数据和文档安全管理规范_030328_v3_FD

1、中国石油信息安全标准编号：中国石油天然气股份有限公司数据和电子文档安全管理规范（审阅稿）版本号：V3审阅人：王巍中国石油天然股份有限公司 前 言随着中国石油天然气股份有限公司（以下简称“中国石油” ）信息化建设的稳步推进，信息安全日益受到中国石油的广泛关注，加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策和标准，并在集团内统一推广、实施。本规范是依据中国石油信息安全的现状，参照国际、国内和行业相关技术标准及规范，结合中国石油自身的应用特点，制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全相关标准与规范，提

2、高中国石油信息安全的技术和管理能力。信息技术安全总体框架如下（change-highlight the corresponding one）： 区区 域域 安安 全全 管管 理理 规规范范 机机 房房 安安 全全 管管 理理 规规范范 硬硬 件件 设设 备备 管管 理理 规规范范 网网络络安安全全管管理理规规范范通通用用安安全全管管理理标标准准 数数 据据 和和 文文 档档 安安 全全管管 理理 规规 范范 应应 用用 系系 统统 使使 用用 安安全全 管管 理理 标标 准准 通通 则则 应应 用用 系系 统统 开开 发发 安安全全 管管 理理 标标 准准 通通 则则 商商 业业 软软 件件

3、购购 买买 管管理理 标标 准准 电电 子子 邮邮 件件 安安 全全 管管理理 规规 范范 W We eb b系系 统统 安安 全全 管管理理 规规 范范 电电 子子 商商 务务 安安 全全 规规范范 防防 御御 恶恶 意意 代代 码码 和和计计 算算 机机 犯犯 罪罪 管管 理理 规规范范 信信息息安安全全技技术术标标准准物理环境安全管理硬件设备安全管理操作系统安全管理数据和文档安全管理应用系统安全管理网 络 安 全 管 理 概 述通 用 网 络 安 全 管 理规 范内 部 网 络 安 全 管 理规 范外 部 网 络 安 全 管 理规 范认 证 管 理 通 用 标 准通 用 安 全 管 理

4、标 准概 述授 权 管 理 通 用 标 准加 固 管 理 通 用 标 准加 密 管 理 通 用 标 准日 志 管 理 通 用 标 准系 统 登 陆 管 理 通 用标 准 操操 作作 系系 统统 安安 全全 管管理理 规规 范范 1） 整体信息技术安全架构从逻辑上共分为 7 个部分，分别为：物理环境、硬件设备、网络、操作系统、数据和电子文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分，共有 13 本规范和 1 本通用标准 。2） 对于 13 个规范中具有一定共性的内容我们整理出了 7 个标准横向贯穿整个架构，这7 个标准的组合也依据了信息安全生命周期的理论模型。每个

5、标准都会对所有的规范中相关涉及到的内容产生指导作用，但每个标准应用在不同的规范中又会有相应不同的具体的内容。我们在行文上将这六个标准组合成一本通用的安全管理标准单独成册。3） 全文以信息安全生命周期的方法论作为基本指导， 规范和标准的内容基本都根据预防保护检测跟踪响应恢复的理论基础行文。随着企业信息化建设的不断深入，企业对于各类信息需求也越来越紧迫，同时，企业内部的各种信息数据的重要程度也越来越高。有时由于企业信息数据的丢失或破坏对于一个企业来说影响程度是无法估计的，可能会直接导致一个企业的失败。而保护企业信息的最直接最关键的方法就是对于信息的各种电子化的载体的安全控制，比如电子电子文档或存储

6、在数据库中的数据。因此本规范就是针对该类数据和电子文档安全上的考虑，在上图信息安全总体框架中以深色底色标注的部分。为加强计算机系统的信息安全，1985 年美国国防部发表了可信计算机系统评估准则 （缩写为TCSEC） ，它依据处理的信息等级采取的相应对策，划分了 4 类 7 个安全等级。依照各类、级的安全要求从低到高，依次是 D、C1、C2、B1、B2、B3 和 A1 级。在中国市场上的国外数据库安全等级为C2 级，国外更高级别的数据库是限制对中国出口的（目前通用标准(CC: Common Criteria) 已经被国际标准化组织接受，代替 TCSEC 来评价计算机的安全等级，通用标准的 EAL

7、 3 级大致与 C2 级的功能相当） 。但是中国目前的大型企业使用的数据库系统，包括中国石油内部使用的，大多数还是国外厂商生产的数据库产品，在无法购买到更安全的技术的情况下，需要通过其他的安全管理措施来加强数据库的安全特性。本规范由中国石油天然气股份有限公司发布。本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。起草部门：中国石油制定信息安全政策与标准项目组。说 明在中国石油信息安全标准中涉及以下概念：组织机构中国石油（PetroChina） 指中国石油天然气股份有限公司有时也称“股份公司” 。集团公司（CNPC） 指中国石油天然气集团公司有时也称“存续公司” 。为区分中国石油的

8、地区公司和集团公司下属单位，但提及“存续部分”时指集团公司下属的单位。如：辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网（PetroChinaNet） 指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上，进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。集团公司网络（CNPCNet） 指集团公司所属范围内的网络。中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络，当提及“存续公司网络”时，指存续公司使用的网络部分。主干网 是从中国石油总部连接到各个下属各地区公司的网络部分，包括中国石油总部局域网、

