计算机终端核心安全配置规范

声明

本文是学习 政务计算机终端核心配置规范. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

范围

本标准提出了政务计算机终端核心配置的基本概念和要求,规定了核心配置的自动化实现方法,规范了核心配置实施流程。

本标准适用于政务部门开展计算机终端的核心配置工作。涉密政务计算机终端安全配置工作应参照国家保密局相关保密规定和标准执行。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。

GB/T 22239-2008 信息系统安全等级保护基本要求

术语和定义

下列术语和定义适用于本文件。

政务部门 government department

从事涉及政府性事务工作的国家机关、企事业单位和大型社会团体等机构。

核心配置项(配置项) core configuration item

计算机操作系统、办公软件、浏览器、BIOS系统和防恶意代码软件等基础软件中影响计算机安全的关键参数可选项。

注:核心配置项类型包括开关项、枚举项、区间项和复合项,可以根据安全要求对其进行赋值。

核心配置 core configuration

对核心配置项进行参数设置的过程。

注:通过核心配置限制或禁止存在安全隐患或漏洞的功能,启用或加强安全保护功能,来增强计算机抵抗安全风险的能力。

核心配置项基值 core configuration item base value

按照核心配置基本要求对配置项的参数设置。

核心配置基线 core configuration baseline

能够满足计算机安全基本要求的一组核心配置项基值构成的集合。

核心配置清单core configuration list

由核心配置项构成的一种列表,是对核心配置项属性的一种形式描述。

核心配置基线包 core configuration baseline package

为实现核心配置基线自动化部署而制定的一种具有特定语法格式的核心配置数据文件。

缩略语

下列缩略语适用于本文件。

BIOS:基本输入输出系统(Basic Input Output System)

TCM:可信密码模块(Trusted Cryptography Module)

FTP:文件传输协议(File Transfer Protocol)

XML:可扩展置标语言(Extensible Markup Language)

WMI:桌面管理规范(Windows Management Instrumentation)

GUID:全球唯一标识符(Globally Unique Identifier)

CGDCC:政务计算机终端核心配置(Chinese Government Desktop Core
Configuration)

文本结构

本标准分为三个部分。第一部分为概述,见第6章,阐述了核心配置基本概念,包括核心配置的对象、范围、基本类型、赋值方法、对安全的作用以及自动化实施框架。第二部分由第7章到第10章组成,在技术层面上详细规定了核心配置的自动化实现方法,包括核心配置基本要求、核心配置清单、核心配置基线包、核心配置自动化部署及监测技术要求。第三部分见第11章,在管理层面上详细规定了核心配置的实施流程,包括实施准备、基线制定、测试验证、配置部署、配置检查和例外处理等六个环节。

概述

核心配置对象

本标准针对应用于政务部门的联网计算机终端提出核心配置要求,包括连接到互联网、政务专网(政务内网、政务外网)的桌面计算机、膝上型计算机和瘦客户机等。

核心配置范围

核心配置的范围包括如下方面:

a) 操作系统,如Windows系列、国外Linux和国产Linux等;

b) 办公软件,如国外Office软件和国产WPS软件等;

c) 浏览器软件,如国外Internet
Explore、Chrome、Firefox和国产遨游、360浏览器等;

d) 邮件系统软件,如国外Outlook和国产Foxmail等;

e) BIOS系统软件,如AMI BIOS、Award BIOS等;

f) 防恶意代码软件,如内防病毒、防木马软件等。

依据GB/T
22239-2008中7.1.3和7.1.4对于第三级主机安全和应用安全的要求,从如下方面对上述基础软件提出配置要求:

a) 身份鉴别:包括账户登录和口令管理;

