【導(dǎo)讀】中國石油需要建立統(tǒng)一的信息安全管理政策和標(biāo)準(zhǔn)，并在集團內(nèi)統(tǒng)一推廣、實施。油自身的應(yīng)用特點，制定的適合于中國石油信息安全的標(biāo)準(zhǔn)與規(guī)范。冊的部分，共有13本《規(guī)范》和1本《通用標(biāo)準(zhǔn)》。7個《標(biāo)準(zhǔn)》的組合也依據(jù)了信息安全生命周期的理論模型。每個《標(biāo)準(zhǔn)》都會對所有的《規(guī)。目前計算機犯罪的手法和方式多種多樣，但為人們廣為認識的主要是計算機惡意。范和計算機犯罪防范兩個部分進行描述。本規(guī)范由中國石油天然氣股份有限公司發(fā)布。公司和集團公司下屬單位，但提及“存續(xù)部分”時指集團公司下屬的單位。部，不是利用專線，這樣的單位和所使用的遠程信道不屬于中國石油專用網(wǎng)主干網(wǎng)組成部分。局域網(wǎng)和園區(qū)網(wǎng)與廣域網(wǎng)不同，廣域網(wǎng)不僅覆蓋范圍廣，所利用的設(shè)備、二級單位網(wǎng)絡(luò)指地區(qū)公司下屬單位的網(wǎng)絡(luò)的總和，可能是局域網(wǎng)，也可能是園區(qū)網(wǎng)。專線與撥號線路從連通性劃分的兩大類網(wǎng)絡(luò)遠程信道。專線，指數(shù)字電路、幀中繼、DDN和A

　　

【正文】 成了以下的類別。 ? 入侵、竊取或破壞系統(tǒng)和數(shù)據(jù)的行為：網(wǎng)絡(luò)入侵、拒絕服務(wù)攻擊、電子欺騙、網(wǎng)絡(luò)間諜行為、密碼嗅探、郵件炸彈、惡意代碼、以及通過網(wǎng)絡(luò)或者物理現(xiàn)場的竊取和破壞行為。 ? 濫用計算機的行為：傳播違反國家法律、宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的信息的行為；信用卡欺詐行為等。 ? 其他計算機犯罪行為：如軟件侵權(quán)，包括中國石油自有版權(quán)的軟件被盜用以及中國石油內(nèi)部員工使用盜版軟件；重要的數(shù)據(jù)和文 件泄漏等。 從中可以看出，入侵、竊取和破壞數(shù)據(jù)和系統(tǒng)的行為仍然是中國石油面臨的最廣泛和危害最大的計算機犯罪問題，因此本規(guī)范中著重講述該方面的防御措施，并同時從管理和技術(shù)方面進行規(guī)范的制定。濫用計算機的行為、軟件侵權(quán)以及其他的計算機犯罪行為，主要需要從用戶管理和培訓(xùn)角度以及相應(yīng)的檢查手段入手，來規(guī)范中國石油的用戶行為。 34 防御惡意代碼和計算機犯罪管理規(guī)范 防御入侵、竊取和破壞系統(tǒng)和數(shù)據(jù)的行為 防御入侵、竊取和破壞系統(tǒng)和數(shù)據(jù)的技術(shù)規(guī)范 本節(jié)內(nèi)容主要對上文中介紹的各種類型的計算機犯罪的方法和形式，闡述了如何從技術(shù)上防止犯罪的發(fā)生。 a) 網(wǎng)絡(luò)安全相 關(guān)規(guī)范（具體內(nèi)容參見《網(wǎng)絡(luò)安全管理規(guī)范》） ? 運行網(wǎng)絡(luò)入侵檢測系統(tǒng) ? 進行網(wǎng)絡(luò) 滲透性測試 ? 這些測試必須由經(jīng)過訓(xùn)練的有經(jīng)驗的安全技術(shù)人員來進行 ? 根據(jù)網(wǎng)絡(luò) 滲透性測試 的結(jié)果，改進網(wǎng)絡(luò)的安全性 ? 應(yīng)對拒絕服務(wù)攻擊的措施 b) 系統(tǒng)安全相關(guān)技術(shù)規(guī)范（具體內(nèi)容參見《操作系統(tǒng)安全管理規(guī)范》） ? 進行系統(tǒng)脆弱性檢查 ? 監(jiān)控所有的系統(tǒng) ? 