DSMM-010 数据处理环境安全管理规范V1.0
第一章 总则
第一条 为规范北京思度咨询科技有限公司数据处理环境安全,确保数据处理过程中的安全控制管理和技术支持,制定本规范。
第二条 本规范适用于规范北京思度咨询科技有限公司数据处理环境安全管理。
第二章 系统设计安全管理
第三条 对于系统开发项目需要进行一定的项目可行性分析,可行性分析包括技术可行性分析、业务可行性分析、投入产出分析等。确认具备了相当资源和条**件,并且有能力满足业务上的需求的情况下才能开展。
第四条 需求分析师、架构师应进行广泛的需求调研,编写《需求规格说明书》并进行系统实现设计。
第五条 《需求规格说明书》评审通过后,开发人员根据整体业务需求、安全需求和《系统需求规格说明书》,编写《系统设计说明书》。
第六条 根据应用系统的重要程度合理使用认证方式,同时提供登录失败处理功能,如等保二级应用系统应使用用户名、密码认证或动态口令认证方式,等保三级应用系统应使用交易签名或证书。
第七条 系统设计时采用三员分离原则,至少设置系统(系统管理员)、监督(系统审计员)、使用(用户管理员)角色,禁止设置默认用户帐号。
第八条 采用加密措施,实现鉴别信息、敏感数据的传输、存储保密性,保证这些数据在传输、存储过程中完整性不受到破坏,并具有完整性检查机制,当检测到完整性受到破坏时须有完整性恢复机制。
第九条 提供安全审计功能,审计范围覆盖到每个用户,审计记录至少包括事件发生的日期与时间、触发事件的发起者信息、事件的类型、事件的结果等。提供对审计记录数据进行统计、查询、分析及生成审计报表的功能,同时不能非授权删除、修改或覆盖审计记录。
第三章 系统开发安全管理
第十条 系统开发编码安全
(一)《系统设计说明书》评审通过后,开发人员根据《系统设计说明书》编写系统代码;
(二)正式编码前,需基于各类编程语言制定相应的编码规范,并在编码时严格执行;
(三)系统版本的变更需经过批准,在变更前要有还原策略,同时保留变更前的版本;
(四)建立专门的源代码管理服务器,对系统的版本进行管理,确保版本的准确性和可追溯性。各阶段产生的各种文档和代码,应及时上传到指定的服务器,并由专人管理;
(五)对代码的访问权限进行严格的权限控制,防止开发人员非授权修改代码,防止在程序中添加隐藏"恶意"的代码;
(六)在系统编码过程中须进行阶段性评审,评审内容包括基本逻辑、日志规范、出错处理,以保证严格执行编码规范,与安全设计要求一致;
(七)编码实现须与安全设计方案保持一致,以确保最终实现的应用系统符合安全设计要求。
第十一条 系统开发测试安全
(一)测试人员编写《测试计划》,明确测试目的、测试方式、安全要点、测试参与人员、测试流程等,测试计划需通过审核批准;
(二)编写《测试方案》明确测试使用的方式,主要的测试方式有安全功能测试、压力测试和安全性测试,测试完成后,形成《测试报告》;
(三)测试环境与开发环境、生产环境须独立,避免测试工作对业务的影响。测试数据应避免使用生产数据,如必须使用生产数据,需要申请数据,在测试完成后须对测试数据进行彻底清除,保证测试用例、测试内容和测试结果的保密性;
(四)系统上线前,数据与网络安全部-数据安全审计岗人员应组织对系统进行代码审计,同时对测试结果进行审查,针对发现的安全问题督促落实整改。
第四章 系统运维安全管理
第十二条 在进行敏感信息的保存时,将数据保存在服务器端进行集中加密安全管理,确保客户端本身并不能存储任何信息敏感的数据。
第十三条 只有指定的系统运维人员经过适当的管理授权后才可以对系统进行运维。
第十四条 建立认证管理或用口令或其他身份识别技术确认系统运维人员身份。
第十五条 严禁系统运维人员利用系统运维的权利进行与其实际用途无关的拷贝、滥用或破坏数据。
第十六条 运维和审计实施职责分离,由数据与网络安全部-数据安全审计岗人员负责审计。数据库管理员和系统管理员由不同的人担任,防止权限滥用和审计失效的情况发生。
第五章 系统处理环境安全管理
第十七条 存储系统安全。存储系统安全主要包括数据库操作系统安全、数据库安装、更新和启动安全、账户和口令安全、数据库连接安全以及安全配置变更管理等过程。
第十八条 操作系统安全
(一)数据库系统的宿主操作系统除提供数据库服务外,不得提供其它网络服务,如:WWW、FTP、DNS等;
(二)应在存储系统操作系统中设置本地数据库专用帐户,并赋予该账户除运行各种数据库服务外的最低权限;
(三)对数据库系统安装目录及相应文件访问权限进行控制,如:禁止除专用账户外的其它账户修改、删除、创建子目录或文件。
