数据库安全检查基准规范

地纬数码科技有限有限公司

2008.8.12

修订历史记录

一、MSSQL数据库安全检查

1.检查数据库软件是否为最新版本，版本不低于SQL2000 SP4/SQL2005 SP2的安全要求。

2.检查是否存在多个sysadmin帐号，原则上仅sa用户拥有sysadmin权限。

3.检查普通用户对master数据库是否拥有DB_OWNER权限，控制master数据库可以进行提权攻击。

4.检查数据库用户是否存在弱口令。

5.检查MSSQL是否对失败登录事件进行审计。

6.检查各数据库中是否存在可疑表，类似jiaozhu、command、D99_Tmp、comd_list、D99_CMD、xiaolu、

DIY_TEMPCOMMAND_TABLE、dirs、Reg_Arrt、t_jiaozhu等，此为SQL注入攻击工具遗留的临时表。

7.MSSQL的OPENROWSET支持导出数据到远程其他SQL SERVER中，检查IPSEC是否禁止数据库服

务器连接不可信的远程主机。

8.MSSQL远程通讯协议TDS易破解，远程登录信息易被嗅探还原成明文，远程SQL通讯建议另外建立

SSL加密隧道。

9.检查是否使用sysamdin帐号连接应用数据库，原则上应用数据库只能由普通帐号连接，sysadmin帐号仅

用于日志数据库系统管理。

10.检查是否存在以下默认存储过程，建议删除：

a)xp_cmdshell 执行系统命令

b)xp_regread 读注册表

c)xp_regwrite 写注册表

d)xp_dirtree DIR查询目录和文件列表

e)sp_oacreate 执行系统命令

f)sp_oamethod 执行系统命令

g)sp_makewebtask 执行系统命令

h)sp_msforeachtable 循环删除当前数据库所有表(无需知道表名)

二、MYSQL数据库安全检查

1.检查数据库软件是否为最新版本，版本不低于4.1.22/5.0.45的安全要求。

2.检查mysql数据库的user表，是否存在空口令、弱口令用户。

3.检查mysql数据库的user表，是否对用户的‘Host’做严格限制。

4.检查root帐号的网络连接，原则上任何应用系统均不允许使用root帐号远程连接数据库。

5.检查mysql数据库的func表，是否存在被添加的自定义函数，默认为空，如果存在则为MYSQL UDF 攻

击。

6.检查test数据库中是否存在新建的表，默认为空，进行UDF攻击可能会使用此数据库做文件上传。

7.检查各数据库表属性是否设置了?CHARACTER SET 'GBK'?，拥有GBK字符属性的表，即使PHP对变

量做了addslashes特殊字符转义，依然可能进行字符型(单引号)SQL注入攻击。

8.检查LINUX系统中运行mysqld进程的用户权限，禁止使用root运行，默认mysql用户权限。

9.Win32版本mysqld.exe禁止使用默认的SYSTEM权限运行，修改为普通用户运行。

10.LINUX系统命令行登录MYSQL，禁止在命令中直接输入密码，以免命令历史文件.bash_history里泄漏。

研发部门数据库管理规范标准

版/次：2015.11.19 数据库管理规编制：钱凌杰审核：批准：分发号： XXX信息科技 2015年11月

目录一、总则 (3) 二、适用围 (3) 三、数据库管理员主要职责 (3) 四、数据库的日常管理工作 (3) 4.1每日的管理工作 (3) 4.2数据库管理的每月工作 (4) 4.3数据库管理的每年工作 (4) 五、数据库的安全管理 (5) 5.1数据库环境安全 (5) 5.2数据库系统安装、启动与更新时的安全规定 (5) 5.3安全和口令策略 (6) 5.4访问控制 (8) 5.5紧急事故的处理 (8) 5.6数据库文件管理 (9) 5.7数据库安全管理 (9) 六、备份与恢复 (9) 6.1备份方式及策略 (10) 6.2备份要求 (10) 6.3恢复的管理 (11) 6.4对长期保存的备份进行校验 (12) 6.5异地容灾备份 (12) 七、日志及监控审计 (12) 7.1审计围 (12) 7.2日志保存 (12) 7.3日志访问 (13) 7.4安全审计 (13) 八、数据存放、归档管理 (13) 九、附则 (14)

一、总则为规XXX信息科技（以下简称“公司”）信息系统的数据库管理和配置方法，保障信息系统稳定安全地运行，特制订本办法。二、适用围本规中所定义的数据管理容，特指存放在信息系统数据库中的数据，对于存放在其他介质的数据管理，参照相关管理办法执行。三、数据库管理员主要职责 1、负责对数据库系统进行合理配置、测试、调整，最大限度地发挥设备资源优势。负责数据库的安全运行。 2、负责定期对所管辖的数据库系统的配置进行可用性，可靠性，性能以及安全检查。 3、负责定期对所管辖的数据库系统的可用性，可靠性，性能以及安全的配置方法进行修订和完善。 4、负责对所管辖的数据库系统运行过程中出现的问题及时处理解决。 5、负责对所管辖数据库系统的数据一致性和完整性，并协助应用开发人员、使用操作等相关人员做好相关的配置、检查等工作。 6、负责做好数据库系统及数据的备份和恢复工作。四、数据库的日常管理工作 4.1每日的管理工作数据库管理员每天登录到服务器操作系统，进行如下检查工作：

