从等保要求谈数据库安全

厘清事实真相是最基本的要求

数据库安全=主机安全+数据安全

一. 思考一

6月1日国家网络安全法正式实施

信息安全行业备受重视

暂时忘了如火如荼的传播造势

安静下来，思考一些基本的安全理念

究竟被混淆了多少

今天，在等保标准里我们先来厘清

数据库安全与数据安全之间的关系？

关于数据库安全，公安部信息安全等级保护评估中心的等保要求解释如下：数据库安全是主机安全的一个部分，数据库的测评指标是从“主机安全”和“数据安全及备份恢复”中根据数据库的特点映射得到的。

检验一家信息安全企业是否合格，有一个绕不过去的标准——是否做到“以攻促防”？

信息安全企业必须具备“以攻促防”的发展思路

二. 思考二

企业要有一块领域，

不为变现，只为驱动技术创新

数据库攻防实验的核心理念是

“以攻促防”

做好数据库安全防护工作的“防”

前提是要像攻击者一样深谙“攻击”之道

因此信息安全企业

需要搭建一套攻防研究体系

这套体系需要投入大量人力、财力

然而却并不会给企业带来眼前的利益

原因何在？

只有对黑客攻击的手段、节奏、危害等做到了然于胸，才能有的放矢，做好防护产品。没有对数据库漏洞攻击的研究，数据库安全防护就好似纸上谈兵，失去了真实依据。

2010年成立的安华金和数据库攻防实验室（DBSec Labs），是我国一支独立的、持久的针对数据库安全漏洞、数据库攻击技术模拟和数据库安全防护技术进行研究的专业队伍。对数据库安全漏洞进行研究，是DBSLab的首要职责，目前DBSec Labs不仅在国产数据库的漏洞挖掘方面卓有成效，而且对国际数据库的漏洞挖掘获得认可；同时，也针对黑客数据库入侵手段、数据库防护手段作了深入研究。

对于信息安全企业来说，能不囿于当下，不盲目追逐眼前利益，而是基于长远考虑，积极投身攻防实验，付出长达数年的潜心研究，实在是一个企业立定在信息安全领域，目光如炬，追求可持续发展的最好体现。

让攻防研究成为技术产品研发的内在驱动力，激发企业在产品和技术研发方面的创新力，为整个信息安全行业的发展释放更大的安全价值。

等级保护要求下的数据库安全纵深防御思路

三. 思考三

大量的敏感信息存储于数据库中

按照信息安全等级保护的要求

如何做好核心数据资产的安全防护呢？

数据库安全=DBMS系统(数据库管理系统）安全+访问路径安全+核心数据安全

前两点与主机安全要求正好吻合，等保要求主机安全涉及：身份鉴别、访问控制、安全审计、入侵防范、资源控制、恶意代码防范等方面。对此，安华金和提供的数据库安全纵深防御思路如下：

1）事前诊断

通过数据库漏扫技术，有效监测数据库自身漏洞和使用中的安全隐患，并提供修复建议。

2）事中控制

通过数据库防火墙技术，从网络层实现数据库的主动防御，解决数据库安全的70%问题，能够防止SQL注入、数据库漏洞攻击以及对敏感数据的非法访问。

3）底线防守

通过数据库加密技术，防止由于敏感信息明文存储导致的泄密，依靠独立于数据库的权控体系，实现三权分立的安全管理手段，密文索引提高查询速度，应用透明使现有的应用程序和运维操作无需改变。

通过数据库脱敏技术，彻底解决生产区到测试区的真实数据泄漏，在满足合规要求的同时，实现测试数据依然可用。

4）事后追查

通过数据库审计技术实现数据库操作的全面精确记录，具备风险状况、运行状况、性能状况和语句分布的实时监控能力。

研发部门数据库管理规范标准

版/次：2015.11.19 数据库管理规编制：钱凌杰审核：批准：分发号： XXX信息科技 2015年11月

目录一、总则 (3) 二、适用围 (3) 三、数据库管理员主要职责 (3) 四、数据库的日常管理工作 (3) 4.1每日的管理工作 (3) 4.2数据库管理的每月工作 (4) 4.3数据库管理的每年工作 (4) 五、数据库的安全管理 (5) 5.1数据库环境安全 (5) 5.2数据库系统安装、启动与更新时的安全规定 (5) 5.3安全和口令策略 (6) 5.4访问控制 (8) 5.5紧急事故的处理 (8) 5.6数据库文件管理 (9) 5.7数据库安全管理 (9) 六、备份与恢复 (9) 6.1备份方式及策略 (10) 6.2备份要求 (10) 6.3恢复的管理 (11) 6.4对长期保存的备份进行校验 (12) 6.5异地容灾备份 (12) 七、日志及监控审计 (12) 7.1审计围 (12) 7.2日志保存 (12) 7.3日志访问 (13) 7.4安全审计 (13) 八、数据存放、归档管理 (13) 九、附则 (14)

一、总则为规XXX信息科技（以下简称“公司”）信息系统的数据库管理和配置方法，保障信息系统稳定安全地运行，特制订本办法。二、适用围本规中所定义的数据管理容，特指存放在信息系统数据库中的数据，对于存放在其他介质的数据管理，参照相关管理办法执行。三、数据库管理员主要职责 1、负责对数据库系统进行合理配置、测试、调整，最大限度地发挥设备资源优势。负责数据库的安全运行。 2、负责定期对所管辖的数据库系统的配置进行可用性，可靠性，性能以及安全检查。 3、负责定期对所管辖的数据库系统的可用性，可靠性，性能以及安全的配置方法进行修订和完善。 4、负责对所管辖的数据库系统运行过程中出现的问题及时处理解决。 5、负责对所管辖数据库系统的数据一致性和完整性，并协助应用开发人员、使用操作等相关人员做好相关的配置、检查等工作。 6、负责做好数据库系统及数据的备份和恢复工作。四、数据库的日常管理工作 4.1每日的管理工作数据库管理员每天登录到服务器操作系统，进行如下检查工作：