第十九条 数据库的安装、更新、启动与安全性安全管理
(一)数据库系统安装管理。应注意生产数据库系统应与开发数据库系统物理分离;确保没有安装未使用的数据库系统组件或模块;
(二)数据库系统系统启动。应注意确保没有开启未使用的数据库系统服务;
(三)数据库系统更新管理,应将数据库产品提供商不再支持的版本升级到最新的(或支持的)版本;应为数据库系统安装最新修补程;
(四)数据库系统的安全性。要求数据库系统管理员应定期或不定期检查数据库系统完整性、可用性、保密性。
第二十条 存储系统账户和口令安全
(一)严禁不同的数据库系统使用相同的账户与口令;
(二)重新命名数据库管理员帐户,并删除不需要的默认账户;
(三)数据库用户账户与数据库管理员帐户分离;
(四)数据库账号和口令的安全设置规则应参考XXX科技发展有限公司权限管理要求执行。
第二十一条 数据库连接安全
(一)应用程序的数据库连接字符串中不能出现数据库账户口令明文;
(二)禁止未授权的数据库系统远程管理访问,对于已经批准的远程管理访问,应采取安全措施增强远程管理访问安全。
第二十二条 数据库对象安全
(一)数据文件安全,对数据文件访问权限进行控制,如:禁止除专用账户外的其它账户访问、修改、删除数据文件;
(二)删除不需要的示例数据库,在允许存在的示例数据库中严格控制数据库账户的权限;
(三)存储过程,应注意删除或禁用不需要的数据库存储过程;
(四)敏感数据安全,对于数据库中的敏感字段,如:口令等,要加密保存。
第二十三条 配置变更安全
(一)由保障服务中心-数据库运维人员组织定时检查存储系统的配置基线、当发现不合规项时,提出配置基线变更的申请;
(二)数据安全领导小组办公室负责审核批准并发布配置计划;
(三)保障服务中心-数据库运维人员负责组织制定安全配置基线策略;
(四)保障服务中心-数据库运维人员负责配置变更的安全基线并维护存储系统的配置基线;
(五)在正式变更前,如存储系统操作系统的更新,需要在测试环境测试无误后,方可在正式环境实施变更,所有变更过程需要保留相关记录。
第二十四条 存储系统的安全策略主要包括物理环境安全要求、访问控制要求、日志监控及审计要求等。
第二十五条 物理环境安全要求
(一)存储系统服务器应当置于单独的服务器区域,任何对这些数据库服务器的物理访问均应受到控制;
(二)数据库服务器所在的服务器区域边界应部署防火墙或其它逻辑隔离设施。
第二十六条 访问控制安全。鉴别方式/方法,使用数据库系统分配账户的方式鉴别数据库用户,不可使用宿主操作系统的账户鉴别代替数据库账户鉴别,其他访问控制要求按照XXX科技发展有限公司权限管理要求执行。
第二十七条 开发外包安全
对于需要外包的项目,应该选择一个信誉与质量保证能力卓著的系统开发商来进行系统开发。
(一) 与外包的供应商签订商务或技术合同或协议时,须明确系统的质量、知识产权与安全要求,包括系统本身的安全功能与开发过程的安全控制要求。
(二) 应该与外包的供应商确定系统开发后的使用许可、代码的所有权和相关知识产权的归属问题。
(三) 供应商应该出具开发出的应用系统的质量证明和完成工作的精确性。
(四) 如果开发过程涉及到使用本单位数据进行测试开发时或者调用本单位数据接口时,应签署保密承诺书。
第二十八条 日志监控及审计要求
(一)审计事件,应配置数据库系统记录所用用户的登录事件;
(二)若数据库系统提供相应的功能,下列事件需要通过配置数据库系统记录在日志中,若数据库系统不提供相应的功能,这些事件应该由数据库管理员手工填写日志并存档:
1)数据库系统管理,包括系统安装/升级以及一些重要配置变更等;
2)数据库系统账户管理,包括账户增加/删除、权限分配;
3)数据库管理,包括创建/删除/修改、备份/恢复;
(三)其他日志的访问、保存及分析等安全策略要求按照XXX科技发展有限公司数据监控与审计安全管理要求执行。
第二十九条 数据库系统加密算法的选择完全依赖于被采纳的密码加密的控制类型。三种控制措施包括:对称式或私钥加密系统、非对称或公钥加密系统,混合加密系统。需要注意的是,非对称加密系统从不单独使用,它往往被混合式加密系统所替代。
(一)对称算法:DES,3DES,AES,1DEA
(二)非对称算法:RSA和DSAO
第三十条 数据处理环境的密钥管理需严格按照北京思度咨询科技有限公司密钥安全管理要求执行。
第六章 附则
第三十一条 本规范由数据安全领导小组办公室负责制定、解释和修改。
第三十二条 对违反本规定的人员,将按照北京思度咨询科技有限公司有关规定进行处罚。
第三十三条 本规范自发布之日起执行。