应用系统使用安全管理通则_030324_v3_fd.doc

中国石油信息安全标准 编号 中国石油天然气股份有限公司 应用系统使用安全管理通则 审阅稿 版本号 V3 审阅人 王 巍 中国石油天然股份有限公司 前 言 随着中国石油天然气股份有限公司 以下简称 中国石油 信息化建设的稳步推进 信息安全日 益受到中国石油的广泛关注 加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保 障 中国石油需要建立统一的信息安全管理政策和标准 并在集团内统一推广 实施 本规范是依据中国石油信息安全的现状 参照国际 国内和行业相关技术标准及规范 结合中国 石油自身的应用特点 制定的适合于中国石油信息安全的标准与规范 目标在于通过在中国石油范围 内建立信息安全相关标准与规范 提高中国石油信息安全的技术和管理能力 信息技术安全总体框架如下 区区 域域 安安 全全 管管 理理 规规 范范 机机 房房 安安 全全 管管 理理 规规 范范 硬硬 件件 设设 备备 管管 理理 规规 范范 网网络络安安全全 管管理理规规范范 通通用用安安全全管管 理理标标准准 数数 据据 和和 文文 档档 安安 全全 管管 理理 规规 范范 应应 用用 系系 统统 使使 用用 安安 全全 管管 理理 标标 准准 通通 则则 应应 用用 系系 统统 开开 发发 安安 全全 管管 理理 标标 准准 通通 则则 商商 业业 软软 件件 购购 买买 管管 理理 标标 准准 电电 子子 邮邮 件件 安安 全全 管管 理理 规规 范范 W We eb b系系 统统 安安 全全 管管 理理 规规 范范 电电 子子 商商 务务 安安 全全 规规 范范 防防 御御 恶恶 意意 代代 码码 和和 计计 算算 机机 犯犯 罪罪 管管 理理 规规 范范 信信息息安安全全技技术术标标准准 物理环境 安全管理 硬件设备 安全管理 操作系统 安全管理 数据和文档 安全管理 应用系统安 全管理 网 络 安 全 管 理 概 述 通 用 网 络 安 全 管 理 规 范 内 部 网 络 安 全 管 理 规 范 外 部 网 络 安 全 管 理 规 范 认 证 管 理 通 用 标 准 通 用 安 全 管 理 标 准 概 述 授 权 管 理 通 用 标 准 加 固 管 理 通 用 标 准 加 密 管 理 通 用 标 准 日 志 管 理 通 用 标 准 系 统 登 陆 管 理 通 用 标 准 操操 作作 系系 统统 安安 全全 管管 理理 规规 范范 1 整体信息技术安全架构从逻辑上共分为 7 个部分 分别为 物理环境 硬件设备 网络 操 作系统 数据和文档 应用系统和通用安全管理标准 图中带阴影的方框中带书名号的为单 独成册的部分 共有 13 本 规范 和 1 本 通用标准 2 对于 13 个 规范 中具有一定共性的内容我们整理出了 6 个 标准 横向贯穿整个架构 这 6 个 标准 的组合也依据了信息安全生命周期的理论模型 每个 标准 都会对所有的 规范 中相关涉及到的内容产生指导作用 但每个 标准 应用在不同的 规范 中又会 有相应不同的具体的内容 我们在行文上将这六个标准组合成一本 通用安全管理标准 单 独成册 3 全文以信息安全生命周期的方法论作为基本指导 规范 和 标准 的内容基本都根据认证 授权 内容安全 日志管理的理论基础行文 应用系统是整个信息系统的核心 不论系统的规模的大小 系统的技术复杂的程度 一个业务部 门或业务单元的业务往往要依赖相关业务的应用系统来维持正常运作 因此应用系统的使用直接的关 系到了企业业务运作的成效 如果应用系统在使用中由于用户的不当操作或来自外部的恶意攻击造成 瘫痪 则会严重的影响企业业务的运作 造成巨大的经济和信誉上的损失 应用系统使用安全管理通则 就是希望通过对于应用系统使用进行相应的规范来确保应用系统 的正常运作 从而确保企业的业务运作的正常和有效 并且通过对于应用系统的不断的改进和更新使 之更加的符合业务上的各种需求 提高企业业务运作的效率 