GB/T35283-2017
信息安全技术计算机终端核心配置基线结构规范
Informationsecuritytechniques—Specificationforthestructureofdesktopcoreconfigurationbaseline
- 中国标准分类号(CCS)L80
- 国际标准分类号(ICS)35.040
- 实施日期2018-07-01
- 文件格式PDF
- 文本页数35页
- 文件大小17.14M
以图片形式预览信息安全技术计算机终端核心配置基线结构规范
信息安全技术计算机终端核心配置基线结构规范
国家标准 GB/T35283一2017 信息安全技术 计算机终端核心配置基线结构规范 Imformationseeurityteehmiques一Speeifieation fothestructureof desktopcoreomtigurationbaseline 2017-12-29发布 2018-07-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/T35283一2017 目 次 前言 引言 范围 规范性引用文件 术语和定义 缩略语 核心配置基线基本要素 基于XMI的核心配置基线标记规则 6.l核心配置基线结构 第 6.2 -层元素标记 第 6.3 二层元素标记 .4第三层元素标记 第四层元素标记 6.5 第五层元素标记 11 6.6 .7第六层元素标记 12 6.8第七层元素标记 15 附录A(资料性附录核心配置基线标记完整示例 17 附录B(资料性附录核心配置基线标记应用示例 21 口令长度最小值为8位字符长度”核心配置基线XML示例 21 B.1“ B.2“口令长度最小值为8位字符长度”核心配置基线XML示例简要说明 附录c(资料性附录)核心配置基线应用示例 24 C.1核心配置编辑 C.2核心配置验证 C.3核心配置部署 28 C.4核心配置监测 30 参考文献 31
GB/35283一2017 前 言 本标准按照GB/T1.1一2009给出的规则起草
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口
本标准起草单位;国家信息中心、信息安全测评中心、科学院大学、公安部科信局信息中 心、民航局信息中心、北京北信源软件股份有限公司、华为技术有限公司、杭州盈高科技有限公司
本标准主要起草人:李新友、刘蓓、许涛、蔡军霞、王啸天、程浩、付红燕、李守鹏、张涛,张玉清、 袁义芳、刘蕴、孙立华、胡东宏、林皓、王盾、贺韬
GB/T35283一2017 引 言 对计算机终端操作系统、办公软件、浏览器等基础软件进行核心配置管理,可有效封堵系统安全漏 洞,增强终端的安全可控性,保护数据安全和用户隐私,提高我国政府和企事业单位的计算机终端整体 安全水平
政务终端核心配置系列标准是依据我国信息安全等(分)级保护要求,基于我国政务终端安全保障 实际需求,并借鉴国外相关研究成果提出的
该系列标准中GB/T30278一2013《信息安全技术政务 计算机终端核心配置规范已经颁布并实施,其规定了政务计算机终端核心配置的基本概念和要求,核 心配置的自动化实现方法,规范了核心配置实施流程,并为本标准提供依据
本标准在研究windows 安全配置方法的基础上,借鉴其他操作系统安全配置方法,规定了计算机核心配置基线的结构及各层元 素的标记规则,并给出了基线应用方法实例
核心配置基线根据各单位信息系统安全保护要求制定的 计算机终端核心配置策略集,可用于针对大规模计算机终端进行自动化核心配置部署和合规性管理
一方面,技术人员可以参照本标准开发核心配置基线生成及解析工具,用于核心配置基线的自动化部署 及监测管理
另一方面,技术人员可以参照本标准规定的基线结构编写新的安全配置基线,从而不断扩 展计算机终端安全配置的应用范围,提高自动化应用水平
GB/35283一2017 信息安全技术 计算机终端核心配置基线结构规范 范围 本标准规定了计算机终端核心配置基线的基本要素,规范了基于XML的核心配置基线标记规则 并给出了核心配置基线应用方法实例 本标准适用于计算机终端的核心配置自动化工作,包括计算机终端核心配置自动化工具的设计、开 发和应用
2 规范性引用文件 下列文件对于本文件的应用是必不可少的
凡是注日期的引用文件,仅注日期的版本适用于本文 件
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件
GB/T19667.1一2005基于XML的电子公文格式规范第1部分总则 GB/T30278一2013信息安全技术政务计算机终端核心配置规范 术语和定义 GB/T302782013和GB/T19667.1一2005界定的以及下列术语和定义适用于本文件
3.1 核心配置项(配置项 configrationitemm cOre 计算机操作系统、办公软件、浏览器、BIOS系统和防恶意代码软件等基础软件中影响计算机安全 的关键参数可选项
注,核心配置项类型包括开关项、枚举项,区间项和复合项,可以根据安全要求对其进行赋值
[[GB/T302782013,定义3.2] 3.2 核心配置coreconigurationm 对核心配置项进行参数设置的过程
注:通过核心配置限制或禁止存在安全隐患或漏洞的功能,启用或加强安全保护功能,来增强计算机抵抗安全风险 的能力
[[GB/T302782013,定义3.3] 3.3 Irationbaseline cmften 核心配置基线 c0re 能够满足计算机安全基本要求的一组或多组核心配置项基值构成的集合
3,4 核心配置基线包coreconfigurationbaselinepackage 为实现核心配置基线自动化部署而制定的一种具有特定语法格式的核心配置数据文件
[GB/T30278一2013,定义3.7]
GB/T35283一2017 3.5 元素 eleent 某个数据集内的一个具体数据项
[GB/T19667.1一2005,定义3.7] 3.6 属性attribute 给 -个具体元素实例添加信息或修改其信息的一个名称
[GB/T19667.1一2005,定义3.8] 缩略语 下列缩略语适用于本文件
