《管理制度-网络安全管理规范030328v3fd 精品.doc》由会员分享,可在线阅读,更多相关《管理制度-网络安全管理规范030328v3fd 精品.doc(86页珍藏版)》请在第一文库网上搜索。
1、 中国石油信息安全标准编号:中国石油天然气股份有限公司网络安全管理规范(审阅稿)版本号:V3审阅人:王巍中国石油天然股份有限公司前 言随着中国石油天然气股份有限公司(以下简称“中国石油”)信息化建设的稳步推进,信息安全日益受到中国石油的广泛关注,加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策和标准,并在集团内统一推广、实施。本规范是依据中国石油信息安全的现状,参照国际、国内和行业相关技术标准及规范,结合中国石油勘探与生产地区公司、炼油与销售地区公司、化工与销售地区公司、天然气与管道地区公司等四个专业分公司的应用特点,制定的适合于中国石油
2、信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全相关标准与规范,提高中国石油信息安全的技术和管理能力。本规范中信息技术安全总体框架如下:1) 整体信息技术安全架构从逻辑上共分为7个部分,分别为:物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分,共有13本规范和1本通用标准。2) 对于13个规范中具有一定共性的内容我们整理出了6个标准横向贯穿整个架构,这6个标准的组合也依据了信息安全生命周期的理论模型。每个标准都会对所有的规范中相关涉及到的内容产生指导作用,但每个标准应用在不同的规范中又会有相应不同的具体的内容
3、。我们在行文上将这六个标准组合成一本通用的安全管理标准单独成册。3) 全文以信息安全生命周期的方法论作为基本指导,规范和标准的内容基本都根据认证授权内容安全日志管理的理论基础行文。本文即为信息安全总体框架中以深色标注的部分:网络安全管理规范,主要制定了各种网络系统相关的安全问题的管理规范。随着信息技术的发展,企业对于网络通讯的依赖程度日益增大,网络作为企业信息系统的基础更加需要受到更密切的保护。网络安全设计到法律、管理和技术等多方面的因素。因此必须从各个方面加强网络的安全防范。本规范从网络互联范围的角度将网络的安全管理分为三个部分进行描述,他们分别是网络的通用管理规范、外部网络的安全管理规范和
4、内部网络的安全管理规范三个部分。本规范由中国石油天然气股份有限公司提出。本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。起草单位:中国石油制定信息安全政策与标准项目组。说 明在中国石油信息安全标准中涉及以下概念:组织机构中国石油(PetroChina) 指中国石油天然气股份有限公司有时也称“股份公司”。集团公司(PC) 指中国石油天然气集团公司有时也称“存续公司”。为区分中国石油的地区公司和集团公司下属单位,但提及“存续部分”时指集团公司下属的单位。如:辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网(PetroChinaNet) 指中国石油范围内
5、的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上,进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。集团公司网络(Pet) 指集团公司所属范围内的网络。中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络,当提及“存续公司网络”时,指存续公司使用的网络部分。主干网 是从中国石油总部连接到各个下属地区公司的网络部分,包括中国石油总部局域网、各个二级局域网(或园区网)和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总部,不是利用专线,这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。地区网 地区公司网络和所属单位网络的
6、总和。这些局域网或园区网互相连接所使用的远程信道可以是专线,也可以是拨号线路。局域网与园区网 局域网通常指,在一座建筑中利用局域网技术和设备建设的高速网络。园区网是在一个园区(例如大学校园、管理局基地等)内多座建筑内的多个局域网,利用高速信道互相连接起来所构成的网络。园区网所利用的设备、运行的网络协议、网络传输速度基本相同于局域网。局域网和园区网通常都是用户自己建设的。局域网和园区网与广域网不同,广域网不仅覆盖范围广,所利用的设备、运行的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建设的。二级单位网络 指地区公司下属单位的网络的总和,可能是局域网,也可能是园区网。专线与
7、拨号线路 从连通性划分的两大类网络远程信道。专线,指数字电路、帧中继、DDN和ATM等经常保持连通状态的信道;拨号线路,指只在传送信息时才建立连接的信道,如电话拨号线路或ISDN拨号线路。这些远程信道可能用来连接不同地区的局域网或园区网,也可能用于连接单台计算机。石油专网与公网 石油专业电信网和公共电信网的简称。最后一公里问题 建设广域网时,用户局域网或园区网连接附近电信部门信道的最后一段距离的连接问题。这段距离通常小于一公里,但也有大于一公里的情况。为简便,同称为最后一公里问题。涉及计算机网络的术语和定义请参见中国石油局域网标准。目 录第 1 章网络安全管理概述81.1概述81.2目标81.
