数据库全产品等保和分保的要求

1、数据库全产品等保和分保的要求数据库全产品等级保护要求信息安全等级保护, 就是指对国家秘密信息、公民、法人与其她组织的专有信息、公开信息及存储、传输、处理这些信息的信息系统分等级实行安全保护, 对信息系统中使用的信息安全产品实行按等级管理, 对信息系统中产生的信息安全事件分等级响应、处置。为了保证国家信息安全 , 国家相关部门颁布的 gb17859-1999计算机信息系统安全保护等级划分准则、在2004 年 11 月公安部、国家保密局、国家密码管理委员会办公室、国务院信息化工作办公室四部委会签关于信息安全等级保护工作的实施意见( 公通字 200466 号 ), 规定了计算机信息系统安全保护能力从

2、用户自主到访问验证的五个等级。政府机构、大型企业等不同机构可以根据国家的要求, 遵循不同的等级保护准则。依据关于开展全国重要信息系统安全等级保护定级工作的通知公信安【2007 】861 号文件要求 , 重要信息 系统 安 全等 级等级对象侵害客体侵害程度监管强度保 护 定级 工作 定 级第一级合法权益损害自主保护如下 :范 围一般系统合法权益严重损害电第二级指导社会秩序与公共利益损害第三级社会秩序与公共利益严重损害监督检查国家安全损害重要系统社会秩序与公共利益特别严重损害第四级强制监督检查国家安全严重损害第五级极端重要系统国家安全特别严重损害专门监督检查信、广电行业的公用通信网、广播电视传输网

3、等基础信息网络, 经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动与社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。市 ( 地 ) 级以上党政机关的重要网站与办公信息系统。涉及国家秘密的信息系统信息安全技术 信息系统安全等级保护基本要求 (gb/t 22239-2008) 将息系统等级保护的安全基本要求分为技术要求与管理要求两大类。基本技术要求从物理安全、网络安全、主机系统安

4、全、应用安全与数据安全几个层面提出安全要求 ; 基本管理要求从安全管信理机构、安全管理制度、人员安全管理、系统建设管理与系统运维管理几个方面提出安全要求。解决方案等保二级要求及应答项目分指标类考察项基本要求产品及实现类a) 应启用访问控制功能产品 : 数据库防火墙、数据库监控扫描6、 1、3、, 依据安全策略, 可基于6、1、3 主控制用户对资源的访问a) 实现 : 通过数据库防火墙访问控制功能2 访问控ip 、sql 语句 , 操作时间、客户端、关键字等条件第二级机安全制(s2)b) 应实现操作系统与数据库系统特权用制定相应的访问控制策略户的权限分立 ;数据库全产品等保和分保的要求b) 实现

5、 : 通过数据库监控扫描对权限配置不合理进行扫描 , 同时通过数据库防火墙进行二次的访问控制产品 : 数据库审计a) 审计范围应覆盖到服务器上的每个操a) 、b、)c) 实现 : 通过数据库审计或者数据库防火作系统用户与数据库用户墙的审计功能 , 对服务器上的每个操作系统用户与b) 审计内容应包括重要用户行为、系统6、 1、3、资源的异常使用与重要系统命令的使用数据库用户进行审计 , 可对发生时间、客户端ip地址、客户端 mac、终端程序、访问账号、访问数3 安全审等系统内重要的安全相关事件据库名、操作表名、 sql语句、数据库响应时间以计(g2)c) 审计记录应包括事件的日期、时间、及返回结

6、果等关键信息进行审计类型、主体标识、客体标识与结果等。d) 实现 : 数据库审计或者数据库防火墙产品的具备d) 应保护审计记录 , 避免受到未预期的独立的日志存储功能 , 且按照三权分立设置, 审计删除、修改或覆盖等。记录可避免受到未预期的删除、修改或覆盖。a) 应提供访问控制功能, 依据安全策略产品 : 数据库防火墙、数据库监控扫描控制用户对文件、数据库表等客体的访a) 、b) 实现 : 通过数据库防火墙访问控制功能, 可基问于 ip 、数据库表、 sql语句 , 操作时间、客户端、6、 1、4、b) 访问控制的覆盖范围应包括与资源访关键字等条件制定相应的访问控制策略问相关的主体、客体及它们

