数据和文档安全管理规范

1、.：.；中国石油信息平安规范编号：中国石油天然气股份数据和电子文档平安管理规范审阅稿版本号：V3审阅人：王巍中国石油天然股份 数据和电子文档平安管理规范 PAGE 43前 言随着中国石油天然气股份以下简称“中国石油信息化建立的稳步推进，信息平安日益遭到中国石油的广泛关注，加强信息平安的管理和制度无疑成为信息化建立得以顺利实施的重要保证。中国石油需求建立一致的信息平安管理政策和规范，并在集团内一致推行、实施。本规范是根据中国石油信息平安的现状，参照国际、国内和行业相关技术规范及规范，结合中国石油本身的运用特点，制定的适宜于中国石油信息平安的规范与规范。目的在于经过在中国石油范围内建立信息平安相关

2、规范与规范，提高中国石油信息平安的技术和管理才干。信息技术平安总体框架如下change-highlight the corresponding one：整体信息技术平安架构从逻辑上共分为7个部分，分别为：物理环境、硬件设备、网络、操作系统、数据和电子文档、运用系统和通用平安管理规范。图中带阴影的方框中带书名号的为单独成册的部分，共有13本和1本。对于13个中具有一定共性的内容我们整理出了7个横向贯穿整个架构，这7个的组合也根据了信息平安生命周期的实际模型。每个都会对一切的中相关涉及到的内容产生指点作用，但每个运用在不同的中又会有相应不同的详细的内容。我们在行文上将这六个规范组合成一本通用的平安

3、管理规范单独成册。全文以信息平安生命周期的方法论作为根本指点，和的内容根本都根据预防维护检测跟踪呼应恢复的实际根底行文。随着企业信息化建立的不断深化，企业对于各类信息需求也越来越紧迫，同时，企业内部的各种信息数据的重要程度也越来越高。有时由于企业信息数据的丧失或破坏对于一个企业来说影响程度是无法估计的，能够会直接导致一个企业的失败。而维护企业信息的最直接最关键的方法就是对于信息的各种电子化的载体的平安控制，比如电子电子文档或存储在数据库中的数据。因此本规范就是针对该类数据和电子文档平安上的思索，在上图信息平安总体框架中以深色底色标注的部分。为加强计算机系统的信息平安，1985年美国国防部发表了

4、缩写为TCSEC，它根据处置的信息等级采取的相应对策，划分了4类7个平安等级。按照各类、级的平安要求从低到高，依次是D、C1、C2、B1、B2、B3和A1级。在中国市场上的国外数据库平安等级为C2级，国外更高级别的数据库是限制对中国出口的目前通用规范(CC: Common Criteria) 曾经被国际规范化组织接受，替代TCSEC来评价计算机的平安等级，通用规范的EAL 3级大致与C2级的功能相当。但是中国目前的大型企业运用的数据库系统，包括中国石油内部运用的，大多数还是国外厂商消费的数据库产品，在无法购买到更平安的技术的情况下，需求经过其他的平安管理措施来加强数据库的平安特性。本规范由中国

5、石油天然气股份发布。本规范由中国石油天然气股份科技与信息管理部归口管了解释。起草部门：中国石油制定信息平安政策与规范工程组。说 明在中国石油信息平安规范中涉及以下概念：组织机构中国石油PetroChina 指中国石油天然气股份有时也称“股份公司。集团公司CNPC 指中国石油天然气集团公司有时也称“存续公司。为区分中国石油的地域公司和集团公司下属单位，但提及“存续部分时指集团公司下属的单位。如：辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网PetroChinaNet 指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的根底上，进展扩展与

6、提高所构成的衔接中国石油所属各个单位计算机局域网和园区网。集团公司网络CNPCNet 指集团公司所属范围内的网络。中国石油的一些地域公司是和集团公司下属的单位共用一个计算机网络，当提及“存续公司网络时，指存续公司运用的网络部分。主干网 是从中国石油总部衔接到各个下属各地域公司的网络部分，包括中国石油总部局域网、各个二级局域网或园区网和衔接这些网络的专线远程信道。有些单位经过拨号线路衔接到中国石油总部，不是利用专线，这样的单位和所运用的远程信道不属于中国石油公用网主干网组成部分。地域网 地域公司网络和所属单位网络的总和。这些局域网或园区网相互衔接所运用的远程信道可是专线，也可是拨号线路。局域网与

7、园区网 局域网通常指，在一座建筑中利用局域网技术和设备建立的高速网络。园区网是在一个园区例如研讨院园区、管理局基地等内多座建筑内的多个局域网，利用高速信道相互衔接起来所构成的网络。园区网所利用的设备、运转的网络协议、网络传输速度根本一样于局域网。局域网和园区网通常都是用户本人建立的。局域网和园区网与广域网不同，广域网不仅覆盖范围广，所利用的设备、运转的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建立的。二级单位网络 指地域公司下属单位的网络的总和，能够是局域网，也能够是园区网。专线与拨号线路 从连通性划分的两大类网络远程信道。专线，指数字电路、帧中继、DDN和ATM等经

