《os操作系统安全管理规范_030326_v3_fdqgc.docx》由会员分享,可在线阅读,更多相关《os操作系统安全管理规范_030326_v3_fdqgc.docx(148页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、中国石油油信息安安全标准准编号:中国石油油天然气气股份有有限公司司操作系统统安全管管理规范范(审阅稿稿)版本号:V3审阅人:王巍中国石油油天然股股份有限限公司前 言随着中国国石油天天然气股股份有限限公司(以以下简称称“中国石石油”)信息息化建设设的稳步步推进,信信息安全全日益受受到中国国石油的的广泛关关注,加加强信息息安全的的管理和和制度无无疑成为为信息化化建设得得以顺利利实施的的重要保保障。中中国石油油需要建建立统一一的信息息安全管管理政策策和标准准,并在在集团内内统一推推广、实实施。本规范是是依据中中国石油油信息安安全的现现状,参参照国际际、国内内和行业业相关技技术标准准及规范范,结合合中
2、国石石油自身身的应用用特点,制制定的适适合于中中国石油油信息安安全的标标准与规规范。目目标在于于通过在在中国石石油范围围内建立立信息安安全相关关标准与与规范,提提高中国国石油信信息安全全的技术术和管理理能力。信息技术术安全总总体框架架如下:1) 整体信息息技术安安全架构构从逻辑辑上共分分为7个个部分,分分别为:物理环环境、硬硬件设备备、网络络、操作作系统、数数据和文文档、应应用系统统和通用用安全管管理标准准。图中中带阴影影的方框框中带书书名号的的为单独独成册的的部分,共共有133本规规范和和1本通通用标准准。2) 对于133个规规范中中具有一一定共性性的内容容我们整整理出了了7个标标准横横向贯
3、穿穿整个架架构,这这7个标标准的的组合也也依据了了信息安安全生命命周期的的理论模模型。每每个标标准都都会对所所有的规规范中中相关涉涉及到的的内容产产生指导导作用,但但每个标标准应应用在不不同的规规范中中又会有有相应不不同的具具体的内内容。我我们在行行文上将将这六个个标准组组合成一一本通用用的安全全管理标标准单独独成册。3) 全文以信信息安全全生命周周期的方方法论作作为基本本指导,规规范和和标准准的内内容基本本都根据据预防保保护检测测跟踪响响应恢复复的理论论基础行行文。近年来,随随着世界界市场上上对信息息安全产产品的需需求迅速速增长以以及对系系统安全全的挑战战不断加加剧,美美国、加加拿大和和欧洲
4、一一些国家家联合起起来,在在美国的的TCSSEC、欧欧洲的IITSEEC、加加拿大的的CTCCPECC、美国国的FCC 等信信息安全全准则的的基础上上,提出出了“信息技技术安全全评价通通用准则则(Thhe CCommmon Criiterria forr Innforrmattionn Teechnnoloogy Seccuriity Evaaluaatioon, CC)”,它它综合了了过去信信息安全全的准则则和标准准,形成成了一个个更全面面的框架架。19999年年5月,国国际标准准化组织织和国际际电联(IISO/IECC)通过过了将CCC作为为国际标标准ISSO/IIEC 154408信信息
5、技术术安全评评估准则则的最后后文本。操作系统及数据库也存在着安全级别,并在CC和 TCSEC中都有详细划分。 -TCSSEC将将计算机机系统的的安全可可信性分分为七个个级别: -D 最最低安全全性;-C1 自主存存取控制制;-CC2 较较完善的的自主存存取控制制 (DDAC)、审计计;-BB1 强强制存取取控制(MACC);-B2 良好的的结构化化设计、形形式化安安全模型型;-BB3 全全面的访访问控制制、可信信恢复;-A11 形式式化认证证。 就TCCSECC评估来来说,达达到B级级标准的的操作系系统即称称为安全全操作系系统。在在B级的的安全计计算机系系统中,安安全级这这个概念念包含级级别和
