國家標(biāo)準(zhǔn)《信息安全技術(shù) 政務(wù)計算機終端核心配置規(guī)范》編制說明

國家標(biāo)準(zhǔn)報批材料一、工作簡況1.1任務(wù)來源根據(jù)2022年網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)立項工作部署安排，神州網(wǎng)信技術(shù)有限公司完成了項目申報、秘書處初審、工作組研討等環(huán)節(jié)。按照《全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會標(biāo)準(zhǔn)制修訂工作程序》向秘書處提交標(biāo)準(zhǔn)文本、實施應(yīng)用方案及其他階段性研究成果。經(jīng)全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會審議，由神州網(wǎng)信技術(shù)有限公司負(fù)責(zé)承辦，計劃號：20230238-T-469。該標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會歸口管理。1.2制定背景桌面計算機核心配置最早由美國聯(lián)邦政府提出，稱為聯(lián)邦桌面核心配置計劃（FDCC）。該計劃由美國聯(lián)邦預(yù)算管理辦公室（OMB）和美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）共同負(fù)責(zé)實施，旨在提高美國聯(lián)邦政府所使用的Windows安全性，并使聯(lián)邦政府桌面計算機的安全管理實現(xiàn)標(biāo)準(zhǔn)化和自動化。2010年起，美國實施了USGCB（U.S.GovernmentConfigurationBaseline）項目，該項目是美國政府配置基線,它基于FDCC，該項目在兩方面做了重要改進(jìn)，1.用戶范圍從聯(lián)邦政府?dāng)U展到美國政府；2.項目范圍由Windowsxp、WindowsVista擴展到當(dāng)時最新的Windows7操作系統(tǒng)，并增加了紅帽系統(tǒng)（RHEL5）、防火墻產(chǎn)品、瀏覽器產(chǎn)品和虛擬磁盤等內(nèi)容。經(jīng)過對美國FDCC和USGCB項目和相關(guān)標(biāo)準(zhǔn)的研究，為保障政務(wù)終端計算機安全，我國在2012年和2016年先后制定了GB/T30278—2013和GB/T35283—2017標(biāo)準(zhǔn)，隨著GB/T30278—2013和GB/T35283—2017標(biāo)準(zhǔn)的相繼實施，我國政務(wù)部門終端安全有標(biāo)準(zhǔn)可依，政務(wù)部門終端安全得到大幅加強?！?002年網(wǎng)絡(luò)安全研究與發(fā)展法案》要求NIST制定并在必要時修訂一份清單，列出程序配置和選擇項，將每個計算機硬件或軟件系統(tǒng)相關(guān)的安全風(fēng)險降至最低。未來可能在聯(lián)邦政府內(nèi)部被廣泛使用。隨著項目的不斷發(fā)展推進(jìn)，2015年公開發(fā)布了《IT產(chǎn)品國家清單程序》以實現(xiàn)項目最初的目的。在后續(xù)的發(fā)展中，先后制定了NISTSP800-70（最新版本Rev4）NISTSP800-179（面向AppleOS）。隨著NCP（/）的不斷完善，USGCB項目也被包含在NCP項目中，截止2022年12月9日，配置列表庫已收錄600款軟件配置清單，門類涵蓋底層虛擬化軟件、桌面操作系統(tǒng)、移動操作系統(tǒng)、IOT設(shè)備系統(tǒng)、BIOS、辦公軟件、瀏覽器、即時通信軟件、圖形圖像處理軟件、安全軟件、數(shù)據(jù)庫、容器系統(tǒng)等。隨著時代的發(fā)展，產(chǎn)品不斷更新迭代、新技術(shù)被應(yīng)用到產(chǎn)品中；參考標(biāo)準(zhǔn)GB/T22239《網(wǎng)絡(luò)安全等級保護基本要求》的更新；信創(chuàng)產(chǎn)品在國內(nèi)的快速發(fā)展以及新威脅、新挑戰(zhàn)的產(chǎn)生，GB/T30278—2013和GB/T35283—2017標(biāo)準(zhǔn)已經(jīng)無法完全滿足客戶要求，其中主要問題包括：1.標(biāo)準(zhǔn)依據(jù)的GB/T22239—2008被GB/T22239—2019替代且有重大變更；2.實踐過程中發(fā)現(xiàn)標(biāo)準(zhǔn)中部分要求不清晰、不準(zhǔn)確，難以落地；3.GB/T30278—2013標(biāo)準(zhǔn)第7、8章內(nèi)容只針對Windows7和更早版本的操作系統(tǒng)，不兼容國產(chǎn)操作系統(tǒng)。經(jīng)過對國際標(biāo)準(zhǔn)的研究、美國NCP項目的深入了解，綜合GB/T30278—2013和GB/T35283—2017標(biāo)準(zhǔn)在國內(nèi)的實施情況以及兩項標(biāo)準(zhǔn)的用戶反饋情況，由神州網(wǎng)信技術(shù)有限公司牽頭修訂GB/T30278—2013和GB/T35283—2017標(biāo)準(zhǔn)，以解決大規(guī)模終端自動化安全配置問題，提升終端安全防護能力。1.3起草過程建立標(biāo)準(zhǔn)修訂小組

