一、物理安全防护
1、安装防盗铁门 2、安装红外报警器 3、放置密码文件柜 4、涉密电脑实行物理隔离
二、 硬件相关设置
1、禁止使用无线设备(无线键盘、鼠标、网卡、红外、蓝牙、modem等); 2、未经许可不得使用视频、音频输入设备、读卡器设备、刻录设备; 3、接入红黑电源隔离插座; 4、与非密设备间隔一米以上。
三、 主板BIOS相关设置
1、设置BIOS系统密码,该密码由安全保密管理员掌握; 2、设置BIOS开机密码,该密码由用户掌握;
3、BIOS最优先启动设置为硬盘启动,其余优先启动全部关闭;
四、 操作系统
1、禁止安装番茄花园、雨林木风等经处理的操作系统,禁止安装Ghost版操作系
统;
2、更改Administrator用户名并设置密码,禁用Guest帐户,删除多余帐户; 3、关闭操作系统的默认共享,同时禁止设置其它共享; 4、设置屏保时间10分钟,屏保恢复需用密码; 5、不得安装《软件白名单》外的软件;
6、对操作系统与数据库进行补丁升级(每季度一次〉; 7、定期输出安全审计记录报告(每月一次)
8、清理一切私人信息:私人照片、mp3、电影等等。 9、根据规定设置系统策略,关闭非必要服务;〔见后)
五、 安全保密防护软件的部署
1、安装正版杀毒软件,涉密计算机(瑞星杀毒软件),涉密中间机、非涉密中间
机(瑞星杀毒软件);杀毒软件每半个月更新一次病毒库并全盘扫描; 2、安装主机监控审计软件与介质绑定系统;
六、关闭计算机不必要的应用服务
原则:在没有特殊情况下应当关闭不必要的服务。如果有特殊需求,应当主动申请提出。
详细配置说明
1
安全策略开启项 安全策略项 BMJSJ001 〔涉密计算机) BMJSH002 BMJSJ003 (涉密中间计算机) 〈非涉密中间计算机) IMAPI CD-关闭 BurningCom(CD刻录服务) Print:(打动态管理:关闭 印后台处理) USB全部端口 开启〔鼠标、键盘、保密U盘属于USB端口支持,经批准为开启项) USB存储设备 开启〔需要使用保密U盘,经批准为开启项) 安全策略禁用项 手动(需要刻录输手动(需要刻录输出,经批准为开启出,经批准为开启项) 项) 关闭 动态管理:(输出安全审计记录,需安装打印机,经批准为使用时开启) 开启(鼠标、键盘、开启(鼠标、键盘、指纹安全登陆采集、属于USB端口支持, 保密U盘属于USB 端经批准为开启项) 口支持,经批准为开启项) 关闭 开启(需要使用保密U盘,经批准为开启项) 安全策略项 软驱 串行口 并行口 调制解调器 1394控制器 红外设备 蓝牙设备 普通网卡 无线网卡 PCMCIA卡 智能阅读器 磁带机 安全策略项 Application Management (应用程序管理) BMJSJ001 〔涉密计算机) BMJSH002 BMJSJ003 (涉密中间计算机) 〈非涉密中间计算机) 禁用 禁用 禁用 禁用 禁用 禁用 禁用 禁用 禁用 禁用 禁用 禁用 BMJSJ001 禁用 禁用 禁用 禁用 禁用 禁用 禁用 禁用 禁用 禁用 禁用 禁用 BMJSJ002 禁用 禁用 禁用 禁用 禁用 禁用 禁用 禁用 禁用 禁用 禁用 禁用 BMJSJ003 〔涉密计算机) (涉密中间计算机) (非涉密中间计算机) 禁用 禁用 禁用
1
ClipBook(剪贴禁用 簿) 禁用 单机系统,不需要此 服务,禁用 禁用 单机系统,不需要此服 务,禁用 DHCP Client(动态主机配置协议客户端) 单机系统,不需要 此服务,禁用 Computer Browser〔计算机浏览器) 不用共享服务,禁用 不用共享服务,禁用 不用共享服务,禁用 Distributed Link 不在局域网中复制 不在局域网中复制 不在局域网中复制文 Tracking Cilient (分文件,设置为禁用。 文件,设置为禁用。 件,设置为禁用。 布式连接跟踪客户端) FAX Service(传真禁用 服务) 禁用 禁用 Indexing Service (索引服务) 禁用 IPSEC Policy 禁用 Agent(IP安全策略代理) Messenger(禁用 信使服务) 禁用 禁用 禁用 禁用 禁用 禁用 没有使用域管理模式 禁用 远程管理桌面共享,用 不到,禁用 Net Logon 〔网 没有使用域管理模络登陆) Net Meeting Remote Desktop Sharing(NetMeeting)远程桌面共 享) 安全策略项 Network DDE (网络动态数 据交换)和 Network DDE DSDM 没有使用域管理模式,禁用 式,禁用 远程管理桌面共 远程管理桌面共享, 享,用不到,禁用 用不到,禁用 BMJSJ001 〔涉密计算机) 全部禁用 BMJSJ002 BMJSJ003 〔涉密中间计算机) 〔非涉密中间计算机) 全部禁用 全部禁用 Performance Logs 基于安全防护需 要,禁用 And Alert Remote Desktop 基于安全防护需 要,禁用 Help Session Manager 基于安全防护需要, 禁用 基于安全防护需要,禁 用 基于安全防护需要,禁基于安全防护需要,禁用 用 1
