【導(dǎo)讀】大客戶合同大客戶服務(wù)中心行為規(guī)范考核表行為規(guī)范表格績效監(jiān)控分析報(bào)告工作分析要求人力資源部薪酬管理內(nèi)審高層訪談。中國石油需要建立統(tǒng)一的信息安全管理政策和標(biāo)準(zhǔn)，并在集團(tuán)內(nèi)統(tǒng)一推廣、實(shí)施。系統(tǒng)、數(shù)據(jù)和文檔、應(yīng)用系統(tǒng)和通用安全管理標(biāo)準(zhǔn)。冊的部分，共有13本《規(guī)范》和1本《通用標(biāo)準(zhǔn)》。7個(gè)《標(biāo)準(zhǔn)》的組合也依據(jù)了信息安全生命周期的理論模型。每個(gè)《標(biāo)準(zhǔn)》都會對所有的《規(guī)。我們在行文上將這7個(gè)標(biāo)準(zhǔn)組合成一本《通用安全管理標(biāo)準(zhǔn)》單獨(dú)成冊。因此合資公司是電子商務(wù)交易的組織者和潛在的電子市場的秩序維護(hù)者，而能。理部門并設(shè)立技術(shù)崗位，在需要的業(yè)務(wù)崗位上配備電子商務(wù)應(yīng)用系統(tǒng)終端進(jìn)而實(shí)施電子商務(wù)行為?？梢娭袊图捌涞貐^(qū)公司等是中國石油電子商務(wù)的參與者。慮安全防范問題。本規(guī)范由中國石油天然氣股份有限公司發(fā)布。公司和集團(tuán)公司下屬單位，擔(dān)提及“存續(xù)部分”時(shí)指集團(tuán)公司下屬的單位。分指集團(tuán)公司下屬的遼河石油管理局。

　　

【正文】 日志X . 5 0 9證書X . 5 0 9證書W e b S e r v e rA p p S e r v e rP o r t a l S e r v e r訪問管理系統(tǒng)電子商務(wù)中油財(cái)務(wù)E R P電子郵件EIP ...DB 電子商務(wù)安全管理規(guī)范 33 采用該方式的理由在于，如前表所列， PKI 方式綜合運(yùn)用了數(shù)字簽名、公鑰加密、對稱加密、數(shù)字證書等多種安全機(jī)制，完整地實(shí)現(xiàn)了電子商務(wù)交易安全的總體目標(biāo)，并且也為中國石油所有系統(tǒng)的單一的認(rèn)證與授權(quán)打下了堅(jiān)實(shí)的基礎(chǔ)。但是需要指出的是， PKI 方式的作用并非僅僅是身份認(rèn)證和授權(quán)，而更多的在于發(fā)揮第三方公證 的角色，使所有能源一號系統(tǒng)上的交易者均可在可信賴的平臺上進(jìn)行安全的電子商務(wù)。 同時(shí)在身份認(rèn)證方面，還應(yīng)使用其它的身份認(rèn)證方式的補(bǔ)充，這主要是因?yàn)椋? ? 統(tǒng)一的認(rèn)證和授權(quán)體系不能在一朝一夕建成，在這之前還需要傳統(tǒng)的認(rèn)證方式進(jìn)行認(rèn)證。 ? 在 PKI 體系建立以后，對于數(shù)字證書的使用還需通過傳統(tǒng)的身份認(rèn)證方式進(jìn)行驗(yàn)證，因?yàn)橐话闱闆r下數(shù)字證書是存儲在電腦中的文件，對數(shù)字證書的保護(hù)是一個(gè)很棘手的問題，通過口令等方式的身份認(rèn)證可提供電子商務(wù)身份認(rèn)證的雙重防護(hù)，增強(qiáng)其安全性。 c) 中國石油宜采用生物識別、智能卡等強(qiáng)認(rèn)證方式，或者采用口 令認(rèn)證方式并對用戶密碼的管理建立切實(shí)可行的安全措施（詳見本文 節(jié)），同時(shí)建立安全的傳輸渠道（詳見本規(guī)范 相關(guān)部分）。 d) 在沒有使用安全的協(xié)議之前，禁止進(jìn)行網(wǎng)上支付。 電子商務(wù)交易安全協(xié)議 目前 國際上流行的電子商務(wù)所采用的協(xié)議主要包括：基于信用卡交易的安全電子交易協(xié)議（ Secure Electronic Transaction，即 SET 協(xié)議）、用于接入控制的 SSL 協(xié)議 (Secure Socket Layer 安全套接字層 )、安全 HTTP（ SHTTP）協(xié)議、安全電子郵件協(xié)議（ S/MIME） 。 