《电子商务安全管理规范_030326_v3_fd17608.docx》由会员分享,可在线阅读,更多相关《电子商务安全管理规范_030326_v3_fd17608.docx(44页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、中国石油信息安全标准编号: 中国石油天然气股份有限公司电子商务安全管理规范(审阅稿)版本号:V3审阅人:王巍中国石油天然股份有限公司前 言随着中国石油天然气股份有限公司(以下简称“中国石油”)信息化建设的稳步推进,信息安全日益受到中国石油的广泛关注,加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策和标准,并在集团内统一推广、实施。本规范是依据中国石油信息安全的现状,参照国际、国内和行业相关技术标准及规范,结合中国石油自身的应用特点,制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全相关标准与规范,提高中国石
2、油信息安全的技术和管理能力。信息技术安全总体框架如下:1) 整体信息技术安全架构从逻辑上共分为7个部分,分别为:物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分,共有13本规范和1本通用标准。2) 对于13个规范中具有一定共性的内容我们整理出了7个标准横向贯穿整个架构,这7个标准的组合也依据了信息安全生命周期的理论模型。每个标准都会对所有的规范中相关涉及到的内容产生指导作用,但每个标准应用在不同的规范中又会有相应不同的具体的内容。我们在行文上将这7个标准组合成一本通用安全管理标准单独成册。3) 全文以信息安全生命周期的方法
3、论作为基本指导,规范和标准的内容基本都根据预防保护检测跟踪响应恢复的理论基础行文。中国石油电子商务交易平台(,能源一号) 由中国石油和和记黄埔等7个公司成立的合资公司(以下简称合资公司)负责运营,是一个国际一流的、以中国石油天然气工业为主要对象的企业对企业(B2B)电子交易平台,为石油及天然气市场上的参与者提供产品交易、行业信息、物流及其它增值服务。因此合资公司是电子商务交易的组织者和潜在的电子市场的秩序维护者,而能源一号则是一个潜在的电子交易市场(目前还不具备完整意义上的电子交易市场功能即为各个买方和卖方提供交易撮合工具和自由交易保证的平台)。中国石油总部、专业分公司、全资子公司、地区分公司
4、和直属科研规划院(全资子公司、地区分公司和直属科研规划院以下简称地区公司)、控股子公司、参股公司以及其它中国石油天然气工业企业和相关的供应商和采购商是电子商务平台的用户。中国石油电子商务部负责中国石油电子商务工作的组织、管理、协调和指导部门,负责对电子商务应用系统进行归口管理。地区公司成立相应的电子商务管理部门并设立技术岗位,在需要的业务岗位上配备电子商务应用系统终端进而实施电子商务行为。由此可见中国石油及其地区公司等是中国石油电子商务的参与者。在中国石油电子商务过程中需要防范一系列的安全问题,主要包括其作为电子商务系统技术平台组织者需要防范的安全问题和作为电子商务参与者需要防范的安全问题。就
5、组织者的角色而言,合资公司以及中国石油电子商务部等相关单位需要维护整个电子商务交易平台的安全,包括软硬件设备、网络系统、数据等的安全。就参与者的角色而言,中国石油需要考虑电子商务的交易安全,即怎样防止交易过程中可能出现的不安全因素,对电子商务系统提供的交易平台提出安全要求并最终由相关组织如合资公司加以落实。需要指出的是电子商务安全是涉及面非常广的话题,需要从管理、组织、流程和技术等角度综合考虑安全防范问题。本规范从电子商务系统平台安全和电子商务交易安全两个方面规范中国石油和其它各方在电子商务方面的安全要求。即为上图的在整个信息安全总体架构中以深色底色标注的部分。本规范由中国石油天然气股份有限公
