毕博—石油国际全套咨询数据和文档安全管理规范

毕博—石油国际全套咨询数据和文档安全管理规范内容摘要：

最小权限 minimum privilege 主体的访问权限制到最低限度，即仅执行授权任务所必 需的那些权利。 口令 password 用来鉴别实体身份的受保护或秘密的字符串。 明文 plaintext 无需利用密码技术即可得出语义内容的数据。 10 数据和电子文档安全管理规范 安全等级 security classification 决定防止数据或信息需求的访问的某种程度的保护，同时对该保护程度给以命名。 为表示信息的不同敏感度 , 按保密程度不同对信息进行层次划分的组合或集合。 例：“绝密”、“机密”、“秘密”。 可信计算机系统 trusted puter system 提供充分的计算机安全的信息处理系统，它允许具有不同访问权的用 户并发访问数据，以及访问具有不同安全等级和安全种类的数据。 HSM 硬件安全模块 Hardware Security Module NAS 网络附加存储 Network Attached Storage SAN 存储区域网络 Storage Area Network 数据和电子文档安全管理规范 11 第第 2 章章 电电 子子 文文 档档 安安 全全 管管 理理 规规 范范 电子文档主要安全问题 在当前多用户系统和 网络 普及的情况下，中国石油电子文档的安全问题也涉及到多个方面， 目前主要 的 安全问题如下： 未经授权的访问 重要的电子文档被未经授权的用户访问到（阅读、修改或删除），可能 导致 信息的泄 漏。 人员的恶意攻击 a) 外部入侵者或者内 部有相应权限的人员，出于某种恶意的目的 对电子文档的内容进行篡改。 b) 恶意代码的攻击可能使电子文档无法使用。 授权用户的不当操作 a) 即使对于用户的访问权限做了严格的限制，但是一些重要的电子文档还是有可能被其他人获得。 例如用户的可移动存储设备的遗失，或由于管理员一时的疏忽，导致访问权限的错误。 在这种情况下，需要额外的机制来保证这些信息内容不被非法读取，可采取的手段有电子文档的加密、电子文档口令的设置等。 b) 误操作导致重要文件被删除或者磁盘被格式化。 c) 在文件的复制过程中， 由于误 操作将同名文件覆盖。 12 数据和电子文档安全管理规范 d) 在电子文档的修改过程中， 由于用户的误操作，使得原先内容完整的电子文档丢失。 电子文档的分散存储 a) 重复存储占用空间 —— 同一个电子文档在多个共享的文件存储服务器上存在，同时每个用户处 有电子文档的多个历史版本，导致磁盘空间的浪费。 b) 版本的不一致性 —— 不同用户处的同一个电子文档，由于 没有及时更新 等原因 ，导致在不同用户处保存同一个电子文档的版本 不一致 ，并且包含不同的内容。 c) 内容的不一致性 —— 多个用户各自在本地对同一电子文档进行了不同的修改，导致内容的不一致。 外部因素的影响 a) 存储 电子文档的存储 设备 损坏，导致电子文档的损坏或丢失。 b) 在火灾、地震或者恐怖事件等特殊情况下， 对数据和电子文档造成的破坏。 数据和电子文档安全管理规范 13 电子文档安全管理 电子文档的建立、更改、归档、保管、使用、备份等各个环节，都有信息更改、丢失的可能性，建立并执行一套科学、合理、严密的管理制度，从每一个环节消除信息失真的隐患，对于维护电子文档的原始性、真实性十分重要。 电子文档的管理不仅注重每个阶段的结果，也要重视每项工作的具体过程，并把这些过程一一记录下来。 其中有关维护信息安全方面的主要规定为： 电子文档的建立管理 a) 重要电子文档的制作过程应责任分明。 b) 每个重要电子文档都必须有主要的负责人，并对负责的电子文档负有全责。 c) 重要电子文档的合作人员必须清晰界定，并严格划分参与人员的职责。 d) 重要电子文档的建立过程必须记录下来，并清晰记录每个参与人员的职责和工作情况。 电子文档的更改管理 a) 重要的电子文档一经定稿禁止进行修改，除非经过必要的审批程序。 b) 所有重要的电子文档的变更都必须记录在案。 c) 在对于重要电子文档的修改过程中，应保存电子文档的各个历史版本。 可采用专用的电子文档管理软件自动方便管理电子文档的版本。 