电子商务安全管理规范_030326_v3_fd.doc

中国石油信息安全标准 编号 中国石油天然气股份有限公司 电子商务安全管理规范 审阅稿 版本号 V3 审阅人 王 巍 中国石油天然股份有限公司 前 言 随着中国石油天然气股份有限公司 以下简称 中国石油 信息化建设的稳步推进 信息安全日 益受到中国石油的广泛关注 加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保 障 中国石油需要建立统一的信息安全管理政策和标准 并在集团内统一推广 实施 本规范是依据中国石油信息安全的现状 参照国际 国内和行业相关技术标准及规范 结合中国 石油自身的应用特点 制定的适合于中国石油信息安全的标准与规范 目标在于通过在中国石油范围 内建立信息安全相关标准与规范 提高中国石油信息安全的技术和管理能力 信息技术安全总体框架如下 区区 域域 安安 全全 管管 理理 规规 范范 机机 房房 安安 全全 管管 理理 规规 范范 硬硬 件件 设设 备备 管管 理理 规规 范范 网网络络安安全全 管管理理规规范范 通通用用安安全全管管 理理标标准准 数数 据据 和和 文文 档档 安安 全全 管管 理理 规规 范范 应应 用用 系系 统统 使使 用用 安安 全全 管管 理理 标标 准准 通通 则则 应应 用用 系系 统统 开开 发发 安安 全全 管管 理理 标标 准准 通通 则则 商商 业业 软软 件件 购购 买买 管管 理理 标标 准准 电电 子子 邮邮 件件 安安 全全 管管 理理 规规 范范 W We eb b系系 统统 安安 全全 管管 理理 规规 范范 电电 子子 商商 务务 安安 全全 规规 范范 防防 御御 恶恶 意意 代代 码码 和和 计计 算算 机机 犯犯 罪罪 管管 理理 规规 范范 信信息息安安全全技技术术标标准准 物理环境 安全管理 硬件设备 安全管理 操作系统 安全管理 数据和文档 安全管理 应用系统安 全管理 网 络 安 全 管 理 概 述 通 用 网 络 安 全 管 理 规 范 内 部 网 络 安 全 管 理 规 范 外 部 网 络 安 全 管 理 规 范 认 证 管 理 通 用 标 准 通 用 安 全 管 理 标 准 概 述 授 权 管 理 通 用 标 准 加 固 管 理 通 用 标 准 加 密 管 理 通 用 标 准 日 志 管 理 通 用 标 准 系 统 登 陆 管 理 通 用 标 准 操操 作作 系系 统统 安安 全全 管管 理理 规规 范范 1 整体信息技术安全架构从逻辑上共分为 7 个部分 分别为 物理环境 硬件设备 网络 操 作系统 数据和文档 应用系统和通用安全管理标准 图中带阴影的方框中带书名号的为单 独成册的部分 共有 13 本 规范 和 1 本 通用标准 2 对于 13 个 规范 中具有一定共性的内容我们整理出了 7 个 标准 横向贯穿整个架构 这 7 个 标准 的组合也依据了信息安全生命周期的理论模型 每个 标准 都会对所有的 规范 中相关涉及到的内容产生指导作用 但每个 标准 应用在不同的 规范 中又会 有相应不同的具体的内容 我们在行文上将这 7 个标准组合成一本 通用安全管理标准 单 独成册 3 全文以信息安全生命周期的方法论作为基本指导 规范 和 标准 的内容基本都根据预防 保护 检测跟踪 响应恢复的理论基础行文 中国石油电子商务交易平台 能源一号 由中国石油和和记黄埔等 7 个公司成立的合资公司 以下简称合资公司 负责运营 是一个国际一流的 以中国石油天然气工业 为主要对象的企业对企业 B2B 电子交易平台 为石油及天然气市场上的参与者提供产品交易 行 业信息 物流及其它增值服务 因此合资公司是电子商务交易的组织者和潜在的电子市场的秩序维护电子商务交易的组织者和潜在的电子市场的秩序维护 者者 而能源一号则是一个潜在的电子交易市场电子交易市场 目前还不具备完整意义上的电子交易市场功能 即 为各个买方和卖方提供交易撮合工具和自由交易保证的平台 中国石油总部 专业分公司 全资子公司 地区分公司和直属科研规划院 全资子公司 地区分 公司和直属科研规划院以下简称地区公司 控股子公司 参股公司以及其它中国石油天然气工业企业 和相关的供应商和采购商是电子商务平台的用户 中国石油电子商务部负责中国石油电子商务工作的 组织 管理 协调和指导部门 负责对电子商务应用系统进行归口管理 地区公司成立相应的电子商 务管理部门并设立技术岗位 在需要的业务岗位上配备电子商务应用系统终端进而实施电子商务行为 由此可见中国石油及其地区公司等是中国石油电子商务的参与者中国石油及其地区公司等是中国石油电子商务的参与者 在中国石油电子商务过程中需要防范一系列的安全问题 主要包括其作为电子商务系统技术平台 组织者需要防范的安全问题和作为电子商务参与者需要防范的安全问题 就组织者的角色而言 合资 公司以及中国石油电子商务部等相关单位需要维护整个电子商务交易平台的安全整个电子商务交易平台的安全 包括软硬件设备 网络系统 数据等的安全 就参与者的角色而言 中国石油需要考虑电子商务的交易安全电子商务的交易安全 即怎样防 止交易过程中可能出现的不安全因素 对电子商务系统提供的交易平台提出安全要求并最终由相关组 织如合资公司加以落实 需要指出的是电子商务安全是涉及面非常广的话题 需要从管理 组织 流程和技术等角度综合 