9、各个二级局域网（或园区网）和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总部，不是利用专线，这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。地区网 地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道可是专线，也可是拨号线路。局域网与园区网 局域网通常指，在一座建筑中利用局域网技术和设备建设的高速网络。园区网是在一个园区（例如研究院园区、管理局基地等）内多座建筑内的多个局域网，利用高速信道互相连接起来所构成的网络。园区网所利用的设备、运行的网络协议、网络传输速度基本相同于局域网。局域网和园区网通常都是用户自己建设的。局域网和园区网与广域

10、网不同，广域网不仅覆盖范围广，所利用的设备、运行的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建设的。二级单位网络 指地区公司下属单位的网络的总和，可能是局域网，也可能是园区网。专线与拨号线路 从连通性划分的两大类网络远程信道。专线，指数字电路、帧中继、DDN 和ATM 等经常保持连通状态的信道；拨号线路，指只在传送信息时才建立连接的信道，如电话拨号线路或 ISDN 拨号线路。这些远程信道可能用来连接不同地区的局域网或园区网，也可能用于连接单台计算机。石油专网与公网 石油专业电信网和公共电信网的简称。最后一公里问题 建设广域网时，用户局域网或园区网连接附近电信部门信道的

11、最后一段距离的连接问题。这段距离通常小于一公里，但也有大于一公里的情况。为简便，同称为最后一公里问题。涉及计算机网络的术语和定义请参见中国石油局域网标准 。目目 录录第第 1 章章数据和电子文档安全管理概述数据和电子文档安全管理概述.7概述 .7目标 .7规范的适用范围 .7规范引用的文件或标准 .9术语和定义 .10第第 2 章章电子文档安全管理规范电子文档安全管理规范.12电子文档主要安全问题 .12未经授权的访问则 .12人员的恶意攻击 .12授权用户的不当操作 .12电子文档的分散存储 .13外部因素的影响 .13电子文档安全管理规范 .14电子文档的建立管理 .14电子文档的更改管理

12、 .14电子文档的归档管理 .15电子文档的保管管理 .15电子文档的使用管理 .16电子文档的备份管理 .16电子文档的定期检查 .17电子文档技术保护手段 .17加固计算机系统和网络 .17加强对于电子文档的认证管理 .18加强对于电子文档的授权管理 .18电子文档加密 .21加强对电子文档日志审计管理 .22检测恶意代码 .23第第 3 章章数据库安全管理规范数据库安全管理规范 .24常见的数据库安全问题 .24数据库安全管理规范 .26加固操作系统和网络 .26数据库设置的安全管理 .26数据库用户认证管理 .27数据库用户授权管理 .28数据库的日志和安全审计 .29数据库的加密管理

13、 .31人员培训管理 .33第第 4 章章数据备份管理规范数据备份管理规范.34数据备份的主要方式 .34完全备份、增量备份和差异备份 .34传统备份和异地备份 .34其他备份方式 .36中国石油数据备份规范 .38对数据备份的规定 .38建立合理的备份体系 .39数据备份过程的管理 .39中国石油备份方式相关规范 .41附录附录 1参考文献参考文献 .42附录附录 2本规范用词说明本规范用词说明.43第第第 1 1 1 章章章 数据和电子文档安全管理概述数据和电子文档安全管理概述数据和电子文档安全管理概述1.1概述随着计算机和通讯技术的迅速发展，电子数据信息已经是企业中非常重要的资产之一，电

14、子数据信息的重要性也越来越受到人们的关注。数据信息的表现形式通常分为两种，一种以文件的形式存在，另一种存储在数据库中。防止数据遭受未经授权的访问、恶意的读取和破坏以及非法的拷贝等等情况的发生，是保护信息安全的最终目的。信息安全其他所有的保护方式如物理环境和硬件保护，网络和操作系统的保护，应用系统的保护的最终目的都是保护数据的安全。因此本规范主要针对数据本身进行安全的规范和管理，通过对数据的两种主要的表现形式，电子文档和数据库进行保护并从数据备份的角度对数据和电子文档进行安全相关的规范。1.2目标本规范的目标为：通过对数据和电子文档进行相应的安全管理规范，保证目前中国石油数据库和电子文档的安全。

15、使得各种电子文档系统和数据库系统免遭未经授权的访问，从而保证中国石油相关数据信息的安全。1.3适用范围本套规范适用的范围包括了所有和电子文档或数据库相关的安全问题和安全事件所有和电子文档或数据库相关的安全问题和安全事件。具体来说包括了电子文档相关的安全规范、数据库相关的安全规范和数据备份的安全管理规范。本规范主要讨论了和信息系统相关的数据和电子文档的安全，其他和信息系统无关的信息或文件不在本规范的讨论范围之内。本规范面向所有的和电子文档管理或数据库管理相关的人员。1.4规范引用的文件或标准下列文件中的条款通过本标准的引用而成为本标准的条款。本标准出版时，所示版均为有效。所有标准都会被修订，使用

16、本标准的各方应探讨使用下列标准最新版本的可能性。1.GB17859-1999 计算机信息系统安全保护等级划分准则2.GB/T 9387-1995 信息处理系统 开放系统互连基本参考模型（ISO7498 :1989）3.GA/T 391-2002 计算机信息系统安全等级保护管理要求4.ISO/IEC TR 13355 信息技术安全管理指南5.NIST 信息安全系列美国国家标准技术院6.英国国家信息安全标准 BS77997.信息安全基础保护 IT Baseline Protection Manual (Germany)8.BearingPoint Consulting 内部信息安全标准9.RU S

