其他应用系统的安全开发和改造规范讲义

1、胜利石油管理局企业标准Q/SL TEC-g 2002其他应用系统的安全开发和改造规范适用范围胜利油田各单位操作重要数据的机关，科室，如党政办公，财务处，供 应处，计划科等规范解释权胜利油田管理局信息安全管理中心对本规定拥有解释权。应用系统安全概述应用系统完成网络系统的最终目的一为用户服务。应用系统的安全与系统 设计和实现关系密切。应用系统使用应用平台提供的安全服务来保证基本安全。 应用系统的安全大体包括：系统的物理安全，系统运行安全，系统信息安全。油 田系统中，有许多关于生产，计划，财务等重要数据，基于它们的应用系统安全 要求较高。下面将结合具体情况阐述。术语定义4. 1计算机信息系统安全防范

2、设施计算机主机房的构筑防护设施和计算机信息系统及其相关的配套设备的 技术防护设施。4.2完全隔离局域网段的物理隔离仏3相对隔离采用VLAN技术划分的不同网段顺4序完整性保护业务数据免于重复，增加，删除，丢失或重放内容完整性4. 5保护业务数据免于篡改真实性4.6保护接收方免于业务数据的发送方声称它是另一个（被授权的）参与 下的可用性不仅包括用户可访问硬件和软件资源（如用户代理和服务器）还包者。4.7源抗抵赖性保护接收方免于发送方否认一发送的业务数据。4.8接收抗抵赖性保护发送方免于接收方否认业接收到的业务数据。4. 9可用性可用性即按照授权实体的要求可被访问和可被使用的性质。网络环境括用户有能

3、力获得所期望的服务质量（如使用具有合理吞吐量的网络带宽）。网 络流量必须能穿过局域和广域网按照要求到达预期的目的地。4. 10 CACertificate证书认证中心Authority4. 11 RASRemote access server远程访问服务器5应用系统安全开发的技术措施:5. 1系统的物理安全防范设施根据各系统对设备的物理安全要求、系统的场地及环境的要求的判断，可以 按照特定的等级区建设或者改造。请参照相应的规范（网络信息安全系统配套设 施的建设、管理标准（包括场地和设施安全管理要求）O52系统运行安全防范521计算机设备1）服务器应具有可靠性，稳定性和充足的容量。服务器在高网络

4、负载情况下的 -保持系统性能的稳定。服务器在突发系统故障情况下保证系统不停机。在需要 :扩展系统能力时，能够既动作简单又保护原有的投资。应配备安全可靠的数据备 7份设备。7至少应有两种不同存储介质的数据存储设备。业务数据的存储应采用只读式数据 记录设备。8）工作站应具有良好的性能及可靠性。9）除计算机机房及确实有需要的业务部门外，一律使用无软驱或光驱等可卸存储装 置的网络工作站10）重要工作站应有冗余备份。3.2.2 通信设施1）油田各数据应用单位与其经营机构之间必须建立安全、可靠的通信线路。通信2）设备应建立设备备份。3）通信设备应具有防干扰、防截取能力，具有加密传输功能。通信线路接口部分应

5、4）采取防止非法进入的安全措施。对与计算机有关的卫星天线、电源接口、通信接5）口等设备进行定期检查维护。5. 2.3局域网设置1）油田重要数据应用单位布线系统设计可参照CECS89-97建筑与建筑群综合布线 系统工程设计规范。在现行技术条件下，不宜继续使用同轴线 缆。2）3）4）5）6）对于完全隔离的内部网，可以在各内部网络之间安装网屏防火墙，禁止网络设备应兼具技术先进性和产品成熟性，具有防攻击等功能。网络设备应有一 定的冗余备份通信速率应保证满足正常业务开展的需要。根据单位的具体情况 对网段采用完全隔离或者相对隔离。各个内部网之间的网络通信。7）对于相对隔离的内部网，我们建议把每一个内部网建

6、成一个VLAN,防止一个内 部网的数据泄漏到另一个内部网。8）数据对外接口采用专有路由。9）与外部网及内部其它业务网络进行必要的隔离，避免网络结构信息外泄；同时 还要对外网的服务请求加以过滤，只允许正常通信的数据包到达相 应主机，其它 的请求服务在到达主机之前就应该遭到拒绝。5. 2. 4系统软件1）操作系统软件和数据库管理软件的选用应充分考虑软件的安全性、可靠 性、稳定性和健壮性。2）应使用正版软件。3）软件功能应包括：身份验证功能，防止非法用户随意进入系统。访问控制功 能，防止系统中出现越权访问。故障恢复功能，能够自动或在人工干预下从故障状态 恢复到正常状态而不致造成系统混乱和数据丢失。安

