计算机数据库管理规定

1、DDB-QC-KJ-305计算机数据库管理规定版次：1/A1目的为规范丹东银行(以下简称“本行”)信息科技数据进行相应的安全管理， 保证本行数据库的安全。根据GB17859-1999计算机信息系统安全保护等级划 分准则、ISO/IEC TR 13355信息技术安全管理指南、商业银行信息科技风 险管理指引等其他要求特制定本规定。2范围2.1 本规定适用范围包括信息科技所有和数据库相关的安全问题和安全事件。 具体来说包括了数据库相关的安全规范、数据信息的管理及数据备份的安全管理规范。2.2 本规定适用于本行计算机数据库的管理。3术语与定义3.1 访问控制(access control )是一种安全

2、保证手段，即信息系统的资源只 能由被授权实体按授权方式进行访问，防止对资源的未授权使用。3.2 认证 (authentication ) 是：3.2.1 验证用户、设备和其他实体的身份。3.2.2 验证数据的完整性。3.3 解密(decryption)是指从密文中获取对应的原始数据的过程。注：可将密文再次加密，这种情况下单次解密不会产生原始明文。3.4 加密(encryption)通过密码系统把明文变换为不可懂的形式。3.5 完整性(integrity)在防止非授权用户修改或使用资源和防止授权用户不正确地修改或使用资源的情况下，信息系统中的数据与在原文档中的相同，并未遭受偶然或恶意的修改或破坏

3、时所具的性质。3.6 日志(log) 一种信息的汇集，记录有关对系统操作和系统运行的全部事项，提供了系统的历史状况。3.7 恶意代码(malicious code)在硬件、固件或软件中所实施的程序，其目的是执行未经授权的或有害的行动。3.8 最小权限(minimum privilege)主体的访问权限制到最低限度，即仅执行授权任务所必需的那些权利。3.9 口令(password)用来鉴别实体身份的受保护或秘密的字符串。3.10 明文(plaintext)无需利用密码技术即可得出语义内容的数据。3.11 安全等级(security classification)决定防止数据或信息需求的访问的某种

4、程度的保护，同时对该保护程度给以命名。为表示信息的不同敏感度，按保密程度不同对信息进行层次划分的组合或集合。例：“绝密”、“机密”、“秘密”。3.12 可信计算机系统(trusted computer system)提供充分的计算机安全的信息处理系统，它允许具有不同访问权的用户并发访问数据， 以及访问具有不同 安全等级和安全种类的数据。HSM硬件安全模块(Hardware Security Module)NAS 网络附力口存储(Network Attached Storage)SAN 存储区域网络(Storage Area Network)3.13 内部数据信息是指本行在各项业务活动中产生的数

5、据。这些数据即反映了 银行自身的经营状况，也从宏观和微观的不同层面反映了国民经济的运行状况。3.14 外部数据信息指本行为开展各项金融活动而面向全社会收集和存储的数 据。这些数据与银行活动密切相关，对银行做出经营决策、提高经济效益起着至 关重要的作用。4职责与权限4.1 科技开发部4.1.1 负责本行信息系统数据库的安全管理。4.1.2 负责信息数据的备份与存放。4.2 分管行长对本行信息系统数据的安全管理负管理责任。4.3 审计部负责对信息系统数据安全管理的监督与审计。5政策规范安装，及时录入，定期维护，科学备份。6流程图无7风险控制要点详细见风险库。8 内容与要求8.1 数据库安全的管理8

6、.1.1 加固操作系统和网络防止由于系统和网络的漏洞所导致的数据库安全问题，具体规范参见计算机操 作系统及应用软件管理制度、网络安全管理制度。为防止存储设备的物理损 坏导致的影响，对于大型的应用应采用磁盘阵列容错和冗余等措施。8.1.2 数据库初始的安全设置的安全管理8.1.2.1 在数据库的初始配置时，必须禁用默认账号或者改变其相应的密码。8.1.2.2 严格限制对数据库系统文件的读写权限。8.1.3 数据库补丁更新定期检查安全信息站点和数据库软件供应商的网站，一旦出现新的数据库软件的补丁，在可能的情况下测试其有效性，并立即安装。8.1.4 数据库角色分离管理对于数据库系统，本行在安全管理方

