商业软件购买管理规范_030326_v3_FD_CN

商业软件购买管理_030326_v3_FD_CN 商业软件购买管理规范 I 中国石油信息安全编号: 中国石油天然气股份有限公司 商业软件购买管理规范 ,审阅稿, 版本号:V3 审阅人:王巍 中国石油天然股份有限公司 II 商业软件购买管理规范 前 言 随着中国石油天然气股份有限公司(以下简称“中国石油”)信息化建设的稳步推进，信息安全日益受到中国石油的广泛关注，加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策和标准，并在集团内统一推广、实施。 本规范是依据中国石油信息安全的现状，参照国际、国内和行业相关技术标准及规范，结合中国石油自身的应用特点，制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全相关标准与规范，提高中国石油信息安全的技术和管理能力。 信息技术安全总体框架如下: 《信息安全技术标准》 《网络安全《通用安全管物理环境硬件设备操作系统数据和文档应用系统安管理规范》理标准》安全管理安全管理安全管理安全管理全管理 《《《《全《全《《《《《计《网通内外通认授加加日系《Web区机硬操数管应管应商电电算防络用部部用证权固密志统管域房件理作据理用理用理业理子理子安网网网机御安管管管管管登理系范范范安安设规系和标系标系标软规邮规范商规规规概标全络络络范犯恶全理理理理理陆规统》全》全》备范统文准统准统准件范件范》务范范范述准管安安安管通通通通通管》罪意范安》》》管管管安档通使通开购安》安理全全全理用用用用用理管代》全理理理全安则用则发买全概管管管全标标标标标标通理码管规规规述理理理管全》安》安管管准准准准准准用规规和 1) 整体信息技术安全架构从逻辑上共分为7个部分，分别为:物理环境、硬件设备、网络、操作 系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成 册的部分，共有13本《规范》和1本《通用标准》。 2) 对于13个《规范》中具有一定共性的内容我们整理出了7个《标准》横向贯穿整个架构，这 7个《标准》的组合也依据了信息安全生命周期的理论模型。每个《标准》都会对所有的《规 范》中相关涉及到的内容产生指导作用，但每个《标准》应用在不同的《规范》中又会有相应 不同的具体的内容。我们在行文上将这7个标准组合成一本《通用安全管理标准》单独成册。 3) 全文以信息安全生命周期的方法论作为基本指导，《规范》和《标准》的内容基本都根据预防 ——〉保护——〉检测跟踪——〉响应恢复的理论基础行文。 随着企业信息化建设的不断深入，企业对于各类应用系统的需求也越来越紧迫。然而由于企业自行开发软件系统具有开发成本较高，开发成熟度和系统稳定性较低，软件的功能相对单一简单等多方面的不足，使得企业在软件的选用上越来越倾向于采购商业的成熟的软件系统，只有企业某些特殊的应用或企业某些专门领域的保密上要求较高的系统才会采用自行开发的方式。因此本标准就是针对商业软件采 商业软件购买管理规范 III 购过程中相关安全上的考虑，为信息安全总体框架中以深色底色标注的部分。是对于在商业软件采购步骤上各个重要环节安全上的相关控制和规范要求。 本规范由中国石油天然气股份有限公司发布。 本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。 起草部门:中国石油制定信息安全政策与标准项目组。 IV 商业软件购买管理规范 说 明 在中国石油信息安全标准中涉及以下概念: 组织机构 中国石油(PetroChina) 指中国石油天然气股份有限公司有时也称“股份公司”。 集团公司(CNPC) 指中国石油天然气集团公司有时也称“存续公司”。为区分中国石油的地区公司和集团公司下属单位，担提及“存续部分”时指集团公司下属的单位。如:辽河油田分公司存续部分指集团公司下属的辽河石油管理局。 计算机网络 中国石油信息网(PetroChinaNet) 指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上，进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。 集团公司网络(CNPCNet) 指集团公司所属范围内的网络。中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络，当提及“存续公司网络”时，指存续公司使用的网络部分。 主干网 是从中国石油总部连接到各个下属各地区公司的网络部分，包括中国石油总部局域网、各个二级局域网(或园区网)和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总部，不是利用专线，这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。 地区网 地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道可以是专线，也可以是拨号线路。 局域网与园区网 局域网通常指，在一座建筑中利用局域网技术和设备建设的高速网络。园区网是在一个园区(例如大学校园、管理局基地等)内多座建筑内的多个局域网，利用高速信道互相连接起来所构成的网络。园区网所利用的设备、运行的网络协议、网络传输速度基本相同于局域网。局域网和园区网通常都是用户自己建设的。局域网和园区网与广域网不同，广域网不仅覆盖范围广，所利用的设备、运行的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建设的。 二级单位网络 指地区公司下属单位的网络的总和，可能是局域网，也可能是园区网。 专线与拨号线路 从连通性划分的两大类网络远程信道。专线，指数字电路、帧中继、DDN和ATM 商业软件购买管理规范 V 等经常保持连通状态的信道;拨号线路，指只在传送信息时才建立连接的信道，如电话拨号线路或ISDN拨号线路。这些远程信道可能用来连接不同地区的局域网或园区网，也可能用于连接单台计算机。 石油专网与公网 石油专业电信网和公共电信网的简称。 最后一公里问题 建设广域网时，用户局域网或园区网连接附近电信部门信道的最后一段距离的连接问题。这段距离通常小于一公里，但也有大于一公里的情况。为简便，同称为最后一公里问题。 涉及计算机网络的术语和定义请参见《中国石油局域网标准》。 商业软件购买管理规范 VII 目 录 1 概述 ............................................................................ 8 2 目标 ............................................................................ 8 3 适用范围 ........................................................................ 8 4 引用的文件或标准 ................................................................ 9 5 术语和定义 ..................................................................... 10 6 商业软件采购过程中的人员职责 ................................................... 