UberSVN权限精密配置
UberSVN的详细配置及使用
一、配置文件的使用
本文将详细介绍SVN权限配置涉及的两个配置文件,svnserve.conf和aleternative_svn.authz,通过对对这两个文件的详细配置,可以控制每个人对不同文件夹的访问权限。
这里首先要注意一点,任何配置文件的有效配置行,都是不允许存在前置空格,否则程序可能会出错,还有在conf这个目录下面不能再有其它的.authz文件,否则会直接导致配置文件失效,所有用户均无法访问的问题。
svnserve.conf-------------
ubersvn\conf\svnserve.conf` 文件,是svnserve.exe 这个服务器进程的配置文件,首先svnserve.exe,用户名与密码放在passwd.conf 文件下。当然,你可以改成任意的有效文件名,比如默认的就是passwd::
password-db = passwd.conf
接下来这两行的意思,是说只允许经过验证的用户,方可访问代码库。那么哪些是“经过验证的”用户呢?噢,当然,就是前面说那些在passwd.conf 文件里面持有用户名密码的家伙。这两行的等号后面,目前只允许read write none 三种值,你如果想实现一些特殊的值,比如说“read-once”之类的,建议你自己动手改源代码,反正它也是自由软件::
anon-access = none
auth-access = write
接下来就是最关键的一句呢,它告诉svnserve.exe,项目目录访问权限的相关配置是放在aleternative_svn.authz文件里::
authz-db = aleternative_svn.authz
上述的passwd.conf 和aleternative_svn.authz 两个文件也可以作为多个代码库共享使用,我们只要将它们放在公共目录下,比如说放在/ubersvn/conf 目录下,然后在每个代码库的svnserve.conf 文件中,使用如下语句::
password-db = ..\..\passwd.conf
authz-db = ..\..\ aleternative_svn.authz
或者::
password-db = ../../passwd.conf
authz-db = ../.. aleternative_svn.authz
这样就可以让多个代码库共享同一个用户密码、目录控制配置文件,这在有些情况下是非常方便的。
二、配置用户组
ubersvn \conf\aleternative_svn.authz 文件的配置段,可以分为两类,``[group]`` 是一类,里面放置着所有用户分组信息。其余以``[arm:/]`` 开头的是另外一类,每一段就是对应着项目的一个目录,其目录相关权限,就在此段内设置。
首先,我们将人员分组管理,以便以后由于人员变动而需要重新设置权限时候,尽量少改动东西。我们一共设置了5个用户分组,分组名称统一采用``g_`` 前缀,以方便识别。当然了,分组成员之间采用逗号隔开::
[groups]
# 设计
g_design = weiwei, wangsheng
# 管理员
g_manager = yuanqi
# 文档
g_document = weiwei, yanghua
# 代码
g_code = yuyang, tuguangwen, liuhai
# 用例
g_usecase = yuanqi, huhu, denglitao, zhangdaoxuan, wangsheng
# 领导
g_leader = weiwei, chengang, huqiping
注意到没有,weiwei 这个帐号同时存在“设计”和“领导”两个分组里面,这里并不是写错了,是因为Subversion 允许这样设置。它意味着,他所拥有的权限,将会比其它人员要多一些,这样的确很方便。
三、配置用户组的权限
-----------------------
接着,我们对项目根目录做了限制,该目录只允许code部的才能修改cosl 目录下code 文件夹的文件,其他人都只能眼巴巴的看着::
[cosl:/code]
@g_code = rw
* = r
[cosl:/]`` 表示这个目录结构的相对根节点,或者说是cosl 项目的根目录。其中的cosl 字样,其实就是代码库的名称。
这里的``@`` 表示接下来的是一个组名,不是用户名。因为目前g_manager 组里面只有一个yuanqi,你当然也可以将``@g_manager = rw`` 这一行替换成``yuanqi = rw`` ,而表达的意义完全一样。
``*`` 表示“除了上面提到的那些人之外的其余所有人”。
``* = r`` 则表示“那些人只能读,不能写”
然后,我们要给用例设计的人员开放读写的权限:
[cosl:/UseCase]
@g_manager = rw
@g_usecase = rw
@g_design = rw
@g_document = rw
* =
这里最后一行的``* =`` 表示,除了管理员、用例人员、设计人员和文档人员之外,任何人都被禁止访问本目录。
aleternative_svn.authz之目录表示法
-----------------------
在前面的描述中,我们都采用``[repos:/some/dir]`` 这样的格式来表示项目的某个目录,比如上一小节中的``[cosl:/code/trunk]`` 。而实际上,Subversion 允许你采用```[/some/dir]`` 这样的格式,即不指定代码库的方式来表示目录,此时的目录就匹配所有项目。
四、默认的权限
如果说我对某个目录不设置任何权限,会怎样呢:
[cosl:/]
@g_chief_manager = rw
改成::
[cosl:/]
# @g_chief_manager = rw
这样就相当于什么都没有设置。此时是禁止任何访问。也就是说,如果你想要让某人访问某目录,你一定要显式指明这一点。这个策略,看起来与防火墙的策略是一致的。
