信息安全技术政务计算机终端核心配置规范(GB-T 30278-2013).pdf

《信息安全技术政务计算机终端核心配置规范(GB-T 30278-2013).pdf》由会员分享，可在线阅读，更多相关《信息安全技术政务计算机终端核心配置规范(GB-T 30278-2013).pdf（32页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXXXXXX信息安全技术政务计算机终端核心配置规范Information security technology-Chinese governmentdesktop core configuration specifications（报批稿）XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目次前言.III1范围.12规范性引用文件.13术语和定义.14缩略语.25文本结构.26概述.26.1核心配置对象.26.2核心配置范围.26.3核心配置项基本类型.3

2、6.4核心配置项赋值方法.36.5核心配置对安全的作用.36.6核心配置自动化实施框架.37核心配置基本要求.47.1操作系统核心配置要求.47.2办公软件核心配置要求.57.3浏览器核心配置要求.57.4邮件系统核心配置要求.67.5BIOS 系统核心配置要求.67.6防恶意代码软件核心配置要求.68核心配置清单.68.1概要.68.2配置项属性.69核心配置基线包.79.2主标记.89.3格式版本标记.99.4基线标记.99.5产品标记.1410核心配置自动化部署及监测技术要求.1410.1自动化部署及监测平台基本架构.1410.2配置编辑模块.1510.3配置验证模块.1510.4配置部

3、署模块.1610.5状态监测模块.16GB/T XXXXXXXXXII11实施流程.1611.1实施流程框架.1611.2实施准备.1711.3基线制定.1811.4测试验证.1811.5配置部署.1811.6配置检查.1911.7例外处理.19附录 A（资料性附录）身份鉴别配置要求示例.20附录 B（资料性附录）核心配置清单.21GB/T XXXXXXXXXIII前言本标准按照GB/1.1-2009给出的规则起草。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本文件某些内容可能涉及专利，本文件的发布机构不承担识别这些专利的责任。本标准起草单位：国家信息中心、中国信息安

4、全测评中心、中国信息安全认证中心、国家税务总局电子税务管理中心、三零卫士公司、北京北信源软件股份有限公司、天津市信息中心、上海市信息中心、山西省经济信息中心、江苏省信息中心、安徽省经济信息中心、山东省信息中心、河南省信息中心、湖南省人民政府经济研究信息中心、广东省发展和改革委员会信息中心、四川省经济信息中心、贵州省信息中心、甘肃省信息中心、青海省信息中心、新疆维吾尔自治区经济信息中心、宁波市信息中心、西安市信息中心。本标准主要起草人：李新友、刘蓓、许涛、蔡军霞、刘帅、程浩、王啸天、沈大风、吴亚非、袁志强、张海昆、刘海峰、甘杰夫、李建彬、闵京华、林浩、王华峰、陆小敏、马志红、谷和启、彭云峰、洪之

5、民、宋苏宇、柳松、马占飞、余靖浊、袁继会、闫加元、靳力、赵俊、史小列、阮高峰。GB/T XXXXXXXXX1信息安全技术政务计算机终端核心配置规范1范围本标准提出了政务计算机终端核心配置的基本概念和要求，规定了核心配置的自动化实现方法，规范了核心配置实施流程。本标准适用于政务部门开展计算机终端的核心配置工作。涉密政务计算机终端安全配置工作应参照国家保密局相关保密规定和标准执行。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 22239-2008 信息系统安全等级

6、保护基本要求3术语和定义下列术语和定义适用于本文件。3.1政务部门 government department从事涉及政府性事务工作的国家机关、企事业单位和大型社会团体等机构。3.2核心配置项（配置项）core configuration item计算机操作系统、办公软件、浏览器、BIOS系统和防恶意代码软件等基础软件中影响计算机安全的关键参数可选项。注：核心配置项类型包括开关项、枚举项、区间项和复合项，可以根据安全要求对其进行赋值。3.3核心配置 core configuration对核心配置项进行参数设置的过程。注：通过核心配置限制或禁止存在安全隐患或漏洞的功能，启用或加强安全保护功能，来

7、增强计算机抵抗安全风险的能力。3.4核心配置项基值 core configuration item base value按照核心配置基本要求对配置项的参数设置。GB/T XXXXXXXXX23.5核心配置基线 core configuration baseline能够满足计算机安全基本要求的一组核心配置项基值构成的集合。3.6核心配置清单 core configuration list由核心配置项构成的一种列表，是对核心配置项属性的一种形式描述。3.7核心配置基线包 core configuration baseline package为实现核心配置基线自动化部署而制定的一种具有特定语法格式的

