应用系统使用安全管理通则030324v3fd.docx

《应用系统使用安全管理通则030324v3fd.docx》由会员分享，可在线阅读，更多相关《应用系统使用安全管理通则030324v3fd.docx（27页珍藏版）》请在课桌文档上搜索。

1、应用系统使用安全管理通则030324v3fd编号:PetroChllIaIB亘”滥Tl中国石油天然气股份有限公司应用系统使用安全管理通则（批阅稿）BearinsPointfr.3照名举马威戏咨询毕博版本号：V3批阅人：王巍中国石油天然股份有F艮公司随着中国石油天然气股份有限公司（下列简称“中国石油”）信息化建设的稳步推进，信息安全日益受到中国石油的广泛关注，加强信息安全的管理与制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策与标准，并在集团内统一推广、实施。本规范是根据中国石油信息安全的现状，参照国际、国内与行业有关技术标准及规范，结合中国石油自身的应用特点

2、，制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全有关标准与规范，提高中国石油信息安全的技术与管理能力。信息技术安全总体框架如下：提作系统1I故剧和文档 安奉府理J 1安全管理物理环境（帙件设备 安全管胤J jfcwreJ同用系统安,佶.安全技术标I1）整体信息技术安全架构从逻辑上共分为7个部分，分别为：物理环境、硬件设备、网络、操作系统、数据与文档、应用系统与通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分，共有13本规范与1本通用标准。2）关于13个规范中具有一定共性的内容我们整理出了6个标准横向贯穿整个架构，这6个标准的组合也根据了信息安全

3、生命周期的理论模型。每个标准都会对所有的规范中有关涉及到的内容产生指导作用，但每个标准应用在不一致的规范中又会有相应不一致的具体的内容。我们在行文上将这六个标准组合成一本通用安全管理标准单独成册。3）全文以信息安全生命周期的方法论作为基本指导，规范与标准的内容基本都根据认证一一）授权一一内容安全日志管理的理论基础行文。应用系统是整个信息系统的核心，不论系统的规模的大小，系统的技术复杂的程度，一个业务部门或者业务单元的业务往往要依靠有关业务的应用系统来维持正常运作。因此应用系统的使用直接的关系到了企业业务运作的成效。假如应用系统在使用中由于用户的不当操作或者来自外部的恶意攻击造成瘫痪，则会严重的

4、影响企业业务的运作。造成巨大的经济与信誉上的缺失。应用系统使用安全管理通则就是希望通过关于应用系统使用进行相应的规范来确保应用系统的正常运作。从而确保企业的业务运作的正常与有效，同时通过关于应用系统的不断的改进与更新使之更加的符合业务上的各类需求，提高企业业务运作的效率。本规范由中国石油天然气股份有限公司提出。本规范由中国石油天然气股份有限公司科技与信息管理部归口管懂得释。起草单位：中国石油制定信息安全政策与标准项目组。在中国石油信息安全标准中涉及下列概念：组织机构中国石油（PetroChina）指中国石油天然气股份有限公司有的时候也称“股份公司二集团公司（CNPC）指中国石油天然气集团公司有

5、的时候也称“存续公司”。为区分中国石油的地区公司与集团公司下属单位，担提及“存续部分”时指集团公司下属的单位。如：辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网（PetroChinaNet）指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上,进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网与园区网。集团公司网络（CNPCNet）指集团公司所属范围内的网络。中国石油的一些地区公司是与集团公司下属的单位共用一个计算机网络，当提及“存续公司网络”时，指存续公司使用的网络部分。主干网是从中国石油总部连接到各个下属各地区公司的

6、网络部分，包含中国石油总部局域网、各个二级局域网（或者园区网）与连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总部，不是利用专线，这样的单位与所使用的远程信道不属于中国石油专用网主干网构成部分。地区网地区公司网络与所属单位网络的总与。这些局域网或者园区网互相连接所使用的远程信道能够是专线，也能够是拨号线路。局域网与园区网局域网通常指，在一座建筑中利用局域网技术与设备建设的高速网络。园区网是在一个园区（比如大学校园、管理局基地等）内多座建筑内的多个局域网，利用高速信道互相连接起来所构成的网络。园区网所利用的设备、运行的网络协议、网络传输速度基本相同于局域网。局域网与园区网通常都是