CGDcC;政务计算机终端核心配置(ChinceseGovernmentDesktopCoreConfiguration) XML:可扩展标记语言(ExtensibleMarkup anguage WMl:Windows管理规范(WindowsManagementInstrumentation GUD全局唯一标识符(GloballyUniqueldentifier) 5 核心配置基线基本要素 核心配置基线主要包括如下四个基本要素 产品信息;主要描述基线适用的操作系统或软件环境,如操作系统版本、软件名称等 a 一般不 同的产品对应不同的基线 配置项信息:是核心配置基线的基本构成元素,主要描述配置项的内容,取值和检查规则等 b 属性 配置组信息:主要将基线中所有配置项按照安全功能进行分组
一条核心配置基线通常包含 多个配置组,一个配置组包含多个配置项; 版本信息:主要标识一条核心配置基线的结构或内容经过修改变化的过程,如基线格式版本、 基线版本、配置组版本、,配置项版本和产品版本等
产品信息、配置组信息、配置项信息和版本信息四要素的关系如图1所示
基线 包含 包含 包含 描述 描述 描述 配置组信息 版本信息 产品信息 描述 包含 配置项信息 图1基线四要素关系图
GB/35283一2017 基于XMIL的核心配置基线标记规则 6.1核心配置基线结构 核心配置基线是一种嵌套式结构的数据文件,主要采用XML格式对核心配置项的属性进行规范 性标记,其标记完整示例参见附录A
根据GB/T19667.1一2005第8章的规定,完整的核心配置基线 可表示为七层元素嵌套结构,每层元素中由上层元素衍生出来的元素,称为上层元素的子元素,如图2 所示
其中,适用产品标记主要描述产品要素,配置组别主要描述配置组要素,配置项内容标记主要用 于描述配置项要素,格式版本标记、版本控制标记、基线版本编号标记、配置组版本编号标记、配置项版 本编号标记和操作系统版本标记分别描述基线、配置组、配置项和产品的版本要素
版本编号标记 -格式版本标记 解释说明标记 发布者标记 初始版本标识标记 版本控制标记 修订版本次数标记 基线状态标记 基线版本编号标记 解释说明标记 -配置项版本编号标记 解释说明标记 赋值路径标记 默认值标记 脆弱性标记 核心配置 设置信息标记 配置项内容标记 基线主体标记 基线标记 应对措施标记 潜在影响标记 配置组别标记 配置项信息标记 计量单位标记 取值范围标记 取值映射表标记 配置项赋值标记 导出文件中配置项的名称标记 取值数据类型标记 WMI取值信息标记 配置项取值标记 注册表取值信息标记 脚本取值信息标记 -配置组版本编号标记 检查信息标记 -操作系统版本标记 适用产品标记 产品安装信息标记 自定义产品 产品脚本标记 安装信息标记 第一层 第二层 第三层 第四层 第五层 第六层 第七层 图2核心配置基线结构 第一层元素为核心配置基线包标记,其标记规则见6.2
GB/T35283一2017 第二层元素包括格式版本标记、基线主体标记和适用产品标记,其标记规则见6.3
第三层包含十个元素
其中,版本编号标记和解释说明标记为格式版本标记的子元素,标记规则见 6.4.1l;版本控制标记、基线状态标记、基线版本编号标记、配置组别标记和检查信息标记为基线主体标 记的子元素,标记规则见6.4.2;操作系统版本标记、产品安装信息标记和自定义产品安装信息标记为适 用产品标记的子元素,标记规则见6.4.3
第四层包含七个元素
其中,发布者标记、初始版本标识标记和修订版本次数标记为版本控制标记 的子元素,标记规则见6.5.1l;解释说明标记、配置项信息标记和配置组版本编号标记为配置组别标记的 子元素,标记规则见6.5.2;产品脚本标记为自定义产品安装信息标记的子元素,标记规则见6.5.3 第五层包含四个元素
其中,配置项版本编号标记、配置项内容标记、配置项赋值标记和配置项取 值标记为配置项信息标记的子元素,标记规则见6.6
第六层包含九个元素
其中 1,解释说明标记,设置信息标记、计量单位标记、和取值映射表标记为配 置项内容标记的子元素,标记规则见6.7.1l;取值数据类型标记,wMI取值信息标记、注册表取值信息标 记和版本取值信息标记为配置项取值标记的子元素,标记规则见6.7.2;导出文件中配置项的名称标记 为配置项赋值标记的子元素,标记规则见6.7.3
第七层包含六个元素,其中赋值路径标记、默认值标记、脆弱性标记应对措施标记、潜在影响标记 和取值范围标记为设置信息标记的子元素,标记规则见6,.8
计算机核心配置基线的结构及各层元素的标记规则是制定核心配置基线的基础,用户根据各单位 信息系统安全保护要求制定基线,并对计算机终端进行自动化核心配置部署和合规性管理
核心配置 基线标记应用示例参见附录B,核心配置基线应用示例参见附录c
6.2第一层元素标记 第一层元素为核心配置基线标记,具体格式定义如表1所示
表1第一层元素标记 序号 名称 标记 类型 解释说明 核心配置基线标记 CG;DCC-Package 元素 用于表示核心配置基线 格式定义源代码 xs;elementname="CGDcCPackage”type="PackageType" 6.3第二层元素标记 第二层元素包括格式版本标记、基线主体标记和适用产品标记
其中,基线主体标记的属性包括基 线名称标记和基线标识标记
适用产品标记的属性包括产品标识标记和产品名称标记
具体格式定义 如表2所示
表2第二层元素标记 序号 名称 标记 类型 解释说明 格式版本标记 CGCCFormatInfo 元素 描述核心配置基线格式版本的信息 描述核心配置基线的分发及部署信息,可 CGDccBaseline 基线主体标记 元素 以描述多条基线 基线名称标记 Name 属性 描述核心配置基线名称 描述核心配置基线唯一标识
此标识按 基线标识标记 D 属性 照唯一标识(GUID)生成规则自动生成
