文档介绍:LEKIBM standardization office【IBM5AB- LEKIBMK08- LEKIBM2C】
数据库运行管理规范
数据库运行管理规范
修订历史
生效日期
象存储空间的创建、删除和更改工作,需做好记录;
(4)对系统的安装更新、系统设置的更改等要作好维护记录。
系统启动
应注意确保没有开启未使用的数据库系统服务。
系统更新
应将数据库产品提供商不再支持的版本升级到最新的(或支持的)版本;应为数据库系统安装必要的修补程序,在安装修补程序前做好数据库测试和备份工作。
数据保密
严禁任何人泄漏数据库业务关键数据,需要业务数据时,须向信息技术部和业务部门提出申请,经同意后由数据库管理员进行操作。
账号安全和口令策略
账户设置
(1)在系统正式使用前,数据库管理员应修改系统默认密码,并对不需要的账号进行删除或锁定。
(2)数据库管理员具有最高数据库管理权限,其他人员需要直连访问数据库或需要具有一定数据库操作权限,必须向信息部门和业务部门主管领导申请,审批通过后,由数据库管理员告知用户权限等信息。
(3)数据库管理员为每一个数据库用户根据需要的权限建立专门的账号,以区分责任,提高系统的安全性,用户必须使用自己的账号登录数据库。
(4)对账号权限的设置遵从最小化原则。
(5)普通数据库用户账户与数据库管理员账号分离。
用户类型:
(1)系统管理员:能够管理数据库系统中的所有组件及所有数据库;
(2)数据库管理员:能够管理相关数据库中的账户、对象及数据;
(3)数据库用户:只能以特定的权限访问特定的数据库对象,不具有数据库管理权限。
用户权限
针对每个数据库账户按最小权限原则设置其在相应数据库中的权限。包括如下几种权限:
(1)系统管理权限:包括账户管理、服务管理、数据库管理等;
(2)数据库管理权限:包括创建、删除、修改数据库等;
(3)数据库访问权限:包括插入、删除、修改数据库特定表记录等。
数据库对象安全
(1)数据文件安全,对数据文件访问权限进行控制,如:禁止除专用账户外的其它账户访问、修改、删除数据文件。
(2)删除不需要的示例数据库,在允许存在的示例数据库中严格控制数据库账户的权限。
(3)存储过程,应注意删除或禁用不需要的数据库存储过程。
(4)敏感数据安全,对于数据库中的敏感字段,如:口令等,要加密保存。
口令策略
(1)数据库账户口令应为无意义的字符组,长度至少八位,并且至少包括数字、英文字母两类字符。可设置相应的策略强制复杂的口令。
(2)必须根据安全要求对数据库管理系统的密码策略进行设置和调整,以确保口令符合要求。
口令修改要求
应定期或不定期修改数据库管理员口令,在下述几种情况下应修改数据库管理员口令:
(1)数据库正式使用之前;
(2)数据库系统或相关的应用系统遭到入侵;
(3)数据库管理员轮换;
(4)数据库管理员口令泄露;
(5)其它修改口令要求。
访问控制
服务及端口限制
(1)不允许从互联网直接访问到数据库系统服务器;
(2)修改数据库系统默认监听端口。
数据库连接
(1)应用程序的数据库连接字符串中不能出现数据库账户口令明文;
(2)禁止未授权的数据库系统远程管理访问,对于已经批准的远程管理访问,应采取安全措施增强远程管理访问安全。
紧急事故的处理
(1)应对系统安装、设置更改、账号变更、表空间变更、数据对象变更、数据库备份等系统维护工作进行记录,以备查阅。
(2)应结合应用系统,制定紧急事故预防措施和应急处理措施,并配备应急处理人员,数据库系统管理员定期检查紧急事故预防措施的执行情况。
(3)为了避免硬件设备的单点故障造成数据库的不可用,对于要求持续、无故障运行的数据库,在设计时应使用双机集群、双机热备等技术手段,提高系统的可靠性。
(4)对万一出现紧急情况可能影响面大的,后果可能严重的应用系统,应设立以单位领导牵头的专门的应急处理机构。
(5)应对系统异常和系统故障的时间、现象、应急处理方法及结果作详细的记录
数据库文件管理
(1)必须对数据系统软件的介质、资料和许可证进行登记,并设专人负责保管;
(2)登记的内容应包括软件的名称和版本、软件出版商、许可证类型和数量、介质的编号和数量、软件安装序列号、资料名称和数量、购买日期等;
(3)应有软件和资料的借用审批和借还登记手续;
(4)对数据库系统软件介质和资料要进行复制,借用时宜提供复制品,以保护原件及避免丢失
数据库安全管理
(1)数据库管理员应经常检查数据库系统的安全配置,并确保符合安全配置要求;
(2)数据库管理员和数据库审计员应定期查看数据库系统的