c操作系統(tǒng)及數(shù)據(jù)庫運行安全管理辦法

1、廣西區(qū)公共資源招標(biāo)投標(biāo)服務(wù)中心操作系統(tǒng)及數(shù)據(jù)庫運行安全管理辦法1.范圍為保障廣西區(qū)公共資源招標(biāo)投標(biāo)服務(wù)中心,管理信息系統(tǒng)的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全、穩(wěn)定運行，規(guī)范操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的安全配置和日常操作管理，特制訂本管理辦法。本辦法適用于廣西區(qū)公共資源招標(biāo)投標(biāo)服務(wù)中心信息系統(tǒng)的操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的管理和運行。2.規(guī)范性引用文件下列文件中的條款通過本標(biāo)準(zhǔn)的引用而成為本標(biāo)準(zhǔn)的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，使用本標(biāo)準(zhǔn)的相關(guān)部門、單位及人員要研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。中華人

2、民共和國計算機信息系統(tǒng)安全保護條例中華人民共和國國家安全法中華人民共和國保守國家秘密法計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定中華人民共和國計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定ISO27001標(biāo)準(zhǔn)/ISO27002指南公通字200743號 信息安全等級保護管理辦法GB/T 21028-2007 信息安全技術(shù) 服務(wù)器安全技術(shù)要求GB/T 20273-2006 信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求GB/T 20272-2006 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求GB/T 20269-2006 信息安全技術(shù) 信息系統(tǒng)安全管理要求GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求G

3、B/T 22240-2008 信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南3.術(shù)語和定義下列術(shù)語和定義適用于本標(biāo)準(zhǔn)操作系統(tǒng)安全：操作系統(tǒng)所存儲、傳輸和處理的信息的保密性、完整性、和可用性表征。數(shù)據(jù)庫管理系統(tǒng)安全：數(shù)據(jù)庫管理系統(tǒng)所存儲、傳輸和處理的信息的保密性、完整性和可用性的表征。4.操作系統(tǒng)運行管理4.1操作系統(tǒng)管理員的任命4.1.1操作系統(tǒng)管理員的任命應(yīng)遵循“任期有限、權(quán)限分散”的原則；4.1.2對每個操作系統(tǒng)要分別設(shè)立操作系統(tǒng)管理員和操作系統(tǒng)審計員，并分別由不同的人員擔(dān)任。在多套系統(tǒng)的環(huán)境下，操作系統(tǒng)管理員和操作系統(tǒng)審計員崗位可交叉擔(dān)任；4.1.3操作系統(tǒng)管理員和操作系統(tǒng)審計員的任期可根據(jù)

4、系統(tǒng)的安全性要求而定，最長為三年，期滿通過考核后可以續(xù)任；4.1.4操作系統(tǒng)管理員和操作系統(tǒng)審計員必須簽訂保密協(xié)議書。4.2操作系統(tǒng)管理員帳戶的授權(quán)、審批4.2.1操作系統(tǒng)管理員和操作系統(tǒng)審計員賬戶的授權(quán)由所在部門填寫操作系統(tǒng)賬戶授權(quán)審批表，經(jīng)部門領(lǐng)導(dǎo)批準(zhǔn)后設(shè)置；4.2.2操作系統(tǒng)管理員和操作系統(tǒng)審計員人員變更后，必須及時更改帳戶設(shè)置。4.3其他帳戶的授權(quán)、審批4.3.1其他賬戶的授權(quán)由使用人填寫操作系統(tǒng)賬戶授權(quán)審批表，經(jīng)信息管理部門領(lǐng)導(dǎo)批準(zhǔn)后，由操作系統(tǒng)管理員進行設(shè)置；4.3.2外單位人員需要使用廣西區(qū)公共資源招標(biāo)投標(biāo)服務(wù)中心系統(tǒng)時, 須經(jīng)信息管理部門領(lǐng)導(dǎo)同意, 填寫外單位人員操作系統(tǒng)賬戶授

