数据库安全管理规范

人力资源社会保障数据中心数据库安全管理规范(试行)（征求意见稿）第一章总则第一条【目的】为保障人力资源社会保障应用系统数据库（以下简称数据库）安全，保障数据的保密性、完整性、可用性，规范操作和管理行为，降低数据安全风险，实现人力资源社会保障数据中心安全管理，制定本规范。第二条【适用范围】本规范适用于各级人力资源社会保障非涉密应用系统的数据库管理，涉密应用系统的数据库应按照国家保密部门的相关规定和标准进行管理。第三条【定义】本规范所称的数据库，是指人力资源社会保障应用系统处理和服务所依托的集中存储数据的各类数据库系统（含与数据库、数据仓库相关的，以数据库之外形式保管的数据）。第四条【原则】数据库的安全管理和技术保障措施，应与支撑其安全稳定运行的应用系统安全保护等级相对应。第二章岗位职责第五条【负责单位】人力资源社会保障信息化综合管理机构（以下简称信息部门）负责应用系统数据库的安全管理，保证1数据库安全稳定运行。第六条【岗位设置】数据库安全运行维护管理岗位包括数据库管理员、数据库安全员和数据库审计员，由信息部门人员承担。第七条【权责分离】数据库管理员不得同时兼任其他两岗。核心应用系统的数据库安全员应配备专职人员，与其他两岗分离。核心应用系统的数据库管理员和数据库审计员均应分别由多人共同管理1。第八条【数据库管理员职责】数据库管理员负责数据库配置、账户、监控、备份、日志等数据库全生命周期的运行维护管理，主要职责包括：（一）配置管理：负责数据库的安装（升级、卸载）、服务启停、数据空间管理、数据迁移、版本控制，通过对数据库进行合理配置、测试、调整，最大限度发挥数据库资源优势。（二）账户管理：建立、删除、修改数据库账户。在数据库安全员授权下，对数据库的账户及其口令进行变更。（三）运行监控：定期监测数据库运行状况，及时处理解决运行过程中的问题，负责数据库调优，定期编制数据库运行报告。（四）数据备份管理：定期对数据进行备份和恢复测试。（五）日志管理：负责数据库日志的设置、检查和分析（如数据库故障事件记录情况、数据库资源增长超限情况、违规使用1信息安全技术信息系统安全等级保护基本要求（GB/T2223920087.2.2.2）：人员配备：a)应配备一定数量的系统管理员、网络管理员、安全管理员等；b)应配备专职安全管理员，不可兼任；c)关键事务岗位应配备多人共同管理。2应用系统账户、大量数据库登录失败、大量无效SQL语句等）。及时向数据库安全员报告潜在的安全事件和问题。（六）配合应用系统管理员和网络管理员的日常工作。第九条【数据库安全员职责】数据库安全员负责制定数据库安全策略，进行日常安全巡查、日志分析和权限管理，主要职责包括：（一）日常安全检查：定期查看数据库配置，检查数据库常见的安全问题，如账户权限过大、口令过旧等，并将安全问题提交相关部门和人员落实，负责检查处理结果。（二）设置安全策略：设置IP、时间、应用等访问权限，确定敏感数据和数据访问策略（如使用默认账户、使用默认口令、数据库对象可被所有账户访问等）。（三）账户授权：对数据库管理员创建的数据库账户2，进行访问授权。（四）日志分析：对数据库相关安全审计功能或系统进行日志设置、检查和分析，负责检查分析违规安全事件和行为。（五）安全培训：组织数据库的安全培训。第十条【数据库审计员职责】数据库审计员负责对数据库管理员、数据库安全员的操作行为进行审计、跟踪、分析和监督检查，及时发现违规行为和异常行为，进行数据库日志和审计日志分析、安全事件的分析和取证。主要职责包括：2账户、帐户在国标中均有使用，此处使用账户。账户在信息安全技术数据库管理系统安全技术要求（GB/T202732006）中有使用；帐户在信息安全技术信息系统安全等级保护基本要求（GB/T222392008）中有使用。3（一）变更审核：对数据库管理员、数据库安全员制定和更改数据库的安全策略、账户权限以及参数设置等进行审核和监督，定期检查操作记录。