【正文】 完成數(shù)據(jù)庫管理的任務(wù)。 b) 增量備份只備份前一次備份以后的數(shù)據(jù)變化。在自動(dòng)磁帶備份和磁帶庫管理應(yīng)用的支持下，是性價(jià)比較高的備份方式。 b) 異地復(fù)制：通過使用復(fù)制軟件和網(wǎng)絡(luò)連接，將數(shù)據(jù)從原始的服務(wù)器復(fù)制到異地的遠(yuǎn)程設(shè)施上。 數(shù)據(jù)和電子文檔安全管理規(guī)范 35 部門績效績效監(jiān)控分析報(bào)告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報(bào)企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會(huì)會(huì)議紀(jì)要業(yè)務(wù)流程優(yōu)化咨詢項(xiàng)目工作績效監(jiān)控分析報(bào)告供應(yīng)鏈管理工資核算流程 其他備份方式 磁盤陣列冗余 備份 磁盤陣列冗余備份是指 利用 磁盤陣列的技術(shù)手段，將數(shù)據(jù)同時(shí)寫在兩個(gè) (或多個(gè) )物理 不同的磁盤上。利用 Web 界面或者相應(yīng)的軟件，根據(jù)最新的備份數(shù)據(jù)及磁帶副本，通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)備份及恢復(fù)。 g) 數(shù)據(jù)庫復(fù)制：與磁盤復(fù)制類似，通過將主數(shù)據(jù)庫的數(shù)據(jù)復(fù)制到另外一個(gè)備份數(shù)據(jù)庫，來保證數(shù)據(jù)庫的應(yīng)用在一臺(tái)服務(wù)器遇到故障的情況下可繼續(xù)運(yùn)行。 c) 網(wǎng)絡(luò)文件服務(wù)器備份：在 LAN 或者其它的網(wǎng)絡(luò)服務(wù)器的磁盤上備份數(shù)據(jù)，使得本地?cái)?shù)據(jù)損壞后可利用網(wǎng)絡(luò)的備份進(jìn)行恢復(fù)?；趥浞莸臄?shù)據(jù)量和頻率，完全備份可能需要比較大的存儲(chǔ)空間以及要花費(fèi)較多的時(shí)間。數(shù)據(jù)庫的一個(gè)重大的安全隱患是數(shù)據(jù)庫管理人員對(duì)于數(shù)據(jù)庫的不適當(dāng)安裝、配置以及誤操作等。 ? 密鑰可存放在一個(gè)限制訪問的文件中 。 ? 應(yīng)用級(jí)的加密需要數(shù)據(jù)庫外面應(yīng)用程序的加密功能的支持，可能需要進(jìn)行一定的開發(fā)工作，并且可能需要外部的安全咨詢服務(wù)及產(chǎn)品供應(yīng)商的支持，因此需要比較大的投資。 30 數(shù)據(jù)和電子文檔安全管理規(guī)范 數(shù)據(jù)庫的加密管理 數(shù)據(jù)庫加密可為數(shù)據(jù)提供進(jìn)一步的安全性，即使這些數(shù)據(jù)被非授權(quán)用戶獲得，他們也無法了解數(shù)據(jù)的真正內(nèi)容。 f) 另外，可使用一些第三方的數(shù)據(jù)庫審計(jì)或者日志工具，來提供重要數(shù)據(jù)日志，并對(duì)其進(jìn)行審計(jì)。檢查的時(shí)間間隔不能超過 6 個(gè)月 。 d) 應(yīng)根據(jù)業(yè)務(wù)的需要和用戶的訪問權(quán)限，將數(shù)據(jù)庫從邏輯上分割。 b) 不宜直接為用戶賦予特定的訪問權(quán)限，應(yīng)通過為用戶分配角色來間接控制用戶訪問數(shù)據(jù)庫的權(quán)限。 