中國(guó)石油信息安全標(biāo)準(zhǔn)

編號(hào):

中國(guó)石油天然氣股份有限公司

操作系統(tǒng)安全管理規(guī)范

（審閱稿）

Bearing3P原名畢o馬威i管理n咨詢t

畢博

版本號(hào)：V3

審閱人：王巍

中國(guó)石油天然股份有喔公司

前言

隨著中國(guó)石油天然氣股份有限公司（以下簡(jiǎn)稱“中國(guó)石油”）信息化建設(shè)的穩(wěn)步推進(jìn)，信息安全日

益受到中國(guó)石油的廣泛關(guān)注，加強(qiáng)信息安全的管理和制度無(wú)疑成為信息化建設(shè)得以順利實(shí)施的重要保障。

中國(guó)石油需要建立統(tǒng)一的信息安全管理政策和標(biāo)準(zhǔn)，并在集團(tuán)內(nèi)統(tǒng)一推廣、實(shí)施。

本規(guī)范是依據(jù)中國(guó)石油信息安全的現(xiàn)狀，參照國(guó)際、國(guó)內(nèi)和行業(yè)相關(guān)技術(shù)標(biāo)準(zhǔn)及規(guī)范，結(jié)合中國(guó)石

油自身的應(yīng)用特點(diǎn)，制定的適合于中國(guó)石油信息安全的標(biāo)準(zhǔn)與規(guī)范。目標(biāo)在于通過(guò)在中國(guó)石油范圍內(nèi)建

立信息安全相關(guān)標(biāo)準(zhǔn)與規(guī)范，提高中國(guó)石油信息安全的技術(shù)和管理能力。

信息技術(shù)安全總體框架如下：

《信息安全技術(shù)標(biāo)準(zhǔn)》

［數(shù)據(jù)和文檔’應(yīng)用系統(tǒng)安］

物理環(huán)境硬件設(shè)備操作系統(tǒng)'＜通用安全管

安全管理安全管理管理規(guī)范》安全管理I安全管理全管理I理標(biāo)準(zhǔn)》

*7」

全

全

計(jì)

認(rèn)

授

通

《

《

《

《

《

《

《

《

《《

電

管應(yīng)

管應(yīng)

商

電

區(qū)

機(jī)

數(shù)

算防

證

權(quán)

w用

管e

子

用

用

業(yè)

子

域

房

據(jù)

理

理

機(jī)御

理

理

理

管

管

b安

理

系

商

系

系

軟

郵

安

安

和

范

范

范

理

理

犯惡

標(biāo)

標(biāo)

范

規(guī)

標(biāo)

規(guī)

概

全

規(guī)

統(tǒng)

務(wù)

全

文

統(tǒng)

統(tǒng)

件

件

全

通

通

罪意

述

》

準(zhǔn)

準(zhǔn)

》

》

范

準(zhǔn)

范

》

管

范

安

安

管

檔

用

用

使

開(kāi)

購(gòu)

安

管

管代

通

通

》

理

》

》

》

全

標(biāo)

標(biāo)

全

理

安

用

發(fā)

買

全

理

理碼

標(biāo)

則

則

管

準(zhǔn)

準(zhǔn)

規(guī)

規(guī)

全

準(zhǔn)

安

安

管

管

規(guī)

規(guī)和

》

》

1）整體信息技術(shù)安全架構(gòu)從邏輯上共分為7個(gè)部分，分別為：物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)、操作

系統(tǒng)、數(shù)據(jù)和文檔、應(yīng)用系統(tǒng)和通用安全管理標(biāo)準(zhǔn)。圖中帶陰影的方框中帶書名號(hào)的為單獨(dú)成

冊(cè)的部分，共有13本《規(guī)范》和1本《通用標(biāo)準(zhǔn)》。

2）對(duì)于13個(gè)《規(guī)范》中具有一定共性的內(nèi)容我們整理出了7個(gè)《標(biāo)準(zhǔn)》橫向貫穿整個(gè)架構(gòu)，這

7個(gè)《標(biāo)準(zhǔn)》的組合也依據(jù)了信息安全生命周期的理論模型。每個(gè)《標(biāo)準(zhǔn)》都會(huì)對(duì)所有的《規(guī)

范》中相關(guān)涉及到的內(nèi)容產(chǎn)生指導(dǎo)作用，但每個(gè)《標(biāo)準(zhǔn)》應(yīng)用在不同的《規(guī)范》中又會(huì)有相應(yīng)

不同的具體的內(nèi)容。我們?cè)谛形纳蠈⑦@六個(gè)標(biāo)準(zhǔn)組合成一本通用的安全管理標(biāo)準(zhǔn)單獨(dú)成冊(cè)。

3）全文以信息安全生命周期的方法論作為基本指導(dǎo)，《規(guī)范》和《標(biāo)準(zhǔn)》的內(nèi)容基本都根據(jù)預(yù)防

——〉保護(hù)一一〉檢測(cè)跟蹤一一〉響應(yīng)恢復(fù)的理論基礎(chǔ)行文。

近年來(lái)，隨著世界市場(chǎng)上對(duì)信息安全產(chǎn)品的需求迅速增長(zhǎng)以及對(duì)系統(tǒng)安全的挑戰(zhàn)不斷加劇，美國(guó)、

加拿大和歐洲一些國(guó)家聯(lián)合起來(lái)，在美國(guó)的TCSEC、歐洲的ITSEC、力口拿大的CTCPEC、美國(guó)的FC等

信息安全準(zhǔn)則的基礎(chǔ)上，提出了“信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則（TheCommonCriteriaforInformation