7、之间的操作c) 实现 : 通过数据库监控扫描对默认账号及其权限1 访问控c) 应由授权主体配置访问控制策略, 并进行扫描 , 发现存在的风险同时通过数据库防火墙制严格限制默认账户的访问权限对用户权限进行限制。d) 应授予不同账户为完成各自承担任务d) 实现 : 通过数据库监控扫描对数据库账号及其权所需的最小权限 , 并在它们之间形成互限进行扫描分析 , 通过数据库防火墙对用户权限进6、1、4 应相制约的关系行最小权限。用安全产品 : 数据库审计实现 : 通过数据库审计或者数据库防火墙的审计功a) 应提供覆盖到每个用户的安全审计功能, 对服务器上的每个操作系统用户与数据库用户能, 对应用系统重要

8、安全事件进行审计6、 1、4、进行审计 , 可对发生时间、 客户端 ip 地址、客户端b) 应保证无法删除、修改或覆盖审计记3 安全审录mac、终端程序、访问账号、访问数据库名、操作表名、 sql语句、数据库响应时间以及返回结果等计(g2)c) 审计记录的内容至少应包括事件日关键信息进行审计。 同时数据库审计或者数据库防期、时间、发起者信息、类型、描述与, 且按照三权结果等。火墙产品的具备独立的日志存储功能分立设置 , 审计记录可避免受到未预期的删除、修改或覆盖。等保三级要求及应答项目分指标考察项基本要求产品及实现类类产品 : 数据库防火墙、数据库监控扫描a) 实现 : 通过数据库防火墙访问控

9、制功能, 可基于 ip 、a) 应启用访问控制功能 , 依据安全策略控制用户对资源的访问sql 语句 , 操作时间、客户端、关键字等条件制定相应7、1、7、1、3、的访问控制策略3 主2b) 应根据管理用户的角色分配权限, 实现访 问b) 实现 : 通过数据库监控扫描对数据库账号及其权限进第三级机 安控管理用户的权限分离 , 仅授予管理用户所制行扫描分析 , 通过数据库防火墙对用户权限进行最小权全需的最小权限 ;限。(s3)c) 应实现操作系统与数据库系统特权用c) 实现 : 通过数据库监控扫描对权限配置不合理进行扫户的权限分离。描 , 同时通过数据库防火墙进行二次的访问控制, 对特权用户的权

10、限进行分离。数据库全产品等保和分保的要求产品 : 数据库审计a) 审计范围应覆盖到服务器与重要客户a) 、b) 、 c) 实现 : 通过数据库审计或者数据库防火墙的端上的每个操作系统用户与数据库用户审计功能 , 对服务器上的每个操作系统用户与数据库用b) 审计内容应包括重要用户行为、系统资户进行审计 , 可对发生时间、客户端ip 地址、客户端源的异常使用与重要系统命令的使用等mac、终端程序、访问账号、访问数据库名、操作表名、系统内重要的安全相关事件sql语句、数据库响应时间以及返回结果等关键信息进7、1、3、c) 审计记录应包括事件的日期、时间、类行审计3、 安全d) 实现 : 通过数据库审

11、计或数据库防火墙日志功能生成型、主体标识、客体标识与结果等。审计, 并生成(g3)d) 应能够根据记录数据进行分析等级保护日志报表。审计报表。e) 实现 : 数据库审计或数据库防火墙产品的审计进程独e) 应保护审计进程 , 避免受到未预期的中立与数据库自身 , 不受数据库自身影响 , 同时具备双机断。部署等可可靠性技术。f) 应保护审计记录 , 避免受到未预期的删f) 实现 : 数据库审计或者数据库防火墙产品的具备独立除、修改或覆盖等。的日志存储功能 , 且按照三权分立设置, 审计记录可避免受到未预期的删除、修改或覆盖。a) 应提供访问控制功能 , 依据安全策略控产品 : 据库防火墙、数据库监

