【正文】 石油信息網(wǎng)是在中國石油天然氣集團公司網(wǎng)絡(luò)的基礎(chǔ)上，進行擴充與提高所形成的連接中國石油所屬各個單位計算機局域網(wǎng)和園區(qū)網(wǎng)。有些單位通過撥號線路連接到中國石油總部，不是利用專線，這樣的單位和所使用的遠程信道不屬于中國石油專用網(wǎng)主干網(wǎng)組成部分。園區(qū)網(wǎng)是在一個園區(qū)（例如研究院園 區(qū)、管理局基地等）內(nèi)多座建筑內(nèi)的多個局域網(wǎng)，利用高速信道互相連接起來所構(gòu)成的網(wǎng)絡(luò)。傳輸信息的信道通常都是電信部門建設(shè)的。這些遠程信道可能用來連接不同地區(qū)的局域網(wǎng)或園區(qū)網(wǎng)，也可能用于連接單臺計算機。為簡便，同稱為最后一公里問題。防止數(shù)據(jù)遭受未經(jīng)授權(quán)的訪問、惡意的讀取和破壞以及非法的拷貝等等情況的發(fā)生，是保護信息安全的最終目的。使得各種電子文檔系統(tǒng)和數(shù)據(jù)庫系統(tǒng)免遭未經(jīng)授權(quán)的訪問，從而保證中國石油相關(guān)數(shù)據(jù)信息的安全。本規(guī)范面向所有的和 電子文檔管理或數(shù)據(jù)庫管理相關(guān)的人員。 1. GB178591999 計算機信息系統(tǒng)安全保護等級劃分準則 2. GB/T 93871995 信息處理系統(tǒng) 開放系統(tǒng)互連基本參考模型（ ISO7498 :1989） 3. GA/T 3912020 計算機信息系統(tǒng)安全等級保護管理要求 4. ISO/IEC TR 13355 信息技術(shù)安全管理指南 5. NIST 信息安全系列 —— 美國國家標準技術(shù)院 6. 英國國家信息安全標準 BS7799 7. 信息 安全基礎(chǔ)保護 IT Baseline Protection Manual (Germany) 8. BearingPoint Consulting 內(nèi)部信息安全標準 9. RU Secure 安全技術(shù)標準 10. 信息系統(tǒng)安全專家叢書 Certificate Information Systems Security Professional 數(shù)據(jù)和電子文檔安全管理規(guī)范 9 部門績效績效監(jiān)控分析報告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會會議紀要業(yè)務(wù)流程優(yōu)化咨詢項目工作績效監(jiān)控分析報告供應(yīng)鏈管理工資核算流程 術(shù)語和定義 訪問控制 access control 一種安全保證手段，即信息系統(tǒng)的資源只能由被授權(quán)實體按授權(quán)方式進行訪問 ，防止對資源的未授權(quán)使用。 解密 decryption 從密文中獲取對應(yīng)的原始數(shù)據(jù)的過程。 日志 log log 一種信息的匯集 , 記錄有關(guān)對系統(tǒng)操作和系統(tǒng)運行的全部事項，提供了系統(tǒng)的歷史狀況。 明文 plaintext 無需利用密碼技術(shù)即可得出語義內(nèi)容的數(shù)據(jù)。 可信計算機系統(tǒng) trusted puter system 提供充分的計算機安全的信息處理系統(tǒng)，它允許具有不同訪問權(quán)的用 戶并發(fā)訪問數(shù)據(jù)，以及訪問具有不同安全等級和安全種類的數(shù)據(jù)。 