數(shù)據(jù)安全規(guī)范

數(shù)據(jù)安全規(guī)范數(shù)據(jù)安全規(guī)范數(shù)據(jù)安全規(guī)范xxx公司數(shù)據(jù)安全規(guī)范文件編號(hào)：文件日期：修訂次數(shù)：第1.0次更改批準(zhǔn)審核制定方案設(shè)計(jì)，管理制度數(shù)據(jù)安全管理規(guī)范1范圍本標(biāo)準(zhǔn)規(guī)定數(shù)據(jù)安全規(guī)范的基本要求。本標(biāo)準(zhǔn)適用于服務(wù)器機(jī)房，監(jiān)控室等。3數(shù)據(jù)信息完整性確保所采取的數(shù)據(jù)信息管理和技術(shù)措施以及覆蓋范圍的完整性。應(yīng)能夠檢測(cè)到網(wǎng)絡(luò)設(shè)備操作系統(tǒng)、主機(jī)操作系統(tǒng)、數(shù)據(jù)庫(kù)管理系統(tǒng)和應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù)據(jù)在存儲(chǔ)過(guò)程中完整性受到破壞，并在檢測(cè)到完整性錯(cuò)誤時(shí)采取必要的恢復(fù)措施。具備完整的用戶(hù)訪(fǎng)問(wèn)、處理、刪除數(shù)據(jù)信息的操作記錄能力，以備審計(jì)。在傳輸數(shù)據(jù)信息時(shí)，經(jīng)過(guò)不安全網(wǎng)絡(luò)的（例如INTERNET網(wǎng)），需要對(duì)傳輸?shù)臄?shù)據(jù)信息提供完整性校驗(yàn)。應(yīng)具備完善的權(quán)限管理策略，支持權(quán)限最小化原則、合理授權(quán)。4數(shù)據(jù)信息保密性數(shù)據(jù)信息保密性安全規(guī)范用于保障業(yè)務(wù)平臺(tái)重要業(yè)務(wù)數(shù)據(jù)信息的安全傳遞與處理應(yīng)用，確保數(shù)據(jù)信息能夠被安全、方便、透明的使用。為此，業(yè)務(wù)平臺(tái)應(yīng)采用加密等安全措施開(kāi)展數(shù)據(jù)信息保密性工作。應(yīng)采用加密效措施實(shí)現(xiàn)重要業(yè)務(wù)數(shù)據(jù)信息傳輸保密性；應(yīng)采用加密實(shí)現(xiàn)重要業(yè)務(wù)數(shù)據(jù)信息存儲(chǔ)保密性；加密安全措施主要分為密碼安全及密鑰安全。5密碼安全要求密碼的使用應(yīng)該遵循以下原則a)不能將密碼寫(xiě)下來(lái)，不能通過(guò)電子郵件傳輸；b)不能使用缺省設(shè)置的密碼；c)不能將密碼告訴別人；d)如果系統(tǒng)的密碼泄漏了，必須立即更改；e)密碼要以加密形式保存，加密算法強(qiáng)度要高，加密算法要不可逆；f)系統(tǒng)應(yīng)該強(qiáng)制指定密碼的策略，包括密碼的最短有效期、最長(zhǎng)有效期、最短長(zhǎng)度、復(fù)雜性等；g)如果需要特殊用戶(hù)的口令（比如說(shuō)administrator），要禁止通過(guò)該用戶(hù)進(jìn)行交互式登錄。6密鑰安全要求密鑰管理對(duì)于有效使用密碼技術(shù)至關(guān)重要。密鑰的丟失和泄露可能會(huì)損害數(shù)據(jù)信息的保密性、重要性和完整性。