数据安全规范.docxVIP

数据平安管理规范 1 范围 本标准规定数据平安规范的基本要求。本标准适用于服务器机房，监控室等。 数据信息完整性 确保所实行的数据信息管理和技术措施以及掩盖范围的完整性。 应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏，并在检测到完整性错误时 实行必要的恢复措施。 具备完整的用户访问、处理、删除数据信息的操作记录力量，以备审计。 在传输数据信息时，经过担忧全网络的（例如INTERNET 网），需要对传输的数据信息供应完整性校验。 应具备完善的权限管理策略，支持权限最小化原则、合理授权。 数据信息保密性 数据信息保密性平安规范用于保障业务平台重要业务数据信息的平安传递与处理应用， 确保数据信息能够被平安、便利、透亮的使用。为此，业务平台应接受加密等平安措施开展 数据信息保密性工作。 应接受加密效措施实现重要业务数据信息传输保密性； 应接受加密实现重要业务数据信息存储保密性； 加密平安措施主要分为密码平安及密钥平安。 密码平安要求 密码的使用应当遵循以下原则 不能将密码写下来，不能通过电子邮件传输； 不能使用缺省设置的密码； 不能将密码告知别人； 假如系统的密码泄漏了，必需马上更改； 密码要以加密形式保存，加密算法强度要高，加密算法要不行逆； 系统应当强制指定密码的策略，包括密码的最短有效期、最长有效期、最短长度、简单性等； 假如需要特殊用户的口令（比如说 administrator），要禁止通过该用户进行 交互式登录。 密钥平安要求 密钥管理对于有效使用密码技术至关重要。密钥的丢失和泄露可能会损害数据信息的保密性、重要性和完整性。因此，应实行加密技术等措施来有效爱护密钥，以免密钥被非法修改和破坏；（这段说的是密钥的重要性，建议不要） 应对生成、存储和归档保存密钥的设备实行物理爱护。（什么样的物理爱护？） 密钥的管理 密钥产生：为不同的密码系统和不同的应用生成密钥； 密钥证书：生成并猎取密钥证书； 密钥分发：向目标用户分发密钥，包括在收到密钥时如何将之激活； 密钥存储：为当前或近期使用的密钥或备份密钥供应平安存储，包括授权用户如何访问密钥； 密钥变更：包括密钥变更时机及变更规章，处置被泄露的密钥； 密钥撤销：包括如何收回或者去激活密钥，如在密钥已被泄露或者相关运维操作员离开业务平台部门时（在这种状况下，应当归档密钥）； 密钥恢复：作为业务平台连续性管理的一部分，对丢失或破坏的密钥进行恢复； 密钥归档：归档密钥，以用于归档或备份的数据信息； 密钥销毁：密钥销毁将删除该密钥管理下数据信息客体的全部记录，将无法恢复，因此， 在密钥销毁前，应确认由此密钥爱护的数据信息不再需要。 数据信息备份与恢复 备份要求 数据信息备份应接受性能牢靠、不宜损坏的介质，如磁带、光盘等。备份数据信息的物理介质应注明数据信息的来源、备份日期、恢复步骤等信息，并置于平安环境保管。 一般状况下对服务器和网络平安设备的配置数据信息每月进行一次的备份，当进行配置修改、系统版本升级、补丁安装等操作前也要进行备份； 网络设备配置文件在进行版本升级前和配置修改后进行备份。 运维操作员应确保对核心业务数据每日进行增量备份，每周做一次包括数据信息的全备份。业务系统将进行重大系统变更时，应对核心业务数据进行数据信息的全备份。 备份执行过程应有具体的规划和记录，包括备份主体、备份时间、备份策略、备份路径、记录介质（类型）等。 备份恢复管理 运维操作员应依据不同业务系统实际拟定需要测试的备份数据信息以及测试的周期。 对于因设备故障、操作失误等造成的一般故障，需要恢复部分设备上的备份数据信息， 遵循特别大事处理流程，由运维操作员负责恢复。应尽可能地定期检查和测试备份介质和备 份信息，保持其可用性和完整性，并确保 在规定的时间内恢复系统。 应确定重要业务信息的保存期以及其它需要永久保存的归档拷贝的保存期。 恢复程序应定期接受检查及测试，以确保在恢复操作程序所预定的时间内完成。