（二）日志审计：对数据库管理员、数据库安全员的认证登录审计（包括登录时间、登录失败次数、登录的IP地址等），对数据库的关键配置变更审计（包括增/删账户和授权，数据库的删除、复制、卸载，数据库存储过程、触发器等对象的增加、编辑和删除等）并定期（如1个月）形成安全审计报告。（三）日志管理：对审计后的日志进行定期清除或移出。第十一条【保密要求】数据库管理员、数据库安全员、数据库审计员应签署保密协议。第三章数据库运行维护管理第十二条【安全防护机制】建立和充分运用符合数据库保护等级要求的身份鉴别、访问控制、数据保护、安全审计等安全防护机制。采用满足业务需求的最小安装配置和最细粒度的安全控制策略。第十三条【日常巡检】应每天或每周对数据库运行状态进行日常巡检。巡检的主要内容包括：（一）检查数据库网络连通与否，查看监听器（listener）状态、数据库连接池使用情况等；检查数据库实例状态以及所有与数据库相关的后台进程是否正常、日志记录是否正常、告警文件有无异常；检查存储空间的使用情况，重点关注使用量增长较4快的表空间情况，如果剩余的存储空间不足一定比例，需要清理不用的文件或扩充存储空间；检查数据备份是否正常；检查数据库日志是否正常、完备。（二）日常巡检中发现的问题要及时处理，重大问题要及时报告。（三）建立数据库运行维护监控系统，提供自动巡检、情况记录、问题报警等功能，实现部分或全部的数据库日常巡检工作。第十四条【定期维护】按月或季度对数据库配置进行可用性、可靠性、安全性和性能方面的检查和策略调整。主要内容包括：（一）收集数据库的性能统计数据，分析数据库运行资源消耗的趋势，并视情况进行改善。（二）检查数据存储空间碎片情况，必要时加以调整。（三）检查数据库日常巡检工作的执行情况并及时纠正，如：账户、数据存储空间增删改的记录是否齐全，备份记录、维护记录是否齐全等。第十五条【访问要求】严格控制操作和访问数据库的路径，访问控制要求如下3：（一）正常的业务操作和数据维护，只能通过应用系统访问数据库。（二）数据库管理员、数据库安全员、数据库审计员连接数3信息安全技术信息系统安全等级保护基本要求（GB/T2223920087.2.3.5）三级外部人员访问管理：“a)应确保在外部人员访问受控区域前先提出书面申请，批准后由专人全程陪同或监督，并登记备案；b)对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定，并按照规定执行。”5据库的专用终端，应限制数量，并集中部署在安全区域，便于访问控制和审计。（三）对可能从内部网络向外发起的连接资源（如调制解调器拨号接入互联网）实施严格控制，授权使用。严禁利用磁盘阵列或小型机提供的远程（拨号）方式进行非现场故障诊断和修复操作。第十六条【补丁升级】数据库补丁升级要求如下4：（一）跟踪数据库厂商发布的数据库补丁情况。安全漏洞补丁应及时安装，非安全类补丁可在应用系统升级时统筹考虑。（二）在数据库补丁安装、版本升级、配置变更前应做好数据备份和应急预案，并会同应用系统管理员评估风险，确定无风险后方可实施操作。（三）数据库重大变更调整前，应先在测试环境下测试应用系统有效性，无问题后方可实施操作。第十七条【变更管理】数据库正式启用后，严禁随意变更修改系统配置，如确需变更，必须制定完备的操作方案、回退计划，进行充分的风险评估，并经审批通过后，方可实施。第十八条【禁止开库】严禁通过后台语句直接对数据库进行数据的增、删、查、改等操作。对于不符合正常业务规则的特4信息安全技术信息系统安全等级保护基本要求（GB/T2223920087.2.5.6）三级网络安全管理：“a)应指定专人对网络进行管理，负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作；b)应建立网络安全管理制度，对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定；c)应根据厂家提供的软件升级版本对网络设备进行更新，并在更新前对现有的重要文件进行备份；d)应定期对网络系统进行漏洞扫描，对发现的网络系统安全漏洞进行及时的修补；e)应实现设备的最小服务配置，并对配置文件进行定期离线备份；f)应保证所有与外部系统的连接均得到授权和批准；g)应依据安全策略允许或者拒绝便携式和移动式设备的网络接入；h)应定期检查违反规定拨号上网或其他违反网络安全策略的行为。”