应用系统使用安全管理通则030324v3fd

中国石油信息安全原则编号： 中国石油天然气股份有限公司应用系统使用安全管理通则（审视稿）版本号：V3审视人：王巍中国石油天然股份有限公司前 言随着中国石油天然气股份有限公司（如下简称“中国石油”）信息化建设的稳步推动，信息安全日益受到中国石油的广泛关注，加强信息安全的管理和制度无疑成为信息化建设得以顺利实行的重要保障。中国石油需要建立统一的信息安全管理政策和原则，并在集团内统一推广、实行。本规范是根据中国石油信息安全的现状，参照国际、国内和行业有关技术原则及规范，结合中国石油自身的应用特点，制定的适合于中国石油信息安全的原则与规范。目的在于通过在中国石油范畴内建立信息安全有关原则与规范，提高中国石油信息安全的技术和管理能力。信息技术安全总体框架如下：1） 整体信息技术安全架构从逻辑上共分为7个部分，分别为：物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用安全管理原则。图中带阴影的方框中带书名号的为单独成册的部分，共有13本规范和1本通用原则。2） 对于13个规范中具有一定共性的内容我们整顿出了6个原则横向贯穿整个架构，这6个原则的组合也根据了信息安全生命周期的理论模型。每个原则都会对所有的规范中有关波及到的内容产生指引作用，但每个原则应用在不同的规范中又会有相应不同的具体的内容。我们在行文上将这六个原则组合成一本通用安全管理原则单独成册。3） 全文以信息安全生命周期的措施论作为基本指引，规范和原则的内容基本都根据认证授权内容安全日记管理的理论基本行文。应用系统是整个信息系统的核心，不管系统的规模的大小，系统的技术复杂的限度，一种业务部门或业务单元的业务往往要依赖有关业务的应用系统来维持正常运作。因此应用系统的使用直接的关系到了公司业务运作的成效。如果应用系统在使用中由于顾客的不当操作或来自外部的歹意袭击导致瘫痪，则会严重的影响公司业务的运作。导致巨大的经济和信誉上的损失。应用系统使用安全管理通则就是但愿通过对于应用系统使用进行相应的规范来保证应用系统的正常运作。从而保证公司的业务运作的正常和有效，并且通过对于应用系统的不断的改善和更新使之更加的符合业务上的多种需求，提高公司业务运作的效率。本规范由中国石油天然气股份有限公司提出。本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。起草单位：中国石油制定信息安全政策与原则项目组。说 明在中国石油信息安全原则中波及如下概念：组织机构中国石油（PetroChina） 指中国石油天然气股份有限公司有时也称“股份公司”。集团公司（CNPC） 指中国石油天然气集团公司有时也称“存续公司”。为辨别中国石油的地区公司和集团公司下属单位，担提及“存续部分”时指集团公司下属的单位。如：辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网（PetroChinaNet） 指中国石油范畴内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基本上，进行扩大与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。集团公司网络（CNPCNet） 指集团公司所属范畴内的网络。中国石油的某些地区公司是和集团公司下属的单位共用一种计算机网络，当提及“存续公司网络”时，指存续公司使用的网络部分。主干网 是从中国石油总部连接到各个下属各地区公司的网络部分，涉及中国石油总部局域网、各个二级局域网（或园区网）和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总部，不是运用专线，这样的单位和所使用的远程信道不属于中国石油专用网主干网构成部分。地区网 地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道可以是专线，也可以是拨号线路。局域网与园区网 局域网一般指，在一座建筑中运用局域网技术和设备建设的高速网络。