收藏
下载资源

2020年硬件设备安全管理规范_030326_v3_fd精品

上传人:精****库 文档编号:132132962 上传时间:2020-05-12 格式:DOC 页数:36 大小:384.07KB
返回 下载 相关 举报
2020年硬件设备安全管理规范_030326_v3_fd精品_第1页
第1页 / 共36页
2020年硬件设备安全管理规范_030326_v3_fd精品_第2页
第2页 / 共36页
2020年硬件设备安全管理规范_030326_v3_fd精品_第3页
第3页 / 共36页
2020年硬件设备安全管理规范_030326_v3_fd精品_第4页
第4页 / 共36页
2020年硬件设备安全管理规范_030326_v3_fd精品_第5页
第5页 / 共36页
点击查看更多>>
资源描述

《2020年硬件设备安全管理规范_030326_v3_fd精品》由会员分享,可在线阅读,更多相关《2020年硬件设备安全管理规范_030326_v3_fd精品(36页珍藏版)》请在金锄头文库上搜索。

1、中国石油信息安全标准 编号 中国石油天然气股份有限公司 硬件设备安全管理规范 审阅稿 版本号 V3 审阅人 王巍 中国石油天然股份有限公司 硬件设备安全管理规范I 前 言 随着中国石油天然气股份有限公司 以下简称 中国石油 信息化建设的稳步推进 信息安全日 益受到中国石油的广泛关注 加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保 障 中国石油需要建立统一的信息安全管理政策和标准 并在集团内统一推广 实施 本规范是依据中国石油信息安全的现状 参照国际 国内和行业相关技术标准及规范 结合中国 石油勘探与生产地区公司 炼油与销售地区公司 化工与销售地区公司 天然气与管道地区公司等四

2、个专业分公司的应用特点 制定的适合于中国石油信息安全的标准与规范 目标在于通过在中国石油 范围内建立信息安全相关标准与规范 提高中国石油信息安全的技术和管理能力 信息技术安全总体框架如下 区区 域域 安安 全全 管管 理理 规规 范范 机机 房房 安安 全全 管管 理理 规规 范范 硬硬 件件 设设 备备 管管 理理 规规 范范 网网络络安安全全 管管理理规规范范 通通用用安安全全管管 理理标标准准 数数 据据 和和 文文 档档 安安 全全 管管 理理 规规 范范 应应 用用 系系 统统 使使 用用 安安 全全 管管 理理 标标 准准 通通 则则 应应 用用 系系 统统 开开 发发 安安 全全

3、 管管 理理 标标 准准 通通 则则 商商 业业 软软 件件 购购 买买 管管 理理 标标 准准 电电 子子 邮邮 件件 安安 全全 管管 理理 规规 范范 W We eb b系系 统统 安安 全全 管管 理理 规规 范范 电电 子子 商商 务务 安安 全全 规规 范范 防防 御御 恶恶 意意 代代 码码 和和 计计 算算 机机 犯犯 罪罪 管管 理理 规规 范范 信信息息安安全全技技术术标标准准 物理环境 安全管理 硬件设备 安全管理 操作系统 安全管理 数据和文档 安全管理 应用系统安 全管理 网 络 安 全 管 理 概 述 通 用 网 络 安 全 管 理 规 范 内 部 网 络 安 全

4、管 理 规 范 外 部 网 络 安 全 管 理 规 范 认 证 管 理 通 用 标 准 通 用 安 全 管 理 标 准 概 述 授 权 管 理 通 用 标 准 加 固 管 理 通 用 标 准 加 密 管 理 通 用 标 准 日 志 管 理 通 用 标 准 系 统 登 陆 管 理 通 用 标 准 操操 作作 系系 统统 安安 全全 管管 理理 规规 范范 1 整体信息技术安全架构从逻辑上共分为 7 个部分 分别为 物理环境 硬件设备 网络 操 作系统 数据和文档 应用系统和通用安全管理标准 图中带阴影的方框中带书名号的为单 独成册的部分 共有 13 本 规范 和 1 本 通用标准 2 对于 13

5、 个 规范 中具有一定共性的内容我们整理出了 6 个 标准 横向贯穿整个架构 这 6 个 标准 的组合也依据了信息安全生命周期的理论模型 每个 标准 都会对所有的 规范 中相关涉及到的内容产生指导作用 但每个 标准 应用在不同的 规范 中又会 有相应不同的具体的内容 我们在行文上将这六个标准组合成一本通用的安全管理标准单独 成册 3 全文以信息安全生命周期的方法论作为基本指导 规范 和 标准 的内容基本都根据认证 授权 内容安全 日志管理的理论基础行文 II硬件设备安全管理规范 本文即为信息安全总体框架中以深色标注的部分 硬件设备管理规范 主要规定了各种硬件设 备针对安全问题的管理制度 硬件设

