信息设备和存储设备安全保密策略

第一条定义

XXXXXX信息设备和存储设备安全保密策略包括：物理环境安全、信息设备安全、存储介质安全、操作安全、信息交换安全、审计安全以及运维安全，本策略文件规定各项安全保密策略的配置要求。

第二条适用范围

本安全保密策略适用于XXXXXX信息设备和存储设备安全保密管理工作。

第三条安全目标

依据《中华人民共和国保守国家秘密法》、《中华人民共和国保守国家秘密法实施条例》、《武器装备科研生产单位保密资格认定办法》及《武器装备科研生产单位保密资格标准》（二级）等有关法律法规，结合公司实际情况，采用符合国家保密相关要求的技术和管理措施，对公司信息设备和存储设备中应当遵循的规则和要求进行了详细的叙述，以保障公司涉密信息安全。

第四条安全原则

运行规范、事先预防、分类管控、按责落实。

第五条安全方针

分类管理、责任到人，预防为主、积极防范，共同努力、保证安全。

第六条安全组织机构

保密委员会是公司保密管理的领导机构，贯彻国家有关保密工作的法律、法规、方针、政策，落实集团公司等上级单位及公司党支部关于保密工作的部署和要求，组织开展各项保密工作，指导、检查各部门保密工作，审议解决保密工作中的重大问题，督促落实有关重大泄密隐患的整改工作。

科技质量部是公司信息化及网络安全归口管理部门，负责信息系统、信息设备和存储设备的规划、建设、运行维护以及安全保密的监督管理工作，接受保密工作机构的指导、监督和检查。

壳体加工研发部是公司信息系统、信息设备和存储设备的运行维护机构，负责公司信息系统、信息设备和存储设备的日常运维和安全保密日常管理工作，接受信息化主管部门监督管理。

第七条安全管理人员

公司配备相应的技术管理人员对公司信息系统、信息设备和存储设备的安全保密工作进行专业化管理。安全保密管理员，负责落实安全保密技术防护措施、安全评估、用户权限设置。安全审计员，负责对安全保密管理员和运维人员的日常操作行为进行审计。系统管理员，负责定期进行病毒、木马和恶意程序的查杀、处理工作。

第八条安全保密产品和工具

公司涉密信息设备和存储设备使用的安全保密产品和工具主要有：

1. 涉密计算机及移动存储介质保密管理系统（三合一）；

2. 病毒防护：360杀毒；

3. 主机监控审计系统；

4. 输出审计：打印刻录监控与审计系统；

5. 电磁泄漏发射防护：视频干扰器、红黑隔离电源插座；

6. 保密技术检查工具。

第九条物理环境安全策略

涉密信息设备不得与互联网及其他任何信息网络有直接或间接的连接，保证在物理连接上是完全隔离的。具体物理环境安全策略如下：

1. 涉密信息设备和存储设备禁止采用有线或无线方式与互联网及其他任何信息网络的交换机、服务器、信息终端等设备进行连接；

支承板

2. 普通台式计算机作为涉密用途的，主机用铁箱锁住，确保用户不能私自拆开计算机机箱接触到硬盘等存储设备；

3. 涉密信息设备和存储设备连接的外部设备禁止采用有线或无线方式与互联网及其他信息网络的交换机、服务器、信息终端等设备进行连接；

4. 涉密计算机严禁安装调制解调器或采取其他方式直接、间接与互联网及其它外部信息网络连接；

糖浆罐

5. 涉密计算机严禁安装或使用任何无线设备，包括无线键盘、无线鼠标和无线网卡等；

6. 严禁将涉密存储介质在连接互联网的计算机及其它非涉密计算机中使用；

沼气储气罐

7. 采用电子门禁系统、视频监控系统和警报系统对保密室的人员出入情况进行监控；

8. 加强所处周边环境边界、涉密计算机和存储设备所在建筑物主要出入口的安全控制,外部人员进出实行登记制度。

第十条信息设备安全策略

1.涉密计算机安全策略

（1）确定涉密计算机密级。根据计算机处理的国家秘密信息的最高密级，确定该台计算机的密级，确定计算机密级应办理审批手续。

（2）建立完善的涉密计算机台账，台账中应至少包括编号、名称、型号、密级、用途、责任部门、责任人、放置地点、操作系统安装日期、硬盘序列号、IP地址（如有）、MAC地址、启用时间、使用情况（包括在用、停用、归库、维修、报废）等项目。

