数据库系统安全配置管理办法.docx

《数据库系统安全配置管理办法.docx》由会员分享，可在线阅读，更多相关《数据库系统安全配置管理办法.docx（9页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、数据库系统安全配置管理办法数据库系统安全配置管理办法日期：2020-12-18阅读:334第一章总则第一条为规范海南电网公司信息系统的数据库系统的安全配置方法和日常数据库系统管理，保障信息网络的安全、稳定运行，特制订本办法。第二条本办法适用于海南电网公司下面简称公司本部、分公司，以及直属各单位的信息系统的数据库系统的管理和运行。其他联网单位可参照执行。第二章数据库系统配置管理责任第三条数据库系统配置管理的主要责任人员是数据库系统管理员，根据（系统运行安全管理制度）要求，负责对所管辖的数据库系统进行安全配置。第四条数据库系统管理员应定期对所管辖的数据库系统的配置进行安全检查。第五条数据库系统管理

2、员负责定期对所管辖的数据库系统安全配置方法进行修订和完善。第三章数据库环境安全第六条物理环境安全数据库服务器应当置于单独的服务器区域，任何对这些数据库服务器的物理访问均应遭到控制；数据库服务器所在的服务器区域边界应部署防火墙或其它逻辑隔离设施。第七条宿主操作系统安全数据库系统的宿主操作系统除提供数据库服务外，不得提供其它网络服务，如：WWW、FTP、DNS等；应在宿主操作系统中设置本地数据库专用帐户，并赋予该账户除运行各种数据库服务外的最低权限；对数据库系统安装目录及相应文件访问权限进行控制，如：禁止除专用账户外的其它账户修改、删除、创立子目录或文件。第四章数据库系统安装、启动与更新第八条系统

3、安装，应注意生产数据库系统应与开发数据库系统物理分离；确保没有安装未使用的数据库系统组件或模块。第九条系统启动，应注意确保没有开启未使用的数据库系统服务。第十条系统更新，应将数据库产品提供商不再支持的版本升级到最新的或支持的版本；应为数据库系统安装最新修补程序。第十一条系统完好性，要求数据库系统管理员应定期或不定期检查数据库系统完好性。第五章帐户安全和口令策略第十二条账户设置严禁不同的数据库系统使用一样的账户与口令；重新命名数据库管理员帐户，并删除不需要的默认账户；数据库用户账户与数据库管理员帐户分离。第十三条数据库系统至少应设置下述分离的几类用户：系统管理员：能够管理数据库系统中的所有组件及

4、数据库；应用数据库管理员：能够管理本数据库中的账户、对象及数据；数据库用户：只能以特定的权限访问特定的数据库对象，不具有数据库管理权限。第十四条针对每个数据库账户按最小权限原则设置其在相应数据库中的权限。包括如下几种权限：系统管理权限：包括账户管理、服务管理、数据库管理等；数据库管理权限：包括创立、删除、修改数据库等；数据库访问权限：包括插入、删除、修改数据库特定表记录等。第十五条数据库账户口令应为无意义的字符组，长度至少八位，并且至少包括数字、英文字母两类字符。第十六条应定期或不定期修改数据库管理员口令，在下述几种情况下应修改数据库管理员口令：数据库系统或相关的应用系统遭到入侵；数据库管理员

5、轮换；数据库管理员口令泄露；其它修改口令要求。第六章访问控制第十七条鉴别方式/方法，使用数据库系统分配账户的方式鉴别数据库用户，不可使用宿主操作系统的账户鉴别代替数据库账户鉴别。第十八条服务及端口限制在外围防火墙或其它隔离设施上控制从互联网到数据库系统的直接访问；修改数据库系统默认监听端口。第十九条数据库连接应用程序的数据库连接字符串中不能出现数据库账户口令明文；禁止未受权的数据库系统远程管理访问，对于已经批准的远程管理访问，应采取安全措施加强远程管理访问安全。第七章数据库对象安全第二十条数据文件安全，对数据文件访问权限进行控制，如：禁止除专用账户外的其它账户访问、修改、删除数据文件。第二十一

6、条删除不需要的示例数据库，在允许存在的示例数据库中严格控制数据库账户的权限。第二十二条存储经过，应注意删除或禁用不需要的数据库存储经过。第二十三条敏感数据安全，对于数据库中的敏感字段，如：口令等，要加密保存。第八章备份与恢复第二十四条系统及数据备份在数据库系统每次成功升级后，数据库管理员都应备份相应的数据库系统软件；数据库管理员应制定数据备份计划，并根据计划定期备份数据库系统中的数据，妥善安全保存这些备份数据，防止备份数据的丢失、泄露与被篡改。第二十五条系统及数据恢复，要求数据库管理员应制定数据库系统及数据恢复流程，并至少对恢复流程作三次演练。第九章日志及监控审计第二十六条审计事件，应配置数据

7、库系统记录所用用户的登录事件。第二十七条若数据库系统提供相应的功能，下列事件需要通过配置数据库系统记录在日志中，若数据库系统不提供相应的功能，这些事件应该由数据库管理员手工填写日志并存档：数据库系统管理，包括系统安装/升级以及一些重要配置变更等；数据库系统账户管理，包括账户增加/删除、权限分配；数据库管理，包括创立/删除/修改、备份/恢复。第二十八条日志保存管理员应制定日志文件命名规则，并根据日志文件命名规则创立所需的日志文件；数据库管理员应防止日志数据丢失，要求日志存储已满时，应采取相应的防止日志数据丢失的措施，如：忽略审计事件、覆盖已存储的最老的审计事件、日志文件自动生长、重新创立日志文件等；日志文件应与数据库数据一样，定期备份并妥善安全保存这些备份日志，防止备份日志的丢失、泄露与被篡改。第二十九条日志访问，数据库管理员应采取措施保证只要受权用户才能访问日志信息。第三十条定期审计，数据库审计员应定期审计日志中的事件记录。第十章数据库系统安全配置方法第三十一条数据库系统的安全配置规范应该根据不同的数据库类型，不同的应用环境，分别讲明。第三十二条数据库系统安全配置方法应该根据技术发展和应用实际不断修订和完善。第十一章附则第三十三条本办法由海南电网公司信息中心负责解释。第三十四条本办法自公布之日起实行，有新的修改版本公布后，本办法自行终止。