數(shù)據(jù)和電子文檔安全管理規(guī)范 27 部門績效績效監(jiān)控分析報(bào)告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報(bào)企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會(huì)會(huì)議紀(jì)要業(yè)務(wù)流程優(yōu)化咨詢項(xiàng)目工作績效監(jiān)控分析報(bào)告供應(yīng)鏈管理工資核算流程 c) 必須嚴(yán)格控制管理員級(jí)別的數(shù)據(jù)庫帳戶。這種管理體制真正做到三權(quán)分立、各行其責(zé)、相互制約，可靠地保證了數(shù)據(jù)庫的安全性。必須配置數(shù)據(jù)庫，使得存儲(chǔ)過程以最小需要的級(jí)別來運(yùn)行。 j) 數(shù)據(jù)庫服務(wù)器沒有足夠的存儲(chǔ)空間，導(dǎo)致數(shù)據(jù)庫服務(wù)無法正常進(jìn)行 —— 這是常常被忽視，但是經(jīng)常會(huì)影響數(shù)據(jù)庫正常運(yùn)行的問題。 g) 缺乏審計(jì)跟蹤 —— 數(shù)據(jù)庫審計(jì)經(jīng)常被 DBA 以提高性能或節(jié)省磁盤空間為由忽視或關(guān)閉，這大大降低了管理分析的可靠性和效力。因此，唯一可靠的安全功能應(yīng)限定在數(shù)據(jù)庫系統(tǒng)內(nèi)部。 數(shù)據(jù)庫安全是一個(gè)廣闊的領(lǐng)域，從傳統(tǒng)的備份與恢復(fù)，認(rèn)證與訪問控制，到數(shù)據(jù)存貯和通信環(huán)節(jié)的加密，它作為操作系統(tǒng)之上的應(yīng)用平臺(tái)，其安全與網(wǎng)絡(luò)和主機(jī)安全息息相關(guān)，本規(guī)范著重從數(shù)據(jù)庫安全管理和內(nèi)部自身安全的角度討論相關(guān)問題。 加強(qiáng)對(duì)電子文檔日志審計(jì)管理 應(yīng)使用審計(jì)策略對(duì)文件夾、文件進(jìn)行審計(jì)，審計(jì)結(jié)果記錄在安全日志中，通過安全日志就可查看哪些組或用戶對(duì)文件夾、文件進(jìn)行了什么級(jí)別的操作，從而發(fā)現(xiàn)系統(tǒng)可能面臨的非法訪問，并通過采取相應(yīng)的措施，將這種安全隱患減到最 低。 c) 另外的方式是使用電子文檔或者文件系統(tǒng)級(jí)的加密軟件。 電子文檔加密方法 a) 簡單的加密方法是通過一個(gè)硬件的加密接口。 b) 管理員級(jí)別的帳戶：必須嚴(yán)格控制管理員和 root 級(jí)別的系統(tǒng)帳戶。相關(guān)的訪問記錄必須根據(jù)中國石油的要求，保存相應(yīng)的時(shí)間，并且符合相應(yīng)的法規(guī)。 c) 最小權(quán)限原則：一方 面給予主體 必不可少 的權(quán)限，這就保證了所有的主體都能在所賦予的權(quán)限之下完成所需要完成的任務(wù)或操作；另一方面，它只給予主體 必不可少 的權(quán)限，這就限制了每個(gè)主體所能進(jìn)行的操作。 b) 對(duì)于網(wǎng)絡(luò)共享文件夾，必須嚴(yán)格限制用戶對(duì)文件夾的訪問權(quán)限，只對(duì)必須進(jìn)行訪問的用戶開放訪問權(quán)限。 c) 在不使用系統(tǒng)的時(shí)候，必須鎖定計(jì)算機(jī)或者退出系統(tǒng)。 g) 應(yīng)通過檢查記錄，保證電子文檔的真實(shí)性。 i) 對(duì)于回收的電子拷貝應(yīng)進(jìn)行內(nèi)容消除處理。 