  

g) 访问控制:包括账户管理和权限分配;

h) 安全审计:包括账户行为审计和资源访问审计;

i) 剩余信息保护:包括临时文件、历史文件和虚拟文件管理;

j) 入侵防范:包括对组件的保护功能开启、应用程序的更新升级;

k) 恶意代码防范:包括杀毒软件的安装、升级和病毒查杀管理;

l) 资源控制:包括服务、端口、协议等资源管理和数据的加密保护。

核心配置项基本类型

根据核心配置项的取值范围,核心配置项分为开关项、枚举项、区间项和复合项等基本类型。

a) 开关项:取值仅为"0"或"1"。例如,配置项"下载未签名的Active控件",可赋值为"启用(1)“或"禁用(0)”。

  

m) 枚举项:取值是离散的、可数的且多于两种。例如,配置项"具有从网络访问本地计算机权限的账户",可赋值为"管理员(Administrators)"、“超级用户(Power
Users)”、"一般用户(Users)“或"来宾(Guests)”。

n) 区间项:取值连续分布在一个区间内。例如,配置项"账户锁定时间",赋值范围为
“1-99999min”。

o) 复合项:由上述两种或多种关联配置项组合而成。例如,配置项"启动屏幕保护程序的等待时间",由开关项和区间项组成。首先"启用"屏幕保护程序,再设置"等待时间"。

核心配置项赋值方法

根据核心配置项赋值路径不同,可分为注册表赋值和配置文件赋值两种方法,分别说明如下:

a) 注册表赋值方法

通过修改核心配置项对应的注册表键值等,实现对配置项的赋值,例如Windows操作系统;

p) 配置文件赋值方法

通过修改配置文件中有关的配置项,实现对配置项的赋值,例如Linux操作系统。

根据核心配置部署方式不同,可分为手动和自动两种方法,分别说明如下:

a) 手动赋值

对核心配置项进行人工逐项赋值。该方法适用于针对少量终端的少量配置部署。例如,在Windows系统环境下,运行组策略编辑器(GPEdit),由人工对核心配置项进行赋值;在Linux系统环境下,直接编辑配置文件,对核心配置项逐项进行赋值;在BIOS系统中,直接在人机界面上,逐项进行手动赋值。

q) 自动赋值

编辑核心配置基线包,调用自动部署工具,对核心配置项进行赋值。该方法适用于大量终端批量配置部署。

核心配置对安全的作用

核心配置主要通过如下四种方式提高终端安全性:

a) 启用数字签名、数据执行保护(DEP)、加密存储、更新升级等安全保护功能;

  

r) 禁止使用存在或可能存在安全漏洞的服务、端口、程序、脚本和驱动等;

s) 加强口令管理、身份鉴别、账户管理和安全审计等安全保护手段;

t) 限制软硬件访问权限、资源共享和远程登录等功能。

核心配置自动化实施框架

核心配置自动化实施框架包括以下四个部分:

a) 提出核心配置基本要求,根据计算机终端所属系统或环境的安全需求及安全级别,确定核心配置具体要求。核心配置基本要求见第7章。

  

u) 编制核心配置清单,采用清单方式描述核心配置要求,包括配置项标识、配置项名称、配置项组别、安全级别、取值范围、配置项基值、赋值路径和检查规则等。核心配置清单格式要求见第8章。

v) 生成核心配置基线包,将配置清单转化成为一种符合XML语法的嵌套式结构数据文件,以供自动化部署工具实施。核心配置基线包格式要求见第9章。

w) 自动部署及监测,通过搭建核心配置自动化部署平台,实现核心配置项的批量自动赋值和合规性实时检测。具体技术要求见第10章。

核心配置基本要求

操作系统核心配置要求

概要

本标准依据GB/T
22239-2008中7.1.3对第三级主机安全的要求,针对国内外主流操作系统,在身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范和资源控制等方面提出核心配置基本要求。

身份鉴别

身份鉴别配置要求包括:

a) 账户登录时,应启动身份验证机制,限制连续登录失败次数,连续多次登录失败后应锁定账户;

  

x) 应配置安全的口令长度、复杂度、有效期和加密强度,禁止不设置口令;

y) 启动账户登录界面时,应禁止无关进程的启动和运行,防止鉴别信息被窃听。

注:附录A给出了身份鉴别配置要求示例。

访问控制

访问控制配置要求包括:

a) 应禁用匿名账户(Anonymous)、来宾账户(Guest)、产品支持账户(Support),限用管理员账户(Administrator),重命名管理员账户,限制普通用户的访问权限,禁止任何账户远程访问;

