1、 中国石油信息安全标准编号:中国石油天然气股份有限公司应 用 系 统 使 用 安 全 管 理 通 则(审阅稿)版本号:V3审阅人:王巍中国石油天然股份有限公司应用系统使用安全管理通则 I前 言随着中国石油天然气股份有限公司(以下简称“中国石油” )信息化建设的稳步推进,信息安全日益受到中国石油的广泛关注,加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策和标准,并在集团内统一推广、实施。本规范是依据中国石油信息安全的现状,参照国际、国内和行业相关技术标准及规范,结合中国石油自身的应用特点,制定的适合于中国石油信息安全的标准与规范。目标在于通
2、过在中国石油范围内建立信息安全相关标准与规范,提高中国石油信息安全的技术和管理能力。信息技术安全总体框架如下:区域安全管理规范 机房安全管理规范 硬件设备管理规范 网 络 安 全管 理 规 范 通 用 安 全 管理 标 准 数据和文档安全管理规范 应用系统使用安全管理标准通则 应用系统开发安全管理标准通则 商业软件购买管理标准 电子邮件安全管理规范 Web系统安全管理规范 电子商务安全规范 防御恶意代码和计算机犯罪管理规范 信 息 安 全 技 术 标 准 物 理 环 境安 全 管 理 硬 件 设 备安 全 管 理 操 作 系 统安 全 管 理 数 据 和 文 档安 全 管 理 应 用 系 统
3、安全 管 理网络安全管理概述 通用网络安全管理规范 内部网络安全管理规范 外部网络安全管理规范 认证管理通用标准通用安全管理标准概述 授权管理通用标准 加固管理通用标准 加密管理通用标准 日志管理通用标准 系统登陆管理通用标准操作系统安全管理规范1) 整体信息技术安全架构从逻辑上共分为 7 个部分,分别为:物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分,共有 13 本规范和 1 本通用标准 。2) 对于 13 个规范中具有一定共性的内容我们整理出了 6 个标准横向贯穿整个架构,这6 个标准的组合也依据了信息安全生命周期的
4、理论模型。每个标准都会对所有的规范中相关涉及到的内容产生指导作用,但每个标准应用在不同的规范中又会有相应不同的具体的内容。我们在行文上将这六个标准组合成一本通用安全管理标准单独成册。3) 全文以信息安全生命周期的方法论作为基本指导, 规范和标准的内容基本都根据认证授权内容安全日志管理的理论基础行文。应用系统是整个信息系统的核心,不论系统的规模的大小,系统的技术复杂的程度,一个业务部门或业务单元的业务往往要依赖相关业务的应用系统来维持正常运作。因此应用系统的使用直接的关II 应用系统使用安全管理通则系到了企业业务运作的成效。如果应用系统在使用中由于用户的不当操作或来自外部的恶意攻击造成瘫痪,则会
5、严重的影响企业业务的运作。造成巨大的经济和信誉上的损失。应用系统使用安全管理通则就是希望通过对于应用系统使用进行相应的规范来确保应用系统的正常运作。从而确保企业的业务运作的正常和有效,并且通过对于应用系统的不断的改进和更新使之更加的符合业务上的各种需求,提高企业业务运作的效率。本规范由中国石油天然气股份有限公司提出。本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。起草单位:中国石油制定信息安全政策与标准项目组。应用系统使用安全管理通则 III说 明在中国石油信息安全标准中涉及以下概念:组织机构中国石油(PetroChina) 指中国石油天然气股份有限公司有时也称“股份公司” 。
6、集团公司(CNPC) 指中国石油天然气集团公司有时也称“存续公司” 。为区分中国石油的地区公司和集团公司下属单位,担提及“存续部分”时指集团公司下属的单位。如:辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网(PetroChinaNet) 指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上,进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。集团公司网络(CNPCNet) 指集团公司所属范围内的网络。中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络,当提及“存续公司网络”时,指存续公司使用的网络部分
