聲明

本文是學習 政務計算機終端核心配置規(guī)范. 而整理的學習筆記,分享出來希望更多人受益,如果存在侵權請及時聯(lián)系我們

核心配置自動化部署及監(jiān)測技術要求

自動化部署及監(jiān)測平臺基本架構

對于有一定規(guī)模的政務終端核心配置應用，需要配備自動化部署及監(jiān)測平臺，進行核心配置編輯、驗證、部署和監(jiān)測。自動化部署及監(jiān)測平臺由四個基本功能模塊構成，分別是配置編輯模塊、配置驗證模塊、配置部署模塊和配置監(jiān)測模塊，如圖3所示。其中，配置編輯模塊主要用于將核心配置清單自動轉換生成核心配置基線包，配置驗證模塊用于對核心配置基線包進行驗證和測試，生成可部署的配置基線包；配置部署模塊用于對核心配置基線包進行自動化部署；配置監(jiān)測模塊用于對核心配置狀態(tài)進行自動監(jiān)測。

3. 自動化部署及監(jiān)測平臺

配置編輯模塊

配置編輯模塊用來生成核心配置基線包，安全管理員依照核心配置基本要求制定配置清單，并對其進行轉換和處理，生成可以編輯、可以解析、可以分發(fā)和可以部署的核心配置基線包。配置編輯模塊應包括基線包生成器和基線包編輯器兩個部件：

a) 基線包生成器主要用于生成原始的核心配置基線包，可根據(jù)清單內容逐項錄入或由清單模版自動錄入；

z) 基線包編輯器主要用于修改核心配置基線包中的配置項的基值，并可進行添加、修改、合并、刪除等編輯操作。

配置驗證模塊

配置驗證模塊用于驗證核心配置基線包的有效性、適用性和兼容性，保證所要部署的配置基線包的實施效果和安全。

有效性測試可采用人工測試與工具測試相結合的方法，驗證核心配置基線包是否生效。具體要求包括：

a) 核心配置部署前，自動收集測試終端的脆弱性情況；

a) 核心配置部署后，檢測核心配置項的實際賦值是否與基值相一致；

b) 對測試終端進行滲透測試，檢驗核心配置項是否發(fā)揮安全作用。

兼容性測試用于測試核心配置項之間的兼容性，解決終端核心配置項之間的沖突問題。具體要求包括：

a) 支持核心配置項的分析對比，找出有沖突的核心配置項；

b) 可修改存在兼容性問題的核心配置項。

適用性測試用于評估核心配置基線對終端應用環(huán)境的影響，包括功能影響、性能影響、系統(tǒng)異常風險等。具體要求包括：

a) 能夠收集測試終端軟硬件環(huán)境信息，識別操作系統(tǒng)版本，以及已安裝的應用程序；

b) 能夠針對具體的配置項，檢查其影響范圍，識別出受其影響的軟件清單及其原因；

c) 能夠識別異?，F(xiàn)象，追溯其產生的原因，定位相關配置項；

d) 支持多用戶環(huán)境下的適用性測試，支持常用軟件和業(yè)務應用軟件的適用性測試。

配置部署模塊

配置部署模塊可進行核心配置基線包管理、分發(fā)和部署執(zhí)行，由基線包管理工具、基線包分發(fā)工具和配置執(zhí)行工具三個部分組成。

a) 基線包管理工具具備核心配置基線包上載、內容查看、網(wǎng)絡分發(fā)，以及基線包更新和刪除等功能；

c) 基線包分發(fā)工具將基線包按照IP或部門區(qū)域定向分發(fā)到客戶端，可采用服務器推送和客戶端相結合的分發(fā)模式；

d) 配置執(zhí)行工具自動解析配置基線包賦值方法和路徑，并對配置項進行參數(shù)賦值，賦值前應對注冊表及相關配置文件進行備份，然后在系統(tǒng)（System）權限下執(zhí)行賦值過程。

