【文章內(nèi)容簡介】 。 最小權(quán)限 minimum privilege 主體的訪問權(quán)限制到最低限度，即僅執(zhí)行授權(quán)任務(wù)所必 需的那些權(quán)利。 口令 password 用來鑒別實體身份的受保護(hù)或秘密的字符串。 明文 plaintext 無需利用密碼技術(shù)即可得出語義內(nèi)容的數(shù)據(jù)。 10 數(shù)據(jù)和電子文檔安全管理規(guī)范 安全等級 security classification 決定防止數(shù)據(jù)或信息需求的訪問的某種程度的保護(hù)，同時對該保護(hù)程度給以命名。為表示信息的不同敏感度 , 按保密程度不同對信息進(jìn)行層次劃分的組合或集合。 例：“絕密”、“機(jī)密”、“秘密”。 可信計算機(jī)系統(tǒng) trusted puter system 提供充分的計算機(jī)安全的信息處理系統(tǒng)，它允許具有不同訪問權(quán)的用 戶并發(fā)訪問數(shù)據(jù)，以及訪問具有不同安全等級和安全種類的數(shù)據(jù)。 HSM 硬件安全模塊 Hardware Security Module NAS 網(wǎng)絡(luò)附加存儲 Network Attached Storage SAN 存儲區(qū)域網(wǎng)絡(luò) Storage Area Network 數(shù)據(jù)和電子文檔安全管理規(guī)范 11 第第 2 章章 電電 子子 文文 檔檔 安安 全全 管管 理理 規(guī)規(guī) 范范 電子文檔主要安全問題 在當(dāng)前多用戶系統(tǒng)和 網(wǎng)絡(luò) 普及的情況下，中國石油電子文檔的安全問題也涉及到多個方面， 目前主要 的 安全問題如下： 未經(jīng)授權(quán)的訪問 重要的電子文檔被未經(jīng)授權(quán)的用戶訪問到（閱讀、修改或刪除），可能 導(dǎo)致 信息的泄 漏 。 人員的惡意攻擊 a) 外部入侵者或者內(nèi) 部有相應(yīng)權(quán)限的人員，出于某種惡意的目的 對電子文檔的內(nèi)容進(jìn)行篡改。 b) 惡意代碼的攻擊可能使電子文檔無法使用。 授權(quán)用戶的不當(dāng)操作 a) 即使對于用戶的訪問權(quán)限做了嚴(yán)格的限制，但是一些重要的電子文檔還是有可能被其他人獲得。例如用戶的可移動存儲設(shè)備的遺失，或由于管理員一時的疏忽，導(dǎo)致訪問權(quán)限的錯誤。在這種情況下，需要額外的機(jī)制來保證這些信息內(nèi)容不被非法讀取，可采取的手段有電子文檔的加密、電子文檔口令的設(shè)置等。 b) 誤操作導(dǎo)致重要文件被刪除或者磁盤被格式化。 c) 在文件的復(fù)制過程中， 由于誤 操作將同名文件覆蓋。 12 數(shù)據(jù)和電子文檔安全管理規(guī)范 d) 在電子文檔的修改過程中， 由于用戶的誤操作，使得原先內(nèi)容完整的電子文檔丟失。 電子文檔的分散存儲 a) 重復(fù)存儲占用空間 —— 同一個電子文檔在多個共享的文件存儲服務(wù)器上存在，同時每個用戶處 有電子文檔的多個歷史版本，導(dǎo)致磁盤空間的浪費。 b) 版本的不一致性 —— 不同用戶處的同一個電子文檔，由于 沒有及時更新 等原因 ，導(dǎo)致在不同用戶處保存同一個電子文檔的版本 不一致 ，并且包含不同的內(nèi)容。 c) 內(nèi)容的不一致性 —— 多個用戶各自在本地對同一電子文檔進(jìn)行了不同的修改，導(dǎo)致內(nèi)容的不一致 。 