數(shù)據(jù)和文檔安全管理規(guī)范_030328_v3_FD

1、中國(guó)石油信息安全標(biāo)準(zhǔn)編號(hào)：中國(guó)石油天然氣股份有限公司數(shù)據(jù)和電子文檔安全管理規(guī)范（審閱稿）版本號(hào)：V3審閱人：王巍中國(guó)石油天然股份有限公司 前 言隨著中國(guó)石油天然氣股份有限公司（以下簡(jiǎn)稱(chēng)“中國(guó)石油” ）信息化建設(shè)的穩(wěn)步推進(jìn)，信息安全日益受到中國(guó)石油的廣泛關(guān)注，加強(qiáng)信息安全的管理和制度無(wú)疑成為信息化建設(shè)得以順利實(shí)施的重要保障。中國(guó)石油需要建立統(tǒng)一的信息安全管理政策和標(biāo)準(zhǔn)，并在集團(tuán)內(nèi)統(tǒng)一推廣、實(shí)施。本規(guī)范是依據(jù)中國(guó)石油信息安全的現(xiàn)狀，參照國(guó)際、國(guó)內(nèi)和行業(yè)相關(guān)技術(shù)標(biāo)準(zhǔn)及規(guī)范，結(jié)合中國(guó)石油自身的應(yīng)用特點(diǎn)，制定的適合于中國(guó)石油信息安全的標(biāo)準(zhǔn)與規(guī)范。目標(biāo)在于通過(guò)在中國(guó)石油范圍內(nèi)建立信息安全相關(guān)標(biāo)準(zhǔn)與規(guī)范，提

2、高中國(guó)石油信息安全的技術(shù)和管理能力。信息技術(shù)安全總體框架如下（change-highlight the corresponding one）： 區(qū)區(qū) 域域 安安 全全 管管 理理 規(guī)規(guī)范范 機(jī)機(jī) 房房 安安 全全 管管 理理 規(guī)規(guī)范范 硬硬 件件 設(shè)設(shè) 備備 管管 理理 規(guī)規(guī)范范 網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全管管理理規(guī)規(guī)范范通通用用安安全全管管理理標(biāo)標(biāo)準(zhǔn)準(zhǔn) 數(shù)數(shù) 據(jù)據(jù) 和和 文文 檔檔 安安 全全管管 理理 規(guī)規(guī) 范范 應(yīng)應(yīng) 用用 系系 統(tǒng)統(tǒng) 使使 用用 安安全全 管管 理理 標(biāo)標(biāo) 準(zhǔn)準(zhǔn) 通通 則則 應(yīng)應(yīng) 用用 系系 統(tǒng)統(tǒng) 開(kāi)開(kāi) 發(fā)發(fā) 安安全全 管管 理理 標(biāo)標(biāo) 準(zhǔn)準(zhǔn) 通通 則則 商商 業(yè)業(yè) 軟軟 件件

3、購(gòu)購(gòu) 買(mǎi)買(mǎi) 管管理理 標(biāo)標(biāo) 準(zhǔn)準(zhǔn) 電電 子子 郵郵 件件 安安 全全 管管理理 規(guī)規(guī) 范范 W We eb b系系 統(tǒng)統(tǒng) 安安 全全 管管理理 規(guī)規(guī) 范范 電電 子子 商商 務(wù)務(wù) 安安 全全 規(guī)規(guī)范范 防防 御御 惡惡 意意 代代 碼碼 和和計(jì)計(jì) 算算 機(jī)機(jī) 犯犯 罪罪 管管 理理 規(guī)規(guī)范范 信信息息安安全全技技術(shù)術(shù)標(biāo)標(biāo)準(zhǔn)準(zhǔn)物理環(huán)境安全管理硬件設(shè)備安全管理操作系統(tǒng)安全管理數(shù)據(jù)和文檔安全管理應(yīng)用系統(tǒng)安全管理網(wǎng) 絡(luò) 安 全 管 理 概 述通 用 網(wǎng) 絡(luò) 安 全 管 理規(guī) 范內(nèi) 部 網(wǎng) 絡(luò) 安 全 管 理規(guī) 范外 部 網(wǎng) 絡(luò) 安 全 管 理規(guī) 范認(rèn) 證 管 理 通 用 標(biāo) 準(zhǔn)通 用 安 全 管 理

4、標(biāo) 準(zhǔn)概 述授 權(quán) 管 理 通 用 標(biāo) 準(zhǔn)加 固 管 理 通 用 標(biāo) 準(zhǔn)加 密 管 理 通 用 標(biāo) 準(zhǔn)日 志 管 理 通 用 標(biāo) 準(zhǔn)系 統(tǒng) 登 陸 管 理 通 用標(biāo) 準(zhǔn) 操操 作作 系系 統(tǒng)統(tǒng) 安安 全全 管管理理 規(guī)規(guī) 范范 1） 整體信息技術(shù)安全架構(gòu)從邏輯上共分為 7 個(gè)部分，分別為：物理環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)和電子文檔、應(yīng)用系統(tǒng)和通用安全管理標(biāo)準(zhǔn)。圖中帶陰影的方框中帶書(shū)名號(hào)的為單獨(dú)成冊(cè)的部分，共有 13 本規(guī)范和 1 本通用標(biāo)準(zhǔn) 。2） 對(duì)于 13 個(gè)規(guī)范中具有一定共性的內(nèi)容我們整理出了 7 個(gè)標(biāo)準(zhǔn)橫向貫穿整個(gè)架構(gòu)，這7 個(gè)標(biāo)準(zhǔn)的組合也依據(jù)了信息安全生命周期的理論模型。每個(gè)

5、標(biāo)準(zhǔn)都會(huì)對(duì)所有的規(guī)范中相關(guān)涉及到的內(nèi)容產(chǎn)生指導(dǎo)作用，但每個(gè)標(biāo)準(zhǔn)應(yīng)用在不同的規(guī)范中又會(huì)有相應(yīng)不同的具體的內(nèi)容。我們?cè)谛形纳蠈⑦@六個(gè)標(biāo)準(zhǔn)組合成一本通用的安全管理標(biāo)準(zhǔn)單獨(dú)成冊(cè)。3） 全文以信息安全生命周期的方法論作為基本指導(dǎo)， 規(guī)范和標(biāo)準(zhǔn)的內(nèi)容基本都根據(jù)預(yù)防保護(hù)檢測(cè)跟蹤響應(yīng)恢復(fù)的理論基礎(chǔ)行文。隨著企業(yè)信息化建設(shè)的不斷深入，企業(yè)對(duì)于各類(lèi)信息需求也越來(lái)越緊迫，同時(shí)，企業(yè)內(nèi)部的各種信息數(shù)據(jù)的重要程度也越來(lái)越高。有時(shí)由于企業(yè)信息數(shù)據(jù)的丟失或破壞對(duì)于一個(gè)企業(yè)來(lái)說(shuō)影響程度是無(wú)法估計(jì)的，可能會(huì)直接導(dǎo)致一個(gè)企業(yè)的失敗。而保護(hù)企業(yè)信息的最直接最關(guān)鍵的方法就是對(duì)于信息的各種電子化的載體的安全控制，比如電子電子文檔或存儲(chǔ)

6、在數(shù)據(jù)庫(kù)中的數(shù)據(jù)。因此本規(guī)范就是針對(duì)該類(lèi)數(shù)據(jù)和電子文檔安全上的考慮，在上圖信息安全總體框架中以深色底色標(biāo)注的部分。為加強(qiáng)計(jì)算機(jī)系統(tǒng)的信息安全，1985 年美國(guó)國(guó)防部發(fā)表了可信計(jì)算機(jī)系統(tǒng)評(píng)估準(zhǔn)則 （縮寫(xiě)為T(mén)CSEC） ，它依據(jù)處理的信息等級(jí)采取的相應(yīng)對(duì)策，劃分了 4 類(lèi) 7 個(gè)安全等級(jí)。依照各類(lèi)、級(jí)的安全要求從低到高，依次是 D、C1、C2、B1、B2、B3 和 A1 級(jí)。在中國(guó)市場(chǎng)上的國(guó)外數(shù)據(jù)庫(kù)安全等級(jí)為C2 級(jí)，國(guó)外更高級(jí)別的數(shù)據(jù)庫(kù)是限制對(duì)中國(guó)出口的（目前通用標(biāo)準(zhǔn)(CC: Common Criteria) 已經(jīng)被國(guó)際標(biāo)準(zhǔn)化組織接受，代替 TCSEC 來(lái)評(píng)價(jià)計(jì)算機(jī)的安全等級(jí)，通用標(biāo)準(zhǔn)的 EAL

7、 3 級(jí)大致與 C2 級(jí)的功能相當(dāng)） 。但是中國(guó)目前的大型企業(yè)使用的數(shù)據(jù)庫(kù)系統(tǒng)，包括中國(guó)石油內(nèi)部使用的，大多數(shù)還是國(guó)外廠商生產(chǎn)的數(shù)據(jù)庫(kù)產(chǎn)品，在無(wú)法購(gòu)買(mǎi)到更安全的技術(shù)的情況下，需要通過(guò)其他的安全管理措施來(lái)加強(qiáng)數(shù)據(jù)庫(kù)的安全特性。本規(guī)范由中國(guó)石油天然氣股份有限公司發(fā)布。本規(guī)范由中國(guó)石油天然氣股份有限公司科技與信息管理部歸口管理解釋。起草部門(mén)：中國(guó)石油制定信息安全政策與標(biāo)準(zhǔn)項(xiàng)目組。說(shuō) 明在中國(guó)石油信息安全標(biāo)準(zhǔn)中涉及以下概念：組織機(jī)構(gòu)中國(guó)石油（PetroChina） 指中國(guó)石油天然氣股份有限公司有時(shí)也稱(chēng)“股份公司” 。集團(tuán)公司（CNPC） 指中國(guó)石油天然氣集團(tuán)公司有時(shí)也稱(chēng)“存續(xù)公司” 。為區(qū)分中國(guó)石油的

8、地區(qū)公司和集團(tuán)公司下屬單位，但提及“存續(xù)部分”時(shí)指集團(tuán)公司下屬的單位。如：遼河油田分公司存續(xù)部分指集團(tuán)公司下屬的遼河石油管理局。計(jì)算機(jī)網(wǎng)絡(luò)中國(guó)石油信息網(wǎng)（PetroChinaNet） 指中國(guó)石油范圍內(nèi)的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)。中國(guó)石油信息網(wǎng)是在中國(guó)石油天然氣集團(tuán)公司網(wǎng)絡(luò)的基礎(chǔ)上，進(jìn)行擴(kuò)充與提高所形成的連接中國(guó)石油所屬各個(gè)單位計(jì)算機(jī)局域網(wǎng)和園區(qū)網(wǎng)。集團(tuán)公司網(wǎng)絡(luò)（CNPCNet） 指集團(tuán)公司所屬范圍內(nèi)的網(wǎng)絡(luò)。中國(guó)石油的一些地區(qū)公司是和集團(tuán)公司下屬的單位共用一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，當(dāng)提及“存續(xù)公司網(wǎng)絡(luò)”時(shí)，指存續(xù)公司使用的網(wǎng)絡(luò)部分。主干網(wǎng) 是從中國(guó)石油總部連接到各個(gè)下屬各地區(qū)公司的網(wǎng)絡(luò)部分，包括中國(guó)石油總部局域網(wǎng)、