只读权限带来的一个小副作用
若设置了::
[cosl:/UseCase]
* = r
则UberSVN 会认为,任何人都不允许改动UseCase 目录,包括删除、改名和新增。也就是说,如果你在项目初期创建目录时候,一不小心写错目录名称,比如因拼写错误写成cosls,以后除非你改动aleternative_svn.authz 里面的这行设置,否则无法将目录更正。
五、anon-access 属性对目录权限的影响
你想将你的代码库开放给所有人访问,于是你就开放了匿名访问权限,在aleternative_svn.authz 文件中添加一行:``anon-access=read`` 。可是对于部分目录,你又不希望别人看到,于是针对那些特别目录,你在aleternative_svn.authz 里面进行配置,添加了授权访问的人,并添加了``* =`` 标记。你认为一切OK了,可是你缺发现,那个特别目录却无法访问了,总是提示``Not authorized to open root of edit operation`` 或者``未授权打开根进行编辑操作`` 。你再三检查你配置的用户名与密码,确认一切正确,还是无法解决问题。
这是因为UberSVN 有个小bug ,当``anon-access=read`` 并且某个目录有被设置上``* =`` 标记,则会出现上述问题。
解决的办法是,在aleternative_svn.authz中,将anon-access 设置成none 。
六、对中文目录的支持
----------------
1. 改正新的中文文件夹后,将原来的一些目录改名并commit 入代码库,改名后的目录结构如下::
Cosl
│ ├─代码组
│ ├─文档组
│ ├─用例组
│ └─设计组
├─备份
└─数据组
2. 修改代码库的文件,将相应目录逐一改名
3. UTF-8 格式的aleternative_svn.authz 文件,以及BOM
将配置文件转换成UTF-8 格式之后,UberSVN 就能够正确识别中文字符了。但是这里需要注意一点,即必须保证UTF-8 文件不包含BOM 。BOM 是Byte Order Mark 的缩写,指UNICODE 文件头部用于指明高低字节排列顺序的几个字符,通常是``FF FE`` ,而将之用UTF-8 编码之后,就是``EF BB BF`` 。由于UTF-8 文件本身不存在字节序问题,所以对UTF-16 等编码方式有重大意义的BOM,对于UTF-8 来说,只有一个作用——表明这个文件是UTF-8 格式。由于BOM 会给文本处理带来很多难题,所以现在很多软件都要求使用不带BOM 的UTF-8 文件,特别是一些处理文本的软件,如PHP、UNIX 脚本文件等,svn 也是如此。
目前常用的一些文本编辑工具中,MS Windows 自带的“记事本”里面,“另存为”菜单保存出来的UTF-8 格式文件,会自动带上BOM 。新版本UltraEdit 提供了选项,允许用户选择是否需要BOM,而老版本的不会添加BOM。请各位查看一下自己常用的编辑器的说明文件,看看它是否支持这个功能。
对于已经存在BOM 的UTF-8 文件,比如说就是微软“记事本”弄出来的,我们可以利用UltraEdit 来将BOM 去掉。方法是,首先利用“UTF-8 TO ASCII”菜单将文件转换成本地编码,通常是GB2312码,然后再使用“ASCII TO UTF-8(UNICODE Editing)”来转换到UTF-8 即可。当然,这么操作之前,你肯定得先保证,你的UltraEdit 保存出来的UTF-8 文件的确是不带BOM 的。
这样看来Subversion 是非常讨厌BOM 的呢。
公司数据安全管理规范
******有限公司数据安全管理规范 为了确保ERP系统的安全和保密管理,保障公司各项数据的安全准确,特制定本制度。 1、信息部是公司信息系统的管理部门,负责全公司信息化设备的管理、ERP系统的正常运行,基本参数的设置,系统用户权限的划分管理,系统数据的提取变更。信息部门负责人为公司信息安全第一责任人,负责信息安全和保密管理。 2、信息部指派专人负责按照本规范所制定的相关流程执行操作,用户授权和权限管理采取保守原则,选择最小的权限满足使用者需求。 3、公司ERP系统权限管理遵循以下原则: (1)为各部门各门店管理人员统一发放系统登陆账号,账号专人专用,账号下发后需立即更改初始密码,严禁使用他人工号或泄露密码。一经发现处以500元每次罚款,并永久性取消登录权限,由此造成的后果个人承担责任;情节严重的予以辞退。 (2)公司非一线销售部门如人事、企划、行政等只开通OA系统权限。各门店楼层主管和经理只有本楼层销售查询权限。各门店店长和招商经理有各自门店销售查询权限。运营中心总监有百货、时代、车南外租区和自营品牌的权限。(3)如需信息部配合提取系统销售数据或者需变更工号操作权限,需填写业务联系函写明原因并由部门负责人和执行副总签字,否则信息部不予配合。(4)人事部每月应将主管级以上人员离职名单传递信息中心,信息部接到通知后立即给予权限终止,防止数据外泄。 (5)公司员工计算机内涉及公司机密数据的,应给计算机设定开机密码并把文件进行加密处理,非工作需要不得以任何形式进行转移,不得随便拷贝到移动存储设备。 (6)离开原工作岗位的员工,各部门负责人需把其工作资料进行回收保存,并通知信息部对其电脑进行相关处理。公司人员岗位内部调拨的,电脑保留原岗位不变。 (7)公司内部经信息部确认需要送外维修的电脑,送修前需联系信息部拆除电脑的存储设备并由信息部保管,维修好后再联系信息部进行安装。 (8)对于公司连接外网的电脑,不得浏览来历不明的网站或下载不明网站的程
城市道路交通安全设施设置规范
城市道路交通安全设施设置规范The Installation Specification for City Road Traffic Safety Facilities 第1部分交通标志 (征求意见稿)