8、核心配置数据文件。4缩略语下列缩略语适用于本文件。BIOS：基本输入输出系统（Basic Input Output System）TCM：可信密码模块（Trusted Cryptography Module）FTP：文件传输协议（File Transfer Protocol）XML：可扩展置标语言（Extensible Markup Language）WMI：桌面管理规范（Windows Management Instrumentation）GUID：全球唯一标识符（Globally Unique Identifier）CGDCC：政务计算机终端核心配置（Chinese Government

9、Desktop Core Configuration）5文本结构本标准分为三个部分。第一部分为概述，见第6章，阐述了核心配置基本概念，包括核心配置的对象、范围、基本类型、赋值方法、对安全的作用以及自动化实施框架。第二部分由第7章到第10章组成，在技术层面上详细规定了核心配置的自动化实现方法，包括核心配置基本要求、核心配置清单、核心配置基线包、核心配置自动化部署及监测技术要求。第三部分见第11章，在管理层面上详细规定了核心配置的实施流程，包括实施准备、基线制定、测试验证、配置部署、配置检查和例外处理等六个环节。6概述6.1核心配置对象本标准针对应用于政务部门的联网计算机终端提出核心配置要求，包括

10、连接到互联网、政务专网（政务内网、政务外网）的桌面计算机、膝上型计算机和瘦客户机等。6.2核心配置范围核心配置的范围包括如下方面：a)操作系统，如 Windows 系列、国外 Linux 和国产 Linux 等；b)办公软件，如国外 Office 软件和国产 WPS 软件等；c)浏览器软件，如国外 Internet Explore、Chrome、Firefox 和国产遨游、360 浏览器等；GB/T XXXXXXXXX3d)邮件系统软件，如国外 Outlook 和国产 Foxmail 等；e)BIOS 系统软件，如 AMI BIOS、Award BIOS 等；f)防恶意代码软件，如内防病毒、防

11、木马软件等。依据 GB/T 22239-2008 中 7.1.3 和 7.1.4 对于第三级主机安全和应用安全的要求，从如下方面对上述基础软件提出配置要求：a)身份鉴别：包括账户登录和口令管理；b)访问控制：包括账户管理和权限分配；c)安全审计：包括账户行为审计和资源访问审计；d)剩余信息保护：包括临时文件、历史文件和虚拟文件管理；e)入侵防范：包括对组件的保护功能开启、应用程序的更新升级；f)恶意代码防范：包括杀毒软件的安装、升级和病毒查杀管理；g)资源控制：包括服务、端口、协议等资源管理和数据的加密保护。6.3核心配置项基本类型根据核心配置项的取值范围，核心配置项分为开关项、枚举项、区间项

12、和复合项等基本类型。a)开关项：取值仅为“0”或“1”。例如，配置项“下载未签名的 Active 控件”，可赋值为“启用（1）”或“禁用（0）”。b)枚举项：取值是离散的、可数的且多于两种。例如，配置项“具有从网络访问本地计算机权限的账户”，可赋值为“管理员（Administrators）”、“超级用户（Power Users）”、“一般用户（Users）”或“来宾（Guests）”。c)区间项：取值连续分布在一个区间内。例如，配置项“账户锁定时间”，赋值范围为“1-99999min”。d)复合项：由上述两种或多种关联配置项组合而成。例如，配置项“启动屏幕保护程序的等待时间”，由开关项和区间项

13、组成。首先“启用”屏幕保护程序，再设置“等待时间”。6.4核心配置项赋值方法根据核心配置项赋值路径不同，可分为注册表赋值和配置文件赋值两种方法，分别说明如下：a)注册表赋值方法通过修改核心配置项对应的注册表键值等，实现对配置项的赋值，例如 Windows 操作系统；b)配置文件赋值方法通过修改配置文件中有关的配置项，实现对配置项的赋值，例如 Linux 操作系统。根据核心配置部署方式不同，可分为手动和自动两种方法，分别说明如下：a)手动赋值对核心配置项进行人工逐项赋值。该方法适用于针对少量终端的少量配置部署。例如，在Windows 系统环境下，运行组策略编辑器（GPEdit），由人工对核心配置