7、面采用分立的岗位安全管理体制， 分为核心 系统数据库管理员、前置系统数据库管理员二类按岗位维护数据， 并根据最小授 权原则分别授予他们为完成各自任务所需的权限。8.1.5 数据库用户认证管理8.1.5.1 确保每一个用户账号对于数据库连接来说都是必须的，禁用或删除任何不必要的账号。8.1.5.2 进行账号和口令的安全管理。8.1.5.3 必须严格控制管理员级别的数据库账户。 数据库管理员权限的授予必须 经过严格的授权流程及相应的授权人员的批准， 并且应严格限制在极少数的人员 之中。8.1.5.4 数据库中的密码必须以加密的形式存储。8.1.5.5 数据库的账号和密码在需要通过网络进行传输时，通

8、过加密的方式进 行。8.1.5.6 严格控制或拒绝远程的数据库管理员的访问，或者通过数据库管理系统提供的特殊措施，管理远程管理员登陆。8.1.5.7 如果用户一般通过自己的计算机访问数据库，并且每个用户的系统名和IP地址都是确定的，用户不能从其他的计算机登陆数据库。8.1.5.8 用户访问数据库结束，必须关闭相关的数据库访问的应用程序，断开与 数据库的连接。8.1.6 数据库用户授权8.1.6.1 最小权限原则：本行必须本着“最小权限”原则，从需求和工作职能两方 面严格限制对数据库的访问权限。8.1.6.2 不宜直接为用户赋予特定的访问权限，应通过为用户分配角色来间接控 制用户访问数据库的权限

9、。8.1.6.3 记录所有的权限建立和权限修改的过程。8.1.6.4 根据业务的需要和用户的访问权限，将数据库从逻辑上分割。8.1.6.5 通过对于数据库对象（例如表、视图、存储过程，甚至记录和字段等）的授权来控制数据库的访问。仅授予用户完成工作所需的最小权限。8.1.6.6 当用户的职位发生变更，或者工作需要改变以后，检查用户的所需的角色权限，并作相应的改动，以满足最小权限原则。8.1.6.7 一旦员工离开本行，必须立即删除其用户账户。对于其他的用户，如果 相关的访问不再需要进行，应将相应角色权限收回。8.1.6.8 用户权限的定期检查：管理员必须定期对用户的角色权限进行检查，以保证用户的权

10、限是合理的。检查的时间间隔不能超过6个月。8.1.7 数据库的日志和安全审计1）对于数据库的审计应包括以下内容：a）对于数据库的成功或者不成功的连接。b）数据库的启动和关闭。c）对数据库对象的建立和删除。d）对数据表信息的查看、修改和删除。e）数据库中程序的执行。2）数据库日志中记录的信息应包括各种对数据库表及其他对象的成功及不成功 的访问信息，至少应包括：a）进行操作的用户。b）操作的时间。c）操作的对象。d）进行的操作。3）除了数据库的日志，对于数据库的重要配置文件的修改也应通过日志记录。4）对于重要的数据内容，数据库的审计应包括对记录字段和元素一级的访问， 并且应维护数据的更改日志。更改

11、日志是数据库每次改变的记录文件， 日志包括 原来的值和修改后的值。数据库管理员应可根据日志撤消任何错误的修改。5）通常应用服务器代表用户进行数据库操作。 应用服务器访问数据库时应利用 用户各自的真实账户，而不应使用代码内嵌的账户，使其能够记录特定用户的访 问日志。6）另外，可使用一些第三方的数据库审计或者日志工具， 来提供重要数据日志， 并对其进行审计。7）审计会影响数据库系统的性能，不可用最详细的级别来审计所有的数据库行 为。否则只会使数据库用户的日常使用受到重大影响， 并且审计数据可能会大大 超过数据库中的数据，并超过系统的存储限制。8）对于性能要求较高，数据增长很快的大型应用，根据数据库

