数据和文档安全管理规范.doc
《数据和文档安全管理规范.doc》由会员分享,可在线阅读,更多相关《数据和文档安全管理规范.doc(50页珍藏版)》请在咨信网上搜索。
1、中国石油信息安全标准编号:中国石油天然气股份有限公司数据和电子文档安全管理规范(审阅稿)版本号:V3审阅人:王巍中国石油天然股份有限公司前 言随着中国石油天然气股份有限公司(以下简称“中国石油”)信息化建设的稳步推动,信息安全日益受到中国石油的广泛关注,加强信息安全的管理和制度无疑成为信息化建设得以顺利实行的重要保障。中国石油需要建立统一的信息安全管理政策和标准,并在集团内统一推广、实行。本规范是依据中国石油信息安全的现状,参照国际、国内和行业相关技术标准及规范,结合中国石油自身的应用特点,制定的适合于中国石油信息安全的标准与规范。目的在于通过在中国石油范围内建立信息安全相关标准与规范,提高中
2、国石油信息安全的技术和管理能力。信息技术安全总体框架如下(change-highlight the corresponding one):1) 整体信息技术安全架构从逻辑上共分为7个部分,分别为:物理环境、硬件设备、网络、操作系统、数据和电子文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分,共有13本规范和1本通用标准。2) 对于13个规范中具有一定共性的内容我们整理出了7个标准横向贯穿整个架构,这7个标准的组合也依据了信息安全生命周期的理论模型。每个标准都会对所有的规范中相关涉及到的内容产生指导作用,但每个标准应用在不同的规范中又会有相应不同的具体的内容。我们在
3、行文上将这六个标准组合成一本通用的安全管理标准单独成册。3) 全文以信息安全生命周期的方法论作为基本指导,规范和标准的内容基本都根据防止保护检测跟踪响应恢复的理论基础行文。随着公司信息化建设的不断进一步,公司对于各类信息需求也越来越紧迫,同时,公司内部的各种信息数据的重要限度也越来越高。有时由于公司信息数据的丢失或破坏对于一个公司来说影响限度是无法估计的,也许会直接导致一个公司的失败。而保护公司信息的最直接最关键的方法就是对于信息的各种电子化的载体的安全控制,比如电子电子文档或存储在数据库中的数据。因此本规范就是针对该类数据和电子文档安全上的考虑,在上图信息安全总体框架中以深色底色标注的部分。
4、为加强计算机系统的信息安全,1985年美国国防部发表了可信计算机系统评估准则(缩写为TCSEC),它依据解决的信息等级采用的相应对策,划分了4类7个安全等级。依照各类、级的安全规定从低到高,依次是D、C1、C2、B1、B2、B3和A1级。在中国市场上的国外数据库安全等级为C2级,国外更高级别的数据库是限制对中国出口的(目前通用标准(CC: Common Criteria) 已经被国际标准化组织接受,代替TCSEC来评价计算机的安全等级,通用标准的EAL 3级大体与C2级的功能相称)。但是中国目前的大型公司使用的数据库系统,涉及中国石油内部使用的,大多数还是国外厂商生产的数据库产品,在无法购买到
5、更安全的技术的情况下,需要通过其他的安全管理措施来加强数据库的安全特性。本规范由中国石油天然气股份有限公司发布。本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。起草部门:中国石油制定信息安全政策与标准项目组。说 明在中国石油信息安全标准中涉及以下概念:组织机构中国石油(PetroChina) 指中国石油天然气股份有限公司有时也称“股份公司”。集团公司(CNPC) 指中国石油天然气集团公司有时也称“存续公司”。为区分中国石油的地区公司和集团公司下属单位,但提及“存续部分”时指集团公司下属的单位。如:辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网(P
6、etroChinaNet) 指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上,进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。集团公司网络(CNPCNet) 指集团公司所属范围内的网络。中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络,当提及“存续公司网络”时,指存续公司使用的网络部分。主干网 是从中国石油总部连接到各个下属各地区公司的网络部分,涉及中国石油总部局域网、各个二级局域网(或园区网)和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总部,不是运用专线,这样的单位和所使用的远程信道不属于中国石油专用
