操作系统及数据库运行安全管理办法完整版.docx

1、操作系统及数据库运行安全管理办法完整版操作系统及数据库运行安全管理办法1范围为保障XX公司信息通信分公司（以下简称“公司”）管理信息系统的操作系 统和数据库管理系统的安全、稳定运行，规范操作系统和数据库管理系统的安全配 置和日常操作管理，特制订本管理办法。本办法适用于公司信息系统的操作系统和数据库系统的管理和运行。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用 文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，使 用本标准的相关部门、单位及人员要研究是否可使用这些文件的最新版本。凡是不 注日期的引用文件，其最新版本适用于本标准。中华人民

2、共和国计算机信息系统安全保护条例中华人民共和国国家安全法中华人民共和国保守国家秘密法计算机信息系统国际联网保密管理规定中华人民共和国计算机信息网络国际联网管理暂行规定IS027001 标准/IS027002 指南公通字 200743 号 信息安全等级保护管理办法GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南3术语和定义下列术语和定义适用于本标准操作系统安全：操作系统所存储、传输和处理的信息的保密性、完整性、和可 用性表征。数据库管理系统安全：数据库管理系统所存储、传输和处理的信息的保密性、 完整性和可用性的表征。4操作系统运行管理4.1操作系统管理员的任命4.1.1

3、操作系统管理员的任命应遵循“任期有限、权限分散”的原则；4.1.2对每个操作系统要分别设立操作系统管理员和操作系统审计员，并分别 由不同的人员担任。在多套系统的环境下，操作系统管理员和操作系统审计员岗位 可交叉担任；4.1.3操作系统管理员和操作系统审计员的任期可根据系统的安全性要求而定， 最长为三年，期满通过考核后可以续任；4.1.4操作系统管理员和操作系统审计员必须签订保密协议书。4.2操作系统管理员帐户的授权、审批4.2.1操作系统管理员和操作系统审计员账户的授权由所在部门填写操作系 统账户授权审批表，经部门领导批准后设置；4.2.2操作系统管理员和操作系统审计员人员变更后，必须及时更改

4、帐户设置。4.3 其他帐户的授权、审批4.3.1其他账户的授权由使用人填写操作系统账户授权审批表，经信息管 理部门领导批准后，由操作系统管理员进行设置；4.3.2外单位人员需要使用公司系统时 , 须经信息管理部门领导同意 , 填写 外单位人员操作系统账户授权审批表，报信息管理部门领导批准后 , 由操作系 统管理员按规定的权限、时限设置专门的用户帐号；4.3.3严禁公司任何人将自己的用户帐号提供给外单位人员使用4.4口令的复杂性、安全性要求和检查441系统账户的口令长度设置至少为 8位，口令必须从小写字符（a-zA-Z ）、大写字符（A-Z）、数字（0-9）、符号（!#$%&*（）_）中至少选择

5、两种进行组合 设置；4.4.2系统账户的口令必须经常更改，每次更新的口令不得与旧的口令相同， 操作系统应设置相应的口令规则；4.4.3系统用户的帐号、口令、权限等禁止告知其他人员；4.4.4须根据系统的安全要求对操作系统密码策略进行设置和调整，以确保口 令符合要求。4.5系统维护和应急处理记录4.5.1应对系统安装、设置更改、帐号变更、备份等系统维护工作进行记录， 以备查阅；4.5.2应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的 记录4.6操作系统软件、资料以及许可证的管理4.6.1必须对操作系统软件的介质、资料和许可证进行登记，并设专人负责保 管；4.6.2登记的内容应包括

6、软件的名称和版本、软件出版商、许可证类型和数量、 介质的编号和数量、软件安装序列号、手册名称和数量、购买日期等；4.6.3应有软件和资料的借用审批和借还登记手续；4.6.4对重要的系统软件介质和资料要进行复制，借用时宜提供复制品，以保 护好原件及避免丢失。4.7操作系统的系统管理员帐户名称、口令的管理4.7.1操作系统账户应按照操作系统账户授权审批表批准的账户名称、权 限和有效期予以设置；必须关闭不必使用的账号；4.7.2操作系统管理员帐户的口令除了要满足本规范第六条中的口令要求外， 还必须每42天更改一次，发现有异常情况时应立即更改，每次更新的口令不得与 旧的口令相同；4.7.3严禁把操作系

7、统管理员的帐户名称和口令告知其他人员。4.8操作系统配置的备份管理4.8.1操作系统管理员应对操作系统的配置参数及相关文件进行备份，当配置 发生变更时必须重新备份，以便系统发生故障时能尽快恢复系统配置。4.9操作系统的安全检查4.9.1操作系统管理员应经常检查操作系统的安全配置，并确保符合安全配置 要求；4.9.2操作系统管理员和操作系统审计员应定期查看操作系统的运行日志和审 计日志，以及时发现出现的安全问题；4.9.3操作系统管理员应定期使用最新的安全检查或安全分析工具对系统进行 检查，并及时消除存在的漏洞。特别是在新软件安装或软件更新之后。5数据库系统运行管理5.1数据库管理员的任命5.1

8、.1数据库管理员(DBA)的任命应遵循“任期有限、权限分散”的原则；5.1.2对每个数据库系统要分别设立数据库管理员和数据库审计员，并分别由 不同的人员担任。在多套系统的环境下，数据库管理员和数据库审计员岗位应交叉 担任；5.1.3数据库管理员和数据库审计员的任期可根据系统的安全性要求而定，最 长为三年，期满通过考核后可以续任；5.1.4数据库管理员和数据库审计员必须签订保密协议书。5.2数据库管理员帐户的授权，审批5.2.1数据库管理员和数据库审计员账户的授权由系统运行维护单位填写数 据库系统账户授权审批表，经信息管理部门领导批准后设置；5.2.2数据库管理员和数据库审计员人员变更后，必须及