7、用户自己建设的。局域网与园区网与广域网不一致，广域网不仅覆盖范围广，所利用的设备、运行的协议、传送速率都与局域网与园区网不一致。传输信息的信道通常都是电信部门建设的。二级单位网络指地区公司下属单位的网络的总与，可能是局域网，也可能是园区网。专线与拨号线路从连通性划分的两大类网络远程信道。专线，指数字电路、帧中继、DDN与ATM等经常保持连通状态的信道；拨号线路，指只在传送信息时才建立连接的信道，如电话拨号线路或者ISDN拨号线路。这些远程信道可能用来连接不一致地区的局域网或者园区网，也可能用于连接单台计算机。石油专网与公网石油专业电信网与公共电信网的简称。最后一公里问题建设广域网时,用户局域网

8、或者园区网连接邻近电信部门信道的最后一段距离的连接问题。这段距离通常小于一公里，但也有大于一公里的情况。为简便，同称之最后一公里问题。涉及计算机网络的术语与定义请参见中国石油局域网标准。1 概述62 目标63 适用范围64 引用的文件或者标准75 术语与定义86 应用系统安装管理96.1 测试安全96.2 版本管理安全107 应用系统使用管理137.1 使用者身份识别管理137.2 基于人员职责的应用系统分级授权管理157.3 安全运营管理167.4 安全操纵管理197.5 应用系统安全日志管理与监控管理218 应用系统保护管理规范231 .1备份管理规范238 .2保护安全管理规范238.3

9、卸我处理管理规范24附录1参考文献25附录2本规范用词说明271 概述应用系统的概念是将技术与用户业务上的实际需求结合在一起，直接面对使用者、用于支持用户更快更好更有效的完成实际工作的集成的人机交互系统。应用系统是建立在物理硬件系统、软件操作系统之上的信息系统。根据应用系统完成目标与服务对象的不一致目前要紧分为下列几种类型：业务处理系统、职能信息系统、组织信息系统与决策支持系统。本通则通过对各类类型的应用系统在使用过程中面临的各类与安全有关的同时具有一定通用性的问题进行阐述。从应用系统安装实施到使用到最后的保护报废的各个阶段入手，对应用系统使用中的安全问题加以相应的规范，确保应用系统在使用中的

10、安全管理。2 目标本规范的目标为：保护应用系统在使用的各个阶段的安全。具体来说就是保护应用系统安装实施中的安全，保证应用系统在使用中的安全与在保护与报废过程中的安全。并使得应用系统不断的符合中国石油的实际业务需求与安全管理上的需求。使应用系统更好的为中国石油的业务进展服务。3 适用范围本套规范适用的范围包含了所有在应用系统使用过程中有关的安全问题与安全事件。具体来说包含了应用系统安装过程中的安全问题，使用中的安全问题与保护报废过程中的安全问题，同时也包含了应用系统使用中版权的管理问题。本通则面向所有的应用系统的使用者、应用系统的保护与开发人员与企业内部信息安全的管理人员与技术人员。引用的文件或

11、者标准下列文件中的条款通过本标准的引用而成为本标准的条款。凡是不注日期的引用文件,其最新版本适用于本标准。1. GB17859-1999计算机信息系统安全保护等级划分准则2. GB/T9387-1995信息处理系统开放系统互连基本参考模型(ISo7498:1989)3. GATT391-2002计算机信息系统安全等级保护管理要求4. ISO/IEeTRl3355信息技术安全管理指南5. NlST信息安全系列一北美信息标准组织安全规范6. NlST信息安全系列美国国家标准技术院7. 英国国家信息安全标准BS77998. 信息安全基础保护ITBaselineProtectionManual(Ger

12、many)9. BearingPointConsulting内部信息安全标准10. RUSecure安全技术标准11. 信息系统安全专家丛书CertificateInformationSystemsSecurityProfessional5 术语与定义认证a.验证用户、设备与其他实体的身份；b.验证数据的完整性。可用性availability数据或者资源的特性，被授权实体按要求能及时访问与使用数据或者资源。保密性confidentiality数据所具有的特性，即表示数据所达到的未提供或者未泄露给未授权的个人、过程或者其他实体的程度。完整性integrity在防止非授权用户修改或者使用资源与防止

