标准规定了政务计算机终端核心配置的基本概念和要求,核心配置的自动化实现方法,规范了核心配置实施流程。本标准适用于政务部门开展计算机终端的核心配置工作。涉密政务计算机终端安全配置工作应参照国家保密局相关保密规定和标准执行。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。G B/T2 2 2 3 92 0 0 8 信息系统安全等级保护基本要求3 术语和定义下

5、列术语和定义适用于本文件。3.1政务部门 g o v e r n m e n td e p a r t m e n t从事涉及政府性事务工作的国家机关、企事业单位和大型社会团体等机构。3.2核心配置项(配置项)c o r e c o n f i g u r a t i o ni t e m计算机操作系统、办公软件、浏览器、B I O S系统和防恶意代码软件等基础软件中影响计算机安全的关键参数可选项。注:核心配置项类型包括开关项、枚举项、区间项和复合项,可以根据安全要求对其进行赋值。3.3核心配置 c o r e c o n f i g u r a t i o n对核心配置项进行参数设置的过程。

6、注:通过核心配置限制或禁止存在安全隐患或漏洞的功能,启用或加强安全保护功能,来增强计算机抵抗安全风险的能力。3.4核心配置项基值 c o r e c o n f i g u r a t i o ni t e mb a s ev a l u e按照核心配置基本要求对配置项的参数设置。3.5核心配置基线 c o r e c o n f i g u r a t i o nb a s e l i n e能够满足计算机安全基本要求的一组核心配置项基值构成的集合。3.6核心配置清单 c o r e c o n f i g u r a t i o nl i s t由核心配置项构成的一种列表,是对核心配置项属

7、性的一种形式描述。1G B/T3 0 2 7 82 0 1 33.7核心配置基线包 c o r e c o n f i g u r a t i o nb a s e l i n ep a c k a g e为实现核心配置基线自动化部署而制定的一种具有特定语法格式的核心配置数据文件。4 缩略语下列缩略语适用于本文件。B I O S:基本输入输出系统(B a s i c I n p u tO u t p u tS y s t e m)C G D C C:政务计算机终端核心配置(C h i n e s eG o v e r n m e n tD e s k t o pC o r eC o n f i

8、 g u r a t i o n)F T P:文件传输协议(F i l eT r a n s f e rP r o t o c o l)GU I D:全球唯一标识符(G l o b a l l yU n i q u e I d e n t i f i e r)T CM:可信密码模块(T r u s t e dC r y p t o g r a p h yM o d u l e)WM I:桌面管理规范(W i n d o w sM a n a g e m e n t I n s t r u m e n t a t i o n)XML:可扩展置标语言(E x t e n s i b l eM a

9、r k u pL a n g u a g e)5 概述5.1 核心配置对象本标准针对应用于政务部门的联网计算机终端提出核心配置要求,包括连接到互联网、政务专网(政务内网、政务外网)的桌面计算机、膝上型计算机和瘦客户机等。5.2 核心配置范围核心配置的范围包括如下方面:a)操作系统,如W i n d o w s系列、国外L i n u x和国产L i n u x等;b)办公软件,如国外O f f i c e软件和国产WP S软件等;c)浏览器软件,如国外I n t e r n e tE x p l o r e、C h r o m e、F i r e f o x和国产遨游、3 6 0浏览器等;d)

10、邮件系统软件,如国外O u t l o o k和国产F o x m a i l等;e)B I O S系统软件,如AM IB I O S、Aw a r dB I O S等;f)防恶意代码软件,如内防病毒、防木马软件等。依据G B/T2 2 2 3 92 0 0 8中7.1.3和7.1.4对于第三级主机安全和应用安全的要求,上述基础软件应符合如下配置要求:a)身份鉴别:包括账户登录和口令管理;b)访问控制:包括账户管理和权限分配;c)安全审计:包括账户行为审计和资源访问审计;d)剩余信息保护:包括临时文件、历史文件和虚拟文件管理;e)入侵防范:包括对组件的保护功能开启、应用程序的更新升级;f)恶意

