（电子商务）电子商务安全管理规范

《（电子商务）电子商务安全管理规范》由会员分享，可在线阅读，更多相关《（电子商务）电子商务安全管理规范（44页珍藏版）》请在金锄头文库上搜索。

1、中国石油信息安全标准 编号 中国石油天然气股份有限公司 电子商务安全管理规范 审阅稿 版本号 V3 审阅人 王巍 中国石油天然股份有限公司 电子商务安全管理规范I 前 言 随着中国石油天然气股份有限公司 以下简称 中国石油 信息化建设的稳步推进 信息安全日 益受到中国石油的广泛关注 加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保 障 中国石油需要建立统一的信息安全管理政策和标准 并在集团内统一推广 实施 本规范是依据中国石油信息安全的现状 参照国际 国内和行业相关技术标准及规范 结合中国 石油自身的应用特点 制定的适合于中国石油信息安全的标准与规范 目标在于通过在中国石油范围

2、内建立信息安全相关标准与规范 提高中国石油信息安全的技术和管理能力 信息技术安全总体框架如下 区区 域域 安安 全全 管管 理理 规规 范范 机机 房房 安安 全全 管管 理理 规规 范范 硬硬 件件 设设 备备 管管 理理 规规 范范 网网络络安安全全 管管理理规规范范 通通用用安安全全管管 理理标标准准 数数 据据 和和 文文 档档 安安 全全 管管 理理 规规 范范 应应 用用 系系 统统 使使 用用 安安 全全 管管 理理 标标 准准 通通 则则 应应 用用 系系 统统 开开 发发 安安 全全 管管 理理 标标 准准 通通 则则 商商 业业 软软 件件 购购 买买 管管 理理 标标 准

3、准 电电 子子 邮邮 件件 安安 全全 管管 理理 规规 范范 W We eb b系系 统统 安安 全全 管管 理理 规规 范范 电电 子子 商商 务务 安安 全全 规规 范范 防防 御御 恶恶 意意 代代 码码 和和 计计 算算 机机 犯犯 罪罪 管管 理理 规规 范范 信信息息安安全全技技术术标标准准 物理环境 安全管理 硬件设备 安全管理 操作系统 安全管理 数据和文档 安全管理 应用系统安 全管理 网 络 安 全 管 理 概 述 通 用 网 络 安 全 管 理 规 范 内 部 网 络 安 全 管 理 规 范 外 部 网 络 安 全 管 理 规 范 认 证 管 理 通 用 标 准 通 用

4、 安 全 管 理 标 准 概 述 授 权 管 理 通 用 标 准 加 固 管 理 通 用 标 准 加 密 管 理 通 用 标 准 日 志 管 理 通 用 标 准 系 统 登 陆 管 理 通 用 标 准 操操 作作 系系 统统 安安 全全 管管 理理 规规 范范 1 整体信息技术安全架构从逻辑上共分为 7 个部分 分别为 物理环境 硬件设备 网络 操 作系统 数据和文档 应用系统和通用安全管理标准 图中带阴影的方框中带书名号的为单 独成册的部分 共有 13 本 规范 和 1 本 通用标准 2 对于 13 个 规范 中具有一定共性的内容我们整理出了 7 个 标准 横向贯穿整个架构 这 7 个 标准

5、 的组合也依据了信息安全生命周期的理论模型 每个 标准 都会对所有的 规范 中相关涉及到的内容产生指导作用 但每个 标准 应用在不同的 规范 中又会 有相应不同的具体的内容 我们在行文上将这 7 个标准组合成一本 通用安全管理标准 单 独成册 3 全文以信息安全生命周期的方法论作为基本指导 规范 和 标准 的内容基本都根据预防 保护 检测跟踪 响应恢复的理论基础行文 中国石油电子商务交易平台 能源一号 由中国石油和和记黄埔等 7 个公司成立的合资公司 以下简称合资公司 负责运营 是一个国际一流的 以中国石油天然气工业 II电子商务安全管理规范 为主要对象的企业对企业 B2B 电子交易平台 为石