6、司发布。本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。起草部门:中国石油制定信息安全政策与标准项目组。说 明在中国石油信息安全标准中涉及以下概念:组织机构中国石油(PetroChina) 指中国石油天然气股份有限公司有时也称“股份公司”。集团公司(CNPC) 指中国石油天然气集团公司有时也称“存续公司”。为区分中国石油的地区公司和集团公司下属单位,担提及“存续部分”时指集团公司下属的单位。如:辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网(PetroChinaNet) 指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网
7、络的基础上,进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。集团公司网络(CNPCNet) 指集团公司所属范围内的网络。中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络,当提及“存续公司网络”时,指存续公司使用的网络部分。主干网 是从中国石油总部连接到各个下属各地区公司的网络部分,包括中国石油总部局域网、各个二级局域网(或园区网)和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总部,不是利用专线,这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。地区网 地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道可
8、是专线,也可是拨号线路。局域网与园区网 局域网通常指,在一座建筑中利用局域网技术和设备建设的高速网络。园区网是在一个园区(例如大学校园、管理局基地等)内多座建筑内的多个局域网,利用高速信道互相连接起来所构成的网络。园区网所利用的设备、运行的网络协议、网络传输速度基本相同于局域网。局域网和园区网通常都是用户自己建设的。局域网和园区网与广域网不同,广域网不仅覆盖范围广,所利用的设备、运行的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建设的。二级单位网络 指地区公司下属单位的网络的总和,可能是局域网,也可能是园区网。专线与拨号线路 从连通性划分的两大类网络远程信道。专线,指数
9、字电路、帧中继、DDN和ATM等经常保持连通状态的信道;拨号线路,指只在传送信息时才建立连接的信道,如电话拨号线路或ISDN拨号线路。这些远程信道可能用来连接不同地区的局域网或园区网,也可能用于连接单台计算机。石油专网与公网 石油专业电信网和公共电信网的简称。最后一公里问题 建设广域网时,用户局域网或园区网连接附近电信部门信道的最后一段距离的连接问题。这段距离通常小于一公里,但也有大于一公里的情况。为简便,同称为最后一公里问题。涉及计算机网络的术语和定义请参见中国石油局域网标准。目 录1概述62目标73适用范围74规范引用的文件或标准85术语和定义96电子商务平台规范106.1电子商务基础建设
10、安全统中的安全标准和规范。106.2电子商务审计跟踪管理156.3电子商务业务连贯性管理176.4电子商务符合性管理207电子商务交易安全规范227.1基本加密技术237.2电子商务交易安全机制277.3电子商务交易安全协议317.4电子商务交易安全35附录 1参考文献38附录 2本规范用词说明391 概述中国石油的电子商务安全规范分为“电子商务系统平台安全规范”和“电子商务交易安全规范”。电子商务系统平台规范部分从电子商务相关的物理环境、硬件系统、网络系统、操作系统、应用系统和电子商务文档和数据等多个方面规范了电子商务系统平台的安全性,并且制订了关于电子商务平台系统升级、系统安全性测试、系统
11、的业务连续性、审计跟踪以及相关法律法规和技术符合性方面的安全规范,旨在保护电子商务系统平台的安全,并在发生威胁的时候力求把可能对于中国石油造成的业务影响降到最低程度。电子商务的交易安全主要从技术和管理的角度说明电子商务交易安全的目标、技术手段和管理方法。在电子商务交易中,需要保证交易过程中的安全性、完整性、身份验证和不可否认性。为了满足这些交易安全目标,需要实施综合的交易安全架构,如下图所示:安全基本加密算法安全机制安全协议和应用其中基本加密算法是基础,提供了最基本的数据加密和数据摘要等加密方法,保证了数据的机密性;在此之上可通过综合利用各种基本的加密算法形成多种安全机制如数字证书、数字签名,