软件工程-数据库设计规范与命名规则

数据库设计规范、技巧与命名规范一、数据库设计过程数据库技术是信息资源管理最有效的手段。数据库设计是指：对于一个给定的应用环境，构造最优的数据库模式，建立数据库及其应用系统，有效存储数据，满足用户信息要求和处理要求。数据库设计的各阶段： A、需求分析阶段：综合各个用户的应用需求(现实世界的需求)。 B、在概念设计阶段：形成独立于机器和各DBMS产品的概念模式(信息世界模型)，用E-R图来描述。 C、在逻辑设计阶段：将E-R图转换成具体的数据库产品支持的数据模型，如关系模型，形成数据库逻辑模式。然后根据用户处理的要求，安全性的考虑，在基本表的基础上再建立必要的视图(VIEW)形成数据的外模式。 D、在物理设计阶段：根据DBMS特点和处理的需要，进行物理存储安排，设计索引，形成数据库内模式。 1. 需求分析阶段需求收集和分析，结果得到数据字典描述的数据需求(和数据流图描述的处理需求)。需求分析的重点：调查、收集与分析用户在数据管理中的信息要求、处理要求、安全性与完整性要求。需求分析的方法：调查组织机构情况、各部门的业务活动情况、协助用户明确对新系统的各种要求、确定新系统的边界。常用的调查方法有：跟班作业、开调查会、请专人介绍、询问、设计调查表请用户填写、查阅记录。分析和表达用户需求的方法主要包括自顶向下和自底向上两类方法。自顶向下的结构化分析方法(Structured Analysis，简称SA方法)从最上层的系统组织机构入手，采用逐层分解的方式分析系统，并把每一层用数据流图和数据字典描述。数据流图表达了数据和处理过程的关系。系统中的数据则借助数据字典(Data Dictionary，简称DD)来描述。 2. 概念结构设计阶段通过对用户需求进行综合、归纳与抽象，形成一个独立于具体DBMS的概念模型，可以用E-R图表示。概念模型用于信息世界的建模。概念模型不依赖于某一个DBMS支持的数据模型。概念模型可以转换为计算机上某一 DBMS 支持的特定数据模型。概念模型特点： (1) 具有较强的语义表达能力，能够方便、直接地表达应用中的各种语义知识。 (2) 应该简单、清晰、易于用户理解，是用户与数据库设计人员之间进行交流的语言。概念模型设计的一种常用方法为IDEF1X方法，它就是把实体-联系方法应用到语义数据模型中的一种语义模型化技术，用于建立系统信息模型。使用IDEF1X方法创建E-R模型的步骤如下所示:

Oracle数据库安全配置规范华为

目录 1概述 (2) 1.1适用范围 (2) 1.2内部适用性说明 .......................................................................................................... 错误！未定义书签。 1.3外部引用说明 .............................................................................................................. 错误！未定义书签。 1.4术语和定义 .................................................................................................................. 错误！未定义书签。 1.5符号和缩略语 (2) 2ORACLE安全配置要求 (2) 2.1账号 (2) 2.2口令 (7) 2.3日志 (11) 2.4其他 (13)

1概述 1.1适用范围本规范明确了Oracle数据库安全配置方面的基本要求。 1.2符号和缩略语 2ORACLE安全配置要求本规范所指的设备为ORACLE数据库。本规范提出的安全配置要求，在未特别说明的情况下，均适用于ORACLE数据库。本规范从ORACLE数据库的认证授权功能、安全日志功能，和其他自身安全配置功能提出安全要求。 2.1账号 ORACLE应提供账号管理及认证授权功能，并应满足以下各项要求。 2.1.1按用户分配帐号

专题数据库建设推荐标准规范

专题数据库建设推荐标准规范（一）数据采集规范 1.数据来源包括在人文社会科学研究过程中采集、加工和积累的研究数据。 2.采集对象包括社会调查、统计分析、案例集成、基础文献等一手数据和原始资料。 3.数据类型包括数值、文本、图片、音频、视频和空间数据等。 4.采集方式包括自动采集、半自动采集和手工采集等。（二）数据加工规范 1.数字对象唯一标识符规范采用《我国数字图书馆标准规范建设》项目（CDLS）所推荐的唯一标识符体系以及数据中心规定的相关标准。 2.专题数据库的核心元数据应符合《TR-REC-014数据集核心元数据规范》及数据中心的相关要求。 3.音频资料描述元数据规范及著录规则，遵循《CDLS-S05-031音频资料描述元数据规范》和《CDLS-S05-032音频资料元数据著录规则》所推荐的一系列相关标准以及数据中心规定的相关标准。 4.其它资料描述元数据规范及著录规则，遵循《我国数字图书馆标准规范建设》项目（CDLS）所推荐的一系列相关标准及数据中心规定的相关标准。