7、全保护功能，对数据库技术的 交换、传输、存储提供安全保护。3安全审计功能，便于应用系统建立访问用户资源的审计记录。油田重要数据应 用单位必须启用系统软件提供的安全审计留痕功能。数据库管理软件除上述功能要 求外，还应具有数据库的安全性、完整性、一致性及可恢复性等保障机制。4)5)5.2.5应用软件1）应用软件包括油田数据的釆集，揭示，分析，运算系统及其它业务处理系统等。 应用软件的功能应包括：自动记录全部操作过程；关键数据不得以明码存放；无2）法绕过应用界面直接查看或操作数据库；系统管理与业务操作权限严格分开; 支持对操作员和管理员的权限分离与相互制约。防止异常中断后非法进入系 统；提供超时键盘

8、锁定功能；业务数据在通信网络上以加密方式传输；应 存储一年以上完整的系统运行记录与交易清算记录；提供系统运行状态监控 模块；提供数据接口，满足稽核、审计及技术监控的要求；对来自外部的恶 意代码和违规操作进行识别、跟踪、记录、和报警。其它有助于控制业务操 作风险的功能特性。在重要部门安装的数据库系统，应该具有双机热备份功 能。5.3系统应用安全防范5. 3. 1统一的网络安全措施1）外界通过防火墙于核心数据区交换信息，防火墙上实施访问控制/攻击检测 及防护。- 核心数据区安装入侵检测系统。核心数据区安装漏洞扫描系统。当网络出现 二 攻击行为或网络受到其它一些安全威胁时（如内部人员的违 规操作等）

9、，有二 实时的检测、监控、报告与预警对站点的访问活动进行多层次的记录，及时发- 现非法入侵行为。对于核心数据区数据的访问需要经过认证，重要信息经过加 密后传输。某些特殊行为需要经过审计系统的审计。文件服务器不与In ternet直接连接；不允许客八机通过Modem连到Internet ,形成绕过防火墙的连接。设专用代理服务器。数据库服务器上安装防病毒软件。9）10）5. 3.2统一的数据安全措施1）对安全级别差距悬殊的数据最好分存于不同的系统。数据可适当的以密文形式存放2）多个数据库的数据采用网络存储备份方案定期对数据库中的数据进行备份。 初数据库被破坏时，启动恢复系统，将备份的数据恢复到数据

10、库中。5. 3. 3数据加密1）在业务数据的传输中要保证顺序完整性，内容完整性，真实性，源抗抵赖 性，接受抗抵赖性，内容保密性，可用性。2）建立完整的CA体系。（建议使用公开密钥加密体系，秘密密钥加密体系，数 字签名等技术，可参见其它标准）内部人员对系统的访问必须通过严格的身份3）认证。5. 3.4远程访问的控制1）不允许RAS以外的机器应答远程访问请求。最好设专门的远程访问服务 器，并 将该服务器置于中心机房。2）对于偶尔使用远程访问可以采用人工控制RASK务的启动和停止。对固定的用3）户最好采取回叫的方式实现远程连接。4）通过RAS服务器的IP地址分配，限制远程用户的IP地址，进而利用防

11、火墙控 制和隔离远程访问客户。5）对于远程访问的口令采取某种加密鉴别，以保证用户口令在远程线路上 安全 传送。5. 3.5角色划分1）设立专职或者兼职计算机信息系统安全管理人员2）明确系统管理员、系统操作员、终端操作员、程序员的权限和操作范围。建 立系统运行日志，每天打印重要的操作清单。日志信息长期保存，以备稽 查。3）开发系统应当和业务系统分离，程序员只能在开发系统上工作。业务用机不 得用于项目开发，不得含有源程序、编译工具、连接工具等工具软件，不 使用与业务无关的任何存贮介质。4）系统管理员不能兼任监督及事后稽核等工作，不得参与相关软件开发。 参加过应用系统开发的人员，不得担任相应系统的管