12、这些安全机制就可保证交易的安全性、完整性、身份验证和不可否认性;除此以外各种安全协议例如SSL在不同的协议层次实现了数字证书的安全机制,中国石油在电子商务过程中应采用不同的安全协议实现交易安全。除了技术手段之外,还需要综合使用管理手段才能保证电子商务的交易安全,主要包括身份和密码管理规范、合作伙伴管理规范以及其它交易安全的管理规范三个方面。2 目标本规范的目标在于:保护中国石油电子商务系统平台(能源一号)的系统安全和持续运行,并将可能发生的威胁对中国石油的业务影响降至最低。保证能源一号上的各个交易方可稳定地使用该系统进行电子商务交易活动;明确电子商务的交易安全要求,确定能源一号系统在电子商务交
13、易安全方面需要达到的目标,为中国石油电子商务部和合资公司制订电子商务安全发展规划确定方向;明确中国石油及其相关附属公司和单位在能源一号上进行电子商务的安全规范和技术要求。3 适用范围本套规范适用的范围包括了所有和电子商务平台和交易相关的安全问题和安全事件。具体来说包括用于电子商务系统平台的安全维护,电子商务系统平台的交易安全措施改进;以及确保中国石油电子商务部和地区公司电子商务管理部门和第三方之间的电子商务交易安全。本规范主要针对以下的几类读者: 中国石油相关领导,主要阅读本规范的前言、概述、目标和使用范围,理解电子商务的重要性、目标、方法和手段。 合资公司电子商务系统的维护人员,主要阅读本文
14、的1.6章节电子商务系统平台安全规范部分 中国石油电子商务部和合资公司电子商务系统的相关负责人员,阅读1.6章节和1.7章节,理解电子商务的交易安全需求,并制订相应的规划和措施保证电子商务的交易安全和平台安全。 地区公司电子商务管理部门相关人员,主要阅读本规范的1.7章节,理解电子商务交易安全的技术要求和管理要求。 其它第三方人员,阅读本规范的1.7章节,理解电子商务的交易安全措施和手段。4 规范引用的文件或标准下列文件中的条款通过本标准的引用而成为本标准的条款。凡是不注日期的引用文件,其最新版本适用于本标准。1. GB17859-1999 计算机信息系统安全保护等级划分准则2. GB/T 9
15、387-1995 信息处理系统 开放系统互连基本参考模型(ISO7498 :1989)3. GA/T 391-2002 计算机信息系统安全等级保护管理要求4. ISO/IEC TR 13355 信息技术安全管理指南5. NIST信息安全系列美国国家标准技术院6. 英国国家信息安全标准BS77997. 信息安全基础保护IT Baseline Protection Manual (Germany)8. BearingPoint Consulting 内部信息安全标准9. RU Secure安全技术标准10. 信息系统安全专家丛书Certificate Information Systems Sec
16、urity Professional5 术语和定义不对称密钥加密 asymmetric cryptography 用公开密钥和对应的私有密钥进行加密和解密的加密方法。注:如果公钥用于加密,则对应的私钥必须用于解密,反之亦然。审计audit 为了测试出系统的控制是否足够, 为了保证与已建立的策略和操作相符合, 为了发现安全中的漏洞, 以及为了建议在控制、策略中作任何指定的改变, 而对系统记录与活动进行的独立观察。(GB9387-95)审计跟踪audit trail 收集数据,以备在安全审计时使用。可用性availability 数据或资源的特性,被授权实体按要求能及时访问和使用数据或资源。保密性
17、confidentiality 数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。完整性integrity在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,信息系统中的数据与在原文档中的相同,并未遭受偶然或恶意的修改或破坏时所具的性质。应急计划 contingency plan 作为安全程序的一部分,通过信息系统动作来实现紧急反应,备份操作和灾难区恢复的计划。数字证书digital certificate是一个经证书认证机构(CA)数字签名的包含用户身份信息以及公开密钥信息的电子文件,是各实体在网上进行信息交流及商务活动的电子身份