5.各类接口所实现服务的标识应符合《TR-REC-017资源唯一标识规范》的相关规范要求。 6.文本、图片、音频、视频等各类型数据能够转换为数据中心规定的数字文件格式。 7.专题数据库数据的加工过程需严格执行两重审核制度，保证数据格式符合规定标准。（三）数据库系统规范 1.专题数据库系统平台必须使用正版数据库管理系统软件，推荐使用关系数据库管理系统，遵守SQL语言系列标准。 2.专题数据库系统平台应具备数据备份及容灾机制，重要数据应进行异地备份。 3.专题数据库系统平台应具备一定的扩充能力，系统的模块化程度高，软件维护方便。 4.专题数据库系统平台应遵循中国国家标准GB/T 20273-2006《数据库管理系统安全技术要求》，具有切实可行的安全保护和保密措施，确保数据永久安全。（四）专题数据库应用系统规范 1.专题数据库应用系统至少包括数据采集、数据加工、数据检测、数据浏览、数据检索、用户管理和数据维护七大类功能。 2.专题数据库应用系统至少支持开放数据访问接口、开放索引数据收割接口和开放服务状态监控接口三类功能接口。 3.专题数据库应用系统向数据中心提供访问完整数据记

Microsoft_SQL_Server安全配置风险评估检查表

Microsoft SQL Server数据库系统安全配置基线目录第1章概述 (2) 1.1 目的 (2) 1.2 适用范围 (2) 1.3 适用版本 (2) 第2章口令 (3) 2.1 口令安全 (3) 2.1.1 SQLServer用户口令安全 (3) 第3章日志 (4) 3.1 日志审计 (4) 3.1.1 SQLServer登录审计 (4) 3.1.2 SQLServer安全事件审计 (4) 第4章其他 (6) 4.1 安全策略 (6) 4.1.1 通讯协议安全策略 (6) 4.2 更新补丁 (6) 4.2.1 补丁要求 (6)

第1章概述 1.1 目的本文档规定了SQL Server 数据库应当遵循的数据库安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行SQL Server 数据库的安全合规性检查和配置。 1.2 适用范围本配置标准的使用者包括：数据库管理员、应用管理员、网络安全管理员。 1.3 适用版本 SQL Server系列数据库；

第2章口令 2.1 口令安全 2.1.1SQLServer用户口令安全安全基线项数据库管理系统SQLServer用户口令安全基线要求项目名称安全基线SBL-SQLServer-02-01-01 安全基线项对用户的属性进行安全检查，包括空密码、密码更新时间等。修改目前所有说明账号的口令，确认为强口令。特别是sa 账号，需要设置至少10位的强口令。检测操作步 1.检查password字段是否为null。骤 2.参考配置操作查看用户状态运行查询分析器，执行 select * from sysusers Select name,Password from syslogins where password is null order by name # 查看口令为空的用户 password字段不为null。基线符合性判定依据备注

数据安全管理规范标准[详]

业务平台安全管理制度 —数据安全管理规范

XXXXXXXXXXX公司网络运行维护事业部目录一. 概述 (1) 二. 数据信息安全管理制度 (2) 2.1数据信息安全存储要求 (2) 2.2数据信息传输安全要求 (2) 2.3数据信息安全等级变更要求 (3) 2.4数据信息安全管理职责 (3) 三. 数据信息重要性评估 (5) 3.1数据信息分级原则 (5) 3.2数据信息分级 (5) 四. 数据信息完整性安全规范 (7)

五. 数据信息保密性安全规范 (8) 5.1密码安全 (8) 5.2密钥安全 (9) 六. 数据信息备份与恢复 (11) 6.1数据信息备份要求 (11) 6.1.1 备份要求 (11) 6.1.2 备份执行与记录 (11) 6.2备份恢复管理 (12)

一. 概述数据信息安全，顾名思义就是要保护数据信息免受威胁的影响，从而确保业务平台的连续性，缩减业务平台有可能面临的风险，为整个业务平台部门的长期正常运行提供强有力的保障。为加强数据信息的安全管理，保证数据信息的可用性、完整性、机密性，特制定本规范。

二. 数据信息安全管理制度 2.1 数据信息安全存储要求数据信息存储介质包括：纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。存储介质管理须符合以下规定： ◆包含重要、敏感或关键数据信息的移动式存储介质须专人值守。 ◆删除可重复使用存储介质上的机密及绝密数据时，为了避免在可移动介质上遗留信息，应该对介质进行消磁或彻底的格式化，或者使用专用的工具在存储区域填入无用的信息进行覆盖。 ◆任何存储媒介入库或出库需经过授权，并保留相应记录，方便审计跟踪。 2.2 数据信息传输安全要求 ◆在对数据信息进行传输时，应该在风险评估的基础上采用合理的加密技术，选择和应用加密技术时，应符合以下规范： ?必须符合国家有关加密技术的法律法规； ?根据风险评估确定保护级别，并以此确定加密算法的类型、属性，以及所用密钥的长度；

数据库设计和编码规范

数据库设计和编码规范 Version

简介读者对象此文档说明书供开发部全体成员阅读。目的一个合理的数据库结构设计是保证系统性能的基础。一个好的规范让新手容易进入状态且少犯错，保持团队支持顺畅，系统长久使用后不至于紊乱，让管理者易于在众多对象中，获取所需或理清问题。同时，定义标准程序也需要团队合作，讨论出大家愿意遵循的规范。随着时间演进，还需要逐步校订与修改规范，让团队运行更为顺畅。数据库命名规范团队开发与管理信息系统讲究默契，而制定服务器、数据库对象、变量等命名规则是建立默契的基本。命名规则是让所有的数据库用户，如数据库管理员、程序设计人员和程序开发人员，可以直观地辨识对象用途。而命名规则大都约定俗成，可以依照公司文化、团队习惯修改并落实。规范总体要求 1.避免使用系统产品本身的惯例，让用户混淆自定义对象和系统对象或关键词。例如，存储过程不要以sp_或xp_开头，因为SQL SERVER的系统存储过程以 sp_开头，扩展存储过程以xp_开头。 2.不要使用空白符号、运算符号、中文字、关键词来命名对象。 3.名称不宜过于简略，要让对象的用途直观易懂，但也不宜过长，造成使用不方便。 4.不用为数据表内字段名称加上数据类型的缩写。 5.名称中最好不要包括中划线。