软件工程-数据库设计规范与命名规则

数据库设计规范、技巧与命名规范一、数据库设计过程数据库技术是信息资源管理最有效的手段。数据库设计是指：对于一个给定的应用环境，构造最优的数据库模式，建立数据库及其应用系统，有效存储数据，满足用户信息要求和处理要求。数据库设计的各阶段： A、需求分析阶段：综合各个用户的应用需求(现实世界的需求)。 B、在概念设计阶段：形成独立于机器和各DBMS产品的概念模式(信息世界模型)，用E-R图来描述。 C、在逻辑设计阶段：将E-R图转换成具体的数据库产品支持的数据模型，如关系模型，形成数据库逻辑模式。然后根据用户处理的要求，安全性的考虑，在基本表的基础上再建立必要的视图(VIEW)形成数据的外模式。 D、在物理设计阶段：根据DBMS特点和处理的需要，进行物理存储安排，设计索引，形成数据库内模式。 1. 需求分析阶段需求收集和分析，结果得到数据字典描述的数据需求(和数据流图描述的处理需求)。需求分析的重点：调查、收集与分析用户在数据管理中的信息要求、处理要求、安全性与完整性要求。需求分析的方法：调查组织机构情况、各部门的业务活动情况、协助用户明确对新系统的各种要求、确定新系统的边界。常用的调查方法有：跟班作业、开调查会、请专人介绍、询问、设计调查表请用户填写、查阅记录。分析和表达用户需求的方法主要包括自顶向下和自底向上两类方法。自顶向下的结构化分析方法(Structured Analysis，简称SA方法)从最上层的系统组织机构入手，采用逐层分解的方式分析系统，并把每一层用数据流图和数据字典描述。数据流图表达了数据和处理过程的关系。系统中的数据则借助数据字典(Data Dictionary，简称DD)来描述。 2. 概念结构设计阶段通过对用户需求进行综合、归纳与抽象，形成一个独立于具体DBMS的概念模型，可以用E-R图表示。概念模型用于信息世界的建模。概念模型不依赖于某一个DBMS支持的数据模型。概念模型可以转换为计算机上某一 DBMS 支持的特定数据模型。概念模型特点： (1) 具有较强的语义表达能力，能够方便、直接地表达应用中的各种语义知识。 (2) 应该简单、清晰、易于用户理解，是用户与数据库设计人员之间进行交流的语言。概念模型设计的一种常用方法为IDEF1X方法，它就是把实体-联系方法应用到语义数据模型中的一种语义模型化技术，用于建立系统信息模型。使用IDEF1X方法创建E-R模型的步骤如下所示:

ORACLE数据库安全规范

数据库安全规范

1概述 1.1适用范围本规范明确了Oracle数据库安全配置方面的基本要求。 1.2符号和缩略语 2 ORACLE安全配置要求本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求，在未特别说明的情况下，均适用于ORACLE数据库。本规范从ORACLE数据库的认证授权功能和其它自身安全配置功能提出安全要求。 2.1账号 ORACLE应提供账号管理及认证授权功能，并应满足以下各项要求。 2.1.1按用户分配帐号

2.1.2删除或锁定无关帐号 2.1.3用户权限最小化要求内容在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权

限。

grant 权限 to user name; revoke 权限 from user name; 2、补充操作说明用第一条命令给用户赋相应的最小权限用第二条命令收回用户多余的权限业务测试正常 4、检测操作业务测试正常 5、补充说明 2.1.4使用ROLE 管理对象的权限 1. 使用Create Role 命令创建角色。 2.使用用Grant 命令将相应的系统、对象或 Role 的权限赋予应用用户。 2、补充操作说明对应用用户不要赋予 DBA Role 或不必要的权限。 4、检测操作 1.以DBA 用户登陆到 sqlplus 中。 2.通过查询 dba_role_privs 、dba_sys_privs 和 dba_tab_privs 等视图来检查是否使用ROLE 来管理对象权限。 5、补充说明操作指南 1、参考配置操作检测方法 3、判定条件要求内容使用数据库角色（ROLE ）来管理对象的权限。操作指南 1、参考配置操作检测方法 3、判定条件

Oracle数据库安全配置规范华为

目录 1概述 (2) 1.1适用范围 (2) 1.2内部适用性说明 .......................................................................................................... 错误！未定义书签。 1.3外部引用说明 .............................................................................................................. 错误！未定义书签。 1.4术语和定义 .................................................................................................................. 错误！未定义书签。 1.5符号和缩略语 (2) 2ORACLE安全配置要求 (2) 2.1账号 (2) 2.2口令 (7) 2.3日志 (11) 2.4其他 (13)

1概述 1.1适用范围本规范明确了Oracle数据库安全配置方面的基本要求。 1.2符号和缩略语 2ORACLE安全配置要求本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求，在未特别说明的情况下，均适用于ORACLE数据库。本规范从ORACLE数据库的认证授权功能、安全日志功能，和其他自身安全配置功能提出安全要求。 2.1账号 ORACLE应提供账号管理及认证授权功能，并应满足以下各项要求。 2.1.1按用户分配帐号