园区网是在一种园区（例如大学校园、管理局基地等）内多座建筑内的多种局域网，运用高速信道互相连接起来所构成的网络。园区网所运用的设备、运营的网络合同、网络传播速度基本相似于局域网。局域网和园区网一般都是顾客自己建设的。局域网和园区网与广域网不同，广域网不仅覆盖范畴广，所运用的设备、运营的合同、传送速率都与局域网和园区网不同。传播信息的信道一般都是电信部门建设的。二级单位网络 指地区公司下属单位的网络的总和，也许是局域网，也也许是园区网。专线与拨号线路 从连通性划分的两大类网络远程信道。专线，指数字电路、帧中继、DDN和ATM等常常保持连通状态的信道；拨号线路，指只在传送信息时才建立连接的信道，如电话拨号线路或ISDN拨号线路。这些远程信道也许用来连接不同地区的局域网或园区网，也也许用于连接单台计算机。石油专网与公网 石油专业电信网和公共电信网的简称。最后一公里问题 建设广域网时，顾客局域网或园区网连接附近电信部门信道的最后一段距离的连接问题。这段距离一般不不小于一公里，但也有不小于一公里的状况。为简便，同称为最后一公里问题。波及计算机网络的术语和定义请参见中国石油局域网原则。目 录1概述62目的63合用范畴64引用的文献或原则75术语和定义86应用系统安装管理96.1测试安全96.2版本管理安全107应用系统使用管理137.1使用者身份辨认管理137.2基于人员职责的应用系统分级授权管理157.3安全运营管理177.4安全控制管理217.5应用系统安全日记管理和监控管理238应用系统维护管理规范268.1备份管理规范268.2维护安全管理规范268.3卸载解决管理规范28附录 1参照文献29附录 2本规范用词阐明301 概述应用系统的概念是将技术与顾客业务上的实际需求结合在一起，直接面对使用者、用于支持顾客更快更好更有效的完毕实际工作的集成的人机交互系统。应用系统是建立在物理硬件系统、软件操作系统之上的信息系统。根据应用系统完毕目的和服务对象的不同目前重要分为如下几种类型：业务解决系统、职能信息系统、组织信息系统和决策支持系统。本通则通过对多种类型的应用系统在使用过程中面临的多种与安全有关的并且具有一定通用性的问题进行论述。从应用系统安装实行到使用到最后的维护报废的各个阶段入手，相应用系统使用中的安全问题加以相应的规范，保证应用系统在使用中的安全管理。2 目的本规范的目的为：保护应用系统在使用的各个阶段的安全。具体来说就是保护应用系统安装实行中的安全，保证应用系统在使用中的安全和在维护和报废过程中的安全。并使得应用系统不断的符合中国石油的实际业务需求和安全管理上的需求。使应用系统更好的为中国石油的业务发展服务。3 合用范畴本套规范合用的范畴涉及了所有在应用系统使用过程中有关的安全问题和安全事件。具体来说涉及了应用系统安装过程中的安全问题，使用中的安全问题和维护报废过程中的安全问题，同步也涉及了应用系统使用中版权的管理问题。本通则面向所有的应用系统的使用者、应用系统的维护和开发人员以及公司内部信息安全的管理人员和技术人员。4 引用的文献或原则下列文献中的条款通过本原则的引用而成为本原则的条款。但凡不注日期的引用文献，其最新版本合用于本原则。1. GB17859-1999 计算机信息系统安全保护级别划分准则2. GB/T 9387-1995 信息解决系统 开放系统互连基本参照模型（ISO7498 :1989）3. GA/T 391- 计算机信息系统安全级别保护管理规定4. ISO/IEC TR 13355 信息技术安全管理指南5. NIST信息安全系列北美信息原则组织安全规范6. NIST信息安全系列美国国标技术院7. 英国国家信息安全原则BS77998. 信息安全基本保护IT Baseline Protection Manual (Germany)9. BearingPoint Consulting 内部信息安全原则10. RU Secure安全技术原则11. 信息系统安全专家丛书Certificate Information Systems Security Professional5 术语和定义认证 a.验证顾客、设备和其她实体的身份； b. 验证数据的完整性。可用性availability 数据或资源的特性，被授权实体按规定能及时访问和使用数据或资源。