6殊数据维护，确需直接访问数据库的，业务部门提出申请，信息部门受理，数据库安全员组织进行充分的风险评估，经领导审批后，由数据库管理员操作，并对处理过程形成工作记录。第十九条【做好工作记录】数据库的安全策略和措施、使用和维护情况应有书面记载，并可供检查。数据库管理员应在数据库安装、启动、升级、配置变更、日常巡检、故障处理、账户管理、备份恢复等运行维护工作中做好工作记录，包括操作时间、人员、事件内容、配置参数调整信息等。第二十条【资产管理5】对数据库软件、文档和许可证进行登记（包括软件的名称和版本、许可证类型和数量、介质的编号和数量、软件安装序列号、资料名称和数量等），并设专人保管。软件和资料的借用应有审批和借还登记手续。第二十一条【日志管理】数据库日志包括警报日志、跟踪日志、重做日志（在线重做日志和归档重做日志）。日志管理工作包括：（一）合理分配日志存储空间。（二）保持数据库日志功能的常态开启。当大批量数据导入等特殊操作需临时关闭归档重做日志功能的，经批准后方可操5信息安全技术信息系统安全等级保护基本要求（GB/T2223920087.2.5.3）三级介质管理：“a)应建立介质安全管理制度，对介质的存放环境、使用、维护和销毁等方面作出规定；b)应确保介质存放在安全的环境中，对各类介质进行控制和保护，并实行存储环境专人管理；c)应对介质在物理传输过程中的人员选择、打包、交付等情况进行控制，对介质归档和查询等进行登记记录，并根据存档介质的目录清单定期盘点；d)应对存储介质的使用过程、送出维修以及销毁等进行严格的管理，对带出工作环境的存储介质进行内容加密和监控管理，对送出维修或销毁的介质应首先清除介质中的敏感数据，对保密性较高的存储介质未经批准不得自行销毁；e)应根据数据备份的需要对某些介质实行异地存储，存储地的环境要求和管理方法应与本地相同；f)应对重要介质中的数据和软件采取加密存储，并根据所承载数据和软件的重要程度对介质进行分类和标识管理。”7作，并在相关工作完成后，立即恢复归档重做日志功能。（三）审计后的日志，在保留半年后可清除或移出。（四）应对数据库日志访问权限做出控制，只有数据库管理员账户和数据库审计员账户可访问日志信息。第二十二条【审计管理】应定期基于数据库日志和审计日志进行数据库审计管理6，要求如下：（一）定期对数据库的访问、操作、警告、错误等各类情况进行审计，并基于审计结果发布审计报告。（二）审计发现的重大问题要及时向信息部门领导报告，同时按照事件处理流程执行。（三）审计出的各类问题由数据库管理员负责修改完善，问题的修改应限期完成，由数据库审计员核实修改情况。（四）可建立数据库安全审计系统，实现对数据库系统关键业务操作和违规数据操作的审计和记录，记录安全侵害事件的日期、时间、用户、类型、是否成功等信息，提供安全审计分析工具对数据库安全情况进行审计。第二十三条【第三方要求】对于排查故障等特殊情况确需信息技术服务商（以下简称第三方）操作数据库的，数据库管理员应全程陪同，并对第三方操作情况进行记录。第二十四条【主机要求】应提供保障数据库安全的主机6信息安全技术数据库管理系统安全技术要求（GB/T2027320064.6）：数据库管理系统的安全审计应：“a)建立独立的安全审计系统；b)定义与数据库安全相关的审计事件；c)设置专门的安全审计员；d)设置专门用于存储数据库系统审计数据的安全审计库；e)提供适用于数据库系统的安全审计设置、分析和查阅的工具。”8环境，禁止安装与数据库无关的工具软件。第二十五条【应急预案7】根据应急程度分别拟定对应的应急预案或子预案，应包括启动预案条件、应急处理流程、系统恢复流程，应急培训等内容。