外部因素的影響 a) 存儲 電子文檔的存儲 設(shè)備 損壞，導(dǎo)致電子文檔的損壞或丟失。 b) 在火災(zāi)、地震或者恐怖事件等特殊情況下， 對數(shù)據(jù)和電子文檔造成的破壞。 數(shù)據(jù)和電子文檔安全管理規(guī)范 13 電子文檔安全管理 電子文檔的建立、更改、歸檔、保管、使用、備份等各個環(huán)節(jié)，都有信息更改、丟失的可能性，建立并執(zhí)行一套科學(xué)、合理、嚴(yán)密的管理制度，從每一個環(huán)節(jié)消除信息失真的隱患，對于維護(hù)電子文檔的原始性、真實性十分重要。電子文檔的管理不僅注重每個階段的結(jié)果，也要重視每項工作的具體過程，并把這些過程一一記錄下來。其中有關(guān)維護(hù)信息安全方面的主要規(guī)定為： 電子文檔的建立管理 a) 重要電子文檔的制作過程應(yīng)責(zé)任分明。 b) 每個重要電子文檔都必須有主要的負(fù)責(zé)人，并對負(fù)責(zé)的電子文檔負(fù)有全責(zé)。 c) 重要電子文檔的合作人員必須清晰界定，并嚴(yán)格劃分參與人員的職責(zé)。 d) 重要電子文檔的建立過程必須記錄下來，并清晰記錄每個參與人員的職責(zé)和工作情況。 電子文檔的更改管理 a) 重要的電子文檔一經(jīng)定稿禁止進(jìn)行修改，除非經(jīng)過必要的審批程序。 b) 所有重要的電子文檔的變更都必須記錄在案。 c) 在對于重要電子文檔的修改過程中，應(yīng)保存電子文檔的各個歷史版本?？刹捎脤Ｓ玫碾娮游臋n管理軟件自動方便管理電子文檔的版本。 d) 對于十分重要的電子文檔應(yīng)使用專用的電子文檔管理軟件進(jìn)行 安全管理，以確保電子文檔的版本和遷入遷出的變更都被自動的記錄在案。并在電子文檔更改后自動通知該電子文檔的管理員和該電子文檔的所有者。 14 數(shù)據(jù)和電子文檔安全管理規(guī)范 電子文檔的歸檔管理 a) 電子文檔歸檔時應(yīng)進(jìn)行全面、認(rèn)真的檢查。 b) 電子文檔原來的所有者應(yīng)保證內(nèi)容的完整、真實可靠。 c) 必須保證讀取電子文檔的軟件也進(jìn)行了歸檔。 d) 必須記錄電子文檔的元數(shù)據(jù)，即電子文檔的說明、結(jié)構(gòu)和上下文關(guān)系等。 e) 應(yīng)記錄電子文檔的業(yè)務(wù)和行政方面的背景數(shù)據(jù)。 f) 電子文檔的負(fù)責(zé)人必須指定電子文檔的保存期限，并且該保存期限不與相關(guān)的合同、法規(guī)以及中國石油的特殊規(guī)定相違背。 g) 歸檔 的負(fù)責(zé)人也應(yīng)檢查電子文檔的內(nèi)容、確定其是否是最終版本。 h) 電子文檔如有相應(yīng)的紙質(zhì)電子文檔或其他載體的電子文檔，必須保證內(nèi)容一致。 i) 檢查電子文檔載體的物理狀態(tài)、通過防病毒程序檢查是否存在病毒。 j) 對于特殊的電子文檔，宜將其打印成紙質(zhì)電子文檔或制成縮微品進(jìn)行歸檔。 電子文檔的保管管理 a) 必須使用可靠的存儲媒體保管電子文檔。 b) 所有歸檔的電子文檔應(yīng)進(jìn)行寫保護(hù)處理，使之處于只讀狀態(tài)。 c) 因軟硬件平臺發(fā)生改變而對電子文檔進(jìn)行格式轉(zhuǎn)換時，應(yīng)防止轉(zhuǎn)換過程中的信息變化。 