GA/T 1252-2015
基本信息
标准号: GA/T 1252-2015
中文名称:公安信息网计算机操作系统安全配置基本要求
标准类别:公共安全行业标准(GA)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:270581
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GA/T 1252-2015.Fundamental requirements for computer operating system security configuration of police information network.
1范围
GA/T 1252规定了公安信息网计算机终端和服务器操作系统的身份鉴别、访问控制、资源控制、人侵防范、剩余信息清除、应用安全和安全审计等安全配置基本要求。
GA/T 1252适用于公安信息网计算机终端和服务器操作系统的安全管理。
2缩略语
下列缩略语适用于本文件。
IPC:进程间通信( Inter Process Communication)
RPC:远程过程调用协议( Remote Procedure Call Protocol)
SNMP :简单网络管理协议( Simple Network Management Protocol)
SYN- ACK:同步确认(Synchronous Acknowledgement)
WIFI:无线保真( Wireless Fidelity)
3身份鉴别配置基本要求
身份鉴别配置应符合如下基本要求:
a)限制账户连续登录操作系统失败次数,超过该次数后锁定账户;
b)设置超过非法登录次数限制后锁定账户的时间;
c) 设置操作系统账户口令:
1) 有足够的长度;
2)包括大小写字母 .数字或特殊字符;
3)设置有 效期;
d)可视情启用生物特征识别或证书认证等多种身份鉴别方式;
e)在系统从休眠或挂起状态唤醒时提示输人口令。
1范围
GA/T 1252规定了公安信息网计算机终端和服务器操作系统的身份鉴别、访问控制、资源控制、人侵防范、剩余信息清除、应用安全和安全审计等安全配置基本要求。
GA/T 1252适用于公安信息网计算机终端和服务器操作系统的安全管理。
2缩略语
下列缩略语适用于本文件。
IPC:进程间通信( Inter Process Communication)
RPC:远程过程调用协议( Remote Procedure Call Protocol)
SNMP :简单网络管理协议( Simple Network Management Protocol)
SYN- ACK:同步确认(Synchronous Acknowledgement)
WIFI:无线保真( Wireless Fidelity)
3身份鉴别配置基本要求
身份鉴别配置应符合如下基本要求:
a)限制账户连续登录操作系统失败次数,超过该次数后锁定账户;
b)设置超过非法登录次数限制后锁定账户的时间;
c) 设置操作系统账户口令:
1) 有足够的长度;
2)包括大小写字母 .数字或特殊字符;
3)设置有 效期;
d)可视情启用生物特征识别或证书认证等多种身份鉴别方式;
e)在系统从休眠或挂起状态唤醒时提示输人口令。
标准图片预览
标准内容
ICS35.020
中华人民共和国公共安全行业标准GA/T1252—2015
公安信息网
计算机操作系统安全配置基本要求Fundamental requirements for computer operating system securityconfiguration of police information network2015-05-26发布
中华人民共和国公安部
2015-05-26实施
本标准按照GB/T1.1一2009给出的规则起草。本标准由公安部科技信息化局提出。本标准由公安部计算机与信息处理标准化技术委员会归口。GA/T1252—2015
本标准起草单位:公安部科技信息化局、国家信息中心、公安部第三研究所、上海辰锐信息科技公司。
本标准主要起草人:李江、刘蓓、许涛、刘爱江、李新友、邵旭东、陈家明iiKANiKAca
1范围
公安信息网
计算机操作系统安全配置基本要求GA/T1252—2015
本标准规定了公安信息网计算机终端和服务器操作系统的身份鉴别、访问控制、资源控制、人侵防范、剩余信息清除、应用安全和安全审计等安全配置基本要求,本标准适用于公安信息网计算机终端和服务器操作系统的安全管理缩略语
下列缩略语适用于本文件。
IPC:进程间通信(InterProcessCommunication)RPC:远程过程调用协议(RemoteProcedureCallProtocol)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)SYN-ACK:同步-确认(Synchronous-Acknowledgement)WIFI:无线保真(WirelessFidelity)身份鉴别配置基本要求
