应对XP停止服务事件 终端安全配置服务接管计划 刘 蓓 2014年3月

XP停止补丁服务事件 2014年4月8日起，微软公司在全球范围内停止对Windows XP和Office 2003 的支持服务，包括产品更新、安全补丁、漏洞修复等

XP停止服务事件的影响 现状 在中国的PC中，XP终端约为2亿台，约占73.5% 政府计算机终端共约有2000万台，XP终端约为1400万台

应对策略 升级操作系统 国产操作系统替代 第三方防病毒软件（黑白名单技术） 计算机终端核心配置

65% 终端安全分析 高达65%的终端安全事件是由于配置不当造成的（Gartner报告，2012） 攻击源 攻击路径 攻击目标 漏洞风险 35% 病毒 木马 僵尸程序 系 统 广 泛 存 在 漏 洞 网络浏览或下载（网页挂马） 软 硬 件 自身 缺 陷 安 全 配 置 不 当 垃圾邮件 没有补丁的情况下，安全配置的作用更加重要 移动存储介质 高达65%的终端安全事件是由于配置不当造成的（Gartner报告，2012）

什么是终端安全核心配置 对计算机操作系统、办公软件、浏览器、邮件系统等基础软件中影响计算机安全的关键可选项进行参数设置的过程。 限制或禁止存在安全隐患或漏洞的功能，启用或加强安全保护功能，达到一定的安全基线，增强终端抵抗安全风险的能力。 管理的重点 安全配置不当是终端安全事件的主要原因 针对影响安全的关键项进行配置，效果直接，对终端性能影响小 操作的难点 终端量大面广，软件种类繁多 配置项涉及系统核心，需要由专业技术人员，利用专业自动化工具及支撑平台实施

终端安全核心配置的作用 操作的难点 限制 启用 禁止 加强 用户权限 资源共享 远程进程调用(RPC) 数字签名 数据执行保护（DEP） 加密存储 禁止 高危服务和端口 非法程序脚本执行 未授权程序驱动安装 加强 密码管理 身份认证 账户管理 安全审计 管理的重点 安全配置不当是终端安全事件的主要原因 针对影响安全的关键项进行配置，效果直接，对终端性能影响小 操作的难点 终端量大面广，软件种类繁多 配置项涉及系统核心，需要由专业技术人员，利用专业自动化工具及支撑平台实施

利用核心配置技术防范漏洞（举例） 【漏洞类型】Windows内核漏洞（微软安全公告ID：MS13-063） 【发布时间】2013年8月 【影响软件】Windows XP/Win7 【涉及漏洞】CVE-2013-3196/3197/3198：Windows内核内存损坏漏洞 【漏洞风险】漏洞可能允许特权提升。攻击者可以在内核模式下运行任意代码。攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。 【补丁编号】： KB2859537 【配置方法】： （1）运行 gpedit.msc，打开组策略控制台。 （2）选择“管理模板”-> “Windows 组件”->“应用程序兼容性”文件夹 （3）启用“防止访问 16 位应用程序”策略配置 （4）帐户被配置为拥有较少系统用户权限的用户比具有管理用户权限的用户受到的影响要小。

终端安全配置国家标准制定 2010年安标委正式立项国家标准编制任务 《信息安全技术 政务计算机终端安全核心配置规范》 《信息安全技术 政务计算机终端安全核心配置规范》 2010年国家发改委信息安全专项 “政务计算机终端核心配置标准研制及其验证、应用平台建设” 2014年颁布实施，标准号：GB/T30278-2013 《政务计算机核心配置规范》介绍

《政务计算机核心配置规范》介绍 标准规定了政务计算机终端核心配置的基本概念和基本要求，核心配置的自动化实现方法，规范了核心配置实施流程 用于指导政务部门开展计算机终端的核心配置管理工作

核心配置的范围 操作系统：如Windows系列、国外Linux和国产Linux等 办公软件：如国外Office软件和国产WPS软件等； 浏览器软件：如国外Internet Explore、Chrome、Firefox和国产遨游、360浏览器等； 邮件系统软件：如国外Outlook和国产Foxmail等； BIOS系统软件：如AMI BIOS、Award BIOS等； 防恶意代码软件：如内防病毒、防木马软件等

核心配置基本要求 身份鉴别：包括账户登录和口令管理 访问控制：包括账户管理和权限分配 安全审计：包括账户行为审计和资源访问审计 剩余信息保护：包括临时文件、历史文件和虚拟文件管理 入侵防范：包括对组件的保护功能开启、应用程序的更新 恶意代码防范：包括杀毒软件的安装、升级和病毒查杀 资源控制：包括服务、端口、协议等资源管理和数据加密 一种安全主管与安全管理员之间的交流文件，依据：等级保护基本要求（GB/T 22239-2008） 主机安全要求，本单位的安全需求

核心配置项 【配置项标识】：CGDCC-Win7-0001 【配置项名称】：帐户锁定 【配置项描述】：指定锁定用户账户之前所允许的失败登陆尝试次数。在管理员重置锁定帐户或帐户锁定时间期满之前，无法使用该锁定帐户。0代表永远不会锁定帐户。 【配置项组别】：帐户登录 【重要性级别】：严重 【取值范围】：0—999次 【配置项基值】：5次 【赋值路径】：ComputerConfiguration\WindowsSettings\SecuritySettings\AccountPolicies\AccountLockoutPolicy 【检查规则】：等于

核心配置清单

终端核心配置基线 终端核心配置基线：为满足本单位计算机安全保护基本要求，针对操作系统等基础软件制定的安全配置清单。 核心配置基线包：采用XML格式描述，可由配置工具自动解析和执行的数据文件。 2013年立项国标《计算机终端核心配置基线格式规范》 能够满足计算机安全基本要求的一组核心配置项基值构成的集合

