硬件设备安全管理规范.doc

中国石油信息安全标准 编号： 中国石油天然气股份有限公司 硬件设备安全管理规范 （审阅稿） 版本号：V3 审阅人：王巍 中国石油天然股份有限公司 前 言 随着中国石油天然气股份有限公司（以下简称“中国石油”）信息化建设的稳步推动，信息安全日益受到中国石油的广泛关注，加强信息安全的管理和制度无疑成为信息化建设得以顺利实行的重要保障。中国石油需要建立统一的信息安全管理政策和标准，并在集团内统一推广、实行。 本规范是依据中国石油信息安全的现状，参照国际、国内和行业相关技术标准及规范，结合中国石油勘探与生产地区公司、炼油与销售地区公司、化工与销售地区公司、天然气与管道地区公司等四个专业分公司的应用特点，制定的适合于中国石油信息安全的标准与规范。目的在于通过在中国石油范围内建立信息安全相关标准与规范，提高中国石油信息安全的技术和管理能力。 信息技术安全总体框架如下： 1） 整体信息技术安全架构从逻辑上共分为7个部分，分别为：物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分，共有13本《规范》和1本《通用标准》。 2） 对于13个《规范》中具有一定共性的内容我们整理出了6个《标准》横向贯穿整个架构，这6个《标准》的组合也依据了信息安全生命周期的理论模型。每个《标准》都会对所有的《规范》中相关涉及到的内容产生指导作用，但每个《标准》应用在不同的《规范》中又会有相应不同的具体的内容。我们在行文上将这六个标准组合成一本通用的安全管理标准单独成册。 3） 全文以信息安全生命周期的方法论作为基本指导，《规范》和《标准》的内容基本都根据认证——〉授权——〉内容安全——〉日记管理的理论基础行文。 本文即为信息安全总体框架中以深色标注的部分：《硬件设备管理规范》，重要规定了各种硬件设备针对安全问题的管理制度。 硬件设备安全管理规范描述了公司内部所有的IT相关的硬件设备的安全规定。该规范保护的对象为公司内部所有的IT相关的硬件设备，涉及了台式电脑、服务器、周边设备、存储设备、可携式媒介、移动计算设备(笔记本电脑，Palm)、厂外设备(第三方)等。而对于硬件设备的保护我们重要从防护人对设备的威胁、环境对设备的威胁和设备自身的故障威胁三个方面进行阐述。 本规范由中国石油天然气股份有限公司发布。 本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。 起草部门：中国石油制定信息安全政策与标准项目组。 说 明 在中国石油信息安全标准中涉及以下概念： 组织机构 中国石油（PetroChina） 指中国石油天然气股份有限公司有时也称“股份公司”。 集团公司（CNPC） 指中国石油天然气集团公司有时也称“存续公司”。为区分中国石油的地区公司和集团公司下属单位，担提及“存续部分”时指集团公司下属的单位。如：辽河油田分公司存续部分指集团公司下属的辽河石油管理局。 计算机网络 中国石油信息网（PetroChinaNet） 指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上，进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。 集团公司网络（CNPCNet） 指集团公司所属范围内的网络。中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络，当提及“存续公司网络”时，指存续公司使用的网络部分。 主干网 是从中国石油总部连接到各个下属各地区公司的网络部分，涉及中国石油总部局域网、各个二级局域网（或园区网）和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总部，不是运用专线，这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。 地区网 地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道可以是专线，也可以是拨号线路。 局域网与园区网 局域网通常指，在一座建筑中运用局域网技术和设备建设的高速网络。