一、操作系统安全的一般性原则

操作系统本身一般都提供了一定的安全措施，充分利用这些安全措施可以避免出现一些安全问题。操作系统安全需遵循以下一般性原则：  

1.禁用不必要的服务，尽量将系统中不用的服务、尤其是一些暂时不用的网络服务关闭，从而使系统遭受攻击的可能性降至最低。  

2.对等认证原则(Trusted Path），对等认证原则是指某一实体（程序、用户等）直接和系统上的另一实体在通讯前必须相互认证的过程。  

3.最小权限原则，最小权限原则是指系统只能授予应用程序和用户必要的权限，而不能授予额外的权限。（例如对于有些备份程序而言，它必须访问所有文件，因此此类程序一般都被授予root或者管理员的权限，这也意味着备份程序除了能够做备份以外还拥有一些只有root用户才有的权限，如关闭系统，创建用户等。这些权限显然不是备份程序应具有的，因此实际应用中应尽可能只赋予该备份程序所必需的最小的权限如读写的权限）。  

4.强制式文档权限控制原则（Non-Discretionary Protection），大多数操作系统都提供了自主访问控制，即文档的权限完全由文档作者控制，文档作者可确定其它所有用户对该文档的权限，但是在某些情况下需要集中式文档权限控制作为补充，即将部分极其重要的文档的权限控制集中管理，由专门的安全管理人员负责这些文档的权限授予。  

5.通过补丁增进系统安全，补丁程序是弥补系统弱点（vulnerability）的最佳途径。  

6.在计算机上安装软件防火墙系统，根据需要在重要服务器和重要个人电脑（包括笔记本电脑）中安装软件防火墙系统。目前大多数的防病毒软件具有类似的安全功能。其他的手段还包括安装防病毒软件、入侵检测软件和漏洞扫描工具。  

7.对于重要的数据进行加密。  

8.安全性能评估，对于安全产品应选用经过国内、国外权威第三方认证的安全产品，如通过CC或TCSEC所规定的B级标准的操作系统。  

9.系统管理员应随时保持警惕以预防攻击事件的发生或者将攻击的危害降至最低。  

二、操作系统访问控制要求

用户或者应用程序访问系统资源时要求操作系统管理员通过设置必要的选项完成以下功能：  

1)提供适当的身份验证方法。如果使用了口令管理系统，应确保使用高质量的口令。  

2)识别和验证身份。如果需要，还要验证每个合法用户的终端或位置。  

3)记录成功和失败的系统访问（日志信息）。  

4)根据情况限制用户连接时间。  

1.用户终端自动识别功能  

通过终端访问操作系统时应使用终端自动识别功能来验证与其连接的终端的位置和连接类型。如果会话必须从某一位置或计算机终端开始，则应尽量使用终端自动识别技术。  

终端内部附带的标识可说明是否允许该终端开始或接收某些具体事务。应尽量对终端进行物理保护，维护终端标识的安全。  

2.登录程序  

登录程序应最大限度地减少公开的信息，以避免非法用户使用。登录程序应：  

1)在登录过程未成功之前禁止显示系统或应用的标识。  

2)显示一般性注意事项，提醒用户只有合法用户才能访问计算机。  

3)登录期间禁止提供帮助消息。  

4)只有在所有输入数据完成后才能验证登录信息。出错时，系统不应说明哪部分数据正确，哪部分数据错误。  

5)应限制允许登录的失败次数（宜为3次）并考虑：  

a.记录失败次数。  

b.允许再次登录之前必须进行时延，或者如果未获得明确授权则必须拒绝再次登录。  

c.断开数据链路连接。  

6)限制登录程序允许的时间上限和下限。如果超过限制，则系统必须终止登录过程。  

7)成功登录后，宜显示以下信息：  

a.以前成功登录的日期和时间。  

b.上次成功登录以来登录失败的详细情况。  

3.登录超时  

1)高风险地域（如无法进行安全管理的公共或外部区域）或服务于高风险系统的终端如果处于不工作状态，则必须在设定的不工作时间后予以关闭，防止非法用户进行访问。  

2)为所有PC提供有限的终端超时功能。当系统超时未激活时，应能够自动锁住系统，防止非法访问，但不宜关闭应用或网络会话。  

3)超时的时间设置取决于连接系统的重要程度、终端风险暴露程度以及终端上信息的业务价值。  

三、用户账号安全

1.用户身份识别和验证  

1)信息系统所有用户都应拥有个人专用的唯一标识符（用户ID，以便操作能够追溯到具体责任人）。但是在认证和授权体系没有建立之前，特定操作系统内所有的用户必须有一个唯一的ID，并且该ID名称不能让人猜测到该用户的权限级别，如管理员、主管等。  

2)对于每一个申请使用系统的用户，应要求填写账号申请表，并在表格中包含使用该应用系统的密码安全政策规范，明确违反该规范的后果和责任，同时要求用户签名以产生法律效力。  

3)对于用户身份的验证，宜采用多种身份验证程序来加以证实。口令是一种很常见的身份识别和验证方法。采用加密方法和身份验证协议也可达到同样的效果。也可使用用户的内存标记或智能卡等进行身份识别和验证。也可使用基于个人唯一特点或特性的生物统计学身份验证技术来验证用户身份。将安全技术和安全机制结合起来可进行更为严格的身份验证。  

