应用系统使用安全管理通则_030324_v3_fd

中国石油信息安全标准编号：中国石油天然气股份有限公司应用系统使用安全管理通则（审阅稿）版本号：V3审阅人：王巍中国石油天然股份有限公司应用系统使用安全管理通则I前言随着中国石油天然气股份有限公司（以下简称“中国石油”）信息化建设的稳步推进，信息安全日益受到中国石油的广泛关注，加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策和标准，并在集团内统一推广、实施。本规范是依据中国石油信息安全的现状，参照国际、国内和行业相关技术标准及规范，结合中国石油自身的应用特点，制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全相关标准与规范，提高中国石油信息安全的技术和管理能力。信息技术安全总体框架如下：《区域安全管理规范》《机房安全管理规范》《硬件设备管理规范》《网络安全管理规范》《通用安全管理标准》《数据和文档安全管理规范》《应用系统使用安全管理标准通则》《应用系统开发安全管理标准通则》《商业软件购买管理标准》《电子邮件安全管理规范》《Web系统安全管理规范》《电子商务安全规范》《防御恶意代码和计算机犯罪管理规范》《信息安全技术标准》物理环境安全管理硬件设备安全管理操作系统安全管理数据和文档安全管理应用系统安全管理网络安全管理概述通用网络安全管理规范内部网络安全管理规范外部网络安全管理规范认证管理通用标准通用安全管理标准概述授权管理通用标准加固管理通用标准加密管理通用标准日志管理通用标准系统登陆管理通用标准《操作系统安全管理规范》1）整体信息技术安全架构从逻辑上共分为7个部分，分别为：物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分，共有13本《规范》和1本《通用标准》。2）对于13个《规范》中具有一定共性的内容我们整理出了6个《标准》横向贯穿整个架构，这6个《标准》的组合也依据了信息安全生命周期的理论模型。每个《标准》都会对所有的《规范》中相关涉及到的内容产生指导作用，但每个《标准》应用在不同的《规范》中又会有相应不同的具体的内容。我们在行文上将这六个标准组合成一本《通用安全管理标准》单独成册。3）全文以信息安全生命周期的方法论作为基本指导，《规范》和《标准》的内容基本都根据认证——〉授权——〉内容安全——〉日志管理的理论基础行文。应用系统是整个信息系统的核心，不论系统的规模的大小，系统的技术复杂的程度，一个业务部门或业务单元的业务往往要依赖相关业务的应用系统来维持正常运作。因此应用系统的使用直接的关系到了企业业务运作的成效。如果应用系统在使用中由于用户的不当操作或来自外部的恶意攻击造成瘫痪，II应用系统使用安全管理通则则会严重的影响企业业务的运作。造成巨大的经济和信誉上的损失。《应用系统使用安全管理通则》就是希望通过对于应用系统使用进行相应的规范来确保应用系统的正常运作。从而确保企业的业务运作的正常和有效，并且通过对于应用系统的不断的改进和更新使之更加的符合业务上的各种需求，提高企业业务运作的效率。本规范由中国石油天然气股份有限公司提出。本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。起草单位：中国石油制定信息安全政策与标准项目组。应用系统使用安全管理通则III说明在中国石油信息安全标准中涉及以下概念：组织机构中国石油（PetroChina）指中国石油天然气股份有限公司有时也称“股份公司”。集团公司（CNPC）指中国石油天然气集团公司有时也称“存续公司”。为区分中国石油的地区公司和集团公司下属单位，担提及“存续部分”时指集团公司下属的单位。如：辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网（PetroChinaNet）指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上，进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。集团公司网络（CNPCNet）指集团公司所属范围内的网络。中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络，当提及“存续公司网络”时，指存续公司使用的网络部分。主干网是从中国石油总部连接到各个下属各地区公司的网络部分，包括中国石油总部局域网、各个二级局域网（或园区网）和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总部，不是利用专线，这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。地区网地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道可以是专线，也可以是拨号线路。局域网与园区网局域网通常指，在一座建筑中利用局域网技术和设备建设的高速网络。园区网是在一个园区（例如大学校园、管理局基地等）内多座建筑内的多个局域网，利用高速信道互相连接起来所构成的网络。园区网所利用的设备、运行的网络协议、网络传输速度基本相同于局域网。局域网和园区网通常都是用户自己建设的。局域网和园区网与广域网不同，广域网不仅覆盖范围广，所利用的设备、运行的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建设的。二级单位网络指地区公司下属单位的网络的总和，可能是局域网，也可能是园区网。专线与拨号线路从连通性划分的两大类网络远程信道。专线，指数字电路、帧中继、DDN和ATMIV应用系统使用安全管理通则等经常保持连通状态的信道；拨号线路，指只在传送信息时才建立连接的信道，如电话拨号线路或ISDN拨号线路。这些远程信道可能用来连接不同地区的局域网或园区网，也可能用于连接单台计算机。石油专网与公网石油专业电信网和公共电信网的简称。最后一公里问题建设广域网时，用户局域网或园区网连接附近电信部门信道的最后一段距离的连接问题。