《数据和文档安全管理规范030328v3fd.docx》由会员分享,可在线阅读,更多相关《数据和文档安全管理规范030328v3fd.docx(43页珍藏版)》请在三一办公上搜索。
1、数据和文档安全管理规范030328v3fd编号:PetroChina中国石油天然气股份有限公司数据与电子文档安全管理规范(批阅稿)BearinsPoint,上3季名毕马威江咨询华博版本号:V3批阅人:王巍中国石油天然股份有F艮公司随着中国石油天然气股份有限公司(下列简称“中国石油”)信息化建设的稳步推进,信息安全日益受到中国石油的广泛关注,加强信息安全的管理与制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策与标准,并在集团内统一推广、实施。本规范是根据中国石油信息安全的现状,参照国际、国内与行业有关技术标准及规范,结合中国石油自身的应用特点,制定的适合于中国
2、石油信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全有关标准与规范,提高中国石油信息安全的技术与管理能力。信息技术安全总体框架如下(Change-highlightthecorrespondingone):侑安全技术不相I物理环埴便件将 安全管理安全管理J机房安全管M $jit据和文档 安全旅理J I安全管理宦4就瘠安 tssssss-IRHt务安全M $1)2)整体信息技术安全架构从逻辑上共分为7个部分,分别为:物理环境、硬件设备、网络、操作系统、数据与电子文档、应用系统与通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分,共有13本规范与1本通用标准。关于13个规
3、范中具有一定共性的内容我们整理出了7个标准横向贯穿整个架构,这7个标准的组合也根据了信息安全生命周期的理论模型。每个标准都会对所有的规范中有关涉及到的内容产生指导作用,但每个标准应用在不一致的规范中又会有相应不一致的具体的内容。我们在行文上将这六个标准组合成一本通用的安全管理标准单独成册。全文以信息安全生命周期的方法论作为基本指导,规范与标准的内容基本都根据预防保护一一检测跟踪一一响应恢复的理论基础行文。随着企业信息化建设的不断深入,企业关于各类信息需求也越来越紧迫,同时,企业内部的各类信息数据的重要程度也越来越高。有的时候由于企业信息数据的丢失或者破坏关于一个企业来说影响程度是无法估计的,可
4、能会直接导致一个企业的失败。而保护企业信息的最直接最关键的方法就是关于信息的各类电子化的载体的安全操纵,比如电子电子文档或者存储在数据库中的数据。因此本规范就是针对该类数据与电子文档安全上的考虑,在上图一信息安全总体框架中以深色底色标注的部分。为加强计算机系统的信息安全,1985年美国国防部发表了可信计算机系统评估准则(缩写为TCSEC),它根据处理的信息等级采取的相应计策,划分了4类7个安全等级。依照各类、级的安全要求从低到高,依次是D、Cl、C2、BUB2、B3与Al级。在中国市场上的国外数据库安全等级为C2级,国外更高级别的数据库是限制对中国出口的(目前通用标准(CC:CommonCri
5、teria)已经被国际标准化组织同意,代替TCSEC来评价计算机的安全等级,通用标准的EAL3级大致与C2级的功能相当)。但是中国目前的大型企业使用的数据库系统,包含中国石油内部使用的,大多数还是国外厂商生产的数据库产品,在无法购买到更安全的技术的情况下,需要通过其他的安全管理措施来加强数据库的安全特性。本规范由中国石油天然气股份有限公司公布。本规范由中国石油天然气股份有限公司科技与信息管理部归口管懂得释。起草部门:中国石油制定信息安全政策与标准项目组。在中国石油信息安全标准中涉及下列概念:组织机构中国石油(PetroChina)指中国石油天然气股份有限公司有的时候也称“股份公司二集团公司(C
6、NPC)指中国石油天然气集团公司有的时候也称“存续公司”。为区分中国石油的地区公司与集团公司下属单位,但提及“存续部分”时指集团公司下属的单位。如:辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网(PetroChinaNet)指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上,进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网与园区网。集团公司网络(CNPCNet)指集团公司所属范围内的网络。中国石油的一些地区公司是与集团公司下属的单位共用一个计算机网络,当提及“存续公司网络”时,指存续公司使用的网络部分。主干网是从中国