根據(jù)系統(tǒng)脆弱性檢查的結(jié)果，改進系統(tǒng)的安全性 ? 這些測試必須由經(jīng)過訓(xùn)練的有經(jīng)驗的安全技術(shù)人員來進行 c) 應(yīng)對電子郵件系統(tǒng)的的威脅《參見電子郵件安全管理規(guī)范》 d) 應(yīng)對 Web 系統(tǒng)的安全威脅《參見 Web 系統(tǒng)安全管理規(guī)范》 e) 檢 查所有系統(tǒng)帳戶，禁用或刪除不使用的帳戶，包括不必要的默認帳戶。執(zhí)行嚴(yán)格的口令管理政策。具體內(nèi)容參見《認證管理通用標(biāo)準(zhǔn)》 防御惡意代碼和計算機犯罪管理規(guī) 范 35 f) 檢查和評估所有遠程登陸的安全行為，包括撥號網(wǎng)絡(luò)，外部網(wǎng)和 VPN，并制定和執(zhí)行相應(yīng)的改進措施 g) 每周查看安全信息發(fā)布網(wǎng)站，檢查最新出現(xiàn)的安全問題并進行相應(yīng)的應(yīng)用軟件和病毒代碼的更新。使用最新的病毒定義庫，對于所有的系統(tǒng)（包括防火墻和服務(wù)器）進行完全掃描。不得中止進行中的掃描過程。（具體內(nèi)容參見本規(guī)范第 1 和第 2 章） h) 對所有的系統(tǒng)安裝最新的安全補丁。必須對移動的筆記本電腦和通過 VPN 訪問企業(yè)網(wǎng)絡(luò)的 家庭電腦也進行這些安全升級。遠程用戶必須遵循同樣的流程來更新系統(tǒng)。 防御入侵、竊取和破壞行為的組織和管理規(guī)范 a) 應(yīng)教育用戶認識到不斷增長的計算機犯罪行為及危害，建立用戶的防范意識。 b) 應(yīng)安排具有專門的人員負責(zé)計算機犯罪的緊急應(yīng)對處理 c) 負責(zé)計算機犯罪緊急應(yīng)對處理的人員必須能支持 24*7 全天候的響應(yīng)服務(wù) d) 應(yīng)根據(jù)近期發(fā)生的安全事件，評估企業(yè)現(xiàn)有的安全措施，并進行改進 e) 應(yīng)評估能夠直接接觸物理設(shè)備和信息系統(tǒng)的人員及其行為是否安全 f) 在內(nèi)部安全管理不能解決某些安全問題，或者不具備必須的資源的情況下，應(yīng)直接聯(lián)絡(luò)提供安全服務(wù)的 供應(yīng)商或者咨詢公司，來解決臨時的安全問題 g) 宜與提供安全服務(wù)的供應(yīng)商或者咨詢公司簽署長期的安全服務(wù)協(xié)議 h) 應(yīng)為用戶提供負責(zé)計算機犯罪緊急處理的人員的聯(lián)絡(luò)方式，提供計算機犯罪行為的上報途徑 i) 應(yīng)確保用戶持有防御計算機犯罪的決策者或者緊急應(yīng)對人員的多種聯(lián)絡(luò)方式。確保所有用戶收到了這些聯(lián)絡(luò)方式的最新更新，同時持有這些聯(lián)絡(luò)方式的書面版本 36 防御惡意代碼和計算機犯罪管理規(guī)范 j) 應(yīng)對于信息安全相關(guān)的重要人員進行背景檢查，至少應(yīng)該對有權(quán)訪問關(guān)鍵信息和資源的人員的背景進行檢查。同時對于那些可以接觸信息系統(tǒng)的物理環(huán)境的基層的或者臨時的人員（例如清潔工）也宜進行相應(yīng)的背 景檢查 k) 應(yīng)檢查并確認外包托管服務(wù)商的安全政策同公司的安全政策的一致性。 