7、。主干网 是从中国石油总部连接到各个下属各地区公司的网络部分,包括中国石油总部局域网、各个二级局域网(或园区网)和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总部,不是利用专线,这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。地区网 地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道可以是专线,也可以是拨号线路。局域网与园区网 局域网通常指,在一座建筑中利用局域网技术和设备建设的高速网络。园区网是在一个园区(例如大学校园、管理局基地等)内多座建筑内的多个局域网,利用高速信道互相连接起来所构成的网络。园区网所利用的设备、运行的网络协议、
8、网络传输速度基本相同于局域网。局域网和园区网通常都是用户自己建设的。局域网和园区网与广域网不同,广域网不仅覆盖范围广,所利用的设备、运行的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建设的。二级单位网络 指地区公司下属单位的网络的总和,可能是局域网,也可能是园区网。IV 应用系统使用安全管理通则专线与拨号线路 从连通性划分的两大类网络远程信道。专线,指数字电路、帧中继、DDN 和ATM 等经常保持连通状态的信道;拨号线路,指只在传送信息时才建立连接的信道,如电话拨号线路或 ISDN 拨号线路。这些远程信道可能用来连接不同地区的局域网或园区网,也可能用于连接单台计算机。石
9、油专网与公网 石油专业电信网和公共电信网的简称。最后一公里问题 建设广域网时,用户局域网或园区网连接附近电信部门信道的最后一段距离的连接问题。这段距离通常小于一公里,但也有大于一公里的情况。为简便,同称为最后一公里问题。涉及计算机网络的术语和定义请参见中国石油局域网标准 。应用系统使用安全管理通则 V目 录1 概述 62 目标 63 适用范围 64 引用的文件或标准 75 术语和定义 86 应用系统安装管理 96.1 测试安全 96.2 版本管理安全 .107 应用系统使用管理 .137.1 使用者身份识别管理 .137.2 基于人员职责的应用系统分级授权管理 .157.3 安全运营管理 .1
10、77.4 安全控制管理 .217.5 应用系统安全日志管理和监控管理 .238 应用系统维护管理规范 .268.1 备份管理规范 .268.2 维护安全管理规范 .268.3 卸载处理管理规范 .28附录 1 参考文献 29附录 2 本规范用词说明 306 应用系统使用安全管理通则1 概述应用系统的概念是将技术与用户业务上的实际需求结合在一起,直接面对使用者、用于支持用户更快更好更有效的完成实际工作的集成的人机交互系统。应用系统是建立在物理硬件系统、软件操作系统之上的信息系统。根据应用系统完成目标和服务对象的不同目前主要分为以下几种类型:业务处理系统、职能信息系统、组织信息系统和决策支持系统。
11、本通则通过对各种类型的应用系统在使用过程中面临的各种与安全相关的并且具有一定通用性的问题进行阐述。从应用系统安装实施到使用到最后的维护报废的各个阶段入手,对应用系统使用中的安全问题加以相应的规范,确保应用系统在使用中的安全管理。2 目标本规范的目标为:保护应用系统在使用的各个阶段的安全。具体来说就是保护应用系统安装实施中的安全,保证应用系统在使用中的安全和在维护和报废过程中的安全。并使得应用系统不断的符合中国石油的实际业务需求和安全管理上的需求。使应用系统更好的为中国石油的业务发展服务。3 适用范围本套规范适用的范围包括了所有在应用系统使用过程中相关的安全问题和安全事件。具体来说包括了应用系统
12、安装过程中的安全问题,使用中的安全问题和维护报废过程中的安全问题,同时也包含了应用系统使用中版权的管理问题。本通则面向所有的应用系统的使用者、应用系统的维护和开发人员以及企业内部信息安全的管理人员和技术人员。应用系统使用安全管理通则 74 引用的文件或标准下列文件中的条款通过本标准的引用而成为本标准的条款。凡是不注日期的引用文件,其最新版本适用于本标准。1. GB17859-1999 计算机信息系统安全保护等级划分准则2. GB/T 9387-1995 信息处理系统 开放系统互连基本参考模型(ISO7498 :1989)3. GA/T 391-2002 计算机信息系统安全等级保护管理要求4.
