数据库安全管理规范
人力资源社会保障数据中心
数据库安全管理规范(试行)
(征求意见稿)
第一章 总则
第一条【目的】为保障人力资源社会保障应用系统数据库(以下简称数据库)安全,保障数据的保密性、完整性、可用性,规范操作和管理行为,降低数据安全风险,实现人力资源社会保障数据中心安全管理,制定本规范。
第二条【适用范围】本规范适用于各级人力资源社会保障非涉密应用系统的数据库管理,涉密应用系统的数据库应按照国家保密部门的相关规定和标准进行管理。
第三条【定义】本规范所称的数据库,是指人力资源社会保障应用系统处理和服务所依托的集中存储数据的各类数据库系统(含与数据库、数据仓库相关的,以数据库之外形式保管的数据)。
第四条【原则】数据库的安全管理和技术保障措施,应与支撑其安全稳定运行的应用系统安全保护等级相对应。
第二章 岗位职责
第五条【负责单位】人力资源社会保障信息化综合管理机构(以下简称信息部门)负责应用系统数据库的安全管理,保证
数据库安全稳定运行。
第六条【岗位设置】数据库安全运行维护管理岗位包括数据库管理员、数据库安全员和数据库审计员,由信息部门人员承担。
第七条【权责分离】数据库管理员不得同时兼任其他两岗。核心应用系统的数据库安全员应配备专职人员,与其他两岗分离。核心应用系统的数据库管理员和数据库审计员均应分别由多人共同管理1。
第八条【数据库管理员职责】数据库管理员负责数据库配置、账户、监控、备份、日志等数据库全生命周期的运行维护管理,主要职责包括:
(一)配置管理:负责数据库的安装(升级、卸载)、服务启停、数据空间管理、数据迁移、版本控制,通过对数据库进行合理配置、测试、调整,最大限度发挥数据库资源优势。
(二)账户管理:建立、删除、修改数据库账户。在数据库安全员授权下,对数据库的账户及其口令进行变更。
(三)运行监控:定期监测数据库运行状况,及时处理解决运行过程中的问题,负责数据库调优,定期编制数据库运行报告。
(四)数据备份管理:定期对数据进行备份和恢复测试。
(五)日志管理:负责数据库日志的设置、检查和分析(如
数据库故障事件记录情况、数据库资源增长超限情况、违规使用
1《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239‐2008 7.2.2.2):人员配备:a) 应配备一定数量的系统管理员、网络管理员、安全管理员等;b) 应配备专职安全管理员,不可兼任;c) 关键事务
岗位应配备多人共同管理。
应用系统账户、大量数据库登录失败、大量无效SQL语句等)。
及时向数据库安全员报告潜在的安全事件和问题。
(六)配合应用系统管理员和网络管理员的日常工作。
第九条【数据库安全员职责】数据库安全员负责制定数据库安全策略,进行日常安全巡查、日志分析和权限管理,主要职责包括:
(一)日常安全检查:定期查看数据库配置,检查数据库常见的安全问题,如账户权限过大、口令过旧等,并将安全问题提交相关部门和人员落实,负责检查处理结果。
(二)设置安全策略:设置IP、时间、应用等访问权限,确定敏感数据和数据访问策略(如使用默认账户、使用默认口令、数据库对象可被所有账户访问等)。
(三)账户授权:对数据库管理员创建的数据库账户2,进行访问授权。
(四)日志分析:对数据库相关安全审计功能或系统进行日志设置、检查和分析,负责检查分析违规安全事件和行为。
(五)安全培训:组织数据库的安全培训。
第十条【数据库审计员职责】数据库审计员负责对数据库管理员、数据库安全员的操作行为进行审计、跟踪、分析和监督检查,及时发现违规行为和异常行为,进行数据库日志和审计日
志分析、安全事件的分析和取证。主要职责包括:
2 账户、帐户在国标中均有使用,此处使用账户。账户在《信息安全技术 数据库管理系统安全技术要求》(GB/T 20273‐2006)中有使用;帐户在《信息安全技术 信息系统安全等级保护基本要求》(GB/T
22239‐2008)中有使用。
(一)变更审核:对数据库管理员、数据库安全员制定和更改数据库的安全策略、账户权限以及参数设置等进行审核和监督,定期检查操作记录。
(二)日志审计:对数据库管理员、数据库安全员的认证登录审计(包括登录时间、登录失败次数、登录的IP地址等),对数据库的关键配置变更审计(包括增/删账户和授权,数据库的删除、复制、卸载,数据库存储过程、触发器等对象的增加、编辑和删除等)并定期(如1个月)形成安全审计报告。
(三)日志管理:对审计后的日志进行定期清除或移出。
第十一条【保密要求】数据库管理员、数据库安全员、数据库审计员应签署保密协议。
第三章 数据库运行维护管理
第十二条【安全防护机制】建立和充分运用符合数据库保护等级要求的身份鉴别、访问控制、数据保护、安全审计等安全防护机制。采用满足业务需求的最小安装配置和最细粒度的安全控制策略。
第十三条【日常巡检】应每天或每周对数据库运行状态进行日常巡检。巡检的主要内容包括:
(一)检查数据库网络连通与否,查看监听器(listener)状态、数据库连接池使用情况等;检查数据库实例状态以及所有与数据库相关的后台进程是否正常、日志记录是否正常、告警文件有无异常;检查存储空间的使用情况,重点关注使用量增长较
快的表空间情况,如果剩余的存储空间不足一定比例,需要清理不用的文件或扩充存储空间;检查数据备份是否正常;检查数据库日志是否正常、完备。
(二)日常巡检中发现的问题要及时处理,重大问题要及时报告。
(三)建立数据库运行维护监控系统,提供自动巡检、情况记录、问题报警等功能,实现部分或全部的数据库日常巡检工作。
第十四条【定期维护】按月或季度对数据库配置进行可用性、可靠性、安全性和性能方面的检查和策略调整。主要内容包括:
(一)收集数据库的性能统计数据,分析数据库运行资源消耗的趋势,并视情况进行改善。
(二)检查数据存储空间碎片情况,必要时加以调整。
(三)检查数据库日常巡检工作的执行情况并及时纠正,如:账户、数据存储空间增删改的记录是否齐全,备份记录、维护记录是否齐全等。
第十五条【访问要求】严格控制操作和访问数据库的路径,访问控制要求如下3:
(一)正常的业务操作和数据维护,只能通过应用系统访问数据库。
(二)数据库管理员、数据库安全员、数据库审计员连接数
3《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239‐2008 7.2.3.5)三级‐‐‐外部人员访问管理:“a) 应确保在外部人员访问受控区域前先提出书面申请,批准后由专人全程陪同或监督,并登记备案; b) 对外部人员允许访问的区域、系统、设备、信息等内容应进行书面的规定,并按照规定执行。”
据库的专用终端,应限制数量,并集中部署在安全区域,便于访问控制和审计。
(三)对可能从内部网络向外发起的连接资源(如调制解调器拨号接入互联网)实施严格控制,授权使用。严禁利用磁盘阵列或小型机提供的远程(拨号)方式进行非现场故障诊断和修复操作。
第十六条【补丁升级】数据库补丁升级要求如下4:
(一)跟踪数据库厂商发布的数据库补丁情况。安全漏洞补丁应及时安装,非安全类补丁可在应用系统升级时统筹考虑。
(二)在数据库补丁安装、版本升级、配置变更前应做好数据备份和应急预案,并会同应用系统管理员评估风险,确定无风险后方可实施操作。
(三)数据库重大变更调整前,应先在测试环境下测试应用系统有效性,无问题后方可实施操作。
第十七条【变更管理】数据库正式启用后,严禁随意变更修改系统配置,如确需变更,必须制定完备的操作方案、回退计划,进行充分的风险评估,并经审批通过后,方可实施。
第十八条【禁止开库】严禁通过后台语句直接对数据库进行数据的增、删、查、改等操作。对于不符合正常业务规则的特
4《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239‐2008 7.2.5.6)三级‐‐‐网络安全管理:“a) 应指定专人对网络进行管理,负责运行日志、网络监控记录的日常维护和报警信息分析和处理工作; b) 应建立网络安全管理制度,对网络安全配置、日志保存时间、安全策略、升级与打补丁、口令更新周期等方面作出规定; c) 应根据厂家提供的软件升级版本对网络设备进行更新,并在更新前对现有的重要文件进行备份; d) 应定期对网络系统进行漏洞扫描,对发现的网络系统安全漏洞进行及时的修补; e) 应实现设备的最小服务配置,并对配置文件进行定期离线备份; f) 应保证所有与外部系统的连接均得到授权和批准;g) 应依据安全策略允许或者拒绝便携式和移动式设备的网络接入; h) 应定期检查违反规定拨号上网或其他违反网络安全策略的行为。”
殊数据维护,确需直接访问数据库的,业务部门提出申请,信息部门受理,数据库安全员组织进行充分的风险评估,经领导审批后,由数据库管理员操作,并对处理过程形成工作记录。
第十九条【做好工作记录】数据库的安全策略和措施、使用和维护情况应有书面记载,并可供检查。数据库管理员应在数据库安装、启动、升级、配置变更、日常巡检、故障处理、账户管理、备份恢复等运行维护工作中做好工作记录,包括操作时间、人员、事件内容、配置参数调整信息等。
