安全管理os操作系统安全管理规范030326v3fd.docx
《安全管理os操作系统安全管理规范030326v3fd.docx》由会员分享,可在线阅读,更多相关《安全管理os操作系统安全管理规范030326v3fd.docx(65页珍藏版)》请在冰点文库上搜索。
安全管理os操作系统安全管理规范030326v3fd
(安全管理)os操作系统安全管理规范_030326_v3_fd
中国石油信息安全标准
编号:
中国石油天然气股份有限公司
操作系统安全管理规范
(审阅稿)
版本号:
V3
审阅人:
王巍
中国石油天然股份有限公司
前言
随着中国石油天然气股份有限公司(以下简称“中国石油”)信息化建设的稳步推进,信息安全日益受到中国石油的广泛关注,加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。
中国石油需要建立统一的信息安全管理政策和标准,并在集团内统一推广、实施。
本规范是依据中国石油信息安全的现状,参照国际、国内和行业相关技术标准及规范,结合中国石油自身的应用特点,制定的适合于中国石油信息安全的标准与规范。
目标在于通过在中国石油范围内建立信息安全相关标准与规范,提高中国石油信息安全的技术和管理能力。
信息技术安全总体框架如下:
1)整体信息技术安全架构从逻辑上共分为7个部分,分别为:
物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用安全管理标准。
图中带阴影的方框中带书名号的为单独成册的部分,共有13本《规范》和1本《通用标准》。
2)对于13个《规范》中具有一定共性的内容我们整理出了7个《标准》横向贯穿整个架构,这7个《标准》的组合也依据了信息安全生命周期的理论模型。
每个《标准》都会对所有的《规范》中相关涉及到的内容产生指导作用,但每个《标准》应用在不同的《规范》中又会有相应不同的具体的内容。
我们在行文上将这六个标准组合成一本通用的安全管理标准单独成册。
3)全文以信息安全生命周期的方法论作为基本指导,《规范》和《标准》的内容基本都根据预防——〉保护——〉检测跟踪——〉响应恢复的理论基础行文。
近年来,随着世界市场上对信息安全产品的需求迅速增长以及对系统安全的挑战不断加剧,美国、加拿大和欧洲一些国家联合起来,在美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则的基础上,提出了“信息技术安全评价通用准则(TheCommonCriteriaforInformationTechnologySecurityEvaluation,CC)”,它综合了过去信息安全的准则和标准,形成了一个更全面的框架。
1999年5月,国际标准化组织和国际电联(ISO/IEC)通过了将CC作为国际标准ISO/IEC15408信息技术安全评估准则的最后文本。
操作系统及数据库也存在着安全级别,并在CC和TCSEC中都有详细划分。
TCSEC将计算机系统的安全可信性分为七个级别:
D最低安全性;
C1自主存取控制;
C2较完善的自主存取控制(DAC)、审计;
B1强制存取控制(MAC);
B2良好的结构化设计、形式化安全模型;
B3全面的访问控制、可信恢复;
A1形式化认证。
就TCSEC评估来说,达到B级标准的操作系统即称为安全操作系统。
在B级的安全计算机系统中,安全级这个概念包含级别和类别两方面,安全级的级别之间具有可比性,如同2级大于1级一样;而安全级的类别如同所属的部门,就像某人属于的单位,这个单位可大到整个跨国公司,也可小到所属的最小团体,甚至就是他本人。
这样一种安全级定义,在计算机系统中就可将一个用户定义成“属于那几个部门的、级别为几的用户”,这就是该用户的安全级,凡是该用户运行的进程均具有这个安全级;同样,在计算机系统中也可将一个文件(主页)定义成“属于哪几个部门的、级别为几的文件(主页)”,这就是该文件的安全级。
当用户的安全级与文件(主页)的安全级满足一定的存取控制规则时,该用户才可对该文件(主页)进行相应的读/写操作。
这样,便实现了在计算机系统中的对用户和文件(主页)的层次化分类管理。
但是,仅仅通过简单的等级评估还不足以保障操作系统的安全,因此本规范主要从操作系统的使用、维护管理等多方面对于操作系统进行了相关的安全方面的规范,保证了操作系统的安全。
本规范由中国石油天然气股份有限公司发布。
本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。
起草部门:
中国石油制定信息安全政策与标准项目组。
说明
在中国石油信息安全标准中涉及以下概念:
组织机构
中国石油(PetroChina)指中国石油天然气股份有限公司有时也称“股份公司”。