本规范由中国石油天然气股份有限公司提出 本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释 起草单位 中国石油制定信息安全政策与标准项目组 说 明 在中国石油信息安全标准中涉及以下概念 组织机构 中国石油 PetroChina 指中国石油天然气股份有限公司有时也称 股份公司 集团公司 CNPC 指中国石油天然气集团公司有时也称 存续公司 为区分中国石油的地区 公司和集团公司下属单位 担提及 存续部分 时指集团公司下属的单位 如 辽河油田分公司存续 部分指集团公司下属的辽河石油管理局 计算机网络 中国石油信息网 PetroChinaNet 指中国石油范围内的计算机网络系统 中国石油信息网是 在中国石油天然气集团公司网络的基础上 进行扩充与提高所形成的连接中国石油所属各个单位计算 机局域网和园区网 集团公司网络 CNPCNet 指集团公司所属范围内的网络 中国石油的一些地区公司是和集团 公司下属的单位共用一个计算机网络 当提及 存续公司网络 时 指存续公司使用的网络部分 主干网 是从中国石油总部连接到各个下属各地区公司的网络部分 包括中国石油总部局域网 各个二级局域网 或园区网 和连接这些网络的专线远程信道 有些单位通过拨号线路连接到中国石 油总部 不是利用专线 这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分 地区网 地区公司网络和所属单位网络的总和 这些局域网或园区网互相连接所使用的远程信道 可以是专线 也可以是拨号线路 局域网与园区网 局域网通常指 在一座建筑中利用局域网技术和设备建设的高速网络 园区网 是在一个园区 例如大学校园 管理局基地等 内多座建筑内的多个局域网 利用高速信道互相连接 起来所构成的网络 园区网所利用的设备 运行的网络协议 网络传输速度基本相同于局域网 局域 网和园区网通常都是用户自己建设的 局域网和园区网与广域网不同 广域网不仅覆盖范围广 所利 用的设备 运行的协议 传送速率都与局域网和园区网不同 传输信息的信道通常都是电信部门建设 的 二级单位网络 指地区公司下属单位的网络的总和 可能是局域网 也可能是园区网 专线与拨号线路 从连通性划分的两大类网络远程信道 专线 指数字电路 帧中继 DDN 和 ATM 等经常保持连通状态的信道 拨号线路 指只在传送信息时才建立连接的信道 如电话拨号线路 或 ISDN 拨号线路 这些远程信道可能用来连接不同地区的局域网或园区网 也可能用于连接单台计 算机 石油专网与公网 石油专业电信网和公共电信网的简称 最后一公里问题 建设广域网时 用户局域网或园区网连接附近电信部门信道的最后一段距离的 连接问题 这段距离通常小于一公里 但也有大于一公里的情况 为简便 同称为最后一公里问题 涉及计算机网络的术语和定义请参见 中国石油局域网标准 目目 录录 1概述 6 2目标 6 3适用范围 6 4引用的文件或标准 7 5术语和定义 8 6应用系统安装管理 9 6 1测试安全 9 6 2版本管理安全 10 7应用系统使用管理 13 7 1使用者身份识别管理 13 7 2基于人员职责的应用系统分级授权管理 15 7 3安全运营管理 17 7 4安全控制管理 21 7 5应用系统安全日志管理和监控管理 23 8应用系统维护管理规范 26 8 1备份管理规范 26 8 2维护安全管理规范 26 8 3卸载处理管理规范 28 附录 1参考文献 29 附录 2本规范用词说明 30 1概述 应用系统的概念是将技术与用户业务上的实际需求结合在一起 直接面对使用者 用于 支持用户更快更好更有效的完成实际工作的集成的人机交互系统 应用系统是建立在物 理硬件系统 软件操作系统之上的信息系统 根据应用系统完成目标和服务对象的不同目前主要分为以下几种类型 业务处理系统 职能信息系统 组织信息系统和决策支持系统 本 通则 通过对各种类型的应用系统在使用过程中面临的各种与安全相关的并且具有 