1、應用系統使用安全管理通則應用系統使用安全管理通則_030324_v3_fdError! No text of specified style in document.IX 中國石油信息安全標準編號： 中國石油天然氣股份有限公司應用系統使用安全管理通則（審閱稿）版本號：V3審閱人：王巍中國石油天然股份有限公司前 言隨著中國石油天然氣股份有限公司（以下簡稱“中國石油”）信息化建設的穩步推進，信息安全日益受到中國石油的廣泛關注，加強信息安全的管理和制度無疑成為信息化建設得以順利實施的重要保障。中國石油需要建立統一的信息安全管理政策和標準，并在集團內統一推廣、實施。本規范是依據中國石油信息安全的現狀，

2、參照國際、國內和行業相關技術標準及規范，結合中國石油自身的應用特點，制定的適合于中國石油信息安全的標準與規范。目標在于通過在中國石油范圍內建立信息安全相關標準與規范，提高中國石油信息安全的技術和管理能力。信息技術安全總體框架如下：1） 整體信息技術安全架構從邏輯上共分為7個部分，分別為：物理環境、硬件設備、網絡、操作系統、數據和文檔、應用系統和通用安全管理標準。圖中帶陰影的方框中帶書名號的為單獨成冊的部分，共有13本規范和1本通用標準。2） 對于13個規范中具有一定共性的內容我們整理出了6個標準橫向貫穿整個架構，這6個標準的組合也依據了信息安全生命周期的理論模型。每個標準都會對所有的規范中相關

3、涉及到的內容產生指導作用，但每個標準應用在不同的規范中又會有相應不同的具體的內容。我們在行文上將這六個標準組合成一本通用安全管理標準單獨成冊。3） 全文以信息安全生命周期的方法論作為基本指導，規范和標準的內容基本都根據認證授權內容安全日志管理的理論基礎行文。應用系統是整個信息系統的核心，不論系統的規模的大小，系統的技術復雜的程度，一個業務部門或業務單元的業務往往要依賴相關業務的應用系統來維持正常運作。因此應用系統的使用直接的關系到了企業業務運作的成效。如果應用系統在使用中由于用戶的不當操作或來自外部的惡意攻擊造成癱瘓，則會嚴重的影響企業業務的運作。造成巨大的經濟和信譽上的損失。應用系統使用安全

4、管理通則就是希望通過對于應用系統使用進行相應的規范來確保應用系統的正常運作。從而確保企業的業務運作的正常和有效，并且通過對于應用系統的不斷的改進和更新使之更加的符合業務上的各種需求，提高企業業務運作的效率。本規范由中國石油天然氣股份有限公司提出。本規范由中國石油天然氣股份有限公司科技與信息管理部歸口管理解釋。起草單位：中國石油制定信息安全政策與標準項目組。說 明在中國石油信息安全標準中涉及以下概念：組織機構中國石油（PetroChina） 指中國石油天然氣股份有限公司有時也稱“股份公司”。集團公司（CNPC） 指中國石油天然氣集團公司有時也稱“存續公司”。為區分中國石油的地區公司和集團公司下屬

5、單位，擔提及“存續部分”時指集團公司下屬的單位。如：遼河油田分公司存續部分指集團公司下屬的遼河石油管理局。計算機網絡中國石油信息網（PetroChinaNet） 指中國石油范圍內的計算機網絡系統。中國石油信息網是在中國石油天然氣集團公司網絡的基礎上，進行擴充與提高所形成的連接中國石油所屬各個單位計算機局域網和園區網。集團公司網絡（CNPCNet） 指集團公司所屬范圍內的網絡。中國石油的一些地區公司是和集團公司下屬的單位共用一個計算機網絡，當提及“存續公司網絡”時，指存續公司使用的網絡部分。主干網 是從中國石油總部連接到各個下屬各地區公司的網絡部分，包括中國石油總部局域網、各個二級局域網（或園區

