[zz]桌面计算机核心配置综述
http://www.infosec.org.cn/news/news_view.php?newsid=13047
摘 要:美国联邦政府提出并实施的联邦桌面核心配置计划(FDCC)制定了联邦政府所有Windows桌面计算机的安全配置标准。FDCC对于提高政府终端安全性方面具有重要的战略意义,其内容和实施经验对我国加强信息安全保障工作具有重要的参考价值和启示作用。本文全面介绍了FDCC的发展历史、实施意义、主要内容和实施方法等各个方面的内容,并基于FDCC提出我国计算机终端安全配置的研究思路。
关键词:桌面计算机 信息安全 操作系统 安全配置
1. 引言
桌面计算机核心配置最早由美国联邦政府提出,称为联邦桌面核心配置计划(FDCC)。该计划由美国联邦预算管理办公室(OMB)和美国国家标准与技术研究院(NIST)共同负责实施,旨在提高美国联邦政府所使用的Windows安全性,并使联邦政府桌面计算机的安全管理实现标准化和自动化。2007年3月,美国联邦政府预算管理办公室发布备忘录M-07-11[1],要求为Windows操作系统实施统一的安全配置,2007年6月联邦预算管理办公室再次发布备忘录M-07-18[2],鼓励软件开发商将FDCC作为开发标准,要求供应商要经过测评认证他们的产品与FDCC的系统环境完全兼容。上述两个备忘录发布之后,美国联邦预算管理办公室、国家标准技术研究院、国防部、国土安全部和微软开始合作开发FDCC[3]。
FDCC作为联邦政府所有桌面计算机的安全配置标准,已经成为美国国家网络安全综合计划(CNCI)的重要组成部分[4]。美国联邦政府强制规定所有使用Windows的计算机必须符合FDCC的配置要求。安全配置的统一化和标准化,有利于信息安全策略的整体部署和提高防范措施的实施效率,同时可大大削减部署和维护成本。实施FDCC以来,美国空军节省了1亿多美元,精简了8000名信息技术人员,呼叫服务的次数减少了40%,补丁安装时间从57天下降到3天,同时加强了基础结构优化,提高了桌面计算机的安全性。目前,越来越多的软件和产品支持和符合FDCC标准。
2. FDCC的形成
FDCC随着美国军事机构和民用机构的标准配置工作逐步发展起来,最早起源于2003年美国空军实施的标准桌面配置(SDC)。美国空军在435,000个终端上部署SDC,并进行了10个月的试验性测试,两年内全面投入使用。
标准桌面配置(SDC)中采用的安全配置主要基于微软发布的操作系统安全指南。2004年,美国国家标准技术研究院、国家安全局、国防部信息系统局和微软就WindowsXP的标准配置达成共识;2005年美国空军司令部就WindowsXP、IE6和Office2003的标准配置达成共识;2006年美国空军司令部就Vista、IE7、和Office2007的标准配置达成共识。达成共识的标准配置被不断扩充到标准桌面配置中。2006年美国国家标准技术研究院启动安全内容自动化计划(SCAP),SCAP为实现自动化的安全配置检查提供了标准支撑。标准技术研究院审查美国空军桌面配置后提出要扩展其适用范围、进一步规范XP和Vista的配置,并加快实施(SCAP)以制定FDCC;2006年底,微软发布Vista安全指南;2007年1月美国国防部等就Vista配置达成共识;2007年3月美国联邦预算管理办公室发布备忘录,要求所有联邦政府机构采用WindowsXP及Vista的标准配置。
在美国联邦政府预算管理办公室的指导和推动下,美国标准技术研究院负责FDCC的发布和管理。美国国土安全部、美国空军、美国国家安全局和美国国防情报系统机构等部门参与了FDCC的制定过程。
目前基于FDCC,微软又推出联邦服务器核心配置(FSCC)。FSCC主要基于美国国防部内部完成的工作以及微软已发布的Windows Server安全指南,其目的是将标准化桌面平台的优势应用于服务器平台。
3. 实施FDCC的意义
FDCC为美国联邦政府所有运行微软 Windows 的桌面计算机提供一个标准化安全管理的统一桌面环境。其意义主要体现在如下方面:
(1)提高一致性:FDCC提高了整个联邦政府桌面系统的一致性,使软件部署更快,测试所需时间大大缩短,从而有利于提高安全防范措施的实施效率;
(2)增强安全性:FDCC安全性由美国标准技术研究院、国家安全协会、国防部信息系统局、国防部、国土安全部,以及微软专家共同研究负责,共同支持;并且基线减小了标准用户的管理权限,要求启动防火墙,能有效防止用户调节降低系统安全性;