第二十条【资产管理5】对数据库软件、文档和许可证进行登记(包括软件的名称和版本、许可证类型和数量、介质的编号和数量、软件安装序列号、资料名称和数量等),并设专人保管。软件和资料的借用应有审批和借还登记手续。
第二十一条【日志管理】数据库日志包括警报日志、跟踪日志、重做日志(在线重做日志和归档重做日志)。日志管理工作包括:
(一)合理分配日志存储空间。
(二)保持数据库日志功能的常态开启。当大批量数据导入等特殊操作需临时关闭归档重做日志功能的,经批准后方可操
5《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239‐2008 7.2.5.3)三级‐‐‐介质管理:“a) 应建立介质安全管理制度,对介质的存放环境、使用、维护和销毁等方面作出规定; b) 应确保介质存放在
安全的环境中,对各类介质进行控制和保护,并实行存储环境专人管理; c) 应对介质在物理传输过程中
的人员选择、打包、交付等情况进行控制,对介质归档和查询等进行登记记录,并根据存档介质的目录清单定期盘点; d) 应对存储介质的使用过程、送出维修以及销毁等进行严格的管理,对带出工作环境的存
储介质进行内容加密和监控管理,对送出维修或销毁的介质应首先清除介质中的敏感数据,对保密性较高的存储介质未经批准不得自行销毁;e) 应根据数据备份的需要对某些介质实行异地存储,存储地的环境
要求和管理方法应与本地相同; f) 应对重要介质中的数据和软件采取加密存储,并根据所承载数据和软
件的重要程度对介质进行分类和标识管理。”
作,并在相关工作完成后,立即恢复归档重做日志功能。
(三)审计后的日志,在保留半年后可清除或移出。
(四)应对数据库日志访问权限做出控制,只有数据库管理员账户和数据库审计员账户可访问日志信息。
第二十二条【审计管理】应定期基于数据库日志和审计日志进行数据库审计管理6,要求如下:
(一)定期对数据库的访问、操作、警告、错误等各类情况进行审计,并基于审计结果发布审计报告。
(二)审计发现的重大问题要及时向信息部门领导报告,同时按照事件处理流程执行。
(三)审计出的各类问题由数据库管理员负责修改完善,问题的修改应限期完成,由数据库审计员核实修改情况。
(四)可建立数据库安全审计系统,实现对数据库系统关键业务操作和违规数据操作的审计和记录,记录安全侵害事件的日期、时间、用户、类型、是否成功等信息,提供安全审计分析工具对数据库安全情况进行审计。
第二十三条【第三方要求】对于排查故障等特殊情况确需信息技术服务商(以下简称第三方)操作数据库的,数据库管理员应全程陪同,并对第三方操作情况进行记录。
第二十四条【主机要求】应提供保障数据库安全的主机
6 《信息安全技术 数据库管理系统安全技术要求》(GB/T 20273‐2006 4.6):数据库管理系统的安全审计应:“a) 建立独立的安全审计系统; b) 定义与数据库安全相关的审计事件; c) 设置专门的安全审计员;d) 设置专门用于存储数据库系统审计数据的安全审计库; e) 提供适用于数据库系统的安全审计设置、分析和查阅的工具。”
环境,禁止安装与数据库无关的工具软件。
第二十五条【应急预案7】根据应急程度分别拟定对应的应急预案或子预案,应包括启动预案条件、应急处理流程、系统恢复流程,应急培训等内容。
第二十六条 【事件处理流程8】按照事件对系统的影响程度,对系统事件的等级进行划分,配套相应的事件处理流程。应区分日常事件处理流程、重大事件处理流程。
第四章 账户和口令管理
第二十七条【账户类型9】数据库账户包括如下类型:数据库管理账户、应用系统账户、临时账户。
(一)数据库管理账户:包括数据库管理员账户、数据库安全员账户、数据库审计员账户。
(二)应用系统账户:供应用系统访问数据库使用,按照应用系统的需要,具有相应数据增、删、查、改中的一个或多个功
7《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239‐2008 7.2.5.13)三级‐‐‐应急预案管理:“a) 应在统一的应急预案框架下制定不同事件的应急预案,应急预案框架应包括启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容; b) 应从人力、设备、技术和财务等方面确保应急预案的执行有足够的资源保障; c) 应对系统相关的人员进行应急预案培训,应急预案的培训应至少每年举办一次; d) 应定期对应急预案进行演练,根据不同的应急恢复内容,确定演练的周期; e) 应规定应急预案需要定期审查和根据实际情况更新的内容,并按照执行。”
8《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239‐2008 7.2.5.12)三级‐‐‐安全事件处置:“a) 应报告所发现的安全弱点和可疑事件,但任何情况下用户均不应尝试验证弱点;b) 应制定安全事件报告
和处置管理制度,明确安全事件的类型,规定安全事件的现场处理、事件报告和后期恢复的管理职责; c) 应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分; d) 应制定安全事件报告和响应处理程序,确定事件的报告流程,响应和处置的范围、程度,以及处理方法等; e) 应在安全事件报告和响应处理过程中,分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训,制定防止再次发生的补救措施,过程形成的所有文件和记录均应妥善保存; f) 对造成系统中断和造成信息泄密的安全事件应采用不同的处理程序和报告程序。” 9《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239‐2008 7.1.3.2)三级‐‐‐访问控制:“a) 应启用访问控制功能,依据安全策略控制用户对资源的访问; b) 应根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限; c) 应实现操作系统和数据库系统特权用户的权限分离;d) 应严格限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令; e) 应及时删除多余的、过期的帐户,避免共享帐户的存在。 f) 应对重要信息资源设置敏感标记; g) 应依据安全
策略严格控制用户对有敏感标记重要信息资源的操作。”
能。应用系统账户仅可通过应用系统经由应用服务器进行DML和DDL操作;应用系统账户不能通过第三方数据库工具连接数据库。
(三)临时账户:用于短期内第三方人员对数据库维护的访问。临时账户须说明访问时间、访问者IP、要访问的数据、需要的DML权限,由数据库安全员进行审核后授权,过期自动失效。每个临时账户操作完毕后,数据库安全员须对临时账户本次操作出具审计报告,以确保临时账户操作合规。禁止临时账户执行DDL,确实需要的,由数据库管理员负责执行。
第二十八条【账户管理】数据库账户管理要求如下:
(一)数据库账户及其权限应依据最小授权原则进行设置,不同用途的账户应分设,并应对授权的再次传播进行控制。
(二)每个连接到数据库中进行操作的个人或应用系统都必须有独立的数据库账户,确保数据库操作的可追溯性。
(三)不同的数据库管理员依职责对不同的表数据进行权限划分,互相不能操作。
(四)数据库账户应具有唯一性,禁止不同的数据库使用相同的账户与口令,禁止生产库和测试库使用同一组账户与口令。
(五)上线应用系统不得使用数据库默认账户,应把默认账户设定为口令到期和被锁定。封锁宿主机操作系统对数据库账户的直接访问权限。
(六)在日常巡检中及时删除多余、过期的账户,及时清理
权限过大的账户10。
(七)应对数据库账户授权分配情况进行书面记录。
(八)应开启数据库审计功能,记录账户操作情况,粒度应记录到应用系统用户、数据库账户、操作时间和事项等。
第二十九条【口令管理11】数据库账户的口令管理要求如下:
(一)数据库账户口令应为无意义的字符组,长度至少为十位,并且包含大写字符、小写字符、数字和特殊符号。
(二)数据库账户口令应以纸质方式保存,密封存放在安全区域。严禁将数据库账户口令记录在计算机、手机等各类电子设备中,严禁泄露数据库账户口令。
(三)数据库账户口令应定期修改。数据库管理账户口令最长使用时间不能超过半年,应用系统账户口令最长使用时间不能超过一年。在应用系统遭到入侵、管理员轮换、口令泄露及其他可能威胁账户口令安全的情况下,应立即修改账户口令。
(四)应定义数据库账户口令尝试次数和尝试失败后采取的措施12,并对数据库登录失败进行记录和定期审计。
10《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239‐2008 5.1.3.2):“应限制默认帐户的访问权限,重命名系统默认帐户,修改这些帐户的默认口令;应及时删除多余的、过期的帐户,避免共享帐户的存在。”