  

z) 应限制账户对文件、硬件、驱动、内存和进程等重要资源的访问权限;

a) 应限制账户权限提升和授权访问等操作。

安全审计

安全审计配置要求包括:

a) 应启用安全日志,记录账户的创建、更改、删除、启用、禁用和重命名等操作,记录账户登录和注销、开关机、配置变更等操作;

  

b) 应启用系统日志,记录对文件、文件夹、注册表和系统资源的访问操作。

剩余信息保护

剩余信息保护配置要求包括:

a) 关闭系统时,应清除虚拟内存页面文件;

  

c) 断开会话时,应清除临时文件夹;

d) 应禁止剪贴板存储信息与远程计算机共享。

入侵防范

入侵防范配置要求包括:

a) 应启用资源管理器数据执行保护(DEP)模式和Shell协议保护模式;

  

e) 打开邮件的附件时,应启用杀毒软件进行扫描;

f) 应启动屏幕保护和休眠功能,设置唤醒口令;

g) 应开启系统定期备份功能;

h) 应限制应用程序的下载和安装,保持操作系统补丁及时更新。

资源控制

资源控制配置要求包括:

a) 应禁用信息共享、动态数据交换(Dynamic Data
Exchange)、互联网信息服务(Internet Information
Services)、FTP和Telnet等网络连接、远程网络访问等服务,限制蓝牙等无线连接;

b) 禁止介质自动运行(Auto run);

c) 应关闭FTP、HTTP(超文本传输协议Hypertext Transport
Protocol)、RPC(远程过程调用协议Remote Procedure Call
Protocol)、UPNP(通用即插即用Universal Plug and
Play)、远程桌面服务、远程控制类软件服务端监听、木马软件等对应开放的端口;

d) 应禁止IPC(进程间通信Inter Process
Communication)管道连接,限制SYN(同步字符Synchronize)的传输次数和发送时间;

e) 应启用磁盘加密系统等数据保密配置。对于三级以上政务计算机应配置TCM模块,遵循国家密码管理局发布的可信计算相关标准保护敏感数据。

办公软件核心配置要求

本标准依据GB/T中22239-2008
7.1.4对第三级应用安全的要求,针对国内外主流办公软件提出如下核心配置要求:

a) 应禁止ActiveX控件的使用;

  

i) 应禁用所有未经验证的加载项;

j) 应限用未数字签名的宏;

  

b) 应限制在线自动更新升级、网上下载剪贴画和模板等资源,以及访问超级链接。

浏览器核心配置要求

概要

本标准依据GB/T
22239-2008中7.1.4对第三级应用安全的要求,针对国内外主流浏览器,在浏览器安全选项、域安全管理和隐私保护等方面提出核心配置基本要求。

浏览器安全选项

浏览器安全选项配置要求包括:

a. 应严格禁止运行java小程序脚本;

b. 应限制下载和安装未签名的Active X控件;

c. 应开启浏览器的保护模式。

域安全管理

域安全管理配置要求包括:

a) 访问以太网的安全限制应设为中或高;

  

k) 访问企业专网的安全限制可设为中;

l) 访问可信站点的安全限制可设为低;

m) 应限制访问受限站点,禁止从受限站点下载或保存文件。

隐私保护

隐私保护配置要求包括:

a) 退出网页时,应删除Cookie文件、下载记录、访问网站历史记录和临时文件夹;

  

n) 应限制输入框自动关联功能。

邮件系统核心配置要求

本标准依据GB/T
22239-2008中7.1.4对第三级应用安全的要求,针对国内外主流邮件系统软件提出如下配置要求:

a) 应配置安全的邮箱登录口令的长度和复杂度;

  

o) 对本地存储的邮件应开启加密功能;

p) 发送邮件应使用数字签名和数字加密技术,接收邮件应对数字签名进行验证;

q) 应开启加密协议收发邮件;

r) 应禁止直接运行附件中存在安全隐患的文件类型;

s) 应禁止运行邮件中的超链接;

t) 应启用垃圾邮件过滤功能。

BIOS 系统核心配置要求

本标准依据GB/T中22239-2008
7.1.3对第三级主机安全的要求,对BIOS系统提出如下配置要求:

a) 开机时应启动身份鉴别机制,并设置安全的口令长度和复杂度;