集团公司(CNPC)指中国石油天然气集团公司有时也称“存续公司”。
为区分中国石油的地区公司和集团公司下属单位,但提及“存续部分”时指集团公司下属的单位。
如:
辽河油田分公司存续部分指集团公司下属的辽河石油管理局。
计算机网络
中国石油信息网(PetroChinaNet)指中国石油范围内的计算机网络系统。
中国石油信息网是在中国石油天然气集团公司网络的基础上,进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。
集团公司网络(CNPCNet)指集团公司所属范围内的网络。
中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络,当提及“存续公司网络”时,指存续公司使用的网络部分。
主干网是从中国石油总部连接到各个下属各地区公司的网络部分,包括中国石油总部局域网、各个二级局域网(或园区网)和连接这些网络的专线远程信道。
有些单位通过拨号线路连接到中国石油总部,不是利用专线,这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。
地区网地区公司网络和所属单位网络的总和。
这些局域网或园区网互相连接所使用的远程信道可是专线,也可是拨号线路。
局域网与园区网局域网通常指,在一座建筑中利用局域网技术和设备建设的高速网络。
园区网是在一个园区(例如研究院园区、管理局基地等)内多座建筑内的多个局域网,利用高速信道互相连接起来所构成的网络。
园区网所利用的设备、运行的网络协议、网络传输速度基本相同于局域网。
局域网和园区网通常都是用户自己建设的。
局域网和园区网与广域网不同,广域网不仅覆盖范围广,所利用的设备、运行的协议、传送速率都与局域网和园区网不同。
传输信息的信道通常都是电信部门建设的。
二级单位网络指地区公司下属单位的网络的总和,可能是局域网,也可能是园区网。
专线与拨号线路从连通性划分的两大类网络远程信道。
专线,指数字电路、帧中继、DDN和ATM等经常保持连通状态的信道;拨号线路,指只在传送信息时才建立连接的信道,如电话拨号线路或ISDN拨号线路。
这些远程信道可能用来连接不同地区的局域网或园区网,也可能用于连接单台计算机。
石油专网与公网石油专业电信网和公共电信网的简称。
最后一公里问题建设广域网时,用户局域网或园区网连接附近电信部门信道的最后一段距离的连接问题。
这段距离通常小于一公里,但也有大于一公里的情况。
为简便,同称为最后一公里问题。
涉及计算机网络的术语和定义请参见《中国石油局域网标准》。
第1章操作系统安全管理概述10
1.1概述10
1.2目标10
1.3规范的适用范围11
1.4规范引用的文件或标准12
1.5术语和定义13
第2章操作系统安全管理通则15
2.1操作系统安全的一般性原则15
2.2操作系统访问控制要求16
2.2.1用户终端自动识别功能16
2.2.2登录程序17
2.2.3登陆超时17
2.2.4系统实用程序的使用18
2.3用户账号安全18
2.3.1用户身份识别和验证18
2.3.2用户账号过期19
2.3.3Guest用户账号20
2.3.4无口令用户账号20
2.3.5用户组20
2.3.6用户账号安全其它事项20
2.4用户口令安全21
2.4.1口令选择21
2.5操作系统网络安全24
2.6文件系统安全25
2.7系统监控26
第3章UNIX操作系统27
3.1用户账号安全27
3.1.1用户账号策略27
3.1.2用户账号管理27
3.1.3特殊帐户28
3.1.4超级用户账户28
3.1.5普通用户账户28
3.1.6UNIX口令安全29
3.1.7搜索路径(PATH)限制29
3.2网络安全30
3.2.1受信主机(trustedhost)30
3.2.2安全终端30
3.2.3网络文件系统(NFS)31
3.2.4FTP31
3.2.5电子邮件32
3.2.6Finger32
3.2.7关闭不必要的端口33
3.3文件系统安全35
3.3.1UNIX文件系统安全机制35
3.3.2Setuid和Setgid脚本36
3.3.3umask值36
3.3.4文件加密36
3.3.5设备36
3.4系统监控37
3.4.1账号监控37
3.4.2系统监控38
3.4.3文件系统监控安全38
第4章Windows操作系统(服务器端)41
4.1用户账号安全41
4.1.1用户权限指派41
4.1.2上一次登录用户清除42
4.1.3用户账号数据库加密42
4.1.4实施口令安全42
4.1.5禁止缓存登录的信任状态信息43
4.2网络和服务安全44
4.2.1删除DOS,WINDOWS,OS/2和Posix子系统44