12、中的数据的重要 性，确定需要对哪些数据库的对象进行哪些方面的审计。9）审计哪些数据库行为，以及采取哪些审计方法，这些审计策略应根据人员、 可疑行为的变化，或者需要对某些特定内容进行不同层次的检查而进行修改。10）如果存在一些时间段，用户不会进行数据库的访问，应对于这些时间的数 据库连接进行审计。这段时间的数据库访问可能代表了不正常的用户访问。11）数据库审计管理人员应定期（每周）通过工具自动或者手工分析审计日志， 来发现已出现的或者潜在的数据库安全问题。8.1.8 数据库的加密管理数据库加密可为数据提供进一步的安全性，即使这些数据被非授权用户获得，他们也无法了解数据的真正内容。 数据库中数据加

13、密的实现方式，一般分为 两种方式：8.1.8.1 使用数据库本身的加密机制当数据存储到数据库时，数据库管理系统将其进行加密，当数据从数据库读 取时，将其进行解密。8.1.8.2 利用数据库外部的应用进行加密将加密和解密的工作转移到处理数据的应用中，数据在存储到数据库前就已 通过独立的应用进行了加密。8.1.8.3 对于数据库加密机制的管理a）严格管理密钥和加解密工具的访问手段。b）密钥的多种存放方式。8.2 数据信息管理8.2.1 数据信息的管理要求8.2.1.1 重要数据分级：一级：核心系统数据。二级，前置数据。三级，外围数 据及柜面前置数据。8.2.1.2 内部数据信息中的客户信息要严格为

14、储户保密，任何人不得泄露给第三方。8.2.1 外部数据信息未经领导批准不得对外传播。8.2.2 数据录入8.2.2.1 无论接受客户委托输入的数据，还是用于信贷分析的数据，都要严格复 核。8.2.2.2 各支行、营业部柜员向计算机录入数据时，必须注意核对和校验，以保 证这一环节的准确无误。8.2.3 数据修改8.2.3.1 计算机使用人员只可修改授权范围内的数据信息。8.2.3.2 业务部门需要修改综合业务数据时，须填写业务系统后台处理申请 单，由业务部门负责人签字、盖章后提交给运营管理部或科技开发部。8.2.4 数据的安全和维护8.2.4.1 本行业务数据不得擅自拷贝提供给外单位或个人，如因

15、非法拷贝而引起的版权纠纷，由拷贝人承担全部法律责任。同时追究其所在部门负责人的领导责 任。8.2.4.2 数据库管理员不得擅自进行数据录入、修改和更新，如果确需对数据实 施维护或对数据库优化，应经科技开发部负责人批准后方可实施。8.2.4.3 数据管理员要做好数据库系统用户口令的保密工作，口令长度不得小于6位，口令必须包含以下每一部分：字母A-Z或a-z;数字09;特殊字符，做到口令定期更换，并填写中心机房密码修改登记薄。8.2.4.4 数据库管理员调离该岗位时应参照计算机安全规定执行，口令、密 钥必须及时更新。8.2.4.5 严格按照操作权限操作，严禁越权操作，各种操作人员要对自己用户名 下

16、的所有操作负责。8.2.4.6 为防止意外事故的发生，要定期按计算机系统安全应急预案进行演练、实施。8.2.4.7 数据库运行一段时间后，由于记录的不断增、删、改，会使数据库的物 理存储变坏，降低了数据库存储空间的利用率和数据的存取效率。数据库管理员 要定期对数据库进行优化。8.2.4.8 数据库系统的口令由各岗位维护人员掌管，操作系统口令分段掌管，并 定期更换。8.2.4.9 数据库管理员要经常查看数据库日志文件，查看数据库服务器运行是否正常，是否有事物回滚或表损坏等警告产生。8.2.4.10 对于不同用户授予不同的权限，使其只能访问授权范围内的数据。8.2.4.11 为了确保数据信息安全、

