数据库安全检查表
数据安全合规性检查表
文档查验 &测评验 证 文档查验 &人员访 谈
评估要点
文档查验 &人员访 谈 文档查验
系统演示 &测评验 证 文档查验
测评验证
文档查验 &测评验 证 文档查验 &测评验 证&系统 演示 文档查验
文档查验 &测评验 证 系统演示
人员访谈 &测评验 证 人员访谈 &文档查 验 人员访谈 &文档查 验&系统 演示 人员访谈 &文档查 验 人员访谈 &文档查 验&测评 验证 文档查验
(4)梳理企业存在数据出境情况的业务。对涉及用户数据和重要数据出境的场景、类别、数 量级频率、接收方情况等进行梳理汇总。 (1)结合数据分类分级策略和管理要求明确数据存储安全策略和操作规程,包括各类数据存 储平台系统差异化的安全存储保护手段(如加密、授权、数字水印、数字签名等)、数据存储 介质安全策略和管理规定等。与系统支撑运维人员签订保密协议,有效约束操作行为。 (2)加强对数据存储平台系统接入移动存储介质的管控,对将数据下载到本地终端的行为进 行严格审核和日志记录。 (3)根据数据级别明确数据备份操作规程,明确数据备份周期,备份方式、备份地点、数据 恢复性验证机制等内容,保障数据的可用性和完整性。
(4)建立数据复制、数据备份与恢复定期检查和更新工作制度,包括数据副本更新频率、保 存期限等,确保数据副本或备份数据的有效性。
最全数据安全检查表
最全数据安全检查表数据安全对于任何组织来说都至关重要。
为了保护敏感信息和确保合规性,每个组织都需要进行定期的数据安全检查。
下面是一个包含各种方面的数据安全检查表,以帮助您评估和改进您的数据安全措施。
1. 物理安全- 保障服务器房间的安全:门禁控制、视频监控、防火系统- 定期检查服务器房间的物理访问控制日志- 权限管理:限制对服务器房间的访问,并确保仅有授权人员可以接触服务器硬件- 确保服务器房间内的设备定期维护,包括UPS电源和空调系统2. 网络安全- 实施防火墙保护网络边界- 配置安全网络策略,包括入侵检测和防范系统- 定期更新网络设备的软件和补丁- 监控网络流量并检测异常活动3. 计算机系统安全- 实施密码策略,包括复杂性要求和定期更改密码- 定期更新操作系统和应用程序的软件和补丁- 限制对计算机系统的管理员访问权限- 安装和更新有效的杀毒软件和防恶意软件工具4. 数据存储安全- 对数据库和文件系统进行加密- 实施访问控制,确保只有授权人员可以访问敏感数据- 定期备份数据,并将备份数据存储在安全的地方- 监控数据访问日志,及时发现异常活动5. 人员管理- 分配合适的角色和权限,并实施最小特权原则- 员工培训:提供关于数据安全的培训,并确保员工了解组织的数据安全政策- 实施离职员工的访问撤销策略- 审查员工的访问活动,限制敏感数据的访问权限6. 审计和合规性- 定期进行数据安全审计,确保合规性- 跟踪和记录安全事件,并实施适当的响应和修复策略- 确保符合适用的法规和隐私规定,如 GDPR 或 CCPA- 定期与内部和外部安全专家合作,评估和审查数据安全措施以上是一个综合的数据安全检查表,希望能够对您的数据安全管理提供帮助,并帮助您发现和解决潜在的安全风险。
运维组安全周检查表
确认重要数据是否进行加密存储,以防止数据泄 露。
访问控制
检查数据存储的访问控制策略,确保只有授权人 员能够访问相关数据。
数据传输安全
传输加密
01
确认数据传输过程中是否使用加密技术,如SSL/TLS等,以保证
数据传输的安全性。
完整性校验
02
检查数据传输过程中是否进行完整性校验,以确保数据在传输
遵守法规要求
遵循国家和行业相关法规和标准,通过安全检查确保 合规性。
提高安全意识
通过定期的安全检查,增强运维人员的安全意识,提 高整体安全水平。
检查范围
系统安全性
包括操作系统、数据 库、中间件等系统层 面的安全性检查。
网络安全性
涉及网络设备的配置 、防火墙规则、入侵 检测等网络安全方面 的检查。
应用安全性
过程中不被篡改。
防火墙和入侵检测
03
确认网络防火墙和入侵检测系统是否配置正确,以防止未经授
权的访问和数据泄露。
数据备份与恢复
备份策略
检查数据备份策略是否合理,包括备份频率、 备份存储位置等。
备份测试
定期测试备份数据的可恢复性,确保在数据丢 失或损坏时能够及时恢复。