GB/35283一2017 表2续) 序号 名称 标记 类型 解释说明 描述核心配置基线适用配置软件产品的 适用产品标记 CGDCCProduct 元素 范围,可以描述多个产品信息 产品标识标记 属性 描述软件产品的唯一标识(GUID) 产品名称标记 DisplayName 属性 描述软件产品的名称 xML结构模型 cGDcc-Fomalnfo cGDcc-Package cGDcc-Baseline(Name,ID) CGDCC-ProductIDDisplayName 格式定义源代码 -"GDxcPwkue") Xs;complexTypename一 Xs;sequence xs;elementname="cGDcc-Formatlnfo" ref XS cdlement "CGDCC-Baseline”min(Oceurs max(Oeeurs="unbounded" "ID"type "GUIDType”use" required" xs:attributename xsattriutename '"Name”type= xs;string uSe required" elementref="CGDCCProduet”maxOceeurs="unbounded"八 xs;attributename="IDy" ype="egdec-core;(GUDTy Iype" xs;attributename="DisplayName"type="xs;string"use="required") /xs;sequence /xs:complexType 6.4第三层元素标记 6.4.1格式版本标记子元素 格式版本标记的子元素包括版本编号标记和解释说明标记
具体格式定义如表3所示
表3 格式版本标记的子元素 序号 类型 解释说明 名称 标记 Version 版本编号标记 元素 核心配置基线格式版本的唯一标识 Major 属性 主版本号标记 核心配置基线格式主版本号的唯一标识 子版本号标记 Minor 属性 核心配置基线格式子版本号的唯一标识 解释说明标记 Description 元素 对版本规则进行简要说明
GB/T35283一2017 表3续) 序号 名称 标记 类型 解释说明 .结构模型 XML Version(Major,,Minor) CGDCC-Formatlnfo Description 格式定义源代码" xs;elementname="CGDCC-Formatnfo") xs;complexType XSSeOLueinCe "Version" elementname xs:attrilbutename "Mjor" type="xs;unsignedlnt" xs;attributename= "Minor"type="xs;unsignednt"八 "Description"type="xs;string"tmin(Occurs="o" xs;elementname /xs:sequence /xs;complexType 6.4.2基线主体标记子元素 基线主体标记的子元素包括基线版本编号标记、基线状态标记、版本控制标记、配置组别标记和检 查信息标记
具体格式定义如表4所示
表4基线主体标记的子元素 序号 类型 解释说明 名称 标记 Versionm 基线版本编号标记 元素 核心配置基线版本的唯一标识 Majot 基线主体主版本号标记 属性 核心配置基线主版本号的唯一标识 基线主体子版本号标记 Minor 属性 核心配置基线子版本号的唯一标识 基线状态标记 Mode 元素 包括可编辑状态和已发布状态两种 版本控制标记 VersionControl 元素 描述核心配置基线版本相关信息 描述核心配置基线所包含的每个策略组 配置组别标记 SettingGroup 元素 的基本信息,可包括多个策略组 配置组名称标记 Name 属性 描述配置组的名称 配置组标识标记 描述配置组的唯一标识(GUD) 属性 初始配置组标识标记 orHigialseting(GirouplD 属性 描述初始配置组的唯一标识(GUD) 描述策略组所包含的核心配置项的检查信 检查信息标记 元素 Ceek 息,每个配置项都有一条相应的检查信息
GB/35283一2017 表4续) 序号 名称 类型 解释说明 标记 XML结构模型 VersionMajor,Minor Mode cGDcc-Baseline VersionContol SetingGiroup(Name,ID,OriginalSetingGrouplD Check 格式定义源代码: 《xs;complexTypename="CGDcCC-BaselineType"y xs;complexContent Xxs;seguence xs;elementname="version" "Major"type="xs:unsignedlnt"八 name "Minor"type "xs;unsignednt") Pn ae "Mode"type="BaselineModeType"八 BHaselineModeType" base LlLlOII 'xs;string" enumerationvalue="Edit"八 unmerationvalue="Published" 1On OHiIe "VersionControl”type="BaselineVersionControlType" eItI1l "Setting(Giroup”maxOccurs="unbounded" t1h11tP "ID"type="GUIDType"use="required"八 name "Name”ype="xststring”use="required") xs;attributename xs;:attributename "OriginaISettingGrouplD”type="cgdcc-core:GUIDType" use "required" /Xs:elenment xs;eementref="Check”maxOecurs="unbounded" xs;element /Xs;seguence 《/xs:complexType 6.4.3适用产品标记子元素 适用产品标记的子元素标记包括操作系统版本标记、产品安装信息标记、自定义产品安装信息标记 和产品家族标记
具体格式定义如表5所示