（3）涉密计算机应粘贴保密标识。保密标识中包含设备名称、密级、编号、分类、责任人、用途等信息。标识粘贴在设备明显位置，不可涂改，并与涉密信息的存储部件相关联。

（4）严禁将涉密计算机以有线或无线等任何连接方式接入互联网及其他任何信息网络。

（5）涉密计算机使用的安全保密产品应选择国产设备。所选产品必须通过国家保密局授权测评机构的检测，并获得产品证书。采购安全保密产品时应通过测评机构网站对证书有效性进行检查核对，并将检测报告和证书等相关材料归档管理。

（6）涉密计算机不得存在摄像头和无线网卡、蓝牙、红外等无线模块。

（7）严禁在涉密计算机上接入手机、无线鼠标、键盘等无线设备和非授权使用的存储介质。

（8）严禁未经审批擅自给涉密计算机连接设备，涉密计算机如需连接或移除打印机外部设备，应履行审批手续。涉密计算机输出涉密文件资料应办理审批和登记手续。

（9）涉密计算机必须配备并正确使用红黑电源滤波隔离插座（通过UPS设备供电的除外）。

（10）涉密计算机电磁辐射不满足安全警戒距离要求的，应更换为满足要求的低辐射计算机或采用一级视频干扰器进行防护。

（11）涉密计算机使用人不得私自格式化硬盘,如确因系统问题需要格式化的,必须先履行审批手续。禁止私自更换硬盘和其他硬件设备。

（12）涉密计算机不得私自重装操作系统，如确因系统问题需要重新安装的，必须先履行审批手续。

（13）涉密计算机不得随意安装软件，涉密计算机上禁止安装和存放与工作无关的软件或文件。设置软件白名单，对工具软件和应用软件集中管理，因工作需要确需安装非白名单软件的，必须履行软件安装审批。

（14）涉密计算机禁止删除存储介质及外部设备等日志记录。

（15）涉密计算机数据存储介质和移动存储介质发生故障后，如确需送外进行数据恢复的，应当履行审批程序，选择具有保密行政管理部门颁发的涉密信息数据恢复资质的单位进行维修，并由设备责任人和保密办派人共同负责设备送取工作。

（16）涉密计算机和移动存储介质需要报废处理时，必须送到国家保密行政管理部门指定的销毁机构进行销毁。

（17）涉密计算机必须设置BIOS管理口令、用户口令、操作系统登录口令、屏保口令，且不可为默认口令。开机时屏蔽启动菜单选项。涉密计算机必须在BIOS中设置硬盘为第一启动项，并禁止其他方式启动机器，防止通过光盘、USB介质等引导方式绕过身份鉴别策略直接访问涉密信息。计算机BIOS口令长度不少于8位（机密级10位），且为复杂密码；如不能满足10位的，以最长口令长度设置，口令更改周期不长于1个月（机密级不长于1周）。登陆操作系统采用USB Key + Pin码进行身份鉴别时Pin码长度不少于6位。强制使用屏幕保护功能，屏幕保护启动等待时间不超过为10分钟，屏保恢复时使用密码保护。

（18）涉密计算机应安装主机监控审计、防病毒等安全软件，审计日志应保存6个月以上，病毒库至少每两周升级一次，操作系统补丁每季度升级一次。

（19射击标靶）涉密计算机必须使用USB-Key进行登录，拔出USB-Key自动锁定计算机。用户身份鉴别成功后，当其空闲操作的时间超过规定值（通常为10分钟以内）后，在该用户需要执行其它操作之前，应对该用户重新进行身份鉴别。当用户身份鉴别尝试失败次数达到五次后，应进行登录锁定，同时形成审计事件并告警。