17、ecure 安全技术标准10. 信息系统安全专家丛书 Certificate Information Systems Security Professional1.5术语和定义访问控制访问控制 accessccess controlcontrol 一种安全保证手段，即信息系统的资源只能由被授权实体按授权方式进行访问，防止对资源的未授权使用。授权授权 authorizationauthorization 给予权利，包括信息资源访问权的授予。审计审计 auditaudit 为了测试出系统的控制是否足够, 为了保证与已建立的策略和操作相符合, 为了发现安全中的漏洞, 以及为了建议在控制、策略中作任何

18、指定的改变, 而对系统记录与活动进行的独立观察。(GB9387-95)认证认证 authentication a. 验证用户、设备和其他实体的身份； b. 验证数据的完整性。解密解密 decryptiondecryption 从密文中获取对应的原始数据的过程。注：可将密文再次加密，这种情况下单次解密不会产生原始明文。加密加密 encryption 通过密码系统把明文变换为不可懂的形式。完整性完整性 integrity 在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,信息系统中的数据与在原文档中的相同，并未遭受偶然或恶意的修改或破坏时所具的性质。日志日志 log lo

19、g 一种信息的汇集, 记录有关对系统操作和系统运行的全部事项，提供了系统的历史状况。恶意代码恶意代码 maliciousmalicious codecode 在硬件、固件或软件中所实施的程序，其目的是执行未经授权的或有害的行动。最小权限最小权限 minimumminimum privilegeprivilege 主体的访问权限制到最低限度，即仅执行授权任务所必需的那些权利。口令口令 password 用来鉴别实体身份的受保护或秘密的字符串。明文明文 plaintextplaintext 无需利用密码技术即可得出语义内容的数据。安全等级安全等级 security classification 决

20、定防止数据或信息需求的访问的某种程度的保护，同时对该保护程度给以命名。为表示信息的不同敏感度, 按保密程度不同对信息进行层次划分的组合或集合。例：“绝密” 、 “机密” 、 “秘密” 。可信计算机系统可信计算机系统 trusted computer system 提供充分的计算机安全的信息处理系统，它允许具有不同访问权的用户并发访问数据，以及访问具有不同安全等级和安全种类的数据。HSMHSM 硬件安全模块 Hardware Security ModuleNASNAS 网络附加存储 Network Attached StorageSANSAN 存储区域网络 Storage Area Networ

21、k第第第 2 2 2 章章章 电子文档安全管理规范电子文档安全管理规范电子文档安全管理规范2.1电子文档主要安全问题在当前多用户系统和网络普及的情况下，中国石油电子文档的安全问题也涉及到多个方面，目前主要的安全问题如下：2.1.1未经授权的访问重要的电子文档被未经授权的用户访问到（阅读、修改或删除），可能导致信息的泄漏。2.1.2人员的恶意攻击a)外部入侵者或者内部有相应权限的人员，出于某种恶意的目的对电子文档的内容进行篡改。b)恶意代码的攻击可能使电子文档无法使用。2.1.3授权用户的不当操作a)即使对于用户的访问权限做了严格的限制，但是一些重要的电子文档还是有可能被其他人获得。例如用户的可

22、移动存储设备的遗失，或由于管理员一时的疏忽，导致访问权限的错误。在这种情况下，需要额外的机制来保证这些信息内容不被非法读取，可采取的手段有电子文档的加密、电子文档口令的设置等。b)误操作导致重要文件被删除或者磁盘被格式化。c)在文件的复制过程中，由于误操作将同名文件覆盖。d)在电子文档的修改过程中，由于用户的误操作，使得原先内容完整的电子文档丢失。2.1.4电子文档的分散存储a)重复存储占用空间同一个电子文档在多个共享的文件存储服务器上存在，同时每个用户处有电子文档的多个历史版本，导致磁盘空间的浪费。b)版本的不一致性不同用户处的同一个电子文档，由于没有及时更新等原因，导致在不同用户处保存同一

23、个电子文档的版本不一致，并且包含不同的内容。c)内容的不一致性多个用户各自在本地对同一电子文档进行了不同的修改，导致内容的不一致。2.1.5外部因素的影响a)存储电子文档的存储设备损坏，导致电子文档的损坏或丢失。b)在火灾、地震或者恐怖事件等特殊情况下，对数据和电子文档造成的破坏。2.2电子文档安全管理电子文档的建立、更改、归档、保管、使用、备份等各个环节，都有信息更改、丢失的可能性，建立并执行一套科学、合理、严密的管理制度，从每一个环节消除信息失真的隐患，对于维护电子文档的原始性、真实性十分重要。电子文档的管理不仅注重每个阶段的结果，也要重视每项工作的具体过程，并把这些过程一一记录下来。其中

24、有关维护信息安全方面的主要规定为：2.2.1电子文档的建立管理a)重要电子文档的制作过程应责任分明。b)每个重要电子文档都必须有主要的负责人，并对负责的电子文档负有全责。c)重要电子文档的合作人员必须清晰界定，并严格划分参与人员的职责。d)重要电子文档的建立过程必须记录下来，并清晰记录每个参与人员的职责和工作情况。2.2.2电子文档的更改管理a)重要的电子文档一经定稿禁止进行修改，除非经过必要的审批程序。b)所有重要的电子文档的变更都必须记录在案。c)在对于重要电子文档的修改过程中，应保存电子文档的各个历史版本。可采用专用的电子文档管理软件自动方便管理电子文档的版本。d)对于十分重要的电子文档