GB/T35283一2017 表5适用产品标记的子元素 序号 名称 标记 类型 解释说明 操作系统版本标记 OperatingSvstemlnfo 元素 描述操作系统的版本号 主版本标记 MajorVersion 属性 描述操作系统有本质改变的编号 次版本标记 属性 描述操作系统有较小改变的编号 MinorVersion BuildVersion 属性 编译版本标记 描述操作系统补丁升级的编号 产品安装信息标记 Msilnfo 元素 描述软件产品的安装信息 产品编号标记 ProduetCode 属性 描述产品的标识 版本标记 描述产品的版本信息 Version 属性 描述是否支持单用户登录还是多用户 单用户登录标记 IsPerUser 属性 登录 自定义产品安装信息 描述自定义软件产品的安装信息 CustomProduetlnfo 元素 标记 描述软件产品所属的产品系列的总称,如 产品家族标记 ProductFamilyRef 元素 用GUD标识表示 indows xML结构模型 ProduclEfamilyRefr OperatingSystemlnfo (MajorVersion,MinorVersion,BuildVersion cGDcc-Product Msilnfo (ProductCode,Version,IsPerUser CustomProductlnfo 格式定义源代码 -"ProduetType") xs:complexTypename= XS;sequence Xs:choice xs;elementname="OperatingSystemlnfo”type="OperatingSystemlnfoType"八 'MajorV xs;unsignednt" "required") Xs:attr1bute ers1On”type use= xsattributename 'MinorVersion”tpe xs:unsignedInt”use="required" "BuildVersion”type xs;unsignedlnt”use="required"/) Xs:attributename 《xs:elementname Msilnfo"type MsilnfoType" Product(Code"type xs;string”use="required") XS;attrbutenamme "optional!" Versiontype xs:string”use= xs;attributename="IsPerUser"type="xs;boolean"use="required"/ "CustomProductlnfo"type="CustomProductlnfoType"八 《xs:elementname
GB/35283一2017 表5(续) 《/Xs:choice xs;elementname="ProductFamilyRef”type="ProduetFamilyRefType" 《/xs:element》《/xs;seguence xs;documentation)》 Thisisproductdisplayname,forexample, WindowsXP windowsVista WindowsServer2003 windowsServer2008 2007Office /ssdocumentationm xs;attributename="ID”type= -eore;GUIDType"y -"egdee xs;attributename="DisplayName”type="xs;string”use="required" xs;attribute /xs:complexType' 6.5第四层元素标记 6.5.1版本控制标记子元素 版本控制标记的子元素标记包括发布者标记、初始版本标识标记和修订版本次数标记
具体格式 定义如表6所示
表6版本控制标记的子元素 序号 名称 类型 解释说明 标记 发布者标记 Publisher 元素 描述发布人信息 OriginalBaselineID 描述核心配置基线所第一次生成的标识 初始版本标识标记 元素 描述从基线第一次生成到目前修订的 修订版本次数标记 RevisionNumber 元素 次数 XMI结构模型: Publisher versionComtol OniginalBaselinelD RevisionNumber 格式定义源代码 xs;complexTypename="BaselineVersionControlType"》 xs;sequence' xs:elementname="Publisher”type="PublisherType"》 《/xs:element
GB/T35283一2017 表6续) .CUmTy xs;elementname="OriginalBaselinelD”type="egdeceore;G 《/Xs:element xselementname="RevisionNumber”type="xs;unsignedlnt" Xs:element "OriginalRevisionNumber”type="xs;unsignedllnt"y xs:elementname //xs;element /xs;seguence /xs;complexType》 6.5.2配置组别标记子元素 配置组别标记的子元素标记包括解释说明标记、配置组版本编号标记和配置项信息标记
具体格 式定义如表7所示
表7配置组别标记的子元素 序号 类型 解释说明 名称 标记 解释说明标记 元素 描述配置组的功能介绍 IDescription Version 配置组版本标记 元素 描述配置组的版本序号 配置组主版本号标记 Major 属性 描述配置组主版本号的唯一标识 配置组子版本号标记 Minor 属性 描述配置组子版本号的唯一标识 描述配置项的基本信息,可以包含多个配 配置项信息标记 元素 Setting 置项 配置项名称标记 Name 属性 描述配置项的名称 描述配置项的唯一标识(GUD) D 配置项标识标记 属性 .结构模型 XML version(Major,Minor) SetingGroup Descriptionm Setting(Name,ID 格式定义鄙代码 xs;complexTypename="SettingGroupType"》 xs:complexContent》 base eeSO0 "cgdce-core;NamedOjeetBaseType")》 "Deseription”type="xs;string”min(Oeurs="o") xs:elementname rPt 'Version")》 Xs;element "Major”type= xs;unsignedlnt" Xsattriutename "Minor"type="xs;unsignedlnt" “SettingType"八 xs:element Setting”type= 10
