JR/T 0204-2020 分布式数据库技术金融应用规范 安全技术要求.pdf

  • JR/T 0204-2020  分布式数据库技术金融应用规范 安全技术要求.pdf为pdf格式
  • 文件大小:0.9 M
  • 下载速度:极速
  • 文件评级
  • 更新时间:2021-01-01
  • 发 布 人: 13648167612
  • 原始文件下载:
  • 立即下载

  • 文档部分内容预览:
  • JR/T 02042020

    c)应支持对普通用户权限的限制,其权限不应超过对自身业务数据及数据库对象的管理范围。 增强要求: a)系统管理员的权限宜包括对数据库集群的创建、变更、配置和维护等重要操作。 b)审计管理员的权限宜包括含对各类日志及审记记录的查看、审计记录的导入和导出等操作。 c)安全管理员的权限宜限于制定、修改、检查安全规则等操作。 d)宜在系统管理员、审计管理员、安全管理员三个角色基础上提供更细颗粒度的权限,以满足 数据库应用方自定义最小化职责分离的需求。

    基本要求: a)应支持对各类数据库对象(如库表)配置不同的访问权限的功能。 b)应支持独立的数据库用户管理数据库对象权限,如对象访问权限的授予与回收等。 c)应支持对库表结构维护权限的控制混凝土结构,如创建、删除、更改库表结构等,库表结构的维护应由 其所属用户或相关授权用户来完成。 d)应支持对库表数据访问权限的控制,库表数据访问权限应包括对某个库表或视图数据的插入 更新、删除、查询的权限,库表数据的访问应由其所属用户或相关授权用户来完成, 增强要求: a)宜将库表结构维护的权限仅授予系统管理员。 b)宜支持限制系统管理员、安全管理员对库表数据的访问功能。 c)宜支持基于标签的访问控制策略。

    基本要求: 多个应用共享数据库集群时,应支持多个应用间自有数据库对象的逻辑隔离。 增强要求: 无。

    8. 3 会话访问控制

    基本要求: 应支持基于IP地址、端口、数据库、用户和密码的连接认证功能,会话应进行安全隔离 增强要求: 服

    基本要求: 应支持白名单功能,只有白名单列表上的地址才能连接访问。 增强要求: 宜支持用户加源地址白名单功能,

    JR/T02042020

    基本要求: a)应支持并发控制策略,防止高并发连接影响数据库整体服务质量。 b)应支持流量分散负载策略,控制流量能够均衡分布到不同的计算节点,避免流量过于集中。 增强要求: )宜支持基于逻辑域划分数据库集群资源的功能。 )宜支持资源保护机制,避免因单个连接或会话消耗过高资源而影响可用性

    B. 6 读写安全策略

    a)应具备保护措施避免数据在从节点被SQL请求直接更新。 b)应统一读写入口,避免直接访问数据存储节点。 增强要求: 宜提供读负载权重的控制策略或动态调整读负载的能力

    基本要求: 应支持指定数量副本的数据在任意情况下都是一致的,其他副本最终完成数据同步。 增强要求: 宜支持所有副本的数据在任意情况下都是一致的。

    基本要求: a)应支持当少于总数据副本数量的50%的数据副本故障时,仍能正常对外提供服务。 应支持当大于等于总数据副本数量的50%的数据副本故障时,通过人工干预或其他技术手段 仍能对外提供服务。 c)应支持副本故障容忍数阈值告警,且告警阅值可设置。 d)应支持设定副本故障容忍数阅值,并在副本故障容忍数阈值范围内,发生网络异常或部分节 点故障情况时,保证数据不丢失。 e)应支持当故障副本数量恢复到可靠性水平后,分布式事务数据库能自动恢复读写服务。 增强要求:

    基本要求: a)应采用加密技术或其他保护措施实现鉴别信息保密性。 b 应根据国家与行业主管部门相关规定加密存储敏感数据。 c)应支持采用密码算法技术对数据表进行加密。 d)应支持采用密码算法的方式对字段进行加密。 e)应支持采用密码算法技术对数据库进行整库加密。 增强要求:

    JR/T 02042020

    基本要求: a)应采用技术措施保证敏感数据和个人信息传输的保密性, b)应能够检测到数据在传输过程中完整性是否受到破坏。 增强要求:

    基本要求: a)应支持数据备份的存储位置可选,包括但不限于本地备份、同城容灾中心、异地容灾中心等。 b)应支持采用密码算法技术,保证备份文件、导出文件的数据完整性与保密性。 增强要求: a)宜支持多重层级数据备份,包括但不限于库级、表级、集群级、用户级等。 b)运维接口宜与外部业务接口、内部集群数据接口进行隔离

    基本要求: a)在数据恢复时,应保证恢复到备份时刻状态。 b)在数据恢复时,应保证恢复到数据全局一致状态。 c)应支持将数据恢复到具备恢复条件时间段内任意时刻的能力。 增强要求: a)宜支持表级别数据快速恢复的能力。 b)宜支持库级别数据快速恢复的能力。

    基本要求: a)应支持在集群扩缩容和重分布过程中因物理存储介质变更产生的剩余信息进行自动清理 b)应支持在数据迁移、数据导入导出过程中,对产生的中间数据进行检查和清理。 增强要求: 住 无。

    a)应具备对数据库进程的健康状态进行监控的功能,保证及时发现异常状态并进行告警。 b)应具备对数据库集群整体、各物理服务器节点的健康状态进行集中监控的功能,关键指标包 括但不限于: 一CPU使用率; 一一内存使用率; 一磁盘空间使用率; 一10统计:

    a)应具备对数据库进程的健康状态进行监控的功能,保证及时发现异常状态并进行告警。 b)应具备对数据库集群整体、各物理服务器节点的健康状态进行集中监控的功能,关键指标包 括但不限于: 一CPU使用率; 一内存使用率; 一磁盘空间使用率; 一10统计:

    JR/T02042020

    网络带宽使用率; 数据库集群状态; 一TPS和QPS统计; 一SQL平均响应时间统计; 一慢SQL统计; 一一锁,等待事件; 一数据库会话连接监控。 C)应提供告警API接口功能。 增强要求: a)宜支持集中的图形化管理界面,具体要求如下: 能够从系统层、数据库层、用户层对集群状态、节点状态、数据库运行状态、多副本数 据同步状态等关键信息进行监控告警: 能够按照重要程度、触发阈值、接受对象等进行分类设置,出现异常时自动显示告警。 b)宜支持集中监控并识别异常数据库访问,并能及时预警。 c)宜支持集中的日志查询接口及集中的异常告警接口。

    基本要求: a)应保证密钥的安全存储和管理。 b)应使用经国家密码管理部门认可的商用密码产品。 应保证密钥长度符合国家密码管理部门及行业主管部门要求。 应支持数据加解密和密钥管理,数据加解密、数字签名等技术应符合国家密码管理部门及行业 主管部门要求。 增强要求: a)宜支持安全硬件对数据库管理员的鉴别信息进行加密存储。 b)宜提供密钥功能接口以供应用实现密钥全生命周期的统一管理。 c)宜提供适配方案以支持多种硬件加密模块。

    JR/T 02042020

    本安水: a)应采取必要的措施识别安全风险,对发现的安全风险进行评估,并及时修补。 b)应定期开展安全测评,形成安全测评报告,并对发现的安全问题采取应对措施, c)应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份情况等。 应在发生重大变更时开展全面安全检查,检查内容包括现有安全技术措施的有效性、安全配 置与安全策略的一致性、安全管理制度的执行情况等。 增强要求: a)宜定期进行全面安全检查,检查内容包括现有安全技术措施的有效性、安全配置与安全策略 的一致性、安全管理制度的执行情况等。 b)宜制定安全检查表格,实施安全检查,汇总安全检查数据,形成安全检查报告,并将安全检 查结果告知相关方。

    a)应按照国家和行业主管部门要求制定统一的应急预案框架,包括启动预案的条件、应急组织 构成、应急资源保障、事后教育和培训等内容。 b)应制定重要安全事件的应急预案,包括应急处理流程、恢复流程等内容。 c)应定期对系统相关的人员进行安全事件的应急预案培训,并进行应急预案的演练。 d)应根据业务系统重要程度开展安全事件的应急演练。 增强要求: 宜定期评估相关安全事件的应急预室并进行修订完善

    a)应在变更前明确变更需求、制定变更方案,并经过审批后方可实施。 b)应在变更前制定回退方案并充分评估。 c)应建立变更申请和审批流程,记录变更实施过程。 d)应明确审批人、实施者的职责和变更流程。 增强要求: a)宜根据业务系统重要程度对变更过程进行演练。 b)宜建立变更的中止、暂停、恢复环节。

    13. 1 SQL 审计

    基本要求: a)应支持对DDL、DML、DQL、DCL操作进行审计,并至少支持对象审计和语句审计2种模式。 b)审计记录应至少包括以下要素: 一事件的日期和时间; 一事件类型; 一主体身份; 一操作的SQL语句;

    一事件结果(成功或失败)等 增强要求:

    13. 2用户行为审讯

    13.2.1用户创建册删除操作审计

    JR/T02042020

    基本要求: a)应支持对用户创建删除操作进行审计。 b) 审计记录应至少包括以下要素: 事件的日期; 一一事件描述; 一事件类型(如用户权限变更、密码变更); 一主体(如安全管理用户名); 一客体(被创建的用户); 一事件结果。 c)审计日志中应记录完成该操作的用户名信息,但不应记录密码的明文信息 增强要求:

    13.2.2用户授权审计

    基本要求: a)应支持对用户授权操作进行审计。 b)审计记录应至少包括以下要素: 授权用户; 一被授权用户; 一授予权限信息; 一操作时间; 增强要求: 无。

    13.2.3登入登出审计

    服务平台 基本要求: a)应支持对用户在数据库的登入登出操作进行审计 b) 审计记录应至少包括以下要素: 登录用户标识; 一一会话标识; 一请求地址; 一登入登出时间戳等。 增强要求: 无。

    JR/T 02042020

    13.3.1服务启停审计

    基本要求: a)应支持对服务启停操作进行审计。 b)审计记录应至少包括以下要素: 一一操作人信息; 一操作时间; 一执行命令等。 增强要求: 无。

    13.3.2扩缩容审计

    精装修标准规范范本基本要求: a)应支持对数据库集群扩容、缩容操作进行审计。 b)审计记录应至少包括以下要素: 一操作人信息: 一操作时间; 一操作命令等。 增强要求: 无

    13.3.3备份恢复审讯

    基本要求: a)应支持对备份恢复操作进行审计。 b)审计记录应至少包括以下要素: 一操作人信息: 一操作时间; 一备份或恢复的库、表、备份文件信息等。 增强要求: 无。

    13. 4审计记录安全

    基本要求: a)应保证审计记录的存储安全,对存储的审计记录进行保护和定期备份安全生产标准规范范本,避免受到未预期的删 除、修改或覆盖等。 b)应保证审计记录的留存时间符合相关法律法规要求。 增强要求: 宜支持审计报告的自动生成和导出,用于审查和风险管理。

    JR/T02042020

    2016《信息安全技术数据库管理系统安全技术

    ....
  • 金融标准 数据标准
  • 相关专题: 数据库  

相关下载

常用软件