d) 對保存的電子文檔應(yīng)根據(jù)其重要程度定期 （每 3 個月） 進(jìn)行安全性、 有效性檢查，發(fā)現(xiàn)載體和信息有損傷時，應(yīng)及時采取措施，進(jìn)行修復(fù)。 數(shù)據(jù)和電子文檔安全 管理規(guī)范 15 e) 保證電子文檔保存地點的物理安全，盡量將重要的電子文檔保存在物理條件較好的區(qū)域如機(jī)房或?qū)Ｓ玫馁Y料存儲室等。具體內(nèi)容參見《機(jī)房安全管理規(guī)范》、《區(qū)域安全管理規(guī)范》。 電子文檔的使用管理 a) 電子文檔入庫的載體不得外借，只能以拷貝的形式提供。 b) 重要電子文檔的借閱必須經(jīng)過批準(zhǔn)，電子文檔的借閱者和負(fù)責(zé)人應(yīng)對電子文檔的借閱進(jìn)行確認(rèn)。 c) 對于保密級別高的電子文檔，只得在指定的地方閱讀或者進(jìn)行其它處理，不得提供相應(yīng)的拷貝。 d) 電子文檔的使用者在使用過程中應(yīng)對電子文檔 的安全負(fù)責(zé)，防止泄密和數(shù)據(jù)損失。 e) 對于重要的以及非常敏感的電子文檔，應(yīng)提供防止再拷貝的技術(shù)措施。 f) 除公開發(fā)行的電子出版物外、對其它借出的電子文檔拷貝必須按時回收。電子文檔的借閱者和負(fù)責(zé)人應(yīng)對電子文檔的回收進(jìn)行確認(rèn)。 g) 應(yīng)記錄所有電子文檔的使用情況，包括載體的類型、數(shù)量、使用時間、使用人員、最后回收期限及雙方責(zé)任人員。 h) 采用網(wǎng)絡(luò)傳輸?shù)确绞綍r，必須對重要的電子文檔進(jìn)行加密。 i) 對于回收的電子拷貝應(yīng)進(jìn)行內(nèi)容消除處理。 電子文檔的備份管理 參見本規(guī)范第四章“數(shù)據(jù)備份管理規(guī)范”。 16 數(shù)據(jù)和電子文檔安全管理規(guī)范 電子文檔的定期檢查 a) 應(yīng)每年一次，采用 等距抽樣或者隨機(jī)抽樣的方式進(jìn)行定期檢查，樣品數(shù)量不應(yīng)少于 10% b) 應(yīng)進(jìn)行外觀檢查，例如確認(rèn)載體表面是否有物理損壞或變形，外表涂層是否清潔及有無霉斑。 c) 應(yīng)進(jìn)行邏輯檢測，采用相關(guān)軟件對載體上的信息進(jìn)行讀寫校驗。發(fā)現(xiàn)有出錯的載體，必須進(jìn)行有效的修正或更新。 d) 應(yīng)建立相應(yīng)的維護(hù)管理電子文檔，對電子文檔的檢測、維護(hù)、拷貝等操作過程進(jìn)行記錄，避免發(fā)生人為的誤操作或不必要的重復(fù)勞動。 e) 應(yīng)為每一份重要的電子文檔建立必要的記錄，記載電子文檔的建立、修改、使用情況。 f) 應(yīng)通過記錄檢查電子文檔的修改歷史， 確定電子文檔各次修改的責(zé)任人 。 g) 應(yīng)通過檢查記錄，保證電子文檔的真實性。 電子文檔技術(shù)保護(hù)手段 加固計算機(jī)系統(tǒng)和網(wǎng)絡(luò) a) 應(yīng)防止由于系統(tǒng)和網(wǎng)絡(luò)的漏洞導(dǎo)致的電子文檔安全問題，具體規(guī)范參見《操作系統(tǒng)安全管理規(guī)范》、《網(wǎng)絡(luò)安全管理規(guī)范》。 b) 為防止由存儲設(shè)備的物理損壞導(dǎo)致的危害，應(yīng)對重要的電子文檔采用磁盤陣列容錯和冗余等措施。 