应用系统使用安全管理通则030324v3FD文档格式.docx

1、应用系统使用安全管理通则就是希望通过对于应用系统使用进行相应的规范来确保应用系统的正常运作。从而确保企业的业务运作的正常和有效，并且通过对于应用系统的不断的改进和更新使之更加的符合业务上的各种需求，提高企业业务运作的效率。本规范由中国石油天然气股份有限公司提出。本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。起草单位：中国石油制定信息安全政策与标准项目组。说 明在中国石油信息安全标准中涉及以下概念：组织机构中国石油（PetroChina） 指中国石油天然气股份有限公司有时也称“股份公司”。集团公司（CNPC） 指中国石油天然气集团公司有时也称“存续公司”。为区分中国石油的地区公

2、司和集团公司下属单位，担提及“存续部分”时指集团公司下属的单位。如：辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网（PetroChinaNet） 指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上，进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。集团公司网络（CNPCNet） 指集团公司所属范围内的网络。中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络，当提及“存续公司网络”时，指存续公司使用的网络部分。主干网 是从中国石油总部连接到各个下属各地区公司的网络部分，包括中国石油总部局域网、各个二

3、级局域网（或园区网）和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总部，不是利用专线，这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。地区网 地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道可以是专线，也可以是拨号线路。局域网与园区网 局域网通常指，在一座建筑中利用局域网技术和设备建设的高速网络。园区网是在一个园区（例如大学校园、管理局基地等）内多座建筑内的多个局域网，利用高速信道互相连接起来所构成的网络。园区网所利用的设备、运行的网络协议、网络传输速度基本相同于局域网。局域网和园区网通常都是用户自己建设的。局域网和园区网与广域网不

4、同，广域网不仅覆盖范围广，所利用的设备、运行的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建设的。二级单位网络 指地区公司下属单位的网络的总和，可能是局域网，也可能是园区网。专线与拨号线路 从连通性划分的两大类网络远程信道。专线，指数字电路、帧中继、DDN和ATM等经常保持连通状态的信道；拨号线路，指只在传送信息时才建立连接的信道，如电话拨号线路或ISDN拨号线路。这些远程信道可能用来连接不同地区的局域网或园区网，也可能用于连接单台计算机。石油专网与公网 石油专业电信网和公共电信网的简称。最后一公里问题 建设广域网时，用户局域网或园区网连接附近电信部门信道的最后一段距离

5、的连接问题。这段距离通常小于一公里，但也有大于一公里的情况。为简便，同称为最后一公里问题。涉及计算机网络的术语和定义请参见中国石油局域网标准。目 录1 概述 62 目标 63 适用范围 64 引用的文件或标准 75 术语和定义 86 应用系统安装管理 96.1 测试安全 96.2 版本管理安全 107 应用系统使用管理 137.1 使用者身份识别管理 137.2 基于人员职责的应用系统分级授权管理 157.3 安全运营管理 177.4 安全控制管理 217.5 应用系统安全日志管理和监控管理 238 应用系统维护管理规范 268.1 备份管理规范 268.2 维护安全管理规范 268.3 卸载

6、处理管理规范 28附录 1 参考文献 29附录 2 本规范用词说明 301 概述应用系统的概念是将技术与用户业务上的实际需求结合在一起，直接面对使用者、用于支持用户更快更好更有效的完成实际工作的集成的人机交互系统。应用系统是建立在物理硬件系统、软件操作系统之上的信息系统。根据应用系统完成目标和服务对象的不同目前主要分为以下几种类型：业务处理系统、职能信息系统、组织信息系统和决策支持系统。本通则通过对各种类型的应用系统在使用过程中面临的各种与安全相关的并且具有一定通用性的问题进行阐述。从应用系统安装实施到使用到最后的维护报废的各个阶段入手，对应用系统使用中的安全问题加以相应的规范，确保应用系统在

