中国石化远程安全维护管理规范.doc

1、中国石化集团公司远程安全接入和维护管理规范V 1.0中国石化集团2005年12月1日文档控制拟 制:审 核:标准化:读 者：版本控制版本提交日期相关组织和人员版本描述V1.02005-12-08前 言11 目的22 适用范围23 术语23.1 远程接入23.2 管理员23.3 用户24 规范性要求24.1 维护人员要求24.2 远程可接入区域和设备标识24.2.1 接入区域24.2.2 设备标识34.3 远程可接入主体及授权34.3.1 接入主体34.3.2 远程访问授权34.4 远程接入安全要求44.4.1 远程接入方式44.4.2 远程接入安全控制技术44.4.3 远程接入的用户鉴别44.

2、4.4 远程接入的网络连接访问控制54.4.5 远程访问接入的审计64.4.6 可信通道64.4.7 内容安全75 附则75.1 文档信息75.2 与其他管理规范的关系8前 言为了控制远程访问对中国石化公司网络、业务系统的非授权访问及其影响，确保网络通信畅通和业务系统的正常运营，在中国石化统一安全保障体系框架下，特建立本规范文档，以使中国石化各组织机构、团体和个人明确其远程访问的权利和义务。本规范由中国石化集团公司信息系统管理部制定，经由公司信息安全工作组讨论通过并发布执行。本规范由公司信息安全办公室负责解释和修订。本规范自发布之日起执行。1 目的本规范旨在明确中国石化公司远程用户对公司网络、

3、业务系统的远程访问控制，规范各类安全接入，避免一些非授权访问行为，从而有效降低或减少此类行为对公司信息系统的影响。2 适用范围本策略文档适用于中国石化公司范围内可控制的信息系统部分，以及可远程访问这些信息系统部分的实体。3 术语3.1 远程接入指因远程业务、为客户提供电子商务或通告服务、远程维护信息系统、第三方提供IT服务等的需要，特定主体对信息系统中的某个设备实施非本机直接访问的接入行为。3.2 管理员包括公司安全管理员、主机系统管理员、网络管理员、数据库和其它应用管理员在内的所有系统管理人员。3.3 用户指除了系统管理员之外，所有可通过物理或者逻辑途径能够远程访问到公司信息系统的主体。4

4、规范性要求4.1 维护人员要求对本策略文档中规定的安全要求，应该由管理员负责其实施、检查、监督任务，并定期将任务的执行情况向相应的安全管理机构汇报。管理员还应该负责跟踪本策略文档中安全要求的使用情况，并适时反映给负责制定策略文档的机构，及时将变更后的情况反馈给公司的所有人员。4.2 远程可接入区域和设备标识4.2.1 接入区域根据业务应用价值以及信息资源类型，将信息系统划分为不同的安全区域，通过远程访问这些不同的区域时，应执行不同的远程接入安全策略。远程接入和远程访问应考虑：1) 明确网络区域承载的业务应用；2) 明确网络区域中的设备和信息资源；3) 划分网络区域（包括物理的或逻辑的VLAN）

5、；4) 划分网络区域的级别；5) 确定可远程访问点，准备制定远程接入策略。4.2.2 设备标识在制定远程接入策略之前，应标识这些区域（含级别）以及区域中的关键设备。对设备的标识将与访问主体的标识结合起来，作为审计远程访问行为的依据。中国石化信息系统根据远程访问控制的要求，将内部网划分为业务网、办公网和Web服务区三个区域，其级别分别为“3、2、1”三个层次，应明确标识各层次相关关键设备清单和编号。网络区域划分、级别确定以及关键设备标识将由管理员统一负责，并将结果上报给安全管理机构。4.3 远程可接入主体及授权4.3.1 接入主体根据不同访问需求、远程维护需求、执行IT服务需求，确定如下可实施远

6、程访问的主体：1) 管理员；2) 公司内部授权人员；3) 授权业务用户；4) 授权设备厂商技术支持人员；5) 授权集成技术支持人员；6) 授权第三方服务人员；7) 其他授权用户。应该标识这些访问主体，使其行为可追踪和审计。4.3.2 远程访问授权对于授权的设备厂商技术支持人员、授权的集成技术支持人员、授权的第三方服务人员以及其他授权用户，应该由管理员按照统一的规则建立临时账号，对临时账号的要求如下：1) 设置连接阈值，即应设立远程登录连接次数的阈值，当连接次数超过此阈值时，应终止该账号连续或并发的登录权限，同时规定相关的登录工作时间；2) 当临时用户完成远程访问任务后，应由管理员统一撤销临时账

