數(shù)據(jù)安全運(yùn)維指導(dǎo)建議

1、精選優(yōu)質(zhì)文檔-傾情為你奉上數(shù)據(jù)安全運(yùn)維指導(dǎo)建議一 概述1.數(shù)據(jù)安全的含義數(shù)據(jù)安全有兩方面的含義：一是數(shù)據(jù)本身的安全，主要是指采用現(xiàn)代密碼算法對(duì)數(shù)據(jù)進(jìn)行主動(dòng)保護(hù)，如數(shù)據(jù)保密、數(shù)據(jù)完整性、雙向身份認(rèn)證等，二是數(shù)據(jù)防護(hù)的安全，主要是采用現(xiàn)代信息存儲(chǔ)手段對(duì)數(shù)據(jù)進(jìn)行主動(dòng)防護(hù)，如通過磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)等手段保證數(shù)據(jù)的安全。數(shù)據(jù)處理的安全是指如何有效的防止數(shù)據(jù)在錄入、處理、統(tǒng)計(jì)或打印中由于硬件故障、斷電、死機(jī)、人為的誤操作、程序缺陷、病毒或黑客等造成的數(shù)據(jù)庫(kù)損壞或數(shù)據(jù)丟失現(xiàn)象，某些敏感或保密的數(shù)據(jù)可能不具備資格的人員或操作員閱讀，而造成數(shù)據(jù)泄密等后果。而數(shù)據(jù)存儲(chǔ)的安全是指數(shù)據(jù)庫(kù)在系統(tǒng)運(yùn)行之外的可讀

2、性。一旦數(shù)據(jù)庫(kù)被盜，即使沒有原來的系統(tǒng)程序，照樣可以另外編寫程序?qū)ΡI取的數(shù)據(jù)庫(kù)進(jìn)行查看或修改。從這個(gè)角度說，不加密的數(shù)據(jù)庫(kù)是不安全的，容易造成商業(yè)泄密，所以便衍生出數(shù)據(jù)防泄密這一概念這就涉及了計(jì)算機(jī)網(wǎng)絡(luò)通信的保密、安全及軟件保護(hù)等問題。2.威脅數(shù)據(jù)安全的因素威脅數(shù)據(jù)安全的因素有很多，主要有以下幾個(gè)比較常見：1）硬盤驅(qū)動(dòng)器損壞：一個(gè)硬盤驅(qū)動(dòng)器的物理損壞意味著數(shù)據(jù)丟失。設(shè)備的運(yùn)行損耗、存儲(chǔ)介質(zhì)失效、運(yùn)行環(huán)境以及人為的破壞等，都能造成硬盤驅(qū)動(dòng)器設(shè)備造成影響。2）人為錯(cuò)誤：由于操作失誤，使用者可能會(huì)誤刪除系統(tǒng)的重要文件，或者修改影響系統(tǒng)運(yùn)行的參數(shù)，以及沒有按照規(guī)定要求或操作不當(dāng)導(dǎo)致的系統(tǒng)宕機(jī)。3）黑客

3、：入侵者借助系統(tǒng)漏洞、監(jiān)管不力等通過網(wǎng)絡(luò)遠(yuǎn)程入侵系統(tǒng)。4）病毒：計(jì)算機(jī)感染病毒而招致破壞，甚至造成的重大經(jīng)濟(jì)損失，計(jì)算機(jī)病毒的復(fù)制能力強(qiáng)，感染性強(qiáng)，特別是網(wǎng)絡(luò)環(huán)境下，傳播性更快。5）信息竊?。簭挠?jì)算機(jī)上復(fù)制、刪除信息或干脆把計(jì)算機(jī)偷走。6）自然災(zāi)害7）電源故障：電源供給系統(tǒng)故障，一個(gè)瞬間過載電功率會(huì)損壞在硬盤或存儲(chǔ)設(shè)備上的數(shù)據(jù)。二 關(guān)鍵數(shù)據(jù)的保護(hù)方法數(shù)據(jù)是信息化系統(tǒng)真正的核心，企業(yè)已經(jīng)把關(guān)鍵數(shù)據(jù)視為正常運(yùn)作的基礎(chǔ)。一旦遭遇數(shù)據(jù)災(zāi)難，那么整體工作會(huì)陷入癱瘓，帶來難以估量的損失。保護(hù)關(guān)鍵的業(yè)務(wù)數(shù)據(jù)有許多種方法，但以下三種是基本方法：1.備份關(guān)鍵數(shù)據(jù)備份數(shù)據(jù)就是在其他介質(zhì)上保存數(shù)據(jù)的副本。有兩種基本