6、类类别两方方面,安安全级的的级别之之间具有有可比性性,如同同2级大大于1级级一样;而安全全级的类类别如同同所属的的部门,就就像某人人属于的的单位,这这个单位位可大到到整个跨跨国公司司,也可可小到所所属的最最小团体体,甚至至就是他他本人。这这样一种种安全级级定义,在在计算机机系统中中就可将将一个用用户定义义成“属属于那几几个部门门的、级级别为几几的用户户”,这这就是该该用户的的安全级级,凡是是该用户户运行的的进程均均具有这这个安全全级;同同样,在在计算机机系统中中也可将将一个文文件(主主页)定定义成“属属于哪几个部部门的、级级别为几几的文件件(主页页)”,这这就是该该文件的的安全级级。当用用户的
7、安安全级与与文件(主主页)的的安全级级满足一一定的存存取控制制规则时时,该用用户才可可对该文文件(主主页)进进行相应应的读/写操作作。这样样,便实实现了在在计算机机系统中中的对用用户和文文件(主主页)的的层次化化分类管管理。 但是,仅仅仅通过过简单的的等级评评估还不不足以保保障操作作系统的的安全,因因此本规规范主要要从操作作系统的的使用、维维护管理理等多方方面对于于操作系系统进行行了相关关的安全全方面的的规范,保保证了操操作系统统的安全全。本规范由由中国石石油天然然气股份份有限公公司发布布。本规范由由中国石石油天然然气股份份有限公公司科技技与信息息管理部部归口管管理解释释。起草部门门:中国国石
8、油制制定信息息安全政政策与标标准项目目组。说 明在中国石石油信息息安全标标准中涉涉及以下下概念:组织机构构中国石油油(PeetrooChiina) 指指中国石石油天然然气股份份有限公公司有时时也称“股份公公司”。集团公司司(CNNPC) 指中中国石油油天然气气集团公公司有时时也称“存续公公司”。为区区分中国国石油的的地区公公司和集集团公司司下属单单位,但但提及“存续部部分”时指集集团公司司下属的的单位。如如:辽河河油田分分公司存存续部分分指集团团公司下下属的辽辽河石油油管理局局。计算机网网络中国石油油信息网网(PeetrooChiinaNNet) 指指中国石石油范围围内的计计算机网网络系统统。
9、中国国石油信信息网是是在中国国石油天天然气集集团公司司网络的的基础上上,进行行扩充与与提高所所形成的的连接中中国石油油所属各各个单位位计算机机局域网网和园区区网。集团公司司网络(CCNPCCNett) 指指集团公公司所属属范围内内的网络络。中国国石油的的一些地地区公司司是和集集团公司司下属的的单位共共用一个个计算机机网络,当当提及“存续公公司网络络”时,指指存续公公司使用用的网络络部分。主干网 是从从中国石石油总部部连接到到各个下下属各地地区公司司的网络络部分,包包括中国国石油总总部局域域网、各各个二级级局域网网(或园园区网)和和连接这这些网络络的专线线远程信信道。有有些单位位通过拨拨号线路路
10、连接到到中国石石油总部部,不是是利用专专线,这这样的单单位和所所使用的的远程信信道不属属于中国国石油专专用网主主干网组组成部分分。地区网 地区区公司网网络和所所属单位位网络的的总和。这这些局域域网或园园区网互互相连接接所使用用的远程程信道可可是专线线,也可可是拨号号线路。局域网与与园区网网 局局域网通通常指,在在一座建建筑中利利用局域域网技术术和设备备建设的的高速网网络。园园区网是是在一个个园区(例例如研究究院园区区、管理理局基地地等)内内多座建建筑内的的多个局局域网,利利用高速速信道互互相连接接起来所所构成的的网络。园园区网所所利用的的设备、运运行的网网络协议议、网络络传输速速度基本本相同于
11、于局域网网。局域域网和园园区网通通常都是是用户自自己建设设的。局局域网和和园区网网与广域域网不同同,广域域网不仅仅覆盖范范围广,所所利用的的设备、运运行的协协议、传传送速率率都与局局域网和和园区网网不同。传传输信息息的信道道通常都都是电信信部门建建设的。二级单位位网络 指地地区公司司下属单单位的网网络的总总和,可可能是局局域网,也也可能是是园区网网。专线与拨拨号线路路 从连连通性划划分的两两大类网网络远程程信道。专专线,指指数字电电路、帧帧中继、DDN和ATM等经常保持连通状态的信道;拨号线路,指只在传送信息时才建立连接的信道,如电话拨号线路或ISDN拨号线路。这些远程信道可能用来连接不同地区
