JR∕T 0204—2020 分布式数据库技术金融应用规范 安全技术要求(金融).pdf
《JR∕T 0204—2020 分布式数据库技术金融应用规范 安全技术要求(金融).pdf》由会员分享,可在线阅读,更多相关《JR∕T 0204—2020 分布式数据库技术金融应用规范 安全技术要求(金融).pdf(17页珍藏版)》请在咨信网上搜索。
1、ICS 35.240.40CCS A 11JR中 华 人 民 共 和 国 金 融 行 业 标 准JR/T 02042020分布式数据库技术金融应用规范安全技术要求Financial application specification of distributed database technologySecurity requirements2020-11-26 实施2020-11-26 发布中国人民银行发布JR/T 02042020I目次前言.II引言.III1范围.12规范性引用文件.13术语和定义.14缩略语.15概述.16基础支撑保障.27用户管理.38访问控制.49数据安全.510监
2、控预警.611密钥管理.712安全管理.713安全审计.8参考文献.11JR/T 02042020II前言本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。本文件由中国人民银行提出。 请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别这些专利的责任。本文件由全国金融标准化技术委员会(SAC/TC 180)归口。JR/T 02042020III引言随着金融领域分布式架构的转型升级, 分布式数据库技术在金融领域应用逐步深入。 为规范分布式数据库技术在金融领域应用, 强化分布式数据库技术对金融服务的技术支撑, 提升分布式数据库技术对业务连
3、续性和信息安全的保障能力,特编制本文件。本文件是分布式数据库技术金融应用系列标准之一,分布式数据库技术金融应用系列标准包括:分布式数据库技术金融应用规范技术架构;分布式数据库技术金融应用规范安全技术要求;分布式数据库技术金融应用规范灾难恢复要求。JR/T 020420201分布式数据库技术金融应用规范 安全技术要求1范围本文件规定了在金融领域分布式事务数据库技术的安全要求,涵盖基础支撑保障、用户管理、访问控制、数据安全、监控预警、密钥管理、安全管理和安全审计等内容。本文件适用于金融领域分布式事务数据库的研发、测试、评估和应用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不
4、可少的条款。 其中, 注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 32633分布式关系数据库服务接口规范JR/T 0203分布式数据库技术金融应用规范 技术架构3术语和定义JR/T 0203界定的术语和定义适用于本文件。4缩略语下列缩略语适用于本文件。DCL:数据控制语言(Data Control Language)DDL:数据定义语言(Data Definition Language)DML:数据操纵语言(Data Manipulation Language)DQL:数据查询语言(Data Query Langu
5、age)IO:输入和输出(Input Output)QPS:查询/秒(Queries Per Second)SQL:结构化查询语言(Structured Query Language)TPS:事务数/秒(Transactions Per Second)5概述分布式事务数据库与传统集中式数据库相比,具有服务器横向扩展、计算存储分离、数据分片、多副本技术实现大容量存储、 高并发处理、 数据高可靠和服务高可用等优势。 本文件主要从基础支撑保障、用户管理、访问控制、数据安全、监控预警、密钥管理、安全管理和安全审计等方面提出分布式事务数据库金融应用的安全要求。JR/T 020420202本文件将具体条款
6、分为基本要求和增强要求。基本要求是通用、基础的安全要求,分布式事务数据库应全部支持;增强要求是从安全技术的发展趋势和金融用户的前瞻性需求提出的推荐性要求。分布式事务数据库的安全体系详见图1。图 1 分布式事务数据库安全体系6基础支撑保障6.1网络安全要求基本要求:a) 应划分不同的网络安全区域,并设置安全隔离级别,分布式事务数据库集群应部署于高安全级别的区域内。b) 应定期对分布式事务数据库集群所部署的网络域进行安全渗透测试,并修复网络安全漏洞。增强要求:a) 宜确保部署的不同数据库集群网络的物理隔离。b) 宜确保对外提供服务的网络与数据库管理网络间的物理隔离。6.2系统安全要求基本要求:a)
