1、精選優(yōu)質文檔-傾情為你奉上數(shù)據(jù)安全運維指導建議一 概述1.數(shù)據(jù)安全的含義數(shù)據(jù)安全有兩方面的含義：一是數(shù)據(jù)本身的安全，主要是指采用現(xiàn)代密碼算法對數(shù)據(jù)進行主動保護，如數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向身份認證等，二是數(shù)據(jù)防護的安全，主要是采用現(xiàn)代信息存儲手段對數(shù)據(jù)進行主動防護，如通過磁盤陣列、數(shù)據(jù)備份、異地容災等手段保證數(shù)據(jù)的安全。數(shù)據(jù)處理的安全是指如何有效的防止數(shù)據(jù)在錄入、處理、統(tǒng)計或打印中由于硬件故障、斷電、死機、人為的誤操作、程序缺陷、病毒或黑客等造成的數(shù)據(jù)庫損壞或數(shù)據(jù)丟失現(xiàn)象，某些敏感或保密的數(shù)據(jù)可能不具備資格的人員或操作員閱讀，而造成數(shù)據(jù)泄密等后果。而數(shù)據(jù)存儲的安全是指數(shù)據(jù)庫在系統(tǒng)運行之外的可讀

2、性。一旦數(shù)據(jù)庫被盜，即使沒有原來的系統(tǒng)程序，照樣可以另外編寫程序對盜取的數(shù)據(jù)庫進行查看或修改。從這個角度說，不加密的數(shù)據(jù)庫是不安全的，容易造成商業(yè)泄密，所以便衍生出數(shù)據(jù)防泄密這一概念這就涉及了計算機網(wǎng)絡通信的保密、安全及軟件保護等問題。2.威脅數(shù)據(jù)安全的因素威脅數(shù)據(jù)安全的因素有很多，主要有以下幾個比較常見：1）硬盤驅動器損壞：一個硬盤驅動器的物理損壞意味著數(shù)據(jù)丟失。設備的運行損耗、存儲介質失效、運行環(huán)境以及人為的破壞等，都能造成硬盤驅動器設備造成影響。2）人為錯誤：由于操作失誤，使用者可能會誤刪除系統(tǒng)的重要文件，或者修改影響系統(tǒng)運行的參數(shù)，以及沒有按照規(guī)定要求或操作不當導致的系統(tǒng)宕機。3）黑客

3、：入侵者借助系統(tǒng)漏洞、監(jiān)管不力等通過網(wǎng)絡遠程入侵系統(tǒng)。4）病毒：計算機感染病毒而招致破壞，甚至造成的重大經(jīng)濟損失，計算機病毒的復制能力強，感染性強，特別是網(wǎng)絡環(huán)境下，傳播性更快。5）信息竊取：從計算機上復制、刪除信息或干脆把計算機偷走。6）自然災害7）電源故障：電源供給系統(tǒng)故障，一個瞬間過載電功率會損壞在硬盤或存儲設備上的數(shù)據(jù)。二 關鍵數(shù)據(jù)的保護方法數(shù)據(jù)是信息化系統(tǒng)真正的核心，企業(yè)已經(jīng)把關鍵數(shù)據(jù)視為正常運作的基礎。一旦遭遇數(shù)據(jù)災難，那么整體工作會陷入癱瘓，帶來難以估量的損失。保護關鍵的業(yè)務數(shù)據(jù)有許多種方法，但以下三種是基本方法：1.備份關鍵數(shù)據(jù)備份數(shù)據(jù)就是在其他介質上保存數(shù)據(jù)的副本。有兩種基本

4、的備份方法：完整備份和增量備份。完整備份會把所選的數(shù)據(jù)完整地復制到其他介質。增量備份僅備份上次完整備份以來添加或更改的數(shù)據(jù)。通過增量備份擴充完整備份通常較快且占用較少的存儲空間。可以考慮每周進行一次完整備份，然后每天進行增量備份。但是，如果要在崩潰后恢復數(shù)據(jù)，則把花費較長的時間，因為首先必須要恢復完整備份，然后才恢復每個增量備份。如果對此感到擔擾，則可以采取另一種方案，每晚進行完整備份；只需使備份在下班后自動運行即可。通過實際把數(shù)據(jù)恢復到測試位置來經(jīng)常測試備份是個好主意。這具有以下作用：確保備份介質和備份數(shù)據(jù)狀況良好、確定恢復過程中的問題、可提供一定程度的信心。不僅必須確保數(shù)據(jù)以精確和安全的方

5、式得到備份，而且必須確保在需要進行恢復時，這些數(shù)據(jù)能夠順利地裝回系統(tǒng)中。2.權限管理操作系統(tǒng)和服務器都可對由于員工的活動所造成的數(shù)據(jù)丟失提供保護。通過服務器，可以根據(jù)用戶在組織內的角色和職責而為其分配不同級別的權限。不應為所有用戶提供“管理員”訪問權，這并不是維護安全環(huán)境的最佳做法，而是應制定“賦予最低權限”策略，把服務器配置為賦予各個用戶僅能使用特定的程序并明確定義用戶權限。3.對敏感數(shù)據(jù)加密對數(shù)據(jù)加密意味著把其轉換為一種可偽裝數(shù)據(jù)的格式。加密用于在網(wǎng)絡間存儲或移動數(shù)據(jù)時確保其機密性和完整性。僅那些具有工具來對加密文件進行解密的授權用戶可以訪問這些文件。加密對其他訪問控制方法是一種補充，且對