一定通用性的问题进行阐述 从应用系统安装实施到使用到最后的维护报废的各个阶段 入手 对应用系统使用中的安全问题加以相应的规范 确保应用系统在使用中的安全管 理 2目标 本规范的目标为 保护应用系统在使用的各个阶段的安全 具体来说就是保护应用系统安装实施中的安全 保证应用系统在使用中的安全和在维护和报废过程中的安全 并使得应用系统不断的符 合中国石油的实际业务需求和安全管理上的需求 使应用系统更好的为中国石油的业务 发展服务 3适用范围 本套规范适用的范围包括了所有在应用系统使用过程中相关的安全问题和安全事件所有在应用系统使用过程中相关的安全问题和安全事件 具 体来说包括了应用系统安装过程中的安全问题 使用中的安全问题和维护报废过程中的 安全问题 同时也包含了应用系统使用中版权的管理问题 本通则面向所有的应用系统的使用者 应用系统的维护和开发人员以及企业内部信息安 全的管理人员和技术人员 4引用的文件或标准 下列文件中的条款通过本标准的引用而成为本标准的条款 凡是不注日期的引用文件 其 最新版本适用于本标准 1 GB17859 1999 计算机信息系统安全保护等级划分准则 2 GB T 9387 1995 信息处理系统 开放系统互连基本参考模型 ISO7498 1989 3 GA T 391 2002 计算机信息系统安全等级保护管理要求 4 ISO IEC TR 13355 信息技术安全管理指南 5 NIST 信息安全系列 北美信息标准组织安全规范 6 NIST 信息安全系列 美国国家标准技术院 7 英国国家信息安全标准 BS7799 8 信息安全基础保护 IT Baseline Protection Manual Germany 9 BearingPoint Consulting 内部信息安全标准 10 RU Secure 安全技术标准 11 信息系统安全专家丛书 Certificate Information Systems Security Professional 5术语和定义 认证认证 a 验证用户 设备和其他实体的身份 b 验证数据的完整性 可用性可用性 availability 数据或资源的特性 被授权实体按要求能及时访问和使用数据或资源 保密性保密性 confidentiality 数据所具有的特性 即表示数据所达到的未提供或未泄露给未授权 的个人 过程或其他实体的程度 完整性完整性 integrity 在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源 的情况下 信息系统中的数据与在原文档中的相同 并未遭受偶然或恶意的修改或破坏时所具 的性质 数字签名数字签名 digital signature 添加到消息中的数据 它允许消息的接收方验证该消息的来源 加密加密 encryption 通过密码系统把明文变换为不可懂的形式 身份认证身份认证 identity authentication 使信息处理系统能识别出用户 设备和其他实体的测试 实施过程 密钥密钥 key 控制加密或解密操作的位串 漏洞漏洞 loophole 由软硬件的设计疏忽或漏洞导致的能避过系统的安全措施的一种错误 恶意代码恶意代码 malicious code 在硬件 固件或软件中所实施的程序 其目的是执行未经授权的 或有害的行动 不可抵赖性不可抵赖性 non repudiation 信息系统中涉及的若干个实体中的一个对曾参与全部或部分通 信过程不能否认的特性 口令口令 password 用来鉴别实体身份的受保护或秘密的字符串 安全策略安全策略 security policy 规定机构如何管理 保护与分发敏感信息的法规与条例的集合 验证验证 verification 将某一活动 处理过程或产品与相应的要求或规范相比较 例 将某一规范与安全策略模型相比较 或者将目标代码与源代码相比较 6应用系统安装管理规范 6 1测试安全 随着业务的发展 不断有新的应用系统投入使用 在应用系统正式投入使用之前必 须进行测试以保证系统的安全和可靠 