目次 前言 (1) 1范围 (2) 2规范性引用文件 (2) 3术语和定义 (2) 4标志设置基本原则 (3) 5标志设置要点 (3) 6标志板、支撑方式及安装要求 (8) 7一般道路指路标志的设置 (14) 8城市快速路标志的设置 (20)
城市道路交通安全设施设置规范第1部分交通标志 1 范围 本部分规定了道路交通标志的结构、尺寸及设置要求。 本部分适用于中心城区内城市道路、各区县政府所在地建成区内城市道路的交通标志设置。 本部分含有相关的术语和定义,规定了基本要求、标志设置要点、标志板、支撑方式及安装要求、一般道路指路标志的设置、城市快速路标志的设置。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB 5768.2—2009 道路交通标志 GB 50007 建筑地基基础设计规范 GB 50009 建筑结构荷载规范 GB 50017 钢结构设计规范 GB/T 18833—2012 道路交通反光膜 GB/T 23827 道路交通标志板及支撑件 GB51038-2015城市道路交通标志和标线设置规范 DB510100/T 129.1-2013 道路指路标志系统-第1部分-总则 DB510100/T 129.2-2013 道路指路标志系统-第2部分-一般城市道路 DB510100/T 129.3-2013 道路指路标志系统-第3部分-城市快速路 DB510100/T 129.4-2013 道路指路标志系统-第4部分-一般公路 DB510100/T 129.5-2013 道路指路标志系统-第5部分-慢行交通 3 术语和定义 下列术语和定义适用于本文件。 3.1 道路交通标志road traffic signs 在道路上用于交通管理目的并以颜色、形状、字符、图形等向道路使用者传递特定信息的设施。3.2 组合标志 combination signs 两个或两个以上警告、禁令、指示标志布设在同一个版面上的交通标志。 3.3 作业区 work zone 由于道路施工、养护等作业影响交通运行,而进行交通管控的路段。
有限空间防护设备配置
ICS13.100 C65 备案号:DB11 北京市地方标准 DB 11/ 852.3—2014 地下有限空间作业安全技术规范 第3部分:防护设备设施配置 Safety technical regulation for working in underground confined spaces Part3:Allocation of protective equipments 2014-02-26发布2014-06-01实施
目次 前言................................................................................ II 1 范围 (1) 2 规范性引用文件 (1) 3 基本要求 (1) 4 安全警示设施 (1) 5 作业防护设备 (2) 6 个体防护用品 (2) 7 应急救援设备设施 (2) 附录A(规范性附录)地下有限空间作业安全告知牌样式 (3) 附录B(规范性附录)防护设备设施配置表 (4)
前言 DB11/ 852《地下有限空间作业安全技术规范》拟分成部分出版,目前计划发布如下部分:——第1部分:通则; ——第2部分:气体检测与通风; ——第3部分:防护设备设施配置。 本部分为DB11/ 852的第3部分。 本部分4.4、5.1、6.1、7.2为强制性条款,其余为推荐性条款。表B.1部分指标强制。 本部分按照GB/T 1.1—2009给出的规则起草。 本部分由北京市安全生产监督管理局提出并归口。 本部分由北京市安全生产监督管理局组织实施。 本部分起草单位:北京市劳动保护科学研究所。 本部分主要起草人:刘艳、常纪文、秦妍、胡玢、陈娅、董艳、汪彤、马虹、刘英杰、赵岩。
(完整版)应用系统权限及数据管理安全管理办法
用友系统权限及数据管理办法 一、总则 为了保障在用友系统使用及管理过程中因不安全的操作而导致的数据泄漏、被盗取等安全事件的发生,特制定本办法。 二、本管理办法仅适用于公司全员。 三、职责与分工 1、职能部门: (1)公司权限负责人:总经理 1)负责签批部门间的权限的授予; 2)负责对用友系统用户帐号及密码安全进行不定期抽查; (2)系统管理员:财务负责人 1)用友系统管理由财务部负责,除总经理及财务部指定的系统管理员外任何部门不得担任系统管理员一职。 2)负责帐号、各岗位权限分配、系统维护、各模块使用情况的安全运行监管。 3)负责根据《用友用户新增\变更\注销请示单》在系统中设置用户权限; 4)负责维护本单位用户和权限清单; 5)遵守职业道德,接受总经理权限负责人的抽查。 (3)各岗位系统操作员:负责所使用模块的权限管理和该模块的数据安全; A.采购部负责有关产品基础信息定义、系统采购模块使用。 B.销售部负责系统销售模块使用。 C.物流部负责仓库管理权限和销售单打印、查询权限; 2、用户帐号: 登录用友系统需要有用户帐号,用户帐号是由财务部系统管理员根据员工工作岗位员工的工作性质规定下进行系统岗位功能、权限分配和设置的。 (1)密码设置及更改: 1)第一次登录用友系统时,用户必须改变事先由管理员分配的初始密码; 2)系统管理员及操作员密码每三个月必须变更一次,密码不少于6位。 3、帐号与密码保管: 系统使用人必须保证用户ID和用户密码的保密和安全,不得对外泄漏,用户帐号不可转借他人使用;