6、網）和連接這些網絡的專線遠程信道。有些單位通過撥號線路連接到中國石油總部，不是利用專線，這樣的單位和所使用的遠程信道不屬于中國石油專用網主干網組成部分。地區網 地區公司網絡和所屬單位網絡的總和。這些局域網或園區網互相連接所使用的遠程信道可以是專線，也可以是撥號線路。局域網與園區網 局域網通常指，在一座建筑中利用局域網技術和設備建設的高速網絡。園區網是在一個園區（例如大學校園、管理局基地等）內多座建筑內的多個局域網，利用高速信道互相連接起來所構成的網絡。園區網所利用的設備、運行的網絡協議、網絡傳輸速度基本相同于局域網。局域網和園區網通常都是用戶自己建設的。局域網和園區網與廣域網不同，廣域網不僅覆

7、蓋范圍廣，所利用的設備、運行的協議、傳送速率都與局域網和園區網不同。傳輸信息的信道通常都是電信部門建設的。二級單位網絡 指地區公司下屬單位的網絡的總和，可能是局域網，也可能是園區網。專線與撥號線路 從連通性劃分的兩大類網絡遠程信道。專線，指數字電路、幀中繼、DDN和ATM等經常保持連通狀態的信道；撥號線路，指只在傳送信息時才建立連接的信道，如電話撥號線路或ISDN撥號線路。這些遠程信道可能用來連接不同地區的局域網或園區網，也可能用于連接單臺計算機。石油專網與公網 石油專業電信網和公共電信網的簡稱。最后一公里問題 建設廣域網時，用戶局域網或園區網連接附近電信部門信道的最后一段距離的連接問題。這段

8、距離通常小于一公里，但也有大于一公里的情況。為簡便，同稱為最后一公里問題。涉及計算機網絡的術語和定義請參見中國石油局域網標準。目 錄1概述62目標63適用范圍64引用的文件或標準75術語和定義86應用系統安裝管理96.1測試安全96.2版本管理安全107應用系統使用管理137.1使用者身份識別管理137.2基于人員職責的應用系統分級授權管理157.3安全運營管理177.4安全控制管理217.5應用系統安全日志管理和監控管理238應用系統維護管理規范268.1備份管理規范268.2維護安全管理規范268.3卸載處理管理規范28附錄 1參考文獻29附錄 2本規范用詞說明30Error! No te

9、xt of specified style in document.331 概述應用系統的概念是將技術與用戶業務上的實際需求結合在一起，直接面對使用者、用于支持用戶更快更好更有效的完成實際工作的集成的人機交互系統。應用系統是建立在物理硬件系統、軟件操作系統之上的信息系統。根據應用系統完成目標和服務對象的不同目前主要分為以下幾種類型：業務處理系統、職能信息系統、組織信息系統和決策支持系統。本通則通過對各種類型的應用系統在使用過程中面臨的各種與安全相關的并且具有一定通用性的問題進行闡述。從應用系統安裝實施到使用到最后的維護報廢的各個階段入手，對應用系統使用中的安全問題加以相應的規范，確保應用系統在

10、使用中的安全管理。2 目標本規范的目標為：保護應用系統在使用的各個階段的安全。具體來說就是保護應用系統安裝實施中的安全，保證應用系統在使用中的安全和在維護和報廢過程中的安全。并使得應用系統不斷的符合中國石油的實際業務需求和安全管理上的需求。使應用系統更好的為中國石油的業務發展服務。3 適用范圍本套規范適用的范圍包括了所有在應用系統使用過程中相關的安全問題和安全事件。具體來說包括了應用系統安裝過程中的安全問題，使用中的安全問題和維護報廢過程中的安全問題，同時也包含了應用系統使用中版權的管理問題。本通則面向所有的應用系統的使用者、應用系統的維護和開發人員以及企業內部信息安全的管理人員和技術人員。4

11、 引用的文件或標準下列文件中的條款通過本標準的引用而成為本標準的條款。凡是不注日期的引用文件，其最新版本適用于本標準。1. GB17859-1999 計算機信息系統安全保護等級劃分準則2. GB/T 9387-1995 信息處理系統 開放系統互連基本參考模型（ISO7498 :1989）3. GA/T 391-2002 計算機信息系統安全等級保護管理要求4. ISO/IEC TR 13355 信息技術安全管理指南5. NIST信息安全系列北美信息標準組織安全規范6. NIST信息安全系列美國國家標準技術院7. 英國國家信息安全標準BS77998. 信息安全基礎保護IT Baseline Pro