這些 協(xié)議從原理上講都是電子商務(wù)安全機(jī)制的具體應(yīng)用。 34 電子商務(wù)安全管理規(guī)范 成熟安全交易協(xié)議列舉 SET SET 是由 Visa 和 MasterCard 兩大信用卡組織聯(lián)合開發(fā)的基于消息流電子 支付 系統(tǒng)規(guī)范。 SET 不只是一個(gè)技術(shù)方面的協(xié)議，它還說明了每一方所持有的數(shù)字證書的合法含義，希望得到數(shù)字證書以及響應(yīng)信息的各方應(yīng)有的動作，與一筆交易緊密相關(guān)的責(zé)任分擔(dān)。 SET 是一個(gè)基于可信的第三方認(rèn)證中心的方案，它要實(shí)現(xiàn)的主要目標(biāo) 包括 保障付款安全 、 確定應(yīng)用的互通性 和 達(dá)到全球市場的接受性 三個(gè)目標(biāo)。在國內(nèi)，中國人民銀行負(fù)責(zé) SET 體系的建立。 SET 支持 DES 和 3DES 的對稱算法和 RSA 的不對稱加密算法。 SSL SSL 由 Netscape 制訂，用于 提供兩臺機(jī)器間的安全連接。大部分 Web 瀏覽器和Web 服務(wù)器都內(nèi)置了 SSL 協(xié)議，比較容易應(yīng)用。 SSL 協(xié)議建立在可靠的傳輸層協(xié)議（如 TCP）之上 ，之上的 應(yīng)用層協(xié)議所傳送的數(shù)據(jù)都會被加密，從而保證通信的私密性。 SSL 可對通信的雙方進(jìn)行第三方的對等驗(yàn)證。 SSL 使用基于 MD5 信息摘要算法的 RSA 算法實(shí)現(xiàn)雙方的握手，使用 DES， 3DES， IDEA， RC2 和 RC4等方式實(shí)現(xiàn)后續(xù)的數(shù)據(jù)通信。 支付系統(tǒng)通過在 SSL 連接上傳輸信用卡卡號的方式來構(gòu)建，在線銀行和其他金融系統(tǒng)也常常構(gòu)建在 SSL 之上。 由于在電子商務(wù)過程中， SET 和 SSL 是應(yīng)用得最為廣泛的協(xié)議，因此有必要對上述兩個(gè)協(xié)議做出一些比較，如下表所示： SSL 協(xié)議 SET協(xié)議 工作層次 傳輸層與應(yīng)用層之間 應(yīng)用層 是否透明 透明 不透明 過程 簡單 復(fù)雜 效率 高 低 安全性 商家掌握消費(fèi)者個(gè)人信息 消費(fèi)者個(gè)人信息對商家保密 電子商務(wù)安全管理規(guī)范 35 認(rèn)證機(jī)制 雙方認(rèn)證 多方認(rèn)證 是否專為電子商務(wù)設(shè)計(jì) 否 是 SET 是一個(gè)多方的報(bào)文協(xié)議，它定義了銀行、商家、持卡人之間必需的報(bào)文規(guī)范，與此同時(shí) SSL 只是簡單地在兩方之間建立了安全連接 。因此一般可用 SSL傳輸雙方需要保密的信息甚至支付信息，但是如果涉及多方的金融支付則應(yīng)使用 SET 協(xié)議。 HTTPS SHTTP(安全的超文本傳輸協(xié)議 )是對 HTTP 擴(kuò)充 了 安全特性、增加了報(bào)文的安全性 ,它是基于 SSL 技術(shù)的。 該協(xié)議向 WWW 的應(yīng)用提供 安全性、 完整性、 身份驗(yàn)證和不可否認(rèn)性 等安全措施。 S/MIME S/MIME(安全的多功能 Inter 電子郵件擴(kuò)充 )是在 RFC1521 所描述的多功能Inter 電子郵件擴(kuò)充報(bào)文 (MIME)基礎(chǔ)上添加數(shù)字簽名和加密技術(shù)的一 種協(xié)議。MIME 是正式的 Inter 電子郵件擴(kuò)充標(biāo)準(zhǔn)格式 ,但它未提供任何的安全服務(wù)功能。 目前 S/MIME 已成為產(chǎn)界業(yè)廣泛認(rèn)可的協(xié)議 ,如微軟公司、 Netscape 公司、Novll 公司、 Lotus 公司等都支持該協(xié)議。 TLS 傳輸層安全（ TLS）協(xié)議基于 SSL 構(gòu)建，提供了兩個(gè)應(yīng)用之間通訊的安全性和數(shù)據(jù)完整性。但是比之 SSL 它提供了更大的靈活性。 