3、责任承担及注意事项: (1)帐号的对应的使用者应对该帐号在系统中所做的操作及结果负全部责任。(2)系统管理员应该每天检查系统日志,对发现的非法登录、访问等行为。(3)管理帐号及管理权限的增加、删除必须经总经理书面批准,任何人不得任意增加、修改、删除。 (4)任何人除所负责权限岗位以外的信息数据不得随意导出:如客户资料、产品进价、销售数据等,如有需要需提交书面申请交总经理审批后统一由财务部导出打印,并建立打印档案。 (5)非财务部指定的系统管理人员未经许任何人不得擅自操作和对运行系统及各种设置进行更改。 四、用户申请\变更\注销流 (1)由用户本人提出申请(填写《请示单》)经部门主管审核交财务部并报总经理审核批示使用权限; (2)财务部系统管理员根据经总经理审批《请示单》在系统中进行权限设置后通知申请人; (3)申请人应在收到通知的当天修改初始口令。 (4)当用户由于工作变动、调动或离职等原因需要对用户的访问权限进行修改或注销时,应填写书面《请示单》经总经理审批后系统管理员应及时进行用户的变更、暂停或注销权限。 三、数据备份及安全管理 1、服务器数据库要设置每日自动备份,每周五财务部应进行一次介质数据的备份并异地存放,确保系统一旦发生故障时能够快速恢复,备份数据不得更改。 2、系统管理人员应恪守保密制度,不得擅自泄露中心各种信息资料与数据。 3、服务器是用友系统的关键设备,不得随意调试、挪作它用。 4、系统操作时,外来人员不得随意操作、靠近观看。对外来人员不合理要求应婉拒,外来人员不得未经同意不得查看、操作系统。 二、计算机病毒防范制度 1、系统管理人员应有较强的病毒防范意识,定期进行病毒检测。 2、不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测。 3、经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。 4、定期进行电脑杀毒,对电脑中毒后在各种杀毒办法无效后,须重新对电脑格
数据库安全管理
西南石油大学实验报告 一、实验课时:2 二、实验目的 (1) 掌握使用T-SQL语句创建登录帐户的方法。 (2) 掌握使用T-SQL语句创建数据库用户的方法。 (3) 掌握使用T-SQL语句创建数据库角色的方法。 (4) 掌握使用T-SQL语句管理数据库用户权限方法。 三、实验要求 (1) 使用SQL Server 2008查询分析器。 (2) 严格依照操作步骤进行。 四、实验环境 (1) PC机。 (2) SQL Server 2008。 五、实验内容及步骤 注意事项: (1)首先在C盘根目录创建文件夹Bluesky,执行脚本文件“PracticePre-第11章安全管理.sql”,创建数据库BlueSkyDB和表; (2)如何建立“数据库引擎查询”; (3)使用“select user_name()”可查询当前登录账号在当前数据库中的用户名。
TUser3,初始密码均为“123456”。 步骤2 使用TUser1建立一个新的数据库引擎查询,在“可用数据库”下拉列表框中是否能看到并选中BlueSkyDB数据库?为什么? 可以看到数据库BlueSkyDB但是不能选中打开,因为用户仅仅是能够使用服务器的合法用户,但不能访问数据库
映射为数据库BlueSkyDB的用户,用户名同登录名。 步骤4 再次使用TUser1建立一个新的数据库引擎查询,这次在“可用数据库”下拉列表框中是否能看到并选中BlueSkyDB数据库?为什么?
能够选中BlueSkyDB,因为TUser1已经成为该数据库的合法用户了 步骤5 用TUser1用户在BlueSkyDB数据库中执行下述语句,能否成功?为什么? SELECT * FROM BOOKS;
网络数据和信息安全管理规范
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
信息安全管理制度-网络安全设备配置规范1.doc
信息安全管理制度-网络安全设备配置规范 1 网络安全设备配置规范 XXX 2011年1月 网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp 等, 以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更?
1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试) 1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为:
?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许HTTP到公网Web服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击? 5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 – 192.168.255.255) ?保留地址(224.0.0.0)
数据安全管理规范
业务平台安全管理制度 —数据安全管理规范 XXXXXXXXXXX公司网络运行维护事业部
目录 一. 概述 (1) 二. 数据信息安全管理制度 (2) 2.1数据信息安全存储要求 (2) 2.2数据信息传输安全要求 (2) 2.3数据信息安全等级变更要求 (3) 2.4数据信息安全管理职责 (3) 三. 数据信息重要性评估 (4) 3.1数据信息分级原则 (4) 3.2数据信息分级 (4) 四. 数据信息完整性安全规范 (5) 五. 数据信息保密性安全规范 (6) 5.1密码安全 (6) 5.2密钥安全 (6) 六. 数据信息备份与恢复 (8) 6.1数据信息备份要求 (8) 6.1.1 备份要求 (8) 6.1.2 备份执行与记录 (8) 6.2备份恢复管理 (8)
一. 概述 数据信息安全,顾名思义就是要保护数据信息免受威胁的影响,从而确保业务平台的连续性,缩减业务平台有可能面临的风险,为整个业务平台部门的长期正常运行提供强有力的保障。 为加强数据信息的安全管理,保证数据信息的可用性、完整性、机密性,特制定本规范。