6、油及天然气市场上的参与者提供产品交易 行 业信息 物流及其它增值服务 因此合资公司是电子商务交易的组织者和潜在的电子市场的秩序维护电子商务交易的组织者和潜在的电子市场的秩序维护 者者 而能源一号则是一个潜在的电子交易市场电子交易市场 目前还不具备完整意义上的电子交易市场功能 即 为各个买方和卖方提供交易撮合工具和自由交易保证的平台 中国石油总部 专业分公司 全资子公司 地区分公司和直属科研规划院 全资子公司 地区分 公司和直属科研规划院以下简称地区公司 控股子公司 参股公司以及其它中国石油天然气工业企业 和相关的供应商和采购商是电子商务平台的用户 中国石油电子商务部负责中国石油电子商务工作的

7、组织 管理 协调和指导部门 负责对电子商务应用系统进行归口管理 地区公司成立相应的电子商 务管理部门并设立技术岗位 在需要的业务岗位上配备电子商务应用系统终端进而实施电子商务行为 由此可见中国石油及其地区公司等是中国石油电子商务的参与者中国石油及其地区公司等是中国石油电子商务的参与者 在中国石油电子商务过程中需要防范一系列的安全问题 主要包括其作为电子商务系统技术平台 组织者需要防范的安全问题和作为电子商务参与者需要防范的安全问题 就组织者的角色而言 合资 公司以及中国石油电子商务部等相关单位需要维护整个电子商务交易平台的安全整个电子商务交易平台的安全 包括软硬件设备 网络系统 数据等的安全

8、就参与者的角色而言 中国石油需要考虑电子商务的交易安全电子商务的交易安全 即怎样防 止交易过程中可能出现的不安全因素 对电子商务系统提供的交易平台提出安全要求并最终由相关组 织如合资公司加以落实 需要指出的是电子商务安全是涉及面非常广的话题 需要从管理 组织 流程和技术等角度综合 考虑安全防范问题 本规范从电子商务系统平台安全和电子商务交易安全两个方面规范中国石油和其 它各方在电子商务方面的安全要求 即为上图的在整个信息安全总体架构中以深色底色标注深色底色标注的部分 本规范由中国石油天然气股份有限公司发布 本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释 起草部门 中国石油制定信

9、息安全政策与标准项目组 电子商务安全管理规范III 说 明 在中国石油信息安全标准中涉及以下概念 组织机构 中国石油 PetroChina 指中国石油天然气股份有限公司有时也称 股份公司 集团公司 CNPC 指中国石油天然气集团公司有时也称 存续公司 为区分中国石油的地区 公司和集团公司下属单位 担提及 存续部分 时指集团公司下属的单位 如 辽河油田分公司存续 部分指集团公司下属的辽河石油管理局 计算机网络 中国石油信息网 PetroChinaNet 指中国石油范围内的计算机网络系统 中国石油信息网是 在中国石油天然气集团公司网络的基础上 进行扩充与提高所形成的连接中国石油所属各个单位计算 机

10、局域网和园区网 集团公司网络 CNPCNet 指集团公司所属范围内的网络 中国石油的一些地区公司是和集团 公司下属的单位共用一个计算机网络 当提及 存续公司网络 时 指存续公司使用的网络部分 主干网 是从中国石油总部连接到各个下属各地区公司的网络部分 包括中国石油总部局域网 各个二级局域网 或园区网 和连接这些网络的专线远程信道 有些单位通过拨号线路连接到中国石 油总部 不是利用专线 这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分 地区网 地区公司网络和所属单位网络的总和 这些局域网或园区网互相连接所使用的远程信道 可是专线 也可是拨号线路 局域网与园区网 局域网通常指 在一座

11、建筑中利用局域网技术和设备建设的高速网络 园区网 是在一个园区 例如大学校园 管理局基地等 内多座建筑内的多个局域网 利用高速信道互相连接 起来所构成的网络 园区网所利用的设备 运行的网络协议 网络传输速度基本相同于局域网 局域 网和园区网通常都是用户自己建设的 局域网和园区网与广域网不同 广域网不仅覆盖范围广 所利 用的设备 运行的协议 传送速率都与局域网和园区网不同 传输信息的信道通常都是电信部门建设 的 二级单位网络 指地区公司下属单位的网络的总和 可能是局域网 也可能是园区网 IV电子商务安全管理规范 专线与拨号线路 从连通性划分的两大类网络远程信道 专线 指数字电路 帧中继 DDN