狀態(tài)監(jiān)測模塊

狀態(tài)監(jiān)測模塊是安全管理員掌握全網(wǎng)終端核心配置狀況的一個重要手段，主要由安裝在終端上的配置狀態(tài)收集器、配置狀態(tài)上報工具和部署在服務器上的配置狀態(tài)分析器、配置狀態(tài)圖展示平臺組成。

a) 配置狀態(tài)收集器定時收集終端的核心配置項參數(shù)設置情況；

e) 配置狀態(tài)上報系統(tǒng)用于將收集的配置狀態(tài)上傳至服務器；

f) 配置狀態(tài)分析器用于對上報的配置狀態(tài)與核心配置基線進行比對和統(tǒng)計分析；

g) 配置狀態(tài)圖展示平臺通過圖、表等展示手段輸出配置狀態(tài)分析結果。

實施流程

實施流程框架

政務計算機終端核心配置實施流程主要包括實施準備、基線制定、測試驗證、配置部署、配置檢查和例外處理等六個階段，如圖4所示。

4. 實施流程

實施準備

概要

本環(huán)節(jié)重點從技術和管理兩個方面做好實施前準備，主要步驟包括：

a) 需求分析和調研；

h) 制定總體實施方案；

i) 建立組織管理架構，制定相關管理制度，提供組織保障。

需求調研

通過調研網(wǎng)絡終端的分布、軟硬件資產配備及應用情況，分析政務部門安全目標和安全需求，從而確定實施終端核心配置的目標、范圍和基本要求，并評估核心配置實施可能帶來的風險。

制定方案

制定政務部門實施終端核心配置總體工作計劃，指導后續(xù)開展的工作，方案的主要內容包括：

a) 工作計劃：各階段的具體工作計劃，包括工作內容、工作形式、工作成果等內容；

j) 進度計劃：核心配置實施的時間進度安排；

k) 平臺搭建技術方案：規(guī)模應用條件下，應搭建核心配置自動化部署及監(jiān)測平臺。應制定平臺建設技術方案，并在實施前完成平臺搭建工作。

組織保障

組建由領導層、管理層、相關業(yè)務骨干和安全技術人員構成的實施團隊。必要時，可聘請相關專業(yè)的技術專家和技術骨干組成專家小組，指導實施過程。

組織核心配置技術培訓和保密教育，制定核心配置管理制度，明確工作職責和任務，得到政務部門最高管理者的支持和批準，必要時簽署個人保密協(xié)議。

基線制定

概要

本環(huán)節(jié)主要根據(jù)政務部門確定的核心配置基本要求，制定核心配置清單，并利用核心配置自動化部署及監(jiān)測平臺生成核心配置基線包。

制定配置清單

在本標準第7章提出的核心配置基本要求的基礎上，制定符合政務部門安全目標和安全要求的核心配置清單，其格式應符合本標準第8章的規(guī)定。

附錄B列舉了身份鑒別配置要求對應的核心基線配置清單示例。

生成配置基線包

將配置清單內容逐項錄入基線包生成器或者利用清單模板自動錄入，可生成原始的核心配置基線包，然后在此基礎上進一步篩選配置項或者調節(jié)配置項基值，生成用于部署的核心配置基線包。

驗證測試

概要

本環(huán)節(jié)主要目標是驗證測試核心配置基線包的有效性、適用性和兼容性，盡量避免首次部署核心配置基線所可能引發(fā)新的安全風險。本階段的主要工作包括：

a) 搭建驗證測試環(huán)境；

l) 對核心配置基線包進行有效性、適用性和兼容性測試；

m) 對存在問題的核心配置項參數(shù)進行重新設置。

搭建測試環(huán)境

從驗證核心配置基線包的有效性、適用性及兼容性的需求出發(fā)，搭建驗證測試環(huán)境。主要部署必要的硬件設備和測試工具軟件，模擬終端的實際運行環(huán)境。