12、的局域网或园区网,也可能用于连接单台计算机。石油专网网与公网网 石石油专业业电信网网和公共共电信网网的简称称。最后一公公里问题题 建建设广域域网时,用用户局域域网或园园区网连连接附近近电信部部门信道道的最后后一段距距离的连连接问题题。这段段距离通通常小于于一公里里,但也也有大于于一公里里的情况况。为简简便,同同称为最最后一公公里问题题。涉及计算算机网络络的术语语和定义义请参见见中国国石油局局域网标标准。目 录第 1 章操作系系统安全全管理概概述101.1概述101.2目标101.3规范的的适用范范围111.4规范引引用的文文件或标标准121.5术语和和定义13第 2 章操作系系统安全全管理通通
13、则152.1操作系系统安全全的一般般性原则则152.2操作系系统访问问控制要要求162.2.1用户终终端自动动识别功功能162.2.2登录程程序172.2.3登陆超超时172.2.4系统实实用程序序的使用用182.3用户账账号安全全182.3.1用户身身份识别别和验证证182.3.2用户账账号过期期192.3.3Gueest用用户账号号202.3.4无口令令用户账账号202.3.5用户组组202.3.6用户账账号安全全其它事事项202.4用户口口令安全全212.4.1口令选选择212.5操作系系统网络络安全242.6文件系系统安全全252.7系统监监控26第 3 章UNIIX操作作系统273.
14、1用户账账号安全全273.1.1用户账账号策略略273.1.2用户账账号管理理273.1.3特殊帐帐户283.1.4超级用用户账户户283.1.5普通用用户账户户283.1.6UNIIX 口口令安全全293.1.7搜索路路径(PPATHH)限制制293.2网络安安全303.2.1受信主主机(ttrusstedd hoost)303.2.2安全终终端303.2.3网络文文件系统统(NFFS)313.2.4FTPP313.2.5电子邮邮件323.2.6Finngerr323.2.7关闭不不必要的的端口333.3文件系系统安全全353.3.1UNIIX文件件系统安安全机制制353.3.2Settui
15、dd和Settgidd脚本363.3.3umaask值值363.3.4文件加加密363.3.5设备363.4系统监监控373.4.1账号监监控373.4.2系统监监控383.4.3文件系系统监控控安全38第 4 章WINNDOWWS操作作系统(服服务器端端)414.1用户账账号安全全414.1.1用户权权限指派派414.1.2上一次次登录用用户清除除424.1.3用户账账号数据据库加密密424.1.4实施口口令安全全424.1.5禁止缓缓存登录录的信任任状态信信息434.2网络和和服务安安全444.2.1删除DOOS,WWINDDOWSS,OSS/2和和Possix子子系统444.2.2关闭不
16、不必要的的服务454.2.3关闭不不必要的的端口484.2.4实施IPPSecc494.2.5加强定定时服务务的安全全504.3文件系系统安全全514.3.1分区格格式514.3.2磁盘分分区514.3.3复制和和移动文文件514.3.4文件共共享514.3.5文档服服务器使使用534.3.6禁用Duump文文件生成成功能534.3.7使用加加密文件件系统功功能(EEFS)534.3.8加密临临时文件件夹534.3.9在关机机的时候候清除页页面交换换文件544.3.10禁止软软盘启动动和光盘盘启动544.3.11禁用光光盘的自自动运行行功能544.3.12加强打打印机驱驱动的安安全544.3.