根據(jù)2022年網(wǎng)絡(luò)安全國家標(biāo)準(zhǔn)立項工作部署安排，該標(biāo)準(zhǔn)修訂工作由神州網(wǎng)信技術(shù)有限公司牽頭，于2022年4月建立修訂小組。確定標(biāo)準(zhǔn)修訂方向和修訂內(nèi)容框架

標(biāo)準(zhǔn)修訂小組在2022年4月至5月討論確定標(biāo)準(zhǔn)修訂方向和修訂內(nèi)容剛要，并形成進(jìn)一步研究任務(wù)列表；形成標(biāo)準(zhǔn)草案

修訂小組根據(jù)各單位實際項目經(jīng)驗領(lǐng)取修訂任務(wù)，在2022年5月-7月完成第一批修訂任務(wù)，經(jīng)整合、討論后形成第一版修訂草案。草案版本更新

2022年12月7日-9日的信安標(biāo)委會議周上匯報了草案編制工作情況，聽取專家組意見：保持標(biāo)準(zhǔn)“規(guī)范”不變，依照《GB/T20001.5—2017標(biāo)準(zhǔn)編寫規(guī)則第5部分：規(guī)范標(biāo)準(zhǔn)》要求修訂標(biāo)準(zhǔn)框架和文本內(nèi)容、增加證實方法。會后編制組整理專家意見，并修訂形成了第二版標(biāo)準(zhǔn)草案。草案版本更新

2023年4月26日在WG5標(biāo)準(zhǔn)試點工作方案討論會議上匯報了V2.0標(biāo)準(zhǔn)修訂工作進(jìn)展，組內(nèi)專家圍繞V2.0標(biāo)準(zhǔn)進(jìn)行了深入的討論，提出數(shù)條修改建議。會后編制組按照計劃完成標(biāo)準(zhǔn)修改，形成標(biāo)準(zhǔn)草案V2.1版本。草案版本更新

2023年5月15日下午，在由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會WG5工作組組織的標(biāo)準(zhǔn)研討會議上，匯報了V2.1版本標(biāo)準(zhǔn)修訂工作進(jìn)展及專家意見處理情況，組內(nèi)專家圍繞V2.1標(biāo)準(zhǔn)和專家意見匯總表進(jìn)行了深入的討論，提出數(shù)條修改建議。會后編制組按照計劃完成標(biāo)準(zhǔn)修改，形成標(biāo)準(zhǔn)草案V2.2版本并更新了專家意見匯總表。轉(zhuǎn)征求意見稿