18、证。数字信封digital envelope 附加到消息中的数据,它允许消息的预期接收方验证该消息内容的完整性。数字签名 digital signature 添加到消息中的数据,它允许消息的接收方验证该消息的来源。灾难恢复disaster recovery plan作为安全程序的一部分,通过信息系统动作来实现紧急反应,备份操作和灾难区恢复的计划。电子商务electronic commerce 是通过电子方式进行的商务活动。它通过电子方式处理和传递数据,包括文本声音和图像。它涉及许多方面的活动,包括货物电子贸易和服务、在线数据传递、电子资金划拨、电子证券交易、电子货运单证、商业拍卖、合作设计和工
19、程、在线资料、公共产品获得。加密encryption 通过密码系统把明文变换为不可懂的形式。加密算法encryption algorithm 实施一系列变换,使信息变成密文的一组数学规则。黑客 hacker 企图访问信息资源的非授权用户。身份认证 identity authentication 使信息处理系统能识别出用户、设备和其他实体的测试实施过程。同身份验证。例:检验一个口令或身份权标。漏洞loophole 由软硬件的设计疏忽或漏洞导致的能避过系统的安全措施的一种错误。风险评估risk assessment 一种系统的方法,标识出信息处理系统的资产、对这些资产的威胁以及该系统对这些威胁的脆
20、弱性。不可否认性non-repudiation 信息系统中涉及的若干个实体中的一个对曾参与全部或部分通信过程不能否认的特性。安全审计 security audit 为了测试出系统的控制是否足够, 为了保证与已建立的策略和操作相符合, 为了发现安全中的漏洞, 以及为了建议在控制、策略中作任何指定的改变, 而对系统记录与活动进行的独立观察。(GB9387-95)安全性测试security testing 用于确定系统的安全特征按设计要求实现的过程。这一过程包括现场功能测试、渗透测试和验证。安全策略security policy 规定机构如何管理、保护与分发敏感信息的法规与条例的集合。对称密钥加密s
21、ymmetric cryptography 同一密钥既用于加密也用于解密的加密方法。虚拟专用网Virtual Private Network(VPN)为通过公共网络(通常是Internet)建立一个临时的、安全的连接,它是对企业内部网的扩展。VPN可以帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接,并保证数据的安全传输。IDS 入侵监测系统 自动检测网络数据流中潜在入侵、攻击和滥用方式,提供了网络安全保护功能。它位于被保护的内部网络和不安全的外部网络之间,通过实时截获网络数据流,寻找网络违规模式和未授权的网络访问尝试。DMZ 非军事化区 作为组织网络的进入点,负责
22、保护安全区域边界或外部连接。SNMP简单网络管理协议 Simple Network Management Protocol (SNMP)渗透性测试 组织专门程序员或分析员进行系统渗透,以发现系统安全脆弱性,通常会模拟黑客真实环境和手段进行测试以发现系统安全漏洞。拒绝服务攻击 是一种导致计算机和网络无法正常提供服务的攻击,资源的授权访问受阻或关键时刻的操作的延误。日志 一种信息的汇集, 记录有关对系统操作和系统运行的全部事项,提供了系统的历史状况。业务连贯性 防止业务活动中断,保证重要业务流程不受重要故障和灾难的影响安全要求。6 电子商务平台规范电子商务应用系统储存着大量重要的甚至高度机密的企业
23、信息,对系统不正确的使用或毁坏会给企业带来严重的后果,因此,必须加强电子商务系统平台的安全管理。其目的在于: 确保电子商务系统平台免受毁坏、随意更改和非法侵入; 确保电子商务系统平台的安全保护措施得以贯彻实施。6.1 电子商务基础建设安全统中的安全中国石油从2001年8月开始,由IBM组织实施了完整的电子商务系统,在该系统中充分考虑了系统的冗余性和安全性,为中国石油电子商务系统的基建安全提供了技术保证。因此本规范主要从技术管理和预防的角度考虑电子商务网络系6.1.1 电子商务系统物理环境和设备安全a) 电子商务系统的机房应符合机房安全管理规范中对于关键级机房安全等级的相关要求。b) 电子商务系