7、使用中的安全管理。2 目标本规范的目标为：保护应用系统在使用的各个阶段的安全。具体来说就是保护应用系统安装实施中的安全，保证应用系统在使用中的安全和在维护和报废过程中的安全。并使得应用系统不断的符合中国石油的实际业务需求和安全管理上的需求。使应用系统更好的为中国石油的业务发展服务。3 适用范围本套规范适用的范围包括了所有在应用系统使用过程中相关的安全问题和安全事件。具体来说包括了应用系统安装过程中的安全问题，使用中的安全问题和维护报废过程中的安全问题，同时也包含了应用系统使用中版权的管理问题。本通则面向所有的应用系统的使用者、应用系统的维护和开发人员以及企业内部信息安全的管理人员和技术人员。4

8、 引用的文件或标准下列文件中的条款通过本标准的引用而成为本标准的条款。凡是不注日期的引用文件，其最新版本适用于本标准。1. GB17859-1999 计算机信息系统安全保护等级划分准则2. GB/T 9387-1995 信息处理系统 开放系统互连基本参考模型（ISO7498 :1989）3. GA/T 391-2002 计算机信息系统安全等级保护管理要求4. ISO/IEC TR 13355 信息技术安全管理指南5. NIST信息安全系列北美信息标准组织安全规范6. NIST信息安全系列美国国家标准技术院7. 英国国家信息安全标准BS77998. 信息安全基础保护IT Baseline Pro

9、tection Manual （Germany）9. BearingPoint Consulting 内部信息安全标准10. RU Secure安全技术标准11. 信息系统安全专家丛书Certificate Information Systems Security Professional5 术语和定义认证 a.验证用户、设备和其他实体的身份； b. 验证数据的完整性。可用性availability 数据或资源的特性，被授权实体按要求能及时访问和使用数据或资源。保密性confidentiality 数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。完整性i

10、ntegrity在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,信息系统中的数据与在原文档中的相同，并未遭受偶然或恶意的修改或破坏时所具的性质。数字签名digital signature 添加到消息中的数据，它允许消息的接收方验证该消息的来源。加密encryption 通过密码系统把明文变换为不可懂的形式。身份认证identity authentication 使信息处理系统能识别出用户、设备和其他实体的测试实施过程。密钥key 控制加密或解密操作的位串。漏洞loophole 由软硬件的设计疏忽或漏洞导致的能避过系统的安全措施的一种错误。恶意代码malicious

11、code 在硬件、固件或软件中所实施的程序，其目的是执行XX的或有害的行动。不可抵赖性 non-repudiation 信息系统中涉及的若干个实体中的一个对曾参与全部或部分通信过程不能否认的特性。口令password 用来鉴别实体身份的受保护或秘密的字符串。安全策略 security policy 规定机构如何管理、保护与分发敏感信息的法规与条例的集合。验证 verification 将某一活动、处理过程或产品与相应的要求或规范相比较。例：将某一规范与安全策略模型相比较，或者将目标代码与源代码相比较。6 应用系统安装管理规范6.1 测试安全随着业务的发展，不断有新的应用系统投入使用，在应用系统

12、正式投入使用之前必须进行测试以保证系统的安全和可靠，并符合企业的相关安全管理规范。对于应用系统的测试应遵从以下几个方面进行相关的规定：a） 在测试之前必须预先提出申请。通常由应用系统的使用部门中负责系统管理的相关人员向部门领导提出测试的申请，并注明测试的原因、目的，时间，项目等。如果需要用真实的业务数据进行测试还需要进一步向公司信息安全部门确认并事先做好数据的保密工作。b） 明确参与测试的人员和人员的职责。参与测试的人员必须经过一定的筛选，通常由系统的开发人员或系统供应商的技术支持人员以及公司相关业务部门的系统维护人员和系统使用者共同参与。c） 应编写详细的测试计划。在测试的申请得到批准的前提

13、下，编写详细的测试计划书，包括测试的物理环境要求，硬件和软件环境的要求，测试数据的准备，特别是如果采用真实的业务数据必须考虑数据的保密措施或对数据进行一定的数学处理。d） 应预先准备相关的测试环境。根据测试计划，准备相应的环境、设备和数据，并对环境和设备进行一定的检测，以确保在测试的过程中不会因应用环境或硬件的问题影响测试的结果。e） 进行测试。测试不得影响正常的业务运作。如果客观上无法避免影响，也必须将测试的时间安排在工作时间以外，或尽量缩短测试的时间以减少对业务造成的影响。通常将测试分为阶段性测试和完整性测试。测试的内容通常包括了以下几部分： 应用系统安装测试，确认系统能在各种环境下正常的