因此，應(yīng)采取加密技術(shù)等措施來(lái)有效保護(hù)密鑰，以免密鑰被非法修改和破壞；（這段說(shuō)的是密鑰的重要性，建議不要）應(yīng)對(duì)生成、存儲(chǔ)和歸檔保存密鑰的設(shè)備采取物理保護(hù)。（什么樣的物理保護(hù)）7密鑰的管理密鑰產(chǎn)生：為不同的密碼系統(tǒng)和不同的應(yīng)用生成密鑰；密鑰證書(shū)：生成并獲取密鑰證書(shū)；密鑰分發(fā)：向目標(biāo)用戶(hù)分發(fā)密鑰，包括在收到密鑰時(shí)如何將之激活；密鑰存儲(chǔ)：為當(dāng)前或近期使用的密鑰或備份密鑰提供安全存儲(chǔ)，包括授權(quán)用戶(hù)如何訪(fǎng)問(wèn)密鑰；密鑰變更：包括密鑰變更時(shí)機(jī)及變更規(guī)則，處置被泄露的密鑰；密鑰撤銷(xiāo)：包括如何收回或者去激活密鑰，如在密鑰已被泄露或者相關(guān)運(yùn)維操作員離開(kāi)業(yè)務(wù)平臺(tái)部門(mén)時(shí)（在這種情況下，應(yīng)當(dāng)歸檔密鑰）；密鑰恢復(fù)：作為業(yè)務(wù)平臺(tái)連續(xù)性管理的一部分，對(duì)丟失或破壞的密鑰進(jìn)行恢復(fù)；密鑰歸檔：歸檔密鑰，以用于歸檔或備份的數(shù)據(jù)信息；密鑰銷(xiāo)毀：密鑰銷(xiāo)毀將刪除該密鑰管理下數(shù)據(jù)信息客體的所有記錄，將無(wú)法恢復(fù)，因此，在密鑰銷(xiāo)毀前，應(yīng)確認(rèn)由此密鑰保護(hù)的數(shù)據(jù)信息不再需要。8數(shù)據(jù)信息備份與恢復(fù)備份要求數(shù)據(jù)信息備份應(yīng)采用性能可靠、不宜損壞的介質(zhì)，如磁帶、光盤(pán)等。備份數(shù)據(jù)信息的物理介質(zhì)應(yīng)注明數(shù)據(jù)信息的來(lái)源、備份日期、恢復(fù)步驟等信息，并置于安全環(huán)境保管。一般情況下對(duì)服務(wù)器和網(wǎng)絡(luò)安全設(shè)備的配置數(shù)據(jù)信息每月進(jìn)行一次的備份，當(dāng)進(jìn)行配置修改、系統(tǒng)版本升級(jí)、補(bǔ)丁安裝等操作前也要進(jìn)行備份；網(wǎng)絡(luò)設(shè)備配置文件在進(jìn)行版本升級(jí)前和配置修改后進(jìn)行備份。運(yùn)維操作員應(yīng)確保對(duì)核心業(yè)務(wù)數(shù)據(jù)每日進(jìn)行增量備份，每周做一次包括數(shù)據(jù)信息的全備份。業(yè)務(wù)系統(tǒng)將進(jìn)行重大系統(tǒng)變更時(shí)，應(yīng)對(duì)核心業(yè)務(wù)數(shù)據(jù)進(jìn)行數(shù)據(jù)信息的全備份。備份執(zhí)行過(guò)程應(yīng)有詳細(xì)的規(guī)劃和記錄，包括備份主體、備份時(shí)間、備份策略、備份路徑、記錄介質(zhì)（類(lèi)型）等。備份恢復(fù)管理運(yùn)維操作員應(yīng)根據(jù)不同業(yè)務(wù)系統(tǒng)實(shí)際擬定需要測(cè)試的備份數(shù)據(jù)信息以及測(cè)試的周期。對(duì)于因設(shè)備故障、操作失誤等造成的一般故障，需要恢復(fù)部分設(shè)備上的備份數(shù)據(jù)信息，遵循異常事件處理流程，由運(yùn)維操作員負(fù)責(zé)恢復(fù)。應(yīng)盡可能地定期檢查和測(cè)試備份介質(zhì)和備份信息，保持其可用性和完整性