中国石油天然气股份有限公司计算机操作系统安全管理规范(试行)

中国石油天然气股份有限公司计算机操作系统安全管理规范（试行）石油科字〔2003〕197号前言随着中国石油天然气股份有限公司（以下简称“中国石油”）信息化建设的稳步推进，信息安全受到广泛的关注。加强企业信息安全管理政策和技术标准的建设成为中国石油信息技术战略顺利实施的重要保障。依照《中国石油天然气股份有限公司信息技术总体规划》，中国石油制定了本套中国石油天然气股份有限公司信息安全技术标准。本标准体系架构参照了国际、国内和相关行业的同类技术标准及规范，结合了中国石油总部及下属的勘探与生产、炼油与销售、化工与销售、天然气与管道四个专业板块信息安全现状和业务特点，充分考虑了中国石油未来的业务发展对信息安全的需求，目的在于通过建立相关的信息安全标准与规范，提高中国石油信息安全的整体技术水平和管理能力。中国石油信息安全技术标准总体架构如下：图1信息安全技术标准总体框架整个“安全标准”技术架构从逻辑上共分7个部分，分别为：物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用标准等。“安全标准”共由14本“规范”组成。“安全标准”以“信息安全生命周期方法论”作为基本理论指导。本文——《中国石油天然气股份有限公司操作系统安全管理规范（试行）》制定了中国石油在主要操作系统的使用、维护等重要环节上与安全相关的控制措施和规范要求。本规范由中国石油天然气股份有限公司提出。本规范由中国石油天然气股份有限公司科技与信息管理部归口管理。本规范由中国石油制定信息安全政策与标准项目组起草。第1章操作系统安全管理概述1.1概述操作系统是用来管理计算机软、硬件资源，协调计算机工作并为用户提供使用和编程接口的一组程序。应用软件一般建立在操作系统提供的系统软件平台之上，因此稳定可靠的操作系统是应用软件平稳运行和信息系统安全、保密的基础。尤其在网络环境中，操作系统的安全性是信息系统安全性的决定性因素之一。本规范用四部分内容对操作系统应注意的安全问题和相应的规范进行了阐述。第一部分主要叙述了各种主流的操作系统在使用时需要注意的通用安全问题和规范。第二和第三部分分别叙述了目前市场上主流的两大操作系统（Windows系列和Unix系列）与安全相关的问题和规范。第四部分主要叙述了系统实施安全补丁的相关规范。1.2目标通过对几类主流操作系统进行安全方面的规范，保证中国石油现有的服务器系统和用户端信息设备操作系统的安全，防止由于操作系统的不安全性而产生的安全问题或安全隐患。1.3适用范围本套规范适用的范围是指所有和操作系统相关的安全问题和安全事件。包括了操作系统通用的安全规范，主流操作系统(Windows系列和Unix系列）的安全规范和操作系统相关的补丁实施规范。其中Windows操作系统安全主要考虑WindowsNT系列、Windows2000Server以及Windows2000Professional的安全。1.4规范引用的文件或标准下列文件中的条款通过本标准的引用而成为本标准的条款。凡是不注明日期的引用文件，其最新版本适用于本标准。【国家标准】1．GB17859—1999计算机信息系统安全保护等级划分准则2．GAT388—2002计算机信息系统安全等级保护操作系统技术要求【国外相关标准】1．ISO177992．ITBaselineProtectionManual(Germany）3．ISO15408(“CommonCriteria”）4．NIST美国国家标准技术委员会系列丛书第2章操作系统安全管理通则2.1操作系统安全的一般性原则操作系统本身一般都提供了一定的安全措施，充分利用这些安全措施可以避免出现一些安全问题。操作系统安全需遵循以下一般性原则：a）禁用不必要的服务，尽量将系统中不用的服务、尤其是一些暂时不用的网络服务关闭，从而使系统遭受攻击的可能性降至最低。b）对等认证原则(TrustedPath），对等认证原则是指某一实体（程序、用户等）直接和系统上的另一实体在通讯前必须相互认证的过程。