01

计算机设置要求:


(1)涉密计算机硬件防护工作完成后,可以进行设置防护。首先,信息化管理部门根据使用部门业务需求和设备所确定的秘密等级,可以对设备进行操作系统重装(应当选用非家庭版操作系统)。这是因为刚刚购买的计算机已经安装的操作系统会附带一些不必要的应用软件甚至有可能被不法分子植入窃密程序,因而定为涉密计算机的新机,有条件的均需要重装操作系统。

(2)操作系统重装后,每台涉密计算机都需要设置BIOS口令,其口令长度(不少于10个字符)、复杂性也应该符合国家保密标准规定。如果所使用的涉密计算机支持设置系统管理员BIOS口令,还需要分别设置系统管理员和用户登录的BIOS口令,并且系统管理员口令由信息化管理部门统一管控。在日常使用过程中,禁止以任何方式停止、复原或绕过BIOS直接引导操作系统,以防给涉密计算机带来系统层面的风险隐患。

(3)除进行BIOS口令设置外,还应对涉密计算机以符合国家保密标准要求的方式进行身份鉴别,当采用IC卡加PIN码、USB Key加PIN码、生理特征识别 或者其他鉴别方式进行身份鉴别时,一定要注意选用通过国家保密行政管理部门批准的鉴别方式或产品,这样才能确保身份鉴别的效果和可靠性。在设置口令(PIN)码时,应当根据涉密计算机的涉密等级,设置符合长度、复杂性要求的口令(PIN码),并定期进行更换,保证口令的防护效果。

(4)完成身份鉴别设置工作后,要在操作系统中对涉密计算机用户管理策略进行设置,具体设置方法如下。

在Windows7系统的“计算机管理”中,单机左侧的“本地用户和组—用户”,为每个使用人设置不同的用户账户,并按照最小授权原则将用户设置为User组(一般用户)。

然后在“本地安全策略”中,左侧选择“账户策略”下的“密码策略”,设置密码策略。其中,秘密级涉密计算机用户密码设置要求为8个字符,机密级涉密计算机用户密码设置要求为10个字符,并对用户密码的使用期限进行设置(秘密级最长为30天,机密级最长为7天)。

(5)设置完密码策略后,点选“密码策略”下面的“账户锁定策略”,进入“账户锁定阈值”,设置为“5”,确保当用户连续认证失败次数超过5次(含),账户就会被锁定。注意,如果数字设置为0,则为不锁定。

(6)最后,要对涉密计算机进行屏幕保护设置。以秘密级计算机为例,可在Windows7系统的电脑桌面单击右键,在下拉菜单中找到“个性化”选项点击进入,在“个性化”界面中找到右下方的“屏幕保护程序”点击进入,勾选“在恢复时显示登陆屏幕”并将右边调整等待分钟数设为“10”。


做好保密管理的软实力




02

环境防护要求


在涉密计算机硬件防护、设置防护和软件防护工作都完成后,就可以将涉密计算机放置到使用环境。涉密计算机应当放置在保密要害部位内,而且保密要害部位需要按要求配置“三铁一器”(防盗门、防盗铁窗、密码保险柜和红外感应报警器)。保密要害部位的设计和线路铺设,应该考虑红黑隔离要求。所以,施工前要查阅相关保密标准要求,按照规定,保持大于1米的安全距离,可以有效防止电磁泄密。

在对涉密计算机进行供电时,也要考虑安全隔离要求,例如,涉密计算机使用的普通插座一定不要给手机、移动终端等移动通信设备和非涉密信息设备使用,一旦出现混用,电磁泄密的风险就会大大增加,前面所做的预防工作就可能功亏一篑,可通过配备红黑隔离电源解决此问题。

在布局涉密计算机的位置时,显示器、投影仪屏幕不要正面朝门、窗户、透明隔离过道和其他容易直视的位置,而且,机密级涉密计算机的显示设备应当采取相应的物理隔离防护措施,通过这种布局和防护,可以有效防止显示内容被非授权查看和获取。

如果因业务需要,单位配有专供外出携带的涉密计算机,那么在非带出使用时间内,外出携带的涉密计算机要由信息化管理部门或保密工作机构统一放置在涉密场所的密码保险柜中。此外,涉密计算机在带出使用期间,一定要一直处于使用责任人控制范围内,防止涉密计算机丢失或被盗导致国家秘密泄露。


建好保密管控的硬实力



内容来源:《涉密计算机管理实务》