13、授权用户不正确地修改或者使用资源的情况下,信息系统中的数据与在原文档中的相同，并未遭受偶然或者恶意的修改或者破坏时所具的性质。数字签名digitalsignature添加到消息中的数据，它同意消息的接收方验证该消息的来源。加密encryption通过密码系统把明文变换为不可懂的形式。身份认证identityauthentication使信息处理系统能识别出用户、设备与其他实体的测试实施过程。密钥key操纵加密或者解密操作的位串。漏洞loophole由软硬件的设计疏忽或者漏洞导致的能避过系统的安全措施的一种错误。恶意代码InaliCiOUSeOde在硬件、固件或者软件中所实施的程序，其目的是执行

14、未经授权的或者有害的行动。不可抵赖性non-repudiation信息系统中涉及的若干个实体中的一个对曾参与全部或者部分通信过程不能否认的特性。口令password用来鉴别实体身份的受保护或者秘密的字符串。安全策略securitypolicy规定机构如何管理、保护与分发敏感信息的法规与条例的集合。验证verification将某一活动、处理过程或者产品与相应的要求或者规范相比较。例：将某一规范与安全策略模型相比较，或者者将目标代码与源代码相比较。6 应用系统安装管理规范6.1 测试安全随着业务的进展，不断有新的应用系统投入使用，在应用系统正式投入使用之前务必进行测试以保证系统的安全与可靠，并符

15、合企业的有关安全管理规范。关于应用系统的测试应遵从下列几个方面进行有关的规定：a）在测试之前务必预先提出申请。通常由应用系统的使用部门中负责系统管理的有关人员向部门领导提出测试的申请，并注明测试的原因、目的，时间，项目等。假如需要用真实的业务数据进行测试还需要进一步向公司信息安全部门确认并事先做好数据的保密工作。b）明确参与测试的人员与人员的职责。参与测试的人员务必通过一定的筛选，通常由系统的开发人员或者系统供应商的技术支持人员与公司有关业务部门的系统保护人员与系统使用者共同参与。c）应编写全面的测试计划。在测试的申请得到批准的前提下，编写全面的测试计划书，包含测试的物理环境要求，硬件与软件环

16、境的要求，测试数据的准备，特别是假如使用真实的业务数据务必考虑数据的保密措施或者对数据进行一定的数学处理。d）应预先准备有关的测试环境。根据测试计划，准备相应的环境、设备与数据，并对环境与设备进行一定的检测，以确保在测试的过程中不可能因应用环境或者硬件的问题影响测试的结果。e）进行测试。测试不得影响正常的业务运作。假如客观上无法避免影响，也务必将测试的时间安排在工作时间以外，或者尽量缩短测试的时间以减少对业务造成的影响。通常将测试分为阶段性测试与完整性测试。测试的内容通常包含了下列几部分：应用系统安装测试，确认系统能在各类环境下正常的安装。A应用系统应用模块测试，确认应用系统各个功能模块的运行

17、正常。应用系统整体测试，确认应用系统各个功能模块之间的接口与交互正常。应用系统数据吞吐量测试，确认应用系统所能负载的数据量的极限。应用系统兼容性测试，确认系统与其他系统之间没有兼容性问题。应用系统用户需求测试，确认系统功能能够达到用户的需求。f）检验阶段性或者完整性测试报告。根据测试报告的内容对系统进行进一步的调整与更换，使得系统最大限度的满足业务的需求。6.2 版本管理安全6.2.1 版本使用应用系统的版本使用有关的安全措施应遵从：a）务必规定应用系统的使用范围与使用者权限，确保应用系统仅在授权使用的范围内进行，任何形式的越权使用都将由于违反了该项规定而需要受到一定的惩处。具体而言宜使用下列

18、实施的步骤：定期检查所有的用户系统上己经安装的应用系统。确认如用户系统上安装了不应安装的应用系统或者超出许可拥有版权数量以外的应用系统应立即予以清除并销毁。确认如用户系统上安装了的非法版权的或者盗版的应用系统应立即予以清除并销毁。b）应用系统的使用者应同意适当的使用培训与安全规范教育，确保系统的使用者能够正确的使用系统，尽量减少由于对系统不熟悉而造成的抵触情绪与由于误操作造成的缺失。C）应建立与应用系统版本使用情况有关的文档管理制度与软件分发制度。确认目前所有的应用系统有效版本数。d）务必防止应用系统软件被盗用、流失与越权使用。e）务必严格地集中操纵应用系统的购买申请，杜绝重复购买的现象。f）