14、项进行赋值；在 Linux系统环境下，直接编辑配置文件，对核心配置项逐项进行赋值；在 BIOS 系统中，直接在人机界面上，逐项进行手动赋值。b)自动赋值编辑核心配置基线包，调用自动部署工具，对核心配置项进行赋值。该方法适用于大量终端批量配置部署。6.5核心配置对安全的作用核心配置主要通过如下四种方式提高终端安全性：GB/T XXXXXXXXX4a)启用数字签名、数据执行保护（DEP）、加密存储、更新升级等安全保护功能；b)禁止使用存在或可能存在安全漏洞的服务、端口、程序、脚本和驱动等；c)加强口令管理、身份鉴别、账户管理和安全审计等安全保护手段；d)限制软硬件访问权限、资源共享和远程登录等功能

15、。6.6核心配置自动化实施框架核心配置自动化实施框架包括以下四个部分：a)提出核心配置基本要求，根据计算机终端所属系统或环境的安全需求及安全级别，确定核心配置具体要求。核心配置基本要求见第 7 章。b)编制核心配置清单，采用清单方式描述核心配置要求，包括配置项标识、配置项名称、配置项组别、安全级别、取值范围、配置项基值、赋值路径和检查规则等。核心配置清单格式要求见第 8 章。c)生成核心配置基线包，将配置清单转化成为一种符合 XML 语法的嵌套式结构数据文件，以供自动化部署工具实施。核心配置基线包格式要求见第 9 章。d)自动部署及监测，通过搭建核心配置自动化部署平台，实现核心配置项的批量自动

16、赋值和合规性实时检测。具体技术要求见第 10 章。7核心配置基本要求7.1操作系统核心配置要求7.1.1概要本标准依据GB/T 22239-2008中7.1.3对第三级主机安全的要求，针对国内外主流操作系统，在身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范和资源控制等方面提出核心配置基本要求。7.1.2身份鉴别身份鉴别配置要求包括：a)账户登录时，应启动身份验证机制，限制连续登录失败次数，连续多次登录失败后应锁定账户；b)应配置安全的口令长度、复杂度、有效期和加密强度，禁止不设置口令；c)启动账户登录界面时，应禁止无关进程的启动和运行，防止鉴别信息被窃听。注：附录 A 给出了身份鉴别配置

17、要求示例。7.1.3访问控制访问控制配置要求包括：a)应禁用匿名账户（Anonymous）、来宾账户（Guest）、产品支持账户（Support），限用管理员账户（Administrator），重命名管理员账户，限制普通用户的访问权限，禁止任何账户远程访问；b)应限制账户对文件、硬件、驱动、内存和进程等重要资源的访问权限；c)应限制账户权限提升和授权访问等操作。7.1.4安全审计安全审计配置要求包括：GB/T XXXXXXXXX5a)应启用安全日志，记录账户的创建、更改、删除、启用、禁用和重命名等操作，记录账户登录和注销、开关机、配置变更等操作；b)应启用系统日志，记录对文件、文件夹、注册表和

18、系统资源的访问操作。7.1.5剩余信息保护剩余信息保护配置要求包括：a)关闭系统时，应清除虚拟内存页面文件；b)断开会话时，应清除临时文件夹；c)应禁止剪贴板存储信息与远程计算机共享。7.1.6入侵防范入侵防范配置要求包括：a)应启用资源管理器数据执行保护（DEP）模式和 Shell 协议保护模式；b)打开邮件的附件时，应启用杀毒软件进行扫描；c)应启动屏幕保护和休眠功能，设置唤醒口令；d)应开启系统定期备份功能；e)应限制应用程序的下载和安装，保持操作系统补丁及时更新。7.1.7资源控制资源控制配置要求包括：a)应禁用信息共享、动态数据交换（Dynamic Data Exchange）、互联

19、网信息服务（InternetInformation Services）、FTP 和 Telnet 等网络连接、远程网络访问等服务，限制蓝牙等无线连接；b)禁止介质自动运行（Auto run）；c)应关闭 FTP、HTTP（超文本传输协议 Hypertext Transport Protocol）、RPC（远程过程调用协议 Remote Procedure Call Protocol）、UPNP（通用即插即用 Universal Plug and Play）、远程桌面服务、远程控制类软件服务端监听、木马软件等对应开放的端口；d)应禁止 IPC（进程间通信 Inter Process Commun