7、石油总部连接到各个下属各地区公司的网络部分,包含中国石油总部局域网、各个二级局域网(或者园区网)与连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总部,不是利用专线,这样的单位与所使用的远程信道不属于中国石油专用网主干网构成部分。地区网地区公司网络与所属单位网络的总与。这些局域网或者园区网互相连接所使用的远程信道但是专线,也但是拨号线路。局域网与园区网局域网通常指,在一座建筑中利用局域网技术与设备建设的高速网络。园区网是在一个园区(比如研究院园区、管理局基地等)内多座建筑内的多个局域网,利用高速信道互相连接起来所构成的网络。园区网所利用的设备、运行的网络协议、网络传输速度基本相同
8、于局域网。局域网与园区网通常都是用户自己建设的。局域网与园区网与广域网不一致,广域网不仅覆盖范围广,所利用的设备、运行的协议、传送速率都与局域网与园区网不一致。传输信息的信道通常都是电信部门建设的。二级单位网络指地区公司下属单位的网络的总与,可能是局域网,也可能是园区网。专线与拨号线路从连通性划分的两大类网络远程信道。专线,指数字电路、帧中继、DDN与ATM等经常保持连通状态的信道;拨号线路,指只在传送信息时才建立连接的信道,如电话拨号线路或者ISDN拨号线路。这些远程信道可能用来连接不一致地区的局域网或者园区网,也可能用于连接单台计算机。石油专网与公网石油专业电信网与公共电信网的简称。最后一
9、公里问题建设广域网时,用户局域网或者园区网连接邻近电信部门信道的最后一段距离的连接问题。这段距离通常小于一公里,但也有大于一公里的情况。为简便,同称之最后一公里问题。涉及计算机网络的术语与定义请参见中国石油局域网标准。第1章数据与电子文档安全管理概述71.1概述71.2 目标71.3 规范的适用范围71.4 规范引用的文件或者标准81.5 术语与定义9第2章电子文档安全管理规范112.1 电子文档要紧安全问题112.1.1 未经授权的访问则112.1.2 人员的恶意攻击112.1.3 授权用户的不当操作112.1.4 电子文档的分散存储122.1.5 外部因素的影响122.2 电子文档安全管理
10、规范132.2.1 电子文档的建立管理132.2.2 电子文档的更换管理132.2.3 电子文档的归档管理142.2.4 电子文档的保管管理142.2.5 电子文档的使用管理152.2.6 电子文档的备份管理152.2.7 电子文档的定期检查162.3 电子文档技术保护手段162.3.1 加固计算机系统与网络162.3.2 加强关于电子文档的认证管理172.3.3 加强关于电子文档的授权管理172.3.4 电子文档加密202.3.5 加强对电子文档日志审计管理212.3.6 检测恶意代码22第3章数据库安全管理规范233.1 常见的数据库安全问题233.2 数据库安全管理规范253.2.1 加
11、固操作系统与网络253.2.2 数据库设置的安全管理253.2.3 数据库用户认证管理263.2.4 数据库用户授权管理273.2.5 数据库的日志与安全审计283.2.6 数据库的加密管理303.2.7 人员培训管理32第4章数据备份管理规范334.1 数据备份的要紧方式334.1.1 完全备份、增量备份与差异备份334.1.2 传统备份与异地备份334.1.3 其他备份方式354.2 中国石油数据备份规范374.2.1 对数据备份的规定374.2.2 建立合理的备份体系384.2.3 数据备份过程的管理394.2.4 中国石油备份方式有关规范40附录1参考文献41附录2本规范用词说明43第
12、1章数据与电子文档安全管理概述1.1 概述随着计算机与通讯技术的迅速进展,电子数据信息已经是企业中非常重要的资产之一,电子数据信息的重要性也越来越受到人们的关注。数据信息的表现形式通常分为两种,一种以文件的形式存在,另一种存储在数据库中。防止数据遭受未经授权的访问、恶意的读取与破坏与非法的拷贝等等情况的发生,是保护信息安全的最终目的。信息安全其他所有的保护方式如物理环境与硬件保护,网络与操作系统的保护,应用系统的保护的最终目的都是保护数据的安全。因此本规范要紧针对数据本身进行安全的规范与管理,通过对数据的两种要紧的表现形式,电子文档与数据库进行保护并从数据备份的角度对数据与电子文档进行安全有关