12 6.1 采购过程中的职能岗位定义 ...............................................................................................................12 7 商业软件采购流程中的安全控制 ................................................... 14 7.1 商业软件采购的需求定义和分析阶段 ................................................................................................15 7.2 采购招标阶段 ......................................................................................................................................23 7.3 应标书评估阶段 ..................................................................................................................................32 7.4 商业软件采购完成阶段 .......................................................................................................................34 附录 1 参考文献 ..............................................................................................................................41 附录 2 本规范用词说明 ...................................................................................................................43 8 商业软件购买管理规范 1 概述 本规范阐述了中国石油如何能够有效地控制购买商业软件过程中安全相关的特性和要求。 着重规定了商业软件采购过程中的安全问题。通过将安全相关的考虑应用到商业软件采购 的各个步骤中，实现对软件本身的安全要求和采购过程中的安全要求。首先定义了在通常 的商业软件采购过程中各个职能岗位人员的职责。然后提供了采购全过程的安全相关控制 手段，不过本规范并没有提供商业软件采购过程的完整详细描述(关于商业软件采购的进 一步的详细信息参考的中国石油相关的采购政策和流程，不属于本文讨论的范围)。 本规范规定了将软件购买中需要考虑的安全问题融合到采购过程的若干步骤中去，并且解 释了购买过程中每个阶段涉及的相关安全步骤的技术和安全要求。 2 目标 本规范的目标为: 在商业软件正式购入使用之前的采购过程中(从早期的采购计划和需求定义到最终的系统 安装和实施)，通过将安全相关的管理标准和规范应用到采购的各个步骤中，保证商业软 件安全上需求的满足以及在采购的重要环节上的安全控制。这样可以更有效地为商业软件 的使用和维护中的安全控制打下坚实的基础，保障了系统的安全可靠。 3 适用范围 本套规范适用的范围包括了所有在商业软件购买过程中相关的安全问题和安全事件。具体 来说包括了商业软件采购的各个阶段需要注意的安全问题和相关安全规范，商业软件的采 购主要分为采购需求定义和分析阶段、采购招标阶段、采购评估阶段和最后的系统正式运 营采购完成。本规范的内容仅限于对商业软件采购过程中安全相关因素的考虑，不涉及软 件业务功能上的符合度或应用功能上是否满足业务需求等和安全无关的采购需求。 本规范面向所有和商业软件的采购相关的人员，如具有业务需求的用户，采购工作人员和 相关技术人员以及信息安全工作人员。 商业软件购买管理规范 9 4 引用的文件或标准 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是不注日期的引用文件，其最新版本适用于本标准。 1. GB17859-1999 计算机信息系统安全保护等级划分准则 2. GB/T 9387-1995 信息处理系统 开放系统互连基本参考模型(ISO7498 :1989) 3. GA/T 391-2002 计算机信息系统安全等级保护管理要求 4. ISO/IEC TR 13355 信息技术安全管理指南 5. NIST信息安全系列——美国国家标准技术院 6. 英国国家信息安全标准BS7799 7. 信息安全基础保护IT Baseline Protection Manual (Germany) 8. BearingPoint Consulting 内部信息安全标准 9. RU Secure安全技术标准 10. 信息系统安全专家丛书Certificate Information Systems Security Professional 10 商业软件购买管理规范 5 术语和定义 访问控制access control 一种安全保证手段，即信息系统的资源只能由被授权实体按授权方式进行访问，防止对资源的未授权使用。 访问控制列表 access control list 由拥有访问权利的实体组成的列表，这些实体被授权访问某一资源。 认证certification 信息系统技术和非技术的安全特征及其他防护的综合评估，用以支持审批过程和确定特殊的和实际满足一系列预定的安全需求的程度。 授权 authorization 给予权利，包括信息资源访问权的授予。 审计audit 为了测试出系统的控制是否足够, 为了保证与已建立的策略和操作相符合, 为了发现安全中的漏洞, 以及为了建议在控制、策略中作任何指定的改变, 而对系统记录与活动进行的独立观察。(GB9387-95) 可用性availability 数据或资源的特性，被授权实体按要求能及时访问和使用数据或资源。商业软件 business software 保密性confidentiality 数据所具有的特性，即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。 完整性 integrity 在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下,信息系统中的数据与在原文档中的相同，并未遭受偶然或恶意的修改或破坏时所具的性质。 数据认证 data authentication 用来验证数据完整性的过程。 数字签名digital signature 添加到消息中的数据，它允许消息的接收方验证该消息的来源。 加密encryption 通过密码系统把明文变换为不可懂的形式。 加密算法encryption algorithm 实施一系列变换，使信息变成密文的一组数学规则。 商业软件购买管理规范 11 身份识别 identity authentication 使信息处理系统能识别出用户、设备和其他实体的测试实施过程。同身份验证。 密钥key 控制加密或解密操作的位串。 公共密钥 public key 一种密钥，任意实体都可用它与相对应的私钥拥有者进行加密通信。 