档案软件单机版如何规范落地分级保护？适用于涉密单机附详细操作

一、前置准备（仅需3步，快速确认基础环境）

1.硬件环境：确认使用PC为物理隔离、无联网硬件接口禁用WIFI蓝牙USB仅授权读卡器的国产/非国产合规涉密单机，内存≥8GB，硬盘≥500GB（预留200GB以上加密区）。

2.系统环境：确认已安装Windows 10专业版/企业版（带BitLocker）或麒麟桌面操作系统V10/UOS桌面专业版V20（带全盘加密），已关闭系统自动更新、远程协助、来宾账户。

3.软件准备：

• 国产合规单机版档案软件：下载地址（以政务版通用软件为例）http://www.xxxx.gov.cn/xxxxx/archives-standalone.zip（解压密码：用户单位涉密资质编号后8位）
• 国产USB密钥驱动：下载地址同上，driver-usb-key.zip

二、系统层分级保护配置（Windows/UOS通用但分系统操作）

2.1 Windows系统配置

操作项1：系统账户强管控

• 按下Win+R键输入lusrmgr.msc，回车打开本地用户和组管理
• 删除所有无关账户，仅保留1个系统管理员账户（sa_archives）和1个普通档案操作账户（op_archives）
• 管理员账户设置密码规则：长度≥16位，包含大小写字母、数字、特殊字符，每90天强制更换（在用户属性-账户-密码选项卡中勾选“用户下次登录须更改密码”先设置临时密码，首次登录后强制改永久密码）
• 普通账户设置密码规则：长度≥12位，包含上述组合，每60天更换，禁用管理员权限

操作项2：USB仅授权读卡器

• 先插入合规涉密读卡器，Win+R输入devmgmt.msc，找到读卡器设备-属性-详细信息-硬件ID，复制第一行内容（如USB\VID_xxxx&PID_xxxx&REV_xxxx）
• Win+R输入gpedit.msc，依次打开计算机配置-管理模板-系统-可移动存储访问
• 启用“可移动磁盘：拒绝读取权限”“可移动磁盘：拒绝写入权限”“WPD设备：拒绝读取权限”“WPD设备：拒绝写入权限”
• 启用“允许安装与下列设备ID相匹配的设备”，点击“显示”，粘贴刚才复制的硬件ID，点击确定保存

操作项3：启用BitLocker全盘加密

• 右键点击系统盘（C盘）和档案存储盘（D盘），选择“启用BitLocker”
• 选择“使用密码解锁驱动器”，密码设置规则同管理员账户
• 选择“保存恢复密钥到USB密钥”，将密钥写入合规涉密专用恢复U盘（仅管理员保管）
• 勾选“加密整个驱动器”“使用新的加密模式”，点击“开始加密”（加密时间取决于硬盘大小，500GB约需2-4小时）

2.2 麒麟/UOS系统配置

操作项1：系统账户强管控

• 点击开始菜单-设置-用户账户，删除所有无关账户
• 创建管理员账户sa_archives和普通账户op_archives
• 终端执行密码策略配置命令： ```bash 设置密码最小长度 sudo sed -i 's/PASS_MIN_LEN 5/PASS_MIN_LEN 16/' /etc/login.defs 设置密码最大使用天数 sudo sed -i 's/PASS_MAX_DAYS 99999/PASS_MAX_DAYS 90/' /etc/login.defs 设置密码警告天数 sudo sed -i 's/PASS_WARN_AGE 7/PASS_WARN_AGE 7/' /etc/login.defs 立即更新普通账户密码策略 sudo chage -M 60 -W 7 op_archives ```

操作项2：USB仅授权读卡器

• 插入合规涉密读卡器，终端执行lsusb，复制读卡器的ID（如xxxx:xxxx）
• 终端创建USB白名单规则文件： ```bash sudo nano /etc/udev/rules.d/99-usb-whitelist.rules ```
• 粘贴完整规则内容： ```udev 禁用所有USB存储 SUBSYSTEM=="usb", ENV{DEVTYPE}=="usb_device", RUN+="/bin/sh -c 'echo 0 > /sys/$devpath/authorized'" 仅允许授权读卡器 SUBSYSTEM=="usb", ATTR{idVendor}=="xxxx", ATTR{idProduct}=="xxxx", RUN+="/bin/sh -c 'echo 1 > /sys/$devpath/authorized'" ``` （将xxxx:xxxx替换为刚才复制的读卡器ID）
• 保存规则（Ctrl+O回车，Ctrl+X退出），终端执行sudo udevadm control --reload-rules && sudo udevadm trigger生效

操作项3：启用全盘加密

• 点击开始菜单-系统工具-磁盘加密工具（麒麟）/UOS安全中心-数据安全-全盘加密
• 选择加密系统盘和所有非系统盘，设置密码规则同管理员账户
• 将恢复密钥导出到合规涉密专用恢复U盘（仅管理员保管）
• 重启系统完成加密（首次加密较慢，500GB约需3-5小时）

三、档案软件单机版自身配置

3.1 安装与USB密钥绑定

• 管理员账户登录，解压国产单机版档案软件，右键点击setup.exe（Windows）/install.sh（麒麟/UOS），选择“以管理员身份运行”（Windows）/sudo bash install.sh（终端）
• 按照安装向导默认路径（D:\Archives_Standalone）安装，安装完成后勾选“立即启动并进行USB密钥绑定”
• 插入管理员USB密钥（预装授权单位编号），输入软件管理员默认密码（12345678@Aa），点击“立即修改密码”，设置密码规则同系统管理员
• 选择“分级保护三级/二级配置”（根据单位资质选择），点击“确定绑定”

3.2 软件权限与日志配置

操作项1：设置角色权限

• 管理员USB密钥登录软件，点击“系统管理-角色管理”
• 默认保留“系统管理员”“档案录入员”“档案审核员”“档案利用员”4个角色，禁用“普通用户”角色
• 点击“系统管理-用户管理”，创建op_luru（录入员）、op_shenhe（审核员）、op_liyong（利用员）3个普通用户，分别绑定对应的角色和普通用户USB密钥
• 设置角色权限细分：
  • 系统管理员：仅系统配置、用户管理、密钥管理权限
  • 录入员：仅新增、编辑、删除草稿档案权限
  • 审核员：仅审核、发布已提交档案权限
  • 利用员：仅查阅、打印已发布档案权限，打印需插入审核员USB密钥授权

操作项2：开启全流程审计日志

• 管理员USB密钥登录软件，点击“系统管理-日志配置”
• 勾选“所有操作日志”“USB密钥插拔日志”“系统登录登出日志”“档案变更日志”“打印授权日志”
• 设置“日志存储路径”为D:\Archives_Standalone\Logs，设置“日志保留时间”为365天，勾选“日志自动加密”

四、分级保护配置验证

• Windows/UOS验证USB管控：插入普通U盘，检查是否无法读取/写入；插入合规读卡器，检查是否能正常读取
• 验证账户权限：普通用户登录系统/软件，检查是否无法修改系统设置/软件配置
• 验证日志记录：执行登录、新增档案、打印档案等操作，管理员登录软件检查是否有完整加密日志