【導讀】中國石油需要建立統(tǒng)一的信息安全管理政策和標準，并在集團內統(tǒng)一推廣、實施。油自身的應用特點，制定的適合于中國石油信息安全的標準與規(guī)范。系統(tǒng)、數據和電子文檔、應用系統(tǒng)和通用安全管理標準。獨成冊的部分，共有13本《規(guī)范》和1本《通用標準》。7個《標準》的組合也依據了信息安全生命周期的理論模型。每個《標準》都會對所有的《規(guī)。TCSEC），它依據處理的信息等級采取的相應對策，劃分了4類7個安全等級。準化組織接受，代替TCSEC來評價計算機的安全等級，通用標準的EAL3級大致與C2級的功能相當）。本規(guī)范由中國石油天然氣股份有限公司發(fā)布。集團公司指中國石油天然氣集團公司有時也稱“存續(xù)公司”。公司和集團公司下屬單位，但提及“存續(xù)部分”時指集團公司下屬的單位。部，不是利用專線，這樣的單位和所使用的遠程信道不屬于中國石油專用網主干網組成部分。地區(qū)網地區(qū)公司網絡和所屬單位網絡的總和。是專線，也可是撥號線路。

　　

【正文】 層的應用服務器架構增加了審計的復雜度。通常應用服務器代表用戶進行數據庫操作。應用服務器訪問數據庫時應利用用戶各自的真實帳戶，而不應使用代碼內嵌的帳戶，使其能夠記錄特定用戶的訪問日志。 f) 另外，可使用一些第三方的數據庫審計或者日志工具，來提供重要數據日志，并對其進行審計。 g) 審計會影響數據庫系統(tǒng)的性能，不應試圖用最詳細的級別來審計所有的數據庫行為。否則只 會使數據庫用戶的日常使用受到重大影響，并且審計數據可能會大大超過數據庫中的數據，并超過系統(tǒng)的存儲限制。 h) 對于性能要求較高，數據增長很快的大型應用，應根據數據庫中的數據的重要性，確定需要對哪些數據庫的對象進行哪些方面的審計。 i) 審計哪些數據庫行為，以及采取哪些審計方法，這些審計策略應根據人員、可疑行為的變化，或者需要對某些特定內容進行不同層次的檢查而進行修改。 j) 如果存在一些時間段，用戶不會進行數據庫的訪問，應對于這些時間的數據庫連接進行審計。這段時間的數據庫訪問可能代表了不正常的用戶訪問。 k) 數據庫審計管理人員應 定期 （每周） 通過工具自動或者手工分析審計日志，來發(fā)現(xiàn)已出現(xiàn)的或者潛在的數據庫安全問題。 30 數據和電子文檔安全管理規(guī)范 數據庫的加密管理 數據庫加密可為數據提供進一步的安全性，即使這些數據被非授權用戶獲得，他們也無法了解數據的真正內容。數據庫中數據加密的實現(xiàn)方式，一般分為兩種方式： 使用數據庫本身的加密機制 當數據存儲到數據庫時，數據庫管理系統(tǒng)將其進行加密，當數據從數據庫讀取時，將其進行解密。 ? 數據庫本身的加密機制的優(yōu)點是：數據庫本身就可完成加密的任務，對外部的應用是透明的，另外不需要額外的應用支持來滿足其加密需求。 ? 但是它也有比較大的 缺點：數據庫中數據讀取時的加密和解密會對數據庫的性能產生很大的影響；數據加密的密鑰一般也存儲在數據庫中，入侵者只要獲得數據庫中密鑰的訪問權限，就可能將數據解密。 ? 可利用額外的硬件安全模塊 (HSM: Hardware Security Module)，來提供與數據庫分離的密鑰管理，并通過其提供一定的加解密的處理能力。 ? 當數據在數據庫外使用時，由于已經是明文的形式，需要額外對于這些數據的網絡傳輸進行加密。 利用數據庫外部的應用進行加密 將加密和解密的工作轉移到處理數據的應用中，數據在存儲到數據庫前就已通過獨立 的應用進行了加密。 ? 這種方式的好處是對于數據庫服務器本身的負載影響較小，并且數據在實際使用前在網上傳輸的信息本身就是加密的。 ? 應用級的加密需要數據庫外面應用程序的加密功能的支持，可能需要進行一定的開發(fā)工作，并且可能需要外部的安全咨詢服務及產品供應商的支持，因此需要比較大的投資。 數據和電子文檔安全管理規(guī)范 31 ? 在存在多個需要加密的大型應用及多個需要加密的數據庫環(huán)境的情況下，可利用一個企業(yè)級的加密服務器來提供集中式的加解密服務。這樣可提供比較完善的密鑰管理和訪問控制的機制。 對于數據庫加密機制的管理 嚴格管理密鑰和加解密工具的訪問手段 ? 必 須對于密鑰和加解密工具具有嚴格的認證、授權和訪問控制。必須在重要信息被解密前進行嚴格的用戶認證。 ? 必須對于這些加解密對象的使用進行嚴格的審計并記錄日志。 密鑰的多種存放方式 ? 數據庫內部的加密可把密鑰存放在數據庫的限制訪問的單獨的表上。 ? 密鑰存儲的比較安全的存放方式是利用硬件進行存儲，例如對于數據庫的密鑰使用硬件安全模塊 (HSM: Hardware Security Module)。 ? 密鑰可存放在一個限制訪問的文件中 。 ? 可通過一個集中的加密服務器來進行加密和密鑰的管理。 對中國石油使用數據庫加密的建議 a) 無論使用哪種加密技術都會對應用系統(tǒng)的性能有很大的影響，因此必須權衡日常業(yè)務的運行效率及數據的重要性，以確定哪些數據真正重要到需要進行數據庫加密。 b) 盡量通過加強認證、授權和訪問控制，來提高數據庫內容的安全性。根據風險評估，除非絕對必要否則不要試圖對于大的數據庫的很多內容進行加密，這會妨礙中國石油日常業(yè)務的運行。 32 數據和電子文檔安 全管理規(guī)范 c) 在僅需要對少量和有限的內容進行加密的情況下，可使用數據庫軟件本身提供的加密功能。 d) 在存在大量的需要加密的應用和數據庫環(huán)境的情況下，中國石油可考慮使用加密服務器來集中管理這些大量的加密和訪問控制管理工作 。 人員培訓管理 數據庫系統(tǒng)是非常復雜的應用系統(tǒng)，對其進行管理和配置需要大量的專業(yè)知識和技能。數據庫的一個重大的安全隱患是數據庫管理人員對于數據庫的不適當安裝、配置以及誤操作等。由于這些數據庫管理人員具有很大的數據庫操作權限，所以他們的不適當操作可能會對整個數據庫帶來極大的危害。 a) 應對于數據庫管理人員進行必要的培訓，使得他們具備相應的知識，以完成數據庫管理的任務。 b) 數據庫管理人員應在工作期間進行自我學習，不斷提高數據庫技術水平和管理技能，以滿足不斷出現(xiàn)的新的數據庫管理的要求。 數據和電子文檔安全管理規(guī)范 33 第第 4 章章 數數 據據 備備 份份 管管 理理 規(guī)規(guī) 范范 在信息時代 ，中國石油用來支持經營和決策的重要數據和信息已經成為企業(yè)重要的資產。這些信息資產可能遭到自然災害、計算機系統(tǒng)的故障以及人為的破壞。要使中國石油的計算機系統(tǒng)在受到各種破壞后仍然可保證業(yè)務的正常運行，對于這些重要的信息和數據進行備份至關重要。 數據備份的主要方式 完全備份、增量備份和差異備份 a) 完全備份將服務器上的所有數據都進行備份。基于備份的數據量和頻率，完全備份可能需要比較大的存儲空間以及要花費較多的時間。 但是它可較快地進行恢復。 b) 增量備份只備份前一次備份以后的數據變化。該方式每次備份花費的時間較少，但需要較 多的時間進行恢復工作。 c) 差異備份則備份前一次完全備份以后的變動數據。 該方法比完全備份所花的時間要少，而需要的恢復時間要少于增量備份。 