二. 数据信息安全管理制度 2.1 数据信息安全存储要求 数据信息存储介质包括:纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。 存储介质管理须符合以下规定: ◆包含重要、敏感或关键数据信息的移动式存储介质须专人值守。 ◆删除可重复使用存储介质上的机密及绝密数据时,为了避免在可移动介质上遗留信 息,应该对介质进行消磁或彻底的格式化,或者使用专用的工具在存储区域填入无 用的信息进行覆盖。 ◆任何存储媒介入库或出库需经过授权,并保留相应记录,方便审计跟踪。 2.2 数据信息传输安全要求 ◆在对数据信息进行传输时,应该在风险评估的基础上采用合理的加密技术,选择和 应用加密技术时,应符合以下规范: ?必须符合国家有关加密技术的法律法规; ?根据风险评估确定保护级别,并以此确定加密算法的类型、属性,以及所用密 钥的长度; ?听取专家的建议,确定合适的保护级别,选择能够提供所需保护的合适的工具。 ◆机密和绝密信息在存储和传输时必须加密,加密方式可以分为:对称加密和不对称 加密。 ◆机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性,使用数 字签名时应符合以下规范: ?充分保护私钥的机密性,防止窃取者伪造密钥持有人的签名。 ?采取保护公钥完整性的安全措施,例如使用公钥证书; ?确定签名算法的类型、属性以及所用密钥长度; ?用于数字签名的密钥应不同于用来加密内容的密钥。
安全设施标准化管理规定(新编版)
( 安全管理 ) 单位:_________________________ 姓名:_________________________ 日期:_________________________ 精品文档 / Word文档 / 文字可改 安全设施标准化管理规定(新编 版) Safety management is an important part of production management. Safety and production are in the implementation process
安全设施标准化管理规定(新编版) 第一章总则 第一条为了规范光伏电站安全设施管理,保障设备和人身安全,确保安全生产工作顺利进行,特制定本规定。 第二条本规定依据《国家电网公司电力安全工作规程(变电部分)(线路部分)》、《变电站标准化管理条例》、《电力生产企业安全设施规范手册》,结合阜康市新风新能源有限公司(以下简称“光伏电站”)实际制定,适用于光伏电站。 第二章职责 第三条光伏电站负责本规定的编制和修订。 第四条上级公司安全部门负责对所属光伏电站安全设施标准化管理进行监督与检查。 第五条光伏电站是本规定的执行单位,负责本规定的落实。光伏电站应按照本规定进行自查,对不满足本规定的安全设施进行整
改。 第三章标准化管理内容与要求 第六条标志、标牌 (一)所有生产用建筑物、设备均应在醒目位置设置标志牌; (二)设备命名应有统一规定,与设备一一对应; (三)设备标志应定义清晰,能准确反映设备的功能、用途和属性; (四)光伏电站应结合生产实际和企业文化设置一定数量的安全文化标志。 第七条升压站部分 (一)屋内装设的油量大于100kg和屋外装设的油量大于1000kg 的高压电气设备(均指单台)应设有符合规定的贮油(或挡油)和排油设施; (二)水泥构架应无严重龟裂、混凝土脱落、钢筋外露等缺陷,钢构架应无严重腐蚀; (三)屋外电瓷外绝缘爬电比距应符合所在地区污秽等级的要
AI操作系统安全配置规范
AIX安全配置程序
1 账号认证 编号:安全要求-设备-通用-配置-1 编号:安全要求-设备-通用-配置-2
2密码策略 编号:安全要求-设备-通用-配置-3
编号:安全要求-设备-通用-配置-4 编号:安全要求-设备-通用-配置-5
编号:安全要求-设备-通用-配置-6 3审核授权策略 编号:安全要求-设备-通用-配置-7 (1)设置全局审核事件
配置/etc/security/audit/config文件,审核特权帐号和应用管理员帐号登录、注销,用户帐号增删,密码修改,执行任务更改,组更改,文件属主、模式更改,TCP连接等事件。 classes: custom = USER_Login,USER_Logout,USER_SU,PASSWORD_Change,USER_Create, USER_Change,USER_Remove,USER_Chpass,GROUP_Create,GROUP_Change,GROUP_Remove,CRON_J obAdd,CRON_JobRemove,TCPIP_config,TCPIP_host_id,TCPIP_connect,TCPIP_access,TCPIP_route,USER _Reboot,USER_SetGroups,INSTALLP_Inst,INSTALLP_Exec,FS_Rmdir,FS_Chroot,PORT_Locked,PORT_ Change,PROC_kill,PROC_Reboot,FS_Mount,FS_Umount,PROC_Settimer,PROC_Adjtime (2)审核系统安全文件修改 配置/etc/security/audit/objects文件,审核如下系统安全相关文件的修改。 /etc/security/environ: w = "S_ENVIRON_WRITE" /etc/security/group: w = "S_GROUP_WRITE" /etc/security/limits: w = "S_LIMITS_WRITE" /etc/security/login.cfg: w = "S_LOGIN_WRITE" /etc/security/passwd: r = "S_PASSWD_READ" w = "S_PASSWD_WRITE" /etc/security/user: w = "S_USER_WRITE" /etc/security/audit/config: w = "AUD_CONFIG_WR" 编号:安全要求-设备-通用-配置-8
数据安全管理规定