授權(quán)用戶的不當操作 a) 即使對于用戶的訪問權(quán)限做了嚴格的限制，但是一些重要的電子文檔還是有可能被其他人獲得。 c) 在文件的復(fù)制過程中， 由于誤 操作將同名文件覆蓋。 c) 內(nèi)容的不一致性 —— 多個用戶各自在本地對同一電子文檔進行了不同的修改，導(dǎo)致內(nèi)容的不一致 。電子文檔的管理不僅注重每個階段的結(jié)果，也要重視每項工作的具體過程，并把這些過程一一記錄下來。 d) 重要電子文檔的建立過程必須記錄下來，并清晰記錄每個參與人員的職責(zé)和工作情況?？刹捎脤Ｓ玫碾娮游臋n管理軟件自動方便管理電子文檔的版本。 b) 電子文檔原來的所有者應(yīng)保證內(nèi)容的完整、真實可靠。 f) 電子文檔的負責(zé)人必須指定電子文檔的保存期限，并且該保存期限不與相關(guān)的合同、法規(guī)以及中國石油的特殊規(guī)定相違背。 j) 對于特殊的電子文檔，宜將其打印成紙質(zhì)電子文檔或制成縮微品進行歸檔。 d) 對保存的電子文檔應(yīng)根據(jù)其重要程度定期 （每 3 個月） 進行安全性、 有效性檢查，發(fā)現(xiàn)載體和信息有損傷時，應(yīng)及時采取措施，進行修復(fù)。 b) 重要電子文檔的借閱必須經(jīng)過批準，電子文檔的借閱者和負責(zé)人應(yīng)對電子文檔的借閱進行確認。 f) 除公開發(fā)行的電子出版物外、對其它借出的電子文檔拷貝必須按時回收。 i) 對于回收的電子拷貝應(yīng)進行內(nèi)容消除處理。發(fā)現(xiàn)有出錯的載體，必須進行有效的修正或更新。 g) 應(yīng)通過檢查記錄，保證電子文檔的真實性。無論是單用戶的操作系統(tǒng)還是多用戶的操作系統(tǒng)，必須能夠提供操作系統(tǒng)的進入認證控制。 c) 在不使用系統(tǒng)的時候，必須鎖定計算機或者退出系統(tǒng)。 加強對于電子文檔的授權(quán)管理 文件系統(tǒng)的訪問權(quán)限 a) 對于多用戶的系統(tǒng)，宜對于特定的目錄和文件，設(shè)置特定的訪問權(quán)限。 b) 對于網(wǎng)絡(luò)共享文件夾，必須嚴格限制用戶對文件夾的訪問權(quán)限，只對必須進行訪問的用戶開放訪問權(quán)限。系統(tǒng)管理員可分配訪問權(quán)限、監(jiān)督用戶的訪問操作，并在必要的情況下取消用戶的相應(yīng)權(quán)限。 c) 最小權(quán)限原則：一方 面給予主體 必不可少 的權(quán)限，這就保證了所有的主體都能在所賦予的權(quán)限之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體 必不可少 的權(quán)限，這就限制了每個主體所能進行的操作。這些用戶組應(yīng)通過業(yè)務(wù)單元、地理位置、項目、職責(zé)或者功能來定義。相關(guān)的訪問記錄必須根據(jù)中國石油的要求，保存相應(yīng)的時間，并且符合相應(yīng)的法規(guī)。 d) 所有電子文檔訪問的可追究性：通過使用完整的日志和唯一的用戶 ID，所有的電子文檔操作必須可追溯到特定的用戶。 b) 管理員級別的帳戶：必須嚴格控制管理員和 root 級別的系統(tǒng)帳戶。 d) 跨公司的訪問控制：當需要在總公司和地區(qū)公司之間，或者在地區(qū)公司之間的網(wǎng)絡(luò)進行敏感信息的訪問和傳輸時，這種訪問必須采取以下限制：訪問控制機制必須識別相應(yīng)的公司的身份，以及公司之間的能夠進行雙方同意的操作的特定授權(quán)用戶的身份。 