数据和文档安全管理规范vfd样本

中华人民共和国石油信息安全原则编号：中华人民共和国石油天然气股份有限公司数据和电子文档安全管理规范（审视稿）版本号：V3审视人：王巍中华人民共和国石油天然股份有限公司前言随着中华人民共和国石油天然气股份有限公司（如下简称“中华人民共和国石油”）信息化建设稳步推动，信息安全日益受到中华人民共和国石油广泛关注，加强信息安全管理和制度无疑成为信息化建设得以顺利实行重要保障。中华人民共和国石油需要建立统一信息安全管理政策和原则，并在集团内统一推广、实行。本规范是根据中华人民共和国石油信息安全现状，参照国际、国内和行业有关技术原则及规范，结合中华人民共和国石油自身应用特点，制定适合于中华人民共和国石油信息安全原则与规范。目的在于通过在中华人民共和国石油范畴内建立信息安全有关原则与规范，提高中华人民共和国石油信息安全技术和管理能力。信息技术安全总体框架如下（change-highlightthecorrespondingone）：整体信息技术安全架构从逻辑上共分为7个某些，分别为：物理环境、硬件设备、网络、操作系统、数据和电子文档、应用系统和通用安全管理原则。图中带阴影方框中带书名号为单独成册某些，共有13本《规范》和1本《通用原则》。对于13个《规范》中具备一定共性内容咱们整顿出了7个《原则》横向贯穿整个架构，这7个《原则》组合也根据了信息安全生命周期理论模型。每个《原则》都会对所有《规范》中有关涉及到内容产生指引作用，但每个《原则》应用在不同《规范》中又会有相应不同详细内容。咱们在行文上将这六个原则组合成一本通用安全管理原则单独成册。全文以信息安全生命周期办法论作为基本指引，《规范》和《原则》内容基本都依照防止——〉保护——〉检测跟踪——〉响应恢复理论基本行文。随着公司信息化建设不断进一步，公司对于各类信息需求也越来越急迫，同步，公司内部各种信息数据重要限度也越来越高。有时由于公司信息数据丢失或破坏对于一种公司来说影响限度是无法预计，也许会直接导致一种公司失败。而保护公司信息最直接最核心办法就是对于信息各种电子化载体安全控制，例如电子电子文档或存储在数据库中数据。因而本规范就是针对该类数据和电子文档安全上考虑，在上图——信息安全总体框架中以深色底色标注某些。为加强计算机系统信息安全，1985年美国国防部刊登了《可信计算机系统评估准则》（缩写为TCSEC），它根据解决信息级别采用相应对策，划分了4类7个安全级别。依照各类、级安全规定从低到高，依次是D、C1、C2、B1、B2、B3和A1级。在中华人民共和国市场上国外数据库安全级别为C2级，国外更高档别数据库是限制对中华人民共和国出口（当前通用原则(CC：CommonCriteria)已经被国际原则化组织接受，代替TCSEC来评价计算机安全级别，通用原则EAL3级大体与C2级功能相称）。但是中华人民共和国当前大型公司使用数据库系统，涉及中华人民共和国石油内部使用，大多数还是国外厂商生产数据库产品，在无法购买到更安全技术状况下，需要通过其她安全管理办法来加强数据库安全特性。本规范由中华人民共和国石油天然气股份有限公司发布。本规范由中华人民共和国石油天然气股份有限公司科技与信息管理部归口管理解释。起草部门：中华人民共和国石油制定信息安全政策与原则项目组。说明在中华人民共和国石油信息安全原则中涉及如下概念：组织机构中华人民共和国石油（PetroChina）指中华人民共和国石油天然气股份有限公司有时也称“股份公司”。集团公司（CNPC）指中华人民共和国石油天然气集团公司有时也称“存续公司”。为区别中华人民共和国石油地区公司和集团公司下属单位，但提及“存续某些”时指集团公司下属单位。如：辽河油田分公司存续某些指集团公司下属辽河石油管理局。计算机网络中华人民共和国石油信息网（PetroChinaNet）指中华人民共和国石油范畴内计算机网络系统。中华人民共和国石油信息网是在中华人民共和国石油天然气集团公司网络基本上，进行扩充与提高所形成连接中华人民共和国石油所属各个单位计算机局域网和园区网。集团公司网络（CNPCNet）指集团公司所属范畴内网络。中华人民共和国石油某些地区公司是和集团公司下属单位共用一种计算机网络，当提及“存续公司网络”时，指存续公司使用网络某些。主干网是从中华人民共和国石油总部连接到各个下属各地区公司网络某些，涉及中华人民共和国石油总部局域网、各个二级局域网（或园区网）和连接这些网络专线远程信道。有些单位通过拨号线路连接到中华人民共和国石油总部，不是运用专线，这样单位和所使用远程信道不属于中华人民共和国石油专用网主干网构成某些。地区网地区公司网络和所属单位网络总和。这些局域网或园区网互相连接所使用远程信道可是专线，也可是拨号线路。局域网与园区网局域网普通指，在一座建筑中运用局域网技术和设备建设高速网络。园区网是在一种园区（例如研究院园区、管理局基地等）内多座建筑内各种局域网，运用高速信道互相连接起来所构成网络。园区网所运用设备、运营网络合同、网络传播速度基本相似于局域网。局域网和园区网普通都是顾客自己建设。局域网和园区网与广域网不同，广域网不但覆盖范畴广，所运用设备、运营合同、传送速率都与局域网和园区网不同。传播信息信道普通都是电信部门建设。二级单位网络指地区公司下属单位网络总和，也许是局域网，也也许是园区网。专线与拨号线路从连通性划分两大类网络远程信道。专线，指数字电路、帧中继、DDN和ATM等经常保持连通状态信道；拨号线路，指只在传送信息时才建立连接信道，如电话拨号线路或ISDN拨号线路。