TechnologySecurityEvaluation,CC）”,它綜合了過(guò)去信息安全的準(zhǔn)則和標(biāo)準(zhǔn)，形成了一個(gè)更全面的

框架。1999年5月，國(guó)際標(biāo)準(zhǔn)化組織和國(guó)際電聯(lián)（ISO/IEC）通過(guò)了將CC作為國(guó)際標(biāo)準(zhǔn)ISO/EC15408

信息技術(shù)安全評(píng)估準(zhǔn)則的最后文本。操作系統(tǒng)及數(shù)據(jù)庫(kù)也存在著安全級(jí)別，并在CC和TCSEC中都有詳

細(xì)劃分。

TCSEC將計(jì)算機(jī)系統(tǒng)的安全可信性分為七個(gè)級(jí)別：

D最低安全性；

C1自主存取控制；

C2較完善的自主存取控制（DAC）、審計(jì)；

B1強(qiáng)制存取控制（MAC）；

B2良好的結(jié)構(gòu)化設(shè)計(jì)、形式化安全模型；

B3全面的訪問(wèn)控制、可信恢復(fù)；

A1形式化認(rèn)證。

就TCSEC評(píng)估來(lái)說(shuō)，達(dá)到B級(jí)標(biāo)準(zhǔn)的操作系統(tǒng)即稱為安全操作系統(tǒng)。在B級(jí)的安全計(jì)算機(jī)系統(tǒng)中，

安全級(jí)這個(gè)概念包含級(jí)別和類別兩方面，安全級(jí)的級(jí)別之間具有可比性，如同2級(jí)大于1級(jí)一樣；而安

全級(jí)的類別如同所屬的部門，就像某人屬于的單位，這個(gè)單位可大到整個(gè)跨國(guó)公司，也可小到所屬的最

小團(tuán)體，甚至就是他本人。這樣一種安全級(jí)定義，在計(jì)算機(jī)系統(tǒng)中就可將一個(gè)用戶定義成“屬于那幾個(gè)

部門的、級(jí)別為幾的用戶”，這就是該用戶的安全級(jí)，凡是該用戶運(yùn)行的進(jìn)程均具有這個(gè)安全級(jí)；同樣，

在計(jì)算機(jī)系統(tǒng)中也可將一個(gè)文件（主頁(yè)）定義成“屬于哪幾個(gè)部門的、級(jí)別為幾的文件（主頁(yè)）“，這就

是該文件的安全級(jí)。當(dāng)用戶的安全級(jí)與文件（主頁(yè)）的安全級(jí)滿足一定的存取控制規(guī)則時(shí)，該用戶才可

對(duì)該文件（主頁(yè)）進(jìn)行相應(yīng)的讀/寫操作。這樣，便實(shí)現(xiàn)了在計(jì)算機(jī)系統(tǒng)中的對(duì)用戶和文件（主頁(yè)）的

層次化分類管理。

但是,僅僅通過(guò)簡(jiǎn)單的等級(jí)評(píng)估還不足以保障操作系統(tǒng)的安全，因此本規(guī)范主要從操作系統(tǒng)的使用、

維護(hù)管理等多方面對(duì)于操作系統(tǒng)進(jìn)行了相關(guān)的安全方面的規(guī)范，保證了操作系統(tǒng)的安全。

本規(guī)范由中國(guó)石油天然氣股份有限公司發(fā)布。

本規(guī)范由中國(guó)石油天然氣股份有限公司科技與信息管理部歸口管理解釋。

起草部門：中國(guó)石油制定信息安全政策與標(biāo)準(zhǔn)項(xiàng)目組。

說(shuō)明

在中國(guó)石油信息安全標(biāo)準(zhǔn)中涉及以下概念：

組織機(jī)構(gòu)

中國(guó)石油（PetroChina）指中國(guó)石油天然氣股份有限公司有時(shí)也稱“股份公司”。

集團(tuán)公司（CNPC）指中國(guó)石油天然氣集團(tuán)公司有時(shí)也稱“存續(xù)公司”。為區(qū)分中國(guó)石油的地區(qū)

公司和集團(tuán)公司下屬單位，但提及“存續(xù)部分”時(shí)指集團(tuán)公司下屬的單位。如：遼河油田分公司存續(xù)部

分指集團(tuán)公司下屬的遼河石油管理局。

計(jì)算機(jī)網(wǎng)絡(luò)

中國(guó)石油信息網(wǎng)（PetroChinaNet）指中國(guó)石油范圍內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。中國(guó)石油信息網(wǎng)是在

中國(guó)石油天然氣集團(tuán)公司網(wǎng)絡(luò)的基礎(chǔ)上,進(jìn)行擴(kuò)充與提高所形成的連接中國(guó)石油所屬各個(gè)單位計(jì)算機(jī)局

域網(wǎng)和園區(qū)網(wǎng)。

集團(tuán)公司網(wǎng)絡(luò)（CNPCNet）指集團(tuán)公司所屬范圍內(nèi)的網(wǎng)絡(luò)。中國(guó)石油的一些地區(qū)公司是和集團(tuán)

公司下屬的單位共用一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，當(dāng)提及“存續(xù)公司網(wǎng)絡(luò)”時(shí)，指存續(xù)公司使用的網(wǎng)絡(luò)部分。

主干網(wǎng)是從中國(guó)石油總部連接到各個(gè)下屬各地區(qū)公司的網(wǎng)絡(luò)部分，包括中國(guó)石油總部局域網(wǎng)、各

個(gè)二級(jí)局域網(wǎng)（或園區(qū)網(wǎng)）和連接這些網(wǎng)絡(luò)的專線遠(yuǎn)程信道。有些單位通過(guò)撥號(hào)線路連接到中國(guó)石油總

