应对XP停止服务事件 终端安全配置服务接管计划

Slides:



Advertisements
Similar presentations
酒店的类型 为了满足人们各种不同的 需要,就出现了各种类型的 酒店。. 十种分类方法 提出者: 英国旅游学家、萨里大学宾馆餐饮 与旅游系主任迈德利克教授 专著:《 宾馆业 》
Advertisements

© 2004 By Default 公共实验中心现代教育技术中心 王德东 2015 年 10 月 16 日 多媒体教室设备使用培训多媒体教室设备使用培训.
Windows Company Logo 你要知道的 告诉你的客户 windows7 好在哪 1 向客户推荐 windows 7 2 向客户演示 windows7 3 如何识别正版 windows7 4.
学年度工作总结 —— 上海建桥学院 —— 上海建桥学院 实验室与资产管理处 实验室与资产管理处.
第一部分 NCRE 简介 1 、全国计算机等级考试( NCRE )的含义 全国计算机等级考试 (National Computer Rank Examination ,简称 NCRE) 是经原国 家教育委员会 ( 现教育部 ) 批准,由教育部考 试中心主办,用于考查应试人员计算机应用 知识与能力的等级水平考试。
LOGO 计算机应用 课程简介. Contents 教学目的与要求 1 教学方法 2 教学内容 3 章节介绍 4 考核方式和考试介绍 5.
泛微EC与微信集成实施部署说明 泛微微信应用事业部 康渊炎 编制 泛微软件.
2016 新办企业办税入门指南 吕嫔 苏州工业园区国家税务局 周天越 苏州市兴瑞税务师事务所有限公司.
职业指导服务系统 欢迎了解职业指导服务系统!
2014年度部门决算 肇庆市财政局绩效评价科 2014年12月.
PC DIY達人培訓班 主辦單位:東海高中資訊科 報告人:李宏傑.
推销自己是一种才华,是一种艺术。 有了这种才华, 你就能安身立命, 使自己处于不败之地。 卡耐基.
科技档案管理 主讲:王莉敏.
2015年重点税源企业 报表填报流程培训会 海淀地税局 收入核算科.
《计算机应用基础》 课程教学大纲 计划学时: 64学时 计划学分: 4学分 课程类型: 公共必修.
《国民经济行业分类》 讲座 2011年10月.
本章主要内容 工伤保险的功能与实施原则 工伤保险的范围与工伤认定 工伤保险基金 工伤的劳动能力鉴定 工伤保险的待遇 工伤预防与工伤康复
中国平安校园招聘.
《中华医学百科全书》 释文编写要点
湖南省怀化市中小学信息技术 学科考试系统培训交流
新教材教法研讨 绥中县教师进修学校 邢 杨 2015年9月17日.
图形设计标准教程.
门店助手V3.1.0版 用户操作手册 广东蜂助手网络科技有限公司 2015年03月.
提高自身素质做好 新时期班主任工作 北京市广渠门中学 高金英.
峰信 电话管理系统 产品介绍 上海艾家电子商务有限公司 2011年7月.
普通话模拟测试 与学习平台 使用指南.
资产评估准则——不动产 讲 解 主讲人: 肖 力.
香港普通話研習社科技創意小學 周順強老師.
北京教育资源服务平台培训 2008年3月13日.
新疆生产建设兵团 协同政务平台 主讲人:程志雄 各位领导,早上好,今天很高兴和大家一块学习协同办公系统。
安徽地税机打发票系统培训 2015年3月.
網路小說劇情建構與伏線營造 Windows98.
江苏教师教育网络培训平台 培训学员帮助.
一年級品德教育「感恩」德目教學 我家寶貝要出生 興南國小 一學年課程發展小組.
企业秘书写作 主讲教师:黄巨龙.
操作题内容 文字录入 Windows XP操作 或 文件操作 PowerPoint2003操作 或 Excel2003操作
关于整合检验检测认证机构实施意见的通知(国办发〔2014〕8号)
PPT课件中文字的设置 多媒体系列讲座 濉溪中学信息中心 2010年11月.
电子病历系统应用水平 分级标准及案例解读 安徽省立医院 徐冬 黄山.
推进德育创新 做好新时期班主任工作 北京市广渠门中学 高金英.
遠距圖書服務系統 國家圖書館 遠距圖書服務系統 文獻傳遞服務 2002/09
管理系统使用注意事项 1.每个事业单位只有一张唯一的专用光盘。但为防止事业单位专用光盘损坏,可以自行刻录一张新的光盘作为备份。用于网上登记的计算机必须有光驱才行、计算机必须是xp或更好版本的的操作系统,浏览器必须是IE6.0版本以上。 2.事业单位专用光盘中“网下填表与上网提交”功能未开通,待开通后再告知大家。
全国工会企事业资产统计系统操作说明 登录地址:http://qsyzc.acftu.org/ 或
企业产品执行标准备案 登记办事规程 深圳市标准技术研究院 标准审查部.
初中生物成功教育教学模式培训 陆卫帼 2013年7月7日.
网络地址转换(NAT) 及其实现.
第七节 标点符号 目 录 一 标点符号的含义 二 标点符号的重要性 三 标点符号的作用 四 标点符号的变异形式 五 标点符号的灵活性
纳税指南 二○一一年第九期 主办:青岛市市北国家税务局.
小学信息技术 小学信息技术 第3册教材教法分析 第3册教材教法分析.
启天IV产品介绍
中视前卫OA项目培训 准备人: 李鹏 / 公司: 泛微公司 / 日期: 2017/11/20 中视前卫信息化项目组.
《计算机网络 --基于因特网的信息服务平台》 (第2版)
关检合作“一单两报” 项目介绍 数据中心 2014年 11月.
课程简介 《计算机应用基础》 与《微机操作》课程组 2019/1/16 课程简介.
電腦基本故障排除與維護 (軟體) 淡江大學資訊中心教學支援組 劉育辰.
蘋果電腦的作業系統可以和Windows作業系統一樣,可以做Scan to Folder
操作環境設定 在IE的功能表列[工具][網際網路選項][一般]頁籤Temporary Internet files之[設定]點選[每次查閱畫面時][確定]
计算机组装、维修及 实训教程 第17章 微机软件的安装与设置 2019年4月11日星期四.
電腦基礎與網際網路 資訊安全 建立防火牆.
山西大学上网方式说明及常见问题解决方式 山大网络中心
蘋果電腦的作業系統可以和Windows作業系統一樣,可以做Scan to Folder
電子郵件安全:如何防範社交工程郵件 圖書資訊服務處 元智大學.
電腦維修FAQ 邱隆盛 電子計算機中心 教育資訊組.
中国建筑的特征 执教:浮 石 单位:吴川一中 时间:2005/10/ 梁思成
第1课 认识WPS文字处理软件 南充职业技术学院附中 任洪超
售后培训系列之V9系统中心安装 SecManage 网安事业部 广州售后-王长绪.
参赛流程指引 (如何下载平台及报名参赛).
中国建筑的特征 执教:浮 石 单位:吴川一中 时间:2005/10/ 梁思成
计算机基础与实训教材系列 《中文版Office 2003实用教程》.
Presentation transcript:

应对XP停止服务事件 终端安全配置服务接管计划 刘 蓓 2014年3月

XP停止补丁服务事件 2014年4月8日起,微软公司在全球范围内停止对Windows XP和Office 2003 的支持服务,包括产品更新、安全补丁、漏洞修复等

XP停止服务事件的影响 现状 在中国的PC中,XP终端约为2亿台,约占73.5% 政府计算机终端共约有2000万台,XP终端约为1400万台

应对策略 升级操作系统 国产操作系统替代 第三方防病毒软件(黑白名单技术) 计算机终端核心配置

65% 终端安全分析 高达65%的终端安全事件是由于配置不当造成的(Gartner报告,2012) 攻击源 攻击路径 攻击目标 漏洞风险 35% 病毒 木马 僵尸程序 系 统 广 泛 存 在 漏 洞 网络浏览或下载(网页挂马) 软 硬 件 自身 缺 陷 安 全 配 置 不 当 垃圾邮件 没有补丁的情况下,安全配置的作用更加重要 移动存储介质 高达65%的终端安全事件是由于配置不当造成的(Gartner报告,2012)

什么是终端安全核心配置 对计算机操作系统、办公软件、浏览器、邮件系统等基础软件中影响计算机安全的关键可选项进行参数设置的过程。 限制或禁止存在安全隐患或漏洞的功能,启用或加强安全保护功能,达到一定的安全基线,增强终端抵抗安全风险的能力。 管理的重点 安全配置不当是终端安全事件的主要原因 针对影响安全的关键项进行配置,效果直接,对终端性能影响小 操作的难点 终端量大面广,软件种类繁多 配置项涉及系统核心,需要由专业技术人员,利用专业自动化工具及支撑平台实施

终端安全核心配置的作用 操作的难点 限制 启用 禁止 加强 用户权限 资源共享 远程进程调用(RPC) 数字签名 数据执行保护(DEP) 加密存储 禁止 高危服务和端口 非法程序脚本执行 未授权程序驱动安装 加强 密码管理 身份认证 账户管理 安全审计 管理的重点 安全配置不当是终端安全事件的主要原因 针对影响安全的关键项进行配置,效果直接,对终端性能影响小 操作的难点 终端量大面广,软件种类繁多 配置项涉及系统核心,需要由专业技术人员,利用专业自动化工具及支撑平台实施