园区网是在一个园区（例如大学校园、管理局基地等）内多座建筑内的多个局域网，运用高速信道互相连接起来所构成的网络。园区网所运用的设备、运营的网络协议、网络传输速度基本相同于局域网。局域网和园区网通常都是用户自己建设的。局域网和园区网与广域网不同，广域网不仅覆盖范围广，所运用的设备、运营的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建设的。 二级单位网络 指地区公司下属单位的网络的总和，也许是局域网，也也许是园区网。 专线与拨号线路 从连通性划分的两大类网络远程信道。专线，指数字电路、帧中继、DDN和ATM等经常保持连通状态的信道；拨号线路，指只在传送信息时才建立连接的信道，如电话拨号线路或ISDN拨号线路。这些远程信道也许用来连接不同地区的局域网或园区网，也也许用于连接单台计算机。 石油专网与公网 石油专业电信网和公共电信网的简称。 最后一公里问题 建设广域网时，用户局域网或园区网连接附近电信部门信道的最后一段距离的连接问题。这段距离通常小于一公里，但也有大于一公里的情况。为简便，同称为最后一公里问题。 涉及计算机网络的术语和定义请参见《中国石油局域网标准》。 目 录 1 概述 6 2 目的 6 3 规范的合用范围 6 4 规范引用的文献或标准 7 5 术语和定义 8 6 设备安全分级标准 10 7 硬件设备采购安全 11 7.1 设备选购安全 11 7.2 设备采购招标安全 11 7.3 设备检测安全管理规范 16 7.4 设备安装安全管理规范 17 8 硬件设备使用安全管理规范 17 8.1 设备物理环境相关安全管理规范 17 8.2 “清除桌面和屏幕” 19 8.3 员工使用硬件设备的相关安全 20 8.4 硬件设备相关使用日记和使用权限的审计 25 8.5 媒介设备安全 28 8.6 场外设备安全 29 9 硬件设备维护安全 30 10 硬件设备处置和重用安全 31 附录 1 参考文献 32 附录 2 本规范用词说明 33 1 概述 保证计算机信息系统各种设备自身的安全和设备所在区域的物理环境安全是整个计算机信息系统安全的前提和基础。 信息系统所在区域的物理环境安全（以下简称“物理安全”）是保护区域内计算机相关设备以及其它媒介免遭地震、水灾、火灾等环境事故以及周边环境的因素影响。它是对系统所在环境的安全保护，同时，还需要防止对区域的未经授权的访问。 信息系统的硬件设备安全重要指：设备自身的安全问题、如何防止对硬件设备的未经授权的访问和未经授权的携入携出以及设备在生命周期的各个环节需要注意的安全事项。 2 目的 本规范的目的为： 保护信息系统基础设施、设备、媒介免受非法的实物访问、自然灾害和环境的危害。通过对设备从采购到使用到维护直至最后报废的全过程进行安全相关的防护和相应的规范，防止中国石油基础设施等资产的损坏、丢失、敏感信息的泄漏以及商务活动的中断。从而进一步保障中国石油业务的连续运营，保护中国石油的信息安全。 3 合用范围 本套规范合用的范围涉及了公司内部所有的信息相关的硬件设备，涉及了台式电脑、服务器、周边设备、存储设备、可携式媒介、移动计算设备(笔记本电脑，Palm)、厂外设备(第三方)等。 注：由于网络设备和网络线缆设备相对其他IT设备由于具有一定的特殊性，因此我们对于这两种设备的安全规范将在《网络安全规范》中进行描述。 4 规范引用的文献或标准 下列文献或标准中的条款通过本规范的引用而成为本规范的条款。本标准出版时，所示版均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的也许性。 1. GAT390-2023 《计算机信息系统安全等级保护通用技术规定》 2. GB50174-93 《电子计算机机房设计规范》 3. SJ/T30003-93 《电子计算机机房施工及验收规范》 4. GB9361-88 《计算站场地安全规定》 5. GB2887-2023 《电子计算机场地通用规范》 6. GB50052 《供配电系统设计规范》 7. GA 163－1997《计算机信息系统安全专用产品分类原则》 8. GA 216.1-1999《计算机信息系统安全产品部件第1部分：安全功能检测》 9. NIST信息安全系列——美国国家标准技术院 10. 