GAT 1252-2015 公安信息网计算机操作系统安全配置基本要求

中华人民共和国公安部 发布

GA/T12522015

本标准按照GB/T1.1一2009给出的规则起草。 本标准由公安部科技信息化局提出。 本标准由公安部计算机与信息处理标准化技术委员会归口。 本标准起草单位：公安部科技信息化局、国家信息中心、公安部第三研究所、上海辰锐信息科技 公司。 本标准主要起草人：李江、刘蓓、许涛、刘爱江、李新友、邵旭东、陈家明

GA/T12522015

质量标准计算机操作系统安全配置基本要

本标准规定了公安信息网计算机终端和服务器操作系统的身份鉴别、访问控制、资源控制、人侵防 范、剩余信息清除、应用安全和安全审计等安全配置基本要求。 本标准适用于公安信息网计算机终端和服务器操作系统的安全管理

3身份鉴别配置基本要求

身份鉴别配置应符合如下基本要求： 限制账户连续登录操作系统失败次数，超过该次数后锁定账户； 设置超过非法登录次数限制后锁定账户的时间； ） 设置操作系统账户口令： 1）有足够的长度； 2）包括大小写字母、数字或特殊字符； 3）设置有效期； 可视情启用生物特征识别或证书认证等多种身份鉴别方式； 在系统从休眼或挂起状态唤醒时提示输入口令

4访问控制配置基本要求

访问控制配置应符合如下基本要求： a) 禁用操作系统的来宾账户和无用的内置账户，如任何人账户（Everyone）和产品支持账户（S port) ; b) 禁止匿名账户访问操作系统； c 重命名操作系统默认账户名称，禁用账户的默认口令； d) 限制具有远程访问、卷维护任务、枚举账户信息、设定进程优先级、更改计算机内部时钟、调 系统程序、驱动安装或监视系统性能等权限的账户范围； e）在远程访问时启用安全通道功能。

访问控制配置应符合如下基本要求： 电） 禁用操作系统的来宾账户和无用的内置账户，如任何人账户（Everyone）和产品支持账户（Sup port) ; b） 禁止匿名账户访问操作系统； C） 重命名操作系统默认账户名称，禁用账户的默认口令； 限制具有远程访问、卷维护任务、枚举账户信息、设定进程优先级、更改计算机内部时钟、调试 系统程序、驱动安装或监视系统性能等权限的账户范围； e）在远程访问时启用安全通道功能

GA/T 12522015

5资源控制配置基本要求

6入侵防范配置基本要求

入侵防范配置应符合如下基本要求： 启用操作系统自带防火墙； b) 启用操作系统定期备份功能； 限制未签名应用程序的安装和运行； d) 加强账户口令存储的加密算法强度； e) 启用操作系统的安全登录界面。

1余信息清除配置基本要

剩余信息清除配置应符合如下基本要求： a）在关闭操作系统时启用清除虚拟内存页面文件功能； b）在关闭浏览器时启用清除临时文件夹和历史记录功能

空调标准规范范本8应用安全配置基本要求

终端应用安全配置应符合如下基本要求！

启用数据执行保护功能，防止应用软件缓冲区溢出攻击； b) 启用屏幕保护程序，并设置启用时间； C) 限制浏览器下载和安装未签名的插件、控件； 在办公软件打开时禁止宏自动运行功能； e) 启用邮件附件恶意代码查杀功能。

服务器应用安全配置应满足8.1a)～c)的要求

9安全审计配置基本要求

GA/T12522015

终端安全审计配置应符合如下基本要求： 启用日志审核机制，设置日志文件大小，写满后应启用自动备份日志文件功能； 记录本地账户的创建、更改、删除、启用、禁用和重命名等操作信息； 记录本地账户登录和注销、客体访问、配置策略变更和特权使用等操作信息； d 记录更改系统时间、系统启动和关闭、加载系统组件和审核事件丢失等系统事件信息； e) 无法记录上述b)d)安全日志时系统应给予警告

终端安全审计配置应符合如下基本要求： 启用日志审核机制，设置日志文件大小，写满后应启用自动备份日志文件功能； b) 记录本地账户的创建、更改、删除、启用、禁用和重命名等操作信息； 记录本地账户登录和注销、客体访问、配置策略变更和特权使用等操作信息； d) 记录更改系统时间、系统启动和关闭、加载系统组件和审核事件丢失等系统事件信息； 无法记录上述b)～d)安全日志时系统应给予警告

螺旋钢管标准服务器安全审计配置应符合如下基本要求： a）满足9.1的要求； b）记录系统访问控制列表中客体的访问信息； c）记录非本地账户访间服务器操作系统的操作信息