資源描述:
《數(shù)據(jù)庫安全管理規(guī)范》由會員上傳分享�,免費(fèi)在線閱讀��,更多相關(guān)內(nèi)容在應(yīng)用文檔-天天文庫���。
1���、人力資源社會保障數(shù)據(jù)中心數(shù)據(jù)庫安全管理規(guī)范(試行)(征求意見稿)第一章總則第一條?【目的】為保障人力資源社會保障應(yīng)用系統(tǒng)數(shù)據(jù)庫(以下簡稱數(shù)據(jù)庫)安全,保障數(shù)據(jù)的保密性�����、完整性�、可用性,規(guī)范操作和管理行為���,降低數(shù)據(jù)安全風(fēng)險(xiǎn)�,實(shí)現(xiàn)人力資源社會保障數(shù)據(jù)中心安全管理��,制定本規(guī)范���。第二條?【適用范圍】本規(guī)范適用于各級人力資源社會保障非涉密應(yīng)用系統(tǒng)的數(shù)據(jù)庫管理�����,涉密應(yīng)用系統(tǒng)的數(shù)據(jù)庫應(yīng)按照國家保密部門的相關(guān)規(guī)定和標(biāo)準(zhǔn)進(jìn)行管理����。第三條?【定義】本規(guī)范所稱的數(shù)據(jù)庫,是指人力資源社會保障應(yīng)用系統(tǒng)處理和服務(wù)所依托的集中存儲數(shù)據(jù)的各類數(shù)據(jù)庫系統(tǒng)(含與數(shù)據(jù)庫�����、數(shù)據(jù)倉庫相關(guān)的��,以數(shù)據(jù)庫之外形式保管的數(shù)據(jù))�����。第
2�、四條?【原則】數(shù)據(jù)庫的安全管理和技術(shù)保障措施,應(yīng)與支撐其安全穩(wěn)定運(yùn)行的應(yīng)用系統(tǒng)安全保護(hù)等級相對應(yīng)�。第二章崗位職責(zé)第五條?【負(fù)責(zé)單位】人力資源社會保障信息化綜合管理機(jī)構(gòu)(以下簡稱信息部門)負(fù)責(zé)應(yīng)用系統(tǒng)數(shù)據(jù)庫的安全管理�����,保證?�—1—數(shù)據(jù)庫安全穩(wěn)定運(yùn)行����。第六條?【崗位設(shè)置】數(shù)據(jù)庫安全運(yùn)行維護(hù)管理崗位包括數(shù)據(jù)庫管理員�����、數(shù)據(jù)庫安全員和數(shù)據(jù)庫審計(jì)員���,由信息部門人員承擔(dān)。第七條?【權(quán)責(zé)分離】數(shù)據(jù)庫管理員不得同時兼任其他兩崗�。核心應(yīng)用系統(tǒng)的數(shù)據(jù)庫安全員應(yīng)配備專職人員,與其他兩崗分離��。核心應(yīng)用系統(tǒng)的數(shù)據(jù)庫管理員和數(shù)據(jù)庫審計(jì)員均應(yīng)分別由多人共同管理1���。第八條?【數(shù)據(jù)庫管理員職責(zé)】數(shù)據(jù)庫管理員負(fù)責(zé)數(shù)據(jù)
3���、庫配置、賬戶��、監(jiān)控����、備份、日志等數(shù)據(jù)庫全生命周期的運(yùn)行維護(hù)管理�,主要職責(zé)包括:(一)配置管理:負(fù)責(zé)數(shù)據(jù)庫的安裝(升級���、卸載)、服務(wù)啟停���、數(shù)據(jù)空間管理��、數(shù)據(jù)遷移����、版本控制�����,通過對數(shù)據(jù)庫進(jìn)行合理配置��、測試����、調(diào)整,最大限度發(fā)揮數(shù)據(jù)庫資源優(yōu)勢����。(二)賬戶管理:建立���、刪除�����、修改數(shù)據(jù)庫賬戶�。在數(shù)據(jù)庫安全員授權(quán)下,對數(shù)據(jù)庫的賬戶及其口令進(jìn)行變更�����。(三)運(yùn)行監(jiān)控:定期監(jiān)測數(shù)據(jù)庫運(yùn)行狀況����,及時處理解決運(yùn)行過程中的問題,負(fù)責(zé)數(shù)據(jù)庫調(diào)優(yōu)���,定期編制數(shù)據(jù)庫運(yùn)行報(bào)告����。(四)數(shù)據(jù)備份管理:定期對數(shù)據(jù)進(jìn)行備份和恢復(fù)測試����。(五)日志管理:負(fù)責(zé)數(shù)據(jù)庫日志的設(shè)置、檢查和分析(如數(shù)據(jù)庫故障事件記錄情況�����、數(shù)據(jù)庫資源增長超限