9、各個(gè)二級(jí)局域網(wǎng)（或園區(qū)網(wǎng)）和連接這些網(wǎng)絡(luò)的專(zhuān)線(xiàn)遠(yuǎn)程信道。有些單位通過(guò)撥號(hào)線(xiàn)路連接到中國(guó)石油總部，不是利用專(zhuān)線(xiàn)，這樣的單位和所使用的遠(yuǎn)程信道不屬于中國(guó)石油專(zhuān)用網(wǎng)主干網(wǎng)組成部分。地區(qū)網(wǎng) 地區(qū)公司網(wǎng)絡(luò)和所屬單位網(wǎng)絡(luò)的總和。這些局域網(wǎng)或園區(qū)網(wǎng)互相連接所使用的遠(yuǎn)程信道可是專(zhuān)線(xiàn)，也可是撥號(hào)線(xiàn)路。局域網(wǎng)與園區(qū)網(wǎng) 局域網(wǎng)通常指，在一座建筑中利用局域網(wǎng)技術(shù)和設(shè)備建設(shè)的高速網(wǎng)絡(luò)。園區(qū)網(wǎng)是在一個(gè)園區(qū)（例如研究院園區(qū)、管理局基地等）內(nèi)多座建筑內(nèi)的多個(gè)局域網(wǎng)，利用高速信道互相連接起來(lái)所構(gòu)成的網(wǎng)絡(luò)。園區(qū)網(wǎng)所利用的設(shè)備、運(yùn)行的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)傳輸速度基本相同于局域網(wǎng)。局域網(wǎng)和園區(qū)網(wǎng)通常都是用戶(hù)自己建設(shè)的。局域網(wǎng)和園區(qū)網(wǎng)與廣域

10、網(wǎng)不同，廣域網(wǎng)不僅覆蓋范圍廣，所利用的設(shè)備、運(yùn)行的協(xié)議、傳送速率都與局域網(wǎng)和園區(qū)網(wǎng)不同。傳輸信息的信道通常都是電信部門(mén)建設(shè)的。二級(jí)單位網(wǎng)絡(luò) 指地區(qū)公司下屬單位的網(wǎng)絡(luò)的總和，可能是局域網(wǎng)，也可能是園區(qū)網(wǎng)。專(zhuān)線(xiàn)與撥號(hào)線(xiàn)路 從連通性劃分的兩大類(lèi)網(wǎng)絡(luò)遠(yuǎn)程信道。專(zhuān)線(xiàn)，指數(shù)字電路、幀中繼、DDN 和ATM 等經(jīng)常保持連通狀態(tài)的信道；撥號(hào)線(xiàn)路，指只在傳送信息時(shí)才建立連接的信道，如電話(huà)撥號(hào)線(xiàn)路或 ISDN 撥號(hào)線(xiàn)路。這些遠(yuǎn)程信道可能用來(lái)連接不同地區(qū)的局域網(wǎng)或園區(qū)網(wǎng)，也可能用于連接單臺(tái)計(jì)算機(jī)。石油專(zhuān)網(wǎng)與公網(wǎng) 石油專(zhuān)業(yè)電信網(wǎng)和公共電信網(wǎng)的簡(jiǎn)稱(chēng)。最后一公里問(wèn)題 建設(shè)廣域網(wǎng)時(shí)，用戶(hù)局域網(wǎng)或園區(qū)網(wǎng)連接附近電信部門(mén)信道的

11、最后一段距離的連接問(wèn)題。這段距離通常小于一公里，但也有大于一公里的情況。為簡(jiǎn)便，同稱(chēng)為最后一公里問(wèn)題。涉及計(jì)算機(jī)網(wǎng)絡(luò)的術(shù)語(yǔ)和定義請(qǐng)參見(jiàn)中國(guó)石油局域網(wǎng)標(biāo)準(zhǔn) 。目目 錄錄第第 1 章章數(shù)據(jù)和電子文檔安全管理概述數(shù)據(jù)和電子文檔安全管理概述.7概述 .7目標(biāo) .7規(guī)范的適用范圍 .7規(guī)范引用的文件或標(biāo)準(zhǔn) .9術(shù)語(yǔ)和定義 .10第第 2 章章電子文檔安全管理規(guī)范電子文檔安全管理規(guī)范.12電子文檔主要安全問(wèn)題 .12未經(jīng)授權(quán)的訪(fǎng)問(wèn)則 .12人員的惡意攻擊 .12授權(quán)用戶(hù)的不當(dāng)操作 .12電子文檔的分散存儲(chǔ) .13外部因素的影響 .13電子文檔安全管理規(guī)范 .14電子文檔的建立管理 .14電子文檔的更改管理

12、 .14電子文檔的歸檔管理 .15電子文檔的保管管理 .15電子文檔的使用管理 .16電子文檔的備份管理 .16電子文檔的定期檢查 .17電子文檔技術(shù)保護(hù)手段 .17加固計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò) .17加強(qiáng)對(duì)于電子文檔的認(rèn)證管理 .18加強(qiáng)對(duì)于電子文檔的授權(quán)管理 .18電子文檔加密 .21加強(qiáng)對(duì)電子文檔日志審計(jì)管理 .22檢測(cè)惡意代碼 .23第第 3 章章數(shù)據(jù)庫(kù)安全管理規(guī)范數(shù)據(jù)庫(kù)安全管理規(guī)范 .24常見(jiàn)的數(shù)據(jù)庫(kù)安全問(wèn)題 .24數(shù)據(jù)庫(kù)安全管理規(guī)范 .26加固操作系統(tǒng)和網(wǎng)絡(luò) .26數(shù)據(jù)庫(kù)設(shè)置的安全管理 .26數(shù)據(jù)庫(kù)用戶(hù)認(rèn)證管理 .27數(shù)據(jù)庫(kù)用戶(hù)授權(quán)管理 .28數(shù)據(jù)庫(kù)的日志和安全審計(jì) .29數(shù)據(jù)庫(kù)的加密管理

13、 .31人員培訓(xùn)管理 .33第第 4 章章數(shù)據(jù)備份管理規(guī)范數(shù)據(jù)備份管理規(guī)范.34數(shù)據(jù)備份的主要方式 .34完全備份、增量備份和差異備份 .34傳統(tǒng)備份和異地備份 .34其他備份方式 .36中國(guó)石油數(shù)據(jù)備份規(guī)范 .38對(duì)數(shù)據(jù)備份的規(guī)定 .38建立合理的備份體系 .39數(shù)據(jù)備份過(guò)程的管理 .39中國(guó)石油備份方式相關(guān)規(guī)范 .41附錄附錄 1參考文獻(xiàn)參考文獻(xiàn) .42附錄附錄 2本規(guī)范用詞說(shuō)明本規(guī)范用詞說(shuō)明.43第第第 1 1 1 章章章 數(shù)據(jù)和電子文檔安全管理概述數(shù)據(jù)和電子文檔安全管理概述數(shù)據(jù)和電子文檔安全管理概述1.1概述隨著計(jì)算機(jī)和通訊技術(shù)的迅速發(fā)展，電子數(shù)據(jù)信息已經(jīng)是企業(yè)中非常重要的資產(chǎn)之一，電

14、子數(shù)據(jù)信息的重要性也越來(lái)越受到人們的關(guān)注。數(shù)據(jù)信息的表現(xiàn)形式通常分為兩種，一種以文件的形式存在，另一種存儲(chǔ)在數(shù)據(jù)庫(kù)中。防止數(shù)據(jù)遭受未經(jīng)授權(quán)的訪(fǎng)問(wèn)、惡意的讀取和破壞以及非法的拷貝等等情況的發(fā)生，是保護(hù)信息安全的最終目的。信息安全其他所有的保護(hù)方式如物理環(huán)境和硬件保護(hù)，網(wǎng)絡(luò)和操作系統(tǒng)的保護(hù)，應(yīng)用系統(tǒng)的保護(hù)的最終目的都是保護(hù)數(shù)據(jù)的安全。因此本規(guī)范主要針對(duì)數(shù)據(jù)本身進(jìn)行安全的規(guī)范和管理，通過(guò)對(duì)數(shù)據(jù)的兩種主要的表現(xiàn)形式，電子文檔和數(shù)據(jù)庫(kù)進(jìn)行保護(hù)并從數(shù)據(jù)備份的角度對(duì)數(shù)據(jù)和電子文檔進(jìn)行安全相關(guān)的規(guī)范。1.2目標(biāo)本規(guī)范的目標(biāo)為：通過(guò)對(duì)數(shù)據(jù)和電子文檔進(jìn)行相應(yīng)的安全管理規(guī)范，保證目前中國(guó)石油數(shù)據(jù)庫(kù)和電子文檔的安全。

15、使得各種電子文檔系統(tǒng)和數(shù)據(jù)庫(kù)系統(tǒng)免遭未經(jīng)授權(quán)的訪(fǎng)問(wèn)，從而保證中國(guó)石油相關(guān)數(shù)據(jù)信息的安全。1.3適用范圍本套規(guī)范適用的范圍包括了所有和電子文檔或數(shù)據(jù)庫(kù)相關(guān)的安全問(wèn)題和安全事件所有和電子文檔或數(shù)據(jù)庫(kù)相關(guān)的安全問(wèn)題和安全事件。具體來(lái)說(shuō)包括了電子文檔相關(guān)的安全規(guī)范、數(shù)據(jù)庫(kù)相關(guān)的安全規(guī)范和數(shù)據(jù)備份的安全管理規(guī)范。本規(guī)范主要討論了和信息系統(tǒng)相關(guān)的數(shù)據(jù)和電子文檔的安全，其他和信息系統(tǒng)無(wú)關(guān)的信息或文件不在本規(guī)范的討論范圍之內(nèi)。本規(guī)范面向所有的和電子文檔管理或數(shù)據(jù)庫(kù)管理相關(guān)的人員。1.4規(guī)范引用的文件或標(biāo)準(zhǔn)下列文件中的條款通過(guò)本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。本標(biāo)準(zhǔn)出版時(shí)，所示版均為有效。所有標(biāo)準(zhǔn)都會(huì)被修訂，使用

