中国石油天然气股份有限公司安全管理规范(试行)
中国石油天然气股份有限公司
安全管理规范(试行)
石油科字〔2003196
   
随着中国石油天然气股份有限公司(以下简称“中国石油”)信息化建设的稳步推进,信息安全受到广泛的关注。加强企业信息安全管理政策和技术标准的建设成为中国石油信息技术战略顺利实施的重要保障。
依照《中国石油天然气股份有限公司信息技术总体规划》,中国石油制定了本套中国石油天然气股份有限公司信息安全技术标准。本标准体系架构参照了国际、国内和相关行业的同类技术标准及规范,结合了中国石油总部及下属的勘探与生产、炼油与销售、化工与销售、天然气与管道四个专业板块信息安全现状和业务特点,充分考虑了中国石油未来的业务发展对信息安全的需求,目的在于通过建立相关的信息安全标准与规范,提高中国石油信息安全的整体技术水平和管理能力。
中国石油信息安全技术标准总体架构如下:
信息安全技术标准总体框架
整个安全标准技术架构从逻辑上共分7个部分,分别为:物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用标准等。
安全标准共由14本“规范”组成。
安全标准以“信息安全生命周期方法论”作为基本理论指导。
本文——《中国石油天然气股份有限公司安全管理规范(试行)》制定了在系统运营、使用和管理各个重要环节中与安全相关的控制措施和规范要求。
本规范由中国石油天然气股份有限公司提出。
本规范由中国石油天然气股份有限公司科技与信息管理部归口管理。
本规范由中国石油制定信息安全政策与标准项目组起草。
1  安全管理规范概述
1.1  概述
作为最常用的信息交换手段和通讯方式,已成为不可或缺的通讯工具。系统已成为信息系统的基础设施之一。为保护系统安全可靠运行,保护企业信息交流和通讯的可用性和安全性,从而保障信息系统的安全,特制定本规范。
本规范从的技术、管理和使用三方面提出安全规范,包括邮件系统安全(服务器、客户端、邮件内容、系统运行维护等)、账号管理(命名规范、口令、开户/注销等)
和用户使用安全等。
1.2  目标
保障系统安全、可靠运行,即保护系统的可用性;保护的机密性和完整性;规范用户安全使用。
1.3  适用范围
本标准规定了邮件系统的技术、管理和使用的安全。
本标准适用于系统的安全维护和管理、用户的安全使用和管理。
1.4  规范引用的文件或标准
下列文件中所包含的条款,通过本标准的引用而成为本标准的条款。本标准出版时,所示版均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
【公司标准/管理规定】
1.中国石油天然气股份有限公司系统运行管理规范(试行)
【国家标准】
1. GB 17859-1999  计算机信息系统安全保护等级划分准则
2. GAT390温州旅游景点大全-2002  计算机信息系统安全等级保护通用技术要求
【国外相关标准】
1. ISO 17799
2. IT Baseline Protection Manual (Germany
3. ISO 15408 (“Common Criteria”
工行金卡4. NIST 美国国家标准技术委员会系列丛书

第2章  系统安全
2.1  服务器安全
2.1.1  物理安全
2.1.1.1  物理安全是整个企业系统安全的基础。
2.1.1.2  系统物理安全是保护系统物理设备免遭环境事故、人为操作失误及各种计算机犯罪行为等所导致的破坏,确保邮件服务器及相关设备的可用性和完整性。其中包括:
a)应将邮件服务器放置在机房环境中,机房安全标准必须符合《中国石油天然气股份有限公司机房安全管理规范(试行)》。
b)中心站点应采取机房和机柜的两层物理保护。
c)主要设备应采用冗余备份。
d)邮件服务器应采用双电源设计,应配备UPS不间断电源。
e)不宜直接访问邮件服务器的光驱、软盘。
f)对具有USB接口的邮件服务器设备,应在BIOS中设置禁用USB以及其它不被使用的端口设备,例如并口、不被使用的串口等。
g)相应的网络设备也应保证可靠和安全,防止意外造成的网络故障。