并符合企业的相关安全管理规范 对于应用 系统的测试应遵从以下几个方面进行相关的规定 a 在测试之前必须预先提出申请 通常由应用系统的使用部门中负责系统管理的 相关人员向部门领导提出测试的申请 并注明测试的原因 目的 时间 项目 等 如果需要用真实的业务数据进行测试还需要进一步向公司信息安全部门确 认并事先做好数据的保密工作 b 明确参与测试的人员和人员的职责 参与测试的人员必须经过一定的筛选 通 常由系统的开发人员或系统供应商的技术支持人员以及公司相关业务部门的系 统维护人员和系统使用者共同参与 c 应编写详细的测试计划 在测试的申请得到批准的前提下 编写详细的测试计 划书 包括测试的物理环境要求 硬件和软件环境的要求 测试数据的准备 特别是如果采用真实的业务数据必须考虑数据的保密措施或对数据进行一定的 数学处理 d 应预先准备相关的测试环境 根据测试计划 准备相应的环境 设备和数据 并对环境和设备进行一定的检测 以确保在测试的过程中不会因应用环境或硬 件的问题影响测试的结果 e 进行测试 测试不得影响正常的业务运作 如果客观上无法避免影响 也必须 将测试的时间安排在工作时间以外 或尽量缩短测试的时间以减少对业务造成 的影响 通常将测试分为阶段性测试和完整性测试 测试的内容通常包括了以 下几部分 应用系统安装测试 确认系统能在各种环境下正常的安装 应用系统应用模块测试 确认应用系统各个功能模块的运行正常 应用系统整体测试 确认应用系统各个功能模块之间的接口和交互正常 应用系统数据吞吐量测试 确认应用系统所能负载的数据量的极限 应用系统兼容性测试 确认系统和其他系统之间没有兼容性问题 应用系统用户需求测试 确认系统功能能够达到用户的需求 f 检验阶段性或完整性测试报告 根据测试报告的内容对系统进行进一步的调整 和更改 使得系统最大限度的满足业务的需求 6 2版本管理安全 6 2 1版本使用 应用系统的版本使用相关的安全措施应遵从 a 必须规定应用系统的使用范围和使用者权限 确保应用系统仅在授权使用的 范围内进行 任何形式的越权使用都将由于违反了该项规定而需要受到一定 的惩罚 具体而言宜采用以下实施的步骤 定期检查所有的用户系统上已经安装的应用系统 确认如用户系统上安装了不应安装的应用系统或超出许可拥有版权数量 以外的应用系统应立即予以清除并销毁 确认如用户系统上安装了的非法版权的或盗版的应用系统应立即予以清 除并销毁 b 应用系统的使用者应接受适当的使用培训和安全规范教育 确保系统的使用 者能够正确的使用系统 尽量减少由于对系统不了解而造成的抵触情绪和由 于误操作造成的损失 c 应建立与应用系统版本使用情况相关的文档管理制度和软件分发制度 确认 目前所有的应用系统有效版本数 d 必须防止应用系统软件被盗用 流失和越权使用 e 必须严格地集中控制应用系统的购买申请 杜绝重复购买的现象 f 应使用版本统一的应用系统软件 g 应采取有效的措施 防止对应用软件的非法访问及修改 h 技术人员不得擅自对软件本身进行修改和参数调整 6 2 2版权控制 应用系统使用过程中应注意对于版权的管理和控制 通常对于版权的问题主要从 两个方面入手进行管理 6 2 2 1防范系统的非法拷贝 防范系统的非法拷贝可以从技术的角度和人员管理的角度两方面进行控制 a 从技术的角度是指应用系统的开发人员可通过采用某种加密的办法和措 施 使得非法的用户无法顺利的安装应用系统 以防止应用系统的非法 扩散 从而保护开发者的利益 b 从人员管理的角度是指应用系统的使用者应知道应用系统的开发过程是 耗资巨大且非常困难的 应尊重应用系统开发人员的劳动成果 从使用 者意识的角度进行规范 并明文规定如非法拷贝系统将受到一定的惩罚 6 2 2 2防范使用非法版权 如盗版 的软件 对于盗版软件使用的防范通常通过 教育 加 检查 的方式进行规范 a 应加强对系统使用人员的教育 提升人员的版权保护意识 让相关人员 意识到使用盗版软件是一种侵权行为 也是一种偷窃行为 b 公司的强制性规定 