11、代码防范:包括杀毒软件的安装、升级和病毒查杀管理;g)资源控制:包括服务、端口、协议等资源管理和数据的加密保护。5.3 核心配置项基本类型根据核心配置项的取值范围,核心配置项分为开关项、枚举项、区间项和复合项等基本类型。a)开关项:取值仅为“0”或“1”。例如,配置项“下载未签名的A c t i v e控件”,可赋值为“启用(1)”或“禁用(0)”。2G B/T3 0 2 7 82 0 1 3b)枚举项:取值是离散的、可数的且多于两种。例如,配置项“具有从网络访问本地计算机权限的账户”,可赋值为“管理员(A d m i n i s t r a t o r s)”“超级用户(P o w e rU

12、 s e r s)”“一般用户(U s e r s)”或“来宾(G u e s t s)”。c)区间项:取值连续分布在一个区间内。例如,配置项“账户锁定时间”,赋值范围为“1m i n9 99 9 9m i n”。d)复合项:由上述两种或多种关联配置项组合而成。例如,配置项“启动屏幕保护程序的等待时间”,由开关项和区间项组成。首先“启用”屏幕保护程序,再设置“等待时间”。5.4 核心配置项赋值方法根据核心配置项赋值路径不同,可分为注册表赋值和配置文件赋值两种方法:a)注册表赋值方法通过修改核心配置项对应的注册表键值等,实现对配置项的赋值,例如W i n d o w s操作系统。b)配置文件赋值

13、方法通过修改配置文件中有关的配置项,实现对配置项的赋值,例如L i n u x操作系统。根据核心配置部署方式不同,可分为手动和自动两种方法:a)手动赋值对核心配置项进行人工逐项赋值。该方法适用于针对少量终端的少量配置部署。例如,在W i n d o w s系统环境下,运行组策略编辑器(G P E d i t),由人工对核心配置项进行赋值;在L i n u x系统环境下,直接编辑配置文件,对核心配置项逐项进行赋值;在B I O S系统中,直接在人机界面上,逐项进行手动赋值。b)自动赋值编辑核心配置基线包,调用自动部署工具,对核心配置项进行赋值。该方法适用于大量终端批量配置部署。5.5 核心配置对

14、安全的作用核心配置主要通过如下四种方式提高终端安全性:a)应启用数字签名、数据执行保护(D E P)、加密存储、更新升级等安全保护功能;b)应禁用存在或可能存在安全漏洞的服务、端口、程序、脚本和驱动等;c)应加强口令管理、身份鉴别、账户管理和安全审计等安全保护手段;d)应限制软硬件访问权限、资源共享和远程登录等功能。5.6 核心配置自动化实施框架核心配置自动化实施框架包括以下四个部分:a)提出核心配置基本要求,根据计算机终端所属系统或环境的安全需求及安全级别,确定核心配置具体要求。核心配置基本要求见第7章。b)编制核心配置清单,采用清单方式描述核心配置要求,包括配置项标识、配置项名称、配置项组

15、别、安全级别、取值范围、配置项基值、赋值路径和检查规则等。核心配置清单格式要求见第8章。c)生成核心配置基线包,将配置清单转化成为一种符合XML语法的嵌套式结构数据文件,以供自动化部署工具实施。核心配置基线包格式要求见第9章。d)自动部署及监测,通过搭建核心配置自动化部署平台,实现核心配置项的批量自动赋值和合规性实时检测。具体技术要求见第1 0章。3G B/T3 0 2 7 82 0 1 36 核心配置基本要求6.1 操作系统核心配置要求6.1.1 概述本标准依据G B/T2 2 2 3 92 0 0 8中7.1.3对第三级主机安全的要求,针对国内外主流操作系统,在身份鉴别、访问控制、安全审计