部，不是利用專線，這樣的單位和所使用的遠(yuǎn)程信道不屬于中國(guó)石油專用網(wǎng)主干網(wǎng)組成部分。

地區(qū)網(wǎng)地區(qū)公司網(wǎng)絡(luò)和所屬單位網(wǎng)絡(luò)的總和。這些局域網(wǎng)或園區(qū)網(wǎng)互相連接所使用的遠(yuǎn)程信道可

是專線，也可是撥號(hào)線路。

局域網(wǎng)與園區(qū)網(wǎng)局域網(wǎng)通常指，在一座建筑中利用局域網(wǎng)技術(shù)和設(shè)備建設(shè)的高速網(wǎng)絡(luò)。園區(qū)網(wǎng)是

在一個(gè)園區(qū)（例如研究院園區(qū)、管理局基地等）內(nèi)多座建筑內(nèi)的多個(gè)局域網(wǎng)，利用高速信道互相連接起

來(lái)所構(gòu)成的網(wǎng)絡(luò)。園區(qū)網(wǎng)所利用的設(shè)備、運(yùn)行的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)傳輸速度基本相同于局域網(wǎng)。局域網(wǎng)和

園區(qū)網(wǎng)通常都是用戶自己建設(shè)的。局域網(wǎng)和園區(qū)網(wǎng)與廣域網(wǎng)不同，廣域網(wǎng)不僅覆蓋范圍廣，所利用的設(shè)

備、運(yùn)行的協(xié)議、傳送速率都與局域網(wǎng)和園區(qū)網(wǎng)不同。傳輸信息的信道通常都是電信部門建設(shè)的。

二級(jí)單位網(wǎng)絡(luò)指地區(qū)公司下屬單位的網(wǎng)絡(luò)的總和，可能是局域網(wǎng)，也可能是園區(qū)網(wǎng)。

專線與撥號(hào)線路從連通性劃分的兩大類網(wǎng)絡(luò)遠(yuǎn)程信道。專線，指數(shù)字電路、幀中繼、DDN和ATM

等經(jīng)常保持連通狀態(tài)的信道；撥號(hào)線路，指只在傳送信息時(shí)才建立連接的信道，如電話撥號(hào)線路或ISDN

撥號(hào)線路。這些遠(yuǎn)程信道可能用來(lái)連接不同地區(qū)的局域網(wǎng)或園區(qū)網(wǎng)，也可能用于連接單臺(tái)計(jì)算機(jī)。

石油專網(wǎng)與公網(wǎng)石油專業(yè)電信網(wǎng)和公共電信網(wǎng)的簡(jiǎn)稱。

最后一公里問(wèn)題建設(shè)廣域網(wǎng)時(shí)，用戶局域網(wǎng)或園區(qū)網(wǎng)連接附近電信部門信道的最后一段距離的連

接問(wèn)題。這段距離通常小于一公里，但也有大于一公里的情況。為簡(jiǎn)便，同稱為最后一公里問(wèn)題。

涉及計(jì)算機(jī)網(wǎng)絡(luò)的術(shù)語(yǔ)和定義請(qǐng)參見(jiàn)《中國(guó)石油局域網(wǎng)標(biāo)準(zhǔn)》。