身份鉴别配置应符合如下基本要求:a
限制账户连续登录操作系统失败次数,超过该次数后锁定账户;设置超过非法登录次数限制后锁定账户的时间;b)免费标准下载网bzxz
设置操作系统账户口令:
1)有足够的长度;
2)包括大小写字母、数字或特殊字符;3)设置有效期;
可视情启用生物特征识别或证书认证等多种身份鉴别方式:d)
在系统从休眠或挂起状态唤醒时提示输入口令。访问控制配置基本要求
访问控制配置应符合如下基本要求:a)禁用操作系统的来宾账户和无用的内置账户,如任何人账户(Everyone)和产品支持账户(Support);
禁正匿名账户访问操作系统;
重命名操作系统默认账户名称,禁用账户的默认口令;限制具有远程访问、卷维护任务、枚举账户信息、设定进程优先级、更改计算机内部时钟、调试d)
系统程序、驱动安装或监视系统性能等权限的账户范围;e)
在远程访问时启用安全通道功能。1
iiiKAoNiKAca
GA/T1252—2015
5资源控制配置基本要求
5.1终端
终端资源控制配置应符合如下基本要求:a)
禁用非授权的远程协助、蓝牙支持、剪贴薄远程连接、错误报告发送、SNMP、Telnet和WIFI等存在安全风险的服务;
禁用操作系统默认共享,限制可访问的命名管道,例如IPC$管道;b)
在应用程序提升权限操作时启用安全配置环境进行身份认证;限制介质插人驱动器后自动运行;关闭非法与无用的监听端口,例如138、139、445等;在TCP连接请求未确认时限制SYN-ACK数据包重复次数;禁止未经验证的RPC连接和调用:禁止发现和请求所在网络的服务器、终端和路由器等位置拓扑情况h)
2服务器
服务器资源控制配置应符合如下基本要求:a)满足5.1b)~f)的要求;
禁用非授权的远程协助,蓝牙支持,错误报告发送,传真,打印多任务缓存,SNMP服务,Telnet和WIFI等存在安全风险的服务;限制与服务器闲置会话连接的最长时间,超过时长则强制注销;对通信数据包启用数字签名功能d)
入侵防范配置基本要求
人侵防范配置应符合如下基本要求:a)启用操作系统自带防火墙;
启用操作系统定期备份功能;
限制未签名应用程序的安装和运行:加强账户口令存储的加密算法强度;d)
启用操作系统的安全登录界面。剩余信息清除配置基本要求
剩余信息清除配置应符合如下基本要求:a)在关闭操作系统时启用清除虚拟内存页面文件功能:b)在关闭浏览器时启用清除临时文件夹和历史记录功能。8应用安全配置基本要求
8.1终端
终端应用安全配置应符合如下基本要求:2
iiiKAoNikAca
启用数据执行保护功能,防止应用软件缓冲区溢出攻击;启用屏幕保护程序,并设置启用时间;限制浏览器下载和安装未签名的插件、控件:在办公软件打开时禁止宏自动运行功能;启用邮件附件恶意代码查杀功能。服务器
服务器应用安全配置应满足8.1a)~c)的要求。安全审计配置基本要求
终端安全审计配置应符合如下基本要求:a)
GA/T1252—2015
启用日志审核机制,设置日志文件大小,写满后应启用自动备份日志文件功能;记录本地账户的创建、更改、删除、启用、禁用和重命名等操作信息;b)
记录本地账户登录和注销、客体访问、配置策略变更和特权使用等操作信息;记录更改系统时间、系统启动和关闭、加载系统组件和审核事件丢失等系统事件信息;无法记录上述b)~d)安全日志时系统应给予警告。服务器
服务器安全审计配置应符合如下基本要求:a)
满足9.1的要求;
记录系统访问控制列表中客体的访问信息;记录非本地账户访问服务器操作系统的操作信息。-iiKAoNniKAca
GA/T1252-2015
中华人民共和国公共安全
行业标准
公安信息网
计算机操作系统安全配置基本要求GA/T1252—2015
中国标准出版社出版发行
北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16号(100045)网址:gb168.cn
服务热线:400-168-0010
010-68522006
2015年8月第一版
书号:1550662-28865
版权专有
侵权必究
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T1252—2015
公安信息网
计算机操作系统安全配置基本要求Fundamental requirements for computer operating system securityconfiguration of police information network2015-05-26发布
中华人民共和国公安部
2015-05-26实施
本标准按照GB/T1.1一2009给出的规则起草。本标准由公安部科技信息化局提出。本标准由公安部计算机与信息处理标准化技术委员会归口。GA/T1252—2015
本标准起草单位:公安部科技信息化局、国家信息中心、公安部第三研究所、上海辰锐信息科技公司。
本标准主要起草人:李江、刘蓓、许涛、刘爱江、李新友、邵旭东、陈家明iiKANiKAca
1范围