12、tection Manual (Germany)9. BearingPoint Consulting 內部信息安全標準10. RU Secure安全技術標準11. 信息系統安全專家叢書Certificate Information Systems Security Professional5 術語和定義認證 a.驗證用戶、設備和其他實體的身份； b. 驗證數據的完整性。可用性availability 數據或資源的特性，被授權實體按要求能及時訪問和使用數據或資源。保密性confidentiality 數據所具有的特性，即表示數據所達到的未提供或未泄露給未授權的個人、過程或其他實體的程度。完整性i

13、ntegrity在防止非授權用戶修改或使用資源和防止授權用戶不正確地修改或使用資源的情況下,信息系統中的數據與在原文檔中的相同，并未遭受偶然或惡意的修改或破壞時所具的性質。數字簽名digital signature 添加到消息中的數據，它允許消息的接收方驗證該消息的來源。加密encryption 通過密碼系統把明文變換為不可懂的形式。身份認證identity authentication 使信息處理系統能識別出用戶、設備和其他實體的測試實施過程。密鑰key 控制加密或解密操作的位串。漏洞loophole 由軟硬件的設計疏忽或漏洞導致的能避過系統的安全措施的一種錯誤。惡意代碼malicious

14、code 在硬件、固件或軟件中所實施的程序，其目的是執行未經授權的或有害的行動。不可抵賴性 non-repudiation 信息系統中涉及的若干個實體中的一個對曾參與全部或部分通信過程不能否認的特性。口令password 用來鑒別實體身份的受保護或秘密的字符串。安全策略 security policy 規定機構如何管理、保護與分發敏感信息的法規與條例的集合。驗證 verification 將某一活動、處理過程或產品與相應的要求或規范相比較。例：將某一規范與安全策略模型相比較，或者將目標代碼與源代碼相比較。6 應用系統安裝管理規范6.1 測試安全隨著業務的發展，不斷有新的應用系統投入使用，在應用

15、系統正式投入使用之前必須進行測試以保證系統的安全和可靠，并符合企業的相關安全管理規范。對于應用系統的測試應遵從以下幾個方面進行相關的規定：a) 在測試之前必須預先提出申請。通常由應用系統的使用部門中負責系統管理的相關人員向部門領導提出測試的申請，并注明測試的原因、目的，時間，項目等。如果需要用真實的業務數據進行測試還需要進一步向公司信息安全部門確認并事先做好數據的保密工作。b) 明確參與測試的人員和人員的職責。參與測試的人員必須經過一定的篩選，通常由系統的開發人員或系統供應商的技術支持人員以及公司相關業務部門的系統維護人員和系統使用者共同參與。c) 應編寫詳細的測試計劃。在測試的申請得到批準的

16、前提下，編寫詳細的測試計劃書，包括測試的物理環境要求，硬件和軟件環境的要求，測試數據的準備，特別是如果采用真實的業務數據必須考慮數據的保密措施或對數據進行一定的數學處理。d) 應預先準備相關的測試環境。根據測試計劃，準備相應的環境、設備和數據，并對環境和設備進行一定的檢測，以確保在測試的過程中不會因應用環境或硬件的問題影響測試的結果。e) 進行測試。測試不得影響正常的業務運作。如果客觀上無法避免影響，也必須將測試的時間安排在工作時間以外，或盡量縮短測試的時間以減少對業務造成的影響。通常將測試分為階段性測試和完整性測試。測試的內容通常包括了以下幾部分：Ø 應用系統安裝測試，確認系統能在

17、各種環境下正常的安裝。Ø 應用系統應用模塊測試，確認應用系統各個功能模塊的運行正常。Ø 應用系統整體測試，確認應用系統各個功能模塊之間的接口和交互正常。Ø 應用系統數據吞吐量測試，確認應用系統所能負載的數據量的極限。Ø 應用系統兼容性測試，確認系統和其他系統之間沒有兼容性問題。Ø 應用系統用戶需求測試，確認系統功能能夠達到用戶的需求。f) 檢驗階段性或完整性測試報告。根據測試報告的內容對系統進行進一步的調整和更改，使得系統最大限度的滿足業務的需求。6.2 版本管理安全6.2.1 版本使用應用系統的版本使用相關的安全措施應遵從：a) 必須規定應用