第二十六条【事件处理流程8】按照事件对系统的影响程度，对系统事件的等级进行划分，配套相应的事件处理流程。应区分日常事件处理流程、重大事件处理流程。第四章账户和口令管理第二十七条【账户类型9】数据库账户包括如下类型：数据库管理账户、应用系统账户、临时账户。（一）数据库管理账户：包括数据库管理员账户、数据库安全员账户、数据库审计员账户。（二）应用系统账户：供应用系统访问数据库使用，按照应用系统的需要，具有相应数据增、删、查、改中的一个或多个功7信息安全技术信息系统安全等级保护基本要求（GB/T2223920087.2.5.13）三级应急预案管理：“a)应在统一的应急预案框架下制定不同事件的应急预案，应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容；b)应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障；c)应对系统相关的人员进行应急预案培训，应急预案的培训应至少每年举办一次；d)应定期对应急预案进行演练，根据不同的应急恢复内容，确定演练的周期；e)应规定应急预案需要定期审查和根据实际情况更新的内容，并按照执行。”8信息安全技术信息系统安全等级保护基本要求（GB/T2223920087.2.5.12）三级安全事件处置：“a)应报告所发现的安全弱点和可疑事件，但任何情况下用户均不应尝试验证弱点；b)应制定安全事件报告和处置管理制度，明确安全事件的类型，规定安全事件的现场处理、事件报告和后期恢复的管理职责；c)应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响，对本系统计算机安全事件进行等级划分；d)应制定安全事件报告和响应处理程序，确定事件的报告流程，响应和处置的范围、程度，以及处理方法等；e)应在安全事件报告和响应处理过程中，分析和鉴定事件产生的原因，收集证据，记录处理过程，总结经验教训，制定防止再次发生的补救措施，过程形成的所有文件和记录均应妥善保存；f)对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。”9信息安全技术信息系统安全等级保护基本要求（GB/T2223920087.1.3.2）三级访问控制：“a)应启用访问控制功能，依据安全策略控制用户对资源的访问；b)应根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限；c)应实现操作系统和数据库系统特权用户的权限分离；d)应严格限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；e)应及时删除多余的、过期的帐户，避免共享帐户的存在。f)应对重要信息资源设置敏感标记；g)应依据安全策略严格控制用户对有敏感标记重要信息资源的操作。”910能。应用系统账户仅可通过应用系统经由应用服务器进行DML和DDL操作；应用系统账户不能通过第三方数据库工具连接数据库。（三）临时账户：用于短期内第三方人员对数据库维护的访问。临时账户须说明访问时间、访问者IP、要访问的数据、需要的DML权限，由数据库安全员进行审核后授权，过期自动失效。每个临时账户操作完毕后，数据库安全员须对临时账户本次操作出具审计报告，以确保临时账户操作合规。禁止临时账户执行DDL，确实需要的，由数据库管理员负责执行。第二十八条【账户管理】数据库账户管理要求如下：（一）数据库账户及其权限应依据最小授权原则进行设置，不同用途的账户应分设，并应对授权的再次传播进行控制。（二）每个连接到数据库中进行操作的个人或应用系统都必须有独立的数据库账户，确保数据库操作的可追溯性。（三）不同的数据库管理员依职责对不同的表数据进行权限划分，互相不能操作。（四）数据库账户应具有唯一性，禁止不同的数据库使用相同的账户与口令，禁止生产库和测试库使用同一组账户与口令。（五）上线应用系统不得使用数据库默认账户，应把默认账户设定为口令到期和被锁定。