os操作系统安全管理规范_030326_v3_fd.doc

中国石油信息安全标准 编号： 中国石油天然气股份有限公司 操作系统安全管理规范 （审阅稿） 版本号：V3 审阅人：王巍 中国石油天然股份有限公司 操作系统安全管理规范I 前 言 随着中国石油天然气股份有限公司（以下简称“中国石油” ）信息化建设的稳步推进，信息安全日 益受到中国石油的广泛关注，加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保 障。中国石油需要建立统一的信息安全管理政策和标准，并在集团内统一推广、实施。 本规范是依据中国石油信息安全的现状，参照国际、国内和行业相关技术标准及规范，结合中国 石油自身的应用特点，制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围 内建立信息安全相关标准与规范，提高中国石油信息安全的技术和管理能力。 信息技术安全总体框架如下： 区区 域域 安安 全全 管管 理理 规规 范范 机机 房房 安安 全全 管管 理理 规规 范范 硬硬 件件 设设 备备 管管 理理 规规 范范 网网络络安安全全 管管理理规规范范 通通用用安安全全管管 理理标标准准 数数 据据 和和 文文 档档 安安 全全 管管 理理 规规 范范 应应 用用 系系 统统 使使 用用 安安 全全 管管 理理 标标 准准 通通 则则 应应 用用 系系 统统 开开 发发 安安 全全 管管 理理 标标 准准 通通 则则 商商 业业 软软 件件 购购 买买 管管 理理 标标 准准 电电 子子 邮邮 件件 安安 全全 管管 理理 规规 范范 W We eb b系系 统统 安安 全全 管管 理理 规规 范范 电电 子子 商商 务务 安安 全全 规规 范范 防防 御御 恶恶 意意 代代 码码 和和 计计 算算 机机 犯犯 罪罪 管管 理理 规规 范范 信信息息安安全全技技术术标标准准 物理环境 安全管理 硬件设备 安全管理 操作系统 安全管理 数据和文档 安全管理 应用系统安 全管理 网 络 安 全 管 理 概 述 通 用 网 络 安 全 管 理 规 范 内 部 网 络 安 全 管 理 规 范 外 部 网 络 安 全 管 理 规 范 认 证 管 理 通 用 标 准 通 用 安 全 管 理 标 准 概 述 授 权 管 理 通 用 标 准 加 固 管 理 通 用 标 准 加 密 管 理 通 用 标 准 日 志 管 理 通 用 标 准 系 统 登 陆 管 理 通 用 标 准 操操 作作 系系 统统 安安 全全 管管 理理 规规 范范 1） 整体信息技术安全架构从逻辑上共分为 7 个部分，分别为：物理环境、硬件设备、网络、操 作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单 独成册的部分，共有 13 本规范和 1 本通用标准 。 2） 对于 13 个规范中具有一定共性的内容我们整理出了 7 个标准横向贯穿整个架构，这 7 个标准的组合也依据了信息安全生命周期的理论模型。每个标准都会对所有的 规范中相关涉及到的内容产生指导作用，但每个标准应用在不同的规范中又会 有相应不同的具体的内容。我们在行文上将这六个标准组合成一本通用的安全管理标准单独 成册。 3） 全文以信息安全生命周期的方法论作为基本指导， 规范和标准的内容基本都根据预防 保护检测跟踪响应恢复的理论基础行文。 II操作系统安全管理规范 近年来，随着世界市场上对信息安全产品的需求迅速增长以及对系统安全的挑战不断加剧，美国、 加拿大和欧洲一些国家联合起来，在美国的 TCSEC、欧洲的 ITSEC、加拿大的 CTCPEC、美国的 FC 等信息安全准则的基础上，提出了“信息技术安全评价通用准则（The Common Criteria for Information Technology Security Evaluation， CC） ”，它综合了过去信息安全的准则和标准，形成了一个更全面的 框架。1999 年 5 月，国际标准化组织和国际电联（ISO/IEC）通过了将 CC 作为国际标准 ISO/IEC 15408 信息技术安全评估准则的最后文本。操作系统及数据库也存在着安全级别，并在 CC 和 TCSEC 中 都有详细划分。 -TCSEC 将计算机系统的安全可信性分为七个级别： -D 最低安全性； -C1 自主存取控制； -C2 较完善的自主存取控制 (DAC)、审计； -B1 强制存取控制(MAC)； -B2 良好的结构化设计、形式化安全模型； -B3 全面的访问控制、可信恢复； -A1 形式化认证。 就 TCSEC 评估来说，达到 B 级标准的操作系统即称为安全操作系统。在 B 级的安全计算机系统 中，安全级这个概念包含级别和类别两方面，安全级的级别之间具有可比性，如同 2 级大于 1 级一样； 而安全级的类别如同所属的部门，就像某人属于的单位，这个单位可大到整个跨国公司，也可小到所 属的最小团体，甚至就是他本人。这样一种安全级定义，在计算机系统中就可将一个用户定义成“属于 那几个部门的、级别为几的用户”，这就是该用户的安全级，凡是该用户运行的进程均具有这个安全级； 同样，在计算机系统中也可将一个文件（主页）定义成“属于哪几个部门的、级别为几的文件（主页） ”， 这就是该文件的安全级。