6、备安全管理规范描述了企业内部所有的 IT 相关的硬件设备的安全规定 该规范保护的对象 为企业内部所有的 IT 相关的硬件设备 包括了台式电脑 服务器 周边设备 存储设备 可携式媒介 移动计算设备 笔记本电脑 Palm 厂外设备 第三方 等 而对于硬件设备的保护我们主要从防护人 对设备的威胁 环境对设备的威胁和设备自身的故障威胁三个方面进行阐述 本规范由中国石油天然气股份有限公司发布 本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释 起草部门 中国石油制定信息安全政策与标准项目组 硬件设备安全管理规范III 说 明 在中国石油信息安全标准中涉及以下概念 组织机构 中国石油 Petr

7、oChina 指中国石油天然气股份有限公司有时也称 股份公司 集团公司 CNPC 指中国石油天然气集团公司有时也称 存续公司 为区分中国石油的地区 公司和集团公司下属单位 担提及 存续部分 时指集团公司下属的单位 如 辽河油田分公司存续 部分指集团公司下属的辽河石油管理局 计算机网络 中国石油信息网 PetroChinaNet 指中国石油范围内的计算机网络系统 中国石油信息网是 在中国石油天然气集团公司网络的基础上 进行扩充与提高所形成的连接中国石油所属各个单位计算 机局域网和园区网 集团公司网络 CNPCNet 指集团公司所属范围内的网络 中国石油的一些地区公司是和集团 公司下属的单位共用一

8、个计算机网络 当提及 存续公司网络 时 指存续公司使用的网络部分 主干网 是从中国石油总部连接到各个下属各地区公司的网络部分 包括中国石油总部局域网 各个二级局域网 或园区网 和连接这些网络的专线远程信道 有些单位通过拨号线路连接到中国石 油总部 不是利用专线 这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分 地区网 地区公司网络和所属单位网络的总和 这些局域网或园区网互相连接所使用的远程信道 可以是专线 也可以是拨号线路 局域网与园区网 局域网通常指 在一座建筑中利用局域网技术和设备建设的高速网络 园区网 是在一个园区 例如大学校园 管理局基地等 内多座建筑内的多个局域网 利用

9、高速信道互相连接 起来所构成的网络 园区网所利用的设备 运行的网络协议 网络传输速度基本相同于局域网 局域 网和园区网通常都是用户自己建设的 局域网和园区网与广域网不同 广域网不仅覆盖范围广 所利 用的设备 运行的协议 传送速率都与局域网和园区网不同 传输信息的信道通常都是电信部门建设 的 二级单位网络 指地区公司下属单位的网络的总和 可能是局域网 也可能是园区网 IV硬件设备安全管理规范 专线与拨号线路 从连通性划分的两大类网络远程信道 专线 指数字电路 帧中继 DDN 和 ATM 等经常保持连通状态的信道 拨号线路 指只在传送信息时才建立连接的信道 如电话拨号线路 或 ISDN 拨号线路

10、这些远程信道可能用来连接不同地区的局域网或园区网 也可能用于连接单台计 算机 石油专网与公网 石油专业电信网和公共电信网的简称 最后一公里问题 建设广域网时 用户局域网或园区网连接附近电信部门信道的最后一段距离的 连接问题 这段距离通常小于一公里 但也有大于一公里的情况 为简便 同称为最后一公里问题 涉及计算机网络的术语和定义请参见 中国石油局域网标准 硬件设备安全管理规范V 目目 录录 1概述 6 2目标 6 3规范的适用范围 6 4规范引用的文件或标准 7 5术语和定义 8 6设备安全分级标准 10 7硬件设备采购安全 11 7 1设备选购安全 11 7 2设备采购招标安全 11 7 3设

11、备检测安全管理规范 16 7 4设备安装安全管理规范 17 8硬件设备使用安全管理规范 17 8 1设备物理环境相关安全管理规范 17 8 2 清除桌面和屏幕 19 8 3员工使用硬件设备的相关安全 20 8 4硬件设备相关使用日志和使用权限的审计 25 8 5媒介设备安全 28 8 6场外设备安全 29 9硬件设备维护安全 30 10硬件设备处置和重用安全 31 附录附录 1参考文献参考文献 32 附录附录 2本规范用词说明本规范用词说明 33 6硬件设备安全管理规范 1概述 保证计算机信息系统各种设备自身的安全和设备所在区域的物理环境安全是整个计算机 信息系统安全的前提和基础 信息系统所在

