【正文】 原則）。 b) 用戶權(quán)限的定期檢查：電子文檔的管理者或所有者必須定期對其他用戶對該電子文檔的權(quán)限進(jìn)行檢查，保證用戶權(quán)限是合理的。 c) 當(dāng)用戶的職位發(fā)生變更， 或者工作需要改變以后，系統(tǒng)管理員應(yīng)檢查用戶的訪問權(quán)限，并作合適的變動(dòng)。 e) 權(quán)限的刪除：一旦員工離開中國石油，必須立即刪除他們的訪問權(quán)限。 權(quán)限限制 a) 對實(shí)際系統(tǒng)的訪問：通常情況下不得授權(quán)應(yīng)用和系統(tǒng)開發(fā)人員訪問實(shí)際運(yùn)作的系統(tǒng)；除非確實(shí)需要，并經(jīng)過上級(jí)批準(zhǔn)，才能授予其相關(guān)權(quán)限。 系統(tǒng)管理員權(quán)限的授予必須經(jīng)過嚴(yán)格的授權(quán)流程及相應(yīng)的授權(quán)人員的批準(zhǔn)，并且應(yīng)嚴(yán)20 數(shù)據(jù)和電子文檔安全管理規(guī)范 格限制在極少數(shù)的人員之間。 c) 獨(dú)立的子網(wǎng)和防火墻之間的訪問必須嚴(yán)格限制。根據(jù)實(shí)際需要確定最小的訪問權(quán)限。數(shù)據(jù)加密后，即使別人獲得了相應(yīng)的電子文件，也無法獲得其中的內(nèi)容。它們安裝在 SCSI 接口上，對于所有經(jīng)過的數(shù)據(jù)進(jìn)行硬件級(jí)的加密（或者解密）。 該方法獨(dú)立于軟件，使得用戶可使用不同的軟件來管理數(shù)據(jù)的存儲(chǔ)和備份。 客戶機(jī)上的加密在客戶端保護(hù)數(shù)據(jù)，防止在沒有口令或者密鑰的情況下訪問數(shù)據(jù)。 當(dāng)數(shù)據(jù)存儲(chǔ)到存儲(chǔ)設(shè)備上時(shí)，通過密碼或者密鑰加密。這些軟件在數(shù)據(jù)存儲(chǔ)到硬盤時(shí)對其進(jìn)行加密，防止其他人，甚至是同一個(gè)計(jì)算機(jī)系統(tǒng)上的用戶訪問這些文件。 數(shù)據(jù)和電子文檔安全管理規(guī)范 21 部門績效績效監(jiān)控分析報(bào)告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報(bào)企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會(huì)會(huì)議紀(jì)要業(yè)務(wù)流程優(yōu)化咨詢項(xiàng)目工作績效監(jiān)控分析報(bào)告供應(yīng)鏈管理工資核算流程 電子文檔加密的相關(guān)規(guī)范 a) 對于多用戶共用的計(jì)算機(jī)，每個(gè)用戶的重要電子文檔都應(yīng)使用操作系統(tǒng)或者應(yīng)用程序提供的加密機(jī)制進(jìn)行加密。 c) 對于數(shù)據(jù)和電子文檔備份，可使用硬件級(jí)的加密，或者備份應(yīng)用程序自帶的加密功能進(jìn)行加密。 e) 對于重要電子文檔或者數(shù)據(jù)的日志，應(yīng)使用操作系統(tǒng)或者應(yīng)用程序提供的加密功能進(jìn)行加密。 a) 對于重要的目錄和電子文檔，應(yīng)通過操作系統(tǒng)提供的日志記錄功能，或者其他專門的日志記錄工具，記錄對其的所有訪問操作。 c) 對于重要電子文檔和數(shù)據(jù)的日志，應(yīng)使用日志的加密功能，防止日志被非法訪問。 