20、ication)管道连接，限制 SYN（同步字符Synchronize）的传输次数和发送时间；e)应启用磁盘加密系统等数据保密配置。对于三级以上政务计算机应配置 TCM 模块，遵循国家密码管理局发布的可信计算相关标准保护敏感数据。7.2办公软件核心配置要求本标准依据GB/T中22239-2008 7.1.4对第三级应用安全的要求，针对国内外主流办公软件提出如下核心配置要求：a)应禁止 ActiveX 控件的使用；b)应禁用所有未经验证的加载项；c)应限用未数字签名的宏；d)应限制在线自动更新升级、网上下载剪贴画和模板等资源，以及访问超级链接。7.3浏览器核心配置要求7.3.1概要GB/T XX

21、XXXXXXX6本标准依据 GB/T 22239-2008 中 7.1.4 对第三级应用安全的要求，针对国内外主流浏览器，在浏览器安全选项、域安全管理和隐私保护等方面提出核心配置基本要求。7.3.2浏览器安全选项浏览器安全选项配置要求包括：a）应严格禁止运行 java 小程序脚本；b）应限制下载和安装未签名的 Active X 控件；c）应开启浏览器的保护模式。7.3.3域安全管理域安全管理配置要求包括：a)访问以太网的安全限制应设为中或高；b)访问企业专网的安全限制可设为中；c)访问可信站点的安全限制可设为低；d)应限制访问受限站点，禁止从受限站点下载或保存文件。7.3.4隐私保护隐私保护配

22、置要求包括：a)退出网页时，应删除 Cookie 文件、下载记录、访问网站历史记录和临时文件夹；b)应限制输入框自动关联功能。7.4邮件系统核心配置要求本标准依据 GB/T 22239-2008 中 7.1.4 对第三级应用安全的要求，针对国内外主流邮件系统软件提出如下配置要求：a)应配置安全的邮箱登录口令的长度和复杂度；b)对本地存储的邮件应开启加密功能；c)发送邮件应使用数字签名和数字加密技术，接收邮件应对数字签名进行验证；d)应开启加密协议收发邮件；e)应禁止直接运行附件中存在安全隐患的文件类型；f)应禁止运行邮件中的超链接；g)应启用垃圾邮件过滤功能。7.5BIOS 系统核心配置要求本

23、标准依据 GB/T 中 22239-2008 7.1.3 对第三级主机安全的要求，对 BIOS 系统提出如下配置要求：a)开机时应启动身份鉴别机制，并设置安全的口令长度和复杂度；b)应限制硬件资源使用，包括软驱、硬盘、内存、USB 设备、网卡和 CPU 等；c)应启用硬盘写保护；d)应限制使用定时开机、远程模式控制开机、键盘鼠标开机等开机模式；e)操作系统操作关机后，应立即断开计算机电源；f)应限制由外部设备，如 U 盘、光驱等引导启动计算机终端。7.6防恶意代码软件核心配置要求防恶意代码软件核心配置要求包括：GB/T XXXXXXXXX7a)应开启实时保护功能；b)应及时升级防恶意代码软件至

24、最新版本，开启自动更新病毒库功能；c)应定期进行病毒、木马等恶意代码扫描，发现恶意代码立即隔离或删除。8核心配置清单8.1概要核心配置清单描述配置项的属性，包括配置项标识、配置项名称、配置项描述、配置项组别、安全级别、取值范围、配置项基值、赋值路径和检查规则。8.2配置项属性8.2.1配置项标识配置项标识是配置项的唯一编码，由三组字符构成，通过“-”进行分隔，标识规则如图1所示。最高组位的字符使用CGDCC，代表政务终端核心配置；中间组位引用软件产品标识；最低组位使用4位数字代表配置项序号。例如“Window7口令长度”配置项，其标识为“CGDCC-win7-0011”。图 1配置项标识规则8

25、.2.2配置项名称描述配置项名称的字符串。8.2.3配置项描述从终端的安全风险、配置项的应对措施和潜在影响等三个方面对配置项进行解释说明。其中，安全风险主要描述配置项所对应的系统脆弱性；应对措施主要描述配置项推荐参数赋值；潜在影响主要描述配置生效后可能对终端系统造成的影响。8.2.4配置项组别需对配置项进行分组时，描述配置项所属的组别。8.2.5安全级别描述配置项对计算机终端安全性的影响程度，分为一般、重要和严重三个级别。8.2.6取值范围描述配置项允许赋值的范围，可用开关、枚举和区间表示。8.2.7配置项基值描述符合核心配置基本要求的配置项基值。当配置项安全级别为严重时，此配置项必须按照基值