风险评估 risk assessment 一种系统的方法，标识出信息处理系统的资产、对这些资产的威胁以及该系统对这些威胁的脆弱性。 安全需求等级 security classification 决定防止数据或信息需求的访问的某种程度的保护，同时对该保护程度给以命名。 例:“绝密”、“机密”、“秘密”。 安全配置secure configuration控制系统硬件与软件结构更改的一组规程。其目的是来保证这种更改不致违反系统的安全策略。(军用计算机安全术语) 安全测试security testing 用于确定系统的安全特征按设计要求实现的过程。这一过程包括现场功能测试、渗透测试和验证。(军用计算机安全术语) 敏感性评估sensitivity assessment 信息拥有者分配给信息的一种重要程度的度量，以标出该信息的保护需求。 威胁threat 一种潜在的对安全的侵害以破坏、泄漏、数据修改和拒绝服务的方式，可能对系统造成损害的环境或潜在事件。(GB9387-95) 弱点vulnerability 导致破坏系统安全策略的系统安全规程、系统设计、实现、内部控制等方面的薄弱环节，在信息系统中能被威胁利用产生风险。(军用计算机安全术语) 消息认证码 是对信源消息的一个编码函数,如果密钥被用作消息摘要生成过程的一部分，则将该算法称为消息认证码。 恶意代码 在硬件、固件或软件中所实施的程序，其目的是执行未经授权的或有害的行动。 后门 通常为测试或查找故障而设置的一种隐藏的软件或硬件机制，它能避开计算机安全。而且它能在非常规时间点或无需常规检查的情况下进入程序。 12 商业软件购买管理规范 6 商业软件采购过程中的人员职责 6.1 采购过程中的职能岗位定义 根据采购规模和性质的不同，商业软件采购过程会涉及很多的职能岗位。各种职能岗位的名称也会因组织机构的不同而不同。以下是一个建议的重要职能岗位的列表，这个列表中包含了在很多采购过程中都很重要的职能岗位。在一些比较小的机构中，一个人可能担当好几个职能岗位的角色，但企业中至少应有以下列举的岗位设置: a) 首席信息官(CIO)——企业信息安全的最高负责人之一，负责提出相关信息系 统设计，开发和实施的决策性建议。 b) 负责人——采购合同负责人，拥有启动、管理和/或终止合同的权利，同 时负责处理相关的采购合同相关的决定。 c) 项目经理(数据所有者)/采购发起人——在采购的过程中代表项目方面的利 益。他们在采购过程的初期就加入战略规划，在安全方面也起着重要的作用， 同时密切关注系统功能需求。 d) 采购技术代表——由合同负责人指派的企业内部技术人员，作为技术代表来 负责管理采购合同的技术方面的问题。 e) 采购业务代表——由提出购买申请的业务部门指派的企业内部的业务部门管 理人员，负责提出软件业务上的功能需求和安全上的具体需求。 f) 企业安全负责人——负责制订企业的IT安全标准。在通过采用合适的、结构 化的方法来确定、评估和减小机构的IT安全风险的过程中起着领导性的作 用。负责保证信息系统在生命周期的整个过程中的安全，包括了软件购买中 从开始的需求分析阶段直到最后的系统实施阶段。 g) 信息保密员——负责保证购买的商用软件或者系统符合现有的保密规范中的 相关条款，包括保护、分发和密级降低的过程。 商业软件购买管理规范 13 h) 商业软件购买投资委员会——负责管理资本和控制管理投资的过程。从 资金预算的角度对采购进行管理。 i) 其它参与者——随着采购和管理商业软件系统的复杂度越来越大，采购过程 相关职能人员的列表也不断的加长。采购团队中的所有成员必须一同工作来 保证成功的完成采购任务。系统使用者可以帮助项目经理来确定需求、细化 需求，并且检查、接受和使用系统。其他的参与者还包括代表技术、配置管 理、设计工程和基础设施方面的工作人员。 14 商业软件购买管理规范 7 商业软件采购流程中的安全控制 商业软件采购过程中的信息安全 , 业务需求确定 , 根据供应商资质进, 评估计划 , 签订合同 采购, 建立需求和目标行初步筛选 , 进行评估 , 软件实施 流程 及业绩的联系 , 制定RFP , 确定供应商 , 抽查验收 , 资产选择评估 , 向入围供应商分发, 商议修改计划建议, 用户培训 , 需求功能描述 RFP 书和工作一览表 , 内部机构审查 , 市场研究 , 供应商提交项目计, 合同完成终止 , 可行性研究 划书和工作一览表 , 需求分析 (SOW) , 费用-收益分析 , 风险管理计划 安全, 安全需求确定 , 确立商业软件中的, 评估确认供应商完, 订立合同中安全考虑 , 安全需求分析 安全特性需求 全理解RFP中安全保障 , 相关机构或授权, 确立对商业软件供的需求 , 采购过程中文档 人员审核 应商的安全需求 , 评估确认供应商软安全管理 , 以上步骤的循环 , 供应商和产品选择件产品计划书和工, 软件实施和验收 , 其它安全因素考启动阶段相关安全作一览表可以达到安全保障 虑 因素考虑 RFP中安全上的需, 用户安全培训 求。 , 原有软件系统的 处置 上表所示的是信息相关安全如何融合到整个商业软件采购过程中的。商业软件采购安全步骤是一个需要被遵守的过程，同时也覆盖了商业软件采购过程中所需要靠考虑的各种安全因素。但其仅作为一个例子，并不是一个需要强制遵照执行的规定。这个框架包含了商业软件安全采购细则需要考虑的核心问题。不一定要完全遵循这个框架中的采购实施步骤，但必须严格遵循在采购的各个阶段的安全考虑的问题。 商业软件购买管理规范 15 7.1 商业软件采购的需求定义和分析阶段 在进行安全需求收集和分析阶段，应将相关安全考虑的步骤应以一种循环的方式完成。这些步骤互相关联并且互为基础。根据商业软件系统规模和商业软件系统复杂性的不同，这些步骤通常以一种不断优化和集中的方式来实现。下图描述了安全需求分析中信息相关安全步骤是如何共同实现的。 开始 完整性、可用性和保密性需求分析 敏感性评估修正 安全需求等级分析风险评估 不可接受的其他部门审核 优化和集中部分或可接受的者全部的分析 相关机构或授权人员审核不可接受的 可接受的 与需求结合 16 商业软件购买管理规范 7.1.1 确认业务安全需求 7.1.1.1 业务需求确认 a) 需求确定是对需要采用计算机自动化方式解决的问题的一个初始化的定义的 过程。传统上，需求确定是由一个对系统基本的想法、初步的需求定义、可 行性分析、技术分析和一些用于进一步调研的批准表格组成的。需求可以从 战略或者是战术的角度进行确定: , 战略规划定义了企业的主要信息资源和信息需求，制定出高层次的对于商业 软件系统的购买战略。 , 战术规划定义了为完成在战略规划中所涉及的相关任务，而制定的对于商业 软件系统的具体要求。 b) 只有在机构确定有需求存在的时候，才能有采购计划。需求确定阶段是商业 软件采购过程最初的阶段。 c) 应考察并确认建立一个新系统或者彻底升级一个原有系统的想法和可行性。 同时提出对于未来系统所能够完成的功能上的需求定义。 d) 对于业务需求的确定应和初步的敏感性分析需要同时进行。 7.1.1.2 初步敏感性分析 初步的敏感性分析将产生一个简要的对于系统安全性程度的需求。在实际中，对商业软件在安全方面的需求体现于对系统完整性，可用性，保密性和其他可实施的措施(比如账户设置，不可抵赖性)的需求。 a) 完整性可以从多个方面来检验。从用户的角度或者是系统管理者的角度，完 整性是数据在精确性和完备性基础上的一种属性。从系统或者是运营者的角 度，完整性的基础是数据严格通过授权进行操作，或系统只根据预先设计的 行为运行，而不做其他的操作。 b) 可用性规定了当用户需要数据的时候，数据在正确的位置、以正确的时间， 并且以正确的形式提供给用户。 