4、的備份方法：完整備份和增量備份。完整備份會(huì)把所選的數(shù)據(jù)完整地復(fù)制到其他介質(zhì)。增量備份僅備份上次完整備份以來添加或更改的數(shù)據(jù)。通過增量備份擴(kuò)充完整備份通常較快且占用較少的存儲(chǔ)空間?？梢钥紤]每周進(jìn)行一次完整備份，然后每天進(jìn)行增量備份。但是，如果要在崩潰后恢復(fù)數(shù)據(jù)，則把花費(fèi)較長(zhǎng)的時(shí)間，因?yàn)槭紫缺仨氁謴?fù)完整備份，然后才恢復(fù)每個(gè)增量備份。如果對(duì)此感到擔(dān)擾，則可以采取另一種方案，每晚進(jìn)行完整備份；只需使備份在下班后自動(dòng)運(yùn)行即可。通過實(shí)際把數(shù)據(jù)恢復(fù)到測(cè)試位置來經(jīng)常測(cè)試備份是個(gè)好主意。這具有以下作用：確保備份介質(zhì)和備份數(shù)據(jù)狀況良好、確定恢復(fù)過程中的問題、可提供一定程度的信心。不僅必須確保數(shù)據(jù)以精確和安全的方

5、式得到備份，而且必須確保在需要進(jìn)行恢復(fù)時(shí)，這些數(shù)據(jù)能夠順利地裝回系統(tǒng)中。2.權(quán)限管理操作系統(tǒng)和服務(wù)器都可對(duì)由于員工的活動(dòng)所造成的數(shù)據(jù)丟失提供保護(hù)。通過服務(wù)器，可以根據(jù)用戶在組織內(nèi)的角色和職責(zé)而為其分配不同級(jí)別的權(quán)限。不應(yīng)為所有用戶提供“管理員”訪問權(quán)，這并不是維護(hù)安全環(huán)境的最佳做法，而是應(yīng)制定“賦予最低權(quán)限”策略，把服務(wù)器配置為賦予各個(gè)用戶僅能使用特定的程序并明確定義用戶權(quán)限。3.對(duì)敏感數(shù)據(jù)加密對(duì)數(shù)據(jù)加密意味著把其轉(zhuǎn)換為一種可偽裝數(shù)據(jù)的格式。加密用于在網(wǎng)絡(luò)間存儲(chǔ)或移動(dòng)數(shù)據(jù)時(shí)確保其機(jī)密性和完整性。僅那些具有工具來對(duì)加密文件進(jìn)行解密的授權(quán)用戶可以訪問這些文件。加密對(duì)其他訪問控制方法是一種補(bǔ)充，且對(duì)

6、容易被盜的計(jì)算機(jī)（例如便攜式計(jì)算機(jī)）上的數(shù)據(jù)或網(wǎng)絡(luò)上共享的文件提供多一層保護(hù)。把上述這三種方法結(jié)合起來，可以為企業(yè)提供保證數(shù)據(jù)安全所需的保護(hù)級(jí)別。三 實(shí)施措施1. 嚴(yán)格權(quán)限設(shè)置建議用戶使用最小權(quán)限創(chuàng)建用戶，這樣的好處是哪怕該賬號(hào)被黑客攻擊，黑客也僅僅得到相當(dāng)有限的權(quán)限。 此外，在很多在線運(yùn)行的信息系統(tǒng)，嚴(yán)格控制權(quán)限需要開發(fā)廠商對(duì)系統(tǒng)進(jìn)行整改，雖然會(huì)對(duì)系統(tǒng)正常運(yùn)行造成一些影響，但卻在很大程度上提高了安全等級(jí)。 對(duì)于應(yīng)用在UNIX環(huán)境的數(shù)據(jù)庫(kù)，還需要對(duì)賬戶權(quán)限進(jìn)行嚴(yán)格的監(jiān)控，此外，還需要對(duì)于數(shù)據(jù)庫(kù)的系統(tǒng)文件和數(shù)據(jù)文件、配置文件進(jìn)行權(quán)限設(shè)置，防治被認(rèn)為的進(jìn)行修改或刪除。2. 加強(qiáng)口令強(qiáng)度數(shù)據(jù)庫(kù)管理員

7、在安全防護(hù)工作中需要將沒用的賬戶進(jìn)行刪除，并對(duì)常用賬號(hào)進(jìn)行口令管理，設(shè)置足夠復(fù)雜的口令，并定期進(jìn)行修改。最后，審核配置文件，將開發(fā)廠商預(yù)留的默認(rèn)賬戶進(jìn)行刪除。3. 及時(shí)升級(jí)補(bǔ)丁 數(shù)據(jù)庫(kù)管理員要每天關(guān)注開發(fā)廠商發(fā)布的升級(jí)公告，在不影響系統(tǒng)正常使用的前提下，及時(shí)下載升級(jí)補(bǔ)丁并安裝。 4. 優(yōu)化安全策略 對(duì)安全策略進(jìn)行有針對(duì)性的設(shè)置，例如設(shè)置最大錯(cuò)誤登陸次數(shù)、口令解鎖時(shí)間、口令復(fù)雜度。同時(shí)在安裝數(shù)據(jù)庫(kù)，針對(duì)實(shí)際使用情況，關(guān)閉不需要的服務(wù)和模塊。 5. 加強(qiáng)信息加密管理 數(shù)據(jù)庫(kù)管理員要經(jīng)常修改系統(tǒng)中的banner信息，可以通過設(shè)置服務(wù)口令來防治信息泄露。此外，還可以要求開發(fā)廠商對(duì)于數(shù)據(jù)庫(kù)的敏感信息進(jìn)行