d) 对于十分重要的电子文档应使用专用的电子文档管理软件进行 安全管理，以确保电子文档的版本和迁入迁出的变更都被自动的记录在案。 并在电子文档更改后自动通知该电子文档的管理员和该电子文档的所有者。 14 数据和电子文档安全管理规范 电子文档的归档管理 a) 电子文档归档时应进行全面、认真的检查。 b) 电子文档原来的所有者应保证内容的完整、真实可靠。 c) 必须保证读取电子文档的软件也进行了归档。 d) 必须记录电子文档的元数据，即电子文档的说明、结构和上下文关系等。 e) 应记录电子文档的业务和行政方面的背景数据。 f) 电子文档的负责人必须指定电子文档的保存期限，并且该保存期限不与相关的合同、法规以及中国石油的特殊规定相违背。 g) 归档 的负责人也应检查电子文档的内容、确定其是否是最终版本。 h) 电子文档如有相应的纸质电子文档或其他载体的电子文档，必须保证内容一致。 i) 检查电子文档载体的物理状态、通过防病毒程序检查是否存在病毒。 j) 对于特殊的电子文档，宜将其打印成纸质电子文档或制成缩微品进行归档。 电子文档的保管管理 a) 必须使用可靠的存储媒体保管电子文档。 b) 所有归档的电子文档应进行写保护处理，使之处于只读状态。 c) 因软硬件平台发生改变而对电子文档进行格式转换时，应防止转换过程中的信息变化。 d) 对保存的电子文档应根据其重要程度定期 （每 3 个月） 进行安全性、 有效性检查，发现载体和信息有损伤时，应及时采取措施，进行修复。 数据和电子文档安全 管理规范 15 e) 保证电子文档保存地点的物理安全，尽量将重要的电子文档保存在物理条件较好的区域如机房或专用的资料存储室等。 具体内容参见《机房安全管理规范》、《区域安全管理规范》。 电子文档的使用管理 a) 电子文档入库的载体不得外借，只能以拷贝的形式提供。 b) 重要电子文档的借阅必须经过批准，电子文档的借阅者和负责人应对电子文档的借阅进行确认。 c) 对于保密级别高的电子文档，只得在指定的地方阅读或者进行其它处理，不得提供相应的拷贝。 d) 电子文档的使用者在使用过程中应对电子文档 的安全负责，防止泄密和数据损失。 e) 对于重要的以及非常敏感的电子文档，应提供防止再拷贝的技术措施。 f) 除公开发行的电子出版物外、对其它借出的电子文档拷贝必须按时回收。 电子文档的借阅者和负责人应对电子文档的回收进行确认。 g) 应记录所有电子文档的使用情况，包括载体的类型、数量、使用时间、使用人员、最后回收期限及双方责任人员。 h) 采用网络传输等方式时，必须对重要的电子文档进行加密。 i) 对于回收的电子拷贝应进行内容消除处理。 电子文档的备份管理 参见本规范第四章“数据备份管理规范”。 16 数据和电子文档安全管理规范 电子文档的定期检查 a) 应每年一次，采用 等距抽样或者随机抽样的方式进行定期检查，样品数量不应少于 10% b) 应进行外观检查，例如确认载体表面是否有物理损坏或变形，外表涂层是否清洁及有无霉斑。 c) 应进行逻辑检测，采用相关软件对载体上的信息进行读写校验。 发现有出错的载体，必须进行有效的修正或更新。 d) 应建立相应的维护管理电子文档，对电子文档的检测、维护、拷贝等操作过程进行记录，避免发生人为的误操作或不必要的重复劳动。 e) 应为每一份重要的电子文档建立必要的记录，记载电子文档的建立、修改、使用情况。 f) 应通过记录检查电子文档的修改历史， 确定电子文档各次修改的责任人。 g) 应通过检查记录，保证电子文档的真实性。 电子文档技术保护手段 加固计算机系统和网络 a) 应防止由于系统和网络的漏洞导致的电子文档安全问题，具体规范参见《操作系统安全管理规范》、《网络安全管理规范》。 b) 为防止由存储设备的物理损坏导致的危害，应对重要的电子文档采用磁盘阵列容错和冗余等措施。 数据和电子文档安全管理规范 17 加强对于电子文档的认证管理 操作系统必须设置相应的认证手段 进入操作系统的认证，是保护电子文档安全的第一道屏障。 无论是单用户的操作系统还是多用户的操作系统，必须能够提供操作系统的进入认证控制。 这种控制往往是通过用户口令 的方式来进行的。 对于移动设备，往往还提供了额外的认证手段。 