22 數(shù)據(jù)和電子文檔安全管理規(guī)范 檢測惡意代碼 惡意代碼可能導(dǎo)致文件內(nèi)容的泄漏以及文件的破壞，具體規(guī)范措施請參見《防御惡意代 碼和計(jì)算機(jī)犯罪管理規(guī)范》。在數(shù)據(jù)庫中，這些數(shù)據(jù)作為商業(yè)信息或知識(shí)，一旦遭受安全威脅將帶來難以想象的嚴(yán)重后果。 常見的數(shù)據(jù)庫安全問題 a) 計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的安全缺陷會(huì)導(dǎo)致數(shù)據(jù)庫的安全問題 —— 如果數(shù)據(jù)庫存儲(chǔ)設(shè)備（例如硬盤）受到損害，可能會(huì)導(dǎo)致數(shù)據(jù)庫的損壞、暫時(shí)無法訪問甚至永久性的損壞；如果操作系統(tǒng)和網(wǎng)絡(luò)出現(xiàn)了安全問題，可能導(dǎo)致數(shù)據(jù)庫被非法訪問。 如果數(shù)據(jù)庫的相應(yīng)管理人員沒有意識(shí)到這個(gè)問題，沒有及時(shí)安裝數(shù)據(jù)庫軟件的相應(yīng)補(bǔ)丁，可能為系統(tǒng)的侵入留下通道。 c) 未利用數(shù)據(jù)庫本身的安全特征 —— 許多企業(yè)應(yīng)用建立在數(shù)據(jù)庫應(yīng)用上，在這些企業(yè)應(yīng)用中往往施加了一定的安全控制。另外，用戶只要知道了一個(gè)合法的帳戶及密碼，就可使用任何方式來訪問數(shù)據(jù)。 d) 脆弱的帳號(hào)設(shè)置 —— 在許多數(shù)據(jù)庫系統(tǒng)中，數(shù)據(jù)庫帳戶往往缺乏足夠的安全設(shè)置。 e) 缺乏角色分離 —— 傳統(tǒng)數(shù)據(jù)庫管理中并沒有專門的安全管理角色，這就迫使數(shù)據(jù)庫管理員（ DBA）既要負(fù)責(zé)帳號(hào)的維護(hù)管理，又要專門對數(shù)據(jù)庫的執(zhí)行性能和操作行24 數(shù)據(jù)和電子文檔安全管理規(guī)范 為進(jìn)行調(diào)試跟蹤，從而導(dǎo)致管理效率低下。 f) 脆弱的認(rèn)證和授權(quán) —— 數(shù)據(jù)庫的不同用戶，由于其不同的身份和級(jí)別，應(yīng)具有不同的訪問控制權(quán)限。因此應(yīng)提供機(jī)制，嚴(yán)格限制不同用戶對于數(shù)據(jù)庫的訪問和操作權(quán)限。審計(jì)跟蹤對于了解哪些用戶行為導(dǎo)致某些數(shù)據(jù)的產(chǎn)生和修改至關(guān)重要，它將與數(shù)據(jù)直接相關(guān)的事件都記入日志，因此，監(jiān)視數(shù)據(jù)訪問和用戶行為是最基本的管理手段。 另外用戶的誤操作也可能破壞數(shù)據(jù)庫中的數(shù)據(jù)。 i) 沒有對于重要的數(shù)據(jù)內(nèi)容進(jìn)行額外的安全控制 —— 目前中國石油的數(shù)據(jù)庫一般都能通過網(wǎng)絡(luò)進(jìn)行訪問，無法完全避免內(nèi)部或者外部的非法訪問。所以應(yīng)對于重要的數(shù)據(jù)采用加密等方式來防止數(shù)據(jù)庫重要數(shù)據(jù)的泄漏。 