17、保密地进行传输，对传输的数据要进行加密 处理。8.3数据备份管理8.3.1 数据备份的主要方式8.3.1.1 完全备份、增量备份和差异备份1）完全备份将服务器上的所有数据都进行备份。基于备份的数据量和频率，完全备份可能需要比较大的存储空间以及要花费较多的时间。但是它可较快地进行恢复。2）增量备份只备份前一次备份以后的数据变化。该方式每次备份花费的时间较少，但需要较多的时间进行恢复工作。3）差异备份则备份前一次完全备份以后的变动数据。该方法比完全备份所花的时间要少，而需要的恢复时间要少于增量备份。8.3.1.2 传统备份和异地备份1）传统的备份方式a）本地磁盘备份：在用户自己的计算机上的不同的磁

18、盘位置，存放备份数据，但如果本地计算机出现故障，则无法恢复数据。b）可移动存储器备份：将数据备份到软盘或者大容量的移动存储设备上。c）网络文件服务器备份：在LAN或者其它的网络服务器的磁盘上备份数据，使得本地数据损坏后可利用网络的备份进行恢复。d）磁带和磁带库备份：是大容量的数据存储和备份方式，也是各种类型本 行的传统的备份方式。在自动磁带备份和磁带库管理应用的支持下，是性价比较 高的备份方式。e）光盘和光盘库备份：不可擦写的备份介质，在光盘管理库及相应备份应 用的支持下，也是一种性价比较高的备份方式。f）冗余和容错：主要通过服务器硬件的冗余和容错功能来进行，包括使用 磁盘阵列（RAID）、集

19、群、本地的连续的磁盘复制、建立原始数据的镜像等。该方 法使得本行在主服务器或者磁盘出故障后，能够不间断业务操作。该方法可保存重要数据的最新的备份，但如果原始数据被删除或者遭到破坏，则备份数据也受 到同样的破坏。需要其他备份方式来保证数据的恢复。g）数据库复制：与磁盘复制类似，通过将主数据库的数据复制到另外一个 备份数据库，来保证数据库的应用在一台服务器遇到故障的情况下可继续运行。 2）异地备份方式a）异地存放的磁带备份：定期进行磁带备份，然后用手工的方式将备份的 磁带转移到远端的、安全的地点。b）异地复制：通过使用复制软件和网络连接，将数据从原始的服务器复制 到异地的远程设施上。该方法可在异地

20、保存重要数据的最新的备份，但是软硬件 成本比较高；同时如果原始数据被删除或者遭到破坏， 则备份数据也受到同样的 破坏。需要其他备份方式来保证数据的恢复。需要较大的网络带宽。c）远程日志：对重要数据的更新进行监控与跟踪，并将更新日志实时通过 网络传送到备份系统，备份系统则根据日志对备份数据进行更新。d）管理联机备份服务：通过网络将数据复制到异地的数据中心，然后该数 据中心定时将数据存储到磁带上，并将它们存放在安全的地点。利用Web面或 者相应的软件，根据最新的备份数据及磁带副本，通过网络进行数据备份及恢复。 可从第三方服务供应商处获得该种备份服务，但同样需要很大的网络带宽。8.3.1.3 其他备

21、份方式1）磁盘阵列冗余备份磁盘阵列冗余备份是指利用磁盘阵列的技术手段，将数据同时写在两个（或多个）物理不同的磁盘上。当某一个磁盘发生故障时，数据不会因此而丢失，保 证了数据的安全性。由于该技术成熟度高，且实施成本较低，因此目前被广泛的 应用。2)网络附加存储(NAS: Network Attached Storage)NAS Network Attached Storage ,网络附加存储）的典型组成是使用 TCP/IP 协议的，专为数据共享而设计的以太网共享存储器。简单的说，NAS可看作通过网线连接的磁盘阵列，它具备了磁盘阵列的所有主要特征：高容量、高效能、高 可靠。NAS等存储设备通过标准