英国国家信息安全标准BS7799 11. 信息安全基础保护IT Baseline Protection Manual (Germany) 12. BearingPoint Consulting 内部信息安全标准 13. RU Secure安全技术标准 14. 信息系统安全专家丛书Certificate Information Systems Security Professional 5 术语和定义 关键级设备 包含了非常重要的的公司信息资产或公司信息系统的硬件设备。该设备上所承载的信息资产或运营的信息系统一旦出现中断、损坏、丢失或泄漏等安全故障会直接影响影响整个公司的业务运作或各个地区公司的业务运作，或是会对公司带来巨大的经济上或名誉上的损失。 举例：备份非常重要研发数据的台式电脑、公司级Email系统服务器、存放财务数据的磁带 重要级设备 包含了比较重要的的公司信息资产或公司信息系统的硬件设备。该设备上所承载的信息资产或运营的信息系统一旦出现中断、损坏、丢失或泄漏等安全故障会直接影响影响各个业务单元或各个业务部门的业务运作，或是会对公司带来明显的经济上或名誉上的损失。 举例：病毒服务器、部门级应用服务器、商业软件光盘 普通级设备 包含了普通的公司信息资产或个人信息资产的硬件设备。该设备上所承载的信息资产或运营的信息系统一旦出现中断、损坏、丢失或泄漏等安全故障会直接影响影响个人或小范围群体的业务运作，或是会对公司带来较小的经济上或名誉上的损失。 举例：普通用户台式电脑、个人数据备份光盘、项目临时服务器 访问控制 access control一种安全保证手段，即信息系统的资源只能由被授权实体按授权方式进行访问，防止对资源的未授权使用。 审计 audit为了测试出系统的控制是否足够, 为了保证与已建立的策略和操作相符合, 为了发现安全中的漏洞, 以及为了建议在控制、策略中作任何指定的改变, 而对系统记录与活动进行的独立观测。 授权authorization 给予权利，涉及信息资源访问权的授予。 认证 certification a. 验证用户、设备和其他实体的身份； b. 验证数据的完整性。 隔离 isolation为防止其他用户或程序的非授权访问, 把操作系统、用户程序、数据文献加以彼此独立存储的行为。 日记 log一种信息的汇集, 记录有关对系统操作和系统运营的所有事项，提供了系统的历史状况。 漏洞loophole 由软硬件的设计疏忽或漏洞导致的能避过系统的安全措施的一种错误。 物理安全 physical security 为防范蓄意的和意外的威胁而对资源提供物理保护所采用的措施。 威胁threat 一种潜在的对安全的侵害以破坏、泄漏、数据修改和拒绝服务的方式，也许对系统导致损害的环境或潜在事件。(GB9387-95) 安全等级 security classification 决定防止数据或信息需求的访问的某种限度的保护，同时对该保护限度给以命名。为表达信息的不同敏感度, 按保密限度不同对信息进行层次划分的组合或集合。 敏感信息 sensitive information 由权威机构拟定的必须受保护的信息，由于该信息的泄露、修改、破坏或丢失都会对人或事产生可预知的损害。 弱点vulnerability 导致破坏系统安全策略的系统安全规程、系统设计、实现、内部控制等方面的薄弱环节，在信息系统中能被威胁运用产生风险。 6 设备安全分级标准 设备安全等级区分表 区域类型 定义 信息系统/业务影响范围 公司经济上或名誉上的损失 举例 关键级设备 包含了非常重要的的公司信息资产或公司信息系统的硬件设备 整个公司或各个地区公司 巨大 备份非常重要研发数据的台式电脑、公司级Email系统服务器、存放财务数据的磁带 重要级设备 包含了比较重要的的公司信息资产或公司信息系统的硬件设备 各个业务单元或业务部门 明显 病毒服务器、部门级应用服务器、商业软件光盘 普通级设备 包含了普通的公司信息资产或个人信息资产的硬件设备 个人或小范围群体 较小 普通用户台式电脑、个人数据备份光盘、项目临时服务器 7 硬件设备采购安全 7.1 设备选购安全 a) 选用的信息解决设备、信息互换传输设备和信息存储设备必须通过技术论证，符合国家、行业相关标准的规定，满足安全性、可靠性与兼容性规定。