当用户的安全级与文件（主页）的安全级满足一定的存取控制规则时，该用 户才可对该文件（主页）进行相应的读/写操作。这样，便实现了在计算机系统中的对用户和文件（主 页）的层次化分类管理。 但是，仅仅通过简单的等级评估还不足以保障操作系统的安全，因此本规范主要从操作系统的使 用、维护管理等多方面对于操作系统进行了相关的安全方面的规范，保证了操作系统的安全。 本规范由中国石油天然气股份有限公司发布。 本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。 起草部门：中国石油制定信息安全政策与标准项目组。 操作系统安全管理规范III 说 明 在中国石油信息安全标准中涉及以下概念： 组织机构 中国石油（PetroChina） 指中国石油天然气股份有限公司有时也称“股份公司” 。 集团公司（CNPC） 指中国石油天然气集团公司有时也称“存续公司” 。为区分中国石油的地区 公司和集团公司下属单位，但提及“存续部分”时指集团公司下属的单位。如：辽河油田分公司存续 部分指集团公司下属的辽河石油管理局。 计算机网络 中国石油信息网（PetroChinaNet） 指中国石油范围内的计算机网络系统。中国石油信息网是 在中国石油天然气集团公司网络的基础上，进行扩充与提高所形成的连接中国石油所属各个单位计算 机局域网和园区网。 集团公司网络（CNPCNet） 指集团公司所属范围内的网络。中国石油的一些地区公司是和集团 公司下属的单位共用一个计算机网络，当提及“存续公司网络”时，指存续公司使用的网络部分。 主干网 是从中国石油总部连接到各个下属各地区公司的网络部分，包括中国石油总部局域网、 各个二级局域网（或园区网）和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石 油总部，不是利用专线，这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。 地区网 地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道 可是专线，也可是拨号线路。 局域网与园区网 局域网通常指，在一座建筑中利用局域网技术和设备建设的高速网络。园区网 是在一个园区（例如研究院园区、管理局基地等）内多座建筑内的多个局域网，利用高速信道互相连 接起来所构成的网络。园区网所利用的设备、运行的网络协议、网络传输速度基本相同于局域网。局 域网和园区网通常都是用户自己建设的。局域网和园区网与广域网不同，广域网不仅覆盖范围广，所 利用的设备、运行的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建 设的。 二级单位网络 指地区公司下属单位的网络的总和，可能是局域网，也可能是园区网。 IV操作系统安全管理规范 专线与拨号线路 从连通性划分的两大类网络远程信道。专线，指数字电路、帧中继、DDN 和 ATM 等经常保持连通状态的信道；拨号线路，指只在传送信息时才建立连接的信道，如电话拨号线路 或 ISDN 拨号线路。这些远程信道可能用来连接不同地区的局域网或园区网，也可能用于连接单台计 算机。 石油专网与公网 石油专业电信网和公共电信网的简称。 最后一公里问题 建设广域网时，用户局域网或园区网连接附近电信部门信道的最后一段距离的 连接问题。这段距离通常小于一公里，但也有大于一公里的情况。为简便，同称为最后一公里问题。 涉及计算机网络的术语和定义请参见中国石油局域网标准 。 操作系统安全管理规范V 目目 录录 第第 1 章章操作系统安全管理概述操作系统安全管理概述10 1.1概述 10 1.2目标 10 1.3规范的适用范围 11 1.4规范引用的文件或标准 12 1.5术语和定义 13 第第 2 章章操作系统安全管理通则操作系统安全管理通则15 2.1操作系统安全的一般性原则 15 2.2操作系统访问控制要求 16 2.2.1用户终端自动识别功能 .16 2.2.2登录程序 .17 2.2.3登陆超时 .17 2.2.4系统实用程序的使用 .18 2.3用户账号安全 18 2.3.1用户身份识别和验证 .18 2.3.2用户账号过期 .19 2.3.3Guest 用户账号.20 2.3.4无口令用户账号 .20 2.3.5用户组 .20 2.3.6用户账号安全其它事项 .20 2.4用户口令安全 21 2.4.1口令选择 .21 2.5操作系统网络安全 24 2.6文件系统安全 25 VI操作系统安全管理规范 2.7系统监控 26 第第 3 章章UNIX 操作系统操作系统27 3.1用户账号安全 27 3.1.1用户账号策略 .27 3.1.2用户账号管理 .27 3.1.3特殊帐户 .28 3.1.4超级用户账户 .28 3.1.5普通用户账户 .28 3.1.6UNIX 口令安全 .29 3.1.7搜索路径(PATH)限制限制29 3.2网络安全 30 3.2.1受信主机(trusted host)30 3.2.2安全终端 .30 3.2.3网络文件系统（NFS）31 3.2.4FTP 31 3.2.5电子邮件 .32 