  

u) 应限制硬件资源使用,包括软驱、硬盘、内存、USB设备、网卡和CPU等;

v) 应启用硬盘写保护;

w) 应限制使用定时开机、远程模式控制开机、键盘鼠标开机等开机模式;

x) 操作系统操作关机后,应立即断开计算机电源;

y) 应限制由外部设备,如U盘、光驱等引导启动计算机终端。

防恶意代码软件核心配置要求

防恶意代码软件核心配置要求包括:

a) 应开启实时保护功能;

b) 应及时升级防恶意代码软件至最新版本,开启自动更新病毒库功能;

c) 应定期进行病毒、木马等恶意代码扫描,发现恶意代码立即隔离或删除。

核心配置清单

概要

核心配置清单描述配置项的属性,包括配置项标识、配置项名称、配置项描述、配置项组别、安全级别、取值范围、配置项基值、赋值路径和检查规则。

配置项属性

配置项标识

配置项标识是配置项的唯一编码,由三组字符构成,通过"-“进行分隔,标识规则如图1所示。最高组位的字符使用CGDCC,代表政务终端核心配置;中间组位引用软件产品标识;最低组位使用4位数字代表配置项序号。例如"Window7口令长度"配置项,其标识为"CGDCC-win7-0011”。

siduwenku.com 专注免费分享高质量文档

  1. 配置项标识规则

配置项名称

描述配置项名称的字符串。

配置项描述

从终端的安全风险、配置项的应对措施和潜在影响等三个方面对配置项进行解释说明。其中,安全风险主要描述配置项所对应的系统脆弱性;应对措施主要描述配置项推荐参数赋值;潜在影响主要描述配置生效后可能对终端系统造成的影响。

配置项组别

需对配置项进行分组时,描述配置项所属的组别。

安全级别

描述配置项对计算机终端安全性的影响程度,分为一般、重要和严重三个级别。

取值范围

描述配置项允许赋值的范围,可用开关、枚举和区间表示。

配置项基值

描述符合核心配置基本要求的配置项基值。当配置项安全级别为严重时,此配置项必须按照基值进行赋值。

赋值路径

描述配置项的赋值路径。对于Windows的配置项,可以依据配置项的赋值路径,使用相应的配置工具进行赋值。例如,配置项"账户锁定时间"的赋值路径为"Computer
Configuration\Windows Settings\Security Settings\Account
Policies\Account Lockout
Policy",通过组策略编辑器(GPEdit)工具,在该路径下可对"账户锁定时间"进行赋值。

检查规则

描述检查配置项的实际值是否达到基值的判断规则,如大于配置项基值、小于配置项基值、等于配置项基值、大于等于配置项基值、小于等于配置项基值。

核心配置基线包

概要

核心配置基线包是一种嵌套式结构的数据文件,采用XML格式对核心配置基线中各配置项的属性进行规范性标记,以实现核心配置部署及监测的自动化。

核心配置基线包由格式版本标记、基线标记和产品标记三部分组成。其中,基线标记包括基线版本标记、配置组标记、配置项标记和检查标记。核心配置基线包格式结构如图2所示。

siduwenku.com 专注免费分享高质量文档

  1. 核心配置基线包格式结构

主标记

核心配置基线包用"CGDCC-Package"作为主标记,其结构如表1所示。

  1. 主标记

格式版本标记

格式版本用"CGDCC-FormatInfo"作为标记,描述核心配置基线包格式版本的基本信息,其结构如表2所示。

  1. 格式版本标记

基线标记

基线主标记

用"CGDCC-Baseline"作为基线主标记,描述核心配置基线的基本信息,其结构如表3所示。

  1. 基线标记

表3(续)

配置项组别标记

用"SettingGroup"作为配置项组别标记,描述配置项分类的基本信息,其结构如表4所示。

  1. 配置项组别标记

表4(续)

配置项标记

配置项主标记

用"SettingItem"作为配置项标记,描述各核心配置项的基本信息,如表5所示。

  1. 配置项标记

配置项内容标记

  1. 配置项内容主标记

用"Content"作为配置项内容标记,描述各核心配置项内容的主要信息,如表6所示。

  1. 配置项内容标记

表6(续)

