时间:2022-11-10 04:30:01 | 来源:信息时代
时间:2022-11-10 04:30:01 来源:信息时代
石油/石化信息系统安全 : 石油石化信息系统安全保障内容和措施。
1.石油石化信息系统安全措施
主要指采用数据库技术开发石油石化信息系统时提供的信息安全保障与措施,包括:
(1)操作系统的安全性: 应选择具有C2安全级的操作系统。即不仅对文件和目录有许可权限,而且有身份验证或访问文件的限制,且操作系统还应提供有效的审计手段,跟踪记录所有的事件。
(2) 网络的安全性: 主要针对以TCP/IP为主的网络体系。利用安全路由器和防火墙网关在系统内外之间建立一道有效的安全屏障,防止外部非法用户对系统的攻击、非法获取敏感数据,以及内部非授权用户将企业机密数据向外发布等。其中,在网络层和传输层通过安全路由器和防火墙网关的IP包过滤功能实现网与网之间的访问控制能力; 而系统管理软件包中的安全管理软件通过监视、检查和审计网络,辅助提高网络的安全能力。
(3)数据库安全:选择具有C2安全级的DBMS,这些DBMS都提供相似的安全机制。如DBMS的完整性约束机制可对数据库的数据进行合理性检查。完整性约束分为实体完整性约束和引用完整性约束。前者可对表中字段的取值进行正确与否的判断,后者可对多张表进行相互制约的控制。
(4)数据加密: 提供加密(硬件、软件)的方法来保护、存储和传输重要的数据。
(5)安全管理:系统采取“没有明确允许的就是禁止的”以及“最小权限”的安全策略,系统管理员可以根据具体情况配置系统网络安全设备,并给不同的用户配置相应的使用权限。系统还为系统管理员配置所需的系统安全维护工具。
(6)备份和恢复: 为保持数据的安全性和完整性,应对系统的数据进行备份。包括使用UPS,以保护信息系统平台的硬件安全,防止因非正常断电造成硬件的损伤,以及计算机重要信息的丢失。
(7) 网上信息安全: 采用加密技术、数字签名、数字证书,以确保系统的安全性等。
上述安全措施,可以确保石油石化信息系统的安全性。如电子商务集成B2Bi就是利用开放互联网协议,在企业防火墙之外和供应商、客户和商业伙伴进行实时的信息交流和共享,实现信息交换方式从人对人到计算机对计算机的转变。
2.CA认证系统
石油石化行业建立CA认证系统的目的是要解决企业内部网和外部网(Intranet)访问数据库的安全问题。通常,在企业内,CA认证中心要对内部网的用户发放数字证书,使每个用户在网上工作具有唯一的“网络身份证”。CA认证中心是企业内部网和电子政务与电子商务系统的基础。CA认证中心的主要功能有: ①接收、处理数字证书申请; ②确定是否接收或拒绝数字证书申请;③向申请者颁发或拒绝颁发数字证书; ④办理数字证书延期; ⑤提供数字证书的在线状况; ⑥数字证书归档; ⑦提供技术支持; ⑧审核与纪录所有与安全有关的活动; ⑨管理证书回收列表等。
CA认证中心确保信息安全是通过如下六个子系统来实现: ①证书签发子系统,支持面对面的或网上的数字证书发放形式。②证书回收子系统,提供面对面的或网上交互的形式完成证书的回收。一般有两种情况需要回收证书,一是当用户怀疑其私钥泄密主动请求回收证书; 二是当证书已不在有效期内时,CA中心强制作废该证书,并通知相应的用户。CA也允许证书的延期。③证书查询子系统,CA系统负责纪录已签发的和已回收的数字证书的情况并为用户提供查询服务。④审计子系统,该子系统提供CA系统的操作日志并对操作现状进行及时的监视和审查。⑤备份子系统,负责备份操作日志和数字证书。⑥互联子系统,指企业(内部)CA认证中心与外部(上级主管部门或与其他企业)CA认证中心的互联。通常,内部CA认证中心与外部CA认证中心互相认证后,即可实现范围很宽甚至全球性的电子政务与电子商务活动。
中国石化的CA认证具有突出的特色,读者可参阅中国石化IT基础设施层中的PKI/CA数字证书库、目录库。
在线咨询