考虑安全防范问题 本规范从电子商务系统平台安全和电子商务交易安全两个方面规范中国石油和其 它各方在电子商务方面的安全要求 即为上图的在整个信息安全总体架构中以深色底色标注深色底色标注的部分 本规范由中国石油天然气股份有限公司发布 本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释 起草部门 中国石油制定信息安全政策与标准项目组 说 明 在中国石油信息安全标准中涉及以下概念 组织机构 中国石油 PetroChina 指中国石油天然气股份有限公司有时也称 股份公司 集团公司 CNPC 指中国石油天然气集团公司有时也称 存续公司 为区分中国石油的地区 公司和集团公司下属单位 担提及 存续部分 时指集团公司下属的单位 如 辽河油田分公司存续 部分指集团公司下属的辽河石油管理局 计算机网络 中国石油信息网 PetroChinaNet 指中国石油范围内的计算机网络系统 中国石油信息网是 在中国石油天然气集团公司网络的基础上 进行扩充与提高所形成的连接中国石油所属各个单位计算 机局域网和园区网 集团公司网络 CNPCNet 指集团公司所属范围内的网络 中国石油的一些地区公司是和集团 公司下属的单位共用一个计算机网络 当提及 存续公司网络 时 指存续公司使用的网络部分 主干网 是从中国石油总部连接到各个下属各地区公司的网络部分 包括中国石油总部局域网 各个二级局域网 或园区网 和连接这些网络的专线远程信道 有些单位通过拨号线路连接到中国石 油总部 不是利用专线 这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分 地区网 地区公司网络和所属单位网络的总和 这些局域网或园区网互相连接所使用的远程信道 可是专线 也可是拨号线路 局域网与园区网 局域网通常指 在一座建筑中利用局域网技术和设备建设的高速网络 园区网 是在一个园区 例如大学校园 管理局基地等 内多座建筑内的多个局域网 利用高速信道互相连接 起来所构成的网络 园区网所利用的设备 运行的网络协议 网络传输速度基本相同于局域网 局域 网和园区网通常都是用户自己建设的 局域网和园区网与广域网不同 广域网不仅覆盖范围广 所利 用的设备 运行的协议 传送速率都与局域网和园区网不同 传输信息的信道通常都是电信部门建设 的 二级单位网络 指地区公司下属单位的网络的总和 可能是局域网 也可能是园区网 专线与拨号线路 从连通性划分的两大类网络远程信道 专线 指数字电路 帧中继 DDN 和 ATM 等经常保持连通状态的信道 拨号线路 指只在传送信息时才建立连接的信道 如电话拨号线路 或 ISDN 拨号线路 这些远程信道可能用来连接不同地区的局域网或园区网 也可能用于连接单台计 算机 石油专网与公网 石油专业电信网和公共电信网的简称 最后一公里问题 建设广域网时 用户局域网或园区网连接附近电信部门信道的最后一段距离的 连接问题 这段距离通常小于一公里 但也有大于一公里的情况 为简便 同称为最后一公里问题 涉及计算机网络的术语和定义请参见 中国石油局域网标准 目目 录录 1概述 6 2目标 7 3适用范围 7 4规范引用的文件或标准 8 5术语和定义 9 6电子商务平台规范 10 6 1电子商务基础建设安全统中的安全标准和规范 10 6 2电子商务审计跟踪管理 15 6 3电子商务业务连贯性管理 17 6 4电子商务符合性管理 20 7电子商务交易安全规范 22 7 1基本加密技术 23 7 2电子商务交易安全机制 27 7 3电子商务交易安全协议 31 7 4电子商务交易安全 35 附录 1参考文献 38 附录 2本规范用词说明 39 1概述 中国石油的电子商务安全规范分为 电子商务系统平台安全规范电子商务系统平台安全规范 和 电子商务交易安全电子商务交易安全 规范规范 电子商务系统平台规范 部分从电子商务相关的物理环境 硬件系统 网络系统 操作 系统 应用系统和电子商务文档和数据等多个方面规范了电子商务系统平台的安全性 并 且制订了关于电子商务平台系统升级 系统安全性测试 系统的业务连续性 审计跟踪以 及相关法律法规和技术符合性方面的安全规范 旨在保护电子商务系统平台的安全 并在 发生威胁的时候力求把可能对于中国石油造成的业务影响降到最低程度 电子商务的交易安全 主要从技术和管理的角度说明电子商务交易安全的目标 技术手 段和管理方法 在电子商务交易中 需要保证交易过程中的安全性 完整性 身份验证和 不可否认性 为了满足这些交易安全目标 需要实施综合的交易安全架构 如下图所示 其中基本加密算法是基础 提供了最基本的数据加密和数据摘要等加密方法 保证了数据 的机密性 在此之上可通过综合利用各种基本的加密算法形成多种安全机制如数字证书 数字签名 这些安全机制就可保证交易的安全性 完整性 身份验证和不可否认性 除此 以外各种安全协议例如 SSL 在不同的协议层次实现了数字证书的安全机制 中国石油在电 子商务过程中应采用不同的安全协议实现交易安全 除了技术手段之外 还需要综合使用 管理手段才能保证电子商务的交易安全 主要包括身份和密码管理规范 合作伙伴管理规 范以及其它交易安全的管理规范三个方面 安全基本加密算法安全机制安全协议和应用 2目标 本规范的目标在于 保护中国石油电子商务系统平台 能源一号 