8、常坚持连通形状的信道；拨号线路，指只在传送信息时才建立衔接的信道，如拨号线路或ISDN拨号线路。这些远程信道能够用来衔接不同地域的局域网或园区网，也能够用于衔接单台计算机。石油专网与公网 石油专业电信网和公共电信网的简称。最后一公里问题 建立广域网时，用户局域网或园区网衔接附近电信部门信道的最后一段间隔 的衔接问题。这段间隔 通常小于一公里，但也有大于一公里的情况。为简便，同称为最后一公里问题。涉及计算机网络的术语和定义请参见。目 录 TOC o 1-3 h z u HYPERLINK l _Toc36381 第 1 章数据和电子文档平安管理概述 PAGEREF _Toc36381 h 7 H

9、YPERLINK l _Toc36381 1.1概述 PAGEREF _Toc36381 h 7 HYPERLINK l _Toc36381 1.2目的 PAGEREF _Toc36381 h 7 HYPERLINK l _Toc36381140 1.3规范的适用范围 PAGEREF _Toc36381140 h 7 HYPERLINK l _Toc36381141 1.4规范援用的文件或规范 PAGEREF _Toc36381141 h 9 HYPERLINK l _Toc36381142 1.5术语和定义 PAGEREF _Toc36381142 h 10 HYPERLINK l _Toc

10、36381143 第 2 章电子文档平安管理规范 PAGEREF _Toc36381143 h 12 HYPERLINK l _Toc36381144 2.1电子文档主要平安问题 PAGEREF _Toc36381144 h 12 HYPERLINK l _Toc36381145 2.1.1未经授权的访问那么 PAGEREF _Toc36381145 h 12 HYPERLINK l _Toc36381146 2.1.2人员的恶意攻击 PAGEREF _Toc36381146 h 12 HYPERLINK l _Toc36381147 2.1.3授权用户的不当操作 PAGEREF _Toc36

11、381147 h 12 HYPERLINK l _Toc36381148 2.1.4电子文档的分散存储 PAGEREF _Toc36381148 h 13 HYPERLINK l _Toc36381149 2.1.5外部要素的影响 PAGEREF _Toc36381149 h 13 HYPERLINK l _Toc36381150 2.2电子文档平安管理规范 PAGEREF _Toc36381150 h 14 HYPERLINK l _Toc36381151 2.2.1电子文档的建立管理 PAGEREF _Toc36381151 h 14 HYPERLINK l _Toc36381152 2.

12、2.2电子文档的更改管理 PAGEREF _Toc36381152 h 14 HYPERLINK l _Toc36381153 2.2.3电子文档的归档管理 PAGEREF _Toc36381153 h 15 HYPERLINK l _Toc36381154 2.2.4电子文档的保管管理 PAGEREF _Toc36381154 h 15 HYPERLINK l _Toc36381155 2.2.5电子文档的运用管理 PAGEREF _Toc36381155 h 16 HYPERLINK l _Toc36381156 2.2.6电子文档的备份管理 PAGEREF _Toc36381156 h

13、16 HYPERLINK l _Toc36381157 2.2.7电子文档的定期检查 PAGEREF _Toc36381157 h 17 HYPERLINK l _Toc36381158 2.3电子文档技术维护手段 PAGEREF _Toc36381158 h 17 HYPERLINK l _Toc36381159 2.3.1加固计算机系统和网络 PAGEREF _Toc36381159 h 17 HYPERLINK l _Toc36381160 2.3.2加强对于电子文档的认证管理 PAGEREF _Toc36381160 h 18 HYPERLINK l _Toc36381161 2.3.

14、3加强对于电子文档的授权管理 PAGEREF _Toc36381161 h 18 HYPERLINK l _Toc36381162 2.3.4电子文档加密 PAGEREF _Toc36381162 h 21 HYPERLINK l _Toc36381163 2.3.5加强对电子文档日志审计管理 PAGEREF _Toc36381163 h 22 HYPERLINK l _Toc36381164 2.3.6检测恶意代码 PAGEREF _Toc36381164 h 23 HYPERLINK l _Toc36381165 第 3 章数据库平安管理规范 PAGEREF _Toc36381165 h

15、24 HYPERLINK l _Toc36381166 3.1常见的数据库平安问题 PAGEREF _Toc36381166 h 24 HYPERLINK l _Toc36381167 3.2数据库平安管理规范 PAGEREF _Toc36381167 h 26 HYPERLINK l _Toc36381168 3.2.1加固操作系统和网络 PAGEREF _Toc36381168 h 26 HYPERLINK l _Toc36381169 3.2.2数据库设置的平安管理 PAGEREF _Toc36381169 h 26 HYPERLINK l _Toc36381170 3.2.3数据库用户

16、认证管理 PAGEREF _Toc36381170 h 27 HYPERLINK l _Toc36381171 3.2.4数据库用户授权管理 PAGEREF _Toc36381171 h 28 HYPERLINK l _Toc36381172 3.2.5数据库的日志和平安审计 PAGEREF _Toc36381172 h 29 HYPERLINK l _Toc36381173 3.2.6数据库的加密管理 PAGEREF _Toc36381173 h 31 HYPERLINK l _Toc36381174 3.2.7人员培训管理 PAGEREF _Toc36381174 h 33 HYPERLI

17、NK l _Toc36381175 第 4 章数据备份管理规范 PAGEREF _Toc36381175 h 34 HYPERLINK l _Toc36381176 4.1数据备份的主要方式 PAGEREF _Toc36381176 h 34 HYPERLINK l _Toc36381177 4.1.1完全备份、增量备份和差别备份 PAGEREF _Toc36381177 h 34 HYPERLINK l _Toc36381178 4.1.2传统备份和异地备份 PAGEREF _Toc36381178 h 34 HYPERLINK l _Toc36381179 4.1.3其他备份方式 PAGE