6.禁止使用[拼音]+[英语]的方式来命名数据库对象或变量。数据库对象命名规范我们约定，数据库对象包括表、视图（查询）、存储过程（参数查询）、函数、约束。对象名字由前缀和实际名字组成，长度不超过30。避免中文和保留关键字，做到简洁又有意义。前缀就是要求每种对象有固定的开头字符串，而开头字符串宜短且字数统一。可以讨论一下对各种对象的命名规范，通过后严格按照要求实施。例如：

数据库设计方法、规范与技巧

数据库设计方法、规范与技巧一、数据库设计过程数据库技术是信息资源管理最有效的手段。数据库设计是指对于一个给定的应用环境，构造最优的数据库模式，建立数据库及其应用系统，有效存储数据，满足用户信息要求和处理要求。数据库设计中需求分析阶段综合各个用户的应用需求（现实世界的需求），在概念设计阶段形成独立于机器特点、独立于各个DBMS产品的概念模式（信息世界模型），用E-R图来描述。在逻辑设计阶段将E-R图转换成具体的数据库产品支持的数据模型如关系模型，形成数据库逻辑模式。然后根据用户处理的要求，安全性的考虑，在基本表的基础上再建立必要的视图（VIEW）形成数据的外模式。在物理设计阶段根据DBMS特点和处理的需要，进行物理存储安排，设计索引，形成数据库内模式。 1. 需求分析阶段需求收集和分析，结果得到数据字典描述的数据需求（和数据流图描述的处理需求）。需求分析的重点是调查、收集与分析用户在数据管理中的信息要求、处理要求、安全性与完整性要求。需求分析的方法：调查组织机构情况、调查各部门的业务活动情况、协助用户明确对新系统的各种要求、确定新系统的边界。常用的调查方法有：跟班作业、开调查会、请专人介绍、询问、设计调查表请用户填写、查阅记录。分析和表达用户需求的方法主要包括自顶向下和自底向上两类方法。自顶向下的结构化分析方法（Structured Analysis，简称SA方法）从最上层的系统组织机构入手，采用逐层分解的方式分析系统，并把每一层用数据流图和数据字典描述。数据流图表达了数据和处理过程的关系。系统中的数据则借助数据字典（Data Dictionary，简称DD）来描述。数据字典是各类数据描述的集合，它是关于数据库中数据的描述，即元数据，而不是数据本身。数据字典通常包括数据项、数据结构、数据流、数据存储和处理过程五个部分(至少应该包含每个字段的数据类型和在每个表内的主外键)。数据项描述＝｛数据项名，数据项含义说明，别名，数据类型，长度，取值范围，取值含义，与其他数据项的逻辑关系｝数据结构描述＝｛数据结构名，含义说明，组成:｛数据项或数据结构｝｝数据流描述＝｛数据流名，说明，数据流来源，数据流去向，组成:｛数据结构｝，平均流量，高峰期流量｝数据存储描述＝｛数据存储名，说明，编号，流入的数据流，流出的数据流，组成:｛数据结构｝，数据量，存取方式｝处理过程描述＝｛处理过程名，说明，输入:｛数据流｝，输出:｛数据流｝, 处理:｛简要说明｝｝ 2. 概念结构设计阶段通过对用户需求进行综合、归纳与抽象，形成一个独立于具体DBMS的概念模型，可以用E-R图表示。概念模型用于信息世界的建模。概念模型不依赖于某一个DBMS支持的数据模型。概念模型可以转换为计算机上某一DBMS支持的特定数据模型。概念模型特点： (1) 具有较强的语义表达能力，能够方便、直接地表达应用中的各种语义知识。 (2) 应该简单、清晰、易于用户理解，是用户与数据库设计人员之间进行交流的语言。概念模型设计的一种常用方法为IDEF1X方法，它就是把实体-联系方法应用到语义数据模型中的一种语义模型化技术，用于建立系统信息模型。使用IDEF1X方法创建E-R模型的步骤如下所示: 2.1 第零步——初始化工程

Web应用安全风险评估检查表

Web应用安全配置基线目录第1章概述 (3) 1.1 目的 (3) 1.2 适用范围 (3) 1.3 适用版本 (3) 第2章身份与访问控制 (4) 2.1 账户锁定策略 (4) 2.2 登录用图片验证码 (4) 2.3 口令传输 (4) 2.4 保存登录功能 (5) 2.5 纵向访问控制 (5) 2.6 横向访问控制 (5) 2.7 敏感资源的访问 (6) 第3章会话管理 (7) 3.1 会话超时 (7) 3.2 会话终止 (7) 3.3 会话标识 (7) 3.4 会话标识复用 (8) 第4章代码质量 (9) 4.1 防范跨站脚本攻击 (9) 4.2 防范SQL注入攻击 (9) 4.3 防止路径遍历攻击 (9) 4.4 防止命令注入攻击 (10) 4.5 防止其他常见的注入攻击 (10) 4.6 防止下载敏感资源文件 (11) 4.7 防止上传后门脚本 (11) 4.8 保证多线程安全 (11) 4.9 保证释放资源 (12) 第5章内容管理 (13) 5.1 加密存储敏感信息 (13) 5.2 避免泄露敏感技术细节 (13) 第6章防钓鱼与防垃圾邮件 (14) 6.1 防钓鱼 (14)