保密性confidentiality 数据所具有的特性，即表达数据所达到的未提供或未泄露给未授权的个人、过程或其她实体的限度。完整性integrity在避免非授权顾客修改或使用资源和避免授权顾客不对的地修改或使用资源的状况下,信息系统中的数据与在原文档中的相似，并未遭受偶尔或歹意的修改或破坏时所具的性质。数字签名digital signature 添加到消息中的数据，它容许消息的接受方验证该消息的来源。加密encryption 通过密码系统把明文变换为不可懂的形式。身份认证identity authentication 使信息解决系统能辨认出顾客、设备和其她实体的测试实行过程。密钥key 控制加密或解密操作的位串。漏洞loophole 由软硬件的设计疏忽或漏洞导致的能避过系统的安全措施的一种错误。歹意代码malicious code 在硬件、固件或软件中所实行的程序，其目的是执行未经授权的或有害的行动。不可抵赖性 non-repudiation 信息系统中波及的若干个实体中的一种对曾参与所有或部分通信过程不能否认的特性。口令password 用来鉴别实体身份的受保护或秘密的字符串。安全方略 security policy 规定机构如何管理、保护与分发敏感信息的法规与条例的集合。验证 verification 将某一活动、解决过程或产品与相应的规定或规范相比较。例：将某一规范与安全方略模型相比较，或者将目的代码与源代码相比较。6 应用系统安装管理规范6.1 测试安全随着业务的发展，不断有新的应用系统投入使用，在应用系统正式投入使用之前必须进行测试以保证系统的安全和可靠，并符合公司的有关安全管理规范。对于应用系统的测试应遵从如下几种方面进行有关的规定：a) 在测试之前必须预先提出申请。一般由应用系统的使用部门中负责系统管理的有关人员向部门领导提出测试的申请，并注明测试的因素、目的，时间，项目等。如果需要用真实的业务数据进行测试还需要进一步向公司信息安所有门确认并事先做好数据的保密工作。b) 明确参与测试的人员和人员的职责。参与测试的人员必须通过一定的筛选，一般由系统的开发人员或系统供应商的技术支持人员以及公司有关业务部门的系统维护人员和系统使用者共同参与。c) 应编写具体的测试筹划。在测试的申请得到批准的前提下，编写具体的测试筹划书，涉及测试的物理环境规定，硬件和软件环境的规定，测试数据的准备，特别是如果采用真实的业务数据必须考虑数据的保密措施或对数据进行一定的数学解决。d) 应预先准备有关的测试环境。根据测试筹划，准备相应的环境、设备和数据，并对环境和设备进行一定的检测，以保证在测试的过程中不会因应用环境或硬件的问题影响测试的成果。e) 进行测试。测试不得影响正常的业务运作。如果客观上无法避免影响，也必须将测试的时间安排在工作时间以外，或尽量缩短测试的时间以减少对业务导致的影响。一般将测试分为阶段性测试和完整性测试。测试的内容一般涉及了如下几部分： 应用系统安装测试，确认系统能在多种环境下正常的安装。 应用系统应用模块测试，确认应用系统各个功能模块的运营正常。 应用系统整体测试，确认应用系统各个功能模块之间的接口和交互正常。 应用系统数据吞吐量测试，确认应用系统所能负载的数据量的极限。 应用系统兼容性测试，确认系统和其她系统之间没有兼容性问题。 应用系统顾客需求测试，确认系统功能可以达到顾客的需求。f) 检查阶段性或完整性测试报告。根据测试报告的内容对系统进行进一步的调节和更改，使得系统最大限度的满足业务的需求。6.2 版本管理安全6.2.1 版本使用应用系统的版本使用有关的安全措施应遵从：a) 必须规定应用系统的使用范畴和使用者权限，保证应用系统仅在授权使用的范畴内进行，任何形式的越权使用都将由于违背了该项规定而需要受到一定的惩罚。具体而言宜采用如下实行的环节： 定期检查所有的顾客系统上已经安装的应用系统。 确认如顾客系统上安装了不应安装的应用系统或超过许可拥有版权数量以外的应用系统应立即予以清除并销毁。 确认如顾客系统上安装了的非法版权的或盗版的应用系统应立即予以清除并销毁。