数据库安全配置指南+安全管理制度

数据库安全配置指南总则为标准中国XX公司信息系统的数据库系统的安全配置方法和日常数据库系统治理，保障数据网络的安全、稳定运行，特制订本方法。本方法适用于XX公司信息系统的相应数据库系统的治理和运行。2数据库系统配置治理责任信息系统治理标准》要求，负责对所管辖的数据库系统进展安全配置。2.12.1用。数据库环境安全物理环境安全理访问均应受到把握；2)数据库效劳器所在的效劳器区域边界应部署防火墙或其它规律隔离设施。宿主操作系统安全如：WWW、FTP、DNS据库效劳外的最低权限；外的其它账户修改、删除、创立子名目或文件。数据库系统安装、启动与更有安装未使用的数据库系统组件或模块。系统启动，应留意确保没有开启未使用的数据库系统效劳。〔或支持的〕版本；应为数据库系统安装最修补程序。性。帐户安全和口令策略账户设置严禁不同的数据库系统使用一样的账户与口令；重命名数据库治理员帐户，并删除不需要的默认账户；数据库用户账户与数据库治理员帐户分别。数据库系统至少应设置下述分别的几类用户：系统治理员：能够治理数据库系统中的全部组件及数据库；应用数据库治理员：能够治理本数据库中的账户、对象及数据；权限。如下几种权限：系统治理权限：包括账户治理、效劳治理、数据库治理等；数据库治理权限：包括创立、删除、修改数据库等；数据库访问权限：包括插入、删除、修改数据库特定表记录等。英文字母两类字符。治理员口令：数据库系统或相关的应用系统遭到入侵；数据库治理员轮换；数据库治理员口令泄露；其它修改口令要求。访问把握/方法，使用数据库系统安排账户的方式鉴别数据库用户，不行使用宿主操作系统的账户鉴别代替数据库账户鉴别。效劳及端口限制在外围防火墙或其它隔离设施上把握从互联网到数据库系统的直接访问；修改数据库系统默认监听端口。数据库连接应用程序的数据库连接字符串中不能消灭数据库账户口令明文；实行安全措施增加远程治理访问安全。数据库对象安全其它账户访问、修改、删除数据文件。户的权限。存储过程，应留意删除或禁用不需要的数据库存储过程。8备份与恢复系统及数据备份件；据，妥当安全保存这些备份数据，防止备份数据的丧失、泄露与被篡改。并至少对恢复流程作三次演练。日志及监控审计审计大事，应配置数据库系统记录所用用户的登录大事〔不管成功与否〕。假设数据库系统供给相应的功能，以下大事需要通过配置数据库系统记录在日志并存档：1)数据库系统治理，包括系统安装/升级以及一些重要配置变更等；2〕数据库系统账户治理，包括账户增加/删除、权限安排；3)数据库治理，包括创立/删除/修改、备份/恢复。日志保存文件；文件自动生长、重创立日志文件等；止备份日志的丧失、泄露与被篡改。日志访问，数据库治理员应实行措施保证只有授权用户才能访问日志信息。10数据库系统安全配置方法境，分别说明。信息系统使用的数据库系统的主要配置方法详见附件。11附则本方法由XX公司信息通信分公司负责解释。本方法自公布之日起施行。关于安全治理制度的治理标准引言本标准阐述了XX信息通信分公司〔以下简称“公司”〕在信息安全治理制度原则与工作方式及流程。标准性引用文件〔不包括订正、通知单〕，注日期的引用文件，其最版本适用于本标准《信息安全技术信息系统安全保障评估框架》〔GB/T20274.1-2023〕《信息安全技术信息系统安全治理要求》〔GB/T20269-2023〕《信息安全技术信息系统安全等级保护根本要求》〔GBT22239-2023〕规定执行。目标内外流行标准。具体建设目标：善各项业务和治理过程中的信息安全措施，确保信息安全治理正规有序。2〕建立完整的信息安全运行体系，实现网络系统安全系统的集中治理和透亮可依靠性以及故障恢复力气。术语和定义制度：等。流程：职责分工；表单：总体方针构筑确保信息安全所必需的组织与体制，明确其责任与权限。关的规定。动。使他们充分生疏信息安全的重要性以及把握正确的治理方法。加以明确。限制、网络治理等实行适当的措施。第七章运用与复审。安全策略组织机构的职责，统筹规划、专家决策，以推动信息安全工作的开展。落实方针政策，制定实施策略和原则，开展安全普及教育等。下设办公室挂靠在公司信息中心，负责信息安全领导小组的日常事务。因素，人员安全治理的原则是：职责分别、有限授权、相互制约、任期审计。人员离岗、人员考核与审查、第三方人员治理等。信息安全人员的配备和变更状况，应向上一级单位报告、备案。XX脱密期后，方可调离。台建设、应用系统开发、运行治理等重要环节，奠定信息安全的根底。命周期中的前三个阶段〔初始、选购、实施〕中各项安全治理活动。十一个把握点。病毒防范、备份措施、文档建立等全方位治理。包括用户治理、运行操作治理、运要素。和合法性验证。包括应急处理和灾难恢复策略、应急打算、应急打算的实施保障等治理要素。预案，并经过测试演练修订，同时宣传普及。〔含网络〕以及信息系统免遭自然灾难和其他形式的破坏，保证信息系统的实体安全。有关物理环境的选址和设计应遵照相关标准，配备防火、防水、防雷击、防静严格确定设备的合法使用人，建立具体运行日志和维护记录。的网络治理和技术平台。访问、篡改和破坏。主机安全包括效劳器、终端/工作站等在内的计算机设备在操作系统及数据库系统层面的安全。终端/工作站是带外设的台式机与笔记本计算机，效劳器则包括web、文件与通信等效劳器。主机承载着各种应用，是保护信息安全的中坚力气。〔含渗透性测试〕和加固，实时确保主机的强健性。发过程及最终产品的安全性。特定业务的要求；故最终是保护系统的各种业务应用程序的安全运行。应用系统的总体需求打算阶段，应全面评估系统的安全风险，确定系统的访问确立安全效劳机制、开发人员技术要求和操作规程；应用系统的实现阶段，应全程实施质量把握，防止程序后门，削减代码漏洞；在上线运行之前，应充分进展局部功能、整体功能、压力测试，以及系统安全性能、操作流程、应急方案的测试。信息系统处理的各种数据〔用户数据、系统数据、业务数据等〕在维持系统正常运行上起着至关重要的作用。由于信息系统的各个层面〔网络、主机、应用等〕数据库和操作系统、应用程序等供给支持。系统可用的重要内容。应急打算、应急打算的实施保障等治理要素。预案，并经过测试演练修订，同时宣传普及。职责分工信息安全领导小组标准和技术标准确定公司信息安全各有关部门工作职责，指导、监视信息安全工作。信息安全工作组〔包括成立编制小组〕、评审、修订、公布、把握，并监视执行。信息安全治理人员类文件的归档、保管。制度与公布安全工作组组长批准。〕设计、表单设计。全部相关文档需遵循省公司规定的统一格式，编制完后提交信息安全工作组论证。信息安全工作组负责对开发流程进展监控指导，以保证开发质量和进度。文档可行性、可操作性；文档现行状态〔版本、编号