数据库全产品等保与分保的要求.docVIP

数据库全产品等级保护要求 信息安全等级保护，是指对国家秘密信息、公民、法人和其他组织的专有信息、公开信息及存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中产生的信息安全事件分等级响应、处置。 为了保证国家信息安全，国家相关部门颁布的《GB 17859-1999 计算机信息系统安全保护等级划分准则》、在2004年11月公安部、国家保密局 、国家密码管理委员会办公室、国务院信息化工作办公室四部委会签《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），规定了计算机信息系统安全保护能力从用户自主到访问验证的五个等级。政府机构、大型企业等不同机构可以根据国家的要求，遵循不同的等级保护准则。 等级 对象 侵害客体 侵害程度 监管强度 第一级 一般系统 合法权益 损害 自主保护 第二级 合法权益 严重损害 指导 社会秩序和公共利益 损害 第三级 重要系统 社会秩序和公共利益 严重损害 监督检查 国家安全 损害 第四级 社会秩序和公共利益 特别严重损害 强制监督检查 国家安全 严重损害 第五级 极端重要系统 国家安全 特别严重损害 专门监督检查 依据《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安【2007】861号文件要求，重要信息系统安全等级保护定级工作定级范围如下： 电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。 铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 市（地）级以上党政机关的重要网站和办公信息系统。 涉及国家秘密的信息系统 《信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2008)》将息系统等级保护的安全基本要求分为技术要求和管理要求两大类。基本技术要求从物理安全、网络安全、主机系统安全、应用安全和数据安全几个层面提出安全要求；基本管理要求从安全管信理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理几个方面提出安全要求。 解决方案 等保二级要求及应答 项目分类 指标类 考察项 基本要求 产品及实现 第二级 6.1.3 主机安全 6.1.3.2 访问控制(S2) a)应启用访问控制功能，依据安全策略控制用户对资源的访问 b)应实现操作系统和数据库系统特权用户的权限分立； 产品：数据库防火墙、数据库监控扫描a)实现：通过数据库防火墙访问控制功能，可基于IP、SQL语句，操作时间、客户端、关键字等条件制定相应的访问控制策略 b)实现：通过数据库监控扫描对权限配置不合理进行扫描，同时通过数据库防火墙进行二次的访问控制 6.1.3.3 安全审计(G2) a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户 b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件 c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。 d)应保护审计记录，避免受到未预期的删除、修改或覆盖等。 产品：数据库审计a)、b、)c)实现：通过数据库审计或者数据库防火墙的审计功能，对服务器上的每个操作系统用户和数据库用户进行审计，可对发生时间、客户端IP地址、客户端MAC、终端程序、访问账号、访问数据库名、操作表名、SQL语句、数据库响应时间以及返回结果等关键信息进行审计d)实现：数据库审计或者数据库防火墙产品的具备独立的日志存储功能，且按照三权分立设置，审计记录可避免受到未预期的删除、修改或覆盖。 6.1.4 应用安全 6.1.4.1 访问控制 a)应提供访问控制功能，依据安全策略控制用户对文件、数据库表等客体的访问 b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作 c)应由授权主体配置访问控制策略，并严格限制默认账户的访问权限 d)应授予不同账户为完成各自承担任务所需的最小权限，并在它们之间形成互相制约的关系 产品：数据库防火墙、数据库监控扫描a)、b)实现：通过数据库防火墙访问控制功能，可基于IP、数据库表、SQL语句，操作时间、客户端、关键字等条件制定相应的访问控制策略c)实现：通过数据库监控扫描对默认账号及其权限进行扫描，发现存在的风险同时通过数据库防火墙对用户权限进行限制。d)实现：通过数据库监控扫描对数据库账号及其权限进行扫描分析，通过数据库防火墙对用户权限进行最小权限。 6.1.4.3 安全审计(G2) a)应提供覆盖到每个用户的安全审计功能，对