7、 应根据业务需求和系统安全分析确定系统的访问控制策略。b) 应建立系统安全管理制度,对系统安全策略、安全配置、日志管理和日常操作流程等方面作出具体规定。JR/T 020420203c) 应定期对分布式事务数据库集群所依赖的底层软件环境进行恶意代码静态检测和行为检测,并及时进行安全补丁包的更新,如:操作系统、虚拟化软件。d) 应定期对分布式事务数据库集群所依赖的开源组件进行恶意代码静态检测和行为检测,并及时进行安全补丁包的更新。增强要求:无。6.3设备安全要求基本要求:a) 应对关键设备根据高可用需求进行冗余部署。b) 应对数据存储设备在重用、更换、报废时进行数据的安全清除。c) 应对密码设备在
8、重用、更换、报废时进行密钥的安全清除。d) 应对关键的网络设备在重用、更换、报废时进行敏感配置信息的安全清除。增强要求:宜确保部署的关键设备的物理专用性。7用户管理7.1身份标识和鉴别基本要求:a) 应支持身份标识(如用户名)具备唯一性,支持通过用户口令进行身份鉴别的功能。b) 应支持对用户口令复杂度设置、检测及限制使用弱口令的功能。c) 应支持对用户身份鉴别失败处理的设置、检测及限制登陆的功能。d) 应支持用户身份鉴别信息(如用户口令)的加密存储。增强要求:宜采用 2 种或 2 种以上组合的鉴别技术对管理用户进行身份鉴别。7.2用户授权基本要求:a) 应支持基于用户的授权方法。b) 应支持用
9、户的创建、注销及限制登陆功能。c) 应支持用户的权限添加和撤销功能。增强要求:a) 宜支持基于用户组的授权方法。b) 宜支持用户组的创建、注销及限制登陆功能。c) 宜支持用户组的权限添加和撤销功能。d) 宜支持对用户权限的级联传递和回收功能。7.3角色管理基本要求:a) 应提供不同的数据库管理员角色,以提供职责分离、角色约束等管理功能。b) 应设立系统管理员、审计管理员、安全管理员等角色,并定义各个角色的职责。JR/T 020420204c) 应支持对普通用户权限的限制,其权限不应超过对自身业务数据及数据库对象的管理范围。增强要求:a) 系统管理员的权限宜包括对数据库集群的创建、变更、配置和维
10、护等重要操作。b) 审计管理员的权限宜包括含对各类日志及审记记录的查看、审计记录的导入和导出等操作。c) 安全管理员的权限宜限于制定、修改、检查安全规则等操作。d) 宜在系统管理员、审计管理员、安全管理员三个角色基础上提供更细颗粒度的权限,以满足数据库应用方自定义最小化职责分离的需求。8访问控制8.1对象访问控制基本要求:a) 应支持对各类数据库对象(如库表)配置不同的访问权限的功能。b) 应支持独立的数据库用户管理数据库对象权限,如对象访问权限的授予与回收等。c) 应支持对库表结构维护权限的控制,如创建、删除、更改库表结构等,库表结构的维护应由其所属用户或相关授权用户来完成。d) 应支持对库
11、表数据访问权限的控制,库表数据访问权限应包括对某个库表或视图数据的插入、更新、删除、查询的权限,库表数据的访问应由其所属用户或相关授权用户来完成。增强要求:a) 宜将库表结构维护的权限仅授予系统管理员。b) 宜支持限制系统管理员、安全管理员对库表数据的访问功能。c) 宜支持基于标签的访问控制策略。8.2集群访问控制基本要求:多个应用共享数据库集群时,应支持多个应用间自有数据库对象的逻辑隔离。增强要求:无。8.3会话访问控制基本要求:应支持基于 IP 地址、端口、数据库、用户和密码的连接认证功能,会话应进行安全隔离。增强要求:无。8.4节点访问控制基本要求:应支持白名单功能,只有白名单列表上的地
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JRT 02042020 分布式数据库技术金融应用规范 安全技术要求金融 JR 0204 2020 分布式 数据库技术 金融 应用 规范 安全技术 要求
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【曲****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【曲****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。