26、进GB/T XXXXXXXXX8行赋值。8.2.8赋值路径描述配置项的赋值路径。对于Windows的配置项，可以依据配置项的赋值路径，使用相应的配置工具进行赋值。例如，配置项“账户锁定时间”的赋值路径为“Computer ConfigurationWindowsSettingsSecurity SettingsAccount PoliciesAccount Lockout Policy”，通过组策略编辑器（GPEdit）工具，在该路径下可对“账户锁定时间”进行赋值。8.2.9检查规则描述检查配置项的实际值是否达到基值的判断规则，如大于配置项基值、小于配置项基值、等于配置项基值、大于等于配置项基

27、值、小于等于配置项基值。9核心配置基线包9.1概要核心配置基线包是一种嵌套式结构的数据文件，采用XML格式对核心配置基线中各配置项的属性进行规范性标记，以实现核心配置部署及监测的自动化。核心配置基线包由格式版本标记、基线标记和产品标记三部分组成。其中，基线标记包括基线版本标记、配置组标记、配置项标记和检查标记。核心配置基线包格式结构如图2所示。图 2核心配置基线包格式结构GB/T XXXXXXXXX99.2主标记核心配置基线包用“CGDCC-Package”作为主标记，其结构如表1所示。表 1主标记标记名称解释说明CGDCC-FormatInfo格式版本信息描述核心配置基线包格式的基本信息。C

28、GDCC-Baseline基线信息描述核心配置基线的完成信息，可以描述多条基线。CGDCC-Product产品信息描述软件产品基本信息，可以描述多个产品信息。举例：9.3格式版本标记格式版本用“CGDCC-FormatInfo”作为标记，描述核心配置基线包格式版本的基本信息，其结构如表2所示。表 2格式版本标记标记名称解释说明Version版本编号核心配置基线包规则版本的唯一标识。Description概要介绍对版本规则进行简要说明。举例：此格式专用于核心配置基线包，版本为 1.0。9.4基线标记9.4.1基线主标记用“CGDCC-Baseline”作为基线主标记，描述核心配置基线的基本信息，

29、其结构如表3所示。表 3基线标记标记名称解释说明Name基线名称描述核心配置基线名称。GB/T XXXXXXXXX10表 3（续）标记名称解释说明ID基线标识描述核心配置基线唯一标识。此标识按照唯一标识（GUID）生成规则自动生成。RevisionNumber基线修订版本次数描述核心配置基线的修订版本号，并与 ID 一起可用来追溯基线的修订过程。Version基线版本描述所生成核心配置基线的版本。Mode基线状态包括可编辑状态和已发布状态两种。VersionControl版本控制描述核心配置基线版本相关信息。SettingGroup配置组信息描述核心配置基线所包含的每个策略组的基本信息，可包括

30、多个基线组。Check检查信息描述策略组所包含的核心配置项的检查信息，每个配置项都有一条相应的检查信息。ProductID基线所属产品标识描述该核心配置基线所属的软件产品标识，用于基线适用性检查。举例：CGDCC-BaselineName=CGDCC-Win7-v1.0ID=0ff11dd2-2186-4670-939d-968347e815580Edit1739795a-9a4f-4032-b8db-8834dba5a0ea9.4.2配置项组别标记用“SettingGroup”作为配置项组别标记，描述配置项分类的基本信息，其结构如表4所示。表 4配置项组别标记标记名称解释说明Name配置项组

31、别名称描述配置项组别的名称。ID配置项组别标识描述配置项组别的唯一标识（GUID）。Description配置项组别描述描述配置项组别的功能介绍。Version配置项组别版本描述配置项组别的版本序号。SettingItem配置项信息描述配置项的基本信息，可以包含多个配置项。GB/T XXXXXXXXX11表 4（续）标记名称解释说明举例：SettingGroup Name=账户锁定策略组 ID=f74636ac-0619-4be7-ac00-6ae9887707b69.4.3配置项标记9.4.3.1配置项主标记用“SettingItem”作为配置项标记，描述各核心配置项的基本信息，如表5所示。

