DB32∕T 2766.1-2015 重要信息系统安全防护技术规范 第1部分：主机操作系.pdf

1、ICS 25.040 L70 备案号：46299-2015 DB32 江苏省地方标准 DB32/T 2766.1-2015 重要信息系统安全防护技术规范 第 1 部分：主机操作系统 Specification for security technology protection of important information systems-Part 1：Host operating system 2015 - 06 - 15 发布 2015 - 08 - 15 实施 江苏省质量技术监督局 发 布 DB32/T 2766.1-2015 I 目 次 前言 . II 引言 . III 1 范围

2、. 1 2 规范性引用文件 . 1 3 术语和定义 . 1 4 安全技术防护 . 1 4.1 身份鉴别 . 1 4.2 自主访问控制 . 2 4.3 安全审计 . 2 4.4 系统保护 . 2 4.5 入侵防范 . 3 4.6 恶意代码防范 . 3 4.7 资源控制 . 4 附录 A（资料性附录） 主机操作系统基本要求防护方法实施示例 . 5 DB32/T 2766.1-2015 II 前 言 本规范依据GB/T 1.1-2009标准化工作导则 第1部分：标准的结构和编写编写。 本标准附录A是资料性附录。 本规范由江苏省经济和信息化委员会提出并归口。 本规范起草单位：江苏省电子信息产品质量监督

3、检验研究院（江苏省信息安全测评中心）。 本规范起草人：黄申、吴兰、蔡雨亭、程恺、赵兆、李永亮、李晓蓉、钱钰。 DB32/T 2766.1-2015 III 引 言 DB32/T 1927-2011政府信息系统安全防护基本要求中对主机操作系统的安全防护仅提出了基本要求，对如何具体实施未做详细规定。 本规范是对DB32/T 1927-2011政府信息系统安全防护基本要求的细化，用以指导信息系统主管和运维单位对重要信息系统进行安全建设、安全整改和安全运维，提高对信息系统的实际建设、整改、运维的操作能力。 本规范主要从信息系统主机的操作系统方面对安全防护技术规范做了全面的描述，包括了Windows系列

4、操作系统和Linux/Unix系列操作系统的安全防护技术规范。 DB32/T 2766.1-2015 1 重要信息系统安全防护技术规范 第 1 部分:主机操作系统 1 范围 本规范规定了重要信息系统主机操作系统层面的安全防护实施技术规范。 本规范适用于政府和企事业单位重要信息系统主机操作系统层面安全防护的实施、操作。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。 凡是注日期的引用文件， 其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。

5、GB/T 22239 信息安全技术 信息系统安全等级保护基本要求 DB32/T 1927 政府信息系统安全防护基本要求 3 术语和定义 GB/T 22239确立的术语和定义适用于本标准。 4 安全技术防护 4.1 身份鉴别 4.1.1 基本要求 DB32/T 1927-2011中4.3.1.1、4.3.1.4和4.3.1.5适用于本标准的该项基本要求。 4.1.2 防护方法 4.1.2.1 Windows 操作系统防护 a) 应为 Windows 操作系统设置不易猜解的账户口令，口令至少为 8 位，由数字、大小写字母、符号组成。 b) Windows 操作系统口令应定期进行更新。 c) 应对

6、Windows 操作系统设置登录失败处理策略。 4.1.2.2 Linux/Unix 系列操作系统防护 a) etc/passwd 和 etc/shadow 文件中不应存在口令为空的账户。 b) 应为 Linux/Unix 系列操作系统设置不易猜解的账户口令，口令至少为 8 位，由数字、大小写字母、符号组成。 c) Linux/Unix 系列操作系统口令应定期进行更新。 DB32/T 2766.1-2015 2 d) 应对 Linux/Unix 系列操作系统设置登录失败处理策略。 4.2 自主访问控制 4.2.1 基本要求 DB32/T 1927-2011中4.3.2适用于本标准的该项基本要求

