技术分享｜等保下的数据库安全解决方案

数据安全生命周期

六个阶段

1.创建 ：数字数据产生、已存在内容的修改；

2.存储 ：数字数据提交到数据存储仓库，与数据创建同步；

3.使用 ：查看数据、处理数据或其他数据使用活动；

4.共享 ：让其他实体访问数据的活动，如用户间共享数据；

5.归档 ：将不频繁使用的数据进行长期保存；

6.销毁：使用物理或数字方式永久销毁数据。

网络安全等级保护基本要求分为：技术要求和管理要求

安全计算环境中关于数据安全的安全防护要求涉及的控制点

第三级 安全通用要求之安全计算环境包括11个控制点，每个控制点包含的条款数如下表（表中标*部分为要求数据安全控制点）

计算环境中涉及的控制点介绍

数据完整性：

a）应采用密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

b）应采用密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等；

适用保护对象 主要针对数据存储、使用、共享

数据保密性：

a）应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等；

b）应采用密码技术保证重要数据在存储过程中的保密性，包括但不限于鉴别数据、重要业务数据和重要个人信息等。

适用保护对象 主要针对数据存储、使用、共享

数据备份与恢复：

应提供重要数据的本地数据备份与恢复功能；

应提供异地实时备份功能，利用通信网络将重要数据实时备份至备份场地；

【适用保护对象】主要针对数据归档

剩余信息保护：

应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除；

应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。

【适用保护对象】主要针对数据销毁

安全防护措施

基于等级保护基本要求，数据安全在其各生命阶段的安全需求及防护措施如下表：

数据库基线加固内容

总体要求

由于各个数据库支持的功能不一样，里面的对应等保要求实现方法以及程度不一样，具体可参考对应的加固基线。总体的要求如下：

A 账号与授权

• 应按照用户分配账号，避免不同用户间共享账号；

• 应删除或锁定与数据库运行、维护等工作无关的账号；

• 删除过期账号；

• 修改或禁用默认管理员账号名称，例如：sa，sys，sysdba等；

• 在数据库权限配置能力内，根据用户的业务需要，配置其所需的最小权限。

B 安全策略

在数据库支持的范围内，设置和启用相应的安全策略，例如：停用不必要的存储过程、加密通讯协议；禁止超级用户远程登陆等

C 口令

对采用静态口令认证的数据库，口令长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中的2-3类。

D 日志

数据库应配置日志审计功能，并做好日志留存工作。

E 安全补丁

在保证业务可用性的前提下，经过分析测试后（在非生产环境中），可以选择更新使用最新版本的补丁。这里具体可以以漏扫结果作为标准，如果漏扫没有问题，也可以不安装补丁。

F  IP地址/端口访问控制

通过数据库所在操作系统或网络中的防火墙限制，只有信任的IP地址/端口才能通过监听器访问数据库。

禁止root用户远程登录的方法