核心配置自动化实现方法 提出配置基本要求：根据计算机终端所属系统或环境的安全需求及安全等级，确定配置具体要求。 编制核心配置清单：采用清单方式描述核心配置要求，包括配置项标识、配置项名称、取值范围、配置项基值、赋值路径和检查规则等。 生成核心配置基线包：将配置清单转化成为一种符合XML语法的嵌套式结构数据文件，以供自动化部署工具实施。 自动部署及监测：通过搭建配置自动化部署平台，实现配置项的验证、分发、批量赋值和合规性实时检测。

自动化配置及监测平台框架

核心配置管理实施流程 搭建终端安全配置自动化平台 根据本单位终端安全保障需求制定终端安全配置基线 对安全配置基线进行测试，验证其有效性和适用性 利用安全配置平台分发和部署安全配置基线 利用安全配置平台实时监测全网终端安全状态 定期升级终端核心配置基线

1.搭建终端安全配置自动化平台 自主研制终端安全配置管理系统PCcare

2.制定终端安全配置基线 开展用户需求调研，协助确定安全配置要求，然后利用自动化工具生成安全配置清单和安全配置基线 基于标准配置基线，利用编辑工具依据实际情况进行修改后获得安全配置基线 需求调研表：共7大类 77项要求

3.对安全配置基线进行验证 工具验证：自动验证基线包有效性、兼容性和适用性。工具会记录测试结果，定位存在问题的核心配置项。 真实环境测试：进一步验证基线的适用性。需要准备几台具备典型应用环境的测试终端，在测试终端上部署核心配置基线，通过实际应用检验基线对系统功能和性能的影响

4.分发和部署安全配置基线 按照部门、IP或者安全域部署安全配置基线

5.实时监测全网终端安全状态 实时监测终端安全配置状态，及时发现并纠正配置偏差，保证终端长期运行的合规性

6.定期升级终端核心配置基线 开通了安全配置在线服务平台www.cgdcc.cn，提供安全配置体检、基线在线生成、工具下载等服务

6.定期升级终端核心配置基线 共包含42条基线 1000多个配置项 安全核心配置基线库 按软件类别： 按安全级别： 按安全要求： 操作系统安全配置基线 办公软件安全配置基线 浏览器安全配置基线 邮件系统安全配置基线 按安全级别： 等保二级安全配置基线 等保三级安全配置基线 等保四级安全配置基线 按安全要求： 身份鉴别配置组 访问控制配置组 安全审计配置组 信息保护配置组 入侵防范配置组 安全核心配置基线库 多少条基线，多少个配置项

建成全国性的核心配置应用支撑平台 平台中央节点建在国家信息中心，在31个副省级以上信息中心建设地方节点，平台部署PCcare软件 安全状态实时监测 核心配置统一部署 系统补丁测评分发 病毒木马监测预警 微软 中国信息安全 测评中心 地方政府部门 用户终端 国家信息中心 主节点 省级节点 互联网或外网 中央政府部门 部委节点

国家经济信息系统安全配置管理试点

政务部门实施终端核心配置的条件已经具备 制定国家标准 《政务计算机终端核心配置规范》 研制完成终端核心配置自动化实施工具PCcare 已建成全国性终端安全配置服务平台 在全国多行业和多领域进行了试点应用 依托平台节点单位在各省市配备了技术服务队伍 依托国家经济信息系统和外网节点单位，组建全国中央、省、市三级技术服务队伍 负责平台运行、工具安装、应急、检查、培训等技术支持服务

信息安全主管部门组织应对XP停止服务事件 给国家信息中心下达的任务 研究制定我国政府和重要企事业单位办公用计算 机桌面核心配置基线 起草计算机终端桌面核心配置实施计划 推动计算机终端核心配置在全国政府部门的实施 包括组织管理、实施动员、宣贯培训、组建技术服务队伍、实施工具配发、进度计划、检查制度等

终端安全配置服务接管计划 通过在全国各级政务部门全面实施终端核心配置，提高我国政务部门计算机终端安全基准，降低XP停止服务事件带来的风险，并在今后的政务计算机安全管理工作中，把终端核心配置管理工作列为国家信息安全工作基本要求。

计划内容 开展实施动员和宣贯培训活动 建设完善中央、省、市三级应用支撑平台 全国配发自动化实施工具PCcare 协助政府部门搭建终端安全配置用户平台 依据标准提供终端核心基线制定及更新服务

全国配发自动化实施工具 向中央、省、地市各级政府部门，以及重要行业提供核心配置自动化实施工具PCcare 包括服务器端软件和客户端软件 工具可通过CGDCC网站下载,或由技术服务人员现场安装部署

协助政府部门搭建终端安全配置用户平台 平台部署方式 单网部署方案 单网部署、双网部署、级联部署 准备一台前端服务器，安装PCcare前端服务器软件 安装PCcare客户端软件 前端服务器连接至本级（省、市）级联节点的级联服务器，获取最新的补丁

终端安全核心配置服务 协助用户平台安装部署 定制终端安全配置基线 协助制定终端安全管理制度 补丁测评分发服务 软件及基线更新服务 技术支持、培训及应急服务 针对XP系统环境和漏洞防范控制要求，定制研发了XP系统安全配置基线。 未来随着新漏洞的发现，不断补充完善基线中的配置策略 安全配置基线可通过在线服务网站www.cgdcc.cn进行实时更新

服务获取方式 计算机终端安全网站（www.cgdcc.cn） 《应对XP系统停止服务事件，政务部门终端安全配置实施指南》下载 提供最新工作动态 安全配置在线服务 工具软件及基线下载 标准及技术资料下载 《应对XP系统停止服务事件，政务部门终端安全配置实施指南》下载

谢 谢！ www.cgdcc.cn