2.用户账号过期  

系统中过期用户账号的存在是一个巨大的威胁。  

1)应设置用户账号的有效日期（例如可设置用户账号的有效期为一年）。  

2)当某一个用户账号过期时，系统必须检查确认该用户账号所对应的员工是否还继续担任该应用系统管理工作，如果不是则将该用户账号自动删除，否则继续激活该用户账号。  

3)如果用户账号过期了但是用户无法联系到（例如正在度假），可先将其用户账号锁住，等用户回来以后按需要激活。  

3.Guest账号  

Guest账号是操作系统安全的安全隐患：  

1)应禁止长期保留Guest账号。  

2)当系统安装完成以后必须视情况删除Guest账号，当用户确实需要Guest账号进行临时的访问时，才可将Guest账号激活。  

3)应确保Guest账号的口令安全。  

4.无口令用户账号  

在很多系统中，一般都会存在很多默认的无口令的用户账号，这些账号只用于执行特定的命令，这些账号一般不设口令，当攻击者攻破系统以后，就可能利用这些账号执行恶意程序，从而控制或者破坏整个系统。所有操作系统应禁止使用无口令的用户账号。  

5.用户组  

除非有特殊的要求，不应有多个用户共享一个用户ID和口令，而应使用用户组的概念来代替。  

6.用户账号安全其它事项  

1)系统管理员应具有两个用户账号，一个作为系统的常规用户，执行阅读文档，收发电子邮件等常规性操作，另一个用作管理，即真正具有管理员效力的用户账号。  

2)用户账号重命名，也就是对默认的账号重命名。包括administrator、guest以及其它一些在安装软件时(如IIS）自动建立的账号。  

3)建立伪管理员用户账号，如在Windows7系统中建立用户名为“administrator”的用户，并设定一个难以推测的口令，但是不赋予其真正的管理员权限。  

四、用户口令安全

强制用户账号的口令需要采取一定的策略来保证，同时需要操作系统管理员来保证用户账号密码的安全。  

1.口令选择  

口令选择的目标在于使密码易记难猜。即对于口令的主人而言密码非常容易记住，但对于攻击者而言，却很难通过密码主人的特征、习惯等来推测密码。用户在选择密码时应遵循如下原则：  

1)禁止使用登录账号或者登录账号的任何变形（例如大写、反序等）作为口令。  

2)口令不应包含任何个人信息，例如名字、生日、电话号码、身份证号码、门牌号等。  

3)禁止使用全部是数字或者字母的口令。  

4)不应使用常规的单词，例如英文辞典中查得到的单词。  

5)口令长度必须大于8个字符。  

6)必须同时包含大小写字母。  

7)口令中必须包含非字母字符，例如数字和标点。  

8)宜使用一个可很快输入的口令。  

2.口令政策  

口令安全除了要求用户选择安全性高的口令外，还需要有一系列的口令政策保证口令的安全，这主要包括：  

1)所有操作系统中的口令，用户只能记在心里，不应以任何形式出现在纸面上，也不应出现在计算机文档中。  

2)不应将口令给其它人。  

3)口令必须定期更新，系统宜自动提示用户定期更换口令。  

4)应使用个人口令，明确责任。  

5)根据情况可让用户更改自己的口令，还可让用户采用一种确认程序，允许出现输入错误。  

6)用户首次登录时要求用户必须更改临时口令。  

7)应记录用户以前的口令记录（如过去12个月的记录）防止重复使用。  

8)安装软件后更改默认的供应商口令。  

3.检查口令安全  

系统管理员应定期对口令安全进行检查，以保证安全政策的落实。系统管理员可使用口令破解程序定期对用户口令进行检查，如果这些工具能够破解用户口令，则必须责令用户修改口令。另外，口令安全原则还应包括：  

1)输入时屏幕上不显示口令。  

2)口令文件和应用系统数据应分开存储。  

3)利用单向加密算法以加密方式存储口令。  

五、操作系统网络安全

操作系统的网络安全主要是指操作系统本身提供的网络服务的安全性，例如电子邮件服务、Web服务、Ftp服务、命名服务以及网络功能设置的安全如网络协议等。由于网络安全和具体的操作系统密切相关。  

六、件系统安全

文件系统的安全是指系统中所有文件的安全，包括所有操作系统管理的设备资源的安全问题，例如打印机。文件系统的安全是系统安全的最后防线，主要通过两种方式实现文件系统的安全。第一种方式通过文件系统权限控制文件被恶意地访问或者在任何未经适当授权的情况下被访问。第二种方式则是通过对文件进行适当地加密实现。本文的重点主要是文件系统访问权限设置方面的规范。  

七、系统监控

操作系统监控的任务主要有：确定哪些内容是系统监控的对象，即决定日志的内容，系统监控的对象一般包括对系统的任何未经授权的访问以及操作系统本身是否存在安全漏洞等两个方面；对于系统监控的记录即日志应做哪些分析，即怎么利用日志内容。操作系统需要监控的对象主要分为用户账号安全、网络安全和文件系统安全三个方面。对用户账号安全进行定期的盘查主要用于发现两个问题：不应出现的访问（例如当某一账号所属的用户在度假，根本不可能登录系统，但系统中却有该用户账号在该时刻的登录信息）；用户登录以后是否执行了不应执行的命令（例如有些命令某用户没有执行权限却执行了该命令）。网络安全监控非常困难但又非常重要，因为对于系统的攻击大部分是从网络上发起的。文件系统安全的监控主要在于确定是否存在对于文件系统的非法访问以及监控文件备份政策和规范是否得到了切实的执行。要求管理员在平时使用一些常见的命令和工具随时了解系统的运行状况；操作系统的风险可降低但是不能完全消除，因此需要管理员时刻保持警醒。