24、统的办公区域应符合区域安全管理规范中对于重要级区域安全的相关要求。c) 电子商务系统所涉及的所有的服务器、网络设备和其他硬件设备应符合硬件设备安全管理规范中对于关键级设备的安全相关要求。6.1.2 电子商务网络系统安全根据网络系统安全管理规范,从以下三个方面进行描述:6.1.2.1 电子商务网络系统通用安全管理a) 对于电子商务系统中相关的网络设备和网络线路应参照网络系统安全管理规范中2.1.1和2.1.2两个章节,分别关于网络线缆和网络设备的相关加固规范。b) 对于电子商务系统中相关的防火墙设备的设置的基本规范应遵循网络系统安全管理规范中2.2章节对于防火墙设置的相关规范。c) 电子商务系统
25、中应采用入侵检测系统(IDS)对于外部的攻击进行有效的检测和阻挡。根据网络系统安全管理规范中2.3章节关于入侵检测系统的实施规范中的相关规定,电子商务系统应在外部防火墙以内或非军事化区(DMZ)区域设置入侵检测系统,同时还应在交易系统服务器等关键性的网段上设置相应的入侵检测系统。d) 电子商务系统的网络实时管理应采用SNMP和Out of Band两种管理办法结合的方式进行。须注意的是,对电子商务系统的网络监控应建立Out of Band的管理机制,一旦网络系统遭到入侵可通过专有线路对网络设备进行调试和管理。e) 应对于电子商务系统实施相关的渗透性测试,通过检测找出系统可能存在的弱点或漏洞。可
26、通过自行组织的方式或聘请第三方检测机构进行渗透性测试。但测试的实施应严格参照网络系统安全管理规范中2.5章节关于渗透性测试的相关实施规范进行。f) 电子商务系统应特别注意防范“拒绝服务攻击”,对于该类攻击的防范应遵循网络系统安全管理规范中2.6章节的相关内容。g) 应遵照网络系统安全管理规范中通用网络安全管理规范其他相关的条款。6.1.2.2 电子商务外部网络系统连接安全a) 应同时选用两家互联网络服务供应商(ISP)作为Internet互联网连接的供应商以防止由于ISP的Internet连接线路中断造成的网络连接中断。b) 关键网络连接设备如接入路由器或外部防火墙等应采用双机热备冗余的机制,
27、防止由于关键网络设备故障造成的网络中断。c) 禁止任何其他的Internet互联网的接入内部网络系统或内部主机。包括各种类型拨号网络。d) 关闭防火墙上所有和业务无关的端口,如一些实时聊天程序使用的端口。只允许打开业务上必需的端口。e) 外部防火墙的设置应参照网络系统安全管理规范中2.2章节对于防火墙设置的相关规范。f) 电子商务远程访问网络应应严格遵循网络系统安全管理规范中3.2章节对远程网络访问的相关管理规范。6.1.2.3 电子商务网络系统内部局域网安全a) 电子商务局域网络核心网络交换设备和服务器群网络交换设备应采用双机热备冗余的机制,防止由于关键网络设备故障造成的网络中断。b) 应建
28、立Web信息发布服务器和应用服务器(如交易处理系统、电子市场系统等)之间建立基于应用层的防火墙保护。c) 应建立应用层服务器和数据库服务器之间的关于数据存储和读取的防火墙保护机制。d) 应遵循网络系统安全管理规范中4.1.1.3章节关于DHCP使用安全规范。e) 电子商务局域网络系统的虚拟局域网的划分应严格遵循网络系统安全管理规范中4.2章节的相关内容。6.1.3 操作系统安全a) 电子商务系统的服务器上的操作系统应遵循操作系统安全管理规范第三、四两章中对于服务器安全的相关要求。如对各种类型的操作系统加固保护,及时安装安全补丁等。b) 电子商务系统的客户端上的操作系统应遵循操作系统安全管理规范
29、第五章中对于Windows安全等级的相关要求。6.1.4 电子商务系统应用层安全6.1.4.1 电子商务系统测试a) 电子商务部和合资公司应根据具体情况,共同选择合适的合作伙伴对电子商务系统平台的安全性能进行评估和改进。b) 除电子商务部和合资公司共同组织的安全评估外,任何人不得在电子商务应用系统上测试系统的安全机制。c) 测试的内容至少应包括: 测试系统平台和中国石油的集成接口(如果存在) 模拟交易测试,输入正确的信息以检查交易能否正确完成 模拟出错测试,测试系统是否具有足够的容错能力 网络测试,对于网络的负载进行测试 应急措施测试,对于系统的应急措施进行措施,确保灾难一旦发生,能够将影响降