14、安装。 应用系统应用模块测试，确认应用系统各个功能模块的运行正常。 应用系统整体测试，确认应用系统各个功能模块之间的接口和交互正常。 应用系统数据吞吐量测试，确认应用系统所能负载的数据量的极限。 应用系统兼容性测试，确认系统和其他系统之间没有兼容性问题。 应用系统用户需求测试，确认系统功能能够达到用户的需求。f） 检验阶段性或完整性测试报告。根据测试报告的内容对系统进行进一步的调整和更改，使得系统最大限度的满足业务的需求。6.2 版本管理安全6.2.1 版本使用应用系统的版本使用相关的安全措施应遵从：g） 必须规定应用系统的使用范围和使用者权限，确保应用系统仅在授权使用的范围内进行，任何形式的

15、越权使用都将由于违反了该项规定而需要受到一定的惩罚。具体而言宜采用以下实施的步骤： 定期检查所有的用户系统上已经安装的应用系统。 确认如用户系统上安装了不应安装的应用系统或超出许可拥有版权数量以外的应用系统应立即予以清除并销毁。 确认如用户系统上安装了的非法版权的或盗版的应用系统应立即予以清除并销毁。h） 应用系统的使用者应接受适当的使用培训和安全规范教育，确保系统的使用者能够正确的使用系统，尽量减少由于对系统不了解而造成的抵触情绪和由于误操作造成的损失。i） 应建立与应用系统版本使用情况相关的文档管理制度和软件分发制度。确认目前所有的应用系统有效版本数。j） 必须防止应用系统软件被盗用、流失

16、和越权使用。k） 必须严格地集中控制应用系统的购买申请，杜绝重复购买的现象。l） 应使用版本统一的应用系统软件。m） 应采取有效的措施，防止对应用软件的非法访问及修改。n） 技术人员不得擅自对软件本身进行修改和参数调整。6.2.2 版权控制应用系统使用过程中应注意对于版权的管理和控制，通常对于版权的问题主要从两个方面入手进行管理：6.2.2.1 防范系统的非法拷贝防范系统的非法拷贝可以从技术的角度和人员管理的角度两方面进行控制：o） 从技术的角度是指应用系统的开发人员可通过采用某种加密的办法和措施，使得非法的用户无法顺利的安装应用系统，以防止应用系统的非法扩散，从而保护开发者的利益。p） 从人

17、员管理的角度是指应用系统的使用者应知道应用系统的开发过程是耗资巨大且非常困难的，应尊重应用系统开发人员的劳动成果。从使用者意识的角度进行规范，并明文规定如非法拷贝系统将受到一定的惩罚。6.2.2.2 防范使用非法版权（如盗版）的软件对于盗版软件使用的防范通常通过“教育”加“检查”的方式进行规范。q） 应加强对系统使用人员的教育，提升人员的版权保护意识。让相关人员意识到使用盗版软件是一种侵权行为，也是一种偷窃行为。r） 公司的强制性规定。应明文规定禁止使用任何形式的非法版权的应用系统或软件。一旦发现将严肃处理。s） 应通过不定期的突击检查的方式，随时随机地检查某些用户使用的计算机系统中安装的各类

18、应用系统软件。一旦发现使用非法版权的系统将予以严肃处理。7 应用系统使用管理规范7.1 使用者身份识别管理7.1.1 用户账号管理t） 应确保每一位应用系统的使用者只拥有一个属于自己的独立的账号，该账号直接关系到该用户在整个应用系统中的相关的权限。不得在应用系统中设立虚假的账号或无人使用的账号。u） 账号的申请和建立必须严格按照“一个人一个账号”的原则。v） 应用系统应提供相关的机制为每个账号和其他的个人相关信息有所联系。如人员的真实姓名、联系方式，所在部门等。w） 在一般情况下禁止建立用户组账号（即同一个账号可以由许多不同的用户登陆使用）。除非情况十分特殊，则必须由相关的应用系统管理部门连同