9、时更改帐户设置。5.3其他帐户的授权，审批5.3.1本单位其他数据库账户的授权由使用单位填写数据库系统账户授权审 批表，经信息管理部门领导批准后，由数据库管理员进行设置；5.3.2外单位人员需要使用本单位数据库系统时 , 须经接待部门主管同意 , 填 写外单位人员数据库系统账户授权审批表，报信息管理部门领导批准后 , 由数 据库管理员按规定的权限、时限设置专门的用户帐号；5.3.3外单位人员数据库系统账户授权审批表应包括使用者姓名、身份证 号、工作单位、接待部门、数据库系统名称和版本、主机型号、主机号、账户名称、 账户类别、授予权限、账号和权限授予期限等；5.3.4严禁本单位任何人将自己的用户

10、帐号提供给外单位人员使用。5.4口令的复杂性、安全性要求和检查5.4.1数据库账户的口令长度设置至少为 8 位，口令必须从字符、数字、符号 中至少选择两种进行组合设置；不宜使用与账户名称中相同的字符或使用姓名、生 日和电话号码等其他容易猜测的字符组合；5.4.2数据库账户的口令必须经常更改，至少每季度更改一次，每次更新的口 令不得与旧的口令相同，应设置相应的口令规则；5.4.3网络用户的帐号、口令、权限等禁止告知其他人员；5.4.4必须根据安全要求对数据库管理系统的密码策略进行设置和调整，以确 保口令符合要求。5.5系统维护和应急处理记录5.5.1应记录数据库系统维护和应急处理记录；5.5.2

11、应对系统安装、设置更改、帐号变更、表空间变更、数据对象变更、数 据库备份等系统维护工作进行记录，以备查阅；5.5.3应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的 记录。5.6数据库系统软件、资料以及许可证的管理5.6.1必须对数据系统软件的介质、资料和许可证进行登记，并设专人负责保 管；5.6.2登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、 介质的编号和数量、软件安装序列号、资料名称和数量、购买日期等；5.6.3应有软件和资料的借用审批和借还登记手续；5.6.4对数据库系统软件介质和资料要进行复制，借用时宜提供复制品，以保 护原件及避免丢失。5.7数据库管

12、理员帐户名称、口令的管理5.7.1数据库管理员账户名称不宜使用系统安装时默认的管理员账户名，应按 照数据库系统账户授权审批表批准的账户名称、权限和有效期予以设置。必须 更改系统安装时默认的管理员账户和具有特殊权限的账户的口令，关闭不必使用的 账号；5.7.2数据库管理员的口令长度必须设置至少为 8 位，满足口令的复杂性要求， 还必须每两周更改一次，发现有异常情况时应立即更改，每次更新的口令不得与旧 的口令相同；5.7.3严禁把DBA的帐户名称和口令告知其他人员。5.8数据库系统配置的备份的管理5.8.1数据库系统管理员应对数据库系统的配置参数及相关文件进行备份，当 配置发生变更时必须重新备份，

13、以便系统故障时能尽快恢复系统配置。5.9数据库系统数据的备份的管理5.9.1应制定数据库系统的备份策略，定期对数据库系统进行备份；5.9.2数据库备份策略的制定要以尽可能高效地进行备份与恢复为目标，并且 与操作系统的备份最好地结合，宜采用物理备份与逻辑备份相结合；5.9.3必需对备份权限的设置加以严格控制；5.9.4必须妥善存放和保管备份介质（包括磁带、从数据库导出的文件等）， 防止非法访问。对备份的介质应做好标识，存放环境符合要求。5.10数据库系统的安全检查5.10.1数据库管理员应经常检查数据库系统的安全配置，并确保符合安全配 置要求；5.10.2数据库管理员和数据库审计员应定期查看数据

14、库系统的运行日志和审 计日志，以及时发现出现的安全问题；5.10.3数据库管理员应定期使用最新的安全检查或安全分析工具对系统进行 检查，并及时消除存在的漏洞；特别是在新软件安装或软件更新之后。6附则6.1本制度由XX公司信息通信分公司负责解释。6.2本办法自颁布之日起执行。6.3附录附表 A 操作系统帐户授权审批表融那仃P.S专主S Sz 可 nwwrM tus=i-=L： ? = = ：7 0 :i-=Eri=： =.S1 :皿也； 三程：円= -,E亍5走xra 号it附表B外单位人员操作系统帐户授权审批表71 S髯峠乐口ASM二咋牡奥士 三呂2 :二护石冷誥2 SA43E5取Eenr 黑三=V M導百二二朝虫垃左P -.三岂主厲、雯三氏鼻、二丈：竺蛙亘二匸匸岂羽匚三丘L豪蟲匕 詩册：倉整期门豊JU签超! E fl :予咛M兰:龙牛沁沁占手、”亍E话附表C数据库系统帐户授权审批表-1申捅日堺“娜H.n联杲电话“&艮H 4 fe.K-S 我軌A K ,ttxe ja!_p申*!牡滄切廿.卷见：.1帰息都门覆见：|茏議 e W：,执祈记裝r耒机、主机县1E疽希.，feKiitE41其也说 1.1!附表D外单位人员数据库系统帐户授权审批表 附表E数据库系统维护和应急处理记录ttf:.數