30、至最低6.1.4.2 电子商务系统更新在进行系统的更新和升级的时候,应有完善的流程以防系统更新和升级对业务带来的负面影响。主要的步骤包括a) 设计,在设计的过程中要考虑系统更新的风险,主要采取的措施包括: 进行升级风险评估 采用风险可承受的设计方案 对设计风险反复评估 如果可行,尽量进行定量的风险评估,例如预期风险可能带来的损失的大小b) 开发和测试,在开发测试过程中严格遵照中国石油应用系统开发安全管理通则相应的规范进行c) 培训,当系统稳定以后,对员工在系统新功能的使用方面进行必要的培训d) 试用,在较小的范围内进行更新后系统的测试,确信没有很大的问题以后才完全推广。禁止在未经试用的情况下直
31、接大范围推行。6.1.4.3 电子商务应用系统相关安全规范应遵循以下四个独立规范的相关要求: 应用系统使用安全管理规范 应用系统开发安全管理规范 电子邮件系统安全管理规范 Web服务器安全管理规范6.1.5 数据和文档安全电子商务系统中的数据信息具有相当高的保密性,电子商务中的敏感的数据和文档的安全应严格遵循数据和文档安全管理规范中对于关键级数据和文档的相关规定。同时其他的一些非敏感的数据和文档也应遵照数据和文档安全管理规范中相应的标准进行保护和规范。6.2 电子商务审计跟踪管理电子商务系统平台应具有安全审计的功能,可对与安全有关的活动和事件进行识别、记录、存储和分析,而根据对安全审计记录的分
32、析则可判断出应如何应对以及谁来应对。并应根据实际情况将创建的异常事件日志和安全相关事件的审计日志保留必要长的时间。在中国石油电子商务系统平台的审计跟踪过程中,应达到以下6个方面的要求:6.2.1 安全审计自动响应当审计跟踪功能发现系统出现的故障的时候,应具有自动报警的功能,并且还需定义在报警发生后需要采取的步骤有哪些,例如发出警告甚至停止该用户帐户等。6.2.2 安全审计数据生成系统应有将指定的内容自动记入日志的功能。6.2.3 安全日志的记录内容即选择和确定哪些内容需要记录在系统日志中,一般而言应包括:a) 用户ID。b) 登录与注销的日期和时间。c) 终端标识或位置(如果可能)。d) 系统
33、的成功访问和拒绝访问记录。e) 数据与其它资源的成功访问和拒绝访问记录。6.2.4 安全日志存储系统安全日志的存储也是一个非常重要的问题,需考虑的问题包括怎样保护系统日志文件、怎样保证系统日志数据是随时可得的,怎样保证系统日志丢失的时候可正确恢复和怎样最大程度地保证系统日志不会丢失。应采纳的主要措施包括:a) 应将日志文件存放在另一个物理独立的服务器中,即日志或者系统日志服务器,并对该服务器进行专门的保护;b) 日志文件应定期归档和备份;6.2.5 安全日志分析a) 日志分析主要用于在系统日志中记录的系统信息,以便发现潜在的或者已经发生的安全问题。例如潜在的入侵或者安全违规等问题。中国石油应采
34、用自动分析工具辅助进行安全日志分析。b) 系统日志通常包括大量的信息,多数与安全监控无关。为了识别用于安全监控目的的重要事件,应可将安全相关的消息类型自动复制到另一个日志中,以及(或者)使用适当的系统实用程序或审计工具进行分析。c) 分配日志评审责任时,宜考虑把评审人员和被监控者的角色分离开来。6.2.6 安全日志记录评估对于分析得到的安全日志应定期对其进行定期的日志评估。以便得到关于系统当前运行状态的总体评估。至少要求对下列事件进行评估和分析:a) 合法访问,记录合法访问的用户ID、重要事件的日期和时间、事件类型、所访问的文件和所用程序实用程序b) 所有特权操作,如管理员的使用、系统启动和停
35、止、I/O设备连接/分离c) 非法访问次数,如失败次数,违反访问策略的访问,网关、防火墙以及入侵检测系统的预警d) 系统预警或故障,如控制台预警或消息、系统日志异常情况和网络管理报警等6.3 电子商务业务连贯性管理业务连贯性管理规范的目标是防止中国石油电子商务系统平台的业务活动中断,保证电子商务业务流程不受重要故障和灾难的影响。中国石油应在电子商务系统平台上实施业务连续性管理程序,预防和恢复控制相结合,将灾难和安全故障(可能是由于自然灾害、事故、设备故障和蓄意破坏等引起)造成的影响降低到可接受的水平。中国石油应在分析灾难、安全故障和服务损失的后果的基础上制定和实施应急计划,确保能够在要求的时间
