2023重要信息系統(tǒng)安全防護(hù)技術(shù)規(guī)范第1部分：主機(jī)操作系統(tǒng)

1II目 次1范引文件 1語(yǔ)定義 1全術(shù)護(hù) 1身鑒別 1自訪(fǎng)控制 2安審計(jì) 2系保護(hù) 2入防范 3惡代防范 3資控制 4附錄A（料附）主機(jī)作統(tǒng)本求護(hù)方實(shí)示例 5PAGEPAGE1重要信息系統(tǒng)安全防護(hù)技術(shù)規(guī)范第1部分:主機(jī)操作系統(tǒng)范圍本規(guī)范規(guī)定了重要信息系統(tǒng)主機(jī)操作系統(tǒng)層面的安全防護(hù)實(shí)施技術(shù)規(guī)范。本規(guī)范適用于重要信息系統(tǒng)主機(jī)操作系統(tǒng)層面安全防護(hù)的實(shí)施、操作。（GB/T22239信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求DB32/T1927政府信息系統(tǒng)安全防護(hù)基本要求GB/T22239確立的術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。DB32/T1927-2011中、和適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。WindowsWindows8WindowsWindowsLinux/Unixetc/passwdetc/shadowLinux/Unix8Linux/UnixLinux/UnixDB32/T1927-2011中4.3.2適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。Windows））（）。WindowsLinux/UnixDB32/T1927-2011中4.3.4適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。Windows“windowsLinux/UnixDB32/T1927-2011中4.3.5適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。Windows應(yīng)為關(guān)鍵的Windows服務(wù)器建立熱冗余備份系統(tǒng)。Linux/Unix應(yīng)為關(guān)鍵的Linux/Unix系列服務(wù)器建立熱冗余備份系統(tǒng)。DB32/T1927-2011中-和適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。WindowsCPULinux/UnixCPUDB32/T1927-2011中4.3.8適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。WindowsWindowsLinux/UnixLinux/UnixDB32/T1927-2011中、和適用于本標(biāo)準(zhǔn)的該項(xiàng)基本要求。WindowsLinux/Unix附錄A（資料性附錄）主機(jī)操作系統(tǒng)基本要求防護(hù)方法實(shí)施示例Windows操作系統(tǒng)基本要求防護(hù)方法實(shí)施示例見(jiàn)表A.1。表A.1Windows序號(hào)防護(hù)項(xiàng)防護(hù)方法實(shí)施示例14.1身份鑒別a)為管理員賬戶(hù)zxyh設(shè)置口令ugt3389%pij@b）使用口令隨機(jī)生成軟件，每三個(gè)月更新一次口令c）組策略-windows3053044.2自主訪(fǎng)問(wèn)控制a)設(shè)置普通賬戶(hù)user對(duì)C:/windows/system文件夾的權(quán)限為僅允許“讀取和運(yùn)行”b)c)administrator如powerusers組d)webuserd:/www/web制權(quán)限”e)windowssysadmin（、secadmin（、auditor（審計(jì)員）三種角色賬戶(hù)f)禁用系統(tǒng)默認(rèn)賬戶(hù)guest104.3安全審計(jì)a)審計(jì)賬戶(hù)登錄事件：成功，失敗審計(jì)賬戶(hù)管理：成功，失敗審計(jì)目錄服務(wù)訪(fǎng)問(wèn)：失敗審計(jì)特權(quán)使用：失敗審計(jì)系統(tǒng)事件：成功，失敗b)c)部署日志分析系統(tǒng)，并設(shè)置報(bào)警功能。