5、權(quán)審批表，報信息管理部門領(lǐng)導(dǎo)批準(zhǔn)后, 由操作系統(tǒng)管理員按規(guī)定的權(quán)限、時限設(shè)置專門的用戶帳號；4.3.3嚴禁廣西區(qū)公共資源招標(biāo)投標(biāo)服務(wù)中心任何人將自己的用戶帳號提供給外單位人員使用。4.4口令的復(fù)雜性、安全性要求和檢查4.4.1系統(tǒng)賬戶的口令長度設(shè)置至少為8位，口令必須從小寫字符（a-z）、大寫字符（A-Z）、數(shù)字（0-9）、符號(!#$%&*()_<>)中至少選擇兩種進行組合設(shè)置；4.4.2系統(tǒng)賬戶的口令必須經(jīng)常更改，每次更新的口令不得與舊的口令相同，操作系統(tǒng)應(yīng)設(shè)置相應(yīng)的口令規(guī)則；4.4.3系統(tǒng)用戶的帳號、口令、權(quán)限等禁止告知其他人員；4.4.4須根據(jù)系統(tǒng)的安全要求對操作系

6、統(tǒng)密碼策略進行設(shè)置和調(diào)整，以確?？诹罘弦蟆?.5系統(tǒng)維護和應(yīng)急處理記錄4.5.1應(yīng)對系統(tǒng)安裝、設(shè)置更改、帳號變更、備份等系統(tǒng)維護工作進行記錄，以備查閱；4.5.2應(yīng)對系統(tǒng)異常和系統(tǒng)故障的時間、現(xiàn)象、應(yīng)急處理方法及結(jié)果作詳細的記錄4.6操作系統(tǒng)軟件、資料以及許可證的管理4.6.1必須對操作系統(tǒng)軟件的介質(zhì)、資料和許可證進行登記，并設(shè)專人負責(zé)保管；4.6.2登記的內(nèi)容應(yīng)包括軟件的名稱和版本、軟件出版商、許可證類型和數(shù)量、介質(zhì)的編號和數(shù)量、軟件安裝序列號、手冊名稱和數(shù)量、購買日期等；4.6.3應(yīng)有軟件和資料的借用審批和借還登記手續(xù)；4.6.4對重要的系統(tǒng)軟件介質(zhì)和資料要進行復(fù)制，借用時宜提供復(fù)制品

7、，以保護好原件及避免丟失。4.7操作系統(tǒng)的系統(tǒng)管理員帳戶名稱、口令的管理4.7.1操作系統(tǒng)賬戶應(yīng)按照操作系統(tǒng)賬戶授權(quán)審批表批準(zhǔn)的賬戶名稱、權(quán)限和有效期予以設(shè)置；必須關(guān)閉不必使用的賬號；4.7.2操作系統(tǒng)管理員帳戶的口令除了要滿足本規(guī)范第六條中的口令要求外，還必須每42天更改一次，發(fā)現(xiàn)有異常情況時應(yīng)立即更改，每次更新的口令不得與舊的口令相同；4.7.3嚴禁把操作系統(tǒng)管理員的帳戶名稱和口令告知其他人員。4.8操作系統(tǒng)配置的備份管理4.8.1操作系統(tǒng)管理員應(yīng)對操作系統(tǒng)的配置參數(shù)及相關(guān)文件進行備份，當(dāng)配置發(fā)生變更時必須重新備份，以便系統(tǒng)發(fā)生故障時能盡快恢復(fù)系統(tǒng)配置。4.9操作系統(tǒng)的安全檢查4.9.1操

8、作系統(tǒng)管理員應(yīng)經(jīng)常檢查操作系統(tǒng)的安全配置，并確保符合安全配置要求；4.9.2操作系統(tǒng)管理員和操作系統(tǒng)審計員應(yīng)定期查看操作系統(tǒng)的運行日志和審計日志，以及時發(fā)現(xiàn)出現(xiàn)的安全問題；4.9.3操作系統(tǒng)管理員應(yīng)定期使用最新的安全檢查或安全分析工具對系統(tǒng)進行檢查，并及時消除存在的漏洞。特別是在新軟件安裝或軟件更新之后。5.數(shù)據(jù)庫系統(tǒng)運行管理5.1數(shù)據(jù)庫管理員的任命5.1.1數(shù)據(jù)庫管理員(DBA)的任命應(yīng)遵循“任期有限、權(quán)限分散”的原則；5.1.2對每個數(shù)據(jù)庫系統(tǒng)要分別設(shè)立數(shù)據(jù)庫管理員和數(shù)據(jù)庫審計員，并分別由不同的人員擔(dān)任。在多套系統(tǒng)的環(huán)境下，數(shù)據(jù)庫管理員和數(shù)據(jù)庫審計員崗位應(yīng)交叉擔(dān)任；5.1.3數(shù)據(jù)庫管理員和