b) 应用系统的使用者应接受合适的使用培训和安全规范教育，保证系统的使用者可以对的的使用系统，尽量减少由于对系统不理解而导致的抵触情绪和由于误操作导致的损失。c) 应建立与应用系统版本使用状况有关的文档管理制度和软件分发制度。确认目前所有的应用系统有效版本数。d) 必须避免应用系统软件被盗用、流失和越权使用。e) 必须严格地集中控制应用系统的购买申请，杜绝反复购买的现象。f) 应使用版本统一的应用系统软件。g) 应采用有效的措施，避免相应用软件的非法访问及修改。h) 技术人员不得擅自对软件自身进行修改和参数调节。6.2.2 版权控制应用系统使用过程中应注意对于版权的管理和控制，一般对于版权的问题重要从两个方面入手进行管理：6.2.2.1 防备系统的非法拷贝防备系统的非法拷贝可以从技术的角度和人员管理的角度两方面进行控制：a) 从技术的角度是指应用系统的开发人员可通过采用某种加密的措施和措施，使得非法的顾客无法顺利的安装应用系统，以避免应用系统的非法扩散，从而保护开发者的利益。b) 从人员管理的角度是指应用系统的使用者应懂得应用系统的开发过程是耗资巨大且非常困难的，应尊重应用系统开发人员的劳动成果。从使用者意识的角度进行规范，并明文规定如非法拷贝系统将受到一定的惩罚。6.2.2.2 防备使用非法版权(如盗版)的软件对于盗版软件使用的防备一般通过“教育”加“检查”的方式进行规范。a) 应加强对系统使用人员的教育，提高人员的版权保护意识。让有关人员意识到使用盗版软件是一种侵权行为，也是一种盗窃行为。b) 公司的强制性规定。应明文规定严禁使用任何形式的非法版权的应用系统或软件。一旦发现将严肃解决。c) 应通过不定期的突击检查的方式，随时随机地检查某些顾客使用的计算机系统中安装的各类应用系统软件。一旦发现使用非法版权的系统将予以严肃解决。7 应用系统使用管理规范7.1 使用者身份辨认管理7.1.1 顾客账号管理a) 应保证每一位应用系统的使用者只拥有一种属于自己的独立的账号，该账号直接关系到该顾客在整个应用系统中的有关的权限。不得在应用系统中设立虚假的账号或无人使用的账号。b) 账号的申请和建立必须严格按照“一种人一种账号”的原则。c) 应用系统应提供有关的机制为每个账号和其她的个人有关信息有所联系。如人员的真实姓名、联系方式，所在部门等。d) 在一般状况下严禁建立顾客组账号(即同一种账号可以由许多不同的顾客登陆使用)。除非状况十分特殊，则必须由有关的应用系统管理部门连同安全管理部门共同承认。e) 系统正式投入运营后应立即将系统中的“Guest”以及类似的系统自带或内置缺省的账户删除。f) 应用系统在容许顾客在使用系统中的某种重要功能之前，应规定顾客提供其账号以确认身份。g) 应用系统应可以维护一份具有所有目前使用的顾客及其有关状态信息的列表。h) 应用系统应提供有关机制来临时关闭或打开顾客的账号。i) 应用系统应提供有关的机制来限制同一种账号同步登陆的个数。j) 应用系统应严格地控制各级管理员(Administrator)账号或根(Root)账号，所有的系统管理员应先通过她们自己的账号登陆系统，然后再切换到管理员（Administrator）账号或根(Root)账号。k) 应用系统应将在60天内没有使用过的顾客账号临时禁用。如果该账号在90天内没有使用过或有关的部门正式告知该账号已经作废，则需将该账号从系统中删除(在正式删除之前应向该顾客发送一份告知)。顾客可在业务需要且经部门的领导批准的状况下申请建立新的账号，或将已经被禁用的账号恢复。7.1.2 顾客口令管理a) 应用系统应提供一种机制保证每一种使用系统的人员都必须先通过系统登陆，如输入顾客名和口令的过程。严禁浮现可以不通过系统登陆直接进入应用系统的状况。b) 应用系统应至少支持“顾客名+口令”的系统认证方式，也可采用如“动态密码卡+个人辨认码”的认证方式。c) 应用系统对于口令的控制应符合“口令管理原则”中规定的有关规范。d) 应用系统应容许顾客自行在系统中更改自己的口令。但这种更改必须建立在顾客已经通过了系统对于其本人身份的认证的基本之上。且系统应强制规定顾客不可觉得其本人以外的其她顾客更改口令。e) 应用系统的口令应以密文的形式寄存在系统中，且口令在传播的过程中必须进行一定的加密措施以保证口令的保密性和完整性。