核工业计算机终端安全配置标准化发展策略研究
详细内容
近年来,在党的 “十七大”的 “促进信息化与工业化融合,走新型工业化道路”方针指引下,中核集团大力开展信息化建设,信息化水平得到了迅速提高。越来越多的传统业务,通过信息系统应用实施,实现了数字化的协同办公、设计与制造,提升了工作效率和经济效益。这些应用系统承载着我国核电、核燃料和核技术应用的核心内容,是核工业的宝贵资源,也是支撑我国核工业健康发展的信息财富。在信息化实施中,实现系统的稳定运行和保障系统运行的数据安全,一直是困扰在核工业协同办公、设计与生产制造中的矛盾。在信息系统中,网络终端是信息加工、处理和信息存储的重要基础设备,但其安全性可能影响整个网络安全,而安全漏洞的大量存在和应用软件的随意安装配置,是造成终端和系统不安全的主要原因。这就涉及计算机终端安全配置及其标准化的问题。随着计算机及网络技术广泛应用,计算机终端安全配置标准主要涉及终端的操作系统 ( OS) 、应用软件、浏览器和网络中的 Windows 设备管理、远程注册、活动目录域等配置的标准。为保证系统安全运行,通过限制用户权限、关闭部分服务功能等终端安全配置管理,可有效减少系统漏洞,提高终端和整个信息系统网络防护能力。但是工作量非常巨大,新的安全漏洞仍然很多,问题不能从根本上得以解决。研究终端安全配置的规范化和标准化,有利于解决信息系统安全策略的整体部署和提高防范措施的实施效率,同时可大大削减部署和维护的成本。统一的计算机终端安全配置标准,不但是国内外政府机关电子政务追求的目标,也是核工业协同设计、制造和管理网络系统及其标准化的积极发展方向。
1 国内外终端安全配置标准发展现状
1. 1 美国终端安全配置标准 1. 1. 1 联邦桌面核心配置美国终端安全配置标准化起源于 21 世纪初。2003 年 美 国 空 军 实 施 标 准 桌 面 配 置 ( standard desktop configuration) ,规定了计算机终端安全的统一配置要求,其核心主要基于微软公司发布的安全指南和安全基线。 2007 年 3 月,美国要求所有联邦政府机构在 Windows XP 和 Windows Vista 终端上部署国家标准技术研究院 ( NIST) 制定的联邦桌面核心配置 ( FD) 初版。自实施 FD 初版以来,美国空军节省了 1 亿多美元,精简了 8000 名信息技术人员,减少了 40% 的呼叫服务次数,补丁安装时间从 57 天减小到 3 天; 同时,加强了基础结构的优化,提高了计算机终端的安全性。 2008 年 6 月,NIST 正式发布了联邦桌面核心配置1. 0 版 ( FD 1. 0) ,用于配置联邦政府所有 Windows XP 和 Vista 终端。2009 年 4 月,NIST 又发布了联邦桌面核心配置 1. 2 版 ( FD 1. 2) ,该版本有 658 条配置策略,性能进一步提高。 1. 1. 2 FD 的规定 FD 的安全基线对 Windows XP、Vista、 IE 和 Windows 防火墙的安全配置做出了具体规定,主要关注如下 4 点: ( 1) 删除管理员和超级用户的权限; ( 2) 启用防火墙; ( 3) 将 FD 设置应用于 Windows 和 IE; ( 4) 随时进行配置管理。 1. 1. 3 FD 的配置数据 FD 的配置数据主要包括下述 4 种形式: ( 1) 配置策略表———列出 XP 和 Vista 的所有配置策略,包括策略路径、策略配置名称、配置值、注册表设置、配置标识和策略描述等; ( 2) 组策略对象———即组策略配置包,方便用户直接利用组策略控制台或组策略工具部署和应用安全配置; ( 3) 虚拟硬盘———提供虚拟运行环境,用户可以在当前操作系统上直接运行该虚拟环境,以便进行软件兼容性和适应性方面的测试和评估; ( 4) 安全内容自动化协议———包含采用 XML 格 式 描 述 Windows XP、 Vista、 IE 和 Windows 防火墙的配置检查项,提供第三方安全配置评估和检查。该协议主要由 6 个标准组成: ( a) 通用脆弱性和漏洞目录; ( b) 通用配置目录; ( c) 通用平台目录; ( d) 可扩展配置控制列表描述格式; ( e) 开放性脆弱性评估描述语言; ( f) 通用脆弱性评分系统。该配置数据,基本符合统一的网络环境配置。2010 年,在 FD 基础上,NIST 增加了美国政府配置基线 ( USGCB) ,主要关注安全方面的配置,包括 Windows 7、Windows 7 防火墙和浏览器 IE 8 的安全配置策略。
1. 2 国内终端安全配置标准 1. 2. 1 概述 ·22· 标准化工作作为电子政务中各类网络恶意攻击和数据失窃源头的计算机终端,由于缺少统一的安全防范策略和安全防范措施,使得计算机终端的可控性变得越来越低。通过实践,加强计算机终端安全标准配置管理,是提高计算机终端安全性和管理效率手段之一。近年来,参照美国的实践经验,我国逐步认识到终端配置管理对于加强计算机信息安全保障工作的重要性,组织开展了终端安全配置标准的研究。国家信息中心最早开展了这项研究,多家科研院所和计算机信息安全厂商参与了相关研究。目前已经制定我国电子政务终端安全配置标准草案,并在标准的开发、应用及其配套实施工具方面取得较大进展。我国即将完成政务终端配置规范 ( CGD- ) 的立项工作。CGD 是在分析我国电子政务网络环境安全基础上,结合我国信息安全等级保护技术的标准成果,借鉴微软公司安全基线和美国联邦桌面核心配置的实践经验,研究和制定的系列国家标准标准。 1. 2. 2 政务终端配置规范我国政务终端配置规范 ( CGD) 的标准体系框架主要包括三类标准,即管理要求类标准、技术指标类标准和应用支撑类标准。目前制定的标准、规范包括: ( 1) 政务终端安全核心配置规范; ( 2) 政务终端等级保护安全配置要求; ( 3) 操作系统安全基线; ( 4) 浏览器安全基线; ( 5) 办公软件安全基线; ( 6) 邮件系统安全基线; ( 7) 常用软件安全基线; ( 8) 政务终端安全核心配置目录; ( 9) 政务终端安全配置格式规范; ( 10) 政务终端安全配置实施指南。
