os操作系统安全管理规范

中国石油信息安全标准

编号:

中国石油天然气股份有限公司

操作系统安全管理规范

（审阅稿）

Bearing3P原名毕o马威i管理n咨询t

毕博

版本号：V3

审阅人：王巍

中国石油天然股份有喔公司

前言

随着中国石油天然气股份有限公司（以下简称“中国石油”）信息化建设的稳步推进，信息安全日

益受到中国石油的广泛关注，加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。

中国石油需要建立统一的信息安全管理政策和标准，并在集团内统一推广、实施。

本规范是依据中国石油信息安全的现状，参照国际、国内和行业相关技术标准及规范，结合中国石

油自身的应用特点，制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围内建

立信息安全相关标准与规范，提高中国石油信息安全的技术和管理能力。

信息技术安全总体框架如下：

《信息安全技术标准》

［数据和文档’应用系统安］

物理环境硬件设备操作系统'＜通用安全管

安全管理安全管理管理规范》安全管理I安全管理全管理I理标准》

*7」

全

全

计

认

授

通

《

《

《

《

《

《

《

《

《《

电

管应

管应

商

电

区

机

数

算防

证

权

w用

管e

子

用

用

业

子

域

房

据

理

理

机御

理

理

理

管

管

b安

理

系

商

系

系

软

邮

安

安

和

范

范

范

理

理

犯恶

标

标

范

规

标

规

概

全

规

统

务

全

文

统

统

件

件

全

通

通

罪意

述

》

准

准

》

》

范

准

范

》

管

范

安

安

管

档

用

用

使

开

购

安

管

管代

通

通

》

理

》

》

》

全

标

标

全

理

安

用

发

买

全

理

理码

标

则

则

管

准

准

规

规

全

准

安

安

管

管

规

规和

》

》

1）整体信息技术安全架构从逻辑上共分为7个部分，分别为：物理环境、硬件设备、网络、操作

系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成

册的部分，共有13本《规范》和1本《通用标准》。

2）对于13个《规范》中具有一定共性的内容我们整理出了7个《标准》横向贯穿整个架构，这

7个《标准》的组合也依据了信息安全生命周期的理论模型。每个《标准》都会对所有的《规

范》中相关涉及到的内容产生指导作用，但每个《标准》应用在不同的《规范》中又会有相应

不同的具体的内容。我们在行文上将这六个标准组合成一本通用的安全管理标准单独成册。

3）全文以信息安全生命周期的方法论作为基本指导，《规范》和《标准》的内容基本都根据预防

——〉保护一一〉检测跟踪一一〉响应恢复的理论基础行文。

近年来，随着世界市场上对信息安全产品的需求迅速增长以及对系统安全的挑战不断加剧，美国、

加拿大和欧洲一些国家联合起来，在美国的TCSEC、欧洲的ITSEC、力口拿大的CTCPEC、美国的FC等

信息安全准则的基础上，提出了“信息技术安全评价通用准则（TheCommonCriteriaforInformation

TechnologySecurityEvaluation,CC）”,它综合了过去信息安全的准则和标准，形成了一个更全面的

框架。1999年5月，国际标准化组织和国际电联（ISO/IEC）通过了将CC作为国际标准ISO/EC15408

信息技术安全评估准则的最后文本。操作系统及数据库也存在着安全级别，并在CC和TCSEC中都有详

细划分。

TCSEC将计算机系统的安全可信性分为七个级别：

D最低安全性；

C1自主存取控制；

C2较完善的自主存取控制（DAC）、审计；

B1强制存取控制（MAC）；

B2良好的结构化设计、形式化安全模型；

B3全面的访问控制、可信恢复；

A1形式化认证。

就TCSEC评估来说，达到B级标准的操作系统即称为安全操作系统。在B级的安全计算机系统中，

安全级这个概念包含级别和类别两方面，安全级的级别之间具有可比性，如同2级大于1级一样；而安

全级的类别如同所属的部门，就像某人属于的单位，这个单位可大到整个跨国公司，也可小到所属的最

小团体，甚至就是他本人。这样一种安全级定义，在计算机系统中就可将一个用户定义成“属于那几个

部门的、级别为几的用户”，这就是该用户的安全级，凡是该用户运行的进程均具有这个安全级；同样，

在计算机系统中也可将一个文件（主页）定义成“属于哪几个部门的、级别为几的文件（主页）“，这就

是该文件的安全级。当用户的安全级与文件（主页）的安全级满足一定的存取控制规则时，该用户才可

