GCB政府組態基準
公部門資安要求:GCB政府組態基準|保護資通設備、降低駭客入侵風險
GCB政府組態基準之檢測為目前公部門之基本要求,主要在保護資訊通訊設備的安全性與一致性,以降低駭客入侵之風險,而政府建置網站之主機也同樣需經過GCB安全檢測,以合乎政府規範。
GCB政府組態基準
GCB為 Government Configuration Baseline 政府組態基準 之簡稱,其目的在於「規範資通訊設備(如個人電腦、伺服器主機及網通設備等) 的一致性安全設定(如密碼長度、更新期限等),以降低成為駭客入侵管道,進而引發資安事件之風險。」
此項基準為行政院國家資通安全研究院於 102 年第 24 次委員會會議決議「請各部會務必於102年底前,完成 Windows7 或 IE8 環境導入政府組態基準(GCB) 設定」開始決議推動之設定,該決議用以提升用戶端之安全性,政策要求由中央部會推動至所屬機關及地方政府、部屬範圍從終端設備擴及至伺服器與網路通訊設備。
導入期程分為 A、B、C 三個等級區域,A、B等級於106~107年推廣導入,C等級於107年推廣導入,時至今日,目前無論是哪一種等級,GCB檢測已為公部門之基本要求準則。
※ A級為重要機關與涉及任何重要業務之機關、B級為地方重要機關、C級為地方機關。
GCB是什麼
GCB是「政府組態基準」,台灣的TW GCB政府組態基準是參考美國政府(US GCB)配置基準,再針對台灣電腦系統環境所規範出的設定值。
其說明文件會放置於「國家資通安全研究院→ 政府組態基準(GCB)」,說明內容像這樣:
| 項次 | GPO | TWGCB-ID | 類別 | 原則設定名稱 | 說明 | GPO設定路徑 | GCB設定值 |
|---|---|---|---|---|---|---|---|
| 156 | Windows11 Computer Settings | TWGCB-01-010-0156 | 安全性選項\網路存取 | 網路存取:不允許存放網路驗證的密碼與認證 |
|
電腦設定\Windows設定\安全性設定\本機原則\安全性選項\網路存取:不允許存放網路驗證的密碼與認證 | 啟用 |
▲TWGCB-01-010_Microsoft Windows 11政府組太基準說明文件(預告版)v1.0_1120329之156項(示意)
檢測稽核項目
- 帳戶安全性Account Policy
對於密碼原則、密碼長度、帳戶鎖定原則等組態進行檢測。 - 個人電腦系統Computer Settings
針對安全性選項、使用者權限指派、網際網路通訊設定、自動播放等組態進行檢測。 - 防火牆設定Firewall Settings
Windows 防火牆公用設定檔、私人設定檔、網域設定檔等組態進行檢測。 - 使用者設定User Settings
使用者螢幕保護裝置、網際網路通訊、網路共用、附件管理員等組態進行檢測。 - IE 瀏覽器Internet Explorer
Internet Explorer 內部網路區域、信任的網站區域等區域進行 JAVA 權限、登入選項、Active X 控制項等設定檔等組態進行檢測。 - Chrome 瀏覽器Google Chrome
對於 Google Chrome 內容設定、HTTP 驗證政策、密碼管理員、設定遠端存取選項、擴充功能等組態進行檢測。 - Microsoft Edge
對 Microsoft Edge Computer Settings 在隱私權與安全性、瀏覽器體驗 、擴充功能、開發人員工具等組態進行檢測。
資料來源:
✓ 元盾資安|元盾 M-GCB 政府資安組態稽核軟體
✓ 國家資通安全研究院|政府組態基準(GCB)
✓ 雲林縣政府計劃處|資通安全