商业软件购买管理规范 17 c) 保密性要求规定了除授权的用户，数据是私密的，无法被访问的。 d) 初步的敏感性评估应确定出商业软件产品或系统将运行的环境中存在的威 胁。在初步敏感性评估之后应确定初步的安全控制，这些安全控制将在运行 环境中保护产品和系统。 e) 初步的敏感性评估并不需要一个过分复杂的敏感性评估方案，但必须对将要 采购的软件系统的重要性进行确定。确定系统的敏感性必须考虑法律因素、 国家政策、组织规范和系统的功能需求。敏感性评估需要考虑的重要因素应 包括: , 该软件系统对于中国石油的整体战略的重要性。 , 该软件系统在非授权情况下被修改、泄漏，或系统和信息无法使用可能造成 的后果。 , 该软件系统对保护员工隐私的需求。 18 商业软件购买管理规范 7.1.2 安全需求分析 通过进行与需要采购的商业软件产品的规模和复杂性相关的需求分析，企业在采购初期阶段应确定对于所需IT系统的需求，并制定相应的文档。安全需求分析是对业务需求中隐含的安全方面的需求的深入分析。在安全需求分析中必须根据以下步骤进行分析: a) 完整性、可用性和保密性需求分析 b) 进一步完善敏感性评估 c) 安全需求等级分析 d) 风险评估 e) 相关机构或授权人员审核 上面的步骤可作为安全需求分析的指导原则。根据初步敏感性评估确定的安全目标，制定所有必要的安全需求来解决相应的安全问题。将所有可能的安全威胁完整地对应到安全需求中去。 虽然这里以一系列步骤的方式来确定出安全需求分析的内容，这些安全需求的执行步骤也可进行调整。对安全要求特别高的商业软件系统，需要循环使用这些步骤，直到制定出所有的安全要求。 7.1.2.1 完整性、可用性和保密性需求分析 a) 应确定需要进行保护的内容。这些分析将在业务需求分析阶段的初步敏感性 评估的基础上进行，但是将更为深入和具体。 b) 应基于基本安全要求的法律和法规的符合性分析。在这一过程中，和初始的 需求定义阶段不同，分析集中在要购买的商业软件的安全相关的问题。同时 应对于法律、功能和其他的IT安全需求都应形成具体的条目。 c) 对于复杂系统，宜进行多次的分析。对于大多数系统至少都会有最基本的完 整性和可用性的要求，这些特定方面的需求必须清晰的定义。安全性需求不 商业软件购买管理规范 19 只是保密性，没有保密性需求的系统也可能需要完整性和可用性方面的安全 需求。 7.1.2.2 进一步完善敏感性评估 完成了完整性、可用性和保密性分析后，应在分析结果上完善敏感性评估。 7.1.2.3安全需求等级分析 a) 提出正确的完全的安全需求是有效的运用IT安全控制手段的基础。但理想化 的安全需求往往无法在现实中达到。因此安全需求等级分析是指软件采购者 须确认对于购买的商业软件的安全要求和流程可以在多大程度上在系统环境 中被正确和有效的执行。 b) 确定安全需求等级是非常困难的，因为进行安全等级检查可能非常昂贵并且 很难对安全的各种需求其进行量化并加权评比出必须实现的安全需求。这一 步的分析应确定要购买的软件的安全性必须在多大程度上被保证正确和有效 的执行。这些分析将在法律和功能需求分析的基础上进行，从而确定需要什 么类型以及何种程度的安全级别。 c) 正如安全的其他方面一样，应考虑合理的性价比，并满足保护机构数据的保 密性、完整性和可用性要求。要求绝对的安全是无法达到的。在通常情况下 都需要对系统的功能和可达到的安全能力之间进行平衡。 7.1.2.4 风险评估 a) 风险评估是采购规划阶段的重要步骤。可以用来确定哪些控制手段性价比比 较合理，并且它也成为确定需要哪些强制和适当的规范的基础。风险评估应 在批准设计规范前进行。另外，风险评估在规范遭到反对时提供了证明的手 段。 b) 对于商业软件的风险评估不一定是一个复杂的过程，但是象其他风险分析一 样，必须考虑相关的信息资产、对信息资产的威胁、潜在的问题以及解决问 20 商业软件购买管理规范 题的方法。同时风险评估必须考虑现有的控制及它们的效果。风险评估需要 其他功能部门的参与。风险评估将使用完整性、可用性和保密性需求分析的 结果，并确定信息资产的价值以及安全问题会对它们造成的影响。具体的风 险评估的方法的相应的规范可以参照《风险评估规范》。 7.1.3 相关机构或授权人员审核 a) 根据商业软件系统的大小和作用范围不同，应建立相关的机构或职能小组来 对于商业软件的安全需求进行审核，该类人员的审核对于商业软件的安全需 求的确认将很有帮助。即使对于比较小的软件系统，也应引入相应的的审核 机制。 b) 该小组或机构应包括一些不同背景的人员，如软件最终使用者、采购项目经 理和采购需求的发起人;系统及相关软件安全的管理员;安全官员或专家， 包括C&A(经过认证和授权)代表;以及系统和应用分析人员。 c) 在安全需求分析阶段后期引入审核机制可降低整个商业软件购买周期的成 本，并且在较早的时候变更需求也比较容易。相关的审核机构或授权审核人 员能够: , 验证这个项目的安全计划是否包含了和IT构架相一致的安全控制手段 , 确保安全计划能够管理风险，保护隐私和保密内容 d) 具有一定技术资格的授权人员应证明已经提出的安全需求中的安全控制能够 真正满足需求。这种确认是允许商用软件系统为了某种特定的目的，在一定 的数据敏感度要求下运行的一种决策性的依据。 e) 由于授权人员需要对运行该系统带来的风险负责，因此如果系统最终运行带 来的风险无法接受的话，授权人员可以向相关采购团队提出自己的建议。与 招标阶段、选择评估阶段以及合同管理等阶段相比，在商业软件采购的需求 分析阶段，做出一些需求方面的修改是非常容易的。 商业软件购买管理规范 21 7.1.4 其它考虑因素 商业软件采购需求分析阶段有关信息安全的其他考虑因素: a) 商业软件系统的成本效益分析——成本效益分析应利用需求分析阶段的风险 评估的结果信息。如果在风险分析时没有考虑安全性因素，那么就有可能采 用一套将来需要在安全方面升级的系统(这将提高系统成本)。并且，这种 成本效益分析有助于采用那些能够避免不必要失败风险的系统。 b) 软件更新转换考虑——新购买的商业软件系统将可能会取代原有的旧的系 统。因此需要检查在新的硬件或软件平台上重新架构软件系统的成本，其中 包括在新的系统上所需要的安全性能要求，以及在新旧系统转换过程中维护 安全性能的成本。 c) 可替代方法分析——可替代方法分析应对这些方法以及它们满足需求的能力 进行比较，包括信息安全性。 d) 安全资金分析——当安全相关预算无法包括整个计划中的项目时，就需要进 行相应的资金规划。大多数商业软件购买项目在采购流程的购进阶段之前， 就已经经过资金规划了。在某些案例中，当实际的成本数据替代了初始阶段 的预测时，资金规划会被重新修改和更新。此外，当系统需求被明显调整并 且这一调整将会对整个预算的成本带来明显影响时，资金规划也会被启动。 每一个组织都应在系统安全和能力方面启动相应的资金分配流程。 e) 市场调研——包括意见搜集(RFC)或者信息搜集(RFI)，应包括IT安全 方面的需求的收集。 f) 在需求分析的最后阶段，决策机构将决定需求内容以及以何种方式满足这些 需求。包括决定是通过购进还是内部开发来满足需求。许多系统需要将这些 方法结合起来，因为这个阶段对整个系统来说意义重大，系统安全性以及其 他功能需求应被充分考虑。 g) 投资修正和资金规划应贯穿于整个需求分析阶段。这个阶段采取的这些措施 将会利于申请新的资金，以及后续的向该组织的IT投资审核委员会提交申请。 22 商业软件购买管理规范 申请的批准能够确保在实施整个商业软件系统的过程中以一种理性的、基于 风险的方法来规划系统的安全性，以防止由于资金短缺而放弃安全因素考虑 的情况发生。 