终端安全配置管理系统技术白皮书

终端安全配置管理系统

技术白皮书

国家信息中心

目录

第一章终端安全配置管理系统简介 (1)

1.1 为什么要做终端安全配置 (1)

1.2 机构如何实现机构高效的终端安全配置管理 (2)

1.3 终端安全配置管理系统技术优势 (3)

第二章终端安全配置管理系统逻辑结构 (5)

第三章终端安全配置管理系统功能 (7)

第四章终端安全配置基线介绍 (9)

4.1 基线概述 (9)

4.2 终端硬件安全配置 (9)

4.3 终端软件安全配置 (10)

4.4 终端核心安全配置 (11)

第五章系统应用方案 (14)

5.1 应用架构 (14)

5.2 实施流程 (16)

5.3 运行环境要求 (16)

第六章技术支持服务 (18)

附录一W INDOW7操作系统安全配置清单（示例） (19)

附录二国家信息中心简介 (24)

i

第一章终端安全配置管理系统简介

1.1 为什么要做终端安全配置

在构成信息系统的网络、服务器和终端三要素中，对终端的攻击和利用终端实施的窃密事件急剧增多，终端安全问题日益突显。攻击和窃密是终端安全的外部原因，计算机系统存在缺陷或漏洞、系统配置不当是终端安全的内部原因。外因通过内因起作用，内因是决定因素。据调查，针对系统核心的攻击中，5%是零日攻击，30%是没有打补丁，65%是由于错误的配置。因此正确的安全配置才是保障终端安全性的必要条件。

计算机终端核心配置最早由美国联邦政府提出，称为联邦桌面核心配置计划（FDCC）。该计划由美国联邦预算管理办公室（OMB）负责推动，旨在提高美国联邦政府计算机终端的安全性，并实现计算机管理的统一化和标准化。美国空军最先实施桌面标准配置并取得了良好的应用效果。2007年，美国联邦政府强制规定所有使用Windows的计算机必须符合FDCC的配置要求。

近年来，我国逐步认识到终端安全配置管理对于加强计算机终端安全保障工作的重要作用，对美国联邦政府实施的桌面核心配置进行了跟踪研究，并开展了我国终端安全配置标准的研制工作。多家科研院所和安全厂商参与了相关研究工作，其中，国家信息中心是国内最早开展终端安全配置研究的单位之一，目前已编制完成政务终端安全核心配置标准草案，并开发出一整套标准应用支撑工具—终端安全配置管理系统。该系统在各地方的试点应用取得了明显的成效。

终端安全配置分为硬件安全配置、软件安全配置和核心安全配置，如图1所示。分别介绍如下：

硬件安全配置：根据计算机硬件列装的安全要求，仅可安装符合规定的硬件和外联设备，关闭存在安全隐患的接口以及驱动，以满足政府机构和大型企业对硬件环境的安全需求。包括计算机部件清单、外联设备清单、外联接口安全配置和硬件驱动安全配置；

软件安全配置：根据计算机软件安装的安全要求，仅可安装符合规定的操作系统和软件，禁止非法软件安装，以满足政府机构和大型机构对软件环境的安全需求。包括应安装软件列表、可安装软件列表和禁止安装软件列表；

核心安全配置：对终端操作系统、办公软件和浏览器、邮件系统软件、其它常用软件等与安全有关的可选项进行参数设置，限制或禁止存在安全隐患或漏洞的功能，启用

或加强安全保护功能，增强终端抵抗安全风险的能力。包括操作系统安全配置、常用软件安全配置和业务应用软件安全配置。

图1 终端安全配置分类

正确合理的应用终端安全配置，不仅可以使机构的用户终端规避安全风险，同时可以帮助机构领导掌握全网终端的安全状况，提高安全措施实施效率，大大降低运维和检查成本。

1.2 机构如何实现机构高效的终端安全配置管理

为了实现高效的终端安全配置管理，充分发挥“安全配置”最大作用，终端安全配置管理系统从机构管理需求角度出发，实现了“四化”要求：

●终端安全“基线化”

制定并部署终端安全基线是实现高效配置管理的核心动力。安全配置基线是根据机构终端安全要求制定的关于终端硬件、软件及核心方面的最低配置要求。它是安全配置项的列表，是为机构衡量和评估终端安全性划定的一条基准线。满足这条基准线就可保证终端处于安全状态，并大大提高终端抵抗安全风险的能力。终端安全配置管理系统可按照基线内容对终端进行全面配置部署，并对每台终端的配置合规情况进行周期性检查，对合规和不合规标情况进行详细统计报告。将终端中纷繁杂乱的配置项按照“基线”进行统一管理，实现了终端安全有标准可依、可量化管理。

●配置管理“统一化”

集中统一化的管理模式是实现终端高效配置管理的重要保障。终端安全配置管理系统架构在终端安全护理平台（PCcare）之上，通过C/S的管理模式，对注册终端进行统一集成化的配置管理，保障了终端配置的统一性和一致性。同时，可以实现不同安全域

等级化，差异化的安全配置管理，加强了对注册终端的集中分类管理和设备更新管理。使管理者对机构终端安全做到“心中有数，可控可管”。

●部署实施“自动化”

自动化的实施手段是实现终端高效配置管理的必要条件。对于拥有大量终端的政府部门和企事业单位来说，管理员通过网络执行远程配置部署是最佳方案。终端安全配置管理系统采用C/S模式建立起一种高效、稳定、灵活的配置自动化部署方案，实现了从配置编辑、到配置部署，再到配置监测的全程化自动管理，实现了从手动配置到工具化大规模部署的跨越，保证了配置实施的效率。

●运维操作“简单化”

操作简便对于实现终端高效配置管理来说非常重要。终端安全配置管理系统界面友好易用，功能布局简明清晰，操作方便快捷，管理员只需简单的点击几下鼠标，就可完成包含数百条策略的安全配置基线的轻松部署和管理。并且在运维人力、物力和财力方面，大大节约了投入成本。

1.3 终端安全配置管理系统技术优势

终端安全配置管理系统的突出优势在于除了对软硬件进行安全配置之外，实现了针对操作系统及常用软件核心的安全配置管理，主要特点在于：

（1）与国家等级保护基本要求相衔接，提出核心安全配置基本要求，如图2所示。

图2 核心安全配置基本要求

针对操作系统以及各类常用软件从身份鉴别、访问控制、信息保护、安全审计和补丁升级等方面进行安全配置。

（2）对核心安全选项进行参数设置，实现系统深层加固，配置内容涉及应用层至链路层。例如，端口限制、口令加密存储方式、邮件系统附件类型限制、SYN攻击保护、