25、应使用专用的电子文档管理软件进行安全管理，以确保电子文档的版本和迁入迁出的变更都被自动的记录在案。并在电子文档更改后自动通知该电子文档的管理员和该电子文档的所有者。2.2.3电子文档的归档管理a)电子文档归档时应进行全面、认真的检查。b)电子文档原来的所有者应保证内容的完整、真实可靠。c)必须保证读取电子文档的软件也进行了归档。d)必须记录电子文档的元数据，即电子文档的说明、结构和上下文关系等。e)应记录电子文档的业务和行政方面的背景数据。f)电子文档的负责人必须指定电子文档的保存期限，并且该保存期限不与相关的合同、法规以及中国石油的特殊规定相违背。g)归档的负责人也应检查电子文档的内容、确定

26、其是否是最终版本。h)电子文档如有相应的纸质电子文档或其他载体的电子文档，必须保证内容一致。i)检查电子文档载体的物理状态、通过防病毒程序检查是否存在病毒。j)对于特殊的电子文档，宜将其打印成纸质电子文档或制成缩微品进行归档。2.2.4电子文档的保管管理a)必须使用可靠的存储媒体保管电子文档。b)所有归档的电子文档应进行写保护处理，使之处于只读状态。c)因软硬件平台发生改变而对电子文档进行格式转换时，应防止转换过程中的信息变化。d)对保存的电子文档应根据其重要程度定期（每 3 个月）进行安全性、有效性检查，发现载体和信息有损伤时，应及时采取措施，进行修复。e)保证电子文档保存地点的物理安全，尽

27、量将重要的电子文档保存在物理条件较好的区域如机房或专用的资料存储室等。具体内容参见机房安全管理规范、区域安全管理规范。2.2.5电子文档的使用管理a)电子文档入库的载体不得外借，只能以拷贝的形式提供。b)重要电子文档的借阅必须经过批准，电子文档的借阅者和负责人应对电子文档的借阅进行确认。c)对于保密级别高的电子文档，只得在指定的地方阅读或者进行其它处理，不得提供相应的拷贝。d)电子文档的使用者在使用过程中应对电子文档的安全负责，防止泄密和数据损失。e)对于重要的以及非常敏感的电子文档，应提供防止再拷贝的技术措施。f)除公开发行的电子出版物外、对其它借出的电子文档拷贝必须按时回收。电子文档的借阅

28、者和负责人应对电子文档的回收进行确认。g)应记录所有电子文档的使用情况，包括载体的类型、数量、使用时间、使用人员、最后回收期限及双方责任人员。h)采用网络传输等方式时，必须对重要的电子文档进行加密。i)对于回收的电子拷贝应进行内容消除处理。2.2.6电子文档的备份管理参见本规范第四章“数据备份管理规范”。2.2.7电子文档的定期检查a)应每年一次，采用等距抽样或者随机抽样的方式进行定期检查，样品数量不应少于 10%b)应进行外观检查，例如确认载体表面是否有物理损坏或变形，外表涂层是否清洁及有无霉斑。c)应进行逻辑检测，采用相关软件对载体上的信息进行读写校验。发现有出错的载体，必须进行有效的修正

29、或更新。d)应建立相应的维护管理电子文档，对电子文档的检测、维护、拷贝等操作过程进行记录，避免发生人为的误操作或不必要的重复劳动。e)应为每一份重要的电子文档建立必要的记录，记载电子文档的建立、修改、使用情况。f)应通过记录检查电子文档的修改历史， 确定电子文档各次修改的责任人。g)应通过检查记录，保证电子文档的真实性。2.3电子文档技术保护手段2.3.1加固计算机系统和网络a)应防止由于系统和网络的漏洞导致的电子文档安全问题，具体规范参见操作系统安全管理规范、网络安全管理规范。b)为防止由存储设备的物理损坏导致的危害，应对重要的电子文档采用磁盘阵列容错和冗余等措施。2.3.2加强对于电子文档

30、的认证管理2.3.2.1操作系统必须设置相应的认证手段进入操作系统的认证，是保护电子文档安全的第一道屏障。无论是单用户的操作系统还是多用户的操作系统，必须能够提供操作系统的进入认证控制。这种控制往往是通过用户口令的方式来进行的。对于移动设备，往往还提供了额外的认证手段。a)单用户操作系统必须设置 CMOS 口令；b)多用户操作系统的每个用户必须设置各自的口令；且口令必须严格遵守相关的口令管理规范，详见口令管理标准。c)在不使用系统的时候，必须锁定计算机或者退出系统。d)对于操作系统的管理详见操作系统安全管理规范，确保操作系统的安全，从而间接地保护了基于操作系统的相关电子文档。2.3.2.2电子

31、文档本身设置相应的认证手段对于重要的电子文档应对其本身设置相应的认证机制，常见的方法是对于电子文档进行加密以保证电子文档不会被未经授权的用户打开。如果采用口令的方式进行加密，应保证口令的设置符合口令管理标准中相应的规范。2.3.3加强对于电子文档的授权管理2.3.3.1文件系统的访问权限a)对于多用户的系统，宜对于特定的目录和文件，设置特定的访问权限。许可的设置包括两方面的内容：允许哪些组或用户对文件夹、文件和共享资源进行访问；获得访问许可的组或用户可进行什么级别的访问。b)访问许可权限的设置不但适用于本地计算机的用户,同样也适用于通过网络共享文件夹对文件进行访问的操作。2.3.3.2网络共享

