DB2数据库安全配置基线.docx
- 文档编号:789674
- 上传时间:2022-10-13
- 格式:DOCX
- 页数:11
- 大小:20.50KB
DB2数据库安全配置基线.docx
《DB2数据库安全配置基线.docx》由会员分享,可在线阅读,更多相关《DB2数据库安全配置基线.docx(11页珍藏版)》请在冰豆网上搜索。
DB2数据库安全配置基线
DB2数据库系统安全配置基线
中国移动通信有限公司管理信息系统部
2012年04月
版本控制信息
更新日期
更新人
审批人
V1.0
创建
2009年1月
V2.0
更新
2012年4月
备注:
1.若此文档II要日后更新,请创建人填写版本控制表格,否则删除版本控制表格。
第1章概述4
1.1适用范围4
1.2适用版本4
1.3实施4
1.4例外条款4
第2章帐号与口令5
2.1帐号5
2.L1删除不必要的帐号*5
2.1.2分配数据库用户所需的最小权限*5
2.2口令6
2.2./DB2用户口令安全6
第3章数据库权限7
3.1从PUBLIC撤销隐式的权限和特权7
3.1.1APUBLIC撤销隐式的权限和特权7
3.2跟踪隐式的特权9
321跟踪隐式的特权9
3.3检査用户许可和特权9
3.3.1检査用户许可和特权*9
第4章DB2认证11
4」为SYSXXX_GROUP参数使用显式值11
4.1.1^SYSxxxjGROUP参数使用显式值11
4.2使用加密的AUTHENTICATION模式II
421使用加密的AUTHENTICATION模式11
第5章DB2审计13
5.1执行随机安全审计13
5.1.1执行随机安全审计*13
第6章评审与修订14
第1章概述
本文档规左了中国移动管理信息系统部所维护管理的DB2数拯库系统应当遵循的数据库安全性设置标准,本文档旨在指导系统管理人员或女全检査人员进行DB2数据库系统的安全合规性检查和配置。
1-1适用范
本配置标准的使用者包括:
数据库管理员、应用管理员、网络安全管理员。
本配置标准适用的范用包括:
中国移动总部和各省公司信息化部门维护管理的DB2数拯库系统。
1.2适用版本
DB2数据库系统。
1.3实施
本标准的解释权和修改权属于中国移动集团管理信息系统部,在本标准的执行过程中若有任何疑问或建议,应及时反馈。
本标准发布之日起生效。
1-4例外条款
欲申请本标准的例外条款,申请人必须准备书而申请文件,说明业务需求和原因,送交中国移动通信有限公司管理信息系统部进行审批备案。
第2章帐号与口令
2.1帐号
2.1.1删除不必要的帐号*
安全基线项目名称
数据库管理系统DB2用户安全基线要求项
安全基线
SBL-DB2-02-01-01
安全基线项说明
应删除与数据库运行、维护等工作无关的帐号。
检测操作步
1、参考配置操作
IR
DB2企业管理器安全性-〉登陆中删除无关帐号;
DB2企业管理器-〉数据库-〉对应数据库-〉用户中删除无关帐号:
基线符合性判定依据
首先删除不需要的用户,已删除数拯库不能登陆使用在DB2査询分析器的登陆界面中使用已删除帐号登陆
备注
手工检査
2.1.2分配数据库用户所需的最小权限*
安全基线项目名称
数据库管理系统DB2共享帐号安全基线要求项
安全基线
SBL-DB2-02-01-02
安全基线项说明
在数据库权限配置能力内,根据用户的业务需要,配置其所需的最小权限。
检测操作步
1.更改数据库属性,取消业务数据库帐号不需要的服务器角色;
2.更改数据库属性,取消业务数据库帐号不需要的"数据库访问许可”和“数据库角色中允许”中不需要的角色。
基线符合性判定依据
1.更改数据库属性,取消业务数据库帐号不需要的服务器角色;
2.更改数据库属性,取消业务数据库帐号不需要的"数据库访问许可”和“数据库角色中允许”中不需要的角色。
备注
建议手工检查
2.2口令2.2.1DB2用户口令安全
安全基线项目名称
数据库管理系统DB2用户口令安全基线要求项
安全基线
SBL-DB2-02-02-01
安全基线项说明
对用户的属性进行安全检査,包括空密码、密码更新时间等。
修改目前所有帐号的口令,确认为强口令。
口令长度至少8位,并包括数字、小写字母、大写字母和特殊符号四类中至少两类。
且5次以内不得设置相同的口令。
密码应至少每90天进行更换。
检测操作步
*
1.检查password字段是否为null」
2.参考配置操作
查看用户状态
运行查询分析器,査看口令为空的用户
基线符合性判定依据
password字段不为nulL
备注
第3章数据库权限
3.1从PUBLIC撤销隐式的权限和特权
3.1.1从PUBLIC撤销隐式的权限和特权
安全基线项目名称
DB2隐式权限安全基线要求项
安全基线编号
SBL-DB2-03-01-01
安全基线项说明
从PUBLIC撤销隐式的权限和特权
检测操作步
*
连接数据库这里以testdb为例,CONNECTTOtestdb;
执行下面命令取消PUBLIC的隐式的权限和特权:
REVOKEBINDADDONDATABASEFROMPUBLIC;
REVOKECREATETABONDATABASEFROMPUBLIC;
REVOKECONNECTONDATABASEFROMPUBLIC;
REVOKEIMPLICIT_SCHEMAONDATABASEFROMPUBLIC;
REVOKEUSEOFTABLESPACEUSERSPACE1FROMPUBLIC;
REVOKESELECTONTABLESYSCAT.COLAUTHFROMPUBLIC;