3.2.6Finger.32 3.2.7关闭不必要的端口 .33 3.3文件系统安全 35 3.3.1UNIX 文件系统安全机制 35 3.3.2Setuid 和 Setgid 脚本36 3.3.3umask 值36 3.3.4文件加密 .36 3.3.5设备 .36 3.4系统监控 37 3.4.1账号监控 .37 3.4.2系统监控 .38 3.4.3文件系统监控安全 .38 第第 4 章章WINDOWS 操作系统（服务器端）操作系统（服务器端）.41 操作系统安全管理规范VII 4.1用户账号安全 41 4.1.1用户权限指派 .41 4.1.2上一次登录用户清除 .42 4.1.3用户账号数据库加密 .42 4.1.4实施口令安全 .42 4.1.5禁止缓存登录的信任状态信息 .43 4.2网络和服务安全 44 4.2.1删除 DOS,WINDOWS,OS/2 和 Posix 子系统 44 4.2.2关闭不必要的服务 .45 4.2.3关闭不必要的端口 .48 4.2.4实施 IPSec.49 4.2.5加强定时服务的安全 .50 4.3文件系统安全 51 4.3.1分区格式 .51 4.3.2磁盘分区 .51 4.3.3复制和移动文件 .51 4.3.4文件共享 .51 4.3.5文档服务器使用 .53 4.3.6禁用 Dump 文件生成功能 .53 4.3.7使用加密文件系统功能（EFS） 53 4.3.8加密临时文件夹 .53 4.3.9在关机的时候清除页面交换文件 .54 4.3.10禁止软盘启动和光盘启动 .54 4.3.11禁用光盘的自动运行功能 .54 4.3.12加强打印机驱动的安全 .54 4.3.13加强共享系统对象的安全 .55 4.4系统监控 56 4.4.1系统监控类型 .56 4.4.2日志设置方式 .57 4.4.3日志文件安全 .57 4.5组件和注册表安全 58 4.5.1注册表审核功能 .58 VIII操作系统安全管理规范 4.5.2注册表访问授权 .58 第第 5 章章WINDOWS 操作系统（客户端）操作系统（客户端） 60 5.1用户账号安全 60 5.1.1用户帐号 .60 5.1.2上一次登录用户清除 .60 5.1.3用户账号数据库加密 .60 5.1.4实施口令安全 .61 5.1.5禁止缓存登录的信任状态信息 .61 5.1.6加强定时服务的安全 .62 5.2文件系统安全 63 5.2.1分区格式 .63 5.2.2磁盘分区 .63 5.2.3复制和移动文件 .63 5.2.4文件共享 .63 5.2.5禁用 Dump 文件生成功能 .65 5.2.6使用加密文件系统功能（EFS） 65 5.2.7加密临时文件夹 .65 5.2.8在关机的时候清除页面交换文件 .66 5.2.9禁止软盘启动和光盘启动 .66 5.2.10禁用光盘的自动运行功能 .66 5.2.11加强打印机驱动的安全 .66 5.2.12加强共享系统对象的安全 .67 5.3组件和注册表安全 68 5.3.1注册表审核功能 .68 5.3.2注册表访问授权 .68 第第 6 章章操作系统补丁规程操作系统补丁规程.70 6.1补丁相关人员架构和职责 70 6.1.1建立补丁和系统脆弱性监测小组 .70 6.1.2补丁和系统脆弱性监测小组相关职责 .70 6.1.3各个系统管理员的补丁相关的职责 .73 操作系统安全管理规范IX 6.2补丁流程 75 6.2.1补丁程序的获取 .75 6.2.2补丁实施计划考虑 .76 6.2.3补丁测试 .77 6.2.4补丁实施 .79 6.2.5补丁自动分发 .82 6.2.6建立标准化系统设置 .82 6.2.7用户培训 .83 6.3操作系统主要补丁资源列表 84 6.3.1windows 系列操作系统补丁列表84 6.3.2主流 Unix/Lunix 操作系统安全补丁站点.85 6.3.3Unix/Linux 系列操作系统网站列表87 附录附录 1参考文献参考文献 .91 附录附录 2本规范用词说明本规范用词说明.92 10操作系统安全管理规范 第第第 1 1 1 章章章 操作系统安全管理操作系统安全管理操作系统安全管理概述概述概述 1.1概述 操作系统作为计算机系统的基础软件是用来管理计算机资源的，它直接利用计算机硬件 并为用户提供使用和编程接口。各种应用软件均建立在操作系统提供的系统软件平台之 上，上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性，必须依赖于操 作系统提供的系统软件基础。脱离了他，任何想像中的应用软件的高安全性都毫无根基 可言。在网络环境中，网络系统的安全性依赖于网络中各主机系统的安全性，而主机系 统的安全性正是由其操作系统的安全性所决定的，没有安全的操作系统的支持，网络安 全也毫无根基可言。 本规范通过四个部分对操作系统所需要注意的安全问题和相应的规范进行了具体的阐述。 第一个部分主要阐述了各种主流的操作系统都需要注意的通用的安全问题和规范。第二 和第三部分分别阐述了目前市场上主流的两大操作系统（Windows 系列和 Unix 系列） 的相对独特的安全相关问题和规范。最后一个部分主要阐述了系统实施安全补丁的相关 的规范。 