利用核心配置技术防范漏洞(举例) 【漏洞类型】Windows内核漏洞(微软安全公告ID:MS13-063) 【发布时间】2013年8月 【影响软件】Windows XP/Win7 【涉及漏洞】CVE-2013-3196/3197/3198:Windows内核内存损坏漏洞 【漏洞风险】漏洞可能允许特权提升。攻击者可以在内核模式下运行任意代码。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 【补丁编号】: KB2859537 【配置方法】: (1)运行 gpedit.msc,打开组策略控制台。 (2)选择“管理模板”-> “Windows 组件”->“应用程序兼容性”文件夹 (3)启用“防止访问 16 位应用程序”策略配置 (4)帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

终端安全配置国家标准制定 2010年安标委正式立项国家标准编制任务 《信息安全技术 政务计算机终端安全核心配置规范》 《信息安全技术 政务计算机终端安全核心配置规范》 2010年国家发改委信息安全专项 “政务计算机终端核心配置标准研制及其验证、应用平台建设” 2014年颁布实施,标准号:GB/T30278-2013 《政务计算机核心配置规范》介绍

《政务计算机核心配置规范》介绍 标准规定了政务计算机终端核心配置的基本概念和基本要求,核心配置的自动化实现方法,规范了核心配置实施流程 用于指导政务部门开展计算机终端的核心配置管理工作

核心配置的范围 操作系统:如Windows系列、国外Linux和国产Linux等 办公软件:如国外Office软件和国产WPS软件等; 浏览器软件:如国外Internet Explore、Chrome、Firefox和国产遨游、360浏览器等; 邮件系统软件:如国外Outlook和国产Foxmail等; BIOS系统软件:如AMI BIOS、Award BIOS等; 防恶意代码软件:如内防病毒、防木马软件等

核心配置基本要求 身份鉴别:包括账户登录和口令管理 访问控制:包括账户管理和权限分配 安全审计:包括账户行为审计和资源访问审计 剩余信息保护:包括临时文件、历史文件和虚拟文件管理 入侵防范:包括对组件的保护功能开启、应用程序的更新 恶意代码防范:包括杀毒软件的安装、升级和病毒查杀 资源控制:包括服务、端口、协议等资源管理和数据加密 一种安全主管与安全管理员之间的交流文件,依据:等级保护基本要求(GB/T 22239-2008) 主机安全要求,本单位的安全需求

核心配置项 【配置项标识】:CGDCC-Win7-0001 【配置项名称】:帐户锁定 【配置项描述】:指定锁定用户账户之前所允许的失败登陆尝试次数。在管理员重置锁定帐户或帐户锁定时间期满之前,无法使用该锁定帐户。0代表永远不会锁定帐户。 【配置项组别】:帐户登录 【重要性级别】:严重 【取值范围】:0—999次 【配置项基值】:5次 【赋值路径】:ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies\AccountLockoutPolicy 【检查规则】:等于

核心配置清单

终端核心配置基线 终端核心配置基线:为满足本单位计算机安全保护基本要求,针对操作系统等基础软件制定的安全配置清单。 核心配置基线包:采用XML格式描述,可由配置工具自动解析和执行的数据文件。 2013年立项国标《计算机终端核心配置基线格式规范》 能够满足计算机安全基本要求的一组核心配置项基值构成的集合

核心配置自动化实现方法 提出配置基本要求:根据计算机终端所属系统或环境的安全需求及安全等级,确定配置具体要求。 编制核心配置清单:采用清单方式描述核心配置要求,包括配置项标识、配置项名称、取值范围、配置项基值、赋值路径和检查规则等。 生成核心配置基线包:将配置清单转化成为一种符合XML语法的嵌套式结构数据文件,以供自动化部署工具实施。 自动部署及监测:通过搭建配置自动化部署平台,实现配置项的验证、分发、批量赋值和合规性实时检测。

自动化配置及监测平台框架

核心配置管理实施流程 搭建终端安全配置自动化平台 根据本单位终端安全保障需求制定终端安全配置基线 对安全配置基线进行测试,验证其有效性和适用性 利用安全配置平台分发和部署安全配置基线 利用安全配置平台实时监测全网终端安全状态 定期升级终端核心配置基线

1.搭建终端安全配置自动化平台 自主研制终端安全配置管理系统PCcare

2.制定终端安全配置基线 开展用户需求调研,协助确定安全配置要求,然后利用自动化工具生成安全配置清单和安全配置基线 基于标准配置基线,利用编辑工具依据实际情况进行修改后获得安全配置基线 需求调研表:共7大类 77项要求