19、安全管理部门共同认可。x） 系统正式投入运行后应立即将系统中的“Guest”以及类似的系统自带或内置缺省的账户删除。y） 应用系统在允许用户在使用系统中的某种重要功能之前，应要求用户提供其账号以确认身份。zz） 应用系统应能够维护一份含有所有当前使用的用户及其相关状态信息的列表。aa） 应用系统应提供相关机制来临时关闭或打开用户的账号。bb） 应用系统应提供相关的机制来限制同一个账号同时登陆的个数。cc） 应用系统应严格地控制各级管理员（Administrator）账号或根（Root）账号，所有的系统管理员应先通过他们自己的账号登陆系统，然后再切换到管理员（Administrator）账号或根

20、（Root）账号。dd） 应用系统应将在60天内没有使用过的用户账号暂时禁用。如果该账号在90天内没有使用过或相关的部门正式通知该账号已经作废，则需将该账号从系统中删除（在正式删除之前应向该用户发送一份通知）。用户可在业务需要且经部门的领导同意的情况下申请建立新的账号，或将已经被禁用的账号恢复。7.1.2 用户口令管理ee） 应用系统应提供一种机制确保每一个使用系统的人员都必须先经过系统登陆，如输入用户名和口令的过程。禁止出现可以不经过系统登陆直接进入应用系统的情况。ff） 应用系统应至少支持“用户名+口令”的系统认证方式，也可采用如“动态密码卡+个人识别码”的认证方式。gg） 应用系统对于口

21、令的控制应符合“口令管理标准”中规定的相关规范。hh） 应用系统应允许用户自行在系统中更改自己的口令。但这种更改必须建立在用户已经通过了系统对于其本人身份的认证的基础之上。且系统应强制规定用户不可以为其本人以外的其他用户更改口令。ii） 应用系统的口令应以密文的形式存放在系统中，且口令在传输的过程中必须进行一定的加密措施以确保口令的保密性和完整性。jj） 当用户连接上应用系统但在一定的时间内（建议10分钟）没有使用，则系统应自动将该用户与系统的会话切断，当用户希望继续对应用系统进行操作时必须重新输入密码。kk） 用户成功的登陆系统后，应用系统宜将登陆的时间，日期和用户的位置以及用户上次成功登陆

22、系统之后登陆失败的次数显示在登陆的界面上。ll） 系统应提供一种机制保证当用户连续5次登陆失败后系统会自动将用户的账号锁定，且通知系统管理员。mm） 应用系统应强制用户在第一次登陆系统后必须更改当前的系统初始口令，同样当出现用户忘记或遗失口令的情况系统管理员会帮助用户重新设置临时口令，用户在第一次使用临时口令时系统应强制用户必须更改临时口令后才能登陆系统。nn） 应用系统中所有的自带的或缺省的口令必须在系统正式使用之前全部从系统中删除。oo） 应用系统应强制用户每隔一定的时间（如60天）修改用户的登陆口令。pp） 应用系统应保留用户之前5次使用的口令以确保用户的口令不会与前次重复。qq） 应用

23、系统的账号和口令管理必须严格的控制访问的权限，通常只能是系统的管理员才有权限进行访问和管理。rr） 应用系统的口令输入界面必须提供口令自动密文转换的功能。ss） 口令文件应和系统的程序分开单独加密存放。7.2 基于人员职责的应用系统分级授权管理tt） 应用系统应只允许经过认证的用户、程序模块或其他的应用系统访问，任何XX的访问都应被阻挡在外。uu） 内部员工应用系统授权管理规范可以参照以下流程： 根据人事系统中员工的情况授予其相应的应用系统使用的权限和承担的责任。 以书面的方式将员工的权限和相应的责任提交给员工本人。 根据员工权限和责任的大小确认是否需要签署相关的保密协议。 在日常工作中记录员

24、工的相关应用系统访问日志信息 员工一旦离职或调动岗位应立即收回或调整其应用系统相关的访问的权限。vv） 应用系统应提供通过将用户分组的方式定义用户的权限策略，比如对于同一类型的用户，这些用户可能具有某些共同的属性如属于同一业务单元、或在地理位置上相同或者在同一个项目中，使得这些用户在系统中具有相同的权限。因此可以通过对于同一组的用户给予同样的权限制定和使用同样的安全策略。大大降低安全策略实施的复杂度。ww） 应用系统应支持对于敏感的系统或交易处理提供双重身份认证机制。xx） 应建立应用系统的安全管理机构，负责应用系统安全相关的日常事务工作。主要负责与应用系统安全相关的规划、建设、资源利用和事故