应明文规定禁止使用任何形式的非法版权的应用系 统或软件 一旦发现将严肃处理 c 应通过不定期的突击检查的方式 随时随机地检查某些用户使用的计算 机系统中安装的各类应用系统软件 一旦发现使用非法版权的系统将予 以严肃处理 7应用系统使用管理规范 7 1使用者身份识别管理 7 1 1用户账号管理 a 应确保每一位应用系统的使用者只拥有一个属于自己的独立的账号 该账号 直接关系到该用户在整个应用系统中的相关的权限 不得在应用系统中设立 虚假的账号或无人使用的账号 b 账号的申请和建立必须严格按照 一个人一个账号 的原则 c 应用系统应提供相关的机制为每个账号和其他的个人相关信息有所联系 如 人员的真实姓名 联系方式 所在部门等 d 在一般情况下禁止建立用户组账号 即同一个账号可以由许多不同的用户登 陆使用 除非情况十分特殊 则必须由相关的应用系统管理部门连同安全 管理部门共同认可 e 系统正式投入运行后应立即将系统中的 Guest 以及类似的系统自带或内 置缺省的账户删除 f 应用系统在允许用户在使用系统中的某种重要功能之前 应要求用户提供其 账号以确认身份 g 应用系统应能够维护一份含有所有当前使用的用户及其相关状态信息的列表 h 应用系统应提供相关机制来临时关闭或打开用户的账号 i 应用系统应提供相关的机制来限制同一个账号同时登陆的个数 j 应用系统应严格地控制各级管理员 Administrator 账号或根 Root 账号 所有 的系统管理员应先通过他们自己的账号登陆系统 然后再切换到管理员 Administrator 账号或根 Root 账号 k 应用系统应将在 60 天内没有使用过的用户账号暂时禁用 如果该账号在 90 天内没有使用过或相关的部门正式通知该账号已经作废 则需将该账号从系 统中删除 在正式删除之前应向该用户发送一份通知 用户可在业务需要且 经部门的领导同意的情况下申请建立新的账号 或将已经被禁用的账号恢复 7 1 2用户口令管理 a 应用系统应提供一种机制确保每一个使用系统的人员都必须先经过系统登陆 如输入用户名和口令的过程 禁止出现可以不经过系统登陆直接进入应用系 统的情况 b 应用系统应至少支持 用户名 口令 的系统认证方式 也可采用如 动态 密码卡 个人识别码 的认证方式 c 应用系统对于口令的控制应符合 口令管理标准 中规定的相关规范 d 应用系统应允许用户自行在系统中更改自己的口令 但这种更改必须建立在 用户已经通过了系统对于其本人身份的认证的基础之上 且系统应强制规定 用户不可以为其本人以外的其他用户更改口令 e 应用系统的口令应以密文的形式存放在系统中 且口令在传输的过程中必须 进行一定的加密措施以确保口令的保密性和完整性 f 当用户连接上应用系统但在一定的时间内 建议 10 分钟 没有使用 则系 统应自动将该用户与系统的会话切断 当用户希望继续对应用系统进行操作 时必须重新输入密码 g 用户成功的登陆系统后 应用系统宜将登陆的时间 日期和用户的位置以及 用户上次成功登陆系统之后登陆失败的次数显示在登陆的界面上 h 系统应提供一种机制保证当用户连续 5 次登陆失败后系统会自动将用户的账 号锁定 且通知系统管理员 i 应用系统应强制用户在第一次登陆系统后必须更改当前的系统初始口令 同 样当出现用户忘记或遗失口令的情况系统管理员会帮助用户重新设置临时口 令 用户在第一次使用临时口令时系统应强制用户必须更改临时口令后才能 登陆系统 j 应用系统中所有的自带的或缺省的口令必须在系统正式使用之前全部从系统 中删除 k 应用系统应强制用户每隔一定的时间 如 60 天 修改用户的登陆口令 l 应用系统应保留用户之前 5 次使用的口令以确保用户的口令不会与前次重复 m 应用系统的账号和口令管理必须严格的控制访问的权限 通常只能是系统的 管理员才有权限进行访问和管理 n 应用系统的口令输入界面必须提供口令自动密文转换的功能 o 口令文件应和系统的程序分开单独加密存放 7 2基于人员职责的应用系统分级授权管理 a 应用系统应只允许经过认证的用户 