數(shù)據(jù)和電子文檔安全管理規(guī)范 25 部門績效績效監(jiān)控分析報(bào)告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報(bào)企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會(huì)會(huì)議紀(jì)要業(yè)務(wù)流程優(yōu)化咨詢項(xiàng)目工作績效監(jiān)控分析報(bào)告供應(yīng)鏈管理工資核算流程 數(shù)據(jù)庫安全管理 一個(gè)強(qiáng)大的數(shù)據(jù)庫安全系統(tǒng)應(yīng)確保其中信息的安全性并對其進(jìn)行有效的控制。 加固操作系統(tǒng)和網(wǎng)絡(luò) 防止由于系統(tǒng)和網(wǎng)絡(luò)的漏洞所導(dǎo)致的數(shù)據(jù)庫安全問題，具體規(guī)范參見《操作系統(tǒng)安全管理規(guī)范》、《網(wǎng)絡(luò)安全管理規(guī)范》。 數(shù)據(jù)庫設(shè)置的安全管理 初始的安全配置 a) 某些大型的數(shù)據(jù)庫，例如 Oracle，都有一些眾所周知的對數(shù)據(jù)庫有著不同訪問權(quán)限的默認(rèn)帳號(hào)和密碼。 b) 數(shù)據(jù)庫的一些功能強(qiáng)大的存儲(chǔ)過程，如果被入侵者執(zhí)行，可能危害到整個(gè)系統(tǒng)甚至網(wǎng)絡(luò)的安全。 c) 數(shù)據(jù)庫系統(tǒng)文件如果被破壞，會(huì)導(dǎo)致數(shù)據(jù)的丟失甚至數(shù)據(jù)庫系統(tǒng)的崩潰。 d) 某些數(shù)據(jù)庫系統(tǒng)需要控制或配置文件來支持其運(yùn)行并維護(hù)其狀態(tài)。 26 數(shù)據(jù)和電子文檔安全管理規(guī)范 數(shù)據(jù)庫補(bǔ)丁更新管理 應(yīng)定期檢查安全信息站點(diǎn)和數(shù)據(jù)庫軟件供應(yīng)商的網(wǎng)站，一旦出現(xiàn)新的數(shù)據(jù)庫軟件的補(bǔ)丁，在可能的情況 下測試其有效性，并立即安裝。 數(shù)據(jù)庫角色分離管理機(jī)制 a) 對于重要的數(shù)據(jù)庫系統(tǒng)，中國石油應(yīng)在安全管理方面采用三權(quán)分立的安全管理體制，把系統(tǒng)管理員分為數(shù)據(jù)庫管理員 DBA、數(shù)據(jù)庫安全管理員 SSO 及數(shù)據(jù)庫審計(jì)員 Auditor 三類，并根據(jù)最小授權(quán)原則分別授予他們?yōu)橥瓿筛髯匀蝿?wù)所需的權(quán)限。具體授權(quán)如下： ? 數(shù)據(jù)庫管理員：負(fù)責(zé)創(chuàng)建用戶帳戶；創(chuàng)建組；創(chuàng)建數(shù)據(jù)庫安全管理員和審計(jì)員帳戶；管理數(shù)據(jù) 庫系統(tǒng)；管理磁盤空間；修復(fù)磁盤；管理錯(cuò)誤日志；測試系統(tǒng)；開啟和關(guān)閉系統(tǒng)。 ? 數(shù)據(jù)庫審計(jì)員：負(fù)責(zé)建立系統(tǒng)審計(jì)環(huán)境、審查審計(jì)記錄；選擇與安全相關(guān)的事件進(jìn)行審計(jì)。這樣有助于靈活解決如為員工重設(shè)密碼（需要管理員權(quán)限）等常見問題，或委派特定管理員執(zhí)行特殊部門（如市場部或財(cái)務(wù)部）的某些事務(wù)。 b) 進(jìn)行帳號(hào)和口令的安全管理，具體規(guī)范參見《通用安全管理標(biāo)準(zhǔn)》中口令安全管理標(biāo)準(zhǔn)。數(shù)據(jù)庫管理員權(quán)限的授予必須經(jīng)過嚴(yán)格的授權(quán)流程及相應(yīng)的授權(quán)人員的批準(zhǔn)，并且應(yīng)嚴(yán)格限制在極少數(shù)的人員之中。 