32、文件夹的认证和授权a)除非特别必要，否则禁止在个人的计算机上设置网络文件夹共享。b)对于网络共享文件夹，必须严格限制用户对文件夹的访问权限，只对必须进行访问的用户开放访问权限。c)网络共享文件夹必须设置口令。d)对于其中重要的电子文档，必须进行加密。2.3.3.3访问权限的一般原则2.3.3.3.1权限建立 a)功能分离原则：系统必须将系统管理员和普通用户的功能清晰地区分。系统管理员可分配访问权限、监督用户的访问操作，并在必要的情况下取消用户的相应权限。 b)授权控制：初始的权限由用户的身份及所属的组织来定义。对于用户基本权限的修改必须经过该用户的上级领导的同意。系统管理员负责控制授权的过程。

33、 c)最小权限原则：一方面给予主体必不可少的权限，这就保证了所有的主体都能在所赋予的权限之下完成所需要完成的任务或操作；另一方面，它只给予主体必不可少的权限，这就限制了每个主体所能进行的操作。d)缺省目录和电子文档访问权限：定义相应的配置文件，用户自己的文件缺省应不能被其他人读、修改和删除。每个用户必须仔细考虑自己的文件可被哪些人访问，并且允许他们执行的操作。 e)用户组访问：在必要的情况下，可通过定义组来进行数据访问。这些用户组应通过业务单元、地理位置、项目、职责或者功能来定义。电子文档的所有者确定相关的组的访问权限。 f)缺省拒绝访问：如果一个计算机或者网络的访问控制系统工作不正常，那么应

34、最小化其上所有用户的访问权限。2.3.3.3.2权限管理a)访问授权管理：对于任何重要电子文档的访问，必须预先得到该电子文档所有者的授权，并且授予的权限仅能使他们“知道电子文档内容或者做相应的操作”（最小权限原则）。相关的访问记录必须根据中国石油的要求，保存相应的时间，并且符合相应的法规。 b)用户权限的定期检查：电子文档的管理者或所有者必须定期对其他用户对该电子文档的权限进行检查，保证用户权限是合理的。检查的时间间隔不能超过 6 个月。 c)当用户的职位发生变更，或者工作需要改变以后，系统管理员应检查用户的访问权限，并作合适的变动。d)所有电子文档访问的可追究性：通过使用完整的日志和唯一的用

35、户 ID，所有的电子文档操作必须可追溯到特定的用户。 e)权限的删除：一旦员工离开中国石油，必须立即删除他们的访问权限。对于其他的用户，如果不再需要进行相关的访问，应将其权限收回。 2.3.3.3.3权限限制 a)对实际系统的访问：通常情况下不得授权应用和系统开发人员访问实际运作的系统；除非确实需要，并经过上级批准，才能授予其相关权限。 b)管理员级别的帐户：必须严格控制管理员和 root 级别的系统帐户。系统管理员权限的授予必须经过严格的授权流程及相应的授权人员的批准，并且应严格限制在极少数的人员之间。系统管理员必须在切换到管理员帐户前首先使用个人的普通帐户登陆。c)独立的子网和防火墙之间的

36、访问必须严格限制。d)跨公司的访问控制：当需要在总公司和地区公司之间，或者在地区公司之间的网络进行敏感信息的访问和传输时，这种访问必须采取以下限制：访问控制机制必须识别相应的公司的身份，以及公司之间的能够进行双方同意的操作的特定授权用户的身份。根据实际需要确定最小的访问权限。2.3.4电子文档加密保护电子文档的另一个重要方法是进行电子文档加密。数据加密后，即使别人获得了相应的电子文件，也无法获得其中的内容。2.3.4.1电子文档加密方法a)简单的加密方法是通过一个硬件的加密接口。它们安装在 SCSI 接口上，对于所有经过的数据进行硬件级的加密（或者解密）。数据通过加密的形式存储，并且以同样的方

37、式解密，使得别人无法窃取存储的数据。该方法独立于软件，使得用户可使用不同的软件来管理数据的存储和备份。b)一些软件可在客户机上或者服务器上进行加密。客户机上的加密在客户端保护数据，防止在没有口令或者密钥的情况下访问数据。服务器端的加密提供了与硬件加密方案相似的特征。当数据存储到存储设备上时，通过密码或者密钥加密。c)另外的方式是使用电子文档或者文件系统级的加密软件。这些软件在数据存储到硬盘时对其进行加密，防止其他人，甚至是同一个计算机系统上的用户访问这些文件。这种方式比较适合于仅有少数的文件或者系统需要加密的情况。2.3.4.2电子文档加密的相关规范a)对于多用户共用的计算机，每个用户的重要电

38、子文档都应使用操作系统或者应用程序提供的加密机制进行加密。b)对于需要通过网络（电子邮件等）传输的重要电子文档，必须首先通过加密程序或者相应的电子文档编辑程序自带的加密功能进行加密后才能传输。c)对于数据和电子文档备份，可使用硬件级的加密，或者备份应用程序自带的加密功能进行加密。d)对于网络共享文件夹中的重要文件，必须使用加密程序或者相应的电子文档编辑程序自带的加密功能进行加密。e)对于重要电子文档或者数据的日志，应使用操作系统或者应用程序提供的加密功能进行加密。2.3.5加强对电子文档日志审计管理应使用审计策略对文件夹、文件进行审计，审计结果记录在安全日志中，通过安全日志就可查看哪些组或用户

39、对文件夹、文件进行了什么级别的操作，从而发现系统可能面临的非法访问，并通过采取相应的措施，将这种安全隐患减到最低。a)对于重要的目录和电子文档，应通过操作系统提供的日志记录功能，或者其他专门的日志记录工具，记录对其的所有访问操作。b)对于重要电子文档和数据的日志，必须严格限制对其的访问权限，只有系统管理员和电子文档的所有者才能访问。c)对于重要电子文档和数据的日志，应使用日志的加密功能，防止日志被非法访问。d)系统管理员或者电子文档的所有者应定期检查（通过专门的工具或者手工）重要电子文档的日志，检查存在的异常访问或者不正常的修改。2.3.6检测恶意代码恶意代码可能导致文件内容的泄漏以及文件的破