驗證測試過程

利用核心配置自動化部署及監(jiān)測平臺的配置驗證模塊分別進行核心配置有效性、適用性和兼容性驗證測試，記錄測試結果，定位存在問題的核心配置項。

配置調整

對存在有效性、適用性或兼容性問題的核心配置項參數(shù)進行修改和調整，重新生成用于部署的核心配置基線包。原則上配置項的賦值不應低于基值。

配置部署

概要

本環(huán)節(jié)主要完成核心配置基線包的分發(fā)和本地執(zhí)行過程?？刹捎米詣硬渴鸱绞胶褪謩硬渴鸱绞健?/p>

配置分發(fā)

通過核心配置自動化部署及監(jiān)測平臺在一定的網(wǎng)絡范圍內，自動分發(fā)核心配置基線包。可以面向不同安全域，不同IP地址段，或者不同部門進行定向分發(fā)。

配置執(zhí)行

利用配置部署模塊的客戶端，或以手工方式，或鏡像方式在本地計算機終端執(zhí)行核心配置項賦值過程。一般部署核心配置基線包前，應備份當前計算機終端的配置狀態(tài)，以便部署過程中出現(xiàn)問題時可以及時恢復。

配置檢查

概要

核心配置部署完成后定期進行配置狀態(tài)檢查是保證終端始終處于安全狀態(tài)的重要手段。本環(huán)節(jié)的工作重點是進行核心配置合規(guī)性檢查，并及時糾正存在偏差的配置項參數(shù)值。

合規(guī)性檢查

合規(guī)性檢查主要檢查終端核心配置狀態(tài)是否達到核心配置基線要求，可以定期（如每月或每周一次）進行檢查，或者通過部署核心配置狀態(tài)監(jiān)測模塊進行實時監(jiān)測，以保證終端核心配置狀態(tài)達標。

糾正配置偏差

核心配置部署完成后，在實際運行過程中配置項值可能會由于軟硬件環(huán)境變化、系統(tǒng)調試需要，或人為原因等發(fā)生改變，與配置項基值存在偏差，一般是低于配置項基值。此情況下，應及時重新部署核心配置基線，糾正配置偏差。

例外處理

概要

政務部門首次部署核心配置基線時，應充分考慮到不同終端在軟硬件資產配備方面的差異性。如：個別終端的操作系統(tǒng)版本過低，不適用于部署核心配置基線，或者發(fā)生軟硬件不兼容的情況，均應作為例外處理。關鍵步驟包括審批備案和制定整改計劃。

審批備案

例外主要分如下三種情況：

a) 無法部署核心配置基線；

n) 可以部分部署；

o) 需調低某些核心配置項值后進行部署。

安全管理員應及時將例外終端軟硬件環(huán)境信息、例外原因、處理方法等報告領導層進行審批備案。經過審批的例外終端可以暫時不部署或部分部署核心配置基線，或者允許某些核心配置項值暫時低于核心配置項基值進行部署。

整改計劃

例外處理是一種臨時性處理措施，應制定針對例外終端的有效整改計劃，包括整改期限，整改措施，相關責任人等。整改計劃經領導層審批后由管理層負責監(jiān)督執(zhí)行。