25、处理等方面的决策和实施。yy） 应用系统的安全管理机构的相关人员至少要求两个人或以上，禁止将系统的安全管理职责赋予一个人。必须建立相互监督的安全管理机制。zzz） 所有的用户的相关权限必须定期（每六个月）进行审计评估，安全管理人员的权限必须定期（每三个月）进行审计评估。7.3 安全运营管理应用系统在运营使用中的安全也相当重要，由于各个应用系统的功能，使用情况都各不相同。不可能根据各个不同的应用系统本身的特点进行安全上的阐述。因此应用系统的安全运营管理主要从系统通用的安全性：保密性、完整性和不可抵赖性三个方面进行阐述。7.3.1 系统保密性管理所谓应用系统的保密性是指防止应用系统的相关信息泄漏给

26、XX的用户、实体或进程，须遵守以下规范：aaa） 对于所有的非公共的数据传输或存储数据在企业安全管理范围以外的情况都应对相关的数据进行加密的保护。bbb） 对于非常敏感的数据无论在何种情况下都必须进行加密。ccc） 应用系统应使用公司标准的加密方法和加密机制。ddd） 保护关键密钥，确保只有经过授权的人才能得到。eee） 设计和实施加密系统时应确保没有人能够完全了解或控制加密主密钥的相关信息。fff） 应保护与密钥相关的各种资料，包括软件版本和硬拷贝。ggg） 禁止将密钥转换成明文。7.3.2 系统可用性管理可用性是指保证应用系统可以持续地被授权的应用实体访问并按照相关业务的需求进行使用，须遵

27、守以下规范：hhh） 所有的加密机制应提供重创建机制、恢复机制，禁止应用系统在任何情况下拒绝对用户进行服务。iii） 应能够提供备份机制确保当应用系统出现问题时及时地恢复。jjj） 根据业务的需求建立数据备份的日程表，如果业务上没有明确的需求则每天进行一次增量的备份，一周进行一次全量的备份。kkk） 对应用系统数据集中存放的情况宜采取远程备份和灾难恢复的策略。lll） 对于备份在备份介质如磁带上的数据应定期（隔6个月）进行一次检测确保数据还可以被恢复。7.3.3 系统完整性管理完整性是指应用系统信息在XX的情况下不得被改动的特性，须遵守以下规范：mmm） 应用系统尽管不可避免的会存在一定的安全

28、风险，但应尽可能的将应用系统自身的安全风险降到最低。nnn） 应对应用系统的详细设计进行分析来判断是否真正达到了企业所要求的安全规范。ooo） 应用系统的开发应尽量使用安全的开发环境。ppp） 应用系统的测试环境和开发环境必须分离。qqq） 开发人员应明确自己的开发的任务和相应的安全责任。rrr） 所有开发的代码都必须可以通过设计文档进行回朔，确认每行代码最终的业务需求。sss） 应用系统应提供相关的验证机制或流程确保应用系统自身没有被非法的修改。ttt） 应用系统中所有的安全特性都必须经过功能性测试，安全测试应被列为系统整体测试的一个重要的部分。所有安全相关的测试问题都必须被完善的解决。uuu） 应用系统应提供严格的访问控制机制以确保系统不会被XX的人访问，修改或删除信息。vvv） 在数据传输的过程中，应用系统中信息敏感的关键数据应进行加密的保护以确保完整性。www） 应用系统应自动生成日志信息以供日后审计使用。xxx） 应用系统应保留所有的访问的日志记录，包括用户的访问，系统的访问。记录相关的访问日期，访问时间和访问者相关信息。7.3.4 系统不可抵赖性管理规范不可抵赖性也被称之为不可否认性，主要是指信息在交换的过程中，确认参与者的身份的真实性和可靠性以及参与者操作的不可否认性，须遵守以下规范：yyy） 不可抵赖性服务应被