中国移动-企业信息化数据库安全规范
51页1、密 级:文档编号:项目代号:中国移动企业信息化数据库安全规范Version 1.0中国移动通信有限公司二零零四年十二月拟 制:审 核:批 准:会 签:标准化:版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人,负责对本文档进行标准化审核4读取5读取目录第1章目的与范围11.1.目的11.2.适用范围11.3.数据库安全保护目标1第2章数据库数据安全风险分析与对策32.1.数据安全风险分析32.2.典型数据库安全攻击方式42.2.1.SQL 注入52.2.2.网络窃听62.2.3.未经授权的服务器访问62.2.4.密码破解62.3.数据库安全管理关键要点72.3.1.管理细分和委派原则72.3.2.最小权限原则72.3.3.帐号安全原则72.3.4.有效的审计82.3.5.加强关键数据库安全保护8第3章数据库基本安全架构93.1.数据库安全机制考虑93.2.成熟数据库安全机制103.2.1.账户认证机制103.2.2.视图控制机制123.2.3.访问控制机制133.
2、2.4.安全审计机制16第4章数据库系统安全加固184.1.数据库系统的安全防护架构184.2.网络系统层次安全防护184.2.1.防火墙隔离194.2.2.入侵检测194.2.3.VPN204.3.操作系统层次安全加固204.3.1.操作系统用户安全设置214.3.2.操作系统安全日志设置224.3.3.关闭非必要的服务和程序224.3.4.修补操作系统和更新包234.4.数据库管理系统安全加固244.4.1.数据库安全策略要点24系统安全性策略24数据安全性策略25用户安全性策略25数据库管理者安全性策略26应用程序开发者安全策略264.4.2.数据库帐户安全274.4.3.密码安全设置284.4.4.访问权限安全314.4.5.数据库加密324.4.6.日志记录354.4.7.审计354.4.8.备份恢复374.4.9.管理员客户端安全404.4.10.数据库系统安全补丁41第5章进一步的安全加固考虑425.1.细粒度访问控制425.2.应用程序安全检查435.3.数据库系统与基于标准的公共密钥体系PKI集成445.4.关键数据库系统灾难备份44第1章 目的与范围1.1. 目的为
3、了加强中国移动集团企业信息化办公室下属各公司的网络数据库系统安全管理,提高中国移动集团下属各公司办公网的网络数据库系统安全水平,保证数据库系统的正常安全运行,特制定本数据库的安全加固规范。随着基础网络建设和应用系统开发的日益成熟与完善,尤其是企业信息化建设的前景和风险共存的事实,安全问题逐步成为企业信息化部门关注和讨论的焦点。对于企业来说,信息系统最重要的资源并不是网络和设备,而是有价值的数据和存贮这些关键数据的地方-数据库。本文档旨在于规范中国移动集团企业信息化办公室下属各公司对通用数据库进行的安全加固。1.2. 适用范围数据库安全包含传统的备份与恢复,用户认证与访问控制,数据存贮和通信环节的加密,而且它作为操作系统之上的应用平台,其安全与网络和主机安全息息相关。本文对中国移动集团企业信息化办公室下属各公司办公网系统的数据库系统,加固进行指导。1.3. 数据库安全保护目标中国移动关键数据库中存储的数据是中国移动的宝贵的信息资源,这些数据的安全的需求概括来讲就是:正确的人能够及时地存取到正确的数据。数据安全保护目标有下面三方面:l 数据机密性安全的数据库系统需保证数据的机密性,只能让合
4、法的用户看到他该看到的数据。l 数据完整性数据完整性要求:(1)保证数据合法有效;(2)保护数据不被恶意删除和修改;(3) 保证数据之间的逻辑依赖关系。l 数据可访问数据可用性意味着数据对授权用户是可用的,能够保证业务的正常运行。包括对数据的备份恢复和避免恶意的拒绝服务攻击。第2章 数据库数据安全风险分析与对策2.1. 数据安全风险分析在数据库应用中,数据安全面临着以下威胁:数据被篡改通信的私有性对保证数据在传输过程中不被篡改非常重要。分布式的环境给恶意攻击者篡改数据带来了可能。在数据篡改的攻击中,一个未授权的攻击者对传输中的数据进行拦截、篡改后,再把数据继续进行传输。比如一个攻击者把银行交易的金额从100元改为1000元,导致交易错误。数据被窃取数据必须能够安全地存储和传输,因此敏感信息诸如信用卡号、密码等不会被窃取。在大多数网络中,即使通信通道全部是有线链路,未授权用户也可以用workstation 或者PC 设法接入网络以窃听网络上的传输数据。对于所有类型的网络,包括局域网和广域网这种数据窃听都有可能。用户身份被伪造攻击者可能冒充合法用户从网络上登录到数据库系统。在分布式环境中,
《中国移动-企业信息化数据库安全规范》由会员鲁**分享,可在线阅读,更多相关《中国移动-企业信息化数据库安全规范》请在金锄头文库上搜索。
多元函数积分的计算方法与技巧
2023年房地产公司工程部工作总结模板(4篇).doc
住房租赁协议书样本(3篇).doc
2022年暑期大学生三下乡服务社会实践心得体会
石油化工管道项目可行性研究报告申请建议书
工程开工报审表全套
B2C客户关系管理(CRM)系统需求整理(二)
班主任班级德育工作计划范本(三篇).doc
平衡车及其控制电路
山东省广饶经济开发区九年级化学下学期摸底考试试题无答案
《简单压力容器安全技术监察规程》
甘肃省陇南市西和县十里乡初级中学七年级英语上册Unit5Doyouhaveasoccerball学案无答案新版人教新目标版
酒店财务工作计划范文3
幼儿园中班教师工作计划范文(5篇)
呼和浩特啤酒机项目可行性研究报告_参考范文
2022年招商引资年终总结
餐厅经理个人工作总结标准范文(4篇).doc
事业单位管理制度范文(精选13篇)
管理学上市公司财务信息披露的综合治理
山西音迈文化交流有限公司规章制度
2023-05-24 85页
2023-09-13 2页
2024-02-16 40页
2023-11-08 34页
2023-05-28 81页
2022-08-16 18页
2023-02-06 8页
2023-11-08 53页
2023-04-08 49页
2023-10-20 9页