傳統(tǒng)備份和異地備份 傳統(tǒng)的備份方式 a) 本地磁盤備份：在用戶自己的計算機上的不同的磁盤位置，存放備份數據，但如果本地計算機出現(xiàn)故障，則無法恢復數據。 b) 可移動存儲器備份：將數據備份到軟盤或者大容量的移動存儲設備上。 c) 網絡文件服務器備份：在 LAN 或者其它的網絡服務器的磁盤上備份數據，使得本地數據損壞后可利用網絡的備份進行恢復。 34 數據和電子文檔安全管理規(guī)范 d) 磁帶和磁帶庫備份：是大容量的數據存儲和備份方式，也是各 種類型企業(yè)的傳統(tǒng)的備份方式。在自動磁帶備份和磁帶庫管理應用的支持下，是性價比較高的備份方式。 e) 光盤和光盤庫備份：不可擦寫的備份介質，在光盤管理庫及相應備份應用的支持下，也是一種性價比較高的備份方式。 f) 冗余和容錯：主要通過服務器硬件的冗余和容錯功能來進行，包括使用磁盤陣列 (RAID)、集群、本地的連續(xù)的磁盤復制、建立原始數據的鏡像等。該方法使得企業(yè)在主服務器或者磁盤出故障后，能夠不間斷業(yè)務操作。該方法可保存重要數據的最新的備份，但如果原始數據被刪除或者遭到破壞，則備份數據也受到同樣的破壞。需要其他備份方式來保 證數據的恢復。 g) 數據庫復制：與磁盤復制類似，通過將主數據庫的數據復制到另外一個備份數據庫，來保證數據庫的應用在一臺服務器遇到故障的情況下可繼續(xù)運行。 異地備份方式 a) 異地存放的磁帶備份：定期進行磁帶備份，然后用手工的方式將備份的磁帶轉移到遠端的、安全的地點。 b) 異地復制：通過使用復制軟件和網絡連接，將數據從原始的服務器復制到異地的遠程設施上。該方法可在異地保存重要數據的最新的備份，但是軟硬件成本比較高；同時如果原始數據被刪除或者遭到破壞，則備份數據也受到同樣的破壞。需要其他備份方式來保證數據的恢復。需要較大的 網絡帶寬。 c) 遠程日志：對重要數據的更新進行監(jiān)控與跟蹤，并將更新日志實時通過網絡傳送到備份系統(tǒng)，備份系統(tǒng)則根據日志對備份數據進行更新。 d) 管理聯(lián)機備份服務：通過網絡將數據復制到異地的數據中心，然后該數據中心定時將數據存儲到磁帶上，并將它們存放在安全的地點。利用 Web 界面或者相應的軟件，根據最新的備份數據及磁帶副本，通過網絡進行數據備份及恢復。可從第三方服務供應商處獲得該種備份服務，但同樣需要很大的網絡帶寬。 數據和電子文檔安全管理規(guī)范 35 其他備份方式 磁盤陣列冗余 備份 磁盤陣列冗余備份是指 利用 磁盤陣列的技術手段，將數據同時寫在兩個 (或多個 )物理 不同的磁盤上。 當 某一個磁盤 發(fā)生故障時， 數據不會因此而丟失，保證了數據的安全性 。 由于該技術成熟度高，且實施成本較低，因此目前被廣泛的應用 。 網絡附加存儲 (NAS: Network Attached Storage) NAS（ Network Attached Storage，網絡附加存儲）的典型組成是使用 TCP/IP 協(xié)議的，專為數據共享而設計的以太網共享存儲器。 簡單的說， NAS 可看作通過網線連接的磁盤陣列，它具備了磁盤陣列的所有主要特征：高容量、高效能、高可靠。NAS 將存儲設備通過標準的網絡拓撲結構連接 到一群計算機上，所以 NAS 可無需服務器直接上網，不依賴通用的操作系統(tǒng)，而是采用一個面向用戶設計的、專門用于數據存儲的簡化操作系統(tǒng)。其次 NAS 是真正即插即用的產品，并且物理位置靈活，可放置在工作組內，也可放在其它地點與網絡連接。 NAS 能夠滿足那些無法承受更昂貴的 SAN 的中小企業(yè)的需求，具有相當好的性能價格比。 