18、系統的使用范圍和使用者權限，確保應用系統僅在授權使用的范圍內進行，任何形式的越權使用都將由于違反了該項規定而需要受到一定的懲罰。具體而言宜采用以下實施的步驟：Ø 定期檢查所有的用戶系統上已經安裝的應用系統。Ø 確認如用戶系統上安裝了不應安裝的應用系統或超出許可擁有版權數量以外的應用系統應立即予以清除并銷毀。Ø 確認如用戶系統上安裝了的非法版權的或盜版的應用系統應立即予以清除并銷毀。b) 應用系統的使用者應接受適當的使用培訓和安全規范教育，確保系統的使用者能夠正確的使用系統，盡量減少由于對系統不了解而造成的抵觸情緒和由于誤操作造成的損失。c) 應建立與應用系統版本使

19、用情況相關的文檔管理制度和軟件分發制度。確認目前所有的應用系統有效版本數。d) 必須防止應用系統軟件被盜用、流失和越權使用。e) 必須嚴格地集中控制應用系統的購買申請，杜絕重復購買的現象。f) 應使用版本統一的應用系統軟件。g) 應采取有效的措施，防止對應用軟件的非法訪問及修改。h) 技術人員不得擅自對軟件本身進行修改和參數調整。6.2.2 版權控制應用系統使用過程中應注意對于版權的管理和控制，通常對于版權的問題主要從兩個方面入手進行管理：6.2.2.1 防范系統的非法拷貝防范系統的非法拷貝可以從技術的角度和人員管理的角度兩方面進行控制：a) 從技術的角度是指應用系統的開發人員可通過采用某種加

20、密的辦法和措施，使得非法的用戶無法順利的安裝應用系統，以防止應用系統的非法擴散，從而保護開發者的利益。b) 從人員管理的角度是指應用系統的使用者應知道應用系統的開發過程是耗資巨大且非常困難的，應尊重應用系統開發人員的勞動成果。從使用者意識的角度進行規范，并明文規定如非法拷貝系統將受到一定的懲罰。6.2.2.2 防范使用非法版權(如盜版)的軟件對于盜版軟件使用的防范通常通過“教育”加“檢查”的方式進行規范。a) 應加強對系統使用人員的教育，提升人員的版權保護意識。讓相關人員意識到使用盜版軟件是一種侵權行為，也是一種偷竊行為。b) 公司的強制性規定。應明文規定禁止使用任何形式的非法版權的應用系統或

21、軟件。一旦發現將嚴肅處理。c) 應通過不定期的突擊檢查的方式，隨時隨機地檢查某些用戶使用的計算機系統中安裝的各類應用系統軟件。一旦發現使用非法版權的系統將予以嚴肅處理。7 應用系統使用管理規范7.1 使用者身份識別管理7.1.1 用戶賬號管理a) 應確保每一位應用系統的使用者只擁有一個屬于自己的獨立的賬號，該賬號直接關系到該用戶在整個應用系統中的相關的權限。不得在應用系統中設立虛假的賬號或無人使用的賬號。b) 賬號的申請和建立必須嚴格按照“一個人一個賬號”的原則。c) 應用系統應提供相關的機制為每個賬號和其他的個人相關信息有所聯系。如人員的真實姓名、聯系方式，所在部門等。d) 在一般情況下禁止

22、建立用戶組賬號(即同一個賬號可以由許多不同的用戶登陸使用)。除非情況十分特殊，則必須由相關的應用系統管理部門連同安全管理部門共同認可。e) 系統正式投入運行后應立即將系統中的“Guest”以及類似的系統自帶或內置缺省的賬戶刪除。f) 應用系統在允許用戶在使用系統中的某種重要功能之前，應要求用戶提供其賬號以確認身份。g) 應用系統應能夠維護一份含有所有當前使用的用戶及其相關狀態信息的列表。h) 應用系統應提供相關機制來臨時關閉或打開用戶的賬號。i) 應用系統應提供相關的機制來限制同一個賬號同時登陸的個數。j) 應用系統應嚴格地控制各級管理員(Administrator)賬號或根(Root)賬號，

