os操作系统安全管理规范_030326_v3_fdVIP免费

中国石油信息安全标准编号：中国石油天然气股份有限公司操作系统安全管理规范（审阅稿）版本号：V3审阅人：王巍中国石油天然股份有限公司前言随着中国石油天然气股份有限公司（以下简称“中国石油”）信息化建设的稳步推进，信息安全日益受到中国石油的广泛关注，加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策和标准，并在集团内统一推广、实施。本规范是依据中国石油信息安全的现状，参照国际、国内和行业相关技术标准及规范，结合中国石油自身的应用特点，制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全相关标准与规范，提高中国石油信息安全的技术和管理能力。信息技术安全总体框架如下：1）整体信息技术安全架构从逻辑上共分为7个部分，分别为：物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分，共有13本《规范》和1本《通用标准》。2）对于13个《规范》中具有一定共性的内容我们整理出了7个《标准》横向贯穿整个架构，这7个《标准》的组合也依据了信息安全生命周期的理论模型。每个《标准》都会对所有的《规范》中相关涉及到的内容产生指导作用，但每个《标准》应用在不同的《规范》中又会有相应不同的具体的内容。我们在行文上将这六个标准组合成一本通用的安全管理标准单独成册。3）全文以信息安全生命周期的方法论作为基本指导，《规范》和《标准》的内容基本都根据预防——〉保护——〉检测跟踪——〉响应恢复的理论基础行文。近年来，随着世界市场上对信息安全产品的需求迅速增长以及对系统安全的挑战不断加剧，美国、加拿大和欧洲一些国家联合起来，在美国的TCSEC、欧洲的ITSEC、加拿大的CTCPEC、美国的FC等信息安全准则的基础上，提出了“信息技术安全评价通用准则（TheCommonCriteriaforInformationTechnologySecurityEvaluation，CC）”，它综合了过去信息安全的准则和标准，形成了一个更全面的框架。1999年5月，国际标准化组织和国际电联（ISO/IEC）通过了将CC作为国际标准ISO/IEC15408信息技术安全评估准则的最后文本。操作系统及数据库也存在着安全级别，并在CC和TCSEC中都有详细划分。----TCSEC将计算机系统的安全可信性分为七个级别：----D最低安全性；----C1自主存取控制；----C2较完善的自主存取控制(DAC)、审计；----B1强制存取控制(MAC)；----B2良好的结构化设计、形式化安全模型；----B3全面的访问控制、可信恢复；----A1形式化认证。就TCSEC评估来说，达到B级标准的操作系统即称为安全操作系统。在B级的安全计算机系统中，安全级这个概念包含级别和类别两方面，安全级的级别之间具有可比性，如同2级大于1级一样；而安全级的类别如同所属的部门，就像某人属于的单位，这个单位可大到整个跨国公司，也可小到所属的最小团体，甚至就是他本人。这样一种安全级定义，在计算机系统中就可将一个用户定义成“属于那几个部门的、级别为几的用户”，这就是该用户的安全级，凡是该用户运行的进程均具有这个安全级；同样，在计算机系统中也可将一个文件（主页）定义成“属于哪几个部门的、级别为几的文件（主页）”，这就是该文件的安全级。当用户的安全级与文件（主页）的安全级满足一定的存取控制规则时，该用户才可对该文件（主页）进行相应的读/写操作。这样，便实现了在计算机系统中的对用户和文件（主页）的层次化分类管理。但是，仅仅通过简单的等级评估还不足以保障操作系统的安全，因此本规范主要从操作系统的使用、维护管理等多方面对于操作系统进行了相关的安全方面的规范，保证了操作系统的安全。本规范由中国石油天然气股份有限公司发布。本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。起草部门：中国石油制定信息安全政策与标准项目组。说明在中国石油信息安全标准中涉及以下概念：组织机构中国石油（PetroChina）指中国石油天然气股份有限公司有时也称“股份公司”。集团公司（CNPC）指中国石油天然气集团公司有时也称“存续公司”。为区分中...