程序模块或其他的应用系统访问 任何未 经授权的访问都应被阻挡在外 b 内部员工应用系统授权管理规范可以参照以下流程 根据人事系统中员工的情况授予其相应的应用系统使用的权限和承担的 责任 以书面的方式将员工的权限和相应的责任提交给员工本人 根据员工权限和责任的大小确认是否需要签署相关的保密协议 在日常工作中记录员工的相关应用系统访问日志信息 员工一旦离职或调动岗位应立即收回或调整其应用系统相关的访问的权 限 c 应用系统应提供通过将用户分组的方式定义用户的权限策略 比如对于同一类 型的用户 这些用户可能具有某些共同的属性如属于同一业务单元 或在地理 位置上相同或者在同一个项目中 使得这些用户在系统中具有相同的权限 因 此可以通过对于同一组的用户给予同样的权限制定和使用同样的安全策略 大 大降低安全策略实施的复杂度 d 应用系统应支持对于敏感的系统或交易处理提供双重身份认证机制 e 应建立应用系统的安全管理机构 负责应用系统安全相关的日常事务工作 主 要负责与应用系统安全相关的规划 建设 资源利用和事故处理等方面的决策 和实施 f 应用系统的安全管理机构的相关人员至少要求两个人或以上 禁止将系统的安 全管理职责赋予一个人 必须建立相互监督的安全管理机制 g 所有的用户的相关权限必须定期 每六个月 进行审计评估 安全管理人员的 权限必须定期 每三个月 进行审计评估 7 3安全运营管理 应用系统在运营使用中的安全也相当重要 由于各个应用系统的功能 使用情况 都各不相同 不可能根据各个不同的应用系统本身的特点进行安全上的阐述 因 此应用系统的安全运营管理主要从系统通用的安全性 保密性 完整性和不可抵 赖性三个方面进行阐述 7 3 1系统保密性管理 所谓应用系统的保密性是指防止应用系统的相关信息泄漏给未经授权的用户 实 体或进程 须遵守以下规范 a 对于所有的非公共的数据传输或存储数据在企业安全管理范围以外的情况都 应对相关的数据进行加密的保护 b 对于非常敏感的数据无论在何种情况下都必须进行加密 c 应用系统应使用公司标准的加密方法和加密机制 d 保护关键密钥 确保只有经过授权的人才能得到 e 设计和实施加密系统时应确保没有人能够完全了解或控制加密主密钥的相关 信息 f 应保护与密钥相关的各种资料 包括软件版本和硬拷贝 g 禁止将密钥转换成明文 7 3 2系统可用性管理 可用性是指保证应用系统可以持续地被授权的应用实体访问并按照相关业务的需 求进行使用 须遵守以下规范 a 所有的加密机制应提供重创建机制 恢复机制 禁止应用系统在任何情况下 拒绝对用户进行服务 b 应能够提供备份机制确保当应用系统出现问题时及时地恢复 c 根据业务的需求建立数据备份的日程表 如果业务上没有明确的需求则每天 进行一次增量的备份 一周进行一次全量的备份 d 对应用系统数据集中存放的情况宜采取远程备份和灾难恢复的策略 e 对于备份在备份介质如磁带上的数据应定期 隔 6 个月 进行一次检测确保 数据还可以被恢复 7 3 3系统完整性管理 完整性是指应用系统信息在未经授权的情况下不得被改动的特性 须遵守以下规 范 a 应用系统尽管不可避免的会存在一定的安全风险 但应尽可能的将应用系统 自身的安全风险降到最低 b 应对应用系统的详细设计进行分析来判断是否真正达到了企业所要求的安全 规范 c 应用系统的开发应尽量使用安全的开发环境 d 应用系统的测试环境和开发环境必须分离 e 开发人员应明确自己的开发的任务和相应的安全责任 f 所有开发的代码都必须可以通过设计文档进行回朔 确认每行代码最终的业 务需求 g 应用系统应提供相关的验证机制或流程确保应用系统自身没有被非法的修改 h 应用系统中所有的安全特性都必须经过功能性测试 安全测试应被列为系统 整体测试的一个重要的部分 所有安全相关的测试问题都必须被完善的解决 i 应用系统应提供严格的访问控制机制以确保系统不会被未经授权的人访问 修改或删除信息 j 在数据传输的过程中 应用系统中信息敏感的关键数据应进行加密的保护以 确保完整性 k 