6.2 防垃圾邮件 (14) 第7章密码算法 (15) 7.1 安全算法 (15) 7.2 密钥管理 (15)

第1章概述 1.1 目的本文档规定了Web应用服务器应当遵循的安全标准，本文档旨在指导系统管理人员进行Web应用安全基线检查。 1.2 适用范围本配置标准的使用者包括：服务器系统管理员、应用程序管理员、网络安全管理员。 1.3 适用版本基于B/S架构的Web应用

安全隐患数据库管理办法

安全隐患数据系统管理规定为推动公司安全管理工作“公开化、透明化、规范化”，体现“齐抓共管，确保安全”的原则，安检部与信息中心联合开发了“安全生产隐患数据信息系统”，经过试运行，证明这种管理模式有助于全员参与查找不安全因素，最终达到彻底消除隐患之目的。为确保此项工作落到实处，充分调动职工参与的积极性，规范安全管理人员的行为，制定如下管理办法。一、管理规定（一）公司任何一位员工，均有查找不安全隐患，并向安全隐患数据库填、录的权利和义务。在OA系统上未注册的人员，可借用已注册人员的OA登录，已注册人员不许拒绝。（二）各公司主要负责人需经常关注该数据库系统的内容，对安全员提出的处理结果与完成时限进行审核，并提供大力支持，确保隐患按期整改完成。（三）各公司安全员作为安全生产管理专职人员，负责对在周、月及不定时检查中发现的安全生产隐患及时录入数据库系统，各公司主管安全生产的经理对此负有监督、管理责任；（四）各公司安全员对隐患整改过程，负有监督、检查的权利和义务，对不能完成整改的，要说明原因，写出书面报告，报本公司经理，经理确认、签字后，上报安检部。（五）各公司安全员应将安全隐患数据库的使用方法，宣贯到每一个职工，并鼓励和支持他们发现和填报安全生产隐患。

（六）各公司班组负责人对在日常工作当中发现的安全生产隐患，及时录入数据库系统，未及时录入的应承担相应责任，安全员对此负有监督、管理责任。（七）总公司安检部是安全管理的职能部门，对各种隐患的处理结果与完成期限进行跟踪与监督，发现未按要求整改的，提出处理意见并上报总公司领导。（八）总公司信息中心对数据库的正常运行提供技术支持和服务，及时解决运行中的问题。二、奖惩规定（一）对于积极参与查找不安全隐患，或及时发现重大隐患的员工与管理层人员按如下办法实施奖励： 1、员工提出不安全隐患，经确认属实，每月三处以上的，根据隐患风险程度给予50-500元的奖励；发现重大隐患的给予500-2000元的奖励；并以此作为评选安全先进单位和个人的前提条件； 2、管理层人员提出不安全隐患，或处理隐患方案合理、期限及时，经确认属实，适隐患风险程度给予50-200元的奖励；对重大隐患处理及时的给予200-1000元的奖励。（二）对于各部门经理、分公司经理（副经理）、安全员、各部门主管，不履行安全生产职责，有下列情况之一的实施处罚： 1、对在日常工作中发现了安全生产隐患，故意隐瞒不向数据库系统填报的，罚款200元； 2、对已发现的安全生产隐患，不积极采取措施处理，或对下级报送的隐患不安排，置之不理的，罚款1000元；

人口基础数据库建设规范

竭诚为您提供优质文档/双击可除人口基础数据库建设规范篇一：全员人口数据库建设培训手册入户调查———信息卡登记填写篇以下几个率，我们各级检查中是要考核的，数据库的建设必须达到如下指标： 1、全员人口个案信息覆盖率要求达到95% 口个案信息覆盖率=去除重复个案后数据库包含人口数/应纳入全员库人口总数×100% 应纳入全员库人口包括本地户籍人口（含流出人口）与流入人口。 2、准确率（已采集信息正确的人数占已采集所有人数的比例）（具体计算可能要通过逻辑审核或者是实地调查核与信息卡数据库核对结果计算）95%以上。 3、项目完整率（每人约有50项采集内容，其中每人已采集项目与总项目数的比例）（在实际计算中可能选择其中几项必须填写项来计算，如逻辑审核中重点核实的缺少必填写项目审核） 4、数据库更新及时率（出生或者是四术发生变动时，

数据库是否及时变更，数据库中出生和四术的上报日期与实际的出生日期和实际避孕措施开始日期的变更不应超过三个月或者是更短日期，否则视为不及时）以上各项指标的高低是关系到全员人口数据库建设成败与否的关键因素。只有信息采集达到上述标准要求，才能为下一步全员录入奠定基础。下面将全员人口信息采集步骤详细叙述如下：一、全员人口数据库要求实现以房管人，内蒙采集规范对房屋的编码要求如下：内蒙至村级编码示意图：（系统中已经固定编码）村级至户级示意图：（小区至户未固定编码）二、具体到平房或楼房中编码规则如下：如图：这个平房小区共有三排：第一排共一列，这一列有三院，一院大门向东开，一院里有三户人家，二院大门向南，院内有两户人家，三院有一户人家；第二排共两列，第一列共一院，院内有两户人家，第二列共有两院，第一院有两户人家，第二院有一户人家；第三排共一列，这一列有两院人家，第一院有两户，第二院有一户。那么这个小区内的房屋编码依次为：