A. （資料性附錄）\
身份鑒別配置要求示例

身份鑒別配置要求

依據(jù)GB/T 22239-2008
7.1.3對于第三級主機安全要求，身份鑒別配置要求分為賬戶登錄和口令管理兩部分。

賬戶登錄

賬戶登錄具體配置要求如下：

a) 用戶連續(xù)登錄失敗5次后鎖定用戶賬戶至少60min。

p) 不顯示上次登錄到計算機的用戶名。

q) 用戶登錄時應按CTRL+ALT+DEL進入安全登錄界面。

r) 應設置用戶登錄安全警告提示。

s) 可使用智能卡登錄本地，但智能卡移除時，應鎖定計算機。

t) 禁止無口令賬戶登錄。

u) 限制批處理賬戶登錄。

口令管理

口令管理具體配置要求如下：

a) 賬戶口令至少包含8個字符。

v) 口令最長有效期不能超過90day，最短有效期不低于1day。

w) 口令過期前7day提示用戶修改口令。

x) 更換口令時，新口令必須與先前歷史記載的8個口令不匹配。

y) 口令復雜度必須符合下列最低要求：

1. 不能包含用戶賬戶名中超過兩個連續(xù)字符的部分；

2. 必須包含以下四類字符中的三類字符：

• 英文大寫字母(A到Z)；

• 英文小寫字母(a到z)；

• 10個基本數(shù)字(0到9)；

• 非字母字符(例如!、$、#、%)。

z) 使用不可還原的NT加密方式來儲存口令。

B. （資料性附錄）\
核心配置清單

概要

本附錄給出了Windows桌面操作系統(tǒng)關于身份鑒別配置要求核心配置部分清單。

配置清單

【產品名稱】Windows7操作系統(tǒng)專業(yè)版

【配置項標識】：CGDCC-Win7-0001

【配置項名稱】：賬戶鎖定

【配置項描述】：此配置項指定鎖定用戶賬戶之前所允許的失敗登陸嘗試次數(shù)。在管理員重置鎖定賬戶或賬戶鎖定時間期滿之前，無法使用該鎖定賬戶。登錄嘗試失敗次數(shù)設置范圍介于0和999之間，0代表永遠不會鎖定賬戶。

【配置項組別】：賬戶登錄

【安全級別】：嚴重

【取值范圍】：0—999次

【配置項基值】：5次

【賦值路徑】：ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies\

AccountLockoutPolicy

【檢查規(guī)則】：等于配置項基值

【配置編號】：CGDCC-Win7-0002

【配置項名稱】：賬戶鎖定時間

【配置項描述】：此安全設置指定到達"賬戶鎖定閾值"后鎖定賬戶在自動解鎖之前保持鎖定的分鐘數(shù)。如果定義了賬戶鎖定閾值，則賬戶鎖定時間必須大于或等于重置時間。取值范圍從0到99,999min，取值0代表賬戶將一直被鎖定直到管理員明確解除對它的鎖定。

【配置項組別】：賬戶登錄

【安全級別】：嚴重

【取值范圍】：0-99999min

【配置項基值】：15min

【賦值路徑】：ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies\

AccountLockoutPolicy

【檢查規(guī)則】：等于配置項基值

【配置項標識】：CGDCC-Win7-0003

【配置項名稱】：復位賬戶鎖定計數(shù)器

【配置項描述】：此安全設置指定到達"賬戶鎖定閾值"后鎖定賬戶在自動解鎖之前保持鎖定的分鐘數(shù)。如果定義了賬戶鎖定閾值，則賬戶鎖定時間必須大于或等于重置時間。取值范圍從0到99,999min，取值0代表賬戶將一直被鎖定直到管理員明確解除對它的鎖定。

【配置項組別】：賬戶登錄

【安全級別】：嚴重

【取值范圍】：1—99，999min

【配置項基值】：15min

【賦值路徑】：ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies\

AccountLockoutPolicy

【檢查規(guī)則】：等于配置項基值

【配置項標識】：CGDCC-Win7-0004

【配置項名稱】：交互式登錄：不顯示最后的用戶名

【配置項描述】：該安全設置確定是否在Windows登錄屏幕中顯示最后登錄到計算機的用戶的名稱。如果啟用該配置，則不會在"登錄到Windows"對話框中顯示最后成功登錄的用戶的名稱。如果禁用該配置，則會顯示最后登錄的用戶的名稱。