应用系统应自动生成日志信息以供日后审计使用 l 应用系统应保留所有的访问的日志记录 包括用户的访问 系统的访问 记 录相关的访问日期 访问时间和访问者相关信息 7 3 4系统不可抵赖性管理规范 不可抵赖性也被称之为不可否认性 主要是指信息在交换的过程中 确认参与者 的身份的真实性和可靠性以及参与者操作的不可否认性 须遵守以下规范 a 不可抵赖性服务应被用在当业务需要证明其交易信息或承诺具有相当的权威 性和法律的效应 如数字签名技术等 b 应用系统应能够安全地记录下准确的时间信息 证明信息和确认信息 c 不可抵赖性服务应被用作应用层协议 7 3 5系统基于的系统环境和硬件安全管理 7 3 5 1硬件安全 a 确保应用系统基于的硬件设备 网络通讯传输和相应的物理环境的安全 以防止应用系统遭到未经授权的非法访问 b 确保用户在家里或其他非企业相关的环境里办公所使用的计算机设备 网络传输的安全 特别是当用户在对某些敏感系统进行作业时 7 3 5 2恶意代码防护 确保企业内部所有的应用系统都在公司统一的恶意代码保护系统的保护之下 对于恶意代码保护系统的相关规范的细节请参见 防御恶意代码和计算机犯 罪管理规范 7 4安全控制管理 为了防止应用系统中用户数据的丢失 修改或错误的使用 应用系统应建立适当的 控制 确保对于应用系统数据的输入 内部处理和输出进行一定的确认 7 4 1对输入数据的确认 应用系统容易受到故意或意外的无效数据的攻击 这会导致系统故障 数据滥用 或通过系统本身安全漏洞进行欺诈犯罪等事件的发生 因此企业必须采用数据确 认控制将数据的输入范围控制在一个合理的范围内 即限制在系统有效处理能力 之内 数据输入方法的举例 a 应通过双重输入或其他输入判断以下错误 超过范围的数值 数据区中的无效字符 丢失或不完整的数据 超出数值的上下极限值 未经许可的或不一致的数据 b 应定期评审关键的数据文件的内容 确保其有效性和完整性 c 应检查硬拷贝的输入文件 确保输入的数据没有经过任何未经授权的更改 d 应建立错误数据的响应程序 e 应建立程序对于可怀疑的数据进行进一步检查 f 应规定数据输入过程中所涉及的所有的人员的职责 7 4 2对于数据内部处理的控制 已经正确地输入的数据也可能因为处理的错误或人为的改动而被破坏 因此为了 保证数据在处理的过程中的安全性 应对数据处理进行控制 包括 a 批处理控制 确保事务更新后保持数据文件的平衡一致 b 确认系统产生的数据的正确性 c 确认数据传输过程中的完整性 d 检查确保应用系统运行的时间正常 e 检查确保应用系统运行的顺序正常 7 4 3对于输出的数据进行确认 尽管系统的输入是正确的 但输出仍然可能是错误的或是经过非法修改的 为确 保输出信息的正确性 应对输出的数据进行确认 主要包括 a 可信性检查 确认输出的数据是否合理 b 数据一致性检查 c 响应输出确认测试的程序 d 数据输出过程中相关人员的责任 7 4 4使用信息检验技术确保信息内容的完整性 信息验证是指用户对于信息在传输过程中为避免遭到未经授权的访问及破坏而进 行测试的一种技术 主要是针对主动攻击中的信息篡改和伪造 使得接收方得到 的信息不正确 这种检测可以通过软件和硬件结合的方式实现 宜使用加密的办法达到对于信息进行验证的目的 但是如果对于不需要进行加密 的信息加密会增加系统的负担和开销 对于此类情况 目前可采用的信息检验技 术主要有 报文摘要 MD Message Digest 和安全散列算法 Secure Hash Algorithm 7 5应用系统安全日志管理和监控管理 7 5 1日志管理 a 应用系统应支持对用户的系统访问和操作行为进行日志记录和监控跟踪的功 能 b 应开发并实施系统日志管理功能 在系统出现问题的情况下通过确认原因来 及时地恢复系统 c 应用系统必须确保其日志文件在存储 传输的过程中受到专门的安全保护 d 应用系统的日志文件不应保留太短或太长的时间 通常短至半年 长至 2 3 年 e 应用系统的日志文件应根据系统的具体情况定期进行审核 