9、數(shù)據(jù)庫審計員的任期可根據(jù)系統(tǒng)的安全性要求而定，最長為三年，期滿通過考核后可以續(xù)任；5.1.4數(shù)據(jù)庫管理員和數(shù)據(jù)庫審計員必須簽訂保密協(xié)議書。5.2數(shù)據(jù)庫管理員帳戶的授權(quán)，審批5.2.1數(shù)據(jù)庫管理員和數(shù)據(jù)庫審計員賬戶的授權(quán)由系統(tǒng)運行維護單位填寫數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表，經(jīng)信息管理部門領(lǐng)導(dǎo)批準(zhǔn)后設(shè)置；5.2.2數(shù)據(jù)庫管理員和數(shù)據(jù)庫審計員人員變更后，必須及時更改帳戶設(shè)置。5.3其他帳戶的授權(quán)，審批5.3.1本單位其他數(shù)據(jù)庫賬戶的授權(quán)由使用單位填寫數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表，經(jīng)信息管理部門領(lǐng)導(dǎo)批準(zhǔn)后，由數(shù)據(jù)庫管理員進行設(shè)置；5.3.2外單位人員需要使用本單位數(shù)據(jù)庫系統(tǒng)時, 須經(jīng)接待部門主管同意, 填寫外單

10、位人員數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表，報信息管理部門領(lǐng)導(dǎo)批準(zhǔn)后, 由數(shù)據(jù)庫管理員按規(guī)定的權(quán)限、時限設(shè)置專門的用戶帳號；5.3.3外單位人員數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表應(yīng)包括使用者姓名、身份證號、工作單位、接待部門、數(shù)據(jù)庫系統(tǒng)名稱和版本、主機型號、主機號、賬戶名稱、賬戶類別、授予權(quán)限、賬號和權(quán)限授予期限等；5.3.4嚴禁本單位任何人將自己的用戶帳號提供給外單位人員使用。5.4口令的復(fù)雜性、安全性要求和檢查5.4.1數(shù)據(jù)庫賬戶的口令長度設(shè)置至少為8位，口令必須從字符、數(shù)字、符號中至少選擇兩種進行組合設(shè)置；不宜使用與賬戶名稱中相同的字符或使用姓名、生日和電話號碼等其他容易猜測的字符組合；5.4.2數(shù)據(jù)庫賬戶的

11、口令必須經(jīng)常更改，至少每季度更改一次，每次更新的口令不得與舊的口令相同，應(yīng)設(shè)置相應(yīng)的口令規(guī)則；5.4.3網(wǎng)絡(luò)用戶的帳號、口令、權(quán)限等禁止告知其他人員；5.4.4必須根據(jù)安全要求對數(shù)據(jù)庫管理系統(tǒng)的密碼策略進行設(shè)置和調(diào)整，以確?？诹罘弦?。5.5系統(tǒng)維護和應(yīng)急處理記錄5.5.1應(yīng)記錄數(shù)據(jù)庫系統(tǒng)維護和應(yīng)急處理記錄；5.5.2應(yīng)對系統(tǒng)安裝、設(shè)置更改、帳號變更、表空間變更、數(shù)據(jù)對象變更、數(shù)據(jù)庫備份等系統(tǒng)維護工作進行記錄，以備查閱；5.5.3應(yīng)對系統(tǒng)異常和系統(tǒng)故障的時間、現(xiàn)象、應(yīng)急處理方法及結(jié)果作詳細的記錄。5.6數(shù)據(jù)庫系統(tǒng)軟件、資料以及許可證的管理5.6.1必須對數(shù)據(jù)系統(tǒng)軟件的介質(zhì)、資料和許可證進行登