22、的网络拓扑结构连接到一群计算机上，所以 NAS 可无需服务器直接上网，不依赖通用的操作系统，而是采用一个面向用户设计的、 专门用于数据存储的简化操作系统。其次NAS是真正即插即用的产品，并且物理位置灵活，可放置在工作组内，也可放在其它地点与网络连接。3）存储区域网络（SAN: Storage Area Network）SAN （Storage Area Storage ,存储区域网）是一个高速的子网，这个子网 中的设备可从主网卸载流量。通常SAN由RAID阵列连接光纤通道（FibreChannel）组成，SANffi服务器和客户机的数据通信通过 SCSI命令而非TCP/IP。 存储区域网络（S

23、AN）是独立于服务器网络系统之外，几乎拥有无限存储能力的高 速存储网络。这种网络采用高速的光纤通道作为传输媒体，以FC（Fiber Channel,光通道）+SCSI的应用协议作为存储访问协议，将存储子系统网络化，实现了真 正高速共享存储的目标。SAN多部署与电子商务应用、大量的数据备份和其它 需要在网上频繁地存储和传输的业务中；SANRT从主网上卸掉大量的数据流量， 可使以太网从数据拥塞中解脱出来。8.3.2 数据备份获取、周期、转移与存储8.3.2.1 数据获取过程的管理1）应确保可靠和正确地获得了需要备份的数据。对于某些数据库，以及一些应 用的数据服务，需要备份多处的数据，否则无法进行恢

24、复。2）应根据业务的需要确定相应的数据备份频率。3）应检验并确保获取备份数据的过程是可靠的：备份程序必须进行正确的配 置；备份驱动器（例如磁带驱动器）定期（每月）进行维护；备份介质（例如磁 带）定期（每周）检查其是否正常，并定期更换；确保进行备份的人员经过了培 训并具备足够的技能；必须有备份人员可靠的联系方式；当备份人员暂时无法工 作时，应有其他人可完成他们的工作。8.3.2.2 本地数据备份的周期与方式1）对于存放在用户本地个人计算机的和业务相关的重要的数据， 该计算机的用 户应每周备份这些数据。用户可通过共享的网络服务器进行备份， 根据数据库的 大小选择全量备份或增量备份。2）对于服务器上

25、的重要数据，相应的系统管理员或专门的备份人员应定期进行 备份，建议使用磁带库的方式进行备份， 每周进行一次完全备份，每天进行一次 增量备份。a）数据管理员负责本行年终结转前、后的数据备份工作，备份数据存在磁 带上，保存期二年。3）敏感、重要的信息的备份必须存放在离原始数据较远的异地，并且该地点必须有环境保护和访问控制措施。4）所有重要信息和敏感信息的备份必须采用加密的形式进行。5）对于不能停机的重要业务系统b）利用一台备用（standby）的镜像服务器实现双机热备份，把服务停止的可 能性降到最低。c）同时这些数据和服务器的相应管理员，定期对这些业务系统的数据进行异地备份。使用磁带库的方式进行备

26、份，每周进行一次完全备份，每天进行一次 增量备份。8.3.2.3 数据转移过程的管理1）确保需要异地存储的数据尽快（至少在一天内）从本地转移出去，留在本地 的备份数据与原始数据同样会遭受物理或者其他的安全威胁。2）如果需要物理转移备份介质，对这些媒体进行了适当的处理，包括贴标签、 合适的安置来防止转移过程中的日照、磁场和液体对存储介质的危害等。如果通 过电子方式传输备份数据，使用加密和安全的协议。3）确保转移方式一直可用。物理的转移可能由于运输工具的故障、人员以及交 通的问题而受到影响。电子数据转移可能受带宽和网络故障的限制。8.3.2.4 数据存储的管理1）备份数据的存储地点具有防入侵的措施