12、控扫描制用户对文件、数据库表等客体的访问实现 : 通过数据库防火墙访问控制功能, 可基于 ip 、数b) 访问控制的覆盖范围应包括与资源访据库表、 sql 语句 , 操作时间、客户端、关键字等条件7、1、4、1问相关的主体、客体及它们之间的操作访 问, 并严制定相应的访问控制策略控c) 应由授权主体配置访问控制策略通过数据库监控扫描对默认账号及其权限进行扫描, 发制格限制默认账户的访问权限(s3)现存在的风险同时通过数据库防火墙对用户权限进行d) 应授予不同账户为完成各自承担任务限制。所需的最小权限 , 并在它们之间形成互相7、1、制约的关系4 应产品 : 数据库审计用 安a) 应提供覆盖到每

13、个用户的安全审计功实现 : 通过数据库审计或者数据库防火墙的审计功能,全能, 对应用系统重要安全事件进行审计对服务器上的每个操作系统用户与数据库用户进行审b) 应保证无法单独中断审计进程, 无法删计, 可对发生时间、客户端 ip 地址、客户端 mac、终端7、1、4、程序、访问账号、 访问数据库名、 操作表名、 sql语句、3除、修改或覆盖审计记录安 全审c) 审计记录的内容至少应包含事件的日数据库响应时间以及返回结果等关键信息进行审计。同计期、时间、发起者信息、类型、描述与结时数据库审计或者数据库防火墙产品的具备独立的日(g3)志存储功能 , 且按照三权分立设置 , 审计记录可避免受果等d)

14、 应提供对审计记录数据进行统计、查到未预期的删除、修改或覆盖。询、分析及生成审计报表的功能通过数据库审计或数据库防火墙日志功能对审计记录数据进行统计、 查询、分析 , 生成等保相关的审计报表。分保要求评 测 分类保护项级别评测要求符合度数据库审计与防护系统保护效果运 行 管引入三权分立 , 增设安全管理员与审计管理员, 与数据库管机密级系统管理员、安全保密管理员理员相互制约与监督。理三权分立/ 增 强 与安全审计员的权限分离, 能相互 增强级安全管理员负责数据的密文访问权限授予, 可限制 dba的超( 共2 (1分 )级制约与监督级权限 ; 审计管理员对安全管理员的权限授予与数据库用户的数据分

15、 )访问进行审计。身 份 鉴鉴别方式机密级使用智能卡或ukey 与口令结实现动态口令牌、 ukey+pin 方式认证 ;别(2分 )合的鉴别方式机密级应用级用户、数据库用户都需要经过双因素认证。数据库全产品等保和分保的要求(共 8采用生理特征 ( 指纹、虹膜等 )分 )增强级方式进行鉴别重要信息采用分类分级的强访 问 控机密级制访 问 控 制制访问控制策略。策略增强级( 共 10分 )主体的访问控制精确到用户、(3增强级分 )客体精确到信息的级别或类别。审计内容 : 操作的主体、客体、内容结果等 , 用户的权限变更 , 安全安 全 审机密级 管理员的行为 ;审计存储 : 有阈值设置、空间计审计内容审计存储满时告警能力增强级(共 4分 )审计内容 : 增加对涉密信息的(2分 )访问事件审计。增强级审计存储 : 审计存储空间将满时, 可进行覆盖或转储数 据 完数 据 完 整 机密级,整性对涉密信息进行完整性检测(性/ 增 强增强级共 1分 )防止非法篡改。(1级分 )数 据 库数 据 库 安 机密级安全/ 增 强若没有采用专门的安全数据全增强级( 共 3库, 需对数据库采取安全加强措施。(3 分 )级分 )在数据加密存储的基础上 , 实现密文访问权限体系 , 对数据库用户进行强制访问控制 ;同时数据库用户与密文数据可进行分级管理 , 数据按照列、行记录可以分成不