《(安全管理)硬件设备安全管理规范__v_fd.》由会员分享,可在线阅读,更多相关《(安全管理)硬件设备安全管理规范__v_fd.(33页珍藏版)》请在金锄头文库上搜索。
1、(安全管理)硬件设备安 全管理规范_v_fd 中国石油信息安全标准 编号: 中国石油天然气股份有限公司 硬件设备安全管理规范 (审阅稿) 版本号:V3 审阅人:王巍 中国石油天然股份有限公司 前言 随着中国石油天然气股份有限公司(以下简称“中国石油” )信息化建设的稳步推进,信 息安全日益受到中国石油的广泛关注,加强信息安全的管理和制度无疑成为信息化建设 得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策和标准,并在集 团内统一推广、实施。 本规范是依据中国石油信息安全的现状,参照国际、国内和行业相关技术标准及规范, 结合中国石油勘探与生产地区公司、炼油与销售地区公司、化工与销售地
2、区公司、天然 气与管道地区公司等四个专业分公司的应用特点,制定的适合于中国石油信息安全的标 准与规范。目标在于通过在中国石油范围内建立信息安全相关标准与规范,提高中国石 油信息安全的技术和管理能力。 信息技术安全总体框架如下: 1)整体信息技术安全架构从逻辑上共分为 7 个部分,分别为:物理环境、硬件设 备、网络、操作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框 中带书名号的为单独成册的部分,共有 13 本规范和 1 本通用标准 。 2)对于 13 个规范中具有一定共性的内容我们整理出了 6 个标准横向贯 穿整个架构,这 6 个标准的组合也依据了信息安全生命周期的理论模型。每
3、个标 准都会对所有的规范中相关涉及到的内容产生指导作用,但每个标准应用在 不同的规范中又会有相应不同的具体的内容。我们在行文上将这六个标准组合成一 本通用的安全管理标准单独成册。 3)全文以信息安全生命周期的方法论作为基本指导, 规范和标准的内容基 本都根据认证授权内容安全日志管理的理论基础行文。 本文即为信息安全总体框架中以深色标注的部分:硬件设备管理规范 ,主要规定了各 种硬件设备针对安全问题的管理制度。 硬件设备安全管理规范描述了企业内部所有的 IT 相关的硬件设备的安全规定。该规范保 护的对象为企业内部所有的 IT 相关的硬件设备,包括了台式电脑、服务器、周边设备、 存储设备、可携式媒
4、介、移动计算设备(笔记本电脑,Palm)、厂外设备(第三方)等。而 对于硬件设备的保护我们主要从防护人对设备的威胁、环境对设备的威胁和设备自身的 故障威胁三个方面进行阐述。 本规范由中国石油天然气股份有限公司发布。 II硬件设备安全管理规范 本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。 起草部门:中国石油制定信息安全政策与标准项目组。 说明 在中国石油信息安全标准中涉及以下概念: 组织机构 中国石油(PetroChina)指中国石油天然气股份有限公司有时也称“股份公司” 。 集团公司(CNPC)指中国石油天然气集团公司有时也称“存续公司” 。为区分中国石油 的地区公司和集团
5、公司下属单位,担提及“存续部分”时指集团公司下属的单位。如: 辽河油田分公司存续部分指集团公司下属的辽河石油管理局。 计算机网络 中国石油信息网(PetroChinaNet)指中国石油范围内的计算机网络系统。中国石油信 息网是在中国石油天然气集团公司网络的基础上,进行扩充与提高所形成的连接中国石 油所属各个单位计算机局域网和园区网。 集团公司网络(CNPCNet)指集团公司所属范围内的网络。中国石油的一些地区公司是 和集团公司下属的单位共用一个计算机网络,当提及“存续公司网络”时,指存续公司 使用的网络部分。 主干网是从中国石油总部连接到各个下属各地区公司的网络部分,包括中国石油总部局 域网、