(3)降低运维成本:由于部署的一致性,简化了网络管理和工具的复杂性,所需要的信息技术支持人员大大减少,同时新产品(或更新)的安装测试时间及系统更新过程大大缩短;
(4)有利于知识分享:FDCC由多部门协作开发,避免了重复建设,很好的分享了各自经验。
4. FDCC主要内容
FDCC计划的核心是制定美国联邦政府Windows桌面计算机的安全配置标准,又称为FDCC安全基线。目前美国标准技术研究院已发布基于Windows XP和Vista操作系统的FDCC安全基线。同时为支持FDCC的规划、测试和部署,微软推出了多个配套实施工具。
4.1 FDCC安全基线
FDCC安全基线对Windows XP、Vista、IE及Windows防火墙的安全配置做出了具体规定。其主要关注四个要点:一是删除管理员和超级用户权限;二是启用防火墙;三是将FDCC设置应用于Windows和IE;四是随时进行配置管理。关键配置项如下图所示:
图1 FDCC安全基线关键配置举例
为方便FDCC的测试、部署和应用,美国标准技术研究院发布了四种形式的FDCC安全配置包,分别是:
(1)安全配置策略电子表格
该配置包以Excel表的形式列出了XP及Vista的安全配置策略,主要列出策略路径、策略配置名称、Vista/XP环境下的配置值、注册表设置、配置标识、策略描述等内容。
(2)组策略对象(GPOs)
Windows的安全策略主要是以组策略的形式进行配置和管理,因此美国国家标准技术研究院提供了FDCC的组策略对象配置包,以便用户直接利用组策略控制台或组策略加速器等工具部署和应用FDCC的安全配置。
(3)虚拟硬盘(VHDs)
虚拟硬盘配置包提供了FDCC的虚拟运行环境,用户可以在当前操作系统上直接运行该虚拟环境,以便进行软件兼容性和适用性方面的测试和评估。因此虚拟硬盘可作为FDCC的测试工具。
(4)安全内容自动化协议内容(SCAP Content)
FDCC提供了用于自动化安全配置检查的安全配置包SCAP Content(安全内容自动化协议内容)。该配置包采用XML格式,描述了XP、Vista、Windows防火墙和IE7的配置检查项,可通过实施自动化检查(FDCC Scan),提供第三方的安全配置合规性评估检查。
安全内容自动化协议(SCAP)是由美国标准技术研究院制定的一套支持自动化漏洞管理、测量和政策合规评估的安全标准规范。其主要对通信的方式和内容进行标准化,包括建立国家漏洞数据库NVD,确定评估报告的格式和频率,并提供产品测试和认证。SCAP由以下六个标准构成:
1)通用脆弱性和漏洞目录(CVE):该标准定义了与软件漏洞相关的安全脆弱性的标准标识符和目录;
2)通用配置目录(CCE):该标准定义了与安全相关的系统配置项的标准标识符和目录;
3)通用平台目录(CPE):该标准定义了平台及产品的标准名称和目录;
4)可扩展配置控制列表描述格式(XCCDF):该标准定义了控制列表和检测报告的XML描述格式;
5)开放性脆弱性评估描述语言(OVAL):该标准定义了与软件缺陷、配置问题、补丁相关的安全测试过程以及测试报告XML描述格式;
6)通用脆弱性评分系统(CVSS):该标准定义了脆弱性对系统影响的评分和传递标准。
CVE、OVAL和CVSS主要用于漏洞管理,CCE主要用于配置管理,CPE主要用于资产管理,XCCDF主要用于配置管理和合规性管理。上述标准为FDCC的自动化检查,包括漏洞检查、配置检查以及检查方法,提供了标准化的描述格式。
4.2 FDCC配套实施工具
微软提供的FDCC配套工具主要用于FDCC的测试、评估和部署。主要工具介绍如下:
(1)虚拟机
虚拟机(VM)主要用于应用程序兼容性和开发测试。美国标准技术研究院和微软发布了Winnows XP专业版SP2和Windows Vista的FDCC虚拟机。虚拟机主要用于测试软件与FDCC环境的兼容性,还用于帮助信息技术人员熟悉FDCC并制定应用计划。虚拟机可以在当前操作系统上运行而不会产生冲突,只要单击鼠标就可在FDCC虚拟机和当前系统间进行切换,因此方便软件的测试、移植和开发工作。
(2)微软评估和规划工具
微软评估和规划工具(MAP)主要用于评估当前信息技术基础设施情况,从而确定可满足需求的系统移植技术方案。MAP可收集整理局域网内的系统资源和设备信息,而不需在每台终端上安装代理程序。评估过程应用的技术包括:Windows管理设备(WMI)、远程注册服务、SNMP、活动目录域服务、浏览器服务等。MAP提供的详尽的分析数据大大减化系统移植到Windows Vista,Office2007,Windows Server2008,Hyper-V等所需的规划过程。MAP生成的评估报告包括摘要和详细数据,并可导出为Word和 Excel文件。
