國家信息中心網(wǎng)絡(luò)安全部許濤
長久以來�,中國信息安全的工作重點(diǎn)主要集中在網(wǎng)絡(luò)安全邊界與傳統(tǒng)網(wǎng)絡(luò)安全邊界�����,主要是核心的網(wǎng)絡(luò)安全設(shè)備����,比如安全網(wǎng)關(guān)或者一些服務(wù)器��,但是往往會忽略一些終端的安全性��,所以造成了諸如2010年僵尸網(wǎng)絡(luò)控制的IP地址總數(shù)有500萬個�,帳戶和密碼丟失的網(wǎng)民數(shù)已經(jīng)達(dá)到1.21億,公安部的信息顯示�,政府的安全系統(tǒng)中,超過80%的安全威脅是來自終端�。那么到底我們終端是怎么了?
據(jù)了解,受攻擊的用戶��,5%是零日攻擊����,30%是沒有打補(bǔ)丁����,65%是來自錯誤的配置�。可見只有正確的配置才是終端安全性保障的最大因素�����。
什么叫安全配置?安全配置主要包括終端的硬件環(huán)境安全配置��,終端的軟件安全配置�,以及終端安全核心配置。具體來說���,終端安全核心配置是最重要的�,重點(diǎn)就是對系統(tǒng)����、辦公軟件、瀏覽器等常用軟件關(guān)鍵的安全屬性進(jìn)行參數(shù)設(shè)置�����,最終增強(qiáng)抗風(fēng)險(xiǎn)的能力。
各國在終端安全配置的部署
美國在終端安全配置方面做了很多工作�����,首先07年美國啟動了一項(xiàng)聯(lián)邦桌面核心配置技術(shù)����,這個包括聯(lián)邦政府各個機(jī)構(gòu)都共同參與了���,美國當(dāng)時(shí)要求各聯(lián)邦機(jī)構(gòu)必須嚴(yán)格執(zhí)行FDCC的相關(guān)配置�����。FDCC執(zhí)行的效果怎么樣?我們從美國空軍執(zhí)行的一組數(shù)據(jù)可以看出�����,F(xiàn)DCC通過在美國空軍的試點(diǎn)����,在時(shí)間成本上����,人力成本上,財(cái)力成本上都大大降低,所以可以說FDCC在美國得到了成功的試用��。
澳大利亞在配置方面也做了相關(guān)工作���。去年DSD為了防止入侵攻擊也列出了策略清單�,今年七月完成了配置清單的修整工作�����,其中前四項(xiàng)配置����,包括應(yīng)用軟件配置,操作系統(tǒng)配置���,還有用戶權(quán)限���,管理員權(quán)限數(shù)量控制,還有白名單�,控制終端安裝授權(quán)軟件,這四項(xiàng)策略配置在澳大利亞得到很好的試用效果��。據(jù)澳大利亞官方顯示����,僅僅配置前四項(xiàng)��,在2009年可以組織70%的入侵事件發(fā)生���。在2010年就前四項(xiàng)配置功能至少可以組織85%的入侵事件發(fā)生?����?梢娮龊门渲霉ぷ鞔_實(shí)可以大大的保障終端安全水平����。
國家信息中心終端安全配置標(biāo)準(zhǔn)框架
我們國家信息中心是于2009年啟動了CGDCC��,政務(wù)終端安全核心配置這個計(jì)劃�����。目標(biāo)很簡單�,首先根據(jù)分析目前政府終端電子網(wǎng)絡(luò)環(huán)境,研制符合中國國情的政務(wù)終端安全核心配置的標(biāo)準(zhǔn)�����。第二個,我們要做部署標(biāo)準(zhǔn)的實(shí)施工具和搭建一個平臺����。2010年我們《政務(wù)終端安全核心配置規(guī)范》得到國標(biāo)的立項(xiàng)。同時(shí)我們這個項(xiàng)目也得到發(fā)改委的支持����。2010年國家高級司把我們這個項(xiàng)目列入專項(xiàng),現(xiàn)在正在進(jìn)行當(dāng)中�����。
