一、操作系统

1. win7以下操作系统版本的设备，若无业务需要，请将操作系统升级为win7或win10,或更换为win7或win10设备（建议升级或更换为win10）

2. Ｌｉｎｕｘ设备，或因业务无法升级操作系统的ｗｉｎｄｏｗｓ设备，要求设备仅安装、使用业务必须的软件

二、安全配置

1. 回收本地管理员账号

2. 启用Windows屏幕保护策略，并设置密码保护，等待时间最长为10分钟

3. 账号、密码要求

a. “密码最长使用期限”最长为90天。

b. “密码最短使用期限”大于等于1天（禁止设为0天）且小于最长使用期限，推荐为4-6天。

c. 停用“密码可逆加密”方式，新密码不得与密码历史中最近至少8个密码相同。

d. 账号密码必须启用复杂度要求。密码长度最小值6个

e. 应禁用系统来宾账号（Guest），如果系统中有IUSR_{System}账号，则其应只属于Guests组，而不属于其它任何组

f. “账号锁定时间”应至少为30分钟

g. “账号锁定阈值”至多为5次无效登录。

h. “复位账号锁定计数器”至少为30分钟。如果定义了“账号锁定阈值”，则该复位时间必须小于或等于“账号锁定时间”。

4. 关闭业务不必要的端口或服务（尤其是445等高危端口）

三、连入公司办公网的设备

1. Win设备请根据公司要求，安装一定的防护软件

2. Win系统需每月重启设备

3. 所有的设备，在业务允许的条件下，应该实施以下安全加固项（与业务有冲突的项可不实施）

a. 封闭USB口（使用防拆标签，标签可联系部门信息安全接口人或信息安全主管领取）

b. 禁止连接互联网

c. 关闭１０２４以下端口的入站流量，具体指导见如下链接指导

四、生产网、实验室网中设备

1. 通过防火墙与办公网间做了访问控制的，可开通设备访问补丁、病毒库服务器的防火墙策略，以实现补丁、病毒库的自动更新

2. 对于与办公网做了物理隔离的区域中的设备

a. Win7及以上操作系统版本的设备请根据公司要求，每月手动安装操作系统补丁

b. 每周更新病毒库

3. 所有的设备，在业务允许的条件下，应该实施以下安全加固项

a. 封闭U口（使用防拆标签）

b. 禁止连入公司办公网

c. 禁止连接互联网

d. 禁止安装邮箱并收发邮件

e. 关闭１０２４以下端口的入站流量

五、新采购设备接入公司办公网、生产网、实验网安全要求

1、新采购设备，禁止采购win7以下版本的操作系统设备

2、新设备接入公司网络前，需安装公司防病毒软件，并做全盘扫描，扫描通过后，方可接入

六、外来移动设备接入办公网、生产网、实验网安全要求

1、无业务需求，禁止外来设备（电脑、U盘等）接入公司网络

2、因业务需要，外来电脑接入网络的前提是：电脑已安装防病毒软件、病毒库为最新、全盘扫描没问题

3、因业务需要，使用U盘将资料拷出公司设备时，要求将U盘格式化后，才能使用

七、离线设备安全要求

离线设备未经安全扫描，禁止接入办公网、生产网、实验网