12、区域的物理环境安全 以下简称 物理安全 是保护区域内计算机相关 设备以及其它媒介免遭地震 水灾 火灾等环境事故以及周围环境的因素影响 它是对 系统所在环境的安全保护 同时 还需要防止对区域的未经授权的访问 信息系统的硬件设备安全主要指 设备自身的安全问题 如何防止对硬件设备的未经授 权的访问和未经授权的携入携出以及设备在生命周期的各个环节需要注意的安全事项 2目标 本规范的目标为 保护信息系统基础设施 设备 媒介免受非法的实物访问 自然灾害和环境的危害 通 过对设备从采购到使用到维护直至最后报废的全过程进行安全相关的防护和相应的规范 防止中国石油基础设施等资产的损坏 丢失 敏感信息的泄漏以及商

13、务活动的中断 从 而进一步保障中国石油业务的持续运营 保护中国石油的信息安全 3适用范围 本套规范适用的范围包括了公司内部所有的信息相关的硬件设备 包括了台式电脑 服 务器 周边设备 存储设备 可携式媒介 移动计算设备 笔记本电脑 Palm 厂外设 备 第三方 等 注 由于网络设备和网络线缆设备相对其他注 由于网络设备和网络线缆设备相对其他 ITIT 设备由于具有一定的特殊性 因此我们对设备由于具有一定的特殊性 因此我们对 于这两种设备的安全规范将在于这两种设备的安全规范将在 网络安全规范网络安全规范 中进行描述 中进行描述 硬件设备安全管理规范7 4规范引用的文件或标准 下列文件或标准中的条

14、款通过本规范的引用而成为本规范的条款 本标准出版时 所示版均 为有效 所有标准都会被修订 使用本标准的各方应探讨使用下列标准最新版本的可能 性 1 GAT390 2002 计算机信息系统安全等级保护通用技术要求 2 GB50174 93 电子计算机机房设计规范 3 SJ T30003 93 电子计算机机房施工及验收规范 4 GB9361 88 计算站场地安全要求 5 GB2887 2000 电子计算机场地通用规范 6 GB50052 供配电系统设计规范 7 GA 163 1997 计算机信息系统安全专用产品分类原则 8 GA 216 1 1999 计算机信息系统安全产品部件第 1 部分 安全功

15、能检测 9 NIST 信息安全系列 美国国家标准技术院 10 英国国家信息安全标准 BS7799 11 信息安全基础保护 IT Baseline Protection Manual Germany 12 BearingPoint Consulting 内部信息安全标准 13 RU Secure 安全技术标准 14 信息系统安全专家丛书 Certificate Information Systems Security Professional 8硬件设备安全管理规范 硬件设备安全管理规范9 5术语和定义 关键级设备关键级设备 包含了非常重要的的企业信息资产或企业信息系统的硬件设备 该设备上所 承

16、载的信息资产或运行的信息系统一旦出现中断 损坏 丢失或泄漏等安全故障会直接 影响影响整个公司的业务运作或各个地区公司的业务运作 或是会对公司带来巨大的经 济上或名誉上的损失 举例 备份非常重要研发数据的台式电脑 公司级 Email 系统服务器 存放财务数据的磁带 重要级设备重要级设备 包含了比较重要的的企业信息资产或企业信息系统的硬件设备 该设备上所 承载的信息资产或运行的信息系统一旦出现中断 损坏 丢失或泄漏等安全故障会直接 影响影响各个业务单元或各个业务部门的业务运作 或是会对公司带来明显的经济上或 名誉上的损失 举例 病毒服务器 部门级应用服务器 商业软件光盘 普通级设备普通级设备 包含了普通的企业信息资产或个人信息资产的硬件设备 该设备上所承载的 信息资产或运行的信息系统一旦出现中断 损坏 丢失或泄漏等安全故障会直接影响影 响个人或小范围群体的业务运作 或是会对公司带来较小的经济上或名誉上的损失 举例 普通用户台式电脑 个人数据备份光盘 项目临时服务器 访问控制访问控制 access control 一种安全保证手段 即信息系统的资源只能由被授权实体按授权 方式进行访问 防止对

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号