13、ISO/IEC TR 13355 信息技术安全管理指南5. NIST 信息安全系列北美信息标准组织安全规范6. NIST 信息安全系列美国国家标准技术院7. 英国国家信息安全标准 BS77998. 信息安全基础保护 IT Baseline Protection Manual (Germany)9. BearingPoint Consulting 内部信息安全标准10. RU Secure 安全技术标准11. 信息系统安全专家丛书 Certificate Information Systems Security Professional5 术语和定义认证 a.验证用户、设备和其他实体的身份; b
14、. 验证数据的完整性。可用性 availability 数据或资源的特性,被授权实体按要求能及时访问和使用数据或资源。保密性 confidentiality 数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。8 应用系统使用安全管理通则完整性 integrity 在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,信息系统中的数据与在原文档中的相同,并未遭受偶然或恶意的修改或破坏时所具的性质。数字签名 digital signature 添加到消息中的数据,它允许消息的接收方验证该消息的来源。加密 encryption 通过密码系统
15、把明文变换为不可懂的形式。身份认证 identity authentication 使信息处理系统能识别出用户、设备和其他实体的测试实施过程。密钥 key 控制加密或解密操作的位串。漏洞 loophole 由软硬件的设计疏忽或漏洞导致的能避过系统的安全措施的一种错误。恶意代码 malicious code 在硬件、固件或软件中所实施的程序,其目的是执行未经授权的或有害的行动。不可抵赖性 non-repudiation 信息系统中涉及的若干个实体中的一个对曾参与全部或部分通信过程不能否认的特性。口令 password 用来鉴别实体身份的受保护或秘密的字符串。安全策略 security polic
16、y 规定机构如何管理、保护与分发敏感信息的法规与条例的集合。验证 verification 将某一活动、处理过程或产品与相应的要求或规范相比较。例:将某一规范与安全策略模型相比较,或者将目标代码与源代码相比较。应用系统使用安全管理通则 96 应用系统安装管理规范6.1 测试安全随着业务的发展,不断有新的应用系统投入使用,在应用系统正式投入使用之前必须进行测试以保证系统的安全和可靠,并符合企业的相关安全管理规范。对于应用系统的测试应遵从以下几个方面进行相关的规定:a) 在测试之前必须预先提出申请。通常由应用系统的使用部门中负责系统管理的相关人员向部门领导提出测试的申请,并注明测试的原因、目的,时
17、间,项目等。如果需要用真实的业务数据进行测试还需要进一步向公司信息安全部门确认并事先做好数据的保密工作。b) 明确参与测试的人员和人员的职责。参与测试的人员必须经过一定的筛选,通常由系统的开发人员或系统供应商的技术支持人员以及公司相关业务部门的系统维护人员和系统使用者共同参与。c) 应编写详细的测试计划。在测试的申请得到批准的前提下,编写详细的测试计划书,包括测试的物理环境要求,硬件和软件环境的要求,测试数据的准备,特别是如果采用真实的业务数据必须考虑数据的保密措施或对数据进行一定的数学处理。d) 应预先准备相关的测试环境。根据测试计划,准备相应的环境、设备和数据,并对环境和设备进行一定的检测
18、,以确保在测试的过程中不会因应用环境或硬件的问题影响测试的结果。e) 进行测试。测试不得影响正常的业务运作。如果客观上无法避免影响,也必须将测试的时间安排在工作时间以外,或尽量缩短测试的时间以减少对业务造成的影响。通常将测试分为阶段性测试和完整性测试。测试的内容通常包括了以下几部分: 应用系统安装测试,确认系统能在各种环境下正常的安装。 应用系统应用模块测试,确认应用系统各个功能模块的运行正常。10 应用系统使用安全管理通则 应用系统整体测试,确认应用系统各个功能模块之间的接口和交互正常。 应用系统数据吞吐量测试,确认应用系统所能负载的数据量的极限。 应用系统兼容性测试,确认系统和其他系统之间