1.2目标 本规范的目标为： 通过对各种不同类型的操作系统进行安全方面的规范，保证目前中国石油现有的各种服 务器系统或用户端信息设备使用的操作系统的安全，防止由于采用了不安全的操作系统 而产生的安全问题或埋下安全隐患。使得这些操作系统免受未经授权的访问，防止操作 系统遭受如登陆程序问题、口令质量问题、授权用户滥用职权等威胁或薄弱点的侵害。 操作系统安全管理规范11 1.3适用范围 本套规范适用的范围包括了所有和操作系统相关的安全问题和安全事件所有和操作系统相关的安全问题和安全事件。具体来说包括 了操作系统通用的安全规范，主流的操作系统(Windows 系列和 Unix 系列)的安全规范和 操作系统相关的补丁实施安全规范。一些非主流的操作系统如 Linux 由于其成熟度和安全 性相对较差，且目前中国石油并未大规模的使用，因此没有对其制定相关的安全规范。 其中 Windows 操作系统安全主要考虑 WindowsNT 系列的安全，包括 Windows NT，以及 基于 NT 操作系统的 Windows 2000 Server 以及 Windows 2000 Professional 的安全，由于 Windows9x 操作系统本身的安全性比较差，无法进行较高等级的安全配置，不应在较重 要的个人电脑或笔记本电脑中使用。 12操作系统安全管理规范 1.4规范引用的文件或标准 下列文件中的条款通过本标准的引用而成为本标准的条款。本标准出版时，所示版均为有效。 所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。 1.GB/T 9387-1995 信息处理系统 开放系统互连基本参考模型（ISO7498 :1989） 2.GB17859-1999 计算机信息系统安全保护等级划分准则 3.GA/T 391-2002 计算机信息系统安全等级保护管理要求 4.ISO/IEC TR 13355 信息技术安全管理指南 5.NIST 信息安全系列美国国家标准技术院 6.英国国家信息安全标准 BS7799 7.信息安全基础保护 IT Baseline Protection Manual (Germany) 8.BearingPoint Consulting 内部信息安全标准 9.RU Secure 安全技术标准 10. 信息系统安全专家丛书 Certificate Information Systems Security Professional 操作系统安全管理规范13 1.5术语和定义 访问控制访问控制 access control 一种安全保证手段，即信息系统的资源只能由被授权实体按授权 方式进行访问，防止对资源的未授权使用。 可用性可用性 availability 数据或资源的特性，被授权实体按要求能及时访问和使用数据或资源。 生物特征认证生物特征认证 biometric authentication 是指通过计算机利用人体所固有的生理特征或行 为特征来进行个人身份识别和（或）验证目的。常用的生物特征包括：指纹、掌纹、虹膜、 脸像等。 保密性保密性 confidentiality 数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权 的个人、过程或其他实体的程度。 数字证书数字证书 digital certificate 是一个经证书认证机构(CA)数字签名的包含用户身份信息以及公 开密钥信息的电子文件，是各实体在网上进行信息交流及商务活动的电子身份证。 身份识别身份识别 identity authentication 使信息处理系统能识别出用户、设备和其他实体的测试 实施过程。同身份验证。 例：检验一个口令或身份权标。 入侵检测入侵检测 intrusion detection自动检测网络数据流中潜在入侵、攻击和滥用方式，提供了网络安全保护 功能。它位于被保护的内部网络和不安全的外部网络之间，通过实时截获网络数据流，寻找 网络违规模式和未授权的网络访问尝试。 完整性完整性 integrity 在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源 的情况下,信息系统中的数据与在原文档中的相同，并未遭受偶然或恶意的修改或破坏时所 具的性质。 日志日志 log 一种信息的汇集, 记录有关对系统操作和系统运行的全部事项，提供了系统的历史 状况。 最小权限最小权限 minimum privilege 主体的访问权限制到最低限度，即仅执行授权任务所必需的那 14操作系统安全管理规范 些权利。 口令口令 password 用来鉴别实体身份的受保护或秘密的字符串。 安全操作系统安全操作系统 security operation system 为了对所管理的数据与资源提供适当的保护级，而 有效地控制硬件与软件功能的操作系统。 威胁威胁 threat 一种潜在的对安全的侵害以破坏、泄漏、数据修改和拒绝服务的方式，可能对 系统造成损害的环境或潜在事件。(GB9387-95) 受信主机受信主机(trusted host) 提供充分的计算机安全的信息处理能力的主机，它允许具有不同访问 权的用户并发访问数据，以及访问具有不同安全等级和安全种类的数据。 加密加密 encryption 通过密码系统把明文变换为不可懂的形式。 