l) 在發(fā)現(xiàn)了計算機犯罪行為后，應(yīng)與公安機關(guān)或者其他的政府部門協(xié)作進行進一步處理 防范濫用計算機 a) 教育用戶濫用計算機進行違法行為所帶來的危害性； b) 在員工簽訂的協(xié)議中，應(yīng)禁止員工利用中國石油的計算機進行非法行為，這些行為包括但不僅限于信用卡欺詐，傳播違反國家法律、宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的信息的行為； c) 在與員工的協(xié)議中，應(yīng)注明中國石油不承擔(dān)任何由于員工使用中國石油的計算機進行計算機犯罪而導(dǎo)致的任何責(zé)任； d) 應(yīng)設(shè) 置網(wǎng)關(guān)服務(wù)器，屏蔽違反國家法律、宣揚封建迷信、淫穢、色情、賭博、暴力、兇殺、恐怖，教唆犯罪的信息的網(wǎng)站； e) 應(yīng)記錄并保存員工的網(wǎng)絡(luò)訪問、系統(tǒng)使用等相關(guān)日志，并通過分析日志來發(fā)現(xiàn)潛在的違法行為 f) 一旦出現(xiàn)違反這些行為的情況，應(yīng)對相應(yīng)責(zé)任人員進行處罰，造成重大危害的，應(yīng)配合公安機關(guān)或其他政府部門進行調(diào)查； 防御惡意代碼和計算機犯罪管理規(guī)范 37 其他類型計算機犯罪的防范 其他類型的計算機犯罪中，軟件侵權(quán)是非常重要的一種，主要包括：中國石油自有版權(quán)的軟件被他人或者其他企業(yè)盜用；中國石油的員工使用盜版軟件。中國石油自有版權(quán)的軟件被他人盜用，會對中國石油的知 識資產(chǎn)造成重大損失。而如果被外界發(fā)現(xiàn)或者被媒體公布中國石油內(nèi)部使用盜版軟件，對中國石油的聲譽也會產(chǎn)生重大影響。另外，中國石油的的重要數(shù)據(jù)和文件，如果被竊取的話，也對公司的業(yè)務(wù)和形象也有重大損害。所以下面分別從 3 個方面制定相應(yīng)的防范規(guī)范： 防止中國石油自有版權(quán)的軟件被盜用： a) 對自有版權(quán)軟件開發(fā)過程中的規(guī)范： ? 必須與參與軟件的開發(fā)商簽訂保密協(xié)議，注明不得泄漏中國石油自有版權(quán)軟件，及相應(yīng)的懲罰措施； ? 必須與相應(yīng)軟件的開發(fā)人員簽訂保密協(xié)議，注明不得泄漏中國石油的自有版權(quán)的軟件，及相應(yīng)的懲罰措施； ? 軟件開發(fā)完成后，所 有的程序代碼和文檔必須保密，并統(tǒng)一保管； ? 軟件開發(fā)完成后，開發(fā)過程中的其他代碼和文檔應(yīng)該銷毀； ? 應(yīng)采取軟件注冊等機制，防止軟件被盜用； ? 應(yīng)在軟件中聲明中國石油的版權(quán)，并注明未經(jīng)授權(quán)不得使用； b) 對自有版權(quán)軟件的保管、安裝和使用的規(guī)范： ? 軟件的源代碼必須保密，并統(tǒng)一保管； ? 所有員工必須簽訂保密協(xié)議，不得外傳中國石油自有版權(quán)的軟件，應(yīng)制定相應(yīng)的處罰措施； ? 軟件的安裝程序不得包含軟件的源代碼； ? 軟件的安裝程序應(yīng)僅由系統(tǒng)管理員保存； 38 防御惡意代碼和計算機犯罪管理規(guī)范 ? 軟件安裝必須由系統(tǒng)管理員來進行； ? 在用戶端安裝完軟件后，不得在用戶端保留安裝程序的 備份； ? 不得在共享的目錄或文件服務(wù)器上保存軟件的安裝程序； c) 發(fā)現(xiàn)軟件被盜用的處理規(guī)范 ? 如發(fā)現(xiàn)有企業(yè)或者個人未經(jīng)授權(quán)使用中國石油自有版權(quán)的軟件，必須要求其停止侵權(quán)，并追究進一步責(zé)任；如果造成重大危害或者影響，應(yīng)配合公安機關(guān)或其他政府部門追究其法律責(zé)任； ? 應(yīng)檢查軟件被盜用的原因，防止類似情況再次發(fā)生； ? 若是由于中國石油內(nèi)部人員的人為因素而導(dǎo)致軟件被盜用，則應(yīng)對相關(guān)責(zé)任人員進行處罰； ? 