7、号（注：如果系统支持帐户时效性功能，则进行相应的设置工作时效和帐户过期时间），并记录归档；3) 应由管理员根据最小权限原则授予所有访问主体权限，在访问主体执行远程访问之前，管理员应该将授权情况上报给安全管理机构审核、批准。4.4 远程接入安全要求4.4.1 远程接入方式本策略文档可控制的远程接入方式包括：1) 通过内部网远程接入。访问主体在内部网内从一个区域远程接入另一个区域；2) 通过Internet的远程接入。外部用户通过Internet网络访问中国石化内部可访问的区域中的主机或服务系统；3) 远程拨号接入。在中国石化内部设置接入服务器，外部通过PSTN（PLMN）网络接入。4.4.2 远

8、程接入安全控制技术应由接入安全设备实施远程访问的安全控制，但接入安全设备本身应符合相关的安全标准，通过权威机构的评测认证，证实其具备必要的自防护能力。远程接入安全设备通常采用的安全功能技术包括：1) 用户鉴别；2) 网络连接访问控制；3) 安全审计；4) 可信通道；5) 内容安全保护。4.4.3 远程接入的用户鉴别远程接入的用户鉴别必须做好访问主体的标识、鉴别机制及鉴别机制控制等工作。1） 远程访问主体可采用的标识通常包括：l 用户名；l IP地址和域名实际上在网络中，我们经常用IP地址和域名作为鉴别访问者和被访问者的标志；l 硬件序列号通过硬件设备中的板卡、部件的一些序列号组成一个鉴别体。例

9、如：CPU序列号，网卡序列号，网卡MAC地址等；2） 目前在中国石化业务网络上可以使用的鉴别和认证类型的典型技术包括：l 用户名/口令机制（User/Password）此机制是最典型的、最经济的鉴别机制。在各种系统中一般都缺省使用这个机制，各专业网必须按照用户名、密码设置有关要求进行设置和修改；l PKI 公开密钥基础设施PKI的一个核心技术基础就是公开密钥，通过一对不相同的加解密密钥，结合密钥管理体系完成对于持有密钥人的鉴别和认证功能；l 令牌（Token）、智能卡（SmartCard）等强鉴别机制。3） 管理员应根据实际需要采用上述一种或几种技术进行远程用户接入鉴别控制。4） 用户访问网络

10、区域的鉴别机制要求包括：l 从互联网（假设互联网级别为“0”）访问Web服务区，一般无需鉴别机制，有特别业务需求的，可采用口令鉴别机制；l 对于内部网之间的远程访问，从低级别区域访问高级别区域的，应该根据访问需求，酌情采用PKI鉴别机制或令牌（Token）、智能卡（SmartCard）等强鉴别机制；从高级别区域访问低级别区域的，可采用口令鉴别机制，有特别业务安全需求的，应该采用PKI鉴别机制。5） 通过拨号方式访问网络区域的鉴别机制要求包括：l 从互联网访问Web服务区，应该采用口令鉴别机制；从互联网访问办公网的，应该采用PKI鉴别机制；l 从互联网访问业务网的，应该建立可信通道，在可信通道中

11、采用PKI鉴别机制或令牌（Token）、智能卡（SmartCard）等强鉴别机制。4.4.4 远程接入的网络连接访问控制远程接入的网络连接访问控制必须从控制实现的方式、控制对象等方面进行综合考虑。1） 网络连接访问控制技术主要包括：l 路由设备上的访问控制列表l 防火墙l 网关设备l 拨号认证服务器上的访问控制列表l 其他2） 管理员应根据实际需要采用上述技术进行远程用户接入网络连接访问控制。3） 不同级别区域之间网络连接的访问控制要求包括：l 应该通过防火墙和路由设备上的访问控制列表将整个内部网与互联网逻辑隔离开来；l 通过拨号方式访问内部网络区域的，应该由拨号认证服务器上的访问控制列表实施