e) 數(shù)據(jù)庫的帳號(hào)和密碼在需要通過網(wǎng)絡(luò)進(jìn)行傳輸時(shí)，必須通過加密的方式進(jìn)行。 g) 如果用戶一般通過自己的計(jì)算機(jī)訪問數(shù)據(jù) 庫，并且每個(gè)用戶的系統(tǒng)名和 IP 地址都是確定的，宜設(shè)置用戶不能從其他的計(jì)算機(jī)登陸數(shù)據(jù)庫。 數(shù)據(jù)庫用戶授權(quán)管理 a) 最小權(quán)限原則：中國石油必須本著 最小權(quán)限 原則，從需求和工作職能兩方面嚴(yán)格限制對數(shù)據(jù)庫的訪問權(quán)限。 ? 如果用戶的工作需要對特定的數(shù)據(jù)具有比其他人更高的訪問權(quán)限，可通過建立新的具有這些權(quán)限的角色，將該角色賦予用戶。 ? 安全管理員必須清晰了解每一個(gè)被使用的角色的權(quán)限，不可使用那些訪問權(quán)限不清晰的角色。對于復(fù)雜的系統(tǒng)環(huán)境，角色能大大地簡化權(quán)限的管理。 c) 必須記錄所有的權(quán)限建立和權(quán)限修改的過程。如一般用戶角色只能訪問一般數(shù)據(jù)，市場部的用戶角色可訪問到銷售數(shù)據(jù)，人事部的用戶角色可訪問到工資數(shù)據(jù)等 .。應(yīng)僅授予用戶完成工作所需的最小權(quán)限。 g) 一旦員工離開中國石油，必須立即刪除他們的用戶帳戶。 h) 用戶權(quán)限的定期檢查：安全管理員必須定期對用戶的角色權(quán)限進(jìn)行檢查 ，以保證用戶的權(quán)限是合理的。 數(shù)據(jù)庫的日志和安全審計(jì) a) 對于數(shù)據(jù)庫的審計(jì)應(yīng)包括以下內(nèi)容： ? 對于數(shù)據(jù)庫的成功或者不成功的連接 ? 數(shù)據(jù)庫的啟動(dòng)和關(guān)閉 ? 對數(shù)據(jù)庫對象的建立和刪除 ? 對數(shù)據(jù)表信息的查看、修改和刪除 ? 數(shù)據(jù)庫中程序的執(zhí)行 b) 數(shù)據(jù)庫日志中記錄的信息應(yīng)包括各種對數(shù)據(jù)庫表及其他對象的成功及不成功的訪問信息，至少應(yīng)包括： ? 進(jìn)行操作的用戶 ? 操作的時(shí)間 ? 操作的對象 數(shù)據(jù)和電子文檔安全管理規(guī)范 29 部門績效績效監(jiān)控分析報(bào)告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報(bào)企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會(huì)會(huì)議紀(jì)要業(yè)務(wù)流程優(yōu)化咨詢項(xiàng)目工作績效監(jiān)控分析報(bào)告供應(yīng)鏈管理工資核算流程 ? 進(jìn)行的操作 c) 除了數(shù)據(jù)庫的日志，對于數(shù)據(jù)庫的重要配置文件的修改也應(yīng)通過日志記錄。更改日志是數(shù)據(jù)庫每次改變的記錄文件，日志包括原來的值和修改后的值。 e) 3 層的應(yīng)用服務(wù)器架構(gòu)增加了審計(jì)的復(fù)雜度。應(yīng)用服務(wù)器訪問數(shù)據(jù)庫時(shí)應(yīng)利用用戶各自的真實(shí)帳戶，而不應(yīng)使用代碼內(nèi)嵌的帳戶，使其能夠記錄特定用戶的訪問日志。 g) 審計(jì)會(huì)影響數(shù)據(jù)庫系統(tǒng)的性能，不應(yīng)試圖用最詳細(xì)的級(jí)別來審計(jì)所有的數(shù)據(jù)庫行為。 