13、的规范。1.2 目标本规范的目标为:通过对数据与电子文档进行相应的安全管理规范,保证目前中国石油数据库与电子文档的安全。使得各类电子文档系统与数据库系统免遭未经授权的访问,从而保证中国石油有关数据信息的安全。1.3 适用范围本套规范适用的范围包含了所有与电子文档或者数据库有关的安全问题与安全事件。具体来说包含了电子文档有关的安全规范、数据库有关的安全规范与数据备份的安全管理规范。本规范要紧讨论了与信息系统有关的数据与电子文档的安全,其他与信息系统无关的信息或者文件不在本规范的讨论范围之内。本规范面向所有的与电子文档管理或者数据库管理有关的人员。1.4 规范引用的文件或者标准下列文件中的条款通过
14、本标准的引用而成为本标准的条款。本标准出版时,所示版均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。1. GB17859-1999计算机信息系统安全保护等级划分准则2. GB/T9387-1995信息处理系统开放系统互连基本参考模型(ISO7498:1989)3. GA/T391-2002计算机信息系统安全等级保护管理要求4. ISO/IECTR13355信息技术安全管理指南5. NlST信息安全系列美国国家标准技术院6. 英国国家信息安全标准BS77997. 信息安全基础保护ITBaselineProtectionManual(Germany)8. Bear
15、ingPointConsulting内部信息安全标准9. RUSecure安全技术标准10. 信息系统安全专家丛书CertificateInformationSystemsSecurityProfessional1.5 术语与定义访问操纵accesSControl一种安全保证手段,即信息系统的资源只能由被授权实体按授权方式进行访问,防止对资源的未授权使用。授权authorization给予权利,包含信息资源访问权的授予。审计audit为了测试出系统的操纵是否足够,为了保证与己建立的策略与操作相符合,为了发现安全中的漏洞,与为了建议在操纵、策略中作任何指定的改变,而对系统记录与活动进行的独立观察
16、。(GB9387-95)认证authenticationa.验证用户、设备与其他实体的身份;b.验证数据的完整性。解密decryption从密文中获取对应的原始数据的过程。注:可将密文再次加密,这种情况下单次解密不可能产生原始明文。加密encryption通过密码系统把明文变换为不可懂的形式。完整性integrity在防止非授权用户修改或者使用资源与防止授权用户不正确地修改或者使用资源的情况下,信息系统中的数据与在原文档中的相同,并未遭受偶然或者恶意的修改或者破坏时所具的性质。日志IogIog一种信息的汇合,记录有关对系统操作与系统运行的全部事项,提供了系统的历史状况。恶意代码maliciou
17、scode在硬件、固件或者软件中所实施的程序,其目的是执行未经授权的或者有害的行动。最小权限minimumprivilege主体的访问权限制到最低限度,即仅执行授权任务所必需的那些权利。口令password用来鉴别实体身份的受保护或者秘密的字符串。明文plaintext无需利用密码技术即可得出语义内容的数据。安全等级securityclassification决定防止数据或者信息需求的访问的某种程度的保护,同时对该保护程度给以命名。为表示信息的不一致敏感度,按保密程度不一致对信息进行层次划分的组合或者集合。例:“绝密”、“机密”、“秘密”。可信计算机系统trustedcomputersyste
18、m提供充分的计算机安全的信息处理系统,它同意具有不一致访问权的用户并发访问数据,与访问具有不一致安全等级与安全种类的数据。HSM硬件安全模块HardwareSecurityModuleNAS网络附加存储NetworkAttachedStorageSAN存储区域网络StorageAreaNetwork第2章电子文档安全管理规范2.1 电子文档要紧安全问题在当前多用户系统与网络普及的情况下,中国石油电子文档的安全问题也涉及到多个方面,目前要紧的安全问题如下:2.1.1 未经授权的访问重要的电子文档被未经授权的用户访问到(阅读、修改或者删除),可能导致信息的泄漏。2.1.2 人员的恶意攻击a)外部入
19、侵者或者者内部有相应权限的人员,出于某种恶意的目的对电子文档的内容进行篡改。b)恶意代码的攻击可能使电子文档无法使用。2.1.3 授权用户的不当操作a)即使关于用户的访问权限做了严格的限制,但是一些重要的电子文档还是有可能被其他人获得。比如用户的可移动存储设备的遗失,或者由于管理员一时的疏忽,导致访问权限的错误。在这种情况下,需要额外的机制来保证这些信息内容不被非法读取,可采取的手段有电子文档的加密、电子文档口令的设置等。b)误操作导致重要文件被删除或者者磁盘被格式化。c)在文件的复制过程中,由于误操作将同名文件覆盖。d)在电子文档的修改过程中,由于用户的误操作,使得原先内容完整的电子文档丢失