19、应使用版本统一的应用系统软件。g）应采取有效的措施，防止对应用软件的非法访问及修改。h）技术人员不得擅自对软件本身进行修改与参数调整。6.2.2 版权操纵应用系统使用过程中应注意关于版权的管理与操纵，通常关于版权的问题要紧从两个方面入手进行管理：6.2.2.1防范系统的非法拷贝防范系统的非法拷贝能够从技术的角度与人员管理的角度两方面进行操纵：a）从技术的角度是指应用系统的开发人员I可通过使用某种加密的办法与措施，使得非法的用户无法顺利的安装应用系统，以防止应用系统的非法扩散，从而保护开发者的利益。b）从人员管理的角度是指应用系统的使用者应明白应用系统的开发过程是耗资巨大且非常困难的，应尊重应用

20、系统开发人员的劳动成果。从使用者意识的角度进行规范，并明文规定如非法拷贝系统将受到一定的惩处。6.2.2.2防范使用非法版权（如盗版）的软件关于盗版软件使用的防范通常通过“教育”加“检查”的方式进行规范。a）应加强对系统使用人员的教育，提升人员的版权保护意识。让有关人员意识到使用盗版软件是一种侵权行为，也是一种偷窃行为。b）公司的强制性规定。应明文规定禁止使用任何形式的非法版权的应用系统或者软件。一旦发现将严肃处理。C）应通过不定期的突击检查的方式，随时随机地检查某些用户使用的计算机系统中安装的各类应用系统软件。一旦发现使用非法版权的系统将予以严肃处理。7 应用系统使用管理规范7.1 使用者身

21、份识别管理7.1.1 用户账号管理a）应确保每一位应用系统的使用者只拥有一个属于自己的独立的账号，该账号直接关系到该用户在整个应用系统中的有关的权限。不得在应用系统中设立虚假的账号或者无人使用的账号。b）账号的申请与建立务必严格按照“一个人一个账号”的原则。c）应用系统应提供有关的机制为每个账号与其他的个人有关信息有所联系。如人员的真实姓名、联系方式，所在部门等。d）在通常情况下禁止建立用户组账号（即同一个账号能够由许多不一致的用户登陆使用）。除非情况十分特殊，则务必由有关的应用系统管理部门连同安全管理部门共同认可。e）系统正式投入运行后应立马上系统中的“Guest”与类似的系统自带或者内置缺

22、省的账户删除。O应用系统在同意用户在使用系统中的某种重要功能之前，应要求用户提供其账号以确认身份。g）应用系统应能够保护一份含有所有当前使用的用户及其有关状态信息的列表。h）应用系统应提供有关机制来临时关闭或者打开用户的账号。i）应用系统应提供有关的机制来限制同一个账号同时登陆的个数。j）应用系统应严格地操纵各级管理员（AdminiStmtor）账号或者根（ROot）账号，所有的系统管理员应先通过他们自己的账号登陆系统，然后再切换到管理员（Administrator）账号或者根（ROot）账号。k）应用系统应将在60天内没有使用过的用户账号暂时禁用。假如该账号在90天内没有使用过或者有关的部门

23、正式通知该账号已经作废，则需将该账号从系统中删除（在正式删除之前应向该用户发送一份通知）。用户可在业务需要且经部门的领导同意的情况下申请建立新的账号，或者将已经被禁用的账号恢复。7.1.2 用户口令管理a）应用系统应提供一种机制确保每一个使用系统的人员都务必先通过系统登陆，如输入用户名与口令的过程。禁止出现能够不通过系统登陆直接进入应用系统的情况。b）应用系统应至少支持“用户名+口令”的系统认证方式，也可使用如“动态密码卡+个人识别码”的认证方式。c）应用系统关于口令的操纵应符合“口令管理标准”中规定的有关规范。d）应用系统应同意用户自行在系统中更换自己的口令。但这种更换务必建立在用户已经通过

24、了系统关于其本人身份的认证的基础之上。且系统应强制规定用户不能够为其本人以外的其他用户更换口令。e）应用系统的口令应以密文的形式存放在系统中，且口令在传输的过程中务必进行一定的加密措施以确保口令的保密性与完整性。f）当用户连接上应用系统但在一定的时间内（建议10分钟）没有使用，则系统应自动将该用户与系统的会话切断，当用户希望继续对应用系统进行操作时务必重新输入密码。g）用户成功的登陆系统后，应用系统宜将登陆的时间，日期与用户的位置与用户上次成功登陆系统之后登陆失败的次数显示在登陆的界面上。h）系统应提供一种机制保证当用户连续5次登陆失败后系统会自动将用户的账号锁定，且通知系统管理员。i）应用系