校验校验 verification 将某一活动、处理过程或产品与相应的要求或规范相比较。 例：将某一规范与安全策略模型相比较，或者将目标代码与源代码相比较。 弱点弱点 vulnerability 导致破坏系统安全策略的系统安全规程、系统设计、实现、内部控制等方 面的薄弱环节，在信息系统中能被威胁利用产生风险。 PAMPAM 可插拔的认证模块 Pluggable Authentication Modules NFSNFS 网络文件系统 PGPPGP 最佳隐私加密 操作系统安全管理规范15 第第第 2 2 2 章章章 操作系统安全管理通则操作系统安全管理通则操作系统安全管理通则 2.1操作系统安全的一般性原则 操作系统一般都提供了充分的安全措施，充分利用这些安全措施可避免出现很多的安全 问题。下文指出了操作系统安全需要遵循的一般性原则，中国石油的系统管理相关人员 必须在系统管理中理解、遵循和实践这些原则： a)禁用不必要的服务，尽量将系统中不用的服务、尤其是网络服务关闭，从而 使攻击的可能性降至最低。 b)对等认证原则(Trusted Path)，对等认证原则是指在某一实体（程序、用户等） 直接和系统上的另一实体通讯之前必须相互认证。该原则主要用于防止木马 程序。 c)最小权限原则，最小权限原则是指系统只能授予应用程序和用户必要的权限， 而不能授予额外的权限。（例如对于有些备份程序而言，它必须访问所有文 件，因此一般该程序都被授予 root 或者管理员的权限，但是这也意味着备份 程序除了能够做备份以外还能做一些关闭系统，创建用户等 root 用户具有的 功能，但这些功能显然不是备份程序应具有的，因此应只赋予该备份程序所 必需的最小的权限如读写的权限）。 d)强制式文档权限控制原则（Non-Discretionary Protection），大多数操作系统都 提供了自主访问控制，即文档的权限完全由文档作者控制，他可确定其它所 有用户对该文档的权限，但是在某些情况下需要有集中式文档权限控制做为 补充，即将部分极其重要的文档的权限控制集中管理，由安全管理专员负责 这些文档的权限授予。 e)通过补丁增进系统安全，补丁程序是弥补系统弱点（vulnerability）的最佳途 径，本文的第五章专门讲述了补丁的重要性和补丁的流程。 f)在计算机上安装软件防火墙系统是保证操作系统安全的又一重要保证，需要 在所有重要服务器和重要个人电脑（包括笔记本电脑）中安装软件防火墙系 16操作系统安全管理规范 统。目前大多数的防病毒软件具有类似的安全功能。其他的手段还包括安装 防病毒软件、入侵检测软件和弱点扫描工具。 g)对于重要的数据有必要进行加密，具体参见文档和数据安全规范 h)安全性能评估，对于安全产品的选用上，中国石油需要采取谨慎和大胆相结 合的策略，放心使用经过权威第三方认证的安全产品如通过 CC 或 TCSEC 所规 定的 B 级标准的操作系统。 i)系统管理员应随时保持警惕以预防攻击事件的发生或者将攻击的危害降至最 低。 2.2操作系统访问控制要求 操作系统安全的另一个方面是对系统资源的访问控制要求。当用户或者应用程序访问系 统资源时要求操作系统管理员通过设置必要的选项完成以下功能： a)提供适当的身份验证方法。如果使用了口令管理系统，则应确保使用高质量的口令 （参见本规范 2.3、2.4 章节用户帐号安全、用户口令安全）。 b)识别和验证身份。如果需要，还要验证每个合法用户的终端或位置。 c)记录成功和失败的系统访问（日志信息）。 d)根据情况限制用户连接时间。 2.2.1用户终端自动识别功能 a)通过终端访问操作系统时应使用终端自动识别功能来验证与其连接的终端的位 置和连接类型。如果会话必须从某一位置或计算机终端开始，则宜使用终端自 动识别技术。 b)终端内部附带的标识可说明是否允许此终端开始或接收某些具体事务。宜对终 端进行物理保护，维护终端标识的安全。 操作系统安全管理规范17 2.2.2登录程序 通过安全的登录程序应能够访问信息服务。计算机系统登录程序按其设计应最大限 度地降低非法访问的几率。因而，登录程序应最大限度地减少公开的系统信息，避 免为非法用户提供方便。登录程序应： a)在登录过程未成功之前禁止显示系统或应用的标识。 b)应显示一般性注意事项，提醒用户只有合法用户才能访问计算机。 c)登录期间禁止提供帮助消息，以免为非法用户提供方便。 d)只有在所有输入数据完成后才验证登录信息。出错时，系统不应说明哪部分数 据正确，哪部分数据错误。 e)应限制允许进行的登录的失败次数（宜为 3 次）并考虑： 1) 记录失败次数。 2) 允许再次登录之前必须进行时延，或者如果未获得明确授权则必须拒绝 再次登录。 3) 断开数据链路连接。 f)限制登录程序允许的时间上限和下限。如果超过限制，则系统必须终止登录过 程。 g)成功登录完成后，宜显示以下信息； 1) 以前成功登录的日期和时间。 2)上次成功登录以来登录失败的详细情况。 2.2.3登陆超时 a)高风险地域（如组织无法进行安全管理的公共或外部区域）或服务于高风险 系统的终端如果处于不工作状态，则必须在设定的不工作时间后予以关闭， 防止非法用户进行访问。 18操作系统安全管理规范 b)为所有 PC 提供有限的终端超时功能。