40、坏，具体规范措施请参见防御恶意代码和计算机犯罪管理规范。第第第 3 3 3 章章章 数据库安全管理规范数据库安全管理规范数据库安全管理规范数据库是建立一切信息管理系统的基础支撑平台，在中国石油，数据库存放着各种最真实和最有价值的那部分资产可能是知识产权数据，也可能是价格和交易数据或者客户信息。在数据库中，这些数据作为商业信息或知识，一旦遭受安全威胁将带来难以想象的严重后果。数据库安全是一个广阔的领域，从传统的备份与恢复，认证与访问控制，到数据存贮和通信环节的加密，它作为操作系统之上的应用平台，其安全与网络和主机安全息息相关，本规范着重从数据库安全管理和内部自身安全的角度讨论相关问题。3.1常见

41、的数据库安全问题a)计算机系统和网络的安全缺陷会导致数据库的安全问题如果数据库存储设备（例如硬盘）受到损害，可能会导致数据库的损坏、暂时无法访问甚至永久性的损坏；如果操作系统和网络出现了安全问题，可能导致数据库被非法访问。b)数据库软件系统的缺陷购买的数据库系统本身存在安全问题。如果数据库的相应管理人员没有意识到这个问题，没有及时安装数据库软件的相应补丁，可能为系统的侵入留下通道。另外，数据库系统的缺省服务和配置也可能存在着很大的隐患。c)未利用数据库本身的安全特征许多企业应用建立在数据库应用上，在这些企业应用中往往施加了一定的安全控制。但是这些安全措施只应用在客户端应用软件上，其它许多工具，

42、如 Microsoft Access 和已有的通过 OBDC 或专有协议联接数据库的公用程序，它们都绕过了应用层安全。另外，用户只要知道了一个合法的帐户及密码，就可使用任何方式来访问数据。因此，唯一可靠的安全功能应限定在数据库系统内部。d)脆弱的帐号设置在许多数据库系统中，数据库帐户往往缺乏足够的安全设置。比如，缺省的用户帐号和密码对大家都是公开的，没有被禁用或修改以防止非授权访问。e)缺乏角色分离传统数据库管理中并没有专门的安全管理角色，这就迫使数据库管理员（DBA）既要负责帐号的维护管理，又要专门对数据库的执行性能和操作行为进行调试跟踪，从而导致管理效率低下。另外，这也和企业管理所倡导的“

43、检查职能和工作职能平衡”的原则相悖。f)脆弱的认证和授权数据库的不同用户，由于其不同的身份和级别，应具有不同的访问控制权限。但是实际中，数据库管理员往往没有严格区分不同用户帐号的权限，使得数据受到非授权的访问，甚至被破坏。因此应提供机制，严格限制不同用户对于数据库的访问和操作权限。g)缺乏审计跟踪数据库审计经常被 DBA 以提高性能或节省磁盘空间为由忽视或关闭，这大大降低了管理分析的可靠性和效力。审计跟踪对于了解哪些用户行为导致某些数据的产生和修改至关重要，它将与数据直接相关的事件都记入日志，因此，监视数据访问和用户行为是最基本的管理手段。h)缺乏备份和恢复手段即使采取了所有的安全手段，企业数

44、据库还是无法完全避免受到某些不可抗力（例如火灾、地震等）的影响。另外用户的误操作也可能破坏数据库中的数据。如果不预先采取预防的措施，把重要的业务和经营数据备份起来，那么一旦发生这些灾难性的后果，中国石油将遭受巨大的损失。i)没有对于重要的数据内容进行额外的安全控制目前中国石油的数据库一般都能通过网络进行访问，无法完全避免内部或者外部的非法访问。一旦这些数据被非法入侵者或者被不应了解的人员看到，对于中国石油的业务或者经营将会产生重大的危害。所以应对于重要的数据采用加密等方式来防止数据库重要数据的泄漏。j)数据库服务器没有足够的存储空间，导致数据库服务无法正常进行这是常常被忽视，但是经常会影响数据

45、库正常运行的问题。3.2数据库安全管理一个强大的数据库安全系统应确保其中信息的安全性并对其进行有效的控制。下面的针对数据库的安全规范有助于中国石油实现与数据库相关的业务利益保障、策略制订以及对信息资源的有效保护。3.2.1加固操作系统和网络防止由于系统和网络的漏洞所导致的数据库安全问题，具体规范参见操作系统安全管理规范、网络安全管理规范。为防止存储设备的物理损坏导致的影响，对于大型的应用应采用磁盘阵列容错和冗余等措施。3.2.2数据库设置的安全管理3.2.2.1初始的安全配置a)某些大型的数据库，例如 Oracle，都有一些众所周知的对数据库有着不同访问权限的默认帐号和密码。在数据库的初始配置

46、时，必须禁用这些默认帐号或者改变其相应的密码。b)数据库的一些功能强大的存储过程，如果被入侵者执行，可能危害到整个系统甚至网络的安全。必须配置数据库，使得存储过程以最小需要的级别来运行。c)数据库系统文件如果被破坏，会导致数据的丢失甚至数据库系统的崩溃。必须严格限制对数据库系统文件的读写权限。d)某些数据库系统需要控制或配置文件来支持其运行并维护其状态。这些文件应由数据库来控制，系统管理员和用户不需要用到这些文件，所以应禁止他们对这些文件的访问。3.2.2.2数据库补丁更新管理应定期检查安全信息站点和数据库软件供应商的网站，一旦出现新的数据库软件的补丁，在可能的情况下测试其有效性，并立即安装。