b) 重要電子文檔的借閱必須經(jīng)過批準(zhǔn)，電子文檔的借閱者和負(fù)責(zé)人應(yīng)對(duì)電子文檔的借閱進(jìn)行確認(rèn)。 j) 對(duì)于特殊的電子文檔，宜將其打印成紙質(zhì)電子文檔或制成縮微品進(jìn)行歸檔。 b) 電子文檔原來的所有者應(yīng)保證內(nèi)容的完整、真實(shí)可靠。 d) 重要電子文檔的建立過程必須記錄下來，并清晰記錄每個(gè)參與人員的職責(zé)和工作情況。 c) 內(nèi)容的不一致性 —— 多個(gè)用戶各自在本地對(duì)同一電子文檔進(jìn)行了不同的修改，導(dǎo)致內(nèi)容的不一致 。 授權(quán)用戶的不當(dāng)操作 a) 即使對(duì)于用戶的訪問權(quán)限做了嚴(yán)格的限制，但是一些重要的電子文檔還是有可能被其他人獲得。 明文 plaintext 無需利用密碼技術(shù)即可得出語義內(nèi)容的數(shù)據(jù)。 解密 decryption 從密文中獲取對(duì)應(yīng)的原始數(shù)據(jù)的過程。本規(guī)范面向所有的和 電子文檔管理或數(shù)據(jù)庫管理相關(guān)的人員。防止數(shù)據(jù)遭受未經(jīng)授權(quán)的訪問、惡意的讀取和破壞以及非法的拷貝等等情況的發(fā)生，是保護(hù)信息安全的最終目的。這些遠(yuǎn)程信道可能用來連接不同地區(qū)的局域網(wǎng)或園區(qū)網(wǎng)，也可能用于連接單臺(tái)計(jì)算機(jī)。園區(qū)網(wǎng)是在一個(gè)園區(qū)（例如研究院園 區(qū)、管理局基地等）內(nèi)多座建筑內(nèi)的多個(gè)局域網(wǎng)，利用高速信道互相連接起來所構(gòu)成的網(wǎng)絡(luò)。中國石油信息網(wǎng)是在中國石油天然氣集團(tuán)公司網(wǎng)絡(luò)的基礎(chǔ)上，進(jìn)行擴(kuò)充與提高所形成的連接中國石油所屬各個(gè)單位計(jì)算機(jī)局域網(wǎng)和園區(qū)網(wǎng)。 本規(guī)范由中國石油天然氣股份有限公司發(fā)布。 II 數(shù)據(jù)和電子文檔安全管理規(guī)范 隨著企業(yè)信息化建設(shè)的不斷深入，企業(yè)對(duì)于各類信息需求也越來越緊迫，同時(shí)，企業(yè)內(nèi)部的各種信息數(shù)據(jù)的重要程度也越來越高。 本規(guī)范是依據(jù)中國石油信息安全的現(xiàn)狀，參照國際、國內(nèi) 和行業(yè)相關(guān)技術(shù)標(biāo)準(zhǔn)及規(guī)范，結(jié)合中國石油自身的應(yīng)用特點(diǎn)，制定的適合于中國石油信息安全的標(biāo)準(zhǔn)與規(guī)范。圖中帶陰影的方框 中帶書名號(hào)的為單獨(dú)成冊(cè)的部分，共有 13 本《規(guī)范》和 1 本《通用標(biāo)準(zhǔn)》。因此本規(guī)范就是針對(duì)該類數(shù)據(jù)和電子文檔安全上的考慮，在上圖 —— 信息安全總體框架中以深色底色標(biāo)注的部分。 數(shù)據(jù)和電子文檔安全管理規(guī)范 III 部門績效績效監(jiān)控分析報(bào)告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報(bào)企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會(huì)會(huì)議紀(jì)要業(yè)務(wù)流程優(yōu)化咨詢項(xiàng)目工作績效監(jiān)控分析報(bào)告供應(yīng)鏈管理工資核算流程 說 明 在中國石油信息安全標(biāo)準(zhǔn)中涉及以下概念： 組織機(jī)構(gòu) 中國石油（ PetroChina） 指中國石油天然氣股份有限公司有時(shí)也稱“股份公司”。 