(3)应用程序兼容性测试工具
应用程序兼容性测试工具(ACT)属于生命周期管理工具,通过测试分析兼容性指标数据,合理化组织应用程序、网站和计算机终端等应用资产;评估操作系统部署、系统升级的影响、与网站的兼容性等。兼容性测试包括识别已安装的应用程序和系统信息,用户账户控制兼容性测试、升级兼容性测试、浏览器兼容性测试和WindowsVista兼容性测试;ACT有助于识别和管理所有应用程序资产,减少解决应用程序兼容性问题的时间和成本开销、快速部署WindowsVista和Windows更新。
(4)微软部署工具
微软部署工具将桌面和服务器部署所需的工具和过程集成为一个通用部署控制台。第四代部署加速器集成了最新的部署技术,即建立单一路径用于创建映像和自动安装。微软部署工具提供端到端向导减少部署时间、标准化桌面和服务器映像、限制服务中断、缩减部署后技术支持服务成本,提高安全性和持续的配置管理。目前微软部署工具支持以下微软产品的部署:windowsVista商业版、企业版和最终版,Office2007专业版、企业版和最终版,Windows Server2003 R2版,WindowsXP专业版SP2,WindowsServer2008 PR版。
(5)组策略部署工具
组策略加速器(GPOAccelerator)可以自动生成安全配置部署所需的所有组策略对象(GPOs),比手动配置过程要节省大量时间和工作量,该工具还提供了使用向导指导策略部署。
5. 微软安全基线
FDCC是在微软安全基线基础上制定的。微软安全基线是针对WindowsXP和Vista的通用安全指南,属于指导性技术文件,主要指明安全配置可能的值、漏洞及对策等等。微软安全基线由微软独立开发,并通过美国标准技术研究院、美国国防部等部门的审查和认可。
微软安全基线由一系列安全配置管理文档和数据组成。包括安全指南、安全配置的Excel列表,组策略(GPOs)安全模板、XML数据文件、SCAP数据流文件、预期配置管理(DCM)配置包等等。同时为了方便安全基线的部署和实施,微软还提供了基线部署工具组策略加速器(GPOAccelerator)和基线监控管理工具SCM(达标基线管理员)。
微软安全基线提供了两个层次的配置方案:一是适用于多数企业和组织的基线配置方案,称为企业配置(EC),;二是为了确保安全而对功能做出限制的基线配置方案,称为专用安全限制功能(SSLF)。用户可以根据自己的安全目标和应用需求选择使用。
微软安全基线的实施步骤为:
(1)规划和部署安全基线,通过了解企业的安全要求和阅读规范性指南,确定安全基线配置(包括操作系统和应用软件);
(2)利用组策略加速器(GPOAccelerator)工具自动部署安全基线;
(3)使用系统中心配置管理器(SCCM)的预期配置管理(DCM)功能进行合规性检查,为操作系统和应用软件应用配置包,运行并生成合规性报告;
(4)可利用SCM(达标基线管理员)工具监控和管理安全基线。
目前微软已发布的安全基线产品包括WindowsXP安全基线、Vista安全基线、WindowsServer2003安全基线、WindowsServer2008安全基线、Office2007安全基线Hyper-V安全指南和SCM(达标基线管理员)。正在开发的产品包括:Windows7安全基线、IE8.0安全基线、Exchange Server2007基线、SCAP的系统中心扩展。
6. FDCC实施过程
FDCC实施过程分为如下三个阶段:
(1)准备阶段
首先要与运营商、安全及管理层共同分析安全目标和安全需求,确定安全基线配置要求及实施FDCC对本机构的影响;其次是检查设备及软件情况,具体方法是用户以普通用户身份登录,通过SMS查询、Tivoli查询等自动获取硬件和软件的数据,使用程序兼容性工具包(ACT)或Vista硬件评估对问题应用程序进行标记,并收集防火墙例外情况的信息。
(2)制作阶段
首先要确定操作系统所需要的组件/功能,并创建镜像或者组策略对象(GPOs);其次要向美国标准技术研究院报告与FDCC标准配置之间的偏差及纠正偏差的最终计划;然后在测试环境中测试和解决由FDCC引起潜在的系统和应用程序兼容性问题,并验证安全设置的有效性。
(3)部署阶段