7、。 4.2.2 防护方法 4.2.2.1 Windows 操作系统防护 a) 应制定符合应用业务需求的安全访问控制策略。 b) 安全访问控制策略应包括账户（主体）、文件和文件夹（客体）、访问权限（操作）。 c) 应设置仅超级管理员具有设置访问控制策略的权限。 d) 应遵循最小授权原则，对访问控制策略进行配置。 e) 应为 Windows 操作系统设置系统管理员、安全管理员、安全审计员三种角色账户。 f) 应限制系统默认账户的权限。 4.2.2.2 Linux/Unix 系列操作系统防护 a) 应限制系统主要目录和文件的权限。 b) 权限分离应采用最小授权原则，管理员账户和普通操作账户进行分离。

8、 c) 应查看口令文件内容，修改默认账户的口令，禁用不必要的默认账户。 4.3 安全审计 4.3.1 基本要求 DB32/T 1927-2011中4.3.4适用于本标准的该项基本要求。 4.3.2 防护方法 4.3.2.1 Windows 操作系统防护 a) 应开启“组策略”-“windows 设置”-“安全设置”-“本地策略”-“审核策略”。 b) 应合理配置审核策略。 c) 应使用日志分析系统或软件，并设置报警功能。 d) 应限制可管理和审核日志的账户。 4.3.2.2 Linux/Unix 系列操作系统防护 a) 应开启日志服务和安全审计服务，记录应包含日期和时间、类型、主体标识、客体标

9、识、事件的结果等内容。 b) 审计记录数据应具有分析功能，并生成审计报表，对特定的事件应能进行实时报警。 c) 审计记录应受到妥善保护， 避免受到未预期的删除、 修改或覆盖等操作， 记录应至少保存一年。 4.4 系统保护 4.4.1 基本要求 DB32/T 2766.1-2015 3 DB32/T 1927-2011中4.3.5适用于本标准的该项基本要求。 4.4.2 防护方法 4.4.2.1 Windows 操作系统防护 应为关键的 Windows 服务器建立热冗余备份系统。 4.4.2.2 Linux/Unix 系列操作系统防护 应为关键的 Linux/Unix 系列服务器建立热冗余备份系

10、统。 4.5 入侵防范 4.5.1 基本要求 DB32/T 1927-2011中4.3.7.1-4.3.7.3和4.3.7.6适用于本标准的该项基本要求。 4.5.2 防护方法 4.5.2.1 Windows 操作系统防护 a) 应使用运维管理系统对主机的 CPU、硬盘、内存、网络等资源的使用情况进行监控；应进行特定进程监控，限制操作人员运行非法进程；应进行主机账户监控，限制对重要账户的添加和更改。 b) 应在运维管理系统中设置阈值，在监控资源使用率达到阈值时进行报警。 c) 应使用文件完整性检测系统或软件，对系统文件的完整性进行检测。 4.5.2.2 Linux/Unix 系列操作系统防护

11、a) 应使用运维管理系统对主机的 CPU、硬盘、内存、网络等资源的使用情况进行监控；应进行特定进程监控，限制操作人员运行非法进程；应进行主机账户监控，限制对重要账户的添加和更改。 b) 应在运维管理系统中设置阈值，在监控资源使用率达到阈值时进行报警。 c) 应使用文件完整性检测系统或软件，对系统文件的完整性进行检测。 4.6 恶意代码防范 4.6.1 基本要求 DB32/T 1927-2011中4.3.8适用于本标准的该项基本要求。 4.6.2 防护方法 4.6.2.1 Windows 操作系统防护 a) 应为 Windows 操作系统安装基于主机操作系统的防病毒软件。 b) 防病毒软件与网络

12、防恶意代码产品应采用不同的病毒库。 c) 防病毒软件应能支持统一管理。 d) 防病毒软件应能在线更新病毒库或在局域网中分发升级病毒库。 4.6.2.2 Linux/Unix 系列操作系统防护 DB32/T 2766.1-2015 4 a) 为 Linux/Unix 操作系统安装基于主机操作系统的防病毒软件。 b) 防病毒软件与网络防恶意代码产品应采用不同的病毒库。 c) 防病毒软件应能支持统一管理。 d) 防病毒软件应能在线更新病毒库或在局域网中分发升级病毒库。 4.7 资源控制 4.7.1 基本要求 DB32/T 1927-2011中4.3.9.4、4.3.9.5和4.3.9.8适用于本标准