16、、剩余信息保护、入侵防范和资源控制等方面提出核心配置基本要求。6.1.2 身份鉴别身份鉴别配置要求包括:a)账户登录时,应启动身份验证机制,限制连续登录失败次数,连续多次登录失败后应锁定账户;b)应配置安全的口令长度、复杂度、有效期和加密强度,应禁止不设置口令;c)启动账户登录界面时,应禁止无关进程的启动和运行,防止鉴别信息被窃听。注:附录A给出了身份鉴别配置要求示例。6.1.3 访问控制访问控制配置要求包括:a)应禁用匿名账户(A n o n y m o u s)、来宾账户(G u e s t)、产品支持账户(S u p p o r t),限用管理员账户(A d m i n i s t r

17、a t o r),重命名管理员账户,限制普通用户的访问权限,禁止任何账户远程访问;b)应限制账户对文件、硬件、驱动、内存和进程等重要资源的访问权限;c)应限制账户权限提升和授权访问等操作。6.1.4 安全审计安全审计配置要求包括:a)应启用安全日志,记录账户的创建、更改、删除、启用、禁用和重命名等操作,记录账户登录和注销、开关机、配置变更等操作;b)应启用系统日志,记录对文件、文件夹、注册表和系统资源的访问操作。6.1.5 剩余信息保护剩余信息保护配置要求包括:a)关闭系统时,应清除虚拟内存页面文件;b)断开会话时,应清除临时文件夹;c)应禁止剪贴板存储信息与远程计算机共享。6.1.6 入侵防

18、范入侵防范配置要求包括:a)应启用资源管理器数据执行保护(D E P)模式和S h e l l协议保护模式;b)打开邮件的附件时,应启用杀毒软件进行扫描;c)应启动屏幕保护和休眠功能,设置唤醒口令;d)应开启系统定期备份功能;e)应限制应用程序的下载和安装,保持操作系统补丁及时更新。6.1.7 资源控制资源控制配置要求包括:4G B/T3 0 2 7 82 0 1 3a)应禁用信息共享、动态数据交换(D y n a m i cD a t aE x c h a n g e)、互联网信息服务(I n t e r n e t I n f o r-m a t i o nS e r v i c e s)

19、、F T P和T e l n e t等网络连接、远程网络访问等服务,限制蓝牙等无线连接;b)应禁止介质自动运行(A u t or u n);c)应关闭F T P、HT T P(超文本传输协议H y p e r t e x tT r a n s p o r tP r o t o c o l)、R P C(远程过程调用协议R e m o t eP r o c e d u r eC a l lP r o t o c o l)、U P N P(通用即插即用U n i v e r s a lP l u ga n dP l a y)、远程桌面服务、远程控制类软件服务端监听、木马软件等对应开放的端口;d)应

20、禁止I P C(进程间通信I n t e rP r o c e s sC o mm u n i c a t i o n)管道连接,限制S YN(同步字符S y n-c h r o n i z e)的传输次数和发送时间;e)应启用磁盘加密系统等数据保密配置。对于三级以上政务计算机应配置T CM模块保护敏感数据。6.2 办公软件核心配置要求依据G B/T2 2 2 3 92 0 0 8中7.1.4对第三级应用安全的要求,针对国内外主流办公软件提出如下核心配置要求:a)应禁止A c t i v e X控件的使用;b)应禁用所有未经验证的加载项;c)应限用未数字签名的宏;d)应限制在线自动更新升级、网

21、上下载剪贴画和模板等资源,以及访问超级链接。6.3 浏览器核心配置要求6.3.1 概述依据G B/T2 2 2 3 92 0 0 8中7.1.4对第三级应用安全的要求,针对国内外主流浏览器,在浏览器安全选项、域安全管理和隐私保护等方面提出核心配置基本要求。6.3.2 浏览器安全选项浏览器安全选项配置要求包括:a)应严格禁止运行j a v a小程序脚本;b)应限制下载和安装未签名的A c t i v eX控件;c)应开启浏览器的保护模式。6.3.3 域安全管理域安全管理配置要求包括:a)访问以太网的安全限制应设为中或高;b)访问企业专网的安全限制可设为中;c)访问可信站点的安全限制可设为低;d)