3.对安全配置基线进行验证 工具验证:自动验证基线包有效性、兼容性和适用性。工具会记录测试结果,定位存在问题的核心配置项。 真实环境测试:进一步验证基线的适用性。需要准备几台具备典型应用环境的测试终端,在测试终端上部署核心配置基线,通过实际应用检验基线对系统功能和性能的影响

4.分发和部署安全配置基线 按照部门、IP或者安全域部署安全配置基线

5.实时监测全网终端安全状态 实时监测终端安全配置状态,及时发现并纠正配置偏差,保证终端长期运行的合规性

6.定期升级终端核心配置基线 开通了安全配置在线服务平台www.cgdcc.cn,提供安全配置体检、基线在线生成、工具下载等服务

6.定期升级终端核心配置基线 共包含42条基线 1000多个配置项 安全核心配置基线库 按软件类别: 按安全级别: 按安全要求: 操作系统安全配置基线 办公软件安全配置基线 浏览器安全配置基线 邮件系统安全配置基线 按安全级别: 等保二级安全配置基线 等保三级安全配置基线 等保四级安全配置基线 按安全要求: 身份鉴别配置组 访问控制配置组 安全审计配置组 信息保护配置组 入侵防范配置组 安全核心配置基线库 多少条基线,多少个配置项

建成全国性的核心配置应用支撑平台 平台中央节点建在国家信息中心,在31个副省级以上信息中心建设地方节点,平台部署PCcare软件 安全状态实时监测 核心配置统一部署 系统补丁测评分发 病毒木马监测预警 微软 中国信息安全 测评中心 地方政府部门 用户终端 国家信息中心 主节点 省级节点 互联网或外网 中央政府部门 部委节点

国家经济信息系统安全配置管理试点

政务部门实施终端核心配置的条件已经具备 制定国家标准 《政务计算机终端核心配置规范》 研制完成终端核心配置自动化实施工具PCcare 已建成全国性终端安全配置服务平台 在全国多行业和多领域进行了试点应用 依托平台节点单位在各省市配备了技术服务队伍 依托国家经济信息系统和外网节点单位,组建全国中央、省、市三级技术服务队伍 负责平台运行、工具安装、应急、检查、培训等技术支持服务

信息安全主管部门组织应对XP停止服务事件 给国家信息中心下达的任务 研究制定我国政府和重要企事业单位办公用计算 机桌面核心配置基线 起草计算机终端桌面核心配置实施计划 推动计算机终端核心配置在全国政府部门的实施 包括组织管理、实施动员、宣贯培训、组建技术服务队伍、实施工具配发、进度计划、检查制度等

终端安全配置服务接管计划 通过在全国各级政务部门全面实施终端核心配置,提高我国政务部门计算机终端安全基准,降低XP停止服务事件带来的风险,并在今后的政务计算机安全管理工作中,把终端核心配置管理工作列为国家信息安全工作基本要求。

计划内容 开展实施动员和宣贯培训活动 建设完善中央、省、市三级应用支撑平台 全国配发自动化实施工具PCcare 协助政府部门搭建终端安全配置用户平台 依据标准提供终端核心基线制定及更新服务

全国配发自动化实施工具 向中央、省、地市各级政府部门,以及重要行业提供核心配置自动化实施工具PCcare 包括服务器端软件和客户端软件 工具可通过CGDCC网站下载,或由技术服务人员现场安装部署

协助政府部门搭建终端安全配置用户平台 平台部署方式 单网部署方案 单网部署、双网部署、级联部署 准备一台前端服务器,安装PCcare前端服务器软件 安装PCcare客户端软件 前端服务器连接至本级(省、市)级联节点的级联服务器,获取最新的补丁

终端安全核心配置服务 协助用户平台安装部署 定制终端安全配置基线 协助制定终端安全管理制度 补丁测评分发服务 软件及基线更新服务 技术支持、培训及应急服务 针对XP系统环境和漏洞防范控制要求,定制研发了XP系统安全配置基线。 未来随着新漏洞的发现,不断补充完善基线中的配置策略 安全配置基线可通过在线服务网站www.cgdcc.cn进行实时更新

服务获取方式 计算机终端安全网站(www.cgdcc.cn) 《应对XP系统停止服务事件,政务部门终端安全配置实施指南》下载 提供最新工作动态 安全配置在线服务 工具软件及基线下载 标准及技术资料下载 《应对XP系统停止服务事件,政务部门终端安全配置实施指南》下载

谢 谢! www.cgdcc.cn