操作系统安全管理规范

2024年2月23日发(作者：)

操作系统安全管理规范

1、目的

根据国家分级保护要求，制定信息系统中操作系统安全管理办法，对信息系统内重要服务器和安全保密设备的操作系统采取安全加强措施。通过安全性检测和安全策略配置保障系统中不存在弱口令、开放多余服务与端口、存在高风险漏洞等安全隐患；规范系统补丁升级操作，避免系统升级过程中泄密。

2、适用范围

所属单位信息系统中的操作系统安全管理，包括服务器安全管理、安全策略设置等，其中操作系统包括WINDOWS/LINUX等操作系统。

3、引用文件

GB17859-1999《计算机信息系统安全保护等级划分准则》

GB/T 20272-2006 《信息安全技术 操作系统安全技术要求》

4、概述

本管理办法主要针对操作系统安全：包括安全策略设置，如打补丁、关闭端口等。其中含服务器设备标识规定；配置更改操作流程、配置更改登记表；系统日志查看、分析、保存规程；服务器用户名鉴别方式/重鉴别次数/鉴别失败处理/口令管理规定；服务操作系统自带安全措施使用、设置规定；服务操作系统、应用软件漏洞检测修补规定等。

5、服务器标识管理

5.1 目的

用于对信息系统中的服务器设备进行标识，以便于方便地识别和管理。识别可分为设备标签和设备计算机名标识两类。

5.2 标识规则

5.2.1 服务器设备标签

服务器设备标签一般为纸质不干胶标签，贴于服务器设备右上角，常用于设备固定资产管理。

单位名称设备名称：型号规格：项目名称：责任部门：设备编号：启用时间：

其中设备编号为项目名称+设备顺序号组成。

5.2.2 服务器设备计算机名标识

服务器设备计算机标识为电子标识，在系统设备管理中可查看和修改。一般用于网络信息系统中设备的方便管理和查询。

****-********-***-**-**** 启用时间操作系统类型（01：windows 02:unix 03:linux）服务器类型：（001：活动目录 002：OA 003：邮件…）设备编号单位名称

6、服务器配置管理

6.1 目的

对服务器中的配置进行管理，以规范服务器配置管理过程，每一次配置管理过程受控可回溯。实施配置管理的目的在于减少涉密信息系统配置更改和差异化。实现审批授权更改控制书面化,开展系统配置更改影响预测分析，更改效果影响评估,有助于控制更改过程，预防因配置更改造成的对系统安全态势的不利影响。

6.2 服务器配置管理规则

本规则适用于系统中所有服务器以及安全设备的配置项管理，配置项管理可采用手工或软件工具方式进行（软件工具可采用VSS版本控制程序，可对所有配

置项的修订版本进行管理）。

6.2.1 相关部门

信息化主管部门、信息化应用部门、保密部门、信息化实施部门系统管理员和保密管理员。

6.2.2 服务器配置管理流程

a.服务器登记流程

在服务器和安全设备（含安全软件产品）在信息系统中上线部署前，需确认设备的各项配置项（包括IP地址、安全策略设置等），确认部署完后方可上线。

首先由信息化应用部门或保密部门提出服务器和安全产品应用需求后，信息化主管部门组织信息化应用部门、保密部门以及信息化实施部门共同根据应用需求，讨论确认设备的各项配置项设置，形成“服务器配置登记表”，“服务器配置登记表”的内容包括：服务器名称及域名、CPU类型及数量、内存类型及容量、硬盘类型及容量、网卡类型及速率、操作系统类型及版本、服务器逻辑名及IP地址、支撑软件的配置、应用软件的配置、硬件及软件配置的情况等。交信息化实施部门实施；信息化实施部门实施完成后，提请信息化主管部门和保密部门确认后方可上线部署。

b.配置更改流程

信息系统经过审批投入运行后，应定期进行风险自评估。在信息系统应用环境或需求变化后，分析因需求变化而新出现的安全威胁，可动态调整安全策略，对服务器的配置进行更改，形成“系统配置更改登记表”（见附表1）。服务器配置更改流程如下：