11《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239‐2008 7.1.3.1)三级‐‐‐身份鉴别:“a) 应对登录操作系统和数据库系统的用户进行身份标识和鉴别; b) 操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换; c) 应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施; d) 当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听; e) 应为操作系统和数据库系统的不同用户分配不同的用户名,确保用户名具有唯一性。 f) 应采用两种或两种以上组合的鉴别技术对管理用户进行身份鉴别。”
12《信息安全技术 数据库管理系统安全技术要求》(GB/T 20273‐2006 5.1.1.1):“通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理”。
(五)数据库账户及口令不得与宿主机操作系统的账户及口令相同。
第三十条【人员变动】数据库管理员、数据库安全员、数据库审计员因工作调整或长期离岗时,应及时注销账户或更换账户口令,并做好相关变动记录13。
第五章 数据保管和交换管理
第三十一条【定义】应纳入保管的数据有:应用数据(如业务信息、应用系统访问账户信息)、系统数据(如数据字典、存储过程、配置信息)、安全数据(如应用系统日志、数据库日志)。既包括在数据库中存储的结构化数据,也包括在磁盘上直接存储的非结构化数据。
第三十二条【原则】数据保管应遵循保密、完整、安全的原则。
(一)应对数据库、磁盘、备份介质、临时存储介质中的数据加以保护,防止未授权的使用、篡改、增加或破坏。
(二)数据保管的软硬件环境、存储载体等发生变化时,应及时对数据进行迁移、转换,并保留原有数据备查。
(三)进行数据加工、分析等操作时,仍应保持数据的安全属性。
第三十三条【保密要求14】应建立数据保密机制,确保数
13《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239‐2008 7.2.3.1)三级‐‐‐人员录用:“a) 应指定或授权专门的部门或人员负责人员录用;b) 应严格规范人员录用过程,对被录用人的身份、背景、专业资格和资质等进行审查,对其所具有的技术技能进行考核;c) 应签署保密协议;d) 应从内部人员中选拔从事关键岗位的人员,并签署岗位安全协议。”
14《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239‐2008 7.1.5.2)三级‐‐‐数据保密性:“a)
据在传输、存储、使用过程中的保密性。
(一)对在人力资源社会保障业务工作中获知的公民个人和用人单位电子信息必须严格保密,不得泄露、篡改、毁损,不得出售或者非法向他人提供。对于违规操作导致数据泄露、篡改、毁损的,依法追究当事人责任。
(二)信息部门不得委托第三方单独负责数据库维护工作。第三方及其工作人员协助维护的,应签订保密协议。
(三)应用系统中需保密的特殊人群信息加密存储,并不与其他应用系统、外部系统进行共享与交换。
(四)在数据库中存储的应用系统访问账户口令、密钥、鉴别信息,应加密存储。
(五)因应用系统测试需要基于真实数据准备测试数据的,应做脱敏处理,隐去可识别个体的信息(姓名、公民身份号码、电话、单位名称、组织机构代码等)和其他敏感数据。
(六)运行在互联网、自助服务设施上提供公共服务的应用系统,对外查询内容应保护个人隐私信息,并根据数字证书、用户名口令等不同安全强度的用户身份鉴别措施,分级设定对外服务内容。
第三十四条【数据敏感性】定义敏感数据,并对敏感数据进行加密保护,确保敏感数据不以明文方式存储在磁盘、备份介质和导出文件里。
应采用加密或其他有效措施实现系统管理数据、鉴别信息和重要业务数据传输保密性; b) 应采用加密或其他保护措施实现系统管理数据、鉴别信息和重要业务数据存储保密性。”
第三十五条【访问交换原则】数据的访问和交换应遵循“知所必需、用所必需、共享必需、公开必需、互联互通必需”的原则。
第三十六条【内部共享】内部共享数据管理要求如下: (一)人力资源社会保障部门内部的各应用系统使用或交换数据须先提出申请,由信息部门、数据归口部门均审批通过后,信息部门提供技术方案给予实现。
(二)人力资源社会保障系统内上下级、同级间的数据传输,应通过业务专网完成。
(三)各应用系统间须进行相互授权后,方可进行数据交换,未通过有效身份验证的应用系统不得访问数据库。
(四)各类数据交换应进行详细的工作记录。
(五)重要数据在网络传输时,应尽量避免从高等级安全域向低等级安全域交换。如无法避免,应经过审核、论证并提供必要的安全保护机制,以规避安全风险。
第三十七条【外部交换】外部交换数据管理要求如下: (一)外部系统使用或交换数据须先提出申请,明确数据项目、使用用途和期限后,待本级人力资源社会保障部门同意,并报上级人力资源社会保障部门批准后方可提供15。
15《关于进一步加强劳动保障数据安全管理的通知》(劳社厅发〔2006〕31号):“严格实行业务数据归口管理。各地对于涉及劳动保障方面的数据信息,要实行业务数据归口管理。凡涉及到用人单位和个人的原始数据,要严格执行《保密法》和《统计法》等有关法律法规的规定,确保数据安全和有序管理。各地政府部门因工作需要,要求从金保工程数据库中提取有关数据时,须经同级劳动保障部门同意,并报上级劳动保障部门批准后方可提供。国家有关部门如需使用劳动保障相关数据,需商我部同意,共同安排部署,各地不得自行提供。”
(二)与外部系统的数据交换,可采用联机或脱机的方式。联机方式不得通过互联网直接传输,须经有效身份验证的前置设备进行交换;脱机方式可通过数据光盘的方式进行交换。
(三)脱机方式下的交换数据须进行加密处理,对称密钥加密的密钥长度至少达到128位,非对称密钥加密的密钥长度至少达到1024位,所用密码技术产品和算法应经国家密码管理主管部门批准,不得用数据压缩技术(如winzip等)代替数据加密。
(四)各类数据交换应进行详细的工作记录。
第三十八条【临时介质管理】临时存放数据的存储介质,不得带离工作场所,用完后须及时清除数据。
第六章 数据备份与恢复管理
第三十九条【灾备建设】统筹建设灾难备份系统,完善相应工作机制,制定灾难恢复预案,定期进行灾难恢复演练,确保数据安全和核心应用系统连续运行。
第四十条【要求】建立数据备份机制,设置数据备份专人专岗,加强对各类数据存储和备份的管理,保障应用系统的正常运行,保存完整的历史数据。
第四十一条【备份方式】数据备份可采用在线存储与脱机介质两种形式进行,也可同时使用两种方式。
第四十二条【备份策略16】视应用系统的特性和安全保护
16《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239‐2008 7.1.5.3)三级‐‐‐备份和恢复:“a) 应提供本地数据备份与恢复功能,完全数据备份至少每天一次,备份介质场外存放; b) 应提供异地数据
备份功能,利用通信网络将关键数据定时批量传送至备用场地; c) 应采用冗余技术设计网络拓扑结构,
避免关键节点存在单点故障;d) 应提供主要网络设备、通信线路和数据处理系统的硬件冗余,保证系统
的高可用性。”
等级,设置合理的备份周期和备份策略,要求如下: (一)在数据库补丁安装、版本升级、配置变更或数据有较大变动前,应先行备份。
(二)核心应用系统要实现数据每日增量、每周全量备份,建立异地应用级灾备系统,备份介质异地存放;其他应用系统的数据可每周或每月进行备份。
(三)数据备份应不影响业务,或在不影响业务的时间段内进行。
第四十三条【备份文件管理17】备份文件应按照一定的规则编目存放和管理,要求如下:
(一)备份文件应存放在非本机磁盘的其他介质中,备份文件存储介质放置地点应防盗、防火、防潮、防尘、防磁,保证温度、湿度在规定范围内。
(二)备份文件存储介质要严格管理、严格保密,不得外借,备份介质应能防止信息拷贝泄露。
(三)备份数据应严格保证其真实性、完整性,不得更改。备份数据出现异常必须立即向领导汇报。
(四)废弃的备份文件存储介质应在删除数据后及时销毁。
第四十四条【恢复策略】定期进行备份数据的恢复演练,
17《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239‐2008 7.2.5.11)三级‐‐‐备份与恢复管理:“a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等;b) 应建立备份与恢复管理相关的安
全管理制度,对备份信息的备份方式、备份频度、存储介质和保存期等进行规范; c) 应根据数据的重要
性和数据对系统运行的影响,制定数据的备份策略和恢复策略,备份策略须指明备份数据的放置场所、文件命名规则、介质替换频率和将数据离站运输的方法; d) 应建立控制数据备份和恢复过程的程序,对备