封锁宿主机操作系统对数据库账户的直接访问权限。（六）在日常巡检中及时删除多余、过期的账户，及时清理措施，并对数据库登录失败进行记录和定期审计。权限过大的账户10。（七）应对数据库账户授权分配情况进行书面记录。（八）应开启数据库审计功能，记录账户操作情况，粒度应记录到应用系统用户、数据库账户、操作时间和事项等。第二十九条【口令管理11】数据库账户的口令管理要求如下：（一）数据库账户口令应为无意义的字符组，长度至少为十位，并且包含大写字符、小写字符、数字和特殊符号。（二）数据库账户口令应以纸质方式保存，密封存放在安全区域。严禁将数据库账户口令记录在计算机、手机等各类电子设备中，严禁泄露数据库账户口令。（三）数据库账户口令应定期修改。数据库管理账户口令最长使用时间不能超过半年，应用系统账户口令最长使用时间不能超过一年。在应用系统遭到入侵、管理员轮换、口令泄露及其他可能威胁账户口令安全的情况下，应立即修改账户口令。（四）应定义数据库账户口令尝试次数和尝试失败后采取的1210信息安全技术信息系统安全等级保护基本要求（GB/T2223920085.1.3.2）：“应限制默认帐户的访问权限，重命名系统默认帐户，修改这些帐户的默认口令；应及时删除多余的、过期的帐户，避免共享帐户的存在。”11信息安全技术信息系统安全等级保护基本要求（GB/T2223920087.1.3.1）三级身份鉴别：“a)应对登录操作系统和数据库系统的用户进行身份标识和鉴别；b)操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点，口令应有复杂度要求并定期更换；c)应启用登录失败处理功能，可采取结束会话、限制非法登录次数和自动退出等措施；d)当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听；e)应为操作系统和数据库系统的不同用户分配不同的用户名，确保用户名具有唯一性。f)应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。”12信息安全技术数据库管理系统安全技术要求（GB/T2027320065.1.1.1）：“通过对不成功的鉴别尝试的值（包括尝试次数和时间的阈值）进行预先定义，并明确规定达到该值时应采取的措施来实现鉴别失败的处理”。1112（五）数据库账户及口令不得与宿主机操作系统的账户及口令相同。第三十条【人员变动】数据库管理员、数据库安全员、数据库审计员因工作调整或长期离岗时，应及时注销账户或更换账户口令，并做好相关变动记录13。第五章数据保管和交换管理第三十一条【定义】应纳入保管的数据有：应用数据（如业务信息、应用系统访问账户信息）、系统数据（如数据字典、存储过程、配置信息）、安全数据（如应用系统日志、数据库日志）。既包括在数据库中存储的结构化数据，也包括在磁盘上直接存储的非结构化数据。第三十二条【原则】数据保管应遵循保密、完整、安全的原则。（一）应对数据库、磁盘、备份介质、临时存储介质中的数据加以保护，防止未授权的使用、篡改、增加或破坏。（二）数据保管的软硬件环境、存储载体等发生变化时，应及时对数据进行迁移、转换，并保留原有数据备查。（三）进行数据加工、分析等操作时，仍应保持数据的安全属性。第三十三条【保密要求14】应建立数据保密机制，确保数13信息安全技术信息系统安全等级保护基本要求（GB/T2223920087.2.3.1）三级人员录用：“a)应指定或授权专门的部门或人员负责人员录用；b)应严格规范人员录用过程，对被录用人的身份、背景、专业资格和资质等进行审查，对其所具有的技术技能进行考核；c)应签署保密协议；d)应从内部人员中选拔从事关键岗位的人员，并签署岗位安全协议。”14信息安全技术信息系统安全等级保护基本要求（GB/T2223920087.1.5.2）三级数据保密性：“a)据在传输、存储、使用过程中的保密性。