16、本標(biāo)準(zhǔn)的各方應(yīng)探討使用下列標(biāo)準(zhǔn)最新版本的可能性。1.GB17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則2.GB/T 9387-1995 信息處理系統(tǒng) 開(kāi)放系統(tǒng)互連基本參考模型（ISO7498 :1989）3.GA/T 391-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求4.ISO/IEC TR 13355 信息技術(shù)安全管理指南5.NIST 信息安全系列美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)院6.英國(guó)國(guó)家信息安全標(biāo)準(zhǔn) BS77997.信息安全基礎(chǔ)保護(hù) IT Baseline Protection Manual (Germany)8.BearingPoint Consulting 內(nèi)部信息安全標(biāo)準(zhǔn)9.RU S

17、ecure 安全技術(shù)標(biāo)準(zhǔn)10. 信息系統(tǒng)安全專(zhuān)家叢書(shū) Certificate Information Systems Security Professional1.5術(shù)語(yǔ)和定義訪(fǎng)問(wèn)控制訪(fǎng)問(wèn)控制 accessccess controlcontrol 一種安全保證手段，即信息系統(tǒng)的資源只能由被授權(quán)實(shí)體按授權(quán)方式進(jìn)行訪(fǎng)問(wèn)，防止對(duì)資源的未授權(quán)使用。授權(quán)授權(quán) authorizationauthorization 給予權(quán)利，包括信息資源訪(fǎng)問(wèn)權(quán)的授予。審計(jì)審計(jì) auditaudit 為了測(cè)試出系統(tǒng)的控制是否足夠, 為了保證與已建立的策略和操作相符合, 為了發(fā)現(xiàn)安全中的漏洞, 以及為了建議在控制、策略中作任何

18、指定的改變, 而對(duì)系統(tǒng)記錄與活動(dòng)進(jìn)行的獨(dú)立觀察。(GB9387-95)認(rèn)證認(rèn)證 authentication a. 驗(yàn)證用戶(hù)、設(shè)備和其他實(shí)體的身份； b. 驗(yàn)證數(shù)據(jù)的完整性。解密解密 decryptiondecryption 從密文中獲取對(duì)應(yīng)的原始數(shù)據(jù)的過(guò)程。注：可將密文再次加密，這種情況下單次解密不會(huì)產(chǎn)生原始明文。加密加密 encryption 通過(guò)密碼系統(tǒng)把明文變換為不可懂的形式。完整性完整性 integrity 在防止非授權(quán)用戶(hù)修改或使用資源和防止授權(quán)用戶(hù)不正確地修改或使用資源的情況下,信息系統(tǒng)中的數(shù)據(jù)與在原文檔中的相同，并未遭受偶然或惡意的修改或破壞時(shí)所具的性質(zhì)。日志日志 log lo

19、g 一種信息的匯集, 記錄有關(guān)對(duì)系統(tǒng)操作和系統(tǒng)運(yùn)行的全部事項(xiàng)，提供了系統(tǒng)的歷史狀況。惡意代碼惡意代碼 maliciousmalicious codecode 在硬件、固件或軟件中所實(shí)施的程序，其目的是執(zhí)行未經(jīng)授權(quán)的或有害的行動(dòng)。最小權(quán)限最小權(quán)限 minimumminimum privilegeprivilege 主體的訪(fǎng)問(wèn)權(quán)限制到最低限度，即僅執(zhí)行授權(quán)任務(wù)所必需的那些權(quán)利?？诹羁诹?password 用來(lái)鑒別實(shí)體身份的受保護(hù)或秘密的字符串。明文明文 plaintextplaintext 無(wú)需利用密碼技術(shù)即可得出語(yǔ)義內(nèi)容的數(shù)據(jù)。安全等級(jí)安全等級(jí) security classification 決

20、定防止數(shù)據(jù)或信息需求的訪(fǎng)問(wèn)的某種程度的保護(hù)，同時(shí)對(duì)該保護(hù)程度給以命名。為表示信息的不同敏感度, 按保密程度不同對(duì)信息進(jìn)行層次劃分的組合或集合。例：“絕密” 、 “機(jī)密” 、 “秘密” ?？尚庞?jì)算機(jī)系統(tǒng)可信計(jì)算機(jī)系統(tǒng) trusted computer system 提供充分的計(jì)算機(jī)安全的信息處理系統(tǒng)，它允許具有不同訪(fǎng)問(wèn)權(quán)的用戶(hù)并發(fā)訪(fǎng)問(wèn)數(shù)據(jù)，以及訪(fǎng)問(wèn)具有不同安全等級(jí)和安全種類(lèi)的數(shù)據(jù)。HSMHSM 硬件安全模塊 Hardware Security ModuleNASNAS 網(wǎng)絡(luò)附加存儲(chǔ) Network Attached StorageSANSAN 存儲(chǔ)區(qū)域網(wǎng)絡(luò) Storage Area Networ

21、k第第第 2 2 2 章章章 電子文檔安全管理規(guī)范電子文檔安全管理規(guī)范電子文檔安全管理規(guī)范2.1電子文檔主要安全問(wèn)題在當(dāng)前多用戶(hù)系統(tǒng)和網(wǎng)絡(luò)普及的情況下，中國(guó)石油電子文檔的安全問(wèn)題也涉及到多個(gè)方面，目前主要的安全問(wèn)題如下：2.1.1未經(jīng)授權(quán)的訪(fǎng)問(wèn)重要的電子文檔被未經(jīng)授權(quán)的用戶(hù)訪(fǎng)問(wèn)到（閱讀、修改或刪除），可能導(dǎo)致信息的泄漏。2.1.2人員的惡意攻擊a)外部入侵者或者內(nèi)部有相應(yīng)權(quán)限的人員，出于某種惡意的目的對(duì)電子文檔的內(nèi)容進(jìn)行篡改。b)惡意代碼的攻擊可能使電子文檔無(wú)法使用。2.1.3授權(quán)用戶(hù)的不當(dāng)操作a)即使對(duì)于用戶(hù)的訪(fǎng)問(wèn)權(quán)限做了嚴(yán)格的限制，但是一些重要的電子文檔還是有可能被其他人獲得。例如用戶(hù)的可

22、移動(dòng)存儲(chǔ)設(shè)備的遺失，或由于管理員一時(shí)的疏忽，導(dǎo)致訪(fǎng)問(wèn)權(quán)限的錯(cuò)誤。在這種情況下，需要額外的機(jī)制來(lái)保證這些信息內(nèi)容不被非法讀取，可采取的手段有電子文檔的加密、電子文檔口令的設(shè)置等。b)誤操作導(dǎo)致重要文件被刪除或者磁盤(pán)被格式化。c)在文件的復(fù)制過(guò)程中，由于誤操作將同名文件覆蓋。d)在電子文檔的修改過(guò)程中，由于用戶(hù)的誤操作，使得原先內(nèi)容完整的電子文檔丟失。2.1.4電子文檔的分散存儲(chǔ)a)重復(fù)存儲(chǔ)占用空間同一個(gè)電子文檔在多個(gè)共享的文件存儲(chǔ)服務(wù)器上存在，同時(shí)每個(gè)用戶(hù)處有電子文檔的多個(gè)歷史版本，導(dǎo)致磁盤(pán)空間的浪費(fèi)。b)版本的不一致性不同用戶(hù)處的同一個(gè)電子文檔，由于沒(méi)有及時(shí)更新等原因，導(dǎo)致在不同用戶(hù)處保存同一

23、個(gè)電子文檔的版本不一致，并且包含不同的內(nèi)容。c)內(nèi)容的不一致性多個(gè)用戶(hù)各自在本地對(duì)同一電子文檔進(jìn)行了不同的修改，導(dǎo)致內(nèi)容的不一致。2.1.5外部因素的影響a)存儲(chǔ)電子文檔的存儲(chǔ)設(shè)備損壞，導(dǎo)致電子文檔的損壞或丟失。b)在火災(zāi)、地震或者恐怖事件等特殊情況下，對(duì)數(shù)據(jù)和電子文檔造成的破壞。2.2電子文檔安全管理電子文檔的建立、更改、歸檔、保管、使用、備份等各個(gè)環(huán)節(jié)，都有信息更改、丟失的可能性，建立并執(zhí)行一套科學(xué)、合理、嚴(yán)密的管理制度，從每一個(gè)環(huán)節(jié)消除信息失真的隱患，對(duì)于維護(hù)電子文檔的原始性、真實(shí)性十分重要。電子文檔的管理不僅注重每個(gè)階段的結(jié)果，也要重視每項(xiàng)工作的具體過(guò)程，并把這些過(guò)程一一記錄下來(lái)。其中

24、有關(guān)維護(hù)信息安全方面的主要規(guī)定為：2.2.1電子文檔的建立管理a)重要電子文檔的制作過(guò)程應(yīng)責(zé)任分明。b)每個(gè)重要電子文檔都必須有主要的負(fù)責(zé)人，并對(duì)負(fù)責(zé)的電子文檔負(fù)有全責(zé)。c)重要電子文檔的合作人員必須清晰界定，并嚴(yán)格劃分參與人員的職責(zé)。d)重要電子文檔的建立過(guò)程必須記錄下來(lái)，并清晰記錄每個(gè)參與人員的職責(zé)和工作情況。2.2.2電子文檔的更改管理a)重要的電子文檔一經(jīng)定稿禁止進(jìn)行修改，除非經(jīng)過(guò)必要的審批程序。b)所有重要的電子文檔的變更都必須記錄在案。c)在對(duì)于重要電子文檔的修改過(guò)程中，應(yīng)保存電子文檔的各個(gè)歷史版本?？刹捎脤?zhuān)用的電子文檔管理軟件自動(dòng)方便管理電子文檔的版本。d)對(duì)于十分重要的電子文檔

25、應(yīng)使用專(zhuān)用的電子文檔管理軟件進(jìn)行安全管理，以確保電子文檔的版本和遷入遷出的變更都被自動(dòng)的記錄在案。并在電子文檔更改后自動(dòng)通知該電子文檔的管理員和該電子文檔的所有者。2.2.3電子文檔的歸檔管理a)電子文檔歸檔時(shí)應(yīng)進(jìn)行全面、認(rèn)真的檢查。b)電子文檔原來(lái)的所有者應(yīng)保證內(nèi)容的完整、真實(shí)可靠。c)必須保證讀取電子文檔的軟件也進(jìn)行了歸檔。d)必須記錄電子文檔的元數(shù)據(jù)，即電子文檔的說(shuō)明、結(jié)構(gòu)和上下文關(guān)系等。e)應(yīng)記錄電子文檔的業(yè)務(wù)和行政方面的背景數(shù)據(jù)。f)電子文檔的負(fù)責(zé)人必須指定電子文檔的保存期限，并且該保存期限不與相關(guān)的合同、法規(guī)以及中國(guó)石油的特殊規(guī)定相違背。g)歸檔的負(fù)責(zé)人也應(yīng)檢查電子文檔的內(nèi)容、確定