18、REF _Toc36381179 h 36 HYPERLINK l _Toc36381180 4.2中国石油数据备份规范 PAGEREF _Toc36381180 h 38 HYPERLINK l _Toc36381181 4.2.1对数据备份的规定 PAGEREF _Toc36381181 h 38 HYPERLINK l _Toc36381182 4.2.2建立合理的备份体系 PAGEREF _Toc36381182 h 39 HYPERLINK l _Toc36381183 4.2.3数据备份过程的管理 PAGEREF _Toc36381183 h 39 HYPERLINK l _Toc

19、36381184 4.2.4中国石油备份方式相关规范 PAGEREF _Toc36381184 h 41 HYPERLINK l _Toc36381185 附录 1参考文献 PAGEREF _Toc36381185 h 42 HYPERLINK l _Toc36381186 附录 2本规范用词阐明 PAGEREF _Toc36381186 h 43数据和电子文档平安管理概述概述随着计算机和通讯技术的迅速开展，电子数据信息曾经是企业中非常重要的资产之一，电子数据信息的重要性也越来越遭到人们的关注。数据信息的表现方式通常分为两种，一种以文件的方式存在，另一种存储在数据库中。防止数据蒙受未经授权的访

20、问、恶意的读取和破坏以及非法的拷贝等等情况的发生，是维护信息平安的最终目的。信息平安其他一切的维护方式如物理环境和硬件维护，网络和操作系统的维护，运用系统的维护的最终目的都是维护数据的平安。因此本规范主要针对数据本身进展平安的规范和管理，经过对数据的两种主要的表现方式，电子文档和数据库进展维护并从数据备份的角度对数据和电子文档进展平安相关的规范。目的本规范的目的为：经过对数据和电子文档进展相应的平安管理规范，保证目前中国石油数据库和电子文档的平安。使得各种电子文档系统和数据库系统免遭未经授权的访问，从而保证中国石油相关数据信息的平安。适用范围本套规范适用的范围包括了一切和电子文档或数据库相关的

21、平安问题和平安事件。详细来说包括了电子文档相关的平安规范、数据库相关的平安规范和数据备份的平安管理规范。本规范主要讨论了和信息系统相关的数据和电子文档的平安，其他和信息系统无关的信息或文件不在本规范的讨论范围之内。本规范面向一切的和电子文档管理或数据库管理相关的人员。规范援用的文件或规范以下文件中的条款经过本规范的援用而成为本规范的条款。本规范出版时，所示版均为有效。一切规范都会被修订，运用本规范的各方应讨论运用以下规范最新版本的能够性。GB17859-1999 计算机信息系统平安维护等级划分准那么GB/T 9387-1995 信息处置系统 开放系统互连根本参考模型ISO7498 :1989G

22、A/T 391-2002 计算机信息系统平安等级维护管理要求ISO/IEC TR 13355 信息技术平安管理指南NIST信息平安系列美国国家规范技术院英国国家信息平安规范BS7799信息平安根底维护IT Baseline Protection Manual (Germany)BearingPoint Consulting 内部信息平安规范RU Secure平安技术规范信息系统平安专家丛书Certificate Information Systems Security Professional术语和定义访问控制access control 一种平安保证手段，即信息系统的资源只能由被授权实体按授

23、权方式进展访问，防止对资源的未授权运用。授权 authorization 给予权益，包括信息资源访问权的授予。审计audit 为了测试出系统的控制能否足够, 为了保证与已建立的战略和操作相符合, 为了发现平安中的破绽, 以及为了建议在控制、战略中作任何指定的改动, 而对系统记录与活动进展的独立察看。(GB9387-95)认证 authentication a. 验证用户、设备和其他实体的身份； b. 验证数据的完好性。解密 decryption 从密文中获取对应的原始数据的过程。注：可将密文再次加密，这种情况下单次解密不会产生原始明文。加密encryption 经过密码系统把明文变换为不可懂的

24、方式。完好性integrity在防止非授权用户修正或运用资源和防止授权用户不正确地修正或运用资源的情况下,信息系统中的数据与在原文档中的一样，并未蒙受偶尔或恶意的修正或破坏时所具的性质。日志log log一种信息的聚集, 记录有关对系统操作和系统运转的全部事项，提供了系统的历史情况。恶意代码 malicious code 在硬件、固件或软件中所实施的程序，其目的是执行未经授权的或有害的行动。最小权限 minimum privilege 主体的访问权限制到最低限制，即仅执行授权义务所必需的那些权益。口令password 用来鉴别实体身份的受维护或的字符串。明文 plaintext 无需利用密码技

25、术即可得出语义内容的数据。平安等级 security classification 决议防止数据或信息需求的访问的某种程度的维护，同时对该维护程度给以命名。为表示信息的不同敏感度, 按严密程度不同对信息进展层次划分的组合或集合。例：“绝密、“、“。可信计算机系统 trusted computer system 提供充分的计算机平安的信息处置系统，它允许具有不同访问权的用户并发访问数据，以及访问具有不同平安等级和平安种类的数据。HSM 硬件平安模块 Hardware Security ModuleNAS 网络附加存储 Network Attached StorageSAN 存储区域网络 Stor