27、，并且能够防范环境的威胁，包括保 险柜应具有防火、防热、防潮、防尘、防磁、防盗功能。本行业务数据和管理数 据统一存放中心机房的保险柜中，由数据库管理员填写数据备份登记薄进行 统一管理。具体内容参见计算机中心机房安全管理规定、区域安全管理规定。2）备份数据在需要的情况下可在任何时候容易和快速地获得，并且可容易地定位所需要的数据。3）对于备份的数据，在保存期间不被修改，并且只能由专门的人员进行读取。8.3.3 备份介质的转移和销毁8.3.3.1 数据库管理员负责重要数据异地存放的入库和管理，并填写数据备份 登记薄。8.3.3.2 凡超过数据保存期的盘带，必须经过特殊的数据处理，否则不能视同空 白盘

28、带。凡不能正常记录的数据盘带，经负责人批准由数据库管理员进行销毁， 并填写数据销毁登记薄。8.3.4 建立合理的备份体系8.3.4.1 有专门的人员负责数据的备份，进行额外检查以确保数据的正确备份和 归档。8.3.4.2 定期（每周）检查原始数据，防止原始数据的错误传播到备份数据中。8.3.4.3 把每次进行备份的情况都通过电子文档记录下来。8.3.4.4 定期测试数据备份和恢复方案，确保数据能够在预定的时间内恢复，并 基于测试结果改进备份方案。8.3.4.5 使用的计算机硬件、软件和设备应尽量标准化，使得备份和恢复能够更 方便地进行。8.3.4.6 备份设备必须与用来进行恢复的操作系统和应用

29、相兼容，以免将来无法从备份数据恢复。9检查与监督9.1 科技开发部负责对本文件的可操作性、适宜性进行日常监督与检查，必要时对文件进行更改，确保文件适用，具体执行文件控制程序o9.2 审计部对该文件的执行情况，相关登记簿登记的完整性等进行集中检查、 督促整改。9.3 合规管理部负责每年一次对该规章制度的合规性进行审查，并督促整改。10支持性文件10.1 外部合规文件【国内相关标准】10.1.1 中华人民共和国国家安全法10.1.2 中华人民共和国计算机信息系统安全保护条例10.1.3 中华人民共和国计算机信息网络国际联网管理暂行规定10.1.4 中华人民共和国保守国家秘密法10.1.5 维护互联

30、网安全的决定10.1.6 中华人民共和国计算机信息系统安全保护条例10.1.7 中国信息安全产品测评认证用标准目录(一)10.1.8 国土资源部信息网络安全管理规定10.1.9 安全策略分析报告一样例10.1.10 电子计算机机房施工及验收规范 sj10.1.11 电子计算机机房设计规范 GB50174-199310.1.12 网络国际联网管理暂行规定10.1.13 计算机信息系统国际联网保密管理规定10.1.14 计算机信息系统安全专用产品分类原则(GA163-1997)10.1.15 计算机信息系统安全产品部件(安全功能检测GA216-1-1999)10.1.16 计算机信息系统安全保护等

31、级划分准则GB 17859-199910.1.17 计算机信息系统安全等级保护操作系统技术要求(GAT388-2002)10.1.18 计算机信息系统安全等级保护数据库管理系统技术要求(GAT389-2002)10.1.19 计算机信息系统安全等级保护管理要求(GAT391-2002)10.1.20 计算机信息系统安全等级保护网络技术要求(GAT387-2002)10.1.21 计算机信息系统安全等级保护通用技术要求(GAT390-2002)10.1.22 计算机软件保护条例10.1.23 计算站场地安全要求(GB9361_198810.1.24 计算站场地技术条件(GB2887-198910

32、.1.25 ISO/IEC TR 13355信息技术安全管理指南10.1.26 商业银行信息科技风险管理指引10.1.27 银行卡联网联合安全规范10.1.28 建筑内部装修设计防火规范(GB50222_9510.1.29 建筑物防雷设计规范(GB50057_9410.1.30 建筑设计防火规范10.1.31 火灾自动报警系统设计规范(GBJ116_88【国外相关标准】10.1.32 RFC 219610.1.33 BS 7799 (UK)10.1.34 IT Baseline Protection Manual (Germany)10.1.35 OECD Guidelines10.1.36 ISO 15408 ("Common Criteria")10.1.37 Rainbow Series ("Orange B