主干網(wǎng) 是從中國石油總部連接到各個(gè)下屬各地區(qū)公司的網(wǎng)絡(luò)部分，包括中國石油總部局域網(wǎng)、各個(gè)二級(jí)局域網(wǎng)（或園區(qū)網(wǎng)）和連接這些網(wǎng)絡(luò)的專線遠(yuǎn)程信道。局域網(wǎng)和園區(qū)網(wǎng)與廣域網(wǎng)不同，廣域網(wǎng)不僅覆蓋范圍廣，所利用的設(shè)備、運(yùn)行的協(xié)議、傳送速率都與局域網(wǎng)和園區(qū)網(wǎng)不同。這段距離通常小于一公里，但也有大于一公里的情況。 目標(biāo) 本規(guī)范的目標(biāo)為： 通過對(duì)數(shù)據(jù)和電子文檔進(jìn)行相應(yīng)的安 全管理規(guī)范，保證目前中國石油數(shù)據(jù)庫和電子文檔的安全。所有標(biāo)準(zhǔn)都會(huì)被修訂，使用本標(biāo)準(zhǔn)的各方應(yīng)探討使用下列標(biāo)準(zhǔn)最新版本的可能性。 完整性 integrity 在防止非授權(quán)用戶修改或使用資源和防止授權(quán)用戶不正確地修改或使用資源的情況下 ,信息系統(tǒng)中的數(shù)據(jù)與在原文檔中的相同，并未遭受偶然或惡意的修改或破壞時(shí)所具的性質(zhì)。 例：“絕密”、“機(jī)密”、“秘密”。 b) 誤操作導(dǎo)致重要文件被刪除或者磁盤被格式化。 數(shù)據(jù)和電子文檔安全管理規(guī)范 13 部門績效績效監(jiān)控分析報(bào)告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報(bào)企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會(huì)會(huì)議紀(jì)要業(yè)務(wù)流程優(yōu)化咨詢項(xiàng)目工作績效監(jiān)控分析報(bào)告供應(yīng)鏈管理工資核算流程 電子文檔安全管理 電子文檔的建立、更改、歸檔、保管、使用、備份等各個(gè)環(huán)節(jié)，都有信息更改、丟失的可能性，建立并執(zhí)行一套科學(xué)、合理、嚴(yán)密的管理制度，從每一個(gè)環(huán)節(jié)消除信息失真的隱患，對(duì)于維護(hù)電子文檔的原始性、真實(shí)性十分重要。 c) 在對(duì)于重要電子文檔的修改過程中，應(yīng)保存電子文檔的各個(gè)歷史版本。 e) 應(yīng)記錄電子文檔的業(yè)務(wù)和行政方面的背景數(shù)據(jù)。 c) 因軟硬件平臺(tái)發(fā)生改變而對(duì)電子文檔進(jìn)行格式轉(zhuǎn)換時(shí)，應(yīng)防止轉(zhuǎn)換過程中的信息變化。 e) 對(duì)于重要的以及非常敏感的電子文檔，應(yīng)提供防止再拷貝的技術(shù)措施。 c) 應(yīng)進(jìn)行邏輯檢測(cè)，采用相關(guān)軟件對(duì)載體上的信息進(jìn)行讀寫校驗(yàn)。 