26、age Area Network电子文档平安管理规范电子文档主要平安问题在当前多用户系统和网络普及的情况下，中国石油电子文档的平安问题也涉及到多个方面，目前主要的平安问题如下：未经授权的访问重要的电子文档被未经授权的用户访问到阅读、修正或删除，能够导致信息的走漏。人员的恶意攻击外部入侵者或者内部有相应权限的人员，出于某种恶意的目的对电子文档的内容进展篡改。恶意代码的攻击能够使电子文档无法运用。授权用户的不当操作即使对于用户的访问权限做了严厉的限制，但是一些重要的电子文档还是有能够被其他人获得。例如用户的可挪动存储设备的遗失，或由于管理员一时的忽略，导致访问权限的错误。在这种情况下，需求额外的机

27、制来保证这些信息内容不被非法读取，可采取的手段有电子文档的加密、电子文档口令的设置等。误操作导致重要文件被删除或者磁盘被格式化。在文件的复制过程中，由于误操作将同名文件覆盖。在电子文档的修正正程中，由于用户的误操作，使得原先内容完好的电子文档丧失。电子文档的分散存储反复存储占用空间同一个电子文档在多个共享的文件存储效力器上存在，同时每个用户处有电子文档的多个历史版本，导致磁盘空间的浪费。版本的不一致性不同用户处的同一个电子文档，由于没有及时更新等缘由，导致在不同用户处保管同一个电子文档的版本不一致，并且包含不同的内容。内容的不一致性多个用户各自在本地对同一电子文档进展了不同的修正，导致内容的不

28、一致。外部要素的影响存储电子文档的存储设备损坏，导致电子文档的损坏或丧失。在火灾、地震或者恐惧事件等特殊情况下，对数据和电子文档呵斥的破坏。电子文档平安管理电子文档的建立、更改、归档、保管、运用、备份等各个环节，都有信息更改、丧失的能够性，建立并执行一套科学、合理、严密的管理制度，从每一个环节消除信息失真的隐患，对于维护电子文档的原始性、真实性非常重要。电子文档的管理不仅注重每个阶段的结果，也要注重每项任务的详细过程，并把这些过程一一记录下来。其中有关维护信息平安方面的主要规定为：电子文档的建立管理重要电子文档的制造过程应责任清楚。每个重要电子文档都必需有主要的担任人，并对担任的电子文档负有全

29、责。重要电子文档的协作人员必需明晰界定，并严厉划分参与人员的职责。重要电子文档的建立过程必需记录下来，并明晰记录每个参与人员的职责和任务情况。电子文档的更改管理重要的电子文档一经定稿制止进展修正，除非经过必要的审批程序。一切重要的电子文档的变卦都必需记录在案。在对于重要电子文档的修正正程中，应保管电子文档的各个历史版本。可采用公用的电子文档管理软件自动方便管理电子文档的版本。对于非常重要的电子文档应运用公用的电子文档管理软件进展平安管理，以确保电子文档的版本和迁入迁出的变卦都被自动的记录在案。并在电子文档更改后自动通知该电子文档的管理员和该电子文档的一切者。电子文档的归档管理电子文档归档时应进

30、展全面、仔细的检查。电子文档原来的一切者应保证内容的完好、真实可靠。必需保证读取电子文档的软件也进展了归档。必需记录电子文档的元数据，即电子文档的阐明、构造和上下文关系等。应记录电子文档的业务和行政方面的背景数据。电子文档的担任人必需指定电子文档的保管期限，并且该保管期限不与相关的合同、法规以及中国石油的特殊规定相违背。归档的担任人也应检查电子文档的内容、确定其能否是最终版本。电子文档如有相应的纸质电子文档或其他载体的电子文档，必需保证内容一致。检查电子文档载体的物理形状、经过防病毒程序检查能否存在病毒。对于特殊的电子文档，宜将其打印成纸质电子文档或制成缩微品进展归档。电子文档的保管管理必需运

31、用可靠的存储媒体保管电子文档。一切归档的电子文档应进展写维护处置，使之处于只读形状。因软硬件平台发生改动而对电子文档进展格式转换时，应防止转换过程中的信息变化。对保管的电子文档应根据其重要程度定期每3个月进展平安性、有效性检查，发现载体和信息有损伤时，应及时采取措施，进展修复。保证电子文档保管地点的物理平安，尽量将重要的电子文档保管在物理条件较好的区域如机房或公用的资料存储室等。详细内容参见、。电子文档的运用管理电子文档入库的载体不得外借，只能以拷贝的方式提供。重要电子文档的借阅必需经过同意，电子文档的借阅者和担任人应对电子文档的借阅进展确认。对于严密级别高的电子文档，只得在指定的地方阅读或者

32、进展其它处置，不得提供相应的拷贝。电子文档的运用者在运用过程中应对电子文档的平安担任，防止泄密和数据损失。对于重要的以及非常敏感的电子文档，应提供防止再拷贝的技术措施。除公开发行的电子出版物外、对其它借出的电子文档拷贝必需按时回收。电子文档的借阅者和担任人应对电子文档的回收进展确认。应记录一切电子文档的运用情况，包括载体的类型、数量、运用时间、运用人员、最后回收期限及双方责任人员。采用网络传输等方式时，必需对重要的电子文档进展加密。对于回收的电子拷贝应进展内容消除处置。电子文档的备份管理参见本规范第四章“数据备份管理规范。电子文档的定期检查应每年一次，采用等距抽样或者随机抽样的方式进展定期检查