2 核工业终端安全配置标准的现状
2. 1 概述核工业有很多单位也建立了自己的计算机网络,在数字化设计制造、信息资源开发利用、各类规范管理等方面信息化开展了大量工作,取得了可喜成绩。然而,由于信息化水平参差不齐,在建设这些系统时,没有建立相应行业标准和终端安全配置标准,于是形成了一个个的 “信息孤岛”。改造这些信息孤岛,做到既不浪费已有的信息化成果、实现资源共享,又能高效、安全运行,就必须进行信息资源整合。一方面,运用面向服务的体系结构 ( Service - Ori- ented Architecture,SOA) 技术,对这些应用系统进行分布式部署、组合和使用; 另一方面,通过制订具有核工业特色的相关标准和终端安全配置标准,加大建设和完善终端安全核心配置基础环境的力度,最终实现资源整合。
2. 2计算机终端安全标准的重要意义研究、制订核工业计算机终端安全标准,对核工业信息化发展非常重要。首先,通过标准实施,可以提高核工业信息系统一致性,从而有利于提高安全防范措施的实施效率; 这是因为终端配置部署的一致性,简化了网络管理和工具的复杂性,所需要的信息技术支持人员大大减少,同时新产品 ( 或软件升级) 的安装测试时间及系统更新过程大大缩短,从而降低运行和维护的成本。其次,可以增强核工业计算机网络信息系统安全性; 建立终端安全配置标准,通过 标准化工作核工业企事业单位协同支持,大力协作,减小了标准用户的管理权限,能有效防止用户调节、降低系统安全性。
2. 3 军工保密资格审查认证推动标准建设军工保密资格审查认证,推动了核工业计算机终端安全配置标准的研究、制定。军工保密资格审查认证是近年来国家对承担武器装备科研生产单位实行的一种强制性认证制度,也是检查保密工作的实际情况、督促单位提高保密管理水平的一个有效手段。通过保密资格审查认证,一方面使认证单位具备保密资质,进而获得军工科研生产许可证,具备承担相应军品任务的资格; 另一方面,可以促使认证单位按照标准对保密工作进行系统建设。核工业科研、设计、生产等方面运行的计算机网络协同作业信息系统,是军工保密资格审查认证的重点。由于各信息系统建设标准不统一,很多单位尽管已经在网络安全和管理方面加大了投入,采购并配备了防火墙、入侵检测、漏洞扫描和网络管理系统等设备和手段; 但是因为没有从权限、密码、端口、服务等方面制定统一的安全策略配置标准,这些措施对于网络终端的管理却力不从心,导致检查中由于计算机终端技术防范不到位而进行整改,这是核工业终端安全配置标准缺失的后果。
2. 4 软件正版化奠定标准基础近年来,核工业积极推进软件正版化工作,在系统软件和应用软件上推行统一、正规版本的软件,为终端安全配置标准制定和实施奠定了基础。这是因为,正版软件的应用实现了信息系统管理网络及终端环境的统一,使软件更快地升级、更新,系统和应用软件测试所需时间可以大大缩短。
3 核工业终端安全配置标准制定的几点建议综上所述,针对研究、制定核工业终端安全配置标准,特提出如下建议: ( 1) 参考国家政务终端桌面配置规范 ( CGD) ,采用终端等级保护安全配置要求、操作系统安全基线、浏览器安全基线、办公软件安全基线、常用软件安全基线标准等来制定核工业终端安全的通用标准。 ( 2) 以建立完善的核工业信息化工程及应用平台为依托,深入挖掘核工业科研、设计、制造和管理领域计算机及网络应用系统,研究、制订核工业特色的终端安全配置标准。例如,根据核工业网络配置特点,宜以权限、密码、端口、服务等为重点突破口制定安全策略配置指南。 ( 3) 鉴于核工业计算机及网络高度的安全保密特点,结合军工保密资格审查认证中的管理办法,制定符合涉密管理规定的终端安全配置标准。 ( 4) 在核工业企事业内部,加大落实国家关于软件正版化的工作,一方面是保护知识产权,更重要的是为实现核工业终端安全配置标准化创造条件,以减少操作系统和应用软件兼容性的问题以及兼容性升级的问题,有效地降低终端安全管理的复杂性和维护成本。 ( 5) 加强标准宣贯力度,组建标准服务队伍。核工业终端安全配置作为一系列技术性较强的标准,在执行的过程中应加强对使用单位的技术支持和实施指导。
4 结束语随着核工业积极探索由传统工业模式向数字核工业模式的转变,通过核工业计算机终端安全配置标准化发展策略的研究,以解决核工业信息系统管理的规范化和标准化以及军工保密资格审查认证中存在的问题,提高核工业计算机信息系统管理的效率和水平; 同时为打造安全、高效的科研、生产和管理的核工业信息化综合应用保障平台奠定根基,进一步提高核工业信息化的水平并实现其网络的安全、高效运行。(本论文由上海论文网://shlunwen.整理提供,如需转载,请注明出处或联系我们的客服人员)
??
?相关文章链接:浅谈高职计算机应用技术专业网站的开发方向