数据库全产品等保和分保的要求Word格式文档下载.docx
《数据库全产品等保和分保的要求Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《数据库全产品等保和分保的要求Word格式文档下载.docx(13页珍藏版)》请在冰豆网上搜索。
严重损害
指导
社会秩序和公共利益
第三级
重要系统
监督检查
国家安全
第四级
特别严重损害
强制监督检查
第五级
极端重要系统
专门监督检查
依据《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安【2019】861号文件要求,重要信息系统安全等级保护定级工作定级范围如下:
●电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。
●铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。
市(地)级以上党政机关的重要网站和办公信息系统。
●涉及国家秘密的信息系统
《信息安全技术信息系统安全等级保护基本要求(GB/T22239-2019)》将息系统等级保护的安全基本要求分为技术要求和管理要求两大类。
基本技术要求从物理安全、网络安全、主机系统安全、应用安全和数据安全几个层面提出安全要求;
基本管理要求从安全管信理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理几个方面提出安全要求。
⏹解决方案
⏹等保二级要求及应答
项目分类
指标类
考察项
基本要求
产品及实现
6.1.3主机安全
6.1.3.2访问控制(S2)
a)应启用访问控制功能,依据安全策略控制用户对资源的访问
b)应实现操作系统和数据库系统特权用户的权限分立;
产品:
数据库防火墙、数据库监控扫描
a)实现:
通过数据库防火墙访问控制功能,可基于IP、SQL语句,操作时间、客户端、关键字等条件制定相应的访问控制策略
b)实现:
通过数据库监控扫描对权限配置不合理进行扫描,同时通过数据库防火墙进行二次的访问控制
6.1.3.3安全审计(G2)
a)审计范围应覆盖到服务器上的每个操作系统用户和数据库用户
b)审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件
c)审计记录应包括事件的日期、时间、类型、主体标识、客体标识和结果等。
d)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
数据库审计
a)、b、)c)实现:
通过数据库审计或者数据库防火墙的审计功能,对服务器上的每个操作系统用户和数据库用户进行审计,可对发生时间、客户端IP地址、客户端MAC、终端程序、访问账号、访问数据库名、操作表名、SQL语句、数据库响应时间以及返回结果等关键信息进行审计
d)实现:
数据库审计或者数据库防火墙产品的具备独立的日志存储功能,且按照三权分立设置,审计记录可避免受到未预期的删除、修改或覆盖。
6.1.4应用安全
6.1.4.1访问控制
a)应提供访问控制功能,依据安全策略控制用户对文件、数据库表等客体的访问
b)访问控制的覆盖范围应包括与资源访问相关的主体、客体及它们之间的操作
c)应由授权主体配置访问控制策略,并严格限制默认账户的访问权限
d)应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成互相制约的关系
a)、b)实现:
通过数据库防火墙访问控制功能,可基于IP、数据库表、SQL语句,操作时间、客户端、关键字等条件制定相应的访问控制策略
c)实现:
通过数据库监控扫描对默认账号及其权限进行扫描,发现存在的风险同时通过数据库防火墙对用户权限进行限制。
通过数据库监控扫描对数据库账号及其权限进行扫描分析,通过数据库防火墙对用户权限进行最小权限。
6.1.4.3安全审计(G2)
a)应提供覆盖到每个用户的安全审计功能,对应用系统重要安全事件进行审计
b)应保证无法删除、修改或覆盖审计记录
c)审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。
实现:
通过数据库审计或者数据库防火墙的审计功能,对服务器上的每个操作系统用户和数据库用户进行审计,可对发生时间、客户端IP地址、客户端MAC、终端程序、访问账号、访问数据库名、操作表名、SQL语句、数据库响应时间以及返回结果等关键信息进行审计。
同时数据库审计或者数据库防火墙产品的具备独立的日志存储功能,且按照三权分立设置,审计记录可避免受到未预期的删除、修改或覆盖。
等保三级要求及应答
7.1.3主机安全
7.1.3.2访问控制(S3)
b)应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限;
c)应实现操作系统和数据库系统特权用户的权限分离。
通过数据库监控扫描对权限配置不合理进行扫描,同时通过数据库防火墙进行二次的访问控制,对特权用户的权限进行分离。
7.1.3.3.安全审计(G3)
a)审计范围应覆盖到服务器和重要客户端上的每个操作系统用户和数据库用户
d)应能够根据记录数据进行分析,并生成审计报表。
e)应保护审计进程,避免受到未预期的中断。
f)应保护审计记录,避免受到未预期的删除、修改或覆盖等。
a)、b)、c)实现:
通过数据库审计或数据库防火墙日志功能生成等级保护日志报表。
e)实现:
数据库审计或数据库防火墙产品的审计进程独立与数据库自身,不受数据库自身影响,同时具备双机部署等可可靠性技术。
f)实现:
7.1.4应用安全
7.1.4.1访问控制(S3)
据库防火墙、数据库监控扫描
7.1.4.3安全审计(G3)
b)应保证无法单独中断审计进程,无法删除、修改或覆盖审计记录
c)审计记录的内容至少应包含事件的日期、时间、发起者信息、类型、描述和结果等
d)应提供对审计记录数据进行统计、查询、分析及生成审计报表的功能
通过数据库审计或数据库防火墙日志功能对审计记录数据进行统计、查询、分析,生成等保相关的审计报表。
分保要求
评测分类
保护项
级别
评测要求
符合度
数据库审计与防护系统保护效果
运行管理
(共2分)
三权分立
(1分)
机密级/增强级
系统管理员、安全保密管理员和安全审计员的权限分离,能相互制约和监督
增强级
引入三权分立,增设安全管理员和审计管理员,与数据库管理员相互制约和监督。
安全管理员负责数据的密文访问权限授予,可限制DBA的超级权限;
审计管理员对安全管理员的权限授予和数据库用户的数据访问进行审计。
身份鉴别
(共8分)
鉴别方式
(2分)
机密级
使用智能卡或Ukey与口令结合的鉴别方式
实现动态口令牌、ukey+pin方式认证;
应用级用户、数据库用户都需要经过双因素认证。
采用生理特征(指纹、虹膜等)方式进行鉴别
访问控制
(共10分)
访问控制策略
(3分)
重要信息采用分类分级的强制访问控制策略。
在数据加密存储的基础上,实现密文访问权限体系,对数据库用户进行强制访问控制;
同时数据库用户和密文数据可进行分级管理,数据按照列、行记录可以分成不同的级别,不同级别用户只能访问相应级别的数据。
主体的访问控制精确到用户、客体精确到信息的级别或类别。
安全审计
(共4分)
审计内容
审计存储
审计内容:
操作的主体、客体、内容结果等,用户的权限变更,安全管理员的行为;
审计存储:
有阈值设置、空间满时告警能力
可以对安全管理员、数据库用户进行审计。
审计安全管理员的密文权限授予行为,记录用户权限变更事件;
审计数据库用户对密文数据的增删改查操作行为。
提供审计记录数阈值设置,自动告警,并支持审计记录归档、及按最早时间进行覆盖的策略。
增加对涉密信息的访问事件审计。
审计存储空间将满时,可进行覆盖或转储
数据完整性
(共1分)
对涉密信息进行完整性检测,防止非法篡改。
实现对涉密数据进行加密存储,并提供密文水印;
防止数据文件级破坏、非法篡改及删除数据。
数据库安全
(共3分)
若没有采用专门的安全数据库,
升级会员 