c）最小权限原则，最小权限原则是指系统只能授予应用程序和用户必要的权限，而不能授予额外的权限。（例如对于有些备份程序而言，它必须访问所有文件，因此此类程序一般都被授予root或者管理员的权限，这也意味着备份程序除了能够做备份以外还拥有一些只有root用户才有的权限，如关闭系统，创建用户等。这些权限显然不是备份程序应具有的，因此实际应用中应尽可能只赋予该备份程序所必需的最小的权限如读写的权限）。d）强制式文档权限控制原则（Non-DiscretionaryProtection），大多数操作系统都提供了自主访问控制，即文档的权限完全由文档作者控制，文档作者可确定其它所有用户对该文档的权限，但是在某些情况下需要集中式文档权限控制作为补充，即将部分极其重要的文档的权限控制集中管理，由专门的安全管理人员负责这些文档的权限授予。e）通过补丁增进系统安全，补丁程序是弥补系统弱点（vulnerability）的最佳途径，本规范第五章专门讲述补丁的重要性和实施补丁的流程。f）在计算机上安装软件防火墙系统，根据需要在重要服务器和重要个人电脑（包括笔记本电脑）中安装软件防火墙系统。目前大多数的防病毒软件具有类似的安全功能。其他的手段还包括安装防病毒软件、入侵检测软件和漏洞扫描工具。g）对于重要的数据进行加密，具体参见《中国石油天然气股份有限公司文档和数据安全规范（试行）》。h）安全性能评估，对于安全产品应选用经过国内、国外权威第三方认证的安全产品，如通过CC或TCSEC所规定的B级标准的操作系统。i）系统管理员应随时保持警惕以预防攻击事件的发生或者将攻击的危害降至最低。2.2操作系统访问控制要求用户或者应用程序访问系统资源时要求操作系统管理员通过设置必要的选项完成以下功能：a）提供适当的身份验证方法。如果使用了口令管理系统，应确保使用高质量的口令（参见本规范2.3、2.4章节——用户账号安全、用户口令安全）。b）识别和验证身份。如果需要，还要验证每个合法用户的终端或位置。c）记录成功和失败的系统访问（日志信息）。d）根据情况限制用户连接时间。2.2.1用户终端自动识别功能a）通过终端访问操作系统时应使用终端自动识别功能来验证与其连接的终端的位置和连接类型。如果会话必须从某一位置或计算机终端开始，则应尽量使用终端自动识别技术。b）终端内部附带的标识可说明是否允许该终端开始或接收某些具体事务。应尽量对终端进行物理保护，维护终端标识的安全。2.2.2登录程序登录程序应最大限度地减少公开的信息，以避免非法用户使用。登录程序应：a）在登录过程未成功之前禁止显示系统或应用的标识。b）显示一般性注意事项，提醒用户只有合法用户才能访问计算机。c）登录期间禁止提供帮助消息。d）只有在所有输入数据完成后才能验证登录信息。出错时，系统不应说明哪部分数据正确，哪部分数据错误。e）应限制允许登录的失败次数（宜为3次）并考虑：1）记录失败次数。2）允许再次登录之前必须进行时延，或者如果未获得明确授权则必须拒绝再次登录。3）断开数据链路连接。f）限制登录程序允许的时间上限和下限。如果超过限制，则系统必须终止登录过程。g）成功登录后，宜显示以下信息：1）以前成功登录的日期和时间。2）上次成功登录以来登录失败的详细情况。2.2.3登录超时a）高风险地域（如无法进行安全管理的公共或外部区域）或服务于高风险系统的终端如果处于不工作状态，则必须在设定的不工作时间后予以关闭，防止非法用户进行访问。b）为所有PC提供有限的终端超时功能。当系统超时未激活时，应能够自动锁住系统，防止非法访问，但不宜关闭应用或网络会话。c）超时的时间设置取决于连接系统的重要程度、终端风险暴露程度以及终端上信息的业务价值。2.3用户账号安全2.3.1用户身份识别和验证a）信息系统所有用户都应拥有个人专用的唯一标识符（用户ID，以便操作能够追溯到具体责任人）。但是在认证和授权体系没有建立之前，特定操作系统内所有的用户必须有一个唯一的ID，并且该ID名称不能让人猜测到该用户的权限级别，如管理员、主管等。