8、3适用范围81.4规范引用的文件或标准91.5术语和定义101.6理论依据11第 2 章通用网络安全管理规范132.1网络线路/设备的加固132.1.1网络线路加固132.1.2网络设备加固142.2防火墙安全管理172.2.1防火墙设置策略制定步骤172.2.2防火墙设置172.2.3防火墙对网络传输协议的控制202.3网络入侵检测(IDS)232.3.1入侵检测系统(IDS)概览232.3.2实施入侵检测系统(IDS)242.3.3处理入侵检测系统(IDS)输出数据272.4网络实时监控管理292.4.1基于SNMP协议的网络实时监控管理292.4.2基于Out of Band的网络实时监
9、控管理302.5网络渗透性测试322.5.1建立目标322.5.2定义报告格式322.5.3授权(许可证)332.5.4选择测试的工具332.5.5实施渗透性测试332.5.6评估测试并编写报告332.6网络拒绝服务攻击防范342.6.1防御分布式的拒绝服务攻击(Deny of Service)342.7VPN技术实施通用规范372.8通用网络服务的使用授权管理规范392.8.1外来访问者网络使用管理规范392.8.2内部员工管理办法392.9网络系统相关日志管理和权限的审计管理412.9.1网络设备配置更改登记簿管理412.9.2网络设备存放保管登记簿管理412.9.3网络事件日志定期的审计
10、和人员权限的定期审核42第 3 章公司外部网络安全管理规范433.1Internet访问安全管理规范433.1.1中国石油股份公司总部Internet访问网络连接安全管理架构433.1.2地区公司Internet访问网络连接安全管理架构463.1.3地区公司下级公司Internet访问网络连接安全管理架构483.1.4用户Internet使用安全管理493.2远程访问安全管理规范513.2.1远程访问安全通用准则513.2.2第三方合作伙伴网络接入安全管理规范513.2.3外部工作人员远程接入内部网络安全管理规范52第 4 章公司内部网络安全管理规范564.1内部局域网络安全管理规范564.1
11、.1股份公司局域网络完全独立的情况564.1.2股份公司局域网络和集团公司共享的情况584.2内部网络虚拟局域网(VLAN)划分标准594.2.1划分标准594.3内部广域网络安全管理规范614.3.1总部和一级地区公司之间的广域网连接规范614.3.2地区公司之间的广域网连接规范654.3.3地区公司和下级单位之间的广域网连接规范66附录 1分布式拒绝服务攻击具体防范案例分析67附录 281附录 3本规范用词说明82第 1 章 网络安全管理概述1.1 概述网络,作为企业信息管理体系的基础设施,起着连接不同的信息终端、传递信息系统内部的信息的作用。显而易见,网络在企业信息安全的体系架构中占有举
12、足轻重的地位,保证计算机网络系统的安全是保护整个企业信息系统安全的前提和基础。随着网络技术的不断发展,尤其是近两年随着网络的快速普及以及网络开放性、共享性和互联程度的扩大,特别是互联网的出现,网络的重要性和影响也越来越大。而另一方面,网络由于其独特的方便性和开放性,使其面对各种各样外在内在的威胁和攻击显得十分脆弱。为了解决这个问题,可通过各种网络安全防范的技术手段加之相应的管理规范。从而将网络上存在的安全风险和安全隐患降至最低。1.2 目标本规范的目标为:通过对于网络系统的保护,从而保护经网络系统传输的数据的安全以及网络系统所连接的设备的安全,使得这些数据和设备免遭他人在未经授权的情况下进行的
13、非法操作。进一步防止信息资产的损坏、丢失,敏感信息的泄漏以及商务活动的中断,保障中国石油业务的持续运营,保护中国石油信息资产安全。1.3 适用范围本套规范适用的范围包括了公司内部所有与网络系统相关的技术和管理规范。包括了公司内部局域网、公司内部广域网、公司和第三方合作伙伴的网络连接、公司Internet连接以及用户远程登陆连接。本规范内容仅限于与网络安全相关的内容,其他对于硬件设备、操作系统、数据文档等的安全考虑不在本规范的范围内。1.4 规范引用的文件或标准下列文件中的条款通过本标准的引用而成为本标准的条款。凡是不注日期的引用文件,其最新版本适用于本标准。1. GB17859-1999 计算
14、机信息系统安全保护等级划分准则2. GB/T 9387-1995 信息处理系统 开放系统互连基本参考模型(ISO7498 :1989)3. GA/T 391-20XX 计算机信息系统安全等级保护管理要求4. ISO/IEC TR 13355 信息技术安全管理指南5. NIST信息安全系列美国国家标准技术院6. 英国国家信息安全标准BS77997. 信息安全基础保护IT Baseline Protection Manual (Germany)8. BearingPoint Consulting 内部信息安全标准9. RU Secure安全技术标准10. 信息系统安全专家丛书Certificate Information Systems Security Professional1.5 术语和定义审计audit 为了测试出系统的控制是否足够, 为了保证与已建立的策略和操作相符合, 为了发现安全中的漏洞, 以及为了建议在控制、策略中作任何指定的改变, 而对系统记录与活动进行的独立观察。(GB9387-95)授权authorization 给予权利,包括信息资源访问权的授予。攻击 attack 违反计算机安全的企图。缓冲器溢出 buffer overflow是指通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的