數(shù)據(jù)和電子文檔安全管理規(guī)范 17 部門績效績效監(jiān)控分析報(bào)告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報(bào)企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會(huì)會(huì)議紀(jì)要業(yè)務(wù)流程優(yōu)化咨詢項(xiàng)目工作績效監(jiān)控分析報(bào)告供應(yīng)鏈管理工資核算流程 加強(qiáng)對(duì)于電子文檔的認(rèn)證管理 操作系統(tǒng)必須設(shè)置相應(yīng)的認(rèn)證手段 進(jìn)入操作系統(tǒng)的認(rèn)證，是保護(hù)電子文檔安全的第一道屏障。如果采用口令的方式進(jìn)行加密，應(yīng)保證口令的設(shè)置符合《口令管理標(biāo)準(zhǔn)》中相應(yīng)的規(guī)范。 訪問權(quán)限的一般原則 權(quán)限建立 a) 功能分離原則：系統(tǒng)必須將系統(tǒng)管理員和普通用戶的功能清晰地區(qū)分。 數(shù)據(jù)和電子文檔安全管理規(guī)范 19 部門績效績效監(jiān)控分析報(bào)告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報(bào)企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會(huì)會(huì)議紀(jì)要業(yè)務(wù)流程優(yōu)化咨詢項(xiàng)目工作績效監(jiān)控分析報(bào)告供應(yīng)鏈管理工資核算流程 e) 用戶組訪問：在必要的情況下，可通過定義組來進(jìn)行數(shù)據(jù)訪問。 c) 當(dāng)用戶的職位發(fā)生變更， 或者工作需要改變以后，系統(tǒng)管理員應(yīng)檢查用戶的訪問權(quán)限，并作合適的變動(dòng)。 c) 獨(dú)立的子網(wǎng)和防火墻之間的訪問必須嚴(yán)格限制。 該方法獨(dú)立于軟件，使得用戶可使用不同的軟件來管理數(shù)據(jù)的存儲(chǔ)和備份。 數(shù)據(jù)和電子文檔安全管理規(guī)范 21 部門績效績效監(jiān)控分析報(bào)告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報(bào)企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會(huì)會(huì)議紀(jì)要業(yè)務(wù)流程優(yōu)化咨詢項(xiàng)目工作績效監(jiān)控分析報(bào)告供應(yīng)鏈管理工資核算流程 電子文檔加密的相關(guān)規(guī)范 a) 對(duì)于多用戶共用的計(jì)算機(jī)，每個(gè)用戶的重要電子文檔都應(yīng)使用操作系統(tǒng)或者應(yīng)用程序提供的加密機(jī)制進(jìn)行加密。 c) 對(duì)于重要電子文檔和數(shù)據(jù)的日志，應(yīng)使用日志的加密功能，防止日志被非法訪問。 如果數(shù)據(jù)庫的相應(yīng)管理人員沒有意識(shí)到這個(gè)問題，沒有及時(shí)安裝數(shù)據(jù)庫軟件的相應(yīng)補(bǔ)丁，可能為系統(tǒng)的侵入留下通道。 e) 缺乏角色分離 —— 傳統(tǒng)數(shù)據(jù)庫管理中并沒有專門的安全管理角色，這就迫使數(shù)據(jù)庫管理員（ DBA）既要負(fù)責(zé)帳號(hào)的維護(hù)管理，又要專門對(duì)數(shù)據(jù)庫的執(zhí)行性能和操作行24 數(shù)據(jù)和電子文檔安全管理規(guī)范 為進(jìn)行調(diào)試跟蹤，從而導(dǎo)致管理效率低下。 另外用戶的誤操作也可能破壞數(shù)據(jù)庫中的數(shù)據(jù)。 