b）对于每一个申请使用系统的用户，应要求填写账号申请表，并在表格中包含公司的密码安全政策规范，明确违反该规范的后果和责任，同时要求用户签名以产生法律效力。c）对于用户身份的验证，宜采用多种身份验证程序来加以证实。口令是一种很常见的身份识别和验证方法。采用加密方法和身份验证协议也可达到同样的效果。也可使用用户的内存标记或智能卡等进行身份识别和验证。也可使用基于个人唯一特点或特性的生物统计学身份验证技术来验证用户身份。将安全技术和安全机制结合起来可进行更为严格的身份验证。2.3.2用户账号过期系统中过期用户账号的存在是一个巨大的威胁。a）应设置用户账号的有效日期（例如可设置用户账号的有效期为一年）。b）当某一个用户账号过期时，系统必须检查确认该用户账号所对应的员工是否还继续留在公司，如果不是则将该用户账号自动删除，否则继续激活该用户账号。c）如果用户账号过期了但是用户无法联系到（例如正在度假），可先将其用户账号锁住，等用户回来以后按需要激活。2.3.3Guest账号Guest账号是操作系统安全的又一安全隐患：a）应禁止长期保留Guest账号。b）当系统安装完成以后必须视情况删除Guest账号，当用户确实需要Guest账号进行临时的访问时，才可将Guest账号激活。c）应确保Guest账号的口令安全。2.3.4无口令用户账号在很多系统中，一般都会存在很多默认的无口令的用户账号，这些账号只用于执行特定的命令，这些账号一般不设口令，当攻击者攻破系统以后，就可能利用这些账号执行恶意程序，从而控制或者破坏整个系统。所有操作系统应禁止使用无口令的用户账号。2.3.5用户组除非有特殊的要求，不应有多个用户共享一个用户ID和口令，而应使用用户组的概念来代替。2.3.6用户账号安全其它事项a）系统管理员应具有两个用户账号，一个作为系统的常规用户，执行阅读文档，收发电子邮件等常规性操作，另一个用作管理，即真正具有管理员效力的用户账号。b）用户账号重命名，也就是对默认的账号重命名。包括administrator、guest以及其它一些在安装软件时(如IIS）自动建立的账号。c）建立伪管理员用户账号，如在Windows2000系统中建立用户名为“administrator”的用户，并设定一个难以推测的口令，但是不赋予其真正的管理员权限。2.4用户口令安全强制用户账号的口令需要采取一定的策略来保证，同时需要操作系统管理员来保证用户账号密码的安全。关于口令的安全标准详见《中国石油天然气股份有限公司通用安全管理标准》中口令安全部分，以下是一些和操作系统密切相关的口令的安全规范。2.4.1口令选择口令选择的目标在于使密码易记难猜。即对于口令的主人而言密码非常容易记住，但对于攻击者而言，却很难通过密码主人的特征、习惯等来推测密码。用户在选择密码时应遵循如下原则：a）禁止使用登录账号或者登录账号的任何变形（例如大写、反序等）作为口令。b）口令不应包含任何个人信息，例如名字、生日、电话号码、身份证号码、门牌号等。c）禁止使用全部是数字或者字母的口令。d）不应使用常规的单词，例如英文辞典中查得到的单词。e）口令长度必须大于6个字符。f）必须同时包含大小写字母。g）口令中必须包含非字母字符，例如数字和标点。h）宜使用一个可很快输入的口令。2.4.1.1口令政策口令安全除了要求用户选择安全性高的口令外，还需要有一系列的口令政策保证口令的安全，这主要包括：a）所有操作系统中的口令，用户只能记在心里，不应以任何形式出现在纸面上，也不应出现在计算机文档中。b）不应将口令给其它人。c）口令必须定期更新，系统宜自动提示用户定期更换口令。d）应使用个人口令，明确责任。e）根据情况可让用户更改自己的口令，还可让用户采用一种确认程序，允许出现输入错误。f）用户首次登录时要求用户必须更改临时口令。g）应记录用户以前的口令记录（如过去12个月的记录）防止重复使用。h）安装软件后更改默认的供应商口令。2.4.1.2检查口令