灾难恢复计划
确认是否有完善的灾难恢复计划,以应对自然灾害、硬件故障等突发事件导致 的数据丢失。
针对运维组负责的应 用系统,包括Web 应用、API接口等应 用层面的安全性检查 。
数据安全性
包括数据备份、加密 、访问控制等数据安 全方面的检查。
物理环境安全性
涉及机房设施、物理 服务器等物理环境的 安全性检查。
02
系统安全检查
操作系统安全
身份鉴别
检查操作系统用户身份标识和鉴别信息是否 具有复杂度要求并定期更换。
操作系统数据库权限检查表
编号:-AQ0720/ /
单位简称部门简称表单号填表日期序号
检查部门
检查人
检
1.查看系统中本地用户安全策略,特权用户:检查特权用户及组权限是否与特权用户清单列表中的一致;一般用户:核对权限分配的合理性。
2.审核用户ID的使用用户。
【以下两点针对文件服务器】:
3.检查敏感的数据目录及文件权限分配的合理性。
4.重点关注的敏感的数据目录及文件:
敏感目录及文件1:
敏感目录及文件2:
敏感系统权限:
检查结果
管理用户:有 无 □
用户ID:
组:使用用户:
权限:
一般用户:有□无□(检查结果可附件)
结论
用户权限设置是否符合互斥岗位职责分离原则:
是 否□ 原因:
检查特权用户及组权限是否与特权用户清单列表中的一致:
是 否□ 原因:
是否需要修改系统中现有的权限设置:
是 否□
应用系统负责人确认
签字:年 月 日
需要修改系统中现有权限设置时填写
系统管理员修改确认
签字:年 月 日
信息系统网络安全检查表
信息系统网络安全检查表信息系统网络安全检查表一、网络基础设施安全检查1、网络拓扑及结构安全检查1.1 确认网络拓扑图是否准确无误,并与实际网络拓扑一致。
1.2 检查网络设备的布局是否合理,防止单点故障发生。
1.3 检查网络设备是否设置了安全认证机制,防止未授权用户访问。
1.4 检查网络设备是否启用了防火墙,以及是否进行了适当的配置。
1.5 检查网络设备是否更新了最新的固件版本,并是否存在已知的安全漏洞。
1.6 检查网络设备是否启用了日志功能,是否进行了适当的日志管理。
2、网络设备配置安全检查2.1 检查网络设备的管理员密码是否满足复杂度要求,并定期更换密码。
2.2 检查网络设备的端口及协议配置是否需要,所有不必要的端口及协议应禁用或关闭。
2.3 检查网络设备是否启用了访问控制列表(ACL),以限制特定IP地质或IP地质段的访问权限。
2.4 检查网络设备是否启用了安全登录方式,如SSH,禁止使用明文协议进行远程登录。
2.5 检查网络设备是否启用了IPsec等加密协议,保障数据在传输过程中的安全性。
2.6 检查网络设备是否配置了IP源路由保护,防止IP地质伪造攻击。
3、网络通信安全检查3.1 检查网络通信是否采用了加密协议,如SSL/TLS,以保护数据在传输过程中的安全性。
3.2 检查网络通信是否启用了VPN,以提供安全的远程访问功能。
3.3 检查网络通信是否启用了安全的WiFi认证机制,如WPA2-PSK,禁止使用弱密码。
3.4 检查网络通信是否设置了流量监控和分析工具,以便及时发现异常网络流量。
3.5 检查网络通信是否启用了反嗅探功能,防止数据被嗅探工具获取。
二、服务器与系统安全检查1、服务器配置安全检查1.1 检查服务器操作系统是否为最新的稳定版本,并及时安装安全补丁。
1.2 检查服务器是否设置了安全的访问控制策略,禁止未授权用户访问。
1.3 检查服务器是否启用了防火墙,并根据需求进行适当的配置。
安全检查表法
缺点
检查项目可能 遗漏
检查结果可能 受主观因素影
响
检查标准可能 不够明确
检查过程可能 耗时较长
安全检查表法与其他安全管 理方法的比较
第六章
与危险源辨识与风险评价方法的比较
安全检查表法:通过检查表对现场进行安全检查,发现安全隐患
危险源辨识与风险评价方法:通过辨识危险源,评估风险,制定控制措施
区别:安全检查表法侧重于现场检查,危险源辨识与风险评价方法侧重于风险评估和控制
添加标题
添加标题
添加标题
添加标题
自动化检查:通过自动化设备进行 安全检查,减少人工操作,降低成 本
智能预警:通过数据分析和预测, 提前预表:利用数字化技术,实现安全检查表的电子化和智能化
远程检查:通过互联网技术,实现远程安全检查和实时监控