47、详细内容请参见内容安全管理标准中的安全补丁实施管理办法。3.2.2.3数据库角色分离管理机制a)对于重要的数据库系统，中国石油应在安全管理方面采用三权分立的安全管理体制，把系统管理员分为数据库管理员 DBA、数据库安全管理员 SSO 及数据库审计员 Auditor 三类，并根据最小授权原则分别授予他们为完成各自任务所需的权限。这种管理体制真正做到三权分立、各行其责、相互制约，可靠地保证了数据库的安全性。具体授权如下：数据库管理员：负责创建用户帐户；创建组；创建数据库安全管理员和审计员帐户；管理数据库系统；管理磁盘空间；修复磁盘；管理错误日志；测试系统；开启和关闭系统。数据库安全管理员：管理系统

48、的安全机制，设置、修改用户的安全属性；设置、修改数据库对象的安全属性。数据库审计员：负责建立系统审计环境、审查审计记录；选择与安全相关的事件进行审计。b)另外，如有必要，中国石油还可根据功能和可信赖的用户群，进一步细分数据库管理的责任和角色。这样有助于灵活解决如为员工重设密码（需要管理员权限）等常见问题，或委派特定管理员执行特殊部门（如市场部或财务部）的某些事务。 3.2.3数据库用户认证管理a)确保每一个用户帐号对于数据库连接来说都是必须的，禁用或删除任何不必要的帐号。b)进行帐号和口令的安全管理，具体规范参见通用安全管理标准中口令安全管理标准。c)必须严格控制管理员级别的数据库帐户。数据库

49、管理员权限的授予必须经过严格的授权流程及相应的授权人员的批准，并且应严格限制在极少数的人员之中。d)数据库中的密码必须以加密的形式存储。e)数据库的帐号和密码在需要通过网络进行传输时，必须通过加密的方式进行。f)拒绝远程的数据库管理员的访问，或者通过数据库管理系统提供的特殊措施，管理远程管理员登陆。g)如果用户一般通过自己的计算机访问数据库，并且每个用户的系统名和 IP地址都是确定的，宜设置用户不能从其他的计算机登陆数据库。h)用户访问数据库结束，必须关闭相关的数据库访问的应用程序，断开与数据库的连接。3.2.4数据库用户授权管理a)最小权限原则：中国石油必须本着最小权限原则，从需求和工作职能

50、两方面严格限制对数据库的访问权限。b)不宜直接为用户赋予特定的访问权限，应通过为用户分配角色来间接控制用户访问数据库的权限。如果用户的工作需要对特定的数据具有比其他人更高的访问权限，可通过建立新的具有这些权限的角色，将该角色赋予用户。通过角色将特定工作的访问功能与需要的权限相分离，从而可以独立地将某项工作的权限赋予或收回。安全管理员必须清晰了解每一个被使用的角色的权限，不可使用那些访问权限不清晰的角色。对于那些用户很多，应用程序和数据对象很丰富的数据库，应充分利用角色这个机制的方便性对权限进行有效管理。对于复杂的系统环境，角色能大大地简化权限的管理。安全管理者可决定用户组分类，为这些用户组创建

51、用户角色，并对数据库和应用对象管理用户角色的访问权限。c)必须记录所有的权限建立和权限修改的过程。d)应根据业务的需要和用户的访问权限，将数据库从逻辑上分割。如一般用户角色只能访问一般数据，市场部的用户角色可访问到销售数据，人事部的用户角色可访问到工资数据等.。e)应通过对于数据库对象（例如表、视图、存储过程，甚至记录和字段等）的授权来控制数据库的访问。应仅授予用户完成工作所需的最小权限。f)当用户的职位发生变更，或者工作需要改变以后，检查用户的所需的角色权限，并作相应的改动，以满足最小权限原则。g)一旦员工离开中国石油，必须立即删除他们的用户帐户。对于其他的用户，如果相关的访问不再需要进行，

52、应将相应角色权限收回。h)用户权限的定期检查：安全管理员必须定期对用户的角色权限进行检查，以保证用户的权限是合理的。检查的时间间隔不能超过 6 个月。3.2.5数据库的日志和安全审计a)对于数据库的审计应包括以下内容：对于数据库的成功或者不成功的连接数据库的启动和关闭对数据库对象的建立和删除对数据表信息的查看、修改和删除数据库中程序的执行b)数据库日志中记录的信息应包括各种对数据库表及其他对象的成功及不成功的访问信息，至少应包括：进行操作的用户操作的时间操作的对象进行的操作c)除了数据库的日志，对于数据库的重要配置文件的修改也应通过日志记录。d)对于重要的数据内容，数据库的审计应包括对记录字段

53、和元素一级的访问，并且应维护数据的更改日志。更改日志是数据库每次改变的记录文件，日志包括原来的值和修改后的值。数据库管理员应可根据日志撤消任何错误的修改。e)3 层的应用服务器架构增加了审计的复杂度。通常应用服务器代表用户进行数据库操作。应用服务器访问数据库时应利用用户各自的真实帐户，而不应使用代码内嵌的帐户，使其能够记录特定用户的访问日志。f)另外，可使用一些第三方的数据库审计或者日志工具，来提供重要数据日志，并对其进行审计。g)审计会影响数据库系统的性能，不应试图用最详细的级别来审计所有的数据库行为。否则只会使数据库用户的日常使用受到重大影响，并且审计数据可能会大大超过数据库中的数据，并超