26、其是否是最終版本。h)電子文檔如有相應(yīng)的紙質(zhì)電子文檔或其他載體的電子文檔，必須保證內(nèi)容一致。i)檢查電子文檔載體的物理狀態(tài)、通過(guò)防病毒程序檢查是否存在病毒。j)對(duì)于特殊的電子文檔，宜將其打印成紙質(zhì)電子文檔或制成縮微品進(jìn)行歸檔。2.2.4電子文檔的保管管理a)必須使用可靠的存儲(chǔ)媒體保管電子文檔。b)所有歸檔的電子文檔應(yīng)進(jìn)行寫(xiě)保護(hù)處理，使之處于只讀狀態(tài)。c)因軟硬件平臺(tái)發(fā)生改變而對(duì)電子文檔進(jìn)行格式轉(zhuǎn)換時(shí)，應(yīng)防止轉(zhuǎn)換過(guò)程中的信息變化。d)對(duì)保存的電子文檔應(yīng)根據(jù)其重要程度定期（每 3 個(gè)月）進(jìn)行安全性、有效性檢查，發(fā)現(xiàn)載體和信息有損傷時(shí)，應(yīng)及時(shí)采取措施，進(jìn)行修復(fù)。e)保證電子文檔保存地點(diǎn)的物理安全，盡

27、量將重要的電子文檔保存在物理?xiàng)l件較好的區(qū)域如機(jī)房或?qū)Ｓ玫馁Y料存儲(chǔ)室等。具體內(nèi)容參見(jiàn)機(jī)房安全管理規(guī)范、區(qū)域安全管理規(guī)范。2.2.5電子文檔的使用管理a)電子文檔入庫(kù)的載體不得外借，只能以拷貝的形式提供。b)重要電子文檔的借閱必須經(jīng)過(guò)批準(zhǔn)，電子文檔的借閱者和負(fù)責(zé)人應(yīng)對(duì)電子文檔的借閱進(jìn)行確認(rèn)。c)對(duì)于保密級(jí)別高的電子文檔，只得在指定的地方閱讀或者進(jìn)行其它處理，不得提供相應(yīng)的拷貝。d)電子文檔的使用者在使用過(guò)程中應(yīng)對(duì)電子文檔的安全負(fù)責(zé)，防止泄密和數(shù)據(jù)損失。e)對(duì)于重要的以及非常敏感的電子文檔，應(yīng)提供防止再拷貝的技術(shù)措施。f)除公開(kāi)發(fā)行的電子出版物外、對(duì)其它借出的電子文檔拷貝必須按時(shí)回收。電子文檔的借閱

28、者和負(fù)責(zé)人應(yīng)對(duì)電子文檔的回收進(jìn)行確認(rèn)。g)應(yīng)記錄所有電子文檔的使用情況，包括載體的類(lèi)型、數(shù)量、使用時(shí)間、使用人員、最后回收期限及雙方責(zé)任人員。h)采用網(wǎng)絡(luò)傳輸?shù)确绞綍r(shí)，必須對(duì)重要的電子文檔進(jìn)行加密。i)對(duì)于回收的電子拷貝應(yīng)進(jìn)行內(nèi)容消除處理。2.2.6電子文檔的備份管理參見(jiàn)本規(guī)范第四章“數(shù)據(jù)備份管理規(guī)范”。2.2.7電子文檔的定期檢查a)應(yīng)每年一次，采用等距抽樣或者隨機(jī)抽樣的方式進(jìn)行定期檢查，樣品數(shù)量不應(yīng)少于 10%b)應(yīng)進(jìn)行外觀檢查，例如確認(rèn)載體表面是否有物理?yè)p壞或變形，外表涂層是否清潔及有無(wú)霉斑。c)應(yīng)進(jìn)行邏輯檢測(cè)，采用相關(guān)軟件對(duì)載體上的信息進(jìn)行讀寫(xiě)校驗(yàn)。發(fā)現(xiàn)有出錯(cuò)的載體，必須進(jìn)行有效的修正

29、或更新。d)應(yīng)建立相應(yīng)的維護(hù)管理電子文檔，對(duì)電子文檔的檢測(cè)、維護(hù)、拷貝等操作過(guò)程進(jìn)行記錄，避免發(fā)生人為的誤操作或不必要的重復(fù)勞動(dòng)。e)應(yīng)為每一份重要的電子文檔建立必要的記錄，記載電子文檔的建立、修改、使用情況。f)應(yīng)通過(guò)記錄檢查電子文檔的修改歷史， 確定電子文檔各次修改的責(zé)任人。g)應(yīng)通過(guò)檢查記錄，保證電子文檔的真實(shí)性。2.3電子文檔技術(shù)保護(hù)手段2.3.1加固計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)a)應(yīng)防止由于系統(tǒng)和網(wǎng)絡(luò)的漏洞導(dǎo)致的電子文檔安全問(wèn)題，具體規(guī)范參見(jiàn)操作系統(tǒng)安全管理規(guī)范、網(wǎng)絡(luò)安全管理規(guī)范。b)為防止由存儲(chǔ)設(shè)備的物理?yè)p壞導(dǎo)致的危害，應(yīng)對(duì)重要的電子文檔采用磁盤(pán)陣列容錯(cuò)和冗余等措施。2.3.2加強(qiáng)對(duì)于電子文檔

30、的認(rèn)證管理2.3.2.1操作系統(tǒng)必須設(shè)置相應(yīng)的認(rèn)證手段進(jìn)入操作系統(tǒng)的認(rèn)證，是保護(hù)電子文檔安全的第一道屏障。無(wú)論是單用戶(hù)的操作系統(tǒng)還是多用戶(hù)的操作系統(tǒng)，必須能夠提供操作系統(tǒng)的進(jìn)入認(rèn)證控制。這種控制往往是通過(guò)用戶(hù)口令的方式來(lái)進(jìn)行的。對(duì)于移動(dòng)設(shè)備，往往還提供了額外的認(rèn)證手段。a)單用戶(hù)操作系統(tǒng)必須設(shè)置 CMOS 口令；b)多用戶(hù)操作系統(tǒng)的每個(gè)用戶(hù)必須設(shè)置各自的口令；且口令必須嚴(yán)格遵守相關(guān)的口令管理規(guī)范，詳見(jiàn)口令管理標(biāo)準(zhǔn)。c)在不使用系統(tǒng)的時(shí)候，必須鎖定計(jì)算機(jī)或者退出系統(tǒng)。d)對(duì)于操作系統(tǒng)的管理詳見(jiàn)操作系統(tǒng)安全管理規(guī)范，確保操作系統(tǒng)的安全，從而間接地保護(hù)了基于操作系統(tǒng)的相關(guān)電子文檔。2.3.2.2電子

31、文檔本身設(shè)置相應(yīng)的認(rèn)證手段對(duì)于重要的電子文檔應(yīng)對(duì)其本身設(shè)置相應(yīng)的認(rèn)證機(jī)制，常見(jiàn)的方法是對(duì)于電子文檔進(jìn)行加密以保證電子文檔不會(huì)被未經(jīng)授權(quán)的用戶(hù)打開(kāi)。如果采用口令的方式進(jìn)行加密，應(yīng)保證口令的設(shè)置符合口令管理標(biāo)準(zhǔn)中相應(yīng)的規(guī)范。2.3.3加強(qiáng)對(duì)于電子文檔的授權(quán)管理2.3.3.1文件系統(tǒng)的訪(fǎng)問(wèn)權(quán)限a)對(duì)于多用戶(hù)的系統(tǒng)，宜對(duì)于特定的目錄和文件，設(shè)置特定的訪(fǎng)問(wèn)權(quán)限。許可的設(shè)置包括兩方面的內(nèi)容：允許哪些組或用戶(hù)對(duì)文件夾、文件和共享資源進(jìn)行訪(fǎng)問(wèn)；獲得訪(fǎng)問(wèn)許可的組或用戶(hù)可進(jìn)行什么級(jí)別的訪(fǎng)問(wèn)。b)訪(fǎng)問(wèn)許可權(quán)限的設(shè)置不但適用于本地計(jì)算機(jī)的用戶(hù),同樣也適用于通過(guò)網(wǎng)絡(luò)共享文件夾對(duì)文件進(jìn)行訪(fǎng)問(wèn)的操作。2.3.3.2網(wǎng)絡(luò)共享

32、文件夾的認(rèn)證和授權(quán)a)除非特別必要，否則禁止在個(gè)人的計(jì)算機(jī)上設(shè)置網(wǎng)絡(luò)文件夾共享。b)對(duì)于網(wǎng)絡(luò)共享文件夾，必須嚴(yán)格限制用戶(hù)對(duì)文件夾的訪(fǎng)問(wèn)權(quán)限，只對(duì)必須進(jìn)行訪(fǎng)問(wèn)的用戶(hù)開(kāi)放訪(fǎng)問(wèn)權(quán)限。c)網(wǎng)絡(luò)共享文件夾必須設(shè)置口令。d)對(duì)于其中重要的電子文檔，必須進(jìn)行加密。2.3.3.3訪(fǎng)問(wèn)權(quán)限的一般原則2.3.3.3.1權(quán)限建立 a)功能分離原則：系統(tǒng)必須將系統(tǒng)管理員和普通用戶(hù)的功能清晰地區(qū)分。系統(tǒng)管理員可分配訪(fǎng)問(wèn)權(quán)限、監(jiān)督用戶(hù)的訪(fǎng)問(wèn)操作，并在必要的情況下取消用戶(hù)的相應(yīng)權(quán)限。 b)授權(quán)控制：初始的權(quán)限由用戶(hù)的身份及所屬的組織來(lái)定義。對(duì)于用戶(hù)基本權(quán)限的修改必須經(jīng)過(guò)該用戶(hù)的上級(jí)領(lǐng)導(dǎo)的同意。系統(tǒng)管理員負(fù)責(zé)控制授權(quán)的過(guò)程。