专题数据库建设推荐标准规范

专题数据库建设推荐标准规范（一）数据采集规范 1.数据来源包括在人文社会科学研究过程中采集、加工和积累的研究数据。 2.采集对象包括社会调查、统计分析、案例集成、基础文献等一手数据和原始资料。 3.数据类型包括数值、文本、图片、音频、视频和空间数据等。 4.采集方式包括自动采集、半自动采集和手工采集等。（二）数据加工规范 1.数字对象唯一标识符规范采用《我国数字图书馆标准规范建设》项目（CDLS）所推荐的唯一标识符体系以及数据中心规定的相关标准。 2.专题数据库的核心元数据应符合《TR-REC-014数据集核心元数据规范》及数据中心的相关要求。 3.音频资料描述元数据规范及著录规则，遵循《CDLS-S05-031音频资料描述元数据规范》和《CDLS-S05-032音频资料元数据著录规则》所推荐的一系列相关标准以及数据中心规定的相关标准。 4.其它资料描述元数据规范及著录规则，遵循《我国数字图书馆标准规范建设》项目（CDLS）所推荐的一系列相关标准及数据中心规定的相关标准。

5.各类接口所实现服务的标识应符合《TR-REC-017资源唯一标识规范》的相关规范要求。 6.文本、图片、音频、视频等各类型数据能够转换为数据中心规定的数字文件格式。 7.专题数据库数据的加工过程需严格执行两重审核制度，保证数据格式符合规定标准。（三）数据库系统规范 1.专题数据库系统平台必须使用正版数据库管理系统软件，推荐使用关系数据库管理系统，遵守SQL语言系列标准。 2.专题数据库系统平台应具备数据备份及容灾机制，重要数据应进行异地备份。 3.专题数据库系统平台应具备一定的扩充能力，系统的模块化程度高，软件维护方便。 4.专题数据库系统平台应遵循中国国家标准GB/T 20273-2006《数据库管理系统安全技术要求》，具有切实可行的安全保护和保密措施，确保数据永久安全。（四）专题数据库应用系统规范 1.专题数据库应用系统至少包括数据采集、数据加工、数据检测、数据浏览、数据检索、用户管理和数据维护七大类功能。 2.专题数据库应用系统至少支持开放数据访问接口、开放索引数据收割接口和开放服务状态监控接口三类功能接口。 3.专题数据库应用系统向数据中心提供访问完整数据记

数据安全管理规范标准[详]

业务平台安全管理制度 —数据安全管理规范

XXXXXXXXXXX公司网络运行维护事业部目录一. 概述 (1) 二. 数据信息安全管理制度 (2) 2.1数据信息安全存储要求 (2) 2.2数据信息传输安全要求 (2) 2.3数据信息安全等级变更要求 (3) 2.4数据信息安全管理职责 (3) 三. 数据信息重要性评估 (5) 3.1数据信息分级原则 (5) 3.2数据信息分级 (5) 四. 数据信息完整性安全规范 (7)

五. 数据信息保密性安全规范 (8) 5.1密码安全 (8) 5.2密钥安全 (9) 六. 数据信息备份与恢复 (11) 6.1数据信息备份要求 (11) 6.1.1 备份要求 (11) 6.1.2 备份执行与记录 (11) 6.2备份恢复管理 (12)

一. 概述数据信息安全，顾名思义就是要保护数据信息免受威胁的影响，从而确保业务平台的连续性，缩减业务平台有可能面临的风险，为整个业务平台部门的长期正常运行提供强有力的保障。为加强数据信息的安全管理，保证数据信息的可用性、完整性、机密性，特制定本规范。

二. 数据信息安全管理制度 2.1 数据信息安全存储要求数据信息存储介质包括：纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。存储介质管理须符合以下规定： ◆包含重要、敏感或关键数据信息的移动式存储介质须专人值守。 ◆删除可重复使用存储介质上的机密及绝密数据时，为了避免在可移动介质上遗留信息，应该对介质进行消磁或彻底的格式化，或者使用专用的工具在存储区域填入无用的信息进行覆盖。 ◆任何存储媒介入库或出库需经过授权，并保留相应记录，方便审计跟踪。 2.2 数据信息传输安全要求 ◆在对数据信息进行传输时，应该在风险评估的基础上采用合理的加密技术，选择和应用加密技术时，应符合以下规范： ?必须符合国家有关加密技术的法律法规； ?根据风险评估确定保护级别，并以此确定加密算法的类型、属性，以及所用密钥的长度；

数据库设计和编码规范

数据库设计和编码规范 Version

简介读者对象此文档说明书供开发部全体成员阅读。目的一个合理的数据库结构设计是保证系统性能的基础。一个好的规范让新手容易进入状态且少犯错，保持团队支持顺畅，系统长久使用后不至于紊乱，让管理者易于在众多对象中，获取所需或理清问题。同时，定义标准程序也需要团队合作，讨论出大家愿意遵循的规范。随着时间演进，还需要逐步校订与修改规范，让团队运行更为顺畅。数据库命名规范团队开发与管理信息系统讲究默契，而制定服务器、数据库对象、变量等命名规则是建立默契的基本。命名规则是让所有的数据库用户，如数据库管理员、程序设计人员和程序开发人员，可以直观地辨识对象用途。而命名规则大都约定俗成，可以依照公司文化、团队习惯修改并落实。规范总体要求 1.避免使用系统产品本身的惯例，让用户混淆自定义对象和系统对象或关键词。例如，存储过程不要以sp_或xp_开头，因为SQL SERVER的系统存储过程以 sp_开头，扩展存储过程以xp_开头。 2.不要使用空白符号、运算符号、中文字、关键词来命名对象。 3.名称不宜过于简略，要让对象的用途直观易懂，但也不宜过长，造成使用不方便。 4.不用为数据表内字段名称加上数据类型的缩写。 5.名称中最好不要包括中划线。

6.禁止使用[拼音]+[英语]的方式来命名数据库对象或变量。数据库对象命名规范我们约定，数据库对象包括表、视图（查询）、存储过程（参数查询）、函数、约束。对象名字由前缀和实际名字组成，长度不超过30。避免中文和保留关键字，做到简洁又有意义。前缀就是要求每种对象有固定的开头字符串，而开头字符串宜短且字数统一。可以讨论一下对各种对象的命名规范，通过后严格按照要求实施。例如：