份过程进行记录,所有文件和记录应妥善保存; e) 应定期执行恢复程序,检查和测试备份介质的有效
性,确保可以在恢复程序规定的时间内完成备份的恢复。”
确保所备份数据的完整性和可用性。每年进行一次重要应用系统的数据恢复测试。根据恢复过程中发现的问题,及时调整备份策略。
第七章 附 则
第四十五条数据库相关的应用系统安全管理按照《人力资源社会保障数据中心应用系统安全管理规范(试行)》执行。
第四十六条各级人力资源社会保障部门可依照本规范制定具体的实施办法。
第四十七条本规范由人力资源社会保障部信息化领导小组办公室负责解释。本规范自发布之日起施行。
信息安全管理规定
信息安全管理规定 1目的 在遵循集团《计算机信息安全管理制度》原则基础上,为确保公司网络平台、信息系统的正常运行及信息系统中的信息数据安全,防止泄密,针对公司实际情况,制定本管理规定。 2范围 本办法适用于公司全体员工。 3术语定义 3.1 计算机信息:是指存储在计算机相关设备上的应用系统(软件)、数据、文档、图纸等含有一定意义的计算机信息资料。 3.2 内部网络:是指园区网络及通过专线与园区互联的其他园区、驻外机构网络(以下简称内网)。 3.3 外部网络:是指互联网或除互联网和公司内网之外的第三方专网(以下简称外网)。 3.4 VPN:虚拟专用网络(Virtual Private Network,简称VPN),是指在公共网络上建立专用网络的技术,属于远程访问技术,就是利用公网链路架设的虚拟私有网络。 4职责 4.1信息化管理部门:公司信息化管理部门,负责计算机信息安全日常工作,事业部接入级网络交换设备的管理工作,及时向总部信息化管理部门、督察部门报告重大计算机信息安全隐患和计算机信息安全事件。 4.2 计算机用户:负责本人领用的办公计算机的日常保养、正常操作及安全管理,负责所接触计算机信息的保密性、可用性和完整性;及时向信息化管理部门报告计算机信息安全隐患和计算机信息安全事件。涉密信息的起草人必须按公司《保密制度》相关规定提出信息密级的定级申请。 5内容与要求 5.1 账号和密码安全管理 5.1.1 信息系统用户账号须严格按照业务信息系统要求进行设置,原则上不得设置成共用账号,以确保使用人与账号的唯一性。 5.1.2 员工申请信息系统账号权限时,所在部门的负责人应严格审核,控制授予满足其工作需要的最小权限;员工岗位或工作内容发生变化后应及时提出申请权限变更,应用系统管理员应及时变更异动员工的权限,冻结离职员工的账号。 5.1.3计算机用户应妥善保管好自己的系统账号密码或身份认证设备,如发现遗失或被盗,应立即向信息化管理部门报告,信息化管理部门应及时处理,确保账号使用的合法性。
发电厂运行管理规范
发电厂运行管理规范 第一章总则 第一条为规范发电运行值班工作,展现文明窗口形象,确保人员和设备的安全,根据《安规》、现场运行规程以及本厂文件,特制定本制度。 第二条本制度适用于电厂所有运行的值班管理工作。 第二章交接班管理制度 第三条交班前20分钟值班员向班长汇报设备运行状况,班长向值长汇报设备运行情况,交班值必须对本班的工作情况作详细记录,对所负责的卫生区域进行清扫。 第四条接班人员必须提前15分钟到达值班现场,按岗位进行对口交接,查阅前、后台记录,询问情况,重点检查了解下列情况:(一)系统、设备运行方式; (二)设备的运行情况; (三)设备检修安全措施的布置情况; (四)至前一次当班时间内设备故障及设备异动情况; (五)检查安全工器具、钥匙、备品情况及规程、图纸等有无短缺或损坏,若有应及时向交班人员提出并作好记录,否则一经接班,接班者对其负全部责任; (六)对控制室卫生进行检查,发现卫生不合格时,必须及时向交班人员提出,待清扫干净后再接班,否则一经接班,接班人员负全部责任; (七)调度命令及上级指示; (八)各项工作完成情况; (九)设备异常或异动后,必须到现场进行交接,否则,因交接不清发生问题,除交班人员无交代和记录外,一般情况下,由接班人员负全部责任。
第五条交班人员应向接班者详细介绍设备运行方式、设备异动、本班的操作、存在的问题等情况,并和接班者到现场查看以下内容:(一)设备重大缺陷; (二)工器具、钥匙及公用图纸资料等; (三)异动后的设备。 第六条交接班应做到“三交”、“五不接” (一)三交 1、书面交; 2、现场交; 3、口头交,以书面为依据。 (二)五不接 1、未做好交班准备工作不接(如记录不清、交待不明、心中无数); 2、在事故处理或操作过程中不接; 3、工具、资料不全不接(如钥匙、工具、图纸、资料、运行日志、两票、各种记录等); 4、卫生工作未做好不接; 5、上级通知或命令不明确,或有其它明显妨碍设备安全运行的情况不接。 第七条接班程序 查阅记录→询问情况→检查设备→召开班前会→按时接班 第八条接班人员在接班签名处签名,交班人员在交班签名处签名,由接班人员发出接班令后,交班人员方可离开现场。 第九条值长、班长在接班后应全面了解本厂设备运行情况。 第十条互相换班必须遵守有关规定,禁止上连班。 第三章监盘规定 第十一条值班员单独监盘,不允许中途随便离开岗位。 第十二条监盘时必须坐姿端正、规范,精力集中。 第十三条监盘时不准和他人闲谈,不准看书报、不准玩手机及做与工作无关的事情,不准无关人员围盘。
数据安全管理办法 解读
数据安全管理办法解读 第一章总则 第一条为了维护国家安全、社会公共利益,保护公民、法人和其他组织在网络空间的合法权益,保障个人信息和重要数据安全,根据《中华人民共和国网络安全法》等法律法规,制定本办法。 第二条在中华人民共和国境内利用网络开展数据收集、存储、传输、处理、使用等活动(以下简称数据活动),以及数据安全的保护和监督管理,适用本办法。纯粹家庭和个人事务除外。 法律、行政法规另有规定的,从其规定。 第三条国家坚持保障数据安全与发展并重,鼓励研发数据安全保护技术,积极推进数据资源开发利用,保障数据依法有序自由流动。 第四条国家采取措施,监测、防御、处置来源于中华人民共和国境内外的数据安全风险和威胁,保护数据免受泄露、窃取、篡改、毁损、非法使用等,依法惩治危害数据安全的违法犯罪活动。 第五条在中央网络安全和信息化委员会领导下,国家网信部门统筹协调、指导监督个人信息和重要数据安全保护工作。 地(市)及以上网信部门依据职责指导监督本行政区内个人信息和重要数据安全保护工作。
第六条网络运营者应当按照有关法律、行政法规的规定,参照国家网络安全标准,履行数据安全保护义务,建立数据安全管理责任和评价考核制度,制定数据安全计划,实施数据安全技术防护,开展数据安全风险评估,制定网络安全事件应急预案,及时处置安全事件,组织数据安全教育、培训。 第二章数据收集 第七条网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中,也可以其他形式提供给用户。 第八条收集使用规则应当明确具体、简单通俗、易于访问,突出以下内容:(一)网络运营者基本信息; (二)网络运营者主要负责人、数据安全责任人的姓名及联系方式; (三)收集使用个人信息的目的、种类、数量、频度、方式、范围等; (四)个人信息保存地点、期限及到期后的处理方式; (五)向他人提供个人信息的规则,如果向他人提供的; (六)个人信息安全保护策略等相关信息; (七)个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法; (八)投诉、举报渠道和方法等; (九)法律、行政法规规定的其他内容。
研发部门数据库管理规范标准
版/次:2015.11.19 数据库管理规 编制:钱凌杰 审核: 批准: 分发号: XXX信息科技 2015年11月
目录 一、总则 (3) 二、适用围 (3) 三、数据库管理员主要职责 (3) 四、数据库的日常管理工作 (3) 4.1每日的管理工作 (3) 4.2数据库管理的每月工作 (4) 4.3数据库管理的每年工作 (4) 五、数据库的安全管理 (5) 5.1数据库环境安全 (5) 5.2数据库系统安装、启动与更新时的安全规定 (5) 5.3安全和口令策略 (6) 5.4访问控制 (8) 5.5紧急事故的处理 (8) 5.6数据库文件管理 (9) 5.7数据库安全管理 (9) 六、备份与恢复 (9) 6.1备份方式及策略 (10) 6.2备份要求 (10) 6.3恢复的管理 (11) 6.4对长期保存的备份进行校验 (12) 6.5异地容灾备份 (12) 七、日志及监控审计 (12) 7.1审计围 (12) 7.2日志保存 (12) 7.3日志访问 (13) 7.4安全审计 (13) 八、数据存放、归档管理 (13) 九、附则 (14)