远程修改注册表,为 Remote Registry 远程修改注册了安全,禁用 Service (远程注册表, 为了安全,禁用 表服务) 远程修改注册表,为了 安全,禁用 Routing and Remote Access Smart Card和 Smart Card Helper 禁用 对智能卡设备的支 持,禁用 禁用 对智能卡设备的支 持,禁用 禁用 对智能卡设备的支持, 禁用 TCP/IP NetBIOS 禁用 Helper Service (TCP/IP NetBIOS支持服务) Telephony(电话) Telnet(远程访 问) 禁用 禁用 禁用 禁用 禁用 基于安全防护需要,禁 用 基于安全防护需要,禁 用 没有连接UPS ,禁用 基于安全防护需 基于安全防护需要, 要,禁用 禁用 Terminal Service 基于安全防护需 基于安全防护需要, 要,禁用 禁用 Uninterruptible 没有连接UPSPower Supply(不禁用 间断电源) Wireless Zero Configuration 没有连接UPS,禁用 基于安全防护需 基于安全防护需要, 要,禁用 禁用 基于安全防护需要,禁 用 七、按以下要求配置操作系统策略
1、用户帐户策略配置 要求内容 BMJSJ001 BMJSJ002 BMJSJ003 (涉密计算机) (涉密中间计算机) 〔非涉密中间计算机) 用户帐户策略删除与设备运行、维护删除与设备运行、维护删除与设备运行、维护等与工作无关的帐号; 等与工作无关的帐号; 等与工作无关的帐号; 配置 Administrator帐户Administrator帐户Administrator帐户应当更改帐户名;禁用应当更改帐户名;禁用应当更改帐户名;禁用Guest帐户。 Guest帐户。 Guest帐户。 2、系统密码策略配置 要求内容 BMJSJ001 〔涉密计算机) BMJSJ002 BMJSJ002 (涉密中间计算机) (非涉密中间计算机) 1
系统密码策略密码应当在复杂配置 度、长度和生存期上符合规定。机密级计算机密码长度至少为10位,生存期为7天 密码应当在复杂度、长度和生存期上符合规定。机密级计算机密码长度至少为10位,生存期为7天 BMJSJ002 (涉密中间计算机) 对于采用动态口令认证的设备,应当配置当用户连续认证失败次数超过3次(含),锁定该用户使用的帐号策略。 BMJSJ002 (涉密中间计算机) 设备配置日志功能,对用户的登录帐号、登录状态、登录时间等行为采用纸质记录。 密码应当在复杂度、长度和生存期上符合规定。机密级计算机密码长度至少为10位,生存期为7天 BMJSJ003 〔非涉密中间计算机) 对于采用动态口令认证的设备,应当配置当用户连续认证失败次数超过3次(含),锁定该用户使用的帐号策略。 BMJSJ003 〔非涉密中间计算机) 设备配置日志功能,对用户的登录帐号、登录状态、登录时间等行为采用纸质记录。 3、帐户锁定策略配置 BMJSJ001 〔涉密计算机) 帐户锁定策略对于釆用动态口令配置 认证的设备,应当配置当用户连续认证失败次数超过3次(含),锁定该用户使用的帐号策略。 要求内容 4、系统审核策略配置 BMJSJ001 (涉密计算机) 系统审核策略设备配置日志功能,对配置 用户的登录帐号、登录状态、登录时间等行为进行日志记录。 要求内容 权限指派策略配置 要求内容 5、权限指派策略配置(多人共用一台计算机时) BMJSJ001 BMJSJ002 BMJSJ003 (涉密计算机) (涉密中间计算机) 〔非涉密中间计算机) 对于多人共用一台对于多人共用一台对于多人共用一台计算机计算机的情况,应当划计算机的情况,应当划的情况,应当划分用户专分用户专用磁盘,并且分用户专用磁盘,并且用磁盘,并且设置严格的设置严格的访问权限。 设置严格的访问权限。 访问权限。
1
因篇幅问题不能全部显示,请点此查看更多更全内容