关键级和重要级设备严禁采购和使用未经国家信息安全评测机构认可的设备。 b) 新购置的设备应通过测试，测试合格后方能投入使用。 c) 根据设备所承载的信息资产的重要性确认设备冗余的等级。 d) 严禁使用未经国家密码管理部门批准和未通过国家信息安全质量认证的密码设备。 7.2 设备采购招标安全 7.2.1 对硬件供应商的安全规定 （本节内容重要针对重要级和关键级的硬件设备） 7.2.1.1 硬件设备供应商必须满足以下规定： a) 未经中国石油的书面批准，不得以任何形式发布或泄漏为中国石油提供或中国石油自己提供的硬件中的额外安全措施。 b) 硬件设备供应商必须提供自己设施、安装和技术能力的资质证明。 c) 假如供应商或中国石油发生了任何不曾预料到的威胁或危害，或者任何现存的保护措施停止工作，发现者必须立即告知另一方。 7.2.1.2 当供应商提供服务时需要用到中国石油的硬件系统，中国石油应增长相应限制： a) 在任何情况下，供应商不得为了协议以外的目的使用中国石油的计算机或相关设施。 b) 供应商如需使用中国石油的硬件系统，必须通过适当的审批流程，如先向中国石油提出书面的申请，明确使用的目的和因素，通过相关安所有门审批通过后方可使用。 c) 根据供应商的具体需求授予供应商相应使用的权限，必须严格遵循“最小授权”原则。并明确使用时间、地点、范围等内容。如必要，可签订相应的协议以保证安全。 7.2.1.3 对于关键级和重要级的硬件设备应规定供应商为其硬件设备提供业务连续性支持方案和应急计划。 a) 连续性支持方案必须包含具体的措施，用以及时采用适当的行为保护系统的信息资产免受危害，该方案至少应包含： Ø 风险评估 Ø 业务影响评估 Ø 拟定重要的行动或者关键流程、以及需要的工作量与恢复时间等因素 Ø 拟定替代流程 Ø 拟定可以缓解危害的行为 b) 连续性支持方案必须包含具体的措施，用以及时采用适当的措施恢复被修改、破坏或者盗用的参数、硬件或数据。方案中的系统恢复部分必须至少包含： Ø 恢复的基本策略 Ø 根据硬件组件和子系统的优先级拟定恢复流程的规范 Ø 进行冗余操作时的测试流程 Ø 拟定应急响应的具体责任 c) 连续性支持方案应说明方案的测试方法，并拟定进行方案测试的时间安排。至少进行年度测试，并且应进行一些不提前告知的测试。 d) 作为应标书一部分，硬件供应商应提供应急计划的初始方案，来应对潜在的威胁以及实际发生的危害。同时应提供对于应急计划的测试方案。 e) 供应商应说明应急计划的架构、技术能力和组织在紧急情况下保护硬件系统的方法。在应急计划中应说明中止服务、替换硬件等应急措施的具体使用范围。 f) 应急计划中应说明需要外部第三方服务的紧急情况下，如何规定外部的第三方供应商提供应急服务。供应商必须规定其他的必要的第三方供应商提供应急计划。 7.2.2 硬件采购标书评估 a) 建立评标小组，确立小组的组织原则，小组成员的角色和职责。 b) 制订评标规划，重要涉及： Ø 确立安全评估在整个标准评估中的地位、作用和权利. Ø 确立安全评估内容，例如规定供应商在应标书中声明硬件产品安全保证 c) 进行硬件安全性评估，在评估过程中根据评估规划的内容，拟定是否需要进行硬件安全性测试。根据系统的不同，可以灵活掌握是否需要进行安全测试、选择哪种测试方式（涉及现场测试、基准测试和交付后测试），并且根据成本、技术和整体的考虑拟定测试次数。应控制高成本测试的次数，从而减少供应商方案准备的成本。 d) 硬件供应商应根据标准流程进行自我评估。（供应商的自我评估不依赖于一个公正和独立的审查者。供应商根据自己制定的安全规定，对系统进行技术评估。虽然无法提供一个公正的结果，但是这仍然能提供一定的保证。通过查看评估报告，可以拟定供应商拟定是否认义了合适的安全规定，并且是否进行了合适的检查。） e) 硬件供应商宜在独立组织的支持和审查下的自我评估。（这种方法具有自我评估的低成本和快速的特性，同时又可以具有独立公正性。但是，这种审查也许不如其他的正式评估和测试过程彻底。） 7.2.3 订立硬件设备采购协议相关安全 7.2.3.1 签订协议法律符合性 a) 中国石油应具有专门的法律顾问或者法律部门，负责硬件设备采购协议的法律符合性问题，实行采购的负责人需要和相关法律部门协商协议的法律问题。 