数据库设计方法、规范与技巧

数据库设计方法、规范与技巧一、数据库设计过程数据库技术是信息资源管理最有效的手段。数据库设计是指对于一个给定的应用环境，构造最优的数据库模式，建立数据库及其应用系统，有效存储数据，满足用户信息要求和处理要求。数据库设计中需求分析阶段综合各个用户的应用需求（现实世界的需求），在概念设计阶段形成独立于机器特点、独立于各个DBMS产品的概念模式（信息世界模型），用E-R图来描述。在逻辑设计阶段将E-R图转换成具体的数据库产品支持的数据模型如关系模型，形成数据库逻辑模式。然后根据用户处理的要求，安全性的考虑，在基本表的基础上再建立必要的视图（VIEW）形成数据的外模式。在物理设计阶段根据DBMS特点和处理的需要，进行物理存储安排，设计索引，形成数据库内模式。 1. 需求分析阶段需求收集和分析，结果得到数据字典描述的数据需求（和数据流图描述的处理需求）。需求分析的重点是调查、收集与分析用户在数据管理中的信息要求、处理要求、安全性与完整性要求。需求分析的方法：调查组织机构情况、调查各部门的业务活动情况、协助用户明确对新系统的各种要求、确定新系统的边界。常用的调查方法有：跟班作业、开调查会、请专人介绍、询问、设计调查表请用户填写、查阅记录。分析和表达用户需求的方法主要包括自顶向下和自底向上两类方法。自顶向下的结构化分析方法（Structured Analysis，简称SA方法）从最上层的系统组织机构入手，采用逐层分解的方式分析系统，并把每一层用数据流图和数据字典描述。数据流图表达了数据和处理过程的关系。系统中的数据则借助数据字典（Data Dictionary，简称DD）来描述。数据字典是各类数据描述的集合，它是关于数据库中数据的描述，即元数据，而不是数据本身。数据字典通常包括数据项、数据结构、数据流、数据存储和处理过程五个部分(至少应该包含每个字段的数据类型和在每个表内的主外键)。数据项描述＝｛数据项名，数据项含义说明，别名，数据类型，长度，取值范围，取值含义，与其他数据项的逻辑关系｝数据结构描述＝｛数据结构名，含义说明，组成:｛数据项或数据结构｝｝数据流描述＝｛数据流名，说明，数据流来源，数据流去向，组成:｛数据结构｝，平均流量，高峰期流量｝数据存储描述＝｛数据存储名，说明，编号，流入的数据流，流出的数据流，组成:｛数据结构｝，数据量，存取方式｝处理过程描述＝｛处理过程名，说明，输入:｛数据流｝，输出:｛数据流｝, 处理:｛简要说明｝｝ 2. 概念结构设计阶段通过对用户需求进行综合、归纳与抽象，形成一个独立于具体DBMS的概念模型，可以用E-R图表示。概念模型用于信息世界的建模。概念模型不依赖于某一个DBMS支持的数据模型。概念模型可以转换为计算机上某一DBMS支持的特定数据模型。概念模型特点： (1) 具有较强的语义表达能力，能够方便、直接地表达应用中的各种语义知识。 (2) 应该简单、清晰、易于用户理解，是用户与数据库设计人员之间进行交流的语言。概念模型设计的一种常用方法为IDEF1X方法，它就是把实体-联系方法应用到语义数据模型中的一种语义模型化技术，用于建立系统信息模型。使用IDEF1X方法创建E-R模型的步骤如下所示: 2.1 第零步——初始化工程

Oracle数据库安全配置规范

Oracle数据库安全配置规范 1概述 1.1目的本规范明确了oraclｅ数据库安全配置方面的基本要求。为了提高oｒacｌe数据库的安全性而提出的。 1.2范围本规范适用于XＸXXＸ适用的oraｃle数据库版本。 2配置标准 2.1账号管理及认证授权 2.1.1按照用户分配账号 [目的]应按照用户分配账号，避免不同用户共享账号。 [具体配置] create user abc1 identifiｅd ｂｙｐasswoｒd1； crｅatｅｕser abc2 iｄentｉｆｉｅｄｂy password2; 建立role，并给role授权，把roｌe赋给不同的用户删除无关账号。 [检测操作]

2.1.2删除无用账号 [目的］应删除或锁定与数据库运行、维护等工作无关的账号。 [具体配置] aｌter user usernamｅｌock; dｒop user uｓername cａscａde; ［检测操作] 2.1.3限制DBＡ远程登入［目的]限制具备数据库超级管理员（SYSＤＢA）权限的用户远程登录。 [具体配置] 1.在spｆile中设置RＥMOTE_LOＧIN_PＡSSＷORDFIＬE=ＮＯNE来禁止 SYSDBA用户从远程登陆。 2.在sqlnet.orａ中设置SQLNET.AUTHＥＮＴICATIＯＮ_ＳＥRＶICES=NONE来禁用SYSＤBA角色的自动登入。 [检测操作] 1.以Oraｃle用户登入到系统中。 2.以sｑlpｌｕｓ‘/asｓyｓdbａ’登入到sqlpｌｕs环境中。 3.使用shoｗｐarameter 命令来检查参数REMOTE＿ＬOGIN_PASSWORDFＩＬE是否设置为NＯNE。Show pａrametｅr REMOTE＿LOＧIN_ＰASSWORDF ＩLＥ