6、容易被盜的計算機（例如便攜式計算機）上的數(shù)據(jù)或網(wǎng)絡上共享的文件提供多一層保護。把上述這三種方法結合起來，可以為企業(yè)提供保證數(shù)據(jù)安全所需的保護級別。三 實施措施1. 嚴格權限設置建議用戶使用最小權限創(chuàng)建用戶，這樣的好處是哪怕該賬號被黑客攻擊，黑客也僅僅得到相當有限的權限。 此外，在很多在線運行的信息系統(tǒng)，嚴格控制權限需要開發(fā)廠商對系統(tǒng)進行整改，雖然會對系統(tǒng)正常運行造成一些影響，但卻在很大程度上提高了安全等級。 對于應用在UNIX環(huán)境的數(shù)據(jù)庫，還需要對賬戶權限進行嚴格的監(jiān)控，此外，還需要對于數(shù)據(jù)庫的系統(tǒng)文件和數(shù)據(jù)文件、配置文件進行權限設置，防治被認為的進行修改或刪除。2. 加強口令強度數(shù)據(jù)庫管理員

7、在安全防護工作中需要將沒用的賬戶進行刪除，并對常用賬號進行口令管理，設置足夠復雜的口令，并定期進行修改。最后，審核配置文件，將開發(fā)廠商預留的默認賬戶進行刪除。3. 及時升級補丁 數(shù)據(jù)庫管理員要每天關注開發(fā)廠商發(fā)布的升級公告，在不影響系統(tǒng)正常使用的前提下，及時下載升級補丁并安裝。 4. 優(yōu)化安全策略 對安全策略進行有針對性的設置，例如設置最大錯誤登陸次數(shù)、口令解鎖時間、口令復雜度。同時在安裝數(shù)據(jù)庫，針對實際使用情況，關閉不需要的服務和模塊。 5. 加強信息加密管理 數(shù)據(jù)庫管理員要經(jīng)常修改系統(tǒng)中的banner信息，可以通過設置服務口令來防治信息泄露。此外，還可以要求開發(fā)廠商對于數(shù)據(jù)庫的敏感信息進行

8、加密設置，使用較為強壯的加密算法，保證關鍵信息不被外泄.6. 設置審計策略 建議用戶開啟數(shù)據(jù)庫日志審核模塊，開放審計登錄事件、數(shù)據(jù)庫操作事件、敏感信息操作事件等。7. 合理使用綜合防護措施 設置數(shù)據(jù)庫訪問控制策略，并限制訪問數(shù)據(jù)庫的IP，此外，對于防火墻也需要進行有效的設置，防止黑客利用防火墻漏洞進行攻擊。8.數(shù)據(jù)庫安全產(chǎn)品在條件允許的情況下，可以選擇第三方的數(shù)據(jù)庫審計、數(shù)據(jù)防泄密、數(shù)據(jù)加密等數(shù)據(jù)庫安全產(chǎn)品進行數(shù)據(jù)的保護。四 數(shù)據(jù)安全管理制度根據(jù)國家法律和有關規(guī)定制定適合本單位的數(shù)據(jù)安全制度，大致需要制定如下幾個方面的管理制度： 1）對應用系統(tǒng)使用、產(chǎn)生的介質或數(shù)據(jù)按其重要性進行分類，對存放有

9、重要數(shù)據(jù)的介質，應備份必要份數(shù)，并分別存放在不同的安全地方（防火、防高溫、防震、防磁、防靜電及防盜），建立嚴格的保密保管制度。2）根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定使用人員的存取權限、存取方式和審批手續(xù)。4）重要數(shù)據(jù)（介質）庫，應設專人負責登記保管，未經(jīng)批準，不得隨意挪用重要數(shù)據(jù)（介質）。5）在使用重要數(shù)據(jù)（介質）期間，應嚴格按國家保密規(guī)定控制轉借或復制，需要使用或復制的須經(jīng)批準。6）對所有重要數(shù)據(jù)（介質）應定期檢查，要考慮介質的安全保存期限，及時更新復制。損壞、廢棄或過時的重要數(shù)據(jù)(介質)應由專人負責消磁處理，秘密級以上的重要數(shù)據(jù)（介質）在過保密期或廢棄不用時，要及時銷毀。7）機密數(shù)據(jù)處理作業(yè)結

10、束時，應及時清除存儲器、聯(lián)機磁帶、磁盤及其它介質上有關作業(yè)的程序和數(shù)據(jù)。8）機密級及以上秘密信息存儲設備不得并入互聯(lián)網(wǎng)。重要數(shù)據(jù)不得外泄，重要數(shù)據(jù)的輸入及修改應由專人來完成。重要數(shù)據(jù)的打印輸出及外存介質應存放在安全的地方，打印出的廢紙應及時銷毀。五 表格附件附件1備份介質借用申請表申請日期： 年 月 日 申請單編號借用人借用部門數(shù)據(jù)名稱數(shù)據(jù)類型 一般數(shù)據(jù) 重要數(shù)據(jù)用途借用時間 年 月 日預計歸還時間 年 月 日部門負責人建議信息管理部建議以下資料由信息管理部填寫借出備份材料編號備注借出時間借出人歸還時間回收人附件2數(shù)據(jù)庫權限申請表 申請時間： 年 月 日申請人所屬部門申請權限類型申請理由申請人申請人聯(lián)系電話協(xié) 議數(shù)據(jù)庫用戶名密碼不得外借他人，如果賬號在使用中出現(xiàn)違反支付事業(yè)部相關法規(guī)和制度，以及公司相關保密制度，將由其本人承擔一切后果，同時部門將追究申請人所屬部門的責任。 申請人（簽字）