智能分析:利用大数据和人工智能技术,对安全检查数据进行分析和预测,提高检查效 率和准确性
检查人员按照检查表逐项进 行检查,并记录检查结果
检查结果记录在检查表上, 便于后续分析和改进
检查结果应及时反馈给相关 人员,以便及时整改和处理
对检查结果进行分析和评估
收集检查数据:收 集检查过程中发现 的问题、隐患和整 改建议
分析检查结果:对 收集到的数据进行 分类、整理和分析, 找出问题点和隐患 点
集成化平台:建立统一的安全检查平台,实现不同部门、不同领域的安全检查数据共享 和协同管理
标准化发展
制定统一的安全检查表标准,提高检查效率和质量 建立安全检查表数据库,实现数据共享和信息交流 开发智能化安全检查表系统,提高检查的准确性和实时性 加强安全检查表法的培训和推广,提高从业人员的素质和能力
其他领域
建筑行业:建筑工 地的安全检查
信息系统定期安全检查检查表和安全检查报告
关键设备应采用必要的接地防静电措施
温湿度控制
机房应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
电力供应
应在机房供电线路上配置稳压器和过电压防护设备
应提供短期的备用电力供应,至少满足关键设备在断电情况下的正常运行要求
电磁防护
电源线和通信线缆应隔离铺设,避免互相干扰
网络安全
在故障发生时,应用系统应能够继续提供一部分功能,确保能够实施必要的措
资源控制
当应用系统的通信双方中的一方在一段时间内未作任何响应,另一方应能够自动结束会话;
应能够对单个帐户的多重并发会话进行限制
应能够对应用系统的最大并发会话连接数进行限制数安全及备份恢复
数据完整性
应能够检测到鉴别信息和重要业务数据在传输过程中完整性受到破坏
主机安全
身份鉴别
应对登录操作系统和数据库系统的用户进行身份标识和鉴别
操作系统和数据库系统管理用户身份标识应具有不易被冒用的特点,口令应有复杂度要求并定期更换
应启用登录失败处理功能,可采取结束会话、限制非法登录次数和自动退出等措施;
当对服务器进行远程管理时,应采取必要措施,防止鉴别信息在网络传输过程中被窃听;
外包软件开发
应根据开发要求检测软件质量
应确保提供软件设计的相关文档和使用指南
应在软件安装之前检测软件包中可能存在的恶意代码
应要求开发单位提供软件源代码,并审查软件中可能存在的后门
工程实施
应指定或授权专门的部门或人员负责工程实施过程的管理
应制定详细的工程实施方案,控制工程实施过程
测试验收
应对系统进行安全性测试验收
服务内容 _________________________________
网络信息系统安全检查表
网络信息系统安全检查表网络信息系统安全检查表一、引言网络信息系统安全检查是一种保障网络安全的重要措施,通过对网络信息系统的各项安全要素进行全面的检查,确保系统的安全运行。
本文档旨在提供一个详细的网络信息系统安全检查表范本,以供参考使用。
附件:无二、网络基础设施安全检查1·网络拓扑结构检查●检查网络拓扑结构是否合理,是否存在漏洞和弱点。
●检查网络设备(路由器、交换机、防火墙等)的配置是否符合安全标准。
●检查网络设备是否存在未授权访问的风险。
2·网络访问控制检查●检查网络访问控制策略的设计是否合理,并进行必要的调整。
●检查所有网络入口的身份验证机制是否可靠。
●检查网络访问控制设备(防火墙、入侵检测系统等)是否正常运行。
3·网络安全设备检查●检查防火墙、入侵检测系统、反软件等网络安全设备的配置是否正确,并及时更新。
●检查网络安全设备是否能够实时监控和检测可能的安全威胁。
●检查网络安全设备的日志记录功能是否正常,并进行必要的审计。
4·网络隔离检查●检查网络内外的隔离措施是否有效,并及时修补可能的漏洞。
●检查网络内不同安全等级的区域是否得到适当的隔离。
●检查网络内各个子网的隔离措施是否完善。
5·网络数据备份与恢复检查●检查网络数据备份策略是否合理,并进行必要的调整。
●检查网络数据备份的频率和完整性,并验证其可恢复性。
●检查网络数据恢复程序的有效性和可靠性。
三、应用系统安全检查1·应用软件安全检查●检查核心应用软件的安全漏洞,并及时更新和修复。
●检查应用软件的权限控制机制是否合理,并对权限进行适当管理。
●检查应用软件是否存在安全风险和漏洞,进行必要的修补。