33、，样品数量不应少于10%应进展外观检查，例如确认载体外表能否有物理损坏或变形，外表涂层能否清洁及有无霉斑。应进展逻辑检测，采用相关软件对载体上的信息进展读写校验。发现有出错的载体，必需进展有效的修正或更新。应建立相应的维护管理电子文档，对电子文档的检测、维护、拷贝等操作过程进展记录，防止发生人为的误操作或不用要的反复劳动。应为每一份重要的电子文档建立必要的记录，记载电子文档的建立、修正、运用情况。应经过记录检查电子文档的修正历史， 确定电子文档各次修正的责任人。应经过检查记录，保证电子文档的真实性。电子文档技术维护手段加固计算机系统和网络应防止由于系统和网络的破绽导致的电子文档平安问题，详细规

34、范参见、。为防止由存储设备的物理损坏导致的危害，应对重要的电子文档采用磁盘阵列容错和冗余等措施。加强对于电子文档的认证管理操作系统必需设置相应的认证手段进入操作系统的认证，是维护电子文档平安的第一道屏障。无论是单用户的操作系统还是多用户的操作系统，必需可以提供操作系统的进入认证控制。这种控制往往是经过用户口令的方式来进展的。对于挪动设备，往往还提供了额外的认证手段。单用户操作系统必需设置CMOS口令；多用户操作系统的每个用户必需设置各自的口令；且口令必需严厉遵守相关的口令管理规范，详见。在不运用系统的时候，必需锁定计算机或者退出系统。对于操作系统的管理详见，确保操作系统的平安，从而间接地维护了

35、基于操作系统的相关电子文档。电子文档本身设置相应的认证手段对于重要的电子文档应对其本身设置相应的认证机制，常见的方法是对于电子文档进展加密以保证电子文档不会被未经授权的用户翻开。假设采用口令的方式进展加密，应保证口令的设置符合中相应的规范。加强对于电子文档的授权管理文件系统的访问权限对于多用户的系统，宜对于特定的目录和文件，设置特定的访问权限。答应的设置包括两方面的内容：允许哪些组或用户对文件夹、文件和共享资源进展访问；获得访问答应的组或用户可进展什么级别的访问。访问答应权限的设置不但适用于本地计算机的用户,同样也适用于经过网络共享文件夹对文件进展访问的操作。网络共享文件夹的认证和授权除非特别

36、必要，否那么制止在个人的计算机上设置网络文件夹共享。对于网络共享文件夹，必需严厉限制用户对文件夹的访问权限，只对必需进展访问的用户开放访问权限。网络共享文件夹必需设置口令。对于其中重要的电子文档，必需进展加密。访问权限的普通原那么权限建立 功能分别原那么：系统必需将系统管理员和普通用户的功能明晰地域分。系统管理员可分配访问权限、监视用户的访问操作，并在必要的情况下取消用户的相应权限。 授权控制：初始的权限由用户的身份及所属的组织来定义。对于用户根本权限的修正必需经过该用户的上级指点的赞同。系统管理员担任控制授权的过程。 最小权限原那么：一方面给予主体必不可少的权限，这就保证了一切的主体都能在所

37、赋予的权限之下完成所需求完成的义务或操作；另一方面，它只给予主体必不可少的权限，这就限制了每个主体所能进展的操作。缺省目录和电子文档访问权限：定义相应的配置文件，用户本人的文件缺省应不能被其他人读、修正和删除。每个用户必需仔细思索本人的文件可被哪些人访问，并且允许他们执行的操作。 用户组访问：在必要的情况下，可经过定义组来进展数据访问。这些用户组应经过业务单元、地理位置、工程、职责或者功能来定义。电子文档的一切者确定相关的组的访问权限。 缺省回绝访问：假设一个计算机或者网络的访问控制系统任务不正常，那么应最小化其上一切用户的访问权限。权限管理访问授权管理：对于任何重要电子文档的访问，必需预先得

38、到该电子文档一切者的授权，并且授予的权限仅能使他们“知道电子文档内容或者做相应的操作最小权限原那么。相关的访问记录必需根据中国石油的要求，保管相应的时间，并且符合相应的法规。 用户权限的定期检查：电子文档的管理者或一切者必需定期对其他用户对该电子文档的权限进展检查，保证用户权限是合理的。检查的时间间隔不能超越6个月。 当用户的职位发生变卦，或者任务需求改动以后，系统管理员应检查用户的访问权限，并作适宜的变动。一切电子文档访问的可清查性：经过运用完好的日志和独一的用户ID，一切的电子文档操作必需可追溯到特定的用户。 权限的删除：一旦员工分开中国石油，必需立刻删除他们的访问权限。对于其他的用户，假

39、设不再需求进展相关的访问，应将其权限收回。 权限限制 对实践系统的访问：通常情况下不得授权运用和系统开发人员访问实践运作的系统；除非确实需求，并经过上级同意，才干授予其相关权限。 管理员级别的帐户：必需严厉控制管理员和root级别的系统帐户。系统管理员权限的授予必需经过严厉的授权流程及相应的授权人员的同意，并且应严厉限制在极少数的人员之间。系统管理员必需在切换到管理员帐户前首先运用个人的普通帐户登陆。独立的子网和防火墙之间的访问必需严厉限制。跨公司的访问控制：当需求在总公司和地域公司之间，或者在地域公司之间的网络进展敏感信息的访问和传输时，这种访问必需采取以下限制：访问控制机制必需识别相应的公