目錄

第1章操作系統(tǒng)安全管理概述10

1.1概述10

1.2目標(biāo)10

1.3規(guī)范的適用范圍11

1.4規(guī)范引用的文件或標(biāo)準(zhǔn)12

1.5術(shù)語(yǔ)和定義13

第2章操作系統(tǒng)安全管理通則15

2.1操作系統(tǒng)安全的一般性原則15

2.2操作系統(tǒng)訪問(wèn)控制要求16

2.2.1用戶終端自動(dòng)識(shí)別功能16

2.2.2登錄程序17

2.2.3登陸超時(shí)17

2.2.4系統(tǒng)實(shí)用程序的使用18

2.3用戶賬號(hào)安全18

2.3.1用戶身份識(shí)別和驗(yàn)證18

2.3.2用戶賬號(hào)過(guò)期19

2.3.3Guest用戶賬號(hào)20

2.3.4無(wú)口令用戶賬號(hào)20

2.3.5用戶組20

2.3.6用戶賬號(hào)安全其它事項(xiàng)20

2.4用戶口令安全21

2.4.1口令選擇21

2.5操作系統(tǒng)網(wǎng)絡(luò)安全23

2.6文件系統(tǒng)安全23

2.7系統(tǒng)監(jiān)控24

第3章UNIX操作系統(tǒng)25

3.1用戶賬號(hào)安全25

3.1.1用戶賬號(hào)策略25

3.1.2用戶賬號(hào)管理25

3.1.3特殊帳戶26

3.1.4超級(jí)用戶賬戶26

3.1.5普通用戶賬戶26

3.1.6UNIX口令安全27

3.1.7搜索路徑(PATH)限制27

3.2網(wǎng)絡(luò)安全29

3.2.1受信主機(jī)(trustedhost)29

3.2.2安全終端29

3.2.3網(wǎng)絡(luò)文件系統(tǒng)(NFS)30

3.2.4FTP30

3.2.5電子郵件31

3.2.6Finger31

3.2.7關(guān)閉不必要的端口32

3.3文件系統(tǒng)安全34

3.3.1UNIX文件系統(tǒng)安全機(jī)制34

3.3.2Setuid和Setgid腳本35

3.3.3umask值35

3.3.4文件加密35

3.3.5設(shè)備35

3.4系統(tǒng)監(jiān)控36

3.4.1賬號(hào)監(jiān)控36

3.4.2系統(tǒng)監(jiān)控37

3.4.3文件系統(tǒng)監(jiān)控安全38

第4章WINDOWS操作系統(tǒng)(服務(wù)器端)40

4.1用戶賬號(hào)安全40

4.1.1用戶權(quán)限指派40

4.1.2上一次登錄用戶清除41

4.1.3用戶賬號(hào)數(shù)據(jù)庫(kù)加密41

4.1.4實(shí)施口令安全41

4.1.5禁止緩存登錄的信任狀態(tài)信息42

4.2網(wǎng)絡(luò)和服務(wù)安全43

4.2.1冊(cè)U除DOS,WINDOWS,OS/2和Posix子系統(tǒng)43

4.2.2關(guān)閉不必要的服務(wù)44

4.2.3關(guān)閉不必要的端口47

4.2.4實(shí)施IPSec49

4.2.5加強(qiáng)定時(shí)服務(wù)的安全49

4.3文件系統(tǒng)安全51

4.3.1分區(qū)格式51

4.3.2磁盤分區(qū)51

4.3.3復(fù)制和移動(dòng)文件51

4.3.4文件共享51

4.3.5文檔服務(wù)器使用53

4.3.6禁用Dump文件生成功能53

4.3.7使用加密文件系統(tǒng)功能(EFS)53

4.3.8加密臨時(shí)文件夾54

4.3.9在關(guān)機(jī)的時(shí)候清除頁(yè)面交換文件54

4.3.10禁止軟盤啟動(dòng)和光盤啟動(dòng)54

4.3.11禁用光盤的自動(dòng)運(yùn)行功能54

4.3.12加強(qiáng)打印機(jī)驅(qū)動(dòng)的安全54

4.3.13加強(qiáng)共享系統(tǒng)對(duì)象的安全55

4.4系統(tǒng)監(jiān)控56

4.4.1系統(tǒng)監(jiān)控類型56

4.4.2日志設(shè)置方式56

4.4.3日志文件安全57

4.5組件和注冊(cè)表安全58

4.5.1注冊(cè)表審核功能58

4.5.2注冊(cè)表訪問(wèn)授權(quán)58

第5章WINDOWS操作系統(tǒng)(客戶端)60

5.1用戶賬號(hào)安全60

5.1.1用戶帳號(hào)60

5.1.2上一次登錄用戶清除60

5.1.3用戶賬號(hào)數(shù)據(jù)庫(kù)加密60

5.1.4實(shí)施口令安全61

5.1.5禁止緩存登錄的信任狀態(tài)信息61

5.1.6加強(qiáng)定時(shí)服務(wù)的安全62

5.2文件系統(tǒng)安全63

5.2.1分區(qū)格式63

5.2.2磁盤分區(qū)63

5.2.3復(fù)制和移動(dòng)文件63

5.2.4文件共享63

5.2.5禁用Dump文件生成功能65

5.2.6使用加密文件系統(tǒng)功能(EFS)65

5.2.7加密臨時(shí)文件夾65

5.2.8在關(guān)機(jī)的時(shí)候清除頁(yè)面交換文件66

5.2.9禁止軟盤啟動(dòng)和光盤啟動(dòng)66

5.2.10禁用光盤的自動(dòng)運(yùn)行功能66

5.2.11加強(qiáng)打印機(jī)驅(qū)動(dòng)的安全66

5.2.12加強(qiáng)共享系統(tǒng)對(duì)象的安全67

5.3組件和注冊(cè)表安全67

5.3.1注冊(cè)表審核功能67

5.3.2注冊(cè)表訪問(wèn)授權(quán)67

第6章操作系統(tǒng)補(bǔ)丁規(guī)程69

6.1補(bǔ)丁相關(guān)人員架構(gòu)和職責(zé)69

6.1.1建立補(bǔ)丁和系統(tǒng)脆弱性監(jiān)測(cè)小組69

6.1.2補(bǔ)丁和系統(tǒng)脆弱性監(jiān)測(cè)小組相關(guān)職責(zé)69

6.1.3各個(gè)系統(tǒng)管理員的補(bǔ)丁相關(guān)的職責(zé)72

6.2補(bǔ)丁流程73

6.2.1補(bǔ)丁程序的獲取73

6.2.2補(bǔ)丁實(shí)施計(jì)劃考慮74

6.2.3補(bǔ)丁測(cè)試76

6.2.4補(bǔ)丁實(shí)施77

6.2.5補(bǔ)丁自動(dòng)分發(fā)80

6.2.6建立標(biāo)準(zhǔn)化系統(tǒng)設(shè)置81

6.2.7用戶培訓(xùn)81

6.3操作系統(tǒng)主要補(bǔ)丁資源列表83

6.3.1windows系列操作系統(tǒng)補(bǔ)丁列表83

6.3.2主流Unix/Lunix操作系統(tǒng)安全補(bǔ)丁站點(diǎn)84

6.3.3Unix/Linux系列操作系統(tǒng)網(wǎng)站列表87

附錄1參考文獻(xiàn)90

附錄2本規(guī)范用詞說(shuō)明92

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第10頁(yè)共93頁(yè)

第1章操作系統(tǒng)安全管理概述

1.1概述

操作系統(tǒng)作為計(jì)算機(jī)系統(tǒng)的基礎(chǔ)軟件是用來(lái)管理計(jì)算機(jī)資源的，它直接利用計(jì)算機(jī)硬件

并為用戶提供使用和編程接口。各種應(yīng)用軟件均建立在操作系統(tǒng)提供的系統(tǒng)軟件平臺(tái)之

上，上層的應(yīng)用軟件要想獲得運(yùn)行的高可靠性和信息的完整性、保密性，必須依賴于操

作系統(tǒng)提供的系統(tǒng)軟件基礎(chǔ)。脫離了他，任何想像中的應(yīng)用軟件的高安全性都毫無(wú)根基

可言。在網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)系統(tǒng)的安全性依賴于網(wǎng)絡(luò)中各主機(jī)系統(tǒng)的安全性，而主機(jī)系