网络数据和信息安全管理规范

网络数据和信息安全管理规范 IMB standardization office【IMB 5AB- IMBK 08- IMB 2C】

X X X X有限公司 WHB-08 网络数据和信息安全管理规范版本号: A/0 编制人： XXX 审核人： XXX 批准人： XXX 20XX年X月X日发布 20XX年X月X日实施

目的计算机网络为公司局域网提供网络基础平台服务和互联网接入服务。为保证公司计算机信息及网络能够安全可靠的运行，充分发挥信息服务方面的重要作用，更好的为公司运营提供服务，依据国家有关法律、法规的规定，结合公司实际情况制定本规定。术语本规范中的名词术语（比如“计算机信息安全”等）符合国家以及行业的相关规定。计算机信息安全是指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识，控制。即确保信息的完整性、保密性、可用性和可控性。包括操作系统安全、数据库安全、病毒防护、访问权限控制、加密与鉴别等七个方面。狭义上的计算机信息安全，是指防止有害信息在计算机网络上的传播和扩散，防止计算机网络上处理、传输、存储的数据资料的失窃和毁坏，防止内部人员利用计算机网络制作、传播有害信息和进行其他违法犯罪活动。网络安全，是指保护计算机网络的正常运行，防止网络被入侵、攻击等，保证合法用户对网络资源的正常访问和对网络服务的正常使用。计算机及网络安全员，是指从事的保障计算机信息及网络安全工作的人员。普通用户，是指除了计算机及网络安全员之外的所有在物理或者逻辑上能够访问到互联网、企业计算机网及各应用系统的公司内部员工。主机系统，指包含服务器、工作站、个人计算机在内的所有计算机系统。本规定所称的重要主机系统指生产、办公用的Web服务器、Email服务器、DNS服务器、OA服务器、企业运营管理支撑系统服务器、文件服务器、各主机系统等。网络服务，包含通过开放端口提供的网络服务，如WWW、Email、FTP、Telnet、DNS等。有害信息，参见国家现在法律法规的定义。

数据库建设规范

数据库建设规范目录 1. 前言 2 2. 范围 3 3. 术语和定义3 范式3 关联3 关系模型 3 视图3 外键3 约束3 主键4 4. 命名规范 4 规范约定 4 表名4 视图4 存储过程 4 函数4 触发器 5 字段5 索引5 5. 数据库建设过程规范 5

概述5 需求分析阶段 6 需求调查 6 内容分析 6 概念结构设计阶段7 定义实体 7 定义关系 7 定义属性 7 定义键8 定义索引 8 定义其他对象和规则9 逻辑结构设计阶段9 数据库物理设计阶段10 实施、运行、维护规范11 6. 数据库建设安全性规范11 概述12 完整性设计12 物理安全 14 访问控制 14 数据备份 15 前言

数据库技术是信息资源管理最有效的手段。数据库设计是指对于一个给定的应用环境，构造最优的数据库模式，建立数据库及其应用系统，有效存储数据，满足用户信息要求和处理要求。本规范通过数据建库的命名、结构、建库过程及安全性措施等几个技术方面进行约定，目的就是提供一套规范、合理、科学的建库技术体系，应用系统提供建库技术参考。范围本规范主要从关系数据库的命名、关系和结构以及建设过程等几个方面来规定数据库设计应遵循的规范。术语和定义范式关系数据库中的关系是要满足一定要求的，满足不同程度要求的为不同范式。满足最低要求的叫第一范式，简称1NF。在第一范式中满足进一步要求的为第二范式，其余以此类推。一般而言，数据库的设计应至少满足第三范式。关联关联是不同表之间的数据彼此联系的方法。关联同时存在于形成不同实体的数据项之间和表实体本身之间，构成了数据库规范化的基本核心问题。它分为一对一、一对多、多对多三种关联形式。关系模型关系模型由关系数据结构、关系操作集合和关系完整性约束三部分组成。在关系模型中，实体与实体间的联系都是用关系来表示的。视图视图是一个定制的虚拟表。可以是本地的、远程的或带参数的；其数据可以来源于一个或多个表，或者其他视图；它是可更新的，可以引用远程表；它可以更新数据源。视图是基于数据库的，因此，创建视图的前必须有数据库。外键外键是一个关系中的一组属性（一个或多个列），它同时也是某种（相同的或其它的）关系中的主键。它是关系之间的逻辑链接。约束