REVOKESELECTONTABLESYSCAT.DBAUTHFROMPUBLIC;
REVOKESELECTONTABLESYSCAT.INDEXAUTHFROMPUBLIC;
REVOKESELECTONTABLESYSCAT.PACKAGEAUTHFROMPUBLIC;
REVOKESELECTONTABLESYSCAT.PASSTHRUAUTHFROMPUBLIC;
REVOKESELECTONTABLESYSCAT.ROUTINEAUTHFROMPUBLIC:
REVOKESELECTONTABLESYSCAT.SCHEMAAUTHFROMPUBLIC;
REVOKESELECTONTABLESYSCAT.SECURITYLABELACCESSFROM
PUBLIC;
REVOKESELECTONTABLESYSCAT.SECURITYPOLICYEXEMPTIONS
FROMPUBLIC;
REVOKESELECTONTABLESYSCAT.SEQUENCEAUTHFROMPUBLIC;
REVOKESELECTONTABLESYSCAT.SURROGATEAUTHIDSFROMPUBLIC;
REVOKESELECTONTABLESYSCAT.TABAUTHFROMPUBLIC;
REVOKESELECTONTABLESYSCAT.TBSPACEAUTHFROMPUBLIC;
REVOKESELECTONTABLESYSCAT.XSROBJECTAUTHFROMPUBLIC;
REVOKESELECTONTABLESYSC/^T.AUTHORIZATIONIDSFROMPUBLIC;
REVOKESELECTONTABLESYSCAT.OBJECTOWNERSFROMPUBLIC;
REVOKESELECTONTABLESYSCAT.PRIVILEGESFROMPUBLIC;
基线符合性判定依据
建议在创建一个新的数据库之后,应立即撤销这些被授给PUBLIC的隐式特权。
从DB2V9.1开始,CREATEDATABASE命令语法增加了RESTRICTIVE选项。
如果该命令中包括了RESTRICTIVE选项,那么会导致RESTRICT_ACCESS数据库配置参数被设置为YES,同时不自动授予PUBLIC任何特权。
如果忽略了RESTRICTIVE选项,那么RESTRICT.ACCESS数据库配置参数被设置为NO,前述所有特权都将自动授予PUBLIC。
您可以执行上述清单中显示的语句来撤销系统编目视图上的特权和其他被授予PUBLIC的隐式特权。
但这个淸单还不是最全的。
备注
DB2在内部使用一个需为PUBLIC的伪组,对于PUBLIC,可以为之授予特权,也可以撤销它的特权。
PUBLIC实际上不是在外部安全设施中龙义的一个组,但通过它可以为通过DB2认证的用户授予特权。
3.2跟踪隐式的特权
3・2・1跟踪隐式的特权
安全基线项目名称
DB2隐式特权管理安全基线要求项
安全基线编号
SBL-DB2-03-02-01
安全基线项说明
跟踪隐式的特权
检测操作步骤
运行getdbmcfg查看状态,并记录。
例如,假设您一开始将DBADM权限授予用户JEFF,而随后又您决立撤销此权限。
为了撤销JEFF的DBADH权限,可以使用以下语句:
REVOKEDBADMONDATABASEFROMUSERjeff
基线符合性判定依据
应该仔细检查和跟踪执行某动作时所授予的隐式特权。
如果以后撤销这个动作,那么应撤销任何隐式的特权。
备注
3.3检查用户许可和特权
3.3.1检查用户许可和特权*
安全基线项目名称
DB2用户许可和特权安全基线要求项
安全基线编号
SBL-DB2-03-03-01
安全基线项说明
检查用户许可和特权
检测操作步
*
打开ControlCenter査看授予许可:
检查每个用户的许可,将超出的许可和特权取消。
基线符合性判定依据
确保所有被授出的许可和特权都是确实有必要的。
对于不熟悉DB2安全模型的开发人员来说,他们往往因为贪图简单而通过
ControlCenter为自己授予所有可用的特权,以避免安全错误消息。
您应该确
保所有被授出的许可和权限都是确实有必要的。
备注
手工检査
第4章DB2认证
4.1为SYSxxx_GROUP参数使用显式值4J.1为SYSxxx_GROUP参数使用显式值
安全基线项目名称
DB2SYSxxx_GROUP参数安全基线要求项
安全基线编号
SBL-DB2-04-01-01
安全基线项说明
为SYSxxx_GROUP参数使用显式值
检测操作步
连接数据库这里以testdb为例,CONNECTTOtestdb;执行下面命令修改参数的缺省值:
UPDATEDBMCFGUSINGSYSADM_GROUPdbagrpldb2stop
db2start
基线符合性判定依据
在Windows上进行缺省的DB2安装时,这些参数的值被缺省地设苣为NULL。
这意味着超级用户权限被授给属于本地Administrators组的所有有效用户帐户。
在Linux和UNIX平台上,NULL值被缺省地赋给实例所有者的主组,完成安装后,缺省情况下这个组只包含用户ID和实例所有者。
备注
4.2使用加密的AUTHENTICATION模式
4.2.1使用加密的AUTHENTICATION模式
安全基线项
目名称
DB2AUTHENTICATION模式安全基线要求项
安全
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DB2 数据库 安全 配置 基线