企業數據庫安全管理規範

[摘要]本文梳理了數據庫安全管理的各項要求和注意事項，詳細實用。供大家參考。

[作者]朱雲峰，系統架構師，主要負責負責IDC基礎設施和信息安全，擅長雲原生、安全、監控、架構規劃相關工作。

1.目的為規範數據庫系統安全使用活動，降低因使用不當而帶來的安全風險，保障數據庫系統及相關應用系統的安全，特制定本數據庫安全管理規範。

2.适用範圍

本規範中所定義的數據管理内容，特指存放在信息系統數據庫中的數據。

本規範适用于信息系統建設與運維，旨在明确數據庫管理員（DBA）工作職責及數據庫系統中與安全相關的配置項及其使用要求，指導數據庫系統的安裝、配置及日常管理，提高信息系統的安全水平。

3.定義

數據庫管理員：也稱 DBA ，負責數據庫安裝、調試、使用及日常運維，管理用戶對數據庫的訪問權限，增加、删除、修改該數據庫中數據庫對象。

DML（data ）：是、、、，就象它的名字一樣，這4條命令是用來對數據庫裡的數據進行操作的語言。

DDL（data ）：DDL比DML要多，主要的命令有、ALTER、DROP等，DDL主要是用在定義或改變表（TABLE）的結構，數據類型，表之間的鍊接和約束等初始化工作上，他們大多在建立表時使用。

DCL（Data ）：是數據庫控制功能。是用來設置或更改數據庫用戶或角色權限的語句，包括（grant,deny,等）語句。在默認狀态下，隻有,,或等人員才有權力執行DCL。

4.DBA 職責

1、對數據庫系統進行合理配置、測試、調整，最大限度地發揮設備資源優勢,負責數據庫的安全、穩定運行；

2、對所有數據庫系統的配置進行可用性，可靠性，性能以及安全檢查；

3、定期對數據庫系統的可用性，可靠性，性能以及安全的配置方法進行檢查、修訂和完善；

4、負責數據庫系統運行過程中出現的問題及時處理解決；

5、負責對數據庫系統的數據一緻性和完整性，并協助開發、網絡人員做好相關的配置、檢查等工作；

6、負責做好數據庫系統及數據的備份和恢複工作；

7、做好數據日常檢查記錄（表單）準入要求。

DBA 權限及流程

1、DBA按“1001-信息系統權限申請指南”的規範按紙質流程完成數據庫運維賬号的申請；

2、DBA 數據庫運維賬号綁定使用人員設備和手機号碼，通過短信或令牌實現2次驗證。所有的運維操作通過堡壘機完成，堡壘機記錄并審計 DBA 所有的操作指令；

3、禁止遠程DDL：核心業務系統限制DDL操作僅能在數據庫服務器本地進行，禁止遠程連接執行DDL操作；

4、DBA 通過查詢分析器執行的數據的變更（包括增加、删除、重建等）操作需和運維部負責人共同評估後通過紙質流程申請執行。

5.安全管理

安全性是數據庫重要的日常工作，安全管理的主要内容包括賬戶管理和權限管理。帳戶管理就是在數據庫中應該增加哪些帳戶、這些帳戶應該組合成哪些角色等。權限管理是對象權限和語句權限的管理。

5.1 網絡環境安全

1、數據庫服務器置于單獨的服務器區域，任何對這些數據庫服務器的物理訪問均應受到控制。

2、數據庫服務器所在的服務器區域邊界部署防火牆或其它邏輯隔離設施。

5.2 服務器安全

1、重要的數據庫服務器除提供數據訪問服務外，不提供任何其它的服務。如WEB，FTP等。

2、數據庫專用帳戶，賦予賬戶除運行數據庫服務之外的最小權限，sa或是等權限不能對外開放。

3、目錄及相應文件訪問權限進行控制，非管理員不能訪問數據庫服務器上任何目錄如：禁止用戶訪腳本存放目錄。

5.3 數據庫安全

5.3.1 數據庫系統

1、正式生産數據庫系統與開發測試數據庫系統物理分離，确保沒有安裝未使用的數據庫系統組件或模塊；

2、數據庫用戶的創建、删除和更改工作，并做好記錄；

3、數據庫對象存儲空間的創建、删除和更改工作，并做好記錄；

4、對系統的安裝更新、系統設置的更改等要做好維護記錄；

5、确保沒有開啟未使用的數據庫系統服務；

6、數據庫系統安裝必要的升級程序或是補丁，升級前做好數據庫備份。

5.3.2 數據保密

嚴禁任何人洩漏數據庫業務關鍵數據，需要業務數據時，必須向信息總部相關領導提出申請批準後才能對數據進行相關的操作，并做好記錄與日志。

數據庫安全性設計與管理需要依照《數據保護技術規範》、《數據資産管理條例》等制度實施。

5.3.3 賬戶設置

1、數據庫管理員賬号具有最高數據庫管理權限（如：MSSQL的SA或是的等），其他人員需要直連訪問數據庫或需要具有一定數據庫操作權限，必須向信息部門相關領導申請，審批通過後，由數據庫管理員告知用戶權限等信息，其他人員通過業務系統訪問數據庫；

