GA_T 1252-2015公安信息网计算机操作系统安全配置基本要求.pdf

ICS 35.020GAA 90中华人民共和国公共安全行业标准GA/T安信息网计算机操作系统安全配置基本要求Fundamental requirements for computer operating system securityconfiguration of police information network2015-05-26 发布2015-05-26实施中华人民共和国公安部发布 GA/T 1252—2015前 言本标准按照GB/T 1.1-2009给出的规则起草。本标准由公安部科技信息化局提出。本标准由公安部计算机与信息处理标准化技术委员会归口。本标准起草单位：公安部科技信息化局、国家信息中心、公安部第三研究所、上海辰锐信息科技公司。本标准主要起草人：李江、刘蓓、许涛、刘爱江、李新友、邵旭东、陈家明。I GA/T 1252-—2015公安信息网计算机操作系统安全配置基本要求1范围本标准规定了公安信息网计算机终端和服务器操作系统的身份鉴别、访问控制、资源控制、人侵防范、剩余信息清除、应用安全和安全审计等安全配置基本要求。2缩略语下列缩略语适用于本文件。IPC:进程间通信(Inter Process Communication)RPC:远程过程调用协议（Remote Procedure Call Protocol)SNMP:简单网络管理协议(Simple Network Management Protocol)SYN-ACK:同步-确认(Synchronous-Acknowledgement)WIFI无线保真(Wireless Fidelity)身份鉴别配置基本要求3.身份鉴别配置应符合如下基本要求：a）限制账户连续登录操作系统失败次数，超过该次数后锁定账户；b）设置超过非法登录次数限制后锁定账户的时间；c）设置操作系统账户口令：1）有足够的长度；2）包括大小写字母、数字或特殊字符；3）设置有效期；d）可视情启用生物特征识别或证书认证等多种身份鉴别方式；e）在系统从休眠或挂起状态唤醒时提示输入口令。4访问控制配置基本要求访问控制配置应符合如下基本要求：a）禁用操作系统的来宾账户和无用的内置账户，如任何人账户（Everyone)和产品支持账户（Support);禁止暨名账户访问操作系统；b)c）重命名操作系统默认账户名称，禁用账户的默认口令；d）限制具有远程访问、卷维护任务、枚举账户信息、设定进程优先级、更改计算机内部时钟、调试系统程序、驱动安装或监视系统性能等权限的账户范围；e）在远程访问时启用安全通道功能。1 GA/T 1252--20155资源控制配置基本要求5.1终端终端资源控制配置应符合如下基本要求：）禁用非授权的远程协助、蓝牙支持、剪贴簿远程连接、错误报告发送、SNMP、Telnet 和 WIFIa)等存在安全风险的服务；b）禁用操作系统默认共享，限制可访问的命名管道，例如IPC$管道；c）在应用程序提升权限操作时启用安全配置环境进行身份认证；限制介质插人驱动器后自动运行；d）e）关闭非法与无用的监听端口，例如138、139、445等；f）在TCP连接请求未确认时限制SYN-ACK数据包重复次数；禁止未经验证的 RPC连接和调用；g）h）禁止发现和请求所在网络的服务器、终端和路由器等位置拓扑情况。5.2服务器服务器资源控制配置应符合如下基本要求：a）满足 5.1b)～f)的要求;b）禁用非授权的远程协助、蓝牙支持、错误报告发送、传真、打印多任务缓存、SNMP服务、Telnet和WIFI 等存在安全风险的服务;c)限制与服务器闲置会话连接的最长时间，超过时长则强制注销；（P对通信数据包启用数字签名功能。6入侵防范配置基本要求人侵防范配置应符合如下基本要求：a）启用操作系统自带防火墙；b）启用操作系统定期备份功能；c）限制未签名应用程序的安装和运行；d）加强账户口令存储的加密算法强度；e）启用操作系统的安全登录界面。7剩余信息清除配置基本要求剩余信息清除配置应符合如下基本要求：a）在关闭操作系统时启用清除虚拟内存页面文件功能；b）在关闭浏览器时启用清除临时文件夹和历史记录功能。8应用安全配置基本要求8.1终端终端应用安全配置应符合如下基本要求：2 GA/T 1252-2015a）启用数据执行保护功能，防止应用软件缓冲区溢出攻击；b）启用屏幕保护程序，并设置启用时间；c）限制浏览器下载和安装未签名的插件、控件；d）在办公软件打开时禁止宏自动运行功能；e）启用邮件附件恶意代码查杀功能。8.2服务器服务器应用安全配置应满足8.la)～c)的要求。9安全审计配置基本要求9.1终端终端安全审计配置应符合如下基本要求：a）启用日志审核机制，设置日志文件大小，写满后应启用自动备份日志文件功能；b）