《管理制度-区域安全管理规范030319v3fd 精品.doc》由会员分享,可在线阅读,更多相关《管理制度-区域安全管理规范030319v3fd 精品.doc(30页珍藏版)》请在第一文库网上搜索。
1、中国石油信息安全标准编号:中国石油天然气股份有限公司区域安全管理规范(审阅稿)版本号:V3审阅人:王巍中国石油天然股份有限公司前 言随着中国石油天然气股份有限公司(以下简称“中国石油”)信息化建设的稳步推进,信息安全日益受到中国石油的广泛关注,加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策和标准,并在集团内统一推广、实施。本规范是依据中国石油信息安全的现状,参照国际、国内和行业相关技术标准及规范,结合中国石油自身的应用特点,制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全相关标准与规范,提高中国石油信息
2、安全的技术和管理能力。信息技术安全总体框架如下:1) 整体信息技术安全架构从逻辑上共分为7个部分,分别为:物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分,共有13本规范和1本通用标准。2) 对于13个规范中具有一定共性的内容我们整理出了6个标准横向贯穿整个架构,这6个标准的组合也依据了信息安全生命周期的理论模型。每个标准都会对所有的规范中相关涉及到的内容产生指导作用,但每个标准应用在不同的规范中又会有相应不同的具体的内容。我们在行文上将这六个标准组合成一本通用安全管理标准单独成册。3) 全文以信息安全生命周期的方法论作为
3、基本指导,规范和标准的内容基本都根据认证授权内容安全日志管理的理论基础行文。信息系统所在区域的物理环境安全是保护区域内计算机相关设备以及其它媒体免遭地震、水灾、火灾等环境事故以及周围环境的因素影响。它是对系统所在环境的安全保护,同时,还需要防止对区域的未经授权的访问。这种区域在信息安全中被称为“安全区域”。整个物理环境安全管理规范由区域安全管理规范和机房安全管理规范两个部分组成。本文即为信息安全总体框架中以深色标注的部分:区域安全管理规范,本规范主要规定了不同的包含有信息设备或信息资产的区域对物理环境的安全要求,这种区域的概念时相对而言的,各种包含有信息设备或信息资产的区域都可以称之为安全区域
4、。而由于机房是一个十分特殊且重要的安全区域,包含了一些特有的安全管理规范,同时在整个信息安全架构中又具有举足轻重的地位,因此将机房这个独特的安全区域作为区域安全管理规范的一个具体的案例单独进行阐述。本规范由中国石油天然气股份有限公司提出。本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。起草单位:中国石油制定信息安全政策与标准项目组。说 明在中国石油信息安全标准中涉及以下概念:组织机构中国石油(PetroChina) 指中国石油天然气股份有限公司有时也称“股份公司”。集团公司(PC) 指中国石油天然气集团公司有时也称“存续公司”。为区分中国石油的地区公司和集团公司下属单位,担提及
5、“存续部分”时指集团公司下属的单位。如:辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网(PetroChinaNet) 指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上,进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。集团公司网络(Pet) 指集团公司所属范围内的网络。中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络,当提及“存续公司网络”时,指存续公司使用的网络部分。主干网 是从中国石油总部连接到各个下属各地区公司的网络部分,包括中国石油总部局域网、各个二级局域网(或园区网)和连接这些网络的
6、专线远程信道。有些单位通过拨号线路连接到中国石油总部,不是利用专线,这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。地区网 地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道可以是专线,也可以是拨号线路。局域网与园区网 局域网通常指,在一座建筑中利用局域网技术和设备建设的高速网络。园区网是在一个园区(例如大学校园、管理局基地等)内多座建筑内的多个局域网,利用高速信道互相连接起来所构成的网络。园区网所利用的设备、运行的网络协议、网络传输速度基本相同于局域网。局域网和园区网通常都是用户自己建设的。局域网和园区网与广域网不同,广域网不仅覆盖范围广,所利用的设
7、备、运行的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建设的。二级单位网络 指地区公司下属单位的网络的总和,可能是局域网,也可能是园区网。专线与拨号线路 从连通性划分的两大类网络远程信道。专线,指数字电路、帧中继、DDN和ATM等经常保持连通状态的信道;拨号线路,指只在传送信息时才建立连接的信道,如电话拨号线路或ISDN拨号线路。这些远程信道可能用来连接不同地区的局域网或园区网,也可能用于连接单台计算机。石油专网与公网 石油专业电信网和公共电信网的简称。最后一公里问题 建设广域网时,用户局域网或园区网连接附近电信部门信道的最后一段距离的连接问题。这段距离通常小于一公里,