XXX 数据安全管理规定 编制:____________________ 审核:____________________ 批准:____________________ [本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有 特别注明,版权均属XXX所有,受到有关产权及版权法保护。任何个人、机构未经XXX的书面授权许可,不得以任何方式复制或引用本文件的任何片断。]
1.分发控制 分发对象文档权限说明 XXX内部员工只读 2.文件版本信息 版本日期拟稿和修改说明 3.文件版本信息说明 文件版本信息记录本文件提交时的当前有效的版本控制信息,当前版 本文件有效期将在新版本文档生效时自动结束。文件版本小于 1.0 时,表示该版本文件为草案,仅可作为参照资料之目的。
第一章总则 第一条为保证XXX信息系统核心数据安全,维护数据所有者权利,明确利益相关者的责任与义务,按照分类管理、分级保护、授权使用的原则,根据《XXX信息系统安全管理规定》及国家信息系统安全等级保护等 有关要求,特制订本规定。 第二条本规定所管理的数据均为非涉密的数据,XXX系统已标识密级的文件或已声明密级的数据不纳入本规定管理范畴。 第三条本规定适用于全国XXX信息系统环境中的数据安全管理工作。XXX各单位、部门均应按本规定开展数据安全管理工作。 第二章术语定义 第四条本规定所称数据所有者是指,对所管理业务领域内的信息或 信息系统,有权获取、创建、维护和授权的业务主管。 第五条本规定所称利益相关者包括数据创建者、数据所有者、数据 管理者、数据使用者及信息安全管理人员。 第六条本规定所管理的数据涵盖以纸质、电子等形式存在的文件和 非文件形式的信息及其衍生物。其中,非文件形式的数据包括数据库及配 置文件中的数据、配置信息等。
信息安全管理制度-网络安全设备配置规范v1
网络安全设备配置规范
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭telnet、http、ping、snmp 等,以及使用SSH而不是telnet远程管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许HTTP到公网Web服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗DoS/DDoS攻击? 5.防火墙是否阻断下述欺骗、私有(RFC1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(RFC1918)地址(10.0.0.0 –10.255.255.255、 172.16.0.0 –172.31..255.255、192.168.0.0 –
公司数据安全管理规范
****** 有限公司数据安全管理规范 为了确保ERP系统的安全和保密管理,保障公司各项数据的安全准确,特制定本制度。 1、信息部是公司信息系统的管理部门,负责全公司信息化设备的管理、ERP系统的正常运行,基本参数的设置,系统用户权限的划分管理,系统数据的提取变更。信息部门负责人为公司信息安全第一责任人,负责信息安全和保密管理。 2、信息部指派专人负责按照本规范所制定的相关流程执行操作,用户授权和权限管理采取保守原则,选择最小的权限满足使用者需求。 3、公司ERP系统权限管理遵循以下原则: (1)为各部门各门店管理人员统一发放系统登陆账号,账号专人专用,账号下 发后需立即更改初始密码,严禁使用他人工号或泄露密码。一经发现处以500元每次罚款,并永久性取消登录权限,由此造成的后果个人承担责任;情节严重的予以辞退。 (2)公司非一线销售部门如人事、企划、行政等只开通OA系统权限。各门店楼层主管和经理只有本楼层销售查询权限。各门店店长和招商经理有各自门店销售查询权限。运营中心总监有百货、时代、车南外租区和自营品牌的权限。 (3)如需信息部配合提取系统销售数据或者需变更工号操作权限,需填写业务联系函写明原因并由部门负责人和执行副总签字,否则信息部不予配合。 (4)人事部每月应将主管级以上人员离职名单传递信息中心,信息部接到通知后立即给予权限终止,防止数据外泄。 (5)公司员工计算机内涉及公司机密数据的,应给计算机设定开机密码并把文件进行加密处理,非工作需要不得以任何形式进行转移,不得随便拷贝到移动存储设备。 (6)离开原工作岗位的员工,各部门负责人需把其工作资料进行回收保存,并 通知信息部对其电脑进行相关处理。公司人员岗位内部调拨的,电脑保留原岗位不变。 (7)公司内部经信息部确认需要送外维修的电脑,送修前需联系信息部拆除电脑的存储设备并由信息部保管,维修好后再联系信息部进行安装。 (8)对于公司连接外网的电脑,不得浏览来历不明的网站或下载不明网站的程
信息安全管理制度网络安全设备配置规范
网络安全设备配置规范 2011年1月
网络安全设备配置规范 1防火墙 1.1防火墙配置规范 1.要求管理员分级,包括超级管理员、安全管理员、日志管理员等, 并定义相应的职责,维护相应的文档和记录。 2.防火墙管理人员应定期接受培训。 3.对防火墙管理的限制,包括,关闭、、、等,以及使用而不是远程 管理防火墙。 4.账号管理是否安全,设置了哪些口令和帐户策略,员工辞职,如 何进行口令变更? 1.2变化控制 1.防火墙配置文件是否备份?如何进行配置同步? 2.改变防火墙缺省配置。 3.是否有适当的防火墙维护控制程序? 4.加固防火墙操作系统,并使用防火墙软件的最新稳定版本或补丁, 确保补丁的来源可靠。 5.是否对防火墙进行脆弱性评估/测试?(随机和定期测试)