36、恢复正常的业务运作。同时还应对业务连续性计划进行定期的检查以确定其是否有效。从技术的角度而言中国石油应做到: 6.3.1 系统软件安全漏洞的维护a) 一旦发现系统软件中出现的安全漏洞,应及时同软件供应商联系。b) 应跟踪软件供应商的安全漏洞发布信息,了解相关软件漏洞发布信息,及时获得对系统安全漏洞的补救措施或软件补丁。6.3.2 发现系统正被黑客攻击的维护a) 应遵循电子商务系统制订相关问题处理措施的应急方案,按照既定方案施系统维护。b) 应可根据不同情况分别采用加强保护、中断对方连接、反跟踪及其它处理措施。6.3.3 灾难恢复维护电子商务系统运行可能会因为自然或人为的原因遭破坏,应制订相应问
37、题处理的应急方案,主要包括系统备份和系统恢复以及法律证据收集等。电子商务系统应定期对数据进行完全备份,定期建立包括应用系统以及操作系统等在内的完整镜像,同时还应定期对数据做增量备份。6.3.3.1 备份时需要注意满足以下要求:a) 应使用不可擦写的介质,以免意外删除和改动数据b) 应定期做备份恢复试验,确保数据正确备份和归档c) 应将信息存储时间置入存储介质d) 应建立易于检索和索引的备份介质e) 至少应在不同地点保留两个副本6.3.3.2 当发生系统灾难时,进行系统恢复时应遵循以下的流程:a) 查阅中国石油的安全政策确定应对措施b) 向中国石油电子商务部汇报并酌情上报c) 断开网络连接、隔离
38、受损系统并进行必要的证据收集工作a) 检查是否还有其它受损系统b) 系统恢复,并加固系统c) 测试系统安全性d) 重新连接入网络e) 监控系统和网络,看问题是否重复出现f) 记录经验教训6.3.4 系统恢复时需要权衡多个因素:a) 受损的严重程度g) 受损的性质h) 受损的业务影响i) 备份数据是否受损j) 管理层和法律部门意见由于中国石油电子商务系统平台的高度重要性,应采用尽可能多的措施保证系统的安全,做到防患于未然,而不仅仅是及时的修补。6.4 电子商务符合性管理电子商务符合性管理规范指电子商务系统需要遵循相关技术上或法律的要求,主要包括两个方面的内容,即法律符合性管理规范和内部控制符合性
39、管理规范。6.4.1 法律符合性管理规范主要包括:a) 对电子商务信息系统平台应明确规定所有相关法律法规要求和合约要求,并进行备案,满足这些要求的具体控制措施和个人责任同样应进行规定和备案。b) 应保证电子商务系统平台符合有关涉及知识产权如版权、设计权或商标的材料使用的法律限制。侵犯版权可能引发法律诉讼,甚至引发刑事诉讼。c) 法律法规和合约要求可对专利材料的复制予以限制。特别是,可要求仅能使用组织内部编制的材料或经编写人员向组织授权或提供的材料。d) 专有软件产品通常根据许可协议提供。许可协议仅限产品在指定机器上使用,复制仅限于创建备份副本,应考虑必要的控制措施。e) 应防止组织的重要记录丢
40、失、毁坏和篡改。重要记录必须妥善保管,以符合法律法规要求,有利于重要的业务活动6.4.2 安全策略和技术符合性规范主要包括:a) 应建立电子商务系统安全策略评审标准和方法。b) 应建立电子商务技术符合性评审标准和方法。c) 根据系统安全策略对信息系统的安全性进行定期评审,并对技术平台和信息系统是否符合安全实施标准进行审计。d) 应定期检查信息系统是否符合安全实施标准。技术符合性检查涉及对操作系统的检查,保证硬件和软件控制措施得以正确执行。e) 符合性检查要求有专家的技术帮助。应由一位有经验的系统工程师手动进行此项检查(根据需要可辅之以适当的软件工具),或由一个自动化软件包来执行,之后再由技术专
41、家对该软件包生成的技术报告进行解释。7 电子商务交易安全规范中国石油电子商务交易安全要求包括四个方面:a) 数据传输的安全性。对数据传输的安全性需求即是保证在公网上传送的数据不被第三方窃取。对数据的安全性保护是通过采用数据加密(包括对称密钥加密和不对称密钥加密)来实现的,数字信封技术是结合对称加密加密和公开密钥加密技术实现的保证数据安全性的技术。b) 数据的完整性。对数据的完整性需求是指保证数据在传输过程中不被篡改。数据的完整性是通过采用数字摘要和数字签名技术来实现的。c) 身份认证。网上的通信双方互不见面,必须在交易时(交换敏感信息时)确认对方的真实身份;在涉及到支付时,还需确认对方的帐户信