TLS 提供了一個(gè)擴(kuò)擴(kuò)展的框架，可引入新的不對稱加密算法和對稱加密算法。 36 電子商務(wù)安全管理規(guī)范 SSH SSH 主要提供機(jī)密性和數(shù)據(jù)完整性服務(wù)，主要用于服務(wù)器端對客戶端的認(rèn)證。 一般可用于建 立 VPN 連接，或者替代目前的 Tel， rlogin 和 rsh 協(xié)議，從而可以非常安全的形式登錄到服務(wù)器。 IPSec IPSec 協(xié)議提供了 IP 數(shù)據(jù)包層次的數(shù)據(jù)完整性、安全性和認(rèn)證。 主要用于互聯(lián)網(wǎng)安全通信服務(wù)例如 VPN 等基礎(chǔ)。目前已經(jīng)得到了非常廣泛的應(yīng)用。 電子商務(wù)交易安全協(xié)議規(guī)范 a) 在電子商務(wù)交易系統(tǒng)中，必須建立基于 SET 的支付接口和金融系統(tǒng)的 SET 系統(tǒng)連接才能進(jìn)行金融支付，同時(shí)也可考慮 SSL 做為替代方案。 b) 電子商務(wù)交易過程中的密碼和身份信息必須采用 SSL 協(xié)議或其他安全保護(hù)等級能相當(dāng)?shù)膮f(xié)議進(jìn)行加密。 c) 電子 商務(wù)交易過程的信息應(yīng)使用 SSL 協(xié)議或其他安全保護(hù)等級相當(dāng)?shù)膮f(xié)議進(jìn)新傳輸。 d) 使用電子郵件時(shí)，一般要求使用 S/MIME 協(xié)議，對于和電子商務(wù)業(yè)務(wù)有關(guān)具有機(jī)密性的信息必須使用 S/MIME 協(xié)議。 e) 禁止使用 Tel 等不安全的方式進(jìn)行電子商務(wù)系統(tǒng)維護(hù)。 f) 管理員需要在公網(wǎng) (Inter)上登錄電子商務(wù)系統(tǒng)時(shí)應(yīng)使用 VPN 或者其它具有相當(dāng)安全防衛(wèi)措施的協(xié)議例如 SSL。 電子商務(wù)安全管理規(guī)范 37 電子商務(wù)交易安全 中國石油電子商務(wù)部門 安全 職責(zé) 中國石油電子商務(wù)部的安全職責(zé)包括： a) 制定中國石油電子商務(wù)安全技術(shù)發(fā)展規(guī)劃、確定安全技術(shù)關(guān)鍵、選擇安全 技術(shù)路線； b) 組織實(shí)施電子商務(wù)相關(guān)應(yīng)用系統(tǒng)的安全系統(tǒng)建設(shè)； c) 電子商務(wù)應(yīng)用系統(tǒng)用戶管理政策制訂及用戶管理； d) 負(fù)責(zé)與合資公司的協(xié)調(diào)，確保電子商務(wù)平臺的平穩(wěn)運(yùn)行； e) 負(fù)責(zé)股份公司電子商務(wù)應(yīng)用的技術(shù)指導(dǎo)，組織推廣培訓(xùn)工作。 地區(qū)公司電子商務(wù)管理部門在電子商務(wù)應(yīng)用系統(tǒng)中的管理職責(zé)包括： a) 負(fù)責(zé)本地區(qū)公司電子商務(wù)應(yīng)用的技術(shù)管理、指導(dǎo)、支持； b) 負(fù)責(zé)本地區(qū)公司電子商務(wù)應(yīng)用系統(tǒng)終端的管理與維護(hù)； c) 協(xié)調(diào)本地區(qū)公司電子商務(wù)應(yīng)用中技術(shù)與業(yè)務(wù)之間的關(guān)系； d) 負(fù)責(zé)本地區(qū)公司電子商務(wù)應(yīng)用的技術(shù)推廣與培訓(xùn)。 電子商務(wù)交易方身份和密碼管理 身份 管理 a) 電子商務(wù)系統(tǒng)的賬號應(yīng)受到嚴(yán)格的管理和控制。應(yīng)有嚴(yán)格的用戶申請流程。 b) 應(yīng)實(shí)行分級授權(quán)維護(hù)與管理，分別設(shè)立系統(tǒng)管理員崗位，并賦予相應(yīng)的管理權(quán)限。 38 電子商務(wù)安全管理規(guī)范 c) 電子商務(wù)部系統(tǒng)管理員負(fù)責(zé)各地區(qū)公司的系統(tǒng)管理員的權(quán)限分配和管理。