商业软件购买管理规范 23 7.2 采购招标阶段 采购的招标阶段主要包括制定、发布软件采购招标书(Request For Proposal)和接收供应商计划书。所有和商业软件购买有关的考虑都应在这一阶段进行。包括需要什么、如何获得、如何评估、测试和接收，以及协议应如何被监督。 采购招标书用来确保决策机构能够根据供应商的计划书做出最有价值的决策。RFP流程的优点之一就是它能够为决策机构和供应商进行谈判时提供灵活性，从而最好地满足决策机构的要求。本规范主要作为制定RFP时需要考虑的，商业软件各方面所需要的信息安全性的特点、流程以及保障，一些系统功能上的考虑不在本规范考虑范围内。 同时本规范规定了软件系统供应商工作一览表(SOW)中IT安全部分的考虑或者规范，并且提供评估、测试以及接受IT安全特性时的一般性指导。出于灵活性的考虑，我们无法在IT安全性考虑和通用的解决方案之间建立精确的映射关系，采购的相关人员应决定如何根据RFP中提供的诸多安全选项，来满足具体安全性的考虑。 7.2.1 商业软件中的安全特性需求 a) 商业软件的IT安全特性指的是软件中需要包含或者集成的特定功能。在商业 软件中需要使用到哪些安全特性需要考虑到以下因素:运作环境安全，软件 处理或者传输的数据的敏感性，对软件可用性的需求或者其他风险因素。本 规范规定了软件购买过程中的需要考虑的一些安全控制问题。 b) 对于许多软件，必须考虑多个安全特性，其中某些特性包含在操作系统或者 应用中。例如，额外的访问控制、对记录和记录项的控制和修改检查往往包 含在软件的应用层。而文件的访问仍然需要由操作系统来进行。 c) 对于特定的软件环境可能需要定制特定的安全需求。如果直接采购市场的软 件，必须进行软件的市场分析来确定当前商业市场上的相应软件种类有哪些 可用的安全特性，然后根据情况进行定制。 24 商业软件购买管理规范 7.2.1.1 身份识别和认证 身份识别和认证是软件安全特性的基础之一。对于许多软件，每个操作都必须由具体的用户进行。要加强软件的使用控制，必须对所有用户进行身份识别和认证。软件对身份识别和认证的基本要求包括: a) 在开始任何操作前应强制用户提供唯一识别身份的机制 b) 能够维护包括验证单独用户身份(如口令)的信息等认证数据 c) 应通过一定的安全机制保护认证数据不会被任何未授权用户访问 d) 应通过唯一ID识别每个用户，能够追究单独用户的责任 e) 当发现有猜测认证信息的行为时应发出警报. 7.2.1.2访问控制 访问控制确保在需要的情况下，所有对资源的访问都经过了授权。访问控制通过减少攻击可以使用的途径，简化了企业软件系统的安全维护工作。访问授权可以仅由应用软件来完成，也可以由操作系统或以两者的结合的方式来完成。 中国石油应确保应用软件对其维护的数据具有足够的访问控制管理能力。访问控制包括下面全部内容，或其中部分内容:知道试图进行访问的用户，根据相应规则控制访问，审计用户的行为，管理数据发送地点及发送的方式。 a) 软件应基于身份识别和认证数据来确定用户对信息的访问权限。 b) 软件应能够定义和控制不同用户对不同信息的访问规则。 c) 访问控制的机制(例如用户/用户组的公共控制、访问控制列表、角色)应 能够让用户确定和控制信息被其他用户和用户组共享访问，并应提供防止 访问权限被传播到其他地方的机制。 d) 访问控制机制应缺省(或者通过用户的操作)定义信息不能接受未授权的 访问。 e) 访问控制应可对单个用户的访问进行授权，或取消其原有的授权。 商业软件购买管理规范 25 f) 只有特定的经授权的用户才能授权其他用户对本来没有访问权限的信息进 行访问。 7.2.1.3 审计 审计能够记录一些重要的用户行为，并记录对行为负有责任的用户。操作系统、数据库和应用软件都可进行审计。记录的审计数据能帮助确定安全问题是如何发生的并确定相应责任人员。审计数据可用来阻止用户企图越权进行操作。软件审计的一个关键好处是记录和分析有效的审计跟踪信息。 a) 对于被保护的信息对象，软件审计应建立、维护和保护这些信息对象的审 计记录，防止它们被修改、未授权的访问或者破坏。 b) 保护审计数据只能由授权的用户访问。 c) 软件应能够记录以下类型的审计信息:身份识别和认证机制的使用，用户 对象的访问(例如打开文件、启动程序)，删除对象，用户、管理员和系 统安全管理人员的行为，以及其他中国石油认为必要的行为。 d) 对每个审计记录，应包括日期和时间、用户、操作的类型、操作成功还是 失败。 e) 为了识别和认证审计事件，操作请求的来源(例如终端的ID)应记录在审 计日志中。 f) 对于用户访问的数据或程序对象，以及删除错作，审计记录应包含对象的 名字和标识。 g) 管理员应能够基于人员身份和对象标识有选择地审计特定用户的行为。 h) 审计功能应在特定条件下发出警报，这些情况包括但不仅限于审计资源达 到了某种限制或者审计功能被关闭(有意或无意)。 26 商业软件购买管理规范 7.2.1.4 加密 加密的目的在于保护中国石油的敏感数据。软件加密的选择流程包括以下的步骤，对于特定功能的软件产品，可以使用全部或者其中部分: , 进行风险评估确定需要保护的相关信息、软件的弱点、以及由于弱点可能 导致的威胁 , 确定软件采用的安全规则和政策 , 确定加密需求 , 确定解决以上加密需求的安全方案 如有需要，中国石油应确保软件提供了加密模块，包含了经过国家批准的加 密算法。对于所有加密算法和加密模块进行一致性检查。加密模块和算法应 由相应的合法的测试机构进行检查。 a) 数据认证——当中国石油确定需要对数据源进行认证，并且认为对于数据的 修改进行检查非常重要时，应考虑应用数据认证。数据认证的方法之一是使 用消息认证码(MAC: Message Authentication Code)。消息认证码在不需要额外 机制的情况下保证信息的来源及其完整性。 b) 数字签名——数字签名用来检测对数据的未授权的修改，以及认证签名人的 身份。在任何需要数字签名的软件中都可以使用该功能。与传统的签名不同， 数字签名还能确保信息被电子签名后未被修改过。数字签名使用公共密钥加 密来产生。数字签名提供了两种不同的安全服务: , 不可否认 , 信息的完整性 该供应商提供的软件中使用的数字签名必须得到国家相关单位的验证。 c) 密钥管理——密钥管理是指加密系统密钥的生成、分发、使用和销毁的过程， 中国石油购买的软件中如具有加密功能那么必须保证密钥管理的安全可靠或 者提供相应的密钥管理机制保证密钥的安全管理。 d) 加密模块的安全性——加密算法模块的安全性是指安全的设计和使用加密模 块。加密模块的重要性在于当软件中的数据脱离系统而存在的时候，加密是 商业软件购买管理规范 27 他们唯一的保护措施，因此必须保证加密模块本身能够正确执行。软件中加 密模块的安全性必须经过相应的加密模块验证程序验证 e) 加密算法验证——对于软件所提供的所有加密算法，中国石油可以请第三方 机构对这些算法进行验证。 f) 系统完整性——在必要的情况下，中国石油购买的软件应具有自我诊断的功 能，或具有其它类似用于判断系统的运行情况的功能。 7.2.1.5系统架构 系统架构越先进一般来说系统的安全性能也就越好，但是购买的时候也不是安全性越好就越可行。以下是一些常规性的架构要求规范: a) 购买软件所使用的访问控制机制和其它安全功能必须可以持续保护软件不 受恶意的和未经授权的篡改。 b) 和安全相关的软件必须维持一个自身的运行空间以便保护其安全机制不受 外部的干扰和篡改。