的系统安全和持续运行 并将可能发生的威 胁对中国石油的业务影响降至最低 保证能源一号上的各个交易方可稳定地使用该系统进 行电子商务交易活动 明确电子商务的交易安全要求 确定能源一号系统在电子商务交易 安全方面需要达到的目标 为中国石油电子商务部和合资公司制订电子商务安全发展规划 确定方向 明确中国石油及其相关附属公司和单位在能源一号上进行电子商务的安全规范 和技术要求 3适用范围 本套规范适用的范围包括了所有和电子商务平台和交易相关的安全问题和安全事件所有和电子商务平台和交易相关的安全问题和安全事件 具体 来说包括用于电子商务系统平台的安全维护 电子商务系统平台的交易安全措施改进 以 及确保中国石油电子商务部和地区公司电子商务管理部门和第三方之间的电子商务交易安 全 本规范主要针对以下的几类读者 中国石油相关领导 主要阅读本规范的前言 概述 目标和使用范围 理解电子商 务的重要性 目标 方法和手段 合资公司电子商务系统的维护人员 主要阅读本文的 1 6 章节电子商务系统平台安 全规范部分 中国石油电子商务部和合资公司电子商务系统的相关负责人员 阅读 1 6 章节和 1 7 章节 理解电子商务的交易安全需求 并制订相应的规划和措施保证电子商务 的交易安全和平台安全 地区公司电子商务管理部门相关人员 主要阅读本规范的 1 7 章节 理解电子商务 交易安全的技术要求和管理要求 其它第三方人员 阅读本规范的 1 7 章节 理解电子商务的交易安全措施和手段 4规范引用的文件或标准 下列文件中的条款通过本标准的引用而成为本标准的条款 凡是不注日期的引用文件 其 最新版本适用于本标准 1 GB17859 1999 计算机信息系统安全保护等级划分准则 2 GB T 9387 1995 信息处理系统 开放系统互连基本参考模型 ISO7498 1989 3 GA T 391 2002 计算机信息系统安全等级保护管理要求 4 ISO IEC TR 13355 信息技术安全管理指南 5 NIST 信息安全系列 美国国家标准技术院 6 英国国家信息安全标准 BS7799 7 信息安全基础保护 IT Baseline Protection Manual Germany 8 BearingPoint Consulting 内部信息安全标准 9 RU Secure 安全技术标准 10 信息系统安全专家丛书 Certificate Information Systems Security Professional 5术语和定义 不对称密钥加密不对称密钥加密 asymmetric cryptography 用公开密钥和对应的私有密钥进行加密和解密的 加密方法 注 如果公钥用于加密 则对应的私钥必须用于解密 反之亦然 审计审计 audit 为了测试出系统的控制是否足够 为了保证与已建立的策略和操作相符合 为了发 现安全中的漏洞 以及为了建议在控制 策略中作任何指定的改变 而对系统记录与活动进行 的独立观察 GB9387 95 审计跟踪审计跟踪 audit trail 收集数据 以备在安全审计时使用 可用性可用性 availability 数据或资源的特性 被授权实体按要求能及时访问和使用数据或资源 保密性保密性 confidentiality 数据所具有的特性 即表示数据所达到的未提供或未泄露给未授权的 个人 过程或其他实体的程度 完整性完整性 integrity 在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的 情况下 信息系统中的数据与在原文档中的相同 并未遭受偶然或恶意的修改或破坏时所具的 性质 应急计划应急计划 contingency plan 作为安全程序的一部分 通过信息系统动作来实现紧急反应 备 份操作和灾难区恢复的计划 数字证书数字证书 digital certificate 是一个经证书认证机构 CA 数字签名的包含用户身份信息以及公开 密钥信息的电子文件 是各实体在网上进行信息交流及商务活动的电子身份证 数字信封数字信封 digital envelope 附加到消息中的数据 它允许消息的预期接收方验证该消息内容 的完整性 数字签名数字签名 digital signature 添加到消息中的数据 它允许消息的接收方验证该消息的来源 灾难恢复灾难恢复 disaster recovery plan 作为安全程序的一部分 通过信息系统动作来实现紧急反 应 备份操作和灾难区恢复的计划 电子商务电子商务 electronic commerce 是通过电子方式进行的商务活动 它通过电子方式处理和传递数 据 包括文本声音和图像 它涉及许多方面的活动 包括货物电子贸易和服务 在线数据传递 电子资金划拨 电子证券交易 电子货运单证 商业拍卖 合作设计和工程 在线资料 公共 产品获得 加密加密 encryption 通过密码系统把明文变换为不可懂的形式 加密算法加密算法 encryption algorithm 实施一系列变换 使信息变成密文的一组数学规则 黑客黑客 hacker 企图访问信息资源的非授权用户 身份身份认证认证 identity authentication 使信息处理系统能识别出用户 设备和其他实体的测试实 施过程 同身份验证 例 检验一个口令或身份权标 漏洞漏洞 loophole 由软硬件的设计疏忽或漏洞导致的能避过系统的安全措施的一种错误 