20、。2.1.4 电子文档的分散存储a)重复存储占用空间一一同一个电子文档在多个共享的文件存储服务器上存在,同时每个用户处有电子文档的多个历史版本,导致磁盘空间的浪费。b)版本的不一致性不一致用户处的同一个电子文档,由于没有及时更新等原因,导致在不一致用户处储存同一个电子文档的版本不一致,同时包含不一致的内容。c)内容的不一致性一多个用户各自在本地对同一电子文档进行了不一致的修改,导致内容的不一致。2.1.5 外部因素的影响a)存储电子文档的存储设备损坏,导致电子文档的损坏或者丢失。b)在火灾、地震或者者恐怖事件等特殊情况下,对数据与电子文档造成的破坏。2.2 电子文档安全管理电子文档的建立、更换
21、、归档、保管、使用、备份等各个环节,都有信息更换、丢失的可能性,建立并执行一套科学、合理、严密的管理制度,从每一个环节消除信息失确实隐患,关于保护电子文档的原始性、真实性十分重要。电子文档的管理不仅注重每个阶段的结果,也要重视每项工作的具体过程,并把这些过程一一记录下来。其中有关保护信息安全方面的要紧规定为:2.2.1 电子文档的建立管理a)重要电子文档的制作过程应责任分明。b)每个重要电子文档都务必有要紧的负责人,并对负责的电子文档负有全责。c)重要电子文档的合作人员务必清晰界定,并严格划分参与人员的职责。d)重要电子文档的建立过程务必记录下来,并清晰记录每个参与人员的职责与工作情况。2.2
22、.2 电子文档的更换管理a)重要的电子文档一经定稿禁止进行修改,除非通过必要的审批程序。b)所有重要的电子文档的变更都务必记录在案。c)在关于重要电子文档的修改过程中,应储存电子文档的各个历史版本。可使用专用的电子文档管理软件自动方便管理电子文档的版本。d)关于十分重耍的电子文档应使用专用的电子文档管理软件进行安全管理,以确保电子文档的版本与迁入迁出的变更都被自动的记录在案。并在电子文档更换后自动通知该电子文档的管理员与该电子文档的所有者。2.2.3 电子文档的归档管理a)电子文档归档时应进行全面、认确实检查。b)电子文档原先的所有者应保证内容的完整、真实可靠。c)务必保证读取电子文档的软件也
23、进行了归档。d)务必记录电子文档的元数据,即电子文档的说明、结构与上下文关系等。e)应记录电子文档的业务与行政方面的背景数据。f)电子文档的负责人务必指定电子文档的储存期限,同时该储存期限不与有关的合同、法规与中国石油的特殊规定相违背。g)归档的负责人也应检查电子文档的内容、确定其是否是最终版本。h)电子文档如有相应的纸质电子文档或者其他载体的电子文档,务必保证内容一致。i)检查电子文档载体的物理状态、通过防病毒程序检查是否存在病毒。j)关于特殊的电子文档,宜将其打印成纸质电子文档或者制成缩微品进行归档。2.2.4 电子文档的保管管理a)务必使用可靠的存储媒体保管电子文档。b)所有归档的电子文
24、档应进行写保护处理,使之处于只读状态。c)因软硬件平台发生改变而对电子文档进行格式转换时,应防止转换过程中的信息变化。d)对储存的电子文档应根据其重要程度定期(每3个月)I进行安全性、有效性检查,发现载体与信息有损伤时,应及时采取措施,进行修复。e)保证电子文档储存地点的物理安全,尽量将重要的电子文档储存在物理条件较好的区域如机房或者专用的资料存储室等。具体内容参见机房安全管理规范、区域安全管理规范。2.2.5 电子文档的使用管理a)电子文档入库的载体不得外借,只能以拷贝的形式提供。b)重要电子文档的借阅务必通过批准,电子文档的借阅者与负责人应对电子文档的借阅进行确认。c)关于保密级别高的电子
25、文档,只得在指定的地方阅读或者者进行其它处理,不得提供相应的拷贝。d)电子文档的使用者在使用过程中应对电子文档的安全负责,防止泄密与数据缺失。e)关于重要的与非常敏感的电子文档,应提供防止再拷贝的技术措施。f)除公开发行的电子出版物外、对其它借出的电子文档拷贝务必按时回收。电子文档的借阅者与负责人应对电子文档的回收进行确认。g)应记录所有电子文档的使用情况,包含载体的类型、数量、使用时间、使用人员、最后回收期限及双方责任人员。h)使用网络传输等方式时,务必对重要的电子文档进行加密。i)关于回收的电子拷贝应进行内容消除处理。2.2.6 电子文档的备份管理参见本规范第四章“数据备份管理规范”。2.