具体包括软件系统必须将其所有的进程运行在一个单 独的内存空间，同时必须将其使用到的需要保护的资源隔离出来以便对其 进行实行访问控制和审计控制。 c) 中国石油在购买软件的时候还需要注意的一个问题是不应在架构问题上矫 枉过正，过于详细的规定软件的架构，可能会导致成本过度膨胀，也不利 于和其它系统的集成。 7.2.1.6 软件系统彻底清除功能 有一些攻击专门针对一些已经删除的数据，攻击者通过恢复这些信息窃取中国石油的资料，因此中国石油购买的软件本身必须具有系统彻底清除的功能，在软件删除以后，能够保证系统和系统的数据绝对无法恢复，或至少要付出大于信息价值本身的代价才能恢复。软件系统彻底清除主要用于新系统和新软件购买以后用于取代原来旧软件的情况。 28 商业软件购买管理规范 7.2.2 对商业软件供应商的安全需求 a) 为了防止病毒和其他形式的恶意代码、非法使用未经授权的软件、以及可能 导致安全问题的软件，中国石油应对供应商做以下要求: , 必须提供经过许可的软件 , 除非得到中国石油的书面同意，供应商不得向中国石油提供无权许可的软 件、共享软件或者免费软件， b) 如果供应商提供自己的软件，应使用下面的规范来防止中国石油购买到不合 法的软件开发产品。 , 供应商应为合同范围的所有软件提供许可证的证明。 c) 供应商还必须满足以下规范: , 未经中国石油的书面同意，不得以任何形式公开中国石油所提供软件中的 额外安全措施 , 供应商必须提供自己设施、安装和技术能力的资质证明。 , 如果供应商或中国石油发生了任何不曾预料到的威胁或危害，或者任何现 存的保护措施停止工作，发现者必须立即通知另一方。 , 供应商应提供对于可能出现的新的安全或漏洞的分析，并建议可行的补救 和防护。 d) 中国石油应增加限制，例如只许可使用单个地点、防止不适当的使用从而保 护中国石油的代码。 , 在任何情况下，供应商不得为了合同以外的目的使用中国石油的计算机或 相关设施。 商业软件购买管理规范 29 e) 供应商应为其软件提供业务连续性支持方案和应急计划。供应商必须提供详 细的信息来确定所有可能发生的紧急情况，同时必须与应标书一起提交一个 连续性支持计划的方案。 f) 连续性支持方案必须包含具体的措施，以及时采取适当的行为保护系统的信 息资产免受危害，或防止其他危害行为。该方案至少应包含: , 风险评估 , 业务影响评估 , 确定主要的行动或者关键流程、以及需要的工作量与恢复时间等因素 , 确定可以暂时中断的软件功能 , 确定替代流程 , 确定可以缓解危害的行为 g) 连续性支持方案必须包含具体的措施，用以及时采取适当的措施恢复被修改、 破坏或者盗用的软件。方案中的系统恢复部分必须至少包含: , 恢复的基本策略 , 根据软件组件和子系统的优先级确定恢复流程的规范 , 进行冗余操作时的测试流程 , 确定应急响应的具体责任 h) 连续性支持方案应说明方案的测试方法，并确定进行方案测试的时间安排。 至少进行年度测试，并且应进行一些不提前通知的测试。 i) 作为应标书一部分，供应商应提供应急计划的初始方案，来应对潜在的威胁 以及实际发生的危害。同时应提供对于应急计划的测试方案。 j) 供应商应说明应急计划的架构、技术能力和组织在紧急情况下保护软件系统 的方法。在应急计划中应说明中止服务、替换硬件或者使用替代软件等应急 措施的具体使用范围。 30 商业软件购买管理规范 k) 应急计划中应说明需要外部第三方服务的紧急情况下，如何要求外部的第三 方供应商提供应急服务。供应商必须要求其他的必要的第三方供应商提供应 急计划。 l) 采购的软件可能由于与其他的软件共享系统和网络，而导致性能降低，如果 供应商建议这样的软件环境，供应商必须解决以下问题: , 保证中国石油的重要用户能够访问软件 , 防止软件的网络访问端口由于其他使用该端口的软件系统导致的大的网 络流量而无法使用 , 在系统负荷过载时，为重要用户提供替代的访问设施 7.2.3 供应商和产品选择启动阶段 7.2.3.1 根据供应商资质评估筛选一批初始入围的供应商 a) 应根据市场调研的结果，初步筛选供应商范围，向入围的供应商发放RFP。 b) 应确认在不同情况下哪些供应商可以提供合适的商业软件。 c) 应遵照供应商的资质的评估对供应商进行筛选，包括供应商的市场份额、市 场占有率、相关行业经验、成功案例、技术实力等因素。 7.2.3.2 向通过资质评审的供应商发放RFP a) 只能向入围的供应商发放RFP，不得向其他任何未入围的供应商发放。 b) 对于向应标方提供的用于撰写应标书需要的中国石油所有的信息，则要求应 标方保证类似以下的条款: , 保证不在未经书面许可的情况下泄露<信息列表>中的信息，并保证不管 是否中标，都会保证中国石油提供的信息的机密性。 商业软件购买管理规范 31 7.2.3.3 收回供应商工作一览表(SOW) 供应商工作一览表(SOW)的制定必须基于采购的需求分析并根据RFP中相关的 要求进行。安全需求可以通过多种不同的方式包括在SOW中，例如，以规范、 任务、劳动、工作或者努力程度的形式。采购发起人应明确在安全上需要什么， 然后根据供应商的SOW进行评估确认。 32 商业软件购买管理规范 7.3 应标书评估阶段 应标书评估是决定选择哪种软件产品的重要步骤之一，一般而言在软件采购评估过 程中，需要制定一套评估规划以确立采购软件的评估标准，并决定评估标准如何实 施。安全问题是标书评估过程中需要考虑的问题，因此软件评估标准应包含安全方 面的准则。应在发标书以前制订软件评估标准，并将该评估标准发布给应标方，从 而使供应商明白整个供应商选择流程。 7.3.1 标书评估 a) 建立评估小组，确立小组的组织原则，小组成员的角色和职责。 b) 制订评估规划，主要包括: , 确立安全评估在整个标准评估中的地位、作用和权利. , 确立安全评估内容，例如要求供应商在应标书中声明软件产品安全保证 c) 进行软件评估，在评估过程中根据评估规划的内容，确定软件安全性测试方 案。根据系统的不同，可以灵活掌握是否需要进行安全测试、选择哪种测试 方式(包括现场测试、基准测试和交付后测试)，并且根据成本、技术和整 体的考虑确定测试次数。应控制高成本测试的次数，从而减少供应商方案准 备的成本。 7.3.2 评估办法 7.3.2.1 自我评估 a) 根据标准流程进行自我评估。 供应商的自我评估不依赖于一个公正和独立 的审查者。供应商根据自己制定的安全要求，对系统进行技术评估。虽然无 法提供一个公正的结果，但是这仍然能提供一定的保证。通过查看评估报 告，可以确定供应商确定是否定义了合适的安全要求，并且是否进行了合适 的检查。 商业软件购买管理规范 33 b) 在独立组织的支持和审查下的自我评估。这种方法具有自我评估的低成本和 快速的特性，同时又可以具备独立公正性。但是，这种审查可能不如其他的 正式评估和测试过程彻底。 7.3.2.2 第三方机构评估 由于目前国内尚未成立正式的经国家权威机构认可的独立的第三方安全检测机构，因此以下主要以国际上相关的检测评估机构为主，举例: a) 一致性测试和检验方案——目前主要可以使用两种安全测试和评价程序来评估现有商业产品 的安全特性和保证能力:美国国家信息安全保证合作集团(NIAP)通用标准评估(CC)和验证方 案(CCEVS) , NIAP CCEVS 通过一个独立第三方的可信的测试实验室组成网络来独立测试众多技术领域 的多种商业产品的各种技术能力:包括各类商业软件、操作系统、数据库、防火墙等其他 信息安全产品。采用一系列安全要求和细则对产品进行评价。这些细则来自国际标准化组 织/国际电工委员会(ISO/IEC)15408号“IT安全评价通用标准”。 , NIST 加密模块验证计划(CMVP)。