涉密计算机安全策略配置

1涉密计算机安全策略配置一、物理安全防护1、安装防盗铁门2、安装红外报警器3、放置密码文件柜4、涉密电脑实行物理隔离二、硬件相关设置1、禁止使用无线设备（无线键盘、鼠标、网卡、红外、蓝牙、modem等）；2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备;3、接入红黑电源隔离插座；4、与非密设备间隔一米以上。三、主板BIOS相关设置1、设置BIOS系统密码，该密码由安全保密管理员掌握；2、设置BIOS开机密码，该密码由用户掌握；3、BIOS最优先启动设置为硬盘启动，其余优先启动全部关闭；四、操作系统1、禁止安装番茄花园、雨林木风等经处理的操作系统，禁止安装Ghost版操作系统；2、更改Administrator用户名并设置密码，禁用Guest帐户，删除多余帐户；3、关闭操作系统的默认共享，同时禁止设置其它共享；4、设置屏保时间10分钟，屏保恢复需用密码；5、不得安装《软件白名单》外的软件；6、对操作系统与数据库进行补丁升级（每季度一次〉；7、定期输出安全审计记录报告（每月一次）8、清理一切私人信息：私人照片、mp3、电影等等。9、根据规定设置系统策略，关闭非必要服务；〔见后）五、安全保密防护软件的部署1、安装正版杀毒软件，涉密计算机（瑞星杀毒软件），涉密中间机、非涉密中间机（瑞星杀毒软件)；杀毒软件每半个月更新一次病毒库并全盘扫描；2、安装主机监控审计软件与介质绑定系统；六、关闭计算机不必要的应用服务原则：在没有特殊情况下应当关闭不必要的服务。如果有特殊需求，应当主动申请提出。详细配置说明1安全策略开启项安全策略项BMJSJ001〔涉密计算机）BMJSH002(涉密中间计算机）BMJSJ003〈非涉密中间计算机）IMAPICD-BurningCom(CD刻录服务）关闭手动（需要刻录输出，经批准为开启项）手动（需要刻录输出，经批准为开启项）Print：(打印后台处理）动态管理：关闭动态管理：（输出安全审计记录，需安装打印机，经批准为使用时开启）关闭USB全部端口开启〔鼠标、键盘、保密U盘属于USB端口支持，经批准为开启项）开启（鼠标、键盘、指纹安全登陆采集、保密U盘属于USB端口支持，经批准为开启项）开启（鼠标、键盘、属于USB端口支持，经批准为开启项）USB存储设备开启〔需要使用保密U盘，经批准为开启项）开启（需要使用保密U盘，经批准为开启项）关闭安全策略禁用项安全策略项BMJSJ001〔涉密计算机）BMJSH002(涉密中间计算机）BMJSJ003〈非涉密中间计算机）软驱禁用禁用禁用串行口禁用禁用禁用并行口禁用禁用禁用调制解调器禁用禁用禁用1394控制器禁用禁用禁用红外设备禁用禁用禁用蓝牙设备禁用禁用禁用普通网卡禁用禁用禁用无线网卡禁用禁用禁用PCMCIA卡禁用禁用禁用智能阅读器禁用禁用禁用磁带机禁用禁用禁用安全策略项BMJSJ001〔涉密计算机）BMJSJ002(涉密中间计算机）BMJSJ003(非涉密中间计算机）ApplicationManagement(应用程序管理)禁用禁用禁用1ClipBook（剪贴簿）禁用禁用禁用DHCPClient(动态主机配置协议客户端）单机系统，不需要此服务，禁用单机系统，不需要此服务，禁用单机系统，不需要此服务，禁用ComputerBrowser〔计算机浏览器）不用共享服务，禁用不用共享服务，禁用不用共享服务，禁用DistributedLinkTrackingCilient(分布式连接跟踪客户端)不在局域网中复制文件，设置为禁用。不在局域网中复制文件，设置为禁用。不在局域网中复制文件，设置为禁用。