統(tǒng)的安全性正是由其操作系統(tǒng)的安全性所決定的，沒(méi)有安全的操作系統(tǒng)的支持，網(wǎng)絡(luò)安

全也毫無(wú)根基可言。

本規(guī)范通過(guò)四個(gè)部分對(duì)操作系統(tǒng)所需要注意的安全問(wèn)題和相應(yīng)的規(guī)范進(jìn)行了具體的闡述。

第一個(gè)部分主要闡述了各種主流的操作系統(tǒng)都需要注意的通用的安全問(wèn)題和規(guī)范。第二

和第三部分分別闡述了目前市場(chǎng)上主流的兩大操作系統(tǒng)（Windows系列和Unix系列）的

相對(duì)獨(dú)特的安全相關(guān)問(wèn)題和規(guī)范。最后一個(gè)部分主要闡述了系統(tǒng)實(shí)施安全補(bǔ)丁的相關(guān)的

規(guī)范。

1.2目標(biāo)

本規(guī)范的目標(biāo)為：

通過(guò)對(duì)各種不同類型的操作系統(tǒng)進(jìn)行安全方面的規(guī)范，保證目前中國(guó)石油現(xiàn)有的各種服

務(wù)器系統(tǒng)或用戶端信息設(shè)備使用的操作系統(tǒng)的安全，防止由于采用了不安全的操作系統(tǒng)

而產(chǎn)生的安全問(wèn)題或埋下安全隱患。使得這些操作系統(tǒng)免受未經(jīng)授權(quán)的訪問(wèn)，防止操作

系統(tǒng)遭受如登陸程序問(wèn)題、口令質(zhì)量問(wèn)題、授權(quán)用戶濫用職權(quán)等威脅或薄弱點(diǎn)的侵害。

第10頁(yè)共93頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第11頁(yè)共93頁(yè)

1.3適用范圍

本套規(guī)范適用的范圍包括了所有和操作系統(tǒng)相關(guān)的安全問(wèn)題和安全事件。具體來(lái)說(shuō)包括了

操作系統(tǒng)通用的安全規(guī)范，主流的操作系統(tǒng)（Windows系列和Unix系列）的安全規(guī)范和操作

系統(tǒng)相關(guān)的補(bǔ)丁實(shí)施安全規(guī)范。一些非主流的操作系統(tǒng)如Linux由于其成熟度和安全性相

對(duì)較差，且目前中國(guó)石油并未大規(guī)模的使用，因此沒(méi)有對(duì)其制定相關(guān)的安全規(guī)范。

其中Windows操作系統(tǒng)安全主要考慮WindowsNT系列的安全，包括WindowsNT,以及

基于NT操作系統(tǒng)的Windows2000Server以及Windows2000Professional的安全，由于

Windows9x操作系統(tǒng)本身的安全性比較差，無(wú)法進(jìn)行較高等級(jí)的安全配置，不應(yīng)在較重

要的個(gè)人電腦或筆記本電腦中使用。

第11頁(yè)共93頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第12頁(yè)共93頁(yè)

1.4規(guī)范引用的文件或標(biāo)準(zhǔn)

下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。本標(biāo)準(zhǔn)出版時(shí)，所示版均為有

效。所有標(biāo)準(zhǔn)都會(huì)被修訂，使用本標(biāo)準(zhǔn)的各方應(yīng)探討使用下列標(biāo)準(zhǔn)最新版本的可能性。

1.GB/T9387-1995信息處理系統(tǒng)開(kāi)放系統(tǒng)互連基本參考模型(ISO7498:1989)

2.GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則

3.GA/T391-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求

4.ISO/IECTR13355信息技術(shù)安全管理指南

5.NIST信息安全系列——美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)院

6.英國(guó)國(guó)家信息安全標(biāo)準(zhǔn)BS7799

7.信息安全基礎(chǔ)保護(hù)ITBaselineProtectionManual(Germany)

8.BearingPointConsulting內(nèi)部信息安全標(biāo)準(zhǔn)

9.RUSecure安全技術(shù)標(biāo)準(zhǔn)

10.信息系統(tǒng)安全專家叢書CertificateInformationSystemsSecurityProfessional

第12頁(yè)共93頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第13頁(yè)共93頁(yè)

1.5術(shù)語(yǔ)和定義

訪問(wèn)控制accesscontrol一種安全保證手段，即信息系統(tǒng)的資源只能由被授權(quán)實(shí)體按授權(quán)方

式進(jìn)行訪問(wèn)，防止對(duì)資源的未授權(quán)使用。

可用性availability數(shù)據(jù)或資源的特性，被授權(quán)實(shí)體按要求能及時(shí)訪問(wèn)和使用數(shù)據(jù)或資源。

生物特征認(rèn)證biometricauthentication是指通過(guò)計(jì)算機(jī)利用人體所固有的生理特征或行為

特征來(lái)進(jìn)行個(gè)人身份識(shí)別和(或)驗(yàn)證目的。常用的生物特征包括：指紋、掌紋、虹膜、臉

像等。

保密性confidentiality數(shù)據(jù)所具有的特性，即表示數(shù)據(jù)所達(dá)到的未提供或未泄露給未授權(quán)

的個(gè)人、過(guò)程或其他實(shí)體的程度。

數(shù)字證書digitalcertificate是一個(gè)經(jīng)證書認(rèn)證機(jī)構(gòu)(CA)數(shù)字簽名的包含用戶身份信息以及公