19、没有兼容性问题。 应用系统用户需求测试,确认系统功能能够达到用户的需求。f) 检验阶段性或完整性测试报告。根据测试报告的内容对系统进行进一步的调整和更改,使得系统最大限度的满足业务的需求。6.2 版本管理安全6.2.1 版本使用应用系统的版本使用相关的安全措施应遵从:a) 必须规定应用系统的使用范围和使用者权限,确保应用系统仅在授权使用的范围内进行,任何形式的越权使用都将由于违反了该项规定而需要受到一定的惩罚。具体而言宜采用以下实施的步骤: 定期检查所有的用户系统上已经安装的应用系统。 确认如用户系统上安装了不应安装的应用系统或超出许可拥有版权数量以外的应用系统应立即予以清除并销毁。 确认如用
20、户系统上安装了的非法版权的或盗版的应用系统应立即予以清除并销毁。b) 应用系统的使用者应接受适当的使用培训和安全规范教育,确保系统的使用者能够正确的使用系统,尽量减少由于对系统不了解而造成的抵触情绪和由于误操作造成的损失。应用系统使用安全管理通则 11c) 应建立与应用系统版本使用情况相关的文档管理制度和软件分发制度。确认目前所有的应用系统有效版本数。d) 必须防止应用系统软件被盗用、流失和越权使用。e) 必须严格地集中控制应用系统的购买申请,杜绝重复购买的现象。f) 应使用版本统一的应用系统软件。g) 应采取有效的措施,防止对应用软件的非法访问及修改。h) 技术人员不得擅自对软件本身进行修改
21、和参数调整。6.2.2 版权控制应用系统使用过程中应注意对于版权的管理和控制,通常对于版权的问题主要从两个方面入手进行管理:6.2.2.1 防范系统的非法拷贝防范系统的非法拷贝可以从技术的角度和人员管理的角度两方面进行控制:a) 从技术的角度是指应用系统的开发人员可通过采用某种加密的办法和措施,使得非法的用户无法顺利的安装应用系统,以防止应用系统的非法扩散,从而保护开发者的利益。b) 从人员管理的角度是指应用系统的使用者应知道应用系统的开发过程是耗资巨大且非常困难的,应尊重应用系统开发人员的劳动成果。从使用者意识的角度进行规范,并明文规定如非法拷贝系统将受到一定的惩罚。6.2.2.2 防范使用
22、非法版权 (如盗版 )的软件对于盗版软件使用的防范通常通过“教育”加“检查”的方式进行规范。a) 应加强对系统使用人员的教育,提升人员的版权保护意识。让相关人员意识到使用盗版软件是一种侵权行为,也是一种偷窃行为。12 应用系统使用安全管理通则b) 公司的强制性规定。应明文规定禁止使用任何形式的非法版权的应用系统或软件。一旦发现将严肃处理。c) 应通过不定期的突击检查的方式,随时随机地检查某些用户使用的计算机系统中安装的各类应用系统软件。一旦发现使用非法版权的系统将予以严肃处理。应用系统使用安全管理通则 137 应用系统使用管理规范7.1 使用者身份识别管理7.1.1 用户账号管理a) 应确保每
23、一位应用系统的使用者只拥有一个属于自己的独立的账号,该账号直接关系到该用户在整个应用系统中的相关的权限。不得在应用系统中设立虚假的账号或无人使用的账号。b) 账号的申请和建立必须严格按照“一个人一个账号”的原则。c) 应用系统应提供相关的机制为每个账号和其他的个人相关信息有所联系。如人员的真实姓名、联系方式,所在部门等。d) 在一般情况下禁止建立用户组账号(即同一个账号可以由许多不同的用户登陆使用) 。除非情况十分特殊,则必须由相关的应用系统管理部门连同安全管理部门共同认可。e) 系统正式投入运行后应立即将系统中的“Guest”以及类似的系统自带或内置缺省的账户删除。f) 应用系统在允许用户在
24、使用系统中的某种重要功能之前,应要求用户提供其账号以确认身份。g) 应用系统应能够维护一份含有所有当前使用的用户及其相关状态信息的列表。h) 应用系统应提供相关机制来临时关闭或打开用户的账号。i) 应用系统应提供相关的机制来限制同一个账号同时登陆的个数。j) 应用系统应严格地控制各级管理员(Administrator) 账号或根 (Root)账号,所有的系统管理员应先通过他们自己的账号登陆系统,然后再切换到管理员(Administrator )账号或根(Root) 账号。14 应用系统使用安全管理通则k) 应用系统应将在 60 天内没有使用过的用户账号暂时禁用。如果该账号在 90天内没有使用过