h) 對于性能要求較高，數(shù)據(jù)增長很快的大型應(yīng)用，應(yīng)根據(jù)數(shù)據(jù)庫中的數(shù)據(jù)的重要性，確定需要對哪些數(shù)據(jù)庫的對象進(jìn)行哪些方面的審計(jì)。 j) 如果存在一些時(shí)間段，用戶不會(huì)進(jìn)行數(shù)據(jù)庫的訪問，應(yīng)對于這些時(shí)間的數(shù)據(jù)庫連接進(jìn)行審計(jì)。 k) 數(shù)據(jù)庫審計(jì)管理人員應(yīng) 定期 （每周） 通過工具自動(dòng)或者手工分析審計(jì)日志，來發(fā)現(xiàn)已出現(xiàn)的或者潛在的數(shù)據(jù)庫安全問題。數(shù)據(jù)庫中數(shù)據(jù)加密的實(shí)現(xiàn)方式，一般分為兩種方式： 使用數(shù)據(jù)庫本身的加密機(jī)制 當(dāng)數(shù)據(jù)存儲(chǔ)到數(shù)據(jù)庫時(shí)，數(shù)據(jù)庫管理系統(tǒng)將其進(jìn)行加密，當(dāng)數(shù)據(jù)從數(shù)據(jù)庫讀取時(shí)，將其進(jìn)行解密。 ? 但是它也有比較大的 缺點(diǎn)：數(shù)據(jù)庫中數(shù)據(jù)讀取時(shí)的加密和解密會(huì)對數(shù)據(jù)庫的性能產(chǎn)生很大的影響；數(shù)據(jù)加密的密鑰一般也存儲(chǔ)在數(shù)據(jù)庫中，入侵者只要獲得數(shù)據(jù)庫中密鑰的訪問權(quán)限，就可能將數(shù)據(jù)解密。 ? 當(dāng)數(shù)據(jù)在數(shù)據(jù)庫外使用時(shí)，由于已經(jīng)是明文的形式，需要額外對于這些數(shù)據(jù)的網(wǎng)絡(luò)傳輸進(jìn)行加密。 ? 這種方式的好處是對于數(shù)據(jù)庫服務(wù)器本身的負(fù)載影響較小，并且數(shù)據(jù)在實(shí)際使用前在網(wǎng)上傳輸?shù)男畔⒈旧砭褪羌用艿摹? 數(shù)據(jù)和電子文檔安全管理規(guī)范 31 部門績效績效監(jiān)控分析報(bào)告大客戶中心經(jīng)理績效合同專職行為規(guī)范工作周報(bào)企業(yè)管理部績效管理人力資源管理能 力訪談問卷例會(huì)會(huì)議紀(jì)要業(yè)務(wù)流程優(yōu)化咨詢項(xiàng)目工作績效監(jiān)控分析報(bào)告供應(yīng)鏈管理工資核算流程 ? 在存在多個(gè)需要加密的大型應(yīng)用及多個(gè)需要加密的數(shù)據(jù)庫環(huán)境的情況下，可利用一個(gè)企業(yè)級(jí)的加密服務(wù)器來提供集中式的加解密服務(wù)。 對于數(shù)據(jù)庫加密機(jī)制的管理 嚴(yán)格管理密鑰和加解密工具的訪問手段 ? 必 須對于密鑰和加解密工具具有嚴(yán)格的認(rèn)證、授權(quán)和訪問控制。 ? 必須對于這些加解密對象的使用進(jìn)行嚴(yán)格的審計(jì)并記錄日志。 ? 密鑰存儲(chǔ)的比較安全的存放方式是利用硬件進(jìn)行存儲(chǔ)，例如對于數(shù)據(jù)庫的密鑰使用硬件安全模塊 (HSM: Hardware Security Module)。 ? 可通過一個(gè)集中的加密服務(wù)器來進(jìn)行加密和密鑰的管理。 b) 盡量通過加強(qiáng)認(rèn)證、授權(quán)和訪問控制，來提高數(shù)據(jù)庫內(nèi)容的安全性。 