涉密计算机安全策略配置一、物理安全防护1、安装防盗铁门2、安装红外报警器3、放置密码文件柜4、涉密电脑实行物理隔离二、 硬件相关设置1、禁止使用无线设备(无线键盘、鼠标、网卡、红外、蓝牙、moden<);2、未经许可不得使用视频、音频输入设备、读卡器设备;3、接入红黑电源隔离插座;4、与非密设备间隔一米以上三、主板BIOS相关设置1、设置BIOS系统密码,该密码由安全保密管理员掌握;2、设置BIOS开机密码,该密码由用户掌握;3、BIOS最优先启动设置为硬盘启动,其余优先启动全部关闭;四、 操作系统1、 更 改 Ad ni ni st r at or 用户名并设置密码,禁用 Guest 帐户,删除多余帐户;2、关闭操作系统的默认共享,同时禁止设置其它共享;3、设置屏保时间10分钟,屏保恢复需用密码;4、不得安装《软件白名单》外的软件;5、对操作系统与数据库进行补丁升级(每季度一次〉;6、定期输出安全审计记录报告(每月一次)7、清理一切私人信息:私人照片、mp3电影等等8、根据规定设置系统策略,关闭非必要服务;( 见后)五、 安全保密防护软件的部署1、 安装正版杀毒软件,涉密计算机(江民杀毒软件),涉密中间机、非涉密中间机(瑞星杀毒软件) ;杀毒软件每半个月更新一次病毒库并全盘扫描;2、 安装主机监控审计软件与存储介质管理系统 ( 三合一 ) ;3、 涉密机安装刻录审计软件,涉密中间机安装打印审计软件和刻录审计软件;六、关闭计算机不必要的应用服务原则:在没有特殊情况下应当关闭不必要的服务。
如果有特殊需求,应当主动申请提出详细配置说明安全策略开启项安全策略项涉密计算机涉密中间计算机非涉密中间计算机IMAPI CD-BurningCom(CD刻录服务)关闭手动(需要刻录输出,经批准为开启项)手动(需要刻录输出,经批准为开启项)Print :(打印后台处理)动态管理:关闭动态管理:(输出安全审 计记录,需安装打印机, 经批准为使用时开启)关闭USB全部端口开启〔鼠标、键盘、保密 U 盘属于US的口支持,经 批准为开启项)开启(鼠标、键盘、指纹 安全登陆采集、保密U盘 属于USB端口支持,经批 准为开启项)开启(鼠标、键盘、属于 US端口支持,经批准为 开启项)USB存储设备开启〔需要使用保密U 盘,经批准为开启项)开启(需要使用保密U 盘,经批准为开启项)关闭安全策略禁用项安全策略项涉密计算机涉密中间计算机非涉密中间计算机软驱林田林田林田串行口林田林田林田并行口林田林田林田调制解调器林田林田林田1394控制器林田林田林田红外设备林田林田林田蓝牙设备林田林田林田普通网卡林田林田林田无线网卡林田林田林田PCMCIA卡林田林田林田智能阅读器林田林田林田磁带机林田林田林田安全策略项涉密计算机涉密中间计算机非涉密中间计算机)Application Management (应用程序管 理)禁用禁用禁用ClipBook (剪贴簿)禁用禁用禁用DHCP Client(动态 主机配置协议 客户端)单机系统,不需要 此服务,禁用单机系统,不需要此 服务,禁用单机系统,不需要此服 务,禁用Computer Browser〔计算机浏览器)不用共享服务,禁用不用共享服务,禁用不用共享服务,禁用Distributed Link Tracking Cilient (分布式连接跟踪 客户端)不在局域网中复制 文件,设置为禁用。
