數據庫安全管理規(guī)范

1、人力資源社會保障數據中心數據庫安全管理規(guī)范(試行)（征求意見稿）第一章總則第一條【目的】為保障人力資源社會保障應用系統(tǒng)數據庫（以下簡稱數據庫）安全，保障數據的保密性、完整性、可用性，規(guī)范操作和管理行為，降低數據安全風險，實現人力資源社會保障數據中心安全管理，制定本規(guī)范。第二條【適用范圍】本規(guī)范適用于各級人力資源社會保障非涉密應用系統(tǒng)的數據庫管理，涉密應用系統(tǒng)的數據庫應按照國家保密部門的相關規(guī)定和標準進行管理。第三條【定義】本規(guī)范所稱的數

2、據庫，是指人力資源社會保障應用系統(tǒng)處理和服務所依托的集中存儲數據的各類數據庫系統(tǒng)（含與數據庫、數據倉庫相關的，以數據庫之外形式保管的數據）。第四條【原則】數據庫的安全管理和技術保障措施，應與支撐其安全穩(wěn)定運行的應用系統(tǒng)安全保護等級相對應。第二章崗位職責第五條【負責單位】人力資源社會保障信息化綜合管理機構（以下簡稱信息部門）負責應用系統(tǒng)數據庫的安全管理，保證—1—應用系統(tǒng)賬戶、大量數據庫登錄失敗、大量無效SQL語句等）。及時向數據庫安全員

3、報告潛在的安全事件和問題。（六）配合應用系統(tǒng)管理員和網絡管理員的日常工作。第九條【數據庫安全員職責】數據庫安全員負責制定數據庫安全策略，進行日常安全巡查、日志分析和權限管理，主要職責包括：（一）日常安全檢查：定期查看數據庫配置，檢查數據庫常見的安全問題，如賬戶權限過大、口令過舊等，并將安全問題提交相關部門和人員落實，負責檢查處理結果。（二）設置安全策略：設置IP、時間、應用等訪問權限，確定敏感數據和數據訪問策略（如使用默認賬戶、使用默認

4、口令、數據庫對象可被所有賬戶訪問等）。（三）賬戶授權：對數據庫管理員創(chuàng)建的數據庫賬戶2，進行訪問授權。（四）日志分析：對數據庫相關安全審計功能或系統(tǒng)進行日志設置、檢查和分析，負責檢查分析違規(guī)安全事件和行為。（五）安全培訓：組織數據庫的安全培訓。第十條【數據庫審計員職責】數據庫審計員負責對數據庫管理員、數據庫安全員的操作行為進行審計、跟蹤、分析和監(jiān)督檢查，及時發(fā)現違規(guī)行為和異常行為，進行數據庫日志和審計日志分析、安全事件的分析和取證。主要