收藏
下载资源

毕博—石油国际全套咨询数据和文档安全管理规范

上传人:n**** 文档编号:85014274 上传时间:2019-03-06 格式:DOC 页数:45 大小:429.50KB
返回 下载 相关 举报
毕博—石油国际全套咨询数据和文档安全管理规范_第1页
第1页 / 共45页
毕博—石油国际全套咨询数据和文档安全管理规范_第2页
第2页 / 共45页
毕博—石油国际全套咨询数据和文档安全管理规范_第3页
第3页 / 共45页
毕博—石油国际全套咨询数据和文档安全管理规范_第4页
第4页 / 共45页
毕博—石油国际全套咨询数据和文档安全管理规范_第5页
第5页 / 共45页
点击查看更多>>
资源描述

《毕博—石油国际全套咨询数据和文档安全管理规范》由会员分享,可在线阅读,更多相关《毕博—石油国际全套咨询数据和文档安全管理规范(45页珍藏版)》请在金锄头文库上搜索。

1、中国石油信息安全标准 编号: 中国石油天然气股份有限公司 数据和电子文档安全管理规范 (审阅稿) 版本号:V3 审阅人:王巍 中国石油天然股份有限公司 数据和电子文档安全管理规范I 前 言 随着中国石油天然气股份有限公司(以下简称“中国石油” )信息化建设的稳步推进,信息安全日 益受到中国石油的广泛关注,加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保 障。中国石油需要建立统一的信息安全管理政策和标准,并在集团内统一推广、实施。 本规范是依据中国石油信息安全的现状,参照国际、国内和行业相关技术标准及规范,结合中国 石油自身的应用特点,制定的适合于中国石油信息安全的标准与规范。目标

2、在于通过在中国石油范围 内建立信息安全相关标准与规范,提高中国石油信息安全的技术和管理能力。 信息技术安全总体框架如下(change-highlight the corresponding one): 区区 域域 安安 全全 管管 理理 规规 范范 机机 房房 安安 全全 管管 理理 规规 范范 硬硬 件件 设设 备备 管管 理理 规规 范范 网网络络安安全全 管管理理规规范范 通通用用安安全全管管 理理标标准准 数数 据据 和和 文文 档档 安安 全全 管管 理理 规规 范范 应应 用用 系系 统统 使使 用用 安安 全全 管管 理理 标标 准准 通通 则则 应应 用用 系系 统统 开开 发

3、发 安安 全全 管管 理理 标标 准准 通通 则则 商商 业业 软软 件件 购购 买买 管管 理理 标标 准准 电电 子子 邮邮 件件 安安 全全 管管 理理 规规 范范 W We eb b系系 统统 安安 全全 管管 理理 规规 范范 电电 子子 商商 务务 安安 全全 规规 范范 防防 御御 恶恶 意意 代代 码码 和和 计计 算算 机机 犯犯 罪罪 管管 理理 规规 范范 信信息息安安全全技技术术标标准准 物理环境 安全管理 硬件设备 安全管理 操作系统 安全管理 数据和文档 安全管理 应用系统安 全管理 网 络 安 全 管 理 概 述 通 用 网 络 安 全 管 理 规 范 内 部 网

4、 络 安 全 管 理 规 范 外 部 网 络 安 全 管 理 规 范 认 证 管 理 通 用 标 准 通 用 安 全 管 理 标 准 概 述 授 权 管 理 通 用 标 准 加 固 管 理 通 用 标 准 加 密 管 理 通 用 标 准 日 志 管 理 通 用 标 准 系 统 登 陆 管 理 通 用 标 准 操操 作作 系系 统统 安安 全全 管管 理理 规规 范范 1) 整体信息技术安全架构从逻辑上共分为 7 个部分,分别为:物理环境、硬件设备、网络、操 作系统、数据和电子文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的 为单独成册的部分,共有 13 本规范和 1 本通用标准