对该文件（主页）进行相应的读/写操作。这样，便实现了在计算机系统中的对用户和文件（主页）的

层次化分类管理。

但是,仅仅通过简单的等级评估还不足以保障操作系统的安全，因此本规范主要从操作系统的使用、

维护管理等多方面对于操作系统进行了相关的安全方面的规范，保证了操作系统的安全。

本规范由中国石油天然气股份有限公司发布。

本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。

起草部门：中国石油制定信息安全政策与标准项目组。

说明

在中国石油信息安全标准中涉及以下概念：

组织机构

中国石油（PetroChina）指中国石油天然气股份有限公司有时也称“股份公司”。

集团公司（CNPC）指中国石油天然气集团公司有时也称“存续公司”。为区分中国石油的地区

公司和集团公司下属单位，但提及“存续部分”时指集团公司下属的单位。如：辽河油田分公司存续部

分指集团公司下属的辽河石油管理局。

计算机网络

中国石油信息网（PetroChinaNet）指中国石油范围内的计算机网络系统。中国石油信息网是在

中国石油天然气集团公司网络的基础上,进行扩充与提高所形成的连接中国石油所属各个单位计算机局

域网和园区网。

集团公司网络（CNPCNet）指集团公司所属范围内的网络。中国石油的一些地区公司是和集团

公司下属的单位共用一个计算机网络，当提及“存续公司网络”时，指存续公司使用的网络部分。

主干网是从中国石油总部连接到各个下属各地区公司的网络部分，包括中国石油总部局域网、各

个二级局域网（或园区网）和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总

部，不是利用专线，这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。

地区网地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道可

是专线，也可是拨号线路。

局域网与园区网局域网通常指，在一座建筑中利用局域网技术和设备建设的高速网络。园区网是

在一个园区（例如研究院园区、管理局基地等）内多座建筑内的多个局域网，利用高速信道互相连接起

来所构成的网络。园区网所利用的设备、运行的网络协议、网络传输速度基本相同于局域网。局域网和

园区网通常都是用户自己建设的。局域网和园区网与广域网不同，广域网不仅覆盖范围广，所利用的设

备、运行的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建设的。

二级单位网络指地区公司下属单位的网络的总和，可能是局域网，也可能是园区网。

专线与拨号线路从连通性划分的两大类网络远程信道。专线，指数字电路、帧中继、DDN和ATM

等经常保持连通状态的信道；拨号线路，指只在传送信息时才建立连接的信道，如电话拨号线路或ISDN

拨号线路。这些远程信道可能用来连接不同地区的局域网或园区网，也可能用于连接单台计算机。

石油专网与公网石油专业电信网和公共电信网的简称。

最后一公里问题建设广域网时，用户局域网或园区网连接附近电信部门信道的最后一段距离的连

接问题。这段距离通常小于一公里，但也有大于一公里的情况。为简便，同称为最后一公里问题。

涉及计算机网络的术语和定义请参见《中国石油局域网标准》。

目录

第1章操作系统安全管理概述10

1.1概述10

1.2目标10

1.3规范的适用范围11

1.4规范引用的文件或标准12

1.5术语和定义13

第2章操作系统安全管理通则15

2.1操作系统安全的一般性原则15

2.2操作系统访问控制要求16

2.2.1用户终端自动识别功能16

2.2.2登录程序17

2.2.3登陆超时17

2.2.4系统实用程序的使用18

2.3用户账号安全18

2.3.1用户身份识别和验证18

2.3.2用户账号过期19

2.3.3Guest用户账号20

2.3.4无口令用户账号20

2.3.5用户组20

2.3.6用户账号安全其它事项20

2.4用户口令安全21

2.4.1口令选择21

2.5操作系统网络安全23

2.6文件系统安全23

2.7系统监控24

第3章UNIX操作系统25

3.1用户账号安全25

3.1.1用户账号策略25

3.1.2用户账号管理25

3.1.3特殊帐户26

3.1.4超级用户账户26

3.1.5普通用户账户26

3.1.6UNIX口令安全27

3.1.7搜索路径(PATH)限制27

3.2网络安全29

3.2.1受信主机(trustedhost)29

3.2.2安全终端29

3.2.3网络文件系统(NFS)30

3.2.4FTP30

3.2.5电子邮件31

3.2.6Finger31

3.2.7关闭不必要的端口32

3.3文件系统安全34

3.3.1UNIX文件系统安全机制34