40、司的身份，以及公司之间的可以进展双方赞同的操作的特定授权用户的身份。根据实践需求确定最小的访问权限。电子文档加密维护电子文档的另一个重要方法是进展电子文档加密。数据加密后，即使他人获得了相应的电子文件，也无法获得其中的内容。电子文档加密方法简单的加密方法是经过一个硬件的加密接口。它们安装在SCSI接口上，对于一切经过的数据进展硬件级的加密或者解密。数据经过加密的方式存储，并且以同样的方式解密，使得他人无法窃取存储的数据。该方法独立于软件，使得用户可运用不同的软件来管理数据的存储和备份。一些软件可在客户机上或者效力器上进展加密。客户机上的加密在客户端维护数据，防止在没有口令或者密钥的情况下访问数

41、据。效力器端的加密提供了与硬件加密方案类似的特征。当数据存储到存储设备上时，经过密码或者密钥加密。另外的方式是运用电子文档或者文件系统级的加密软件。这些软件在数据存储到硬盘时对其进展加密，防止其他人，甚至是同一个计算机系统上的用户访问这些文件。这种方式比较适宜于仅有少数的文件或者系统需求加密的情况。电子文档加密的相关规范对于多用户共用的计算机，每个用户的重要电子文档都应运用操作系统或者运用程序提供的加密机制进展加密。对于需求经过网络电子邮件等传输的重要电子文档，必需首先经过加密程序或者相应的电子文档编辑程序自带的加密功能进展加密后才干传输。对于数据和电子文档备份，可运用硬件级的加密，或者备份运

42、用程序自带的加密功能进展加密。对于网络共享文件夹中的重要文件，必需运用加密程序或者相应的电子文档编辑程序自带的加密功能进展加密。对于重要电子文档或者数据的日志，应运用操作系统或者运用程序提供的加密功能进展加密。加强对电子文档日志审计管理应运用审计战略对文件夹、文件进展审计，审计结果记录在平安日志中，经过平安日志就可查看哪些组或用户对文件夹、文件进展了什么级别的操作，从而发现系统能够面临的非法访问，并经过采取相应的措施，将这种平安隐患减到最低。对于重要的目录和电子文档，应经过操作系统提供的日志记录功能，或者其他专门的日志记录工具，记录对其的一切访问操作。对于重要电子文档和数据的日志，必需严厉限制

43、对其的访问权限，只需系统管理员和电子文档的一切者才干访问。对于重要电子文档和数据的日志，应运用日志的加密功能，防止日志被非法访问。系统管理员或者电子文档的一切者应定期检查经过专门的工具或者手工重要电子文档的日志，检查存在的异常访问或者不正常的修正。检测恶意代码恶意代码能够导致文件内容的走漏以及文件的破坏，详细规范措施请参见。数据库平安管理规范数据库是建立一切信息管理系统的根底支撑平台，在中国石油，数据库存放着各种最真实和最有价值的那部分资产能够是知识产权数据，也能够是价钱和买卖数据或者客户信息。在数据库中，这些数据作为商业信息或知识，一旦蒙受平安要挟将带来难以想象的严重后果。数据库平安是一个宽

44、广的领域，从传统的备份与恢复，认证与访问控制，到数据存贮和通讯环节的加密，它作为操作系统之上的运用平台，其平安与网络和主机平安息息相关，本规范着重从数据库平安管理和内部本身平安的角度讨论相关问题。常见的数据库平安问题计算机系统和网络的平安缺陷会导致数据库的平安问题假设数据库存储设备例如硬盘遭到损害，能够会导致数据库的损坏、暂时无法访问甚至永久性的损坏；假设操作系统和网络出现了平安问题，能够导致数据库被非法访问。数据库软件系统的缺陷购买的数据库系统本身存在平安问题。假设数据库的相应管理人员没有认识到这个问题，没有及时安装数据库软件的相应补丁，能够为系统的侵入留下通道。另外，数据库系统的缺省效力和

45、配置也能够存在着很大的隐患。未利用数据库本身的平安特征许多企业运用建立在数据库运用上，在这些企业运用中往往施加了一定的平安控制。但是这些平安措施只运用在客户端运用软件上，其它许多工具，如Microsoft Access和已有的经过OBDC或专有协议联接数据库的公用程序，它们都绕过了运用层平安。另外，用户只需知道了一个合法的帐户及密码，就可运用任何方式来访问数据。因此，独一可靠的平安功能应限定在数据库系统内部。脆弱的帐号设置在许多数据库系统中，数据库帐户往往缺乏足够的平安设置。比如，缺省的用户帐号和密码对大家都是公开的，没有被禁用或修正以防止非授权访问。缺乏角色分别传统数据库管理中并没有专门的平

46、安管理角色，这就迫使数据库管理员DBA既要担任帐号的维护管理，又要专门对数据库的执行性能和操作行为进展调试跟踪，从而导致管理效率低下。另外，这也和企业管理所倡导的“检查职能和任务职能平衡的原那么相悖。脆弱的认证和授权数据库的不同用户，由于其不同的身份和级别，应具有不同的访问控制权限。但是实践中，数据库管理员往往没有严厉区分不同用户帐号的权限，使得数据遭到非授权的访问，甚至被破坏。因此应提供机制，严厉限制不同用户对于数据库的访问和操作权限。缺乏审计跟踪数据库审计经常被DBA以提高性能或节省磁盘空间为由忽视或封锁，这大大降低了管理分析的可靠性和效能。审计跟踪对于了解哪些用户行为导致某些数据的产生和