若是由于中國石油以外的第三方的原因而導(dǎo)致軟件被盜用，應(yīng)追究相關(guān)方的法律責(zé)任； 防止中國石油員工使用盜版軟件 a) 應(yīng)嚴(yán)格規(guī)定中國石油 內(nèi)部不得使用盜版軟件； b) 應(yīng)教育員工在中國石油內(nèi)部使用盜版軟件的危害性； c) 在與員工簽訂的相關(guān)協(xié)議中，應(yīng)規(guī)定不準(zhǔn)在中國石油內(nèi)部使用盜版軟件，及相應(yīng)的處罰措施； d) 在與員工的協(xié)議中規(guī)定中國石油不承擔(dān)任何由于員工擅自在中國石油內(nèi)部使用盜版軟件導(dǎo)致的責(zé)任； e) 應(yīng)每 2 個月定期抽查公司中員工的計算機，檢測是否存在盜版軟件； f) 若在公司中員工的計算機上發(fā)現(xiàn)盜版軟件，應(yīng)要求其刪除相應(yīng)軟件，并進行處罰； 防御惡意代碼和計算機犯罪管理規(guī)范 39 g) 對于在中國石油內(nèi)部傳播盜版軟件行為，應(yīng)進行嚴(yán)厲懲處； 防止重要數(shù)據(jù)和文件泄漏 a) 應(yīng)教育員工保護重要數(shù)據(jù)和文件的重要性 b) 在與員工簽訂 的保密協(xié)議中，應(yīng)規(guī)定不得泄漏和傳播其能接觸到的重要數(shù)據(jù)和文件，并訂立相應(yīng)的處罰措施 c) 重要數(shù)據(jù)和文件必須有專門的管理員進行管理，并存儲在一般人員無法使用和訪問的設(shè)備上。 d) 員工使用重要的數(shù)據(jù)和文件應(yīng)預(yù)先向相關(guān)領(lǐng)導(dǎo)進行申請 e) 員工獲得批準(zhǔn)后應(yīng)由管理員為這些人員提供工作范圍內(nèi)的重要的數(shù)據(jù)和文件 f) 使用重要數(shù)據(jù)和文件的員工必須為自己的計算機設(shè)置密碼和口令以防被別人使用，同時也要防止來自網(wǎng)絡(luò)的非法訪問 g) 使用重要數(shù)據(jù)和文件的員工在使用完這些數(shù)據(jù)和文件后，必須將相關(guān)內(nèi)容從自己的計算機上刪除 h) 發(fā)現(xiàn)重要數(shù)據(jù)和文件被泄漏后，應(yīng)要求未 經(jīng)授權(quán)的人員刪除相關(guān)內(nèi)容，防止這些內(nèi)容被進一步傳播 i) 若是由于中國石油內(nèi)部人員的人為因素而導(dǎo)致軟件被盜用，則應(yīng)對相關(guān)責(zé)任人員進行處罰；如果造成重大危害或者影響，應(yīng)配合公安機關(guān)或其他政府部門追究法律責(zé)任； j) 若是由于外部人員竊取行為導(dǎo)致的重要數(shù)據(jù)和文件的泄漏，則應(yīng)配合公安機關(guān)或其他政府部門追究相關(guān)方的法律責(zé)任； 附附 錄錄 1 參參 考考 文文 獻獻 【國家法律】 《中華人民共和國國家安全法》 《中華人民共和國計算機信息系統(tǒng)安全保護條例》 《中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》 《 中華人民共和國保守國家秘密法 》 《 中華人民共和國 國家安全法 》 【國家規(guī)定】 《維護互聯(lián)網(wǎng)安全的決定》 中華人民共和國計算機信息系統(tǒng)安全保護條例 中國信息安全產(chǎn)品測評認證用標(biāo)準(zhǔn)目錄（一） 軍用計算機安全評估準(zhǔn)則 GJB225595 國土資源部信息網(wǎng)絡(luò)安全管理規(guī)定 安全策略分析報告 _樣例 淺談金融計算機信息系統(tǒng)安全管理 電子計算機機房施工及驗收規(guī)范 sj 電子計算機機房設(shè)計規(guī)范 GB501741993 網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定 