4.2.2关闭不必要的服务45
4.2.3关闭不必要的端口48
4.2.4实施IPSec49
4.2.5加强定时服务的安全50
4.3文件系统安全51
4.3.1分区格式51
4.3.2磁盘分区51
4.3.3复制和移动文件51
4.3.4文件共享51
4.3.5文档服务器使用53
4.3.6禁用Dump文件生成功能53
4.3.7使用加密文件系统功能(EFS)53
4.3.8加密临时文件夹53
4.3.9在关机的时候清除页面交换文件54
4.3.10禁止软盘启动和光盘启动54
4.3.11禁用光盘的自动运行功能54
4.3.12加强打印机驱动的安全54
4.3.13加强共享系统对象的安全55
4.4系统监控56
4.4.1系统监控类型56
4.4.2日志设置方式57
4.4.3日志文件安全57
4.5组件和注册表安全58
4.5.1注册表审核功能58
4.5.2注册表访问授权58
第5章Windows操作系统(客户端)60
5.1用户账号安全60
5.1.1用户帐号60
5.1.2上一次登录用户清除60
5.1.3用户账号数据库加密60
5.1.4实施口令安全61
5.1.5禁止缓存登录的信任状态信息61
5.1.6加强定时服务的安全62
5.2文件系统安全63
5.2.1分区格式63
5.2.2磁盘分区63
5.2.3复制和移动文件63
5.2.4文件共享63
5.2.5禁用Dump文件生成功能65
5.2.6使用加密文件系统功能(EFS)65
5.2.7加密临时文件夹65
5.2.8在关机的时候清除页面交换文件66
5.2.9禁止软盘启动和光盘启动66
5.2.10禁用光盘的自动运行功能66
5.2.11加强打印机驱动的安全66
5.2.12加强共享系统对象的安全67
5.3组件和注册表安全68
5.3.1注册表审核功能68
5.3.2注册表访问授权68
第6章操作系统补丁规程70
6.1补丁相关人员架构和职责70
6.1.1建立补丁和系统脆弱性监测小组70
6.1.2补丁和系统脆弱性监测小组相关职责70
6.1.3各个系统管理员的补丁相关的职责73
6.2补丁流程75
6.2.1补丁程序的获取75
6.2.2补丁实施计划考虑76
6.2.3补丁测试77
6.2.4补丁实施79
6.2.5补丁自动分发82
6.2.6建立标准化系统设置82
6.2.7用户培训83
6.3操作系统主要补丁资源列表84
6.3.1windows系列操作系统补丁列表84
6.3.2主流Unix/Lunix操作系统安全补丁站点85
6.3.3Unix/Linux系列操作系统网站列表87
附录1参考文献91
附录2本规范用词说明92
第1章操作系统安全管理概述
1.1概述
操作系统作为计算机系统的基础软件是用来管理计算机资源的,它直接利用计算机硬件并为用户提供使用和编程接口。
各种应用软件均建立在操作系统提供的系统软件平台之上,上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性,必须依赖于操作系统提供的系统软件基础。
脱离了他,任何想像中的应用软件的高安全性都毫无根基可言。
在网络环境中,网络系统的安全性依赖于网络中各主机系统的安全性,而主机系统的安全性正是由其操作系统的安全性所决定的,没有安全的操作系统的支持,网络安全也毫无根基可言。
本规范通过四个部分对操作系统所需要注意的安全问题和相应的规范进行了具体的阐述。
第一个部分主要阐述了各种主流的操作系统都需要注意的通用的安全问题和规范。
第二和第三部分分别阐述了目前市场上主流的两大操作系统(Windows系列和Unix系列)的相对独特的安全相关问题和规范。
最后一个部分主要阐述了系统实施安全补丁的相关的规范。
1.2目标
本规范的目标为:
通过对各种不同类型的操作系统进行安全方面的规范,保证目前中国石油现有的各种服务器系统或用户端信息设备使用的操作系统的安全,防止由于采用了不安全的操作系统而产生的安全问题或埋下安全隐患。
使得这些操作系统免受XX的访问,防止操作系统遭受如登陆程序问题、口令质量问题、授权用户滥用职权等威胁或薄弱点的侵害。
1.3
适用范围
本套规范适用的范围包括了所有和操作系统相关的安全问题和安全事件。
具体来说包括了操作系统通用的安全规范,主流的操作系统(Windows系列和Unix系列)的安全规范和操作系统相关的补丁实施安全规范。
一些非主流的操作系统如Linux由于其成熟度和安全性相对较差,且目前中国石油并未大规模的使用,因此没有对其制定相关的安全规范。
其中Windows操作系统安全主要考虑WindowsNT系列的安全,包括WindowsNT,以及基于NT操作系统的Windows2000Server以及Windows2000Professional的安全,由于Windows9x操作系统本身的安全性比较差,无法进行较高等级的安全配置,不应在较重要的个人电脑或笔记本电脑中使用。