23、所有的系統管理員應先通過他們自己的賬號登陸系統，然后再切換到管理員（Administrator）賬號或根(Root)賬號。k) 應用系統應將在60天內沒有使用過的用戶賬號暫時禁用。如果該賬號在90天內沒有使用過或相關的部門正式通知該賬號已經作廢，則需將該賬號從系統中刪除(在正式刪除之前應向該用戶發送一份通知)。用戶可在業務需要且經部門的領導同意的情況下申請建立新的賬號，或將已經被禁用的賬號恢復。7.1.2 用戶口令管理a) 應用系統應提供一種機制確保每一個使用系統的人員都必須先經過系統登陸，如輸入用戶名和口令的過程。禁止出現可以不經過系統登陸直接進入應用系統的情況。b) 應用系統應至少支持“用

24、戶名+口令”的系統認證方式，也可采用如“動態密碼卡+個人識別碼”的認證方式。c) 應用系統對于口令的控制應符合“口令管理標準”中規定的相關規范。d) 應用系統應允許用戶自行在系統中更改自己的口令。但這種更改必須建立在用戶已經通過了系統對于其本人身份的認證的基礎之上。且系統應強制規定用戶不可以為其本人以外的其他用戶更改口令。e) 應用系統的口令應以密文的形式存放在系統中，且口令在傳輸的過程中必須進行一定的加密措施以確保口令的保密性和完整性。f) 當用戶連接上應用系統但在一定的時間內（建議10分鐘）沒有使用，則系統應自動將該用戶與系統的會話切斷，當用戶希望繼續對應用系統進行操作時必須重新輸入密碼。

25、g) 用戶成功的登陸系統后，應用系統宜將登陸的時間，日期和用戶的位置以及用戶上次成功登陸系統之后登陸失敗的次數顯示在登陸的界面上。h) 系統應提供一種機制保證當用戶連續5次登陸失敗后系統會自動將用戶的賬號鎖定，且通知系統管理員。i) 應用系統應強制用戶在第一次登陸系統后必須更改當前的系統初始口令，同樣當出現用戶忘記或遺失口令的情況系統管理員會幫助用戶重新設置臨時口令，用戶在第一次使用臨時口令時系統應強制用戶必須更改臨時口令后才能登陸系統。j) 應用系統中所有的自帶的或缺省的口令必須在系統正式使用之前全部從系統中刪除。k) 應用系統應強制用戶每隔一定的時間（如60天）修改用戶的登陸口令。l) 應

26、用系統應保留用戶之前5次使用的口令以確保用戶的口令不會與前次重復。m) 應用系統的賬號和口令管理必須嚴格的控制訪問的權限，通常只能是系統的管理員才有權限進行訪問和管理。n) 應用系統的口令輸入界面必須提供口令自動密文轉換的功能。o) 口令文件應和系統的程序分開單獨加密存放。7.2 基于人員職責的應用系統分級授權管理a) 應用系統應只允許經過認證的用戶、程序模塊或其他的應用系統訪問，任何未經授權的訪問都應被阻擋在外。b) 內部員工應用系統授權管理規范可以參照以下流程：Ø 根據人事系統中員工的情況授予其相應的應用系統使用的權限和承擔的責任。Ø 以書面的方式將員工的權限和相應的責

27、任提交給員工本人。Ø 根據員工權限和責任的大小確認是否需要簽署相關的保密協議。Ø 在日常工作中記錄員工的相關應用系統訪問日志信息Ø 員工一旦離職或調動崗位應立即收回或調整其應用系統相關的訪問的權限。c) 應用系統應提供通過將用戶分組的方式定義用戶的權限策略，比如對于同一類型的用戶，這些用戶可能具有某些共同的屬性如屬于同一業務單元、或在地理位置上相同或者在同一個項目中，使得這些用戶在系統中具有相同的權限。因此可以通過對于同一組的用戶給予同樣的權限制定和使用同樣的安全策略。大大降低安全策略實施的復雜度。d) 應用系統應支持對于敏感的系統或交易處理提供雙重身份認證機制。