7、网主干网组成部分。地区网 地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道可是专线,也可是拨号线路。局域网与园区网 局域网通常指,在一座建筑中运用局域网技术和设备建设的高速网络。园区网是在一个园区(例如研究院园区、管理局基地等)内多座建筑内的多个局域网,运用高速信道互相连接起来所构成的网络。园区网所运用的设备、运营的网络协议、网络传输速度基本相同于局域网。局域网和园区网通常都是用户自己建设的。局域网和园区网与广域网不同,广域网不仅覆盖范围广,所运用的设备、运营的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建设的。二级单位网络 指地区公司下属单
8、位的网络的总和,也许是局域网,也也许是园区网。专线与拨号线路 从连通性划分的两大类网络远程信道。专线,指数字电路、帧中继、DDN和ATM等经常保持连通状态的信道;拨号线路,指只在传送信息时才建立连接的信道,如电话拨号线路或ISDN拨号线路。这些远程信道也许用来连接不同地区的局域网或园区网,也也许用于连接单台计算机。石油专网与公网 石油专业电信网和公共电信网的简称。最后一公里问题 建设广域网时,用户局域网或园区网连接附近电信部门信道的最后一段距离的连接问题。这段距离通常小于一公里,但也有大于一公里的情况。为简便,同称为最后一公里问题。涉及计算机网络的术语和定义请参见中国石油局域网标准。目 录第
9、1 章数据和电子文档安全管理概述71.1概述71.2目的71.3规范的合用范围71.4规范引用的文献或标准91.5术语和定义10第 2 章电子文档安全管理规范122.1电子文档重要安全问题122.1.1未经授权的访问则122.1.2人员的恶意袭击122.1.3授权用户的不妥操作122.1.4电子文档的分散存储132.1.5外部因素的影响132.2电子文档安全管理规范142.2.1电子文档的建立管理142.2.2电子文档的更改管理142.2.3电子文档的归档管理152.2.4电子文档的保管管理152.2.5电子文档的使用管理162.2.6电子文档的备份管理162.2.7电子文档的定期检查172.
10、3电子文档技术保护手段172.3.1加固计算机系统和网络172.3.2加强对于电子文档的认证管理182.3.3加强对于电子文档的授权管理182.3.4电子文档加密212.3.5加强对电子文档日记审计管理222.3.6检测恶意代码23第 3 章数据库安全管理规范243.1常见的数据库安全问题243.2数据库安全管理规范263.2.1加固操作系统和网络263.2.2数据库设立的安全管理263.2.3数据库用户认证管理273.2.4数据库用户授权管理283.2.5数据库的日记和安全审计293.2.6数据库的加密管理313.2.7人员培训管理33第 4 章数据备份管理规范344.1数据备份的重要方式3
11、44.1.1完全备份、增量备份和差异备份344.1.2传统备份和异地备份344.1.3其他备份方式364.2中国石油数据备份规范384.2.1对数据备份的规定384.2.2建立合理的备份体系394.2.3数据备份过程的管理394.2.4中国石油备份方式相关规范41附录 1参考文献42附录 2本规范用词说明43第 1 章 数据和电子文档安全管理概述1.1 概述随着计算机和通讯技术的迅速发展,电子数据信息已经是公司中非常重要的资产之一,电子数据信息的重要性也越来越受到人们的关注。数据信息的表现形式通常分为两种,一种以文献的形式存在,另一种存储在数据库中。防止数据遭受未经授权的访问、恶意的读取和破坏
12、以及非法的拷贝等等情况的发生,是保护信息安全的最终目的。信息安全其他所有的保护方式如物理环境和硬件保护,网络和操作系统的保护,应用系统的保护的最终目的都是保护数据的安全。因此本规范重要针对数据自身进行安全的规范和管理,通过对数据的两种重要的表现形式,电子文档和数据库进行保护并从数据备份的角度对数据和电子文档进行安全相关的规范。1.2 目的本规范的目的为:通过对数据和电子文档进行相应的安全管理规范,保证目前中国石油数据库和电子文档的安全。使得各种电子文档系统和数据库系统免遭未经授权的访问,从而保证中国石油相关数据信息的安全。1.3 合用范围本套规范合用的范围涉及了所有和电子文档或数据库相关的安全