信息化应用部门提出应用更改需求主管部门、保密部门确认同意更改信息化主管部门组织信息化应用部门、保密部门、信息化实施部门确认系统配置项更改信息化实施部门根据系统配置项更改单实施信息化主管部门检查反馈确认更改完成

c.配置项维护

在系统的配置项建立和更改修订后，信息化实施部门配置管理员应及时将配置项文档进行归档。如采用软件工具VSS管理，则应及时将更改后的配置项电子文档通过VSS上传到相应项目下进行版本管理和维护。

7、系统日志管理规程

7.1目的

通过制定文档化的明确的系统日志管理规程，规范系统日志查看、分析和保存行为，确保审计日志能对安全事件的事后追查提供足够的信息。

7.2 适用范围

信息系统中的服务器自身审核日志信息和安全产品的安全日志。主要工作人员为系统安全保密管理员。

7.3 系统日志管理规范

7.3.1 日志审核范围

启用服务器系统和安全产品的日志审核功能。系统中需记录日志的范围对服务器、安全产品的启动和关闭、审计功能的启动和关闭、系统内用户的增加和

删除、用户权限的更改、系统管理员/保密员/安全审计员和用户所实施的操作、身份鉴别相关事件、访问控制相关事件以及其它和系统安全有关的事件或专门定义的可审计事件。

定义合适的日志审核策略，确保服务器和安全产品的日志审计记录能提供足够的住处，以确定发生的事件及其来源和结果；并且审计记录应包括事件发生的时间、地点、类型、主体、客体和结果

服务器设置主机审核策略。在Windows平台上常见的可以打开的日志系统包括Windows事件查看器中的应用、系统、安全日志和IIS中WWW、SMTP、FTP日志。IIS中WWW、SMTP、FTP日志；

7.3.2 日志存储

系统保密管理员应定义服务器和安全设备日志规则，确保系统有充足的日志记录存储空间，防止由于存储空间溢出造成日志记录的丢失，在日志存储空间将满时，系统保密管理员应采取措施覆盖最早存储的日志数据或转存日志数据；在服务器和安全设备出现异常时，存储的日志记录不被破坏，记录至少保存6个月；

7.3.3 日志查看和分析

系统保密管理员应定期（最长一个月）对服务器日志和安全设备日志进行审查分析，调查可疑行为及违观操作，采取相应的措施，并形成日志分析报告；防病毒系统应每周分析一次病毒日志，形成病毒周报。在发生异常事件时，系统保密管理员应及时查看日志信息，并及时通知相关人员。

8、系统用户鉴别管理

8.1 目的

通过规范服务器用户名鉴别方式、重鉴别次别、鉴别失败处理和口令管理，保障服务器访问身份的真实安全。

8.2 应用范围

信息系统中服务器系统、安全设备。适用人员为系统管理员、保密管理员。

8.3 用户鉴别管理规程

8.3.1 用户身份标识符管理

服务器和安全设备本地登录和远程登录均需要进行身份鉴别。系统管理员负责统一生成系统用户身份标识符，并确保身份标识符在此系统生命周期中的唯一

性; 在收到删除用户通知后，安全保密管理员负责即时将用户在系统中的所有帐户和权限废止。

8.3.2 用户身份鉴别方式

在已实施PKI的系统中采用智能卡和口令相结合的方式进行用户身份鉴别。未实施PKI的系统身份鉴别应启用复杂口令策略：口令长度不少于十位，采用组成复杂、不易猜测口令，并定期一周更换口令。

8.3.3重鉴别

设置服务器重鉴别策略，启用屏幕保护程序，在用户空闲操作时间超过10分钟后，用户必须重新进行身份鉴别。

8.3.4鉴别失败

制定安全策略，当用户身份鉴别尝试失败次数达到五次后，对于本地登录，进行登录锁定，同时形成审计事件并告警；对于远程登录（如域登录、网络数据库登录等），对该用户进行锁定，并且只能由安全保密管理员恢复，同时形成审计事件并告警。

