数磁全≡I 里规范1 范围本标准规定数据安全规范的基本要求。本标准适用于服务器机房,监控室等。3 数据信息完整性3.1确保所采取的数据信息管理和技术措施以及覆盖范围的完整性。3.2应能够检测到网络设备操作系统、主机操作系统、数据库管理系统和应用系统的系 统管理数据、鉴别信息和重要业务数据在存储过程中完整性受到破坏,并在检测到完整性 错误时采取必要的恢复措施。3.4具备完整的用户访问、处理、删除数据信息的操作记录能力,以备审计。3.5在传输数据信息时,经过不安全网络的(例如 INTERNET 网),需要对传输的峰 信息提供完整性校验。3.6应具备完善的权限管理策略,支持权限最小化原则、合理授权。4 数据信息保密性4.1数据信息保密性安全规范用于保障业务平台重要业务数据信息的安全传递与处理应用,确保数据信息能够被安全、方便、透明的使用。为此,业务平台应采用加密等安全 措施开展数据信息保密性工作。4.2应采用加密殒昔施实现重要业务数据信息传输保密性;4.3应采用加密实现重要业务数据信息存储保密性;4.4加密安全措施主要分为密码安全及密钥安全。5 密码安全要求密码的使用应该遵循以下原则a)不能将密码写下来,不能通过电子邮件传输;b)不能使用缺省设置的密码;c)不能将密码告诉别人;d)如果系统的密码泄漏了,必须立即更改;e)密码要以加密形式保存,加密算法强度要高,加密算法要不可逆;f)系统应该强制指定密码的策略,包括密码的最短有效期、最长有效期、最短长度、 复杂性等;g)如果需要特殊用户的口令(比如说 administrator),要禁止通过该用户进行 交互 式登录。6 密钥安全要求6.1密钥管理对于有效使用密码技术至关重要。密钥的丢失和泄露可能会损害数据信息 的保密性、重要性和完整性。因此,应采取加密技术等措施来有效保护密钥,以免密钥被 非法修改和破坏;(这段说的是密钥的重要性,建议不要)6.2应对生成、存储?口归档保存密钥的设备采取物理保护。(什么样的物理佛户?)7 密钥的管理7.1密钥产生:为不同的密码系统和不同的应用生成密钥;7.2密钥证书:生成并获取密钥证书;7.3密钥分发:向目标用户分发密钥,包括在收到密钥时如何将之激活;7.4密钥存储:为当前或近期使用的密钥或备份密钥提供安全存储,包括授权用户如何 访问密钥;7.5密钥变更:包括密钥变更时机及变更规则,处置被泄露的密钥;7.6密钥撤销:包括$口何收回或者去激活密钥,如在密钥已被泄露或者相关运维操作员 ...