13、问题和安全事件。具体来说涉及了电子文档相关的安全规范、数据库相关的安全规范和数据备份的安全管理规范。本规范重要讨论了和信息系统相关的数据和电子文档的安全,其他和信息系统无关的信息或文献不在本规范的讨论范围之内。本规范面向所有的和电子文档管理或数据库管理相关的人员。1.4 规范引用的文献或标准下列文献中的条款通过本标准的引用而成为本标准的条款。本标准出版时,所示版均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的也许性。1. GB17859-1999 计算机信息系统安全保护等级划分准则2. GB/T 9387-1995 信息解决系统 开放系统互连基本参考模型(ISO749
14、8 :1989)3. GA/T 391-2023 计算机信息系统安全等级保护管理规定4. ISO/IEC TR 13355 信息技术安全管理指南5. NIST信息安全系列美国国家标准技术院6. 英国国家信息安全标准BS77997. 信息安全基础保护IT Baseline Protection Manual (Germany)8. BearingPoint Consulting 内部信息安全标准9. RU Secure安全技术标准10. 信息系统安全专家丛书Certificate Information Systems Security Professional1.5 术语和定义访问控制acce
15、ss control 一种安全保证手段,即信息系统的资源只能由被授权实体按授权方式进行访问,防止对资源的未授权使用。授权 authorization 给予权利,涉及信息资源访问权的授予。审计audit 为了测试出系统的控制是否足够, 为了保证与已建立的策略和操作相符合, 为了发现安全中的漏洞, 以及为了建议在控制、策略中作任何指定的改变, 而对系统记录与活动进行的独立观测。(GB9387-95)认证 authentication a. 验证用户、设备和其他实体的身份; b. 验证数据的完整性。解密 decryption 从密文中获取相应的原始数据的过程。注:可将密文再次加密,这种情况下单次解密
16、不会产生原始明文。加密encryption 通过密码系统把明文变换为不可懂的形式。完整性integrity在防止非授权用户修改或使用资源和防止授权用户不对的地修改或使用资源的情况下,信息系统中的数据与在原文档中的相同,并未遭受偶尔或恶意的修改或破坏时所具的性质。日记log log一种信息的汇集, 记录有关对系统操作和系统运营的所有事项,提供了系统的历史状况。恶意代码 malicious code 在硬件、固件或软件中所实行的程序,其目的是执行未经授权的或有害的行动。最小权限 minimum privilege 主体的访问权限制到最低限度,即仅执行授权任务所必需的那些权利。口令password
17、用来鉴别实体身份的受保护或秘密的字符串。明文 plaintext 无需运用密码技术即可得出语义内容的数据。安全等级 security classification 决定防止数据或信息需求的访问的某种限度的保护,同时对该保护限度给以命名。为表达信息的不同敏感度, 按保密限度不同对信息进行层次划分的组合或集合。例:“绝密”、“机密”、“秘密”。可信计算机系统 trusted computer system 提供充足的计算机安全的信息解决系统,它允许具有不同访问权的用户并发访问数据,以及访问具有不同安全等级和安全种类的数据。HSM 硬件安全模块 Hardware Security ModuleNAS
18、 网络附加存储 Network Attached StorageSAN 存储区域网络 Storage Area Network第 2 章 电子文档安全管理规范2.1 电子文档重要安全问题在当前多用户系统和网络普及的情况下,中国石油电子文档的安全问题也涉及到多个方面,目前重要的安全问题如下:2.1.1 未经授权的访问重要的电子文档被未经授权的用户访问到(阅读、修改或删除),也许导致信息的泄漏。2.1.2 人员的恶意袭击a) 外部入侵者或者内部有相应权限的人员,出于某种恶意的目的对电子文档的内容进行篡改。b) 恶意代码的袭击也许使电子文档无法使用。2.1.3 授权用户的不妥操作a) 即使对于用户的