当系统超时未激活时，应能够自动锁住 系统，防止非法访问，但不宜关闭应用或网络会话。 c)超时的时间取决于连接的系统的重要程度、终端风险暴露程度以及终端上信 息的业务价值。 2.2.4系统实用程序的使用 大多数计算机操作系统都有一个或多个能够越过系统和应用控制措施的系统实用程 序。应对其使用严加控制。应考虑采用以下控制措施： a)必须使用系统实用程序的身份验证程序。 b)把系统实用程序从应用软件中分离出来。 c)系统实用程序的使用应仅限于最小实际委托授权用户数。 d)应对系统实用程序的特殊使用授权。 e)应限制系统实用程序的可用性，如授权更改的期限。 f)应记录系统实用程序的各种使用情况。 g)应对系统实用程序的授权级别进行定义和备案。 h)应及时移去所有不必要软件的实用程序和系统软件。 2.3用户账号安全 2.3.1用户身份识别和验证 a)中国石油的所有信息系统用户都应拥有个人专用的唯一标识符（用户 ID，以 便操作能够追溯到具体责任人。但是在认证和授权体系没有建立之前，特定操 操作系统安全管理规范19 作系统内所有的用户必须有一个唯一的 ID，并且该 ID 名称不能让人猜测到该 用户权限级别，如管理员、主管。 b)对于每一个系统的所有用户，应要求填写账号申请表，并在表格中包含公司的 密码安全政策规范，明确违反该规范的后果和责任，同时要求用户签名产生法 律效力。 c)对于用户提供的身份，宜使用多种身份验证程序来加以证实。口令是一种很常 见的身份识别和验证方法。同样也可采用加密方法和身份验证协议达到同样的 效果。也可使用用户的内存标记或智能卡等进行身份识别和验证。也可使用基 于个人唯一特点或特性的生物统计学身份验证技术来验证用户身份。将安全技 术和安全机制结合起来 可进行更为严格的身份验证。具体参见中国石油认 证和授权技术方案。 2.3.2用户账号过期 对于中国石油这样的大型企业而言，系统中很容易存有过期的用户账号（如用户账 号所代表的个人已经离开中国石油，但是该员工所属的用户账号却还留在系统中）， 这种过期用户账号的存在对于中国石油而言是一个巨大的威胁，因为这些用户账号 没有人关注，其次万一这些用户账号被人利用，很难被人发现。 a)应设置用户账号的有效日期。（例如中国石油可设置用户账号的有效期为一 年）。 b)当某一个用户账号过期的时候，系统必须检查确认该用户账号所对应的员工 是否还继续留在公司，如果不是则将该用户账号自动删除，否则继续激活该 用户账号。 c)如果用户账号过期了但是用户无法联系到（例如正在度假），可先将其用户 账号锁住，等用户回来以后激活。 20操作系统安全管理规范 2.3.3Guest 用户账号 Guest 用户账号是操作系统安全的又一安全隐患： a)中国石油应禁止长期保留 Guest 用户账号。 b)当系统安装完成以后必须马上删除 Guest 用户账号，当用户确实需要 Guest 用 户账号进行临时的访问时，才将 Guest 用户账号激活。 c)应确保 Guest 用户账号的口令安全。可参见 2.4 章节用户口令安全。 2.3.4无口令用户账号 在很多系统中，一般都会默认存在很多系统级的无口令的用户账号，这些用户账号 只用于执行特定的命令，为了方便用户的使用，一般这些用户账号不设口令，当攻 击者攻破系统以后，就有可能通过该帐号执行他们自己的恶意程序，从而控制或者 破坏整个系统。 a)中国石油所使用的所有操作系统中禁止存在无口令的用户账号。 2.3.5用户组 除非有极为特殊的要求，不应有多个用户共享一个用户 ID 和口令，而应使用用户 组的概念来代替。 2.3.6用户账号安全其它事项 a)宜考虑使用 SmartCard 生物特征认证等强认证方式，Window2000 提供该功能 的支持，但是需要在事先考虑投入的成本是否合理。 操作系统安全管理规范21 b)系统管理员应具有两个用户账号，一个作为系统的常规用户，执行阅读文档， 收发电子邮件等常规性操作，另一个用作管理，即真正具有管理员效力的用 户账号。 c)用户账号重命名，就是对默认的帐号重命名。包括 administrator、guest 以及其 它一些由安装软件时(如 IIs)所自动建立的帐号，可起到一定的阻止作用。 d)建立伪管理员用户账号，宜在系统建立用户名为”administrator”的用户，并设 定一个难以推测的口令，但是不赋予其真正的管理员权限。 2.4用户口令安全 一般而言，应强制用户账号的口令需要采取哪些策略来保证安全，同时需要操作系统管 理员来保证用户账号密码的安全。关于口令的安全标准可详见口令安全管理标准， 以下列举了一些和操作系统密切相关的口令的安全规范。 2.4.1口令选择 口令选择的目标在于使密码易记难猜。即对于口令的主人而言密码非常容易记住， 但是对于攻击者而言，却很难通过密码主人的特征、习惯等来推测密码。所有中国 石油的用户在选择密码的时候应遵循如下的原则。 a) 禁止使用登录用户账号或者登录用户账号的任何变形（例如大写、反序等） 做为口令 b) 口令不应包含任何的个人信息，例如名字、生日、电话号码、身份证号码、 门牌号等 c) 禁止使用全部是数字或者相同字母的口令 d) 不应使用常规的单词，例如英文辞典中查得到的单词 e) 口令长度必须大于 6 个字符 f) 必须同时包含大小写字母 22操作系统安全管理规范 g) 口令中必须包含非字母字符，例如数字和标点 h) 宜使用一个可很快输入的口令 要找到满足上述的限制的密码看起来比较困难，但是还是有一些可行的方法， 例如： 选择一篇英文诗词并将其中每一句的第一个字母挑出来组成密码 将两个简单的单词用字符或者数字联接在一起，例如dog;rain, book+mug, kid?goat. 