1.4
规范引用的文件或标准
下列文件中的条款通过本标准的引用而成为本标准的条款。
本标准出版时,所示版均为有效。
所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
1.GB/T9387-1995信息处理系统开放系统互连基本参考模型(ISO7498:
1989)
2.GB17859-1999计算机信息系统安全保护等级划分准则
3.GA/T391-2002计算机信息系统安全等级保护管理要求
4.ISO/IECTR13355信息技术安全管理指南
5.NIST信息安全系列——美国国家标准技术院
6.英国国家信息安全标准BS7799
7.信息安全基础保护ITBaselineProtectionManual(Germany)
8.BearingPointConsulting内部信息安全标准
9.RUSecure安全技术标准
10.信息系统安全专家丛书CertificateInformationSystemsSecurityProfessional
1.5
术语和定义
访问控制accesscontrol一种安全保证手段,即信息系统的资源只能由被授权实体按授权方式进行访问,防止对资源的未授权使用。
可用性availability数据或资源的特性,被授权实体按要求能及时访问和使用数据或资源。
生物特征认证biometricauthentication是指通过计算机利用人体所固有的生理特征或行为特征来进行个人身份识别和(或)验证目的。
常用的生物特征包括:
指纹、掌纹、虹膜、脸像等。
保密性confidentiality数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。
数字证书digitalcertificate是一个经证书认证机构(CA)数字签名的包含用户身份信息以及公开密钥信息的电子文件,是各实体在网上进行信息交流及商务活动的电子身份证。
身份识别identityauthentication使信息处理系统能识别出用户、设备和其他实体的测试实施过程。
同身份验证。
例:
检验一个口令或身份权标。
入侵检测intrusiondetection自动检测网络数据流中潜在入侵、攻击和滥用方式,提供了网络安全保护功能。
它位于被保护的内部网络和不安全的外部网络之间,通过实时截获网络数据流,寻找网络违规模式和未授权的网络访问尝试。
完整性integrity在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,信息系统中的数据与在原文档中的相同,并未遭受偶然或恶意的修改或破坏时所具的性质。
日志log一种信息的汇集,记录有关对系统操作和系统运行的全部事项,提供了系统的历史状况。
最小权限minimumprivilege主体的访问权限制到最低限度,即仅执行授权任务所必需的那些权利。
口令password用来鉴别实体身份的受保护或秘密的字符串。
安全操作系统securityoperationsystem为了对所管理的数据与资源提供适当的保护级,而有效地控制硬件与软件功能的操作系统。
威胁threat一种潜在的对安全的侵害以破坏、泄漏、数据修改和拒绝服务的方式,可能对系统造成损害的环境或潜在事件。
(GB9387-95)
受信主机(trustedhost)提供充分的计算机安全的信息处理能力的主机,它允许具有不同访问权的用户并发访问数据,以及访问具有不同安全等级和安全种类的数据。
加密encryption通过密码系统把明文变换为不可懂的形式。
校验verification将某一活动、处理过程或产品与相应的要求或规范相比较。
例:
将某一规范与安全策略模型相比较,或者将目标代码与源代码相比较。
弱点vulnerability导致破坏系统安全策略的系统安全规程、系统设计、实现、内部控制等方面的薄弱环节,在信息系统中能被威胁利用产生风险。
PAM可插拔的认证模块PluggableAuthenticationModules
NFS网络文件系统
PGP最佳隐私加密
第2章操作系统安全管理通则
2.1操作系统安全的一般性原则
操作系统一般都提供了充分的安全措施,充分利用这些安全措施可避免出现很多的安全问题。
下文指出了操作系统安全需要遵循的一般性原则,中国石油的系统管理相关人员必须在系统管理中理解、遵循和实践这些原则:
a)禁用不必要的服务,尽量将系统中不用的服务、尤其是网络服务关闭,从而使攻击的可能性降至最低。
b)对等认证原则(TrustedPath),对等认证原则是指在某一实体(程序、用户等)直接和系统上的另一实体通讯之前必须相互认证。