b) 硬件采购合约性风险和责任——采购协议除了一般性的内容以外，还应涉及针对安全的额外条款，如硬件设备质量保证条款、售后服务条款和安全问题补偿条款等，具体的条款也许会根据采购硬件设备的不同而大有差异，但这些条款的总体目的在于迫使供应商提高对安全的重视限度。关于这些条款的具体订立需要征询相关的法律专家和安全问题专家。下文给出了一个可以参考的范例： Ø 递交的产品的功能和产品说明书、质量保证书以及其它相关材料一致，除此以外： ____________________________________________ ____________________________________________ ____________________________________________ Ø 假如硬件安装正常，则只会创建或者改动以下方面： ____________________________________________ ____________________________________________ ____________________________________________ Ø 除了下列的例外情况以外，提交的硬件件不涉及任何产品说明书中没有提供的功能和方法： ____________________________________________ ____________________________________________ ____________________________________________ 7.2.3.2 协议的其他规范 a) 对于大型硬件系统的采购，应建立专门的安全控制和评审小组以更好的控制硬件设备购买过程中的安全，该小组的重要目的是： Ø 采购方和供应方信息交流 Ø 安全需求分析 Ø 确认新的威胁和弱点 Ø 拟定对系统安全有影响的变更 Ø 安全问题策略建议 Ø 当需要在安全问题和功能需求做出平衡的时候，给出适当的意见 b) 应在协议中定义清楚安全控制小组的组成、职责和功能。例如： Ø 安全控制小组由中国石油<>人和供应商<>人共同构成，重要负责硬件的安全问题，其中涉及报告硬件的安全问题、并提出硬件安全建议。 Ø 安全控制小组需要在<地址>安排<会议>，并记录会议内容，会议记录需要提交给中国石油相关负责人。会议需要在<协议生效以及后续xx天>期间定期举行。 Ø c) 协议还需要规定在协议结束的时候，如何保证在供应商电脑系统中的中国石油的所有信息的归还和销毁（并且在销毁之前需要保证这些信息已经在中国石油的系统中备份），例如可以涉及如下的条款： Ø 供应商保证所有履行合约需要的中国石油专有的数据和信息必须在协议结束之后归还给中国石油，并保证不在供应商系统中保存任何相关信息，假如无法立即消除所有信息，供应商保证这些信息在销毁以前不会泄露给第三方也不会用于任何未经中国石油批准的用途，并按如下的进度销毁资料（插入进度）。 d) 协议还应规定，在协议期间供应商使用的中国石油专有的软件和硬件设备在协议结束以后也需按议定流程归还给中国石油，并保证恢复所有设备的初始状态。由于涉及问题的复杂性，无法给出各种场合下的条款内容。 e) 协议还应规定供应商在协议期间所使用的中国石油系统帐户在协议结束以后必须归还给中国石油，以防止意外情况的出现。协议的条款可以类似： Ø 在协议完毕和终止以后，供应商需要提供用户状态列表，提供在后续阶段需要访问中国石油资源的用户列表以及相应的权限列表。当供应商的员工不再因该协议需要访问中国石油的资源的时候（离职或者协议结束），供应商需要在<>时间内告知中国石油相关方面。当供应商的职工离开公司和协议规定的项目时，供应商应提前<>告知中国石油，假如是突发的离职事件则供应商应在第一时间告知中国石油。 f) 协议应规定员工离职或者离开项目时候的工作移交问题，以保证协议的正常连续履行。协议条款可以类似： Ø 当供应商员工离开项目，供应商项目经理必须保证该员工所有相关工作的及时移交，并删除所有必要的文献，并保证在<时间内>告知中国石油。 7.2.3.3 特殊协议规定 某些招标书中内容（重要是权利、责任和补偿方面的约定）和信息安全休戚相关，但是不涉及在供应商相关的应标文献中，并在协议期限内有效。