22、应限制访问受限站点,禁止从受限站点下载或保存文件。6.3.4 隐私保护隐私保护配置要求包括:a)退出网页时,应删除C o o k i e文件、下载记录、访问网站历史记录和临时文件夹;b)应限制输入框自动关联功能。6.4 邮件系统核心配置要求依据G B/T2 2 2 3 92 0 0 8中7.1.4对第三级应用安全的要求,针对国内外主流邮件系统软件提出如5G B/T3 0 2 7 82 0 1 3下配置要求:a)应配置安全的邮箱登录口令的长度和复杂度;b)对本地存储的邮件应开启加密功能;c)发送邮件应使用数字签名和数字加密技术,接收邮件应对数字签名进行验证;d)应开启加密协议收发邮件;e)应禁止

23、直接运行附件中存在安全隐患的文件类型;f)应禁止运行邮件中的超链接;g)应启用垃圾邮件过滤功能。6.5 B I O S系统核心配置要求依据G B/T2 2 2 3 92 0 0 8中7.1.3对第三级主机安全的要求,对B I O S系统提出如下配置要求:a)开机时应启动身份鉴别机制,并设置安全的口令长度和复杂度;b)应限制硬件资源使用,包括软驱、硬盘、内存、U S B设备、网卡和C P U等;c)应启用硬盘写保护;d)应限制使用定时开机、远程模式控制开机、键盘鼠标开机等开机模式;e)操作系统操作关机后,应立即断开计算机电源;f)应限制由外部设备,如U盘、光驱等引导启动计算机终端。6.6 防恶意

24、代码软件核心配置要求防恶意代码软件核心配置要求包括:a)应开启实时保护功能;b)应及时升级防恶意代码软件至最新版本,开启自动更新病毒库功能;c)应定期进行病毒、木马等恶意代码扫描,发现恶意代码立即隔离或删除。7 核心配置清单7.1 概述核心配置清单描述配置项的属性,包括配置项标识、配置项名称、配置项描述、配置项组别、安全级别、取值范围、配置项基值、赋值路径和检查规则。7.2 配置项属性7.2.1 配置项标识配置项标识是配置项的唯一编码,由三组字符构成,通过“-”进行分隔,标识规则如图1所示。最高组位的字符使用C G D C C,代表政务终端核心配置;中间组位引用软件产品标识;最低组位使用4位数

25、字代表配置项序号。例如“W i n d o w 7口令长度”配置项,其标识为“C G D C C-w i n 7-0 0 1 1”。图1 配置项标识规则6G B/T3 0 2 7 82 0 1 37.2.2 配置项名称描述配置项名称的字符串。7.2.3 配置项描述从终端的安全风险、配置项的应对措施和潜在影响等三个方面对配置项进行解释说明。其中,安全风险主要描述配置项所对应的系统脆弱性;应对措施主要描述配置项推荐参数赋值;潜在影响主要描述配置生效后可能对终端系统造成的影响。7.2.4 配置项组别需对配置项进行分组时,描述配置项所属的组别。7.2.5 安全级别描述配置项对计算机终端安全性的影响程度

26、,分为一般、重要和严重三个级别。7.2.6 取值范围描述配置项允许赋值的范围,可用开关、枚举和区间表示。7.2.7 配置项基值描述符合核心配置基本要求的配置项基值。当配置项安全级别为严重时,此配置项必须按照基值进行赋值。7.2.8 赋值路径描述配置项的赋值路径。对于W i n d o w s的配置项,可以依据配置项的赋值路径,使用相应的配置工具进行赋值。例如,配 置项“账户 锁定 时 间”的 赋 值 路 径 为“C o m p u t e rC o n f i g u r a t i o n W i n d o w sS e t t i n g s S e c u r i t yS e t t