25、统应强制用户在第一次登陆系统后务必更换当前的系统初始口令，同样当出现用户不记得或者遗失口令的情况系统管理员会帮助用户重新设置临时口令，用户在第一次使用临时口令时系统应强制用户务必更换临时口令后才能登陆系统。j）应用系统中所有的自带的或者缺省的口令务必在系统正式使用之前全部从系统中删除。k）应用系统应强制用户每隔一定的时间（如60天）修改用户的登陆口令。1）应用系统应保留用户之前5次使用的口令以确保用户的口令不可能与前次重复。m）应用系统的账号与口令管理务必严格的操纵访问的权限，通常只能是系统的管理员才有权限进行访问与管理。11）应用系统的口令输入界面务必提供口令自动密文转换的功能。0）口令文件

26、应与系统的程序分开单独加密存放。7.2 基于人员职责的应用系统分级授权管理a）应用系统应只同意通过认证的用户、程序模块或者其他的应用系统访问，任何未经授权的访问都应被阻挡在外。b）内部员工应用系统授权管理规范能够参照下列流程：根据人事系统中员工的情况授予其相应的应用系统使用的权限与承担的责任。以书面的方式将员工的权限与相应的责任提交给员工本人。根据员工权限与责任的大小确认是否需要签署有关的保密协议。在日常工作中记录员工的有关应用系统访问日志信息员工一旦离职或者调动岗位应立即收回或者调整其应用系统有关的访问的权限。C）应用系统应提供通过将用户分组的方式定义用户的权限策略，比如关于同一类型的用户，

27、这些用户可能具有某些共同的属性如属于同一业务单元、或者在地理位置上相同或者者在同一个项目中，使得这些用户在系统中具有相同的权限。因此能够通过关于同一组的用户给予同样的权限制定与使用同样的安全策略。大大降低安全策略实施的复杂度。d）应用系统应支持关于敏感的系统或者交易处理提供双重身份认证机制。e）应建立应用系统的安全管理机构，负责应用系统安全有关的日常事务工作。要紧负责与应用系统安全有关的规划、建设、资源利用与事故处理等方面的决策与实施。f）应用系统的安全管理机构的有关人员至少要求两个人或者以上，禁止将系统的安全管理职责给予一个人。务必建立相互监督的安全管理机制。g）所有的用户的有关权限务必定期

28、（每六个月）进行审计评估，安全管理人员的权限务必定期（每三个月）进行审计评估。7.3 安全运营管理应用系统在运营使用中的安全也相当重要，由于各个应用系统的功能，使用情况都各不相同。不可能根据各个不一致的应用系统本身的特点进行安全上的阐述。因此应用系统的安全运营管理要紧从系统通用的安全性：保密性、完整性与不可抵赖性三个方面进行阐述。7.3.1 系统保密性管理所谓应用系统的保密性是指防止应用系统的有关信息泄漏给未经授权的用户、实体或者进程，须遵守下列规范：a）关于所有的非公共的数据传输或者存储数据在企业安全管理范围以外的情况都应对有关的数据进行加密的保护。b）关于非常敏感的数据不管在何种情况下都务

29、必进行加密。C）应用系统应使用公司标准的加密方法与加密机制。d）保护关键密钥，确保只有通过授权的人才能得到。e）设计与实施加密系统时应确保没有人能够完全熟悉或者操纵加密主密钥的有关信息。f）应保护与密钥有关的各类资料，包含软件版本与硬拷贝。g）禁止将密钥转换成明文。7.3.2 系统可用性管理可用性是指保证应用系统能够持续地被授权的应用实体访问并按照有关业务的需求进行使用，须遵守下列规范：a）所有的加密机制应提供重创建机制、恢复机制，禁止应用系统在任何情况下拒绝对用户进行服务。b）应能够提供备份机制确保当应用系统出现问题时及时地恢复。c）根据业务的需求建立数据备份的日程表，假如业务上没有明确的需