17、13加强共共享系统统对象的的安全554.4系统监监控564.4.1系统监监控类型型564.4.2日志设设置方式式574.4.3日志文文件安全全574.5组件和和注册表表安全584.5.1注册表表审核功功能584.5.2注册表表访问授授权58第 5 章WINNDOWWS操作作系统(客客户端)605.1用户账账号安全全605.1.1用户帐帐号605.1.2上一次次登录用用户清除除605.1.3用户账账号数据据库加密密605.1.4实施口口令安全全615.1.5禁止缓缓存登录录的信任任状态信信息615.1.6加强定定时服务务的安全全625.2文件系系统安全全635.2.1分区格格式635.2.2磁盘
18、分分区635.2.3复制和和移动文文件635.2.4文件共共享635.2.5禁用Duump文文件生成成功能655.2.6使用加加密文件件系统功功能(EEFS)655.2.7加密临临时文件件夹655.2.8在关机机的时候候清除页页面交换换文件665.2.9禁止软软盘启动动和光盘盘启动665.2.10禁用光光盘的自自动运行行功能665.2.11加强打打印机驱驱动的安安全665.2.12加强共共享系统统对象的的安全675.3组件和和注册表表安全685.3.1注册表表审核功功能685.3.2注册表表访问授授权68第 6 章操作系系统补丁丁规程706.1补丁相相关人员员架构和和职责706.1.1建立补补
19、丁和系系统脆弱弱性监测测小组706.1.2补丁和和系统脆脆弱性监监测小组组相关职职责706.1.3各个系系统管理理员的补补丁相关关的职责责736.2补丁流流程756.2.1补丁程程序的获获取756.2.2补丁实实施计划划考虑766.2.3补丁测测试776.2.4补丁实实施796.2.5补丁自自动分发发826.2.6建立标标准化系系统设置置826.2.7用户培培训836.3操作系系统主要要补丁资资源列表表846.3.1winndowws系列列操作系系统补丁丁列表846.3.2主流Unnix/Lunnix操操作系统统安全补补丁站点点856.3.3Uniix/LLinuux系列列操作系系统网站站列表
20、87附录 11参考文文献91附录 22本规范范用词说说明92第 1 章 操作系统统安全管管理概述述1.1 概述操作系统统作为计计算机系系统的基基础软件件是用来来管理计计算机资资源的,它它直接利利用计算算机硬件件并为用用户提供供使用和和编程接接口。各各种应用用软件均均建立在在操作系系统提供供的系统统软件平平台之上上,上层层的应用用软件要要想获得得运行的的高可靠靠性和信信息的完完整性、保保密性,必必须依赖赖于操作作系统提提供的系系统软件件基础。脱脱离了他他,任何何想像中中的应用用软件的的高安全全性都毫毫无根基基可言。在在网络环环境中,网网络系统统的安全全性依赖赖于网络络中各主主机系统统的安全全性,
21、而而主机系系统的安安全性正正是由其其操作系系统的安安全性所所决定的的,没有有安全的的操作系系统的支支持,网网络安全全也毫无无根基可可言。本规范通通过四个个部分对对操作系系统所需需要注意意的安全全问题和和相应的的规范进进行了具具体的阐阐述。第第一个部部分主要要阐述了了各种主主流的操操作系统统都需要要注意的的通用的的安全问问题和规规范。第第二和第第三部分分分别阐阐述了目目前市场场上主流流的两大大操作系系统(WWinddowss系列和和Uniix系列列)的相相对独特特的安全全相关问问题和规规范。最最后一个个部分主主要阐述述了系统统实施安安全补丁丁的相关关的规范范。1.2 目标本规范的的目标为为:通过
22、对各各种不同同类型的的操作系系统进行行安全方方面的规规范,保保证目前前中国石石油现有有的各种种服务器器系统或或用户端端信息设设备使用用的操作作系统的的安全,防防止由于于采用了了不安全全的操作作系统而而产生的的安全问问题或埋埋下安全全隐患。使使得这些些操作系系统免受受未经授授权的访访问,防防止操作作系统遭遭受如登登陆程序序问题、口口令质量量问题、授授权用户户滥用职职权等威威胁或薄薄弱点的的侵害。1.3 适用范围围本套规范范适用的的范围包包括了所所有和操操作系统统相关的的安全问问题和安安全事件件。具体体来说包包括了操操作系统统通用的的安全规规范,主主流的操操作系统统(Wiindoows系系列和UU