33、 c)最小權(quán)限原則：一方面給予主體必不可少的權(quán)限，這就保證了所有的主體都能在所賦予的權(quán)限之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體必不可少的權(quán)限，這就限制了每個(gè)主體所能進(jìn)行的操作。d)缺省目錄和電子文檔訪(fǎng)問(wèn)權(quán)限：定義相應(yīng)的配置文件，用戶(hù)自己的文件缺省應(yīng)不能被其他人讀、修改和刪除。每個(gè)用戶(hù)必須仔細(xì)考慮自己的文件可被哪些人訪(fǎng)問(wèn)，并且允許他們執(zhí)行的操作。 e)用戶(hù)組訪(fǎng)問(wèn)：在必要的情況下，可通過(guò)定義組來(lái)進(jìn)行數(shù)據(jù)訪(fǎng)問(wèn)。這些用戶(hù)組應(yīng)通過(guò)業(yè)務(wù)單元、地理位置、項(xiàng)目、職責(zé)或者功能來(lái)定義。電子文檔的所有者確定相關(guān)的組的訪(fǎng)問(wèn)權(quán)限。 f)缺省拒絕訪(fǎng)問(wèn)：如果一個(gè)計(jì)算機(jī)或者網(wǎng)絡(luò)的訪(fǎng)問(wèn)控制系統(tǒng)工作不正常，那么應(yīng)

34、最小化其上所有用戶(hù)的訪(fǎng)問(wèn)權(quán)限。2.3.3.3.2權(quán)限管理a)訪(fǎng)問(wèn)授權(quán)管理：對(duì)于任何重要電子文檔的訪(fǎng)問(wèn)，必須預(yù)先得到該電子文檔所有者的授權(quán)，并且授予的權(quán)限僅能使他們“知道電子文檔內(nèi)容或者做相應(yīng)的操作”（最小權(quán)限原則）。相關(guān)的訪(fǎng)問(wèn)記錄必須根據(jù)中國(guó)石油的要求，保存相應(yīng)的時(shí)間，并且符合相應(yīng)的法規(guī)。 b)用戶(hù)權(quán)限的定期檢查：電子文檔的管理者或所有者必須定期對(duì)其他用戶(hù)對(duì)該電子文檔的權(quán)限進(jìn)行檢查，保證用戶(hù)權(quán)限是合理的。檢查的時(shí)間間隔不能超過(guò) 6 個(gè)月。 c)當(dāng)用戶(hù)的職位發(fā)生變更，或者工作需要改變以后，系統(tǒng)管理員應(yīng)檢查用戶(hù)的訪(fǎng)問(wèn)權(quán)限，并作合適的變動(dòng)。d)所有電子文檔訪(fǎng)問(wèn)的可追究性：通過(guò)使用完整的日志和唯一的用

35、戶(hù) ID，所有的電子文檔操作必須可追溯到特定的用戶(hù)。 e)權(quán)限的刪除：一旦員工離開(kāi)中國(guó)石油，必須立即刪除他們的訪(fǎng)問(wèn)權(quán)限。對(duì)于其他的用戶(hù)，如果不再需要進(jìn)行相關(guān)的訪(fǎng)問(wèn)，應(yīng)將其權(quán)限收回。 2.3.3.3.3權(quán)限限制 a)對(duì)實(shí)際系統(tǒng)的訪(fǎng)問(wèn)：通常情況下不得授權(quán)應(yīng)用和系統(tǒng)開(kāi)發(fā)人員訪(fǎng)問(wèn)實(shí)際運(yùn)作的系統(tǒng)；除非確實(shí)需要，并經(jīng)過(guò)上級(jí)批準(zhǔn)，才能授予其相關(guān)權(quán)限。 b)管理員級(jí)別的帳戶(hù)：必須嚴(yán)格控制管理員和 root 級(jí)別的系統(tǒng)帳戶(hù)。系統(tǒng)管理員權(quán)限的授予必須經(jīng)過(guò)嚴(yán)格的授權(quán)流程及相應(yīng)的授權(quán)人員的批準(zhǔn)，并且應(yīng)嚴(yán)格限制在極少數(shù)的人員之間。系統(tǒng)管理員必須在切換到管理員帳戶(hù)前首先使用個(gè)人的普通帳戶(hù)登陸。c)獨(dú)立的子網(wǎng)和防火墻之間的

36、訪(fǎng)問(wèn)必須嚴(yán)格限制。d)跨公司的訪(fǎng)問(wèn)控制：當(dāng)需要在總公司和地區(qū)公司之間，或者在地區(qū)公司之間的網(wǎng)絡(luò)進(jìn)行敏感信息的訪(fǎng)問(wèn)和傳輸時(shí)，這種訪(fǎng)問(wèn)必須采取以下限制：訪(fǎng)問(wèn)控制機(jī)制必須識(shí)別相應(yīng)的公司的身份，以及公司之間的能夠進(jìn)行雙方同意的操作的特定授權(quán)用戶(hù)的身份。根據(jù)實(shí)際需要確定最小的訪(fǎng)問(wèn)權(quán)限。2.3.4電子文檔加密保護(hù)電子文檔的另一個(gè)重要方法是進(jìn)行電子文檔加密。數(shù)據(jù)加密后，即使別人獲得了相應(yīng)的電子文件，也無(wú)法獲得其中的內(nèi)容。2.3.4.1電子文檔加密方法a)簡(jiǎn)單的加密方法是通過(guò)一個(gè)硬件的加密接口。它們安裝在 SCSI 接口上，對(duì)于所有經(jīng)過(guò)的數(shù)據(jù)進(jìn)行硬件級(jí)的加密（或者解密）。數(shù)據(jù)通過(guò)加密的形式存儲(chǔ)，并且以同樣的方

37、式解密，使得別人無(wú)法竊取存儲(chǔ)的數(shù)據(jù)。該方法獨(dú)立于軟件，使得用戶(hù)可使用不同的軟件來(lái)管理數(shù)據(jù)的存儲(chǔ)和備份。b)一些軟件可在客戶(hù)機(jī)上或者服務(wù)器上進(jìn)行加密。客戶(hù)機(jī)上的加密在客戶(hù)端保護(hù)數(shù)據(jù)，防止在沒(méi)有口令或者密鑰的情況下訪(fǎng)問(wèn)數(shù)據(jù)。服務(wù)器端的加密提供了與硬件加密方案相似的特征。當(dāng)數(shù)據(jù)存儲(chǔ)到存儲(chǔ)設(shè)備上時(shí)，通過(guò)密碼或者密鑰加密。c)另外的方式是使用電子文檔或者文件系統(tǒng)級(jí)的加密軟件。這些軟件在數(shù)據(jù)存儲(chǔ)到硬盤(pán)時(shí)對(duì)其進(jìn)行加密，防止其他人，甚至是同一個(gè)計(jì)算機(jī)系統(tǒng)上的用戶(hù)訪(fǎng)問(wèn)這些文件。這種方式比較適合于僅有少數(shù)的文件或者系統(tǒng)需要加密的情況。2.3.4.2電子文檔加密的相關(guān)規(guī)范a)對(duì)于多用戶(hù)共用的計(jì)算機(jī)，每個(gè)用戶(hù)的重要電

38、子文檔都應(yīng)使用操作系統(tǒng)或者應(yīng)用程序提供的加密機(jī)制進(jìn)行加密。b)對(duì)于需要通過(guò)網(wǎng)絡(luò)（電子郵件等）傳輸?shù)闹匾娮游臋n，必須首先通過(guò)加密程序或者相應(yīng)的電子文檔編輯程序自帶的加密功能進(jìn)行加密后才能傳輸。c)對(duì)于數(shù)據(jù)和電子文檔備份，可使用硬件級(jí)的加密，或者備份應(yīng)用程序自帶的加密功能進(jìn)行加密。d)對(duì)于網(wǎng)絡(luò)共享文件夾中的重要文件，必須使用加密程序或者相應(yīng)的電子文檔編輯程序自帶的加密功能進(jìn)行加密。e)對(duì)于重要電子文檔或者數(shù)據(jù)的日志，應(yīng)使用操作系統(tǒng)或者應(yīng)用程序提供的加密功能進(jìn)行加密。2.3.5加強(qiáng)對(duì)電子文檔日志審計(jì)管理應(yīng)使用審計(jì)策略對(duì)文件夾、文件進(jìn)行審計(jì)，審計(jì)結(jié)果記錄在安全日志中，通過(guò)安全日志就可查看哪些組或用戶(hù)

39、對(duì)文件夾、文件進(jìn)行了什么級(jí)別的操作，從而發(fā)現(xiàn)系統(tǒng)可能面臨的非法訪(fǎng)問(wèn)，并通過(guò)采取相應(yīng)的措施，將這種安全隱患減到最低。a)對(duì)于重要的目錄和電子文檔，應(yīng)通過(guò)操作系統(tǒng)提供的日志記錄功能，或者其他專(zhuān)門(mén)的日志記錄工具，記錄對(duì)其的所有訪(fǎng)問(wèn)操作。b)對(duì)于重要電子文檔和數(shù)據(jù)的日志，必須嚴(yán)格限制對(duì)其的訪(fǎng)問(wèn)權(quán)限，只有系統(tǒng)管理員和電子文檔的所有者才能訪(fǎng)問(wèn)。c)對(duì)于重要電子文檔和數(shù)據(jù)的日志，應(yīng)使用日志的加密功能，防止日志被非法訪(fǎng)問(wèn)。d)系統(tǒng)管理員或者電子文檔的所有者應(yīng)定期檢查（通過(guò)專(zhuān)門(mén)的工具或者手工）重要電子文檔的日志，檢查存在的異常訪(fǎng)問(wèn)或者不正常的修改。2.3.6檢測(cè)惡意代碼惡意代碼可能導(dǎo)致文件內(nèi)容的泄漏以及文件的破

40、壞，具體規(guī)范措施請(qǐng)參見(jiàn)防御惡意代碼和計(jì)算機(jī)犯罪管理規(guī)范。第第第 3 3 3 章章章 數(shù)據(jù)庫(kù)安全管理規(guī)范數(shù)據(jù)庫(kù)安全管理規(guī)范數(shù)據(jù)庫(kù)安全管理規(guī)范數(shù)據(jù)庫(kù)是建立一切信息管理系統(tǒng)的基礎(chǔ)支撐平臺(tái)，在中國(guó)石油，數(shù)據(jù)庫(kù)存放著各種最真實(shí)和最有價(jià)值的那部分資產(chǎn)可能是知識(shí)產(chǎn)權(quán)數(shù)據(jù)，也可能是價(jià)格和交易數(shù)據(jù)或者客戶(hù)信息。在數(shù)據(jù)庫(kù)中，這些數(shù)據(jù)作為商業(yè)信息或知識(shí)，一旦遭受安全威脅將帶來(lái)難以想象的嚴(yán)重后果。數(shù)據(jù)庫(kù)安全是一個(gè)廣闊的領(lǐng)域，從傳統(tǒng)的備份與恢復(fù)，認(rèn)證與訪(fǎng)問(wèn)控制，到數(shù)據(jù)存貯和通信環(huán)節(jié)的加密，它作為操作系統(tǒng)之上的應(yīng)用平臺(tái)，其安全與網(wǎng)絡(luò)和主機(jī)安全息息相關(guān)，本規(guī)范著重從數(shù)據(jù)庫(kù)安全管理和內(nèi)部自身安全的角度討論相關(guān)問(wèn)題。3.1常見(jiàn)