2、根據業務需要的權限建立專門的賬号，以區分責任，提高系統的安全性，業務人員必須使用自己的賬号登錄數據庫,如JOB，存儲過程等執行權限；

3、對賬号權限的設置遵從最小化原則，不需求的權限就不能開通。如查詢數據的人員，隻能有對某些表的權限，而不能用，等權限；

4、普通數據庫用戶賬戶與數據庫管理員賬戶分離。

5.3.4 賬戶類型

系統管理員：能夠管理數據庫系統中的所有組件及所有數據庫。

數據庫管理員：能夠管理相關數據庫中的賬戶、對象及數據。

數據庫用戶：隻能以特定的權限訪問特定的數據庫對象，不具有數據庫管理權限，大部份都是屬于這個用戶類型。如業務數據人員。

5.3.5 用戶權限

數據庫賬戶按最小權限原則設置在相應數據庫中的權限。以下幾種權限：

系統管理權限：包括賬戶管理、服務管理、數據庫管理等。

數據庫管理權限：包括創建、删除、修改數據庫等。

數據庫訪問權限：包括插入、删除、修改數據庫特定表，視圖，過程，，JOB記錄等。

5.3.6 數據庫對象安全

1、數據文件安全，對數據文件訪問權限進行控制，如：禁止除專用賬戶外的其它賬戶訪問、修改、删除數據文件。

2、删除不需要的示例數據庫，在允許存在的示例數據庫中嚴格控制數據庫賬戶的權限。

3、删除或禁用不需要的數據庫對象，如表，視圖，過程，函數，觸發器等。

4、敏感數據安全，對于數據庫中的敏感字段，如：口令等，要加密保存。

5.3.7 口令密碼策略

1、數據庫賬戶口令應為無意義的字符組，長度至少八位，并且至少包括數字、英文字母兩類字符。可設置相應的策略強制複雜的口令。

2、必須根據安全要求對數據庫管理系統的密碼策略進行設置和調整，以确保口令符合要求。

3、定期或不定期修改數據庫管理員口令，并與第一條相符合。

4、賬戶、密碼統一管理，由DBA進行管理，記錄賬戶變及審核。

5.3.8 訪問控制

1、在外圍防火牆或其它隔離設施上控制從互聯網到數據庫系統的直接訪問。

2、修改數據庫系統默認監聽端口。

3、應用程序的數據庫連接字符串中不能出現數據庫賬戶口令明文。

4、禁止未授權的數據庫系統遠程管理訪問，對于已經批準的遠程管理訪問，應采取安全措施增強遠程管理訪問安全。

5.3.9 賬戶開通

1、開通賬戶必須先填寫“信息系統權限申請指南”，經如下流程人員審批通過後，數據庫管理員建立賬号。

2、賬戶權限最小化原則。開通隻需要的權限，做到不同的應用不同的賬戶及專人專賬戶。

3、采用OA賬戶為數據庫開通賬戶的基礎，可追加'_'符号并設置附加字段（如資源池标記、賬戶所屬組别标記等）。

數據庫賬号申請流程圖

5.3.10 賬戶注銷

1、數據庫管理員收到人員離職通知後，應即時審查該人員是否擁有數據庫訪問賬戶；并把對應權限删除。

2、賬戶權限最小化原則。開通隻需要的權限，做到不同的應用不同的賬戶及專人專賬戶。

3、采用OA賬戶為數據庫開通賬戶。

5.3.11 MySQL數據庫特别設置

1、采用集群配置方案，不得将數據庫配置文件部署于數據庫本地。配置文件存儲服務器的數據安全管控級别應為最高。

2、數據庫啟動必須采用遠程調用配置文件形式啟動，不得采用命令行啟動，應采用服務調用方式啟動，避免通過系統指令查到配置文件所在服務器。

3、應對賬戶設置白名單策略，針對特殊業務場景可以進行分時段訪問攔截。

5.3.12 SQL 數據庫特别設置

1、代理賬戶宜采用單獨賬戶設置。

2、新業務超過100萬行數據的表，必須采用分區表形式實現。

3、數據庫必須采用文件組方式實現，每個數據文件不宜超過500GB。

4、、log與data文件宜硬件IO分離，若資源緊張至少将與 log和data文件分離。

5、數據庫系統文件必須獨立存放于系統盤，且與、log與data文件硬件IO分離。

6、應對賬戶設置IP白名單策略，針對特殊業務場景可以進行分時段訪問攔截。

7、非算法應用場景，可設置資源池分散賬戶訪問壓力。

8、減少鍊接服務器的使用，若必須使用則必須設置賬戶訪問限制，不得提供公共鍊接服務器訪問。

9、DBA存儲過程需要部署于庫中，注明前綴，并做好版本控制管理。