30、求则每天进行一次增量的备份，一周进行一次全量的备份。d）对应用系统数据集中存放的情况宜采取远程备份与灾难恢复的策略。e）关于备份在备份介质如磁带上的数据应定期（隔6个月）进行一次检测确保数据还能够被恢复。7.3.3 系统完整性管理完整性是指应用系统信息在未经授权的情况下不得被改动的特性，须遵守下列规范：a）应用系统尽管不可避免的会存在一定的安全风险，但应尽可能的将应用系统自身的安全风险降到最低。b）应对应用系统的全面设计进行分析来推断是否真正达到了企业所要求的安全规范。c）应用系统的开发应尽量使用安全的开发环境。d）应用系统的测试环境与开发环境务必分离。e）开发人员应明确自己的开发的任务与相应

31、的安全责任。f）所有开发的代码都务必能够通过设计文档进行回朔，确认每行代码最终的业务需求。g）应用系统应提供有关的验证机制或者流程确保应用系统自身没有被非法的修改。h）应用系统中所有的安全特性都务必通过功能性测试，安全测试应被列为系统整体测试的一个重要的部分。所有安全有关的测试问题都务必被完善的解决。i）应用系统应提供严格的访问操纵机制以确保系统不可能被未经授权的人访问，修改或者删除信息。j）在数据传输的过程中，应用系统中信息敏感的关键数据应进行加密的保护以确保完整性。k）应用系统应自动生成日志信息以供日后审计使用。1）应用系统应保留所有的访问的日志记录，包含用户的访问，系统的访问。记录有关的

32、访问日期，访问时间与访问者有关信息。7.3.4 系统不可抵赖性管理规范不可抵赖性也被称之为不可否认性，要紧是指信息在交换的过程中，确认参与者的身份的真实性与可靠性与参与者操作的不可否认性，须遵守下列规范：a）不可抵赖性服务应被用在当业务需要证明其交易信息或者承诺具有相当的权威性与法律的效应。如数字签名技术等。b）应用系统应能够安全地记录下准确的时间信息、证明信息与确认信息。c）不可抵赖性服务应被用作应用层协议。7.3.5 系统基于的系统环境与硬件安全管理7.3.5.1 硬件安全a）确保应用系统基于的硬件设备、网络通讯传输与相应的物理环境的安全，以防止应用系统遭到未经授权的非法访问。b）确保用户

33、在家里或者其他非企业有关的环境里办公所使用的计算机设备，网络传输的安全。特别是当用户在对某些敏感系统进行作业时。7.3.5.2 恶意代码防护确保企业内部所有的应用系统都在公司统一的恶意代码保护系统的保护之下，关于恶意代码保护系统的有关规范的细节请参见防御恶意代码与计算机犯罪管理规范7.4 安全操纵管理为了防止应用系统中用户数据的丢失、修改或者错误的使用，应用系统应建立适当的操纵，确保关于应用系统数据的输入、内部处理与输出进行一定的确认。7.4.1 对输入数据的确认应用系统容易受到有意或者意外的无效数据的攻击，这会导致系统故障、数据滥用或者通过系统本身安全漏洞进行欺诈犯罪等事件的发生。因此企业务

34、必使用数据确认操纵将数据的输入范围操纵在一个合理的范围内，即限制在系统有效处理能力之内。数据输入方法的举例：a）应通过双重输入或者其他输入推断下列错误:超过范围的数值数据区中的无效字符丢失或者不完整的数据超出数值的上下极限值未经许可的或者不一致的数据b）应定期评审关键的数据文件的内容，确保其有效性与完整性。C）应检查硬拷贝的输入文件，确保输入的数据没有通过任何未经授权的更换。d）应建立错误数据的响应程序。e）应建立程序关于可怀疑的数据进行进一步检查。f）应规定数据输入过程中所涉及的所有的人员的职责。7.4.2 关于数据内部处理的操纵已经正确地输入的数据也可能由于处理的错误或者人为的改动而被破坏

35、，因此为了保证数据在处理的过程中的安全性，应对数据处理进行操纵，包含：a）批处理操纵，确保事务更新后保持数据文件的平衡一致。b）确认系统产生的数据的正确性。c）确认数据传输过程中的完整性。d）检查确保应用系统运行的时间正常。e）检查确保应用系统运行的顺序正常。7.4.3 关于输出的数据进行确认尽管系统的输入是正确的，但输出仍然可能是错误的或者是通过非法修改的。为确保输出信息的正确性，应对输出的数据进行确认，要紧包含：a）可信性检查，确认输出的数据是否合理。b）数据一致性检查。c）响应输出确认测试的程序。d）数据输出过程中有关人员的责任。7.4.4 使用信息检验技术确保信息内容的完整性信息验证是