28、e) 應建立應用系統的安全管理機構，負責應用系統安全相關的日常事務工作。主要負責與應用系統安全相關的規劃、建設、資源利用和事故處理等方面的決策和實施。f) 應用系統的安全管理機構的相關人員至少要求兩個人或以上，禁止將系統的安全管理職責賦予一個人。必須建立相互監督的安全管理機制。g) 所有的用戶的相關權限必須定期（每六個月）進行審計評估，安全管理人員的權限必須定期（每三個月）進行審計評估。7.3 安全運營管理應用系統在運營使用中的安全也相當重要，由于各個應用系統的功能，使用情況都各不相同。不可能根據各個不同的應用系統本身的特點進行安全上的闡述。因此應用系統的安全運營管理主要從系統通用的安全性：保

29、密性、完整性和不可抵賴性三個方面進行闡述。7.3.1 系統保密性管理所謂應用系統的保密性是指防止應用系統的相關信息泄漏給未經授權的用戶、實體或進程，須遵守以下規范：a) 對于所有的非公共的數據傳輸或存儲數據在企業安全管理范圍以外的情況都應對相關的數據進行加密的保護。b) 對于非常敏感的數據無論在何種情況下都必須進行加密。c) 應用系統應使用公司標準的加密方法和加密機制。d) 保護關鍵密鑰，確保只有經過授權的人才能得到。e) 設計和實施加密系統時應確保沒有人能夠完全了解或控制加密主密鑰的相關信息。f) 應保護與密鑰相關的各種資料，包括軟件版本和硬拷貝。g) 禁止將密鑰轉換成明文。7.3.2 系統

30、可用性管理可用性是指保證應用系統可以持續地被授權的應用實體訪問并按照相關業務的需求進行使用，須遵守以下規范：a) 所有的加密機制應提供重創建機制、恢復機制，禁止應用系統在任何情況下拒絕對用戶進行服務。b) 應能夠提供備份機制確保當應用系統出現問題時及時地恢復。c) 根據業務的需求建立數據備份的日程表，如果業務上沒有明確的需求則每天進行一次增量的備份，一周進行一次全量的備份。d) 對應用系統數據集中存放的情況宜采取遠程備份和災難恢復的策略。e) 對于備份在備份介質如磁帶上的數據應定期（隔6個月）進行一次檢測確保數據還可以被恢復。7.3.3 系統完整性管理完整性是指應用系統信息在未經授權的情況下不

31、得被改動的特性，須遵守以下規范：a) 應用系統盡管不可避免的會存在一定的安全風險，但應盡可能的將應用系統自身的安全風險降到最低。b) 應對應用系統的詳細設計進行分析來判斷是否真正達到了企業所要求的安全規范。c) 應用系統的開發應盡量使用安全的開發環境。d) 應用系統的測試環境和開發環境必須分離。e) 開發人員應明確自己的開發的任務和相應的安全責任。f) 所有開發的代碼都必須可以通過設計文檔進行回朔，確認每行代碼最終的業務需求。g) 應用系統應提供相關的驗證機制或流程確保應用系統自身沒有被非法的修改。h) 應用系統中所有的安全特性都必須經過功能性測試，安全測試應被列為系統整體測試的一個重要的部分

32、。所有安全相關的測試問題都必須被完善的解決。i) 應用系統應提供嚴格的訪問控制機制以確保系統不會被未經授權的人訪問，修改或刪除信息。j) 在數據傳輸的過程中，應用系統中信息敏感的關鍵數據應進行加密的保護以確保完整性。k) 應用系統應自動生成日志信息以供日后審計使用。l) 應用系統應保留所有的訪問的日志記錄，包括用戶的訪問，系統的訪問。記錄相關的訪問日期，訪問時間和訪問者相關信息。7.3.4 系統不可抵賴性管理規范不可抵賴性也被稱之為不可否認性，主要是指信息在交換的過程中，確認參與者的身份的真實性和可靠性以及參與者操作的不可否認性，須遵守以下規范：a) 不可抵賴性服務應被用在當業務需要證明其交易

33、信息或承諾具有相當的權威性和法律的效應。如數字簽名技術等。b) 應用系統應能夠安全地記錄下準確的時間信息、證明信息和確認信息。c) 不可抵賴性服務應被用作應用層協議。7.3.5 系統基于的系統環境和硬件安全管理7.3.5.1 硬件安全a) 確保應用系統基于的硬件設備、網絡通訊傳輸和相應的物理環境的安全，以防止應用系統遭到未經授權的非法訪問。b) 確保用戶在家里或其他非企業相關的環境里辦公所使用的計算機設備，網絡傳輸的安全。特別是當用戶在對某些敏感系統進行作業時。7.3.5.2 惡意代碼防護確保企業內部所有的應用系統都在公司統一的惡意代碼保護系統的保護之下，對于惡意代碼保護系統的相關規范的細節請

