2-10-1263 集团公司操作系统技术规范.docVIP

中国航天科工集团公司 操作系统技术规范 中国航天科工集团公司 2009年11月 目 录 1 术语和定义 5 2人员岗位职责 5 3 产品选型 5 4 Windows系列操作系统技术规范 5 4.1 服务器操作系统要求 5 4.2 客户机操作系统要求 6 4.3 基本策略要求 7 4.3.1 安装要求 7 4.3.2 策略要求 7 操作系统命名规则 7 网络配置要求 7 4.3.3 操作系统策略配置要求 8 帐号密码策略要求 8 帐号锁定策略 9 身份重鉴别策略 10 4.4 审核策略 10 4.5 系统共享文件 15 4.5.1 系统默认共享 15 4.6 Windows系列注册表访问策略 16 4.7 系统补丁 16 4.8 Windows系统服务配置 17 5.Unix/ Solaris 系列操作系统技术规范 28 5.1 服务器操作系统要求 28 5.1.1 安装要求 29 5.2 基本策略要求 29 5.2.1 设置OpenBoot 安全级别 29 5.2.2 设置文件权限 29 5.2.3 禁止不使用的SUID/SGID程序 30 5.2.4 加密与验证 31 5.2.5 加密文件系统 31 5.3 用户口令和帐号的安全 31 5.4更改不必要的启动文件 32 5.5系统补丁 33 5.6 Unix系列服务配置 35 6. Linux 系列技术规范 37 6.1 服务器操作系统要求 37 6.2 Linux 系列策略要求 37 6.2.1 禁用软盘启动，设定引导口令 37 6.2.2 用户口令和帐号的安全 38 6.3 限制su命令 39 6.4 禁止控制台的访问 39 6.5共享文件 40 6.5 系统补丁 41 6.7 TCP_WRAPPERS 41 6.8 关闭不必要的服务 43 7 安全防护 47 7.1 及时安装操作系统补丁程序 47 7.2 安装病毒防护软件 47 7.3使用防火墙等访问控制设备 47 8 运行管理 47 8.1系统运行监控 47 8.2系统配置管理 47 8.3策略评估管理 47 9备份与恢复 48 10安全审计 48 操作系统技术规范 术语和定义 Raid：磁盘冗余技术，利用冗余磁盘技术提高磁盘的可靠性和速度。包括Raid0、Raid1、Raid5等级别。 DNS：域名解析服务，将计算机的名称解析成IP地址。 人员岗位职责 本规范中人员岗位为各单位信息部门任命的系统管理员、安全保密管理员和安全审计员。 系统管理员：负责管理操作系统的正常运行，负责服务器操作系统的安装、配置、备份、操作系统各项参数的设置、操作系统的调优和操作系统日志分析等日常工作。拥有服务器及操作系统的运行管理权限。应具有操作系统维护管理技术能力。 安全保密管理员：负责日常的安全保密管理工作，包括操作系统用户帐户、权限的管理等，拥有系统的帐号和授权管理的权限。应具有操作系统维护管理技术能力。 安全审计员：负责对安全保密管理员、系统管理员操作日志进行审计。拥有服务器操作系统的操作审计权限，而无运行管理权限。应具有操作系统维护管理技术能力。 业务主管领导：负责超级管理员、系统管理员、安全保密管理员和安全审计员账号及权限管理。 产品选型 服务器操作系统为windows 2003/2008 server、linux\unix(aix\solaris\hp-unix)等服务器版本，客户机操作系统为windows xp版本，所有的操作系统应为正版。Windows系列操作系统技术规范 4.1 服务器操作系统要求 由业务主管领导以超级管理员账号分别建立系统管理员、安全保密管理员、安全审计员相互独立的帐号，并进行分别授权。Windows系列网络配置表1要求内容 操作指南 参考配置操作 进入-管理工具-计算机管理”，在“系统工具-本地用户和组”：删除或锁定与设备运行、维护等工作无关的账号 检测方法 判定条件 判定方法 进入-管理工具-计算机管理”，在“系统工具-本地用户和组”查看是否删除或锁定与设备运行、维护等工作无关的账号 Windows系列网络配置表要求内容 操作指南 参考配置操作 进入-管理工具-计算机管理”，在“系统工具-本地用户和组”：Administrator -属性-更改名称,Guest -属性-已停用 检测方法 判定条件 Guest 账号已停用 判定方法 进入-管理工具-计算机管理”，在“系统工具-本地用户和组”，查看是否Administrator -属性-更改名称，Guest -属性-已停用 4.2 客户机操作系统要求 客户机操作