单机版档案软件符合国家保密要求的落地实操配置全步骤指南

发布时间: 2026年06月02日 04:00:02 来源: 安答联动浏览量: 0

一、前置环境合规核查（必做，否则后续配置无效）

1. 硬件环境核查

必须使用无无线功能的物理机，禁止用虚拟机、云主机、带WiFi/蓝牙/4G模块的设备，具体操作：首先拆开机箱拔掉外置无线网卡、蓝牙模块；如果是不可拆解的笔记本，重启按对应按键（华硕主板按Del、联想按F2、惠普按F10）进入BIOS，找到「Wireless Support」「Bluetooth」「Camera」「Auto Mount USB」选项全部设为Disabled，保存退出后重启生效。

2. 操作系统合规核查

优先使用统信UOS桌面专业版1060以上/银河麒麟桌面V10 SP2以上国产操作系统，也可使用Windows 10企业版LTSC 2021（必须关闭自动更新）。安装完成后先卸载所有第三方浏览器、娱乐类软件，按Win+R输入gpedit.msc打开组策略，依次进入「计算机配置-Administrative模板-网络-网络连接」，将「禁止访问LAN连接组件的属性」设为启用，同时禁止新建任何出站、入站连接，仅保留档案软件必要的本地端口。最后给系统设置开机强密码：8位以上，包含大小写字母、数字、特殊符号，每90天强制更换。

二、档案软件本身合规配置操作

1. 安装前校验

必须获取带国家保密科技测评中心出具的《涉密信息系统产品检测证书》的安装包，安装前先校验安装包哈希值，确认无篡改再安装： Windows系统打开cmd，输入如下命令： ```certutil -hashfile 你的安装包路径\安装包名称.exe MD5``` 国产系统打开终端，输入如下命令： ```md5sum 你的安装包路径/安装包名称.deb``` 将输出的哈希值和厂商提供的官方值完全一致再继续，否则禁止安装。

2. 安装过程配置

安装路径必须选非系统盘的加密分区，提前给目标分区开启加密：Windows右键对应分区选择「启用BitLocker」，选择密码解锁，恢复密钥保存到离线U盘（禁止存本地），加密完成后再启动安装。安装全程禁止勾选「允许远程访问」「云同步」「自动上传日志」「自动更新」所有联网相关选项，安装完成后立刻禁用软件联网权限： Windows系统进入「控制面板-Windows Defender防火墙-高级设置-出站规则-新建规则」，选择「程序-找到档案软件主程序exe-阻止连接-应用到所有网络」，命名为「禁止档案软件联网」后保存。国产系统打开终端输入命令： ```sudo ufw deny from any to any app 档案软件进程名```

3. 软件内部权限配置

单机版档案软件符合国家保密要求的落地实操配置全步骤指南

首次打开软件先设置管理员账户，禁止使用默认的admin/123456这类弱口令，管理员密码规则和系统开机密码一致，且和系统密码不重复。单独创建普通用户账户，仅授予档案查询、录入权限，禁止普通用户拥有删除、导出、修改配置的权限。进入「软件设置-安全设置-审计日志」，勾选记录所有登录、查询、修改、删除、导出操作，日志保留时间不低于6个月，禁止手动删除审计日志。进入「显示设置-水印」，勾选「打开档案自动显示水印」，水印内容包含「用户姓名+操作时间+设备编号」，关闭用户自定义水印的权限。

三、数据存储与传输保密配置

1. 档案数据加密存储

将软件默认的档案存储路径修改到之前创建的加密分区内，进入「存储设置-数据加密」，选择AES256加密算法，设置独立的16位以上混合字符加密密钥，密钥和系统密码、软件管理员密码均不重复，密钥记录在离线密码本中，禁止存储在任何电子设备里。定期备份数据必须使用经过保密检测的空白U盘/移动硬盘，禁止用带存储功能的手机、消费级移动设备备份，备份完成后介质锁入保密柜，每次备份后运行软件自带的完整性校验功能确认备份文件无损坏。

2. 外部数据导入导出管控

禁止在非涉密环境下导入导出档案数据，确需导出的必须先走单位保密审批流程，审批通过后导出的文件自动加密，直接存入涉密存储介质，禁止存入非涉密介质。导入数据前必须用涉密版杀毒软件对导入文件做全盘病毒查杀，确认无风险后再导入，禁止导入来源不明的文件，禁止导入涉密数据到非涉密单机版档案软件中。