  1. 配置项取值映射表标记

用"ValueMappingTable"作为配置项取值映射表标记,描述核心配置项取值映射表的主要信息,如表7所示。

  1. 取值映射表标记

配置项取值标记

用"DiscoveryInfo"作为配置项取值标记,描述核心配置项取值方法,如表8所示。

  1. 配置项取值标记
  
  1. cgdcc-core是命名空间的前缀。

配置项赋值标记

用"ExportInfo"作为配置项赋值标记,描述核心配置项赋值方法,如表9所示。在组策略工具中,通过加载组策略导出文件(GPO
Backup)进行赋值。

  1. 配置项赋值标记

配置项检查标记

用"Check"作为配置项检查标记,描述判断配置项是否存在,以及实际值是否达到基值的规则,如表10所示。

  1. 配置项检查标记

产品标记

用"CGDCC-Product"作为配置基线的产品标记,描述配置基线适用产品的主要信息,如表11所示。

  1. 产品标记

延伸阅读

更多内容 可以 政务计算机终端核心配置规范. 进一步学习

联系我们

DB3202-T 1047-2023 工贸企业安全风险分级管控和隐患排查治理规范 无锡市.pdf

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/51746.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Terraform学习】使用 Terraform 创建Amazon VPC(Terraform-AWS最佳实战学习)

使用 Terraform 创建Amazon VPC 实验步骤 前提条件 安装 Terraform: 地址 下载仓库代码模版 本实验代码位于 task_vpc 文件夹中。 变量文件 variables.tf 在上面的代码中,您将声明,aws_access_key,aws_secret_key和 区域变量…

Linux搭建SSLVpn

安装http、ssl服务 编辑http配置文件 修改http的136行,276行以及990行 1、136行将监听端口注释 2、276行和990行修改为自己的域名和要访问的端口 修改http文档最后那部分 新添ssl配置信息,将端口修改为443(截图错了server.key应该放在/etc/…

jenkins Linux如何修改jenkins 默认的工作空间workspace

由于jenkins默认存放数据的目录是/var/lib/jenkins,一般这个var目录的磁盘空间很小的,就几十G,所以需要修改jenkins的默认工作空间workspace 环境 jenkins使用yum安装的 centos 7 正题 1 查看jenkins安装路径 [rootlocalhost jenkins_old_data]# rpm…

【80天学习完《深入理解计算机系统》】第九天 3.2 数据传送指令【mov】【栈和堆】【leaq】【一元操作】【二元操作】

专注 效率 记忆 预习 笔记 复习 做题 欢迎观看我的博客,如有问题交流,欢迎评论区留言,一定尽快回复!(大家可以去看我的专栏,是所有文章的目录)   文章字体风格: 红色文字表示&#…

基于AWS的3D模型搜索服务实现

3D模型广泛应用于计算机游戏、电影、工程、零售业、广告等许多领域。市场上有很多制作3D模型的工具,但几乎没有工具可以直观地搜索3D模型数据库以找到类似的3D模型 因为开发好的 3D 模型搜索工具非常具有挑战性。 它需要复杂的计算和 AI/ML 框架来创建模型描述符并提…

【MySQL系列】Select语句单表查询详解(二)ORDERBY排序

💐 🌸 🌷 🍀 🌹 🌻 🌺 🍁 🍃 🍂 🌿 🍄🍝 🍛 🍤 📃个人主页 :阿然成长日记 …

C语言:选择+编程(每日一练Day8)

目录 选择题: 题一: 题二: 题三: 题四: 题五: 编程题: 题一:字符个数统计 思路一: 题二:多数元素 思路一: 本人实力有限可能对一些…

k8s 安装 istio(二)

3.3 部署服务网格调用链检测工具 Jaeger 部署 Jaeger 服务 kubectl apply -f https://raw.githubusercontent.com/istio/istio/release-1.16/samples/addons/jaeger.yaml 创建 jaeger-vs.yaml 文件 apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata…