9、服务器安全策略设置

9.1目的

规定信息系统内安装有WINDOWS操作系统的主机应当遵循的操作系统安全性设置标准，指导系统管理人员进行WINDOWS操作系统的安全配置。

9.2适用范围

本规范适用的范围包括信息系统中运行的Windows 2000 Server/Windows

2003 Server服务器系统，本规范的使用者包括系统管理员、应用管理员和安全保密管理员。

9.3 系统安全策略设置

服务器系统可采用MOM系统或配置组策略方式统一进行管理。WINDOWS服务器常用的系统安全策略设置如下：

 安装最新系统补丁。及时跟踪Microsoft公司发布SP以及hotfixes的消息，从而根据具体环境，在机器中安装最新的SP及hotfixes补丁程序；

 所有磁盘分区都用 NTFS 格式化。NTFS 分区提供访问控制和保护功能，

这些都是 FAT、FAT32 或 FAT32x 文件系统所无法提供的。要确保服务器上的所有分区都使用 NTFS 格式化；

 启用密码必须符合复杂度要求策略、更改密码长度最小值、密码最长存留期、密码最短存留期、帐号锁定计数器、帐户锁定时间、帐户锁定阀值，保障帐号以及口令的安全；

 禁用或删除不必要的用户。通过在“计算机管理”管理单元中检查系统上的活动账号列表，管理员可以禁用或者删除所有的不必要帐号（包括GUEST账户，TSInternerUser帐户、SUPPORT_388945a0帐户，重复账号,

测试账号, 共享账号，普通部门账号等等），这些账号很多时候都是入侵系统的突破口。同时，系统的账号越多，存在弱口令的可能性一般也就越大；

 卸载不需要的服务，将暂时不需要开放的服务停止。安装 Windows 2000

Server 之后，应该根据最小化的安全原则来配置系统的服务。额外的不必要的任何网络服务（例如Terminal Services终端服务，IIS服务和RAS服务等）都可能给主机系统带来安全漏洞，尤其应该考虑服务器是否需要运行任何 IIS 组件以及是否运行用于文件和打印共享的 Server

服务；

 只开放必须的端口。当服务器系统中没有安装特殊的网管软件，可以用Windows系统自带的Netstat命令获得当前系统网络连接的信息（使用的端口和在使用的协议等），显示本地或与之相连的远程机器的连接状态，包括TCP、IP、UDP、ICMP协议的使用情况，了解本地机器开放的端口情况。限制特定执行文件的权限。系统上的所有必要的文件共享应该设置适当的ACL（访问控制权限），以防止未经授权的访问导致可能的信息泄露，并防止恶意用户利用共享作为进入本地系统的入口；

 禁止匿名用户连接，禁止空连接；

 关闭默认共享。缺省情况下，操作系统存在类似如C$、D$、ADMIN$等系统管理员级的默认共享，一般建议最好的方式就是取消这些管理共享。可以通过修改注册表的方式来永久删除这些默认的管理共享；

 限制Guest用户权限。在运行 Windows 2000 Server 的系统上，默认情

况下Guest等来宾账号是被禁用的。

 配置系统启动设置，禁止双重或多重启动，设置系统启动等待时间为零。

 打开审核策略。

 重要服务器中使用文件加密系统EFS；禁止DUMP FILE文件的产生；关机时清除页面文件。

10、 补丁升级管理

10.1 目的

制定补丁升级规程，保障服务器和其它安全设备、应用程序保持最新程序状态，规范补丁升级操作，禁止补丁升级过程中由于非涉密系统和涉密系统交叉泄密。

10.2适用范围

本规范的适用范围包括信息系统中的服务器操作、安全设备、数据库系统以及应用系统。本规范的使用者包括系统管理员、应用管理员和安全保密管理员。

10.3补丁升级规程

10.3.1 系统管理员应定期（至迟一星期）查询下载系统最新补丁，提供系统补丁升级。

10.3.2 补丁升级采用中间机方式进行。管理员利用联接Internet的计算机从原厂商的网站下载最新的补丁，然后在本机光盘刻录后，手工将补丁程序转移到中间机中，通过下载的补丁库进行检测病毒和测试升级，测试无误后再将下载的补丁复制到信息系统服务器或安全产品控制台进行升级。

10.3.3 补丁升级后应进行日志记录。

10.3.4 客户端的补丁升级可通过部署SMS或SUS系统来进行。

附件1：

编号：

设备名称

系统配置更改登记表

设备编号

日期：

操作系统版本

原有配置项

版本信息

配置更改需求

数据库版本

保密部门意见

年 月 日

信息化主管部门意见

年 月 日

信息化实施部门意见

年 月 日

配置更改实施反馈

年 月 日