这些远程信道也许用来连接不同地区局域网或园区网，也也许用于连接单台计算机。石油专网与公网石油专业电信网和公共电信网简称。最后一公里问题建设广域网时，顾客局域网或园区网连接附近电信部门信道最后一段距离连接问题。这段距离普通不大于一公里，但也有不不大于一公里状况。为简便，同称为最后一公里问题。涉及计算机网络术语和定义请参见《中华人民共和国石油局域网原则》。目录第1章 数据和电子文档安全管理概述 71.1 概述 71.2 目的 71.3 规范合用范畴 71.4 规范引用文献或原则 91.5 术语和定义 10第2章 电子文档安全管理规范 122.1 电子文档重要安全问题 122.1.1 未经授权访问则 122.1.2 人员恶意袭击 122.1.3 授权顾客不当操作 122.1.4 电子文档分散存储 132.1.5 外部因素影响 132.2 电子文档安全管理规范 142.2.1 电子文档建立管理 142.2.2 电子文档更改管理 142.2.3 电子文档归档管理 152.2.4 电子文档保管管理 152.2.5 电子文档使用管理 162.2.6 电子文档备份管理 162.2.7 电子文档定期检查 172.3 电子文档技术保护手段 172.3.1 加固计算机系统和网络 172.3.2 加强对于电子文档认证管理 182.3.3 加强对于电子文档授权管理 182.3.4 电子文档加密 212.3.5 加强对电子文档日记审计管理 222.3.6 检测恶意代码 23第3章 数据库安全管理规范 243.1 常用数据库安全问题 243.2 数据库安全管理规范 263.2.1 加固操作系统和网络 263.2.2 数据库设立安全管理 263.2.3 数据库顾客认证管理 273.2.4 数据库顾客授权管理 283.2.5 数据库日记和安全审计 293.2.6 数据库加密管理 313.2.7 人员培训管理 33第4章 数据备份管理规范 344.1 数据备份重要方式 344.1.1 完全备份、增量备份和差别备份 344.1.2 老式备份和异地备份 344.1.3 其她备份方式 364.2 中华人民共和国石油数据备份规范 384.2.1 对数据备份规定 384.2.2 建立合理备份体系 394.2.3 数据备份过程管理 394.2.4 中华人民共和国石油备份方式有关规范 41附录1 参照文献 42附录2 本规范用词阐明 43数据和电子文档安全管理概述概述随着计算机和通讯技术迅速发展，电子数据信息已经是公司中非常重要资产之一，电子数据信息重要性也越来越受到人们关注。数据信息体现形式普通分为两种，一种以文献形式存在，另一种存储在数据库中。防止数据遭受未经授权访问、恶意读取和破坏以及非法拷贝等等状况发生，是保护信息安全最后目。信息安全其她所有保护方式如物理环境和硬件保护，网络和操作系统保护，应用系统保护最后目都是保护数据安全。因而本规范重要针对数据自身进行安全规范和管理，通过对数据两种重要体现形式，电子文档和数据库进行保护并从数据备份角度对数据和电子文档进行安全有关规范。目的本规范目的为：通过对数据和电子文档进行相应安全管理规范，保证当前中华人民共和国石油数据库和电子文档安全。使得各种电子文档系统和数据库系统免遭未经授权访问，从而保证中华人民共和国石油有关数据信息安全。合用范畴本套规范合用范畴涉及了所有和电子文档或数据库有关安全问题和安全事件。详细来说涉及了电子文档有关安全规范、数据库有关安全规范和数据备份安全管理规范。本规范重要讨论了和信息系统有关数据和电子文档安全，其她和信息系统无关信息或文献不在本规范讨论范畴之内。本规范面向所有和电子文档管理或数据库管理有关人员。规范引用文献或原则下列文献中条款通过本原则引用而成为本原则条款。本原则出版时，所示版均为有效。所有原则都会被修订，使用本原则各方应探讨使用下列原则最新版本也许性。GB17859-1999计算机信息系统安全保护级别划分准则GB/T9387-1995信息解决系统开放系统互连基本参照模型（ISO7498:1989）GA/T391-计算机信息系统安全级别保护管理规定ISO/IECTR13355信息技术安全管理指南NIST信息安全系列——美国国标技术院英国国家信息安全原则BS7799信息安全基本保护ITBaselineProtectionManual(Germany)BearingPointConsulting内部信息安全原则RUSecure安全技术原则信息系统安全专家丛书CertificateInformationSystemsSecurityProfessional

术语和定义访问控制accesscontrol一种安全保证手段，即信息系统资源只能由被授权实体按授权方式进行访问，防止对资源未授权使用。授权authorization予以权利，涉及信息资源访问权授予。审计audit为了测试出系统控制与否足够，为了保证与已建立方略和操作相符合，为了发现安全中漏洞，以及为了建议在控制、方略中作任何指定变化，而对系统记录与活动进行独立观测。(GB9387-95)认证authenticationa.验证顾客、设备和其她实体身份；b.验证数据完整性。解密decryption从密文中获取相应原始数据过程。注：可将密文再次加密，这种状况下单次解密不会产生原始明文。加密encryption通过密码系统把明文变换为不可懂形式。完整性integrity在防止非授权顾客修改或使用资源和防止授权顾客不对的地修改或使用资源状况下,信息系统中数据与在原文档中相似，并未遭受偶尔或恶意修改或破坏时所具性质。