h)其它物理和环境安全规范参照《中国石油天然气股份有限公司硬件设备安全管理规范(试行)》和《中国石油天然气股份有限公司机房安全管理规范(试行)》。
2.1.2  网络基础设施安全
(有关网络基础设施安全可参照《中国石油天然气股份有限公司网络安全管理规范(试行)》)。
2.1.2.1  邮件服务器的网络位置
不应将公用邮件服务器与股份公司内部网络应用放在同一安全域中,否则会威胁内部网络安全。邮件服务器的网络位置应遵照《中国石油天然气股份有限公司系统技术方案设计》的要求摆放并连接设置。
2.1.2.2  DMZ非军事区模式
a)将邮件转发服务器设置在DMZ中,以减小安全风险;
b)应根据业务特点和安全需求选择适合的DMZ模式,参考如下:
2.1.2.3  邮件网关
为提高邮件服务器的安全级别,提供多一层的保护方式,使用邮件网关作为连接Internet 和真正邮件服务器的代理,避免Internet与邮件服务器的直接通讯。如图2-2所示。
2.1.2.4  防火墙的安全规则配置
a防火墙、路由器、入侵检测(IDS)和交换机作为网络的基础设施在企业信息安全中担当了重要角,如果配置不当也会成为安全漏洞或被攻击的弱点,应根据安全策略严格配置规则选项。
b)邮件服务器的安全应依赖于网络基础设施的整体安全,而不应仅依赖单一要素,如防火墙,应使用安全组件组合方式使安全效果达到最佳。
c)邮件服务器是企业最易受攻击的目标之一,路由器和防火墙作为邮件服务器的第一道防线,除开放下列端口满足对邮件服务器的访问外,应关闭其它端口对邮件服务器的访问:
  TCP 25  端口(SMTP);
火焰之纹章封印之剑  TCP 110 端口(POP3);
  TCP 143 端口 (IMAP);
  TCP 398 端口(轻量级目录访问协议〔LDAP〕);
  TCP 636 端口(安全LDAP)。
d)内部防火墙应阻断外部POP3协议,禁止内部用户通过伤残等级鉴定POP3方式接受企业外部邮箱的邮件。
2.1.2.5  入侵检测系统(IDS
a)应根据需要部署基于主机和基于网络的入侵检测系统(IDS)。
b)基于网络的IDS可以同时监控多个主机和网段,可以发现更多基于网络的攻击类型,并且容易对正在进行的网络攻击提供一个全面的视图。
cIDS必须经常更新网络攻击的特征数据库(例如每周一次),以使它们可以检测新的攻击。
d)为了保护邮件服务器,必须确保配置IDS完成以下功能
  监控进出邮件服务器的网络通信;
  监控邮件服务器上重要文件的修改(基于主机或者文件完整性检查器);
  监控在邮件服务器上可用的系统资源(基于主机);
  与防火墙一起屏蔽攻击网络的IP地址或子网;
  把发生的攻击通知网络管理员或者邮件服务器管理员;
  尽可能检测到网络扫描和攻击,同时不产生太多的误报;
  记录事件日志,包括以下的细节:
1)时间/日期
2)攻击者的IP地址
3)攻击手段的标准名称
4)源和目标的IP地址
5刺客加点)源和目标的端口号
6)攻击使用的网络协议
2.1.2.6  日志文件审计要求
a)应记录并保存网络设备的日志文件供检查和审计使用。
b)网络设备的相关设置和日志应使用专用的备份机制进行备份(如专用磁带机备份),不应将网络设备的日志文档备份在联网的服务器上。
c)应由专人负责定期查看路由器、防火墙、入侵检测等网络设备的日志文件,并对日志进行分析,给出分析统计报告。
d)应由专人查看警告信息,并对警告信息进行分析处理。
e)对网络安全事故进行分级,并对每次发生的安全事故进行分析处理,作出分析处理报告和漏洞修补建议,避免类似事故发生。
d)总部和各下属企业应建立应急事件响应流程,保证公司能够快速处理安全应急事件。
2.1.3  操作系统的安全
2.1.3.1  操作系统加固(见图2-3操作系统安全加固流程)
  操作系统漏洞确认流程
赖组词语系统管理员通过检查事故日志报告、查系统漏洞,检索企业内部的弱点漏洞资源库,搜索供应商和其他权威组织(如CVE标准)发布的最新漏洞修补公告,确认系统漏洞。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。