【配置項組別】：賬戶登錄

【安全級別】：嚴重

【取值范圍】：啟用、禁用、未配置

【配置項基值】：啟用

【賦值路徑】：ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies

\SecurityOptions

【檢查規(guī)則】：等于配置項基值

【配置項標識】：CGDCC-Win7-0005

【配置項名稱】：交互式登錄：無須按Ctrl+Alt+Del

【配置項描述】：配置是否用戶需要按Ctrl+Alt+Del才能登陸。禁用可以保用戶輸入口令時通過信任路徑通信，可以防止截獲用戶口令攻擊。

【配置項組別】：賬戶登錄

【安全級別】：嚴重

【取值范圍】：啟用、禁用、未配置

【配置項基值】：禁用

【賦值路徑】：ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies

\SecurityOptions

【檢查規(guī)則】：等于配置項基值

【配置項標識】：CGDCC-Win7-0006

【配置項名稱】：交互式登錄：試圖登錄的用戶的消息標題

【配置項描述】：該安全設置允許在包含"交互式登錄:試圖登錄的用戶的消息文本"的窗口的標題欄中顯示標題的說明。

【配置項組別】：賬戶登錄

【安全級別】：警告

【配置項基值】：警告

【賦值路徑】：ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies

\SecurityOptions

【檢查規(guī)則】：等于

【配置項標識】：CGDCC-Win7-0007

【配置項名稱】：交互式登錄：試圖登錄的用戶的消息文本

【配置項描述】：該安全設置指定用戶登錄時向其顯示的文本消息。該文本通常用于法律原因，例如，警告用戶濫用公司信息的后果或其操作可能要經過審核。

【配置項組別】：賬戶登錄

【安全級別】：警告

【配置項基值】：“本系統(tǒng)僅供政務授權用戶使用。未經授權或者越權使用的用戶所有行為將被系統(tǒng)監(jiān)督管理程序監(jiān)控并記錄。任何使用本系統(tǒng)的用戶將會受到監(jiān)控，一經發(fā)現(xiàn)有違法行為將其監(jiān)控證據(jù)上交法律相關部門?！?/p>

【賦值路徑】：ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies

\SecurityOptions

【檢查規(guī)則】：等于配置項基值

【配置項標識】：CGDCC-Win7-0008

【配置項名稱】：交互式登錄：智能卡移除行為

【配置項描述】：配置當移除登錄用戶的智能卡時發(fā)生情況：①無操作②鎖定工作站③強制注銷④如果發(fā)生遠程終端服務會話，則斷開連接。

【配置項組別】：賬戶登錄

【安全級別】：重要

【配置項基值】：鎖定工作站

【賦值路徑】：ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies

\SecurityOptions

【檢查規(guī)則】：等于配置項基值

【配置項標識】：CGDCC-Win7-0009

【配置項名稱】：賬戶：限制使用空白口令的本地賬戶只允許進行控制臺登錄

【配置項描述】：配置無口令保護的賬戶是否僅允許在本地登錄。

【配置項組別】：賬戶登錄

【安全級別】：重要

【配置項基值】：啟用

【賦值路徑】：ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies

\SecurityOptions

【檢查規(guī)則】：等于配置項基值

【配置項標識】：CGDCC-Win7-0010

【配置項名稱】：賬戶：限制使用空白口令的本地賬戶只允許進行控制臺登錄

【配置項描述】：配置無口令保護的賬戶是否僅允許在本地登錄。

【配置項組別】：賬戶登錄

【安全級別】：重要

【配置項基值】：啟用

【賦值路徑】：ComputerConfiguration\WindowsSettings\SecuritySettings\LocalPolicies

\SecurityOptions

【檢查規(guī)則】：等于配置項基值

【配置項標識】：CGDCC-Win7-0011

【配置項名稱】：口令長度最小值

【配置項描述】：此配置確定賬戶口令包含的最少字符數(shù)。0代表無口令設置。

【配置類型】：WMI配置

【配置項組別】：口令管理

【安全級別】：嚴重

【取值范圍】：0—24位字符

【配置項基值】：8位字符

【賦值路徑】：ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies

\PasswordPolicy

【檢查規(guī)則】：大于等于配置項基值

【配置項標識】：CGDCC-Win7-0012

【配置項名稱】：強制口令歷史

【配置項描述】：配置最近歷史口令存儲個數(shù)，新設口令與存儲歷史口令不匹配時才能使用。防止口令重復出現(xiàn)頻率過大造成不安定因素。取值范圍在0-24之間，0代表口令可以立即重復使用。