23、nixx系列)的安全全规范和和操作系系统相关关的补丁丁实施安安全规范范。一些些非主流流的操作作系统如如Linnux由由于其成成熟度和和安全性性相对较较差,且且目前中中国石油油并未大大规模的的使用,因因此没有有对其制制定相关关的安全全规范。其中 WWinddowss操作系系统安全全主要考考虑WiindoowsNNT系列列的安全全,包括括Winndowws NNT,以以及基于于NT操操作系统统的Wiindoows 20000 SServver以以及Wiindoows 20000 PProffesssionnal的的安全,由由于Wiindoows99x操作作系统本本身的安安全性比比较差,无无法进行行
24、较高等等级的安安全配置置,不应应在较重重要的个个人电脑脑或笔记记本电脑脑中使用用。1.4 规范引用用的文件件或标准准下列文件件中的条条款通过过本标准准的引用用而成为为本标准准的条款款。本标标准出版版时,所所示版均均为有效效。所有有标准都都会被修修订,使使用本标标准的各各方应探探讨使用用下列标标准最新新版本的的可能性性。1. GB/TT 93887-119955 信息息处理系系统 开开放系统统互连基基本参考考模型(IISO774988 :119899)2. GB1778599-19999 计算机机信息系系统安全全保护等等级划分分准则3. GA/TT 3991-220022 计算算机信息息系统安安
25、全等级级保护管管理要求求4. ISO/IECC TRR 1333555 信息息技术安安全管理理指南5. NISTT信息安安全系列列美国国国家标标准技术术院6. 英国国家家信息安安全标准准BS7779997. 信息安全全基础保保护ITT Baasellinee Prroteectiion Mannuall (GGermmanyy)8. BearringgPoiint Connsulltinng 内内部信息息安全标标准9. RU SSecuure安安全技术术标准10. 信息系统统安全专专家丛书书Cerrtifficaate Infformmatiion Sysstemms SSecuuritty
26、PProffesssionnal1.5 术语和定定义访问控制制acceess conntrool 一一种安全全保证手手段,即即信息系系统的资资源只能能由被授授权实体体按授权权方式进进行访问问,防止止对资源源的未授授权使用用。可用性aavaiilabbiliity 数据或或资源的的特性,被被授权实实体按要要求能及及时访问问和使用用数据或或资源。生物特征征认证bbiommetrric autthennticcatiion是是指通过过计算机机利用人人体所固固有的生生理特征征或行为为特征来来进行个个人身份份识别和和(或)验验证目的的。常用用的生物物特征包包括:指指纹、掌掌纹、虹虹膜、脸脸像等。保密性c
27、conffideentiialiity 数据所所具有的的特性,即即表示数数据所达达到的未未提供或或未泄露露给未授授权的个个人、过过程或其其他实体体的程度度。数字证书书 diggitaal ccerttifiicatte是一一个经证证书认证证机构(CA)数字签签名的包包含用户户身份信信息以及及公开密密钥信息息的电子子文件,是是各实体体在网上上进行信信息交流流及商务务活动的的电子身身份证。身份识别别 idenntitty aauthhentticaatioon 使信息息处理系系统能识识别出用用户、设设备和其其他实体体的测试试实施过过程。同同身份验验证。例:检验验一个口口令或身身份权标标。入侵检测测
28、 inttrussionn deetecctioon自动动检测网网络数据据流中潜潜在入侵侵、攻击击和滥用用方式,提提供了网网络安全全保护功功能。它它位于被被保护的的内部网网络和不不安全的的外部网网络之间间,通过过实时截截获网络络数据流流,寻找找网络违违规模式式和未授授权的网网络访问问尝试。完整性iinteegriity在在防止非非授权用用户修改改或使用用资源和和防止授授权用户户不正确确地修改改或使用用资源的的情况下下,信息系系统中的的数据与与在原文文档中的的相同,并并未遭受受偶然或或恶意的的修改或或破坏时时所具的的性质。日志 llog一一种信息息的汇集集, 记录录有关对对系统操操作和系系统运行