风险评估风险评估 risk assessment 一种系统的方法 标识出信息处理系统的资产 对这些资产的威胁 以及该系统对这些威胁的脆弱性 不可否认性不可否认性 non repudiation 信息系统中涉及的若干个实体中的一个对曾参与全部或部分通信 过程不能否认的特性 安全审计安全审计 security audit 为了测试出系统的控制是否足够 为了保证与已建立的策略和操作 相符合 为了发现安全中的漏洞 以及为了建议在控制 策略中作任何指定的改变 而对系统 记录与活动进行的独立观察 GB9387 95 安全性测试安全性测试 security testing 用于确定系统的安全特征按设计要求实现的过程 这一过程包括现 场功能测试 渗透测试和验证 安全策略安全策略 security policy 规定机构如何管理 保护与分发敏感信息的法规与条例的集合 对称密钥加密对称密钥加密 symmetric cryptography 同一密钥既用于加密也用于解密的加密方法 虚拟专用网虚拟专用网 Virtual Private Network VPN 为通过公共网络 通常是 Internet 建立一个临时 的 安全的连接 它是对企业内部网的扩展 VPN 可以帮助远程用户 公司分支机构 商业伙 伴及供应商与公司的内部网建立可信的安全连接 并保证数据的安全传输 IDSIDS 入侵监测系统入侵监测系统 自动检测网络数据流中潜在入侵 攻击和滥用方式 提供了网络安全 保护功能 它位于被保护的内部网络和不安全的外部网络之间 通过实时截获网络数据流 寻找网络违规模式和未授权的网络访问尝试 DMZDMZ 非军事化区非军事化区 作为组织网络的进入点 负责保护安全区域边界或外部连接 SNMPSNMP 简单网络管理协议 Simple Network Management Protocol SNMP 渗透性测试渗透性测试 组织专门程序员或分析员进行系统渗透 以发现系统安全脆弱性 通常会模 拟黑客真实环境和手段进行测试以发现系统安全漏洞 拒绝服务攻击拒绝服务攻击 是一种导致计算机和网络无法正常提供服务的攻击 资源的授权访问受阻 或关键时刻的操作的延误 日志日志 一种信息的汇集 记录有关对系统操作和系统运行的全部事项 提供了系统的历史 状况 业务连贯性业务连贯性 防止业务活动中断 保证重要业务流程不受重要故障和灾难的影响安全要求 6电子商务平台规范 电子商务应用系统储存着大量重要的甚至高度机密的企业信息 对系统不正确的使用或 毁坏会给企业带来严重的后果 因此 必须加强电子商务系统平台的安全管理 其目的 在于 确保电子商务系统平台免受毁坏 随意更改和非法侵入 确保电子商务系统平台的安全保护措施得以贯彻实施 6 1电子商务基础建设安全统中的安全 中国石油从 2001 年 8 月开始 由 IBM 组织实施了完整的电子商务系统 在该系统 中充分考虑了系统的冗余性和安全性 为中国石油电子商务系统的基建安全提供了 技术保证 因此本规范主要从技术管理和预防的角度考虑电子商务网络系 6 1 1电子商务系统物理环境和设备安全 a 电子商务系统的机房应符合 机房安全管理规范 中对于关键级机房安全等 级的相关要求 b 电子商务系统的办公区域应符合 区域安全管理规范 中对于重要级区域安 全的相关要求 c 电子商务系统所涉及的所有的服务器 网络设备和其他硬件设备应符合 硬 件设备安全管理规范 中对于关键级设备的安全相关要求 6 1 2电子商务网络系统安全 根据 网络系统安全管理规范 从以下三个方面进行描述 6 1 2 1电子商务网络系统通用安全管理 a 对于电子商务系统中相关的网络设备和网络线路应参照 网络系统安全管理 规范 中 2 1 1 和 2 1 2 两个章节 分别关于网络线缆和网络设备的相关加固 规范 b 对于电子商务系统中相关的防火墙设备的设置的基本规范应遵循 网络系统 安全管理规范 中 2 2 章节对于防火墙设置的相关规范 c 电子商务系统中应采用入侵检测系统 IDS 对于外部的攻击进行有效的检测 和阻挡 根据 网络系统安全管理规范 中 2 3 章节关于入侵检测系统的实施 规范中的相关规定 电子商务系统应在外部防火墙以内或非军事化区 DMZ 区域设置入侵检测系统 同时还应在交易系统服务器等关键性的网 段上设置相应的入侵检测系统 d 电子商务系统的网络实时管理应采用 SNMP 和 Out of Band 两种管理办法结合 的方式进行 须注意的是 对电子商务系统的网络监控应建立 Out of Band 的 管理机制 一旦网络系统遭到入侵可通过专有线路对网络设备进行调试和管 理 e 应对于电子商务系统实施相关的渗透性测试 通过检测找出系统可能存在的 弱点或漏洞 可通过自行组织的方式或聘请第三方检测机构进行渗透性测试 但测试的实施应严格参照 网络系统安全管理规范 中 2 5 章节关于渗透性测 试的相关实施规范进行 f 电子商务系统应特别注意防范 拒绝服务攻击 对于该类攻击的防范应遵 循 网络系统安全管理规范 中 2 6 章节的相关内容 g 应遵照 网络系统安全管理规范 中通用网络安全管理规范其他相关的条款 6 1 2 2电子商务外部网络系统连接安全 a 应同时选用两家互联网络服务供应商 ISP 作为 Internet 互联网连接的供应 商以防止由于 ISP 的 Internet 