中国石化信息安全标准与流程总则

中国石化信息安全标准与流程总则V 1.02006年 5月 10日文档控制拟 制:审 核:标准化:读 者：版本控制版本提交日期相关组织和人员版本描述V1.02006-01-01目 录第1章.概述11.1.目的11.2.适用范围11.3.实施11.4.检查和评估1第2章.信息安全政策标准体系结构22.1.第一层：中国石化信息安全策略42.2.第二层：中国石化安全规范和标准42.3.第三层：中国石化安全操作手册、流程和细则7第1章. 概述1.1. 目的中国石化针对信息安全制定了一系列由概括到具体的政策，规范和操作手册，这些文件组成了中国石化信息安全政策标准体系。本文件是针对该政策标准体系的全面描述。本文件可以作为政策和标准体系中所有文件的索引和入口，以帮助相关人员全面地了解信息安全政策标准体系的组成。1.2. 适用范围本总则在中国石化范围内发布，面向所有中国石化的员工。1.3. 实施所有中国石化总部和下属企业的负责人和安全人员需要理解此文档描述的信息安全政策标准体系，根据本企业范围内的现实情况，制定具体可行的实施计划，确保符合此文档所描述的信息安全体系的要求。集团公司信息安全负责部门将根据此体系的要求检查各企业的落实情况。1.4. 检查和评估由集团公司信息安全负责部门根据经营活动的需要，每年检查和评估本文档，并做出适当更新。如果在风险评估过程和突发事件处理过程中，发现对本文档变更要求，也需要进行检查。任何变更草案将由集团公司信息安全负责部门审核批准，并由权威人士审阅。各企业负责人有责任与其下属的组织和员工沟通变更的内容。第2章. 信息安全政策标准体系结构中国石化的安全政策标准体系包括安全策略、安全标准规范、安全操作流程和细则，涉及管理要素和技术要素，覆盖信息化系统的物理层、网络层、系统层、应用层等各个层面。中国石化的安全政策标准体系可以分为三层架构，包括安全策略、安全规范、安全操作流程和细则。如下图所示。安全管理流程-系统变更管理流程-安全监控/突发事件/违例管理流程-安全补丁管理流程桌面系统安全规范-桌面系统安全管理规范-员工信息安全守则系统安全规范-系统及邮件管理员角色分配和安全守则-信息系统数据备份规范-介质安全管理规范-卫星系统安全管理规范应用安全规范-应用安全规范-应用系统与CA系统接口规范-数据库安全配置标准 安全管理规范-中国石化总部和企业安全组织和责任定义-安全培训与安全意识教育-用户帐号和访问授权管理-安全风险评估规范网络安全规范-网络安全标准-远程维护安全管理规范-安全设备安全管理规范-防病毒安全规范中国石化企业信息安全策略网络安全配置手册VPN Checkpoint Nortel IBM 交换机和路由器 华为 CISCO防火墙 CISCO PIX Netscreen Checkpoint防病毒 赛门铁克防病毒 趋势 瑞星应用安全配置手册数据库安全配置手册 Oracle DB2 Domino SQL Server门户系统安全配置手册 Websphere Portal BEA WebLogic Sun One Portal Oracle AS Portal MS SharePoint通用应用系统安全配置 电子邮件系统n 通用安全规范n Dominon Exchange WEB 服务器n 通用安全规范n IISn Apache DNSn 通用安全规范n Windows DNS服务器，n UNIX BIND服务器(BIND9) FTPn 通用安全规范n IISn Wu-Ftpd操作系统安全配置手册 操作系统安全配置手册n 通用配置n Sun Solarisn IBM AIXn Win 2000n HP UX物理安全配置手册-不需要图 中国石化安全政策标准体系结构2.1. 第一层：中国石化信息安全策略中国石化企业信息安全策略安全策略信息安全策略是在高层面上为企业安全提出方向和要求，体现管理层对安全的支持和对安全的期望。安全策略不针对具体的安全技术给出实现方法，该部分内容会体现在第二层安全规范和标准中。所以安全策略这一层只有一个纲领性文件作为指导。文件名：中国石化企业信息安全策略2.2. 第二层：中国石化安全规范和标准安全规范和标准是根据安全策略的要求，将各方面的管理和技术要求进行细化、具体化的文档。结合企业目前发展现状，通过该层文档将安全策略中的原则性要求，具体化到日常的管理实践和技术设置中。但该层次仍然不涉及到具体厂家的产品配置信息。中国石化作为一个大型企业，企业环境非常庞大和复杂，不可能在一个文档中将所有安全问题讲清楚。