一、总则 为规XXX信息科技(以下简称“公司”)信息系统的数据库管理和配置方法,保障信息系统稳定安全地运行,特制订本办法。 二、适用围 本规中所定义的数据管理容,特指存放在信息系统数据库中的数据,对于存放在其他介质的数据管理,参照相关管理办法执行。 三、数据库管理员主要职责 1、负责对数据库系统进行合理配置、测试、调整,最大限度地发挥设备资源优势。负责数据库的安全运行。 2、负责定期对所管辖的数据库系统的配置进行可用性,可靠性,性能以及安全检查。 3、负责定期对所管辖的数据库系统的可用性,可靠性,性能以及安全的配置方法进行修订和完善。 4、负责对所管辖的数据库系统运行过程中出现的问题及时处理解决。 5、负责对所管辖数据库系统的数据一致性和完整性,并协助应用开发人员、使用操作等相关人员做好相关的配置、检查等工作。 6、负责做好数据库系统及数据的备份和恢复工作。 四、数据库的日常管理工作 4.1每日的管理工作 数据库管理员每天登录到服务器操作系统,进行如下检查工作:
企业信息安全规范
信息安全管理规范 第一章总则 第一条为规范企业信息系统及所承担维护服务的用户信息系统的信息安全管理,促进信息安全管理工作体系化、规范化,提高信息系统和网络服务质量,提高信息系统管理人员、维护人员以及使用人员的整体安全素质和水平,特制定本管理规范。本管理规范目标是为公司信息安全管理提供清晰的策略方向,阐明信息安全建设和管理的重要原则,阐明信息安全的所需支持和承诺。 第二条本规范是指导公司信息安全工作的基本依据,信息安全相关人员必须认真执行本规程,并根据工作实际情况,制定并遵守相应的安全标准、流程和安全制度实施细则,做好安全维护管理工作。 第三条信息安全是公司及所承担的用户信息系统系统运维服务工作的重要内容。公司管理层非常重视,大力支持信息安全工作,并给予所需的人力物力资源。 第四条本规范的适用范围包括所有与公司信息系统及本公司所承担维护服务的各方面相关联的人员,它适用于本公司全部员工,集成商,软件开发商,产品提供商,商务伙伴和使用公司信息系统的其他第三方。 第五条本规范适用于公司所承担服务支撑的外部各单位的信息系统的安全工作范围。 第六条本规范主要依据国际标准ISO17799,并遵照我国信息安全有关法律法规、电信行业规范和相关标准。 第二章安全管理的主要原则 第七条管理与技术并重的原则:信息安全不是单纯的技术问题,在采用安全技术和产品的同时,应重视管理,不断积累完善各个信息安全管理章程与规定,全面提高信息安全管理水平。
第八条全过程原则:信息安全是一个系统工程,应将它落实在系统建设、运行、维护、管理的全过程中,安全系统应遵循与信息系统同步规划、同步建设、同步运行的原则,在任何一个环节的疏忽都可能给信息系统带来危害。 第九条风险管理和风险控制原则:应进行安全风险管理和风险控制,以可以接受的成本或最小成本,确认、控制、排除可能影响公司信息系统的安全风险,并将其带来的危害最小化。 第十条分级保护原则:应根据信息资产的重要程度以及面临的风险大小等因素决定各类信息资产的安全保护级别。制订各类网络系统和信息资产的安全保护等级表,在表中明确资产类别,同时确定对何种资产应达到何种级别的安全。 第十一条统一规划、分级管理实施原则:信息安全管理遵循统一规划、分级管理的原则。信息安全领导小组负责对公司各项信息安全管理工作进行统一规划,负责信息安全管理办法的制定和监督实施。各级部门在信息安全领导小组指导与监督下,负责具体实施。 第十二条平衡原则:在公司信息安全管理过程中,应在安全性与投入成本、安全性和操作便利性之间找到最佳的平衡点。 第十三条动态管理原则:在公司信息安全管理过程中,应遵循动态管理原则,要针对信息系统环境的变动情况及时调整管理办法。 第三章安全组织和职责 第十四条建立和健全信息安全组织,设立由高层领导组成的信息安全领导小组,对于信息安全方面的重大问题做出决策,协调信息安全相关各部门之间的关系,并支持和推动信息安全工作在整个信息系统范围内的实施。 第十五条公司应设置相应的信息安全管理机构,负责信息系统的信息安全管理工作,配备专职安全管理员,由安全管理员具体执行本公司信息安全方面的相关工作。 第十六条公司信息系统的安全管理机构职责如下: 根据本规范制定信息系统的信息安全管理制度、标准规范和执行程序;
行车安全操作规范及运行管理制度
规范员工作业行为,提高生产效益。 2、使用范围: 行车操作人员及操作过程。 3.安全作业规范 3.1每台行车,必须由经过培训,考核合格并持有上岗操作证的行车工人操 作,操作前,必须穿戴好劳动保护用品。 3.2行车工人必须了解行车各机构的构造和技术性能,熟悉行车操作规范和 行车方面的基本知识,并清楚设备安全使用,维护规则。 3.3工作前穿戴好劳动保护用品,戴上口哨,认真检查钢丝绳滑轮卷扬机、 吊钩、夹钩、撬棍等机具是否完好,如有问题及时排除和修整。 3.4工作前要明确分工,设专人指挥,以免发生事故。 3.5使用单位应建立行车工人交接班制度,交接班时,应对制动器、吊钩、 钢丝绳、链条和安全装制进行检查,性能不正常时,应立即排除。 3.6不准未经培训的无证工人操作,粗心大意操作,超负荷操作;斜吊斜拉 操作,破坏性野蛮作等一系列的违章操作。 3.7操作前,必须注意周边环境,保证安全。当行车上或其周围确认无人时, 才可以闭合主电源进行操作。工作结束时,应将电源的总闸拉开切断主电源,并将手柄扳回零位。 3.7.1有下列情形之一时,不准进行操作: (1)超载或物体重量不清的; (2)行车结构或零部件有影响安全工作的缺陷或损伤的; (3)吊物捆绑、吊挂不牢或不平衡而可能滑动的; (4)被吊物体上有人或浮置物的; (5)工作场地灰暗,无法看清地被吊物情况等的。 3.7.2操作人员,应遵守下述要求: (1)不得利用极限位器停车; (2)不得在有载荷的情况下调整起升、变幅机构的制动器; (3)吊运时,不得从人的上空通过,工作时,吊钩下严禁站人,
且人不能随构件上升下降;空中运行时,吊具位置不得低于 一个人的高度(约离地2.5米) (4)行车工作时不得进行检查和维修; (5)无下降极限位置限制器的行车,吊钩在最低工作位置时,卷筒上的钢丝绳必须保持规定的安全圈数; (6)不准同时按下两个使电动葫芦及主车按相反方向运动的手电门按钮; (7)吊具不工作时,不允许把重物悬于空中,防止零件产生永久变形; (8)严禁斜拉提升重物,带重物运行时,重物最低点离重物运行线路上的最高障碍物至少0.5m; 3.8.良故障,应立即切断电源。 3.9.落必须选好安全地点,待放稳后,再放入钢丝绳和吊钩,防止碰坏构件或其他设备,非操作人员不许接近。 3.10.严格禁止用吊钩运送或起升人员。 3.11.禁止用任何方法从行车上抛下物品。 3.12.工具、备品、紧固件、杂物等必须存放在专门的箱子内,禁止随便散放在行车上,以避免物件落下时发生人身或损坏设备事故。 3.13.吊运时必须弄清所吊物品的重量,选用适当的钢丝绳,不准使用不同直径钢丝绳,不准斜拉歪吊和超负荷吊运,如特别情况,应请示领导,经有关人员同意后采取有效措施方可吊运。 3.1 4.吊运构件及设备要衬垫好,防止弯曲、变形和磨损设备表面,工作时,人不准随设备构件上升下降,不能站在起吊构件下面。 3.15.吊运重大构件或大型设备和双机抬吊时,必须找好中心点以保持平衡,钢丝绳分开角度不得大于60°,长型构件最少要在构件上绕两圈紧锁好,起吊离地200-300毫米暂停,待检查安全可靠后,栓好牵引绳再继续起吊。 3.16.使用的绳扣,每一个捻距如有折断5-6丝,应禁止使用,不得指挥司机吊运埋在地下和被压住的构件和易爆品。 3.17.吊件降落必须预先选好安全地点,待放稳后,再放下钢丝
数据库运行管理规范
数据库运行管理规范
目录 1.总则 (3) 2.适用范围 (3) 3.数据库管理员主要职责 (3) 4.数据库的日常管理工作 (3) 5.数据库的安全管理 (5) 6.备份与恢复 (10) 7.日志及监控审计 (13) 8.数据存放、归档管理 (14)
1.总则 1.1为规范我司信息系统的数据库管理和配置方法,保障信息系统稳定安全地运行,特制订本办法。 2.适用范围 本规范中所定义的数据管理内容,特指存放在信息系统数据库中的数据,对于存放在其他介质的数据管理,参照相关管理办法执行。 3.数据库管理员主要职责 3.1负责对数据库系统进行合理配置、测试、调整,最大限度地发挥设备资源优势。负责数据库的安全运行。 3.2负责定期对所管辖的数据库系统的配置进行可用性,可靠性,性能以及安全检查。 3.3负责定期对所管辖的数据库系统的可用性,可靠性,性能以及安全的配置方法进行修订和完善。 3.4负责对所管辖的数据库系统运行过程中出现的问题及时处理解决。 3.5负责对所管辖数据库系统的数据一致性和完整性,并协助应用开发人员、使用操作等相关人员做好相关的配置、检查等工作。 3.6负责做好数据库系统及数据的备份和恢复工作。 4.数据库的日常管理工作 4.1每日的管理工作 4.1.1数据库管理员每天登录到服务器操作系统,进行如下检查工
