当前位置:文档之家 › 涉密单机物理安全策略

涉密单机物理安全策略

  • 格式:docx
  • 大小:87.64 KB
  • 文档页数:38

下载文档原格式

  / 38
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

重庆大学涉密计算机安全策略

二〇一〇年七月

目录

一涉密单机物理安全策略 (3)

二涉密单机运行管理策略 (5)

三涉密单机信息安全策略 (14)

四涉密单机存储备份与恢复策略 (17)

五涉密单机应急计划和响应策略 (20)

六涉密单机病毒与恶意代码防护策略 (28)

七涉密单机身份鉴别策略 (31)

八涉密单机访问控制策略 (33)

九安全审计策略 (36)

第一部分涉密单机物理安全策略

1.定义

物理安全策略规定了涉密单机与国际互联网和其他公共信息网络

实行物理隔离的防护要求。

2.适用范围

依据BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、《武器装备科研生产单位保密资格审查认证管理办法》和《重庆大学保密工作制度》等相关的标准、办法和规定,此安全策略适用于重庆大

学涉密单机的物理安全防护。

3.物理隔离要求

物理隔离是指与国际互联网和其他公共信息网络没有任何直接

或间接的连接,保证在网络物理连接上是完全分离的,且没有任何公

用的存储信息。

具体要求包括

(1)环境安全:涉密单机所在工作环境,周围环境,安防部署等。

(2)所有涉密单机,严禁安装调制解调器或采取其他方式直接、间接

与国际互联网或其它外部公共网络连接,必须安装涉密单机违规外联

预警系统,对违规外联行为进行审计监控。

(3)重庆大学处理涉密信息的办公自动化设备禁止连接国际互联网或其它公共信息网络,使用连接国际互联网或其它公共信息网络的办公自动化设备严禁处理涉密信息。

(4)重庆大学处理涉密信息的办公自动化设备严禁连接内部非涉密单机;使用不与国际互联网和其它公共信息网络连接的非涉密办公自动化设备严禁处理涉密信息。

(5)必须拆除涉密便携式计算机中具有无线联网功能、蓝牙功能、红外功能的硬件模块;涉密单机禁止使用具有无线互联功能的外部设备(无线键盘、无线鼠标及其他无线互联的外围设备);严禁将各类涉密存储介质在非涉密计算机及网络、连接国际互联网的计算机及网络上使用;

第二部分涉密单机运行管理策略

1.定义

涉密单机运行管理策略规定了在涉密单机运行管理过程中对系统

配置、设备接入控制、权限划分等方面的管理要求。

2.适用范围

依据BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》、《武器装备科研生产单位保密资格审查认证管理办法》和《重庆大学保密工作制度》等相关的标准、办法和规定,此安全策略适用于重庆大

学涉密单机系统的运行管理。

3.系统配置要求

3.1操作系统安全配置

规定安装有Windows操作系统的主机应当遵循的操作系统安全性

设置标准,非Windows操作系统须设置相关安全配置。Windows XP必须升级至SP3,非Windows须及时升级相应系统补丁。

3.1.1用户账号控制

(1)密码策略:

默认情况下,对所有涉密单机强制执行标准密码策略。下表列出

了标准密码策略的设置以及针对本校的设置。

表1密码策略

(2)复杂性要求:

当组策略的“密码必须符合复杂性要求”设置启用后,要求密码必须为秘密8位、机密10位、绝密12位。它还要求密码中必须包含下面类别中至少三个类别的字符:

●英语大写字母A,B,C,…Z

●英语小写字母a,b,c,…z

●西方阿拉伯数字0,1,2, (9)

●非字母数字字符(例如!、$、#、%)

(3)内置默认账户安全

对不可删除的Windows内置用户账户要采取重命名或设置相关权限的方式来保证系统安全性。

(4)安全选项策略

涉密单机本地安全策略中的安全选项应根据以下设置按照具体

需要修改:

表2安全选项策略

计算机本地安全策略中的审核策略应根据以下设置按照具体需要修改:

表3计算机本地安全策略中的审核策略

表4服务管理配置3.1. 2服务

管理

Windows服务器首次安装时创建默认服务并将其配置为在系统启动时运行,禁用不必要的服务:

3.1.3补丁管理

安排专人每月从互联网正规途径下载windows升级补丁,经中间机进行病毒恶意代码查杀无误后,刻成光盘下发至各单机,由各单位信息安全员监督并指导进行。

3.1.4防病毒管理

见《计算机病毒与恶意代码防护策略》。

3.1.5其它配置安全

(1(配置boot.ini,禁止双重或多重启动,设置系统启动等待时间为零。

(2(设置在10分钟内主机没有任何活动(鼠标或键盘操作),系统将自动启动屏幕保护,并需要键入用户密码才能恢复。

4.设备接入控制要求

实行对设备接入管理,控制违规接入设备对系统资源的访问,并

进行安全审计。

5.权限划分要求

涉密单机的操作人员分为:用户、系统管理员、安全保密管理员及安全审计员。涉密单机应对用户和系统管理人员进行权限划分。

应对用户按最小授权原则进行权限划分。管理员间的权限应相互

制约,互相监督。

系统内配置管理权限要与安全审计权限分开。

5.1系统管理员权限要求

系统管理员的职责如下:

1、系统管理员在安全审计员的监督下开展工作,负责涉密单机

日常运行管理和维护及技术支持,保障单机的正常运行。

2、系统管理员负责制定和实施涉密单机的软硬件安装和策略设置,包括安装配置策略、各种系统服务策略、系统数据及日志的备份恢复策略以及系统运行环境的实施策略。

3、系统管理员负责制定和实施系统运行环境策略。硬件方面:电源、输入、输出设备等;软件方面:在系统上增加或删除其它软件,开启或关闭其它应用服务等;环境方面:温度、适度、灰尘等。

4、系统管理员应清楚了解涉密单机的运行条件、技术性能、空间分配、参数设置等技术指标,并熟练掌握其操作规程。

5、系统管理员应负责日常维护、故障分析及处理,并及时填写相关记录,根据需求及时对单机进行检测维护、数据备份、空间清理、系统维护、升级补丁等。

6、系统管理员应对系统日志、帐户配置数据定期备份。

7、系统管理员应配合安全保密管理员定期进行病毒的查杀工作,检查并修补存在的系统漏洞,确保系统管理操作符合安全管理策略。

8、系统管理员不可擅自改变计算机运行状态,对计算机运行安

相关主题