47、修正至关重要，它将与数据直接相关的事件都记入日志，因此，监视数据访问和用户行为是最根本的管理手段。缺乏备份和恢复手段即使采取了一切的平安手段，企业数据库还是无法完全防止遭到某些不可抗力例如火灾、地震等的影响。另外用户的误操作也能够破坏数据库中的数据。假设不预先采取预防的措施，把重要的业务和运营数据备份起来，那么一旦发生这些灾难性的后果，中国石油将蒙受宏大的损失。没有对于重要的数据内容进展额外的平安控制目前中国石油的数据库普通都能经过网络进展访问，无法完全防止内部或者外部的非法访问。一旦这些数据被非法入侵者或者被不应了解的人员看到，对于中国石油的业务或者运营将会产生艰苦的危害。所以应对于重要的数

48、据采用加密等方式来防止数据库重要数据的走漏。数据库效力器没有足够的存储空间，导致数据库效力无法正常进展这是经常被忽视，但是经常会影响数据库正常运转的问题。数据库平安管理一个强大的数据库平安系统应确保其中信息的平安性并对其进展有效的控制。下面的针对数据库的平安规范有助于中国石油实现与数据库相关的业务利益保证、战略制定以及对信息资源的有效维护。加固操作系统和网络防止由于系统和网络的破绽所导致的数据库平安问题，详细规范参见、。为防止存储设备的物理损坏导致的影响，对于大型的运用应采用磁盘阵列容错和冗余等措施。数据库设置的平安管理初始的平安配置某些大型的数据库，例如Oracle，都有一些众所周知的对数据

49、库有着不同访问权限的默赖帐号和密码。在数据库的初始配置时，必需禁用这些默赖帐号或者改动其相应的密码。数据库的一些功能强大的存储过程，假设被入侵者执行，能够危害到整个系统甚至网络的平安。必需配置数据库，使得存储过程以最小需求的级别来运转。数据库系统文件假设被破坏，会导致数据的丧失甚至数据库系统的解体。必需严厉限制对数据库系统文件的读写权限。某些数据库系统需求控制或配置文件来支持其运转并维护其形状。这些文件应由数据库来控制，系统管理员和用户不需求用到这些文件，所以应制止他们对这些文件的访问。数据库补丁更新管理应定期检查平安信息站点和数据库软件供应商的网站，一旦出现新的数据库软件的补丁，在能够的情况

50、下测试其有效性，并立刻安装。详细内容请参见中的平安补丁实施管理方法。数据库角色分别管理机制对于重要的数据库系统，中国石油应在平安管理方面采用三权分立的平安管理体制，把系统管理员分为数据库管理员DBA、数据库平安管理员SSO及数据库审计员Auditor三类，并根据最小授权原那么分别授予他们为完成各自义务所需的权限。这种管理体制真正做到三权分立、各行其责、相互制约，可靠地保证了数据库的平安性。详细授权如下：数据库管理员：担任创建用户帐户；创建组；创建数据库平安管理员和审计员帐户；管理数据库系统；管理磁盘空间；修复磁盘；管理错误日志；测试系统；开启和封锁系统。数据库平安管理员：管理系统的平安机制，设

51、置、修正用户的平安属性；设置、修正数据库对象的平安属性。数据库审计员：担任建立系统审计环境、审查审计记录；选择与平安相关的事件进展审计。另外，如有必要，中国石油还可根据功能和可信任的用户群，进一步细分数据库管理的责任和角色。这样有助于灵敏处理如为员工重设密码需求管理员权限等常见问题，或委派特定管理员执行特殊部门如市场部或财务部的某些事务。 数据库用户认证管理确保每一个用户帐号对于数据库衔接来说都是必需的，禁用或删除任何不用要的帐号。进展帐号和口令的平安管理，详细规范参见中口令平安管理规范。必需严厉控制管理员级别的数据库帐户。数据库管理员权限的授予必需经过严厉的授权流程及相应的授权人员的同意，并

52、且应严厉限制在极少数的人员之中。数据库中的密码必需以加密的方式存储。数据库的帐号和密码在需求经过网络进展传输时，必需经过加密的方式进展。回绝远程的数据库管理员的访问，或者经过数据库管理系统提供的特殊措施，管理远程管理员登陆。假设用户普统统过本人的计算机访问数据库，并且每个用户的系统名和IP地址都是确定的，宜设置用户不能从其他的计算机登陆数据库。用户访问数据库终了，必需封锁相关的数据库访问的运用程序，断开与数据库的衔接。数据库用户授权管理最小权限原那么：中国石油必需本着最小权限原那么，从需求和任务职能两方面严厉限制对数据库的访问权限。不宜直接为用户赋予特定的访问权限，应经过为用户分配角色来间接控

53、制用户访问数据库的权限。假设用户的任务需求对特定的数据具有比其他人更高的访问权限，可经过建立新的具有这些权限的角色，将该角色赋予用户。经过角色将特定任务的访问功能与需求的权限相分别，从而可以独立地将某项任务的权限赋予或收回。平安管理员必需明晰了解每一个被运用的角色的权限，不可运用那些访问权限不明晰的角色。对于那些用户很多，运用程序和数据对象很丰富的数据库，应充分利用角色这个机制的方便性对权限进展有效管理。对于复杂的系统环境，角色能大大地简化权限的管理。平安管理者可决议用户组分类，为这些用户组创建用户角色，并对数据库和运用对象管理用户角色的访问权限。必需记录一切的权限建立和权限修正的过程。应根据