作: (1)检查所有的数据库实例状态以及所有与数据库相关的后台进程。 (2)检查数据库网络的连通与否,比如查看监听器(listener)的状态、网络能否ping通其它的计算机、应用系统的客户端能否连通服务器等等。 (3)检查磁盘空间的使用情况。如果剩余的空间不足 20% ,需要删除不用的文 件以释放空间。 (4)查看告警文件有无异常。 (5)根据数据库系统的特点,检查其它的日志文件中的内容,发现异常要及时 加以处理。 (6)检查CPU、内存及IO等的状态。 (7)检查备份日志文件以及网络备份软件的监控记录,确定自动备份成功完成。对于数据库的脱机备份,要确信备份是在数据库关闭之后才开始的,备份内容是否齐全。运行在归档模式下的数据库,既要注意归档日志文件的清除,以免磁盘空间被占满,也必须注意归档日志文件的保留,以备恢复时使用。 (8)每天运行数据库管理控制台,检查数据存储空间的使用情况、剩余情况, 必要时,增大数据存储空间容量。对于使用量增加快的表空间要特别关注。 4.2数据库管理的每月工作 (1)收集数据库的性能统计数据,检查高速缓存区命中率、资源争用等统计信息,若不理想,设法加以分析改善。 (2)检查数据对象存储空间碎片情况,必要时加以调整。 (3)比较分析数据库系统和操作系统的CPU,内存,网络,及硬盘的利用率, 以此确定出近期将可能出现的资源争夺趋势,必要时加以调整,以避免系统资源的争夺,如果调整还达不到要求,须考虑增加新资源。 (4)检查每日数据库管理工作的执行情况,用户、数据对象存储空间增加删改 的记录是否齐全,备份记录、维护记录是否齐全,不足的及时补上。
大数据安全运维服务
大数据安全运维服务 服务方式及内容: 以驻场服务的方式派驻技术人员在客户现场提供服务,以规范化的安全运维工作流程和标准规范为基础,帮助用户从安全防护及检测、事件响应和安全改进三方面控制安全风险,积极开展落实日常安全工作。 一、安全防护运维服务 1.1安全设备巡检 信息系统运行过程中,可能面临安全产品运行异常、安全事件的发生等情况,为有效应对这些情况的出现需要开展长期的安全产品运行监测工作,以及时发现并按照流程有效处理。定期对用户已有安全设备的规则库、策略库和日志进行巡检,出具巡检分析对比报告,提供相关的策略优化建议等。 1.2策略配置 通过全面落实安全策略、合理配置安全产品防护规则,对来自各网络区域的网络攻击行为进行防护规则库升级 1.3产品升级设及策略备份 定期对安全设备的软件版本、特征库进行升级,确保安全设备的安全稳定运行的同时,也确保安全设备规则的最新。 1.4信息安全预警通告 信息安全预警通告服务通过收集最新的信息安全咨询,为用户提供全面、准确的信息安全预警通告服务 1.5漏洞扫描 定期对用户的服务器、网络设备、数据库和应用进行扫描,发现信息系统中存在的安全隐患,并提供相关的解决方案,协助用户对漏洞进行修补。 二、安全事件响应服务 2.1、安全事件处置 配合客户对日常安全运维中发现的各类安全事件进行处置,对客户单位的各类信息安全相关工作提供安全技术支持等。 2.2、重要时期保障 根据客户提出的重要时期保障工作要求,确认工作内容,并详细了解客户现
场环境,为保障工作做准备。加强驻场和二线人力保障。 2.3安全应急演练 配合用户开展应急演练工作,通过应急演练工作验证应急流程的经济性、合理性和可操作性,评估各方面人员应对安全突发事件的组织指挥能力和应急处置能力,提高应急人员应急工作熟练程度,提升全员安全意识 三、协助落实安全工作 3.1协助安全检查 协助制定安全自查计划并开展自查工作,在安全自查和安全整改以及国家相关部门的信息安全检查期间提供全过程的技术支持,帮助客户全面掌握信息安全现状,及时发现安全问题并进行完善性修复,切实提高信息安全保障水平,顺利通过安全检查工作。 3.2协助处置通报 在接到主管单位的内部通报后,驻场人员对通报内容进行分析,以通报内容为线索,对全厅网络进行检查,追溯溯源,通报的内容包括但不限于: 1. 信息安全事件 2. 病毒通报 3. 漏洞通报 4. 其他安全工作 3.3其他定制化的安全服务 根据用户自身的需求,配合用户完成相关定制化的服务 2018年3月20日
数据库运行管理规范——【信息安全管理体系文件】
数据库运行管理规范 1总则 1.1为规范XX公司信息通信分公司(以下简称“公司”)信息系统的数据库管理和配置方法,保障信息系统稳定安全地运行,特制订本办法。 2适用范围 本规范中所定义的数据管理内容,特指存放在信息系统数据库中的数据,对于存放在其他介质的数据管理,参照相关管理办法执行。 3数据库管理员主要职责 3.1负责对数据库系统进行合理配置、测试、调整,最大限度地发挥设备资源优势。负责数据库的安全运行。 3.2负责定期对所管辖的数据库系统的配置进行可用性,可靠性,性能以及安全检查。 3.3负责定期对所管辖的数据库系统的可用性,可靠性,性能以及安全的配置方法进行修订和完善。 3.4负责对所管辖的数据库系统运行过程中出现的问题及时处理解决。 1
3.5负责对所管辖数据库系统的数据一致性和完整性,并协助应用开发人员、使用操作等相关人员做好相关的配置、检查等工作。 3.6负责做好数据库系统及数据的备份和恢复工作。 4数据库的日常管理工作 4.1每日的管理工作 4.1.1数据库管理员每天登录到服务器操作系统,进行如下检查工 作: (1)检查所有的数据库实例状态以及所有与数据库相关的后台进程。 (2)检查数据库网络的连通与否,比如查看监听器(listener)的状态、网络能否ping通其它的计算机、应用系统的客户端能否连通服务器等等。 (3)检查磁盘空间的使用情况。如果剩余的空间不足 20% ,需要删除不用的文件以释放空间。 (4)查看告警文件有无异常。 (5)根据数据库系统的特点,检查其它的日志文件中的内容,发现异常要及时加以处理。 1
(6)检查cpu、内存及IO等的状态。 (7)检查备份日志文件以及网络备份软件的监控记录,确定自动备份有无成功完成。对于数据库的脱机备份,要确信备份是在数据库关闭之后才开始的,备份内容是否齐全。运行在归档模式下的数据库,既要注意归档日志文件的清除,以免磁盘空间被占满,也必须注意归档日志文件的保留,以备恢复时使用。 (8)每天运行数据库管理控制台,检查数据存储空间的使用情况、剩余情况,必要时,增大数据存储空间容量。对于使用量增加快的表空间要特别关注。 4.2数据库管理的每月工作 (1)收集数据库的性能统计数据,检查高速缓存区命中率、资源争用等统计信息,若不理想,设法加以分析改善。 (2)检查数据对象存储空间碎片情况,必要时加以调整。 (3)比较分析数据库系统和操作系统的CPU,内存,网络,及硬盘的利用率,以此确定出近期将可能出现的资源争夺趋势,必要时加以调整,以避免系统资源的争夺,如果调整还达不到要求,须考虑增加新资源。 (4)检查每日数据库管理工作的执行情况,用户、数据对象存储空间增加删改的记录是否齐全,备份记录、维护记录是否齐全,不足的及时补上。 4.3数据库管理的每年工作 1
信息安全管理系统的规范
信息安全管理系统的规范 第二部分:信息安全管理系统的规范 1 1. 范围 BS 7799的这个部分指明了对建立、实现和文档化信息安全管理系统(ISMSs)的需求。它指明了将要按照个别机构的需要而实现的安全控制的需求。 注:第一部分给出了对最佳惯例的推荐建议,这些惯例支持该规范中的需求。BS 7799的这个部分的条款4给出的那些控制目标和控制来自于BS 7799-1:1999并与改部分的内容保持一致。 2. 术语与定义 为了BS 7799的这个部分,BS 7799-1给出的定义适用于该部分,并有以下专用术语: 2.1 适用性说明 适用于机构的安全要求的目标和控制的批评。 3.信息安全管理系统的要求 3.1概要 机构应建立及维护一个信息安全管理系统,目的是保护信息资产,订立机构的风险管理办法、安全控制目标及安全控制,以及达到什么程度的保障。 3.2建立一个管理框架 以下的步骤是用来找出及记录安全控制目标及安全控制的(参看图一): a) 应定义信息安全策略; b) 应定义信息安全管理系统的范围,定义范围可以是机构的特征、位置、资产及 技术;
c) 应进行合适的风险评估。风险评估应确认对资产的安全威胁、漏洞及对机构的 冲击,从而定出风险的严重程度; d) 根据机构的信息安全策略及所要求达到的保障程度定出要管理的风险; e) 从以下第四条款选出机构要实现的安全控制目标及要实施的安全控制; f) 应准备一份适用性声明书,说明选出哪些安全控制目标及安全控制以及选择的 原因。 以上步骤应定期重复,确定系统的适用性。 2 3.3实施 选出的安全控制目标及安全控制应由机构有效地执行,实施控制的执行程序是否有效应根据4.10.2的规定进行检查。 3.4文档 信息安全管理系统的说明文档应包括以下信息: a) 按照3.2所定的步骤实现的证据; b) 管理架构的总结,其中包括信息安全策略、在适用性声明书所提及的安全控制 目标和已经实现的安全控制; c) 为了实现3.3所指定的控制而采用的程序;这些程序应该刻画责任以及相关行 动; d) 覆盖该ISMS中的管理和操作的程序,这些程序应该指出有哪些责任及其有关
变电站运行管理规范
变电站运行管理规 范 1