13、的该项基本要求。 4.7.2 防护方法 4.7.2.1 Windows 操作系统防护 a) 应在主机防火墙或运维管理审计系统中设置仅运维人员计算机可远程管理服务器。 b) 应开启屏幕保护锁定功能。 c) 应使用主机运维管理系统实时监控系统运行情况并报警。 4.7.2.2 Linux/Unix 系列操作系统防护 a) 应在系统配置文件或运维管理审计系统中设置仅运维人员计算机可远程管理服务器。 b) 应在系统配置文件中设置开启登录超时策略。 c) 应使用文件权限控制策略和进程控制策略，限制单个用户对系统资源的最大或最小使用限度。 d) 当系统的服务水平降低到预先规定的最小值时，应能提供检测和报警功

14、能。 DB32/T 2766.1-2015 5 A A 附 录 A （资料性附录） 主机操作系统基本要求防护方法实施示例 Windows操作系统基本要求防护方法实施示例见表A.1。 表A.1 Windows操作系统基本要求防护方法实施示例 序号 防护项 防护方法 实施示例 1 4.1 身份鉴别 4.1.2.1 a) 为管理员账户 zxyh 设置口令 ugt3389%pij 2 4.1.2.1 b） 使用口令随机生成软件，每三个月更新一次口令 3 4.1.2.1 c） 组策略-windows 设置-安全设置-账户策略-账户锁定策略：账户锁定时间 30 分钟，账户锁定阈值 5 次，重置账户锁定计数

15、器 30 分钟之后 4 4.2 自主访问控制 4.2.2.1 a) 设置普通账户 user 对 C:/windows/system 文件夹的权限为仅允许“读取和运行” 5 4.2.2.1 b) 6 4.2.2.1 c) 取消除 administrator 账户外的其余账户的文件权限设置的权限，例如 power users 组 7 4.2.2.1 d) 设置网站业务账户 webuser 仅对 d:/www/web 文件夹具有的“完全控制权限” 8 4.2.2.1 e) 为 windows 设置 sysadmin（系统管理员） 、secadmin（安全管理员） 、auditor（审计员）三种角色账

16、户 9 4.2.2.1 f) 禁用系统默认账户 guest 10 4.3 安全审计 4.3.2.1 a) 审计账户登录事件：成功，失败 审计账户管理：成功，失败 审计目录服务访问：失败 审计登录事件：成功，失败 审计对象访问：成功，失败 审计策略更改：成功，失败 审计特权使用：失败 审计系统事件：成功，失败 11 4.3.2.1 b) 12 4.3.2.1 c) 部署日志分析系统，并设置报警功能。日志保存时间应不少于一年 13 4.3.2.1 d) “组策略”-“windows 设置”-“安全设置”-“本地策略”-“用户权限分配：管理和审核安全日志” ，仅 administrators 14

17、4.4 系统保护 4.4.2.1 a) 利用虚拟化技术建立关键 windows 服务器的热冗余备份服务器系统 DB32/T 2766.1-2015 6 表 A.1 Windows 操作系统基本要求防护方法实施示例（续） 序号 防护项 防护方法 实施示例 15 4.5 入侵防范 4.5.2.1 a) 部署主机资源监控系统，对 windows 操作系统的 CPU、内存、硬盘、网络、进程、服务等资源以及对账户的操作等进行监控 16 4.5.2.1 b) 在主机资源监控系统中设置报警阈值 17 4.5.2.1 c) 为 windows 操作系统部署文件完整性检测软件 18 4.6 恶意代码防范 4.6