12、理员。5. 3.6机房及设备管理1）对易受病毒攻击的计算机信息系统，定期进行病毒检查。用介质交换信息要 按规定手续管理，并进行病毒预检，防止病毒对系统和数据的破坏。重要数据2）的故障设备，交外单位人员修理时，本单位必须派专人在场监 督。应当建立废弃数据、介质的处理制度。对重要的业务系统及设备，必须制定应3）急情况处理方案。4）5. 3.7用户管理以及培训1）信息系统安全保护专职部门或者安全管理人员应当对本单位的主要计算机信息 系统资源配置、技术人员构成进行登记，加强主要岗位工作人员的录用、考2）核制度，不适宜的人员必须及时调离。对重要岗位计算机信息系统的安全情况 经常进行检查，及时整改不安全隐

13、患工作人员要有明确的责任分工，奖惩严明。3）计算机工作人员调离时，必须移交全部技术手册及有关资料，并更换计算机4）的有关口令和密钥。涉及银行业务核心部分开发的技术人员调离本系统时， 应当确认对本系统安全不会造成危害后方可调离。软、硬件技术严格控制各级用户对数据信息的访问权限，包括访问的方式和5）内容。修改金融业务程序和系统参数，必须履行一定的审批手续，并做好文档资料6）的相应修改。5.3.8事故和案件的处理以及奖惩制度1）计算机信息系统发生重大事故，应当立即报告本单位计算机信息系统安全保护 领导小组和专职部门2）发现计算机犯罪案件，应当立即向当地公安机关报案，并保护好发案现场。发 现其他不属公

14、安机关管辖的案件，要将主要案情通报当地公安机关。6应用系统安全开发改造指南6.1应用系统安全开发改造指南概述该指南是指对正在开展的以B/S结构为特点的、应用了 CA认证服务等门户技 术的新的应用体系结构的授权系统的设计、建设的规定。新的系统应充分保护 原有系统的投资，在不影响正常业务的前提下使原有分散的应用通过分阶段逐步改造的方式或升级换代实现应用的集中统一管 理，通过应用电子证书等身份鉴别技术和统一实施安全保护等级的访问控制 技术提升整个系统的安全性、开放性，促进新的业务（如电子商务）的开展。6. 2 应用系统安全开发改造的组织要求信息安全指导委员会是胜利油田应用系统安全开发改造的领导机构，

15、由所属的 局信息安全管理中心具体实施。局所属二级和以下级别的单位的安全管理机构向上级机构负责，在局 信息安 全管理中心的领导下工作。同级的安全管理机构应包含有掌握本单位各个信息系统管理、应用、业务的专 业知识的人员。对委托进行开发、设计、建设的产品供应商、开发商、集成商等需接 受相应的 安全管理机构领导，并遵照有关安全规范开展工作。6.3 油田信息应用系统安全开发改造的框架6.3.1应用划分类别基于应用现状，初步将应用划分为以下类别：党政类：有严格的保密要求，有关文件要上网具体由党委保密办决定。财务类：有保密、抗毁要求。油田生产专业类：关系到油田生产、运营决策，很重要，要求有高可用性，有 一定

16、保密要求。资金流、物流、信息流三流合一应用（供应处的电子商务），要求高可用 性， 保密。其他类。对以上的党政类、财务类、油田生产专业类、资金流、物流、信息流三 流合一应 用类这四大类属于关键应用类，在以后的应用开发和改造时，需根据他们所受到的安 全威胁、可能产生的风险进行分析，制定相应的安全目标，对涉及每个应用类内的 客体，可根据需要保护的程度，划分不同的子类或保护等级，受保护程度要求高的需 设置敏感性标记，并规定与之相关联的主体或主体等级，对主体规定严格的鉴别机 制，并规定相适应的自主访问控制或 强制访问控制策略。设计敏感性标记，规定与之相关联的主体或主体等级的工作在局信息安全管理 中心领导

17、下统一实施，涉及各下属机构的应用的相应工作须在局信息 安全管理中心 的指导下针对本单位的具体实际详细设计，在设计中要确保总 体的一致性和完整 性。6.3.2对于类别间的存在的信息交换应根据可能受到的安全风险（包括通信链路上的安 全风险）提供相应的授权和保护措施。6.3.3油田的信息基础设施应能保障应用系统的安全实施，在受设备、基础软件、支撑 软件的限制的情况下尽可能的实施改造加固措施，尤其是在应用开发、管理制度、人员 安全培训方面采取强化措施，从总体上保障安全目标的实现。在新的应用设计中应根据 用户角色的需要授权，根据最小授权原贝I，采取各种措施限制和避免因设备、基础软 件、支撑软件的漏洞和脆弱性而导致可能的安全漏洞。对于因技术设备的限制或某些工 作特点而造成的某些角色权限过大，如系统管理员，系统维护工作的人员等，应进行 安全培训教育，加