12、和 ATM 等经常保持连通状态的信道 拨号线路 指只在传送信息时才建立连接的信道 如电话拨号线路 或 ISDN 拨号线路 这些远程信道可能用来连接不同地区的局域网或园区网 也可能用于连接单台计 算机 石油专网与公网 石油专业电信网和公共电信网的简称 最后一公里问题 建设广域网时 用户局域网或园区网连接附近电信部门信道的最后一段距离的 连接问题 这段距离通常小于一公里 但也有大于一公里的情况 为简便 同称为最后一公里问题 涉及计算机网络的术语和定义请参见 中国石油局域网标准 电子商务安全管理规范V 目目 录录 1概述 6 2目标 7 3适用范围 7 4规范引用的文件或标准 8 5术语和定义 9

13、6电子商务平台规范 10 6 1电子商务基础建设安全统中的安全标准和规范 10 6 2电子商务审计跟踪管理 15 6 3电子商务业务连贯性管理 17 6 4电子商务符合性管理 20 7电子商务交易安全规范 22 7 1基本加密技术 23 7 2电子商务交易安全机制 27 7 3电子商务交易安全协议 31 7 4电子商务交易安全 35 附录 1参考文献 38 附录 2本规范用词说明 39 6电子商务安全管理规范 1概述 中国石油的电子商务安全规范分为 电子商务系统平台安全规范电子商务系统平台安全规范 和 电子商务交易安全电子商务交易安全 规范规范 电子商务系统平台规范 部分从电子商务相关的物理环

14、境 硬件系统 网络系统 操作 系统 应用系统和电子商务文档和数据等多个方面规范了电子商务系统平台的安全性 并 且制订了关于电子商务平台系统升级 系统安全性测试 系统的业务连续性 审计跟踪以 及相关法律法规和技术符合性方面的安全规范 旨在保护电子商务系统平台的安全 并在 发生威胁的时候力求把可能对于中国石油造成的业务影响降到最低程度 电子商务的交易安全 主要从技术和管理的角度说明电子商务交易安全的目标 技术手 段和管理方法 在电子商务交易中 需要保证交易过程中的安全性 完整性 身份验证和 不可否认性 为了满足这些交易安全目标 需要实施综合的交易安全架构 如下图所示 其中基本加密算法是基础 提供了

15、最基本的数据加密和数据摘要等加密方法 保证了数据 的机密性 在此之上可通过综合利用各种基本的加密算法形成多种安全机制如数字证书 数字签名 这些安全机制就可保证交易的安全性 完整性 身份验证和不可否认性 除此 以外各种安全协议例如 SSL 在不同的协议层次实现了数字证书的安全机制 中国石油在电 子商务过程中应采用不同的安全协议实现交易安全 除了技术手段之外 还需要综合使用 管理手段才能保证电子商务的交易安全 主要包括身份和密码管理规范 合作伙伴管理规 范以及其它交易安全的管理规范三个方面 安全基本加密算法安全机制安全协议和应用 电子商务安全管理规范7 2目标 本规范的目标在于 保护中国石油电子商

16、务系统平台 能源一号 的系统安全和持续运行 并将可能发生的威 胁对中国石油的业务影响降至最低 保证能源一号上的各个交易方可稳定地使用该系统进 行电子商务交易活动 明确电子商务的交易安全要求 确定能源一号系统在电子商务交易 安全方面需要达到的目标 为中国石油电子商务部和合资公司制订电子商务安全发展规划 确定方向 明确中国石油及其相关附属公司和单位在能源一号上进行电子商务的安全规范 和技术要求 3适用范围 本套规范适用的范围包括了所有和电子商务平台和交易相关的安全问题和安全事件所有和电子商务平台和交易相关的安全问题和安全事件 具体 来说包括用于电子商务系统平台的安全维护 电子商务系统平台的交易安全措施改进 以 及确保中国石油电子商务部和地区公司电子商务管理部门和第三方之间的电子商务交易安 全 本规范主要针对以下的几类读者 中国石油相关领导 主要阅读本规范的前言 概述 目标和使用范围 理解电子商 务的重要性 目标 方法和手段 合资公司电子商务系统的维护人员 主要阅读本文的 1 6 章节电子商务系统平台安 全规范部分 中国石油电子商务部和合资公司电子商务系统的相关负责人员 阅读 1 6 章节和