CMVP也基于独立的可信的第三方实验室进行评估，它主 要侧重于加密模块的测试，采用的标准是美国联邦信息处理标准(FIPS)140-2 “加密模块 安全需求”标准，以及相关的美国联邦加密算法标准。 通用标准(CC: Common Criteria)——通用标准采用了某种安全需求标准，比如评价保证级别b) (EAL: evaluation assurance level),将需要评价的产品与另一种可靠的产品或系统进行比较 评价。 通过独立组织评估——CC测试实验室(CCTLs)根据CC标准评估IT产品。CC认可协议(CCRA)c) 成员国同意承认所有成员国进行的评估结果，并且在他们各自的验证产品列表(,,,)上列 出评估过的，,产品和安全保护资料。 34 商业软件购买管理规范 7.4 商业软件采购完成阶段 7.4.1 订立合同 7.4.1.1 签订合同法律符合性 a) 中国石油应具备专门的法律顾问或者法律部门，负责商业软件采购合同的法 律符合性问题，实施采购的负责人需要和相关法律部门协商合同的法律问题。 b) 软件上的安全隐患——在合同中必须阐述严格禁止软件存在恶意代码、后门 等情况。 c) 合约性风险和责任 合同除了一般性的内容以外，还应包括针对安全的额外 条款，具体的条款可能会根据采购软件的不同而大有差异，总体目的在于迫 使供应商提高对软件安全的重视程度。这些条款的具体订立需要咨询相关的 法律专家和安全问题专家。下文给出了一个可以参考的范例: , 递交的产品的功能和产品说明书、质量保证书以及其它相关材料一致，除此以外: ____________________________________________ ____________________________________________ ____________________________________________ , 如果软件安装正常，则只会创建或者改动以下方面: ____________________________________________ ____________________________________________ ____________________________________________ , 不应将软件和下列的软件通信 ____________________________________________ ____________________________________________ ____________________________________________ , 如果软件正常卸载，系统应恢复原有状态 , 除了下列的例外情况以外，提交的软件不包括任何产品说明书中没有提供的功能和方法， 包括但不限于恶意代码、后门、禁门等 ____________________________________________ ____________________________________________ ____________________________________________ , 递交的软件产品不会干扰和越过系统的安全软件<软件列表>，软件只对请求有效性进行检 查并只根据安全软件的要求采取相应的安全措施。该处理对所有用户有效，除非下列情况: 商业软件购买管理规范 35 ____________________________________________ ____________________________________________ ____________________________________________ d) 版权和专利问题 版权和专利问题也应在合同中得到体现。 7.4.1.2 合同的其他规范 a) 对于大型商业软件的采购，应建立专门的安全控制和评审小组以更好的控制 商业软件购买过程中的安全，该小组的主要目的是: , 采购方和供应方信息交流 , 安全需求分析 , 确认新的威胁和弱点 , 确定对系统安全有影响的变更 , 安全问题策略建议 , 当需要在安全问题和功能需求做出平衡的时候，给出适当的意见 b) 应在合同中定义清楚安全控制小组的组成、职责和功能。例如: , 安全控制小组由中国石油<人员>和供应商<人员>共同构成，主要负责软件的安全问题， 其中包括汇报软件的安全问题、并提出软件安全建议。 , 安全控制小组需要在<地址>安排<会议>，并记录会议内容，会议记录需要提交给中国石 <合同生效以及后续xx天>期间定期举行。 油相关负责人。会议需要在 c) 合同还需要规定在合同结束的时候，怎样确保在供应商电脑系统中的中国石 油的所有信息的归还和销毁(并且在销毁之前需要保证这些信息已经在中国 石油的系统中备份)，例如可以包括如下的条款: , 供应商保证所有履行合约需要的中国石油专有的数据和信息必须在合同结束之后归还给 中国石油，并保证不在供应商系统中保留任何相关信息，如果无法马上消除所有信息，供 36 商业软件购买管理规范 应商保证这些信息在销毁以前不会泄露给第三方也不会用于任何未经中国石油同意的用 途，并按如下的进度销毁资料(插入进度)。 d) 合同还应规定，在合同期间供应商使用的中国石油专有的软件和硬件设备在 合同结束以后也需按议定流程归还给中国石油，并保证恢复所有设备的初始 状态。由于涉及问题的复杂性，无法给出各种场合下的条款内容，例如: , 所有的软件配置需要回到原来的状态 e) 合同还应规定供应商在合同期间所使用的中国石油系统帐户在合同结束以后 必须归还给中国石油，以防止意外情况的出现。合同的条款可以类似: , 在合同完成和终止以后，供应商需要提供用户状态列表，提供在后续阶段需要访问中国石 油资源的用户列表以及对应的权限列表。当供应商的员工不再因该合同需要访问中国石油 <时间>内通知中国石油相关方面。的资源的时候(离职或者合同结束)，供应商需要在 <时间>通知中国石油，如当供应商的职员离开公司和合同规定的项目时，供应商应提前 果是突发的离职事件则供应商应在第一时间通知中国石油。 f) 合同应规定员工离职或者离开项目时候的工作移交问题，以保证合同的正常 持续履行。合同条款可以类似: , 当供应商员工离开项目，供应商项目经理必须保证该员工所有相关工作的及时移交，并删 <时间内>通知中国石油。 除所有必要的文件，并确保在 7.4.1.3 特殊合同要求 某些招标书中内容(主要是权利、责任和赔偿方面的约定)和信息安全休戚相关，但是不包括在供应商相关的应标文件中，并在合同期限内有效。因此这些条款最好在合同的特殊条款中说明，例如保密协定。中国石油采购负责人需要和供应商的相关方面协商这些条款的具体内容。供应商应对所有在合同期间中国石油提供的信息签署保密条款，类似: , 所有中国石油提供的<列出所有类型l>列表中的信息不管以何种方式提供，供应商应保证 仅用于合同履行过程并保证不向任何的第三方以任何形式泄露。 , 所有<类型列表>的信息必须由接受方在整个拥有过程中妥善保存。该原则同样适用于上 述信息产生的输出信息。 , 如果由于项目的需要，必须对外发布<信息类型列表>中的信息，则必须向中国石油相关 方面提出书面的申请。 商业软件购买管理规范 37 7.4.2 采购软件的安全性文档 软件的安全性文档为中国石油的用户理解和使用软件的安全特征提供了帮助。并 且安全性文档同时也说明了该软件的安全性是否达到了中国石油的要求。可以将 安全性文档分为交付文档和应标书文档。在应标书中的安全性文档主要表明了供 应商对中国石油安全需要的理解，可以将其用于供应商的评估。