10、嚴格控制标記與指針的使用，在滿足性能要求前提下，可将信息寫入數據庫error日志中，便于後續對接日志處理平台進行集中收集處理。

11、數據庫分庫分表分區等腳本，必須通過備份庫在測試環境執行，評估效率，形成書面報告審議。執行必須按照新建庫/表/分區→數據導入→索引重建→名稱切換方式進行。涉及視圖操作，完成後必須重新刷新視圖。分庫分表分區後，必須建立維護作業，對函數與方案實現自動維護。正式啟用新的分庫分表分區前，需要至少2名工作人員對新舊表的數據一緻性進行核對，形成書面報告審議，通過後才可啟用。被分庫分表分區的原始表，需要保留7天。7天後應将該表轉移至業務曆史數據庫留存至少90天。

12、應監控數據庫存儲過程調用情況，針對超過10個以上的數據庫并發訪問、鍊接池資源1個小時内不被釋放、CPU和資源消耗超過總資源的20%的情況，應作出預警。針對需要特殊保護的業務場景，經産品與運維部門同意，可啟動自動切斷鍊接設置。

6. 備份與恢複

1、制定數據庫系統的備份策略，定期對數據庫系統進行備份。如備份周期，方式等。

2、數據庫備份策略要以高效備份與恢複為目标，與操作系統的備份最好地結合，物理備份與邏輯備份相結合。

3、必須對備份賬戶的權限嚴格控制，由系統管理員或指定專人負責。

4、妥善存放和保管備份介質（從數據庫導出的磁盤櫃等），防止非法訪問與丢失。

5、本地備份與遠程異地備份相結合，以防止本地備份丢失的情況。

6、根據重要性對數據庫進行周期或不定期進行恢複測試與應及處理。

7、數據庫升級、表結構變更、數據庫分庫分表分區、業務核心表變更前必須進行數據備份。對數據層面重大調整的，應啟動啟動完整日志或數據備份等數據容災策略。

6.1 備份方式及策略

完全備份：對備份的内容進行整體備份。

增量備份：僅備份相對于上一次備份後新增加和修改過的數據。

差異備份：僅備份相對于上一次完全備份之後新增加和修改過的數據。

按需備份：僅備份應用系統需要的部分數據，或臨時需要解決的問題。

1、建立各個應用能接受的恢複時間和數據備份方式，采取相應的備份策略。

2、結合使用在線備份、邏輯備份和物理備份等多種方式，并且自動方式和手動方式相結合。

3、數據備份應根據系統情況和備份内容，采用不同的備份方式及策略，并做好記錄。

6.2 備份要求

1、數據庫的數據要求定時自動備份。

2、建立備份記錄，詳細記錄備份數據信息。備份應有明确的文件名，時間點、備份人,備份文件名統一标準。

3、備份文件保存時間可根據數據重要程度和有效利用周期确定。

4、備份介質安全問題，既要保證存放的物理環境，也要避免對備份數據的非授權訪問。

5、系統管理員和數據庫管理員确定備份策略。

6、備份文件名采用标準格式：數據庫名稱 + 下劃線 + ISO時間格式（,即四位年2位月2位日2位小時2位分鐘 + 備份的擴展名bak或是trn（日志文件））myj_2.trn或是myj_2.bak

7、數據表的備份命名為原表命名形式命名，若為同一天可以追加批次版本_v1，備份數據宜采用bcp形式進行數據導出與導入。備份表生産環境留存期至少7天。7天後應将該表轉移至曆史數據庫留存至少90天。

6.3 恢複管理

恢複的操作直接影響到實際的應用。恢複操作應嚴格按一定的操作程序進行，而絕不能由備份系統管理員或某一個應用者進行恢複操作了事。

故障确認。在進行恢複之前首先應該确認造成故障的原因。故障的原因非常多，應該分清是操作系統的故障還是數據庫的故障。如果是數據庫的故障，不同的數據庫應采用不同的故障分析方法，在完成故障分析後确認需要進行恢複操作時，由相應的管理人員提交書面的故障分析報告。

恢複計劃。系統管理員在确認故障分析報告後應與相應管理者一起制定詳細的恢複計劃，包括應恢複的内容、恢複的時間、恢複的操作步驟、恢複對應用造成的影響等，主管領導應确認恢複對生産造成的影響，在批準執行恢複前應以相應方式與有關部門進行溝通和通知有關部門進行恢複前的準備工作。

定期備份校驗。對長期保存的備份進行校驗，防止在需要時備份不可用的情況發生，使用數據庫自帶工具校驗。

7. 日常檢查表單