3.3.2Setuid和Setgid脚本35

3.3.3umask值35

3.3.4文件加密35

3.3.5设备35

3.4系统监控36

3.4.1账号监控36

3.4.2系统监控37

3.4.3文件系统监控安全38

第4章WINDOWS操作系统(服务器端)40

4.1用户账号安全40

4.1.1用户权限指派40

4.1.2上一次登录用户清除41

4.1.3用户账号数据库加密41

4.1.4实施口令安全41

4.1.5禁止缓存登录的信任状态信息42

4.2网络和服务安全43

4.2.1册U除DOS,WINDOWS,OS/2和Posix子系统43

4.2.2关闭不必要的服务44

4.2.3关闭不必要的端口47

4.2.4实施IPSec49

4.2.5加强定时服务的安全49

4.3文件系统安全51

4.3.1分区格式51

4.3.2磁盘分区51

4.3.3复制和移动文件51

4.3.4文件共享51

4.3.5文档服务器使用53

4.3.6禁用Dump文件生成功能53

4.3.7使用加密文件系统功能(EFS)53

4.3.8加密临时文件夹54

4.3.9在关机的时候清除页面交换文件54

4.3.10禁止软盘启动和光盘启动54

4.3.11禁用光盘的自动运行功能54

4.3.12加强打印机驱动的安全54

4.3.13加强共享系统对象的安全55

4.4系统监控56

4.4.1系统监控类型56

4.4.2日志设置方式56

4.4.3日志文件安全57

4.5组件和注册表安全58

4.5.1注册表审核功能58

4.5.2注册表访问授权58

第5章WINDOWS操作系统(客户端)60

5.1用户账号安全60

5.1.1用户帐号60

5.1.2上一次登录用户清除60

5.1.3用户账号数据库加密60

5.1.4实施口令安全61

5.1.5禁止缓存登录的信任状态信息61

5.1.6加强定时服务的安全62

5.2文件系统安全63

5.2.1分区格式63

5.2.2磁盘分区63

5.2.3复制和移动文件63

5.2.4文件共享63

5.2.5禁用Dump文件生成功能65

5.2.6使用加密文件系统功能(EFS)65

5.2.7加密临时文件夹65

5.2.8在关机的时候清除页面交换文件66

5.2.9禁止软盘启动和光盘启动66

5.2.10禁用光盘的自动运行功能66

5.2.11加强打印机驱动的安全66

5.2.12加强共享系统对象的安全67

5.3组件和注册表安全67

5.3.1注册表审核功能67

5.3.2注册表访问授权67

第6章操作系统补丁规程69

6.1补丁相关人员架构和职责69

6.1.1建立补丁和系统脆弱性监测小组69

6.1.2补丁和系统脆弱性监测小组相关职责69

6.1.3各个系统管理员的补丁相关的职责72

6.2补丁流程73

6.2.1补丁程序的获取73

6.2.2补丁实施计划考虑74

6.2.3补丁测试76

6.2.4补丁实施77

6.2.5补丁自动分发80

6.2.6建立标准化系统设置81

6.2.7用户培训81

6.3操作系统主要补丁资源列表83

6.3.1windows系列操作系统补丁列表83

6.3.2主流Unix/Lunix操作系统安全补丁站点84

6.3.3Unix/Linux系列操作系统网站列表87

附录1参考文献90

附录2本规范用词说明92

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第10页共93页

第1章操作系统安全管理概述

1.1概述

操作系统作为计算机系统的基础软件是用来管理计算机资源的，它直接利用计算机硬件

并为用户提供使用和编程接口。各种应用软件均建立在操作系统提供的系统软件平台之

上，上层的应用软件要想获得运行的高可靠性和信息的完整性、保密性，必须依赖于操

作系统提供的系统软件基础。脱离了他，任何想像中的应用软件的高安全性都毫无根基

可言。在网络环境中，网络系统的安全性依赖于网络中各主机系统的安全性，而主机系

统的安全性正是由其操作系统的安全性所决定的，没有安全的操作系统的支持，网络安

全也毫无根基可言。

本规范通过四个部分对操作系统所需要注意的安全问题和相应的规范进行了具体的阐述。

第一个部分主要阐述了各种主流的操作系统都需要注意的通用的安全问题和规范。第二

和第三部分分别阐述了目前市场上主流的两大操作系统（Windows系列和Unix系列）的

相对独特的安全相关问题和规范。最后一个部分主要阐述了系统实施安全补丁的相关的

规范。

1.2目标

本规范的目标为：

通过对各种不同类型的操作系统进行安全方面的规范，保证目前中国石油现有的各种服

务器系统或用户端信息设备使用的操作系统的安全，防止由于采用了不安全的操作系统

而产生的安全问题或埋下安全隐患。使得这些操作系统免受未经授权的访问，防止操作