41、的數(shù)據(jù)庫(kù)安全問(wèn)題a)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的安全缺陷會(huì)導(dǎo)致數(shù)據(jù)庫(kù)的安全問(wèn)題如果數(shù)據(jù)庫(kù)存儲(chǔ)設(shè)備（例如硬盤(pán)）受到損害，可能會(huì)導(dǎo)致數(shù)據(jù)庫(kù)的損壞、暫時(shí)無(wú)法訪(fǎng)問(wèn)甚至永久性的損壞；如果操作系統(tǒng)和網(wǎng)絡(luò)出現(xiàn)了安全問(wèn)題，可能導(dǎo)致數(shù)據(jù)庫(kù)被非法訪(fǎng)問(wèn)。b)數(shù)據(jù)庫(kù)軟件系統(tǒng)的缺陷購(gòu)買(mǎi)的數(shù)據(jù)庫(kù)系統(tǒng)本身存在安全問(wèn)題。如果數(shù)據(jù)庫(kù)的相應(yīng)管理人員沒(méi)有意識(shí)到這個(gè)問(wèn)題，沒(méi)有及時(shí)安裝數(shù)據(jù)庫(kù)軟件的相應(yīng)補(bǔ)丁，可能為系統(tǒng)的侵入留下通道。另外，數(shù)據(jù)庫(kù)系統(tǒng)的缺省服務(wù)和配置也可能存在著很大的隱患。c)未利用數(shù)據(jù)庫(kù)本身的安全特征許多企業(yè)應(yīng)用建立在數(shù)據(jù)庫(kù)應(yīng)用上，在這些企業(yè)應(yīng)用中往往施加了一定的安全控制。但是這些安全措施只應(yīng)用在客戶(hù)端應(yīng)用軟件上，其它許多工具，

42、如 Microsoft Access 和已有的通過(guò) OBDC 或?qū)Ｓ袇f(xié)議聯(lián)接數(shù)據(jù)庫(kù)的公用程序，它們都繞過(guò)了應(yīng)用層安全。另外，用戶(hù)只要知道了一個(gè)合法的帳戶(hù)及密碼，就可使用任何方式來(lái)訪(fǎng)問(wèn)數(shù)據(jù)。因此，唯一可靠的安全功能應(yīng)限定在數(shù)據(jù)庫(kù)系統(tǒng)內(nèi)部。d)脆弱的帳號(hào)設(shè)置在許多數(shù)據(jù)庫(kù)系統(tǒng)中，數(shù)據(jù)庫(kù)帳戶(hù)往往缺乏足夠的安全設(shè)置。比如，缺省的用戶(hù)帳號(hào)和密碼對(duì)大家都是公開(kāi)的，沒(méi)有被禁用或修改以防止非授權(quán)訪(fǎng)問(wèn)。e)缺乏角色分離傳統(tǒng)數(shù)據(jù)庫(kù)管理中并沒(méi)有專(zhuān)門(mén)的安全管理角色，這就迫使數(shù)據(jù)庫(kù)管理員（DBA）既要負(fù)責(zé)帳號(hào)的維護(hù)管理，又要專(zhuān)門(mén)對(duì)數(shù)據(jù)庫(kù)的執(zhí)行性能和操作行為進(jìn)行調(diào)試跟蹤，從而導(dǎo)致管理效率低下。另外，這也和企業(yè)管理所倡導(dǎo)的“

43、檢查職能和工作職能平衡”的原則相悖。f)脆弱的認(rèn)證和授權(quán)數(shù)據(jù)庫(kù)的不同用戶(hù)，由于其不同的身份和級(jí)別，應(yīng)具有不同的訪(fǎng)問(wèn)控制權(quán)限。但是實(shí)際中，數(shù)據(jù)庫(kù)管理員往往沒(méi)有嚴(yán)格區(qū)分不同用戶(hù)帳號(hào)的權(quán)限，使得數(shù)據(jù)受到非授權(quán)的訪(fǎng)問(wèn)，甚至被破壞。因此應(yīng)提供機(jī)制，嚴(yán)格限制不同用戶(hù)對(duì)于數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)和操作權(quán)限。g)缺乏審計(jì)跟蹤數(shù)據(jù)庫(kù)審計(jì)經(jīng)常被 DBA 以提高性能或節(jié)省磁盤(pán)空間為由忽視或關(guān)閉，這大大降低了管理分析的可靠性和效力。審計(jì)跟蹤對(duì)于了解哪些用戶(hù)行為導(dǎo)致某些數(shù)據(jù)的產(chǎn)生和修改至關(guān)重要，它將與數(shù)據(jù)直接相關(guān)的事件都記入日志，因此，監(jiān)視數(shù)據(jù)訪(fǎng)問(wèn)和用戶(hù)行為是最基本的管理手段。h)缺乏備份和恢復(fù)手段即使采取了所有的安全手段，企業(yè)數(shù)

44、據(jù)庫(kù)還是無(wú)法完全避免受到某些不可抗力（例如火災(zāi)、地震等）的影響。另外用戶(hù)的誤操作也可能破壞數(shù)據(jù)庫(kù)中的數(shù)據(jù)。如果不預(yù)先采取預(yù)防的措施，把重要的業(yè)務(wù)和經(jīng)營(yíng)數(shù)據(jù)備份起來(lái)，那么一旦發(fā)生這些災(zāi)難性的后果，中國(guó)石油將遭受巨大的損失。i)沒(méi)有對(duì)于重要的數(shù)據(jù)內(nèi)容進(jìn)行額外的安全控制目前中國(guó)石油的數(shù)據(jù)庫(kù)一般都能通過(guò)網(wǎng)絡(luò)進(jìn)行訪(fǎng)問(wèn)，無(wú)法完全避免內(nèi)部或者外部的非法訪(fǎng)問(wèn)。一旦這些數(shù)據(jù)被非法入侵者或者被不應(yīng)了解的人員看到，對(duì)于中國(guó)石油的業(yè)務(wù)或者經(jīng)營(yíng)將會(huì)產(chǎn)生重大的危害。所以應(yīng)對(duì)于重要的數(shù)據(jù)采用加密等方式來(lái)防止數(shù)據(jù)庫(kù)重要數(shù)據(jù)的泄漏。j)數(shù)據(jù)庫(kù)服務(wù)器沒(méi)有足夠的存儲(chǔ)空間，導(dǎo)致數(shù)據(jù)庫(kù)服務(wù)無(wú)法正常進(jìn)行這是常常被忽視，但是經(jīng)常會(huì)影響數(shù)據(jù)

45、庫(kù)正常運(yùn)行的問(wèn)題。3.2數(shù)據(jù)庫(kù)安全管理一個(gè)強(qiáng)大的數(shù)據(jù)庫(kù)安全系統(tǒng)應(yīng)確保其中信息的安全性并對(duì)其進(jìn)行有效的控制。下面的針對(duì)數(shù)據(jù)庫(kù)的安全規(guī)范有助于中國(guó)石油實(shí)現(xiàn)與數(shù)據(jù)庫(kù)相關(guān)的業(yè)務(wù)利益保障、策略制訂以及對(duì)信息資源的有效保護(hù)。3.2.1加固操作系統(tǒng)和網(wǎng)絡(luò)防止由于系統(tǒng)和網(wǎng)絡(luò)的漏洞所導(dǎo)致的數(shù)據(jù)庫(kù)安全問(wèn)題，具體規(guī)范參見(jiàn)操作系統(tǒng)安全管理規(guī)范、網(wǎng)絡(luò)安全管理規(guī)范。為防止存儲(chǔ)設(shè)備的物理?yè)p壞導(dǎo)致的影響，對(duì)于大型的應(yīng)用應(yīng)采用磁盤(pán)陣列容錯(cuò)和冗余等措施。3.2.2數(shù)據(jù)庫(kù)設(shè)置的安全管理3.2.2.1初始的安全配置a)某些大型的數(shù)據(jù)庫(kù)，例如 Oracle，都有一些眾所周知的對(duì)數(shù)據(jù)庫(kù)有著不同訪(fǎng)問(wèn)權(quán)限的默認(rèn)帳號(hào)和密碼。在數(shù)據(jù)庫(kù)的初始配置

46、時(shí)，必須禁用這些默認(rèn)帳號(hào)或者改變其相應(yīng)的密碼。b)數(shù)據(jù)庫(kù)的一些功能強(qiáng)大的存儲(chǔ)過(guò)程，如果被入侵者執(zhí)行，可能危害到整個(gè)系統(tǒng)甚至網(wǎng)絡(luò)的安全。必須配置數(shù)據(jù)庫(kù)，使得存儲(chǔ)過(guò)程以最小需要的級(jí)別來(lái)運(yùn)行。c)數(shù)據(jù)庫(kù)系統(tǒng)文件如果被破壞，會(huì)導(dǎo)致數(shù)據(jù)的丟失甚至數(shù)據(jù)庫(kù)系統(tǒng)的崩潰。必須嚴(yán)格限制對(duì)數(shù)據(jù)庫(kù)系統(tǒng)文件的讀寫(xiě)權(quán)限。d)某些數(shù)據(jù)庫(kù)系統(tǒng)需要控制或配置文件來(lái)支持其運(yùn)行并維護(hù)其狀態(tài)。這些文件應(yīng)由數(shù)據(jù)庫(kù)來(lái)控制，系統(tǒng)管理員和用戶(hù)不需要用到這些文件，所以應(yīng)禁止他們對(duì)這些文件的訪(fǎng)問(wèn)。3.2.2.2數(shù)據(jù)庫(kù)補(bǔ)丁更新管理應(yīng)定期檢查安全信息站點(diǎn)和數(shù)據(jù)庫(kù)軟件供應(yīng)商的網(wǎng)站，一旦出現(xiàn)新的數(shù)據(jù)庫(kù)軟件的補(bǔ)丁，在可能的情況下測(cè)試其有效性，并立即安裝。