因此这些条款最佳在协议的特殊条款中说明，例如保密协定。中国石油采购负责人需要和供应商的相关方面协商这些条款的具体内容。供应商应对所有在协议期间中国石油提供的信息签署保密条款，类似： Ø 所有中国石油提供的<列出所有类型l>列表中的信息不管以何种方式提供，供应商应保证仅用于协议履行过程并保证不向任何的第三方以任何形式泄露。 Ø 所有<类型列表>的信息必须由接受方在整个拥有过程中妥善保存。该原则同样合用于上述信息产生的输出信息。 Ø 假如由于项目的需要，必须对外发布<信息类型列表>中的信息，则必须向中国石油相关方面提出书面的申请。 7.3 设备检测安全管理 信息系统中所有安全设备必须是通过国家信息安全产品测评认证的合格产品，并应符合中华人民共和国国家标准《数据解决设备的安全》、《电动办公机器的安全》的规定规定。 7.4 设备安装安全管理 a) 设备符合系统选型的规定并批准后，方可购置安装。 b) 必须至少通过单机72小时的运营测试和联机48小时的应用兼容性测试。 c) 通过设备检测测试后，设备才干进入试运营阶段。试运营时间的长短可根据需要自行拟定。 d) 关键级和重要级设备必须通过试运营，才干投入生产系统，正式运营。 8 硬件设备使用安全管理规范 8.1 设备物理环境相关安全管理 8.1.1 设备物理环境 a) 应根据《机房安全管理规范》和《区域安全管理规范》中相关的安全防护措施，减少失窃、火灾、水、灰尘、振动、电源、电磁辐射等环境威胁对设备所产生的潜在的风险。 b) 设备的布置应有助于减少对工作区的不必要的访问。 c) 敏感数据的信息解决设备应放置在有效的监视范围内。 d) 需要特别保护的信息解决设备应与其他设备隔离。 e) 严禁在重要级和以上级别的信息解决设备附近进行饮食、饮水和吸烟。 f) 应尽也许提供满足信息解决设施运作所规定的环境条件。 g) 应考虑发生在邻近场合的劫难影响，如邻近的房屋起火、屋顶漏水、地板渗水等情况。 8.1.2 设备供电安全 a) 设备配备电源应符合设备制造商规定的相关技术规范。 b) 保证关键级设备获得连续的电力供应、保证供电可靠性，可选择以下方案： 1) 防止电源单点故障的多路供电。 2) 配备不间断电源（UPS） 3) 配备备用发电机。 c) 应对供电设备定期检测维护。 1) 应对UPS设备的定期检查，以保证UPS有充足的电量，同时应按照供应商的测试建议进行测试。 2) 发电机安装后，应按照供应商说明的测试方法进行必要的测试，应配备充足的燃料以保证发电机可以长时间的供电。 3) 所有的楼房应安装防雷保护装置，雷电的防护过滤器应当安装在外部的通信线上。 4) 如有停电计划，应提前告知有关部门，防止忽然断电导致的不必要的损失。 8.1.3 设备电缆安全 a) 无论电力电缆还是通信电缆应尽也许埋在地下，或必须得到其它适当的保护。 b) 网络电缆线路应堤防未经授权的截取或损坏，例如，线路通过电缆管道或避免线路通过公共区域。 c) 电源电缆应与通信电缆分离，以防干扰。 d) 定期对线路进行维护，涉及线路巡视检查和线路技术指标测试，及时发现线路故障隐患。 e) 对于敏感或重要的设备，应考虑采用进一步的控制。例如电缆检查点和端点(或电缆接头)放在带锁的房间或盒子里，用专用的检查工具来检测与电缆连接的非法仪器（如用TDR时域反射器监测同轴电缆，用OTDR光学时域反射器检测光缆），或采用数据加密技术对传输的数据进行加密等。 8.2 “清除桌面和屏幕” 清除桌面和屏幕是保护信息资产防止其泄漏或丢失的重要措施之一，即在不使用信息设备时，采用措施将资产保护起来使未经授权的用户无法访问。规定如下： a) 计算机媒介在不使用时，特别是在工作时间以外应，应放置在上锁的文献柜或其他形式的保险设备中。 b) 个人计算机、计算机终端、各类服务器和打印机等信息解决设备在无人值守时应处在登陆状态；在不使用时应通过键盘锁定、口令或其他控制加以保护。 c) 在工作时间以外应将复印机锁住，以防止其他方式非授权的使用。 d) 在打印敏感信息或资料时，应在打印完毕后立即从打印机中清除这些资料。 