系统遭受如登陆程序问题、口令质量问题、授权用户滥用职权等威胁或薄弱点的侵害。

第10页共93页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第11页共93页

1.3适用范围

本套规范适用的范围包括了所有和操作系统相关的安全问题和安全事件。具体来说包括了

操作系统通用的安全规范，主流的操作系统（Windows系列和Unix系列）的安全规范和操作

系统相关的补丁实施安全规范。一些非主流的操作系统如Linux由于其成熟度和安全性相

对较差，且目前中国石油并未大规模的使用，因此没有对其制定相关的安全规范。

其中Windows操作系统安全主要考虑WindowsNT系列的安全，包括WindowsNT,以及

基于NT操作系统的Windows2000Server以及Windows2000Professional的安全，由于

Windows9x操作系统本身的安全性比较差，无法进行较高等级的安全配置，不应在较重

要的个人电脑或笔记本电脑中使用。

第11页共93页

编号：

时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第12页共93页

1.4规范引用的文件或标准

下列文件中的条款通过本标准的引用而成为本标准的条款。本标准出版时，所示版均为有

效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。

1.GB/T9387-1995信息处理系统开放系统互连基本参考模型(ISO7498:1989)

2.GB17859-1999计算机信息系统安全保护等级划分准则

3.GA/T391-2002计算机信息系统安全等级保护管理要求

4.ISO/IECTR13355信息技术安全管理指南

5.NIST信息安全系列——美国国家标准技术院

6.英国国家信息安全标准BS7799

7.信息安全基础保护ITBaselineProtectionManual(Germany)

8.BearingPointConsulting内部信息安全标准

9.RUSecure安全技术标准

10.信息系统安全专家丛书CertificateInformationSystemsSecurityProfessional

第12页共93页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第13页共93页

1.5术语和定义

访问控制accesscontrol一种安全保证手段，即信息系统的资源只能由被授权实体按授权方

式进行访问，防止对资源的未授权使用。

可用性availability数据或资源的特性，被授权实体按要求能及时访问和使用数据或资源。

生物特征认证biometricauthentication是指通过计算机利用人体所固有的生理特征或行为

特征来进行个人身份识别和(或)验证目的。常用的生物特征包括：指纹、掌纹、虹膜、脸

像等。

保密性confidentiality数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权

的个人、过程或其他实体的程度。

数字证书digitalcertificate是一个经证书认证机构(CA)数字签名的包含用户身份信息以及公

开密钥信息的电子文件，是各实体在网上进行信息交流及商务活动的电子身份证。

身份识别identityauthentication使信息处理系统能识别出用户、设备和其他实体的测试

实施过程。同身份验证。

例：检验一个口令或身份权标。

入侵检测intrusiondetection自动检测网络数据流中潜在入侵、攻击和滥用方式，提供了网络安全保护功

能。它位于被保护的内部网络和不安全的外部网络之间，通过实时截获网络数据流，寻找网络

违规模式和未授权的网络访问尝试。

完整性integrity在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源

的情况下,信息系统中的数据与在原文档中的相同，并未遭受偶然或恶意的修改或破坏时所具

的性质。

日志log一种信息的汇集，记录有关对系统操作和系统运行的全部事项，提供了系统的历史

状况。

最小权限minimumprivilege主体的访问权限制到最低限度，即仅执行授权任务所必需的那

第13页共93页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第14页共93页

些权利。

口令password用来鉴别实体身份的受保护或秘密的字符串。

安全操作系统securityoperationsystem为了对所管理的数据与资源提供适当的保护级，而

有效地控制硬件与软件功能的操作系统。

威胁threat一种潜在的对安全的侵害以破坏、泄漏、数据修改和拒绝服务的方式，可能对系

统造成损害的环境或潜在事件。(GB9387-95)