29、行的全部部事项,提提供了系系统的历历史状况况。最小权限限minnimuum pprivvileege 主体的的访问权权限制到到最低限限度,即即仅执行行授权任任务所必必需的那那些权利利。口令paasswwordd 用来来鉴别实实体身份份的受保保护或秘秘密的字字符串。安全操作作系统 seccuriity opeerattionn syysteem 为了对对所管理理的数据据与资源源提供适适当的保保护级,而而有效地地控制硬硬件与软软件功能能的操作作系统。威胁thhreaat 一种潜潜在的对对安全的的侵害以以破坏、泄泄漏、数数据修改改和拒绝绝服务的的方式,可可能对系系统造成成损害的的环境或或潜在事事件。
30、(GB993877-955)受信主机机(trrustted hosst) 提供充充分的计计算机安安全的信信息处理理能力的的主机,它它允许具具有不同同访问权权的用户户并发访访问数据据,以及及访问具具有不同同安全等等级和安安全种类类的数据据。加密enncryyptiion 通过密密码系统统把明文文变换为为不可懂懂的形式式。校验 vveriificcatiion 将某一一活动、处处理过程程或产品品与相应应的要求求或规范范相比较较。例:将某某一规范范与安全全策略模模型相比比较,或或者将目目标代码码与源代代码相比比较。弱点vuulneerabbiliity 导致破破坏系统统安全策策略的系系统安全全规程、
31、系系统设计计、实现现、内部部控制等等方面的的薄弱环环节,在在信息系系统中能能被威胁胁利用产产生风险险。PAM 可插拔拔的认证证模块 Pluuggaablee Auutheentiicattionn Moodulles NFS 网络文文件系统统PGP 最佳隐隐私加密密第 2 章 操作系统统安全管管理通则则2.1 操作系统统安全的的一般性性原则操作系统统一般都都提供了了充分的的安全措措施,充充分利用用这些安安全措施施可避免免出现很很多的安安全问题题。下文文指出了了操作系系统安全全需要遵遵循的一一般性原原则,中中国石油油的系统统管理相相关人员员必须在在系统管管理中理理解、遵遵循和实实践这些些原则:a
32、) 禁用不必必要的服服务,尽尽量将系系统中不不用的服服务、尤尤其是网网络服务务关闭,从从而使攻攻击的可可能性降降至最低低。b) 对等认证证原则(Truusteed PPathh),对对等认证证原则是是指在某某一实体体(程序序、用户户等)直直接和系系统上的的另一实实体通讯讯之前必必须相互互认证。该该原则主主要用于于防止木木马程序序。c) 最小权限限原则,最最小权限限原则是是指系统统只能授授予应用用程序和和用户必必要的权权限,而而不能授授予额外外的权限限。(例例如对于于有些备备份程序序而言,它它必须访访问所有有文件,因因此一般般该程序序都被授授予rooot或或者管理理员的权权限,但但是这也也意味着
33、着备份程程序除了了能够做做备份以以外还能能做一些些关闭系系统,创创建用户户等rooot用用户具有有的功能能,但这这些功能能显然不不是备份份程序应应具有的的,因此此应只赋赋予该备备份程序序所必需需的最小小的权限限如读写写的权限限)。d) 强制式文文档权限限控制原原则(NNon-Disscreetioonarry PProttecttionn),大大多数操操作系统统都提供供了自主主访问控控制,即即文档的的权限完完全由文文档作者者控制,他他可确定定其它所所有用户户对该文文档的权权限,但但是在某某些情况况下需要要有集中中式文档档权限控控制做为为补充,即即将部分分极其重重要的文文档的权权限控制制集中管管
34、理,由由安全管管理专员员负责这这些文档档的权限限授予。e) 通过补丁丁增进系系统安全全,补丁丁程序是是弥补系系统弱点点(vuulneerabbiliity)的的最佳途途径,本本文的第第五章专专门讲述述了补丁丁的重要要性和补补丁的流流程。f) 在计算机机上安装装软件防防火墙系系统是保保证操作作系统安安全的又又一重要要保证,需需要在所所有重要要服务器器和重要要个人电电脑(包包括笔记记本电脑脑)中安安装软件件防火墙墙系统。目目前大多多数的防防病毒软软件具有有类似的的安全功功能。其其他的手手段还包包括安装装防病毒毒软件、入入侵检测测软件和和弱点扫扫描工具具。g) 对于重要要的数据据有必要要进行加加密,