日记loglog一种信息汇集，记录关于对系统操作和系统运营所有事项，提供了系统历史状况。恶意代码maliciouscode在硬件、固件或软件中所实行程序，其目是执行未经授权或有害行动。最小权限minimumprivilege主体访问权限制到最低限度，即仅执行授权任务所必须那些权利。口令password用来鉴别实体身份受保护或秘密字符串。明文plaintext无需运用密码技术即可得出语义内容数据。安全级别securityclassification决定防止数据或信息需求访问某种限度保护，同步对该保护限度给以命名。为表达信息不同敏感度，按保密限度不同对信息进行层次划分组合或集合。例：“绝密”、“机密”、“秘密”。可信计算机系统trustedcomputersystem提供充分计算机安全信息解决系统，它容许具备不同访问权顾客并发访问数据，以及访问具备不同安全级别和安全种类数据。HSM硬件安全模块HardwareSecurityModuleNAS网络附加存储NetworkAttachedStorageSAN存储区域网络StorageAreaNetwork电子文档安全管理规范电子文档重要安全问题在当前多顾客系统和网络普及状况下，中华人民共和国石油电子文档安全问题也涉及到各种方面，当前重要安全问题如下：未经授权访问重要电子文档被未经授权顾客访问到（阅读、修改或删除），也许导致信息泄漏。人员恶意袭击外部入侵者或者内部有相应权限人员，出于某种恶意目对电子文档内容进行篡改。恶意代码袭击也许使电子文档无法使用。授权顾客不当操作虽然对于顾客访问权限做了严格限制，但是某些重要电子文档还是有也许被其她人获得。例如顾客可移动存储设备遗失，或由于管理员一时疏忽，导致访问权限错误。在这种状况下，需要额外机制来保证这些信息内容不被非法读取，可采用手段有电子文档加密、电子文档口令设立等。误操作导致重要文献被删除或者磁盘被格式化。在文献复制过程中，由于误操作将同名文献覆盖。在电子文档修改过程中，由于顾客误操作，使得原先内容完整电子文档丢失。电子文档分散存储重复存储占用空间——同一种电子文档在各种共享文献存储服务器上存在，同步每个顾客处有电子文档各种历史版本，导致磁盘空间挥霍。版本不一致性——不同顾客处同一种电子文档，由于没有及时更新等因素，导致在不同顾客处保存同一种电子文档版本不一致，并且包括不同内容。内容不一致性——各种顾客各自在本地对同一电子文档进行了不同修改，导致内容不一致。外部因素影响存储电子文档存储设备损坏，导致电子文档损坏或丢失。在火灾、地震或者恐怖事件等特殊状况下，对数据和电子文档导致破坏。

电子文档安全管理电子文档建立、更改、归档、保管、使用、备份等各个环节，均有信息更改、丢失也许性，建立并执行一套科学、合理、严密管理制度，从每一种环节消除信息失真隐患，对于维护电子文档原始性、真实性十分重要。电子文档管理不但注重每个阶段成果，也要注重每项工作详细过程，并把这些过程一一记录下来。其中关于维护信息安全面重要规定为：电子文档建立管理重要电子文档制作过程应责任分明。每个重要电子文档都必要有重要负责人，并对负责电子文档负有全责。重要电子文档合伙人员必要清晰界定，并严格划分参加人员职责。重要电子文档建立过程必要记录下来，并清晰记录每个参加人员职责和工作状况。电子文档更改管理重要电子文档一经定稿禁止进行修改，除非通过必要审批程序。所有重要电子文档变更都必要记录在案。在对于重要电子文档修改过程中，应保存电子文档各个历史版本。可采用专用电子文档管理软件自动以便管理电子文档版本。对于十分重要电子文档应使用专用电子文档管理软件进行安全管理，以保证电子文档版本和迁入迁出变更都被自动记录在案。并在电子文档更改后自动告知该电子文档管理员和该电子文档所有者。电子文档归档管理电子文档归档时应进行全面、认真检查。电子文档本来所有者应保证内容完整、真实可靠。必要保证读取电子文档软件也进行了归档。必要记录电子文档元数据，即电子文档阐明、构造和上下文关系等。应记录电子文档业务和行政方面背景数据。电子文档负责人必要指定电子文档保存期限，并且该保存期限不与有关合同、法规以及中华人民共和国石油特殊规定相违背。归档负责人也应检查电子文档内容、拟定其与否是最后版本。电子文档如有相应纸质电子文档或其她载体电子文档，必要保证内容一致。检查电子文档载体物理状态、通过防病毒程序检查与否存在病毒。对于特殊电子文档，宜将其打印成纸质电子文档或制成缩微品进行归档。电子文档保管管理必要使用可靠存储媒体保管电子文档。所有归档电子文档应进行写保护解决，使之处在只读状态。因软硬件平台发生变化而对电子文档进行格式转换时，应防止转换过程中信息变化。对保存电子文档应依照其重要限度定期（每3个月）进行安全性、有效性检查，发现载体和信息有损伤时，应及时采用办法，进行修复。保证电子文档保存地点物理安全，尽量将重要电子文档保存在物理条件较好区域如机房或专用资料存储室等。详细内容参见《机房安全管理规范》、《区域安全管理规范》。电子文档使用管理电子文档入库载体不得外借，只能以拷贝形式提供。重要电子文档借阅必要通过批准，电子文档借阅者和负责人应对电子文档借阅进行确认。对于保密级别高电子文档，只得在指定地方阅读或者进行其他解决，不得提供相应拷贝。电子文档使用者在使用过程中应对电子文档安全负责，防止泄密和数据损失。对于重要以及非常敏感电子文档，应提供防止再拷贝技术办法。除公开发行电子出版物外、对其他借出电子文档拷贝必要准时回收。电子文档借阅者和负责人应对电子文档回收进行确认。应记录所有电子文档使用状况，涉及载体类型、数量、使用时间、使用人员、最后回收期限及双方负责人员。