许涛:国家信息中心终端安全配置标准框架

2011年11月2日RSA Conference 2011信息安全国际论坛在北京中国大饭店举行。国家信息中心网络安全部许涛在第二天的演讲中分享了国家信息中心在终端安全核心配置方面的工作经验。

许涛:国家信息中心终端安全配置标准框架

国家信息中心网络安全部许涛

长久以来,中国信息安全的工作重点主要集中在网络安全边界与传统网络安全边界,主要是核心的网络安全设备,比如安全网关或者一些服务器,但是往往会忽略一些终端的安全性,所以造成了诸如2010年僵尸网络控制的IP地址总数有500万个,帐户和密码丢失的网民数已经达到1.21亿,公安部的信息显示,政府的安全系统中,超过80%的安全威胁是来自终端。那么到底我们终端是怎么了?

据了解,受攻击的用户,5%是零日攻击,30%是没有打补丁,65%是来自错误的配置。可见只有正确的配置才是终端安全性保障的最大因素。

什么叫安全配置?安全配置主要包括终端的硬件环境安全配置,终端的软件安全配置,以及终端安全核心配置。具体来说,终端安全核心配置是最重要的,重点就是对系统、办公软件、浏览器等常用软件关键的安全属性进行参数设置,最终增强抗风险的能力。

各国在终端安全配置的部署

美国在终端安全配置方面做了很多工作,首先07年美国启动了一项联邦桌面核心配置技术,这个包括联邦政府各个机构都共同参与了,美国当时要求各联邦机构必须严格执行FDCC的相关配置。FDCC执行的效果怎么样?我们从美国空军执行的一组数据可以看出,FDCC通过在美国空军的试点,在时间成本上,人力成本上,财力成本上都大大降低,所以可以说FDCC在美国得到了成功的试用。

澳大利亚在配置方面也做了相关工作。去年DSD为了防止入侵攻击也列出了策略清单,今年七月完成了配置清单的修整工作,其中前四项配置,包括应用软件配置,操作系统配置,还有用户权限,管理员权限数量控制,还有白名单,控制终端安装授权软件,这四项策略配置在澳大利亚得到很好的试用效果。据澳大利亚官方显示,仅仅配置前四项,在2009年可以组织70%的入侵事件发生。在2010年就前四项配置功能至少可以组织85%的入侵事件发生。可见做好配置工作确实可以大大的保障终端安全水平。

国家信息中心终端安全配置标准框架

我们国家信息中心是于2009年启动了CGDCC,政务终端安全核心配置这个计划。目标很简单,首先根据分析目前政府终端电子网络环境,研制符合中国国情的政务终端安全核心配置的标准。第二个,我们要做部署标准的实施工具和搭建一个平台。2010年我们《政务终端安全核心配置规范》得到国标的立项。同时我们这个项目也得到发改委的支持。2010年国家高级司把我们这个项目列入专项,现在正在进行当中。

许涛介绍了国家信息中心的标准体系框架,标准包括三部分,第一部分总体要求,技术规范和应用支撑。今年我们完成了配置清单草案的提交。剩下的标准草案我们已经联合了全国16家地方的信息中心的机构一起完成,等到明年六月份,大概其他标准草案也可以完成。这是我们开发的一个关于实施核心配置的工具平台,包括五个:一个是编辑平台,验证平台,分发平台,部署平台,状态监测平台。这是相关的部署平台结构。实施流程很简单,首先根据CGDCC标准的内容,制订安全的配置界限包,然后把这个界限包制订出来放在验证平台上,根据验证工具对标准界限包进行合规性检查,如果达标测试合格,通过部署平台分发到各个终端,然后部署到本地,同时本地也有检测工具把一些实时的安全配置状态上报到服务器,服务器发现如果有配置未达标的进行另外处理,如果有特殊情况,保密设施比较严的,可以申报处理,认证合格的授权机构可以对存在偏差的配置进行保留。

国家信息中心在应用支撑平台的搭建情况,首先通过自主研发的平台软件,以国家信息中心为中央结点,在各地方24个省市建立了分节点,就是两级平台的搭建。我们的PCcare同时包括安全预警的通告,补丁测评分发,还有安全状况监控,主要包含这几个功能模块。其中我们刚开发完成一个离线的安全配置检测工具,通过这个工具像U盘一样插到终端,就可以看到终端配置情况,如果有漏洞可以恢复,把这些配置都变成达标的状态。

国家信息中心示范应用分为中央节点,然后有一个级联服务器,这是连接地方24个省市的节点,将他们安全状况进行一个收集,同时又一个中央前端服务器放在我们中心用于给中心内部所有终端进行安全配置,同时还有一些预警,还有分发打补丁的功能。终端配置我们采取是网络安全部进行试点应用,然后经过陈述以后推广到其他部门,最终推广到所有部门。采取分布的配置方法。

安全核心配置未来发展的目的不但目标对象主要针对终端,我们将来还需要面向服务器,包括传统的网络设备,包括防火墙,网关,同时我们也希望联合国家测评中心的漏洞补丁库,针对IT产品,建设我们自己的安全配置库。这个配置库可以提供在线的,自动的,及时的安全配置服务。用户可以通过我们的网络平台直接登到服务器上,通过服务器对自己的终端进行安全配置的体检。如果发现不合格,可以及时的用配置工具进行修正。