5、。 2) 对于 13 个规范中具有一定共性的内容我们整理出了 7 个标准横向贯穿整个架构,这 7 个标准的组合也依据了信息安全生命周期的理论模型。每个标准都会对所有的 规范中相关涉及到的内容产生指导作用,但每个标准应用在不同的规范中又会 有相应不同的具体的内容。我们在行文上将这六个标准组合成一本通用的安全管理标准单独 成册。 3) 全文以信息安全生命周期的方法论作为基本指导, 规范和标准的内容基本都根据预防 保护检测跟踪响应恢复的理论基础行文。 II数据和电子文档安全管理规范 随着企业信息化建设的不断深入,企业对于各类信息需求也越来越紧迫,同时,企业内部的各种 信息数据的重要程度也越来越高。有

6、时由于企业信息数据的丢失或破坏对于一个企业来说影响程度是 无法估计的,可能会直接导致一个企业的失败。而保护企业信息的最直接最关键的方法就是对于信息 的各种电子化的载体的安全控制,比如电子电子文档或存储在数据库中的数据。因此本规范就是针对 该类数据和电子文档安全上的考虑,在上图信息安全总体框架中以深色底色标注的部分。 为加强计算机系统的信息安全,1985 年美国国防部发表了可信计算机系统评估准则 (缩写为 TCSEC) ,它依据处理的信息等级采取的相应对策,划分了 4 类 7 个安全等级。依照各类、级的安全 要求从低到高,依次是 D、C1、C2、B1、B2、B3 和 A1 级。在中国市场上的国外

7、数据库安全等级为 C2 级,国外更高级别的数据库是限制对中国出口的(目前通用标准(CC: Common Criteria) 已经被国际 标准化组织接受,代替 TCSEC 来评价计算机的安全等级,通用标准的 EAL 3 级大致与 C2 级的功能相 当) 。 但是中国目前的大型企业使用的数据库系统,包括中国石油内部使用的,大多数还是国外厂商生 产的数据库产品,在无法购买到更安全的技术的情况下,需要通过其他的安全管理措施来加强数据库 的安全特性。 本规范由中国石油天然气股份有限公司发布。 本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。 起草部门:中国石油制定信息安全政策与标准项目组

8、。 数据和电子文档安全管理规范III 说 明 在中国石油信息安全标准中涉及以下概念: 组织机构 中国石油(PetroChina) 指中国石油天然气股份有限公司有时也称“股份公司” 。 集团公司(CNPC) 指中国石油天然气集团公司有时也称“存续公司” 。为区分中国石油的地区 公司和集团公司下属单位,但提及“存续部分”时指集团公司下属的单位。如:辽河油田分公司存续 部分指集团公司下属的辽河石油管理局。 计算机网络 中国石油信息网(PetroChinaNet) 指中国石油范围内的计算机网络系统。中国石油信息网是 在中国石油天然气集团公司网络的基础上,进行扩充与提高所形成的连接中国石油所属各个单位计

9、算 机局域网和园区网。 集团公司网络(CNPCNet) 指集团公司所属范围内的网络。中国石油的一些地区公司是和集团 公司下属的单位共用一个计算机网络,当提及“存续公司网络”时,指存续公司使用的网络部分。 主干网 是从中国石油总部连接到各个下属各地区公司的网络部分,包括中国石油总部局域网、 各个二级局域网(或园区网)和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石 油总部,不是利用专线,这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。 地区网 地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道 可是专线,也可是拨号线路。 局域网与园区网 局

10、域网通常指,在一座建筑中利用局域网技术和设备建设的高速网络。园区网 是在一个园区(例如研究院园区、管理局基地等)内多座建筑内的多个局域网,利用高速信道互相连 接起来所构成的网络。园区网所利用的设备、运行的网络协议、网络传输速度基本相同于局域网。局 域网和园区网通常都是用户自己建设的。局域网和园区网与广域网不同,广域网不仅覆盖范围广,所 利用的设备、运行的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建 设的。 二级单位网络 指地区公司下属单位的网络的总和,可能是局域网,也可能是园区网。 IV数据和电子文档安全管理规范 专线与拨号线路 从连通性划分的两大类网络远程信道。专线

11、,指数字电路、帧中继、DDN 和 ATM 等经常保持连通状态的信道;拨号线路,指只在传送信息时才建立连接的信道,如电话拨号线路 或 ISDN 拨号线路。这些远程信道可能用来连接不同地区的局域网或园区网,也可能用于连接单台计 算机。 石油专网与公网 石油专业电信网和公共电信网的简称。 最后一公里问题 建设广域网时,用户局域网或园区网连接附近电信部门信道的最后一段距离的 连接问题。这段距离通常小于一公里,但也有大于一公里的情况。为简便,同称为最后一公里问题。 涉及计算机网络的术语和定义请参见中国石油局域网标准 。 数据和电子文档安全管理规范V 目目 录录 第第 1 章章数据和电子文档安全管理概述数