34、參見防御惡意代碼和計算機犯罪管理規范7.4 安全控制管理為了防止應用系統中用戶數據的丟失、修改或錯誤的使用，應用系統應建立適當的控制，確保對于應用系統數據的輸入、內部處理和輸出進行一定的確認。7.4.1 對輸入數據的確認應用系統容易受到故意或意外的無效數據的攻擊，這會導致系統故障、數據濫用或通過系統本身安全漏洞進行欺詐犯罪等事件的發生。因此企業必須采用數據確認控制將數據的輸入范圍控制在一個合理的范圍內，即限制在系統有效處理能力之內。數據輸入方法的舉例：a) 應通過雙重輸入或其他輸入判斷以下錯誤：Ø 超過范圍的數值Ø 數據區中的無效字符Ø 丟失或不完整的數據

35、6; 超出數值的上下極限值Ø 未經許可的或不一致的數據b) 應定期評審關鍵的數據文件的內容，確保其有效性和完整性。c) 應檢查硬拷貝的輸入文件，確保輸入的數據沒有經過任何未經授權的更改。d) 應建立錯誤數據的響應程序。e) 應建立程序對于可懷疑的數據進行進一步檢查。f) 應規定數據輸入過程中所涉及的所有的人員的職責。7.4.2 對于數據內部處理的控制已經正確地輸入的數據也可能因為處理的錯誤或人為的改動而被破壞，因此為了保證數據在處理的過程中的安全性，應對數據處理進行控制，包括：a) 批處理控制，確保事務更新后保持數據文件的平衡一致。b) 確認系統產生的數據的正確性。c) 確認數據傳輸

36、過程中的完整性。d) 檢查確保應用系統運行的時間正常。e) 檢查確保應用系統運行的順序正常。7.4.3 對于輸出的數據進行確認盡管系統的輸入是正確的，但輸出仍然可能是錯誤的或是經過非法修改的。為確保輸出信息的正確性，應對輸出的數據進行確認，主要包括：a) 可信性檢查，確認輸出的數據是否合理。b) 數據一致性檢查。c) 響應輸出確認測試的程序。d) 數據輸出過程中相關人員的責任。7.4.4 使用信息檢驗技術確保信息內容的完整性信息驗證是指用戶對于信息在傳輸過程中為避免遭到未經授權的訪問及破壞而進行測試的一種技術，主要是針對主動攻擊中的信息篡改和偽造，使得接收方得到的信息不正確。這種檢測可以通過軟

37、件和硬件結合的方式實現。宜使用加密的辦法達到對于信息進行驗證的目的，但是如果對于不需要進行加密的信息加密會增加系統的負擔和開銷。對于此類情況，目前可采用的信息檢驗技術主要有：報文摘要MD(Message Digest)和安全散列算法(Secure Hash Algorithm)。7.5 應用系統安全日志管理和監控管理7.5.1 日志管理a) 應用系統應支持對用戶的系統訪問和操作行為進行日志記錄和監控跟蹤的功能。b) 應開發并實施系統日志管理功能，在系統出現問題的情況下通過確認原因來及時地恢復系統。c) 應用系統必須確保其日志文件在存儲、傳輸的過程中受到專門的安全保護。d) 應用系統的日志文件不

38、應保留太短或太長的時間，通常短至半年，長至23年。e) 應用系統的日志文件應根據系統的具體情況定期進行審核。f) 應用系統所記錄的安全相關的日志文件應包含足夠的信息確保一旦出現問題可以快速地定位產生問題的原因，并確認當事人員管理上或法律上的責任。g) 應用系統應根據業務需求和安全上的需求，定義日志文件所記錄的信息的格式框架和特殊的事件信息。h) 日志記錄中應包含足夠的關于各類事件本身的信息。i) 對日志文件的審計應可以保護系統不會遭到未經授權訪問。j) 應用系統安全管理人員應可在不影響應用系統本身的正常運作的前提下更改日志的記錄范圍和記錄詳細程度。k) 應用系統安全管理人員應有能力決定打開或關

