可直接落地的档案数字化网络安全防护措施实操指南

一、加工终端安全加固实操

终端是档案数字化的第一道防线，按以下步骤零门槛操作：

• 步骤1：重装裁剪纯净系统

  1. 下载微软官方纯净版Windows 10 LTSC 2021镜像，官方地址：https://www.microsoft.com/zh-cn/software-download/windows10ISO，禁止使用第三方GHOST系统；
  2. 安装完成后卸载所有非必要预装软件，关闭自动更新：路径为「设置→Windows更新→暂停更新」，选择最长暂停周期；
  3. 开启系统防火墙，仅保留扫描、打印、内网传输三个端口的放行规则，管理员CMD运行以下命令直接生效： ``` netsh advfirewall set allprofiles state on netsh advfirewall firewall delete rule all netsh advfirewall firewall add rule name="Scan" dir=in protocol=tcp localport=9100 action=allow netsh advfirewall firewall add rule name="Print" dir=in protocol=tcp localport=9101 action=allow netsh advfirewall firewall add rule name="InnerTransfer" dir=in protocol=tcp localport=8080 action=allow ```

• 步骤2：禁用外接设备与外部网络

  Win+R输入gpedit.msc打开组策略，依次进入「计算机配置→管理模板→系统→可移动存储访问」，将「所有可移动存储类：拒绝所有权限」设置为已启用；
  如果是内网专用加工终端，直接在设备管理器中禁用无线网卡、蓝牙模块，切断外网连接通道。

二、数据传输安全防护实操

禁止原始档案通过公网明文传输，必须按以下规则配置：

• 内网传输加密配置

  

  CentOS服务器端直接执行以下命令部署加密SFTP服务，所有配置可直接复制： ``` yum install -y openssh-server systemctl enable --now sshd 创建专用传输用户 useradd -m digitransfer passwd digitransfer ``` 修改/etc/ssh/sshd_config文件，替换为以下配置内容： ``` PermitRootLogin no AllowUsers digitransfer PasswordAuthentication yes PermitEmptyPasswords no Ciphers aes256-gcm@openssh.com,aes128-gcm@openssh.com MACs hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com Subsystem sftp internal-sftp ``` 重启服务生效： ``` systemctl restart sshd ``` 加工终端下载官方WinSCP连接，地址：https://winscp.net/download/WinSCP-5.21.5-Setup.exe，通过SFTP协议传输即可。

• 如果必须跨网传输，先将文件压缩加密后再传输，压缩密码要求16位以上随机字符串。

三、存储环节安全防护实操

3.1 静态数据加密

存储档案数据的分区必须加密，Windows端操作步骤：

• 打开此电脑，右键点击存储数据的分区，选择「启用BitLocker」
• 加密算法选择AES-256位加密，设置密码长度不低于16位，恢复密钥备份到单独的离线U盘，单独存放在安全区域，不要接入加工网络
• 等待加密完成，每次访问分区需要输入密码，加密不影响正常读写操作

3.2 数据备份落地

按3-2-1规则落地，无额外成本：

• 保存3份不同载体的档案数据备份
• 2份备份存储在本地不同类型介质（1份服务器硬盘、1份本地移动硬盘）
• 1份备份存储在离线异址介质（存放在异地库房的加密硬盘，全程不接入网络）

四、访问权限管控实操

所有账号按最小权限原则配置，具体操作：

• 加工终端：每个加工人员分配单独的标准账号，禁止使用管理员账号登录，操作路径：「设置→账户→家庭和其他用户→添加账户」，创建后修改账户类型为「标准用户」
• 服务器权限：按角色分配权限，加工人员仅拥有上传权限、管理人员仅拥有浏览权限、系统管理员仅拥有配置权限，Linux服务器ACL配置命令可直接运行： ``` groupadd digi_process useradd -G digi_process worker01 chown root:digi_process /data/digi/upload chmod 775 /data/digi/upload setfacl -d -m g:digi_process:rwx /data/digi/upload setfacl -m g:digi_process:wx /data/digi/upload ``` 该配置仅允许加工人员上传新文件，无法修改或删除已上传的档案，避免误操作或越权窃取。
• 所有账号密码要求16位以上，包含大小写、数字、特殊符号，每90天强制更新，禁止共享账号。

五、审计与应急防护实操

• 开启操作日志留存：Windows终端运行secpol.msc打开本地安全策略，进入「本地策略→审计策略」，开启登录事件、对象访问、策略更改三类审计，日志保存时间不低于6个月；
• 每月进行一次全终端病毒查杀，使用系统自带的Defender，管理员CMD运行命令即可： ``` "C:\Program Files\Windows Defender\MpCmdRun.exe" Scan -ScanType Full ``` 查杀结果导出留存，发现病毒后立即断网，格式化终端后重新开展加工。