25、或相关的部门正式通知该账号已经作废,则需将该账号从系统中删除( 在正式删除之前应向该用户发送一份通知)。用户可在业务需要且经部门的领导同意的情况下申请建立新的账号,或将已经被禁用的账号恢复。7.1.2 用户口令管理a) 应用系统应提供一种机制确保每一个使用系统的人员都必须先经过系统登陆,如输入用户名和口令的过程。禁止出现可以不经过系统登陆直接进入应用系统的情况。b) 应用系统应至少支持“用户名+口令”的系统认证方式,也可采用如 “动态密码卡+个人识别码 ”的认证方式。c) 应用系统对于口令的控制应符合“口令管理标准”中规定的相关规范。d) 应用系统应允许用户自行在系统中更改自己的口令。但这种更
26、改必须建立在用户已经通过了系统对于其本人身份的认证的基础之上。且系统应强制规定用户不可以为其本人以外的其他用户更改口令。e) 应用系统的口令应以密文的形式存放在系统中,且口令在传输的过程中必须进行一定的加密措施以确保口令的保密性和完整性。f) 当用户连接上应用系统但在一定的时间内(建议 10 分钟)没有使用,则系统应自动将该用户与系统的会话切断,当用户希望继续对应用系统进行操作时必须重新输入密码。g) 用户成功的登陆系统后,应用系统宜将登陆的时间,日期和用户的位置以及用户上次成功登陆系统之后登陆失败的次数显示在登陆的界面上。h) 系统应提供一种机制保证当用户连续 5 次登陆失败后系统会自动将用
27、户的账号锁定,且通知系统管理员。i) 应用系统应强制用户在第一次登陆系统后必须更改当前的系统初始口令,同样当出现用户忘记或遗失口令的情况系统管理员会帮助用户重新设置临时口应用系统使用安全管理通则 15令,用户在第一次使用临时口令时系统应强制用户必须更改临时口令后才能登陆系统。j) 应用系统中所有的自带的或缺省的口令必须在系统正式使用之前全部从系统中删除。k) 应用系统应强制用户每隔一定的时间(如 60 天)修改用户的登陆口令。l) 应用系统应保留用户之前 5 次使用的口令以确保用户的口令不会与前次重复。m) 应用系统的账号和口令管理必须严格的控制访问的权限,通常只能是系统的管理员才有权限进行访
28、问和管理。n) 应用系统的口令输入界面必须提供口令自动密文转换的功能。o) 口令文件应和系统的程序分开单独加密存放。7.2 基于人员职责的应用系统分级授权管理a) 应用系统应只允许经过认证的用户、程序模块或其他的应用系统访问,任何未经授权的访问都应被阻挡在外。b) 内部员工应用系统授权管理规范可以参照以下流程: 根据人事系统中员工的情况授予其相应的应用系统使用的权限和承担的责任。 以书面的方式将员工的权限和相应的责任提交给员工本人。 根据员工权限和责任的大小确认是否需要签署相关的保密协议。 在日常工作中记录员工的相关应用系统访问日志信息 员工一旦离职或调动岗位应立即收回或调整其应用系统相关的访
29、问的权限。16 应用系统使用安全管理通则c) 应用系统应提供通过将用户分组的方式定义用户的权限策略,比如对于同一类型的用户,这些用户可能具有某些共同的属性如属于同一业务单元、或在地理位置上相同或者在同一个项目中,使得这些用户在系统中具有相同的权限。因此可以通过对于同一组的用户给予同样的权限制定和使用同样的安全策略。大大降低安全策略实施的复杂度。d) 应用系统应支持对于敏感的系统或交易处理提供双重身份认证机制。e) 应建立应用系统的安全管理机构,负责应用系统安全相关的日常事务工作。主要负责与应用系统安全相关的规划、建设、资源利用和事故处理等方面的决策和实施。f) 应用系统的安全管理机构的相关人员
30、至少要求两个人或以上,禁止将系统的安全管理职责赋予一个人。必须建立相互监督的安全管理机制。g) 所有的用户的相关权限必须定期(每六个月)进行审计评估,安全管理人员的权限必须定期(每三个月)进行审计评估。7.3 安全运营管理应用系统在运营使用中的安全也相当重要,由于各个应用系统的功能,使用情况都各不相同。不可能根据各个不同的应用系统本身的特点进行安全上的阐述。因此应用系统的安全运营管理主要从系统通用的安全性:保密性、完整性和不可抵赖性三个方面进行阐述。7.3.1 系统保密性管理所谓应用系统的保密性是指防止应用系统的相关信息泄漏给未经授权的用户、实体或进程,须遵守以下规范:a) 对于所有的非公共的
31、数据传输或存储数据在企业安全管理范围以外的情况都应对相关的数据进行加密的保护。b) 对于非常敏感的数据无论在何种情况下都必须进行加密。应用系统使用安全管理通则 17c) 应用系统应使用公司标准的加密方法和加密机制。d) 保护关键密钥,确保只有经过授权的人才能得到。e) 设计和实施加密系统时应确保没有人能够完全了解或控制加密主密钥的相关信息。f) 应保护与密钥相关的各种资料,包括软件版本和硬拷贝。g) 禁止将密钥转换成明文。7.3.2 系统可用性管理可用性是指保证应用系统可以持续地被授权的应用实体访问并按照相关业务的需求进行使用,须遵守以下规范:a) 所有的加密机制应提供重创建机制、恢复机制,禁