32、表 5配置项标记标记名称解释说明Name配置项名称描述配置项的名称。ID配置项标识描述配置项的唯一标识（GUID）。Content配置项内容描述配置项内容，包括：赋值路径、脆弱性、应对措施、潜在影响等,详见 9.4.3.2 节。DiscoveryInfo配置项取值描述配置项取值类型，包括：作用范围、取值方式、取值数据类型等,详见 9.4.3.3 节。ExportInfo配置项赋值描述配置项赋值的过程，包括组策略导出文件类型、导出文件中配置项的名称等，详见 9.4.3.4。举例：.9.4.3.2配置项内容标记9.4.3.2.1配置项内容主标记用“Content”作为配置项内容标记，描述各核心配置

33、项内容的主要信息，如表6所示。表 6配置项内容标记标记名称解释说明Description介绍描述配置项功能及相关参数。GB/T XXXXXXXXX12表 6（续）标记名称解释说明UIPath赋值路径描述配置项的赋值具体路径。Vulnerability脆弱性描述该配置项所对应的系统脆弱性。CounterMeasure应对措施解决如何对配置项参数正确赋值。PotentialImpact潜在影响说明启用配置项后可能会造成不确定的影响。ValueRange取值范围允许配置项赋值的范围。Unit计量单位配置项参数的计量单位。ValueMappingTable取值映射表如果配置项的参数是几个可枚举值，比如

34、是代表颜色的红（0 xFF0000）、绿（0 x00FF00）和蓝（0 x0000FF），括号内为真正取值，此表描述取值与代表此值的显示名称的映射关系，可帮助用户在界面上对取值进行指定。举例：本配置项内容的解释计算机配置Windows 设置安全设置账户策略账户锁定策略对本配置项的解决的脆弱点进行描述。使用配置项建议的描述。采用配置项后所带来的潜在风险描述。分钟9.4.3.2.2配置项取值映射表标记用“ValueMappingTable”作为配置项取值映射表标记，描述核心配置项取值映射表的主要信息，如表7所示。表 7取值映射表标记标记名称解释说明Mapping一个映射描述一个取值和与之相对应的显

35、示名称的对应关系。DisplayName显示名称取值相对应的显示名称。Value值配置项真正取值。举例：9.4.3.3配置项取值标记用“DiscoveryInfo”作为配置项取值标记，描述核心配置项取值方法，如表8所示。GB/T XXXXXXXXX13表 8配置项取值标记标记名称解释说明Scope作用范围指配置项作用范围：本机（Machine）或当前账户（User）。DiscoveryType取值方式描述配置项的取值方式，包括 WMI、注册表等。DataType取值数据类型描述配置项取值的数据类型，比如：整型、字符串。WMIDiscoveryInfoWMI 取值信息描述值在 WMI 中的位置。

36、RegistryDiscoveryInfo注册表取值信息描述值在注册表中的位置。ScriptDiscoveryInfo脚本取值信息描述用来取值的脚本。举例：例 1（注册表类型）：HKEY_LOCAL_MACHINEREG_DWORDSystemCurrentControlSetServicesLanManServerParametersenableforcedlogoffInt64例 2（WMI 类型）：rootrsopcomputerRSOP_SecuritySettingNumericSettingKeyName=LockoutDurationAndprecedence=1注：cgdcc-

37、core是命名空间的前缀。9.4.3.4配置项赋值标记用“ExportInfo”作为配置项赋值标记，描述核心配置项赋值方法，如表9所示。在组策略工具中，通过加载组策略导出文件（GPO Backup）进行赋值。GB/T XXXXXXXXX14表 9配置项赋值标记标记名称解释说明GPOGenerateFormat组策略导出文件类型描述组策略导出文件的类型，包括 INF、CSV、POL 三种类型。Inf Name导出文件中配置项的名称组策略导出文件中描述配置项的名称。SectionName导出文件中的段名称组策略导出文件中描述配置项所在的段的名称。举例：9.4.4配置项检查标记用“Check”作为配

38、置项检查标记，描述判断配置项是否存在，以及实际值是否达到基值的规则，如表10所示。表 10配置项检查标记标记名称解释说明SettingRef配置项标识引用描述所要检查配置项的标识。ExistentialRule配置项存在规则检查配置项是否存在。ValidationRules配置项有效规则检查配置项参数是否符合规定。举例：Win7,Vista,and XP have the same duration.Their environment set to 15minutes.The setting does this by specifying the number of minutes a loc