8.3 员工使用硬件设备的相关安全 8.3.1 人员身份辨认 根据《认证管理标准》，在所有的认证技术手段中只有以下三种情况适合本规范的内容： 硬件设备采用的认证方法应遵循下表规定 安全级别 认证方法 关键级设备 重要级设备 普通级设备 PIN码(用户所知) + + Θ 智能卡(用户所持) Θ Θ - 生物鉴别(用户生物体征) Θ - - 表中符号说明： -：不规定； ＋：规定；Θ：可选 举例：关键级设备、重要级设备、普通级设备 对于承载了十分重要的信息且信息安全敏感限度极高的设备建议采用两种认证方式组合的办法，如PIN码+智能卡。 对于承载了重要的信息且信息安全敏感限度较高的设备可以采用用户所知或用户所持的任意一种认证方式，如PIN码或智能卡 对于承载了普通的信息且信息的设备可以建议采用用户所知的认证方式，如PIN码。 8.3.1.1 PIN码使用 a) 每隔90天修改口令。 b) 明确每个用户使用PIN码的责任。 c) 用户需要保守PIN码的秘密性，，不要将密码告诉任何不相关的人。 d) 用户需要避免保存PIN码的字面纪录或电子纪录。 e) 用户需要避免将PIN码通过Email、电话等任何电子的或纸质的方式传播出去。 f) PIN码的最短长度不得低于6位。 g) 避免使用与个人有关数据（如生日、身份证字号、单位简称、电话号码、同事名字等）当做PIN码。 h) 避免在不同的应用情况下使用同样的PIN码。 i) 任何时候有迹象表白PIN码也许已经泄漏或受损害时要立即更换。 8.3.1.2 智能卡相关标准 (Smart Card) 智能卡是一种安装有集成电路芯片，用于存储和解决数据的塑料卡片。智能卡中存有用户数据信息和密钥，是目前最有效的身份认证手段之一。智能卡具有安全性高、防伪性好、可靠性高、信息存储量大及使用简便的特点。 目前对于智能卡的物理特性和技术特性和通讯协议有严格的相关标准，但用作身份认证时没有具体的使用管理规范。以下列举了一些国际上关于智能卡的物理特性、技术特性和通讯协议相关的标准，仅供参考： a) ISO7816——采用最广泛的智能卡标准。我国已采用其第一、二、三部分为中国标准 。此标准重要定义了塑料基片的物理和尺寸特性(7816/1)，触点的尺寸和位置(7816/2)，信息互换的底层协议描述(7816/3)。7816/4论述了跨行业的命令集。 b) EMV——世界重要信用卡联合体Visa，Mastercard和Europay于1996年修订完毕。定义了CPU卡的协议、数据和指令。提供了除卡内部保护机制之外的附加安全措施。 c) SET——用于电子商务的标准，是“安全电子交易”(SecureElectronicTransaction)的缩写。此标准由Visa和Mastercard共同制定。目前使用极为广泛，系统向用户规定卡号和失效日期，然后信息被加密和核算。系统只检查卡的有效性，而不判断使用者的合法性。 8.3.1.3 用户生物体征 用户生物体征辨认(BIOMETRICS)是指通过计算机运用人体所固有的生理特性或行为特性来进行个人身份辨认和（或）验证目的。常用的生物特性涉及：指纹、掌纹、虹膜、脸像等。生物特性辨认是目前正在发展的一门新兴技术，还没有成熟标准可参考。 a) 指纹辨认 计算机系统通过个体指纹生理特性的提取、比对、验证，从而达成身份辨认目的。目前，指纹鉴定已经被各方所广泛接受成为一种有效的身份辨认手段。 指纹辨认技术在所有生物特性辨认技术中性能价格比最佳。指纹门禁系统、指纹考勤系统是基于指纹的身份鉴别技术最直接的应用成果，随着网络化的更加普及，指纹辨认的应用将更加广泛。 b) 虹膜辨认 一种新兴的生物特性辨认技术，通过对个体虹膜图象提取、图像解决、虹膜特性提取、匹配与辨认等手段达成身份辨认目的。它具有唯一性、稳定性、可采集性、非侵犯性等优点。虹膜具有更高的准确性。目前，虹膜辨认的错误率是各种生物特性辨认中最低的。 8.3.2 设备的使用授权安全 （本节内容重要针对重要级和关键级的硬件设备） 8.3.2.1 外来访问者设备使用管理规范 a) 访者者预先提出申请并由相关负责人审批 b) 确认访问者身份和许可证明 c) 纪录访问相关信息 d) 对设备上的敏感信息进行一定的保护 e) 授予相应访问权限 f) 纪录离开相关信息并收回相应的访问权限 举例：关键级设备使用管理办法建议 a) 对外来访问者应提前3天提出申请并明确理由，提交给负责相关设备管理的主管进行审批； b) 只有在审批通过后方可对相关设备进行访问。 