安全隐患数据库管理办法

安全隐患数据系统管理规定为推动公司安全管理工作“公开化、透明化、规范化”，体现“齐抓共管，确保安全”的原则，安检部与信息中心联合开发了“安全生产隐患数据信息系统”，经过试运行，证明这种管理模式有助于全员参与查找不安全因素，最终达到彻底消除隐患之目的。为确保此项工作落到实处，充分调动职工参与的积极性，规范安全管理人员的行为，制定如下管理办法。一、管理规定（一）公司任何一位员工，均有查找不安全隐患，并向安全隐患数据库填、录的权利和义务。在OA系统上未注册的人员，可借用已注册人员的OA登录，已注册人员不许拒绝。（二）各公司主要负责人需经常关注该数据库系统的内容，对安全员提出的处理结果与完成时限进行审核，并提供大力支持，确保隐患按期整改完成。（三）各公司安全员作为安全生产管理专职人员，负责对在周、月及不定时检查中发现的安全生产隐患及时录入数据库系统，各公司主管安全生产的经理对此负有监督、管理责任；（四）各公司安全员对隐患整改过程，负有监督、检查的权利和义务，对不能完成整改的，要说明原因，写出书面报告，报本公司经理，经理确认、签字后，上报安检部。（五）各公司安全员应将安全隐患数据库的使用方法，宣贯到每一个职工，并鼓励和支持他们发现和填报安全生产隐患。

（六）各公司班组负责人对在日常工作当中发现的安全生产隐患，及时录入数据库系统，未及时录入的应承担相应责任，安全员对此负有监督、管理责任。（七）总公司安检部是安全管理的职能部门，对各种隐患的处理结果与完成期限进行跟踪与监督，发现未按要求整改的，提出处理意见并上报总公司领导。（八）总公司信息中心对数据库的正常运行提供技术支持和服务，及时解决运行中的问题。二、奖惩规定（一）对于积极参与查找不安全隐患，或及时发现重大隐患的员工与管理层人员按如下办法实施奖励： 1、员工提出不安全隐患，经确认属实，每月三处以上的，根据隐患风险程度给予50-500元的奖励；发现重大隐患的给予500-2000元的奖励；并以此作为评选安全先进单位和个人的前提条件； 2、管理层人员提出不安全隐患，或处理隐患方案合理、期限及时，经确认属实，适隐患风险程度给予50-200元的奖励；对重大隐患处理及时的给予200-1000元的奖励。（二）对于各部门经理、分公司经理（副经理）、安全员、各部门主管，不履行安全生产职责，有下列情况之一的实施处罚： 1、对在日常工作中发现了安全生产隐患，故意隐瞒不向数据库系统填报的，罚款200元； 2、对已发现的安全生产隐患，不积极采取措施处理，或对下级报送的隐患不安排，置之不理的，罚款1000元；

人口基础数据库建设规范

竭诚为您提供优质文档/双击可除人口基础数据库建设规范篇一：全员人口数据库建设培训手册入户调查———信息卡登记填写篇以下几个率，我们各级检查中是要考核的，数据库的建设必须达到如下指标： 1、全员人口个案信息覆盖率要求达到95% 口个案信息覆盖率=去除重复个案后数据库包含人口数/应纳入全员库人口总数×100% 应纳入全员库人口包括本地户籍人口（含流出人口）与流入人口。 2、准确率（已采集信息正确的人数占已采集所有人数的比例）（具体计算可能要通过逻辑审核或者是实地调查核与信息卡数据库核对结果计算）95%以上。 3、项目完整率（每人约有50项采集内容，其中每人已采集项目与总项目数的比例）（在实际计算中可能选择其中几项必须填写项来计算，如逻辑审核中重点核实的缺少必填写项目审核） 4、数据库更新及时率（出生或者是四术发生变动时，

数据库是否及时变更，数据库中出生和四术的上报日期与实际的出生日期和实际避孕措施开始日期的变更不应超过三个月或者是更短日期，否则视为不及时）以上各项指标的高低是关系到全员人口数据库建设成败与否的关键因素。只有信息采集达到上述标准要求，才能为下一步全员录入奠定基础。下面将全员人口信息采集步骤详细叙述如下：一、全员人口数据库要求实现以房管人，内蒙采集规范对房屋的编码要求如下：内蒙至村级编码示意图：（系统中已经固定编码）村级至户级示意图：（小区至户未固定编码）二、具体到平房或楼房中编码规则如下：如图：这个平房小区共有三排：第一排共一列，这一列有三院，一院大门向东开，一院里有三户人家，二院大门向南，院内有两户人家，三院有一户人家；第二排共两列，第一列共一院，院内有两户人家，第二列共有两院，第一院有两户人家，第二院有一户人家；第三排共一列，这一列有两院人家，第一院有两户，第二院有一户。那么这个小区内的房屋编码依次为：

网络数据和信息安全管理规范

网络数据和信息安全管理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】

X X X X有限公司 WHB-08 网络数据和信息安全管理规范版本号: A/0 编制人： XXX 审核人： XXX 批准人： XXX 20XX年X月X日发布 20XX年X月X日实施

目的计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行，充分发挥信息服务方面的重要作用，更好的为公司运营提供服务，依据国家有关法律、法规的规定，结合公司实际情况制定本规定。术语本规范中的名词术语（比如“计算机信息安全”等）符合国家以及行业的相关规定。计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识，控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。狭义上的计算机信息安全，是指防止有害信息在计算机网络上的传播和扩散，防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏，防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。网络安全，是指保护计算机网络的正常运行，防止网络被入侵、攻击等，保证合法用户对网络资源的正常访问和对网络服务的正常使用。计算机及网络安全员，是指从事的保障计算机信息及网络安全工作的人员。普通用户，是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。主机系统，指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。网络服务，包含通过开放端口提供的网络服务，如WWW、Email、FTP、Telnet、DNS等。有害信息，参见国家现在法律法规的定义。

数据库建设规范

数据库建设规范目录 1. 前言 2 2. 范围 3 3. 术语和定义3 范式3 关联3 关系模型 3 视图3 外键3 约束3 主键4 4. 命名规范 4 规范约定 4 表名4 视图4 存储过程 4 函数4 触发器 5 字段5 索引5 5. 数据库建设过程规范 5