公安信息网
计算机操作系统安全配置基本要求GA/T1252—2015
本标准规定了公安信息网计算机终端和服务器操作系统的身份鉴别、访问控制、资源控制、人侵防范、剩余信息清除、应用安全和安全审计等安全配置基本要求,本标准适用于公安信息网计算机终端和服务器操作系统的安全管理缩略语
下列缩略语适用于本文件。
IPC:进程间通信(InterProcessCommunication)RPC:远程过程调用协议(RemoteProcedureCallProtocol)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)SYN-ACK:同步-确认(Synchronous-Acknowledgement)WIFI:无线保真(WirelessFidelity)身份鉴别配置基本要求
身份鉴别配置应符合如下基本要求:a
限制账户连续登录操作系统失败次数,超过该次数后锁定账户;设置超过非法登录次数限制后锁定账户的时间;b)免费标准下载网bzxz
设置操作系统账户口令:
1)有足够的长度;
2)包括大小写字母、数字或特殊字符;3)设置有效期;
可视情启用生物特征识别或证书认证等多种身份鉴别方式:d)
在系统从休眠或挂起状态唤醒时提示输入口令。访问控制配置基本要求
访问控制配置应符合如下基本要求:a)禁用操作系统的来宾账户和无用的内置账户,如任何人账户(Everyone)和产品支持账户(Support);
禁正匿名账户访问操作系统;
重命名操作系统默认账户名称,禁用账户的默认口令;限制具有远程访问、卷维护任务、枚举账户信息、设定进程优先级、更改计算机内部时钟、调试d)
系统程序、驱动安装或监视系统性能等权限的账户范围;e)
在远程访问时启用安全通道功能。1
iiiKAoNiKAca
GA/T1252—2015
5资源控制配置基本要求
5.1终端
终端资源控制配置应符合如下基本要求:a)
禁用非授权的远程协助、蓝牙支持、剪贴薄远程连接、错误报告发送、SNMP、Telnet和WIFI等存在安全风险的服务;
禁用操作系统默认共享,限制可访问的命名管道,例如IPC$管道;b)
在应用程序提升权限操作时启用安全配置环境进行身份认证;限制介质插人驱动器后自动运行;关闭非法与无用的监听端口,例如138、139、445等;在TCP连接请求未确认时限制SYN-ACK数据包重复次数;禁止未经验证的RPC连接和调用:禁止发现和请求所在网络的服务器、终端和路由器等位置拓扑情况h)
2服务器
服务器资源控制配置应符合如下基本要求:a)满足5.1b)~f)的要求;
禁用非授权的远程协助,蓝牙支持,错误报告发送,传真,打印多任务缓存,SNMP服务,Telnet和WIFI等存在安全风险的服务;限制与服务器闲置会话连接的最长时间,超过时长则强制注销;对通信数据包启用数字签名功能d)
入侵防范配置基本要求
人侵防范配置应符合如下基本要求:a)启用操作系统自带防火墙;
启用操作系统定期备份功能;
限制未签名应用程序的安装和运行:加强账户口令存储的加密算法强度;d)
启用操作系统的安全登录界面。剩余信息清除配置基本要求
剩余信息清除配置应符合如下基本要求:a)在关闭操作系统时启用清除虚拟内存页面文件功能:b)在关闭浏览器时启用清除临时文件夹和历史记录功能。8应用安全配置基本要求
8.1终端
终端应用安全配置应符合如下基本要求:2
iiiKAoNikAca
启用数据执行保护功能,防止应用软件缓冲区溢出攻击;启用屏幕保护程序,并设置启用时间;限制浏览器下载和安装未签名的插件、控件:在办公软件打开时禁止宏自动运行功能;启用邮件附件恶意代码查杀功能。服务器
服务器应用安全配置应满足8.1a)~c)的要求。安全审计配置基本要求
终端安全审计配置应符合如下基本要求:a)
GA/T1252—2015
启用日志审核机制,设置日志文件大小,写满后应启用自动备份日志文件功能;记录本地账户的创建、更改、删除、启用、禁用和重命名等操作信息;b)
记录本地账户登录和注销、客体访问、配置策略变更和特权使用等操作信息;记录更改系统时间、系统启动和关闭、加载系统组件和审核事件丢失等系统事件信息;无法记录上述b)~d)安全日志时系统应给予警告。服务器
服务器安全审计配置应符合如下基本要求:a)
满足9.1的要求;
记录系统访问控制列表中客体的访问信息;记录非本地账户访问服务器操作系统的操作信息。-iiKAoNniKAca
GA/T1252-2015
中华人民共和国公共安全
行业标准
公安信息网
计算机操作系统安全配置基本要求GA/T1252—2015
中国标准出版社出版发行
北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16号(100045)网址:gb168.cn
服务热线:400-168-0010
010-68522006
2015年8月第一版
书号:1550662-28865
版权专有
侵权必究
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。