（20）涉密计算机应保留管理员账号（administrator）和用户日常使用账号，删除其他账号，禁用guest账号。

（21）涉密计算机安装三合一软件，策略配置按照第十三条2（1）节执行。

（22保健油）涉密计算机不得保留操作系统恢复分区和一键恢复功能。

（23）由于操作系统版本或软件冲突等特殊原因难以在涉密计算机上采取某项技术控制措施的，必须由运维部门根据具体情况进行技术分析和风险评估。经分析和评估后确认无法在技术上控制的，由运维部门、信息化主管部门与责任部门共同研究加强保密管理的措施，

保证安全可控，对该涉密计算机落实责任人，明确管理要求和具体措施，并由责任人书面签字确认。

3．多人共用涉密计算机安全策略

多人共用计算机除按照涉密计算机安全防护策略进行配置外，还需具备以下安全策略：

（1）共用一台涉密计算机的用户，原则上其密级和涉密信息知悉范围必须相同。

（2）多人共用的涉密计算机应安装支持多用户版本的客户端安全防护软件。

（3）应为每个用户分别设置唯一的用户标识，通过操作系统安全策略限制用户的权限（把用户加入到 power user组），通过安全软件的策略来限制每个用户使用注册表、组策略、设备管理器、命令提示符等操作。

（4）为每个用户划分一个独立的硬盘分区用于处理使用人信息。配置相应分区的访问权限、用户的环境变量和我的文档的所在位置，禁止用户访问其他用户分区。

4.互联网计算机安全策略

（1）建立互联网计算机台账，台账中至少包括编号、名称、型号、非密说明、用途、责任部门、责任人、放置地点、操作系统安装日期、硬盘序列号、IP地址（如有）、MAC地址、启用时间、使用情况（包括在用、停用、归库、维修、报废）等项目。

（2）互联网计算机粘贴标识，设备标识包含设备名称、非密说明、编号、分类、责任人、用途等信息。

（3）互联网计算机严禁处理涉密信息、严禁连接涉密介质，严禁使用涉密外部设备。

（4）互联网计算机实行实名上网，上网人员须严格遵守安全保密规定，公用互联网计算机及时清除互联网计算机内上传和下载信息，如实、详细登记使用记录。专人专用互联网计算机的使用由责任人负责，责任人不得将设备让他人使用，同时在进行打印、下载、发送邮件前进行审批并记录。

（5）使用互联网计算机发布信息必须办理审查审批手续。

（6）不得私自关闭互联网计算机的防病毒软件、防火墙，不得私自更改注册表。

（7）采取技术措施对互联网计算机上网行为进行审计，进行检查时将调阅审计日志。

（8）不得私自格式化硬盘、重装系统、更换硬盘和其他硬件设备，不得私自删除存储介质及外部设备等日志,如确需进行上述操作的,必须按照保密程序审批同意后,由安全保密管理员进行相关操作。

第十一条存储设备安全策略

（1）严禁将光盘、U盘等任何存储涉密信息的介质与互联网计算机或非涉密计算机连接。

（2）严禁在涉密计算机和非密计算机之间交叉使用移动存储介质。

（3）在涉密信息设备中不得使用非涉密移动存储介质，涉密信息设备中只能保留和使用涉密移动存储介质。所有涉密计算机安装涉密计算机及移动存储介质保密管理系统（三合一），通过技术手段确保非涉密移动存储介质和单位非受控移动存储介质无法在涉密计算机上使用，涉密移动存储介质无法在非涉密计算机上使用。

（4）移动存储介质应建立台账，台账中应包括编号、名称、型号、密级、用途、责任部门、放置地点、责任人、序列号、启用时间、使用情况等。

本文发布于:2024-09-22 22:25:55，感谢您对本站的认可！

本文链接：https://www.17tex.com/tex/4/128587.html

上一篇：NCRE上机考试U盘作弊原理分析及技术防范

下一篇：USB FTP server功能测试用例

标签：计算机涉密保密设备信息进行使用用户

留言与评论（共有 0 条评论）