FAXService(传真服务）禁用禁用禁用IndexingService(索引服务）禁用禁用禁用IPSECPolicyAgent(IP安全策略代理）禁用禁用禁用Messenger(信使服务）禁用禁用禁用NetLogon〔网络登陆）没有使用域管理模式，禁用没有使用域管理模式，禁用没有使用域管理模式禁用NetMeetingRemoteDesktopSharing(NetMeeting)远程桌面共享）远程管理桌面共享，用不到，禁用远程管理桌面共享，用不到，禁用远程管理桌面共享，用不到，禁用安全策略项BMJSJ001〔涉密计算机）BMJSJ002〔涉密中间计算机）BMJSJ003〔非涉密中间计算机）NetworkDDE(网络动态数据交换）和NetworkDDEDSDM全部禁用全部禁用全部禁用PerformanceLogsAndAlert基于安全防护需要，禁用基于安全防护需要，禁用基于安全防护需要，禁用RemoteDesktopHelpSessionManager基于安全防护需要，禁用基于安全防护需要，禁用基于安全防护需要，禁用1RemoteRegistryService(远程注册表服务）远程修改注册表，为了安全，禁用远程修改注册表，为了安全，禁用远程修改注册表，为了安全，禁用RoutingandRemoteAccess禁用禁用禁用SmartCard和SmartCardHelper对智能卡设备的支持，禁用对智能卡设备的支持，禁用对智能卡设备的支持，禁用TCP/IPNetBIOSHelperService(TCP/IPNetBIOS支持服务）禁用禁用禁用Telephony(电话）禁用禁用禁用Telnet(远程访问）基于安全防护需要，禁用基于安全防护需要，禁用基于安全防护需要，禁用TerminalService基于安全防护需要，禁用基于安全防护需要，禁用基于安全防护需要，禁用UninterruptiblePowerSupply(不间断电源）没有连接UPS禁用没有连接UPS，禁用没有连接UPS，禁用WirelessZeroConfiguration基于安全防护需要，禁用基于安全防护需要，禁用基于安全防护需要，禁用七、按以下要求配置操作系统策略1、用户帐户策略配置要求内容BMJSJ001(涉密计算机）BMJSJ002(涉密中间计算机）BMJSJ003〔非涉密中间计算机）用户帐户策略配置删除与设备运行、维护等与工作无关的帐号；Administrator帐户应当更改帐户名；禁用Guest帐户。删除与设备运行、维护等与工作无关的帐号；Administrator帐户应当更改帐户名；禁用Guest帐户。删除与设备运行、维护等与工作无关的帐号；Administrator帐户应当更改帐户名；禁用Guest帐户。2、系统密码策略配置要求内容BMJSJ001〔涉密计算机）BMJSJ002(涉密中间计算机）BMJSJ002(非涉密中间计算机）1系统密码策略配置密码应当在复杂度、长度和生存期上符合规定。机密级计算机密码长度至少为10位，生存期为7天密码应当在复杂度、长度和生存期上符合规定。机密级计算机密码长度至少为10位，生存期为7天密码应当在复杂度、长度和生存期上符合规定。机密级计算机密码长度至少为10位，生存期为7天3、帐户锁定策略配置要求内容BMJSJ001〔涉密计算机）BMJSJ002(涉密中间计算机）BMJSJ003〔非涉密中间计算机）帐户锁定策略配置对于釆用动态口令认证的设备，应当配置当用户连续认证失败次数超过3次(含），锁定该用户使用的帐号策略。对于采用动态口令认证的设备，应当配置当用户连续认证失败次数超过3次（含），锁定该用户使用的帐号策略。对于采用动态口令认证的设备，应当配置当用户连续认证失败次数超过3次（含），锁定该用户使用的帐号策略。4、系统审核策略配置要求内容BMJSJ001(涉密计算机）BMJSJ002(涉密中间计算机）BMJSJ003〔非涉密中间计算机）系统审核策略配置设备配置日志功能，对用户的登录帐号、登录状态、登录时间等行为进行日志记录。设备配置日志功能，对用户的登录帐号、登录状态、登录时间等行为采用纸质记录。设备配置日志功能，对用户的登录帐号、登录状态、登录时间等行为采用纸质记录。5、权限指派策略配置（多人共用一台计算机时)要求内容BMJSJ001(涉密计算机）BMJSJ002(涉密中间计算机）BMJSJ003〔非涉密中间计算机）权限指派策略配置对于多人共用一台计算机的情况，应当划分用户专用磁盘，并且设置严格的访问权限。对于多人共用一台计算机的情况，应当划分用户专用磁盘，并且设置严格的访问权限。对于多人共用一台计算机的情况，应当划分用户专用磁盘，并且设置严格的访问权限。