42、息是否真实有效。身份认证是采用口令字技术、不对称密钥技术或数字签名技术和数字证书技术来实现的。d) 交易的不可否认。网上交易的各方在进行数据传输时,必须带有自身特有的、无法被别人复制的信息,以保证交易发生纠纷时有所对证。这是通过数字签名技术和数字证书技术来实现的。为确保网上通信的安全可靠,可采用各种安全技术和安全协议。为满足中国石油电子商务交易安全的需求,中国石油需要其电子商务系统架构从基本加密技术、以加密为基础的安全机制和在安全机制之上的安全应用协议等三个从低到高的不同层次组成的交易安全架构来保证交易的安全。其中基本加密技术可保证提供数据的安全性保护,而综合利用各种加密技术形成的安全机制则保
43、证了数据的完整性、交易的不可否认,在结合了证书机制和其它身份鉴别机制之后也可充分保证交易的身份认证需求;而最终这些机制的实施则是通过具体的安全协议和安全应用。7.1 基本加密技术基本加密技术是电子商务交易安全的基石,本节主要讨论主要的加密方法和摘要算法,并提出基本加密技术方面的使用规范。目前主要有两种加密体系:对称密钥加密和不对称密钥加密。7.1.1 基本机密技术列举7.1.1.1 对称密钥加密对称密钥加密和解密使用同一个密钥。因此信息的发送方和接收方必须共享一个密钥。这种加密类型快速牢固,但能力却很有限,入侵者一般使用强力破解。对称密钥加密的另一不足是密钥本身必须单独进行交换以使接收者能解密
44、数据,如果密钥没有以安全方式传送,它就很难保证信息安全。根据加密原理的不同对称加密又可分析数据块加密方法和数据流加密方法。下面介绍其中的一些主要算法。a) DES,最著名的对称密钥加密标准是数据加密标准(Data Encryption Standard,简称 DES)。DES使用56位长度的密钥对64位的数据块进行反复16次的加密。该算法最先由IBM提出,目前可用于商业和非商业领域。至今已在银行业和其它一些领域用了二十余年。DES算法曾经过广泛的分析和测试,被认为是一种非常安全的系统。对于DES主要采用暴力攻击的方法,由于目前计算能力的提高,该算法已经不是最安全的。有两种主要的替代方案,即3D
45、ES和AES。b) 3DES重复3次使用DES对数据进行加密(一次加密,一次解密,再一次加密),因此密钥的长度达到了168位,但是目前一般使用的算法中,只有2次加密的密钥是一致的,因此密钥的长度为112位。目前这种加密方式是可抵御暴力攻击的。但是美国法律禁止112密码算法的出口。c) AES,AES最终会取代DES成为加密标准,该标准是美国国家技术与标准协会(NIST)的建议标准,采用Rijndael算法,该算法可抵御目前为止所有的攻击,设计简单,代码实现简单、速度快等特点。密钥长度可在128,192和256位自由选择。目前该算法正在接受广泛的测试和评估。国内已经有实现该算法的产品。d) Tw
46、ofish算法,最长密钥长度256位,加密数据块大小位128位,和DES一样进行16次加密。并在加密之前和之后进行XOR运算。e) IDEA算法,使用128位密钥对数据进行8次加密,该加密算法的弱点在于“weak key”,一般考虑下,只有277而不是完全128位的复杂度,但是比DES要牢固。并且该算法的商业使用需要付专利使用费。目前该算法主要用于PGP机制。f) RC2和RC5算法,RC2和RC5方法是RSA数据安全公司的对称加密专利算法,RC2和RC5不同于DES,它们采用可变密钥长度的算法。通过规定不同的密钥长度,RC2和RC5能够提高或降低安全的程度。一些电子邮件产品(如LotusNo
47、tes和Apple的OpnCollaborationEnvironment)已采用了这些算法。g) RC4算法,是典型的数据流加密方式的算法。7.1.1.2 不对称密钥加密(公钥加密)使用两个不同的密钥:一个用来加密信息,称为加密密钥;另一个用来解密信息,称为解密密钥。不对称加密与对称密钥加密相比,其优势在于不需要一把共享的通用密钥,用于解密的私钥不发往任何地方,这样,即使公钥被截获,因为没有与其匹配的私钥,截获的公钥对入侵者是没有任何用处的。不对称加密的另一个用处是身份验证。如果某一方用私钥加密了一条信息,拥有公钥拷贝的任何人都能对其解密,接收者由此可知道这条信息确实来自于拥有私钥的人一方。非对称加密算法