并負(fù)責(zé)中國石油各個(gè)機(jī)關(guān)的用戶、角色、權(quán)限的管理，確保內(nèi)容的準(zhǔn)確。 d) 各地區(qū)公司系統(tǒng)管理員根據(jù)本單位的具體業(yè)務(wù)規(guī)定負(fù)責(zé)本單位用戶、角色、權(quán)限的添加、刪除、修改，并確保內(nèi)容的準(zhǔn)確。 e) 各級系統(tǒng)管理員對于用戶、角色、權(quán)限的添加、刪除、修改工作必須經(jīng)本單位電子商務(wù)主管領(lǐng)導(dǎo)審批。 系統(tǒng)管理員負(fù)責(zé)保存用戶申請及審批文 檔。 f) 股份公司及地區(qū)公司的系統(tǒng)管理員只能為使用電子商務(wù)應(yīng)用系統(tǒng)的企業(yè)員工提供技術(shù)支持。 當(dāng)員工脫離原崗位后，系統(tǒng)管理員應(yīng)及時(shí)取消員工的用戶權(quán)限。 口令 管理： 電子商務(wù)系統(tǒng)各級系統(tǒng)管理員的 口令 管理按照《 通用安全管理規(guī)范 》中的口令管理部分的關(guān)鍵級口令管理水平執(zhí)行，用戶的 口令 管理則遵照重要級水平管理。 電子商務(wù)交易合作伙伴管理 a) 合資公司是股份公司電子采購、電子銷售系統(tǒng)的總體技術(shù)合作伙伴。 股份公司電子商務(wù)部負(fù)責(zé)協(xié)調(diào)與合資公司之間的關(guān)系。 b) 股份公司電子商務(wù)部負(fù)責(zé)監(jiān)督并定期檢查確保合資公司向股份公司提供高質(zhì)量的服務(wù)， 以滿足股份公司的需求。 c) 合資公司負(fù)責(zé)協(xié)調(diào)與電子采購、電子銷售系統(tǒng)的軟硬件供應(yīng)商和集成商的關(guān)系。 d) 地區(qū)公司如有問題需與合資公司聯(lián)系或交涉，應(yīng)上報(bào)股份公司電子商務(wù)部，由電子商務(wù)部協(xié)調(diào)解決。 e) 電子采購系統(tǒng)（目錄采購）的供應(yīng)商必須是經(jīng)過股份公司電子商務(wù)部或各地區(qū)公司電子商務(wù)管理部門經(jīng)過招標(biāo)等手段選定的。 電子商務(wù)安全管理規(guī)范 39 f) 股份公司電子商務(wù)部負(fù)責(zé)對供應(yīng)商資質(zhì)的考核。供應(yīng)商信息的刪除和供應(yīng)商資格的取消，由電子商務(wù)部提出書面要求，合資公司實(shí)施。 g) 電子采購系統(tǒng)的供應(yīng)商必須是“能源一號網(wǎng)”的會員。合資公司負(fù)責(zé)管理電子采購系統(tǒng)供應(yīng)商的相關(guān)信息。 供應(yīng)商信息管理工作包括：供應(yīng)商信息的登記和錄入、供應(yīng)商信息修改、供應(yīng)商資格的失效和恢復(fù)等工作。 供應(yīng)商信息的變更必須經(jīng)股份公司電子商務(wù)部審批。 其它電子商務(wù)交易安全管理 a) 中國石油地區(qū)公司應(yīng)建立電子商務(wù)應(yīng)用管理規(guī)范，對于和電子商務(wù)有關(guān)的資料進(jìn)行專門的加密管理，建立審計(jì)跟蹤、災(zāi)難備份和恢復(fù)措施。 b) 電子商務(wù)應(yīng)用系統(tǒng)的用戶有責(zé)任向本單位電子商務(wù)管理部門報(bào)告任何已知的或可疑的電子商務(wù)安全隱患。 c) 對于任何形式的電子商務(wù)應(yīng)用系統(tǒng)反常表現(xiàn)，例如文件丟失，頻繁出現(xiàn)的系統(tǒng)崩潰或出錯信息等，用戶應(yīng)立即向地區(qū)公司電子商務(wù)管理部門報(bào) 告，由地區(qū)公司電子商務(wù)管理部門根據(jù)當(dāng)時(shí)情形采取適當(dāng)措施并向股份公司電子商務(wù)部報(bào)告具體情況。股份公司電子商務(wù)部根據(jù)具體情況采取措施或組織有關(guān)單位進(jìn)行調(diào)查。 d) 如果信息丟失，地區(qū)公司電子商務(wù)管理部門應(yīng)根據(jù)當(dāng)時(shí)情形采取適當(dāng)措施并向股份公司電子商務(wù)部報(bào)告。中國石油電子商務(wù)部根據(jù)具體情形采取適當(dāng)措施。 