39、ked outaccount will remain unavailable.If the value for this policy setting is configured to0,locked out accounts will remain locked out until an administrator manually unlocksthem.9.5产品标记用“CGDCC-Product”作为配置基线的产品标记，描述配置基线适用产品的主要信息，如表11所示。GB/T XXXXXXXXX15表 11产品标记标记名称解释说明ID产品标识描述软件产品的唯一标识（GUID）。Displ

40、ayName产品名称描述软件产品的名称。OperatingSystemInfo操作系统版本描述操作系统的版本号。此项与 MsiInfo 项、PlatformApplicabilityCondition项为三选一。MsiInfo产品安装信息描述软件产品的安装信息。PlatformApplicabilityCondition适用环境信息描述软件产品适用的操作系统。ProductFamilyRef产品所属家族描述软件产品所属的产品系列的总称，如 Windows。用GUID 标识表示。例 1（操作系统）：例 2（应用软件）：10核心配置自动化部署及监测技术要求10.1自动化部署及监测平台基本架构对于有

41、一定规模的政务终端核心配置应用，需要配备自动化部署及监测平台，进行核心配置编辑、验证、部署和监测。自动化部署及监测平台由四个基本功能模块构成，分别是配置编辑模块、配置验证模块、配置部署模块和配置监测模块，如图3所示。其中，配置编辑模块主要用于将核心配置清单自动转换生成核心配置基线包，配置验证模块用于对核心配置基线包进行验证和测试，生成可部署的配置基线包；配置部署模块用于对核心配置基线包进行自动化部署；配置监测模块用于对核心配置状态进行自动监测。GB/T XXXXXXXXX16图 3自动化部署及监测平台10.2配置编辑模块配置编辑模块用来生成核心配置基线包，安全管理员依照核心配置基本要求制定配置

42、清单，并对其进行转换和处理，生成可以编辑、可以解析、可以分发和可以部署的核心配置基线包。配置编辑模块应包括基线包生成器和基线包编辑器两个部件：a)基线包生成器主要用于生成原始的核心配置基线包，可根据清单内容逐项录入或由清单模版自动录入；b)基线包编辑器主要用于修改核心配置基线包中的配置项的基值，并可进行添加、修改、合并、删除等编辑操作。10.3配置验证模块配置验证模块用于验证核心配置基线包的有效性、适用性和兼容性，保证所要部署的配置基线包的实施效果和安全。GB/T XXXXXXXXX17有效性测试可采用人工测试与工具测试相结合的方法，验证核心配置基线包是否生效。具体要求包括：a)核心配置部署前

43、，自动收集测试终端的脆弱性情况；b)核心配置部署后，检测核心配置项的实际赋值是否与基值相一致；c)对测试终端进行渗透测试，检验核心配置项是否发挥安全作用。兼容性测试用于测试核心配置项之间的兼容性，解决终端核心配置项之间的冲突问题。具体要求包括：a)支持核心配置项的分析对比，找出有冲突的核心配置项；b)可修改存在兼容性问题的核心配置项。适用性测试用于评估核心配置基线对终端应用环境的影响，包括功能影响、性能影响、系统异常风险等。具体要求包括：a)能够收集测试终端软硬件环境信息，识别操作系统版本，以及已安装的应用程序；b)能够针对具体的配置项，检查其影响范围，识别出受其影响的软件清单及其原因；c)能

44、够识别异常现象，追溯其产生的原因，定位相关配置项；d)支持多用户环境下的适用性测试，支持常用软件和业务应用软件的适用性测试。10.4配置部署模块配置部署模块可进行核心配置基线包管理、分发和部署执行，由基线包管理工具、基线包分发工具和配置执行工具三个部分组成。a)基线包管理工具具备核心配置基线包上载、内容查看、网络分发，以及基线包更新和删除等功能；b)基线包分发工具将基线包按照 IP 或部门区域定向分发到客户端，可采用服务器推送和客户端相结合的分发模式；c)配置执行工具自动解析配置基线包赋值方法和路径，并对配置项进行参数赋值，赋值前应对注册表及相关配置文件进行备份，然后在系统（System）权限