26、2.7 电子文档的定期检查a)应每年一次,使用等距抽样或者者随机抽样的方式进行定期检查,样品数量不应少于10%b)应进行外观检查,比如确认载体表面是否有物理损坏或者变形,外表涂层是否清洁及有无霉斑。c)应进行逻辑检测,使用有关软件对载体上的信息进行读写校验。发现有出错的载体,务必进行有效的修正或者更新。d)应建立相应的保护管理电子文档,对电子文档的检测、保护、拷贝等操作过程进行记录,避免发生人为的误操作或者不必要的重复劳动。e)应为每一份重要的电子文档建立必要的记录,记载电子文档的建立、修改、使用情况。D应通过记录检查电子文档的修改历史,确定电子文档各次修改的责任人。g)应通过检查记录,保证电
27、子文档的真实性。2.3 电子文档技术保护手段2.3.1 加固计算机系统与网络a)应防止由于系统与网络的漏洞导致的电子文档安全问题,具体规范参见操作系统安全管理规范、网络安全管理规范。b)为防止由存储设备的物理损坏导致的危害,应对重要的电子文档使用磁盘阵列容错与冗余等措施。2.3.2 加强关于电子文档的认证管理2.3.2.1 操作系统务必设置相应的认证手段进入操作系统的认证,是保护电子文档安全的第一道屏障。不管是单用户的操作系统还是多用户的操作系统,务必能够提供操作系统的进入认证操纵。这种操纵往往是通过用户口令的方式来进行的。关于移动设备,往往还提供了额外的认证手段。a)单用户操作系统务必设置C
28、MoS口令;b)多用户操作系统的每个用户务必设置各自的口令;且口令务必严格遵守有关的口令管理规范,详见口令管理标准。c)在不使用系统的时候,务必锁定计算机或者者退出系统。d)关于操作系统的管理详见操作系统安全管理规范,确保操作系统的安全,从而间接地保护了基于操作系统的有关电子文档。2.3.2.2 电子文档本身设置相应的认证手段关于重要的电子文档应对其本身设置相应的认证机制,常见的方法是关于电子文档进行加密以保证电子文档不可能被未经授权的用户打开。假如使用口令的方式进行加密,应保证口令的设置符合口令管理标准中相应的规范。2.3.3 加强关于电子文档的授权管理2.3.3.1 文件系统的访问权限a)
29、关于多用户的系统,宜关于特定的目录与文件,设置特定的访问权限。许可的设置包含两方面的内容:同意什么组或者用户对文件夹、文件与共享资源进行访问;获得访问许可的组或者用户可进行什么级别的访问。b)访问许可权限的设置不但适用于本地计算机的用户,同样也适用于通过网络共享文件夹对文件进行访问的操作。2.3.3.2 网络共享文件夹的认证与授权a)除非特别必要,否则禁止在个人的计算机上设置网络文件夹共享。b)关于网络共享文件夹,务必严格限制用户对文件夹的访问权限,只对务必进行访问的用户开放访问权限。c)网络共享文件夹务必设置口令。d)关于其中重要的电子文档,务必进行加密。2.3.3.3 访问权限的通常原则2
30、.3.3.3.1权限建立a)功能分离原则:系统务必将系统管理员与普通用户的功能清晰地区分。系统管理员可分配访问权限、监督用户的访问操作,并在必要的情况下取消用户的相应权限。b)授权操纵:初始的权限由用户的身份及所属的组织来定义。关于用户基本权限的修改务必通过该用户的上级领导的同意。系统管理员负责操纵授权的过程。c)最小权限原则:一方面给予主体“必不可少”的权限,这就保证了所有的主体都能在所给予的权限之下完成所需要完成的任务或者操作;另一方面,它只给予主体“必不可少”的权限,这就限制了每个主体所能进行的操作。d)缺省目录与电子文档访问权限:定义相应的配置文件,用户自己的文件缺省应不能被其他人读、
31、修改与删除。每个用户务必认真考虑自己的文件可被什么人访问,同时同意他们执行的操作。e)用户组访问:在必要的情况下,可通过定义组来进行数据访问。这些用户组应通过业务单元、地理位置、项目、职责或者者功能来定义。电子文档的所有者确定有关的组的访问权限。f)缺省拒绝访问:假如一个计算机或者者网络的访问操纵系统工作不正常,那么应最小化其上所有用户的访问权限。2.3.3.3.2权限管理a)访问授权管理:关于任何重要电子文档的访问,务必预先得到该电子文档所有者的授权,同时授予的权限仅能使他们“明白电子文档内容或者者做相应的操作”(最小权限原则)。有关的访问记录务必根据中国石油的要求,储存相应的时间,同时符合