f) 当顾客连接上应用系统但在一定的时间内（建议10分钟）没有使用，则系统应自动将该顾客与系统的会话切断，当顾客但愿继续相应用系统进行操作时必须重新输入密码。g) 顾客成功的登陆系统后，应用系统宜将登陆的时间，日期和顾客的位置以及顾客上次成功登陆系统之后登陆失败的次数显示在登陆的界面上。h) 系统应提供一种机制保证当顾客持续5次登陆失败后系统会自动将顾客的账号锁定，且告知系统管理员。i) 应用系统应强制顾客在第一次登陆系统后必须更改目前的系统初始口令，同样当浮现顾客忘掉或遗失口令的状况系统管理员会协助顾客重新设立临时口令，顾客在第一次使用临时口令时系统应强制顾客必须更改临时口令后才干登陆系统。j) 应用系统中所有的自带的或缺省的口令必须在系统正式使用之前所有从系统中删除。k) 应用系统应强制顾客每隔一定的时间（如60天）修改顾客的登陆口令。l) 应用系统应保存顾客之前5次使用的口令以保证顾客的口令不会与前次反复。m) 应用系统的账号和口令管理必须严格的控制访问的权限，一般只能是系统的管理员才有权限进行访问和管理。n) 应用系统的口令输入界面必须提供口令自动密文转换的功能。o) 口令文献应和系统的程序分开单独加密寄存。7.2 基于人员职责的应用系统分级授权管理a) 应用系统应只容许通过认证的顾客、程序模块或其她的应用系统访问，任何未经授权的访问都应被阻挡在外。b) 内部员工应用系统授权管理规范可以参照如下流程： 根据人事系统中员工的状况授予其相应的应用系统使用的权限和承当的责任。 以书面的方式将员工的权限和相应的责任提交给员工本人。 根据员工权限和责任的大小确认与否需要签订有关的保密合同。 在平常工作中记录员工的有关应用系统访问日记信息 员工一旦离职或调动岗位应立即收回或调节其应用系统有关的访问的权限。c) 应用系统应提供通过将顾客分组的方式定义顾客的权限方略，例如对于同一类型的顾客，这些顾客也许具有某些共同的属性如属于同一业务单元、或在地理位置上相似或者在同一种项目中，使得这些顾客在系统中具有相似的权限。因此可以通过对于同一组的顾客予以同样的权限制定和使用同样的安全方略。大大减少安全方略实行的复杂度。d) 应用系统应支持对于敏感的系统或交易解决提供双重身份认证机制。e) 应建立应用系统的安全管理机构，负责应用系统安全有关的平常事务工作。重要负责与应用系统安全有关的规划、建设、资源运用和事故解决等方面的决策和实行。f) 应用系统的安全管理机构的有关人员至少规定两个人或以上，严禁将系统的安全管理职责赋予一种人。必须建立互相监督的安全管理机制。g) 所有的顾客的有关权限必须定期（每半年）进行审计评估，安全管理人员的权限必须定期（每三个月）进行审计评估。7.3 安全运营管理应用系统在运营使用中的安全也相称重要，由于各个应用系统的功能，使用状况都各不相似。不也许根据各个不同的应用系统自身的特点进行安全上的论述。因此应用系统的安全运营管理重要从系统通用的安全性：保密性、完整性和不可抵赖性三个方面进行论述。7.3.1 系统保密性管理所谓应用系统的保密性是指避免应用系统的有关信息泄漏给未经授权的顾客、实体或进程，须遵守如下规范：a) 对于所有的非公共的数据传播或存储数据在公司安全管理范畴以外的状况都应对有关的数据进行加密的保护。b) 对于非常敏感的数据无论在何种状况下都必须进行加密。c) 应用系统应使用公司原则的加密措施和加密机制。d) 保护核心密钥，保证只有通过授权的人才干得到。e) 设计和实行加密系统时应保证没有人可以完全理解或控制加密主密钥的有关信息。f) 应保护与密钥有关的多种资料，涉及软件版本和硬拷贝。g) 严禁将密钥转换成明文。7.3.2 系统可用性管理可用性是指保证应用系统可以持续地被授权的应用实体访问并按照有关业务的需求进行使用，须遵守如下规范：a) 所有的加密机制应提供重创立机制、恢复机制，严禁应用系统在任何状况下回绝对顾客进行服务。b) 应可以提供备份机制保证当应用系统浮现问题时及时地恢复。c) 根据业务的需求建立数据备份的日程表，如果业务上没有明确的需求则每天进行一次增量的备份，一周进行一次全量的备份。d) 相应用系统数据集中寄存的状况宜采用远程备份和劫难恢复的方略。