DB32∕T 2766.1-2015 重要信息系统安全防护技术规范 第1部分主机操作系

ICS25.040L70备案号：46299-2015DB32江苏省地方标准DB32/T2766.1-2015重要信息系统安全防护技术规范第1部分：主机操作系统Specificationforsecuritytechnologyprotectionofimportantinformationsystems-Part1：Hostoperatingsystem2015-06-15发布2015-08-15实施江苏省质量技术监督局发布DB32/T2766.1-2015I目次前言................................................................................II引言...............................................................................III1范围..............................................................................12规范性引用文件....................................................................13术语和定义........................................................................14安全技术防护......................................................................14.1身份鉴别......................................................................14.2自主访问控制..................................................................24.3安全审计......................................................................24.4系统保护......................................................................24.5入侵防范......................................................................34.6恶意代码防范..................................................................34.7资源控制......................................................................4附录A（资料性附录）主机操作系统基本要求防护方法实施示例............................5DB32/T2766.1-2015II前言本规范依据GB/T1.1-2009《标准化工作导则第1部分：标准的结构和编写》编写。本标准附录A是资料性附录。本规范由江苏省经济和信息化委员会提出并归口。本规范起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）。本规范起草人：黄申、吴兰、蔡雨亭、程恺、赵兆、李永亮、李晓蓉、钱钰。DB32/T2766.1-2015III引言DB32/T1927-2011《政府信息系统安全防护基本要求》中对主机操作系统的安全防护仅提出了基本要求，对如何具体实施未做详细规定。本规范是对DB32/T1927-2011《政府信息系统安全防护基本要求》的细化，用以指导信息系统主管和运维单位对重要信息系统进行安全建设、安全整改和安全运维，提高对信息系统的实际建设、整改、运维的操作能力。本规范主要从信息系统主机的操作系统方面对安全防护技术规范做了全面的描述，包括了Windows系列操作系统和Linux/Unix系列操作系统的安全防护技术规范。DB32/T2766.1-20151重要信息系统安全防护技术规范第1部分:主机操作系统1范围本规范规定了重要信息系统主机操作系统层面的安全防护实施技术规范。本规范适用于政府和企事业单位重要信息系统主机操作系统层面安全防护的实施、操作。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22239信息安全技术信息系统安全等级保护基本要求DB32/T1927政府信息系统安全防护基本要求3术语和定义GB/T22239确立的术语和定义适用于本标准。4安全技术防护4.1身份鉴别4.1.1基本要求DB32/T1927-2011中4.3.1.1、4.3.1.4和4.3.1.5适用于本标准的该项基本要求。4.1.2防护方法4.1.2.1Windows操作系统防护a)应为Windows操作系统设置不易猜解的账户口令，口令至少为8位，由数字、大小写字母、符号组成。b)Windows操作系统口令应定期进行更新。c)应对Windows操作系统设置登录失败处理策略。4.1.2.2Linux/Unix系列操作系统防护a)etc/passwd和etc/shadow文件中不应存在口令为空的账户。b)应为Linux/Unix系列操作系统设置不易猜解的账户口令，口令至少为8位，由数字、大小写字母、符号组成。c)Linux/Unix系列操作系统口令应定期进行更新。DB32/T2766.1-20152d)应对Linux/Unix系列操作系统设置登录失败处理策略。