而测试报告、使 用文档则表明了系统的安全需求是否已经得到了满足。不同种类的安全性文档的 内容是不一样的。以下分别列出了不同文档类型下需要包含的安全内容。 7.4.2.1 应标书文档 a) 应标方的安全策略——中国石油购买的所有商业软件都必须在应标书中阐明 供应商的安全策略，该策略的内容主要包括:该产品在安全上如何达到中国 石油的要求。对于无需定制购得即可用得产品，供应商需要提供其产品的安 全特性和中国石油的安全需求之间的对应关系，并提供保证。 b) 供应商的内部安全策略和规划——根据情况，中国石油可以要求供应商提供 其公司内部包括适用的信息安全策略、人员策略和物理安全策略等情况在内 的安全策略和规划，以确保所购买软件的安全。 7.4.2.2 包括产品文档在内的交付文档 a) 安全功能用户手册——该手册需要提供购买软件的安全机制、以及如何使用 这些安全机制等情况。对于购得的软件必须确保具有这部分文档。 b) 系统管理手册——在系统管理手册中，必须说明: , 如何检查和维护系统的安全功能特征 , 管理员如何使用和管理系统的安全功能 , 管理员怎样保护系统自身的安全 38 商业软件购买管理规范 , 管理员应如何应对安全相关的事件 c) 测试文档——购得软件在测试环境中的测试结果，包括对安全体系的测试结 果。 d) 设计文档——在某些特定情况下，中国石油可以要求供应商提供文档说明其 设计和实现的安全体系。 7.4.3 软件实施和验收 7.4.3.1 合同履行 在合同履行过程中应有IT安全专家参与监理合同的履行情况，检查采购软件安 装、测试和试运行过程中的安全问题。 7.4.3.2履约情况监管 决策部门应制定计划检查合同的执行情况，确保安全性没有降级，确保系统已经 考虑到最新的威胁和系统弱点并采取了恰当的防范措施。 7.4.3.3 检查和验收 验收意味着中国石油接受采购的软件并同意支付相关款项。因此在验收的时候 中国石油必须非常谨慎 ，需要由中国石油的专家或者中国石油聘请的第三方机 构对软件进行验收，确认其是否达到要求的标准，包括安全标准。 7.4.4 人员和安全相关培训 7.4.4.1 人员安全 a) 为保证购买软件的安全，必须考虑对入驻中国石油进行安全配置和二次开发 的人员进行审查。购买的软件不同、使用的场合不同、系统本身的风险性不 同对于人员信息的要求也不同。一般而言，要求做到: , 确定相关人员需要访问的信息类型 , 规定每一类信息类型的审查标准 商业软件购买管理规范 39 , 必要的时候在系统权限授予相关人员之前复审 , 明确相关人员审查责任 , 确定待审人员信息和提交时间 , 审查结果汇报 b) 原则上中国石油禁止在软件购买过程中使用临时工安装和配置系统。 7.4.4.2 人员培训 在合同中应包括安全相关的培训方面的要求，包括培训时间、培训内容、培训对 象等。条款可以类似: , IT供应商最低限度必须保证从事该项目的双方员工都经过适当的培训，包括安全方面的培 <日期>之前提供关于员工培训的证明 训，并且向中国石油相关方面在 7.4.5 原有软件系统的处置 商业软件采购周期的最后阶段是合同结束处理。由于采购新软件后可能会使原有 的系统作废，因此在该过程中必须十分注意保护中国石油原有的信息资产。应注 意以下三个方面: 7.4.5.1 信息归档 原有系统废止以前，需要对原有系统的信息进行必要的归档，以备使用，归档 时必须考虑使用比较先进的技术，避免将来的兼容性问题，同时还需要根据法 律的要求保留足够的年限。 7.4.5.2 介质清理 在购进新软件以后，如果不再需要原有系统的硬件，则需要对原有系统的硬件做 介质清理，包括数据删除、系统删除等，在该过程中必须保证彻底清除原有硬件 设备上的系统。 40 商业软件购买管理规范 7.4.5.3 原有软硬件处理 在处理原有的软件时必须保证在原有合约的授权范围内进行(如不得将废止软件 赠与第三方)，对于非常敏感的信息和信息载体可予以物理毁灭。 商业软件购买管理规范 41 附录 1 参考文献 附录 1 参考文献 【国家法律】 《中华人民共和国国家安全法》 《中华人民共和国计算机信息系统安全保护条例》 《中华人民共和国计算机信息网络国际联网管理暂行规定》 《中华人民共和国保守国家秘密法》 《中华人民共和国国家安全法》 【国家规定】 《维护互联网安全的决定》 中华人民共和国计算机信息系统安全保护条例 中国信息安全产品测评认证用标准目录(一) 军用计算机安全评估准则GJB2255-95 国土资源部信息网络安全管理规定 安全策略分析报告_样例 浅谈金融计算机信息系统安全管理 电子计算机机房施工及验收规范sj 电子计算机机房设计规范GB50174-1993 网络国际联网管理暂行规定 计算机信息系统国际联网保密管理规定 计算机信息系统安全专用产品分类原则(GA163-1997) 计算机信息系统安全产品部件(安全功能检测GA216-1-1999) 计算机信息系统安全保护等级划分准则GB 17859-1999 计算机信息系统安全等级保护操作系统技术要求(GAT388-2002) 计算机信息系统安全等级保护数据库管理系统技术要求(GAT389-2002) 计算机信息系统安全等级保护管理要求(GAT391-2002) 计算机信息系统安全等级保护网络技术要求(GAT387-2002) 计算机信息系统安全等级保护通用技术要求(GAT390-2002) 计算机软件保护条例 42 商业软件购买管理规范 计算站场地安全要GB9361_1988 计算站场地技术条件gb2887-1989 field 银行卡联网联合安全规范 【国家防火规范标准】 建筑内部装修设计防火规范GB50222_95.doc 建筑物防雷设计规范GB50057_94.doc 建筑设计防火规范.doc 火灾自动报警系统设计规范GBJ116_88.doc 高层民用建筑设计防火规范GB50045_95.doc 【国外相关标准】 RFC,2196, BS,7799,(UK), IT,Baseline,Protection,Manual,(Germany), OECD,Guidelines, ISO,15408,("Common,Criteria"), Rainbow,Series,("Orange,Book"),(US), Information,Technology,Security,Evaluation,Criteria,("ITSEC"),(UK),System,Security,Engineering,Capability,Maturity,Model,(SSE-CMM),Development, ISO,11131,("Banking,and,Related,Financial,Services;,Sign-on,Authentication"), ISO,13569,("Banking,and,Related,Financial,Services,--,Information,Security,Guidelines"), 商业软件购买管理规范 43 附录 2 本规范用词说明 附录 2 本规范用词说明 一、 为便于在执行本规范条文时区别对待，对要求严格程度不同的用词说明如下: 1. 表示很严格，非这样做不可的: 正面词采用“必须”; 反面词采用“严禁”; 2. 表示严格，在正常情况下均应这样做的: 正面词采用“应”; 反面词采用“不应”或“不得”。 3. 表示允许稍有选择，在条件许可时首先应这样做的: 正面词采用“宜”或“可”;反面词采用“不宜”。 二、 条文中指定应按其它有关标准、规范执行时，写法为“应符合„„的规定”或“应按„„要求(或规定)执行”。 44 商业软件购买管理规范 商业软件购买管理规范 45