采用网络传播等方式时，必要对重要电子文档进行加密。对于回收电子拷贝应进行内容消除解决。电子文档备份管理参见本规范第四章“数据备份管理规范”。电子文档定期检查应每年一次，采用等距抽样或者随机抽样方式进行定期检查，样品数量不应少于10%应进行外观检查，例如确认载体表面与否有物理损坏或变形，外表涂层与否清洁及有无霉斑。应进行逻辑检测，采用有关软件对载体上信息进行读写校验。发既有出错载体，必要进行有效修正或更新。应建立相应维护管理电子文档，对电子文档检测、维护、拷贝等操作过程进行记录，避免发生人为误操作或不必要重复劳动。应为每一份重要电子文档建立必要记录，记载电子文档建立、修改、使用状况。应通过记录检查电子文档修改历史，拟定电子文档各次修改负责人。应通过检查记录，保证电子文档真实性。电子文档技术保护手段加固计算机系统和网络应防止由于系统和网络漏洞导致电子文档安全问题，详细规范参见《操作系统安全管理规范》、《网络安全管理规范》。为防止由存储设备物理损坏导致危害，应对重要电子文档采用磁盘阵列容错和冗余等办法。加强对于电子文档认证管理操作系统必要设立相应认证手段进入操作系统认证，是保护电子文档安全第一道屏障。无论是单顾客操作系统还是多顾客操作系统，必要可以提供操作系统进入认证控制。这种控制往往是通过顾客口令方式来进行。对于移动设备，往往还提供了额外认证手段。单顾客操作系统必要设立CMOS口令；多顾客操作系统每个顾客必要设立各自口令；且口令必要严格遵守有关口令管理规范，详见《口令管理原则》。在不使用系统时候，必要锁定计算机或者退出系统。对于操作系统管理详见《操作系统安全管理规范》，保证操作系统安全，从而间接地保护了基于操作系统有关电子文档。电子文档自身设立相应认证手段对于重要电子文档应对其自身设立相应认证机制，常用办法是对于电子文档进行加密以保证电子文档不会被未经授权顾客打开。如果采用口令方式进行加密，应保证口令设立符合《口令管理原则》中相应规范。加强对于电子文档授权管理文献系统访问权限对于多顾客系统，宜对于特定目录和文献，设立特定访问权限。允许设立涉及两方面内容：容许哪些组或顾客对文献夹、文献和共享资源进行访问；获得访问允许组或顾客可进行什么级别访问。访问允许权限设立不但合用于本地计算机顾客,同样也合用于通过网络共享文献夹对文献进行访问操作。网络共享文献夹认证和授权除非特别必要，否则禁止在个人计算机上设立网络文献夹共享。对于网络共享文献夹，必要严格限制顾客对文献夹访问权限，只对必要进行访问顾客开放访问权限。网络共享文献夹必要设立口令。对于其中重要电子文档，必要进行加密。访问权限普通原则权限建立功能分离原则：系统必要将系统管理员和普通顾客功能清晰地区别。系统管理员可分派访问权限、监督顾客访问操作，并在必要状况下取消顾客相应权限。授权控制：初始权限由顾客身份及所属组织来定义。对于顾客基本权限修改必要通过该顾客上级领导批准。系统管理员负责控制授权过程。最小权限原则：一方面予以主体"必不可少"权限，这就保证了所有主体都能在所赋予权限之下完毕所需要完毕任务或操作；另一方面，它只予以主体"必不可少"权限，这就限制了每个主体所能进行操作。缺省目录和电子文档访问权限：定义相应配备文献，顾客自己文献缺省应不能被其她人读、修改和删除。每个顾客必要仔细考虑自己文献可被哪些人访问，并且容许她们执行操作。顾客组访问：在必要状况下，可通过定义组来进行数据访问。这些顾客组应通过业务单元、地理位置、项目、职责或者功能来定义。电子文档所有者拟定有关组访问权限。缺省回绝访问：如果一种计算机或者网络访问控制系统工作不正常，那么应最小化其上所有顾客访问权限。权限管理访问授权管理：对于任何重要电子文档访问，必要预先得到该电子文档所有者授权，并且授予权限仅能使她们“懂得电子文档内容或者做相应操作”（最小权限原则）。有关访问记录必要依照中华人民共和国石油规定，保存相应时间，并且符合相应法规。顾客权限定期检查：电子文档管理者或所有者必要定期对其她顾客对该电子文档权限进行检查，保证顾客权限是合理。检查时间间隔不能超过6个月。当顾客职位发生变更，或者工作需要变化后来，系统管理员应检查顾客访问权限，并作适当变动。所有电子文档访问可追究性：通过使用完整日记和唯一顾客ID，所有电子文档操作必要可追溯到特定顾客。权限删除：一旦员工离开中华人民共和国石油，必要及时删除她们访问权限。对于其她顾客，如果不再需要进行有关访问，应将其权限收回。权限限制对实际系统访问：普通状况下不得授权应用和系统开发人员访问实际运作系统；除非的确需要，并通过上级批准，才干授予其有关权限。管理员级别帐户：必要严格控制管理员和root级别系统帐户。系统管理员权限授予必要通过严格授权流程及相应授权人员批准，并且应严格限制在很少数人员之间。系统管理员必要在切换到管理员帐户前一方面使用个人普通帐户登陆。独立子网和防火墙之间访问必要严格限制。跨公司访问控制：当需要在总公司和地区公司之间，或者在地区公司之间网络进行敏感信息访问和传播时，这种访问必要采用如下限制：访问控制机制必要辨认相应公司身份，以及公司之间可以进行双方批准操作特定授权顾客身份。依照实际需要拟定最小访问权限。电子文档加密保护电子文档另一种重要办法是进行电子文档加密。数据加密后，虽然别人获得了相应电子文献，也无法获得其中内容。电子文档加密办法简朴加密办法是通过一种硬件加密接口。它们安装在SCSI接口上，对于所有通过数据进行硬件级加密（或者解密）。数据通过加密形式存储，并且以同样方式解密，使得别人无法窃取存储数据。