開(kāi)密鑰信息的電子文件，是各實(shí)體在網(wǎng)上進(jìn)行信息交流及商務(wù)活動(dòng)的電子身份證。

身份識(shí)別identityauthentication使信息處理系統(tǒng)能識(shí)別出用戶、設(shè)備和其他實(shí)體的測(cè)試

實(shí)施過(guò)程。同身份驗(yàn)證。

例：檢驗(yàn)一個(gè)口令或身份權(quán)標(biāo)。

入侵檢測(cè)intrusiondetection自動(dòng)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流中潛在入侵、攻擊和濫用方式，提供了網(wǎng)絡(luò)安全保護(hù)功

能。它位于被保護(hù)的內(nèi)部網(wǎng)絡(luò)和不安全的外部網(wǎng)絡(luò)之間，通過(guò)實(shí)時(shí)截獲網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)

違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。

完整性integrity在防止非授權(quán)用戶修改或使用資源和防止授權(quán)用戶不正確地修改或使用資源

的情況下,信息系統(tǒng)中的數(shù)據(jù)與在原文檔中的相同，并未遭受偶然或惡意的修改或破壞時(shí)所具

的性質(zhì)。

日志log一種信息的匯集，記錄有關(guān)對(duì)系統(tǒng)操作和系統(tǒng)運(yùn)行的全部事項(xiàng)，提供了系統(tǒng)的歷史

狀況。

最小權(quán)限minimumprivilege主體的訪問(wèn)權(quán)限制到最低限度，即僅執(zhí)行授權(quán)任務(wù)所必需的那

第13頁(yè)共93頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第14頁(yè)共93頁(yè)

些權(quán)利。

口令password用來(lái)鑒別實(shí)體身份的受保護(hù)或秘密的字符串。

安全操作系統(tǒng)securityoperationsystem為了對(duì)所管理的數(shù)據(jù)與資源提供適當(dāng)?shù)谋Ｗo(hù)級(jí)，而

有效地控制硬件與軟件功能的操作系統(tǒng)。

威脅threat一種潛在的對(duì)安全的侵害以破壞、泄漏、數(shù)據(jù)修改和拒絕服務(wù)的方式，可能對(duì)系

統(tǒng)造成損害的環(huán)境或潛在事件。(GB9387-95)

受信主機(jī)(trustedhost)提供充分的計(jì)算機(jī)安全的信息處理能力的主機(jī)，它允許具有不同訪問(wèn)

權(quán)的用戶并發(fā)訪問(wèn)數(shù)據(jù)，以及訪問(wèn)具有不同安全等級(jí)和安全種類的數(shù)據(jù)。

加密encryption通過(guò)密碼系統(tǒng)把明文變換為不可懂的形式。

校驗(yàn)verification將某一活動(dòng)、處理過(guò)程或產(chǎn)品與相應(yīng)的要求或規(guī)范相比較。

例：將某一規(guī)范與安全策略模型相比較，或者將目標(biāo)代碼與源代碼相比較。

弱點(diǎn)vulnerability導(dǎo)致破壞系統(tǒng)安全策略的系統(tǒng)安全規(guī)程、系統(tǒng)設(shè)計(jì)、實(shí)現(xiàn)、內(nèi)部控制等方

面的薄弱環(huán)節(jié)，在信息系統(tǒng)中能被威脅利用產(chǎn)生風(fēng)險(xiǎn)。

PAM可插拔的認(rèn)證模塊PluggableAuthenticationModules

NFS網(wǎng)絡(luò)文件系統(tǒng)

PGP最佳隱私加密

第14頁(yè)共93頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第15頁(yè)共93頁(yè)

第2章操作系統(tǒng)安全管理通則

2.1操作系統(tǒng)安全的一般性原則

操作系統(tǒng)一般都提供了充分的安全措施，充分利用這些安全措施可避免出現(xiàn)很多的安全

問(wèn)題。下文指出了操作系統(tǒng)安全需要遵循的一般性原則，中國(guó)石油的系統(tǒng)管理相關(guān)人員

必須在系統(tǒng)管理中理解、遵循和實(shí)踐這些原則：

a）禁用不必要的服務(wù)，盡量將系統(tǒng)中不用的服務(wù)、尤其是網(wǎng)絡(luò)服務(wù)關(guān)閉，從而使

攻擊的可能性降至最低。

b）對(duì)等認(rèn)證原則（TrustedPath）,對(duì)等認(rèn)證原則是指在某一實(shí)體（程序、用戶等）

直接和系統(tǒng)上的另一實(shí)體通訊之前必須相互認(rèn)證。該原則主要用于防止木馬程

序。

c）最小權(quán)限原則，最小權(quán)限原則是指系統(tǒng)只能授予應(yīng)用程序和用戶必要的權(quán)限，

而不能授予額外的權(quán)限。（例如對(duì)于有些備份程序而言，它必須訪問(wèn)所有文件，

因此一般該程序都被授予root或者管理員的權(quán)限，但是這也意味著備份程序除

了能夠做備份以外還能做一些關(guān)閉系統(tǒng)，創(chuàng)建用戶等root用戶具有的功能，但

這些功能顯然不是備份程序應(yīng)具有的，因此應(yīng)只賦予該備份程序所必需的最小

的權(quán)限如讀寫的權(quán)限）。

d）強(qiáng)制式文檔權(quán)限控制原則（Non-DiscretionaryProtection）,大多數(shù)操作系統(tǒng)都

提供了自主訪問(wèn)控制，即文檔的權(quán)限完全由文檔作者控制，他可確定其它所有

用戶對(duì)該文檔的權(quán)限，但是在某些情況下需要有集中式文檔權(quán)限控制做為補(bǔ)充,

即將部分極其重要的文檔的權(quán)限控制集中管理，由安全管理專員負(fù)責(zé)這些文檔

的權(quán)限授予。

e）通過(guò)補(bǔ)丁增進(jìn)系統(tǒng)安全，補(bǔ)丁程序是彌補(bǔ)系統(tǒng)弱點(diǎn)（vulnerability）的最佳途徑，

