1數(shù)據(jù)安全管理規(guī)范

1、 1.1數(shù)據(jù)安全管理規(guī)范4 大數(shù)據(jù)安全管理規(guī)范 1.1. 范圍 ?本標(biāo)準(zhǔn)規(guī)定數(shù)據(jù)安全規(guī)范的基本要求。 ?本標(biāo)準(zhǔn)適用于服務(wù)器機(jī)房，監(jiān)控室等。 2.2. 數(shù)據(jù)信息完整性 2.12.1 確保所采取的數(shù)據(jù)信息管理和技術(shù)措施以及覆蓋范圍 的完整性。 2.22.2 應(yīng)能夠檢測到網(wǎng)絡(luò)設(shè)備操作系統(tǒng)、主機(jī)操作系統(tǒng)、數(shù)據(jù) 庫管理系統(tǒng)和應(yīng)用系統(tǒng)的系統(tǒng)管理數(shù)據(jù)、鑒別信息和重要業(yè)務(wù)數(shù) 據(jù)在存儲過程中完整性受到破壞， 并在檢測到完整性錯誤時米取 必要的恢復(fù)措施。 2.32.3 具備完整的用戶訪問、處理、刪除數(shù)據(jù)信息的操作記錄 能力，以備審計。 2.42.4在傳輸數(shù)據(jù)信息時，經(jīng)過不安全網(wǎng)絡(luò)的 （例如 INTERNETINT

2、ERNET 網(wǎng)） ，需要對傳輸?shù)臄?shù)據(jù)信息提供完整性校驗。 2.52.5 應(yīng)具備完善的權(quán)限管理策略，支持權(quán)限最小化原則、臺 理授權(quán)。 3.3. 數(shù)據(jù)信息保密性 3.13.1 數(shù)據(jù)信息保密性安全規(guī)范用于保障業(yè)務(wù)平臺重要業(yè)務(wù) 數(shù)據(jù)信息的安全傳遞與處理應(yīng)用，確保數(shù)據(jù)信息能夠被安全、方 便、透明的使用。為此，業(yè)務(wù)平臺應(yīng)采用加密等安全措施開展數(shù) 據(jù)信息保密性工作。 3.23.2 應(yīng)采用加密效措施實現(xiàn)重要業(yè)務(wù)數(shù)據(jù)信息傳輸保密性； 3.33.3 應(yīng)采用加密實現(xiàn)重要業(yè)務(wù)數(shù)據(jù)信息存儲保密性； 3.43.4 加密安全措施主要分為密碼安全及密鑰安全。 4.4. 密碼安全要求 密碼的使用應(yīng)該遵循以下原則： a a） 不

3、能將密碼寫下來，不能通過電子郵件傳輸； b b） 不能使用缺省設(shè)置的密碼； c c） 不能將密碼告訴別人； d d） 如果系統(tǒng)的密碼泄漏了，必須立即更改； e e） 密碼要以加密形式保存，加密算法強(qiáng)度要高，加密算法 要不可逆； f f） 系統(tǒng)應(yīng)該強(qiáng)制指定密碼的策略，包括密碼的最短有效期、 最長有效期、最短長度、復(fù)雜性等； g g） 如果需要特殊用戶的口令（比如說 administratoradministrator）,要禁 止通過該用戶進(jìn)行交互式登錄。 5.5. 密鑰安全要求 5.15.1 密鑰管理對于有效使用密碼技術(shù)至關(guān)重要。密鑰的丟失 和泄露可能會損害數(shù)據(jù)信息的保密性、重要性和完整性。因此