12、据和电子文档安全管理概述.7 1.1概述 .7 1.2目标 .7 1.3规范的适用范围 .7 1.4规范引用的文件或标准 .9 1.5术语和定义 10 第第 2 章章电子文档安全管理规范电子文档安全管理规范12 2.1电子文档主要安全问题 12 2.1.1未经授权的访问则 .12 2.1.2人员的恶意攻击 .12 2.1.3授权用户的不当操作 .12 2.1.4电子文档的分散存储 .13 2.1.5外部因素的影响 .13 2.2电子文档安全管理规范 14 2.2.1电子文档的建立管理 .14 2.2.2电子文档的更改管理 .14 2.2.3电子文档的归档管理 .15 2.2.4电子文档的保管管

13、理 .15 2.2.5电子文档的使用管理 .16 2.2.6电子文档的备份管理 .16 2.2.7电子文档的定期检查 .17 2.3电子文档技术保护手段 17 2.3.1加固计算机系统和网络 .17 2.3.2加强对于电子文档的认证管理 .18 2.3.3加强对于电子文档的授权管理 .18 2.3.4电子文档加密 .21 VI数据和电子文档安全管理规范 2.3.5加强对电子文档日志审计管理 .22 2.3.6检测恶意代码 .23 第第 3 章章数据库安全管理规范数据库安全管理规范 .24 3.1常见的数据库安全问题 24 3.2数据库安全管理规范 26 3.2.1加固操作系统和网络 .26 3

14、.2.2数据库设置的安全管理 .26 3.2.3数据库用户认证管理 .27 3.2.4数据库用户授权管理 .28 3.2.5数据库的日志和安全审计 .29 3.2.6数据库的加密管理 .31 3.2.7人员培训管理 .33 第第 4 章章数据备份管理规范数据备份管理规范.34 4.1数据备份的主要方式 34 4.1.1完全备份、增量备份和差异备份 .34 4.1.2传统备份和异地备份 .34 4.1.3其他备份方式 .36 4.2中国石油数据备份规范 38 4.2.1对数据备份的规定 .38 4.2.2建立合理的备份体系 .39 4.2.3数据备份过程的管理 .39 4.2.4中国石油备份方式

15、相关规范 .41 附录附录 1参考文献参考文献 .42 附录附录 2本规范用词说明本规范用词说明.43 数据和电子文档安全管理规范7 第第第 1 1 1 章章章 数据和电子文档安全管理概述数据和电子文档安全管理概述数据和电子文档安全管理概述 1.1概述 随着计算机和通讯技术的迅速发展,电子数据信息已经是企业中非常重要的资产之一, 电子数据信息的重要性也越来越受到人们的关注。数据信息的表现形式通常分为两种, 一种以文件的形式存在,另一种存储在数据库中。防止数据遭受未经授权的访问、恶意 的读取和破坏以及非法的拷贝等等情况的发生,是保护信息安全的最终目的。信息安全 其他所有的保护方式如物理环境和硬件

16、保护,网络和操作系统的保护,应用系统的保护 的最终目的都是保护数据的安全。 因此本规范主要针对数据本身进行安全的规范和管理,通过对数据的两种主要的表现形 式,电子文档和数据库进行保护并从数据备份的角度对数据和电子文档进行安全相关的 规范。 1.2目标 本规范的目标为: 通过对数据和电子文档进行相应的安全管理规范,保证目前中国石油数据库和电子文档 的安全。使得各种电子文档系统和数据库系统免遭未经授权的访问,从而保证中国石油 相关数据信息的安全。 1.3适用范围 本套规范适用的范围包括了所有和电子文档或数据库相关的安全问题和安全事件所有和电子文档或数据库相关的安全问题和安全事件。具体来 说包括了电子文档相关的安全规范、数据库相关的安全规范和数据备份的安全管理规范。 8数据和电子文档安全管理规范 本规范主要讨论了和信息系统相关的数据和电子文档的安全

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 大杂烩/其它

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号