GB/35283一2017 表7(续) xs;attributename="ID" "GUIDType”use="required"八 type ed” xs:attributename="Name”type="xsstring”use="required" /Xs;sequence /xs:complexContent》 《/xs:complexType 6.5.3自定义产品安装信息标记子元素 自定义产品安装信息标记的子元素为产品脚本标记,具体格式定义如表8所示
表8自定义产品安装信息标记的子元素 序号 名称 标记 类型 解释说明 产品脚本标记 Scrip" 元素 描述自定义产品安装情况的脚本信息 XM1格式模型 CustomProducnio Script Schema定义源代码: xs;complexTypename="CustomProductlnfoType"" XS;seguence xs;elementname="Script”type="egdcc-core;NonEmptyStringType") /xs;sequence 《/xs;complexType /xs;complexTypey 6.6第五层元素标记 第五层元素为配置项信息标记的子元素,包括版本编号标记、配置项内容标记、配置项取值标记和 配置项赋值标记
具体格式定义如表9所示
表9第五层元素标记 序号 标记 名称 类型 解释说明 配置项版本编号标记 Version 核心配置项版本的唯一标识 元素 配置项主版本号标记 Major 属性 描述配置项主版本号的唯一标识 配置项子版本号标记 Minor 属性 描述配置项子版本号的唯一标识 描述配置项内容,包括:赋值路径、脆弱 配置项内容标记 Content 元素 性、应对措施、潜在影响等 描述配置项取值类型,包括作用范围、取 Setting 配置项取值标记 元素 值方式、取值数据类型等 Discoverylnfo 指配置项作用范围本机Machine)或当 作用范围标记 属性 Scope 前账户(User) 播还配置项的取值方式,包括wMI、注丽 取值方式标记 属性 DisoveryTye 表等 1
GB/T35283一2017 表9续) 序号 名称 标记 类型 解释说明 描述配置项赋值的过程,包括组策略导出 配置项赋值标记 Exportnfo 元素 文件类型、导出文件中配置项的名称等 组策略导出文件类型 描述组策略导出文件的类型,包括INF GP0GenerateFormat 属性 标记 CSV、POLSCRIPT四种类型 xML结构模型 Version(Mjor,Minor) Contenmt Setting SetingDiscoverylnfo Scope,DiscoveryType Exportlnlo (GPOGenerateFomate 格式定义源代码: xs;complexTypename="SettingType"》 Xs;commplexContent xs:extensionbase 'cgdce-core;NamedObjectBaseType"》 "Version"》 Ks:elementref PmPmt name="Content"" name S-eem "SettingDiscoverylnfo"type="SettingDiscoverylnfoType"》 "SettingDiscoveryTypeType"use="requiredl") ribute Discoverylype”type 'Scope”type="SetingScopeType”use="required") IaIIe S-PPmPt Exportlnfo" name xs;attributename="GPO(GienerateFormat”type="GP0GienerateFormat ATsy use="required" /xs:seguence /xselement 《/xs:extension 《/xs:complexContent complexType /XS:! 6.7第六层元素标记 6.7.1配置项内容标记子元素 具 配置项内容标记的子元素包括解释说明标记,.设置信息标记、计量单位标记和取值映射表标记 体格式定义如表10所示
12
GB/35283一2017 表10配置项内容标记的子元素 序号 名称 标记 类型 解释说明 解释说明标记 描述配置项功能及相关参数 Deseription 元素 设置信息标记 元素 描述配置项进行配置时的相关属性 SettingProductlnfo Unit 计量单位标记 元素 配置项参数的计量单位 如果配置项的参数是几个可枚举值,比如 绿 是代表颜色的红0xFF0000)、 Ox00FF00)和蓝(0x0000FF),括号内为真 取值映射表标记 ValueMappingTable 元素 正取值,此表描述取值与代表此值的显示 名称的映射关系,可帮助用户在界面上对 取值进行指定 XM结构模型: Description SettingProductlnfo Contcenmt Unit VaueMappingTable 格式定义源代码" xs;elementname="Content" xs;complexType' xs:sequence xs;elementname="Produetlnfo”type="SettingProduetlnfoType" Xs;element "Unit”type="xs;string" Xs;elementname s:elemment emeint name="ValueMappingTable" xs;complexContent xs;elementname="Description”type="xs;string"/八 “SetingProductlnfoType")y xs;complexTypename /xs;complexType 6.7.2配置项取值标记子元素 配置取值标记的子元素包括取值数据类型标记、WMI取值信息标记、注册表取值信息标记和脚本 取值信息标记
具体格式定义如表11所示
13