4、， 應(yīng)采取加密技術(shù)等措施來有效保護(hù)密鑰，以免密鑰被非法修改和 破壞；（這段說的是密鑰的重要性，建議不要） 5.25.2 應(yīng)對生成、存儲和歸檔保存密鑰的設(shè)備采取 物理保護(hù)。（什么樣的物理保護(hù)？） 6.6. 密鑰的管理 6.16.1 密鑰產(chǎn)生：為不同的密碼系統(tǒng)和不同的應(yīng)用生成密鑰； 6.26.2 密鑰證書：生成并獲取密鑰證書； 6.36.3 密鑰分發(fā)：向目標(biāo)用戶分發(fā)密鑰，包括在收到密鑰時如 何將之激活； 6.46.4 密鑰存儲：為當(dāng)前或近期使用的密鑰或備份密鑰提供安 全存儲，包括授權(quán)用戶如何訪問密鑰； 6.56.5 密鑰變更：包括密鑰變更時機(jī)及變更規(guī)則，處置被泄露 的密鑰； 6.66.6 密鑰撤銷

5、：包括如何收回或者去激活密鑰，如在密鑰已 被泄露或者相關(guān)運(yùn)維操作員離開業(yè)務(wù)平臺部門時（在這種情況 下，應(yīng)當(dāng)歸檔密鑰）； 6.76.7 密鑰恢復(fù)：作為業(yè)務(wù)平臺連續(xù)性管理的一部分，對丟失 或破壞的密鑰進(jìn)行恢復(fù)； 6.86.8 密鑰歸檔：歸檔密鑰，以用于歸檔或備份的數(shù)據(jù)信息； 6.96.9 密鑰銷毀：密鑰銷毀將刪除該密鑰管理下數(shù)據(jù)信息客體 的所有記錄，將無法恢復(fù)，因此，在密鑰銷毀前，應(yīng)確認(rèn)由此密 鑰保護(hù)的數(shù)據(jù)信息不再需要。 7.7. 數(shù)據(jù)信息備份與恢復(fù) 7.17.1 備份要求 7.1.17.1.1 數(shù)據(jù)信息備份應(yīng)采用性能可靠、不宜損壞的介質(zhì)，如 磁帶、光盤等。備份數(shù)據(jù)信息的物理介質(zhì)應(yīng)注明數(shù)據(jù)信息的來

6、源、 備份日期、恢復(fù)步驟等信息，并置于安全環(huán)境保管。 7.1.2 7.1.2 一般情況下對服務(wù)器和網(wǎng)絡(luò)安全設(shè)備的配置數(shù)據(jù)信息 每月進(jìn)行一次的備份，當(dāng)進(jìn)行配置修改、系統(tǒng)版本升級、補(bǔ)丁安 裝等操作前也要進(jìn)行備份； 7.1.37.1.3 網(wǎng)絡(luò)設(shè)備配置文件在進(jìn)行版本升級前和配置修改后進(jìn) 行備份。 7.1.47.1.4 運(yùn)維操作員應(yīng)確保對核心業(yè)務(wù)數(shù)據(jù)每日進(jìn)行增量備份， 每周做一次包括數(shù)據(jù)信息的全備份。 業(yè)務(wù)系統(tǒng)將進(jìn)行重大系統(tǒng)變 更時，應(yīng)對核心業(yè)務(wù)數(shù)據(jù)進(jìn)行數(shù)據(jù)信息的全備份。 7.1.57.1.5 備份執(zhí)行過程應(yīng)有詳細(xì)的規(guī)劃和記錄，包括備份主體、 備份時間、備份策略、備份路徑、記錄介質(zhì)（類型）等。 7.27.2 備份恢復(fù)管理 7.2.17.2.1 運(yùn)維操作員應(yīng)根據(jù)不同業(yè)務(wù)系統(tǒng)實際擬定需要測試的 備份數(shù)據(jù)信息以及測試的周期。 7.2.27.2.2 對于因設(shè)備故障、操作失誤等造成的一般故障，需要 恢復(fù)部分設(shè)備上的備份數(shù)據(jù)信息， 遵循異常事件處理流程，由運(yùn) 維操作員負(fù)責(zé)恢復(fù)。應(yīng)盡可能地定期檢查和測試備份介質(zhì)和備份 信息，保持其可用性和完整性，并確保在規(guī)定