概述5 需求分析阶段 6 需求调查 6 内容分析 6 概念结构设计阶段7 定义实体 7 定义关系 7 定义属性 7 定义键8 定义索引 8 定义其他对象和规则9 逻辑结构设计阶段9 数据库物理设计阶段10 实施、运行、维护规范11 6. 数据库建设安全性规范11 概述12 完整性设计12 物理安全 14 访问控制 14 数据备份 15 前言

数据库技术是信息资源管理最有效的手段。数据库设计是指对于一个给定的应用环境，构造最优的数据库模式，建立数据库及其应用系统，有效存储数据，满足用户信息要求和处理要求。本规范通过数据建库的命名、结构、建库过程及安全性措施等几个技术方面进行约定，目的就是提供一套规范、合理、科学的建库技术体系，应用系统提供建库技术参考。范围本规范主要从关系数据库的命名、关系和结构以及建设过程等几个方面来规定数据库设计应遵循的规范。术语和定义范式关系数据库中的关系是要满足一定要求的，满足不同程度要求的为不同范式。满足最低要求的叫第一范式，简称1NF。在第一范式中满足进一步要求的为第二范式，其余以此类推。一般而言，数据库的设计应至少满足第三范式。关联关联是不同表之间的数据彼此联系的方法。关联同时存在于形成不同实体的数据项之间和表实体本身之间，构成了数据库规范化的基本核心问题。它分为一对一、一对多、多对多三种关联形式。关系模型关系模型由关系数据结构、关系操作集合和关系完整性约束三部分组成。在关系模型中，实体与实体间的联系都是用关系来表示的。视图视图是一个定制的虚拟表。可以是本地的、远程的或带参数的；其数据可以来源于一个或多个表，或者其他视图；它是可更新的，可以引用远程表；它可以更新数据源。视图是基于数据库的，因此，创建视图的前必须有数据库。外键外键是一个关系中的一组属性（一个或多个列），它同时也是某种（相同的或其它的）关系中的主键。它是关系之间的逻辑链接。约束

数据库服务器安全配置检查表

数据库服务器安全配置检查表更新日期：2004年04月12日本页内容如何使用本检查表产品服务器的安装注意事项修补程序和更新程序服务协议帐户文件和目录共享端口注册表审核与日志记录 SQL Server 安全性 SQL Server 登录、用户和角色 SQL Server 数据库对象其他注意事项保持安全如何使用本检查表本检查表随模块18 保证数据库服务器的安全一起提供。本检查表可帮助您保护数据库服务器，并可用作相应模块的快照。返回页首产品服务器的安装注意事项

返回页首修补程序和更新程序返回页首服务

协议在在数据库服务器上强化返回页首帐户使用具有最少权限的本地帐户运行从禁用重命名强制执行强密码策略。限制远程登录。限制使用空会话（匿名登录）。帐户委派必须经过审批。不使用共享帐户。限制使用本地

文件和目录返回页首共享从服务器中删除所有不必要的共享。限制对必需的共享的访问（如果不需要管理性共享（ Operations Manager (MOM) 返回页首端口

和配置在同一端口侦听命名实例。如果端口将防火墙配置为支持在服务器网络实用工具中，选中返回页首注册表返回页首审核与日志记录记录所有失败的记录文件系统中的所有失败的操作。启用将日志文件从默认位置移走，并使用访问控制列表加以保护。将日志文件配置为适当大小，具体取决于应用程序的安全需要。

返回页首 SQL Server 安全性返回页首 SQL Server 登录、用户和角色返回页首

数据库运行管理规范

数据库运行管理规范 1总则 1.1为规范XX公司信息通信分公司（以下简称“公司”）信息系统的数据库管理和配置方法，保障信息系统稳定安全地运行，特制订本办法。 2适用范围本规范中所定义的数据管理内容，特指存放在信息系统数据库中的数据，对于存放在其他介质的数据管理，参照相关管理办法执行。 3数据库管理员主要职责 3.1负责对数据库系统进行合理配置、测试、调整，最大限度地发挥设备资源优势。负责数据库的安全运行。 3.2负责定期对所管辖的数据库系统的配置进行可用性，可靠性，性能以及安全检查。 3.3负责定期对所管辖的数据库系统的可用性，可靠性，性能以及安全的配置方法进行修订和完善。 3.4负责对所管辖的数据库系统运行过程中出现的问题及时处理解决。 3.5负责对所管辖数据库系统的数据一致性和完整性，并协助应用开发人员、使用操作等相关人员做好相关的配置、检查等工作。 3.6负责做好数据库系统及数据的备份和恢复工作。 4数据库的日常管理工作 4.1每日的管理工作 4.1.1数据库管理员每天登录到服务器操作系统，进行如下检查工作： (1)检查所有的数据库实例状态以及所有与数据库相关的后台进程。

(2)检查数据库网络的连通与否，比如查看监听器（listener）的状态、网络能否ping通其它的计算机、应用系统的客户端能否连通服务器等等。 (3)检查磁盘空间的使用情况。如果剩余的空间不足 20% ，需要删除不用的文件以释放空间。 (4)查看告警文件有无异常。 (5)根据数据库系统的特点，检查其它的日志文件中的内容，发现异常要及时加以处理。 (6)检查cpu、内存及IO等的状态。 4.2数据库管理的每月工作 (1)收集数据库的性能统计数据，检查高速缓存区命中率、资源争用等统计信息，若不理想，设法加以分析改善。 (2)检查数据对象存储空间碎片情况，必要时加以调整。 (3)比较分析数据库系统和操作系统的CPU，内存，网络，及硬盘的利用率，以此确定出近期将可能出现的资源争夺趋势，必要时加以调整，以避免系统资源的争夺，如果调整还达不到要求，须考虑增加新资源。 (4)检查每日数据库管理工作的执行情况，用户、数据对象存储空间增加删改的记录是否齐全，备份记录、维护记录是否齐全，不足的及时补上。 4.3数据库管理的每年工作 (1)逐项检查每日、每月数据库管理工作的执行情况。用户、数据对象存储空间增加删改的记录是否齐全，备份记录、维护记录是否齐全，不足的及时补上。 (2)对数据库系统运行的情况作出统计。 (3)分析运行状况资源消耗的趋势，作好新一年的计划。 5数据库的安全管理 5.1数据库环境安 5.1.1物理环境安全