54、过系统的存储限制。h)对于性能要求较高，数据增长很快的大型应用，应根据数据库中的数据的重要性，确定需要对哪些数据库的对象进行哪些方面的审计。i)审计哪些数据库行为，以及采取哪些审计方法，这些审计策略应根据人员、可疑行为的变化，或者需要对某些特定内容进行不同层次的检查而进行修改。j)如果存在一些时间段，用户不会进行数据库的访问，应对于这些时间的数据库连接进行审计。这段时间的数据库访问可能代表了不正常的用户访问。k)数据库审计管理人员应定期（每周）通过工具自动或者手工分析审计日志，来发现已出现的或者潜在的数据库安全问题。3.2.6数据库的加密管理数据库加密可为数据提供进一步的安全性，即使这些数据被

55、非授权用户获得，他们也无法了解数据的真正内容。数据库中数据加密的实现方式，一般分为两种方式：3.2.6.1使用数据库本身的加密机制当数据存储到数据库时，数据库管理系统将其进行加密，当数据从数据库读取时，将其进行解密。数据库本身的加密机制的优点是：数据库本身就可完成加密的任务，对外部的应用是透明的，另外不需要额外的应用支持来满足其加密需求。但是它也有比较大的缺点：数据库中数据读取时的加密和解密会对数据库的性能产生很大的影响；数据加密的密钥一般也存储在数据库中，入侵者只要获得数据库中密钥的访问权限，就可能将数据解密。可利用额外的硬件安全模块(HSM: Hardware Security Modul

56、e)，来提供与数据库分离的密钥管理，并通过其提供一定的加解密的处理能力。当数据在数据库外使用时，由于已经是明文的形式，需要额外对于这些数据的网络传输进行加密。3.2.6.2利用数据库外部的应用进行加密将加密和解密的工作转移到处理数据的应用中，数据在存储到数据库前就已通过独立的应用进行了加密。这种方式的好处是对于数据库服务器本身的负载影响较小，并且数据在实际使用前在网上传输的信息本身就是加密的。应用级的加密需要数据库外面应用程序的加密功能的支持，可能需要进行一定的开发工作，并且可能需要外部的安全咨询服务及产品供应商的支持，因此需要比较大的投资。在存在多个需要加密的大型应用及多个需要加密的数据库环

57、境的情况下，可利用一个企业级的加密服务器来提供集中式的加解密服务。这样可提供比较完善的密钥管理和访问控制的机制。3.2.6.3对于数据库加密机制的管理3.2.6.3.1严格管理密钥和加解密工具的访问手段必须对于密钥和加解密工具具有严格的认证、授权和访问控制。必须在重要信息被解密前进行严格的用户认证。必须对于这些加解密对象的使用进行严格的审计并记录日志。3.2.6.3.2密钥的多种存放方式数据库内部的加密可把密钥存放在数据库的限制访问的单独的表上。 密钥存储的比较安全的存放方式是利用硬件进行存储，例如对于数据库的密钥使用硬件安全模块(HSM: Hardware Security Module)。

58、密钥可存放在一个限制访问的文件中。可通过一个集中的加密服务器来进行加密和密钥的管理。3.2.6.4对中国石油使用数据库加密的建议a)无论使用哪种加密技术都会对应用系统的性能有很大的影响，因此必须权衡日常业务的运行效率及数据的重要性，以确定哪些数据真正重要到需要进行数据库加密。b)尽量通过加强认证、授权和访问控制，来提高数据库内容的安全性。根据风险评估，除非绝对必要否则不要试图对于大的数据库的很多内容进行加密，这会妨碍中国石油日常业务的运行。c)在仅需要对少量和有限的内容进行加密的情况下，可使用数据库软件本身提供的加密功能。d)在存在大量的需要加密的应用和数据库环境的情况下，中国石油可考虑使用加

59、密服务器来集中管理这些大量的加密和访问控制管理工作。3.2.7人员培训管理数据库系统是非常复杂的应用系统，对其进行管理和配置需要大量的专业知识和技能。数据库的一个重大的安全隐患是数据库管理人员对于数据库的不适当安装、配置以及误操作等。由于这些数据库管理人员具有很大的数据库操作权限，所以他们的不适当操作可能会对整个数据库带来极大的危害。a)应对于数据库管理人员进行必要的培训，使得他们具备相应的知识，以完成数据库管理的任务。b)数据库管理人员应在工作期间进行自我学习，不断提高数据库技术水平和管理技能，以满足不断出现的新的数据库管理的要求。第第第 4 4 4 章章章 数据备份管理规范数据备份管理规范

60、数据备份管理规范在信息时代，中国石油用来支持经营和决策的重要数据和信息已经成为企业重要的资产。这些信息资产可能遭到自然灾害、计算机系统的故障以及人为的破坏。要使中国石油的计算机系统在受到各种破坏后仍然可保证业务的正常运行，对于这些重要的信息和数据进行备份至关重要。4.1数据备份的主要方式4.1.1完全备份、增量备份和差异备份a)完全备份将服务器上的所有数据都进行备份。基于备份的数据量和频率，完全备份可能需要比较大的存储空间以及要花费较多的时间。但是它可较快地进行恢复。b)增量备份只备份前一次备份以后的数据变化。该方式每次备份花费的时间较少，但需要较多的时间进行恢复工作。c)差异备份则备份前一次