電子文檔加密方法 a) 簡單的加密方法是通過一個硬件的加密接口。 b) 一些軟件可在客戶機上或者服務(wù)器上進行加密。 c) 另外的方式是使用電子文檔或者文件系統(tǒng)級的加密軟件。 b) 對于需要通過網(wǎng)絡(luò)（電子郵件等）傳輸?shù)闹匾娮游臋n，必須首先通過加密程序或者相應(yīng)的電子文檔編輯程序自帶的加密功能進行加密后才能傳 輸。 加強對電子文檔日志審計管理 應(yīng)使用審計策略對文件夾、文件進行審計，審計結(jié)果記錄在安全日志中，通過安全日志就可查看哪些組或用戶對文件夾、文件進行了什么級別的操作，從而發(fā)現(xiàn)系統(tǒng)可能面臨的非法訪問，并通過采取相應(yīng)的措施，將這種安全隱患減到最 低。 d) 系統(tǒng)管理員或者電子文檔的所有者應(yīng)定期檢查（通過專門的工具或者手工）重要電子文檔的日志，檢查存在的異常訪問或者不正常的修改。 數(shù)據(jù)庫安全是一個廣闊的領(lǐng)域，從傳統(tǒng)的備份與恢復(fù)，認證與訪問控制，到數(shù)據(jù)存貯和通信環(huán)節(jié)的加密，它作為操作系統(tǒng)之上的應(yīng)用平臺，其安全與網(wǎng)絡(luò)和主機安全息息相關(guān)，本規(guī)范著重從數(shù)據(jù)庫安全管理和內(nèi)部自身安全的角度討論相關(guān)問題。另外，數(shù)據(jù)庫系統(tǒng)的缺省服務(wù)和配置也可能存在著很大的隱患。因此，唯一可靠的安全功能應(yīng)限定在數(shù)據(jù)庫系統(tǒng)內(nèi)部。 另外，這也和企業(yè)管理所倡導(dǎo)的“檢查職能和工作職能平衡”的原則相悖。 g) 缺乏審計跟蹤 —— 數(shù)據(jù)庫審計經(jīng)常被 DBA 以提高性能或節(jié)省磁盤空間為由忽視或關(guān)閉，這大大降低了管理分析的可靠性和效力。如果不預(yù)先采取預(yù)防的措施，把重要的業(yè)務(wù)和經(jīng)營數(shù)據(jù)備份起來，那么一旦發(fā)生這些災(zāi)難性的后果，中國石油將遭受 巨大的損失。 j) 數(shù)據(jù)庫服務(wù)器沒有足夠的存儲空間，導(dǎo)致數(shù)據(jù)庫服務(wù)無法正常進行 —— 這是常常被忽視，但是經(jīng)常會影響數(shù)據(jù)庫正常運行的問題。為防止存儲設(shè)備的物理損壞導(dǎo)致的影響，對于大型的應(yīng)用應(yīng)采用磁盤陣列容錯和冗余等措施。必須配置數(shù)據(jù)庫，使得存儲過程以最小需要的級別來運行。這些文件應(yīng)由數(shù)據(jù)庫來控制，系統(tǒng)管理員和用戶不需要用到這些文件，所以應(yīng)禁止他們對這些文件的訪問。這種管理體制真正做到三權(quán)分立、各行其責(zé)、相互制約，可靠地保證了數(shù)據(jù)庫的安全性。 b) 另外，如有必要，中國石油還可根據(jù)功能和可信賴的用戶群，進一步細分數(shù)據(jù)庫管理的責(zé)任和角色。 數(shù)據(jù)和電子文檔安全管理規(guī)范 27 部門績效績效監(jiān)控分析報告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會會議紀要業(yè)務(wù)流程優(yōu)化咨詢項目工作績效監(jiān)控分析報告供應(yīng)鏈管理工資核算流程 c) 必須嚴格控制管理員級別的數(shù)據(jù)庫帳戶。 f) 拒絕遠程的數(shù)據(jù)庫管理員的訪問，或者通過數(shù)據(jù)庫管理系統(tǒng)提供的特殊措施，管理遠程管理員登陸。 