数据库设计规范

1概述 1.1 目的软件研发数据库设计规范作为数据库设计的操作规范，详细描述了数据库设计过程及结果，用于指导系统设计人员正确理解和开展数据库设计。 1.2 适用范围 1.3 术语定义 DBMS：数据库管理系统，常用的商业 DBMS有 Oracle, SQL Server, DB2 等。数据库设计：数据库设计是在给定的应用场景下，构造适用的数据库模式，建立数据库及其应用系统，有效存储数据，满足用户信息要求和处理要求。概念数据模型：概念数据模型以实体- 关系 (Entity-RelationShip, 简称 E-R) 理论为基础，并对这一理论进行了扩充。它从用户的观点出发对信息进行建模，主要用于数据库概念级别的设计，独立于机器和各DBMS产品。可以用 Sybase PowerDesigner工具来建立概念数据模型（CDM）。逻辑数据模型：将概念数据模型转换成具体的数据库产品支持的数据模型，如关系模型，形成数据库逻辑模式。可

以用 Sybase PowerDesigner工具直接建立逻辑数据模型（ LDM），或者通过CDM转换得到。物理数据模型：在逻辑数据模型基础上，根据DBMS特点和处理的需要，进行物理存储安排，设计索引，形成数据库内模式。可以用 Sybase PowerDesigner 工具直接建立物理数据模型（ PDM），或者通过 CDM / LDM 转换得到。 2数据库设计原则按阶段实施并形成该阶段的成果物一般符合3NF范式要求；兼顾规范与效率使用公司规定的数据库设计软件工具命名符合公司标准和项目标准 3数据库设计目标规范性：一般符合3NF范式要求，减少冗余数据。高效率：兼顾规范与效率，适当进行反范式化，满足应用系统的性能要求。紧凑性：例如能用 char(10) 的就不要用 char(20) ，提高存储的利用率和系统性能，但同时也要兼顾扩展性和可移植性。易用性：数据库设计清晰易用，用户和开发人员均能容

Oracle数据库安全配置手册

Oracle数据库安全配置手册 Version 1.0

版本控制

目录第一章目的与范围 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3数据库类型 (1) 第二章数据库安全规范 (1) 2.1操作系统安全 (1) 2.2帐户安全 (2) 2.3密码安全 (2) 2.4访问权限安全 (2) 2.5日志记录 (3) 2.6加密 (3) 2.7管理员客户端安全 (3) 2.8安全补丁 (3) 2.9审计 (3) 第三章数据库安全配置手册 (4) 3.1O RACLE数据库安全配置方法 (4) 3.1.1 基本漏洞加固方法 (4) 3.1.2 特定漏洞加固方法 (12)

第一章目的与范围 1.1 目的为了加强宝付的数据安全管理，全面提高宝付各业务系统的数据安全水平，保证业务系统的正常运营，提高业务服务质量，特制定本方法。本文档旨在于规范宝付对各业务系统的Oracle数据库进行安全加固处理。 1.2适用范围本手册适用于对宝付公司的各业务系统的数据库系统加固进行指导。 1.3数据库类型数据库类型为Oracle 11g。第二章数据库安全规范 2.1 操作系统安全要使数据库安全，首先要使其所在的平台和网络安全。然后就要考虑操作系统的安全性。Oracle使用大量用户不需要直接访问的文件。例如，数据文件和联机重做日志文件只能通过Oracle的后台进程进行读写。因此，只有要创建和删除这些文件的数据库管理员才需要在操作系统级直接访问它们。导出转储文件和其他备份文件也必须受到保护。可以把数据复制到其他数据库上，或者是作为复制模式的一部分，或者是提供一个开发数据库。若要保护数据的安全，就要对数

数据安全管理规范

业务平台安全管理制度 —数据安全管理规范xxxxxxxxxXK司网络运行维护事业部

目录一.概述 (1) 二.数据信息安全管理制度 (2) 2.1数据信息安全存储要求 (2) 2.2数据信息传输安全要求 (2) 2.3数据信息安全等级变更要求 (3) 2.4数据信息安全管理职责 (3) 三.数据信息重要性评估 (4) 3.1数据信息分级原则 (4) 3.2数据信息分级 (4) 四.数据信息完整性安全规范 (5) 五.数据信息保密性安全规范 (6) 5.1 密码安全 (6) 5.2密钥安全 (6) 六.数据信息备份与恢复 (8) 6.1数据信息备份要求 (8) 6.1.1 备份要求 (8) 6.1.2 备份执行与记录 (8) 6.2备份恢复管理 (8)

概述数据信息安全，顾名思义就是要保护数据信息免受威胁的影响，从而确保业务平台的连续性，缩减业务平台有可能面临的风险，为整个业务平台部门的长期正常运行提供强有力的保障。为加强数据信息的安全管理，保证数据信息的可用性、完整性、机密性，特制定本规范。