e) 用戶一旦發(fā)現(xiàn)系統(tǒng)被病毒感染或攻擊，應(yīng)立刻向地區(qū)公司電子商務(wù)管理部門報(bào)告。地區(qū)公司電子商務(wù)管理部門應(yīng)根據(jù)具體情況采取適當(dāng)措施并立即向股份公司電子商務(wù)部報(bào)告。 40 電子商務(wù)安全管理規(guī)范 附附 錄錄 1 參參 考考 文文 獻(xiàn)獻(xiàn) 【國家法律】 《中華人民共和國國家安全法》 《中華人民 共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》 《中華人民共和國計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定》 《 中華人民共和國保守國家秘密法 》 《 中華人民共和國國家安全法 》 【國家規(guī)定】 《維護(hù)互聯(lián)網(wǎng)安全的決定》 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 中國信息安全產(chǎn)品測評認(rèn)證用標(biāo)準(zhǔn)目錄（一） 軍用計(jì)算機(jī)安全評估準(zhǔn)則 GJB225595 國土資源部信息網(wǎng)絡(luò)安全管理規(guī)定 安全策略分析報(bào)告 _樣例 淺談金融計(jì)算機(jī)信息系統(tǒng)安全管理 電子計(jì)算機(jī)機(jī)房施工及驗(yàn)收規(guī)范 sj 電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 GB501741993 網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫 行規(guī)定 計(jì)算機(jī)信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定 計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則 (GA1631997) 計(jì)算機(jī)信息系統(tǒng)安全產(chǎn)品部件 (安全功能檢測 GA21611999) 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則 GB 178591999 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)操作系統(tǒng)技術(shù)要求 (GAT3882020) 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求 (GAT3892020) 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)管理要求 (GAT3912020) 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)網(wǎng)絡(luò)技術(shù)要求 (GAT3872020) 計(jì)算 機(jī)信息系統(tǒng)安全等級保護(hù)通用技術(shù)要求 (GAT3902020) 計(jì)算機(jī)軟件保護(hù)條例 電子商務(wù)安全管理規(guī)范 41 計(jì)算站場地安全要 GB9361_1988 計(jì)算站場地技術(shù)條件 gb28871989 field 銀行卡聯(lián)網(wǎng)聯(lián)合安全規(guī)范 【國家防火規(guī)范標(biāo)準(zhǔn)】 建筑內(nèi)部裝修設(shè)計(jì)防火規(guī)范 建筑物防雷設(shè)計(jì)規(guī)范 建筑設(shè)計(jì)防火規(guī)范 .doc 火災(zāi)自動報(bào)警系統(tǒng)設(shè)計(jì)規(guī)范 高層民用建筑設(shè)計(jì)防火規(guī)范 【國 外相關(guān) 標(biāo)準(zhǔn)】 RFC 2196 BS 7799 (UK) IT Baseline Protection Manual (Germany) OECD Guidelines ISO 15408 (Common