b) 不宜直接為用戶賦予特定的訪問權(quán)限，應(yīng)通過為用戶分配角色來間接控制用戶訪問數(shù)據(jù)庫的權(quán)限。 ? 對于那些用戶很多，應(yīng)用程序和數(shù)據(jù)對象很豐富的數(shù)據(jù)庫，應(yīng)充分利用角色這個機制的方便性對權(quán)限進行有效管理。 d) 應(yīng)根據(jù)業(yè)務(wù)的需要和用戶的訪問權(quán)限，將數(shù)據(jù)庫從邏輯上分割。 f) 當用戶的職位發(fā)生變更，或者工作需要改變以后，檢查用戶的所需的角色權(quán)限，并作相應(yīng)的改動，以滿足最小權(quán)限原則。檢查的時間間隔不能超過 6 個月 。數(shù)據(jù)庫管理員應(yīng)可根據(jù)日志撤消任何錯誤的修改。 f) 另外，可使用一些第三方的數(shù)據(jù)庫審計或者日志工具，來提供重要數(shù)據(jù)日志，并對其進行審計。 i) 審計哪些數(shù)據(jù)庫行為，以及采取哪些審計方法，這些審計策略應(yīng)根據(jù)人員、可疑行為的變化，或者需要對某些特定內(nèi)容進行不同層次的檢查而進行修改。 30 數(shù)據(jù)和電子文檔安全管理規(guī)范 數(shù)據(jù)庫的加密管理 數(shù)據(jù)庫加密可為數(shù)據(jù)提供進一步的安全性，即使這些數(shù)據(jù)被非授權(quán)用戶獲得，他們也無法了解數(shù)據(jù)的真正內(nèi)容。 ? 可利用額外的硬件安全模塊 (HSM: Hardware Security Module)，來提供與數(shù)據(jù)庫分離的密鑰管理，并通過其提供一定的加解密的處理能力。 ? 應(yīng)用級的加密需要數(shù)據(jù)庫外面應(yīng)用程序的加密功能的支持，可能需要進行一定的開發(fā)工作，并且可能需要外部的安全咨詢服務(wù)及產(chǎn)品供應(yīng)商的支持，因此需要比較大的投資。必須在重要信息被解密前進行嚴格的用戶認證。 ? 密鑰可存放在一個限制訪問的文件中 。根據(jù)風(fēng)險評估，除非絕對必要否則不要試圖對于大的數(shù)據(jù)庫的很多內(nèi)容進行加密，這會妨礙中國石油日常業(yè)務(wù)的運行。數(shù)據(jù)庫的一個重大的安全隱患是數(shù)據(jù)庫管理人員對于數(shù)據(jù)庫的不適當安裝、配置以及誤操作等。 數(shù)據(jù)和電子文檔安 全管理規(guī)范 33 部門績效績效監(jiān)控分析報告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會會議紀要業(yè)務(wù)流程優(yōu)化咨詢項目工作績效監(jiān)控分析報告供應(yīng)鏈管理工資核算流程 第第 4 章章 數(shù)數(shù) 據(jù)據(jù) 備備 份份 管管 理理 規(guī)規(guī) 范范 在信息時代 ，中國石油用來支持經(jīng)營和決策的重要數(shù)據(jù)和信息已經(jīng)成為企業(yè)重要的資產(chǎn)?；趥浞莸臄?shù)據(jù)量和頻率，完全備份可能需要比較大的存儲空間以及要花費較多的時間。 c) 差異備份則備份前一次完全備份以后的變動數(shù)據(jù)。 c) 網(wǎng)絡(luò)文件服務(wù)器備份：在 LAN 或者其它的網(wǎng)絡(luò)服務(wù)器的磁盤上備份數(shù)據(jù)，使得本地數(shù)據(jù)損壞后可利用網(wǎng)絡(luò)的備份進行恢復(fù)。 