39、閉對某些事件的日志跟蹤管理。l) 應用系統安全管理人員禁止關閉對其自身的日志跟蹤管理。m) 任何對可監控的事件的日志跟蹤管理的改動都必須被記錄在案。n) 應用系統應提供相應的機制或流程確保可將系統自動生成的日志文件在不影響應用系統正常運作的前提下，自動地備份到其他的備份存儲設備上。7.5.2 監控管理a) 應用系統應提供一種實時監控的機制來監控可能會導致安全事故的各種安全相關事件的產生和發展情況，并將相關的信息及時準確地傳遞到安全管理人員處。b) 實時的監控所有的和交易或信息敏感系統設置的改動相關的事件，應進行24 小時X 7天全天候的保護機制。c) 應用系統應提供相關的日志信息的收集整理并進

40、行一定的分析的工具，能夠自動生成意外事件報告、匯總報告或某些細節問題的詳細報告。d) 應用系統安全管理人員應能夠有選擇性的對用戶的行為進行實時地監控，其中包括了對普通的用戶或特權的用戶行為的監控。8 應用系統維護管理規范8.1 備份管理a) 應指派專門的人員負責應用系統的備份工作。b) 應為不同的應用系統制定不同的備份策略，如果沒有特殊的要求則按照每天進行一次增量備份，每周進行一次全量備份的原則。c) 對于備份的介質的維護管理也應規定專門的人員負責，確保不會因為介質的老化或損壞造成數據的丟失。d) 對于應用系統備份相關的資料(包括了所有的軟件資料和硬拷貝)的領用或借閱，必須經過相應的審批程序，

41、并建立相應的登記管理制度，統一管理。8.2 維護安全管理應用系統在正式投入使用后，后續的維護的工作也是相當的重要的，只有通過正確的維護方法和維護手段，才能保證應用系統不斷地完善和持久地滿足用戶的業務上和安全上的需求。應用系統的使用過程中經常會出現問題，因此應設置專門的人員對應用系統使用過程中出現的問題進行收集、整理、歸類并提交給應用系統的開發部門或應用系統的開發商以及相關的安全管理部門進行解決。并且需要跟蹤問題的處理情況，直到問題得到圓滿的解決。具體的維護的步驟可以分為：a) 維護要求或問題提出，應用系統使用者應根據業務上或安全上的實際需求提出系統上的改進或維護要求。b) 維護要求或問題分析，

42、相關的開發部門或開發商應協同安全管理部門對相關的要求進行分析，確認要求的客觀性和可行性。企業不宜自行修改外購的應用軟件系統。c) 提出解決的方案，根據要求和相應的分析結果，提出具體的解決方案反饋回用戶。d) 應審批維護的方案，用戶同意后交上級主管部門審批。e) 確定維護的計劃，審批通過后應設計具體的維護計劃。f) 應對程序進行修改，測試，然后實施修改后的系統。8.3 卸載處理管理當應用系統經過長期的使用，系統的功能已經無法滿足日益增長的業務上的需求，則需要考慮將應用系統進行升級或更換。這時應妥善的處理原有應用系統的處置問題，應符合以下規范：a) 在卸載之前必須事先做好所有系統中重要信息的備份工

43、作，系統的數據應由系統管理員負責，個人的數據備份工作應由個人用戶在系統管理員的正確指導下進行。b) 某些需要進行銷毀的信息必須事先取得相關數據擁有者的同意，并且必須先將存儲介質上的數據銷毀，然后再將存儲介質進行物理銷毀。c) 正確的卸載應用系統。用戶必須在系統管理人員的指導下正確地卸載相關的應用系統。不正確的卸載過程可能會導致系統不穩定。因此必須根據指定的步驟進行卸載的工作。凡是在卸載過程中遇到不確定的因素應立即向管理員詢問，不得自作主張。d) 應用系統成功卸載后應在系統相應的登記簿中進行登記，記錄卸載的時間和相關的其他信息。并再一次檢查，確保應用程序已經成功的卸載。附錄 1 參考文獻【國家法律】中華人民