4、情況�、違規(guī)使用?????????????????????????????????????????????????????????????1《信息安全技術(shù)??信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T?22239‐2008?7.2.2.2):人員配備:a)??應(yīng)配備一定數(shù)量的系統(tǒng)管理員、網(wǎng)絡(luò)管理員�����、安全管理員等�;b)??應(yīng)配備專職安全管理員,不可兼任�����;c)??關(guān)鍵事務(wù)崗位應(yīng)配備多人共同管理����。?—2??—應(yīng)用系統(tǒng)賬戶、大量數(shù)據(jù)庫登錄失敗�、大量無效?SQL?語句等)。及時向數(shù)據(jù)庫安全員報(bào)告潛在的安全事件和問題��。(六)配合應(yīng)用系統(tǒng)管理員和網(wǎng)絡(luò)管理員的日常工作����。第九條?【數(shù)據(jù)庫安全員職責(zé)】數(shù)據(jù)
5�����、庫安全員負(fù)責(zé)制定數(shù)據(jù)庫安全策略,進(jìn)行日常安全巡查����、日志分析和權(quán)限管理,主要職責(zé)包括:(一)日常安全檢查:定期查看數(shù)據(jù)庫配置�,檢查數(shù)據(jù)庫常見的安全問題,如賬戶權(quán)限過大�����、口令過舊等��,并將安全問題提交相關(guān)部門和人員落實(shí)�,負(fù)責(zé)檢查處理結(jié)果。(二)設(shè)置安全策略:設(shè)置?IP��、時間�、應(yīng)用等訪問權(quán)限,確定敏感數(shù)據(jù)和數(shù)據(jù)訪問策略(如使用默認(rèn)賬戶�、使用默認(rèn)口令、數(shù)據(jù)庫對象可被所有賬戶訪問等)。(三)賬戶授權(quán):對數(shù)據(jù)庫管理員創(chuàng)建的數(shù)據(jù)庫賬戶2���,進(jìn)行訪問授權(quán)�����。(四)日志分析:對數(shù)據(jù)庫相關(guān)安全審計(jì)功能或系統(tǒng)進(jìn)行日志設(shè)置�、檢查和分析�,負(fù)責(zé)檢查分析違規(guī)安全事件和行為。(五)安全培訓(xùn):組織數(shù)據(jù)庫的安全培訓(xùn)�。第十條
6、?【數(shù)據(jù)庫審計(jì)員職責(zé)】數(shù)據(jù)庫審計(jì)員負(fù)責(zé)對數(shù)據(jù)庫管理員����、數(shù)據(jù)庫安全員的操作行為進(jìn)行審計(jì)、跟蹤�、分析和監(jiān)督檢查,及時發(fā)現(xiàn)違規(guī)行為和異常行為�����,進(jìn)行數(shù)據(jù)庫日志和審計(jì)日志分析�、安全事件的分析和取證。主要職責(zé)包括:?????????????????????????????????????????????????????????????2??賬戶��、帳戶在國標(biāo)中均有使用,此處使用賬戶�����。賬戶在《信息安全技術(shù)??數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T?20273‐2006)中有使用����;帳戶在《信息安全技術(shù)??信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T?22239‐2008)中有使用���。??�—3—(一)變更
7���、審核:對數(shù)據(jù)庫管理員、數(shù)據(jù)庫安全員制定和更改數(shù)據(jù)庫的安全策略����、賬戶權(quán)限以及參數(shù)設(shè)置等進(jìn)行審核和監(jiān)督,定期檢查操作記錄�。(二)日志審計(jì):對數(shù)據(jù)庫管理員、數(shù)據(jù)庫安全員的認(rèn)證登錄審計(jì)(包括登錄時間����、登錄失敗次數(shù)、登錄的?IP?地址等)���,對數(shù)據(jù)庫的關(guān)鍵配置變更審計(jì)(包括增/刪賬戶和授權(quán)���,數(shù)據(jù)庫的刪除����、復(fù)制���、卸載��,數(shù)據(jù)庫存儲過程���、觸發(fā)器等對象的增加、編輯和刪除等)并定期(如?1?個月)形成安全審計(jì)報(bào)告�。(三)日志管理:對審計(jì)后的日志進(jìn)行定期清除或移出。第十一條?【保密要求】數(shù)據(jù)