27、 i n g s A c c o u n tP o l i c i e s A c c o u n tL o c k o u tP o l i c y”,通过组策略编辑器(G P E d i t)工具,在该路径下可对“账户锁定时间”进行赋值。7.2.9 检查规则描述检查配置项的实际值是否达到基值的判断规则,如大于配置项基值、小于配置项基值、等于配置项基值、大于或等于配置项基值、小于或等于配置项基值。8 核心配置基线包8.1 概述核心配置基线包是一种嵌套式结构的数据文件,采用XML格式对核心配置基线中各配置项的属性进行规范性标记,以实现核心配置部署及监测的自动化。核心配置基线包由格式版本标记、基

28、线标记和产品标记三部分组成。其中,基线标记包括基线版本标记、配置组标记、配置项标记和检查标记。核心配置基线包格式结构如图2所示。7G B/T3 0 2 7 82 0 1 3图2 核心配置基线包格式结构8.2 主标记核心配置基线包用“C G D C C-P a c k a g e”作为主标记,其结构如表1所示。表1 主标记标记名称解释说明C G D C C-F o r m a t I n f o格式版本信息描述核心配置基线包格式的基本信息C G D C C-B a s e l i n e基线信息描述核心配置基线的完成信息,可以描述多条基线C G D C C-P r o d u c t产品信息描述

29、软件产品基本信息,可以描述多个产品信息示例:8.3 格式版本标记格式版本用“C G D C C-F o r m a t I n f o”作为标记,描述核心配置基线包格式版本的基本信息,其结构如8G B/T3 0 2 7 82 0 1 3表2所示。表2 格式版本标记标记名称解释说明V e r s i o n版本编号核心配置基线包规则版本的唯一标识D e s c r i p t i o n概要介绍对版本规则进行简要说明示例:此格式专用于核心配置基线包,版本为1.0。8.4 基线标记8.4.1 基线主标记用“C G D C C-B a s e l i n e”作为基线主标记,描述核心配置基线的基本信

30、息,其结构如表3所示。表3 基线标记标记名称解释说明N a m e基线名称描述核心配置基线名称I D基线标识描述核心配置基线唯一标识。此标识按照唯一标识(GU I D)生成规则自动生成R e v i s i o n N u m b e r基线修订版本次数描述核心配置基线的修订版本号,并与I D一起可用来追溯基线的修订过程V e r s i o n基线版本描述所生成核心配置基线的版本M o d e基线状态包括可编辑状态和已发布状态两种V e r s i o n C o n t r o l版本控制描述核心配置基线版本相关信息S e t t i n g G r o u p配置组信息描述核心配置基线所

31、包含的每个策略组的基本信息,可包括多个基线组C h e c k检查信息描述策略组所包含的核心配置项的检查信息,每个配置项都有一条相应的检查信息P r o d u c t I D基线所属产品标识描述该核心配置基线所属的软件产品标识,用于基线适用性检查示例:0 E d i t 1 7 3 9 7 9 5 a-9 a 4 f-4 0 3 2-b 8 d b-8 8 3 4 d b a 5 a 0 e a 9G B/T3 0 2 7 82 0 1 38.4.2 配置项组别标记用“S e t t i n g G r o u p”作为配置项组别标记,描述配置项分类的基本信息,其结构如表4所示。表4 配置项

32、组别标记标记名称解释说明N a m e配置项组别名称描述配置项组别的名称I D配置项组别标识描述配置项组别的唯一标识(GU I D)D e s c r i p t i o n配置项组别描述描述配置项组别的功能介绍V e r s i o n配置项组别版本描述配置项组别的版本序号S e t t i n g I t e m配置项信息描述配置项的基本信息,可以包含多个配置项示例:S e t t i n g G r o u pN a m e=账户锁定策略组I D=f 7 4 6 3 6 a c-0 6 1 9-4 b e 7-a c 0 0-6 a e 9 8 8 7 7 0 7 b 6 8.4.3 配

