2024云与数据库安全管理与技术标准规范.docx

云与数据库安全管理与技术标准规范

目 录

范围 1

规范性引用文件 1

术语和定义 1

合规性 1

可用性 1

产品分类 1

技术要求 1

云计算安全 1

数据库安全 1

网络安全 2

应用安全 2

试验方法 3

检验规则 3

PAGE

PAGE1

云与数据库安全管理与技术标准规范

范围

本标准规定了本司信息安全相关技术要求，本标准适用于本司信息安全管理和技术实施的相关单位和人员。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T

29246-2017

信息技术安全技术信息安全控制实践

GB/T

25069-2010

信息技术安全技术信息安全管理体系

GB/T

18336-2015

信息技术安全技术信息技术安全性评估

术语和定义

下列术语和定义适用于本标准。

合规性

公司的信息安全政策和措施应符合国家有关法律法规、行业标准及公司内部规定。

可用性

确保信息资产在需要时能够及时、有效地被访问和使用。

产品分类

云计算安全：包括云平台安全、云服务安全、云数据安全等方面的要求。数据库安全：包括数据库访问控制、数据加密、安全审计等方面的要求。网络安全：包括网络防御、入侵检测、安全策略等方面的要求。

应用安全：包括应用系统安全、接口安全、安全防护等方面的要求。

技术要求

云计算安全

云平台安全：确保云平台基础设施的安全稳定，防范虚拟化和分布式环境中的安全风险。要求云平台具备至少双路冗余电源、网络设备具备至少两个独立的网络接入点

，实现负载均衡和故障切换。

云服务安全：提供安全的云服务，包括身份认证、访问控制、数据加密等。要求用户访问云服务时必须进行身份认证，采用SSL加密传输数据。

云数据安全：保护云数据的安全，包括数据加密、数据备份、数据恢复等。要求数据备份至少每天一次，备份数据保留至少30天。

数据库安全数据保密性

数据库管理系统应提供数据加密功能，对敏感数据进行加密存储和传输，防止数据泄露。要求对敏感数据进行加密存储，采用加密通信协议传输数据。

数据完整性

数据库管理系统应确保数据的完整性，防止数据被篡改、损坏或丢失。要求采用校验和、数据签名等技术对数据进行完整性保护。

数据可用性

数据库管理系统应确保数据在需要时能够及时、有效地被访问和使用。要求具备故障恢复能力，确保在系统故障时能够快速恢复数据。数据库访问控制：采用严格的访问控制策略，限制对数据库的访问。要求数据库管理员对敏感数据的访问权限进行严格控制，遵循最小权限原则。

数据加密

对敏感数据采用加密存储和传输，防止数据泄露。要求对敏感数据进行加密存储，采用加密通信协议传输数据。

访问授权

数据库管理系统应实现访问授权功能，对用户进行身份认证和权限控制，确保用户只能访问和操作授权范围内的数据和资源。要求采用基于角色的访问控制策略。

安全审计

对数据库的访问、操作和变更等进行审计，发现和防范安全风险。要求安全审计记录至少保存6个月。

网络安全

网络防御：部署防火墙、入侵检测系统等设备，防范网络攻击。要求网络设备开启防病毒、入侵检测等功能，并定期更新病毒库和规则。

入侵检测：对网络流量进行实时监控，发现并阻止恶意行为。要求入侵检测系统对网络流量进行实时监控，对异常行为进行报警和阻断。

安全策略：制定并实施网络安全策略，确保网络环境的安全稳定。要求网络设备、服务器遵循安全配置指南，关闭不必要的服务和端口。

应用安全

应用系统安全：确保应用系统的安全，包括安全开发、安全配置、漏洞修复等。要求开发人员遵循安全编程规范，对应用系统进行安全漏洞扫描和修复。

接口安全：对应用系统接口进行安全防护，防止接口攻击和数据泄露。要求接口采用HTTPS加密传输，对输入数据进行合法性检查。

安全防护：采用安全防护技术，防范应用层安全风险。要求应用系统具备防跨站脚本攻击、SQL注入等安全防护功能。

试验方法

试验环境：搭建与公司实际应用场景相符的试验环境，确保试验结果的准确性。试验工具：选择适用于公司产品的试验工具，保证试验过程的顺利进行。

试验数据：准备与公司实际应用场景相符的试验数据，以验证产品性能。

检验规则

试验级别：根据产品的重要性和安全性要求，设定试验的级别。要求对涉及核心业务的高风险产品进行严格的安全测试。

试验时间：规定试验的时间周期，确保试验的充分性有效性。要求至少进行一周的试验，覆盖各种典型应用场景。

试验结果评价：对试验结果进行评价，判断产品是否满足信息安全要求。要求对试验中发现的安全问题进行整改，并验证整改措施的有效性。