收藏
下载资源 加入VIP,免费下载

管理制度-os操作系统安全管理规范030326v3fd 精品.doc

上传人:lao****ou 文档编号:27413 上传时间:2022-11-07 格式:DOC 页数:91 大小:682.16KB
下载 相关 举报
管理制度-os操作系统安全管理规范030326v3fd 精品.doc_第1页
第1页 / 共91页
管理制度-os操作系统安全管理规范030326v3fd 精品.doc_第2页
第2页 / 共91页
管理制度-os操作系统安全管理规范030326v3fd 精品.doc_第3页
第3页 / 共91页
管理制度-os操作系统安全管理规范030326v3fd 精品.doc_第4页
第4页 / 共91页
管理制度-os操作系统安全管理规范030326v3fd 精品.doc_第5页
第5页 / 共91页
亲,该文档总共91页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《管理制度-os操作系统安全管理规范030326v3fd 精品.doc》由会员分享,可在线阅读,更多相关《管理制度-os操作系统安全管理规范030326v3fd 精品.doc(91页珍藏版)》请在第一文库网上搜索。

1、中国石油信息安全标准编号:中国石油天然气股份有限公司操作系统安全管理规范(审阅稿)版本号:V3审阅人:王巍中国石油天然股份有限公司前 言随着中国石油天然气股份有限公司(以下简称“中国石油”)信息化建设的稳步推进,信息安全日益受到中国石油的广泛关注,加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策和标准,并在集团内统一推广、实施。本规范是依据中国石油信息安全的现状,参照国际、国内和行业相关技术标准及规范,结合中国石油自身的应用特点,制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全相关标准与规范,提高中国石油

2、信息安全的技术和管理能力。信息技术安全总体框架如下:1) 整体信息技术安全架构从逻辑上共分为7个部分,分别为:物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分,共有13本规范和1本通用标准。2) 对于13个规范中具有一定共性的内容我们整理出了7个标准横向贯穿整个架构,这7个标准的组合也依据了信息安全生命周期的理论模型。每个标准都会对所有的规范中相关涉及到的内容产生指导作用,但每个标准应用在不同的规范中又会有相应不同的具体的内容。我们在行文上将这六个标准组合成一本通用的安全管理标准单独成册。3) 全文以信息安全生命周期的方法

3、论作为基本指导,规范和标准的内容基本都根据预防保护检测跟踪响应恢复的理论基础行文。近年来,随着世界市场上对信息安全产品的需求迅速增长以及对系统安全的挑战不断加剧,美国、加拿大和欧洲一些国家联合起来,在美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC 等信息安全准则的基础上,提出了“信息技术安全评价通用准则(The mon Criteria for Information Technology Security Evaluation, CC)”,它综合了过去信息安全的准则和标准,形成了一个更全面的框架。1999年5月,国际标准化组织和国际电联(ISO/IEC)通过了将CC作为

4、国际标准ISO/IEC 15408信息技术安全评估准则的最后文本。操作系统及数据库也存在着安全级别,并在CC和 TCSEC中都有详细划分。 -TCSEC将计算机系统的安全可信性分为七个级别: -D 最低安全性;-C1 自主存取控制;-C2 较完善的自主存取控制 (DAC)、审计;-B1 强制存取控制(MAC);-B2 良好的结构化设计、形式化安全模型;-B3 全面的访问控制、可信恢复;-A1 形式化认证。 就TCSEC评估来说,达到B级标准的操作系统即称为安全操作系统。在B级的安全计算机系统中,安全级这个概念包含级别和类别两方面,安全级的级别之间具有可比性,如同2级大于1级一样;而安全级的类别

5、如同所属的部门,就像某人属于的单位,这个单位可大到整个跨国公司,也可小到所属的最小团体,甚至就是他本人。这样一种安全级定义,在计算机系统中就可将一个用户定义成“属于那几个部门的、级别为几的用户”,这就是该用户的安全级,凡是该用户运行的进程均具有这个安全级;同样,在计算机系统中也可将一个文件(主页)定义成“属于哪几个部门的、级别为几的文件(主页)”,这就是该文件的安全级。当用户的安全级与文件(主页)的安全级满足一定的存取控制规则时,该用户才可对该文件(主页)进行相应的读/写操作。这样,便实现了在计算机系统中的对用户和文件(主页)的层次化分类管理。 但是,仅仅通过简单的等级评估还不足以保障操作系统

6、的安全,因此本规范主要从操作系统的使用、维护管理等多方面对于操作系统进行了相关的安全方面的规范,保证了操作系统的安全。本规范由中国石油天然气股份有限公司发布。本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。起草部门:中国石油制定信息安全政策与标准项目组。说 明在中国石油信息安全标准中涉及以下概念:组织机构中国石油(PetroChina) 指中国石油天然气股份有限公司有时也称“股份公司”。集团公司(PC) 指中国石油天然气集团公司有时也称“存续公司”。为区分中国石油的地区公司和集团公司下属单位,但提及“存续部分”时指集团公司下属的单位。如:辽河油田分公司存续部分指集团公司下属的辽

7、河石油管理局。计算机网络中国石油信息网(PetroChinaNet) 指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上,进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。集团公司网络(Pet) 指集团公司所属范围内的网络。中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络,当提及“存续公司网络”时,指存续公司使用的网络部分。主干网 是从中国石油总部连接到各个下属各地区公司的网络部分,包括中国石油总部局域网、各个二级局域网(或园区网)和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总部,不是利用专线,这样的单位和