47、詳細(xì)內(nèi)容請(qǐng)參見(jiàn)內(nèi)容安全管理標(biāo)準(zhǔn)中的安全補(bǔ)丁實(shí)施管理辦法。3.2.2.3數(shù)據(jù)庫(kù)角色分離管理機(jī)制a)對(duì)于重要的數(shù)據(jù)庫(kù)系統(tǒng)，中國(guó)石油應(yīng)在安全管理方面采用三權(quán)分立的安全管理體制，把系統(tǒng)管理員分為數(shù)據(jù)庫(kù)管理員 DBA、數(shù)據(jù)庫(kù)安全管理員 SSO 及數(shù)據(jù)庫(kù)審計(jì)員 Auditor 三類(lèi)，并根據(jù)最小授權(quán)原則分別授予他們?yōu)橥瓿筛髯匀蝿?wù)所需的權(quán)限。這種管理體制真正做到三權(quán)分立、各行其責(zé)、相互制約，可靠地保證了數(shù)據(jù)庫(kù)的安全性。具體授權(quán)如下：數(shù)據(jù)庫(kù)管理員：負(fù)責(zé)創(chuàng)建用戶(hù)帳戶(hù)；創(chuàng)建組；創(chuàng)建數(shù)據(jù)庫(kù)安全管理員和審計(jì)員帳戶(hù)；管理數(shù)據(jù)庫(kù)系統(tǒng)；管理磁盤(pán)空間；修復(fù)磁盤(pán)；管理錯(cuò)誤日志；測(cè)試系統(tǒng)；開(kāi)啟和關(guān)閉系統(tǒng)。數(shù)據(jù)庫(kù)安全管理員：管理系統(tǒng)

48、的安全機(jī)制，設(shè)置、修改用戶(hù)的安全屬性；設(shè)置、修改數(shù)據(jù)庫(kù)對(duì)象的安全屬性。數(shù)據(jù)庫(kù)審計(jì)員：負(fù)責(zé)建立系統(tǒng)審計(jì)環(huán)境、審查審計(jì)記錄；選擇與安全相關(guān)的事件進(jìn)行審計(jì)。b)另外，如有必要，中國(guó)石油還可根據(jù)功能和可信賴(lài)的用戶(hù)群，進(jìn)一步細(xì)分?jǐn)?shù)據(jù)庫(kù)管理的責(zé)任和角色。這樣有助于靈活解決如為員工重設(shè)密碼（需要管理員權(quán)限）等常見(jiàn)問(wèn)題，或委派特定管理員執(zhí)行特殊部門(mén)（如市場(chǎng)部或財(cái)務(wù)部）的某些事務(wù)。 3.2.3數(shù)據(jù)庫(kù)用戶(hù)認(rèn)證管理a)確保每一個(gè)用戶(hù)帳號(hào)對(duì)于數(shù)據(jù)庫(kù)連接來(lái)說(shuō)都是必須的，禁用或刪除任何不必要的帳號(hào)。b)進(jìn)行帳號(hào)和口令的安全管理，具體規(guī)范參見(jiàn)通用安全管理標(biāo)準(zhǔn)中口令安全管理標(biāo)準(zhǔn)。c)必須嚴(yán)格控制管理員級(jí)別的數(shù)據(jù)庫(kù)帳戶(hù)。數(shù)據(jù)庫(kù)

49、管理員權(quán)限的授予必須經(jīng)過(guò)嚴(yán)格的授權(quán)流程及相應(yīng)的授權(quán)人員的批準(zhǔn)，并且應(yīng)嚴(yán)格限制在極少數(shù)的人員之中。d)數(shù)據(jù)庫(kù)中的密碼必須以加密的形式存儲(chǔ)。e)數(shù)據(jù)庫(kù)的帳號(hào)和密碼在需要通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸時(shí)，必須通過(guò)加密的方式進(jìn)行。f)拒絕遠(yuǎn)程的數(shù)據(jù)庫(kù)管理員的訪(fǎng)問(wèn)，或者通過(guò)數(shù)據(jù)庫(kù)管理系統(tǒng)提供的特殊措施，管理遠(yuǎn)程管理員登陸。g)如果用戶(hù)一般通過(guò)自己的計(jì)算機(jī)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)，并且每個(gè)用戶(hù)的系統(tǒng)名和 IP地址都是確定的，宜設(shè)置用戶(hù)不能從其他的計(jì)算機(jī)登陸數(shù)據(jù)庫(kù)。h)用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)結(jié)束，必須關(guān)閉相關(guān)的數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)的應(yīng)用程序，斷開(kāi)與數(shù)據(jù)庫(kù)的連接。3.2.4數(shù)據(jù)庫(kù)用戶(hù)授權(quán)管理a)最小權(quán)限原則：中國(guó)石油必須本著最小權(quán)限原則，從需求和工作職能

50、兩方面嚴(yán)格限制對(duì)數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)權(quán)限。b)不宜直接為用戶(hù)賦予特定的訪(fǎng)問(wèn)權(quán)限，應(yīng)通過(guò)為用戶(hù)分配角色來(lái)間接控制用戶(hù)訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)的權(quán)限。如果用戶(hù)的工作需要對(duì)特定的數(shù)據(jù)具有比其他人更高的訪(fǎng)問(wèn)權(quán)限，可通過(guò)建立新的具有這些權(quán)限的角色，將該角色賦予用戶(hù)。通過(guò)角色將特定工作的訪(fǎng)問(wèn)功能與需要的權(quán)限相分離，從而可以獨(dú)立地將某項(xiàng)工作的權(quán)限賦予或收回。安全管理員必須清晰了解每一個(gè)被使用的角色的權(quán)限，不可使用那些訪(fǎng)問(wèn)權(quán)限不清晰的角色。對(duì)于那些用戶(hù)很多，應(yīng)用程序和數(shù)據(jù)對(duì)象很豐富的數(shù)據(jù)庫(kù)，應(yīng)充分利用角色這個(gè)機(jī)制的方便性對(duì)權(quán)限進(jìn)行有效管理。對(duì)于復(fù)雜的系統(tǒng)環(huán)境，角色能大大地簡(jiǎn)化權(quán)限的管理。安全管理者可決定用戶(hù)組分類(lèi)，為這些用戶(hù)組創(chuàng)建

51、用戶(hù)角色，并對(duì)數(shù)據(jù)庫(kù)和應(yīng)用對(duì)象管理用戶(hù)角色的訪(fǎng)問(wèn)權(quán)限。c)必須記錄所有的權(quán)限建立和權(quán)限修改的過(guò)程。d)應(yīng)根據(jù)業(yè)務(wù)的需要和用戶(hù)的訪(fǎng)問(wèn)權(quán)限，將數(shù)據(jù)庫(kù)從邏輯上分割。如一般用戶(hù)角色只能訪(fǎng)問(wèn)一般數(shù)據(jù)，市場(chǎng)部的用戶(hù)角色可訪(fǎng)問(wèn)到銷(xiāo)售數(shù)據(jù)，人事部的用戶(hù)角色可訪(fǎng)問(wèn)到工資數(shù)據(jù)等.。e)應(yīng)通過(guò)對(duì)于數(shù)據(jù)庫(kù)對(duì)象（例如表、視圖、存儲(chǔ)過(guò)程，甚至記錄和字段等）的授權(quán)來(lái)控制數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)。應(yīng)僅授予用戶(hù)完成工作所需的最小權(quán)限。f)當(dāng)用戶(hù)的職位發(fā)生變更，或者工作需要改變以后，檢查用戶(hù)的所需的角色權(quán)限，并作相應(yīng)的改動(dòng)，以滿(mǎn)足最小權(quán)限原則。g)一旦員工離開(kāi)中國(guó)石油，必須立即刪除他們的用戶(hù)帳戶(hù)。對(duì)于其他的用戶(hù)，如果相關(guān)的訪(fǎng)問(wèn)不再需要進(jìn)行，

52、應(yīng)將相應(yīng)角色權(quán)限收回。h)用戶(hù)權(quán)限的定期檢查：安全管理員必須定期對(duì)用戶(hù)的角色權(quán)限進(jìn)行檢查，以保證用戶(hù)的權(quán)限是合理的。檢查的時(shí)間間隔不能超過(guò) 6 個(gè)月。3.2.5數(shù)據(jù)庫(kù)的日志和安全審計(jì)a)對(duì)于數(shù)據(jù)庫(kù)的審計(jì)應(yīng)包括以下內(nèi)容：對(duì)于數(shù)據(jù)庫(kù)的成功或者不成功的連接數(shù)據(jù)庫(kù)的啟動(dòng)和關(guān)閉對(duì)數(shù)據(jù)庫(kù)對(duì)象的建立和刪除對(duì)數(shù)據(jù)表信息的查看、修改和刪除數(shù)據(jù)庫(kù)中程序的執(zhí)行b)數(shù)據(jù)庫(kù)日志中記錄的信息應(yīng)包括各種對(duì)數(shù)據(jù)庫(kù)表及其他對(duì)象的成功及不成功的訪(fǎng)問(wèn)信息，至少應(yīng)包括：進(jìn)行操作的用戶(hù)操作的時(shí)間操作的對(duì)象進(jìn)行的操作c)除了數(shù)據(jù)庫(kù)的日志，對(duì)于數(shù)據(jù)庫(kù)的重要配置文件的修改也應(yīng)通過(guò)日志記錄。d)對(duì)于重要的數(shù)據(jù)內(nèi)容，數(shù)據(jù)庫(kù)的審計(jì)應(yīng)包括對(duì)記錄字段

53、和元素一級(jí)的訪(fǎng)問(wèn)，并且應(yīng)維護(hù)數(shù)據(jù)的更改日志。更改日志是數(shù)據(jù)庫(kù)每次改變的記錄文件，日志包括原來(lái)的值和修改后的值。數(shù)據(jù)庫(kù)管理員應(yīng)可根據(jù)日志撤消任何錯(cuò)誤的修改。e)3 層的應(yīng)用服務(wù)器架構(gòu)增加了審計(jì)的復(fù)雜度。通常應(yīng)用服務(wù)器代表用戶(hù)進(jìn)行數(shù)據(jù)庫(kù)操作。應(yīng)用服務(wù)器訪(fǎng)問(wèn)數(shù)據(jù)庫(kù)時(shí)應(yīng)利用用戶(hù)各自的真實(shí)帳戶(hù)，而不應(yīng)使用代碼內(nèi)嵌的帳戶(hù)，使其能夠記錄特定用戶(hù)的訪(fǎng)問(wèn)日志。f)另外，可使用一些第三方的數(shù)據(jù)庫(kù)審計(jì)或者日志工具，來(lái)提供重要數(shù)據(jù)日志，并對(duì)其進(jìn)行審計(jì)。g)審計(jì)會(huì)影響數(shù)據(jù)庫(kù)系統(tǒng)的性能，不應(yīng)試圖用最詳細(xì)的級(jí)別來(lái)審計(jì)所有的數(shù)據(jù)庫(kù)行為。否則只會(huì)使數(shù)據(jù)庫(kù)用戶(hù)的日常使用受到重大影響，并且審計(jì)數(shù)據(jù)可能會(huì)大大超過(guò)數(shù)據(jù)庫(kù)中的數(shù)據(jù)，并超