所以安全规范和标准文档由一系列的独立文档组成。在实施推广过程中，具体工作人员根据自己的工作职责通常只需要参考和执行某一部分安全规范和标准。安全管理规范-中国石化总部和企业安全组织和责任定义-安全培训与安全意识教育-用户帐号和访问授权管理-安全风险评估规范应用安全规范-应用安全规范-应用系统与CA系统接口规范-数据库安全配置标准 网络安全规范-网络安全标准-远程维护安全管理规范-安全设备安全管理规范-防病毒安全规范系统安全规范-系统及邮件管理员角色分配和安全守则-信息系统数据备份规范-介质安全管理规范-卫星系统安全管理规范桌面系统安全规范-桌面系统安全管理规范-员工信息安全守则l 中国石化总部和企业安全组织和责任定义定义公司各级安全组织机构的职责和工作。l 安全培训与安全意识教育明确安全意识培训的方法，内容，周期和要求。l 用户帐号和访问授权管理明确用户口令要求，用户帐号增加/删除/修改要求，帐号定期审核标准和周期。l 安全风险评估规范明确信息安全风险评估的过程和方法，定义风险评估的周期要求。l 应用安全规范明确应用系统开发生命周期中各个阶段的安全需求。明确应用系统对身份识别和认证，权限控制，日志，加密等方面的要求。l 应用系统与CA系统接口规范明确CA系统提供的功能和应用系统使用CA系统的方法和接口要求。l 数据库安全配置标准 明确数据库在安全方面配置方面的要求，明确数据库在认证授权，访问控制，日志，备份，使用，审计等方面的安全要求。l 网络安全标准明确网络架构，网络设备管理，网络访问控制，网络审计监控，运行维护方面的要求。l 远程维护安全管理规范明确远程接入服务提供方系统的安全要求，远程接入的区域和访问范围，授权流程，接入终端要求，人员使用规范等安全要求l 安全设备安全管理规范明确防火墙，入侵检测，加密机等安全设备在安全管理方面的要求。l 防病毒安全规范明确病毒防御体系的部署要求，明确病毒管理策略，职责定义和响应流程等管理机制。l 系统及邮件管理员角色分配和安全守则明确管理员的职责和角色分离的要求，明确管理员日常维护工作中的安全要求。l 信息系统数据备份规范定义数据备份的方法和要求，如备份周期，数据保留周期，介质循环使用次数，恢复性测试要求等。l 介质安全管理规范明确介质的运输/储存方式，介质使用、标记和销毁的管理方法，明确介质的定期清点方法和周期。l 卫星系统安全管理规范l 桌面系统安全管理规范明确桌面系统的标准软硬件配置，明确安全配置要求，明确用户安全使用和维护的职责。l 员工信息安全守则所有对中国石化员工个人的安全要求都需要包含在此规范中。明确告知员工公司对员工在安全方面有哪些要求。针对整体安全体系，目前在这一层次还缺乏某些安全规范，需要在今后的工作中进一步完善。2.3. 第三层：中国石化安全操作手册、流程和细则第一层和第二层的文件制定完成后，如果没有得到有效地执行，将形同虚设。第三层次的操作手册、流程和细则是确保该体系有效执行的保障。安全管理流程-系统变更管理流程-安全监控/突发事件/违例管理流程-安全补丁管理流程应用安全配置手册数据库安全配置手册 Oracle DB2 Domino SQL Server门户系统安全配置手册 Websphere Portal BEA WebLogic Sun One Portal Oracle AS Portal MS SharePoint通用应用系统安全配置 电子邮件系统n 通用安全规范n Dominon Exchange WEB 服务器n 通用安全规范n IISn Apache DNSn 通用安全规范n Windows DNS服务器，n UNIX BIND服务器(BIND9) FTPn 通用安全规范n IISn Wu-Ftpd网络安全配置手册VPN Checkpoint Nortel IBM 交换机和路由器 华为 CISCO防火墙 CISCO PIX Netscreen Checkpoint防病毒 赛门铁克防病毒 趋势 瑞星操作系统安全配置手册 操作系统安全配置手册n 通用配置n Sun Solarisn IBM AIXn Win 2000n HP UX物理安全配置手册-不需要该层是对中国石化用到的所有设备和平台安全配置的描述。由于中国石化信息化系统涉及的平台种类和数量众多，所以该层由一系列文件组成。目前已经有了UNIX和windows平台的安全配置标准，在今后中国石化可以根据所采用的设备和平台的变化而增加和更新相应的文件。l 系统变更管理流程明确变更的分类和方法，明确变更从提