该办法独立于软件，使得顾客可使用不同软件来管理数据存储和备份。某些软件可在客户机上或者服务器上进行加密。客户机上加密在客户端保护数据，防止在没有口令或者密钥状况下访问数据。服务器端加密提供了与硬件加密方案相似特性。当数据存储到存储设备上时，通过密码或者密钥加密。此外方式是使用电子文档或者文献系统级加密软件。这些软件在数据存储到硬盘时对其进行加密，防止其她人，甚至是同一种计算机系统上顾客访问这些文献。这种方式比较适合于仅有少数文献或者系统需要加密状况。电子文档加密有关规范对于多顾客共用计算机，每个顾客重要电子文档都应使用操作系统或者应用程序提供加密机制进行加密。对于需要通过网络（电子邮件等）传播重要电子文档，必要一方面通过加密程序或者相应电子文档编辑程序自带加密功能进行加密后才干传播。对于数据和电子文档备份，可使用硬件级加密，或者备份应用程序自带加密功能进行加密。对于网络共享文献夹中重要文献，必要使用加密程序或者相应电子文档编辑程序自带加密功能进行加密。对于重要电子文档或者数据日记，应使用操作系统或者应用程序提供加密功能进行加密。加强对电子文档日记审计管理应使用审计方略对文献夹、文献进行审计，审计成果记录在安全日记中，通过安全日记就可查看哪些组或顾客对文献夹、文献进行了什么级别操作，从而发现系统也许面临非法访问，并通过采用相应办法，将这种安全隐患减到最低。对于重要目录和电子文档，应通过操作系统提供日记记录功能，或者其她专门日记记录工具，记录对其所有访问操作。对于重要电子文档和数据日记，必要严格限制对其访问权限，只有系统管理员和电子文档所有者才干访问。对于重要电子文档和数据日记，应使用日记加密功能，防止日记被非法访问。系统管理员或者电子文档所有者应定期检查（通过专门工具或者手工）重要电子文档日记，检查存在异常访问或者不正常修改。检测恶意代码恶意代码也许导致文献内容泄漏以及文献破坏，详细规范办法请参见《防御恶意代码和计算机犯罪管理规范》。数据库安全管理规范数据库是建立一切信息管理系统基本支撑平台，在中华人民共和国石油，数据库存储着各种最真实和最有价值那某些资产——也许是知识产权数据，也也许是价格和交易数据或者客户信息。在数据库中，这些数据作为商业信息或知识，一旦遭受安全威胁将带来难以想象严重后果。数据库安全是一种辽阔领域，从老式备份与恢复，认证与访问控制，到数据存贮和通信环节加密，它作为操作系统之上应用平台，其安全与网络和主机安全息息有关，本规范着重从数据库安全管理和内部自身安全角度讨论有关问题。常用数据库安全问题计算机系统和网络安全缺陷会导致数据库安全问题——如果数据库存储设备（例如硬盘）受到损害，也许会导致数据库损坏、暂时无法访问甚至永久性损坏；如果操作系统和网络浮现了安全问题，也许导致数据库被非法访问。数据库软件系统缺陷——购买数据库系统自身存在安全问题。如果数据库相应管理人员没故意识到这个问题，没有及时安装数据库软件相应补丁，也许为系统侵入留下通道。此外，数据库系统缺省服务和配备也也许存在着很大隐患。未运用数据库自身安全特性——许多公司应用建立在数据库应用上，在这些公司应用中往往施加了一定安全控制。但是这些安全办法只应用在客户端应用软件上，其他许多工具，如MicrosoftAccess和已有通过OBDC或专有合同联接数据库公用程序，它们都绕过了应用层安全。此外，顾客只要懂得了一种合法帐户及密码，就可使用任何方式来访问数据。因而，唯一可靠安全功能应限定在数据库系统内部。脆弱帐号设立——在许多数据库系统中，数据库帐户往往缺少足够安全设立。例如，缺省顾客帐号和密码对人们都是公开，没有被禁用或修改以防止非授权访问。缺少角色分离——老式数据库管理中并没有专门安全管理角色，这就迫使数据库管理员（DBA）既要负责帐号维护管理，又要专门对数据库执行性能和操作行为进行调试跟踪，从而导致管理效率低下。此外，这也和公司管理所倡导“检查职能和工作职能平衡”原则相悖。脆弱认证和授权——数据库不同顾客，由于其不同身份和级别，应具备不同访问控制权限。但是实际中，数据库管理员往往没有严格区别不同顾客帐号权限，使得数据受到非授权访问，甚至被破坏。因而应提供机制，严格限制不同顾客对于数据库访问和操作权限。缺少审计跟踪——数据库审计经常被DBA以提高性能或节约磁盘空间为由忽视或关闭，这大大减少了管理分析可靠性和效力。审计跟踪对于理解哪些顾客行为导致某些数据产生和修改至关重要，它将与数据直接有关事件都记入日记，因而，监视数据访问和顾客行为是最基本管理手段。缺少备份和恢复手段——虽然采用了所有安全手段，公司数据库还是无法完全避免受到某些不可抗力（例如火灾、地震等）影响。此外顾客误操作也也许破坏数据库中数据。如果不预先采用防止办法，把重要业务和经营数据备份起来，那么一旦发生这些劫难性后果，中华人民共和国石油将遭受巨大损失。没有对于重要数据内容进行额外安全控制——当前中华人民共和国石油数据库普通都能通过网络进行访问，无法完全避免内部或者外部非法访问。一旦这些数据被非法入侵者或者被不应理解人员看到，对于中华人民共和国石油业务或者经营将会产生重大危害。因此应对于重要数据采用加密等方式来防止数据库重要数据泄漏。数据库服务器没有足够存储空间，导致数据库服务无法正常进行——这是经常被忽视，但是经常会影响数据库正常运营问题。

