文档介绍::审核:标准化:读者:-12-08前言 11目的 22适用范围 23术语 24规范性要求 75附则 8前言为了控制远程访问对中国石化公司网络、业务系统的非授权访问及其影响,确保网络通信畅通和业务系统的正常运营,在中国石化统一安全保障体系框架下,特建立本规范文档,以使中国石化各组织机构、团体和个人明确其远程访问的权利和义务。本规范由中国石化集团公司信息系统管理部制定,经由公司信息安全工作组讨论通过并发布执行。本规范由公司信息安全办公室负责解释和修订。本规范自发布之日起执行。目的本规范旨在明确中国石化公司远程用户对公司网络、业务系统的远程访问控制,规范各类安全接入,避免一些非授权访问行为,从而有效降低或减少此类行为对公司信息系统的影响。适用范围本策略文档适用于中国石化公司范围内可控制的信息系统部分,以及可远程访问这些信息系统部分的实体。术语远程接入指因远程业务、为客户提供电子商务或通告服务、远程维护信息系统、第三方提供服务等的需要,特定主体对信息系统中的某个设备实施非本机直接访问的接入行为。管理员包括公司安全管理员、主机系统管理员、网络管理员、数据库和其它应用管理员在内的所有系统管理人员。用户指除了系统管理员之外,所有可通过物理或者逻辑途径能够远程访问到公司信息系统的主体。规范性要求维护人员要求对本策略文档中规定的安全要求,应该由管理员负责其实施、检查、监督任务,并定期将任务的执行情况向相应的安全管理机构汇报。管理员还应该负责跟踪本策略文档中安全要求的使用情况,并适时反映给负责制定策略文档的机构,及时将变更后的情况反馈给公司的所有人员。远程可接入区域和设备标识接入区域根据业务应用价值以及信息资源类型,将信息系统划分为不同的安全区域,通过远程访问这些不同的区域时,应执行不同的远程接入安全策略。远程接入和远程访问应考虑:明确网络区域承载的业务应用;明确网络区域中的设备和信息资源;划分网络区域(包括物理的或逻辑的);划分网络区域的级别;确定可远程访问点,准备制定远程接入策略。设备标识在制定远程接入策略之前,应标识这些区域(含级别)以及区域中的关键设备。对设备的标识将与访问主体的标识结合起来,作为审计远程访问行为的依据。中国石化信息系统根据远程访问控制的要求,将内部网划分为业务网、办公网和服务区三个区域,其级别分别为“3、2、1”三个层次,应明确标识各层次相关关键设备清单和编号。网络区域划分、级别确定以及关键设备标识将由管理员统一负责,并将结果上报给安全管理机构。远程可接入主体及授权接入主体根据不同访问需求、远程维护需求、执行服务需求,确定如下可实施远程访问的主体:管理员;公司内部授权人员;授权业务用户;授权设备厂商技术支持人员;授权集成技术支持人员;授权第三方服务人员;其他授权用户。应该标识这些访问主体,使其行为可追踪和审计。远程访问授权对于授权的设备厂商技术支持人员、授权的集成技术支持人员、授权的第三方服务人员以及其他授权用户,应该由管理员按照统一的规则建立临时账号,对临时账号的要求如下:设置连接阈值,即应设立远程登录连接次数的阈值,当连接次数超过此阈值时,应终止该账号连续或并发的登录权限,同时规定相关的登录工作时间;当临时用户完成远程访问任务后,应由管理员统一撤销临时账号(注:如果系统支持帐户时效性功能,则进行相应的设置工作时效和帐户过期时间),并记录归档;应由管理员根据最小权限原则授予所有访问主体权限,在访问主体执行远程访问之前,管理员应该将授权情况上报给安全管理机构审核、批准。远程接入安全要求远程接入方式本策略文档可控制的远程接入方式包括:通过内部网远程接入。访问主体在内部网内从一个区域远程接入另一个区域;通过的远程接入。外部用户通过网络访问中国石化内部可访问的区域中的主机或服务系统;远程拨号接入。在中国石化内部设置接入服务器,外部通过()网络接入。远程接入安全控制技术应由接入安全设备实施远程访问的安全控制,但接入安全设备本身应符合相关的安全标准,通过权威机构的评测认证,证实其具备