信息安全说明
最近更新时间: 2024-10-17 17:10:00
特对本文做如下声明
- 本文档意在向客户介绍云平台对于云数据库产品、服务的安全概况,部分产品、服务的内容可能有所调整。如您对此有强制要求,建议您与云平台以书面商业合同(SLA)进行约定。否则,云平台对本文档内容不做任何明示或模式的承诺或保证。
- 安全特性范围较广,本文仅涉及“部分”技术安全要点。
- 本文档不作为国家或行业信息安全相关标准、要求参考文档。
- 本文经过可阅读性加工,若存在描述不准确的地方请参考第1点。
- 文档解释权归云平台所有。
1、概述
云数据库通过下列认证并符合下列认证的安全要求:
ISO22301认证
ISO27001认证
ISO20000认证
ISO9001认证
可信云服务认证
信息安全等级保护(三级)
STAR认证
云数据库部分功能设计也参考:
GB/T 20273-2006 信息安全技术 数据库管理系统安全技术要求
GB/T22240-2008 信息安全技术信息系统安全等级保护定级指南
JR/T 0072-2012 金融行业信息系统信息安全等级保护测评指南
其他法律法规及标准
2、云平台云数据库服务安全保障(运维安全说明)
2.1 综述
云数据库的管理安全与技术安全要求符合国家信息安全等级保护(三级),部分要求达到金融行业信息安全(四级)标准。
2.2 内部人员、系统身份鉴别
为提高数据库主机系统安全性,保障各种运维的安全性,云平台进行一系列的加固措施,包括但不限于:
对登录操作系统和数据库系统的用户进行身份标识和鉴别,且保证用户名的唯一性。
根据基本要求配置用户名/口令;口令必须具备采用3种以上字符、长度不少于8位并定期更换。
启用登录失败处理功能,登录失败后采取结束会话、限制非法登录次数和自动退出等措施。
远程管理时通过企业IT监控下的访问方式,提供内部风控审计,敏感操作均进行加密。
对数据库主机管理员登录运维系统进行双因素认证方式,即采用动态令牌+密码进行身份鉴别。
2.3 内部人员、系统访问控制
云数据库管理系统和管理人员提供自主访问控制方案,包括但不限于:
内部运维人员和系统全部基于云平台安全策略进行控制(满足审核要求)。
主体的粒度为用户级,客体的粒度精确到数据库表级。
提供严格的代码管理和访问控制。
高危系统仅内网(开发网)可访问;与互联网严格物理隔离。
2.4 内部入侵防范
针对数据库主机的入侵防范,云平台已经从多个角度进行处理:
入侵检测系统可以起到防范针对数据库主机的入侵行为。
部署漏洞扫描并定期进行系统安全性检测。
部署终端安全管理系统,开启补丁分发功能模块及时进行系统补丁升级。
操作系统的安装遵循最小安装的原则,仅安装需要的组件和应用程序,关闭多余服务等。
另外根据系统类型进行其它安全配置的加固处理。
2.5 备份与恢复
云数据库默认提供数据的备份与恢复功能。
2.6 客体安全重用
若客户退还设备或故障更换设备,云平台将及时清除剩余信息,从而保证用户的鉴别信息、文件、目录、数据库记录等敏感信息所在的存储空间(内存、硬盘)被及时释放或再分配给其他用户前得到完全清除。
2.7 抗抵赖
内部运维人员登录系统,均通过双因素认证和抗抵赖方案,相关人员均签订了保密协议。