33、置项标记8.4.3.1 配置项主标记用“S e t t i n g I t e m”作为配置项标记,描述各核心配置项的基本信息,如表5所示。表5 配置项标记标记名称解释说明N a m e配置项名称描述配置项的名称I D配置项标识描述配置项的唯一标识(GU I D)C o n t e n t配置项内容描述配置项内容,包括:赋值路径、脆弱性、应对措施、潜在影响等,详见8.4.3.2D i s c o v e r y I n f o配置项取值描述配置项取值类型,包括:作用范围、取值方式、取值数据类型等,详见8.4.3.3E x p o r t I n f o配置项赋值描述配置项赋值的过程,包括组策略

34、导出文件类型、导出文件中配置项的名称等,详见8.4.3.4示例:.01G B/T3 0 2 7 82 0 1 38.4.3.2 配置项内容标记8.4.3.2.1 配置项内容主标记用“C o n t e n t”作为配置项内容标记,描述各核心配置项内容的主要信息,如表6所示。表6 配置项内容标记标记名称解释说明D e s c r i p t i o n介绍描述配置项功能及相关参数U I P a t h赋值路径描述配置项的赋值具体路径V u l n e r a b i l i t y脆弱性描述该配置项所对应的系统脆弱性C o u n t e r M e a s u r e应对措施解决如何对配置项参

35、数正确赋值P o t e n t i a l I m p a c t潜在影响说明启用配置项后可能会造成不确定的影响V a l u e R a n g e取值范围允许配置项赋值的范围U n i t计量单位配置项参数的计量单位V a l u e M a p p i n g T a b l e取值映射表如果配置项的参数是几个可枚举值,比如是代表颜色的红(0 x F F 0 0 0 0)、绿(0 x 0 0 F F 0 0)和蓝(0 x 0 0 0 0 F F),括号内为真正取值,此表描述取值与代表此值的显示名称的映射关系,可帮助用户在界面上对取值进行指定示例:本配置项内容的解释 计算机配置W i n

36、 d o w s设置安全设置账户策略账户锁定策略 对本配置项的解决的脆弱点进行描述。使用配置项建议的描述。采用配置项后所带来的潜在风险描述。分钟 8.4.3.2.2 配置项取值映射表标记用“V a l u e M a p p i n g T a b l e”作为配置项取值映射表标记,描述核心配置项取值映射表的主要信息,如表7所示。表7 取值映射表标记标记名称解释说明M a p p i n g一个映射描述一个取值和与之相对应的显示名称的对应关系D i s p l a y N a m e显示名称取值相对应的显示名称V a l u e值配置项真正取值11G B/T3 0 2 7 82 0 1 3表7

37、(续)标记名称解释说明示例:8.4.3.3 配置项取值标记用“D i s c o v e r y I n f o”作为配置项取值标记,描述核心配置项取值方法,如表8所示。表8 配置项取值标记标记名称解释说明S c o p e作用范围指配置项作用范围:本机(M a c h i n e)或当前账户(U s e r)D i s c o v e r y T y p e取值方式描述配置项的取值方式,包括WM I、注册表等D a t a T y p e取值数据类型描述配置项取值的数据类型,比如,整型、字符串WM I D i s c o v e r y I n f oWM I取值信息描述值在WM I中的位置

38、R e g i s t r y D i s c o v e r y I n f o注册表取值信息描述值在注册表中的位置S c r i p t D i s c o v e r y I n f o脚本取值信息描述用来取值的脚本示例:例1(注册表类型):HK E Y_L O C A L_MA CH I N E R E G_DWOR D S y s t e m C u r r e n t C o n t r o l S e t S e r v i c e s L a n M a n S e r v e r P a r a m e t e r s e n a b l e f o r c e d l o