32、相应的法规。b)用户权限的定期检查:电子文档的管理者或者所有者务必定期对其他用户对该电子文档的权限进行检查,保证用户权限是合理的。检查的时间间隔不能超过债个月c)当用户的职位发生变更,或者者工作需要改变以后,系统管理员应检查用户的访问权限,并作合适的变动。d)所有电子文档访问的可追究性:通过使用完整的日志与唯一的用户ID,所有的电子文档操作务必可追溯到特定的用户。e)权限的删除:一旦员工离开中国石油,务必立即删除他们的访问权限。关于其他的用户,假如不再需要进行有关的访问,应将其权限收回。2.3.3.3.3权限限制a)对实际系统的访问:通常情况下不得授权应用与系统开发人员访问实际运作的系统;除非
33、确实需要,并通过上级批准,才能授予其有关权限。b)管理员级别的帐户:务必严格操纵管理员与root级别的系统帐户。系统管理员权限的授予务必通过严格的授权流程及相应的授权人员的批准,同时应严格限制在极少数的人员之间。系统管理员务必在切换到管理员帐户前首先使用个人的普通帐户登陆。C)独立的子网与防火墙之间的访问务必严格限制。d)跨公司的访问操纵:当需要在总公司与地区公司之间,或者者在地区公司之间的网络进行敏感信息的访问与传输时,这种访问务必采取下列限制:访问操纵机制务必识别相应的公司的身份,与公司之间的能够进行双方同意的操作的特定授权用户的身份。根据实际需要确定最小的访问权限。2.3.4 电子文档加
34、密保护电子文档的另一个重要方法是进行电子文档加密。数据加密后,即使别人获得了相应的电子文件,也无法获得其中的内容。2.3.4.1 电子文档加密方法a)简单的加密方法是通过一个硬件的加密接口。它们安装在SCSl接口上,关于所有通过的数据进行硬件级的加密(或者者解密)。数据通过加密的形式存储,同时以同样的方式解密,使得别人无法窃取存储的数据。该方法独立于软件,使得用户可使用不一致的软件来管理数据的存储与备份。b)一些软件可在客户机上或者者服务器上进行加密。客户机上的加密在客户端保护数据,防止在没有口令或者者密钥的情况下访问数据。服务器端的加密提供了与硬件加密方案相似的特征。当数据存储到存储设备上时
35、,通过密码或者者密钥加密。c)另外的方式是使用电子文档或者者文件系统级的加密软件。这些软件在数据存储到硬盘时对其进行加密,防止其他人,甚至是同一个计算机系统上的用户访问这些文件。这种方式比较适合于仅有少数的文件或者者系统需要加密的情况。2.3.4.2 电子文档加密的有关规范a)关于多用户共用的计算机,每个用户的重要电子文档都应使用操作系统或者者应用程序提供的加密机制进行加密。b)关于需要通过网络(电子邮件等)传输的重要电子文档,务必首先通过加密程序或者者相应的电子文档编辑程序自带的加密功能进行加密后才能传输。c)关于数据与电子文档备份,可使用硬件级的加密,或者者备份应用程序自带的加密功能进行加
36、密。d)关于网络共享文件夹中的重要文件,务必使用加密程序或者者相应的电子文档编辑程序自带的加密功能进行加密。e)关于重要电子文档或者者数据的日志,应使用操作系统或者者应用程序提供的加密功能进行加密。2.3.5 加强对电子文档日志审计管理应使用审计策略对文件夹、文件进行审计,审计结果记录在安全日志中,通过安全日志就可查看什么组或者用户对文件夹、文件进行了什么级别的操作,从而发现系统可能面临的非法访问,并通过采取相应的措施,将这种安全隐患减到最低。a)关于重要的目录与电子文档,应通过操作系统提供的日志记录功能,或者者其他专门的日志记录工具,记录对其的所有访问操作。b)关于重要电子文档与数据的日志,