2·数据库安全检查●检查数据库的访问权限是否得到适当控制,并及时修复潜在的安全风险。
●检查数据库是否存在没有加密的敏感数据,并采取必要的加密措施。
●检查数据库备份和恢复程序的有效性和可靠性。
学校网络与信息安全检查表
长春市第一五七中学网络与信息安全检查表
1本表所称国产,是指具有国内品牌,最终产品在中国境内生产,并符合法律法规和政策规定的其他条件。
2本表所称恶意代码,是指病毒木马等具有避开安全保护措施、窃取他人信息、损害他人计算机及信息系统资源、对他人计算机及信息系统实施远程控制等功能的代码或程序。
3本表所称高风险漏洞,是指计算机硬件、软件或信息系统中存在的严重安全缺陷,利用这些缺陷可完全控制或部分控制计算机及信息系统,对计算机及信息系统实施攻击、破坏、信息窃取等行为。
4信息安全事件分级标准参见《国家网络与信息安全事件应急预案》(国办函〔2008〕168号)。
数据安全检查表 - 检查表
与场景对应的脱敏规则、方法、流程等内容
7.部署了脱敏工具,并对敏感数据的脱敏操作进行日志记录
1.工具名称、界面、功能
2.敏感数据的脱敏操作日志记录,尤其是敏感个人信息的脱敏日志
8.支持账号权限管理、访问控制等管控要求
1.支持不同的访问控制粒度
9.支持数据脱敏处理的安全审计
1.隐私政策或用户协议的条款是否明确有采集信息种类、用途、范围、处理方式,及
2.规定个人信息的查询及更正渠道;规定用户提出终止服务时的停止采集要求
是否有个人信息查询和更正的渠道、服务终止时的处理机制,例如用户注销条件,注销后的数据销毁
3.规定涉及个人信息采集授权同意及合规性评估流程
授权同意
4.规定个人信息采集过程中的防泄漏措施
3.规定内部共享的授权审批及安全评估流程,尤其当存在大量或敏感数据的共享场景
1.应包括对本地终端、移动存储介质两种情况的定义
2.介质的使用场景,尤其注意下载操作
7.实现了逻辑存储系统和存储介质的权限管理、访问控制等技术手段
工具展示
8.提供多种加密存储手段(如磁盘加密、文档加密、数据库表行级加密等),满足不同的数据保密要求
至少提供2种不同密级数据的加密方案
9.支持分类分级的差异化数据存储管理
至少应包括:
1.外部服务组件的注册、审核、使用
2.节点间的连接认证
3.节点和用户身份验证
4.副本节点的更新检测、防泄漏等
3.具备数据处理的日志管理工具
1.工具的名称、界面、功能
2.具体日志内容展现
4.具备数据处理过程的防泄漏工具
1.工具的名称、界面、功能
DLP
5.支持不同业务场景下的资源隔离控制
数据库安全检查表
exec sp_displayroles "RoleName", expand_up
15
检查每个用户的详细信息:
exec sp_displayroles UserName, expand_down
16
检查角色中空口令用户:
select name from syssrvroles where password = NULL
23
数
据
级
安
全
权限
检查关键表、过程、触发器的权限,检查赋予public组权限的对象:
use DBName
exec sp_helprotect ObjectName
输出:
1. 用户权限列表
2. 所有对象的权限类型
3. 是否设置WITH GRANT权限
24
存储过程
列出数据库中所有扩展存储过程:
use sybsystemprocs
在集成认证模式中,确认默认登陆角色不是sa ,设置为NULL 或者一个低权限的用户。
4
补丁
查看服务器版本信息
select @@VERSION
5
数据库配置
通用数据库参数
获得当前Server 的配置
exec sp_configure
6
检查输出 'allow updates to system tables'
Syssecmech 表默认并不存在,仅在查询的时候创建,它由以下的列组成:
sec_mech_name 服务器提供的安全机制名
available_service 安全机制提供的安全服务
举例,Windows 网络管理员,其内容将为:
信息安全检查表(1)
□已备案 □已制定但未备案 □未制定
应急技术
支援队伍
□本单位自身力量 □外部专业机构 □未明确
信息安全备份
①重要数据: □备份 □未备份