39、g o f f I n t 6 4例2(WM I类型):r o o t r s o p c o m p u t e r R S O P_S e c u r i t y S e t t i n g N u m e r i c S e t t i n g K e y N a m e=L o c k o u t D u r a t i o n A n d p r e c e d e n c e=1 注:c g d c c-c o r e是命名空间的前缀。21G B/T3 0 2 7 82 0 1 38.4.3.4 配置项赋值标记用“E x p o r t I n f o”作为配置项赋值标记,描述核心

40、配置项赋值方法,如表9所示。在组策略工具中,通过加载组策略导出文件(G P OB a c k u p)进行赋值。表9 配置项赋值标记标记名称解释说明G P OG e n e r a t e F o r m a t组策略导出文件类型描述组策略导出文件的类型,包括I N F、C S V、P O L三种类型I n fN a m e导出文件中配置项的名称组策略导出文件中描述配置项的名称S e c t i o n N a m e导出文件中的段名称组策略导出文件中描述配置项所在的段的名称示例:8.4.4 配置项检查标记用“C h e c k”作为配置项检查标记,描述判断配置项是否存在,以及实际值是否达到基

41、值的规则,如表1 0所示。表1 0 配置项检查标记标记名称解释说明S e t t i n g R e f配置项标识引用描述所要检查配置项的标识E x i s t e n t i a l R u l e配置项存在规则检查配置项是否存在V a l i d a t i o n R u l e s配置项有效规则检查配置项参数是否符合规定示例:W i n 7,V i s t a,a n dX Ph a v e t h es a m ed u r a t i o n.T h e i re n v i r o n m e n t s e t t o1 5m i n u t e s.T h es e t t

42、i n gd o e s t h i sb ys p e c i f y i n gt h en u m b e ro fm i n u t e sa l o c k e do u ta c c o u n tw i l l r e m a i nu n a-v a i l a b l e.I f t h ev a l u ef o rt h i sp o l i c ys e t t i n gi sc o n f i g u r e dt o0,l o c k e do u ta c c o u n t sw i l lr e m a i nl o c k e do u tu n t i

43、la na d m i n i s t r a t o rm a n u a l l yu n l o c k s t h e m.31G B/T3 0 2 7 82 0 1 38.5 产品标记用“C G D C C-P r o d u c t”作为配置基线的产品标记,描述配置基线适用产品的主要信息,如表1 1所示。表1 1 产品标记标记名称解释说明I D产品标识描述软件产品的唯一标识(GU I D)D i s p l a y N a m e产品名称描述软件产品的名称O p e r a t i n g S y s t e m I n f o操作系统版本描述操作系统的版本号。此项与M s i I

44、 n f o项、P l a t f o r mA p p l i c a b i l i t y C o n d i t i o n项为三选一M s i I n f o产品安装信息描述软件产品的安装信息P l a t f o r mA p p l i c a b i l i t y-C o n d i t i o n适用环境信息描述软件产品适用的操作系统P r o d u c t F a m i l y R e f产品所属家族描述 软 件 产 品 所 属 的 产 品 系 列 的 总 称,如W i n d o w s。用GU I D标识表示示例:例1(操作系统):例2(应用软件):9 核心配置自

45、动化部署及监测技术要求9.1 自动化部署及监测平台基本架构对于有一定规模的政务终端核心配置应用,需要配备自动化部署及监测平台,进行核心配置编辑、验证、部署和监测。自动化部署及监测平台由四个基本功能模块构成,分别是配置编辑模块、配置验证模块、配置部署模块和配置监测模块,如图3所示。其中,配置编辑模块主要用于将核心配置清单自动转换生成核心配置基线包,配置验证模块用于对核心配置基线包进行验证和测试,生成可部署的配置基线包;配置部署模块用于对核心配置基线包进行自动化部署;配置监测模块用于对核心配置状态进行自动监测。41G B/T3 0 2 7 82 0 1 3图3 自动化部署及监测平台9.2 配置编辑