连接线路中断造成的网络连接中断 b 关键网络连接设备如接入路由器或外部防火墙等应采用双机热备冗余的机制 防止由于关键网络设备故障造成的网络中断 c 禁止任何其他的 Internet 互联网的接入内部网络系统或内部主机 包括各种类 型拨号网络 d 关闭防火墙上所有和业务无关的端口 如一些实时聊天程序使用的端口 只 允许打开业务上必需的端口 e 外部防火墙的设置应参照 网络系统安全管理规范 中 2 2 章节对于防火墙设 置的相关规范 f 电子商务远程访问网络应应严格遵循 网络系统安全管理规范 中 3 2 章节对 远程网络访问的相关管理规范 6 1 2 3电子商务网络系统内部局域网安全 a 电子商务局域网络核心网络交换设备和服务器群网络交换设备应采用双机热 备冗余的机制 防止由于关键网络设备故障造成的网络中断 b 应建立 Web 信息发布服务器和应用服务器 如交易处理系统 电子市场系统 等 之间建立基于应用层的防火墙保护 c 应建立应用层服务器和数据库服务器之间的关于数据存储和读取的防火墙保 护机制 d 应遵循 网络系统安全管理规范 中 4 1 1 3 章节关于 DHCP 使用安全规范 e 电子商务局域网络系统的虚拟局域网的划分应严格遵循 网络系统安全管理 规范 中 4 2 章节的相关内容 6 1 3操作系统安全 a 电子商务系统的服务器上的操作系统应遵循 操作系统安全管理规范 第三 四两章中对于服务器安全的相关要求 如对各种类型的操作系统加固保护 及时安装安全补丁等 b 电子商务系统的客户端上的操作系统应遵循 操作系统安全管理规范 第五 章中对于 Windows 安全等级的相关要求 6 1 4电子商务系统应用层安全 6 1 4 1电子商务系统测试 a 电子商务部和合资公司应根据具体情况 共同选择合适的合作伙伴对电子商 务系统平台的安全性能进行评估和改进 b 除电子商务部和合资公司共同组织的安全评估外 任何人不得在电子商务应 用系统上测试系统的安全机制 c 测试的内容至少应包括 测试系统平台和中国石油的集成接口 如果存在 模拟交易测试 输入正确的信息以检查交易能否正确完成 模拟出错测试 测试系统是否具有足够的容错能力 网络测试 对于网络的负载进行测试 应急措施测试 对于系统的应急措施进行措施 确保灾难一旦发生 能够将 影响降至最低 6 1 4 2电子商务系统更新 在进行系统的更新和升级的时候 应有完善的流程以防系统更新和升级对业务带 来的负面影响 主要的步骤包括 a 设计设计 在设计的过程中要考虑系统更新的风险 主要采取的措施包括 进行升级风险评估 采用风险可承受的设计方案 对设计风险反复评估 如果可行 尽量进行定量的风险评估 例如预期风险可能带来的损失的大 小 b 开发和测试开发和测试 在开发测试过程中严格遵照 中国石油应用系统开发安全管理 通则 相应的规范进行 c 培训培训 当系统稳定以后 对员工在系统新功能的使用方面进行必要的培训 d 试用试用 在较小的范围内进行更新后系统的测试 确信没有很大的问题以后才 完全推广 禁止在未经试用的情况下直接大范围推行 6 1 4 3电子商务应用系统相关安全规范应遵循以下四个独立规范的相关要求 应用系统使用安全管理规范 应用系统开发安全管理规范 电子邮件系统安全管理规范 Web 服务器安全管理规范 6 1 5数据和文档安全 电子商务系统中的数据信息具有相当高的保密性 电子商务中的敏感的数据和文 档的安全应严格遵循 数据和文档安全管理规范 中对于关键级数据和文档的相 关规定 同时其他的一些非敏感的数据和文档也应遵照 数据和文档安全管理规 范 中相应的标准进行保护和规范 6 2电子商务审计跟踪管理 电子商务系统平台应具有安全审计的功能 可对与安全有关的活动和事件进行识别 记录 存储和分析 而根据对安全审计记录的分析则可判断出应如何应对以及谁来 应对 并应根据实际情况将创建的异常事件日志和安全相关事件的审计日志保留必 要长的时间 在中国石油电子商务系统平台的审计跟踪过程中 应达到以下 6 个方面的要求 6 2 1安全审计自动响应 当审计跟踪功能发现系统出现的故障的时候 应具有自动报警的功能 并且还需 定义在报警发生后需要采取的步骤有哪些 例如发出警告甚至停止该用户帐户等 6 2 2安全审计数据生成 系统应有将指定的内容自动记入日志的功能 6 2 3安全日志的记录内容 即选择和确定哪些内容需要记录在系统日志中 一般而言应包括 a 用户 ID b 登录与注销的日期和时间 c 终端标识或位置 如果可能 d 系统的成功访问和拒绝访问记录 e 数据与其它资源的成功访问和拒绝访问记录 6 2 4安全日志存储 系统安全日志的存储也是一个非常重要的问题 需考虑的问题包括怎样保护系统 日志文件 怎样保证系统日志数据是随时可得的 怎样保证系统日志丢失的时候 可正确恢复和怎样最大程度地保证系统日志不会丢失 应采纳的主要措施包括 a 应将日志文件存放在另一个物理独立的服务器中 即日志或者系统日志服务 器 并对该服务器进行专门的保护 b 日志文件应定期归档和备份 6 2 5安全日志分析 a 日志分析主要用于在系统日志中记录的系统信息 以便发现潜在的或者已经 发生的安全问题 例如潜在的入侵或者安全违规等问题 中国石油应采用自 动分析工具辅助进行安全日志分析 b 系统日志通常包括大量的信息 多数与安全监控无关 为了识别用于安全监 控目的的重要事件 