②重要信息系统:□备份 □未备份
③容灾备份服务:□位于境内 □位于境外 □无
五、信息技术产品使用情况
服务器
总台数:,其中国产台数:
使用国产CPU的服务器台数:
□有技术措施用于控制和管理口令强度 □无技术措施
□无:空口令、弱口令和默认口令 □有
②留言板功能(□开设 □未开设)
□留言内容经审核后发布 □未经审核即可发布
③论坛功能(□开设 □未开设)
□已备案 □未备案
□论坛内容经审核后发布 □未经审核即可发布
④博客功能(□开设 □未开设)
□已作清理,仅限本部门或有关人员使用□未作清理
⑤在非涉密信息系统和涉密信息系统间混用情况:
□不存在 □存在
⑥是否存在使用非涉密计算机处理涉密信息情况:
□不存在 □存在
存储设备
安全管理
①移动存储设备管理方式:
□集中管理,统一登记、配发、收回、维修、报废、销毁
□未采取集中管理相关措施
②在非涉密信息系统和涉密信息系统间混用情况:
□不存在 □存在
四、信息安全应急管理情况
终端计算机
(含笔记本)
总台数:,其中国产台数:
使用国产CPU的计算机台数:
网络设备
总台数:,其中国产台数:
操作系统
①服务器操作系统情况:
安装Windows操作系统的服务器台数:
安装Linux操作系统的服务器台数:
安装其他操作系统的服务器台数:
②终端计算机操作系统情况:
信息安全检查表
1.单位基本情况12.人员资产情况2.1人员组织架构XXX组织架构图如图所示。
(请提供本单位组织架构图)人员职责描述:本人已确认以上所填内容及结果,确认无误。
填表人:22.2信息安全人员情况表2-1 信息安全人员调查表填写说明:1.此表主要涉及与网络安全相关的人员及部门;2.岗位名称:网络管理员、系统管理员、安全管理员、运维管理员、数据库管理员等。
32.3信息安全培训情况表2-2 信息安全培训调查表43.网络资产情况3.1网络拓扑情况表3-1 网络拓扑调查表填写说明:1.此表主要是提供本单位实际的网络拓扑图2.拓扑图中需标明出口、核心架构区域,以及其他网络区域。
53.2单位外联情况表3-2 单位外联调查表填写说明:1.连接对象为外联的单位名称;2.线路类型包括:SDH、MSTP、PTN、VPN(SSL、IPsec)等;63.3网络区域划分情况表3-3 网络区域划分调查表填写说明:1.网络区域包括:服务器域、核心交换域、办公域、外联域、存储域、运维域、终端域等。
74.信息系统资产情况4.1.信息系统等保备案情况表4-1 信息系统等保备案调查表1.定级备案:等级保护一级、等级保护二级、等级保护三级、等级保护四级、等级保护五级。
84.2.信息系统基本情况表4-2 信息系统基本信息调查表1.架构:C/S、B/S;2.维保情况:维保中、已过保(说明过保原因);3.重要程度:非常重要、重要、一般。
94.3.信息系统详细情况表4-3 信息系统详细信息调查表1.业务处理信息类别:a.国家秘密信息、b.非密敏感信息(机构或公民的专有信息)、c.可公开信息;2.用户范围:全国、全省、本地区、本单位;3.访问方式:互联网访问、专网访问、内网访问;4.信息系统的日志类型:访问日志、操作日志。
104.4.信息系统备份情况表4-4 信息系统备份调查表填写说明:1.备份周期:实时备份、非实时备份(请提供备份周期);2.备份介质:NAS(阵列)、外置盘(U盘、硬盘)、网盘、内置硬盘、光盘等。
数据库安全检查表
数据库安全检查表1. 数据库配置- [ ] 确保数据库的默认账户已禁用或已更改用户名和密码- [ ] 检查数据库的监听端口是否安全,避免使用常用端口号- [ ] 启用审计日志功能,记录重要的数据库操作- [ ] 确保数据库的远程访问权限仅限于必要的IP地址2. 数据库访问控制- [ ] 确保每个用户都具有合适的权限,并限制他们的访问范围- [ ] 设置密码策略,包括密码长度、复杂度和定期更改要求- [ ] 禁止共享账户,并追踪用户的登录活动- [ ] 定期检查并删除不再使用的账户3. 数据备份与恢复- [ ] 设置定期自动备份,并确保备份文件的安全存储- [ ] 定期测试数据库的备份和恢复过程- [ ] 检查备份文件的完整性和可用性4. 数据库补丁和更新- [ ] 定期检查数据库供应商的安全补丁和更新- [ ] 及时应用数据库的安全补丁和更新- [ ] 评估并测试补丁的兼容性和可靠性5. 