計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定 計算機信息系統(tǒng)安全專用產(chǎn)品分類原則 (GA1631997) 計算機信息系統(tǒng)安全產(chǎn)品部件 (安全功能 檢測 GA21611999) 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則 GB 178591999 計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求 (GAT3882020) 計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 (GAT3892020) 計算機信息系統(tǒng)安全等級保護管理要求 (GAT3912020) 計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求 (GAT3872020) 計算機信息系統(tǒng)安全等級保護通用技術(shù)要求 (GAT3902020) 計算機軟件保護條例 計算站場地安全要 GB9361_1988 防御惡意代碼和計算機犯罪管理規(guī)范 41 計算站場地技術(shù)條件 gb28871989 field 銀行卡聯(lián)網(wǎng)聯(lián)合安全規(guī)范 【國家防火規(guī)范標(biāo)準(zhǔn)】 建筑內(nèi)部裝修設(shè)計防火規(guī)范 建筑物防雷設(shè)計規(guī)范 建筑設(shè)計防火規(guī)范 .doc 火災(zāi)自動報警系統(tǒng)設(shè)計規(guī)范 高層民用建筑設(shè)計防火規(guī)范 【國 外相關(guān) 標(biāo)準(zhǔn)】 RFC 2196 BS 7799 (UK) IT Baseline Protection Manual (Germany) OECD Guidelines ISO 15408 (Common Criteria) Rainbow Series (Orange Book) (US) Information Technology Security Evaluation Criteria (ITSEC) (UK) System Security Engineering Capability Maturity Model (SSECMM) Development ISO 11131 (Banking and Related Financial Services。 Signon Authentication) ISO 13569 (Banking and Related Financial Services Information Security Guidelines) 42 防御惡意代碼和計算機犯罪管理規(guī)范 附附 錄錄 2 本本 規(guī)規(guī) 范范 用用 詞詞 說說 明明 一、 為便于在執(zhí)行本規(guī)范條文時區(qū)別對待，對要求嚴(yán)格程度不同的用詞說明如下： 1. 表示很嚴(yán)格，非這樣做不可的： 正面詞采用 “ 必須 ” ； 反面詞采用 “ 嚴(yán)禁 ” ； 2. 表示嚴(yán)格，在正常情況下均應(yīng)這樣做的： 正面詞采用 “ 應(yīng) ” ； 反 面詞采用 “ 不應(yīng) ” 或 “ 不得 ” 。 3. 表示允許稍有選擇，在條件許可時首先應(yīng)這樣 做的： 正面詞采用 “ 宜 ” 或 “ 可 ” ；反面詞采用 “ 不宜 ” 。 二、 條文中指定應(yīng)按其它有關(guān)標(biāo)準(zhǔn)、規(guī)范執(zhí)行時，寫法為 “ 應(yīng)符合 ?? 的規(guī)定 ” 或 “ 應(yīng)按 ?? 要求（或規(guī)定）執(zhí)行 ” 。 蒈蒄蟻肆芀莀蝕腿肅