变电站运行管理标准 (试行) 前言 按照公司管理思想现代化、管理制度规范化、管理手段信息化、管理机制科学化的要求,为指导和规范公司变电站的运行管理工作,实现变电站运行管理标准化、科学化、现代化,确保电网的安全、稳定、可靠运行,特制定本标准。 本标准适用于公司有人值班变电站的运行管理。 本标准由生产技术部提出、起草、归口并解释。 本标准主要编写人员: 本标准主要审核人: 执行中的问题和意见,请及时反馈至生产技术部。 1、范围 本标准明确了公司有人值班变电站的主要业务及工作规范。 本标准适用于公司有人值班变电站的运行管理。 2、规范性引用文件 下列文件中的条款经过本标准的引用而成为本标准的条款。 2.1<电业安全工作规程>(发电厂和变电所电气部分)(DL 408-91) 2.2<变电运行管理标准>(QB/CSG 2 0001- ) 2
2.3<电气工作票实施细则> 2.4<变电站电气操作票实施细则 > 3、术语和定义 3.1变电站运行人员:指具体负责变电运行业务、变电站运行管理的生产人员。 3.2设备维护:指为维持设备正常运行工况,对运行设备所采取的除检修、技术改造外的检查、维修、试验、保养等工作。 3.3设备缺陷:指运行或备用的设备、设施发生异常或存在的隐患。这些异常或隐患将影响:人身、电网和设备安全;电网和设备的可靠、经济运行;设备出力或寿命;电能质量。 3.4设备状态评价:指依据设备运行状态信息,进行科学的综合分析,确定设备当前健康状况,为设备检修提供依据。 4、总则 4.1贯彻”安全第一、预防为主、综合治理”的方针,遵循”保人身、保电网、保设备”的工作原则,以控制异常和未遂、不发生轻伤和障碍为班组安全目标,以设备运行管理为核心,开展变电运行管理业务。 4.2本标准明确变电站运行人员是变电站电气设备运行管理的主体,对变电站电气设备的安全运行负责。 4.3本标准凡与上级有关标准和规定有抵触的地方,应按上级有关标准和规定执行。 3
数据库运维管理规范
数据库运维管理规范 龙信思源(北京)科技有限公司 一、总则 为规范公司生产系统的数据库管理与配置方法,保障信息系统稳定安全地运行,特制订本办法。 二、适用范围 本规范中所定义的数据管理内容,特指存放在系统数据库中的数据,对于存放在其她介质的数据管理,参照相关管理办法执行。 三、数据库管理员主要职责 3、1、负责对数据库系统进行合理配置、测试、调整,最大限度地发挥设备资源优势。负责数据库的安全运行。 3、2、负责定期对所管辖的数据库系统的配置进行可用性,可靠性,性能以及安全检查。 3、3、负责定期对所管辖的数据库系统的可用性,可靠性,性能以及安全的配置方法进行修订与完善。
3、4、负责对所管辖的数据库系统运行过程中出现的问题及时处理解决。 3、5、负责对所管辖数据库系统的数据一致性与完整性,并协助应用开发人员、使用操作等相关人员做好相关的配置、检查等工作。 3、6、负责做好数据库系统及数据的备份与恢复工作。 四、数据库的日常管理工作 4、1、数据库管理的每日工作 (1)检查所有的数据库实例状态以及所有与数据库相关的后台进程。 (2)检查数据库网络的连通与否,比如查瞧监听器(listener)的状态、网络能否ping通其它的计算机、应用系统的客户端能否连通服务器等等。 (3)检查磁盘空间的使用情况。如果剩余的空间不足 20% ,需要删除不用的文件以释放空间或申请添加磁盘。 (4)查瞧告警文件有无异常。 (5)根据数据库系统的特点,检查其它的日志文件中的内容,发现异常要及时加以处理。 (6)检查cpu、内存及IO等的状态。 (7)检查备份日志文件的监控记录,确定自动备份有无成功完成。对于数据库的脱机备份,要确信备份就是在数据库关闭之后才开始的,备份内容就是否齐全。运行在归档模式下的数据库,既要注意归档日志文件的清除,以免磁盘空间被占满,也必须注意归档日志文件的保留,以备恢复时使用。
网络数据和信息安全管理规范
网络数据和信息安全管 理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】
X X X X有限公司 WHB-08 网络数据和信息安全管理规范 版本号: A/0 编制人: XXX 审核人: XXX 批准人: XXX 20XX年X月X日发布 20XX年X月X日实施
目的 计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行,充分发挥信息服务方面的重要作用,更好的为公司运营提供服务,依据国家有关法律、法规的规定,结合公司实际情况制定本规定。 术语 本规范中的名词术语(比如“计算机信息安全”等)符合国家以及行业的相关规定。 计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。 狭义上的计算机信息安全,是指防止有害信息在计算机网络上的传播和扩散,防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏,防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。 网络安全,是指保护计算机网络的正常运行,防止网络被入侵、攻击等,保证合法用户对网络资源的正常访问和对网络服务的正常使用。 计算机及网络安全员,是指从事的保障计算机信息及网络安全工作的人员。 普通用户,是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。 主机系统,指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。 网络服务,包含通过开放端口提供的网络服务,如WWW、Email、FTP、Telnet、DNS等。有害信息,参见国家现在法律法规的定义。
空调系统运行管理规范
空调系统冬季运行防冻管理规范 1、目的: 确保购物中心空调系统的冬季正常使用,预防设备损坏。 2、范围: 购物中心内所有空调系统的设备。 3、空调系统设备的操作流程图: 3.1各项目工程部应该在冬季来临之前制订本购物中心的各项防冻措施。 3.2 在供暖季来临之前,专业主任带领员工完成换季保养的各项检修工作。 3.3换季检修时重点检测空调机组的防冻开关,保持其动作的准确性和灵敏性。温 度设定为5℃。 3.4 供暖设备有楼宇自控系统的需设置为冬季运行模式。 3.5 供暖设备无自控设置的,应采取以下措施: 3.5 1. 回水手动阀门开度应大于等于最小开度(20%--30%的开度不能完全关闭). 3.5 2. 机组运行时,新风阀开度保持最小满足最小新风量即可(机组停运后手动关 闭风阀降低冷空气侵入冻坏翅片的危险性). 3.6 进入供暖季后,供暖循环泵必须要保证24小时运行(夜间运行供水温度可根 据实际情况适当调整) 3.7进入供暖季后,多使用室内回风,空调机组回风阀开到最大,新风阀调到最小 (回风与新风混合后焓值提高,减小翅片冻坏的机率) 3.8 当室内空气质量较差,需要加大室外新风量时,应尽量选取白天室外温度较高 时段,开启新风阀,并做好记录及交接,在闭店前(或室外温度急降前)必须关闭新风阀。 4、夜间机组停运后要注意加强巡视和记录. 巡视内容: 1.电机停运. 2. 新风阀关闭. (以上两项确保无冷空气侵入) 3. 手动水阀及回水电动阀常开 4.循环泵运行. (以上两项保证机组翅片内水流循环)
5、长期停止运行机组操作巡视注意: 1.翅片内水泄干净(泄水丝堵收好)水阀关严.(如阀门不严,可加盲板封堵)。 2.风阀关闭. 3.电机关闭. 4.电源关闭. 5.轿厢门打开
系统发布部署数据库管理规范
河南煜东信息技术有限公司部署文档发布部署注意事项 蒋莉 2017-5-3
注:此为以会展V3.3版本(2017.05.03)为案例编写,后期如已满足不了新的项目需求,需持续更新改动。 基本流程 本地 (本公司)测试服务器 项目提交拉取更新到最新版本,编译 发布 项目文件部署到服务器IIS 上(IIS7.0以上) 文件上传 本地测试阶段 将项目文件部署到用户测试服务器上 将通过的项目文件部署到用户正式服务器上 系统正式运营使用 开始 结束 用户测试,试运行阶段 顺利 否 是 测试合格 否 是 开发阶段结 束开发环境测试计算机运营服务器,正式运营 用户验收 发布后的项目文件 一般都分测试服务器和正式服务器 服务器目录规范
数据库规范 数据库分两个部分: 1.本地部署:开发库,测试库。 2.发布部署:正式库,测试库 命名规范: 开发库以业务命名即可,纯英文,不可出现中文。 测试库命名:业务名_Test 3.特别注意:所有库与库直接的更新同步以脚本形式操作!!!! 注意事项 3.发布部署过程中,操作流程要规范,文件不可乱压缩,乱存放,乱命名,违者一经发现 从严处理!!!!!(我们都是干净的孩子,做事情也要干干净净规规范范漂漂亮亮的!!)4.定期清理备份的项目文件,保留最新三个月内(目前)记录,可做一个计划任务让系统每 天在指定安全的时间段检查清理。(如果不做,那负责人只有手动去做) 5.负责人有必要做好系统发布部署的操作手册,以防离岗时,能有其他人替代你做。 6.服务器保持清洁,严禁在服务器上安装其他无关的软件,做好安全防护措施(基本的)预 防被攻击。 7.发布部署工作,安排1~2人专人值守。(如有特况,其他人也只能发布到本地测试),正 式服务器还需要负责人去负责,所以安排2人,以防止离岗,特况发生!