本文的第五章專門講述了補(bǔ)丁的重要性和補(bǔ)丁的流程。

f）在計(jì)算機(jī)上安裝軟件防火墻系統(tǒng)是保證操作系統(tǒng)安全的又一重要保證，需要在

所有重要服務(wù)器和重要個(gè)人電腦（包括筆記本電腦）中安裝軟件防火墻系統(tǒng)。

第15頁(yè)共93頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第16頁(yè)共93頁(yè)

目前大多數(shù)的防病毒軟件具有類似的安全功能。其他的手段還包括安裝防病毒

軟件、入侵檢測(cè)軟件和弱點(diǎn)掃描工具。

g）對(duì)于重要的數(shù)據(jù)有必要進(jìn)行加密，具體參見(jiàn)《文檔和數(shù)據(jù)安全規(guī)范》

h）安全性能評(píng)估，對(duì)于安全產(chǎn)品的選用上，中國(guó)石油需要采取謹(jǐn)慎和大膽相結(jié)合

的策略，放心使用經(jīng)過(guò)權(quán)威第三方認(rèn)證的安全產(chǎn)品如通過(guò)CC或TCSEC所規(guī)定

的B級(jí)標(biāo)準(zhǔn)的操作系統(tǒng)。

i）系統(tǒng)管理員應(yīng)隨時(shí)保持警惕以預(yù)防攻擊事件的發(fā)生或者將攻擊的危害降至最

低。

2.2操作系統(tǒng)訪問(wèn)控制要求

操作系統(tǒng)安全的另一個(gè)方面是對(duì)系統(tǒng)資源的訪問(wèn)控制要求。當(dāng)用戶或者應(yīng)用程序訪問(wèn)系

統(tǒng)資源時(shí)要求操作系統(tǒng)管理員通過(guò)設(shè)置必要的選項(xiàng)完成以下功能：

a）提供適當(dāng)?shù)纳矸蒡?yàn)證方法。如果使用了口令管理系統(tǒng)，則應(yīng)確保使用高質(zhì)量的口令（參

見(jiàn)本規(guī)范2.3、2.4章節(jié)一一用戶帳號(hào)安全、用戶口令安全）。

b）識(shí)別和驗(yàn)證身份。如果需要，還要驗(yàn)證每個(gè)合法用戶的終端或位置。

c）記錄成功和失敗的系統(tǒng)訪問(wèn)（日志信息）。

d）根據(jù)情況限制用戶連接時(shí)間。

2.2.1用戶終端自動(dòng)識(shí)別功能

e）通過(guò)終端訪問(wèn)操作系統(tǒng)時(shí)應(yīng)使用終端自動(dòng)識(shí)別功能來(lái)驗(yàn)證與其連接的終端的位

置和連接類型。如果會(huì)話必須從某一位置或計(jì)算機(jī)終端開(kāi)始，則宜使用終端自動(dòng)

識(shí)別技術(shù)。

f）終端內(nèi)部附帶的標(biāo)識(shí)可說(shuō)明是否允許此終端開(kāi)始或接收某些具體事務(wù)。宜對(duì)終端

進(jìn)行物理保護(hù)，維護(hù)終端標(biāo)識(shí)的安全。

第16頁(yè)共93頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第17頁(yè)共93頁(yè)

2.2.2登錄程序

通過(guò)安全的登錄程序應(yīng)能夠訪問(wèn)信息服務(wù)。計(jì)算機(jī)系統(tǒng)登錄程序按其設(shè)計(jì)應(yīng)最大限

度地降低非法訪問(wèn)的幾率。因而，登錄程序應(yīng)最大限度地減少公開(kāi)的系統(tǒng)信息，避

免為非法用戶提供方便。登錄程序應(yīng)：

g）在登錄過(guò)程未成功之前禁止顯示系統(tǒng)或應(yīng)用的標(biāo)識(shí)。

h）應(yīng)顯示一般性注意事項(xiàng)，提醒用戶只有合法用戶才能訪問(wèn)計(jì)算機(jī)。

i）登錄期間禁止提供幫助消息，以免為非法用戶提供方便。

j）只有在所有輸入數(shù)據(jù)完成后才驗(yàn)證登錄信息。出錯(cuò)時(shí)，系統(tǒng)不應(yīng)說(shuō)明哪部分?jǐn)?shù)據(jù)

正確，哪部分?jǐn)?shù)據(jù)錯(cuò)誤。

k）應(yīng)限制允許進(jìn)行的登錄的失敗次數(shù)（宜為3次）并考慮：

1）記錄失敗次數(shù)。

2）允許再次登錄之前必須進(jìn)行時(shí)延，或者如果未獲得明確授權(quán)則必須拒絕再

次登錄。

3）斷開(kāi)數(shù)據(jù)鏈路連接。

1）限制登錄程序允許的時(shí)間上限和下限。如果超過(guò)限制，則系統(tǒng)必須終止登錄過(guò)程。

m）成功登錄完成后，宜顯示以下信息；

1）以前成功登錄的日期和時(shí)間。

2）上次成功登錄以來(lái)登錄失敗的詳細(xì)情況。

2.2.3登陸超時(shí)

n）高風(fēng)險(xiǎn)地域（如組織無(wú)法進(jìn)行安全管理的公共或外部區(qū)域）或服務(wù)于高風(fēng)險(xiǎn)系

統(tǒng)的終端如果處于不工作狀態(tài)，則必須在設(shè)定的不工作時(shí)間后予以關(guān)閉，防止

非法用戶進(jìn)行訪問(wèn)。

第17頁(yè)共93頁(yè)

