XXX 单位数据安全管理规范V1.020XX 年 XX 月 XX 日目录1目的........................................................................................................................12适用范围................................................................................................................13数据库安全............................................................................................................13.1 身份鉴别......................................................................................................13.2 访问控制......................................................................................................13.3 日志审计......................................................................................................13.4 安全传输......................................................................................................23.5 资源利用......................................................................................................23.6 安全管理......................................................................................................24数据加密要求........................................................................................................34.1 加密技术选择..............................................................................................34.2 加密管理......................................................................................................35数据备份恢复........................................................................................................35.1 数据管理......................................................................................................35.2 数据备份实施..............................................................................................45.3 数据恢复与演练..........................................................................................45.4 备份存储管理..............................................................................................56附则........................................................................................................................51目的为保障关键数据安全,修订本文档,从数据库本身、数据加密、数据备份恢复三个方面对数据安全进行规范。2适用范围本文档适用于 XXX 单位信息系统数据管理。3数据库安全3.1身份鉴别1)应对数据库系统中的用户进行标识,用户标识应遵守唯一性原则,并将用户标识与审计相关联。2)应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。3)应在登录过程中确保鉴别信息是保密的,不易伪造的。3.2访问控制1)应对数据库系统的访问设定访问控制规则,减少非授权访问。2)数据库系统应按照最小权限原则对不同用户进行授权,保证各用户权限最小化。3)数据库系统的安装目录和文件的访问权限应进行最小化设置,防止未授权用户访问相关资源。3.3日志审计1)应为数据库系统建立独立的日志审计系统,定义与数据库安全相关的日志审计事件记录。2)能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏。保护审计数据,严格限制未经授权的用户访问。 1 / 753.4安全传输1)对数据库系统进行管理时,应采取一定的安全机制,防止鉴别信息和管理数据在网络传输过程中被窃听。2)数据库系统与第三方系统进行数据交互时,应采用加密措施保护数据信息传输安全。3.5资源利用1)应对数据库系统的最大并发会话连接数进行限制,防止受到拒绝服务攻击。2)应对数据库系统内单个帐户的多重并发会话进行限制,并对会话超时进行重鉴别控制。3)应对数据...