弱点和漏洞管理- [ ] 扫描数据库以检测潜在的弱点和漏洞- [ ] 及时修复发现的弱点和漏洞- [ ] 监控数据库的安全事件和攻击行为6. 安全审计与监控- [ ] 设置安全审计跟踪,并记录关键事件- [ ] 监控数据库资源的使用情况和性能- [ ] 实施入侵检测系统,并监控异常行为7. 数据加密与防护- [ ] 对敏感数据进行加密,并确保加密算法的安全性- [ ] 禁止明文传输数据库连接的数据- [ ] 使用安全的传输协议(如SSL/TLS)保护数据库连接- [ ] 实施访问控制和身份验证机制以防止未经授权的数据访问8. 员工培训与意识- [ ] 提供数据库安全培训给相关员工- [ ] 强调密码安全和常见的安全威胁- [ ] 定期提醒员工注意安全意识和行为以上是数据库安全检查表,应定期执行以确保数据库的安全性。
请按照检查表逐项进行检查并记录相应的改进措施和修复活动。
信息安全MySQL标准检查表全套
MySQL运行在单独的组上
不能在root账户运行MySQL服务器,使用普通非特权用户运行
mysql>id mysql
MySQL不能运行在root用户上,需新建一个专用账户给MySQL数据库
文件权限控制
MySQL的数据目录、日志目录,以及目录下的文件属主和属组只能是mysql账号,不能给予其他账号任何权限
管理员口令策略
至少8位,数字、字母(大小写)、特殊字符组成的不规律密码
mysql>select password from user;
查看密码
密码修改为8位以上,包含数字,字母(大小写),特殊字符三种形式
账号权限策略
除管理员账户之外的其他账户不得拥有系统数据库的任何权限,不得拥有File,Grant,Reload,Shutdown,Process等权限的任意一种
信息安全MySQL标准检查表
MySQL标准检查表
分类
测评项
预期结果
评估操作示例
整改建议
身份鉴别
默认账号要求
不存在默认数据库和默认帐号;
不存在匿名账户;
应用系统应使用新建用户,不得使用系统默认账户。
mysql> show databases;
mysql> select * from user;
只保留单个管理员root和应用系统专用账户
Mysql> set global interactive_timeout=300;
vim f文件,修改其中的port参数为非3306且未被占用的端口
登录终端超时锁定
设置了超时时间,在时间内没有操作,再次操作时就会提示超时
MYSQL>show VARIABLES like '%timeout%';
数据库评审检查表
索引是否正确地建立在查询操作频繁的表上?
注:应将索引建立在查询操作频繁的表上。建立索引的常用原则还包括:
1、使索引最可能被用在where子句中;
2、查询时不应对索引列作函数运算,否则应建立函数索引;
3、在大型表上建立索引有可能降低查询效率,可以将大表分区后建立分区索引;
4、……
22
索引是否尽量避免建立在大容量字段上?
17
主键是否采用系统生成的键?如果不是,理由是否充分。
注:现在的设计越来越倾向于使用系统生成的键作为主键,而不使用带有业务含义的主键。由系统生成的主键字段通常包括:自增长列、序列、GUID。
18
是否尽量避免将可能变动的字段作为主键?
注:如果不使用系统生成的键,那么应该避免将可能变动的键作为主键。
19
注:在数据库设计中应该充分考虑新系统与现有系统的关系,与现有系统的接口应被充分考虑。
4
如果基础数据的一部分来源于其他系统,那么是否有工具或方案实现快速导入?
注:如果有必要,应该设计工具或者方案将来源于其他系统的数据快速导入数据库。
5
反规范化(违反3NF)的设计是否有明确的说明,理由是否充分?
注:反规范化的设计有时是必要的,但是要注明理由。通常的理由包括:
如果外键字段未建立NOT NU..约束,那么理由是否充分。
注:外键字段要么引用关联表的主键,要么为空。如果置空的外键字段有确定的业务含义,那么最好将这样的“业务含义”定义在外键关联表中,并且在外键字段上建立not nu..约束。
利用数据库的约束机制(例如键、非空、唯一、check、触发器等)——而不是应用程序,保证数据完整性。
7
孤立表的设计理由是否充分?