不在局域网中复制 文件,设置为禁用不在局域网中复制文 件,设置为禁用FAX Service 服务)禁用禁用禁用Indexing Service(索引服务)禁用禁用禁用IPSEC PolicyAgent(IP安全策 略代理)禁用禁用禁用Mes sen g er (信使服务)禁用禁用禁用Net Logon〔网络登陆)没有使用域管理模式, 禁用没有使用域管理模式, 禁用没有使用域管理模式 禁用Net Meeting Remote DesktopSharing(NetMeeting) 远程桌面共 享)远程管理桌面共 享,用不到,禁用远程管理桌面共享, 用不到,禁用远程管理桌面共享,用 不到,禁用Network DDE(网络动态数 据交换)和 Network DDE DSDM全部禁用全部禁用全部禁用Performance LogsAnd Alert基于安全防护需 要,禁用基于安全防护需要, 禁用基于安全防护需要,禁 用Remote Desktop HelpSession Manager)基于安全防护需 要,禁用基于安全防护需要,禁用基于安全防护需要,禁用Remote RegistryService (远程注册表服务)远程修改注册表, 为了安全,禁用远程修改注册表,为 了安全,禁用远程修改注册表,为了 安全,禁用Routing and RemoteAccess禁用禁用禁用Smart Cad 口Smart Card Helper对智能卡设备的支 持,禁用对智能卡设备的支 持,禁用对智能卡设备的支持, 禁用TCP/IP NetBIOSHelper Service (TCP/IP NetBIO或持 服务)禁用禁用禁用Telephony)禁用禁用禁用Telnet(远程访 问)基于安全防护需 要,禁用基于安全防护需要, 禁用基于安全防护需要,禁 用Terminal Service基于安全防护需 要,禁用基于安全防护需要, 禁用基于安全防护需要,禁 用Uninterruptible Power Supply^ 间断 电源)没有连接UPS禁 用没有连接ups禁用没有连接UPS ,禁用Wireless Zero Configuration基于安全防护需 要,禁用基于安全防护需要, 禁用基于安全防护需要,禁 用七、按以下要求配置操作系统策略1、用户帐户策略配置要求内容涉密计算机涉密中间计算机非涉密中间计算机用户帐户策略配 置删除与设备运行、维护等与 工作无关的帐号; Administrator帐户应当更改帐户名;禁用Gues眯 户。
删除与设备运行、维护等与 工作无关的帐号; Administrator帐户应当更改帐户名;禁用Gues眯 户删除与设备运行、维护等与 工作无关的帐号; Administrator 帐户应当更 改帐户名;禁用Gues眯 户2、系统密码策略配置要求内容涉密计算机涉密中间计算机非涉密中间计算机系统密码策略配 置密码应当在复杂度、长 度和生存期上符合规 定机密级计算机密码长度 至少为10位,生存期为7 天密码应当在复杂度、长 度和生存期上符合规 定机密级计算机密码长度 至少为10位,生存期为7 天密码应当在复杂度、长 度和生存期上符合规 定机密级计算机密码长度 至少为10位,生存期为7 天3、帐户锁定策略配置要求内容涉密计算机涉密中间计算机非涉密中间计算机帐户锁定策略配 置对于采用动态口令认证 的设备,应当配置当用户连 续认证失败次数超过3次 (含),锁定该用户使用的帐 号策略对于采用动态口令认证 的设备,应当配置当用户连 续认证失败次数超过3次 (含),锁定该用户使用的 帐号策略对于采用动态口令认证 的设备,应当配置当用户连 续认证失败次数超过3次 (含),锁定该用户使用的 帐号策略4、系统审核策略配置要求内容涉密计算机涉密中间计算机非涉密中间计算机系统审核策略配 置设备配置日志功能,对用户 的登录帐号、登录状态、登 录时间等行为进行日志记 录。
设备配置日志功能,对用户 的登录帐号、登录状态、登 录时间等行为采用纸质记 录设备配置日志功能,对用户 的登录帐号、登录状态、登 录时间等行为采用纸质记 录5、权限指派策略配置(多人共用一台计算机时)要求内容涉密计算机涉密中间计算机非涉密中间计算机权限指派策略配 置对于多人共用一台计算 机的情况,应当划分用户专 用磁盘,并且设置严格的访 问权限对于多人共用一台计算 机的情况,应当划分用户专 用磁盘,并且设置严格的访 问权限对于多人共用一台计算机的情 况,应当划分用户专用磁盘, 并且设置严格的访问权限。