日志保存時(shí)間應(yīng)不少于一年d)“組策略”-“windows設(shè)置”-“安全設(shè)置”-“本地策略”-“用戶(hù)adiitaos144.4系統(tǒng)保護(hù)a)利用虛擬化技術(shù)建立關(guān)鍵windows服務(wù)器的熱冗余備份服務(wù)器系統(tǒng)表A.1Windows操作系統(tǒng)基本要求防護(hù)方法實(shí)施示例（續(xù)）序號(hào)防護(hù)項(xiàng)防護(hù)方法實(shí)施示例154.5入侵防范a)windowsCPU網(wǎng)絡(luò)、進(jìn)程、服務(wù)等資源以及對(duì)賬戶(hù)的操作等進(jìn)行監(jiān)控b)在主機(jī)資源監(jiān)控系統(tǒng)中設(shè)置報(bào)警閾值c)為windows操作系統(tǒng)部署文件完整性檢測(cè)軟件184.6惡意代碼防范a)為windows操作系統(tǒng)安裝網(wǎng)絡(luò)版防病毒軟件b)網(wǎng)絡(luò)防病毒軟件的病毒庫(kù)與網(wǎng)絡(luò)防惡意代碼產(chǎn)品需不相同c)為病毒庫(kù)軟件配置服務(wù)器端和客戶(hù)端，在服務(wù)器端進(jìn)行查殺策略、病毒庫(kù)的統(tǒng)一管理d)配置防病毒軟件互聯(lián)網(wǎng)在線(xiàn)更新或由服務(wù)器端進(jìn)行局域網(wǎng)內(nèi)病毒庫(kù)分發(fā)升級(jí)224.7資源控制a)windowsTCP/IP口；或在網(wǎng)絡(luò)訪(fǎng)問(wèn)控制設(shè)備中設(shè)置可遠(yuǎn)程訪(fǎng)問(wèn)服務(wù)器的IP地址；或部署使用運(yùn)維安全審計(jì)系統(tǒng)（堡壘機(jī)）b)windows時(shí)間10分鐘c)部署主機(jī)資源監(jiān)控系統(tǒng)，并在系統(tǒng)中設(shè)置報(bào)警閾值Linux/Unix系列操作系統(tǒng)基本要求防護(hù)方法實(shí)施示例見(jiàn)表A.2。A.2Linux/Unix序號(hào)防護(hù)項(xiàng)防護(hù)方法實(shí)施示例14.1身份鑒別a)catetc/passwdetc/shadow在為空的賬戶(hù)b）設(shè)置/etc/login.defs文件中賬戶(hù)口令相關(guān)的安全屬性如：PASS_MAX_DAYS、PASS_MIN_DAYS、PASS_MIN_LEN等c）使用口令隨機(jī)生成軟件，每三個(gè)月更新一次口令d）設(shè)置/etc/pam.d/system-auth文件中在accoutrequired/lib/security/pas_tally.sodeny=5no_magic_rootreset54.2自主訪(fǎng)問(wèn)控制a)限制etc/passwdetc/shadowetc/rc3.detc/profileetc/inet.conf、etc/xinet.conf等文件權(quán)限b)建立普通操作賬戶(hù)c)rootguestadmlphalt,mail等表A.2Linux/Unix系列操作系統(tǒng)基本要求防護(hù)方法實(shí)施示例（續(xù)）序號(hào)防護(hù)項(xiàng)防護(hù)方法實(shí)施示例84.3安全審計(jì)a)開(kāi)啟syslog和audit功能b)采用第三方日志收集設(shè)備，設(shè)備應(yīng)用具有日志分析、報(bào)警和生成審計(jì)報(bào)表功能c)定期對(duì)審計(jì)記錄進(jìn)行備份，并異地存放，保存時(shí)間應(yīng)不少于一年114.4系統(tǒng)保護(hù)a)利用虛擬化技術(shù)建立關(guān)鍵Linux/Unix服務(wù)器的熱冗余備份服務(wù)器系統(tǒng)124.5入侵防范a)Linux/UnixCPU、內(nèi)存、硬盤(pán)、網(wǎng)絡(luò)、進(jìn)程、服務(wù)等資源以及對(duì)賬戶(hù)的操作等進(jìn)行監(jiān)控b)在主機(jī)資源監(jiān)控系統(tǒng)中設(shè)置報(bào)警閾值c)為L(zhǎng)inux/Unix系列操作系統(tǒng)部署文件完整性檢測(cè)軟件154.6惡意代碼防范a)為L(zhǎng)inux/Unix系列操作系統(tǒng)安裝網(wǎng)絡(luò)版防病毒軟件b)網(wǎng)絡(luò)防病毒軟件的病毒庫(kù)與網(wǎng)絡(luò)防惡意代碼產(chǎn)品需不相同c)為病毒庫(kù)軟件配置服務(wù)器端和客戶(hù)端，在服務(wù)器端進(jìn)行查殺策略、病毒庫(kù)的統(tǒng)一管理d)配置防病毒軟件互聯(lián)網(wǎng)在線(xiàn)更新或由服務(wù)器端進(jìn)行局域網(wǎng)內(nèi)病毒庫(kù)分發(fā)升級(jí)194.7資源控制a)利用/etc/h