數(shù)據(jù)和電子文檔安全管理規(guī)范 17 加強(qiáng)對于電子文檔的認(rèn)證管理 操作系統(tǒng)必須設(shè)置相應(yīng)的認(rèn)證手段 進(jìn)入操作系統(tǒng)的認(rèn)證，是保護(hù)電子文檔安全的第一道屏障。無論是單用戶的操作系統(tǒng)還是多用戶的操作系統(tǒng)，必須能夠提供操作系統(tǒng)的進(jìn)入認(rèn)證控制。這種控制往往是通過用戶口令 的方式來進(jìn)行的。對于移動設(shè)備，往往還提供了額外的認(rèn)證手段。 a) 單用戶操作系統(tǒng)必須設(shè)置 CMOS 口令； b) 多用戶操作系統(tǒng)的每個用戶必須設(shè)置各自的口令；且口令必須嚴(yán)格遵守相關(guān)的口令管理規(guī)范，詳見《口令管理標(biāo)準(zhǔn)》。 c) 在不使用系統(tǒng)的時候，必須鎖定計算機(jī)或者退出系統(tǒng)。 d) 對于操作系統(tǒng)的管理詳見《操作系統(tǒng)安全管理規(guī)范》，確保操作系統(tǒng)的安全，從而間接地保護(hù)了基于操作系統(tǒng)的相關(guān)電子文檔。 電子文檔本身設(shè)置相應(yīng)的認(rèn)證手段 對于重要的電子文檔應(yīng)對其本身設(shè)置相應(yīng)的認(rèn)證機(jī)制，常見的方法是對于電子文檔進(jìn)行加密以保證電子文檔不會被未經(jīng)授權(quán)的 用戶打開。如果采用口令的方式進(jìn)行加密，應(yīng)保證口令的設(shè)置符合《口令管理標(biāo)準(zhǔn)》中相應(yīng)的規(guī)范。 加強(qiáng)對于電子文檔的授權(quán)管理 文件系統(tǒng)的訪問權(quán)限 a) 對于多用戶的系統(tǒng)，宜對于特定的目錄和文件，設(shè)置特定的訪問權(quán)限。 許可的設(shè)置包括兩方面的內(nèi)容： ? 允許哪些組或用戶對文件夾、文件和共享資源進(jìn)行訪問； ? 獲得訪問許可的組或用戶可進(jìn)行什么級別的訪問。 18 數(shù)據(jù)和電子文檔安全管理規(guī)范 b) 訪問許可權(quán)限的設(shè)置不但適用于本地計算機(jī)的用戶 ,同樣也適用于通過網(wǎng)絡(luò)共享文件夾對文件進(jìn)行訪問的操作。 網(wǎng)絡(luò)共享文件夾的認(rèn)證和授權(quán) a) 除非特別必要，否則禁止在個人的計算機(jī)上設(shè)置網(wǎng)絡(luò)文件夾 共享。 b) 對于網(wǎng)絡(luò)共享文件夾，必須嚴(yán)格限制用戶對文件夾的訪問權(quán)限，只對必須進(jìn)行訪問的用戶開放訪問權(quán)限。 c) 網(wǎng)絡(luò)共享文件夾必須設(shè)置口令。 d) 對于其中重要的電子文檔，必須進(jìn)行加密。 訪問權(quán)限的一般原則 權(quán)限建立 a) 功能分離原則：系統(tǒng)必須將系統(tǒng)管理員和普通用戶的功能清晰地區(qū)分。系統(tǒng)管理員可分配訪問權(quán)限、監(jiān)督用戶的訪問操作，并在必要的情況下取消用戶的相應(yīng)權(quán)限。 b) 授權(quán)控制：初始的權(quán)限由用戶的身份及所屬的組織來定義。對于用戶基本權(quán)限的修改必須經(jīng)過該用戶的上級領(lǐng)導(dǎo)的同意。系統(tǒng)管理員負(fù)責(zé)控制授權(quán)的過程。 