信息安全检查表

广西食品药品检验所信息安全检查表一、信息系统基本情况信息系统基本情况①信息系统总数：个 ②面向社会公众提供服务的信息系统数：个 ③委托社会第三方进行日常运维管理的信息系统数：个，其中签订运维外包服务合同的信息系统数：个互联网接入情况互联网接入口总数：个其中：□联通接入口数量：个接入带宽：兆□电信接入口数量：个接入带宽：兆 □其他：接入口数量：个接入带宽：兆系统定级情况第一级：个第二级：个第三级：个第四级：个第五级：个未定级：个系统安全测评情况最近2年开展安全测评（含风险评估、等级测评）系统数：个二、日常信息安全管理情况人员管理①岗位信息安全和保密责任制度：□已建立□未建立 ②重要岗位人员信息安全和保密协议： □全部签订□部分签订□均未签订 ③人员离岗离职安全管理规定：□已制定□未制定 ④外部人员访问机房等重要区域管理制度：□已建立□未建立资产管理①信息安全设备运维管理： □已明确专人负责□未明确 □定期进行配置检查、日志审计等□未进行 ②设备维修维护和报废销毁管理： □已建立管理制度，且维修维护和报废销毁记录完整□已建立管理制度，但维修维护和报废销毁记录不完整□尚未建立管理制度三、信息安全防护管理情况

网络边界防护管理①网络区域划分是否合理：□合理□不合理 ②安全防护设备策略：□使用默认配置□根据应用自主配置 ③互联网访问控制：□有访问控制措施□无访问控制措施 ④互联网访问日志：□留存日志□未留存日志信息系统安全管理①服务器安全防护： □已关闭不必要的应用、服务、端口□未关闭 □帐户口令满足8位，包含数字、字母或符号□不满足 □定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行 ②网络设备防护： □安全策略配置有效□无效 □帐户口令满足8位，包含数字、字母或符号□不满足 □定期更新帐户口令□未能定期更新□定期进行漏洞扫描、病毒木马检测□未进行 ③信息安全设备部署及使用： □已部署有防病毒、防火墙、入侵检测、安全审计等功能的设备□未部署□安全策略配置有效□无效门户网站应用管理门户网站管理网站域名：_______________ IP地址：_____________ 是否申请中文域名：□是_______________ □否 ①网站是否备案：□是□否 ②门户网站账户安全管理： □已清理无关帐户□未清理 □无：空口令、弱口令和默认口令□有 ③清理网站临时文件、关闭网站目录遍历功能等情况：口已清理口未清理 ④门户网站信息发布管理： □已建立审核制度，且审核记录完整 □已建立审核制度，但审核记录不完整 □尚未建立审核制度

数据库设计规范

1概述 1.1 目的软件研发数据库设计规范作为数据库设计的操作规范，详细描述了数据库设计过程及结果，用于指导系统设计人员正确理解和开展数据库设计。 1.2 适用范围 1.3 术语定义 DBMS：数据库管理系统，常用的商业 DBMS有 Oracle, SQL Server, DB2 等。数据库设计：数据库设计是在给定的应用场景下，构造适用的数据库模式，建立数据库及其应用系统，有效存储数据，满足用户信息要求和处理要求。概念数据模型：概念数据模型以实体- 关系 (Entity-RelationShip, 简称 E-R) 理论为基础，并对这一理论进行了扩充。它从用户的观点出发对信息进行建模，主要用于数据库概念级别的设计，独立于机器和各DBMS产品。可以用 Sybase PowerDesigner工具来建立概念数据模型（CDM）。逻辑数据模型：将概念数据模型转换成具体的数据库产品支持的数据模型，如关系模型，形成数据库逻辑模式。可

以用 Sybase PowerDesigner工具直接建立逻辑数据模型（ LDM），或者通过CDM转换得到。物理数据模型：在逻辑数据模型基础上，根据DBMS特点和处理的需要，进行物理存储安排，设计索引，形成数据库内模式。可以用 Sybase PowerDesigner 工具直接建立物理数据模型（ PDM），或者通过 CDM / LDM 转换得到。 2数据库设计原则按阶段实施并形成该阶段的成果物一般符合3NF范式要求；兼顾规范与效率使用公司规定的数据库设计软件工具命名符合公司标准和项目标准 3数据库设计目标规范性：一般符合3NF范式要求，减少冗余数据。高效率：兼顾规范与效率，适当进行反范式化，满足应用系统的性能要求。紧凑性：例如能用 char(10) 的就不要用 char(20) ，提高存储的利用率和系统性能，但同时也要兼顾扩展性和可移植性。易用性：数据库设计清晰易用，用户和开发人员均能容

数据安全管理规范

业务平台安全管理制度 —数据安全管理规范xxxxxxxxxXK司网络运行维护事业部

目录一.概述 (1) 二.数据信息安全管理制度 (2) 2.1数据信息安全存储要求 (2) 2.2数据信息传输安全要求 (2) 2.3数据信息安全等级变更要求 (3) 2.4数据信息安全管理职责 (3) 三.数据信息重要性评估 (4) 3.1数据信息分级原则 (4) 3.2数据信息分级 (4) 四.数据信息完整性安全规范 (5) 五.数据信息保密性安全规范 (6) 5.1 密码安全 (6) 5.2密钥安全 (6) 六.数据信息备份与恢复 (8) 6.1数据信息备份要求 (8) 6.1.1 备份要求 (8) 6.1.2 备份执行与记录 (8) 6.2备份恢复管理 (8)

概述数据信息安全，顾名思义就是要保护数据信息免受威胁的影响，从而确保业务平台的连续性，缩减业务平台有可能面临的风险，为整个业务平台部门的长期正常运行提供强有力的保障。为加强数据信息的安全管理，保证数据信息的可用性、完整性、机密性，特制定本规范。