46、模块配置编辑模块用来生成核心配置基线包,安全管理员依照核心配置基本要求制定配置清单,并对其进行转换和处理,生成可以编辑、可以解析、可以分发和可以部署的核心配置基线包。配置编辑模块应包括基线包生成器和基线包编辑器两个部件:a)基线包生成器主要用于生成原始的核心配置基线包,可根据清单内容逐项录入或由清单模版自动录入;b)基线包编辑器主要用于修改核心配置基线包中的配置项的基值,并可进行添加、修改、合并、删除等编辑操作。9.3 配置验证模块配置验证模块用于验证核心配置基线包的有效性、适用性和兼容性,保证所要部署的配置基线包的实施效果和安全。有效性测试可采用人工测试与工具测试相结合的方法,验证核心配置基

47、线包是否生效。具体要求包括:a)核心配置部署前,自动收集测试终端的脆弱性情况;51G B/T3 0 2 7 82 0 1 3b)核心配置部署后,检测核心配置项的实际赋值是否与基值相一致;c)对测试终端进行渗透测试,检验核心配置项是否发挥安全作用。兼容性测试用于测试核心配置项之间的兼容性,解决终端核心配置项之间的冲突问题。具体要求包括:a)支持核心配置项的分析对比,找出有冲突的核心配置项;b)可修改存在兼容性问题的核心配置项。适用性测试用于评估核心配置基线对终端应用环境的影响,包括功能影响、性能影响、系统异常风险等。具体要求包括:a)能够收集测试终端软硬件环境信息,识别操作系统版本,以及已安装的

48、应用程序;b)能够针对具体的配置项,检查其影响范围,识别出受其影响的软件清单及其原因;c)能够识别异常现象,追溯其产生的原因,定位相关配置项;d)支持多用户环境下的适用性测试,支持常用软件和业务应用软件的适用性测试。9.4 配置部署模块配置部署模块可进行核心配置基线包管理、分发和部署执行,由基线包管理工具、基线包分发工具和配置执行工具三个部分组成。a)基线包管理工具具备核心配置基线包上载、内容查看、网络分发,以及基线包更新和删除等功能;b)基线包分发工具将基线包按照I P或部门区域定向分发到客户端,可采用服务器推送和客户端相结合的分发模式;c)配置执行工具自动解析配置基线包赋值方法和路径,并对

49、配置项进行参数赋值,赋值前应对注册表及相关配置文件进行备份,然后在系统(S y s t e m)权限下执行赋值过程。9.5 状态监测模块状态监测模块是安全管理员掌握全网终端核心配置状况的一个重要手段,主要由安装在终端上的配置状态收集器、配置状态上报工具和部署在服务器上的配置状态分析器、配置状态图展示平台组成。a)配置状态收集器定时收集终端的核心配置项参数设置情况;b)配置状态上报系统用于将收集的配置状态上传至服务器;c)配置状态分析器用于对上报的配置状态与核心配置基线进行比对和统计分析;d)配置状态图展示平台通过图、表等展示手段输出配置状态分析结果。1 0 实施流程1 0.1 实施流程框架政务

50、计算机终端核心配置实施流程主要包括实施准备、基线制定、测试验证、配置部署、配置检查和例外处理等六个阶段,如图4所示。61G B/T3 0 2 7 82 0 1 3图4 实施流程1 0.2 实施准备1 0.2.1 概述本环节重点从技术和管理两个方面做好实施前准备,主要步骤包括:a)需求分析和调研;b)制定总体实施方案;c)建立组织管理架构,制定相关管理制度,提供组织保障。1 0.2.2 需求调研通过调研网络终端的分布、软硬件资产配备及应用情况,分析政务部门安全目标和安全需求,从而确定实施终端核心配置的目标、范围和基本要求,并评估核心配置实施可能带来的风险。1 0.2.3 制定方案制定政务部门实施