数据库安全管理一种强大数据库安全系统应保证其中信息安全性并对其进行有效控制。下面针对数据库安全规范有助于中华人民共和国石油实现与数据库有关业务利益保障、方略制定以及对信息资源有效保护。加固操作系统和网络防止由于系统和网络漏洞所导致数据库安全问题，详细规范参见《操作系统安全管理规范》、《网络安全管理规范》。为防止存储设备物理损坏导致影响，对于大型应用应采用磁盘阵列容错和冗余等办法。数据库设立安全管理初始安全配备某些大型数据库，例如Oracle，均有某些众所周知对数据库有着不同访问权限默认帐号和密码。在数据库初始配备时，必要禁用这些默认帐号或者变化其相应密码。数据库某些功能强大存储过程，如果被入侵者执行，也许危害到整个系统甚至网络安全。必要配备数据库，使得存储过程以最小需要级别来运营。数据库系统文献如果被破坏，会导致数据丢失甚至数据库系统崩溃。必要严格限制对数据库系统文献读写权限。某些数据库系统需要控制或配备文献来支持其运营并维护其状态。这些文献应由数据库来控制，系统管理员和顾客不需要用到这些文献，因此应禁止她们对这些文献访问。数据库补丁更新管理应定期检查安全信息站点和数据库软件供应商网站，一旦浮现新数据库软件补丁，在也许状况下测试其有效性，并及时安装。详细内容请参见《内容安全管理原则》中安全补丁实行管理办法。数据库角色分离管理机制对于重要数据库系统，中华人民共和国石油应在安全管理方面采用三权分立安全管理体制，把系统管理员分为数据库管理员DBA、数据库安全管理员SSO及数据库审计员Auditor三类，并依照最小授权原则分别授予她们为完毕各自任务所需权限。这种管理体制真正做到三权分立、各行其责、互相制约，可靠地保证了数据库安全性。详细授权如下：数据库管理员：负责创立顾客帐户；创立组；创立数据库安全管理员和审计员帐户；管理数据库系统；管理磁盘空间；修复磁盘；管理错误日记；测试系统；启动和关闭系统。数据库安全管理员：管理系统安全机制，设立、修改顾客安全属性；设立、修改数据库对象安全属性。数据库审计员：负责建立系统审计环境、审查审计记录；选取与安全有关事件进行审计。此外，如有必要，中华人民共和国石油还可依照功能和可信赖顾客群，进一步细分数据库管理责任和角色。这样有助于灵活解决如为员工重设密码（需要管理员权限）等常用问题，或委派特定管理员执行特殊部门（如市场部或财务部）某些事务。数据库顾客认证管理保证每一种顾客帐号对于数据库连接来说都是必要，禁用或删除任何不必要帐号。进行帐号和口令安全管理，详细规范参见《通用安全管理原则》中口令安全管理原则。必要严格控制管理员级别数据库帐户。数据库管理员权限授予必要通过严格授权流程及相应授权人员批准，并且应严格限制在很少数人员之中。数据库中密码必要以加密形式存储。数据库帐号和密码在需要通过网络进行传播时，必要通过加密方式进行。回绝远程数据库管理员访问，或者通过数据库管理系统提供特殊办法，管理远程管理员登陆。如果顾客普通通过自己计算机访问数据库，并且每个顾客系统名和IP地址都是拟定，宜设立顾客不能从其她计算机登陆数据库。顾客访问数据库结束，必要关闭有关数据库访问应用程序，断开与数据库连接。数据库顾客授权管理最小权限原则：中华人民共和国石油必要本着"最小权限"原则，从需求和工作职能两方面严格限制对数据库访问权限。不适当直接为顾客赋予特定访问权限，应通过为顾客分派角色来间接控制顾客访问数据库权限。如果顾客工作需要对特定数据具备比其她人更高访问权限，可通过建立新具备这些权限角色，将该角色赋予顾客。通过角色将特定工作访问功能与需要权限相分离，从而可以独立地将某项工作权限赋予或收回。安全管理员必要清晰理解每一种被使用角色权限，不可使用那些访问权限不清晰角色。 对于那些顾客诸多，应用程序和数据对象很丰富数据库，应充分运用角色这个机制以便性对权限进行有效管理。对于复杂系统环境，角色能大大地简化权限管理。安全管理者可决定顾客组分类，为这些顾客组创立顾客角色，并对数据库和应用对象管理顾客角色访问权限。必要记录所有权限建立和权限修改过程。应依照业务需要和顾客访问权限，将数据库从逻辑上分割。如普通顾客角色只能访问普通数据，市场部顾客角色可访问到销售数据，人事部顾客角色可访问到工资数据等.。应通过对于数据库对象（例如表、视图、存储过程，甚至记录和字段等）授权来控制数据库访问。应仅授予顾客完毕工作所需最小权限。当顾客职位发生变更，或者工作需要变化后来，检查顾客所需角色权限，并作相应改动，以满足最小权限原则。一旦员工离开中华人民共和国石油，必要及时删除她们顾客帐户。对于其她顾客，如果有关访问不再需要进行，应将相应角色权限收回。顾客权限定期检查：安全管理员必要定期对顾客角色权限进行检查，以保证顾客权限是合理。检查时间间隔不能超过6个月。数据库日记和安全审计对于数据库审计应涉及如下内容：对于数据库成功或者不成功连接数据库启动和关闭对数据库对象建立和删除对数据表信息查看、修改和删除数据库中程序执行数据库日记中记录信息应涉及各种对数据库表及其她对象成功及不成功访问信息，至少应涉及：进行操作顾客操作时间操作对象进行操作除了数据库日记，对于数据库重要配备文献修改也应通过日记记录。对于重要数据内容，数据库审计应涉及对记录字段和元素一级访问，并且应维护数据更改日记。更改日记是数据库每次变化记录文献，日记涉及本来值和修改后值。数据库管理员应可依照日记撤除任何错误修改。3层应用服务器架构增长了审计复杂度。普通应用服务器代表顾客进行数据库操作。应用服务器访问数据库时应运用顾客各自真实帐户，而不应使用代码内嵌帐户，使其可以记录特定顾客访问日记。此外，可使用某些第三方数据库审计或者日记工具，来提供重要数据日记，并对其进行审计。审计会影响数据库系统性能，不应试图用最详细级别来审计所有数据库行为。否则只会使数据库顾客寻常使用受到重大影响，并且审计数据也许会大大超过数据库中数据，并超过系统存储限制。