这段距离通常小于一公里，但也有大于一公里的情况。为简便，同称为最后一公里问题。涉及计算机网络的术语和定义请参见《中国石油局域网标准》。应用系统使用安全管理通则V目录1概述................................................................................62目标................................................................................63适用范围............................................................................64引用的文件或标准....................................................................75术语和定义..........................................................................86应用系统安装管理....................................................................96.1测试安全..........................................................................96.2版本管理安全.....................................................................107应用系统使用管理...................................................................137.1使用者身份识别管理...............................................................137.2基于人员职责的应用系统分级授权管理...............................................157.3安全运营管理.....................................................................167.4安全控制管理.....................................................................197.5应用系统安全日志管理和监控管理...................................................218应用系统维护管理规范...............................................................238.1备份管理规范.....................................................................238.2维护安全管理规范.................................................................238.3卸载处理管理规范.................................................................24附录1参考文献.......................................................................25附录2本规范用词说明.................................................................276应用系统使用安全管理通则1概述应用系统的概念是将技术与用户业务上的实际需求结合在一起，直接面对使用者、用于支持用户更快更好更有效的完成实际工作的集成的人机交互系统。应用系统是建立在物理硬件系统、软件操作系统之上的信息系统。根据应用系统完成目标和服务对象的不同目前主要分为以下几种类型：业务处理系统、职能信息系统、组织信息系统和决策支持系统。本《通则》通过对各种类型的应用系统在使用过程中面临的各种与安全相关的并且具有一定通用性的问题进行阐述。从应用系统安装实施到使用到最后的维护报废的各个阶段入手，对应用系统使用中的安全问题加以相应的规范，确保应用系统在使用中的安全管理。2目标本规范的目标为：保护应用系统在使用的各个阶段的安全。具体来说就是保护应用系统安装实施中的安全，保证应用系统在使用中的安全和在维护和报废过程中的安全。并使得应用系统不断的符合中国石油的实际业务需求和安全管理上的需求。使应用系统更好的为中国石油的业务发展服务。3适用范围本套规范适用的范围包括了所有在应用系统使用过程中相关的安全问题和安全事件。具体来说包括了应用系统安装过程中的安全问题，使用中的安全问题和维护报废过程中的安全问题，同时也包含了应用系统使用中版权的管理问题。本通则面向所有的应用系统的使用者、应用系统的维护和开发人员以及企业内部信息安全的管理人员和技术人员。应用系统使用安全管理通则74引用的文件或标准下列文件中的条款通过本标准的引用而成为本标准的条款。凡是不注日期的引用文件，其最新版本适用于本标准。1.GB17859-1999计算机信息系统安全保护等级划分准则2.GB/T9387-1995信息处理系统开放系统互连基本参考模型（ISO7498:1989）3.GA/T391-2002计算机信息系统安全等级保护管理要求4.ISO/IECTR13355信息技术安全管理指南5.NIST信息安全系列——北美信息标准组织安全规范6.NIST信息安全系列——美国国家标准技术院7.英国国家信息安全标准BS77998.信息安全基础保护ITBaselineProtectionManual(Germany)9.BearingPointConsulting内部信息安全标准10.RUSecure安