2023年5月31日上午，在2023年第一次“標(biāo)準(zhǔn)周”WG5全體工作組會議上，匯報了V2.2版本標(biāo)準(zhǔn)修訂工作進(jìn)展及專家意見處理情況，組內(nèi)專家圍繞V2.2標(biāo)準(zhǔn)進(jìn)行了深入的討論，提出數(shù)條修改建議。會后經(jīng)組內(nèi)投票同意轉(zhuǎn)征求意見稿。編制組按照計劃完成標(biāo)準(zhǔn)修改，形成征求意見稿V3.0版本并更新了專家意見匯總表。二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)2.1標(biāo)準(zhǔn)編制原則按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的要求和規(guī)定編寫本標(biāo)準(zhǔn)內(nèi)容。以切實起到規(guī)范政務(wù)終端計算機配置的目的為前提，根據(jù)政務(wù)終端實際情況擴充核心配置范圍；做好標(biāo)準(zhǔn)編制過程中的調(diào)研工作，不和現(xiàn)行標(biāo)準(zhǔn)、在研標(biāo)準(zhǔn)互相覆蓋、交叉，保持和上位標(biāo)準(zhǔn)的一致性。修訂標(biāo)準(zhǔn)過程中，增加對新技術(shù)應(yīng)用的規(guī)范，對成熟國際標(biāo)準(zhǔn)的兼容。2.2主要內(nèi)容及其確定依據(jù)此次修訂的主要內(nèi)容包括：依據(jù)客戶需求，擴充政務(wù)終端計算機核心配置范圍，增加對國產(chǎn)操作系統(tǒng)、即時通信軟件的要求；參考技術(shù)發(fā)展增加對新技術(shù)的要求：例如生物識別、可信計算、數(shù)據(jù)安全等；響應(yīng)“規(guī)范”類標(biāo)準(zhǔn)編寫要求，根據(jù)第6章要求內(nèi)容對應(yīng)增加“第7章測試評價方法”；參考GB/T22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中8.1.4、8.3.3對于第三級安全計算環(huán)境的要求更新原標(biāo)準(zhǔn)中的配置要求；將原標(biāo)準(zhǔn)中“第9章核心配置自動化部署及監(jiān)測要求”和“第10章實施流程”章節(jié)修訂后移動到附錄中；采用ISO-IEC18180—2013《Informationtechnology—SpecificationfortheExtensibleConfigurationChecklistDescriptionFormat(XCCDF)Version1.2》規(guī)范格式替代30278標(biāo)準(zhǔn)中第7、8章配置文件的格式規(guī)范，并在附錄中增加要求；根據(jù)標(biāo)準(zhǔn)修訂情況將35283合并修訂到30278標(biāo)準(zhǔn)中。2.3修訂前后技術(shù)內(nèi)容的對比根據(jù)現(xiàn)行標(biāo)準(zhǔn)GB/T22239—2019更新原標(biāo)準(zhǔn)中參考的被替代標(biāo)準(zhǔn)GB/T22239—2008中的章節(jié)內(nèi)容（第5章、第6章）；核心配置范圍增加國產(chǎn)操作系統(tǒng)，增加即時通信軟件；采用國際標(biāo)準(zhǔn)ISO-IEC18180—2013規(guī)范基線包配置格式，兼容多系統(tǒng)基線配置格式。三、試驗驗證的分析、綜述報告，技術(shù)經(jīng)濟論證，預(yù)期的經(jīng)濟效益、社會效益和生態(tài)效益3.1試驗驗證的分析、綜述報告GB/T30278—2013和GB/T35283—2017實施期間，兩項標(biāo)準(zhǔn)為修訂小組成員單位產(chǎn)品的生產(chǎn)、部署、服務(wù)提供參考和指導(dǎo)，在各成員單位中形成了更詳細(xì)、落地的安全配置列表，并以預(yù)配置、部署后配置、配置項檢查、配置項安全修復(fù)等形式服務(wù)客戶，落實了標(biāo)準(zhǔn)的實施工作。GB/T30278和GB/T35283標(biāo)準(zhǔn)擬修訂的牽頭單位長期致力于Windows10神州網(wǎng)信政府版操作系統(tǒng)生產(chǎn)研究、落實安全配置工作，參照標(biāo)準(zhǔn)要求，細(xì)化標(biāo)準(zhǔn)安全配置項，記錄對比安全配置項的落地情況和標(biāo)準(zhǔn)待優(yōu)化項。北信源、華為、360、瑞星、綠盟、深信服等主流終端安全產(chǎn)品廠商依據(jù)本標(biāo)準(zhǔn)開發(fā)終端安全配置策略管理模塊，廣泛應(yīng)用于政務(wù)內(nèi)網(wǎng)和外網(wǎng)的終端安全防護和管理。3.2技術(shù)經(jīng)濟論證標(biāo)準(zhǔn)桌面配置（SDC）起源于2003年美國空軍，現(xiàn)已經(jīng)過多輪技術(shù)和規(guī)范的迭代，形成了體系完整、標(biāo)準(zhǔn)完備、技術(shù)可靠的實踐案例。30278標(biāo)準(zhǔn)對標(biāo)后續(xù)FDCC相關(guān)標(biāo)準(zhǔn)，對30278的修訂有參考意義。美國標(biāo)準(zhǔn)桌面配置實施以來，美國空軍節(jié)省2億多美元，精簡8000名信息技術(shù)人員，呼叫服務(wù)次數(shù)減少40%，補丁安裝周期從57天下降到3天，美預(yù)期節(jié)約能約價值1500萬美元。3.3預(yù)期的經(jīng)濟效益、社會效益和生態(tài)效益該標(biāo)準(zhǔn)的修訂將從以下幾個方面體現(xiàn)經(jīng)濟效益和社會效益：簡化部署、簡化網(wǎng)絡(luò)管理和工具的復(fù)雜性；增強安全性，降低因木桶短板效應(yīng)導(dǎo)致的安全事故數(shù)量；降低運維成本，精簡技術(shù)支持人員、縮短系統(tǒng)、程序更新時間。四、與國際、國外同類標(biāo)準(zhǔn)技術(shù)內(nèi)容的對比情況，或者與測試的國外樣品、樣機的有關(guān)數(shù)據(jù)對比情況無五、以國際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國際國外標(biāo)準(zhǔn)，并說明未采用國際標(biāo)準(zhǔn)的原因本標(biāo)使用ISO-IEC18180—2013《Informationtechnology—SpecificationfortheExtensibleConfigurationChecklistDescriptionFormat(XCCDF)Version1.2》作為配置基線包格式要求，增加多系統(tǒng)基線配置格式的兼容性。六、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)與現(xiàn)行法律、法規(guī)以及國家標(biāo)準(zhǔn)不存在沖突與矛盾。本標(biāo)準(zhǔn)參考GB/T22239—2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》中8.1.4、8.3.3、8.4.3對于第三級安全計算環(huán)境的要求落實對政務(wù)計算機終端的配置要求。本標(biāo)準(zhǔn)參考ISO-IEC18180—2013《Informationtechnology—SpecificationfortheExtensibleConf