附录32
数据安全管理规范
1目的
为保障关键数据安全,修订本文档,从数据库本身、数据加密、数据备份恢复三个方面对数据安全进行规范。
2适用范围
本文档适用于我司信息系统数据管理。
3数据库安全
3.1身份鉴别
1)应对数据库系统中的用户进行标识,用户标识应遵守唯一性原则,并将用户标识与审计相关联。怎样给文档加密
2)应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。
3)应在登录过程中确保鉴别信息是保密的,不易伪造的。
3.2访问控制
1)应对数据库系统的访问设定访问控制规则,减少非授权访问。
2)数据库系统应按照最小权限原则对不同用户进行授权,保证各用户权限最小化。
3)数据库系统的安装目录和文件的访问权限应进行最小化设置,防止未授权用户访问相关资源。
3.3日志审计
1)应为数据库系统建立独立的日志审计系统,定义与数据库安全相关的日志审计事件记录。
2)能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏。保护审计数据,严格限制未经授权的用户访问。
3.4安全传输
1)对数据库系统进行管理时,应采取一定的安全机制,防止鉴别信息和管理数据在网络传输过程中被窃听。
2)数据库系统与第三方系统进行数据交互时,应采用加密措施保护数据信息传输安全。
3.5资源利用
1)应对数据库系统的最大并发会话连接数进行限制,防止受到拒绝服务攻击。
2)应对数据库系统内单个帐户的多重并发会话进行限制,并对会话超时进行重鉴别控制。
3)应对数据库系统资源进行监视,并对系统的服务水平降低到预先规定的最小值进行检测和报警。
3.6安全管理
1)设置数据库系统审计管理员、系统管理员角、系统安全管理员角,并且实现不同管
理用户的权限分离,仅授予管理用户所需的最小权限,同时系统审计管理员角与系统管理员角、系统安全管理员角不能是同一人担任。
2)数据库系统应定期进行系统版本更新和补丁更新。
4数据加密要求
4.1加密技术选择
在选择和应用加密技术时,应考虑以下因素:
1)必须符合国家有关加密技术的法律法规,包括使用和进出口限制。
2)根据风险评估确定保护级别,并以此确定加密算法的类型、属性,以及所用密钥的长度。
3)听取专家的建议,确定合适的保护级别,选择能够提供所需保护的合适产品,该产品应能实现安全的密钥管理。另外,还应听取与加密技术法律法规相关的法律建议。
4.2加密管理
单位应采用基本的加密技术控制措施,包括:
1)加密策略必须经过审核批准。
2)重要信息在传输时必须加密。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论