加快对办公用计算机实行配置管理,是加强政府信息系统安全和保密管理工作的重要手段。国家信息中心在分析我国当前电子政务网络环境安全状况的基础上,借鉴美国联邦政府实施的联邦桌面核心配置(FDCC)计划,结合我国信息安全等级保护技术标准成果,研究制定政务终端安全核心配置规范,实现对全国政务终端的统一化和标准化的安全配置管理,为提高我国政府终端安全保障能力提供坚实的标准支撑。
终端安全核心配置是对终端操作系统、办公软件、浏览器等常用软件中与安全有关的可选项进行参数设置。本标准规定了终端安全核心配置范畴、技术要求、管理要求、应用支撑框架,以及实施流程等内容。本标准适用于指导政务部门开展的终端安全核心配置管理工作。
标准研制过程中,由国家信息中心牵头组建标准研制项目组,召开工作组会,确定任务分工。在前期研究中,全面研究学习了FDCC,SCAP及微软安全基线。完成6大类,46条基线,4000多条策略的翻译与整理工作。在此基础上,提出安全配置模型和标准体系框架,编制完成终端安全核心配置规范标准草案。并依托国家经济信息系统,组织全国16家省市信息中心,以及相关行业单位及企业开展LINUX操作系统、办公软件、浏览器、邮件系统及常用软件等安全配置标准的预研工作。为配合标准的应用实施,国家信息中心组织开发标准配套实施工具,搭建验证环境,对核心配置策略进行验证测试。下一步项目组将依据安标委中期检查专家意见对标准草案进行修改完善,并组织开展标准试点应用工作。