6、各个二级局域网(或园区网)和连接这些网络的专线远程信道。有些单位通过拨 号线路连接到中国石油总部,不是利用专线,这样的单位和所使用的远程信道不属于中 国石油专用网主干网组成部分。 地区网地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远 程信道可以是专线,也可以是拨号线路。 局域网与园区网局域网通常指,在一座建筑中利用局域网技术和设备建设的高速网络。 园区网是在一个园区(例如大学校园、管理局基地等)内多座建筑内的多个局域网,利 用高速信道互相连接起来所构成的网络。园区网所利用的设备、运行的网络协议、网络 传输速度基本相同于局域网。局域网和园区网通常都是用户自己建设的。局域网
7、和园区 网与广域网不同,广域网不仅覆盖范围广,所利用的设备、运行的协议、传送速率都与 局域网和园区网不同。传输信息的信道通常都是电信部门建设的。 二级单位网络指地区公司下属单位的网络的总和,可能是局域网,也可能是园区网。 专线与拨号线路从连通性划分的两大类网络远程信道。专线,指数字电路、帧中继、 DDN 和 ATM 等经常保持连通状态的信道;拨号线路,指只在传送信息时才建立连接的 IV硬件设备安全管理规范 信道,如电话拨号线路或 ISDN 拨号线路。这些远程信道可能用来连接不同地区的局域 网或园区网,也可能用于连接单台计算机。 石油专网与公网石油专业电信网和公共电信网的简称。 最后一公里问题建
8、设广域网时,用户局域网或园区网连接附近电信部门信道的最后一段 距离的连接问题。这段距离通常小于一公里,但也有大于一公里的情况。为简便,同称 为最后一公里问题。 涉及计算机网络的术语和定义请参见中国石油局域网标准 。 目录 1 概述 6 2 目标 6 3 规范的适用范围 6 4 规范引用的文件或标准 7 5 术语和定义 8 6 设备安全分级标准 10 7 硬件设备采购安全 11 7.1 设备选购安全 11 7.2 设备采购招标安全 11 7.3 设备检测安全管理规范 16 7.4 设备安装安全管理规范 17 8 硬件设备使用安全管理规范 17 8.1 设备物理环境相关安全管理规范 17 8.2“
9、清除桌面和屏幕”19 8.3 员工使用硬件设备的相关安全 20 8.4 硬件设备相关使用日志和使用权限的审计 25 8.5 媒介设备安全 28 8.6 场外设备安全 29 9 硬件设备维护安全 30 10 硬件设备处置和重用安全 31 附录 1 参考文献 32 附录 2 本规范用词说明 33 6硬件设备安全管理规范 1概述 保证计算机信息系统各种设备自身的安全和设备所在区域的物理环境安全是整个计 算机信息系统安全的前提和基础。 信息系统所在区域的物理环境安全(以下简称“物理安全”)是保护区域内计算机 相关设备以及其它媒介免遭地震、水灾、火灾等环境事故以及周围环境的因素影响。 它是对系统所在环境
10、的安全保护,同时,还需要防止对区域的未经授权的访问。 信息系统的硬件设备安全主要指:设备自身的安全问题、如何防止对硬件设备的未 经授权的访问和未经授权的携入携出以及设备在生命周期的各个环节需要注意的安 全事项。 2目标 本规范的目标为: 保护信息系统基础设施、设备、媒介免受非法的实物访问、自然灾害和环境的危害。 通过对设备从采购到使用到维护直至最后报废的全过程进行安全相关的防护和相应 的规范,防止中国石油基础设施等资产的损坏、丢失、敏感信息的泄漏以及商务活 动的中断。从而进一步保障中国石油业务的持续运营,保护中国石油的信息安全。 3适用范围 本套规范适用的范围包括了公司内部所有的信息相关的硬件
11、设备,包括了台式电脑、 服务器、周边设备、存储设备、可携式媒介、移动计算设备(笔记本电脑,Palm)、 厂外设备(第三方)等。 注:由于网络设备和网络线缆设备相对其他 IT 设备由于具有一定的特殊性,因此我 们对于这两种设备的安全规范将在网络安全规范中进行描述。 4规范引用的文件或标准 下列文件或标准中的条款通过本规范的引用而成为本规范的条款。本标准出版时,所示 版均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版 本的可能性。 1.GAT390-2002计算机信息系统安全等级保护通用技术要求 2.GB50174-93电子计算机机房设计规范 3.SJ/T30003-93电子