应可将安全相关的消息类型自动复制到另一个日志中 以及 或者 使用适当的系统实用程序或审计工具进行分析 c 分配日志评审责任时 宜考虑把评审人员和被监控者的角色分离开来 6 2 6安全日志记录评估 对于分析得到的安全日志应定期对其进行定期的日志评估 以便得到关于系统当 前运行状态的总体评估 至少要求对下列事件进行评估和分析 a 合法访问 记录合法访问的用户 ID 重要事件的日期和时间 事件类型 所 访问的文件和所用程序 实用程序 b 所有特权操作 如管理员的使用 系统启动和停止 I O 设备连接 分离 c 非法访问次数 如失败次数 违反访问策略的访问 网关 防火墙以及入侵 检测系统的预警 d 系统预警或故障 如控制台预警或消息 系统日志异常情况和网络管理报警 等 6 3电子商务业务连贯性管理 业务连贯性管理规范的目标是防止中国石油电子商务系统平台的业务活动中断 保 证电子商务业务流程不受重要故障和灾难的影响 中国石油应在电子商务系统平台上实施业务连续性管理程序 预防和恢复控制相结 合 将灾难和安全故障 可能是由于自然灾害 事故 设备故障和蓄意破坏等引起 造成的影响降低到可接受的水平 中国石油应在分析灾难 安全故障和服务损失的后果的基础上制定和实施应急计划 确保能够在要求的时间恢复正常的业务运作 同时还应对业务连续性计划进行定期 的检查以确定其是否有效 从技术的角度而言中国石油应做到 6 3 1系统软件安全漏洞的维护 a 一旦发现系统软件中出现的安全漏洞 应及时同软件供应商联系 b 应跟踪软件供应商的安全漏洞发布信息 了解相关软件漏洞发布信息 及时 获得对系统安全漏洞的补救措施或软件补丁 6 3 2发现系统正被黑客攻击的维护 a 应遵循电子商务系统制订相关问题处理措施的应急方案 按照既定方案施系 统维护 b 应可根据不同情况分别采用加强保护 中断对方连接 反跟踪及其它处理措 施 6 3 3灾难恢复维护 电子商务系统运行可能会因为自然或人为的原因遭破坏 应制订相应问题处理的 应急方案 主要包括系统备份和系统恢复以及法律证据收集等 电子商务系统应 定期对数据进行完全备份 定期建立包括应用系统以及操作系统等在内的完整镜 像 同时还应定期对数据做增量备份 6 3 3 1备份时需要注意满足以下要求 a 应使用不可擦写的介质 以免意外删除和改动数据 b 应定期做备份恢复试验 确保数据正确备份和归档 c 应将信息存储时间置入存储介质 d 应建立易于检索和索引的备份介质 e 至少应在不同地点保留两个副本 6 3 3 2当发生系统灾难时 进行系统恢复时应遵循以下的流程 a 查阅中国石油的安全政策确定应对措施 b 向中国石油电子商务部汇报并酌情上报 c 断开网络连接 隔离受损系统并进行必要的证据收集工作 a 检查是否还有其它受损系统 b 系统恢复 并加固系统 c 测试系统安全性 d 重新连接入网络 e 监控系统和网络 看问题是否重复出现 f 记录经验教训 6 3 4系统恢复时需要权衡多个因素 a 受损的严重程度 g 受损的性质 h 受损的业务影响 i 备份数据是否受损 j 管理层和法律部门意见 由于中国石油电子商务系统平台的高度重要性 应采用尽可能多的措施保证系统的安全 做到 防患于未然 而不仅仅是及时的修补 6 4电子商务符合性管理 电子商务符合性管理规范指电子商务系统需要遵循相关技术上或法律的要求 主要 包括两个方面的内容 即法律符合性管理规范和内部控制符合性管理规范 6 4 1法律符合性管理规范主要包括 a 对电子商务信息系统平台应明确规定所有相关法律法规要求和合约要求 并 进行备案 满足这些要求的具体控制措施和个人责任同样应进行规定和备案 b 应保证电子商务系统平台符合有关涉及知识产权 如版权 设计权或商标 的材料使用的法律限制 侵犯版权可能引发法律诉讼 甚至引发刑事诉讼 c 法律法规和合约要求可对专利材料的复制予以限制 特别是 可要求仅能使 用组织内部编制的材料或经编写人员向组织授权或提供的材料 d 专有软件产品通常根据许可协议提供 许可协议仅限产品在指定机器上使用 复制仅限于创建备份副本 应考虑必要的控制措施 e 应防止组织的重要记录丢失 毁坏和篡改 重要记录必须妥善保管 以符合 法律法规要求 有利于重要的业务活动 6 4 2安全策略和技术符合性规范主要包括 a 应建立电子商务系统安全策略评审标准和方法 b 应建立电子商务技术符合性评审标准和方法 c 根据系统安全策略对信息系统的安全性进行定期评审 并对技术平台和信息 系统是否符合安全实施标准进行审计 d 应定期检查信息系统是否符合安全实施标准 技术符合性检查涉及对操作系 统的检查 保证硬件和软件控制措施得以正确执行 e 符合性检查要求有专家的技术帮助 应由一位有经验的系统工程师手动进行 此项检查 根据需要可辅之以适当的软件工具 或由一个自动化软件包来 执行 之后再由技术专家对该软件包生成的技术报告进行解释 7电子商务交易安全规范 中国石油电子商务交易安全要求包括四个方面 a 数据传输的安全性 对数据传输的安全性需求即是保证在公网上传送的数据不被第三 方窃取 对数据的安全性保护是通过采用数据加密 包括对称密钥加密和不对称密钥 加密 来实现的 数字信封技术是结合对称加密加密和公开密钥加密技术实现的保证 数据安全性的技术 b 数据的完整性 对数据的完整性需求是指保证数据在传输过程中不被篡改 数据的完 