存儲區(qū)域網絡 (SAN: Storage Area Network) SAN（ Storage Area Storage，存儲區(qū)域網）是一個高速的子網，這個子網中的設備可從主網卸載流量。通常 SAN 由 RAID 陣列連接光纖通道（ Fibre Channel）組成，SAN 和服務器和客戶機的數據通信通過 SCSI 命令而非 TCP/IP。 存儲區(qū)域網絡(SAN)是獨立于服務器網絡系統(tǒng)之外 ,幾乎擁有無限存儲能力的高速存儲網絡。這種網絡采用高速的光纖通道作為傳輸媒體，以 FC(Fiber Channel，光通道 )+SCSI的應用協(xié)議作為存儲訪問協(xié)議，將存儲子系統(tǒng)網絡化，實現(xiàn)了真正高速共享存儲的目標。 SAN 多部署與電子商務應用、大量的數據備份和其它需要在網上頻繁地36 數據和電子文檔安全管理規(guī)范 存儲和傳輸的業(yè)務中； SAN 可從主網上卸掉大量的數據流量，可使以太網 從數據擁塞中解脫出來。 不過由于 SAN 的強大性能和巨額成本，一般只有大型企業(yè)會采用。 數據和電子文檔安全管理規(guī)范 37 中國石油數據備份 對數據備份的規(guī)定 a) 關于數據內容的信息及結構（元數據）應與數據一起備份。 b) 相關的軟件許可和供應商信息也應進行備份。 c) 應將信息存儲時間置入備份介質。 d) 對于重要數據至少在不同地點保留兩個副本。 e) 對異地備份地點的選擇必須同時考慮安全性以及訪問的便利性。 f) 如有必要，對于重要的備份數據進行加密，但必須保證有一個良好的密鑰管理機制，在密鑰安全的同時不會出現(xiàn)無法解密備份數據的情況，同時也要保證在恢復加密數據時能夠獲得 解密程序 g) 數據備份的頻度要求，必須定期對各種重要的數據進行備份，根據下面因素選擇備份頻度（例如每日、每周、每月備份或者在重大事件發(fā)生的時候備份）： ? 信息資產重要性 ? 數據受威脅的等級 ? 用戶和客戶的備份需求 ? 服務器數據和配置的穩(wěn)定性 ? 備份的數據量 ? 數據恢復的難度 ? 服務器本身的數據冗余特征（例如是否有冗余磁盤陣列，鏡像） h) 備份介質的索引和審計要求。對于大型的應用，其備份的數據量非常大，導致對備份數據查找的困難，所以必須仔細考慮對備份數據的索引： 38 數據和電子文檔安全管理規(guī)范 ? 對于磁帶庫的備份方式，應給每個磁帶貼上條形碼，據此記錄每個磁帶在任何 時候的具體存放位置。利用合適的軟件通過條形碼來記錄磁帶進出存儲庫的事件，定期檢查這些記錄，以發(fā)現(xiàn)潛在的安全問題。 ? 對于非磁帶庫的方式，也應以類似的機制來索引和審計備份數據。 i) 有必要的情況下，咨詢中國石油的相關法律或者業(yè)務負責人，了解特殊數據的備份要求。 建立合理的備份體系 a) 必須有專門的人員負責數據的備份，應進行額外檢查以確保數據的正確備份和歸檔。 b) 必須定期 （每周） 檢查原始數據，防止原始數據的錯誤傳播到備份數據中。 c) 必須把每次進行備份的情況都通過電子文檔記錄下來。 d) 必須定期（ 至少每年 ）測試數據備份和恢復方案 ，確保數據能夠在預定的時間內恢復，并基于測試結果改進備份方案。 e) 中國石油使用的計算機硬件、軟件和設備應盡量標準化，使得備份和恢復能夠更方便地進行。 f) 備份設備必須與用來進行恢復的操作系統(tǒng)和應用相兼容，以免將來無法從備份數據恢復。 數據備份過程的管理 數據獲取過程的管理 a) 應確?？煽亢驼_地獲得了需要備份的數據。對于某些數據庫，以及一些應用的數據服務，需要備份多處的數據，否則無法進行恢復。 數據和電子文檔安全管理規(guī)范 39