35、具具体参见见文档档和数据据安全规规范h) 安全性能能评估,对对于安全全产品的的选用上上,中国国石油需需要采取取谨慎和和大胆相相结合的的策略,放放心使用用经过权权威第三三方认证证的安全全产品如如通过CCC或TCSSEC所所规定的的B级标标准的操操作系统统。i) 系统管理理员应随随时保持持警惕以以预防攻攻击事件件的发生生或者将将攻击的的危害降降至最低低。2.2 操作系统统访问控控制要求求操作系统统安全的的另一个个方面是是对系统统资源的的访问控控制要求求。当用用户或者者应用程程序访问问系统资资源时要要求操作作系统管管理员通通过设置置必要的的选项完完成以下下功能:a) 提供适当当的身份份验证方方法。如
36、如果使用用了口令令管理系系统,则则应确保保使用高高质量的的口令(参参见本规规范2.3、22.4章章节用户帐帐号安全全、用户户口令安安全)。b) 识别和验验证身份份。如果果需要,还还要验证证每个合合法用户户的终端端或位置置。c) 记录成功功和失败败的系统统访问(日日志信息息)。d) 根据情况况限制用用户连接接时间。2.2.1 用户终端端自动识识别功能能a) 通过终端端访问操操作系统统时应使使用终端端自动识识别功能能来验证证与其连连接的终终端的位位置和连连接类型型。如果果会话必必须从某某一位置置或计算算机终端端开始,则则宜使用用终端自自动识别别技术。b) 终端内部部附带的的标识可可说明是是否允许许
37、此终端端开始或或接收某某些具体体事务。宜宜对终端端进行物物理保护护,维护护终端标标识的安安全。2.2.2 登录程序序通过安全全的登录录程序应应能够访访问信息息服务。计计算机系系统登录录程序按按其设计计应最大大限度地地降低非非法访问问的几率率。因而而,登录录程序应应最大限限度地减减少公开开的系统统信息,避避免为非非法用户户提供方方便。登登录程序序应:a) 在登录过过程未成成功之前前禁止显显示系统统或应用用的标识识。b) 应显示一一般性注注意事项项,提醒醒用户只只有合法法用户才才能访问问计算机机。c) 登录期间间禁止提提供帮助助消息,以以免为非非法用户户提供方方便。d) 只有在所所有输入入数据完完
38、成后才才验证登登录信息息。出错错时,系系统不应应说明哪哪部分数数据正确确,哪部部分数据据错误。e) 应限制允允许进行行的登录录的失败败次数(宜宜为3次次)并考考虑:1) 记录失败败次数。2) 允许再次次登录之之前必须须进行时时延,或或者如果果未获得得明确授授权则必必须拒绝绝再次登登录。3) 断开数据据链路连连接。f) 限制登录录程序允允许的时时间上限限和下限限。如果果超过限限制,则则系统必必须终止止登录过过程。g) 成功登录录完成后后,宜显显示以下下信息;1) 以前成功功登录的的日期和和时间。2) 上次成功功登录以以来登录录失败的的详细情情况。2.2.3 登陆超时时a) 高风险地地域(如如组织
39、无无法进行行安全管管理的公公共或外外部区域域)或服服务于高高风险系系统的终终端如果果处于不不工作状状态,则则必须在在设定的的不工作作时间后后予以关关闭,防防止非法法用户进进行访问问。b) 为所有PPC提供供有限的的终端超超时功能能。当系系统超时时未激活活时,应应能够自自动锁住住系统,防防止非法法访问,但但不宜关关闭应用用或网络络会话。c) 超时的时时间取决决于连接接的系统统的重要要程度、终终端风险险暴露程程度以及及终端上上信息的的业务价价值。2.2.4 系统实用用程序的的使用大多数计计算机操操作系统统都有一一个或多多个能够够越过系系统和应应用控制制措施的的系统实实用程序序。应对对其使用用严加控
40、控制。应应考虑采采用以下下控制措措施:a) 必须使用用系统实实用程序序的身份份验证程程序。b) 把系统实实用程序序从应用用软件中中分离出出来。c) 系统实用用程序的的使用应应仅限于于最小实实际委托托授权用用户数。d) 应对系统统实用程程序的特特殊使用用授权。e) 应限制系系统实用用程序的的可用性性,如授授权更改改的期限限。f) 应记录系系统实用用程序的的各种使使用情况况。g) 应对系统统实用程程序的授授权级别别进行定定义和备备案。h) 应及时移移去所有有不必要要软件的的实用程程序和系系统软件件。2.3 用户账号号安全2.3.1 用户身份份识别和和验证a) 中国石油油的所有有信息系系统用户户都应