12、计算机机房施工及验收规范 4.GB9361-88计算站场地安全要求 5.GB2887-2000电子计算机场地通用规范 6.GB50052供配电系统设计规范 7.GA1631997计算机信息系统安全专用产品分类原则 8.GA216.1-1999计算机信息系统安全产品部件第 1 部分:安全功能检 测 9.NIST 信息安全系列美国国家标准技术院 10.英国国家信息安全标准 BS7799 11.信息安全基础保护 ITBaselineProtectionManual(Germany) 12.BearingPointConsulting 内部信息安全标准 13.RUSecure 安全技术标准 14.信息
13、系统安全专家丛书 CertificateInformationSystemsSecurityProfessional 8硬件设备安全管理规范 5术语和定义 关键级设备包含了非常重要的的企业信息资产或企业信息系统的硬件设备。 该设备上所承载的信息资产或运行的信息系统一旦出现中断、损坏、丢失 或泄漏等安全故障会直接影响影响整个公司的业务运作或各个地区公司的 业务运作,或是会对公司带来巨大的经济上或名誉上的损失。 举例:备份非常重要研发数据的台式电脑、公司级 Email 系统服务器、存放财 务数据的磁带 重要级设备包含了比较重要的的企业信息资产或企业信息系统的硬件设备。 该设备上所承载的信息资产或运
14、行的信息系统一旦出现中断、损坏、丢失 或泄漏等安全故障会直接影响影响各个业务单元或各个业务部门的业务运 作,或是会对公司带来明显的经济上或名誉上的损失。 举例:病毒服务器、部门级应用服务器、商业软件光盘 普通级设备包含了普通的企业信息资产或个人信息资产的硬件设备。该设 备上所承载的信息资产或运行的信息系统一旦出现中断、损坏、丢失或泄 漏等安全故障会直接影响影响个人或小范围群体的业务运作,或是会对公 司带来较小的经济上或名誉上的损失。 举例:普通用户台式电脑、个人数据备份光盘、项目临时服务器 访问控制 accesscontrol 一种安全保证手段,即信息系统的资源只能由被授 权实体按授权方式进行
15、访问,防止对资源的未授权使用。 审计 audit 为了测试出系统的控制是否足够,为了保证与已建立的策略和操 作相符合,为了发现安全中的漏洞,以及为了建议在控制、策略中作任何指定 的改变,而对系统记录与活动进行的独立观察。 授权 authorization 给予权利,包括信息资源访问权的授予。 认证 certificationa.验证用户、设备和其他实体的身份;b.验证数据的完整 性。 隔离 isolation 为防止其他用户或程序的非授权访问,把操作系统、用户程序、 数据文件加以彼此独立存储的行为。 日志 log 一种信息的汇集,记录有关对系统操作和系统运行的全部事项,提供了 系统的历史状况。
16、 漏洞 loophole 由软硬件的设计疏忽或漏洞导致的能避过系统的安全措施的 一种错误。 物理安全 physicalsecurity 为防范蓄意的和意外的威胁而对资源提供物理 保护所采取的措施。 威胁 threat 一种潜在的对安全的侵害以破坏、泄漏、数据修改和拒绝服务的方 式,可能对系统造成损害的环境或潜在事件。(GB9387-95) 安全等级 securityclassification 决定防止数据或信息需求的访问的某种程度的 保护,同时对该保护程度给以命名。为表示信息的不同敏感度,按保密程度不同 对信息进行层次划分的组合或集合。 敏感信息 sensitiveinformation 由权威机构确定的必须受保护的信息,因为该 信息的泄露、修改、破坏或丢失都会对人或事产生可预知的损害。 弱点 vulnerability 导致破坏系统安全策略的系统安全规程、系统设计、实 现、内部控制等方面的薄弱环节,在信息系统中能被威胁利用产生风险