对于性能规定较高，数据增长不久大型应用，应依照数据库中数据重要性，拟定需要对哪些数据库对象进行哪些方面审计。审计哪些数据库行为，以及采用哪些审计办法，这些审计方略应依照人员、可疑行为变化，或者需要对某些特定内容进行不同层次检查而进行修改。如果存在某些时间段，顾客不会进行数据库访问，应对于这些时间数据库连接进行审计。这段时间数据库访问也许代表了不正惯顾客访问。数据库审计管理人员应定期（每周）通过工具自动或者手工分析审计日记，来发现已浮现或者潜在数据库安全问题。数据库加密管理数据库加密可为数据提供进一步安全性，虽然这些数据被非授权顾客获得，她们也无法理解数据真正内容。数据库中数据加密实现方式，普通分为两种方式：使用数据库自身加密机制当数据存储到数据库时，数据库管理系统将其进行加密，当数据从数据库读取时，将其进行解密。数据库自身加密机制长处是：数据库自身就可完毕加密任务，对外部应用是透明，此外不需要额外应用支持来满足其加密需求。但是它也有比较大缺陷：数据库中数据读取时加密和解密会对数据库性能产生很大影响；数据加密密钥普通也存储在数据库中，入侵者只要获得数据库中密钥访问权限，就也许将数据解密。可运用额外硬件安全模块(HSM：HardwareSecurityModule)，来提供与数据库分离密钥管理，并通过其提供一定加解密解决能力。当数据在数据库外使用时，由于已经是明文形式，需要额外对于这些数据网络传播进行加密。运用数据库外部应用进行加密将加密和解密工作转移到解决数据应用中，数据在存储到数据库前就已通过独立应用进行了加密。这种方式好处是对于数据库服务器自身负载影响较小，并且数据在实际使用前在网上传播信息自身就是加密。应用级加密需要数据库外面应用程序加密功能支持，也许需要进行一定开发工作，并且也许需要外部安全征询服务及产品供应商支持，因而需要比较大投资。在存在各种需要加密大型应用及各种需要加密数据库环境状况下，可运用一种公司级加密服务器来提供集中式加解密服务。这样可提供比较完善密钥管理和访问控制机制。对于数据库加密机制管理严格管理密钥和加解密工具访问手段必要对于密钥和加解密工具具备严格认证、授权和访问控制。必要在重要信息被解密迈进行严格顾客认证。必要对于这些加解密对象使用进行严格审计并记录日记。密钥各种存储方式数据库内部加密可把密钥存储在数据库限制访问单独表上。密钥存储比较安全存储方式是运用硬件进行存储，例如对于数据库密钥使用硬件安全模块(HSM：HardwareSecurityModule)。密钥可存储在一种限制访问文献中。可通过一种集中加密服务器来进行加密和密钥管理。对中华人民共和国石油使用数据库加密建议无论使用哪种加密技术都会相应用系统性能有很大影响，因而必要权衡寻常业务运营效率及数据重要性，以拟定哪些数据真正重要到需要进行数据库加密。尽量通过加强认证、授权和访问控制，来提高数据库内容安全性。依照风险评估，除非绝对必要否则不要试图对于大数据库诸多内容进行加密，这会妨碍中华人民共和国石油寻常业务运营。在仅需要对少量和有限内容进行加密状况下，可使用数据库软件自身提供加密功能。在存在大量需要加密应用和数据库环境状况下，中华人民共和国石油可考虑使用加密服务器来集中管理这些大量加密和访问控制管理工作。人员培训管理数据库系统是非常复杂应用系统，对其进行管理和配备需要大量专业知识和技能。数据库一种重大安全隐患是数据库管理人员对于数据库不恰当安装、配备以及误操作等。由于这些数据库管理人员具备很大数据库操作权限，因此她们不恰当操作也许会对整个数据库带来极大危害。应对于数据库管理人员进行必要培训，使得她们具备相应知识，以完毕数据库管理任务。数据库管理人员应在工作期间进行自我学习，不断提高数据库技术水平和管理技能，以满足不断浮现新数据库管理规定。数据备份管理规范在信息时代，中华人民共和国石油用来支持经营和决策重要数据和信息已经成为公司重要资产。这些信息资产也许遭到自然灾害、计算机系统故障以及人为破坏。要使中华人民共和国石油计算机系统在受到各种破坏后依然可保证业务正常运营，对于这些重要信息和数据进行备份至关重要。数据备份重要方式完全备份、增量备份和差别备份完全备份将服务器上所有数据都进行备份。基于备份数据量和频率，完全备份也许需要比较大存储空间以及要耗费较多时间。但是它可较快地进行恢复。增量备份只备份前一次备份后来数据变化。该方式每次备份耗费时间较少，但需要较多时间进行恢复工作。差别备份则备份前一次完全备份后来变动数据。该办法比完全备份所花时间要少，而需要恢复时间要少于增量备份。老式备份和异地备份老式备份方式本地磁盘备份：在顾客自己计算机上不同磁盘位置，存储备份数据，但如果本地计算机浮现故障，则无法恢复数据。可移动存储器备份：将数据备份到软盘或者大容量移动存储设备上。网络文献服务器备份：在LAN或者其他网络服务器磁盘上备份数据，使得本地数据损坏后可运用网络备份进行恢复。磁带和磁带库备份：是大容量数据存储和备份方式，也是各种类型公司老式备份方式。在自动磁带备份和磁带库管理应用支持下，是性价比较高备份方式。光盘和光盘库备份：不可擦写备份介质，在光盘管理库及相应备份应用支持下，也是一种性价比较高备份方式。冗余和容错：重要通过服务器硬件冗余和容错功能来进行，涉及使用磁盘阵列(RAID)、集群、本地持续磁盘复制、建立原始数据镜像等。该办法使得公司在主服务器或者磁盘出故障后，可以不间断业务操作。该办法可保存重要数据最新备份，但如果原始数据被删除或者遭到破坏，则备份数据也受到同样破坏。