12、記，并設(shè)專人負責(zé)保管；5.6.2登記的內(nèi)容應(yīng)包括軟件的名稱和版本、軟件出版商、許可證類型和數(shù)量、介質(zhì)的編號和數(shù)量、軟件安裝序列號、資料名稱和數(shù)量、購買日期等；5.6.3應(yīng)有軟件和資料的借用審批和借還登記手續(xù)；5.6.4對數(shù)據(jù)庫系統(tǒng)軟件介質(zhì)和資料要進行復(fù)制，借用時宜提供復(fù)制品，以保護原件及避免丟失。5.7數(shù)據(jù)庫管理員帳戶名稱、口令的管理5.7.1數(shù)據(jù)庫管理員賬戶名稱不宜使用系統(tǒng)安裝時默認的管理員賬戶名，應(yīng)按照數(shù)據(jù)庫系統(tǒng)賬戶授權(quán)審批表批準(zhǔn)的賬戶名稱、權(quán)限和有效期予以設(shè)置。必須更改系統(tǒng)安裝時默認的管理員賬戶和具有特殊權(quán)限的賬戶的口令，關(guān)閉不必使用的賬號；5.7.2數(shù)據(jù)庫管理員的口令長度必須設(shè)置至少為

13、8位，滿足口令的復(fù)雜性要求，還必須每兩周更改一次，發(fā)現(xiàn)有異常情況時應(yīng)立即更改，每次更新的口令不得與舊的口令相同；5.7.3嚴禁把DBA的帳戶名稱和口令告知其他人員。5.8數(shù)據(jù)庫系統(tǒng)配置的備份的管理5.8.1數(shù)據(jù)庫系統(tǒng)管理員應(yīng)對數(shù)據(jù)庫系統(tǒng)的配置參數(shù)及相關(guān)文件進行備份，當(dāng)配置發(fā)生變更時必須重新備份，以便系統(tǒng)故障時能盡快恢復(fù)系統(tǒng)配置。5.9數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)的備份的管理5.9.1應(yīng)制定數(shù)據(jù)庫系統(tǒng)的備份策略，定期對數(shù)據(jù)庫系統(tǒng)進行備份；5.9.2數(shù)據(jù)庫備份策略的制定要以盡可能高效地進行備份與恢復(fù)為目標(biāo)，并且與操作系統(tǒng)的備份最好地結(jié)合，宜采用物理備份與邏輯備份相結(jié)合；5.9.3必需對備份權(quán)限的設(shè)置加以嚴格控制

14、；5.9.4必須妥善存放和保管備份介質(zhì)（包括磁帶、從數(shù)據(jù)庫導(dǎo)出的文件等），防止非法訪問。對備份的介質(zhì)應(yīng)做好標(biāo)識，存放環(huán)境符合要求。5.10數(shù)據(jù)庫系統(tǒng)的安全檢查5.10.1數(shù)據(jù)庫管理員應(yīng)經(jīng)常檢查數(shù)據(jù)庫系統(tǒng)的安全配置，并確保符合安全配置要求；5.10.2數(shù)據(jù)庫管理員和數(shù)據(jù)庫審計員應(yīng)定期查看數(shù)據(jù)庫系統(tǒng)的運行日志和審計日志，以及時發(fā)現(xiàn)出現(xiàn)的安全問題；5.10.3數(shù)據(jù)庫管理員應(yīng)定期使用最新的安全檢查或安全分析工具對系統(tǒng)進行檢查，并及時消除存在的漏洞；特別是在新軟件安裝或軟件更新之后。6.附則6.1本制度由廣西區(qū)公共資源招標(biāo)投標(biāo)服務(wù)中心負責(zé)解釋。6.2本辦法自頒布之日起執(zhí)行。7附錄7.1附錄A（規(guī)范性附錄）Q/HD 212.07/JL1 操作系統(tǒng)帳戶授權(quán)審批表7.2附錄B（規(guī)范性附錄）Q/HD 212.07/JL3 外單位人員操作系統(tǒng)帳戶授權(quán)審批表7.3附錄C（規(guī)范性附錄）Q/HD 212.07/JL5 數(shù)據(jù)庫系統(tǒng)帳戶授權(quán)審