f) 冗余和容錯：主要通過服務(wù)器硬件的冗余和容錯功能來進行，包括使用磁盤陣列 (RAID)、集群、本地的連續(xù)的磁盤復(fù)制、建立原始數(shù)據(jù)的鏡像等。 g) 數(shù)據(jù)庫復(fù)制：與磁盤復(fù)制類似，通過將主數(shù)據(jù)庫的數(shù)據(jù)復(fù)制到另外一個備份數(shù)據(jù)庫，來保證數(shù)據(jù)庫的應(yīng)用在一臺服務(wù)器遇到故障的情況下可繼續(xù)運行。需要其他備份方式來保證數(shù)據(jù)的恢復(fù)。利用 Web 界面或者相應(yīng)的軟件，根據(jù)最新的備份數(shù)據(jù)及磁帶副本，通過網(wǎng)絡(luò)進行數(shù)據(jù)備份及恢復(fù)。 由于該技術(shù)成熟度高，且實施成本較低，因此目前被廣泛的應(yīng)用 。 數(shù)據(jù)和電子文檔安全管理規(guī)范 35 部門績效績效監(jiān)控分析報告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會會議紀要業(yè)務(wù)流程優(yōu)化咨詢項目工作績效監(jiān)控分析報告供應(yīng)鏈管理工資核算流程 其他備份方式 磁盤陣列冗余 備份 磁盤陣列冗余備份是指 利用 磁盤陣列的技術(shù)手段，將數(shù)據(jù)同時寫在兩個 (或多個 )物理 不同的磁盤上。 c) 遠程日志：對重要數(shù)據(jù)的更新進行監(jiān)控與跟蹤，并將更新日志實時通過網(wǎng)絡(luò)傳送到備份系統(tǒng)，備份系統(tǒng)則根據(jù)日志對備份數(shù)據(jù)進行更新。 b) 異地復(fù)制：通過使用復(fù)制軟件和網(wǎng)絡(luò)連接，將數(shù)據(jù)從原始的服務(wù)器復(fù)制到異地的遠程設(shè)施上。該方法可保存重要數(shù)據(jù)的最新的備份，但如果原始數(shù)據(jù)被刪除或者遭到破壞，則備份數(shù)據(jù)也受到同樣的破壞。在自動磁帶備份和磁帶庫管理應(yīng)用的支持下，是性價比較高的備份方式。 傳統(tǒng)備份和異地備份 傳統(tǒng)的備份方式 a) 本地磁盤備份：在用戶自己的計算機上的不同的磁盤位置，存放備份數(shù)據(jù)，但如果本地計算機出現(xiàn)故障，則無法恢復(fù)數(shù)據(jù)。 b) 增量備份只備份前一次備份以后的數(shù)據(jù)變化。要使中國石油的計算機系統(tǒng)在受到各種破壞后仍然可保證業(yè)務(wù)的正常運行，對于這些重要的信息和數(shù)據(jù)進行備份至關(guān)重要。 a) 應(yīng)對于數(shù)據(jù)庫管理人員進行必要的培訓(xùn)，使得他們具備相應(yīng)的知識，以完成數(shù)據(jù)庫管理的任務(wù)。 d) 在存在大量的需要加密的應(yīng)用和數(shù)據(jù)庫環(huán)境的情況下，中國石油可考慮使用加密服務(wù)器來集中管理這些大量的加密和訪問控制管理工作 。 對中國石油使用數(shù)據(jù)庫加密的建議 a) 無論使用哪種加密技術(shù)都會對應(yīng)用系統(tǒng)的性能有很大的影響，因此必須權(quán)衡日常業(yè)務(wù)的運行效率及數(shù)據(jù)的重要性，以確定哪些數(shù)據(jù)真正重要到需要進行數(shù)據(jù)庫加密。 密鑰的多種存放方式 ? 數(shù)據(jù)庫內(nèi)部的加密可把密鑰存放在數(shù)據(jù)庫的限制訪問的單獨的