c) 最小權(quán)限原則：一方 面給予主體 必不可少 的權(quán)限，這就保證了所有的主體都能在所賦予的權(quán)限之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體 必不可少 的權(quán)限，這就限制了每個主體所能進(jìn)行的操作。 d) 缺省目錄和電子文檔訪問權(quán)限：定義相應(yīng)的配置文件，用戶自己的文件缺省應(yīng)不能被其他人讀、修改和刪除。每個用戶必須仔細(xì)考慮自己的文件可被哪些人訪問，并且允許他們執(zhí)行的操作。 數(shù)據(jù)和電子文檔安全管理規(guī)范 19 e) 用戶組訪問：在必要的情況下，可通過定義組來進(jìn)行數(shù)據(jù)訪問。這些用戶組應(yīng)通過業(yè)務(wù)單元、地理位置、項目、職責(zé)或者功能來定義。電子文檔的所有者確定相關(guān)的組的訪問權(quán)限。 f) 缺 省拒絕訪問：如果一個計算機(jī)或者網(wǎng)絡(luò)的訪問控制系統(tǒng)工作不正常，那么應(yīng)最小化其上所有用戶的訪問權(quán)限。 權(quán)限管理 a) 訪問授權(quán)管理：對于任何重要電子文檔的訪問，必須預(yù)先得到該電子文檔所有者的授權(quán)，并且授予的權(quán)限僅能使他們“知道電子文檔內(nèi)容或者做相應(yīng)的操作”（最小權(quán)限原則）。相關(guān)的訪問記錄必須根據(jù)中國石油的要求，保存相應(yīng)的時間，并且符合相應(yīng)的法規(guī)。 b) 用戶權(quán)限的定期檢查：電子文檔的管理者或所有者必須定期對其他用戶對該電子文檔的權(quán)限進(jìn)行檢查，保證用戶權(quán)限是合理的。檢查的時間間隔不能超過 6 個月 。 c) 當(dāng)用戶的職位發(fā)生變更， 或者工作需要改變以后，系統(tǒng)管理員應(yīng)檢查用戶的訪問權(quán)限，并作合適的變動。 d) 所有電子文檔訪問的可追究性：通過使用完整的日志和唯一的用戶 ID，所有的電子文檔操作必須可追溯到特定的用戶。 e) 權(quán)限的刪除：一旦員工離開中國石油，必須立即刪除他們的訪問權(quán)限。對于其他的用戶，如果不再需要進(jìn)行相關(guān)的訪問，應(yīng)將其權(quán)限收回。 權(quán)限限制 a) 對實際系統(tǒng)的訪問：通常情況下不得授權(quán)應(yīng)用和系統(tǒng)開發(fā)人員訪問實際運作的系統(tǒng)；除非確實需要，并經(jīng)過上級批準(zhǔn)，才能授予其相關(guān)權(quán)限。 b) 管理員級別的帳戶：必須嚴(yán)格控制管理員和 root 級別的系統(tǒng)帳戶。 系統(tǒng)管理員權(quán)限的授予必須經(jīng)過嚴(yán)格的授權(quán)流程及相應(yīng)的授權(quán)人員的批準(zhǔn)，并且應(yīng)嚴(yán)20 數(shù)據(jù)和電子文檔安全管理規(guī)范 格限制在極少數(shù)的人員之間。系統(tǒng)管理員必須在切換到管理員帳戶前首先使用個人的普通帳戶登陸。 c) 獨立的子網(wǎng)和防火墻之間的訪問必須嚴(yán)格限制。 d) 跨公司的訪問控制：當(dāng)需要在總公司和地區(qū)公司之間，或者在地區(qū)公司之間的網(wǎng)絡(luò)進(jìn)行敏感信息的訪問和傳輸時，這種訪問必須采取以下限制：訪問控制機(jī)制必須識別相應(yīng)的公司的身份，以及