019传统文化与社科书_论衡全译(中).pdf
《019传统文化与社科书_论衡全译(中).pdf》由会员分享,可在线阅读,更多相关《019传统文化与社科书_论衡全译(中).pdf(327页珍藏版)》请在文库网上搜索。
1、天天文档在线 联系 qq:744421982 编号: 中国石油天然气股份有限公司 电子邮件安全管理规范 (审阅稿) 版本号:V3 审阅人:王巍 中国石油天然股份有限公司 中国石油信息安全标准 电子邮件安全管理规范I 前 言 随着中国石油天然气股份有限公司(以下简称“中国石油” )信息化建设的稳步推进,信息安全日 益受到中国石油的广泛关注,加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保 障。中国石油需要建立统一的信息安全管理政策和标准,并在集团内统一推广、实施。 本规范是依据中国石油信息安全的现状,参照国际、国内和行业相关技术标准及规范,结合中国 石油自身的应用特点,制定的适合于
2、中国石油信息安全的标准与规范。目标在于通过在中国石油范围 内建立信息安全相关标准与规范,提高中国石油信息安全的技术和管理能力。 信息技术安全总体框架如下: 区区 域域 安安 全全 管管 理理 规规 范范 机机 房房 安安 全全 管管 理理 规规 范范 硬硬 件件 设设 备备 管管 理理 规规 范范 网网络络安安全全 管管理理规规范范 通通用用安安全全管管 理理标标准准 数数 据据 和和 文文 档档 安安 全全 管管 理理 规规 范范 应应 用用 系系 统统 使使 用用 安安 全全 管管 理理 标标 准准 通通 则则 应应 用用 系系 统统 开开 发发 安安 全全 管管 理理 标标 准准 通通
3、则则 商商 业业 软软 件件 购购 买买 管管 理理 标标 准准 电电 子子 邮邮 件件 安安 全全 管管 理理 规规 范范 W We eb b系系 统统 安安 全全 管管 理理 规规 范范 电电 子子 商商 务务 安安 全全 规规 范范 防防 御御 恶恶 意意 代代 码码 和和 计计 算算 机机 犯犯 罪罪 管管 理理 规规 范范 信信息息安安全全技技术术标标准准 物理环境 安全管理 硬件设备 安全管理 操作系统 安全管理 数据和文档 安全管理 应用系统安 全管理 网 络 安 全 管 理 概 述 通 用 网 络 安 全 管 理 规 范 内 部 网 络 安 全 管 理 规 范 外 部 网 络
4、安 全 管 理 规 范 认 证 管 理 通 用 标 准 通 用 安 全 管 理 标 准 概 述 授 权 管 理 通 用 标 准 加 固 管 理 通 用 标 准 加 密 管 理 通 用 标 准 日 志 管 理 通 用 标 准 系 统 登 陆 管 理 通 用 标 准 操操 作作 系系 统统 安安 全全 管管 理理 规规 范范 1) 整体信息技术安全架构从逻辑上共分为 7 个部分,分别为:物理环境、硬件设备、网络、操 作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单 独成册的部分,共有 13 本规范和 1 本通用标准 。 2) 对于 13 个规范中具有一定共性的内容我
5、们整理出了 6 个标准横向贯穿整个架构,这 6 个标准的组合也依据了信息安全生命周期的理论模型。每个标准都会对所有的 规范中相关涉及到的内容产生指导作用,但每个标准应用在不同的规范中又会 有相应不同的具体的内容。我们在行文上将这 6 个标准组合成一本通用的安全管理标准单独 成册。 3) 全文以信息安全生命周期的方法论作为基本指导, 规范和标准的内容基本都根据预防 保护检测跟踪响应恢复的理论基础行文。 II电子邮件安全管理规范 本规范由中国石油天然气股份有限公司提出。 本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。 起草单位:中国石油制定信息安全政策与标准项目组。 电子邮件安全
6、管理规范III 说 明 在中国石油信息安全标准中涉及以下概念: 组织机构 中国石油(PetroChina) 指中国石油天然气股份有限公司有时也称“股份公司” 。 集团公司(CNPC) 指中国石油天然气集团公司有时也称“存续公司” 。为区分中国石油的地区 公司和集团公司下属单位,担提及“存续部分”时指集团公司下属的单位。如:辽河油田分公司存续 部分指集团公司下属的辽河石油管理局。 计算机网络 中国石油信息网(PetroChinaNet) 指中国石油范围内的计算机网络系统。中国石油信息网是 在中国石油天然气集团公司网络的基础上,进行扩充与提高所形成的连接中国石油所属各个单位计算 机局域网和园区网。
7、 集团公司网络(CNPCNet) 指集团公司所属范围内的网络。中国石油的一些地区公司是和集团 公司下属的单位共用一个计算机网络,当提及“存续公司网络”时,指存续公司使用的网络部分。 主干网 是从中国石油总部连接到各个下属各地区公司的网络部分,包括中国石油总部局域网、 各个二级局域网(或园区网)和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石 油总部,不是利用专线,这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。 地区网 地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道 可以是专线,也可以是拨号线路。 局域网与园区网 局域网通常指,在一座