首先要开发用于生产环境的部署计划;其次与信息技术用户沟通所产生的变化;然后部署和实施FDCC,小型机构一般通过批处理文件结合.inf文件的文法实施,推荐做法是通过GPO(组策略)来实施。通过活动目录组策略或微软提供的管理工具部署桌面配置,并可通过策略管理控制台来管理组管理对象,或通过制作映像进行批量部署。
(4)应用阶段
应用阶段主要进行FDCC的合规性检查和评估。FDCC利用SCAP标准框架进行描述,建立了一套针对桌面计算机的安全基线检查项,这些检查项由安全漏洞、安全配置等有关检查内容构成,可采用标准化的检查方法,利用经过SCAP认证的FDCC检查工具自动执行合规性检查。
7. FDCC对我国提高政务计算机终端安全的启示
美国联邦政府实施的FDCC计划,表明了美国政府对计算机终端安全的重视,其战略部署、实施经验和实施效果都给我国加强信息安全保障工作有很重要的启示。
(1)终端安全重要性凸显,安全配置管理是关键。终端是信息加工、处理和存储的重要基础设备,其安全性会严重影响整个网络的安全,而安全漏洞的大量存在是终端脆弱性的主要原因。因此通过限制用户权限、关闭部分服务功能等安全配置管理可有效减少系统漏洞,提高终端防护能力。
(2)实行终端安全配置统一化和标准化,不仅有利于降低系统风险、方便信息安全防范措施的统一部署和实施效率,还可有效降低终端安全管理的复杂性和维护成本。因此应研究制定符合我国国情的政务终端安全配置指南标准,并推动相关计划的实施。这对于降低我国政府信息化成本特别是信息安全成本也有着重要作用。
(3)加强关键技术产品的自主可控。我国在操作系统等关键技术产品方面还依赖于美国,而通过实施类似FDCC的安全配置计划,则可实现终端安全配置和管理的自主化。并且我国终端安全配置标准的推出,及配套实施工具的研发,有利于推动软件等关键技术产品的升级改造和自主创新,也是利用政府应用推动国产化的一个契机。
8. 我国实施政务终端安全配置(CGDCC)的基本思路
随着我国信息化建设进程的加快,政务部门对信息系统的依赖性越来越强,统一的系统防范手段也逐步升级。但是,作为各类恶意攻击和数据失窃源头的计算机终端由于缺少统一的安全防范策略和安全护理措施,使得计算机终端的可控性变得越来越低。通过加强终端安全标准配置管理,有利于提高终端安全性和管理效率。因此,应在研究美国联邦核心配置(FDCC)的基础上,尽快制定符合我国政府终端安全目标和安全需求的政务终端安全配置(CGDCC)标准,并支持标准配套实施工具的开发,以实现对全国政务终端的统一化和标准化的安全配置管理。具体实施计划如下:
(1)制定安全配置标准指南
根据我国政府对于终端安全的相关政策要求和实际需求,制定中国政务终端安全配置标准。重点从权限、密码、端口、服务等方面给出安全策略配置指南,以加强对操作系统及应用软件的安全管理,并提供详细的安全配置策略目录。
(2)研发标准配套工具
CGDCC计划的实施需要一系列工具软件的支持,以加快其测试、部署和应用推广过程。主要包括安全配置策略自动部署工具、验证测试工具、以及标准符合性测试工具。国家信息中心推出的政务终端安全护理系统(PCCARE)提供了安全状态监测和安全策略统一配置功能。因此可在PCCARE的基础上继续完善其策略部署、监测及管理功能,以支持CGDCC的自动化统一部署、日常监测和符合性测试。
(3)标准验证与试点
在CGDCC正式发布之前要进行充分的测试和验证,包括有效性测试、一致性测试和试点应用验证。有效性验证,主要测试策略的有效性,即安全配置策略是否能达到安全目标和要求。一致性测试主要验证策略之间是否存在冲突,解决一致性问题;试点验证要在政府部门开展CGDCC的应用验证,重点验证CGDCC与现有软硬件环境的兼容性,并验证其应用效果。
(4)标准部署与实施
制定并实施CGDCC的部署计划和应用推广计划。利用CGDCC配套工具,进行全国政务终端的安全配置策略统一部署,以及CGDCC的监测和符合性测试评估,保证CGDCC的实施效果。此外要在应用过程中不断积累经验,以发展和完善CGDCC。
9. 国家信息中心开展CGDCC研究情况简介
国家信息中心信息安全研究与服务中心是负责国家发改委信息系统建设安全保障的职能部门,专门从事信息安全领域技术、标准研究,并对外开展信息安全服务。2008年国家信息中心与微软(中国)公司签订信息安全合作协议(SCP),双方开始在信息安全领域开展密切合作,其中一项重要内容就是微软首先支持国家信息中心开展FDCC研究与转化应用,并在核心技术和工具方面提供支持。目前,该项研究已进行了近一年,取得了一定的研究成果,CGDCC标准草案即将完成,这对推动我国终端安全管理工作将起到积极作用。