e) 对于备份在备份介质如磁带上的数据应定期（隔6个月）进行一次检测保证数据还可以被恢复。7.3.3 系统完整性管理完整性是指应用系统信息在未经授权的状况下不得被改动的特性，须遵守如下规范：a) 应用系统尽管不可避免的会存在一定的安全风险，但应尽量的将应用系统自身的安全风险降到最低。b) 应相应用系统的具体设计进行分析来判断与否真正达到了公司所规定的安全规范。c) 应用系统的开发应尽量使用安全的开发环境。d) 应用系统的测试环境和开发环境必须分离。e) 开发人员应明确自己的开发的任务和相应的安全责任。f) 所有开发的代码都必须可以通过设计文档进行回朔，确认每行代码最后的业务需求。g) 应用系统应提供有关的验证机制或流程保证应用系统自身没有被非法的修改。h) 应用系统中所有的安全特性都必须通过功能性测试，安全测试应被列为系统整体测试的一种重要的部分。所有安全有关的测试问题都必须被完善的解决。i) 应用系统应提供严格的访问控制机制以保证系统不会被未经授权的人访问，修改或删除信息。j) 在数据传播的过程中，应用系统中信息敏感的核心数据应进行加密的保护以保证完整性。k) 应用系统应自动生成日记信息以供后来审计使用。l) 应用系统应保存所有的访问的日记记录，涉及顾客的访问，系统的访问。记录有关的访问日期，访问时间和访问者有关信息。7.3.4 系统不可抵赖性管理规范不可抵赖性也被称之为不可否认性，重要是指信息在互换的过程中，确认参与者的身份的真实性和可靠性以及参与者操作的不可否认性，须遵守如下规范：a) 不可抵赖性服务应被用在当业务需要证明其交易信息或承诺具有相称的权威性和法律的效应。如数字签名技术等。b) 应用系统应可以安全地记录下精确的时间信息、证明信息和确认信息。c) 不可抵赖性服务应被用作应用层合同。7.3.5 系统基于的系统环境和硬件安全管理7.3.5.1 硬件安全a) 保证应用系统基于的硬件设备、网络通讯传播和相应的物理环境的安全，以避免应用系统遭到未经授权的非法访问。b) 保证顾客在家里或其她非公司有关的环境里办公所使用的计算机设备，网络传播的安全。特别是当顾客在对某些敏感系统进行作业时。7.3.5.2 歹意代码防护保证公司内部所有的应用系统都在公司统一的歹意代码保护系统的保护之下，对于歹意代码保护系统的有关规范的细节请参见防御歹意代码和计算机犯罪管理规范7.4 安全控制管理为了避免应用系统中顾客数据的丢失、修改或错误的使用，应用系统应建立合适的控制，保证对于应用系统数据的输入、内部解决和输出进行一定的确认。7.4.1 对输入数据的确认应用系统容易受到故意或意外的无效数据的袭击，这会导致系统故障、数据滥用或通过系统自身安全漏洞进行欺诈犯罪等事件的发生。因此公司必须采用数据确认控制将数据的输入范畴控制在一种合理的范畴内，即限制在系统有效解决能力之内。数据输入措施的举例：a) 应通过双重输入或其她输入判断如下错误： 超过范畴的数值 数据区中的无效字符 丢失或不完整的数据 超过数值的上下极限值 未经许可的或不一致的数据b) 应定期评审核心的数据文献的内容，保证其有效性和完整性。c) 应检查硬拷贝的输入文献，保证输入的数据没有通过任何未经授权的更改。d) 应建立错误数据的响应程序。e) 应建立程序对于可怀疑的数据进行进一步检查。f) 应规定数据输入过程中所波及的所有的人员的职责。7.4.2 对于数据内部解决的控制已经对的地输入的数据也也许由于解决的错误或人为的改动而被破坏，因此为了保证数据在解决的过程中的安全性，应对数据解决进行控制，涉及：a) 批解决控制，保证事务更新后保持数据文献的平衡一致。b) 确认系统产生的数据的对的性。c) 确认数据传播过程中的完整性。d) 检查保证应用系统运营的时间正常。e) 检查保证应用系统运营的顺序正常。7.4.3 对于输出的数据进行确认尽管系统的输入是对的的，但输出仍然也许是错误的或是通过非法修改的。为保证输出信息的对的性，应对输出的数据进行确认，重要涉及：a) 可信性检查，确认输出的数据与否合理。b) 数据一致性检查。c) 响应输出确认测试的程序。d) 数据输出过程中有关人员的责任。