54、业务的需求和用户的访问权限，将数据库从逻辑上分割。如普通用户角色只能访问普通数据，市场部的用户角色可访问到销售数据，人事部的用户角色可访问到工资数据等.。应经过对于数据库对象例如表、视图、存储过程，甚至记录和字段等的授权来控制数据库的访问。应仅授予用户完成任务所需的最小权限。当用户的职位发生变卦，或者任务需求改动以后，检查用户的所需的角色权限，并作相应的改动，以满足最小权限原那么。一旦员工分开中国石油，必需立刻删除他们的用户帐户。对于其他的用户，假设相关的访问不再需求进展，应将相应角色权限收回。用户权限的定期检查：平安管理员必需定期对用户的角色权限进展检查，以保证用户的权限是合理的。检查的时间

55、间隔不能超越6个月。数据库的日志和平安审计对于数据库的审计应包括以下内容：对于数据库的胜利或者不胜利的衔接数据库的启动和封锁对数据库对象的建立和删除对数据表信息的查看、修正和删除数据库中程序的执行数据库日志中记录的信息应包括各种对数据库表及其他对象的胜利及不胜利的访问信息，至少应包括：进展操作的用户操作的时间操作的对象进展的操作除了数据库的日志，对于数据库的重要配置文件的修正也应经过日志记录。对于重要的数据内容，数据库的审计应包括对记录字段和元素一级的访问，并且应维护数据的更改日志。更改日志是数据库每次改动的记录文件，日志包括原来的值和修正后的值。数据库管理员应可根据日志吊销任何错误的修正。3

56、层的运用效力器架构添加了审计的复杂度。通常运用效力器代表用户进展数据库操作。运用效力器访问数据库时应利用用户各自的真实帐户，而不应运用代码内嵌的帐户，使其可以记录特定用户的访问日志。另外，可运用一些第三方的数据库审计或者日志工具，来提供重要数据日志，并对其进展审计。审计会影响数据库系统的性能，不应试图用最详细的级别来审计一切的数据库行为。否那么只会使数据库用户的日常运用遭到艰苦影响，并且审计数据能够会大大超越数据库中的数据，并超越系统的存储限制。对于性能要求较高，数据增长很快的大型运用，应根据数据库中的数据的重要性，确定需求对哪些数据库的对象进展哪些方面的审计。审计哪些数据库行为，以及采取哪些

57、审计方法，这些审计战略应根据人员、可疑行为的变化，或者需求对某些特定内容进展不同层次的检查而进展修正。假设存在一些时间段，用户不会进展数据库的访问，应对于这些时间的数据库衔接进展审计。这段时间的数据库访问能够代表了不正常的用户访问。数据库审计管理人员应定期每周经过工具自动或者手工分析审计日志，来发现已出现的或者潜在的数据库平安问题。数据库的加密管理数据库加密可为数据提供进一步的平安性，即使这些数据被非授权用户获得，他们也无法了解数据的真正内容。数据库中数据加密的实现方式，普通分为两种方式：运用数据库本身的加密机制当数据存储到数据库时，数据库管理系统将其进展加密，当数据从数据库读取时，将其进展解

58、密。数据库本身的加密机制的优点是：数据库本身就可完成加密的义务，对外部的运用是透明的，另外不需求额外的运用支持来满足其加密需求。但是它也有比较大的缺陷：数据库中数据读取时的加密和解密会对数据库的性能产生很大的影响；数据加密的密钥普通也存储在数据库中，入侵者只需获得数据库中密钥的访问权限，就能够将数据解密。可利用额外的硬件平安模块(HSM: Hardware Security Module)，来提供与数据库分别的密钥管理，并经过其提供一定的加解密的处置才干。当数据在数据库外运用时，由于曾经是明文的方式，需求额外对于这些数据的网络传输进展加密。利用数据库外部的运用进展加密将加密和解密的任务转移四处

59、置数据的运用中，数据在存储到数据库前就已经过独立的运用进展了加密。这种方式的益处是对于数据库效力器本身的负载影响较小，并且数据在实践运用前在网上传输的信息本身就是加密的。运用级的加密需求数据库外面运用程序的加密功能的支持，能够需求进展一定的开发任务，并且能够需求外部的平安咨询效力及产品供应商的支持，因此需求比较大的投资。在存在多个需求加密的大型运用及多个需求加密的数据库环境的情况下，可利用一个企业级的加密效力器来提供集中式的加解密效力。这样可提供比较完善的密钥管理和访问控制的机制。对于数据库加密机制的管理严厉管理密钥和加解密工具的访问手段必需对于密钥和加解密工具具有严厉的认证、授权和访问控制。

60、必需在重要信息被解密前进展严厉的用户认证。必需对于这些加解密对象的运用进展严厉的审计并记录日志。密钥的多种存放方式数据库内部的加密可把密钥存放在数据库的限制访问的单独的表上。 密钥存储的比较平安的存放方式是利用硬件进展存储，例如对于数据库的密钥运用硬件平安模块(HSM: Hardware Security Module)。密钥可存放在一个限制访问的文件中。可经过一个集中的加密效力器来进展加密和密钥的管理。对中国石油运用数据库加密的建议无论运用哪种加密技术都会对运用系统的性能有很大的影响，因此必需权衡日常业务的运转效率及数据的重要性，以确定哪些数据真正重要到需求进展数据库加密。尽量经过加强认证、