32、止应用系统在任何情况下拒绝对用户进行服务。b) 应能够提供备份机制确保当应用系统出现问题时及时地恢复。c) 根据业务的需求建立数据备份的日程表,如果业务上没有明确的需求则每天进行一次增量的备份,一周进行一次全量的备份。d) 对应用系统数据集中存放的情况宜采取远程备份和灾难恢复的策略。e) 对于备份在备份介质如磁带上的数据应定期(隔 6 个月)进行一次检测确保数据还可以被恢复。7.3.3 系统完整性管理完整性是指应用系统信息在未经授权的情况下不得被改动的特性,须遵守以下规范:a) 应用系统尽管不可避免的会存在一定的安全风险,但应尽可能的将应用系统自身的安全风险降到最低。18 应用系统使用安全管理
33、通则b) 应对应用系统的详细设计进行分析来判断是否真正达到了企业所要求的安全规范。c) 应用系统的开发应尽量使用安全的开发环境。d) 应用系统的测试环境和开发环境必须分离。e) 开发人员应明确自己的开发的任务和相应的安全责任。f) 所有开发的代码都必须可以通过设计文档进行回朔,确认每行代码最终的业务需求。g) 应用系统应提供相关的验证机制或流程确保应用系统自身没有被非法的修改。h) 应用系统中所有的安全特性都必须经过功能性测试,安全测试应被列为系统整体测试的一个重要的部分。所有安全相关的测试问题都必须被完善的解决。i) 应用系统应提供严格的访问控制机制以确保系统不会被未经授权的人访问,修改或删
34、除信息。j) 在数据传输的过程中,应用系统中信息敏感的关键数据应进行加密的保护以确保完整性。k) 应用系统应自动生成日志信息以供日后审计使用。l) 应用系统应保留所有的访问的日志记录,包括用户的访问,系统的访问。记录相关的访问日期,访问时间和访问者相关信息。7.3.4 系统不可抵赖性管理规范不可抵赖性也被称之为不可否认性,主要是指信息在交换的过程中,确认参与者的身份的真实性和可靠性以及参与者操作的不可否认性,须遵守以下规范:应用系统使用安全管理通则 19a) 不可抵赖性服务应被用在当业务需要证明其交易信息或承诺具有相当的权威性和法律的效应。如数字签名技术等。b) 应用系统应能够安全地记录下准确
35、的时间信息、证明信息和确认信息。c) 不可抵赖性服务应被用作应用层协议。7.3.5 系统基于的系统环境和硬件安全管理7.3.5.1 硬件安全a) 确保应用系统基于的硬件设备、网络通讯传输和相应的物理环境的安全,以防止应用系统遭到未经授权的非法访问。b) 确保用户在家里或其他非企业相关的环境里办公所使用的计算机设备,网络传输的安全。特别是当用户在对某些敏感系统进行作业时。7.3.5.2 恶意代码防护确保企业内部所有的应用系统都在公司统一的恶意代码保护系统的保护之下,对于恶意代码保护系统的相关规范的细节请参见防御恶意代码和计算机犯罪管理规范7.4 安全控制管理为了防止应用系统中用户数据的丢失、修改
36、或错误的使用,应用系统应建立适当的控制,确保对于应用系统数据的输入、内部处理和输出进行一定的确认。7.4.1 对输入数据的确认应用系统容易受到故意或意外的无效数据的攻击,这会导致系统故障、数据滥用或通过系统本身安全漏洞进行欺诈犯罪等事件的发生。因此企业必须采用数据确认控制将数据的输入范围控制在一个合理的范围内,即限制在系统有效处理能力之内。20 应用系统使用安全管理通则数据输入方法的举例:a) 应通过双重输入或其他输入判断以下错误: 超过范围的数值 数据区中的无效字符 丢失或不完整的数据 超出数值的上下极限值 未经许可的或不一致的数据b) 应定期评审关键的数据文件的内容,确保其有效性和完整性。
37、c) 应检查硬拷贝的输入文件,确保输入的数据没有经过任何未经授权的更改。d) 应建立错误数据的响应程序。e) 应建立程序对于可怀疑的数据进行进一步检查。f) 应规定数据输入过程中所涉及的所有的人员的职责。7.4.2 对于数据内部处理的控制已经正确地输入的数据也可能因为处理的错误或人为的改动而被破坏,因此为了保证数据在处理的过程中的安全性,应对数据处理进行控制,包括:a) 批处理控制,确保事务更新后保持数据文件的平衡一致。b) 确认系统产生的数据的正确性。c) 确认数据传输过程中的完整性。d) 检查确保应用系统运行的时间正常。e) 检查确保应用系统运行的顺序正常。应用系统使用安全管理通则 217