数据信息安全管理制度 2.1数据信息安全存储要求数据信息存储介质包括：纸质文档、语音或其录音、输出报告、硬盘、磁带、光存储介质。存储介质管理须符合以下规定：包含重要、敏感或关键数据信息的移动式存储介质须专人值守。删除可重复使用存储介质上的机密及绝密数据时，为了避免在可移动介质上遗留信息，应该对介质进行消磁或彻底的格式化，或者使用专用的工具在存储区域填入无用的信息进行覆盖。任何存储媒介入库或出库需经过授权，并保留相应记录，方便审计跟踪。 2.2数据信息传输安全要求在对数据信息进行传输时，应该在风险评估的基础上采用合理的加密技术，选择和应用加密技术时，应符合以下规范：必须符合国家有关加密技术的法律法规；根据风险评估确定保护级别，并以此确定加密算法的类型、属性，以及所用密钥的长度；听取专家的建议，确定合适的保护级别，选择能够提供所需保护的合适的工具。机密和绝密信息在存储和传输时必须加密，加密方式可以分为：对称加密和不对称加密。机密和绝密数据的传输过程中必须使用数字签名以确保信息的不可否认性，使用数字签名时应符合以下规范：充分保护私钥的机密性，防止窃取者伪造密钥持有人的签名。采取保护公钥完整性的安全措施，例如使用公钥证书；确定签名算法的类型、属性以及所用密钥长度；用于数字签名的密钥应不同于用来加密内容的密钥。 2.3 数据信息安全等级变更要求数据信息安全等级经常需要变更. 一般地，数据信息安全等级变更需要由数据资产的所有者进行，然

数据库建设规范.doc

v1.0可编辑可修改数据库建设规范目录 1.前言 (3) 2.范围 (3) 3.术语和定义 (3) 范式 (3) 关联 (3) 关系模型 (3) 视图 (4) 外键 (4) 约束 (4) 主键 (4) 4.命名规范 (4) 规范约定 (4) 表名 (5) 视图 (5) 存储过程 (5) 函数 (5) 触发器 (5) 字段 (6) 索引 (6)

v1.0可编辑可修改 5.数据库建设过程规范. (6) 概述 (6) 需求分析阶段 (7) 需求调查 (7) 内容分析 (8) 概念结构设计阶段 (8) 定义实体 (8) 定义关系 (9) 定义属性 (9) 定义键 (9) 定义索引 (10) 定义其他对象和规则 (11) 逻辑结构设计阶段 (11) 数据库物理设计阶段 (12) 实施、运行、维护规范 (13) 6.数据库建设安全性规范. (14) 概述 (14) 完整性设计 (14) 物理安全 (17) 访问控制 (17) 数据备份 (18)

1.前言数据库技术是信息资源管理最有效的手段。数据库设计是指对于一个给定的应用环境，构造最优的数据库模式，建立数据库及其应用系统，有效存储数据，满足用户信息要求和处理要求。本规范通过数据建库的命名、结构、建库过程及安全性措施等几个技术方面进行约定，目的就是提供一套规范、合理、科学的建库技术体系，应用系统提供建库技术参考。 2.范围本规范主要从关系数据库的命名、关系和结构以及建设过程等几个方面来规定数据库设计应遵循的规范。 3.术语和定义范式关系数据库中的关系是要满足一定要求的，满足不同程度要求的为不同范式。满足最低要求的叫第一范式，简称 1NF。在第一范式中满足进一步要求的为第二范式，其余以此类推。一般而言，数据库的设计应至少满足第三范式。关联关联是不同表之间的数据彼此联系的方法。关联同时存在于形成不同实体的数据项之间和表实体本身之间，构成了数据库规范化的基本核心问题。它分为一对一、一对多、多对多三种关联形式。关系模型关系模型由关系数据结构、关系操作集合和关系完整性约束三部分组成。在

XXX系统安全风险评估调查表完整

XX系统安全风险评估调查表系统名称：申请单位：申请日期：

填写说明 1.申请表一律要求用计算机填写，内容应真实、具体、准确。 2.如填写内容较多，可另加附页或以附件形势提供。 3.申报资料份数为纸版和电子版各一份。

目录填写说明................................................................................................ I I 目录............................................................................................................... I 一、申请单位信息 (2) 二、系统评估委托书 .....................................................错误！未定义书签。三、信息系统基本情况调查表 (4) 四、信息系统的最新网络拓扑图 (6) 五、根据信息系统的网络结构图填写各类调查表格。 (7) 表3-1. 第三方服务单位基本情况 (9) 表3-2. 项目参与人员名单 (10) 表3-3. 信息系统承载业务（服务）情况调查 (11) 表3-4. 信息系统网络结构（环境）情况调查 (12) 表3-5. 外联线路及设备端口（网络边界）情况调查 (13) 表3-6. 网络设备情况调查 (14) 表3-7. 安全设备情况调查 (15) 表3-8. 服务器设备情况调查 (16) 表3-9. 终端设备情况调查 (17) 表3-10. 系统软件情况调查 (18) 表3-11. 应用系统软件情况调查 (19) 表3-12. 业务数据情况调查 (20) 表3-13. 数据备份情况调查 (21) 表3-14. 应用系统软件处理流程调查（多表） (22) 表3-15. 业务数据流程调查（多表） (23) 表3-16. 管理文档情况调查 (24) 六、信息系统安全管理情况 (25) 七、信息系统安全技术方案 (25)