【面试】一文讲清组合逻辑中的竞争与冒险

竞争的定义:组合逻辑电路中,输入信号的变化传输到电路的各级逻辑门,到达的时间有先后,也就是存在时差,称为竞争。 冒险的定义:当输入信号变化时,由于存在时差,在输出端产生错误&…

使用haproxy搭建web架构

haproxy HAProxy是一个免费的负载均衡软件,可以运行于大部分主流的Linux操作系统上。 HAProxy提供了可以在七层和四层两种负载均衡能力,它可以提供高可用性、负载均衡、及基于TCP和HTTP应用的代理。适用于负载大的Web站点,在运行在硬件上可…

企业工程项目管理系统源码(三控:进度组织、质量安全、预算资金成本、二平台:招采、设计管理) em

​ 工程项目管理软件(工程项目管理系统)对建设工程项目管理组织建设、项目策划决策、规划设计、施工建设到竣工交付、总结评估、运维运营,全过程、全方位的对项目进行综合管理 工程项目各模块及其功能点清单 一、系统管理 1、数据字典&#…

mysql数据库root密码遗忘后,修改root密码

目录 方式一: 方式二: 2.1 也可以像我这样,普通用户登录进去后 2.2 执行如下命令,将已知的user1的加密密文更新到root中 2.3 查询数据库 2.4 用root用户登录 2.5 登录正常,但这会root登录进去后,无法…

2023深圳智博会,正运动助力智能装备“更快更准”更智能!

■展会名称: 2023 深圳国际智能装备产业博览会暨深圳国际电子装备产业博览会(以下简称“EeIE 智博会”) ■展会日期 2023年8月29日-31日 ■展馆地点 深圳国际会展中心(宝安新馆) ■展位号 3B030 正运动技术,作为国内领先的…

smartbi token回调获取登录凭证漏洞

前段时间,Smartbi官方修复了一处权限绕过漏洞。未经授权的攻击者可利用该漏洞,获取管理员token,完全接管管理员权限。于是研究了下相关补丁并进行分析。 0x01分析结果 依据补丁分析,得到如下漏洞复现步骤 第一步,设…

网络安全---负载均衡案例

一、首先环境配置 1.上传文件并解压 2.进入目录下 为了方便解释,我们只用两个节点,启动之后,大家可以看到有 3 个容器(可想像成有 3 台服务器就成)。 二、使用蚁剑去连接 因为两台节点都在相同的位置存在 ant.jsp&…

CAD泰森多边形框架3D插件

插件介绍 CAD泰森多边形框架3D插件可用于在AutoCAD软件内生成三维Voronoi框架结构实体模型,适用于多孔Voronoi科研论文渲染绘图、Voronoi框架有限元建模、Voronoi空间结构优化等方面的应用。 使用说明 插件可设置生成的几何尺寸、晶格尺寸及边框直径等信息。 插…

发现一种增加在 GitHub 曝光量的方法,已举报

今天偶然看到一种增加项目和个人在 GitHub 曝光量的方法,但感觉无法赞同这种做法,已经向 GitHub 官方举报。 具体怎么回事呢?我上周在 Vim 插件大佬 tpope 的一个项目提了个 Issue,但一周过去了,大佬也没有回应&#x…

CSDN编程题-每日一练(2023-08-25)

CSDN编程题-每日一练(2023-08-25) 一、题目名称:影分身二、题目名称:小鱼的航程(改进版)三、题目名称:排查网络故障 一、题目名称:影分身 时间限制:1000ms内存限制:256M 题目描述&am…

Git gui教程---第八篇 Git gui的使用 创建一个分支

一般情况下一个主分支下代码稳定的情况下会新建出一个分支,然后在分支上修改,修改完成稳定后再合并到主分支上。 或者几个人合作写一份代码,每个人各一个分支,测试稳定再合并到主分支上。 在git gui选择菜单栏“分支”&#xff0…

什么是代码审计?怎么做?

代码审计是对源代码进行人工或自动化审查,以查找潜在的安全漏洞和隐患。在信息安全测试中,代码审计是非常重要的一环。它主要包括以下几个方面: 1.变量验证:检查代码是否对变量进行验证,防止变量被恶意用户篡改。 2.…