a) 单用户操作系统必须设置 CMOS 口令； b) 多用户操作系统的每个用户必须设置各自的口令；且口令必须严格遵守相关的口令管理规范，详见《口令管理标准》。 c) 在不使用系统的时候，必须锁定计算机或者退出系统。 d) 对于操作系统的管理详见《操作系统安全管理规范》，确保操作系统的安全，从而间接地保护了基于操作系统的相关电子文档。 电子文档本身设置相应的认证手段 对于重要的电子文档应对其本身设置相应的认证机制，常见的方法是对于电子文档进行加密以保证电子文档不会被未经授权的 用户打开。 如果采用口令的方式进行加密，应保证口令的设置符合《口令管理标准》中相应的规范。 加强对于电子文档的授权管理 文件系统的访问权限 a) 对于多用户的系统，宜对于特定的目录和文件，设置特定的访问权限。 许可的设置包括两方面的内容：  允许哪些组或用户对文件夹、文件和共享资源进行访问；  获得访问许可的组或用户可进行什么级别的访问。 18 数据和电子文档安全管理规范 b) 访问许可权限的设置不但适用于本地计算机的用户 ,同样也适用于通过网络共享文件夹对文件进行访问的操作。 网络共享文件夹的认证和授权 a) 除非特别必要，否则禁止在个人的计算机上设置网络文件夹 共享。 b) 对于网络共享文件夹，必须严格限制用户对文件夹的访问权限，只对必须进行访问的用户开放访问权限。 c) 网络共享文件夹必须设置口令。 d) 对于其中重要的电子文档，必须进行加密。 访问权限的一般原则 权限建立 a) 功能分离原则：系统必须将系统管理员和普通用户的功能清晰地区分。 系统管理员可分配访问权限、监督用户的访问操作，并在必要的情况下取消用户的相应权限。 b) 授权控制：初始的权限由用户的身份及所属的组织来定义。 对于用户基本权限的修改必须经过该用户的上级领导的同意。 系统管理员负责控制授权的过程。 c) 最小权限原则：一方 面给予主体 必不可少 的权限，这就保证了所有的主体都能在所赋予的权限之下完成所需要完成的任务或操作；另一方面，它只给予主体 必不可少 的权限，这就限制了每个主体所能进行的操作。 d) 缺省目录和电子文档访问权限：定义相应的配置文件，用户自己的文件缺省应不能被其他人读、修改和删除。 每个用户必须仔细考虑自己的文件可被哪些人访问，并且允许他们执行的操作。 数据和电子文档安全管理规范 19 e) 用户组访问：在必要的情况下，可通过定义组来进行数据访问。 这些用户组应通过业务单元、地理位置、项目、职责或者功能来定义。 电子文档的所有者确定相关的组的访问权限。 f) 缺 省拒绝访问：如果一个计算机或者网络的访问控制系统工作不正常，那么应最小化其上所有用户的访问权限。 权限管理 a) 访问授权管理：对于任何重要电子文档的访问，必须预先得到该电子文档所有者的授权，并且授予的权限仅能使他们“知道电子文档内容或者做相应的操作”（最小权限原则）。 相关的访问记录必须根据中国石油的要求，保存相应的时间，并且符合相应的法规。 b) 用户权限的定期检查：电子文档的管理者或所有者必须定期对其他用户对该电子文档的权限进行检查，保证用户权限是合理的。 检查的时间间隔不能超过 6 个月。 c) 当用户的职位发生变更， 或者工作需要改变以后，系统管理员应检查用户的访问权限，并作合适的变动。 d) 所有电子文档访问的可追究性：通过使用完整的日志和唯一的用户 ID，所有的电子文档操作必须可追溯到特定的用户。 e) 权限的删除：一旦员工离开中国石油，必须立即删除他们的访问权限。 对于其他的用户，如果不再需要进行相关的访问，应将其权限收回。 权限限制 a) 对实际系统的访问：通常情况下不得授权应用和系统开发人员访问实际运作的系统；除非确实需要，并经过上级批准，才能授予其相关权限。 b) 管理员级别的帐户：必须严格控制管理员和 root 级别的系统帐户。 系统管理员权限的授予必须经过严格的授权流程及相应的授权人员的批准，并且应严20 数据和电子文档安全管理规范 格限制在极少数的人员之间。 系统管理员必须在切换到管理员帐户前首先使用个人的普通帐户登陆。 c) 独立的子网和防火墙之间的访问必须严格限制。 d) 跨公司的访问控制：当需要在总公司和地区公司之间，或者在地区公司之间的网络进行敏感信息的访问和传输时，这种访问必须采取以下限制：访问控制机制必须识别相应的公司的身份，以及。