数据信息安全管理制度 2.1数据信息安全存储要求数据信息存储介质包括：纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。存储介质管理须符合以下规定：包含重要、敏感或关键数据信息的移动式存储介质须专人值守。删除可重复使用存储介质上的机密及绝密数据时，为了避免在可移动介质上遗留信息，应该对介质进行消磁或彻底的格式化，或者使用专用的工具在存储区域填入无用的信息进行覆盖。任何存储媒介入库或出库需经过授权，并保留相应记录，方便审计跟踪。 2.2数据信息传输安全要求在对数据信息进行传输时，应该在风险评估的基础上采用合理的加密技术，选择和应用加密技术时，应符合以下规范：必须符合国家有关加密技术的法律法规；根据风险评估确定保护级别，并以此确定加密算法的类型、属性，以及所用密钥的长度；听取专家的建议，确定合适的保护级别，选择能够提供所需保护的合适的工具。机密和绝密信息在存储和传输时必须加密，加密方式可以分为：对称加密和不对称加密。机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性，使用数字签名时应符合以下规范：充分保护私钥的机密性，防止窃取者伪造密钥持有人的签名。采取保护公钥完整性的安全措施，例如使用公钥证书；确定签名算法的类型、属性以及所用密钥长度；用于数字签名的密钥应不同于用来加密内容的密钥。 2.3 数据信息安全等级变更要求数据信息安全等级经常需要变更. 一般地，数据信息安全等级变更需要由数据资产的所有者进行，然

数据库建设规范.doc

v1.0可编辑可修改数据库建设规范目录 1.前言 (3) 2.范围 (3) 3.术语和定义 (3) 范式 (3) 关联 (3) 关系模型 (3) 视图 (4) 外键 (4) 约束 (4) 主键 (4) 4.命名规范 (4) 规范约定 (4) 表名 (5) 视图 (5) 存储过程 (5) 函数 (5) 触发器 (5) 字段 (6) 索引 (6)

v1.0可编辑可修改 5.数据库建设过程规范. (6) 概述 (6) 需求分析阶段 (7) 需求调查 (7) 内容分析 (8) 概念结构设计阶段 (8) 定义实体 (8) 定义关系 (9) 定义属性 (9) 定义键 (9) 定义索引 (10) 定义其他对象和规则 (11) 逻辑结构设计阶段 (11) 数据库物理设计阶段 (12) 实施、运行、维护规范 (13) 6.数据库建设安全性规范. (14) 概述 (14) 完整性设计 (14) 物理安全 (17) 访问控制 (17) 数据备份 (18)

1.前言数据库技术是信息资源管理最有效的手段。数据库设计是指对于一个给定的应用环境，构造最优的数据库模式，建立数据库及其应用系统，有效存储数据，满足用户信息要求和处理要求。本规范通过数据建库的命名、结构、建库过程及安全性措施等几个技术方面进行约定，目的就是提供一套规范、合理、科学的建库技术体系，应用系统提供建库技术参考。 2.范围本规范主要从关系数据库的命名、关系和结构以及建设过程等几个方面来规定数据库设计应遵循的规范。 3.术语和定义范式关系数据库中的关系是要满足一定要求的，满足不同程度要求的为不同范式。满足最低要求的叫第一范式，简称 1NF。在第一范式中满足进一步要求的为第二范式，其余以此类推。一般而言，数据库的设计应至少满足第三范式。关联关联是不同表之间的数据彼此联系的方法。关联同时存在于形成不同实体的数据项之间和表实体本身之间，构成了数据库规范化的基本核心问题。它分为一对一、一对多、多对多三种关联形式。关系模型关系模型由关系数据结构、关系操作集合和关系完整性约束三部分组成。在

SQL Server 2000的安全配置

SQL Server 2000安全配置完全攻略这里，我们主要谈论有关SQL Server2000数据库的安全配置以及一些相关的安全和使用上的问题。在进行SQL Server 2000数据库的安全配置之前，首先你必须对操作系统进行安全配置，保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件(程序)进行必要的安全审核，比如对ASP、PHP 等脚本，这是很多基于数据库的WEB应用常出现的安全隐患，对于脚本主要是一个过滤问题，需要过滤一些类似, ‘ ;@ / 等字符，防止破坏者构造恶意的SQL语句。在做完上面三步基础之后，我们再来讨论SQL Server的安全配置。 1、使用安全的密码策略: 我们把密码策略摆在所有安全配置的第一步，请注意，很多数据库帐号的密码过于简单，这跟系统密码过于简单是一个道理。对于sa更应该注意，同时不要让sa帐号的密码写于应用程序或者脚本中。健壮的密码是安全的第一步! SQL Server2000安装的时候，如果是使用混合模式，那么就需要输入sa的密码，除非你确认必须使用空密码。这比以前的版本有所改进。同时养成定期修改密码的好习惯。数据库管理员应该定期查看是否有不符合密码要求的帐号。比如使用下面的SQL语句： Use master Select name,Password from syslogins where password is null 2、使用安全的帐号策略: 由于SQL Server不能更改sa用户名称，也不能删除这个超级用户，所以，我们必须对这个帐号进行最强的保护，当然，包括使用一个非常强壮的密码，最好不要在数据库应用中使用sa帐号，只有当没有其它方法登录到SQL Server 实例(例如，当其它系统管理员不可用或忘记了密码)时才使用sa。建议数据库管理员新建立一个拥有与sa一样权限的超级用户来管理数据库。安全的帐号策略还包括不要让管理员权限的帐号泛滥。 SQL Server的认证模式有Windows身份认证和混合身份认证两种。如果数据库管理员不希望操作系统管理员来通过操作系统登陆来接触数据库的话，可以在帐号管理中把系统帐号“BUILTIN\Administrators”删除。不过这样做的结果是一旦sa帐号忘记密码的话，就没有办法来恢复了。很多主机使用数据库应用只是用来做查询、修改等简单功能的，请根据实际需要分配帐号，并赋予仅仅能够满足应用要求和需要的权限。比如，只要查询功能的，那么就使用一个简单的public帐号能够select 就可以了。