36、指用户关于信息在传输过程中为避免遭到未经授权的访问及破坏而进行测试的一种技术，要紧是针对主动攻击中的信息篡改与伪造，使得接收方得到的信息不正确。这种检测能够通过软件与硬件结合的方式实现。宜使用加密的办法达到关于信息进行验证的目的，但是假如关于不需要进行加密的信息加密会增加系统的负担与开销。关于此类情况，目前可使用的信息检验技术要紧有：报文摘要MD（MessageDigeSt）与安全散列算法（SeCUreHashAlgorithm）07.5 应用系统安全日志管理与监控管理7.5.1 日志管理a）应用系统应支持对用户的系统访问与操作行为进行日志记录与监控跟踪的功能。b）应开发并实施系统日志管理功能

37、，在系统出现问题的情况下通过确认原因来及时地恢复系统。c）应用系统务必确保其日志文件在存储、传输的过程中受到专门的安全保护。d）应用系统的日志文件不应保留太短或者太长的时间，通常短至半年，长至23年。e）应用系统的日志文件应根据系统的具体情况定期进行审核。f）应用系统所记录的安全有关的日志文件应包含足够的信息确保一旦出现问题能够快速地定位产生问题的原因，并确认当事人员管理上或者法律上的责任。g）应用系统应根据业务需求与安全上的需求，定义日志文件所记录的信息的格式框架与特殊的事件信息。h）日志记录中应包含足够的关于各类事件本身的信息。i）对日志文件的审计应能够保护系统不可能遭到未经授权访问。j）

38、应用系统安全管理人员应可在不影响应用系统本身的正常运作的前提下更换日志的记录范围与记录全面程度。k）应用系统安全管理人员应有能力决定打开或者关闭对某些事件的日志跟踪管理。1）应用系统安全管理人员禁止关闭对其自身的日志跟踪管理。m）任何对可监控的事件的日志跟踪管理的改动都务必被记录在案。n）应用系统应提供相应的机制或者流程确保可将系统自动生成的日志文件在不影响应用系统正常运作的前提下，自动地备份到其他的备份存储设备上。7.5.2 监控管理a）应用系统应提供一种实时监控的机制来监控可能会导致安全事故的各类安全有关事件的产生与进展情况，并将有关的信息及时准确地传递到安全管理人员处。b）实时的监控所有

39、的与交易或者信息敏感系统设置的改动有关的事件，应进行24小时X7天全天候的保护机制。c）应用系统应提供有关的日志信息的收集整理并进行一定的分析的工具，能够自动生成意外事件报告、汇总报告或者某些细节问题的全面报告。d）应用系统安全管理人员应能够有选择性的对用户的行为进行实时地监控，其中包含了对普通的用户或者特权的用户行为的监控。8 应用系统保护管理规范8.1 备份管理a）应指派专门的人员负责应用系统的备份工作。b）应为不一致的应用系统制定不一致的备份策略，假如没有特殊的要求则按照每天进行一次增量备份，每周进行一次全量备份的原则。c）关于备份的介质的保护管理也应规定专门的人员负责，确保不可能由于介

40、质的老化或者损坏造成数据的丢失。d）关于应用系统备份有关的资料（包含了所有的软件资料与硬拷贝）的领用或者借阅，务必通过相应的审批程序，并建立相应的登记管理制度，统一管理。8.2 保护安全管理应用系统在正式投入使用后，后续的保护的工作也是相当的重要的，只有通过正确的保护方法与保护手段，才能保证应用系统不断地完善与持久地满足用户的业务上与安全上的需求。应用系统的使用过程中经常会出现问题，因此应设置专门的人员对应用系统使用过程中出现的问题进行收集、整理、归类并提交给应用系统的开发部门或者应用系统的开发商与有关的安全管理部门进行解决。同时需要跟踪问题的处理情况，直到问题得到圆满的解决。具体的保护的步骤