7.4.4 使用信息检查技术保证信息内容的完整性信息验证是指顾客对于信息在传播过程中为避免遭到未经授权的访问及破坏而进行测试的一种技术，重要是针对积极袭击中的信息篡改和伪造，使得接受方得到的信息不对的。这种检测可以通过软件和硬件结合的方式实现。宜使用加密的措施达到对于信息进行验证的目的，但是如果对于不需要进行加密的信息加密会增长系统的承当和开销。对于此类状况，目前可采用的信息检查技术重要有：报文摘要MD(Message Digest)和安全散列算法(Secure Hash Algorithm)。7.5 应用系统安全日记管理和监控管理7.5.1 日记管理a) 应用系统应支持对顾客的系统访问和操作行为进行日记记录和监控跟踪的功能。b) 应开发并实行系统日记管理功能，在系统浮现问题的状况下通过确认因素来及时地恢复系统。c) 应用系统必须保证其日记文献在存储、传播的过程中受到专门的安全保护。d) 应用系统的日记文献不应保存太短或太长的时间，一般短至半年，长至23年。e) 应用系统的日记文献应根据系统的具体状况定期进行审核。f) 应用系统所记录的安全有关的日记文献应涉及足够的信息保证一旦浮现问题可以迅速地定位产生问题的因素，并确认当事人员管理上或法律上的责任。g) 应用系统应根据业务需求和安全上的需求，定义日记文献所记录的信息的格式框架和特殊的事件信息。h) 日记记录中应涉及足够的有关各类事件自身的信息。i) 对日记文献的审计应可以保护系统不会遭到未经授权访问。j) 应用系统安全管理人员应可在不影响应用系统自身的正常运作的前提下更改日记的记录范畴和记录具体限度。k) 应用系统安全管理人员应有能力决定打开或关闭对某些事件的日记跟踪管理。l) 应用系统安全管理人员严禁关闭对其自身的日记跟踪管理。m) 任何对可监控的事件的日记跟踪管理的改动都必须被记录在案。n) 应用系统应提供相应的机制或流程保证可将系统自动生成的日记文献在不影响应用系统正常运作的前提下，自动地备份到其她的备份存储设备上。7.5.2 监控管理a) 应用系统应提供一种实时监控的机制来监控也许会导致安全事故的多种安全有关事件的产生和发展状况，并将有关的信息及时精确地传递到安全管理人员处。b) 实时的监控所有的和交易或信息敏感系统设立的改动有关的事件，应进行24 小时X 7天全天候的保护机制。c) 应用系统应提供有关的日记信息的收集整顿并进行一定的分析的工具，可以自动生成意外事件报告、汇总报告或某些细节问题的具体报告。d) 应用系统安全管理人员应可以有选择性的对顾客的行为进行实时地监控，其中涉及了对一般的顾客或特权的顾客行为的监控。8 应用系统维护管理规范8.1 备份管理a) 应指派专门的人员负责应用系统的备份工作。b) 应为不同的应用系统制定不同的备份方略，如果没有特殊的规定则按照每天进行一次增量备份，每周进行一次全量备份的原则。c) 对于备份的介质的维护管理也应规定专门的人员负责，保证不会由于介质的老化或损坏导致数据的丢失。d) 对于应用系统备份有关的资料(涉及了所有的软件资料和硬拷贝)的领用或借阅，必须通过相应的审批程序，并建立相应的登记管理制度，统一管理。8.2 维护安全管理应用系统在正式投入使用后，后续的维护的工作也是相称的重要的，只有通过对的的维护措施和维护手段，才干保证应用系统不断地完善和持久地满足顾客的业务上和安全上的需求。应用系统的使用过程中常常会浮现问题，因此应设立专门的人员相应用系统使用过程中浮现的问题进行收集、整顿、归类并提交给应用系统的开发部门或应用系统的开发商以及有关的安全管理部门进行解决。并且需要跟踪问题的解决状况，直到问题得到圆满的解决。具体的维护的环节可以分为：a) 维护规定或问题提出，应用系统使用者应根据业务上或安全上的实际需求提出系统上的改善或维护规定。b) 维护规定或问题分析，有关的开发部门或开发商应协同安全管理部门对有关的规定进行分析，确认规定的客观性和可行性。公司不适宜自行修改外购的应用软件系统。c) 提出解决的方案，根据规定和相应的分析成果，提出具体的解决方案反馈回顾客。d) 应审批维护的方案，顾客批准后交上级主管部门审批。e) 拟定维护的筹划，审批通过后应设计具体的维护筹划。f) 应对程序进行修改，测试，然后实行修改后的系统。