45、下执行赋值过程。10.5状态监测模块状态监测模块是安全管理员掌握全网终端核心配置状况的一个重要手段，主要由安装在终端上的配置状态收集器、配置状态上报工具和部署在服务器上的配置状态分析器、配置状态图展示平台组成。a)配置状态收集器定时收集终端的核心配置项参数设置情况；b)配置状态上报系统用于将收集的配置状态上传至服务器；c)配置状态分析器用于对上报的配置状态与核心配置基线进行比对和统计分析；d)配置状态图展示平台通过图、表等展示手段输出配置状态分析结果。11实施流程11.1实施流程框架政务计算机终端核心配置实施流程主要包括实施准备、基线制定、测试验证、配置部署、配置检查和例外处理等六个阶段，如图

46、4所示。GB/T XXXXXXXXX18图 4实施流程11.2实施准备11.2.1概要本环节重点从技术和管理两个方面做好实施前准备，主要步骤包括：a)需求分析和调研；b)制定总体实施方案；c)建立组织管理架构，制定相关管理制度，提供组织保障。11.2.2需求调研通过调研网络终端的分布、软硬件资产配备及应用情况，分析政务部门安全目标和安全需求，从而确定实施终端核心配置的目标、范围和基本要求，并评估核心配置实施可能带来的风险。11.2.3制定方案制定政务部门实施终端核心配置总体工作计划，指导后续开展的工作，方案的主要内容包括：a)工作计划：各阶段的具体工作计划，包括工作内容、工作形式、工作成果等内

47、容；b)进度计划：核心配置实施的时间进度安排；c)平台搭建技术方案：规模应用条件下，应搭建核心配置自动化部署及监测平台。应制定平台建设技术方案，并在实施前完成平台搭建工作。11.2.4组织保障组建由领导层、管理层、相关业务骨干和安全技术人员构成的实施团队。必要时，可聘请相关专业的技术专家和技术骨干组成专家小组，指导实施过程。GB/T XXXXXXXXX19组织核心配置技术培训和保密教育，制定核心配置管理制度，明确工作职责和任务，得到政务部门最高管理者的支持和批准，必要时签署个人保密协议。11.3基线制定11.3.1概要本环节主要根据政务部门确定的核心配置基本要求，制定核心配置清单，并利用核心配

48、置自动化部署及监测平台生成核心配置基线包。11.3.2制定配置清单在本标准第7章提出的核心配置基本要求的基础上，制定符合政务部门安全目标和安全要求的核心配置清单，其格式应符合本标准第8章的规定。附录B列举了身份鉴别配置要求对应的核心基线配置清单示例。11.3.3生成配置基线包将配置清单内容逐项录入基线包生成器或者利用清单模板自动录入，可生成原始的核心配置基线包，然后在此基础上进一步筛选配置项或者调节配置项基值，生成用于部署的核心配置基线包。11.4验证测试11.4.1概要本环节主要目标是验证测试核心配置基线包的有效性、适用性和兼容性，尽量避免首次部署核心配置基线所可能引发新的安全风险。本阶段的

49、主要工作包括：a)搭建验证测试环境；b)对核心配置基线包进行有效性、适用性和兼容性测试；c)对存在问题的核心配置项参数进行重新设置。11.4.2搭建测试环境从验证核心配置基线包的有效性、适用性及兼容性的需求出发，搭建验证测试环境。主要部署必要的硬件设备和测试工具软件，模拟终端的实际运行环境。11.4.3验证测试过程利用核心配置自动化部署及监测平台的配置验证模块分别进行核心配置有效性、适用性和兼容性验证测试，记录测试结果，定位存在问题的核心配置项。11.4.4配置调整对存在有效性、适用性或兼容性问题的核心配置项参数进行修改和调整，重新生成用于部署的核心配置基线包。原则上配置项的赋值不应低于基值。

50、11.5配置部署11.5.1概要本环节主要完成核心配置基线包的分发和本地执行过程。可采用自动部署方式和手动部署方式。11.5.2配置分发GB/T XXXXXXXXX20通过核心配置自动化部署及监测平台在一定的网络范围内，自动分发核心配置基线包。可以面向不同安全域，不同IP地址段，或者不同部门进行定向分发。11.5.3配置执行利用配置部署模块的客户端，或以手工方式，或镜像方式在本地计算机终端执行核心配置项赋值过程。一般部署核心配置基线包前，应备份当前计算机终端的配置状态，以便部署过程中出现问题时可以及时恢复。11.6配置检查11.6.1概要核心配置部署完成后定期进行配置状态检查是保证终端始终处于