01

計算機設置要求:

（1）涉密計算機硬件防護工作完成後，可以進行設置防護。首先，信息化管理部門根據使用部門業務需求和設備所确定的秘密等級，可以對設備進行操作系統重裝（應當選用非家庭版操作系統）。這是因為剛剛購買的計算機已經安裝的操作系統會附帶一些不必要的應用軟件甚至有可能被不法分子植入竊密程序，因而定為涉密計算機的新機，有條件的均需要重裝操作系統。

（2）操作系統重裝後，每台涉密計算機都需要設置BIOS口令，其口令長度（不少于10個字符）、複雜性也應該符合國家保密标準規定。如果所使用的涉密計算機支持設置系統管理員BIOS口令，還需要分别設置系統管理員和用戶登錄的BIOS口令，并且系統管理員口令由信息化管理部門統一管控。在日常使用過程中，禁止以任何方式停止、複原或繞過BIOS直接引導操作系統，以防給涉密計算機帶來系統層面的風險隐患。

（3）除進行BIOS口令設置外，還應對涉密計算機以符合國家保密标準要求的方式進行身份鑒别，當采用IC卡加PIN碼、USB Key加PIN碼、生理特征識别 或者其他鑒别方式進行身份鑒别時，一定要注意選用通過國家保密行政管理部門批準的鑒别方式或産品，這樣才能确保身份鑒别的效果和可靠性。在設置口令（PIN）碼時，應當根據涉密計算機的涉密等級，設置符合長度、複雜性要求的口令（PIN碼），并定期進行更換，保證口令的防護效果。

（4）完成身份鑒别設置工作後，要在操作系統中對涉密計算機用戶管理策略進行設置，具體設置方法如下。

在Windows7系統的“計算機管理”中，單機左側的“本地用戶和組—用戶”，為每個使用人設置不同的用戶賬戶，并按照最小授權原則将用戶設置為User組（一般用戶）。

然後在“本地安全策略”中，左側選擇“賬戶策略”下的“密碼策略”，設置密碼策略。其中，秘密級涉密計算機用戶密碼設置要求為8個字符，機密級涉密計算機用戶密碼設置要求為10個字符，并對用戶密碼的使用期限進行設置（秘密級最長為30天，機密級最長為7天）。

（5）設置完密碼策略後，點選“密碼策略”下面的“賬戶鎖定策略”，進入“賬戶鎖定阈值”，設置為“5”，确保當用戶連續認證失敗次數超過5次（含），賬戶就會被鎖定。注意，如果數字設置為0，則為不鎖定。

（6）最後，要對涉密計算機進行屏幕保護設置。以秘密級計算機為例，可在Windows7系統的電腦桌面單擊右鍵，在下拉菜單中找到“個性化”選項點擊進入，在“個性化”界面中找到右下方的“屏幕保護程序”點擊進入，勾選“在恢複時顯示登陸屏幕”并将右邊調整等待分鐘數設為“10”。

做好保密管理的軟實力

02

環境防護要求

在涉密計算機硬件防護、設置防護和軟件防護工作都完成後，就可以将涉密計算機放置到使用環境。涉密計算機應當放置在保密要害部位内，而且保密要害部位需要按要求配置“三鐵一器”（防盜門、防盜鐵窗、密碼保險櫃和紅外感應報警器）。保密要害部位的設計和線路鋪設，應該考慮紅黑隔離要求。所以，施工前要查閱相關保密标準要求，按照規定，保持大于1米的安全距離，可以有效防止電磁洩密。

在對涉密計算機進行供電時，也要考慮安全隔離要求，例如，涉密計算機使用的普通插座一定不要給手機、移動終端等移動通信設備和非涉密信息設備使用，一旦出現混用，電磁洩密的風險就會大大增加，前面所做的預防工作就可能功虧一篑，可通過配備紅黑隔離電源解決此問題。

在布局涉密計算機的位置時，顯示器、投影儀屏幕不要正面朝門、窗戶、透明隔離過道和其他容易直視的位置，而且，機密級涉密計算機的顯示設備應當采取相應的物理隔離防護措施，通過這種布局和防護，可以有效防止顯示内容被非授權查看和獲取。

如果因業務需要，單位配有專供外出攜帶的涉密計算機，那麼在非帶出使用時間内，外出攜帶的涉密計算機要由信息化管理部門或保密工作機構統一放置在涉密場所的密碼保險櫃中。此外，涉密計算機在帶出使用期間，一定要一直處于使用責任人控制範圍内，防止涉密計算機丢失或被盜導緻國家秘密洩露。

建好保密管控的硬實力

内容來源：《涉密計算機管理實務》

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!