c) 来访时需要其出示相关证件和审批确认书； d) 记录访问者的访问时间、访问地点和事由； e) 如需访问一些关键级机房内的设备还需要相关主管部门进一步书面确认。 f) 访问结束后应及时登记离开时间。 举例：重要级设备访问管理办法建议 a) 对外来访问者应提前1天提出申请并明确理由，提交给负责相关设备管理的主管进行审批； b) 只有在审批通过后方可对相关设备进行访问。 c) 来访时需要其出示相关证件和审批确认书； d) 记录访问者的访问时间、访问地点和事由； e) 如需访问一些重要级机房内的设备还需要相关主管部门进一步书面确认； f) 访问结束后应及时登记离开时间。 8.3.2.2 内部员工管理办法 内部员工的访问控制管理办法应采用分权分级并基于角色和应用相结合的授权方法。(这里指的内部员工是指在同一部门工作的人员，非该部门内人员（即使是中国石油其他部门的人员）都不属于内部员工概念的范畴，而属于外来访问者) a) 通过人事系统中员工的情况授予其相应的设备相关权限和承担的责任。 b) 以书面的方式将员工的权限和相应的责任提交给员工本人。 c) 根据员工权限和责任的大小确认是否需要签署相关的保密协议。 d) 在平常工作中记录员工的安全区域访问日记信息 e) 员工一旦离职或调动岗位应立即收回或调整其访问的权限。 举例——关键级、重要级设备的内部员工管理办法建议： a) 新员工进入公司后相关的档案信息进入人事系统，然后根据该员工的等级给与相应设备的访问权限。如网络管理员具有访问网络设备的权限，其他员工如需访问网络设备需提出适当的理由并由负责网络的相关部分主管书面确认； b) 书面告知该员工相应的的权利和责任并签署相关的保密协议； c) 在平常使用中需登记设备使用日记，以备日后审核； d) 内部用户一旦离职或岗位变动应及时调整访问权限。 8.4 硬件设备相关使用日记和使用权限的审计 8.4.1 硬件设备变更情况登记簿管理 8.4.1.1 登记记录的内容应当涉及： a) 设备名称信息； b) 操作人员的姓名、证件号码、访问的日期和进出时间； c) 更改因素，和相关的审批人； d) 更动的内容（涉及本来的内容和变更的部分和变更后的内容）； e) 访问的设备和媒介的名称、数量、编号、进出时间、申请批准证明、批准者； f) 检测、报警系统的报警时间、现场勘测人员姓名、到达时间、以及现场的其他情况。 样例：设备更改登记表 设备名称 操作者姓名、工作单位 起始日期时间 结束日期时间 审批人 更改因素 更改内容 设备状况 备注 8.4.1.2 硬件设备日记文献保存的时间 a) 关键级设备使用登记记录应当至少保存一年。以备审计用。超过保存期限的日记应监督销毁。 b) 重要级设备使用登记记录应当至少保存三个月。以备审计用。超过保存期限的日记应监督销毁。 8.4.2 硬件设备存放保管登记簿管理 本部分内容属于实物资产管理内容。记录了设备从采购到维修到报废的纪录。 样例：设备维护登记表 填写人姓名 年 月 日 故 障 记 录 维 修 记 录 部 件 更 换 记 录 部件名称 部件序号 更换时间 操作人 备 注 8.4.3 日记定期的审计和人员权限的定期审核 8.4.3.1 日记定期审计 a) 关键级设备的日记文献每6个月审核一次。 b) 重要级设备的日记文献每12个月审核一次。 8.4.3.2 内部人员权限定期审计 a) 关键级设备的人员权限每3个月审核一次。 b) 重要级设备的人员权限每6个月审核一次。 8.4.4 访问者访问期间的管理办法 访问者必须遵守相应的访问权限的约束，只能访问通过授权的具体目的； 8.5 媒介设备安全 具有敏感信息的文献、信息媒介、系统文档等信息资产会遭受盗窃、未经授权的访问、存储不妥、媒介处置错误等方面的威胁。因此，中国石油应对上述的媒介设备进行有效的控制，保证各种信息媒介解决的安全。 8.5.1 可移动计算机媒介 具有敏感信息的可移动媒介（如磁带、磁盘、可移动式硬盘、盒式磁带等）很容易被非法带离中国石油从而导致敏感信息的泄漏，应采用以下控制措施： a) 如不再需要，应将可相应媒介中的敏感信息删除 b) 所有需要从中国石油带走的具有敏感信息的媒介都需要通过授权，所有可移动媒介的借用记录都应保存并加以审核跟踪。 c) 一切具有敏感信息的媒介应保存在安全可靠的地方，并符合