41、拥拥有个人人专用的的唯一标标识符(用用户IDD,以便便操作能能够追溯溯到具体体责任人人。但是是在认证证和授权权体系没没有建立立之前,特特定操作作系统内内所有的的用户必必须有一一个唯一一的IDD,并且且该IDD名称不不能让人人猜测到到该用户户权限级级别,如如管理员员、主管管。b) 对于每一一个系统统的所有有用户,应应要求填填写账号号申请表表,并在在表格中中包含公公司的密密码安全全政策规规范,明明确违反反该规范范的后果果和责任任,同时时要求用用户签名名产生法法律效力力。c) 对于用户户提供的的身份,宜宜使用多多种身份份验证程程序来加加以证实实。口令令是一种种很常见见的身份份识别和和验证方方法。同同
42、样也可可采用加加密方法法和身份份验证协协议达到到同样的的效果。也也可使用用用户的的内存标标记或智智能卡等等进行身身份识别别和验证证。也可可使用基基于个人人唯一特特点或特特性的生生物统计计学身份份验证技技术来验验证用户户身份。将将安全技技术和安安全机制制结合起起来 可可进行更更为严格格的身份份验证。具具体参见见中国国石油认认证和授授权技术术方案。2.3.2 用户账号号过期对于中国国石油这这样的大大型企业业而言,系系统中很很容易存存有过期期的用户户账号(如如用户账账号所代代表的个个人已经经离开中中国石油油,但是是该员工工所属的的用户账账号却还还留在系系统中),这这种过期期用户账账号的存存在对于于中
43、国石石油而言言是一个个巨大的的威胁,因因为这些些用户账账号没有有人关注注,其次次万一这这些用户户账号被被人利用用,很难难被人发发现。a) 应设置用用户账号号的有效效日期。(例例如中国国石油可可设置用用户账号号的有效效期为一一年)。b) 当某一个个用户账账号过期期的时候候,系统统必须检检查确认认该用户户账号所所对应的的员工是是否还继继续留在在公司,如如果不是是则将该该用户账账号自动动删除,否否则继续续激活该该用户账账号。c) 如果用户户账号过过期了但但是用户户无法联联系到(例例如正在在度假),可可先将其其用户账账号锁住住,等用用户回来来以后激激活。2.3.3 Guesst用户户账号Guesst用
44、户户账号是是操作系系统安全全的又一一安全隐隐患:a) 中国石油油应禁止止长期保保留Guuestt用户账账号。b) 当系统安安装完成成以后必必须马上上删除GGuesst用户户账号,当当用户确确实需要要Gueest用用户账号号进行临临时的访访问时,才才将Guuestt用户账账号激活活。c) 应确保GGuesst用户户账号的的口令安安全。可可参见22.4章章节用用户口令令安全。2.3.4 无口令用用户账号号在很多系系统中,一一般都会会默认存存在很多多系统级级的无口口令的用用户账号号,这些些用户账账号只用用于执行行特定的的命令,为为了方便便用户的的使用,一一般这些些用户账账号不设设口令,当当攻击者者攻
45、破系系统以后后,就有有可能通通过该帐帐号执行行他们自自己的恶恶意程序序,从而而控制或或者破坏坏整个系系统。a) 中国石油油所使用用的所有有操作系系统中禁禁止存在在无口令令的用户户账号。2.3.5 用户组除非有极极为特殊殊的要求求,不应应有多个个用户共共享一个个用户IID和口口令,而而应使用用用户组组的概念念来代替替。2.3.6 用户账号号安全其其它事项项a) 宜考虑使使用SmmarttCarrd生物物特征认认证等强强认证方方式,WWinddow220000提供该该功能的的支持,但但是需要要在事先先考虑投投入的成成本是否否合理。b) 系统管理理员应具具有两个个用户账账号,一一个作为为系统的的常规用用户,执执行阅读读文档,收收发电子子邮件等等常规性性操作,另另一个用用作管理理,即真真正具有有管理员员效力的的用户账账号。c) 用户账号号重命名名,就是是对默认认的帐号号重命名名。包括括admminiistrratoor、gueest以以及其它它一些由由安装软软件时(如IIss)所自自动建立立的帐号号,可起起到一定定的阻止止作用。d) 建立伪管管理员用用户账号号,宜在在系统建建立用户户名为”admminiistrratoor”的用