整性是通过采用数字摘要和数字签名技术来实现的 c 身份认证 网上的通信双方互不见面 必须在交易时 交换敏感信息时 确认对方的 真实身份 在涉及到支付时 还需确认对方的帐户信息是否真实有效 身份认证是采 用口令字技术 不对称密钥技术或数字签名技术和数字证书技术来实现的 d 交易的不可否认 网上交易的各方在进行数据传输时 必须带有自身特有的 无法被 别人复制的信息 以保证交易发生纠纷时有所对证 这是通过数字签名技术和数字证 书技术来实现的 为确保网上通信的安全可靠 可采用各种安全技术和安全协议 为满足中国石油电子商务交易安全的需求 中国石油需要其电子商务系统架构从基本加密 技术 以加密为基础的安全机制和在安全机制之上的安全应用协议等三个从低到高的不同 层次组成的交易安全架构来保证交易的安全 其中基本加密技术可保证提供数据的安全性 保护 而综合利用各种加密技术形成的安全机制则保证了数据的完整性 交易的不可否认 在结合了证书机制和其它身份鉴别机制之后也可充分保证交易的身份认证需求 而最终这 些机制的实施则是通过具体的安全协议和安全应用 7 1基本加密技术 基本加密技术是电子商务交易安全的基石 本节主要讨论主要的加密方法和摘要算 法 并提出基本加密技术方面的使用规范 目前主要有两种加密体系 对称密钥加 密和不对称密钥加密 7 1 1基本机密技术列举 7 1 1 1对称密钥加密 对称密钥加密和解密使用同一个密钥 因此信息的发送方和接收方必须共享一个 密钥 这种加密类型快速牢固 但能力却很有限 入侵者一般使用强力破解 对 称密钥加密的另一不足是密钥本身必须单独进行交换以使接收者能解密数据 如 果密钥没有以安全方式传送 它就很难保证信息安全 根据加密原理的不同对称 加密又可分析数据块加密方法和数据流加密方法 下面介绍其中的一些主要算法 a DES 最著名的对称密钥加密标准是数据加密标准 Data Encryption Standard 简称 DES DES 使用 56 位长度的密钥对 64 位的数据块进行反 复 16 次的加密 该算法最先由 IBM 提出 目前可用于商业和非商业领域 至 今已在银行业和其它一些领域用了二十余年 DES 算法曾经过广泛的分析和 测试 被认为是一种非常安全的系统 对于 DES 主要采用暴力攻击的方法 由于目前计算能力的提高 该算法已经不是最安全的 有两种主要的替代方 案 即 3DES 和 AES b 3DES 重复 3 次使用 DES 对数据进行加密 一次加密 一次解密 再一次加 密 因此密钥的长度达到了 168 位 但是目前一般使用的算法中 只有 2 次加密的密钥是一致的 因此密钥的长度为 112 位 目前这种加密方式是可 抵御暴力攻击的 但是美国法律禁止 112 密码算法的出口 c AES AES 最终会取代 DES 成为加密标准 该标准是美国国家技术与标准协 会 NIST 的建议标准 采用 Rijndael 算法 该算法可抵御目前为止所有的 攻击 设计简单 代码实现简单 速度快等特点 密钥长度可在 128 192 和 256 位自由选择 目前该算法正在接受广泛的测试和评估 国内已经有实现该 算法的产品 d Twofish 算法 最长密钥长度 256 位 加密数据块大小位 128 位 和 DES 一 样进行 16 次加密 并在加密之前和之后进行 XOR 运算 e IDEA 算法 使用 128 位密钥对数据进行 8 次加密 该加密算法的弱点在于 weak key 一般考虑下 只有 277而不是完全 128 位的复杂度 但是比 DES 要牢固 并且该算法的商业使用需要付专利使用费 目前该算法主要用 于 PGP 机制 f RC2 和 RC5 算法 RC2 和 RC5 方法是 RSA 数据安全公司的对称加密专利算 法 RC2 和 RC5 不同于 DES 它们采用可变密钥长度的算法 通过规定不同的 密钥长度 RC2 和 RC5 能够提高或降低安全的程度 一些电子邮件产品 如 LotusNotes 和 Apple 的 Opn Collaboration Environment 已采用了这些算法 g RC4 算法 是典型的数据流加密方式的算法 7 1 1 2不对称密钥加密 公钥加密 使用两个不同的密钥 一个用来加密信息 称为加密密钥 另一个用来解密信息 称为解密密钥 不对称加密与对称密钥加密相比 其优势在于不需要一把共享的 通用密钥 用于解密的私钥不发往任何地方 这样 即使公钥被截获 因为没有 与其匹配的私钥 截获的公钥对入侵者是没有任何用处的 不对称加密的另一个 用处是身份验证 如果某一方用私钥加密了一条信息 拥有公钥拷贝的任何人都 能对其解密 接收者由此可知道这条信息确实来自于拥有私钥的人一方 非对称 加密算法主要有 RSA DSA Diffie Hellman PKCS PGP 等 a RSA RSA 算法基于大数分解原理 算法的安全性主要取决于采用的大数究 竟有多大 在 1977 年由三个技术人员提出 他们的姓的首字母构成了该算法 的名称 该算法加密安全性很高 并且最近已经解除了出口限制 该算法的 一个不足是速度不够快 这也是公钥算法的一个通病 因此目前一般不采用 公钥算法加密传输数据的正文内容 而多用于传输对称密钥 b Diffie Hellman 加密 该算法允许用户双方透过某些不安全的渠道共享密钥而 无需事先确定密钥 因此可将其称为密钥交换协议 