DB45/T 2951.6-2025 公安数字化运营运维规范 第6部分：数据库安全管理

　　45

　　广 西 壮 族 自 治 区 地 方 标 准

　　DB45/T 2951.6—2025

　　公安数字化运营运维规范

　　第 6 部分：数据库安全管理

　　Specification for digital operation and maintenance of the public

　　security system—Part 6:Database security management

　　2025 - 08 - 04 发布 2025 - 10 - 04 实施

　　广西壮族自治区市场监督管理局 发 布

　　前 言

　　本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

　　本文件是DB45/T 2951《公安数字化运营运维规范》的第6部分。DB45/T 2951已经发布了以下部分： ——第1部分：建设转运维;

　　——第2部分：大数据平台资源服务管理;

　　——第3部分：驻场人员管理;

　　——第5部分：数据中心机房管理;

　　——第6部分：数据库安全管理。

　　请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

　　本文件由广西壮族自治区公安厅提出、归口并宣贯。

　　本文件起草单位：广西公安计算机通讯技术研究所、广西公安厅科技信息化总队、广西壮族自治区标准技术研究院。

　　本文件主要起草人：黄犀、农丝静、伍祖德、范苗苗、陈桂安、何琛、岑桂林、邓琪龙、陈欣、肖斌、付宇、罗淇元、青松、杨茳、伍世宁、覃健文、王永青、张琳、李渃淇、蒙宇华、陆洪诚、宋文华、温月容、潘慧敏、龚寅旧。

　　公安数字化运营运维规范

　　第 6 部分：数据库安全管理

　　1 范围

　　本文件界定了公安数字化运营运维数据库安全管理的术语和定义，规定了公安数字化运营运维数据库安全管理的人员和职责、账号权限管理、维护操作管理、日常操作要求。

　　本文件适用于广西行政区域内公安机关的信息系统数据库安全管理。

　　2 规范性引用文件

　　下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件;不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

　　GB/T 5271.17——2010 信息技术 词汇 第17部分：数据库

　　3 术语和定义

　　下列术语和定义适用于本文件。

　　3. 1

　　数据库对象 database object

　　看作一个单位并表示已知或假定已知的数据结构的实例的离散数据。

　　注：包含数据表、索引、存储过程、触发器、包、任务、权限、角色、序列、函数、DBLINK等。

　　[来源：GB/T 5271.17—2010,17.01.11,有修改]

　　3. 2

　　安全堡垒设备 security audit equipment

　　能够达到审计、监控、控制和历史回放效果的访问控制和安全认证设备。

　　注：用于规范运维人员对各类主机和设备的维护管理操作，使整个运维过程安全、可视。

　　4 缩略语

　　下列缩略语适用于本文件。

　　DDL：数据定义语言(Data Definition Language)

　　DML：数据操纵语言(Data Manipulation Language)

　　5 人员和职责

　　人员和职责见表1。

　　表1 人员和职责

　　6 账号权限管理

　　6. 1 运维账号权限申请

　　运营运维部门负责数据库运维账号的管理和权限分配。申请人应提前1个工作日提交数据库运维账号申请表(参见表A.1)给数据库维护负责人审核，审核通过后，由数据库安全管理员完成账号创建工作。

　　6. 2 账号权限审批

　　业务部门负责对数据库应用操作员申请数据库DDL、DML权限的审批。

　　6.3 账号维护

　　数据库相关人员发生岗位或工作职责变动时，由运营运维中心负责对数据库账号权限进行调整。

　　6,4 口令管理

　　6.4.1 数据库账号口令应由数据库安全管理员负责管理并定期进行更新，更新周期宜为 45 个工作日。

　　6.4.2 数据库账号口令应由大小写字母、数字和特殊字符组成。

　　6.4.3 数据库账号口令长度不应小于 8 位。

　　6.5 账号注销

　　数据库安全管理员应在5个工作日内注销离场运维人员的数据库账号。

　　7 维护操作管理

　　7. 1 账号使用要求

　　7.1.1 登录数据库维护操作应使用安全堡垒设备账号，不应直接使用数据库系统账号。

　　7.1.2 数据库账号应专人专用，不准许共享、外借他人。

　　7. 2 数据库生产期间操作

　　7.2.1 不应对数据库存储过程、触发器、表索引、序列、函数等数据库对象进行 DDL 操作。

　　7.2.2 不应收集数据库表索引统计信息。

　　7.2.3 不应进行以下数据库批量操作：

　　——数据库应用操作员在前后台提交的批量数据的增删改操作;

　　——采用并行语法进行批量数据表的统计分析、增删改;

　　——批量应用进程并发启动产生大量初始化数据库连接，数据库连接请求数达到 1 500 次/分钟。

　　8 日常操作要求

　　8. 1 业务部门

　　8.1.1 应对程序上线的新建表、日表及月表进行表分析。

　　8.1.2 数据库应用操作员应通过表索引的方式分析业务程序表记录数的变更。

　　8.1.3 不应在生产期间对数据库的存储过程、包、定时脚本任务等进行编译、修改。

　　8.1.4 应每月对失效的存储过程、包、定时脚本任务进行清理。

　　8.1.5 在进行新表对原生产表的重命名替换时，应校验两个表结构的一致性，更名操作后应做统计数据收集。

　　8.1.6 数据库对象 DDL 操作前，应停止所有相关应用程序的访问。

　　8.1.7 程序上线后应对数据库中无效对象进行清理和备份。

　　8. 2 运营运维部门

　　8.2.1 应对日志表数据定期归档清理。

　　8.2.2 应配备数据库备份系统，根据业务重要等级及业务需求，制定备份方式、备份计划和备份策略，并执行数据库备份，每周对数据库至少进行 1 次全量备份，备份文件至少保留 15 d。

　　8.2.3 应对数据库备份定期进行恢复测试，验证恢复后数据的正确性、完整性。

　　A

　　A

　　附 录 A

　　(资料性)

　　数据库账号申请表

　　表A.1给出了数据库账号申请表的样式。

　　表A.1 数据库账号申请表

　　参 考 文 献

　　[1] GB/T 22239 信息安全技术 网络安全等级保护基本要求

　　[2] 叶显文.大型信息系统运行维护体系规划、建设与管理[M].北京：科学出版社，2019