信息安全管理规范完整篇.doc
信息安全管理规范1 1.0目的 为了预防和遏制公司网络各类信息安全事件的发生,及时处理网络出现的各类信息安全事件,减轻和消除突发事件造成的经济损失和社会影响,确保移动通信网络畅通与信息安全,营造良好的网络竞争环境,有效进行公司内部网络信息技术安全整体控制,特制定本规范。 2.0 适用范围 本管理规范适用于四川移动所属系统及网络的信息安全管理及公司内部信息技术整体的控制。 3.0 信息安全组织机构及职责: 根据集团公司关于信息安全组织的指导意见,为保证信息安全工作的有效组织与指挥,四川移动通信有限责任公司建立了网络与信息安全工作管理领导小组,由公司分管网络的副总经理任组长,网络部分管信息安全副总经理任副组长,由省公司网络部归口进行职能管理,省公司各网络生产维护部门设置信息安全管理及技术人员,负责信息安全管理工作,省监控中心设置安全监控人员,各市州分公司及生产中心设置专职或兼职信息安全管理员,各系统维护班组负责系统信息安全负责全省各系统及网络的信息安全管理协调工作。 3.1.1网络与信息安全工作管理组组长职责: 负责公司与相关领导之间的联系,跟踪重大网络信息安全事
件的处理过程,并负责与政府相关应急部门联络,汇报情况。 3.1.2网络与信息安全工作管理组副组长职责: 负责牵头制定网络信息安全相关管理规范,负责网络信息安全工作的安排与落实,协调网络信息安全事件的解决。 3.1.3省网络部信息安全职能管理职责: 省公司网络部设置信息安全管理员,负责组织贯彻和落实各项安全管理要求,制定安全工作计划;制订和审核网络与信息安全管理制度、相关工作流程及技术方案;组织检查和考核网络及信息安全工作的实施情况;定期组织对安全管理工作进行审计和评估;组织制定安全应急预案和应急演练,针对重大安全事件,组织实施应急处理 工作及后续的整改工作;汇总和分析安全事件情况和相关安全状况信息;组织安全教育和培训。 3.1.4信息安全技术管理职责: 各分公司、省网络部、省生产中心设置信息安全技术管理员,根据有限公司及省公司制定的技术规范和有关技术要求,制定实施细则。对各类网络、业务系统和支撑系统提出相应安全技术要求,牵头对各类网络和系统实施安全技术评估和工作;发布安全漏洞和安全威胁预警信息,并细化制定相应的技术解决方案;协助制定网络与信息安全的应急预案,参与应急演练;针对重大安全事件,组织实施应急处理,并定期对各类安全事件进行技术分析。
(完整版)《智能变电站运行管理规范》(最新版).doc
《智能变电站运行管理规范》(最新版) 为进一步规范电网智能化变电站运行管理工作,保证智能设备安全可靠运行,本规范结合国家电网公司及相关网、省电力公司相关管理标准及现场运行实际,参考各省的《智能变电站运行管理规范》,完成现《智能变电站运行管理规范(最新版)》,供各单位参考和借鉴。 目录 1 总则 2 引用标准 3 术语 4 管理职责 4.1 管理部门职责 4.2 运检单位职责 5运行管理 5.1 巡视管理 5.2 定期切换、试验制度 5.3 倒闸操作管理 5.4 防误管理 5.5 异常及事故处理 6设备管理 6.1 设备分界 6.2 验收管理 6.3 缺陷管理 6.4 台账管理 7智能系统管理 7.1 站端自动化系统 7.2 设备状态监测系统 7.3 智能辅助系统 8资料管理 8.1 管理要求 8.2 应具备的规程 8.3 应具备的图纸资料 9培训管理 9.1 管理要求 9.2 培训内容及要求 1总则 1.1 为规范智能变电站设备生产管理,促进智能变电站运行管理水平的提高,保证智能变电 站设备的安全、稳定和可靠运行,特制定本规范。 1.2 本规范依据国家和电力行业的有关法规、规程、制度,智能变电站技术标准、规范等, 并结合智能变电站变电运行管理的实际而制定。 1.3 本规范对智能变电站设备的管理职责、运行管理、设备管理、智能系统管理、资料管理 和培训管理等六个方面的工作内容提出了规范化要求。 1.4 本规范适用于江苏省电力公司系统内的智能变电站的运行管理。常规变电站中的智能设
备的运行管理参照执行。 1.5 本规范如与上级颁发的规程、制度等相抵触时,按上级有关规定执行。 2引用标准 Q/GDW 383-2010 《智能变电站技术导则》 Q/GDW 393-2010 《 110( 66) kV ~ 220kV 智能变电站设计规范》 Q/GDW394 《 330kV ~ 750kV 智能变电站设计规范》 Q/GDW 410-2010 《高压设备智能化技术导则》及编制说明 Q/GDW 424-2010 《电子式电流互感器技术规范》及编制说明 Q/GDW 425-2010 《电子式电压互感器技术规范》及编制说明 Q/GDW 426-2010 《智能变电站合并单元技术规范》及编制说明 Q/GDW 427-2010 《智能变电站测控单元技术规范》及编制说明 Q/GDW 428-2010 《智能变电站智能终端技术规范》及编制说明 Q/GDW 429-2010 《智能变电站网络交换机技术规范》及编制说明 Q/GDW 430-2010 《智能变电站智能控制柜技术规范》及编制说明 Q/GDW 431-2010 《智能变电站自动化系统现场调试导则》及编制说明 Q/GDW 441-2010 《智能变电站继电保护技术规范》 Q/GDW580 《智能变电站改造工程验收规范(试行)》 Q/GDWZ414 《变电站智能化改造技术规范》 Q/GDW640 《 110( 66)千伏变电站智能化改造工程标准化设计规范》 Q/GDW6411 《 220kV 千伏变电站智能化改造工程标准化设计规范》 Q/GDW642 《 330kV 及以上 330~ 750 千伏变电站智能化改造工程标准化设计规范》 Q/GDW750-2012 《智能变电站运行管理规范》 国家电网安监 [2006]904 号《国家电网公司防止电气误操作安全管理规定》 国家电网生 [2008]1261 号《无人值守变电站管理规范(试行)》 国家电网科 [2009]574 《无人值守变电站及监控中心技术导则》 国家电网安监 [2009]664 号国家电网公司《电力安全工作规程(变电部分)》 国家电网生 [2006]512 号《变电站运行管理规范》 国家电网生 [2008]1256 号《输变电设备在线监测系统管理规范(试行)》 3 术语 3.1 智能变电站 采用先进、可靠、集成、低碳、环保的智能设备,以全站信息数字化、通信平台网络化、信息共享标准化为基本要求,自动完成信息采集、测量、控制、保护、计量和监测等基本功能, 并可根据需要支持电网实时自动控制、智能调节、在线分析决策、协同互动等高级功能的变 电站。 3.2 智能电子设备 包含一个或多个处理器,可以接收来自外部源的数据,或向外部发送数据,或进行控制的装 置,例如:电子多功能仪表、数字保护、控制器等,为具有一个或多个特定环境中特定逻辑 接点行为且受制于其接口的装置。 3.3 智能组件 由若干智能电子装置集合组成,承担主设备的测量、控制和监测等基本功能;在满足相关标准要求时,智能组件还可承担相关计量、保护等功能。 可包括测量、控制、状态监测、计量、保护等全部或部分装置。 3.4 智能终端 一种智能组件,与一次设备采用电缆连接,与保护、测控等二次设备采用光纤连接,实现对