需要其她备份方式来保证数据恢复。数据库复制：与磁盘复制类似，通过将主数据库数据复制到此外一种备份数据库，来保证数据库应用在一台服务器遇到故障状况下可继续运营。异地备份方式异地存储磁带备份：定期进行磁带备份，然后用手工方式将备份磁带转移到远端、安全地点。异地复制：通过使用复制软件和网络连接，将数据从原始服务器复制到异地远程设施上。该办法可在异地保存重要数据最新备份，但是软硬件成本比较高；同步如果原始数据被删除或者遭到破坏，则备份数据也受到同样破坏。需要其她备份方式来保证数据恢复。需要较大网络带宽。远程日记：对重要数据更新进行监控与跟踪，并将更新日记实时通过网络传送到备份系统，备份系统则依照日记对备份数据进行更新。管理联机备份服务：通过网络将数据复制到异地数据中心，然后该数据中心定期将数据存储到磁带上，并将它们存储在安全地点。运用Web界面或者相应软件，依照最新备份数据及磁带副本，通过网络进行数据备份及恢复。可从第三方服务供应商处获得该种备份服务，但同样需要很大网络带宽。其她备份方式磁盘阵列冗余备份磁盘阵列冗余备份是指运用磁盘阵列技术手段，将数据同步写在两个(或各种)物理不同磁盘上。当某一种磁盘发生故障时，数据不会因而而丢失，保证了数据安全性。由于该技术成熟度高，且实行成本较低，因而当前被广泛应用。网络附加存储(NAS：NetworkAttachedStorage)NAS（NetworkAttachedStorage，网络附加存储）典型构成是使用TCP/IP合同，专为数据共享而设计以太网共享存储器。简朴说，NAS可看作通过网线连接磁盘阵列，它具备了磁盘阵列所有重要特性：高容量、高效能、高可靠。NAS将存储设备通过原则网络拓扑构造连接到一群计算机上，因此NAS可无需服务器直接上网，不依赖通用操作系统，而是采用一种面向顾客设计、专门用于数据存储简化操作系统。另一方面NAS是真正即插即用产品，并且物理位置灵活，可放置在工作组内，也可放在其他地点与网络连接。NAS可以满足那些无法承受更昂贵SAN中小公司需求，具备相称好性能价格比。存储区域网络(SAN：StorageAreaNetwork)SAN（StorageAreaStorage，存储区域网）是一种高速子网，这个子网中设备可从主网卸载流量。普通SAN由RAID阵列连接光纤通道（FibreChannel）构成，SAN和服务器和客户机数据通信通过SCSI命令而非TCP/IP。存储区域网络(SAN)是独立于服务器网络系统之外,几乎拥有无限存储能力高速存储网络。这种网络采用高速光纤通道作为传播媒体，以FC(FiberChannel，光通道)+SCSI应用合同作为存储访问合同，将存储子系统网络化，实现了真正高速共享存储目的。SAN多布置与电子商务应用、大量数据备份和其他需要在网上频繁地存储和传播业务中；SAN可从主网上卸掉大量数据流量，可使以太网从数据拥塞中解脱出来。但是由于SAN强大性能和巨额成本，普通只有大型公司会采用。

中华人民共和国石油数据备份对数据备份规定关于数据内容信息及构造（元数据）应与数据一起备份。有关软件允许和供应商信息也应进行备份。应将信息存储时间置入备份介质。对于重要数据至少在不同地点保存两个副本。对异地备份地点选取必要同步考虑安全性以及访问便利性。如有必要，对于重要备份数据进行加密，但必要保证有一种良好密钥管理机制，在密钥安全同步不会浮现无法解密备份数据状况，同步也要保证在恢复加密数据时可以获得解密程序数据备份频度规定，必要定期对各种重要数据进行备份，依照下面因素选取备份频度（例如每日、每周、每月备份或者在重大事件发生时候备份）：信息资产重要性数据受威胁级别顾客和客户备份需求服务器数据和配备稳定性备份数据量数据恢复难度服务器自身数据冗余特性（例如与否有冗余磁盘阵列，镜像）备份介质索引和审计规定。对于大型应用，其备份数据量非常大，导致对备份数据查找困难，因此必要仔细考虑对备份数据索引：对于磁带库备份方式，应给每个磁带贴上条形码，据此记录每个磁带在任何时候详细存储位置。运用适当软件通过条形码来记录磁带进出存储库事件，定期检查这些记录，以发现潜在安全问题。对于非磁带库方式，也应以类似机制来索引和审计备份数据。有必要状况下，征询中华人民共和国石油有关法律或者业务负责人，理解特殊数据备份规定。建立合理备份体系必要有专门人员负责数据备份，应进行额外检查以保证数据对的备份和归档。必要定期（每周）检查原始数据，防止原始数据错误传播到备份数据中。必要把每次进行备份状况都通过电子文档记录下来。必要定期（至少每年）测试数据备份和恢复方案，保证数据可以在预定期间内恢复，并基于测试成果改进备份方案。中华人民共和国石油使用计算机硬件、软件和设备应尽量原则化，使得备份和恢复可以更以便地进行。备份设备必要与用来进行恢复操作系统和应用相兼容，以免将来无法从备份数据恢复。数据备份过程管理数据获取过程管理应保证可靠和对的地获得了需要备份数据。对于某些数据库，以及某些应用数据服务，需要备份多处数据，否则无法进行恢复。应依照业务需要拟定相应数据备份频率。应检查并保证获取备份数据过程是可靠：备份程序必要进行对的配备；备份驱动器（例如磁带驱动器）应定期（每月）进行维护；备份介质（例如磁带）应定期（每周）检查其与否正常，并定期更换；保证进行备份人员通过了培训并具备足够技能；必要有备份人员可靠联系方式；当备份人员暂时无法工作时，应有其她人可完毕她们工作。数据转移过程管理保证需要异地存储数据尽快（至少在一天内）从本地转移出去，留在本地备份数据与原始数据同样会遭受物理或者其她安全威胁。如果需