38、.4.3 对于输出的数据进行确认尽管系统的输入是正确的,但输出仍然可能是错误的或是经过非法修改的。为确保输出信息的正确性,应对输出的数据进行确认,主要包括:a) 可信性检查,确认输出的数据是否合理。b) 数据一致性检查。c) 响应输出确认测试的程序。d) 数据输出过程中相关人员的责任。7.4.4 使用信息检验技术确保信息内容的完整性信息验证是指用户对于信息在传输过程中为避免遭到未经授权的访问及破坏而进行测试的一种技术,主要是针对主动攻击中的信息篡改和伪造,使得接收方得到的信息不正确。这种检测可以通过软件和硬件结合的方式实现。宜使用加密的办法达到对于信息进行验证的目的,但是如果对于不需要进行加密
39、的信息加密会增加系统的负担和开销。对于此类情况,目前可采用的信息检验技术主要有:报文摘要 MD(Message Digest)和安全散列算法(Secure Hash Algorithm)。7.5 应用系统安全日志管理和监控管理7.5.1 日志管理a) 应用系统应支持对用户的系统访问和操作行为进行日志记录和监控跟踪的功能。b) 应开发并实施系统日志管理功能,在系统出现问题的情况下通过确认原因来及时地恢复系统。c) 应用系统必须确保其日志文件在存储、传输的过程中受到专门的安全保护。22 应用系统使用安全管理通则d) 应用系统的日志文件不应保留太短或太长的时间,通常短至半年,长至 23年。e) 应用
40、系统的日志文件应根据系统的具体情况定期进行审核。f) 应用系统所记录的安全相关的日志文件应包含足够的信息确保一旦出现问题可以快速地定位产生问题的原因,并确认当事人员管理上或法律上的责任。g) 应用系统应根据业务需求和安全上的需求,定义日志文件所记录的信息的格式框架和特殊的事件信息。h) 日志记录中应包含足够的关于各类事件本身的信息。i) 对日志文件的审计应可以保护系统不会遭到未经授权访问。j) 应用系统安全管理人员应可在不影响应用系统本身的正常运作的前提下更改日志的记录范围和记录详细程度。k) 应用系统安全管理人员应有能力决定打开或关闭对某些事件的日志跟踪管理。l) 应用系统安全管理人员禁止关
41、闭对其自身的日志跟踪管理。m) 任何对可监控的事件的日志跟踪管理的改动都必须被记录在案。n) 应用系统应提供相应的机制或流程确保可将系统自动生成的日志文件在不影响应用系统正常运作的前提下,自动地备份到其他的备份存储设备上。7.5.2 监控管理a) 应用系统应提供一种实时监控的机制来监控可能会导致安全事故的各种安全相关事件的产生和发展情况,并将相关的信息及时准确地传递到安全管理人员处。b) 实时的监控所有的和交易或信息敏感系统设置的改动相关的事件,应进行24 小时 X 7 天全天候的保护机制。应用系统使用安全管理通则 23c) 应用系统应提供相关的日志信息的收集整理并进行一定的分析的工具,能够自
42、动生成意外事件报告、汇总报告或某些细节问题的详细报告。d) 应用系统安全管理人员应能够有选择性的对用户的行为进行实时地监控,其中包括了对普通的用户或特权的用户行为的监控。24 应用系统使用安全管理通则8 应用系统维护管理规范8.1 备份管理a) 应指派专门的人员负责应用系统的备份工作。b) 应为不同的应用系统制定不同的备份策略,如果没有特殊的要求则按照每天进行一次增量备份,每周进行一次全量备份的原则。c) 对于备份的介质的维护管理也应规定专门的人员负责,确保不会因为介质的老化或损坏造成数据的丢失。d) 对于应用系统备份相关的资料(包括了所有的软件资料和硬拷贝)的领用或借阅,必须经过相应的审批程
43、序,并建立相应的登记管理制度,统一管理。8.2 维护安全管理应用系统在正式投入使用后,后续的维护的工作也是相当的重要的,只有通过正确的维护方法和维护手段,才能保证应用系统不断地完善和持久地满足用户的业务上和安全上的需求。应用系统的使用过程中经常会出现问题,因此应设置专门的人员对应用系统使用过程中出现的问题进行收集、整理、归类并提交给应用系统的开发部门或应用系统的开发商以及相关的安全管理部门进行解决。并且需要跟踪问题的处理情况,直到问题得到圆满的解决。具体的维护的步骤可以分为:a) 维护要求或问题提出,应用系统使用者应根据业务上或安全上的实际需求提出系统上的改进或维护要求。b) 维护要求或问题分