GB/T35283一2017 表11配置项取值标记的子元素 序号 名称 标记 类型 解释说明 描述配置项取值的数据类型,比如;整型、 取值数据类型标记 DataType 元素 字符串 wMI取值信息标记 描述值在wMI中的位置 wMIDiscoverylnfo 元素 注册表取值信息标记 元素 描述值在注册表中的位置 RegistryDiscoverylnfo SeriptDiscoverylnfo 元素 脚本取值信息标记 描述用来取值的脚本 XML结构模型 DataIype SetingDiscoveryInfo WMIDiscovenlnfo RegistryDiscoverylnfo ScripDiscoverylnfo chema定义源代码: xs;complexTypename="SetingDiscoverylnfoType") xs;seguence xs;choice xs;eementname="RegistryDiscoverylnfo"type "egdcccore;RegistryDhscoweryIype”minOceurs= "0"”maxOccurs="unbounded" xs;eementname="wMDiscoverylnfo”type="cgdcc-core;wMIDiscoveryType" xs:elementname "SeriptDiscoverylnfo”type="cgdcc-core;SeriptDiscoveryType" /xs:choiee xs.elementname="DhtaTyp”type="setingDhtaTypes") /xs:element 《/XS:seguence /xs;complexType 6.7.3配置项赋值标记子元素 配置项赋值标记的子元素为导出文件中配置项的名称标记,其属性为导出文件中的段名称标记
在组策略工具中,通过加载组策略导出文件(G;POBackup)进行赋值
其格式定义如表12所示
表12配置项赋值标记的子元素 解释说明 序号 名称 类型 标记 导出文件中配置项的 Inf 元素 组策略导出文件中描述配置项的名称 名称 组策略导出文件中描述配置项所在的段 导出文件中的段名称 属性 SectionName 的名称 14
GB/35283一2017 表12(续) XML格式模型 Exporlnto nf(SectiomName) 格式定义源代码 xs;elementname="Exportlnfo" xs;complexType' xs;sequence xs;elementname="Inf”nmin(Oecurs="o" xs;complexType (xs:attributename="SectionName”"type= xs;string" 《/xs;sequence /xs;complexType 《/xs:element 6.8第七层元素标记 第七层元素包括赋值路径标记、默认值标记脆弱性标记、应对措施标记、潜在影响标记和取值范围 标记,为设置信息标记的子元素
具体格式定义如表13所示
表13第七层元素标记 序号 名称 标记 类型 解释说明 UPath 赋值路径标记 元素 描述配置项的赋值具体路径 默认值标记 DefaultValue 元素 描述在未配置时系统自动设置的值 脆弱性标记 Vulnerability 元素 描述该配置项功能所解决的安全风险 描述在对不同情况下,如何对配置项参数 应对措施标记 CounterMeasure 元素 正确设置 说明启用配置项后可能会造成不确定的 潜在影响标记 Potentiallmpact 元素 影响 取值范围标记 允许配置项赋值的范围 ValueRange 元索 XML结构模型: UIPath Defawtvaue vulnernability SettingProductlnfo CounterMeasure Potentiallmpact VaueRange Schema 定又源代码 xs:complexTypename="SettingProduetlnfoType")》 15
GB/T35283?2017 13() xs;seguence xs;elementname="U1Pathtype="xs;stringmin(Oeeurs="0" 'DefaultValue"type xs:string"/ xs:elementname Vulnerabilitytype S string" xxs;string" elementname Countermeasuretype= xs:elementname 'Potentiallmpaettype xs;string" xs;elementname="ValueRangetype "SettingNumberValueRangeTypemin(Occurs="o") /XS;seguence /xs:complexType 16
GB/35283一2017 附 录 A 资料性附录 核心配置基线标记完整示例 -"1.0" wf8"?" ?xmlversion= encoding= (xs;schemaxmlns="http://schemas.sic.com/cGDcc/SecurityCompliance' /www.w3.org/2001/XML.Schema" "http:/" xmlns;xs /CGDcc/SecurityCompliance/core" schemas.sic.com/ "http: Xxmlns:cgdcc-core "cGDcC-Pa xs:complexTypename PackageType" xsseguence elementname="cGDcC-FormatInfo"y xs;elenentname="cGDcC-FormatInfoType" xs:complexTvpe seguence name "version"”type="cgdcc-core:versionType" "VersionTy rype" "Major type="xs;unsignedInt") "Minor" De="xs;unsignedInt"八 type eXIype rname="Description”type="xsstring”minOccurs="0" eXIype Y 'cGDcC-Baseline”minOccurs="0”maxOccurs="unbounded") complexTypename="CGDCC-BaselineType"》 exContent Xd attributename="ID”tpe="GUIDType”use="reguired" attributename="Name”type="xs:string”use="required"/ xs:sequence xs;elementname="Mode”type="BaselineModeType" xs;simpleTypename="BaselineModeTypes" xs:restrictionbase="xs:string" (e;enumerationvalue="Bdit") enumerationvalue="Published"八 X restriction XS ;simpleIype elementname="cGDccversionContro1" Baselinel versionControlType"八) xs:element xs:complexTypename="BaselineVersionControlType" xs:seguence xs:elementname="Publisher”type= ="PublisherType") 17
GB/T35283?2017 /xs;element -core:G (GUDrype") (s;elementname="originalBaselineIDtype="cgdkecc xs;element xs:elementname="RevisionNumber" "xs;un edInt" type= nsigne xs:elementname="OriginalRevisionNumber" "e;umsigedrnt") tyPe= XS;seguenCe exIpe lementref="SettingGroupmaxOccurs="unbounded" ement "SettingGroupT'ype") XS IeXIypename= ontent ionbase="cgdcc-core:NamedObjectBaseType" "IDtype="GUIDType"use="reguired" name "Nametype="xs:stringuse="reguired" name XS utename="0riginalSettingGroupIDtype="cgdcc-core:GUIDType" 1S name="Descriptiontype="xs:stringmin0ccurs="0" name="SettingType" Ype ntent base="cgdcc-core:NamedObjectBaseType" "ID" type="GUrDrypeuse="required" name ane"type="xs;stringuse="equired") Version XS name XS OT0T Content amentname Content XS XSO lexType seauence XS ementname="ProductInfo" "settingProductInfoType"y xs type= element xs:elementname="Unit" "xs;strinrg" type= xs:element xs:elementname="Val ueaepigable" xs;element xs:complexContent xs;elementname="Description" ="xs;string") type= /xselement lexIype "settingProductInforype"" XS:compl name= 18
GB/35283?2017 "DiscoveryInfo" xs:elementname= xs;complexIype xsseguence ementname="Settin ingphisoweryinato" type="SettingpiscoveryInfolype "sSettingDatarypes" "Datallypetype= name= eXIpe ement "ExportInfo"y name ementname="Infmin0ccurs="0" attributename="SectionlNametype="xs;string" XS;seguenCe xs:attributename="GP0GenerateFormattype="GP0GenerateFormatType" use="required xs;complexType xs:element xs;extension complexContent complexType lementref="cGDcC-ProductmaxOccurs="unbounded" "pProductType") complexTypename= seauence CI "OperatingSystemInfo" ingsystenInforype" name Ol? OperatingSystemInfoType' 'lajorversion"type="xs;unsignedInt"use="required") X "eqpuirer") XS MinorVersiontype xs:unsignedIntuse= xS butename "reqpuired") "BuildVersiontype="xs:unsignedIntuse= "MsiInfotype="MsiInforype") name "MsiInfoType" comp name "ProductCode" "xs;stringuse="required" tributename type= "Versiontype="xs;stringuse= attributename "optional" xs;attributename="IsPerUsertye="xs:booleanuse= "required" xs:complexType /xs:choice xs;elementname="produetFamilyReftype="ProductFamilyRef"ype" 19