54、過(guò)系統(tǒng)的存儲(chǔ)限制。h)對(duì)于性能要求較高，數(shù)據(jù)增長(zhǎng)很快的大型應(yīng)用，應(yīng)根據(jù)數(shù)據(jù)庫(kù)中的數(shù)據(jù)的重要性，確定需要對(duì)哪些數(shù)據(jù)庫(kù)的對(duì)象進(jìn)行哪些方面的審計(jì)。i)審計(jì)哪些數(shù)據(jù)庫(kù)行為，以及采取哪些審計(jì)方法，這些審計(jì)策略應(yīng)根據(jù)人員、可疑行為的變化，或者需要對(duì)某些特定內(nèi)容進(jìn)行不同層次的檢查而進(jìn)行修改。j)如果存在一些時(shí)間段，用戶(hù)不會(huì)進(jìn)行數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)，應(yīng)對(duì)于這些時(shí)間的數(shù)據(jù)庫(kù)連接進(jìn)行審計(jì)。這段時(shí)間的數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)可能代表了不正常的用戶(hù)訪(fǎng)問(wèn)。k)數(shù)據(jù)庫(kù)審計(jì)管理人員應(yīng)定期（每周）通過(guò)工具自動(dòng)或者手工分析審計(jì)日志，來(lái)發(fā)現(xiàn)已出現(xiàn)的或者潛在的數(shù)據(jù)庫(kù)安全問(wèn)題。3.2.6數(shù)據(jù)庫(kù)的加密管理數(shù)據(jù)庫(kù)加密可為數(shù)據(jù)提供進(jìn)一步的安全性，即使這些數(shù)據(jù)被

55、非授權(quán)用戶(hù)獲得，他們也無(wú)法了解數(shù)據(jù)的真正內(nèi)容。數(shù)據(jù)庫(kù)中數(shù)據(jù)加密的實(shí)現(xiàn)方式，一般分為兩種方式：3.2.6.1使用數(shù)據(jù)庫(kù)本身的加密機(jī)制當(dāng)數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫(kù)時(shí)，數(shù)據(jù)庫(kù)管理系統(tǒng)將其進(jìn)行加密，當(dāng)數(shù)據(jù)從數(shù)據(jù)庫(kù)讀取時(shí)，將其進(jìn)行解密。數(shù)據(jù)庫(kù)本身的加密機(jī)制的優(yōu)點(diǎn)是：數(shù)據(jù)庫(kù)本身就可完成加密的任務(wù)，對(duì)外部的應(yīng)用是透明的，另外不需要額外的應(yīng)用支持來(lái)滿(mǎn)足其加密需求。但是它也有比較大的缺點(diǎn)：數(shù)據(jù)庫(kù)中數(shù)據(jù)讀取時(shí)的加密和解密會(huì)對(duì)數(shù)據(jù)庫(kù)的性能產(chǎn)生很大的影響；數(shù)據(jù)加密的密鑰一般也存儲(chǔ)在數(shù)據(jù)庫(kù)中，入侵者只要獲得數(shù)據(jù)庫(kù)中密鑰的訪(fǎng)問(wèn)權(quán)限，就可能將數(shù)據(jù)解密?？衫妙~外的硬件安全模塊(HSM: Hardware Security Modul

56、e)，來(lái)提供與數(shù)據(jù)庫(kù)分離的密鑰管理，并通過(guò)其提供一定的加解密的處理能力。當(dāng)數(shù)據(jù)在數(shù)據(jù)庫(kù)外使用時(shí)，由于已經(jīng)是明文的形式，需要額外對(duì)于這些數(shù)據(jù)的網(wǎng)絡(luò)傳輸進(jìn)行加密。3.2.6.2利用數(shù)據(jù)庫(kù)外部的應(yīng)用進(jìn)行加密將加密和解密的工作轉(zhuǎn)移到處理數(shù)據(jù)的應(yīng)用中，數(shù)據(jù)在存儲(chǔ)到數(shù)據(jù)庫(kù)前就已通過(guò)獨(dú)立的應(yīng)用進(jìn)行了加密。這種方式的好處是對(duì)于數(shù)據(jù)庫(kù)服務(wù)器本身的負(fù)載影響較小，并且數(shù)據(jù)在實(shí)際使用前在網(wǎng)上傳輸?shù)男畔⒈旧砭褪羌用艿?。?yīng)用級(jí)的加密需要數(shù)據(jù)庫(kù)外面應(yīng)用程序的加密功能的支持，可能需要進(jìn)行一定的開(kāi)發(fā)工作，并且可能需要外部的安全咨詢(xún)服務(wù)及產(chǎn)品供應(yīng)商的支持，因此需要比較大的投資。在存在多個(gè)需要加密的大型應(yīng)用及多個(gè)需要加密的數(shù)據(jù)庫(kù)環(huán)

57、境的情況下，可利用一個(gè)企業(yè)級(jí)的加密服務(wù)器來(lái)提供集中式的加解密服務(wù)。這樣可提供比較完善的密鑰管理和訪(fǎng)問(wèn)控制的機(jī)制。3.2.6.3對(duì)于數(shù)據(jù)庫(kù)加密機(jī)制的管理3.2.6.3.1嚴(yán)格管理密鑰和加解密工具的訪(fǎng)問(wèn)手段必須對(duì)于密鑰和加解密工具具有嚴(yán)格的認(rèn)證、授權(quán)和訪(fǎng)問(wèn)控制。必須在重要信息被解密前進(jìn)行嚴(yán)格的用戶(hù)認(rèn)證。必須對(duì)于這些加解密對(duì)象的使用進(jìn)行嚴(yán)格的審計(jì)并記錄日志。3.2.6.3.2密鑰的多種存放方式數(shù)據(jù)庫(kù)內(nèi)部的加密可把密鑰存放在數(shù)據(jù)庫(kù)的限制訪(fǎng)問(wèn)的單獨(dú)的表上。 密鑰存儲(chǔ)的比較安全的存放方式是利用硬件進(jìn)行存儲(chǔ)，例如對(duì)于數(shù)據(jù)庫(kù)的密鑰使用硬件安全模塊(HSM: Hardware Security Module)。

58、密鑰可存放在一個(gè)限制訪(fǎng)問(wèn)的文件中。可通過(guò)一個(gè)集中的加密服務(wù)器來(lái)進(jìn)行加密和密鑰的管理。3.2.6.4對(duì)中國(guó)石油使用數(shù)據(jù)庫(kù)加密的建議a)無(wú)論使用哪種加密技術(shù)都會(huì)對(duì)應(yīng)用系統(tǒng)的性能有很大的影響，因此必須權(quán)衡日常業(yè)務(wù)的運(yùn)行效率及數(shù)據(jù)的重要性，以確定哪些數(shù)據(jù)真正重要到需要進(jìn)行數(shù)據(jù)庫(kù)加密。b)盡量通過(guò)加強(qiáng)認(rèn)證、授權(quán)和訪(fǎng)問(wèn)控制，來(lái)提高數(shù)據(jù)庫(kù)內(nèi)容的安全性。根據(jù)風(fēng)險(xiǎn)評(píng)估，除非絕對(duì)必要否則不要試圖對(duì)于大的數(shù)據(jù)庫(kù)的很多內(nèi)容進(jìn)行加密，這會(huì)妨礙中國(guó)石油日常業(yè)務(wù)的運(yùn)行。c)在僅需要對(duì)少量和有限的內(nèi)容進(jìn)行加密的情況下，可使用數(shù)據(jù)庫(kù)軟件本身提供的加密功能。d)在存在大量的需要加密的應(yīng)用和數(shù)據(jù)庫(kù)環(huán)境的情況下，中國(guó)石油可考慮使用加

59、密服務(wù)器來(lái)集中管理這些大量的加密和訪(fǎng)問(wèn)控制管理工作。3.2.7人員培訓(xùn)管理數(shù)據(jù)庫(kù)系統(tǒng)是非常復(fù)雜的應(yīng)用系統(tǒng)，對(duì)其進(jìn)行管理和配置需要大量的專(zhuān)業(yè)知識(shí)和技能。數(shù)據(jù)庫(kù)的一個(gè)重大的安全隱患是數(shù)據(jù)庫(kù)管理人員對(duì)于數(shù)據(jù)庫(kù)的不適當(dāng)安裝、配置以及誤操作等。由于這些數(shù)據(jù)庫(kù)管理人員具有很大的數(shù)據(jù)庫(kù)操作權(quán)限，所以他們的不適當(dāng)操作可能會(huì)對(duì)整個(gè)數(shù)據(jù)庫(kù)帶來(lái)極大的危害。a)應(yīng)對(duì)于數(shù)據(jù)庫(kù)管理人員進(jìn)行必要的培訓(xùn)，使得他們具備相應(yīng)的知識(shí)，以完成數(shù)據(jù)庫(kù)管理的任務(wù)。b)數(shù)據(jù)庫(kù)管理人員應(yīng)在工作期間進(jìn)行自我學(xué)習(xí)，不斷提高數(shù)據(jù)庫(kù)技術(shù)水平和管理技能，以滿(mǎn)足不斷出現(xiàn)的新的數(shù)據(jù)庫(kù)管理的要求。第第第 4 4 4 章章章 數(shù)據(jù)備份管理規(guī)范數(shù)據(jù)備份管理規(guī)范

60、數(shù)據(jù)備份管理規(guī)范在信息時(shí)代，中國(guó)石油用來(lái)支持經(jīng)營(yíng)和決策的重要數(shù)據(jù)和信息已經(jīng)成為企業(yè)重要的資產(chǎn)。這些信息資產(chǎn)可能遭到自然災(zāi)害、計(jì)算機(jī)系統(tǒng)的故障以及人為的破壞。要使中國(guó)石油的計(jì)算機(jī)系統(tǒng)在受到各種破壞后仍然可保證業(yè)務(wù)的正常運(yùn)行，對(duì)于這些重要的信息和數(shù)據(jù)進(jìn)行備份至關(guān)重要。4.1數(shù)據(jù)備份的主要方式4.1.1完全備份、增量備份和差異備份a)完全備份將服務(wù)器上的所有數(shù)據(jù)都進(jìn)行備份?；趥浞莸臄?shù)據(jù)量和頻率，完全備份可能需要比較大的存儲(chǔ)空間以及要花費(fèi)較多的時(shí)間。但是它可較快地進(jìn)行恢復(fù)。b)增量備份只備份前一次備份以后的數(shù)據(jù)變化。該方式每次備份花費(fèi)的時(shí)間較少，但需要較多的時(shí)間進(jìn)行恢復(fù)工作。c)差異備份則備份前一次