f 应用系统所记录的安全相关的日志文件应包含足够的信息确保一旦出现问题 可以快速地定位产生问题的原因 并确认当事人员管理上或法律上的责任 g 应用系统应根据业务需求和安全上的需求 定义日志文件所记录的信息的格 式框架和特殊的事件信息 h 日志记录中应包含足够的关于各类事件本身的信息 i 对日志文件的审计应可以保护系统不会遭到未经授权访问 j 应用系统安全管理人员应可在不影响应用系统本身的正常运作的前提下更改 日志的记录范围和记录详细程度 k 应用系统安全管理人员应有能力决定打开或关闭对某些事件的日志跟踪管理 l 应用系统安全管理人员禁止关闭对其自身的日志跟踪管理 m 任何对可监控的事件的日志跟踪管理的改动都必须被记录在案 n 应用系统应提供相应的机制或流程确保可将系统自动生成的日志文件在不影 响应用系统正常运作的前提下 自动地备份到其他的备份存储设备上 7 5 2监控管理 a 应用系统应提供一种实时监控的机制来监控可能会导致安全事故的各种安全 相关事件的产生和发展情况 并将相关的信息及时准确地传递到安全管理人 员处 b 实时的监控所有的和交易或信息敏感系统设置的改动相关的事件 应进行 24 小时 X 7 天全天候的保护机制 c 应用系统应提供相关的日志信息的收集整理并进行一定的分析的工具 能够 自动生成意外事件报告 汇总报告或某些细节问题的详细报告 d 应用系统安全管理人员应能够有选择性的对用户的行为进行实时地监控 其 中包括了对普通的用户或特权的用户行为的监控 8应用系统维护管理规范 8 1备份管理 a 应指派专门的人员负责应用系统的备份工作 b 应为不同的应用系统制定不同的备份策略 如果没有特殊的要求则按照每天进 行一次增量备份 每周进行一次全量备份的原则 c 对于备份的介质的维护管理也应规定专门的人员负责 确保不会因为介质的老 化或损坏造成数据的丢失 d 对于应用系统备份相关的资料 包括了所有的软件资料和硬拷贝 的领用或借阅 必须经过相应的审批程序 并建立相应的登记管理制度 统一管理 8 2维护安全管理 应用系统在正式投入使用后 后续的维护的工作也是相当的重要的 只有通过正确 的维护方法和维护手段 才能保证应用系统不断地完善和持久地满足用户的业务上 和安全上的需求 应用系统的使用过程中经常会出现问题 因此应设置专门的人员对应用系统使用过 程中出现的问题进行收集 整理 归类并提交给应用系统的开发部门或应用系统的 开发商以及相关的安全管理部门进行解决 并且需要跟踪问题的处理情况 直到问 题得到圆满的解决 具体的维护的步骤可以分为 a 维护要求或问题提出 应用系统使用者应根据业务上或安全上的实际需求提 出系统上的改进或维护要求 b 维护要求或问题分析 相关的开发部门或开发商应协同安全管理部门对相关 的要求进行分析 确认要求的客观性和可行性 企业不宜自行修改外购的应 用软件系统 c 提出解决的方案 根据要求和相应的分析结果 提出具体的解决方案反馈回 用户 d 应审批维护的方案 用户同意后交上级主管部门审批 e 确定维护的计划 审批通过后应设计具体的维护计划 f 应对程序进行修改 测试 然后实施修改后的系统 8 3卸载处理管理 当应用系统经过长期的使用 系统的功能已经无法满足日益增长的业务上的需求 则需要考虑将应用系统进行升级或更换 这时应妥善的处理原有应用系统的处置问 题 应符合以下规范 a 在卸载之前必须事先做好所有系统中重要信息的备份工作 系统的数据应由 系统管理员负责 个人的数据备份工作应由个人用户在系统管理员的正确指 导下进行 b 某些需要进行销毁的信息必须事先取得相关数据拥有者的同意 并且必须先 将存储介质上的数据销毁 然后再将存储介质进行物理销毁 c 正确的卸载应用系统 用户必须在系统管理人员的指导下正确地卸载相关的 应用系统 不正确的卸载过程可能会导致系统不稳定 因此必须根据指定的 步骤进行卸载的工作 凡是在卸载过程中遇到不确定的因素应立即向管理员 询问 不得自作主张 d 应用系统成功卸载后应在系统相应的登记簿中进行登记 记录卸载