8、但也有大于一公里的情况。为简便,同称为最后一公里问题。涉及计算机网络的术语和定义请参见中国石油局域网标准。目 录1概述62目标63适用范围74引用的文件或标准85术语和定义106区域安全分级标准127区域物理环境安全137.1环境控制137.2电气技术安全147.3给水排水相关规范157.4消防与其他安全规范167.5自然灾害防御178人员出入安全区域相关的管理规范198.1人员身份识别管理规范198.2安全区域出入授权管理规范238.3安全区域相关日志和权限的审计管理审计跟踪26附录 128附录 2本规范用词说明291 概述信息系统所在区域的物理环境安全是保护区域内计算机相关设备以及其它媒体
9、免遭地震、水灾、火灾等环境事故以及周围环境的因素影响。它是对系统所在环境的安全保护,同时,还需要防止对区域的未经授权的访问。物理环境安全管理规范主要规定了不同的区域对物理环境的安全要求和相应的保护措施和规章制度。安全区域是指需要被组织保护的商务场所和包含被保护信息处理设施的物理区域。因此我们所指的区域的概念可以是一栋办公大楼,也可以是一个数据中心机房或是不同的大楼楼层的配线间,区域的概念相当的宽泛。而一些和信息不相关的区域如车间、转井平台等不属于本规范讨论的范围。在我们的规范中主要将各个各样不同的区域分为三个等级:关键级、重要级和普通级。针对这样的三种不同级别的区域我们制定了三种不同的规范加以
10、约束。2 目标本规范的目标为:保护各种不同的安全区域的安全性。由于安全区域本身并不包含有信息资产,但安全区域内会存在各种信息设备或信息资产。因此安全区域的安全性主要从区域本身的特点出发,目的是保护区域内部的信息设备或信息资产免受外界的干扰、窃取或破坏。外界对于信息设备或信息资产的影响主要来自于两个方面。一是物理环境的因素,二是人为的因素。因此本规范的目标也可以分为两个分目标: 保护区域物理环境的安全,使得区域内的信息设备或信息资产免受物理环境(如温度湿度等)的影响。 保护区域的进出授权管理,使得区域内的信息设备或信息资产免受非法或未经授权的访问、窃取或破坏。3 适用范围本套规范适用的范围包括了
11、各种使用信息设备的安全区域,只要该区域内有正在使用的信息设备或有信息资产,则该区域属于本规范讨论的范围。例如各种使用计算机系统进行办公的办公室、仓库、车间等。如果该区域内没有信息设备或信息资产,则不属于本规范讨论的范围之内。但机房这一个相对独特的安全区域由于其重要性相对突出,因此不包含在本规范讨论的范围内。该规范针对各个不同安全区域,例如各种使用计算机系统进行日常办公的部门,用于确保安全区域的各种安全条件符合安全使用信息设备的要求。4 引用的文件或标准下列文件或标准中的条款通过本规范的引用而成为本规范的条款。本标准出版时,所示版均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最
12、新版本的可能性。1. GAT390-20XX 计算机信息系统安全等级保护通用技术要求2. GB50174-93 电子计算机机房设计规范3. SJ/T30003-93 电子计算机机房施工及验收规范4. GB9361-88 计算站场地安全要求5. GB2887-2000 电子计算机场地通用规范 6. GB6650-86 计算机机房用活动地板技术条件7. GB50052 供配电系统设计规范8. GB50057_94 建筑物防雷设计规范9. GB173-1998计算机信息系统防雷安全规范10. GB50045-95 高层民用建筑设计防火规范11. GBJ16-87 建筑设计防火规范12. NIST信息
13、安全系列美国国家标准技术院13. 英国国家信息安全标准BS779914. 信息安全基础保护IT Baseline Protection Manual (Germany)15. BearingPoint Consulting 内部信息安全标准16. RU Secure安全技术标准17. 信息系统安全专家丛书Certificate Information Systems Security Professional5 术语和定义安全区域 指区域内有需要受保护的信息资产或信息设备的物理区域。该物理区域之所以需要受到保护是因为在该区域所在的物理区域范围内有需要受到保护的信息系统相关的资产,该种信息系统相
14、关的资产可能是物理上存在的各种电子设备,也可能是无形的电子信息数据。而一些和信息系统无关的物理区域如机械车间、转井平台等不属于本规范安全区域的范畴。关键级区域 放置了大量的核心IT相关设备(如服务器和骨干网络设备)的区域。该区域一旦出现安全故障会直接影响到公司总部或各个地区公司的信息系统的正常运作,从而影响公司总部的业务运作或各个地区公司的业务运作,同时会对公司带来巨大的经济上或名誉上的损失。在这里对关键级区域的定义主要指各个地区公司或公司总部的计算机房区域。举例:地区公司机房或数据中心、中油企业级总机房或数据中心等注:由于该级别的区域特指机房,因此不在本规范中详细描述,该部分具体内容请参机房
15、安全管理规范重要级区域 区域内有重要的信息设备或信息资产,如信息敏感部门的办公区域等。其中包含了除机房区域以外其他重要的安全区域,该区域一旦出现信息安全故障会直接影响到各个业务单元或业务部门的信息系统的正常运作,从而影响各个业务单元或业务部门的运作,同时会对公司带来明显的经济上或名誉上的损失。举例:信息敏感部门办公区域关键业务部门办公区域等普通级区域区域内有一些普通的信息设备或信息资产。该区域一旦出现信息安全故障只会影响到个人或小范围群体的信息系统的正常运作,同时对公司带来的经济上或名誉上的损失也相对较小。举例:普通的办公区域等安全等级 为表示信息的不同敏感度, 按保密程度不同对信息进行层次划分的组合或集合。访问控制 一种安全保证手段,即信息系统的资源只能由被授权实体按授权方式进行访问,防止对资源的未授权使用。审计 为了测试出系统的控制是否足够, 为了保证与已建立的策略和操作相
免费区 