加固操作系統(tǒng)和網(wǎng)絡(luò) 防止由于系統(tǒng)和網(wǎng)絡(luò)的漏洞所導(dǎo)致的數(shù)據(jù)庫安全問題，具體規(guī)范參見《操作系統(tǒng)安全管理規(guī)范》、《網(wǎng)絡(luò)安全管理規(guī)范》。 d) 某些數(shù)據(jù)庫系統(tǒng)需要控制或配置文件來支持其運(yùn)行并維護(hù)其狀態(tài)。 ? 數(shù)據(jù)庫審計(jì)員：負(fù)責(zé)建立系統(tǒng)審計(jì)環(huán)境、審查審計(jì)記錄；選擇與安全相關(guān)的事件進(jìn)行審計(jì)。 e) 數(shù)據(jù)庫的帳號(hào)和密碼在需要通過網(wǎng)絡(luò)進(jìn)行傳輸時(shí)，必須通過加密的方式進(jìn)行。 ? 安全管理員必須清晰了解每一個(gè)被使用的角色的權(quán)限，不可使用那些訪問權(quán)限不清晰的角色。應(yīng)僅授予用戶完成工作所需的最小權(quán)限。更改日志是數(shù)據(jù)庫每次改變的記錄文件，日志包括原來的值和修改后的值。 h) 對(duì)于性能要求較高，數(shù)據(jù)增長很快的大型應(yīng)用，應(yīng)根據(jù)數(shù)據(jù)庫中的數(shù)據(jù)的重要性，確定需要對(duì)哪些數(shù)據(jù)庫的對(duì)象進(jìn)行哪些方面的審計(jì)。 ? 但是它也有比較大的 缺點(diǎn)：數(shù)據(jù)庫中數(shù)據(jù)讀取時(shí)的加密和解密會(huì)對(duì)數(shù)據(jù)庫的性能產(chǎn)生很大的影響；數(shù)據(jù)加密的密鑰一般也存儲(chǔ)在數(shù)據(jù)庫中，入侵者只要獲得數(shù)據(jù)庫中密鑰的訪問權(quán)限，就可能將數(shù)據(jù)解密。 對(duì)于數(shù)據(jù)庫加密機(jī)制的管理 嚴(yán)格管理密鑰和加解密工具的訪問手段 ? 必 須對(duì)于密鑰和加解密工具具有嚴(yán)格的認(rèn)證、授權(quán)和訪問控制。 b) 盡量通過加強(qiáng)認(rèn)證、授權(quán)和訪問控制，來提高數(shù)據(jù)庫內(nèi)容的安全性。 b) 數(shù)據(jù)庫管理人員應(yīng)在工作期間進(jìn)行自我學(xué)習(xí)，不斷提高數(shù)據(jù)庫技術(shù)水平和管理技能，以滿足不斷出現(xiàn)的新的數(shù)據(jù)庫管理的要求。該方式每次備份花費(fèi)的時(shí)間較少，但需要較 多的時(shí)間進(jìn)行恢復(fù)工作。 e) 光盤和光盤庫備份：不可擦寫的備份介質(zhì)，在光盤管理庫及相應(yīng)備份應(yīng)用的支持下，也是一種性價(jià)比較高的備份方式。該方法可在異地保存重要數(shù)據(jù)的最新的備份，但是軟硬件成本比較高；同時(shí)如果原始數(shù)據(jù)被刪除或者遭到破壞，則備份數(shù)據(jù)也受到同樣的破壞。 當(dāng) 某一個(gè)磁盤 發(fā)生故障時(shí)， 數(shù)據(jù)不會(huì)因此而丟失，保證了數(shù)據(jù)的安全性 。 d) 管理聯(lián)機(jī)備份服務(wù)：通過網(wǎng)絡(luò)將數(shù)據(jù)復(fù)制到異地的數(shù)據(jù)中心，然后該數(shù)據(jù)中心定時(shí)將數(shù)據(jù)存儲(chǔ)到磁帶上，并將它們存放在安全的地點(diǎn)。需要其他備份方式來保 證數(shù)據(jù)的恢復(fù)。 b) 可移動(dòng)存儲(chǔ)器備份：將數(shù)據(jù)備份到軟盤或者大容量的移動(dòng)存儲(chǔ)設(shè)備上。 數(shù)據(jù)備份的主要方式