中国石油信息安全标准编号:中国石油天然气股份有限公司数据和电子文档安全管理规范(审阅稿)版本号:V3审阅人:王巍中国石油天然股份有限公司数据和电子文档安全管理规范I前言随着中国石油天然气股份有限公司(以下简称“中国石油”)信息化建设的稳步推进,信息安全日益受到中国石油的广泛关注,加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策和标准,并在集团内统一推广、实施。本规范是依据中国石油信息安全的现状,参照国际、国内和行业相关技术标准及规范,结合中国石油自身的应用特点,制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全相关标准与规范,提高中国石油信息安全的技术和管理能力。信息技术安全总体框架如下(change-highlightthecorrespondingone):1)整体信息技术安全架构从逻辑上共分为7个部分,分别为:物理环境、硬件设备、网络、操作系统、数据和电子文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分,共有13本《规范》和1本《通用标准》。2)对于13个《规范》中具有一定共性的内容我们整理出了7个《标准》横向贯穿整个架构,这7个《标准》的组合也依据了信息安全生命周期的理论模型。每个《标准》都会对所有的《规范》中相关涉及到的内容产生指导作用,但每个《标准》应用在不同的《规范》中又会有相应不同的具体的内容。我们在行文上将这六个标准组合成一本通用的安全管理标准单独成册。3)全文以信息安全生命周期的方法论作为基本指导,《规范》和《标准》的内容基本都根据预防——〉保护——〉检测跟踪——〉响应恢复的理论基础行文。随着企业信息化建设的不断深入,企业对于各类信息需求也越来越紧迫,同时,企业内部的各种信息数据的重要程度也越来越高。有时由于企业信息数据的丢失或破坏对于一个企业来说影响程度是无法估计的,可能会直接导致一个企业的失败。而保护企业信息的最直接最关键的方法就是对于信息数据和电子文档安全管理规范II的各种电子化的载体的安全控制,比如电子电子文档或存储在数据库中的数据。因此本规范就是针对该类数据和电子文档安全上的考虑,在上图——信息安全总体框架中以深色底色标注的部分。为加强计算机系统的信息安全,1985年美国国防部发表了《可信计算机系统评估准则》(缩写为TCSEC),它依据处理的信息等级采取的相应对策,划分了4类7个安全等级。依照各类、级的安全要求从低到高,依次是D、C1、C2、B1、B2、B3和A1级。在中国市场上的国外数据库安全等级为C2级,国外更高级别的数据库是限制对中国出口的(目前通用标准(CC:CommonCriteria)已经被国际标准化组织接受,代替TCSEC来评价计算机的安全等级,通用标准的EAL3级大致与C2级的功能相当)。但是中国目前的大型企业使用的数据库系统,包括中国石油内部使用的,大多数还是国外厂商生产的数据库产品,在无法购买到更安全的技术的情况下,需要通过其他的安全管理措施来加强数据库的安全特性。本规范由中国石油天然气股份有限公司发布。本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。起草部门:中国石油制定信息安全政策与标准项目组。数据和电子文档安全管理规范III说明在中国石油信息安全标准中涉及以下概念:组织机构中国石油(PetroChina)指中国石油天然气股份有限公司有时也称“股份公司”。集团公司(CNPC)指中国石油天然气集团公司有时也称“存续公司”。为区分中国石油的地区公司和集团公司下属单位,但提及“存续部分”时指集团公司下属的单位。如:辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网(PetroChinaNet)指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上,进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。集团公司网络(CNPCNet)指集团公司所属范围内的网络。中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络,当提及“存续公司网络”时,指存续公司使用...