18、.2.1 a) 为 windows 操作系统安装网络版防病毒软件 19 4.6.2.1 b) 网络防病毒软件的病毒库与网络防恶意代码产品需不相同 20 4.6.2.1 c) 为病毒库软件配置服务器端和客户端，在服务器端进行查杀策略、病毒库的统一管理 21 4.6.2.2 d) 配置防病毒软件互联网在线更新或由服务器端进行局域网内病毒库分发升级 22 4.7 资源控制 4.7.2.1 a) 配置 windows 操作系统网络连接 TCP/IP 筛选，设置服务器开放的端口；或在网络访问控制设备中设置可远程访问服务器的 IP 地址；或部署使用运维安全审计系统（堡垒机） 23 4.7.2.1 b) 开

19、启 windows 操作系统屏幕保护功能， 并开启 “需要密码恢复” 功能，时间 10 分钟 24 4.7.2.1 c) 部署主机资源监控系统，并在系统中设置报警阈值 Linux/Unix系列操作系统基本要求防护方法实施示例见表A.2。 表 A.2 Linux/Unix 系列操作系统基本要求防护方法实施示例 序号 防护项 防护方法 实施示例 1 4.1 身份鉴别 4.1.2.2 a) 利用 cat 命令查看 etc/passwd 和 etc/shadow 文件的口令项，是否存在为空的账户 2 4.1.2.2 b） 设 置 /etc/login.defs 文 件中 账 户 口 令 相 关 的 安

20、 全 属 性 如 ：PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN 等 3 4.1.2.2 c） 使用口令随机生成软件，每三个月更新一次口令 4 4.1.2.2 d） 设 置 /etc/pam.d/system-auth文 件 中 在accout required /lib/security/pas_tally.so deny =5 no_magic_root reset 5 4.2 自主访问控制 4.2.2.2 a) 限 制etc/passwd 、 etc/shadow 、 etc/rc3.d 、 etc/profile 、etc/inet.conf、etc

21、/xinet.conf 等文件权限 6 4.2.2.2 b) 建立普通操作账户 7 4.2.2.2 c) 修改 root、guest 等默认口令，删除多余账户例如：adm, lp, halt, mail 等 DB32/T 2766.1-2015 7 表 A.2 Linux/Unix 系列操作系统基本要求防护方法实施示例（续） 序号 防护项 防护方法 实施示例 8 4.3 安全审计 4.3.2.2 a) 开启 syslog 和 audit 功能 9 4.3.2.2 b) 采用第三方日志收集设备，设备应用具有日志分析、报警和生成审计报表功能 10 4.3.2.2 c) 定期对审计记录进行备份，并异

22、地存放，保存时间应不少于一年 11 4.4 系统保护 4.4.2.2 a) 利用虚拟化技术建立关键 Linux/Unix 服务器的热冗余备份服务器系统 12 4.5 入侵防范 4.5.2.2 a) 部署主机资源监控系统，对 Linux/Unix 系列操作系统的 CPU、内存、硬盘、网络、进程、服务等资源以及对账户的操作等进行监控 13 4.5.2.2 b) 在主机资源监控系统中设置报警阈值 14 4.5.2.2 c) 为 Linux/Unix 系列操作系统部署文件完整性检测软件 15 4.6 恶意代码防范 4.6.2.2 a) 为 Linux/Unix 系列操作系统安装网络版防病毒软件 16

23、4.6.2.2 b) 网络防病毒软件的病毒库与网络防恶意代码产品需不相同 17 4.6.2.2 c) 为病毒库软件配置服务器端和客户端，在服务器端进行查杀策略、病毒库的统一管理 18 4.6.2.2 d) 配置防病毒软件互联网在线更新或由服务器端进行局域网内病毒库分发升级 19 4.7 资源控制 4.7.2.2 a) 利用/etc/hosts.deny 和防火墙等限制终端登录；或部署使用运维安全审计系统（堡垒机） 20 4.7.2.2 b) 配置/etc/profile 中的 TIMEOUT 环境变量 21 4.7.2.2 c) 配置/etc/security/limits.conf 中参数 nproc 22 4.7.2.2 d) 部署主机资源监控系统，监控服务水平，并提供检测和报警功能 _