受信主机(trustedhost)提供充分的计算机安全的信息处理能力的主机，它允许具有不同访问

权的用户并发访问数据，以及访问具有不同安全等级和安全种类的数据。

加密encryption通过密码系统把明文变换为不可懂的形式。

校验verification将某一活动、处理过程或产品与相应的要求或规范相比较。

例：将某一规范与安全策略模型相比较，或者将目标代码与源代码相比较。

弱点vulnerability导致破坏系统安全策略的系统安全规程、系统设计、实现、内部控制等方

面的薄弱环节，在信息系统中能被威胁利用产生风险。

PAM可插拔的认证模块PluggableAuthenticationModules

NFS网络文件系统

PGP最佳隐私加密

第14页共93页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第15页共93页

第2章操作系统安全管理通则

2.1操作系统安全的一般性原则

操作系统一般都提供了充分的安全措施，充分利用这些安全措施可避免出现很多的安全

问题。下文指出了操作系统安全需要遵循的一般性原则，中国石油的系统管理相关人员

必须在系统管理中理解、遵循和实践这些原则：

a）禁用不必要的服务，尽量将系统中不用的服务、尤其是网络服务关闭，从而使

攻击的可能性降至最低。

b）对等认证原则（TrustedPath）,对等认证原则是指在某一实体（程序、用户等）

直接和系统上的另一实体通讯之前必须相互认证。该原则主要用于防止木马程

序。

c）最小权限原则，最小权限原则是指系统只能授予应用程序和用户必要的权限，

而不能授予额外的权限。（例如对于有些备份程序而言，它必须访问所有文件，

因此一般该程序都被授予root或者管理员的权限，但是这也意味着备份程序除

了能够做备份以外还能做一些关闭系统，创建用户等root用户具有的功能，但

这些功能显然不是备份程序应具有的，因此应只赋予该备份程序所必需的最小

的权限如读写的权限）。

d）强制式文档权限控制原则（Non-DiscretionaryProtection）,大多数操作系统都

提供了自主访问控制，即文档的权限完全由文档作者控制，他可确定其它所有

用户对该文档的权限，但是在某些情况下需要有集中式文档权限控制做为补充,

即将部分极其重要的文档的权限控制集中管理，由安全管理专员负责这些文档

的权限授予。

e）通过补丁增进系统安全，补丁程序是弥补系统弱点（vulnerability）的最佳途径，

本文的第五章专门讲述了补丁的重要性和补丁的流程。

f）在计算机上安装软件防火墙系统是保证操作系统安全的又一重要保证，需要在

所有重要服务器和重要个人电脑（包括笔记本电脑）中安装软件防火墙系统。

第15页共93页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第16页共93页

目前大多数的防病毒软件具有类似的安全功能。其他的手段还包括安装防病毒

软件、入侵检测软件和弱点扫描工具。

g）对于重要的数据有必要进行加密，具体参见《文档和数据安全规范》

h）安全性能评估，对于安全产品的选用上，中国石油需要采取谨慎和大胆相结合

的策略，放心使用经过权威第三方认证的安全产品如通过CC或TCSEC所规定

的B级标准的操作系统。

i）系统管理员应随时保持警惕以预防攻击事件的发生或者将攻击的危害降至最

低。

2.2操作系统访问控制要求

操作系统安全的另一个方面是对系统资源的访问控制要求。当用户或者应用程序访问系

统资源时要求操作系统管理员通过设置必要的选项完成以下功能：

a）提供适当的身份验证方法。如果使用了口令管理系统，则应确保使用高质量的口令（参

见本规范2.3、2.4章节一一用户帐号安全、用户口令安全）。

b）识别和验证身份。如果需要，还要验证每个合法用户的终端或位置。

c）记录成功和失败的系统访问（日志信息）。

d）根据情况限制用户连接时间。

2.2.1用户终端自动识别功能

e）通过终端访问操作系统时应使用终端自动识别功能来验证与其连接的终端的位

置和连接类型。如果会话必须从某一位置或计算机终端开始，则宜使用终端自动

识别技术。