8、所使用的远程信道不属于中国石油专用网主干网组成部分。地区网 地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道可是专线,也可是拨号线路。局域网与园区网 局域网通常指,在一座建筑中利用局域网技术和设备建设的高速网络。园区网是在一个园区(例如研究院园区、管理局基地等)内多座建筑内的多个局域网,利用高速信道互相连接起来所构成的网络。园区网所利用的设备、运行的网络协议、网络传输速度基本相同于局域网。局域网和园区网通常都是用户自己建设的。局域网和园区网与广域网不同,广域网不仅覆盖范围广,所利用的设备、运行的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建设

9、的。二级单位网络 指地区公司下属单位的网络的总和,可能是局域网,也可能是园区网。专线与拨号线路 从连通性划分的两大类网络远程信道。专线,指数字电路、帧中继、DDN和ATM等经常保持连通状态的信道;拨号线路,指只在传送信息时才建立连接的信道,如电话拨号线路或ISDN拨号线路。这些远程信道可能用来连接不同地区的局域网或园区网,也可能用于连接单台计算机。石油专网与公网 石油专业电信网和公共电信网的简称。最后一公里问题 建设广域网时,用户局域网或园区网连接附近电信部门信道的最后一段距离的连接问题。这段距离通常小于一公里,但也有大于一公里的情况。为简便,同称为最后一公里问题。涉及计算机网络的术语和定义请

10、参见中国石油局域网标准。目 录第 1 章操作系统安全管理概述101.1概述101.2目标101.3规范的适用范围111.4规范引用的文件或标准121.5术语和定义13第 2 章操作系统安全管理通则152.1操作系统安全的一般性原则152.2操作系统访问控制要求162.2.1用户终端自动识别功能162.2.2登录程序172.2.3登陆超时172.2.4系统实用程序的使用182.3用户账号安全182.3.1用户身份识别和验证182.3.2用户账号过期192.3.3Guest用户账号202.3.4无口令用户账号202.3.5用户组202.3.6用户账号安全其它事项202.4用户口令安全212.4.1

11、口令选择212.5操作系统网络安全242.6文件系统安全252.7系统监控26第 3 章UNIX操作系统273.1用户账号安全273.1.1用户账号策略273.1.2用户账号管理273.1.3特殊帐户283.1.4超级用户账户283.1.5普通用户账户283.1.6UNIX 口令安全293.1.7搜索路径(PATH)限制293.2网络安全303.2.1受信主机(trusted host)303.2.2安全终端303.2.3网络文件系统(NFS)313.2.4FTP313.2.5电子邮件323.2.6Finger323.2.7关闭不必要的端口333.3文件系统安全353.3.1UNIX文件系统安

12、全机制353.3.2Setuid和Setgid脚本363.3.3umask值363.3.4文件加密363.3.5设备363.4系统监控373.4.1账号监控373.4.2系统监控383.4.3文件系统监控安全38第 4 章WINDOWS操作系统(服务器端)414.1用户账号安全414.1.1用户权限指派414.1.2上一次登录用户清除424.1.3用户账号数据库加密424.1.4实施口令安全424.1.5禁止缓存登录的信任状态信息434.2网络和服务安全444.2.1删除DOS,WINDOWS,OS/2和Posix子系统444.2.2关闭不必要的服务454.2.3关闭不必要的端口484.2.4

13、实施IPSec494.2.5加强定时服务的安全504.3文件系统安全514.3.1分区格式514.3.2磁盘分区514.3.3复制和移动文件514.3.4文件共享514.3.5文档服务器使用534.3.6禁用Dump文件生成功能534.3.7使用加密文件系统功能(EFS)534.3.8加密临时文件夹534.3.9在关机的时候清除页面交换文件544.3.10禁止软盘启动和光盘启动544.3.11禁用光盘的自动运行功能544.3.12加强打印机驱动的安全544.3.13加强共享系统对象的安全554.4系统监控564.4.1系统监控类型564.4.2日志设置方式574.4.3日志文件安全574.5组

14、件和注册表安全584.5.1注册表审核功能584.5.2注册表访问授权58第 5 章WINDOWS操作系统(客户端)605.1用户账号安全605.1.1用户帐号605.1.2上一次登录用户清除605.1.3用户账号数据库加密605.1.4实施口令安全615.1.5禁止缓存登录的信任状态信息615.1.6加强定时服务的安全625.2文件系统安全635.2.1分区格式635.2.2磁盘分区635.2.3复制和移动文件635.2.4文件共享635.2.5禁用Dump文件生成功能655.2.6使用加密文件系统功能(EFS)655.2.7加密临时文件夹655.2.8在关机的时候清除页面交换文件665.2.9禁止软盘启动和光盘启动665.2.10禁用光盘的自动运行功能665.2.11加强打印机驱动的安全665.2.12加强共享系统对象的安全675.3组件和注册表安全685.3.1注册表审核功能685.3.2注册表访问授权68第 6 章操作

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 企业管理 > 发展战略

copyright@ 2008-2022 001doc.com网站版权所有   

经营许可证编号:宁ICP备2022001085号

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有,必要时第一文库网拥有上传用户文档的转载和下载权。第一文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知第一文库网,我们立即给予删除!



客服