数据库全产品等保和分保的要求

数据库全产品等级保护要求

信息安全等级保护，是指对国家秘密信息、公民、法人和其他组织的专有信息、公开信息及存储、传输、处理这些信息的信息系统分等级实行安全保护，对信息系统中使用的信息安全产品实行按等级管理，对信息系统中产生的信息安全事件分等级响应、处置。

为了保证国家信息安全，国家相关部门颁布的《GB 17859-1999 计算机信息系统安全保护等级划分准则》、在2004年11月公安部、国家保密局 、国家密码管理委员会办公室、国务院信息化工作办公室四部委会签《关于信息安全等级保护工作的实施意见》（公通字[2004]66号），规定了计算机信息系统安全保护能力从用户自主到访问验证的五个等级。政府机构、大型企业等不同机构可以根据国家的要求，遵循不同的等级保护准则。

依据《关于开展全国重要信息系统安全等级保护定级工作的通知》公信安【2007】861号文件要求，重要信息系统安全等级保护定级工作定级范围如下：

电信、广电行业的公用通信网、广播电视传输网等基础信息网络，经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统。

铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统。 市（地）级以上党政机关的重要网站和办公信息系统。

等级 对象 侵害客体 侵害程度 监管强度 第一级

一般系统

合法权益

损害 自主保护

第二级

合法权益

严重损害

指导

社会秩序和公共利益 损害 第三级

重要系统

社会秩序和公共利益

严重损害 监督检查

国家安全

损害 第四级

社会秩序和公共利益

特别严重损害

强制监督检查

国家安全 严重损害

第五级

极端重要系统

国家安全

特别严重损害 专门监督检查

涉及国家秘密的信息系统

《信息安全技术信息系统安全等级保护基本要求(GB/T 22239-2008)》将息系统等级保护的安全基本要求分为技术要求和管理要求两大类。基本技术要求从物理安全、网络安全、主机系统安全、应用安全和数据安全几个层面提出安全要求；基本管理要求从安全管信理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理几个方面提出安全要求。

解决方案

等保二级要求及应答

项目分

类

指标类考察项基本要求产品及实现

第二级

主机安

全

访问控

制(S2)

a)应启用访问控制功能，依据安全策略

控制用户对资源的访问

b)应实现操作系统和数据库系统特权用

户的权限分立；

产品：数据库防火墙、数据库监控扫描

a)实现：通过数据库防火墙访问控制功能，可基于

IP、SQL语句，操作时间、客户端、关键字等条件

制定相应的访问控制策略

b)实现：通过数据库监控扫描对权限配置不合理进

行扫描，同时通过数据库防火墙进行二次的访问控

制

安全审

计(G2)

a)审计范围应覆盖到服务器上的每个操

作系统用户和数据库用户

b)审计内容应包括重要用户行为、系统

资源的异常使用和重要系统命令的使用

等系统内重要的安全相关事件

c)审计记录应包括事件的日期、时间、

类型、主体标识、客体标识和结果等。

d)应保护审计记录，避免受到未预期的

删除、修改或覆盖等。

产品：数据库审计

a)、b、)c)实现：通过数据库审计或者数据库防火

墙的审计功能，对服务器上的每个操作系统用户和

数据库用户进行审计，可对发生时间、客户端IP

地址、客户端MAC、终端程序、访问账号、访问数

据库名、操作表名、SQL语句、数据库响应时间以

及返回结果等关键信息进行审计

d)实现：数据库审计或者数据库防火墙产品的具备

独立的日志存储功能，且按照三权分立设置，审计

等保三级要求及应答

分保要求