注:设计中应该对孤立表的设计理由作出明确的说明。
数据库设计说明书检查表
是否包含对结构设计结构设计的说明,包含概念结构设计、逻辑结构设计、物理结构设计、审查全面性和业务符合性。
▢是▢否
是否包含对运用设计的说明,包含数据字典设计、安全保密设计,审查全面性和业务符合性。
▢是▢否
承建单位(盖章):
负责Байду номын сангаас:
日期:
建设单位(盖章):
项目经理:
日期:
监理机构(盖章):
监理工程师:
日期:
数据库说明书检查表
工程名称
系统名称
建设单位
承建单位
监理机构
检查依据
招标文件;项目可行性研究报告;国家及行业相关标准等
检查类目
检查内容
检查结果
备注
是否包含本工程及数据库说明书的背景说明,包括编写目的、背景、定义、参考资料等。
▢是▢否
是否包含对外部的设计说明,包含标识符和状态、使用它的程序、约定、专门指导、支持软件等,审查全面性和业务符合性。
MySql CheckList-Mysql数据库安全配置检查表
3、检查是否使用5.0以上版本
○已设置○未设置
○完成○未ቤተ መጻሕፍቲ ባይዱ成
其他:
数据库账户列表
1、用ROOT账户连接MYSQL
2、输入以下命令:
Select user from er
3、记录user信息
○已设置○未设置
○完成○未完成
其他:
数据库远程连接
1、用ROOT账户连接MYSQL
2、输入以下命令:
Select host,user from er where host=‘%’
3、记录user信息
○已设置○未设置
○完成○未完成
其他:
MySql检查加固列表
应用信息
数据库版本:
安装路径:
数据库端口:
检查及加固列表
检查类型
检查子类
操作流程
检查情况
加固情况
程序配置
弱密码检测
1、尝试以下密码登陆ROOT账户
root、root123、12345、null
○已设置○未设置
○完成○未完成
其他:
MySql版本
1、用ROOT账户连接MYSQL
2、输入以下命令:
网络信息安全检查表(Word)
类别
检查项目
检查内容
检查要求
组织管理与规章制度
网络与信息安全管理组织
信息安全责任制落实情况
明确信息安全主管领导、责任人、信息安全管理员,制定岗位职责文件和操作规程等(要提供相应文档)
信息安全培训情况
信息安全责任人、管理员定期参加有关单位的信息安全培训。对本单位全体人员进行了信息安全培训(提供培训计划、培训内容、培训成绩、人员)
保密技术措施
涉密计算机网络管理
须由取得保密资质的公司承建,开通运行前须经保密部门审批(提供涉密资质证书复印件和保密部门批文)
外网和互联网上处涉密或内部敏感信息
禁止在公务外网和互联网上处理涉密或内部敏感信息
违规外联监控
有内部用户违规外联的监控措施和管理措施
涉密存储介质
按照保密管理规定对涉密存储介质的发放、使用、销毁进行管理。移动存储介质必须专网(机)专用,严禁在内外网之间混用。
采取口令、智能卡、数字证书或生物识别等鉴别机制,并对口令等鉴别机制制定了详细的管理措施
主机安全
多余默认账号和无关服务
多余默认账号和无关服务必须关停
日常管理工作
信息安全管理策略情况
制定了详细的信息安全管理策略,并有专人负责,定期进行检查(要提供检查纪录)
信息安全测评、系统安全定级、信息安全检查和风险评估工作
有工作开展的相关文档、记录、总结
规章制度情况
网络与信息安全政策落实情况
国家有关网络与信息安全文件(计算机信息网络国际联网安全保护管理办法等)的落实情况
提供测评资质复印件病毒库是最新发布的其他技术措施信息安全产品和网络产品进行了安全配置要有配置文档信息安全测试现场技术测试漏洞扫描测试扫描网络设备交换机路由器防火墙等服务器操作系统和数据库是否存在漏洞保密性测试测试涉密和敏感信息传输存储中保密性入侵防范测试测试系统入侵防范能力防火墙安全规则设置正确性测试测试防火墙安全规则设置是否正确网络结构安全性测试测试核心交换机核心路由器配置是否正确网络结构是否正确注
数据迁移验证确认和检查表
默认设置
验证和确认默认设置是否正确
约束
验证和确认约束总数是否一致
验证和确认约束名称是否符合
验证和确认主键、外键、检查、空值和默认约束是否正确
规则