8、建筑中利用局域网技术和设备建设的高速网络。园区网 是在一个园区(例如大学校园、管理局基地等)内多座建筑内的多个局域网,利用高速信道互相连接 起来所构成的网络。园区网所利用的设备、运行的网络协议、网络传输速度基本相同于局域网。局域 网和园区网通常都是用户自己建设的。局域网和园区网与广域网不同,广域网不仅覆盖范围广,所利 用的设备、运行的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建设 的。 二级单位网络 指地区公司下属单位的网络的总和,可能是局域网,也可能是园区网。 专线与拨号线路 从连通性划分的两大类网络远程信道。专线,指数字电路、帧中继、DDN 和 IV电子邮件安全管
9、理规范 ATM 等经常保持连通状态的信道;拨号线路,指只在传送信息时才建立连接的信道,如电话拨号线路 或 ISDN 拨号线路。这些远程信道可能用来连接不同地区的局域网或园区网,也可能用于连接单台计 算机。 石油专网与公网 石油专业电信网和公共电信网的简称。 最后一公里问题 建设广域网时,用户局域网或园区网连接附近电信部门信道的最后一段距离的 连接问题。这段距离通常小于一公里,但也有大于一公里的情况。为简便,同称为最后一公里问题。 涉及计算机网络的术语和定义请参见中国石油局域网标准 。 电子邮件安全管理规范V 目目 录录 第第 1 章章概述概述.7 1.1概述 .7 1.2目标 .7 1.3范围
10、 .7 1.4规范引用的文件或标准 .8 1.5术语和定义 .8 第第 2 章章电子邮件系统安全电子邮件系统安全.11 2.1服务器安全 .11 2.2客户端安全规范 .26 2.3邮件内容 .29 2.4系统运行维护安全 .31 第第 3 章章帐号管理安全帐号管理安全.40 3.1邮件帐号的命名规范 .40 3.2口令安全策略 .41 3.3邮件帐号的开户 .41 3.4邮件帐号的调整和注销 .42 3.5邮件运行维护管理规范 .44 第第 4 章章用户使用电子邮件规范用户使用电子邮件规范.46 VI电子邮件安全管理规范 附录附录 A:中国石油企业邮件用户遵守协议中国石油企业邮件用户遵守协议
11、.47 附录附录 B:邮件用户开户申请表邮件用户开户申请表.48 附录附录 C:用户信息变更表用户信息变更表.49 附录附录 D:邮件用户销户申请表邮件用户销户申请表.50 附录附录 1参考文献参考文献 .51 附录附录 2 2本规范用词说明本规范用词说明.52 电子邮件安全管理规范7 第第第 1 1 1 章章章 概述概述概述 1.1概述 电子邮件作为最常用的信息交换手段和通讯方式,已成为中国石油不可或缺的通讯工具。 电子邮件系统已成为中国石油信息系统的基础设施之一。为保护电子邮件系统安全可靠运 行,保护企业信息交流和通讯的可用性和安全性,从而保障中国石油信息系统的安全,特 制定本规范。 本规
12、范从电子邮件的技术、管理和使用三方面提出安全规定,包括邮件服务器安全、邮件 操作系统安全、邮件内容安全、用户管理和用户使用安全 5 部分。 1.2目标 保障中国石油电子邮件系统安全、可靠运行,即保护电子邮件系统的可用性,保护中国中 国石油电子邮件的机密性和完整性,规范中国石油用户安全使用电子邮件。 1.3适用范围 本标准规定了中国石油邮件系统的技术、管理和使用的安全。 本标准适用于中国石油电子邮件系统的安全的维护和管理、用户的安全使用和管理。 1.4规范引用的文件或标准 下列文件中所包含的条款,通过本标准的引用而成为本标准的条款。本标准出版时,所示 以下版均为有效。所有标准都会被修订,使用本标
13、准的各方应探讨使用下列标准最新版本 的可能性。 8电子邮件安全管理规范 1.GB17859-1999 计算机信息系统安全保护等级划分准则 2.GB/T 9387-1995 信息处理系统 开放系统互连基本参考模型(ISO7498 :1989) 3.GA/T 391-2002 计算机信息系统安全等级保护管理要求 4.ISO/IEC TR 13355 信息技术安全管理指南 5.NIST 信息安全系列美国国家标准技术院 6.英国国家信息安全标准 BS7799 7.信息安全基础保护 IT Baseline Protection Manual (Germany) 8.BearingPoint Consul
14、ting 内部信息安全标准 9.RU Secure 安全技术标准 10. 信息系统安全专家丛书 Certificate Information Systems Security Professional 1.5术语和定义 访问控制访问控制 accessaccess controlcontrol 一种安全保证手段,即信息系统的资源只能由被授权实体按授 权方式进行访问,防止对资源的未授权使用。 授权授权 authorizationauthorization 授予权限, 包括允许基于访问权的访问。 可用性可用性 availabilityavailability 数据或资源的特性,被授权实体按要求能及