（一）对在人力资源社会保障业务工作中获知的公民个人和用人单位电子信息必须严格保密，不得泄露、篡改、毁损，不得出售或者非法向他人提供。对于违规操作导致数据泄露、篡改、毁损的，依法追究当事人责任。（二）信息部门不得委托第三方单独负责数据库维护工作。第三方及其工作人员协助维护的，应签订保密协议。（三）应用系统中需保密的特殊人群信息加密存储，并不与其他应用系统、外部系统进行共享与交换。（四）在数据库中存储的应用系统访问账户口令、密钥、鉴别信息，应加密存储。（五）因应用系统测试需要基于真实数据准备测试数据的，应做脱敏处理，隐去可识别个体的信息（姓名、公民身份号码、电话、单位名称、组织机构代码等）和其他敏感数据。（六）运行在互联网、自助服务设施上提供公共服务的应用系统，对外查询内容应保护个人隐私信息，并根据数字证书、用户名口令等不同安全强度的用户身份鉴别措施，分级设定对外服务内容。第三十四条【数据敏感性】定义敏感数据，并对敏感数据进行加密保护，确保敏感数据不以明文方式存储在磁盘、备份介质和导出文件里。应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性；b)应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。”1314第三十五条【访问交换原则】数据的访问和交换应遵循“知所必需、用所必需、共享必需、公开必需、互联互通必需”的原则。第三十六条【内部共享】内部共享数据管理要求如下：（一）人力资源社会保障部门内部的各应用系统使用或交换数据须先提出申请，由信息部门、数据归口部门均审批通过后，信息部门提供技术方案给予实现。（二）人力资源社会保障系统内上下级、同级间的数据传输，应通过业务专网完成。（三）各应用系统间须进行相互授权后，方可进行数据交换，未通过有效身份验证的应用系统不得访问数据库。（四）各类数据交换应进行详细的工作记录。（五）重要数据在网络传输时，应尽量避免从高等级安全域向低等级安全域交换。如无法避免，应经过审核、论证并提供必要的安全保护机制，以规避安全风险。第三十七条【外部交换】外部交换数据管理要求如下：（一）外部系统使用或交换数据须先提出申请，明确数据项目、使用用途和期限后，待本级人力资源社会保障部门同意，并报上级人力资源社会保障部门批准后方可提供15。15关于进一步加强劳动保障数据安全管理的通知（劳社厅发200631号）：“严格实行业务数据归口管理。各地对于涉及劳动保障方面的数据信息，要实行业务数据归口管理。凡涉及到用人单位和个人的原始数据，要严格执行保密法和统计法等有关法律法规的规定，确保数据安全和有序管理。各地政府部门因工作需要，要求从金保工程数据库中提取有关数据时，须经同级劳动保障部门同意，并报上级劳动保障部门批准后方可提供。国家有关部门如需使用劳动保障相关数据，需商我部同意，共同安排部署，各地不得自行提供。”（二）与外部系统的数据交换，可采用联机或脱机的方式。联机方式不得通过互联网直接传输，须经有效身份验证的前置设备进行交换；脱机方式可通过数据光盘的方式进行交换。（三）脱机方式下的交换数据须进行加密处理，对称密钥加密的密钥长度至少达到128位，非对称密钥加密的密钥长度至少达到1024位，所用密码技术产品和算法应经国家密码管理主管部门批准，不得用数据压缩技术（如winzip等）代替数据加密。（四）各类数据交换应进行详细的工作记录。第三十八条【临时介质管理】临时存放数据的存储介质，不得带离工作场所，用完后须及时清除数据。第六章数据备份与恢复管理第三十九条【灾备建设】统筹建设灾难备份系统，完善相应工作机制，制定灾难恢复预案，定期进行灾难恢复演练，确保数据安全和核心应用系统连续运行。第四十条【要求】建立数据备份机制，设置数据备份专人专岗，加强对各类数据存储和备份的管理，保障应用系统的正常运行，保存完整的历史数据。第四十一条【备份方式】数据备份可采用在线存储与脱机介质两种形式进行，也可同时使用两种方式。第四十二条【备份策略16】视应用系统的特性和安全保护16信息安全技术信息