中國石油公司應(yīng)用系統(tǒng)開發(fā)安全管理通則

1、編號:PetroChina!中石油中國石油信息安全標準JOOOOCIQOOOOOOOOCIOC中國石油天然氣股份有限公司應(yīng)用系統(tǒng)開發(fā)安全治理通則中國石油天然股份有限公司、八前隨著中國石油天然氣股份有限公司（以下簡稱“中國石油” ）信息化 建設(shè) 的穩(wěn)步推進，信息安全日益受到中國石油的廣泛關(guān) 注，本規(guī)范是依據(jù)中國石油信息安全的現(xiàn)狀，參照國際、國內(nèi)和行業(yè)相關(guān) 技術(shù)標準及規(guī)范，結(jié)合中國石油自身的應(yīng)用特點，制定的適合于中國石 油信息安全的標準與規(guī)范。目標在于通過在中國石油范圍內(nèi)建立信息安 全相關(guān)標準與規(guī)范，提高中國石油信息安全的技術(shù)和治理能力信息技術(shù)安全總體框架如下：信息安全技術(shù)標準_ W_ I_1物理

2、環(huán)境硬件設(shè)備網(wǎng)絡(luò)安全操作系統(tǒng)數(shù)據(jù)和文檔應(yīng)用系統(tǒng)安通用安全管安全管理1安全管理管埋規(guī)范安全管理安全管理L.全管理埋標準*4 44 4丄丄f4 44 4rT TXTXT4 4丄*4 4丄+丄y區(qū)域安全管理規(guī)十泡”機房安全管理規(guī)范少硬件設(shè)備管理規(guī)范少一網(wǎng)絡(luò)安全管理概述通用網(wǎng)絡(luò)安全管理規(guī)范內(nèi)部網(wǎng)絡(luò)安全管理規(guī)范外部網(wǎng)絡(luò)安全管理規(guī)范y操作系統(tǒng)安全管理規(guī)范少數(shù)據(jù)和文檔安全管理規(guī)范j j全 管應(yīng) 理用標系 準統(tǒng) 通使則用 安全 管應(yīng) 理用標系 準統(tǒng) 通開則發(fā) 安商業(yè)軟件購買管理標準少電子郵件安全管理規(guī)范少理 WeWe范系 安 全 管 范商 務(wù)計 算防機御 范犯惡 罪意管代理碼規(guī)和通用安全管理標準概述認證管理通

3、用標準受授呂里甬有示隹加固管理通用標準-加密管理通用標準日志管理通用標準系統(tǒng)登陸管理通用標準1）整體信息技術(shù)安全架構(gòu)從邏輯上共分為7個部分，分不為：物理 環(huán)境、硬件設(shè)備、網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)和文檔、應(yīng)用系統(tǒng)和通用安全治理標準。圖中帶陰影的方框中帶書名號的為單獨成冊的 部分，共有13本規(guī)范和1本通用標準。2） 關(guān)于13個規(guī)范中具有一定共性的內(nèi)容我們整理出了7個標 準橫向貫穿整個架構(gòu)，這7個標準的組合也依據(jù)了信息安 全生命周期的理論模型。每個標準都會對所有的規(guī)范中 相關(guān)涉及到的內(nèi)容產(chǎn)生指導作用，但每個標準應(yīng)用在不同的規(guī)范中又會有相應(yīng)不同的具體的內(nèi)容。我們在行文上將這7個標準組合成一本通用安全治理標

4、準單獨成冊。3） 全文以信息安全生命周期的方法論作為差不多指導，規(guī)范和標 準的內(nèi)容差不多都依照預(yù)防愛護檢測跟蹤響應(yīng)恢復(fù)的理論基礎(chǔ)行文III / 77本通則討論了在企業(yè)內(nèi)部自行開發(fā)一套應(yīng)用系統(tǒng)或外包開發(fā)所必須 考慮到的幾個步驟，開發(fā)應(yīng)用系統(tǒng)的安全性考慮就看起來建設(shè)樓房一樣， 擁有越牢固的地基樓房越是穩(wěn)定，因此應(yīng)用系統(tǒng)在開發(fā)時期打好堅實的 安全基礎(chǔ)，那么以后的日常維護工作就會專門輕松。以下我們要緊從系 統(tǒng)開發(fā)的各個時期入手，考慮在標準的開發(fā)流程的各個時期中要注意的 安全方面的考慮。本規(guī)范由中國石油天然氣股份有限公司公布。本規(guī)范由中國石油天然氣股份有限公司科技與信息治理部歸口治理 解釋。起草部門：中

5、國石油制定信息安全政策與標準項目組。在中國石油信息安全標準中涉及以下概念：組織機構(gòu)中國石油(PetroChina)指中國石油天然氣股份有限公司有時也稱“股份公司”。集團公司(CNPC指中國石油天然氣集團公司有時也稱“存續(xù)公司”為區(qū)分中國石油的地區(qū)公司和集團公司下屬單位，擔提及“存續(xù)部分” 時指集團公司下屬的單位。如：遼河油田分公司存續(xù)部分指集團公司下 屬的遼河石油治理局。計算機網(wǎng)絡(luò)中國石油信息網(wǎng)(PetroChinaNet)指中國石油范圍內(nèi)的計算機網(wǎng)絡(luò)系統(tǒng)。中國石油信息網(wǎng)是在中國石油天然氣集團公司網(wǎng)絡(luò)的基礎(chǔ)上， 進行擴充與提高所形成的連接中國石油所屬各個單位計算機局域網(wǎng)和園 區(qū)網(wǎng)。V / 77

