國家信息中心網(wǎng)絡安全部許濤
長久以來�����,中國信息安全的工作重點主要集中在網(wǎng)絡安全邊界與傳統(tǒng)網(wǎng)絡安全邊界,主要是核心的網(wǎng)絡安全設備����,比如安全網(wǎng)關或者一些服務器,但是往往會忽略一些終端的安全性����,所以造成了諸如2010年僵尸網(wǎng)絡控制的IP地址總數(shù)有500萬個,帳戶和密碼丟失的網(wǎng)民數(shù)已經(jīng)達到1.21億��,公安部的信息顯示����,政府的安全系統(tǒng)中,超過80%的安全威脅是來自終端���。那么到底我們終端是怎么了?
據(jù)了解��,受攻擊的用戶�����,5%是零日攻擊����,30%是沒有打補丁,65%是來自錯誤的配置���。可見只有正確的配置才是終端安全性保障的最大因素���。
什么叫安全配置?安全配置主要包括終端的硬件環(huán)境安全配置����,終端的軟件安全配置���,以及終端安全核心配置�。具體來說����,終端安全核心配置是最重要的,重點就是對系統(tǒng)�、辦公軟件、瀏覽器等常用軟件關鍵的安全屬性進行參數(shù)設置����,最終增強抗風險的能力。
各國在終端安全配置的部署
美國在終端安全配置方面做了很多工作,首先07年美國啟動了一項聯(lián)邦桌面核心配置技術��,這個包括聯(lián)邦政府各個機構都共同參與了��,美國當時要求各聯(lián)邦機構必須嚴格執(zhí)行FDCC的相關配置�。FDCC執(zhí)行的效果怎么樣?我們從美國空軍執(zhí)行的一組數(shù)據(jù)可以看出,F(xiàn)DCC通過在美國空軍的試點����,在時間成本上,人力成本上��,財力成本上都大大降低����,所以可以說FDCC在美國得到了成功的試用。
澳大利亞在配置方面也做了相關工作�。去年DSD為了防止入侵攻擊也列出了策略清單,今年七月完成了配置清單的修整工作����,其中前四項配置,包括應用軟件配置��,操作系統(tǒng)配置�,還有用戶權限�,管理員權限數(shù)量控制����,還有白名單,控制終端安裝授權軟件�,這四項策略配置在澳大利亞得到很好的試用效果。據(jù)澳大利亞官方顯示�����,僅僅配置前四項����,在2009年可以組織70%的入侵事件發(fā)生����。在2010年就前四項配置功能至少可以組織85%的入侵事件發(fā)生?���?梢娮龊门渲霉ぷ鞔_實可以大大的保障終端安全水平。
國家信息中心終端安全配置標準框架
我們國家信息中心是于2009年啟動了CGDCC��,政務終端安全核心配置這個計劃���。目標很簡單�,首先根據(jù)分析目前政府終端電子網(wǎng)絡環(huán)境,研制符合中國國情的政務終端安全核心配置的標準�。第二個,我們要做部署標準的實施工具和搭建一個平臺����。2010年我們《政務終端安全核心配置規(guī)范》得到國標的立項。同時我們這個項目也得到發(fā)改委的支持�����。2010年國家高級司把我們這個項目列入專項���,現(xiàn)在正在進行當中���。
許濤介紹了國家信息中心的標準體系框架,標準包括三部分����,第一部分總體要求,技術規(guī)范和應用支撐�����。今年我們完成了配置清單草案的提交。剩下的標準草案我們已經(jīng)聯(lián)合了全國16家地方的信息中心的機構一起完成����,等到明年六月份,大概其他標準草案也可以完成�。這是我們開發(fā)的一個關于實施核心配置的工具平臺,包括五個:一個是編輯平臺��,驗證平臺��,分發(fā)平臺�����,部署平臺���,狀態(tài)監(jiān)測平臺。這是相關的部署平臺結構��。實施流程很簡單�,首先根據(jù)CGDCC標準的內(nèi)容,制訂安全的配置界限包��,然后把這個界限包制訂出來放在驗證平臺上���,根據(jù)驗證工具對標準界限包進行合規(guī)性檢查�,如果達標測試合格,通過部署平臺分發(fā)到各個終端��,然后部署到本地��,同時本地也有檢測工具把一些實時的安全配置狀態(tài)上報到服務器�,服務器發(fā)現(xiàn)如果有配置未達標的進行另外處理,如果有特殊情況���,保密設施比較嚴的�,可以申報處理�����,認證合格的授權機構可以對存在偏差的配置進行保留�����。
國家信息中心在應用支撐平臺的搭建情況���,首先通過自主研發(fā)的平臺軟件���,以國家信息中心為中央結點����,在各地方24個省市建立了分節(jié)點���,就是兩級平臺的搭建���。我們的PCcare同時包括安全預警的通告,補丁測評分發(fā)����,還有安全狀況監(jiān)控,主要包含這幾個功能模塊��。其中我們剛開發(fā)完成一個離線的安全配置檢測工具�����,通過這個工具像U盤一樣插到終端���,就可以看到終端配置情況,如果有漏洞可以恢復���,把這些配置都變成達標的狀態(tài)�����。
國家信息中心示范應用分為中央節(jié)點�����,然后有一個級聯(lián)服務器�����,這是連接地方24個省市的節(jié)點�����,將他們安全狀況進行一個收集�����,同時又一個中央前端服務器放在我們中心用于給中心內(nèi)部所有終端進行安全配置�,同時還有一些預警,還有分發(fā)打補丁的功能��。終端配置我們采取是網(wǎng)絡安全部進行試點應用��,然后經(jīng)過陳述以后推廣到其他部門,最終推廣到所有部門�。采取分布的配置方法。
安全核心配置未來發(fā)展的目的不但目標對象主要針對終端��,我們將來還需要面向服務器�����,包括傳統(tǒng)的網(wǎng)絡設備�����,包括防火墻���,網(wǎng)關�����,同時我們也希望聯(lián)合國家測評中心的漏洞補丁庫����,針對IT產(chǎn)品��,建設我們自己的安全配置庫����。這個配置庫可以提供在線的,自動的���,及時的安全配置服務����。用戶可以通過我們的網(wǎng)絡平臺直接登到服務器上����,通過服務器對自己的終端進行安全配置的體檢。如果發(fā)現(xiàn)不合格�����,可以及時的用配置工具進行修正�����。