GB/T35283?2017 7xs;element /xs;seqguence' xs:doCumentatiOn This namefor isprodetdisplay example. WindowsXP indowsVista NindowsServer2003 WindowsServer2008 20070ffice documentation xs:attributename="IDtye="cgdcc-core:GuIDType") //xs;attribute' /xs:complexType /xs:segquence /xs:complexType /xs:schema 20
GB/35283一2017 附录 B 资料性附录 核心配置基线标记应用示例 B.1“口令长度最小值为8位字符长度"核心配置基线XML示例 "UE-8"? ?xmlversion="1.0" encoding= cGDCC' /schemas,microsoft.com/Gr aoupPRoliey/2008/03/PolieyDefi- "http:/ -Packagexmlns:admx "http://www.w3.org/2001/xL.Schema- -instanrce”x姐lns:cgdcc-core="ttp:/ nitions”xmlns;xsi schemas.sic.com/cGDCC/SecuritvCompliance/core"xmlns= /schemas.sic.com/cGDcC/Securi "http:/ tyCompliance cGDCC-FormatInfo "0”Major="1") VersionMinor )此基线格式为1.0版本71a71226-6325-41be-99dc-6af28cb617da}《/0riginalBaselineID RevisionNumber>0口令策略组包含的策略可控制这些口令管理策略;强口令、口令历史维护,以便 令,并阻止重复使用可还原加密
iption -""八 ers1 "0”Major: Minor settingName="口令长度最小值”ID="4b78f63c-fdae-42e8-b9f1-a161163a9c7f)") -"") "o”Major= VersionMinor Content (Deseription)此策略设置确定用户账户密码包含的最少字符数
GB/T35283一2017 将不会需要口令
在大多数环境中,我们推荐8字符口令因为它足够长,可以提供足够的安全 保障,同时让用户记住也不是太难
规定了口令的最小长度,就增加了非法用户破译口令的难 度,防止其冒用登录
如果本地计算机口令长度最小值太小,攻击者可以轻松破译用户口令 /Countermeasure PotentialImpact 〉但口令长度最小值又不宜设置的太大,否则使用者须记忆很长的口令,容 /PotentialIm 易忘记 -mpact ValueRangeHigh="14”Iow="0"y 0nit Unit七 iendlyName="NotDefined" sCr1ptiOn/ "NotDefined"八 ValueA ValueA="notdefined" FriendlyName="NotConfigured'" HOh2TT7OC iption/ KM217 ValueA="NotConfigured" GPovaluevalueA="notconfigured"八 Mapp1ng MappingriendlyName="NotApplicable") BehaviorDescription/ DCMValueValueA="NotApplicable"/ GPOValueValueA="notapplicable") MaPp1ng MappingFriendlyName="NotRecommended" BehaviorDescription/ DCMValueValueA= -"HotRecommerded" d"八 GP0ValueValueA="notrecommended" Mapping ed"y
GB/T35283一2017 新8线 配置琴5屋速明 成所活晒进c5基玻从基中信e,.同可以远猫吧策晒添c5基i中从基i中移e 不于该基的策地退; 该基线中的策地e 查tS 查找S: 惊简味年眯更收 aioe动s作系纯藏动 件日志服务事件日本极势-安全性 地策略市核策到 国性城屋性透项卡 C.4基线配置组编辑界面 图 e)编辑基线的配置项 可选择某个配置组进行配置项的添加、删除及编辑修改操作,如图C.5所示
成何伟精夜加到稻连或从基蟀中解种,同时可以选样把第睛高加到著线中脱从基线中棒 不于该甚域的策略泪 该=域中的策端组 查找s1 当找s: 核策 t宝漫作系纯旋动 日志服务事件日志服务-安全性 生T 远操n入基钱中的落 落脑联望酒 查找S. e未启用e禁用 二 期望值w: 大Ba大小 e 选项 保留旧事件 独验 最大日志大小K819o阁 保存第暗值 取O 添加所有( 移治所有E 上一步(下步) 保存s 图c.5配置项编辑界面 d)自动生成基线 确认基线信息并保存后,工具自动生成一条新的核心配置基线(*.cab). 26
信息安全技术计算机终端核心配置基线结构规范GB/T35283-2017详解
随着互联网和信息化的快速发展,电子设备已经成为现代生活的重要组成部分。作为这些设备中的重要一员,计算机终端在日常工作和生活中得到了广泛应用,因此,其安全性也受到越来越多的关注。 GB/T35283-2017《信息安全技术 计算机终端核心配置基线结构规范》是由国家标准化管理委员会发布的国家标准,于2018年1月1日实施。该标准针对计算机终端的核心配置要求,提出了结构规范,以保证计算机终端的安全性。 该标准主要包括以下几个方面: 1. 安全威胁分析与风险评估。通过对计算机终端的安全威胁进行分析和风险评估,确定计算机终端的核心配置要求。 2. 核心配置项选择。明确了实现计算机终端安全的核心配置项,包括操作系统、应用软件、防病毒软件等。 3. 核心配置项实施。对核心配置项进行实施,并通过测试和验证来确认其有效性。 4. 安全审计与监测。定期对计算机终端的核心配置进行审计和监测,及时发现和解决安全问题。 通过本标准的实施,可以有效保障计算机终端的安全性,预防各种安全威胁,保护用户的信息和隐私。 需要指出的是,该标准只是针对计算机终端的核心配置基线结构规范,不能替代其他的安全措施。在日常使用计算机终端时,还需要加强安全意识,提高自身的安全防范能力。 总之,GB/T35283-2017标准是保障计算机终端安全的重要依据,相关单位和个人必须认真遵守相关规定并加以实施,以确保信息安全和系统可靠性。