6、集團公司網(wǎng)絡(luò)（CNPCNe） 指集團公司所屬范圍內(nèi)的網(wǎng)絡(luò)。中國石 油的一些地區(qū)公司是和集團公司下屬的單位共用一個計算機網(wǎng)絡(luò)，當提及“存續(xù)公司網(wǎng)絡(luò)”時，指存續(xù)公司使用的網(wǎng)絡(luò)部分。主干網(wǎng) 是從中國石油總部連接到各個下屬各地區(qū)公司的網(wǎng)絡(luò)部分， 包括中國石油總部局域網(wǎng)、各個二級局域網(wǎng)（或園區(qū)網(wǎng)）和連接這些網(wǎng) 絡(luò)的專線遠程信道。有些單位通過撥號線路連接到中國石油總部，不是 利用專線，如此的單位和所使用的遠程信道不屬于中國石油專用網(wǎng)主干 網(wǎng)組成部分。地區(qū)網(wǎng) 地區(qū)公司網(wǎng)絡(luò)和所屬單位網(wǎng)絡(luò)的總和。 這些局域網(wǎng)或園區(qū)網(wǎng) 互相連接所使用的遠程信道能夠是專線，也能夠是撥號線路。局域網(wǎng)與園區(qū)網(wǎng)局域網(wǎng)通常指，在一座建筑中

7、利用局域網(wǎng)技術(shù)和設(shè)備建設(shè)的高速網(wǎng)絡(luò)。園區(qū)網(wǎng)是在一個園區(qū)（例如大學校園、治理局基地 等）內(nèi)多座建筑內(nèi)的多個局域網(wǎng)，利用高速信道互相連接起來所構(gòu)成的 網(wǎng)絡(luò)。園區(qū)網(wǎng)所利用的設(shè)備、運行的網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)傳輸速度差不多相 同于局域網(wǎng)。局域網(wǎng)和園區(qū)網(wǎng)通常差不多上用戶自己建設(shè)的。局域網(wǎng)和園區(qū)網(wǎng)與廣域網(wǎng)不同，廣域網(wǎng)不僅覆蓋范圍廣，所利用的設(shè)備、運行的 協(xié)議、傳送速率都與局域網(wǎng)和園區(qū)網(wǎng)不同。傳輸信息的信道通常差不多 上電信部門建設(shè)的。二級單位網(wǎng)絡(luò) 指地區(qū)公司下屬單位的網(wǎng)絡(luò)的總和，可能是局域網(wǎng)， 也可能是園區(qū)網(wǎng)。專線與撥號線路 從連通性劃分的兩大類網(wǎng)絡(luò)遠程信道。專線，指數(shù) 字電路、幀中繼、DDN和ATM等經(jīng)常保持連

8、通狀態(tài)的信道；撥號線路， 指只在傳送信息時才建立連接的信道，如電話撥號線路或ISDN撥號線路。這些遠程信道可能用來連接不同地區(qū)的局域網(wǎng)或園區(qū)網(wǎng)，也可能用 于連接單臺計算機。石油專網(wǎng)與公網(wǎng) 石油專業(yè)電信網(wǎng)和公共電信網(wǎng)的簡稱。最后一公里問題 建設(shè)廣域網(wǎng)時，用戶局域網(wǎng)或園區(qū)網(wǎng)連接附近電信 部門信道的最后一段距離的連接問題。這段距離通常小于一公里，但也 有大于一公里的情況。為簡便，同稱為最后一公里問題。VII / 77涉及計算機網(wǎng)絡(luò)的術(shù)語和定義請參見中國石油局域網(wǎng)標準1.1概述.31.2目標.31.3規(guī)范的使用范圍 .41.4規(guī)范引用的文件或標準 .51.5術(shù)語和定義.61.6應(yīng)用系統(tǒng)開發(fā)總體原則 .71.7系統(tǒng)需求收集和分析時期安全規(guī)范 .81.7.1可行性研究分析 .81.7.2開發(fā)人員安全治理機制 .101.7.3建立系統(tǒng)開發(fā)安全需求分析報告 .111.8系統(tǒng)設(shè)計時期的安全規(guī)范 .121.8.1單點訪問操縱，無后門。 .121.8.2人員職責和權(quán)限的定義 .121.8.3確保敏感系統(tǒng)的安全性 .121.8.4確保訪問層的安全性 .121.8.5確保日志治理機制健全 .121.8.6新系統(tǒng)的容量規(guī)劃 .131.9系統(tǒng)開發(fā)時期安全規(guī)范 .141.9.1系統(tǒng)開發(fā)語言安全規(guī)范 .141.9.2系統(tǒng)開發(fā)安全相關(guān)工具治理規(guī)范 .191.9.3操縱軟件代碼程序