12、访问授权检查，禁止非法接入；l 业务网和其他两个区域之间应该通过合适的网关设备实施逻辑隔离，Web服务区和办公网之间应该通过防火墙实施逻辑隔离；l 禁止从互联网上直接接入业务网，对确有访问需求的，必须采用可信通道方式接入。4） 网络访问控制措施的建立，还应综合考虑成本和网络性能的要求和影响。4.4.5 远程访问接入的审计远程访问接入的审计必须明确审计的内容、对象、审计实现的工作方式以及审计记录的处置等工作。1） 应遵循安全审计管理要求审计远程用户的访问行为，审计主要技术类型包括：l 设备的Log 日志；l IDS 入侵检测；l 专门的审计产品；2） 远程接入审计主要通过旁路或嗅探类型的工作方式

13、实现，其主要功能包括对主业务进行记录、检查、监控等，通常不会不干涉和直接影响主业务流程。3） 应该审计的远程接入行为包括：l 远程访问业务网和办公网的行为，包含通过拨号方式访问内部网的行为；l 第三方远程维护访问行为；l 建立临时账号的行为；l 远程访问带入的非法代码侵入行为。4） 审计记录内容应该包括日期、时间、访问主体标识、被访问的客体、操作、访问行为的成败、异常情况等。5） 应该充分利用远程访问的审计记录，对可疑行为进行检测、通告、预警甚至响应处理行为。因此，审计记录应该被入侵检测设备、专门的审计分析器以及安全管理中心所用。4.4.6 可信通道可信通道是满足中国石化公司自身安全需求，保障

14、业务信息和管理信息安全传输的关键措施。1） 对于具有特别需求的远程访问主体，应由管理员负责在远程用户与可接入区域之间建立符合安全需求的可信通道，可信通道具有如下特点：l 加密与完整性检测功能；l 身份鉴别功能；l 抗抵赖功能。2） 常见的可信通道是VPN技术，对VPN技术应该采取如下管理措施：l 避免与行为审计发生冲突。从对外部访问公司内部网的行为，应该进行必要的审计，而经过VPN处理的数据，以加密的方式存在，无法被审计。因此，VPN接入设备只能部署在公司网络区域的边界处，办公网和业务网之外，目的是使进入公司内部网的任何连接和操作以明文方式进行，以便进行必要的行为审计；l 必须保障内容安全。当

15、Internet用户通过VPN进入公司内部网络之后，可能攻击（恶意攻击者也可能通过VPN用户主机作为跳板）并传播病毒到公司内部其他的终端或主机系统，从而达到侵入公司内部网络的目的，因此，必须实施合适的内容安全保护；l VPN路由的功能。通过VPN网络进入公司网络的用户，应该可以在公司内部网络路由，也就是可以访问任何内部网区域；l 与防火墙的位置关系。采用与防火墙分离的VPN设备，原则上不允许VPN与防火墙设备分离，VPN接入应当是防火墙设备的功能之一，并且与防火墙有机的结合；l NAT设备的穿越。对于从Internet来的用户，很多都是通过NAT设备到达公司VPN设备的，VPN Client必

16、须能够穿过NAT设备。4.4.7 内容安全内容安全保护旨在控制远程访问行为中可能带入的非法和有害内容，如病毒、蠕虫、木马、垃圾邮件等。1） 通过加密、内容过滤、防病毒、VPN信道、水印技术等可实施内容安全保护；2） 对于任何从内部网外带入的移动电脑（如笔记本电脑）、移动介质、光盘等，因业务或维护的需求，确实需要接入内部网，以远程访问内部网中的设备的，应该对它们实施内容安全控制，内容安全控制应该符合恶意代码防护管理要求。5 附则5.1 文档信息本策略由中国石化公司信息安全管理机构制定，并负责解释和修订。本策略自发布之日起执行。5.2 与其他管理规范的关系本策略文档中的安全要求是整个公司信息安全保障体系中的一个环节，因此，应该注意这些要求与其他相关的管理要求之间的一致性，其他管理要求包括：l 恶意代码防护管理要求。内容安全保护应该遵循病毒防护管理要求。l 安全监控管理要求。远程接入安全设备应该受到合适的监控，监控规则必须符合安全监控管理要求。l 安全风险管理要求。应该定期对远程安全维护实施安全风险评估，风险评估行为必须符合安全风险管理要求。第 8 页