f）终端内部附带的标识可说明是否允许此终端开始或接收某些具体事务。宜对终端

进行物理保护，维护终端标识的安全。

第16页共93页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第17页共93页

2.2.2登录程序

通过安全的登录程序应能够访问信息服务。计算机系统登录程序按其设计应最大限

度地降低非法访问的几率。因而，登录程序应最大限度地减少公开的系统信息，避

免为非法用户提供方便。登录程序应：

g）在登录过程未成功之前禁止显示系统或应用的标识。

h）应显示一般性注意事项，提醒用户只有合法用户才能访问计算机。

i）登录期间禁止提供帮助消息，以免为非法用户提供方便。

j）只有在所有输入数据完成后才验证登录信息。出错时，系统不应说明哪部分数据

正确，哪部分数据错误。

k）应限制允许进行的登录的失败次数（宜为3次）并考虑：

1）记录失败次数。

2）允许再次登录之前必须进行时延，或者如果未获得明确授权则必须拒绝再

次登录。

3）断开数据链路连接。

1）限制登录程序允许的时间上限和下限。如果超过限制，则系统必须终止登录过程。

m）成功登录完成后，宜显示以下信息；

1）以前成功登录的日期和时间。

2）上次成功登录以来登录失败的详细情况。

2.2.3登陆超时

n）高风险地域（如组织无法进行安全管理的公共或外部区域）或服务于高风险系

统的终端如果处于不工作状态，则必须在设定的不工作时间后予以关闭，防止

非法用户进行访问。

第17页共93页

编号：

时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第18页共93页

o）为所有PC提供有限的终端超时功能。当系统超时未激活时，应能够自动锁住

系统，防止非法访问，但不宜关闭应用或网络会话。

p）超时的时间取决于连接的系统的重要程度、终端风险暴露程度以及终端上信息

的业务价值。

2.2.4系统实用程序的使用

大多数计算机操作系统都有一个或多个能够越过系统和应用控制措施的系统实用程

序。应对其使用严加控制。应考虑采用以下控制措施：

q）必须使用系统实用程序的身份验证程序。

r）把系统实用程序从应用软件中分离出来。

s）系统实用程序的使用应仅限于最小实际委托授权用户数。

t）应对系统实用程序的特殊使用授权。

U）应限制系统实用程序的可用性，如授权更改的期限。

V）应记录系统实用程序的各种使用情况。

W）应对系统实用程序的授权级别进行定义和备案。

X）应及时移去所有不必要软件的实用程序和系统软件。

2.3用户账号安全

2.3.1用户身份识别和验证

y）中国石油的所有信息系统用户都应拥有个人专用的唯一标识符（用户ID,以便

操作能够追溯到具体责任人。但是在认证和授权体系没有建立之前，特定操作

第18页共93页

编号：

时间：2021年X月X日书山有路勤为径，学海无涯苦作舟页码：第19页共93页

系统内所有的用户必须有一个唯一的ID,并且该ID名称不能让人猜测到该用

户权限级别，如管理员、主管。

z）对于每一个系统的所有用户，应要求填写账号申请表，并在表格中包含公司的

密码安全政策规范，明确违反该规范的后果和责任，同时要求用户签名产生法

律效力。

aa）对于用户提供的身份，宜使用多种身份验证程序来加以证实。口令是一种很常

见的身份识别和验证方法。同样也可采用加密方法和身份验证协议达到同样的

效果。也可使用用户的内存标记或智能卡等进行身份识别和验证。也可使用基

于个人唯一特点或特性的生物统计学身份验证技术来验证用户身份。将安全技

术和安全机制结合起来可进行更为严格的身份验证。具体参见《中国石油认证

和授权技术方案》。

2.3.2用户账号过期

对于中国石油这样的大型企业而言，系统中很容易存有过期的用户账号（如用户账

号所代表的个人已经离开中国石油，但是该员工所属的用户账号却还留在系统中），

这种过期用户账号的存在对于中国石油而言是一个巨大的威胁，因为这些用户账号

没有人关注，其次万一这些用户账号被人利用，很难被人发现。

bb）应设置用户账号的有效日期。（例如中国石油可设置用户账号的有效期为一年）。

CC）当某一个用户账号过期的时候，系统必须检查确认该用户账号所对应的员工是

否