1.3规则检查 1.防火墙访问控制规则集是否和防火墙策略一致?应该确保访问控 制规则集依从防火墙策略,如严格禁止某些服务、严格开放某些服务、缺省时禁止所有服务等,以满足用户安全需求,实现安全目标。 2.防火墙访问控制规则是否有次序性?是否将常用的访问控制规则 放在前面以增加防火墙的性能?评估防火墙规则次序的有效性。 防火墙访问控制规则集的一般次序为: ?反电子欺骗的过滤(如,阻断私有地址、从外口出现的内部地 址) ?用户允许规则(如,允许到公网服务器) ?管理允许规则 ?拒绝并报警(如,向管理员报警可疑通信) ?拒绝并记录(如,记录用于分析的其它通信) 防火墙是在第一次匹配的基础上运行,因此,按照上述的次序配置防火墙,对于确保排除可疑通信是很重要的。 3.防火墙访问控制规则中是否有保护防火墙自身安全的规则 4.防火墙是否配置成能抵抗攻击? 5.防火墙是否阻断下述欺骗、私有(1918)和非法的地址 ?标准的不可路由地址(255.255.255.255、127.0.0.0) ?私有(1918)地址(10.0.0.0 –10.255.255.255、172.16.0.0 – 172.31..255.255、192.168.0.0 – 192.168.255.255)
安全设施配置
《XX工程建设安全设施配置规范》 调研报告 第一部分:法律法规要求 武汉博晟安全科技有限公司 联系地址1:武汉市东湖新技术开发区关山大道特1号光谷软件园A8栋4楼 430073 联系地址2:武汉市武昌区东湖南路8号武汉大学工学部A-100信箱 430072 公司网址: 电子邮箱: 联系电话:,87611231 传真:转807
3、其他行业安全设施配置规范 3.1中铁建设集团有限公司《文明安全施工样板集》 中铁建设集团有限公司《文明安全施工样板集》共12个部分,内容主要为:现场及料具管理;环境保护;安全防护;基槽、坑、沟防护;脚手架防护;施工用电;机械安全;塔式起重机;施工升降机;生活区管理;消防保卫;安全色及安全标识。 其中安全防护、脚手架防护、施工用电、机械安全塔式起重机、消防保卫作了非常详细的规定,且非常具有特色。 (1)现场大门口洗车台做法。作为环境保护中的一点,要求施工现场出入口必须设置洗车台,施工车辆出场时必须经过清洗干净,不得将泥沙带出工地。 图3-1 (2)现场设置防扬尘喷洒设施。为有效控制施工现场扬尘污染,根据实际情况安装定时或手动开启的喷淋设备,或采用人工洒水降尘。在隧洞内,应鼓励安装定时开启的喷淋设备,在施工区内则应鼓励采用洒水车等进行定时洒水除尘。
图3-2 (3)施工现场可以采用薄质密目网对土方进行整理覆盖,土方下不覆盖不严密出,可播撒种子,能有效防止扬尘。 图3-3 (4)采用了工具式、定型化人员上下通道。该型通道要求地基樱花,限承10人,且安装时要有专项方案即技术交底,验收合格后才能使用,同时该型通道要符合马道搭设的相关要求。 图3-4 (5)固定式配电箱防护棚及相关标识。现场固定式配电箱设
数据中心安全管理制度
益阳市紧急医疗救援指挥中心 数据中心安全管理制度 为保证数据中心中的设备及数据的安全,中心办公室设立以下管理规定,所有授权进出数据中心的人员必须严格遵守此规定。 一、硬件安全 1. 数据中心机房只有授权人员才可以进入,其他公司技术和管理人员获得邀请并登记后也可以进入数据中心。 2. 离开数据中心前应确保关闭机柜门、整理好有关设备、离开时必须关闭数据中心大门。 3. 进入数据中心操作时应穿防静电鞋套,保持服装整洁,以防带入灰尘。 4. 进入数据中心后应关闭大门,以免灰尘飘入数据中心。 5. 数据中心内禁止饮食、吸烟,禁止带入不相关的东西。 6. 数据中心专用工具及软件应由系统管理员统一注册、并统一保管,外借工具应登记(借出、借入方均需签名)并应在两工作天内归还,借出者负责跟进收回工具。 7. 系统管理员必须定期检查所有设备是否工作正常,包括检查网络是否畅通、散热设备是否运转、设备是否过热及服务器状态是否良好等等,一般可定一星期检查一次。 二、软件安全 1. 所有数据中心设备(包括服务器、路由器、交换机及精密空调等等)均需设置密码进行保护。 2. 密码最少八位长度,必须由数据中心管理人员一人或多人完全掌握。 核心数据密码不宜写在纸上或文件中,并要求至少三个月更新一次。 3. 控制系统操作人员权限,数据库及应用系统超级管理员权限只能赋予数据中心内部人员,开发运维商只能赋予普通用户权限,开发运维商如需登录数据库或应用系统时须在数据中心内部人员的陪同下进行。 4. 更新/维护设备或软件时,必须至少提前一天通知受影响用户,紧急情况
时应尽量将影响程度降至最低。 5. 按需求安装软件时,必须在其它机器中测试并验证可用后,才可以在服务器中安装。 6. 服务器中软件均为正版软件,禁止在服务器中安装没有授权证(License)的软件,不应在服务器中安装测试版软件。
设备安装安全操作规范
设备安装安全操作规范 为保障施工安全,特制定以下安全操作规范,现场施工人员必须严格遵守。 1、施工人员进入现场前,必须进行安全教育,并宣讲客户要求的各种注意事项。安 排工作时要分工明确。 2、所有施工人员持证上岗,统一着装,并配备厂牌,进入现场必须戴安全帽,高处作 业必须严格执行高处作业安全管理规定,系好安全带,并检查安全带是否安全有效, 有无破损,发现问题及时解决。安全带必须固定在牢固的设备结构件上。 3、施工项目负责人必须在现场监护,严禁违章作业。 4、施工现场材料堆放整齐、分类、分规格标识清楚,不占用施工道路和作业区。 必须按平面布置搭设临设,布置电焊机具,堆放各种材料整齐,使之井然有序。 5、安装施工前应检查工作面是否平整。 6、指挥叉车、吊车、等厂内机动车辆安全行驶,防止车辆伤害。 7、施工现场临时用电工程必须设置专用保护零线。配电箱、开关箱采用铁皮制作,能防雨、防尘。配电箱和开关箱箱体不应有带电的金属物体。使用设备要求保护 接零,开关箱必须设漏电保护器。配电箱、开关箱中导线的进线口和出线口设在箱 体的底面,所有配电箱,开、关箱必须上锁,严禁无证人员私拉乱接。 8、电焊作业时,二次线长度不能超过30米,并且双线到位。焊 工持证上岗。施工用火、气焊接必须执行审批制度,办理动火手续,保证安全措施 到位。高空明火作业,必须在其下方采取隔离措施,不得使火种从高空散落。 9、在进行上、下立体交叉作业时首先必须具有一定左、右方向的安全间隔距离, 不能确实保证此距离,应设置能防止下落物伤害下方人员的防护层。 10、现场吊装作业时,吊车要指派专人指挥。严格遵守起重机操作规程,严禁违章 作业。 