口令政策 中国石油的口令安全除了要求用户选择安全性高的口令之外，还需要有一系列的 口令政策保证口令的安全，主要包括： a)中国石油所有操作系统中的口令，用户只能记在心里，不应以任何形式出现 在纸面上，也不应出现在计算机文档中。 b)不应将口令给其它人。（大部分的计算机用户都有这样的经验，为了贪图方 便，而将口令告诉给其它人） c)口令必须定期更新，系统宜自动提示用户定期更换口令。 d)应使用个人口令，明确责任。 e)根据情况可让用户更改自己的口令，还可让用户采用一种确认程序，允许出 现输入错误。 f)用户首次登录时要求用户必须更改临时口令。 g)应记录用户以前的口令记录（如过去 12 个月的记录）防止重复使用。 h)安装软件后更改默认的供应商口令。 操作系统安全管理规范23 检查口令安全 除了使用系统功能强制用户使用规范的口令以外，系统管理员应对口令安全进行 定期的检查，以保证安全政策的落实。中国石油的系统管理员可使用口令破解程 序对系统口令进行检查，如果能够用这些工具破解系统口令，则必须责令用户修 改口令。 口令的其它事项 a) 输入时屏幕上不显示口令。 b) 口令文件和应用系统数据应分开存储。 c)利用单向加密算法以加密方式存储口令。 2.5操作系统网络安全 操作系统的网络安全主要是指操作系统本身提供的网络服务的安全性，例如电子邮件服 务、Web 服务、FTP 服务、命名服务等，以及网络功能设置的安全，例如网络协议等。 由于网络安全和具体的操作系统密切相关，因此关于网络安全规范需请具体参见本规范 3.2 和 4.2 章节中关于 UNIX 和 Windows 相关的内容。 2.6文件系统安全 本规范所指的文件系统的安全不仅仅是只系统中所有文件的安全同时也包括所有操作系 统管理的设备资源的安全问题，例如打印机。文件系统的安全是系统安全的最后防线， 主要通过两种方式实现文件系统的安全，即通过文件权限系统控制杜绝文件被恶意地访 问或者在任何未经适当授权的情况下被访问。第二种方式则是通过对文件进行适当地加 密进行实现。在中国石油文档和数据安全管理规范中谈到了文档加密的机制，因此 关于文件加密的机制、方法和规范可参见该管理规范。本文的重点主要在于文件系统的 24操作系统安全管理规范 访问权限设置方面的规范。由于这个问题也和不同类型的操作系统密切相关，因此关于 文件系统安全规范需要具体参见本规范 3.3 和 4.3 章节中关于 UNIX 和 Windows 相关的 内容。 2.7系统监控 系统监控是操作系统安全的又一保证。操作系统监控的任务主要有：确定哪些内容是系 统监控的对象，即决定日志的内容，系统监控的对象一般包括对系统的任何未经授权的 访问以及操作系统本身是否存在安全漏洞等两个方面；对于系统监控的记录即日志应做 哪些分析，即怎么利用日志内容。操作系统需要监控的对象主要可分为用户账号安全、 网络安全和文件系统安全三个方面。对用户账号安全进行定期的盘查主要用于发现两个 问题：不应出现的访问（例如当某一用户账号所属的用户在度假，根本不可能登录系统， 但系统中却有该用户账号在该时刻的登录信息）；用户登录以后是否执行了不应执行的 命令，例如有些命令该用户没有执行权限。而网络安全监控非常困难但又非常重要，因 为对于系统的攻击大部分是从网络上发起的。文件系统安全的监控主要在于确定是否存 在对于文件系统的非法访问以及监控文件备份政策和规范是否得到了切实的执行。 系统监控的其它问题，我们一直强调系统安全的问题不仅仅是一个技术问题，更重要的 是一个管理问题，管理员对于所掌握的系统的了解非常重要。要求管理员在平时使用一 些常见的命令和工具随时了解系统的运行状况；同时操作系统的风险可降低但是不能完 全消除，因此需要管理员时刻保持警醒。 由于不同的操作系统，各自的安全监控功能不尽相同，因此关于系统监控安全规范需要 具体参见本规范 3.4 和 4.4 章节中关于 UNIX 和 Windows 相关的内容。 操作系统安全管理规范25 第第第 3 3 3 章章章 UNIXUNIXUNIX 操作系统操作系统操作系统 3.1用户账号安全 3.1.1用户账号策略 a)必须确保中国石油实施严格的口令安全策略，参见本规范的 2.3 章节。 b)应使用 UNIX 的口令检查工具如 anlpasswd 检查口令设置是否安全。 c)UNIX 中一般会提供可插拔的认证模块（Pluggable Authentication Modules ，PAM）可实施更严格的口令安全，要求 UNIX 如果存在该模块则必须使用。 d)中国石油的管理员宜使用 sudo 赋予一般用户部分 root 用户的权限，具体参见 连接。 e)应实施基于角色的安全控制机制。 3.1.2用户账号管理 a)应确保所有用户账号的口令的安全性。 b)应确保所有用户目录都完整进行了备份和归档。 c)应定期检查日志中的 su 记录。 d)应定期检查登录失败记录。 