編號(hào)：

時(shí)間：2021年x月x日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第18頁(yè)共93頁(yè)

o）為所有PC提供有限的終端超時(shí)功能。當(dāng)系統(tǒng)超時(shí)未激活時(shí)，應(yīng)能夠自動(dòng)鎖住

系統(tǒng)，防止非法訪問(wèn)，但不宜關(guān)閉應(yīng)用或網(wǎng)絡(luò)會(huì)話。

p）超時(shí)的時(shí)間取決于連接的系統(tǒng)的重要程度、終端風(fēng)險(xiǎn)暴露程度以及終端上信息

的業(yè)務(wù)價(jià)值。

2.2.4系統(tǒng)實(shí)用程序的使用

大多數(shù)計(jì)算機(jī)操作系統(tǒng)都有一個(gè)或多個(gè)能夠越過(guò)系統(tǒng)和應(yīng)用控制措施的系統(tǒng)實(shí)用程

序。應(yīng)對(duì)其使用嚴(yán)加控制。應(yīng)考慮采用以下控制措施：

q）必須使用系統(tǒng)實(shí)用程序的身份驗(yàn)證程序。

r）把系統(tǒng)實(shí)用程序從應(yīng)用軟件中分離出來(lái)。

s）系統(tǒng)實(shí)用程序的使用應(yīng)僅限于最小實(shí)際委托授權(quán)用戶數(shù)。

t）應(yīng)對(duì)系統(tǒng)實(shí)用程序的特殊使用授權(quán)。

U）應(yīng)限制系統(tǒng)實(shí)用程序的可用性，如授權(quán)更改的期限。

V）應(yīng)記錄系統(tǒng)實(shí)用程序的各種使用情況。

W）應(yīng)對(duì)系統(tǒng)實(shí)用程序的授權(quán)級(jí)別進(jìn)行定義和備案。

X）應(yīng)及時(shí)移去所有不必要軟件的實(shí)用程序和系統(tǒng)軟件。

2.3用戶賬號(hào)安全

2.3.1用戶身份識(shí)別和驗(yàn)證

y）中國(guó)石油的所有信息系統(tǒng)用戶都應(yīng)擁有個(gè)人專用的唯一標(biāo)識(shí)符（用戶ID,以便

操作能夠追溯到具體責(zé)任人。但是在認(rèn)證和授權(quán)體系沒(méi)有建立之前，特定操作

第18頁(yè)共93頁(yè)

編號(hào)：

時(shí)間：2021年X月X日書山有路勤為徑，學(xué)海無(wú)涯苦作舟頁(yè)碼：第19頁(yè)共93頁(yè)

系統(tǒng)內(nèi)所有的用戶必須有一個(gè)唯一的ID,并且該ID名稱不能讓人猜測(cè)到該用

戶權(quán)限級(jí)別，如管理員、主管。

z）對(duì)于每一個(gè)系統(tǒng)的所有用戶，應(yīng)要求填寫賬號(hào)申請(qǐng)表，并在表格中包含公司的

密碼安全政策規(guī)范，明確違反該規(guī)范的后果和責(zé)任，同時(shí)要求用戶簽名產(chǎn)生法

律效力。

aa）對(duì)于用戶提供的身份，宜使用多種身份驗(yàn)證程序來(lái)加以證實(shí)?？诹钍且环N很常

見(jiàn)的身份識(shí)別和驗(yàn)證方法。同樣也可采用加密方法和身份驗(yàn)證協(xié)議達(dá)到同樣的

效果。也可使用用戶的內(nèi)存標(biāo)記或智能卡等進(jìn)行身份識(shí)別和驗(yàn)證。也可使用基

于個(gè)人唯一特點(diǎn)或特性的生物統(tǒng)計(jì)學(xué)身份驗(yàn)證技術(shù)來(lái)驗(yàn)證用戶身份。將安全技

術(shù)和安全機(jī)制結(jié)合起來(lái)可進(jìn)行更為嚴(yán)格的身份驗(yàn)證。具體參見(jiàn)《中國(guó)石油認(rèn)證

和授權(quán)技術(shù)方案》。

2.3.2用戶賬號(hào)過(guò)期

對(duì)于中國(guó)石油這樣的大型企業(yè)而言，系統(tǒng)中很容易存有過(guò)期的用戶賬號(hào)（如用戶賬

號(hào)所代表的個(gè)人已經(jīng)離開(kāi)中國(guó)石油，但是該員工所屬的用戶賬號(hào)卻還留在系統(tǒng)中），

這種過(guò)期用戶賬號(hào)的存在對(duì)于中國(guó)石油而言是一個(gè)巨大的威脅，因?yàn)檫@些用戶賬號(hào)

沒(méi)有人關(guān)注，其次萬(wàn)一這些用戶賬號(hào)被人利用，很難被人發(fā)現(xiàn)。

bb）應(yīng)設(shè)置用戶賬號(hào)的有效日期。（例如中國(guó)石油可設(shè)置用戶賬號(hào)的有效期為一年）。

CC）當(dāng)某一個(gè)用戶賬號(hào)過(guò)期的時(shí)候，系統(tǒng)必須檢查確認(rèn)該用戶賬號(hào)所對(duì)應(yīng)的員工是

否