但是该算法容易受到第 三方的攻击 c 椭圆算法 Elliptic Curve EC 椭圆算法在 1986 年由 koblitz 提出 该算法 的性能很好 原因在于其可用很小的密钥长度达到很高的安全性能 据统计 160 位的 EC 密钥的安全性和 1024 位密钥的 RSA 算法相当 d 其它的算法还有 E1Gamal 和 Kerkle Hellman 等 7 1 1 3信息摘要 信息摘要将信息分成固定大小的数据块 并且源信息的一个微小变化都会对小数 据块产生很大的影响 同时没有办法通过生成的数据块直接恢复源数据 信息摘 要并不是一种加密机制 但却能产生信息的数字 指纹 它的目的是为了确保数 据没有被修改或变化 保证信息的完整性不被破坏 主要的算法包括 a MD4 和 MD5 是 Ron Rivest 设计的数据摘要算法 主要用于将需要签名的信 息生成摘要 MD2 用于 8 位计算机系统 而 MD4 和 MD5 则用于 32 位以上 的计算机系统 目前为止 MD4 已经不是完全的摘要算法 MD5 由 RSA 实验 室在 MD4 的基础上进行改进 尽管速度慢于 MD4 但是目前已经足够安全 MD5 的摘要长度为 128 位 b SHA 和 SHA 1 由 NIST 开放 和 MD4 类似 目前 SHA 也已经不够安全 SHA 1 则是其替代产品 具有更高的安全性 比之 MD5 SHA 1 速度更慢 但是由于数据摘要的长度有 160 位 所以安全性更好 7 1 2基本加密算法的相关规范 7 1 2 1加密要求 在考虑加密要求的时候 需要从投入产出的角度平衡考虑 因此并不要求对中国 石油的所有数据在所有的传输过程和存储过程中都要进行加密 而只是限于 a 要求在通过互联网传输非金融性质的敏感商业资料 包括商业合同 密码信息 用户信息等 的时候 如果没有采用安全的传输协议 例如 SSL 则必须采 用加密技术对数据进行加密 加密的算法必须上述列表中成熟的相对安全的 算法 例如 DES 算法 b 禁止传输仅经过加密的或者不经过加密的金融信息 资金流 而需要使用更 安全可靠的方式进行 例如数字证书 c 对于本地存储的敏感信息 例如地方公司电子商务管理员负责的合同文件 产 品目录等信息也必须采用加密的方式存储 d 对称加密与公开密钥加密方法中的私钥的密钥长度一般比较长 必须使用保密 模块来保存这些密钥 保密模块可是纯软件产品 纯硬件产品 软件和硬件 结合产品等 具体可采用的加密算法主要包括 算法类别算法类别实现的算法实现的算法 流加密算法 RC4 块加密算法DES 3DES RC2 RC5 IDEA AES 公开密钥算法 RSA EC 密钥交换算法 RSA 散列算法MD5 SHA1 7 1 2 2加密限制 中华人民共和国商用密码管理条例 规定国家对商用密码产品的科研 生产 销售和使用实行专控管理 任何单位或者个人只能使用经国家密码管理机构认可 的商用密码产品 不得使用自行研制的或者境外生产的密码产品 因此中国石油 必须采用由国家密码管理机构批准生产的生产单位生成的商用密码 目前为止 国内的很多厂商已经能够生产实现了大部分算法的密码产品 7 2电子商务交易安全机制 基于 1 7 1 1 规定的对称密钥加密 公开密钥加密以及数据摘要等基本安全技术和算 法 中国石油可在电子商务中采用以下几种安全技术来解决电子商务应用中遇到的 各种问题 采用数字信封技术保证数据的传输安全 采用数字签名技术进行身份认 证并同时保证数据的完整性 完成交易不可否认 采用口令字技术或公开密钥技术 进行身份认证 7 2 1成熟交易安全机制列举 7 2 1 1数字信封 数字信封技术结合了对称密钥加密技术和不对称密钥加密技术的优点 可克服对 称加密中对称分发困难和公开密钥加密中加密时间长的问题 使用不对称加密方 法反对双方进行数据通信时需要的对称密钥进行加密 这样即可保证对称密钥的 传输安全同时又因为采用了对称加密方法这就保证了数据传输的高效性 SSL 协 议的对称密钥就是通过类似的机制进行交换的 7 2 1 2数字签名 数字签名用来保证信息传输过程中信息的完整和提供信息发送者的身份认证和不 可抵赖性 使用公开密钥算法是实现数字签名的主要技术 在数字签名的过程中 使用数据摘要算法对信息生成信息摘要 然后使用公开密钥方法对信息摘要进行 加密 签名 接收者使用相同的摘要算法计算收到的信息的摘要 并和收到的 摘要进行比较从而确认收到的信息是否被修改 7 2 1 3认证管理机构 CA 公钥基础设施 PKI 数字证书 和时间戳 证书管理机构证书管理机构 Certificate Authority 简称 CA 是大型用户群体 如政府机关或 金融机构 所信赖的第三方 负责证书的颁发和管理 CA 通过向电子商务各参 与方发放数字证书 来确认各方的身份 保证在 INTERNET 及内部网上传送数 据的安全 及网上支付的安全性 公开密钥管理机制 PKI PKI 结合 X 509 标准中的认证框架 Authentication Framework 来实现密钥管理 通过 CA 把用户的公钥及其它标识信息捆绑在一 起 形成数字证书数字证书 从而在 INTERNET 上验证用户的身份 保证网上数据的保 密性和完整性 数字证书是一个经证书授权中心 CA 数字签名的 包含证书 申请者 公开密钥拥有者 个人信息及其公开密钥的文件 基于公开密