4.2自主访问控制4.2.1基本要求DB32/T1927-2011中4.3.2适用于本标准的该项基本要求。4.2.2防护方法4.2.2.1Windows操作系统防护a)应制定符合应用业务需求的安全访问控制策略。b)安全访问控制策略应包括账户（主体）、文件和文件夹（客体）、访问权限（操作）。c)应设置仅超级管理员具有设置访问控制策略的权限。d)应遵循最小授权原则，对访问控制策略进行配置。e)应为Windows操作系统设置系统管理员、安全管理员、安全审计员三种角色账户。f)应限制系统默认账户的权限。4.2.2.2Linux/Unix系列操作系统防护a)应限制系统主要目录和文件的权限。b)权限分离应采用最小授权原则，管理员账户和普通操作账户进行分离。c)应查看口令文件内容，修改默认账户的口令，禁用不必要的默认账户。4.3安全审计4.3.1基本要求DB32/T1927-2011中4.3.4适用于本标准的该项基本要求。4.3.2防护方法4.3.2.1Windows操作系统防护a)应开启“组策略”-“windows设置”-“安全设置”-“本地策略”-“审核策略”。b)应合理配置审核策略。c)应使用日志分析系统或软件，并设置报警功能。d)应限制可管理和审核日志的账户。4.3.2.2Linux/Unix系列操作系统防护a)应开启日志服务和安全审计服务，记录应包含日期和时间、类型、主体标识、客体标识、事件的结果等内容。b)审计记录数据应具有分析功能，并生成审计报表，对特定的事件应能进行实时报警。c)审计记录应受到妥善保护，避免受到未预期的删除、修改或覆盖等操作，记录应至少保存一年。4.4系统保护4.4.1基本要求DB32/T2766.1-20153DB32/T1927-2011中4.3.5适用于本标准的该项基本要求。4.4.2防护方法4.4.2.1Windows操作系统防护应为关键的Windows服务器建立热冗余备份系统。4.4.2.2Linux/Unix系列操作系统防护应为关键的Linux/Unix系列服务器建立热冗余备份系统。4.5入侵防范4.5.1基本要求DB32/T1927-2011中4.3.7.1-4.3.7.3和4.3.7.6适用于本标准的该项基本要求。4.5.2防护方法4.5.2.1Windows操作系统防护a)应使用运维管理系统对主机的CPU、硬盘、内存、网络等资源的使用情况进行监控；应进行特定进程监控，限制操作人员运行非法进程；应进行主机账户监控，限制对重要账户的添加和更改。b)应在运维管理系统中设置阈值，在监控资源使用率达到阈值时进行报警。c)应使用文件完整性检测系统或软件，对系统文件的完整性进行检测。4.5.2.2Linux/Unix系列操作系统防护a)应使用运维管理系统对主机的CPU、硬盘、内存、网络等资源的使用情况进行监控；应进行特定进程监控，限制操作人员运行非法进程；应进行主机账户监控，限制对重要账户的添加和更改。b)应在运维管理系统中设置阈值，在监控资源使用率达到阈值时进行报警。c)应使用文件完整性检测系统或软件，对系统文件的完整性进行检测。4.6恶意代码防范4.6.1基本要求DB32/T1927-2011中4.3.8适用于本标准的该项基本要求。4.6.2防护方法4.6.2.1Windows操作系统防护a)应为Windows操作系统安装基于主机操作系统的防病毒软件。b)防病毒软件与网络防恶意代码产品应采用不同的病毒库。c)防病毒软件应能支持统一管理。d)防病毒软件应能在线更新病毒库或在局域网中分发升级病毒库。4.6.2.2Linux/Unix系列操作系统防护DB32/T2766.1-20154a)为Linux/Unix操作系统安装基于主机操作系统的防病毒软件。b)防病毒软件与网络防恶意代码产品应采用不同的病毒库。c)防病毒软件应能支持统一管理。d)防病毒软件应能在线更新病毒库或在局域网中分发升级病毒库。4.7资源控制4.7.1基本要求DB32/T1927-2011中4.3.9.4、4.3.9.5和4.3.9.8适用于本标准的该项基本要求。4.7.2防护方法4.7.2.1Windows操作系统防护a)应在主机防火墙或运维管理审计系统中设置仅运维人员计算机可远程管理服务器。b)应开启屏幕保护锁定功能。c)应使用主机运维管理系统实时监控系统运行情况并报警。4.7.2.2Linux/Unix系列操作系统防护a)应在系统配置文件或运维管理审计系统中设置仅运维人员计算机可远程管理服务器。b)应在系统配置文件中设置开启登录超时策略。c)应使用文件权限控制策略和进程控制策略，限制单个用户对系统资源的最大或最小使用限度。d)当系统的服务水平降低到预先规定的最小值时，应能提供检测和报警功能。DB32/T2766.1-20155AA附录A（资料性附录）主机操作系统基本要求防护方法实施示例Windows操作系统基本要求防护方法实施示例见表A.1。表A.1Windows操作系统基本要求防护方法实施示例序号防护项防护方法实施示例14.1身份鉴别4.1.2.1a)为管理员账户zxyh设置口令ugt3389%pij@24.1.2.1b）使用口令随机生成软件，每三个月更新一次口令34.1.2.1c）组策略-windows设置-安全设置-账户策略-账户锁定策略：账户锁定时间30分钟，账户锁定阈值5次，重置账户锁定计数器30分钟之后44.2自主访问控制4.2.2.1a)设置普通账户user对C:/windows/system文件夹的权限为仅允许“读取和运行”54.2.2.1b)64.2.2.1c)取消除administrator账户外的其余账户的文件权限设置的权限，例如powerusers组74.2.2.1d)设置网站业务账户webuser仅对d:/文件夹具有的“完全控制权限”84.2.2.1e)为windows设置sysadmin（系统管理员）、secadmin（安全管理员）、auditor（审计员）三种角色账户94.2.2.1