15、时访问和使用数据或资源。 密文密文 ciphertextciphertext 经加密处理而产生的数据, 其语义内容是不可用的。 注: 密文本身可以是加密算法的输入, 这时候产生超加密输出。 明文明文 cleartextcleartext 可理解的数据, 其语义内容是可用的。 电子邮件安全管理规范9 计算机犯罪计算机犯罪 computercomputer crimecrime 借助或直接介入信息处理系统或计算机网络而构成的犯罪。 刑法明确规定侵入国家事务、经济建设、国防建设、尖端科学技术领域的计算机信息系统, 故意破坏数据、应用数据、故意制作、传播破坏性程序等行为构成计算机犯罪。 计算机病毒计算
16、机病毒 Computer Virus 是指编制或者在计算机程序中插入的破坏计算机功能或者毁 坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。 保保密性密性 confidentialityconfidentiality 使信息不泄露给非授权的个人、实体或进程, 不为其所用。 非军事化区非军事化区demilitarized zone DMZ 作为组织网络的进入点,负责保护安全区域边界或外 部连接。 服务拒绝服务拒绝 denialdenial ofof serviceservice (DoSDoS)是一种导致计算机和网络无法正常提供服务的攻击, 资源的授权访问受阻或关键时刻的操作的
17、延误。 数字签名数字签名 digitaldigital signaturesignature 添加到消息中的数据,它允许消息的接收方验证该消息的来 源。 加密加密 enciphermentencipherment 通过密码系统把明文变换为不可懂的形式。 穷举攻击穷举攻击 forceforce attackattack 通过尝试口令或密钥可能有的值,违反计算机安全的企图。入侵者以 破译用户口令作为攻击的开始,然后采用字典穷举法,破译口令。 完整性完整性 integrity 在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源 的情况下,信息系统中的数据与在原文档中的相同,并未遭受偶
18、然或恶意的修改或破坏时所具 的性质。 入侵检测入侵检测 intrusion detection自动检测网络数据流中潜在入侵、攻击和滥用方式,提供了网络安全保护功 能。它位于被保护的内部网络和不安全的外部网络之间,通过实时截获网络数据流,寻找网络 违规模式和未授权的网络访问尝试。 漏洞漏洞 loophole 由软硬件的设计疏忽或漏洞导致的能避过系统的安全措施的一种错误。 恶意代码恶意代码 maliciousmalicious codecode在硬件、固件或软件中所实施的程序,其目的是执行未经授权的或 有害的行动。 最小特权最小特权 minimumminimum privilegeprivileg
19、e 主体的访问权限制到最低限度,即仅执行授权任务所必需的那 些权利。 一次性口令一次性口令 one time password OTP 在登录过程中加入不确定因素,使每次登录过程中传送的 信息都不相同,以提高登录过程安全性。 10电子邮件安全管理规范 口令口令 passwordpassword 用来鉴别实体身份的受保护或秘密的字符串。 渗透测试渗透测试 penetrationpenetration testingtesting 组织专门程序员或分析员进行系统渗透,以发现系统安全脆弱 性,通常会模拟黑客真实环境和手段进行测试以发现系统安全漏洞。 物理安全物理安全 physicalphysical
20、 securitysecurity 为防范蓄意的和意外的威胁而对资源提供物理保护所采取 的措施。 安全策略安全策略 securitysecurity policypolicy 规定机构如何管理、保护与分发敏感信息的法规与条例的集 合。 安全审计安全审计 securitysecurity auditaudit 为了测试出系统的控制是否足够, 为了保证与已建立的策略 和操作相符合, 为了发现安全中的漏洞, 以及为了建议在控制、策略中作任何指定的改变, 而对系统记录与活动进行的独立观察。 安全配置安全配置 secure configuration 控制系统硬件与软件结构更改的一组规程。其目的是来保
21、证这种更改不致违反系统的安全策略。 安全策略安全策略 security policy 规定机构如何管理、保护与分发敏感信息的法规与条例的集合。 安全规范安全规范 security specifications 系统所需要的安全功能的本质与特征的详细述。 安全测试安全测试 security testing 用于确定系统的安全特征按设计要求实现的过程。这一过程包 括现场功能测试、穿透测试和验证。 威胁威胁 threatthreat 一种潜在的对安全的侵害以破坏、泄漏、数据修改和拒绝服务的方式,可能 对系统造成损害的环境或潜在事件。 垃圾邮件垃圾邮件 unsolicited bulk email 是
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 019 传统文化 社科 论衡