该原则主要用于防止木马程序。
c)最小权限原则,最小权限原则是指系统只能授予应用程序和用户必要的权限,而不能授予额外的权限。
(例如对于有些备份程序而言,它必须访问所有文件,因此一般该程序都被授予root或者管理员的权限,但是这也意味着备份程序除了能够做备份以外还能做一些关闭系统,创建用户等root用户具有的功能,但这些功能显然不是备份程序应具有的,因此应只赋予该备份程序所必需的最小的权限如读写的权限)。
d)强制式文档权限控制原则(Non-DiscretionaryProtection),大多数操作系统都提供了自主访问控制,即文档的权限完全由文档作者控制,他可确定其它所有用户对该文档的权限,但是在某些情况下需要有集中式文档权限控制做为补充,即将部分极其重要的文档的权限控制集中管理,由安全管理专员负责这些文档的权限授予。
e)通过补丁增进系统安全,补丁程序是弥补系统弱点(vulnerability)的最佳途径,本文的第五章专门讲述了补丁的重要性和补丁的流程。
f)在计算机上安装软件防火墙系统是保证操作系统安全的又一重要保证,需要在所有重要服务器和重要个人电脑(包括笔记本电脑)中安装软件防火墙系统。
目前大多数的防病毒软件具有类似的安全功能。
其他的手段还包括安装防病毒软件、入侵检测软件和弱点扫描工具。
g)对于重要的数据有必要进行加密,具体参见《文档和数据安全规范》
h)安全性能评估,对于安全产品的选用上,中国石油需要采取谨慎和大胆相结合的策略,放心使用经过权威第三方认证的安全产品如通过CC或TCSEC所规定的B级标准的操作系统。
i)系统管理员应随时保持警惕以预防攻击事件的发生或者将攻击的危害降至最低。
2.2操作系统访问控制要求
操作系统安全的另一个方面是对系统资源的访问控制要求。
当用户或者应用程序访问系统资源时要求操作系统管理员通过设置必要的选项完成以下功能:
a)提供适当的身份验证方法。
如果使用了口令管理系统,则应确保使用高质量的口令(参见本规范2.3、2.4章节——用户帐号安全、用户口令安全)。
b)识别和验证身份。
如果需要,还要验证每个合法用户的终端或位置。
c)记录成功和失败的系统访问(日志信息)。
d)根据情况限制用户连接时间。
2.2.1用户终端自动识别功能
e)通过终端访问操作系统时应使用终端自动识别功能来验证与其连接的终端的位置和连接类型。
如果会话必须从某一位置或计算机终端开始,则宜使用终端自动识别技术。
f)终端内部附带的标识可说明是否允许此终端开始或接收某些具体事务。
宜对终端进行物理保护,维护终端标识的安全。
2.2.2登录程序
通过安全的登录程序应能够访问信息服务。
计算机系统登录程序按其设计应最大限度地降低非法访问的几率。
因而,登录程序应最大限度地减少公开的系统信息,避免为非法用户提供方便。
登录程序应:
g)在登录过程未成功之前禁止显示系统或应用的标识。
h)应显示一般性注意事项,提醒用户只有合法用户才能访问计算机。
i)登录期间禁止提供帮助消息,以免为非法用户提供方便。
j)只有在所有输入数据完成后才验证登录信息。
出错时,系统不应说明哪部分数据正确,哪部分数据错误。
k)应限制允许进行的登录的失败次数(宜为3次)并考虑:
1)记录失败次数。
2)允许再次登录之前必须进行时延,或者如果未获得明确授权则必须拒绝再次登录。
3)断开数据链路连接。
l)限制登录程序允许的时间上限和下限。
如果超过限制,则系统必须终止登录过程。
m)成功登录完成后,宜显示以下信息;
1)以前成功登录的日期和时间。
2)上次成功登录以来登录失败的详细情况。
2.2.3登陆超时
n)高风险地域(如组织无法进行安全管理的公共或外部区域)或服务于高风险系统的终端如果处于不工作状态,则必须在设定的不工作时间后予以关闭,防止非法用户进行访问。
o)为所有PC提供有限的终端超时功能。
当系统超时未激活时,应能够自动锁住系统,防止非法访问,但不宜关闭应用或网络会话。
p)超时的时间取决于连接的系统的重要程度、终端风险暴露程度以及终端上信息的业务价值。
2.2.4系统实用程序的使用
大多数计算机操作系统都有一个或多个能够越过系统和应用控制措施的系统实用程序。
应对其使用严加控制。
应考虑采用以下控制措施:
q)必须使用系统实用程序的身份验证程序。
r)把系统实用程序从应用软件中分离出来。
s)系统实用程序的使用应仅限于最小实际委托授权用户数。
t)应对系统实用程序的特殊使用授权。
u)应限制系统实用程序的可用性,如授权更改的期限。
v)应记录系统实用程序的各种使用情况。
w)应对系统实用程序的授权级别进行定义和备案。
x)应及时移去所有不必要软件的实用程序和系统软件。
2.3
升级会员 