e)应定期检查登录拒绝日志。 f)应限制同时登录的用户账号。 26操作系统安全管理规范 3.1.3特殊帐户 a)禁用所有供应商设置的缺省帐户，必须在系统升级和应用程序安装以后检查。 b)对于部分不用的系统账号，例如 bin，daemon 等账号，赋给他们没有具体功能 的权限，从而保证这些命令不会被误操作和攻击，注意必须保证是确实无用 的系统账号。 c)根据情况禁用系统帐户，如 root, bin, uucp, ingres, daemon, news, nobody 和所 有供应商帐户的 FTP 功能。 3.1.4超级用户账户 a)应限制知道 root 用户口令的人数，保证最多 4 个人知道 root 口令。 b)禁止在网络中以 root 登录，除非有安全措施保证，例如 VPN。 c)不宜以 root 用户登录，而是采用 su 命令临时切换。 d)确保当前目录不是 root 的搜索路径。 e)确保 root 的登录文件只有 root 具有所有权限。 f)Root 必须使用绝对路径执行命令，以免受到木马的攻击。 3.1.5普通用户账户 a)当用户通过不安全的网络或者不安全网络协议（FTP，Telnet）登录时，应只 允许用户登录一次。 b)禁止在不安全的连接和协议中生成口令列表，只能在本地甚至本机上生成。 操作系统安全管理规范27 c)禁止用户将用户口令保存在不安全的地点。 3.1.6UNIX 口令安全 口令文件安全 a)在 UNIX 中加密后的口令信息是存在一个文件里，通常是etcpasswd。维 护好这个文件的安全性是非常重要的。该文件必须保证只有 root 用户才能访 问。 b)口令文件在显示的时候应是加密的：这种显示叫做 Shadow 口令， “etcshadow”文件应只有 root 有权访问。 口令时效 目前已有更强大的硬件大大地缩短了利用自动运行的程序来猜测口令的时间。因 此在 UNIX 系统中防止口令被攻击的另一个方法就是要经常地改变口令。 a)应强制用户定期更改口令（例如 3 个月更改一次）。可通过建立一种机制来 强制用户规律性的更改口令。 3.1.7搜索路径(PATH)限制限制 在 UNIX 里，在不同的环境下查找一组特殊的目录的命令称做 PATH。想要运行当 前目录包含的命令时是不需要加上一长串路径名的。在 UNIX 中用户经常使用 “”来表示当前的目录。如果“”作为 shell 环境变量的一部分时，一个全局 目录下的 shell 脚本或公用命令就有可能被相同目录的伪程序所解释，而这个命令 可能包含一段代码，一旦被执行后果可能是较严重的，比如是一个木马程序。因此 必须对于搜索路径(path)进行限制。 28操作系统安全管理规范 3.2网络安全 3.2.1受信主机(trusted host) UNIX 系统上可设置信任主机，对于从确定为可信任的主机上发起的登录和命令执 行，不需再输入用户名和口令。这种方式可能带来潜在的威胁。 a)所有关于受信主机的信息都在/etc/hosts.equiv 中，应保证该文件的安全， b)应谨慎配置授权的主机。 c)在 UNIX 系统中还有.rhosts 文件和 hosts.equiv 具有类似的功能，不同之处在于 从必须是经过授权的用户从该文件指定的主机上登录的时候才可不用身份验 证，同时该文件还有一个问题就是任何用户都可未经管理员的授权创建该文 件，因此在 UNIX 系统中必须禁用该文件。 3.2.2安全终端 a)可通过文件 /etc/ttytab 配置允许 root 登录的安全终端，该文件一般如下形式： console “/usr/etc/getty std.9600“ sun off secure ttya “/usr/etc/getty std.9600“ unknown off secure ttyb “/usr/etc/getty std.9600“ unknown off secure ttyp0 none network off secure ttyp1 none network off secure ttyp2 none network off secure b)关键词 secure 表示该类型的终端是安全的，允许 root 用户登录。 操作系统安全管理规范29 c)必须保证该文件只能由 root 可访问，必须保证文件权限为 600，必须保证将其 设置为不能远程登录。 3.2.3网络文件系统（NFS） 网络文件系统的意义在于可在多个相互信任的主机之间共享文件存储空间，这对于 一些无盘工作站具有特别重要的意义。当时 NFS 系统本身的安全性能比较差，需 要在使用中注意以下的问题： a)应监控路由器的 TCP/UDP 的 111 端口和 2049 端口，以防止网络文件系统被 子网之外的主机访问。 b)不宜使用 NFS 功能。 c)在使用 NFS 的情况下，应对 NFS 端口进行监控。 d)只将必要的文件系统 export 成为网络文件系统，并将权限设为可读。 e)应严格控制网络文件系统的信任主机，不得将本机包含在信任主机中。 f)应确保配置文件/etc/exports的安全。 3.2.4FTP a)应建立专门的 FTP 帐户，将其对应的目录用作 FTP 服务。 b)应检查 FTP 服务器的默认配置，确保 delete, overwrit