41、能够分为：a）保护要求或者问题提出，应用系统使用者应根据业务上或者安全上的实际需求提出系统上的改进或者保护要求。b）保护要求或者问题分析，有关的开发部门或者开发商应协同安全管理部门对有关的要求进行分析，确认要求的客观性与可行性。企业不宜自行修改外购的应用软件系统。C）提出解决的方案，根据要求与相应的分析结果，提出具体的解决方案反馈回用户。d）应审批保护的方案，用户同意后交上级主管部门审批。e）确定保护的计划，审批通过后应设计具体的保护计划。f）应对程序进行修改，测试，然后实施修改后的系统。8.3 卸载处理管理当应用系统通过长期的使用，系统的功能已经无法满足日益增长的业务上的需求，则需要考虑将应

42、用系统进行升级或者更换。这时应妥善的处理原有应用系统的处置问题，应符合下列规范：a）在卸载之前务必事先做好所有系统中重要信息的备份工作，系统的数据应由系统管理员负责，个人的数据备份工作应由个人用户在系统管理员的正确指导下进行。b）某些需要进行销毁的信息务必事先取得有关数据拥有者的同意，同时务必先将存储介质上的数据销毁，然后再将存储介质进行物理销毁。c）正确的卸载应用系统。用户务必在系统管理人员的指导下正确地卸载有关的应用系统。不正确的卸载过程可能会导致系统不稳固。因此务必根据指定的步骤进行卸载的工作。凡是在卸载过程中遇到不确定的因素应立即向管理员询问，不得自作主张。d）应用系统成功卸载后应在系

43、统相应的登记簿中进行登记，记录卸载的时间与有关的其他信息。并再一次检查，确保应用程序己经成功的卸载。附录1参考文献【国家法律】中华人民共与国国家安全法中华人民共与国计算机信息系统安全保护条例中华人民共与国计算机信息网络国际联网管理暂行规定中华人民共与国保守国家秘密法中华人民共与国国家安全法【国家规定】保护互联网安全的决定中华人民共与国计算机信息系统安全保护条例中国信息安全产品测评认证用标准目录(一)军用计算机安全评估准则GJB2255-95国土资源部信息网络安全管理规定安全策略分析报告一样例浅谈金融计算机信息系统安全管理电子计算机机房施工及验收规范Sj电子计算机机房设计规范GB50174-19

44、93网络国际联网管理暂行规定计算机信息系统国际联网保密管理规定计算机信息系统安全专用产品分类原则(GA163T997)计算机信息系统安全产品部件(安全功能检测GA216-1-1999)计算机信息系统安全保护等级划分准则GB17859-1999计算机信息系统安全等级保护操作系统技术要求(GAT388-2002)计算机信息系统安全等级保护数据库管理系统技术要求(GAT389-2002)计算机信息系统安全等级保护管理要求(GAT391-2002)计算机信息系统安全等级保护网络技术要求(GAT387-2002)计算机信息系统安全等级保护通用技术要求(GAT390-2002)计算机软件保护条例计算站场地

45、安全要GB93611988计算站场地技术条件gb2887-1989field银行卡联网联合安全规范【国家防火规范标准】建筑内部装修设计防火规范GB5022295.doc建筑物防雷设计规范GB50057_94.doc建筑设计防火规范.doc火灾自动报警系统设计规范GBJII6_88.doc高层民用建筑设计防火规范GB50045_95.doc【国外有关标准】RFC2196BS7799(UK)ITBaselineProtectionManual(Germany)OECDGuidelinesISO15408(CommonCriteria)RainbowSeries(OrangeBook)(US)Inf

46、ormationTechnologySecurityEvaluationCriteria(ITSEC)(UK)SystemSecurityEngineeringCapabilityMaturityModel(SSE-CMM)DevelopmentISO11131(nBankingandRelatedFinancialServices;Sign-onAuthentication)ISO13569(BankingandRelatedFinancialServices-InformationSecurityGuidelines)附录2本规范用词说明一、便于在执行本规范条文时区别对待，对要求严格程度不一致的用词说明如下：1 .表示很严格，非这样做不可的：正面词使用“务必”；反面词使用“严禁”；2 .表示严格，在正常情况下均应这样做的：正面词使用“应”；反面词使用“不应”或者“不得”。3 .表示同意稍有选择，在条件许可时首先应这样做的：正面词使用“宜”或者“可”；反面词使用“不宜”。二、条文中指定应按其它有关标准、规范执行时，写法为“应符合的规定”或者“应按要求（或者规定）执行”。