32 數(shù)據(jù)和電子文檔安全管理規(guī)范 c) 在僅需要對少量和有限的內(nèi)容進(jìn)行加密的情況下，可使用數(shù)據(jù)庫軟件本身提供的加密功能。 人員培訓(xùn)管理 數(shù)據(jù)庫系統(tǒng)是非常復(fù)雜的應(yīng)用系統(tǒng)，對其進(jìn)行管理和配置需要大量的專業(yè)知識(shí)和技能。由于這些數(shù)據(jù)庫管理人員具有很大的數(shù)據(jù)庫操作權(quán)限，所以他們的不適當(dāng)操作可能會(huì)對整個(gè)數(shù)據(jù)庫帶來極大的危害。 b) 數(shù)據(jù)庫管理人員應(yīng)在工作期間進(jìn)行自我學(xué)習(xí)，不斷提高數(shù)據(jù)庫技術(shù)水平和管理技能，以滿足不斷出現(xiàn)的新的數(shù)據(jù)庫管理的要求。這些信息資產(chǎn)可能遭到自然災(zāi)害、計(jì)算機(jī)系統(tǒng)的故障以及人為的破壞。 數(shù)據(jù)備份的主要方式 完全備份、增量備份和差異備份 a) 完全備份將服務(wù)器上的所有數(shù)據(jù)都進(jìn)行備份。 但是它可較快地進(jìn)行恢復(fù)。該方式每次備份花費(fèi)的時(shí)間較少，但需要較 多的時(shí)間進(jìn)行恢復(fù)工作。 該方法比完全備份所花的時(shí)間要少，而需要的恢復(fù)時(shí)間要少于增量備份。 b) 可移動(dòng)存儲(chǔ)器備份：將數(shù)據(jù)備份到軟盤或者大容量的移動(dòng)存儲(chǔ)設(shè)備上。 34 數(shù)據(jù)和電子文檔安全管理規(guī)范 d) 磁帶和磁帶庫備份：是大容量的數(shù)據(jù)存儲(chǔ)和備份方式，也是各 種類型企業(yè)的傳統(tǒng)的備份方式。 e) 光盤和光盤庫備份：不可擦寫的備份介質(zhì)，在光盤管理庫及相應(yīng)備份應(yīng)用的支持下，也是一種性價(jià)比較高的備份方式。該方法使得企業(yè)在主服務(wù)器或者磁盤出故障后，能夠不間斷業(yè)務(wù)操作。需要其他備份方式來保 證數(shù)據(jù)的恢復(fù)。 異地備份方式 a) 異地存放的磁帶備份：定期進(jìn)行磁帶備份，然后用手工的方式將備份的磁帶轉(zhuǎn)移到遠(yuǎn)端的、安全的地點(diǎn)。該方法可在異地保存重要數(shù)據(jù)的最新的備份，但是軟硬件成本比較高；同時(shí)如果原始數(shù)據(jù)被刪除或者遭到破壞，則備份數(shù)據(jù)也受到同樣的破壞。需要較大的 網(wǎng)絡(luò)帶寬。 d) 管理聯(lián)機(jī)備份服務(wù)：通過網(wǎng)絡(luò)將數(shù)據(jù)復(fù)制到異地的數(shù)據(jù)中心，然后該數(shù)據(jù)中心定時(shí)將數(shù)據(jù)存儲(chǔ)到磁帶上，并將它們存放在安全的地點(diǎn)?？蓮牡谌椒?wù)供應(yīng)商處獲得該種備份服務(wù)，但同樣需要很大的網(wǎng)絡(luò)帶寬。 當(dāng) 某一個(gè)磁盤 發(fā)生故障時(shí)， 數(shù)據(jù)不會(huì)因此而丟失，保證了數(shù)據(jù)的安全性 。 網(wǎng)絡(luò)附加存儲(chǔ) (NAS: Network Attached Storage) NAS（ Network Attached Storage，網(wǎng)絡(luò)附加存儲(chǔ)）的典型組成是使用 TCP/IP 協(xié)議的，專為數(shù)據(jù)共享而設(shè)計(jì)的以太網(wǎng)共享存