19、访问权限做了严格的限制,但是一些重要的电子文档还是有也许被其别人获得。例如用户的可移动存储设备的遗失,或由于管理员一时的疏忽,导致访问权限的错误。在这种情况下,需要额外的机制来保证这些信息内容不被非法读取,可采用的手段有电子文档的加密、电子文档口令的设立等。b) 误操作导致重要文献被删除或者磁盘被格式化。c) 在文献的复制过程中,由于误操作将同名文献覆盖。d) 在电子文档的修改过程中,由于用户的误操作,使得原先内容完整的电子文档丢失。2.1.4 电子文档的分散存储a) 反复存储占用空间同一个电子文档在多个共享的文献存储服务器上存在,同时每个用户处有电子文档的多个历史版本,导致磁盘空间的浪费。b
20、) 版本的不一致性不同用户处的同一个电子文档,由于没有及时更新等因素,导致在不同用户处保存同一个电子文档的版本不一致,并且包含不同的内容。c) 内容的不一致性多个用户各自在本地对同一电子文档进行了不同的修改,导致内容的不一致。2.1.5 外部因素的影响a) 存储电子文档的存储设备损坏,导致电子文档的损坏或丢失。b) 在火灾、地震或者恐怖事件等特殊情况下,对数据和电子文档导致的破坏。2.2 电子文档安全管理电子文档的建立、更改、归档、保管、使用、备份等各个环节,都有信息更改、丢失的也许性,建立并执行一套科学、合理、严密的管理制度,从每一个环节消除信息失真的隐患,对于维护电子文档的原始性、真实性十
21、分重要。电子文档的管理不仅注重每个阶段的结果,也要重视每项工作的具体过程,并把这些过程一一记录下来。其中有关维护信息安全面的重要规定为:2.2.1 电子文档的建立管理a) 重要电子文档的制作过程应责任分明。b) 每个重要电子文档都必须有重要的负责人,并对负责的电子文档负有全责。c) 重要电子文档的合作人员必须清楚界定,并严格划分参与人员的职责。d) 重要电子文档的建立过程必须记录下来,并清楚记录每个参与人员的职责和工作情况。2.2.2 电子文档的更改管理a) 重要的电子文档一经定稿严禁进行修改,除非通过必要的审批程序。b) 所有重要的电子文档的变更都必须记录在案。c) 在对于重要电子文档的修改
22、过程中,应保存电子文档的各个历史版本。可采用专用的电子文档管理软件自动方便管理电子文档的版本。d) 对于十分重要的电子文档应使用专用的电子文档管理软件进行安全管理,以保证电子文档的版本和迁入迁出的变更都被自动的记录在案。并在电子文档更改后自动告知该电子文档的管理员和该电子文档的所有者。2.2.3 电子文档的归档管理a) 电子文档归档时应进行全面、认真的检查。b) 电子文档本来的所有者应保证内容的完整、真实可靠。c) 必须保证读取电子文档的软件也进行了归档。d) 必须记录电子文档的元数据,即电子文档的说明、结构和上下文关系等。e) 应记录电子文档的业务和行政方面的背景数据。f) 电子文档的负责人
23、必须指定电子文档的保存期限,并且该保存期限不与相关的协议、法规以及中国石油的特殊规定相违反。g) 归档的负责人也应检查电子文档的内容、拟定其是否是最终版本。h) 电子文档如有相应的纸质电子文档或其他载体的电子文档,必须保证内容一致。i) 检查电子文档载体的物理状态、通过防病毒程序检查是否存在病毒。j) 对于特殊的电子文档,宜将其打印成纸质电子文档或制成缩微品进行归档。2.2.4 电子文档的保管管理a) 必须使用可靠的存储媒体保管电子文档。b) 所有归档的电子文档应进行写保护解决,使之处在只读状态。c) 因软硬件平台发生改变而对电子文档进行格式转换时,应防止转换过程中的信息变化。d) 对保存的电
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 文档 安全管理 规范
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【精****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【精****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。