验证和确认规则总数是否一致
验证和确认规则名称是否符合
验证和确认目标数据库中的规则条件和逻辑是否正确
游标
验证和确认游标总数是否一致
验证和确认表名称是否符合设计
▢是▢否
验证和确认目标与来源数据库表每个表的列数是否一致
▢是▢否
验证和确认每个数据类型映射和大小是否正确
▢是▢否
验证和确认用户定义的数据类型是否正确(如果存在)
验证和确认默认值是否正确
验证和确认空值是否匹配
验证和确认身份列是否正确
验证和确认主键和外键约束是否正确
验证和确认主键、触发器和系统过程等对象的依赖关系是否正确
验证和确认目标索引是否符合
存储过程
验证和确认目标数据与来源数据库系统过程总数是否一致
验证和确认过程名称是否符合
验证和确认是否存在任何用户定义的数据类型
▢是▢否
验证和确认输入/输出参数和数据类型是否正确
▢是▢否
验证和确认返回值和返回数据类型是否正确
▢是▢否
验证和确认事务模式(连锁/未连锁--@tranchained)是否符合
验证和确认系统和环境符合要求
▢是▢否
验证和确认数据库增长是否符合设计
▢是▢否
验证和确认安全设计是否符合要求
▢是▢否
验证和确认系统日志的结构是否符合要求
▢是▢否
验证和确认事务日志的结构是否符合要求
▢是▢否
验证和确认并发性控制是否符合要求
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
当一个用户创建一个数据库对象或数据库授权等 检查是否设置跟踪隐式的特权 操作时,数据库管理器会隐式地将一些特权授给
用户
授权安全
是否分配数据库用户所需的最 小权限
检查用户许可和特权
在数据库权限配置能力内,根据用户的业务需 要,配置其所需的最小权限
检查当前用户权是否执行随机安全审计
检查数据库版本是否过旧
安全补丁
检查是否更新了补丁
应该对数据库执行随机安全审计。您也可以在得 使您相信有人试图威胁系统安全的信息后,执行 审计
检查DB2数据库版本,查看是否为最新版,如此 版本存在漏洞,则进行升级。
更新补丁,减少系统安全隐患。 通过db2level获取的修补代码与修订包发行号进 行比较。
检查项目 检测内容
说明
是否删除不必要的帐号
应删除与数据库运行、维护等工作无关的帐号
帐号及口令
安全 检查用户口令是否符合安全规
范
1.对用户的属性进行安全检查,包括空密码、密 码更新时间等。 2.修改目前所有帐号的口令,确认为强口令。口 令长度至少8位,并包括数字、小写字母、大写 字母和特殊符号四类中至少两类。 3.5次以内不得设置相同的口令。 4.密码应至少每90天进行更换 特别说明:如省公司反映有可能影响业务,则应 对应采取必要的监控手段,要求在帐号进行暴力 破解或恶意尝试时,需要能及时发现
检查方法
检查脚本
脚本 基线工具
方法一: DB2企业管理器-〉安全性-〉 登1.陆检中查删pa除ss无wo关rd帐字号段;是否为 null 2.参考配置操作 查看用户状态 运行查询分析器,查看口令为 空的用户
人工检查 基线工具 基线工具 基线工具
$db2 get dbm cfg|grep
"AUTH"
安全策略
是否使用加密的
检查是否使用了加密的认证模式
AUTHENTICATION模式
Db2 认证方式:
检查是否为SYSxxx_GROUP 参数 S为ERSVYESRxxx_GROUP参数使用显式值
使用显式值
检查是否从PUBLIC撤销隐式的 当一个用户创建一个数据库对象时,数据库管理
权限和特权
器会隐式地将一些特权授给用户
检查每个用户的许可,是否存
脚本
检查是否存在 $HOME/sqllib/db2dump/db2di ag.log
脚本 脚本
检查当前所有已安装的数据库 产品的版本信息 11)) 以以DDBB22用用户户登登陆陆 2) 运行db2level,输出格式 为:
# 输出结果类
似$d:b2 get dbm cfg|grep
"SYS"
$db2 get dbm cfg|grep "public"
运行 get dbm cfg 查看状 态,并记录
1. 更改数据库属性,取消业 基线工具+人工辅助 务数据库帐号不需要的服务器
角打色开;Control Center 查看授 基线工具+人工辅助 予许可;