8、加密設(shè)置，使用較為強(qiáng)壯的加密算法，保證關(guān)鍵信息不被外泄.6. 設(shè)置審計(jì)策略 建議用戶開啟數(shù)據(jù)庫(kù)日志審核模塊，開放審計(jì)登錄事件、數(shù)據(jù)庫(kù)操作事件、敏感信息操作事件等。7. 合理使用綜合防護(hù)措施 設(shè)置數(shù)據(jù)庫(kù)訪問控制策略，并限制訪問數(shù)據(jù)庫(kù)的IP，此外，對(duì)于防火墻也需要進(jìn)行有效的設(shè)置，防止黑客利用防火墻漏洞進(jìn)行攻擊。8.數(shù)據(jù)庫(kù)安全產(chǎn)品在條件允許的情況下，可以選擇第三方的數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)防泄密、數(shù)據(jù)加密等數(shù)據(jù)庫(kù)安全產(chǎn)品進(jìn)行數(shù)據(jù)的保護(hù)。四 數(shù)據(jù)安全管理制度根據(jù)國(guó)家法律和有關(guān)規(guī)定制定適合本單位的數(shù)據(jù)安全制度，大致需要制定如下幾個(gè)方面的管理制度： 1）對(duì)應(yīng)用系統(tǒng)使用、產(chǎn)生的介質(zhì)或數(shù)據(jù)按其重要性進(jìn)行分類，對(duì)存放有

9、重要數(shù)據(jù)的介質(zhì)，應(yīng)備份必要份數(shù)，并分別存放在不同的安全地方（防火、防高溫、防震、防磁、防靜電及防盜），建立嚴(yán)格的保密保管制度。2）根據(jù)數(shù)據(jù)的保密規(guī)定和用途，確定使用人員的存取權(quán)限、存取方式和審批手續(xù)。4）重要數(shù)據(jù)（介質(zhì)）庫(kù)，應(yīng)設(shè)專人負(fù)責(zé)登記保管，未經(jīng)批準(zhǔn)，不得隨意挪用重要數(shù)據(jù)（介質(zhì)）。5）在使用重要數(shù)據(jù)（介質(zhì)）期間，應(yīng)嚴(yán)格按國(guó)家保密規(guī)定控制轉(zhuǎn)借或復(fù)制，需要使用或復(fù)制的須經(jīng)批準(zhǔn)。6）對(duì)所有重要數(shù)據(jù)（介質(zhì)）應(yīng)定期檢查，要考慮介質(zhì)的安全保存期限，及時(shí)更新復(fù)制。損壞、廢棄或過時(shí)的重要數(shù)據(jù)(介質(zhì))應(yīng)由專人負(fù)責(zé)消磁處理，秘密級(jí)以上的重要數(shù)據(jù)（介質(zhì)）在過保密期或廢棄不用時(shí)，要及時(shí)銷毀。7）機(jī)密數(shù)據(jù)處理作業(yè)結(jié)

10、束時(shí)，應(yīng)及時(shí)清除存儲(chǔ)器、聯(lián)機(jī)磁帶、磁盤及其它介質(zhì)上有關(guān)作業(yè)的程序和數(shù)據(jù)。8）機(jī)密級(jí)及以上秘密信息存儲(chǔ)設(shè)備不得并入互聯(lián)網(wǎng)。重要數(shù)據(jù)不得外泄，重要數(shù)據(jù)的輸入及修改應(yīng)由專人來完成。重要數(shù)據(jù)的打印輸出及外存介質(zhì)應(yīng)存放在安全的地方，打印出的廢紙應(yīng)及時(shí)銷毀。五 表格附件附件1備份介質(zhì)借用申請(qǐng)表申請(qǐng)日期： 年 月 日 申請(qǐng)單編號(hào)借用人借用部門數(shù)據(jù)名稱數(shù)據(jù)類型 一般數(shù)據(jù) 重要數(shù)據(jù)用途借用時(shí)間 年 月 日預(yù)計(jì)歸還時(shí)間 年 月 日部門負(fù)責(zé)人建議信息管理部建議以下資料由信息管理部填寫借出備份材料編號(hào)備注借出時(shí)間借出人歸還時(shí)間回收人附件2數(shù)據(jù)庫(kù)權(quán)限申請(qǐng)表 申請(qǐng)時(shí)間： 年 月 日申請(qǐng)人所屬部門申請(qǐng)權(quán)限類型申請(qǐng)理由申請(qǐng)人申請(qǐng)人聯(lián)系電話協(xié) 議數(shù)據(jù)庫(kù)用戶名密碼不得外借他人，如果賬號(hào)在使用中出現(xiàn)違反支付事業(yè)部相關(guān)法規(guī)和制度，以及公司相關(guān)保密制度，將由其本人承擔(dān)一切后果，同時(shí)部門將追究申請(qǐng)人所屬部門的責(zé)任。 申請(qǐng)人（簽字）