【配置項組別】：口令管理

【安全級別】：嚴重

【取值范圍】：0—24位字符

【配置項基值】：12位字符

【賦值路徑】：ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies

\PasswordPolicy

【檢查規(guī)則】：大于等于配置項基值

【配置項標識】：CGDCC-Win7-0013

【配置項名稱】：口令復雜性要求

【配置項描述】：此配置用于對口令的復雜性進行規(guī)定要求。如啟用該項配置則口令必須滿足以下要求：1、不能包含用戶名中超過兩個連續(xù)字符部分。2、口令中需要包含以下字符中的四種：1）英文大寫字母；2）英文小寫字母；3）0-9；4）非字母字符（如！、#、%）。

【配置項組別】：口令管理

【安全級別】：嚴重

【取值范圍】：啟用、禁用和未配置

【配置項基值】：啟用

【賦值路徑】：ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies

\PasswordPolicy

【檢查規(guī)則】：等于配置項基值

【配置項標識】：CGDCC-Win7-0014

【配置項名稱】：口令最長使用期限

【配置項描述】：該配置指定了口令過期之前的有效期天數(shù)，用來強制用戶定期修改口令。該取值必須大于口令最短使用期限取值。取值范圍在0-999day之間，0代表永遠不過期。

【配置項組別】：口令管理

【安全級別】：嚴重

【取值范圍】：0-999day

【配置項基值】：90day

【賦值路徑】：ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies

\PasswordPolicy

【檢查規(guī)則】：小于等于配置項基值

【配置項標識】：CGDCC-Win7-0015

【配置項名稱】：口令最短使用期限

【配置項描述】：該配置指定用戶口令保持有效的最短天數(shù)，可用來防止用戶通過更改口令然后又將口令改回，從而繞過"口令最長使用期限"。其取值必須小于口令最長使用期限值，取值范圍在1-998day之間，0代表口令可以立即更改。

【配置項組別】：口令管理

【安全級別】：嚴重

【取值范圍】：0-998day

【配置項基值】：1day

【賦值路徑】：ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies

\PasswordPolicy

【檢查規(guī)則】：大于等于配置項基值

【配置項標識】：CGDCC-Win7-0016

【配置項名稱】：更改口令時不存儲LAN管理器哈希值

【配置項描述】：此配置確定在更改口令時是否為新口令存儲LAN管理器(LM)哈希值。LM哈希的加密性相對較弱的DES密鑰和算法，易于受攻擊。由于LM哈希存儲在本地計算機上的安全數(shù)據(jù)庫中，因此，一旦安全數(shù)據(jù)庫受到攻擊，口令便會泄漏。

【配置項組別】：口令管理

【安全級別】：嚴重

【取值范圍】：啟用、禁用和未配置

【配置項基值】：啟用

【賦值路徑】：HKLM\System\CurrentControlSet\Control\Lsa\NoLMHashComputerConfiguration

\WindowsSettings\SecuritySettings\LocalPolicies\SecurityOptions

【檢查規(guī)則】：等于配置項基值

_________________________________

延伸閱讀

更多內容 可以 政務計算機終端核心配置規(guī)范. 進一步學習

聯(lián)系我們

NY 644-2002 飼料粉碎機安全技術要求.pdf文章來源地址http://www.zghlxwxcb.cn/news/detail-670079.html

到了這里，關于自動化部署及監(jiān)測平臺基本架構的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網(wǎng)！