37、务必严格限制对其的访问权限,只有系统管理员与电子文档的所有者才能访问。c)关于重要电子文档与数据的日志,应使用日志的加密功能,防止日志被非法访问。d)系统管理员或者者电子文档的所有者应定期检查(通过专门的工具或者者手工)重要电子文档的日志,检查存在的特殊访问或者者不正常的修改。2.3.6 检测恶意代码恶意代码可能导致文件内容的泄漏与文件的破坏,具体规范措施请参见防御恶意代码与计算机犯罪管理规范。第3章数据库安全管理规范数据库是建立一切信息管理系统的基础支撑平台,在中国石油,数据库存放着各类最真实与最有价值的那部分资产一一可能是知识产权数据,也可能是价格与交易数据或者者客户信息。在数据库中,这些
38、数据作为商业信息或者知识,一旦遭受安全威胁将带来难以想象的严重后果。数据库安全是一个广阔的领域,从传统的备份与恢复,认证与访问操纵,到数据存贮与通信环节的加密,它作为操作系统之上的应用平台,其安全与网络与主机安全息息有关,本规范着重从数据库安全管理与内部自身安全的角度讨论有关问题。3.1 常见的数据库安全问题a)计算机系统与网络的安全缺陷会导致数据库的安全问题一一假如数据库存储设备(比如硬盘)受到损害,可能会导致数据库的损坏、暂时无法访问甚至永久性的损坏;假如操作系统与网络出现了安全问题,可能导致数据库被非法访问。b)数据库软件系统的缺陷购买的数据库系统本身存在安全问题。假如数据库的相应管理人
39、员没有意识到这个问题,没有及时安装数据库软件的相应补丁,可能为系统的侵入留下通道。另外,数据库系统的缺省服务与配置也可能存在着很大的隐患。c)未利用数据库本身的安全特征一一许多企业应用建立在数据库应用上,在这些企业应用中往往施加了一定的安全操纵。但是这些安全措施只应用在客户端应用软件上,其它许多工具,如MicrosoftAccess与己有的通过OBDC或者专有协议联接数据库的公用程序,它们都绕过了应用层安全。另外,用户只要明白了一个合法的帐户及密码,就可使用任何方式来访问数据。因此,唯一可靠的安全功能应限定在数据库系统内部。d)脆弱的帐号设置一一在许多数据库系统中,数据库帐户往往缺乏足够的安全
40、设置。比如,缺省的用户帐号与密码对大家都是公开的,没有被禁用或者修改以防止非授权访问。e)缺乏角色分离一一传统数据库管理中并没有专门的安全管理角色,这就迫使数据库管理员(DBA)既要负责帐号的保护管理,又要专门对数据库的执行性能与操作行为进行调试跟踪,从而导致管理效率低下。另外,这也与企业管理所倡导的“检查职能与工作职能平衡”的原则相悖。D脆弱的认证与授权一一数据库的不一致用户,由于其不一致的身份与级别,应具有不一致的访问操纵权限。但是实际中,数据库管理员往往没有严格区分不一致用户帐号的权限,使得数据受到非授权的访问,甚至被破坏。因此应提供机制,严格限制不一致用户关于数据库的访问与操作权限。g
41、)缺乏审计跟踪数据库审计经常被DBA以提高性能或者节约磁盘空间为由忽视或者关闭,这大大降低了管理分析的可靠性与效力。审计跟踪关于熟悉什么用户行为导致某些数据的产生与修改至关重要,它将与数据直接有关的事件都记入日志,因此,监视数据访问与用户行为是最基本的管理手段。h)缺乏备份与恢复手段一一即使采取了所有的安全手段,企业数据库还是无法完全避免受到某些不可抗力(比如火灾、地震等)的影响。另外用户的误操作也可能破坏数据库中的数据。假如不预先采取预防的措施,把重要的业务与经营数据备份起来,那么一旦发生这些灾难性的后果,中国石油将遭受巨大的缺失。i)没有关于重要的数据内容进行额外的安全操纵一一目前中国石油
42、的数据库通常都能通过网络进行访问,无法完全避免内部或者者外部的非法访问。一旦这些数据被非法入侵者或者者被不应熟悉的人员看到,关于中国石油的业务或者者经营将会产生重大的危害。因此应关于重要的数据使用加密等方式来防止数据库重耍数据的泄漏。j)数据库服务器没有足够的存储空间,导致数据库服务无法正常进行一一这是常常被忽视,但是经常会影响数据库正常运行的问题。3.2 数据库安全管理一个强大的数据库安全系统应确保其中信息的安全性并对其进行有效的操纵。下面的针对数据库的安全规范有助于中国石油实现与数据库有关的业务利益保障、策略制订与对信息资源的有效保护。3.2.1 加固操作系统与网络防止由于系统与网络的漏洞
