GA_T 1141-2014信息安全技术 主机安全等级保护配置要求.pdf

ICS 35.240GAA 90中华人民共和国公共安全行业标准GA/T息安全技术主机安全等级保护配置要求Information security technology--Computer configuration requirements for security classified protection2014-03-14实施2014-03-14发布中华人民共和国公安部发布 中华人民共和国公共安全行业标准信息安全技术主机安全等级保护配置要求GA/T 1141—2014*中国标准出版社出版发行北京市朝阳区和平里西街甲2号（100029）北京市西城区三里河北街16号（100045）网址 总编室：（010）642753233发行中心：（010者服务部：（010国标准出版社秦皇岛印刷厂印刷各地新华书店经销*开本 880×123001/16印张 1.5　字数 38 千字2014年6月第一版　2014年6月第一次印刷书号：155066·2-27074如有印装差错由本社发行中心调换版权专有「侵权必究举报电话：（010 GA/T 1141--20鉴别过程安全配置应启用主机中的账户锁定策略，并设置以下内容：账户锁定阈值；b)复位账户锁定计数时间；c）账户锁定时间。用户名唯性应为不同的用户设置唯一的用户名。鉴别方式安全配置采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别（如：口令、数字证书、生物特征等）。远程管理安全配置（服务器适用）当需对服务器进行远程管理时，登录鉴别信息应以非明文形式在网络中传输。5.1.2安全标记采取安全机制（如：使用主机安全加固组件），对主机的重要信息资源设置敏感标记。5.1.3访问控制安全配置强制访问控制配置采取安全机制（如：使用主机安全加固组件），依据安全策略和主客体的敏感标记，控制主体对重要信息资源的访问。资源访问权限安全配置应对主机进行以下配置：a）将操作系统安装在 NTFS格式的文件系统中;b）仅系统管理员具有访问Windows 目录中的文件以及 system 和 system32 目录内的文件的权限；c)关闭所有不需要的端口；d）关闭所有不需要的共享目录;在注册表中,关闭匿名访问共享目录的权限。账户访问权限安全配置应对主机进行以下配置：a）禁用系统来宾账户；b）重命名系统默认账户；删除系统所有无用账户、过期账户；d）为不同用户分配不同的账户。管理用户角色安全配置 GA/T 1141—2014识，并授予其所需的最小权限。5.1.4安全审计安全配置审计记录内容安全配置件、策略更改事件、特权使用事件、系统资源异常事件。审计记录存储空间安全配置应对主机进行以下配置：a）1设置只有系统管理员组具有管理审核和安全日志的权限；b）设置安全性日志和系统日志的存储大小和覆盖策略审计进程安全配置设置与事件志相关的系统服务为自动启动。审计报表配置采取安全机制（如：使用主机安全加固组件），对审计记录数据进行分析，并生成审计报表。5.1.5剩余信息保护安全配置鉴别信息存储空间安全配置启用安全策略中的选项，保证登录时不显示上次的用户名。系统资源存储空间安全配置应对主机进行以下配置：a）采取安全机制（如：使用主机安全加固组件），对主机内的文件、目录进行安全删除，确保存储空间被释放或重新分配给其他用户前得到安全清除；b）启用安全策略中的选项，保证系统关机时，能够清除虚拟内存页面文件。5.1.6入侵防范安全配置入侵行为检测安全配置（重要服务器适用）应对主机进行以下配置：a）在重要服务器上安装主机型入侵检测系统或在重要服务器所在的网络中安装网络型入侵检测系统；配置入侵检测系统，使得系统能够记录人侵的源 IP、攻击类型、攻击目的、攻击时间，并设置以b)（下内容在发生严重人侵事件时提供报警。重要程序完整性检测安全配置采取安全机制（如：使用主机安全加固组件），对重要程序的完整性进行检测，并在检测到完整性受到破坏后，进行恢复。安装原则主机的操作系统应遵循最小安装的原则，仅安装需要的组件和应用程序。7 GA/T 1141—20补丁更新定期跟踪系统的补丁情况，并在验证补丁对主机中的应用无影响后，升级系统的安全补丁。5.1.7恶意代码防范安全配置应对主机进行以下配置：a）在主机上安装防恶意代码软件，及时更新防恶意代码软件版本和恶意代码库；b）在信息系统中安装网络防恶意代码产品，防恶意代码产品的版本和恶意代码库应及时更新；c）3统一管理恶意代码软件和恶意代码库；d）主机防恶意代码产品应具有与网络防恶意代码产品不同的恶意代码库。5.1.8资源控制安全配置终端接入控制安全配置应对主机进行以下配置：a）设置TCP/IP筛选、启用Windows防火墙或安装第三方个人防火墙