44、析,相关的开发部门或开发商应协同安全管理部门对相关的要求进行分析,确认要求的客观性和可行性。企业不宜自行修改外购的应用软件系统。应用系统使用安全管理通则 25c) 提出解决的方案,根据要求和相应的分析结果,提出具体的解决方案反馈回用户。d) 应审批维护的方案,用户同意后交上级主管部门审批。e) 确定维护的计划,审批通过后应设计具体的维护计划。f) 应对程序进行修改,测试,然后实施修改后的系统。8.3 卸载处理管理当应用系统经过长期的使用,系统的功能已经无法满足日益增长的业务上的需求,则需要考虑将应用系统进行升级或更换。这时应妥善的处理原有应用系统的处置问题,应符合以下规范:a) 在卸载之前必须
45、事先做好所有系统中重要信息的备份工作,系统的数据应由系统管理员负责,个人的数据备份工作应由个人用户在系统管理员的正确指导下进行。b) 某些需要进行销毁的信息必须事先取得相关数据拥有者的同意,并且必须先将存储介质上的数据销毁,然后再将存储介质进行物理销毁。c) 正确的卸载应用系统。用户必须在系统管理人员的指导下正确地卸载相关的应用系统。不正确的卸载过程可能会导致系统不稳定。因此必须根据指定的步骤进行卸载的工作。凡是在卸载过程中遇到不确定的因素应立即向管理员询问,不得自作主张。d) 应用系统成功卸载后应在系统相应的登记簿中进行登记,记录卸载的时间和相关的其他信息。并再一次检查,确保应用程序已经成功
46、的卸载。26 应用系统使用安全管理通则附录附录 1 参考文献参考文献【国家法律】中华人民共和国国家安全法中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国保守国家秘密法中华人民共和国国家安全法【国家规定】维护互联网安全的决定中华人民共和国计算机信息系统安全保护条例中国信息安全产品测评认证用标准目录(一)军用计算机安全评估准则 GJB2255-95国土资源部信息网络安全管理规定安全策略分析报告_样例浅谈金融计算机信息系统安全管理电子计算机机房施工及验收规范 sj电子计算机机房设计规范 GB50174-1993网络国际联网管理暂行规定计算机信息系
47、统国际联网保密管理规定计算机信息系统安全专用产品分类原则(GA163-1997)计算机信息系统安全产品部件(安全功能检测 GA216-1-1999)计算机信息系统安全保护等级划分准则 GB 17859-1999计算机信息系统安全等级保护操作系统技术要求(GAT388-2002)计算机信息系统安全等级保护数据库管理系统技术要求(GAT389-2002)计算机信息系统安全等级保护管理要求(GAT391-2002)计算机信息系统安全等级保护网络技术要求(GAT387-2002)计算机信息系统安全等级保护通用技术要求(GAT390-2002)计算机软件保护条例应用系统使用安全管理通则 27计算站场地安
48、全要 GB9361_1988计算站场地技术条件 gb2887-1989 field银行卡联网联合安全规范【国家防火规范标准】建筑内部装修设计防火规范 GB50222_95.doc建筑物防雷设计规范 GB50057_94.doc建筑设计防火规范.doc火灾自动报警系统设计规范 GBJ116_88.doc高层民用建筑设计防火规范 GB50045_95.doc【国外相关标准】RFC 2196BS 7799 (UK)IT Baseline Protection Manual (Germany)OECD GuidelinesISO 15408 (“Common Criteria“)Rainbow Ser
49、ies (“Orange Book“) (US)Information Technology Security Evaluation Criteria (“ITSEC“) (UK)System Security Engineering Capability Maturity Model (SSE-CMM)DevelopmentISO 11131 (“Banking and Related Financial Services; Sign-on Authentication“)ISO 13569 (“Banking and Related Financial Services - Information Security Guidelines“)28 应用系统使用安全管理通则附录附录 2 本规范用词说明本规范用词说明一、 便于在执行本规范条文时区别对待,对要求严格程度不同的用词说明如下:1. 表示很严格,非这样做不可的:正面词采用“必须”;反面词采用“严禁”;2. 表示严格,在正常情况下均应这样做的:正面词采用“应”;反面词采用“不应”或“不得”。3. 表示允