8.3 卸载解决管理当应用系统通过长期的使用，系统的功能已经无法满足日益增长的业务上的需求，则需要考虑将应用系统进行升级或更换。这时应妥善的解决原有应用系统的处置问题，应符合如下规范：a) 在卸载之前必须事先做好所有系统中重要信息的备份工作，系统的数据应由系统管理员负责，个人的数据备份工作应由个人顾客在系统管理员的对的指引下进行。b) 某些需要进行销毁的信息必须事先获得有关数据拥有者的批准，并且必须先将存储介质上的数据销毁，然后再将存储介质进行物理销毁。c) 对的的卸载应用系统。顾客必须在系统管理人员的指引下对的地卸载有关的应用系统。不对的的卸载过程也许会导致系统不稳定。因此必须根据指定的环节进行卸载的工作。但凡在卸载过程中遇到不拟定的因素应立即向管理员询问，不得自作主张。d) 应用系统成功卸载后应在系统相应的登记簿中进行登记，记录卸载的时间和有关的其她信息。并再一次检查，保证应用程序已经成功的卸载。附录 1 参照文献【国家法律】中华人民共和国国家安全法中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国保守国家秘密法中华人民共和国国家安全法【国家规定】维护互联网安全的决定中华人民共和国计算机信息系统安全保护条例中国信息安全产品测评认证用原则目录（一）军用计算机安全评估准则GJB2255-95国土资源部信息网络安全管理规定安全方略分析报告_样例浅谈金融计算机信息系统安全管理电子计算机机房施工及验收规范sj电子计算机机房设计规范GB50174-1993网络国际联网管理暂行规定计算机信息系统国际联网保密管理规定计算机信息系统安全专用产品分类原则(GA163-1997)计算机信息系统安全产品部件(安全功能检测GA216-1-1999)计算机信息系统安全保护级别划分准则GB 17859-1999计算机信息系统安全级别保护操作系统技术规定(GAT388-)计算机信息系统安全级别保护数据库管理系统技术规定(GAT389-)计算机信息系统安全级别保护管理规定(GAT391-)计算机信息系统安全级别保护网络技术规定(GAT387-)计算机信息系统安全级别保护通用技术规定(GAT390-)计算机软件保护条例计算站场地安全要GB9361_1988计算站场地技术条件gb2887-1989 field银行卡联网联合安全规范【国家防火规范原则】建筑内部装修设计防火规范GB50222_95.doc建筑物防雷设计规范GB50057_94.doc建筑设计防火规范.doc火灾自动报警系统设计规范GBJ116_88.doc高层民用建筑设计防火规范GB50045_95.doc【国外有关原则】RFC 2196BS 7799 (UK)IT Baseline Protection Manual (Germany)OECD GuidelinesISO 15408 (Common Criteria)Rainbow Series (Orange Book) (US)Information Technology Security Evaluation Criteria (ITSEC) (UK)System Security Engineering Capability Maturity Model (SSE-CMM)DevelopmentISO 11131 (Banking and Related Financial Services; Sign-on Authentication)ISO 13569 (Banking and Related Financial Services - Information Security Guidelines)附录 2 本规范用词阐明一、 便于在执行本规范条文时区别看待，对规定严格限度不同的用词阐明如下：1. 表达很严格，非这样做不可的：正面词采用“必须”；背面词采用“严禁”；2. 表达严格，在正常状况下均应这样做的：正面词采用“应”；背面词采用“不应”或“不得”。3. 表达容许稍有选择，在条件许可时一方面应这样做的：正面词采用“宜”或“可”；背面词采用“不适宜”。二、 条文中指定应按其他有关原则、规范执行时，写法为“应符合的规定”或“应按规定（或规定）执行”。