許濤介紹了國家信息中心的標(biāo)準(zhǔn)體系框架����,標(biāo)準(zhǔn)包括三部分,第一部分總體要求���,技術(shù)規(guī)范和應(yīng)用支撐���。今年我們完成了配置清單草案的提交。剩下的標(biāo)準(zhǔn)草案我們已經(jīng)聯(lián)合了全國16家地方的信息中心的機(jī)構(gòu)一起完成���,等到明年六月份��,大概其他標(biāo)準(zhǔn)草案也可以完成�����。這是我們開發(fā)的一個關(guān)于實(shí)施核心配置的工具平臺��,包括五個:一個是編輯平臺�����,驗(yàn)證平臺�����,分發(fā)平臺�����,部署平臺�,狀態(tài)監(jiān)測平臺�����。這是相關(guān)的部署平臺結(jié)構(gòu)����。實(shí)施流程很簡單�����,首先根據(jù)CGDCC標(biāo)準(zhǔn)的內(nèi)容�����,制訂安全的配置界限包�,然后把這個界限包制訂出來放在驗(yàn)證平臺上�����,根據(jù)驗(yàn)證工具對標(biāo)準(zhǔn)界限包進(jìn)行合規(guī)性檢查��,如果達(dá)標(biāo)測試合格���,通過部署平臺分發(fā)到各個終端���,然后部署到本地,同時(shí)本地也有檢測工具把一些實(shí)時(shí)的安全配置狀態(tài)上報(bào)到服務(wù)器�����,服務(wù)器發(fā)現(xiàn)如果有配置未達(dá)標(biāo)的進(jìn)行另外處理,如果有特殊情況���,保密設(shè)施比較嚴(yán)的��,可以申報(bào)處理��,認(rèn)證合格的授權(quán)機(jī)構(gòu)可以對存在偏差的配置進(jìn)行保留��。
國家信息中心在應(yīng)用支撐平臺的搭建情況�,首先通過自主研發(fā)的平臺軟件��,以國家信息中心為中央結(jié)點(diǎn)����,在各地方24個省市建立了分節(jié)點(diǎn)���,就是兩級平臺的搭建����。我們的PCcare同時(shí)包括安全預(yù)警的通告��,補(bǔ)丁測評分發(fā)���,還有安全狀況監(jiān)控�����,主要包含這幾個功能模塊��。其中我們剛開發(fā)完成一個離線的安全配置檢測工具���,通過這個工具像U盤一樣插到終端����,就可以看到終端配置情況��,如果有漏洞可以恢復(fù)�,把這些配置都變成達(dá)標(biāo)的狀態(tài)。
國家信息中心示范應(yīng)用分為中央節(jié)點(diǎn)���,然后有一個級聯(lián)服務(wù)器�,這是連接地方24個省市的節(jié)點(diǎn)��,將他們安全狀況進(jìn)行一個收集���,同時(shí)又一個中央前端服務(wù)器放在我們中心用于給中心內(nèi)部所有終端進(jìn)行安全配置����,同時(shí)還有一些預(yù)警,還有分發(fā)打補(bǔ)丁的功能����。終端配置我們采取是網(wǎng)絡(luò)安全部進(jìn)行試點(diǎn)應(yīng)用,然后經(jīng)過陳述以后推廣到其他部門�����,最終推廣到所有部門����。采取分布的配置方法。
安全核心配置未來發(fā)展的目的不但目標(biāo)對象主要針對終端�����,我們將來還需要面向服務(wù)器�����,包括傳統(tǒng)的網(wǎng)絡(luò)設(shè)備���,包括防火墻����,網(wǎng)關(guān)�,同時(shí)我們也希望聯(lián)合國家測評中心的漏洞補(bǔ)丁庫,針對IT產(chǎn)品�,建設(shè)我們自己的安全配置庫。這個配置庫可以提供在線的�,自動的,及時(shí)的安全配置服務(wù)�。用戶可以通過我們的網(wǎng)絡(luò)平臺直接登到服務(wù)器上,通過服務(wù)器對自己的終端進(jìn)行安全配置的體檢�����。如果發(fā)現(xiàn)不合格���,可以及時(shí)的用配置工具進(jìn)行修正����。