11、施工现场机械设备整洁,电气开关柜(箱)按规定制作,完整并带锁,安全保护装 置齐全可靠。 12、设专人清理施工废渣,严禁从上往下倾倒垃圾,垃圾集中运输至垃圾场倾倒。 施工作业面保证工完场清。保持施工现场场地平整、清洁,道路、通道畅通。每天 收工后要现场断电,应清理现场,施工工具、材料应分类堆放在一起,放到指定地点 后方可离开现场。严格遵守文明施工管理规定。 设备安装调试安全管理规范 一、防火 1、安装调试车间、现场办公室等允许使用火或可能发生火灾的地方要设有灭火器。灭火器应时刻随手可得。不得在灭火器上悬挂任何东西,不能有异物,并至少每月 检查一次。 2、吸烟只允许在受控的条件下在指定地区进行。在安装调试现场严禁吸烟。 3、在允许使用灭火器的地方,如安装车间、办公室、吸烟区和动火工作区应设置 灭火器。在上述每一地区应至少放一个灭火器。所有的管理人员和班组长都应受 训学会使用灭火器。 4、现场所有固体废弃物,不可长时间堆放,应及时清理干净。 二、安全装备 1、所有的工人均应穿合适的工作服和穿安全鞋。
信息系统权限及数据管理办法
******股份有限公司 信息系统权限及数据管理办法(试行) 第一章总则 第一条为了加强对******股份有限公司(简称:公司)各运行信息系统权限和数据的管理,明确权限及数据管理相关责任部门,提高信息系统的安全运行和生产能力,规范公司业务系统权限申请及数据管理流程,防范业务系统操作风险,公司制定了信息系统权限及数据管理办法,以供全公司规范执行。 第二条本办法所指信息系统权限及数据包括,但不仅限于公司运行的OA办公系统、业务作业系统、对外网站系统等涉及的系统用户权限分配、日常管理、系统及业务参数管理,以及数据的提取和变更。 第三条本办法遵循责权统一原则对员工进行系统授权管理,控制公司相关信息传播范围或防范进行违规操作。 第四条信息技术部是本办法主要执行部门,设立系统运维岗负责系统用户权限管理、部分基本参数设置、系统数据的提取和变更的具体技术实现。其它相关部门应指定专人(简称:数据权限管理员)负责统一按本办法所制定的流程执行相关操作,或通过工作联系单方式提出需要信息技术部或其它相关部门完成的具体工作内容。 第五条用户授权和权限管理应采取保守原则,选择最小的权限满足用户需求。第二章系统权限管理 第六条系统权限管理由信息技术部系统运维岗和各业务部门数据权限管理员共同协作完成,风险与合规部数据权限管理员负责对业务部门提出的系统权限进行审批,信息技术部系统运维岗负责对权限进行变更。信息技术部系统运维岗拥有系统管理和用户管理权限(信息技术部可以拥有开发测试环境超级用户权限),风险与合规部拥有超级用户权限,风险与合规部数据权限管理员拥有对权限列表进行查询的权限,以方便行使监督职能。. 第七条为有效的进行用户权限管理,各业务部门负责人应掌握系统各功能模块、菜单结构,按功能模块完成系统中权限角色设计;应熟悉本部门各岗位工作基本情况,有效识别权限与职责的匹配关系。 第八条用户申请使用、增加或者修改系统权限(包括新增员工权限申请、变更、离职员工权限),需填写《系统权限申请表》(见附件五),说明申请用户人事信息、所在部门、岗位、申请理由、申请内容。 第九条信息技术部系统运维岗完成用户权限的设置后,必须将《系统权限申请表》(见附件五)电子文档、纸质文档进行存档,并以邮件方式从信息技术部运维组信箱(IT_yunw@******.)发送至风险与合规部机构信箱,提请风险与合规部对结果进行审核。如在三个工作日内风险与合规部没有作出答复,则信息技术部默认权限设置成功。信息技术部系统运维岗在保证信息安全前提下,通知最终用户启用。电子文档和纸质文档的存档规则如下: (一)电子文档的在公司文件服务器设置专门目录存放,存档文件名格式为:权限申请+日期+两位序号(部门中文名称)(财务部).doc,《批量权限申请表》附于此文档后。
数据安全管理规范
数据库安全管理规范 版本: V1.0 (最后修该日期:2007-6-8) 编者: 宽连十方运维中心 目的: 建立一个在数据库管理维护过程中,相关数据库管理人员可以遵循的安全操作标准。 修改记录: 1.0 建立数据库安全管理规范(日期:2007-6-7) 支持信息:
目录 数据库安全管理规范 (1) 1.规范公司内部管理制度 (3) 2.数据库级安全管理制度 (3) 2.1 操作系统口令管理 (3) 2.2 数据库内部口令管理 (3) 2.3 密码自身保护 (3) 2.4 用户(帐号)分类 (4) 2.5 数据库管理员日常维护管理 (4) 2.6 数据库管理员授权控制 (5) 2.7 网络安全管理 (5) 2.8数据访问控制 (5)
1. 规范公司内部管理制度 主要是控制相关工作人员本身的行为规范。需要公司管理部门配合,联合制定一套安全管理制度。包括在界定工作职责(角色)基础之上建立不同级别(权限)的口令。 规定不同角色的工作人员不得相互泄露口令等重要安全信息等。 2. 数据库级安全管理制度 2.1 操作系统口令管理 在操作系统上的有ROOT权限的用户必须由系统管理员全部收回,对于一些特殊原因,如研发人员需要下载相关运行日志,需要建立实名的FTP,以及配套的日志下载权限。,如果确实需要修改系统内部参数的,都要求研发人员向系统管理人员申请协同工作,共同修改。 系统管理员会记录下每次协同工作日志和修改日志。 2.2 数据库内部口令管理 1.关键的数据库内部管理用户(SYS, SYSTEM)的口令在数据库创建之初就必须变换默认口 令信息。 2.对于数据内部默认存在的非管理用户(SCOTT, DBSNMP, OUTLN等)的口令也需要修改。 3.对于研发而言,需要建立测试数据库环境。对于上线系统,理论上不提供研发人员对数据 库的直接访问和修改。 4.由于java class很容易反编译,建议java class连库的时候要读密码文件。密码文件 对用户来说是不读的, 但对java程序来说是可读的。或采用其他方式保护数据库连接所需要的用户的密码信息。 2.3 密码自身保护 周期性更换密码(2-3个月),并要求密码具有一定的复杂度(至少6位密码包含数字和字母)