43、所导致的数据库安全问题,具体规范参见操作系统安全管理规范、网络安全管理规范。为防止存储设备的物理损坏导致的影响,关于大型的应用应使用磁盘阵列容错与冗余等措施。3.2.2 数据库设置的安全管理3.2.2.1 初始的安全配置a)某些大型的数据库,比如OraCle,都有一些众所周知的对数据库有着不一致访问权限的默认帐号与密码。在数据库的初始配置时,务必禁用这些默认帐号或者者改变其相应的密码。b)数据库的一些功能强大的存储过程,假如被入侵者执行,可能危害到整个系统甚至网络的安全。务必配置数据库,使得存储过程以最小需要的级别来运行。c)数据库系统文件假如被破坏,会导致数据的丢失甚至数据库系统的崩溃。务必
44、严格限制对数据库系统文件的读写权限。d)某些数据库系统需要操纵或者配置文件来支持其运行并保护其状态。这些文件应由数据库来操纵,系统管理员与用户不需要用到这些文件,因此应禁止他们对这些文件的访问。3.2.2.2 数据库补丁更新管理应定期检查安全信息站点与数据库软件供应商的网站,一旦出现新的数据库软件的补丁,在可能的情况下测试其有效性,并立即安装。全面内容请参见内容安全管理标准中的安全补丁实施管理办法。3.2.2.3 数据库角色分离管理机制a)关于重要的数据库系统,中国石油应在安全管理方面使用三权分立的安全管理体制,把系统管理员分为数据库管理员DBA、数据库安全管理员SSo及数据库审计员AUdit
45、Or三类,并根据最小授权原则分别授予他们为完成各自任务所需的权限。这种管理体制真正做到三权分立、各行其责、相互制约,可靠地保证了数据库的安全性。具体授权如下:数据库管理员:负责创建用户帐户;创建组;创建数据库安全管理员与审计员帐户;管理数据库系统;管理磁盘空间;修复磁盘;管理错误日志;测试系统;开启与关闭系统。数据库安全管理员:管理系统的安全机制,设置、修改用户的安全属性;设置、修改数据库对象的安全属性。数据库审计员:负责建立系统审计环境、审查审计记录;选择与安全有关的事件进行审计。b)另外,如有必要,中国石油还可根据功能与可信赖的用户群,进一步细分数据库管理的责任与角色。这样有助于灵活解决如
46、为员工重设密码(需要管理员权限)等常见问题,或者委派特定管理员执行特殊部门(如市场部或者财务部)的某些事务。3.2.3 数据库用户认证管理a)确保每一个用户帐号关于数据库连接来说都是务必的,禁用或者删除任何不必要的帐号。b)进行帐号与口令的安全管理,具体规范参见通用安全管理标准中口令安全管理标准。C)务必严格操纵管理员级别的数据库帐户。数据库管理员权限的授予务必通过严格的授权流程及相应的授权人员的批准,同时应严格限制在极少数的人员之中。d)数据库中的密码务必以加密的形式存储。e)数据库的帐号与密码在需要通过网络进行传输时,务必通过加密的方式进行。D拒绝远程的数据库管理员的访问,或者者通过数据库
47、管理系统提供的特殊措施,管理远程管理员登陆。g)假如用户通常通过自己的计算机访问数据库,同时每个用户的系统名与IP地址都是确定的,宜设置用户不能从其他的计算机登陆数据库。h)用户访问数据库结束,务必关闭有关的数据库访问的应用程序,断开与数据库的连接。3.2.4 数据库用户授权管理a)最小权限原则:中国石油务必本着“最小权限”原则,从需求与工作职能两方面严格限制对数据库的访问权限。b)不宜直接为用户给予特定的访问权限,应通过为用户分配角色来间接操纵用户访问数据库的权限。假如用户的工作需要对特定的数据具有比其他人更高的访问权限,可通过建立新的具有这些权限的角色,将该角色给予用户。通过角色将特定工作的访问功能与需要的权限相分离,从而能够独立地将某项工作的权限给予或者收回。安全管理员务必清晰熟悉每一个被使用的角色的权限,不可使用那些访问权限不清晰的角色。关于那些用户很多,应用程序与数据对象很丰富的数据库,应充分利用角色这个机